周立波:提供“差评定位”软件行为的法律定性
厚积薄发
启行千里
在网络外卖领域,用户在相关外卖平台(如美团、饿了么)下单购买餐食后,可以对商家进行评价并体现在商家的相关页面中。这些评价,无论好坏,对商家的经营活动都会产生重要影响。特别是差评信息,会直接影响其他用户的购买行为,导致商家流失用户,因此很多商家都有删除差评的动机和需求。但对外卖平台而言,客观全面的评价信息是平台业务活动的重要组成部分,为了防止商家不当影响这些评价,通常会采用相关措施使评价信息与用户进行分离,从而防止商家联系用户去删除差评信息。
近年来,一些人瞄准这一“商机”,推出了为商家提供差评定位的服务,主要通过软件帮助商家分析定位差评用户,从而让商家自己或由专门的代理商去联系用户要求删除差评。其基本行为模式如下:首先,由商家提供自己的账号密码授权绑定行为人的软件进行登录(这步通常也由代理商操作);其次,登录后,软件会通过算法自动实时将差评信息与订单信息进行分析匹配,从而定位出差评对应的用户订单信息;最后,软件会第一时间将定位结果推送给商家,进而让商家在隐私号有效期内,及时联系用户删除差评。
应该看到,这样一个行为,其当然有一定的社会危害性。但目前司法实践中,对这一提供差评定位软件帮助商家分析定位差评信息的行为,在法律上如何定性产生了较大争议。有观点认为,行为人的行为属于未经授权非法侵入外卖平台账户系统并分析获取数据,属于非法获取计算机信息系统数据的犯罪行为。也有观点认为,此类行为社会危害性有限,不符合犯罪的构成要件,仅属于网络领域中利用技术手段妨害业务的不正当竞争行为。
对于这类行为的法律性质,因涉及到专业的计算机知识和刑民、刑行交叉问题,有必要在了解运行原理的基础上,结合相关法律规定和罪名构成要件进行准确判断。经过深入分析,笔者认为,此类行为不构成犯罪,而属于民事或行政违法行为。
具体理由如下:
一、经过商家授权登录外卖平台账号系统,不属于计算机犯罪中的未经授权侵入该计算机信息系统
01
1. 计算机犯罪中“侵入”的本质是未经授权访问计算机信息系统,其中“未经授权”是指采用技术手段规避权利人的身份验证措施,进而获得非法访问权限
计算机领域中的“侵入”与现实领域中的“侵入”并无本质不同,其是指未经系统权利人授权访问计算机信息系统,如同侵入住宅中的未经户主同意进入。不同的是表现形式,因为在计算机网络中,不可能是直接的物理主体(人)去访问系统,而是通过代表人的相关凭证去访问,也即用户的账号密码等身份凭证。而账号密码系统就是计算机领域中为校验是否授权而设置的身份验证系统。在计算机中,经过权利人同意的账号密码登录的即视为授权登录,未经权利人同意登录的即视为未经授权的“侵入”。未经授权侵入就是采用技术手段规避权利人的身份验证措施,进而获得非法访问的权限。如行为人破解账号密码系统进行登录,就是典型的侵入。
在司法实践中,最高人民检察院第36号指导性案例在裁判规则中对“侵入”进行了界定,认为“非法获取计算机信息系统数据罪中的‘侵入’,是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统”。这三种形式的本质特征都是规避系统权利人的身份验证机制,非法访问计算机信息系统。
02
2.行为人登录外卖平台的账户系统,因为都是经过商家授权登录,没有违背商家意愿,不属于未经授权侵入该计算机信息系统
外卖商家平台的账户系统基本会设置两种商家登录方式:一种是账号登录,也即通过用户名和密码校验商家身份后登录;另一种是验证码登录,也即通过手机号和手机验证码校验商家身份后登录。这个账号系统就是外卖平台为商家设置的身份验证系统。从计算机角度而言,只要输入正确的用户名、密码或手机号、验证码,并符合商家的意愿,就属于授权登录商家的账户系统。
在这类行为中,商家使用行为人的软件,都需要自己输入或提供用户名和密码或者手机号与验证码进行授权绑定,否则不能使用。也即,只有商家自己提供身份信息授权绑定,才能使用涉案软件。由此,也意味着,只要商家绑定了涉案软件,就必然是经过了商家的授权同意。从中可以看出,行为人并不是通过破解商家的账号密码进行登录操作,而是经过了商家的授权,在性质上等同于商家的登录操作,由此不能认定行为人是未经授权侵入平台的账户系统。
03
3.行为人避开美团平台设置的人机验证措施和反爬虫措施,虽违背平台意愿,但不能认为直接侵入了平台的账户系统
值得注意的是,外卖平台在商家登录过程中除了设置账号密码、手机验证码这一身份验证措施外,还可能会设置图形验证码、滑块验证码和动态IP检测措施。那么,规避这些措施是否属于侵入计算机信息系统呢?
