互联网数据行业大洗牌,解析网络安全犯罪的刑法规制
2018年8月,新三板上市公司瑞智华胜被爆窃取互联网个人用户的cookie等信息30亿条,cookie信息记录了用户账号密码、浏览痕迹等等,涉及平台腾讯、阿里、百度、京东、新浪、美团等几乎所有国内主要的互联网平台,绍兴警方以涉嫌非法获取计算机信息系统数据罪将瑞智华胜法定代表人、董事及监事刑事拘留。据媒体报道,瑞智华胜在与正规运营商合作时,会加入一些非法软件用于清洗流量、获取用户的cookie,从中提取公民个人信息、相关账号密码、搜索的关键词等内容,并强行操控用户关注自己管理的营销账号。近年来,数据泄露引发的信息安全恶性事件愈演愈烈,以“信息泄露”为关键词进行检索可见大量相关新闻,云计算笔记、印象笔记、支付宝、大众点评、华为、12306等皆在列。2018年,结束了野蛮时代的互联网大数据行业,在洗牌期中渐渐觉醒。
在“得数据者得天下”的今天,围绕着互联网用户数据,早已形成一个极其成熟的网络黑色产业链。根据2017年的测算,中国网络黑产从业人员已超过150万,市场规模达千亿级别。随着个人信息泄露事件的频发,我国在立法上也加大了对侵犯个人信息的规制力度。《电子商务法》《网络安全法》《民法总则》等法律、法规中规定网络运营者的行政责任、民事责任,《刑法》及其修正案中亦规定了严厉的刑事责任。
一、个人信息保护刑事立法沿革
2009年的《刑法修正案(七)》(以下简称《刑修七》)首次将公民个人信息纳入刑法保护,在第253条规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个新罪名。
2011年最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称“《解释》(2011)”)立足于非法获取计算机信息系统数据罪、非法控制计算机信息系统罪,将公民个人身份认证信息纳入刑法的保护。
2015年的《刑法修正案(九)》(以下简称“《刑修九》”)对公民个人信息犯罪的调整为“侵犯公民个人信息罪”。《刑修九》 扩大犯罪主体的范围和提升刑罚配置水平,增加了一档法定刑,即“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,切实加大了侵害公民个人信息犯罪的惩治力度。
2017年6月1日起,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)(2017)正式施行,进一步细化了公民个人信息的范围,侵犯公民个人信息罪的定罪量刑标准以及侵犯公民个人信息犯罪相关的犯罪竞合、单位犯罪和数量计算等重要问题。
二、个人信息网络犯罪
利用网络进行的个人信息犯罪往往不仅涉及侵犯公民个人信息罪,还涉及非法侵入计算机信息系统罪和非法获取计算机信息系统数据罪等相关罪名。
《中华人民共和国刑法(2017修正)》 第二百五十三条之一
侵犯公民个人信息罪
违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
《中华人民共和国刑法(2017修正)》 第二百八十五条
非法侵入计算机信息系统罪
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
非法获取计算机信息系统数据罪
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
值得注意的是,目前部分互联网大数据企业现有的商业模式极可能已触犯侵犯公民个人信息罪;对提供个人信息者来说,如通过非法侵入国家事务等领域计算机系统获取个人信息的,可能涉及非法侵入计算机信息系统罪;如侵入非国家事务等领域计算机系统获取个人信息的,可能涉及非法获取计算机信息系统数据罪。同一案件中,由于犯罪主体、分工的差异可能触犯不同的罪名,也可能构成数罪并罚。例如,在【(2018)粤18刑终165号】案件中,被告人陈某伙同牟某共同利用计算机黑客技术手段攻击上海世基投资顾问有限公司网站服务器并获取后门程序控制权限,非法入侵该网站获取系统中储存的公民个人数据共计21830组,被判处非法获取计算机信息系统数据罪。而陈某将数据发送给远在上海市的王某,王某另案处理,可能构成侵犯公民个人信息罪。在【(2017)苏0322刑初字108号】案件中,被告人韦某则同时触犯了侵犯公民个人信息罪和非法获取计算机信息系统数据罪。
三、入罪门槛极低,合规自查刻不容缓
个人信息犯罪实际上入罪门槛极低,互联网大数据企业的合规自查及依法整改刻不容缓。如果说对单位判处罚金尚得以承受,对于公司法定代表人、董事、监事、高管等“直接负责的主管人员和其他直接责任人员”来说,动辄三年的有期徒刑就极具震慑力了。
1.非法侵入征信系统可获罪
目前部分金融公司和贷款平台会通过查询个人征信的形式核实借贷人的信用情况,但是若非法侵入银行的征信系统进行征信信息查询,可能会触犯非法侵入计算机信息系统罪,处三年以下有期徒刑或者拘役。
在【(2016)豫1623刑初278号】、【(2017)豫1623刑初379号】和【(2018)豫1623刑初36号】案件中,被告人通过电脑、网线、无线路由器链接银行内网,登录“征信查询系统”进行征信信息查询。因违反国家规定,侵入国家事务领域的计算机系统,其行为构成非法侵入计算机信息系统罪,被判处非法侵入计算机信息系统罪。虽然征信系统是否属于国家事务领域的计算机系统尚有争议[1],但是目前法院的审判实务中大部分案件都认定银行征信系统属于国家事务领域的计算机系统。
而非法侵入计算机信息系统罪是行为犯,并不论是否获取该计算机系统的数据,也不论该计算机系统是否有网络漏洞,只要行为人实施了非法侵入国家事务等领域的计算机系统的行为就构成该罪,因而相关企业在核定个人信用时应当采取合法的方式。
2.“情节严重”量刑标准值得关注
以侵入银行的征信系统为例,即使认定银行的征信系统不是国家事务等领域的计算机系统,若非法获取个人信息达到一定数量,则可能被判处非法获取计算机信息系统数据罪。
非法获取计算机信息系统数据罪的处罚分为两档,“情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”但从刑罚来说,非法获取计算机信息系统数据罪的处罚比非法侵入计算机信息系统罪要重,除了增加罚金外,最高刑期也高于非法侵入计算机信息系统罪。
