辩护词精选丨周立波:非法获取计算机信息系统数据案无罪辩护词(“百度网盘案”)
编者按:1.此辩护词中的无罪辩护意见被法院采纳,详情可联系作者。2.辩护词供学习、交流、探讨使用,不得用于其他用途。3.为保护个人隐私,文中当事人为化名。
XX市XX区人民法院
尊敬的审判长、人民陪审员:
辩护人对本案经过进一步研究后,现发表如下辩护意见,供法庭参考。
公诉人指控的罪名是非法获取计算机信息系统数据罪。那么,什么是非法获取计算机信息系统数据罪?根据刑法的规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。
再进一步根据相关司法解释的规定[1],非法获取计算机信息系统数据罪客观上表现为:避开或突破计算机信息系统安全保护措施,未经授权或者超越授权获取该计算机信息系统数据的行为。
要构成这个罪,必须符合三个条件:一是行为模式是一种获取数据的行为,而不是其他数据处理行为;二是获取的是计算机信息系统权利人的数据,而不是其他人的数据;三是获取数据必须是非法的,并且应该达到刑事违法的程度。只有这三个条件全部符合才能构成本罪。
下面我们结合本案的事实,来重点看这三个问题。
第一,关于“获取”数据的问题
也即本案的行为性质问题,到底是“获取”数据行为,还是其他数据处理行为?如果不是“获取”数据,那么也就不构成非法获取计算机信息系统数据罪。
应该看到,在计算机中处理数据的行为有很多,有访问、识别、加载、浏览、收集、传输、获取、保存等等。刑法规定了非法获取计算机信息系统数据罪,但遗憾的是,对于什么是“获取”数据行为,法律并没有做进一步的解释。这也是造成本案争议的原因之一。
根据常理,因为本罪是一个典型的计算机罪名,是由技术规范上升到法律规范的罪名。所以在理解刑法意义上的“获取”行为时,就应该回到它的技术本源。因此,我们需要看一看在技术上、计算机上是如何理解“获取”数据这个行为概念的。
我们恰好找到了这样一个国际标准,关于《信息技术-安全技术-电子数据识别、收集、获取和保存指南》[2],其中对于“获取”(acquisition)数据有一个明确的界定。所谓的“获取”是指:在特定的数据集合中进行数据副本创建的过程。并且,为了怕大家不能很好地理解“获取”的含义,它又加了一条注释。这条注释进一步明确,“获取的内容是对于拟获取的数据信息的备份”,在英文版的表述中用的是“copy”,也就拷贝、复制。也就是从技术角度而言,“获取”数据就是创建数据副本的过程,是复制、备份数据的行为。比如我进入你的电脑,把你的一份机密文档给拷贝出来,这就是典型的获取数据行为。
那么在法律上,是不是也是这样理解“获取”数据行为呢?虽然目前的法律没有对“获取”数据行为直接进行界定,但事实上在相关的法律法规中对“获取”的这一含义进行了确认。近年来我们为了应对网络犯罪的取证问题,出台了多个有关电子数据的收集、提取规定,典型的如2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。其中,对于电子数据的收集、提取等取证行为,客观上就是一个“获取”数据的行为。对电子数据的取证,它的核心行为就是数据镜像的制作,包括在线提取、远程提取等都是对原来已经存在的数据的备份制作,而且强调要保存原始介质。应该看到,在程序法上为了收集电子数据进行的取证,就是在获取数据,并且这个过程就是一个数据副本的创建过程。由此,将 “获取”数据理解为对数据的复制、备份也可以在法律中得到印证。
因此,虽然我们刑法和司法解释没有对“获取”数据的行为性质作更进一步的解释,但根据“获取”的技术本义,和其他法律法规对“获取”的同义理解和应用,“获取”数据的含义应是复制、备份数据的行为,其需要创建数据副本,并将其取得、得到。“获取”数据行为需要与其他“识别、加载、浏览”等数据处理行为进行区分,其含义是对数据的备份、取得,而不仅仅是识别、看到。
