周立波：規避驗證碼、IP檢測技術措施的登錄行為不構成非法侵入計算機信息系統

厚積薄發

啟行千里

案例簡介：

A平臺屬于大型網絡外賣平臺，商家可以入駐該平臺從事外賣經營活動。根據平臺入駐協議，商家在A外賣平臺擁有管理賬號，該管理賬號對應唯一一組用戶名和密碼，是商家登錄平臺進行各種操作的唯一憑證。現商家為經營活動的方便，找到第三方公司，將賬號密碼給第三方公司，并用其開發的軟件自動登錄管理賬號進行操作。在軟件自動登錄的過程中會觸發A平臺設置的圖形、滑塊驗證和動態IP檢測，第三方公司為了能頻繁自動登錄，通過連接價碼平臺和購買IP代理池的方式規避平臺設置的圖形、滑塊驗證和IP檢測措施。本案第三方公司使用軟件自動登錄商家賬號的行為是否構成非法侵入計算機信息系統？

應該看到，上述案例中，第三方公司有明顯的規避網站平臺設置的技術措施的行為，但同時在登錄商家賬號系統的過程中也經過了商家的授權，那么，該行為到底屬不屬于刑法中規定的非法侵入計算機信息系統的行為，在司法實踐中引起了較大爭議。

此類行為既涉及新型的計算機知識，又涉及專業的法律條文，還涉及刑民交叉，容易混淆。筆者試結合技術、法律和行業規則，對這一問題進行探析，以為司法實踐進行準確認定提供參考。

1

計算機犯罪中“侵入”的本質是未經授權訪問計算機信息系統，其中“未經授權”是指采用技術等手段規避授權主體的身份驗證措施，進而獲得非法訪問權限。

計算機領域中的“侵入”與現實領域中的“侵入”并無本質不同，其是指未經授權主體授權訪問計算機信息系統，如同侵入住宅中的未經戶主同意進入戶主房間。不同的是表現形式，因為在計算機網絡中，不可能是直接的物理主體（人）去訪問系統，而是通過代表人的相關憑證去訪問，也即用戶的賬號密碼等身份憑證。而賬號密碼系統就是計算機領域中為校驗是否授權而設置的身份驗證系統。在計算機中，經過授權主體同意登錄的即視為授權登錄，未經授權主體同意登錄的即視為未經授權的“侵入”。未經授權侵入就是采用技術等手段規避授權主體的身份驗證措施，進而獲得非法訪問的權限。如行為人通過技術手段破解賬號密碼進入或者通過盜取、騙取賬號密碼進行登錄，都是未經授權主體同意的典型的侵入行為。

2

不是所有的技術保護措施都是與“授權”有關的安全保護措施，只有避開或突破與系統“授權”有關的技術保護措施，才能認定為未經授權侵入計算機信息系統。

應該看到，計算機信息系統是由不同功能代碼所組成的集合。系統權利人出于各種目的會在計算機信息系統中設置各種技術措施，目的不一樣，功能性質就不一樣。如為了保護系統的操作權限和系統內數據的安全，防止他人未經授權的侵入，系統會設置身份驗證措施；又如，為了防止系統遭受彈窗廣告的侵擾，優化瀏覽效果，系統會設置廣告屏蔽措施，等等。應該看到，規避這些不同技術措施的行為，在法律性質的認定上當然也不一樣。比如，采用技術手段規避系統對廣告設置的屏蔽措施的行為，盡管也會違背系統權利人的意愿，但不屬于未經授權侵入計算機信息系統。

只有避開或突破與計算機信息系統“授權”有關的技術保護措施，才能認為未經授權侵入計算機信息系統。在上述案例中，與商家賬戶系統“授權”有關的技術保護措施，就是A平臺在登錄過程中設置的賬號密碼、手機號等身份驗證措施。如果第三方公司規避這些技術保護措施登錄商家賬戶，則毫無疑問可以認為侵入了本案的計算機信息系統。例如，通過上述講到的偽造賬號密碼、“撞庫”等技術手段突破登錄或者盜取、騙取商家的賬號密碼進行非法登錄，都可以認為未經授權侵入計算機信息系統。但根據上述，第三方公司的行為并未避開或突破上述與“授權”有關的身份驗證措施，反而是經過商家提供的賬號密碼進行了授權登錄。

3

圖形、滑塊驗證的人機區分措施和動態IP檢測的反爬蟲措施在計算機中都屬于限流措施，而不是身份驗證措施，與系統授權無關，即使避開或突破這些限流措施，也不屬于未經授權侵入商家的賬戶系統。

在計算機中，圖形驗證、滑塊驗證屬于人機區分措施，動態IP檢測措施可以認為是一種反爬蟲措施。其中，“驗證碼”的全稱為“全自動區分計算機和人類的圖靈測試”，這一測試的目的在于通過智能測試區分人與計算機程序。常見的驗證碼類型包括文本驗證碼、圖像驗證碼、滑塊驗證碼、拼圖驗證碼等。“動態IP檢測”是系統檢測是否有同一網絡地址（IP）在短時間內頻繁訪問，通過IP地址請求的訪問頻率來辨別是計算機程序還是人類用戶。

