全國首例撞庫打碼案的法律適用分析

● /文

基本案情：浙江省杭州市余杭區人民法院經審理后查明：2015年1月左右，被告人葉某編寫了“小黃傘”軟件供他人使用，并綁定其開發的驗證碼識別（俗稱“打碼”）平臺，該“小黃傘”軟件結合“打碼”平臺即可通過撞庫方式實現淘寶賬號、密碼批量驗證并登陸。被告人葉某通過讓他人在其開設的“小誠商鋪”淘寶店上購買驗證碼充值卡方可使用其“打碼”平臺對圖片驗證碼進行識別而獲利，并將“打碼”業務交由被告人張某協助完成，被告人張某在明知被告人葉某的“打碼”平臺用于批量登陸某寶賬號的情況下，組織多名碼工幫助被告人葉某“打碼”，并從被告人葉某處收取好處費。

2015年1月左右至9月期間，被告人譚某通過下載使用被告人葉某編寫的“小黃傘”軟件、購買驗證碼充值卡，在被告人張某幫助“打碼”的情況下，成某獲取淘寶賬號、密碼2萬余組，并將非法獲取的淘寶賬號、密碼出售給他人，獲取違法所得人民幣25萬余元。被告人葉某、張某通過向被告人譚某出售驗證碼充值卡，獲取違法所得人民幣49050元。

2018年5月18日，浙江省杭州市余杭區人民法院作出判決，認定被告人譚某犯非法獲取計算機信息系統數據罪，判處有期徒刑三年，緩刑四年；被告人葉某犯提供侵入計算機信息系統程序罪，判處有期徒刑三年，緩刑四年；被告人張某犯提供侵入計算機信息系統程序罪，判處有期徒刑三年，緩刑三年。

余杭區人民法院（2017）浙0110刑初664號判決書對譚某、葉某、張某行為的定罪量刑是適當的。

一、譚某利用“小黃傘”軟件非法獲取淘寶公司計算機信息系統中的客戶數據構成非法獲取計算機信息系統數據罪

譚某為了出售他人個人信息牟利，從互聯網上下載或者購買他人淘寶賬戶密碼數據，并使用“小黃傘”軟件進行驗證真實性并提取用戶的個人信息（包括郵箱地址、賬號、密碼、星級、注冊時間、認證情況），然后，通過互聯網對外出售，違法所得25萬元。以上行為構成侵犯公民個人信息罪和非法獲取計算機信息系統數據罪的競合，以非法獲取計算機信息系統數據罪定罪處罰是妥當的。具體分析如下：

（一）譚某的行為符合侵犯公民個人信息罪的重罪類型

郵箱地址、賬號、密碼、星級、注冊時間、認證情況等信息屬于公民個人信息，可能影響淘寶用戶的財產安全等合法權益，譚某通過互聯網下載、購買以及通過“撞庫”非法獲取公民個人信息超過5萬組，其中有2萬余組是真實賬戶密碼等個人信息，將以上個人信息出售非法所得達到25萬元。根據“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條和第6條的規定，屬于情節特別嚴重，可以按照侵犯公民個人信息罪定罪，在3年以上7年以下有期徒刑的重罪法定刑區間內處罰。

（二）譚某的行為符合非法獲取計算機信息系統數據罪的重罪類型

譚某通過“撞庫”的手段從淘寶公司的計算機信息系統中獲取用戶數據符合非法獲取計算機信息系統數據罪的重罪類型。譚某獲取了前述5萬以上用戶數據，出售后非法獲得25萬元，根據“兩高”《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）第1條的規定，屬于情節特別嚴重，可以按照非法獲取計算機信息系統數據罪定罪，在3年以上7年以下有期徒刑的重罪法定刑區間內處罰。

