首页
法学研究所概况
国际法研究所概况
研究人员
科研成果
学术活动
法学刊物
法学教育
图书馆
工作平台
搜索

 

English

日本語

한국어

网络虚假认证灰色产业链相关行为的刑法规制
贾元
字号:

 

摘要:网络虚假认证相关的上下游犯罪行为形成的灰色产业链产生了极大的社会危害和负面影响,既助长了网络违法犯罪,又大大增加了监管和执法、司法取证成本,严重破坏了《网络安全法》实名制的规定,影响社会安全生态治理。目前我国刑法并没有针对网络虚假认证相关行为的独立罪名,需要通过法律解释等方法对尚未明确法律属性的灰色产业链相关行为纳入刑法规制范围,并争取在未来的法律修改中将相关行为写入刑法条文之中。

关键词:公民个人信息;网络虚假认证;黑灰产业链;网络犯罪

 

伴随着电子商务平台的发展和网络购物用户数量的快速增长,虚拟环境中出现的风险问题日益增多,这种安全风险是双向的。一方面,平台方面临黑产工具不断更新、病毒木马持续增长的威胁。另一方面,网络用户在每一次的上网行为中都有可能遇到个人信息泄露、网络诈骗等侵犯个人人身、财产权利的情况。黑灰产业链的发展使得个人信息与网络犯罪紧密联系在一起,公民个人信息是网络犯罪的源头,是黑灰产犯罪行为人实施进一步犯罪的工具。如何正确利用和保护公民个人信息,不仅关系到公民个人人身和财产权益的保护,也会影响整个互联网金融行业和国家经济的健康发展,所以对公民个人信息的保护必须上升到刑法层面,才能在保护公民个人权益的同时起到遏制、打击网络犯罪的目的。

但是,在我们强调对公民个人信息权利保护的同时,也要看到,有许多人主动地让渡出自己的个人信息权利,帮助犯罪的实施,此时如果继续过分地强调个人信息保护,可能会阻碍科技进步和网络发展,也会给互联网企业、网络平台的正常运行造成障碍。而网络虚假认证这一灰色产业链,正是滥用个人信息权利行为和侵犯公民个人信息行为两者重合出现的领域,故本文以此问题为出发点,探讨对公民个人信息权利滥用行为的限制。

 

一、网络虚假认证灰色产业链的行为表现及刑法规制必要性

 

恶意注册、虚假认证等游走在法律边缘的不法行为,由于在立法上尚未明确规定这些行为的性质,甚至参与其中的各环节行为人,有时也并没有认识到自己的行为已经违法,所以被称为灰色产业链。暴利驱动下,灰色产业链异常繁荣,成为全球性问题。据国外媒体报道,Twitter的发展带动了“僵尸粉”地下产业链的蓬勃发展。安全公司的研究报告显示,该产业链规模已经达到4000万美元至3.6亿美元。这些灰色产业与黑色产业相互依附、交织,已发展为跨平台、跨行业的集团犯罪链条。手机黑卡、银行卡、身份信息非法买卖,看似灰色产业,如影随形的却是网络诈骗、盗窃、攻击等各类黑色产业。比起从2015年国家互联网应急中心发起的“重点打击三类网络黑色产业专项行动”以来已经引起政府、社会、平台三方重视而重点打击的黑色产业链,灰色产业链的相关行为至今尚未得到有效的法律规制。

(一)虚假认证行为的表现和流程

虚假认证是指身份信息无效或者归属人与实际操作人或者与店铺实际经营人存在不一致,其行为实施者是以售卖账号或网店认证为目的,从事利用非本人身份信息进行虚假认证的个人和团伙组织。需要注意到的是,虚假认证和恶意注册是两条有所区别但又联系紧密的灰色产业链。恶意注册是指个人或团伙以牟利、扰乱社会管理及市场经营秩序,在互联网平台上通过批量创建网络服务账户的行为。虚假认证的卖家,往往利用大量恶意注册的买家账号进行炒信、刷单并进一步实施诈骗、盗窃、售假、售卖违禁物品等犯罪行为或者用于转移犯罪所得、洗钱等。所以这两个灰色产业链是既独立成链又结合作用的。

