预置广告SDK控制用户手机如何适用法律

　　

预置广告SDK控制用户手机如何适用法律 

    

　　              ■ 主 持 人: 庄永廉 (《人民检察》副主编、编辑部主任) 

　　            ■ 点评专家: 于改之 (华东政法大学教授、博士生导师) 

　　                  ■ 特邀嘉宾: 李永红 (浙江工业大学律师学院执行院长、教授) 

　　     　　　　　　　              王云燕 (浙江省人民检察院第一检察部检察官)     

　　     　　　　　　                 向鸣霞 (浙江省平湖市人民检察院第一检察部主任) 

　　■ 文稿统筹: 华炫宁 (《人民检察》编辑) 

　　案情简介

　　2015年8月,欧某某带领陈某某、宋某、吕某等人加入上海朗趣科技有限公司(以下简称“朗趣公司”),成立北京团队(直至案发陆续有刘某等人加入),在与朗趣公司团队(又称“上海团队”)继续合作原有业务基础上开始研发只保留广告功能的SDK,即广告SDK,同时向罗某某、李某某所在的上海智汇云商科技有限公司(以下简称“云商公司”)、赖某某所在的深圳鼎勤科技有限公司(以下简称“鼎勤公司”)等手机方案商、中间商、厂商(以下统称为“手机商”)推广广告SDK业务。经协商,由朗趣公司北京团队提供广告SDK工具包,手机商将广告SDK工具包预装到智能手机系统中,并使广告SDK获取系统权限。在用户首次开机联网时,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台服务器上传imei(国际移动设备识别码)、imsi(国际移动用户识别码)等用户信息、自动更新广告SDK版本等。北京团队根据与手机商达成的运营方案,通过服务端(即“BOSS系统”)对推送方式、内容及频率等进行配置,向用户推送软件、广告等商业性电子信息,从而产生广告费收入。

　　2015年下半年起,朗趣公司原本的桌面业务因市场原因萎缩,负责桌面业务的朗趣公司上海团队于2016年11月左右解散,北京团队的广告SDK业务成为朗趣公司的主要业务。2016年底起,朗趣公司的绝大部分收入来源于广告SDK业务产生的收入。2016年8月,欧某某使用他人身份信息注册成立北京瑞徕科技有限公司(以下简称“瑞徕公司”)等用于收取广告收入。

　　2016年8月,欧某某招募颜某等人加入瑞徕公司,并于2017年2月起开始研发“一键达apk”,在用户手机中利用广告SDK的静默安装功能自动下载安装“一键达apk”。“一键达apk”在用户点击推送的文章或新闻后,即自动下载欧某某等人运营的公众号二维码图片,强制用户关注该公众号,并向其继续推送广告等商业性电子信息。2017年8月,欧某某带领北京团队集体离开朗趣公司,入驻瑞徕公司办公地点。

　　2017年9月22日,浙江省平湖市公安局立案侦查此案。截至案发,该团队从深圳腾讯科技有限公司(以下简称“腾讯公司”)处获利共计66007629.76元(从获利来源看,朗趣公司的广告主来源众多,腾讯公司为其主要获利源)。自合作起,云商公司从朗趣公司分成获利3916164.28元;鼎勤公司从朗趣公司分成获利4755745.25元。关于朗趣公司与手机商的资金结算方式,分为两种:一是按手机用户广告SDK的激活量分成,二是按广告费分成。但无论采取哪种分成模式,一台手机只能收费一次,故势必要解决手机双卡双待情形下计费标准的计算等问题。欧某某等人遂研发了uid。uid是服务器为了识别用户的手机,给每个激活的手机分配的一个ID。朗趣公司与手机商的费用结算即以uid数量为基础进行计算。

　　经查:欧某某等人所在的公司服务器内含有大量用户移动终端内的信息,其中植入广告SDK并被激活的移动终端有2171万部,被获取imsi的移动终端有2391万部,被获取imei的移动终端有2171万部,利用“一键达apk”关注公众号的移动终端有820万部,获取用户微信号130万个。

　　分歧意见

　　关于行为人的行为是否属于非法控制计算机信息系统的行为。第一种意见认为,预装及运行广告SDK不属于非法控制计算机信息系统的行为。非法控制计算机信息系统必须采取“侵入”手段,“控制”应达到排除他人控制的程度。广告SDK主要是一种运行程序,而非对系统进行控制,该案中计算机信息系统没有被侵害。第二种意见认为,非法控制的本质是“非法性”,也就是未经授权或者超越授权实施相关行为。预装广告SDK未经用户允许,是未经授权的行为,违反了全国人大常委会《关于加强网络信息保护的决定》及国务院《计算机信息系统安全保护条例》等相关规定。行为人利用广告SDK及“一键达apk”所实施的一系列活动均是通过技术手段控制用户手机接收指令执行特定操作,属于非法控制行为。

　　关于非法控制计算机信息系统数量的认定。第一种意见认为,对于双卡双待手机有重复计算等情况。因此,数据库的数据不客观。第二种意见认为,该案中,给用户手机生成的uid是唯一的,根据uid数量认定行为人非法控制计算机信息系统的数量真实客观。

　　关于单位犯罪。第一种意见认为,该案中,各行为人所实施的行为属于履行单位职责的行为,因此应当认定为单位犯罪。第二种意见认为,2015年8月,欧某某带领团队进入郎趣公司,成立北京团队,之后一直从事广告SDK业务,以实施犯罪为主要活动,不属于单位犯罪,成立自然人犯罪。

　　 问题一:关于非法控制计算机信息系统罪的犯罪构成

　　主持人:如何理解非法控制计算机信息系统罪中的“非法控制”和“计算机信息系统”?在手机中预先植入广告SDK是否具有非法性?利用广告SDK获取用户信息,向用户手机弹送广告以及利用“一键达apk”执行的一系列操作是否属于非法控制计算机信息系统?

