通过在运营商服务器中添加恶意程序劫持用户流量涉嫌非法控制 计算机信息系统罪的行为模式分析及辩护策略
车冲:经济犯罪案件辩护律师、广强律师事务所经济犯罪辩护与研究中心秘书长
提起流量劫持往往第一个想起的就是运营商劫持,可能每一个上网的用户都曾经遇到过原本想访问A网站,但实际上打开的是B网站或者出现弹窗、嵌入式广告等其他内容的情况。所谓流量劫持,是指在服务器中添加恶意程序,以修改浏览器、锁定主页、广告弹窗、暗刷流量等方式,强制用户访问某些网站,从而造成用户流量损失的情形,而该行为的目的是为了获取推广流量。这样的行为令用户深恶痛绝,企业和正规网站亦深受其害,正常业务和企业形象均受到不同程度的影响。在2015年年底,今日头条、美团、大众点评网、360等六家公司共同发表了一篇抵制运营商流量劫持的联合声明。
而近日,堪称“史上最大规模数据窃取案”被浙江绍兴越城区警方侦破。该案中,以邢松健为首的犯罪集团,以北京瑞智华胜科技股份有限公司(以下简称瑞智华胜)、北京中科云智公司(以下简称中科云智)和北京点智互动信息技术有限公司(以下简称点智互动)三家公司为依托,由中科云智和点智互动两家公司用来获取运营商流量,而瑞智华胜则负责进行数据加工、处理,通过精准营销、恶意弹窗推广等方式将数据变现。下面,笔者以“瑞智华胜流量劫持案”为例,对该行为模式进行分析以及对非法获取计算机信息系统数据罪的定罪及量刑问题提出辩护策略:
一、通过在运营商服务器中添加恶意程序劫持用户流量涉嫌非法控制计算机信息系统罪的行为模式分析
第一,由中科云智和点智互动两家公司以竞标的方式,先后与覆盖全国多个省市的电信、移动、联通等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限。
第二,两家公司以研发、维护合作项目为名,将自主编写的恶意采集程序安插在运营商内部的服务器上,非法控制运营商的服务器。
第三,由瑞智华胜负责对数据加工、处理,通过精准营销、恶意弹窗推广等方式,非法劫持用户流量从而实现获利。
二、通过在运营商服务器中添加恶意程序劫持用户流量涉嫌非法控制计算机信息系统罪
根据我国《刑法》第二百八十五条第二款:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”由此可见,在“瑞智华胜流量劫持案”当中,以邢松健为首的犯罪集团为牟取非法利益,违法国家规定,在运营商服务器中添加恶意程序,非法控制运营商服务器,实现恶意弹窗推广,劫持用户流量的行为已涉嫌构成非法控制计算机信系统罪。
同时,根据上述条文规定,非法控制计算机信息系统罪属于情节犯,必须达到“情节严重”或者“情节特别严重”才追究刑事责任。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)对于“情节严重”、“情节特别严重”作出明确规定:第一条 非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
从我国对于非法控制计算机信息系统的量刑可以看出,如果存在非法控制计算机信息系统一百台以上的;违法所得2.5万元或者造成经济损失达到5万元的情形,则有可能被认定为“情节特别严重”,面临三年以上七年以下有期徒刑,并处罚金的刑罚。
三、通过在运营商服务器中添加恶意程序劫持用户流量的辩护策略
(一)对于通过在运营商服务器中添加恶意程序劫持用户流量编的行为,应当主张构成非法控制计算机信息系统罪而不是破坏计算机信息系统罪
根据《刑法》第二百八十五条的规定,构成非法控制计算机信系统罪的,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。而根据第二百八十六条的规定,构成破坏计算机信息系统罪的,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。由此可见,前者的量刑更轻,无疑对行为人更有利。因此,应结合行为人的客观行为和主观方面,主张行为人构成非法控制计算机信系统罪而非破坏计算机信息系统罪。