实施虚假认证行为主要有两种目的,一是直接利用虚假认证的账户进行炒信、诈骗、售假、售卖违禁物品、转移犯罪所得、洗钱等违法犯罪行为;二是批量进行虚假认证,再将认证账户出售给他人获取利益。在手法上,虚假身份认证可以分为兼职认证、身份盗用、身份借用三大类型。其中兼职认证的比例占了80%,成为虚假身份认证的主流手段,是身份认证黑灰产的重要组成部分。

虚假认证目前已经形成人员数量庞大、分工明确的灰色产业链,整个链条涉及人员众多,分工复杂,利用多种平台和社交工具进行沟通。一般性流程如下:

1.认证前:线下大量获取身份信息,过去的收集渠道主要在偏远地区、农村、工厂或学校。现在已经更新为以购买的方式从信息权属人手中购买信息,甚至直接购买注册好的网店。这种信息提供者被称为“兼职人员”,收集者则被称为“兼职主持”和“地推”,前者负责指导他们利用本人身份进行虚假认证,并收购转卖;后者负责到各大网络通信平台以及线下专门找人来完成虚假认证。

2.认证时:通过收购垃圾账号或者自行批量注册账号,用收购的真实身份信息来进行开店或社交账号的身份认证。这一环节的参与者被称为“放单”,他们从网赚平台上了解到账号需求方的账号需求,派发给下游“兼职主持”完成注册任务,然后收购已认证账号进行转卖获利。有时,在注册认证的环节,信息权属人已经在出售网店之前就完成了注册认证,在后续经营过程中,如果触发二次认证,信息权属人会配合店铺实际使用者进行认证(提供照片、认证码或人脸识别)。这种主动向违法行为实施者提供自己的真实身份信息注册账户或网店并配合后续认证的行为,因为属于信息权属人自愿主动提供,有相应授权,所以是司法实践中规制的难点。

3.认证后:利用虚假认证通过的账户直接进行欺诈、售假、炒信、售禁、发布违禁信息、洗钱等违法犯罪行为,甚至将该账户多次倒卖。这个环节的参与者也是整个产业链的终端,即最终账号使用者,一般都是利用这些他人实名账号从事售假、违禁、欺诈等等违法犯罪活动;也有些人作为买卖中介,直接倒卖获利。

现在的虚假认证过程中,已经抛弃过去使用伪造、变造的虚拟身份信息进行注册的方式,而是使用真实公民身份信息进行注册认证。出现这种升级的虚假认证行为的原因主要是现在电子商务平台注册程序的规范要求、刑法条文和司法实践对伪造、变造居民身份证相关行为的严厉打击和网络实名制的推行,导致过去用一个假身份信息注册多个账号信息不再可行。虽然国家已经出台了关于实名认证相关的规定,但这并没有遏制住网络虚拟身份的注册和使用行为,反而催生出对真实公民身份信息的大量需求,犯罪工具随之发生变化,出现了新的帮助行为,即向违法行为实施者提供自己的真实身份信息用于注册账号或网店认证。目前《网络安全法》只要求实名制,但较大的网络电商平台都已经自动提升防控措施到实人制,即不仅仅要求进行身份认证,而且要求认证的人就是实际使用人本人。企业也非常重视实人认证技术手段的发展,如开发人脸识别、声纹、眼纹技术,一方面是自身业务安全的需求,要对平台用户的可信身份进行识别;另一方面也是《网络安全法》对平台监管义务的要求。但是虚假认证的问题就在于利用了实名而不实人的法律漏洞,骗过监管部门的同时也骗过网络平台,而且会针对网络平台认证技术的升级而不断变换对抗手段。

