大家都明白“水至清则无鱼”的道理,互联网就像一池浑水,里面鱼龙混杂,到处充满着机遇,也常常埋着许多坑。这个行业也许已经成为屌丝逆袭的最佳选项。然而,互联网从业者也有可能成为触碰法律红线的高危人群。违法已经不是传统的偷鸡摸狗、打打杀杀,牵涉到网络安全、信息安全以及老百姓的资金安全,很容易触碰到法律底线。很多项目在几年前也许没有任何风险,或者大家都在做的,现在都可能成为被重点法办的对象。
以下内容可能比较长且枯燥,不过事关风控事宜,建议各位同行朋友们好好研读研读。
一、常见的与计算机相关的罪名有哪些?
刑法直接跟计算机相关的罪名和条款非法侵入计算机信息系统、非法获取计算机信息系统罪、非法控制计算机信息系统罪、非法获取个人公民信息罪、敲诈勒索罪、提供专门用于侵入、非法控制计算机信息系统的程序、工具罪等罪名,间接使用互联网信息技术犯罪的种类很多,在此不一一罗列。在工作和生活当中,希望从业者注意以下几个事项:
1、没有授权的前提下,不要触碰各类网站(包含企业网站),特别是国家事务、国防建设、尖端科学,政府相关网站,不要触碰ZF与国家背景企业的网站。
2、不要在不明确业务边界和责任边界的前提下,突破原有的系统权限和数据权限。
3、不要持有公民信息,不要搭建社工库,云盘、电脑、手机不要存储公民信息数据。
4、项目授权范围内做的相关工作,获取到的项目文件、商业文件、公民数据、“shell”等结果及时删除和清除。
5、写技术文章的过程中,不要过于披露涉及漏洞与通用型问题细节,不要提供工具!文章内容该模糊化的地方,要做二次处理避免被二次利用。
6、不要做漏洞、数据交易,不要在不了解对方背景情况下给“犯罪分子”提供技术思路。
二、侵犯公民个人信息罪如何解读?
侵犯公民个人信息罪出台于2015年11月1日,去年的刑法修正案(九)将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合为侵犯公民个人信息罪,扩大了犯罪主体和侵犯个人信息行为的范围。向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
(一)明确了“公民个人信息”的范围。
“公民个人信息”包括身份识别信息和活动情况信息,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
(二)明确了非法“提供公民个人信息”的认定标准。向他人出售或者提供公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。具体而言:一是“提供”的认定。在“人肉搜索”案件中,行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众,影响其正常的工作、生活秩序,危害严重。更有甚者,一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。通过信息网络或者其他途径予以发布,实际是向不特定多数人提供公民个人信息,向特定人提供公民个人信息的行为属于“提供”,基于“举轻明重”的法理,前者更应当认定为“提供”。基于此,解释规定:“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’。”二是合法收集公民个人信息后非法提供的认定。根据网络安全法的规定,经得被收集者同意,以及做匿名化处理(剔除个人关联),是合法提供公民个人信息的两种情形。基于此,解释规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”
(三)明确了“非法获取公民个人信息”的认定标准。窃取或者以其他方法非法获取公民个人信息,是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况,解释第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息”的,属于“非法获取公民个人信息”。二是根据网络安全法规定的收集、使用个人信息的规则,明确违反国家有关规定,“在履行职责、提供服务过程中收集公民个人信息”的,属于“非法获取公民个人信息”。
(四)明确了侵犯公民个人信息罪的定罪量刑标准。侵犯公民个人信息罪的入罪要件为“情节严重”。根据法律精神,结合司法实践,解释第五条第一款设十项对“情节严重”的认定标准作了明确规定,大致涉及如下五个方面:一是信息类型和数量。公民个人信息的类型繁多,行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、交易信息等公民个人敏感信息涉及人身安全和财产安全,被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。基于不同类型公民个人信息的重要程度,解释分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准,以体现罪责刑相适应。二是违法所得数额。出售或者非法提供公民个人信息往往是为了牟利,基于此,解释将违法所得五千元以上的规定为“情节严重”。三是信息用途。被非法获取、出售或者提供的公民个人信息,用途存在不同,对权利人的侵害程度也会存在差异。基于此,解释将“非法获取、出售或者提供行踪轨迹信息,被他人用于犯罪”“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”规定为“情节严重”。四是主体身份。公民个人信息泄露案件不少系内部人员作案,诸多公民个人信息买卖案件也可以见到“内鬼”参与的“影子”。为切实加大对此类行为的惩治力度,解释明确,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”的,认定“情节严重”的数量、数额标准减半计算。五是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的,行为人屡教不改、主观恶性大,解释将其也规定为“情节严重”。
