關于印發最高人民檢察院
第十八批指導性案例的通知
各級人民檢察院:
經2020年1月3日最高人民檢察院第十三屆檢察委員會第三十一次會議通過,現將張凱閔等52人電信網絡詐騙案等三件指導性案例(檢例第67-69號)作為第十八批指導性案例發布,供參照適用。
最 高 人 民 檢 察 院
2020年3月28日
張凱閔等52人電信網絡詐騙案
(檢例第67號)
【關鍵詞】
跨境電信網絡詐騙 境外證據審查 電子數據 引導取證
【要旨】
跨境電信網絡詐騙犯罪往往涉及大量的境外證據和龐雜的電子數據。對境外獲取的證據應著重審查合法性,對電子數據應著重審查客觀性。主要成員固定,其他人員有一定流動性的電信網絡詐騙犯罪組織,可認定為犯罪集團。
【基本案情】
被告人張凱閔,男,1981年11月21日出生,中國臺灣地區居民,無業。
林金德等其他被告人、被不起訴人基本情況略。
2015年6月至2016年4月間,被告人張凱閔等52人先后在印度尼西亞共和國和肯尼亞共和國參加對中國大陸居民進行電信網絡詐騙的犯罪集團。在實施電信網絡詐騙過程中,各被告人分工合作,其中部分被告人負責利用電信網絡技術手段對大陸居民的手機和座機電話進行語音群呼,群呼的主要內容為“有快遞未簽收,經查詢還有護照簽證即將過期,將被限制出境管制,身份信息可能遭泄露”等。當被害人按照語音內容操作后,電話會自動接通冒充快遞公司客服人員的一線話務員。一線話務員以幫助被害人報案為由,在被害人不掛斷電話時,將電話轉接至冒充公安局辦案人員的二線話務員。二線話務員向被害人謊稱“因泄露的個人信息被用于犯罪活動,需對被害人資金流向進行調查”,欺騙被害人轉賬、匯款至指定賬戶。如果被害人對二線話務員的說法仍有懷疑,二線話務員會將電話轉給冒充檢察官的三線話務員繼續實施詐騙。
至案發,張凱閔等被告人通過上述詐騙手段騙取75名被害人錢款共計人民幣2300余萬元。
【指控與證明犯罪】
(一)介入偵查引導取證
由于本案被害人均是中國大陸居民,根據屬地管轄優先原則,2016年4月,肯尼亞將76名電信網絡詐騙犯罪嫌疑人(其中大陸居民32人,臺灣地區居民44人)遣返中國大陸。經初步審查,張凱閔等41人與其他被遣返的人分屬互不關聯的詐騙團伙,公安機關依法分案處理。2016年5月,北京市人民檢察院第二分院經指定管轄本案,并應公安機關邀請,介入偵查引導取證。
鑒于肯尼亞在遣返犯罪嫌疑人前已將起獲的涉案筆記本電腦、語音網關(指能將語音通信集成到數據網絡中實現通信功能的設備)、手機等物證移交我國公安機關,為確保證據的客觀性、關聯性和合法性,檢察機關就案件證據需要達到的證明標準以及涉外電子數據的提取等問題與公安機關溝通,提出提取、恢復涉案的Skype聊天記錄、Excel和Word文檔、網絡電話撥打記錄清單等電子數據,并對電子數據進行無污損鑒定的意見。在審查電子數據的過程中,檢察人員與偵查人員在恢復的Excel文檔中找到多份“返鄉訂票記錄單”以及早期大量的Skype聊天記錄。依據此線索,查實部分犯罪嫌疑人在去肯尼亞之前曾在印度尼西亞兩度針對中國大陸居民進行詐騙,詐騙數額累計達2000余萬元人民幣。隨后,11名曾在印度尼西亞參與張凱閔團伙實施電信詐騙,未赴肯尼亞繼續詐騙的犯罪嫌疑人陸續被緝捕到案。至此,張凱閔案52名犯罪嫌疑人全部到案。
(二)審查起訴
審查起訴期間,在案犯罪嫌疑人均表示認罪,但對其在犯罪集團中的作用和參與犯罪數額各自作出辯解。
經審查,北京市人民檢察院第二分院認為現有證據足以證實張凱閔等人利用電信網絡實施詐騙,但案件證據還存在以下問題:一是電子數據無污損鑒定意見的鑒定起始基準時間晚于犯罪嫌疑人歸案的時間近11個小時,不能確定在此期間電子數據是否被增加、刪除、修改。二是被害人與詐騙犯罪組織間的關聯性證據調取不完整,無法證實部分被害人系本案犯罪組織所騙。三是臺灣地區警方提供的臺灣地區犯罪嫌疑人出入境記錄不完整,北京市公安局出入境管理總隊出具的出入境記錄與犯罪嫌疑人的供述等其他證據不盡一致,現有證據不能證實各犯罪嫌疑人參加詐騙犯罪組織的具體時間。
