全國(guó)檢察機(jī)關(guān)依法辦理妨害新冠肺炎疫情防控犯罪典型案例（第一批）

2020-06-02 塵埃 評(píng)論0

檢例第69號(hào) 目錄 要旨 基本案情 指控與證明犯罪 指導(dǎo)意義 相關(guān)規(guī)定 要旨 為有效打擊網(wǎng)絡(luò)攻擊犯罪，檢察機(jī)關(guān)應(yīng)加強(qiáng)與公安機(jī)關(guān)的配合，及時(shí)介入偵查引導(dǎo)取證，結(jié)合案件特點(diǎn)提出明確具體的補(bǔ)充偵查意見(jiàn)。對(duì)被害互聯(lián)網(wǎng)企業(yè)提供的證據(jù)和技術(shù)支持意見(jiàn)，應(yīng)當(dāng)結(jié)合其他證據(jù)進(jìn)行審查認(rèn)定，客觀全面準(zhǔn)確認(rèn)定破壞計(jì)算機(jī)信息系統(tǒng)罪的危害后果。 基本案情 被告人姚曉杰，男，1983年3月27日出生，無(wú)固定職業(yè)。 被告人丁虎子，男，1998年2月7日出生，無(wú)固定職業(yè)。 其他9名被告人基本情況略。 2017年初，被告人姚曉杰等人接受王某某（另案處理）雇傭，招募多名網(wǎng)絡(luò)技術(shù)人員，在境外成立“暗夜小組”黑客組織。“暗夜小組”從被告人丁虎子等3人處購(gòu)買(mǎi)大量服務(wù)器資源，再利用木馬軟件操控控制端服務(wù)器實(shí)施DDoS攻擊（指黑客通過(guò)遠(yuǎn)程控制服務(wù)器或計(jì)算機(jī)等資源，對(duì)目標(biāo)發(fā)動(dòng)高頻服務(wù)請(qǐng)求，使目標(biāo)服務(wù)器因來(lái)不及處理海量請(qǐng)求而癱瘓）。2017年2—3月間，“暗夜小組”成員三次利用14臺(tái)控制端服務(wù)器下的計(jì)算機(jī)，持續(xù)對(duì)某互聯(lián)網(wǎng)公司云服務(wù)器上運(yùn)營(yíng)的三家游戲公司的客戶端IP進(jìn)行DDoS攻擊。攻擊導(dǎo)致三家游戲公司的IP被封堵，出現(xiàn)游戲無(wú)法登錄、用戶頻繁掉線、游戲無(wú)法正常運(yùn)行等問(wèn)題。為恢復(fù)云服務(wù)器的正常運(yùn)營(yíng)，某互聯(lián)網(wǎng)公司組織人員對(duì)服務(wù)器進(jìn)行了搶修并為此支付4萬(wàn)余元。 指控與證明犯罪 （一）介入偵查引導(dǎo)取證 2017年初，某互聯(lián)網(wǎng)公司網(wǎng)絡(luò)安全團(tuán)隊(duì)在日常工作中監(jiān)測(cè)到多起針對(duì)該公司云服務(wù)器的大流量高峰值DDoS攻擊，攻擊源IP地址來(lái)源不明，該公司隨即報(bào)案。公安機(jī)關(guān)立案后，同步邀請(qǐng)廣東省深圳市人民檢察院介入偵查、引導(dǎo)取證。 針對(duì)案件專業(yè)性、技術(shù)性強(qiáng)的特點(diǎn)，深圳市人民檢察院會(huì)同公安機(jī)關(guān)多次召開(kāi)案件討論會(huì)，就被害單位云服務(wù)器受到的DDoS攻擊的特點(diǎn)和取證策略進(jìn)行研究，建議公安機(jī)關(guān)及時(shí)將被害單位報(bào)案提供的電子數(shù)據(jù)送國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心進(jìn)行分析，確定主要攻擊源的IP地址。 2017年6—9月間，公安機(jī)關(guān)陸續(xù)將11名犯罪嫌疑人抓獲。偵查發(fā)現(xiàn)，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機(jī)、筆記本電腦等作案工具銷毀或者進(jìn)行了加密處理?！