周  芬

摘 要：新型网络犯罪以互联网为犯罪空间，呈现出平台独立性、产业革命性、技术复杂性，且催生出各类组织严密、分工精细的网络黑灰产，给司法机关查办打击提出全新挑战。从实务视角分析，当前网络黑灰产在技术的加持下快速发展出上、中、下游产业链条，刑事实务打击中面临着技术手段不精、立法相对迟滞、司法标准不一等诸多障碍。然而，网络空间立法体系并非完全束手无措，现有法律规范结合共犯、罪数、构成要件限缩等理论可以一定程度架构起针对网络黑灰产的刑事司法认定规则。同时，融合技术理念、司法效率和社会职能，将有助于探索社会共治网络黑灰产的有效路径。

关键词：网络犯罪  网络黑灰产  技术中立  法益  概括印证  

一、新型网络犯罪及网络黑灰产

（一）网络犯罪及其演化

关于计算机或者网络的犯罪，虽然不同时期曾有“计算机犯罪”“网络犯罪”“数字技术犯罪”“电子犯罪”等多种称呼，但均离不开以“通信网络”为主要载体，故以现有通用的“网络犯罪”指代与计算机和通信网络相关的犯罪相对可取。网络犯罪是指在网络环境下，利用信息与通信技术或者滥用其技术优势地位所实施的威胁网络安全、侵害法律所保护利益的行为。有学者提出，在过去20多年，我国网络犯罪经历了由计算机犯罪（Computer-Crime）到网络犯罪（Cyber-Crime）再到网络空间犯罪（Crimes in Cyberspace）的三次样态转变。互联网的代际发展使网络犯罪也经历了以互联网为“犯罪对象”“犯罪工具”“犯罪空间”的三个阶段。第一阶段多表现为非法侵入或破坏计算机信息系统犯罪；第二阶段多表现为利用计算机实施侵财犯罪、侵犯个人信息犯罪等；第三阶段网络空间作为整个犯罪空间，其犯罪模式更加多元化、多变化、复合化，难以以几个罪名来简单概括，应该说其全方位体现出对网络公共安全、管理秩序、人身、财产等法益的侵害，故又被称为新型网络犯罪。

（二）网络黑灰产概念辨析

新型网络犯罪形态多元、层出不穷，且随着技术迭代高频升级，归集发展成一个又一个的网络黑灰产业群。有学者提出，网络黑灰产（Cyber Underground Industry Chain）是以虚拟网络空间为场所，以中立性技术为依靠，以谋取不正当利益为动机，以非犯罪技术或行为为表象，以实施违法犯罪行为为实质的社会分工组织形式。该定义根据犯罪动机和犯罪目的，实质性界定一个技术或者手段行为是否触犯刑法构成犯罪，从刑事规制的视角分析有着积极的意义。司法实务中也有观点认为，网络“黑灰产”是指利用网络开展违法犯罪活动的行为，包括电信诈骗、钓鱼网站、木马病毒、黑客勒索等黑色、灰色产业链。该定义更像是一种务实的归纳。

网络产业模式鳞次栉比、态势瞬息万变，后置性或归纳式判断可能无法及时、有效、完整的评价纷繁复杂的网络现实。在现代汉语中，黑色产业作为衍生意义通常是指非法产业，灰色产业作为衍生意义通常是指不完全符合法规或者不正常、不透明，综合两者可以认为黑灰产业是指非法或非完全合法的产业。结合教义学观念和实务需求，本文探讨的网络黑灰产，是指在网络空间中，以技术或者平台为支撑，以实施或者协助实施逃避法律监管、违法、犯罪行为为主要活动，进而形成的有组织、有分工、规模化的产业链条或产业整体。

（三）网络黑灰产特点分析

1.组织分工精细，产业链条复杂。网络黑灰产内部组织严密、各司其职、任务明确，反侦察意识强，有专人负责研发平台、截取数据、引导流量、资金支持等，可以说不同的网络犯罪环节均存在黑灰产，且已发展出上、中、下游产业链条盘根错节的产业群。上游环节有专业提供“挂马”等技术工具，中游环节有专门获取用户信息、数据清洗，下游变现环节有负责广告结算、平台运营等。越来越多的黑灰产是以公司化、集团化模式运营，利用各类合法优质平台进行宣传，迷惑性极强，短期内迅速崛起的各种灰黑产业助推更多网络不法分子实现“无痕化”犯罪。

