法理分析
(一)违法性分析
本案焦点在于使用“撞库”软件获取用户账号和密码是否是非法获取计算机信息系统数据罪的行为,该行为是否符合侵犯公民个人信息罪。
“撞库”是一种针对数据库的攻击方式,“是通过攻击者所拥有的数据库的数据通攻击目标数据库,或者说使用用户在A网站被盗的账户密码来登录B网站,因为很多用户在不同网站使用的是相同的账号密码,因此可以起到获取用户在B网站的用户账户”[3]。因此“撞库”软件的作用是帮助攻击者比对已知信息进而获得用户未知但潜在信息的行为,这一行为本身就具有违法性。
使用“撞库”软件比对获取用户账号和密码的行为已经违反法律规定。全国人大常委会发布的互联网基础性法律《网络安全法》第二十七条规定:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具……”第四十四条规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
按照《网络安全法》的规定,任何非法侵入、干扰、窃取他人网络及信息,以及提供此类工具、程序的行为,都属于违法行为。盗窃公民个人信息的行为也是违法行为。严重的违法行为在触碰刑事法律后,就会成为犯罪行为。
本案中古乐先是获得了用户的信息,此信息的来源虽然无法证明是否非法,但是古乐利用已知的用户信息去测试、获取用户可能存在的其他账号和密码,在没有获得度度公司和用户许可的情况下,通过技术手段比对获得正确的用户信息,这已经违反了《网络安全法》,具有违法性。
此外,古乐还将“撞库”软件进行贩卖,通过贩卖这种窃取网络数据的程序以获利,贩卖这种软件的行为也是违反法律规定的。
(二)犯罪性分析
《刑法》第二百八十五条第二款规定:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
《刑法》第二百八十五条第三款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”
按照最高人民法院、最高人民检察院2011年出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机信息系统解释》)第一条:“非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的‘情节严重’:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的‘情节特别严重’:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。”
非法获取计算机信息系统数据罪中,最重要的是对非法获取行为的理解。辩护人提出的辩护观点也是古乐是在常规渠道获得的用户信息和数据,这一行为不能认定为非法获取。
非法获取计算机信息系统数据罪所要惩戒的是用非法手段获取计算机信息系统数据的行为,或者说是行为人没有得到授权或者超越授权获得数据的行为。“在行为人即使有权进入他人计算机信息系统,但其获取或超越授权获取无权获取数据的,仍可构成本罪。”[4]
“撞库”这种获取数据和用户信息的方式,需要用已知的数据库去比对未知的数据库,其比对的原理是基于用户使用同一账号和密码注册登录不同网站的习惯,这种获取用户未知数据的行为本身就是个测试的过程,对犯罪人而言是个“撞运气”的过程,比对成功的用户信息和密码对于犯罪人而言才是有价值的,也是犯罪人所希望获得的新数据,获取这种数据没有经过用户和度度公司授权,所以“撞库”就是非法获取计算机信息系统数据的行为。
受到“撞库”攻击的度度公司也向司法机关详细解释了,度度云的账号和密码都属于度度公司,用户拥有度度云的账号和密码使用权,没有经过任何一方的许可就获得数据,这一行为是符合犯罪构成客观要件的。
至于辩护人所提到的古乐获得的数据是从合法渠道获得的,这一行为则不是本案所惩戒的行为,原始数据来源的合法性与否不是该案件评价的对象。
该案中受到法律惩戒的行为是使用“撞库”软件获取到用户未知账号和密码的行为,所以对于辩护人的这一辩护意见合议庭没有采纳。
本案中,古乐非法获取计算机信息数据,而且这种信息属于除了“获取支付结算、证券交易、期货交易等网络金融服务”以外的身份信息,数量超过五百组,符合《刑法》第二百八十五条第二款规定的“情节严重”,已经达到需要刑事处罚的程度,构成了非法获取计算机信息系统数据罪。
此外,使用“撞库”将用户的账号和密码确认后,再售卖用户信息、修改密码、盗取账号中的财物等行为,则可能构成侵犯公民个人信息罪、盗窃罪、破坏计算机信息系统罪等罪名,可以与本罪数罪并罚。
(三)数罪并罚
关于古乐出售“撞库”软件的行为,辩护人提出了吸收犯的辩护意见。吸收犯是指犯罪人事实上实施了两个以上的犯罪行为,两个行为之间具有紧密联系,比如前因后果等,在刑事处罚上,一般仅以其中一个行为作为评价对象,予以定罪量刑。
吸收犯的数个犯罪行为之间应具有紧密的联系,而本案中古乐通过“撞库”软件撞库非法获取度度公司大量用户身份认证信息的行为,与出售“撞库”软件之间的行为并不存在这种紧密联系的关系,所以应对出售“撞库”软件的行为予以单独评价、数罪并罚。
根据《计算机信息系统解释》第二条规定,“具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具”。
该案中古乐出售的“撞库”软件正具有避开密保措施、未经授权或超越授权获取计算机信息系统数据的功能。所以出售提供此类软件的行为是符合犯罪构成要件的,依法应予以定罪。