針對上述問題,北京市人民檢察院第二分院于2016年12月17日、2017年3月7日兩次將案件退回公安機關補充偵查,并提出以下補充偵查意見:一是通過中國駐肯尼亞大使館確認抓獲犯罪嫌疑人和外方起獲物證的具體時間,將此時間作為電子數據無污損鑒定的起始基準時間,對電子數據重新進行無污損鑒定,以確保電子數據的客觀性。二是補充調取犯罪嫌疑人使用網絡電話與被害人通話的記錄、被害人向犯罪嫌疑人指定銀行賬戶轉賬匯款的記錄、犯罪嫌疑人的收款賬戶交易明細等證據,以準確認定本案被害人。三是調取各犯罪嫌疑人護照,由北京市公安局出入境管理總隊結合護照,出具完整的出入境記錄,補充訊問負責管理護照的犯罪嫌疑人,核實部分犯罪嫌疑人是否中途離開過詐騙窩點,以準確認定各犯罪嫌疑人參加犯罪組織的具體時間。補充偵查期間,檢察機關就補偵事項及時與公安機關加強當面溝通,落實補證要求。與此同時,檢察人員會同偵查人員共赴國家信息中心電子數據司法鑒定中心,就電子數據提取和無污損鑒定等問題向行業專家咨詢,解決了無污損鑒定的具體要求以及提取、固定電子數據的范圍、程序等問題。檢察機關還對公安機關以《司法鑒定書》記錄電子數據勘驗過程的做法提出意見,要求將《司法鑒定書》轉化為勘驗筆錄。通過上述工作,全案證據得到進一步完善,最終形成補充偵查卷21冊,為案件的審查和提起公訴奠定了堅實基礎。
檢察機關經審查認為,根據肯尼亞警方出具的《調查報告》、我國駐肯尼亞大使館出具的《情況說明》以及公安機關出具的扣押決定書、扣押清單等,能夠確定境外獲取的證據來源合法,移交過程真實、連貫、合法。國家信息中心電子數據司法鑒定中心重新作出的無污損鑒定,鑒定的起始基準時間與肯尼亞警方抓獲犯罪嫌疑人并起獲涉案設備的時間一致,能夠證實電子數據的真實性。涉案筆記本電腦和手機中提取的Skype賬戶登錄信息等電子數據與犯罪嫌疑人的供述相互印證,能夠確定犯罪嫌疑人的網絡身份和現實身份具有一致性。75名被害人與詐騙犯罪組織間的關聯性證據已補充到位,具體表現為:網絡電話、Skype聊天記錄等與被害人陳述的詐騙電話號碼、銀行賬號等證據相互印證;電子數據中的聊天時間、通話時間與銀行交易記錄中的轉賬時間相互印證;被害人陳述的被騙經過與被告人供述的詐騙方式相互印證。本案的75名被害人被騙的證據均滿足上述印證關系。
(三)出庭指控犯罪
2017年4月1日,北京市人民檢察院第二分院根據犯罪情節,對該詐騙犯罪集團中的52名犯罪嫌疑人作出不同處理決定。對張凱閔等50人以詐騙罪分兩案向北京市第二中級人民法院提起公訴,對另2名情節較輕的犯罪嫌疑人作出不起訴決定。7月18日、7月19日,北京市第二中級人民法院公開開庭審理了本案。
庭審中,50名被告人對指控的罪名均未提出異議,部分被告人及其辯護人主要提出以下辯解及辯護意見:一是認定犯罪集團缺乏法律依據,應以被告人實際參與詐騙成功的數額認定其犯罪數額。二是被告人系犯罪組織雇傭的話務員,在本案中起次要和輔助作用,應認定為從犯。三是檢察機關指控的犯罪金額證據不足,沒有形成完整的證據鏈條,不能證明被害人是被告人所騙。
針對上述辯護意見,公訴人答辯如下:
一是該犯罪組織以共同實施電信網絡詐騙犯罪為目的而組建,首要分子雖然沒有到案,但在案證據充分證明該犯罪組織在首要分子的領導指揮下,有固定人員負責窩點的組建管理、人員的召集培訓,分工擔任一線、二線、三線話務員,該詐騙犯罪組織符合刑法關于犯罪集團的規定,應當認定為犯罪集團。
二是在案證據能夠證實二線、三線話務員不僅實施了冒充警察、檢察官接聽撥打電話的行為,還在犯罪集團中承擔了組織管理工作,在共同犯罪中起主要作用,應認定為主犯。對從事一線接聽撥打詐騙電話的被告人,已作區別對待。該犯罪集團在印度尼西亞和肯尼亞先后設立3個窩點,參加過2個以上窩點犯罪的一線人員屬于積極參加犯罪,在犯罪中起主要作用,應認定為主犯;僅參加其中一個窩點犯罪的一線人員,參與時間相對較短,實際獲利較少,可認定為從犯。
三是本案認定詐騙犯罪集團與被害人之間關聯性的證據主要有:犯罪集團使用網絡電話與被害人電話聯系的通話記錄;犯罪集團的Skype聊天記錄中提到了被害人姓名、公民身份號碼等個人信息;被害人向被告人指定銀行賬戶轉賬匯款的記錄。起訴書認定的75名被害人至少包含上述一種關聯方式,實施詐騙與被騙的證據能夠形成印證關系,足以認定75名被害人被本案詐騙犯罪組織所騙。
(四)處理結果
2017年12月21日,北京市第二中級人民法院作出一審判決,認定被告人張凱閔等50人以非法占有為目的,參加詐騙犯罪集團,利用電信網絡技術手段,分工合作,冒充國家機關工作人員或其他單位工作人員,詐騙被害人錢財,各被告人的行為均已構成詐騙罪,其中28人系主犯,22人系從犯。法院根據犯罪事實、情節并結合各被告人的認罪態度、悔罪表現,對張凱閔等50人判處十五年至一年九個月不等有期徒刑,并處剝奪政治權利及罰金。張凱閔等部分被告人以量刑過重為由提出上訴。2018年3月,北京市高級人民法院二審裁定駁回上訴,維持原判。
