全國首例非法侵入證券交易系統黑客案的三重檢視

摘 要：為徹底根治場外配資黑灰產業鏈，檢察機關在履職過程中，全面檢視場外配資違法犯罪生態鏈，深挖拓展上游犯罪，精準測算深度研判，積極引導偵查取證，綜合運用軟件反編譯、代碼溯源等手段，有力打擊犯罪；依托深度數據分析，將案件中暴露出的證券交易系統漏洞及潛在風險通報證券監管部門，實現案件辦理“三個效果”有機統一。

關鍵詞：證券交易 侵入計算機信息系統 信息安全 金融風險 檢察履職

一、基本案情及辦案過程

為實現對場外配資黑灰產業鏈源頭追溯，徹底斬斷非法接入證券公司交易系統通道，有序根治行業亂象，有力監管化解風險，有效維護證券市場秩序，上海市普陀區人民檢察院（以下簡稱“普陀檢察院”）以H公司、張某等人非法經營案［1］為切入點，與偵查機關以及技術鑒定機構積極溝通研判，通過綜合運用軟件反編譯、代碼溯源等手段，成功辦理全國首例非法侵入證劵交易系統黑客案。

經查，2016年12月至案發，被告人宋某甲（原騰訊公司工程師）與宋某乙為謀取不法利益，合謀組建“TradeX”黑客團伙。由宋某甲利用“通達信”（系多功能證券信息技術系統服務機構，承接建設并維護國內主流證券公司網上交易系統）版本升級期間個別證券公司數據傳輸未加密的漏洞，截獲底層通信協議，劫持軟件登錄流程，完成對“通達信”軟件客戶端交易主程序的“脫殼”、破解，并在各證券公司使用的“通達信”軟件對客戶終端完整性進行安全檢測時，通過對客戶端核心通訊模塊文件進行篡改，以鏡像欺騙以及偽造動態防御代碼的方式，將非法的程序化交易接口偽裝成證券公司許可的客戶接口，將上述破解代碼包裝成“TradeX”非法交易接口，侵入由“通達信”承建、維護的廣發證券、國泰君安、華泰證券等84家證券公司交易系統，從而實現股票分倉交易軟件調用證券市場實時行情數據、委托交易、交易結算等證券交易功能以及違規量化交易主體進行程序化交易等。由宋某乙負責編寫接口使用說明，組建“X技術”“談股”等QQ群對外大肆招攬場外配資公司、股票分倉交易軟件開發方和違規量化交易客戶，并根據客戶提供的證券賬戶信息為其開通接口授權及綁定證券賬戶。2018年11月至案發，被告人共計向全國10余個省市的1240個非法場外配資公司、分倉軟件開發商等出售“TradeX”非法交易接口2506個，非法獲利902萬余元。

2021年5月28日，普陀檢察院依法對被告人以提供侵入計算機信息系統程序罪向上海市普陀區人民法院（以下簡稱“普陀法院”）提起公訴，獲法院判決支持。2021年11月22日，普陀法院以提供侵入計算機信息系統程序罪判處宋某甲有期徒刑3年9個月，罰金人民幣125萬元；判處宋某乙有期徒刑2年3個月，罰金人民幣55萬元。判決已生效。

二、第一重檢視：案件定性

（一）本案應認定為提供侵入計算機信息系統程序罪

案件審查過程中，檢察機關通過對被告人的犯罪行為模式進行深入研究發現，被侵入的“通達信”與證券公司的服務器構成了一個完整運行的計算機信息系統，能夠幫助客戶實現交易指令的傳輸以及證券行情的獲取，具備自動處理數據功能，符合“兩高”《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》）中所指的計算機信息系統的特征，根據《刑法》第285條第3款的規定，被告人的行為構成提供侵入計算機信息系統程序罪。

