黑客勒索病毒案——辩护词部分截取展播
2020-06-07
【背景介绍】
本案公诉机关指控汪某某成立计算机恢复数据中心,从事勒索病毒解密业务,在明知境外黑客以非法占有为目的,通过发送勒索病毒破坏境内公司、企事业单位数据库的方式勒索财物,而与之共谋(有证据邮件显示汪某某答应黑客留其公司的网站,让其帮助收取解密费。但是,中毒的客户很多都是从淘宝等非留网址的渠道找到汪某某的公司,不能一概而论。)采取收取解密服务费的方式向找到其恢复数据的被勒索单位收取解密服务费,并以购买解密具的名义向境外黑客联系、购买解密工具,恢复被勒索单位数据……
汪某某被控敲诈勒索罪一案
一审阶段辩护词
尊敬的审判长、审判员、人民陪审员:一审阶段辩护词
广东守静律师事务所接受本案嫌疑人汪某某近亲属委托并经本人确认,指派本所律师田鹏担任汪某某涉嫌敲诈勒索一案(黑客勒索病毒案)的辩护人。接受委托后,辩护人先后多次会见汪某某,经过当庭庭审质证与发问,结合全部案卷材料、相关法律法规,现发表如下法律意见,与贵院商榷。
辩护人总体认为,汪某某构成敲诈勒索罪,但“未留网址的业务行为”依法应当认定为中立的帮助行为;且被告人汪某某依法构成从犯。恳请尊敬的合议庭依法审查,供合议庭参考。具体理由如下:
一、本案“未留网址的帮助解密业务”系中立的帮助行为,依法不构成犯罪
本案公诉机关的指控:“被告人汪某某、刘某某明知境外黑客敲诈勒索境内公司、企事业单位,而与之合作,变相帮助境外黑客收取勒索费用并从中牟利”,并据此将本案中18家被害公司所支付的解密费用376500元全部认定为敲诈勒索的犯罪数额。换言之,公诉人深层的逻辑归纳为:“被告人知道黑客已经攻击受害人电脑,不论是否留网址(是否有合谋),只要被告人向黑客支付比特币购买解密工具,均认定为对黑客的“变相帮助”行为,一律认定为敲诈勒索罪。”辩护人认为,公诉人显属“以偏概全”的逻辑错误,根本原因在于:汪某某及刘某某的行为,在本案中应做不同性质的阶段性评价:
未留网址阶段:2019年3月15日之前——与黑客毫无联系,2019年4月12日之后——明确拒绝黑客向被害公司预留其网站+受害人都是百度等找到被告人解密,被告人的行为应当认定为“中性业务活动”,不应认定为犯罪;
默许发送网址阶段:2019年3月15日——2019年4月12日,因汪某某默许黑客向被害公司发送公司网址,汪某某的中性业务行为则逾越了中立界限,辩护人对该部分行为构成敲诈勒索的帮助犯不持异议。
(一)“承揽业务+购买解密工具+为被害公司解密”的行为应评价为“中性业务行为”
在世间,任何事物都有界限,行为事实亦然,在犯罪构成要件领域,越过界限就才可能构成犯罪,没有超越界限或者无罪或者中性的帮助行为。所谓的中性业务活动,是指为满足社会生活的一般需要而提供的从外观上看通常可以反复继续实施,具有匿名性、可替代性的业务行为。中性业务活动的特点是:(1)提供行为相对被动,且对所有人都可以提供;(2)行为可能被他人利用而对受保护的法益产生一定危险;(3)即便中性业务活动会产生不确定的风险也应该赋予行为人相当程度的职业自由,否则社会生活会限于停滞,因此,即便个别职业活动为犯罪客观上提供了帮助,也应允许类似行为继续实施。
回归到本案中,被告人汪某某、刘某某实施的“承揽业务+购买解密工具+为被害公司解密”核心实行行为,本质上具有“中性业务行为”的全部属性:
首先,从外观上看汪某某等人的行为可以反复继续实施,具有可替代性,勒索病毒解密业务就是向黑客支付比特币购买解密密钥,而后为被害公司解密这样一个简单的行为,它可以被任何具有比特币交易知识、具有英语交流能力、具有初级计算机知识的人所替代实施、反复实施;
其次,汪某某及刘某某提供数据恢复、解密的业务,并非积极主动的去追求,而是在黑客已经完成勒索攻击(被告人并不知情黑客如何攻击、攻击何目标、攻击多少人等),被动的接受受害公司的委托,换言之,并非被告人主动设置的陷阱并且积极主动地去促成黑客攻击的所有环节行为事实项。通俗地讲: 被告人作为收取比特币、出售、交付解密密钥的中介,而介入到被害公司和黑客之间,从某种上帮助了黑客的勒索行为,对被害公司的法益造成一定风险;
