|
——以于某非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪為例 紀(jì)敬玲 楊程(海淀區(qū)人民檢察院科技犯罪檢察部) 犯罪嫌疑人于某系某互聯(lián)網(wǎng)公司網(wǎng)絡(luò)工程師���,該公司內(nèi)部使用一款企業(yè)即時(shí)聊天App作為內(nèi)部人員溝通交流的辦公軟件��,員工通過(guò)其個(gè)人賬號(hào)��、密碼使用手機(jī)登陸后�,如有工作需要��,可與公司內(nèi)任一員工即時(shí)聊天,并可點(diǎn)擊查看公司員工備注的姓名����、員工號(hào)、手機(jī)號(hào)碼�、職位職級(jí)以及公司組織架構(gòu)等信息,App后臺(tái)會(huì)將訪(fǎng)問(wèn)記錄予以記錄��,公司內(nèi)部制度規(guī)定非因工作需要不得隨意查看其他員工的數(shù)據(jù)信息���。2018年2月�����,于某對(duì)該聊天軟件的源代碼進(jìn)行反向編譯���,查找到該聊天工具傳送員工信息數(shù)據(jù)的服務(wù)器接口,后編寫(xiě)了專(zhuān)門(mén)的爬蟲(chóng)程序���,在其使用其賬號(hào)密碼登陸App后�,該程序自動(dòng)運(yùn)行����,向該接口循環(huán)發(fā)送訪(fǎng)問(wèn)請(qǐng)求�����,成功從該隱藏接口爬取到6萬(wàn)余名員工的姓名���、員工號(hào)�、手機(jī)號(hào)碼、職位職級(jí)以及公司組織架構(gòu)等信息�。截止案發(fā)時(shí),上述數(shù)據(jù)儲(chǔ)存于該人的辦公電腦內(nèi)�,并未帶離公司。 使用爬蟲(chóng)程序批量獲取內(nèi)部公開(kāi)數(shù)據(jù)能否評(píng)價(jià)為“非法”獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)? (一)分歧意見(jiàn) 第一種觀(guān)點(diǎn)認(rèn)為,于某構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪����。行為人雖經(jīng)公司許可的賬號(hào)權(quán)限對(duì)App內(nèi)數(shù)據(jù)具有一定的訪(fǎng)問(wèn)權(quán),有正當(dāng)理由可以獲取App內(nèi)數(shù)據(jù)���,但公司設(shè)定了獲取數(shù)據(jù)的路徑����,即登錄App逐一點(diǎn)擊查看,在此過(guò)程中后臺(tái)會(huì)對(duì)該訪(fǎng)問(wèn)予以記錄�����。于某使用爬蟲(chóng)程序�����,并非按照設(shè)定的訪(fǎng)問(wèn)路徑�,而是通過(guò)反編譯找到的接口批量對(duì)系統(tǒng)數(shù)據(jù)資源進(jìn)行訪(fǎng)問(wèn)并獲取的行為已屬于超越權(quán)限,構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪��。 第二種觀(guān)點(diǎn)認(rèn)為���,于某的行為不構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪�。App賬號(hào)密碼授予了于某查閱數(shù)據(jù)的權(quán)限����,其獲取的系統(tǒng)數(shù)據(jù)庫(kù)雖在表現(xiàn)形式及訪(fǎng)問(wèn)效率上與在App內(nèi)訪(fǎng)問(wèn)并不一致,但都是員工姓名�、員工號(hào)、手機(jī)號(hào)碼等信息,因而并無(wú)本質(zhì)不同�����。其雖并沒(méi)有按照App設(shè)定的路徑進(jìn)行訪(fǎng)問(wèn)����,但在不引起其他危害后果的情況下,采用不同的方式獲取有訪(fǎng)問(wèn)權(quán)限的數(shù)據(jù)不能認(rèn)定為“非法”獲取����,于某的行為不構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪�。 爬蟲(chóng):網(wǎng)絡(luò)爬蟲(chóng)是一種按照一定的規(guī)則,自動(dòng)的抓取萬(wàn)維網(wǎng)信息的程序或者腳本���,通俗的將就是能夠自動(dòng)訪(fǎng)問(wèn)互聯(lián)網(wǎng)并將網(wǎng)站內(nèi)容下載下來(lái)的程序或者腳本����。
