半岛全站app辩护词精选丨周立波：非法获取计算机信息系统数据案无

　　1.此辩护词中的无罪辩护意见被法院采纳，详情可联系作者。2.辩护词供学习、交流、探讨使用，不得用于其他用途。3.为保护个人隐私，文中当事人为化名。

　　公诉人指控的罪名是非法获取计算机信息系统数据罪。那么，什么是非法获取计算机信息系统数据罪？根据刑法的规定，非法获取计算机信息系统数据罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的行为。

　　再进一步根据相关司法解释的规定[1]，非法获取计算机信息系统数据罪客观上表现为：避开或突破计算机信息系统安全保护措施，未经授权或者超越授权获取该计算机信息系统数据的行为。

　　要构成这个罪，必须符合三个条件：一是行为模式是一种获取数据的行为，而不是其他数据处理行为；二是获取的是计算机信息系统权利人的数据，而不是其他人的数据；三是获取数据必须是非法的，并且应该达到刑事违法的程度。只有这三个条件全部符合才能构成本罪。

　　也即本案的行为性质问题，到底是“获取”数据行为，还是其他数据处理行为？如果不是“获取”数据，那么也就不构成非法获取计算机信息系统数据罪。

　　应该看到，在计算机中处理数据的行为有很多，有访问、识别、加载、浏览、收集、传输、获取、保存等等。刑法规定了非法获取计算机信息系统数据罪，但遗憾的是，对于什么是“获取”数据行为，法律并没有做进一步的解释。这也是造成本案争议的原因之一。

　　根据常理，因为本罪是一个典型的计算机罪名，是由技术规范上升到法律规范的罪名。所以在理解刑法意义上的“获取”行为时，就应该回到它的技术本源。因此，我们需要看一看在技术上、计算机上是如何理解“获取”数据这个行为概念的。

　　我们恰好找到了这样一个国际标准，关于《信息技术-安全技术-电子数据识别、收集、获取和保存指南》[2]，其中对于“获取”（acquisition）数据有一个明确的界定。所谓的“获取”是指：在特定的数据集合中进行数据副本创建的过程。并且，为了怕大家不能很好地理解“获取”的含义，它又加了一条注释。这条注释进一步明确，“获取的内容是对于拟获取的数据信息的备份”，在英文版的表述中用的是“copy”，也就拷贝、复制。也就是从技术角度而言，“获取”数据就是创建数据副本的过程，是复制、备份数据的行为。比如我进入你的电脑，把你的一份机密文档给拷贝出来，这就是典型的获取数据行为。

　　那么在法律上，是不是也是这样理解“获取”数据行为呢？虽然目前的法律没有对“获取”数据行为直接进行界定，但事实上在相关的法律法规中对“获取”的这一含义进行了确认。近年来我们为了应对网络犯罪的取证问题，出台了多个有关电子数据的收集、提取规定，典型的如2016年两高一部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》。其中，对于电子数据的收集、提取等取证行为，客观上就是一个“获取”数据的行为。对电子数据的取证，它的核心行为就是数据镜像的制作，包括在线提取、远程提取等都是对原来已经存在的数据的备份制作，而且强调要保存原始介质。应该看到，在程序法上为了收集电子数据进行的取证，就是在获取数据，并且这个过程就是一个数据副本的创建过程。由此，将 “获取”数据理解为对数据的复制、备份也可以在法律中得到印证。

　　因此，虽然我们刑法和司法解释没有对“获取”数据的行为性质作更进一步的解释，但根据“获取”的技术本义，和其他法律法规对“获取”的同义理解和应用，“获取”数据的含义应是复制、备份数据的行为，其需要创建数据副本，并将其取得、得到。“获取”数据行为需要与其他“识别、加载、浏览”等数据处理行为进行区分，其含义是对数据的备份、取得，而不仅仅是识别、看到。

