本文探讨的秒杀软件一般指的是用于抢购特定商品的抢购软件。这类软件主要是行为人为了抢到销售商限时限购的某种商品,而利用发售平台的自身缺陷或者是其他技术手段,在未经销售商授权下通过非法的方式对计算机系统的运行予以干预,从而来获得优先抢购机会。我们可以将其看作为了实现目标而为获得相应平台授权的一种网络插件。实际上现实生活中已经出现许多种类的软件,比如出现在网络购物平台上用来抢购商品的抢票软件,针对铁路12306 购票平台的抢票软件、甚至于滴滴打车的“抢单软件”等,均是属于未经目标平台授权的一种网络插件,也就是本文所说的抢购软件。
然而,制售抢单软件的行为涉嫌构成计算机犯罪,现实中已经出现相关判例。
一
制售秒杀软件已有认定构成犯罪的案例
1
案例1:
2014年,任某通过自己建立的针对小米官网手机进行秒杀的QQ群结识张某,后二人商量由张某开发一款“黑米”软件用于抢购小米官网手机,进而推广牟利,并约定非法获利由两人五五分成。因使用效果不佳,任某、张某在网上找到陈某帮其制作“黑米”抢购软件的官方网站,用于出售该软件,并由陈某作为该抢购软件的销售代理之一。之后,任某、张某又陆续开发了黑米华为、黑米魅族抢购软件,并在2015年开发了专门针对天猫网站的黑米天猫(淘宝)抢购软件,在其官方网站上大量销售。经查,任某、张某通过出售黑米天猫(淘宝)抢购软件赚取买家抢购成功商品部分差价的方式非法获利110708元;陈某通过建立“黑米”系列抢购软件销售网站、网站维护、广告服务代理销售该抢购软件,共非法获利6500余元。
2
案例2:
被告人王某为牟利,编写了名为HiRoot(以下简称“HR”)的秒杀软件。通过运行该软件内置的谷歌浏览器,点击淘宝网上一款特定的虚拟商品,就可提前十分钟触发淘宝网对于秒杀促销活动预设的手动滑块验证程序,从而缩短了后续秒杀过程中的下单时间,大大提高了抢购商品的成功率。2017年9月至2018年10月间,被告人王某通过QQ群,向陈某某等其他六名被告人出售该软件,违法所得合计人民币56.95万元。后该六名被告人又再行出售该软件,所销售次数分别为24次至30次不等,所获违法所得分别为人民币1000元至79245元不等。另查明,本案中的HR软件已经取得了国家版权局颁发的计算机软件著作权登记证书。
3
案例3:
行为人Z某编写了一个秒杀软件可以专门用于抢购某商城平台限量发售的茅台酒。运行软件时需要登录多个该商城平台真实注册的账号。在茅台酒开售时,软件会使用账号cookie信息自动化登录并操作多个账号向平台发起抢购商品的交易申请,从而大大提高抢购商品的成功率。由于使用cookie信息登录账号,在抢单交易时绕过了平台商城发起人机检验的机制,可以顺利发起交易申请。Z某将该软件卖给多名“黄牛”,“黄牛”使用该软件抢购茅台酒转卖获利。
从这些案例中,我们不难发现,秒杀软件一般具体应用于特定平台的商品抢购。从技术原理方面,秒杀软件大致有以下两种技术方向:其一是通过编程技术,在发起交易申请之前先将指令信息预设或先行发送至目标平台,类似于在赛跑中“抢跑”;其二是同时以多个IP向目标平台发起交易指令,此时有的软件会登录真实账号,有的软件则利用目标平台的技术漏洞实现以虚拟IP发起交易的操作。
二
制售秒杀软件涉罪案件的指控逻辑
以上三个案例中的制售秒杀软件行为,司法机关都认为构成《刑法》第二百八十五条第三款的提供侵入、非法控制计算机信息系统程序、工具罪。其中前两个案例均已审结,案例3则是我们接待的咨询案件。这类案件在绝大多数地区还属于新型案件,由于涉及计算机技术原理,许多基层司法机关对制售秒杀软件行为的定性还吃不准。遇到类似案件更倾向于参照同类型案件的判例,因此理清这些判例的指控和定罪思路,对开展有效辩护工作至关重要。
根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第二条的规定:“具有下列情形之一的程序、工具,应当认定为专门用于侵入、非法控制计算机信息系统的程序、工具:
