吕 绳

(中国政法大学 刑事司法学院，北京100088)

手机预装软件问题的刑法应对

吕 绳

(中国政法大学 刑事司法学院，北京100088)

手机预装软件是一种常见于智能手机客户端的软件类型，其存在本身就已经侵犯了消费者的知情权和选择权，而其特有的属性，又为手机病毒、木马程序的传播提供了新的途径。一些手机预装软件可能劫持用户流量、窃取用户个人信息甚至破坏手机系统，并成为其他犯罪的工具，这些风险值得从刑法的角度进行研究和分析。

手机预装软件；法益风险；网络犯罪；刑法应对

手机科技的发展将计算机终端延伸到了社会中每一个个体，极大地拓展了互联网技术的应用范围，但这也为网络犯罪提供了新的空间和手段，传统的计算机病毒如今也威胁着手机客户端的安全。近几年，手机预装软件的泛滥困扰着很多手机用户，甚至给手机销售市场带来了阴霾。从2013年起，就有媒体和学者对手机预装软件问题进行曝光和分析，但多是基于民法和消费者权益保护法，由于手机安全已经关系到广大手机用户最切身的利益，有必要从刑法角度对手机预装软件问题加以探讨。

一、手机预装软件的类型

“手机预装软件”是指手机出厂自带，或第三方通过刷机渠道预装到手机当中，且消费者购买该手机后难以自行删除的应用软件。按照该种软件被安装的方式的不同，笔者将手机预装软件分为两种类型，分别是“出厂自带预装软件”和“第三方刷机预装软件”。

出厂自带预装软件广泛存在于各种品牌的手机之中，由于用户难以卸载此类软件，因此它们会强行占用手机的储存空间，降低手机用户的用户体验，侵犯了手机消费者的选择权。工信部2013年11月1日发布的《关于加强移动智能终端进网管理的通知》第4条规定：“生产企业不得在移动智能终端中预置具有以下性质的应用软件：(1)未向用户明示并经用户同意，擅自收集、修改用户个人信息的；(2)未向用户明示并经用户同意，擅自调用终端通信功能，造成流量消耗、费用损失、信息泄露等不良后果的。”根据这一规定，手机生产厂商准备封装何种软件，必须在工信部备案登记，这在某种程度上提高了手机预装的门槛。但这一规定仅属于行业监管政策，缺乏配套的监督实施方案和具体的惩罚措施，导致执行力和操作性不强；另外，这一通知仅制约了手机生产商对于手机预装软件的装载，第三方刷机渠道的预装软件装载则丝毫不受影响，手机销售环节成了监管的真空[1]。

第三方刷机预装软件是手机厂商之外的第三方为软件开发者预装入手机的软件。由于利润丰厚且难以监管，如今第三方刷机预装软件已支配了手机预装软件市场，且围绕其形成了复杂的产业链，其产业链中至少涉及三方主体，分别是手机软件开发商、刷机公司和手机渠道商。刷机公司是产业链的核心，由于不像手机生产商需要顾及法律后果和品牌形象，因此其预装的软件来路难以控制，这些软件除了大量挤占手机存储空间外，还可能存在安全漏洞，甚至本身就是流氓软件、病毒程序。笔者将这种以预装软件形态被安装进手机中的流氓软件和病毒程序称为“恶意预装软件”。手机预装软件问题主要在于第三方刷机预装软件的泛滥，本文将主要围绕此问题展开分析。

二、手机预装软件的法益风险及刑法应对

刑法的目的在于保护法益，一种现象会因其对法益造成破坏或产生危险而引起刑法的关注。但是，刑法具有谦抑性，是保护法益的最后手段，因此在论证某种现象是否需要刑法的应对时，必须谨慎确定此现象真正引起的法益风险是什么。就第三方刷机预装软件而言，其风险主要表现在手机预装软件可以成为流氓软件和病毒程序的传播媒介，会擅自调用终端通信功能，造成信息泄露、信息系统破坏等后果，对用户的个人信息和手机系统安全造成威胁，它们也可能为传统犯罪提供新的工具和途径。因此，第三方刷机预装软件需要引起刑法关注的部分是作为流氓软件和病毒程序传播媒介的恶意预装软件。

(一)法益风险分析

1.大部分第三方刷机预装软件的程序中都会留有“后门”，其目的是监测用户是否激活软件以及获取使用频率等信息

程序后门随时可以将用户的隐私信息，如通信软件密码、手机通讯录、照片等，传送给软件开发商和刷机公司的后台。另外，智能手机普遍带有定位功能，因此用户的行踪也会被后台收集加以利用。因此，第三方刷机预装软件对手机用户的个人信息安全造成了不可忽视的风险。

