驗證碼短信的司法保護初探

桑敏鶯 張潔

[案情]2019年11月至2020年10月間，被告人王某某租賃服務器、部署軟件執行短信轟炸，同時搭建“堅果云”“云閃信”等網站，通過代理銷售、直接購買等方式出售短信轟炸功能。現已查明，被告人王某某共計掌握近200個互聯網平臺驗證碼短信發送指令，累計向1萬余個手機號碼執行短信轟炸。2020年4月至10月間，蘇州常熟A科技有限公司、上海B家居用品有限公司網絡平臺接收涉案軟件指令，發送短信共計400余萬條，造成經濟損失人民幣20余萬元。

第一種觀點認為，王某某構成破壞計算機信息系統罪。在本案中，王某某通過銷售、運營短信轟炸軟件，密集式發送驗證碼短信請求指令，增加互聯網平臺對上述指令的處理，造成經濟損失20余萬元，其行為構成破壞計算機信息系統罪。

第二種觀點認為，王某某構成非法控制計算機信息系統罪。王某某的行為并未影響互聯網平臺、個人手機終端正常運行，屬于對互聯網平臺的惡意控制，應定性為非法控制計算機信息系統罪。

[速解]筆者認同第二種觀點。短信轟炸行為如何定性，關鍵在于明晰短信轟炸的原理及實際損失承擔者，從而具體判斷該行為是“破壞”還是“控制”計算機信息系統。

首先，短信轟炸運行原理是通過高頻次發送驗證碼短信指令，使互聯網平臺向個人手機終端密集發送驗證碼短信，具體運作如下圖所示。本案存在五方主體，其中互聯網平臺根據異常指令發送短信并承擔短信資費，手機終端接收短信并影響手機持有人正常生活，短信轟炸平臺搭建者及銷售者實現非法獲利，購買短信轟炸者實現騷擾目的。由此可見，實際損失承擔者系運營互聯網平臺的個人或者單位。

其次，最高人民法院于2020年12月29日發布指導案例145號，裁判要旨第二點明確刑法第286條規定的破壞計算機信息系統罪中的“破壞”系造成系統功能實質性破壞或者不能正常運行，即實質意義上的“破壞”。本案中，互聯網平臺、手機終端等計算機信息系統受短信轟炸，增加計算機信息系統處理、傳輸的數據，但該處理量級均未超過閾值，未造成系統功能實質性破壞或者不能正常運行。

最后，驗證碼短信是互聯網平臺廣泛運用的用戶身份驗證方式。正常入口系設置在互聯網平臺用戶操作頁面，通過平臺用戶發出指令，生成隨機數字進行用戶驗證。王某某自行搭建短信轟炸網站，繞過互聯網平臺用戶頁面，直接向系統后臺發送驗證碼短信指令，控制多個互聯網平臺向同一手機號碼密集發送短信，并使運營互聯網平臺的個人或者單位承擔高額短信資費，應當認定為非法控制計算機信息系統罪。