鞍狄剐〗M”成員到案后大多作無(wú)罪辯解。有證據(jù)證實(shí)丁虎子等人實(shí)施了遠(yuǎn)程控制大量計(jì)算機(jī)的行為，但證明其將控制權(quán)出售給“暗夜小組”用于DDoS網(wǎng)絡(luò)攻擊的證據(jù)薄弱。 鑒于此，深圳市檢察機(jī)關(guān)與公安機(jī)關(guān)多次會(huì)商研究“暗夜小組”團(tuán)伙內(nèi)部結(jié)構(gòu)、犯罪行為和技術(shù)特點(diǎn)等問(wèn)題，建議公安機(jī)關(guān)重點(diǎn)做好以下三方面工作：一是查明導(dǎo)致云服務(wù)器不能正常運(yùn)行的原因與“暗夜小組”攻擊行為間的關(guān)系。具體包括：對(duì)被害單位提供的受攻擊IP和近20萬(wàn)個(gè)攻擊源IP作進(jìn)一步篩查分析，找出主要攻擊源的IP地址，并與丁虎子等人出售的控制端服務(wù)器IP地址進(jìn)行比對(duì)；查清主要攻擊源的波形特征和網(wǎng)絡(luò)協(xié)議，并和丁虎子等人控制的攻擊服務(wù)器特征進(jìn)行比對(duì)，以確定主要攻擊是否來(lái)自于該控制端服務(wù)器；查清攻擊時(shí)間和云服務(wù)器因被攻擊無(wú)法為三家游戲公司提供正常服務(wù)的時(shí)間；查清攻擊的規(guī)模；調(diào)取“暗夜小組”實(shí)施攻擊后給三家游戲公司發(fā)的郵件。二是做好犯罪嫌疑人線上身份和線下身份同一性的認(rèn)定工作，并查清“暗夜小組”各成員在犯罪中的分工、地位和作用。三是查清犯罪行為造成的危害后果。 （二）審查起訴 2017年9月19日，公安機(jī)關(guān)將案件移送廣東省深圳市南山區(qū)人民檢察院審查起訴。鑒于在案證據(jù)已基本厘清“暗夜小組”實(shí)施犯罪的脈絡(luò)，“暗夜小組”成員的認(rèn)罪態(tài)度開(kāi)始有了轉(zhuǎn)變。經(jīng)審查，全案基本事實(shí)已經(jīng)查清，基本證據(jù)已經(jīng)調(diào)取，能夠認(rèn)定姚曉杰等人的行為已涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪：一是可以認(rèn)定系“暗夜小組”對(duì)某互聯(lián)網(wǎng)公司云服務(wù)器實(shí)施了大流量攻擊。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心廣東分中心出具的報(bào)告證實(shí)，篩選出的大流量攻擊源IP中有198個(gè)IP為僵尸網(wǎng)絡(luò)中的被控主機(jī)，這些主機(jī)由14個(gè)控制端服務(wù)器控制。通過(guò)比對(duì)丁虎子等人電腦中的電子數(shù)據(jù)，證實(shí)丁虎子等人控制的服務(wù)器就是對(duì)三家游戲公司客戶端實(shí)施網(wǎng)絡(luò)攻擊的服務(wù)器。分析報(bào)告還明確了云服務(wù)器受到的攻擊類型和攻擊采用的網(wǎng)絡(luò)協(xié)議、波形特征，這些證據(jù)與“暗夜小組”成員供述的攻擊資源特征一致。網(wǎng)絡(luò)聊天內(nèi)容和銀行交易流水等證據(jù)證實(shí)“暗夜小組”向丁虎子等三人購(gòu)買(mǎi)上述14個(gè)控制端服務(wù)器控制權(quán)的事實(shí)。電子郵件等證據(jù)進(jìn)一步印證了“暗夜小組”實(shí)施攻擊的事實(shí)。