提供侵入、非法控制计算机信息系统程序、工具罪的司法认定
2018-02-07梁燕宏
文◎易 琦 梁燕宏
一、基本案情
钟某自学编程语言制作了 “疯狗短信轰炸机”软件,该软件利用有漏洞的网站,在短时间内向目标手机号码发送大量验证码短信,进而达到轰炸、骚扰的目的。轰炸软件制作成功后,钟某通过“疯狗短信轰炸官网”、百度贴吧以及论坛等平台发布信息,进行推广、销售。至案发,钟某共计销售“疯狗短信轰炸机”七百余人次,销售金额十万余元。
钟某某与钟某系堂兄弟关系。为牟利,钟某某开始参与“疯狗短信轰炸机”软件的推广销售。钟某还专门制作了与“疯狗短信轰炸机”有类似功能的“无情短信轰炸机”交由钟某某进行网上售卖。至案发,钟某某共计销售上述软件80余人次,销售金额四千余元。
某公司发现短信注册平台被恶意利用,在5天时间内对三千余个手机号码发送了二十余万条短信,为此支付短信费用达人民币一万余元,遂向公安机关报案。公安机关经侦查后将钟某、钟某某抓获归案。
二、分歧意见
提供用于侵入、非法控制计算机信息系统的程序、工具罪是刑法修正案(七)增设的罪名。为便于此类案件的法律适用,2011年8月,最高人民法院、最高人民检察院出台了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)。但在具体的案件办理中,该罪的认定仍有诸多疑难问题。本案中,对于钟某等人是否构成提供侵入、非法控制计算机信息系统的程序、工具罪,就有分歧。认为不构成该罪的理由是:本案中,钟某研发制作的这款轰炸软件,仅是利用有漏洞的网站发送验证码,这种利用尚未达到“侵入”的程度,更谈不上“非法控制”;报案的网站不属于“计算机信息系统”;验证码短信不属于“计算机信息系统数据”。笔者认为本案罪与非罪之争的核心是该罪的司法认定标准问题。
三、评析意见
办理此类危害计算机信息系统安全的犯罪,首先要了解涉案软件的工作原理。本案中,钟某研发制作的这款轰炸软件,其主要功能是短信轰炸。其原理是该软件运行后,可侵入漏洞网站后台,自动循环提交注册信息,避开网站设置的60秒内不重复发送验证码等限制,迫使网站在短时间内发送大量验证短信至目标手机号码,进而恶意骚扰目标手机号码用户。短信轰炸所侵入的有漏洞网站指的是有些网站对注册手机发送验证信息没有次数限制;有些网站注册网页不需要输入图片验证码等。具备这样特征的网站就可能被钟某利用。
根据《刑法》第285条之二的规定,提供侵入、非法控制计算机信息系统的程序、工具罪是指提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的行为。该罪的犯罪构成要件中,主客体要件均无争议。要准确适用法律,对案件的罪与非罪做出正确判断,关键在于对客观要件和主观要件的理解。
(一)客观要件中几个关键词的理解
1.计算机信息系统
《解释》第11条给出了“计算机信息系统”和“计算机系统”的定义,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。本案中,我们需要判断的是网站是否属于计算机信息系统。从用户的角度来看,用户通过浏览器所看到的画面是网页,而网站是由单个或多个网页集合而成的。从管理者的角度来看,网站基本的组成包括域名、空间服务器、网站程序、数据库等。本案中被侵入的网站均是拥有注册功能的企业门户网站,这些网站均具备自动处理数据的功能,均属于计算机信息系统。
1994年国务院出台了 《计算机信息系统安全保护条例》,该条例第2条明确了计算机信息系统的定义,是指由计算机及其相关的和配套的、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。前述《解释》第11条的定义无论内涵还是外延均广于条例的规定。这不难理解。因为随着计算机信息技术的发展,数据的存储、处理方式和能力都在发生着日新月异的变化,而网络终端设备的多样化,带来网民数量的快速增加。据中国互联网络信息中心2017年8月4日发布的统计报告显示[1],截至2017年6月,中国网民规模达到7.51亿,占全球网民总数的五分之一。手机网民数量达7.24亿,占比96.3%,中国网站数量达到506万个。网络已完全融入了人们的生产和生活,这使得网络安全的重要性日益凸显。立法者希望更有效地保护计算机信息系统的安全,对网络犯罪行为进行更合理地规制,必然会尽可能地把需要保护的对象纳入到保护范围中来。因此,本文认为,大到整个网络,小到个人主页,只要是具备自动处理数据功能的系统,均应属于计算机信息系统,纳入刑法保护的范围。
2.侵入、非法控制
“侵入”计算机信息系统行为是指通过终端设备对他人的计算机信息系统进行非法访问,或者对其进行数据截收的行为[2]。 “侵入”行为比较常见的有这样几种表现形式:一是盗取他人访问密码,冒充合法用户实施侵入;二是合法用户越权访问;三是利用技术手段进入本无权进入的计算机系统,比如破解保护措施,或者利用计算机系统的漏洞,从而侵入计算机及其相关设备;四是通过 “陷阱门”、“后门”进行非法入侵。
