当前位置:首页 > 法律热点

科普了解一下刑法修正案(七),数据刑侦的含义和发展趋势

阅读:

顾伟

上海市徐汇区人民检察院第三检察部副主任,四级高级检察官

要目

一、数据犯罪的界定

二、数据犯罪刑事立法现状和规制困境

三、数据犯罪的分类和特点

四、数据犯罪刑事规制的路径解析

随着信息技术和互联网的迅猛发展,社会生活已经进入数据互联的时代,“数据”成为了重要的生产要素,也成为了犯罪分子争相追逐的对象,各种针对数据本体、利用数据的犯罪层出不穷。目前,我国关于数据犯罪的立法仍呈现碎片化,罪名竞合情况突出,实践操作性不强,对新型案件处置的争议不断。对此,应立足于司法实践,将数据犯罪划分为数据获取类犯罪、数据造假类犯罪、数据攻击类犯罪以及数据犯罪的关联犯罪进行类型化分析,厘清不同行为的犯罪本质,提出具有可操作性的刑事规制路径。

一、数据犯罪的界定

根据中国互联网络信息中心(CNNIC)发布第49次《中国互联网络发展状况统计报告》,截至2021年12月,我国网民规模达10.32亿,较2020年12月增长4296万,互联网普及率达73.0%。网民规模不断扩大和更高的体验需求推动着数字服务在消费、生活、医疗、教育等各个领域的高速发展,同时推动着城市数字化转型的深入,社会经过信息互联、消费互联、生产互联的发展,已经正式进入数据互联和智慧互联的时代。在新时代,网络数据成为重要的生产要素之一,由于信息技术革命所带来的生产生活方式的根本性转变,经济发展模式已经开始向着以网络大数据及其控制权为核心的经济发展模式转变,网络数据也被赋予更多的经济和社会价值。

硬币都有正反两面,网络技术迭代和数据赋能升级也引发了更多的安全隐患,网络黑灰产蓬勃发展,利用计算机技术实施的网络攻击频频发生,各种侵犯隐私、名誉以及利用网络漏洞非法获利的行为更是随处可见。因此,打击网络犯罪,净化网络空间是我国站在历史交汇点上首先要面对和解决的问题。对此,司法机关重拳出击重点打击各类网络犯罪,保护公民各项权益,2021年检察机关起诉利用网络实施诈骗、赌博、传播淫秽物品等犯罪28.2万人,同比上升98.5%,成效显著。但另一方面,为了保障信息网络技术创新、业务模式变革,刑法有效控制利用信息网络犯罪的同时,又要依托于前置性法律规范有效建构信息网络业务规则,明确业务行为正当性的界限。以此保护好市场中的各种权益免受网络犯罪的犯罪侵害,把握好刑法介入适当性与业务行为正当性的规范界限。因此,对于网络犯罪,特别是数据犯罪的界定、分类和精准处置有着极为必要的研究意义。

数据犯罪的概念

目前,理论界和实务界对数据犯罪尚没有统一的界定,但关于数据犯罪予以立法确定的讨论由来已久,这种讨论即符合司法实践关于精准打击网络犯罪的客观需求,顺应大数据时代网络技术的发展,同时也有其独特的法理价值和实践探索的意义。笔者认为数据犯罪应当是内含于网络犯罪的概念,但更体现犯罪对网络安全的影响和对数据本体的侵害。

从学理上,广义上的网络犯罪包括所有发生在网络空间的犯罪;狭义上的网络犯罪是指那些发生在网络空间,并且不能被传统犯罪所涵括或者具有不同于传统犯罪的特殊性的犯罪。从实务角度,2019年11月最高人民法院发布了《司法大数据专题报告之网络犯罪特点和趋势》,明确其所界定的网络犯罪是指以互联网为工具或手段实施的危害社会、侵害公民合法权益的行为,或是对计算机系统实施破坏的行为。而2021年1月最高人民检察院发布了《人民检察院办理网络犯罪案件规定》,明确本规定所称网络犯罪是指针对信息网络实施的犯罪,利用信息网络实施的犯罪,以及其他上下游关联犯罪。可见,司法机关对网络犯罪的界定更多是从打击的范围和便利角度出发,采取的是广义上的界定。

