王玉瑊 高志华
一、基本案情
被告单位安徽X网络科技有限公司,住所地安徽省合肥市蜀山区。
被告人张某,男,系安徽X网络科技有限公司法定代表人。
被告人卢某,男,系安徽X网络科技有限公司股东。
被告人杨某某,男,系安徽X网络科技有限公司员工。
被告人刘某,男,系杭州Y数字技术股份有限公司员工。
2016年12月,卢某、张某共同出资成立安徽X网络科技有限公司(以下简称“安徽X网络公司”),成为浙江Z供应链管理有限公司(以下简称“浙江Z供应链公司”)在安徽省的校园驿站服务商。
2017年8月,卢某、张某商定,通过非法获取浙江Z供应链公司的快递用户信息的方式,提高安徽X网络公司微信公众号粘性,从而发送广告获利,并实现通过微信发送驿站包裹取件通知(需配合使用浙江Z供应链公司不同意使用的闸机系统才能实现)从而节约运营成本。卢某、张某通过网络指使刘某某反向编译浙江Z供应链公司的APP,制作了能够获取浙江Z供应链公司快递用户个人信息的插件程序,指使杨某某将该插件安装到安徽X网络公司所服务的大学校园驿站巴枪上。当使用巴枪扫描快递单条码时即能获取用户的姓名、手机号码等个人信息,并将信息存储到安徽X网络公司控制的网络服务器上。2017年8月至2018年6月,卢某、张某指使杨某将上述插件安装到安徽某信息工程学院、合肥某职业技术学院校园驿站的巴枪上,通过上述插件共计非法获取浙江Z供应链公司的快递用户个人信息共计522687条。此外,卢某、张某将该插件程序免费提供给江苏、山东、山西等省份的浙江Z供应链公司校园驿站服务商使用、共享。
二、分歧意见
安徽X网络公司和卢某等人在正常经营校园驿站过程中,制作插件程序批量获取快递用户信息并存储至相关服务器,未向他人出售或者提供的行为是否构成侵犯公民个人信息罪,在办案过程中形成了两种不同的意见。
第一种意见认为安徽X网络公司和卢某等人的行为不构成侵犯公民个人信息罪。主要理由是安徽X网络公司和卢某等人在正常经营校园驿站过程中,使用技术手段收集快递用户的个人信息,目的仅为增加公司自有微信公众号用户粘性和节约取件通知信息成本,并未向他人出售或提供收集到的用户信息,属于经营过程中的“合理使用”行为,不应当追究刑事责任。
第二种意见认为安徽X网络公司和卢某等人的行为构成侵犯公民个人信息罪。主要理由是安徽X网络公司和卢某等人虽未向他人出售或提供公民个人信息,但其制作插件程序获取公民个人信息的行为应当认定为“窃取或者以其他方法非法获取公民个人信息”的犯罪活动,应当追究相应刑事责任。
三、评析意见
上述分歧意见中,笔者同意第二种意见。具体理由如下:
通过梳理现行法律及相关司法解释,侵犯公民个人信息犯罪的入罪标准可以概括为以下三种情形:一是违法向他人出售或者提供公民个人信息、情节严重的行为;二是违法将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的行为;三是窃取或者以其他方法非法获取公民个人信息的行为。[1]
(一)违反协议,服务提供者私自收集公民个人信息
公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、联系方式、居住住址等。[2]本案中,经审查发现,确实存在部分快递用户提供的手机号码无法匹配真实姓名、部分快递用户未使用真实姓名的客观情况,但结合工信部要求在2017年1月1日起手机用户全部实名认证的规定,即使快递用户未使用真实姓名,也可结合昵称、收件地址等信息识别特定自然人身份。因此,笔者认为,安徽X网络公司和卢某等人获取的快递用户的姓名、手机号码、收件地址等信息应当认定为“公民个人信息”。
法律明确规定,快递企业在提供物流服务过程中,应当加强寄递用户电子信息的存储安全管理,包括且不限于设立独立物理区域存储寄递用户信息、禁止非授权人员进出该区域、采用加密方式存储寄递用户信息等。[3]由该规定可知,快递企业能够直接接触到海量的用户个人信息,其对用户个人信息负有高度的安全管理责任及义务,进而避免用户信息被泄露、窃取等现象发生。本案中浙江Z供应链公司是安徽省内大学校园驿站物流服务商,其为严格保护快递用户的个人信息安全,建立了一套快递用户个人信息的涉密处理、取件通知系统和派送快递操作准则。对加盟的校园驿站合作服务商,其在加盟合作协议中明确提出“校园驿站合作服务商在派件时,必须使用校园驿站配备的涉密处理、取件通知系统、直接拨打电话或者发送短信提醒用户进行取件”,意在通过此形式阻止合作服务商私自获取、收集快递用户个人信息。本案中,安徽X网络公司作为浙江Z供应链公司在安徽省內的校园驿站合作服务商,明知双方签订的合作协议约定了对经手的快递用户个人信息负有保密义务,在未取得安徽X网络公司授权“获取或存储用户个人信息”的情况下,违背协议内容和契约精神,私自收集、存储、传播没有权限获取的快递用户个人信息。
