网络犯罪黑灰产业链的样态与规制
The following article is from 国家检察官学院学报 Author 学报编辑部
本文转载自国家检察官学院学报,作者:喻海松,最高人民法院研究室刑事处处长,法学博士
0
摘要
网络犯罪分工日益细化,形成了“流水线”式作业分工,滋生出与之相关联的黑灰产业链。黑灰产业为网络犯罪“输血供粮”,危害严重,对其如何加以有效规制,已经成为我国刑法理论和司法实务必须面对的问题。立足当下,对网络犯罪黑灰产业链的刑事规制应立基于积极解释的立场,用足用好刑事立法现有规定,以帮助信息网络犯罪活动罪作为堵截性罪名,并注重实现刑事规制的罪刑均衡。着眼长远,针对当前刑事规制的困境,应当注重分析相应黑灰产滋生的原因,完善相关前置法律,综合施策、标本兼治,真正实现对网络犯罪黑灰产业链的有效规制。
随着互联网的不断普及和信息技术的飞速发展,网络犯罪日益分工细化,黑灰产业链迅速滋生蔓延。黑灰产为网络犯罪“输血供粮”,严重危害网络安全和秩序,侵犯人民群众合法权益,亟须有效规制。对此,应当对网络犯罪黑灰产业链的产业逻辑、业内生态进行专门研究,并相应调整刑事规制和司法适用的基本立场,有针对性地对网络黑灰产业链进行类型化分析和刑事规制困境检视,继而形成相应的刑事规制完善之策,综合施策、标本兼治,真正实现对网络犯罪黑灰产业链的有效规制。
1
网络犯罪黑灰产业链与刑事规制立场
(一)网络犯罪的分工细化与黑灰产业链
当下,网络犯罪呈现出高发频发态势。与传统犯罪、甚至早期黑客犯罪(危害计算机信息系统安全犯罪)的“单打独斗”完全不同,当前网络犯罪通常表现为“协同作案”。从网络犯罪案件的审判情况来看,平均每件网络犯罪案件涉及2.73名被告;超四成网络犯罪案件为两人及以上团伙犯罪,三人及以上共同犯罪的案件占比逐年提高。值得进一步关注的是,网络犯罪不仅表现为共同犯罪凸显和共犯人数众多,更为重要的是犯罪活动分工细化,逐步形成“流水线”式作业。在此背景下,各类网络犯罪盘根错节,滋生进化出复杂的网络犯罪生态体系,形成了分工合作、彼此依赖、利益共享的黑灰产业链。
网络犯罪黑灰产并非严谨的法律术语,而是基于实践状况的形象概述。一般认为,黑产通常是指触犯法律的网络违法犯罪行为。例如,为下游网络犯罪窃取、提供账号密码和研制钓鱼网站、仿冒网站等黑产行为,显属违法、甚至犯罪行为。与黑产有所不同,灰产则游走在法律边缘,通常距离直接实施的网络犯罪较远,甚至只是为黑产提供辅助,对其定性需要视具体情况而定、甚至存在一定争议。例如,恶意注册账号、身份认证等灰产行为,本身并未明显违反规定,相关行为又并非只能用于违法犯罪,故对其定性难以一概而论。但是,黑产与灰产之间的界限并非泾渭分明,而是相互依附、交织,形成庞大的黑灰产业链。据有关数据,网络黑色产业与灰色产业交织在一起,产业规模保守估计过千亿元,社会危害性巨大。
(二)网络犯罪的要素与黑灰产业链的样态
各类网络犯罪方式有异,所需要素也会相应不同。概而观之,网络犯罪的实施通常离不开推广、技术、物料(信息类物料和工具类物料)、支付等要素:(1)宣传推广成为网络犯罪行为人吸引受害人或者参与人的主要渠道,发挥着桥梁纽带的作用。例如,网络开设赌场需要通过宣传推广吸引参赌人员,电信网络诈骗需要通过宣传推广吸引被骗群众。(2)当前,行为人通过使用他人研发的各种程序、工具实施网络犯罪,大大降低了犯罪成本和技术门槛,导致网络犯罪迅速蔓延。(3)信息类物料主要为网络犯罪提供虚假身份,如提供公民身份证信息、银行卡信息等,成为其逃避实名制的重要“屏障”。工具类物料主要为网络犯罪提供猫池、卡池、手机群控设备或者其他工具,以通过自动化手段组合各种资源实施违法犯罪活动。(4)网络犯罪的主要目的在于非法牟利,资金支付结算和变现是关键。正是通过资金支付环节,网络犯罪行为人套取、漂白违法所得,逃避国家资金监管,最终实现犯罪目的。
