利用恶意SDK推送广告，涉嫌构成非法控制计算机信息系统罪

扫描分享

本文共字，预计阅读时间。

场景

互联网历来的三大变现利器：广告、金融、游戏。

而流量太贵，就意味着犯罪机会。

流量老司机发现，通过对用户手机内预装的App植入SDK，推送弹屏商业广告或“无感”实现模拟人为点击广告，来钱很快、简单粗暴，而且市场上有大把类似的流量公司变着法搞事。看着自己银行卡的流水蹭蹭地涨，心儿也轻轻然地飘。

这种“流量劫持”不算新鲜事物，推送式SDK的一般实现方式为：

（1）研发只保留广告功能的SDK（即广告SDK）并向包括手机方案商、中间商、厂商在内的手机商推广广告SDK业务。具体模式为：由流量老司机提供广告 SDK 工具包，手机商将广告 SDK 工具包预装到智能手机系统中，并使广告SDK 获取系统权限，流量老司机则根据存活率按安装台数或以广告费收入分成的方式向手机商支付费用。

（2）装有广告SDK的手机在用户首次开机联网时，广告SDK即通过互联网与后台服务器连接，在用户不知情的情况下向后台服务器上传 imei、imsi 等用户信息、自动更新广告SDK 版本等，并根据与手机商达成的运营方案通过服务端（即 BOSS 系统）对推送方式、内容及频率等进行配置，向用户推送商业性电子信息，从而产生广告费收入。

这类流量老司机通常秉持一个信条：大事不犯，小事不断。任我拆好几个马甲包、做一段时间就停掉、每个都赚好就收，在互联网流量的汪洋大海里，这类捣蛋鬼实在难以被察觉。

然而并不是所有的流量老司机都是幸运的，特别是当触及损害互联网巨头的利益时，被举报控告、立案抓人是分分钟的事。常在河边走，难保不湿鞋。

非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪，三大网络罪名已为流量老司机量身定作。

经典案例（摘要）

案号：（2018）浙0428刑初372号

构罪论证：“违反国家规定”（未经用户同意授权）+“非法控制”（非用户本人操作，使计算机信息系统执行特定操作）+“计算机信息系统”（设备整体而非仅指操作程序）

“首先，非法控制的本质在于非法性，即违反国家规定；其次，控制行为的本质在于非用户本人操作。本案大部分被告人及辩护人认为广告SDK的预装及运行不属于非法控制计算机信息系统，一是广告SDK是合法的，预装行为不属于侵入或其他技术手段，没有违反国家规定；二是广告SDK获取用户信息、向用户手机弹送广告不属于控制行为；三是广告SDK行使的是程序运行权，而非系统控制权，本案中计算机信息系统没有被侵害。

（1）是否违反国家规定的问题。

有多名被告人供述证实手机用户对广告SDK的预装及运行并不知情，且有如下客观事实予以印证：广告SDK是预装在手机中的，弹送广告与用户操作手机的行为目的无因果关系，而广告SDK的预装及运营有诸多规避行为，例如设置白名单（不运营的用户）、区域性运营（避开百度、阿某、腾讯三大公司所在地）、设置静默期（激活后一段时间内不运营）、不在桌面上显示广告SDK的图标、规避操作系统提供方的检测获取签名、进网样机中未植入广告SDK等；在弹送广告的方式上具有伪装性，例如在用户点击某个应用程序的前后弹送广告，使用户误以为是打开的应用程序所弹的广告等。此外，被害人陈述亦证实对所使用的手机装有广告SDK并不知情，所弹广告未经允许，故有被告人及辩护人提出广告SDK的预装、运行已告知手机用户并获得许可的辩解及辩护意见与事实不符，本院不予采信和采纳。基于广告SDK的预装及运行均未经用户允许，其获取用户信息、自动更新、静默安装等在其他经用户允许的应用程序中同样具备的功能，均属于未经用户授权。

一键达apk是利用广告SDK的静默安装功能经BOSS系统打开放量后未经用户允许进行安装，上述事实有被告人颜琦、廖天一、张明伟、吕涛等人的供述及司法鉴定意见书予以证实；被告人欧建宏当庭辩称只有同时开启静默安装权限、辅助功能权限并且点击查看推送的用户才会自动下载、安装并运行一键达apk，实现自动关注微信公众号，被告人廖天一当庭辩称用户点击推送的文章或新闻，即表示喜欢该公众号，一键达apk则给用户提供自动关注公众号的服务，被告人张明伟当庭辩称一键达apk经用户同意后安装并关注公众号，其功能是服务行为，对此本院认为，手机用户开启静默安装权限、辅助功能权限目的是为了获得合法的服务，而一键达apk的目的是为了实现微信公众号粉丝量快速增长，从而利用大量的粉丝资源谋取利益，没有任何服务性质的功能，且所谓的用户点击查看即表示同意关注微信公众号的理解，是将程序开发者的主观意志强加于用户的行为之上，曲解用户点击阅读的行为目的。综上，被告人欧建宏、廖天一、张明伟就一键达apk提出的辩解与事实不符，本院不予采信，对辩护人提出的相应辩护意见不予采纳。

可见，广告SDK及一键达apk的预装和安装未经用户允许，二者的运行亦未取得用户授权，违反了《中华人民共和国计算机信息系统安全保护条例》及《全国人大常委会关于加强网络信息保护的决定》的相关规定，属于违反国家规定。

（2）关于控制行为的问题。

本院认为，广告SDK及一键达apk运行的一系列行为均属于控制行为。控制行为的本质是非用户本人操作，后果是使计算机信息系统执行特定操作，不限于行为人直接行使了控制权，也可以是通过计算机程序等媒介使用了控制权，且控制行为不必然具有排他性，包括完全控制，也包括部分控制，只要是计算机信息系统执行其发出的指令即可。本案便是利用广告SDK和一键达apk等程序使用户手机执行了一系列操作：获取用户信息，自动上传、下载、删除数据，弹出广告、调用手机辅助功能自动模拟用户操作等等，而二者的运行及运行后果能否被手机用户中止、改变不影响行为性质的认定，故对各被告人及辩护人相应的辩解和辩护意见均不予采纳。

（3）计算机信息系统的问题。

所谓计算机信息系统是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等，指的是设备整体，并非仅指其中的操作系统，被告人欧建宏、陈言敏的辩护人提出广告SDK行使的是程序的运行权，而非系统的控制权，计算机信息系统没有受到侵犯的意见本院不予采纳。

综上，广告SDK及一键达apk的安装、运行构成非法控制计算机信息系统。”

场景

经典案例（摘要）

相关法律法规