利用APP侵犯公民个人信息主观明知的认定

2019年4月，被告人葛某、朱某为经营助贷业务到山东烟台某网络科技有限公司购买一款贷款类APP软件“有信花”。通过签署购买协议，售卖公司交付该软件源代码，使购买者拥有修改权限或开发权，并熟知软件核心功能、数据平台操作流程。5月20日，葛某、朱某共同出资成立深圳市鹏某信息技术有限公司（以下简称“鹏某公司”）运营有信花APP，朱某系公司法定代表人，葛某系公司运营实际负责人，李某某系技术部门负责人。李某某将经葛某、朱某咨询某律所律师后修订的《用户注册协议》（以下简称《协议》）镶嵌到有信花APP软件中。该软件除了收集注册用户的姓名、电话号码外，还会收集无关助贷服务业务所需的其他个人信息，甚至包含仅下载软件非注册用户的诸如手机通讯录、短信、通话记录等信息。三人明知该情况，但未在《协议》中向注册用户明示。2019年9月，很多用户反馈下载完该APP并没有使用，依然接到推销无担保贷款等非正规途径的贷款推销业务电话，甚至有利用用户个人隐私信息敲诈勒索、电信诈骗等情况。

用户意识到个人信息可能被泄露后报警，公安机关接警后随即开展侦查，最终发现鹏某公司的有信花APP非法收集个人信息。经对该公司在阿里云服务器上的存储数据进行鉴定：2019年6月至9月间，该公司通过有信花APP软件非法收集1万多名被害人个人信息包含通讯录261万余条、通讯记录1107万余条、短信246万余条等。2019年11月初，朱某、葛某、李某某被抓获归案。

鉴于本案犯罪行为较为新颖，电子数据等证据甄别较为复杂，检察机关及时提前介入本案引导侦查，对鹏某公司收集公民个人信息的违法性与公安机关会商，同时提出对有信花APP收集过程作鉴定、鹏某公司单位犯罪的认定、被侵犯公民个人信息数量鉴定等取证意见。2019年12月检察机关依法对朱某、葛某以侵犯公民个人信息罪批准逮捕、以无逮捕必要不批准逮捕李某某。葛某、朱某、李某某如实供述自己的罪行，认罪态度较好，均签订认罪认罚具结书，认同检察机关提出的量刑建议及罪名。最终法院判处朱某、葛某犯侵犯公民个人信息罪判处有期徒刑3年并处罚金10万元，李某某判处有期徒刑3年缓刑3年并处罚金5万元。三人均未上诉，该案判决生效。

（一）通过技术鉴定准确认定利用APP侵犯公民个人信息犯罪行为

检察机关准确认定涉案公司及朱某等人具有利用有信花APP非法收集公民个人信息的主观明知，从而确定有信花APP非法收集公民个人信息的犯罪行为。

首先，确定有信花APP具有收集公民个人信息的功能。国家计算机病毒应急处理中心电子数据司法鉴定：有信花APP可以获取用户的通讯录、短信和通讯记录。公安机关远程勘验记录中显示有信花APP后台网址登陆后显示“用户信息”中包含认证信息、运营商报告及通讯录、通话记录、短信记录、催收记录、GPS位置记录等内容，抽样刘某、任某某等5名用户显示均被收集上述各种信息在1000条以上。

其次，确定涉案人员具有利用有信花APP收集公民个人信息的主观意图。经审查有信花APP授权，朱某等人的登陆权限为最高级，都能看到后台全部数据；2019年6月李某某通过手机测试有信花APP运行情况确定了APP能够收集用户通讯录、短信等个人信息的数据。同时2019年8月鹏某公司通过申请专利已获得有信花APP全部权利的知识产权，其在明知有信花APP确定能够超过服务权限收集个人信息的功能，积极获取其知识产权的权利，说明鹏某公司谋求诱使用户下载有信花APP开展贷款业务时获取大量用户的个人信息。

最后，鹏某公司、朱某等人有意规避收集公民个人信息的行为。朱某等人在修订《协议》时就有意规避收集用户通讯记录、通讯录、短信等个人信息的意图，利用用户可能不阅读《协议》全部内容、不同意就无法注册等方式，使用户一旦点击“同意”后个人隐私信息被有信花APP收集到数据后台。有信花用户注册时填写个人姓名、身份证号码等信息可以理解为贷款业务所需，但点击同意《协议》不等于愿意提供其手机中的所有通讯录、通话记录、短信等信息。《协议》中“基本信息以页面显示为准”字面理解就是注册界面显示的基础姓名等信息，没有任何其他如个人通讯记录、短信等信息。鹏某公司以及朱某等人采用模糊《协议》中“包括但不限于”“基本信息以页面显示为准”等隐晦用语达到非法收集注册用户的通讯录、短信内容、通话记录等个人信息的目的。

《协议》内容对收集用户通讯录等信息表述模糊，就是不想做到明示其收集个人信息的目的或是范围。该情形违反了《网络安全法》第41条关于“明示收集、使用信息的目的”等规定，即符合《刑法》第253之一规定的“违反国家有关规定”的定罪要件。同时，朱某等人供述称有信花收集个人信息目的在于做未来的信用评估，以便开展“大数据业务”而违法储存“信息源”。有信花APP收集来的个人信息并未用于对用户与贷款公司之间的服务业务，属于《刑法》253条之一第3款规定的“以其他方法非法获取公民个人信息”。故此，可以认定鹏某公司及葛某等人合谋利用有信花APP实施了非法收集公民个人信息的犯罪行为。

