原创 | 盗窃企业技术代码行为的刑事责任分析

计算机系统已经成为企业开展商业活动不可缺少的组成部分,企业通过技术手段记录并存储商业信息、用户信息等等,企业技术代码由此具有很强的经济价值,可以说掌握了企业的技术代码等信息几乎就等于掌握了企业的命脉。但同时,一些不法分子通过技术手段侵入企业系统获取信息并进行牟利,比如盗窃技术代码、篡改信息等犯罪行为时有发生。如何构建企业技术安全与保护生态,以及防范技术犯罪风险成为亟待解决的问题。笔者以近期发生的一起盗窃企业技术代码犯罪活动为例,对以技术手段获取企业技术信息的犯罪行为进行分析。

原创 | 盗窃企业技术代码行为的刑事责任分析

计算机系统已经成为企业开展商业活动不可缺少的组成部分,企业通过技术手段记录并存储商业信息、用户信息等等,企业技术代码由此具有很强的经济价值,可以说掌握了企业的技术代码等信息几乎就等于掌握了企业的命脉。但同时,一些不法分子通过技术手段侵入企业系统获取信息并进行牟利,比如盗窃技术代码、篡改信息等犯罪行为时有发生。如何构建企业技术安全与保护生态,以及防范技术犯罪风险成为亟待解决的问题。笔者以近期发生的一起盗窃企业技术代码犯罪活动为例,对以技术手段获取企业技术信息的犯罪行为进行分析。

1

案情概要

2018年7月25日,海淀分局警务支援大队接到辖区内某科技公司报案称:2018年3月14日,其公司员工陈某等人违反公司规定,私自开通公司多个重要技术项目权限,下载公司独立开发的三个项目源代码并倒卖非法牟利。陈某系该科技公司原运维主管,在职期间陈某通过非法手段提高自己系统操作权限,从而获取大量自己本无权限接触到的核心代码,并通过自己的账号进行下载,离职后将代码带出又倒卖获利。

专案组民警通过梳理该科技公司系统的电子日志发现,曾有人在未经授权的情况下擅自登录后台数据库,对一个账号进行非法权限提高并通过该非法提权的账号下载了多个公司的核心数据。通过对电子证据的分析梳理,锁定了涉案嫌疑人为该公司前运维主管陈某,陈某在下载代码后伙同他人将其非法出售牟取巨大利益。嫌疑人陈某交代,自己受公司主管孙某某授意,为了获取更大的利益,在离职前夕,通过非法提权盗取公司数据,而后倒卖他人八百万元。经鉴定,陈某伙同孙某某非法出售的代码与公司源代码认定同一,公安机关认定其行为构成非法获取计算机信息系统数据罪。后嫌疑人孙某某因涉嫌侵犯著作权罪被海淀检察院批准逮捕。

2

刑事责任分析

对于上述类型的计算机犯罪行为,行为人可能涉嫌构成的犯罪主要包括盗窃罪、侵犯商业秘密罪、非法获取计算机信息系统数据罪、侵犯著作权罪。根据刑法理论,认定行为人行为是构成一罪还是数罪,依据的标准是犯罪构成要件,也就是说,行为人的定罪标准仍应取决于行为人具体行为认定。

1.    盗窃罪认定标准

盗窃罪的成立在该案中重点涉及犯罪客体的标准认定,目前我国关于网络盗窃刑法学界和实务界尚未形成统一的界定。结合司法实践的具体案件,网络盗窃主要涉及如下几类对象:

(1)与计算机信息系统安全相关的数据中用于认证用户身份的身份认证信息。此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息的活动。

(2)网络金融服务以外的身份认证信息。对于网络金融服务以外的其他网络服务,如网络即时通讯、网络邮箱等。

(3)游戏装备等网络虚拟财产。但是,无论针对何种对象,只要通过侵入计算机信息系统或者采用其他技术手段,非法获取他人计算机信息系统数据的行为,都可以称之为网络盗窃。根据刑法规定盗窃罪指盗窃公私财物或盗接他人通信线路,该案中嫌疑人涉及网络盗窃的是计算机数据代码,对于代码是否能认定为财物需在审判中进一步确定。