具体到本案,根据钟某的供述以及在其电脑中找到的源代码,可对短信轰炸机迫使网站短时间内发送多条验证短信的方式作如下表述:其先发送“POST”命令至该网站,即从本地数据发送一个注册要求到服务器,然后通过“GET”命令实现服务器数据发送到本地的数据读取。在这个过程中,其使用抓包软件抓取信息,从而获知后台运行数据,然后避开后台设置的限制,循环提交注册要求,服务器就会循环发送验证码到注册手机号码。该软件的“侵入”性主要体现在这一过程中。短信轰炸机在运行中并非从客户端正常访问网站,而是从本地绕开安全保护措施,直接提交注册信息至网站的服务器,这样就避开了网站设置的规定时间内不能重复注册、图型验证等安全保护措施,符合《解释》第2条“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”的表述。服务器接收到注册请求后返回的验证码正是计算机信息系统数据,这个数据被软件使用者获取,直接发送到了目标手机号码。由于该数据对于实际未注册的被骚扰人来说是没用的信息,也就成为了垃圾信息,但不能因此判定数据无意义。对于注册用户来说,没有正确的验证码是无法完成注册的。
所谓“非法控制”,比较常见的是行为人利用网站漏洞将木马植入到网站上,在用户访问网站时利用客户端漏洞将木马移植到用户计算机上,或在互联网上传播绑有木马的程序或文件。当用户连接到互联网上时,该程序就会通知黑客,来报告IP地址以及预先设定的商品。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改他人计算机的参数设定、复制文件、窥视他人硬盘中的内容等,从而达到控制他人计算机的目的[3]。行为人的目的在于控制,让他人计算机接受自己的指令。据此,本文认为,“非法控制”是指通过各种技术手段使他人计算机信息系统处于行为人的掌控之中,接受行为人发出的指令,完成相应的操作活动。本案中,钟某的主要目的在于获取验证码,并非控制网站,更没有实施破坏行为。破坏计算机信息系统罪要求违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重。显然在本案中“疯狗轰炸机”并非病毒,它并不是直接攻击网站,也没有删除、修改、增加数据的功能,更没有造成网站不能正常运行的后果。所以该罪名不予考虑。
从其不断寻找有漏洞网站,以替代发现漏洞予以完善的网址这一点来看,钟某等人的行为仅是侵入,并未达到非法控制的程度。
3.专门
本罪的罪状表述包含两个部分,因此,这类程序、工具也有两种。
一种是对应前半部分,即“提供专门用于侵入、非法控制计算机信息系统的程序、工具”。“专门”是对程序、工具本身的用途非法性来进行限定的,是指行为人所提供的程序、工具是专门用于违法犯罪目的,而不包括那些既可以用于违法犯罪目的又可以用于合法目的的“中性程序”。具体到本案,钟某开发制作的这款软件的功能就是“轰炸”,即通过短时间内多次发送信息的方式干扰他人正常生活。对此,我国《治安管理处罚法》第42条第5款明确将其规定为违法行为。除此以外,该款软件没有其他的用途。因此,符合“专门”性的要求。
另一种程序、工具对应罪状表述的后半部分,即“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”。这种程序、工具有其他用途,但也可用于侵入、非法控制计算机信息系统。此时,这种程序、工具不以专门性为必要,可以是具有其他正当用途,但在不当使用时即会产生危害后果。
区分上述两种程序、工具的意义在于被提供者是否实际使用对犯罪成立的影响。本文认为,对于“专门”性的程序、工具,行为人在设计、制作该程序时,主观恶性明显,例如病毒,盗号软件等,这些程序、工具的存在,本身就对信息网络的安全造成严重威胁,严重扰乱社会管理秩序,有必要予以刑事打击。故只要行为人将该程序、工具提供给他人,达到《解释》要求的人次等标准,即使没有证据证实被提供者实际使用,也不影响犯罪的成立。而对于“中性程序”,只有收集到足够的证据证实被提供者实际使用,且用于违法犯罪行为,才能认定提供者构成本罪,否则很难判定提供行为具有严重的社会危害性。
4.提供
“提供”是指向他人供给,既包括出于营利目的的有偿供给,如本案中的网上销售;也包括不以营利为目的的免费供给,比如将程序贴在网上供人免费下载。既包括向特定对象提供,也包括向不特定的社会公众提供。本案中钟某等人就是以营利为目的,通过网上销售的方式,有偿地将这种程序提供给不特定的社会公众。
(二)主观要件的理解