二是通過(guò)進(jìn)一步提取犯罪嫌疑人網(wǎng)絡(luò)活動(dòng)記錄、犯罪嫌疑人之間的通訊信息、資金往來(lái)等證據(jù)，結(jié)合對(duì)電子數(shù)據(jù)的分析，查清了“暗夜小組”成員虛擬身份與真實(shí)身份的對(duì)應(yīng)關(guān)系，查明了小組成員在招募人員、日常管理、購(gòu)買(mǎi)控制端服務(wù)器、實(shí)施攻擊和后勤等各個(gè)環(huán)節(jié)中的分工負(fù)責(zé)情況。 審查中，檢察機(jī)關(guān)發(fā)現(xiàn)，攻擊行為造成的損失仍未查清：部分犯罪嫌疑人實(shí)施犯罪的次數(shù)，上下游間交易的證據(jù)仍欠缺。針對(duì)存在的問(wèn)題，深圳市南山區(qū)人民檢察院與公安機(jī)關(guān)進(jìn)行了積極溝通，于2017年11月2日和2018年1月16日兩次將案件退回公安機(jī)關(guān)補(bǔ)充偵查。一是鑒于證實(shí)受影響計(jì)算機(jī)信息系統(tǒng)和用戶數(shù)量的證據(jù)已無(wú)法調(diào)取，本案只能以造成的經(jīng)濟(jì)損失認(rèn)定危害后果。因此要求公安機(jī)關(guān)補(bǔ)充調(diào)取能夠證實(shí)某互聯(lián)網(wǎng)公司直接經(jīng)濟(jì)損失或?yàn)榛謴?fù)網(wǎng)絡(luò)正常運(yùn)行支出的必要費(fèi)用等證據(jù)，并交專門(mén)機(jī)構(gòu)作出評(píng)估。二是進(jìn)一步補(bǔ)充證實(shí)“暗夜小組”成員參與每次網(wǎng)絡(luò)攻擊具體情況以及攻擊服務(wù)器控制權(quán)在“暗夜小組”與丁虎子等人間流轉(zhuǎn)情況的證據(jù)。三是對(duì)丁虎子等人向“暗夜小組”提供攻擊服務(wù)器控制權(quán)的主觀明知證據(jù)作進(jìn)一步補(bǔ)強(qiáng)。 公安機(jī)關(guān)按要求對(duì)證據(jù)作了補(bǔ)強(qiáng)和完善，全案事實(shí)已查清，案件證據(jù)確實(shí)充分，已經(jīng)形成了完整的證據(jù)鏈條。 （三）出庭指控犯罪 2018年3月6日，深圳市南山區(qū)人民檢察院以被告人姚曉杰等11人構(gòu)成破壞計(jì)算機(jī)信息系統(tǒng)罪向深圳市南山區(qū)人民法院提起公訴。4月27日，法院公開(kāi)開(kāi)庭審理了本案。 庭審中，11名被告人對(duì)檢察機(jī)關(guān)的指控均表示無(wú)異議。部分辯護(hù)人提出以下辯護(hù)意見(jiàn)：一是網(wǎng)絡(luò)攻擊無(wú)處不在，現(xiàn)有證據(jù)不能認(rèn)定三家網(wǎng)絡(luò)游戲公司受到的攻擊均是“暗夜小組”發(fā)動(dòng)的，不能排除攻擊來(lái)自其他方面。二是即便認(rèn)定“暗夜小組”參與對(duì)三家網(wǎng)絡(luò)游戲公司的攻擊，也不能將某互聯(lián)網(wǎng)公司支付給搶修系統(tǒng)數(shù)據(jù)的員工工資認(rèn)定為本案的經(jīng)濟(jì)損失。 針對(duì)辯護(hù)意見(jiàn)，公訴人答辯如下：一是案發(fā)時(shí)并不存在其他大規(guī)模網(wǎng)絡(luò)攻擊，在案證據(jù)足以證實(shí)只有“暗夜小組”針對(duì)云服務(wù)器進(jìn)行了DDoS高流量攻擊，每次的攻擊時(shí)間和被攻擊的時(shí)間完全吻合，攻擊手法、流量波形、攻擊源IP和攻擊路徑與被告人供述及其他證據(jù)相互印證，現(xiàn)有證據(jù)足以證明三家網(wǎng)絡(luò)游戲公司客戶端不能正常運(yùn)行系受“暗夜小組”攻擊導(dǎo)致。二是根據(jù)法律規(guī)定，“經(jīng)濟(jì)損失”包括危害計(jì)算機(jī)信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟(jì)損失以及用戶為恢復(fù)數(shù)據(jù)、功能而支出的必要費(fèi)用。