2.     侵犯商业秘密罪认定标准

根据《刑法》规定,侵犯商业秘密罪在客观方面表现为违反国家反不正当竞争法及有关法律法规的规定,侵犯商业秘密,给商业秘密的权利人造成重大损失的行为。该行为实际上属于侵犯知识产权类型犯罪。具体来说:

(1)客观上实施了侵犯商业秘密的行为。其中商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。侵犯商业秘密的行为包含以下四种情况,即:

1)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的。实务中,盗窃指以非法占有为目的,窃取他人所有、不为公开的商业秘密的行为;利诱指以金钱、物质或其它利益为诱饵使掌握商业秘密的非权利人向其泄露商业秘密,包括对权利人的雇员、代理人或其他知悉该商业秘密的人员进行财产利益的诱惑;胁迫指对掌握商业秘密的人进行生理、心理等方面的恐吓、威胁,以达到精神上的强制,使掌握商业秘密的人向其告知商业秘密。

2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的。其中,所谓披露指将获取的他人的商业秘密向权利人以外的第三人泄露,采取的方式多种多样,如口头、书面,或通过新闻媒体向社会公开等;使用、允许他人使用则是指行为人出于不正当竞争或非法获利的目的,将获得的商业秘密用于自己的生产、经营活动或授权给他人使用。

3)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。实施本款行为的主体主要包括有权知悉此类商业秘密的人员,但未尽到法定或约定的保密义务,主要包括企业内部的工作人员,离退休人员以及与权利人订有保守商业秘密协议的合作伙伴、代理商等。

4)明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论。这种情况下,行为人不是直接从商业秘密权利人处获得商业秘密,而是明知或应知向其传授商业秘密的人具有上述违法行为,却仍获取、使用或披露他人的商业秘密。

(2)给权利人造成重大损失。这里所说的“重大损失”,是指经济方面的损失,包括盈利的减少、亏损的增加、减少在竞争中优势、导致权利人的破产等。根据《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》中的损失认定标准,给商业秘密权利人造成直接经济损失数额在50万元以上的属于重大损失。

综上,在对行为人的行为是否构成侵犯商业秘密罪的认定中,应重点考虑以下因素:(1)行为人是否有权利、有正当理由知悉该商业秘密,比如合作、雇佣、公司行为等;(2)行为人是否明知或者应知其保密注意义务;(3)权利人遭受的“重大损失”与行为人所实施的行为之间是否具有因果关系。如果行为人实施了侵犯商业秘密的行为,但该行为本身未对权利人造成重大损失的,则不构成侵犯商业秘密罪。

3.     非法获取计算机信息系统数据罪的认定标准

非法获取计算机信息系统数据罪的成立应当重点认定“侵入”行为是否完成。具体来说,该侵入是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。

本案中,嫌疑人在未经授权的情况下擅自登录后台数据库,对一个账号进行非法权限提高并通过该非法提权的账号下载了多个公司的核心数据,该行为明显超出正常授权范围,属于侵入计算机信息系统的行为。

4.     侵犯著作权罪的认定标准

独创性计算机软件著作权归属自动取得和登记取得。在中国,按照著作权法规定,作品完成就自动有版权。独创性计算机源代码作品著作权实行自愿登记,不论是否登记,作者或其他著作权人依法取得的著作权不受影响。

本案中,著作权人对计算机内的数据及代码享有著作权,嫌疑人非法窃取代码后并出售,且非法出售的代码与公司源代码认定同一,事实上已经侵犯了著作权人对代码享有的著作权。

对于行为人的具体罪名的认定,取决于案件中犯罪对象、损失程度、证据链等综合因素认定。但对企业来说,企业技术秘密、商业信息的保护至关重要,一旦疏忽可将成果毁于一旦。企业应尽早建立内部信息管理保护制度,并从企业商业秘密范围、加强保护体系及合规审查等方面考虑,维护自身合法权益。