1.“TradeX”程序屬于專門用于侵入計算機信息系統的程序。經上海弘連網絡科技有限公司計算機司法鑒定所鑒定，本案中的“TradeX”程序具備將分倉軟件接入證券公司股票交易系統，實現委托下單交易以及獲取行情數據的功能。另根據“通達信”公司提供的相關說明資料可以得知，該程序主要攻擊的是客戶端的交易模塊，通過黑客技術劫持和利用客戶端局部模塊與交易服務器進行通訊。

證券交易外掛程序從技術分類上而言，主要包括模擬操縱類（不損害客戶端完整性）、注入類（基本不損害客戶端完整性，但可能對部分系統“API”進行攔截以躲避追查）、篡改類（嚴重損害客戶端完整性）、脫機掛（完全依賴于協議代碼破解或者協議代碼泄露）。根據“TradeX.dll”的特征碼信息可以得知，“TradeX”程序屬于注入式外掛程序。該類外掛程序可以非法接入證券公司交易系統，繞過證券公司風控和合規，逃避監管，被用于場外配資等非法業務。因此，本案中的“TradeX”程序具有避開或者突破計算機信息系統安全保護措施，未經授權侵入計算機，獲取計算機系統數據的功能，符合《解釋》第2條的規定，屬于專門用于侵入計算機信息系統的程序。

2.被告人的行為符合提供侵入計算機信息系統程序罪的構成要件。第一，關于本罪被侵害的客體，“通達信”軟件的通訊協議與證券公司服務器構成了完整運行的計算機信息系統，能夠幫助客戶實現交易指令的傳輸以及證券行情的獲取，具備自動處理數據功能，符合《解釋》對于計算機信息系統的認定。第二，本案中的“TradeX”程序系通過對“通達信”軟件客戶端交易主程序進行“脫殼”并破解，在各證券公司使用的“通達信”軟件對客戶終端進行安全檢測時，以鏡像欺騙及偽造動態防御代碼的方式，非法接入證券公司交易系統，故該非法交易接口具有侵入性。第三，被告人為謀取非法利益，將破解程序包裝成“TradeX”非法交易接口對外出售構成了提供行為。

（二）本案不宜認定為下游非法經營證券業務的共犯

本案中的“TradeX”程序可被用于股票分倉交易軟件進行證券交易或違規量化交易主體進行程序化交易，從本案的犯罪結果分析，被告人破解、售賣的“TradeX”程序已被下游的軟件開發團伙、場外配資團伙用于非法經營證券業務，若要將被告人破解、銷售“TradeX”程序的行為認定為下游非法經營證券業務的共犯，則被告人在主觀明知性上存在較大的辯解空間。因此，在無確鑿證據證實被告人對于下游非法經營證券業務具有主觀明知以及明確參與共同犯罪的情況下，不宜認定為非法經營罪的共犯。

（三）本案的罪數問題

本案中的“TradeX”程序專門用于攻擊“通達信”服務的證券公司交易模塊，使非法場外配資、系統分倉軟件實現證券交易功能，屬于提供專門用于違法犯罪的程序和技術支持，涉嫌構成幫助信息網絡犯罪活動罪。《刑法》第285條第3款以及《解釋》第3條規定，被告人的行為屬于“情節特別嚴重”，依法應判處3年以上7年以下有期徒刑。一行為觸犯數個罪名，想象競合擇一重罪論處，提供侵入計算機信息系統程序罪的法定刑最高可到7年有期徒刑，而幫助信息網絡犯罪活動罪的最高法定刑為3年，因此，應當對被告人以提供侵入計算機信息系統程序罪定罪處罰。

三、第二重檢視：證券交易系統存在的安全問題

近年來，全國各地場外配資違法犯罪案件頻發，偶有實現對上游分倉軟件開發方的順藤打擊，但相關軟件經過簡單“換殼”又能以全新面貌進入市場，極易滋生操縱證券市場及內幕交易違法犯罪。

