非法获取数据出售的行为性质

杜  前  李玉文  赵  龙

《人民司法》2021年第14期（案例）（总第961期）

裁判要旨

        被告人在未经被害单位许可的情形下，利用编写的计算机程序，避开被害单位安全技术措施获取并转发数据牟利，应当认定为采用其他技术手段非法获取数据，情节严重的，构成非法获取计算机信息系统数据罪。

        案号  一审：（2021）浙0521刑初34号  二审：（2021）浙05刑终87号

案    情

        公诉机关：浙江省德清县人民检察院。

        被告人：张同、陈豪、李子敬。

        德清县人民法院经审理查明：千寻位置网络（浙江）有限公司（以下简称千寻公司）是一家通过CORS（Continuous Oper ional Reference System）账号为用户提供实时定位差分数据的科技公司，其原理是基于北斗卫星系统基础定位数据，通过互联网方式为CORS账号使用者提供全天候的厘米级精度位置差分服务。被告人张同实际控制的武汉三体时空信息技术有限公司武汉中测安云科技有限公司自2017年4月起先后成为千寻公司的分销商。对于分销商，千寻公司合同要求：一个千寻CORS账号对应一个客户；客户不能以任何方式把账号提供给第三方；客户获取的数据不可进行任何形式的转发。张同则想通过搭建中间平台的方式实现一个千寻账号给多个终端用户服务，具体方式为：购买千寻账号组建账号池，然后通过微信等方式出售自建的CORS账号， 并指使陈豪为其编写Ntrip Agent程序， 使购买张同等人自建CORS账号的客户可以通过千寻公司账号访问千寻公司的服务器，并获取定位差分系统的数据。2019年8月，千寻公司发现张同等人存在使用技术手段将一个账号提供给多个客户使用的情况，即要求张同停止这种行为并赔偿损失。因张同未停止该行为，同年10月，千寻公司终止张同等人经营公司的分销商资格，同时逐步升级计算机信息系统的安全技术措施。

        为应对千寻公司的技术防范措施，2019年9月至2020年8月期间，张同指使陈豪将Ntrip Agent程序升级为XCORS．Gw Server程序， 并安排李子敬提供售后及维护，继续获取千寻公司定位差分系统的数据，非法获利52万余元。经鉴定，X CORS．Gw Server程序软件具有避开千寻公司账号认证、位置识别、处置转发行为的安全技术措施的功能。

审    判

        德清县法院认为，被告人张同、陈豪、李子敬违反国家规定，采用技术手段，获取计算机信息系统中存储、处理或者传输的数据，情节特别严重，其行为均已构成非法获取计算机信息系统数据罪。在共同犯罪中，被告人张同、陈豪是主犯，依法按照其所参与的全部犯罪处罚；被告人李子敬是从犯，予以减轻处罚。三被告人均能如实供述犯罪事实，被告人陈豪、李子敬自愿认罪认罚，被告人陈豪赔偿被害单位损失并取得谅解，予以从轻处罚。依法以非法获取计算机信息系统数据罪，分别判处被告人张同有期徒刑3年6个月，并处罚金10万元；判处被告人陈豪有期徒刑3年，缓刑4年，并处罚金8万元；判处被告人李子敬有期徒刑1年4个月，缓刑1年10个月，并处罚金2万元；扣押在案的作案工具电脑主机、笔记本电脑等若干，予以没收，其余手机、笔记本电脑、笔记本电脑电源线、硬盘，中扣押机关依法处理。

        一审判决后，被告人张同不服，向浙江省湖州市中级人民法院提出上诉。

        湖州中院二审认为，上诉人张同虽通过购买账号形式获取千寻公司的数据，但其利用账号获取数据的目的是转发，违反了用户协议，具有非法获取千寻公司数据的主观故意，违反了网络安全法等国家规定。陈豪编写的XCORS．Gw Server程序，规避千寻公司设置的安全术措施，属于利用其它技术手段获取数据。根据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》），属），属于情节特别严重，依法构成非法获取计算机信息系统数据罪。原判对上诉人张同、原市被告人陈豪、李子敬的定罪准确，量刑适当，据此裁定驳回上诉，维持原判。

评    析

       随着信息网络技术的发展和数字经济的兴起，通过网络技术手段非法获取数据的新类型犯罪不断出现，国家安全、经济发展和社会稳定面临新的挑战，需要加大打击力度。数据犯罪不同于传统犯罪，涉及主观故意的认定、行为认定、数据安全、刑民交叉等系列问题。

       一、被告人是否具有非法获取数据的主观故意，且违反国家规定

       刑法第二百八十五条第二款规定，违反国家规定，侵人前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。本案中，张同等人在千寻公司更新分销系统服务协议及用户协议明确禁止转发数据，且终止分销商资格的情形下，继续采用技术手段获取千寻公司数据并转发，显然具有非法获取数据的直接故意。

