背景

 今年2月，海淀公安分局双榆树派出所接到辖区北京字节跳动公司报案，称其公司旗下抖音APP遭人恶意“撞 库”达上千万账户密码，其中上百万账户密码被黑客撞出。为防止黑客利用撞出账户实施不法行为，公司通过安全系统对所有疑似被盗账号设置了二次登录验证。接到报警后，警方立刻展开侦查，并迅速锁定了一名湖北籍男子汪某。5月22日，民警远赴湖北将汪某抓获归案，并起获了其作案时使用的笔记本电脑。经讯问，汪某交代，毕业后一直无业，便利用掌握的计算机技术，编写了大量“撞库”代码，对目前网络上比较热门的社交平台进行“撞库”，然后控制“撞库”获取的账户，在网上承接点赞刷量、发布广告等业务牟利，短短两个月的时间就获利上百万元。

目前，汪某因涉嫌非法获取计算机信息系统数据罪已被海淀警方依法刑事拘留，案件正在进一步审理中。

“撞库”定义

“撞库”是一种针对计算机数据库的攻击方式，指通过黑客所拥有的数据库数据攻击目标数据库，在此过程

“撞库”软件帮助黑客比对已知信息进而获得用户未知但潜在信息的行为。简而言之，就是黑客利用已经泄露的账号密码，去其他网站或应用程序中尝试登录的行为。“撞库”主要利用人们在多个平台使用相同账号密码的行为习惯，如用户在A网站上的账号密码与B网站上的账号密码相同，则可以通过利用A网站的账号密码来登陆B网站，从而获取B网站上的账户信息。

“撞库”方法

常见的“撞库”方法有三种：

第一种：用n个密码字典撞m个账号，也即指，针对大量的账号，分别利用不同的密码暴力破解每个账号。这种方法容易导致一个账号在某个较短的时间内出现多次密码尝试。

第二种：用m个密码撞n个账号，也即指，针对大量不同的密码，分别利用同一个密码去尝试暴力破解大量不同的账号。

第三种：用n组一一对应的账号密码进行“撞库”，这种方法显而易见，就是利用字典表中一一对应的账号密码去不断尝试，暴力破解。

 12306被“撞库”案

2014年11月4日晚，被告人施某花人民币200元从陈某(另行处理)处购得一款专门对铁路12306购票系统数据进行扫描和提取的“密正”软件，之后，利用该软件和在网络上搜集、购买的邮箱、密码等数据和“过滤器”，对铁路12306购票系统进行“撞库”，从该计算机系统内提取了包括邮箱、用户名、姓名、身份证号、密码、手机号等字段的用户身份认证信息。2014年12月11日，被告人施某通过QQ聊天工具将名称为12306@邮箱-密码-姓名-身份证-手机.txt的文件传输给蒋某(另行处理)，后蒋又将该文件上传至“数据之家”网站(http//www.datahome.me)的“终身VIP数据板块”供该网站终身VIP会员下载。

2014年12月18日，公安机关在网上巡查中发现“数据之家”网站发表了题为“12306订票网邮箱-明文-姓名-身份证-手机www.12306.cn”的帖文，疑是铁路12306购票系统用户注册信息泄露。公安机关经侦查，于2014年12月19日在杭州市萧山区一网吧内抓获了“数据之家”的网站管理员蒋某，又于2014年12月25日在江苏省高邮市郭集镇德华村马庄组15号将被告人施某抓获，并从其家中查获“撞库”使用的计算机，以及存储“密正”软件和其非法获取的铁路12306购票系统用户信息的硬盘。经上海市人民检察院司法鉴定中心鉴定，被告人施某从铁路12306购票系统中非法获取用户身份认证信息共计686,170组。

