English

  • 首页
  • 关于植德
      • 植德概况
      • 植德客户
      • 植德荣誉
  • 专业人员
  • 业务领域
      • 银行与金融
      • 投资基金
      • 家事服务与财富管理
      • 投融资并购
      • 不动产与基础设施
      • 资本市场
      • 争议解决
      • 知识产权
      • 特殊资产与破产重组
      • 政府监管与合规
      • 反垄断与竞争法
      • 人力资源与劳动关系
      • 税务
  • 行业领域
      • 生命科学与医疗健康
      • 文化、娱乐与传媒
      • 科技、电信与互联网
      • 先进制造
      • 教育与培训
      • 消费品与零售
      • 房地产与基础设施
      • 能源、化工与环保
      • 新兴行业
      • 海洋经济
  • 植德新闻
      • 植德资讯
      • 植德业绩
      • 植德荣誉
      • 植德人物
  • 植德研究
      • 植德月报
      • 植德期刊
      • 植德观点
  • 联系我们
    • 工作机会
- 植德观点

企业数字化过程中的刑事风险之非法获取计算机信息系统数据罪

 ——企业大数据合规系列之四


作者:朱宣烨 王伟

 

不久前,警方破获了一起史上最大的数据窃取案,在本案中30亿用户数据被窃。新三板公司北京瑞智华胜科技股份有限公司(以下简称“瑞智华胜”)通过与覆盖十余省市的运营商签订营销广告系统服务合同,在提供软件服务的过程中违反国家规定,利用获得的运营商服务器的远程登录权限将自主编写的恶意程序放在运营商内部的服务器上,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出并存放在瑞智华胜境内外的多个服务器上。这导致了百度、腾讯、阿里、今日头条等国内核心互联网公司的用户数据被获取。目前瑞智华胜被停牌,公司监事黄某、梁某、员工王某、石某已于8月9日被批捕,原法定代表人、董事周某取保候审。本案值得关注的一点是,虽然瑞智华胜窃取的数据涉及大量的个人信息,但是该案件是以非法获取计算机信息系统数据罪侦查立案。


一、关于非法获取计算机信息系统数据罪的几个特点


根据刑法第285条的规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。对于这一罪名适用的理解,应当关注以下几个特点:


1.1个人、单位皆可构成本罪


随着数据日益成为公司发展的重要资源,甚至关系商业模式的创新,越来越多的单位成为了获取数据甚至非法获取计算机数据的重要主体。非法获取计算机信息系统数据罪的犯罪主体经历了从自然人到自然人和单位均可构成犯罪的发展过程。刑法规定,非法获取计算机信息系统数据罪这个罪名可以由单位构成。也即如果在公司意思支配下,并为公司利益非法获取计算机信息系统数据的,不仅直接负责的主管人员和直接责任人员会被追究刑事责任,公司本身也会被追究刑事责任以及民事责任,这将直接影响公司的融资和生产经营。


例如,上海某网络科技有限公司等非法获取计算机信息系统数据一案[1]中,上海某网络科技有限公司系有限责任公司,经营计算机网络科技领域内的技术开发、技术服务、电子商务、电子产品等业务。张某某系该网络科技有限公司法定代表人兼CEO,负责公司整体运行;被告人宋某担任联席CEO,系产品负责人;被告人侯某某担任公司CTO,系技术负责人;被告人郭某系该网络科技有限公司职员。张某某、宋某、侯某某经共谋,于2016年至2017年间采用技术手段抓取被害单位北京某网络技术有限公司服务器中存储的视频数据,并由侯某某指使被告人郭某破解北京某网络技术有限公司的防抓取措施,使用“tt_spider”文件实施视频数据抓取行为,造成被害单位损失技术服务费人民币2万元。


