利用连锁酒店数据供他人查询,一审被判侵犯公民个人信息罪

来源:中国互联网法务网 2020-03-12 10:53:53 阅读
经审理,法院认为,被告单位北京华数互动科技有限公司、被告人沈某A、杜某B违反国家有关规定,在提供其互联网服务过程中以其他方法非法获取公民个人信息,并利用获取和非法收受的公民个人信息进行营利活动,其行为已构成侵犯公民个人信息罪。
北京华数互动科技有限公司、沈某A侵犯公民个人信息一审刑事判决书
崇阳县人民法院
(2018)鄂1223刑初370号
 
  公诉机关崇阳县人民检察院。
  被告人沈某A。因涉嫌侵犯公民个人信息罪,于2017年05月25日被崇阳县公安局刑事拘留,2017年06月29日经崇阳县人民检察院批准逮捕,同日由崇阳县公安局执行逮捕,2017年08月17日被崇阳县公安局取保候审。
  被告人杜某B。因涉嫌侵犯公民个人信息罪,于2017年05月25日被崇阳县公安局刑事拘留,2017年06月29日经崇阳县人民检察院批准逮捕,同日由崇阳县公安局执行逮捕,2017年08月17日被崇阳县公安局取保候审。
  崇阳县人民检察院以崇检刑诉(2018)318号起诉书指控被告单位北京华数互动科技有限公司、被告人沈某A、杜某B犯侵犯公民个人信息罪,于2018年11月02日向本院提起公诉。本院受理后,依法组成合议庭,于2018年11月30日不公开开庭审理了本案。本案现已审理终结。
  崇阳县人民检察院指控:2008年,被告人沈某A以个人名字注册了域名为“911cha.com”的网站。2016年04月份,杜雪骞以400多万元的价格购买沈某A注册的网站并成立北京华数互动科技有限公司,由沈某A担任公司法人代表并负责公司的经营管理。2016年08月至2017年05月,北京华数互动科技有限公司超越公司经营范围,且在未获得相关部门行政审批的情况下,在公司网站新建一个对社会公开的身份证实名认证和身份证照片同一认证的收费版块,为了这项业务的开展,北京华数互动科技有限公司、沈某A、杜某B实施了窃取和出售公民个人信息的行为,具体如下:
  1、沈某A将从“7天连锁酒店”数据库和“12306”数据库暴某2窃取的涉及公民姓名、身份证号码、电话的信息,交由被告人杜某B整理后建立新的数据库并导入公司IP地址为“218.93.127.80”的服务器中供用户在公司网站查询。经湖北三真司法鉴定中心鉴定,该数据库公民个人信息条数为16768398条。
  2、北京华数互动科技有限公司分别与国政科技股份有限公司、好贷天下信息技术(北京)有限公司、阿某云计算有限公司、芝麻信用管理有限公司签订关于身份证信息认证的协议,上述四家公司分别向北京华数互动科技有限公司提供了一个网址外加一个秘钥,沈某A安排杜某B将上述四家公司的网址和秘钥编写成北京华数互动科技有限公司脚本程序放入公司IP地址为“218.93.127.80”的服务器中,用户在北京华数互动科技有限公司域名为“911cha.com”的网站的身份证实名认证和身份证照片同一认定版块上输入姓名、身份证号码、照片请求进行同一认证并付费成某,便可以通过杜某B编写的脚本程序进入四家公司中的一家接口进行查询、比对并获得反馈结果。经湖北三真司法鉴定中心鉴定,用户在该网站查询身份信息同一认证付费成某的条数为122202条,北京华数互动科技有限公司出售公民个人信息收费金额为354657.55元。
  3、北京华数互动科技有限公司在未获得被查询身份信息本人授权的情况下,沈某A安排杜某B将用户查询时输入的身份信息予以缓存方式窃取并编写建成数据库放入公司IP地址为“218.93.127.80”的服务器中,经湖北三真司法鉴定中心鉴定,该数据库缓存的条数为64640条。
  2017年05月24日,沈某A、杜某B主动到北京市公安局东城分局刑侦大队接受调查。
  2017年06月26日,北京华数互动科技有限公司向崇阳县公安局缴纳涉案资金35万元。
  针对以上指控的事实,公诉人出示了相关证据。公诉机关认为被告单位北京华数互动科技有限公司、被告人沈某A、杜某B违反了《国家网络安全法》的规定,窃取和出售公民个人信息,其行为已触犯《中华人民共和国刑罚》第二百五十三条之一规定,应当以侵犯公民个人信息罪追究其刑事责任。被告人沈某A、杜某B犯罪以后主动投案,如实供述自己的罪行,系自首,根据《中华人民共和国刑法》第六十七条第一款之规定,系自首,可以从轻处罚。提请本院判处被告单位北京华数互动科技有限公司、被告人沈某A、杜某B刑罚。
  被告单位北京华数互动科技有限公司辩称,对公诉机关起诉指控的罪名及犯罪事实均无异议。
  被告人沈某A辩称,对起诉指控的罪名及犯罪事实无异议。
  其辩护人的意见为,对于被告人沈某A的行为构成犯罪与被告人的意见一致,但对起诉指控的的事实不尽认同。