2.以非接触式为主，不受空间地域限制。传统犯罪中，犯罪人与被害人之间多是正面接触、直接联系的，但网络是一个开放性、交互性的平台，各类网络黑灰产实施或者协助实施的违法犯罪行为基本是无需正面接触被害人即可达到不法目的。因此，主体通常相对隐蔽，网络用户难以辨识数据符号背后的犯罪面孔，加大了侦查难度。4G、5G网络的发展及移动终端设备的普及，更使得各种网络黑灰产不再受制于平台、行业、地域，信息交互无时无刻不在进行，藏匿其中的违法犯罪无孔不入，如黑灰产可轻易利用Telegram等一些国外加密聊天软件进行违法交易，还有通过租借境外服务器进行远程攻击或流量劫持等。跨越性影响了案件管辖，近年司法中逐步放宽网络犯罪地的理解，即是为了堵上逃避打击的各个“隐形门”。

3.行为方式多样，危害结果多元。网络黑灰产的作案手段具有高度智能化、技术化，新型平台、技术手段、犯罪行为等不断翻新迭代。“跑分”“嗅探”“爬虫”“网络劫持”等各种方式层出不穷，网络造谣、网络诈骗、网络盗窃、跨境网络赌博、网络色情、网络洗钱等各种犯罪行为充斥着网络的隐秘角落。一些犯罪是单节单笔的引起较重损害结果；另一些犯罪是“海量行为*微量损失”，短期看单次行为危险性低，但累计分析其对人民群众的合法权益和社会安全稳定造成的后果是严重的；还有一些看似“中立”技术支持，实则是鼓励或放任不法犯罪分子利用，危害巨大。

二、网络黑灰产实务观察

根据南都大数据研究院和阿里巴巴集团安全部联合发布的《2018网络黑灰产治理研究报告》，网络黑灰产可分为技术类、源头类、平台类以及各类违法犯罪类；百度时代网络技术有限公司和公安部第三研究所网络安全法律研究中心联合发布的《2020 网络黑灰产犯罪研究报告》中将当前网络黑灰产分为内容秩序威胁型、数据流量威胁型、技术威胁型、暗网四类。笔者结合行业分类及司法实务打击现状，将当前比较盛行的网络黑灰产分为以下五类：

（一）提供非法APP等技术支持的软件黑灰产

当前，一些技术黑灰产围绕电信网络诈骗等各类犯罪团伙需求，“量身定制”各类虚假交友、刷单、购物、理财APP，如可以随意更改数据的外汇交易等诈骗APP、可以非法获取手机通讯录和短信内容的裸聊敲诈APP等，或者为APP提供认证服务，成为诈骗犯罪的重要“助攻”。据了解，2020年7月，浙江宁波警方抓获一个专门为境外多个裸聊敲诈、网络诈骗团伙开发APP软件的犯罪团伙，经过对涉案APK开发平台（UNI-APP平台）上服务器数据的分析，发现该团伙共制作开发百余款涉诈、涉黄、涉赌类APP软件。

（二）提供通讯工具、网络账号平台的账号黑灰产

上游通常与运营商内部人员勾结，提供未投入市场、未激活的“空号卡”；中游负责管理“猫池”、“卡池”，连通运营商服务器用以注册账号、收发验证码，并在接码平台销售谋利；下游将账户用于实施刷粉、网络诈骗、“薅羊毛”等违法犯罪行为。流程如下图：

（三）利用流量劫持等提供吸粉引流服务的推广黑灰产

笔者曾办理过利用在运营商核心链路设备上假设恶意代码，对上网用户访问网站的原始JS地址数据进行篡改，导致用户在访问网站过程中被强制弹出广告链接的行为，犯罪团伙通过上述流量劫持方式短期内赚取广告推广费用上千万，影响千万用户。此外，全国各地还频见SEO优化推广、回退劫持、木马劫持、路由器劫持、无感刷单等各种非法推广黑灰产。

（四）以“爬虫”“撞库”获取个人信息的数据黑灰产

通过黑客入侵或批量“撞库”，从数据服务商处非法爬取数据出售给中间商，再由中间商进行数据清洗和验证后出售给他人，被运用于暴力催收、电信网络诈骗等犯罪。另有一些情况，通过研发“爬虫”软件，并与企业内部人员合作，从后台非法抓取企业商业秘密、客户个人信息等用于谋利。流程如下图：

