App非法获取其用户数据的刑法适用研究

　　摘要：在当前APP非法获取其用户数据行为泛滥的环境下，其用户数据安全问题应纳入刑法讨论范围。APP用户数据本质上仍属于“计算机信息系统数据”，其中个人信息应是重点保护内容；要依据国家法规，作为其“非法性”的法定依据；确定其“非法获取”的罪名定性；同时要注意从形式与实质两方面把握罪名适用的边界。

　　关键词：用户数据；非法获取；个人信息；适用边界

　　中图分类号：D924.3文献标识码：A文章编号：2095-6916（2020）24-0110-03

　　随着互联网技术和通讯技术的快速发展，我国已进入移动互联网时代。近9亿网民手机上网比例高达99.1%，移动互联网服务便捷、即时、普惠的特点在移动互联网应用程序（以下简称“APP”）中得到充分体现①。然而，一些APP非法获取其用户数据的行为严重地损害了用户的数据安全和个人信息权益，其中不乏一些拥有广大用户群体的APP。侵犯用户APP内的数据安全和个人信息权益的行为涉及到两个罪名，分别是《刑法》第二百五十三条之侵犯公民个人信息罪和第二百八十五条非法获取计算机信息系统数据罪，但该类行为是否构成犯罪还需要探讨以下问题：一是APP用户数据的内涵应当如何辨析；二是APP非法获取用户数据行为的入罪思路；三是罪名选择适用以及刑法适用边界的分析。

　　一、APP用户数据的内涵辨析

　　（一）APP用户数据本质属于计算机信息系统数据

　　APP是指通过预装、下载等方式获取并运行在移动智能终端上、向用户提供信息服务的应用软件，其用户数据包括APP内用户的数据和移动智能终端内的数据。《网络安全法》第七十六条规定：网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。依据该规定，APP用户数据符合网络数据的定义，但我国刑法以及司法解释尚未采用网络数据这一概念，而是以计算机信息系统数据作为保护对象。

　　2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害计算机信息系统安全刑事案件解释》）将“计算机信息系统”“计算机系统”界定为“具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。”这也实质上将已经广泛运用到各个领域的内置有操作系统的具备自动处理数据功能的设备都归为了“计算机信息系统”，手机、平板这一类移动智能终端也属于计算机信息系统。APP内的数據是储存在移动智能终端中或者服务器中，根据《解释》，服务器也是属于计算机信息系统，而“计算机信息系统数据”包括计算机信息系统中存储、处理或者传输的数据，因此无论是APP内的数据还是手机等移动端内的数据在本质上都属于计算机信息系统数据的范畴。

　　（二）APP用户数据的范围

　　在分析APP非法获取其用户数据的行为前，需要对APP用户数据的范围予以明确。首先需要对APP数据与APP用户数据进行区别。APP数据一般指的是APP中存储的数据，即包括普通用户均可浏览的公开数据和未公开的数据[1]，其中普通用户均可浏览的公开数据对所有用户是开放的，对该数据的获取是属于合法范畴，对未公开的数据的获取则意味着采取了非法手段，该部分数据属于非法获取计算机信息系统数据罪的保护对象。而APP用户数据实质上是指用户的数据，其不仅包括用户在APP中的数据，还包括承载APP的载体即手机中的数据。

　　从APP非法获取数据的来源看，APP用户数据分为两类，一是在用户使用本APP时产生的数据，这一类数据需根据用户协议所明确的数据归属来进行区分，属于APP的数据就不属于用户数据的范畴，一般情况下，此类用户数据一般具有高度的隐私性，例如用户使用微信产生的聊天记录和用户登录密码等；二是在本APP之外即手机内的用户数据，例如用户的通讯录、通话记录、短信内容以及存储在手机内的各种图片文档等数据。

　　（三）APP用户数据的类型化划分

　　在APP用户数据中，自然人的姓名、身份证号码等可以识别该个人的信息属于重点保护的对象，这类数据属于个人信息。根据数据属性，可以将APP用户数据划分为个人信息和其他计算机信息系统数据。

　　目前我国的法律法规已经列举了部分属于个人信息的内容，例如自然人的姓名、身份证号码等，对于此类数据，可以直接纳入个人信息的类别之中。除此之外，用户数据中还存在未被明确列举为个人信息但与之紧密相关的数据，例如用户的浏览记录。我国法律法规大多将“识别”要素作为个人信息的判断标准之一，但由于技术的发展使得“可识别”与“不可识别”的边界越来越狭窄[2]。虽然在一些民事纠纷案件中，对于个人信息的识别以“识别”来认定，但对于个人信息的刑法保护应当做严格的限制解释。即依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯公民个人信息刑事案件解释》）对公民个人信息作出的规定，若无法确定为个人信息，则可以将其视为计算机信息系统数据。

