百科问答小站 logo
百科问答小站 font logo



打卡作弊软件非法获利 500 万,CEO 被判 5 年半,为什么提供「虚拟定位」会被判这么久? 第1页

        

user avatar   wang-wei-lin-1 网友的相关建议: 
      

为什么?

因为它纳的税实在太多了。


user avatar   xue-quang 网友的相关建议: 
      

这里有个关键的问题,私人拥有的手机,其中数据的支配权到底归属于谁?

排除手机由单位配发,产权归属单位,且明确禁止员工修改手机配置的特殊情形。通常情况下,手机归属员工个人所有,由手机生成、存储的数据,除非法律另有规定,手机所有者当然拥有绝对的支配权。是否向某个软件提供(包括但不限于定位数据,也包括手机的其他一切不专属于特定软件的数据),何时提供,提供什么内容的数据,决定权在手机所有者本人。

本案,“受害”计算机信息系统(钉钉客户端和服务器)接收到的定位数据,完全是手机所有者出于本人意愿向其提供的。智能手机(含操作系统、定位硬件、数据接口,以及手机上运行的其他软件等)本身,不应仅因手机所有者被迫安装了钉钉客户端软件,就被认为是钉钉系统的组成部分,变得神圣不可侵犯。钉钉客户端本身的代码和数据,以及上传至服务器的数据,在涉案软件运行过程中,未受任何篡改。而且,钉钉打卡,也从来都不是公众普遍认知中的手机主要功能。

因此,本案不应构成破坏计算机信息系统罪。

基于相同理由,本案亦不构成帮助犯正犯化的提供侵入、非法控制计算机信息系统程序、工具罪。

更进一步,由于本案并未提及任何安装涉案软件的手机所有者因“打卡舞弊”被追究刑事责任,本案被告,不构成相关犯罪的帮助犯。

至于手机所有者可能违反与第三方(企业)订立的其他合同(劳动合同),致钉钉系统的运行结果不能满足部分(付费企业)用户的需求,在法律没有特别规定,或者手机所有者没有因为使用涉案软件被普遍追究刑事责任的情况下,不能突破合同的相对性,更不能违背刑法的谦抑性,由涉案软件开发者承担任何责任。只能由企业,向违约的手机所有者追责,而且,通常情况下的举证责任应当由企业承担。

顺便,如果,作为钉钉关联方的购物、支付平台,擅自向第三方企业直接提供购买记录作为证据的,一定是非法证据。

---------------第一次补充的分割线-------------

集中补充几点:

1.钉钉系统的边界在哪里?

一个员工未被企业录用,并强制安装钉钉客户端之前,他已经拥有了一个“计算机信息系统”,也就是他自己的智能手机,手机所有者对其拥有绝对的支配权。我想,这个系统的功能,理所当然的不包含“钉钉打卡”。

当他被某企业录用,并强制安装钉钉客户端后,原本归属员工所有的计算机信息系统,并不会因为安装钉钉客户端,或者运行钉钉客户端,就变成钉钉系统的一部分。

钉钉客户端,在手机中的存在,仅仅是暂存于手机存储空间中的各类文件,运行时临时写入内存的数据,以及通过网络与服务器通讯的双向数据流。这正是钉钉客户端受到保护的边界。

相对于阿里的钉钉系统,手机所有者对手机这个“计算机信息系统”本身,包含一切硬件、操作系统、其他软件,依然拥有绝对支配权。

钉钉系统,与手机系统,不应有高低贵贱之分。

而钉钉客户端,由于其“寄生”在手机中,在手机系统中,仅处于从属地位。


2.钉钉客户端的功能究竟应该是什么?