【指導意義】
(一)對境外實施犯罪的證據應著重審查合法性
對在境外獲取的實施犯罪的證據,一是要審查是否符合我國刑事訴訟法的相關規定,對能夠證明案件事實且符合刑事訴訟法規定的,可以作為證據使用。二是對基于有關條約、司法互助協定、兩岸司法互助協議或通過國際組織委托調取的證據,應注意審查相關辦理程序、手續是否完備,取證程序和條件是否符合有關法律文件的規定。對不具有規定規范的,一般應當要求提供所在國公證機關證明,由所在國中央外交主管機關或其授權機關認證,并經我國駐該國使、領館認證。三是對委托取得的境外證據,移交過程中應注意審查過程是否連續、手續是否齊全、交接物品是否完整、雙方的交接清單記載的物品信息是否一致、交接清單與交接物品是否一一對應。四是對當事人及其辯護人、訴訟代理人提供的來自境外的證據材料,要審查其是否按照條約等相關規定辦理了公證和認證,并經我國駐該國使、領館認證。
(二)對電子數據應重點審查客觀性
一要審查電子數據存儲介質的真實性。通過審查存儲介質的扣押、移交等法律手續及清單,核實電子數據存儲介質在收集、保管、鑒定、檢查等環節中是否保持原始性和同一性。二要審查電子數據本身是否客觀、真實、完整。通過審查電子數據的來源和收集過程,核實電子數據是否從原始存儲介質中提取,收集的程序和方法是否符合法律和相關技術規范。對從境外起獲的存儲介質中提取、恢復的電子數據應當進行無污損鑒定,將起獲設備的時間作為鑒定的起始基準時間,以保證電子數據的客觀、真實、完整。三要審查電子數據內容的真實性。通過審查在案言詞證據能否與電子數據相互印證,不同的電子數據間能否相互印證等,核實電子數據包含的案件信息能否與在案的其他證據相互印證。
(三)緊緊圍繞電話卡和銀行卡審查認定案件事實
辦理電信網絡詐騙犯罪案件,認定被害人數量及詐騙資金數額的相關證據,應當緊緊圍繞電話卡和銀行卡等證據的關聯性來認定犯罪事實。一是通過電話卡建立被害人與詐騙犯罪組織間的關聯。通過審查詐騙犯罪組織使用的網絡電話撥打記錄清單、被害人接到詐騙電話號碼的陳述以及被害人提供的通話記錄詳單等通訊類證據,認定被害人與詐騙犯罪組織間的關聯性。二是通過銀行卡建立被害人與詐騙犯罪組織間的關聯。通過審查被害人提供的銀行賬戶交易明細、銀行客戶通知書、詐騙犯罪集團指定銀行賬戶信息等書證以及詐騙犯罪組織使用的互聯網軟件聊天記錄,核實聊天記錄中是否出現被害人的轉賬賬戶,以確定被害人與詐騙犯罪組織間的關聯性。三是將電話卡和銀行卡結合起來認定被害人及詐騙數額。審查被害人接到詐騙電話的時間、向詐騙犯罪組織指定賬戶轉款的時間,詐騙犯罪組織手機或電腦中儲存的聊天記錄中出現的被害人的賬戶信息和轉賬時間是否印證。相互關聯印證的,可以認定為案件被害人,被害人實際轉賬的金額可以認定為詐騙數額。
(四)有明顯首要分子,主要成員固定,其他人員有一定流動性的電信網絡詐騙犯罪組織,可以認定為詐騙犯罪集團
實施電信網絡詐騙犯罪,大都涉案人員眾多、組織嚴密、層級分明、各環節分工明確。對符合刑法關于犯罪集團規定,有明確首要分子,主要成員固定,其他人員雖有一定流動性的電信網絡詐騙犯罪組織,依法可以認定為詐騙犯罪集團。對出資籌建詐騙窩點、掌控詐騙所得資金、制定犯罪計劃等起組織、指揮管理作用的,依法可以認定為詐騙犯罪集團首要分子,按照集團所犯的全部罪行處罰。對負責協助首要分子組建窩點、招募培訓人員等起積極作用的,或加入時間較長,通過接聽撥打電話對受害人進行誘騙,次數較多、詐騙金額較大的,依法可以認定為主犯,按照其參與或組織、指揮的全部犯罪處罰。對詐騙次數較少、詐騙金額較小,在共同犯罪中起次要或者輔助作用的,依法可以認定為從犯,依法從輕、減輕或免除處罰。
【相關規定】
《中華人民共和國刑法》第六條、第二十六條、第二百六十六條
《中華人民共和國刑事訴訟法》第十八條、第二十五條
《中華人民共和國國際刑事司法協助法》第九條、第十條、第二十五條、第二十六條、第三十九條、第四十條、第四十一條、第六十八條
《最高人民法院、最高人民檢察院關于辦理詐騙刑事案件具體應用法律若干問題的解釋》第一條、第二條
《最高人民法院、最高人民檢察院、公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》
《最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》