  一、辩护人对起诉指控的部分事实和犯罪形态存在异议。公诉机关认为,2016年08月到2017年05月期间,被告单位北京华数互动科技有限公司(下称华数公司)、被告人沈某A、杜某B将“7天连锁酒店”“12306”数据库暴某2窃取的公民个人信息建成新的数据库导入服务器供用户在公司“911cha.com”网站进行身份证实名认证和身份证同一认证的收费业务;同时,将用用户查询是输入的身份信息以缓存的方式窃取编写数据库放入公司的服务器,违反《网络安全法》的规定,构成《刑法》第二百五十三条之一规定的窃取和出售公民个人信息类的侵犯公民个人信息罪。(一)以上指控,有部分事实不成立。首先,涉案行为发生在2017年05月以前,《网络安全法》于2016年11月07日发布,2017年06月01日施行,对本案没有约束力。其次,没有任何证据能够证明各被告人将沈某A2013年、2014年取得的“7天连锁酒店”“12306”数据库暴库的数据“供用户在公司网站查询”。又次,被告人沈某A、杜某B的行为不属于《刑法》第二百五十三条之一规定的“窃取”。“7天连锁酒店”“12306”数据库暴库和沈某A下载的时间是2013年、2014年。此时,恰在《刑法修正案(七)(下称“刑七”)2009年02月28日公布之后,《刑法修正案(九)(下称“刑九”)2015年11月1日施行之前。《刑七》第七条规定:在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违法国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”;“窃取或者已其他方法非法获取上述信息,情节严重,依照前款的规定处罚。”很显然,《刑七》仅将两类行为规定为犯罪:一是,将特定人员违反国家规定出售或者非法提供公民个人信息规定为犯罪;二是将“公权力”或者“公共服务”渠道,以“窃取或者已其他方法”,“非法获取公民个人信息”规定为犯罪。而“7天连锁酒店”“12306”数据库暴库数据,并不是特定人员违反国家规定出售或者非法提供的公民个人信息;沈某A也没有通过“公权力”或者“公共服务”渠道,从任何单位或者个人采取了保密或者防范措施的数据库内“窃取”任何信息,他只是将互联网上流传的,为公众知悉的泄密数据下载下来。对这类行为,最高人民法院刑法修改工作小组办公室编著的《<刑法修正案(九)>条文及配套司法解释与适用》第183页第9至11行明确:按照《刑七》的规定:“对于行为人自己在网络上搜集相对公开的公民个人信息,或者以其他方式获取的公民个人信息,只要该信息不是通过公权力、公共服务获得的,就不能纳入犯罪的范围”。由此可以反证,《刑七》实施之后,《刑九》实施以前,如果不是通过“公权力”、“公共服务”获得的公民个人信息,而仅仅是通过“在网络上搜集相对公开的公民个人信息“,不能认定为犯罪。正因为此,公诉人对沈某A2013年、2014年下载相关信息的行为,未做指控。其指控的,是《刑九》实施以后,沈某A将下载数据交付杜某B整理、存储并用于身份实名认证的行为。但是公司内部交付整理的行为,既没有法律规定为犯罪,也与“窃取”毫无关系。(二)起诉书指控被告“华数公司”通过“出售”公民个人信息收费,不能成立。“911cha.com”网站是沈某A注册的,该网站办理了工商注册备案和公安注册备案,其经营行为和网页内容一直受到工商部门和公安部门的监管。2016年08月到2017年05月期间,公司网站新建一个对社会公开的身份证实名认证和身份证照片同一认定的收费版块。该服务包括两类,一类是与国政通、好贷天下、芝麻信用网对接,提供身份信息认证服务;二类是利用已经获取、整理的公民个人身份信息,提供身份信息认证服务。在身份证实名认证和核查的使用过程中,核查人(用户)向网站提交被核查人的姓名和公民身份号码,经过与数据库中的信息进行对比,系统返回“一致”或者“不一致”的核查结果:如果结果一致,用户还可以进一步比对照片,因为身份证信息核查服务只是将用户提交的被核查人的姓名、公民身份证号码与数据库进行比对,返回是否一致的结果,不返回其他任何信息。即使有人想通过别人查询对应的公民身份证号码,或者通过公民身份号码查询所属人的姓名,系统都没有也不会提供这种服务。由于这种服务不但不侵犯公民隐私,还在预防和减少假冒欺诈的违法犯罪,减少个行业因虚假身份欺诈带来的经济损失等方面发挥了巨大作用,公安部于2007年03月18日向新闻媒体作了答复:“身份信息核查服务并未涉及公民个人隐私,在安全保障上已经作了完善的防范工作,大家完全可以放心的使用该服务。”此后,除“公安部全国公民身份号码查询服务中心”可提供核查服务外,“国政通”“好贷天下”、“芝麻信用”等公司也提供身份证核查收费服务,2017年05月12日国家发改委下发《关于取消公民身份认证服务收费政府定价有关事项的通知》[发改价格(2017)928号],仅仅只是取消了相关的价格管制,并没有禁止或者要求相关单位停止公民身份认证服务。因此,既不应认定被告公司在网站上进行身份证实名认证的行为属于《刑九》第十七条的“出售”,亦不宜认定相关行为构成“违法”。(三)起诉书指控的“华数公司”在未获得查询身份信息本人授权的情况下,将用户查询时输入的身份信息以缓存的行为构成“窃取”,也不能成立。互联网公司以各种方法收集和利用互联网信息,包括各类特定化的公民个人信息,这是经营者的主要业务和普遍现象。关于这种收集公民个人信息的做法,是否构成犯罪的问题,按照《刑七》规定,该类行为不构成犯罪;按照《刑九》的规定,只有“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”以及“窃取或者已其他的方法非法获取公民个人信息的”才构成犯罪。只有《网络安全法》第四十一条明确规定:”网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集信息的目的、方式和范围,并经被收集者同意“。公诉机关指控三被告未获被查询信息之本人输入的身份信息,构成《刑法》规定的窃取,正是基于《网络安全法》第四十一条的规定,但是如前所述,《网络安全法》于2017年06月01日才施行,按照”法不及既往“的原则,本案不能适用;即使前述信息收集行为欠妥,也不能认定其构成《刑法》规定的”窃取“。
