随着5G互联、云计算、人工智能、数字孪生、泛在感知等技术发展,数据作为数字经济时代最核心的生产要素,正加速成为城市智慧构建、政府流程再造、经济创新驱动的新引擎,数据价值在实现由“量”到“质”根本性释放的同时,也成为了犯罪分子争相追逐的对象。在数据采集、传输、存储、使用等环节,针对数据本体、利用数据的犯罪层出不穷。
2021年5月,美国最大燃油运输管道商科洛尼尔公司遭受勒索软件攻击,黑客加密并劫持了近100GB的数据,提出大约500万美元的赎金要求,导致5500英里输油管系统被迫停运。无独有偶,近年来我国首例“爬虫入刑案”(〔2017年〕京0108刑初2384号)、首例“撞库打码案”(〔2017年〕浙0110刑初664号、检例第68号)、首例“制售微信外挂软件案”(〔2016〕粤0105刑初1040号)等相继发生,非法数据交易的黑灰产业链也呈现多元化、复杂化的趋势。
一、数据犯罪的概念
我国立法中没有对数据犯罪明确定义,仅在部分罪名的罪状条文中将数据规定为犯罪对象。狭义上看,数据犯罪是以数据为犯罪对象的犯罪,如刑法第285条规定的非法获取型数据犯罪和第286条第2款规定的破坏型数据犯罪,行为方式主要是非法获取、删除、修改、增加计算机信息系统数据。广义上看,数据犯罪是以数据为犯罪对象、以数据为犯罪载体、以数据为犯罪工具的与数据相关的犯罪,有的罪名将数据作为个人信息、商业秘密、国家秘密等加以保护,有的罪名将数据作为计算机信息系统内的运行载体加以保护如《刑法》第219条规定的侵犯商业秘密罪、第253条规定的侵犯公民个人信息罪等。
二、数据犯罪的类型
分析近年来数据犯罪的实务案例及发展形势,各类新型数据窃取、篡改、滥用等手段推陈出新,大体可分为非法获取型数据犯罪、滥用型、威胁型、攻击破坏型数据犯罪、虚构造假型数据犯罪、其他关联型数据犯罪等六种形式。
(一)非法获取型数据犯罪
该类数据犯罪表现为非法获取自己无权支配的数据,侵害的是数据保密性,是指通过黑客攻击、网络钓鱼、恶意软件等方式,窃取他人或组织的数据,以获取不正当利益或造成损害的行为。
主要行为方式:
1.植入木马程序窃取数据,数据盗窃团伙发布大量已植入木马的盗版应用软件和手机App,诱骗用户下载安装并批量盗取个人隐私数据
【案例】2019年9月至2021年4月,被告人江某某与他人合伙或单独出资,先后设立丽水某诚信息技术有限公司等4家信息技术公司,召集并指使多名公司员工潜入学生家长微信群,冒充教育培训机构老师,发送虚假信息。通过让学生家长点击带有设定内容的链接,收集家长的手机号、学生姓名、年级、薄弱科目等信息,并将信息数据存储在“金数据”网站内,由江某某通过丽水某泰信息技术有限公司或以每条信息12元左右的价格售卖给深圳、北京等地的教育培训机构,从中牟利。
遂昌县人民法院以侵犯公民个人信息罪判处被告人江某某有期徒刑三年,并处相应罚金。
2.利用网络爬虫爬取分析数据,犯罪团队利用爬虫批量访问企业或组织向用户提供的正常服务接口大量抓取数据,通过海量数据进行身份、财产信息关联,并分析出具有高风险的敏感数据
【案例】被告单位上海晟品网络科技有限公司系有限责任公司,经营计算机网络科技领域内的技术开发、技术服务、电子商务、电子产品等业务。被告人张洪禹系上海晟品网络科技有限公司法定代表人兼CEO,负责公司整体运行;被告人宋健于2016年8月至2017年2月任职上海晟品网络科技有限公司,担任联席CEO,系产品负责人;被告人侯明强于2016年8月至2017年2月任上海晟品网络科技有限公司CTO,系技术负责人;被告人郭辉系上海晟品网络科技有限公司职员。
被告人张洪禹、宋健、侯明强经共谋,于2016年至2017年间采用技术手段抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据,并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施,使用“tt_spider”文件进行视频数据的抓取。法院认定行为人的行为构成非法获取计算机信息系统数据罪。((2017)京0108刑初2384号)
3.利用已获取数据发起撞库攻击,数据盗窃团伙相互交换已经泄露的用户名和密码数据,逐一尝试登录网络服务平台进行撞库攻击,撞库成功后再爬取相关数据用于开展数据黑灰产活动
【案例】2019年初,陈某通过网络购买数据库(千万级的账号、对应密码),利用QQ群找人定制的“撞库”软件进行撞库。