法院认为,钉钉系统的功能包括“获取用户真实地理位置”。这一功能描述,尤其是“真实”的概念,过于偏向钉钉。这个认定,可能构成整个判决最大的一处突破口。

实际上,在保护隐私的主流舆论压力下,各大手机(操作系统)厂家,都在系统层面,让手机所有者有权决定特定app是否可以取得手机实际地理位置,甚至可以经手机所有者授权,向特定app提供虚假地理位置,或是经过干扰的地理位置。

尤其需要强调,这些安全策略,每一项,都是带有“针对性”的。某一应用程序,可能受“歧视”,也可能受“优待”,完全取决于手机所有者的主观意志。具体应用程序,以及本后的开发者、运营者,没有资格要求手机系统一碗水端平。因此,所谓针对性,绝不等价于“恶意”。

这些功能长期、普遍、公开、且合法的存在,“获取用户真实地理位置”与之存在矛盾,不应理所当然的成为一个计算机信息系统的功能,并随之受法律当然的保护。钉钉系统,只能向手机系统发出取得地理位置的请求,并由手机所有者最终决定,是否作出“施舍”。而且,该决定是随时可以单方修改、撤销的。

个人认为:钉钉系统与打卡相关的功能,应当描述为:1.从用户手机操作系统的指定接口读取地理信息数据(以及wifi数据及照片);2.观测用户手机“环境”;3.根据企业标准判断环境“真伪”;4.上传“打卡”结果。

当功能1取得了数据,且功能2获得的“环境”外观,经功能3判断为“非沙盒的真手机”,则钉钉系统通过功能4向服务器作出相应通报,打卡完成。

“获取用户‘真实’地理位置”(并通报企业HR),应视为钉钉系统运营商向付费企业承诺的合同义务。


3.什么样的行为构成对系统的“攻击”?涉案软件跟游戏外挂有什么区别?

定义对钉钉系统的攻击,物理范围,应局限于第一条描述的钉钉客户端的边界,影响的功能,也应限于第二条描述的钉钉客户端的四条功能。(不考虑对服务器端的攻击)

因此,基于手机所有者的意志,经由安装在手机内的涉案软件,通过手机操作系统特定接口,向在手机中处于从属地位的钉钉客户端提供满足其功能1、功能2需要的数据,无论数据真伪,均不能视为对钉钉系统的攻击。

针对钉钉系统,合理的攻击应该是:破坏功能3,钉钉客户端失去根据企业标准判断真伪的能力,输出结果一律为真;破坏功能4,无视功能3的结论强行上传打卡结果。

游戏外挂,实际上已经侵犯了网游客户端的“边界”,修改游戏程序或内存中的数据,而且将修改后的数据上传至服务器,将其视为破坏计算机信息系统是没有疑问的。与本案,有着天壤之别。


4.如果钉钉用户协议要求用户必须向钉钉授权提供“真实”地理位置呢?

从用户安装涉案软件,运行,并指令其向钉钉施加干扰时,该授权,已经因用户的实际行动,被单方默示取消了。

如果有人怀疑该默示取消的效力,可以试想一下,钉钉去法院,诉请法院判决用户恢复授权,并申请法院强制执行。。。。。


---------------第二次补充的分割线-------------

关于诉讼,再补充几点

如果一审判决书没有“遗漏”被告人及其辩护人的关键主张,被告人一方否认“针对性”的存在,进而不得不全案放弃认罪认罚,令人遗憾。

个人认为,证明针对性存在的证据已经足够充足,辩护人在阅卷的过程中是应该可以发现的。

更合理的辩护策略,应是证明这种针对并非破坏,完全是基于软件用户作为手机所有者,对自己享有的计算机信息系统的合理处分。钉钉系统要求手机系统提供“真实位置”,并作为自己的“功能”要求法律加以保护,不合理。

然后,另一位辩护人,提供常规辩护,调整罪名,审查量刑证据,被告人自己承认公诉机关指控事实(不需要承认罪名),认罚,也许能取得更好的结果。

审判过程,如果陷入公诉机关(背后自然是“受害人”)的思维模式,在浩瀚的技术细节中挖掘自己的无罪证据,死路一条


user avatar   turing-73 网友的相关建议: 
      

(课代表@达达 同学做了简单的概括,需要太长不看版的同学可以去热评区寻找。)

查了下裁判文书,我看明白了,问题不在“虚拟定位”上,阿里的法务部有一手的。(鉴于今天还有人来杠,不得不把重点提到前面来:提供虚拟定位,不违法;干扰商业软件理论上合理的内建模块并以此盈利,违法。)