回到本案,公诉人指控的是被告人的XX播放器向百度公司数据库服务器发送请求信息,从而“获取”了视频流地址数据。但根据之前我们提交的App运行原理演示视频,可以清楚的看到,这些视频流地址数据是访问请求视频播放时产生的交互数据,在登录百度网盘后对其进行了一个加载、浏览(并且在登录前与登录后加载浏览的原理是一样的),而不是对原始视频数据的一个复制、备份。具体而言,被告人的XX播放器并没有将原始视频数据复制、备份到自己的服务器或本地文件。事实上,如果关闭视频播放页面,这些视频流地址数据会同步消失,也表明其没有复制、备份下来,没有获取、取得这些数据。
由此,本案对这些视频流地址数据而言,不是一个“获取”行为,而仅仅是一个“访问、浏览”行为,不是一个“获取”数据行为,而是一个其他的数据处理行为。
第二,关于数据权属和数据法益的侵犯问题
也即本案中涉案的到底是什么数据?这个数据的权属到底是属于谁的?有没有对其侵犯?如果这个数据的权属不属于百度的,也就无所谓对百度公司数据权益的侵犯,也就不构成犯罪。
应该看到,视频流地址数据对应的是背后的视频数据。在计算机中,如果没有对应的视频数据,单纯的视频流地址数据没有任何意义。比如,分享视频的用户把这个视频给删除了,就不会有视频流地址数据,但反过来,把视频流地址数据给删除了,不会影响视频数据的存在。由此,在权属上视频流地址数据是依附于视频数据而存在的。
回到本案,不得不注意的一个问题是:XX播放器用户观看的视频是百度网盘用户公开分享出来的视频,在权属上是属于用户的,其对应的视频数据也是用户的,而不是百度网盘的。百度网盘在服务协议条款1.1中也明确约定:“百度网盘是信息存储空间平台,其本身不直接上传、提供内容,对用户传输内容不做任何修改或编辑。”这也表明,用户上传的公开分享的视频(视频数据)在权属上与百度网盘无关。
对于用户访问百度网盘视频产生的视频流地址数据,是任何网络访问浏览行为都会产生的交互数据。而且根据用户访问时间的不同,访问工具的不同,每一次的交互数据也不一样。事实上,这些视频流地址数据不仅在权属上依附于对应的视频数据,而且也不完全是百度网盘单独产生的,而是与用户的访问行为交互后共同产生的。单就视频流地址数据而言,其权属也不仅仅是百度网盘的。
应该看到,XX播放器用户看百度网盘视频,主要是为了看视频(视频数据),而不是为了看视频流地址数据。由此,从数据权益保护角度而言,如果要说被告人的行为侵犯了数据权益,那么也是对百度网盘用户分享的“视频数据”权益的侵犯,而不是对“视频流地址数据”权益的侵犯。但值得注意的是,这些视频是网盘用户公开分享出来的,是希望他人来看的,也就是放弃了视频权限,也就不存在被告人对该“视频数据”权益的侵犯。由此,本案事实上没有对真正的、核心的数据权利人的数据权益进行了侵犯。
第三,关于“非法性”的问题
也即本案的行为到底属不属于非法?有没有达到刑事违法的程度?这也是本案最为复杂的一个问题之一。
首先,我们要明确非法与违规、违约含义之间的区别。违规、违约不等于非法。特别是,不能把毛估估的、感觉有问题的行为直接认定为非法行为,这是我们常犯的错误之一。就像,我们不能把本案批量买卖账号的行为随意地认定为非法[3]。其次,非法获取数据罪中的“非法”,非的还不是一般的法,而是刑法明确要求必须达到“违反国家规定”的程度。这也是为了防止将一般的民事违法行为当作刑事犯罪来进行错误打击。再次,根据司法解释的规定,本罪中的非法,在客观上主要表现为:避开或突破计算机信息系统安全保护措施,在未经授权或超越授权的情况下去获取数据。
现在,回到本案,结合公诉人的指控,我们来看看,本案的行为是不是符合本罪要求的“非法性”。
第一点:根据公诉人的指控,本案被告人的XX播放器的“非法性”主要体现在伪装成百度用户,在没有真实登录百度网盘的情况下,向百度网盘服务器发送请求信息……。但本案是否真的就像公诉人所描述的可以构成“非法”?
