宋鹏飞单独找的辩护律师邱，宋小鹏律师

——以Z某非法侵入计算机信息系统案为例

在生活中我们可以发现，琳琅满目的手机APP都具备获取用户手机位置、手机通讯录等个人信息的功能，其初衷可能是开发者友善地希望更加了解用户的社交圈，在征得用户授权后，获取个人信息和使用习惯信息形成APP数据，以便提供更好的服务。然而，APP数据的获取方式不当，极有可能给APP开发者带来刑事风险。

近期我与同所宋鹏飞律师办理结案的一起涉嫌非法侵入计算机信息系统罪案件中，Z某等人险些因开发的APP被他人用于网络敲诈而获牢狱之灾。2020年9月，Z某等人受人委托开发一款网盘APP，APP登录界面会弹出获取通讯录授权申请，经用户确认后会获取用户的手机通讯录信息。后该APP被他人用于网络敲诈勒索犯罪活动，Z某等人也被侦查机关以涉嫌非法侵入计算机信息系统罪将本案移送检察机关审查起诉。在与承办检察官沟通过程中，其一度认为涉案APP具备侵入计算机信息系统窃取通讯录信息的功能，Z某等人构成提供侵入、非法控制计算机信息系统程序、工具罪。

“获取”与“窃取”存在边界

Z某等人制作的APP有无“窃取”用户通讯录信息的功能，是本案的辩护核心。我们认为Z某等人的行为不构成非法侵入计算机信息系统罪，也不构成提供侵入、非法控制计算机信息系统程序、工具罪。《刑法》第二百八十五条规定了三个罪名，分别是非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序、工具罪。其中第一个罪名的行为对象是“国家事务、国防建设、尖端科学技术领域的计算机信息系统”，显然与本案的个人手机通讯录不符。而后两个罪名的行为特征关键在于“非法获取”、“侵入”，从文义看来与本案涉案APP的功能近似。但需要注意的是，刑法层面的行为特征用语极为精准和严格，合法地获取与非法获取存在本质的区别。具体到个案中，证据层面应当重点考量的是，APP是否具备突破计算机信息系统权限，侵入计算机信息系统并获取数据的功能。

在细致研究案卷材料和多次与Z某的会见中，我们了解到本案的APP与市面上大多社交属性APP近似，都有获取用户通讯录的功能。而达成获取用户通讯录的关键步骤在于需要用户点击授权同意获取数据的按键。而侦查机关认为，Z某等人制作的APP可以不经过用户授权，直接窃取了用户的通讯录信息。只是这看似简单的一步操作，其背后的技术差别极大。结合当前智能手机系统的常理，除手机实际使用人作为系统管理员确认，从外部突破手机系统的安全权限是需要极高的技术难度的。Z某等人在辩解中称，自己作为普通的互联网公司程序员，不具备设计突破手机系统安全权限软件的能力。

仅仅根据Z某等人的辩解，尚不足以完全排除涉案APP具备“窃取”通讯录信息功能的嫌疑。为了全面还原案件事实，承办检察官将涉案APP安装包解压在电脑上运行，发现并未弹出授权获取通讯录信息的提示窗口。但我们经过不断演示发现，主流社交APP的安装包如果直接在电脑上运行，也是同样不会弹出通讯录信息获取的授权申请，这是因为电脑与手机系统存在本质的区别，本身也无法获取通讯录信息。但这些主流APP在电脑运行时，仍会在未弹出授权申请时，获取用户位置信息。因此，现有证据条件下无法还原涉案软件在手机系统运行的过程，即无法证明该APP在未经用户授权的情况下，便获取通讯录信息。按照“排除合理怀疑”的刑事案件证据证明标准，不能认定Z某等人的涉案软件具备“窃取”用户通讯录信息的功能。

APP数据的合法使用并不构成犯罪

按照最高人民法院、最高人民检察院 2017 年 5 月 9 日发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定，“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。互联网经济背景下，APP 数据往往以个人信息为基本载体，但同时基于商业性、产业化等因素，实质上已经超越个人信息这一原初内容，质变为相对独立的一种网络信息或数据，并以APP程序为载体。结合法律规范和生活经验，我们不难看出APP数据出于商业目的，其内容大量充斥着个人信息，随着个人信息保护法治理念的强化，APP数据与个人信息内容的重合性也会大大增强。只要获取的APP数据包含了个人信息，就应当构成犯罪的这一惯性思维是当代法律人需要极力避免的。

经过授权获得的个人信息，以APP数据的形式用于合法网络经营活动，当然不构成犯罪，这也是当前主流社交APP都具备基本功能。我们在准备本案的辩护意见时，试用并观察了多款主流社交APP获取通讯录信息的流程，发现这些APP普遍都会弹出授权同意的提醒界面，只是提醒时间节点不同。可见，在当下互联网个人信息保护愈加重视的法治背景下，APP获取个人信息的进程是与用户达成个人信息向APP数据转化并使用的协议，不是犯罪行为。具体到本案，Z某等人有合理理由相信自己制作的APP是投入合法正常使用的。在现有证据不能证明Z某等人制作的APP具备突破手机安全权限保护技术的情况下，也不能以侵犯公民个人信息罪对其定罪处罚。

利用APP从事犯罪活动不应绝对归责于开发者

结合本案证据我们了解到，Z某等人开发的APP后来被他人用于网络敲诈犯罪活动中。行为人先是将该网盘APP分发扩散，指示Z某等人将网盘登录界面换成美女图片，吸引用户。在获取部分用户的通讯录后，安排人员与用户裸聊，并录制视频，后威胁用户将视频发送给其通讯录联系人，以此索取财物。

结合Z某等人与委托开发APP的上家的聊天记录，我们认为Z某等人对后续的网络敲诈活动完全不知情，也不可能从APP开发的技术细节处联想到APP可能用于犯罪活动，不符合《刑法》第二百八十七条之二帮助信息网络犯罪活动罪中“明知他人利用信息网络实施犯罪”的犯罪主观构成要件。结合常情，Z某等人作为程序员，接单开发软件获取合理的劳动报酬是正常的业务行为，涉案APP如何使用，他们是难以预计的。本案中应当被着重打击是组织策划网络敲诈活动的行为人。

最终，承办检察官经过慎重的考量和反复模拟试验，也认为涉案APP只是具备了与主流APP相同的获取通讯录信息功能，采纳了我们的辩护意见，对Z某等人做出了不起诉处理的决定。

在互联网经济蓬勃发展的时代，个人信息安全保护的确脆弱，但也不能因噎废食，过度限制APP数据用于合法商业活动。此外，个案中个人信息的保护义务也应对具体问题具体分析。在本案中，Z某等人更多从事的是软件开发业务行为，而通讯录使用于网络敲诈是他人的犯罪行为，不应归责于APP的开发者，这也符合《刑法》罪责刑相适应的基本原则。