内容提要:网络黑灰产业链中常见的上游行为主要有侵犯信息与虚假流量两类。利用能够规避或突破网络安全防护系统的软件技术侵犯公民个人信息的行为可能构成非法获取计算机信息系统数据罪与侵犯公民个人信息罪的想象竞合,而利用破坏性程序软件虚假注册的行为则可能构成破坏计算机信息系统罪。现行刑法无法对恶意注册行为进行有效规制,应通过刑事立法增设“妨害信息网络管理秩序罪”,以保护包括互联网实名制在内的信息网络管理秩序。实践中可以以“大于半数规则”作为量化标准推定网络中立业务平台在帮助信息网络犯罪活动行为中“明知”的成立。刑法应当密切关注人工智能技术与网络黑灰产犯罪结合带来的破坏。
关键词:网络黑灰产;上游犯罪;网络爬虫;恶意注册;中立平台;人工智能
一、网络黑灰产的产生与研究的展开
“这是最好的时代,也是最坏的时代”,如今我们所处的网络信息时代或大数据时代、人工智能时代,可以用狄更斯在《双城记》开篇的第一句话加以完美诠释。所谓“最好的时代”,集中体现在网络信息技术给人类的生产生活带来了前所未有的便利与飞跃;所谓“最坏的时代”,则主要说明信息智能革命可能使一部分不法分子有机会利用网络的虚拟性和先进技术的不易察觉性实施违法犯罪活动。应该看到,近年来随着互联网新技术的不断进步,新型网络犯罪层出不穷,犯罪手段不断升级,犯罪行为人之间的分工逐渐细化,形成了上、下游相互协作的链条化模式,“网络黑灰产”应运而生。
(一)网络黑灰产的界定
网络黑灰产源于网络犯罪,但又不同于传统网络犯罪。这是由于黑灰产中既有“黑”的部分也有“灰”的部分。我们经常将“黑”理解为违法犯罪行为,将“灰”理解为游走于违法犯罪边缘但在立法上却没有明确规定的一些行为。在互联网技术层出不穷的背景下,将合法的技术运用在非法的目标上,或者为配合下游犯罪而准备工具、制造条件的一些尚不能以犯罪追究的上游行为则构成了网络黑灰产的主要表现形式。“黑灰”可以理解为处于罪与非罪交界的行为性质,而“网络黑灰产”也可以理解为互联网技术和网络违法犯罪相结合的相关产业。
应该看到,网络黑灰产的发展和互联网行业的发展方向密不可分,而网络黑灰产的模式则是由互联网经济模式决定的。互联网经济的发展经历了三个重要阶段,即从重视服务器和硬件的生产到对电脑的普及,再从对电脑的普及到对网站、系统和软件的推广,最后从网站、系统和软件的推广到对点击和流量的重视。而正因如此,当今互联网发展已经从开始的计算机巨头的一对多服务模式发展到了如今人人参与、互通共享的模式。个体的参与构成了当今互联网经济的主要标志,这也给网络黑灰产的滋生创造了环境条件。
当今互联网经济模式可以总结归纳为两点,第一是对流量的重视,即任何一个软件、网站、搜索引擎或者系统,对其使用或者浏览的人越多,经济价值便越大;第二是对精准需求的重视,一个产品或者网站光有流量还不够,还需要进一步明白什么人需要什么,这样便可以顺利将用户需求和产品进行直接对接,大大提高了交易的可能性。这是当前所有互联网公司发展的两个共同目标趋向,但是,怎样才能提升知名度增加用户数量,怎样做到对于用户需求的精准对接则无规则和习惯的定数,市场在这方面将永远走在法律的前面。因此围绕着这两大核心需求的争夺必将导致不正当竞争行为的出现,而当今网络黑灰产的主要产业链也正是在这两点基础上形成的。
至此,我们可以将“网络黑灰产”定义为:以虚拟网络空间为场所,以中立性技术为依靠,以谋取不正当利益为动机,以非犯罪技术或行为为表象,以实施违法犯罪行为为实质的社会分工组织形式。
(二)网络黑灰产相关刑法理论的展开
根据2018年南都大数据研究院和阿里巴巴集团安全部联合发布的《2018网络黑灰产治理研究报告》、2019年百度与公安部第三研究所网络安全法律研究中心联合发布的《网络犯罪防范治理研究报告》以及2020年百度时代网络技术有限公司和公安部第三研究所网络安全法律研究中心联合发布的《2020网络黑灰产犯罪研究报告》,实践中普遍认为网络黑灰产中存在上、中、下游犯罪,其中上游是为相关犯罪提供或准备工具,中游是针对网络系统和软件的直接破坏以及对公民个人信息的侵犯,下游则是对上中游行为的结果实施如诈骗、赌博、洗钱等相关传统犯罪。通过对比分析,笔者认为网络黑灰产上游和中游行为本质上都是准备行为或手段行为,下游行为才是最终目的行为。因此,网络黑灰产的产业链或者说网络黑灰产犯罪链的结构可以归纳为两条,即上游的手段链和下游的目的链,上下游的结合构成了网络黑灰产业链。
不难看出,现有上游网络黑灰产技术及其作用范围准确对应者互联网市场经济的价值导向,即所有网络黑灰产主要都是针对流量提升和用户需求精准对接而衍生的。以上游网络黑灰产对刑法所保护法益的直接侵犯作为区分标准,笔者将网络黑灰产上游犯罪活动分为信息类网络黑灰产和流量类(包括账号类)网络黑灰产。其中信息类网络黑灰产(包括非法买卖个人信息、涉物联网犯罪、盗号类等产业)直接侵犯的是公民的个人信息权,即它们都是通过非法掌握用户详细信息,以更加精准实施产品推销或违法犯罪活动的相关产业。流量类网络黑灰产(包括恶意注册、虚假注册、网络水军、恶意点击、DDoS 攻击、黑 SEO、暗网等产业)直接侵犯的是网络市场经济管理秩序,即为了增加自身用户流量或减少竞争对手的用户流量而衍生的相关产业。而下游目的链行为则是上游手段链行为的对应目标,是对上游行为“成果”经济价值的转化,既可以是正当的市场经营行为,也可以是诈骗、赌博、洗钱等违法犯罪行为。
