上海某信息公司、罗某等侵犯公民个人信息案——网络爬虫行为侵犯公民个人信息的刑事规制限度
【裁判要旨】
随着数据信息化的发展,信息资源成为重要的生产要素和社会财富。个人信息安全成为全社会高度关注的问题。被告单位等利用网络爬虫技术未经公民授权或同意,获取或出售能够单独识别或与其他信息结合识别自然人身份的个人信息,构成侵犯公民个人信息罪。但个人信息的收集经公民同意,并经匿名化加工处理后,剔除个人关联、无法识别特定个人且不能复原的,属于非法经营个人征信业务,不属于刑事规制的范围。
【基本案情】
江苏省泰州市姜堰区人民检察院指控:
2013年7月12日,被告人罗某注册成立被告单位上海某信息公司,并任法定代表人、CEO。被告人徐某于2017年6月任公司技术副总裁后,负责管理研发团队、规划产品业务等。被告人符某于2017年10月任公司商务副总裁后,负责商务部整体的市场拓展及客户维护。被告人董某于2017年6月任公司运营部总监后,参与研发爬虫程序并非法获取公民个人信息,形成、维护、运营蜜蜂报告、蜜罐报告。
自2014年5月起,被告单位在未依法报经征信业监督管理部门批准的情况下,组织技术团队研发具有采集、整理、保存、加工个人信用信息功能的软件,将前端插件嵌入从事金融业务的企业的APP,或者通过从事金融业务的企业网络平台提供的链接跳转至其提供的网页,要求用户在注册时输入手机运营商、淘宝、京东、社会保险、公积金、学信网等网站、APP的账号、密码,再使用爬虫程序等各类技术手段,避开或者突破相关网站、APP设置的安全防护机制,从上述网站或网页中获取包含6个月手机通话详单、网络购物、社会保险和公积金等信息。
2015年11月1日至2019年9月6日,被告单位违反有关收集、使用公民个人信息的法律规定,采取上述手段,获取902万余名公民的个人信息。被告单位对上述公民个人信息进行保存、加工,形成包含有公民个人信息,以及针对特定个人的借款信用、社会关系的蜜蜂报告(又称聚信立标准报告),销售给从事金融业务的企业用于贷前风控、贷中监测和贷后催收等。被告单位在未依法明示使用规则、未依法征得注册用户真实同意的情形下,为满足商业用途,按照从事金融业务的企业的要求,对上述数据进行分析,形成判断特定个人是否属于身份存疑或者手机存疑的蜜罐报告(又称用户信用报告),予以销售。被告单位向1300余家客户非法提供、出售蜜蜂报告3.39亿余份、蜜罐报告7.69亿余份,按份收取费用或采用包时计费,违法所得合计1.55亿余元。
审理中,江苏省泰州姜堰区人民检察院变更指控被告单位违法所得合计1.01亿余元。
被告单位上海某信息公司对起诉书指控的罪名无异议,对部分犯罪事实有异议。
被告人罗某、徐某、符某、董某对起诉书指控的犯罪事实、罪名及量刑建议均无异议,并自愿认罪认罚。
被告单位的辩护人提出被告单位在经借款人授权及提供账号、密码及验证码的情况下,采用爬虫软件收集、存储公民个人信息应被视为用户行为;蜜蜂报告中6个月通话记录的手机号码不能识别特定自然人身份信息,非公民个人信息;蜜罐报告是信用风险评估意见,不涉及公民个人信息。
被告人罗某的辩护人提出《用户信息收集授权协议》合法,内容明确,并经用户反复确认;蜜罐报告非完全来源于蜜蜂数据,蜜罐报告输出信息脱敏;即使认定蜜罐报告完全来源于蜜蜂报告数据,因蜜蜂报告数据违法,存在重复计算。
被告人徐某的辩护人提出《用户信息收集授权协议》明确告知借款人收集个人信息用于贷前及贷后风控,获取通话详单需借款人提供账号、密码及验证码,运营商会短信告知借款人通话详单正在被调取;利用爬虫技术模拟用户登陆并获取借款人信息,未违反国家有关规定;手机号码并非通话对象个人信息,无需授权,未侵犯公民个人信息;蜜罐报告生成过程中未收集借款人的其他数据,部分用了蜜蜂报告的数据分析和其他机构的查询记录,输出分值,未侵犯公民个人信息。