反向編譯:反向編譯�����,也稱(chēng)為計(jì)算機(jī)軟件源代碼還原工程�����,是指通過(guò)對(duì)他人軟件的目標(biāo)程序源代碼進(jìn)行逆向分析、研究�����,以推導(dǎo)出他人的軟件產(chǎn)品所使用的思路�����、原理���、結(jié)構(gòu)���、算法、處理過(guò)程���、運(yùn)行方法等設(shè)計(jì)要素����。 在大規(guī)模使用爬蟲(chóng)程序批量獲取目標(biāo)系統(tǒng)內(nèi)的數(shù)據(jù)時(shí)����,由于短時(shí)間內(nèi)向目標(biāo)服務(wù)器發(fā)送請(qǐng)求量超過(guò)服務(wù)器所能承受的量,可能造成DDOS攻擊的效果,導(dǎo)致目標(biāo)服務(wù)器癱瘓���,這種行為有可能構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪���。 鑒于技術(shù)的復(fù)雜多樣性,爬蟲(chóng)程序爬取數(shù)據(jù)是否構(gòu)成犯罪不應(yīng)一概而論���,而應(yīng)以個(gè)案的證據(jù)為準(zhǔn)���,下文的討論僅限于本案例中的證據(jù)范圍。 (二)分析意見(jiàn) 筆者同意第二種觀(guān)點(diǎn)��,于某在經(jīng)公司授權(quán)范圍內(nèi)�����,使用反向編譯技術(shù)找到數(shù)據(jù)傳輸接口���,使用爬蟲(chóng)程序批量獲取系統(tǒng)數(shù)據(jù)庫(kù)資源,并未超越權(quán)限��,不構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪��。 于某的行為由三個(gè)部分組成。一是通過(guò)反向編譯對(duì)軟件源代碼分析��,找到員工數(shù)據(jù)信息訪(fǎng)問(wèn)接口�。根據(jù)常理,訪(fǎng)問(wèn)接口是一段代碼并經(jīng)過(guò)復(fù)雜編譯�����,不能為一般人直接讀取���,鑒于此��,于某使用反向編譯的方式���,通過(guò)對(duì)他人軟件的目標(biāo)程序源代碼進(jìn)行逆向分析、研究�����,以推導(dǎo)出他人的軟件產(chǎn)品所使用的思路��、原理��、結(jié)構(gòu)����、算法���、處理過(guò)程、運(yùn)行方法等設(shè)計(jì)要素��,從而找到了訪(fǎng)問(wèn)接口���。二是根據(jù)公司授權(quán)的賬號(hào)密碼登錄App軟件��;三是在登錄的同時(shí)����,使用爬蟲(chóng)程序循環(huán)訪(fǎng)問(wèn)上述接口����,批量從接口獲取員工的系統(tǒng)數(shù)據(jù)信息。需要強(qiáng)調(diào)的是�����,訪(fǎng)問(wèn)接口雖經(jīng)編譯���,但一定是對(duì)登錄者開(kāi)放的�,否則軟件功能無(wú)法實(shí)現(xiàn)�。 非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪包括兩種行為模式,一是“侵入”并“獲取”��;二是“利用其它技術(shù)手段”并“獲取”��。 所謂侵入計(jì)算機(jī)信息系統(tǒng)����,是指未經(jīng)授權(quán)或者超越授權(quán),獲得刪除����、增加、修改或者獲取計(jì)算機(jī)信息系統(tǒng)存儲(chǔ)�、處理或者傳輸?shù)臋?quán)限。侵入的本質(zhì)特征是未經(jīng)授權(quán)或者超越授權(quán)���。首先���,于某的行為非“未經(jīng)授權(quán)”,于某系公司員工�����,具有App登錄權(quán)限,其有權(quán)進(jìn)入該計(jì)算機(jī)信息系統(tǒng),能夠在合法合規(guī)地瀏覽聊天工具內(nèi)全部聯(lián)系人的相關(guān)信息����。