上海Z公司�����、陳某某等人
非法獲取計算機信息系統數據案
【關鍵詞】
數據合規 監督評估有效性 云聽證 行業治理
【要旨】
檢察機關針對互聯網科創企業的數據合規漏洞,深入開展社會調查,積極引導涉案企業開展數據合規����。綜合考慮涉案企業行業屬性、技術行為合規規則�����,組建獨立、專業的第三方組織��,提升涉案企業數據合規監督評估有效性���。能動創新優化合規考察模式���,在疫情期間靈活運用智慧檢務開展“云聽證”�,兼顧辦案的公開與效率����,助力復工復產�����。多措并舉推動行業治理�,促進互聯網行業建立健全數據合規經營體系���,助力構建健康清朗的網絡生態環境。
一��、基本案情
上海Z網絡科技有限公司(以下簡稱“Z公司”)成立于2016年1月,系一家為本地商戶提供數字化轉型服務的互聯網大數據公司�����。Z公司現有員工1000余人�,年納稅總額1000余萬元�,已幫助2萬余家商戶完成數字化轉型���,擁有計算機軟件著作權10余件,2020年被評定為高新技術企業��。被不起訴人陳某某����、湯某某��、王某某等人分別系該公司首席技術官、核心技術人員��。
2019年至2020年���,在未經上海E信息科技有限公司(以下簡稱“E公司”��,系國內特大型美食外賣平臺企業)授權許可的情況下����,Z公司為了以提供超范圍數據服務吸引更多的客戶,由公司首席技術官陳某某指使湯某某等多名公司技術人員�����,通過“外爬”“內爬”等爬蟲程序(按照一定的規則����,在網上自動抓取數據的程序)��,非法獲取E公司運營的外賣平臺(以下簡稱“E平臺”)數據。其中�����,湯某某技術團隊實施“外爬”�,以非法技術手段����,或利用E平臺網頁漏洞���,突破��、繞開E公司設置的IP限制��、驗證碼驗證等網絡安全措施��,通過爬蟲程序大量獲取E公司存儲的店鋪信息等數據�。王某某技術團隊實施“內爬”�,利用掌握的登錄E平臺商戶端的賬號��、密碼及自行設計的瀏覽器插件�,違反E平臺商戶端協議�����,通過爬蟲程序大量獲取E公司存儲的訂單信息等數據����。上述行為造成E公司存儲的具有巨大商業價值的海量商戶信息被非法獲取��,同時造成E公司流量成本增加��,直接經濟損失人民幣4萬余元�����。
案發后,Z公司�����、陳某某等人均認罪認罰��,Z公司積極賠償被害單位經濟損失并取得諒解�。2020年8月14日,上海市公安局普陀分局以陳某某等人涉嫌非法獲取計算機信息系統數據罪提請上海市普陀區檢察院審查逮捕�����。8月21日��,普陀區檢察院經審查認為�,陳某某等人不具有法律規定的社會危險性,依法決定不批準逮捕��。2021年6月25日����,上海市公安局普陀分局以陳某某等人涉嫌非法獲取計算機信息系統數據罪移送普陀區檢察院審查起訴。2022年5月��,普陀區檢察院依法對犯罪嫌疑單位Z公司����、犯罪嫌疑人陳某某等14人作出不起訴決定����。
二�����、企業合規整改情況及效果
一是介入偵查,把準案件定性。因本案罪名涉及專業領域���、作案手法復雜��,偵查之初��,普陀區檢察院即應公安機關邀請介入偵查�,引導取證,明確鑒定方向。一方面�����,引導公安機關固定Z公司爬蟲程序�����、云服務器電子數據�����,以查清爬蟲的運行模式����、被爬取的數據屬性等關鍵事實并加以鑒定。同時���,走訪被害企業���,深入核實被害企業數據防護措施���、直接經濟損失等���,為認定案件事實補充完善證據鏈條。另一方面���,引導公安機關在訊問時關注作案動機�����、Z公司現狀及發展前景等與企業合規相關的問題���,督促Z公司積極賠償被害企業損失�����,消除影響����,同時會同執法司法機關��、監管部門�、專家學者����,圍繞爬蟲的技術原理��、合法性邊界��、法律適用及數據合規重點����、難點��,深入開展研討交流�����,為案件定性���、開展企業合規整改奠定工作基礎�。