续言之,既然实务界对网络犯罪进行了极为宽泛的界定,将绝大部分犯罪行为都纳入其中,两高近年来出台的相关司法解释也逐渐确定了各类新型网络犯罪的打击重点和处置标准,此时是否还有需要另行界定数据犯罪?笔者认为,从网络犯罪的趋势看,传统的借助互联网环境实施的犯罪,诸如电信诈骗、网络赌博等,其更多是简单将线下犯罪复制到线上进行,法律适用争议不大;而通过编写专门工具程序,或者利用技术手段直接威胁到网络环境和数据安全的犯罪呈明显上升趋势,诸如撞库打码、流量劫持等,取证难度大,入罪标准不一,主客观行为与罪刑难以匹配,大量存在同案不同判的情况,亟待统一。近年来更是衍生出“微网络犯罪”形式,表现为“海量行为×微量损失”和“海量行为×低量损害”两种新行为样态。前者是利用互联网应用的广泛联络,对不特定的海量公众进行尝试性侵害,虽然犯罪成功率很低且只对个体造成微量损失,但实际被害人众多,累积危害后果严重;后者为新型网络犯罪所特有,单次危害行为的社会危险性低,通过利用信息网络大量实施,累积危害达到严重程度。在巨大利益的催化下,这些犯罪模式的升级变化侵害着所有网络用户的权利。此类犯罪的本质就是“数据犯罪”,即针对数据安全实施的各类犯罪行为,包括使用计算机技术手段和未经授权故意危害、获取、删除、修改、发布计算机数据,侵害数据本身的保密性、完整性和可用性的行为。

数据犯罪侵害法益多维性的分析

数据安全法明确数据是指任何以电子或其他方法对信息的记录。而信息又是一个极大的概念,可以泛化至一切内容的载体。随着网络空间被赋予越来越多的内容,数据记录的信息所对应的社会价值也呈现多样性。因此,与传统犯罪不同,数据犯罪侵犯法益多维性是常态化的状态,不论是以数据本体为对象的犯罪、利用数据实施的犯罪还是关联犯罪,都可能伴随着对国家安全的威胁、对信息系统的危害、对社会秩序的损害、对个人权益的侵害、对企业权益的侵害等法益侵害中的一种或多种同时存在。

1.数据犯罪对信息系统安全的法益侵害

如果对数据犯罪进行溯源,其最早存在的形态应当是纯正的计算机犯罪,彼时网络技术尚不发达,系统概念较为狭窄,实施犯罪的目的就是为了破坏系统安全和信息网络安全。在进入万物互联的时代,物联网、车联网的出现,系统和网络的概念更加广泛,数据的处理模式和载体更趋多样,智能手机、冰箱、车辆都被纳入信息系统的范畴,对这些设备的侵入和对网络连接过程的破坏,就会造成广义上对信息系统的侵害。进一步而言,行为人通过非法VPN跨境实施攻击行为,或者违规将境内数据传送至境外,就会造成对国家网络安全的危害。

2.数据犯罪对网络空间秩序的法益侵害

在大数据时代,数据是支撑和承载网络正常运行的基本元素,也是记录和传播信息的媒介。因此,数据的真实性是网民在互联网中知情权、获得感的有效保证,网民希望获取的新闻咨询完整准确,消费评价真实透明,这些都是数据真实性的外在表现。但有的单位或个人为了获取不当利益,采用各种侵入行为故意修改或屏蔽真实数据,通过不正当竞争侵害他人权益,或者编造虚假信息予以传播,造成了网络公共秩序的混乱。

3.数据犯罪对个体权益的侵害

随着社会生活的方方面面都被网络化,人们的各类权益、企业的各种经营行为都可以用网络数据来体现,比如金融账户中的财产权数据,网页软件中的个人信息数据,地图软件中的行踪轨迹数据,企业数据库中的商业秘密,上述数据分别对应着个体的财产权、隐私权、名誉权、经济权益等,除了身体和生命健康之外,网络数据已经基本可以实现对个体权益的全覆盖。如果犯罪行为以上述数据为客体实施加害,相关结果就会映射到现实生活,并对个体权益造成侵害。

二、数据犯罪刑事立法现状和规制困境

数据犯罪相关罪名梳理

基于本文对数据犯罪的界定,其包含了一切妨害数据安全的行为,侵害的法益也呈现多元化,数据侵害行为可能关联的犯罪分布在刑法各个章节。为了厘清在数据犯罪中各个可能涉及罪名,可以从侵害行为和法益保护两个角度对类罪进行梳理。

从侵害行为角度出发,现行刑法中涉及到与数据客体相关的罪名主要有四类,一是针对计算机信息系统数据实施的犯罪行为,包括非法获取计算机信息系统数据罪和破坏计算机信息系统罪;二是针对属于商业秘密的网络数据实施的犯罪行为,即侵犯商业秘密罪;三是针对公民个人信息数据实施的犯罪行为,即侵犯公民个人信息罪;四是针对财产性数据权益的犯罪行为,即盗窃罪、诈骗罪。

