华为员工利用职务之便非法获取数据信息售卖第三方被判刑 - 网安

易某于2006年12月至2018年3月期间在华为技术有限公司（以下简称华为公司）任职。因工作需要，易某拥有登录华为公司企业资源计划(ERP）系统的权限，可以查看工作范围内相关数据信息。

华为公司禁止员工私自在ERP系统查看、下载非工作范围内的电子数据信息。

2010年12月，易某从华为公司线缆物控部调任后，未按华为公司的要求将ERP账户线缆类编码物料价格的查询权限清理，至2017年底，易某违反规定多次通过越权查询、借用同事账号登录的方式在ERP系统内获取线缆物料的价格信息。

2017年以后，易某发现ERP系统中的POL采购小程序存在漏洞，能通过特定操作绕过权限控制查看系统数据，便以此方式获取线缆物料的价格信息。

易某将非法获取的价格数据以发短信、打电话、发电子邮件的方式告知深圳市金信诺高新技术股份有限公司（华为技术有限公司的供应商，以下简称金信诺公司），从而帮助金信诺公司在华为公司的招标项目中提高中标率。

经查，易某在2016年12月27日至2018年2月28日期间，多次通过邮箱xxx@huawei.com”将华为公司多个供应商共1183个（剔除重复部分共918个）线缆类编码物料的采购价格发送给金信诺公司。

经查，易某在2012年至2017年6月30日期间，收受金信诺公司购物卡共计7000元、篮球鞋5双（价值共计人民币16437.6元）。

另查明，案发后，华为公司出具谅解书，表示对易某侵害华为公司的行为予以谅解。

一审裁定：

易某违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段，获取计算机信息系统中存储、处理或者传输的数据，情节严重，其行为已构成非法获取计算机信息系统数据罪。公诉机关指控的罪名成立。易某归案后如实供述，当庭认罪认罚，取得被害单位的谅解，系初犯，原审予以从轻处罚。依照《中华人民共和国刑法》第二百八十五条第二款、第五十二条、第五十三条第一款、第六十四条、第六十七条第三款之规定，判决：

一、易某犯非法获取计算机信息系统数据罪，判处有期徒刑一年，并处罚金人民币二万元；

二、继续向易某追缴违法所得共计人民币23437.6元，依法予以没收，上缴国库。

易某上诉

请求撤销原审判决，并依法改判为免于刑事处罚。

主要理由为：

1、其行为是否构成非法获取计算机信息系统罪存有争议，应疑罪从无，判处其免予刑事处罚。首先其主观上没有犯罪故意；其次其违规获取的仅是计算机系统中储存的设备材料历史价格的电子信息，并不是本罪法条所规定的系统数据。

2、其并未采用技术手段非法侵入华为公司的信息系统，其实质为利用工作便利、权限及公司小程序的漏洞，获取相关信息，且并未给华为公司造成实际损失。

3、其系初犯、偶犯，犯罪情节较为轻微，未造成恶劣的社会影响或重大损失。

4、华为公司出具了谅解书，依法应当对其从轻处理，但原审未考虑该重要情节。

其辩护人的意见为：1.本案上诉人行为实则更符合侵犯商业秘密罪的构成，但基于其行为轻微，尚不足以构成侵犯商业秘密罪，疑罪从无，判处免于刑事处罚更适宜。2.上诉人并未采用技术手段非法侵入华为公司信息系统，且并未给华为公司造成实际的损失。3.上诉人系初犯、偶犯，行为情节比较轻微，其对错误行为已进行深刻反省。4.华为公司混乱粗放的管理制度，以及ERP系统中POL采购小程序的缺陷，使得上诉人犯下错误，也负有一定责任。5.华为公司已出具对上诉人的谅解书。

二审裁定：

关于易某的行为是否构成非法获取计算机信息系统数据罪的问题，易某本人认为其是否构成本罪存有争议，其辩护人认为易某的行为更符合侵犯商业秘密罪的构成，经查，根据最高人民检察院公布的第九批指导性案例（检例第36号-卫某某、龚某、薛某某非法获取计算机信息系统数据案），非法获取计算机信息系统数据罪中的“侵入”，是指违背被害人意愿、非法进入计算机信息系统的行为，其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统，也包括未取得被害人授权擅自进入计算机系统，还包括超出被害人授权范围进入计算机信息系统。易某从华为公司线缆物控部调任后，按照公司规定，其已不具有在ERP系统查看相关电子数据信息的权利，其超出授权范围登陆该系统，并利用系统中POL采购小程序存在的漏洞，获取线缆物料价格信息的行为，属于侵入计算机信息系统的行为。易某非法获取计算机信息系统数据，违法所得超过人民币5000元，属于情节严重，已经构成非法获取计算机信息系统数据罪。其本人及辩护人的相关意见不成立，法院不予采纳。

法院认为，上诉人易某违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或采用其他技术手段，获取计算机信息系统中存储、处理或者传输的数据，情节严重，其行为已构成非法获取计算机信息系统数据罪。其在一审阶段认罪认罚，且华为公司出具了谅解书，一审判决已对其从轻处罚，其上诉请求再予以从轻处罚缺乏事实和法律依据，法院不予采纳。

综上，原审判决认定事实清楚，证据确实充分，定罪准确，量刑适当，审判程序合法。依照《中华人民共和国刑事诉讼法》第二百三十六条第一款第（一）项之规定，裁定如下：

驳回上诉，维持原判。

判刑解读：

所谓非法获取计算机信息系统数据罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统，或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据的行为。

按照《刑法》规定，实施上述行为，情节严重的处三年以下有期徒刑或者拘役，并处或单处罚金；情节特别严重的，处三年至七年有期徒刑，并处罚金。

需要注意的是，并非只要获取了他人计算机内的信息数据就构成本罪，要构成本罪的前提是具有违反规定进入计算机信息系统或者非法侵入计算机的行为。上述案件中，华为员工易某正是利用了ERP系统中的POL采购小程序漏洞，绕过了权限控制查看系统数据，并贩卖该数据从而获取非法利益。

按照相关司法解释的规定，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的，或者获取上述以外的身份认证信息五百组以上的，或是违法所得五千元以上或者造成经济损失一万元以上的即属于情节严重，需要判处刑罚。数量或者数额达到前束五倍以上的，则属于情节特别严重，最高可以判处七年有期徒刑。