由此可见,在宣传推广、信息类物料供应、工具类物料供应、技术支撑、资金结算等五个关键阶段滋生出大量的黑灰产,形成了复杂的网络犯罪生态体系。具体而言:(1)在宣传推广环节,主要包括搜索引擎排名、微信公众号广告、短信群发等推广引流活动;(2)在信息类物料供应环节,主要包括提供银行卡四件套、企业八件套、精准公民个人信息以及计算机信息系统数据等;(3)在工具类物料供应环节,主要包括提供猫池、卡池、手机群控设备等;(4)在技术支持环节,主要包括非法APP制作研发、网站开发维护、虚拟定位、服务器租赁、网站域名技术服务、伪客户端工具平台等;(5)在资金结算环节,主要包括支付渠道、跑分平台、卡商平台、电商平台、话费充值、地下钱庄等。需要注意的是,上述黑灰产的关键环节和节点,不仅与网络犯罪相连,而且彼此相互交织,最终形成产业链。
(三)刑事对策的调整与刑法适用的立场
1.新近刑法修正案对网络犯罪黑灰产业链的规制
日益壮大的黑灰产业链是网络犯罪迅速蔓延的关键,故一段时期以来对网络犯罪的应对主要就是黑灰产业链的规制。针对网络犯罪黑灰产业链不断滋生蔓延的现状,我国及时调整刑事对策,涉及到适度扩张犯罪圈、前移刑事防线和惩治产业链等多个方面。特别是,新近刑法修正案中不少关于网络犯罪的修正,实际直指黑灰产。具体而言:
一是针对突出的黑灰产形态增设专门罪名。通过总结常见的网络犯罪黑灰产运行实际状况,刑法修正案将一些常见的黑灰产样态直接纳入刑事规制范围,设置专门罪名。例如,非法获取、提供公民个人信息是信息类黑灰产的主要样态,《刑法修正案(七)》、《刑法修正案(九)》先后通过增设和完善《刑法》第253条之一,设置侵犯公民个人信息犯罪专门法条的方式将其直接纳入刑事规制范围。又如,针对为黑客攻击破坏活动提供程序、工具的技术支持类黑灰产日益蔓延,且按照共犯处理证明困难的现实情况,《刑法修正案(七)》增设《刑法》第285条第3款,规定了专门的提供侵入、非法控制计算机信息系统程序、工具罪,将本属共同犯罪帮助犯的行为独立入罪评价。
二是增设非法利用信息网络罪。从实践来看,不少黑灰产涉及到设立网站、通讯群组、发布信息等形式。例如,宣传推广环节的黑灰产,常见形式就是发布违法犯罪信息。又如,技术支撑环节的黑灰产,不少表现为设立用于实施违法犯罪活动的网站、通讯群组。根据“打早打小”的策略要求,《刑法修正案(九)》增设《刑法》第287条之一,适度前移刑法防线,将为实施违法犯罪活动而设立网站、通讯群组、发布信息的行为独立入罪。
三是增设帮助信息网络犯罪活动罪。《刑法修正案(九)》增设《刑法》第287条之二,针对无法构成共同犯罪,或者按照共同犯罪处罚较轻的情况,将明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的行为规定为帮助信息网络犯罪活动罪,实现了网络犯罪利益链条中的帮助行为独立入罪。显而易见,该法条在罪状描述上就直接涉及技术支持、宣传推广、资金结算等多类黑灰产。
2.网络犯罪黑灰产业链的刑法适用立场
刑法是网络犯罪治理的重要手段,如何实现对网络犯罪黑灰产业链的有效刑事规制,是当前网络治理中的一项重要课题。就网络犯罪黑灰产业链的刑法适用而言,本文主张积极刑法观,从宏观层面而言,针对网络犯罪产业链条发展、进而形成生态的现状,要坚持全生态全链条的惩治对策;从微观层面而言,要用足用好刑法现有规定,根据网络犯罪黑灰产的特点,准确适用相关罪名,不断压制萎缩网络犯罪的生存空间。以此立场为基点,下文将选取网络犯罪黑灰产业链中手机黑卡产业链、网络账号产业链、网络流量产业链、资金通道产业链所涉问题进行探讨。在具体探讨前,有必要进一步提及如下三个基本观点:
其一,黑灰产不是犯罪绝缘体,全链条考察才是关键所在。当前,网络黑灰产实际上已经与直接实施的网络犯罪交织在一起,难以完全界分开来。例如,为电信网络诈骗、网络赌博等违法犯罪活动提供公民个人信息或者资金支付结算等直接帮助,甚至在上游进行宣传推广、提供工具等间接帮助的,实际上已经成为整个犯罪链条的有机组成部分。基于此,本文主张将黑灰产置于整个犯罪链条之中进行分析,以准确判断行为性质,更好地适用刑法相关规定。网络犯罪黑灰产业链中的某段行为,孤立来看,可能难以查明其危害性,导致对其行为的性质难以判断,从而出现了所谓处于法律灰色地带的“灰产”。例如,所谓的恶意注册账号、虚假认证,就其行为本身难以判断性质,但如果结合后续的流向、特别是对后续电信网络诈骗等网络犯罪的影响而言,则难以否认其社会危害。一言以蔽之,黑产与灰产既非法律术语,也无难以逾越的界限,从刑法适用的角度而言,立足点应当是刑法规定,对于符合刑法犯罪构成要件的行为,无论是黑产行为还是灰产行为,都可以依法追究刑事责任。
