提供动态IP服务的行为定性

2018-04-19 08:36门美子
中国检察官·经典案例 2018年3期
关键词:电信业务安全策略行为人

门美子

一、秒拨动态IP概述

(一)IP判定安全策略基本原理

IP,Internet Protocol Address的简称,即网络协议使用的地址。IP地址由网络ID和主机ID组成,网络中两台主机相互通信时,先按照网络ID查找目标主机所在的网络,将数据传到该网络,之后再按照主机ID找到目标主机,将数据传送到该主机。[1]由此,IP地址可用来标识互联网上计算机的逻辑地址,每个Internet 包都必须带有IP 地址,每台联网计算机都依靠IP 地址来标识自己,根据IP地址能够定位计算机的位置。目前广泛应用的IP版本为IPV4,由于IP资源有限,我国运营商实际上采取的是随机分配IP的技术。在用户通过电脑或路由器等终端发送宽带连接请求时,服务提供商从宽带接入服务器事先配置好的IP地址池中随机(或按照一定的规则)为用户分配一个空闲的IP地址。那么,在该次连接中,用户将固定使用被分配的IP。由此,IP地址在应用中,可判断计算机设备的物理位置,并识别特定的计算机设备,而这也构成了互联网行业账号体系设定IP判定安全策略的基本逻辑。

IP判定安全策略是指基于互联网安全防护的目的,根据上述IP原理所采取的安全技术措施。举实际的应用场景来说。

例1:防止侵犯公民个人信息的批量登录行为

某社交软件,为防止不法人员在获取公民信息后“晒密撞库”并进一步实施电信网络诈骗,社交软件使用限定社交账号异地登录需短信验证的安全策略(即根据IP发现异地登录后向绑定手机发送下行短信并要求登录者填录短信内容以实现身份验证),同时限定同一IP在10秒内只能请求一次登录验密行为。本例的防范原理在于,首先根据IP能够判断登录设备的地理位置,由此可以确定设备正在进行异地登录,而用户改变日常习惯登录地点有可能系被他人非法登录,因此通过IP策略识别出异地登录后,计算机系统会启动更严格的安全策略,譬如要求进行短信验证。

同时,之所以要求同一IP10秒内只能请求一次登录验密行为,是因为这符合人类思考及输入密码的正常时长,而不法分子在掌握公民信息进行登录时,一般采取的是批量机器登录,其输入速度与人类正常登录行为明显有异(用户正常登录不可能由机器批量实施)。由此,基于IP识别特定计算机设备的原理及10秒内只能进行一次登录的安全策略,即可拒绝掉来自机器的秒级快速登录,从而拒绝掉不法分子的非法登录行为。

例2:防止非正常的获利行为

当今的电商平台经常会通过发放优惠券或进行小额返利等方式开展促销。电商平台提供优惠卡券是为了鼓励经营活动,但部分行为人将优惠卡券作为牟利途径,通过机器批量获取的方式,在短时间内大量获取优惠券,再高价倒卖给需要优惠券的用户赚取差价利润,这部分不以正常消费为目的,而以“積少成多”或倒卖牟取利益的行为,被生动地称为“薅羊毛”。为防止“薅羊毛”群体恶意刷券,电商系统会限定同一IP仅能参加一次领券活动,即利用IP策略识别特定计算机设备的原理,确定了同一设备,并规定同一设备只能领取一次卡券的策略。

除上述两个具体案例场景之外,根据IP识别设备和确定位置的原理,还有很多场景涉及到IP判定策略。譬如,例3,视频平台约定版权授权仅限大陆地区,为保护知识产权,限定注册和登录为中国境内IP的帐号,才可访问内容,对于非中国大陆地区的IP拒绝其登录行为。再如,大量网站为防止他人利用爬虫技术批量“搬运”网络内容,基于利用爬虫批量读取数据速度的明显差异(譬如正常人读取网页内容需要一定时间,而利用爬虫技术爬取则是秒级速度),从而识别和拒绝爬虫的爬取行为。

