【201823046】以黑客手段窃取手机 ID 密码的刑事责任
文 / 李世寅,黄宏图
[裁判要旨]
犯罪嫌疑人以黑客手段,侵入苹果手机系统,通过有关软件获取该苹果手机 ID 密码,再高价予以出售。苹果手机 ID 密码可以在任何计算机终端使用,用于确认用户在计算机信息系统上操作权限的数据,是身份认证信息,属于计算机信息系统数据。犯罪嫌疑人的上述窃取行为符合非法获取计算机信息系统数据罪构罪特征。
□案号一审:(2016)粤 2072 刑初 1944 号 二审:(2017)粤 20 刑终 258 号
[案情]
公诉机关:广东省中山市第二市区人民检察院。
被告人:肖开海。
2015 年 5 月开始,被告人肖开海在中山市东凤镇唯美家园小区六栋 701 房内通过网络发布破解苹果手机账号(即 AppleID)密码广告,先后接受微信名为“飞飞”“市场代卖解 ID 黄老板”等 12 名客户的订单,在没有获得手机绑定 ID 用户的同意下,本人或者委托“大力王”和“宋弟”(均另案处理),利用网上租用的钓鱼网站和 XSS 方式非法获取进入苹果官方服务器的 ID 密码,对手机与 ID 进行解除绑定的操作,从中收取每台人民币 100 元至 450 元不等的费用。利用钓鱼网站获取 ID 密码的方式为:被告人肖开海发送虚假的苹果官方邮件或短信至 ID 用户邮箱或手机内,ID 用户点击进入钓鱼网站并输入 ID 密码后,被告人肖开海便可从后台获得 ID 密码进行解除绑定操作。利用 XSS 方式(仅针对将 QQ 邮箱作为 ID 的用户)获取 ID 密码的方式为:被告人肖开海先加 ID 用户为 QQ 好友,后向对方发送含有链接的信息或者邮件,ID 用户点击后,被告人肖开海便可从后台进入 ID 用户的 QQ 邮箱进行 ID 密码重置,随后完成解除绑定操作。截至 2016 年 6 月,被告人肖开海共采用上述手段破解 174 台苹果手机 ID, 违法所得 44180 元。2016 年 6 月 2 日,被告人肖开海被抓获归案。
[审判]
广东省中山市第二人民法院经审理认为,被告人肖开海无视国家法律,结伙违反国家规定,采用技术手段,非法获取计算机信息系统中存储的数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,应依法惩处。被告人肖开海归案后如实供述其罪行,认罪态度较好,依法可以从轻处罚。公诉机关指控被告人肖开海犯非法获取计算机信息系统数据罪的事实清楚,证据确实、充分,罪名成立,法院予以支持。对被告人肖开海辩称其本人破解手机约 80 台,其余手机均委托“大力王”和“宋弟”破解赚取差价,其非法获利约 2 万元的意见,以及辩护人据此辩称被告人肖开海不构成情节特别严重的意见。经查,公安机关出具的破解苹果手机 ID 核实情况一览表证实被告人肖开海本人或委托他人非法破解 174 台苹果手机 ID,违法所得共 44180 元,并有 QQ 聊天记录截图、微信聊天记录截图及转账记录截图等佐证,被告人肖开海对此也供认不讳,上述证据能够相互印证,足以证实被告人肖开海违法所得 44180 元的事实。至于被告人肖开海付费委托他人非法获取计算机信息系统中存储的数据,是共同犯罪,应对其参与的犯罪承担刑事责任,故对上述意见法院不予采纳。对被告人肖开海的辩护人所提其如实供述罪行、没有犯罪前科、是初犯等意见,经查属实;对被告人肖开海及辩护人均请求从轻处罚的意见,法院一并采纳。依照刑法第二百八十五条第二款、第二十五条第一款、第六十七条第三款、第六十四条,及最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)第 1 条第 2 款之规定,法院判决被告人肖开海犯非法获取计算机信息系统数据罪,判处有期徒刑 3 年,并处罚金 3 万元。
一审宣判后,被告人肖开海不服,提出上诉。
中山市中级人民法院二审审理后,裁定驳回上诉,维持原判。
[评析]
一、非法获取计算机信息系统数据罪的刑法规定及犯罪手段
非法获取计算机信息系统数据罪,是指行为人违反国家法律规定,侵入普通计算机信息系统,或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。非法获取计算机信息系统数据罪是刑法修正案(七)颁布后增加的新罪名。