最后,就汪某某、刘某某向黑客购买解密密钥,为被害公司解密、恢复数据的行为而言,法律也应当赋予其一定的职业自由。从病毒破解视角考察,本案中该种类型的勒索病毒无法通过杀毒软件等技术方式进行解密、恢复。被害公司所遭受攻击的勒索病毒为“globalposter”病毒的变种,在案发当时除了向黑客支付比特币购买解密密钥,根本就没有任何解决方式,例如华中科技大学等高校科研单位中毒亦无法破解。即便是向360、金山等大型数据安全公司求助,也无法得到解决。例如:“我们发现被攻击之后跟360公司的病毒中心联系,但是对方说我们公司中的是变种的勒索病毒,没有办法解密”(某某询问笔录);根据中国最大的互联网和移动安全产品及服务提供商360安全科技股份有限公司(以下简称“360公司”)2019年4月12日发布的《2019年3月勒索病毒报告》同样可以证明对该勒索病毒用户只能被动防御,中勒索病毒后无其他有效方式进行解决,只能选择向黑客妥协,支付比特币购买解密密钥;
此外,在案证据显示,被害公司与黑客之间并无信任基础,存在着不懂英语、不懂如何购买并支付比特币、不懂如何自行恢复数据等多重障碍,无法与黑客进行沟通交流。例如在被害公司与黑客的邮件往来中:“没有比特币,人民币行不行啊?”“我英语不好,你给的是卖比特币的人吗?可以给个联系邮箱吗?”、“那个huobi APP 我们不会操作,有没有操作步骤发一下”、“好吧,我们财务说不会搞这个比特币,那我们就去找你推荐的那个人了,唉,打扰了,下次不要黑我们小企业了,伤不起”此类表述存在多处,不胜枚举,足以证明在被害公司与黑客之间存在着多种障碍,被害公司更倾向于选择国内数据恢复公司,代表他们与黑客磋商、恢复数据。
进一步,从公司损失角度考察,中小型企业遭受病毒困境——潜在的损失巨大或者远远超出想象,因此,受攻击的公司或者企业通过向以汪某某为代表的数据公司求助,避免生产经营陷入停滞——自我救赎,在没有其他任何期待可能性的情况下,汪某某的中立行为应当被社会所容许——赋予其一定的职业自由,毕竟法律的实质是保护公司和企业免受损失,汪某某的中立行为亦有保护企业的实质立法精神。
综上所述,在不考虑其他因素的前提下,从本案中汪某某、刘某某二人的核心行为本质来看,这种行为的模式从整体上应归属为“中性业务行为”。而中性业务活动本身不具有犯罪属性,即便是客观上可能被其他犯罪人所利用、操纵,对正犯的犯罪起到促进作用,应当加以区分,区别对待,不能一概认定为是犯罪。
(二)公诉人存在明显的逻辑错误和陷阱——不能以“主观归责论”笼统、模糊的一概地将“中性业务行为”认定为构成犯罪
辩护人经过检索裁判文书网、相关新闻报道后发现,本案极有可能是我国第一起因为从事“互联网勒索病毒解密业务”而被刑事处理、打击的案件,对这起案件的处理结果,将会成为标杆式、示范式的司法判例。
公诉人目前的指控逻辑是“主观上被告人认识到黑客已经攻击电脑,认识到自己在帮助黑客收取解密钱款,则构成犯罪。”此种逻辑乃“主观归责原则”定罪的陷阱。主要理由如下:
1.采用“主观归责”原则认定共同犯罪,忽视了被告人核心实施行为的中立属性,系以主观推及客观,逻辑倒置的错误
本案中,公诉人的逻辑显然是因汪某某与刘某某二人对黑客的行为主观上有认识(明知),客观上黑客也实施了敲诈勒索行为,按照传统的帮助犯因果关系理论,将二被告人作为帮助犯,对18起事实进行指控。在这种指控逻辑下,汪某某及刘某某二人对黑客的行为有无主观认识,成为了处罚与否的关键。但这种指控逻辑,明显放弃了对汪某某及刘某某实施行为是否具有危害性的考察评价——是否提升、促进正犯行为的危险性,只考虑被告人的主观意志,而无视行为本身的中立属性,笼统将所有的行为认定为是犯罪行为,明显系有罪推定、主观定罪,属于逻辑倒置之陷阱。例如,张三恶意持续将他业主家的门锁上锁,留下字条说交付2000元,否则持续上门搞破坏,业主找到经营开锁的人来开锁,开锁的人显然不构成犯罪。进一步增添条件,张三搞完破坏后,告诉李四,我留下你的联系电话,你可以上门修锁,但是利润给我绝大部分,李四应允。此种情况,张三与李四相互之间有默许的或者明示的合谋,构成犯罪,辩护人不持异议。但是,继续增加条件,李四说不要再留我的电话了,我感觉良心不安,我还是要正常经营,后张三没有留李四的电话,张三破坏锁门后,客户主动找到李四修锁,李四又恢复 了市场中立的交易业务行为。此时,辩护人认为不能从主观上判断李四明知张三搞破坏而去实际上修锁,而构成犯罪,因此主观故意的明知需考察客观的行为是否促进或者提升了正犯行为的危险化。