《檢察機關辦理電信網絡詐騙案件指引》
《最高人民法院關于適用<中華人民共和國刑事訴訟法>的解釋》第四百零五條
葉源星、張劍秋提供侵入計算機信息
系統程序、譚房妹非法獲取計算機信息系統
數據案
(檢例第68號)
【關鍵詞】
專門用于侵入計算機信息系統的程序 非法獲取計算機信息系統數據 撞庫 打碼
【要旨】
對有證據證明用途單一,只能用于侵入計算機信息系統的程序,司法機關可依法認定為“專門用于侵入計算機信息系統的程序”;難以確定的,應當委托專門部門或司法鑒定機構作出檢驗或鑒定。
【基本案情】
葉源星,男,1977年3月10日出生,超市網絡維護員。
張劍秋,男,1972年8月14日出生,小學教師。
譚房妹,男,1993年4月5日出生,農民。
2015年1月,被告人葉源星編寫了用于批量登錄某電商平臺賬戶的“小黃傘”撞庫軟件(“撞庫”是指黑客通過收集已泄露的用戶信息,利用賬戶使用者相同的注冊習慣,如相同的用戶名和密碼,嘗試批量登陸其他網站,從而非法獲取可登錄用戶信息的行為)供他人免費使用。“小黃傘”撞庫軟件運行時,配合使用葉源星編寫的打碼軟件(“打碼”是指利用人工大量輸入驗證碼的行為)可以完成撞庫過程中對大量驗證碼的識別。葉源星通過網絡向他人有償提供打碼軟件的驗證碼識別服務,同時將其中的人工輸入驗證碼任務交由被告人張劍秋完成,并向其支付費用。
2015年1月至9月,被告人譚房妹通過下載使用“小黃傘”撞庫軟件,向葉源星購買打碼服務,獲取到某電商平臺用戶信息2.2萬余組。
被告人葉源星、張劍秋通過實施上述行為,從被告人譚房妹處獲取違法所得共計人民幣4萬余元。譚房妹通過向他人出售電商平臺用戶信息,獲取違法所得共計人民幣25萬余元。法院審理期間,葉源星、張劍秋、譚房妹退繳了全部違法所得。
【指控與證明犯罪】
(一)審查起訴
2016年10月10日,浙江省杭州市公安局余杭區分局以犯罪嫌疑人葉源星、張劍秋、譚房妹涉嫌非法獲取計算機信息系統數據罪移送杭州市余杭區人民檢察院審查起訴。期間,葉源星、張劍秋的辯護人向檢察機關提出二名犯罪嫌疑人無罪的意見。葉源星的辯護人認為,葉源星利用“小黃傘”軟件批量驗證已泄露信息的行為,不構成非法獲取計算機信息系統數據罪。張劍秋的辯護人認為,張劍秋不清楚組織打碼是為了非法獲取某電商平臺的用戶信息。張劍秋與葉源星沒有共同犯罪故意,不構成非法獲取計算機信息系統數據罪。
杭州市余杭區人民檢察院經審查認為,犯罪嫌疑人葉源星編制“小黃傘”撞庫軟件供他人使用,犯罪嫌疑人張劍秋組織碼工打碼,犯罪嫌疑人譚房妹非法獲取網絡用戶信息并出售牟利的基本事實清楚,但需要進一步補強證據。2016年11月25日、2017年2月7日,檢察機關二次將案件退回公安機關補充偵查,明確提出需要補查的內容、目的和要求。一是完善“小黃傘”軟件的編制過程、運作原理、功能等方面的證據,以便明確“小黃傘”軟件是否具有避開或突破某電商平臺服務器的安全保護措施,非法獲取計算機信息系統數據的功能。二是對扣押的張劍秋電腦進行補充勘驗,以便確定張劍秋主觀上是否明知其組織打碼行為是為他人非法獲取某電商平臺用戶信息提供幫助;調取張劍秋與葉源星的QQ聊天記錄,以便查明二人是否有犯意聯絡。三是提取葉源星被扣押電腦的MAC地址(又叫網卡地址,由12個16進制數組成,是上網設備在網絡中的唯一標識),分析“小黃傘”軟件源代碼中是否含有葉源星電腦的MAC地址,以便查明某電商平臺被非法登陸過的賬號與葉源星編制的“小黃傘”撞庫軟件之間是否存在關聯性。四是對被扣押的譚房妹電腦和U盤進行補充勘驗,調取其中含有賬號、密碼的文件,查明文件的生成時間和特征,以便確定被查獲的存儲介質中的某電商平臺用戶信息是否系譚房妹使用“小黃傘”軟件獲取。
公安機關按照檢察機關的要求,對證據作了進一步補充完善。同時,檢察機關就“小黃傘”軟件的運行原理等問題,聽取了技術專家意見。結合公安機關兩次退查后補充的證據,案件證據中存在的問題已經得到解決:
一是明確了 “小黃傘”軟件具有以下功能特征:(1)“小黃傘”軟件用途單一,僅針對某電商平臺賬號進行撞庫和接入打碼平臺,這種非法侵入計算機信息系統獲取用戶數據的程序沒有合法用途。(2)“小黃傘”軟件具有避開或突破計算機信息系統安全保護措施的功能。在實施撞庫過程中,一個IP地址需要多次登錄大量賬號,為防止被某電商平臺識別為非法登陸,導致IP地址被封鎖,“小黃傘”軟件被編入自動撥號功能,在批量登陸幾組賬號后,會自動切換新的IP地址,從而達到避開該電商平臺安全防護的目的。(3)“小黃傘”軟件具有繞過驗證碼識別防護措施的功能。在他人利用非法獲取的該電商平臺賬號登錄時,需要輸入驗證碼。“小黃傘”軟件會自動抓取驗證碼圖片發送到打碼平臺,由張劍秋組織的碼工對驗證碼進行識別。(4)“小黃傘”軟件具有非法獲取計算機信息系統數據的功能。“小黃傘”軟件對登陸成功的某電商平臺賬號,在未經授權的情況下,會自動抓取賬號對應的昵稱、注冊時間、賬號等級等信息數據。根據以上特征,可以認定“小黃傘”軟件屬于刑法規定的“專門用于侵入計算機信息系統的程序”。
二是從張劍秋和葉源星電腦中補充勘查到的QQ聊天記錄等電子數據證實,葉源星與張劍秋聊天過程中曾提及“掃平臺”、“改一下平臺程序”、“那些人都是出碼的”;通過補充訊問張劍秋和葉源星,明確了張劍秋明知其幫葉源星打驗證碼可能被用于非法目的,仍然幫葉源星做打碼代理。上述證據證實張劍秋與葉源星之間已經形成犯意聯絡,具有共同犯罪故意。
三是通過進一步補充證據,證實了使用撞庫軟件的終端設備的MAC地址與葉源星電腦的MAC地址、小黃傘軟件的源代碼里包含的MAC地址一致。上述證據證實葉源星就是“小黃傘”軟件的編制者。
四是通過對譚房妹所有包含某電商平臺用戶賬號和密碼的文件進行比對,查明了譚房妹利用“小黃傘”撞庫軟件非法獲取的某電商平臺用戶信息文件不僅包含賬號、密碼,還包含了注冊時間、賬號等級、是否驗證等信息,而譚房妹從其他渠道非法獲取的賬號信息文件并不包含這些信息。通過對譚房妹電腦的進一步勘查和對譚房妹的進一步訊問,確定了譚房妹利用“小黃傘”軟件登陸某電商平臺用戶賬號的過程和具體時間,該登錄時間與部分賬號信息文件的生成時間均能一一對應。根據上述證據,最終確定譚房妹利用“小黃傘”撞庫所得的網絡用戶信息為2.2萬余組。
綜上,檢察機關認為案件事實已查清,但公安機關對犯罪嫌疑人葉源星、張劍秋移送起訴適用的罪名不準確。葉源星、張劍秋共同為他人提供專門用于侵入計算機信息系統的程序,均已涉嫌提供侵入計算機信息系統程序罪;犯罪嫌疑人譚房妹的行為已涉嫌非法獲取計算機信息系統數據罪。
(二)出庭指控犯罪
2017年6月20日,杭州市余杭區人民檢察院以被告人葉源星、張劍秋構成提供侵入計算機信息系統程序罪,被告人譚房妹構成非法獲取計算機信息系統數據罪,向杭州市余杭區人民法院提起公訴。11月17日,法院公開開庭審理了本案。
庭審中,3名被告人對檢察機關的指控均無異議。譚房妹的辯護人提出,譚房妹系初犯,歸案后能如實供述罪行,自愿認罪,請求法庭從輕處罰。葉源星和張劍秋的辯護人提出以下辯護意見:一是檢察機關未提供省級以上有資質機構的檢驗結論,現有證據不足以認定“小黃傘”軟件是“專門用于侵入計算機信息系統的程序”。二是張劍秋與葉源星間沒有共同犯罪的主觀故意。三是葉源星和張劍秋的違法所得金額應扣除支付給碼工的錢款。
針對上述辯護意見,公訴人答辯如下:一是在案電子數據、勘驗筆錄、技術人員的證言、被告人供述等證據相互印證,足以證實“小黃傘”軟件具有避開和突破計算機信息系統安全保護措施,未經授權獲取計算機信息系統數據的功能,屬于法律規定的“專門用于侵入計算機信息系統的程序”。二是被告人葉源星與張劍秋具有共同犯罪的故意。QQ聊天記錄反映兩人曾提及非法獲取某電商平臺用戶信息的內容,能證實張劍秋主觀明知其組織他人打碼系用于批量登錄該電商平臺賬號。張劍秋組織他人幫助打碼的行為和葉源星提供撞庫軟件的行為相互配合,相互補充,系共同犯罪。三是被告人葉源星、張劍秋的違法所得應以其出售驗證碼服務的金額認定,給碼工等相關支出均屬于犯罪成本,不應扣除。二人系共同犯罪,應當對全部犯罪數額承擔責任。四是3名被告人在庭審中認罪態度較好且上交了全部違法所得,建議從輕處罰。
(三)處理結果
浙江省杭州市余杭區人民法院采納了檢察機關的指控意見,判決認定被告人葉源星、張劍秋的行為已構成提供侵入計算機信息系統程序罪,且系共同犯罪;被告人譚房妹的行為已構成非法獲取計算機信息系統數據罪。鑒于3名被告人均自愿認罪,并退出違法所得,對3名被告人判處三年有期徒刑,適用緩刑,并處罰金。宣判后,3名被告人均未提出上訴,判決已生效。
【指導意義】
