字号:小
中
大
2019年11月1日下午两点,第八十三届“社科法律人”高级学术论坛暨第一百五十一期“社科法硕”学术沙龙活动在中国社会科学院大学(望京校区)报告厅一楼成功举行。
本次讲座的主题为“网络犯罪最新态势和热点难点问题”。讲座由蚂蚁金服集团安全协作部总监连斌先生担任主讲人;中国社会科学院法学研究所刑法研究室主任、博士生导师刘仁文研究员担任主持人;阿里巴巴集团安全部高级专家谢虹燕女士,最高人民法院中国应用法学研究所副所长李玉萍研究员,中国社会科学院法学研究所经济法研究室主任兼法学系副主任、法硕办主任席月民研究员担任评议人。来自蚂蚁金服集团和阿里巴巴集团的数位专家以及两百余名在校生参加了本次讲座。
讲座伊始,主持人刘仁文研究员向大家隆重介绍了连斌先生,并对到场的嘉宾和同学表示欢迎和感谢。
连斌先生从事网络信息安全工作多年,有着丰富的理论与实践背景,讲座内容主要围绕以下四个部分进行:第一,互联网经济所面临的严峻安全挑战;第二,网络犯罪的概念及特征;第三,司法实践是解决网络犯罪的最佳方式;第四,网络犯罪热点问题讨论。
(主讲人 连斌)
一、互联网经济所面临的严峻安全挑战
连斌指出,当前在中国,网络犯罪每年以30%以上的速度递增,在一些互联网经济较为发达的地方甚至以接近倍速增长。中国互联网应用迅速发展,已成为全球互联网技术和应用发展最快的国家,互联网技术与人们的工作、生活结合得越来越紧密。随之而来的是信息网络技术被恶意利用的新型犯罪案件多发,催生了形形色色的网络犯罪类型,与此同时,网络犯罪的产业化和国际化趋势十分明显。一方面,网络犯罪跨平台甚至跨国实施的现象十分突出;另一方面,各国应对网络犯罪都面临严峻的挑战。各国对制定新的国际条约、建立跨国网络犯罪应对机制、要求公共权力机关和私营机构协同合作、加强对执法和司法人员的互联网知识技能培训等诉求十分强烈。笼罩在互联网空间的黑灰产业,尤其是各种恶意网络技术帮助的获取成本太低是导致各种网络犯罪快速上升的主要原因之一。对互联网犯罪的研究,不能仅仅停留在理论层面,一定要深入调研网络犯罪赖以生存的黑灰产业链,从解决刑法应对网络犯罪面临的实际问题出发,研究才有价值。
他认为,对网络犯罪的刑法规制目的应当是为数字经济的快速发展提供法治保障、营造良好的法制环境,充分发挥刑法的指引功能,明确可为与不可为的界限,促进我国互联网经济的快速健康发展,提高我国数字经济的国际竞争力才是长久之计,才能真正实现数字经济安全。他指出,最近公安机关封停了中缅边境电信网络诈骗活动严重区域的社交和支付账户事件,只是针对特殊地域、特殊情况的无奈之举和临时措施,不是常态化的控制措施,也不会“一刀切”。数字经济不发展甚至发展的慢,企业的国际竞争力下降只会导致更大的安全隐患。
二、网络犯罪的概念及特征
连斌指出,对网络犯罪的定义目前主要有以下几种观点:第一种是《布达佩斯公约》中约定的主要针对网络基础设施、计算机信息系统的犯罪;第二种认为是利用网络空间实施的犯罪;第三种观点是利用互联网技术实施的犯罪。上述三种观点都有其合理成分,但都有缺陷,不能准确定义网络犯罪,也无法明确网络犯罪的外延。他认为,当今生活的方方面面都离不开互联网活动,交流、交易、支付活动几乎都在网络上进行,而只有犯罪的核心行为发生在网络上,以网络的规则进行的犯罪行为才能称之为网络犯罪,比如:假货在实体店进行当面交付,虽然采用网络沟通、网络支付仍不能称之为网络犯罪,否则几乎所有的犯罪都可以被归入网络犯罪。比如:通过第三方支付收受贿赂、网络雇凶杀人等等。