SDK产品涉刑风险大数据分析报告及合规建议(中)

来源:北京植德律师事务所

文章摘要
引言 接上篇《SDK产品涉刑风险大数据分析报告及合规建议(上)》,本篇我们重点谈谈SDK刑事首案的案件争议焦点问题。

引言
接上篇《SDK产品涉刑风险大数据分析报告及合规建议(上)》,本篇我们重点谈谈SDK刑事首案的案件争议焦点问题。详述如下:
二、案件争议焦点分析
(一)单位犯罪与个人犯罪的区分
在涉SDK刑事案件中,争议焦点之一就是单位犯罪与个人犯罪的区分问题。在目前检索到的涉SDK刑事案件中,涉及单位犯罪共4例,为邓欣贾轲等破坏计算机信息系统案(见(2017)渝0103刑初1683号)深圳市某科技有限公司、徐某、朱某等非法获取计算机信息系统数据、非法控制计算机信息系统案(见(2020)浙0782刑初844号)、段某某、段某甲等4人非法控制计算机信息系统案(见杭富检刑诉(2021)20065号)和北京某某科技有限公司非法控制计算机系统案(见杭富检一部刑诉(2020)2559号)。由此可见,实践中涉SDK刑事案件中认定单位犯罪的比例相对较低。
在司法实践中,涉SDK刑事案件中单位犯罪和个人犯罪的区分主要把握如下要点:
1、以单位名义实施犯罪,违法所得归单位所有。其中,“以单位名义实施犯罪”,是指单位的决策机构按照单位的决策程序来决定实施危害社会的行为;所谓“违法所得归单位所有”,是指因犯罪行为所产生的非法收益归单位所有。
2、个人为进行违法犯罪活动而设立的公司、企业、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不以单位犯罪论处。
3、盗用单位名义实施犯罪,违法所得由实施犯罪的个人私分的,依照刑法有关自然人犯罪的规定定罪处罚。
【相关案例】
在“深圳市某科技有限公司、徐某、朱某等非法获取计算机信息系统数据、非法控制计算机信息系统案”中,被告单位深圳某科技有限公司负责人即被告人徐某与朱某合谋,采用具有拉活功能的SDK控制用户手机的方式合作开展拉活业务。后双方于2018年12月1日正式签订拉活协议,约定由杨某等人将北京某公司开发的拉活木马程序集成在某品牌手机的故事锁屏APP中,通过故事锁屏软件版本更新将拉活木马程序植入到用户的金立手机当中。装有拉活功能SDK的手机在用户不知情的情况下自动更新版本,接收雄鸡系统的拉活指令,并在符合配置条件的情况下执行对指定APP的拉活,从而达到广告拉活的效果,赚取拉活费用,被告单位同北京某公司进行分成。法院认定,被告单位深圳市某科技有限公司违反国家规定,采用技术手段非法控制他人计算机信息系统,情节特别严重,其行为已构成非法控制计算机信息系统罪。[1]
本案中,深圳市某科技有限公司负责人徐某为单位主要决策人员,有权决定公司业务布局。其与朱某共谋,以公司名义签订了拉活协议,采用具有拉活功能的SDK控制用户手机的方式合作开展拉活业务,且由两公司对拉活赚取的违法所得进行分成。上述事实满足构成单位犯罪所必需的“以单位名义实施犯罪”“违法所得归单位所有”条件。
而在“欧某某、陈某某、宋某等非法获取计算机信息系统数据、非法控制计算机信息系统案”中,关于涉案公司是否构成单位犯罪存在两种意见。第一种意见认为,该案中,各行为人所实施的行为属于履行单位职责的行为,因此应当认定为单位犯罪。第二种意见认为,2015年8月,欧某某带领团队进入郎趣公司,成立北京团队,之后一直从事广告SDK业务,以实施犯罪为主要活动,不属于单位犯罪,成立自然人犯罪。[2]
根据《关于审理单位犯罪案件具体应用法律有关问题的解释》第2条规定,个人为进行违法犯罪活动而设立公司,或者公司设立后,以实施犯罪为主要活动的,不以单位犯罪论处。该案欧某某所带领的朗趣公司北京团队,主营业务为广告SDK;另一家瑞徕公司自注册成立后主营“一键达apk”,向用户推送广告等商业性电子信息,两家公司都属于设立后以实施犯罪为主要活动。
而且,该案中,很多合同是以欧某某实际控制公司的名义订立,收益有较大一部分流入欧某某实际控制的公司,上述运营模式导致收益实质上归欧某某个人而非公司所有,因此也不符合单位犯罪“违法所得归单位所有”的构成要件。
(二)计算机信息系统的认定
