案例指导:2015年卷(总第七卷)
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

010 罗滔、罗林、柯泰龙非法获取计算机信息系统数据、非法获取公民个人信息案——非法获取计算机信息系统数据行为的性质以及淘宝订单数据属性的认定

裁判要旨

一、非法获取计算机信息系统数据的行为,如属于 “情节严重”,同时构成非法获取计算机信息系统数据罪和非法获取公民个人信息罪的,应从一重处罚。

二、包含公民姓名、电话号码、地址等内容的淘宝订单数据可以认定为公民个人信息。

案例索引

浙江省杭州市西湖区人民法院 (2014)杭西刑初字第859号 (2014年12 月8日)。

案情

公诉机关:浙江省杭州市西湖区人民检察院。

被告人:罗林,女,1988年11月20日出生,汉族,大专文化程度,个体导游。

被告人:罗滔,男,1990年1月23日出生,汉族,大专文化程度,深圳淘公关网络科技有限公司网页开发技术员。

被告人:柯泰龙,男,1990年11月23日出生,汉族,初中文化程度,货车驾驶员。

一审法院经审理查明以下事实:

(一)非法获取计算机信息系统数据

2011年年底,被告人罗滔在天翌 (广西)通信发展有限公司担任语音客服期间,在该公司的11台电脑上安装了域名解析软件 (俗称 “花生壳”,显示计算机地址)、多用户系统软件 (远程控制计算机)、键盘记录软件 (俗称“灰鸽子”,盗取账号和密码)。2014年4月4日至5月7日,被告人罗滔通过上述三种软件远程控制天翌 (广西)通信发展有限公司的电脑,盗取电脑系统内的淘宝客服账号及密码,查询并提取了浙江淘宝网络有限公司的订单数据 (包含买家姓名、手机号码、送货地址等个人信息)9万组以上,通过QQ贩卖给被告人柯泰龙等人,获利共计人民币207944元。

2014年4月16日至5月7日,被告人罗滔将其通过软件非法获取淘宝订单数据并出售获利一事告诉其姐姐罗林,并让被告人罗林帮其一起贩卖淘宝订单数据。后被告人罗林负责用该QQ联系 “买家”,将 “买家”购买数据的要求提供给被告人罗滔,由罗滔用上述手段获取数据后再交由罗林发给“买家”。期间,二人共获利人民币 179639元,被告人罗林分得人民币37171.13元。

(二)非法获取公民个人信息

2014年4月3日至2014年6月21日,被告人柯泰龙通过QQ以每条3元、4元的价格向罗滔、罗林和 “西瓜哥” (系QQ昵称)购买淘宝订单数据,再以每条4元、5元的价格贩卖给他人,获利共计人民币29335元。案发后,公安机关从被告人柯泰龙笔记本电脑和台式电脑硬盘中发现淘宝订单数据22020组。

在审理过程中,被告人罗滔、罗林退缴非法获利人民币207944元。

公诉机关诉称:被告人罗滔、罗林违反国家法律规定,非法采用技术手段,获取普通计算机信息系统中存储的数据,情节特别严重,均应以非法获取计算机信息系统数据罪追究刑事责任。被告人柯泰龙非法购买公民个人信息,情节严重,应当以非法获取公民个人信息罪追究刑事责任。被告人罗林在共同犯罪中起辅助作用,系从犯,应当从轻或者减轻处罚。

被告人罗滔、罗林、柯泰龙均对起诉书指控的犯罪事实供认不讳,当庭自愿认罪。

审判

浙江省杭州市西湖区人民法院经审理认为:被告人罗滔、罗林违反国家规定,由被告人罗滔利用职务之便,在所就职的公司电脑上安装软件远程控制普通计算机信息系统,非法获取该计算机信息系统中存储的淘宝公司订单数据,继而进行转卖,违法所得共计人民币207944元,符合 《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条第二款第 (一)项规定的情形,应当认定为 《中华人民共和国刑法》(以下简称 《刑法》)第二百八十五条第二款规定的 “情节特别严重”,其行为均已构成非法获取计算机信息系统数据罪。被告人柯泰龙通过向罗滔、罗林等人购买淘宝订单数据的形式非法获取公民个人信息,违法所得共计人民币29335元,应当认定为 《刑法》第二百五十三条之一第一款所规定的 “情节严重”,其行为已构成非法获取公民个人信息罪。被告人罗林在共同犯罪中起辅助作用,系从犯,予以减轻处罚。被告人罗滔、罗林、柯泰龙自愿认罪,且被告人罗滔、罗林已退出全部赃款,均酌情予以从轻处罚。根据被告人罗林的犯罪情节和悔罪表现,适用缓刑没有再犯罪的危险,且对其所居住的社区也没有重大不良影响,故依法对其适用缓刑。故判决如下:一、被告人罗滔犯非法获取计算机信息系统数据罪,判处有期徒刑三年六个月,并处罚金人民币二万元;二、被告人罗林犯非法获取计算机信息系统数据罪,判处有期徒刑二年,缓刑三年,并处罚金人民币一万元;三、被告人柯泰龙犯非法获取公民个人信息罪,判处有期徒刑一年,并处罚金人民币一万元;四、对被告人罗滔、罗林暂存本院的违法所得人民币207944元予以没收,上缴国库;对被告人柯泰龙的违法所得予以追缴。宣判后,三被告人均未提起上诉,判决已发生法律效力。

