案情:2015年8月起,欧某等20余人成立某公司,开始研发“广告SDK”,同时向多家手机方案商、中间商、厂商推广“广告SDK”业务。装有“广告SDK”的手机在用户首次开机联网时,“广告SDK”即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传imei、imsi等用户信息、自动更新“广告SDK”版本等,并根据与手机商达成的运营方案通过服务端(即boss系统)对推送方式、内容及频率进行配置,向用户推送商业性电子信息,从而产生广告费收入(该团队则根据存活率按安装台数或以广告费收入分成的方式向手机商支付费用)。

为了实现公众号粉丝量快速增长,2017年2月起,欧某等人开始研发“一键达apk”,利用“广告SDK”的静默安装功能自动下载并安装“一键达apk”,“一键达apk”在用户点击推送的文章或新闻后自动下载二维码图片,利用手机辅助功能模拟用户操作,使用户微信自动识别下载的二维码图片,关注该团伙运营的公众号,并定期自动清理相册中的二维码图片。经查,欧某等人利用上述方式非法控制移动终端1.3亿余部,利用“广告SDK”“一键达apk”关注公众号的移动终端800余万部,共计非法获利3000万元以上。

【要旨】

本案系源头上侵害用户权益的计算机信息系统领域犯罪,在预售手机内植入“广告SDK”,其危害性、破坏性、影响力比一般的侵入式控制后果更为严重。对于以预装方式植入“广告SDK”的行为,其本质上仍是未经授权的非法行为。对于利用“广告SDK”获取的系统权限,在未经用户允许的情况下,获取用户信息、根据配置情况决定弹送广告方式、频率、静默下载其他软件等的行为,均属于非法控制行为。

【指控与证明犯罪】

审查起诉阶段。检察机关对以下证据重点审查:一是重点审查证明犯罪嫌疑人规避相关检查、规避相关地域、规避相关时间的证据,证实犯罪嫌疑人客观上未取得被害人授权;二是重点审查“广告SDK”及“一键达apk”的运行原理,证实犯罪嫌疑人系通过技术手段控制用户手机接收指令执行特定操作;三是重点审查鉴定意见、远程勘验检查报告等证据是否具有程序合法性、数据客观性,能否解决一卡双待、鉴定意见通用等影响犯罪结果的问题;四是做好鉴定人员、侦查人员等相关人员出庭准备工作。

法庭调查阶段。公诉人在法庭讯问、询问时,着重提问以下内容:(1)讯问主犯欧某及手机商关于进网样机ab版相关问题;(2)讯问研发被告人、询问鉴定人“广告SDK”运行原理;(3)讯问运营被告人、测试被告人相关规避行为;(4)询问远勘人员获取数据的来源、数据的准确性、boss系统的功能。

对于指控的犯罪事实,公诉人通过出示工信部电信设备认证中心查询函证实送检进网样机与销售手机存在ab版现象;通过出示被告人供述、被害人陈述、LQ基线验证报告、电子证据检查报告,证实“广告SDK”及“一键达apk”的预装和安装未经用户允许;通过出示被告人供述、被害人陈述、远程勘验检查报告、鉴定意见、弹送广告电子证据,证实“广告SDK”及“一键达apk”运行未取得用户授权,属于非法控制。

法庭辩论阶段。公诉人发表公诉意见后,辩护人发表辩护意见认为,“广告SDK”的预装及运行不属于非法控制计算机信息系统:一是“广告SDK”是合法的,预装行为不属于侵入或其他技术手段,没有违反国家规定;二是“广告SDK”获取用户信息、向用户手机弹送广告不属于控制行为;三是“广告SDK”行使的是程序运行权,而非系统控制权,本案中计算机信息系统没有被侵害。

公诉人针对辩护意见进行答辩:非法控制的本质是“非法性”,也就是未经授权或者超越授权,从而控制计算机信息系统执行特定操作的行为。本案“广告SDK”是预装至手机,但进网样机中未植入该软件包,违反工信部要求必须明确预置应用软件基本配置、新增预置应用软件必须报备等相关规定。在“广告SDK”的预装与运营过程中,也有诸多规避行为,例如掩盖广告SDK真名(规避操作系统提供方检测)、掩饰弹出广告来源(使用户误以为第三方App弹出广告)等等,均证实预装“广告SDK”未经用户允许,是未经授权的行为,违反了计算机信息系统安全保护条例、《全国人民代表大会常务委员会关于加强网络信息保护的决定》的相关规定。

“控制”行为,是指通过各种技术手段,使他人计算机信息系统处于其掌控之中,能够接受其发出的指令,完成相应的操作活动。控制行为的本质是非用户本人操作,不限于行为人直接行使控制权,也可以是通过计算机程序等媒介使用控制权,间接控制的危害性其实更大,同时非法控制包括对他人计算机实现完全控制,也包括只实现对他人计算机信息系统的部分控制。本案被告人利用“广告SDK”及“一键达apk”执行的一系列操作包括:联网后调动“广告SDK”、对接服务器、上传用户基本信息、扫包、读取配置弹送广告、自动下载安装“一键达apk”、下载二维码、关注公众号等等,上述行为均是被告人通过技术手段控制用户手机接收指令执行特定操作,属于非法控制行为。

非法控制计算机信息系统100台以上或违法所得2.5万元以上,构成非法控制计算机信息系统罪,属于“情节特别严重”,应当依法判处三年以上七年以下有期徒刑,并处罚金。

【判决】

2019年1月25日,浙江省平湖市法院作出判决,认定被告人欧某等28人的行为构成非法控制计算机信息系统罪,判处欧某有期徒刑四年零六个月,并处罚金30万元;其余27名被告人,分别判处有期徒刑十个月至二年零八个月不等,并处罚金。一审宣判后,被告人欧某等13人提出上诉。嘉兴市中级法院二审裁定驳回上诉,维持原判。

【典型意义】

该案系通过预置“广告SDK”非法控制用户手机的案件,属于新型计算机领域案件,涉及非法控制手机上亿台、犯罪违法所得超千万,案件的成功办理进一步明确了预装方式下“非法控制”的法律定性,同时对非法弹送广告、静默下载等互联网黑灰产业链予以精准打击,对今后该领域案件的处理具有示范指导意义。在本案的办理过程中,检察机关进一步发挥诉前、诉中的主导作用,引导侦查机关精确取证、规范出庭,并申请鉴定人、侦查人员出庭作证,通过多媒体直观展现“弹送广告”的危害性,成功指控犯罪。同时在案后进一步延伸检察职能,向相关行业、企业发送检察建议予以监督,促进移动互联网行业经营自律,取得了办案三个效果的有机统一。

(作者:向鸣霞 单位:浙江省平湖市人民检察院)