2.第三方刷机预装软件会干扰手机设备的正常使用

很多软件开发商、网络运营商为了提高其软件或网站的使用流量和访问量，会利用恶意软件修改浏览器、锁定主页，强制用户访问某些网站或网页，从而造成用户流量被迫流向特定网站或网页,这种行为被称为流量劫持[2]。恶意预装软件也可以进行流量劫持，植入手机中的恶意预装软件被激活后，会按照程序设定或后台指令强制修改手机系统和设置，自行变更甚至损坏手机系统内的数据，对手机信息系统造成破坏。由于智能手机在功能、运行机理上已和常规的个人计算机趋同，且在三网融合的背景下，智能手机已经与常规的电脑使用相同的网络和计算机信息系统，因此，对手机系统的干扰破坏亦是对计算机信息系统的破坏。

3.第三方刷机预装软件可能成为其他违法犯罪活动的工具

从属性上看，恶意预装软件本身就是流氓软件或病毒程序的一种类型，其与传统流氓软件、病毒程序的区别，仅在于传播方式的不同，后两者的传统传播方式是依靠计算机之间相互连接的网络进行交叉感染，而恶意预装软件则通过人工装载的方式进行传播，很明显，直接将流氓软件和病毒程序预装入还没有被用户激活的手机中，其传播范围和效率要远高于流氓软件和病毒程序的网络传播。考虑到我国已经发生多起利用木马程序进行盗窃、诈骗等犯罪活动的案件，我们不能排除利用恶意预装软件进行类似犯罪活动的可能性。

(二)现有刑法条文的应对

1.如何应对利用恶意预装软件后门窃取用户个人信息的行为

恶意预装软件窃取用户个人信息的方式与传统的流氓软件或病毒程序无异，一般是在未获得用户授权的情况下访问并窃取用户手机通信录内的信息、相册里存储的照片，记录用户的位置信息，甚至窃取用户支付软件的密码。笔者认为，根据利用恶意预装软件所窃取或非法获取的信息种类的不同，侵犯手机用户个人信息的行为可能构成侵犯公民个人信息罪和非法获取计算机信息系统数据罪。

根据我国《刑法》第253条第3款的规定，窃取或者以其他方法非法获取公民个人信息，情节严重的，构成侵犯公民个人信息罪。随着传统犯罪的网络异化，利用木马、病毒程序等手段窃取公民个人信息的活动日益猖獗，犯罪人往往利用盗号木马、后门病毒、假冒网站等窃取大量计算机用户个人信息牟取暴利[3]。因此，对于利用恶意预装软件窃取手机用户个人信息的行为可以适用侵犯公民个人信息罪，但需要注意犯罪对象“公民个人信息”的范围。根据2013年4月23日发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》第2条的解释，公民个人信息包括公民的姓名、年龄、有效身份证号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。可见，由于受犯罪对象的限制，并不是所有利用恶意预装软件窃取手机用户个人信息的行为都可以被认定为侵犯公民个人信息罪。

当非法获取的手机用户信息不属于公民个人信息时，其行为也可能构成非法获取计算机信息系统数据罪。根据我国《刑法》第285条第2款之规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域计算机信息系统以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，构成非法获取计算机信息系统数据罪。2011年8月1日发布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下称《计算机案件解释》)第1条对非法获取计算机信息系统数据罪的犯罪对象“计算机信息系统数据”作出了解释，包括：(1)支付结算、证券交易、期货交易等网络金融服务的身份认证信息；(2)除(1)项之外的身份认证信息。另外，此解释第11条将“身份认证信息”解释为用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。可见，非法获取计算机信息系统数据罪的犯罪对象被限定为“身份认证信息”，具体来说，这类身份认证信息主要包括支付结算、证券交易、期货交易等网络金融服务的身份认证信息，以及与这些身份认证信息类似的用于确认用户在计算机信息系统上操作权限的数据。

由于犯罪受对象的限制，侵犯公民个人信息罪的适用范围比较狭窄，公民个人信息必须是“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”，因此公民个人信息需具有两种特性之一：身份识别性或隐私性。对于身份识别性的理解，《关于依法惩处侵害公民个人信息犯罪活动的通知》对公民个人信息的列举可以提供一些帮助，因此利用恶意预装软件窃取在手机系统中存储、处理或传输的有效证件号码、电话号码、家庭住址等信息的行为构成侵犯公民个人信息罪是没有太多疑问的。问题在于第二种特性，即隐私性上。一方面刑法并没有对“隐私”的内涵作出解释，另外，不同个体对于隐私的理解也不同，因此当恶意预装软件窃取的用户信息并不属于身份识别性信息时，对这种行为的定性就会变得棘手。对于隐私权的内容已有学理论述，有学者认为隐私是指个人没有公开的信息、资料等,是公民不愿公开或让他人知道的个人的秘密[4]。另外，隐私权还可能表现为个人独处不受干扰、隐私不受侵害的权利[5]133。但现有的司法解释和学理解释都有不够周延之虞，譬如利用恶意软件获取手机用户行踪的行为能否被解释为侵犯公民个人隐私信息是存在疑问的。智能手机普遍拥有GPS功能，一些应用软件在运行时，手机用户的位置信息不可避免地被使用和分享，他人并不需要适用黑客技术就可以获得用户的位置信息。因此,即便一部分恶意预装软件在未获得用户授权的情况下获取了用户的位置信息，这种行为也难以被认定为“窃取”。

