如何看待大牛助手APP因涉嫌犯破坏计算机信息罪，开发者张某获刑5年6个月? 第1页

1 2

xue-quang 网友的相关建议:

这里有个关键的问题，私人拥有的手机，其中数据的支配权到底归属于谁？

排除手机由单位配发，产权归属单位，且明确禁止员工修改手机配置的特殊情形。通常情况下，手机归属员工个人所有，由手机生成、存储的数据，除非法律另有规定，手机所有者当然拥有绝对的支配权。是否向某个软件提供（定位数据），何时提供，提供什么内容的数据，决定权在手机所有者本人。

本案，“受害”计算机信息系统（钉钉客户端和服务器）接收到的定位数据，完全是手机所有者出于本人意愿向其提供的。智能手机（含操作系统、定位硬件、数据接口，以及手机上运行的其他软件等）本身，不应仅因手机所有者被迫安装了钉钉客户端软件，就被认为是钉钉系统的组成部分，变得神圣不可侵犯。钉钉客户端本身的代码和数据，以及上传至服务器的数据，在涉案软件运行过程中，未受任何篡改。而且，钉钉打卡，也从来都不是公众普遍认知中的手机主要功能。

因此，本案不应构成破坏计算机信息系统罪。

基于相同理由，本案亦不构成帮助犯正犯化的提供侵入、非法控制计算机信息系统程序、工具罪。

更进一步，由于本案并未提及任何安装涉案软件的手机所有者因“打卡舞弊”被追究刑事责任，本案被告，不构成相关犯罪的帮助犯。

至于手机所有者可能违反与第三方（企业）订立的其他合同（劳动合同），致钉钉系统的运行结果不能满足部分（付费企业）用户的需求，在法律没有特别规定，或者手机所有者没有因为使用涉案软件被普遍追究行政、刑事责任的情况下，不能突破合同的相对性，更不能违背刑法的谦抑性，由涉案软件开发者承担任何责任。只能由企业，向违约的手机所有者追责，而且，通常情况下的举证责任应当由企业承担。

顺便，如果，作为钉钉关联方的购物、支付平台，擅自向第三方企业直接提供购买记录作为证据的，一定是非法证据。

关于诉讼，再补充几点

如果一审判决书没有“遗漏”被告人及其辩护人的关键主张，被告人一方否认针对性的存在，进而不得不全案放弃认罪认罚，令人遗憾。

个人认为，证明针对性存在的证据已经足够充足，辩护人在阅卷的过程中是应该可以发现的。

更合理的辩护策略，应是证明这种针对并非破坏，完全是基于软件用户作为手机所有者，对自己享有的计算机信息系统的合理处分。钉钉系统要求手机系统提供“真实位置”，并作为自己的“功能”要求法律加以保护，不合理。

然后，另一位辩护人，提供常规辩护，调整罪名，审查量刑证据，被告人自己承认公诉机关指控事实（不需要承认罪名），认罚，也许能取得更好的结果。

审判过程，如果陷入公诉机关（背后自然是“受害人”）的思维模式，在浩瀚的技术细节中挖掘自己的无罪证据，死路一条。

集中补充几点：

1.钉钉系统的边界在哪里？

一个员工未被企业录用，并强制安装钉钉客户端之前，他已经拥有了一个“计算机信息系统”，也就是他自己的智能手机，手机所有者对其拥有绝对的支配权。我想，这个系统的功能，理所当然的不包含“钉钉打卡”。

当他被某企业录用，并强制安装钉钉客户端后，原本归属员工所有的计算机信息系统，并不会因为安装钉钉客户端，或者运行钉钉客户端，就变成钉钉系统的一部分。

钉钉客户端，在手机中的存在，仅仅是暂存于手机存储空间中的各类文件，运行时临时写入内存的数据，以及通过网络与服务器通讯的双向数据流。这正是钉钉客户端受到保护的边界。

