2025/04/29 10:36:02 查看62次 来源:郭晨阳律师
一、案情简介
2022年10月至2023年6月,G某将工作中发现的两份Python代码(一份用于破解淘宝X-sign,一份用于突破淘宝高频访问风控)进行结合封装,租用云服务器架设网络,利用动态IP服务功能,向客户提供上述Python程序的链接接口,客户凭此接口,可以批量获取淘宝网上的公开信息数据。本案中,G某以租赁的方式将该接口提供给上海某公司使用,非法获利225000元。经淘宝公司负责人报案,侦查机关抓获G某,认为其涉嫌提供非法侵入计算机系统程序罪。
导读问题:案涉软件是什么,如何发挥作用?
案涉软件是一种“爬虫技术”软件,本质上一种计算机程序,它能自动扫描并系统地读取网页,为搜索引擎编制网页索引。网络爬虫也被称为蜘蛛或机器人。爬虫软件本身并不一定是非法软件,既可以用于合法目的,也可以用于非法目的,属于中立性软件范畴。
二、办案经过
本案G某在侦查阶段便被取保候审,案件到审查起诉阶段后,检察官主动建议G某聘请律师,在这种情况下G某联系到了郭晨阳律师、赵荻律师介入该案,同时在委托之初,G某倾向辩护律师能够进行无罪辩护。
鉴于G某的单方面陈述并不能还原整个案件全貌,根本上还是要以在案证据判断是否构成犯罪,辩护律师第一时间联系了检察官申请阅卷,拿到案卷后,辩护人详细参阅了案卷。且根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》违法所得2.5万元以上的,就属于《中华人民共和国刑法》第二百八十五条第三款规定的情节特别严重。得出了初步结论:要么G某不构成犯罪,要么其构成提供侵入计算机信息系统程序罪且情节特别严重。一旦定性为犯罪G某即可能面临三年以上有期徒刑。
同时,辩护人就涉及本案的一些专业问题,查阅了相关资料并向专业相关的同事进行了解,得出了较为专业的基本结论,具体如下:
其一,爬虫行为是否被明确禁止,行业规范是怎样的?存在Robots协议也称为爬⾍协议、爬⾍规则、机器⼈协议,是⽹站国际互联⽹界通⾏的道德规范,其⽬的是保护⽹站数据和敏感信息、确保⽤户个⼈信息和隐私不被侵犯。“规则”中将搜索引擎抓取⽹站内容的范围做了约定,包括⽹站是否希望被搜索引擎抓取,哪些内容不允许被抓取,⽽⽹络爬⾍可以据此⾃动抓取或者不抓取该⽹页内容。
其二,案涉API接口是什么,能否进行交互? 淘宝商品详情数据API接口(按关键词搜索商品列表数据)是淘宝开放平台提供的一项服务,是允许开发者通过编程方式获取淘宝商品的数据。这些数据包括商品标题、价格、销量、评价等。通过API接口,开发者可以构建自己的应用或服务,如比价购物网站、商品推荐系统等。淘宝商品详情数据API接口的提供,培养了一大批行业信息企业和行业技术人才。同时也为培养淘宝生态提供了帮助。
确定辩护策略形成专业法律意见
明确了上述专业问题后,辩护律师结合在案证据,撰写了《意见书》并提交给检察官,辩护人认为案涉部分事实不清,证据存疑,尚不足以认定G某构成犯罪,即便构成犯罪,其行为也尚未造成严重后果,故辩护人建议检察院能考虑对G某作出不起诉决定,简略内容如下:
其一,辩护人认为,从立法角度来说,本罪突破了一般的犯罪认知。从整体行为来看,G某并未直接采取侵入被害单位信息系统的行为,仅是出租给案涉公司使用,仅提供了帮助。案涉公司和G某的行为如果构成犯罪,本质上是共同犯罪,G某是共同犯罪中的帮助犯。但从处罚角度来说,仅对G某处罚而不对实际使用者进行处罚,属于打击的片面化。从刑法理论上来说,这是将预备、帮助行为正犯化,对帮助行为的处罚重于实行行为。
其二,案涉软件是否属于专门用于侵入、非法控制计算机信息系统的程序、工具存在疑问。案涉软件只是获取了数据,且获取的是公开数据。其主要功能是绕开了淘宝x-sign系统的识别,对平台进行访问,后通过生产新的设备标志符,让平台误以为是多个设备端,避开了风控措施,进而获取数据。也就是说案涉软件在运行过程中,并未篡改淘宝网的计算机信息系统数据,而是对自身进行改造穿上不同“衣服”,让计算机系统进行错误识别,同意进行访问,进而获取数据。同时,破解X-sign和生成设备指纹的相应代码在很多技术网站上都能找到非常成熟的软件代码,都是一些行业资深专家(包括阿里巴巴)分享在行业网站上。例如:CSDN﹑StackOverflow、GitHub等都有相关技术解决方案和软件代码。以淘宝软件公司的实力非常清楚存在这个技术缺陷,出于培养淘宝生态行业的需要而没有严加控制。现在报案认为G某出租的软件非法侵入了其公司计算机系统没有足够的说服力。故综合上文所述,能否认定该软件是专门用于侵入计算机系统程序存在很大的疑问。