根据《解释》(2011),获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的、非网络金融服务的身份认证信息五百组以上的或违法所得五千元以上或者造成经济损失一万元以上的就构成“情节严重”,即可认定为非法获取计算机信息系统数据罪。数量或者数额达到“情节严重”的标准五倍以上的即可认定为“情节特别严重”,可能获最高7年有期徒刑。对于互联网大数据企业尤其是涉及金融服务的企业来说,获取此类的身份认证信息只需十组以上就达到量刑标准,其法律风险不言而喻。
3.买卖公民个人信息或涉侵犯公民个人信息罪
在《刑法修正案(九)》施行前,《刑法》二百五十三条之一仅配置了一档法定刑,即“处三年以下有期徒刑或者拘役,并处或者单处罚金”。《刑法修正案(九)》增加了一档法定刑,即“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。在《刑法修正案(九)》施行后,特别是《解释》(2017)施行后,对该类犯罪的刑罚力度明显加大。《解释》(2017)明确了侵犯公民个人信息罪的入罪标准,并将个人信息的概念进行外延扩张,再一次降低泄露个人信息的责任门槛。
“非法获取、出售或者提供公民个人信息违法所得5000元以上;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上;非法获取、出售或者提供以上两项规定以外的公民个人信息5000条以上;将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到前述几项规定标准一半以上。”达到以上标准即达到了侵犯公民个人信息罪的入罪门槛,足以被判处三年以下有期徒刑,达到前述标准或数量标准十倍以上则足以认定为“情节特别严重”而判处三年以上有期徒刑[2]。而且《解释》(2017)还明确了非法购买、收受个人信息也属于侵犯公民个人信息罪。
4. 侵犯公民个人信息案中的信息数量计算规则
《解释》(2017)规定了非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算,向不同主体出售个人信息的累计计算,个人的信息不真实的或重复的需要剔除。值得注意的是,如何认定“一组”或“一条”个人信息,《解释》(2011)和《解释》(2017)并未明确。【(2018)浙10刑终25号】案件中,法官认定包含“QQ账号、密码、回执编号、邮箱账号、邮箱密码”等信息的为“一组”。在中国法制出版社出版的《侵犯公民个人信息罪司法解释理解与适用》一书中,最高人民法院研究室法官喻海松释明:“有些情形下‘一条’公民个人信息应当理解为‘一组’公民个人信息。例如,公民个人的银行账户、支付结算账户、证券期货等金融服务账户的身份认证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数字证书等,而非单个数据。”
根据目前的审判实务结合《解释》(2017)第一条对“公民个人信息”的定义,“一组”公民个人信息包括公民姓名、身份证号码、通讯方式、住址、账号密码、财产状况、行踪轨迹等信息在内。同一公民涉及以上信息的,不认定为多条个人信息,而是以“组”为单位进行认定。
四、小结
我国《网络安全法》《刑法》及两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确了网络安全犯罪的犯罪构成、定罪量刑标准等,对中国互联网大数据行业产生了深刻影响。如今,互联网大数据行业在整顿和洗牌中逐渐走向规范,网络安全、数据合规的意识逐渐形成。无疑,在合法合规的基础上,数据开发与共享是大势所趋,互联网大数据企业必须严格审查自身商业模式及数据源,建立完善的内控、合规制度,方可有效规避刑事风险,形成大数据行业多方共赢的局面。
注释:
[1] 在【(2016)湘0781刑初22号】案件中,法院认为征信系统非国家事务领域的计算机系统,而属中国人民银行履行监督管理职能的对象,详见【(2016)湘0781刑初22号】判决书。
[2] 《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条。
附:个人信息网络犯罪对比表
个人信息网络犯罪对比表
涉及罪名 | 非法侵入计算机信息系统罪 | 非法获取计算机信息系统数据、非法控制计算机信息系统罪 | 侵犯公民个人信息罪 |
犯罪行为 | 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。 | 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制。 | 违反国家有关规定,向他人出售或者提供公民个人信息。 窃取或者以其他方法非法获取公民个人信息的 |
刑事处罚 | 处三年以下有期徒刑或者拘役。 | 情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 | 情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。 |
单位犯罪 | 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 | 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 | 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。 |
情节严重认定标准 | 无 | (一) 获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的; | 非法获取、出售或者提供公民个人信息 |
情节特别严重认定标准 | 无 | (一) 数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的; (二) 其他情节特别严重的情形。 明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
| (一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的; |
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
