|
——以于某非法获取计算机信息系统数据罪为例 纪敬玲 杨程(海淀区人民检察院科技犯罪检察部) 一、基本案情 犯罪嫌疑人于某系某互联网公司网络工程师,该公司内部使用一款企业即时聊天App作为内部人员沟通交流的办公软件,员工通过其个人账号、密码使用手机登陆后,如有工作需要,可与公司内任一员工即时聊天,并可点击查看公司员工备注的姓名、员工号、手机号码、职位职级以及公司组织架构等信息,App后台会将访问记录予以记录,公司内部制度规定非因工作需要不得随意查看其他员工的数据信息。2018年2月,于某对该聊天软件的源代码进行反向编译,查找到该聊天工具传送员工信息数据的服务器接口,后编写了专门的爬虫程序,在其使用其账号密码登陆App后,该程序自动运行,向该接口循环发送访问请求,成功从该隐藏接口爬取到6万余名员工的姓名、员工号、手机号码、职位职级以及公司组织架构等信息。截止案发时,上述数据储存于该人的办公电脑内,并未带离公司。 二、主要问题 使用爬虫程序批量获取内部公开数据能否评价为“非法”获取计算机信息系统数据? 三、评析意见 (一)分歧意见 第一种观点认为,于某构成非法获取计算机信息系统数据罪。行为人虽经公司许可的账号权限对App内数据具有一定的访问权,有正当理由可以获取App内数据,但公司设定了获取数据的路径,即登录App逐一点击查看,在此过程中后台会对该访问予以记录。于某使用爬虫程序,并非按照设定的访问路径,而是通过反编译找到的接口批量对系统数据资源进行访问并获取的行为已属于超越权限,构成非法获取计算机信息系统数据罪。 第二种观点认为,于某的行为不构成非法获取计算机信息系统数据罪。App账号密码授予了于某查阅数据的权限,其获取的系统数据库虽在表现形式及访问效率上与在App内访问并不一致,但都是员工姓名、员工号、手机号码等信息,因而并无本质不同。其虽并没有按照App设定的路径进行访问,但在不引起其他危害后果的情况下,采用不同的方式获取有访问权限的数据不能认定为“非法”获取,于某的行为不构成非法获取计算机信息系统数据罪。   爬虫:网络爬虫是一种按照一定的规则,自动的抓取万维网信息的程序或者脚本,通俗的将就是能够自动访问互联网并将网站内容下载下来的程序或者脚本。 反向编译:反向编译,也称为计算机软件源代码还原工程,是指通过对他人软件的目标程序源代码进行逆向分析、研究,以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素。 在大规模使用爬虫程序批量获取目标系统内的数据时,由于短时间内向目标服务器发送请求量超过服务器所能承受的量,可能造成DDOS攻击的效果,导致目标服务器瘫痪,这种行为有可能构成破坏计算机信息系统罪。 鉴于技术的复杂多样性,爬虫程序爬取数据是否构成犯罪不应一概而论,而应以个案的证据为准,下文的讨论仅限于本案例中的证据范围。 (二)分析意见 笔者同意第二种观点,于某在经公司授权范围内,使用反向编译技术找到数据传输接口,使用爬虫程序批量获取系统数据库资源,并未超越权限,不构成非法获取计算机信息系统数据罪。 于某的行为由三个部分组成。一是通过反向编译对软件源代码分析,找到员工数据信息访问接口。根据常理,访问接口是一段代码并经过复杂编译,不能为一般人直接读取,鉴于此,于某使用反向编译的方式,通过对他人软件的目标程序源代码进行逆向分析、研究,以推导出他人的软件产品所使用的思路、原理、结构、算法、处理过程、运行方法等设计要素,从而找到了访问接口。二是根据公司授权的账号密码登录App软件;三是在登录的同时,使用爬虫程序循环访问上述接口,批量从接口获取员工的系统数据信息。需要强调的是,访问接口虽经编译,但一定是对登录者开放的,否则软件功能无法实现。 非法获取计算机信息系统数据罪包括两种行为模式,一是“侵入”并“获取”;二是“利用其它技术手段”并“获取”。 所谓侵入计算机信息系统,是指未经授权或者超越授权,获得删除、增加、修改或者获取计算机信息系统存储、处理或者传输的权限。侵入的本质特征是未经授权或者超越授权。首先,于某的行为非“未经授权”,于某系公司员工,具有App登录权限,其有权进入该计算机信息系统,能够在合法合规地浏览聊天工具内全部联系人的相关信息。其次,于某的行为非“超越授权”。从司法实践来看,对于超越权限的具体情形可能包含以下两种:一种是通过技术手段提高授权,获得对计算机信息系统的更高权限,如在网络攻击中,很多攻击方法属于提升权限的攻击方法,亦即通过合法渠道获得某个系统的一般权限后,利用系统漏洞将自己的权限提升到管理员的权限,以获得对系统的控制权。于某使用的爬虫程序向访问接口循环发送请求的机制获取信息的过程,与正常登陆后点击员工姓名获取的员工信息的过程,从技术的角度上来看是向同一接口发送同种信息请求,唯一的区别在于爬虫策略模拟人工点击的过程,极大的提高了访问请求的效率,因而并未“提高授权”。一种是违反授权的权限范围或者时间范围,如员工辞职之后仍然使用原公司拥有的登录权限获取原公司计算机中存储的数据。于某使用爬虫程序爬取数据的时间属于在职期间,爬取的信息内容也为其权限内可查看的信息,亦无违法时间的权限。 所谓采取其他技术手段,是指“侵入”以外的技术手段,如利用钓鱼网站、中途劫持等技术手段,骗取、劫持数据,并不需要进入他人计算机信息系统即可获取他人计算机信息系统中存储的数据。从上述行为来看,使用权限登录App是其获取数据的必要前提,即必须要进入计算机信息系统才能获取数据,因而于某的行为明显不符合“采取其他技术手段”获取数据。 此外,从被爬取的数据性质角度来看,该数据包含公民姓名、员工号、电话号码属于公民个人信息,于某为公司正式员工,根据公司的授权登陆聊天工具后能够即时浏览到本案中的全部员工数据,该信息属于其职权范围内可以知晓的内容,而其使用数据爬取策略,仅仅系提高了查阅的效率,而非本质上的越权获取或者窃取等非法手段,同理亦不构成侵犯公民个人信息罪。综上,检察机关对于某作出不予批准逮捕的决定。 值得注意的是,本案中于某辩解称其爬取数据是为了检验软件的抗风险性以及试验自身的技术水平,但从案件办理过程中可以看出,类似的爬取行为对企业的数据信息造成了一定的风险。被爬取的数据不限于公民个人信息,有可能是内部经营信息、技术信息,一旦泄露企业将承担不利的后果。因此,企业应当从反爬策略、技术防护、完善内部规章等方面加强对相关数据信息的保护,行为人也不得随意收集、使用他人信息。 |
|
|
