钉钉打卡作弊软件案件的介绍

2021-10-22 16:22:51 浏览数 (1)

信息技术对人们日常生活的影响越来越深,法律体系与时俱进的调整,信息技术和法律之间的关系更加紧密,例如之前介绍过的软件开源协议的案件《国内首个违反GPL的案件介绍

这次再介绍一个最近出现的案件,2021年10月8日,北京市海淀区人民法院披露了一起破坏计算机信息系统罪的案件,犯罪人被判处有期徒刑5年6个月。

该软件是一款名叫“大牛助手”的 APP,其通过虚拟定位技术,将虚假的位置传送至钉钉系统,以达到“打卡”的效果,主要供上班族和学生使用。该软件为收费软件,年费为89元,月费25元。截止案发,用户近10万余人/次,收取费用四五百万元。犯罪人已于2019年5月31日被羁押,同年7月4日被逮捕。

知乎上这篇文章,从法律层面,说明了判罚的过程和双方的博弈,很涨知识,学习一下,原文链接,

https://www.zhihu.com/question/491806902/answer/2168891455

原文节选如下

来看看判决书里展示的证据和最后的判决意见,还是比较清楚的,我以我仅有的一点点计算机和法律知识,给大家梳理下为啥会得出这么个结果:

(图源北京法院审判信息网,案号(2020)京0108刑初450)

红框部分,属于经过审理得到的简要事实。可以看到,在审理意见中,海淀法院认为大牛助手“破坏钉钉系统获取用户真实地理位置的功能”,换句话说,海淀法院认为钉钉获取用户真实地理位置的功能是受保护的,且大牛的行为构成了破坏。原因我们接下来从证言中找。

证言1是被告本人,这里张超杰是强调他没有改变其他APP的源代码。然而正是这个认识,为他留下了致命的漏洞。

证言2提供了两个信息。其一,用户用这款软件的目的就是打卡作弊,用户是知道的,公司也是知道的;其二,软件提供的打卡位置确实是假的。

证言3、4、5、7、8没啥好说的,无非是进一步表示公司上下都知道这软件是收费虚拟打卡位置的。

证言6比较关键,但不完全关键。这条证言提供的信息是软件如何生效。简单来讲就是每个软件分配一个沙盒,这个功能太简单了,单独拿出来不应当是犯法的。但是有些措辞,比如“拦截”、“反馈”等等,体现了大牛和钉钉的交互,这和后面的其他证言(包括司法鉴定和原告律师陈述)叠加在一起,对法官产生了重要影响,毕竟法官不懂技术。

证言9、10、11、12也没啥好说的,和上面一样,都是表明全公司(包括被告)都知道这个软件的主要作用是虚拟位置去打卡,用户也确实主要用这个软件去虚拟位置打卡,(所以)公司也专门为此做了测试和维护。(题外话,证言9有个彩蛋,大牛的数据还是跑在阿里云上的)

证言13,非常关键。虽然证人看起来像是技术人员,但绝不是技术人员。他说的同样句句属实,而且确实是信息安全中的常用术语,但是结合证言6,很容易给审判员留下“一攻一防”的印象。“绕过保镖模块”“劫持平行检测接口”,这说的是啥呢?就是钉钉为了避免阿猫阿狗随随便便都能虚构位置打卡,构建了一个模块来检查运行环境,理论上来说这确实是一个相当常见的正常的防御型模块,然而也是钉钉完全内建的、被动的、特有的检测模块,用的貌似是钉钉自己运行时正常产生的数据来检测;从技术上来讲,这使得任何以欺骗为目的向这个完全内循环的模块输入数据的行为都符合注入式攻击的定义。而大牛有目的的欺骗这个模块,所以可以被认定为为进行攻击了(说实话我甚至觉得这个模块的法律意义比技术意义更大,就是用来坐实“能绕过钉钉的都是针对钉钉的”)。接下来是真正的杀招,听起来像是扣着法条打出来的:首先表明,“考勤打卡是钉钉的独特功能”,表示这就是软件本身的工作目的,把获得真实定位的行为合理化;进一步的,指出大牛助手是在“干扰”这一正常功能的正常运作,这个指控可以说是图穷匕见;最后补上一刀,再次强调大牛助手通过干扰钉钉实现了盈利。这一段证言,在技术上没有任何问题,但是身份仅写了一个“员工”,其可能并不是真正的技术人员,而可能是专职的法务、运营或者外宣人员。(另外需要注意的是,本案为刑事案件,也就是公诉案件,原告应该是检察院,所以这个证人基本可以视为钉钉的意见代表)。