　　李永红:非法控制计算机信息系统罪在犯罪类别上属于妨害社会管理秩序的法定犯。该罪在客观上须以侵入等技术手段实施非法控制,犯罪对象是计算机信息系统。SDK是指为对接其他应用程序的调用接口(API)而编制的软件开发工具包。目前诸多网络运营商将其用于用户数据采集、用户画像、广告推送等商业用途,由于将广告SDK预装入出厂智能手机中能增加广告收入,因而成为一些中小手机厂商的生存之道。该案中,手机用户对广告SDK、“一键达apk”的预装和安装均不知情,且对二者的运行均未授权,可以认定预装广告SDK及“一键达apk”并自动运行的行为涉嫌非法控制。

　　值得注意的是,涉及智能手机的操作行为的情况往往比较复杂,侵权、不正当竞争、违法和犯罪行为交织,需要严格对照刑法规定的犯罪构成要件查清案件事实,准确适用法律,具体应区分以下情况:一是不当利用和非法控制。如果程序研发商、手机商利用互联网、计算机信息系统从事广告活动,发布、发送广告的行为并未影响用户正常使用手机,在手机界面弹出广告时显著标明了关闭标志且能够确保一键关闭,不存在强制手机用户关注等行为,那么,按照广告法第四十四条的规定,所有相关主体的行为都只是利用计算机信息系统实施的广告行为,而不是非法控制计算机信息系统的行为。即使他们在推送广告时存在侵权、不正当竞争等情形,也不属于非法控制计算机信息系统,不应追究刑事责任。二是中立技术和帮助犯罪。如果负责研发广告SDK和“一键达apk”的程序研发商只是通过合作关系将程序提供给手机商,程序本身不足以侵害终端用户的知情权和选择权,不影响其对网络的自主使用,而手机商在预装入出厂手机时实施了隐瞒规避等行为,那么非法控制的责任主体就是手机商而不是程序研发商。当然,如果程序研发商和手机商为了分享广告利益而共谋,那么双方就属于共同犯罪。

　　王云燕:依据《计算机信息系统安全保护条例》第二条和最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条的规定,计算机信息系统应是由硬件、软件两部分组成,具备自动处理数据功能的系统。该案所涉智能手机和计算机一样,具备独立的自动处理数据的操作系统、独立的运行空间,可以由用户自行安装软件等程序,并可以通过移动通信网络实现无线网络接入,应当认定为刑法上的“计算机信息系统”。

　　非法控制计算机信息系统罪中的“非法控制”是指违背他人意志,使计算机信息系统按照行为人的意愿接受发出的指令,完成相应操作的行为。通常来说,通过黑客侵入、木马程序植入等修改他人的计算机参数设备、复制文件、窥视硬盘中的信息等是较为典型的非法控制行为。该案中,行为人在智能手机系统中预装广告SDK工具包,手机用户只要开机联网,广告SDK即通过互联网与后台服务器连接,在用户不知情的情况下向后台发送用户的imei、imsi等信息,自动更新广告SDK版本,并通过服务端向用户推送软件、广告等商业性电子信息,上述事实表明该广告SDK对计算机信息系统内部分数据进行收集的同时还可以发出指令进行操作,且上述行为均是在用户不知情的情况下进行的,显然系违背他人意志,属于“非法控制”。同时,“非法控制”不要求排他性的完全控制,部分控制他人计算机信息系统的也属于刑法所规定的“非法控制”。

　　向鸣霞:在手机中预先植入广告SDK是否具有非法性,关键应从其本质上论证相关行为有无授权。该案中,广告SDK是预先集成在手机系统中的软件包,用户在使用手机时只能看到宿主软件(比如桌面),无法看到广告SDK本身。但行为人在送检的进网样机中并未植入该软件包,通过AB版的形式逃避工信部门的检查,该行为违反了工信部门要求明确预置应用软件基本配置、新增预置应用软件必须报备等相关规定。同时,在广告SDK的预装与运营过程中,行为人也存在诸多规避行为,例如设置白名单、区域性设置、设置静默期(激活后一段时间内不运营),等等,均证实预装广告SDK未经用户允许,是未经授权的行为,违反了相关规定,具有非法性。

　　关于广告SDK是否具有控制用户手机的功能,可以从其运行原理入手进行认定。广告SDK的运行原理是:预先集成广告SDK、联网后调动广告SDK、自动对接服务器、上传用户基本信息、动态加载更新广告SDK版本、扫包、读取配置弹送广告(弹送广告的时机、频率、方式均由行为人控制)、静默下载安装“一键达apk”、下载二维码、关注公众号、删除照片等,上述行为均是行为人通过技术手段控制用户手机接收指令执行特定操作,是在用户不知情或无法控制的状态下进行的,属于非法控制行为。

　　 问题二:对一部手机的鉴定意见是否适用于其他手机

　　(全文详见《人民检察》2020年第14期或请关注《人民检察》微信公众号)