【202214058】非法獲取數(shù)據(jù)出售的行為性質(zhì)
文/杜前�;李玉文;趙龍
【裁判要旨】
被告人在未經(jīng)被害單位許可的情形下�����,利用編寫的計算機(jī)程序����,避開被害單位安全技術(shù)措施獲取并轉(zhuǎn)發(fā)數(shù)據(jù)牟利,應(yīng)當(dāng)認(rèn)定為采用其他技術(shù)手段非法獲取數(shù)據(jù)��,情節(jié)嚴(yán)重的���,構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。
□案號 一審:(2021)浙0521刑初34號 二審:(2021)浙05刑終87號
【案情】
公訴機(jī)關(guān):浙江省德清縣人民檢察院�����。
被告人:張同����、陳豪、李子敬����。
德清縣人民法院經(jīng)審理查明:千尋位置網(wǎng)絡(luò)(浙江)有限公司(以下簡稱千尋公司)是一家通過CORS(ContinuousOperionalReferenceSystem)賬號為用戶提供實(shí)時定位差分?jǐn)?shù)據(jù)的科技公司���,其原理是基于北斗衛(wèi)星系統(tǒng)基礎(chǔ)定位數(shù)據(jù),通過互聯(lián)網(wǎng)方式為CORS賬號使用者提供全天候的厘米級精度位置差分服務(wù)���。被告人張同實(shí)際控制的武漢三體時空信息技術(shù)有限公司�、武漢中測安云科技有限公司自2017年4月起先后成為千尋公司的分銷商���。對于分銷商�����,千尋公司合同要求:一個千尋CORS賬號對應(yīng)一個客戶�����;客戶不能以任何方式把賬號提供給第三方���;客戶獲取的數(shù)據(jù)不可進(jìn)行任何形式的轉(zhuǎn)發(fā)。張同則想通過搭建中間平臺的方式實(shí)現(xiàn)一個千尋賬號給多個終端用戶服務(wù)����,具體方式為:購買千尋賬號組建賬號池���,然后通過微信等方式出售自建的CORS賬號,并指使陳豪為其編寫NtripAgent程序�,使購買張同等人自建CORS賬號的客戶可以通過千尋公司賬號訪問千尋公司的服務(wù)器,并獲取定位差分系統(tǒng)的數(shù)據(jù)�。2019年8月,千尋公司發(fā)現(xiàn)張同等人存在使用技術(shù)手段將一個賬號提供給多個客戶使用的情況�,即要求張同停止這種行為并賠償損失。因張同未停止該行為�,同年10月,千尋公司終止張同等人經(jīng)營公司的分銷商資格�����,同時逐步升級計算機(jī)信息系統(tǒng)的安全技術(shù)措施�����。
為應(yīng)對千尋公司的技術(shù)防范措施���,2019年9月至2020年8月期間,張同指使陳豪將NtripAgent程序升級為XCORS.GwServer程序����,并安排李子敬提供售后及維護(hù)�����,繼續(xù)獲取千尋公司定位差分系統(tǒng)的數(shù)據(jù)���,非法獲利52萬余元。經(jīng)鑒定�,XCORS.GwServer程序軟件具有避開千尋公司賬號認(rèn)證、位置識別�、處置轉(zhuǎn)發(fā)行為的安全技術(shù)措施的功能。
【審判】
德清縣法院認(rèn)為�,被告人張同、陳豪����、李子敬違反國家規(guī)定,采用技術(shù)手段���,獲取計算機(jī)信息系統(tǒng)中存儲�、處理或者傳輸?shù)臄?shù)據(jù)����,情節(jié)特別嚴(yán)重,其行為均已構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。在共同犯罪中���,被告人張同�、陳豪是主犯��,依法按照其所參與的全部犯罪處罰�����;被告人李子敬是從犯�����,予以減輕處罰�����。三被告人均能如實(shí)供述犯罪事實(shí)���,被告人陳豪�����、李子敬自愿認(rèn)罪認(rèn)罰,被告人陳豪賠償被害單位損失并取得諒解���,予以從輕處罰�。