引言
法律研究的目的是一种预测,即对公共权力通过法院的工具性的活动产生影响的预测。
——【美】霍姆斯《普通法》
互联网时代背景下,刑事法律的调整范围不断向网络空间纵深发展。作为网络经济的重要分支,SDK业务领域亦亟待规范调整。SDK(Software Development Kit )即“软件开发工具包”,是指“协助软件开发的相关二进制文件、文档、范例和工具的集合”。它是具有特定功能的工具包,通过接入软件应用程序,使其具备某项功能,起到便利软件开发、节约开发成本的作用。据统计,平均每款APP中镶嵌13.36个SDK。SDK在便利应用的同时,引起的安全隐患同样引人瞩目。预置“广告SDK”刑事首案的出现,为网络经济参与者SDK合规管理敲响了警钟。
本案可以评述的角度非常多,笔者本文把评述重心放在非法控制计算机系统罪罪名成立与否和单位犯罪的论述上,希望对企业有所启发。
一、案情简介
(2019)浙04刑终71号裁判文书载明,2015年8月,被告人欧某某与陈某某等人成立上海朗趣科技有限公司(以下简称“朗趣公司”)北京团队。团队成立后,开始研发只保留广告功能的SDK,同时向手机方案商、中间商、厂商推广广告SDK业务。后协商确定,由北京团队提供广告SDK工具包,手机商将广告SDK工具包预装到智能手机系统中,并使广告SDK获取系统权限,北京团队则根据存活率按安装台数或以广告费收入分成的方式向手机商支付费用。装有广告SDK的手机在用户首次开机联网时,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传imei(国际移动设备识别码)、imsi(国际移动用户识别码)等用户信息、自动更新广告SDK版本等,并根据与手机商达成的运营方案通过服务端(即BOSS系统)对推送方式、内容及频率等进行配置,向用户推送商业性电子信息,从而产生广告费收入。被告人欧某某使用他人身份信息陆续注册成立北京瑞徕科技有限公司、北京徕乾科技有限公司、新疆港乾信息技术有限公司、北京泰安瑞达科技有限公司等用于收取广告收入。
次年8月,瑞徕公司开展微信公众号推广业务,为了实现公众号粉丝量快速增长,着手研发“一键达apk”,利用广告SDK的静默安装功能自动下载并安装“一键达apk”,“一键达apk”在用户点击推送的文章或新闻后自动下载公众号二维码图片,利用手机辅助功能模拟用户操作,使用户微信自动识别下载的二维码图片,关注瑞徕公司运营的公众号,并定期自动清理相册中的二维码图片。
经法院认定,2017年朗趣公司、瑞徕公司的违法所得达2400余万元,该部分金额已属情节特别严重。法院判决认为,被告人欧某某、陈某某、宋某等三十人(其中两人另案起诉)以牟利为目的,违反国家规定,采用技术手段非法控制他人计算机信息系统,属情节特别严重,其行为均已构成非法控制计算机信息系统罪,系共同犯罪。
二、争议述评
(一)非法控制计算机信息系统罪的罪与非罪
非法控制计算机信息系统是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,对该计算机信息系统实施非法控制,情节严重的行为。在本案审理过程中,不乏有辩护人认为,案件行为人不构成犯罪,公诉机关对“非法控制”认定事实不清,非法控制计算机信息系统罪必须有非法的目的性、必须采取“侵入”手段、“控制”应达到排除第三人的程度。
对非法控制计算机信息系统罪的认定,需要明确“非法控制”、“计算机信息系统”及“情节严重”的概念内涵。
1. 对“非法控制”的理解
首先关于“非法”的理解,违反相关法律规定是成立本罪的前置性要件。行为人实施控制行为、触犯刑事法律之前,必然违反了其他前置性法律。本案事实行为包括预置运行“广告SDK”推送广告、利用“一键达apk”操控终端关注微信公众号两方面,经被害人陈述及司法鉴定结果证实,上述两种行为均未取得用户授权、获得用户许可,对用户合法权益造成了侵害。案件相关行为人实施上述事实行为,违反了《中华人民共和国计算机信息系统安全保护条例》第七条规定,“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。”及《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条第二款规定,“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息”,符合前置性要件。
同时据裁判认定,广告SDK的预装及运营有诸多规避行为,例如设置白名单(不运营的用户)、区域性运营(避开百度、阿某、腾讯三大公司所在地)、设置静默期(激活后一段时间内不运营)、不在桌面上显示广告SDK的图标、规避操作系统提供方的检测获取签名、进网样机中未植入广告SDK等。在弹送广告的方式上也具有伪装性,例如在用户点击某个应用程序的前后弹送广告,使用户误以为是打开的应用程序所弹的广告等。凡此种种,说明相关行为人对违法事实具有一定的认识,虽然违法性认识不影响犯罪成立,但某种程度上证实了行为人主观恶性。
其次关于“控制”的理解,不以排他性为必要。辩护律师认为,成立本罪需要达到排除用户控制的程度。对此,相关法律规范未作明确释义,司法裁判认为,非法控制不必然具有排他性。依语意理解,“控制”是指掌握住对象不使其任意活动、超出范围,或使其按控制者的意愿活动。言外之意,使行为对象依其意愿进行活动即构成控制。本案中,行为人预置“广告SDK”使其联网自动运行并收集用户信息、更新下载“一键达apk”并自动关注公众号,显然是使用户手机依其意愿进行相关操作,符合“控制”的行为内涵。而用户行为事后是否可做更改并不改变其控制本质,系对用户手机的“部分控制”。
2. 对“计算机信息系统”的理解
