从制售秒杀软件判例的指控逻辑我们不难发现,司法机关认为只要秒杀软件可以用于抢单操作,其技术原理无论是预设信息,还是多IP操作,都可以认定构成提供侵入、非法控制计算机信息系统程序、工具罪。但实际上我们不难发现,前文(《制售秒杀软件犯罪问题研究(上):指控逻辑评析》)中案例3使用的技术手段与案例1、2明显不同,其实质上是同时使用多个平台账号完成发送交易申请的操作。如果司法机关在技术原理不同的个案中机械适用所谓“相似案例”的裁判观点时,则容易得出错误的定罪结论。制售软件行为的定性还是应当结合个案中涉案软件的基本计算机原理,回到《刑法》和相关司法解释的本义中予以认定。
根据2011年最高人民法院和最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下称《解释》)第二条的规定:“具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。”
本文着重从《解释》中的三个认定标准出发,立足《刑法》关于计算机犯罪的立法本义,对制售秒杀软件是否构成提供侵入、非法控制计算机信息系统程序、工具罪进行辨析。
一
关于是否未经授权或者超越授权获取数据的认定
多数秒杀软件案例都利用了获取到的Cookie信息,实现绕过人机检验机制或登录多个账号进行抢单操作的目的。司法机关似乎倾向认为获取Cookie信息的行为是一种未经授权或者超越授权的行为,但在裁判文书中却没有说明Cookie信息到底属于何者,需要经过何者的授权。其内在的原因是,秒杀软件使用的Cookie信息的权属并不明晰。
Cookie信息是指通过小型文本文件的形式在客户端储存用户信息的数字和符号,以此来辨别用户。可以理解成用户在互联网上留下的可以辨别身份的痕迹。通过对目前Cookie 技术使用和相关数据的私密性,可以将Cookie 技术下的个人信息分为三种。第一种是用户的账户名、密码等这些私密性较高的信息;第二种是家庭地址、购买物品记录等比较私密性的信息;第三种是检索的字和词、上网的时长和次数等记录以及较为感兴趣的商品和新闻等私密性一般的信息。Cookie信息本质上包含一定的个人信息内容,因此国外将其中涉及敏感隐私的部分纳入个人信息保护。《刑法》中的侵犯公民个人信息罪及相关司法解释也对高度敏感信息做出了规定。从法益保护的角度看, Cookie信息的权属应当是用户。
制售秒杀软件行为人所获取的Cookie信息一般来源于两种途径:其一是自行使用爬虫程序在特定网站上爬取的;其二是从他人出购买而来。在技术层面,只要获取Cookie信息中的部分内容,并不需要得到准确的账户密码等高度敏感信息,就可以完成账户登录,用于秒杀软件的抢单。由于现行法律并没有明确将所有Cookie信息认定为公民个人信息,故制售秒杀软件并不当然构成侵犯公民个人信息罪。这也恰恰证明,制售秒杀软件案件中所用到的Cookie信息并不需要特定主体的授权。
前文案例2中的司法机关认定涉案秒杀软件是否超越授权获取数据实际上抓住的是获取“X5sec”值没有得到授权,而“X5sec”值是Cookie信息的一部分。从指控逻辑出发,司法机关似乎认为涉案秒杀软件没有经过网络服务者的授权,就爬取了相关数据,并用到非法侵入网络服务者平台进行抢单的活动当中。其实,获取“X5sec”并不需要高级的计算机技术手段,实际上只是简单的复制粘贴工作。在网上稍加检索,我们就可以找到获取“X5sec”值的方法。
具体方法是用浏览器打开目标网站,打开浏览器自带的开发者工具,在Network标签页中,点击右上角的“Preserve log”,保持记录,刷新页面,在Network标签页中,找到对应的请求,在Headers标签页中,找到Request Headers,在其中找到Cookie,复制其中的“X5sec”。显然,在这一过程中唯一用到的工具是浏览器,而获取“X5sec”之前并没有申请授权的选项。而这些数据本质上是网络或互联网使用者(即用户)发给中央服务器信息的计算机文件,可以理解成用户访问网站留下的痕迹。这些痕迹数据在用户使用浏览器时得以被记录保持,很明显并不属于网络服务者。数据的权属并不归于网站,获取过程也不经过网站的服务器,那么获取这类数据的行为也自然不需要经过网络服务者的授权。
二
关于是否避开或者突破计算机信息系统安全保护措施的认定
《刑法》第二百八十五条第三款中规定的侵入、非法控制计算机信息系统程序、工具需要具备避开或突破计算机信息系统安全保护措施,那么相关案例中的滑块、图形验证等机制是否属于计算机安全保护措施?有学者专家在评述案例1的裁判结果时,曾就“避开或者突破计算机信息系统安全保护措施”发表过如下意见:“涉案抢购软件经鉴定为恶意软件,能避开或突破购物网站计算机信息系统安全保护措施,构造网络请求并发送给淘宝网站服务器,模拟用户自动登录淘宝账号、自动批量下单、自动付款,抢占其他正常用户的下单请求,最终抢购到秒杀商品。同时,该程序还能通过调用第三方打码平台发送非常规图形验证码,从而绕过淘宝安全防护系统的人机识别验证机制,并可通过重新拨号的方式更换IP地址以绕过淘宝安全防火墙对同一IP地址不能频繁发送网络请求的限制。”
