尚权推荐SHANGQUAN RECOMMENDATION

林某等人获取并销售计算机公网IP地址案在该类案件中较为典型，可从五个方面加以解析。

一、关于计算机公网IP地址的法律性质

IP地址是指互联网协议地址。它由32位二进制数组成（该案主要涉及IPv4地址），包括网络ID与主机ID两部分。同一网络上的所有主机使用同一个网络ID，同时，每一个网络设备又拥有各自独立的主机ID。IP地址在INTERNET范围内是唯一的，被称为网上门牌号。但IP地址既可能是固定的，也可能是动态的。该案所涉及的用于买卖的IP地址基本上是动态的。IP地址不同于域名，域名通过DNS（域名系统）被转换为IP地址。IP地址也不同于MAC地址，MAC地址是网络设备的物理地址，它在设备制造时被硬编码到设备中。IP地址的法律属性主要涉及以下两个问题：

第一，计算机IP地址是否属于计算机信息系统数据。根据最高人民法院、最高人民检察院2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，刑法第285条中的“数据”并非技术意义上的全部数据，而重点是指数据中的身份认证信息。《全国人民代表大会法律委员会关于〈中华人民共和国刑法修正案（七）（草案）〉修改情况的汇报》也提到，制定非法获取计算机信息系统数据罪的原因在于，“一些不法分子利用技术手段非法侵入上述规定以外的计算机信息系统，窃取他人账号、密码等信息”的行为严重危及网络安全。随着数字时代的到来，万物都可以被数字化，并可能成为犯罪侵害的对象。为扩大刑法保护范围，司法实践中对现有犯罪进行扩张解释，即把刑法第285条中非法获取计算机信息系统数据罪中的“数据”加以扩大解释，使之等同于数据安全法中的数据，即“任何以电子或者其他方式对信息的记录”。因此，IP地址数据属于计算机信息系统数据。

第二，计算机IP地址是否属于个人信息。对此，司法实践中存在争议。多数判决把IP地址认定为个人信息，但是，也有少数判决把单纯的IP地址排除在个人信息之外，认为从IP地址难以识别特定自然人身份。有关立法倾向于把IP地址作为个人信息，这从个人信息保护法第4条采用“已识别+可识别”的标准可知。另外，国家市场监督管理总局、国家标准化管理委员会2020年发布的《信息安全技术 个人信息安全规范》也将IP地址作为个人信息。因此，将IP地址理解为个人信息更为合适。

二、关于软件安装时用户许可协议的效力

构成刑法第285条第2款中违法行为的前提是违反国家规定，但对于如何理解违法性标准，学界主要有四种观点。第一种是协议标准，以访问行为是否违反Robots协议或者其他许可协议为标准。这是我国理论与实务界的主流观点。第二种是技术标准，以访问行为是否规避了用户的反制技术措施为标准。第三种是安全标准，以访问行为是否避开或者突破了安全保护措施（即访问控制措施）为标准。第四种是权益标准，以访问行为是否侵害了用户的实体权益为标准。就该案而言，即使采取协议标准，也要对A软件性质进行具体分析。用户同意许可协议并点击安装A软件，意味着用户同意A软件访问其IP地址，但这并不等于用户同意A软件复制、存储其IP地址数据，更不等于用户同意A软件利用B程序控制或者出售其IP地址。另外，由于IP地址属于个人信息，而对个人信息处理的“同意”只能是具体的，而不能是抽象和概括的。即使是对于公开的个人信息，未经同意的处理行为也可能违法。

三、如何理解“对计算机信息系统实施非法控制”

对计算机的非法控制，既包括部分控制，也包括全部控制，只要计算机能接受行为人发出的指令，完成相应操作，均属控制。对计算机的部分控制，是对计算机一个或者多个进程的控制。部分控制是否构成刑法中的非法控制计算机信息系统数据罪，取决于其法益侵害程度。根据相关司法解释，非法控制计算机信息系统20台以上、违法所得5000元以上或者造成经济损失1万元以上的，均可构成犯罪。此外，对计算机的完全控制，可能导致计算机信息系统不能正常使用，这种程度的控制被刑法评价为“破坏计算机信息系统”。非法控制计算机信息系统犯罪也一定会对计算机信息系统进行删除、修改、增加或者干扰。最高法指导案例145号张竣杰等非法控制计算机信息系统案阐释了非法控制计算机信息系统罪与破坏计算机信息系统罪之间的关系。