就此看来,网络黑灰产之所以有别于网络犯罪而被称为“黑灰”产业,主要原因在于我们重点关注的是其上游行为,而并非其下游行为。这一方面是因为下游目的链既可表现为传统的违法犯罪行为也可表现为合法的市场经济行为,而上游的手段链则普遍是以“黑灰”等违法犯罪技术对公民个人信息侵犯和对网络市场经济管理秩序进行破坏为行为模式的。另一方面,不可否认的一个基本事实是,网络犯罪因为链条长,上、下游勾结隐蔽,发现和斩断整个网络黑灰产业利益和共同犯罪链条是非常困难的,因此通过共同犯罪的方法打击上游犯罪行为本身存在相当大的挑战。正因为上游的网络黑灰产手段链是网络黑灰产的关键性环节,且在司法实务中通过认定共同犯罪对网络黑灰产上游犯罪予以刑事规制具有一定的困难性,所以其理应成为新业态下网络黑灰产研究的重点。
二、网络黑灰产上游犯罪的刑法适用
随着互联网新技术在经济活动和社会生活中的不断渗透,诈骗、盗窃、赌博等诸多传统犯罪成为网络黑灰产业链中的下游犯罪,并在互联网平台的助力下呈现爆发式增长。需要指出的是,为了更有效且隐蔽地为上述网络黑灰产中的下游犯罪提供帮助,网络黑灰产中的上游犯罪手段也在持续升级,即诸多新类型的上游犯罪形式层出不穷、屡见不鲜。如前文所述,信息和账号是网络用户赖以生存的基础,为精准对接用户需求而衍生的网络黑灰产上游犯罪本质上是对个人信息的侵害,以提升流量为核心的网络黑灰产上游犯罪则是对网络账号的滥用。笔者将网络犯罪上游黑灰产犯罪总结为信息类黑灰产和流量类黑灰产两类,由此,我们完全有必要针对这两类黑灰产业中相关行为的刑事规制问题展开研究。
(一)网络信息类黑灰产相关行为的刑法适用
大数据时代下,个人信息数据的泄露随处可见,无论是快递、外卖包装上的姓名、联系电话、家庭住址等,还是各类网站以及电脑、手机软件强制个人授权信息的登录认证,都在无形中助长个人信息数据的泄漏势头,而垃圾短信、骚扰电话的泛滥更是让人们对于信息的泄漏司空见惯,却又无能为力。根据中国互联网络信息中心2020年9月发布的第46次《中国互联网络发展状况统计报告》的数据显示,截止至2020年6月,遭遇个人信息泄漏的网民占比高达20.4%,并且有17%的网民表示曾经遭遇过网络诈骗。
在涉及非法使用个人信息的黑灰产业链的上游,犯罪分子对个人信息数据进行非法收集、处理与加工,并进行违规买卖与交换;在黑灰产业链的下游,犯罪分子利用非法获取的个人信息数据进行“精准”网络诈骗、敲诈勒索以及冒用信用卡的信用卡诈骗等诸多犯罪活动。从中我们不难看出,个人信息的泄漏正是黑灰产业链中从事诸多后续犯罪行为的源头,甚至可谓是网络黑灰产业结构的核心。
2014年“京东撞库事件”正是由于不法分子通过部分具有信息安全隐患的网站获取用户信息,使用“撞库”方式在其他具有交易属性的电商、互联网金融等网站尝试登录并获取了用户的商品购买信息。2020年4月公安部公布了10起关于侵犯公民个人信息的违法犯罪案例典型,其中就有1例涉及“黑客”入侵的技术攻击,行为人利用暴力破解手段非法获取了涉案网站的后台管理权限,从而盗取大规模公民个人信息并予以出售。所有这些都足以说明,随着网络技术的蓬勃发展,黑灰产上游犯罪中针对个人信息的窃取手段也在不断升级,不再局限于传统的人为泄漏与盗卖,而是发展为包括“撞库”软件、木马病毒程序、“网络爬虫”技术等在内的诸多系统性的技术攻击手段。
实践中,通过“撞库”技术侵入计算机信息系统并获取相关信息的犯罪行为时有发生。2016年,被告人曹某开办“精品客栈”网站,将其开发的“冻结分类查询助手”与“无保回收查询助手”等验密软件置于该网站供他人免费下载。上述软件可通过批量导入 QQ 账号与密码数据,绕过腾讯系统的安全策略,实施“撞库”验密。同年,被告人曾某购买大量 QQ 账号和密码,使用上述软件辨别购买所得的账号是否被腾讯公司冻结,并出售没有被冻结、具备正常使用功能的账号,法院判决曹某与曾某分别构成提供侵入、非法控制计算机信息系统程序、工具罪与侵犯公民个人信息罪。2018年11月至2019年3月间,被告人沈某编写名为“群发助手”的恶意“撞库”验密系列软件,并出租给他人使用,法院判决沈某构成提供侵入、非法控制计算机信息系统程序、工具罪。
