【案件概况】
魔蝎科技成立于2016年,是国内领先的大数据智能风控服务供应商,为2000多家银行、消费金融、保险、互联网金融等客户提供精准营销评分模型、反欺诈、多维度用户画像、授信评分、贷后预警、催收智能运筹等全面风险管理服务。
魔蝎科技会将其开发的前端插件嵌入网贷平台A**中。网贷平台用户使用网贷平台的App借款时,需要在魔蝎科技提供的前端插件上输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码。
经过用户授权后,魔蝎科技的爬虫程序即代替用户进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。
尽管魔蝎科技在和个人贷款用户签订的《数据采集服务协议》中明确告知,“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但其仍在服务器上采用技术手段长期保存用户各类账号和密码。截至2019年9月案发时,以明文形式非法保存的个人贷款用户各类账号和密码条数多达2000万余条。
【辩护要点】
一、从犯罪对象上看,涉案被储存的用户账号密码系“缺失的公民个人身份信息”
根据相关司法解释,公民个人信息的范围,必须要达到“识别/反映特定自然人”的功能,否则只是公民个人其他信息,或者称为“缺失的公民个人信息”。而本案中,如果不结合实时验证码,仅凭借账号和密码,即便是平台方也无法识别客户端操作方是否系平台特定的注册用户,更何况,仅凭借云端明文形式记载的账号密码,更无法识别到特定的公民。
二、从主观上看,周某某、袁某等均无侵犯公民个人信息的主观故意,本案最多系过失行为
从技术层面上看,袁某已经尽可能采取了避免留存客户信息的手段和措施,但仍旧因疏忽大意,而导致程序出现了BUG,行为人的罪过最多能被评价为疏忽大意的过失。
从证据层面上看,涉案留存在阿里云的账号密码,并未被使用,或者外泄,在案多位公司员工及嫌疑人周某某、袁某,均供述对于留存相关账号密码事件不知情。留存该类账号密码对于公司而言也无实际上的商业价值,亦可以确认魔蝎公司对于留存账号密码并不明知,系为过失所致。
三、退一步而言,即便要对周某某、袁某二人的涉案行为追究刑事责任,魔蝎公司也不应该承担刑事责任
在案证据显示,魔蝎公司完全反对留存用户账号密码。第一,公司多次开会讨论,并指派技术部门筛查、修改代码,删除已留存的用户信息;第二,关注侵犯公民个人信息的国家政策,并聘请专业律师团队为公司的业务做风险评估,并定期为公司提示政策与法律风险,督促公司整改业务;第三,公司管理层均不清楚公司有留存用户的账号密码,且储存在阿里云的该部分内容均未被二次使用过。因此不符合单位犯罪中“在单位意志的支配下”这一要件。
【案件结果】法院判处魔蝎公司罚金3000W,对CEO周某,CTO袁某均判处有期徒刑三年,缓刑三年。
【办案律师】上海靖予霖律师事务所副主任兼合伙人会议主席孙建保、网络犯罪研究与辩护部主任陈沛文