裁判要旨及扩展
1. 侵入的本质在于未经授权或者超越授权。通过反编译等手段获取服务器与官方客户端之间的的网络数据格式,自行开发第三方APP,使用户仅登录第三方APP而无需登录官方客户端即能够实现转发博文等功能,具备侵入计算机信息系统的本质特征。
2. 专门性的体现在于软件功能用途的单一性。若第三方APP设计之初的目的以及最终实现的功能均为多次发起重复请求、在转发博文时随机生成不同硬件设备信息,最终实现自动批量转发博文,制造虚假流量,则涉案APP具备《刑法》第二百八十五条关于“提供侵入计算机信息系统程序罪”专门性的特征。
3. 避开或突破官方服务安全保护措施的方式具有多样性。通过反编译官方APP获取秘钥及特定算法,生成服务器所需数据格式,使得第三方APP伪装成正常的客户端和被害单位服务器之间进行数据交互;第三方APP在使用过程中引导用户关闭官方APP安全保护功能等行为均具备避开计算机信息系统安全保护措施的特征。
案 例
检察院指控:
2018年1月至2019年3月间,被告人蔡坤苗在未获得新浪微博授权的前提下,自行开发星援APP,有偿为他人提供不需要登录微博客户端即可转发微博博文及自动批量转发微博博文的功能。后大量软件用户以向星援APP充值的形式有偿使用该软件,并通过运行上述软件侵入新浪微博公司服务器。经鉴定,星援APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据,完成与该服务器的交互,以实现在不登录微博客户端的情况下,可转发新浪微博博文的功能,也可以实现自动批量转发新浪微博博文的功能。经统计,至案发时该软件已有用户使用19万余个控制端微博账号登录,上述控制端账号绑定微博账号×××余万个,被告人蔡坤苗获取充值金额人民币600余万元。
人民法院审理查明:
2018年1月至2019年3月间,被告人蔡坤苗未获得北京微梦创科网络技术有限公司授权而自行开发星援APP,有偿为他人提供不需要登录新浪微博客户端即可转发微博博文及自动批量转发微博博文的服务。后大量用户以向星援APP充值的形式有偿使用该软件,并通过运行上述软件侵入新浪微博服务器。经鉴定,星援APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据并完成与该服务器的交互,以实现不登录新浪微博客户端即可转发微博博文的功能以及自动批量转发微博博文的功能。经统计,至案发时该软件已有用户使用19万余个控制端微博账号登录,上述控制端账号绑定微博账号×××余万个,被告人蔡坤苗获取违法所得人民币6253752.86元。
被告人供述:
2018年3月,我自己做了一个名为星援的手机APP软件,并注册了一个网络工作室。2018年8月,我成立了泉州市星援网络科技有限公司,并担任公司法定代表人。我公司主要经营两款手机应用软件,分别是星援和应援宝。这两款软件均是对接新浪微博的,客户通过这两款软件可以登录自己的微博账号实现批量转发、点赞和评论操作,而且绑定的微博数量没有上限,不用再人工登录每个微博账号进行重复操作。星援、应援宝两款手机软件通过用户的微博账号、密码登陆,登陆的时候不需要再另行注册。这两款软件的用户可以批量操作在软件端绑定的账号,更加快速的进行微博转发(行话叫抡博)、评论、点赞。微博客户端只能使用一个账号登陆进行操作,而星援、应援宝两款软件可以同时登陆多个微博账号进行相关操作。这两款软件在功能上是一样的,只是名字不一样,每次客户可以预充值一定数量的爱豆用于注册会员和绑定新浪微博账号。这两款软件分别对应一个微信公众号,星援对应的是星援网络,应援宝对应的是应援宝,这两款软件均是使用微信支付方式进行充值。
新浪微博没有授权星援、应援宝两款手机应用软件进行相关业务。我通过截取新浪微博的数据包,并对数据包进行反编译,之后获取到了新浪微博所使用服务器的接口,之后我将这些能够直接与新浪微博服务器进行交互的接口通过编码的方式写入到这两款手机应用程序内提供给我的客户。星援、应援宝是从微博客户端提取和微博后台交互的接口,实现在星援、应援宝和微博后台交互,通过数据交互时进行抓包,并通过反编译微博客户端得到星援、应援宝APP和微博后台的交互规则,实现在软件上进行登录,而且可以和登录微博有同样的操作。我自己测试得知新浪微博×××小时内,会限制同一个微博账号最多转发4条微博,超过之后会提示用户转发过于频繁。还有限制IP,在短时间内不允许同一IP地址多次请求相同接口。