  二、被告“华数公司”、被告人沈某A、杜某B的行为,虽不构成”窃取“、”出售“公民个人信息类的犯罪,但仍然构成”为合法经营而利用非法收受的公民个人信息“类的犯罪。其一,被告提供公民身份认证服务,本身不违背国家法律、行政法规的强制性规定,不能视为违法。1、如前所述,提供公民身份认证服务,本身是公安部鼓励、推广的活动,国家发改委先明确了收费标准,后虽取消收费定价限制,但并内有禁止或者限制该类经营行为。换言之,提供公民认证服务,本身并不违背国家法律、行政法规的强制性规定,不能视为违法行为。2、《合同法》实施以来,我国越来越强调交易的安全稳定,越来越注重培养、保护市场活力,因此,《最高人民法院关于适用《中华人民共和国合同法》若干问题的解释》(一)第十条之规定:“当事人超越经营范围订立合同,人民法院不因此认定合同无效。但违反国家限制经营,特许经营以及法律、行政法规禁止经营规定的除外。”基于刑罚的谦抑原则,除非法律另有特别规定,否则,一个行为如果在民商法不能认定为“违法”,就更不宜将民商法上认定为合法有效的经营行为,轻易认定为刑法意义上的犯罪。3、华数公司的网络平台一直受警方的监管,但从未因提供公民身份认证服务而受到监管单位北京市公安局及其大兴分局的处罚。可以反面佐证,被告提供公民信息服务,并不构成“违法”。其二,被告人沈某A在“七天连锁酒店数据库”、“12306”数据库暴某2,自互联网上下载相关数据,虽然不构成犯罪,但该行为明显不正当、不可取、不具合法性。其三、按照“刑九”的规定和两高司法解释的精神,不当收取公民个人信息,虽不构成“窃取”“出售”,但仍可能构成“非法收受公民个人信息犯罪。”其四,这些信息主要包括姓名和公民身份号码,不包括行踪轨道信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健XX理信息,交易信息等其它可能,影响人身、财产安全的公民个人信息,属于《关于办理侵犯公民个人信息形事案件适用法律若干问题的解释》第五条第一款第三项、第四项规定以外的公民个人信息。其五,被告“华数公司”为扩展业务,在公司网站建立一个身份证实名认证的收费版块,与国政通,好贷天下,芝麻信用等公司签订协议,利用这些公司提供的数据进行合法经营。同时为了节省开支,被告华数公司和被告人部分利用服务过程中收受的公民个人信息。其六,被告“华数公司”在开展身份证实名认证的收费业务时,收费金额约为35万元,其中既有合法所得,比如对国政通等平台提供服务而收取的费用,也有非法所得,比如在“刑九”实施以后,利用非法收受的公民个人信息提供服务而获得的利益,被告人供述违法所得超过5万元。因此,依照《关于办理侵犯公民个人信息形事案件适用法律若干问题的解释》第六条第一款“为合法经营而非法收受本解释第五条、第一款第三项、第四款规定以外的公民个人信息”及第(一)项的规定,可以认定被告华数公司和被告人沈某A、杜某B为合法经营而利用非法收受的公民个人信息获利,构成侵犯公民个人信息罪。
  三、本案只涉及”情节严重“对应的”三年以下有期徒刑或者拘役“一个刑档。
  四、本案涉及多个从宽量刑情节。沈某A、杜某B均有自首、认罪以及侦查阶段全额退赃、悔罪等从宽量刑情节;杜某B更有从犯和被动接受工作指令等从轻、减轻情节。沈某A、杜某B二人无前科劣迹,均系有专业知识,有正规、正式职业的从业人员;其人生危险性较低,酌定可适当从轻处罚。鉴于华数公司基于合法经营收受公民个人信息仅有“情节严重”一个量刑档,根据前述《解释》第十条关于“实施侵犯公民个人信息犯罪,不属于情节特别严重,行为人系初犯。全部退赃,并确有悔罪表现,确有必要判处刑罚的,建议适用缓刑。
  被告人杜某B辩称,对起诉指控的罪名及犯罪事实无异议。
  其辩护人的意见为,同意被告人沈某A辩护人的意见,本案中,被告人杜某B不占公司的股份,是服从公司的安排开展工作,在共同犯罪中起次要和帮助作用,应认定为从犯;被告人杜某B有自首和认罪悔罪的情节,建议适用缓刑。
  经审理查明:2008年,被告人沈某A以个人名字注册了域名为“911cha.com”的网站。2016年04月份,杜雪骞以400多万元的价格购买沈某A注册的网站并成立北京华数互动科技有限公司,由沈某A担任公司法人代表并负责公司的经营管理。2016年08月至2017年05月,北京华数互动科技有限公司在公司网站新建一个对社会公开的身份证实名认证和身份证照片同一认证的收费版块,为了这项业务的开展,北京华数互动科技有限公司、沈某A、杜某B实施了以下侵犯公民个人信息的行为:
  1、沈某A将从“7天连锁酒店”数据库和“12306”数据库暴某2下载非法收受的涉及公民姓名、身份证号码、电话的信息,交由被告人杜某B整理后建立新的数据库并导入公司IP地址为“218.93.127.80”的服务器中供用户在公司网站比对查询。经湖北三真司法鉴定中心鉴定,该数据库公民个人信息条数为16768398条。
