刑事专刊丨互联网企业刑事合规探析
发布日期:
2023-07-20

网络时代是一个通过网络把世界各地的信息联结起来的时代,信息的交互与融合使得社会发展面临新的机遇和风险。全球互联网网民规模不断扩大、网络零售市场不断发展、网上支付使用率全球领先、短视频用户规模增长迅速、前沿技术领域不断突破、互联网上市企业发展态势鲜明,信息、物质、能源成为当今社会的主要元素。我国目前也已成为互联网用户较多的国家,互联网融入人民生活的各个方面,极大促进了国家经济的发展和生活水平的提高。但互联网本身是一把双刃剑,加快社会发展进程的同时,信息技术的安全隐患也随之而来,技术成为骗术,网络犯罪成为新型的犯罪模式,且网络犯罪数量逐年递增,互联网企业刑事合规也成必然趋势。

一、网络犯罪相关罪名

2021年1月22日,最高人民检察院《人民检察院办理网络犯罪案件规定》将网络犯罪定义为:“网络犯罪是指针对信息网络实施的犯罪,利用信息网络实施的犯罪,以及其他上下游关联犯罪。”

2022年9月1日,最高人民法院、最高人民检察院和公安部《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》将网络犯罪外延概括为:“本意见所称信息网络犯罪案件包括:危害计算机信息系统安全犯罪案件;拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动的犯罪案件;主要行为通过信息网络实施的诈骗、赌博、侵犯公民个人信息等其他犯罪案件。”

我国刑法关于网络犯罪的规定主要集中在第六章第一节,常见的网络犯罪有非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,除此之外,利用网络形式侵犯公民个人信息,在近几年也成为高发的网络犯罪之一。

面对日益变化的网络犯罪态势,公司、企业在运营过程中,特别是主要依赖互联网平台发展经营的企业,需要重点防范前述提及的网络犯罪。

二、实务案例解析

1.典型案例:上海Z公司、陈某某等人非法获取计算机信息系统数据案——《涉案企业合规典型案例(第三批)》1

上海Z网络科技有限公司(以下简称“Z公司”)成立于2016年1月,系一家为本地商户提供数字化转型服务的互联网大数据公司。Z公司现有员工1000余人,年纳税总额1000余万元,已帮助2万余家商户完成数字化转型,拥有计算机软件著作权10余件,2020年被评定为高新技术企业。被不起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。

2019年至2020年,在未经上海E信息科技有限公司(以下简称“E公司”,系国内特大型美食外卖平台企业)授权许可的情况下,Z公司为了以提供超范围数据服务吸引更多的客户,由公司首席技术官陈某某指使汤某某等多名公司技术人员,通过“外爬”“内爬”等爬虫程序(按照一定的规则,在网上自动抓取数据的程序),非法获取E公司运营的外卖平台(以下简称“E平台”)数据。其中,汤某某技术团队实施“外爬”,以非法技术手段,或利用E平台网页漏洞,突破、绕开E公司设置的IP限制、验证码验证等网络安全措施,通过爬虫程序大量获取E公司存储的店铺信息等数据。王某某技术团队实施“内爬”,利用掌握的登录E平台商户端的账号、密码及自行设计的浏览器插件,违反E平台商户端协议,通过爬虫程序大量获取E公司存储的订单信息等数据。上述行为造成E公司存储的具有巨大商业价值的海量商户信息被非法获取,同时造成E公司流量成本增加,直接经济损失人民币4万余元。

案发后,Z公司、陈某某等人均认罪认罚,Z公司积极赔偿被害单位经济损失并取得谅解。2020年8月14日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪提请上海市普陀区检察院审查逮捕。8月21日,普陀区检察院经审查认为,陈某某等人不具有法律规定的社会危险性,依法决定不批准逮捕。2021年6月25日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。2022年5月,普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定。

2.犯罪构成和案例解析

本罪的具体犯罪构成包括:第一,前提要件是违反国家规定。第二,手段行为包括侵入计算机信息系统(涉国家安全等特殊计算机信息系统除外)获取该系统存储、处理或者传输的数据,以及采用其他技术手段获取上述数据。第三,犯罪对象是计算机信息系统存储、处理或者传输的数据。其中,实践中争议最大、理论上最值得关注的是对其手段行为的定义,即对“侵入”和“其他技术手段”的理解。《关于办理危害计算机信息系统安全刑事案件应用若干问题的解释》中,虽然没有对本罪的“侵入”进行界定,但在第二条对提供侵入、非法控制计算机信息系统的程序、工具罪中的“专门用于侵入计算机信息系统的程序、工具”做了描述,间接指出了“侵入”的涵义,即“避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据”。

从上述司法解释的表述来看,“未经授权或者超越授权”应当是对“避开或者突破计算机信息系统安全保护措施”的进一步修饰和补充说明,“未经授权或者超越授权”和“避开或者突破计算机信息系统安全保护措施”并非是“或者”的关系,从逻辑上,“避开或者突破计算机信息系统安全保护措施”后一般而言即会产生“未经授权或者超越授权获取计算机信息系统数据”的结果,这样的表述更为周延,也排除了经过授权采用技术手段获取数据的行为。