某互聯(lián)網(wǎng)公司為修復(fù)系統(tǒng)數(shù)據(jù)、功能而支出的員工工資系因犯罪產(chǎn)生的必要費(fèi)用，應(yīng)當(dāng)認(rèn)定為本案的經(jīng)濟(jì)損失。 （四）處理結(jié)果 2018年6月8日，廣東省深圳市南山區(qū)人民法院判決認(rèn)定被告人姚曉杰等11人犯破壞計(jì)算機(jī)信息系統(tǒng)罪；鑒于各被告人均表示認(rèn)罪悔罪，部分被告人具有自首等法定從輕、減輕處罰情節(jié)，對(duì)11名被告人分別判處有期徒刑一年至二年不等。宣判后，11名被告人均未提出上訴，判決已生效。 指導(dǎo)意義 （一）立足網(wǎng)絡(luò)攻擊犯罪案件特點(diǎn)引導(dǎo)公安機(jī)關(guān)收集調(diào)取證據(jù)。 對(duì)重大、疑難、復(fù)雜的網(wǎng)絡(luò)攻擊類犯罪案件，檢察機(jī)關(guān)可以適時(shí)介入偵查引導(dǎo)取證，會(huì)同公安機(jī)關(guān)研究偵查方向，在收集、固定證據(jù)等方面提出法律意見(jiàn)。一是引導(dǎo)公安機(jī)關(guān)及時(shí)調(diào)取證明網(wǎng)絡(luò)攻擊犯罪發(fā)生、證明危害后果達(dá)到追訴標(biāo)準(zhǔn)的證據(jù)。委托專業(yè)技術(shù)人員對(duì)收集提取到的電子數(shù)據(jù)等進(jìn)行檢驗(yàn)、鑒定，結(jié)合在案其他證據(jù)，明確網(wǎng)絡(luò)攻擊類型、攻擊特點(diǎn)和攻擊后果。二是引導(dǎo)公安機(jī)關(guān)調(diào)取證明網(wǎng)絡(luò)攻擊是犯罪嫌疑人實(shí)施的證據(jù)。借助專門(mén)技術(shù)對(duì)攻擊源進(jìn)行分析，溯源網(wǎng)絡(luò)犯罪路徑。審查認(rèn)定犯罪嫌疑人網(wǎng)絡(luò)身份與現(xiàn)實(shí)身份的同一性時(shí)，可通過(guò)核查IP地址、網(wǎng)絡(luò)活動(dòng)記錄、上網(wǎng)終端歸屬，以及證實(shí)犯罪嫌疑人與網(wǎng)絡(luò)終端、存儲(chǔ)介質(zhì)間的關(guān)聯(lián)性綜合判斷。犯罪嫌疑人在實(shí)施網(wǎng)絡(luò)攻擊后，威脅被害人的證據(jù)可作為認(rèn)定攻擊事實(shí)和因果關(guān)系的證據(jù)。有證據(jù)證明犯罪嫌疑人實(shí)施了攻擊行為，網(wǎng)絡(luò)攻擊類型和特點(diǎn)與犯罪嫌疑人實(shí)施的攻擊一致，攻擊時(shí)間和被攻擊時(shí)間吻合的，可以認(rèn)定網(wǎng)絡(luò)攻擊系犯罪嫌疑人實(shí)施。三是網(wǎng)絡(luò)攻擊類犯罪多為共同犯罪，應(yīng)重點(diǎn)審查各犯罪嫌疑人的供述和辯解、手機(jī)通信記錄等，通過(guò)審查自供和互證的情況以及與其他證據(jù)間的印證情況，查明各犯罪嫌疑人間的犯意聯(lián)絡(luò)、分工和作用，準(zhǔn)確認(rèn)定主、從犯。四是對(duì)需要通過(guò)退回補(bǔ)充偵查進(jìn)一步完善上述證據(jù)的，在提出補(bǔ)充偵查意見(jiàn)時(shí)，應(yīng)明確列出每一項(xiàng)證據(jù)的補(bǔ)偵目的，以及為了達(dá)到目的需要開(kāi)展的工作。在補(bǔ)充偵查過(guò)程中，要適時(shí)與公安機(jī)關(guān)面對(duì)面會(huì)商，了解和掌握補(bǔ)充偵查工作的進(jìn)展，共同研究分析補(bǔ)充到的證據(jù)是否符合起訴和審判的標(biāo)準(zhǔn)和要求，為補(bǔ)充偵查工作提供必要的引導(dǎo)和指導(dǎo)。 （二）對(duì)被害單位提供的證據(jù)和技術(shù)支持意見(jiàn)需結(jié)合其他在案證據(jù)作出準(zhǔn)確認(rèn)定。 網(wǎng)絡(luò)攻擊類犯罪案件的被害人多為大型互聯(lián)網(wǎng)企業(yè)。在打擊該類犯罪的過(guò)程中，司法機(jī)關(guān)往往會(huì)借助被攻擊的互聯(lián)網(wǎng)企業(yè)在網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)資源和大數(shù)據(jù)等方面的優(yōu)勢(shì)，進(jìn)行溯源分析或?qū)粼斐傻奈：M(jìn)行評(píng)估。由于互聯(lián)網(wǎng)企業(yè)既是受害方，有時(shí)也是技術(shù)支持協(xié)助方，為確保被害單位提供的證據(jù)客觀真實(shí)，必須特別注意審查取證過(guò)程的規(guī)范性；有條件的，應(yīng)當(dāng)聘請(qǐng)專門(mén)機(jī)構(gòu)對(duì)證據(jù)的完整性進(jìn)行鑒定。如條件不具備，應(yīng)當(dāng)要求提供證據(jù)的被害單位對(duì)證據(jù)作出說(shuō)明。同時(shí)要充分運(yùn)用印證分析審查思路，將被害單位提供的證據(jù)與在案其他證據(jù)，如從犯罪嫌疑人處提取的電子數(shù)據(jù)、社交軟件聊天記錄、銀行流水、第三方機(jī)構(gòu)出具的鑒定意見(jiàn)、證人證言、犯罪嫌疑人供述等證據(jù)作對(duì)照分析，確保不存在人為改變案件事實(shí)或改變案件危害后果的情形。 （三）對(duì)破壞計(jì)算機(jī)信息系統(tǒng)的危害后果應(yīng)作客觀全面準(zhǔn)確認(rèn)定。 實(shí)踐中，往往傾向于依據(jù)犯罪違法所得數(shù)額或造成的經(jīng)濟(jì)損失認(rèn)定破壞計(jì)算機(jī)信息系統(tǒng)罪的危害后果。但是在一些案件中，違法所得或經(jīng)濟(jì)損失并不能全面、準(zhǔn)確反映出犯罪行為所造成的危害。有的案件違法所得或者經(jīng)濟(jì)損失的數(shù)額并不大，但網(wǎng)絡(luò)攻擊行為導(dǎo)致受影響的用戶數(shù)量特別大，有的導(dǎo)致用戶滿意度降低或用戶流失，有的造成了惡劣社會(huì)影響。對(duì)這類案件，如果僅根據(jù)違法所得或經(jīng)濟(jì)損失數(shù)額來(lái)評(píng)估危害后果，可能會(huì)導(dǎo)致罪刑不相適應(yīng)。因此，在辦理破壞計(jì)算機(jī)信息系統(tǒng)犯罪案件時(shí)，檢察機(jī)關(guān)應(yīng)發(fā)揮好介入偵查引導(dǎo)取證的作用，及時(shí)引導(dǎo)公安機(jī)關(guān)按照法律規(guī)定，從擾亂公共秩序的角度，收集、固定能夠證實(shí)受影響的計(jì)算機(jī)信息系統(tǒng)數(shù)量或用戶數(shù)量、受影響或被攻擊的計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的累計(jì)時(shí)間、對(duì)被害企業(yè)造成的影響等證據(jù)，對(duì)危害后果作出客觀、全面、準(zhǔn)確認(rèn)定，做到罪責(zé)相當(dāng)、罰當(dāng)其罪，使被告人受到應(yīng)有懲處。 相關(guān)規(guī)定 《中華人民共和國(guó)刑法》第二百八十六條 《最高人民法院、最高人民檢察院關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》第四條、第六條、第十一條