  2、北京华数互动科技有限公司在未获得其网站被查询身份信息本人授权的情况下,沈某A安排杜某B将用户查询时输入的身份信息予以缓存并编写建成数据库放入公司IP地址为“218.93.127.80”的服务器中,经湖北三真司法鉴定中心鉴定,该数据库缓存的条数为64640条。
  3、北京华数互动科技有限公司分别与国政科技股份有限公司、好贷天下信息技术(北京)有限公司、阿某云计算有限公司、芝麻信用管理有限公司签订关于身份证信息认证的协议,上述四家公司分别向北京华数互动科技有限公司提供了一个网址外加一个秘钥,沈某A安排杜某B将上述四家公司的网址和秘钥编写成北京华数互动科技有限公司脚本程序放入公司IP地址为“218.93.127.80”的服务器中,用户在北京华数互动科技有限公司域名为“911cha.com”的网站的身份证实名认证和身份证照片同一认定版块上输入姓名、身份证号码、照片请求进行同一认证并付费成某,便可以通过杜某B编写的脚本程序进入四家公司中的一家接口进行查询、比对并获得反馈结果。
  案发后,经湖北三真司法鉴定中心鉴定,用户在该网站查询身份信息同一认证付费成某的条数为122202条,北京华数互动科技有限公司利用上述暴某2非法收受和通过缓存的非法方法获取及与其它网站接口链接方式获得的有关公民个人信息共计收费金额为354657.55元。
  2017年05月24日,沈某A、杜某B主动到北京市公安局东城分局刑侦大队投案接受调查。
  2017年06月26日,北京华数互动科技有限公司向崇阳县公安局缴纳了涉案资金35万元。
  以上事实,有检察院移交并经庭审举证、质证,认定的证据如下:
  1、到案经过:被告人沈某A、杜某B于2017年05月24日11时许主动到北京市公安局东城分局刑侦支队接受调查。
  2、受案登记表、指定管辖决定书、立案决定书、拘留证、逮捕证、取保候审决定书等证实本案的由来和被告人因本案被采取刑事强制措施的相关情况。
  3、营业执照,证实北京华数互动科技有限公司于2016年04月19日在北京市工商行政管理局海淀分局登记,经营期限至2046年04月18日,具有单位法人资格;户籍证明,证实被告人沈某A、杜某B的年龄、身份,具有完全刑事责任能力。
  4、被告人沈某A的供述和辩解:我创立的公司下属的http://www.911cha.com查询网站,为了开拓网站的涉及面,2016年的8、9月份在我的授意和参与操作下,我们网站上了一个身份证实名认证和身份证照片同一认定的版块。在网络上对社会公开身份证实名认证和身份证同一认定项目。身份证实名认证是这样的:客户在我们网站这个版块输入姓名和身份证号码,由我们网站来认定这个姓名和身份证号码是否正确以及对应的是否是一个人;身份证照片同一认定是这样的:客户在我们网站这个版块输入姓名、身份证号码。上传有头像的照片,由我们来认定这个姓名、身份证号码、照片是否是同一个人,有一项错误都会反馈给用户不同一的结果。我们建立了自己的姓名、身份证、照片方面的数据库;并且从另外一些公司开通了接口予以支持,我们自己有一部分的数据。在2013年左右,网上“七天”、“如家”等酒店的开房暴库数据,我当时想看看里面有没有我自己的开房信息和记录就把数据保存下来,当时网上传的比较凶,做网络方面工作的人轻松就可以弄到这些数据。到2016年我们网站开拓查询栏目是考虑有客户有这方面查询需求,能与我们网站带来收入,于是我就将这个数据(包括公民的姓名、对应的身份证号码、手机号码,开房入住的时间、地点)交给公司的杜某B,让他对里面的数据进行整理虑重和虑错后导入我们数据库中(主要是姓名、对应的身份证号码、手机号码)为查询提供支持。这个暴库的数据说是2000万,我记得这个数据包有11个文件,前面的10个文件每一个的数据都是200万,第十一个文件是少量的一部分,具体多少我已经不记得,它们的排列是按照1-200w、200w-400w、400w-600w、这种形式排下去,一直到1800w-2000w,第11个文件单独列出来的,数量不大。这些数据有姓名、性别、身份证号码、手机号码、酒店住址等内容,我们过滤后的数据是1800w,具体操作是我将这些数据用U盘交给杜某B,由他进行整合编写脚本导入数据库中。导入数据库中的只有姓名、身份证号码、手机号码,其他的数据没有导入。我们开通了国政通公司、好贷网、极速数据、芝麻信用的接口。我们接到客户的查询请求后,为了节省成本,首先我们会自动的在我们自己的数据库中比对有无记录,没有我们就转这些公司的接口,这些公司中的接口都能够反馈姓名、身份证是否同一;姓名、身份证、照片是否同一的结果,但是姓名、身份证、照片是否同一我只用了好贷网的,其他的三家都用到姓名、身份证是否同一的认定。好贷网是这么做的,他们公司就在我们公司楼上,首先我出门去找他们公司负责市场推广的韩紫薇口头申请开通接口,将我们公司的一些情况告诉他们,他们审核通过后和我们签订了一份纸面合同,我只需要按照合同约定向他们付费就行。合同规定,姓名、身份证认证是四毛五一条;姓名、身份证、照片的两元三左右一条;这时我们要付给好贷网的钱。我们一般都是一次向好贷网充值一万元左右,走的对公转账,我们一共充值了3万元左右。