其次,于某的行為非“超越授權(quán)”����。從司法實(shí)踐來(lái)看,對(duì)于超越權(quán)限的具體情形可能包含以下兩種:一種是通過(guò)技術(shù)手段提高授權(quán)�,獲得對(duì)計(jì)算機(jī)信息系統(tǒng)的更高權(quán)限,如在網(wǎng)絡(luò)攻擊中�����,很多攻擊方法屬于提升權(quán)限的攻擊方法����,亦即通過(guò)合法渠道獲得某個(gè)系統(tǒng)的一般權(quán)限后,利用系統(tǒng)漏洞將自己的權(quán)限提升到管理員的權(quán)限����,以獲得對(duì)系統(tǒng)的控制權(quán)。于某使用的爬蟲(chóng)程序向訪(fǎng)問(wèn)接口循環(huán)發(fā)送請(qǐng)求的機(jī)制獲取信息的過(guò)程��,與正常登陸后點(diǎn)擊員工姓名獲取的員工信息的過(guò)程���,從技術(shù)的角度上來(lái)看是向同一接口發(fā)送同種信息請(qǐng)求��,唯一的區(qū)別在于爬蟲(chóng)策略模擬人工點(diǎn)擊的過(guò)程���,極大的提高了訪(fǎng)問(wèn)請(qǐng)求的效率,因而并未“提高授權(quán)”����。一種是違反授權(quán)的權(quán)限范圍或者時(shí)間范圍,如員工辭職之后仍然使用原公司擁有的登錄權(quán)限獲取原公司計(jì)算機(jī)中存儲(chǔ)的數(shù)據(jù)�。于某使用爬蟲(chóng)程序爬取數(shù)據(jù)的時(shí)間屬于在職期間,爬取的信息內(nèi)容也為其權(quán)限內(nèi)可查看的信息���,亦無(wú)違法時(shí)間的權(quán)限�����。 所謂采取其他技術(shù)手段����,是指“侵入”以外的技術(shù)手段�����,如利用釣魚(yú)網(wǎng)站、中途劫持等技術(shù)手段�����,騙取�����、劫持?jǐn)?shù)據(jù)��,并不需要進(jìn)入他人計(jì)算機(jī)信息系統(tǒng)即可獲取他人計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)的數(shù)據(jù)�。從上述行為來(lái)看,使用權(quán)限登錄App是其獲取數(shù)據(jù)的必要前提�����,即必須要進(jìn)入計(jì)算機(jī)信息系統(tǒng)才能獲取數(shù)據(jù)�����,因而于某的行為明顯不符合“采取其他技術(shù)手段”獲取數(shù)據(jù)�����。 此外,從被爬取的數(shù)據(jù)性質(zhì)角度來(lái)看�,該數(shù)據(jù)包含公民姓名、員工號(hào)����、電話(huà)號(hào)碼屬于公民個(gè)人信息����,于某為公司正式員工,根據(jù)公司的授權(quán)登陸聊天工具后能夠即時(shí)瀏覽到本案中的全部員工數(shù)據(jù)���,該信息屬于其職權(quán)范圍內(nèi)可以知曉的內(nèi)容����,而其使用數(shù)據(jù)爬取策略���,僅僅系提高了查閱的效率�,而非本質(zhì)上的越權(quán)獲取或者竊取等非法手段���,同理亦不構(gòu)成侵犯公民個(gè)人信息罪��。綜上����,檢察機(jī)關(guān)對(duì)于某作出不予批準(zhǔn)逮捕的決定。 值得注意的是�����,本案中于某辯解稱(chēng)其爬取數(shù)據(jù)是為了檢驗(yàn)軟件的抗風(fēng)險(xiǎn)性以及試驗(yàn)自身的技術(shù)水平����,但從案件辦理過(guò)程中可以看出,類(lèi)似的爬取行為對(duì)企業(yè)的數(shù)據(jù)信息造成了一定的風(fēng)險(xiǎn)���。被爬取的數(shù)據(jù)不限于公民個(gè)人信息��,有可能是內(nèi)部經(jīng)營(yíng)信息���、技術(shù)信息,一旦泄露企業(yè)將承擔(dān)不利的后果���。因此����,企業(yè)應(yīng)當(dāng)從反爬策略����、技術(shù)防護(hù)�、完善內(nèi)部規(guī)章等方面加強(qiáng)對(duì)相關(guān)數(shù)據(jù)信息的保護(hù)����,行為人也不得隨意收集、使用他人信息����。
|
