欧某、陈某等非法控制计算机信息系统案|浙江省平湖市人民法
院(2018)浙0482刑初574号刑事判决书
劳东燕,清华大学法学院
事实概要
2019年1月,浙江省平湖市人民法院对预置“广告SDK”非法控制手机案作出一审判决。根据法院认定的事实,由欧某等28名被告人所组成的团伙,利用商业经营的形式,与手机方案商、中间商、生产商相勾结,在所销售的智能手机内预置“广告SDK”(软件开发工具包),并使“广告SDK”获得系统权限。通过前述工具包,被告人在未告知用户也未征得其同意的情况下,向用户推送大量商业广告信息;同时,被告人利用预置的“广告SDK”在用户手机中静默下载“一键达apk”(安卓应用程序包),模拟用户操作而关注特定的微信公众号。通过前述行为,被告人共计非法控制用户手机数千万台,违法所得3000余万元。
平湖市人民法院认为,“广告SDK”以及“一键达apk”的安装、运行构成非法控制计算机信息系统。
裁判要旨
据此,欧某等28名被告人被认定均构成非法控制计算机信息系统罪,分别被判处10个月至4年6个月不等的有期徒刑,并被处人民币1万元至30万元不等的罚金。
非法控制计算机信息系统罪中,非法性是指违反国家规定。未经用户授权安装与运行“广告SDK”及“一键达apk”,违反了《计算机信息系统安全保护条例》及全国人民代表大会常务委员会《关于加强网络信息保护的决定》的相关规定,属于违反国家规定。
非法控制计算机信息系统罪中,控制行为的本质是非用户本人操作,后果是使计算机信息系统执行特定操作。控制行为不限于行为人直接行使控制权,也可以是通过计算机程序等媒介而行使控制权;控制行为不必然具有排他性,既包括完全控制,也包括部分控制。
计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等,指的是设备整体,并非仅指其中的操作系统。
评析
1、本案意义
本案系计算机领域出现的新型案件,法院的判决明确了以预装方式对手机系统进行非法控制行为的刑法定性,对非法弹送广告、静默下载等互联网黑灰产业链进行了打击。法院在判决理由中,对非法控制计算机信息系统罪的相关构成要件作了明确,无论是对“非法”的理解还是对“控制”的解读,抑或对“计算机信息系统”的界定,均有其合理之处。本案对今后类似案件的处理具有较大的指导意义,有助于促进相应行业的整改,发挥刑法规范作为行为规范的指导效果。当然,一审判决否定本案成立单位行为,并对共犯成立要件(包括帮助行为与帮助故意)认定得较为宽泛,相应的认定合理与否还值得斟酌。
2、非法控制计算机信息系统罪的保护法益
本案涉及通过预置的应用程序,未经用户同意而向用户手机推送商业广告的行为,在刑法上如何定性的问题。应当说,单是未经同意而向他人手机推送商业广告的行为,根据现有的《刑法》规定一般难以认定为犯罪。但是,如果推送广告的行为是通过非法控制他人的手机而实施的,则可能涉嫌非法控制计算机信息系统罪。因而,就本案而言,问题的关键在于,利用预置的“广告SDK”与静默下载的“一键达apk”推送广告与自动关注微信公众号的行为,是否构成对计算机信息系统的非法控制。
非法控制计算机信息系统罪保护的是双重法益,即国家对计算机信息系统安全的管理秩序与计算机信息系统的安全。前者意味着构成本罪要求违反前置性的行政规定,后者意味着只有进一步危及计算机信息系统安全的行为,才能按本罪来论处。就内在关系而言,国家对计算机信息系统安全的管理秩序与计算机信息系统的安全之间,类似于形式与实质的关系。前者指向形式规范的违反,而后者指向作为实质法益的信息系统安全,二者之间构成相互的制约。立足于所保护的法益,本罪要处罚的不法类型仅限于,冲破计算机信息系统安全的相关规范,进而对计算机信息系统的安全构成侵害的行为。