我们来看看判决书里展示的证据和最后的判决意见,还是比较清楚的,我以我仅有的一点点计算机和法律知识,给大家梳理下为啥会得出这么个结果:

(图源北京法院审判信息网,案号(2020)京0108刑初450)

红框部分,属于经过审理得到的简要事实。可以看到,在审理意见中,海淀法院认为大牛助手“破坏钉钉系统获取用户真实地理位置的功能”,换句话说,海淀法院认为钉钉获取用户真实地理位置的功能是受保护的,且大牛的行为构成了破坏。原因我们接下来从证言中找。

证言1是被告本人,这里张超杰是强调他没有改变其它APP的源代码。然而正是这个认识,为他留下了致命的漏洞。

证言2提供了两个信息。其一,用户用这款软件的目的就是打卡作弊,用户是知道的,公司也是知道的;其二,软件提供的打卡位置确实是假的。

证言3、4、5、7、8没啥好说的,无非是进一步表示公司上下都知道这软件是收费虚拟打卡位置的。

证言6比较关键,但不完全关键。这条证言提供的信息是软件如何生效。简单来讲就是每个软件分配一个沙盒,这个功能太简单了,单独拿出来不应当是犯法的。但是有些措辞,比如“拦截”、“反馈”等等,体现了大牛和钉钉的交互,这和后面的其它证言(包括司法鉴定和原告律师陈述)叠加在一起,对法官产生了重要影响,毕竟法官不懂技术。

证言9、10、11、12也没啥好说的,和上面一样,都是表明全公司(包括被告)都知道这个软件的主要作用是虚拟位置去打卡,用户也确实主要用这个软件去虚拟位置打卡,(所以)公司也专门为此做了测试和维护。(题外话,证言9有个彩蛋,大牛的数据还是跑在阿里云上的,呃……)

证言13,非常关键。虽然证人看起来像是技术人员,但绝不是技术人员。他说的同样句句属实,而且确实是信息安全中的常用术语,但是结合证言6,很容易给审判员留下“一攻一防”的印象。“绕过保镖模块”“劫持平行检测接口”,这说的是啥呢?就是钉钉为了避免阿猫阿狗随随便便都能虚构位置打卡,构建了一个模块来检查运行环境,理论上来说这确实是一个相当常见的正常的防御型模块,然而也是钉钉完全内建的、被动的、特有的检测模块,用的貌似是钉钉自己运行时正常产生的数据来检测;从技术上来讲,这使得任何以欺骗为目的向这个完全内循环的模块输入数据的行为都符合注入式攻击的定义。而大牛有目的的欺骗这个模块,所以可以被认定为为进行攻击了(说实话我甚至觉得这个模块的法律意义比技术意义更大,就是用来坐实“能绕过钉钉的都是针对钉钉的”)。接下来是真正的杀招,听起来像是扣着法条打出来的:首先表明,“考勤打卡是钉钉的独特功能”,表示这就是软件本身的工作目的,把获得真实定位的行为合理化;进一步的,指出大牛助手是在“干扰”这一正常功能的正常运作,这个指控可以说是图穷匕见;最后补上一刀,再次强调大牛助手通过干扰钉钉实现了盈利。这一段证言,在技术上没有任何问题,但是身份仅写了一个“员工”,其可能并不是真正的技术人员,而可能是专职的法务、运营或者外宣人员。(另外需要注意的是,本案为刑事案件,也就是公诉案件,原告应该是检察院,所以这个证人基本可以视为钉钉的意见代表)。

证言14,司法鉴定书。基本两层意思,一层是中立性质的,鉴定大牛确实可以虚拟定位;另一层是定性的,而且耐人寻味:它提到了“钉钉服务器”,说明在该案中,钉钉的服务器也被视为“钉钉”这一计算机系统的构成部分(理论上说的通,服务端和客户端共同构成系统嘛),并且“获取真实位置”被定义成“功能”,结合上文,打卡需要获取定位确实是合理功能,而且钉钉的用户协议里多半还有找补