依法以非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,分別判處被告人張同有期徒刑3年6個月�����,并處罰金10萬元�����;判處被告人陳豪有期徒刑3年�,緩刑4年,并處罰金8萬元���;判處被告人李子敬有期徒刑1年4個月�,緩刑1年10個月���,并處罰金2萬元����;扣押在案的作案工具電腦主機(jī)���、筆記本電腦等若干�����,予以沒收�����,其余手機(jī)��、筆記本電腦�����、筆記本電腦電源線�、硬盤,由扣押機(jī)關(guān)依法處理�����。
一審判決后����,被告人張同不服,向浙江省湖州市中級人民法院提出上訴���。
湖州中院二審認(rèn)為���,上訴人張同雖通過購買賬號形式獲取千尋公司的數(shù)據(jù),但其利用賬號獲取數(shù)據(jù)的目的是轉(zhuǎn)發(fā)�,違反了用戶協(xié)議,具有非法獲取千尋公司數(shù)據(jù)的主觀故意���,違反了網(wǎng)絡(luò)安全法等國家規(guī)定�。陳豪編寫的XCORS.GwServer程序���,規(guī)避千尋公司設(shè)置的安全技術(shù)措施����,屬于利用其它技術(shù)手段獲取數(shù)據(jù)�����。根據(jù)最高人民法院����、最高人民檢察院《關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》(以下簡稱《解釋》),屬于情節(jié)特別嚴(yán)重����,依法構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪�����。原判對上訴人張同����、原審被告人陳豪����、李子敬的定罪準(zhǔn)確,量刑適當(dāng)�,據(jù)此裁定駁回上訴,維持原判���。
【評析】
隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展和數(shù)字經(jīng)濟(jì)的興起���,通過網(wǎng)絡(luò)技術(shù)手段非法獲取數(shù)據(jù)的新類型犯罪不斷出現(xiàn),國家安全��、經(jīng)濟(jì)發(fā)展和社會穩(wěn)定面臨新的挑戰(zhàn)����,需要加大打擊力度����。數(shù)據(jù)犯罪不同于傳統(tǒng)犯罪����,涉及主觀故意的認(rèn)定�����、行為認(rèn)定����、數(shù)據(jù)安全、刑民交叉等一系列問題���。
一����、被告人是否具有非法獲取數(shù)據(jù)的主觀故意�,且違反國家規(guī)定
刑法第二百八十五條第二款規(guī)定,違反國家規(guī)定��,侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段�,獲取該計算機(jī)信息系統(tǒng)中存儲����、處理或者傳輸?shù)臄?shù)據(jù)����,情節(jié)嚴(yán)重的,處3年以下有期徒刑或者拘役�����,并處或者單處罰金�;情節(jié)特別嚴(yán)重的,處3年以上7年以下有期徒刑�,并處罰金。本案中�����,張同等人在千尋公司更新分銷系統(tǒng)服務(wù)協(xié)議及用戶協(xié)議明確禁止轉(zhuǎn)發(fā)數(shù)據(jù)���,且終止分銷商資格的情形下����,繼續(xù)采用技術(shù)手段獲取千尋公司數(shù)據(jù)并轉(zhuǎn)發(fā)�����,顯然具有非法獲取數(shù)據(jù)的直接故意。
