丁某提供侵入计算机信息系统程序案
——“专门用于侵入、非法控制计算机信息系统的程序、工具”的认定
2024-12-12 14:21:48 | 来源:人民法院报
 

  入库编号 2024-18-1-253-001

  关键词 刑事 提供侵入、非法控制计算机信息系统程序、工具罪 专门用于侵入、非法控制计算机信息系统的程序、工具 网络爬虫

  基本案情

  2021年10月5日,被告人丁某在经营马鞍山某信息咨询有限公司期间,从丁某某(另案处理)处购买“汇易获客”软件代理权,明知该款软件未经授权,专门用于入侵短视频平台服务器非法获取用户昵称、UID、sec_uid、留言、评论等未授权人员访问受限的数据,仍将软件改名为“客多多精准获客”并对外销售。2021年10月至12月,丁某在安徽省马鞍山市花山区某大厦,组织其公司销售人员通过网络向他人销售“客多多精准获客”软件。经鉴定,送检的“采集端1.5.vmp.exe”程序在实现获取短视频平台当前热门话题功能的过程中,先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址获取X-Gorgon值,最后根据X-Gorgon、X-Khronos等参数值发送GET请求获取短视频平台服务器中上述数据。丁某到案后,如实供述自己的犯罪事实,并退出销售“客多多精准获客”软件的全部违法所得。

  江苏省无锡市梁溪区人民法院于2022年5月10日作出(2022)苏0213刑初223号刑事判决:被告人丁某犯提供侵入计算机信息系统程序罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币三万元;禁止被告人丁某在缓刑考验期限内从事互联网相关经营活动。宣判后,没有抗诉、上诉,判决已发生法律效力。

  裁判理由

  法院生效裁判认为:本案争议焦点在于被告人丁某向他人提供的“客多多精准获客”软件是否属于刑法规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”。

  刑法第二百八十五条第三款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第二条进一步规定:“有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。”据此,认定“专门用于侵入、非法控制计算机信息系统的程序、工具”,关键有二:一是程序本身具有避开或者突破计算机信息系统安全保护措施的功能;二是程序、工具获取数据和控制的功能,在设计上能在未经授权或者超越授权的状态下得以实现,这是该类程序、工具区别于“中性程序、工具”的典型特征。此外,刑法未专门规定“专门用于非法获取计算机信息系统数据的程序、工具”,而非法获取计算机信息系统数据的行为通常需要以侵入为前提,故一般可以将该类工具归入“专门用于侵入计算机信息系统的程序、工具”的范畴。

  本案中,短视频平台服务器采用以X-Gorgon加密算法进行签名校验的安全保护措施。具体而言,短视频平台服务器根据发送数据请求用户的信息运用算法得出特定的X-Gorgon参数值,与数据请求中所携带的X-Gorgon参数值进行匹配,以验证请求的合法性。而涉案“客多多精准获客”软件,经鉴定,系先发送验证请求至特定IP地址的服务器中“天盾服务端”程序进行验证,之后发送POST请求至特定网址非法获取X-Gorgon值,最后利用算法解析出加密的X-Gorgon等参数值发送GET请求获取短视频平台服务器数据。可见,该软件可以避开短视频平台服务器系统安全保护措施,进而未经授权非法获取服务器中用户昵称、UID、sec_uid、留言、评论等访问受限的数据。据此,该程序属于刑法规定的“专门用于侵入计算机信息系统的程序”。故而,被告人丁某伙同他人,提供专门用于侵入计算机信息系统的程序,情节严重,其行为已构成提供侵入计算机信息系统程序罪。经综合考虑被告人丁某在共同犯罪中所起作用,以及归案后如实供述自己的罪行,自愿认罪认罚等情节,法院宣告缓刑,并依法适用禁止令。

  裁判要旨

  具有避开或者突破网络平台等计算机信息系统安全保护措施,使他人非法获取访问受限的数据的软件,属于刑法第二百八十五条第三款规定的“专门用于侵入计算机信息系统的程序”。行为人提供上述软件,情节严重的,依法以提供侵入计算机信息系统程序罪定罪处罚。

  关联索引

  《中华人民共和国刑法》第285条第3款

  《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第2条、第3条

  一审:江苏省无锡市梁溪区人民法院(2022)苏0213刑初223号刑事判决(2022年5月10日)

责任编辑:张婧