一、案情简介
张三是A公司的技术总监,该公司在2016年3月开始新增“实名认证”服务,为其合作的下游公司提供认证服务。由于公司直接技术人员李四的失误,导致相关用户的身份证图片以代码形式储存在系统日志内。自2016年4月到2018年8月,共缓存公民照片12万余张。公安机关认为张三作为公司的技术总监对代码的运行具有审查责任,李四作为直接操作的技术人员也具有责任,因此于2019年9月,以张三、李四涉嫌侵犯公民个人信息罪对二人立案并依法。
二、办案过程
本案当事人张三对指控的犯罪事实和罪名存在异议,认为自己的行为不构成犯罪。办案过程中,周娜律师查阅卷宗,并与承办人就案件存在的问题多次进行沟通,提出自己对案件的看法和观点,并递交了相应的辩护意见。
三、辩护思路
辩护人的辩护意见认为:
(一)从事实方面来看,本案被告人张三身为A公司技术总监,不对技术人员代码错误负直接责任。
将公民个人身份证信息缓存至系统日志的行为是一种纯技术行为,本案中所涉技术代码是两个公司对接端口之后产生的系统冗余,无论是张三还是李四对此都没有控制意识。李四作为这种技术行为的直接负责人,只要代码运行正常就是完成了工作任务。张三作为李四的上级负责人,其全部职责在确认李四代码可以流畅、符合目的运行后业已结束,不能要求其主动发现、删除不影响运行结果的代码冗余。此外,张三所在的公司及张三、李四均未因该行为获利。本案中,作为技术人员的张三、李四,对代码可能存在的法律问题无认识可能,理应由风控部门与技术部门对接告知代码运行过程中的某些行为可能会造成非法后果,不应将可以正常运行的代码造成的风险责任归咎于技术人员。
(二)从主观方面来看,张三没有犯罪的故意。
本案涉及的代码是由上游公司编写的,张三所在的公司是为了实现工作的配合,从上游公司获取源代码的行为无可厚非。李四在能够正常运行程序的情况下,照搬上游公司的代码最终导致涉案身份证照片的缓存。这种后果的出现是由上游公司编写的代码产生的,不能要求下游公司的程序人员对上游公司的可能违法行为有足够认识,因此实际上,造成下游公司错误缓存公民身份证照片的责任应由上游公司承担。
在缺乏专业法律背景的情况下,身为专业技术人员的张三仅会从普通公民的角度思考问题,用朴素的利益观审查代码程序。既然从上游公司获取的代码能够正常运行,即使这些代码中出现了多余的冗余的信息,下游公司的技术人员张三也不会主动维护上游公司的利益,为其删除多余的代码。本案中张三的行为情有可原,不能因此就认定其具有非法储存信息的目的。此外,即使是系统自动获取了身份证照片,张三所在的公司也没有使用其信息获利,还因为这些代码多支出了大额费用。根据利益情况可以推定,张三所在的公司及其张三都没有主观犯罪的故意。
(三)不应对无主观目的公司的技术错误过早介入评价。
张三涉案行为发生在2016年,彼时《中华人民共和国网络安全法》尚未出台,两高《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也未出台,当时适用的规定应为《依全国人大常委会关于加强网络信息保护的决定【人大11-30决定】》。张三在被调查时才发现自己公司有储存身份证照片的行为,而且张三公司的存储身份证照片的结果是由上游公司的代码造成的。对上游公司有意售卖个人信息的行为应当予以严厉打击,但是对于张三所在的下游公司无意识储存的行为应当先通过行政处罚予以规制。越过行政处罚直接进入到刑事处罚的范围之中,明显有违刑法的谦抑性原则。并且在上述法律正式施行之后,张三所在的公司已经修改了相关代码。按照刑法不溯及既往的原则,行为人实施的行为应当按照当时的法律予以处理。张三的行为在2016年不构成犯罪,因此不能按照侵犯个人信息罪予以认定。
张三所在的公司在2017年发现代码错误冗余造成额外获取十二万余条公民个人身份证照片信息之后,并非为获利,而是依据《反洗钱法》等相关规定继续将涉案信息保存在系统日志中而没有立刻删除。张三及所在公司对涉案信息的存在并无利用意识。
(四)本案日志缓存照片的行为并不是非法获取
本案张三所在的公司向上游公司对接的时候,已经获得了公民对其身份证进行调查核实的授权,其调取身份资料是完整调取,身份证是一个整体,获得身份证信息的时候张三所在的公司已经被允许查看身份证照片,在获取时是合法获取,而获取之后的缓存在日志的行为也并非有意识操控的结果,是因技术失误造成。该行为并非非法获取,故张三不能成立侵犯公民个人信息罪。
综上,本案行为无犯罪主观故意、无犯罪客观方面行为、无受损害的犯罪客体。侵犯公民个人信息行为的事实虽在张三所在的公司发生,但是由于上游公司违法代码所产生的延续作用,张三不应对此负责,不能认定其构成侵犯公民个人信息罪。
四、办案结果
根据周娜律师提出的辩护意见,公安机关在取保候审期限一年到期时,为张三解除取保候审措施。
五、办案心得
在对当事人进行辩护的时候,可以从法律施行的时间以及行为人本身的主客观方面综合考虑为其寻找辩护的突破口。侵犯公民个人信息罪本身要求故意的主观心理,但是在实践中出现很多由于过失产生的无意识存储他人信息的行为。此种行为在认定上存在一定的争议,行为人是否做到了注意义务或者是不作为,会对案件定性产生重要影响。此外还要考虑刑法的溯及力问题,如本案中张三的行为发生在2016年,在案发时张三已经修改了相关代码。根据从旧兼从轻的观点,张三的行为应当按照行为时的法律予以认定,因此亦不应认定张三构成犯罪。
发表评论