2.采用“主观归责”的指控逻辑势必导致处罚范围的无限扩大,将会使得数以千计的数据恢复公司、数以十万计的数据安全工程师面临犯罪的风险
辩护人以“数据恢复”为关键词在企查查APP上进行检索,数据显示截至辩护词撰写当日,全国登记在册的从事数据解密、恢复业务的公司共计4464家,从事数据恢复、解密的工程师数量有十余万人。而根据知名计算机信息安全公司卡巴斯基发布的《卡巴斯基安全报告2019》数据显示:“2019年,卡巴斯基实验室监测到有75.5485万台独立用户的计算机成为加密程序的目标,其中包括209679个企业用户和22440个中小企业用户。在这一年中,卡巴斯基实验室共检测到46156种,此加密勒索软件攻击,并发现了22个新家族(参见附件)。”
由此可见,我国每年有大量计算机系统遭遇到勒索病毒的攻击,被害企业达到二十余万家,其中相当一部分勒索病毒因其加密技术先进而无法直接破解,必须通过向黑客支付比特币、购买解密工具的方式完成解锁。这也是市场中大部分数据解密、恢复公司的业务来源。如果按照公诉人的逻辑,所有从事数据解密、恢复工作公司,只要是认识到发动病毒攻击、勒索被害人或者被害公司比特币的黑客是在犯罪,而仍然支付比特币、购买解密工具,为被害人/被害公司解密的行为,都属于和汪某某、刘某某二人一样的“明知境外黑客敲诈勒索,而与之合作,变相帮助境外黑客收取勒索费用并从中牟利的行为。”以公诉人的逻辑,我国市场中的绝大部分数据恢复公司和数据安全工程师都是在帮助黑客实施敲诈勒索行为,都构成刑事犯罪。另外,以公诉人的逻辑,势必会造成这样的结果:以后,我国所有从事数据解密、恢复的公司及其工作人员,在进行数据解密、恢复之前,都要去自行调查、评判他人是否是在实施犯罪——这是公开的秘密+肯定知道他人在实施勒索病毒犯罪,这明显是不符合常理的。
因此,本案中公诉人采用“主观归责”原则认定被告人汪某某、刘某某构成敲诈勒索罪的逻辑是不通的。作为一种新类型案件,辩护人希望合议庭能够审慎对待,对公诉人的指控逻辑错误进行纠正,对案件的事实作出精准认定。
(三)进一步,本案应当根据“客观归责论”进行精准区分与认定
前文已述,汪某某、刘某某二人的核心行为原点是“向黑客购买解密工具”与“为被害企业恢复数据”这两个中性业务行为。中性业务行为是社会中绝大部分人都能认可、接受的,并未“强化、促进正犯的危险制造和实现(上文已述)。”回归到本案中,从经营行为的构成上,汪某某、刘某某经营数据解密、恢复业务,而遭受勒索病毒攻击的被害公司选择向XX公司寻求数据解密、恢复,说明其业务行为是为社会所接受的(从报案笔录可以看出,很多成功被解密的公司都是被动报案,从不认为自己是受害人,即这是被社会所接受的。),因此,只要汪某某、刘某某二人的经营行为并未“强化、促进”勒索病毒的制造、攻击或者现实危险,就不能认定汪某某、刘某某的行为构成黑客敲诈勒索的帮助犯。换言之,本案中,对汪某某、刘某某行为的评价关键在于二人的行为是否“跨越了中立行为的边界,制造了刑法所反对的危险”。为此,辩护人认为应当对汪某某、刘某某的行为进行如下性质不同的阶段性区分:
1. 汪某某在“2019年3月15日——2019年4月12日”期间,放任黑客向被害公司发送XX公司网站,超出中性业务行为的界限,应当对其客观归责
