徐昕律师:江苏海门计算机案一审辩护词(计算机案教科书级无罪辩护)
大状辩护词 分享大状的知识阅历
江苏海门破坏计算机信息系统案系中国首例消费者在合法网站上被误导购买非法服务而追究刑责,也是迄今为止近千例同类案件中首例由知名律师推动喊冤的一例。北京理工大学法学院教授徐昕律师及南通市律协刑委会主任季刚律师为本案七名被告人中的最后一位做无罪辩护。
案件回顾:2016年5月在深圳龙华新区注册的小灵猴公司在其合法备案的网站上推出网站排名优化、网页加速收录等服务,一年时间吸引了千余名会员注册、使用。为了增加收入,又于2017年3月起向注册会员推销网络压力测试服务(DDoS),并通过百度竞价推广、站长工具广告位等方式扩大知名度招募会员,以合法外衣误导消费者充值17万余元。3月到9月期间,由于并未实际提供压力测试服务,遭到大量会员投诉,遂于同年9月通过比特币向境外购买DDoS工具,对会员提交的压力测试任务有选择性地、手动地、带欺骗性地执行。2017年11月,本案被告单位粤楚公司因遭受同行长期恶意竞争,百余篇原创学术文章被抄袭、网站排名急转直下,在要求侵权人停止抄袭、寻求法律救济无果的前提下,公司前网络主管、网站设计制作者陈某迫于无奈,私下接受了小灵猴公司的推销,购买了相关服务。而张某(不在公司任职)作为陈林表弟,为其代付了相关款项,被卷入此案。海门检察院以其是公司主管人员、注册会员并充值、提交攻击任务并造成11台计算机信息系统不能正常运行而追究个人和公司刑责。
该案四名购买者均取保候审,海门检察院以证据不足两次退回补充侦查,一次延长审查起诉期限;法院两次开庭审理后,检察院以补充证据为由提出建议延期审理。近日此案已恢复审理,暂无新证据出现,海门法院将择日宣判。
该案的判决结果将直接影响到,民营企业在著作权遭受侵犯而得不到法律上的及时救济,面对正在发生的、紧迫的不法网络侵害、导致巨大经济损失时,要不要维护自身合法权益、要不要进行“正当防卫”;也为今后消费者在被不法分子以正规公司合法名义误导购买非法网络服务、产品后,是否应当承担责任、应承担怎样的责任这一问题提供了范本。以下为徐昕律师对本案的辩护词。
计算机犯罪应规范取证,坚持证据裁判
——张某涉嫌破坏计算机信息系统罪一审辩护词
尊敬的审判长、人民陪审员:
审判长在庭审时说,“我们的案件一般都要庭审直播,面向全世界的直播,不庭审直播的要经过法院纪检组同意”,海门法院对庭审直播的态度和刚性规定是国内少见的,希望全国法院向江苏海门法院学习!审判长多次强调要把事情搞清楚,有罪就是有罪,无罪就是无罪,不会冤枉一个公民,令人敬佩。我还要感谢审判长的慎重和耐心,尽管表现出有罪推定的倾向,甚至有点像公诉人,但我非常理解,劝张某是为张某好。
本案涉及两个法律问题:DDoS攻击不可能造成计算机系统的主要软件或者硬件不能正常运行,起诉书适用法律适用错误;购买DDoS会员服务并非破坏计算机信息系统罪的共犯。关于事实问题,本案是能够也必须用客观证据证明的,但没有充分证据证明唐小平全部实施了DDoS攻击行为,更没有充分证据证明作为犯罪构成要件的“后果严重”之存在。因此,无论是严格适用法律,还是坚持证据裁判原则,皆应当宣告张某和武汉粤楚至臻文化传播有限责任公司(下称粤楚公司)无罪。其他三位购买者蔡季星、李荣洋、刘昌龙也应该宣告无罪,虽然前两人的律师不作无罪辩护,其中一位还责备我们的辩护耽误了她的宝贵时间。
一、DDoS攻击对计算机软件和硬件并没有实际的破坏,不可能造成计算机系统的主要软件或者硬件不能正常运行,起诉书适用法律错误
起诉书指控,因为DDoS攻击,造成11台计算机信息系统不能正常运行,进而依据两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《计算机解释》)第4条第1款第1项“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的”,认为张某构成犯罪。该指控是错误的。
(一)DDoS攻击,不可能造成计算机信息系统的主要软件或者硬件不能正常运行
1、何为DDoS攻击?