相对于阿里的钉钉系统，手机所有者对手机这个“计算机信息系统”本身，包含一切硬件、操作系统、其他软件，依然拥有绝对支配权。

钉钉系统，与手机系统，不应有高低贵贱之分。

而钉钉客户端，由于其“寄生”在手机中，在手机系统中，仅处于从属地位。

2.钉钉客户端的功能究竟应该是什么？

法院认为，钉钉系统的功能包括“获取用户真实地理位置”。这一功能描述，尤其是“真实”的概念，过于偏向钉钉。这个认定，可能构成整个判决最大的一处突破口。

实际上，在保护隐私的主流舆论压力下，各大手机（操作系统）厂家，都在系统层面，让手机所有者有权决定特定app是否可以取得手机实际地理位置，甚至可以经手机所有者授权，向特定app提供虚假地理位置，或是经过干扰的地理位置。

尤其需要强调，这些安全策略，每一项，都是带有“针对性”的，具体应用程序没有资格要求手机系统一碗水端平。因此，所谓针对性，绝不等价于“恶意”。

这些功能长期、普遍、公开、且合法的存在，“获取用户真实地理位置”与之存在矛盾，不应理所当然的成为一个计算机信息系统的功能，并随之受法律当然的保护。钉钉系统，只能向手机系统发出取得地理位置的请求，并由手机所有者最终决定，是否作出“施舍”。而且，该决定是随时可以单方修改、撤销的。

个人认为：钉钉系统与打卡相关的功能，应当描述为：1.从用户手机操作系统的指定接口读取地理信息数据（以及wifi数据及照片）；2.观测用户手机“环境”；3.根据企业标准判断环境“真伪”；4.上传“打卡”结果。

当功能1取得了数据，且功能2获得的“环境”外观，经功能3判断为“非沙盒的真手机”，则钉钉系统通过功能4向服务器作出相应通报，打卡完成。

“获取用户‘真实’地理位置”（并通报企业HR），应视为钉钉系统运营商向付费企业承诺的合同义务。

3.什么样的行为构成对系统的“攻击”？涉案软件跟游戏外挂有什么区别？

定义对钉钉系统的攻击，物理范围，应局限于第一条描述的钉钉客户端的边界，影响的功能，也应限于第二条描述的钉钉客户端的四条功能。（不考虑对服务器端的攻击）

因此，基于手机所有者的意志，经由安装在手机内的 涉案软件，通过手机操作系统特定接口，向在手机中处于从属地位的钉钉客户端提供满足其功能1、功能2需要的数据，无论数据真伪，均不能视为对钉钉系统的攻击。

针对钉钉系统，合理的攻击应该是：破坏功能3，钉钉客户端失去根据企业标准判断真伪的能力，输出结果一律为真；破坏功能4，无视功能3的结论强行上传打卡结果。

游戏外挂，实际上已经侵犯了网游客户端的“边界”，修改游戏程序或内存中的数据，而且将修改后的数据上传至服务器，将其视为破坏计算机信息系统是没有疑问的。与本案，有着天壤之别。

4.如果钉钉用户协议要求用户必须向钉钉授权提供“真实”地理位置呢？

从用户安装涉案软件，运行，并指令其向钉钉施加干扰时，该授权，已经因用户的实际行动，被单方默示取消了。

如果有人怀疑该默示取消的效力，可以试想一下，钉钉去法院，诉请法院判决用户恢复授权，并申请法院强制执行。。。。。

答案来源：

钉钉打卡作弊软件非法获利500万，CEO被判5年半，为什么提供「虚拟定位」会被判这么久？ - 吃吃睡睡大懒喵的回答 - 知乎 https://www.zhihu.com/question/491806902/answer/2166626753

kasain 网友的相关建议:

补充下裁判文书中的一个细节：

证人周某的证言证实：其是阿里巴巴（中国）有限公司员工。
其公司研发运营的“钉钉”软件系统具有公司日常考勤管理功能，用户可以使用“钉钉”软件进行打卡考勤。
近日，其公司接到“钉钉”软件用户反馈，他们公司员工使用一款叫做“大牛助手”的软件进行“钉钉”打卡作弊。经其公司技术人员对“大牛助手Android系统1．1．1”进行分析，发现该软件绕过了“钉钉”无限安全保镖模块，劫持了“钉钉”平行空间检测接口，当“钉钉”的平行空间检测接口需要获取设备信息时，大牛助手通过重放技术伪造虚假数据，直接向“钉钉”的平行空间检测接口传输虚假数据，造成伪造打卡记录，干扰“钉钉”系统的正常运行。“钉钉”是其公司运营的一款类似于微信的即时聊天软件，是在互联网上使用的，其公司提供服务器支撑，所有的数据传输都是通过互联网系统，用户的手机客户端和其公司的数据服务器之间进行数据交互，从而完成“钉钉”软件的所有功能，该软件的独特功能就是可以进行公司考勤打卡、会议、请销假等企业管理功能。经初步统计，近一年有46 973个买家通过支付宝购买大牛助手的服务，获利2 627 713元，其中匹配“钉钉”软件打卡异常的买家用户7675个，涉及这些用户购买服务的会员费575 497元。

更正：

评论区有朋友指出，公安机关有调取证据的流程。因此，原回答中的内容并不准确，请大家自行判断。

裁判文书原文：

调取证据通知书证实：公安机关就本案向支付宝（中国）网络技术有限公司调取支付宝账号为×××@daniu．net近一年的注册信息、交易记录、转账记录、账户明细等证据材料的情况。

另外好奇一下，大牛助手是不是不支持微信支付？为什么只调取了支付宝的交易信息呢？（狗头）

（以下为原回答）

注意，这段证词是阿里员工提提交给法院的，而不是公检法调查的结果。显然，钉钉（阿里）能够随时调取用户的支付宝购买记录，支付宝（蚂蚁金服）可以配合钉钉给出这些支付宝用户的个人信息，并任由钉钉匹配打卡异常用户。

理论上来说，钉钉与支付宝属于两个公司，用户用支付宝买了什么属于用户隐私，钉钉无权调取。即使是同一家公司，用户敏感信息也不是任何人都能调取的。

当然，公检法机关可以出于办案需要，可以向企业发函，要求企业提供个人信息。但这和企业主动提供信息给公检法不一样。

所以嘛，隐私什么的，根本就不存在的。

ni-qing-zhi-shen 网友的相关建议:

我不得不强答一回了。

大牛助手是通过修改系统环境来达到欺骗钉钉的目的，该软件本身未修改钉钉软件。如果提供虚假环境违法的话，那所有用过虚拟机的人都应该抓去坐牢，开发虚拟机的应该被枪毙。

mr-anderson-69 网友的相关建议:

看了半天，技术方面的事情我不懂，但是做人的道理我是懂的。

好比我女朋友问我在哪，我明明在摸鱼，但我说在加班。她给我喝了顶顶诚实药出门，然后又问我在哪。我只要说话，就一定是实话，但我还是想摸鱼，于是我决定找个配音演员回答我在哪。