二是認真審查,啟動合規考察�����。案件移送審查起訴后�����,普陀區檢察院經實地走訪Z公司查看經營現狀以及會同監管部門研商公司運營情況發現,Z公司管理層及員工存在重技術開發����、輕數據合規等問題�,此次爬取數據出于自身拓展業務的動機,未進行二次售賣��?��?紤]到Z公司系成長型科創企業�����,陳某某等14名涉案人員均認罪認罰�,積極賠償E公司經濟損失并取得諒解���,Z公司合規整改意愿強烈,提交了《適用刑事合規不起訴申請書》及企業經營情況���、社會貢獻度等書面證明材料,檢察機關經審查對Z公司作出合規考察決定��。
三是因案制宜�����,圍繞數據合規專項計劃精準“開方”��,對涉案企業開展專業第三方監督評估���。經走訪座談�����、辦案調研�,普陀區檢察院發現����,Z公司存在管理盲區��、制度空白�、技術濫用等合規風險���,遂向Z公司制發《合規檢察建議書》�����,從數據合規管理���、數據風險識別�、評估與處理��、數據合規運行與保障等方面提出整改建議�����。Z公司積極整改��,并聘請法律顧問制定數據合規專項整改計劃��。同時����,鑒于開展數據合規的專業性要求較高,本案第三方組織吸納網信辦����、知名互聯網安全企業、產業促進社會組織等的專家成員����,通過詢問談話�����、走訪調查���、審查資料��、召開培訓會等形式���,全程監督Z公司數據合規整改工作����。第一,數據來源合規��。Z公司與E公司達成合規數據交互約定��,徹底銷毀相關爬蟲程序及源代碼���,對非法獲取的涉案數據進行無害化處理���,并與E平臺API數據接口直連���,實現數據來源合法化。第二�����,數據安全合規�����。Z公司設立數據安全官���,專項負責數據安全及個人信息安全保護工作;構建數據安全管理體系�,制定、落實《數據分類分級管理制度》《員工安全管理等級》�;加入區級態勢感知平臺,提升安全威脅的識別、響應處置能力����,分拆服務,提高云訪問權限����,數據及時脫敏�����、加密�����,增強網絡攻擊防護能力���。第三�,數據管理制度合規。Z公司建立數據合規委員會�,制定常態化合規管理制度,開展合規年度報告��。
四是“云聽證”����,確保監督評估考察公正透明。三個月考察期限屆滿�����,第三方組織評估認為�,涉案企業與個人積極進行合規整改��,建立合規組織�����、完善制度規范、提升技術能級�,已完成數據合規建設的整改措施。2022年2月�����,評定Z公司合規整改合格�。普陀區檢察院通過聽取匯報���、現場驗收、公開評議等方式對監督考察結果予以充分審查�。為保障涉案企業及時復工復產��,同年4月28日��,普陀區檢察院因應疫情開展“云聽證”����,邀請全國人大代表���、人民監督員、偵查機關�、第三方組織、被害單位等線上參加或旁聽�。經評議�����,參與聽證各方一致同意對涉案人員作出不起訴決定���。同年5月10日��,檢察機關經審查后認為�����,因本案犯罪情節輕微,Z公司及犯罪嫌疑人具有坦白����、認罪認罰等法定從寬處罰情節��,積極退賠被害企業損失并取得諒解�,系初犯,主觀惡性小���,社會危害性不大,且Z公司合規整改經第三方考察評估合格��,依法對Z公司��、陳某某等人分別作出不起訴決定���。
△圖 普陀區檢察院檢察官與第三方組織工作人員聽取涉案企業中期整改情況匯報�����。五是企業合規整改見實效���、顯長效�����。為確保企業將數據合規內化為長效機制���,根據檢察機關不定期回訪工作了解��,Z公司認真落實合規整改,與E平臺達成數據交互合作���,通過API數據接口直連�,合法合規獲取平臺數據����。同時,Z公司將其與E平臺的合作模式進行復制���、移植�,與3家大型互聯網企業達成數據合作�����。Z公司通過扎實開展企業合規,建立健全數據合規長效機制���,公司實現穩步發展��,分支機構在全國覆蓋面進一步擴大�����,員工人數比2020年底增加400余人,2021年度全年營收2億余元��,納稅總額1700余萬元����。
