H是杭州某大学的大四学生,发现某大学网课平台存在漏洞,利用技术手段获取该网课平台的注册信息,并将该漏洞情况递交给某教育漏洞弥补平台。但是两个月后,H出于炫耀技术的目的,将该注册信息进行泄露,导致大量个人信息被不法份子买卖,公安机关以涉嫌侵犯公民个人信息罪移送检察院审查起诉,检察院审查后还认为其涉嫌非法获取计算机信息系统数据罪,经过辩护,最后H获不起诉。以下是辩护意见:
一、H经电话传唤到案,主动投案后如实供述犯罪事实,符合自首的法律规定,其具有自首情节
《归案经过》显示:2025年7月29日,民警电话通知H前往某派出所接受核查。在核查过程中,H对其利用某大学网课学习平台漏洞,非法获取公民个人信息万余条的事实供认不讳。因H将获取的数据发送至聊天软件群聊内,导致公民个人信息泄露,已涉嫌侵犯公民个人信息罪,故民警于2025年7月29日20时,将H刑事传唤至杭州市公安局某区分局执法办案中心接受调查。
根据最高院《关于处理自首和立功具体应用法律若干问题的解释》「法释(1998)8号」第1条第1项规定:自动投案,是指犯罪事实或者犯罪嫌疑人未被司法机关发觉,或者虽被发觉,但犯罪嫌疑人尚未受到讯问、未被采取强制措施时,主动、直接向公安机关、人民检察院或者人民法院投案。该《归案经过》显示,H在没有接受讯问、未被采取强制措施的情况下,接到办案民警的电话通知后,自己主动到派出所接受调查,自愿将自己至于侦查机关的控制之下,具有主动性和自愿性,符合自动投案的法律规定。
另外,2025年7月29日当天做完笔录之后,侦查机关并未对H采取取保候审的强制措施,而是让其回家,此时H的人身是自由的。直到2025年7月31日,H再次接到办案民警的电话通知,其又主动到派出所接受调查,做完第二次讯问笔录之后,当日,侦查机关才对其采取取保候审的强制措施。H在未被侦查机关采取刑事强制措施的情况下,未被侦查机关控制,其主动到派出所接受第二次讯问,自愿将自己重新至于侦查机关的控制之下,其自动投案的主动性和自愿性非常明显。所以,H两次接到电话后向侦查机关自动投案,并如实供述犯罪事实,其具有自首情节。
二、H获取、发布公民个人信息的主观恶性较小
(一)H最初的主观目的是为了帮助某大学弥补网络漏洞,没有泄露公民个人信息的主观目的
根据H的供述和辩解,其在登录某大学网课平台的时候,无意之间发现了该平台存在权限漏洞,然后获取了该平台会员的注册信息,并写了一份漏洞报告给某教育漏洞报告平台(辩护意见中附H撰写、提交漏洞报告的记录)。
某教育漏洞报告平台是由上海交通大学运营的,面向教育行业的网络安全漏洞收集、响应平台,旨在通过汇聚安全研究力量提升教育机构信息系统的安全性,因为H是杭州某大学智能安全专业的学生,其专业会接触网络安全方面的事务,所以知道该平台。
从以上H提交的漏洞报告记录可以看出,在2024年1月份,H不仅向教育漏洞报告平台提交了某大学网课平台的漏洞报告(高危),还提交了B大学网络的漏洞报告(中危)。说明H最初的主观目的是为了帮助大学弥补网络平台的漏洞(据H称,提交报告后某大学暂停了网课平台,并进行了修复),不是为了获取公民个人信息,其行为初衷是利用技术能力发现并修复安全隐患,而非获取公民个人信息后进行泄露。
(二)H泄露公民个人信息的主观目的不是为了谋取非法利益,而是证明自身能力,其泄露公民个人信息的主观恶性极小
1.H在2024年1月1日就发现了漏洞并获取了信息,但提交后漏洞报告后就没有对信息进行任何操作,甚至其本人都没有仔细阅览过这些信息,当时没有泄露或者获利的非法目的。直到2024年3月份,H在与朋友聊天的过程中才出于夸耀和自证的目的,将文件发送至同校好友组成的飞机群中,以证明自己的确发现并且帮助某大学弥补了其网课平台的高危漏洞。如果H主观目的是为了获取公民个人信息,其是没有必要去帮助某大学弥补漏洞,或者可以先利用漏洞获取更多的信息后再将漏洞上报,但H没有这样做,当初也没有这样做的打算,说明当初其主观上并非为了获取公民个人信息进行泄露。
2.H将信息发送至聊天群并不是为了获取任何报酬,也不是为了其他任何利益,而是基于对好友的完全信任和对后果的疏忽认识。作为一名大二的学生,群里其他几人不仅都是网络技术的专业人士、志趣相投的好友,而且还是同校的同学和学长,甚至有人已经毕业多年具有丰富的社会经验,因H法律意识淡薄,轻易地认为群里的其他几人不会非法利用这些信息或者对信息进行扩散,于是将文件直接发送,间接导致了损害后果。虽然该行为是错误的,但其最初的动机是善意、建设性的,其与那些利用漏洞进行违法犯罪的犯罪嫌疑人有着本质区别。