(二)IP判定策略的突破:秒拨动态IP服务

针对网络系统提供的IP判定的安全策略,突破该策略的技术也应运而生,即秒拨动态IP服务。通过研究秒拨动态IP服务的技术原理可以发现,行为人是以Ros软路由、RADIUS认证服务器搭建“秒拨”动态IP集群,整合全国各地的ADSL动态IP、服务器线路、云主机静态IP和国际互联网链路,将多种网络IP资源捆绑集成提供给用户使用。由此,使用人员可以实现以下两方面的功能。

其一,隐藏真实IP,获得与设备实际位置不同的IP。这不仅使得前述例1、例3的异地登录启动更高安全等级策略和限定服务区域等特定功能失效,而且使得网络行为的倒查机制失效。譬如,行为人实施互联网流量攻击,被攻击方防火墙能够记录攻击源的IP,如果该IP系真实的,即可回溯倒查到行为人(通过倒查IP位置结合网络接入登记、实际使用人证据等)从而发现案件事实;但如果现防火墙显示IP是行为人利用了他人提供的动态IP服务而来的,则显然无法通过防火墙的记录倒查到真正的行为人。

其二,秒级变换IP,使得全部基于“同一IP”的安全策略彻底失效。如前所述,基于该原理的安全策略是通过识别同一IP所指向的单一设备的读取速度、登录速度来拒绝该类行为的,而如果行为人使用的IP发生了变化,基于同一IP限制快速登录、快速读取的策略显然就“无用武之地”了。

应该说,网络中使用的IP判定策略,是从账号安全、数据安全的角度出发的,而且通过IP确定位置倒查网络行为,在促进网络行为合规以及预防、侦查刑事犯罪方面也是具有重要意义的。而秒拨动态IP服务,使得上述IP判定策略全部落空,属于突破计算机信息系统安全保护措施的行为。在实践中,大量秒拨动态IP被用于网络犯罪,或失范行为,在查处网络犯罪时可以发现秒拨动态IP已经成为犯罪的常用工具,而提供该种经营服务的人员则获取大量暴利。然而,对于经营秒拨动态IP服务的行为性质,实务界却始终未得到一致结论。

二、关于秒拨动态IP服务的经营活动性质

如前所述,IP地址是网络连接中的一环,秒拨动态IP服务的经营者向用户提供该种服务,与提供网络服务密切相关,而网络服务本身在我国属于电信业务之中的一种,故有必要在经营电信业务范围内加以讨论。在这里需要讨论两个层面的问题,第一,提供秒拨动态IP业务是否属于经营电信业务;第二,未经许可经营该种电信业务,是否能够认定为非法经营罪。

(一)提供秒拨动态IP业务是否属于经营电信业务

电信业务的种类和范围,要求诸于《电信业务分类目录(2015年版)》(以下简称《电信业务目录》)。《电信业务目录》B14(B表示电信增值业务)项目规定了“互联网接入服务业务”,“互联网接入服务业务是指,利用接入服务器和相应的软硬件资源建立业务节点,并利用公用通信基础设施将业务节点与互联网骨干网相连接,为各类用户提供接入互联网的服务。用户可以利用公用通信网或其他接入手段连接到其业务节点,并通过该节点接入互联网”。

而秒拨动态IP服务的技术原理恰恰是,行为人搭建“秒拨”动态IP集群,整合各种线路,将多种网络IP资源捆绑集成提供给用户使用。从表面上看,行为人提供的只是IP地址,但从实质上看,行为人是向用户提供了该用户本来无法接入的多条线路连接(本来只能接入一条,且无法接入不属于自己所在地理位置的线路)。当然,客观来说,该种行为与提供“从无到有”的互联网服务的“黑接入”存在不同,用户固然原本就拥有互联网服务的线路连接,但是行为人提供的动态IP秒拨服务,使得用户能够连接上更多本来无法连接的,且仅应由运营商提供的线路,因此可以理解为提供了一种“从有到多”的互联网接入服务。在此基础上,该种业务类型符合《电信业务目录》B14列举的互联网接入的电信增值业务。

