裁判要旨及扩展
1. 下家购买用于侵入计算机信息系统软件后实施“薅羊毛”行为给被害单位单位造成的经济损失,不宜认定为被告人行为给被害单位造成的直接经济损失,为此应当依据被告人开发、出售侵入计算机信息系统软件的违法所得作为衡量量刑档次的客观依据。
2. 涉案软件具有破解被害单位APP软件的加密算法和通信协议的功能,通过伪造手机型号、手机IMEI号、按照被害单位APP底层通信协议进行虚假的数据加密等方式,绕开被害单位后台服务器的通信加密检测,避开后台服务器的手机设备识别检测,使不法分子得以伪装成正常的实体手机用户和被害单位后台服务器之间进行数据响应与数据交换,最终实现薅羊毛功能。为此,涉案软件明显具有避开或者突破被害单位APP以及架设的后台计算机信息系统的安全保护措施,且未经授权非法获取被害单位后台计算机信息系统服务数据的功能,应属于专门用于侵入计算机信息系统的工具。
基本案情
2018年12月,被告人古某某、李某某二人通过网络结识并经事先商议,由古某某编写名为水滴子的计算机软件(其中包含翼支付重置双密软件、翼支付加入常用设备软件、翼支付扫商家二维码软件等一系列应用程序)并架设远程服务器用于软件的日常运营,李某某负责通过QQ及微信将古某某开发的水滴子软件销售给他人,所售钱款二人均分。该款名为水滴子的软件可供他人在计算机环境中运行,同时使用数量巨大的手机卡针对被害单位天翼公司旗下翼支付APP及平台批量生成电子参码、手机型号等数据,从而模拟出正常翼支付用户进行注册、登录、修改密码、扫描商家二维码等操作,进而实现虚假交易套取天翼公司营销立减、代金券交易等活动的营销资金。
现经查明两名被告人于2018年12月间,通过网络向祁某(已判决)出售水滴子软件,非法获利人民币5,000元。两名被告人又于当月,通过网络向徐某某(已判决)出售水滴子软件,非法获利人民币1,000元。
核心争议
一、被告人古某某开发、被告人李某某出售水滴子软件的行为与下家购买水滴子软件后实施薅羊毛行为造成天翼公司经济损失之间的关系
被告人古某某、李某某及其各自辩护人均提出两名被告人对下家购买水滴子软件后骗取被害单位天翼公司优惠让利的行为并不明知,且因下家的诈骗犯罪行为导致天翼公司的利益损失,与其开发、出售水滴子软件行为之间不具有直接因果关系,故不应由其承担后果的辩解及辩护意见,经查,首先,被告人古某某、李某某虽在公安机关侦查阶段均有过相应供述,即他们明知下家祁某、易某某、徐某某等人购买水滴子软件,是为了参与翼支付APP平台返利优惠活动时可以薅羊毛,但在庭审阶段,上述被告人均予以明确否认,表示因水滴子软件还有其他用途,故他们并不明知下家购买软件的目的就是为了薅羊毛从而造成天翼公司经济损失。其次,虽然被告人古某某开发、被告人李某某出售的水滴子软件具有针对翼支付APP平台及其后台服务器非法侵入、非法获取计算机信息系统数据的各项功能,但显而易见,造成天翼公司经济损失的直接原因确系下家购买该软件后,非法使用该软件对翼支付平台实施薅羊毛的诈骗犯罪所造成。故综合以上两点,从有利于被告人原则出发,上述薅羊毛行为所造成的天翼公司经济损失,不能认定为被告人古某某、李某某提供水滴子软件给被害单位造成的直接经济损失。故被告人古某某、李某某的辩解及其各自辩护人的辩护意见与事实和法律相符,本院予以采信。
二、关于本案量刑档次的确定