(1)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(2)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(3)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。”
秒杀软件的功能性鉴定在这类案件中十分关键。司法机关一般会以鉴定机构对秒杀软件的功能性认定作为定罪的重要依据。根据《解释》第二条的规定,司法机关关注的核心问题是:
1.软件是否具备避开计算机信息系统保护措施的功能;
2.软件是否未经授权获取了计算机信息系统数据。
案例2中的司法机关就认为,涉案软件突破了平台网站的保护措施。即一般用户正常购买情况下不会出现手动滑块验证,只有在用户频繁点击提交下单请求时,网站为了识别该请求为人工下单还是机器软件下单行为,才会出现手动滑块验证步骤,当正常用户手动操作滑块验证后,会在用户的请求中插入一个“X5sec”值,代表这个请求是人为发起的,而不是软件发起的。简言之,司法机关认为滑块验证程序的功能是防止软件自动下单,就属于《解释》中规定的“计算机信息系统安全保护措施”。同时,秒杀软件获取“X5sec”值的之前并没有获得平台网站的授权,行为人使用秒杀软件突破了滑块验证步骤也恰恰证明其未经授权获取数据的意图。司法机关的指控逻辑看似无懈可击,实质上结合计算机信息系统原理,还是有值得商榷之处。但此类判例的裁判理由会直接影响其他司法机关处理同类案件的观点,值得我们重视。
三
制售秒杀软件涉罪指控逻辑中值得商榷之处
(一)秒杀软件非法性的理解存在偏差
目前常见案例中,公诉机关对制售秒杀软件的行为一般定性为提供侵入、非法控制计算机信息系统程序、工具罪。由于本罪是帮助犯罪的正犯化,这就意味着这类软件的使用者(一般是“黄牛”)也应当依照《刑法》第二百八十五条的前两款罪名处罚。关于“黄牛”的行为是否构成犯罪,笔者在前文(“黄牛”利用秒杀软件抢购商品是否构成犯罪)已有论述。秒杀软件使用者行为的非法性需要就其访问数据的行为性质分析,而秒杀软件制售者行为的非法性则直接来源于软件的性质。笔者认为,笼统认定秒杀软件具备非法性的观点完全忽视了技术中立原则,有客观归罪之嫌。究其本质,持有这种观点的司法人员混淆了计算机领域“非法”一词和法律规范层面的非法性的概念。
法律规范的非法性应当指的是违反法律法规禁止性规定,而《刑法》第二百八十五条规定规范的是计算机犯罪这类特定行为,其非法性应当参照司法解释的具体规定。根据《解释》第一、二条的规定,非法控制行为指的是夺得计算机信息系统非法控制权,非法获取数据限定为获取身份认证信息,提供侵入、非法获取数据程序、工具的“专门工具”限定为具备突破或避开计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能。我们可以发现《刑法》第二百八十五条规定的行为非法性的核心在于“未经授权或超越授权”。无论是计算机信息系统的控制权还是访问权,还是数据的获取权,都属于一定的计算机信息系统权限。只有当行为人使用的软件具备超越权限访问或控制计算机信息系统或获取计算机信息系统数据,才能依照该条款进行定罪处罚。
计算机术语中也有“非法”(illegal)一词,其描述的是计算机信息系统运作时的一种状况。在计算机领域中,程序员编程构建计算机信息系统时,需要运用不同的函数来实现模块化的程序设计,多个模块组合起来形成整体的计算机信息系统。这些函数一般是由程序员依照计算机语言根据用途自行定义的。简言之,人们需要编译各种函数来演算不同数值,让计算机能听懂命令,从而形成一整套为人们服务的系统。计算机术语中的“非法”常被用于“非法的值”,“非法的参数”,“非法函数调用”的表述,用于描述计算机信息系统运作中相关数值的状况,这与法律规范层面“未经或超越授权”的内涵完全不同。