在目前检索到的50起涉SDK刑事案件中,涉及非法获取计算机信息系统数据、非法控制计算机信息系统罪,破坏计算机信息系统罪的案件共43起,占比86%。由此可见,目前对计算机信息系统安全性的保护是刑事司法所关注的重点。因此,在涉SDK刑事案件中,被侵害的对象是否为“计算机信息系统”也是认定是否构罪的关键。
根据《计算机信息系统安全保护条例》第2条《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条,计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。因此,认定是否构成“计算机信息系统”的核心在于认定系统是否具备“自动处理数据功能”。而智能手机和计算机一样,具备独立的自动处理数据的操作系统、独立的运行空间,可由用户自行安装软件等程序,并可通过移动通信网络实现无线网络接入。而且根据检索结果,目前检索到的50起案例中,仅9起侵害的对象是传统意义上的计算机信息系统,其余案例中犯罪行为所侵害的对象均为智能手机系统,因此,如果仍对“计算机信息系统”作限缩解释,将其限定为传统意义上的计算机,则会导致实践中大量违法犯罪行为无法得到有效控制。因此,智能手机的系统同样属于刑法意义上的“计算机信息系统”,通过SDK实施对手机系统的破坏、控制等行为或非法获取其中数据的行为,均有可能成立相应犯罪。
(三)违反国家规定的认定
非法获取计算机信息系统数据、非法控制计算机信息系统罪,破坏计算机信息系统罪均为涉SDK刑事案件高发罪名,而构成上述罪名的要件之一,就是“违反国家规定”。目前检索到的法律文书中,绝大多数文书中仅提及“违反国家规定”,但并未指明违反何种规定,仅“孟某某、马某某、翟某某等诈骗、侵犯公民个人信息案”【见(2021)川11刑终19号】中,法院指明被告人的行为系违反《网络安全法》第41条“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”的规定。以及在“欧某某、陈某某、宋某等非法获取计算机信息系统数据、非法控制计算机信息系统案”中法院认定行为违反《中华人民共和国计算机信息系统安全保护条例》及《全国人大常委会关于加强网络信息保护的决定》的相关规定。
首先,从范围上来说,根据《最高人民法院关于准确理解和适用刑法中“国家规定”的有关问题的通知》(法发〔2011〕155号)“国家规定”包括全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令,而不包括地方性法规、部门规章、国家标准及行业标准等文件。就涉SDK刑事案件,其所违反的“国家规定”通常而言包括《网络安全法》《数据安全法》《个人信息保护法》及其配套的行政法规,而不包括工信部等部门发布的规章及信息安全标准化技术委员会等发布的各类国家标准或行业标准。
需注意的是,就《中华人民共和国刑法修正案(九)》将原第253条之一“侵犯公民个人信息罪”中的“违反国家规定”修改为“违反国家有关规定”,后者的范围明显更广,不仅包括“国家规定”所限定的法律及行政法规,还包括部门规章等国家层面的规范,这些规定散见于金融、电信、交通、教育、医疗、统计、邮政等领域的法律、行政法规或部门规章中。
其次,就具体违反的规定,如前所述,利用SDK实施犯罪行为的常见模式包括资费消耗、隐私窃取、静默下载安装、恶意广告及广告刷量、远程修改程序等。其中,隐私窃取本身就违反了《网络安全法》第27条《数据安全法》第32条禁止窃取网络数据的规定,以及《网络安全法》第22条第3款、《个人信息保护法》第5、13、14条关于个人信息处理的告知-同意原则。远程控制及修改程序则违反了《网络安全法》第27条禁止非法侵入他人网络、干扰他人网络正常功能。至于资费消耗、静默下载安装、恶意广告及广告刷量及前述隐私窃取、远程修改程序等则多同时违反了《网络安全法》第22条第48条关于禁止设置恶意程序的要求。
在司法实践中,涉SDK案件大多是多种恶意行为的组合,其中不乏合法行为与违法行为相结合以实现非法目的,在此情况下,需要综合审查涉案的多种行为,全面分析各行为,包括目的行为和手段行为,是否违反国家规定。