根據(jù)刑法第二百八十五條的規(guī)定�����,非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的三要素分別為違反國家規(guī)定���、侵入采取其他技術(shù)手段、獲取數(shù)據(jù)�����。何謂違反國家規(guī)定��?刑法第九十六條規(guī)定����,違反國家規(guī)定,是指違反全國人民代表大會及其常務(wù)委員會制定的法律和決定���,國務(wù)院制定的行政法規(guī)���、規(guī)定和行政措施����、發(fā)布的決定和命令���。網(wǎng)絡(luò)安全法第二十七條規(guī)定�����,任何個人或組織不得從事非法侵入他人網(wǎng)絡(luò)�、干擾他人網(wǎng)絡(luò)正常功能���、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動�����。2021年9月1日實(shí)施的數(shù)據(jù)安全法第三十二條第一款規(guī)定�����,任何組織�����、個人收集數(shù)據(jù)���,應(yīng)采取合法���、正當(dāng)?shù)姆绞剑坏酶`取或者以其他方式獲取數(shù)據(jù)�����。本案中��,被告人通過編寫計算機(jī)程序避開被害人的安全技術(shù)措施獲取數(shù)據(jù)并轉(zhuǎn)發(fā)牟利����,顯然違反了網(wǎng)絡(luò)安全法等相關(guān)法律法規(guī)的禁止性規(guī)定��,屬于違反國家規(guī)定的情形���。
二���、被告人的行為是否屬于采取其他技術(shù)手段
非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪要求侵入或者采用其他技術(shù)手段獲取計算機(jī)信息系統(tǒng)中存儲、處理�、傳輸?shù)臄?shù)據(jù)。本罪的侵入,是指未經(jīng)授權(quán)或者他人同意��,通過技術(shù)手段進(jìn)入計算機(jī)信息系統(tǒng)����。[1]侵入通常是指通過“木馬程序”,在用戶訪問該網(wǎng)站時���,伺機(jī)侵入用戶計算機(jī)信息系統(tǒng)�;或建立色情���、游戲等網(wǎng)站���,吸引用戶訪問并在用戶計算機(jī)系統(tǒng)中植入“木馬程序”等。其他技術(shù)手段是立法者針對實(shí)踐中隨著計算機(jī)信息技術(shù)的發(fā)展可能出現(xiàn)的各種手段作出的兜底性規(guī)定����。從文義解釋和體系解釋的角度理解,采用其他技術(shù)手段����,是指采用侵入以外,與侵入功能相似的其他具有較高技術(shù)含量的手段��。不論是侵入還是采用其他技術(shù)手段,都要求利用一定的網(wǎng)絡(luò)技術(shù)手段���。本案中���,千尋公司為了禁止數(shù)據(jù)轉(zhuǎn)發(fā),逐步升級了安全技術(shù)措施��,除了要求賬號�����、密碼認(rèn)證和限制密碼修改次數(shù)的傳統(tǒng)措施以外���,還采用技術(shù)措施對短時間內(nèi)在不同地區(qū)跳躍訪問的賬號�、申請獲取地理數(shù)據(jù)與申請?jiān)L問的1P地址不一致的賬號等可能存在轉(zhuǎn)發(fā)行為的非正常賬號進(jìn)行識別并予以封禁��。但本案被告人張同利用陳豪編寫的XCORS.GwServer程序�,規(guī)避千尋公司設(shè)置的安全技術(shù)措施���,通過建立賬號池����,對其掌握的千尋公司官網(wǎng)賬號按照省份區(qū)分管理,接到自己客戶的訪問申請后����,通過客戶的網(wǎng)絡(luò)地址解析出客戶訪問設(shè)備的GPS地址,隨機(jī)調(diào)用與自己客戶設(shè)備地理位置相對應(yīng)區(qū)域賬號池中可用千尋公司賬號�����,使用天翼云跳板機(jī)對IP地址偽裝�,再把定位請求發(fā)送到千尋公司的服務(wù)器,獲取千尋公司的定位數(shù)據(jù)后提供給其客戶使用���。該行為規(guī)避了千尋公司的安全防護(hù)措施���,實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā),并達(dá)到將一個千尋官方賬戶獲得的數(shù)據(jù)提供給多個自建賬號用戶使用的目的����。因此,張同等人通過特定程序����,繞過千尋公司身份認(rèn)證、位置識別��、處置轉(zhuǎn)發(fā)行為的安全技術(shù)措施,獲取并轉(zhuǎn)發(fā)數(shù)據(jù)的行為���,應(yīng)認(rèn)定為采取其他技術(shù)手段�����。
