2019年2月19日,临沂市中级人民法院对一起涉侵犯公民个人信息罪案件作出二审判决,一审中全部21名被告终审判决有罪,刑期从十个月到四年六个月不等,且均并处罚金。
该案被告人数之所以高达21人,是因为被告人既包括信息出售方、也包括信息购买方;既包括数据公司的负责高管,又包括了直接参与信息处理、交易的销售、技术等岗位员工。其中6名被告同为数据堂(北京)科技股份有限公司员工,该公司于2014年在新三板挂牌,系国内第一家人工智能大数据上市企业。
数据堂官网
因此,该案情形非常全面的体现了涉科技公司“侵犯公民个人信息罪”认定中可能出现的疑问,尤其是在公司上、下级员工共同参与信息交易,且信息搜集、处理、交易各环节由不同岗位员工分别完成的情况下,不同职级被告人的犯罪地位、作用如何认定?上级员工能否以没有直接实施具体交易行为为由减轻处罚?下级员工能否以被动执行公司职务为由免除刑责?技术岗位员工能否以仅负责技术问题未参与业务为由免除刑责?
有关”侵犯公民个人信息罪“的法律规定
侵犯公民个人信息罪源于《刑法》第二百五十三条之一的规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
针对上述规定中的三种违法情形,2017年5月出台的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》作出了更为具体的解读。
第一条,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第二条,违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。
第三条,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。
未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。
第四条,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
基于《刑法》以及上述“解释”的具体规定,可以从如下两个角度来更实质的理解“侵犯公民个人信息罪”。
何谓刑法意义下的“公民个人信息”:任何能够用以识别特定自然人身份、活动的信息;
何谓“侵犯”:除公民个人明确同意或主动提供其个人信息外,其他任何获取方式均为非法。
数据堂公司涉案员工的职能分工
案涉6名被告人在公司中的职能架构
被告人柴银辉为数据堂公司总办成员之一,且兼任COO,负责公司整体运营、管理工作,分管金融产品线、营销产品线、人力行政部、战略创新部。
被告人胡晓敏任营销产品部副总监,被告人吴志浩、李志亮分别为其下属技术组、产品组工作人员。
被告人揭宇飞任资源平台部总监。
被告人李洪亮为金融产品线下的销售部人员。
在实际业务中,被告人揭宇飞所在的资源平台部负责对数据进行接收、整理、存储,将数据放入数据堂公司的大数据处理集群,并负责数据发送系统加密和解密程序的设计。被告人吴志浩所在的技术组按照要求,将集群上的数据根据用户的兴趣、爱好不同进行加工,分别打上不同的标签后,再放入公司集群。由销售组联系客户,客户将其数据需求发送至产品组的被告人李志亮,产品组让技术组在公司集群中提取符合条件的数据,再由产品组利用数据发送系统自动将数据发送给客户,其中带有设备号的数据揭宇飞会通过系统自动加上SID(电信系统识别码,可确定设备所在的地级市)。
营销产品线设立之前,被告人胡晓敏担任产品部经理,负责将采购来的信息数据进行解析、加工、处理。
案发报道
在2016年至2018年间,案涉6名被告人通过上述业务流程,与买家签署了两份数据协议,并实际发送了共计约60万条信息。
一审关于6人犯罪地位的认定
根据6名被告在公司的不同岗位职能及具体工作内容,法院分别对6人在该案中的犯罪作用和地位进行了认定。
被告人柴银辉兼任营销产品线总裁,其对第一份合同具有审查、审核、决定权,虽然其对第二份合同未参与洽谈、审核,但其作为公司COO、总办成员之一,管理公司的整体业务,对第二份合同应当知情,因此,在本案中应当认定其为直接负责的主管人员,属于主犯。
被告人胡晓敏,在第一份合同签订时,任产品经理,后任营销产品部副总监,负责数据的加工和提供数据产品;在第二份合同签订时,负责合同的洽谈、签订及履行,其在犯罪中所起作用较大,在本案中亦应认定为直接负责的主管人员,属于主犯。
被告人揭宇飞作为资源平台部总监,负责数据堂购入原始数据的接收,其所在的部门负责将数据堂购入的含有手机号码等敏感数据的公民个人信息数据发送到公司集群上,并安排手下将手机号码等敏感数据用SID替换、开发数据交付系统的加密和解密程序,并在被告人胡晓敏向公司报告买家出事后,仍按照公司要求,安排手下将敏感数据全部删除,因此,被告人揭宇飞在明知数据堂购入的数据中包含手机号码等公民个人信息的情况下,作为资源平台部总监负责接收数据并对数据进行处理,其行为对于犯罪活动顺利完成提供了帮助,起到了一定的作用,应认定为其他直接责任人员,属于从犯。
被告人吴志浩作为营销产品部下设的技术组负责人,负责对资源平台部放置到公司集群中的数据,根据手机用户的兴趣、爱好打标签,客户如有需要,产品组直接在集群中提取相关数据。在明知数据堂购入的数据包括手机号码等敏感数据的情况下,其仍安排人对数据打标签,加工数据产品,其行为对于犯罪活动顺利完成提供了帮助,起到了一定的作用,应认定为其他直接责任人员,属于从犯。
被告人李洪亮作为金融产品线员工,在数据堂公司与买家最初接触过程中,代表公司最早负责与对方对接、沟通、洽谈,并代表公司签订了第一份数据许可协议,其行为对于犯罪活动顺利完成提供了帮助,起到了一定的作用,应认定为其他直接责任人员,属于从犯。