因此,要准确勾勒非法控制计算机信息系统罪所针对的不法类型,首要的问题是对计算机信息系统的安全作出界定。根据《计算机信息系统安全保护条例》第3条的规定,计算机信息系统的安全保护,包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥。由此可知,计算机信息系统的安全,既包括硬件层面的安全,也包括软件层面的安全;既包括系统本身的安全,也包括运行环境的安全;既包括系统功能的安全,也包括信息的安全。
由于不法的类型不仅取决于所保护的法益,也取决于相关立法条文对罪状的描述,故而,若想准确勾勒非法控制计算机信息系统罪所针对的不法类型,势必需要在结合其保护法益的基础上,尊重立法的文义表述与相应的体系性制约,对相应的构成要件作出限定。据此,一方面,对构成要件的解释应当在法益的指导之下进行;另一方面,法益的实质性指导受《刑法》条文的表述与体系融贯性要求的反制。
3、本案相应行为的刑法定性分析
《刑法》第285条第2款对非法控制计算机信息系统罪的罪状规定得相当简单,立足于文义上的解读,就“违反国家规定”是否属于本罪的构成要件要素这一问题,可能会存在一定的争议。也即,“违反国家规定”究竟只是非法获取计算机信息系统数据罪的成立要件,还是作为两罪的共同成立要件而存在,单从立法的文义表述来看,难以得出确定的结论。然而,如果承认本罪保护的法益中包含国家对计算机信息系统安全的管理秩序,则应当认为,将“违反国家规定”也视为非法控制计算机信息系统罪的成立要件,比较合乎体系逻辑的要求。
如此一来,本案被告人是否构成非法控制计算机信息系统罪,取决于:(1)手机的操作系统是否属于计算机信息系统;(2)被告人的行为是否“违反国家规定”;(3)被告人的行为是否属于“非法控制”;(4)被告人的行为是否达到“情节严重”的程度。下文将对这四个问题分别展开探讨:
第一,手机的操作系统是否属于计算机信息系统。根据2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条的规定,计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。据此,手机的操作系统应属于计算机信息系统。前述司法解释以自动处理数据功能作为实质标准,对计算机信息系统的概念进行了扩张性的解释。考虑到现实的复杂性及相应的需求,这样的扩张有其合理的一面,并没有明显超出相应概念的文义范围。当然,由于不同的数据功能系统在刑法上需要的保护程度并不相同,故实务处理中不宜采用统一的情节标准来认定相应的行为是否达到值得刑罚惩罚的程度。
第二,被告人的行为是否“违反国家规定”。一般认为,所谓的“国家规定”只限于全国人大及人大常委会与国务院所颁行的法律、法规,而不包括地方性法规与部门规章等规范性文件。从相关规定来看,就非法控制计算机信息系统罪而言,其中的“国家规定”主要涉及的是告知与同意方面的内容。
本案被告人的行为可能涉嫌违反如下规定:一是《网络安全法》第22条第3款的规定,即网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。该规定前半款中的“用户信息”,显然不限于公民个人信息。本案被告人所使用的线上服务器数据库中有大量手机号、imsi号与imei号,即便不具有可识别性,仍属于“用户信息”,故需在知情告知时征得用户的同意。二是全国人民代表大会常务委员会《关于加强网络信息保护的决定》第7条的规定,即任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。三是《计算机信息系统安全保护条例》第7条的规定,即任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
本案被告人在销售的手机内预置“广告SDK”的行为,虽然获得了手机方案商与生产商的同意,但并未明示告知手机用户并征得其同意。根据前述相关规定,被告人告知与征得同意的义务对象应当是手机用户。如果相关证据能够证明手机用户并不知情且未同意,则认定被告人的行为属于“违反国家规定”应无问题。