“通達信”作為一家多功能證券信息技術系統服務機構，承接建設并維護國內主流證券公司網上交易系統，其共計為國內93家證券公司（全國總數138家，市場占有率67.4%）建設、維護交易服務器2527臺（全國總數4695臺，市場覆蓋率53.8%）。鑒于該公司在證券領域具有廣泛的受眾面，一旦其負責維護的證券公司服務器遭受攻擊，影響面極其廣泛。

“TradeX”非法交易接口正是通過對“通達信”軟件客戶端交易主程序進行脫殼并破解，截獲底層通信協議，劫持軟件登錄流程后以注入的方式對客戶端核心通訊模塊反非法接口措施文件進行篡改，并在各證券公司使用的“通達信”軟件對客戶終端完整性及云端限制進行安全檢測時，以鏡像欺騙以及偽造動態防御代碼的方式，將非法的程序化交易接口偽裝成證券公司許可的客戶接口，侵入證券公司交易系統，實現非法獲取行情數據及提供交易功能，嚴重擾亂證券領域金融管理秩序，侵害證券交易信息安全。一是證券公司交易系統非法接口為證券非法軟件接入證券市場提供通道，使場外配資得以用分倉軟件形式接入市場，幾何級放大運營規模和市場風險；二是不斷發起的破解行為，給證券公司服務器造成大量廢單，增加負載并影響系統穩定性，導致全國范圍證券公司交易系統周期性陷入被迫升級；三是非法接口的不穩定、不透明使得投資者證券交易無安全保障，容易導致資金受損；四是證券公司交易系統非法接口作為場外配資犯罪的源頭，為股票分倉交易軟件接入證券市場搭建通道，一旦被植入“木馬程序”或“變種病毒”，極易導致客戶證券賬戶信息及交易數據泄漏，降低持牌證券機構公信力；五是證券公司交易系統非法接口由于規避了實名交易和穿透監管，極易滋生操縱證券市場及內幕交易等違法犯罪活動，嚴重擾亂證券市場秩序。

四、第三重檢視：保障證券交易安全之檢察履職路徑

（一）轉變司法辦案理念，深挖上游犯罪

以往在辦理場外配資違法犯罪案件過程中，主要做法是圍繞單一配資團伙或股票分倉交易軟件開發方進行規制，導致場外配資違法犯罪案件呈現屢禁不止的怪象，究其原因在于相關非法交易接口通常與場外配資團伙以及違規量化交易等結合，形成一條完整的黑灰產業鏈，大大增加了案件查處難度。為有力打擊上游犯罪，有效凈化證券市場交易秩序，檢察機關秉承“辦理一起案、打擊一類犯罪、治理一個領域”的理念，以“挖源頭、斬通道、摧全鏈”為目標導向，堅持“打擊下游犯罪——追擊源頭犯罪——循線上游犯罪”的工作思路，在辦理H公司、張某等人非法經營案過程中，發現相關交易指令均來自“通達信”客戶端，經與偵查機關以及技術鑒定機構聯合走訪行業獲悉，上述交易指令須經證券公司授權后，方可以接口形式接入證券交易系統，即需通過破解“通達信”防偽方式才能實現證券交易功能。對此，檢察機關聯合偵查機關以及技術鑒定機構，通過縱深穿透資金，篩查可疑交易，會同偵查機關以及技術鑒定機構對“TradeX”非法交易接口進程模塊日志信息進行分析，持續壓縮黑灰產業生存空間的同時，全面檢視“TradeX”非法交易接口破解方、非法股票分倉交易軟件開發方、場外配資方的生態鏈，準確還原非法場外配資的完整邏輯，研究部署針對場外配資溯源打擊的方案，循線搗毀破解第三方證券交易軟件“通達信”通信協議、繞開安全檢驗技術，非法侵入證券公司交易系統，為場外配資非法證券交易分倉軟件提供接口的黑客團伙。縱橫深挖場外配資方、軟件開發方、黑客團伙犯罪線索，精確制導各類違法犯罪主體，首次實現對場外配資、軟件開發、破解黑客等全鏈條打擊，以雷霆之勢從頂端徹底斬斷了場外配資平臺非法接入證券市場交易通道。