其二,其他罪名优先适用,帮助信息网络犯罪活动罪堵截。对于网络犯罪黑灰产业链的刑事规制,在其他罪名难以适用的前提下,可以充分考虑帮助信息网络犯罪活动罪的适用。一方面,这符合《刑法》第287条之二第3款规定的立法精神,即优先适用其他罪名。另一方面,这符合帮助信息网络犯罪活动罪作为网络犯的“堵截性罪名”的属性。申言之,对于严重危害网络秩序,具有严重社会危害性的网络犯罪黑灰产行为,如果不符合其他犯罪构成的,要秉持积极解释的立场,在坚持罪刑法定原则的前提下将其纳入帮助信息网络犯罪活动罪的适用范围,以尽力堵塞刑法规制漏洞。对此,本文在“二、手机黑卡产业链的检视”部分对帮助信息网络犯罪活动罪的司法适用有详细论述。
其三,刑罚并非越重越好,罪刑均衡最为重要。网络犯罪黑灰产业链的滋生,原因较为复杂,既有刑事规制不力的原因,更有前置法律不健全和管理不到位的原因。因此,运用刑法惩治网络犯罪黑灰产切不可“一打了之”“一味从重”。特别是,我国现行刑法关于网络犯罪的部分罪名设置距今较为久远,相关司法解释的制定系在黑灰产泛滥之前,对相关定罪量刑标准的设置可能未考虑到适用于黑灰产的情况。个别情形下,可能出现罪名形式符合但刑罚过重的现象。例如后文所述的流量劫持案件,一律适用破坏计算机信息系统罪,形式上似都符合构成要件,但刑罚可能存在畸重的现象。在此背景下,宜考虑对破坏计算机信息系统罪的构成要件作适当限缩解释,对部分案件选择适用罪刑更加均衡的非法控制计算机信息系统罪。总之,对网络犯罪黑灰产业链的刑法适用,应当特别注重罪责刑相适应原则的把握,妥当选择罪名,准确裁量刑罚,在司法裁判中确保刑罚轻重与所犯罪行和承担的刑事责任相适应。
2
手机黑卡产业链的检视
买卖手机黑卡属于网络犯罪黑灰产中物料供应环节的重要组成部分,其与后续的恶意注册账号、养号等活动往往交织在一起,形成了手机黑卡产业链,为下游网络犯罪提供帮助。在手机黑卡产业链中,黑卡的作用是隐蔽身份,使得有关部门无法查证行为人的真实身份。
(一)手机黑卡的出现与流向
自2013年9月我国电话实名制登记实施以来,不仅新入网用户实现了实名登记,未实名老用户也进行了补登记。然而,由于各种原因,非实名手机卡仍在一定范围存在,不少变成“黑卡”。黑卡是指未进行实名登记或者无法查实使用人员并被用于违法犯罪活动的移动电话卡(含无线上网卡)。实际上,使用他人身份进行实名登记的手机卡亦属黑卡范畴。
手机黑卡主要有物联网卡、海外卡以及使用他人身份注册的实名卡。具体而言:(1)物联网卡。物联网卡是指主要用于工业、交通、物流等领域的手机卡,无需实名认证,但需要以企业名义办理,提供营业执照即可办理。实践中存在利用虚假证件或者购买营业执照等方式办理物联网卡的现象。目前流通的手机黑卡中绝大部分是物联网卡。(2)海外卡。由于我国实行实名制,黑卡产业大量获取国内手机卡越来越难。在此背景下,近年来,大量来自东南亚国家的手机卡开始进入我国手机黑卡产业。这些卡支持GSM网络,进入国内后可以直接使用,无需实名认证。同时,这些手机卡基本是零月租、接收短信免费、成本低,在手机黑卡产业中的使用比例越来越高。(3)实名卡。此类实名卡规避实名注册,大致包括使用虚假身份注册、冒用他人身份注册以及收购他人实名注册的手机卡三种情形。
从实践来看,如图1所示,以手机黑卡为源头,形成了手机黑卡产业链,主要涉及如下几个环节:(1)卡源卡商,其掌握大量手机黑卡货源,加价转卖给卡商。(2)猫池产家,其负责生产猫池设备,并将设备出售给卡商使用。(3)卡商,其通过从卡源卡商购买大量手机黑卡,将黑卡插入猫池设备并接入卡商平台,然后通过卡商平台接各种验证码业务,以牟取利益。(4)接码平台,其负责连接卡商和羊毛党、号商等有手机验证码需求的群体。(5)羊毛党、号商。羊毛党主要靠批量注册账号以获取企业特定活动时的奖励。号商则靠批量注册和维护账号,并通过出售账号获取收益。如后一部分“网络账号链”所述,部分账号可能继续流向下游的网络犯罪,成为犯罪工具。