他认为,网络犯罪主要有五种类型:第一类是传统犯罪的网络化,如网络诈骗、网络盗窃、网络赌博等;第二类是以计算机信息系统为犯罪对象的犯罪,如制作和传播病毒、制作和传播恶意软件、网络攻击、盗取数据等,主要集中于刑法第285条和286条;第三类是利用互联网从事非法交易和犯罪交流的犯罪,主要是指刑法第287条之一非法利用信息网络罪,第四类是利用网络技术对网络犯罪形形色色、全链路的帮助行为,主要是指刑法第287条之二帮助信息网络犯罪活动罪;第五类是基于互联网产生的侵害新兴法益的犯罪,如侵犯信用的组织刷单、侵犯互联网市场新秩序新规则、侵犯数据权益的新型犯罪,此类犯罪的法律规制最急需立法,或通过司法解释予以完善。
连斌指出,如今的网络犯罪案件数量呈现金字塔的态势,从塔底到塔尖依次是传统犯罪的网络化、以侵犯公民个人信息为表现形式的账号类黑产、各类非法交易和交流的平台、提供恶意程序和技术服务的黑产,而像电信网络诈骗等传统犯罪罪名占到网络犯罪的绝大多数。此外,据有关部门统计,这些网络侵财犯罪的实行犯文化程度低,近80%为初中以下学历。以上两种现象背后隐藏了一个问题,即对网络犯罪背后形形色色帮助行为的黑产打击成效不明显,刑法新增罪名适用在网络犯罪中的占比极低。造成这个现象的主要原因:第一是对网络黑产了解、认知、研究不足;第二是管辖问题,对关联犯罪的管辖争议往往是实践中打击各种帮助行为的争议焦点,此外基于案多人少、经费不足,全链路打击也面临现实困难;第三是主观明知的证明存在困难,网络犯罪实行犯与帮助犯认定共犯极为困难,明知的认定是司法实践中难以追究帮助行为人刑事责任的难题;第四是鉴定难,鉴定能力不足、鉴定方法不统一、鉴定标准不清是制约对技术帮助行为开展打击的重要因素之一,尤其是对已失效软件的鉴定方法以及证据标准不统一严重影响了案件事实的认定,而对于场景化的技术,由于鉴定人员不了解具体业务场景和不同平台对不同行为的风控逻辑,也很难对恶意软件的功能做出准确的鉴定意见;第五是证明标准问题,即电子证据运用不足,尚未形成具有操作性、规范性、技术性的网络犯罪现场保护规则和电子证据取证操作细则;第六是刑九增设的网络犯罪罪名长期缺乏司法解释,司法实践中掌握的入罪标准不一也使得各地处理结果大相径庭。
他从网络犯罪的五大特征入手,分析了网络犯罪对传统刑法理念和理论造成的冲击:第一,主体年轻化。网络犯罪的年龄具有明显的低龄化趋势。他认为网络时代的刑事政策应当“严而不厉”,即法网严密、量刑适度,在当前对网络犯罪的行政先行缺失、刑事打击不足、网络犯罪高发的情况下,不能片面强调“刑法谦抑性”,这就要求对刑事政策进行调整,在法网的严密性和打击的力度之间寻求平衡,通过打击一些典型的案例充分发挥刑法的指引功能。第二,身份虚拟化。犯罪嫌疑人通过虚构、买卖大量账户来实施犯罪行为和隐匿身份,我国明确规定了网络实名制以从源头确保网络安全,但犯罪嫌疑人通过买卖公民信息、身份证件、变造伪造国际机关公文印章等方式,甚至利诱网民出售自己的实名账户、银行卡、手机卡以达到“实名不实人”的目的,由此形成了破坏网络实名制的庞大黑色产业链。第三,手段技术化。如钓鱼网站、撞库盗号、改号软件、秒拨代理、违法信息交易交流网站、群组,手段层出不穷,冲击了传统刑法的技术中立理论,一些恶意技术除了违法犯罪并无正当用途,并非传统刑法理论中的“菜刀”而是“管制刀具”甚至是“枪”。第四,分工专业化、利益链条化。