“当利润达到10%时,便有人蠢蠢欲动;当利润达到50%的时候,有人敢于铤而走险;当利润达到100%时,他们敢于践踏人间一切法律;而当利润达到300%时,甚至连上绞刑架都豪不畏惧。”
——卡尔.马克思
2018年8月,国内出现号称史上最大数据泄露案,新三板上市公司“瑞智华胜”(872382.OC ),涉嫌非法窃取用户个人信息30亿条,非法牟利超千万元,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品,警方已从该公司及其关联公司以涉嫌非法获取计算机信息系统数据罪抓获6名犯罪嫌疑人。
根据公开披露的消息,这家新三板上市公司的“业务模式”为,先和运营商签订正规合同、拿到登录凭证,然后将非法程序置入用于自动采集用户cookie、手机号等信息,最后将非法获取的用户数据储存在境内和境外的服务器上,用于给微博、微信公众账号加粉及精准营销等广告业务,业务收入及利润率均相当可观。
这个案件就像一门窗户一样,打开了互联网数据地下产业链的世界,互联网黑色产业链从过去的赌博、色情、诈骗等传统方式,已经进化到非法获取及经营数据的“高级阶段”。
作者在腾讯工作期间,也曾处理过数据泄露的行政处罚,或者侵犯个人信息的自然人犯罪,但如此大规模的上市公司行为窃取个人信息,无疑也是前所未有;作者认为,这一事件的出现,标志着数据信息类犯罪的升级,同时也给正在经营的数据企业敲响了一门警钟。
根据作者的统计,个人信息的泄露事件在近年内也频繁爆发,如“华住旗下酒店5亿条信息泄露事件”、“顺丰快递3亿用户信息外泄事件”、“国泰航空940万用户隐私泄露事件”等等,与此相对应的国内刑事立法,也在加大对网络安全及侵犯个人信息的规制力度,作者整理了自2009年《刑法修正案(七)》颁布以来至今,有关网络安全及个人信息保护的几个重要相关罪名,并以简单案例关系展示,以作普及。
一、有关网络安全及个人信息保护的刑法条文及司法解释
1、2009年《中华人民共和国刑法修正案(七)》
非法侵入计算机信息系统罪(刑法修正案七第285条,最高法定刑3年)
非法获取计算机信息系统数据罪(刑法修正案七第285条,最高法定刑7年)
2、2015年《中华人民共和国刑法修正案(九)》
侵犯公民个人信息罪(刑法修正案九第253条修改为一般主体,包含非法获取、出售或者提供的行为,最高法定刑7年)
非法利用信息网络罪(刑法修正案九第287条,最高法定刑3年)
拒不履行信息网络安全管理义务罪(刑法修正案九第286条,最高法定刑3年)
3、最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》2011.8
4、最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》2017.5
注:刑法修正案及司法解释对个人信息的定义,比对网安法有更大范围的列举,包括个人身份信息及个人活动信息,体现了对诸如个人IP轨迹等的突出保护。
二、举例:此罪与彼罪,犯罪竞合及数罪并罚
1、涉事主体:
A公司:网络经营者
甲:入侵者
乙:购买者
2、基本事实:
A公司为网络经营者平台,在提供互联网经营过程中合法收集了大量公民个人信息,但未建立完善安全管理制度,未采取有效安全保密措施,经主管部门责令采取改正措施而拒不改正。
甲采取技术手段入侵了A公司的计算机信息系统,获取了A公司信息系统中储存的数据,其中包括大量公民个人信息。
甲将获取的大量公民个人信息出售与乙,乙建立某专门实施诈骗或其他违法活动的网站,并定向向被泄露的信息主体发布诈骗信息,导致多人受害。
3、罪名适用:
整个行为链条中,
A公司
