返回上一页 文章阅读 登录

陈兴良:互联网帐号恶意注册黑色产业的刑法思考

更新时间:2019-11-21 21:32:53
作者: 陈兴良 (进入专栏)  
提供购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’”。因此,采取购买的非法方法获取公民个人信息的行为,应当构成侵犯公民个人信息罪。

  

   在司法实践中,恶意注册的公民个人信息,无论是提供者或者获取者都可能采取技术手段取得。因此,通过技术手段非法获取公民个人信息,在恶意注册黑色产业中也是较为常见的现象。这里的技术手段获取公民信息主要包括拖库、撞库等方式。拖库是指黑客对目标网站进行扫描,查找其存在的漏洞,常见漏洞包括SQL注入、文件上传漏洞等。通过该漏洞在网站服务器上建立后门(webshell),通过该后门获取服务器操作系统的权限,或者实施权限绕过,最后利用系统权限直接下载备份数据库,或查找数据库链接,将其导出到本地。撞库则是指黑产人员在掌握了部分公民信息(多包括网络帐号、密码)后,通过批量登录的方式,利用部分用户在不同互联网平台使用相同账户名和密码的习惯,获取用户多个网络账户名和密码,进而获取更多公民信息。这种通过技术手段非法获取公民个人信息的行为,首先符合侵犯公民个人信息罪的构成要件,应当以该罪论处。同时,还要分析这种行为是否构成侵入计算机信息系统罪。根据我国《刑法》第285条的规定,非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。因此,通过技术手段非法获取公民个人信息的行为,在通常情况下,都是侵入计算机信息系统而实现的,其所获取的公民个人信息都表现为计算机信息系统的数据,因而该行为同时构成非法获取计算机信息系统数据罪。在这种情况下,侵犯公民个人信息罪与非法获取计算机信息系统数据罪之间存在竞合关系,应当以一重罪处断。

  

   2. 为恶意注册提供或者获取虚假的个人信息和身份资料行为的定性

  

   在恶意注册黑色产业链中,恶意注册的账号可能是所谓白号,即并不存在真实主体的账号。那么,这种根据虚假的公民个人信息进行恶意注册的行为是否构成侵犯公民个人信息罪呢?根据最高人民法院和最高人民检察院《解释》第1条的规定:“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”公民个人信息是自然人的信息,这里的自然人是否要求是真实存在的人,这是该问题的核心。从我国法律规定来看,对公民个人信息的保护,并不仅仅是对互联网秩序的保护,更为重要的是对公民个人隐私的保护,即对公民个人人身权利的保护。因此,侵犯公民个人信息罪的保护法益具有双重性:一方面是互联网的正常秩序;另一方面是公民个人权利。例如《网络安全法》第1条规定:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。”在此,《网络安全法》将公民个人的合法权益和互联网的安全同时规定为该法保护的客体。而侵犯公民个人信息罪就是对公民个人信息保护的最为重要的法律规定。因此,这里的公民个人信息是指真实存在的、能够与个人对于的信息,而不能包括非实名的,即并非真实存在的个人信息。此外,我国刑法中的伪造国家机关、公司、企业、事业单位、人民团体证件、印章罪,也以与其对应的真实的国家机关、公司、企业、事业单位、人民团体为前提。如果捏造并不存在的国家机关、公司、企业、事业单位、人民团体,并制作其印章,并不构成伪造国家机关、公司、企业、事业单位、人民团体证件、印章罪。因为该罪的保护法益是国家机关、公司、企业、事业单位、人民团体的信誉,这种信誉受损以这些单位真实存在为前提。如果并不存在这种单位,虽然这种伪造行为也会扰乱社会管理秩序,但并不会损害国家机关、公司、企业、事业单位、人民团体的信誉,因此不能构成该罪。基于以上论证,笔者认为,对于利用白号等非实名手机号卡进行注册的行为不能构成侵犯公民个人信息罪。如果利用这些号卡进行其他犯罪活动的,应当以其他犯罪论处。

  

   (二)利用公开渠道收集的公民个人信息进行恶意注册能否构成侵犯公民个人信息罪?

  

   在恶意注册产业链中,有些公民个人信息是通过公开途径收集的。在互联网环境中,大量公开场景提供了公开的公民信息和企业信息,例如通过遗失申明、转让申明等公开面登报的方式,可以获取相关公民个人身份证;通过部分企业信息查询APP、国家企业信用信息公示系统,亦可以获取到企业相关注册信息,而这些信息可能被利用在需要使用企业信息注册的场景之中。这里的问题是侵犯公民个人信息罪中的公民个人信息是否包括公开的公民个人信息?信息法律保护主要区分为两种模式,这就是美国的隐私保护模式和欧盟的人格权保护模式。隐私保护模式将公民个人信息保护理解为对公民个人隐私的保护,因此,如果已经公开的公民个人信息就不在保护之列。而人格权保护模式则认为,个人信息的保护是超越隐私保护利益范围的,它是对公民个人基本权利的保护,因此,即使是公开的个人信息也同样受到保护。我国学者指出:我国关于侵犯公民个人信息罪的司法解释第1条没有采用“涉及个人隐私信息”的表述,而是表述为“反映特定自然人活动情况的各种信息”。因此,公民个人信息不要求具有隐私的特征。即便相关信息已经公开,不属于个人隐私的范畴,仍然有可能成为公民个人信息。当然,对于已经公开的公民个人信息可以成为侵犯公民个人信息中的个人信息,应当进行适当的限制。例如,被告人收集以广告形式出现的公民个人信息,进行加工,并进行出卖,该行为是否构成收集公民个人信息罪呢?笔者的观点是不能构成该罪。因为虽然被告人收集的是公开的公民个人信息,但这些信息是从广告上收集来的,广告本身具有广而告之的性质,对于该信息进行传播并不侵犯公民个人信息权益。

  

   (三)在涉及提供身份信息资料的场景,除认定侵犯公民个人信息罪之外,能否认定身份证类型犯罪?