手机系统属于计算机信息系统。《中华人民共和国计算机信息系统安全保护条例》第二条指出,计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条进一步指出,本解释所称“计算机信息系统”和“计算机系统”,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。由此,在立法层面肯定了通信设备与计算机信息系统的种属关系。
在本案中,部分被告人认为涉案行为未控制计算机信息“操作系统”,而是对程序运行权的控制。在此,被告人对计算机信息系统做了狭义的理解,显然不当缩小了犯罪成立范围。法规中所称计算机信息系统是指计算机本身及其配套设备设施,是广义上的信息系统。
3. 对“情节严重”的理解
本罪系为情节犯,以”情节严重“作为犯罪成立要件。两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定,“非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;(二)其他情节特别严重的情形。明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。”本案中,朗趣公司非法收集imei号共计21712194个,非法获利千万余元,远达“情节特别严重”情形,符合情节要件。
综上,朗趣公司北京团队相关成员预置运行“广告SDK”及更新下载“一键达apk”的行为对计算机信息系统实施了非法控制,达到情节特别严重情形,构成非法控制计算机信息系统罪,依法应当追究刑事责任。
(二)单位犯罪的成立与否
我国通说观点认为,单位犯罪是经单位集体研究决定或者由负责人员决定,为单位谋取非法利益或者以单位名义,故意或者过失实施的犯罪。《最高人民法院关于审理单位犯罪案件具体应用法律有关问题的解释》第二条同时指出,个人为进行违法犯罪活动而设立的公司、企业、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。
单位与自然人均可实施非法控制计算机信息系统的违法行为,是本罪的适格主体。本案的控辩中,不少辩护人指出,朗趣公司北京团队相关成员实施的犯罪行为应当归咎于单位,是属于朗趣公司单位犯罪。认定为单位犯罪,一定程度上能减轻主管人员刑事责任,免除非主要责任人员刑事责任,因而是刑事辩护积极追求的方向。
可以注意到,本案违法行为以单位形式展开,被告行为人系以单位名义开展相关活动,具备单位犯罪形式外观。但法院裁判认为,原朗趣公司团队于2016年解散后,仅剩被告人欧某某的北京团队,主要业务为广告SDK,公司收入主要来源于广告SDK的收入,属于单位设立后以犯罪行为为主要活动,不应认定为单位犯罪。
同时,被告人欧某某以他人身份成立多个公司,利用这些公司名义推广广告SDK业务并收取广告费,在瑞徕公司成立新媒体部主要运营一键达apk,并带领整个团队于2017年8月集体跳槽,亦可证明被告人行为并非代表朗趣公司的意志,收入也并非全部归朗趣公司所有,因而不予认定为单位犯罪。裁判意见一方面从单位犯罪谋利要素与意志要素否定单位犯罪构成,另一方面认定单位成立后以实施犯罪为主要活动,不以单位犯罪论处,从两个方面否定了单位犯罪的成立。
事实上,自2016年11月朗趣公司上海团队解散后,欧某某北京团队成为朗趣公司实际控制者,其以违规广告SDK为主营业务,不应认定为单位犯罪。此后设立的瑞徕等公司,其目的是为了研发运营“一键达apk”,是以从事非法活动为目的设立单位,以自然人犯罪论处无可厚非。值得探讨的是,自2015年8月欧某某团队加入朗趣公司至次年上海团队解散前这段时间内,被告人实施的犯罪行为是否应当被笼统评价为自然人犯罪。据本案被告人罗某某陈述,其所在智汇云商公司与朗趣公司关于广告SDK的合作时间是在2015年8月份之前,8月份已经有预装出货,因此已经有广告SDK的结算。换言之,关于广告SDK的筹划及研发早在欧某某团队加入之前即已启动,在该时间段内,朗趣公司尚有桌面业务,公司的设立并不以违规广告SDK为主要活动,一定程度上很难排除单位犯罪可能性。因而,针对该段时间的犯罪性质判定也许有待商榷。
三、SDK合规启示
法者,所以禁民为非而使其迁善远罪也。本案非法控制信息系统罪的成立,根源上在于“非法”,也即对合规的忽视。日前,SDK相关业务领域逐渐受到国家有关部门关注。2021年10月,工业和信息化部信息通信管理局对字节跳动“穿山甲”SDK、腾讯“优量汇”SDK、快手广告SDK违规行为进行通报。2022 年工信部发言人表示,将对第三方软件开发工具包(SDK)等实现监管全覆盖,同时通报了13 款侵害用户权益行为的SDK。SDK合规问题,亟待关注。
SDK需合规收集、使用、管理用户信息。为更好提升服务、保证服务质量,SDK运营中需要收集用户信息的,应当履行公开告知义务,获取用户授权。同时,应在授权范围内使用信息,禁止超越授权范围收集、使用公民个人信息。吸取本案违规收集使用用户信息、构成违法犯罪的经验教训,应严格合规管理。此外,SDK开发方还应对公民个人信息进行妥善管理、保存,防止个人信息泄露危险。
手机商、APP方也需加强对SDK的监督管理。本案中手机商显然未对广告SDK的违规行为进行尽职的合规审查,造成了手机用户利益的受损,长远来看,也不利于其本身产品发展、品质提升。对APP开发方来说,与SDK之间的开发者服务协议中可以对相关合规问题做出约定,以避免SDK合规安全风险。加强对SDK的监督管理,提供SDK合规的外部动力。
参考资料
【1】全国信息安全标准化技术委员会秘书处:《网络安全标准实践指南——移动互联网应用程序(APP)使用软件开发工具包(SDK)安全指引》
【2】中国信息通信研究院和深圳市腾讯计算机系统有限公司:《软件开发包(SDK)安全研究报告(2021年)》