随着互联网技术的发展,从业人员逐渐增多,非法获取信息数据的灰色产业链也逐渐形成规模;
立法在逐步完善,一些游走在法律边缘的行为也被纳入刑法视野;需要法律从业人员对各种新型犯罪行为的操作方式有所了解。
本文通过一个真实案例来解析《刑法》第285条第2款-非法获取计算机信息系统数据罪,以及此罪与侵犯公民个人信息罪、破坏计算机信息系统罪的区别。
01 用户账号遭泄密
先了解一个互联网获取数据的行为-“撞库”。
“撞库”就是不法分子发现并利用一些网站(尤其小网站)的安全漏洞盗取用户账号密码等信息库(约40亿用户数据),然后根据各大网络账号登录规则制作“撞库”机,将盗取的账号密码与各大网站进行匹配测试,这些能和大网站互相匹配的账号和密码就被清洗了出来。
2015年12月-2016年4月,D科技公司威胁情报部门检测到,大量外部恶意IP持续对公司账号进行“撞库”,检测结果显示有大量D账号被成功登录;
同期D云后台、邮件、官方微博、内网等渠道陆续收到5000多名用户反馈“账号因被盗而封禁以及文件丢失”“D云被塞入黄片”,给D公司用户及社会造成极大损失。
D云账号和密码都属于D公司,用户拥有D云的账号和密码使用权。
2016年6月,D公司向公安机关报案,有人公开出售D账号扫号器并非法获取大量D公司数据库内储存的D账号。
经侦查,公安机关将嫌疑人抓获归案。
02 “撞库”泄密是犯罪行为
2015年12月-2016年4月,犯罪人使用“D账号改密”“HI扫号机-自用”等专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对D公司的计算机信息系统实施“撞库”,非法获取D公司储存的用户身份认证信息4674组;
同时,还将上述专门用于侵入计算机信息系统的程序通过QQ群、网站等出售给他人,违法所得共计人民币31000元,构成非法获取计算机信息系统数据罪,及侵入计算机信息系统的程序罪。
03 案件焦点
本案焦点:使用“撞库”软件获取用户账号和密码是否属于非法获取计算机信息系统数据罪的行为,该行为是否也符合侵犯公民个人信息罪。
《网络安全法》第27条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具... ...”
第44条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
所以,任何非法侵入、干扰、窃取他人网络及信息,以及提供此类工具、程序的行为,都属于违法行为;盗窃公民信息的行为也是违法行为,严重的违法行为就构成犯罪。
04 犯罪性分析
非法获取计算机信息系统数据罪,最重要的是对非法获取行为的理解,行为人在常规渠道获得的用户信息和数据,是否应构成非法获取。
非法获取计算机信息系统罪所要惩戒的是用非法手段获取计算机信息系统数据的行为,或者说是行为人没有得到授权或超越授权获得数据的行为;
行为人即使有权进入他人计算机信息系统,但其获取或超越授权获取无权获取数据的,仍可构成本罪。
“撞库”这种获取数据和用户信息的方式,需要用已知的数据库比对未知的数据库,其比对原理是基于用户使用同一账号和密码注册登录不同网站的习惯;这种获取用户未知数据的行为本身就是个测试过程,对犯罪人而言是“撞运气”的过程;
比对成功的用户信息和密码对于犯罪人而言才是有价值的,也是犯罪人所希望获得的新数据,获取这种数据没有经过用户和D公司授权,所以“撞库”就是非法获取计算机系统数据的行为。
D云的账号和密码都属于D公司,用户拥有D云的账号和密码使用权,没有经过任何一方的许可就获得数据,是符合犯罪构成客观要件的。
至于犯罪人获得的数据是否从合法渠道获得,不是本案所惩戒的行为,原始数据来源的合法性与否不是该案件评价的对象。
犯罪人使用“撞库”将用户的账号和密码确认后,再售卖用户信息、修改密码、盗取账号中的财务等行为,还可能构成侵犯公民个人信息罪、盗窃罪、破坏计算机系统罪等罪名,可以与本罪数罪并罚。
05 扩展理解
1.非法获取计算机信息系统罪与侵犯公民个人信息罪的区别
“撞库”行为在定性上除了罪与非罪,还存在与侵犯公民个人信息罪的区别。
侵犯公民个人信息罪的犯罪方式是非法获取、出售或提供公民个人信息,这两个罪名最重要的区别是非法获取的对象;
公民信息更偏向于与公民身份和特定活动有关的数据,计算机信息系统数据是更广泛的上位概念;
如本案中数据的拥有者是D公司,使用者是用户,这些用户账号和密码是D公司的数据资源,不能直接反映自然人身份和特定自然人活动情况,所以作为计算机信息系统数据更合适。
2.非法获取计算机信息系统罪与破坏计算机信息系统罪的区别
根据《刑法》第286条规定,破坏计算机信息系统罪是对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的行为;
或对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作,后果严重的行为;
或故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
本案中,犯罪人没有造成D公司系统的破坏,也没有产生不能正常运行的严重后果;犯罪人获取的信息数据,不是对存储、处理或传输的数据和应用程序进行删除、修改、增加的操作,所以不构成破坏计算机信息系统罪。
END
声 明 本号文章仅供分享、学习与交流,不作为对阅读者出具的正式法律意见或建议。如需转载或引用任何内容,请提前经本所书面同意,并注明出处。如您对有关议题感兴趣,欢迎与本所联系、交流与探讨。 天平律师事务所是司法部早期批准设立的律师事务所,总部在北京; 探讨法律实务,分享法律观察,为您提供专业法律服务。
北京市天平律师事务所
京公网安备 11010502053037号