（五）用“多聊”“跑分”提供资金服务的结算黑灰产

在移动支付越来越便捷的当下，违法犯罪活动也开始利用该项技术，因而催生出一些结算灰黑产业。2020年底，浙江富阳警方破获一起为赌博网站提供资金结算的“跑分”平台案。该团伙成立公司，对接各小型支付平台，并大量发展下游“码商”，通过在各网络购物平台注册店铺，利用虚假交易的“代付”二维码，为境外赌博网站提供资金结算服务，半年间涉案资金近亿元。另有通过研发“多聊”等即时通讯软件，对接棋牌游戏平台，提供登录接口，放任赌博人员在APP上创建群组，为棋牌赌博提供资金结算。

三、网络黑灰产的刑事治理

（一）现有规制障碍

1.“技术中立”理念一定程度掣肘对网络黑灰产的规制。1984年，美国联邦最高法院在“环球电影制片公司VS索尼案”中确立了“技术中立原则”，即某项产品或者技术是被用于合法用途还是非法用途，并非产品或者技术的提供者所能预料和控制，因而不能因为产品或技术成为侵权工具而要求提供者为他人的侵权行为负责。后被应用于网络犯罪案件中，尤其在“快播案”中被引用且引起广泛讨论。在网络化的大背景下，网络中立帮助行为被认为是中立帮助行为的一种重要表现形式。通常认为，中立技术行为主体在客观上从事业务行为，主观上不但缺乏与实行行为人的通谋，也不存在促进实行行为的意思，难以被归入到共同犯罪之中。此外，对于网络与信息技术的拥抱，也导致“无犯意的技术中立行为不可罚”这一观点成为打击网络黑灰产路上的理念障碍。

2.传统共犯认定标准难以直接适用于网络黑灰产。共同犯罪要求有共同的故意及部分的行为。意思联络是共同故意的关键，但网络共犯在意思联络的内容和方式上对传统共犯理论发出了挑战。网络黑灰产中技术环节的隐蔽性导致技术服务主体与实行犯之间的犯意联络趋于模糊化，既无法确知对方身份，更无法全面了解对方的犯罪行为，主观上难以厘清双方其中的犯意联络，客观上也无法将双方数字符号间的配合想当然认定为帮助行为，导致难以按照传统犯罪逻辑将黑灰产认定为共犯或帮助犯。

3.现有罪名逻辑关系与标准并未统一。在共犯认定存在障碍的情况下，近年来我国相继规定了拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪等，从立法层面规制各种新型网络犯罪的技术环节。但从笔者搜索中国裁判文书网的一审刑事案件来看，拒不履行信息网络安全管理义务罪案例数量极少，且出现类似情节分别被判处非法利用信息网络罪、帮助信息网络犯罪活动罪的情况，还有案例一审认定为构成开设赌场罪的共犯，二审改判为帮助信息网络犯罪活动罪。上述情况反映出黑灰产技术环节刑事规制中对于是否认定共犯，不认定共犯的情况下定何种罪存在认定标准不一、构成要件弹性大、罪名适用率不高等情况。

（二）对于黑灰产的刑事认定分析

1.关于技术中立的思考及刑事认定逻辑。我们身处后工业文明向信息文明转换的风险社会，没有绝对中立的技术，即使有的话，就像持刀杀人伤害，不能因为将刀认定为中立，就放弃追诉持刀者故意杀人罪，故刑事犯罪上并无所谓的中立说。无论是法益侵害说还是规范违反说，均认可刑法的目的是为了保护法益。分析某类行为构成何罪，关键在于全面解析其侵犯了何种社会法益，所定罪名能否全面覆盖、充分评价已经被侵犯的法益。从现有的刑法罪名体系来看，网络黑灰产可能构成诈骗罪、盗窃罪、侵犯公民个人信息罪等的共同犯罪，也可能单独被认定为破坏计算机信息系统罪、帮助信息网络犯罪活动罪等。准确厘清的逻辑在于：先区分技术行为与正犯行为是否构成共同犯罪——再结合具体构成要件辨析罪名——最后讨论罪数竞合问题。