星援APP在登陆账号说明中提到账号登录需要关闭微博保护以及如遇到验证问题或登录错误,可以尝试切换IP或在微博内清除最近登录记录。之所以设置该操作是因为开启微博登录保护,只能接收手机验证后才能登录,星援APP没有对接这项功能。这个操作就是为了节省星援APP的开发量。如果遇到验证问题或登录错误,可以尝试切换IP或在微博内清除最近登录记录可能是微博服务器对于IP或授权的缓存有问题。微博的安卓客户端是由Java编写,我通过Java提供的反编译工具对其进行反编译获取源代码,从源代码中获取密钥H和加密算法。星援、应援宝两款软件的数据存放在阿里云服务器(IP:118.178.192.61)内。民警使用电脑上的仿真系统加载我阿里云服务器内的数据镜像文件的备份文件。显示的服务器数据中,mblog列表记录所有绑定在星援软件内的微博账号共********条记录,所有绑定在星援软件内的控制端微博账号共195141条记录;mblog2是mblog的一个备份数据库,显示所有绑定在星援软件内的微博账号共2902189条记录,所有绑定在星援软件内的控制端微博账号共5652条记录。
星援、应援宝两款软件可以加快明星粉丝,提升转发评论的数据量,满足数据的需求。我于2019年2月份查看后台数据,星援、应援宝共有微博大号用户17余万个,这17余万用户大约绑定了3000余万个微博小号。星援、应援宝一共有微博中的明星群管理员×××余个。微博大号是常用的微博账号,有粉丝的老号。微博小号是新注册或注册时间短的账号,也就是为转发增量而准备的账号。2019年2月份左右,我查了一下银行账户,星援累计充值人民币700余万元。前期公众号充值收入都进入我个人微信钱包内。2018年八九月份,我绑定了我个人的工商银行卡,充值收入都直接进入我的工商银行卡内。应援宝使用人数比较少,大概充值有10余万元,这个公众号绑定的是我女朋友苏某的交通银行卡。资金我主要用于买房和公司开销了。我在泉州城东中骏世界城买了一处住宅,目前还在建设没有交房,费用大约100余万元。我还在泉州城东中骏世界城买了两个底商登记在我父亲蔡某名下,费用大约300万到400万之间,具体多少钱记不清了。其余资金用于日常开销、员工工资支出等。公司人事是陈某,每月工资7000元。UI设计是苏某和一个男孩,每月工资7000元。
人民法院评判意见:
第一,侵入的本质在于未经授权或者超越授权。被告人蔡坤苗通过反编译等手段获取微博服务器与客户端之间的的网络数据格式,自行开发星援APP,使得微博用户仅登录星援APP而无需登录微博客户端即能够实现转发微博博文等功能。综合被告人蔡坤苗的供述、证人崔某和李某的证言以及微博服务使用协议,能够证实被害单位北京微梦创科网络技术有限公司既未授权被告人蔡坤苗设计开发具有相关功能的软件,又未同意将星援APP接入微博平台,亦未同意用户可以绕过微博客户端而通过未经授权的软件登录微博并实现微博客户端的功能。故星援APP具备侵入计算机信息系统的本质特征。辩护人认为星援APP与新浪微博服务器发生交互具有授权以及星援APP与新浪服务器属于通信协议的交互行为而非侵入行为的意见本院不予采纳。
第二,专门性的体现在于软件功能用途的单一性。从星援APP设计之初的目的以及最终实现的功能来看,该软件只针对新浪微博用户,使新浪微博用户不登录微博客户端便可转发微博博文,并能通过绑定多个账号、发起多次重复请求以及在转发微博博文时随机生成不同硬件设备信息,最终实现自动批量转发微博博文。该软件在日常运用中亦集中于用户在新浪微博中刷赞、刷榜、刷转发等,以制造虚假数据流量。故星援APP具备专门性的特征。