另外，《计算机案件解释》将《刑法》第285条第2款的犯罪对象限定为主要包括支付结算、证券交易、期货交易等网络金融服务的“身份认证信息”以及与这些身份认证信息类似的用于确认用户在计算机信息系统上操作权限的数据，如账号、口令、密码、数字证书等。可见,《刑法》第285条第2款所保护的数据主要是计算机信息系统内部的、侧重于信息系统自身功能维护的、以访问控制和身份验证为主要考虑的数据，其出发点是对信息系统功能的整体保护，没有关注具体的信息数据自身内容上的价值与保护的必要性[6]。有学者认为，计算机信息系统中存储、处理或者传输的数据，是指在计算机信息系统中实际处理的一切文字、符号、声音、图像等内容有意义的组合[7]814，如果依此解释，可受到刑法保护的数据类型会更加全面。但是，一方面此解释与现行司法解释相冲突，另外，过于宽泛也可能会导致类推。笔者认为，为了顺应计算机科学的发展以及满足大数据时代数据安全的需要，在立法和司法解释上对计算机信息系统数据的外延进行扩张是有必要的。

2.如何应对恶意预装软件对手机信息系统的干扰活动

恶意预装软件在劫持流量的过程中，会侵入手机信息系统，强行更改系统设置，很有可能破坏手机系统内的数据。对于利用恶意软件劫持网络流量行为的认定，我国已经有相关判例①的支持，笔者认为可以根据刑法和相关判例探究如何认定利用恶意预装软件干扰手机信息系统的行为。

根据刑法第286条的规定，破坏计算机信息系统罪的行为模式包括三种：(1)对计算机信息系统的功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行；(2)对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的操作；(3)故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行。在上述判例案件中，行为人使用恶意代码修改互联网用户路由器的DNS设置，从而导致用户上网时被引导到其指定的网站，无法正常上网，在这一过程中需要删改和干扰计算机DNS设置中的数据，因此这种行为是符合《刑法》第286条第2款规定的行为模式的。如果行为人通过恶意预装软件干扰手机系统的正常运行，达到情节严重的标准，亦可以认定为破坏计算机信息系统罪，需要注意的是，这种行为也可能构成《刑法》第255条所规定的非法控制计算机信息系统罪，进而产生竞合的问题。

司法解释并没有明确定义“非法控制”，但是《计算机案件解释》第2条第2款将“具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的”程序和工具解释为“专门用于非法控制计算机信息系统的程序、工具”，由此可以得出，“非法控制”的含义是避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制，申言之，“非法控制计算机信息系统”是指非法侵入计算机信息系统后通过控制计算机信息系统实施特定操作的行为[2]。恶意预装软件在修改DNS设置时，会绕过手机的安防系统，取得更改手机数据的权限，这一活动可以被认定为“非法控制计算机信息系统”，同时其也会破坏计算机信息系统，这就产生了竞合的问题。从法定刑来看，破坏计算机信息系统罪的法定刑高于非法控制计算机信息系统罪，如果利用恶意预装软件非法控制手机系统的行为同时破坏了手机系统，则应当从一重罪认定构成破坏计算机信息系统罪。

3.如何应对恶意预装软件成为其他犯罪活动的工具

由于恶意预装软件可以用来窃取计算机信息数据、破坏计算机信息系统，因此它很可能成为其他犯罪的工具。利用恶意预装软件进行犯罪活动可以分为两种情况，一种是行为人直接利用恶意预装软件进行犯罪活动，另一种是行为人向他人提供、为他人安装恶意预装软件，帮助他人实施犯罪活动，笔者认为这两种情况可以被《刑法》第287条第1款和287条之二涵摄。《刑法》第287条第1款规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚”，《刑法》第287条之二规定，“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的”构成帮助网络犯罪活动罪。就第287条第1款而言，应当认为这是一则注意规定，即便没有这一规定，利用计算机实施金融诈骗、盗窃、贪污等活动，也应当认定构成相应的犯罪,但它也没有将利用计算机实施犯罪活动的行为人限制为正犯，因此，无论是行为人直接利用恶意预装软件进行犯罪活动，还是行为人帮助他人实施犯罪活动，均可被《刑法》第287条第1款涵摄，需要注意的是，后一种情况还可能被《刑法》第287条之二涵摄。