第一,在破坏计算机信息系统犯罪中,必须有专门的计算机鉴定机构对行为人安插在运营商服务器的恶意程序进行鉴定,如果鉴定意见认为该恶意程序并未对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行或者并未对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,造成后果严重的,则不能将案件定性为破坏计算机信息系统罪。
第二,即使鉴定意见认为行为人将恶意程序强行植入运营商服务器当中,影响运营商服务器的正常运行,从而得出该程序对计算机系统造成破坏性影响的结论,使得该的行为与破坏计算机信息系统罪的构成要件中的客观方面相符合,但客观方面相符合并不意味着符合整个罪名的构成要件。
第三,在主观方面,破坏计算机信息系统罪要求行为人故意造成计算机信息系统不能正常运行的后果,而非法控制计算机信息系统罪要求行为人故意该计算机信息系统实施非法控制。在“瑞智华胜流量劫持”案中,行为人在运营商服务器上安插恶意程序的目的是为了劫持用户流量,实现牟利的目的,而不是出于破坏运营商服务器本身、影响运营商服务器正常运行的目的。
第四,在司法实务当中,为牟取非法利益,实施DNS域名劫持或流量劫持的行为,通常都被认定为非法控制计算机信系统罪。以重庆市渝北区人民法院(2015)渝北法刑初字第00666号《刑事判决书》为例,法院认为被告人施硕、唐某某等人共同利用施硕的职务便利,非法控制xxxx重庆分公司的互联网域名解析系统,致使在用户访问被劫持的网站时,强行跳转到另外的页面,用户实际访问的页面与用户输入的网址不同,或者致使在用户访问网站时,自动加入推广商的代码,实施DNS域名劫持或流量劫持。被告人施硕、唐某某等人的行为符合非法控制计算机信息系统罪的构成要件,应当以非法控制计算机信息系统罪定罪处罚。
(二)针对行为人在共同犯罪中的地位和作用,以从犯为切入点提出有效的辩护意见
在共同犯罪当中,应该注意区分主从犯。具体到“瑞智华胜流量劫持”案中,根据公开资料,警方已抓获瑞智华胜公司法定代表人、董事周嘉林及监事黄健、梁修军等6名犯罪嫌疑人,但三家公司的实际控制人邢松健已逃至海外。其中,邢松健持有瑞智华胜股份后积极推进公司业务转型,由软件开发转向互联网新媒体营销业务,并成为瑞智华胜、点智互动、中科云智三家企业的实际控制人。按照司法实务的处理方式,其承担主犯的责任毋庸置疑。那在该案中的相关人员,应当承担何种责任呢?
第一,公司的部分高管人员,如果是在邢松健的指使、命令下参与在运营商处的服务器添加程序实现对用户流量的劫持的整个过程,则可主张为作用较小的主犯。
第二,对于只是负责技术层面的工作人员,可主张为从犯。在这种情形中,如果在公司只是负责编写程序,提供维护、升级等技术性工作,或者只是负责将从运营商导出的数据进行恶意弹窗推广等操作,收取固定的劳务费用,没有参与公司利益分配,应当认定在共同犯罪中起次要作用或者辅助作用的从犯,从而能够从轻甚至减轻处罚。
第三,对于从事资金结算、人事管理的工作人员,可主张为从犯。由于瑞智华胜与全国各省市运营商有合作关系,且旗下拥有大量新媒体公众号,对外为多家大型公司如天猫、京东、携程等众多知名企业提供产品营销服务,资金往来以及人员流动相当频繁。因此,通常需要大量专门负责资金结算、人事管理的工作人员,该类人员往往只是为资金流转和人事管理提供帮助,在共同犯罪中往往被认定为从犯,在司法实务中一般也只是认定为提供帮助行为而认定属于从犯。
第四,对于只是负责与运营商签订营销广告系统服务合同、为在运营商服务器中添加恶意程序劫取用户流量作前置性工作的,可主张为从犯。如果现有证据只是表明其只是负责与运营商签订营销广告系统服务合同,对公司后期安插恶意程序劫取用户流量的行为不知情的,则可主张无罪辩护。
