我國目前並未出台專門針對網路爬蟲技術的法律規範,但在司法實踐中,相關判決已屢見不鮮,K 哥特設了“K哥爬蟲普法”專欄,本欄目通過對真實案例的分析,旨在提高廣大爬蟲工程師的法律意識,知曉如何合法合規利用爬蟲技術,警鐘長鳴,做一個守法、護法、有原則的技術人員。 案情介紹 2019年8、9月期間,被告人袁 ...
我國目前並未出台專門針對網路爬蟲技術的法律規範,但在司法實踐中,相關判決已屢見不鮮,K 哥特設了“K哥爬蟲普法”專欄,本欄目通過對真實案例的分析,旨在提高廣大爬蟲工程師的法律意識,知曉如何合法合規利用爬蟲技術,警鐘長鳴,做一個守法、護法、有原則的技術人員。
案情介紹
2019年8、9月期間,被告人袁海東、賴永豪通過“豬八戒”網路平臺以人民幣7500元的價格向蘇州市相城區黃埭鎮春申湖路電信營業廳實際經營者計某及員工付某(均另案處理)出售了一款名為“telecom.exe”的爬蟲軟體,該軟體根據計某、付某的要求定製,具有根據輸入的查詢請求頭與渠道ID,模擬生成網頁請求包,突破原本登錄工號的許可權,實現獲取不同渠道ID許可權內數據的功能。製作過程中,由被告人袁海東作為中間人,與計某、付某議價,瞭解定製要求,並將技術要求和細節轉述給被告人賴永豪,由被告人賴永豪具體負責軟體製作,製作完成後,由被告人賴永豪將涉案軟體發送給被告人袁海東,由被告人袁海東交付給付某。被告人袁海東得款7500元,並將其中1500元分配給被告人賴永豪。
軟體交付後,付某利用該軟體從江蘇電信營業雲平臺系統中獲取了蘇州市大市範圍內70餘萬組的電信寬頻工單信息。
軟體使用
使用授權賬號登錄 “bss.telecomjs.com” 通過訂單查詢系統,進行一次訂單查詢,打開瀏覽器調試器截取請求頭,啟動 “telecom.exe”,選擇 “查詢渠道”,選擇查詢日期、地點、範圍,並輸入截取的請求頭與渠道ID “21000”,點擊 “開始查詢”,獲取到數據,另存為 “渠道訂單_21000.csv”。
供述情況
證人計某的證言筆錄,證實其為了快速查詢並保存快到期的寬頻客戶數據,由付某介紹,在“豬八戒”網路平臺找到“天辰”(袁海東)製作軟體,具體的軟體功能由付某進行溝通,計某共計支付7500元軟體製作費。
證人付某的證言筆錄,2018年11月之後的客戶,新系統每個工號只能查自己渠道的客戶,限制非常多。我從訂單系統進去,渠道前面有一個灰色的勾,我右鍵點擊彈出來“查看元素”點擊後,會跳出來網頁代碼,網頁代碼里可以改渠道。正常來講,用某渠道員工的BSS系統工號登錄進去是看不全的,只能本渠道,就是本營業廳做的業務訂單,看不到別人的訂單,但是我用改代碼的方式可以看到別人的訂單,是改一個叫渠道ID的內容,實際就是改系統代碼的一個操作,然後再填時間,就能拉出來別的渠道某時間內所有訂單的情況了。這些數據現在能看到,以後不一定能看到,我和計某也講了這件事。我說這個數據很多,要保存下來,以後用。我不會搞,我讓計某把新系統客戶資料保存下來。
證人周某的證言筆錄(身份為電信公司員工),電信營業廳普通員工的工號,許可權是很低的,這種工號是營業廳給員工開的,登錄時候需要員工刷臉驗證,有密碼也基本不用,正常都是刷臉登錄,同一工號在同一時間只能在一個地方登錄。
證人王某的證言筆錄(身份為中國電信蘇州分公司安全保衛部員工),2018年11月我們進行了系統更新,升級後,普通工號可以看到2018年11月之前辦理寬頻的工單信息,2018年11月之後的工單信息,普通工號只能看到自己受理的工單信息,看不到別人及其他代理商辦理的工單信息。
