立即下载 知乎日报 每日提供高质量新闻资讯

出售用户信息、涉案金额达 5000 万的苹果员工将面临什么?

图片:Takuy​​aMurata / CC BY-SA 2.0

如何看待苹果中国员工非法获取 iPhone 用户信息并出售,涉案金额达 5000 万元?

知乎用户,永远的圣骑士

首先要强调:不要过于相信新闻报道的内容,未必是真实的。

所以本文分析仅限于这一假设的案例事实: 苹果公司的员工利用苹果公司内部系统平台,非法查询苹果手机关联的手机号码、姓名、AppleID 等信息,再在网上出售。

这个案例涉及两个罪名。

手段行为——为获取用户信息而侵入计算机系统的行为成立 非法获取计算机信息系统数据

本罪法条是刑法 285 条第 2 款(第 1 款略去):

侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统 (如果侵入这三种计算机系统,触犯的是本条第 1 款的 非法侵入计算机信息系统罪 ),或者 采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据 ,情节严重, 处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释_全文

获取身份认证 500 组是情节严重,2500 组是情节特别严重。

这个案件随便都是情节特别严重,只是量刑最高七年,一般不会封顶,恐怕也只能在 5-7 年之间确定刑期。

当然,如果他就是平时工作中能接触到用户信息,直接以工作、职务上的便利获取的,那就不成立这个罪了。

报道中的方法是“利用苹果公司内部系统平台,非法查询苹果手机关联的手机号码”,仍然无法确定是否属于“侵入或采取技术手段获取”,要看具体证据。

另外,计算机信息系统是否属于“尖端科学技术领域”,我个人觉得苹果公司不算。如果要认定它算,按上面那个司法解释的规定,需要 省级以上负责计算机信息系统安全保护管理工作的部门检验 ,再由司法机关根据检验结果作出认定。

目的行为——获取用户信息并用于出售的行为成立 侵犯公民个人信息罪

本罪是刑法 253 条之一:

违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释_全文,情节严重是指

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息 50 条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息 500 条以上的; (五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息 5000 条以上的;

情节特别严重是上述标准的 10 倍。

报道里涉及的是“手机号码、用户名,apple ID”,这只能算第五项中的公民信息,入罪是 5000 条,升档量刑是 50000 条。

报道最后的“警方提示 XXX 等信息 50 条入罪”其实与本案关系不大。

此外,这里会涉及几个刑法上的争议。

1、适用法律带来的牵连犯与竞合犯问题

从罪状表述上看,其行为既是窃取,也是向他人出售,同时符合第一款、第三款的规定。那这里就有个问题,他的整体行为是侵入计算机系统,取得用户信息,用于出售,刑法要完整地对这整个行为作出评价,有两种可能:

  • 可能一:侵入计算机系统的行为,取得信息(285 条第 2 款)——非法获取计算机信息系统数据 ,出售信息(253 条之一第 1 款)——侵犯公民个人信息罪
  • 可能二:侵入计算机系统的行为,取得信息(253 条之一第 3 款)——侵犯公民个人信息罪 ,出售信息(253 条之一第 1 款)——侵犯公民个人信息罪

首先,如果光说手段行为,它既是特殊法条 285 条第 2 款规定的“侵入计算机以技术手段获取”非法获取计算机信息系统数据(下称获取数据罪),也是普通法条 253 条之一第 3 款规定的“窃取或非法获取”侵犯公民个人信息罪(下称侵犯信息罪)。这属于竞合,按特殊法优于普通法,选择特殊法所规定的获取数据罪。

其次,手段和目的行为分别触犯不同的法律,属牵连犯,这种情况下,虽然刑法通说是选择处罚更重的罪来认定,但有些情况下也可以数罪并罚(一般是刑法或司法解释有明确规定时)。但本案中,获取信息和出售信息分属不同的法条处罚,并未重叠,个人认为应数罪并罚。

如果先以法条竞合,对手段行为认定为获取数据罪,再以牵连犯,对手段与目的分别处获取数据罪、侵犯信息罪,进行数罪并罚,即为可能一的组合。这种情况下如果数罪并罚,两罪的刑罚合并,可能达到十年以上。

如果不考虑法条竞合,只考虑同时适用 253 条第 1、3 款的规定可以涵盖全部犯罪行为,而且不仅回避了这种情况下的牵连犯是从一重罪还是数罪并罚的争议,也完美地回避了要查明手段行为是否属于“侵入或以技术手段获取”的举证责任和查明事实责任,省了很多侦查方面的工作,即以可能二的组合,只定侵犯信息罪一罪。这种情况下最高七年。

可能一的情况如果要从一重罪来处理,反而不如按可能二的情况来处理,更不容易被挑出毛病,也不需要去正面回答这个牵连犯的问题。

2、刑法条文的溯及力问题

可能有今年要考司法考试的同学已经想到了,刑法 253 条之一在前两年的法条内容还不是这样的,它是在 2015 年 11 月 1 日实施的刑法修正案九被改成现在这个样,而之前的法条是:

《刑法修正案七》所增加的第二百五十三条之一(旧法):

【出售、非法提供公民个人信息罪】 国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金
【非法获取公民个人信息罪】窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚
“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