非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪之所以要規(guī)制侵入和其他技術(shù)手段的不法行為��,主要在于其非法性����,這體現(xiàn)在未經(jīng)授權(quán)或超越授權(quán)兩種情形�����。本案中���,被告人張同等人辯稱雖然其采取了技術(shù)手段�,但數(shù)據(jù)均來自于合法購買的千尋公司賬戶����,并不具有違法性���。對此����,筆者認(rèn)為,被告人張同獲取千尋公司數(shù)據(jù)的賬號雖然是購買所得����,但是其購買賬號的目的并非基于自用,而是違反用戶協(xié)議進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)牟利�����,本質(zhì)上屬于竊取網(wǎng)絡(luò)數(shù)據(jù)���,只不過不同于常見的秘密竊取而已��。此外���,被告人張同等人還辯稱其通過調(diào)整訪問策略,符合千尋公司要求的規(guī)則��,例如千尋公司不允許賬號在短時間內(nèi)在不同地區(qū)跳躍����,其通過設(shè)立賬號池����,對賬號按省份分類管理�,接到申請后解析出用戶GPS位置,匹配合適賬號��,使其不在短時間內(nèi)跳躍�����,因此�,訪問程序并不違反千尋公司規(guī)則,不屬于侵入或者采用其他技術(shù)手段獲取數(shù)據(jù)��。筆者認(rèn)為�,千尋公司設(shè)置相關(guān)安全防護(hù)措施的目的是防止一個賬戶多人使用以及對該公司數(shù)據(jù)的轉(zhuǎn)發(fā)行為,而被告人張同等人在前期轉(zhuǎn)發(fā)數(shù)據(jù)遭到明確禁止后�����,不斷提高程序的功能����,根本目的是對抗和規(guī)避千尋公司不斷升級的安全防護(hù)措施,繼續(xù)獲取并轉(zhuǎn)發(fā)千尋公司的數(shù)據(jù)����。因此�����,是否適應(yīng)千尋公司的訪問規(guī)則,并不改變獲得數(shù)據(jù)的非法性���。
三����、被告人的行為是否危害數(shù)據(jù)安全
數(shù)據(jù)安全涉及數(shù)據(jù)的保密性�����、完整性�����、可用性���。非法獲取數(shù)據(jù)類犯罪��,實(shí)質(zhì)是對數(shù)據(jù)保密性的侵犯���。按照公開程度的不同�,數(shù)據(jù)大致可以分為不公開的數(shù)據(jù)����、半公開的數(shù)據(jù)、公開的數(shù)據(jù)�����。對于向大眾公開的數(shù)據(jù)�����,因?yàn)椴淮嬖谇趾?quán)利人的保密意思����,也不需要避開權(quán)利人的安全技術(shù)措施去獲取,不能構(gòu)成非法獲取數(shù)據(jù)犯罪��。但利用技術(shù)手段大量獲取及利用他人未公開數(shù)據(jù)的行為���,可能構(gòu)成侵權(quán)����。如2017年新浪微博訴脈脈不正當(dāng)競爭案。對于不公開或者半公開的數(shù)據(jù)�,要獲取該數(shù)據(jù)必須獲得數(shù)據(jù)權(quán)利人授權(quán)(例如身份驗(yàn)證、密碼登錄等方式)�。行為人違背數(shù)據(jù)權(quán)利人的意愿,通過侵入或者采用其他技術(shù)手段非法獲取相關(guān)數(shù)據(jù)�,則不僅構(gòu)成侵權(quán)�����,情節(jié)嚴(yán)重的�����,還可能構(gòu)成犯罪����。因?yàn)椴还_或半公開的數(shù)據(jù),權(quán)利人會對數(shù)據(jù)采用一定的保密措施�,如果超過授權(quán)、避開或突破安全技術(shù)措施獲取數(shù)據(jù)��,則違背了權(quán)利人的保密意思����,不但對他人利益造成侵害��,也可能危及計算機(jī)信息系統(tǒng)以及數(shù)據(jù)本身的安全��,可能觸犯刑法�。
