背景介绍
数字经济时代,数据是新的生产力,数据安全在一定程度上直接影响着经济安全。自2016年欧盟出台《通用数据保护条例》以来,世界各国陆续出台相关法律,我国也于2021年6月10日通过了《中华人民共和国数据安全法》,进一步完善我国数据安全基础法律体系。其实,早在《数据安全法》颁布之前,我国就已经重视到了数据信息的重要性,并且开展了一系列整治互联网中信息数据相关违法犯罪的行动。
在整治行动中,有关部门也挖出了一大批单位“内鬼”,这些“内鬼”利用单位授予的权限,非法获取并出售单位信息数据。随着单位保密手段不断完善,“内鬼”在侵犯信息数据犯罪中作用越来越显著。有权限接触单位信息数据的单位工作人员本应作为相关信息数据的保护者,但其利用特殊权限,任意查询并出售有关信息,使单位构建的的“保护墙”形同虚设,社会危害性极大。
典型案例及实务观点
案例1:卫某某等非法获取计算机信息系统数据案
2016年6月至9月间,被告人龚某在明知卫某某使用账号目的的情况下,仍然向其提供自己掌握的百度凤巢系统内部账号和密码。被告人卫某某后利用龚某所提供的账号和密码,违规登陆百度在线网络技术(北京)有限公司凤巢系统,查询、下载该计算机信息系统中存储的客户数据,并交由同案被告人薛某某出售给他人。
法院经审理后认为,三名被告人违反国家规定,侵入计算机信息系统,获取计算机信息系统中存储的数据,应按照《刑法》第二百八十五条第二款[1]以非法获取计算机信息系统数据罪论处。[2]
本案争议焦点主要在于利用内部权限登陆计算机信息系统获取数据的行为能否认定为“侵入”。在以往司法案例中,侵入计算机信息系统的常见行为方式为破解或者盗窃身份认证信息、强行突破安全工具;但本案中行为人进入计算机信息系统的方式有所不同,外部人员利用公司员工内部权限登陆被害公司系统,获取单位信息数据。法院经审理后认为,虽然被告人的行为不属于通过技术手段侵入计算机信息系统,但对相关法律规定进行实质解释之后,仍然可将该行为定性为“侵入”。具体而言,根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条[3]可知,认定能否构成“侵入工具”的要件是“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的”。
换言之,认定侵入与否的实质要件在于判断行为人是否未经授权或者超越授权,本案被告人龚某与他人勾结擅自登录公司内部管理开发系统下载数据,明显超出所获权限,具体表现在以下方面:第一,被告人龚某违背公司禁止员工出借账号、密码的规定,擅自将账号、密码、token令牌等提供给卫某某使用;第二,被告人龚某虽有权限进入单位管理系统,但并没有权限下载与其正常业务无关的客户信息。[4]
综上所述,虽然本案被告人行为方式特殊,但仍符合“超越被害公司的授权范围获取计算机信息系统数据”的本质,认定为“侵入”并无不妥。本案作为最高人民检察院公布的指导性案例,其对后续类案处理的指导意义显著,尤其是对“侵入”的实质解释为之后判决多次援引。
案例2:张某某、吴某某非法获取计算机信息系统数据、非法控制计算机信息系统、掩饰、隐瞒犯罪所得、犯罪所得收益案
自2014年以来,被告人张某某等人非法侵入珠海市多家医院的计算机信息系统,获取医院统方数据。其中,被告人张某某利用自身管理员身份获取三灶医院的统方数据后予以出售,牟取非法利益。
法院经审理后认为,所谓“侵入计算机信息系统”,是指未经授权或者超越授权,获得删除、增加、修改或者获取计算机信息系统存储、处理或者传输数据的权限。侵入的本质特征是未经授权或者超越授权,被告人张某某虽然是三灶医院的信息管理员,其有权限进入计算机信息系统并维护计算机信息系统的安全,但医院同时规定未经批准不得私自下载数据,因此,被告人张某某获取三灶医院统方数据的行为属于“超越权限非法侵入计算机系统获取数据”的行为,构成非法获取计算机信息系统数据罪。辩护人所提出的行为人具有登陆权限,不符合“侵入”的要求,与法律规定不符,不予采纳。[5]
此案件中法官对于被告人张某某的“侵入计算机系统”的行为认定,采用了与卫某某案相同的说理方式,即强调对“侵入”的实质解释,将员工超越权限获取信息也认定为“侵入”。
案例3:虞某1非法获取计算机信息系统数据案
2012年7月至2014年7月,被告人虞某1在文成县人民医院信息科工作期间,利用维护、管理医院数据库等职务便利,将本院医生每月在局域网开具处方的统计数据分别提供给秦某等二十余名药商,并收受药商好处费,总计107万余元。