(二)买卖手机黑卡行为的定性
1.侵犯公民个人信息罪的区分适用。对于倒卖手机黑卡行为,司法实践中有观点主张适用侵犯公民个人信息罪。本文主张区分情况处理,对于未实名登记的黑卡,不宜适用本罪;但对于实名登记的黑卡,可以适用本罪。主要考虑如下:
其一,物联网卡和海外卡无法认定为侵犯公民个人信息罪的对象“公民个人信息”。具体而言:(1)公民个人信息的主体必须是自然人,而不包括单位。物联网卡属于单位开办的手机卡,不符合这一主体身份要求。(2)公民个人信息必须具有可识别性的特征,即“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况”。但是,无论非实名卡,还是海外卡,由于未进行实名登记,在没有附加其他识别信息的情况下,似难以认为具有个人信息所要求的可识别性。
其二,批量倒卖实名登记手机卡的行为可以构成侵犯公民个人信息罪。具体而言:(1)与未实名登记的物联网卡、海外卡不同,实名手机卡符合公民个人信息的认定要求,可以成为侵犯公民个人信息罪的犯罪对象。(2)无论是收购行为,还是出售行为,手机卡实名登记人的自愿不能阻却行为的违法性。根据《刑法》第253条之一的规定,侵犯公民个人信息罪的前提条件是“违反国家有关规定”。司法实践中反对适用侵犯公民个人信息罪的观点认为,对于征得手机卡实名登记人的同意、甚至其主动出售手机卡的行为,不能认定为“违反国家有关规定”。这一观点乍看似有道理,但细究起来是不能成立的:首先,从《民法典》关于个人信息的规定来看,最终未明确将个人信息规定为“个人信息权”,而是采用了“个人信息保护”的表述,并将自然人的个人信息权益归属于人格权益,实际上排除了自然人对其个人信息的排他权利。其次,尽管《刑法》将侵犯公民个人信息罪置于“侵犯公民人身权利、民主权利罪”一章,但不能排除侵犯公民个人信息罪所保护的是双重法益,既包括其人身权益,还包括国家关于公民个人信息的管理秩序。最后,根据《网络安全法》《反恐怖主义法》等法律规定,电话卡是标识身份,依法用于身份核验的凭证。出售和收购实名手机卡的行为,无论实名登记人是否同意,均违反了有关法律规定,属于非法出售或者获取。(3)对于倒卖实名登记手机卡的行为适用侵犯公民个人信息罪,应当准确把握“情节严重”的入罪要件。根据宽严相济刑事政策的要求,对于相关行为的刑事追究应当限于主观恶性较大、客观危害严重的情形,重点惩治“卡头”(组织者)。
2.帮助信息网络犯罪活动罪的再解释。对于明知他人利用信息网络实施犯罪,为其犯罪提供黑卡,情节严重的,可以视情适用帮助信息网络犯罪活动罪。具体而言:
其一,帮助信息网络犯罪活动罪纯正网络犯罪之否定。本文认为,帮助信息网络犯罪活动罪并非纯正的网络犯罪,其所涉客观方面可以由线下帮助行为构成。《刑法》第287条之二第1款将帮助信息网络犯罪活动罪的行为方式并列规定为“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持”和“提供广告推广、支付结算等帮助”。这就使得对于线下的帮助行为解释为“等帮助”之中,从体系解释的角度完全没有问题。据此,可以将为网络犯罪提供手机黑卡的行为纳入“等帮助”的范畴。
其二,帮助信息网络犯罪活动罪主观明知之把握。根据《刑法》第287条之二第1款的规定,本罪的主观方面表现为“明知他人利用信息网络实施犯罪”,《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号,以下简称《新型网络犯罪解释》)第11条对主观明知的认定确立了推定规则。其中,第四项规定为“提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的”。这主要是针对“并非社会正常活动所需,而系为违法犯罪活动提供帮助的专门服务”的活动,允许对相关从业人员推定主观明知。需要注意的,该项规定限定相关帮助行为系专门用于“违法犯罪”,而此处的“违法”并未明确要求限定为刑法分则规定的构成要件行为,而是应当理解为包括其他违法行为在内。据此,手机黑卡产业链中的相关行为,如果违反有关规定,且排除系正常社会所需要的活动,可以视情推定“明知”。例如,根据相关规定,“物联网行业卡不得开通点对点短信业务”,可以认为正常物联网业务活动不需要开通点对点短信业务。故而,如果相关物联网卡违规开通点对点短信业务,且相关业务流向下游犯罪的,可以推定主观明知。
