案情簡介

A公司的主營業(yè)務是開發(fā)和運營云派券軟件：客戶（某寶賣家）下載軟件客戶端、使用其在某寶的賬號密碼登錄后，服務端會獲取客戶登陸的cookie，通過獲取的cookie將派發(fā)優(yōu)惠券的代碼添加到客戶某寶店鋪的源代碼中。

這個業(yè)務流程不會獲取店鋪訪問者的cookie，直到公司的軟件工程師發(fā)現某寶的漏洞。

2014年5月初，軟件工程師發(fā)現某寶店鋪源碼存在漏洞，利用這個漏洞在某寶店鋪源碼中植入一個url，執(zhí)行該url指向的，可以獲取訪問（被植入url的）店鋪的所有用戶的cookie。如果訪問者也是某寶賣家，其cookie有店鋪裝修權限，還可以利用這個賣家的cookie，將url再次植入其店鋪源碼，實現自動循環(huán)，獲取更多的用戶cookie，派發(fā)更多的優(yōu)惠券。

公司是按派發(fā)優(yōu)惠券的數量向某寶賣家收取費用的，優(yōu)惠券越多，獲利越多。

為了增加派發(fā)優(yōu)惠券的店鋪數量，軟件工程師向公司法定代表人匯報，在對方授意下編寫url代碼并植入店鋪網頁，以獲得訪問店鋪的買家、賣家的cookie。

• 因為代碼不易在網頁上直接判斷區(qū)分買家、賣家的cookie，故將所有用戶的cookie均獲取并回傳到公司租用的云服務器，該服務器再通過反向代理將cookie數據回傳到其公司的服務器上，之后再通過軟件軟件工程師編寫的過濾程序將cookie分成買家隊列和賣家隊列。
• 然后，法定代表人再使用自己編寫的“訂單同步程序”（網絡爬蟲程序）讀取虛擬隊列中的cookie，獲取用戶的交易訂單信息。

沒過多久，某寶就在例行檢查中發(fā)現這一異常情況并進行調查追蹤。

2014年5月28日，法定代表人和軟件工程師被刑拘。

2014年5月15日至案發(fā)，二被告用這個方法獲取了2600多萬組用戶cookie，1億多條訂單信息。

cookie：用戶登錄時產生的一組認證信息，利用cookie可以執(zhí)行對應帳號權限內的所有操作，無需帳號、密碼。

訂單信息，包含用戶昵稱、姓名、商品價格、交易創(chuàng)建時間、收貨人姓名、收貨人電話、收貨地址等

焦點問題

庭審中，被告人及辯護人主要圍繞編寫代碼的動機、獲取交易訂單數據的動機、爬取數據的數量等問題發(fā)表意見，請求法院從輕處罰、適用緩刑。

編寫代碼的動機

法定代表人及其辯護人提出，被告人是為了回傳客戶（使用云派券軟件、授權其公司操作店鋪裝修等權限）的cookie，解決云派券斷線問題才編寫相應的程序。

法院審理查明，這種說法和軟件工程師的供述無法印證，且相互矛盾。軟件工程師供述稱“為了增加派發(fā)優(yōu)惠券的淘寶店鋪數量才編寫了相應程序”。

主觀上有沒有獲取交易訂單數據的故意

法定代表人及其辯護人提出，爬蟲程序是在進行合法的派券業(yè)務過程中放置的，一旦有有效的賣家cookie進入虛擬隊列即會自動獲取交易訂單數據，法定代表人主觀上沒有獲取交易訂單數據的故意。

法院認為，結合以下情況，足以認定二被告獲取cookie時，并不區(qū)分cookie對應的信息主體是不是派券軟件的客戶，法定代表人有利用非法獲取的cookie獲取交易訂單的故意，因此不采納此項辯護意見。

• “采用將url植入一客戶的某寶店鋪的方式發(fā)起，之后以自動添加到訪問該店鋪的其他賣家店鋪源碼中的方式不斷擴散的傳播方式”；
• 法定代表人、軟件工程師都供認，法定代表人事先明知這個程序可以在用戶不知情的情況下獲取所有訪問植入url的某寶用戶的cookie；
• 法定代表人供述稱“獲取訂單數據的目的是計劃做一個為某寶賣家提供用戶需求的精準分析服務（如客戶的喜好、性別、地域等）的應用軟件”。