DDoS攻击即分布式拒绝服务(Distributed Denial of Service)攻击,是指借助于客户/服务器技术,将多个计算机联合起来作为平台,对目标服务器在较短时间内发出大量服务请求,占用部分网络资源。这种行为不会损坏计算机信息系统,不会删除、修改、增加计算机信息系统功能,而只是造成“网络堵车”,使网站或服务器短时间不能访问。在DDoS攻击下,被攻击的服务器收到超出其服务能力的大量请求,造成其服务质量降低,但软硬件仍在正常运行之中,软件和硬件的功能、数据和应用程序并没有破坏。DDoS实际上只是造成了网络问题,并没有破坏计算机系统的软件和硬件。
《计算机解释》第4条第1款第1项的适用前提,是“计算机信息系统的主要软件或者硬件”。软件指一系列按照特定顺序组织的计算机数据和指令的集合,一般分为系统软件、应用软件;硬件指计算机系统中电子、机械和光电元件等组成的各种物理装置。网站是架设于网络服务器上的网络应用软件,对外部用户提供信息服务,是计算机信息系统的一部分。外部用户通常使用网络浏览器来浏览网站。通过浏览器访问网站的动作和行为,不会破坏计算机系统的数据和功能,显然不属于破坏计算机信息系统的软件或硬件的行为。因此,即便DDoS造成网站无法正常运行,也不会“破坏计算机信息系统功能、数据或者应用程序”、“造成计算机信息系统的主要软件和硬件无法正常运行”。
根据DDoS攻击的原理,DDoS攻击使网站无法正常提供服务的原因,是短时间内大量访问请求占用了网站的“带宽”和“流量”。但这不等于使网站服务器无法正常运行,“网站无法提供服务≠网站服务器无法正常运行”,只要网络服务器没有硬件故障或软件故障,就仍然在正常运行。
2、公诉意见违反逻辑和常识
公诉人在法庭辩论阶段,长篇论述DDoS攻击符合破坏计算机信息系统罪的特征,辩护人从来没有说过DDoS攻击不是犯罪行为,不构成犯罪。我们提出的是:DDoS攻击无法造成计算机信息系统的主要软件或者硬件不能正常运行。公诉人逻辑跳跃,所谓DDoS攻击侵犯计算机信息系统的安全,干扰计算机信息系统的功能,这些说词无法达到证明目的。
公诉人说“破坏计算机信息系统罪所要求的破坏并不是狭义的,破坏的结果也不一定要求对受攻击计算机的硬件或软件遭到损坏。”这一说法与起诉书适用的《计算机解释》第4条第1款第1项“造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的”完全是相互矛盾的。
公诉人还说,“计算机信息系统主要包括软件和硬件。计算机信息系统不能正常运行当然符合计算机信息系统的主要软件或者硬件不能正常运行。”这个论证逻辑完全错误。计算机信息系统不能正常运行的原因很多,没电、断网都会导致不能正常运行,难道也是软件、硬件坏了吗?网络堵车就说是服务器坏了,这相当于堵车却说公路坏了。
公诉人甚至还称,“一个IP就是一台计算机”。这完全是信口开河。辩护人咨询了计算机专家:根据IP协议标准RFC 791,IP地址对网络节点的标识在于2个维度:(1)用网络号区分不同的IP网络;(2)用主机号识别该网络内的一个IP节点。因此,IP的唯一值是相对于同一网络而言的,如果是不同的网络,IP并不是唯一的。
IP网络的复杂性决定了同一外网IP地址可能对应着多个内网IP的计算机,IP地址不一定对应这服务器,对IP地址的攻击不一定是对服务器的攻击。IP网络由多个网段构成,每个网段对应于一个链路,网络设备(路由器)负责将网段连接起来,在网络之间转发数据包。
上图为一个典型的IP网络拓扑图,路由器1、路由器2、路由器3接入ISP网络之后,形成了与互联网相互通信的三个网络。“用户主机”只能通过IP地址149.82.58.207访问“服务器1”和“服务器2”,同样只能通过IP地址182.55.32.134访问“服务器3”和“服务器4”。IP地址149.82.58.207、182.55.32.134起到了路由寻址的作用,“用户主机“通过这些IP地址访问的也可能是其他的电脑和主机。因此,多次对同一IP实施攻击的行为,只是有可能影响到使用该IP地址进行路由的网络,并不会对特定的计算机进行破坏。
3、相关判例
辩护人检索中国裁判文书网等数据库,找到近年来DDoS攻击行为被认定为破坏计算机信息系统罪的案件约50件。这些案件中,法院认定“后果严重”和“后果特别严重”,一般都采取《计算机解释》第4条第1款第3、4、5项以及第2款第2项进行认定,即考量违法所得、经济损失、造成计算机系统累计不能运行时间。该类案件不适用第1项应当是现有司法裁判的共识。如提交的(2014)湖吴刑初字第4号,艾某破坏计算机信息系统案,适用第3项;(2018)浙0110刑初266号,刘某某、金某破坏计算机信息系统案,适用第4项;《刑事审判参考》第1029号,乐姿等破坏计算机信息系统案,适用第5项兜底条款。
综上,DDoS攻击危害在于网络,而不在于电脑软件和硬件。DDoS攻击结果是:网站对外部用户在网络上的服务质量下降,而不会造成网络服务器软件无法正常运行,而网站提供的网络信息服务不属于计算机信息系统的软件或硬件。因此,DDoS攻击不可能造成计算机信息系统的主要软件或者硬件不能正常运行,故本案不应适用《计算机解释》第4条第1款第1项。
(二)本案只能适用《计算机解释》第4条第1款第4项