然后诚实药厂告这个配音演员制造假药，具体手法是通过配音技术把真药变假药。法院还支持了。真是神逻辑。

这个事情的教训就是：

以后不要用支付宝收款。

而且阿里恶心的地方在于：

他们动用公权来处理商业纠纷！

正常的处理这类事情应该是这样：

1，生意人的解决办法：阿里打电话给大牛，说你这个软件让我回答定位不准了，能不能不要这个功能？然后谈一下条件，花点钱或者其它什么，让钉钉获取正确位置。

2，技术人员的解决办法：阿里钻研技术，让自己不被欺骗。

3，正常人的解决办法：对簿公堂，要求大牛不要让钉钉读不到谷歌或者苹果的位置信息。

但是阿里的解决办法：报案，说这个人是黑客。先把人全抓了，拿到口供，罔顾事实，让人承认自己是黑客。看守所么，你懂的。

其实，所谓黑客改的也是谷歌或者苹果数据，谷歌和苹果是否认为这是黑客行为？

但这个案子从民事变成刑事以后，性质就变了。作为民事案件，谷歌或者苹果不说有黑客，那就没有侵权，阿里管不着。作为刑事安检，受害者谷歌或者苹果是不是吱声，对案件性质没有影响。

但其实也不是不能抗辩。这个修改定位功能是个工具，工具提供了打开和关闭的功能，也提供了选择哪些App会受影响的功能。这就是一个用户自行选择的问题。修改的是苹果谷歌的数据，决定要不要修改的是用户。我造辆车可以拉货，也能撞人，不能说撞了人要车厂负责。

但是程序员懂法吗？他的法律援助律师给力吗？他在看守所能按照自己的想法找律师吗？

斯大林丢了烟斗，让肃反委员会帮忙找找。没一会肃反委员会就抓了80多个人承认偷了斯大林的烟斗而且扔到伏尔加河里找不到了。口供到手，马上审判枪毙一条龙服务。结果委员会拿着结案报告去汇报的时候，发现斯大林正抽着烟斗，他那天只是忘记烟斗放哪了而已。

如果容忍阿里这样搞，早晚有一天我们都时间管理局＋赛博旁克。

不是说苹果谷歌就是好人，最起码人家吃相没那么难看。

18604267541 网友的相关建议:

钉钉根本没有资格要求用户提供真实位置。

简单的通过实际例子来捋一下，大家就能明白了。

情况一：公司提供打卡机（物理实物），放在办公室，员工使用打卡机打卡。这个时候，员工的责任很简单，就是触发打卡机功能就行，不触发或者破坏打卡机，以及代打卡，就是违规的。打卡机自身的正常运转，是公司责任。这个情况，责权利很分明。

情况二：公司为了远程打卡，给员工每个人都提供了打卡终端（即公司买手机安装App发放给员工使用）。这个情况下，员工的责任是正常使用该打卡终端，但是维修维护依然不是员工责任。至于定位是否正常，员工没有义务保障————只要不蓄意破坏就行，至于维持打卡机正常工作，并不是员工的责任。实际上只要员工不是专业修理手机的，也基本没有能力去维护这个设备。

情况三：公司不提供设备，要求员工在个人设备上安装App来打卡（钉钉）。看似普通，但其实越过了一个重要的界限————设备不是公司的，而是员工个人的。这就等于，公司强行征集了一部分属于员工个人物权的cpu、存储、gps模块、电力等资源，类似于集资众筹一般，组成了自己“虚拟打卡机”，把购买打卡机的费用省略了。

滑稽的事情出现了，（1）本来应该公司出钱的打卡机，因为借用员工手机，变成员工出钱了（2）本来应该公司负责维护打卡机工作，移花接木变成员工必须维护手机去迎合打卡功能（3）员工在整个事件中，丧失了一部分物权（手机被征用），然后被强行追加了责任（维护打卡机），竟然变成了只增加负担而不获得任何利益。非常简单的一个“软件代替硬件”的操作，就实现了劳资双方责权边界的大幅度变化，简直比不平等条约还更离谱，说好的责权利对等呢？

如果我们坚持，个人手机是个人物权，打卡功能必须由公司支付。则要么公司额外付钱（给员工买手机专用），要么放弃打卡功能的正常运作————因为用户的私人手机环境，轮不到公司的App去维护。而且用户手机也不能100%满足打卡终端的需求，比如通话拍照都正常，就是gps模块摔坏了，这样的手机用户自己坚持使用也一点都不犯法。所以说，无论在用户须知里面，埋藏多少免责条款，钉钉这种远程打卡功能，都是“无效主张”。正如很多人已经指出的，不可能因为安装了某个App，然后手机就变成App的财物了————手机始终是用户个人的。

