【案例导读】
程序员通过非法手段获取公司源代码,后在某技术论坛高价售卖,最终成功售出。后程序员被警方抓获,同时被抓获的还有购买源代码的买家,卖家和买家是否构成犯罪?应该承担何种法律责任?以下案例给出了答案。
【犯罪动机】
窃取公司源代码高价出售,以此来获利
【涉及技术问题】
使用无线路由等设备,通过技术手段,获取系统存储的源代码
【案情简介】
**一、【公诉机关指控】**被告人M利用在N公司研发部工作的便利,违法公司规定,通过手机、无线路由等设备,利用技术手段非法侵入N公司软件系统,复制该软件源代码带至家中笔记本电脑保存。后在某技术论坛发帖兜售其非法获取的源代码。被告人x看到M的发帖,通过QQ与M联系购买事宜,x同时将此信息通过微信群告知被告人y和z,并提议3人各出资25万元购买该源代码,以供3人创业筹备的W公司后续使用。后在交易过程中,发现该套源代码缺少部分组件,经协商,x等3人最终支付72万元购买了该套源代码。上述款项转入M提供的户名为B的银行卡。后M将款项用于买车、还款。公诉机关指控M构成非法获取计算机信息系统数据罪,M使用虚假身份骗领信用卡用于收取赃款,同时构成妨害信用卡管理罪,应依法数罪并罚;被告人x、y、z明知是非法获取计算机信息系统数据犯罪所获取的数据而予以收购,情节严重,其行为均已构成掩饰、隐瞒犯罪所得罪,3人属于共同犯罪。
**二、【被告人辩称】**被告人M辩称其系利用工作便利从N公司服务器上复制软件源代码,而非利用技术手段侵入服务器后获取源代码,其上述行为应构成侵犯商业秘密罪;其骗领信用卡是为前述源代码销赃,亦应按侵犯商业秘密罪处理。
被告人x、y、z辩称对购得的源代码系他人非法获取并不知情,而且购买的源代码缺少组件,无法开发利用或转卖他人,故其在本案中没有非法获利、违法所得。
**三、【一审法院判决】**被告人M违反国家规定,侵入N公司计算机信息系统,非法获取该计算机信息系统中存储的数据,情节特别严重,又使用虚假的身份证明骗领信用卡,其行为已分别构成非法获取计算机信息系统数据罪、妨害信用卡管理罪,应依法数罪并罚;被告人x、y、z明知是非法获取计算机信息系统数据犯罪所获取的数据而予以收购,情节严重,其行为均已构成掩饰、隐瞒犯罪所得罪,系共同犯罪;M到案后能如实供述自己的罪行,是坦白,依法可予从轻处罚;x在共同犯罪中起主要作用,是主犯,鉴于其到案后能如实供述自己的罪行,是坦白,依法可予从轻处罚;y、z在共同犯罪中起次要作用,是从犯,且当庭自愿认罪,依法可予减轻处罚;判决:一、被告人M犯非法获取计算机信息系统数据罪,判处有期徒刑五年六个月,并处罚金人民币一百五十万元;犯妨害信用卡管理罪,判处有期徒刑六个月,并处罚金人民币一万元,数罪并罚,决定执行有期徒刑五年九个月,并处罚金人民币一百五十一万元;二、被告人x犯掩饰、隐瞒犯罪所得罪,判处有期徒刑四年六个月,并处罚金人民币一百万元;三、被告人y犯掩饰、隐瞒犯罪所得罪,判处有期徒刑二年,并处罚金人民币八十万元;四、被告人z犯掩饰、隐瞒犯罪所得罪,判处有期徒刑二年,并处罚金人民币八十万元;五、被告人M涉案违法所得,予以追缴;六、扣押在案的手机、电脑、U盘等作案工具予以没收。
**四、【二审法院判决】**四被告均不服一审法院判决,提起上诉。
M在二审中提供了原N公司员工G等3人的证言,以期证实M所在的软件部,利用职务便利即可获取涉案软件源代码。
