购买
下载掌阅APP,畅读海量书库
立即打开
畅读海量书库
扫码下载掌阅APP

5 利用系统漏洞制作的网络爬虫程序入罪审查
——袁某某、赖某某提供侵入计算机信息系统程序案

【案件基本信息】

1.裁判书字号

江苏省苏州市中级人民法院(2021)苏05刑终144号刑事裁定书

2.案由:提供侵入计算机信息系统程序罪

【基本案情】

2019年8月、9月,被告人袁某某、赖某某通过网络平台以人民币7500元的价格向苏州市某电话营业厅实际经营者计某某及员工付某某出售了一款爬虫软件,该软件根据计某某、付某某的要求定制,具有根据输入的查询请求头与渠道身份标识号(以下简称ID),模拟生成网页请求包,突破原本登录工号的权限,实现获取不同渠道ID权限内数据的功能。制作过程中,由被告人袁某某作为中间人,与计某某、付某某议价,了解定制要求,并将技术要求和细节转述给被告人赖某某,由被告人赖某某具体负责软件制作,制作完成后,由被告人赖某某将涉案软件发送给被告人袁某某,由被告人袁某某交付给付某某。被告人袁某某得款7500元,并将其中1500元分配给被告人赖某某。软件交付后,付某某利用该软件从某云平台系统中获取了大量电信宽带工单信息。

【案件焦点】

1.案涉爬虫软件是否属于“专门用于侵入计算机信息系统的程序”;2.被告人袁某某、赖某某主观明知的认定。

【法院裁判要旨】

江苏省苏州市姑苏区人民法院经审理认为:行为人利用系统漏洞制作的案涉爬虫程序,能够避开系统以身份验证手段设置的安全防线,使系统误以为系合法权限,而发送对应渠道ID下、非登录账户权限下数据,故应认定案涉爬虫程序“具有避开计算机信息安全保护措施,超越授权获取计算机信息系统数据的功能”,即属于“侵入计算机信息系统的程序”。

案涉爬虫程序根据买家要求定制,袁某某、赖某某清楚设计要求及运行原理,二人作为专业人士,对程序运行效果应有超越一般人的主观认知,对于使用该程序后可避开计算机信息系统安全防御获得超越原工号权限数据主观上至少应评价为明知而放任。被告人袁某某、赖某某共同提供专门用于侵入计算机信息系统的程序,情节严重,其行为均已构成提供侵入计算机信息系统程序罪。

江苏省苏州市姑苏区人民法院依照《中华人民共和国刑法》第二百八十五条第三款,第二十五条第一款,第二十六条第一款、第四款,第五十二条,第五十三条,第六十四条;《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条第一款第一项,第三条第一款第五项之规定,作出如下判决:

一、被告人袁某某犯提供侵入计算机信息系统程序罪,判处有期徒刑六个月,并处罚金人民币1万元;

二、被告人赖某某犯提供侵入计算机信息系统程序罪,判处有期徒刑六个月,并处罚金人民币1万元。

一审宣判后,被告人赖某某提出上诉。二审审理中,上诉人赖某某申请撤回上诉。江苏省苏州市中级人民法院依照《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第三百零五条第一款、第三百零八条之规定,作出如下裁定:

准许上诉人赖某某撤回上诉。

【法官后语】

在数字化转型的大格局下,“数据”已跃升为与土地、劳动、知识并驾齐驱的关键生产要素。网络爬虫作为一种重要的数据收集手段,在提高数据利用的精准性、便捷性的同时,也面临技术滥用带来的各种风险。在特定的技术运用场景下,对网络爬虫的入罪审查应判断:客观上爬虫是否突破数据安全保护措施,包括直接突破和间接避开,后果上网络爬虫是否“未经授权”或“超越授权”获取数据,以及主观上行为人是否具有故意。本案中,突出在下列争议的认定:

(一)系统漏洞能否成为出罪事由——不法性的审查

网络爬虫入罪建立在对计算机信息系统非法访问的基础上,核心在于避开或者突破计算机信息系统的安全保护措施,对计算机信息系统安全构成威胁。本案中,行为人利用普通账户登录计算机信息系统,修改“渠道ID”,获取对应渠道数据,实际上系利用计算机信息系统漏洞,获取数据的行为。在审查计算机系统安全保护措施方面,相比于“突破性”的侵入行为,利用“系统漏洞”实施爬取行为,违法手段更为隐蔽,“系统漏洞”能否成为行为人的免责事由?

从形式上而言,评价是否“避开或者突破计算机信息系统安全保护措施”的前提,在于系统开发者是否设置安全保护措施,而显然,对账户设置登录验证的方式,已然确立了对应权限数据的安全保护措施。行为人利用普通账户实现合法登录,而后利用后台修改参数,所获取的其他账户资源,明显超过了原授权数据范围,系“平行越权”行为,所以对行为人利用系统漏洞,绕开系统安全防护的行为,应当评价为“避开”安全保护措施的行为。从后果上而言,行为人利用网络爬虫程序,获取了“超越授权”爬取数据的客观结果。所以应将利用系统漏洞,实现避开计算机信息系统安全保护措施,超越授权获取计算机信息系统数据功能的爬虫程序,认定为“侵入计算机信息系统程序”。同时,因购买人具有违法使用的故意并实施了相关违法行为,提供者实质上起到了帮助作用,对提供者以提供侵入计算机信息系统程序罪评价。

(二)行为人主观明知的认定

行为人尤其是纯粹提供技术帮助的人员,常以不知晓网络爬虫使用后的危害结果或是误以为合法用途为由,否认其具有刑法上的主观明知。对此,可从以下层面辨明:一是,从程序客观运行效果上,网络爬虫是否具有上述避开或突破计算机安全防护,未经授权或者超越授权获取数据的功能,即遵循主客观相一致的认定原则,以客观印证主观,与此同时,因行为人系程序的设计者、开发者,其对程序的客观运行结果应具备高于一般人的认知能力,对程序的运行结果可依据客观运行效果依法认定。二是,程序提供者的审慎义务,即行为人在设计、提供程序的过程中,对购买方提出的要求至少需要根据日常生活经验法则进行基本的合法性判断,包括通过对对方身份、合同缔约形式、程序制作内容等基本的合法性进行审视,不能一味逐利而不考虑行为后果,引起行业普遍风险(本案中尽管购买人具有特定的身份,但从程序制作要求来看,购买人的要求实则超越了合法身份的权限,行为人对此亦能判断,故该情况下,行为人提出的合法性辩解,不能成立)。三是,从明知的程度来看,明知应包括确知和应知,确知是指行为人对网络爬虫的功能、行为性质和危害结果有清晰认识;应知是指行为人根据其经验、认知水平等因素,按照逻辑法则,其理应知晓网络爬虫行为的性质和危害后果,属于概括的犯罪故意,即行为人依据专业或常识能意识到该行为的性质或危害结果。结合以上,在案件中对行为人提出的主观方面辩解进行审查。

在实践的发展中,我们对网络爬虫技术运用层面、数据使用层面刑事责任风险认识不断深入。在数字产业发展和数字安全维护的平衡中,我们应当细化审定网络爬虫的入罪标准以及与关联犯罪的区分界限,为技术的合法运用划定法律红线,为技术的开发提供更广阔的平台空间。

编写人:江苏省苏州市姑苏区人民法院 姚梦悦 aWqwu63sq1h1QuvVv8D6REpOIuTpoEomkeT1D0fZnv07hGS5jWDdsxt66yw+YjWp

点击中间区域
呼出菜单
上一章
目录
下一章
×