呂 繩

(中國政法大學 刑事司法學院，北京100088)

手機預裝軟件問題的刑法應對

呂 繩

(中國政法大學 刑事司法學院，北京100088)

手機預裝軟件是一種常見于智能手機客戶端的軟件類型，其存在本身就已經侵犯了消費者的知情權和選擇權，而其特有的屬性，又為手機病毒、木馬程序的傳播提供了新的途徑。一些手機預裝軟件可能劫持用戶流量、竊取用戶個人信息甚至破壞手機系統，并成為其他犯罪的工具，這些風險值得從刑法的角度進行研究和分析。

手機預裝軟件；法益風險；網絡犯罪；刑法應對

手機科技的發展將計算機終端延伸到了社會中每一個個體，極大地拓展了互聯網技術的應用范圍，但這也為網絡犯罪提供了新的空間和手段，傳統的計算機病毒如今也威脅著手機客戶端的安全。近幾年，手機預裝軟件的泛濫困擾著很多手機用戶，甚至給手機銷售市場帶來了陰霾。從2013年起，就有媒體和學者對手機預裝軟件問題進行曝光和分析，但多是基于民法和消費者權益保護法，由于手機安全已經關系到廣大手機用戶最切身的利益，有必要從刑法角度對手機預裝軟件問題加以探討。

一、手機預裝軟件的類型

“手機預裝軟件”是指手機出廠自帶，或第三方通過刷機渠道預裝到手機當中，且消費者購買該手機后難以自行刪除的應用軟件。按照該種軟件被安裝的方式的不同，筆者將手機預裝軟件分為兩種類型，分別是“出廠自帶預裝軟件”和“第三方刷機預裝軟件”。

出廠自帶預裝軟件廣泛存在于各種品牌的手機之中，由于用戶難以卸載此類軟件，因此它們會強行占用手機的儲存空間，降低手機用戶的用戶體驗，侵犯了手機消費者的選擇權。工信部2013年11月1日發布的《關于加強移動智能終端進網管理的通知》第4條規定：“生產企業不得在移動智能終端中預置具有以下性質的應用軟件：(1)未向用戶明示并經用戶同意，擅自收集、修改用戶個人信息的；(2)未向用戶明示并經用戶同意，擅自調用終端通信功能，造成流量消耗、費用損失、信息泄露等不良后果的。”根據這一規定，手機生產廠商準備封裝何種軟件，必須在工信部備案登記，這在某種程度上提高了手機預裝的門檻。但這一規定僅屬于行業監管政策，缺乏配套的監督實施方案和具體的懲罰措施，導致執行力和操作性不強；另外，這一通知僅制約了手機生產商對于手機預裝軟件的裝載，第三方刷機渠道的預裝軟件裝載則絲毫不受影響，手機銷售環節成了監管的真空[1]。

第三方刷機預裝軟件是手機廠商之外的第三方為軟件開發者預裝入手機的軟件。由于利潤豐厚且難以監管，如今第三方刷機預裝軟件已支配了手機預裝軟件市場，且圍繞其形成了復雜的產業鏈，其產業鏈中至少涉及三方主體，分別是手機軟件開發商、刷機公司和手機渠道商。刷機公司是產業鏈的核心，由于不像手機生產商需要顧及法律后果和品牌形象，因此其預裝的軟件來路難以控制，這些軟件除了大量擠占手機存儲空間外，還可能存在安全漏洞，甚至本身就是流氓軟件、病毒程序。筆者將這種以預裝軟件形態被安裝進手機中的流氓軟件和病毒程序稱為“惡意預裝軟件”。手機預裝軟件問題主要在于第三方刷機預裝軟件的泛濫，本文將主要圍繞此問題展開分析。

