案例简介:
A平台属于大型网络外卖平台,商家可以入驻该平台从事外卖经营活动。根据平台入驻协议,商家在A外卖平台拥有管理账号,该管理账号对应唯一一组用户名和密码,是商家登录平台进行各种操作的唯一凭证。现商家为经营活动的方便,找到第三方公司,将账号密码给第三方公司,并用其开发的软件自动登录管理账号进行操作。在软件自动登录的过程中会触发A平台设置的图形、滑块验证和动态IP检测,第三方公司为了能频繁自动登录,通过连接价码平台和购买IP代理池的方式规避平台设置的图形、滑块验证和IP检测措施。本案第三方公司使用软件自动登录商家账号的行为是否构成非法侵入计算机信息系统?
应该看到,上述案例中,第三方公司有明显的规避网站平台设置的技术措施的行为,但同时在登录商家账号系统的过程中也经过了商家的授权,那么,该行为到底属不属于刑法中规定的非法侵入计算机信息系统的行为,在司法实践中引起了较大争议。
此类行为既涉及新型的计算机知识,又涉及专业的法律条文,还涉及刑民交叉,容易混淆。笔者试结合技术、法律和行业规则,对这一问题进行探析,以为司法实践进行准确认定提供参考。
1、计算机犯罪中“侵入”的本质是未经授权访问计算机信息系统,其中“未经授权”是指采用技术等手段规避授权主体的身份验证措施,进而获得非法访问权限。
计算机领域中的“侵入”与现实领域中的“侵入”并无本质不同,其是指未经授权主体授权访问计算机信息系统,如同侵入住宅中的未经户主同意进入户主房间。不同的是表现形式,因为在计算机网络中,不可能是直接的物理主体(人)去访问系统,而是通过代表人的相关凭证去访问,也即用户的账号密码等身份凭证。而账号密码系统就是计算机领域中为校验是否授权而设置的身份验证系统。在计算机中,经过授权主体同意登录的即视为授权登录,未经授权主体同意登录的即视为未经授权的“侵入”。未经授权侵入就是采用技术等手段规避授权主体的身份验证措施,进而获得非法访问的权限。如行为人通过技术手段破解账号密码进入或者通过盗取、骗取账号密码进行登录,都是未经授权主体同意的典型的侵入行为。
2、不是所有的技术保护措施都是与“授权”有关的安全保护措施,只有避开或突破与系统“授权”有关的技术保护措施,才能认定为未经授权侵入计算机信息系统。
应该看到,计算机信息系统是由不同功能代码所组成的集合。系统权利人出于各种目的会在计算机信息系统中设置各种技术措施,目的不一样,功能性质就不一样。如为了保护系统的操作权限和系统内数据的安全,防止他人未经授权的侵入,系统会设置身份验证措施;又如,为了防止系统遭受弹窗广告的侵扰,优化浏览效果,系统会设置广告屏蔽措施,等等。应该看到,规避这些不同技术措施的行为,在法律性质的认定上当然也不一样。比如,采用技术手段规避系统对广告设置的屏蔽措施的行为,尽管也会违背系统权利人的意愿,但不属于未经授权侵入计算机信息系统。
只有避开或突破与计算机信息系统“授权”有关的技术保护措施,才能认为未经授权侵入计算机信息系统。在上述案例中,与商家账户系统“授权”有关的技术保护措施,就是A平台在登录过程中设置的账号密码、手机号等身份验证措施。如果第三方公司规避这些技术保护措施登录商家账户,则毫无疑问可以认为侵入了本案的计算机信息系统。例如,通过上述讲到的伪造账号密码、“撞库”等技术手段突破登录或者盗取、骗取商家的账号密码进行非法登录,都可以认为未经授权侵入计算机信息系统。但根据上述,第三方公司的行为并未避开或突破上述与“授权”有关的身份验证措施,反而是经过商家提供的账号密码进行了授权登录。
3、图形、滑块验证的人机区分措施和动态IP检测的反爬虫措施在计算机中都属于限流措施,而不是身份验证措施,与系统授权无关,即使避开或突破这些限流措施,也不属于未经授权侵入商家的账户系统。
在计算机中,图形验证、滑块验证属于人机区分措施,动态IP检测措施可以认为是一种反爬虫措施。其中,“验证码”的全称为“全自动区分计算机和人类的图灵测试”,这一测试的目的在于通过智能测试区分人与计算机程序。常见的验证码类型包括文本验证码、图像验证码、滑块验证码、拼图验证码等。“动态IP检测”是系统检测是否有同一网络地址(IP)在短时间内频繁访问,通过IP地址请求的访问频率来辨别是计算机程序还是人类用户。
根据现有网络安全标准和行业规则,人机区分措施和反爬虫措施的主要功能是区分操作者是否为人类,而非验证特定个体的身份,是为了限流而非身份识别。它们不是身份验证因素,而是一种访问控制门槛或速率限制机制,是为了防止高频访问。它们本身不包含任何与特定用户身份绑定的信息,也无法确认用户的合法身份。由此,这些人机区分措施和反爬虫措施并不直接校验授权主体的身份,与账户系统权利人的“授权”无关。准确而言,这些措施是A平台设置的对用户访问的限流措施,而不是用户有无访问权限的身份验证措施。
应该看到,在登录的过程中,如果没有正确的账号和密码,软件不会直接登录商家的账户系统,当然也就不会 “侵入”计算机信息系统。即使软件避开图形、滑块验证和IP检测等限流措施,在之后并没有什么系统被侵入。事实上,真正决定是否未经授权“侵入”的是账号密码、手机号等身份验证措施。因此,上述案例中,规避人机区分措施或反爬虫措施,但通过账号密码授权登录账户系统的行为,不属于未经授权侵入计算机信息系统。
综上,在对计算机领域中的各种行为进行法律定性时,不能脱离技术原理和行业规则。对实施的各种计算机行为,应结合其功能目的认定其法律性质。在认定非法侵入计算机信息系统行为的过程中,不能只看是否规避了计算机中设置的技术保护措施,而应从本质上考察是否规避与“授权”有关的身份验证措施,从而未经授权获取计算机信息系统的访问权限。不能将规避限流措施的“高频访问”行为错误地认定为非法侵入系统的行为。法律人应该以技术事实的精准还原为基础,以法律构成要件的精细拆解为核心,准确认定各种新型疑难复杂的计算机类犯罪案件。