(二)未经许可经营该种电信业务,是否能够认定为非法经营罪

对于该种未经许可擅自经营电信业务的行为,在达到一定数额和损害程度时,能否以非法经营罪评价认定。实际上,根据《中华人民共和国电信条例》第7条的规定,“国家对电信业务经营按照电信业务分类,实行许可制度。经营电信业务,必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。未取得电信业务经营许可证,任何组织或者个人不得从事电信业务经营活动。”从该条文的表述来看,电信业务属于专营业务,未经许可不得由他人经营。

然而,另一方面,在刑法体系中非法经营罪法律条文及司法解释涉及电信业务的,主要是2000年最高人民法院《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》(以下简称《2000年电信市场解释》)、2002年最高人民检察院《关于非法经营国际或港澳台地区电信业务行为法律适用问题的批复》(以下简称《2002年电信业务批复》)和2003年“两高一部”《办理非法经营国际电信业务犯罪案件联系会议纪要》(以下简称《2003年电信业务纪要》)三个文件。而三个文件主要规制的内容都是国际电信业务,而未明确涉及经营其他电信业务的行为性质认定问题。而且,根据三个文件的规定,对违反国家规定,采取租用国际专线、私设转接设备或者其他方法,擅自经营国际电信业务或者涉港澳台电信业务进行营利活动,扰乱电信市场管理秩序,情节严重的,均系按照《刑法》第225条第4项的规定认定的非法经营罪,而并非根据第1项专营业务认定。由此,不得不让人产生疑问:行为人未经授权经营除“国际电信业务”之外的其他电信业务,是否能够认定非法经营罪,如果能认定的话,是根据第1项认定专营业务,还是根据第4项的“其他”的兜底条款认定?

对于上述问题的前半段,司法实践存在部分肯定回答。从裁判文书网上能够查询到的公开生效判决来看,除国际电信业务之外,尚还有其他为数不少的经营电信业务被认定非法经营罪的案例。譬如“黑接入”案例(既有按照第1项认定的,也有按照第4项认定的)、擅自经营网吧案例、群发短信案例、提供经营性互联网接入服务案例等。同时,值得关注的是,实践中已有将提供秒拨动态IP的经营活动认定为非法经营罪的生效判决。

譬如,杨某某非法经营案[(2015)榮刑初字第72号]。基本事实:被告人杨某某自2013年6月以来,在未取得《电信增值业务许可证》的情况下,两次通过自贡市某通讯有限公司的被告人刘某甲、范某某取得了30个宽带账号,被告人刘某甲、范某某利用工作的职务之便将该30个客户的宽带账号解除绑定,按每个账号设置10至50不等的连接数,供被告人杨某某在淘宝网开设的名为“思源网络科技”网店上出租,被告人杨某某利用在其家中私设的服务器为用户提供动态IP上网服务(VPS服务),每月收取租金,非法经营数额达12.9万元,获利10万余元。法院认定“被告人杨某某违反国家法律规定,在未取得经营许可的情况下,私自经营电信增值业务,为用户提供VPS服务,扰乱电信市场,情节严重,其行为已构成非法经营罪”(法律依据为《刑法》第225条第4项)。

综上,提供秒拨动态IP业务能否被认定为非法经营罪,需要解决上述两个层面的问题,但上述两个问题似乎都并未达到意见一致的程度。尤其是,观察目前的司法实践,为了防止非法经营罪成为“口袋罪”从而导致被滥用的风险,目前几乎所有人都承认非法经营罪的适用走向了逐渐收紧的状态。但在这里有必要强调的是,非法经营罪的适用,既要防止滥用风险,也要防止反过来因为要收紧所以普遍不愿认定、不敢认定的倾向。因为只要该罪还没有被废除,那么评价某种行为是否构成该罪的判断标准就是构成要件是否符合。即,如果从构成要件分析(当然从阶层论角度讲,还要符合违法和有责两个层面)行为人行为符合非法经营罪,就不能仅仅以“非法经营罪在收紧”而否定入罪。

