華為員工利用職務之便非法獲取數據信息售賣第三方被判刑
易某于2006年12月至2018年3月期間在華為技術有限公司(以下簡稱華為公司)任職。因工作需要,易某擁有登錄華為公司企業資源計劃(ERP)系統的權限,可以查看工作范圍內相關數據信息。
華為公司禁止員工私自在ERP系統查看、下載非工作范圍內的電子數據信息。
2010年12月,易某從華為公司線纜物控部調任后,未按華為公司的要求將ERP賬戶線纜類編碼物料價格的查詢權限清理,至2017年底,易某違反規定多次通過越權查詢、借用同事賬號登錄的方式在ERP系統內獲取線纜物料的價格信息。
2017年以后,易某發現ERP系統中的POL采購小程序存在漏洞,能通過特定操作繞過權限控制查看系統數據,便以此方式獲取線纜物料的價格信息。
易某將非法獲取的價格數據以發短信、打電話、發電子郵件的方式告知深圳市金信諾高新技術股份有限公司(華為技術有限公司的供應商,以下簡稱金信諾公司),從而幫助金信諾公司在華為公司的招標項目中提高中標率。
經查,易某在2016年12月27日至2018年2月28日期間,多次通過郵箱xxx@huawei.com”將華為公司多個供應商共1183個(剔除重復部分共918個)線纜類編碼物料的采購價格發送給金信諾公司。
經查,易某在2012年至2017年6月30日期間,收受金信諾公司購物卡共計7000元、籃球鞋5雙(價值共計人民幣16437.6元)。
另查明,案發后,華為公司出具諒解書,表示對易某侵害華為公司的行為予以諒解。
一審裁定:
易某違反國家規定,侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或采用其他技術手段,獲取計算機信息系統中存儲、處理或者傳輸的數據,情節嚴重,其行為已構成非法獲取計算機信息系統數據罪。公訴機關指控的罪名成立。易某歸案后如實供述,當庭認罪認罰,取得被害單位的諒解,系初犯,原審予以從輕處罰。依照《中華人民共和國刑法》第二百八十五條第二款、第五十二條、第五十三條第一款、第六十四條、第六十七條第三款之規定,判決:
一、易某犯非法獲取計算機信息系統數據罪,判處有期徒刑一年,并處罰金人民幣二萬元;
二、繼續向易某追繳違法所得共計人民幣23437.6元,依法予以沒收,上繳國庫。
易某上訴
請求撤銷原審判決,并依法改判為免于刑事處罰。
主要理由為:
1、其行為是否構成非法獲取計算機信息系統罪存有爭議,應疑罪從無,判處其免予刑事處罰。首先其主觀上沒有犯罪故意;其次其違規獲取的僅是計算機系統中儲存的設備材料歷史價格的電子信息,并不是本罪法條所規定的系統數據。
2、其并未采用技術手段非法侵入華為公司的信息系統,其實質為利用工作便利、權限及公司小程序的漏洞,獲取相關信息,且并未給華為公司造成實際損失。
3、其系初犯、偶犯,犯罪情節較為輕微,未造成惡劣的社會影響或重大損失。
4、華為公司出具了諒解書,依法應當對其從輕處理,但原審未考慮該重要情節。
其辯護人的意見為:1.本案上訴人行為實則更符合侵犯商業秘密罪的構成,但基于其行為輕微,尚不足以構成侵犯商業秘密罪,疑罪從無,判處免于刑事處罰更適宜。2.上訴人并未采用技術手段非法侵入華為公司信息系統,且并未給華為公司造成實際的損失。3.上訴人系初犯、偶犯,行為情節比較輕微,其對錯誤行為已進行深刻反省。4.華為公司混亂粗放的管理制度,以及ERP系統中POL采購小程序的缺陷,使得上訴人犯下錯誤,也負有一定責任。5.華為公司已出具對上訴人的諒解書。
二審裁定:
關于易某的行為是否構成非法獲取計算機信息系統數據罪的問題,易某本人認為其是否構成本罪存有爭議,其辯護人認為易某的行為更符合侵犯商業秘密罪的構成,經查,根據最高人民檢察院公布的第九批指導性案例(檢例第36號-衛某某、龔某、薛某某非法獲取計算機信息系統數據案),非法獲取計算機信息系統數據罪中的“侵入”,是指違背被害人意愿、非法進入計算機信息系統的行為,其表現形式既包括采用技術手段破壞系統防護進入計算機信息系統,也包括未取得被害人授權擅自進入計算機系統,還包括超出被害人授權范圍進入計算機信息系統。易某從華為公司線纜物控部調任后,按照公司規定,其已不具有在ERP系統查看相關電子數據信息的權利,其超出授權范圍登陸該系統,并利用系統中POL采購小程序存在的漏洞,獲取線纜物料價格信息的行為,屬于侵入計算機信息系統的行為。易某非法獲取計算機信息系統數據,違法所得超過人民幣5000元,屬于情節嚴重,已經構成非法獲取計算機信息系統數據罪。其本人及辯護人的相關意見不成立,法院不予采納。
法院認為,上訴人易某違反國家規定,侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或采用其他技術手段,獲取計算機信息系統中存儲、處理或者傳輸的數據,情節嚴重,其行為已構成非法獲取計算機信息系統數據罪。其在一審階段認罪認罰,且華為公司出具了諒解書,一審判決已對其從輕處罰,其上訴請求再予以從輕處罰缺乏事實和法律依據,法院不予采納。
綜上,原審判決認定事實清楚,證據確實充分,定罪準確,量刑適當,審判程序合法。依照《中華人民共和國刑事訴訟法》第二百三十六條第一款第(一)項之規定,裁定如下:
駁回上訴,維持原判。
判刑解讀:
所謂非法獲取計算機信息系統數據罪,是指違反國家規定,侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統,或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據的行為。
按照《刑法》規定,實施上述行為,情節嚴重的處三年以下有期徒刑或者拘役,并處或單處罰金;情節特別嚴重的,處三年至七年有期徒刑,并處罰金。
需要注意的是,并非只要獲取了他人計算機內的信息數據就構成本罪,要構成本罪的前提是具有違反規定進入計算機信息系統或者非法侵入計算機的行為。上述案件中,華為員工易某正是利用了ERP系統中的POL采購小程序漏洞,繞過了權限控制查看系統數據,并販賣該數據從而獲取非法利益。
按照相關司法解釋的規定,獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的,或者獲取上述以外的身份認證信息五百組以上的,或是違法所得五千元以上或者造成經濟損失一萬元以上的即屬于情節嚴重,需要判處刑罰。數量或者數額達到前束五倍以上的,則屬于情節特別嚴重,最高可以判處七年有期徒刑。