我们为此事两家公司建立一个微信群,里面有他们的技术人员,我们有我和杜某B,平时有什么问题好联系及时解决。国政通我是通过网站找到他们的联系人,获得电话和QQ(名字和身份我不记得了)。我向他们咨询开通接口的事情,他们给我寄了一份合同和信息安全方面的表格,我们按照他的表格填好公司资料签好纸面合同盖好公司的公章再邮寄回他们公司,也是一次充一万元左右,他们将合同和发票又邮给我,姓名、身份证认证需要两元钱一条,姓名、身份证、照片同一认定我没有开通,因为他们的成本比较高,所以我们不优先使用他们的接口,但是他们是公安部旗下的公司,数据比较权威准确,我们通过其他接口不能确定的才走他们的接口。极速数据将他们的东西放在阿某的平台上,我们通过阿某云市场找到他们的数据,我通过阿某云市场在线申请使用极速数据接口,没有签订纸质合同,我充值后他们会寄发票给我们,他们的姓名、身份证认证是三毛七一条。芝麻信用才是阿某的,我也是在线申请开通接口,他们的接口是免费的,也一样可以提供姓名、身份证号码认证。我们一共对外提供的查询有12万多条,具体到每一个接口的数据我真的不记得了。我们自己用我提供的那个“七天”、“如家”酒店被暴库的数据作了一个基础数据库,然后我们在客户请求查询和其他接口反馈时,由杜某B事先编写好脚本程序,对客户请求查询和其他接口反馈的结果进行了缓存,缓存下来也加入我们的基础数据库,我们服务器被查封时的,我们服务器被查封时的数据实际由我们的基础数据库加上缓存客户请求查询和其他接口反馈的结果的数据。我们为了节约成本和用户重复查询之前支付过的订单信息考虑而做的,我们将客户请求查询和其他接口反馈的结果的数据缓存下来充实到我们的数据库,下次再有同样的请求我们查询就不要对外走接口付费,这个缓存客户的数据是我安排杜某B做的,由他事先编写好脚本程序进行缓存和自己充实到我们自己的数据库里。我们缓存客户请求查询和其他接口反馈的结果客户和接口公司是不知道的。我们在客户请求查询和其他接口反馈的结果数据时有提示语,意思是我们需要将客户的数据提供给第三方的接口,并且我们进行存储。我们按客户请求查询的条数和次数计费,姓名、身份证认证收取2.88元一条一次;姓名、身份证号码、照片同一认定5.88元一条一次。我们收取费用30多万元。客户为什么查询、查询的是否是本人的信息我们不可能都过问,但是我们提示客户必须保证查询的是自己的数据类的信息。我们存储这些姓名、身份证、照片的服务器主要在常州信息港托管的IP地址为218.93.127.80的服务器,另外常州信息港托管的IP地址为218.93.127.55的服务器上面有我们最开始的姓名、身份证、照片数据库的备份。我们以前这么做,是看到公安部下属的合作公司国政通也能对外提供这些查询,另外好多的公司也能提供查询,根本没有意思到是违法犯罪的事情。我们被取保后将911查询网站涉及公民个人身份认证的数据和版块彻底进行下线关停。
  5、被告人杜某B的供述和辩解:与被告人沈某A的供述相印证。我是2016年通过招聘到北京华数互动科技有限公司工作的,具体负责PHP开发及数据库的开发和维护。公司的网站域名www.911cha.com,主要是查询及广告,查询有分为免费的和收费的,免费的有一百多个,收费的有三个,一个是黄道吉日的查询,一个是身份证认证,一个是观音解签,这三个价格都是沈某A定,广告主要是百度广告联盟。我们公司提供的身份证认证的来源,都是买的其他公司的API接口,包括国政通、阿某云、好贷公司、芝麻信用。我们公司的服务器交由南通万达托管,托管在常州电信IDC机房,共托管了三台服务器,IP分别为218.93.127.80、218.93.127.55、61.160.200.241;另外在郑州联通IDC机房托管一台服务器,IP为203.171.237.163,这四台服务器的内容一样,但80的服务器多了与付费相关的数据。我到公司后,在原免费查询业务的数据的基础上,开发了身份证认证的服务,我们把每个到我们网站查询的人的记录即姓名、身份证号码、照片这些数据都缓存到我们的服务器上,一个是快递查询的数据也缓存到我们的服务器中,一个是沈某A给的公民身份信息数据,他给的是文本文档,上面有姓名、身份证号码、手机号内容等,我去掉其他内容后,用PHP脚本写入的方式将这些数据导入到数据库。我花一天的时间就导入了,共整理出1600万条的数据。缓存了到公司网站查询的人的记录即姓名、身份证号码照片到公司服务器的,粗略估算有十万条的样子。有了这些公民身份信息后,别人来查询的话,如果是数据,公司就可以不找接口商,省下这笔钱,节约了运营成本。这个方案是沈某A提出要求我们执行的。我们把每个到网站查询的人的记录即姓名、身份证号码、照片这些身份证认证的数据缓存到公司的服务器都是后台运行,查询方不知情。当时我们看到阿某等公司也有这样的数据,没有想到违法。我们没有将获得的数据转卖他人。我们在被取保后立即将身份证认证项目从公司911查询网站下掉了,再没有进行这方面的认证运营。