首先,需要厘清一个事实问题,就是本案到底有没有登录?这也是本案的争议焦点之一。
公诉人认为没有真实登录,但事实上,用户在使用XX播放器的过程中是登录了百度网盘,否则也无法访问浏览网盘视频。关于登录问题,第一份辩护意见已经进行了详细说明,也即根据百度网盘的登录方式(这也是很多其他网站登录的通用方式),其登录大致可以分为两种:一种是手动登录,即通过输入注册的账号、密码进行点击登录;另一种就是在第一次登录后利用浏览器的cookie信息进行自动登录。自动登录省去了手动点击输入的麻烦,在登录各类网站账户时是一种常见现象。百度网盘本身在《隐私政策》条款中也明确允许cookie这种自动登录方式。[4]回到本案,被告人事实上是用cookie自动登录的方式登录了百度网盘,而不是公诉人所说的“没有登录百度网盘”。准确来讲,被告人不是没有登录百度网盘,而只是没有手动登录;不是没有真实登录,而只是,不是原来的注册用户登录。
其次,根据上述,本案登录过程中存在的问题主要是:登录的不是原注册账户人,而是使用XX播放器的非注册用户,也就是公诉人所描述的“伪装的百度用户”去登录。但这一行为是否“非法”?
对于这一点,需要说明的是,本来被告人用于登录百度网盘的账号cookie信息都是他人注册的真实有效的账户信息,虽然是购买过来的,但在性质上仍然是真实有效的信息。[5]应该看到,根据百度网盘的服务协议[6],这一行为确实违反了其中的账号使用条款,也就是“非初始申请注册人不得使用百度网盘账号”。但同时也应该看到,违反这种《百度网盘服务协议》,仅仅是违反个人之间的协议约定,而不是违反国家规定。暂且不说这种单方协议本身是否合理,即使违反,也达不到违反法律的程度。根据《百度网盘服务协议》的约定[7],用户如违反这些承诺保证,其可以做出警告、屏蔽、取消资格、封禁账号、停止服务的处理。这才是与这一违约行为相匹配的惩戒措施。并且在法律上,违反协议产生的责任,也仅仅是承担民事责任。
由此,使用非初始申请注册人的账号cookie信息去登录,只是违反百度网盘服务协议,最多只是一个违约行为,而不是非法行为。
第二点:即使认为被告人的登录过程属于鉴定意见中所说的“突破了百度网盘需要登录并转存之后才能观看完整视频的服务策略”,但突破这种策略是不是就是本罪所要求的“突破计算机信息系统安全保护措施,未经授权去获取该系统中的数据“呢?这也是本案的争议焦点之一。
关于这一点的判断,首先,需要明确“计算机信息系统安全保护措施”的含义。不言而喻,这一措施本质上是一个安保措施,属于一种防御性措施,目的是为了保障计算机信息系统和数据的安全。如我们个人银行账户设置的账号密码是一种典型的安全保护措施,可以保护个人银行账户系统内资金的安全。需要注意的是,计算机系统也有各种其他措施,如服务措施、管理措施等,不能把计算机当中设置的其他措施认定为是计算机信息系统安全保护措施。
其次,需要明确“百度网盘设置的登录并转存才能观看完整视频的策略”的性质,也就是其是不是一种保护百度网盘系统本身和系统内数据的安全保护措施?辩护人认为,这一策略措施,本质上不是百度网盘系统的安全保护措施,而只是一种用户管理措施,或收看视频的服务策略[8]。具体而言,百度网盘设置的这种登录、转存策略的目的,不是为了保护登录进去之后百度网盘系统内数据的安全,而是为了检验用户是否有资格享受百度网盘提供的服务,也就是本案当中用户是不是能完整地观看在百度网盘内其他用户分享出来的视频。这里需要特别注意的是,不能把账号密码登录系统都简单的认定为信息系统安全保护措施。同样的账号密码登录系统,对百度网盘的个人用户而言,确实是个人账户的安全保护措施,但对百度网盘而言,其只是管理用户的登记措施。也即这一登录系统对百度网盘而言,主要是为了验证用户是否是百度用户,更多的是为落实实名制要求或记录用户行为,甚至仅是为让用户在访问前阅读《用户协议》或《隐私政策》从而或豁免自己的法律风险,这样的系统措施,就不属于安保措施。[9]