被告人符某的辩护人提出在行政法规等未明文禁止前,不应以数据库来源非法为由将全部蜜罐报告认定刑事违法;被告单位采集数据行为合法,《用户信息收集授权协议》有效,即使存有不妥之处,应由征信业监督管理部门整改,不应处以刑罚。
被告人董某的辩护人提出被告单位通过爬虫软件获取、存储、分析用户信息前,已获得用户授权,且用户通过验证码的方式反复确认授权的内容和效力,蜜蜂报告的数据获取和存储应认定为合法;《征信业管理条例》规定在未取得征信业务资质的情况下从事征信业务,并不当然违反规定。
江苏省泰州市姜堰区人民法院经审理查明:
2013年7月12日,被告人罗某注册成立被告单位上海某信息公司,下设技术部、商务部等部门。被告人罗某系被告单位股东,任法定代表人、CEO,负责公司整体运营决策,决定实施非法获取、出售公民个人信息等行为。被告人徐某于2017年6月任该公司技术副总裁后,负责管理研发团队、规划产品业务,爬虫程序及蜜蜂、蜜罐产品技术开发与支持等。被告人符某于2017年10月任该公司商务副总裁后,负责商务部市场拓展及客户维护,组织推广蜜蜂、蜜罐产品。被告人董某于2017年6月任该公司运营部总监,参与研发爬虫程序并非法获取公民个人信息,生成、维护、运营蜜蜂、蜜罐报告。2019年2月,被告单位经当地市场监督管理部门登记,新增经营范围“企业信用征信服务”,但仍未报经征信业监督管理部门批准。
被告单位自2014年5月起,在未依法报经征信业监督管理部门批准的情况下,组织技术团队,研发具有采集、整理、保存、加工个人信用信息功能的软件,非法从事个人征信业务,将前端插件嵌入从事金融业务的企业的APP,或者通过从事金融业务的企业网络平台提供的链接跳转至其提供的网页,要求借款人在注册过程中,输入个人手机通讯运营商、淘宝、京东、社会保险、公积金、学信网等网站、APP的账号、密码,否则将无法完成注册。上海某信息公司获取上述账号和密码后,使用爬虫程序等各类技术手段,避开或者突破运营商、电商等网站、APP设置的安全防护机制,从中获取包含能够关联特定密切联系人的6个月手机通话记录、网络购物等信息。
2015年11月1日至2019年9月6日,被告单位违反有关收集、使用公民个人信息的法律规定,采取上述手段,获取通讯记录、社会保险、网络购物、商业保险等信息。上海某信息公司对上述公民个人信息进行保存、加工,形成包含有公民个人信息,以及针对特定个人的借款信用、社会关系的蜜蜂报告,蜜蜂报告用户身份证号码(去重)数量为4684万余个。上海某信息公司将蜜蜂报告销售给从事网络贷款、金融业务的企业,用于贷前风控、贷中监测和贷后催收等。
2016年,被告单位未依法取得征信业监督管理部门的批准,为满足商业用途,将取得的身份证号码、姓名、手机号码在获取的公民个人信息存储的数据库进行对比碰撞,后按照从事金融业务的企业的要求,对上述数据进行分析,形成判断特定个人是否具有信贷风险的蜜罐报告,蜜罐报告中用户身份证号码(去重)数量为1.54亿余个。被告单位将上述蜜罐报告予以销售。
被告单位明知蜜蜂报告中的6个月手机通话详单的手机号码能够关联到特定自然人的特定密切联系人,在未经该特定密切联系人同意的情形下,仍将该手机号码非法提供给从事金融业务的企业。后部分企业通过骚扰、发送侮辱性图片给密切联系人的方式,对借款人进行非法催收。其中,上海鱼耀公司、上海梦浣公司、上海融斗公司、上海利全公司等均系从事套路贷犯罪活动的恶势力犯罪集团,天科安华公司研发并出售的阿尔法象放贷系统被购买者用于实施套路贷犯罪(均已判决)。2015年11月1日至2019年9月6日,被告单位向1000余家客户非法销售蜜蜂报告及非法搭售或捆绑销售蜜蜂、蜜罐报告,其中蜜蜂报告3.39亿余份,非法获利共1.01亿余元。
【裁判结果】