以“欧某某、陈某某、宋某等非法获取计算机信息系统数据、非法控制计算机信息系统案”为例,就行为是否违反“国家规定”存在两种意见。第一种意见认为,广告SDK是合法的,预装行为不属于侵入或其他技术手段,没有违反国家规定;第二种意见(法院)认为,广告SDK及一键达apk的预装和安装行为未经过用户授权同意,具有非法性。其所违反的“国家规定”主要涉及告知与同意方面的内容。《中华人民共和国网络安全法》第22条第3款、《全国人大常委会关于加强网络信息保护的决定》第7条和《计算机信息系统安全保护条例》第7条分别对收集用户信息时的告知同意、商业性电子信息接收者的告知同意和公民合法利益的保护做出了规定。
本案中,欧某等人共实施了如下几种行为:预装广告SDK,使SDK获取系统权限并上传用户信息、推送广告,启动广告SDK静默安装功能安装一键达apk,通过一键达apk自动模拟用户操作等。以上行为均未取得用户授权。一方面,对于预先集成在手机系统中的广告SDK,用户在使用手机时只能看到宿主软件(比如桌面),无法看到广告SDK本身。同时,在广告SDK的预装与运营过程中,欧某等人进行了设置白名单、区域性设置、设置静默期(激活后一段时间内不运营)等规避行为,均证实预装广告SDK未经用户允许。另一方面,由于预装行为的存在,广告SDK得以获得相应系统权限,并得以绕过审核定制开发静默安装功能。一键达apk正是利用广告SDK的静默安装功能,经BOSS系统打开放量后,未经用户允许进行安装的。后续一键达apk模拟用户操作关注微信公众号、删除公众号二维码的行为也在用户不知情的情况下进行。更为重要的是,即便预装行为本身没有明确的法律规定加以规制,但是预装行为使得广告SDK得以绕过审核,定制开发静默安装功能,并通过静默安装一键达apk实施后续操纵用户收集操作系统的行为。上述行为相结合使得一键达apk在未取得用户授权的情况下获取数据并操纵用户手机系统。综上所述,预装、静默安装、模拟用户操作等行为属于未经用户授权的行为,违反了国家规定中关于告知同意的要求,具有非法性。
(四)涉SDK刑事案件中实行行为的认定
从目前检索到的案例来看,侵犯公民个人信息罪的实行行为,实践中并不存在太多争议对于非法获取计算机信息系统数据罪、破坏计算机信息系统罪,争议的焦点主要集中在于如何认定非法控制计算机信息系统罪中的“非法控制”、非法获取计算机信息系统数据罪中的“非法获取”以及破坏计算机信息系统罪中的“破坏”。
1、“非法控制”的认定
以“欧某某、陈某某、宋某等非法获取计算机信息系统数据、非法控制计算机信息系统案”为例,第一种意见认为,预装及运行广告SDK不属于非法控制计算机信息系统的行为。非法控制计算机信息系统必须采取“侵入”手段,“控制”应达到排除他人控制的程度。广告SDK主要是一种运行程序,而非对系统进行控制,该案中计算机信息系统没有被侵害。第二种意见(法院)认为,控制行为既可以是直接控制,也可以间接控制,既可以是完全控制,也可以是部分控制,行为人利用广告SDK及一键达apk所实施的行为均是通过技术手段控制用户手机的行为,属于控制行为。
控制行为的实质是非用户本人操作,后果是使计算机信息系统不按用户意志而执行特定操作。符合这一实质的,均应属于控制行为。因此,控制行为的实施手段不仅包括侵入手段,还包括其他技术手段;控制行为不限于行为人直接行使控制权,也可是通过计算机程序等媒介行使控制权;控制行为不必然具有排他性,包括完全控制、部分控制。
欧某等人通过预置的广告SDK,使得用户在未知情同意的情况下收到广告推送;同时,利用广告SDK获取权限,非基于用户真实意思而静默下载一键达apk,并模拟用户操作而关注特定的微信公众号。欧某等人的行为对手机的信息系统虽未达到完全支配程度,但具有部分支配,虽未对系统安全本身造成侵害,但对计算机功能的正常发挥与运行的环境具有消极影响,应属于控制行为。
2、“破坏”的认定
根据目前的检索,“破坏”计算机信息系统和“非法控制”计算机系统的区分也是实践中案件的焦点之一。在“邓欣贾轲等破坏计算机信息系统案”中,法院认定根据《刑法》第286条的规定,构成破坏计算机信息系统罪,以造成计算机信息系统不能正常运行,后果严重为前提。本案某某视频应用程序所具有的功能虽能对用户计算机信息系统中处理或者传输的数据进行删除、增加等,但没有确实、充分的证据证明存在用户安装使用该应用程序后其手机系统不能正常运行的情况,故不符合破坏计算机信息系统罪的构成要件。本案被告单位及被告人所实施的行为系未经用户授权而对其计算机信息系统实施控制,从而达到在用户不知情的情况下让用户订阅SP增值业务并使被告单位非法牟利的目的,其行为符合非法控制计算机信息系统罪的犯罪特征,应认定为非法控制计算机信息系统罪,故对公诉机关指控的罪名本院不予采纳,依法予以变更。
