最高检在近期公布的有关个人信息和数据安全两大典型案例中,一是利用网络非法买卖他人实名微信号,二是离职人员远程登录科技公司服务器删除数据。微信账号等社交账号大多与特定自然人的身份信息、手机号码、银行账户等关联绑定,是公民个人信息的重要载体。对非法购买、出售公民实名认证微信账号的违法犯罪行为应当予以严惩。
随着信息网络技术的发展,储存在手机、电脑、服务器中的数据信息成为公司重要财产。科创企业应当建立严密的网络数据安全保护体系、完善的网络数据安全合规制度,加强对数据信息的制度管理和技术防护。
黄某某侵犯公民个人信息案
——利用网络非法买卖他人实名微信号
基本案情
2021年1月至2022年8月间,黄某某为谋取非法利益,通过境内及境外聊天软件等网络途径,发布收购微信账号广告,以每个70元至400元不等的价格向社会不特定人群购买实名认证的微信号,并向卖家谎称已注销实名认证信息。后加价将上述含有公民个人信息的微信号批量出售给他人。经查,黄某某合计买卖微信号1300余个,违法所得30余万元,个人非法获利14万余元。
检察履职
本案由浙江省嘉兴市公安局南湖区分局立案侦查。2023年1月13日,公安机关以黄某某涉嫌侵犯公民个人信息罪移送嘉兴市南湖区检察院审查起诉。检察机关针对黄某某自称从2022年2月才开始买卖微信号、实际卖出仅200多个、获利仅2万元等辩解,引导公安机关补充勘验作案手机和调取卖家证言,完整提取电子数据,夯实指控犯罪证据基础。经充分梳理分析聊天记录和账户资金交易明细,结合其供述及证人证言,进一步查明黄某某非法买卖微信号的时间、数量和获利金额等事实。同时,针对黄某某辩称部分微信号已解除实名绑定,检察机关引导侦查人员进行验证,确认其出售的微信号实名认证并未注销。后黄某某认罪认罚,并退缴违法所得20万元。
2023年6月30日,嘉兴市南湖区检察院以黄某某犯侵犯公民个人信息罪向南湖区法院提起公诉;7月12日,检察机关提起附带民事公益诉讼,按照其非法获利确定侵权赔偿数额,请求判令黄某某承担十四万元民事赔偿责任。
2024年1月23日,南湖区法院当庭作出判决,以侵犯公民个人信息罪判处黄某某有期徒刑三年,缓刑三年六个月,并处罚金三十万元;判处附带民事公益诉讼被告黄某某支付赔偿款十四万元。黄某某未上诉,判决已生效。
典型意义
(一)依法严惩侵犯公民个人信息犯罪,保护人民群众隐私安全。
公民实名认证的微信号通过网络非法买卖,往往成为电信网络诈骗等犯罪的工具,既侵害公民个人信息安全,也对公民财产安全带来风险和隐患,具有严重社会危害。检察机关要依法能动履职,注重全面收集、审查和运用证据,通过查明侵犯公民个人信息的数量、非法获利等事实,依法严惩犯罪。
(二)刑事追责和公益诉讼协同发力,强化公民个人信息全方位司法保护。
通过网络大量买卖他人实名认证微信号的行为,导致不特定多数人的人身和财产安全面临重大风险,严重侵害公民个人信息安全,损害社会公共利益,不仅应承担刑事责任,还应依法承担相应的民事赔偿责任。检察机关统筹发挥刑事追诉和民事公益诉讼职能作用,通过对侵权者追责索赔,提升打击惩治效果。
检察官提醒
微信账号等社交账号大多与特定自然人的身份信息、手机号码、银行账户等关联绑定,是公民个人信息的重要载体。对非法购买、出售公民实名认证微信账号的违法犯罪行为应当予以严惩。公民个人也要充分认识到此类行为的严重社会危害性,抵制经济利益诱惑,增强自我保护意识,坚决向网络违法犯罪说“不”。