评析

本案争议的焦点在于非法获取计算机信息系统数据的行为性质的认定以及淘宝订单数据的属性;以及对涉案罪名中 “情节严重”和 “情节特别严重”的认定等。

一、非法获取计算机信息系统数据的行为性质的认定

从本案中被告人罗滔、罗林所实施的行为看,被告人罗滔利用其在天翌(广西)通信发展有限公司工作的职务便利,在该公司的电脑上安装了具有域名解析、远程控制、盗窃账号和密码等功能的软件。天翌公司系淘宝的外包公司,主要负责给淘宝做客户服务,可以查询淘宝买家订单信息。在其离开该公司后,其利用上述事先安装的软件实现了对该公司多台电脑的远程控制,获取了淘宝用户管理系统的账号和密码,登录后提取了淘宝公司的订单数据,继而将所提取的淘宝订单数据进行贩卖从而获利。

被告人所实施的行为符合非法获取计算机信息系统数据罪的构成要件。首先,被告人进入的是淘宝外包公司的计算机信息系统,不属于国家事务、国防建设、尖端科学技术领域的计算机信息系统,可以排除适用非法侵入计算机信息系统罪。其次,从被告人的表现看,实施了非法获取计算机信息系统中存储的数据的行为,但该罪名中对具体行为规定了两种方式,一种是侵入普通计算机信息系统从而获取数据的方式,另一种则是以其他技术手段获取数据。对于本案中被告人的具体行为方式,我们认为其应当认定为以其他技术手段获取数据。理由是,对计算机信息系统进行 “侵入”一般理解为在未经授权或者同意的情况下,擅自通过技术手段突破了计算机信息系统的安全防护设置从而强行进入该系统之中。但本案中,被告人首先利用了其在淘宝外包公司工作的便利条件,事先在使用公司电脑的过程中在电脑中安装了各种软件,然后利用这些软件的功能控制该公司电脑并盗取了电脑系统中的账号及密码,随后堂而皇之地登录进入信息系统中提取订单数据进而贩卖。这种行为方式与 “侵入”的方式应当有所区别。《刑法》(2011)中关于 “其他技术手段”的规定则是针对实践中因计算机信息技术的迅速发展而可能出现的各种手段作出的一种兜底性规定,因此本案中被告人的方式宜认定为“其他技术手段”。此外,需要说明的是,本案中被告人在犯罪过程中使用一种远程控制软件控制淘宝外包公司电脑的行为,也是一种对计算机信息系统进行控制的行为,但从其行为的整体看,被告人最终目的是获取计算机信息系统中的数据,该控制行为仅是其犯罪行为中的一个环节,其在实施非法控制之后进一步实施了获取数据的行为,不应仅以其实施了控制的手段而认定为非法控制计算机信息系统罪。

此外,被告人最终获取的计算机信息系统数据为淘宝订单数据,该数据包含有买家姓名、手机号码、送货地址等个人信息,同时属于公民个人信息。从构成要件上分析,被告人的行为实际也可以成立非法获取公民个人信息罪。刑法规定的非法获取公民个人信息罪的行为方式包括窃取或者以其他方法非法获取公民个人信息,本案被告人在未经许可的情况下,通过技术手段从普通计算机信息系统中获取公民个人信息的行为,无疑可以认定为 “以其他方法非法获取公民个人信息”。因此,在本案中正由于所获取的计算机信息数据所具有的双重属性,导致被告人的行为存在刑法理论上的想象竞合问题,应当从一重罪论处。从本案的具体情节看,对被告人适用非法获取计算机信息系统数据罪要明显重于适用非法获取公民个人信息罪,应当以非法获取计算机信息系统数据罪定罪处罚。

根据 《刑法》(2011)第二百八十七条之规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。有人据此认为,本案中被告人实际就是利用计算机实施的非法获取公民个人信息的行为,应当按照该条规定对被告人罗滔、罗林也以非法获取公民个人信息罪定罪处罚。但我们认为,《刑法》(2011)第二百八十七条系法律提示性规定。其目的是在 《刑法》 (2011)已经存在基本规定的前提下,提示司法工作人员予以注意,而非在原有规定之外创设新的特殊规则。该条文的目的旨在提示司法工作人员不能因为刑法规定的几种涉及计算机信息系统的犯罪,便对利用计算机所实施的金融诈骗、盗窃、贪污等犯罪也以相关计算机信息系统犯罪论处。但该规定并没有改变刑法原有的基本原则和准则,对于本案中出现的行为竞合的情况,依然还是应当按照从一重罪的原则进行论处,而不应适用该条规定简单地以非法获取公民个人信息罪定罪处罚。