对于此案,法院经审理后认为被告人虞某1违反国家规定,采用其他技术手段,获取文成县人民医院计算机系统中存储的统方数据,情节特别严重,其行为已构成非法获取计算机信息系统数据罪。[6]
本案中,被告人虞某1利用维护、管理医院数据库等职务便利,在参与医院工作人员系统安装调试过程中,获取数据库密码进入数据库进行统方的行为,虽然超越了医院授予的权限,但是一方面由于本案发生时间较早,另一方面行为人的实行行为较为复杂,本案说理部分未对“侵入”进行详细解释,而是采用了“利用其他手段”这一兜底性条款对被告行为进行整体性的概括评价。
超越授权范围获取信息数据的实务问题应对
我国《刑法》第二百八十五条第二款规定:“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。” 依据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条之规定,即该罪“情节严重”具有以下表现形式:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;获取前述以外的身份认证信息五百组以上的;违法所得五千元以上或者造成经济损失一万元以上的;该罪“情节特别严重”需要数量或者数额达到“情节严重”规定标准五倍以上的。结合该罪的法律规定及量刑情节,针对超越授权范围获取信息数据的举证要点及具体认定简要论述如下:
1、超越授权范围获取信息数据的举证要点
鉴于卫某某案被最高人民检察院确立为指导性案例,实务中已逐步接受了对于“侵入”的实质解释,理论界对此也表示赞同。[7]在明确超越权限获取信息数据行为属于“侵入”行为之后,实务中主要从以下方面判断行为人的行为是否超越授权范围:
首先,应审查行为人所获得的权限范围。这一部分主要可以结合行为人工作责任书、岗位职责、劳动合同、保密协议等书证来证明;
其次,应当重点审查行为人有无越权行为。这一部分主要需要通过电子证据予以证明,即行为人在信息系统中进行的越权操作记录。行为人侵入计算机系统会留下信息记录,获取数据的方式、输入的身份认证以及获取的数据,会形成电子证据,通常体现为表格、文字、图像、音频以及视频等,在进行相关刑事案件调查、报案过程中,应当及时对涉案计算机封存、并获取公司相关信息系统中行为人的操作日志信息,在后续司法程序中提交司法机关进行电子证据提取或计算机远程勘验。
最后,应当重点审查行为人违规进行信息泄露的传输方式以及行为人可能从中谋取的违法所得金额。在公司内部调查层面上,该部分可能较大程度需要依赖于针对涉案员工工作电脑的电子取证以及相关人员访谈工作。除此之外,也可以通过公开信息排查、钓鱼等方式,摸排相关黑灰产市场针对涉案“信息数据”的“出售价格”,以此评估行为人可能从中谋取的违法所得金额。
2、对《刑法》第二百八十五条中“违反国家规定”的认定
在卫某某案审理过程中,辩护人对被告人行为是否“违反国家规定”提出了异议,认为被告人违背的仅是公司内部规定,而非国家规定。该案审理法官在《人民司法·案例》中对该案件进行论述时也对该问题提出了回应[8],但需要注意的是,该回应援引的前置法与判决书主文援引的规定并不完全相同。
该案法官在《人民司法·案例》回应中所援引的是《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》)第七条[9]和《全国人民代表大会常务委员会关于维护互联网安全的决定》(以下简称《决定》)第三条第三项 “利用互联网侵犯他人知识产权” [10];但在判决书主文所援引的是《中华人民共和国计算机信息系统安全保护条例》第七条和《计算机信息网络国际联网安全保护管理办法》(以下简称《办法》)第六条第一项 “未经允许,进入计算机信息网络或者使用计算机信息网络资源的”。[11]《条例》第七条是对计算机信息系统保护的一般概括性规定,对其进行解释势必需要援引更为具体的规定。
根据我国《刑法》第九十六条[12]可知,两篇文书所各自具体援引的法条属于可援引的“国家规定”的范畴,且规定的均为一般性内容,在效力问题上并无本质差异。但二者在说理方式上存在明显差别:判决书所援引的《办法》第六条是从“侵入”这一手段措施的实质解释角度切入;而《人民司法·案例》刊载的文章则从行为人所获取的信息数据属于知识产权的角度切入。此二种说理方式各有千秋,甚至可以相互佐证彼此结论,本质并无相悖之处,但是出于论证的简洁性考虑,对“侵入”实质解释的方式更为经济。