证言15就是一些涉及经营的合规性文件,不重要。

最终的审判意见是成立。原因是被告开发大牛确实就是用来干扰钉钉的,并且获得了盈利

结合所依据的法条和司法解释分析一下:

刑法286,破坏计算机信息系统罪。证言13中的“干扰”赫然在列(看到没有,并不是不改源代码就没有问题!被告人吃亏就吃亏在这儿了),而且结合双方证词和司法鉴定结果,若“获取真实定位”是整个“钉钉系统(包括各软硬件实体)”的功能,那么提供虚拟定位确实是干扰行为没错;

进一步的,上面的证言都佐证,

1.大牛的模拟定位确实对钉钉有针对性的干扰,而且和“钉钉”这一整个“系统”进行了攻防,且是攻方。

2.大牛的用户也确实有目的的下载大牛并为干扰钉钉付费。

3.大牛公司上下对这些情况全是知情的。

司法解释里的“专门设计用于”也对上了,有这么详细的证言、通信证据和用户画像,就算装傻一口咬定不是针对钉钉是为了维护用户隐私也说不通。

最后,传播和盈利,获利达500万……妥妥的“后果特别严重”。

这下完蛋,主客观相统一,所有构成要件都齐活儿了。


现在的几个争议,也可以用上述信息加以回答:

1.钉钉获得用户的真实定位是否合理?

获得真实定位被认定为是钉钉用来实现打卡功能的子功能,所以法院认为是合理的。

2.钉钉是否有权获得用户真实定位?

钉钉当然无权强制获取用户定位……不过要用这个功能的是你用户呀,用户当然可以不让钉钉采集信息呀,不用这个功能就行了呀,后果自负呗!

反正钉钉在从来没人看的用户协议里多半把窟窿都填上啦,用了这个功能,那用户自然是同意的呀,这不就有权啦?

(马政经里说:“被……有两个条件:首先他们必须是自由的;而且必须自由得一无所有。”)

(众所周知,法律面前人人平等,无论贫富,都有享受高档晚宴的权利,都会因睡桥洞而受到处罚。)

3.用户是否有权模拟自己的定位?

用户当然有权模拟自己的定位,但“针对钉钉模拟定位”,则显然是有目的的干扰行为。

4.用户是否有权干扰钉钉?

法无禁止即可为。没有严重后果的干扰不在法律规定中,不具备相关罪名的全部构成要件,不构成犯罪。

5.手机里的数据是不是自己的?

理论上确实是自己的——然而不妨碍用户在和“计算机信息系统”的交互过程中,提交模拟影响“正常”功能实现的行为被视作“干扰”。

6.钉钉的打卡怎么会被看做正常功能?!

按理论上来讲,打卡当然是正常功能……根据地点打卡自然也是正常功能……公务员事业单位国企也是要打卡的……

然而人家打卡965工作场合,你打卡007随时随地,那也不是打卡和打卡工具的责任,对吧?你去找老板啊,去找劳动局啊,谁让你卷呢~(手动狗头)

7.那获罪的不应该是用户吗???

怎么说呢,通俗点讲,法院认为大牛这个软件不是既能做菜又能砍人的菜刀(工具),而是纯粹用来砍人的砍刀(武器)。原因是刀匠做刀的时候就在以砍人为使用场景做刀,刀匠也知道买家要用它去砍人,但还是做了。区别之处在于,千千万万用户和刀匠都满足“干扰(破坏)”这个要件,但所有的单个用户都不满足“严重后果”这个要件,只有刀匠满足了。所以最后获罪的只有刀匠。


另:其实这个案子比评论区里的朋友们想的要复杂一点,因为这是个刑事案件,也就是公诉案件,原告是公诉机关(也就是检察院)代表国家提起诉讼……大家可以先了解一下刑事公诉案件和民事案件的区别再开脑洞……以及摆脱大家先仔细看看分析原文……


不过这只是一审,被告还有上诉机会,如果有厉害的律师或者专家证人,又或者碰到风格宽松的审判员,还是有改判可能的,观望吧。(我个人是不太喜欢钉钉的,这个回答是帮大家梳理一下为啥这么判,直接回答本来的问题……)


user avatar   yi-zhi-zhu-ding-lou 网友的相关建议: 
      

这事主要是破坏了资本家对员工上班时间地点的监控!