二、淘宝订单数据属性的认定

非法获取公民个人信息罪系 《刑法修正案》 (七)新增设的罪名。目前对所谓的公民个人信息并没有明确的法律规定予以界定。但一般认为,刑法所保护的公民个人信息应当是指能够识别公民个人身份且一般公民不愿意随意公布、涉及个人隐私的信息。且该信息还应当是在 《刑法》 (2011)第二百五十三条第一款所规定的相关单位在履行职责或者提供服务过程中获得的信息,根据法条所列举的单位可知应当是利用公权力或者提供公共服务过程中依法获得的信息。[1]

本案中被告人所获得的数据对象是淘宝订单数据,该淘宝订单中包含有淘宝买家姓名、手机号码、送货地址、淘宝或者旺旺登录账号等个人信息。有观点认为,单纯的姓名、手机号码等信息并不足以识别身份或者侵犯公民的个人隐私。但是,我们认为,站在当今互联网信息高速发展的视角上,淘宝、支付宝等网络工具的使用已经越发普及和深入公民的个人生活。原本传统意义上的手机号码、邮箱等仅仅只是作为一个联络的工具,但随着时代的发展,通过手机号码、邮箱等信息注册淘宝、支付宝账户,进行网络购物和金融支付的情况已经极其普遍,相关信息已经逐渐伴随互联网金融的发展演变成为能够准确识别公民个人身份,同时深刻影响公民财产安全的个人信息。同时,本案中的淘宝订单数据从整体上看,实际包含了每一个网络购物者所购买的产品名称、收件人的姓名、收件地址、使用手机号码、网络ID等信息,这些信息综合在一起起着较强的个人识别作用,而这种整体性恰恰也给犯罪分子侵犯公民个人人身财产安全提供了便利,本案中被告人供述所出售的个人信息买家中就存在利用这些信息实施诈骗等违法犯罪行为的人。从淘宝订单信息的来源看,淘宝作为网络购物平台也已经伴随着人们网络购物的普及而具有了一定的公共服务的属性,因此对淘宝订单数据应当与时俱进的纳入公民个人信息的保护范畴中,本案中对包含姓名、电话号码等信息的淘宝订单数据认定为公民个人信息也是适当的。

三、“情节严重”与 “情节特别严重”的认定

非法获取计算机信息系统数据罪和非法获取公民个人信息罪均是以 “情节严重”作为犯罪的成立要件,即所谓的 “情节犯”。

最高人民法院、最高人民检察院 《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条对非法获取计算机信息系统数据罪的 “情节严重”和 “情节特别严重”进行了界定。主要从获取的身份认证信息数量、控制的计算机信息系统数量、违法所得或者经济损失的金额等方面进行判断。本案中被告人事先仅在11台电脑上安装了相关软件,且按照被告人罗滔的供述,其最终真正实现控制的也仅有5台电脑;在案证据能够证明的被告人获取的淘宝用户管理系统的账号和密码也不超过3组;在对涉案电子数据提取后经审查认定被告人获取的淘宝订单数据在9万组以上;通过对被告人所供述的用于收取贩卖数据所得钱款的支付宝和财付通账户明细的计算,就低认定被告人的违法所得为人民币207944元。本案的关键在于是以身份认证信息数量还是违法所得金额判断情节是否严重。我们认为,淘宝订单数据虽然构成公民个人信息,但不能认定为司法解释中所规定的身份认证信息。前述司法解释中将 “身份认证信息”明确界定为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。从这一定义看,淘宝订单数据与身份认证信息存在本质上的区别,不能认定为身份认证信息,而本案被告人获取的淘宝用户管理账户及密码虽然可以认为是身份认证信息,但能够证明的被告人获取的数量极少,达不到情节严重的标准。因此,只能从违法所得的金额进行判断。本案最终认定的207944元违法所得已经远超25000元以上的 “情节特别严重”的标准。据此,对被告人罗滔、罗林应当认定为 “情节特别严重”。

对于非法获取公民个人信息罪。目前尚无司法解释对该罪名中的 “情节严重”予以界定。司法实践中,一般认为情节严重主要指:多次出售、向多人出售或者出售多人信息;非法获利数额较大;给公民造成严重经济损失或者严重影响公民个人正常生活的;对国家安全和社会民生造成影响的;将公民个人信息出售给境外机构或者个人的;出售的信息被用于违法犯罪活动等情形。从本案被告人柯泰龙的行为看,其违法所得金额为29335元,案发后公安机关从其电子设备中发现的淘宝订单数据也多达22020组,且从在案证据看,被告人系明知大部分的数据买家主要是为了进行诈骗活动而向其购买淘宝订单数据,其所出售的数据将会被用于违法犯罪活动。因此,综合上述情节,我们认为对被告人柯泰龙的行为可以认定为 “情节严重”,应当以非法获取公民个人信息罪定罪处罚。

编写人 浙江省杭州市西湖区人民法院 朱冠琳


[1]《刑法修正案》(九)已经对该条文进行了修改,取消了该限制,扩大了对公民个人信息的保护范畴,仅将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为作为从重处罚的条件。