　　二、APP网络运营者非法获取其用户数据行为入罪思路

　　从涉APP数据的网络犯罪类型看，主要分为两种：一种是利用APP及其数据实施犯罪，即“APP工具（手段型）”犯罪形态，尤以实施网络型诈骗犯罪等为主要表现形式；另一种是针对APP及其数据等实施犯罪，即“APP对象型”犯罪形态[3]。而APP非法获取数据的行为则是利用APP所实施的针对APP以及其用户数据的违法犯罪活动，即具有工具型和对象型的双重属性。

　　（一）行为“非法性”的法定依据

　　无论是侵犯个人信息罪还是非法获取计算机信息系统数据罪都需要以行为“非法性”为前提，以违反前置法为构成犯罪的前提条件。非法获取计算机信息系统数据罪违反前置法规定主要包括《全国人民代表大会常务委员会关于维护互联网安全的决定》和《计算机信息系统安全保护条例》。侵犯个人信息罪的法定前置条件为“违反国家有关规定”，《中华人民共和国刑法修正案（九）》将原二百五十三条之一的“违反国家规定”修改为“违反国家有关规定”，后者的范围明显更广，“国家有关规定”除了“国家规定”外还包括部门规章，这些规定散见于各领域的法律、行政法规或部门规章中②。作为该罪前置法的国家有关规定主要包括《网络安全法》《关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》等，这些规定为APP网络运营者非法获取其用户数据行为构成犯罪提供了“非法性”的法定依据。

　　（二）“非法获取”行为的罪名定性

　　APP非法获取其用户数据的主体一般是网络运营者，即网络的所有者、管理者和网络服务提供者，APP网络运营者在向用户提供网络服务的同时也具有建立信息安全管理制度和保障用户个人信息安全的义务。与他人利用技术手段非法获取APP中的数据行为相比，APP网络运营者由于其主体上的优势，在非法获取其用户数据上更加便捷，其手段方式较前者也存在明显的差别。对于“非法获取”行为的罪名定性要在确定侵害对象的基础上进一步认定。

　　1.非法获取计算机信息系统数据罪

　　从规范上看，行为人实施非法获取数据行为一般有两种方式：第一种方式为先侵入计算机信息系统内部再获取数据；第二种方式是采用其他技术手段获取数据。需要注意的是非法获取计算机信息系统数据并不以非法侵入计算机信息系统为前提。

　　APP通常是用户基于服务需求自己选择下载使用，在手机或平板这一类计算机信息系统中存在合法性，并不存在侵入的情况。同时基于用户协议和授权，用户同意APP获取其相关数据甚至包括部分敏感信息以便于享受APP的功能服务。当APP未经授权，超出权限的收集用户手机内的数据就构成了“利用其他技术手段”获取数据的行为。例如APP通过植入的SDK（软件开发工具包）插件，在用户不知情的情况下，窃取用户敏感数据；还有山寨APP通过混淆用户下载使用，进而窃取用户的隐私数据。这些行为危害计算机信息系统的安全，扰乱公共信息管理秩序，在对公民的手机和隐私数据都造成了威胁的同时，也对互联网企业的合法权益造成了危害。

　　2.侵犯公民个人信息罪

　　《刑法》第二百五十三条侵犯公民个人信息罪规定了三类行为分别是：向他人出售或提供个人信息；提供服务或履职过程中获得的信息再提供给他人；通过窃取或者其他非法方式获取。

　　APP非法获取用户数据的行为主要为私自窃取并使用用户数据和私自共享给第三方。从行为上看，APP在用户下载使用APP时非法获取数据，符合《刑法》第二百五十三条第二款的规定，非法收集公民个人信息，尤其是收集与提供的服务无关的公民个人信息，所以也明显符合第三类的窃取或者以其他方法非法获取公民个人信息。因此，对于私自窃取并使用的行为可依据第三类行为进行规制，若APP非法获取用户数据并将其出售或者提供给他人的，可依据第二款规定进行从重处罚。