在此基础上,解释第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准,也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确,主要涉及如下两个方面:一是数量数额标准。根据信息类型不同,非法获取、出售或者提供公民个人信息“五百条以上”“五千条以上”“五万条以上”,或者违法所得五万元以上的,即属“情节特别严重”。二是严重后果。解释将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”。
(五)明确了为合法经营活动而非法购买、收受公民个人信息的定罪量刑标准。从实践来看,非法购买、收受公民个人信息从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,解释第六条专门针对此种情形设置了入罪标准,规定为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有下列情形之一的,应当认定为“情节严重”:(1)利用非法购买、收受的公民个人信息获利五万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的;(3)其他情节严重的情形。
(六)明确了设立网站、通讯群组侵犯公民个人信息行为的定性。实践中,一些行为人建立网站、通讯群组供他人进行公民个人信息交换、流转、销售,以非法牟利。根据刑法第二百八十七条之一的规定,设立用于实施违法犯罪活动的网站、通讯群组,情节严重的,构成非法利用信息网络罪。经研究认为,供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。因此,解释第八条规定:“设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组,情节严重的,应当依照刑法第二百八十七条之一的规定,以非法利用信息网络罪定罪处罚;同时构成侵犯公民个人信息罪的,依照侵犯公民个人信息罪定罪处罚。”
(七)明确了拒不履行公民个人信息安全管理义务行为的处理。当前,不少网络运营者因为履行职责或者提供服务的需要,掌握着海量公民个人信息,这些信息一旦泄露将造成恶劣社会影响和严重危害后果。对此,网络安全法明确了网络信息安全的责任主体,确立了“谁收集,谁负责”的基本原则。其中,第四十条明确规定:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”为进一步促使网络服务提供者切实履行个人信息安全保护义务,解释第九条规定:“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法第二百八十六条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚。”
(八)明确了侵犯公民个人信息犯罪认罪认罚从宽处理规则。为充分发挥刑法的威慑和教育功能,促使侵犯公民个人信息犯罪行为人积极认罪悔罪,解释第十条专门规定:“实施侵犯公民个人信息犯罪,不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。”
(九)明确了涉案公民个人信息的数量计算规则。针对公民个人信息数量“计算难”的实际问题,解释第十一条专门规定了数量计算规则。具体而言:一是公民个人信息的条数计算。解释规定:“非法获取公民个人信息后又出售或者提供的,公民个人信息的条数不重复计算。”“向不同单位或者个人分别出售、提供同一公民个人信息的,公民个人信息的条数累计计算。”二是批量公民个人信息的数量认定规则。为方便司法实务操作,解释规定:“对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。”
(十)明确了侵犯公民个人信息犯罪的罚金刑适用规则。侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。基于此,解释第十二条规定:“对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”
除了自身不要去试探触碰法律底线,我们在跟客户对接业务的时候,也要做好风险评估和控制。如前几年流行的资金盘、微交易、P2P、区块链投资等金融投资类项目,或者是利用第三方美女形象高价销售各类高暴利产品,或者是兜售各类夸大功能的保健品等,这类团队近几年来就是公安机关严打的对象,而且直接按金融诈骗、电信诈骗定罪,量刑也不低。
三、电信诈骗如何量刑?
诈骗公私财物价值三千元至一万元以上、三万元至十万元以上、五十万元以上的,应当分别认定为刑法第二百六十六条规定的“数额较大”、“数额巨大”、“数额特别巨大”。各个省的标准在上述幅度内可能稍有不同。关于诈骗罪的量刑标准:诈骗公私财物,数额较大的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。”
明知他人实施诈骗犯罪,为其提供信用卡、手机卡、通讯工具、通讯传输通道、网络技术支持、费用结算等帮助的,以共同犯罪论处。
四、帮助信息网络犯罪活动罪的设立影响有多大?
