专门用于侵入计算机信息系统的程序及打码行为的审查认定

李剑

摘 要：随着计算机信息技术的飞速发展，网络犯罪形态也在不断发生变化。阐述清楚涉案程序的功能特性，才能作出一个正确的法律评价。第68号检察指导性案例指出对于在案证据能充分证明涉案程序是专门设计用于侵入计算机信息系统、非法获取计算机信息系统数据的，可以直接认定为“专门用于侵入计算机信息系统的程序”，司法鉴定或检验不是必要条件。对于此类涉案程序的认定，应注重对能体现涉案程序功能特征的相关证据的收集;注重审查涉案程序是否具有避开或突破安全保护措施、非法获取数据的特征。对打码行为应注重审查是否与网络犯罪的犯罪嫌疑人构成共犯。对于主观明知，应注重客观性证据的收集提取和审查判断。

关键词：打码 撞库 专门用于侵入计算机信息系统的程序 指导作用

第68号检察指导性案例，即被告人叶源星、张剑秋提供侵入计算机信息系统程序、被告人谭房妹非法获取计算机信息系统数据案，作为全国首例“打码撞库”案，是一例新型网络犯罪案件。该案受到媒体的广泛关注及肯定。案件办理过程中，我们积极发挥检察职能，夯实证据，准确适用法律。通过该案的成功办理，一条由撞库打码平台、码工组织者、码工三个层级构成的互联网黑灰产业链被连根拔起，有力地打击了一个打码撞库的黑色链条，遏制了利用网络账号实施的下游违法犯罪行为。第68号检察指导性案例对于检察机关办理新型网络犯罪案件中涉及的“专门用于侵入计算机信息系统的程序”的审查认定方法、打码行为入罪途径具有指导作用。

一、第68号检察指导性案例 ：基本案情及争议点

2015年1月，被告人叶源星编写了“小黄伞”撞库软件。“撞库”是一种黑客攻击方式，黑客通过收集已在互联网上泄露的用户名、密码等身份认证信息，之后去其他网站尝试批量登陆，如果能成功登陆，就能验证已有的用户名和密码在该网站通用，从而非法获取该网站的身份认证信息。具体而言，“小黄伞”软件有一个数据接口能导入淘宝账号、密码，“小黄伞”软件会自动对导入的大量淘宝账号、密码进行登录尝试，遇到需图片识别验证码的时候，“小黄伞”会自动将验证码的内容传输到叶源星编制的“打码机器”打码平台，“打码机器”会将数据发送到分辨验证码的码工处，码工输入的正确验证码会被自动回传到“小黄伞”软件，“小黄伞”再自动填到淘宝网站需要输入验证码的区域，这样就完成了淘宝账号、密码的验证。“小黄伞”软件会自动导出生成“登陆成功”“登陆不成功”的TXT文本，对于其中能登录成功的账号，“小黄伞”软件还能从淘宝网站抓取该账号的昵称、注册时间、是否认证、星级。被告人叶源星将淘宝网上弹出的图片验证码识别（俗称“打码”）的业务交由被告人张剑秋协助完成。被告人张剑秋作为码工代理，组建了一个“AB打码平台”，通过该平台招募组织了多名社会人员来人工图片识别验证码，并从被告人叶源星处收取好处费。被告人叶源星将“小黄伞”软件放在其开设在淘宝上的网店“小诚商铺”页面上，供他人免费使用，并以25元验证1万次的价格出售识别验证码的充值卡牟利。被告人谭房妹从社工网站、QQ好友等处获取大批量的未经验证是否真实的淘宝账号、密码，并用从“小诚商铺”上免费下载的“小黄伞”软件，加上购买验证码充值卡，达到批量检测这些淘宝账号、密码的目的，从而非法获取淘宝账号、密码后出售牟利。2015年1月至9月期间，被告人谭房妹通过下载使用被告人叶源星编写的“小黄伞”软件、购买验证码充值卡，成功获取淘宝账号、密码2.2万余组，并通过售卖非法获取的淘宝账号、密码，获取违法所得25万余元。被告人叶源星向谭房妹出售共计价值4.6万余元的验证码的充值卡。

公安机关以犯罪嫌疑人叶源星、谭房妹、张剑秋涉嫌非法获取计算机信息系统数据罪移送杭州市余杭区人民检察院审查起诉。案件主要有以下争议点：（1）“小黄伞”是否属于刑法规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”，是否必须委托省级以上有资质部门对“小黄伞”软件进行检验才能认定;（2）负责打码的被告人张剑秋与被告人叶源星间有无共同犯罪的主观故意，能否以共犯入罪。