可以发现,上述的分析是基于将“提供秒拨动态IP”经营活动作为单独的一个行为进行评价的路径。而与此相对的另一种路径是,将其与下游用户的行为,结合起来一并观察。这种观察路径,将问题引导到了网络犯罪的讨论范围之内。

三、关于秒拨动态IP服务提供网络犯罪帮助的性质

从前文分析可以发现,提供秒拨动态IP主要是为了提供下游使用,起到隐藏真实IP和秒级变化IP的作用。而隐藏真实IP和秒级变化IP时常与网络犯罪密切相关,由此引发了关于提供秒拨动态IP能否认定《刑法》第285条至第287条的计算机和网络犯罪的思考。

(一)关于《刑法》第285条第3款的提供侵入、非法控制计算机信息系统的程序、工具罪

秒拨动态IP服务提供了线路控制客户端供用户使用,提供的功能包括IP的“自动切换”、“秒级切换”、“断线重拨”、清理COOKIES缓存、虚拟网卡等,从而实现突破IP安全策略的功能。然而,《刑法》第285条第3款规定的程序、工具限于提供“侵入、非法控制计算机信息系统”功能,而动态IP服务难以认定提供上述功能。即便是经营者提供的秒拨客户端,其作用主要是代替人工实现重新拨号从而更换IP的功能,与人工的差别仅在于其因属于机器完成而可以达到极高的速度,直至秒级拨号。由此以该罪认定恐存障碍。

(二)关于认定帮助信息网络犯罪活动罪

秒拨动态IP很多情况下是与网络犯罪共同出现的。譬如,在发现刷单团伙时,往往会发现行为人使用了秒拨动态IP服务,并由此回溯到提供秒拨动态IP服务的行为人。除了在认定共同犯罪的场合,就出现了上游行为人行为性质认定的问题。

关于帮助信息网络犯罪活动罪的犯罪性质,尤其是上下游之间的关系,理论界及实务界始终莫衷一是。大部分实务人员及笔者倾向认为,罪状中的“利用信息网络实施犯罪”原则上要求下游行为构成犯罪,但特殊情况下,在行为满足构成要件而仅仅是罪量未达到追诉标准的情况下也可认定。譬如下游100个人每个人利用上游提供的帮助诈骗了1000元,虽然下游每个人都不构成诈骗罪,但是上游因为实施了“一对多”的帮助行为,而且其作用及危害甚至重于下游正犯,故上游行为也可能构成帮助信息网络犯罪活动罪。

从客观上说,行为人提供了秒拨动态IP服务,确实能够帮助下游行为人实施至少下列行为:其一,利用掌握的海量公民账户密码等公民信息实施批量登录行为(俗称撞库、晒密),该行为系直接侵犯公民个人信息的行为;其二,采取“爬虫”技术批量获取数据行为,互联网公司为了防止被他人爬取数据的行为,几乎均采取了IP判断策略以识别非人类的浏览行为,由此利用“爬虫”技术批量获取数据就需要不断变化IP;其三,刷单、刷量行为,由于刷单所需要的反复点击行为也会基于IP判定策略而无法进行,故动态IP也是刷单、刷量行业的常用手段;其四,“薅羊毛”行为;其五,全部需要对抗互联网共同IP判定安全策略的行为。

通过对前述秒拨动态IP下游行为的分析可以发现,利用秒拨动态IP的下游行为并非均是构成要件该当的行为,至少部分行为是否构成犯罪在当下还是存在较大争议的。譬如下游行为人借助秒拨动态IP使用爬虫爬取数据,在实践中并非能够一概而论地认定非法获取计算机信息系统数据罪,大量的爬虫行为不被作为犯罪,甚至没有被作为侵权行为看待。再如薅羊毛行为,也难以一概而论地认定为犯罪行为。