第三,被告人的行为是否属于“非法控制”。“非法控制”中的“非法”与前述“违反国家规定”具有内在的逻辑关联,但二者之间是否是同位关系,即“非法”是否指的就是“违反国家规定”本身,还需要做进一步的研究。一般认为,非法控制是指未经授权或者超越授权控制计算机信息系统执行特定操作。其实质在于,非基于用户或有权操作者的自由意思,而对系统的运作进行支配。其中的“控制”,既包括直接控制,也包括间接控制。也即,它不限于行为人直接使用控制权,也可以是通过计算机程序等媒介使用控制权。控制的表现形式可能多种多样,支配的程度也可以各不相同,并不要求达到完全控制而使系统无法运行或功能受到严重妨碍的程度。从实务案件来看,控制他人计算机信息系统多是为了谋利。本案也属于这样的情形。但需要指出的是,主观上的谋利目的并非本罪的构成要件,谋利只是作为酌定的量刑情节而存在。
本案被告人通过预置的“广告SDK”,使相应的广告非基于手机用户的真实意思而获得推送;同时,利用“广告SDK”,非基于手机用户的真实意思而静默下载“一键达apk”,并模拟用户操作而关注特定的微信公众号。相应的行为对手机的信息系统虽未达到完全支配的程度,但具有部分支配的效果,虽未对系统的安全本身造成侵害,但对计算机功能的正常发挥与运行的环境具有消极的影响。若在案证据能够证明相应行为均系未获得用户的授权而实施,可在性质上认定为“非法控制”。当然,在量刑时,需要考虑控制程度并不严重的问题。
第四,被告人的行为是否达到“情节严重”的程度。根据现有的司法解释,情节严重与否,主要根据是否涉及金融服务的身份认证信息,身份认证信息的数量,涉及的计算机信息系统的数量,以及违法所得或经济损失等方面的因素来判断。无论是根据涉及的计算机信息系统的数量标准,还是违法所得的标准,被告人的行为均已达到“情节严重”的程度。值得指出的是,司法解释对情节要件进行了统一的规定,在实务处理中,有必要依据计算机信息系统的类型与非法控制的程度等,对情节标准作相对灵活的把握。这主要是因为,不同的计算机信息系统所涉法益的重要性程度有差别,且控制程度也会影响行为本身的不法程度,机械适用所规定的情节标准,可能出现罪刑不相适应的情况。
综上,被告人的行为可构成非法控制计算机信息系统罪;其利用“广告SDK”静默下载“一键达apk”的行为,如果能认定为“后果严重”,可能同时触犯《刑法》第286条第2款而构成破坏计算机信息系统罪,成立想象竞合。此外,由于内网服务品中含有大量用户的个人信息,包括微信号及昵称、名字、生日、好友数量与用户手机号等,被告人的行为还涉嫌触犯侵犯公民个人信息罪。若手机方案商与生产商对被告人的行为是明知的,便属于明知是他人非法控制的计算机信息系统而对该系统的控制权加以利用的情形,也有成立非法控制计算机信息系统罪的余地。
□参考文献
谢望原、赫兴旺主编:《刑法分论》(第3版),中国人民大学出版社2016年版。
喻海松:《网络犯罪二十讲》,法律出版社2018年版。
喻海松:《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》,载《人民检察》2011年第19期。
陈国庆、韩耀元、吴峤滨:《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>理解与适用》,载《人民检察》2011年第20期。
孙道萃:《移动智能终端网络安全的刑法应对-从个案样本切入》,载《政治与法律》2015年第11期。
(牛鱼嘴景区内的禾雀花盛开,图片来源:《中国国家人文地理:清远》;图片与内容无关)
原文载《数字法学判例百选》,胡铭、高艳东、陆青、魏立舟着,法律出版社,2024年5月第一版,P74-78。
整理:江苏省苏州市公安局法制支队(直属分局)“不念,不往”“诗心竹梦”。免责声明:本号资料均来源于网络、报刊等公开媒体及个人阅读书籍摘录,本文仅供参考。如需引用,请以正式文件为准。转载请注明文章及公众号出处。