二、手機預裝軟件的法益風險及刑法應對

刑法的目的在于保護法益，一種現象會因其對法益造成破壞或產生危險而引起刑法的關注。但是，刑法具有謙抑性，是保護法益的最后手段，因此在論證某種現象是否需要刑法的應對時，必須謹慎確定此現象真正引起的法益風險是什么。就第三方刷機預裝軟件而言，其風險主要表現在手機預裝軟件可以成為流氓軟件和病毒程序的傳播媒介，會擅自調用終端通信功能，造成信息泄露、信息系統破壞等后果，對用戶的個人信息和手機系統安全造成威脅，它們也可能為傳統犯罪提供新的工具和途徑。因此，第三方刷機預裝軟件需要引起刑法關注的部分是作為流氓軟件和病毒程序傳播媒介的惡意預裝軟件。

(一)法益風險分析

1.大部分第三方刷機預裝軟件的程序中都會留有“后門”，其目的是監測用戶是否激活軟件以及獲取使用頻率等信息

程序后門隨時可以將用戶的隱私信息，如通信軟件密碼、手機通訊錄、照片等，傳送給軟件開發商和刷機公司的后臺。另外，智能手機普遍帶有定位功能，因此用戶的行蹤也會被后臺收集加以利用。因此，第三方刷機預裝軟件對手機用戶的個人信息安全造成了不可忽視的風險。

2.第三方刷機預裝軟件會干擾手機設備的正常使用

很多軟件開發商、網絡運營商為了提高其軟件或網站的使用流量和訪問量，會利用惡意軟件修改瀏覽器、鎖定主頁，強制用戶訪問某些網站或網頁，從而造成用戶流量被迫流向特定網站或網頁,這種行為被稱為流量劫持[2]。惡意預裝軟件也可以進行流量劫持，植入手機中的惡意預裝軟件被激活后，會按照程序設定或后臺指令強制修改手機系統和設置，自行變更甚至損壞手機系統內的數據，對手機信息系統造成破壞。由于智能手機在功能、運行機理上已和常規的個人計算機趨同，且在三網融合的背景下，智能手機已經與常規的電腦使用相同的網絡和計算機信息系統，因此，對手機系統的干擾破壞亦是對計算機信息系統的破壞。

3.第三方刷機預裝軟件可能成為其他違法犯罪活動的工具

從屬性上看，惡意預裝軟件本身就是流氓軟件或病毒程序的一種類型，其與傳統流氓軟件、病毒程序的區別，僅在于傳播方式的不同，后兩者的傳統傳播方式是依靠計算機之間相互連接的網絡進行交叉感染，而惡意預裝軟件則通過人工裝載的方式進行傳播，很明顯，直接將流氓軟件和病毒程序預裝入還沒有被用戶激活的手機中，其傳播范圍和效率要遠高于流氓軟件和病毒程序的網絡傳播。考慮到我國已經發生多起利用木馬程序進行盜竊、詐騙等犯罪活動的案件，我們不能排除利用惡意預裝軟件進行類似犯罪活動的可能性。

(二)現有刑法條文的應對

1.如何應對利用惡意預裝軟件后門竊取用戶個人信息的行為

惡意預裝軟件竊取用戶個人信息的方式與傳統的流氓軟件或病毒程序無異，一般是在未獲得用戶授權的情況下訪問并竊取用戶手機通信錄內的信息、相冊里存儲的照片，記錄用戶的位置信息，甚至竊取用戶支付軟件的密碼。筆者認為，根據利用惡意預裝軟件所竊取或非法獲取的信息種類的不同，侵犯手機用戶個人信息的行為可能構成侵犯公民個人信息罪和非法獲取計算機信息系統數據罪。

根據我國《刑法》第253條第3款的規定，竊取或者以其他方法非法獲取公民個人信息，情節嚴重的，構成侵犯公民個人信息罪。隨著傳統犯罪的網絡異化，利用木馬、病毒程序等手段竊取公民個人信息的活動日益猖獗，犯罪人往往利用盜號木馬、后門病毒、假冒網站等竊取大量計算機用戶個人信息牟取暴利[3]。因此，對于利用惡意預裝軟件竊取手機用戶個人信息的行為可以適用侵犯公民個人信息罪，但需要注意犯罪對象“公民個人信息”的范圍。根據2013年4月23日發布的《關于依法懲處侵害公民個人信息犯罪活動的通知》第2條的解釋，公民個人信息包括公民的姓名、年齡、有效身份證號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料。可見，由于受犯罪對象的限制，并不是所有利用惡意預裝軟件竊取手機用戶個人信息的行為都可以被認定為侵犯公民個人信息罪。