证言14,司法鉴定书。基本两层意思,一层是中立性质的,鉴定大牛确实可以虚拟定位;另一层是定性的,而且耐人寻味:他提到了“钉钉服务器”,说明在该案中,钉钉的服务器也被视为“钉钉”这一计算机系统的构成部分(理论上说的通,服务端和客户端共同构成系统嘛),并且“获取真实位置”被定义成“功能”,结合上文,打卡需要获取定位确实是合理功能,而且钉钉的用户协议里多半还有找补

证言15就是一些涉及经营的合规性文件,不重要。

最终的审判意见是成立。原因是被告开发大牛确实就是用来干扰钉钉的,并且获得了盈利

结合所依据的法条和司法解释分析一下,

刑法286,破坏计算机信息系统罪。证言13中的“干扰”赫然在列(看到没有,并不是不改源代码就没有问题!被告人吃亏就吃亏在这儿了),而且结合双方证词和司法鉴定结果,若“获取真实定位”是整个“钉钉系统(包括各软硬件实体)”的功能,那么提供虚拟定位确实是干扰行为没错。

进一步的,上面的证言都佐证,

1.大牛的模拟定位确实对钉钉有针对性的干扰,而且和“钉钉”这一整个“系统”进行了攻防,且是攻方。

2.大牛的用户也确实有目的的下载大牛并为干扰钉钉付费。

3.大牛公司上下对这些情况全是知情的。

司法解释里的“专门设计用于”也对上了,有这么详细的证言、通信证据和用户画像,就算装傻一口咬定不是针对钉钉是为了维护用户隐私也说不通。

最后,传播和盈利,获利达500万,妥妥的“后果特别严重”。

这下完蛋,主客观相统一,所有构成要件都齐活儿了。

现在的几个争议,也可以用上述信息加以回答:

1. 钉钉获得用户的真实定位是否合理?

获得真实定位被认定为是钉钉用来实现打卡功能的子功能,所以法院认为是合理的。

2. 钉钉是否有权获得用户真实定位?

钉钉当然无权强制获取用户定位……不过要用这个功能的是你用户,用户当然可以不让钉钉采集信息呀,不用这个功能就行了呀,后果自负呗。

反正钉钉在从来没人看的用户协议里多半把窟窿都填上啦,用了这个功能,那用户自然是同意的呀,这不就有权啦?

(马政经里说:“被……有两个条件:首先他们必须是自由的;而且必须自由得一无所有。”)

(众所周知,法律面前人人平等,无论贫富,都有享受高档晚宴的权利,都会因睡桥洞而受到处罚。)

3. 用户是否有权模拟自己的定位?

用户当然有权模拟自己的定位,但“针对钉钉模拟定位”,则显然是有目的的干扰行为。

4. 用户是否有权干扰钉钉?

法无禁止即可为。没有严重后果的干扰不在法律规定中,不具备相关罪名的全部构成要件,不构成犯罪。

5. 手机里的数据是不是自己的?

理论上确实是自己的-然而不妨碍用户在和“计算机信息系统”的交互过程中,提交模拟影响“正常”功能实现的行为被视作“干扰”。

6. 钉钉的打卡怎么会被看做正常功能?

按理论上来讲,打卡当然是正常功能,根据地点打卡自然也是正常功能,公务员事业单位国企也是要打卡的。然而人家打卡965工作场合,你打卡007随时随地,那也不是打卡和打卡工具的责任。

7. 那获罪的不应该是用户吗???

怎么说呢,通俗点讲,法院认为大牛这个软件不是既能做菜又能砍人的菜刀(工具),而是纯粹用来砍人的砍刀(武器)。原因是刀匠做刀的时候就在以砍人为使用场景做刀,刀匠也知道买家要用他去砍人,但还是做了。区别之处在于,千千万万用户和刀匠都满足“干扰(破坏)”这个要件,但所有的单个用户都不满足“严重后果”这个要件,只有刀匠满足了。所以最后获罪的只有刀匠。

另外,其实这个案子比评论区里的朋友们想的要复杂一点,因为这是个刑事案件,也就是公诉案件,原告是公诉机关(也就是检察院)代表国家提起诉讼。大家可以先了解一下刑事公诉案件和民事案件的区别再开脑洞。

不过这只是一审,被告还有上诉机会,如果有厉害的律师或者专家证人,又或者碰到风格宽松的审判员,还是有改判可能的。

了解这些就当增长见识了,还是要遵纪守法,利用信息技术服务大家,而不是投机取巧,这才是学习技术的意义。

app

0 人点赞