无论是提供非实名账号、提供犯罪信息还是提供恶意软件或技术服务,其利益最终都来源于违法犯罪所得,网络犯罪的链条化决定了打击手段肯定不能只打一个环节,需要研究切实有效的“断链”措施,一款恶意软件及其使用教程的诞生可能早就成百上千个诈骗犯罪嫌疑人甚至团伙,仅仅打击实行犯成本高、收效低,甚至在艰难破获诈骗团伙过程中该款软件又销售了上百次,又 “造就”了上百个团伙,始终处于打不胜打的状态;第五,行为无痕化。与传统犯罪现场不同,网络犯罪不具有中心犯罪现场,也没有留下DNA、物证、痕迹等可供勘察的线索,具有作案现场碎片化、非接触性、小额多笔、跨平台、证据割裂等鲜明特征,如何破解虽有电子痕迹但难以收集,尤其是难以第一时间完整收集以应对电子数据易变、易灭失的难题,目前的研究和投入远远不足,以致于实践中不少案件因犯罪数额难以认定而导致轻刑化。
三、司法实践是解决网络犯罪的最佳方式
中外典型案例是研究破解网络犯罪应对难的重要资料。连斌以“国外在打击哪些网络犯罪”入手介绍了三个案例。第一个案例,是打击恶意程序“间谍之眼”案。犯罪嫌疑人开发专门窃取银行信息的恶意软件,不但利用平台销售恶意软件,还自己窃取银行账户信息予以销售,该案对软件开发和销售行为进行了打击,以计算机诈骗合谋罪分别判处了两被告人15年和9年的监禁。第二个案例,是打非法平台的典型案例。FBI的“笼罩地平线”行动,在欧洲、南非、美国、东南亚等二十几个国家抓捕了七十余人,并关闭了全球著名黑客组织“蜥蜴组织”服务的御用网络论坛,该论坛上有交易恶意程序、他人的系统漏洞、僵尸网络、垃圾邮件等等信息,与国内一些所谓的“科技论坛”以及一些半公开、半隐蔽的群组所从事的活动如出一辙。第三个案例,是罗马尼亚的“惊天魔盗团”,该案例的犯罪线索是由网络安全公司率先发现,并跟踪发现犯罪分子蛛丝马迹后配合司法机关破获了该案,是一起司法机关与企业合作是破获网络犯罪案件的典型案例,充分说明在国外公私合作也是共同打击和遏制网络犯罪正在采取的有效途径,更是国际社会普遍谋求的重要解决方案。国内也有一大批新型案例,每年最高法院都会编撰网络新型犯罪案例选,具有很好的指导意义,这里不再一一列举。
四、互联网犯罪热点难点问题
一是非法经营罪应当扩大还是限缩问题。2017年的两起案件——组织刷单非法经营案和组织网络信用贷款套现非法经营案,引发了学界对于该问题的争议。不少学者担心非法经营罪会再次被“口袋化”。然而,进入数字经济时代,既然出现了不少新的经营模式,当然也会出现不少新的非法经营行为。固守原有的法条所列举的几类行为,显然无法应对新出现的破坏新型经济秩序和规则的新型犯罪行为。因此,新《反不正当竞争法》把通过虚构的网络交易提升他人虚假信用的行为明确规定为不正当竞争行为,补充行政法律法规对此类行为规定的空白。而两高《关于办理非法从事资金支付结算业务、非法买卖外汇刑事案件》(法释〔2019〕1号)第一条,就明确规定“违反国家规定,具有下列情形之一的,属于刑法第二百二十五条第三项规定的“非法从事资金支付结算业务:(一)使用受理终端或者网络支付接口等方法,以虚构交易、虚开价格、交易退款等非法方式向指定付款方支付货币资金的”,以司法解释明确了网络套现行为的性质。上述两个典型案例,被国家分别以立法和司法解释的方式予以确认。
二是机器到底能不能被骗?该问题涉及未来人工智能的法律主体资格问题,不少专家写了不少文章论证了机器不能被骗的观点。他个人认为,应当历史地辩证地看待这一问题。在工业革命期间,机器主要是机械的设计,解决的是劳动效率的问题,机器只是执行,没有“思考”,所以不存在被骗。然而进入人工智能时代,尤其当AlphaGo战胜世界冠军,说明机器已经具备收集信息、处理信息、自主决策并执行的“思考”过程,机器已经产生“被骗”的基础,事实上当今很多风控算法模型不是某一位工程师可以独立设计、搭建完成,一旦被以技术或者社会工程手段骗过,连设计者、搭建者都不知道是哪个环节被绕过,也需要通过技术回溯和数据分析才能发现,因此很难说在实施骗局的当时是骗过了哪一位自然人。实际上法律拟定信用卡诈骗罪,实质上也主要是骗过“ATM”机而实现的,而南通法院判决的“积分”诈骗案,也是以判决的形式承认了机器是可以被骗的。