往小了说,老板的支配欲被软件愚弄了,影响人上人的体验。

往大了说,破坏996氛围,拖慢了国家崛起。

这可不得判刑嘛!

判得好,我觉得判得太轻了!


user avatar   zhang-ya-dong-2 网友的相关建议: 
      

-------------------------- 2021-10-13 新增 --------------------------


[15:59] 新增:杠就是你对,不管提供空白数据还是虚假数据,只要提供了数据,且数据不是系统默认方式从传感器解析出来真实位置就是篡改,别杠,杠就是你对。

------

按照钉钉的逻辑, MIUI 的空白通行证功能(虚拟身份ID)就是为了“破坏计算机系统”而生的,为什么钉钉不去告呢?

来看看小米对空白通行证的功能解释:

空白通行证
不给权限,APP也能用
在过去的应用使用过程中,存在“不授权某权限就无法使用”的情况,而对部分恶意应用进行授权敏感权限是非常危险的行为,为解决此类问题,MIUI 12 提供了“空白通行证”功能。
若您不希望向应用提供读取联系人、 读取短信、读取通话记录及读取日历中的真实信息,可设置该开启该应用的空白通行证功能,系统在对应用授权的同时,将返回空信息给应用,解决必要权限授权问题的同时,又能保护您的个人信息。

—— 摘自 小米隐私

看看,是不是和问题中的软件具有类似的功能,返回的是空白信息。还不止定位呢。算不算非法篡改?

当然

@小米公司 @雷军 @卢伟冰 出来解释解释, @钉钉服务 试试去把 @小米公司 @雷军 也一起告了吧,他们的非法所得高了去了。

@小米公司 @雷军 注意 @钉钉服务 的坐牢警告哦。


-------------------------- 原回复 --------------------------

不知道为什么要判这么久,但是我知道如果按照这个逻辑,绝大部分虚拟机软件以及沙盒软件应当被禁止使用。

具体原因参考本案判决结果。

让一个肚子没货,不懂装懂的人来裁决他能力范围之外的事情才是悲哀。(不知道有没有利益交换)


user avatar   qian-qian-60-7-10 网友的相关建议: 
      

其实这个案子的关键就在于“非法获利”。什么样的“获利”是属于“非法”的?很简单,它违反了现行法律法规,或者是游走在灰色地带但是可预见的对社会会造成一定程度的危害的,那么就会被关注,被处理。

就像不少答主提到的:小米也返回空白信息,是不是也违法啊 ?

对,说起来是没错,提供虚拟定位服务的机构并不少,甚至MIUI系统直接就可以跳过对位置信息的读取而提供空白位置信息给App,以保证用户的正常使用。

那为什么别的软件或者机构都没事,只有这个软件被处罚了?

其实明眼人能看出来,一个获利一个不获利,区别大着呢

当年微信社群那么多项目,当微信要做企业号的时候,顺手就把那些软件全部干掉了。

那些软件也没有对微信进行注入或者破坏啊

答案只有一个,非法盈利。

只要非法盈利了,微信可以管也可以不管,但是一管一个准。

在软件范围你拿别人的知识产权获利就是不允许。打个比方,黄牛违法不违法?黄牛可是没干涉卖票啊。

但是为什么黄牛是不被许可的呢?

或者,再举个例子,淘宝上卖以“应付检查”为关键词的消防喷头,这些喷头本身违不违法?你要说它是用来做影视道具的,那一点问题都没有。但是它打着“应付检查”的旗号,吧从一开始的出发点就错了。你抱着不单纯的目的来进行这些行为,肯定是不值得鼓励的,但是现行法律之中,与这种“虚拟定位”的行为能够对应上的,也只有一个破坏计算机信息系统罪了。