2019年5月30日,陈某“撞库”成功,获取纪某征途2S游戏账号jijia2及密码,并登陆该游戏账号,将该账号内83000张游戏兑换卡转移到自己的账号内,并于当日通过DD373平台进行了106次出售,违法所得共计人民币39101.17元。
法院判决被告人陈某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,并处罚金人民币10000元。((2020)黑8110刑初8号判决)
4.利用账号自动生成器或者多开外挂,批量获取网站福利、游戏道具等行为,实现获取他人网站账号的目的,常见于购物平台的薅羊毛行为
【案例1】2020年5月至2020年12月,被告人任某某伙同被告人黄某,通过被告人孙某某开发了的“终端查预缴0903”外挂软件,链接到中国移动公司网站,非法窃取中国移动公司客户的个人信息,包括客户姓名及业务订单等内容。之后,黄某将这些窃取的公民个人信息交给任某某50561条,任某某将获取的该信息下发给公司员工,让员工开展业务,获利数万元。后任某某通过下发业务的形式让黄某获利2万余元。
期间,被告人李某某伙同黄某利用“终端查预缴0903”外挂软件,以同样方式获取公民个人信息401100条,李某某给黄某3000元好处费。被告人孙某某通过提供上述“终端查预缴0903”外挂软件,从黄某处共获得好处费11700元。另查实,2017年左右,被告人孙某某通过编写程序软件,伪造用户ID的方式,从“格格家购物平台”爬取了65877条的公民个人信息,包括公民的姓名、电话、住址等。
宁波市鄞州区人民法院经审理,以侵犯公民个人信息罪分别判处被告人任某某、黄某、孙某某、李某某有期徒刑三年,缓刑三年至四年,并处不等罚金。违法所得款予以没收,上缴国库。
【案例2】被告人李某通过互联网结识被告人胡某。2019年李某某应网上结识的被告人施某要求,与胡某合作开发针对xx网电商平台的“薅羊毛”工具软件,以收取月租金和“抢单”利润提成20%的方式出租给施某、魏某、武某、吕某等人使用,李某和胡某协商出租软件的获利由二人平分,并通过虚拟币结算方式向施某某统一收取。
2020年至2021年2月期间,被告人施某在福建省晋江市家中,被告人魏某、武某、吕某三人在沈阳市大东区,使用租来的“薅羊毛”工具软件,即“XX软件”和“XX图标查单软件”,在xx网电商平台“抢单”,购买低价发售的商品,进而销售非法获利。
2020年3月至2021年2月,被告人施某通过XX交易平台花费人民币494242.21元购买24753.7378个EOS虚拟币,转给李某作为“薅羊毛”工具软件的使用费。李某将其中8922.9288个EOS虚拟币转给胡某,胡某获利折合人民币172561.30元,李某获利折合人民币321680.91元。
法院判决被告人李某犯提供侵入计算机信息系统程序罪,判处有期徒刑三年,缓刑三年,并处罚金人民币20万元。;被告人胡某犯提供侵入计算机信息系统程序罪,判处有期徒刑三年,缓刑三年,并处罚金人民币10万元;被告人施某犯非法获取计算机信息系统数据罪,判处有期徒刑三年,缓刑三年,并处罚金人民币10万元;被告人魏某犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑二年,并处罚金人民币7万元;被告人吕某犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑二年,并处罚金人民币7万元;被告人武某犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑二年,并处罚金人民币7万元。
5.通过数据抓包监听、智能破解验证、内部员工超权限访问等方式窃取数据
【案例】2020年12月至2021年1月期间,温某某利用“某某手机模拟器”和“fiddler4”抓包软件等计算机特殊工具,抓取某网络科技有限公司开发的新能源汽车充电软件APP发送的充电指令相关参数数据信息,并在网络交易平台上发布、出售低价充电信息。温某某通过上述计算机抓包技术获取相关数据信息后,故意篡改该APP后台用户ID、充电桩编号以及充电金额的参数,利用其他含有充值金额的APP沉睡账户给相应的充电桩发送指令,帮助全国各地有充电需求的车主(客户)充值,每次充值金额约50元,每单获利20至25元。
温某某利用查找到的300余个含有充值金的APP沉睡账户给“客户”低价远程充电,非法获利金额达2万多元;另查明,温某某还利用同样方式盗取另外一家提供充电服务的公司的平台账户给“客户”充电,非法获利近2万元。