三是网络“爬虫”之殇。“爬虫”本来是一种页面抓取工具,是搜索领域正常的也是必要的工具。然而一些犯罪分子在其中嵌入具有非法侵入、控制他人系统、绕过他人风控措施、非法下载未经许可的数据以及侵犯个人信息等功能的技术或技术模块,爬虫的非法变种就可能涉及到各种危害计算机安全的违法犯罪行为。他指出,当前处理“爬虫”法律界限难的问题,实质是出在数据权益和权属不清的民法领域的问题,在法律上对数据没有分类、不同种类数据分别属于何种权益性质、数据的权属分配以及各数据主体权责利的不清晰直接导致了数据乱象,一个最直接的问题是“采集、清洗、使用数据的企业究竟对数据享有怎样的权益”并没有得到法律的回应,长此以往既可能影响公民个人信息的有效保护,更可能阻碍非涉公民个人信息的商业数据有序流动。
四是是否需要增设“妨害业务罪”。不少学者在深入研究后认为,需要仿照日本刑法增设“妨害业务罪”,以解决用形形色色的破坏手段妨害他人正常的网络经营。他认为,增设罪名固然可以解决应对新型破坏网络经营手段的问题,然而需考量与刑法现有罪名故意毁坏公司财物罪、破坏生产经营罪之间的关系。如果把破坏生产经营罪调整回破坏市场经济秩序分则,对其网络方式的破坏行为作修正或者做扩大立法解释,同时把可得利益纳入“经济损失”的范畴是否同样可以解决这个问题。按照他个人理解,故意毁坏公私财物罪中的“公共财物”完全可以覆盖“破坏生产经营罪中的耕牛或机器设备等生产资料”,而刑法未能覆盖的恰恰是网络时代“非以物理破坏方式破坏他人生产经营的种种行为”。
五是涉第三方支付的侵犯财产的法律适用。例如,偷取他人网络支付账户里的钱如何定罪?关于该问题有以下三种观点:第一,复杂问题简单化,一律定性为诈骗或盗窃;第二,根据行为指向的不同对象分别定罪。即针对余额的定盗窃、针对信用贷款的定贷款诈骗、针对快捷支付绑定信用卡的定信用卡诈骗。司法实践中此类判决亦不少见,但对同一个行为,由于客观上侵犯了不同对象而定不同罪名,确实从理论上有说不通的地方。第三,根据行为来定罪。如果行为无需被害人配合直接完成盗取的定盗窃罪;如果骗取被害人自己确认支付的定诈骗,如果具有冒用他人身份信息并绑定他人银行卡的定信用卡诈骗罪,甚至有多个行为的还可以数罪并罚。连斌个人同意第三种观点,认为刑法主要还是看非法占有他人财物的核心行为的性质,既不能不顾实际情况的不同一刀切,也不能仅根据同一行为所指向的客观对象不同而定不同罪名。
六是数字经济时代刑法是否需要增设新的法益?比如,信用是数字经济时代的基石,当前信用造假、背信弃义、违背诚实守信不正当竞争的行为非常严重,信用基石遭到严重破坏,不仅破坏了互联网经济秩序,还严重破坏了国家诚信体系的建设。又比如,数据安全越来越成为国家建设网络强国的重要保证,对于数据权益、数据安全是否需要单独增设为刑法分则保护的重要法益。再比如,互联网经济秩序有别于传统的受地域限制的经济秩序和规则,是否需要增设或重新调整经济秩序的定义和范围以适应时代的发展等等问题都引起了司法实务界和学界的高度关注,也产生了观点各异的学术成果。这些问题,需要靠在座的所有年轻一代法律人,也是互联网活动的主要参与者研究破解。