**二审法院认为:**经查,M辩护人提供的G等3人的证言,确能印证M供述,暨M所在的研发部实验室的内网交换机开放无防护,实验室内的工作人员可以使用任何计算机终端连接该交换机,实现对存储在内网上软件源代码的自由复制;但是,M客观上也是在没有取得N公司授权的情况下(N公司仅许可M使用其所在实验室工作电脑访问该实验室交换机,而禁止使用任何其他非公司许可的计算机终端访问该交换机),利用手机(属于计算机终端)及其私自携带的无线网卡连接并访问实验室的交换机(属于计算机终端),符合非法侵入计算机信息系统的行为特征;故M在本案中是利用职务便利,采用非法侵入计算机信息系统的方式获取涉案软件源代码,此后又将该源代码转售他人获取巨额利益,已同时触犯非法获取计算机信息系统数据罪和侵犯商业秘密罪,上述两个行为具有手段与目的牵连关系,原判择一重罪,以非法获取计算机信息系统数据罪认定并无不当;M为收取赃款而使用虚假的身份证明骗领信用卡的行为,并非是侵犯商业秘密行为所通常导致,两者之间不具有牵连关系,应予并罚;上诉人M及其辩护人所提前述上诉理由和辩护意见均不能成立,本院不予采纳。
关于上诉人x、y、z所提其购买涉案软件源代码后尚未获利,没有达到司法解释规定的明知是非法获取计算机信息系统数据犯罪获取的数据,而予以收购,违法所得五千元以上的数额标准,故其行为均不能构成掩饰、隐瞒犯罪所得罪的上诉理由和辩护意见,经查,x、y、z购买的涉案软件源代码研发成本高达9.9亿余元,虽然鉴于三人购买的只是上述源代码的一份复制品,不宜以前述成本价来直接认定该复制品的价值,但根据三人的收赃价格,足以认定该份涉案软件源代码复制品的价值至少在72万元以上,故应据此认定三人明知是非法获取的计算机信息系统数据,而予以收购,违法所得72万元以上,上诉人x、y、z所提前述上诉理由和辩护意见均不能成立,本院不予采纳。
一审在判处x、y、z罚金刑时,未考虑三人系共同犯罪,罚金数额过高,应予调整。综合本案实际危害后果以及x、z归案后的认罪态度等,对x仍可酌情从轻处罚,对z可适用缓刑;对x、z辩护人所提量刑相关辩护意见部分予以采纳。
综上,二审法院判决:维持对M判刑,对x、y、z改判:被告人x判处有期徒刑三年,并处罚金人民币三十五万元。被告人y判处有期徒刑二年,并处罚金人民币二十万元。被告人z判处有期徒刑二年,缓刑三年,并处罚金人民币二十万元。
【实务操作启示】
由以上案例分析,笔者尝试归纳如下启示要点,供软件开发者及程序员在软件开发、源代码保护等实务操作中,作为参考:
1. 软件开发企业应该做好核心系统及源代码保密工作,防止员工不当使用或泄露。本案中虽然M存在利用技术手段非法获取源代码的情况,但N公司本身对核心系统的管理也存在措施不当或者漏洞,如N公司实验室的内网交换机开放无防护,实验室内的工作人员可以使用任何计算机终端连接该交换机,实现对存储在内网上软件源代码的自由复制。虽然二审法院对此进行了限缩解释,但企业不能寄希望于法院的解释,而应该从完善自身保密措施入手,做好核心源代码保密工作,这样才能在诉讼中取得主动地位。
虽然在刑事判决后,理论上N公司仍然可以起诉M承担民事赔偿,但就上述N公司管理中存在的问题,在民事诉讼中可能会被法院认定为存在过错,可能会自行承担一定的责任。
所以,对于软件开发企业,对于核心系统以及核心源代码,应采取相应的保密措施,限制接触人员。笔者认为以下措施属于基础必备的措施:在《劳动合同》中约定员工在职开发软件相关知识产权权利归属于公司,同时签订《保密及竞业限制协议》,约定员工对系统及源代码的保密义务及竞业限制业务。在技术层面上,对核心系统及源代码的管理,应限制并记录员工登录及操作行为,如采用VPN统一安全授权、SVN账号密码加密授权,账号密码每人唯一等方式。除技术措施外,开发企业还应该制定配套制度流程,对于员工能否使用以及如何使用系统及源代码进行具体规定,比如规定员工能否复制、随意删除源代码及数据、将源代码及敏感个人信息上传局域网、互联网,互联网是否包括GitHub等代码平台。