其三,帮助信息网络犯罪活动罪帮助对象之把握。根据《刑法》第287条之二第1款的规定,本罪的帮助对象为“犯罪”。根据《新型网络犯罪解释》第12条的规定,帮助对象“犯罪”原则上要求查实;同时,在查证帮助对象“犯罪”困难的情况下,要求查实系刑法分则规定的构成要件行为,是否达到犯罪的程度在所不论。从帮助信息网络犯罪活动罪的办案实践来看,前者是应然状况,实践中难以适用。故而,帮助信息网络犯罪活动罪主要适用的场景是帮助刑法分则规定的构成要件行为的情况。但即便如此,要求一一查明被帮助对象实施的每一笔刑法分则构成要件行为也存在相当困难。
帮助信息网络犯罪活动罪涉及的被帮助对象多系电信网络诈骗等涉众型网络犯罪。《最高人民法院、最高人民检察院、公安部关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(公通字〔2014〕10号)第20条对此类犯罪的查证确立了特殊规则,不要求逐一查证,而是允许综合认定。据此,对于手机黑卡产业链的相关行为,最终用于下游网络犯罪的,在查实部分行为系刑法分则构成要件行为的基础上,应当允许对其他行为作综合认定。例如,通过黑卡注册大量金融账号,进而被用于电信网络诈骗,如果发现该账号共涉及多笔资金的,只要查实部分资金系电信网络诈骗所得,对于其他资金应当允许综合认定。
3
网络账号产业链的检视
网络账号是用户的“网络身份”。在以账号体系为基础的网络环境中,网络犯罪、乃至黑灰产的实施,均以大量获取账号资源为前提。在网络犯罪黑灰产业链中,这些网络账号为行为人隐蔽真实身份、逃避溯源追究,极大危害网络秩序安全。
(一)网络账号产业链的样态
当前网络犯罪持续高发多发,恶意注册产业成为滋生助长网络犯罪的核心利益链条之一。从实践来看,如图2所示,网络账号链条涉及上游、中游和下游三个环节:(1)上游非法获取网络账号,即通过批量注册、入侵拖库、钓鱼盗号、撞库、收购租用等方式非法获取网络账号;(2)中游养号,即通过系统模拟正常用户行为规避平台监管措施,或者通过人工添加好友等方式为下游犯罪物色目标人群,同时提升账号活跃度和价值;(3)下游违法犯罪,即网络账号最终被用于网络诈骗、网络招嫖等违法犯罪活动。
(二)网络账号产业链相关行为的定性
其一,非法获取计算机信息系统数据罪的适用。通过入侵、盗号、撞库等手段非法获取网络账号。具体涉及入侵拖库,即通过非法侵入并下载网络服务应用的数据库,从而获取网络账号信息;钓鱼盗号,即通过设立钓鱼网站,使用欺诈手段骗取用户的网络账号信息;撞库,包括两种情况:一是使用自动化批量处理工具,采用反复登录验证的方式,对批量获取的账号、密码信息(往往杂乱无章、无法匹配)与网络应用平台数据库中的数据信息进行关联比对,从而获取相互匹配的账号和密码,取得网络账号的控制权和使用权。二是将某一网络平台的账号秘密与其他网络平台的账号密码进行关联比对,从而获取不同网网络平台的网络账号信息。对于上述行为,特别是入侵、盗号行为,往往属于《刑法》第285条第2款规定的“侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据”,对于情节严重的行为可以适用非法获取计算机信息系统数据罪。
需要注意的是,实践中,对于利用网络工具绕过网络服务提供者的安全验证等风控措施,获取账号秘密等数据的行为,实践中有观点主张适用非法获取计算机信息系统数据罪。本文持否定立场。主要考虑:对于绕过网络服务提供者的账号验证、风控规则,获取验证数据的行为,确实违反了《网络安全法》等要求网络运营者对用户真实身份进行核验的法律规定。但是,非法获取计算机信息系统罪的客观方面必须表现为“侵入行为”或者“采用其他技术手段”。对于利用网络工具注册账号的行为,实际上并未侵入网络服务提供者的系统,也没用采用其他技术手段,似不符合非法获取计算机信息系统罪的客观要件。
