天津武清“快应用”案第一案基本概况
近日,我机构代理了天津武清警方查处的一起“快应用”涉嫌非法控制计算机信息系统罪案件(全国首例)。本案事实主要集中于涉案快应用存在的在启动、推送及数据收集过程中的违规行为,包括“无感暗拉”、违规推送及《隐私协议》提供方式瑕疵,而对于该类违规情况如何认定成为了争议焦点。事实上,本案中的行为模式在实践中并不罕见,一些以互联网广告为主要营收来源的快应用,利用其权限高,安装便捷等优势,往往采取无感暗拉的方式,跳过《隐私协议》对用户进行定向广告推送,属于典型的“黑灰产”类业务。本文将以该案为基础,结合本案公安机关的侦查方向,剖析类案情形应当采取何种辩护策略。
公安机关的侦查方向 本案中,公安机关的侦查方向主要集中于以下几个方面: 1、非法控制计算机信息系统罪的侦查要点 (1)非法控制与无感暗拉 本案中,涉案快应用在启动过程中涉及“无感暗拉”。所谓“无感暗拉”,是指拉起方未向用户明示,使用户在并不清楚或并不完全清楚链接内容的情况下,点击链接,关联启动了相关应用。根据《移动智能终端应用软件预置和分发管理暂行规定》第五条以及《APP用户权益保护测评规范 自启动和关联启动行为》3a)中的规定,未向用户明示,未经用户同意,且使用场景不合理的,不应启动或关联启动其他APP。因此,司法机关认为,此类未经用户许可而拉起相关快应用的行为,涉嫌对于计算机信息系统的非法控制。 (2)非法控制与定向推送 与“无感暗拉”的情形类似,涉案快应用在定向推送的过程中,未以《隐私协议》或其他形式向用户明示,获得推送的授权。依据《APP用户权益保护测评规范定向推送》中的相关规定,定向推送需向用户明示,并提供退出选项,以此明确用户的授权。因此,公安机关认为,在未经用户明确授权的情况下,通过系统向用户进行推送的行为属于“非法控制”。 2、非法获取计算机信息系统数据罪的侦查要点 本案中,涉案的快运用在被拉起后,会存在向用户系统调用接口获取特定的APP list等系统数据的行为。如前所述,司法机关认为,该数据采集行为在用户授权不明的情况下,属于对于计算机信息系统中数据的非法获取。 3、侵犯公民个人信息罪的侦查要点 从两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对于非法获取公民个人信息行为的界定中可以得出,公民个人信息的非法获取实质上包括了应用软件未经用户同意或违反必要原则收集用户信息的行为。 而如上文中所提到,涉案快应用未以明示方式向用户提供《隐私协议》,因此,在其数据采集过程中,若数据中涉个人信息部分达到了“识别性”要求,则可认定为采集个人信息,进而涉嫌侵犯公民个人信息罪。 辩护要点
在解析具体的辩护要点之前,有必要厘清“侵入”以“非法控制”。
所谓“侵入”,是指通过终端设备对他人的计算机信息系统进行非法访问,或者对其进行数据截收的行为,其形式上表现为避开、突破计算机信息系统安全保护措施;所谓“非法控制计算机信息系统”,是指通过各种技术手段使他人计算机信息系统处于行为人的掌控之中,接受行为人发出的指令,完成相应的操作活动。结合《办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(本文简称《危害计算机信息系统司法解释》)第二条的规定,无论是非法获取信息系统数据中的“侵入”,还是“非法控制”,两行为之前提都是“潜入”,也即在未授权或超越授权的情形下进入相关的计算机信息系统。因此,对于非法获取信息系统数据中的“侵入”以及“非法控制”行为判断的出发点在于“未经授权或超越授权”。