“2600萬組”數據是什么？是否影響定罪量刑？

被告人主張不能以“2600萬組”這個數量作為定案依據，應以有效地賣家cookie數作為定案依據，理由是：

• 非法獲取計算機信息系統(tǒng)數據罪的主觀要素是直接故意，法定代表人編寫js程序的目的是獲取有效的賣家cookie，故應以獲取的有效的賣家cookie數作為定案依據；
• “2600萬組”這個數字是瀏覽日志的數量，而非其獲取的某寶用戶cookie數量；
• 瀏覽日志中包含的用戶cookie存在重復，且部分cookie在回傳時已經失效；
• 定案依據應當排除重復、失效部分的cookie。

一審法院未采納該意見，并說明如下：

• 在案證據證實每條流量日志中均包含用戶cookie，即2600萬余組流量日志中包含有2600萬余組cookie。
• 在案證據顯示二被告獲取的cookie是該用戶登陸訪問相應某寶店鋪時的有效cookie，且不區(qū)分是買家cookie還是賣家cookie。二被告人對通過技術手段獲取的全部cookie均具有概括的故意。
• 之后cookie是否失效，是否被實際使用，指向的是否為同一某寶用戶等，都不影響對其非法獲取計算機信息系統(tǒng)數據這一事實的認定，也不影響對二被告人的定罪量刑。

二審法院對此做了進一步說明：

• 被告人非法獲取某寶用戶cookie的數量為2600萬余組，其中含有涉案惡意指向代碼的某寶店鋪為16.9萬余家。
• 以上數據系用戶登錄訪問過程中的有效cookie，屬于刑法保護的身份認證信息，原判對此認定為網絡金融服務以外的身份認證信息，故數據的有效期限及使用情況、是否足以操作購物業(yè)務、是否造成直接經濟損失，均不影響犯罪的構成。
• 與此相關的訴辯意見，不能成立。

最終，一審法院認為法定代表人和軟件工程師違反國家規(guī)定，侵入計算機信息系統(tǒng)，獲取該計算機信息系統(tǒng)中存儲、處理、傳輸的數據，情節(jié)特別嚴重，其行為均已構成非法獲取計算機信息系統(tǒng)數據罪，分別判處有期徒刑六年和五年八個月。

技術手段的“入侵”性

同類案件中還有一個常見的辯護事由：技術手段本身不具有入侵性，是合法手段。

比如下面這個利用SQL注入漏洞的案例。

被告人通過SQL注入漏洞以及編寫爬蟲腳本的方式，侵入計算機信息系統(tǒng)，獲取計算機系統(tǒng)內存儲的大量數據，其中涉及到個人信息的數量約為1500萬余條，該將其獲取的個人信息通過QQ銷售給“Versace”、“同花順”、“FF”、“糖果”等人，從中獲利約54萬余元。

庭審中，被告人對被指控的罪名“非法獲取計算機系統(tǒng)數據罪”無異議，但是對指控的數量和入侵方式有異議，提出：

• SQL技術不是入侵技術
• 爬蟲技術只能獲取網站頁面的信息不能入侵系統(tǒng)或獲取數據
• 將SQL方式作為一種收集手段、采用爬蟲腳本具備合法性
• 銷售通過爬蟲腳本獲得的信息，其所得利益應屬于合法收益，應從54萬元中扣除

一審法院認為：

被告人使用SQL注入漏洞以及編寫爬蟲腳本的方式侵入計算機信息系統(tǒng)，獲取計算機系統(tǒng)內存儲的大量數據，其中涉及到個人信息的數量達到約1500萬余條，并非網站頁面信息，信息出售所得系違法所得，故對該項辯解及辯護意見不予采納。

二審法院認為：

上訴人未經網站授權，利用特定網站的漏洞，通過編寫爬蟲腳本入侵特定網站的方式，批量獲取計算機信息系統(tǒng)中公民信息數據并用于出售。該采取的技術手段具有非法性，用該手段獲取的信息數量及對應的犯罪數額均不應扣除。該上訴理由及辯護意見不成立，不予采納。

被告人最終因犯非法獲取計算機信息系統(tǒng)數據罪，判處有期徒刑五年。

昨天第二個案例中，法院判決提及“侵入”的本質在于未經授權或者超越授權，今天的案例也有提及，但是說理部分沒有昨天的案例詳細。

好了，這篇文章的內容發(fā)貨聯盟就和大家分享到這里，如果大家網絡推廣引流創(chuàng)業(yè)感興趣，可以添加微信：80709525  備注：發(fā)貨聯盟引流學習； 我拉你進直播課程學習群，每周135晚上都是有實戰(zhàn)干貨的推廣引流技術課程免費分享！