这起案件涉及大量计算机专业术语，且为全国首例，没有先例可借鉴。承办检察官多次就涉案技术问题与辖區内技术公司中的专业人才及我院网络技术专家库成员沟通，就案件中涉及的计算机专业知识、网络技术语言向专家咨询。在厘清了被告人的犯罪行为和犯罪过程的基础上，通过两次退回公安机关补充侦查和自行补充侦查，补强了关键性证据。以犯罪嫌疑人叶源星、张剑秋构成提供侵入计算机信息系统程序罪、犯罪嫌疑人谭房妹构成非法获取计算机信息系统数据罪向法院提起公诉。最终法院完全采纳起诉书的意见。

二、“专门用于侵入计算机信息系统的程序”的审查认定方法

第68号检察指导性案例在“指导意义”中指出，对于在案证据能充分证明涉案程序是专门设计用于侵入计算机信息系统、非法获取计算机信息系统数据的，可以直接认定为“专门用于侵入计算机信息系统的程序”，司法鉴定或检验不是必要条件。这实际上提炼出了实践中对于涉案程序性质认定的司法方法。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）第10条规定，对于是否属于刑法第285条、第286条规定的“专门用于侵入计算机信息系统的程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第17条的规定，对电子数据涉及的专门性问题难以确定的，由司法鉴定机构出具鉴定意见，或者由公安部指定的机构出具报告。但实践中，并非所有软件都具备检验或鉴定的条件。以本案为例，案件到审查起诉阶段时，“小黄伞”软件运行依托的阿里服务器因被告人叶源星没有续费已被停用，已不具备对“小黄伞”进行检验和司法鉴定的条件。因此，在实践办案中，办案人员应注重对相关证据的取证及审查。对此，第68号检察指导性案例提供了具体的指导意见，具体如下：

（一）注重对能体现涉案程序功能特征的相关证据的收集

检察机关在办理此类案件的过程中，应当注重收集案发过程中涉案程序的制作人、提供人、使用人对涉案程序的技术原理、制作过程、实现功能、运行效果描述的言词证据;注重调取制作人关于涉案程序功能情况的介绍性文件或视听资料等;注重提示侦查机关及时对涉案程序被侵入的计算机信息系统开展电子数据勘验、检查，对有条件的，应进行侦查实验;注重挖掘涉案程序等电子数据内包含的信息，以查明涉案程序的功能以及运行机制等情况。同时，对于专业性强的涉案程序，可以就被侵入计算机信息系统安全保护措施的技术原理、功能以及被侵入后果，询问专业人员，作为专家证言。

以本案为例，叶源星的辩护人提出对于“小黄伞”软件应当委托省级以上有资质部门进行鉴定，用于确定是否属于“专门用于侵入、非法控制计算机信息系统的程序、工具”。但案件至审查起诉阶段，“小黄伞”软件已不具备司法鉴定的条件，为了指控证明犯罪，我们认为应通过完善“小黄伞”软件的编制过程、运作原理、功能等方面的证据来证明“小黄伞”软件的功能特征。针对上述问题，我院退回公安机关补充侦查二次，列明了详细的补查内容及目的、要求。具体包括：对叶源星补充讯问“小黄伞”软件制作过程、目的、运行原理、效果等;补充讯问谭房妹“小黄伞”软件运行过程、效果、用途等。对从谭房妹处扣押的U盘内的数据进一步勘验分析。补充了阿里巴巴集团技术专家、被害单位证人证言。还就“小黄伞”软件的运作原理等问题听取了技术专家意见。

（二）注重审查涉案程序是否具有避开或突破安全保护措施、非法获取数据的特征

在以上取证的基础上， 要从以下几方面审查涉案程序是否属于“专门用于侵入计算机信息系统的程序”进行判断：一是要结合被侵入、控制的计算机信息系统安全保护措施的具体情况及类型，分析涉案程序是否具有为了实现侵入、控制的目的，设置了避开或者突破该计算机信息系统安全保护措施的功能;二是要结合计算机信息系统被侵入、控制的具体情形及权限被侵犯的情况，查明涉案程序是否可以在未经授权或超越授权的情况下获取计算机信息系统数据;三是分析涉案程序是否用途单一，属于专门用于侵入计算机信息系统的程序、工具，无其他合法正当的用途。

以本案为例，叶源星的辩护人认为“小黄伞”软件的功能仅是批量验证淘宝账号、密码，批量验证账号是对已获取的账号信息进行筛选，虽然在验证过程中会连接到淘宝公司服务器，但并不能从无到有从淘宝计算机系统内部获取第一手数据，故不属于非法获取计算机信息系统数据的行为。但在以上取证的基础上，我们审查后可以发现辩护人的说法并不能成立。“小黄伞”软件有以下功能特征：

