整理 | 于軒
出品 | CSDN(ID:CSDNnews)
在數字化浪潮中,企業、員工的管理工作也朝着智能化、雲化等方向發展。對于上班族來說,入職第一天基本基本穿梭在各個權限的申請與開放之中。
由于各個部門的分工不同,是以每個崗位都會配有相應級别的系統權限,不同員工的系統權限也有所差異。對于不屬于自己崗位職責範圍内的事,員工通常沒有參與權和知情權,這就要求企業對員工的系統權限進行嚴格管理。
2022年2月,中國裁決文書網釋出的一則刑事宣判便與此相關:在華為任職的易某在調離崗位7年後,還沒有将自己之前擁有的相關系統權限清除。不僅如此,他還在此期間多次利用權限檢視系統資料,甚至利用發現的漏洞繞過權限控制,多次向第三方公司提供系統資料,以此獲利。
那具體案件經過是怎樣的呢?筆者翻閱了此案的裁定書,帶着大家一起看一下這起案件。
多次通過公司郵箱發送資料給競标客戶
據裁定書顯示,易某于2006年12月至2018年3月期間在華為技術有限公司(以下簡稱華為公司)任職。因工作需要,易某擁有登入華為公司ERP系統的權限,可以檢視工作範圍内相關資料資訊。
圖源:截圖自中國裁判文書網
華為公司禁止員工私自在ERP系統檢視、下載下傳非工作範圍内的電子資料資訊。
2010年12月,易某從華為公司線纜物控部調任後,未按華為公司的要求将ERP賬戶線纜類編碼物料價格的查詢權限清理,至2017年底,易某違反規定多次通過越權查詢、借用同僚賬号登入的方式在ERP系統内擷取線纜物料的價格資訊。
2017年以後,易某發現ERP系統中的POL采購小程式存在漏洞,能通過特定操作繞過權限控制檢視系統資料,便以此方式擷取線纜物料的價格資訊。
按照正常的軟體使用流程,員工發現系統漏洞後本應該向上回報,但易某卻動起了歪心思。
易某将非法擷取的價格資料以發短信、打電話、發電子郵件的方式告知深圳市金信諾高新技術股份有限公司(華為技術有限公司的供應商,以下簡稱金信諾公司),進而幫助金信諾公司在華為公司的招标項目中提高中标率。
經查,易某在2016年12月27日至2018年2月28日期間,多次通過郵箱“[email protected]”将華為公司多個供應商共1183個(剔除重複部分共918個)線纜類編碼物料的采購價格發送給金信諾公司。
在2012年至2017年6月30日期間,易某收受金信諾公司購物卡共計7000元、籃球鞋5雙(價值共計人民币16437.6元)。
另查明,案發後,華為公司出具諒解書,表示對被告人易某侵害華為公司的行為予以諒解。
易某行為構成非法擷取計算機資訊系統資料罪
對于易某的行為,一審法院原判認為其違反國家規定,侵入國家事務、國防建設、尖端科學技術領域以外的計算機資訊系統或采用其他技術手段,擷取計算機資訊系統中存儲、處理或者傳輸的資料,情節嚴重,其行為已構成非法擷取計算機資訊系統資料罪。公訴機關指控的罪名成立。易某歸案後如實供述,當庭認罪認罰,取得被害機關的諒解,系初犯,原審予以從輕處罰。
依照《中華人民共和國刑法》第二百八十五條第二款、第五十二條、第五十三條第一款、第六十四條、第六十七條第三款之規定,判決:
一、易某犯非法擷取計算機資訊系統資料罪,判處有期徒刑一年,并處罰金人民币二萬元;
二、繼續向易某追繳違法所得共計人民币23437.6元,依法予以沒收,上繳國庫。
不服一審判決,易某提起上訴
對于一審判決,易某提起上訴,請求撤銷原審判決,并依法改判為免于刑事處罰。
主要理由為:
1.其行為是否構成非法擷取計算機資訊系統罪存有争議,應疑罪從無,判處其免予刑事處罰。首先其主觀上沒有犯罪故意;其次其違規擷取的僅是計算機系統中儲存的裝置材料曆史價格的電子資訊,并不是本罪法條所規定的系統資料。
