H是杭州某大学的大四学生,发现某大学网课平台存在漏洞,利用技术手段获取该网课平台的注册信息,并将该漏洞情况递交给某教育漏洞弥补平台。但是两个月后,H出于炫耀技术的目的,将该注册信息进行泄露,导致大量个人信息被不法份子买卖,公安机关以涉嫌侵犯公民个人信息罪移送检察院审查起诉,检察院审查后还认为其涉嫌非法获取计算机信息系统数据罪,经过辩护,最后H获不起诉,以下是关于H涉嫌非法获取计算机信息数据罪的辩护意见:
一、网课注册信息不属于《司法解释》中的身份认证信息
两高发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条规定,非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的。第十一条第二款规定,本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。H获取的某大学网课平台的注册信息,虽然包含了姓名、联系方式、身份证号码,但是该注册信息不属于账号、口令、密码、数字证书等的身份认证信息,不属于《司法解释》规定的金融服务身份认证信息和其他身份认证信息,而是属于公民个人信息。
二、H获取某大学网课平台的数据是为了递交漏洞报告,具有合法性
H向辩护人提供了一份《教育漏洞报告平台漏洞提交规范》,该《规范》在“内容”一栏提到:请填写必要的文字说明、漏洞涉及的URL、验证漏洞所需的账号和密码、利用过程涉及的数据包,请提供清晰的漏洞利用证明截图,说明在教育漏洞报告平台提交报告是需要提交相关数据包、截图来证明是否存在漏洞的。某大学作为教育漏洞报告平台的会员单位,会员单位能够得到的服务是专业人士将其网络平台的漏洞递交给教育漏洞报告平台,由教育漏洞报告平台通知会员单位进行整改,从而弥补漏洞。所以,某大学一定程度上授意了专业人士和教育漏洞报告平台获取、保存其漏洞的相关数据,但只限于发现漏洞使用。
结合某大学工作人员的证言,以及某大学颁发给H的漏洞报送证书,确实是H在2024年1月4日报送的漏洞报告使得某大学弥补了漏洞。H为了证明某大学网课平台存在漏洞,遂获取了某大学网课平台的数据,当时其获取数据并没有发布、泄露,而是到了3月份才泄露,当时其主观上并没有获取后泄露的主观故意,只是用于教育漏洞报告平台递交报告,其获取漏洞数据的行为是得到某大学会员单位默认、授意的,是合法合规的,不是非法获取计算机信息系统数据的行为,不构成此罪。
三、H帮助某大学弥补了漏洞,没有侵犯非法获取计算机信息系统数据罪保护的法益
非法获取计算机信息系统数据罪列在《刑法》分则第六章“妨害社会管理秩序罪”范畴,保护的具体法益是计算机信息系统的安全。虽然H获取了计算机信息系统的数据,但是其获取数据的最初主观目的是帮助某大学网课平台弥补漏洞,最后实际也帮助某大学弥补了漏洞,维护了某大学网课平台的计算机系统安全,避免后续被其他犯罪嫌疑人非法获取数据进行违法犯罪活动的危险。一直到了2024年3月份,H出于炫技的心理泄露了数据,这是后话,但是其在没有泄露数据之前,确实帮助某大学弥补了漏洞,维护了计算机信息系统的安全。
也就是说H合法获取数据没有侵犯计算机信息系统安全的法益,后期将数据故意泄露侵犯的是公民个人信息安全的法益,而不是计算机信息系统安全的法益。所以,H前期获取数据的行为没有侵犯计算机信息系统数据罪保护的法益,反而保护了该法益,不构成非法获取计算机信息系统数据罪,后续其将信息泄露的行为侵犯了公民个人信息安全的法益,因此只构成侵犯公民个人信息罪。
举个例子,如果医生在做手术治疗病人的时候,出于治疗的需要,合法的摘除病人的人体器官,病人得以保住生命。但是后续,医生没有经过医院和病人同意,非法将该人体器官进行买卖,则涉嫌组织出卖人体器官罪,而不是故意伤害罪,因为前期的治疗是合法合规的,医生没有故意伤害他人的主观故意,也没有故意伤害他人的实行行为,没有侵犯病人的身体健康权法益。
回归本案,前期H也类似于医生一样的角色,帮助某大学网课平台修补漏洞,合法合规的“摘除”(获取)了“人体器官”(数据),帮助某大学网课平台修补了漏洞,相当于医生帮助病人保住生命和恢复健康,医生不构成故意伤害罪,因此H不构成非法获取计算机信息系统数据罪。后续医生非法买卖人体器官的行为侵犯了器官移植的医疗管理秩序,构成组织出卖人体器官罪,而H后续泄露数据的行为,构成侵犯公民个人信息罪。
四、即使构成非法获取计算机信息系统数据罪,但H的情节显著轻微,不认为是犯罪
最高院喻海松发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的理解与适用一文中提到:“需要注意的是,对于实践中发生的出于好奇、显示网络技术等目的而实施的打包盗窃论坛身份认证信息等行为,即使获取身份认证信息略微超过500组的,由于社会危害性不大,也应当适用《刑法》第13条“但书”的规定,不宜纳入刑事打击的范围”。H就是出于文中所述的“显示网络技术”的目的而实施的获取身份认证信息的行为,虽然获取的数据大于500组,但是获取数据行为本身帮助某大学网课平台修补了漏洞,这一单个行为没有造成社会危害,而是有益于社会。根据《理解和适用》的精神,H的行为也属于《刑法》第13条“但书”的规定。因此,即使H构成非法获取计算机信息系统数据罪,但前期行为情节显著轻微危害不大,不应当作为犯罪处理,而是应当追究其后续侵犯公民个人信息罪的法律责任。
作者在第一次递交关于涉嫌侵犯公民个人信息罪的辩护意见时,和检察官当面沟通,检察官表示还要审查H是否涉嫌非法获取计算机信息系统数据罪,随后辩护人便补充了该份辩护意见并递交,最后检察院没有认定H构成非法获取计算机信息系统数据罪,而是对涉嫌侵犯公民个人信息罪的案件事实做出不起诉的决定。
