【第1496号】董雷雷等侵犯公民个人信息案——侵犯公民个人信息罪中公民个人信息及数量的认定
一、基本案情
被告人董雷雷,男,1985年×月×日出生,A公司业务总监。2019年5月6日被逮捕。
被告人周杰,男,1983年×月×日出生,C科技公司法定代表人。2019年6月11日被逮捕。
被告人马驰,男,1989年×月×日出生,A公司员工。2019年6月11日被逮捕。
被告人李延庆,男,1991年×月×日出生,A公司业务经理。2019年5月6日被逮捕。
被告人姜超续,男,1991年×月×日出生,B公司业务经理。2019年5月6日被逮捕。
被告人刘泽旭,男,1994年×月×日出生,B公司业务经理综合管家。2019年5月6日被逮捕。
被告人杜亚飞,男,1996年×月×日出生,C科技公司软件开发员。2019年6月11日被逮捕。
北京市朝阳区人民检察院指控被告人董雷雷、周杰、李延庆、马驰、姜超续、刘泽旭、杜亚飞犯侵犯公民个人信息罪,向朝阳区人民法院提起公诉。
朝阳区人民法院经审理查明:2019年2月至3月,被告人董雷雷为窃取其所在A公司竞争对手B公司住房租赁经营业务中的客户信息,指使同事被告人李延庆通过B公司业务经理被告人姜超续向其下属被告人刘泽旭、刘志栋等人获取系统账户、密码及实时验证码,董雷雷另指使其同事被告人马驰与被告人周杰对接,由周杰及被告人杜亚飞编写“爬虫”程序,使用刘泽旭等人的账户登录B公司业务系统后运行“爬虫”程序非法获取系统内收房、出房合同,合同中均记载有出租人及承租人的公民个人信息。
朝阳区人民法院经审理认为,被告人董雷雷、周杰、李延庆、马驰、姜超续、刘泽旭、杜亚飞无视国法,非法提供及非法获取公民个人信息,七名被告人的行为均触犯了刑法,已构成侵犯公民个人信息罪。被害单位提供的证据与被告人供述、手机鉴定意见内容等能印证本案侵犯公民个人信息的途径、手段、具体获取的个人信息内容的敏感度以及获取信息的大量性。根据具体的定罪量刑标准,认定本案符合侵犯公民个人信息“情节特别严重”的情形。根据各被告人犯罪的事实、犯罪的性质、情节,在共同犯罪中的地位、作用,以及对社会的苊害程度,依照刑法第二百五十三条之一第一款和第三款、第二十五条、第二十六条第一款、第二十七条、第六十七条第三款、第六十八条、第六十一条、第五十二条、第五十三条、第六十四条及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条之规定,判决如下:被告人董雷雷犯侵犯公民个人信息罪,判处有期徒刑三年六个月,并处罚金人民币七万元;被告人周杰犯侵犯公民个人信息罪,判处有期徒刑三年二个月,并处罚金人民币三万元;被告人李延庆犯侵犯公民个人信息罪,判处有期徒刑二年二个月,并处罚金人民币一万元;被告人马驰犯侵犯公民个人信息罪,判处有期徒刑二年二个月,并处罚金人民币一万元;被告人姜超续犯侵犯公民个人信息罪,判处有期徒刑二年二个月,并处罚金人民币一万元;被告人刘泽旭犯侵犯公民个人信息罪,判处有期徒刑一年七个月,并处罚金人民币八千元;被告人杜亚飞犯侵犯公民个人信息罪,判处有期徒刑一年三个月,并处罚金人民币五千元。
宣判后,被告人董雷雷、周杰、马驰不服,向北京市第三中级人民法院提起上诉。
被告人董雷雷、周杰的主要上诉理由是:一审判决认定事实不清,未查明涉案信息的具体内容即认定为“公民个人信息”,亦未查明涉案信息的具体数量等即认定为“情节特别严重”;相关证据亦不足,故请求二审法院改判其无罪。
被告人周杰、马驰还提出,一审量刑过重。
北京市第三中级人民法院经二审审理查明的事实与一审基本相同。
北京市第三中级人民法院审理认为,本案的犯罪对象为公民个人信息,且属于可能影响公民人身、财产安全的敏感信息。在案证据能够认定本案侵犯公民个人信息数量属于“情节特别严重”。原审法院根据上诉人及原审被告人犯罪的事实、犯罪的性质、情节和对于社会的危害程度所作出的判决,定罪正确,量刑适当,审判程序合法。据此,依法作出驳回上诉,维持原判的终审裁定。
一、主要问题
(一)在排除鉴定意见的情形下,如何认定侵犯公民个人信息罪的犯罪对象和数量?