由于本案中不涉及《计算机解释》第4条第1款第2项的情形,也没有证据证明粤楚公司有任何违法所得或者造成了经济损失一万元以上,且网站属于计算机信息系统,因此本案只能适用《计算机解释》第4条第1款第4项的规定——“造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的”——来认定是否“后果严重”。
但本案中,涉及的被攻击网站,均为教育培训行业的宣传、招生网站,均不属于提供基础服务的计算机信息系统,也没有任何证据能够证明涉案网站或服务器是为一万以上用户提供服务的计算机信息系统,相反被害人陈述中提到的网站日常访问量、招生人数等内容,恰恰能证明被攻击网站的用户远低于一万。同样没有证据证明被告人行为导致网站不能运行累计一小时以上。故即便根据第4项的规定,也没有证据证明达到“后果严重”的入罪标准。
二、购买DDoS会员服务并非破坏计算机信息系统罪的共犯
《计算机解释》第9条规定,明知他人实施刑法第二百八十五条、第二百八十六条规定的行为,具有下列情形之一的,应当认定为共同犯罪,依照刑法第二百八十五条、第二百八十六条的规定处罚:
(一)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;
(二)为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,违法所得五千元以上的;
(三)通过委托推广软件、投放广告等方式向其提供资金五千元以上的。
实施前款规定行为,数量或者数额达到前款规定标准五倍以上的,应当认定为刑法第二百八十五条、第二百八十六条规定的“情节特别严重”或者“后果特别严重”。
公诉人提出,购买方出资让攻击方进行攻击,两者构成了合意,购买方起指挥、决定作用。但根据该规定,只有上述三种情形才能构成破坏计算机信息系统罪的共犯,而购买DDoS的行为不包括在内。这意味着,法律通过沉默的方式表明购买DDoS服务的行为不属于犯罪。公诉人说没有买卖就没有伤害,这一流行的说法不是认定犯罪的理由,罪行法定,并不是所有的购买行为都是犯罪。正如刑法规定买卖野生动物是犯罪,但没规定吃野生动物是犯罪,故吃野味不构成犯罪;刑法规定贩卖淫秽物品是犯罪,没规定购买淫秽物品是犯罪,故该行为无罪;刑法规定贩毒是犯罪,没规定购买毒品自己吸食是犯罪,故该行为无罪。如此解释,才是罪刑法定原则的基本逻辑。公诉人认为提供技术的王岩、提交任务的肖媛是从犯,而购买者不仅构成犯罪,还是主犯。但我们检索判例,却没有发现追究购买者刑事责任的判例。本罪到底什么情况下构成共同犯罪,购买能否构成共同犯罪,值得研究。
如果将购买DDoS会员服务也认定为共犯,这意味着要追究59ddos网站3000余名注册会员的刑事责任,至少要追究几十名充值会员的刑事责任,但为何目前只起诉了四人?而且,公诉人将购买者确定为主犯,那岂不是放纵了3000主犯?明显荒唐!
三、本案证据严重不足,证据链断裂,特别是没有充分证据证明DDoS攻击行为已经实施
从粤楚公司购买DDoS服务到目标网站被攻击之间共有四个环节:
①购买DDoS服务并提交攻击目标→
→②唐小平获取攻击目标后登录str3ssed.me网站提交DDoS攻击任务→
→③str3ssed.me网站对目标实施DDoS攻击→
→④被攻击目标遭到唐小平提交的DDoS攻击且攻击成功。
要想证明粤楚公司构成犯罪,必须证明上述每一个关键环节都全部实施了,且这4个环节本来都存在大量客观证据,可以且必须通过客观证据证明。但所有环节,均无充分证据予以证实。
(一)环节①,究竟是谁购买DDoS服务,谁提交攻击目标,证据并不确实充分
庭审中,粤楚公司的诉讼代表人陈述非常清楚,公司对此毫不知情,没有开会讨论过,没有谁决定过,也没有谁以购买DDoS服务为由找他报销,案发之后,公司才知道此事。
关于购买DDoS服务,张某的支付宝账号支付过,陈林的支付宝也支付过,且张某辩称有几次支付钱款是陈林直接让他扫码支付,称用于购买网络优化工具,但具体是什么,他并不知情。
关于账号17160254200在59DDoS网站提交攻击目标,只能证明是尾号4200的用户提交了攻击目标,到底是张某提交还是陈林提交,因张某与陈林均否认,结合陈林懂技术、买黑卡、教张某等行为可以推断,主要任务应当是陈林操作。
(二)环节②,小灵猴公司即唐小平,并没有全部实施DDoS攻击任务
唐小平、肖媛、王岩供述证实,2018年4月以前,www.59DDoS.com不能自动进行攻击,必须在会员提交攻击任务后,唐小平手动去str3ssed.me网站操作。法庭调查表明,唐小平并没有全部执行会员提交的攻击任务。
1、本案鉴定意见存在严重问题,公诉人对辩护人的质疑并无进行有效回应,不能作为定案依据。
第一,鉴定的委托事项之一是“对scy.087.com.cn的功能进行分析,该网站是否具备对其他网络设备进行DDoS流量攻击的功能,上述流量攻击是否对被攻击目标具有破坏性。”但起诉书指控的是,粤楚公司于2018年1月期间,在59ddos网站注册会员并充值,提交攻击任务,对相关公司网站IP进行DDoS攻击。鉴定意见恰恰没有对59ddos网站进行鉴定。
第二,鉴定意见第4点,从上述网站“DDoS攻击管理”页面检出攻击历史记录共274条。但这274条中,没有一个是尾号4200的用户提交的IP或网址。
第三,鉴定意见不明确。鉴定意见第5点称,从“用户操作记录”页面检出用户操作记录1414条,“用户操作记录”是什么?是攻击记录,还是提交记录?第6点称检出1233条任务记录,什么是任务记录?是接受任务,执行任务,还是攻击任务记录?