综上,H在获取信息时没有泄露信息的主观目的,在发送信息时也没有非法获利的主观目的,其因为法律意识淡薄才触犯了法律,希望检察院能够考虑H行为时的年龄与心智成熟度,以及当时的情境和善意的初衷,审慎对待此案。
三、H的行为间接导致了信息大范围泄露的危害后果,但并非直接原因
结合侦查机关提供的《情况说明》和H本人供述,涉案文件系经过了他人转发后,最终被“某-人工调查员”的账号收录到“某社工库”中,侦查人员继而查到涉案文件“xxx.zip”是由H的账号首次发送至telegram中。因此,H的行为(将文件发到小群)与最终的危害后果(信息在某社工库传播、出售)之间,介入了第三方独立的、故意的、更为严重的犯罪行为,即将信息转发或出售给“某-人工调查员”用于外网某社工库出售公民个人信息牟利。该第三方的行为才是导致危害结果扩大的直接和主要原因,后续的事态发展是H无法预料到的。
四、H确实帮助了某大学修复网课平台的高危漏洞
辩护人在“教育漏洞报告平台”的参与单位目录中发现某大学属于早期加入该平台的一批高校(辩护意见中附图)。H发现并报告的某大学网课平台的漏洞属于高危漏洞,根据平台的等级评价标准,高危级别是指(辩护意见中附图)。
本案的网络漏洞如果不经修复,将导致某大学网课平台现有的以及将来注册的所有用户信息都暴露在外,任何人只要以普通用户权限登录就可以轻松获取所有用户在平台上的基本信息,这一风险是规模更大、也更不可控的。
辩护人联系了平台工作人员,根据平台的规则和工作人员答复(辩护意见中附聊天记录截图),漏洞详情只有相关单位管理员和漏洞提交者可见,一旦用户提交的漏洞报告经审核通过,平台就会联系相关单位对漏洞进行修复。
而且,根据该平台2023年7月8日发布的《重要更新!关注教育漏洞报告平台官方微信公众号即可接收漏洞状态提醒啦》公告,自2023年7月8日以后,在“教育网信发布”公众号绑定微信的单位用户、开发商用户还可以直接在微信上直接查收本单位的漏洞消息。结合H的供述和辩解,某大学网课平台在其提交漏洞报告后,不久就暂停运行了大半个月用于修复漏洞,结合平台的规则,可以证实某大学网课平台因H递交漏洞报告后进行了修复。(H确实获得了某大学颁发的证明证书,作者递交给检察院)
综上,H在发现漏洞后,最初并非出于恶意利用,而是主动通过国家认可的官方渠道——“教育漏洞报告平台”进行报告。其行为直接促使平台工作人员联系某大学,并及时修复了这一高危漏洞。这一行为有效防止了该漏洞被其他恶意攻击者发现并利用,从而避免了某大学学生信息(包括现有信息以及以后新注册的用户信息,规模远超三万条)的泄露风险,保护了更大范围的公共利益和国家网络安全。
五、贵院有不起诉案例可以借鉴
杭州经济技术开发区检察院(前钱塘区检察院)(杭经开检公诉刑不诉[2019]75、76号)《不起诉书》显示:2018年间,杭州某有限公司管理人员王某某、沈某某(均另案处理)为公司经营业务,伙同被不起诉人黄某某、叶某某(另案处理)通过QQ群,采用交换的方式非法获取公民个人信息共计62056条。最后,检察院认为犯罪情节轻微,具有认罪认罚情节,根据《刑法》第三十七条的规定,不需要判处刑罚,依据《刑事诉讼法》第一百七十七条第二款的规定,决定对黄某某、叶某某不起诉。
对比以上不起诉案例,黄某某和叶某某的主观目的是为了公司经营业务,通过交换的方式侵犯公民个人信息,结合本案,H主观目的是为了炫技,为了公司经营业务的私利主观目的比H炫技的主观目的严重、恶劣,而且以上案例侵犯的公民个人信息数量将近H的两倍,黄某某和叶某某能够作出不起诉的决定,H更加具有不起诉的条件。
六、杭州市西湖区检察院有类似不起诉案例可以借鉴
杭州市西湖区检察院(西检一部刑不诉[2020]775号)《不起诉书》显示:2016年初,犯罪单位杭州某数据科技有限公司由周某某、张某某等人出资成立,公司主要与各网络贷款公司、小型银行进行合作,为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据。方式是公司将其开发的前端插件嵌入上述网贷平台APP中,在网贷平台用户使用网贷平台的APP借款时,贷款用户需要在公司提供的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码,经过贷款用户授权后,公司的爬虫程序代替贷款用户登录上述网站,进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。期间,公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。
