学术 | 企业数据合规之高管和技术人员刑事风险防范
企业数字化转型过程中,部分高管和技术人员会面临一定的刑事风险,主要集中于非法获取计算机信息系统罪和侵犯公民个人信息罪。但实践中较难区分这两个罪名,如行为人通过非法手段侵入计算机信息系统获取数据,如数据属于公民个人信息,就可能出现同时触犯非法获取计算机信息系统数据罪和侵犯公民个人信息罪的情形。为此,本文将结合相关司法判决谈一谈如何区分两罪?上述情况实践中是数罪并罚还是择一罪处理?以及在此基础上如何防范该等刑事风险?
一、
如何认定非法获取计算机信息系统数据罪
根据《刑法》第285条第2款,本罪侵犯的客体是计算机信息系统的安全,客观上要求行为人实施了非法侵入并获取计算机信息系统(非285条第1款规定的计算机信息系统)数据的行为并达到情节严重的标准,单位和个人均可构成本罪。两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称“《计算机系统安全刑事案件解释》”)将计算机信息系统定义为具有自动处理数据功能的系统,包括计算机、网络设备、自动化控制设备等,故计算机信息系统应作广义理解,该司法解释对情节严重也界定比较明确。
通常实践中,如何认定“非法获取”是罪与非罪的关键。那么,该如何定性非法获取?《刑法》和相关司法解释没有直接对该条“非法获取”的定义,但《计算机系统安全刑事案件解释》第2条“对提供侵入、非法控制计算机信息系统程序、工具罪”中用于“侵入”的程序、工具的界定为“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的”。参考该定义,非法获取的主要特征在于未经授权或者超越授权获取数据,实践中非法获取的方法繁多,典型的如植入钓鱼及利用钓鱼网站、通过木马程序以及未经允许安装域名解析软件等具有避开或者突破计算机信息系统安全保护措施,实践中使用较多的是使用爬虫软件获取数据,爬虫技术并非必然违法,主要看爬取数据行为是否获得授权。例如在权利人已经采取反爬虫措施的情况下,行为人以模仿权利方客户的请求的方式获取的,系非法。以上都是通过设计针对计算机信息系统功能程序从而非法获取数据,符合该罪行为特征,实践中非法获取还包括使用其他手段能够获取计算机数据的情形。
例如,浙江台州中院审理的(2016)浙10刑终555号案中被告人陈某乙、陈某甲先在某网络棋牌游戏平台中查询到被害人陈某丁的手机号码,再通过案外人查询到该手机号码登记的身份信息,而后用伪造被害人临时身份证到移动营业厅补办了被害人手机卡方式通过手机拨打该网络棋牌游戏平台客服电话,盗取了被害人在该游戏平台中游戏账号内的7亿游戏币分两次变卖给案外人。检察院和法院均认为陈某乙、陈某甲违反国家规定,利用技术手段非法获取他人存储于计算机信息系统中具有交易价值的游戏数据,情节严重,构成该罪。但辩护人认为,被告人既没有侵入计算机,也没有利用技术手段非法获取计算机系统中的游戏数据,不符合非法获取计算机信息系统数据罪的行为特征,被告人利用电话骗取游戏客服获得账户密码,正常地进入计算机系统,不构成该罪,应定性为盗窃罪。实际上,法院分析说理忽略了获取手段方式并非该罪构成要件,也即是说,即便行为人使用的是非计算机技术手段,但实质上并未获得权利人授权的情况下获取了权利人计算机系统数据,这才是非法获取计算机信息系统罪构成要件。
当然,我们认为网络虚拟财产属于财产权益,该案被告人的行为同时也应符合盗窃罪的构成要件,属于想象竞合犯,应择一重罪处罚。
二、
如何认定侵犯公民个人信息罪
《刑法》第253条规定侵犯公民个人信息罪,单位和个人均可构成本罪,与非法获取计算机信息系统数据罪法定刑相同,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。本罪非法获取的认定也是未经授权或者超越授权,不同的是,本罪所指非法获取的方式还包括:
(一)两高《办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称"《办理个人信息刑事案件解释》")第4条规定的“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息 ,或者在履行职责、提供服务过程中收集公民个人信息”。
(二)除非法获取方式外,侵犯公民个人信息行为还包括“非法提供”的情形。《办理个人信息刑事案件解释》第3条规定“向特定人提供公民个人信息 ;通过信息网络或者其他途径发布公民个人信息的;未经被收集者同意,将合法收集的公民个人信息向他人提供的”均属于非法提供的情形。以上两点企业及技术人员开展业务过程中需要特别注意,除上述外,个人信息的界定也是认定该罪的关键,《办理个人信息刑事案件解释》第1条规定"公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等",由此个人信息范围不仅包括可识别,还包括反映特定自然人活动情况的个人信息,保护范围具有较大的扩张性。
