总结类案裁判规则要旨,权威解读最新法律法规
详细解析热点疑难问题,定期发布两高指导案例
2019年11月12日徐昕发表法庭辩论意见
张某向南通中院上诉,2019年9月2日、11月12日开庭审理。庭审对抗,较为激烈,案件应该很快会有终审裁决。李仲伟、季刚等律师的无罪辩护相当精彩,可点击最后的阅读原文观看庭审直播。
11月16日在南通举行的“企业家刑事法律风险防控论坛”,我会讲讲《计算机犯罪的辩护技巧》,希望南通中院、海门法院及有关领导来旁听指导。
2019年9月2日徐昕律师主要发言
要求解开脚镣,几轮质证与辩论
计算机犯罪应规范取证,坚持证据裁判
——张某涉嫌破坏计算机信息系统罪一审辩护词
一、DDoS攻击对计算机软件和硬件并没有实际的破坏,不可能造成计算机系统的主要软件或者硬件不能正常运行,起诉书适用法律错误
起诉书指控,因为DDoS攻击,造成11台计算机信息系统不能正常运行,进而依据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《计算机解释》)第4条第1款第1项“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的”,认为张某构成犯罪。该指控是错误的。
(一)DDoS攻击,不可能造成计算机信息系统的主要软件或者硬件不能正常运行
1、何为DDoS攻击?
《计算机解释》第4条第1款第1项的适用前提,是“计算机信息系统的主要软件或者硬件”。软件指一系列按照特定顺序组织的计算机数据和指令的集合,一般分为系统软件、应用软件;硬件指计算机系统中电子、机械和光电元件等组成的各种物理装置。网站是架设于网络服务器上的网络应用软件,对外部用户提供信息服务,是计算机信息系统的一部分。外部用户通常使用网络浏览器来浏览网站。通过浏览器访问网站的动作和行为,不会破坏计算机系统的数据和功能,显然不属于破坏计算机信息系统的软件或硬件的行为。因此,即便DDoS造成网站无法正常运行,也不会“破坏计算机信息系统功能、数据或者应用程序”、“造成计算机信息系统的主要软件和硬件无法正常运行”。
2、公诉意见违反逻辑和常识
公诉人在法庭辩论阶段,长篇论述DDoS攻击符合破坏计算机信息系统罪的特征,辩护人从来没有说过DDoS攻击不是犯罪行为,不构成犯罪。我们提出的是:DDoS攻击无法造成计算机信息系统的主要软件或者硬件不能正常运行。公诉人逻辑跳跃,所谓DDoS攻击侵犯计算机信息系统的安全,干扰计算机信息系统的功能,这些说词无法达到证明目的。
公诉人说“破坏计算机信息系统罪所要求的破坏并不是狭义的,破坏的结果也不一定要求对受攻击计算机的硬件或软件遭到损坏。”这一说法与起诉书适用的《计算机解释》第4条第1款第1项“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的”完全是相互矛盾的。
公诉人还说,“计算机信息系统主要包括软件和硬件。计算机信息系统不能正常运行当然符合计算机信息系统的主要软件或者硬件不能正常运行。”这个论证逻辑完全错误。计算机信息系统不能正常运行的原因很多,没电、断网都会导致不能正常运行,难道也是软件、硬件坏了吗?网络堵车就说是服务器坏了,这相当于堵车却说公路坏了。
公诉人甚至还称,“一个IP就是一台计算机”。这完全是信口开河。辩护人咨询了计算机专家:根据IP协议标准RFC791,IP地址对网络节点的标识在于2个维度:(1)用网络号区分不同的IP网络;(2)用主机号识别该网络内的一个IP节点。因此,IP的唯一值是相对于同一网络而言的,如果是不同的网络,IP并不是唯一的。
IP网络的复杂性决定了同一外网IP地址可能对应着多个内网IP的计算机,IP地址不一定对应这服务器,对IP地址的攻击不一定是对服务器的攻击。IP网络由多个网段构成,每个网段对应于一个链路,网络设备(路由器)负责将网段连接起来,在网络之间转发数据包。