下游行为的性质,不仅影响了客观的构成,在判断行为人主观明知方面也存在影响。而帮助信息网络犯罪活动罪的主观明知,又是认定该罪的最主要困难。当前的网络犯罪具有链条化、产业化的特点,且摒弃了过去“一对一”的联络帮助方式,故发现和取得行为人之间共谋的证据是相当困难的。因此,关于帮助信息网络犯罪活动罪主观明知,实务界通常采取推定的方法予以认定。譬如,有实务专家提出“具有下列情形之一,行为人不能作出合理解释的,可以认定其明知他人利用信息网络实施犯罪,但是有证据证明确属被蒙骗的除外:经监管部门告知后仍然实施有关行为的;接到举报后不履行法定管理职责的;收取费用明显异常的;从事专门用于违法犯罪的活动或者提供专门用于违法犯罪活动的程序、工具的;以及其他特殊情形,如避开监管措施等”。上述情形中,“从事专门用于违法犯罪的活动或者提供专门用于违法犯罪活动的程序、工具的”,在理解上可以認为“如替人开卡、取钱、收购身份证、银行卡等服务)和专门用于违法犯罪活动的程序、工具(如仿冒银行、执法部门网站制作钓鱼网站),这些活动或者程序、工具并非社会正常活动所需,而是只能为违法犯罪活动提供帮助的专门服务,故相关从业人员对其服务对象系可能涉嫌犯罪主观上实际是明知的, 应当将此种情形推定为主观明知”[2]。上述观点的确提供了一般情况下主观明知的推定依据,但在秒拨动态IP的讨论场合,仍有部分具体问题需要讨论。

应该承认的是,“正常生活所需”和“利用信息网络实施的犯罪”之间不是非此即彼的关系,事实上实践中大量存在着既不是“正常生活所需”,但也不是“犯罪”行为的“灰色地带”。譬如,前文所述的“薅羊毛”及与其性质类似的各种网络灰色活动。显然,电商的优惠卡券和小额返利是基于促销目的,初衷绝不是为了让少量人员大量囤积积累获利,或转手倒卖差价牟利。由此,薅羊毛绝非“正常生活所需”,但目前而言,该种行为又难以被没有争议地认定为犯罪。从正面的逻辑判断,秒拨动态IP服务提供的隐藏真实IP,及秒级变换IP,无论如何都很难将其理解为一种正常生活所需行为。而且之所以需要秒拨动态IP,就是为了针对互联网系统本身的IP判定的安全策略,为“突破安全策略”而提供和使用的服务,很难理解为是正常生活所需。然而帮助信息网络犯罪活动罪下游确实存在难以被评价为犯罪的行为,无法作出“秒拨动态IP只能用于犯罪”的结论,由此也就不能作出行为人必定明知他人实施网络犯罪的推定结论。

综上,提供秒拨动态IP服务,确是为了对抗互联网系统的IP判定策略,但使用其服务的,既可能是网络犯罪行为,也可能是其他不满足犯罪构成要件的行为,从而在主观上也无法推定提供服务的人必定明知下游从事网络犯罪活动。故,提供秒拨动态IP服务的人主观明知问题,以及最终能否认定帮助信息网络犯罪活动罪的问题,仍需要在个案中结合证据进行具体认定或推定。

注释:

[1]参见刘浩然:《网络犯罪侦查》,清华大学出版社2016年版,第72页。

[2]参见喻海松:《网络犯罪的立法扩张与司法适用》,载《法律适用》2016年9月。

猜你喜欢
电信业务安全策略行为人
自杀案件如何定罪
基于可视化的安全策略链编排框架
拘禁型索债行为构罪分析
1—11月移动互联网累计流量同比增长35,1%
多媒体教学服务器限制访问的一种措施
电信业务总量保持高位增长
浅析涉密信息系统安全策略
对身份不明用户不得提供服务工信部规范电信服务协议
敲诈勒索罪
地铁客运组织方式及安全分析