电信营业厅的普通工号查询权限仅限于自己受理的工单。某营业厅员工F发现,从订单系统进入后右键点击“渠道”项下的“查看元素”,会跳出来网页代码,可以通过修改网页代码的方式,查询别人的工单信息。
他觉得这些数据现在能看、以后未必,数据量又这么大,最好能保存下来备用,就和营业厅的实际经营者J合计咋么办。
随后,J通过某第三方平台找到某甲,想要定制开发一款可以从电信公司BSS系统上查询、复制保存数据信息的爬虫软件。
某甲找到常年合作的某乙,问能不能做。某乙说可以,但是数据库有加密,报价1500元。某甲就向J报价7500元,J答应了,并把电信内网的VPN和登录工号发给他们(开发时需要登录电信内网)。开发期间又增加了一个需求,就是“渠道(工单信息)查询功能”。
软件交付后,F利用该软件从某云电信云平台系统中获取了某市大市范围内70余万组的电信宽带工单信息(F、J后来被另案处理)。
2019年12月初,某甲、某乙因涉嫌因涉嫌破坏计算机信息系统犯罪被刑事拘留。
检察院公诉时认为二人是共同犯罪,均系主犯,建议以“提供侵入计算机信息系统程序罪”定罪。
庭审中围绕“telecom.exe”是否是“侵入程序”、买家电信员工的身份是不是免责理由等问题进行分析。
涉案软件是否属于“侵入程序”
被告人及其辩护人认为软件本身不具有突破或避开计算机信息系统安全防护措施的能力,不属于“专门侵入、非法控制计算机信息系统的程序、工具”。理由是:登录相应账号是员工的权限,账号登录之后才能使用爬虫软件。爬虫软件本身并不会突破账号相应的权限,不具备入侵的功能。从账号登录电信BSS系统,可以看到查询页面里的“宽带工单信息”是按照“不同的办理渠道”进行分类,“渠道ID功能”只是一个分类,不代表用户身份。用浏览器启动“开发人员工具”(快捷键F12或者右键点击选择查看元素两种途径都可进入)查看不同渠道分类对应的一个代码,这个代码就是“渠道ID”。“渠道ID”属于网页前端代码,对其进行修改,只是修改本地数据,并不会影响系统后台数据。“渠道ID”处是留白的,供使用者填写,并不会自动生成、填充,也不会给爬虫软件增加侵入功能。法院首先对“专门用于侵入、非法控制计算机信息系统的程序、工具”的含义进行界定。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条第一款第(一)项的规定,该等程序、工具“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”。
再结合司法鉴定、专家证人、其他证人证言,对软件性质进行分析:正常系统服务器的反馈数据,必须通过网站查询请求才能获取。电信这个内网服务器上的数据,只有通过“A”网页生成请求包向服务器发送请求才是合法的。“telecom.exe”可以模拟生成网页请求包,直接向系统服务器发送请求,它绕开了网页生成请求包这一步。此外,“telecom.exe”模拟生成的请求包里的“渠道ID”是可以通过“telecom.exe”软件随意变更的,而“A”网页上是没有输入渠道ID这个选项的。买家大规模获取的不同电信经营者的70万组数据,多为2018年11月后未到期宽带信息,也印证了“telecom.exe”的设计功能。法院认为,“telecom.exe”软件具有刑法意义上的“具有避开或者突破计算机信息安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”,即符合用于“侵入计算机信息系统的程序”这一犯罪构成要件。买家身份是否是免责事由
被告人提出自己只是按照对方要求制作软件,对买家通过软件要获取什么信息并不清楚,也不清楚电信内网有漏洞。
开发出来的爬虫软件是在合法登录后,模拟人工进行宽带工单信息采集,买家具有电信员工身份,并能提供合法账号及VPN登录电信内网,使被告人有理由相信软件是为电信内部人员编写,被告人不具有犯罪的故意。
某甲还提出,渠道ID就是一个子菜单,权限应该和系统登录权限是一样的。(买家)在浏览器中也可以(手动)修改渠道ID,(如果软件违法)浏览器也是违法的,所以我不知道这是违法的。
法院没有采纳这些辩解意见并评价如下:“中国电信作为专业网络运营商,本身具备强大的技术支持和人才储备,根本无需通过网络平台购买此类数据服务,并且根据F等的技术要求,涉及渠道ID等敏感细节,其二人在庭审中辩解渠道ID系原权限账户下的分类功能,不仅与公安阶段供述矛盾,也与软件实际运行后产生的效果相左,故对于二人的辩解意见,不予采纳。”
二被告在2013年时,曾因相同罪名被某市检察院“相对不起诉”。这也导致二人被从重处罚。本案法院因被告人曾因相同罪名被相对不起诉,后又实施同种犯罪,酌情从重处罚。
最终认定二人均构成提供侵入计算机信息系统程序罪,判处有期徒刑六个月,并处罚金人民币一万元。