(二)虚假认证行为的刑法处罚必要性

首先,虚假认证行为是利用现有关于网络实名制规定的漏洞进行违法犯罪,具有多重的社会危害性。一方面,这类行为会扰乱多个行业的正常秩序,影响的行业辐射范围大。虚假认证对社交、通信、金融、电商、搜索等多个行业的正常运营造成不良影响,比如在电商领域,利用虚假认证账号进行售假、欺诈、违禁、刷单等违法犯罪行为屡见不鲜。这些行为成本低廉,见效迅速,但相关政府部门的管控相比起来则是困难重重,查处速度和力度都远远落后于违法犯罪行为的发生速度。另一方面,虚假认证的账号会成为多种后续犯罪行为的基础。身份认证是几乎所有网络行为的起始,在网络世界伪造虚假身份信息,或者冒用甚至获得他人授权后使用真实信息申请的虚拟账号,是大部分网络犯罪的重要媒介。虚假认证账户具有隐蔽性强、难以追踪等特点,已成为不法分子实施网络违法行为的重要工具,而大量虚假认证对真实身份信息的需求,又催生了公民实体身份信息收集及买卖的产业链。对这类行为的打击可以有效净化网络交易环境,有利于网络交易平台规范发展。

其次,通过刑法规制虚假认证行为是法益保护的需要。侵犯公民个人信息罪所保护的不仅仅是公民个人的人身、财产法益,还具有超个人法益的保护属性,即涉及国家安全和社会公共利益。所以即使提供的是自己本人的真实身份信息,但明知该信息被用于虚假认证以及后续犯罪行为的,仍然是侵犯了公民个人信息罪的相关法益,应当予以规制。

最后,刑法介入对虚假认证行为的规制与刑法的最后手段性并不冲突。刑法作为规制社会违法行为的最后一道防线,具有最后手段性。虚假认证帮助行为人逃避《网络安全法》实名认证的门槛,实现隐藏身份、逃避打击的需求,不但助长网络违法犯罪行为的嚣张气焰,还大大增加了监管和司法取证成本,影响社会安全和秩序,侵犯多重法益,具有很大的社会危害性,现有的民法、行政法的规制已经不能有效禁止这类行为,所以需要刑法介入,通过具有国家强制力的惩罚措施更有效地打击相关的灰色产业链。

 

二、网络虚假认证行为司法规制的现状

 

(一)已有法律的规制

为有效维护网络秩序,我国针对不同行业、不同领域先后出台了多项网络实名管理制度,如《关于加强网络信息保护的决定》《即时通信工具公众信息服务发展管理暂行规定》《个人账户存款实名制规定》等,这些制度无不要求核验法定身份证件。近年来国家也陆续出台了一些法律法规来落实网络的实名认证管理。比如《网络交易管理办法》《居民身份证法》《互联网用户账号名称管理规定》等,均对从事网络商品交易的从业者和相关网络平台关于实名认证以及监管义务提出明确要求。此外,《消费者权益保护法》《电信和互联网用户个人信息保护规定》等法律文件也从消费者的权益保护以及公民个人信息安全等角度对网络实名认证提出了要求。在各类规定、管理办法的基础上,2017年的《网络安全法》第24条正式提出了网络实名制的要求,将规制此类行为的法律级别提升到新的高度。2017年《国务院关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》中也对《网络安全法》的施行给予呼应,要求“贯彻落实网络安全法相关规定,加快建立健全个人信息保护法律法规体系和管理制度。严格落实企业加强个人信息保护的责任,全面规范个人信息采集、存储、使用等行为,防范个人信息泄露和滥用,加大对窃取、贩卖个人信息等行为的处罚力度。健全知识产权侵权查处机制,提升网络领域知识产权执法维权水平,加强网络文化知识产权保护”。

2015年《刑法修正案(九)》在三个方面提供了打击链条式黑灰产犯罪行为的依据。首先,修正案强化了对公民个人信息的保护,扩大了出售、非法提供公民个人信息罪和非法获取公民个人信息罪主体的范围,提高法定刑。其次,修正案将原有的伪造、变造身份证件罪扩大为伪造、变造或盗用他人身份证件罪,扩大了该罪的适用范围,并增设买卖身份证件罪。最后,修正案增设了帮助信息网络犯罪活动罪,“为网络犯罪共同犯罪中帮助犯的定罪和处罚提供了一种新的思路,可从侧方面解决‘合意证据’缺乏而导致的链条型网络犯罪中共同故意证明与认定困难问题,即如果确实难以在证据层面支撑作为整体犯罪评价定性,就以独立罪名进行追诉”。2019年最高人民法院、最高人民检察院又颁布了《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》,对帮助网络犯罪活动行为明知、情节严重等相关问题的认定作出进一步详细规定。这些规定都有利于对虚假认证产业链上各环节参与人的行为进行规制,但仍然有不足之处,这是立法滞后性无法对持续翻新的犯罪手段及时应对所致。