2.关于共同犯罪的认定。相比于传统犯罪共犯的一对一模式，网络黑灰产犯罪呈现出更多“一对多、多对多”的帮助模式，共犯认定中两个典型的障碍是“明知”与“被帮助对象因罪量要求不构成犯罪”。首先，针对明知，笔者同意一些观点，认为可考虑借鉴毒品犯罪证明模式，适当调整对于网络犯罪中帮助犯明知的解释，应包括“知道或应当知道”。尤其针对专业技术提供者，其对于技术的充分了解导致其必然知道该项技术使用领域及用途，因此对于明显被应用于网络犯罪的技术应推定其明知帮助对象系采取违法犯罪行为。当然，还要注意不同技术人员的明知的认定也存在一定梯度，如对局部、边缘技术人员的明知要求要高于完整、核心技术人员。其次，关于被帮助对象的行为未完成、或者虽完成但因情节、罪量的因素未构成犯罪的情况。共犯论的核心，是能否认定共犯行为共同或者间接引起了法益侵害、危险的共犯的因果性问题。若作为被帮助对象的正犯行为未产生法益侵害或危险的结果，那么就无从讨论因果关系，更没有认定共同犯罪的空间，而应根据要件看是否构成帮助信息网络犯罪活动罪等。

3.关于罪名辨析及限缩解释。刑法第285条第一款至287条之二规定了七种网络犯罪，不可否认，实务中对于前述七种犯罪存在构成要件与边界认识不一、罪名选择困难的情况。如对于流量劫持行为是“控制”“获取”还是“破坏”，从判例和学术探讨来看均未充分达成共识；有学术观点提出破坏计算机信息系统罪出现口袋化趋势等；还有一些观点从实质预备犯、帮助犯正犯化等理论解读非法利用信息网络罪、帮助信息网络犯罪活动罪等。关于前述罪名的辨析，笔者认为首先应明确前述罪名均被规定在刑法第六章危害公共秩序中，故我们在判断时应以侵犯公共秩序的法益作为判断前提；其次，不同罪状用语存在双重理解，需要我们对条文进行克制的文义解释，如不过度解读“造成系统不能正常运行”；再次，要秉持实质正当的原则，如“拒不执行”应同时满足主客观方面要求综合确定，如果超出了行为人的管理能力，或者是改正的工作量巨大导致改正过程时间长，或其能力不足以完全改正，即使发生法定后果，也不应认定为拒不执行改正措施。最后，网络黑灰产犯罪情节多样变化多端，要结合判例进行类型化归纳，尤其注意辨析获取、控制、破坏之间的界限，对于情节严重进行限缩解释，减少同案不同判的可能。

4.关于数罪还是一罪。刑法第286条之一、287条之一、之二等均规定“同时构成其他犯罪的，依照处罚较重的规定定罪处罚”，这表示在同时触犯前述七种罪名与构成共犯的情况下，应当按照想象竞合从一重处的原则，鉴于前述罪名量刑较低，所以以共犯处罚的情况会更多。刑法第287条规定“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚”。该款引起一定争议，有观点认为该款就是明确指向认定共犯或者说直接认定正犯，不再考虑认定七种网络犯罪。笔者认为刑法既然明确第287条是提示性规定，那么就仍然要在现有刑法逻辑内确定定性，如通过干扰计算机系统窃取财物的行为，按照想象竞合从一重处的原则，若盗窃财物数量不高，则仍有可能判定其构成破坏计算机信息系统罪。

四、关于治理黑灰产的其他思考

（一）关于立法体系化

德国学者哈耶克指出，立法者的任务并非建立特定的秩序，而是在现有条件下合理促成秩序的自生自发形成与重构。当前，关于网络空间犯罪的刑事立法体系主要由侵犯计算机信息系统犯罪（刑法第285条、286条）、妨害信息网络管理秩序犯罪（刑法第286条之一、287条之一、287条之二）、侵犯公民个人信息犯罪（刑法第253条之一）、传统犯罪网络化四个方面组成。规范适用中的确面临界限不够清晰、标准尚未统一等困境，但通过对规范进行合理的解释，可以一定程度解决司法适用的问题，较多的网络犯罪行为仍然未超出传统犯罪的立法或解释“张力”。