此外,由于我国刑法的章节设置和罪名安排是根据保护法益予以分类,又可从数据保护的模式对罪名和行为予以划分,一是经济秩序保护模式,无论是窃取、收买、非法提供信用卡信息罪还是侵犯商业秘密罪,都是作为侵犯经济秩序利益的犯罪而存在;二是人格权保护模式,包括侵犯通信自由与个人信息权的行为;三是物权保护模式,通过传统财产犯罪为个人的财产类数据提供刑法保护的可能;四是公共秩序保护模式,非法获取计算机信息系统数据罪与破坏计算机信息系统罪均作为保护数据安全和维护网络秩序而存在。

数据犯罪竞合问题凸显

从上述对数据犯罪涉及罪名的梳理可以发现,人工智能时代数据呈现多元化价值,数据之于整个犯罪链条的意义和性质已经不再局限于犯罪对象,不少数据犯罪将数据与人工智能技术作为一种犯罪手段。实践中,数据犯罪的认定存在此罪与彼罪的识别困难,出现了计算机罪名之间的竞合,计算机罪名与传统罪名的竞合。例如关于刑法第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯罪的,依据本法有关规定定罪处罚。对于本条属于法条指引还是注意性规定存在不同认识,但至少可以明确立法者在制定计算机罪名相关法律时已经注意到了本章节罪名或者说数据类犯罪的竞合性,并做出了提示性的规定。

究其根源,前述罪名竞合问题主要是源于数据犯罪不可捉摸的发展性,立法者为了解决实践中的难题,往往选择“兵来将挡、水来土掩”的立法思路。但这种“碎片化”的立法缺乏全局性、整体性与关联性,无法有效解决一些共性交叉或潜在问题,增加司法适用时的竞合频次。举例来说,刑法第286条破坏计算机信息系统罪被编入刑法分则第六章妨害社会管理秩序一章中,立法目的是从妨害社会管理角度强调对系统稳定有效、安全运行的可期待性给予保护,但对可期待性过度解读,反过来又会放大破坏计算机信息系统罪的“口袋化”问题。另一方面,由于本条三款规制的行为,包括了对计算机系统的侵害、对数据的增删改以及制作传播破坏性程序,基本涵盖了数据犯罪的全部样态,与其他罪名的竞合难以避免,特别是本罪第二款对抓取系统传输数据进行增删改的行为,出现了各地法院的不同判决,判决盗窃罪、非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪以及本罪的皆有。直至最高法发布张竣杰等非法控制计算机信息系统案(指导案例145号)后,对破坏计算机信息系统罪的口袋化得到了一定遏制。因此,各地实践中需要更加强调对刑法适用的解释,以及对数据安全法益保护的落脚点做评判。

对数据安全、信息安全的重视度不够

数据犯罪的核心是非法和未授权的计算机行为,而我国计算机罪名是以技术限定性为中心而不是以信息内容安全为中心的立法,信息内容安全则更很大程度上被忽略了,在虚拟法益的类型化以及与传统刑法的嵌入上存在一定的偏离和断裂。此外,数据犯罪与传统刑法体系的契合也有待进一步调和,如何在网络空间安全这一抽象法益保护与传统法益之间寻找平衡点可能是今后立法的方向。在立法调整前,两高出台的相关司法解释已经预见性地对数据犯罪相关罪名的入罪情节、量刑标准作出了罪量要素的规定,这些关于“情节严重”“情节恶劣”的确定是典型的情节犯满足刑罚可罚性条件的定量要件,而这些情节中也充分吸纳了违法所得、网络危害、侵害后果等全面化的要素。

以2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》为例,第4条关于破坏计算机信息系统功能、数据或者应用程序“后果严重”的规定做了列举,有对系统侵害、控制数量、违法所得、经济损失、影响范围等规定,而公安机关在查办本罪中,由于技术限制、取证难度等问题,往往选取最为便利的取证路径,绝大多数的案件都是以犯罪嫌疑人违法所得来认定入刑。但是,违法所得取决于行为人事后直接或间接获利的情况,一定程度上反应了其主观恶性,但不能直接反应计算机犯罪对网络空间的影响,也违背了数据犯罪设定的初衷。因此,有必要强化对司法机关办案的引导,在数据犯罪中突出对犯罪行为造成网络危害和数据安全影响方面的取证和证明,回归数据犯罪打击的本质。

三、数据犯罪的分类和特点

要解决我国数据犯罪立法和司法中存在的问题,首先应当对数据犯罪的基本行为予以类型化分析,同时按照动态犯罪链条模式进行犯罪的处置,从实践经验出发,规划立法的路径。从既往实践看,数据犯罪的目的性较为明确,或为数据本体、或为系统安全,因此根据不同的犯罪手段和危害结果,可以将数据犯罪分为数据获取类犯罪、数据造假类犯罪、数据攻击类犯罪以及数据犯罪的关联犯罪。