帮助信息网络犯罪活动罪是刑法修正案(九)新设立的罪名,即明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
以下内容是结合知乎某网友的解读分析作为编撰素材。
(一)处罚力度以及立法本意
刑法修正案(九)对帮助信息网络犯罪活动罪处三年以下有期徒刑或者拘役,并处或者单处罚金;法律一般来说都是滞后的,所以要不断修正,从历史的司法实践以及社会的发展层面总结经验来形成适合当下的法条;“帮助信息网络犯罪活动罪”独立入罪,其立法的本意应该是保护和鼓励互联网、电信等技术服务企业的发展,避免不恰当的扩大打击面;可能在历史的司法实践过程中,对于旧的法条生搬硬套,对某些行为的处罚过于严厉;毕竟互联网在最近20年是飞速发展的;而很多关于计算机类犯罪的法律条文是在10年,甚至20年前发布的了;
刑法原文中“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”法律上对于每个犯罪都有自己的规定,如果行为人没有深入参与他人犯罪,不应当认为构成其他犯罪。
从这方面的建议为:
1、无论是否以共同犯罪论处,如果行为人只是“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助”,没有参与别的事情,无论被帮助行为多么严重,那么处罚力度应该以“帮助信息网络犯罪活动罪”为上限;
2、假如行为人除了帮助行为意外,参与了其他事情,比如参与了诈骗,那么看其直接参与程度,比如他直接参与的诈骗行为只诈骗了被人100元,而被帮助的人诈骗别人了10万元,那也不构成诈骗罪(100元显然不构罪),不能以诈骗共同犯罪论处,不能是以10万的额度来论处,虽然是帮助行为,但是他并没有直接参与;如果以10万额度论处,则违反了立法本意;建议以其直接参与的事情的情节来处罚,对于其非直接参与的帮助行为,无论其后果多严重,不能超出本罪刑法规定的上限;
3、假如行为人除了帮助行为意外,直接参与了其他事情远重于本罪处罚力度,则择其重责罚;比如参与了诈骗,他直接诈骗了别人10万,那就以诈骗10万额度的诈骗罪处罚;
如果仅仅是本罪,那么处罚上限不能超过刑法对于本罪的规定;如果是参与了其他犯罪,如果其他犯罪中他直接参与的部分的处罚力度超越了本罪的处罚限度,则用他罪的处罚力度来处罚,如没有超越本罪的处罚力度,则择其重而罚;本罪应该是认定行为人独立犯罪或者共同犯罪的时候,对特定的行为给与一个量刑的法定建议;这应该也是立法本意。
(二)关于明知和认知程度
“帮助信息网络犯罪活动罪”只有明知才构成犯罪,在之前的各个司法解释上也是说,明知才是构成要件。现实中可能存在很多情况;举个栗子:A是服务器提供商,B租用A的服务器,B做了一个猜大盘涨跌或免费领红包或倒卖数据的网站;B的这个网站可能会被用于赌博、诈骗或者侵犯公民个人信息;
1、B租用的时候明确告诉A,自己就是用来诈骗或赌博的;A还给B提供服务;
2、B租用的时候没告诉A其用途,A自己也没有发现;A给B提供服务;
3、B租用的时候没告诉A其用途,A看见了B的网站,但A并没有察觉B的网站违法或犯罪,A从自己的认知角度觉得B网站是正常的;
4、B租用的时候没告诉A其用途,但A看见了B的网站,A知道B网站的功能,但是并不知道B用来违法犯罪,A继续提供服务;
5、B租用的时候没告诉A其用途,但A看见了B的网站,A认识到这B可能会是违法的,A继续提供服务;
6、B租用的时候没告诉A其用途,但A看见了B的网站,A认识到这B是违法的,A继续提供服务;
7、B租用的时候没告诉A其用途,但A看见了B的网站,A认识到这B是犯罪的,A继续提供服务;
8、B租用的时候告诉A是正当用途,A看见了B的网站,A认识到这B是犯罪的,A继续提供服务;
9、B租用的时候告诉A其是正当用途,A并不知道或者知道了但是没有意识到B的行为是犯罪,A继续提供服务;
从这方面的建议为:
现实中可能还有其他各种情形,为避免扩大打击面,建议只有当1、7、8的时候可以认为是故意犯罪。上面的2、3、4、5中行为人的主观恶性几乎是没有的,6是采取了一种无所谓的态度,可以看其产生的后果来处罚,但是力度应该要远小于1、7、8;如果A认识到B犯罪的时候,A停止了帮助行为,A不应该认为是犯罪。
利用信息网络犯罪的行为可能有千万种,由于每个人对事物的认知程度不同,法律不应该苛求广大的普通互联网企业和互联网从业者来100%辨别他人的行为是否构成犯罪。建议只有当确定明知他人犯罪而帮助的时候才认定本罪成立;或者说普通人所熟知的一些犯罪行为。
(三)情节严重的程度
“帮助信息网络犯罪活动罪”只有情节严重才构成犯罪,什么属于情节严重?这些也需要结合实际情况考虑;
1、涉案金额?
“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助”,能提供这些帮助行为的公司本身其成本就很高,机房、服务器、研发成本可能动则数万、数十万、甚至上百万;如果以涉案金额计,应该计其利润,而不应当把成本也算进去;并且金额的幅度不应该特别小,服务器什么的本身都挺贵的;如果以数千或者数万计,那可能也会打击面特别广;
2、被帮助人数?
3、造成后果?
如果被帮助人没有构成犯罪,那么行为人也不应该被追究责任;
3、社会影响?
(四)初犯从宽
可以仿照最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释:
第十条实施侵犯公民个人信息犯罪,不属于“情节特别严重”,行为人系初犯,全部退赃,并确有悔罪表现的,可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
为了避免扩大打击面,并且由于每个人对事物的认知程度不同,法律不应该苛求广大的普通互联网企业和互联网从业者来100%辨别他人的行为是否构成犯罪,本罪应该也有个类似的解释,如果行为人是系初犯,全部退赃,并确有悔罪表现可以认定为情节轻微,不起诉或者免予刑事处罚;确有必要判处刑罚的,应当从宽处罚。
遵纪守法是我们每位公民应尽的义务和做人的底线。互联网绝非法外之地,随着国家法治建设的不断深化和健全,懂法并守法,是我们互联网人能够更加安全、更加长久地从事互联网营业活动的根本。