其二,侵犯公民个人信息罪的适用。对于恶意注册账号环节涉及非法获取或者提供公民个人信息的行为,显然可以适用侵犯公民个人信息罪。对此,应无疑义。需要注意的是,对于后续倒卖恶意注册账号的行为,也可以构成侵犯公民个人信息罪。网络账号密码,特别是具有信息发布、即时通信、支付结算等功能的网络账号密码,应当认定为公民个人信息。对此,《侵犯公民个人信息罪解释》第1条也作了明确列举。因此,对于符合可别性特征的自然人网络账号密码,可以纳入公民个人信息的范畴,对其非法出售、获取的行为可以适用侵犯公民个人信息罪。
其三,其他罪名。例如,《刑法》第280条之一规定了使用虚假身份证件、盗用身份证件罪。对于在网络账号恶意注册产业链中,黑产人员利用使用伪造、变造的或者盗用他人的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件,进行虚假注册,如相关行为属于依照法律、行政法规等国家规定应当提供身份证明的活动的,则可以考虑适用该罪名。此外,对于明知他人利用信息网络实施犯罪,为其犯罪提供账号,情节严重的,可以视情适用帮助信息网络犯罪活动罪。
4
网络流量产业链的检视
在网络犯罪中,网络流量多被作为网络犯罪的目标和工具。就前者而言,主要是指修改网页数据,将用户强制跳转至目标网页,以窃取、劫持流量;就后者而言,主要是指通过非法侵入计算机信息系统等方式,大量控制计算机信息系统,形成“肉鸡”,进而实施倒卖。从司法适用来看,对于以网络流量作为目标的行为,多表现为实施DDoS攻击,可以适用破坏计算机信息系统罪,对此并无争议,兹不赘言。在此只探讨流量劫持行为的定性问题。
(一)流量劫持的样态
从实践来看,流量劫持案件的表现有多种形态:有的篡改正规网站数据,将定制的数据展现在修改后的网页上,从而窃取正规网站用户流量;有的通过黑客技术对域名解析服务器进行攻击,篡改域名解析策略,将网民流量牵引到目标网站。流量劫持的目的行为多种多样,但主要涉及如下几种:(1)劫取流量,即劫取目标网站的流量,进而将获取的流量出售套现。(2)非法获取身份信息,即通过仿制需要登录或者支付的官方网站,再通过流量劫持等方式使用户访问,获取用户登录或者支付所用的账号密码等信息资料。这些身份信息被进而用于注册各类网络账号服务或者其他违法犯罪。(3)骗取资金,即通过仿制官方网店、第三方线上交易网站,通过流量劫持等方式让用户点击登录假网站进而进行支付,从而骗取支付的资金。
(二)流量劫持案件的区别对待
案例1:2013年底至2014年10月,行为人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,被告人再将获取的网络用户流量出售给“5w.com”导航网站所有者,违法所得合计754762.34元。法院经审理认为,行为人违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,均已构成破坏计算机信息系统罪。
案例2:自2017年7月开始,行为人为赚取赌博网站广告费用,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。截止2017年9月底,行为人链接被植入木马程序的目标服务器共计113台,其中包含部分政府服务器。法院经审理认为,行为人构成非法控制计算机信息系统罪。
案例1是全国首例流量劫持入刑案件,审理过程中,对于具体罪名适用,存在盗窃罪和破坏计算机信息系统罪等不同主张,法院最终认定为破坏计算机信息系统罪。案例2,审理过程中,对于具体罪名适用存在非法控制计算机信息系统罪与破坏计算机信息系统罪等不同主张,法院最终认定为非法控制计算机信息系统罪。本文赞同上述两个案件的最终裁判结果,认为对流量劫持类案件的罪名适用应当注意如下几个问题:
第一,不宜适用盗窃罪。根据《刑法》第264条的规定,盗窃罪的对象为公私财物,构成盗窃罪的前提是犯罪对象具有财产属性。但是,网络流量是否具有财产属性,尚无明确的前置法律规定。特别是,《民法典》第127条尚未明确承认数据、网络虚拟财产的财产属性(“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”)。基于刑法“二次法”的属性要求,在前置法律规定不明的情况下,对于盗窃网络流量案件适用盗窃罪尚需慎重。
第二,适用非法控制计算机信息系统罪和破坏计算机信息系统罪应当具体情况具体分析。根据《刑法》第286条的规定,破坏计算机信息系统罪在客观方面表现为三种行为方式:(1)破坏计算机信息系统功能。(2)破坏计算机信息系统数据、应用程序。(3)以传播计算机病毒等破坏性程序形式破坏计算机系统。对于流量劫持类案件,不会涉及到第三种行为方式,而主要是前两种行为方式。
就DNS劫持而言,行为人对域名解析服务器进行攻击,应当认定为破坏计算机信息系统功能的情形。而且,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第4条专门提及了“域名解析服务器”。因此,可以认为,对于案例1所涉DNS劫持案件适用破坏计算机信息系统罪并无太大争议。需要进一步探讨的,对于案例2通过修改目标网站数据的方式进行浏览劫持的案件,究竟应当适用破坏计算机信息系统罪还是非法控制计算机信息系统罪。此种情形下,可能适用破坏计算机信息系统罪的情形只能是第二种行为方式,即对数据进行“删除、修改、增加的操作”。但是,从技术原理上而言,对计算机信息系统进行非法控制,也可能涉及到对数据的增删改操作。这就要求从两罪的立法精神上予以区分,以作出准确界分。所谓破坏计算机信息系统罪,应当重在破坏,虽然《刑法》第286条第2款不要求对数据的增删改达到“造成计算机信息系统不能正常运行”或者“影响计算机信息系统正常运行”的后果,但恐怕也不宜理解为只要对数据有增删改即可构成破坏计算机信息系统罪。作此理解,将无法对通过破坏非主要数据进而控制计算机信息系统的行为与破坏计算机信息系统的行为区分开来。因此,对于《刑法》第286条第2款对数据的增删改的行为应当限定为危害数据安全的相关行为,而非只要对数据进行增删改即可构成。而且,从非法控制计算机信息系统罪和破坏计算机信息系统罪的罪刑配置来看,也宜认为破坏计算机信息系统罪是重罪,应当对破坏数据的行为作适当限缩解释,解释为对主要数据进行增删改操作的情形。而就案例2所涉情形来看,行为人通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为《刑法》第285条第2款规定的“采用其他技术手段”非法控制计算机信息系统的行为。在此过程中,确实存在对数据进行增加、修改的操作,但所修改的并非主要数据,也未影响所针对计算机信息系统的正常运行,实际上是非法控制的操作,故认定为非法控制计算机信息系统罪更为适宜,更符合罪责刑相适应原则的要求。
5
资金通道产业链的检视
网络犯罪的目的通常在于非法获利,故资金通道是网络犯罪链条中最为关键的一环。资金通道链为网络犯罪提供支付、电子商务、游戏、取现等资金流转、掩饰、套现通道,涉及通道搭建、资金转移、取现、洗钱等环节。从实践来看,资金通道链条涉及购买虚拟产品、三方/四方支付、虚拟货币、租码跑分平台、地下钱庄等多种形式和环节。
(一)非法经营罪的适用
对于未经批准从事网络资金支付结算业务的可以适用非法经营罪。当前,跑分平台、第四方支付等平台未获得国家支付结算许可,违反国家支付结算制度,聚拢大量个人、商户的支付宝、财付通、云闪付等支付账号或者银行账号,通过“化整为零”的方式,为网络赌博、电信诈骗、淫秽色情等网络违法犯罪提供资金代收代付服务,掩饰资金来源,规避国家反洗钱调查。对此,《最高人民法院、最高人民检察院关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件适用法律若干问题的解释》(法释〔2019〕1号)将违反国家规定,使用受理终端或者网络支付接口等方法,以虚构交易、虚开价格、交易退款等非法方式向指定付款方支付货币资金的情形解释为《刑法》第225条第3项规定的“非法从事资金支付结算业务”。据此,对于网络犯罪资金通道链,符合上述情形的,可以适用非法经营罪。需要注意的是,对于此处规定的“资金支付结算业务”,不宜作过于泛化的理解,从而将为提供银行卡供人接收流转资金等行为也纳入其中,以符合社会一般观念的认知。