(二)未经同意,服务提供者无权收集公民个人信息
知情同意原则是网络产品、服务提供者必须遵守的重要原则,是现代企业合规管理的重要组成部分。服务提供者应当本着合法、正当、必要的原则,向用户明示收集、使用信息的目的、方式和范围,在取得用户同意的基础上,方可收集、使用用户个人信息。[4]本案中,针对安徽X网络公司及卢某等人未经快递用户同意,收集、存储用户个人信息的行为是否具备刑罚可罚性,在办理过程中存在两种不同的观点:
一种观点认为,安徽X网络公司系浙江Z供应链公司授权经营的校园驿站合作商,承担大学校园快递派送业务,是快递派送流转的重要环节,其工作人员可视为浙江Z供应链公司一方的工作人员,在提供快递派送服务时,有权收集快递用户的相关个人信息,且其收集快递用户个人信息的主要目的在于提供更加快捷便利的服务体验,该行为应当认定为“合理使用”范畴,不宜轻易认定为刑事犯罪。
另一种观点认为,安徽X网络公司和卢某等人违反法律规定和合作协议约定,未经浙江Z供应链公司授权允许,在经营校园驿站过程中私自使用非法获取的快递用户个人信息,应当认定为“窃取或者以其他方法非法获取公民个人信息”的犯罪行为,依法追究刑事责任。
司法实践中,在办理刑事犯罪案件时,评价一种行为是否具备刑罚可罚性,通常应着重考量该行为是否违反刑法等相关法律、司法解释的规定。具体到本案中,笔者认为该行为系刑事犯罪行为,应当依法予以打击。首先,安徽X网络公司和卢某等人在校园驿站经营过程中,未经快递用戶本人知情同意,批量获取、收集、存储用户个人信息,已违反刑法第253条之一、网络安全法第22条、第41条等法律的规定。其次,作为安徽省内的校园驿站合作服务商,安徽X网络公司本可通过浙江Z供应链公司提供的取件通知系统拨打用户电话或发送取件短信等多种方式通知用户及时取件,其非法获取、存储用户个人信息的直接动机在于节约派件通知成本、提高微信公众号用户粘性,进而获取广告收入等可期待的经济利益。客观上,其非法获取快递用户个人信息的行为具有非必要性和非排他性,难以认定为“合理使用”。最后,卢某、张某、杨某某是安徽X网络公司的管理层和员工,上述人员与浙江Z供应链公司并无劳务关系,也不是浙江Z供应链公司提供服务过程中专门委托管理电子信息的人员,根据《寄递服务用户个人信息安全管理规定》第36条的规定,上述人员无权访问收集个人信息的区域,无权对个人信息进行复制。即使将上述3人视为浙江Z供应链公司的工作人员,根据网络安全法的相关规定,也不得将用户个人信息私自携带离开存放场地。因此,笔者认为,安徽X网络公司和卢某等人已经违反国家相关法律规定,在经营校园驿站过程中实施了“非法收集个人信息”的犯罪行为。
(三)制作插件,服务提供者非法获取公民个人信息
根据法律规定,网络产品、服务的提供者在提供产品、服务时,应当遵守国家规定的强制性要求,不得设置恶意网络程序,不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。[5]笔者认为,由此规定可知,快递服务提供者在经营过程中购买、收受、交换等方式获取公民个人信息的行为,属于刑法第253条之一规定的“以其他方法非法获取公民个人信息”的情形[6],不以对外出售或向他人提供为必要条件,以窃取或非法方式获取公民个人信息的行为,即使不出售或提供给他人,同样构成侵犯公民个人信息罪。
本案中,浙江Z供应链公司与安徽X网络公司在合作之初明确约定,安徽X网络公司在校园驿站经营过程中“不得窃取平台站点、消费者资料”,并负有保密管理义务,不得在校园驿站内装置危害快递用户个人信息安全的设备、设施。但安徽X网络公司和卢某等人为谋取私利,违反与浙江Z供应链公司约定的行为禁令和保密义务承诺,私自在经营的校园驿站内加装浙江Z供应链公司明文禁止的闸机系统,然后通过网络指使杭州Y数字技术股份有限公司的工作人员刘某某开发了“快递辅助系统”和“Xposed Installer”两个可自动获取快递用户个人信息的插件程序,并安装到巴枪上,在工作人员使用巴枪扫描快递单个人信息条形码时,上述两个插件程序可自动识别、截取安卓操作系统内的快递用户电子信息,并上传存储至安徽X网络公司控制的网络服务器端,实现快速、批量获取用户个人信息的目的。针对上述行为,笔者认为,安徽X网络公司和卢某等人在经营校园驿站、提供快递派送服务时,违反网络安全法及“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条的相关规定,在未取得快递用户同意的情况下获取用户个人信息的行为,属于“以其他方法非法获取公民个人信息”的认定范畴;制作插件程序,批量、快速窃取快递用户个人信息并存储至其控制的网络服务器端的行为,属于“窃取个人信息”的认定范畴。安徽X网络公司和卢某等人的行为应当认定为“窃取或者以其他方法非法获取公民个人信息”的犯罪行为,应当依法追究其刑事责任。