審查認定“專門用于侵入計算機信息系統的程序”,一般應要求公安機關提供以下證據:一是從被扣押、封存的涉案電腦、U盤等原始存儲介質中收集、提取相關的電子數據。二是對涉案程序、被侵入的計算機信息系統及電子數據進行勘驗、檢查后制作的筆錄。三是能夠證實涉案程序的技術原理、制作目的、功能用途和運行效果的書證材料。四是涉案程序的制作人、提供人、使用人對該程序的技術原理、制作目的、功能用途和運行效果進行闡述的言詞證據,或能夠展示涉案程序功能的視聽資料。五是能夠證實被侵入計算機信息系統安全保護措施的技術原理、功能以及被侵入后果的專業人員的證言等證據。六是對有運行條件的,應要求公安機關進行偵查實驗。對有充分證據證明涉案程序是專門設計用于侵入計算機信息系統、非法獲取計算機信息系統數據的,可直接認定為“專門用于侵入計算機信息系統的程序”。
證據審查中,可從以下方面對涉案程序是否屬于“專門用于侵入計算機信息系統的程序”進行判斷:一是結合被侵入的計算機信息系統的安全保護措施,分析涉案程序是否具有侵入的目的,是否具有避開或者突破計算機信息系統安全保護措施的功能。二是結合計算機信息系統被侵入的具體情形,查明涉案程序是否在未經授權或超越授權的情況下,獲取計算機信息系統數據。三是分析涉案程序是否屬于“專門”用于侵入計算機信息系統的程序。
根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第十條和《最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第十七條的規定,對是否屬于“專門用于侵入計算機信息系統的程序”難以確定的,一般應當委托省級以上負責計算機信息系統安全保護管理工作的部門檢驗,也可由司法鑒定機構出具鑒定意見,或者由公安部指定的機構出具報告。實踐中,應重點審查檢驗報告、鑒定意見對程序運行過程和運行結果的判斷,結合案件具體情況,認定涉案程序是否具有突破或避開計算機信息系統安全保護措施,未經授權或超越授權獲取計算機信息系統數據的功能。
【相關規定】
《中華人民共和國刑法》第二百八十五條、第二十五條
《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第一條、第二條、第三條、第十條、第十一條
《最高人民法院、最高人民檢察院、公安部關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》第十七條
姚曉杰等11人破壞計算機信息系統案
(檢例第69號)
【關鍵詞】
破壞計算機信息系統 網絡攻擊 引導取證 損失認定
【要旨】
為有效打擊網絡攻擊犯罪,檢察機關應加強與公安機關的配合,及時介入偵查引導取證,結合案件特點提出明確具體的補充偵查意見。對被害互聯網企業提供的證據和技術支持意見,應當結合其他證據進行審查認定,客觀全面準確認定破壞計算機信息系統罪的危害后果。
【基本案情】
被告人姚曉杰,男,1983年3月27日出生,無固定職業。
被告人丁虎子,男,1998年2月7日出生,無固定職業。
其他9名被告人基本情況略。
2017年初,被告人姚曉杰等人接受王某某(另案處理)雇傭,招募多名網絡技術人員,在境外成立“暗夜小組”黑客組織。“暗夜小組”從被告人丁虎子等3人處購買大量服務器資源,再利用木馬軟件操控控制端服務器實施DDoS攻擊(指黑客通過遠程控制服務器或計算機等資源,對目標發動高頻服務請求,使目標服務器因來不及處理海量請求而癱瘓)。2017年2—3月間,“暗夜小組”成員三次利用14臺控制端服務器下的計算機,持續對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。攻擊導致三家游戲公司的IP被封堵,出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。為恢復云服務器的正常運營,某互聯網公司組織人員對服務器進行了搶修并為此支付4萬余元。
【指控與證明犯罪】
(一)介入偵查引導取證
2017年初,某互聯網公司網絡安全團隊在日常工作中監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊,攻擊源IP地址來源不明,該公司隨即報案。公安機關立案后,同步邀請廣東省深圳市人民檢察院介入偵查、引導取證。
針對案件專業性、技術性強的特點,深圳市人民檢察院會同公安機關多次召開案件討論會,就被害單位云服務器受到的DDoS攻擊的特點和取證策略進行研究,建議公安機關及時將被害單位報案提供的電子數據送國家計算機網絡應急技術處理協調中心廣東分中心進行分析,確定主要攻擊源的IP地址。