依笔者所见,从上述“撞库”、木马病毒等程序软件的使用功能来看,这些程序软件包含一定的规避或突破网络安全防护系统的技术,即通过绕过或破解计算机系统的安全防护措施,从而获取计算机系统数据。由于这些软件均“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”,所以我们可以将它们归入刑法第285条第3款规定“专门用于侵入、非法控制计算机信息系统的程序、工具”范围之中。就此而言,行为人开发上述软件,并提供给他人的行为,情节严重的,应当构成提供侵入、非法控制计算机信息系统程序、工具罪。根据2011年8月1日“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《信息系统安全解释》)第3条的规定,该罪的入罪标准为提供专门性程序、工具5人次或20人次以上,或违法所得5000元以上,或造成经济损失1万元以上,或其他情节严重的情形。由此可知,即使行为人开发上述软件后免费供人下载使用,只要其提供的人次达到5人次或20人次以上的,即可构成该罪;若行为人出租或出售其开发的相关软件或向软件使用人收取任何其他名义的费用,违法所得5000元以上的,即可构成该罪。
“网络爬虫”技术则与前述“撞库”软件、木马病毒程序稍有不同。“网络爬虫”(web crawler)是一项常见的数据抓取技术,常用于搜索引擎领域对站点进行爬取收录,如谷歌、百度、必应等搜索引擎通常都使用“网络”爬虫技术获取数据资源。该数据抓取技术按照一定的规则,自动抓取万维网的信息或者脚本。“网络爬虫”技术的有效使用有利于数据的共享和分析,也就是说“网络爬虫”技术本质上是一项中立技术,与前述的木马病毒、“撞库”软件不同的是,其一般不具有天然的违法性。一项中立的技术最终是被用于合法抑或是非法途径,无法被技术的开发者预见或控制。因此,开发并提供“网络爬虫”技术程序的行为也并不像开发“撞库”软件、木马病毒等程序软件的行为一样,当然构成提供侵入计算机信息系统程序、工具罪。但是,作为一项中立技术,“网络爬虫”技术应当在法律框架里有其使用边界,如果突破这一边界就可能存在刑事风险。
在全国首例“网络爬虫案”中,被告单位与被告人破解了北京字节跳动网络技术有限公司的防抓取措施,使用名为“tt_spider”文件的一种网络数据抓取工具,对涉案网站服务器实施数据抓取行为,最终法院判决以非法获取计算机信息系统数据罪对被告单位及被告人定罪处罚。理论上,有学者认为,网络数据爬取行为只有在对方设置的 Robots 协议或被爬取的数据用于不正当竞争的情形下,造成对方实际损失的,才具备刑事可罚性。也有学者认为,数据的访问权限和开发程度这两个维度形成了网络爬虫的归责体系,只有在网络爬虫行为同时具备行为不法(故意避开或强行突破网站技术措施)与对象不法(抓取限制访问、获取的数据)的情况下,才需承担刑事责任。
可见,对中立性技术的使用有其不可触碰或逾越的法律红线。在“网络爬虫”技术的数据抓取过程中,如果其采取的技术手段规避或突破了计算机信息系统有关反“爬虫”的安防措施,未经许可进入计算机信息系统,从而抓取限制访问的计算机信息系统数据,那么该“爬虫”技术的中立性已经消失殆尽,丧失了因技术中立而豁免责任的可能性。此时的“网络爬虫”技术同前述“撞库”软件一样,均“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能”,对其刑法规制应当与对“撞库软件”、木马病毒程序等程序、软件的刑法规制一致。
同时,在行为人使用上述软件程序窃取个人信息的犯罪行为中,利用相关软件程序获取数据的手段不法行为可能构成非法获取计算机信息系统数据罪,非法获取公民个人信息(《信息系统安全解释》第1条第1、2款所称“身份认证信息”,包括账号、口令、密码、数字证书等,属于公民个人信息范畴)的结果不法行为则可能构成侵犯公民个人信息罪。有学者认为,《刑法》第253条之一的侵犯公民个人信息罪和第285条第2款的非法获取计算机信息系统数据罪是法条竞合关系,公民个人信息也是数据的一种,只不过我国《刑法》第253条之一对个人信息数据予以特别保护。笔者对此不能苟同。诚然,仅从犯罪对象的层面看,由于公民个人信息是数据的一种,侵犯公民个人信息罪的对象范围可以被非法获取计算机信息系统数据罪包含。但因犯罪对象形成的法条竞合的适用前提应当是两罪的手段行为保持范围一致,或者侵犯公民个人信息罪的手段行为同样可以为非法获取计算机信息系统罪所包含。然而,侵犯公民个人信息罪的犯罪手段显然较非法获取计算机信息系统数据罪范围更广,因此两罪的构成要件并不存在包含与被包含的关系,两罪属于部分重合的交叉关系,当然不能构成法条竞合。如果将这种所谓的“交叉式”型法条竞合同样认定为法条竞合,将会模糊法条竞合(单纯的一罪)同想象竞合犯(科处的一罪)之间的界限。此时,仅适用一个法条要么不能全面保护法益(两个法条的保护法益不同),要么不能全面评价行为的不法内容(虽然侵害相同法益,但不法内容存在区别)。依笔者之见,行为人使用上述软件程序,避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据中公民个人信息的行为,同时触犯了非法获取计算机信息系统数据罪与侵犯公民个人信息罪,属于一行为触犯数罪名的想象竞合犯,对其应当以“从一重罪处断”的处罚原则处理。由于刑法中对两罪的法定刑规定完全一致,笔者认为,以更能体现行为结果不法与犯罪最终目的的侵犯公民个人信息罪定罪处罚最为合适。
