【案例导读】
程序员将公司SSO源代码、认证系统源码以及数据库信息上传至代码分享平台Github网站,在数据库信息中包括公司员工的姓名、性别、工号、工作地以及岗位等涉及员工个人信息,致使上述数据可供他人任意下载。该程序员的行为是违反民事法律,还是已经触犯了刑律?以下案例给出了答案。
【犯罪动机】
动机不明,涉案行为被公司及时发现,程序员主动向公安机关投案
【涉及技术问题】
SSO源代码(Single Sign On单点登录)、存储海量个人信息数据库的加密技术
【案情简介】
**一、【公诉机关指控】**被告人L任职W网络公司高级研发工程师,在履行职责过程中,将公司的SSO源代码、认证系统源码以及数据库信息上传至代码分享平台github网站,致使上述数据可供他人任意下载。在被告人L上传的数据库中,包含W公司员工的姓名、性别、工号、工作地以及岗位等涉及员工个人信息的数据。经鉴定,涉案数据库中包含的个人信息去重后数量为56000多条。被告人行为已构成侵犯公民个人信息罪,依法应予处罚。
**二、【被告人辩称】**被告人L认罪,但认为是主动投案属于自首,而且被告人及时删除上述源代码及数据库信息,请求法院酌情减轻处罚。
**三、【法院判决】**被告人L违反国家有关规定,向他人提供公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪,依法应予处罚。公诉机关指控被告人L的犯罪事实清楚,罪名成立。被告人L在履行职责过程中获得公民个人信息提供给他人,依法予以从重处罚。被告人L主动向公安机关投案,到案后如实供述犯罪事实,系自首,依法可减轻处罚。鉴于被告人L的行为因及时被发现并其主动删除了涉案的上传代码及数据库信息,可酌情从轻处罚。辩护人提出对被告人向某某减轻处罚的辩护意见,可以采纳。根据被告人L犯罪的事实、性质、情节及对于社会的危害程度,判决:被告人L犯侵犯公民个人信息罪,判处有期徒刑二年,并处罚金人民币五千元。
【实务操作启示】
由以上案例分析,笔者尝试归纳如下启示要点,供软件开发者及程序员在软件开发、源代码保护等实务操作中,作为参考:
**1. 软件开发企业应该做好核心源代码及所收集数据的保密工作,防止员工不当使用或泄露。**本案中可谓千防万防“家贼难防”,W公司不仅核心源代码被员工上传至网上,还包括大量的员工个人信息,好在只是员工个人信息,如果是该公司收集的普通用户个人信息被泄露,那么该公司可能就会被“千夫所指”,而且可能会因此承担相应的法律责任,甚至刑事责任,因为《刑法》第二百八十六条规定了【拒不履行信息网络安全管理义务罪】,其中就包括【致使用户信息泄露,造成严重后果的】。
虽然说上述源代码以及个人信息没有大规模扩散传播,但潜在风险已经形成。所以可以说,建立保密系统、购买保密软件等只是一方面,另一方面还应该做好员工日常保密培训工作,提高员工相关法律意识,让员工意识到,有哪些红线是不能碰的,如果碰了不只是丢了工作的问题,可能会面临牢狱之灾。
对于软件开发企业,笔者认为,以下措施属于基础必备的措施:在《劳动合同》中约定员工在职开发软件相关知识产权权利归属于公司,同时签订《保密及竞业限制协议》,约定员工对源代码的保密义务及竞业限制业务。在技术层面上,对核心源代码及用户个人信息的管理,应限制并记录员工登录及操作行为,如采用VPN统一安全授权、SVN账号密码加密授权,账号密码每人唯一等方式。
当然除技术措施外,开发企业还应该制定配套制度流程,对于员工能否使用以及如何使用源代码进行具体规定,比如规定员工能否复制源代码、员工能否将源代码及敏感个人信息上传局域网、互联网,互联网是否包括GitHub等代码平台。
2. **程序员应该提高自身法律意识,正确看待自己编写的源代码及所任职公司的全部源代码及敏感个人信息,不要怀有侥幸心理。**程序员在职期间编写的源代码,大多数公司都会在《劳动合同》中约定相关知识产权归公司所有,从法律上讲,履行公司职务开发的软件产品,属于职务作品,开发人员个人无权随意自行使用或者披露给他人使用。对于用户信息,程序员更应该谨慎接触,不属于自身职权范围内的权限,就不要去申请、去访问。
上述案例中,在L被判刑后,理论上W公司仍可以对其提起民事诉讼,要求其赔偿经济损失,因为刑事判决并未解决被害人遭受损失的问题,W公司仍然可以以技术秘密被侵害为由,要求L承担给其造成的经济损失。而且对于技术秘密而言,L将源代码上传至Github网站那一刻,侵权行为即实施完成。
另外,从法律角度,软件源代码既可以享有著作权,也可以构成技术秘密,实践中遭受侵害方,除了采取本案的非法获取计算机信息系统数据罪,可能还会以侵犯著作权罪或者侵犯商业秘密罪,向公安机关报案,当然每个罪名构成要件不同,受害人肯定会选择成功概率大的进行报案。一旦被判刑,不管是有期徒刑,还是缓刑,程序员先前的积累及努力,都可能毁于一旦,所以在涉及源代码复制、公开或者上传等操作前,一定要“三思而后行”,常怀“红线不可碰”之心。
【关联知识】
【公检法机关指派辩护人及减刑】
上述案件中,L未聘请律师,由法律援助中心指派的辩护人为其辩护,可能是由于经济困难或其他原因。
《刑事诉讼法》第三十五条第一款规定:犯罪嫌疑人、被告人因经济困难或者其他原因没有委托辩护人的,本人及其近亲属可以向法律援助机构提出申请。对符合法律援助条件的,法律援助机构应当指派律师为其提供辩护。
根据相关法律文书,L在后期监狱服刑过程中获得了减刑,主要是由于:在服刑期间,罪犯L能够认罪悔罪,对所犯罪行的认识不断提高,主动递交认罪服法书;能遵守监狱服刑人员行为规范;接受教育改造,积极参加监狱组织的普法、心理、道德等教育并取得良好成绩;积极参加劳动,超额完成生产任务。据此,罪犯L受到执行机关表扬1次等奖励,罪犯L缴纳了罚金。最终减去超过一个月的刑期。
《刑法》七十八条规定 减刑以后实际执行的刑期不能少于下列期限:
(一)判处管制、拘役、有期徒刑的,不能少于原判刑期的二分之一;
《最高人民法院关于减刑、假释案件审理程序的规定》第五条 人民法院审理减刑、假释案件,除应当审查罪犯在执行期间的一贯表现外,还应当综合考虑犯罪的具体情节、原判刑罚情况、财产刑执行情况、附带民事裁判履行情况、罪犯退赃退赔等情况。
【侵犯公民个人信息罪】
我国刑法(2020年修正)中与侵犯公民个人信息罪相关的内容,笔者尝试整理如下:
**第二百五十三条【侵犯公民个人信息罪】**违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条 刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
第五条 情节严重包括:(三)非法获取、出售或者提供**行踪轨迹信息、通信内容、征信信息、财产信息【五十条以上】**的;
(四)非法获取、出售或者提供**住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息【五百条以上】**的;
(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息【五千条以上】的;
(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;
(七)违法所得**【五千元以上】**的;
(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;
(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;