(二)司法实践中的困难

首先,对虚假认证相关行为的规制出现行政与刑事手段不能无缝衔接的情况。从现有的规定可以看出,对虚假认证行为和相关的平台责任的管控主要是通过行政执法来实现的,但由于行政执法的打击力度相对较小,不能有效遏制虚假认证行为的高发。而且,这一行为往往不会独立存在,而是会和侵犯公民个人信息、洗钱、刷单、炒信等多种违法犯罪行为相关联,形成灰色产业链,行政执法无法深度打击,造成行政和刑事规制的断裂。2016年重庆市工商局查处了全国首例网店虚假认证的案件,涉案单位重庆宇佳盛信息咨询有限公司被指招聘数百名兼职人员,注册500多家网店,然后以每家80200元的价格,转手倒卖给福建莆田等地的经营者。由于从事刷单、炒信和虚假认证,该公司被重庆市工商局南岸区分局查处,并向其发出行政指导告诫书。这是全国工商系统查处的网络交易平台虚假认证第一案,揭开了虚假认证这一灰色产业的面纱,使得这一毒瘤从网络平台行业内部走入社会大众和学界视野,但这起案件最终是按照刷单来处罚的,并没有直接处理虚假认证行为。

其次,虚假认证相关行为尚无生效判决将其单独定罪。在司法实践中,法院仍没有对虚假认证这一行为进行独立的入罪,比如在“深圳市齐鸿发展科技有限公司、刘某非合同纠纷”一案中,原告赖某风将刘某非的一个闲置QQ号委托被告深圳市齐鸿发展科技有限公司对涉案微信公众号进行挂名认证,并向该公司支付代认证费。几年后原告诉至法院要求解除账号绑定认证,被告则主张该认证属于公司内部运营,账号使用权应当由公司所有。原审法院认为双方属借名认证关系,该行为违反了《微信公众平台服务协议》的有关约定,原告请求解除借名关系,取消虚假认证手续的诉求应当予以支持。从法院的论证中可以看出,与其说虚假认证行为被定性为违法行为,不如说是一种违规行为。此类行为多是如上述案例一般,只是在民事诉讼范围内附带地进行认定,更遑论进入刑事诉讼的范畴了。

对于虚假认证行为和后续犯罪行为实施者为同一人的情况,法院一般也只将前者认定为后续犯罪行为的手段行为。比如在“陈某、张某诈骗罪”一案中,被告人张某、陈某为牟取非法利益,利用美团点评网对商店注册信息审核不严的管理漏洞,利用成都市成华区保和乡一带的地址,在美团点评网上注册“土家菜菜”“川渝菜馆”等七家虚假商户。20173月至20188月期间,两位被告人建立两个微信群,通过与微信网友约定分成比例的方式,相互配合进行虚假交易,从而骗取北京三快在线科技有限公司(以下简称“三快公司”)对上述七家店铺交易的补贴款共计223,844.86元。法院判决中认为,“被告人基于非法占有的目的,与三快公司签订服务合同,虚设店铺进行虚假交易以骗取财物,签订合同仅为被告人实施诈骗的手段,该行为并不属于在合同签订、履行过程中骗取财物,本案应以一般诈骗罪论处”。不可否认,根据目前刑事规定,法院以此罪名定罪处罚是合适的。但在该案中,虚假认证行为有一定的社会危害性,能否独立定罪,值得思考。