数据获取类犯罪

数据获取类犯罪是指行为人通过各种手段非法获取计算机信息系统中存储数据的行为,侵害了数据本体的安全性和保密性,行为的目的性单一,但手段各异。具体而言根据犯罪手段不同又可细分为三种情况:一是通过侵入性的计算机手段获取数据,例如通过黑客手段侵入他人公司服务器后下载存储在服务器上的公民个人信息、企业商业秘密;二是通过编写自动软件或代码,通过反复验证、发送请求获取数据,比较多见于网络薅羊毛和撞库类行为,其中薅羊毛一般是利用账号自动生成器或者多开外挂,批量获取网站福利、游戏道具等行为,而撞库则需要配合打码等行为,实现获取他人网站账号的目的;三是通过窃取、骗取他人系统或者软件的登陆权限,进而获取数据的行为,此类犯罪大多发生于线上线下结合的情况,其获取数据的行为看似合法平和,但获取权限的行为具有非法性。

数据造假类犯罪

数据造假类犯罪是指行为人利用各种手段修改系统存储数据,或者将虚假数据予以公开发布的行为,需要明确的是“数据造假”并非指虚构或者伪装数据的行为,而应当进行实质性判断,即数据本体或反应内容的虚假性,此类行为往往直接侵害数据安全和网络公共秩序。根据实质判断可将此类犯罪分为两类:一是违背数据生成规则制造数据的行为,例如刷单炒信,行为人为了增加流量或者商户信誉,利用云台控制技术控制大量账号或者寻找刷手,制造虚假交易记录、评价记录,实现不正当竞争。而更为直接的行为是通过抓包软件将传输过程中的数据截流后修改部分数据内容,多见于修改金融账户资金、虚增网络游戏账户道具的情况,该些数据的产生都违反了网络规则,具有当然的违法性;二是数据反映内容与现实不符的情况,例如“秦火火案件”“杭州女子取快递被造谣案”,行为人通过发布不实信息引发舆情,此类行为与前述造假行为具有相似性,但两者目的有所区别,前者更多是通过数据造假实现个人利益,而后者的目的是造成网络秩序的混乱。

数据攻击类犯罪

数据攻击类犯罪是指利用计算机技术手段实施的网络攻击,造成系统瘫痪或者影响系统正常运行等危害结果。此类犯罪与早期计算机犯罪的概念相近,只是更强调利用数据实施系统攻击。例如,常见的DDOS攻击,控制和利用大量“肉机”同时对某一系统发送请求,造成系统负载过量导致瘫痪,目前纯正的DDOS攻击较为鲜见,更多是进行小规模攻击后联系被害方实施敲诈勒索非法获利的情况;此外,在自媒体时代,流量成为了互联网商家和个人争夺的主要目标,由此出现了一些利用流量劫持的软件,如通过DNS劫持实现了对网络用户正常访问的强制跳转和重定向,影响用户信息系统的正常功能,获取“非法”流量。

数据犯罪的关联犯罪

数据犯罪作为与网络犯罪孪生出现的一种犯罪,其天然具备网络犯罪的特征,比如分工明确、犯罪链条长等,对共犯适用争议较大。近年来相关“犯罪教程”“恶意软件”在网上肆意传播,出售“两卡”“跑分洗钱”的行为也愈加猖獗,使得非技术人员都可能通过简单学习,完成专业性较强的数据犯罪,对分层打击、准确定性都提出了难度,这些帮助行为的社会危险性不亚于被帮助的行为,因此有必要对关联行为亦做一个区分和分析。实践中,数据犯罪的关联行为主要包括“引流推广”“提供工具”“技术支持”“支付结算”等。其中“引流推广”是指明知他人实施数据造假类犯罪而提供广告宣传、搭建平台等行为,与前述流量劫持不同,此时引流行为的手段往往不具有直接非法性,对其处置与否取决于对后续行为的认知和帮助;“提供工具”是指为犯罪行为人提供非法软件、程序,这些工具往往针对特定的网站、服务器,具有侵入性,一般不具备任何合法的功能,如撞库软件、“爆通讯录”软件等;“技术支持”是指为犯罪提供一些辅助性的技术帮助,例如为赌博网站提供后台维护和数据统计,为非法软件制作超级签或者SDK插件等;“支付结算”是指为他人实施数据犯罪后提供转账服务,达到将非法资金过滤洗白的目的,提供“两卡”、跑分行为就是其中的典型代表。