第四,鉴定称scy.087.com.cn网站具备向指定IP或域名的计算机发起DDoS流量攻击的功能与能力,对被攻击目标具有破坏性。这一意见与唐小平、王岩的供述完全矛盾,2018年4月之前,该网站根本没有攻击能力。鉴定意见称有攻击功能与能力的时间点是何时?
第五,电子数据很容易编辑修改,但本案检材的同一性无法保证,鉴定的是不是扣押封存的检材,是否遭到编辑删改,没有任何证据证明。
2、唐小平当庭陈述,www.59DDoS.com 2018年4月份之前没有攻击功能,此前的攻击任务,在他方便的时候,才会手动输入str3ssed.me网站,对目标IP进行攻击。可见,即便会员提交了攻击任务,账户费用被扣除,也存在唐小平不全部执行的情况。
唐小平庭前也曾供述,曾经有过接受会员充值以及提交任务但实际未实施攻击的情况。唐小平供述称“2017年5月份就开始了,虽然当时开始接受会员充值,但是我当时没找到发动DDoS攻击的平台,没办法完成会员提交的任务”、“如果在2017年9月底之前提交任务使用了,费用就从他的账户上扣掉了,我也没有帮他发动DDoS攻击”、“所以一开始虽然我没有帮会员进行DDoS攻击,但是我还利用会员需要发动DDoS攻击来吸引会员充值。扣费的问题我当时确实没考虑好,没有帮会员发动网络攻击,我却把攻击的费用扣掉了,这个确实是我不对,是我欺骗了人家”。(补充侦查卷P21)“59DDoS网站可以增加会员攻击任务并执行攻击任务是2017年9月份左右,之前会员的充值都是没办法执行的,也就是9月份之前只有付费没有任务执行。也就是5月到8月会员付费是没有攻击任务执行,因为我没有可以执行攻击任务的平台网站,具体收费以充值记录为准,但是我会在59ddos攻击平台上显示攻击已执行,这些就是骗骗会员的。”(卷2 P59)
3、肖媛庭前供述证明,并非所有会员提交的攻击任务都会执行。肖媛2018年4月27日的讯问笔录提到“唐小平还和我说,如果网址PING出很多IP地址,我们就不添加到空白处,这个攻击任务就放弃不执行了”、“执行攻击后会导致网站瘫痪,因为唐小平在执行攻击之前会检测这个网站,如果有用才会攻击,没有效果就不攻击。” 肖媛当庭供述也印证了这一点。
4、接受平台发送会员提交攻击任务短信的手机持有人是肖媛和唐小平二人,肖媛庭前供述证明,她并没有将其接收到的所有任务都准确无误、毫无遗漏地告诉唐小平。且还完全存在肖媛告知了唐小平但唐小平因疏忽或工作繁忙等原因而没有实施的合理怀疑。侦查人员问唐小平“如果肖媛在外面接到攻击任务,怎么办?”唐小平答:肖媛会视而不见;又问“既然肖媛不会跟你说,那你是如何增加攻击任务的?”唐小平答:看不到就算了。”又问“肖媛出去之后,是否还会收到任务攻击短信?”答“如果我忘记修改手机号码,她就会收到手机短信,但是她会视而不见。”(卷2 P54)
5、唐小平存在虚假供述的动机。如果唐小平承认接受会员任务而不实际执行,则不仅仅会涉嫌破坏计算机信息系统罪,而且还涉嫌诈骗罪,出于趋利避害的心理,唐小平有可能虚假供述称全部执行了会员提交的攻击任务。
6、现有证据不足以证明唐小平购买了DDoS服务。不论是str3ssed.me网站还是critical-boot网站,均需要用比特币充值,唐小平供述是找一个叫支付宝名为“姚瑶”的购买后“姚瑶”帮其充值,但侦查机关出具的情况说明称“比特币的卖家姚瑶经多方查找尚未找到”,意即无法查证唐小平是否购买了DDDoS攻击网站的服务。
7、唐小平、王岩均证实,59ddos网站,仅仅是用户提交攻击任务、用户充值的平台,而不是实施DDoS攻击的平台,由59ddos网站生成的套餐任务管理文档,不能证明唐小平实际操作了相关攻击任务,顶多证明会员提交了攻击任务。
8、李荣洋曾指责唐小平未执行攻击任务。(卷13 P109-112李荣洋和唐小平的聊天记录)
9、刘昌龙案中,以攻击目标IP47.96.13.219为例,套餐任务管理文档中显示,2月26日,刘昌龙等(用户名15360660648)提交了11次任务,但当天被害人没有收到阿里云服务器通知“被攻击”的短信。而同样的IP地址,2月3日,刘昌龙等提交了11次套餐任务,被害人却收到了2条被攻击通知短信。这证明存在刘昌龙提交了攻击任务,但唐小平没有执行任务的情况。