针对于公安机关就本案的侦查方向以及实践中对于快应用技术的模糊理解,在本案的情形中,有如下辩护要点:
1、无感暗拉的违规要素及责任主体
截至目前,快应用的拉起主要通过两种方式:其一,通过Deeplink,在网页端点击链接拉起快应用;其二,通过URL跳转,在原生APP或其他APP投放链接或渠道,用户通过点击进入快应用。在此过程中,网页主体及APP系拉起方,快应用则是作为被拉起方。诚然,涉案快应用涉及“无感暗拉”,用户并不知晓第三方快应用将被启动,因此可能涉及剥夺了用户对于手机端是否开启快应用的控制权。但快应用作为被拉起方,就“无感暗拉”的情形,并不应被认定为“非法控制”。原因有二:
其一,拉起方是快应用关联启动告知的责任主体。在正常的应用场景中,拉起方直接面对着用户,因此能够进行明确告知从而避免“未授权”之风险,而快应用作为被拉起的一方是无法向用户直接告知启动内容的。因此,就关联启动的关系而言,承担告知义务的主体是拉起方,也即链接所在的网页主体或者APP,而非被拉起方。故而,由于“授权”的获得与否并不能由作为被拉起方的快应用实现,并不属于快应用的义务范畴。因此,不能以快应用启动时存在“无感暗拉”违规而追责于快应用主体非法控制计算机信息系统。
其二,无论是基于何种拉起模式,用户的点击才是快应用最终启动的直接因素。虽然涉及“无感暗拉”,但实际上并不存在用户未点击或强制用户点击以启动快应用的情形。也即,快应用启动过程中的无感暗拉背后,依然必须要有用户的点击行为,该点击行为是快应用权限的起点。即使在快应用的启动过程中存在诱导,甚至欺骗的行为,但仅涉嫌行政违规,其行为性质远不及“使他人计算机信息系统处于行为人的掌控之中”,不应认定属于非法控制计算机信息系统罪。
2、明确定向推送的权限来源及业务流程
快应用的“定向推送”是另一个涉嫌“非法控制”的行为。作为系统级应用,快应用有进行定向推送的需求,若按照一般的APP定向推送的规范逻辑判断,快应用在进行定向推送时,未能向用户明示并获得同意,存在非法获取推送控制权的问题。然而,剖析快应用推送的业务流程便不难发现,其定向推送是在具备权限的情况下进行的。
一方面,需要明确的是,快应用由于未能如一般APP一样具有相对独立的生态体系,因此其需要依附于其他的应用来实现相应功能。目前为止,快应用进行推送都必须通过快应用中心来调用接口完成。而能够通过快应用中心调取接口完成推送的前置条件便是经过审核,成功上架快应用中心;另一方面,快应用中心内置于手机的应用商城之中,其权限来自于应用商城,而应用商城作为预装应用必不可少的需要具备相应的权限,且该权限的获取在手机的开机协议中已向用户进行明示并获取同意。基于此,快应用的定向推送系基于预装应用的系统权限,依赖于快应用底层的系统,通过快应用中心完成的。
因此,可以确认的是,快应用在成功上架之后,便获取了向用户进行定向推送的权限。该权限一直存在,在用户通过点击激活后,快应用按权限实现其推送。因此,快应用的定向推送系具备授权的行为,不应当被认定为“非法控制”。事实上,正是由于快应用在轻便快捷的同时,具备了预装系统层级的权限,因而受到了许多应用开发者青睐。而使快应用具备预装系统层级的权限是技术设定上的逻辑使然,以此认定其“非法控制计算机信息系统”难以成立。
3、隐私协议的有效性瑕疵并不等于“侵入”计算机信息系统或对于用户个人信息的非法获取
向用户收集个人信息需要用户授权同意,通常情形下需要通过隐私协议的形式向用户明示告知并且确定用户授权。本案中,涉案快应用在隐私协议的提供方式上存在一定的瑕疵,但不能因此认定其“侵入”计算机信息系统非法获取数据或对于用户个人信息的非法获取。