(二)网络流量类黑灰产相关行为的刑法适用
近年来,网络直播、短视频行业的异军突起使流量具备了巨大的商业利益。包括“小红书”“阿里本地生活”在内的诸多内容平台都对虚假流量问题进行过大规模整治。根据“小红书”反作弊中心公布的数据,仅2019年该平台就封禁了涉黑产账号2182万,拦截了黑产作弊行为超过14亿次。与此同时,电商平台的兴起也催生了包括网络正向刷单(虚构交易量以提高商户信誉)与网络反向炒信刷单(恶意交易与差评以损害商户信誉)在内的电商刷单产业。上述新兴的有关虚假流量的网络黑灰产业无一不以行为人掌握大量网络账号为前提,因而均离不开网络黑灰产的源头之一——互联网账号的恶意注册。
2018年12月,腾讯公司于“互联网账号恶意注册黑产治理”论坛发布了首份定向剖析黑产源头的《互联网账号恶意注册黑色产业治理报告》,指出互联网账号恶意注册是指不以正常使用为目的,违反国家规定和平台注册规则,使用虚假或非法取得的身份信息,以手动方式或通过程序、工具自动进行,批量创设网络账号的行为。应当看到,根据注册时所使用身份信息的真实与否,恶意注册可以分为使用虚假身份信息创设账号的以及使用非法获取的真实身份信息创设账号的两类,笔者将前者称为虚假注册,将后者称为假冒注册。
在涉及假冒注册的黑灰产业链中,其上游的犯罪行为主要是收集(窃取或其他非法方法获取)后续账号注册所需的真实身份信息,同前文阐述的“侵犯信息类”上游犯罪具有一致性,在此不再赘述。笔者对恶意注册黑灰产业链的探讨主要集中在使用虚假身份信息创设网络账号的虚假注册。以虚假注册为源头或核心的黑灰产业链之下游行为,主要包括“广撒网”式网络诈骗行为,囤积大量账号以采集商家为刺激消费而发放的小额优惠或现金返利的“薅羊毛”诈骗行为,内容平台数据刷量和电商平台刷单炒信等虚假流量行为,以及诸如“黑公关”“网络水军”等的流量明星营销行为等。这些下游行为以高流量为核心、以高盈利为驱动,驱动上游虚假注册行为的肆意发展;上游的虚假注册行为同样为下游的黑灰色产业链提供了源头性的技术支持,助力下游的违法犯罪行为。
实践中,由于虚假注册涉及的账号注册量巨大,行为人通常利用自动化的运行工具以及能够突破相关平台安全保护措施的技术工具进行大批量、自动化的网络账号注册。2018年10月,浙江省兰溪市人民法院对“首例恶意注册账号案”进行了判决。被告人汤某通过网络购买了注册机及 E 语言源代码,改写成名为“畅游注册机.exe”的注册机。经改写后的注册机软件通过设置相应配置,可以实现批量注册程序。具体流程如下:注册机软件可以实现自动产生注册信息并通过第三方平台获取手机号,继而将注册信息及获取的手机号通过数据包方式发送给“畅游”注册平台服务器,借助第三方平台自动将获取的手机验证码发送回“畅游”注册平台,据此完成批量注册程序。法院经审理认为该软件对“畅游”注册平台的正常操作流程和正常运行方式造成了干扰,属于“破坏性程序”,最终判决汤某构成提供侵入、非法控制计算机信息系统、工具罪。该案被称为“首例恶意注册账号入刑案”,法院判决认定该案中的犯罪行为是有关恶意注册的手段行为,即通过特定的程序和工具对相关注册平台的正常操作流程和正常运行方式造成干扰的破坏行为。有学者将此类网络攻击的手段行为称为“真正的网络犯罪”,包括非法侵入计算机信息系统罪,非法获取计算机信息系统数据罪,非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪,破坏计算机信息系统罪,网络攻击往往被用作实施其他类型网络犯罪的手段行为。换言之,该案最终对该恶意程序的开发者、提供人是以提供侵入、非法控制计算机信息系统、工具罪定罪处罚,这就意味着,该案判决似乎认为,当前刑法能够处罚的是网络攻击的手段行为,而非实现行为人最终目的的恶意注册行为,如果没有对相关注册平台的正常操作流程和正常运行方式造成干扰的恶意注册行为则不能入罪。
依笔者所见,开发并提供用以恶意注册的软件是否可以构成提供侵入、非法控制计算机信息系统、工具罪是有待商榷的。实践中,互联网平台为执行《网络安全法》所规定的实名制规则,也为维护用户的账户安全,大多采取了一系列反自动化批量注册与反虚假注册的安全策略和安全防护措施。行为人要想绕过或破解平台的防护措施以达到虚假注册的目的,势必需要通过一定的技术手段对其进行干扰。在司法实务中,包括前述“首例恶意注册账号案”在内的批量注册案中,大多将虚假注册所倚赖的破解技术认定为“破坏性程序”,即该程序会对计算机信息系统功能进行删除或干扰等,造成计算机信息系统不能正常运行。笔者认为这种认定是符合此类虚假注册软件的运行机制的。然而,提供破坏性程序的行为是否可以以提供侵入、非法控制计算机信息系统的程序、工具罪定罪处罚?换言之,提供侵入、非法控制计算机信息系统的程序、工具罪是否可以同时理解为将《刑法》第286条破坏计算机信息系统罪的帮助行为正犯化?
