转自:北大法律信息网;源于微信公众号:肖飒lawyer;
作者:肖飒,垂直“科技+金融”的深度法律服务者,中国互联网金融协会申诉委员、中国银行法学研究会理事、中国社会科学院产业金融研究基地特约研究员、中国政法大学法律硕士学院兼职导师、金融科技与共享金融100人论坛首批成员、人民创投区块链研究院委员会特聘委员、工信部信息中心《中国区块链产业白皮书》编写委员会委员。被评为五道口金融学院未央网最佳专栏作者,互金通讯社、巴比特、财新、证券时报、新浪财经、凤凰财经专栏作家。
近年来,随着科技的不断发展,数据和个人信息在生活中发挥着越来越重要的作用,数据安全和个人信息保护已然成为立法机关关注的核心问题之一。今年陆续出台的《数据安全法》和《个人信息保护法》正体现了立法机关的重视。而实践中,各大企业实际上已经开始尝试进行相应的数据合规工作,建立合规制度。
由此引发的问题是,违反企业内部的数据安全制度搜集信息或数据的行为,是否能够构成侵犯公民个人信息罪。今天飒姐团队便借助一份案例((2018)浙01刑终441号)告诉大家实务中法院的可能做法。
一、基本案情
2014年4月至6月,被告人余某在某软件公司朝阳分公司(以下称“朝阳分公司”)工作。根据该公司《数据安全规范》规定,员工个人数据属于敏感数据,敏感数据的提取等使用行为必须经过授权,此外,《劳动合同》还约定:员工离职,需归还该公司所有财产(包括但不限于员工负责保管、使用或在其控制范围内的所有含有朝阳分公司相关内容的资料信息及前述信息资料的复印件及软件、磁盘、硬盘、光盘等任何载体)。
但在此期间,被告人余某违反上述规定,为达个人目的,私自使用python语言编写具有自动获取数据功能的脚本程序,并将其在内部论坛网站账号的cookie信息配置到该脚本程序上,通过运行该程序,秘密窃取公司员工的个人信息共计2万余条;2014年6月,被告人余某离职时,将上述信息存储于电脑硬盘秘密带走。
二、裁判结果
一审法院认为,被告人余某窃取公民个人信息,情节严重,其行为已构成非法获取公民个人信息罪,故判决:被告人余某犯非法获取公民个人信息罪,判处拘役六个月,缓刑六个月,并处罚金人民币二千元。二审法院审理后驳回上诉,维持原判。
三、裁判理由
针对本案案情,辩护人及被告人在一审二审阶段,均认为其行为并不符合当时《刑法》第253条之一的非法获取公民个人信息罪的构成要件:其一,《数据安全规范》并不等同于刑法的“国家规定”,被告人余某的行为虽然违反公司内部的《数据安全规范》,但并不违反国家规定;其二,余某收集的信息是在公司的公共领域、正当公开的信息,因此,其行为是公开的合法行为并非窃取。
但法院对此均予以否定。法院认为:第一,被告人余某有多年从业经验,明确清楚自己的权限仅为查询、浏览,却在无人授权且知晓的情况下,于任职期内多次使用自己制作的脚本爬取员工个人信息数据并保存,随后离职将上述数据偷偷带走,这当然属于违法的“窃取”行为。第二,被窃取的员工个人信息内容包括姓名、工号、部门、支付宝账号、职位、昵称、生日、性别、工作电话、邮箱等30种以上,属于“公民个人信息”。第三,被窃取的员工个人信息数量多达2万余条,且其中均包含支付宝账号等财产信息,属于相关规定中的“情节严重”。故而综上可知,该行为是符合非法获取公民个人信息罪的构成要件的。
四、案例评析
尽管彼时《刑法》第253条之一尚是非法获取公民个人信息罪而非现在的侵犯公民个人信息罪,构成要件有所不同,但是两者皆是针对公民个人信息的犯罪,且均需要在违反国家规定的前提下才能构成犯罪。因此对于本案的讨论并非没有意义。
本案的关键在于违反国家规定的理解。根据《刑法》第96条之规定,所谓的违反国家规定,指的是违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。因此,公司内部的治理规则当然不属于此列,违反公司的规则并不必然导致违法,更不会直接导致违反国家规定的后果。被告人及辩护人所提出的辩护理由实际上是极为有力的。
但是,实践中很多法院在判决时往往忽略“违反国家规定”的构成要件,或是即便意识到有此要件也仅仅简单解释,并没有指出具体的规定所在。本案便属于第二种情形。法院虽然对于辩护意见给予了正面回复,但是却仍然是从违反公司规则的角度出发,并没有明确指明其违法的依据所在。因此,定罪正确与否姑且不论,其论证上确有值得商榷之处。
至于本案被告人的行为实际上是否违反国家规定,鉴于《个人信息保护法》即将生效,因此飒姐团队拟以该法的规定进行分析和回答。对此,我们认为,本案被告人的行为属于违反国家规定的行为。根据《个人信息保护法》第十三条的规定,除非具有特殊情形,否则个人信息处理者处理个人信息必须取得个人同意,本案中的被告人擅自制作程序收集个人信息的行为当然没有取得个人的同意。
值得考虑的是,该信息是否属于第十三条的“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”。一旦构成公开的个人信息,那么便无须个人同意,个人信息处理者即可收集该个人信息,被告人的行为不构成犯罪。但应当注意的是,一方面不同于一般的在网上公开个人信息,本案被告所搜集的个人信息仅仅只是在公司内部论坛上进行公开,其公开范围有限。另一方面,既然公司内部的治理规范已经明确约定员工不具有直接使用该信息的权限,那么被告人便实际受到此规范的约束,其擅自收集并拿走公司员工数据的行为很难被认定为是在合理范围内处理公开的个人信息。因此该信息不属于公开的个人信息,被告人余某的行为在《个人信息保护法》的框架下应当属于违反国家规定的行为。
五、写在最后
“违反国家规定”或“违反国家有关规定”的构成要件在《刑法》的许多罪名中都存在,尽管并不起眼,但它并不是毫无意义的,实际上这项要件起到了出罪、限制处罚范围的功能。对于各大企业而言,应当善用此要件,这不仅意味着在事后能够从中寻找解决问题的方法,也意味着在事前能够通过有关法律法规的指引制定合适的治理规范,规避可能的法律风险。
发表评论