【老徐说法】老人机也可能中毒！！！

“零成本，无投入，在家玩手机也能躺赚零花钱…… ”

在 QQ 群、朋友圈、微信群，大多数人都看到过这样一条令人心动的广告，童某也不例外。2019年3月，他开始从事这份“兼职”，短短5个月时间，童某利用非法购买的6000余条公民个人信息“薅羊毛”，赚了7万余元。

令人瞠目结舌的是，这些个人信息竟来自于数百万台中“病毒”后被非法控制的老年人手机。近日，一条以侵犯老年人合法权益为犯罪手段的黑灰产业链70余名涉案人员被浙江省绍兴市新昌县人民法院判处刑罚。

_

2019年8月，新昌县的小朱给外婆买了一台老年机，他在网上营业厅给手机换套餐时，发现接收不到验证码，但将电话卡装到自己的手机里，验证码却能正常接收。他怀疑是外婆的老年机被安装了木马病毒， 随即报警。

接警后，新昌警方展开初查。经过检测后，警方发现小朱外婆的老年机被植入了木马程序，验证码被木马程序截获后发往了深圳的一家科技公司。警方还发现这个现象并不是个例，他们相继检测了20多台同款老年机，都发现了相同现象。

鉴于案情重大，绍兴市、新昌县两级公安机关成立了由网安部门牵头的“8·12”侵犯公民个人信息专案组。在查明了整个犯罪团伙的组织框架后，公安机关赶赴深圳将这家科技公司的所有涉案人员“一锅端”。

吴某就是这家公司的负责人。公司在经营中发现老年机使用人数较多，老年人又不熟悉手机操作，套取他们的个人信息更方便、更隐秘。

吴某供述，公司开发了装有木马程序的移植包，与多家老年机主板生产商合作，将移植包植入主板之中。一旦电话卡插入老年机里，木马程序就能获取手机号码等信息，还能自动拦截验证码，传输至后台数据库，也就是所谓的“对码平台”。

公司由专门人员从事对码工作，确保每个验证码和手机号码一致，以便进入下一个流通环节……

数百万条公民个人信息去哪儿了？

令人匪夷所思的是，吴某的公司除了使用少量非法获取的手机号码和验证码自行进行APP注册、刷量获利以外，绝大部分都出售给了像“番薯”平台这样的公民个人信息“批发商”。

这些平台是这条黑色产业链里的重要一环，在“行业”里被称为“接码平台”。他们从吴某这样的公司低价购入个人信息，通过QQ群、微信群加价出售给“薅羊毛”的团伙和个人，从中赚取差价牟利。

一台台老年人手机，一条条手机号码和验证码，公民的个人信息就这样进入了黑市场。再被层层买卖、使用获利，在全国范围内形成了一张非常庞大的犯罪网。

文章开头提到的童某，就是“薅羊毛”的一员，属于犯罪链的最下游。那么这些“薅羊毛”的团伙和个人，又是如何利用这些购买的手机号码和验证码赚钱的呢？

经深入调查发现，这些团体和个人，利用电商平台给新注册的用户发放的优惠券、新人红包，领取后变现换钱；也有一些人通过大量注册账号，在APP中刷点赞数、刷流量赚钱。

诸如此类，“薅羊毛”的形式和手段各式各样、无奇不有。这份兼职，让许多人月入万元不再是梦，吸引力极强。

谁又能意识到，这些人轻松赚大钱的背后，却是数以万计条公民个人信息被非法获取、倒卖、牟利。更可怕的是，吴某在供述中提到，下一步，公司已经准备“进军”儿童电话手表... ...

老年人的合法权益如何得到保障？

通过一台普普通通的老年机，“8·12”专案组竟揪出了一条从最下游的“薅羊毛”团体和个人、到中游二手倒卖公民个人信息并负责接码的中介商、再到上游设计制作木马程序并负责对码的科技公司以及和科技公司合作的主板生产商、手机生产商的庞大犯罪网络。

数百万条老年人个人信息，竟是天天在“裸奔”。老年人的合法权益难以得到有效保障，谁来为它们披上“外衣”？

由于本案涉案人数众多、案情错综复杂，又是属于证据标准较高的新类型犯罪案件，公安机关专案组第一时间商请检察机关提前介入。公安、检察形成打击合力，严把程序、证据、材料、定性“四关”，共同全面梳理案情，对上、中、下游的行为分别研究定性，特别注重收集、固定交易合同、后台服务数据、流水账单、工资清单等客观性证据，为下一步检察机关审查起诉工作奠定扎实基础，确保“一网打尽”所有涉案人员。