而现实案例中,秒杀软件的使用者实质上是与其他消费者一样访问公开的计算机信息系统数据,并不涉及授权的问题。由于访问量较大超过负荷导致平台呈现数据的功能短暂受限,司法机关一般就会径直认定是秒杀软件的危害结果。而实质上,这种短暂的计算机信息系统“非法”运作状况与法律层面“未经授权或超越授权”的定义完全是两个领域的问题,不可同日而语。
(二)指控中对获取何种数据存在矛盾
结合现有案例,秒杀软件在功能上是增加使用者抢单的资格、增大抢单成功的概率。其实现的方式或是登录多个平台的账号或者用爬取的cookie信息完成多账号登录来增加抢单账号。在具体案件中,部分司法机关在指控逻辑中对于获取何种数据存在矛盾。
账号密码和cookie信息是不是非法获取的数据?依照《刑法》二百八十五条第三款规定及《解释》第二条的规定,具备非法获取数据功能的工具是一种超越授权或未经授权获取数据的工具。然而现行法律规范下,无论是平台的账号密码还是浏览平台网站产生的cookie信息都不当然专属于平台。前者应当属于账号的所有者,后者的权属尚存争议,平台一般会在协议中征求用户的许可,有部分使用权。一些平台会制定用户协议,要求用户不得转借账号密码,或是约定平台有cookie信息的使用权。但这些约定并不意味着使用这些账号密码、cookie信息就需要平台的授权。现实中,也没有任何平台制定针对使用非本用户账号密码、cookie信息的行为进行授权的程序。由此看来,秒杀软件调用账号密码、cookie信息的行为也并不属于“超越授权或未经授权”获取数据。
那么,交易订单数据是不是非法获取的数据?依照部分司法机关的指控思路,交易中的人机验证机制是计算机信息系统安全的保护措施。如果依照这个思路,那么人机验证机制所“保护”的数据应当才是《刑法》第二百八十五条规定中对应的犯罪对象。而人机验证机制的本质是限制“机器”下订单,并不是对访问者访问数据的一种授权。很明显,平台公开发售商品不是一个对访问者进行身份验证、访问许可的授权。使用秒杀软件抢购商品对一般用户消费的公平权益可能有所损害,但其身份对于平台来说还是消费者,并没有访问消费者不能访问的数据。由此看来,将秒杀软件使用者与平台形成的交易订单数据定义成非法获取的数据似乎也说不通。
(三)不宜将人机验证机制认定为计算机安全措施
《刑法》第二百八十五条规制的三类计算机犯罪所保护的法益是计算机安全,那么提供侵入、非法控制计算机信息系统程序、工具罪的犯罪构成要件中“计算机信息系统安全保护措施”的概念自然也要回到计算机安全领域进行辨析。国际标准化委员会对“计算机安全”的定义是“为数据处理系统建立和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”
如前文所述,秒杀软件案件中平台设计的人机验证机制,其目的是为了限制“机器”下单的流量,预防平台因短时间流量拥挤,也充分保障一般消费者公平参与商品采购。其实从平台商业角度出发,无论是秒杀软件使用者还是一般消费者抢购商品,其经济利益并不受损。由于平台是公开发售商品,从民商法层面意味着发出来要约邀请,不包含设置所谓的“交易权限”或“访问数据权限”。既然没有权限授权的程序,也就没有需要保护措施保护的授权访问数据。那么,使用秒杀软件即使跳过了人机验证机制,也不属于侵犯平台的计算机信息系统安全的行为。如此看来,人机验证机制并不是一种访问数据的授权机制,也更不是保护某种特定数据安全的“防火墙”。使用秒杀软件进行交易的过程,一定程度可能违反了平台自己设定的规则,但将限制流量功能的人机校验机制视为计算机信息系统安全的保护措施显然不妥。
综上,实务中部分司法机关对秒杀软件案件的指控逻辑存在一定的问题。在后面一篇文章(《制售秒杀软件犯罪问题研究(下):定性辨析》)中,我们将重点探讨秒杀软件案件应当如何准确定性。