总之,百度网盘设置的这种登录转存策略,性质上是一种用户管理措施或服务策略,而不是计算机信息系统安全保护措施。由此,即使对其进行了突破或违反,危害的也不是计算机信息系统和数据本身的安全,而是仅仅是扰乱了百度网盘的用户管理和视频播放服务秩序,不符合非法获取计算机信息系统数据罪当中所要求的非法性和法益保护范围,不构成本罪。
为了便于理解,辩护人用一个形象的例子对本案的整个行为过程和性质进行解释说明:
就像我们的小区,小区门口都有门卫。按照有些小区的规定,要进入需要登记身份信息,是里面业主的,可以进入,住在里面并且可以享受小区的公共服务设施,如健身设施。小区也规定,业主不能把自己的身份信息借给别人用,别人也不能借用业主的。本案百度网盘就像一个圈起来的网络小区,属于百度用户的,可以登录进去享受里面的服务,也就是可以看完整的视频;如果不属于的,只能在外围看几分钟。这里的百度网盘视频因为是用户自己公开分享的,就像是小区业主自己分享出来的公共服务设施。需要说明的是,这个小区是欢迎更多的人去享受它里面的公共设施的,只要做好身份登记。百度网盘也是一样,只要登记注册,都可以看里面的完整视频,并且对百度网盘而言,是流量越大越好。
应该看到,这个小区里面的公共设施确实很不错,有很多其他小区的业主想要使用。但因为不能直接进去享用,而是要登记身份信息才能进入,有点麻烦。本案的被告人就是买了这个小区的有效的业主信息,帮助其他小区的业主在不用填写登记的情况下就可以自动进入,省略了这一登记过程,减少了麻烦,从而受到欢迎,并且因此也赚到了钱。这个过程中,因为有很多人进入小区,加大了人流量,也增加了小区的物业管理成本。这就是百度网盘中所谓的流量损耗。
在这个过程中,应该很容易看到:1、小区的公共服务设施不是小区提供的,而是业主私人分享出来的。2、门口的身份登记不是为了保护整个小区的安全,也不是为了保护小区中这些公共服务设施的安全,而只是为了验证是不是小区的业主,从而是不是可以进去享受该公共设施。3、其他小区的业主在进去使用后也没有把公共服务设施给拿出来搬回家。4、对于帮助其他业主进入这个小区的行为(哪怕是暴力突进),即使认为是对小区登记管理制度的突破,但也仅仅只是对这个小区的规约的违反,而不是对普遍适用的法律的违反。其在性质上也绝对不可能认定为是非法行为,而最多是违反小区规定的行为。事实上,很多小区出于开放共享的理念,并没有这种登记措施。5、如果其他小区业主借用这个小区业主的身份信息进入了其家里并拿走了里面的设施设备,则可能涉嫌违法犯罪,但本案并没有。
本案被告人的行为就是这样一个过程,从常理而言,也不应该构成犯罪。
综合上述,本案被告人的行为,首先,在性质上不是获取数据行为,而是访问浏览数据的行为;其次,其访问浏览的视频数据和对应的视频流地址数据,在本质权属上也不属于百度网盘的,而是百度网盘用户的;再次,虽然登录过程不符合百度网盘服务协议中的用户管理约定,但违反这种约定不属于突破计算机信息系统安全保护措施,并且在性质上也只是违约,没有达到刑法所要求的非法的程度,因此,不构成指控的非法获取计算机信息系统数据罪。
第四,关于本案行为的本质属性及其法律评价问题
也即本案的行为到底属于什么?其危害性如何?如何进行准确的认定处理?
应该看到,本案被告人的行为不是一点问题都没有,辩护人也认为存在一定问题。但在有问题的情况下,并不是眉毛胡子一把抓、不加分析地将其认定为犯罪行为,否则很有可能将一般的违法行为、违规行为、违约行为甚至违反道德的行为,错误的认定为刑事犯罪行为。经过上述深入的分析,本案的行为不属于非法获取计算机信息系统数据的行为,但其到底属于什么行为呢?