当然不是说购买了加密软件、设置加密措施,就“万事大吉”,因为只要是人设计的加密软件或加密措施,就会存在或多或少的漏洞,面对专业编程人员,可能会“不堪一击”。所以最重要的还是日常做好员工法律法规等方面的培训工作,让其充分意识到哪些是可以做的,哪些是绝对不能做的,做了不仅可能会倾家荡产,还可能会有牢狱之灾。
2. 从**程序员角度,自己编写的源代码不属于自己,不是自己编写的就更不属于自己的。随意复制都有可能构成犯罪,更不用说兜售公司源代码进行营利。**程序员在职期间编写的源代码,大多数公司都会在《劳动合同》中约定相关知识产权归公司所有,从法律上讲,履行公司职务开发的软件产品,属于职务作品,开发人员个人无权随意自行使用或者披露给他人使用。所以即使自己编写的代码,大多数情况下,也不属于程序员个人。如果不是本人编写的,而是公司其他人编写或者公司购买的,那就更不属于程序员自己的了,无权随意进行复制、删除等操作。
本案中从判决书来看M应该未获得N公司的谅解,估计后续N公司会再提起民事诉讼。因为从理论上讲,如果犯罪嫌疑人、被告人未积极赔偿被害人损失并获得谅解的,被害人仍然可以提起民事诉讼,要求其承担相应的民事经济赔偿责任。
另外,从法律角度,软件源代码既可以享有著作权,也可以构成技术秘密,实践中遭受侵害方,除了采取本案的非法获取计算机信息系统数据罪,还包括破坏计算机信息系统罪、侵犯著作权罪、侵犯商业秘密罪等,向公安机关报案,当然每个罪名构成要件不同,受害人肯定会选择成功概率大的进行报案,犯罪情节严重的,法院也会择一重罪判刑。上述案件中,法院即选取的非法获取计算机信息系统数据罪而不是侵犯商业秘密罪。
另外,如果涉及刑事诉讼,一定要及时聘请律师,本案二审被告人x减刑、被告人z缓刑,可以说律师起了非常关键的作用,从二审刑事判决书来看,被告人y应该是没有聘请律师,其自行进行了简单辩护,可以说其罚金获得减免,是沾了x、z的光,其本来也可以像z一样获得缓刑,但由于辩护不充分,没有获得和z一样的待遇。当然,其认罪态度二审判决未详细披露,也可能是其没聘请律师且认罪态度不好,所以最终未获得缓刑。
【关联知识】
【源代码等计算机数据可以成为掩饰、隐瞒犯罪所得罪的犯罪对象】
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第七条规定:明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的,应当依照刑法第三百一十二条第一款的规定,以掩饰、隐瞒犯罪所得罪定罪处罚。
实施前款规定行为,违法所得五万元以上的,应当认定为刑法第三百一十二条第一款规定的“情节严重”。
单位实施第一款规定行为的,定罪量刑标准依照第一款、第二款的规定执行。
【被告人未按刑事判决缴纳罚金和违法所得:限制高消费+老赖名单】
根据相关法律文书,被告人M未自觉履行判决确定的义务(151万罚金+72万违法所得=223万),法院向法院申请了强制执行**。**法院对M采取限制消费措施(其实也没啥意义,反正M 坐牢,也不会有啥消费)。并通过网络查控系统查询M的银行存款、不动产、机动车、股权、证券,但未发现M有其他可供执行的财产,于是依法将M纳入失信被执行人名单(老赖名单)。