上图为一个典型的IP网络拓扑图,路由器1、路由器2、路由器3接入ISP网络之后,形成了与互联网相互通信的三个网络。“用户主机”只能通过IP地址149.82.58.207访问“服务器1”和“服务器2”,同样只能通过IP地址182.55.32.134访问“服务器3”和“服务器4”。IP地址149.82.58.207、182.55.32.134起到了路由寻址的作用,“用户主机“通过这些IP地址访问的也可能是其他的电脑和主机。因此,多次对同一IP实施攻击的行为,只是有可能影响到使用该IP地址进行路由的网络,并不会对特定的计算机进行破坏。
综上,DDoS攻击危害在于网络,而不在于电脑软件和硬件。DDoS攻击结果是:网站对外部用户在网络上的服务质量下降,而不会造成网络服务器软件无法正常运行,而网站提供的网络信息服务不属于计算机信息系统的软件或硬件。因此,DDoS攻击不可能造成计算机信息系统的主要软件或者硬件不能正常运行,故本案不应适用《计算机解释》第4条第1款第1项。
(二)本案只能适用《计算机解释》第4条第1款第4项
由于本案中不涉及《计算机解释》第4条第1款第2项的情形,也没有证据证明粤楚公司有任何违法所得或者造成了经济损失一万元以上,且网站属于计算机信息系统,因此本案只能适用《计算机解释》第4条第1款第4项的规定——“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的”——来认定是否“后果严重”。
但本案中,涉及的被攻击网站,均为教育培训行业的宣传、招生网站,均不属于提供基础服务的计算机信息系统,也没有任何证据能够证明涉案网站或服务器是为一万以上用户提供服务的计算机信息系统,相反被害人陈述中提到的网站日常访问量、招生人数等内容,恰恰能证明被攻击网站的用户远低于一万。同样没有证据证明被告人行为导致网站不能运行累计一小时以上。故即便根据第4项的规定,也没有证据证明达到“后果严重”的入罪标准。
二、购买DDoS会员服务并非破坏计算机信息系统罪的共犯
《计算机解释》第9条规定,明知他人实施刑法第二百八十五条、第二百八十六条规定的行为,具有下列情形之一的,应当认定为共同犯罪,依照刑法第二百八十五条、第二百八十六条的规定处罚:
(一)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;
实施前款规定行为,数量或者数额达到前款规定标准五倍以上的,应当认定为刑法第二百八十五条、第二百八十六条规定的“情节特别严重”或者“后果特别严重”。
公诉人提出,购买方出资让攻击方进行攻击,两者构成了合意,购买方起指挥、决定作用。但根据该规定,只有上述三种情形才能构成破坏计算机信息系统罪的共犯,而购买DDoS的行为不包括在内。这意味着,法律通过沉默的方式表明购买DDoS服务的行为不属于犯罪。公诉人说没有买卖就没有伤害,这一流行的说法不是认定犯罪的理由,罪行法定,并不是所有的购买行为都是犯罪。正如刑法规定买卖野生动物是犯罪,但没规定吃野生动物是犯罪,故吃野味不构成犯罪;刑法规定贩卖淫秽物品是犯罪,没规定购买淫秽物品是犯罪,故该行为无罪;刑法规定贩毒是犯罪,没规定购买毒品自己吸食是犯罪,故该行为无罪。如此解释,才是罪刑法定原则的基本逻辑。公诉人认为提供技术的王岩、提交任务的肖媛是从犯,而购买者不仅构成犯罪,还是主犯。但我们检索判例,却没有发现追究购买者刑事责任的判例。本罪到底什么情况下构成共同犯罪,购买能否构成共同犯罪,值得研究。
如果将购买DDoS会员服务也认定为共犯,这意味着要追究59ddos网站3000余名注册会员的刑事责任,至少要追究几十名充值会员的刑事责任,但为何目前只起诉了四人?而且,公诉人将购买者确定为主犯,那岂不是放纵了3000主犯?明显荒唐!