最后,网络平台认证流程上仍存在许多漏洞,不仅使违法分子有空可钻,也给司法实践中对这类行为是否违法的判断造成障碍。由于现在第三方平台对注册商户或认证用户的审核主要还是一种线上审核的方式,所以尽管现在严格要求实名制注册,但仍然存在认证审核过程上的漏洞。比如在“张某庆诉北京百度网讯科技有限公司财产损害赔偿纠纷”一案中,原告张某庆通过百度搜索到“缇雄贸易”公司,该公司通过了百度加V认证,根据百度相关政策,可以享受百度先行保障服务。出于对百度认证的权威性的信任,原告与该贸易公司签订了塑胶原料购销合同,结果付清货款后就再也无法联系上该公司,到合同交货日期仍然联系不到对方且货未到。后经原告实地考察,该公司并不存在。被告认为,百度公司明知是诈骗网站仍然进行推广,依法应当承担全部赔偿责任。而百度公司则辩称,百度对加V用户的审核方式为“证件表面一致线上认证法”,要求对方提供包括公司营业执照原件及营业执照上登记的法定代表人的身份证原件的影印件,并要求提供了法定代表人手持自己身份证的肖像照片,该照片同时显示了法定代表人的肖像和身份证上登记的照片,作为互联网经营企业,对于注册客户的信息验证程序已经尽到了合理注意义务,不存在过错。审理法院认为这种认证方式没有尽到合理注意义务,如果导致他人权益被侵犯,需要承担民事责任。当然,百度、阿里巴巴等平台对中小企业网站商户的认证还有“打零钱”、线下实地认证等方式,但这种方式面对海量的个体商户账号注册,显然是不具有可行性的。

 

三、网络虚假认证行为的司法应对

 

对网络虚假认证行为进行规制,最重要的是要从源头切断整个虚假认证链条的“资源供应”。在虚假认证链条犯罪过程中,对于中游、上游参与者的行为大多可以通过侵犯公民个人信息罪、帮助信息网络犯罪活动罪等罪名予以规制,但对一些性质尚不明确,处于灰色地带的行为,比如真实身份信息的提供者的行为,能否构成犯罪以及如何处罚,一直没有定论。在司法实践中,需要关注如何利用现有的刑法理论、法律规定和司法解释来解决这些尚未明文入罪的行为的规制问题。

(一)如何认定网络虚假认证行为的法益侵害性

首先,虚假认证相关行为侵犯了公民个人的人身、财产法益。2019年涉及公民个人信息的数据库数据安全事件频发,数据泄露、非法售卖等事件层出不穷,数据安全与个人隐私面临严重挑战。网络、移动应用端、云计算、人工智能等技术的发展,一方面使得公民个体在虚拟世界中的个人形象愈发立体化、完整化,能够实现更多的社会行为,另一方面也意味着个人信息的透明化。可以说,日常生活的一举一动,都被不同的应用软件或其他终端后台一一记录了下来。这些虚拟空间中留下的痕迹是开放式的,能通过不同的途径被追踪和获取,个人的隐私权受到了不同程度的威胁。同时,个人财产安全也受到威胁。中国互联网协会2015年的《中国网民权益保护调查报告》显示,当年网民因个人信息泄露等问题导致的损失达805亿元。最后,个人社会发展也会受到影响。随着个人信息网络收集和搜索技术的发展,每个人的虚拟数据可能会影响到现实中获得信贷、就业、经商和享受社会福利的机会,而且金融机构秘密收集、处理和使用个人信息,并利用相关信息对公民个人作出营销、放贷、核保、雇佣等决策时,本人往往是不知情的,这不利于权利被侵犯时的申诉和救济。无论真实身份信息的提供者是明知抑或是基于错误认识提供了自己的公民信息,利用提供者的身份信息进行虚假认证以便从事违法犯罪活动的行为,都侵犯了提供方的个人信息保护权,这一权利客体不仅包括人身权,也包括财产权。