可以发现,这里专家学者认为图形人机验证机制是淘宝平台设立的“防火墙”。而防火墙应当是对内部数据网络与外部网络之间相隔的安全屏障,如果平台交易过程中人机识别验证机制是一道“防火墙”的话,“防火墙”在保护哪类数据呢?是发生交易后形成的订单数据吗?很明显也不是。在秒杀软件案件中,没有其他用户的交易信息被秒杀软件窃取的情况。显然,人机校验机制是保护数据安全的“防火墙”这一说法并不准确。
首先,《刑法》第二百八十五条规定中的“侵入”行为在计算机安全领域应当指的是对计算机安全保护措施的一种突破和非法(未经授权或超越授权)访问。故认定访问为“侵入”,前提是被访问者对访问者是一种不欢迎的状态,且设立了一定措施防范这种访问。典型的计算机安全措施包括:设立访问密码、防火墙、对数据文件加密、隐藏IP地址、关闭访问端口等。可以发现,建立计算机安全措施的主体的主观意愿是访问者越少越好,希望被保护的计算机信息系统是独立于外部网络的。与之相对,秒杀软件类案件中的平台方是持有同样的意愿吗?显然不是,平台方虽然限购商品,但当然是希望访问用户越多越好,更不会用一道“防火墙”隔绝、过滤与自己发生交易的用户。即使是使用秒杀软件下单的用户,其本质上也是平台方的潜在客户,其向平台寻求交易的行为无论从社会属性层面还是计算机系统安全层面,都不应当定性成“侵入”行为。
其次,人机校验机制不是对用户访问的一种授权行为。如前所述,在秒杀软件案件中,平台通过互联网发售商品,自然是寻求更多的用户与之发生信息交互,而非将特定的数据予以保护。这就表明平台对用户访问平台浏览商品信息和发起交易的过程是完全开放的状态。平台方既然选择在互联网上公开售卖商品,就表达出了希望与外界进行自由信息交互的意愿,则用户通过互联网可访问到平台方的数据就不再需要授权。而人机检验机制的本质是为了防止人为技术手段频繁下单,并不是为了阻止特定人访问平台和进行交易。将人机检验机制理解成一种平台访问授权行为会出现十分荒谬的结论。例如并非所有平台都将人机校验机制设置为每次交易必然发生,而且由于访问量过大或人机校验机制自身的技术问题,有部分用户在交易时并未触发人机校验机制。如果人机校验机制是一种访问授权,那么这些用户都在进行非法访问,都应当依照《刑法》第二百八十五条第二款非法获取计算机信息系统数据罪定罪处罚,这显然是错误的。
最后,秒杀软件抢单行为可能破坏了交易的公平性,但并未破坏计算机信息系统的安全。从民事法律关系角度出发,平台在互联网上发售商品是一种要约邀请,用户向平台发起交易后双方就达成了买卖契约。平台当然可以在售卖商品是附加一些条件,例如凭身份证、账号限购等,也可以设置人机校验机制保障消费者公平参与商品抢购。人机校验机制与前者一样,都只是平台建立的一种销售规则。而使用秒杀软件抢单的行为破坏的是商家自己建立的规则,并未造成平台计算机信息系统功能的任何破坏,故并没有破坏计算机信息系统安全。
三
关于“其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具”的认定
司法实践中,《解释》第二条第三项的兜底条款极容易成为囊括所有“不正常”软件入罪理由的口袋条款。
由于本罪是帮助犯罪的正犯化,“专门工具”的理解应当结合《刑法》第二百八十五条前两款罪名的有关规定。在认定“专门工具”时,对于具有侵入功能的程序、工具,需判断其是否以“非法获取数据”或“非法控制系统”为设计目的。关于“专门工具”的定义,全国人大常委会法工委刑法室编写的论著《中华人民共和国刑法条文说明、立法理由及相关规定》将“专门工具”解释为“行为人所提供的程序、工具‘只能’用于实施非法侵入、非法控制计算机信息系统的用途。”这里很明显,立法机关强调“只能用于侵入、控制”的功能才可认定为“专门工具”。换言之,使用该软件的行为人只能用于侵入、非法获取、非法控制等违法犯罪行为。
然而,一方面,实际使用秒杀软件的人员(一般是“黄牛”,也有可能是为了买到商品的普通消费者)从技术角度并不可能获得非法控制交易平台的权限,另一方面,他们作为平台的潜在客户与平台达成交易的合意并不需要经过再次授权,故也不构成侵入、非法获取数据的行为。
具体到个案的定性中,秒杀软件是否具备侵入、非法获取、非法控制功能的证明是案件定性的关键。需要权威机构进行功能性鉴定。根据2020年出台的《声像资料司法鉴定执业分类规定》,电子数据鉴定被细分为0301电子数据存在性鉴定、0302电子数据真实性鉴定、0303电子数据功能性鉴定、0304电子数据相似性鉴定。其中0303电子数据功能性鉴定是具备相应资质的鉴定机构基于计算机技术原理对涉案软件的功能进行鉴定。
在办理制售秒杀软件案件中,我们在确认鉴定机构的资质基础上,细致研究其对秒杀软件是否具备侵入等功能的论证和结论,就可以对案件的定性进行有效的把握。然而,我们接触的相关案件中,相关鉴定意见还是存在一定问题,鉴定机构在鉴定意见中大多只是对涉案软件的使用过程进行了还原(即0301电子数据存在性鉴定、0302电子数据真实性鉴定),并未实质说明涉案软件是否具备侵入计算机安全保护措施的功能。面对这种情况,作为辩护人还是应当立足《刑法》、立法机关解释和司法解释的本义,以计算机技术原理出发,坚决对涉案软件的功能性进行针对性辩护。