首先,需要注意的是,计算机信息系统设置的各种技术措施的功能作用并不一样,并不是所有的技术措施都是计算机信息系统安全保护措施。
应该看到,计算机信息系统是由不同功能代码所组成的集合。系统权利人出于各种目的会在计算机信息系统中设置各种技术措施,目的不一样,功能性质就不一样。如为了保护系统权限和系统内数据的安全,防止他人未经授权的侵入,系统会设置身份验证措施;又如,为了防止系统遭受弹窗广告的侵扰,优化浏览效果,系统会设置广告屏蔽措施,等等。应该看到,规避这些不同技术措施的行为,在法律性质的认定上当然也不一样。比如,采用技术手段规避系统对广告设置的屏蔽措施的行为,尽管也违背了系统权利人的意愿,但就不属于未经授权侵入计算机信息系统。
其次,需要明确的是,只有避开或突破与计算机信息系统“授权”有关的技术保护措施,才能认为未经授权侵入计算机信息系统。
就这类案件而言,与账户系统“授权”有关的技术保护措施,就是外卖平台在商家登录过程中设置的账号密码、手机号验证码这些身份验证措施。如果行为人规避这些技术保护措施登录商家账户,则当然可以认为侵入了计算机信息系统。例如,通过伪造账号密码、“撞库”等技术手段突破登录或者盗窃、骗取商家的账户密码进行非法登录,都可以认为未经授权侵入计算机信息系统。但根据上述,这些案件中行为人并未避开或突破上述与“授权”有关的身份验证措施,而是经过商家提供的账号密码(或手机号)进行了授权登录。
最后,外卖平台设置的图形、滑块验证码和动态IP检测措施在性质上属于人机验证措施和反爬虫措施,并不是直接与“授权”有关的身份验证措施,因此规避这些措施不能认定为未经授权侵入计算机信息系统。
在计算机中,图形验证码、滑块验证码属于人机验证措施,动态IP检测措施属于反爬虫措施。其中,“验证码”的全称为“全自动区分计算机和人类的图灵测试”,这一测试的目的在于通过智能测试区分人与计算机程序,进而阻止程序的自动性操作。常见的验证码类型包括文本验证码、图像验证码、滑块验证码、拼图验证码等。“动态IP检测”是系统检测是否有同一网络地址(IP)在短时间内频繁访问,通过IP地址请求的访问频率来辨别是计算机程序还是人类用户。应该看到,这些技术措施的功能目的都是为了鉴别是人还是机器在访问系统,并对用户使用计算机程序进行访问的会进行限制,以防止机器大量访问给服务器造成的流量负担。
但也应该看到,这些人机验证措施和反爬虫措施并不直接校验系统权利人的身份,与账户系统权利人的“授权”无关。准确而言,这些措施是外卖平台设置的对用户访问方式(通过人还是通过机器访问)的管理措施,而不是用户有无访问权限的身份验证措施。例如,图形、滑块验证码就是为了辨别用户是在用人工方式还是机器方式在访问账户系统,但不校验用户的身份权限,与“授权”无关。真正与“授权”有关的就是上述的账号密码或手机号与手机验证码。并且在客观上,规避图形验证码、滑块验证码并不会直接登录账户系统,当然也就不会 “侵入”计算机信息系统。
事实上,只有“避开人机验证措施+突破身份验证措施”才会导致“侵入”,并且真正决定是否未经授权“侵入”的是身份验证措施。因此,行为人只规避人机验证措施或反爬虫措施,不属于未经授权侵入计算机信息系统。
二、通过商家授权登录账户系统,并获取账户系统内商家的订单、评价列表数据,不属于非法获取计算机信息系统数据