例如:江苏沛县法院审理的(2020)苏0322刑初644号案,法院审理查明被告人通过QQ群、微信平台向案外人出售被害人的手机号、微信昵称、微信号、股票代码及名称、持股金额、是否建仓、地址等公民个人信息。被告人辩护人提出“有些信息无法明确指向特定的个人信息”的意见,法院以“公安机关对被告人销售的公民个人信息进行抽样验证,准确率较高”而不予采纳。可见,在个案中微信昵称、微信号、持股信息等若能够识别或反映出特定自然人也属于刑法保护的个人信息。
三、
两罪区分及司法适用
两个罪名属于《刑法》分则不同章节,非法获取计算机信息系统数据罪是《刑法》第6章妨害社会管理秩序罪中的罪名,保护法益是计算机信息系统安全;而侵犯公民个人信息罪属于刑法第4章侵犯公民人身权利、民主权利罪范畴,保护法益是公民个人信息安全及背后公民人身权利不受非法侵犯的风险。但两个罪名中“非法获取”的基本特征是“未获授权”。在我国,数据概念包含个人信息,故两罪犯罪对象存在重合的情况,具体表现为:
(二)想象竞合情况。行为人通过技术手段非法获取的数据就是公民个人信息。在广州海珠区法院作出的(2021)粤0105刑初4号判决书中查明“被告人通过与手机生产商合作,在生产的手机芯片上植入其开发的“yysocket”代码文件,将用户手机号码及对应特定关键词的短信拦截上传到其控制服务器,并建立www.fastsms.cc接码平台,以1-5元不等的价格,由客服人员销售非法获取的手机号码及对应的验证码,非法获取手机号码和短信11843860条、含有价格的手机号码和短信6501350条、激活的手机号码2715283条。”从该案事实中可以明显看出,行为人非法获取手机号码和短信,既是计算机系统的数据同时也是个人信息。一个行为同时触犯两个罪名,属于想象竞合,应择一重罪处罚。但在判决书中没有对侵犯个人信息犯罪行为做任何论述,直接以非法获取计算机信息系统罪定罪量刑。同类案例包括(2019)鲁0213刑初144号等,而深圳南山区法院作出的(2020)粤0305刑初1037号判决书认定事实是“被告人利用爬虫程序爬取某电商小程序储存的客户姓名、电话、收件地址等交易订单信息在内的客户信息共计1107925条后通过暗网销售”,检察院以非法获取计算机信息系统数据罪起诉,但法院合议庭合议后变更为侵犯公民个人信息罪。
从上述司法案例来看,当非法获取的数据同时是个人信息时,侵犯两个法益,是择一重罪处罚,并非数罪并罚,最高检出台的《检察机关办理侵犯公民个人信息案件指引》也明确规定“采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处”。综上,无论是牵连关系还是想象竞合,都是择一重罪处罚,具体应结合案件查明的行为人非法获取公民个人信息的数量、次数、危害后果、违法所得、被害人经济损失等实际情形进行综合分析,分别对两罪进行量刑评判,最终选择量刑更重的罪名进行定罪和处罚,但从实践中的判决来看,法院对这一问题的说理是比较缺乏的。当然,实践中还出现可能行为人非法获取数据的财产价值巨大的以盗窃罪判处,如(2014)杭余刑初字第1231号案。此外,实践中很多情况都是两个犯罪行为均独立,可数罪并罚,如前述的(2016)浙10刑终555号案。
四、
刑事风险防范和建议
本文案例中,很多非法获取数据入刑的往往是创业企业实际控制人和技术负责人等,那么,以“获取数据”作为核心业务模式的企业及企业高管、技术人员如何防范相应的刑事风险?
(一)明确拟获取数据的性质。一般而言,个人信息未经个人信息主体授权不得获取,获取已经公开的个人信息要严格按照用途,不得非法使用和提供。对于个人信息以外其他数据,最好是公开或者经过权利人授权的数据。
(二)采取合适的方式获取数据。避免从存在系统漏洞、缺少或没有系统防护措施的计算机信息系统获取数据。如本文(2014)杭余刑初字第1231号被告人就是发现淘宝店铺源码存在漏洞,利用该漏洞可以在店铺源码中植入一个url获取数据。避免使用木马程序、钓鱼网站等方式获取数据,以及其他干扰网络正常运行的技术。
(三)严格规范数据外包服务管理。在与其他数据处理主体合作获取数据,要严格审查数据是否有合法来源和授权处理,不得超越权限处理。对外提供数据,要与接收方签订协议,明确获取数据的主体和进入系统的权限,采取有效技术措施,进行不同层次数据开放,避免出现数据开放的权限多于合同中约定的情况。
(四)加强员工使用数据权限管理。明确不同员工在数据权限上的配置和数据使用不同层次审批,并做到数据留痕,具体可通过劳动合同、保密协议以及公司规章制度等方式进行确认。
(五)对获取数据进行脱敏处理。如对合法获取个人信息要按照业务需要和特点进行匿名化或去标识化等脱敏处理。
(六)进行风险评估。特别是获取的是与公民个人信息相关联的数据后及时进行风险评估,特别注意所获得的是公民个人相关联的数据。
简而言之,做好这三点:一是获取的数据要合法合规;二是使用数据要规范;三是管理数据的相关制度要到位,就可以争取将数据服务中的刑事风险降到最低。
往期回顾
*声明:本微信订阅号对所有原创、转载、分享的内容、陈述、观点判断均保持中立,推送文章仅供读者参考。本订阅号发布的文章、图片等版权归作者享有,如需转载原创文章,或因部分转载作品、图片的作者来源标记有误或涉及侵权,请通过留言方式联系本订阅号运营者。谢谢!