三��、典型意義
1.合規準備工作前移�,積極推動偵查過程中合規準備工作�,為審查起訴階段的合規監督考察奠定基礎����。本案中檢察機關積極利用提前介入偵查,引導公安機關收集合規信息與材料,為后續合規工作的高效開展奠定堅實基礎�。對于挽救企業而言���,早合規優于晚合規,檢察機關應當與偵查機關密切配合�、相向而行,綜合運用好介入偵查引導取證�、審查逮捕���、強制性措施適用等法定職權����,把促進合規的工作做在前面��,推動合規改革釋放出最優效果�。
2.組建專業化第三方組織,提升涉案企業數據合規監督評估的有效性��。檢察機關立足區域內互聯網產業集聚特點��,推動設立涉互聯網第三方專業人員名錄庫��。針對涉及“網絡爬蟲”等數據合規專業領域情況�,檢察機關經社會調查認定涉案企業符合企業合規第三方機制適用條件����,商請第三方機制管委會從專類名錄庫中抽取了由互聯網行業管理部門、行業龍頭企業和專業協會人員組成的第三方組織��,為第三方機制運轉提供專業性、公正性���、協同性支撐����。檢察機關依托第三方組織的專業優勢����,以召開評估工作現場會的形式對涉案企業合規計劃的可信性��、有效性與全面性進行充分審查�,圍繞案件反映的數據獲取問題開展“因罪施救”“因案明規”,督促涉案企業構建有效的數據合規整改體系���,做到“真合身”“真管用”。
3.能動履職強化審查把關�����,多措并舉保障企業有效推進合規整改���。本案中,檢察機關在依法適用第三方機制的基礎上�����,一是強化主導責任,因案制宜加強合規考察的審查把關����,主動聽取第三方組織對企業合規整改的考察情況,協調有關行政機關將涉案企業納入監測平臺�,統籌數據專項合規與全面合規�,確保企業合規整改措施全方位落實落細����,避免出現“紙面合規”“形式合規”。二是延伸合規激勵����,秉持懲治與挽救并重��,加強檢企溝通對接�����,充分聽取被害企業意見�,積極推動雙方企業實現和解�,促成涉案企業與數據來源方達成合規數據交互協議�,確保數據來源的合法化��,最大限度維護涉案企業正常生產經營�。三是深化科技賦能,立足疫情防控常態化下的辦案要求�����,通過“云聽證”審查方式兼顧辦案公開與效率���,召開由全國人大代表、第三方組織�、涉案企業參加的線上座談,聽取各方意見���,延伸辦案效果,實現線上線下對接����、場內場外聯動����,以公開促公正贏公信�����。
4.由點及面推動行業治理����,助力構建健康清朗的網絡生態環境���。推動網絡空間法治化治理��,促進互聯網企業守法經營,是檢察機關依法能動履職��、促進訴源治理肩負的重要責任�。數字化轉型背景下衍生出的數據侵權�、網絡犯罪問題����,亟需規范引導以保障數字經濟高質量發展。本案中�,涉案企業與被害企業均為大型互聯網科創企業����,普陀區檢察院深化社會綜合治理,依法打擊網絡灰黑產業鏈的同時��,推動促進互聯網行業建立數據合規經營體系��。一方面�,通過案件辦理�、檢察建議、法治宣傳等方式���,深入涉案企業所在園區引導廣大互聯網企業樹立數據合規意識,從源頭防止再次發生類似違法犯罪��。另一方面���,以“我管”促“都管”助力營造企業合規文化,推動區政府相關部門����、司法機關及30余家區內互聯網企業深入落實《普陀區互聯網企業合規共識框架》����,發布《互聯網企業常見刑事法律風險防控提示》,為企業風險防范�����、合規經營提供法律支持�,努力實現“辦理一個案件�����、形成一個合規標準�、規范一個行業”的良好效果���。
責編:陳南松
來源:最高人民檢察院微信公眾號
IPv6