江苏省泰州市姜堰区人民法院于2023年11月29日作出(2022)苏1204刑初306号刑事判决:一、被告单位上海某信息公司犯侵犯公民个人信息罪,判处罚金人民币1.02亿元;二、被告人罗某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币50万元;三、被告人徐某犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑三年,并处罚金人民币40万元;四、被告人符某犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑三年,并处罚金人民币40万元。五、被告人董某犯侵犯公民个人信息罪,判处有期徒刑二年,缓刑二年,并处罚金人民币20万元;六、责令被告单位上海某信息公司继续退出违法所得1600万元,连同已退出的违法所得8500万元,共计人民币1.01亿元,予以没收,上缴国库。
宣判后,被告单位及四被告人在法定期限内均未提出上诉,公诉机关未抗诉,判决已发生法律效力。
【裁判理由】
法院生效裁判认为:被告单位上海某信息公司违反国家有关规定,非法获取公民个人信息,并向他人出售,情节特别严重,被告人罗某作为被告单位直接负责的主管人员,被告人徐某、符某、董某作为被告单位其他直接责任人员,其行为均已构成侵犯公民个人信息罪,依法应予惩处。
【案例注解】
随着信息科技的发展,公民个人信息的价值在社会经济发展中愈发重要,公民个人信息安全成为社会普遍关注的问题。依托于互联网技术、移动电子设备等,非法获取、出售及提供公民个人信息处于高发态势。网络爬虫是一种按照一定的规则,自动抓取万维网信息的程序或者脚本,其在网页提取过程中功能强大,根据设计程序及规则对网页或网站进行数据浏览和抓取,获得公民个人信息。本案中,被告人及被告单位利用网络爬虫软件在取得借款人授权情况下爬取借款人个人及其6个月通话记录等运营商详单、电商数据等公民个人信息,后存储、加工后形成蜜蜂报告。将借款人输入的姓名、身份证号码、手机号码(称三要素信息)与上述数据碰撞及公开渠道的名单对比,形成蜜罐报告。对于蜜蜂、蜜罐两款以公民个人信息为基础的产品的刑事违法性需要综合进行分析。
一、非法获取或出售能够识别个人身份的信息,构成侵犯公民个人信息罪
1.非法获取公民个人信息中的“非法”,应当以是否违反国家有关规定作为判断标准。早在《刑法修正案(九)》之前,针对刑法第253条之一规定的“非法”获取公民个人信息,有论者从“公民个人信息”是“个人法益”且具有“超个人法益属性”的角度出发,主张“非法”无需根据前置的配套法律法规进行认定,无需等待我国公民个人信息保护法等类似的法律法规出台后才能确定,除依法强制公民提供公民个人信息的情形之外,凡是未经公民个人明示或者默示之同意而获取的公民个人信息的,均属于非法获取。侵犯公民个人信息属于行政犯而非自然犯,认定其违法性宜以相应前置规定为基础,对于“非法”判断的依据“国家有关规定”应做灵活把握,一般性规定即可。全国人大常委会《关于加强网络信息保护的决定》《中华人民共和国网络安全法》以及国务院《征信业管理条例》等国家有关规定均对公民个人信息的保护作出了规定。被告单位上海某信息公司在利用网络爬虫软件爬取公民个人信息前,让借款人签订《用户信息收集授权协议》,该授权协议均未明确告知收集事项、范围和目的,后期该授权协议进行修正后,仍未明确告知借款人收集个人信息的范围包括运营商和电商平台内的第三人信息,亦未告知借款人收集的目的是提供给第三方公司牟利。被告单位利用爬虫软件具有数量庞大、效率极大、隐蔽性强等特点,突破法律法规规制和反爬虫限制,爬取涉及第三人信息的公民个人信息,第三人不知情,亦未向被告单位授权。