在大數(shù)據(jù)時代����,數(shù)據(jù)安全風(fēng)險及其防范問題越來越受到國家立法的重視,法律保護(hù)的重心也從網(wǎng)絡(luò)載體����、信息內(nèi)容逐步轉(zhuǎn)到數(shù)據(jù)本身,從靜態(tài)的計算機(jī)安全到動態(tài)的網(wǎng)絡(luò)安全�����,發(fā)生著質(zhì)的變化�。[2]隨著網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法����、個人信息保護(hù)法等法律的實(shí)施,我國對網(wǎng)絡(luò)安全和數(shù)據(jù)安全的法律保護(hù)將更為嚴(yán)密���。不同于網(wǎng)絡(luò)游戲數(shù)據(jù)�����、網(wǎng)絡(luò)視頻數(shù)據(jù)等����,地理信息數(shù)據(jù)具有一定特殊性。地理信息是國家重要的基礎(chǔ)性�、戰(zhàn)略性信息資源,關(guān)系國家主權(quán)�、安全和利益��。國家測繪地理信息局《關(guān)于規(guī)范衛(wèi)星導(dǎo)航定位基準(zhǔn)站數(shù)據(jù)密級劃分和管理的通知》規(guī)定���,實(shí)時差分服務(wù)數(shù)據(jù)屬于受控數(shù)據(jù)����,采取用戶審核注冊的方式提供服務(wù)����。其中提供優(yōu)于1米精度服務(wù)的,基準(zhǔn)站數(shù)據(jù)中心管理部門審核注冊后應(yīng)向省級以上測繪地理信息行政主管部門報備用戶及使用目的等信息���。千尋公司提供的厘米精度的實(shí)時定位數(shù)據(jù)屬于受控數(shù)據(jù)����,終端客戶實(shí)名認(rèn)證后才能使用。被告人張同等人的行為使千尋公司無法完成對終端用戶的審核注冊并按照規(guī)定向國家報備����,不但涉及侵犯千尋公司的利益,也可能對國家地理信息數(shù)據(jù)的安全構(gòu)成威脅��。
四�����、被告人的行為是否需要刑罰進(jìn)行規(guī)制
數(shù)據(jù)化生存已經(jīng)成為當(dāng)前社會的基本存在方式�,而數(shù)據(jù)犯罪也成為各個法域規(guī)范的重點(diǎn)。[3]當(dāng)一個違法行為既違反民事法律規(guī)范�����,又違反刑事法律規(guī)范�,就會產(chǎn)生刑民交叉的問題。正如本案所涉及的情形����,在構(gòu)成民事侵權(quán)的情形下�����,是否需要刑事處罰進(jìn)行規(guī)制����,司法實(shí)踐中存在較大爭議�����。一種觀點(diǎn)認(rèn)為���,當(dāng)同一行為既存在民事侵權(quán)�,又構(gòu)成刑事犯罪����,如果追究民事侵權(quán)責(zé)任能夠彌補(bǔ)損失��,原則上就不需要刑事責(zé)任進(jìn)行追究���。尤其是被告人系通過合法賬號獲取數(shù)據(jù)�����,社會危害性顯然較小�����。另一種觀點(diǎn)認(rèn)為�,如果民事責(zé)任和刑事責(zé)任產(chǎn)生競合,即使承擔(dān)民事責(zé)任��,也并不影響刑事責(zé)任的承擔(dān)��。本案被告人采取技術(shù)手段避開數(shù)據(jù)權(quán)利人的安全技術(shù)措施獲取數(shù)據(jù)并轉(zhuǎn)發(fā)���,實(shí)際是未經(jīng)授權(quán)采用其他技術(shù)手段獲取數(shù)據(jù)�,具有非法性�,被告人購買的賬號只是其非法獲取地理信息數(shù)據(jù)的犯罪工具,因此��,本案被告人需要承擔(dān)相應(yīng)的刑事責(zé)任���。