简单总结就是，用户手机，并不是公司打卡机，所以没有任何义务，去提供什么准确的定位。想要准确定位，那公司就需要自己出钱出力去维持一个功能完备的打卡终端————而员工的手机，并不是这种终端，没有义务，同时也没有能力去“保证”数据准确性。讽刺的说，员工手机坏了，公司会给修理吗？如果不会的话，又有什么资格，指责手机里面某个功能，妨碍了自己的目标呢？人家手机从来就没有保证过会满足你的目标啊。

在这个case里面，真正有问题的是钉钉的虚假宣传。因为定位不准确，可能造成人在公司却打卡失败，这被视为正常。然而类似的，人不在却打卡成功则被视为错误。这种双标的背后，是钉钉利用管理人员的贪心，来掩盖自己技术方案的缺陷————利用手机根本不可能代替专业打卡机。实质上不但雇员，雇主本身也是受害者。而钉钉不起诉用户而起诉工具，原因也恰恰在此，害怕“技术方案不合格商业模式不成立”这个事实被揭示出来，产品就卖不出去了。实际上多虑了，只要管理者依然沉迷于“少花钱甚至不花钱就能办事儿”，就不存在卖不出去的情况 눈_눈

————蛇足————

这个案例和游戏外挂不同，不能类比。游戏里面的角色等级装备等，都属于游戏厂商，租借给玩家体验的。外挂修改数据相当于“强行索取”不属于自己的东西，当然违法。

本案里面，手机是用户的，位置和APP列表也是用户的，而不属于钉钉。用户不给数据完全正当合理，用任何手段去“实现不给”都无可厚非。用户自己写代码，或者用现成工具，并无本质区别。

这个案例里面唯一可以拿来审理的，就是雇主可以指控员工不遵守公司规章去打卡，除此之外不存在什么案子。

yi-lan-mei 网友的相关建议:

流某开发了一个小工具

专门偷窥人的内裤

人们虽然不愿意，但是碍于一些原因，只好忍了

张某开发了一个小工具

能够让偷窥者看到假的内裤

人们遂想得到张某的小工具来避免偷窥

流某的欲望被一定程度压制干扰

后来张某入狱

流某松了一口气。。。

（借宝地推广一下自己构思的小说，以上就是内容预告，预计2122年推出，敬请期待）

qinlili233 网友的相关建议:

经其公司技术人员对“大牛助手Android系统1．1．1”进行分析，发现该软件绕过了“钉钉”无限安全保镖模块，劫持了“钉钉”平行空间检测接口，当“钉钉”的平行空间检测接口需要获取设备信息时，大牛助手通过重放技术伪造虚假数据，直接向“钉钉”的平行空间检测接口传输虚假数据，造成伪造打卡记录，干扰“钉钉”系统的正常运行。