(二)如何区分侵犯公民个人信息罪与非法获取计算机信息系统数据罪?
三、裁判理由
(一)在排除鉴定意见的情形下,综合在案其他证据可以认定犯罪对象为公民个人信息且属于可能影响公民人身、财产安全的敏感信息及其数量
近年来,针对公民个人信息的犯罪行为日益凸显,严重威胁公民人身和财产安全。司法实践中,行为人侵犯公民个人信息的数量从“倍数级”进阶至“指数级”,且公民个人信息内容存在重复、混同、庞杂等特点,信息本身识别困难,故司法机关通常依据鉴定机构出具的鉴定意见,并结合其他证据来予以综合认定。而作为鉴定依据的电子数据的收集、提取程序及规范,《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》规定了明确、严格的程序要求和技术标准。
本案中,公安机关仅对被害公司自行提供的电子数据进行了勘验检查,但并未对该电子数据的真实性、原始性进行核对,亦未能对此作出合理说明,故勘验检查笔录及鉴定意见均未被法院采用。因此,在缺乏鉴定意见或者鉴定意见达不到证据采用标准而不能被采用的情况下,如何准确认定侵犯信息属于公民个人信息及其数量成为本案审理的重点和难点。案件审理过程中,对所涉犯罪行为能否认定为侵犯公民个人信息罪及是否符合“情节特别严重”的情形存在两种观点:第一种观点认为要认定侵犯信息属于公民个人信息及其数量必须依据鉴定意见,在无符合证据采用标准的鉴定意见的情况下,宜根据“萁他情节严重”或“情节特别严重”的情形,认定为非法获取计算机信息系统数据罪;第二种观点则认为在缺乏鉴定意见的情形下,可以综合在案其他证据认定为侵犯公民个人信息罪且属于“情节特别严重”的情形。笔者同意第二种观点,具体分析如下。
1.综合在案证据可以认定本案犯罪对象为公民个人信息,且属于可能影响公民人身、财产安全的敏感信息
公民个人信息是指以电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。其中根据敏感程度并结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的规定,公民个人信息分为行踪轨迹信息、通信内容、征信信息、财产信息类极其敏感的个人信息,住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的敏感个人信息以及除上述两类信息之外的普通个人信息。对于敏感个人信息中“等其他可能影响人身、财产安全的公民个人信息”的表述,司法实践中可以根据具体情况作等外解释,但应当确保所适用的公民个人信息涉及人身、财产安全,且与“住宿信息、通信记录、健康生理信息、交易信息”在重要程度上具有相当性。
本案中,证人牛某某(被害单位B公司反腐中心调查主管)、卢某(被害单位B公司技术经理)、证人李某甲(C科技公司副总监)、证人刘某某(被害单位B公司员工)、证人朱某(A公司员工)的证言与被告人董雷雷、周杰、马驰、刘泽旭、姜超续、李延庆、杜亚飞的供述相互印证,证明了董雷雷等人所需获取信息的具体要素(如房屋地址、交易信息)、获取信息的具体地域(如上海市等地)及已经获取的信息内容等,足以证实董雷雷、周杰、马驰等人非法获取的房屋租赁合同中包含姓名、电话、身份证号等能够识别特定自然人身份的公民个人信息、,还包括房屋信息(房屋地址、租住情况)、交易信息(租赁合同起止日期、交易价格)等与公民人身、财产密忉相关,属于可能影响公民人身、财产安全的敏感信息。
2.综合在案证据可以认定侵犯公民个人信息的数量
犯罪事实能否认定取决于在案证据能否形成完整的证据链条。具体到本案,首先,从被害单位B公司证人证言的证明力来看,证人牛某某、卢某、李某乙(B公司信息安全部安全工程师)的证言均系公安机关依法取得,三人虽是被害单位B公司的工作人员,但其中一名是反腐中心调查主管、两名是技术人员,所作证言均是客观反映被害公司后台出现的异常情况(包括异常用户操作账号、IP地址等)及被侵犯公民个人信息的数量;三人并不知晓侵犯B公司数据的具体行为人及其所在公司和获取信息的不正当竞争目的,也与A公司及本案各被告人无利害关系,故三人的证言可以采纳。其次,从证据印证情况来看,各被告人之间的手机微信聊天记录、证人李某乙的证言与被告人周杰、马驰、杜亚飞的供述相互印证.,证明了周杰、杜亚飞获取信息后将信息数据传输给马驰后又因本案案发而删除相关痕迹等情况。证人牛某某、卢某、李某乙的证言、各被告人之间的手机微信聊天记录与被告人董雷雷、周杰、杜亚飞的供述相互印证,证明董雷雷等人非法获取的公民个人信息数量“去重”后已达至少10万条。最后,本案的各被告人及证人卢某、朱某等,或是房产中介行业的工作人员,或是技术人员,负有保护公民个人信息的重要义务和职责,他们对掌握客户信息的行业优势、利用技术手段“爬虫”软件抓取数据并进行大数据(海量数据)分析的效果等应比一般人认识更深入,所作出的供述或证言亦能够相互印证,故可以作为定案依据。综上,在案证据足以证明本案侵犯公民个人信息数量远超过5000条,属于《解释》规定的侵犯公民个人信息“情节特别严重”的情形。