2017年6—9月間,公安機關陸續將11名犯罪嫌疑人抓獲。偵查發現,“暗夜小組”成員為逃避打擊,在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理。“暗夜小組”成員到案后大多作無罪辯解。有證據證實丁虎子等人實施了遠程控制大量計算機的行為,但證明其將控制權出售給“暗夜小組”用于DDoS網絡攻擊的證據薄弱。
鑒于此,深圳市檢察機關與公安機關多次會商研究“暗夜小組”團伙內部結構、犯罪行為和技術特點等問題,建議公安機關重點做好以下三方面工作:一是查明導致云服務器不能正常運行的原因與“暗夜小組”攻擊行為間的關系。具體包括:對被害單位提供的受攻擊IP和近20萬個攻擊源IP作進一步篩查分析,找出主要攻擊源的IP地址,并與丁虎子等人出售的控制端服務器IP地址進行比對;查清主要攻擊源的波形特征和網絡協議,并和丁虎子等人控制的攻擊服務器特征進行比對,以確定主要攻擊是否來自于該控制端服務器;查清攻擊時間和云服務器因被攻擊無法為三家游戲公司提供正常服務的時間;查清攻擊的規模;調取“暗夜小組”實施攻擊后給三家游戲公司發的郵件。二是做好犯罪嫌疑人線上身份和線下身份同一性的認定工作,并查清“暗夜小組”各成員在犯罪中的分工、地位和作用。三是查清犯罪行為造成的危害后果。
(二)審查起訴
2017年9月19日,公安機關將案件移送廣東省深圳市南山區人民檢察院審查起訴。鑒于在案證據已基本厘清“暗夜小組”實施犯罪的脈絡,“暗夜小組”成員的認罪態度開始有了轉變。經審查,全案基本事實已經查清,基本證據已經調取,能夠認定姚曉杰等人的行為已涉嫌破壞計算機信息系統罪:一是可以認定系“暗夜小組”對某互聯網公司云服務器實施了大流量攻擊。國家計算機網絡應急技術處理協調中心廣東分中心出具的報告證實,篩選出的大流量攻擊源IP中有198個IP為僵尸網絡中的被控主機,這些主機由14個控制端服務器控制。通過比對丁虎子等人電腦中的電子數據,證實丁虎子等人控制的服務器就是對三家游戲公司客戶端實施網絡攻擊的服務器。分析報告還明確了云服務器受到的攻擊類型和攻擊采用的網絡協議、波形特征,這些證據與“暗夜小組”成員供述的攻擊源特征一致。網絡聊天內容和銀行交易流水等證據證實“暗夜小組”向丁虎子等三人購買上述14個控制端服務器控制權的事實。電子郵件等證據進一步印證了“暗夜小組”實施攻擊的事實。二是通過進一步提取犯罪嫌疑人網絡活動記錄、犯罪嫌疑人之間的通訊信息、資金往來等證據,結合對電子數據的分析,查清了“暗夜小組”成員虛擬身份與真實身份的對應關系,查明了小組成員在招募人員、日常管理、購買控制端服務器、實施攻擊和后勤等各個環節中的分工負責情況。
審查中,檢察機關發現,攻擊行為造成的損失仍未查清:部分犯罪嫌疑人實施犯罪的次數,上下游間交易的證據仍欠缺。針對存在的問題,深圳市南山區人民檢察院與公安機關進行了積極溝通,于2017年11月2日和2018年1月16日兩次將案件退回公安機關補充偵查。一是鑒于證實受影響計算機信息系統和用戶數量的證據已無法調取,本案只能以造成的經濟損失認定危害后果。因此要求公安機關補充調取能夠證實某互聯網公司直接經濟損失或為恢復網絡正常運行支出的必要費用等證據,并交專門機構作出評估。二是進一步補充證實“暗夜小組”成員參與每次網絡攻擊具體情況以及攻擊服務器控制權在“暗夜小組”與丁虎子等人間流轉情況的證據。三是對丁虎子等人向“暗夜小組”提供攻擊服務器控制權的主觀明知證據作進一步補強。
公安機關按要求對證據作了補強和完善,全案事實已查清,案件證據確實充分,已經形成了完整的證據鏈條。
(三)出庭指控犯罪
2018年3月6日,深圳市南山區人民檢察院以被告人姚曉杰等11人構成破壞計算機信息系統罪向深圳市南山區人民法院提起公訴。4月27日,法院公開開庭審理了本案。
庭審中,11名被告人對檢察機關的指控均表示無異議。部分辯護人提出以下辯護意見:一是網絡攻擊無處不在,現有證據不能認定三家網絡游戲公司受到的攻擊均是“暗夜小組”發動的,不能排除攻擊來自其他方面。二是即便認定“暗夜小組”參與對三家網絡游戲公司的攻擊,也不能將某互聯網公司支付給搶修系統數據的員工工資認定為本案的經濟損失。