2.《网络安全法》第76条第5项规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。对于电话号码进行了列举规定,但电话号码是否能够单独或者与其他信息结合识别自然人个人身份,结论是肯定的。2010年已开始实施电话实名制。2013年9月开始在全国范围内对新增用户进行真实身份信息登记。2015年1月,工信部、公安部、国家工商总局联合印发《电话“黑卡”治理专项行动工作方案》,通过多项措施落实手机号码实名制度。随着社会经济以及网络金融的不断发展,实名登记的手机号码对应真实有效的机主,指向注册登记该手机号码的特定自然人。“直接识别”信息之外,能够与个人“关联”或者“绑定”的个人信息均属于个人信息,即是将关联信息与“间接识别”信息等同。手机号码不但是社会交往的主要通讯联络方式,普遍应用于公民的日常生活,成为公民联系的重要纽带,而且是虚拟网络空间的“通行证”,具有移动支付、实时定位、金融结算、社交活动等多项功能,公民将手机号码注册邮箱、信用卡、网络社交账号等已是生活不可或缺的部分,涉及公民的通信、金融、行踪、医疗等各个领域,具有专属性、隐私性、财产性,据此能够识别特定自然人身份或活动情况。本案中,被告单位获取了借款人及与借款人有密切通讯关系的第三人的包括手机号码在内的通话记录信息,该手机号码属于法律保护的公民个人信息。
3.包含第三人手机号码的通讯记录在司法实践中成为电信网络诈骗等竞相获取的重要犯罪资源,是衍生犯罪的重要工具或技术手段。根据与借款人具有密切通讯关系的第三人的手机号码,可以分析其社交活动状况、消费能力以及财产状况。在借款人无力清偿债务后,第三人成为非法催收债务的风险转嫁对象,以此对借款人施压,对第三人的生活安宁造成侵扰,对人身财产安全带来潜在危险。并由此产生了诸如电线网络诈骗、敲诈勒索、寻衅滋事等犯罪活动,使侵犯公民个人信息尤其成为电信网络诈骗的主要上游犯罪之一,对于精准诈骗起到了重要的作用。本案中,被告单位获取了包含第三人手机号码的6个月通讯记录,后加工分析形成蜜蜂报告,并在蜜蜂报告中按照与借款人联系的密切程度明文排序第三人手机号码,出售给金融企业、贷款公司用于贷前审查、贷中风控、贷后催收。相关套路贷公司获得该电话号码后实施了一系列“软暴力”催收行为,不仅侵害公民个人信息安全,而且对公民人身安全、财产安全、隐私以及正常工作生活构成威胁,具有较大的社会危害性,严重违背了社会主义核心价值观,社会公众普遍对此反映强烈。
二、出售经同意收集并匿名化处理的公民个人信息,属于非法经营个人征信业务
1.借款人在相应网页或网站的注册页面通过明示的方式向被告单位进行了授权,在获悉获取范围和使用用途后,同意并输入姓名、身份证号码、手机号码给被告单位,借款人提供上述三要素的行为其不违反其真实意愿。被害人同意情形下的信息收集行为并不侵害公民个人信息的自决权,但如果行为人后续的提供、出售行为仍然具有侵害公民人身安全和财产安全的可能,那么,行为人依然可以侵害公民信息安全法益,可以构成本罪。被告单位将姓名、身份证号码、手机号码与之前已被评价为刑事违法的蜜蜂报告的中间库数据进行碰撞,筛选出具备相应资信条件的人群,后与银行等金融机构公布的“借款人黑名单”以及人民法院公开的“失信被执行人名单”等进行对比和甄别,据此形成用分值评价借款人信用的蜜罐报告。根据蜜罐报告的形成原理,该报告中基础数据来自借款人的明确授权或同意,未非法获取,亦不涉及第三人公民个人信息,后期亦对借款人姓名、身份证号码、手机号码中的关键信息进行了脱敏处理,持有者无法识别全部内容。金融企业、银行等购买蜜罐报告的主要作用是进行贷前审查,以减少资金放贷的风险。蜜罐报告收集个人信息的途径、加工方式及使用目的,并未达到须以刑罚处罚的程度。
2.窗体顶端
