“技术宅”售卖社交平台账号非法获利7.6万余元，法院：判处有期徒刑三年

近日，上海市黄浦区人民法院审结了一起利用黑客技术非法获取某社交平台账号出售牟利的刑事案件。

案情回顾

小王刚满18周岁，是某大学大数据专业大一学生，自小喜欢计算机技术，初中时便自学E语言、C语言、Python、java等编程，混迹于各个论坛进行技术分享和交流，也掌握了包括“撞库”“爬虫”等黑客技术。

2023年12月，小王发现某社交平台服务器与微博服务器的跳转登录核验机制存在漏洞，未对通讯数据进行全面核验和加密，故产生了用黑客技术钻空子获取该平台账号信息并出售牟利的想法。

2023年12月至2024年1月间，小王利用上述漏洞，运用自己掌握的计算机通信技术手段，获取了相关账号的操作权限，后又利用该社交平台首次设置用户密码无需验证机制，自行编写了若干脚本文件登陆该社交平台服务器，批量向该社交平台服务器发起密码设置申请。

经司法鉴定，小王在该平台非法获取了上述账号的实际控制权，这其中包括个别明星的社交平台账号。期间，小王通过搭建专门的发卡网站用于出售上述账号，并从中非法获利7.6万余元。

2024年3月，小王被公安民警传唤到案，其到案后如实供述了上述犯罪事实。小王在审理过程中认罪认罚，在家属帮助下退出全部违法所得并预缴罚金三万元。

人民法院裁判

黄浦区人民法院经审理认为，被告人小王违反国家规定，采取技术手段，非法获取具有身份认证功能的计算机信息系统数据，情节特别严重，其行为已构成非法获取计算机信息系统数据罪，依法应予刑事处罚。

考虑到被告人小王到案后能如实供述自己的罪行，依法可以从轻处罚。小王能自愿认罪认罚、退出违法所得并预缴罚金，依法可以酌情进行从轻处罚、从宽处理。根据被告人小王的犯罪事实、情节及认罪、悔罪表现等，可以适用缓刑。

最终黄浦区人民法院以非法获取计算机信息系统数据罪判处小王有期徒刑三年，缓刑三年，并处罚金人民币三万元；退缴在案的违法所得连同扣押在案的犯罪工具，予以没收。

一审判决后，公诉机关未抗诉，被告人小王未上诉，案件现已生效。

法官说法

在“全民触网”的当下，各类社交平台蓬勃发展，成为人们对外社交的重要一环。网络社交账号特别是经过实名认证的账号，具有一定的财产属性和人身依托性。

针对公民社交账号实施的非法获取、倒卖等一系列违法犯罪活动，不仅干扰了平台运营商的正常经营秩序，破坏了社交平台网络空间社区的健康生态，而且这些被非法倒卖的账号会成为网络黑灰产团伙进行网络引流的工具，从而催生电信诈骗、网络赌博等一系列下游犯罪。

一、利用黑客技术非法获取大量社交账号可能涉刑

《中华人民共和国刑法》第二百八十五条第二款将违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据且情节严重的行为认定为非法获取计算机信息系统数据罪。这里的“获取”包括从他人计算机信息系统中窃取，如直接侵入他人计算机信息系统，秘密复制他人存储的信息；也包括骗取，如设立钓鱼网站，在用户登录时，骗取用户输入账号、密码等信息。

本案中，被告人小王违反国家规定，利用机制漏洞，通过拦截、修改数据包成功盗窃并控制了某社交平台上的大量账号，系以非法手段获取了具有身份认证功能的计算机信息系统数据，而后出售账号数据获利7.6万余元，属情节特别严重，故小王上述行为已构成非法获取计算机信息系统数据罪。

二、强化网络安全意识，维护清朗“冲浪”环境

本案中，小王是大学本科生，本应有大好前程，却因一时贪欲将技术本领用于违法犯罪，最终承担了严重的法律后果。广大计算机爱好者要引以为戒，自觉履行数据安全保护义务，切莫为“逞能炫技”或“侵财逐利”踏入违法犯罪的深渊。

作为近年来司法实践中新出现的犯罪行为，非法获取计算机信息系统数据犯罪具有科技含量高、隐蔽性强、形式多样化等特点，因此保护网络数据安全、维护清朗“冲浪”环境需要网络服务者和公民个人共同努力。

互联网企业应当做好平台数据安全的“监督者”和“守卫者”，高度重视数据安全和个人信息保护，在技术层面上加强密码安全性校验，定期更新漏洞补丁，进行实时行为分析和异常检测，并完善账号发生盗用后的申诉、补救、校验、恢复机制。

公民个人应加强网络安全意识，对个人信息数据泄露保持警惕，平时不随意点击来源不明的链接或下载未知的软件，并定期更新自己的操作系统和应用程序。为加强对个人隐私的保护，公民在设置账号密码时可以采取增强密码的复杂程度、不同平台设置不同密码、减少不同程序之间的账号关联、多因素身份验证等方式以提高账户的安全性。

法条链接

一、《中华人民共和国刑法》

第二百八十五条　……

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

……

二、《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》

第一条　非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：

获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；

获取第项以外的身份认证信息五百组以上的；

非法控制计算机信息系统二十台以上的；

违法所得五千元以上或者造成经济损失一万元以上的；

其他情节严重的情形。

实施前款规定行为，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节特别严重”：

数量或者数额达到前款第项至第项规定标准五倍以上的；

其他情节特别严重的情形。

明知是他人非法控制的计算机信息系统，而对该计算机信息系统的控制权加以利用的，依照前两款的规定定罪处罚。