10、套餐任务管理文档中的状态“已完成”,不能证明唐小平已执行用户17160254200提交的任务。scy.087.com.cn远程勘验笔录所记录的“套餐任务管理文档”是基于scy.087.com.cn网站形成的,并不是真正实施DDoS攻击的网站所形成的,而仅仅是087网站中的用户操作记录以及网站程序设定给用户看到的状态的记录。用户在网站提交任务后,便会形成用户操作记录和套餐任务管理文档。但在2018年4月以前,59ddos仅仅是接受会员任务的平台,不具有DDoS攻击功能,唐小平为了“欺骗”会员,使之误以为该网站有DDoS攻击功能,才在网站中设定了用户提交任务后的6分钟内会由“刷新中”变为“已完成”的程序。庭审已经查明,要想真正完成DDoS攻击,还需要唐小平在收到网站的通知短信后手动操作,加之唐小平有时不在电脑前或有其他拖延操作等原因,这一时间必然远超过6分钟。因此,套餐任务管理文档中的状态一栏,是程序自动设定的结果,而不是唐小平真实攻击的结果,不能证明唐小平已执行会员提交的任务。
关于唐小平的涉案金额,公诉人说“2017年5月底开始收取会员费用,2017年9月底唐小平开始接受任务去境外网站攻击,期间金额的认定,唐小平表示会员充值后若提交任务,会显示虚假的攻击已完成,若等到9月份提交任务,其还是会帮助攻击的……从有利于嫌疑人的角度出发,金额无法认定的情况下,对5-9月期间的收款仍认为DDoS攻击为目的,不再另定诈骗罪。”这说明公诉人认可唐小平不完全提交攻击任务的这一客观事实。既然如此,恰恰印证辩护人的主张,小灵猴公司即唐小平并没有全部实施DDoS攻击任务。
(三)环节③,没有证据证明唐小平提交的DDoS攻击任务全部实施
鉴定意见称“网站scy.087.com.cn具备向指定IP或域名的计算机发起DDoS流量攻击的功能与能力”,上文已论述,59ddos网站在2018年4月前仅是一个收集会员任务信息的平台,4月份以后王岩才帮唐小平将critical-boot网站攻击端口接入该网站,因此鉴定意见所鉴定的结果只能反映2018年4月份之后087网站的功能,而不能反映之前的。而且鉴定意见至多能说明critical-boot网站有攻击功能,但2018年4月以前,唐小平使用的DDoS攻击网站是str3ssed.me网站,而非critical-boot,因此鉴定意见不能证明str3ssed.me网站具有攻击性。
检方也没有任何证据能够证明,str3ssed.me网站在唐小平提交了攻击指令后就实际执行了指令。侦查机关情况说明提到,str3ssed.me网站服务器位于境外,无法调取网站镜像文件进行相关数据分析,只能远程勘验,且勘验发现该网站不保存日志,无法调取到以前的日志记录。因此,没有任何证据能够证明该网站实施了唐小平提交的DDoS攻击任务。
四、不存在作为犯罪构成要件的“后果严重”
环节④,远无充分证据证明。起诉书指控粤楚公司共造成11台计算机信息系统不能正常运行(起诉意见书为10台),如前所述,指控适用的法律错误,应适用前述第4项的规定。但即便按照第1项的规定,也没有充分证据证明存在“后果严重”。第一,11台计算机信息系统受到攻击的证据严重不足;第二,11台计算机信息系统不能正常运行完全没有证据证明;第三,即便11台计算机信息系统受到攻击且不能正常运行,也不一定是唐小平DDoS攻击所致。
虽然弘连司鉴【2018】计鉴字第411号鉴定意见中,17160254200手机号在scy.087.com.cn (www.59DDoS.com)网站的攻击记录所显示的被攻击网站或IP有14个。但其中www.318edu.com 的IP地址是39.104.53.209,www.aolingaokao.com的IP地址是121.42.120.88,www.yb027.com的IP地址是121.199.250.170,因此实际上至多是11个目标网站。
目标网站受到了DDoS攻击的证据存在以下五个特点:
(一)除4份不具可采性的客观证据外,没有任何客观证据证明遭到DDoS攻击且不能正常运行
11个目标网站或IP曾受DDoS攻击且因此导致网站无法正常运行,没有任何客观证据予以证明。特别是本案完全可以通过调取网站访问记录、网站服务器的访问日志等客观证据,多位被害人陈述有条件调取相关客观证据,但侦查机关不调取客观证据。虽然部分被害人提交了4份电子数据,但均不具可采性。
1、“www.whlexuejiaoyu.com”的管理公司武汉乐学世纪教育咨询有限公司皮之炼提供的聊天记录
该聊天记录只是复印件,且严重违反了电子数据的收集、提取程序。最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第8条第1款规定,收集、提取电子数据,能够扣押电子数据原始存储介质的,应当扣押、封存原始存储介质,并制作笔录,记录原始存储介质的封存状态。该证据不仅违反该款,也不存在第10条规定的情形——“由于客观原因无法或者不宜依据第八条、第九条的规定收集、提取电子数据的”;即便存在也应当采取“打印、拍照或者录像等方式”固定相关证据,并在笔录中说明原因。