2020年6月以来，新昌县检察院以吴某等70余人分别涉嫌非法控制计算机信息系统罪、侵犯公民个人信息罪、诈骗罪，陆续向新昌县人民法院依法提起公诉。

近日，经新昌县人民法院审理认定，通过这些“带病毒”的主板，吴某的公司非法控制老年机达330余万台，获取手机验证码500余万条，出售获利竟有790余万元，受害老年人遍布全国31个省（自治区、直辖市）！

随着“铛”一声，法槌落下。吴某因犯非法控制计算机信息系统罪被判处有期徒刑四年六个月，并处罚金六十万元，违法所得六百一十六万被予以追缴；童某因犯侵犯公民个人信息罪被判处有期徒刑三年，缓刑四年，并处罚金八万元，违法所得七万元被追缴。

法律链接：

一、刑法规定：

第二百八十五条 【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

二、非法侵入计算机信息系统罪，非法获取计算机信息系统数 据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪及其处罚[1]

本条共分四款。

第1款即1997年刑法第285条对违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为及其处罚作了规定。

“计算机信息系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。国家事务、国防建设、尖端科学技术领域的计算机信息系统，涉及国家秘密等事关国家安全等重要事项的信息的处理，应当予以特殊保护。

《中华人民共和国计算机信息系统安全保护条例》第4条规定:“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”

因此，本条第1款规定，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，不论其侵入的动机和目的如何，也不需要在侵入后又实施窃取信息、进行攻击等侵害行为，侵入行为本身即构成犯罪。

本条第1款的规定，体现了对国家事务、国防建设、尖端科学技术领域的计算机信息系统安全的特殊保护。需要说明的一点是，从法定刑的设置看，有本条第1款行为的，最高处3年有期徒刑，有本条第2款行为的，即侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的其他普通计算机信息系统的，最高可以处7年有期徒刑，似乎侵入需要加以特殊保护的国家事务、国防建设、尖端科学技术领域的计算机信息系统，其法定刑还不如侵入这些重要信息系统之外的其他普通计算机信息系统的法定刑高。实际上本条第1款规定的犯罪与第2款规定的犯罪在构成犯罪的条件上具有较大差别。

如上所述，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统犯罪，只要行为人实施了侵入行为，即可构成。而本条第2款规定的犯罪，不仅要有侵入行为，还要有侵入计算机信息系统后从事非法获取计算机信息系统中的信息，或者对计算机信息系统实施非法控制的行为，仅实施侵入行为不构成本罪。

因此，从构成犯罪的条件看，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统犯罪的入罪门槛更低。另一方面，如果行为人侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统后，从事非法获取这些计算机信息系统中存储、处理、传输的信息的，还可能构成窃取、刺探国家秘密罪、间谍罪等严重犯罪，应当依照处罚较重的相关犯罪追究刑事责任，而不再按照本条第1款的规定处罚，因此，其实际适用的刑罚远重于本条第2款规定的刑罚。

第2款对违反国家规定，侵入第1款规定的计算机信息系统之外的其他普通计算机信息系统或者采用其他技术手段，获取该计算机信息系统中的数据，或者对该计算机信息系统实施非法控制的犯罪行为作了规定。根据本款的规定，行为人构成本罪须要同时具备以下条件:

1.行为人实施了非法获取他人计算机信息系统中存储、处理或者传输的数据的行为，或者实施了对他人计算机信息系统进行非法控制的行为。

（1）关于非法获取他人计算机信息系统中存储、处理或者传输的数据的行为。“获取”包括从他人计算机信息系统中窃取，如直接侵入他人计算机信息系统，秘密复制他人存储的信息；也包括骗取，如设立假冒网站，在受骗用户登录时，要求用户输入账号、密码等信息。计算机信息系统中“存储”的数据，是指在用户计算机信息系统的硬盘或其他存储介质中保存的信息，如用户计算机中存储的文件。计算机信息系统中“处理”的数据，是指他人计算机信息系统正在运算中的信息。计算机信息系统中“传输”的数据，是指他人计算机信息系统各设备、设施之间，或者与其他计算机信息系统之间正在交换、输送中的信息，如敲击键盘、移动鼠标向主机发出操作指令，就会在键盘、鼠标与计算机主机之间产生数据的传输。“存储”、“处理”和“传输”这三种形态，涵括了计算机信息系统中所有的数据形态，不论行为人非法获取处于哪种形态的数据，均符合法律的规定。