1.“小黄伞”软件功能用途单一，无其他正当用途。叶源星编制的“小黄伞”软件，仅针对淘宝网账号、密码进行尝试登陆，并超越授权从淘宝网计算机系统中非法获取用户数据。

2.具有不断更换IP地址的功能。当一个IP地址（Internet协议地址）多次登录大量淘宝账号的时候，就会被淘宝网识别为是非法登陆，淘宝网的计算机系统就会自动将该IP地址封锁，不允许该IP地址再继续登陆访问淘宝网，这也是淘宝网为防止黑客入侵设置的一项安全保护措施。为了突破这一安全防范措施，被告人叶源星在编制“小黄伞”程序时，将自动拨号功能编辑进入“小黄伞”程序，使用“小黄伞”程序的人只需要输入一个数字，用来设定输入几个淘宝账号时切换新的IP地址，“小黄伞”程序就会按照设定的数字来自动切换新的IP地址，从而达到了避开这一安全防范措施的目的。

3.具有接入打码平台，突破验证码的功能。淘宝网为了防止黑客的攻击，使用了验证码防止黑客对网站的攻击。“小黄伞”软件接入了打码平台，在账号登陆淘宝网需要输入验证码时，“小黄伞”软件就会把需要识别的验证码图片提取并发送到叶源星制作的打码平台，然后通过被告人张剑秋组织的码工人工打码，码工输入识别后的验证码后，打码平台又会将识别后的验证码传输给“小黄伞”软件，从而完成一次淘宝账号的登陆操作。因此，“小黄伞”软件具有绕过验证码识别防护措施的功能。

4.具有未经淘宝网或账户所有人授权，非法获取淘宝网计算机系统上的数据的功能。“小黄伞”软件对于登陆成功的淘宝账号，还能进一步自动抓取该淘宝账号对应的昵称、注册时间、是否认证、星级、钻级。

根据以上四项功能特征的分析，足以认定“小黄伞”软件属于刑法及《解释》第2条规定的“专门用于侵入计算机信息系统的程序”。

三、打码行为的审查认定

在危害计算机信息系统犯罪案件中，许多犯罪嫌疑人只有初中及以下文化水平，他们之所以能够实施新型高端计算机犯罪，在很大程度上依赖于他们背后的互联网黑灰行业的支撑。本案被打击的打码行为就是一类技术黑灰产业。对于实施打码行为的人是否构成犯罪，我们认为审查认定时要注意以下问题：

（一）审查是否与网络犯罪的犯罪嫌疑人构成共犯

本案是国内对打码平台的组织者以刑法285条第3款提供侵入计算机信息系统程序罪定罪处罚的第一案。打码行为实质是为了避开网络公司安全防范措施，但单纯的打码行为并没有非法获取到计算机信息系统数据，也没有对计算机信息系统功能造成破坏，不构成犯罪。我们认为码工、打码平台的组织者是否构成网络犯罪，关键要看码工、组织者是否与网络犯罪的犯罪嫌疑人构成共犯，即码工或组织者在主观上是否明知其大量输入验证码的行为客观上帮助他人实施了网络犯罪。以本案为例，提供组织打码帮助的张剑秋与编写、提供撞库软件的叶源星构成共同犯罪，对于张剑秋可以提供侵入计算机信息系统程序罪的共犯定罪。

（二）注重收集客观性证据来认定主观方面

对于主观明知的证明标准，司法实践中应注重电子数据的收集提取和审查判断。以本案为例，审查起诉阶段，张剑秋的辯护人认为张剑秋与叶源星没有共同犯罪故意，不构成非法获取计算机信息系统数据罪。针对上述问题，我们注重对客观性数据的收集，利用客观性证据来证实被告人张剑秋主观状态。对扣押的张剑秋电脑进行补充勘验，用以确定张剑秋主观上是否明知其组织打码行为是为他人非法获取淘宝账号密码提供帮助;调取张剑秋与叶源星的QQ聊天记录，以便查明二人是否有犯意联络。从张剑秋和叶源星电脑中补充勘查到的QQ聊天记录等电子数据证实，叶源星与张剑秋聊天过程中曾提及“做了个扫淘宝的”“认识扫淘宝的吗”“今天我还要改一下淘宝程序，那些人要开始用了，都是出码的”。通过补充讯问张剑秋和叶源星，明确了张剑秋明知其帮叶源星打验证码可能被用于非法目的，仍然帮叶源星做打码代理。上述证据证实张剑秋与叶源星之间已经形成犯意联络，具有共同犯罪故意。

随着计算机信息技术的飞速发展，网络犯罪形式也在不断升级和演变，呈现出组织化、精细化、专业化等特点，互联网黑灰产业成为严重威胁网络安全的源头性问题，打击互联网黑灰产业已经成为净化网络空间的重要任务。检察机关在办理网络犯罪案件时，应加大对互联网黑灰产业的全链条深挖打击。此案的办理，提示侦查机关在侦查类似案件时，要注重对打码组织者组织行为的侦查取证，同时也为司法机关办理此类案件提供了有益的借鉴。

*浙江省杭州市余杭区人民检察院第一检察部副主任、一级检察官 [311199]