谢虹燕女士从企业的视角出发,就阿里巴巴安全团队所关注的四个方面的问题,分享了她的见解与体会。阿里巴巴网络安全团队的第一个关注点,就是互联网黑灰产业的最新发展趋势。企业位于对抗网络黑灰产的第一线,对网络犯罪有着最直观的了解与感受。网络犯罪的独立性、技术化与软硬件结合是互联网犯罪的最新趋势。第二个关注点是,互联网技术的发展给传统法律理论带来的挑战与认识。例如传统上认为技术具有中立性,只是使用技术的主体具有主观恶意。但在目前的网络犯罪态势下,技术中立理论需要我们重新去审视。第三个关注点,就是如何治理黑灰产业。黑灰产业的治理需要刑事、民事、行政三方面共同努力,在不同的部门法之间进行衔接和协调。第四个关注点,是如何在数字经济发展与规制黑灰产业之间取得平衡。数据的自由流通是将来数据经济发展的方向,数据不流通没有办法制造更多的价值,没办法贡献更多的力量和资源。既要使数据资源充分流通,又要保障数据安全,从而建立起一个完善的互联网管理秩序体系。
李玉萍研究员从司法机关的视角出发,对此次讲座进行了精彩点评。首先,她指出,经数据表明,网络犯罪案件数量在2016年至2018年间呈现大规模上涨的态势,江苏省和浙江省是网络犯罪案件的高发地。其次,她强调,传统犯罪网络化的事实认定以及新型网络犯罪在实践中的适用是非常具有争议和难度的。再次,她认为,最高司法机关对相关法条的司法解释在实务中是非常有必要的。最后,她指出,对于网络犯罪的处罚要做到以下两点:第一,“打早打小”,但这不等同于“从严”,对于网络犯罪要取决于被告人以及个案的具体情况来决定是否当快则快,该严则严;第二,针对犯罪产业链问题要做到“打源头”, 网络犯罪离不开两个最基本的要素,一个是技术要素,一个是信息要素,不管是信息还是技术都属于产业链的源头。
席月民研究员以四个精炼的词语评价了此次讲座。一是“专业”,他强调,连斌总监在网络犯罪相关领域具有非常高的专业性,讲座的内容是紧紧围绕着刑法学科中相关问题展开的。二是“深入”,他指出,连斌总监对于网络犯罪的讲解由浅入深、由表及里,不是局限于一些表面上的网络犯罪的问题在展开,而是深入到许多具体罪名、具体的犯罪行为的构成和认定等方面进行分析。三是“生动”,他认为,整个讲解过程中穿插了许多经典国内国外的案例,要通过这些案例与我们所学相对照,分析出一些问题来进行深入研究。四是“前沿”,即我们身处在信息时代,网络与我们息息相关,网络问题所涉及的都是比较前沿的技术,网络犯罪需要我们积极参与,共同治理。
席老师指出,谈到网络治理的时候,不要仅限于刑法的思维,还需要跳出刑法,把眼光放得更宽广一点。互联网领域的问题不仅仅有刑法上的问题,还有民法、经济法、行政法以及知识产权法等部门法的问题。从经济法的角度来讲,首先要把握好科技与法律的关系,科技是把双刃剑,我们必须要正确对待科学技术发展所带来的法律上的一些挑战。其次要注意政策与法律的关系,不仅仅是司法机关对互联网问题进行研究,行政机关比如工信部,也在密切关注互联网领域的一举一动。在学习过程中,还要注意对行政机关出台的一些政策进行关注与学习。
在提问环节中,同学们踊跃举手、积极发言,提出了许多具有启发性的问题。例如,互联网平台监管与保护个人隐私的界限在哪里、“暗网”犯罪调查中存在哪些难点、破坏生产经营罪中的“可得利益”在网络犯罪中如何界定等等。连斌总监一一耐心地解答了同学们的问题。
刘老师最后向连斌总监和所有评议人表达了谢意,对同学们的学习提出了殷切希望。本次讲座在嘉宾和同学们的热烈掌声中圆满结束。
文字| 李雪菲
图片 | 张瑞雪 王艺颖
编辑 | 董龙凤