需明确的是,一般性规定与具体规定之间只有内容的差异,并无效力高低之分,因此在前置法尚未具体规定的情况下,应允许援引一般性规定对社会危害性较大的行为进行打击,避免出现处罚真空地带。尤其是对于互联网犯罪中的灰黑产行为而言,虽然前置法尚未将具体行为模式类型化,但其行为的社会危害性业已不容忽视,刑法不能以缺乏明文规定为由拒绝介入。
企业数据合规化建设
随着技术不断进步,单位对掌握的个人信息的保护措施不断完善,单纯从外部侵入系统窃取信息的难度不断增大,“内鬼”在侵犯公民个人信息犯罪中所占比重势必逐渐增加,因此除了依靠对此类违法犯罪行为进行刑事打击之外,企业也应加强自身数据合规化建设,采用制度前置的方式为公民个人信息构筑起一道坚实的“防火墙”。
具体而言,可以从以下几个方面落实数据合规化建设:首先,明确员工岗位职责以及相应的数据权限,依照相关法律法规,制定企业内部信息数据使用准则,明确收集、使用信息数据的行为边界。其次,严格监控企业的信息数据搜集、使用活动,构建以大数据保护合规报告、合规审计等多种手段并举的内部全流程监管机制。再次,在技术层面,应坚持对用户信息分级管理与匿名化操作的优化升级,落实信息分级管理保护制度。最后,构筑企业个人信息保护的合规组织体系,建立企业内部信息合规部门,严格遵循企业使用客户信息合规规则,对企业员工行为进行监督,并定期进行全体员工的合规培训,以提高职员的数据合规、隐私保护意识。[13]
小结
数字化时代,大数据给社会发展提供了巨大便利,但伴生的风险也是显著提高,积极利用刑事手段打击数据信息犯罪的同时,企业还应该积极开展刑事合规化建设,由事后追惩转变为事前防控与事后追惩并举,以实现保护效果最大化。
注释:
[1] 《刑法》第二百八十五条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
[2] 参见北京市海淀区人民法院 (2017)京0108刑初392号刑事判决书。
[3] 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第二条:具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的; (二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的; (三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
[4] 计莉卉、游涛《龚某等非法获取计算机信息系统数据案——超越权限进入计算机信息系统的行为性质》【N】,载《人民司法·案例》2018年第8期。
[5] 参见广东省珠海市香洲区人民法院(2017)粤0402刑初1879号刑事判决书。
[6] 参见浙江省文成县人民法院 (2014)温文刑初字第173号刑事判决书。
[7] 孙杰:数据爬取的刑法规制【J】,载政法论丛,2021年第3期,p115-125.
[8] 同脚注2.
[9]《中华人民共和国计算机信息系统安全保护条例》第七条:任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
[10]《全国人民代表大会常务委员会关于维护互联网安全的决定》第三条:为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;
(二)利用互联网损坏他人商业信誉和商品声誉;
(三)利用互联网侵犯他人知识产权;
(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
(五)在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。
[11]《计算机信息网络国际联网安全保护管理办法》第六条:任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
[12]《刑法》第九十六条:违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。
[13] 何群、曾铮滢:大数据时代我国侵犯公民个人信息罪:从特点分析到完善建议【J】,载《海峡法学》2021年第1期,p46-57.
作者:汪银平、董寅辉