《最高人民法院关于适用<中华人民共和国刑事诉讼法>的解释》第93条要求对电子数据着重审查“是否随原始存储介质移送;在原始存储介质无法封存、不便移动或者依法应当由有关部门保管、处理、返还时,提取、复制电子数据是否由二人以上进行,是否足以保证电子数据的完整性,有无提取、复制过程及原始存储介质存放地点的文字说明和签名”。根据该解释第94条的规定,经审查无法确定真伪的电子数据,不得作为定案的根据。
退一万步,即便该聊天记录属实,也只能证明其公司网站曾受过DDoS攻击,但是否是唐小平实施的攻击,没有证据证明。而聊天记录恰恰证明,2017年9-10月份也存在被攻击的情况,但17160254200的注册时间是2017年的11月中下旬,完全不可能在9-10月份去攻击乐学公司的网站。
2、北京易维云数据科技有限公司刘涛提供的阿里云通知短信截图和服务器流量图
这两份电子数据均为复制件,如前所述,违反了电子数据的收集、提取程序,无法确定真实性,不得作为定案根据。即便属实,短信内容也无法印证DDoS攻击的时间,谁实施的攻击,服务器流量图也不能证明受到了DDoS攻击。
3、“www.aolingaokao.com”的管理公司武汉奥林文化发展有限公司法人陈庆安提供的“网站流量访问图”
该证据不仅是复印件,而且是武汉奥林文化发展有限公司自行制作、自己盖章的图表,图表内容没有任何来源,内容完全无法证实。即便是依据该图表,也仅仅能证明2018年1月,其公司网站已用流量为1.96G,不能证明受到了DDoS攻击。该图表还显示其公司网站的流量标准值为15G,因此1.96G的流量不可能导致其网站无法访问。而且陈庆安多次强调1月份是招生旺季,很多考生会点击其网站,既然如此,相比较2018年2月的流量759.13M,1月份1.96G的流量并不异常。因此,该图表无法印证该网站曾遭受过DDoS攻击。
(二)只有被害人陈述,不能证明网站受到了DDoS攻击且有影响
证明网站或服务器受到DDoS攻击影响,实际上只有被害人陈述这一孤证,孤证不能定案。
第一,严重利害关系。8个被害人陈述证明相应网站遭到攻击且产生影响,但他们的公司与粤楚公司是竞争关系,与张某、与粤楚公司有严重利害关系,其陈述的真实性存疑。
第二,被害人自己都称不知道是否受到攻击,影响多大。例如:“www.027yk.com”的管理公司武汉邦德世纪信息科技咨询有限公司的员工杨杰陈述中明确提到“我也不确定这种异常的访问情况是否和大流量的DDoS攻击是否有关系”;“www.yb027.com”的管理公司武汉文英博艺教育咨询有限公司的张国令明确表示“具体详细情况,我自己也不太清楚”,且其没有提供公司营业执照,该被害人是否是公司员工,是否具备被害人资格存疑。
(三)1个网站是否遭到攻击,根本没有任何证据,应当排除
公诉人在法庭辩论时说:“网络犯罪有其特殊性等,结合已收集的被害人陈述及其他相应的客观证据等证据,完全可以作出综合认定,不需要对被害人全部进行取证。”这一说法运用在本案中,完全违背证据裁判的原则。根据起诉书适用的《计算机解释》第4条第1款第1项,就粤楚公司涉及的所谓11台计算机,除了被害人陈述,还有什么证据证明攻击后果?法律法规是规定了可以根据电子数据、书证等证据综合认定,但仅有的4个电子数据,来源不明,真伪不知,取证严重违反电子数据取证规则。
“hb529.shop.liebiao.com”是否受到过DDoS攻击,甚至没有被害人陈述。没有任何证据证明这个网站受到了DDoS 攻击。
(四)至少还有3个网站或IP根本不可能被DDoS攻击,应当排除
粤楚公司不可能攻击与其毫无竞争关系的两个位于北京的IP服务器。北京易维云数据科技有限公司负责人刘涛称,其公司IP为139.129.230.210和118.190.40.71的两个服务器2018年1月份曾遭到DDoS攻击。现有证据无法证明粤楚公司有何动机和理由攻击两个物理地址为北京的IP服务器。
唐小平和肖媛庭前及当庭供述均表明具有两个及以上的IP地址的网站,因无法确定攻击目标而不会发动攻击。张某与陈林的聊天记录表明攻击美国的服务器没有效果。而该公司李磊提到,网站放到了美国的服务器。辩护人通过网站“站长之家”PING检测(http://ping.chinaz.com)后发现,www.kedayikao.com响应IP的归属地都在美国,与李磊的陈述印证。
(五)即便确实受到影响,也不一定是唐小平DDoS攻击所致
网站服务质量降低的原因很多,DDoS攻击只是一个原因,网站自身的容量,一段时间内访问人数的剧烈增加,甚至没交网费、断网、电脑故障、电脑设置错误、临时停电、民工挖断电缆、雷电袭击,都会导致网站无法访问。要证明被攻击的网站是因为被DDoS攻击而服务质量降低,必须排除其他所有可能导致网站服务质量降低的因素,得出唯一结论。显然,这是各被害人都无法确定的事实,起诉书是如何排除其他所有因素而确定是DDoS攻击所致,而且还是唐小平发动DDoS攻击所致?
