|
——以于某非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪為例 紀(jì)敬玲 楊程(海淀區(qū)人民檢察院科技犯罪檢察部) 犯罪嫌疑人于某系某互聯(lián)網(wǎng)公司網(wǎng)絡(luò)工程師���,該公司內(nèi)部使用一款企業(yè)即時聊天App作為內(nèi)部人員溝通交流的辦公軟件��,員工通過其個人賬號�����、密碼使用手機(jī)登陸后�����,如有工作需要�����,可與公司內(nèi)任一員工即時聊天��,并可點擊查看公司員工備注的姓名��、員工號��、手機(jī)號碼�����、職位職級以及公司組織架構(gòu)等信息�,App后臺會將訪問記錄予以記錄�,公司內(nèi)部制度規(guī)定非因工作需要不得隨意查看其他員工的數(shù)據(jù)信息�����。2018年2月�,于某對該聊天軟件的源代碼進(jìn)行反向編譯���,查找到該聊天工具傳送員工信息數(shù)據(jù)的服務(wù)器接口��,后編寫了專門的爬蟲程序��,在其使用其賬號密碼登陸App后����,該程序自動運行���,向該接口循環(huán)發(fā)送訪問請求���,成功從該隱藏接口爬取到6萬余名員工的姓名、員工號����、手機(jī)號碼、職位職級以及公司組織架構(gòu)等信息�。截止案發(fā)時����,上述數(shù)據(jù)儲存于該人的辦公電腦內(nèi)�,并未帶離公司。 使用爬蟲程序批量獲取內(nèi)部公開數(shù)據(jù)能否評價為“非法”獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)? (一)分歧意見 第一種觀點認(rèn)為,于某構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪�����。行為人雖經(jīng)公司許可的賬號權(quán)限對App內(nèi)數(shù)據(jù)具有一定的訪問權(quán)��,有正當(dāng)理由可以獲取App內(nèi)數(shù)據(jù)�,但公司設(shè)定了獲取數(shù)據(jù)的路徑,即登錄App逐一點擊查看���,在此過程中后臺會對該訪問予以記錄����。于某使用爬蟲程序��,并非按照設(shè)定的訪問路徑����,而是通過反編譯找到的接口批量對系統(tǒng)數(shù)據(jù)資源進(jìn)行訪問并獲取的行為已屬于超越權(quán)限,構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪����。 第二種觀點認(rèn)為,于某的行為不構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪�����。App賬號密碼授予了于某查閱數(shù)據(jù)的權(quán)限��,其獲取的系統(tǒng)數(shù)據(jù)庫雖在表現(xiàn)形式及訪問效率上與在App內(nèi)訪問并不一致�����,但都是員工姓名���、員工號�����、手機(jī)號碼等信息��,因而并無本質(zhì)不同���。其雖并沒有按照App設(shè)定的路徑進(jìn)行訪問����,但在不引起其他危害后果的情況下���,采用不同的方式獲取有訪問權(quán)限的數(shù)據(jù)不能認(rèn)定為“非法”獲取�����,于某的行為不構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪��。 爬蟲:網(wǎng)絡(luò)爬蟲是一種按照一定的規(guī)則����,自動的抓取萬維網(wǎng)信息的程序或者腳本���,通俗的將就是能夠自動訪問互聯(lián)網(wǎng)并將網(wǎng)站內(nèi)容下載下來的程序或者腳本��。
反向編譯:反向編譯��,也稱為計算機(jī)軟件源代碼還原工程��,是指通過對他人軟件的目標(biāo)程序源代碼進(jìn)行逆向分析����、研究�����,以推導(dǎo)出他人的軟件產(chǎn)品所使用的思路�����、原理��、結(jié)構(gòu)���、算法�、處理過程�����、運行方法等設(shè)計要素����。 在大規(guī)模使用爬蟲程序批量獲取目標(biāo)系統(tǒng)內(nèi)的數(shù)據(jù)時,由于短時間內(nèi)向目標(biāo)服務(wù)器發(fā)送請求量超過服務(wù)器所能承受的量,可能造成DDOS攻擊的效果����,導(dǎo)致目標(biāo)服務(wù)器癱瘓,這種行為有可能構(gòu)成破壞計算機(jī)信息系統(tǒng)罪����。 鑒于技術(shù)的復(fù)雜多樣性,爬蟲程序爬取數(shù)據(jù)是否構(gòu)成犯罪不應(yīng)一概而論���,而應(yīng)以個案的證據(jù)為準(zhǔn)���,下文的討論僅限于本案例中的證據(jù)范圍。 (二)分析意見 筆者同意第二種觀點����,于某在經(jīng)公司授權(quán)范圍內(nèi),使用反向編譯技術(shù)找到數(shù)據(jù)傳輸接口��,使用爬蟲程序批量獲取系統(tǒng)數(shù)據(jù)庫資源�,并未超越權(quán)限,不構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪�。 于某的行為由三個部分組成。一是通過反向編譯對軟件源代碼分析����,找到員工數(shù)據(jù)信息訪問接口�����。