截至2019年9月案发时,对公司租用的阿里云服务器进行勘验检查,发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21241504条。其中大部分账号密码,如淘宝、京东等,无法二次使用,仅有邮箱等部分账号密码存在未经用户授权被公司二次使用的情况。
其中,被不起诉人刘某某系公司后端研发组组长,具体负责爬虫程序的编写、维护,涉及到收集账号密码的部分工作内容。
西湖区检察院认为,刘某某犯罪情节轻微,具有初犯、偶犯、认罪认罚等情节,根据《刑法》第三十七条的规定,不需要判处刑罚,依据《刑事诉讼法》第一百七十七条第二款的规定,决定对刘某某不起诉。
以上不起诉案例,刘某某作为后端研发组长,利用爬虫程序获取了用户大量的账号密码并帮助公司获利,虽然大部分数据没有二次使用,但也有部分数据被公司二次使用。该刘某某和本案H相似之处是使用技术手段获取账号密码,但是该刘某某不仅使用非法的技术手段获取大量的公民个人信息,而且为公司谋利,信息数量大并且获利,相较于本案H利用平台漏洞获取公民个人信息的行为更加严重,该刘某某作为组长能获不起诉,举重以明轻,H更加具有不起诉的条件。
七、H系杭州某大学在校大学生,在校以及实习期间表现优秀,希望贵院给其一次改过自新的机会
H目前为杭州某大学智能安全专业大四学生,行为时才上大二,在校期间曾获创新创业奖学金2次,曾任学工部下属“某助手”社团主席,参与公众号服务维护与开发,开展线上线下公益活动。曾任学校信息中心下属网络与计算协会创始人兼主席,参与建立校内开源镜像站,参与组织校内开源软件推广活动,努力为师生争取多项正版软件的教育授权。
H热心公益,积极参与无偿献血,总献血量达 4100m1,2024年12月收到浙江省血液中心感谢信,2025年8月获无偿献血荣誉证和全国奉献铜奖。
H在杭州某科技有限公司实习期间,严格遵守公司各项规章制度,尊重管理安排,未发生任何违反公司规定或违纪行为,能够以积极、严谨的态度完成工作。与同事关系融洽,善于沟通与协作,能够较好地融入团队氛围,未发生任何人际纠纷,展现了良好的职业素养。在多个公司项目中担任主力开发角色,能按时、高质量地完成分配任务,并在关键环节中发挥了重要作用,展现出较高的技术水平和较强的责任心,为项目顺利推进做出了突出的贡献。
H原本有一个非常光明的前途,因为法律意识淡薄才会触犯法律,经过此次刑事诉讼程序,其已经深刻意识到自己的错误,如果贵院将该案起诉,不仅影响其学业和工作前程,更有可能毁了一个年轻人的一生,给社会增加一个病人。
八、H作为网络安全技术专业人才,对其不起诉符合国家政策的精神
两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条特意对“为合法经营活动”而获取信息的行为进行限制入罪的规定,从而与违法犯罪目的下的行为相区分,虽然并非本案所适用的条款,但体现了两高区分考量行为人主观目的和主观恶性的司法精神。
近年来,国家大力发展网络安全事业,鼓励和组织社会各界力量参与网络安全防控,如《网络安全法》第二章“网络安全支持与促进”中的相关规定。从国家政策的角度出发,中央网络安全和信息化领导小组办公室等六部门联合发布的《关于加强网络安全学科建设和人才培养的意见》,尤其强调了国家对于拥有创新实践能力的网络安全青年人才是鼓励和吸引的态度。H的行为本质上也是运用自己的专业技术能力投身国家网络安全建设,虽因年轻冒失而违法越界,但其行为与国家政策导向是一致的。对其作出不起诉决定,符合国家鼓励技术向善、保护青年科技人才的司法和政策精神。
最后,根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第十条规定:实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚,本案的公民个人信息数量未达情节特别严重的量刑档次,H系初犯,没有获利,而且有悔罪表现,符合《司法解释》可以不起诉的法律规定。希望贵院本着治病救人的原则,贯彻“慎诉”的刑事政策,给H一个改过自新的自己,对其作出不起诉的决定。
经过书面辩护和当面沟通,检察院最终对H做出了不起诉的决定,关于H不构成非法获取计算机信息系统数据罪的辩护意见,作者于后续发布,有兴趣可以继续关注。