（2）关于对他人计算机信息系统实施非法控制。“非法控制”，是指通过各种技术手段，使得他人计算机信息系统处于其掌控之中，能够接受其发出的指令，完成相应的操作活动。例如，通过给他人计算机信息系统中植入“木马程序”对他人计算机信息系统加以控制，可以“指挥”被控制的计算机实施网络攻击等活动。“非法控制”包括对他人计算机实现完全控制，也包括只实现对他人计算机信息系统的部分控制，不论实际控制的程度如何，只要能够使他人计算机信息系统执行其发出的指令即可。非法控制他人计算机信息系统，只要求行为人采用侵入等技术手段对他人计算机进行了实际控制，行为人在对他人计算机信息系统加以控制的，即可构成犯罪，并不要求一定要实施进一步的侵害行为。这样规定是考虑到非法控制他人计算机信息系统，往往是为进一步实施其他违法犯罪行为做准备，具有很大的潜在危险性。有的案件中行为人非法控制数十万甚至上百万台联网计算机，组建“僵尸网络”。如果行为人操纵这些被控制的计算机实施拒绝服务攻击等网络破坏活动，后果将非常严重。因此，对非法控制他人计算机信息系统的行为，情节严重的，有必要在其尚未实施进一步的侵害活动时，即予以打击。

需要说明的是，本款是针对非法控制计算机信息系统行为作出的规定，如果行为人实施非法控制后，进一步实施其他危害行为，可能构成刑法规定的其他犯罪。例如，非法获取他人网上银行账号、密码用于盗窃财物的，对电力、电信等计算机信息系统实施非法控制并从事危害公共安全的破坏活动的，这就需要司法机关根据案件的具体情况，选择适用相应的法律规定。

2.行为人非法获取他人计算机信息系统中的数据或者对他人计算机信息系统加以非法控制，是基于“侵入或者其他技术手段”。“侵入”是指未经授权或者他人同意，通过技术手段进入计算机信息系统。例如，通过技术手段突破他人计算机信息系统安全防护设置，进入他人计算机信息系统；入侵他人网站并植入“木马程序”，在用户访问该网站时，伺机侵入用户计算机信息系统；建立色情、免费软件下载等网站，吸引用户访问并在用户计算机信息系统中植入事先“挂”好的“木马”程序。不论行为人采用何种手法，其实质是违背他人意愿，进入他人计算机信息系统。违背他人意愿，包括行为人采用技术手段强行进入，如破坏他人计算机安全防护系统进入，也包括未征得他人同意或者授权擅自进入。“其他技术手段”是关于行为人可能采用的手段的兜底性规定，是针对实践中随着计算机技术的发展可能出现的各种手段作出的规定。刑法之所以将行为人非法获取他人计算机信息系统中的数据或者对他人计算机信息系统实施非法控制的手段限定在“侵入”或“其他技术手段”，是因为本罪是针对互联网上各种危害计算机网络安全的犯罪作出的规定。至于采用网络技术手段以外的其他手段，如进入他人办公室直接实施秘密复制行为的，不属于本款规定的行为。

根据本款规定，行为人的行为“情节严重”的，才构成犯罪。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号）第1条规定:非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第285条第2款规定的“情节严重”:

（1）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；

（2）获取第（1）项以外的身份认证信息500组以上的；

（3）非法控制计算机信息系统20台以上的；

（4）违法所得5000元以上或者造成经济损失1万元以上的；

（5）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第285条第2款规定的“情节特别严重”:

（1）数量或者数额达到前款第（1）项至第（4）项规定标准5倍以上的；

（2）其他情节特别严重的情形。明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。

第3款对非法提供实施侵入、非法控制计算机信息系统的专用程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为作了规定。“提供”包括出售等有偿提供，也包括提供免费下载等行为；包括直接提供给他人，也包括在网上供他人下载等。根据本款规定，为他人提供实施侵入、非法控制计算机信息系统的程序、工具的行为包括两种情形:

一种情形是提供专用程序、工具。这是指行为人所提供的程序、工具只能用于实施非法侵入、非法控制计算机信息系统的用途。例如，为他人提供专门用于窃取网上银行账号的“网银木马”程序。由于所提供程序、工具的用途本身足以表明该程序、工具的违法性，进而表明行为人主观上对其所提供程序将被用于非法侵入、控制他人计算机信息系统的情况是明知的，因此法律规定提供实施侵入、非法控制计算机信息系统专用程序、工具的，即可构成犯罪。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号）第2条规定:具有下列情形之一的程序、工具，应当认定为刑法第285条第3款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:

（1）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；

（2）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；

（3）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。另一种情形是行为人明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具。这是指从行为人所提供的程序、工具本身的属性看，可以用于非法用途，也可以用于合法用途，即仅凭程序、工具本身的性质尚不能够完全确定行为人所实施行为的违法性。这种情况下，行为人是否构成犯罪，就需要考虑其主观方面对其行为的性质是否有明确的认识。明知而故犯的，应当依照本款的规定予以追究。对确实不知他人将其所提供的程序、工具用于实施非法侵入、非法控制计算机信息系统的违法犯罪行为的，不构成犯罪。根据本款规定，行为人的行为“情节严重”的，才构成犯罪。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（法释〔2011〕19号）第3条规定:提供侵入、非法控制计算机信息系统的程序、工具，具有下列情形之一的，应当认定为刑法第285条第3款规定的“情节严重”:

（1）提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具5人次以上的；

（2）提供第（1）项以外的专门用于侵入、非法控制计算机信息系统的程序、工具20人次以上的；

（3）明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具5人次以上的；

（4）明知他人实施第（3）项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具20人次以上的；

（5）违法所得5000元以上或者造成经济损失1万元以上的；

（6）其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:

（1）数量或者数额达到前款第（1）项至第（5）项规定标准5倍以上的；

（2）其他情节特别严重的情形。

第4款对单位犯前三款罪的作了规定。单位实施前三款规定的行为，根据本款规定构成相应的单位犯罪，采取“双罚制”，既要对单位判处罚金，又要追究单位直接负责的主管人员和其他直接责任人员的刑事责任。

根据最高人民法院2001年印发供法院参照执行的《全国法院审理金融犯罪案件工作座谈会纪要》，“直接负责的主管人员”是在单位实施的犯罪中起决定、批准、授意、纵容、指挥等作用的人员，一般是单位的主管负责人，包括法定代表人。“其他直接责任人员”是在单位犯罪中具体实施犯罪并起较大作用的人员，既可以是单位的经营管理人员，也可以是单位的职工，包括聘任、雇佣的人员。对单位犯罪中的直接负责的主管人员和其他直接责任人员，应根据其在单位犯罪中的地位、作用和犯罪情节，分别处以相应的刑罚，主管人员与直接责任人员，在个案中，不是当然的主犯、从犯关系，有的案件，主管人员与直接责任人员在实施犯罪行为的主从关系不明显的，可不分主、从犯。但具体案件可以分清主犯、从犯，且不分清主犯、从犯，在同一法定刑档次、幅度内量刑无法做到罪刑相适应的，应当分清主、从犯，依法处罚。

三、非法获取计算机信息系统数据、非法控制计算机信息系统罪与破坏计算机信息系统罪的界限[2]

两罪在犯罪主体和犯罪客体有相同之处。破坏计算机信息系统罪是指违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加，后果严重的行为。两罪的区别有以下几点：

（l）犯罪行为方式不同。前罪犯罪行为为非法获取数据，后罪犯罪行为为删除、修改、增加数据。

（2）犯罪对象不同。前罪犯罪对象为普通计算机信息系统中的数据，后罪为任意计算机信息系统中的数据和程序。

（3）犯罪成立要求不同。前罪要求情节严重，后罪要求是“后果严重”，此处的“后果” 是指计算机信息系统的正常运转和功能受到的毁损等实际危害结果。

[1]全国人大常委会法制工作委员会刑法室/《中华人民共和国刑法》释义及实用指南

[2] 张军/刑法分则及配套规定新释新解（第九版）中

_

文字：徐长芳

原标题：《【老徐说法】老人机也可能中毒！！！》

阅读原文