根據(jù)常理�,訪問接口是一段代碼并經(jīng)過復(fù)雜編譯���,不能為一般人直接讀取,鑒于此�,于某使用反向編譯的方式,通過對他人軟件的目標(biāo)程序源代碼進(jìn)行逆向分析��、研究����,以推導(dǎo)出他人的軟件產(chǎn)品所使用的思路、原理�、結(jié)構(gòu)、算法���、處理過程�����、運行方法等設(shè)計要素����,從而找到了訪問接口。二是根據(jù)公司授權(quán)的賬號密碼登錄App軟件���;三是在登錄的同時���,使用爬蟲程序循環(huán)訪問上述接口,批量從接口獲取員工的系統(tǒng)數(shù)據(jù)信息���。需要強(qiáng)調(diào)的是����,訪問接口雖經(jīng)編譯����,但一定是對登錄者開放的,否則軟件功能無法實現(xiàn)���。 非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪包括兩種行為模式�����,一是“侵入”并“獲取”�;二是“利用其它技術(shù)手段”并“獲取”。 所謂侵入計算機(jī)信息系統(tǒng)����,是指未經(jīng)授權(quán)或者超越授權(quán),獲得刪除����、增加、修改或者獲取計算機(jī)信息系統(tǒng)存儲�����、處理或者傳輸?shù)臋?quán)限���。侵入的本質(zhì)特征是未經(jīng)授權(quán)或者超越授權(quán)。首先�����,于某的行為非“未經(jīng)授權(quán)”���,于某系公司員工�����,具有App登錄權(quán)限����,其有權(quán)進(jìn)入該計算機(jī)信息系統(tǒng),能夠在合法合規(guī)地瀏覽聊天工具內(nèi)全部聯(lián)系人的相關(guān)信息。其次����,于某的行為非“超越授權(quán)”。從司法實踐來看�,對于超越權(quán)限的具體情形可能包含以下兩種:一種是通過技術(shù)手段提高授權(quán),獲得對計算機(jī)信息系統(tǒng)的更高權(quán)限�,如在網(wǎng)絡(luò)攻擊中,很多攻擊方法屬于提升權(quán)限的攻擊方法�,亦即通過合法渠道獲得某個系統(tǒng)的一般權(quán)限后,利用系統(tǒng)漏洞將自己的權(quán)限提升到管理員的權(quán)限�,以獲得對系統(tǒng)的控制權(quán)。于某使用的爬蟲程序向訪問接口循環(huán)發(fā)送請求的機(jī)制獲取信息的過程�,與正常登陸后點擊員工姓名獲取的員工信息的過程,從技術(shù)的角度上來看是向同一接口發(fā)送同種信息請求���,唯一的區(qū)別在于爬蟲策略模擬人工點擊的過程����,極大的提高了訪問請求的效率,因而并未“提高授權(quán)”��。一種是違反授權(quán)的權(quán)限范圍或者時間范圍�,如員工辭職之后仍然使用原公司擁有的登錄權(quán)限獲取原公司計算機(jī)中存儲的數(shù)據(jù)。于某使用爬蟲程序爬取數(shù)據(jù)的時間屬于在職期間����,爬取的信息內(nèi)容也為其權(quán)限內(nèi)可查看的信息,亦無違法時間的權(quán)限�����。 所謂采取其他技術(shù)手段���,是指“侵入”以外的技術(shù)手段�,如利用釣魚網(wǎng)站��、中途劫持等技術(shù)手段�����,騙取��、劫持?jǐn)?shù)據(jù)���,并不需要進(jìn)入他人計算機(jī)信息系統(tǒng)即可獲取他人計算機(jī)信息系統(tǒng)中存儲的數(shù)據(jù)��。從上述行為來看���,使用權(quán)限登錄App是其獲取數(shù)據(jù)的必要前提,即必須要進(jìn)入計算機(jī)信息系統(tǒng)才能獲取數(shù)據(jù)��,因而于某的行為明顯不符合“采取其他技術(shù)手段”獲取數(shù)據(jù)�����。 此外��,從被爬取的數(shù)據(jù)性質(zhì)角度來看����,該數(shù)據(jù)包含公民姓名、員工號�����、電話號碼屬于公民個人信息��,于某為公司正式員工���,根據(jù)公司的授權(quán)登陸聊天工具后能夠即時瀏覽到本案中的全部員工數(shù)據(jù)�,該信息屬于其職權(quán)范圍內(nèi)可以知曉的內(nèi)容,而其使用數(shù)據(jù)爬取策略��,僅僅系提高了查閱的效率�,而非本質(zhì)上的越權(quán)獲取或者竊取等非法手段,同理亦不構(gòu)成侵犯公民個人信息罪�。綜上,檢察機(jī)關(guān)對于某作出不予批準(zhǔn)逮捕的決定�����。 值得注意的是����,本案中于某辯解稱其爬取數(shù)據(jù)是為了檢驗軟件的抗風(fēng)險性以及試驗自身的技術(shù)水平,但從案件辦理過程中可以看出�,類似的爬取行為對企業(yè)的數(shù)據(jù)信息造成了一定的風(fēng)險。被爬取的數(shù)據(jù)不限于公民個人信息����,有可能是內(nèi)部經(jīng)營信息��、技術(shù)信息����,一旦泄露企業(yè)將承擔(dān)不利的后果���。因此,企業(yè)應(yīng)當(dāng)從反爬策略�、技術(shù)防護(hù)、完善內(nèi)部規(guī)章等方面加強(qiáng)對相關(guān)數(shù)據(jù)信息的保護(hù)��,行為人也不得隨意收集��、使用他人信息�。
|