三、本案证据严重不足,证据链断裂,特别是没有充分证据证明DDoS攻击行为已经实施
从粤楚公司购买DDoS服务到目标网站被攻击之间共有四个环节:
①购买DDoS服务并提交攻击目标→
→③str3ssed.me网站对目标实施DDoS攻击→
→④被攻击目标遭到唐小平提交的DDoS攻击且攻击成功。
要想证明粤楚公司构成犯罪,必须证明上述每一个关键环节都全部实施了,且这4个环节本来都存在大量客观证据,可以且必须通过客观证据证明。但所有环节,均无充分证据予以证实。
(一)环节①,究竟是谁购买DDoS服务,谁提交攻击目标,证据并不确实充分
庭审中,粤楚公司的诉讼代表人陈述非常清楚,公司对此毫不知情,没有开会讨论过,没有谁决定过,也没有谁以购买DDoS服务为由找他报销,案发之后,公司才知道此事。
关于购买DDoS服务,张某的支付宝账号支付过,陈林的支付宝也支付过,且张某辩称有几次支付钱款是陈林直接让他扫码支付,称用于购买网络优化工具,但具体是什么,他并不知情。
关于账号17160254200在59DDoS网站提交攻击目标,只能证明是尾号4200的用户提交了攻击目标,到底是张某提交还是陈林提交,因张某与陈林均否认,结合陈林懂技术、买黑卡、教张某等行为可以推断,主要任务应当是陈林操作。
(二)环节②,小灵猴公司即唐小平,并没有全部实施DDoS攻击任务
唐小平、肖媛、王岩供述证实,2018年4月以前,www.59DDoS.com不能自动进行攻击,必须在会员提交攻击任务后,唐小平手动去str3ssed.me网站操作。法庭调查表明,唐小平并没有全部执行会员提交的攻击任务。
1、本案鉴定意见存在严重问题,公诉人对辩护人的质疑并无进行有效回应,不能作为定案依据。
第二,鉴定意见第4点,从上述网站“DDoS攻击管理”页面检出攻击历史记录共274条。但这274条中,没有一个是尾号4200的用户提交的IP或网址。
第三,鉴定意见不明确。鉴定意见第5点称,从“用户操作记录”页面检出用户操作记录1414条,“用户操作记录”是什么?是攻击记录,还是提交记录?第6点称检出1233条任务记录,什么是任务记录?是接受任务,执行任务,还是攻击任务记录?
第五,电子数据很容易编辑修改,但本案检材的同一性无法保证,鉴定的是不是扣押封存的检材,是否遭到编辑删改,没有任何证据证明。
2、唐小平当庭陈述,www.59DDoS.com2018年4月份之前没有攻击功能,此前的攻击任务,在他方便的时候,才会手动输入str3ssed.me网站,对目标IP进行攻击。可见,即便会员提交了攻击任务,账户费用被扣除,也存在唐小平不全部执行的情况。
唐小平庭前也曾供述,曾经有过接受会员充值以及提交任务但实际未实施攻击的情况。唐小平供述称“2017年5月份就开始了,虽然当时开始接受会员充值,但是我当时没找到发动DDoS攻击的平台,没办法完成会员提交的任务”、“如果在2017年9月底之前提交任务使用了,费用就从他的账户上扣掉了,我也没有帮他发动DDoS攻击”、“所以一开始虽然我没有帮会员进行DDoS攻击,但是我还利用会员需要发动DDoS攻击来吸引会员充值。扣费的问题我当时确实没考虑好,没有帮会员发动网络攻击,我却把攻击的费用扣掉了,这个确实是我不对,是我欺骗了人家”。(补充侦查卷P21)“59DDoS网站可以增加会员攻击任务并执行攻击任务是2017年9月份左右,之前会员的充值都是没办法执行的,也就是9月份之前只有付费没有任务执行。也就是5月到8月会员付费是没有攻击任务执行,因为我没有可以执行攻击任务的平台网站,具体收费以充值记录为准,但是我会在59ddos攻击平台上显示攻击已执行,这些就是骗骗会员的。”(卷2P59)
3、肖媛庭前供述证明,并非所有会员提交的攻击任务都会执行。肖媛2018年4月27日的讯问笔录提到“唐小平还和我说,如果网址PING出很多IP地址,我们就不添加到空白处,这个攻击任务就放弃不执行了”、“执行攻击后会导致网站瘫痪,因为唐小平在执行攻击之前会检测这个网站,如果有用才会攻击,没有效果就不攻击。”肖媛当庭供述也印证了这一点。