當非法獲取的手機用戶信息不屬于公民個人信息時，其行為也可能構成非法獲取計算機信息系統數據罪。根據我國《刑法》第285條第2款之規定，違反國家規定，侵入國家事務、國防建設、尖端科學技術領域計算機信息系統以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，構成非法獲取計算機信息系統數據罪。2011年8月1日發布的《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下稱《計算機案件解釋》)第1條對非法獲取計算機信息系統數據罪的犯罪對象“計算機信息系統數據”作出了解釋，包括：(1)支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息；(2)除(1)項之外的身份認證信息。另外，此解釋第11條將“身份認證信息”解釋為用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等。可見，非法獲取計算機信息系統數據罪的犯罪對象被限定為“身份認證信息”，具體來說，這類身份認證信息主要包括支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息，以及與這些身份認證信息類似的用于確認用戶在計算機信息系統上操作權限的數據。

由于犯罪受對象的限制，侵犯公民個人信息罪的適用范圍比較狹窄，公民個人信息必須是“能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料”，因此公民個人信息需具有兩種特性之一：身份識別性或隱私性。對于身份識別性的理解，《關于依法懲處侵害公民個人信息犯罪活動的通知》對公民個人信息的列舉可以提供一些幫助，因此利用惡意預裝軟件竊取在手機系統中存儲、處理或傳輸的有效證件號碼、電話號碼、家庭住址等信息的行為構成侵犯公民個人信息罪是沒有太多疑問的。問題在于第二種特性，即隱私性上。一方面刑法并沒有對“隱私”的內涵作出解釋，另外，不同個體對于隱私的理解也不同，因此當惡意預裝軟件竊取的用戶信息并不屬于身份識別性信息時，對這種行為的定性就會變得棘手。對于隱私權的內容已有學理論述，有學者認為隱私是指個人沒有公開的信息、資料等,是公民不愿公開或讓他人知道的個人的秘密[4]。另外，隱私權還可能表現為個人獨處不受干擾、隱私不受侵害的權利[5]133。但現有的司法解釋和學理解釋都有不夠周延之虞，譬如利用惡意軟件獲取手機用戶行蹤的行為能否被解釋為侵犯公民個人隱私信息是存在疑問的。智能手機普遍擁有GPS功能，一些應用軟件在運行時，手機用戶的位置信息不可避免地被使用和分享，他人并不需要適用黑客技術就可以獲得用戶的位置信息。因此,即便一部分惡意預裝軟件在未獲得用戶授權的情況下獲取了用戶的位置信息，這種行為也難以被認定為“竊取”。

另外，《計算機案件解釋》將《刑法》第285條第2款的犯罪對象限定為主要包括支付結算、證券交易、期貨交易等網絡金融服務的“身份認證信息”以及與這些身份認證信息類似的用于確認用戶在計算機信息系統上操作權限的數據，如賬號、口令、密碼、數字證書等。可見,《刑法》第285條第2款所保護的數據主要是計算機信息系統內部的、側重于信息系統自身功能維護的、以訪問控制和身份驗證為主要考慮的數據，其出發點是對信息系統功能的整體保護，沒有關注具體的信息數據自身內容上的價值與保護的必要性[6]。有學者認為，計算機信息系統中存儲、處理或者傳輸的數據，是指在計算機信息系統中實際處理的一切文字、符號、聲音、圖像等內容有意義的組合[7]814，如果依此解釋，可受到刑法保護的數據類型會更加全面。但是，一方面此解釋與現行司法解釋相沖突，另外，過于寬泛也可能會導致類推。筆者認為，為了順應計算機科學的發展以及滿足大數據時代數據安全的需要，在立法和司法解釋上對計算機信息系統數據的外延進行擴張是有必要的。

2.如何應對惡意預裝軟件對手機信息系統的干擾活動

惡意預裝軟件在劫持流量的過程中，會侵入手機信息系統，強行更改系統設置，很有可能破壞手機系統內的數據。對于利用惡意軟件劫持網絡流量行為的認定，我國已經有相關判例①的支持，筆者認為可以根據刑法和相關判例探究如何認定利用惡意預裝軟件干擾手機信息系統的行為。