　　回到本案，公诉人指控的是被告人的XX播放器向百度公司数据库服务器发送请求信息，从而“获取”了视频流地址数据。但根据之前我们提交的App运行原理演示视频，可以清楚的看到，这些视频流地址数据是访问请求视频播放时产生的交互数据，在登录百度网盘后对其进行了一个加载、浏览（并且在登录前与登录后加载浏览的原理是一样的），而不是对原始视频数据的一个复制、备份。具体而言，被告人的XX播放器并没有将原始视频数据复制、备份到自己的服务器或本地文件。事实上，如果关闭视频播放页面，这些视频流地址数据会同步消失，也表明其没有复制、备份下来，没有获取、取得这些数据。

　　由此，本案对这些视频流地址数据而言，不是一个“获取”行为，而仅仅是一个“访问、浏览”行为，不是一个“获取”数据行为，而是一个其他的数据处理行为。

　　也即本案中涉案的到底是什么数据？这个数据的权属到底是属于谁的？有没有对其侵犯？如果这个数据的权属不属于百度的，也就无所谓对百度公司数据权益的侵犯，也就不构成犯罪。

　　应该看到，视频流地址数据对应的是背后的视频数据。在计算机中，如果没有对应的视频数据，单纯的视频流地址数据没有任何意义。比如，分享视频的用户把这个视频给删除了，就不会有视频流地址数据，但反过来，把视频流地址数据给删除了，不会影响视频数据的存在。由此，在权属上视频流地址数据是依附于视频数据而存在的。

　　回到本案，不得不注意的一个问题是：XX播放器用户观看的视频是百度网盘用户公开分享出来的视频，在权属上是属于用户的，其对应的视频数据也是用户的，而不是百度网盘的。百度网盘在服务协议条款1.1中也明确约定：“百度网盘是信息存储空间平台，其本身不直接上传、提供内容，对用户传输内容不做任何修改或编辑。”这也表明，用户上传的公开分享的视频（视频数据）在权属上与百度网盘无关。

　　对于用户访问百度网盘视频产生的视频流地址数据，是任何网络访问浏览行为都会产生的交互数据。而且根据用户访问时间的不同，访问工具的不同，每一次的交互数据也不一样。事实上，这些视频流地址数据不仅在权属上依附于对应的视频数据，而且也不完全是百度网盘单独产生的，而是与用户的访问行为交互后共同产生的。单就视频流地址数据而言，其权属也不仅仅是百度网盘的。

　　应该看到，XX播放器用户看百度网盘视频，主要是为了看视频（视频数据），而不是为了看视频流地址数据。由此，从数据权益保护角度而言，如果要说被告人的行为侵犯了数据权益，那么也是对百度网盘用户分享的“视频数据”权益的侵犯，而不是对“视频流地址数据”权益的侵犯。但值得注意的是，这些视频是网盘用户公开分享出来的，是希望他人来看的，也就是放弃了视频权限，也就不存在被告人对该“视频数据”权益的侵犯。由此，本案事实上没有对真正的、核心的数据权利人的数据权益进行了侵犯。

　　也即本案的行为到底属不属于非法？有没有达到刑事违法的程度？这也是本案最为复杂的一个问题之一。

　　首先，我们要明确非法与违规、违约含义之间的区别。违规、违约不等于非法。特别是，不能把毛估估的、感觉有问题的行为直接认定为非法行为，这是我们常犯的错误之一。就像，我们不能把本案批量买卖账号的行为随意地认定为非法[3]。其次，非法获取数据罪中的“非法”，非的还不是一般的法，而是刑法明确要求必须达到“违反国家规定”的程度。这也是为了防止将一般的民事违法行为当作刑事犯罪来进行错误打击。再次，根据司法解释的规定，本罪中的非法，在客观上主要表现为：避开或突破计算机信息系统安全保护措施，在未经授权或超越授权的情况下去获取数据。

　　第一点：根据公诉人的指控，本案被告人的XX播放器的“非法性”主要体现在伪装成百度用户，在没有真实登录百度网盘的情况下，向百度网盘服务器发送请求信息……。但本案是否真的就像公诉人所描述的可以构成“非法”？