  6、证人丁某的证明:我是南通万达网络服务有限公司的工作人员,负责公司服务器的维护。我公司是一家idc服务器提供商,接受客户服务器的托管,以及租赁个客户服务器使用。沈某A以个人的名义托管IP为218.93.127.80的服务器在我们公司,沈某A与我们是2010年签的协议,租赁3个IP地址,分别是61.160.200.241,租赁时间2010年06月28日到2017年06月28日,价格为10000元每年;218.93.127.54,租赁时间2013年06月25日至2017年06月25日,价格为5000元每年;218.93.127.80.租赁时间是2016年07月05日到2017年07月05日,价格为10000元每年,服务器在常州信息港二楼的机房里30号的抵偿里面,我们不知道服务器里面的内容。
  7、提取、扣押笔录、扣押决定书、扣押物品清单、暂扣款物票据。2017年05月19日15时43分至16时30分,办案民警在常州市和平中路332号常州信息港扣押网站IP:218.93.127.80的三块硬盘。硬盘编号分别为www.50000397181931c8、www.5000039718195124、www.5000039718193274。2017年05月24日16时20分,办案民警持崇公刑搜[2017]0524号搜查证在犯罪嫌疑人沈某A的指引下,对位于北京市东城区科林大厦A座715室肚饿沈某A的办公场所进行搜查,在见证人杜某B的见证下进行,在沈某A的办公坐上发现一台苹果笔记本电脑,在杜某B的办工桌下方发现一台开发机,据沈某A交代,二台机子内均有公民个人身份信息,为查明案情,对沈某A办公桌上的苹果笔记本电脑和杜某B桌下的开发机的主机提取扣押。2017年06月26日,崇阳县公安局扣押沈某A因本案涉及的违法所得35万元。
  8、鉴定意见:
  2017年06月20日,湖北三真司法鉴定中心出具《三真司法鉴定中心[2017]计鉴字第J0044号鉴定意见书》,鉴定意见为:
  (1)送检检材中存有用于个人身份信息查询业务的网站和数据库文件,网站域名为http://idcard.911cha.com/,系统运行IP地址为“218.93.127.80“。
  (2)hshd库中t-idcard-0至t-idcard-99共100个表中共有在以上t-idcard开头的100个表中共有记录16833038条。其中Source-id字段取值为0,记录为16768398条;Source-id字段取值为1,记录为2条;Source-id字段取值为2,记录为24条;Source-id字段取值为3,记录为840条;Source-id字段取值为4,记录为63720条;Source-id字段取值为5,记录为54条。
  (3)payment库中存有t-order数据表,表中subject字段的取值为:身份证实名验证、身份证实名认证,实名证件照识别、身份证实名认证高级版、身份证认证其他信息。其中subject字段取值为:身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证,记录数为1335534条;subject字段取值为:身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证,且pay-source字段的取值为非零时,记录条数为121372条;subject字段取值为:身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证,且pay-source字段的取值为非零时,且去掉重复的身份证号码,记录条数为105435条;subject字段取值为:身份证实名验证、身份证实名认证、实名证件照识别、身份证实名认证高级版或身份证照片认证,且pay-source字段的取值为非零时,total-fee字段的值合计为35215440。
  (4)payment库中t-order表的pay-source不为零,且在hshd库中以t-idcard开头的100个表中source-id不为0的设置号码,记录条数为64364条。
  (5)送检材料中存有与案件相关的数据,压缩成“提取数据.rar”(MD5:,大小:5492303字节),文件存储于附件光盘中
  2018年08月29日,湖北三真司法鉴定中心出具《三真司法鉴定中心[2017]计鉴字第J0044-1号鉴定意见书》,鉴定意见为:
  (1)2016/09/0915:6:27至2017/5/1913:29:7期间,t-orde表中字段goods-catid为1(身份证实名验证、身份证实名认证)且字段status为1(支付成某)的记录条数为118478,total-fee字段的和值为33307191,单位为分。
  (2)2016/10/1715:23:16至2017/5/1912:4:45期间,t-orde表中字段goods-catid为2(实名证件照识别、身份证实名认证高级版、身份证照片认证)且字段status为1(支付成某)的记录条数为3724,total-fee字段的和值,2158564,单位为分。
  9、其他书证
  (1)国家企业信用信息公示系统企业信用公示报告、北京华数互动科技有限公司股东信息,证实北京华数互动科技有限公司的股东登记持股情况。
  (2)诚信信息识别服务订购单、合作协议,证实北京华数互动科技有限公司于2016年09月01日、2016年09月06日与好贷天下信息技术(北京)有限公司、国政通科技股份有限公司签订了相关查询服务的合作协议。