你阿里就没有一个智商在线的程序员吗？

搞android开发的来澄清一下，这段话说的完全是狗屁

市面上所有的虚拟定位工具，都不会直接向app传输数据

第一，没人知道你在用什么api定位，我不可能精准分析这个app到底使用了什么api在定位，然后直接主动调用回调

第二，没人知道你什么时候才会定位，如果周期性主动回调，兼容性也不会好

虚拟定位工具的原理是当app请求定位时，直接覆盖系统底层本来的返回值

不管是开发者选项里面的模拟位置，还是root甚至xposed级别的hook，核心思路都是去替代返回值

即app调用了定位api，工具覆盖了返回值，系统再把这个被覆盖的返回值返回给app

我认为只要不涉及到修改程序本身的安装包或二进制文件，就无法认定为对该程序产生破坏

众所周知，软件是运行在系统上的，系统也是有可能出bug的

那么系统出bug在api返回了一个错误的结果，和另一个软件通过修改系统在api返回了一个错误的结果，显然对于这个程序而言是没有区别的

同样，使用正常的windows系统和使用linux下的wine运行，对于这个程序而言也应该是没有区别的，虽然运行时不同，但是对于程序的抽象api来说是一样的

在修改系统来实现替换返回值的过程中，真正被修改了的程序只可能是系统，虽然破坏闭源操作系统可能确实会侵犯操作系统开发者的利益，但操作系统开发者出于市场占有等角度考虑一般不会采取法律措施限制此类行为

另外，我也想特别对于开发者强调一下

在不利用漏洞的情况下，下层软件对于上层是绝对无法反抗的

比如硬件-操作系统-浏览器-网页，这个很常见的模型

操作系统无法验证硬件返回的值是否是正确的，比如我把显卡刷bios开核了，操作系统看到的是开核后的型号，而不知道我开核了

浏览器也无法验证操作系统返回的值是否正确，最经典的就是我把系统时间改掉了，浏览器获取到timestamp也变了，但浏览器不知道获取到timestamp是我修改后的时间

网页也无法验证浏览器返回的值是否正确，比如firefox的WEBGL已经很多个版本一直返回所有n卡的设备名称为980ti了，3060也显示980ti，但网页本身无法知道用户到底是不是真的在用980ti

当然，利用漏洞确实可以实现越级控制，比如虚拟机逃逸，但这种操作并不百分百保证可用

你可以适当加一些检测，尝试去阻止部分不正常行为，但永远不要觉得你有办法阻拦一切基于上层修改来实现的不正常行为，因为上层修改真的可以做到完全无法被检测

网友的相关建议:

唯一的问题是作者在里面受益了。

所以正确的姿势应该是：

开源，广泛传播，接受打赏

hu-rui-60-69 网友的相关建议:

没有阅卷，不敢做过多评价。

记得最早使用这种软件是用于微信附近的人，把位置定到大学，就可以找到心仪的姑娘研究诗词歌赋，畅谈人生理想……

如果案件的事实是，被公司强制要求安装钉钉的用户不想钉钉读取他的真实位置信息，于是请来了大牛，模拟虚拟信息让钉钉读取。那么就是钉钉主动读取了模拟的位置数据，而不是大牛入侵干扰了钉钉系统。

如果把钉钉的功能比作一部相机，被老板用来监控员工，那么大牛就是帮员工带了一副面具，这样相机就无法获取清晰的照片，但这种行为无论如何都不能认为是破坏了相机。

如果把钉钉比作违章抓拍探头，那么大牛就是一个车牌遮挡器，它影响的是信号灯的抓拍结果，而不是其功能。

明明是钉钉无能，怎么能怪我老牛狡猾。

xiao-qian-bi-78 网友的相关建议:

海淀区司法的思路我翻译一下：

员工的钉钉数据所有权不在员工手里，在员工所在单位手里

大牛助手直接妨碍了单位获取员工数据，所以侵权了

行，海淀司法口可以的，不愧是北京市，真不怕得罪打工的

如何看待大牛助手APP因涉嫌犯破坏计算机信息罪，开发者张某获刑5年6个月? 的其他答案点击这里

1 2

如何看待大牛助手APP因涉嫌犯破坏计算机信息罪，开发者张某获刑5年6个月? 第1页

你阿里就没有一个智商在线的程序员吗？

搞android开发的来澄清一下，这段话说的完全是狗屁

市面上所有的虚拟定位工具，都不会直接向app传输数据

虚拟定位工具的原理是当app请求定位时，直接覆盖系统底层本来的返回值

我认为只要不涉及到修改程序本身的安装包或二进制文件，就无法认定为对该程序产生破坏

另外，我也想特别对于开发者强调一下

相关话题

前一个讨论

下一个讨论

相关的话题