第五,对于单纯投资入股,不清楚公司运作经营模式的股东,可主张无罪辩护。由于瑞智华胜及其关联公司作案手法新颖,获取利益的途径不同寻常,公司股东如果甚少参与公司讨论、决策活动,则难以清楚了解公司背后的运作经营模式。因此,对瑞智华胜公司及其关联公司单纯投资持股的股东,虽然参与公司盈利分配,但是实际上没有参与公司讨论、决策涉及劫取用户流量的股东会议,对公司具体运作经营模式不知情,即在客观上没有对计算机信息系统实施非法控制的行为,主观上也不存在非法控制计算机信息系统的故意,则可主张不构成非法控制计算机信息系统罪。
(三)针对非法控制计算机信息系统的数量提出有效的辩护意见
1.注意审查劫持用户流量的网页或者弹窗广告是否由自身安插在运营商服务器中的恶意程序所造成的
由于劫持用户流量成本低,回报高,隐蔽性强,许多公司甘愿铤而走险聘请黑客劫取用户流量,推广广告。因此,运营商被劫持的案件时有发生。在审查劫持用户流量的网页或者弹窗广告时,只有是通过自身安插在运营商服务器中的恶意程序劫取的用户流量,才能将该行为归属于行为人,对于不是由行为人安插恶意程序所造成劫持用户流量的情况,应该予以剔除。
2.被非法控制计算机信系统数据的数量应以行为人被抓获时核实确认的数量为准
由于行为人积极开拓市场,与全国多个省市的运营商都有业务来往,如果行为人被抓获之前只是与运营商签订了营销广告系统服务合同,并未实际拿到了运营商服务器的远程登录权限,未在运营商服务器中安插恶意程序的,则不能认定行为人对该运营商实施了非法控制计算机信系统的行为。司法实务中往往是采用抓获时确定的非法控制计算机信息系统数量来认定。因此,在辩护工作中,应该主张非法控制计算机信系统的数量以行为人被抓获时核实确认的数量为准。
(四)针对违法所得和经济损失提出有效的辩护意见
1.对违法所得的认定应当注意区分合法业务和非法业务的经济收入,不能把合法收入计算在非法控制计算机信息系统违法所得当中
由于该类型作案是通过事先与运营商签订营销广告系统服务合同,之后通过在运营商处安插恶意程序劫取用户流量从而实现获利。可见,事前为运营商提供营销广告系统服务获取的利益属于正当收入,事后通过在运营商处安插恶意程序劫取用户流量获取的利益才属于非法获利。因此,在计算违法所得时应注意区分合法业务和非法业务的经济收入,不应把合法收入计算在非法控制计算机信息系统罪违法所得当中。
2.对被害人经济损失的认定仅限于非法控制计算机信息系统的行为所造成的直接经济损失和必要费用,不包括预期收益
根据《解释》第十一条第三款“本解释所称“经济损失”,包括危害计算机信息系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用。”的规定,在非法控制计算机信息系统犯罪当中,经济损失的认定仅限于非法获取计算机信息系统数据的行为所造成的直接经济损失和必要费用,而不包括预期收益。因此,在计算损失时,对运营商、用户预期的经营收益均不属于直接经济损失和必要费用的范围之内,因此在辩护过程中应注意对该部分金额提出予以剔除的辩护意见。
同时,对被害人经济损失的认定仅限于行为人所实施的非法控制计算机信息系统的行为。在现实生活中,黑客劫持用户流量的案件时有发生,对于用户流量被劫持所造成的经济损失,必须要确认是行为人在运营商所安插的恶意程序导致的,如果不是该恶意程序所导致的,辩护人则应该剔除该部分无关的损失金额。
以上是车冲律师根据办理类似案件的经验结合司法实践对通过在运营商服务器中添加恶意程序劫持用户流量涉嫌非法控制计算机信息系统罪的行为模式分析及辩护策略总结,以求对维护涉案人员的合法权益和司法公正作出有益贡献。
车冲
经济犯罪案件辩护律师、广强律师事务所经济犯罪辩护与研究中心秘书长 作者
广强律师事务所系由刑事大要案辩护律师王思鲁领衔的、致力于全国性重大复杂疑难刑事案件有效辩护的刑事辩护专业法律服务机构。
广强律师事务所拥有一支庞大的刑事辩护律师团队-金牙大状刑事律师团队,并在中国刑事辩护律师界率先将刑事辩护推向精准化、类罪化有效辩护,几十名各具特长的精准化刑事辩护律师分别致力诈骗犯罪、金融犯罪、毒品犯罪、走私犯罪、传销犯罪、职务犯罪、知识产权犯罪、税务犯罪、黑社会性质犯罪、网络犯罪等类犯罪重大案件有效辩护。
广强律师事务所恭候您的光临,地址:广州市越秀区天河路45号恒健大厦23层。