数据犯罪刑事治理的新思路——以流量造假行为为切入
数据犯罪刑事治理的新思路
——以流量造假行为为切入
本文作者贾斯瑶、郭旨龙,精简版参见《中国检察官》2022年第7期。因篇幅限制,注释省略。
摘 要:数据因具有独立的法益价值,出于数据信用保护法治化等因素考虑,需要将数据纳入刑法保护对象,并加大对数据犯罪的治理。流量造假是典型的数据犯罪,通过分析流量造假相关犯罪,发现在当今数字时代对于数据犯罪的刑法适用存在行为认定有差异、罪名适用不统一等问题。基于数据犯罪刑事治理的需要,应重视数据的独立性,将数据作为独立犯罪对象进行评价。同时,也需基于类型化思维,对数据犯罪行为进行类型化归罪。
关键词:数据犯罪 流量造假 网络犯罪 数据法益
“流量造假”是指通过不正当技术手段,伪造播放量、下载量等浏览数据的欺诈性行为。从实现路径看,分为机器点击和人肉刷量模式,利用大量非实名电话卡伪装用户或通过网络水军实施恶意点击。流量造假对网络数据造成污染,影响网民的理性判断,破坏网络平台的信任机制。《网络信息内容生态治理规定》明确表达对流量造假的抵制态度,对涉数据违法行为的规制不应止步于规范性文件,刑法亦责无旁贷。流量造假行为具备社会数字化转型下数据犯罪的典型特征,本文选此为切入点,通过检验我国现行犯罪罪名体系的可适性,试图解决以下三方面问题:第一,数据犯罪刑法制裁的正当性;第二,现有刑法罪名体系能否完整有效保护新经济形态下的数据;第三,数据犯罪刑事治理有效途径。
一、数据法益刑法保护的正当性
数字经济时代,数据呈现出基础性战略资源和关键性生产要素的双重价值属性。数据在驱动社会关系、商业形态重构的同时,所面临的安全风险也随其价值的逐步凸显而日渐突出。数据价值的独立释放将为推动刑法审慎调和现行“静态数据-动态信息”耦合式法益保护模式与现实法益保护需求之间的紧张关系提供契机。
(一)法益保护需求:数据法益独立化
加强数据法益的刑法保护是大势所趋。有学者从信息技术层面出发,认为数据表征的新型法益为数据安全,针对数据安全的自身独立保护需求具体表现为数据的保密性、完整性、可用性。在此基础上,有学者针对网络爬虫现象提出法益指向是数据的控制与操作,网络爬虫的智能性决定了爬取行为的不法内涵在于非法访问,核心在于突破计算机信息系统的安全机制。有学者则以个人信息保护为视角,提出了“权力束”概念,梳理刑法不同章节中涉个人数据保护的具体罪名体系,论证个人数据具有多重利益属性。上述“分散式”数据安全保护模式从不同侧面顺应了数据的时代价值转向。无论是早期通过程序自动更换IP、Cookie伪造请求的方式实现的不实流量投放,还是当前日臻成熟的依托于恶意注册的机器点击黑灰产业态,其行为本身可能侵害的计算机系统安全性、公民个人信息权等多种法益在一定程度上尚未超出现行刑法对数据进行的保护。迈入数字经济时代,有必要将“数据法益”升格为独立法益,作为数据安全刑法保护模式的原点。
(二)法益具体指向:数字经济秩序
第一,在数字经济秩序形成之前,“数据”独立价值处于静默状态,“流量=金钱”的公式将其激活。数据价值实现依赖数字经济秩序的有效运作,以“数字经济秩序”为法益可以突出流通变现价值,与破坏计算机信息系统等罪名中侧重的相对静态的数据安全形成区分。从长期保护态势上看,“数据”持续流通和交易后其价值将超越“数据”本身。伪造的数据掩盖真实的用户需求、误导网络活动参与主体的经营决策,长此以往将造成网络市场“劣币驱逐良币”的不良后果。
