想给喜欢的爱豆打榜,可是一人只能注册一个账号怎么办?注册网络账号时不想使用自己的手机号怎么办?随着信息网络技术的发展,实践中出现了这样一类行为,即使用物联网卡或未经实名认证的手机卡,接收短信验证码用于注册网络账号,以达到批量注册或绕开实名认证的目的。此类提供手机号并接收短信验证码的平台即为“接码平台”。
一、行为模式与原理
“接码平台”类案件的模式原理并不复杂,平台的作用就在于为上游“卡商”提供手机卡批量接入服务,为下游用户提供获取此类手机卡和短信验证码的通道。
因此,此类案件中一般存在四方主体。
第一,上游“卡商”,“卡商”将其通过其他途径购买的手机卡或物联网卡通过“猫池”、“库卡”等硬件、软件设备接入“接码平台”,供下游用户付费使用;
第二,平台软件开发者,软件开发者开发出相应软件并通过API接口接入平台,此类软件用于自动发出验证码请求,并获得验证码上传至平台;
第三,平台管理方,负责平台的日常管理,保持手机卡接入服务和用户获取服务的稳定性,并收取用户充值的服务费用供卡商、软件开发者和平台管理方分成;
第四,下游用户,用户通过平台获取这类手机卡或物联网卡以及验证码口令,用于注册网络账号、进行网络投票等活动。
实践中,司法人员往往认为,此类行为中的四方主体系以“接码平台”为媒介,绕过实名认证,大量获取不特定人员手机号码、验证码信息等网络设备、通讯设备的计算机信息系统数据,构成非法获取计算机信息系统数据罪。笔者认为,这一观点值得商榷。
二、何为非法获取计算机信息系统数据罪?
根据《刑法》第二百八十五条的规定,非法获取计算机信息系统数据罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。在该罪名的构成要件中,需要准确把握三点,即“数据”、“侵入”、“获取”。
(一)“数据”应如何定性?
从信息论的角度看,数据是信息的具体表现形式,是信息的载体,信息需要经过数据化,转变成数据才能进行存储和运输,以公式化的语言表达,即“数据=信息+数据冗余”。
以视频数据为例,指的是数字化的视频信息记忆处理、加工视频信息过程中冗余的计算机语言、文字、代码、字符等;而视频信息,指的是视频所反映的可视化内容。
(二)“侵入”应如何理解?
最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)明确了,“非法侵入”的实质内涵是违背他人意愿进入他人计算机信息系统,既包括采取技术手段进入,也包括未征得他人同意或者授权进入。很明显,“侵入”取决于一个人是否虚拟地进入他人的计算机信息系统。
(三)何为“获取”?
根据通行的国际标准,ISO/IEC 27037:2012《信息技术-安全技术-电子数据识别、收集、获取和保存指南》中对“获取”的概念界定,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digitai evidence copy)”。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为。
三、“接码平台”是否构成非法获取计算机信息系统数据罪?
判断“接码平台”能否构成非法获取计算机信息系统数据罪,需要重点分析四项内容:第一,“验证码”能否等同于“数据”;第二,接码平台是否具有“侵入”计算机信息系统的技术功能;第三,即便绕过手机卡实名认证规定,能否等同于侵入计算机信息系统;第四,“接收”验证码能否等同于“获取”。
(一)“验证码”是否属于“数据”?
所谓验证码,即Completely Automated Public Turing Test to Tell Computers and Humans Apart,缩写CAPTCHA,译为全自动区分计算机和人类的图灵测试,即验证码的作用系在于区分判断“计算机”和“人类”,任何人类在取得验证码后都能够通过验证码测试,成功注册。
因此,从本质上看,验证码是用于区分人机的验证测试工具,而非数字化的文本信息记忆处理、加工过程中冗余的计算机语言、代码、字符等,不属于数据。
(二)接码平台是否具有侵入或与侵入相类似的技术功能?
接码平台的技术功能在于,通过卡商接入平台的手机号发出验证码请求,并获取验证码。这一过程仅仅是对人类申请手机验证码行为的模仿,系模拟人机交互的过程,并未突破或绕过任何计算机信息系统的安全保护措施,进入计算机信息系统。这与通常具有侵入计算机信息系统,或者通过非法手段取得技术信息的“木马程序”、“后门软件”、“键盘跟踪技术”、“攻击病毒”、“开放端口”、“钓鱼软件”等恶意的计算机程序具有显著的差异。
(三)绕过手机卡实名认证,等同于侵入计算机信息系统?
笔者认为,手机卡实名认证规定的立法目的在于,防范恐怖活动、遏制电信诈骗,预防和遏制垃圾电子信息、保护用户隐私,建立完善可靠的互联网信用基础等等。由此,工业和信息化部根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》和《中华人民共和国电信条例》制定并实施了《电话用户真实身份信息登记规定》,以对手机卡实名认证进行规制。
显然,《电话用户真实身份信息登记规定》属于部门规章。因此,手机卡实名认证本质上系属社会管理规范,而非计算机信息系统的保护措施。那么,即便绕过手机卡实名认证,也仅仅属于违反社会管理规范,不能等同于侵入计算机信息系统。
(四)接收验证码是否属于技术意义上的“获取”?
笔者认为,接码平台的功能仅在于模拟人类申请手机验证码的过程,实现接收短信验证码的结果,而不具有复制、下载计算机信息系统数据的功能,不能等同于技术意义上的“获取”。
综合来看,接码平台接收的验证码属于身份认证信息,用于区分“人类”和“机器”,不属于数据;接码平台本身也不具有侵入或与侵入相类似的技术功能,无法实现“侵入”的技术过程;接收验证码亦不属于技术意义上的“非法获取”。因此,不宜将接码平台定性为非法获取计算机信息系统数据罪。
发表评论