《刑法》第287条之二第3款规定，帮助他人实施网络犯罪活动，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。“帮助他人实施网络犯罪活动，同时构成其他犯罪”指的一行为同时构成数罪情况，按照想象竞合原理依照处罚较重的规定定罪处罚。这种情况可以分为三种情形：(1)同时构成的其他犯罪法定刑重于帮助网络犯罪活动罪的法定刑，比如A帮助B安装恶意预装软件，B利用恶意预装软件进行诈骗，诈骗数额达到200万元人民币，由于诈骗数额特别巨大，因此应处B十年以上有期徒刑或无期徒刑，A同时构成数额特别巨大的诈骗罪和帮助网络犯罪活动罪。(2)同时构成的其他犯罪法定刑轻于帮助网络犯罪活动罪，比如A帮助B安装恶意预装软件，B利用恶意预装软件向手机用户投放虚假广告，情节严重因而构成虚假广告罪，应处B两年以下有期徒刑或拘役，A同时构成虚假广告罪和帮助网络犯罪活动罪。(3)同时构成的其他犯罪法定刑轻于帮助网络犯罪活动罪的法定刑，比如A帮助B安装恶意预装软件，B利用恶意预装软件进行诈骗犯罪,诈骗数额为2万元人民币，仅构成数额较大的诈骗罪，因此应处B三年以下有期徒刑、拘役或者管制，A同时构成数额较大的诈骗罪和帮助网络犯罪活动罪。在情形(1)中，依据《刑法》第27条的规定，应当对构成诈骗罪的A从轻、减轻或免除处罚，从刑度上看，无论是从轻还是减轻处罚，都应当依照(数额特别巨大的)诈骗罪对A定罪处罚，另外由于帮助网络犯罪活动罪法定刑的限制，显然不能对其免除处罚。在情形(2)和情形(3)中，帮助网络犯罪活动罪的法定刑都是较高的罪名，似乎在这两种情形中应当依照帮助网络犯罪活动罪对A定罪处罚，但是，考虑到共犯从属性原则，这种结论是违反罪刑相适应原则的。因此，应当对第287条之二第3款作限制解释，将第3款中“同时构成其他犯罪”限定为法定刑高于本条第1款的犯罪[8]1055。综上，笔者认为，如果行为人直接利用恶意预装软件实施其他犯罪活动，则应当依据《刑法》第287条第1款之规定，认定行为人构成所实施的相应罪名；如果行为人向他人提供、为他人安装恶意预装软件及帮助他人实施犯罪活动同时构成了帮助网络犯罪活动罪以及所帮助的犯罪，在所帮助的犯罪法定刑高于帮助网络犯罪活动罪的情况下，也应依照《刑法》第287条第1款之规定，认定行为人构成所帮助的相关罪名；在其他情况下，则可以认定行为人构成帮助网络犯罪活动罪。

注 释：

①2015 年 5 月 20 日我国首例流量劫持案在上海市浦东新区人民法院宣判。在本案中，被告人付某、黄某租赁多台服务器，使用恶意代码修改用户路由器的DNS设置，进而使用户登录“2345.com”等导航网站时，强制跳转至其设置的“5w.com”导航网站。两人再将获取的互联网用户流量出售给“5w.com”导航网站所有者，杭州久尚科技有限公司，两名被告人短时间内违法所得高达75万余元人民币，法院依照《刑法》第286条之规定，认定两被告人构成破坏计算机信息系统罪。可参见“上海浦东法院判决中国大陆首例流量劫持刑案”，北大法宝网2015年11月11日发布，http://www.pkulaw.cn/case/pal_21110623260320691.html?keywords=%E6%B5%81%E9%87%8F%E5%8A%AB%E6%8C%81&match=Exact.

[1]张彬彬.手机预装软件的法律规制[J].上海政法学院学报,2014(5).

[2]叶良芳.刑法教义学视角下流量劫持行为的性质探究[J].中州学刊,2016(8).

[3]于冲.侵犯公民个人信息犯罪的司法困境及其解决[J].青海社会科学,2013(3).

[4]王利明.隐私权内容探讨[J].浙江社会科学,2007(3).

[5]王泽鉴.侵权行为法:第1册[M].北京：中国政法大学出版社,2001.

[6]于志刚,李源粒.大数据时代数据犯罪的制裁思路[J].中国社会科学,2014(10).

[7]陈兴良.规范刑法学[M].北京:中国人民大学出版社,2008.

[8]张明楷.刑法学[M].北京:法律出版社,2016.

【责任编辑：李维乐】

2016-12-20

中国政法大学研究生创新实践活动资助项目“关于手机预装软件问题的刑法学研究”(编号：2015SSCX134)。

吕绳(1994—)，男，河南商丘人，硕士生，主要从事中国刑法研究。

DF6

A

1672-3600(2017)05-0096-04