根据上述分析,行为人的软件在登录商家账户系统时,因为经过商家的授权同意,并且在输入账号密码过程中符合系统设置的身份验证机制,没有规避关于“授权”的计算机信息系统安全保护措施,所以不属于未经授权侵入计算机信息系统。那么,进入商家账户系统后,获取商家的订单列表、评价列表数据用于分析差评定位信息,是否构成非法获取计算机信息系统数据呢?笔者认为,也不构成。
01
1.订单列表、评价列表数据本身属于账户系统内可以自由浏览、获取的数据,授权用户查看、浏览、获取不属于非法行为
根据调查,登录外卖平台商家中心账户后,在账户系统的左边栏目可以看到各个功能列表,其中订单列表就在“订单管理”下的全部订单中,评价列表就在“顾客管理”下的顾客评价中。这些信息在账户系统内都是公开的,只要点击相关栏目,就会展示该栏目下的所有详细信息。
由此,不言而喻,只要是商家,都有权对这些信息进行自由查看、浏览、获取和利用,不存在非法的问题,因为这是商家购买平台服务、支付佣金理应享有的基本权利。同样,经过商家授权登录、操作的用户,也享有这样的权限,因为在法律中,授权用户实施的行为代表的就是商家的行为。
02
2.从计算机视角来看,订单列表、评价列表所对应的数据接口都是账户系统内公开展示的接口,没有设置另外的技术保护措施,因此,从这些接口中获取数据也不属于规避技术保护措施非法获取数据
事实上,在这类案件中,行为人调用数据的过程并不复杂,这些数据接口和数据内容都可以在浏览器开发者工具的网络调试面板(Network)中找到。在前端页面对应的后端网页数据中,页面中的“Name”表示请求的资源名称或API接口路径,“Preview”显示的就是所有前端页面对应的数据。行为人在调用的过程中,只要请求即响应,返回所有的数据,并不会出现禁止访问(403 Forbidden)或未授权(401 Unauthorized)的情形。并且,外卖平台对这些账户系统内的数据接口都没有设置针对数据抓取的Robot协议,也就是任何人访问这些数据接口,都可以自由接受获取数据。由此,可以看到,对这些数据接口和数据内容,外卖平台账户系统并没有设置额外的技术保护措施,任何有权进入账户系统的人都可以浏览和获取,因此,也就不存在规避技术保护措施非法获取数据的问题。
三、此类行为的本质是帮助商家登录并分析定位差评信息的行为,该行为只违反平台关于评价的业务规则,涉嫌民事或行政违法,但不违反计算机犯罪中所要求的“国家规定”,不构成犯罪
应该看到,行为人的行为并不是一点问题都没有,但有问题的行为并不一定都是犯罪。那么,这类行为在性质上是否达到了犯罪的性质呢?由于行为人的行为与商家的行为密切相关,因此,需要厘清各自的行为本质,才能准确评价其法律性质。
01
1.商家将管理账号在外卖平台之外的软件登录并用于分析定位差评信息,违反与外卖公司签订的协议,属于违约行为
根据商家与平台签订的协议,一般都会约定商家的管理账号仅能在外卖商家中心登录,商家不得将其出租(借)、转让或者用作其他用途。同时,协议也会约定,商家应在外卖平台诚信经营,不得从事违反诚信的行为(包括但不限于虚假交易、诱导/伪造反馈或评价、唆使/诱导用户改变真实评价、滥用平台服务保障……)。因此,商家将自己的管理账号绑定在行为人的软件进行登录,并通过软件分析出来的差评信息,用于联系用户改变差评评价,涉嫌违反上述协议条款,属于违约行为。根据协议约定,外卖平台有权对商家采取警告、排序降权、下线、扣除商家结算款等相应的处理措施。
02
2. 因行为人不是协议的相对方,并不受商家与平台之间协议的约束,其帮助商家登录账户系统的行为并不违反相关法律法规,在法律上仅是无效行为