（三）譚某的行為按照侵犯公共法益的非法獲取計算機信息系統數據罪定罪處罰是妥當的

譚某的行為構成侵犯公民個人信息罪和非法獲取計算機信息系統數據罪的競合，按照侵犯公共法益的非法獲取計算機信息系統數據罪定罪處罰是妥當的。相比于侵犯公民個人信息罪，非法獲取計算機信息系統數據罪屬于“擾亂公共秩序罪”，是侵犯公共法益的犯罪，譚某的行為是通過侵犯向公眾提供網絡服務的淘寶網計算機信息系統來實施，按照非法獲取計算機信息系統罪定性，能全面反映譚某行為的侵犯公共法益和公眾個人信息法益的特點。而且，譚某的行為符合的兩罪的法定刑相同，不存在選擇重罪適用的問題，按照較重的犯罪性質定罪，即以非法獲取計算機信息系統數據罪定罪是妥當的。譚某具有判決書所述的從寬情節，該判決書的量刑結論適當。

二、葉某構成提供侵入計算機信息系統程序罪

葉某意圖通過提供網絡打碼服務牟利，制作了“小黃傘”程序并在網上供人下載，該程序能批量校驗淘寶用戶賬號密碼，系“采用其他技術手段”非法獲取帶有星級、注冊時間和ID等信息的用戶數據；為了突破淘寶網的驗證碼安全技術措施，該程序能自動抓取驗證碼并傳輸到打碼平臺，由后臺“碼工”人工識別并反饋給“小黃傘”程序完成校驗，并非法獲取用戶數據。以上行為符合提供侵入計算機信息系統程序罪的構成要件，以該罪定罪處罰是適當的。具體分析如下：

（一）“小黃傘”程序是專門用于非法侵入計算機信息系統的程序

該程序的前述功能是專門為突破淘寶公司的計算機信息系統安全保護措施和獲取用戶數據而設計。葉某不僅有意設計了以上程序，還為了突破淘寶公司的驗證碼安全措施，在網上尋找人工“打碼”者，作為該程序運行的支持，并向程序的使用者收取“打碼服務”費非法牟利。前臺的校驗功能模塊和后臺的人工“打碼”功能是整個“小黃傘”程序的組成部分，這種進行非法侵入計算機信息系統獲取用戶數據的程序沒有合法的用途，符合《解釋》第2條第1項規定的“具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能的”特征，是專門用于非法侵入《刑法》第285條第2款規定的計算機信息系統的程序。

（二）葉某的行為應按提供侵入計算機信息系統的程序罪的重罪處罰

葉某為了非法牟利故意提供“小黃傘”程序，違法所得49050元，該程序還提供了非法獲取用戶數據的功能，情節特別嚴重，應按提供侵入計算機信息系統的程序罪的重罪處罰。根據《解釋》第3條的規定，違法所得在5萬元以上或者有其他特別嚴重情節的，屬于“情節特別嚴重”。違法所得數額是評價“情節特別嚴重”的主要因素之一，同時，也要考慮其他因素。在該案中，葉某違法所得臨近5萬元，同時，其提供的“小黃傘”程序還有非法獲取用戶數據的功能，也正是該部分功能，使得譚某能非法獲取用戶的個人信息并出售，后者因素應當在評價“情節特別嚴重”中發揮重要作用。綜合以上兩方面的影響因素，應當認為，葉某的行為符合“情節特別嚴重”。需要注意的是，葉某支付給下游違法犯罪人的費用不應從其違法所得中扣除，這部分費用屬于其犯罪活動的成本。