因拒不履行信息安全管理义务,导致用户信息泄露,并导致严重后果,可能触犯刑法第286条,拒不履行信息网络安全管理义务罪,对主管人员或直接责任人员可处以最高法定刑3年的刑事处罚。
甲
采取技术手段非法获取A公司信息信息系统中储存的数据,其中有关公民个人的身份信息达到500组以上(获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息只需10组以上的),属于情节严重,可能触犯刑法第285条规定,非法获取计算机信息系统数据罪,3年以下有期徒刑;如身份信息达到500组5倍以上,即2500组以上或其他特别严重情节,最高法定刑为7年;如A公司为涉及国家事务、国防建设、尖端科学技术领域的计算机信息系统的,则不需要任何严重情节及后果,甲的行为构成非法侵入计算机信息系统罪,最高法定刑为3年;
同时,甲将获取的公民个人信息出售予乙,达到情节严重(他人用于犯罪的,50-500-5000条标准,违法所得5000元标准),构成刑法第253条侵犯公民个人信息罪,处于3年以下有期徒刑;如达到情节特别严重标准(被害人死亡、重伤、精神失常或被绑架等严重后果,重大经济损失或恶劣社会影响,数量达到50-500-5000标准的十倍以上),最高法定刑为7年。
所以对甲的行为,应以非法获取计算机信息系统罪和侵犯公民个人信息罪,进行数罪并罚。
乙
乙购买公民个人信息的行为,情节严重,同样构成侵犯公民个人信息罪;同时,乙设立违法网站的行为,还违反刑法287条的规定,构成非法利用信息网络罪,应以侵犯公民个人信息罪和非法利用信息网络罪数罪并罚;乙建立违法网站进行诈骗的行为如达到诈骗罪的追诉标准,应以侵犯公民个人信息罪和诈骗罪进行数罪并罚。
注:上述举例及罪名适用仅为阐述在典型及理想情形下这几类犯罪适用的逻辑关联,司法实践中应根据不同个案及证据情况进行具体分析。
三、结语
根据作者在中国裁判文书网上的检索,近年全国涉及侵犯公民个人信息罪的刑事案件审判数量,已达到每年500-800件的量级,而且还在呈增长趋势;此外,作为公认的网络运营服务商“达摩克利斯之剑”的拒不履行信息网络安全管理义务罪,修法以来已出现全国首单案例。(详见上海浦东新区人民法院(2018)沪0115刑初2974号刑事判决书)
基于日益严苛的监管及可能的刑事制裁压力,对于数据企业来说,不仅要做到数据来源合法,数据使用合规,更要保障数据安全,企业在个人数据保护及网络安全方面任重而道远,作者建议涉及数据安全的企业,应从以下几方面着手,尽早进行合规及风险防范:
1.企业应当建立健全网络安全及数据保护有关的合规制度与合规体系,定期审计执行情况。
2.企业应当建立网络安全及数据保护有关的岗位,设定岗位职责及工作指引,配备相适应的人员、资源,合理隔离相应的法律风险。
3.企业网络安全及数据保护负责人应当建立相应的决策记录、工作留档机制,重大及高风险业务应当及时聘请外部机构支持,合理转移相应的法律风险。
4. 企业应当自行或外聘机构建立网络内容审查机制、数据分级与加密机制、等保评测备案机制、电信业务准入审查机制、网络产品合规审查机制、个人信息安全影响评估机制,等等。
5. 企业应当建立上下游供应商网络安全与数据合规审查机制,在业务合同中加入相应的网络安全专用条款和签署单独的安全责任承诺函。
6. 企业应当强化员工合规意识,建立网络安全及数据保护有关的法律培训机制,做好培训记录,要求相关工作人员签署相应的合规承诺函,完善员工合同及劳动手册等。
7. 企业应当编制政府调查/行政违法、刑事调查应对指引,慎重对待可能的调查、约谈、听证及处罚程序,重视行政违法处罚的严重性,及时聘请专业人员介入。
8. 一旦发生刑事案件,第一时间安抚涉案员工家属,协助涉案员工家属聘请专业律师,开展会见、辩护等工作等等。
作者:郑季雨律师/广东君言律师事务所