备受关注的杭州魔蝎数据科技入刑一案，尘埃落地，法院认定构成侵犯公民个人信息，公司及责任人员均获刑，均判了缓刑，公司被判处罚金人民币三千万元，同时没收违法所得三千万元。

这个案件是大数据风控入刑第一案，对很多大数据公司的合规具有重要的指导作用，经过仔细研读，并和案件相关人士进行沟通，今天一起分享一些思考！

一、魔蝎公司的运营模式

判决书描述了魔蝎公司商业模式。魔蝎公司主要与各网络贷款公司、小型银行进行合作，为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据，方式是魔蝎公司将其开发的前端插件嵌入上述网贷平台APP中，在网贷平台用户使用网贷平台的APP借款时，贷款用户需要在魔蝎公司提供的前端插件上，输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码，经过贷款用户授权后，魔蝎公司的爬虫程序代替贷款用户登录上述网站，进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。

这里面需要注意的问题是：

魔蝎公司爬取数据是获取了用户个人的同意，但没有经过运营商、淘宝、京东这些平台的同意，这个爬取的行为如何评价？判决书并未给出明确的答复。

法院最终的裁判结果为：

1.被告单位杭州魔蝎数据科技有限公司犯侵犯公民个人信息罪，判处罚金人民币30000000元（罚金限判决生效后十日内缴清）。

2.被告人周某翔犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑四年，并处罚金人民币500000元（缓刑考验期限，从判决确定之日起计算；罚金限判决生效后十日内缴清）。

3.被告人袁某犯侵犯公民个人信息罪，判处有期徒刑三年，缓刑三年，并处罚金人民币300000元（缓刑考验期限，从判决确定之日起计算；罚金限判决生效后十日内缴清）。

4.扣押于公安机关的作案工具电脑等予以没收，被告单位杭州魔蝎数据科技有限公司退缴至本院的违法所得款人民币30000000元予以没收，并上缴国库。

二、法院入罪逻辑：“留存数据”是入刑原因，与爬虫和暴力催收无关

2019年9月6日下午，魔蝎公司的负责人周江翔、袁冬被抓获归案，当时媒体纷纷报道是和“网络爬虫”、“协助暴力催收”有关，但通篇的判决书论述的入罪逻辑和这两者毫无关系。

判决书论述为：魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。

入刑的原因是魔蝎公司违约留存用户账号与密码的行为，该行为被认定构成侵犯公民个人信息罪。最终入刑的关键在于魔蝎公司获取数据后对账号和密码进行长时间的“留存”行为，虽然这些数据是通过网络爬虫获取，但爬取行为未收到刑事评价。

也就是说，入刑的原因既不是在数据收集环节中向淘宝、京东等各大网络平台的“非法获取”，也不是提供数据服务给下游网贷公司从而导致“暴力催收”，而仅仅是因其违反与用户的约定，违约留存数据。

判决认定魔蝎公司以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条，其中大部分账号密码，如淘宝、京东等，无法二次使用，仅有邮箱等部分账号密码存在未经用户授权被魔蝎公司二次使用的情况。

以上就是法院的入刑主要论述，除此之外，对于对于魔蝎公司行为的危害性，比如魔蝎公司泄露个人数据，非法利用，贩卖数据等行为均未提起，即表示并无这些行为。

这样入罪是否站得住脚？个人觉得，就判决书所描述的事实，有罪论证并不充分。

当然在分析以上问题之前，有一个很重要的问题需要解决，就是魔蝎公司爬取数据来源是否合法？是否构成“非法获取数据”？这里涉及“双重授权”问题。

三、为何不需要“双重授权”

对于魔蝎公司获取数据的问题，主要涉及是否应该“双重授权”，魔蝎公司虽然获得用户的同意和授权，但数据是沉淀在网络平台上，一般来说，作为数据爬取方的魔蝎公司获取数据，需满足“双重授权”原则，即：取得个人信息主体（贷款用户）+数据控制者（京东、淘宝等网络平台）的双重授权同意。

