案情簡介

A公司的主營業(yè)務(wù)是開發(fā)和運(yùn)營云派券軟件：客戶（某寶賣家）下載軟件客戶端、使用其在某寶的賬號密碼登錄后，服務(wù)端會(huì)獲取客戶登陸的cookie，通過獲取的cookie將派發(fā)優(yōu)惠券的代碼添加到客戶某寶店鋪的源代碼中。

這個(gè)業(yè)務(wù)流程不會(huì)獲取店鋪訪問者的cookie，直到公司的軟件工程師發(fā)現(xiàn)某寶的漏洞。

2014年5月初，軟件工程師發(fā)現(xiàn)某寶店鋪源碼存在漏洞，利用這個(gè)漏洞在某寶店鋪源碼中植入一個(gè)url，執(zhí)行該url指向的，可以獲取訪問（被植入url的）店鋪的所有用戶的cookie。如果訪問者也是某寶賣家，其cookie有店鋪裝修權(quán)限，還可以利用這個(gè)賣家的cookie，將url再次植入其店鋪源碼，實(shí)現(xiàn)自動(dòng)循環(huán)，獲取更多的用戶cookie，派發(fā)更多的優(yōu)惠券。

公司是按派發(fā)優(yōu)惠券的數(shù)量向某寶賣家收取費(fèi)用的，優(yōu)惠券越多，獲利越多。

為了增加派發(fā)優(yōu)惠券的店鋪數(shù)量，軟件工程師向公司法定代表人匯報(bào)，在對方授意下編寫url代碼并植入店鋪網(wǎng)頁，以獲得訪問店鋪的買家、賣家的cookie。

• 因?yàn)榇a不易在網(wǎng)頁上直接判斷區(qū)分買家、賣家的cookie，故將所有用戶的cookie均獲取并回傳到公司租用的云服務(wù)器，該服務(wù)器再通過反向代理將cookie數(shù)據(jù)回傳到其公司的服務(wù)器上，之后再通過軟件軟件工程師編寫的過濾程序將cookie分成買家隊(duì)列和賣家隊(duì)列。
• 然后，法定代表人再使用自己編寫的“訂單同步程序”（網(wǎng)絡(luò)爬蟲程序）讀取虛擬隊(duì)列中的cookie，獲取用戶的交易訂單信息。

沒過多久，某寶就在例行檢查中發(fā)現(xiàn)這一異常情況并進(jìn)行調(diào)查追蹤。

2014年5月28日，法定代表人和軟件工程師被刑拘。

2014年5月15日至案發(fā)，二被告用這個(gè)方法獲取了2600多萬組用戶cookie，1億多條訂單信息。

cookie：用戶登錄時(shí)產(chǎn)生的一組認(rèn)證信息，利用cookie可以執(zhí)行對應(yīng)帳號權(quán)限內(nèi)的所有操作，無需帳號、密碼。

訂單信息，包含用戶昵稱、姓名、商品價(jià)格、交易創(chuàng)建時(shí)間、收貨人姓名、收貨人電話、收貨地址等

焦點(diǎn)問題

庭審中，被告人及辯護(hù)人主要圍繞編寫代碼的動(dòng)機(jī)、獲取交易訂單數(shù)據(jù)的動(dòng)機(jī)、爬取數(shù)據(jù)的數(shù)量等問題發(fā)表意見，請求法院從輕處罰、適用緩刑。

編寫代碼的動(dòng)機(jī)

法定代表人及其辯護(hù)人提出，被告人是為了回傳客戶（使用云派券軟件、授權(quán)其公司操作店鋪裝修等權(quán)限）的cookie，解決云派券斷線問題才編寫相應(yīng)的程序。

法院審理查明，這種說法和軟件工程師的供述無法印證，且相互矛盾。軟件工程師供述稱“為了增加派發(fā)優(yōu)惠券的淘寶店鋪數(shù)量才編寫了相應(yīng)程序”。

主觀上有沒有獲取交易訂單數(shù)據(jù)的故意

法定代表人及其辯護(hù)人提出，爬蟲程序是在進(jìn)行合法的派券業(yè)務(wù)過程中放置的，一旦有有效的賣家cookie進(jìn)入虛擬隊(duì)列即會(huì)自動(dòng)獲取交易訂單數(shù)據(jù)，法定代表人主觀上沒有獲取交易訂單數(shù)據(jù)的故意。

法院認(rèn)為，結(jié)合以下情況，足以認(rèn)定二被告獲取cookie時(shí)，并不區(qū)分cookie對應(yīng)的信息主體是不是派券軟件的客戶，法定代表人有利用非法獲取的cookie獲取交易訂單的故意，因此不采納此項(xiàng)辯護(hù)意見。

• “采用將url植入一客戶的某寶店鋪的方式發(fā)起，之后以自動(dòng)添加到訪問該店鋪的其他賣家店鋪源碼中的方式不斷擴(kuò)散的傳播方式”；
• 法定代表人、軟件工程師都供認(rèn)，法定代表人事先明知這個(gè)程序可以在用戶不知情的情況下獲取所有訪問植入url的某寶用戶的cookie；
• 法定代表人供述稱“獲取訂單數(shù)據(jù)的目的是計(jì)劃做一個(gè)為某寶賣家提供用戶需求的精準(zhǔn)分析服務(wù)（如客戶的喜好、性別、地域等）的應(yīng)用軟件”。