其次,虚假认证相关行为扰乱了社会秩序的运行和网络空间的治理。虚假认证行为使得真实经营者的身份被隐藏,给政府监管部门的追踪和控制造成困难,也导致消费者无法维护自身权益。这类行为的蔓延侵犯了消费者的知情权,损害公平竞争的市场环境,不利于社会诚信体系的建立,也破坏了网络可信身份的管理体系,使得不法行为人可以随意利用虚假的身份进行互联网犯罪活动,对社会构成极大危害。

最后,虚假认证相关行为还会影响到国家治理体系的建设和网络空间的安全运行。网络安全涉及政治、经济、军事、民生等多个领域,对国家政治、军事安全工业产业系统、社会秩序和国家治理体系的正常运转都有很大的影响。网络犯罪治理一直是我国网络空间安全战略重要的组成部分,互联网相关行业是个人信息泄露的高发领域,也是网络安全保障不可或缺的一环。在20184月召开的全国网络安全和信息化工作会议上,习近平总书记强调,没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。党的十九大提出的“建立网络综合治理体系,营造清朗的空间”的要求也明确了全面推进网络空间法治化的目标。建设网络强国,维护网络安全就要求我们要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为,切断网络犯罪利益链条,对网络黑灰产业链形成全方位的管控治理。随着《网络安全法》的施行和不同部门、不同领域相关的治理规范的出台,对个人信息的保护已经远远超出对公民个人人身和财产权的保护,而是关系到网络强国的国家战略部署,关系到国家产业升级和经济发展,关系到国家政治和主权的维护等更高的层面。

(二)如何认定虚假认证各环节的参与人属于共同犯罪

在现有的法律条文不可能很快修改的状态下,实践上只能通过法律解释的方法,对虚假认证产业链上的行为人按照相关法律规定进行处罚。网络帮助行为对刑法的挑战有四个方面:一是帮助行为具有严重的危害性,如今网络帮助行为的社会危害是呈几何级增长;二是帮助行为可罚基础具有独立性,客观上有法益侵害,主观上有犯意,与背后犯罪的实行行为是有相对的独立性的,不完全依附于正犯行为;三是路径标准很难明确,正犯行为和帮助行为的入罪量刑的标准是否统一这一问题很难明确;四是刑事责任的挑战,司法实践当中,很多只能抓到帮助行为的实行行为人,抓不到背后的正犯行为人。没有正犯,帮助行为也不能定罪。所以需要我们明确共同犯罪的理论选择,将虚假认证产业链中包括原初身份信息提供者在内的各环节共同犯罪参与人通过共犯理论解释入罪。

首先遇到的问题就是如何认定链条上各个不同环节中的行为人构成共同犯罪,这就需要寻找共同犯罪认定的理论工具,即共同犯罪的本质学说。对于共同犯罪的本质,学界一直争论不休,不仅有犯罪共同说和行为共同说的对立,在此之下还有完全犯罪共同说与至少三种部分犯罪共同说、两种行为共同说的对立。那么,采用那一种观点才能更好地解释虚假认证产业链中包括原初身份信息提供者在内的各环节共同犯罪参与人的犯罪认定问题呢?首先,完全犯罪共同说是不可取的,因为它可能过于缩小共同犯罪的成立范围,导致了处理上的不均衡。其次,重罪的犯罪共同说也是有问题的。和完全犯罪共同说相反,它扩大了共同犯罪成立的范围,与犯罪共同说限定共同犯罪成立范围的主旨相背离。再次,前构成要件的行为共同说也有扩大共同犯罪成立范围之虞,因为它有可能将完全不同的两种犯罪认定为共同犯罪。实际上,就认定共同犯罪关系的结论上,轻罪的部分犯罪共同说和构成要件的行为共同说是非常相似的,但行为共同说的认定方法容易导致共同犯罪事实和个人定罪之间无法分开,也不能很好地为从属性理论和独立性理论的区别作出支撑。综上所述,笔者认为,虽然犯罪共同说存在着模糊了共同犯罪和共犯概念,导致将是否构成共同犯罪和是否构成共同正犯等不同层次的问题放在一起企图一次性解决带来混乱,但是相较而言,轻罪的部分犯罪共同说在认定虚假认证产业链中包括原初身份信息提供者在内的各环节共同犯罪参与人的问题上,更有利于明确罪责范围,也符合人权保障的需要和宽严相济的刑事政策。需要强调的是,在认定过程中应当注意区分事实判断和法律评价。