以下是本案当中对于魔蝎公司、用户、网贷公司和网络平台之间的数据交互模式。

图片来源：灰犀牛观察

但判决书对魔蝎公司未获得网络平台的授权，并未认定构成非法，甚至没有提及这个行为，可以推断法院的内在逻辑是认为并需要获得平台授权，对此，个人分析的主要原因在于：

首先，魔蝎公司爬取的数据是特定用户个人的数据，包括个人社保缴纳情况、公积金账户情况、淘宝账户的消费购买信息等等，这些数据作为用户自身通过登录账户原本就可以访问、查询，也是网络平台赋予个人信息主体的合法权益，因此既然用户个人已经将账户和密码提供给魔蝎公司，等同于用户自己登录查询、访问和下载复制，魔蝎公司当然无需再获得平台的授权。

《信息安全技术 个人信息安全规范》对此也有规定，在第8条详细规定了“个人信息主体的权利”范围，包括个人信息查询、更正、删除、获取个人信息副本、平台应响应个人信息主体的请求等等，这些都是属于用户的权利。

其次，从使用目的上看，魔蝎公司也没有侵害平台的合法权益，魔蝎公司爬取的数据限制在经过用户授权的个人信息数据，没有获取平台的数据，包括平台经过整理加工过的数据，获取的目的也是为网贷平台提供数据分析服务，未对平台的数据进行非法利用，并构成不正当竞争。

对于用户、魔蝎公司、网贷公司、各网络平台之间围绕“数据权益”的法律关系，简单的可以用下图描述：

用户与网贷公司之间基于服务协议、信息协议等构成合同关系，如上图所示的合同关系1。同时，用户在注册使用其他应用或网站时，也会与对方构成合同关系，即合同关系2。

用户与魔蝎公司基于合同关系授权，同意魔蝎公司爬取用户在网络平台的各类个人信息。

目前对于用户存留在网络平台的数据所有权，尚未形成定论，但有大部人认为属于用户所有，特别是本案当中这类比较有人身属性的个人信息，如果这个是通说，魔蝎公司获得个人的授权，爬取其数据就更加合法，而无需“双重授权”。

四、 关于留存数据

当然本文仅仅是根据现有的判决书进行分析，是否在其他情节判决书没有披露在所不问。

我们知道，《刑法》第二百五十三条，对于侵犯公民个人信息罪，主要评价的三种行为：出售、提供、非法获取，并且只有构成“情节严重”才能获罪，这些行为构成是比较好界定的，出售就是非法买卖数据，提供则是向他人有偿或无偿的提供、共享数据，非法获取主要是数据收集环节是否合法授权，比如窃取数据就是一种非法获取，还有技术手段的非法获取。

但魔蝎公司的“流程数据”行为并不能构成上述的任何一种，这种存储的行为，不是出售、提供也不能归入非法获取，从判决书的论证逻辑尚不足够不上这个罪名，具体展开如下：

首先，魔蝎公司获取的个人信息数据来源合法，够不上“非法获取”。

判决书也确实没有论及魔蝎公司爬取用户个人信息是一种非法行为，而仅仅评价其“非法留存”行为。

上文我们也详细论述魔蝎公司爬取用户个人信息的数据是获得用户明确授权，也签署的书面协议，因此，获取的来源是合法的。

当然，这种未告知用户，违约留存数据的行为是否也变向构成“骗取”，这方面尚无先例可循。如果这样算的话，这相当要求大数据公司在获取数据之后应采取技术手段及时删除这类数据，不得进行任何留存。