笔者认为,刑法中提供侵入计算机信息系统程序、工具罪并不规制提供破坏计算机信息系统的程序、工具的帮助行为,即提供破坏性程序的行为不应当以提供侵入、非法控制计算机信息系统的程序、工具罪定罪处罚。理由是:
首先,提供侵入、非法控制计算机信息系统数据程序、工具罪与破坏计算机信息系统罪所保护的法益有着不同的侧重。《刑法》第285条第2款的非法获取计算机信息系统数据、非法控制计算机信息系统罪以及第3款的提供侵入、非法控制计算机信息系统程序、工具罪是2009年《刑法修正案(七)》新增设的罪名。后罪行为实际上是前者行为的帮助行为,理论上将其称为“帮助行为的正犯化”。前罪重点规制的是侵入计算机系统或采用其他技术手段获取相关数据,或者非法控制计算机信息系统的行为,即强调的是对相关数据的非法获取与对系统的非法控制;后罪中“专门用于侵入、非法控制计算机信息系统的程序、工具”应当是用于对数据的非法获取或者对计算机信息系统的非法控制,而不仅仅是用于对计算机信息系统的侵入。与之不同的是《刑法》第286条第1款规定的破坏计算机信息系统罪,该罪强调的是包括删除、修改、增加、干扰计算机信息系统功能在内的、影响计算机系统正常运行的破坏行为。
其次,从《刑法》第285条第3款提供侵入、非法控制计算机信息系统的程序、工具罪该条文所处的具体位置来看,其位于同条第2款非法获取计算机信息系统数据、非法控制计算机信息系统罪之后,与第286条破坏计算机信息系统罪分属两个法条,理论上将该条理解为破坏计算机信息系统罪的“帮助行为正犯化”规定实为牵强。
需要指出的是,《刑法》第286条第3款规定了“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚”,而相关司法解释并未将刑法这一款规定设置为独立罪名。这就充分表明,刑法实际上将制作、传播用于破坏计算机信息系统的破坏性程序的准备行为归入破坏计算机信息系统罪之中,以区别于前述有关提供侵入、非法控制计算机信息系统程序、工具的帮助行为正犯化的立法方式。因此,对于故意制作、传播此类破坏性程序行为应当以破坏计算机信息系统罪追究其刑事责任。当然如果这些程序、软件仅以自动化注册技术取代人为的手动注册方式,行为人为提高注册效率,通过模拟人工点击一次性批量注册,而未对计算机信息系统产生干扰且不可能影响到计算机信息系统的正常运行,对行为人的行为则不能以侵害计算机信息系统的相关犯罪认定。
此外,有学者认为,在网络账号恶意注册的黑色产业中,黑产人员利用伪造、变造的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件进行虚假注册,可以构成《刑法》第280条之一规定的使用虚假身份证件、盗用身份证件罪。笔者对此观点表示质疑。在网络账号虚假注册的过程中,黑灰产上游人员为规避注册平台对于实名制账号的要求,所利用的并非是伪造、变造的身份证件,而只能是虚假的身份信息。刑法中使用虚假身份证件中“身份证件”应当是伪造、变造的居民身份证、护照等虚假实体证件,不应当包括虚假的身份信息。特别是在我国有关电子身份证、“网证 CTID”等电子或网络证件的技术尚未全面普及的当下,生活中人们仍然需要通过实物的载体使用相关的身份证件。而且相关司法解释也并未对该概念作任何扩张解释,因此目前从实然的角度,我们不应该随意将“身份证件”的涵义拓展至“身份证件信息”,使用虚假身份证件的行为应当是在现实生活中使用伪造、变造的实体身份证件,而不包括通过互联网等使用虚假的身份信息进行虚假注册账号等行为。
三、网络黑灰产上游犯罪刑法规制的完善
应当看到,新业态下网络黑灰产上游犯罪通过我国现行刑法的相关规定可以在一定程度上进行有效规制,但随着网络信息技术的持续更新与上游犯罪手段的不断更迭,传统刑法已逐渐显露出力有不逮之势。我们有必要对刑法规制黑灰产上游犯罪时存在的难题予以明确,并通过解释论或立法论探寻其应对路径。
(一)增设对恶意注册行为的刑法规制
如前所述,实践中通常以计算机信息系统相关罪名对网络黑色产业链上游中侵犯个人信息与恶意注册的技术手段进行规制。对于侵犯公民个人信息这一目的行为(包括出售、提供、窃取、非法获取等),我国刑法可以通过侵犯公民个人信息罪进行规制,但对于恶意注册这一目的行为或者说核心行为,是否构成犯罪以及构成何种犯罪,刑法理论与实务界皆尚无定论。