公诉人说,“正因为张某查看攻击效果,且有效果的情况下才会多次长期提交任务,根据一般经验,只有花钱有效果才会乐于继续花钱,张某2018年3月又再次充值200元的事实进一步证明了攻击的效果。”这一论证逻辑完全错误。第一,李荣洋曾指责唐小平,DDoS攻击没有效果。第二,花钱和效果完全是两回事。当庭打个比方,花钱请了律师就一定有效果吗?律师没有效果就不找律师吗?
综上,要证明11台计算机信息系统不能正常运行,必须要有客观证据,否则根本不能证明。但控方却没有一份有证明力的客观证据,有的甚至没有证据,有的则仅有被害人陈述这一孤证,根本不足以认定11台计算机信息系统遭受到了DDoS攻击影响。退一万步,即便有证据证明受到了DDoS攻击,也没有证据证明这些DDoS攻击是唐小平所致,被害人所称的DDoS攻击完全有可能是其他人实施的DDoS攻击。再退一万步,即便强行依据被害人陈述认定网站受到了DDoS攻击,至少hb529.shop.liebiao.com、www.kedayikao.com(武汉世纪金科教育投资有限公司)、139.129.230.210、118.190.40.71(北京易维云数据科技有限公司)这4个网址和IP不应认定,受攻击的计算机信息系统数量不符合“十台以上”。
五、张某不是粤楚公司购买DDoS会员服务的直接责任人员
粤楚公司辩解,此事非公司行为,公司从未开会研究过,张某、陈林也未报销过相关费用。张某仅是粤楚公司的股东之一,公司业务由各股东分工合作,公司事务共同决定,张某不是粤楚公司主管或实际控制人,且张某在公司中没有任何职位。粤楚公司中只有陈林懂技术,技术方面的事务由陈林负责,粤楚公司诉讼代表人姜皓严以及张亚中、陈林的证言都证实了这一点,相反张某不懂技术,不可能负责网站排名优化,只可能是陈林负责。张某的辩解和陈林的第一次讯问笔录能够印证,张某不懂技术,是陈林提出的DDoS攻击,是陈林提出要买匿名黑卡。DDoS攻击从提出设想到具体实施,完全由陈林负责,张某只是起到辅助的作用。综上,不应当将张某认定为对单位直接负责的主管人员和其他直接责任人员。
六、量刑辩护
退一万步,本案即便要强行认定犯罪,也应减轻处罚,适用免于刑事处罚,或情节轻微不认为是犯罪。
(一)张某不是主犯,应认定从犯
公诉人认为被告人唐小平、蔡季星、李荣洋、刘昌龙、张某在共同犯罪中起主要作用,是主犯,而王岩、肖媛在共同犯罪中起次要作用或者辅助作用,是从犯。这一意见明显不合理。
第一,前文已经指出,法无明文规定,购买者不应当认定为共同犯罪。
第二,退一万步而言,对破坏计算机信息系统罪所保护的法益的侵害程度方面,张某的作用远小于唐小平甚至王岩和肖媛。粤楚公司所购买的DDoS攻击,数量较之于唐小平实施的DDoS攻击而言数量极少,危害也较小,远不能跟唐小平、肖媛实施的DDoS所造成的危害相提并论。就王岩而言,王岩为唐小平提供技术支持,没有王岩的设计和日常维护,唐小平就不可能推出DDoS平台吸引客户购买服务;就肖媛而言,肖媛全程参与了唐小平的DDoS攻击,即便处于辅助地位,但较之张某,其所造成的社会危害程度显然更大,如果肖媛是从犯,张某更应认定属于从犯。
第三,唐小平凭借平台发挥着绝对的主导作用,粤楚公司则仅仅是购买服务,且是2000余名会员之一,如果认定粤楚公司的张某是主犯,理论上2000余名会员都有可能是主犯,这种结论显然会导致处罚失衡。
(二)犯罪情节轻微,主观恶性不大,且系初犯
1、没有违法所得,也没有证据证明谁有损失,损失多少
粤楚公司DDoS攻击的目的在于优化自己公司网站的排名,进而推广自己,但没有任何证据证明粤楚公司实现了这一目的,相反张某、陈林等人供述均称排名变化不明显。虽然几名所谓被害人称其公司因网站被DDoS攻击受到了影响,影响了招生等,但除其一方说法外,没有任何证据证明他们的招生情况有何变化,更没有证据证明这种变化是被告人的DDoS攻击造成。
