【罪与罚】侵犯公民个人信息罪与非法获取计算机信息系统数据罪的区分标准——基于刑事审判参考第1496号案例
一、案例来源
本文裁判观点来源于最高人民法院《刑事审判参考》第133辑第1496号指导案例(董某某等侵犯公民个人信息案),是全国统一适用的权威裁判规则,可解决网络爬虫窃取数据类案件的罪名混淆问题。
二、简要案情
2019年,被告人董某某为行业竞争获取竞品客户资源,伙同周某某、马某某等人,通过被害公司内部人员违规获取业务系统账号、密码及实时验证码,指使技术人员编写爬虫程序,非法登录被害公司租房业务系统,批量抓取收房、出房租赁合同数据,包含大量出租人、承租人的姓名、联系方式、身份证信息、房屋住址、租赁交易价格等个人信息。一审以侵犯公民个人信息罪对七名被告人定罪量刑。部分被告人上诉辩称本案仅属于非法获取计算机数据行为、不构成侵犯公民个人信息罪,二审裁定驳回上诉、维持原判。
三、两罪核心区分裁判规则
司法实践中,利用爬虫、外挂、非法登录后台窃取电子数据的行为,极易混淆侵犯公民个人信息罪与非法获取计算机信息系统数据罪,两罪存在典型法条竞合关系,本案明确了区分核心标准:
四、本案被告人通过被害公司工作人员的违规授权,利用"爬虫"软件窃取被害公司系统合同信息的行为是否构成非法获取计算机信息系统数据罪,需要判断是否属于非法侵入行为以及是否属于计算机信息数据。
1.“非法侵入”的认定标准
本案明确:即便使用合法账号密码登录系统,但如该登录未得到也不可能得到计算机系统管理人的授权的,依然可以成立非法侵入。
"非法侵入"是指未经授权的人员违反国家规定擅自进入特定计算机信息系统,包括运用计算机网络技术从后台进入,也包括使用他人的账户、密码从正常的系统入口登录等行为。行为人利用技术手段,规避或突破被害方计算机系统的安防设置,未经许可进入被害方计算机系统的,应认定为非法侵入;行为人在客观上虽没有规避或突破被害方计算机系统的安防设置,如使用计算机系统认证的账号密码登录,但如该登录未得到也不可能得到计算机系统管理人的授权的,该行为仍属未经许可进入被害方计算机系统,也应认定为非法侵入。
2.关于计算机信息数据的认定
《危害计算机信息系统安全解释》对非法获取计算机信息系统数据罪入罪的"情节严重"作出明确规定,其中特别明确了身份认证信息的数量要求,同时将其定义为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。而对于数据的具体含义和范围,司法解释并未明确。本案中,行为人提供、获取的是公民个人信息,不属于身份认证信息,但是否属于计算机信息数据及能否适用其他情节严重或者其他情节特别严重的情形认识不一致。我们认为,公民个人信息属于计算机信息数据的一种。本案存在侵犯公民个人信息罪与非法获取计算机信息系统数据罪的法条竞合。
3.法条竞合的最终处断规则
我国刑法第二百八十七条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照刑法有关规定定罪处罚。
即:当非法获取的数据核心内容为公民个人信息时,优先认定侵犯公民个人信息罪,不再定性为非法获取计算机信息系统数据罪。
五、实务总结
1.单纯窃取商业数据、系统参数、无身份识别性的普通电子数据,定非法获取计算机信息系统数据罪;
2.以技术手段非法抓取、批量获取可识别自然人的个人敏感信息,即便同时破坏计算机系统安全,也优先定侵犯公民个人信息罪;
3.内部人员违规出借账号、外部人员爬虫批量窃数,属于非法侵入,不影响两罪定性判断,仅影响量刑。
引用法条
中华人民共和国刑法