由此可知,在实践中,对用户计算机信息系统中处理或者传输的数据进行删除、增加等操作是否导致计算机信息系统不能正常运行且后果严重,才是区分“破坏”计算机信息系统和“非法控制”计算机系统的关键。
3、“非法获取”的认定
在“何某非法获取计算机信息系统数据、非法控制计算机信息系统案”中就是否构成 “非法获取”存在两种观点。观点一即被告人及辩护人的观点认为何某的行为就是收买信息再卖给他人。观点二即法院的观点认为,被告人何某虽无操作账户进行人脸识别认证、未破解计算机APP认证系统、无将账号实名化的直接行为,但是,被告人何某利用了具备相关技术手段及他人身份信息的同案人谭某真为其提供的帮助,以向谭某真支付报酬的形式,主导、授意谭某真根据其目的进行了相关的行为;同案人谭某真的行为,起因于被告人何某的邀约,服务于被告人何某的目的,故应以二人共同完成的结果评价被告人何某的行为性质,被告人何某理应对谭某真的行为后果承担相应的法律责任。
本案中,由于谭某真实施非法获取行为系何某授意,因此二人成立共同犯罪。但如果何某在事前未同谭某真共谋,仅实施购买行为,则其行为不构成 “非法获取”行为。因为《刑法》第285条规定,此处的“非法获取”仅限于侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,购买则不属于“技术手段”。
值得注意的是,根据《刑法》第235条,窃取或以其他方法非法获取公民个人信息构成侵犯公民个人信息罪,根据相关最高人民检察院出台的《检察机关办理侵犯公民个人信息案件指引》,“在窃取或者以其他方法非法获取公民个人信息的行为中,需要着重把握‘其他方法’的范围问题。‘其他方法’,是指‘窃取’以外,与窃取行为具有同等危害性的方法,其中,购买是最常见的非法获取手段。”由此可知,在侵犯公民个人信息案中,非法购买行为则可以被认定为非法获取行为的一种。如果上述行为购买的计算机数据中含个人信息的,达到法定数量要求的,也可以侵犯公民个人信息罪追究刑事责任。
(五)违法所得的认定
1、犯罪成本是否应当扣除
关于在认定“违法所得”数额时,犯罪成本是否应当扣除存在两种观点,一种观点认为,“违法所得”是指获利数额,即以违法生产、销售获得的全部收入扣除其直接用于经营活动的合理支出后剩余的数额。另一种观点认为,“违法所得”是指通过实施犯罪直接、间接产生、获得的任何财产。
本文认为,是否需要扣除犯罪成本,需根据违法所得来源加以区分。根据违法所得来源的不同,可以将获取违法所得的犯罪分为取得利益型(以非法占有为目的)犯罪和经营利益型犯罪。对于后者,认定违法所得时应扣除犯罪成本。对一些社会危害大或违法成本难以计算的违法犯罪行为,可以其销售收入为违法所得。但是,这种例外应当有法律、司法解释的明确规定。
在涉SDK刑事案件中,利用SDK破坏计算机信息系统、非法获取计算机信息系统数据、非法控制计算机信息系统、侵犯公民个人信息等并不能直接带来财产利益,行为人多是通过运营预装SDK的应用程序等来取得相应的收益,因此原则上应当将其作为经营利益型犯罪,认定违法所得时应扣除犯罪成本。
但是根据检索到的案例,在司法实践中,仍有法院持不应扣除犯罪成本的观点。例如在“何剑非法获取计算机信息系统数据、非法控制计算机信息系统案”中,被告人辩称计算犯罪金额时,应从收取的上家报酬中,扣除被告人何某向下家谭某真支付的金额。但法院认定,被告人何某向下家谭某真支付的报酬,是其为获得技术帮助而支付的犯罪成本,在计算其违法所得时不应予以扣除;其从上家收取的报酬,即为其违法所得。
2、违法所得同合法收入无法区分时如何认定违法所得金额
在涉SDK刑事案件中,存在涉案企业既从事合法业务,也从事非法业务的情况,因此收入中既包含合法收入也包含违法所得。就二者的区分问题,参照《最高人民法院关于在执行工作中规范执行行为切实保护各方当事人财产权益的通知》中所规定的“要依法严格区分违法所得和合法财产,对于经过审理不能确认为违法所得的,不得判决追缴或者责令退赔”的精神实质,在涉SDK刑事案件中,如果违法所得与合法收入相混同,无充分证据证明哪些收入为违法所得,则应当按照“存疑有利于被告”的原则,将其认定为合法收入。目前的司法实践中也采纳了这一观点。