第二,以“数据”作为法益无法解决个人法益和集体法益的选择问题。一方面,数据的权属存在广泛争议:数据人格权说认为,数据具有人格权属性,为保护个人隐私应具体包括知情权、被遗忘权等。数据知识产权说认为,数据属于智力成果,应归属于具有知识形态的劳动产品。数据新型财产权说认为,数据权围绕主体对数据的利用控制可被财产化,又分为个人数据财产权和企业数据财产权。数据权利与数据主体在短时间内难以类型化为完全对应关系,多种权利属性的重叠是数据法益保护困难的症结,法益价值难以聚焦。另一方面,数字经济时代的社交机制决定了“数据”为构建信任体系的重要基础,其可靠性具备独立的法益价值。根据社群经济发展原理,社群变现基础包括技术条件、产品价值、情感认同度和信任体系。流量数据是体现大众认同度的重要指标,损害流量的可信度将直接危及数字经济的基础秩序。数字时代刑法的法益保护指向应当关注到数据法益侵害的现实转向,实现从技术与现实双重层面对数据法益的全面覆盖。
(三)入罪必要:数据信用法治化
数据收集渠道广泛、算法科学,其在外部特征上更具有天然可信性。数据信用不仅是电子商务良性发展的前提,更是数字经济秩序的根基。根据保护客体的法益理论,如果某种规定只保护特定的秩序,而不去避免具体的损害,那么这些规定在刑法中就没有任何地位。数据造假行为的不法本质是流量价值释放的风险现实化,会对数字经济秩序造成冲击。数据信用在数字经济红利下具有全民共享的群体性利益的特质,符合应受刑法保护的新型法益的特征,满足法益侵害原则的要求,需要法治化保障。
二、数据犯罪引发的刑法罪名适用困境
数据在网络犯罪中的地位经历了附属型技术元素向并立型价值客体的转变,数据违法犯罪行为侵害的法益具有复合性、独立性,数据流量型犯罪频发,也引起了传统刑法罪名选择适用争议。
(一)数据犯罪行为协作化
与传统犯罪、早期黑客犯罪的“单打独斗”完全不同,当前网络犯罪通常表现为“协同作案”,数据犯罪行为内部形成了链条化模式:上游搜集用户身份,通过批量注册、盗号撞库等方式非法获取网络账号;中游模拟用户行为规避平台监管,提高账号活跃度;下游实施违法犯罪行为,将账号与刷量平台相对接,进行流量伪造与套现。
(二)流量造假行为认定存有差异
在线刷单行为通过发布虚假信息扰乱市场秩序。如淘宝刷单案中,行为人创建刷单网站并吸纳淘宝网卖家成为会员,收取会员费。通过虚假交易、虚假好评方式提升店铺销量,牟利90万余元。法院认为,行为人以营利为目的,明知是虚假的信息仍通过网络有偿提供发布,扰乱市场秩序,情节特别严重,其行为已构成非法经营罪。
流量劫持案件中,行为人租赁多台服务器撰写恶意代码,修改路由器的DNS设置在用户登录常规网站时自动跳转至目标网站,将获取的用户流量出售给目标网站所有者,违法所得70万余元。法院认为,行为人违反国家规定,对计算机信息系统中存储的数据进行修改,后果特别严重,构成破坏计算机信息系统罪。
程序植入的案件中,行为人向存在安全漏洞的目标服务器植入木马程序,再链接该程序,获取目标服务器后台浏览、增加、删除等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。
上述案例表明,流量造假大多作为谋取非法利益的核心手段,引发各式各样的犯罪行为。由于网络环境的复杂性与隐蔽性,流量造假犯罪结构层层嵌套,在行为定性及罪名选择中导向了不同的结论。
(三)流量造假行为的罪名适用困境