  (3)崇阳县公安局情况说明,被告人沈某A、杜某B建立数据库涉嫌侵犯公民信息名单中,包括崇阳户籍的居民金某等14人。
  10、视听资料,审讯光盘6张,证实办案民警取得被告人沈某A、杜某B供述依法进行。
  上述证据取证程序合法,内容客观真实,且能相互印证,已形成完整的证据链条,能证明本案事实,本院予以确认。
  针对控辩双方争议的焦点,依据有关事实和法律,本院评判如下:
  一、关于被告单位北京华数互动科技有限公司、被告人沈某A、杜某B的行为是否构成侵犯公民个人信息罪及其犯罪形态问题。本案中,公诉机关指控被告单位北京华数互动科技有限公司、被告人沈某A、杜某B的侵犯公民个人信息的时间为2016年08月至2017年05月。而此期间,《中华人民共和国网络安全法》(2017年06月01日施行)未施行。公诉机关指控的一是沈某A将原来“7天连锁酒店”数据库和“12306”数据库暴某2下载的公民个人信息交给被告人杜某B整理建立新的数据库并导入公司网站供用户查询,经鉴定条数为16768398条;二是被告单位北京华数互动科技有限公司在未获得被查询身份信息本人授权的情况下,被告人沈某A安排杜某B将用户查询输入的身份予以缓存的方式窃取并编写建成数据库放入公司的服务器中,经鉴定缓存的条数为64640条;三是被告单位北京华数互动科技有限公司分别与国政通科技股份有限公司等四家单位签订协议,利用四家公司的接口联网支持其网站身份证实名认证和身份证照片同一认证的用户查询,经鉴定查询付费条数为12202条,收费金额354657.55元。按《中华人民共和国刑法修正案(九)》(2015年11月01日施行)第十七条之规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。“违法国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。”“窃取或者已其他的方法获取公民个人信息的,依照第一款的规定处罚。”“单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员,依照各该款的规定处罚。”显然在《中华人民共和国刑法修正案(九)》施行后,被告单位北京华数互动科技有限公司、被告人沈某A、杜某B存在未经用户许可在提供服务过程中缓存用户输入的个人信息的行为,该行为系《中华人民共和国刑法》第二百五十三条之一第三款的以其他方法获取公民个人信息的行为,经鉴定该条数为64640条,该行为构成犯罪且属情节特别严重;再者,被告单位北京华数互动科技有限公司、被告人沈某A、杜某B,利用被告人沈某A将该信息和原“七天连锁酒店等数据库”暴库非法收受的大量公民个人身份信息导入公司网站的数据库进行营利活动,其行为按照最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的意见》第六条规定亦构成犯罪。对被告人沈某A的辩护人关于被告单位北京华数互动科技有限公司、被告人沈某A、杜某B侵犯公民个人信息的犯罪形态只属于“情节严重”的辩护意见本院依法不予采纳。
  二、关于被告单位北京华数互动科技有限公司、被告人沈某A、杜某B的量刑情节。本案中,被告单位北京华数互动科技有限公司、被告人沈某A、杜某B均无不良记录无犯罪前科,被告人沈某A、杜某B是互联网产业的正规从业者,由于法律意识淡薄在触犯法律,其主观恶性与危害后果有别于其它窃取、买卖公民个人信息类犯罪。案发后,被告人沈某A、杜某B主动投案,系自首,依法可适当从轻减轻处罚;被告单位北京华数互动科技有限公司积极退缴非法所得;被告人杜某B受公司得指派开展工作,在共同犯罪中起次要作用,系从犯;依法亦可适当减轻处罚。对于被告人沈某A的辩护人、被告人杜某B的辩护人的该项辩护意见依法予以采纳。
  本院认为,被告单位北京华数互动科技有限公司、被告人沈某A、杜某B违反国家有关规定,在提供其互联网服务过程中以其他方法非法获取公民个人信息,并利用获取和非法收受的公民个人信息进行营利活动,其行为已构成侵犯公民个人信息罪,公诉机关指控的罪名成立,且情节特别严重,依法应追究其刑事责任。被告单位北京华数互动科技有限公司实施侵犯公民个人信息的危害行为,应承担相应的刑事责任。被告人沈某A系该公司直接责任人员,被告人杜某B该公司系具体实施人员,应依据其罪责大小承担相应的刑事责任。被告人沈某A、杜某B主动投案,坦白自己的罪行,系自首,依法可适当从轻或减轻处罚;在本案的共同犯罪中,被告人杜某B受公司法定代表人被告人沈某A的指派工作,在共同犯罪中次要作用,系从犯,依法可适当减轻处罚。鉴于被告单位北京华数互动科技有限公司、被告人沈某A、杜某B案发后积极缴纳违法所得,有认罪认罚态度,积极预交本案的罚金,亦可酌定从宽处罚。依照《中华人民共和国刑法》第二百五十三条之一、第六十七条第一款、第二十五条、第二十六条、第二十七条、第三十条、第三十一条、第五十二条、第五十三条、七十二条、七十三条、第四十七条、第六十四条及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的意见》第六条第一款第一项之规定,经本院审判委员会决定,判决如下:
  一、被告单位北京华数互动科技有限公司犯侵犯公民个人信息罪,判处罚金人民币400000元(已缴纳);