2.其并未采用技術手段非法侵入華為公司的資訊系統,其實質為利用工作便利、權限及公司小程式的漏洞擷取相關資訊,且并未給華為公司造成實際損失。
3.其系初犯、偶犯,犯罪情節較為輕微,未造成惡劣的社會影響或重大損失。
4.華為公司出具了諒解書,依法應當對其從輕處理,但原審未考慮該重要情節。
其辯護人的意見為:
1.本案上訴人行為實則更符合侵犯商業秘密罪的構成,但基于其行為輕微,尚不足以構成侵犯商業秘密罪,疑罪從無,判處免于刑事處罰更适宜。
2.上訴人并未采用技術手段非法侵入華為公司資訊系統,且并未給華為公司造成實際的損失。
3.上訴人系初犯、偶犯,行為情節比較輕微,其對錯誤行為已進行深刻檢討。
4.華為公司混亂粗放的管理制度,以及ERP系統中POL采購小程式的缺陷,使得上訴人犯下錯誤,也負有一定責任。
5.華為公司已出具對上訴人的諒解書。
公司諒解并不等于無罪
對于易某的上訴,二審法院做出了終審裁定。
關于易某的行為是否構成非法擷取計算機資訊系統資料罪的問題,易某本人認為存有争議,其辯護人認為易某的行為更符合侵犯商業秘密罪的構成。
經查,根據最高人民檢察院公布的第九批指導性案例(檢例第36号-衛夢龍、龔旭、薛東東非法擷取計算機資訊系統資料案),非法擷取計算機資訊系統資料罪中的“侵入”,是指違背被害人意願、非法進入計算機資訊系統的行為,其表現形式既包括采用技術手段破壞系統防護進入計算機資訊系統,也包括未取得被害人授權擅自進入計算機系統,還包括超出被害人授權範圍進入計算機資訊系統。
易某從華為公司線纜物控部調任後,按照公司規定,其已不具有在ERP系統檢視相關電子資料資訊的權利,其超出授權範圍登陸該系統,并利用系統中POL采購小程式存在的漏洞,擷取線纜物料價格資訊的行為,屬于侵入計算機資訊系統的行為。易某非法擷取計算機資訊系統資料,違法所得超過人民币5000元,屬于情節嚴重,已經構成非法擷取計算機資訊系統資料罪。其本人及辯護人的相關意見不成立,二審法院不予采納。
二審法院認為,易某在一審階段認罪認罰,且華為公司出具了諒解書,一審判決已對其從輕處罰,其上訴請求再予以從輕處罰缺乏事實和法律依據,法院不予采納。
綜上,原審判決認定事實清楚,證據确實充分,定罪準确,量刑适當,審判程式合法。依照《中華人民共和國刑事訴訟法》第二百三十六條第一款第(一)項之規定,裁定如下:
駁回上訴,維持原判。
利用職務之便的犯罪屢見不鮮
公司賦予員工權限的本意是為了友善辦公,但很多人卻利用職務之便為自己“謀福利”。在過去一年中,諸如此類的案件就時有發生:
- 去年2月,百度一研發工程師利用職務之便,超越權限,通過篡改資料、編寫腳本等方式,違規通過了735個媒體網站賬号加入“百度聯盟”的申請,收受他人給予共23萬餘元,緻使公司374萬元廣告分成遭到損害。最終,陳某以犯破壞計算機資訊系統罪,被判處有期徒刑一年九個月,并沒收所有違法所得。
- 今年3月,蘋果公司前員工Dhirendra Prasad被指控在職期間利用職務之便,在多項采購計劃中存在欺瞞行為,如收取回扣、盜竊裝置和洗錢等,讓蘋果損失超1000萬美元。根據美國的法律,Dhirendra Prasad将面臨最高20年的刑期。
在這些利用公司權限和職務之便滿足一己私利的案件中,當事人最後都免不了牢獄之災。這也算是給公司和員工提了個醒:企業在賦予員工權限時也要加強監管,避免出現越界、收回不及時等情況;員工在擁有相關權限時也要自我限制,為了眼前的利益而毀了自己的人生實在是得不償失!
參考連結:
- https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html
END
《新程式員001-004》全面上市,對話世界級大師,報道中國IT行業創新創造
成就一億技術人