(二)妨害信用卡管理罪的适用
当前,实践中出现了贩卖他人信用卡(包括贷记卡和借记卡)的活动,甚至出现了交易四件套的现象。由于此类交易除信用卡外,往往还包括该信用卡绑定的身份证信息、U盾、密码及手机卡,故实践中适用的罪名有异:有的适用妨害信用卡管理秩序罪,有的适用收买、非法提供信用卡信息罪。本文主张适用妨害信用卡管理秩序罪。
根据《刑法》第177条之一第1款的规定,“非法持有他人信用卡,数量较大的”,构成妨害信用卡管理罪。而根据第2款的规定,“窃取、收买或者非法提供他人信用卡信息资料的”,构成窃取、收买、非法提供信用卡信息罪。根据《最高人民法院、最高人民检察院关于办理妨害信用卡管理刑事案件具体应用法律若干问题的解释》的规定,非法持有他人信用卡5张以上的构成前罪;窃取、收买、非法提供他人信用卡信息资料,足以伪造可进行交易的信用卡,或者足以使他人以信用卡持卡人名义进行交易,涉及信用卡1张以上的,即构成后罪。从字面意义上作客观解释,似可以认为贩卖他人信用卡的行为同时符合两罪的构成要件。但是,如果探究立法精神作主观解释,就不难发现司法解释设置相差悬殊入罪标准的原因。之所以在妨害信用卡管理罪的基础上,进而设置窃取、收买、非法提供信用卡信息罪,主要针对的是利用的是伪造信用卡的窃取、收买、非法提供信用卡信息这一预备环节,考虑到相关犯罪的查证困难,将其独立入罪。有鉴于此,对于网络犯罪黑灰产业链中的贩卖他人信用卡行为,主要是为了转移支付资金,而通常不会涉及伪造信用卡,故不宜适用窃取、收买、非法提供信用卡信息罪。而且,从具体刑罚来看,适用妨害信用卡管理罪,也更加符合罪责刑相适应原则的要求,将危害较大的“卡头”作为主要惩治对象。
(三)帮助信息网络犯罪活动罪的适用
对于明知他人利用信息网络实施犯罪,为其犯罪提供资金支付结算,情节严重的,可以构成帮助信息网络犯罪活动罪。就此而言,不仅相关平台可能构成,直接参与的行为人也可能构成。以租码跑分为例,租码即出租(微信、支付宝等平台的)收款码,“跑分”源自电脑或者手机的性能评测,在网络支付领域指非法网络平台利用高额收益为诱饵,诱导用户充值保证金获取相应积分,支付一定报酬,账户积分被相应扣减的一系列流程。这名义上是一种赚取佣金的网络兼职,实际上是一种新型洗钱手段。跑分平台提供的实际上是为犯罪团伙收款的服务。对于明知是信息网络犯罪活动,而为其提供跑分服务的,对于平台和参与者而言,可以认定为帮助信息网络犯罪活动罪所涉的“帮助”行为。而且,如前所述,此类跑分活动明显不是正常社会所需,可以认定为“提供专门用于违法犯罪的帮助”。
6
余论:网络犯罪黑灰产业链的标本兼治
近年来,网络犯罪层出不穷,背后是黑灰产业链的迅速发展和助推。在网络犯罪相当长时期内仍处于高发、频发态势的背景下,运用刑法对网络犯罪黑灰产业链进行有效规制,无疑是必要的。但也应当看到,刑法的积极作为不意味着刑法的万能,尽管刑法在黑灰产治理中作用明显、效果突出,然而单一维度依赖刑事法规制则只能治标、尚难治本。
应对网络犯罪黑灰产业链,要靠刑事惩治开路,更要靠健全相应的前置行政法律法规建立长效。以前述黑卡产业链为例,网络实名制尚未完全落实到位是主因,对物联网卡和海外卡未采取有效监管措施,导致了此类黑卡在网络犯罪黑灰产业中的泛滥。而在运用刑法进行惩治的过程中,成功追究刑事责任的实际上是少数,多数仍游离在规制之外,形成所谓的灰产,其原因还在于前置的法律规定和管理不健全。总而言之,有效应对网络犯罪黑灰产业链,既要发挥刑法惩治的功能,更要依靠行政管理、行业自治等多元手段,通过有针对性地探究网络犯罪黑灰产业滋生的具体原因,注重健全完善相关前置法律规定、强化行政法的事前规制,最终实现网络犯罪黑灰产业行业防范、事前规制、事后惩治的一体化治理。