4、接受平台发送会员提交攻击任务短信的手机持有人是肖媛和唐小平二人,肖媛庭前供述证明,她并没有将其接收到的所有任务都准确无误、毫无遗漏地告诉唐小平。且还完全存在肖媛告知了唐小平但唐小平因疏忽或工作繁忙等原因而没有实施的合理怀疑。侦查人员问唐小平“如果肖媛在外面接到攻击任务,怎么办?”唐小平答:肖媛会视而不见;又问“既然肖媛不会跟你说,那你是如何增加攻击任务的?”唐小平答:看不到就算了。”又问“肖媛出去之后,是否还会收到任务攻击短信?”答“如果我忘记修改手机号码,她就会收到手机短信,但是她会视而不见。”(卷2P54)
5、唐小平存在虚假供述的动机。如果唐小平承认接受会员任务而不实际执行,则不仅仅会涉嫌破坏计算机信息系统罪,而且还涉嫌诈骗罪,出于趋利避害的心理,唐小平有可能虚假供述称全部执行了会员提交的攻击任务。
6、现有证据不足以证明唐小平购买了DDoS服务。不论是str3ssed.me网站还是critical-boot网站,均需要用比特币充值,唐小平供述是找一个叫支付宝名为“姚瑶”的购买后“姚瑶”帮其充值,但侦查机关出具的情况说明称“比特币的卖家姚瑶经多方查找尚未找到”,意即无法查证唐小平是否购买了DDDoS攻击网站的服务。
8、李荣洋曾指责唐小平未执行攻击任务。(卷13P109-112李荣洋和唐小平的聊天记录)
9、刘昌龙案中,以攻击目标IP47.96.13.219为例,套餐任务管理文档中显示,2月26日,刘昌龙等(用户名15360660648)提交了11次任务,但当天被害人没有收到阿里云服务器通知“被攻击”的短信。而同样的IP地址,2月3日,刘昌龙等提交了11次套餐任务,被害人却收到了2条被攻击通知短信。这证明存在刘昌龙提交了攻击任务,但唐小平没有执行任务的情况。
关于唐小平的涉案金额,公诉人说“2017年5月底开始收取会员费用,2017年9月底唐小平开始接受任务去境外网站攻击,期间金额的认定,唐小平表示会员充值后若提交任务,会显示虚假的攻击已完成,若等到9月份提交任务,其还是会帮助攻击的……从有利于嫌疑人的角度出发,金额无法认定的情况下,对5-9月期间的收款仍认为DDoS攻击为目的,不再另定诈骗罪。”这说明公诉人认可唐小平不完全提交攻击任务的这一客观事实。既然如此,恰恰印证辩护人的主张,小灵猴公司即唐小平并没有全部实施DDoS攻击任务。
(三)环节③,没有证据证明唐小平提交的DDoS攻击任务全部实施
鉴定意见称“网站scy.087.com.cn具备向指定IP或域名的计算机发起DDoS流量攻击的功能与能力”,上文已论述,59ddos网站在2018年4月前仅是一个收集会员任务信息的平台,4月份以后王岩才帮唐小平将critical-boot网站攻击端口接入该网站,因此鉴定意见所鉴定的结果只能反映2018年4月份之后087网站的功能,而不能反映之前的。而且鉴定意见至多能说明critical-boot网站有攻击功能,但2018年4月以前,唐小平使用的DDoS攻击网站是str3ssed.me网站,而非critical-boot,因此鉴定意见不能证明str3ssed.me网站具有攻击性。
四、不存在作为犯罪构成要件的“后果严重”
环节④,远无充分证据证明。起诉书指控粤楚公司共造成11台计算机信息系统不能正常运行(起诉意见书为10台),如前所述,指控适用的法律错误,应适用前述第4项的规定。但即便按照第1项的规定,也没有充分证据证明存在“后果严重”。第一,11台计算机信息系统受到攻击的证据严重不足;第二,11台计算机信息系统不能正常运行完全没有证据证明;第三,即便11台计算机信息系统受到攻击且不能正常运行,也不一定是唐小平DDoS攻击所致。
虽然弘连司鉴【2018】计鉴字第411号鉴定意见中,17160254200手机号在scy.087.com.cn(www.59DDoS.com)网站的攻击记录所显示的被攻击网站或IP有14个。但其中www.318edu.com的IP地址是39.104.53.209,www.aolingaokao.com的IP地址是121.42.120.88,www.yb027.com的IP地址是121.199.250.170,因此实际上至多是11个目标网站。
目标网站受到了DDoS攻击的证据存在以下五个特点:
(一)除4份不具可采性的客观证据外,没有任何客观证据证明遭到DDoS攻击且不能正常运行
1、“www.whlexuejiaoyu.com”的管理公司武汉乐学世纪教育咨询有限公司皮之炼提供的聊天记录