在解释论层面,有学者认为,网络恶意注册行为不具备“违反国家规定”的规范构成要素,因而不能构成《刑法》第255条非法经营罪,同时认为恶意注册黑产行为具有帮助性质,如果其帮助的对象属于信息网络犯罪活动,则可以构成帮助信息网络犯罪活动罪。有学者进一步指出应当对帮助信息网络犯罪活动罪作“去中心化”的解释,以适用网络社会特点。还有学者主张通过对破坏生产经营罪进行与时俱进的客观解释,以涵盖日本刑法中妨害业务罪的内容,并以该罪对恶意注册行为进行规制。在立法论层面,则有学者建议在《刑法》第287条之一的非法利用信息网络罪中增加一项作为第4项,将恶意注册行为纳入其中。
应当看到,刑法学界普遍认识到了网络黑灰产业链上游的恶意注册行为对网络实名制管理秩序与互联网诚信体系造成的巨大威胁,具有严重的社会危害性和刑法规制的必要性。然而,在我国目前的刑法体系下,恶意注册行为难以受到刑事层面的有效治理。一方面,在目前的刑法体系下,传统罪名如非法经营罪、破坏生产经营罪等罪并不能对恶意注册行为进行合理有效的规制。另一方面,从恶意行为作为帮助行为的角度出发,纵然恶意注册的上游行为客观上为下游犯罪提供了帮助,但在网络黑灰产业链结构中,上下游人员之间关联性极低,通常互不相识,甚至上游人员对下游行为毫不知情,因此无论是试图将恶意注册行为认定为下游网络犯罪的共同犯罪,或是意图以帮助信息网络犯罪活动罪进行定罪处罚,在具体适用上都存在一定的困难。正因为如此,司法实践中通常以计算机信息系统方面的犯罪对恶意注册的手段行为进行惩治,但本质上这种处罚并不是基于侵犯了网络管理秩序的恶意注册行为,而仅仅是对恶意注册相关技术手段的惩治。
因此,在传统罪名打击靠后、新型罪名打击有限的规制困境下,笔者建议在立法层面针对恶意注册行为增设相关罪名,主要可以有以下两条规制路径。其一,由于恶意注册行为的前提与基础在于假冒他人真实的身份信息与创设虚假的身份信息,因此可以从侵犯身份信息的角度对恶意注册行为进行规制。如前所述,我国《刑法》分则第六章第一节扰乱公共秩序所规定的“伪造、变造、买卖身份证件罪”“使用虚假身份证件、盗用身份证件罪”中的“身份证件”在实然层面是指居民身份证、护照等载有身份信息的实体证件。而在“去实体化”的大背景下,身份证件电子化已是大势所趋,是否可以从应然层面,考虑通过立法解释将“身份证件”的涵义拓展为“身份信息”,进而对恶意注册过程中买卖他人真实的身份信息、使用虚假的身份信息、盗用他人的身份信息的行为进行规制。其二,则是可以比照我国刑法对信用卡管理秩序的保护,通过增设全新的“妨害信息网络管理秩序罪”对恶意注册等一系列危害网络实名制管理秩序、侵害网络诚信体系的行为进行规制。两相比较,笔者认为,第二种规制路径更契合恶意注册行为所侵害的法益。尽管目前包括互联网实名制管理秩序在内的信息网络管理秩序还未受到刑事立法者的重视,但随着网络黑灰产业链的不断扩张与信息类、流量类犯罪的持续高发态势,对危害信息网络秩序这一种重要法益的刑事治理工作势在必行。通过增设“妨害信息网络管理秩序罪”不仅可以对一系列新业态下的网络黑灰产犯罪行为进行规制,还可以对未来可能出现的危害网络管理秩序的新型犯罪手段进行前瞻性的规定。当然,如何避免该罪沦为互联网信息时代的“口袋罪”也是立法者在罪名设置时不得不考量的问题。
(二)明确网络中立业务服务平台的刑事责任边界
网络黑灰产业链中上游源头行为的开展与进行离不开互联网平台的助力,如前述恶意注册过程中用以提供短信验证码或语音验证码的接码(接收验证码)平台,非法获取的他人个人信息、黑账号等的流转售卖平台,以及黑灰产业链中各环节人员用以互相联络的通讯群组与隐蔽论坛等,都在网络黑灰产业链中起着无可取代的重要作用。
在刑法规制上,对于专门设立用于实施违法犯罪活动的通讯群组、隐蔽论坛、网站等行为,以《刑法修正案(九)》新增的非法利用信息网络罪进行规制应当在实践与理论上均没有任何障碍。然而对于并非设立专门用于违法犯罪活动,但客观上为犯罪行为提供了技术支持与帮助的中立业务服务平台,在没有明确证据证明技术支持提供者在主观上与犯罪实行人存在共谋或放任,还是在不知情的情况下被犯罪实行人所滥用,此时的帮助行为只能属于法律属性不明的灰色地带。如何兼顾对网络犯罪活动的严厉打击与对信息网络中立技术进行刑事处罚的谨慎克制,明确网络中立业务服务平台的刑事责任边界,是刑法目前亟需解决的问题。