根據刑法第286條的規定，破壞計算機信息系統罪的行為模式包括三種：(1)對計算機信息系統的功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行；(2)對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的操作；(3)故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行。在上述判例案件中，行為人使用惡意代碼修改互聯網用戶路由器的DNS設置，從而導致用戶上網時被引導到其指定的網站，無法正常上網，在這一過程中需要刪改和干擾計算機DNS設置中的數據，因此這種行為是符合《刑法》第286條第2款規定的行為模式的。如果行為人通過惡意預裝軟件干擾手機系統的正常運行，達到情節嚴重的標準，亦可以認定為破壞計算機信息系統罪，需要注意的是，這種行為也可能構成《刑法》第255條所規定的非法控制計算機信息系統罪，進而產生競合的問題。

司法解釋并沒有明確定義“非法控制”，但是《計算機案件解釋》第2條第2款將“具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權對計算機信息系統實施控制的功能的”程序和工具解釋為“專門用于非法控制計算機信息系統的程序、工具”，由此可以得出，“非法控制”的含義是避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權對計算機信息系統實施控制，申言之，“非法控制計算機信息系統”是指非法侵入計算機信息系統后通過控制計算機信息系統實施特定操作的行為[2]。惡意預裝軟件在修改DNS設置時，會繞過手機的安防系統，取得更改手機數據的權限，這一活動可以被認定為“非法控制計算機信息系統”，同時其也會破壞計算機信息系統，這就產生了競合的問題。從法定刑來看，破壞計算機信息系統罪的法定刑高于非法控制計算機信息系統罪，如果利用惡意預裝軟件非法控制手機系統的行為同時破壞了手機系統，則應當從一重罪認定構成破壞計算機信息系統罪。

3.如何應對惡意預裝軟件成為其他犯罪活動的工具

由于惡意預裝軟件可以用來竊取計算機信息數據、破壞計算機信息系統，因此它很可能成為其他犯罪的工具。利用惡意預裝軟件進行犯罪活動可以分為兩種情況，一種是行為人直接利用惡意預裝軟件進行犯罪活動，另一種是行為人向他人提供、為他人安裝惡意預裝軟件，幫助他人實施犯罪活動，筆者認為這兩種情況可以被《刑法》第287條第1款和287條之二涵攝。《刑法》第287條第1款規定：“利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰”，《刑法》第287條之二規定，“明知他人利用信息網絡實施犯罪，為其犯罪提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持，或者提供廣告推廣、支付結算等幫助，情節嚴重的”構成幫助網絡犯罪活動罪。就第287條第1款而言，應當認為這是一則注意規定，即便沒有這一規定，利用計算機實施金融詐騙、盜竊、貪污等活動，也應當認定構成相應的犯罪,但它也沒有將利用計算機實施犯罪活動的行為人限制為正犯，因此，無論是行為人直接利用惡意預裝軟件進行犯罪活動，還是行為人幫助他人實施犯罪活動，均可被《刑法》第287條第1款涵攝，需要注意的是，后一種情況還可能被《刑法》第287條之二涵攝。