　　三、罪名适用以及适用边界的问题

　　（一）罪名适用问题

　　对于APP非法获取其用户数据的行为，其可能构成非法获取计算机信息系统数据罪和侵犯公民个人信息罪。有学者认为，《刑法》第二百八十五条第二款规定的非法获取计算机信息系统数据罪是特别法条之罪，侵犯公民个人信息罪是一般法条之罪，故而当一行为同时违反这两个法条，同时符合这两个罪的犯罪构成包括罪质和罪量标准时，按照特别法条优于一般法条的法条竞合处理原则，应以非法获取计算机信息系统数据罪定性处理[4]。但法条竞合是犯罪所侵犯的社会关系错综交织的现实状态造成的，无论犯罪是否发生，人们都可以通过对法律条文内容的分析而确定各个法条之间原本依刑事立法就实际存在的重合或者交叉关系[5]。而非法获取计算机信息系统数据罪和侵犯公民个人信息罪中无法仅通过条文确定其存在重合和交叉，因此二者不构成法条竞合。

　　通过对其行为分析，当非法获取的数据属于个人信息时，该行为一方面侵入和破坏了信息空间管理秩序和计算机信息系统安全，另一方面还侵犯了公民的个人信息权利，其一行为同时触犯了两类不同的法益，触犯了以上两个罪名，适用任何一个法条都不能全面、充分评价该行为的不法内容，因此应当认定为想象竞合关系。另外，根据计算机信息系统数据和个人信息的关系来看，在APP用户数据这一限定条件内，计算机信息系统数据和个人信息属于包容关系，但排除限定条件来看，两者属于交叉的关系，个人信息并非一定以计算机信息系统数据的形式呈现，因此两个罪名不存在一般法条与特殊法条之分。

　　因此，对于APP非法获取其用户数据的行为的罪名适用应依照以下处理原则：一是非法获取的用户数据不属于个人信息，并且达到了情节严重的标准，应当以非法获取计算机信息系统数据论处；二是非法获取的用户数据明确在个人信息的范围时，并且满足情节标准的，构成非法获取计算机信息系统罪与侵犯公民个人信息罪的想象竞合，从中择重处罚，但由于两罪名法定刑轻重完全相同，需要根据犯罪情节比较孰轻孰重，然后按照较重之罪进行适用。

　　（二）适用边界问题

　　当前，APP数据的安全问题已得到了明显重视，但更多关注的是第三方非法获取APP数据的行为。APP与用户之间基于协议有数据的授权和使用行为，存在行为的合法性，也正因为如此，APP非法获取用户数据的行为往往伪装隐藏在合法的数据使用行为下，并且作为网络运营者，其非法获取数据更便利且侵害对象是所有用户，具有严重的危害性。在当前APP非法获取其用户数据行为泛滥的情况下，对于构成犯罪的行为予以刑事打击是非常必要的，但同时也要把握好适用边界，以刑事作为最后的保障手段。在明确其行政违法的基础上考量实际危害性，从形式和实质两个方面把握适用边界。

　　一是满足“情节严重”构成要件的形式边界，对于APP非法获取其用户数据的行为，应严格按照构成要件进行认定，同时需要符合“情节严重”的标准。根据《危害计算机信息系统安全刑事案件解释》的规定，非法获取计算机信息系统罪需要达到非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上、获取前项以外的身份认证信息五百组以上、违法所得五千元以上或者造成经济损失一万元以上或者有其他情节严重情形的标准。构成侵犯公民个人信息罪则应当严格按照《侵犯公民个人信息刑事案件解释》第五条所规定的情形判断是否满足“情节严重”。

　　二是把握侵犯犯罪客体的实质边界，对于在形式上满足犯罪构成要件的行为，仍然要分析其是否严重侵犯了犯罪客体。从刑法体系看，非法获取计算机信息系统数据罪规定在《刑法》第六章妨害社会管理秩序罪第一节扰乱社会公共秩序罪中，侵犯公民个人信息罪规定在第四章侵犯公民人身权利和民主权利罪中。一方面APP非法获取其用户数据应受到刑事规制，但另一方面对于形式上满足犯罪构成要件的行为可能并未严重侵犯犯罪客体，例如APP超出权限收集用户的数据进行分析使用，仅仅是为了更好地提供服務谋取利润而不是提供给他人，且并没有刑法意义上的违法性认识，即使在形式上满足犯罪构成要件，也很难认定其严重侵犯了公民的人身权利或者严重扰乱了社会公共秩序，因此对于APP非法获取其用户数据予以刑事规制的同时应严格把握其适用边界。

　　作者简介：冉植权（1994—），男，汉族，重庆人，单位为北京师范大学刑事法律科学研究院，研究方向为中国刑法。