1.破坏生产经营罪。对于流量造假行为,部分学者认为应以破坏生产经营罪评价,例如在淘宝刷单案中,行为人主观具有获利目的,客观上导致受害店铺搜索降权无法正常经营,符合破坏生产经营罪的构成要件。持相反意见学者认为,破坏生产经营罪核心是故意损坏财物从而破坏生产经营。本案中仅仅通过提高成交量与提升好评度,并未直接对他人店铺的经营产生不良影响,导致该店铺经营受限是触发了淘宝网对恶意刷单的处罚机制。如果将刷单行为定性为破坏生产经营,是对破坏手段不适当的扩大解释。
2.破坏计算机信息系统罪。破坏计算机信息系统罪侵害的法益是计算机信息系统的安全,保护对象为各种计算机信息系统的功能及系统中存储、处理或传输的数据及应用程序。但流量造假的技术手段大大提升,无需破坏平台算法或威胁其正常运行,只需要通过批量点击、不断更换访问IP地址、切换域名,连续访问目标网站等手段同样可以达到流量造假的效果。
犯罪手段上,伪造流量的行为与破坏计算机信息系统罪所希望打击的行为具有本质区别。建立自动刷量的手机矩阵,多台手机同时进入目标网站是十分普遍的分布式技术,并不具有违法性。欺骗流量统计的指标,包括网站的独立用户数量、总用户数量、页面浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等参数,是一种“温和”而巧妙的骗术,并未直接破坏计算机信息系统程序或功能,只是规则系统内的“作弊”行为,难以适用破坏计算机信息系统罪。
3.非法利用信息网络罪。有学者提出,电商平台中的流量造假行为是利用信息网络建立通信群组,从而发布虚假信息,符合非法利用信息网络罪的构成要件。非法利用信息网络罪是典型的以网络为工具的新型犯罪,其旨在专门规制滥用信息网络实施传统违法犯罪的行为,一般是指为实施违法犯罪活动,而设立网站、通讯群组或发布违法犯罪信息。上海市奉贤区人民法院在一份判决书指出,被告人的犯罪行为虽利用信息网络有偿发布了不实信息,但实质上侵害的是市场经济秩序,而非法利用信息网络罪或帮助信息网络犯罪活动罪实施的是网络犯罪,侵害的是正常网络秩序和社会管理秩序。当非法利用信息网络行为案发时,该犯罪已经进入到传统关联犯罪的实行阶段,启用传统罪名予以回应更加具有针对性。根据预备行为实行化理论,预备行为一般会伴随实行行为而发生。而按照吸收犯的原理,即使能够准确识别非法利用信息网络的行为,也只应按实行行为涉及的罪名进行定罪,导致非法利用信息网络罪适用的困难。
三、数据犯罪刑事治理新思路:围绕数据使用进行类型化归罪
随着罪名体系的完善,构成要件设置的严密性逐步替代了行为类型的反复推导。但当现有规范体系无法完美适配新生的数据犯罪时,行为类型化评价意义凸现。
(一)将“数据”独立为犯罪对象
刑法破坏计算机信息系统罪和非法获取计算机信息系统数据罪中,对网络犯罪对象的界定为“计算机信息系统”和“计算机信息系统内的数据”。从本质上看,其是将“数据”理解为附着于计算机信息系统的产物,延续了初期的立法动因。在云特征增强的趋势下,该规定无法将网络空间中的数据纳入保护范围。笔者认为,应重视“数据”自身的独立性与可操作性,将“数据”作为独立犯罪对象。刑法第286条第2款规定,将系统中存储、处理或传输的数据和应用程序作为破坏计算机信息系统罪的犯罪对象,从而将“程序”纳入刑法保护范畴,但是“程序”仍附属于计算机信息系统而未作为独立犯罪对象。
围绕计算机信息系统的立法范式,是将“信息”作为网络犯罪对象的核心。破坏、侵入计算机信息系统的行为,直接指向的是系统的信息性。以“信息”作为犯罪对象基本单元的思路,能有效打击已经表现为“信息”的犯罪行为,例如侵犯公民个人信息罪、传播虚假信息罪等,但对于隐蔽性更强、无需转换为“信息”仅以数据形态可直接引发社会危害性的行为难以规制。网络空间发展初期,数据与信息往往同时出现,网络犯罪形态多以破坏基础设施、网络安全存在,对其行为层面概括时更多关注于显性的“信息”侧。大数据时代,“数据”不再静默于计算机信息系统内,跳脱出固定的载体而流动。孤立的系统安全和数据安全的关联性预设不再成立,网络数据安全的价值重要性开始占据主导地位。因此,坚持将信息作为犯罪对象的立法思路必然无法将数据犯罪纳入刑事打击范畴。