计算机信息系统中存储、处理或者传输的数据,是指存在于计算机信息系统中的各种数据。苹果手机账户密码属于苹果手机系统中存储的数据,可以在任何计算机终端使用,是用于确认用户在计算机信息系统上操作权限的数据,属于身份认证信息。苹果手机 ID 密码可以让手机权利人在手机丢失时通过使用密码达到查找手机下落或远程遥控锁死手机使用功能的目的。
本案中,被告人通过网络发布破解苹果手机账户密码的广告,接受 12 名客户的订单,在没有获得手机绑定 ID 用户的同意下,其本人或者委托他人利用网上租用的钓鱼网站和 XSS 方式非法获取进入苹果官方服务器的 ID 密码,对手机与 ID 进行解除绑定的操作,从中收取每台 100 元至 450 元不等的费用。被告人肖开海的行为符合非法获取计算机信息系统数据罪的构罪特征。有观点认为,刑法第二百八十五条规定,违反国家规定,侵入前款规定以外的计算机信息系统,或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,上述法律规定明确了非法获取计算机信息系统数据罪必须是侵入计算机信息系统或者采用其他技术手段来获取计算机数据。而被告人利用钓鱼网站欺骗被害人取得苹果手机的登陆密码,该行为并未侵入计算机系统获取数据,笼统套用采用其他技术手段,有违刑法罪行法定之原则。笔者认为,上述观点不正确,只要符合采用其他技术手段非法获取了计算机数据,就符合该类犯罪的客观构成要件。
司法实践中,还有一类犯罪具体方法是被告人首先通过 QQ 购买了公民个人使用的邮箱和邮箱密码,又购买了 APP 的扫号器软件。主要因苹果用户的注册名都是邮箱号,而有的人邮箱账号密码和苹果手机 ID 密码是一样的。被告人把购买的邮箱和密码分批次数据导人到 APP 扫号器软件,软件会自动把邮箱号及密码假设为苹果 ID 号和密码进行登陆,一旦软件后台发现 ID 账户密码登陆成功后,就会将该账户的 ID 账户资料包括账户、密码、注册信息、账户剩余余额数、绑定的信用卡信息(该信息是被屏蔽掉的,只看到信用卡的最后两位数,并不是每一个 ID 都会绑定信用卡)、ID 支付是否需要密码保护等内容生成文本格式保存,完成发现苹果 ID 号的工作,并实施该类犯罪。
二、非法获取计算机信息系统数据罪的量刑规定
刑法第二百八十五条规定,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处 3 年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处 3 年以上 7 年以下有期徒刑,并处罚金。《解释》第 1 条对非法获取计算机信息系统数据或者非法控制计算机信息系统情节严重和情节特别严重的情形进行了规定。
本案中,被告人肖开海本人或委托他人非法破解 174 台苹果手机 ID,违法所得共 44180 元,属于情节特别严重,符合刑法第二百八十五第二款以及《解释》的规定。法院对其量刑是正确的。值得注意的是,该类犯罪还有一种形态,即被告人为非法获取他人计算机信息系统数据,而以金钱购买的形式非法获取公民个人信息,如果其中部分信息与被告人所犯的非法获取计算机信息系统数据罪没有关联,则除了按非法获取计算机信息系统数据罪对被告人定罪处罚外,还应当对被告人的行为另行按构成非法获取公民个人信息罪进行处罚。
此外,此类犯罪侵犯的客体是计算机信息系统安全,客观上只要行为人实施了非法侵入并获取计算机数据的行为并达到情节严重的标准,就构成犯罪,不存在犯罪未遂形态。至于获取的苹果 ID 密码具体由谁变卖、获利如何分配不影响本案定罪量刑。
三、非法获取计算机信息系统数据罪的证据审查标准
非法获取计算机信息系统数据罪涉及电子证据种类较多,从司法实践来看,一般包括远程勘验检查工作记录、计算机勘察记录,微信、QQ 聊天记录及网页截图、情况说明、IP 地址列表截图、Kingdub 软件、LpkerCDM 渗透服务器软件,netscan 软件以及 LC 木马程序、英文 3389 多段日版.rar、139 工具、KINGDUBV7.3、LpkerCMD 渗透服务器、nuscan 扫描服务器的漏洞进行提权(获取管理员的账户、密码)、电子证据检查工作记录及勘验检查数据光盘等。
值得注意的是,非法侵入计算机信息系统所使用的工具软件等,一般具备绕过远程计算机系统用户登录、对远程计算机系统中的文件进行新建、复制、删除、重命名、修改等功能,可具备执行远程执行命令的功能。在侦查取证时,对这部分证据要注意收集提取,同时考虑与其他证据进行审查,看是否可以相互印证。
(作者单位:广东省中山市第二人民法院,广东省中山市第二人民法院一审承办 {法官})