根據現有網絡安全標準和行業規則，人機區分措施和反爬蟲措施的主要功能是區分操作者是否為人類，而非驗證特定個體的身份，是為了限流而非身份識別。它們不是身份驗證因素，而是一種訪問控制門檻或速率限制機制，是為了防止高頻訪問。它們本身不包含任何與特定用戶身份綁定的信息，也無法確認用戶的合法身份。由此，這些人機區分措施和反爬蟲措施并不直接校驗授權主體的身份，與賬戶系統權利人的“授權”無關。準確而言，這些措施是A平臺設置的對用戶訪問的限流措施，而不是用戶有無訪問權限的身份驗證措施。

應該看到，在登錄的過程中，如果沒有正確的賬號和密碼，軟件不會直接登錄商家的賬戶系統，當然也就不會 “侵入”計算機信息系統。即使軟件避開圖形、滑塊驗證和IP檢測等限流措施，在之后并沒有什么系統被侵入。事實上，真正決定是否未經授權“侵入”的是賬號密碼、手機號等身份驗證措施。因此，上述案例中，規避人機區分措施或反爬蟲措施，但通過賬號密碼授權登錄賬戶系統的行為，不屬于未經授權侵入計算機信息系統。

綜上，在對計算機領域中的各種行為進行法律定性時，不能脫離技術原理和行業規則。對實施的各種計算機行為，應結合其功能目的認定其法律性質。在認定非法侵入計算機信息系統行為的過程中，不能只看是否規避了計算機中設置的技術保護措施，而應從本質上考察是否規避與“授權”有關的身份驗證措施，從而未經授權獲取計算機信息系統的訪問權限。不能將規避限流措施的“高頻訪問”行為錯誤地認定為非法侵入系統的行為。法律人應該以技術事實的精準還原為基礎，以法律構成要件的精細拆解為核心，準確認定各種新型疑難復雜的計算機類犯罪案件。

感謝關注

原創文章 轉載請注明出處

作者簡介

周立波，刑法學博士、博士后，浙江厚啟律師事務所副主任、網絡犯罪辯護部主任；浙江財經大學東方學院法律系副主任；浙江省律協刑委會網絡犯罪研究中心副主任；浙江省法學會刑法學研究會理事；浙江省法學會訴訟法學研究會理事；浙江省法學會律師法學研究會理事；浙江省法學會案例法學研究會理事；浙江省法學會監察法學研究會理事；浙江省法學會金融法學研究會常務理事；浙江省律師協會刑法專業委員會委員；杭州市律師協會刑法專業委員會專家顧問；杭州市網絡犯罪研究中心學術委員會委員；中共寧波市奉化區委區政府智庫成員；中共海寧市人大常委會法律監督專家。

從事律師工作以來，先后辦理眾多疑難復雜刑事案件，經驗豐富、效果顯著，辦案成功率高。尤其擅長辦理各類新型疑難復雜案件，在網絡犯罪、經濟犯罪領域辦案成效顯著。其中，眾多案件獲無罪撤案、不予逮捕、無罪不起訴、重罪改輕罪、重刑改輕刑、緩刑等處理。

執業同時為高校法學教師，主講《刑法學》《刑事辯護》《刑事經典案例研習》《經濟法學》等課程。曾在浙江省海寧市人民法院掛職，任刑庭助理審判員。多次接受《浙江法制報》《都市快報》“澎湃新聞”等新聞媒體采訪。在《華東政法大學學報》《法治研究》《浙江律師》等法學類、律師類核心期刊發表論文20余篇，在各類網站、微信公號發表高質量時事評論類文章50余篇，是一名理論功底深厚、實務經驗豐富的學者型律師。

窮盡一切法律手段

維護當事人的自由與尊嚴

電話：0571-86898968

公眾號：houqilawyer

官網：www.houqilawyer.com

郵箱：houqilawyer@163.com

地址：浙江省杭州市余杭塘路515號萊茵矩陣國際3號樓7層

浙江厚啟律師事務所簡介

厚積薄發，啟行千里。

浙江厚啟律師事務所成立于2015年9月1日，是一家以商事犯罪辯護與商事法律服務為特色的合伙制律所。

厚啟所的業務領域包括：金融犯罪辯護與金融法務、稅收犯罪辯護與稅收法務、數字網絡犯罪辯護與數字網絡法務、食環藥犯罪辯護與食環藥法務、知識產權犯罪辯護與知識產權法務、職務犯罪辯護、普通犯罪辯護、刑事控告與代理、刑事民事行政交叉事務、企業合規與反舞弊等。

厚啟的使命，是“為維護人的自由與尊嚴而優雅地戰斗”。財產、精神、人身與生命的自由，是人之為人的核心權利，是人維持尊嚴的底線要求。厚啟律師的核心使命，是在法律服務中，以法律騎士的精神，窮盡一切法律手段為當事人爭取權利，以維護其自由與尊嚴。

厚啟的愿景，是打造一家“學術為基、技能為本、規模適度、輻射全國的精品所”。厚啟律師注重學術研究，精研法律技術，不追求最大的規模與最高的收費，力求以最專業的服務為當事人謀取最大的法律利益。

厚啟的價值觀，是“專業精神、道德勇氣與社會擔當”。厚啟律師將專業作為立所之本，精益求精，不斷錘煉；厚啟律師恪守職業倫理，為維護當事人的法律利益勇于堅持原則；厚啟律師積極承擔社會責任，以委托案件標準辦理法律援助案件，通過公益課程與原創成果的無私分享，促進法律服務行業水準的提升。