       根据刑法第二百八十五条的规定，非法获取计算机信息系统数据罪的三要素分别为违反国家规定、侵人采取其他技术手段、获取数据。何谓违反国家规定?刑法第九十六条规定，违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定和行政措施、发布的决定和命令。网络安全法第二十七条规定，任何个人或组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。2021年9月1日实施的数据安全法第三十二条第一款规定，任何组织、个人收集数据，应采取合法、正当的方式，不得窃取或者以其他方式获取数据。本案中，被告人通过编写计算机程序避开被害人的安全技术措施获取数据并转发牟利，显然违反了网络安全法等相关法律法规的禁止性规定，属于违反国家规定的情形。

       二、被告人的行为是否属于采取其他技术手段

       非法获取计算机信息系统数据罪要求侵入或者采用其他技术手段获取计算机信息系统中存储、处理、传输的数据。本罪的侵入，是指未经授权或者他人同意，通过技术手段进入计算机信息系统。①侵入通常是指通过“木马程序”，在用户访问该网站时，伺机侵入用户计算机信息系统；或建立色情、游戏等网站，吸引用户访问并在用户计算机系统中植入“木马程序””等。其他技术手段是立法者针对实践中随着计算机信息技术的发展可能出现的各种手段作出的兜底性规定。从文义解释和体系解释的角度理解，采用其他技术手段，是指采用侵入以外，与侵入功能相似的其他具有较高技术含量的手段。不论是侵入还是采用其他技术手段，都要求利用一定的网络技术手段。本案中，千寻公司为了禁止数据转发，逐步升级了安全技术措施，除了要求账号、密码认证和限制密码修改次数的传统措施以外，还采用技术措施对短时间内在不同地区跳跃访问的账号、申请获取地理数据与申请访问的IP地址不一致的账号等可能存在转发行为的非正常账号进行识别并予以封禁。但本案被告人张同利用陈豪编写的X CORS．Gw Server程序，规避千寻公司设置的安全技术措施，通过建立账号池，对其掌握的千寻公司官网账号按照省份区分管理，接到自己客户的访问申请后，通过客户的网络地址解析出客户访问设备的GPS地址， 随机调用与自己客户设备地理位置相对应区域账号池中可用千寻公司账号，使用天翼云跳板机对IP地址伪装，再把定位请求发送到千寻公司的服务器，获取千寻公司的定位数据后提供给其客户使用。该行为规避了千寻公司的安全防护措施，实现数据转发，并达到将一个千寻官方账户获得的数据提供给多个自建账号用户使用的目的。因此，张同等人通过特定程序，绕过千寻公司身份认证、位置识别、处置转发行为的安全技术措施，获取并转发数据的行为，应认定为采取其他技术手段。

       非法获取计算机信息系统数据罪之所以要规制侵入和其他技术手段的不法行为，主要在于其非法性，这体现在未经授权或超越授权两种情形。本案中，被告人张同等人辩称虽然其采取了技术手段，但数据均来自于合法购买的千寻公司账户，并不具有违法性。对此，笔者认为，被告人张同获取千寻公司数据的账号虽然是购买所得，但是其购买账号的目的并非基于自用，而是违反用户协议进行数据转发牟利，本质上属于窃取网络数据，只不过不同于常见的秘密窃取而已。此外，被告人张同等人还辩称其通过调整访问策略，符合千寻公司要求的规则，例如千寻公司不允许账号在短时间内在不同地区跳跃，其通过设立账号池，对账号按省份分类管理，接到申请后解析出用户GPS位置， 匹配合适账号， 使其不在短时间内跳跃，因此，访问程序并不违反千寻公司规则，不属于侵入或者采用其他技术手段获取数据。笔者认为，千寻公司设置相关安全防护措施的目的是防止一个账户多人使用以及对该公司数据的转发行为，而被告人张同等人在前期转发数据遭到明确禁止后，不断提高程序的功能，根本目的是对抗和规避千寻公司不断升级的安全防护措施，继续获取并转发千寻公司的数据。因此，是否适应千寻公司的访问规则，并不改变获得数据的非法性。