針對辯護意見,公訴人答辯如下:一是案發時并不存在其他大規模網絡攻擊,在案證據足以證實只有“暗夜小組”針對云服務器進行了DDoS高流量攻擊,每次的攻擊時間和被攻擊的時間完全吻合,攻擊手法、流量波形、攻擊源IP和攻擊路徑與被告人供述及其他證據相互印證,現有證據足以證明三家網絡游戲公司客戶端不能正常運行系受“暗夜小組”攻擊導致。二是根據法律規定,“經濟損失”包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失以及用戶為恢復數據、功能而支出的必要費用。某互聯網公司為修復系統數據、功能而支出的員工工資系因犯罪產生的必要費用,應當認定為本案的經濟損失。
(四)處理結果
2018年6月8日,廣東省深圳市南山區人民法院判決認定被告人姚曉杰等11人犯破壞計算機信息系統罪;鑒于各被告人均表示認罪悔罪,部分被告人具有自首等法定從輕、減輕處罰情節,對11名被告人分別判處有期徒刑一年至二年不等。宣判后,11名被告人均未提出上訴,判決已生效。
【指導意義】
(一)立足網絡攻擊犯罪案件特點引導公安機關收集調取證據
對重大、疑難、復雜的網絡攻擊類犯罪案件,檢察機關可以適時介入偵查引導取證,會同公安機關研究偵查方向,在收集、固定證據等方面提出法律意見。一是引導公安機關及時調取證明網絡攻擊犯罪發生、證明危害后果達到追訴標準的證據。委托專業技術人員對收集提取到的電子數據等進行檢驗、鑒定,結合在案其他證據,明確網絡攻擊類型、攻擊特點和攻擊后果。二是引導公安機關調取證明網絡攻擊是犯罪嫌疑人實施的證據。借助專門技術對攻擊源進行分析,溯源網絡犯罪路徑。審查認定犯罪嫌疑人網絡身份與現實身份的同一性時,可通過核查IP地址、網絡活動記錄、上網終端歸屬,以及證實犯罪嫌疑人與網絡終端、存儲介質間的關聯性綜合判斷。犯罪嫌疑人在實施網絡攻擊后,威脅被害人的證據可作為認定攻擊事實和因果關系的證據。有證據證明犯罪嫌疑人實施了攻擊行為,網絡攻擊類型和特點與犯罪嫌疑人實施的攻擊一致,攻擊時間和被攻擊時間吻合的,可以認定網絡攻擊系犯罪嫌疑人實施。三是網絡攻擊類犯罪多為共同犯罪,應重點審查各犯罪嫌疑人的供述和辯解、手機通信記錄等,通過審查自供和互證的情況以及與其他證據間的印證情況,查明各犯罪嫌疑人間的犯意聯絡、分工和作用,準確認定主、從犯。四是對需要通過退回補充偵查進一步完善上述證據的,在提出補充偵查意見時,應明確列出每一項證據的補偵目的,以及為了達到目的需要開展的工作。在補充偵查過程中,要適時與公安機關面對面會商,了解和掌握補充偵查工作的進展,共同研究分析補充到的證據是否符合起訴和審判的標準和要求,為補充偵查工作提供必要的引導和指導。
(二)對被害單位提供的證據和技術支持意見需結合其他在案證據作出準確認定
網絡攻擊類犯罪案件的被害人多為大型互聯網企業。在打擊該類犯罪的過程中,司法機關往往會借助被攻擊的互聯網企業在網絡技術、網絡資源和大數據等方面的優勢,進行溯源分析或對攻擊造成的危害進行評估。由于互聯網企業既是受害方,有時也是技術支持協助方,為確保被害單位提供的證據客觀真實,必須特別注意審查取證過程的規范性;有條件的,應當聘請專門機構對證據的完整性進行鑒定。如條件不具備,應當要求提供證據的被害單位對證據作出說明。同時要充分運用印證分析審查思路,將被害單位提供的證據與在案其他證據,如從犯罪嫌疑人處提取的電子數據、社交軟件聊天記錄、銀行流水、第三方機構出具的鑒定意見、證人證言、犯罪嫌疑人供述等證據作對照分析,確保不存在人為改變案件事實或改變案件危害后果的情形。
對破壞計算機信息系統的危害后果應作客觀全面準確認定
實踐中,往往傾向于依據犯罪違法所得數額或造成的經濟損失認定破壞計算機信息系統罪的危害后果。但是在一些案件中,違法所得或經濟損失并不能全面、準確反映出犯罪行為所造成的危害。有的案件違法所得或者經濟損失的數額并不大,但網絡攻擊行為導致受影響的用戶數量特別大,有的導致用戶滿意度降低或用戶流失,有的造成了惡劣社會影響。對這類案件,如果僅根據違法所得或經濟損失數額來評估危害后果,可能會導致罪刑不相適應。因此,在辦理破壞計算機信息系統犯罪案件時,檢察機關應發揮好介入偵查引導取證的作用,及時引導公安機關按照法律規定,從擾亂公共秩序的角度,收集、固定能夠證實受影響的計算機信息系統數量或用戶數量、受影響或被攻擊的計算機信息系統不能正常運行的累計時間、對被害企業造成的影響等證據,對危害后果作出客觀、全面、準確認定,做到罪責相當、罰當其罪,使被告人受到應有懲處。
【相關規定】
《中華人民共和國刑法》第二百八十六條
《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第四條、第六條、第十一條