“2600萬組”數(shù)據(jù)是什么？是否影響定罪量刑？

被告人主張不能以“2600萬組”這個(gè)數(shù)量作為定案依據(jù)，應(yīng)以有效地賣家cookie數(shù)作為定案依據(jù)，理由是：

• 非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的主觀要素是直接故意，法定代表人編寫js程序的目的是獲取有效的賣家cookie，故應(yīng)以獲取的有效的賣家cookie數(shù)作為定案依據(jù)；
• “2600萬組”這個(gè)數(shù)字是瀏覽日志的數(shù)量，而非其獲取的某寶用戶cookie數(shù)量；
• 瀏覽日志中包含的用戶cookie存在重復(fù)，且部分cookie在回傳時(shí)已經(jīng)失效；
• 定案依據(jù)應(yīng)當(dāng)排除重復(fù)、失效部分的cookie。

一審法院未采納該意見，并說明如下：

• 在案證據(jù)證實(shí)每條流量日志中均包含用戶cookie，即2600萬余組流量日志中包含有2600萬余組cookie。
• 在案證據(jù)顯示二被告獲取的cookie是該用戶登陸訪問相應(yīng)某寶店鋪時(shí)的有效cookie，且不區(qū)分是買家cookie還是賣家cookie。二被告人對通過技術(shù)手段獲取的全部cookie均具有概括的故意。
• 之后cookie是否失效，是否被實(shí)際使用，指向的是否為同一某寶用戶等，都不影響對其非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)這一事實(shí)的認(rèn)定，也不影響對二被告人的定罪量刑。

二審法院對此做了進(jìn)一步說明：

• 被告人非法獲取某寶用戶cookie的數(shù)量為2600萬余組，其中含有涉案惡意指向代碼的某寶店鋪為16.9萬余家。
• 以上數(shù)據(jù)系用戶登錄訪問過程中的有效cookie，屬于刑法保護(hù)的身份認(rèn)證信息，原判對此認(rèn)定為網(wǎng)絡(luò)金融服務(wù)以外的身份認(rèn)證信息，故數(shù)據(jù)的有效期限及使用情況、是否足以操作購物業(yè)務(wù)、是否造成直接經(jīng)濟(jì)損失，均不影響犯罪的構(gòu)成。
• 與此相關(guān)的訴辯意見，不能成立。

最終，一審法院認(rèn)為法定代表人和軟件工程師違反國家規(guī)定，侵入計(jì)算機(jī)信息系統(tǒng)，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理、傳輸?shù)臄?shù)據(jù)，情節(jié)特別嚴(yán)重，其行為均已構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，分別判處有期徒刑六年和五年八個(gè)月。

技術(shù)手段的“入侵”性

同類案件中還有一個(gè)常見的辯護(hù)事由：技術(shù)手段本身不具有入侵性，是合法手段。

比如下面這個(gè)利用SQL注入漏洞的案例。

被告人通過SQL注入漏洞以及編寫爬蟲腳本的方式，侵入計(jì)算機(jī)信息系統(tǒng)，獲取計(jì)算機(jī)系統(tǒng)內(nèi)存儲(chǔ)的大量數(shù)據(jù)，其中涉及到個(gè)人信息的數(shù)量約為1500萬余條，該將其獲取的個(gè)人信息通過QQ銷售給“Versace”、“同花順”、“FF”、“糖果”等人，從中獲利約54萬余元。

庭審中，被告人對被指控的罪名“非法獲取計(jì)算機(jī)系統(tǒng)數(shù)據(jù)罪”無異議，但是對指控的數(shù)量和入侵方式有異議，提出：

• SQL技術(shù)不是入侵技術(shù)
• 爬蟲技術(shù)只能獲取網(wǎng)站頁面的信息不能入侵系統(tǒng)或獲取數(shù)據(jù)
• 將SQL方式作為一種收集手段、采用爬蟲腳本具備合法性
• 銷售通過爬蟲腳本獲得的信息，其所得利益應(yīng)屬于合法收益，應(yīng)從54萬元中扣除

一審法院認(rèn)為：

被告人使用SQL注入漏洞以及編寫爬蟲腳本的方式侵入計(jì)算機(jī)信息系統(tǒng)，獲取計(jì)算機(jī)系統(tǒng)內(nèi)存儲(chǔ)的大量數(shù)據(jù)，其中涉及到個(gè)人信息的數(shù)量達(dá)到約1500萬余條，并非網(wǎng)站頁面信息，信息出售所得系違法所得，故對該項(xiàng)辯解及辯護(hù)意見不予采納。

二審法院認(rèn)為：

上訴人未經(jīng)網(wǎng)站授權(quán)，利用特定網(wǎng)站的漏洞，通過編寫爬蟲腳本入侵特定網(wǎng)站的方式，批量獲取計(jì)算機(jī)信息系統(tǒng)中公民信息數(shù)據(jù)并用于出售。該采取的技術(shù)手段具有非法性，用該手段獲取的信息數(shù)量及對應(yīng)的犯罪數(shù)額均不應(yīng)扣除。該上訴理由及辯護(hù)意見不成立，不予采納。

被告人最終因犯非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，判處有期徒刑五年。

昨天第二個(gè)案例中，法院判決提及“侵入”的本質(zhì)在于未經(jīng)授權(quán)或者超越授權(quán)，今天的案例也有提及，但是說理部分沒有昨天的案例詳細(xì)。

好了，這篇文章的內(nèi)容發(fā)貨聯(lián)盟就和大家分享到這里，如果大家網(wǎng)絡(luò)推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯(lián)盟引流學(xué)習(xí)； 我拉你進(jìn)直播課程學(xué)習(xí)群，每周135晚上都是有實(shí)戰(zhàn)干貨的推廣引流技術(shù)課程免費(fèi)分享！