四、数据犯罪刑事规制的路径解析

不同类型数据犯罪的刑事规制路径

1.数据获取类犯罪的处置路径

数据获取类犯罪的行为对象明确,行为人利用各种手段获取他人采取保密措施存储的数据,基于行为手段和数据属性的不同,其定性亦有不同。

(1)数据获取类犯罪的一般处置规则

针对不具有特殊属性的一般数据实施非法获取的行为,不论其获取手段如何,均可认定为非法获取计算机信息系统数据罪。实践中,较为常见的获取手段包括侵入计算机系统获取数据、通过账号生成器等外挂类软件获取数据、窃取或骗得他人账户后通过登录获取数据。前两者为计算机侵入行为,构成本罪不存异议,争议点在于采取线下犯罪手段获得账号密码后,通过“正常”登录行为获取存储数据能否构成本罪。笔者认为,从对计算机系统安全性的保护出发,非法获取计算机信息系统数据罪所规定的侵入行为,包括典型的采取黑客手段侵入之外,也应当将非授权性登录纳入规制范畴。这种规制方式可以对同质行为作出同等处置,避免了因为窃取或骗取账号行为单独不构成刑事犯罪的情况下,缺乏评判登录行为及后续行为非法性的可能,导致全案处置不能的困境。因此,对窃取或骗取账号后通过登录行为获取数据的行为也构成非法获取计算机信息系统数据罪。本种处置与最高法典型案例中关于环境监测人员采用棉塞堵塞采样器这种物理性破坏构成破坏计算机信息系统罪的入罪思路一致,即计算机犯罪中的侵入、破坏可以通过物理性手段完成。当然需要说明的是,仅仅是通过一些中立技术,如爬虫软件批量获取网络公开数据的行为,因为其进入系统的行为不具有违法性,数据主体也因为其授权或认可公开而缺乏刑事保护的必要,则不宜做犯罪处理。

(2)非法获取特殊数据的处置规则

针对具有的特殊属性的数据实施非法获取的行为,包括非法获取公民个人信息、商业秘密、网站优惠券、网络游戏道具等,此时由于侵入获取的行为既侵害了系统和数据的安全性,同时侵害了数据对应的个体权益,应依据一行为侵害多种法益的想象竞合犯予以处置,根据处罚较重的罪名择一重处。例如,行为人侵入医院、学校等网站,获取病人信息、学生信息,该行为就应按照非法获取计算机信息系统数据罪与侵犯公民个人信息罪竞合处理,根据犯罪情节,按照处罚较重的罪名处置。

(3)非法获取行为造成多种后果的处置规则

非法获取数据的手段多样,不同的技术手段可能引发多种系统风险。例如,编制撞库软件获取数据时,由于撞库的本质是不间断向目标服务器发送登录请求,通过反复试错的方式获取他人账户,如果发送请求的频次较高,而目标服务器负载量不够,就会在获取数据的同时,导致服务器的瘫痪,同时影响其他用户正常的登录操作,造成一因多果情况。两个结果分别构成非法获取计算机信息系统数据罪和破坏计算机信息系统罪,此时应依据吸收犯的原理,重罪吸收轻罪的原则进行处置,认定为破坏计算机信息系统罪。

(4)非法获取虚拟财产的处置路径

按照上述三个规则可以较好处理大部分非法获取数据的犯罪行为,但实践中对于获取虚拟财产类数据的行为定性存在极大争议,分歧在于对于虚拟财产的区分,是按照一般数据处理还是按照财产性数据以竞合行为处置。以非法获取网络游戏道具、金币为例,检索裁判结果,以非法获取计算机信息系统数据罪、盗窃罪的判决皆有。笔者认为,虽然民法典确定了虚拟财产的概念,但在刑事处置中不能简单一刀切,将虚拟财产均视为刑法保护下的“财产”,仍应作必要的区分。