法院以温某某构成盗窃罪,判处有期徒刑1年,缓刑1年,并处罚金。
(二)攻击破坏型数据犯罪
该类型数据犯罪表现为对数据进行删除、修改、增加的行为,致使数据发生意外毁损或灭失,损害的是数据的完整性、可用性。比如,内部人员为谋取私利,利用岗位职权对交通违章记录、考试成绩等重要数据采取篡改、删除等行为;利用黑客技术侵入他人计算机信息系统或植入后门,并对系统数据、存储介质数据进行恶意删除、修改等行为;随着未来人工智能技术发展,数据投毒也可能成为破坏数据的帮凶,犯罪团伙在基础数据集中加入伪装数据或恶意样本破坏数据完整性,导致算法输出错误结果;还有利用Fiddler抓包篡改数据非法取财、登录网络游戏公司服务器以修改数据的方式提升账号等级或盗取游戏装备等破坏数据的行为。
【案例】2019年3月间,被告人胡原原和被告人马冬冬共谋私自将被害人杨某在安徽省建筑市场监管公共服务平台(以下简称“平台”)中的市政工程师资质,予以出售牟利,两人约定由马冬冬向胡原原支付60000元报酬后,再由马冬冬向他人出售。
胡原原联系他人非法侵入该平台并将杨某从安徽省国元建工集团有限公司名下解聘后,马冬冬联系被告人丁涛,丁涛同被告人李辉商议后,李辉联系任职于中软国际合肥云上软件有限公司(以下简称“中软公司”)的被告人檀磊鑫,由檀磊鑫在合肥市包河区内,私自利用中软公司具有的超级管理员权限,将杨某在平台中的登录密码重置为身份证后六位,并立即通知李辉。李辉随后将该信息告诉丁涛,丁涛又将该信息告诉马冬冬。
马冬冬获取杨某个人账户的登录密码后,非法登录该账户获取了杨某的受聘密码,并随后将杨某的身份证号码、账户登录密码及受聘密码通过他人最终出售给安徽信谷丰公司进行聘用。
事后,马冬冬获得100000元报酬,并将其中60000元转账给胡原原,另支付丁涛350元,丁涛将350元交李辉后,李辉从中支付檀磊鑫200元。
安徽省合肥市包河区人民法院最终以非法侵入计算机信息系统罪,分别判处被告人马冬冬等人有期徒刑二年零十一个月,缓刑四年等。((2020)皖0111刑初562号)
(三)流量造假型数据犯罪
流量造假型数据犯罪是近年来数量不断攀升的新型犯罪形态,表现在通过不正当技术手段,伪造或劫持数据流量的欺诈性行为。破坏的是数据的真实性。大体可将流量造假型数据犯罪分为流量虚构和流量劫持。
1.虚构流量数据犯罪
行为表现方式为通过人肉刷单、机器点击、租赁大量账号通过刷量平台自动进行刷粉、转发、点赞或者向外围的网络水军、雇佣媒体购买流量,交易平台商家或其委托的行为人,通过技术手段编造虚假交易数据并发布至网络进行流量虚构。从各种网站、电商平台,再到社交媒体,虚假的评论点赞量、店铺销售量等,与算法推荐结合起来,不仅威胁着网络空间安全,更与下游网络黑产中的多种违法犯罪、侵犯权益等行为关联紧密,对社会公共秩序也产生巨大危害。
典型案例1:秦火火案件
诽谤罪:被告人秦某于2012年12月至2013年8月期间,分别用“东土秦火火”“淮上秦火火”“江淮秦火火”和“炎黄秦火火”等新浪微博账号捏造损害罗某、杨某、兰某和张某等人名誉的事实并在信息网络上散布,引起了网友的大量转发与评论。其中捏造的损害他人名誉的事实分别为“罗某之兄在德国西门子公司任职,罗某与其家人便利用该关系搞利益交换关系”“杨某向希望工程虚假捐赠”“兰某被周某某所包养”以及“张某具有德国国籍”。这些捏造的事实发布在微博上得到网友的广泛评论与关注,引起了不小的社会热点,同时也给几位受害人造成了不小的影响。
寻衅滋事罪:被告人秦某利用7.23甬温线动车事故这一热点事件进行炒作,在新浪微博上用“中国秦火火”账号,称原铁道部向7.23甬温线动车事故中遇难的外籍乘客支付了3000万欧元的高额赔偿金。该条微博被转发11000次,评论3300余次,造成了公众对国家机关的信任危机。该条微博的发布给当时动车事故的善后工作带来极为恶劣的影响。
北京朝阳区人民法院经审理判决:被告人秦某构成诽谤罪,判决有期徒刑二年;构成寻衅滋事罪,判决有期徒刑一年六个月,合并执行有期徒刑三年。
典型案例2:杭州女子取快递被造谣案
2020年7月7日18时许,被告人郎某某在杭州市余杭区良渚街道某快递驿站内,使用手机偷拍正在等待取快递的被害人谷某某并将视频发布在某微信群。被告人何某某使用微信号冒充谷某某与自己聊天,后伙同郎某某分别使用各自微信号冒充谷某某和快递员,捏造谷某某结识快递员并多次发生不正当性关系的微信聊天记录。为增强聊天记录的可信度,郎某某、何某某还捏造“赴约途中”“约会现场”等视频、图片。同月7日至16日间,郎某某将上述捏造的微信聊天记录截图数十张及视频、图片陆续发布在该微信群,引发群内大量低俗、淫秽评论。案发后,被告人郎某某、何某某对被害人谷某某进行了赔偿。