2.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“公民个人信息是指以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动的各种信息、包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪状况等”。判断公民个人信息主要依据不是个人信息的种类、性质,而是该个人信息能否识别或反映特定自然人的身份及活动状况。本案中,蜜罐报告的基础数据是借款人获悉用途后同意提供的姓名、身份证号码、电话号码,借款人对于其身份识别具有意愿性。蜜罐报告输出的数学分值,供信息使用者参考评价借款人信用状况,无法识别借款人特定的活动情况。《网络安全法》第42条第1款进一步明确了合法提供公民个人信息的情形,规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性,经过处理无法识别特定个人且不能复原的信息,与特定自然人无直接关联,不属于公民个人信息的范畴。据此,经得公民同意以及经匿名化处理,是合法提供公民个人信息的两种情形,不应纳入刑事规制范围。蜜罐报告中的个人信息已被匿名转化为数学分值,剔除了个人关联,即使经技术处理亦不能复原,无法进行二次利用,不属于刑法“侵犯公民个人信息罪”中“公民个人信息”的类型。
3.征信业务是指对企业、事业单位等组织的信用信息和个人信息进行采集、整理、保存、加工,并向信息使用者提供的活动。《征信业管理条例》第6条规定:“设立经营个人征信业务的征信机构,应经国务院征信业监督管理部门批准”。第30条规定:“未经国务院征信业监督管理部门批准,擅自设立经营个人征信业务的征信机构后者从事个人征信业务活动的,由国务院征信业监督管理部门予以取缔,没收违法所得,并处5万元以上50万元以上的罚款,构成犯罪的,依法追究刑事责任”。就实然层面而言,现行刑法也未将合法获取但非法使用个人信息行为纳入侵犯公民个人信息罪的行为方式中。因此,现阶段只能对该行为按侵犯公民个人信息行政违法论处。本案中,被告单位不具有开展个人征信业务的资质,亦未经征信业监管机构批准,经借款人授权或同意获取了个人信息,经匿名化处理后加工形成蜜罐报告,并提供给信息使用者在开展金融业务时参考借款人的信用状况。该被告单位的行为实质上是非法经营个人征信业务,违反了相关征信业管理规定,尚未达到刑事规制的程度,应承担相应的行政违法的法律责任。
三、涉公民个人信息的刑事违法性应从来源、加工环节予以实质判断
对网络爬虫行为是否为“以其他方式非法获取公民个人信息”,尤其是其中“非法性”的判断,不能仅从形式构成要件入手,还须从实质层面进一步解释和判断。实质判断路径之一,行为人在权限许可范围内使用爬虫技术获取公民个人信息的,不属于“非法”,不应认定为犯罪;实质判断路径之二,行为人采取爬虫行为非法收集的如果是无法识别特定自然人身份的公民个人信息,即便爬虫行为性质上非法,也不构成犯罪。本案中的蜜罐报告是符合知情同意原则的,在权限许可范围内获取数据,反之如果行为并未获许可,或者爬虫行为超出许可范围,可以认定其“非法性”并构成犯罪,涉案的蜜蜂报告超出了授权范围而恶意取得个人信息数据,属于违法国家规定而为的爬取行为,则不能予以出罪。同时对于公民个人信息“可识别性”的把握,亦是相关法律和司法解释明确规定的纳入刑事调整范围的公民个人信息判断要点,对侵犯公民个人信息罪中的公民个人信息不能扩张解释为公民发布或产生的任何信息。综上,本案判决对于蜜蜂报告与蜜罐报告的分类判断与分层处理,通过形式判断与实质判断、形式入罪与实质出罪双重机制,合理地实现了对网络爬虫行为的刑事规制,从审判实务角度实现了行政规制与刑事规制的有效衔接,体现了法秩序统一性原理下实现个人信息保护的刑法谦抑性精神的坚持。
(作者单位:泰州市中级人民法院、姜堰区人民法院)