根据最高人民法院、最高人民检察院颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第三条第(五)项之规定,确定提供侵入、非法控制计算机信息系统的程序、工具罪的量刑档次,其中包含了违法所得或者造成经济损失等两个标准。具体到本案而言,如前所述,被告人古某某、李某某不应承担被害单位相关经济损失的直接责任,故本案量刑档次的确定不应以下家祁某、徐某某、易某某等因诈骗犯罪行为给天翼公司造成的经济损失作为量刑档次衡量依据,而应以被告人古某某、李某某的开发、出售水滴子软件的违法所得作为衡量量刑档次的客观依据。而在确定上述被告人违法所得的具体金额时,本案存在三种不同的金额认定方式,即第一种标准,被告人古某某所供述的对半的销售分成款人民币16,000元,换言之,被告人古某某和被告人李某某的共同违法所得款为人民币32,000元;第二种标准,被告人李某某所供述的销售违法所得共计人民币5,000元;第三种标准,即现已查证的下家祁某、徐某某、易某某为购买水滴子软件实际支付的金额,其中被告人古某某和李某某共同出售给祁某、徐某某后非法所得人民币6,000元,被告人古某某单独出售给易某某后非法所得人民币3,000元。在上述三种标准中,宜以第三种标准作为衡量和确定本案量刑档次的依据,其理由在于,确定该标准,既符合证据发生疑问时应做有利于被告人处理的刑诉法原则,同时亦有相应的证人证言、《微信聊天记录》《转账记录》《转账截图》等主客观证据相印证,故更具合理性。故本案中,被告人古某某的违法所得金额应为人民币9,000元,而被告人李某某的违法所得金额应为人民币6,000元,均应依法认定为情节严重的量刑档次。
三、本案相关司法鉴定意见的法律效力问题
被告人古某某辩护人提出本案中由天翼公司相关人员送交司法鉴定的水滴子软件检材来源不明、提取、收集程序未经法定程序且委托鉴定程序违法,故应认定有关司法鉴定意见无效的辩护意见。对此,本院经审查后认为,首先,根据证人孟某某的证言及提供的《微信转账记录》《微信聊天记录》显示,送交上海辰星电子数据司法鉴定中心进行功能鉴定的水滴子软件系由证人孟某某向被告人李某某购买所得,其来源清晰、真实、客观;其次,我国现行法律、行政法规、部门规章并未明确禁止除办案机关以外的单位可以将合法获取的证据交由有资质的司法鉴定机构进行鉴定。相反,在本案做鉴定时仍有效的《上海市司法鉴定管理实施办法》中第八条明确规定,委托鉴定的主体可以包括其他单位和社会团体;第三,在本案中为查明水滴子软件的功能特性,本院依法要求相关司法鉴定人员及相关证人出庭作证,就水滴子软件的功能原理、技术特性等做了当庭质证,其所做当庭陈述意见与天翼公司委托司法鉴定所得鉴定意见相一致,而该证据显然系经法定程序取得,故而合法有效;最后,由上海市公安局虹口分局依法委托上海辰星电子数据司法鉴定中心所做的司法鉴定意见证实从公安机关依法扣押的李某某电脑中调取的水滴子软件与天翼公司委托上海辰星电子数据司法鉴定中心鉴定的水滴子软件在函数、程序调用、程序块、程序跳转和程序指令5个方面的相似度为100%,即两者具有高度一致性,更印证了天翼公司委托司法鉴定机构所做鉴定意见的合法性、真实性和关联性。综上,本院认为,本案所涉及的两份司法鉴定报告均为真实、合法、有效,可以作为证据采纳。故被告人古某某辩护人所提出的辩护意见与法律不符,本院不予采纳。
四、关于本案指控罪名的准确性问题
被告人古某某的辩护人提出本案指控的罪名系提供侵入计算机信息系统工具罪,其中的犯罪对象按照刑法规定的逻辑规范和体系解释原则,应限定于侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,而本案中的水滴子软件所针对的计算机信息系统属于商业开发领域的计算机系统,显然不涉及该三种特定领域,故公诉机关的指控罪名不当。对此,本院认为,首先,最高人民法院、最高人民检察院颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条中规定:具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的专门用于侵入、非法控制计算机信息系统的程序、工具:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。