四、如何界定非法经营罪兜底条款的适用范围

对于非法经营罪的兜底条款，实践中主要通过司法解释对其进行类型化和具体化。国务院2022年《互联网上网服务营业场所管理条例》中规定的“擅自从事互联网上网服务经营活动”，最高法2000年《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》中规定的“擅自经营国际电信业务”，最高法、最高检2013年《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》中包含的删帖或者发帖行为等都属于非法经营罪兜底条款的涵盖范围。但是，为了防止非法经营罪沦为口袋罪，需要对其兜底条款进行限制适用。最高法2011年《关于准确理解和适用刑法中“国家规定”的有关问题的通知》要求，对被告人的行为是否属于刑法第225条第4项规定的“其他严重扰乱市场秩序的非法经营行为”，有关司法解释未作明确规定的，应当作为法律适用问题，逐级向最高法请示。该案所涉及的销售计算机IP的行为，并无直接相关的法律法规或司法解释予以规制，而且现实中销售IP的行为较为普遍。因此，将销售IP的行为纳入非法经营罪的兜底条款缺乏明确的规范依据，也不一定能够取得良好的社会效果。当然，认为销售IP的行为不构成非法经营罪并不意味着其不构成其他犯罪。

五、该案如何定性

第一，林某等人利用A软件访问、收集用户的IP并对外销售，可能构成侵犯公民个人信息罪。这里涉及林某等人的几个行为定性。首先，A软件访问用户IP的行为属于基于用户同意的合法行为。用户安装A软件的点击行为即表明其同意A软件访问其IP，因此访问行为不构成犯罪。其次，A软件收集用户IP的行为可能构成侵犯公民个人信息罪。如前所述，IP地址属于个人信息的范畴，有关收集行为属于刑法第253条之一的“窃取”，因为用户同意A软件访问，并不等于同意A软件收集其IP。再次，即使认为林某收集IP的行为尚不构成侵犯公民个人信息罪，那么对其出售IP的行为也应当以侵犯公民个人信息罪论处，因为用户无论如何也不会同意出售其IP。同时，林某等人的行为不再构成非法获取计算机信息系统数据罪。

第二，林某等人控制用户IP访问各类网站的行为可能构成非法控制计算机信息系统罪。A软件中的B程序会在用户不知情的情况下接受行为人指令而访问各类网站，并且B程序不会因为A软件的卸载而卸载。显然，林某等人通过B程序实现了对用户电脑的非法控制，构成非法控制计算机信息系统罪。需要注意的是，该罪属于情节犯，不是结果犯，只要求“情节严重”，而不需要造成计算机卡顿、信息泄露等具体结果。

第三，林某等人可能对下游公司的犯罪行为承担刑事责任。下游公司购买IP后可能存在两种利用行为。第一种行为是下游公司自己利用购买的IP进行数据爬取、网络攻击、传播淫秽物品等行为。如果林某等人对于下游公司的某一具体犯罪行为存在通谋，则构成相关犯罪的帮助犯。如果林某等人不知道下游公司的具体犯罪，但知道下游公司进行的是违法犯罪活动，则其出售IP的行为可以构成帮助信息网络犯罪活动罪。第二种行为是下游公司购买IP的同时请求林某等人帮助其利用B程序进行数据爬取、网络攻击、传播淫秽物品等行为，那么林某等人直接构成相关犯罪的实行犯。

至于林某、赵某、张某、方某等刑事责任的划分，林某是上述犯罪的主犯，对于赵某、张某、方某可根据其故意认知的内容及其在共同犯罪中的作用，以相关犯罪的主犯或从犯论处。

来源：人民检察

作者：欧阳本祺，东南大学法学院院长、博士生导师