在旧法里,首先它规定的是两个罪,而不是现在统一的侵犯公民个人信息罪。

其次,在第一款处罚“提供、出售行为”的犯罪主体是国家机关或者金融、电信、交通、教育、医疗等单位苹果公司显然不是这些单位。

刑法在溯及力上有个基本原则叫从旧兼从轻,它的意思是:原则上以犯罪行为当时的法律来处罚;例外情况下,如果审判时的法律更轻,则选择审判时的法律。

这就有了第二个问题:在我国刑法中,2015 年 11 月 1 日开始,才惩罚“所有人”的出售、提供公民信息行为,在这一天之前,只能惩罚“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的出售、提供公民信息行为。因为在 2015 年 11 月 1 日之前的行为,行为当时的刑法认为这些人不符合犯罪构成主体,不成立犯罪。

有同学会说了,就算 2015 年 11 月 1 日之前的出售、提供行为不能惩罚,但是仍然可以用旧法第二款来惩罚他们的非法获取信息行为啊。而旧法第二款的内容与新法第三款的内容是完全一致的。

确实没错,但是还是要注意:无论旧法第二款还是新法第三款,惩罚的都是“窃取或非法获取公民信息”行为,其处罚都是按“第一款”,但是具体的刑罚幅度是不同的。旧法第一款的处罚,最高刑是 3 年;新法第一款的处罚,最高刑是七年。

所以,如果按旧法,要定为非法获取公民个人信息罪这个已经被《刑法修正案九》取消了的罪名,而且最高量刑只有 3 年。

但是(敲黑板),别忘了上面说过的,非法获取行为是法条竞合,它同时还成立非法获取计算机信息系统数据罪,而这个罪的最高刑可是七年。法条竞合时要选择特殊法条的罪名,所以,同样按刑法溯及力的从旧兼从轻原则,对于 2015 年 11 月 1 日之前的非法获取行为,要认定为非法获取计算机信息系统数据罪。

最终按犯罪行为所得的时间点划分,就会变成这样:

  • 2009 年 2 月 28 日的刑法修正案七设立了非法获取计算机信息系统数据罪和 253 条之一对公民信息的保护。在这之前的行为不成立犯罪(我想本案的犯罪行为也不大可能在 2009 年 2 月 28 日之前就实施)
  • 2009 年 2 月 28 日——2015 年 11 月 1 日之间的行为:出售行为不成立犯罪。获取行为按行为当时的法律,并根据证据情况,从非法获取公民个人信息罪(最高刑 3 年)非法获取计算机信息系统数据罪(最高刑 7 年)之间选择。如果证据能证实具体的获取手段是“侵入或技术手段”,以非法获取计算机信息系统数据罪(最高刑 7 年)认定。
  • 2015 年 11 月 1 日至今:出售行为成立侵犯公民个人信息罪(最高刑 7 年)。获取行为根据证据情况,从侵犯公民个人信息罪(最高刑 7 年)非法获取计算机信息系统数据罪(最高刑 7 年)之间选择。如果证据能证实具体的获取手段是“侵入或技术手段”,以非法获取计算机信息系统数据罪(最高刑 7 年)认定。但是考虑到牵连犯的处理,最终认定为侵犯公民个人信息罪(最高刑 7 年) 更加合适。

这种情况下,按 2015 年 11 月 1 日这个时间节点划分,就可能同时存在侵犯公民个人信息罪(最高刑 7 年)非法获取计算机信息系统数据罪(最高刑 7 年),数罪并罚的话,最终量刑也仍然有可能达到十年以上。

3、司法解释的溯及力问题

有细心的同学发现了,新闻里的警察(请注意与现实中的警察、知乎上的警察等等处于不同的位面)叔叔说了:2017 年 6 月 1 日开始,非法获取、出售 XXX 等公民信息,即构成犯罪。

2017 年 6 月 1 日是最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释_全文开始实施的时间节点,也是从这天开始,侵犯公民个人信息罪的入罪标准“情节严重”,才有了准确的量化标准。

这是不是意味着我前面说了一堆 2015 年前后的事情都是废话,实际上只处罚 2017 年 6 月 1 日之后,有明确入罪标准以后的获取、出售行为呢?

当然不是。请注意,这个在儿童节那天施行的文件是司法解释,它的溯及力与刑法的溯及力是不同的。

最高人民法院最高人民检察院关于适用刑事司法解释时间效力问题的规定_全文的第一条就提出

一、司法解释是最高人民法院对审判工作中具体应用法律问题和最高人民检察院对检察工作中具体应用法律问题所作的具有法律效力的解释,自发布或者规定之日起施行,效力适用于法律的施行期间

有钻研精神的同学可以去看看后面几条规定的司法解释的从旧兼从轻原则,这与本案例无关,这里不多说。

司法解释的“实施”与“生效”是两回事。“生效”仅指狭义上的法律,实施则包括了广义上的法律。

司法解释本身没有独立的效力,它的效力依附于法律本身。只要这个法律条文有效,那司法解释一经实施,它的效力就与法律条文的效力同在。

因此,在 2017 年 6 月 1 日之后,这个侵犯公民个人信息的司法解释就可以从 2009 年 2 月 28 日开始适用于刑法 253 条之一了。

所以,新闻里的警察叔叔上述说法是错误的。准确的说法,即使考虑到刑法修正案七对公民个人信息的保护仍然不完善,也应该是从刑法修正案九开始完善打击此类犯罪的那一天,2015 年 11 月 1 日开始,非法获取、出售公民个人信息达到 XX 条,即成立犯罪。

扫描二维码下载知乎日报

支持 iOS 和 Android
二维码下载知乎日报
阅读更多 你可能想不到,中风几乎也是中国的特色疾病之一 下载 「知乎日报」 客户端查看更多