《刑法》第287條之二第3款規定，幫助他人實施網絡犯罪活動，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。“幫助他人實施網絡犯罪活動，同時構成其他犯罪”指的一行為同時構成數罪情況，按照想象競合原理依照處罰較重的規定定罪處罰。這種情況可以分為三種情形：(1)同時構成的其他犯罪法定刑重于幫助網絡犯罪活動罪的法定刑，比如A幫助B安裝惡意預裝軟件，B利用惡意預裝軟件進行詐騙，詐騙數額達到200萬元人民幣，由于詐騙數額特別巨大，因此應處B十年以上有期徒刑或無期徒刑，A同時構成數額特別巨大的詐騙罪和幫助網絡犯罪活動罪。(2)同時構成的其他犯罪法定刑輕于幫助網絡犯罪活動罪，比如A幫助B安裝惡意預裝軟件，B利用惡意預裝軟件向手機用戶投放虛假廣告，情節嚴重因而構成虛假廣告罪，應處B兩年以下有期徒刑或拘役，A同時構成虛假廣告罪和幫助網絡犯罪活動罪。(3)同時構成的其他犯罪法定刑輕于幫助網絡犯罪活動罪的法定刑，比如A幫助B安裝惡意預裝軟件，B利用惡意預裝軟件進行詐騙犯罪,詐騙數額為2萬元人民幣，僅構成數額較大的詐騙罪，因此應處B三年以下有期徒刑、拘役或者管制，A同時構成數額較大的詐騙罪和幫助網絡犯罪活動罪。在情形(1)中，依據《刑法》第27條的規定，應當對構成詐騙罪的A從輕、減輕或免除處罰，從刑度上看，無論是從輕還是減輕處罰，都應當依照(數額特別巨大的)詐騙罪對A定罪處罰，另外由于幫助網絡犯罪活動罪法定刑的限制，顯然不能對其免除處罰。在情形(2)和情形(3)中，幫助網絡犯罪活動罪的法定刑都是較高的罪名，似乎在這兩種情形中應當依照幫助網絡犯罪活動罪對A定罪處罰，但是，考慮到共犯從屬性原則，這種結論是違反罪刑相適應原則的。因此，應當對第287條之二第3款作限制解釋，將第3款中“同時構成其他犯罪”限定為法定刑高于本條第1款的犯罪[8]1055。綜上，筆者認為，如果行為人直接利用惡意預裝軟件實施其他犯罪活動，則應當依據《刑法》第287條第1款之規定，認定行為人構成所實施的相應罪名；如果行為人向他人提供、為他人安裝惡意預裝軟件及幫助他人實施犯罪活動同時構成了幫助網絡犯罪活動罪以及所幫助的犯罪，在所幫助的犯罪法定刑高于幫助網絡犯罪活動罪的情況下，也應依照《刑法》第287條第1款之規定，認定行為人構成所幫助的相關罪名；在其他情況下，則可以認定行為人構成幫助網絡犯罪活動罪。

注 釋：

①2015 年 5 月 20 日我國首例流量劫持案在上海市浦東新區人民法院宣判。在本案中，被告人付某、黃某租賃多臺服務器，使用惡意代碼修改用戶路由器的DNS設置，進而使用戶登錄“2345.com”等導航網站時，強制跳轉至其設置的“5w.com”導航網站。兩人再將獲取的互聯網用戶流量出售給“5w.com”導航網站所有者，杭州久尚科技有限公司，兩名被告人短時間內違法所得高達75萬余元人民幣，法院依照《刑法》第286條之規定，認定兩被告人構成破壞計算機信息系統罪。可參見“上海浦東法院判決中國大陸首例流量劫持刑案”，北大法寶網2015年11月11日發布，http://www.pkulaw.cn/case/pal_21110623260320691.html?keywords=%E6%B5%81%E9%87%8F%E5%8A%AB%E6%8C%81&match=Exact.

[1]張彬彬.手機預裝軟件的法律規制[J].上海政法學院學報,2014(5).

[2]葉良芳.刑法教義學視角下流量劫持行為的性質探究[J].中州學刊,2016(8).

[3]于沖.侵犯公民個人信息犯罪的司法困境及其解決[J].青海社會科學,2013(3).

[4]王利明.隱私權內容探討[J].浙江社會科學,2007(3).

[5]王澤鑒.侵權行為法:第1冊[M].北京：中國政法大學出版社,2001.

[6]于志剛,李源粒.大數據時代數據犯罪的制裁思路[J].中國社會科學,2014(10).

[7]陳興良.規范刑法學[M].北京:中國人民大學出版社,2008.

[8]張明楷.刑法學[M].北京:法律出版社,2016.

【責任編輯：李維樂】

2016-12-20

中國政法大學研究生創新實踐活動資助項目“關于手機預裝軟件問題的刑法學研究”(編號：2015SSCX134)。

呂繩(1994—)，男，河南商丘人，碩士生，主要從事中國刑法研究。

DF6

A

1672-3600(2017)05-0096-04