此外,不将“数据”从计算机信息系统剥离,容易造成破坏计算机信息系统罪司法适用混淆。如果利用计算机终端向云端上传了一个信息,在此过程中极易将计算机信息系统功能与计算机信息系统数据相混淆,把中的计算机信息系统做扩大解释,将所有操作在终端上归结于计算机信息系统。这背离了该罪名设立的初衷,无论是否危及计算机信息系统的正常运行和安全,都可能被司法机关视为符合该罪的罪状描述。相反,如果将“数据”作为独立的犯罪对象,根据链条中各个环节对“数据”的动态操作进行区分,则可以轻易区分该行为的外在特征与法益指向。
(二)数据犯罪行为类型化评价
将“数据”作为独立犯罪对象的最大益处,是能够更加清晰地对行为做出类型化区分、评价。网络犯罪的核心场景不断转变,从网络1.0时代的软件、系统,到网络2.0时代的网络空间、平台,始终关注网络犯罪场景的物理化特征,导致了对网络空间不同犯罪行为的人为割裂,未能完全构建虚拟犯罪的制裁体系。如果延续当前网络犯罪的立法思路,将无法扭转刑事立法与现实罪情之间的代际滞后。
面对“互联网+”转型要求,有学者提出增设“利用信息网络妨害业务罪”,将在现代信息社会利用信息网络妨害业务的危害行为进行定性,即对利用互联网刷单炒信,在系统外对他人的计算机信息系统实施物理性干扰,以及有权进入他人计算机信息系统后对关键数据进行操作的行为,应以利用信息网络妨害业务罪定罪处罚。将利用信息实施危害行为定性为毁坏财产型犯罪,要求达到妨害业务的标准。但由于利用信息网络与妨害业务的危害性中间存在不确定性与时间间隔,难以举证行为与结果之间的必然因果关系。
网络犯罪多个罪名之间的行为呈现同类化的状况与趋势,网络犯罪正在形成中间层面跨罪名的行为类型。这对网络犯罪中犯罪模型的构建提出了更高的要求,也意味着对网络犯罪行为的类型化分析提出了难题。德国学者提出“提取公因式”的构成要件设置方法,相关犯罪应当如《德国刑法典》第303条b破坏计算机罪一样,将所有的攻击方式置于一个条文中,以简化构成要件。国内也有学者提出,信息网络犯罪刑事立法应采取同质、同类构成要件并行类型化模式,即在同一个或同质、同类罪名下,对定罪量刑起实质性、关键性作用的构成要件要素进行并行立法。
在我国数据犯罪的刑事治理思路上,需围绕“数据”对生成、收集、存储、加工、使用、交易、公开、销毁等行为做出类型化整合。关注“数据”的动向,弥补犯罪的“量”与“质”的断层,使刑法打击点有效前置从而抑制数据犯罪危害的进一步扩张。以“数据”为“公因式”,不再将所有使用数据的行为概括为“利用信息网络”或“获取计算机信息系统数据”,而是根据不同的数据使用行为来进行类型化归罪评价:在收集数据时,未经数据权利人许可探知、获取、爬取数据的行为可能构成非法获取数据罪;存储数据中、公开数据中造成数据损坏的可能构成数据丢失、数据窝藏、数据泄露罪;在数据加工、使用、提供、交易、公开的过程中,采取篡改数据、伪造数据等作伪手段故意欺瞒相对人的,可能构成数据造假罪;在数据加工、使用、提供、交易过程中可能构成滥用数据罪、非法出售提供数据罪、拦截数据罪等。
法大网络与智能法研究会
往期回顾:
赛博论坛|专题4 王利明、王锡锌、周汉华、张新宝、申卫星、龙卫球等@个人信息保护