員工刪除鏈家資料庫被判7年,企業如何構建內部系統安全

  南方財經全媒體記者 吳立洋 實習生余述懷 北京報道

  據中國裁判文書網消息,原鏈家網(北京)科技有限公司資料庫管理員韓冰因犯破壞計算機信息系統罪一審被判處有期徒刑七年,二審維持原判。 

  2018年6月4日 ,鏈家網(北京)科技有限公司資料庫管理員韓冰利用其擔任並掌握該公司財務系統「root」許可權的便利,登錄該公司財務系統,並將系統內的財務數據及相關應用程序刪除,致使該公司財務系統徹底無法訪問。

  據了解,被破壞的伺服器是公司專門用於 EBS 系統的 2 台資料庫伺服器和 2 台應用伺服器,存放著公司成立以來所有的財務數據,直接影響公司人員的工資發放等,對公司整個運行有非常重要的意義。該公司恢複數據及重新構建該系統共計花費人民幣 18 萬元。 

  被判有期徒刑七年 二審維持原判

  根據鏈家公司職業道德建設中心總監及技術保障部高級總監的證詞,在公司發現財務系統出現問題后,為了「排查」內部人員的反應,於是收集了有許可權進入公司財務系統的五位技術保障部成員的電腦,除韓冰以外,其餘四人均主動上交了個人筆記本電腦和密碼,只有韓冰拒不交代自己的筆記本電腦密碼。后其公司認定韓冰與公司財務系統問題脫不開干係並報案。

  經國家信息中心電子數據司法鑒定中心及北京中海義信信息技術有限公司司法鑒定所在鏈家公司現場及韓冰 蘋果 電腦上提取與檢驗鑒定,被告人韓冰的蘋果電腦主機名 Yggdrasil及Mac地址與案發當日現場登錄伺服器分配的客戶端ID所接入設備的主機名及 IP地址對應的訪問終端一致,法院認定其在2018年6月4日的行為日誌中有登錄財務系統執行-shred、-rm命令進行刪除操作的記錄。

  經過對電腦記錄的鑒定以及鏈家提供的視頻資料等信息,法院一審認定韓冰破壞計算機信息系統罪,判處有期徒刑七年。此後韓冰提起上訴,其辯護人認為,本案事實不清、證據不足,不能排除合理懷疑,應疑罪從無。但法院最終二審駁回上訴,維持原判。

  對於本案中被告人韓冰被判處七年有期徒刑的法理依據,上海申龍律師事務所夏海龍律師向21記者分析稱,根據《刑法》的規定,行為人觸犯破壞計算機信息系統罪後果特別嚴重的,處五年以上有期徒刑,而根據《最高人民法院最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》的有關規定,行為人造成經濟損失五萬元以上的,就屬於「後果特別嚴重」,基準刑就在五年以上。綜合上述規定,本案中韓冰造成經濟損失18萬元,刪除數據高達9T,顯然屬於「後果特別嚴重」,被判七年有期徒刑符合刑法規定。

  此外,行為人是否具有自首、坦白情節,是否認罪認罰等均會影響法庭的最終量刑。被告人韓冰在刪除公司9TB數據后拒不承認,且不配合提供電腦、手機密碼。雖然公司修複數據花費了18萬元,但情節嚴重,最終被判處7年有期徒刑。

  幾度反映財務系統問題但未受重視

  在韓冰的證詞中,其刪庫的原因並未體現。但有媒體報道稱,據其同事透露,韓冰任職期間曾發現公司財務系統有安全問題併發郵件告訴了鏈家的另一位資料庫管理員張某,並先後兩次向多位領導反映財務系統安全問題,建議公司啟動安全項目來修復安全問題,但未被重視。

  兩周后,財務線工作的部門被劃到了信息線,二人又向信息線領導周小龍彙報了財務系統的安全問題,並建議啟動安全項目進行修復,但依舊沒有被採納,甚至在建議的過程中和周小龍起了爭執。 

  對於涉事中的其他相關人士漠視安全隱患或不作為的現象,夏海龍律師表示,雖然公司其他人員對系統風險的漠視和不作為與本案被告實施犯罪之間不存在關聯,也未有教唆或幫助行為,無須承擔刑事責任,但其他人員如前述信息線領導、職業道德建設中心總監未重視數據安全隱患也極有可能違反了公司內部管理規定或勞動合同約定,需要就相關損失向公司承擔賠償責任。

  但就此案被告人韓冰本身實施的犯罪行為,鏈家公司認為其從事前的怠工到事後對調查的不配合,均是造成公司最終損失的罪魁禍首。鏈家公司職業道德建設中心總監還在證詞中提及,韓冰於2018年2月到公司負責財務系統維護,5月被調整至技術保障部,工作地點也產生變動。韓冰對組織調整有意見,覺得自己不受重視,調整之後消極怠工,經查看公司監控錄像,韓冰經常遲到早退,也有曠工現象。

  近年來,員工置氣報復公司的刪庫事件頻發,如何在涉及企業信息安全及保密工作中維護好系統安全合規變得尤其重要。夏海龍律師向21記者表示,公司應當採取更有效的技術手段加強內部信息系統和數據安全保護、分散核心系統許可權、增加驗證層級,制定更為規範的系統安全制度,填補管理漏洞,最大限度避免因員工個人原因造成的刪庫事件。

  而在法律層面的裁量與判決也日漸清晰,有理有據。「無論出於何種原因,員工擅自刪除公司信息數據的行為都是嚴重違反公司內部管理制度的,客觀上也會造成公司損失,因此會面臨被解除勞動關係和賠償損失的民事法律風險。從刑法角度看,根據員工的具體目的和所涉信息系統、數據的不同性質,則有可能觸犯非法侵入計算機信息系統罪、破壞計算機信息系統罪、幫助毀滅證據罪、破壞生產經營罪等多個罪名。」夏律師向21記者解釋。

  (作者:實習生余述懷,吳立洋 編輯:李潤澤子)

台灣疫情資訊

台灣疫苗接種

相關熱門