在该条款中,司法解释已对专门用于侵入、非法控制计算机信息系统的程序、工具做出了专门性解释,按照体系解释的原则,其中的侵入行为主要是指第(一)项具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能,而此处对计算机信息系统的范围并未做任何限制。其次,在该司法解释第三条中规定:提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的情节严重:(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的。从该条司法解释的规定来看,同样没有限定侵入的计算机信息系统范围。最后,从立法背景来看,《刑法修正案(七)》增设了刑法第二百八十五条第三款,将非法侵入计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统共同犯罪中的提供工具行为独立化,单独规定为犯罪,并配置了独立的法定刑。在此背景下,对于明知他人实施侵入(包括通过侵入计算机信息系统实施的非法获取数据)、非法控制计算机信息系统的违法犯罪行为,而为其提供程序、工具的,无论是否构成共同犯罪,应分别以提供侵入计算机信息系统的程序、工具罪论处和提供非法控制计算机信息系统的程序、工具罪论处。综上,公诉机关指控的罪名准确,被告人古某某辩护人提出的相关辩护意见与法律不符,本院不予采纳。
五、关于水滴子软件是否属于专门用于侵入、非法控制计算机信息系统的工具的界定
被告人古某某的辩护人提出被告人古某某所开发的水滴子软件因没有避开或者突破计算机信息系统的安全保护措施,且没有非法获取数据和控制计算机信息系统的功能,故不属于专门用于侵入、非法控制计算机信息系统的工具的辩解。对此,本院认为,首先,被告人古某某的供述笔录及当庭供述,可以证实开发水滴子软件的过程,系其用相关软件对翼支付APP软件进行技术分析,然后用反编译工具破解翼支付APP软件的加密算法,才写出了水滴子软件,这样就可以在电脑上实现模拟手机客户端在翼支付APP平台上进行一系列批量化操作的功能。其次,被害单位天翼公司出具的《情况说明》,证实该公司技术人员对水滴子软件通过逆向分析发现,该软件能够实现伪造、模拟该司翼支付手机客户端采集的用户信息,并利用该伪造信息,欺骗或绕过该司风控及安全校验,非法访问该司后台数据接口,从而进行查询、修改及交易等操作功能,严重影响了该司后台数据安全,达到辅助其他不法分子非法套取该司营销资金的风险。第三,证人孟某某的证言,证实其公司发现网上有人通过非法破解其司开发的翼支付客户端的通信协议、加密算法,获取原始报文数据后,制作水滴子电脑软件,模拟客户端私自调用该司接口、修改后台数据,进行批量操作,模拟成正常用户进行注册、登陆、修改密码,参与其司开展的营销立减、代金券交易等活动,骗取该司营销活动资金,造成巨额经济损失。最后,上海辰星电子数据司法鉴定中心出具的《司法鉴定意见书》、上海市公安局虹口分局提供的《鉴定聘请书》及司法鉴定人蔡某某、证人吕某当庭所做的证言,证实水滴子软件中的翼支付重置双密软件。exe程序文件具有修改翼支付手机客户端的账号登录密码的功能;翼支付加入常用设备软件。exe程序文件具有向翼支付平台的数据库中插入数据的功能;翼支付扫商家二维码软件。exe程序文件具有对翼支付手机客户端的批量账号进行扫描二维码并扣款交易的功能。上述证据经当庭质证,均能够相互印证,足以形成证据锁链,证实被告人古某某在明知天翼公司所开发的翼支付APP软件及天翼公司后台服务器的响应过程仅能针对真实实体手机用户的正常申请情形下使用,仍故意开发可以绕开天翼公司安全防护措施,实现脱离实体手机环境、在电脑环境下使用的水滴子软件。