根据基本的法律原理,协议仅约束签订协议的有关主体,不约束与协议无关的第三方,因此,不能将商家与平台签订的协议条款直接适用于行为人。在这类案件中,商家用行为人的软件登录可能违反账号登录的协议约定,涉嫌违约并可能承担违约责任。但对于行为人帮助商家登录的这一行为,只会因商家与平台之间的违约而无效,属于无效行为,并不违反相关法律法规,更不会直接成为违法犯罪行为。就像甲将自己的房子出租给乙,并且约定乙不得转租,现乙擅自转租给丙。在法律上,导致的结果是乙与丙的转租行为无效,乙违约,但丙并不违约违法。
03
3.行为人登录账户后分析定位差评信息的行为,属于违反外卖平台业务规则分析数据的妨害业务行为,只涉嫌民事或行政违法
应该看到,外卖平台为了防止商家直接联系差评用户,会对账户系统内的用户订单信息和评价信息进行分别展示,从而防止两者之间的关联匹配。商家为了自己的评分,有联系用户改变差评的需求,在联系用户之前首先需要定位差评用户,行为人正是通过自己的软件帮助商家分析订单信息和评价信息的关联关系,从而定位差评用户。
从中可以看到,不让商家定位差评用户可以说是外卖平台设置的有关于评价的业务规则。因此,被告人利用软件技术帮助商家分析定位差评信息则可以认为违反了该业务规则。但在法律上,违反业务规则分析数据的行为属于妨害业务的行为,仅涉嫌违反《反不正当竞争法》第12条,属于民事或行政违法行为。
这里特别主要说明的是,对订单信息和差评信息进行分别展示的业务防护措施,不属于计算机信息系统安全保护措施。根据上述,计算机信息系统安全保护措施的功能目的是为了保护系统和数据的安全,防止未经授权的侵入和获取数据,而该业务防护措施是为了防止评价主体与评价信息的关联,防止商家打扰客户,两者的功能性质不一样,不能混淆认定。因此,在此类案件中,行为人即使规避了该业务防护措施,也不能认为是避开或突破计算机信息系统安全保护措施,未经授权侵入并获取数据的非法获取计算机信息系统数据行为。
04
4.行为人帮助商家登录分析定位差评信息的行为,在构成要件上不符合犯罪所要求的“违反国家规定”,不构成非法获取计算信息系统数据罪和其他计算机类犯罪
非法获取计算机信息系统数据罪中的“非法性”体现在“违反国家规定”。根据《刑法》第96条的规定,“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”刑法之所以这样规定,是为了防止一般的违法行为上升为犯罪行为,不当的扩大犯罪圈。同时,也为了防止违约、违规行为上升为违法甚至犯罪行为。
就行为人帮助商家登录分析定位差评信息的行为而言,其行为事实上仅仅违反外卖平台自身设定的关于评价体系的业务规则。该业务规则在性质上属于私人企业主体设置的内部规则,并且从规则设定过程看,一直都在变化。由此,违反这样的平台业务规则并不直接违反法律,并且远远达不到犯罪所要求的“违反国家规定”的程度。因此,行为人的行为性质也不符合刑法所要求的非法的程度,不构成非法获取计算信息系统数据罪和其他计算机类犯罪。