笔者尝试依据经济价值、稀缺性、管理可能性和转移可能性等特征对“虚拟财产”进行区分,分为金融资产类、电子卡券类、虚拟货币类、虚拟物品类四类,对于金融资产类、电子卡券类,数据所有者可以直接与现实资金进行转换,或者兑换实体物品,具有交换可能性和价值属性,比如银行资金、星巴克兑换券等,当然应认定为财产数据;对于虚拟货币类,又可以细分为二种,一是比特币、以太坊等非法性质的虚拟币,因为该些虚拟货币不具有合法地位则不应被视为财产数据,二是仅作为消费类数据使用的虚拟货币,如Q币、抖音币等,行为人通过充值后获取,仅可以兑换特定平台虚拟物品,例如兑换QQ形象,这些数据不能交易或者套现,不具有稀缺性和转移可能性,不宜作为刑法意义上财产保护,依据数据规则处置更恰当;对于虚拟物品类,常见于网络游戏中的装备、道具、角色等,玩家可以通过游戏商城购买获得,有的则是通过在游戏中完成既定任务、达到规定时间等方式获得,具有一定使用价值,但同样不具有提现和转让的可能性,且游戏公司可以无限制生产,故不具有稀缺性。对于现阶段的网络财产权刑法保护而言,不具有价格确定性的网络虚拟财产不能认定为侵财类犯罪的对象,刑法介入的界限仍然应当以现实性为最终标准,只有当网络虚拟财产与现实社会发生具有法律意义的联系时,可以为刑法所调整。同时由于刑法修正案(九)设立了非法获取计算机信息系统数据罪,窃取网络虚拟财产行为符合非法获取计算机信息系统数据罪的构成要件。因此该些虚拟物品不具备刑法意义上的财产内涵,应视为一般数据。综合上述分析,对与非法获取具有财产属性的数据,可依据非法获取计算机信息系统数据罪与侵财类犯罪的竞合原则处理;对于获取不具有财产属性的数据,以非法获取计算机信息系统数据罪处置。

2.数据造假类犯罪的处置路径

数据造假类犯罪属于广义上的“欺骗行为”,主要指通过各种手段制造虚假数据为己牟利或者对外发布扰乱网络秩序的行为,因此可细分为牟利型数据造假和扰乱型数据造假。

(1)牟利型数据造假犯罪的处置规则

在互联网经济大发展的当下,通过网络行为赚钱牟利的渠道广泛多样,为了非法抢占网络资源,黑灰产由此产生,薅羊毛、刷信誉、改数据比比皆是,这些行为都违背了网络数据合法的产生的规则,具有违法性,应当予以净化。实践中,根据数据造假的不同手段和结果,对行为处置亦有不同。

对于“薅羊毛”行为的处置。早期,网络空间中的薅羊毛行为泛指利用网站平台、金融机构推出的各类优惠活动,获得红利的过程。而随着网络黑灰产的出现,近年来薅羊毛特指利用一定技术手段,利用网站监管的漏洞大量获取网站数据,这些数据指向各种网站福利,最终造成运营方损失的行为。例如,某网站针对新注册用户推出赠送优惠券的活动,行为人通过账号生产器批量注册账户,领取优惠券购物后,又通过三方平台出售所购物品,将优惠券红利予以套现,通过数万单的操作,可能牟利数十万元。该类行为中批量的账号生成就是典型的数据造假,对于商家而言,他们是希望通过优惠促销吸引更多真实和长期活跃的用户,而行为人采取欺骗“机器”的手段批量注册成百上千账户,获取新用户优惠,违背了商家设立优惠的初衷和市场交易的一般规则,而该些账户也成为“一次性”的数据产品,在被利用后成为了僵尸账户。对此,行为人通过薅羊毛的行为达到了其非法占有商家资金的目的,基于其欺骗注册的行为,应认定为诈骗罪。但需要说明的是,实践中大量薅羊毛的行为都是通过技术手段非法占有具有财产属性的优惠券、现金券、抵扣券等数据,与上述数据获取类犯罪的处置方法相似,如果相关技术手段侵犯了网站平台对于数据安全的保护措施,例如突破IP访问限制和签名算法验证等,违规生成数据,则属于一行为侵害两个法益,应以非法获取计算机信息系统数据罪与诈骗犯罪予以择一重处理。

对于数据修改类行为的处置。此类行为主要指对数据不具有管理控制权限的人员,非法对系统存储、传输的数据进行修改,完成数据造假进而获利的行为。具体而言存在两种情况:第一种是侵入型造假,指的是侵入信息系统直接修改后台数据的情形,包括越权修改和侵入修改行为,越权行为大量发生在金融公司内部,系统管理员或者有机会接触到服务器账号密码的人员,超越本职岗位职权,对系统存储的金融账户内的财产属性数据进行修改,获取相应资金;而侵入行为是指利用黑客手段侵入服务器后对相应指向财产属性的数据进行修改,骗取服务器的信任。第二种是对系统之间相互传输的数据予以修改,常见的是使用“抓包”软件,对系统间传输的数据包完成抓包、修改和释放的操作,例如在对金融账户充值时,将银行反馈给金融平台的充值数据虚增变大,达到小额充值、大额入账的结果,非法获利。上述两种行为均具有对系统的非法侵入性,而修改数据的行为既实现了数据造假,又为自身获取利益,具有双重法益的侵害,应依据竞合行为处置。