有观点认为,提供侵入、非法控制计算机信息系统程序、工具罪在犯罪的主观方面不仅限于直接故意,还应当包括间接故意的情形[4]。本文认为,该罪的主观方面只能是直接故意,不可能出于间接故意或者是过失的心理态度。对此,可以结合行为人对“提供”行为的主观意志来分析。
如前所述,“提供”就是行为人将上述程序、工具有偿或无偿地交给他人。行为人对于交付物显然是有一定认识的。前文也分析了该罪状中包括两类程序、工具。对于“专门”性工具而言,由于它的“专门”性,作为个中高手的行为人很清楚其功能和用途,也就当然明知他人使用这些工具、程序去实施何种行为。对于“中性程序”,行为人需明知他人可能实施违法犯罪行为,但被提供者可能实施违法犯罪活动,也可能不实施。只有被提供者实际将该程序、工具用于违法犯罪活动,行为人的提供行为才有社会危害性和刑事可罚性。此时行为人“明知”的内容只要有概括认识即可。就“提供”行为本身来说,行为人当然是直接故意。对于行为人主观方面的证明,可结合其供述以及客观行为表现来综合判定。综上,本文认为提供侵入、非法控制计算机信息系统程序、工具罪在犯罪的主观方面只能是直接故意。
(三)情节严重的把握
本罪为情节犯,只有情节严重的才构成犯罪。根据《解释》第3条第2项、第5项的规定,提供二十人次以上;违法所得五千元以上或者造成经济损失一万元以上属于情节严重。加重犯与基本犯在情节方面的倍比关系是五倍。本案中,钟某提供人次达七百一十五人次,违法所得达十万余元,两项均属情节特别严重。钟某某提供人次达八十人次,这一项达情节严重标准。
《解释》对于 “情节严重”、“情节特别严重”采取列举方法作出了相应的解释规定。但司法解释不可能穷尽现实中各种复杂情 形,在处理具体案件时应当在司法解释的基础上,结合立法原意以及案件的各种主、客观情节对“情节严重”作出综合性的判断。
(四)其他分歧意见及评析
就本案而言,还有以下几种分歧意见,在此一并评析:
第一种意见从网站损失短信费用的角度,认为构成盗窃罪。根据某网站平台的报案材料,仅仅五天的时间,其平台被恶意发送短信达二十余万条,短信费用为每条五分钱,共损失短信费一万余元。而反观钟某,其要实现短信轰炸的功能,就要发送短信到目标手机号码,发送短信就会产生费用,而本应由钟某支付的短信费改由平台支付,这些费用是在平台完全不知情的情况下被偷偷用掉的,因此构成盗窃罪。但本案中钟某对网站损失的短信费用并没有非法占有的目的,这些费用也没有进入他的口袋。钟某实施犯罪行为的主要目的并不在于获取短信费用,而在于出售软件牟利。如果说钟某由此节省了犯罪成本,所谓“省下的就是赚到的”。 那么就有了第二个理由:钟某辩解称并不知道网站会为此支付费用或者支付多少费用。钟某侵入网站的方式简单粗暴,多数网站在被侵入后很快就会发现并修复漏洞,或是没有费用,或是有费用但不多。此外,智能手机的普及应用极大地改变了人们的交流方式,如今使用手机发送短信的很少,基本都是通过QQ、微信等各种即时聊天工具来沟通联系。而且短信有各种包月、赠送,有些几乎就是免费。如果认定为盗窃,其犯罪数额就会由网站的修复速度、短信平台的资费标准、包月情况等来决定。这显然不能成立。
第二种意见注意到了该软件的主要功能,认为构成寻衅滋事罪。如今手机几乎成为人的体外器官,人人机不离手。短时间内接收到大量的短信和电话,会使人心情烦躁,影响正常的工作和生活。这种骚扰符合寻衅滋事罪无事生非的特点,因此构成寻衅滋事罪。然而,通过钟某等人与购买者的聊天记录可以看到,买“疯狗轰炸机”的人去骚扰哪个人是由其自行将目标手机号码填写进用户界面的,这一点钟某等人并不掌握。而且购买者是出于什么目的骚扰对方,是敲诈勒索,是无事生非,是打击报复,还是想引起注意,甚至只是朋友间的玩笑,购买者也并不告知钟某。钟某主观上虽然明知其开发的“疯狗轰炸机”主要功能是骚扰,但其与购买者之间并未就软件用途达成合意。
第三种意见从出售软件的角度,考虑非法经营。非法经营的几种行为一一与钟某所实施的行为相比较,不难发现假如这个软件没有利用有漏洞的网站,不是为了骚扰的目的,其实他的出售软件行为本身并没有被苛责的地方。而软件本身的问题又不是非法经营所规制的比如专营、专卖物品或者其他限制买卖的物品。其行为本身也未扰乱市场秩序,将其归入破坏市场经济秩序一类的犯罪终归不妥。
注释:
[1]参见第40次《中国互联网络发展状况统计报告》发布http://cnnic.cn/gywm/xwzx/rdxw/201708/t20170804_69449.htm,访问日期:2018年1月2日。
[2]参见侯帅:《狭义计算机犯罪各罪研究》,载《三峡大学学报》2014年第6期。
[3]参见周道鸾、张军主编:《刑法罪名精释》第四版(下),人民法院出版社2013年版,第705页。
[4]参见孙中梅、赵康:《试论提供用于侵入、非法控制计算机信息系统的程序、工具罪的实然适用与应然展望》,载《中国检察官》2012年第1期。