法院经审理分别以诽谤罪判处被告人郎某某、何某某有期徒刑一年,缓刑二年。
2.流量劫持型数据犯罪
是指以编写恶意代码等方式在网页植入跳转程序,当用户登录浏览网页时,自动跳转至目标网页,从而通过目标网页的点击量或浏览量损害他人权益、牟取不法利益。实际上,流量造假型数据犯罪损害的是数据信用,这类犯罪的不法本质是流量价值释放的风险现实化,会对数字经济秩序造成冲击。
典型案例1
【基本案情】2013年底至2014年10月,被告人付宣豪、黄子超等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,被告人付宣豪、黄子超等人再将获取的互联网用户流量出售给杭州久尚科技有限公司(系“5w.com”导航网站所有者),违法所得合计人民币754,762.34元。
【裁判结果】上海市浦东新区人民法院于2015年5月20日作出(2015)浦刑初字第1460号刑事判决:被告人付宣豪犯破坏计算机信息系统罪,判处有期徒刑三年,缓刑三年;被告人黄子超犯破坏计算机信息系统罪,判处有期徒刑三年,缓刑三年。
【裁判要旨】
1.通过修改路由器、浏览器设置、锁定主页或者弹出新窗口等技术手段,强制网络用户访问指定网站的“DNS劫持”行为,属于破坏计算机信息系统,后果严重的,构成破坏计算机信息系统罪。
2.对于“DNS劫持”,应当根据造成不能正常运行的计算机信息系统数量、相关计算机信息系统不能正常运行的时间,以及所造成的损失或者影响等,认定其是“后果严重”还是“后果特别严重”
典型案例2
【基本案情】自2017年7月开始,被告人张竣杰、彭玲珑、祝东、姜宇豪经事先共谋,为赚取赌博网站广告费用,在马来西亚吉隆坡市租住的Trilion公寓B幢902室内,相互配合,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率,截止2017年9月底,被告人张竣杰、彭玲珑、祝东、姜宇豪链接被植入木马程序的目标服务器共计113台,其中部分网站服务器还被植入了含有赌博关键词的广告网页。
【裁判结果】江苏省南京市鼓楼区人民法院于2019年7月29日作出(2018)苏0106刑初487号刑事判决:被告人张竣杰犯非法控制计算机信息系统罪,判处有期徒刑四年,罚金人民币五万元;被告人彭玲珑犯非法控制计算机信息系统罪,判处有期徒刑三年九个月,罚金人民币五万元;被告人祝东犯非法控制计算机信息系统罪,判处有期徒刑三年六个月,罚金人民币四万元;被告人姜宇豪犯非法控制计算机信息系统罪,判处有期徒刑二年三个月,罚金人民币二万元。
一审宣判后,被告人姜宇豪以一审量刑过重为由提出上诉,其辩护人请求对被告人姜宇豪宣告缓刑。江苏省南京市中级人民法院于2019年9月16日作出(2019)苏01刑终768号裁定:驳回上诉,维持原判。
【裁判要旨】
1.通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为刑法第二百八十五条第二款“采用其他技术手段”非法控制计算机信息系统的行为。
2.通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。
(四)其他与数据相关联的犯罪
主要指以数据为工具进行的犯罪,包括数据犯罪衍生的新型传统犯罪,行为方式如文章开头提到的数据勒索行为,勒索病毒会利用各种加密算法加密感染者的数据文件,感染者若想拿到恢复数据的解密私钥,需要按照病毒的敲诈提示支付高额赎金,特别是关键医疗数据被勒索加密,如果不能及时恢复数据,将严重威胁患者的生命健康数据管理以及下步治疗。
通过以上分析可以看出,早期的利用数据进行的犯罪行为方式,是指通过合法或非法途径获取他人或组织的数据后,未经授权或超出授权范围,对数据进行分析、加工、出售或使用等活动,侵犯他人或组织的合法权益或公共利益的行为。不法分子往往通过电子设备和终端中存储的与个人生活或企业经营等密切相关的数据,分析个人生活习性、行动路径或企业经营策略等重要信息,为后续实施侵犯人身权利或财产权利的犯罪行为提供便利和帮助。而随着社会生活的复杂程度以及数字技术的不断成熟,数据犯罪呈现出链条化、产业化的发展趋势,体现为大型场景下对企业公开数据的批量抓取、使用,甚至在网络黑灰产业链中,数据同时被作为犯罪对象和犯罪工具。