事实上,本案被告人行为的最大问题在于:违反百度网盘协议的账户使用约定,用他人的账户登录了百度网盘,并为用户提供完整视频播放服务。这一行为在本质上是一种妨害百度网盘用户管理和视频播放服务业务的行为。这种行为确实会对百度网盘这一市场主体带来一定的损害,会使百度网盘公司丧失预期的注册用户,也会增加服务器的带宽成本。但这种行为,在法律上进行准确评价,其事实上只是一种妨害市场主体的服务业务、扰乱市场竞争秩序的不正当竞争行为。根据《反不正当竞争法》第12条的规定:“经营者不得利用技术手段,通过影响用户选择或者其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。”本案就是这样一种行为。
由此,结合全案事实和法律,本案被告人的行为属于一种民事领域的违约和不正当竞争行为,应该以相关民事和行政法规进行处理。
事实上,从类案检索情况看,辩护人找到了38个与本案行为类似甚至比本案行为性质和后果更为严重的案件,都做了民事纠纷处理,[10]也在很大程度上说明了本案的行为性质和准确处理方式。
第五,其他需要注意的问题
本案有一些情况值得注意。被告人和百度网盘公司的所在地北京,之前曾有发生过类似的案件,但在北京地区都作为民事纠纷处理。百度网盘公司为了加大对此类行为的追究和打击,利用在XX的分公司进行刑事报案,并且最后进行了刑事立案。被告人在被刑事羁押的情况下,家属根据百度网盘公司的要求赔偿了120万,远远超出百度网盘实际的带宽损失。
百度网盘公司想要通过法律手段维护自己权利的行为应该支持,但任何试图通过刑事手段干预民事纠纷的行为都不应被纵容。法律面前人人平等,不能因为一方资本雄厚、实力强大而可以滥用法律武器,否则可能人人自危。百度确实为社会做出了贡献,但也应该有法律底线,渡人渡己。
此外,本案既涉及计算机专业知识,又民刑交叉,确实属于较为疑难复杂的新型案件,相当考验司法水平。对于其中的民刑交叉的问题,应该明确的是刑民本有界限,行为都有对应的责任,将民事纠纷当作刑事犯罪来打击实际上是一种冤假错案。需要特别把握刑法的谦抑原则,避免将一般违约、违法行为错误的认定为刑事犯罪。
最后,本案被告人是著名的XX大学计算机专业硕士研究生,自身奋斗和社会培养都不容易,又是两个孩子的爸爸,身上责任和孩儿期待又堪重大。在本案行为过程中,本身并没有太大恶意,即使犯了错,也值得宽宥。事实上,经过两年漫长的司法等待和煎熬,被告人也完全吸取了教训,只求不要背负罪名,回归本常。对此,司法可以有一定的宽容,明德慎刑,司法为民。
综上,希望法庭以事实为依据,以法律为准绳,坚守罪刑法定原则的底线,排除案外因素的干扰,不纵不枉,做出无罪处理,以真正维护司法公正,以让每一个人都能在司法中感受到公平正义和温暖!
以上意见供法庭参考,采纳为盼,谢谢。
辩护人:浙江厚启律师事务所
周立波 律师
二〇XX年X月X日
注释:
[1] 2011年最高院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条:具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
[2]发布单位:国际标准化组织。根据ISO/IEC电子数据取证标准体系ISO/IEC 27037:2012《信息技术-安全技术-电子证据识别.收集.获取和保存指南》中对“获取”(acquisition)的定义:在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)。同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份”(The product of an acquisition is a potential digital evidence copy)。
[3] 尽管感觉有问题,也是很多人认为的“灰产”,但事实上,也有合法买卖账号的情形。至于什么是非法买卖账号,法律目前也没有明确界定。
[4] 《百度网盘隐私政策》第2条:“Cookie是支持服务器端(或者脚本)在客户端上存储和检索信息的一种机制。当您与百度网盘服务进行交互时,我们允许Cookie发送给百度服务器。”
[5] 买卖账号这一行为的合法与否,在客观上并不影响账号信息的真实性。
[6] 《百度网盘服务协议》1.3条:用户不得滥用百度网盘服务的服务,百度网盘服务账号仅限用户个人使用,账号不得有偿或无偿提供给任何第三方使用。2.2条:非初始申请注册人不得通过受赠、继承、承租、受让或者其他任何方式使用百度网盘账号。
[7] 《百度网盘服务协议》3.1.12 用户违反上述任何一款的保证,度友公司均有权就其情节,对其做出警告、屏蔽、直至取消资格的处罚,度友公司有权封禁该帐号网盘功能或取消该帐号VIP资格而无须给与任何补偿;如因用户违反上述保证而给百度网盘服务、百度网盘服务用户或度友公司的任何合作伙伴造成损失,用户自行负责承担一切法律责任并赔偿损失。
[8] 证据卷第XX页:百度法务XX的询问笔录。
[9] 参见吴卫:《明确越界网络爬虫行为的刑事处罚边界》,《检察日报》2022年2月15日。
[10] 见庭前辩护意见和提交的类案。
人划线