其一,如上文中提到,快应用在通过厂商审核上架后,依托于快应用中心具备了调用系统接口的权限,在用户打开后,快应用便可依照其获得的权限进行一般的数据采集活动。因此,对于快应用而言,其采集数据的权限“自始”有之,不能将其认定为刑法规范中的“侵入”。
其二,快应用中的《隐私协议》未以明示的方式弹出,确为违规行为。但在本案中,快应用所采集的系APP list,设备识别号等系统数据,无法单独或相互结合识别特定的个人,不属于公民个人信息,也因此无需用户特定授权,故,快应用《隐私协议》提供上的瑕疵并不属于侵犯公民个人信息的行为。
4、即便认为因隐私协议有效性获取数据行为非法,但相关情节亦属显著轻微,不应作犯罪处理
退一步而言,即使认为由于隐私协议的有效性问题,快应用的数据获取行为涉及刑事违法,但相关情节亦属显著轻微,社会危害性小,不应作为犯罪处理。
其一,就行为对象而言,如前所述,行为人所获取的数据是系统数据,相关获取的数据并无特定的数据价值,且由于获得的数据无法独立或与其他信息相结合,识别为特定的个人,因此不具有“识别性”,亦不属于侵犯公民个人信息罪所保护的对象。
其二,就因果关系而言,即便认为涉案快应用获取用户的系统数据的行为涉嫌违法的,但本案中,数据的取得仅仅是出于对推送行为的优化,或者是进行必要的用户标识,行为人并未因此类数据的获取而取得非法获利,用户也未遭受损失。也即,对于行为人而言,其获利与否同数据的取得之间并无因果关系。因此,涉案快应用获取数据的违规行为不符合非法获取计算机信息系统数据罪的追责要素,社会危害性不大。
5、结合企业合规治理试点及非公经济保护寻求合规整改空间
快应用诞生于2018年,由多家手机厂商牵头设计,属于新技术应用。对于快应用的发展,法律显示出了滞后性的一面。直至目前,相关管理规范依旧不明,这也间接导致了企业经营中部分违规的存在。如上文所述,涉案快应用在关联启动、定向推送以及数据采集方面的不规范情形,不应将其认定为“非法获取计算机信息系统数据、非法控制计算机信息系统罪”,更谈不上“侵犯公民个人信息罪”,依据客观情形,至多涉嫌“拒不履行信息网络安全管理义务罪”。对于拒不履行信息网络安全管理义务罪而言,其审查思路上设置了给予相关主体在特定条件下可得出罪的法律利益。在此前提下,结合企业刑事合规试点政策积极争取通过合规整改方案,换取对于相关责任人的不批捕、不起诉,是应当引起重视的辩护方向。
结语——网络黑灰产的达摩克里斯之剑 正如专题研究第一篇所提到的,快应用是技术发展的产物,催生自手机运营厂商的自救运动和创新运动,能够使用户在无需下载的前提下,依旧便利的获得与一般APP同等的应用体验。不可否认的是,从应用规范角度,快应用所存在的诸多违规的行为,徘徊于刑事违法的边缘,即便可能构成犯罪,但依据罪刑法定原则,在刑法认定上也一定程度上 “无所适从”。然而,风险的存在是不可忽视的,相关快应用的启动、推送和数据获取的行为确实与一般的技术标准以及规范意义上厂商应当履行的告知披露义务有着很大的违背,相关的快应用厂商依然此负有对于其违规行为进行整改之责任。如若不然,拒不履行信息网络安全管理义务罪将成为悬在快应用头上的达摩克里斯之剑。因此,相关的快用企业有必要尽早地完善自己的运营流程,做到进一步的合规,避免陷入刑事风险的泥潭。而对于如何有效的规避刑事风险,保障快应用合法合规落地,将在本系列下篇文章中进行分享,敬请期待。 作者:上海靖予霖律师事务所、网络犯罪研究与辩护部主任 陈沛文;上海靖予霖(天津)律师事务所、专职律师 宋飞杨