1.2什么样的数据受到非法获取计算机信息系统数据罪的保护


计算机信息系统数据是指在计算机信息系统中存储、处理、传输的数据。但并不是所有计算机信息系统的数据都能成为本罪的保护对象。


1.2.1实践中计算机信息系统数据的类型多样。例如:商业秘密[2]、游戏账号及密码[3]、企业客户信息[4]、游戏源代码[5]、WiFi热点及对应密码[6]、个人资格信息[7]等都属于计算机信息系统数据。

1.2.2独立于计算机信息系统外的其他载体,如U盘、移动硬盘中所存储的数据并不是本罪的保护对象。当然,如果U盘、移动硬盘连接在电脑上,自然属于计算机系统的一部分。

1.2.3已经公开的数据且数据所有人或控制人没有不允许获取的数据不是本罪的保护对象。最常见的情况是,使用正常的爬虫技术获取数据并不涉及刑事犯罪。

1.2.4承载了犯罪内容的计算机数据不会成为刑法的保护对象。


1.3常见的涉及这个罪名的行为有哪些


根据刑法的规定,在司法实践中,下列获取数据的行为可能构成本罪:

(1)利用网络爬虫软件获取数据。并不是所有的爬虫技术都构成违法,还需要看两个内容,第一,爬取的数据性质。例如,涉及个人信息的,没有合法依据不得爬取的;第二,爬取行为是否为数据权利方所禁止。例如在数据权利方已经采取反爬虫措施的情况下,通过模拟数据权利方客户的请求的方式来获取数据的,则属非法。此外,需要指出的是,在采用大量爬虫高频次访问要获取数据的服务器但是导致服务器瘫痪的情形下,也可能构成破坏计算机信息系统罪,加之破坏计算机信息系统罪犯罪构成更加明晰且刑法更重,所以这种情况下,多依据破坏计算机信息系统罪追究刑事责任。

(2)通过利用企业员工的账号、密码、Token(令牌)或者工号权限,获取计算机信息系统中储存的电子数据。[8]

(3)植入钓鱼链接及利用钓鱼网站获取数据。[9]

(4)未经允许安装域名解析软件(用于显示计算机地址,例如“花生壳”)、多用户系统软件(远程控制计算机)、键盘记录软件(用于盗取账号和密码,例如“灰鸽子”)并利用其获取数据。[10]

(5)  通过其他各种木马程序非法获取数据。[11]

(6)行为人获取计算机信息系统数据时,如果对系统内的数据进行了增加、删除、修改等操作,干扰了信息系统的正常运行,行为人通常会被依据破坏计算机信息系统罪追究刑事责任。


1.4“情节严重”怎么理解?


根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条的规定,(第一款)下列情形应该认定为“情节严重”: (一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的;(三)非法控制计算机信息系统二十台以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)其他情节严重的情形。(第二款) 实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的(二)其他情节特别严重的情形。(第三款)明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。

司法实践中认定“情节严重”、“情节特别严重”的案例有很多。例如,唐某等利用钓鱼网站盗取他人QQ号码非法获取计算机信息系统数据案【(2012)通刑初字第0425号】,在本案当中,被告人周某某以每3000个邮箱100元的价格获利5995元,被认定为“情节严重”。郭某、刘某非法获取计算机信息系统数据案【案号为(2016)沪0105刑初1027号】,在本案当中,被告人被认定非法获取被害人公司的热点密码数据达到241万余组,被认定为“情节特别严重”。


1.5本罪与侵犯公民个人信息罪的区别和联系


伴随着我国互联网的高速发展,越来越多的个人信息以数据的形式存储在计算机系统当中。所以非法获取计算机系统数据罪和侵犯公民个人信息罪存在着千丝万缕的联系。


   


二、关于数据相关业务合规的建议


数据是企业重要的竞争力,对于需要数据的公司而言,应当取之有道,否则会遭遇刑事处罚的风险;对于掌握数据的公司,应当采取措施保护自身数据安全和竞争力。


2.1对于获取计算机数据的企业


2.1.1获取数据之前应当明确行为的风险等级,具体考虑的因素有:

(1)进入的计算机系统的性质。虽然非法获取计算机系统数据罪针对的是国家安全、国防安全及尖端科技领域的计算机系统以外的计算机系统中的数据,但是举轻以明重,事实上,上述系统数据更是碰不得。只要侵入上述系统即构成犯罪,而不是像非法获取计算机信息系统数据罪那样,“情节严重”的才构成犯罪。

(2)获取数据的性质。虽然数据的性质对于本案的犯罪事实的认定没有影响,但是同样的数据获取行为,不同的数据性质可能有不同的结果。比如,一般的爬虫技术不认为非法获取数据,即便是对于某些设定了一定反爬虫技术的网站,是否构成犯罪也存有争议,但是如果爬取的是个人信息,那很可能构成非法获取公民个人信息罪。

(3)就具体行为而言,直接的爬取风险小于模拟请求绕过密钥,模拟请求绕过密钥风险相对小于采取木马、钓鱼网站。


2.1.2在进行数据合作、数据交流和提供外包服务的过程中,获取数据的范围超过权利方的授权范围,或者超过权限获取数据。


2.1.3做好管理人员和员工的风险教育工作。通过入职培训、风险提示等方式,防止公司有关人员从事非法获取计算机数据的行为,确保公司已经尽到必要的管理责任,且明确进行非法行为不是公司意思,减少企业的运行风险。


2.2对于掌握计算机数据的公司


2.2.1根据自身业务特点加大对数据异常情况的关注。例如,请求中的IP地址出现异常等。设置必要的反爬措施,并对数据的权属进行声明。


2.2.2如需数据共享和数据合作,除了应当形成有效的协议,写明获取数据的单位和进入其系统的权限,还应当采取技术措施,实现有限、分级开放,尽量避免出现实际开放的权限远大于合同中约定的权限的情况,减少由于双方的主观判断失误而引发的分歧。


2.2.3加强员工及其账号、权限的管理。明确其在单位中的工作内容、职务权限等。同时,通过工作责任书、岗位职责、劳动合同、保密协议、与授权有关的通知、公告、管理制度等方式进行确认。此外,还要向员工强调账户保密、禁止外泄的重要性。


三、结语


在计算机犯罪日益多发的今天,无论是对掌握数据的企业还是获取数据的企业而言,明确法律禁止的边界都是极为重要的,这既有利于防患于未然,又有利于及时化解企业危机,只有在法律的框架下行事,企业才能行稳致远!

 


[1] 上海某网络科技有限公司等非法获取计算机信息系统数据案, (2017)京0108刑初2384号。

[2] 白某某等非法获取计算机信息系统数据案,(2017)粤0113刑初字2047号。

[3] 谢某某等非法获取计算机信息系统数据、提供侵入、非法控制计算机信息系统程序、工具案,(2017)苏04刑终160号。

[4] 卫某等非法获取计算机信息系统数据案,(2017)京0108刑初392号。

[5] 邵某等非法获取计算机信息系统数据案,(2016)粤03刑终1168号。

[6] 黄某等非法获取计算机信息系统数据案,(2014)浦刑初字第4938号。

[7] 王某非法获取计算机信息系统数据案,(2014)浙杭刑终字第97号。

[8] 卫某、龚某、薛某非法获取计算机信息系统数据案,(2013)武侯刑初字第691号。

[9] 海珠法院公布网络犯罪六大典型案例之五:林某春等非法获取计算机信息系统数据案——盗取微信公众号推送微商产品和广告非法牟利,广东高院发布2017年度涉互联网十大案例之五:肖某非法获取计算机信息系统数据案——以黑客手段窃取苹果手机ID密码如何定性。

[10] 罗甲、罗乙、柯某分非法获取计算机信息系统数据案。

[11] 董某、李某某非法获取计算机信息系统数据案,杨锋非法获取计算机信息系统数据、盗窃案。

[12] 《刑事审判参考(2003年第一辑·总第30辑)》,法律出版社2003年版。


版权所有 北京植德律师事务所

联系我们 Wechat