《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第93条要求对电子数据着重审查“是否随原始存储介质移送;在原始存储介质无法封存、不便移动或者依法应当由有关部门保管、处理、返还时,提取、复制电子数据是否由二人以上进行,是否足以保证电子数据的完整性,有无提取、复制过程及原始存储介质存放地点的文字说明和签名”。根据该解释第94条的规定,经审查无法确定真伪的电子数据,不得作为定案的根据。
2、北京易维云数据科技有限公司刘涛提供的阿里云通知短信截图和服务器流量图
3、“www.aolingaokao.com”的管理公司武汉奥林文化发展有限公司法人陈庆安提供的“网站流量访问图”
(二)只有被害人陈述,不能证明网站受到了DDoS攻击且有影响
证明网站或服务器受到DDoS攻击影响,实际上只有被害人陈述这一孤证,孤证不能定案。
第一,严重利害关系。8个被害人陈述证明相应网站遭到攻击且产生影响,但他们的公司与粤楚公司是竞争关系,与张某、与粤楚公司有严重利害关系,其陈述的真实性存疑。
第二,被害人自己都称不知道是否受到攻击,影响多大。例如:“www.027yk.com”的管理公司武汉邦德世纪信息科技咨询有限公司的员工杨杰陈述中明确提到“我也不确定这种异常的访问情况是否和大流量的DDoS攻击是否有关系”;“www.yb027.com”的管理公司武汉文英博艺教育咨询有限公司的张国令明确表示“具体详细情况,我自己也不太清楚”,且其没有提供公司营业执照,该被害人是否是公司员工,是否具备被害人资格存疑。
(三)1个网站是否遭到攻击,根本没有任何证据,应当排除
“hb529.shop.liebiao.com”是否受到过DDoS攻击,甚至没有被害人陈述。没有任何证据证明这个网站受到了DDoS攻击。
(四)至少还有3个网站或IP根本不可能被DDoS攻击,应当排除
粤楚公司不可能攻击与其毫无竞争关系的两个位于北京的IP服务器。北京易维云数据科技有限公司负责人刘涛称,其公司IP为139.129.230.210和118.190.40.71的两个服务器2018年1月份曾遭到DDoS攻击。现有证据无法证明粤楚公司有何动机和理由攻击两个物理地址为北京的IP服务器。
(五)即便确实受到影响,也不一定是唐小平DDoS攻击所致
公诉人说,“正因为张某查看攻击效果,且有效果的情况下才会多次长期提交任务,根据一般经验,只有花钱有效果才会乐于继续花钱,张某2018年3月又再次充值200元的事实进一步证明了攻击的效果。”这一论证逻辑完全错误。第一,李荣洋曾指责唐小平,DDoS攻击没有效果。第二,花钱和效果完全是两回事。当庭打个比方,花钱请了律师就一定有效果吗?律师没有效果就不找律师吗?
综上,要证明11台计算机信息系统不能正常运行,必须要有客观证据,否则根本不能证明。但控方却没有一份有证明力的客观证据,有的甚至没有证据,有的则仅有被害人陈述这一孤证,根本不足以认定11台计算机信息系统遭受到了DDoS攻击影响。退一万步,即便有证据证明受到了DDoS攻击,也没有证据证明这些DDoS攻击是唐小平所致,被害人所称的DDoS攻击完全有可能是其他人实施的DDoS攻击。再退一万步,即便强行依据被害人陈述认定网站受到了DDoS攻击,至少hb529.shop.liebiao.com、www.kedayikao.com(武汉世纪金科教育投资有限公司)、139.129.230.210、118.190.40.71(北京易维云数据科技有限公司)这4个网址和IP不应认定,受攻击的计算机信息系统数量不符合“十台以上”。
五、张某不是粤楚公司购买DDoS会员服务的直接责任人员
在粤楚公司及张某案件中,侦查机关没有做到规范、全面取证,导致证据链断裂,定罪证据严重不足。对于被害单位的网站是否受到攻击,仅仅依赖唐小平的供述以及被害人的单方陈述,在完全有可能调取服务器中网站访问记录等进行印证的情况下,侦查机关“偷懒”而没有调查取证。由于境外服务器无法取证以及网站设置的原因,无法查证唐小平是否将粤楚公司的攻击任务提交进行,也没有证据证明str3ssed.me网站实施了唐小平提交的任务,导致证据链断裂。而且,起诉书适用法律适用错误。恳请坚持证据裁判,准确适用法律,依法宣告张某无罪。