杭州铁路运输法院作出(2016)浙8601刑初33号刑事判决书，认为被告人施某违反国家规定，使用从他人处购买的专门对铁路12306购票系统数据进行扫描和提取的“密正”软件，非法获取该计算机信息系统内存储的注册用户身份认证信息达686,170组，其行为已构成非法获取计算机信息系统数据罪，且属情节特别严重。被告人方认为应当定性为非法获取公民个人信息罪提起上诉；最终上海铁路运输中级法院作出（2016）沪71刑终40号刑事裁定书，认为施某的行为不仅侵犯了公民对其个人隐私信息的合法权益，还侵犯了国家对计算机系统数据的管理秩序。而非法获取公民个人信息罪不能全部涵盖施某犯罪行为所侵犯的法益，本案施某的行为完全符合非法获取计算机信息系统数据罪的构成要件。该案以维持一审判决而告终。

“撞库”之我见

笔者认为，非法获取计算机信息系统数据罪所惩戒的正是行为人未得到授权或者超出授权获取数据的行为，而“撞库”这种获取数据的方式，恰恰没有得到相关数据存储、处理平台如12306及用户的合法授权，因此行为人需要通过各种手段去暴力破解相关账户密码。这个暴力破解的过程对行为人而言是个“撞运气”的过程，同时也决定 其“非法获取”的性质。如果行为人成功“撞库”后获得相关数据，并利用该些数据实施其他违反犯罪行为的，则同时又可能构成其他犯罪，可能将数罪并罚。

此外，提供“撞库”工具或软件的相关行为人亦有可能触犯相关罪名，如工具或软件具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能，或对计算机信息系统实施控制的功能以及其他可侵入、非法控制计算机信息系统、非法获取计算机信息系统数据功能的，则均可能触犯非法获取计算机信息系统数据罪；如果工具或软件可针对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，或者对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作等，导致后果严重的，将可能触犯破坏计算机信息系统罪。

“撞库”行为除可评价为刑事犯罪外，还可以评价为其他违法行为。依据《中华人民共和国网络安全法》中第二十七条规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”。第四十四条规定“ 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”由此可见，行为人获得了用户的信息，无论信息的来源是否合法，只要行为人在没有获得用户和相关信息存储、处理平台许可的情况下，利用已知的用户信息去测试获取用户可能存在的其他账号和密码，亦同时违反了《网络安全法》之规定，危害了网络安全，侵犯了公民的个人信息，具有严重违法性。

笔者经全面检索无讼、威科及alpha网站相关判例后发现，关于“撞库”的判决文书除涉及刑事案件外，还涉及大量的民事案件，但民事案件中无一不是公司作为主体提出，而因“撞库”遭受个人损失的用户向平台运营者追究侵权责任的案例却在各类裁判文书网上从未留下痕迹。

究其根本，是因为现行用户数据保护意识不够强，用户对自己的多平台账户密码设置简单，国家对平台的安全责任约束不够，平台不够重视用户数据的保护，未能做好相应的防护措施。现在虽然涉及个人信息保护的，我们国家的法律法规政策较多，但是却没有一个完整的法律保护体系。在实践中也没有专门针对用户数据安全保护指引。与个人信息保护关系最密切的《信息安全技术个人信息安全规范》仅仅只是一个标准，并且在发布的短短一年之内又进行了修改；公安部网络安全保卫局发布的《互联网个人信息安全保护指南》也只可提供参考；《数据安全管理办法》更只是在征求意见稿阶段。当今中国对用户数据安全的保护道阻且长。

参考法律条文

《中华人民共和国刑法》

第二百八十五条 非法侵入计算机信息系统罪

违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

第二百八十六条 破坏计算机信息系统罪

违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。

《中华人民共和国网络安全法》第二十七条

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。

《中华人民共和国网络安全法》第四十四条

任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”

两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条

具有下列情形之一的程序、工具，应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”：（一）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权获取计算机信息系统数据的功能的；（二）具有避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权对计算机信息系统实施控制的功能的；（三）其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。

第十一条

本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。本解释所称“经济损失”，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。

作者简介

黄怡清：北京盈科（杭州）律师事务所