总之,通过对事实和法律的深入分析,可以发现行为人的行为实质是:帮助商家登录外卖平台的账户系统,并通过获取账户系统内的订单数据、评价数据分析定位用户的差评信息给商家使用的行为。在登录账户的过程中,因经过账户权利人商家的授权,符合系统的身份校验措施,因此行为人不属于未经授权侵入计算机信息系统。登录账户系统后,因订单列表、评价列表数据本身属于账户系统内可以自由浏览、获取的数据,系统并未对数据接口设置技术保护措施,因此行为人也不属于未经授权非法获取计算机信息系统数据。在获取数据后,行为人通过技术手段分析、比对,定位用户差评信息的行为,涉嫌违反外卖平台关于评价机制设置的业务规则,但不违反国家规定。因此,行为人的行为整体上只涉嫌民事或行政违法,而不构成刑事犯罪。
点赞在看
感谢关注
原创文章 转载请注明出处
作者简介
周立波,刑法学博士、博士后,浙江厚启律师事务所副主任、网络犯罪辩护部主任;浙江财经大学东方学院法律系副主任;浙江省律协刑委会网络犯罪研究中心副主任;浙江省法学会刑法学研究会理事;浙江省法学会诉讼法学研究会理事;浙江省法学会律师法学研究会理事;浙江省法学会案例法学研究会理事;浙江省法学会监察法学研究会理事;浙江省法学会金融法学研究会常务理事;浙江省律师协会刑法专业委员会委员;杭州市律师协会刑法专业委员会专家顾问;杭州市网络犯罪研究中心学术委员会委员;中共宁波市奉化区委区政府智库成员;中共海宁市人大常委会法律监督专家。
从事律师工作以来,先后办理众多疑难复杂刑事案件,经验丰富、效果显著,办案成功率高。尤其擅长办理各类新型疑难复杂案件,在网络犯罪、经济犯罪领域办案成效显著。其中,众多案件获无罪撤案、不予逮捕、无罪不起诉、重罪改轻罪、重刑改轻刑、缓刑等处理。
执业同时为高校法学教师,主讲《刑法学》《刑事辩护》《刑事经典案例研习》《经济法学》等课程。曾在浙江省海宁市人民法院挂职,任刑庭助理审判员。多次接受《浙江法制报》《都市快报》“澎湃新闻”等新闻媒体采访。在《华东政法大学学报》《法治研究》《浙江律师》等法学类、律师类核心期刊发表论文20余篇,在各类网站、微信公号发表高质量时事评论类文章50余篇,是一名理论功底深厚、实务经验丰富的学者型律师。
穷尽一切法律手段
维护当事人的自由与尊严
公众号:houqilawyer
官网:www.houqilawyer.com
邮箱:houqilawyer@163.com
地址:浙江省杭州市余杭塘路515号莱茵矩阵国际3号楼7层
浙江厚启律师事务所简介
厚积薄发,启行千里。
浙江厚启律师事务所成立于2015年9月1日,是一家以商事犯罪辩护与商事法律服务为特色的合伙制律所。
厚启所的业务领域包括:金融犯罪辩护与金融法务、税收犯罪辩护与税收法务、数字网络犯罪辩护与数字网络法务、食环药犯罪辩护与食环药法务、知识产权犯罪辩护与知识产权法务、职务犯罪辩护、普通犯罪辩护、刑事控告与代理、刑事民事行政交叉事务、企业合规与反舞弊等。
厚启的使命,是“为维护人的自由与尊严而优雅地战斗”。财产、精神、人身与生命的自由,是人之为人的核心权利,是人维持尊严的底线要求。厚启律师的核心使命,是在法律服务中,以法律骑士的精神,穷尽一切法律手段为当事人争取权利,以维护其自由与尊严。
厚启的愿景,是打造一家“学术为基、技能为本、规模适度、辐射全国的精品所”。厚启律师注重学术研究,精研法律技术,不追求最大的规模与最高的收费,力求以最专业的服务为当事人谋取最大的法律利益。
厚启的价值观,是“专业精神、道德勇气与社会担当”。厚启律师将专业作为立所之本,精益求精,不断锤炼;厚启律师恪守职业伦理,为维护当事人的法律利益勇于坚持原则;厚启律师积极承担社会责任,以委托案件标准办理法律援助案件,通过公益课程与原创成果的无私分享,促进法律服务行业水准的提升。