2、即便按照起诉书指控,粤楚公司的行为也刚刚达到够罪标准,犯罪情节显著轻微
根据《计算机解释》的规定,造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的,才属于后果严重,而公诉机关指控粤楚公司造成11台计算机系统不能正常运行,刚刚超过入罪标准1台,情节显著轻微。
3、被攻击的网站,流量较少,即便被攻击,也不会对其公司业务造成较大影响
例如,武汉前程世纪教育科技发展公司员工肖浩陈述,其公司网站www.318edu.com,遭到DDoS攻击后无法打开,阿里云的客服建议花钱买高防护。但该公司的做法是“一直忍着他的攻击,一直持续到1月底,我们招生的黄金时段结束才停止DDoS我们的网站”。如果该公司网站真的如其所述对招生影响很大的话,特别是还处于所谓招生黄金时段,怎么可能不舍得花钱购买高防护?合理的解释是该网站对其公司宣传或招生的作用微乎其微。其他作证的被害单位绝大多数是类似情况。
4、部分被害单位存在过错,大量抄袭粤楚公司原创文章,恶意竞争在先
不完全统计,武汉邦德、武汉远博、武汉英博等公司的网站抄袭粤楚公司原创文章数量在45篇以上,而网站的原创文章数量直接影响到网站的排名,这才引发粤楚公司在被迫寻求网络优化的过程中犯错。粤楚公司并不是真的想害谁,进行DDoS攻击实际是其权益受到侵害后自力救济的一种被迫手段,其行为符合朴素的正义观念,定罪量刑时应当予以考虑。
5、张某等人响应国家号召,自主创业,误走弯路,系初犯,保证以后会吸取教训
张某上大学时勤工俭学从事家教工作,后跟陈林、张某中等创立粤楚公司,再后来又成立了武汉仟橙科技有限公司和武汉仟橙人力资源管理有限公司。他们的公司免费帮助了至少2000多名高考学生、大学生和找工作的毕业生。张某响应国家号召,自主创业,误走弯路,有一定的过错,但人非圣贤、孰能无过。恳请法院对于张某这样的创业青年,秉持宽严相济精神给予其最大的宽容和关怀,审慎对待本案定罪证据严重不足的问题,坚持证据裁判,即便要判决有罪,也希望免予刑事处罚,给予张某改过的机会。
6、张某认罪认罚
即使辩护人认为张某不构成犯罪,但张某仍然愿意认罪而想求得一个“好态度”。可是,张某的认罪不为法官和检察官接受,仍称他拒不认罪。关于认罪认罚,应当澄清如下理念:第一,认可基本事实,不等于认可全部指控事实,被告人仍然可以进行辩解,辩解并不等于不认罪。第二,认罪认罚是一种形式,没有必要强迫被告人展示内心,没有使法官、检察官达到内心确信被告人悔罪的必要。第三,审判长让被告人在认罪与支持辩护人无罪辩护之间作单项选择,如果不支持,就不考虑律师的观点,这是不对的。律师依据证据和法律独立进行辩护,无论被告人是否认罪,是否同意律师的观点,法院都应当依法考虑辩护人的观点,依法裁判。
在粤楚公司及张某案件中,侦查机关没有做到规范、全面取证,导致证据链断裂,定罪证据严重不足。对于被害单位的网站是否受到攻击,仅仅依赖唐小平的供述以及被害人的单方陈述,在完全有可能调取服务器中网站访问记录等进行印证的情况下,侦查机关“偷懒”而没有调查取证。由于境外服务器无法取证以及网站设置的原因,无法查证唐小平是否将粤楚公司的攻击任务提交进行,也没有证据证明str3ssed.me网站实施了唐小平提交的任务,导致证据链断裂。而且,起诉书适用法律适用错误。恳请尊敬的审判长、人民陪审员坚持证据裁判,准确适用法律,依法宣告张某无罪。
此致
海门市人民法院
张某的辩护人
北京圣运律师事务所律师
根据2019年1月10日法庭辩论整理而成
徐昕律师往期案件回顾:
以为是制作“玩具”,山东一夫妇印刷“魔术道具”人民币被以伪造货币起诉
为“打老鼠”买铅弹或引重刑,量刑不能只看“弹药数量” | 新京报快评
徐昕的教科书式管辖权异议程序之辩(附:王成忠枉法裁判案庭审文字实录节选及点评)
大状辩护词
用优秀的辩护词 推动法治进步
长按二维码关注我们