具体而言,该软件因破解了前端翼支付APP软件的加密算法和通信协议,实现了通过伪造手机型号、手机IMEI号、按照翼支付底层通信协议进行虚假的数据加密等方式,绕开了天翼公司的安全防护措施,具体包括了避开天翼公司后台服务器的通信加密检测和避开了天翼公司后台服务器的手机设备识别检测,从而使得犯罪分子得以伪装成正常的实体手机用户和被害单位天翼公司后台服务器之间进行数据响应与数据交换,最终实现薅羊毛功能,因此,该水滴子软件明显具有避开或者突破天翼公司开发的翼支付APP软件以及架设的后台计算机信息系统的安全保护措施,且未经授权非法获取天翼公司后台计算机信息系统服务数据的功能,应属于专门用于侵入计算机信息系统的工具。故被告人古某某辩护人所提的上述辩护意见,与事实和法律不符,本院不予采信。
六、被告人李某某在共同犯罪中的地位、作用
被告人李某某的辩护人提出被告人李某某并未与古某某在开发水滴子软件前有过事先商议,李仅为古某某所开发的该款软件的一般代理商,在共同犯罪中所起作用较小,应认定为从犯的辩护意见,经查,根据被告人古某某、李某某的供述笔录及当庭供述,可以明确看出对于开发、出售水滴子软件,两名被告人事先有过商议和共谋,并进行了明确的分工,其中被告人古某某主要负责开发水滴子软件,而被告人李某某则主要负责建QQ联络群销售水滴子软件,所得钱款由两人均分,故两者实施的犯罪行为和所得犯罪利益系共同一体、密不可分,均对共同犯罪行为的形成和共同犯罪结果的得逞起到了直接、关键性作用,不宜区分主从,故被告人李某某辩护人提出的上述辩护意见与事实和法律不符,本院不予采信。
七、证人徐某某购买的水滴子软件是否应计入本案的犯罪金额
被告人李某某的辩护人提出被告人李某某并未出售水滴子软件给徐某某用于诈骗天翼公司,故该部分经济损失和犯罪金额不应由李某某承担的辩护意见,对此,本院认为,结合被告人李某某的供述笔录及当庭供述、证人徐某某的证言、上海市公安局虹口分局调取的被告人李某某的部分《转账明细》、《转账截图》,可知证人徐某某确曾通过微信方式支付了人民币1,000元用于向被告人李某某购买水滴子软件,然后李某某和古某某也曾为其开通了加入常用设备的功能,虽然徐某某事后并未使用李某某向其出售的水滴子软件,而是转而使用其他人向其出售的水滴子软件骗取天翼公司优惠补贴,但无论如何,被告人李某某明知水滴子软件系针对翼支付APP平台而开发的专门用于侵入计算机信息系统的工具仍故意向徐某某出售,其所获的非法所得仍应计入被告人古某某、李某某的共同犯罪金额之中,故被告人李某某辩护人提出的上述辩护意见与事实和法律不符,本院不予采信。
判决结果
本院认为,被告人古某某、李某某结伙或者单独提供专门用于侵入计算机信息系统的工具,情节严重,其行为均已构成提供侵入计算机信息系统工具罪。上海市虹口区人民检察院指控被告人古某某、李某某犯提供侵入计算机信息系统工具罪罪名成立。本案第一节犯罪系共同犯罪。案发后,被告人古某某、李某某均能如实供述自己的罪行,可依法从轻处罚。本院审理期间,被告人古某某通过家属帮助,主动向本院缴纳人民币三万元用于自愿补偿被害单位相关经济损失,可酌情予以从轻处罚。为维护社会管理秩序,保护计算机信息系统的安全运行不受侵犯,依照《中华人民共和国刑法》第二百八十五条第二款、第三款、第二十五条第一款、第六十七条第三款及第六十四条之规定,判决如下:
一、被告人古某某犯提供侵入计算机信息系统工具罪,判处有期徒刑一年三个月,并处罚金人民币一万元。
二、被告人李某某犯提供侵入计算机信息系统工具罪,判处有期徒刑一年三个月,并处罚金人民币一万元。
本案案号:(2019)沪0109刑初999号