当然，教义学解释方法不是解决黑灰产犯罪法律适用的“万能钥匙”，司法适用困境还是应该从源头解决。正如卢梭指出，因地制宜地确保自然关系与法律在每一点上的协调一致是国家体制长期巩固的根本保障。在规制网络黑灰产中，刑事立法或司法同样应该考虑法律体系的协调一致和系统化，只有将刑事立法与现有的行政等其他立法相兼容，主动寻求不同部门法之间的协同互动，才可能实现立法的体系化，最终引导司法实现秩序统一。如《网络安全法》中对于公民的网络权利、运营商义务、数据安全标准等进行了细化规定，应当吸纳进相关刑事立法，或者作为司法办案认定相应情节的参考标准；又如目前正在加紧制定的《个人信息保护法》《数据安全法》中对于数据资源的确权、开放、流通、交易及个人信息保护作出了新的规定，应当吸纳进刑事司法中，以更好规制数据类、信息类黑灰产。除此之外，司法适用中亦主动援引行业相关法规，对技术环节的全面评价，是客观、全面评价网络黑灰产的前提。

（二）关于司法效率边界

我国刑事司法当前采取“定性 + 定量”的立法模式，较多罪名设置了“数额较大”“情节严重”等量化标准，在证明标准上采用“犯罪事实清楚，证据确实、充分”的客观标准和“排除合理怀疑”的主观标准。可以说是一种相当高的刑事证明标准。反观司法实践，网络犯罪逐渐成为全球第一大类犯罪，不同于传统犯罪较窄的证据数量和证明范围，网络黑灰产实施的犯罪行为，通常属于连续犯，违法事实极其庞大，对象成千上万，且因隐蔽性和非接触性导致取证难度大，电子数据不易提取和保存，主观性证据又普遍较弱，若严格逐笔逐项一一核实后再进行主客观印证证明，将耗费大量人力、物力，且对案件诉讼效率造成较大影响，与从严从快打击网络黑灰产的现实需求形成矛盾。

有观点认为，需要建构一整套完整的简易证明机制，具体来说，消减网络犯罪的证明负担包括法律扩张解释、证明责任移转与证明标准降格等方法，容许网络犯罪的非证据证明则分为依赖推定、司法认知等直接确认方法。事实上，相关司法实践中也不乏修正证明标准的尝试，如最高法、最高检联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》( 法释［2017］10 号) 规定: “对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”平衡效果和公正从来都是司法的重要课题，具体到网络黑灰产案件的办理中，笔者认为可以区分情况：在定性中仍然适用客观+主观的具体印证标准；在定量中，面对计量对象海量化的案件，可以考虑以概括印证取代具体印证。如此，既坚守了司法证据标准底线，又一定程度提升司法效率。

（三）关于社会共治

网络犯罪是一个犯罪学命题，但更是一个社会治理现代化命题。司法不是万能的，治理网络黑灰产是一项复杂的社会系统工程，需要社会各界共同参与、共同防御、共治共享。一方面，通信运营商与金融机构作为前端，应加大防御力度，确保备案数据的真实性和及时性，做到实名注册和核对认证，杜绝出现 “空号卡”或以银行卡为主的“四件套”被贩卖利用的情况；另一方面，要强化行业、监管部门与司法机关的深度合作，携手共同打击网络黑灰产，如腾讯公司与公安部联合推广基于海量大数据和机器学习方法的“麒麟”系统，在遏制“伪基站”、切断诈骗犯罪的“信息流”方面，就是不错的合作尝试。此外，可考虑运用大数据思维提升国家治理现代化水平，建立大数据辅助科学决策和社会治理的机制，利用平台提高对网络风险因素的预判、感知、分析、防范能力，从源头上遏制网络犯罪。

五、结语

早在网络盛行之初，有作家概括网络空间是“一个新的宇宙、一个平行于现实的世界，一个虚拟的空间、心智的疆域，以及纯粹信息的王国”。但对于网络的期许并不表示我们允许其存在一丝法外之地。我国关于网络犯罪的立法和刑事政策从无到有、从分散到体系，体现了长足的进步，但面对日新月异的新型网络犯罪及其黑灰产的新特点、新挑战，一方面我们应时时关注最新犯罪动向及技术趋势，另一方面应坚持立法原理研究，加快厘清各罪之间的逻辑关系，秉持谦抑性原则严格划定犯罪圈，将新型网络犯罪的各种形态纳入刑法解释的范围，切实规制包括网络灰黑产在内的各类新型网络犯罪。

* 作者：周 芬（宁波市人民检察院第一检察部副主任、四级高级检察官）

* 载《案例法学研究》2022年第一辑