吕某某非法控制计算机信息系统案
——离职人员远程登录科技公司服务器删除数据
基本案情
吕某某系北京某科技公司的IT高级工程师,负责该公司网络机房与服务器管理。2022年7月,吕某某从公司离职。因离职前曾与公司负责人员发生矛盾,吕某某怀恨在心。2023年5月18日晚,吕某某在家中使用其原有的管理员账号和密码,通过其本人手机登录该公司的共享服务器账户,修改管理员密码,并删除共享服务器磁盘中的数据和操作日志。2023年5月19日,北京某科技公司发现大量工作数据丢失,影响正常工作开展,后为恢复数据共计花费12万余元。
检察履职
2023年8月28日,北京市公安局昌平分局以吕某某涉嫌破坏计算机信息系统罪移送北京市昌平区检察院审查起诉。昌平区检察院受理后,通过自行补充侦查,查明吕某某删除数据的行为并未造成北京某科技公司计算机信息系统功能损坏或不能正常运行。同时,昌平区检察院积极开展追赃挽损工作,引导嫌疑人家属积极退赔被害公司损失,并取得被害公司谅解。
2023年9月27日,北京市昌平区检察院对吕某某以非法控制计算机信息系统罪提起公诉。2023年11月8日,北京市昌平区法院作出一审判决,以非法控制计算机信息系统罪判处吕某某有期徒刑三年,缓刑五年,罚金三万元。吕某某未上诉,目前判决已生效。
典型意义
(一)准确适用非法控制计算机信息系统罪,依法维护计算机信息系统安全。
吕某某对计算机信息系统存储的数据进行了删除操作,公安机关以涉嫌破坏计算机信息系统罪移送审查起诉。经补充侦查查明,吕某某删除的数据为公司共享服务器中的备份数据和操作日志,也并未对计算机信息系统的功能造成实质性破坏或者造成系统不能正常运行,不应当认定为破坏计算机信息系统罪。吕某某在离职后仍使用原有管理员账号密码非法登录原公司服务器,且修改管理员密码、删除数据,对该计算机信息系统实施非法控制,应当认定为非法控制计算机信息系统罪。
(二)全面准确贯彻宽严相济刑事政策。
该案造成的经济损失达12万余元,属于“情节特别严重”,依法应判处三年以上七年以下有期徒刑,并处罚金。吕某某到案后虽然初期不认罪,但检察机关在电子数据中发现关键证据,促使其从不认罪转变为认罪认罚,由家属代其积极赔偿被害公司的经济损失并取得谅解。吕某某系临时起意犯罪,无前科劣迹,且离职后已有新工作。综合考虑全部量刑情节,检察机关对吕某某适时开展羁押必要性审查,决定变更强制措施为取保候审,依法提出有期徒刑三年、缓刑五年,并处罚金的精准量刑建议,法院判决予以采纳。
(三)检察建议助力科创企业完善合规管理。
该案案发与被害公司在数据与网络安全管理上存在漏洞有重要关系,导致已离职员工可以使用原有账号密码登录公司服务器账户并删除数据。昌平区检察院针对这一情况,及时制发检察建议书,建议该公司建立健全网络数据安全保护体系,增强数据信息保护和网络系统安全防范能力。该公司对检察建议高度重视,迅速落实积极整改,对公司网络数据安全情况进行策略优化。
检察官提醒
员工离职时若有不满或争议,可以通过与公司协商、投诉、申请劳动仲裁、诉讼等合法途径解决,千万不能一时冲动,为泄愤删除或修改原公司数据,影响原公司生产经营活动,否则可能面临刑事处罚。
随着信息网络技术的发展,储存在手机、电脑、服务器中的数据信息成为公司重要财产。科创企业应当建立严密的网络数据安全保护体系、完善的网络数据安全合规制度,加强对数据信息的制度管理和技术防护。