【案件概况】

魔蝎科技成立于2016年，是国内领先的大数据智能风控服务供应商，为2000多家银行、消费金融、保险、互联网金融等客户提供精准营销评分模型、反欺诈、多维度用户画像、授信评分、贷后预警、催收智能运筹等全面风险管理服务。

魔蝎科技会将其开发的前端插件嵌入网贷平台A**中。网贷平台用户使用网贷平台的App借款时，需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。

经过用户授权后，魔蝎科技的爬虫程序即代替用户进入其个人账户，利用各类爬虫技术，爬取（复制）上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据，并按与用户的约定提供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔0.1元至0.3元不等的费用。

尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知，“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但其仍在服务器上采用技术手段长期保存用户各类账号和密码。截至2019年9月案发时，以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。

【辩护要点】

一、从犯罪对象上看，涉案被储存的用户账号密码系“缺失的公民个人身份信息”

根据相关司法解释，公民个人信息的范围，必须要达到“识别/反映特定自然人”的功能，否则只是公民个人其他信息，或者称为“缺失的公民个人信息”。而本案中，如果不结合实时验证码，仅凭借账号和密码，即便是平台方也无法识别客户端操作方是否系平台特定的注册用户，更何况，仅凭借云端明文形式记载的账号密码，更无法识别到特定的公民。

二、从主观上看，周某某、袁某等均无侵犯公民个人信息的主观故意，本案最多系过失行为

从技术层面上看，袁某已经尽可能采取了避免留存客户信息的手段和措施，但仍旧因疏忽大意，而导致程序出现了BUG，行为人的罪过最多能被评价为疏忽大意的过失。

从证据层面上看，涉案留存在阿里云的账号密码，并未被使用，或者外泄，在案多位公司员工及嫌疑人周某某、袁某，均供述对于留存相关账号密码事件不知情。留存该类账号密码对于公司而言也无实际上的商业价值，亦可以确认魔蝎公司对于留存账号密码并不明知，系为过失所致。

三、退一步而言，即便要对周某某、袁某二人的涉案行为追究刑事责任，魔蝎公司也不应该承担刑事责任

在案证据显示，魔蝎公司完全反对留存用户账号密码。第一，公司多次开会讨论，并指派技术部门筛查、修改代码，删除已留存的用户信息；第二，关注侵犯公民个人信息的国家政策，并聘请专业律师团队为公司的业务做风险评估，并定期为公司提示政策与法律风险，督促公司整改业务；第三，公司管理层均不清楚公司有留存用户的账号密码，且储存在阿里云的该部分内容均未被二次使用过。因此不符合单位犯罪中“在单位意志的支配下”这一要件。

【案件结果】法院判处魔蝎公司罚金3000W，对CEO周某，CTO袁某均判处有期徒刑三年，缓刑三年。

【办案律师】上海靖予霖律师事务所副主任兼合伙人会议主席孙建保、网络犯罪研究与辩护部主任陈沛文