在“欧某某、陈某某、宋某等非法获取计算机信息系统数据、非法控制计算机信息系统案”中,法院认定至少2016年开始广告SDK已产生违法所得,且2017年朗趣公司、瑞徕公司从腾讯公司获得的收入均是广告SDK的违法所得,虽然2017年以前桌面业务的收入与广告SDK的违法所得无法进行区分,但2017年朗趣公司、瑞徕公司的违法所得达2400余万元,该部分金额已属情节特别严重,但法院认为2017年以前桌面业务的收入与广告SDK的违法所得无法进行区分,故根据被告人罗轶先的供述,以智汇云商因广告SDK业务从朗趣公司获得130余万元认定为违法所得,采取了存疑有利于被告人的原则。
(六)主观故意的认定
根据样本情况,涉SDK刑事案件所涉罪名均要求犯罪主体存在犯罪故意。在此类案件中,有关主观故意认定的争议主要在于普通技术人员如SDK开发人员或为犯罪提供基础功能类SDK的人员主观故意的认定。
从目前检索到的法律文书及相关规定来看,司法实践中,多采取推定的方式。根据最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条,具有下列情形之一的,可以认定行为人明知他人利用信息网络实施犯罪,但是有相反证据的除外:
(一)经监管部门告知后仍然实施有关行为的;
(二)接到举报后不履行法定管理职责的;
(三)交易价格或者方式明显异常的;
(四)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的;
(五)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查的;
(六)为他人逃避监管或者规避调查提供技术支持、帮助的;
(七)其他足以认定行为人明知的情形。
此外,司法实践中还通过审查普通技术人员对于规避监管的行为是否明知,综合审查行为人的认知能力、教育背景、从业经历等来认定行为人是否存在主观故意。在“欧某某、陈某某、宋某等非法获取计算机信息系统数据、非法控制计算机信息系统案”中,法院指出,上诉人对于广告SDK和一键达apk的功能、原理及运营中的规避行为是明知的。结合各上诉人的学历背景、从业经历等客观事实,应当认定其具备非法控制计算机信息系统的主观故意。即使上诉人对各自行为的违法可能缺乏认知,也不影响对其行为性质的认定。各被告人的供述及电子证据检查笔录能证实各被告人对于广告SDK的功能、原理及运营中的规避行为是明知的,结合客观事实可以认定各被告人具备非法控制计算机信息系统的主观故意,各被告人对各自行为的违法可能性缺乏认知,不影响对其行为性质的认定;被告人欧某某、颜某是一键达apk的决策者,被告人廖某某、张某某是研发者,四被告人对一键达apk的研发目的、功能应当明知。
(七)电子数据鉴定意见的审查和质证
样本案例中,有32个案例明确提到了司法鉴定的适用,占检索到的案例总数的64%。实际上由于电子数据的易篡改、易灭失、虚拟性及高技术含量的特点,司法实践中电子数据司法鉴定的适用颇为广泛。《公安机关办理刑事案件电子数据取证规则》第55条也规定:为了查明案情,解决案件中某些专门性问题,应当指派、聘请有专门知识的人进行鉴定,或者委托公安部指定的机构出具报告。通常情况下,对电子数据鉴定意见应着重从以下几方面进行审查与质证:
1、审查鉴定人及鉴定机构资质
鉴定意见应由两名具有鉴定资格的人员签名并写明意见审查,因此首先应审查是否为当地省级司法行政机构的鉴定机构和鉴定人名录中的鉴定机构和鉴定人。同时,应当审查鉴定人是否存在依法应当回避的情形。
此外,根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第10条,对于是否属于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”、“专门用于侵入、非法控制计算机信息系统的程序、工具”、“计算机病毒等破坏性程序”难以确定的,应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。
2、审查检材的来源、取得、保管、送检是否符合法律规定
可以比对检材与相关笔录、扣押物品清单、同步录音录像等记载的内容是否相符;鉴定检材的来源是否合法,提取电子数据的办案机关是否具有相应管辖权,有无按照法律规定进行提取、保存、送检,是否被污染、篡改等。
3、审查鉴定依据和标准