被告人袁海東的供述筆錄,供稱計某自稱是電信運營商,要求做一個複製粘貼寬頻客戶數據的軟體,粘貼後彙總,軟體就是要解密破解電信的這個網頁系統,然後獲取相關代碼或者數據,實現相應功能。賴永豪說資料庫有加密,可以做,要價1500元,我和計某要價7500元。後來增加一個渠道查詢的功能,填寫不同的渠道,然後查詢到不同渠道裡面的客戶信息複製下來。使用的時候登錄賬號密碼,進入江蘇電信的界面,打開賴永豪製作的軟體,會彈出一個請求頭,在裡面隨便輸入一個工號,就可以看到這個工號的數據。這個軟體製作之前,計某他們可以手工操作,通過査看元素輸入對方工號進資料庫後再下載。
被告人賴永豪的供述筆錄,供稱我做了一個爬蟲軟體,可以從中國電信蘇州市分公司BSS系統上查詢、複製保存數據信息。2019年8月底9月初,袁海東的客戶提供了VPN和登錄工號,我遠程登錄上之後,袁海東把客戶的要求告訴我,我來做軟體。開始客戶要我做一個複製粘貼寬頻客戶數據的軟體,粘貼下來,彙總到EXCEL表格裡,後來,我聽袁海東講,客戶要增加一個查詢渠道的選項,在渠道查詢里,客戶可以自己輸入渠道,查詢該渠道裡面的數據。通過我這個軟體,把網路請求複製到請求頭,我的軟體就和BSS系統鏈接起來,在查詢渠道選項框里輸入不同的渠道,就可以查詢到該渠道的信息,不需要手動操作。登錄的賬號就是一個渠道ID,通過任何一個賬號登錄上去後,在業務查詢網頁下,通過查看元素,修改源代碼,然後填出想看的工號(就是渠道ID),可以看到任何渠道ID的數據,他們之前就知道這個操作,我的軟體就是省掉了他們的手工輸入。如果不修改源代碼只能看到登錄時使用工號下的信息,其他渠道ID下的數據是沒有許可權看的。製作這個軟體袁海東付給我1500元。
判決情況
- 被告人袁海東犯提供侵入電腦信息系統程式罪,判處有期徒刑六個月,並處罰金人民幣一萬元(刑期從判決執行之日起計算,判決執行以前先行羈押的,羈押一日折抵刑期一日,其中2019年12月4日至2020年1月10日被羈押的38日折抵計入刑期,即自2020年11月26日起至2021年4月17日止;已繳納的人民幣一萬元於判決生效之日折抵罰金,並上繳國庫);
- 被告人賴永豪犯提供侵入電腦信息系統程式罪,判處有期徒刑六個月,並處罰金人民幣一萬元(刑期從判決執行之日起計算,判決執行以前先行羈押的,羈押一日折抵刑期一日,其中2019年12月11日至2020年1月10日被羈押的31日折抵計入刑期,即自2020年11月26日起至2021年4月24日止;已繳納的人民幣一萬元於判決生效之日折抵罰金,並上繳國庫);
- 被告人袁海東退出的違法所得人民幣六千元,予以沒收,並上繳國庫;責令被告人賴永豪退出違法所得人民幣一千五百元,並予以沒收,上繳國庫;
- 公安機關扣押的作案工具予以沒收,由扣押機關依法處理。
判決文書
案例分析
本案的用戶行為超出了爬蟲的界限:僅可採集用戶正常訪問的公開數據。一般用某渠道員工的 BSS 系統工號登錄後是無法查看超越工號許可權的數據(只有本營業廳做的業務訂單),但是被告人在系統禁止改變渠道ID的情況下,通過修改網頁源代碼中的渠道ID從而非法查看其他渠道的訂單信息,構成非法越權。
根據《最高人民法院、最高人民檢察院關於辦理危害電腦信息系統安全刑事案件應用法律若幹問題的解釋》第二條第一款第(一)項規定,“具有避開或者突破電腦信息系統安全保護措施,未經授權或者超越授權獲取電腦信息系統數據的功能的”,應當認定為刑法第二百八十五條第三款規定的“專門用於侵入、非法控制電腦信息系統的程式、工具”,本案例是符合的。
早在2013年,被告人袁海東、賴永豪就曾因相同罪名被上海市公安局長寧分局立案偵查並移送公訴機關,雖然當時法院對他們作出相對不起訴的決定,不過這次也因此被從重處罰,常在河邊走哪有不濕鞋,切忌抱有僥幸心理,游走於灰色地帶,終究面臨法律的製裁,對爬蟲單應該有足夠的認識,分析其不違法的情況下再去接,切莫因小失大,得不償失。
這個案例令人眼前一亮的點是,“中間商”袁海東向甲方開價7500元,事成只給了程式員賴永豪1500元,抽成高達80%!賴永豪肯定想不到合作多年的“老熟人”,靠他賺的盆滿缽滿,這也是值得所有程式員們註意的。
