2013年12月11日,北京市朝阳区法院对张某“黑”掉北京汽车摇号网站一案进行了判决,张某因非法获取计算机信息系统数据罪被判处有期徒刑一年,缓刑一年。 黑客行为触刑 张某高考时以当地高考状元的身份进入北京市一名牌高校,又顺利考取了研究生,毕业以后还与同班女友结成眷属,在北京找到了一份满意的工作。但到了2012年12月中旬,张某遭遇了一连串不顺心的事:父亲病重住院、儿子生病做手术,自己和妻子一直没摇到购车指标,弄得他心烦意乱。 这时,他想起小客车指标系统存在漏洞,即起了通过攻击网站泄愤的念头,并试图从网站截获手机号码,希望通过给这些号码发短信推广一下他开发的“小兵挂号”软件。 从2012年12月23日凌晨3点起,张某利用自己开发的软件针对小客车指标系统“忘记密码”功能进行攻击,一直到程序停止运行,摇号网站接受了3000多万次恶意访问。而张某获取了90多万个在网站注册过的手机号码。同时,他还通过百度收集到300多个北京地区的手机号段,以及300多个免费的代理IP。并且通过水木社区网站找了两家群发短信的代理商,从90多万个手机号码中提取与自己手机号码相近的7000多个手机号,群发了“小兵挂号”的推销短信。 2012年12月30日,北京市公安局网络安全保卫总队通过技术手段锁定了他的位置,公安机关随即将其抓获。检察院以非法获取计算机系统数据罪起诉了他。“从他个人来讲,他认为这不是一种攻击,而是一种重复登录的行为。也没想到北京市交通委还要为此付短信费。”检察官说道。“庭审阶段,张某还赔偿了交通委4万多元的经济损失。” 亚太网络法律研究中心主任、北京师范大学法学院教授刘德良分析说:“张某通过软件间接地获取了有效的手机号码,数量巨大超出了一般意义上的重复登录,超出了一般意义上的用户权限,并且想通过发送短信推销自己的软件,目的是非法的,而且具有一定的社会危害性。根据相关司法解释,符合刑法中的非法获取计算机系统数据罪。其行为是否是重复登录和犯罪成立与否没有关系。” 网络犯罪发展新特点 刘德良总结出计算机、网络犯罪的五个新特点:1.从犯罪对象上看,非金融类的数据成为犯罪分子的新目标。2.从目的上讲,从主要为了炫耀技术转变为以牟利为目的。3.从组织形态来看,趋于组织化、集团化,从程序开发,到盗取客户信息,再到出售信息或用于诈骗,形成完整的产业链。4.从形态上看,主要表现为网络攻击和诈骗。5.从年龄上讲逐渐趋于低龄化。 而近年来,电信运营商、互联网企业、政府部门、域名服务机构、安全厂商等遭受黑客攻击导致个人信息泄露的案例层出不穷。 据2012年中国互联网网络安全报告的不完全统计,2012年我国有50余个网站用户信息数据库在互联网上公开流传或通过地下黑色产业链进行售卖,其中已证实确为真实信息的数据近5000万条,影响较大的是2011年年底发生的CSDN、天涯社区等网站信息泄露事件,其中规模最大的一次用户资料泄密事件是著名的互联网程序员社区网站CSDN数据泄露。 2011年12月,CSDN网站的用户数据库被黑客公布在网络上,其中包括600余万个注册邮箱账号和与之对应的明文密码。由于网民习惯在不同网站使用同样的账号和密码,更有黑客用这些账号和密码去试探其他网站,例如支付宝、QQ游戏网站,导致使用相同账号密码的用户遭受经济损失。 而政府网站同样是受黑客攻击的重灾区。据统计,2012年,我国境内被篡改网站数量为16388个,其中政府网站有1802个,较2011年分别增长6.1%和21.4%。被暗中植入后门的网站有52324个,其中政府网站有3016个,较2011年月均分别大幅增长213.7%和93.1%。 政府网站建设的不完善也使得菜鸟黑客频频拿其“练手”。2010年,一位年仅18岁的QQ名字为“h4cker7雅”的黑客侵入瑞安规划建设局网站,将首页置换成一个“肌肉男”,其意是为了“练手”和“学习”。他还对记者说自己至少黑过上百家政府网站。在这之前,来自内蒙的高中生王某“黑掉”随州市政府信息网只用了几秒钟,“黑掉”呼和浩特市人才网和呼和浩特市财政网,用了两个小时左右。 国家计算机网络应急中心的报告指出:政府网站易被篡改的主要原因是网站整体安全性差,缺乏必要的经常性维护和安全配置升级,某些政府网站被篡改后长期无人过问,或虽然对被篡改页面进行了恢复,但并没有真正检查原因和根除安全隐患,导致遭受反复多次的篡改攻击。 打击计算机、网络犯罪的法律困境 在计算机、网络犯罪不断发展的背后是现有法律体系难以有效打击跨国跨地域的网络攻击,以及维权成本和最终赔偿,犯罪成本和犯罪收益之间的双重落差。刘德良说:“互联网犯罪和传统犯罪形态不一样,比如实施犯罪的服务器具有跨国跨地域的特点。这使得追踪犯罪者的技术难度高,成本高。网络诈骗由于涉及到犯罪链较长,还可以通过追踪银行账户的交易抓获犯罪分子。但对于一些网络攻击行为,在现有的法律体制下,很难找到攻击者。单纯靠一个国家的法律很难得到有效的解决,国际合作非常必要,但由于涉及的因素复杂,过程会比较漫长。” 除了刑法,如果公民个人信息被泄露被交易,公民能通过其他途径维护自己的合法权益吗?“我们传统上把买卖个人信息认为是侵犯隐私权,侵犯隐私权属于人格侵权,人格侵权获得的救济一般是非财产责任救济。对被害人来讲,即便赢了官司也赔了钱。所以现在没有人愿意去维权。而手机号码是否属于隐私在目前法学界还存有分歧,法院也不一定受理。从加害人的角度看,侵权的成本很低,不用承担财产责任,客观上鼓励了侵权。现在还难以找到有效的方式来解决这个问题。”刘德良分析道。 针对人们的焦虑,刘德良认为可以从两方面来解决个人信息侵权问题。 第一,我国实际已有相关法律。但由于主要参考了2011年由欧盟和美国、日本、加拿大等30个国家签署的网络犯罪公约,在适用过程中存在一些问题,无法满足实际操作的需求。将来立法首先是要弥补其中的法律漏洞,完善相关条文,从而有效打击窃取、倒卖个人信息的行为。 第二,在未来的立法上要承认个人信息的商业价值。对于此类侵权案件要考虑被害人的维权成本,由法律规定最低赔偿数额比如2000元或3000元,如果被害人能够证明实际损失超过上述数额的,可以以实际损失确定赔偿数额,这样可以加大侵权成本,有效遏制侵权行为。 |