第三,避开或突破安全保护措施的方式具有多样性。一方面,被告人蔡坤苗通过反编译等手段获取源代码,并从源代码中获取密钥和特定算法。星援APP在运行过程中通过调取上述密钥及特定算法生成微博服务器所需数据格式,从而使得星援APP得以伪装成正常的客户端和被害单位服务器之间进行数据交互,且在转发微博博文时随机生成不同的硬件设备信息,避开了微博服务器对同一客户端连续请求的限制措施。另一方面,星援APP在登陆账号说明中明确提到账号登录需要关闭微博保护并载明在微博客户端进行关闭登录保护的具体操作步骤。从被告人蔡坤苗对该登录说明的解释以及被害单位出具的说明可以看出,登录保护作为保障微博账号安全的机制对于微博登录过程中客户端与服务器的数据交互过程亦起到了一定的安全保护作用。星援APP因开发量问题未对接该项功能,而让用户采取人工关闭方式使得该项安全保护措施被避开。故星援APP具备避开计算机信息系统安全保护措施的特征。辩护人认为星援APP未避开微博安全保护措施的意见本院不予采纳。
第四,在刑法已经将提供侵入、非法控制计算机信息系统程序、工具的行为单独规定为犯罪的情况下,使用者是否构罪以及是否被追诉并不影响对提供者的行为评价,故对被告人蔡坤苗进行定罪处罚不违背共犯理论。在案发时星援APP已有用户使用19万余个控制端微博账号登录,在该19万余个控制端账号下共绑定微博账号多达×××余万个,被告人蔡坤苗由此获取充值金额600余万元。星援APP用户充值后使用该软件进行批量的博文自动转发,营造虚假数据流量,对网络空间的公共秩序、实名制用户的账户安全以及被害单位的服务器稳定等多方面均造成严重影响。故辩护人认为被告人蔡坤苗主观恶性及社会危害性小,并建议对其适用缓刑的意见本院不予采纳。此外,被告人蔡坤苗的行为在已经具有社会危害性且已经符合刑法规定的罪刑条款的情况下,对其定罪处罚并不违背刑法的谦抑性。
第五,关于诉讼代理人认为本案应参照适用李骏杰等破坏计算机信息系统案(检例第34号)以及星援APP属于破坏性程序,故对被告人蔡坤苗应以破坏计算机信息系统罪论处的意见。经查,检例第34号中被告人的行为系其冒用购物网站买家身份进入网站内部评价系统删改购物评价,从而被评价为对计算机信息系统内存储的数据进行修改操作,故被认定为破坏计算机信息系统罪。而本案被告人蔡坤苗的行为主要系设计开发星援APP并将该软件有偿提供给他人下载使用,本案行为模式与检例第34号并不相似。且本案尚无充分证据证实星援APP属于破坏性程序,故对诉讼代理人的上述意见本院不予采纳。此外,诉讼代理人认为被告人蔡坤苗给被害单位造成经济损失人民币10422920.2元的意见,经查,相关证据均为被害单位单方材料,尚不足以证实与星援APP的关联性,故本院不予采纳。
第六,星援APP的功能原理主要是将与微博客户端转发微博时相同的网络数据格式提交给微博服务器,使微博服务器误认为是微博客户端提交的网络数据,进而与星援APP发生数据交互,实现了转发微博博文的功能,星援APP尚未达到控制微博服务器或客户端的程度,且星援APP系软件程序,故本院对刑法第二百八十五条第三款的选择性罪名予以准确适用,以提供侵入计算机信息系统程序罪对被告人蔡坤苗定罪处罚。控辩双方的其他合理意见本院酌予采纳。
判决结果:
本院认为,被告人蔡坤苗提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为已构成提供侵入计算机信息系统程序罪,应予处罚。鉴于被告人蔡坤苗到案后如实供述基本犯罪事实,故本院对其予以从轻处罚。根据被告人蔡坤苗犯罪的事实、性质、情节及社会危害程度,本院依照《中华人民共和国刑法》第二百八十五条第二款、第三款,第五十二条,第五十三条,第六十七条第三款,第六十四条,第六十一条之规定,判决如下:
一、被告人蔡坤苗犯提供侵入计算机信息系统程序罪,判处有期徒刑五年,并处罚金人民币十万元。(刑期自判决执行之日起计算。判决执行以前先行羁押的,羁押一日折抵刑期一日。即自2019年3月8日起至20×××年3月7日止。罚金于判决生效后三十日内缴纳)。
二、继续追缴被告人蔡坤苗违法所得人民币六百二十五万三千七百五十二元八角六分予以没收。
三、在案冻结的银行账户内资金人民币四十二万三千五百五十九元九角八分及其产生的孳息并入本判决第二项执行。
四、随案移送的扣押物品本院依法予以处理。