附:相关法律规定

根据我国目前的法律规定,盗窃代码的违法行为在定罪上可能涉及以下罪名及法律规定:

1.   盗窃罪

   《刑法》第二百六十四条规定:盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。

   《刑法》第二百六十五条规定:以牟利为目的,盗接他人通信线路、复制他人电信码号或者明知是盗接、复制的电信设备、设施而使用的,依照本法第二百六十四条的规定定罪处罚。

2.   侵犯商业秘密罪

   《刑法》第二百一十九条 有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金:

(一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的;

(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;

(三)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。

  明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论。

  本条所称商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。

  本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。

3.   非法获取计算机信息系统数据罪

    《刑法》第二百八十五条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

4.   侵犯著作权罪

   《刑法》第二百一十七条:侵犯著作权罪是指以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金:

(一)未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;

(二)出版他人享有专有出版权的图书的;

(三)未经录音录像制作者许可,复制发行其制作的录音录像的;

(四)制作、出售假冒他人署名的美术作品的。

原创 | 盗窃企业技术代码行为的刑事责任分析

  

作者:陈云峰律师

中伦文德律师事务所高级合伙人

互联网金融专业委员会主任

擅长互联网金融、区块链、争议解决业务。

小编:马珂、胡丹

原创声明:本文为中伦文德互联网金融律师团队原创文章,如需转载请联系后台,我们保留追究法律责任的权利。

生成图片
7

发表评论

原创 | 盗窃企业技术代码行为的刑事责任分析

星期日 2018-11-11 18:25:48

原创 | 盗窃企业技术代码行为的刑事责任分析

计算机系统已经成为企业开展商业活动不可缺少的组成部分,企业通过技术手段记录并存储商业信息、用户信息等等,企业技术代码由此具有很强的经济价值,可以说掌握了企业的技术代码等信息几乎就等于掌握了企业的命脉。但同时,一些不法分子通过技术手段侵入企业系统获取信息并进行牟利,比如盗窃技术代码、篡改信息等犯罪行为时有发生。如何构建企业技术安全与保护生态,以及防范技术犯罪风险成为亟待解决的问题。笔者以近期发生的一起盗窃企业技术代码犯罪活动为例,对以技术手段获取企业技术信息的犯罪行为进行分析。

1

案情概要

2018年7月25日,海淀分局警务支援大队接到辖区内某科技公司报案称:2018年3月14日,其公司员工陈某等人违反公司规定,私自开通公司多个重要技术项目权限,下载公司独立开发的三个项目源代码并倒卖非法牟利。陈某系该科技公司原运维主管,在职期间陈某通过非法手段提高自己系统操作权限,从而获取大量自己本无权限接触到的核心代码,并通过自己的账号进行下载,离职后将代码带出又倒卖获利。

专案组民警通过梳理该科技公司系统的电子日志发现,曾有人在未经授权的情况下擅自登录后台数据库,对一个账号进行非法权限提高并通过该非法提权的账号下载了多个公司的核心数据。通过对电子证据的分析梳理,锁定了涉案嫌疑人为该公司前运维主管陈某,陈某在下载代码后伙同他人将其非法出售牟取巨大利益。嫌疑人陈某交代,自己受公司主管孙某某授意,为了获取更大的利益,在离职前夕,通过非法提权盗取公司数据,而后倒卖他人八百万元。经鉴定,陈某伙同孙某某非法出售的代码与公司源代码认定同一,公安机关认定其行为构成非法获取计算机信息系统数据罪。后嫌疑人孙某某因涉嫌侵犯著作权罪被海淀检察院批准逮捕。