        三、被告人的行为是否危害数据安全

       数据安全涉及数据的保密性、完整性、可用性。非法获取数据类犯罪，实质是对数据保密性的侵犯。按照公开程度的不同，数据大致可以分为不公开的数据、半公开的数据、公开的数据。对于向大众公开的数据，因为不存在侵害权利人的保密意思，也不需要避开权利人的安全技术措施去获取，不能构成非法获取数据犯罪。但利用技术手段大量获取及利用他人未公开数据的行为，可能构成侵权。如2017年新浪微博诉脉脉不正当竞争案。对于不公开或者半公开的数据，要获取该数据必须获得数据权利人授权（例如身份验证、密码登录等方式）。行为人违背数据权利人的意愿，通过侵人或者采用其他技术手段非法获取相关数据，则不仅构成侵权，情节严重的，还可能构成犯罪。因为不公开或半公开的数据，权利人会对数据采用一定的保密措施，如果超过授权、避开或突破安全技术措施获取数据，则违背了权利人的保密意思，不但对他人利益造成侵害，也可能危及计算机信息系统以及数据本身的安全，可能触犯刑法。

        在大数据时代，数据安全风险及其防范问题越来越受到国家立法的重视，法律保护的重心也从网络载体、信息内容逐步转到数据本身，从静态的计算机安全到动态的网络安全，发生着质的变化。②随着网络安全法、数据安全法、个人信息保护法等法律的实施，我国对网络安全和数据安全的法律保护将更为严密。不同于网络游戏数据、网络视频数据等，地理信息数据具有一定特殊性。地理信息是国家重要的基础性、战略性信息资源，关系国家主权、安全和利益。国家测绘地理信息局《关于规范卫星导航定位基准站数据密级划分和管理的通知》规定，实时差分服务数据属于受控数据，采取用户审核注册的方式提供服务。其中提供优于1米精度服务的，基准站数据中心管理部门审核注册后应向省级以上测绘地理信息行政主管部门报备用户及使用目的等信息。千寻公司提供的厘米精度的实时定位数据属于受控数据，终端客户实名认证后才能使用。被告人张同等人的行为使千寻公司无法完成对终端用户的审核注册并按照规定向国家报备，不但涉及侵犯千寻公司的利益，也可能对国家地理信息数据的安全构成威胁。

       四、被告人的行为是否需要刑罚进行规制

       数据化生存已经成为当前社会的基本存在方式，而数据犯罪也成为各个法域规范的重点。③当一个违法行为既违反民事法律规范，又违反刑事法律规范，就会产生刑民交叉的问题。正如本案所涉及的情形，在构成民事侵权的情形下，是否需要刑事处罚进行规制，司法实践中存在较大争议。一种观点认为，当同一行为既存在民事侵权，又构成刑事犯罪，如果追究民事侵权责任能够弥补损失，原则上就不需要刑事责任进行追究。尤其是被告人系通过合法号获取数据，社会危害性显然较小。另一种观点认为，如果民事责任和刑事责任产生竞合，即使承担民事责任，也并不影响刑事责任的承担。本案被告人采取技术手段避开数据权利人的安全技术措施获取数据并转发，实际是未经授权采用其他技术手段获取数据，具有非法性，被告人购买的账号只是其非法获取地理信息数据的犯罪工具，因此，本案被告人需要承担相应的刑事责任。

       笔者赞同第二种观点。刑民交叉的案件，是否需要运用刑罚予以规制，主要在于是否达到情节严重的判断标准。当不当行为超越情节严重的标准后，民事责任是否成立或者是否存在，并不影响刑事责任的规制。关于情节严重的判断《解释》第1条予以明确。本案中，张同原为千寻公司的分销商，在作为分销商期间，即存在数据转发行为，分销系统服务协议中虽有账号需要实名认证的内容，但鉴于分销系统服务协议中没有明确禁止转发行为，对该阶段转发数据的行为，公诉机关未指控为犯罪，符合刑法的谦抑性。但在千寻公司发现转发数据行为，明确禁止转发数据，且终止被告人张同公司的分销商资格后，被告人张同仍继续采用技术手段获取千寻公司数据并转发，显然具有非法获取数据的直接故意。千寻公司为用户提供精确到厘米级别的定位数据，需要利用北斗卫星系统获取原始观测数据，建设大量的地面基站，并利用云计算技术对获取的数据进行纠偏处理，要投入大量的人力物力成本。被告人张同等人通过一个账户获取定位数据，提供给多人使用的行为，对千寻公司的数据权利造成实质损害，并扰乱正常的市场秩序，应当运用刑罚手段予以规制。

       关于被告人提出本案千寻公司是否权利用尽的问题。笔者认为，知识产权中的权利用尽原则，是指专利权人、商标权人或者著作权人等知识产权权利人自行生产、制造或者许可他人生产、制造的权利产品售出后，第三人使用或销售该产品的行为不视为侵权。应当说，权利用尽原则是对知识产权权利行使的一种限制制度，目的在于避免形成过度垄断，阻碍产权的自由市场流通，影响社会生产的发展和进步，同时也是对他人依法行使自己合法财产权利的保护。但本案中，千寻公司向客户提供定位服务数据本身并不涉及知识产权，因此，并不存在权利用尽原则的适用问题。