案情簡介
電信營業廳的普通工號查詢許可權僅限於自己受理的工單。某營業廳員工F發現,從訂單系統進入後右鍵點選“渠道”項下的“檢視元素”,會跳出來網頁程式碼,可以透過修改網頁程式碼的方式,查詢別人的工單資訊。
他覺得這些資料現在能看、以後未必,資料量又這麼大,最好能儲存下來備用,就和營業廳的實際經營者J合計咋麼辦。
隨後,J透過某第三方平臺找到某甲,想要定製開發一款可以從電信公司BSS系統上查詢、複製儲存資料資訊的爬蟲軟體。
某甲找到常年合作的某乙,問能不能做。某乙說可以,但是資料庫有加密,報價1500元。某甲就向J報價7500元,J答應了,並把電信內網的VPN和登入工號發給他們(開發時需要登入電信內網)。開發期間又增加了一個需求,就是“渠道(工單資訊)查詢功能”。
軟體交付後,F利用該軟體從某雲電信雲平臺系統中獲取了某市大市範圍內70餘萬組的電信寬頻工單資訊(F、J後來被另案處理)。
2019年12月初,某甲、某乙因涉嫌因涉嫌破壞計算機資訊系統犯罪被刑事拘留。
檢察院公訴時認為二人是共同犯罪,均系主犯,建議以“提供侵入計算機資訊系統程式罪”定罪。
庭審中圍繞“telecom.exe”是否是“侵入程式”、買家電信員工的身份是不是免責理由等問題進行分析。
涉案軟體是否屬於“侵入程式”
被告人及其辯護人認為軟體本身不具有突破或避開計算機資訊系統安全防護措施的能力,不屬於“專門侵入、非法控制計算機資訊系統的程式、工具”。理由是:
- 登入相應賬號是員工的許可權,賬號登入之後才能使用爬蟲軟體。爬蟲軟體本身並不會突破賬號相應的許可權,不具備入侵的功能。
- 從賬號登入電信BSS系統,可以看到查詢頁面裡的“寬頻工單資訊”是按照“不同的辦理渠道”進行分類,“渠道ID功能”只是一個分類,不代表使用者身份。
- 用瀏覽器啟動“開發人員工具”(快捷鍵F12或者右鍵點選選擇檢視元素兩種途徑都可進入)檢視不同渠道分類對應的一個程式碼,這個程式碼就是“渠道ID”。
- “渠道ID”屬於網頁前端程式碼,對其進行修改,只是修改本地資料,並不會影響系統後臺資料。“渠道ID”處是留白的,供使用者填寫,並不會自動生成、填充,也不會給爬蟲軟體增加侵入功能。
法院首先對“專門用於侵入、非法控制計算機資訊系統的程式、工具”的含義進行界定。
根據《最高人民法院、最高人民檢察院關於辦理危害計算機資訊系統安全刑事案件應用法律若干問題的解釋》第二條第一款第(一)項的規定,該等程式、工具“具有避開或者突破計算機資訊系統安全保護措施,未經授權或者超越授權獲取計算機資訊系統資料的功能”。
再結合司法鑑定、專家證人、其他證人證言,對軟體性質進行分析:
- 正常系統伺服器的反饋資料,必須透過網站查詢請求才能獲取。電信這個內網伺服器上的資料,只有透過“A”網頁生成請求包向伺服器傳送請求才是合法的。
- “telecom.exe”可以模擬生成網頁請求包,直接向系統伺服器傳送請求,它繞開了網頁生成請求包這一步。
- 此外,“telecom.exe”模擬生成的請求包裡的“渠道ID”是可以透過“telecom.exe”軟體隨意變更的,而“A”網頁上是沒有輸入渠道ID這個選項的。
- 買家大規模獲取的不同電信經營者的70萬組資料,多為2018年11月後未到期寬頻資訊,也印證了“telecom.exe”的設計功能。
法院認為,“telecom.exe”軟體具有刑法意義上的“具有避開或者突破計算機資訊保安保護措施,未經授權或者超越授權獲取計算機資訊系統資料的功能”,即符合用於“侵入計算機資訊系統的程式”這一犯罪構成要件。
買家身份是否是免責事由
被告人提出自己只是按照對方要求製作軟體,對買家透過軟體要獲取什麼資訊並不清楚,也不清楚電信內網有漏洞。
開發出來的爬蟲軟體是在合法登入後,模擬人工進行寬頻工單資訊採集,買傢俱有電信員工身份,並能提供合法賬號及VPN登入電信內網,使被告人有理由相信軟體是為電信內部人員編寫,被告人不具有犯罪的故意。
某甲還提出,渠道ID就是一個子選單,許可權應該和系統登入許可權是一樣的。(買家)在瀏覽器中也可以(手動)修改渠道ID,(如果軟體違法)瀏覽器也是違法的,所以我不知道這是違法的。
法院沒有采納這些辯解意見並評價如下:
“中國電信作為專業網路運營商,本身具備強大的技術支援和人才儲備,根本無需透過網路平臺購買此類資料服務,並且根據F等的技術要求,涉及渠道ID等敏感細節,其二人在庭審中辯解渠道ID系原許可權賬戶下的分類功能,不僅與公安階段供述矛盾,也與軟體實際執行後產生的效果相左,故對於二人的辯解意見,不予採納。”
二被告在2013年時,曾因相同罪名被某市檢察院“相對不起訴”。這也導致二人被從重處罰。本案法院因被告人曾因相同罪名被相對不起訴,後又實施同種犯罪,酌情從重處罰。
最終認定二人均構成提供侵入計算機資訊系統程式罪,判處有期徒刑六個月,並處罰金人民幣一萬元。