所以,我认为,不用去讨论这种行为是不是真的破坏了计算机信息系统,也不用去纠结它究竟是损害了谁的利益,钉钉或者企业微信,甚至陌陌也好,都不是重点,重点是这种行为不值得提倡——今天你为了上班摸鱼或者是上课划水,危害当然是微乎其微的,但是这种行为如果成为常态,或者说成为默认的潜规则,那问题就会接踵而至。别的不说,就说这类软件要是被用于逃避公安系统的追踪或者是用于其他非法行为,那到时候再来禁止,难度和损失都会大得多,不如在尚有苗头的时候,找一个“非法牟利”的App,直接处理,以正视听。



思考事物本质是一种学习方式,持续分享接地气的知识观点,欢迎关注 @不正经的图个拉底


user avatar   si-wang-54 网友的相关建议: 
      

这个问题恰好就是那个“为什么律师在群众眼里很少以正面形象出现?”的答案。


user avatar   wan-li-dao-16 网友的相关建议: 
      

你们也别在这儿愤愤不平了,一切都怪疫情,这不是胡说八道,听我分析。

这人2019年5月31日被抓,这时候离疫情爆发还有七八个月。这种复杂的案子一般是这种流程:37天逮捕,然后就是3个月的检察院阶段,一般复杂的案子为了慎重起见肯定会被检察院打回公安补充侦查,打回一次大概两三个月,好像是能补充个三次,越复杂补充的次数越多,这就得快一年了。然后才是进入法院起诉。

也就是说,等到快要起诉的时候正好疫情来了,全国大停业,什么都停了。这样就在将近一年的基础上又增加了一年的羁押时间。好,到现在已经关了两年了。

然后开庭审理还的几个月,这就已经关了两三年了,这时候如果要判的轻了或者无罪你们觉得可能吗?

换成你,你来办这事儿,你会怎么弄?这就像客人要了一个中杯咖啡,你给人倒了一大杯,等你发现的时候客人已经喝上了。这时候怎么办?还能倒回去吗?就将就着让人家喝完吧!


user avatar   chi-ban-zan-san-lang 网友的相关建议: 
      

还行吧。

按照刑法第一百零五条来说还算从轻了,毕竟法定刑十年以上呢。


user avatar   jack-dong 网友的相关建议: 
      

不清楚“大牛助手”app具体工作流程,但是安卓开发者模式里是允许虚拟定位的,并允许开发和使用GPS模拟位置应用,这在安卓官方文档里是认可的。

配置设备上的开发者选项 | Android 开发者 | Android Developers

选择模拟位置信息应用:使用此选项可以模拟设备的 GPS 位置,以测试您的应用在其他位置时行为是否相同。如需使用此选项,请下载并安装 GPS 模拟位置应用。

再来看我国破坏“计算机信息系统罪”的定义:

第286条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第1款的规定处罚。

所以这里有个关键点,如果该软件调用的是安卓本身提供的合法接口,那么是否可以定义为“删除、修改、增加、干扰”计算机系统呢?

但如果反过来,未经用户允许擅自封禁该接口,阻止模拟定位功能,就很符合删除、修改、增加、干扰”计算机系统,并“造成计算机系统不能正常运行”了。




        

相关话题

  上海一游客录像时手机掉落水池,水獭在饲养员的指示下潜入水中帮忙捡回,为什么水獭可以这么聪明? 
  如何看待孙宇晨花费1.5亿买比特币护盘,判断接下来市场的走向? 
  如何看待滴滴一技术总监受贿 1000 万被移交公安机关事件? 
  如何看待演员王一博车辆被装追踪器,2 名女粉丝被刑拘? 
  如何看待聊城冒名顶替上学者被撤职,其同事却称「举报者做得太绝」? 
  你们父亲节都送什么呀? 
  宠物狗咬伤孩子后遭家长摔死,双方各执一词,谁应对此负责? 
  ECC内存和普通内存差别有多大? 
  如何看待肺炎期间在外地租的房子回不去,却还要交房租的问题? 
  为什么上海没有 BAT? 

前一个讨论
如何看待艺术家为讽刺严重的粮食浪费,花 20 万用 500 克黄金制千粒米扔黄浦江?
下一个讨论
如何看待法国总统马克龙将发起一场全球范围内的废除死刑运动?





© 2024-12-22 - tinynew.org. All Rights Reserved.
© 2024-12-22 - tinynew.org. 保留所有权利