验证码短信的司法保护初探

桑敏莺 张洁

[案情]2019年11月至2020年10月间，被告人王某某租赁服务器、部署软件执行短信轰炸，同时搭建“坚果云”“云闪信”等网站，通过代理销售、直接购买等方式出售短信轰炸功能。现已查明，被告人王某某共计掌握近200个互联网平台验证码短信发送指令，累计向1万余个手机号码执行短信轰炸。2020年4月至10月间，苏州常熟A科技有限公司、上海B家居用品有限公司网络平台接收涉案软件指令，发送短信共计400余万条，造成经济损失人民币20余万元。

第一种观点认为，王某某构成破坏计算机信息系统罪。在本案中，王某某通过销售、运营短信轰炸软件，密集式发送验证码短信请求指令，增加互联网平台对上述指令的处理，造成经济损失20余万元，其行为构成破坏计算机信息系统罪。

第二种观点认为，王某某构成非法控制计算机信息系统罪。王某某的行为并未影响互联网平台、个人手机终端正常运行，属于对互联网平台的恶意控制，应定性为非法控制计算机信息系统罪。

[速解]笔者认同第二种观点。短信轰炸行为如何定性，关键在于明晰短信轰炸的原理及实际损失承担者，从而具体判断该行为是“破坏”还是“控制”计算机信息系统。

首先，短信轰炸运行原理是通过高频次发送验证码短信指令，使互联网平台向个人手机终端密集发送验证码短信，具体运作如下图所示。本案存在五方主体，其中互联网平台根据异常指令发送短信并承担短信资费，手机终端接收短信并影响手机持有人正常生活，短信轰炸平台搭建者及销售者实现非法获利，购买短信轰炸者实现骚扰目的。由此可见，实际损失承担者系运营互联网平台的个人或者单位。

其次，最高人民法院于2020年12月29日发布指导案例145号，裁判要旨第二点明确刑法第286条规定的破坏计算机信息系统罪中的“破坏”系造成系统功能实质性破坏或者不能正常运行，即实质意义上的“破坏”。本案中，互联网平台、手机终端等计算机信息系统受短信轰炸，增加计算机信息系统处理、传输的数据，但该处理量级均未超过阈值，未造成系统功能实质性破坏或者不能正常运行。

最后，验证码短信是互联网平台广泛运用的用户身份验證方式。正常入口系设置在互联网平台用户操作页面，通过平台用户发出指令，生成随机数字进行用户验证。王某某自行搭建短信轰炸网站，绕过互联网平台用户页面，直接向系统后台发送验证码短信指令，控制多个互联网平台向同一手机号码密集发送短信，并使运营互联网平台的个人或者单位承担高额短信资费，应当认定为非法控制计算机信息系统罪。