(2)扰乱型数据造假犯罪的处置

扰乱型数据造假的行为是指通过发布虚假内容,侵害他人权益或者造成网络空间秩序混乱的情形,此类行为一般不需要非法技术手段的支持,极少适用计算机类罪名,往往是按照造成的危害结果进行评价和认定,可能涉及非法经营罪、破坏生产经营罪、虚假广告罪、寻衅滋事罪、诽谤罪等。例如,南京市雨花法院将一起反向刷单和恶意差评的案件认定为破坏生产经营罪;又如针对“口碑营销”“网络谣言”等行为的处置,两高《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》明确了通过信息网络有偿提供删除信息服务,或者明知是虚假信息,通过信息网络有偿提供发布信息等服务的行为构成非法经营罪;编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,构成寻衅滋事罪。这些规定针对不同的数据造假行为,根据其危害结果的不同予以分别定罪。

3.数据攻击类犯罪的处置路径

数据攻击行为的模式较为单一,其本质就是利用和控制“数据流”的行为。目前,很多攻击者通过控制大量计算机信息系统形成僵尸网络。据统计,全世界的僵尸网络75%位于我国,有的僵尸网络控制的计算机信息系统甚至多达数十万台,这已成为我国互联网安全的重大隐患。具体而言,利用数据流就是传统的控制肉机发动访问攻击的行为,其目标指向明确,实现过程简单粗暴,通过超载的访问达到通道堵塞和服务器不能正常运行的目的;控制数据流就是影响他人正常数据传输,进行统一引流的行为,例如流量劫持,行为人对经过特定服务器的数据流进行劫持更改,引导访问一些赌博网站、视频广告,破坏了网络用户的正常数据传输功能。上述两个行为均通过引导数据流的方式实现对系统功能的破坏,应当认定为破坏计算机信息系统罪。实践中,认定的难点在于对控制数据流数量的确定和对危害结果的评判上。

数据犯罪的关联行为和部分争议行为的处置路径

1.数据犯罪关联行为的处置路径

数据犯罪的关联行为可以理解为是一种广义上的帮助行为,也就是实践中所称的数据犯罪的上下游行为,可以是帮助引流、提供工具、技术支持和支付结算等等,随着手段和方式不断翻新变革,取证和认定难度大,导致了对主观明知和犯意联络无法有效证明,因为大量网络犯罪案件中,仅能查实行为人在网络上实施联络或者其他活动,对于网络下实施的各种危害性行为,很难一一查实、查全,出现了罪与非罪的争议。

在刑法的共犯教义学中,区分制是以共犯与正犯的区分为基本逻辑的,刑法分则对具体犯罪构成要件的规定通常是以正犯为标本的,共犯则是由总则加以规定的。但数据犯罪关联行为中的共犯行为具有一对多的特征,如果仍然以共犯论处,从属于某种正犯,会给定罪量刑带来困难。立法者为了解决上述难题,直接将某些犯罪的帮助行为确定为单独的罪名。例如刑法修正案(七)将明知他人实施侵入、非法控制行为而提供程序、工具的,确定为提供侵入、非法控制计算机信息系统的程序、工具罪;刑法修正案(九)增设非法利用信息网络罪、帮助信息网络犯罪活动罪,对尚处于预备阶段的网络犯罪行为和对他人实施信息网络犯罪提供帮助的行为均独立成罪。另将违反构成要件之前的、刑法之外的特别义务而构成的犯罪典型的义务犯纳入数据犯罪规制范畴,增设了拒不履行信息网络安全管理义务罪。此外,一些传统罪名如洗钱罪、掩饰隐瞒犯罪所得罪等也可以成为关联罪名。

但立法者对于罪名的增设只是明确了一些特定行为的处置规则,为司法者对一些当下棘手问题的处置提供了“是”和“否”之外的第三条路径。但面对各种新型的犯罪行为,司法者应当基于法理,从解释论和方法论的角度去探索一条通用的处置规则。笔者认为,对于数据犯罪的关联行为,应当基于主观明知和客观行为,从共犯认定-独立罪名-帮助罪名的逻辑分析层次进行推导,根据明知程度的不同、社会危害性的差别,分别作出评判。具体而言,对于犯意联络清晰,明确知晓他人实施数据犯罪的具体行为而参与其中,甚至参与事后分赃的,应以共犯认定;对于知道他人将要实施某一类数据犯罪行为,但缺乏对具体犯罪过程的认知,而提供事前、事后特定帮助,且刑法对于特定帮助行为设定了独立罪名,如洗钱罪、提供侵入、非法控制计算机信息系统的程序、工具罪,应根据该独立罪名予以处置;对于概括认识到他人将实施犯罪,提供信息发布、提供“两卡”等中立性的帮助行为,可作为非法利用信息网络罪、帮助信息网络犯罪活动罪等打击对象。需要说明的是,对关联行为的处置过程中应当强调对主观认知的严格评判,充分体现刑法的谦抑性,不能以行为不合理、不符合常情常理就作出有罪推定,盲目扩大对中立行为、中立技术的打击。