2

刑事责任分析

对于上述类型的计算机犯罪行为,行为人可能涉嫌构成的犯罪主要包括盗窃罪、侵犯商业秘密罪、非法获取计算机信息系统数据罪、侵犯著作权罪。根据刑法理论,认定行为人行为是构成一罪还是数罪,依据的标准是犯罪构成要件,也就是说,行为人的定罪标准仍应取决于行为人具体行为认定。

1.    盗窃罪认定标准

盗窃罪的成立在该案中重点涉及犯罪客体的标准认定,目前我国关于网络盗窃刑法学界和实务界尚未形成统一的界定。结合司法实践的具体案件,网络盗窃主要涉及如下几类对象:

(1)与计算机信息系统安全相关的数据中用于认证用户身份的身份认证信息。此类数据通常是网络安全的第一道防线,也是网络盗窃的最主要对象,特别是非法获取电子银行、证券交易、期货交易等网络金融服务的账号、口令等身份认证信息的活动。

(2)网络金融服务以外的身份认证信息。对于网络金融服务以外的其他网络服务,如网络即时通讯、网络邮箱等。

(3)游戏装备等网络虚拟财产。但是,无论针对何种对象,只要通过侵入计算机信息系统或者采用其他技术手段,非法获取他人计算机信息系统数据的行为,都可以称之为网络盗窃。根据刑法规定盗窃罪指盗窃公私财物或盗接他人通信线路,该案中嫌疑人涉及网络盗窃的是计算机数据代码,对于代码是否能认定为财物需在审判中进一步确定。

2.     侵犯商业秘密罪认定标准

根据《刑法》规定,侵犯商业秘密罪在客观方面表现为违反国家反不正当竞争法及有关法律法规的规定,侵犯商业秘密,给商业秘密的权利人造成重大损失的行为。该行为实际上属于侵犯知识产权类型犯罪。具体来说:

(1)客观上实施了侵犯商业秘密的行为。其中商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。侵犯商业秘密的行为包含以下四种情况,即:

1)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的。实务中,盗窃指以非法占有为目的,窃取他人所有、不为公开的商业秘密的行为;利诱指以金钱、物质或其它利益为诱饵使掌握商业秘密的非权利人向其泄露商业秘密,包括对权利人的雇员、代理人或其他知悉该商业秘密的人员进行财产利益的诱惑;胁迫指对掌握商业秘密的人进行生理、心理等方面的恐吓、威胁,以达到精神上的强制,使掌握商业秘密的人向其告知商业秘密。

2)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的。其中,所谓披露指将获取的他人的商业秘密向权利人以外的第三人泄露,采取的方式多种多样,如口头、书面,或通过新闻媒体向社会公开等;使用、允许他人使用则是指行为人出于不正当竞争或非法获利的目的,将获得的商业秘密用于自己的生产、经营活动或授权给他人使用。

3)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。实施本款行为的主体主要包括有权知悉此类商业秘密的人员,但未尽到法定或约定的保密义务,主要包括企业内部的工作人员,离退休人员以及与权利人订有保守商业秘密协议的合作伙伴、代理商等。

4)明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论。这种情况下,行为人不是直接从商业秘密权利人处获得商业秘密,而是明知或应知向其传授商业秘密的人具有上述违法行为,却仍获取、使用或披露他人的商业秘密。

(2)给权利人造成重大损失。这里所说的“重大损失”,是指经济方面的损失,包括盈利的减少、亏损的增加、减少在竞争中优势、导致权利人的破产等。根据《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》中的损失认定标准,给商业秘密权利人造成直接经济损失数额在50万元以上的属于重大损失。

综上,在对行为人的行为是否构成侵犯商业秘密罪的认定中,应重点考虑以下因素:(1)行为人是否有权利、有正当理由知悉该商业秘密,比如合作、雇佣、公司行为等;(2)行为人是否明知或者应知其保密注意义务;(3)权利人遭受的“重大损失”与行为人所实施的行为之间是否具有因果关系。如果行为人实施了侵犯商业秘密的行为,但该行为本身未对权利人造成重大损失的,则不构成侵犯商业秘密罪。