根据汪某某与黑客之间的电子邮件往来情况和被害公司与黑客的电子邮件往来情况可知:黑客“Auchentoshan”第1次向被害公司发送汪某某公司网址的时间为2019年3月15日:“But you can go to this site XXXX.com,this is Chinese site who help with decrypt .it will be easy for you and me ”(卷3,第60页),而在案证据,汪某某与黑客2019年3月1日-3月15日之间的电子邮件往来中(卷3,第178-183页),汪某某与黑客之间并没有就“向被害公司发送汪某某网址信息”一事进行任何联络并达成合意。而在2019年4月12日汪某某与黑客的邮件往来中,汪某某明确对黑客向被害公司发送自己公司网址的行为进行制止:“don’t send my website to customers ,customers will think that i am a virus writer,thank you.”(卷3,第192页,汪某某与黑客邮件往来记录)。因此,本案中认定二人构成敲诈勒索罪的关键核心在于“汪某某在2019年3月15日——2019年4月12日之间,放任、默许了黑客向被害公司发送了XX公司网址。”在这个时间段内,汪某某默许、放任黑客发送其公司网址的行为,超出了中性业务行为的界限,使黑客所制造的危险升高,对其进行客观归责,认定构成黑客敲诈勒索的帮助犯,辩护人不持异议。
2. 汪某某在“2019年3月15日——2019年4月12日”期间之外,所从事的数据解密、恢复业务,与“黑客发送其公司网址”的行为毫无关联,又回归到了中性业务行为的范畴
在案证据显示,在2019年3月15日之前,2019年4月12日之后,并不存在黑客发送XX公司网址的情形,因而汪某某、刘某某的行为又恢复到中性业务行为,不再对黑客实施敲诈勒索活动起到超过中立界限的帮助作用,因而不能认定为成立敲诈勒索罪。
因此,本案应当按照“客观归责”原则,对汪某某、刘某某的行为进行区分、认定,以“中性业务行为本身是否超出中立界限,增加黑客所制造的危险”为区分标识,对二人的行为进行明确区分。
综上所述,鉴于案情原因,本案认定共同犯罪,不宜采用“主观归责”原则,而应当采用“客观归责”原则,对汪某某、刘某某二人的行为进行区分、认定,被告人所实施的行为,首先应当是“中性业务行为”,而仅在“2019年3月15日——2019年4月12日”之间,由于其“默许、放任”了黑客向被害公司发送了XX公司网址,因而该“中性业务行为”逾越了中立的边界,因而成立黑客敲着勒索犯罪的帮助犯,除此之外,对其行为依然要做“中性业务行为”加以评价,恳请合议庭予以重视并审慎认定。
二、预留网址的行为即使构成犯罪——被告人依法应认定为从犯
纵观全案考察,被告人在全案中处于勒索病毒解密产业链条的下游环节,地位低下、获利稀少、作用轻微——跑腿、代办、中介、辅助特征明显,依法应当认定构成从犯,具体论证如下:
根据360安全卫士、腾讯安全联合实验室等权威安全技术公司发布的《互联网黑产研究报告》显示,在计算机数据安全领域内,形成了一条完整的互联网勒索病毒解密产业链条。该链条根据行为模式和参与主体可以分成三个环节:上游行为、中游行为和下游行为。上游行为是指开发者——制作并传播勒索病毒及病毒生成工具和提供相应技术支持的行为;中游行为是指实际攻击者——利用从中介网站/技术论坛获得的勒索病毒与技术向全球范围发动大规模勒索病毒攻击,向受害者勒索比特币等数字虚拟货币的行为;下游行为是指实际解密者——数据解密恢复公司利用自身技术条件,代表受害者向攻击黑客支付比特币购买解密密钥,为受害者解密恢复数据的行为。而在本案中,汪某某所处的环节与业务行为明显能够证明其处于勒索病毒解密产业链条的下游环节,地位低、作用轻微。
(一)从实行行为考察:被告人并非病毒的发起者、病毒的制造者、病毒攻击的实际控制者、病毒的攻击目标及数量等均与汪某某毫无关联性
辩护人认为汪某某的行为简单、低级,代表被害公司与黑客就解密事项进行磋商,跑腿、中介特征明显,仅是在客观上对黑客的敲诈勒索行为起到帮助作用。
首先,就经营模式而言,与市场中的大多数数据恢复公司相同,XX公司的经营模式为:遭受计算机病毒攻击的用户联系“XX公司”——“XX公司”工程师分析客户提供数据——数据经测试可恢复——报价签订协议——帮助客户联系黑客索要解密工具进行技术支持——数据恢复成功;