作出鉴定意见应当有相应的鉴定依据和鉴定标准,因此应当审查鉴定依据是否符合相关规定,鉴定标准是否明确。
4、审查鉴定意见的形式和内容是否合乎法律规定
审查鉴定意见是否完整,具备法定形式要件,鉴定机构是否加盖司法鉴定专用章并由鉴定人签名、盖章;
审查鉴定意见的结论是否明确,有无与笔录、同步录音录像或照片等其他证据存在矛盾之处。
附录:涉SDK参考法律依据
1、《中华人民共和国刑法》
第285条:【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第286条:【破坏计算机信息系统罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
第253条之一:【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
第287条之二:【帮助信息网络犯罪活动罪】明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
2、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
第1条:非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
3、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
第2条:具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:
(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;
(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;
(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。
4、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》
第3条:提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:
(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;
(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;
(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;
(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;
(五)违法所得五千元以上或者造成经济损失一万元以上的;
(六)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为提供侵入、非法控制计算机信息系统的程序、工具“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(五)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
5、《中华人民共和国网络安全法》
第22条:
网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
第27条:
任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
6、《全国人大常委会关于加强网络信息保护的决定》
第7条:任何组织和个人未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。
7、《计算机信息系统安全保护条例》
第7条:任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
[1] 参见义乌市人民法院(2020)浙0782刑初844号
[2] 欧某某等非法控制计算机信息系统罪案,见:(2018)浙0482刑初574号刑事判决书、(2019)浙04刑终71号刑事判决书

技术驱动法律,专业成就未来