需要重点关注的是:“网络爬虫”技术与该罪的界限。网络爬虫的含义,按照百度维基百科的定义,又被称为网页蜘蛛,网络机器人。“网络爬虫”技术,原本是一种中立的技术,是用设计的程序,在遵守robots协议的情况下对网站、手机APP、小程序或搜索引擎等进行数据的浏览和抓取,由此获得自己所需要的相关数据的过程。数据获得者从获得数据中分析数据并推测出互联网用户的喜好,将有关信息推送给互联网用户,以提高平台的客户粘性,从而达到提升知名度或盈利的目的。在数据抓取上,行业内通用的规则是robots协议,也称网络爬虫排除协议:通过爬虫技术可以访问和收集互联网站点的诸多信息,为了维护互联网秩序,尊重信息提供者的意志和隐私等,信息提供者可以在自己的站点设置robots协议,以告知爬虫控制者哪些信息是提供者不希望被爬取的。

robots协议属于行业规则,其效力并未在法律上获得确认。一般认为只要遵守robots协议,就不涉及侵权问题。但是,在可观的数据红利面前,一些互联网公司往往选择挣脱该协议束缚,强行爬取相关数据,此时就会涉嫌构成非法获取计算机信息系统数据罪。

案例中根据检察院对涉案企业进行合规整改情况的描述,可知涉案企业之所以适用合规不起诉制度的主要原因如下:

(1)涉案企业犯罪动机系拓展业务,且一直经营良好,系发展前景较好的科创企业;

(2)涉案人员均认罪认罚,积极赔偿被害企业损失并取得谅解;

(3)企业合规整改意愿强烈,在整改期限内积极进行合规整改,建立合规组织、完善制度规范、提升技术能级,已完成数据合规建设的整改措施。 

三、互联网企业刑事合规要点——以用户信息为例

互联网时代,用户信息对互联网企业而言是兵家必争之地。但随着相关法律的完善,用户信息的不当处理成为互联网行业最大的风险所在。近年来,企业侵犯个人信息犯罪的案件数量暴增。企业要重视

用户信息的合规预防,才能在合理利用信息带来的业务优势的同时,保障企业的平稳发展。

(一)信息收集

在关于用户信息的风险点中,用户信息收集环节是最容易发生刑事合规风险的。企业收集用户信息必须取得用户的正式授权,不能仅以格式条款的方式加以规定,而是需要取得用户明确的有效授权,并对信息的使用充分知情。2021年11月1日生效的《个人信息保护法2中规定了企业在收集用户信息前应该告知用户所收集信息的种类、使用目的、使用方式等。对具体信息的收集也应该与信息的使用目的直接相关,不能过度收集。

从合规角度来说,企业在获取用户授权时就要避免类似格式条款等可能会产生风险的授权方式。同时,在收集信息之前要明确使用信息的具体目的,缩小收集范围,避免陷入过度收集的风险中。还需要注意的是,企业要谨慎使用“爬虫”技术抓取其他用户和其他平台的信息,避免涉及非法侵入计算机系统罪等罪名。对于没有取得合理授权的用户活动信息,企业一定要及时进行脱敏处理,去除信息上所附着的个人信息特质。

同时,数据信息的采集、传输要遵守必要性原则。非公司运营必须的数据不获取必要性信息,必要性信息是指公司为客户提供服务所必须需要的信息,如网约车公司,必要的个人信息包括:用户的手机号码、乘车人出发地、到达地、位置信息、行踪轨迹、乘车时间、支付金额、支付渠道等支付信息。

(二)信息保存

企业在信息的保存过程中也要注意刑事合规的落实。企业在保存公民个人信息的过程中很容易产生刑事风险。比如,由于保密管理的疏漏,在职员工或者离职员工利用经手的信息进行泄漏,或者由于企业管理人本身的风险意识不足,随意处理甚至与其他企业共享用户信息等。这些行为都蕴含着严重的刑事风险。

企业保存信息最好制定严格的信息保密制度,按照保密级别分层管理,对于敏感信息要尽可能缩小公司内部的获取范围,以免扩大信息泄漏的风险。在日常的合规培训中,要提醒员工对工作中获取的信息有保密义务,如果利用这些信息可能会构成侵犯公民个人信息罪。企业自身建立完整的信息合规制度,通过加大保密级别、明确告知员工等方式对个人信息加以严格管理,也是避免企业由于疏忽放纵而涉嫌拒不履行信息安全管理义务罪的有效方式。

具体防范措施如下:1.制定内部管理制度和操作规程;2.信息分级管理;3.加密、去标识化等安全技术措施;4.工作留痕(详细记录),落实责任到人;5.执行信息数据安全时间应急预案

(三)信息使用

企业将利用公民个人信息所加工获得的统计数据、宏观结论等向外发布时,一定要去除原始信息的可识别性。如果需要将原始信息向其他企业共享或者对外公布,必须再次获得用户的重新授权。

近年来,互联网公司的信息犯罪往往是一个企业被调查,许多关联企业也被查出违法行为。因此,对于合作公司的合规审查也是在进行信息合作时的必要环节。

具体防范措施如下:

1.入职审核,可能危及数据安全的不予入职;

2.合理确定相关人员的信息处理操作权限;

3.实施入职后的保密培训;

4.定期安全教育和培训;

5.离职后的脱密措施和保密协议

6.确定专门监督人员。

此外,对拥有涉及国家安全数据信息的公司高层管理人员的选举和任用,更应做好尽职调查,对不符合保密安全需要的慎重任命为公司高管

互联网行业是一个高风险的行业,相关的法律法规经历了一个由疏到密的过程,很多新的法律规范不被企业所重视。但近年来法律的完善和犯罪数量的增长,应该已经给所有的互联网企业敲响警钟,这个行业未来必然要戴着镣铐跳舞,法律边界不明显的时代已经成为过去。


[1]案例来源:最高人民检察院官网,https://www.spp.gov.cn/xwfbh/dxal/202208/t20220810_570419.shtml

[2]官方出处:国家法律法规数据库,https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjY0NzJhMzAxN2I2NTZjYzIwNDAwNDQ%3D