  二、被告人沈某A犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币70000元(已缴纳);
  三、被告人杜某B犯侵犯公民个人信息罪,判处有期徒刑一年六个月,缓刑二年,并处罚金人民币30000元(已缴纳);
  (被告人沈某A、杜某B的缓刑考验期自本判决确定之日起算)
  四、依法追缴被告单位北京华数互动科技有限公司、被告人沈某A、杜某B的违法犯罪所得354657.55元(已追缴)
  五、依法将扣押的被告单位北京华数互动科技有限公司、被告人沈某A、杜某B所有的硬盘、苹果笔记本电脑、开发机主机里涉及本案公民个人信息的内容予以销毁。被告单位北京华数互动科技有限公司、被告人沈某A、杜某B不得还以任何形式非法持有。
  如不服本判决可在接到判决书的第二日起十日内,通过本院或者直接向咸宁市中级人民法院提出上诉。书面上诉的,应当提交上诉状正本一份,副本二份。
  二〇一九年七月二十九日
   
  附:相关法律条文
  《中华人民共和国刑法》
  第二百五十三条之一违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
  违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
  窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
  单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
  第六十七条犯罪以后自动投案,如实供述自己的罪行的,是自首。对于自首的犯罪分子,可以从轻或者减轻处罚。其中,犯罪较轻的,可以免除处罚。
  被采取强制措施的犯罪嫌疑人、被告人和正在服刑的罪犯,如实供述司法机关还未掌握的本人其他罪行的,以自首论。
  犯罪嫌疑人虽不具有前两款规定的自首情节,但是如实供述自己罪行的,可以从轻处罚;因其如实供述自己罪行,避免特别严重后果发生的,可以减轻处罚。
  第二十五条共同犯罪是指二人以上共同故意犯罪。
  二人以上共同过失犯罪,不以共同犯罪论处;应当负刑事责任的,按照他们所犯的罪分别处罚。
  第二十六条组织、领导犯罪集团进行犯罪活动的或者在共同犯罪中起主要作用的,是主犯。
  三人以上为共同实施犯罪而组成的较为固定的犯罪组织,是犯罪集团。
  对组织、领导犯罪集团的首要分子,按照集团所犯的全部罪行处罚。
  对于第三款规定以外的主犯,应当按照其所参与的或者组织、指挥的全部犯罪处罚。
  第二十七条在共同犯罪中起次要或者辅助作用的,是从犯。
  对于从犯,应当从轻、减轻处罚或者免除处罚。
  第三十条公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。
  第三十一条单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员判处刑罚。本法分则和其他法律另有规定的,依照规定。
  第五十二条判处罚金,应当根据犯罪情节决定罚金数额。
  第五十三条罚金在判决指定的期限内一次或者分期缴纳。期满不缴纳的,强制缴纳。对于不能全部缴纳罚金的,人民法院在任何时候发现被执行人有可以执行的财产,应当随时追缴。
  由于遭遇不能抗拒的灾祸等原因缴纳确实有困难的,经人民法院裁定,可以延期缴纳、酌情减少或者免除。
  第七十二条对于被判处拘役、三年以下有期徒刑的犯罪分子,同时符合下列条件的,可以宣告缓刑,对其中不满十八周岁的人、怀孕的妇女和已满七十五周岁的人,应当宣告缓刑:
  (一)犯罪情节较轻;
  (二)有悔罪表现;
  (三)没有再犯罪的危险;
  (四)宣告缓刑对所居住社区没有重大不良影响。
  宣告缓刑,可以根据犯罪情况,同时禁止犯罪分子在缓刑考验期限内从事特定活动,进入特定区域、场所,接触特定的人。
  被宣告缓刑的犯罪分子,如果被判处附加刑,附加刑仍须执行。
  第七十三条拘役的缓刑考验期限为原判刑期以上一年以下,但是不能少于二个月。
  有期徒刑的缓刑考验期限为原判刑期以上五年以下,但是不能少于一年。
  缓刑考验期限,从判决确定之日起计算。
  第四十七条有期徒刑的刑期,从判决执行之日起计算;判决执行以前先行羁押的,羁押一日折抵刑期一日。
  第六十四条犯罪分子违法所得的一切财物,应当予以追缴或者责令退赔;对被害人的合法财产,应当及时返还;违禁品和供犯罪所用的本人财物,应当予以没收。没收的财物和罚金,一律上缴国库,不得挪用和自行处理。
   

特别声明

  本网为非营利性普及互联网+领域法律知识公益网站,所刊讯息仅仅出于传递更多信息之目的及用于学术探讨和实务交流,该等行为既不代表本网所持观点、立场,也不意味着本网对其真实性、准确性进行判断,亦不构成本网出具任何用途之意见或建议。若所刊文章有来源标注错误或冒犯了您的合法权益,请权利人持权属证明与本网联系,我们将及时更正、删除,谢谢。
上一篇:攻破银行APP人脸识别技术乱开银行卡,被判非法获取计算机信息系统数据罪
下一篇:获取个人信息制作3D头像突破人脸识别骗钱,法院以侵犯公民个人信息罪诈骗罪数罪并罚