  

   这里的身份证类型的犯罪,是指我国《刑法》第280条第3款规定的伪造、变造、买卖身份证件罪和第280条之一规定的使用伪造、变造、买卖的身份证件罪。这里的伪造、变造、买卖身份证件罪,是指伪造、变造、买卖居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件的行为。这里的使用伪造、变造、买卖的身份证件罪,是指依照国家规定应当提供身份证明的活动中,使用伪造、变造的或者盗用他人的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件,情节严重的行为。在网络账号恶意注册黑色产业中,黑产人员利用伪造、变造的或者盗用他人的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件进行虚假注册,当然可以构成上述身份证类型的犯罪。因为这里的使用行为,不仅包括伪造、变造、买卖身份证件的行为人自己使用,而且还包括其他明知是伪造、变造、买卖身份证件的人使用。因此,只要黑产人员恶意注册的行为符合上述犯罪的构成要件,就可以构成使用伪造、变造、买卖的身份证件罪。

  

   (四)利用公民自愿提供的个人信息进行注册和身份绑定如何定罪?

  

   在现实生活中,社会上部分人员为生活所迫或对个人信息的安全意识不强,将自己的身份证、银行卡等信息以一定价格售卖给他人。这些公民个人信息被恶意注册黑产人员所利用,以少量金钱报酬利诱防范意识相对较差的老人,从而使对方自愿地出售个人信息甚至身份证件照片等。在这种公民个人自愿提供个人信息的情况下,不存在侵犯公民个人信息权益的问题,因此收购者和使用者的行为不构成侵犯公民个人信息的犯罪。对于这些大批量地收购公民身份证等个人信息的行为,确实具有较大的社会危害性,但我国刑法对此没有明文规定,目前尚不构成犯罪。

  

三、 恶意注册黑色产业链中游行为是否构成犯罪的评析

  

   恶意注册黑色产业链的中游行为就是指广义上的恶意注册行为,这是恶意注册产业链的核心行为。行为人利用从接码平台处取得的手机号和验证码以及打码平台获得的图像验证码识别,利用公民信息、自动化运行工具和突破安全保护措施的工具,完成整个注册过程和养号过程。应当指出,我国刑法对于恶意注册行为本身并没有规定为犯罪,因此,不能对恶意注册行为直接定罪。然而,在我国刑法理论上,对于这种恶意注册行为能否通过法律解释方法,对其按照相关法律处罚,存在一定的争议。

  

   (一)恶意注册黑产行为是否构成非法经营罪?

  

   恶意注册作为一种经营行为是否构成认定非法经营罪呢?恶意注册在我国已经形成一个黑色产业,黑产人员基于主观上的营利目的,专门从事恶意注册及养号活动,以此作为营利手段,这就提出了恶意注册黑产行为能否按照非法经营罪论处的问题。对恶意注册黑产行为按照非法经营罪论处观点的主要理由,我国学者周光权教授归纳为三点:首先,非法经营罪观点认为,被告人的行为违反了关于实名制的国家规定。国家已经全面实施了网络服务实名制的规则,根据全国人大常委会《关于加强网络信息保护的决定》和《电话用户真实身份信息登记规定》(工业和信息化部令第25号),电话用户真实身份信息登记已于2013年9月1日起全面实施;2017年6月1日起施行《网络安全法》第24条亦明确规定了网络服务的前提是用户提供真实身份信息。由此,销售不具有实名的黑卡和利用黑卡注册不具有实名的互联网账号是违反了国家规定的行为。其次,被告人的行为违反了关于互联网服务的国家规定。

  

   依照全国人大常委会《关于维护互联网安全的决定》的规定,利用互联网实施该决定第1条、第2条、第3条、第4条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。依照《互联网信息服务管理办法》,国家对经营性互联网信息服务实行许可制度,对非经营性互联网信息服务实行备案制度,未取得国家有关部门的许可,不得从事互联网有偿信息服务。提供互联网账号这一行为本身是互联网信息服务中的一种,恶意注册账号和养号群体虽然并非提供用户注册、使用账号的平台,但其行为实质上是为那些不通过自身注册账户的人员提供了账户服务,可以理解为一种互联网服务,由此也违反了关于互联网服务的国家规定。最后,恶意注册账号和养号产业的存在,客观上规避了通信及网络服务实名制的规定,其社会危害性是显而易见的。

  

在以上三个理由中,前两个理由是违反国家规定,这是非法经营罪的规范构成要件要素;第三个理由是行为具有社会危害性,这是非法经营罪的实质处罚根据。根据我国《刑法》第225条的规定,非法经营罪是指违反国家规定,有下列非法经营行为之一,扰乱市场秩序,情节严重的情形:①未经许可经营法律、行政法规规定的专营、专卖物品或者其他限制买卖的物品的;②买卖进出口许可证、进出口原产地证明以及其他法律、行政法规规定的经营许可证或者批准文件的;③未经国家有关主管部门批准非法经营证券、期货、保险业务的,(点击此处阅读下一页)

本文责编:limei
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/119141.html
文章来源:《清华法学》2019年第6期
收藏