在2015年《刑法修正案(九)》增设拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪等罪之前,著名的“快播案”经由北京市海淀区人民法院初审、北京市第一中级人民法院二审,最终以传播淫秽物品牟利罪这一传统犯罪对快播公司及吴某等主管人员定罪处罚。二审过程中,辩护人曾提出辩护意见,称“快播公司只是提供了一种技术模式,法院审判的不应是技术,而应是行为”。对此,法院认为,一方面,快播公司可通过积极作为的方式由自主选择如何设定技术服务规则。正是由于平台向所有用户免费提供资源服务器程序及快播播放器程序,并对上传视频资源的用户及视频内容均不做任何限制,才造成大量淫秽视频存储于快播缓存服务器中并通过其更快速地在网络上传播。另一方面,其怠于履行网络安全义务的消极不作为导致了淫秽视频在快播网络上长时间的大量传播。学界有相当一部分学者对该案的判决结果表示质疑,当时的争论焦点主要集中在将拒不履行网络管理义务的不作为评判为传播淫秽物品牟利罪的作为犯合理与否以及中立技术可否作为法律责任的豁免事由。
依笔者之见,网络业务平台具有中立特性毋庸置疑,“法院审判的不应是技术”同样无可厚非。由于网络中立业务服务平台无差别地向不特定的社会大众提供技术服务,信息网络技术又天然地具有被犯罪分子利用从事犯罪行为的风险,因此网络平台提供的技术服务很有可能在客观上为犯罪行为提供了信息网络支持,帮助了犯罪的实行行为。譬如“快播”平台免费提供的资源服务器程序客观上帮助了淫秽视频的广泛传播;“暗网”平台客观上为网络黑灰产上游犯罪中公民个人信息的出售与买卖行为提供了交易场所;有关技术论坛客观上对影响计算机系统正常运行的破坏性程序或是专门用于侵入计算机信息系统的程序等工具软件进行了传播。由于网络中立业务服务平台客观上帮助了犯罪实行行为,在此前提下,认定网络中立业务服务平台是否需要承担刑事责任的关键不在于其提供的服务技术本身,而在于网络服务平台的开发者与使用者的主观意图。在传统的共犯结构中,实行犯与帮助犯之间通常需要具备意思联络,或者至少帮助者在主观上具有通过本人的帮助行为促进实行者实施犯罪的意思。实务上认定中性业务活动者成立帮助犯,通常需要考其有无故意;反过来,在中性业务活动中连未必的认识都不存在的场合,就能够否定其故意,不认为其成立帮助犯。但由于网络中立业务的特殊性,在网络服务平台的日常业务过程中,鲜有证据可以证明平台提供技术支持具有促进他人犯罪的主观意思,更遑论网络服务提供者与犯罪实行行为人之间的意思联络。
正因为如此,2015年《刑法修正案(九)》增设了《刑法》第287条之二的帮助信息网络犯罪活动罪,明确了只要在主观上“明知他人利用信息网络犯罪实施犯罪”,在客观上又提供技术支持、帮助的,即可以构成该罪。该条规定理论上被认为是有关“中立帮助行为正犯化”的规定。笔者认为,帮助信息网络犯罪活动罪主观构成要件中的“明知”应当包括“确知”与“应当知道”,其中“应当知道”是一种推定的“明知”。事实上,“明知”的直接证明一直是司法实践中的一大难题,尤其是对于中立业务服务平台而言,其所提供服务的中立属性决定了其作为帮助犯的帮助行为与日常经营活动中的服务提供行为并无二致、难以辨清。在缺乏合法有效的被告人供述或是能够直接证明帮助者“确知”的证据时,应当以“大于半数规则”作为量化标准推定中立业务服务平台“明知”的成立是有效合理的方案。“大于半数规则”是指,中立业务平台在帮助犯罪活动与提供合法服务之间的分配比例大于1∶1。具体而言,若从网络服务平台后台收集得到的客观电子数据可以表明网络中立业务服务平台所服务的对象中,利用信息网络实施犯罪活动的占全部服务对象的比重超过半数以上,便可以据此推定中立业务服务提供者为“明知”,即“应当知道”其业务行为所支持的对象利用信息网络实施犯罪还仍然为其提供技术支持与帮助。
(三)关注人工智能技术与网络黑灰产犯罪结合带来的破坏
根据《2019年网络犯罪防范治理研究报告》,2018年因网络犯罪而导致的每分钟全球经济损失高达290万美元,新技术、新业态网络黑灰产犯罪数量更是呈上升趋势。其中以人工智能技术为代表的新技术在网络黑灰产犯罪中的应用范围也越来越广。笔者认为,人工智能新技术在网络黑灰产中的运用,可能对我国现行刑事法律规范产生以下两方面的冲击:
其一,受程序完全或主要支配的人工智能技术在网络黑灰产中的运用,对现行刑事法律规范的冲击。应该看到,受程序完全或主要支配的人工智能技术可能被应用于网络黑灰产下游的传统犯罪中。例如,行为人借用人工智能换声技术(采集目标人物的原始音频文件,通过深度学习模仿目标人物的发音特点,最后使用 AI 技术合成语音片段,将语音片段与目标人物的视频相结合进行剪辑)使对目标人物的模仿更可以以假乱真,从而实施电信诈骗、敲诈勒索、侵犯著作权等犯罪行为。又如,行为人通过换脸技术(通过使用源人物和目标人物图片和视频训练模型进行分别识别,还原两人的核心面部特征,最后用源人物的图片及视频搭配目标人物的解码器完成转换,将源人物的人脸替换目标人物的人脸)实施诈骗、敲诈勒索、传播淫秽物品等犯罪行为。对此,我们应该追究人工智能软件的使用者的刑事责任。这是因为时下换脸、换声等人工智能技术的研发并未违反国家规定,也即该技术具有中立性,对该技术的研发者不能追究刑事责任,而对以违法犯罪为目的的使用者则应按其具体实施的相关犯罪追究相应的刑事责任。当然如果相关软件的研发者对使用者犯罪目的知情仍提供为其技术支持的,对此研发者就可能构成帮助信息网络犯罪活动罪。
受程序完全或主要支配的人工智能技术也同样可被应用于尚未被刑法所规范的网络灰色产业。例如,在恶意注册产业链中,行为人可借用人工智能技术,在不破坏、不控制、不侵入计算机系统的前提下,以薅羊毛为目标实施恶意注册行为,或通过人工智能技术实施虚假注册账号及养小号等行为。在黑公关和恶刷流量产业链中,行为人为了提升或打压相关人物、话题、产品、网站的热度,可在不侵犯他人人格权且不干扰计算机系统的前提下,通过人工智能技术实施控评、刷评等恶意公关行为,或通过人工智能技术实施恶意挂机刷流量等行为。如前文所述,在对信息网络系统不产生干扰和破坏的前提下,薅羊毛、养小号、刷流量等行为本身并不构成犯罪。应该看到,这种中立性的人工智能技术虽可能未对计算机系统造成干扰和破坏,但却足以给相关互联网行业带来恶意的市场竞争并造成难以估量的破坏。对此,我们只能以《反不正当竞争法》为据追究行为人的行政违法责任。笔者认为,应该适时将这些行为纳入刑法调整的范围之中。
此外,通过人工智能等技术手段将个人所有已公开的信息资料进行全面整合的“电子人肉”的技术也有可能成为新型网络黑灰产业的内容。虽然人肉检索行为有侵犯公民隐私之可能,但是,由于收集公开的信息本身及行为人利用人工智能技术整合这些收集的公开信息,均不违反国家的法律规定;同时,行为人既没有利用自身履行职责或者提供服务过程的便利,也没有以窃取或其他方式为手段,因此其行为不构成《刑法》第253条之一的侵犯公民个人信息罪。但不可否认的是,“电子人肉”技术的出现可能给公民的隐私权保护带来破坏,对于人工智能技术整合他人公开信息等不合理运用的行为,有必要从刑事层面上加以规制。
其二,拥有自我学习和深度学习的弱人工智能技术在网络黑灰产中的运用,对现行刑事法律规范的冲击。拥有自我学习和深度学习的弱人工智能技术将有极大几率被动地成为网络黑灰产相关讯息的传播媒介。我们完全可以预见,随着人工智能技术的飞速发展,不远的将来势必会出现超出生产者和研发者的预见且不完全受其支配控制的人工智能产品。该类产品可以通过自我学习和深度学习能力,对网络平台的信息进行全方位的浏览和掌握,并以用户的浏览信息种类、网络检索内容、购买记录等为依据,智能推送网络黑灰产相关网站或产品链接,进而引诱他人接触或者从事网络黑灰产违法犯罪活动。例如,具有深度学习算法的人工智能聊天机器人,在自我学习过程中掌握用户需求,并向用户推送黄色网站和赌博平台等链接。由于聊天机器人推送违法网站的行为并非研发者和生产者可以预见,且深度学习和自我学习算法作为弱人工智能最为核心功能之一,该算法本身不具有违法性,因此,研发者和生产者不应承担刑事责任。同时,由于使用者的浏览、检索、购买等习惯行为亦不属于犯罪行为,当然也不应承担刑事责任。但是,这种人工智能技术在客观上对于网络黑灰产蔓延产生了推波助澜的效果,同时对社会管理秩序也可能造成破坏,刑法有必要提前加以规制。
《国家检察官学院学报》2021年第1期
作者:刘宪权(华东政法大学教授、博士生导师)
会员登录关闭
注册会员关闭