其次,就本案汪某某的行为而言,根据前文所述的勒索病毒解密产业链条情形,在本案中,勒索病毒入侵过程包括以下行为及事实:黑客设计勒索病毒→向被害公司发动病毒攻击→被害公司和黑客沟通→黑客与客户沟通产生障碍→黑客向被害公司发送“XX公司”网址→部分被害公司联系“XX公司”→汪某某代表客户向黑客支付比特币购买解密工具→“XX公司”运用计算机技术帮助客户解密;
因此,从XX公司经营模式、汪某某的行为构成以及勒索病毒侵害的核心实行行为过程考察,被告人并非病毒的发起者、病毒的制造者、病毒攻击的实际控制者、病毒的攻击目标及数量等均与汪某某毫无关联性。汪某某及XX公司为代表的广大数据恢复公司所扮演的都是跑腿、中介的角色,在客观上对黑客利用勒索病毒进行敲诈勒索的犯罪行为起到帮助作用。
(二)从盈利比例考察:汪某某获利比例甚少,其中包括为被害公司进行解密操作的人工服务费
辩护人认为汪某某所赚取的是被害公司支付的人民币扣减掉购买向黑客支付的比特币之后的差价,以及为被害公司进行解密操作的人工服务费,利润微薄,中介、从属地位显著。
辩护人对汪某某与黑客的邮件往来进行梳理后发现,汪某某与黑客就支付比特币的价格多次进行议价磋商,例如:“hello,sir.can the price be 0.5?I am currently working with many agents”(卷3,第190页),“Can it be cheaper?I quoted the customer at the previous RMB price .So I don`t have much profit.”(卷3,第194页)。由此可见,汪某某既是在跟黑客做生意又与被害公司做生意。
此外,根据汪某某的供述:“问:给客户数据解密的操作客户是否会自己操作?答:这个一般的客户是不会自己操作的,需要一定的专业方面的知识和操作能力才可以,所以一般都是我自己操作给客户解密数据”(卷2,第32页)以及汪某某与黑客之间的邮件往来(卷3,第175-201页),辩护人认为:汪某某向黑客支付比特币后,从黑客处获得被害公司专属的解密密钥,而被害公司无法自行操作解密,必须由汪某某一方进行技术操作,汪某某一方需要为此付出时间和技术进行人工操作甚至前往被害公司所在地提供技术解密服务。
因此,从支付方式和盈利模式来看,汪某某向被害公司收取的解密费用包括:向黑客支付比特币所需的费用(敲诈勒索罪犯罪金额)+为被害公司进行解密工作的技术服务费+汪某某的些许利润。换言之,对于这部分利润,也应当扣减交易当时比特币折算人民币后的费用,扣减汪某某所付出的时间、技术等成本费用,最终对敲诈勒索犯罪的数额进行精准认定。在价格商讨中,汪某某既与黑客讨价还价,又跟被害公司讨价还价,从而赚取差额。这种行为更能说明汪某某介于黑客与被害公司之外的中介、从属和辅助地位。
(三)进一步,举例论证:汪某某就是一个跑腿的骡子,并非不可替代
本案中,对于汪某某的行为,最初公安机关以非法侵入计算机信息系统罪立案,而后又将汪某某的行为认定为敲诈勒索罪。也可以说明此案在定性方面疑难复杂,比较汪某某的行为有中立的帮助行为之部分(上文已论述)。为便于合议庭对汪某某在本案中的实际地位和作用进行理解,辩护人进一步试举例论证。
实务中常有以受害人“裸照”相威胁,向被害人勒索赎金的敲诈勒索案例。在相关案例中,对裸照的持有者认定为主犯是实务中的基本观点,而替裸照持有者向被害人收取赎金、跑腿的行为人,对主犯勒索赎金的行为起到帮助作用,理所应当构成从犯。
回归到本案中,向被害公司发动勒索病毒攻击的黑客是敲诈勒索行为的主要实施者、控制者、发起者、决定者,应当认定为主犯,而汪某某所扮演的就是一个替黑客收费、为被害公司解密的“跑腿人”、“代表人”的角色,和前述案例中“替裸照持有者向被害人收取赎金的行为”别无二致。因此,同样应认定为从犯。
综上,从经营模式和具体行为、支付方式和盈利模式两个维度进行分析,汪某某在全案中处于勒索病毒解密产业链条的下游环节,其地位低下、获利稀少、作用轻微,跑腿、代办、中介、辅助特征明显。
备注:以上为本案辩护词部分截取,未完待续……