其次，魔蝎公司也未“非法提供、出售”用户个人信息。

魔蝎公司将爬取的数据提供给“网贷公司”、小型银行的行为，也是经过用户明确授权的，有合同约定，这种数据提供是用户明确知晓并同意的，并无非法提供。

除此之外，判决书也没有论及魔蝎公司将用户个人信息非法提供给其他第三方主体，也没有出售行为，不构成非法提供、出售。

再者，对于侵犯公民个人信息罪，还是一个结果犯，需要达到“情节严重”才构成。

但判决中，并未论及魔蝎公司造成个人信息泄露、非法利用等严重的后果。

且这种留存数据的行为，并不是非法获取、出售、提供公民个人信息的行为模式，如果严格参照罪行法定即使有违约侵权行为，可以构成民事责任或者受到行政处罚，但留存数据不足构成犯罪。

对于此罪的前提条件“情节严重”方面，也看不到非常充分的论证，法院仅仅是表述魔蝎公司“留存用户各类账号和密码条数多达21241504条”。

然而论述数量之多，并不能证明“情节严重”，何况在《网络安全法》规定，对于日志等数据是要保存六个月以上，对于数据的存储时间是有明确规定。

法院的论证逻辑似乎是：魔蝎公司你竟然存储了这么多数量的数据，意欲何为？这让我想起一句典故：“匹夫无罪怀璧其罪。”  似乎法院在论证一件事，魔蝎公司持有这么大量的数据就是一种危害，这是个定时炸弹，随时可能爆炸。

但法院仍然以侵犯公民个人信息罪进行认定，同时说明：魔蝎公司留存的其中大部分账号密码，如淘宝、京东等，无法二次使用，仅有邮箱等部分账号密码存在未经用户授权被魔蝎公司二次使用的情况。那么这个定时炸弹也似乎“炸不起来”！

无论如何，情节严重在司法判例中一般是要大规模泄露，被非法利用等造成公民个人的人生、财产安全受到威胁，比如著名的“数据堂案件”，但魔蝎公司这个案件似乎对这方面的威胁还远远不够。

最后，即使是要定罪，这个案件的罪名似乎也弄错了，比较符合的是“非法获取计算机信息系统罪”。

魔蝎公司留存的是用户各类账号和密码，如淘宝、京东等。

《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定，非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：“（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；（二）获取第（一）项以外的身份认证信息五百组以上的；”

以上规定是可以清晰看出，这类淘宝、京东的账户和密码，在刑法中准确的定性应是“身份认证信息”，虽然也确实可能定为“个人信息”（可归入网络身份标识信息），但在刑事案件定性中一般是作为身份认证信息特别对待，如果没有其他比较直接能识别特定个人的信息，比如手机号、身份证等等，在刑事认定上并不宜认定侵犯公民个人信息罪，而是把这类作为计算机的数据对待。

当然，要定为“非法获取计算机信息系统数据罪”，还应当认定属于“非法获取”，上文已经谈及获取的来源和方式是合法的，仅仅是存储存在违约，也无法直接定性为“非法获取”。

五、暴力催收与提供数据服务并无因果关系

暴力催收在网贷领域是普遍现象，在中国银行保险监督委员会牵头发布的《关于规范民间借贷行为维护经济金融秩序有关事项的通知》（2018）中做了列举规定，指以故意伤害、非法拘禁、侮辱、恐吓、威胁、骚扰等非法手段催收民间贷款。

最高人民法院、最高人民检察院、公安部和司法部联合发布的《关于办理非法放贷刑事案件若干问题的意见》，其中罗列了强行索要债务可构成的罪名——故意杀人、故意伤害、非法拘禁、故意毁坏财物、寻衅滋事等。暴力催收需要根据刑事规定，通过考察主观和客观要件，对违法性和免责事由进行判断，在刑法体系内进行定罪。

因此，暴力催收与魔蝎公司数据提供服务并无直接因果关系，即使没有这些数据，对于网贷公司也大量存在各类暴力催收，某种意义上，通过大数据分析，反而有助对用户个人偿还能力进行预判，从而提高网贷公司的催收能力，避免使用暴力催收。

欢迎大家进一步讨论交流：15958153260！

声明：本文仅代表作者目前所持的理论观点，不代表作者供职机构或其他相关机构的意见。本文仅为交流之用，所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。