此外,从实践来看,侵犯公民个人信息案件中涉案的公民个人信息动辄上万条甚至数十万条。此时并不排除少数情况下存在信息重复的可能,但要求做到完全“去重”较为困难。对此,《解释》对批量公民个人信息的条数,也明确了可根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。这一规定也为本案批量信息的认定提供了依据。
(二)侵犯公民个人信息罪与非法获取计算机信息系统数据罪的区分
非法获取计算机信息系统数据罪是违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的行为。该罪与侵犯公民个人信息罪存在法条竞合关系。
本案被告人通过被害公司工作人员的违规授权,利用“爬虫”软件窃取被害公司系统合同信息的行为是否构成非法获取计算机信息系统数据罪,需要判断是否属于非法侵入行为以及是否属于计算机信息数据。
1.关于“非法侵入”的认定
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《危害计算机信息系统安全解释》)并未明确“非法侵入”的具体情形,但规定具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的程序、工具属于专门用于侵入、非法控制计算机信息系统的程序、工具。通常理解,“非法侵入”是指未经授权的人员违反国家规定擅自进入特定计算机信息系统,包括运用计算机网络技术从后台进入,也包括使用他人的账户、密码从正常的系统入口登录等行为。行为人利用技术手段,规避或突破被害方计算机系统的安防设置,未经许可进入被害方计算机系统的,应认定为非法侵入;行为人在客观上虽没有规避或突破被害方计算机系统的安防设置,如使用计算机系统认证的账号密码登录,但如该登录未得到也不可能得到计算机系统管理人的授权的,该行为仍属未经许可进入被害方计算机系统,也应认定为非法侵入。
本案中,被告人虽然取得了被害公司员工提供的账号密码,通过计算机系统的认证登录,但该登录行为属非法授权,且被告人在登录后使用“爬虫”技术破坏计算机防御保护系统,擅自下载系统设置仅供浏览的数据,可以认定为非法侵入。
2.关于计算机信息数据的认定
《危害计算机信息系统安全解释》对非法获取计算机信息系统数据罪入罪的“情节严重”作出明确规定,其中特别明确了身份认证信息的数量要求,同时将其定义为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。而对于数据的具体含义和范围,司法解释并未明确。本案中,行为人提供、获取的是公民个人信息,不属于身份认证信息,但是否属于计算机信息数据及能否适用其他情节严重或者其他情节特别严重的情形认识不一致。我们认为,公民个人信息属于计算机信息数据的一种。本案存在侵犯公民个人信息罪与非法获取计算机信息系统数据罪的法条竞合。我国刑法第二百八十七条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照刑法有关规定定罪处罚。在案证据明确本案侵犯的对象为公民个人信息,宜认定为侵犯公民个人信息罪。
另外,需要说明的是,本案被告人以电子侵入的非法手段获取竞争公司的大量商业合同等数据信息,亦属于侵犯商业秘密行为。①但根据2020年9月17日《最高人民检察院、公安部关于修改侵犯商业秘密刑事案件立案追诉标准的决定》,侵犯商业秘密立案追诉条件为给商业秘密权利人造成损失数额在30万元以上的,或因侵犯商业秘密违法所得数额在30万元以上的,或直接导致商业秘密的权利人因重大经营困难而破产、倒闭的,或其他给商业秘密权利人造成重大损失的情形。在案证据尚不能认定被告人的行为达到侵犯商业秘密罪的追诉标准。
综上,人民法院认定被告人等构成侵犯公民个人信息罪,并根据在案的事实、情节认定被告人等属于“情节特别严重”,是正确的。
(撰稿:北京市第三中级人民法院 方玉 杨隽男
审编:最高人民法院刑三庭 鹿素勋)
①刑法修正案(十一)对侵犯商业秘密罪的罪状进行了修改,将“给商业秘密的权利人造成重大损失”改成“情节严重”,同时提高了法定刑。本案根据案发的时间,应当适用修改前的法条。
|