三、葉某與張某構成提供侵入計算機信息系統的程序罪的共同犯罪

葉某為了解決驗證碼識別問題，通過互聯網找到張某提供“碼工”，并使用葉某提供的打碼程序提交識別結果。張某從葉某處得知他是做淘寶網掃號程序，明知葉某轉過來的驗證碼圖片數量巨大，屬于嚴重違法活動，自己是在幫助葉某實現掃號程序的功能，仍然與葉某合作并申請成為后者的獨家打碼代理。雖然張某供述是在2014年12月和2015年2月知道葉某是做淘寶網掃號程序的，在這一時間段之前，張某已經認識到為葉某打碼具有嚴重違法性，并在葉某告知其活動內容后繼續為其打碼，因此，應當認為張某對自己為葉某的掃號程序實現識別驗證碼功能具有事中故意。以上事實可以證明葉某與張某對提供“小黃傘”程序用于淘寶網掃號具有雙向的意思聯絡，具有共同犯罪故意，同時，二者的行為共同為“小黃傘”程序的有效運行發揮了關鍵作用，符合典型的共同犯罪的構成特征，應當認定為提供侵入計算機信息系統的程序罪的共同犯罪。由于驗證碼安全措施對攔阻不法侵入具有關鍵作用，張某和葉某二人的行為對“小黃傘”程序的運行都起到關鍵作用，前述判決書將二者都認定為主犯，符合客觀事實，對二人的定罪量刑適當。

我國《刑法》第287條之二規定了獨立的幫助信息網絡犯罪活動罪，對明知他人利用信息網絡犯罪而提供技術支持或幫助的，可以構成該罪。葉張二人的行為符合典型的共同犯罪特征，對二人按照提供侵入計算機信息系統的程序罪的共同犯罪是適當的，同時，還可以對張某的行為進行獨立評價。張某明知葉某批量識別驗證碼與非法侵入淘寶網計算機信息系統有直接聯系，本人為其打碼屬于明知他人利用信息網絡犯罪而為其提供技術支持，仍然與其合作并成為獨家代理，組織實施了巨量的打碼識別活動，構成情節嚴重，可以認定為幫助信息網絡犯罪活動罪。張某的行為屬于幫助信息網絡犯罪活動罪與提供侵入計算機信息系統的程序罪重罪共犯的競合，由于幫助信息網絡犯罪活動罪相對于提供侵入計算機信息系統的程序罪的重罪類型的處罰較輕，應當按照后罪定罪處罰。

四、其他問題

在網絡空間環境中，網絡犯罪呈現家族化、社會化、產業化和交易鏈化發展趨勢，應當適應網絡犯罪的新發展采取合法、有效的刑法應對方法，對網絡犯罪予以全過程的懲治。從本案看，譚某、葉某和張某三人相互不認識也無交往，是在非法利益鏈的運行中依靠網絡服務平臺發生聯系，犯罪人之間往往難以滿足共同犯罪的構成條件，因此，既要對犯罪活動進行整體評價，也需要根據實際情況對各犯罪活動進行獨立評價。葉某對譚某等“小黃傘”程序的使用者的具體犯罪活動僅有概括的認識，難以認定為譚某所犯罪行的共同犯罪，只能對葉某的行為進行獨立評價，將其認定為提供侵入計算機信息系統的程序罪。張某和葉某之間具有典型的共同犯罪意思聯絡，這是二者可以認定為共同犯罪的關鍵。如果二人沒有具體的聊天，張某不知道葉某的具體犯罪活動，即提供淘寶網掃號程序，則無法認定張某有提供侵入計算機信息系統的程序罪的共同犯罪故意，只能對其行為進行獨立評價，認定為幫助信息網絡犯罪活動罪。因此，審判網絡犯罪串案，不應固守傳統犯罪網絡化和共同犯罪的處罰思路，還應有效運用獨立的新型網絡犯罪立法，對網絡犯罪產業鏈上的各個獨立環節行為進行獨立的刑法評價。

網絡服務提供者在網絡犯罪中發揮了關鍵作用。在本案中，他人搭建的網站對葉某和張某等犯罪人聯絡和分發打碼任務起到了關鍵作用，按照本案查明的情節，其行為可以認定為非法利用信息網絡罪的“設立用于違法犯罪活動的網站”行為，如果查明事實齊備該罪的構成要件且情節嚴重的，應當追究其刑事責任。