裁判要旨

　　被告人在未经被害单位许可的情形下，利用编写的计算机程序，避开被害单位安全技术措施获取并转发地理信息数据牟利，应当认定为采用其他技术手段非法获取数据，情节严重的，构成非法获取计算机信息系统数据罪。

　　【案情】

　　2019年9月至2020年8月，被告人张某、陈某未经Q公司允许，擅自使用被告人陈某编写的XCORS.GwServer程序，通过搭建中间平台的方式，获取Q公司等精确定位差分系统的地理信息数据用于转发，从而销售CORS服务账号，实现一个Q公司账号给多个终端用户服务，销售金额为52万余元。经鉴定，XCORS.GwServer程序具有避开Q公司账号认证、位置识别、处置转发行为等安全技术措施的功能。

　　【裁判】

　　浙江省德清县人民法院经审理认为，本案中被告人张某经营的公司曾为Q公司的分销商，在明知Q公司禁止获取数据转发，且终止分销合作协议的情况下，通过被告人陈某编写的XCORS.GwServer程序，以更隐蔽的技术手段继续获取并转发Q公司的地理信息数据，属于“采用其他技术手段”获取计算机信息系统内存储、处理、传输数据的行为。被告人张某、陈某、李某采用其他技术手段，获取被害单位计算机信息系统中存储、处理或者传输的数据，情节特别严重，其行为均已构成非法获取计算机信息系统数据罪。据此，判决被告人张某有期徒刑三年六个月，并处罚金人民币十万元；判处被告人陈某有期徒刑三年，缓刑四年，并处罚金人民币八万元；判处被告人李某有期徒刑一年四个月，缓刑一年十个月，并处罚金人民币二万元；追缴三被告人共同违法所得。

　　一审宣判后，被告人张某提出上诉。湖州市中级人民法院于2021年8月17日作出（2021）浙05刑终87号刑事裁定书，裁定驳回上诉维持原判。现判决已生效。

　　【评析】

　　一、被告人非法获取数据是否违反国家规定

　　根据刑法第二百八十五条的规定，非法获取计算机信息系统数据罪的三要素分别为“违反国家规定”“侵入采取其他技术手段”“获取数据”。刑法第九十六条规定，违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定和行政措施、发布的决定和命令。刑法对“违反国家规定”界定显然是作扩大解释。网络安全法第二十七条规定，任何个人或组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。数据安全法第三十二条规定，任何组织、个人收集数据，应采取合法、正当的方式，不得窃取或者以其他方式获取数据。本案中，被告人张某等通过编写计算机程序避开被害人的安全技术措施获取数据并转发牟利，显然违反了网络安全法、数据安全法等相关法律法规的禁止性规定，构成“违反国家规定”的情形。

　　二、被告人的行为是否属于“采取其他技术手段”

　　非法获取计算机信息系统数据罪要求“侵入”或者“采用其他技术手段”获取计算机信息系统中存储、处理、传输的数据。不论是“侵入”还是“采用其他技术手段”，都要求利用一定的网络技术手段。非法获取计算机信息系统数据罪之所以要规制“侵入”和“其他技术手段”的不法行为，主要在于其非法性，这体现在未经授权或超越授权两种情形。被告人张某等辩称其虽采取了技术手段，但数据均来自于合法购买的Q公司账户，并不具有违法性。本案中，被告人获取Q公司数据的账号虽然是购买所得，但是其购买账号的目的并非基于自用，而是违反用户协议进行数据转发牟利，本质上属于窃取网络数据，只不过不同于常见的“秘密窃取”而已。此外，被告人张某等还辩称其通过调整访问策略，符合Q公司要求的规则。

　　三、被告人的行为是否危害数据安全

　　非法获取数据类犯罪，实质是对数据保密性的侵犯。按照公开程度的不同，数据大致可以分为不公开的数据，半公开的数据，公开的数据。对于不公开或者半公开的数据，权利人会对数据采用一定的保密措施，要获取该数据必须获得数据权利人授权。行为人通过侵入或者采用其他技术手段非法获取相关数据，违背了权利人的保密意思，不但对他人利益造成侵害，也会危及计算机信息系统以及数据本身的安全，可能触犯刑法。

　　四、被告人的行为是否需要刑罚进行规制

　　当一个违法行为既违反民事法律规范，又违反刑事法律规范，就会产生刑民交叉的问题。正如本案所涉及的情形，在构成民事侵权的情形下，是否需要刑事处罚进行规制。刑民交叉的案件是否需要运用刑罚予以规制，主要在于是否达到“情节严重”的判断标准。在不当行为超越“情节严重”的标准后，民事责任是否成立或者是否存在，并不影响刑事责任的规制。关于“情节严重”的判断，最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条予以了明确。本案中，被告人张某等所经营的公司原为Q公司的分销商，在作为分销商期间就存在数据转发行为，但鉴于分销系统服务协议中没有明确禁止转发行为，对该阶段转发数据的行为，公诉机关未指控为犯罪，符合刑法的谦抑性。但在Q公司发现转发数据行为，更新分销系统服务协议及用户协议，明确规定禁止转发数据，且终止被告人张某公司的分销商资格后，但被告人张某等仍继续采用技术手段获取Q公司数据并转发，显然具有非法获取数据的直接故意。Q公司为用户提供精确到厘米级别的定位数据，需要利用北斗卫星系统获取原始观测数据，建设大量的地面基站，并利用云计算技术对获取的数据进行纠偏处理，要投入大量的人力物力成本。被告人张某等通过一个账户获取定位数据，提供给多人使用的行为，对Q公司的数据权利造成实质损害，并扰乱正常的市场秩序，应当运用刑罚手段予以规制。

　　本案案号：（2021）浙0521刑初34号，（2021）浙05刑终87号