被告人李志亮是产品组工作人员,负责和买家进行数据对接,在两份数据协议的履行过程中,负责将买家的数据需求发送给被告人吴志浩所在的技术组,技术组提取完成数据产品后,其负责发送数据,其行为对于犯罪活动顺利完成提供了帮助,起到了一定的作用,应认定为其他直接责任人员,属于从犯。
二审关于部分上诉理由的认定
上诉中,多名被告人分别根据自己的实际工作内容、职级提出了上述理由。
柴银辉上诉称:其对其中一份合同的签署并不知情,对另一合同仅系监管失察,且在合同履行过半时就已将相关管理职责交予他人,不应对该合同承担全部责任。
法院认为:柴银辉虽未直接审批相关合同,但是其作为公司总办成员,参加月度分析会听取业务进展情况,作为数据堂公司COO,负责公司的整体运营,且分管营销产品线,仍应对该合同承担相应的主管责任。
胡晓敏上诉称:其其职务职级低,无法对相关合同的签订产生主要作用和影响,只是在履行职务行为时被裹挟参与犯罪,并不是犯罪的主导者和决策者,不应将其认定为直接负责的主管人员,公司法人及其他主管总裁应当承担主管人员责任,而其属于从犯,一审量刑过重。
法院认为:胡晓敏作为产品部经理和营销产品部副总监,不仅其所管理的部门负责对数据进行对接、加工和提取,其本人也在签订第二份数据协议时负责协调和洽谈,应当认定其为直接负责的主管人员,其在数据堂公司售卖公民个人信息的过程中深度参与,积极促成合作并起主要作用,依法应当认定为主犯。
揭宇飞上诉称:其负责的资源平台部仅负责解决公司的公共技术问题,不参与实际业务,对公司和他人侵犯公民个人信息的行为并不知情,且其所做工作未超出公司赋予的职权范围,都来源于上级的直接安排,不应担责。
法院认为:揭宇飞作为资源平台部的负责人,参加公司的月度分析会,对公司售卖公民个人信息的行为应当知情。虽然揭宇飞的工作来自于上级领导的安排,但其在明知公司售卖公民个人信息的情况下仍积极参与,对包含手机号码的数据进行接收,安排下属编写数据加密、解密程序以及数据交付系统,在案发后还安排下属删除数据,以毁灭罪证,掩盖犯罪事实,其行为对数据堂公司售卖公民个人信息犯罪活动的顺利完成提供了帮助,应当认定为其他直接责任人员。
李志亮上诉称:其系产品组最底层工作人员,仅负责与买家对接数据需求,该工作环节在整个犯罪过程中作用不大,且相关数据由系统自动发送,其并未参与发送数据的行为,也并不知发送的数据中包含公民个人信息,不应担责。
法院认为:李志亮负责的数据对接工作,是完成数据堂公司售卖公民个人信息数据犯罪活动中不可或缺的重要环节,应当将其认定为其他直接责任人员。
虽然数据最终是通过交付系统自动发送,但是数据从集群中提取出之后并非即时自动发送,而是由产品组人员上传至数据交付系统进行发送,有证据证明由李志亮负责上传、交付数据的过程。李志亮不仅接收买家的数据需求,而且积极实施发送数据的行为,应当知道出售的数据中包含公民个人信息。
最终,二审法院对所有上诉理由和辩护意见均未采纳。
要点总结
通过两审法院对相关事实的认定可以看出,当企业员工遭遇刑事追诉时,对其个人犯罪事实和刑事责任的判定,大致遵循以下原则:
第一,职位越高,责任越大。
被告人在企业中的职级以及具体分管的业务,直接决定了法院如何认定其在犯罪行为中所实际发挥的作用,即使存在高管被告人向下级授权、其并不具体实施犯罪行为的情况,此时法院依然会认为高管被告人对相关犯罪事实”应当知道“,因而并不能免除其所应当承担的主管责任。
第二,岗位性质中立不必然意味着员工行为中立。
法律所规范的永远是由具体人作出的具体行为。本案中,被告人吴志浩的角色为数据处理这一纯粹技术性岗位,因此其从事技术性工作行为本身不具有违法性。
侵犯公民个人信息罪属于故意犯罪,若法院基于在案证据认定被告人知道或应当知道其所从事的技术工作属于犯罪行为的一部分,那中立性的技术工作便同时成为主犯犯罪的帮助行为,这种情况下,技术岗位员工当然应负刑事责任。
第三,职务行为不能免除刑责。
在民事侵权领域,对于雇员在执行职务行为时发生的侵权行为,应当由其雇主承担无过错的替代责任。这既是为了保障受害人能够得到充分的赔偿,也是为了保护雇佣关系的稳定。
但在刑法领域,对任何犯罪行为都会直接追究行为人的刑事责任,若存在诸如教唆、帮助等其他辅助行为人的行为,亦会追究相关行为人的责任——不仅不存在任何形式的“替代责任”,恰恰相反,任何为嫌疑人开脱的顶替行为本身,亦涉嫌触犯窝藏、包庇罪或掩饰、隐瞒犯罪所得、犯罪所得收益罪等犯罪。
第四,法律认识错误不能逃脱刑责。
在有些情况下,被告人会声称不知道自己的行为触犯刑法,这种情况被称为“法律认识错误”——在我国,这种情形并不影响对被告人的定罪量刑。整个刑事诉讼的核心是证据,而且用以证明被告人有罪的证据只有形成完整证据链、达到“排除合理怀疑”的地步,方能宣判被告人有罪。从这个标准来看,一个人是否知晓法律的规定,是一件永远不可能被证明或证伪的事情。
而遵照“严格的罪刑法定”这一根本精神,在被告人不符合《刑法》所规定的不负刑事责任的情形下,为自己的行为承担刑事责任也是毫无疑问的。
法律规定及裁判文书 :①最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释https://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170509_190088.shtml②常凯、颜兴旺侵犯公民个人信息二审刑事判决书//wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=58fbc23b76ab4a4c9bcdaa220187e937