　　公诉人认为没有真实登录，但事实上，用户在使用XX播放器的过程中是登录了百度网盘，否则也无法访问浏览网盘视频。关于登录问题，第一份辩护意见已经进行了详细说明，也即根据百度网盘的登录方式（这也是很多其他网站登录的通用方式），其登录大致可以分为两种：一种是手动登录，即通过输入注册的账号、密码进行点击登录；另一种就是在第一次登录后利用浏览器的cookie信息进行自动登录。自动登录省去了手动点击输入的麻烦，在登录各类网站账户时是一种常见现象。百度网盘本身在《隐私政策》条款中也明确允许cookie这种自动登录方式。[4]回到本案，被告人事实上是用cookie自动登录的方式登录了百度网盘，而不是公诉人所说的“没有登录百度网盘”。准确来讲，被告人不是没有登录百度网盘，而只是没有手动登录；不是没有真实登录，而只是，不是原来的注册用户登录。

　　其次，根据上述，本案登录过程中存在的问题主要是：登录的不是原注册账户人，而是使用XX播放器的非注册用户，也就是公诉人所描述的“伪装的百度用户”去登录。但这一行为是否“非法”？

　　对于这一点，需要说明的是，本来被告人用于登录百度网盘的账号cookie信息都是他人注册的真实有效的账户信息，虽然是购买过来的，但在性质上仍然是线]应该看到，根据百度网盘的服务协议[6]，这一行为确实违反了其中的账号使用条款，也就是“非初始申请注册人不得使用百度网盘账号”。但同时也应该看到，违反这种《百度网盘服务协议》，仅仅是违反个人之间的协议约定，而不是违反国家规定。暂且不说这种单方协议本身是否合理，即使违反，也达不到违反法律的程度。根据《百度网盘服务协议》的约定[7]，用户如违反这些承诺保证，其可以做出警告、屏蔽、取消资格、封禁账号、停止服务的处理。这才是与这一违约行为相匹配的惩戒措施。并且在法律上，违反协议产生的责任，也仅仅是承担民事责任。

　　由此，使用非初始申请注册人的账号cookie信息去登录，只是违反百度网盘服务协议，最多只是一个违约行为，而不是非法行为。

　　第二点：即使认为被告人的登录过程属于鉴定意见中所说的“突破了百度网盘需要登录并转存之后才能观看完整视频的服务策略”，但突破这种策略是不是就是本罪所要求的“突破计算机信息系统安全保护措施，未经授权去获取该系统中的数据“呢？这也是本案的争议焦点之一。

　　关于这一点的判断，首先，需要明确“计算机信息系统安全保护措施”的含义。不言而喻，这一措施本质上是一个安保措施，属于一种防御性措施，目的是为了保障计算机信息系统和数据的安全。如我们个人银行账户设置的账号密码是一种典型的安全保护措施，可以保护个人银行账户系统内资金的安全。需要注意的是，计算机系统也有各种其他措施，如服务措施、管理措施等，不能把计算机当中设置的其他措施认定为是计算机信息系统安全保护措施。

　　其次，需要明确“百度网盘设置的登录并转存才能观看完整视频的策略”的性质，也就是其是不是一种保护百度网盘系统本身和系统内数据的安全保护措施？辩护人认为，这一策略措施，本质上不是百度网盘系统的安全保护措施，而只是一种用户管理措施，或收看视频的服务策略[8]。具体而言，百度网盘设置的这种登录、转存策略的目的，不是为了保护登录进去之后百度网盘系统内数据的安全，而是为了检验用户是否有资格享受百度网盘提供的服务，也就是本案当中用户是不是能完整地观看在百度网盘内其他用户分享出来的视频。这里需要特别注意的是，不能把账号密码登录系统都简单的认定为信息系统安全保护措施。同样的账号密码登录系统，对百度网盘的个人用户而言，确实是个人账户的安全保护措施，但对百度网盘而言，其只是管理用户的登记措施。也即这一登录系统对百度网盘而言，主要是为了验证用户是否是百度用户，更多的是为落实实名制要求或记录用户行为，甚至仅是为让用户在访问前阅读《用户协议》或《隐私政策》从而或豁免自己的法律风险，这样的系统措施，就不属于安保措施。[9]

　　总之，百度网盘设置的这种登录转存策略，性质上是一种用户管理措施或服务策。