2.“骗盗”皆有行为的处置路径

这一问题的争论由来已久,在传统刑法理论中,盗窃罪与诈骗罪的区分一直是实践中的难题。在网络犯罪时代,该问题仍有所延续。此前网络上关于“利用漏洞免费吃肯德基后被判刑”的案件再次引发了社会的关注,行为人利用客户端和小程序之间数据不同步的漏洞,一边完成了退单退钱,另一边又进行了消费取餐,如何定性。其争议焦点在于“机器能否被骗”的讨论,在数据犯罪中又可以引申为“骗数据”还是“偷数据”的分歧。如果暂时放下关于平台责任的探讨,本案在数据犯罪中具有极为典型的意义,就该行为的骗和偷的争议进行分析有利于厘清大量网络黑产中盗窃罪和诈骗罪的区分。

根据前文分析,本案属于非法获取财产性数据的行为,应依据非法获取计算机信息系统数据罪与侵财类犯罪的竞合行为处置,就可能涉及侵财类犯罪的认定。笔者认为,此类案件中,被实施犯罪的平台、软件往往都会存在漏洞,区别在于是“系统漏洞”还是“规则漏洞”,“系统漏洞”是指系统根本的功能性和识别性出现问题,正如许霆案中出错的ATM取款机,无法正确作出数据处理的判断,又如有的金融平台缺乏对反馈数据二次验证的机制,造成对被修改数据的认可,利用此类漏洞实施的数据犯罪,其本质就是非法窃取或者不告而取的行为,符合盗窃罪的特征;“规则漏洞”是指制定者的过失造成规则的不周密,系统认证不存在问题,但规则与规则之间出现了冲突,如某平台推出的仅有新用户可领取现金券的活动,因设置出错造成所有用户都可领取,利用此类规则漏洞实施的数据犯罪,具有骗的属性,但具体案件中是否应做犯罪处理仍应视危害后果和行为手段予以综合评价。此外,实践中还存在既利用“系统漏洞”又利用“规则漏洞”实施犯罪的可能,也就是同时采取秘密窃取手段与欺骗手段,非法占有财物的,那么应根据行为人采取的主要手段和被害人有无处分财物意识予以区分,结合主客观一致进行综合认定。

3.线下犯罪行为线上化后的处置分歧

此前,莆田市秀屿区人民检察院提出抗诉了三个类案,行为人通过他人遗忘在ATM机中的银行卡取款的行为定性,起诉罪名为信用卡诈骗,一审判决为盗窃,三个案件经过三级人民法院审理,最终最高人民法院采纳了检察机关抗诉意见,明确该类案件以信用卡诈骗定罪。但在数字经济时期,传统的投资、转账、消费等行为都可以在线上完成,线上经济行为又存在多方关系的叠加,相关线下行为界定尚有分歧时,如果转到线上将如何评价。

仍以信用卡犯罪为例,刑法规定盗窃行用卡并使用,构成盗窃罪;冒用他人信用卡,构成信用卡诈骗罪。那么对于盗窃手机后,窃取三方支付绑定的银行卡或信用卡金额,或者使用信用账户资金借款后消费的行为,以及捡到手机后实施上述行为等是否应做不同评价。这就是网络信用卡诈骗带来的定性问题,其本质仍是对财产属性的数据的窃取,应纳入数据犯罪的范畴,第一种观点认为应当以盗窃罪定罪,认为由于网络信用卡诈骗犯罪是通过客户服务终端来实施的,犯罪行为具有相当的隐蔽性,日本司法界较多持这种观点。第二种观点认为,客户服务终端相当于权利人的雇员,通过电子设备非法占有他人财物,与在银行柜员面前行骗没有本质差别,以诈骗罪定性更妥当。第三种观点认为不需要区别诈骗和盗窃,把这两类行为都直接纳入盗窃罪的范围。笔者认为,在三方支付广泛适用的今天,已经弱化了金融监管部门对于信用卡发行、使用的监管。不同于信用卡诈骗案件中,行为人对于侵犯银行管理制度有明确知晓,在手机支付或者说移动支付时代,由于存在三方关系,即银行与第三方支付之间的支付协议,第三方与行为人之间的授权协议。此时消费行为更多凸显的是便利,体现的是授权关系。如果将不同种类,但又具有同质化侵害法益的支付行为做不同的区别处置,只会造成人为对犯罪进行划分,甚至造成处罚上的不平等。因此,从主客观相一致的角度出发,笔者认为对于前述行为均可以统一到盗窃罪处理。