（二）積極引導偵查取證，準確有力打擊犯罪

檢察機關加強與偵查機關以及技術鑒定機構的協作配合，開展對非法接口所涉及的客戶開展篩選甄別，以繳獲的“TradeX”程序源代碼、云服務器數據為抓手，從接入證券交易系統的途徑切入，引導偵查機關以及技術鑒定機構將程序源代碼和經過MD5值加密的云數據進行逆運算，成功恢復出被告人為API接口買家授權數據40余萬條，經對授權數據進行去重、清洗，通過數據偵查及數據證據搭建，對“TradeX”非法交易接口開展偵查實驗，還原程序源代碼，發現在證券公司對客戶端進行安全檢測時，“TradeX”接口以鏡像欺騙及偽造動態防御代碼的方式偽裝成證券公司許可的交易接口，接入證券公司交易系統。依托上述技術鑒定工作，最終查明“TradeX”非法交易接口的工作原理，即通過對“通達信”軟件客戶端交易主程序進行“脫殼”并破解，截獲底層通信協議，劫持軟件登錄流程，后通過注入的方式對客戶端核心通訊模塊反非法接口措施文件進行篡改，并在各證券公司使用的“通達信”軟件對客戶終端完整性及云端限制進行安全檢測時，以鏡像欺騙以及偽造動態防御代碼的方式，將非法的程序化交易接口偽裝成證券公司許可的客戶接口，侵入證券公司交易系統，實現非法獲取行情數據及證券交易功能。

（三）精準測算深度研判，分類分層穩妥處置

針對場外配資這一老生常談的證券領域違法犯罪行為，檢察機關本著有效凈化證券市場秩序的目標，力求做到全鏈條打擊，為達到階梯式分類分層穩妥處置的目的，檢察機關依據場外配資“持股多”“頻率高”“IP集中”、軟件開發方“接口多”“IP分散”、違規量化交易機構“接口少”“資產多”“頻率高”等證券交易特征差異，對篩查出的API接口買家進行全方位掃描甄別，積極引導偵查機關以及技術鑒定機構查明“TradeX”非法交易接口買家的真實身份；根據被告人QQ客服聊天記錄的記載時間，逐一匹配證券賬戶被授權時間，再結合被告人資金賬戶收款時間，將費用支付端、賬戶使用端進行拉網式“人戶”匹配，順利將1937個證券賬戶匹配到51名API接口買家，為精準打擊犯罪奠定堅實基礎。與此同時，針對案件所涉及的客戶從社會危害度、市場影響度進行分類分層，精準測算市場規模，做好處置預案，把握好打擊犯罪的時、度、效，確保在進行非法配資黑灰產業鏈全方位輻射式打擊的同時，能夠有效防范證券市場發生系統性風險。

（四）通報證券監管部門，全面排查堵塞漏洞

檢察機關通過犯罪懲治與社會治理并重，有針對性地制發檢察建議。對本案所暴露出的證券公司系統漏洞以及潛在風險反映出的監管漏洞高度重視，在案件提起公訴的同時，將本案所暴露出的監管漏洞及潛在風險逐級層報至最高檢，向同級證券監管部門進行預警通報，由證券監管部門牽頭對相關證券公司及證券信息技術系統服務機構開展系統優化及風險排查，有效防范證券市場發生系統性風險。

典型性體現

源頭治理：本案系全國首例非法侵入證券交易系統黑客案，從源頭斬斷證券領域以非法交易接口為途徑實施非法經營證券經濟業務的可能性。

技術治理：檢察機關積極引導偵查取證固證，全方位打擊非法經營證券經紀業務上下游犯罪，徹底斬斷場外配資違法犯罪黑灰產業鏈。

協同治理：將案件暴露出的證券交易監管漏洞及潛在風險逐級層報最高檢，配合證券監管部門開展證券交易系統優化和風險排查，防范化解系統性金融風險。