其三,本案存在部分证据存在瑕疵。
(1)本案中存在对案涉软件的提取和鉴定时间远早于公安机关刑事立案时间的问题。根据《公安机关办理刑事案件电子数据取证规则》第六条 收集、提取电子数据,应当由二名以上侦查人员进行。《最高人民法院 最高人民检察院 公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定根据规定》第七条收集、提取电子数据,应当由二名以上侦查人员进行。取证方法应当符合相关技术标准。《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(公通字〔2014〕10号)13、收集、提取电子数据,应当由二名以上具备相关专业知识的侦查人员进行。取证设备和过程应当符合相关技术标准,并保证所收集、提取的电子数据的完整性、客观性。在本案中,虽然勘验人员后来可能是本案的承办人人员,但是在本案尚未被刑事立案时,其不具备刑事侦查人员的资格,所做的远程勘验笔录及其提取的软件无效。对涉案证据的提取应当在刑事立案之后,由侦查人员进行提取。
(2)对不符合程序提取证据所作的鉴定无效。辩护人本案《司法鉴定意见书》即便认定其鉴定的过程符合法律规定,但是如果本案公安机关提供的鉴定材料有问题,那所对应的鉴定意见亦无效。换句话说,公安机关提取的案涉软件,因程序性违法,已不能作为证据使用,那么对其鉴定已无任何法律意义。同时,在不考虑程序性问题等前提且《司法鉴定意见书》成立的情况下,仅能证明鉴定时的软件版本对彼时的淘宝服务器存在相应的“爬虫”功能。
其四,本案其他影响量刑的情节。G某进行了退赃,其系初犯、偶犯,具有坦白情节等。
认罪认罚协商阶段
检察官在收到辩护人的意见后,多次就专业问题和法律问题与辩护人沟通交流,最终经过多次的协商,检察院仍坚持G某有罪,认为案涉软件仅针对淘宝风控的漏洞,未经授权批量获取淘宝商品详情页数据,性质属于专门用于侵入计算机系统的程序,且G某涉案情节特别严重。
但是,检察院也综合考量了辩护意见,在刑期上做出优惠,即G某如愿认罪认罚且在庭前全额退赃的,可以给出判处三年有期徒刑,并适用缓刑的量刑建议。
针对检察院给出的量刑建议,G某作为当事人因为之前可能被判处三年以上实刑,现在存在适用缓刑的可能,在辩护人说明检察院的量刑意见法院一般不会调整后,G某出于“落袋为安”的心态决定签署认罪认罚具结书。辩护人充分尊重了G某的意见,同时对于当事人来说,因为该类案件没有明确的司法解释进行界定,也无相类似的案件进行参考,本就存在较为模糊的地方,争取一个缓刑的结果未尝不算成功。
敲定认罪认罚后,案件被移送到法院,且法院很快排期开庭,在庭审前,辩护人通知G某及时退赃,并嘱咐其做好缓刑前社区调查准备。最终,经过庭审,合议庭评议后当庭宣判,G某构成提供侵入计算机系统程序罪,判处有期徒刑三年,缓刑三年六个月,并处罚金4万元。案件算是尘埃落定,G某对结果比较欣慰。
但是,对于郭晨阳律师、赵荻律师来讲,经过深入的办理该案,认为本案仍存在适用无罪的空间,进行认罪认罚未尝不是一种利益权衡下的妥协,毕竟刑事案件中无罪的争取是每个刑辩律师的目标。
同时,因为类似的高科技犯罪,本身的界定就较为模糊,就如黑客也存在“白帽子”与“黑帽子”之分,技术的更新迭代比法律更快,如何准确的平衡刑事犯罪与技术开发(进步)的关系,也是值得研究的课题,并不能一刀切式的处理该类案件。
三、办案心得
值得一提的是,最高人民检察院发布的第十八批指导案例之二(检例第68号)叶源星、张剑秋提供侵入非法控制计算机信息系统程序、工具罪案,由杭州市余杭区人民法院审理判决,认定案涉“小黄伞”撞库程序为“专门用于侵入计算机信息系统的程序”。该案的3名被告人均自愿认罪,并退出违法所得,法院最终对3名被告人判处三年有期徒刑,适用缓刑。该案例作为为数不多的同类罪名案件,其处罚一定程度上表明了司法机关量刑的尺度。
而本案中G某非法所得金额225000元,远远超过了相关《司法解释》所规定的情节特别严重标准,但是最终整个司法流程下来,对G某判处了法定刑内最低的刑期且适用了缓刑,该处理与指导案例量刑如出一辙,反过来的讲,本案的判决也让后续的同类案件量刑尺度有了更多的参考依据,同类案件的缓刑在之后或许能够更好的争取。
律师资料
该律师其他文集