3.     非法获取计算机信息系统数据罪的认定标准

非法获取计算机信息系统数据罪的成立应当重点认定“侵入”行为是否完成。具体来说,该侵入是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。

本案中,嫌疑人在未经授权的情况下擅自登录后台数据库,对一个账号进行非法权限提高并通过该非法提权的账号下载了多个公司的核心数据,该行为明显超出正常授权范围,属于侵入计算机信息系统的行为。

4.     侵犯著作权罪的认定标准

独创性计算机软件著作权归属自动取得和登记取得。在中国,按照著作权法规定,作品完成就自动有版权。独创性计算机源代码作品著作权实行自愿登记,不论是否登记,作者或其他著作权人依法取得的著作权不受影响。

本案中,著作权人对计算机内的数据及代码享有著作权,嫌疑人非法窃取代码后并出售,且非法出售的代码与公司源代码认定同一,事实上已经侵犯了著作权人对代码享有的著作权。

对于行为人的具体罪名的认定,取决于案件中犯罪对象、损失程度、证据链等综合因素认定。但对企业来说,企业技术秘密、商业信息的保护至关重要,一旦疏忽可将成果毁于一旦。企业应尽早建立内部信息管理保护制度,并从企业商业秘密范围、加强保护体系及合规审查等方面考虑,维护自身合法权益。

附:相关法律规定

根据我国目前的法律规定,盗窃代码的违法行为在定罪上可能涉及以下罪名及法律规定:

1.   盗窃罪

   《刑法》第二百六十四条规定:盗窃公私财物,数额较大的,或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;数额巨大或者有其他严重情节的,处三年以上十年以下有期徒刑,并处罚金;数额特别巨大或者有其他特别严重情节的,处十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产。

   《刑法》第二百六十五条规定:以牟利为目的,盗接他人通信线路、复制他人电信码号或者明知是盗接、复制的电信设备、设施而使用的,依照本法第二百六十四条的规定定罪处罚。

2.   侵犯商业秘密罪

   《刑法》第二百一十九条 有下列侵犯商业秘密行为之一,给商业秘密的权利人造成重大损失的,处三年以下有期徒刑或者拘役,并处或者单处罚金;造成特别严重后果的,处三年以上七年以下有期徒刑,并处罚金:

(一)以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密的;

(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;

(三)违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。

  明知或者应知前款所列行为,获取、使用或者披露他人的商业秘密的,以侵犯商业秘密论。

  本条所称商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。

  本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。

3.   非法获取计算机信息系统数据罪

    《刑法》第二百八十五条:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

4.   侵犯著作权罪

   《刑法》第二百一十七条:侵犯著作权罪是指以营利为目的,有下列侵犯著作权情形之一,违法所得数额较大或者有其他严重情节的,处三年以下有期徒刑或者拘役,并处或者单处罚金;违法所得数额巨大或者有其他特别严重情节的,处三年以上七年以下有期徒刑,并处罚金:

(一)未经著作权人许可,复制发行其文字作品、音乐、电影、电视、录像作品、计算机软件及其他作品的;

(二)出版他人享有专有出版权的图书的;

(三)未经录音录像制作者许可,复制发行其制作的录音录像的;

(四)制作、出售假冒他人署名的美术作品的。

原创 | 盗窃企业技术代码行为的刑事责任分析

  

作者:陈云峰律师

中伦文德律师事务所高级合伙人

互联网金融专业委员会主任

擅长互联网金融、区块链、争议解决业务。

小编:马珂、胡丹

原创声明:本文为中伦文德互联网金融律师团队原创文章,如需转载请联系后台,我们保留追究法律责任的权利。