协 办:内 蒙 古 科 技 大 学 法 学 系
首页  | 本网资讯  | 亲办案例  | 法院审判规范性文件  | 合作媒体  | 经典案例  | 民商法学  | 刑事法律  | 证据法学  | 法律帝国
本站搜索
包头律师:“撞库”行为的法律定性
文章来源:包头律师事务所  发布者:包头律师  发布时间:2019-8-31 19:22:36   阅读:1031

【基本案情】

    201512月至20164月,被告人顾汶使用“××账号改密”“扫号机——自用”等专门用于侵入计算机信息系统的程序及包含大量用户名密码的样本数据,对甲公司的计算机信息系统实施“撞库”攻击,非法获取了甲公司储存的用户身份认证信息4674组。在此期间,被告人顾汶还将上述专门用于侵入计算机信息系统的程序通过QQ群、网站等出售给他人违法所得共计人民币310002016615日,甲公司向公安机关报案称发现有人公开出售账号扫号器并非法获取大量甲公司数据库内储存的甲账号信息。经侦查,公安机关发现被告人顾汶有重大嫌疑。同年621日,公安机关将被告人顾汶抓获归案,其到案后如实供述了上述事实。

【案件焦点】

    1.使用“撞库”软件获取用户账号和密码的行为是否是非法获取计算机信息系统数据罪的行为;

    2.该行为是否构成侵犯公民个人信息罪;3.被告人的行为是否是吸收犯。

【法院裁判要旨】

    北京市海淀区人民法院经审理认为:被告人违反国家规定,采用技术手段获取计算机信息系统中储存的数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪,应予惩处;被告人顾汶提供专门用于侵入计算机信息系统的程序,情节特别严重,其行为亦构成提供侵入计算机信息系统的程序罪,应与其所犯非法获取计算机信息系统数据罪并罚。北京市海淀区人民检察院指控被告人顾犯非法获取计算机信息系统数据罪、提供侵入计算机系统的程序罪事实清楚,证据确凿,指控罪名成立。关于辩护人发表的吸收犯的辩护意见,法庭认为,吸收犯的数个犯罪行为之间应具有紧密的联系,而本案中被告人顾汶通过“撞库”软件“撞库”非法获取甲公司大量用户身份认证信息的行为与出售“撞库”软件之间的行为并不存在这种紧密联系的关系,故上述行为均应单独评价、数罪并罚;关于辩护人发表的自首的辩护意见,法庭认为,甲公司向公安机关报案时已提及了在网上销售“撞库”软件的线索,即公安机关已经掌握相应的罪行,而后抓获被告人顾,因此被告人顾汶并无自首情节;关于辩护人发表的立功的辩护意见,法庭认为,现有证据无法证明被告人顾汶有立功表现;故辩护人的上述辩护意见无事实和法律依据,均不予采纳。被告人顾汶到案后如实供述犯罪事实,可以对其依法从轻处罚。辩护人的相关意见本院酌予采纳。北京市海淀区人民法院《中华人民共和国刑法》第二百八十五条第二款及第三款、第六十九条、第六十七条第三款、第五十三条、第六十四条之规定,作出如一、被告人顾汶犯非法获取计算机信息系统数据罪,判处有期徒刑三年,罚金下判决:人民币六千元;犯提供侵入计算机信息系统的程序罪,判处有期徒刑三年六个月,罚金人民币四万元,决定执行有期徒刑五年,罚金人民币四万六千元;二、继续向被告人顾汶追缴违法所得人民币三万一千元,予以没收;三、扣押在案的台式电脑机箱一台,予以没收。根据《刑法》第二百八十五条第二款规定的非法获取计算机信息系统数据罪

2011年出台的《最高人民法院、最高人民检察院关于办理危害计算机信息系统

安全刑事案件应用法律若干问题的解释》的规定,非法获取计算机信息系统数据的数据包括“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等身份信息”,本案中被告人获取甲公司用户的账户号与密码是于身份信息,并且获取数量超过五百组,因而能否认定“非法获取”就成为是否成犯罪的关键。

 

1.违法性评价

    “撞库”是一种针对数据库的攻击方式,“撞库”软件的作用是帮助攻击者比对已知信息进而获得用户未知但潜在的信息的行为,这一行为本身就具有违法性。本案中,顾汶先是获得了用户的信息,此信息的来源虽然无法证明是否合法但是顾汶利用已知的用户信息去测试获取用户可能存在的其他账号和密码,在没有获得甲公司和用户许可的情况下,通过技术手段比对获得正确的用户信息,这已经违反了《网络安全法》,具有违法性。

此外,顾汶还将“撞库”软件进行贩卖,通过贩卖这种窃取网络数据的程序以获利,贩卖这种软件的行为也是违法的。

2.行为性质评价

    非法获取计算机信息系统数据罪所要惩戒的是用非法手段获取计算机信息系统数据的行为,或者说是行为人没有得到授权或者超出授权获得数据的行为“撞库这种获取数据和用户信息的方式,需要用已知的数据库去比对未知的数据库,其比对的原理是基于用户使用同一账号和密码注册登录不同网站的习惯,获取这种数据没有经过用户和甲公司授权,没有经过任何一方的许可就获得数据,这一行为是符合犯罪构成客观要件的。故辩护人提出顾是在常规渠道获得的用户信息和数据,这一行为不能认定为非法获取的理由不能成立。

此外,使用“撞库”将用户的账号和密码确认后,再售卖用户信息、修改密码、盗取账号中的财物等行为,则可能构成侵犯公民个人信息罪、盗窃罪、破坏计算机信息系统罪等罪名,可以与本罪数罪并罚

3.与他罪区分

    “撞库”行为在定性上除了罪与非罪的争议,还存在与侵犯公民个人信息罪的区分。侵害公民个人信息罪的犯罪方式是“非法获取出售或者提供公民个人信息”,这两个罪名最重要的区别是非法获取的对象,公民个人信息更偏向于与公民身份和特定活动有关系的数据,而计算机信息系统数据则是一个范围更为广泛的上位概念,如本案中数据的拥有者是甲公司,使用者是用户,这些用户账号和密码也是该公司的数据资源,这些用户账号和密码不能直接反映自然人身份和特定自然人活动情况,所以作为计算机信息系统数据更为合适。

4.是否作为吸收犯

    吸收犯的数个犯罪行为之间应具有紧密的联系,而本案中被告人顾汶通过“撞”软件撞库非法获取甲公司大量用户身份认证信息的行为与出售“撞库”软件之间的行为并不存在这种紧密联系的关系,所以予以单独评价、数罪并罚。

该案中顾汶出售的“撞库”软件正具有避开密保措施,未经授权或超越授权获取计算机信息系统数据的功能。所以出售提供此类软件的行为是符合犯罪构成要件的,依法应予以定罪。

联系我们
服务热线:13654849896   邮箱:zwjkey2006@163.com
包头律师咨询网    地址:包头市昆区凯旋银河线2A1807室内蒙古钢苑律师事务所(银河广场西)     
 蒙ICP备09000912号   Copyright © 2009 All Rights Reserved    http://www.zwjkey.com 
技术支持 普讯网络