（二）用户下载软件接受手机系统安全提示，并非默认授权APP可读取个人信息

朱某等人认为用户安装有信花APP时，手机系统会进行安装提示，用户接受提示后继续安装，是授权APP读取涉案的个人信息，有信花不属于“非法”收集公民个人信息行为。检察机关介入案件时要求公安机关要把APP获取信息请求与手机自带的系统提示做技术区分。公安机关立即开展对有信花APP样本分析，经检测得知用户在使用有信花APP时，安装及运行界面弹出的“有信花申请读取联系人信息权限拒绝、允许”“有信花申请通话记录读取权限拒绝、允许”“有信花申请短息和彩信记录读取权限拒绝、允许”的三项风险提示，均为使用的手机系统自身安全风险提示，而非有信花APP自带提示，与有信花APP明示用户读取信息并无关联。因此APP收集用户个人信息行为不能认定属于有明示提醒，即没有获得用户同意而实施的非法收集。

（三）司法鉴定意见锁定非法收集个人信息数据的唯一性

《刑法》第253条之一所保护的个人信息不可能是所有自然人的信息，所谓“公民个人信息，应以信息的真实性与可识别性作为界定个人信息范围的标准”。公民个人信息类别极为复杂，“一刀切”的直接认定方式难以有效应对实践需要。信息的可识别性，是指个人信息要具有关联性。“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11条第3款规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但有证据证明不真实或是重复的除外”。朱某、葛某认为APP收集公民个人信息的数据存在重复收集的可能。办案人要求公安机关对鹏某公司在阿里云存放的个人信息数据的唯一性进行甄别。经鉴定，本案中有信花APP收集注册用户有数万人，属于不特定多数人，包括通讯录内容包含电话号码、姓名，通话记录还内容包括各种时间、号码、对象等。用户的短信内容具有特定性与唯一性，鉴定出的具体数据可以作为侵犯公民个人信息的定罪确定数据。

（四）专业人士法律意见不是阻却违法性认识的事由

朱某、葛某在注册经营鹏某公司前就公司业务、协议内容等咨询某律师事务所律师，予以修改后镶嵌到有信花APP软件中使用，故辩称律师改过后协议是没有违法国家有关规定。《协议》是对违法行为的规避还是合法合规的协议存在争议。对于咨询律师或是律师给予修改意见是否可以排除非法性的问题，可参见2017年最高检《关于办理涉互联网金融犯罪案件有关问题座谈会纪要》的规定：“对于犯罪嫌疑人因信赖专家学者、律师等专业人士、主流新闻媒体宣传或是有关行政主管部门工作人员的个人意见而陷入错误认识的辩解，不能作为犯罪嫌疑人判断自身行为合法性的根据和排除主观故意的理由”。因此葛某、朱某经律师咨询后修改《协议》的辩解不能排除其利用有信花APP收集用户个人信息的主观故意。

（一）办案与监督并行，协作配合高质量办理新型网络犯罪

刑事检察全过程参与、全流程监督刑事诉讼，是检察机关的基本职能、重要职能，是中国特色刑事司法制度优越性的重要体现。检察机关提前介入积极从取证源头上提升控诉证据质量，加强与公安机关侦查环节的沟通，引导公安机关合法取证，有助于确保侦查、审查起诉的案件事实证据经得起法律检验。

本案中检察机关多次与公安机关开会研讨案情、证据，对证据逐一梳理，确保证据来源合法、程序合法，引导公安机关对有信花APP开展远程勘验记录、样本分析报告、电脑硬盘的电子侦查检验记录，逐步呈现出鹏某公司利用有信花APP实施侵犯公民个人信息的犯罪行为。

（二）技术与业务融合，携手惩治网络犯罪保护个人信息

技术支持惩治网络犯罪，保护个人信息，不应止步于给出鉴定意见，更应该强调的是，检察机关、公安机关从提前介入侦查阶段起就应当重视技术的作用，使其在提取证据等方面积极、尽早地发挥出专业化水平。

本案中技术鉴定确定有信花APP犯罪方式及被侵害公民个人信息的具体数据，对揭示案件真相给出强有力技术支撑。国家计算机病毒应急处理中心鉴定对“youxinhua.apk”的文件鉴定分析，精准认定了有信花非法收集个人信息的犯罪行为。天津市某司法鉴定中心通过对有信花APP检材镜像搭建的虚拟环境中的路径日志分析，确定了被侵害的个人信息具体数据。鉴定人出席法庭，从专业技术角度对鉴定所得出的结论进行技术说明，特别是对鉴定数额ID重复问题、逐一读取数据方式、每条短信通讯记录通讯录唯一读取的影像、阿里云数据具有专门校对码、哈希值计算等问题进行解读，将鉴定过程、依据、结论呈现到法庭，让庭审参与人员对技术鉴定全面了解并对之后判决起到了良好的效果。