筆者贊同第二種觀點(diǎn)����。刑民交叉的案件��,是否需要運(yùn)用刑罰予以規(guī)制,主要在于是否達(dá)到情節(jié)嚴(yán)重的判斷標(biāo)準(zhǔn)����。當(dāng)不當(dāng)行為超越情節(jié)嚴(yán)重的標(biāo)準(zhǔn)后,民事責(zé)任是否成立或者是否存在��,并不影響刑事責(zé)任的規(guī)制��。關(guān)于情節(jié)嚴(yán)重的判斷��,《解釋》第1條予以明確�。本案中,張同原為千尋公司的分銷商�,在作為分銷商期間,即存在數(shù)據(jù)轉(zhuǎn)發(fā)行為�,分銷系統(tǒng)服務(wù)協(xié)議中雖有賬號需要實(shí)名認(rèn)證的內(nèi)容,但鑒于分銷系統(tǒng)服務(wù)協(xié)議中沒有明確禁止轉(zhuǎn)發(fā)行為����,對該階段轉(zhuǎn)發(fā)數(shù)據(jù)的行為,公訴機(jī)關(guān)未指控為犯罪����,符合刑法的謙抑性�。但在千尋公司發(fā)現(xiàn)轉(zhuǎn)發(fā)數(shù)據(jù)行為�,明確禁止轉(zhuǎn)發(fā)數(shù)據(jù)���,且終止被告人張同公司的分銷商資格后����,被告人張同仍繼續(xù)采用技術(shù)手段獲取千尋公司數(shù)據(jù)并轉(zhuǎn)發(fā)����,顯然具有非法獲取數(shù)據(jù)的直接故意。千尋公司為用戶提供精確到厘米級別的定位數(shù)據(jù)���,需要利用北斗衛(wèi)星系統(tǒng)獲取原始觀測數(shù)據(jù)�����,建設(shè)大量的地面基站��,并利用云計算技術(shù)對獲取的數(shù)據(jù)進(jìn)行糾偏處理��,要投入大量的人力物力成本���。被告人張同等人通過一個賬戶獲取定位數(shù)據(jù),提供給多人使用的行為,對千尋公司的數(shù)據(jù)權(quán)利造成實(shí)質(zhì)損害����,并擾亂正常的市場秩序,應(yīng)當(dāng)運(yùn)用刑罰手段予以規(guī)制�。
關(guān)于被告人提出本案千尋公司是否權(quán)利用盡的問題。筆者認(rèn)為�,知識產(chǎn)權(quán)中的權(quán)利用盡原則,是指專利權(quán)人�、商標(biāo)權(quán)人或者著作權(quán)人等知識產(chǎn)權(quán)權(quán)利人自行生產(chǎn)、制造或者許可他人生產(chǎn)�����、制造的權(quán)利產(chǎn)品售出后����,第三人使用或銷售該產(chǎn)品的行為不視為侵權(quán)。應(yīng)當(dāng)說����,權(quán)利用盡原則是對知識產(chǎn)權(quán)權(quán)利行使的一種限制制度,目的在于避免形成過度壟斷�,阻礙產(chǎn)權(quán)的自由市場流通,影響社會生產(chǎn)的發(fā)展和進(jìn)步����,同時也是對他人依法行使自己合法財產(chǎn)權(quán)利的保護(hù)。但本案中����,千尋公司向客戶提供定位服務(wù)數(shù)據(jù)本身并不涉及知識產(chǎn)權(quán),因此���,并不存在權(quán)利用盡原則的適用問題����。
【注釋】
作者單位:浙江省湖州市中級人民法院
[1]王愛立:《中華人民共和國刑法釋義》��,法律出版社2021年版�,第616頁。
[2]張勇:“數(shù)據(jù)安全法益的參照系和刑法保護(hù)模式”���,載《河南社會科學(xué)》2021年第5期�����。
[3]郭旨龍:“非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的規(guī)范結(jié)構(gòu)與罪名功能”�,載《政治與法律》2021年第1期�。