(三)如何认定最终账号使用者(实行人)和下游、中游各环节参与人的刑事责任

由主观主义和客观主义区分出共犯从属性说和共犯独立性说两个立场,还有学者表述为主观的参加人理论和客观的参加人理论。焦点就在于参与人犯罪的成立是否必须以实行人着手实行犯罪为前提。笔者认为,可以在坚持客观主义立场的前提下,有限度地融入主观主义主张,即有限度地承认共犯的独立性,这样有助于更加准确地认定共犯的行为责任。尤其是在链条型的网络犯罪中,有限的独立性的承认有利于斩断各环节的联系,独立认定参与人的罪名,不致于由于主犯行为转化“连累”共犯受到重罚,也不会由于主犯缺乏刑事责任能力或由于其他因素犯罪未完成而使得共犯逃避了法律的追究。

在处罚根据上,如何解释实行犯因为自己实施的犯罪行为而受到处罚,但参与人并没有直接实施侵害他人法益的行为?我国在处罚根据论基本问题上尚未形成统一的立场,在司法实践中对共犯的认定和区别存在混乱。在侵犯公民个人信息帮助行为处理的问题上,笔者采纳折中引起说。折中说的优点在于,把正犯行为的违法性作为处罚共犯的必要条件,同时也承认共犯也有对正犯的行为的不法性具有连带性,结合了从属性和独立性,坚持了行为无价值和结果无价值的二元结构。笔者认为,这是比较适合我国现行刑法结构的。具体到本文讨论的网络虚假认证各环节帮助行为的处罚根据上,根据因果共犯论,正犯的实行行为的成立是由帮助者(比如网站、群组设立者或参与者)、个人信息搜集者、程序编纂者、个人身份信息的提供者等的帮助行为促成的,在这个意义上两者具有因果关系,而且,根据折中说理论中的共犯不法的独立性,这种帮助行为的危险性是独立于正犯的后续行为(比如电信诈骗等)的,所以从这个角度,笔者支持引起说。

从现有能够搜索到的虚假认证相关案例来看,注册方式包括手机号、平台会员、支付宝、银行卡等等。从相关判决中可以看出,虚假认证已经成为犯罪行为人逃避刑法规制的关键手段。一方面,这种方式在司法实践中,对于信息提供者的“明知”很难证明。比如在杭州西湖区检察院经办的一起“杭州王某侵犯公民身份信息案”中,山东人王某即前文所说“兼职主持”,通过IS语音刷单平台,引导平台会员虚假注册认证淘宝店铺,然后低价收购并转卖获利。根据王某资金流水判断,买卖店铺数在3500个以上,获利约在10万元以上。但是本人只交待买卖店铺数为500个,获利8万元。最终检察院没有批捕,理由之一就是虽然经淘宝平台协查,王某所售店铺有1607个在平台上发生了售假、欺诈等违法犯罪行为,但是检察院认为无充分证据证明王某明知该信息可能被用于违法犯罪活动。另一方面,即使能够证明明知,也只能从前期的非法获取公民个人信息行为入手定罪,或者从后期的诈骗等犯罪行为进行规制,而对虚假注册商铺并倒买倒卖这一中间行为无法规制,所以如果中间行为人和上下游行为人并非同一人时,中间行为人就很容易脱罪。比如在“吕某东、张某波等侵犯公民个人信息罪、诈骗罪,裴某君、曹某妮等侵犯公民个人信息罪”一案中,被告人林某琛、吴某注册多家淘宝网店从事滴滴出行账号注册、出售业务,雇人通过QQ购买公民个人信息7万余条用于注册滴滴出行司机端进行出售,非法获利30余万元。被告人吕某东用购买的公民个人信息注册滴滴出行司机端,采取虚拟跑单、乘客投诉司机的方式骗取北京滴滴无限科技发展有限公司补贴款80余万元。被告人李某健用购买的公民个人信息注册滴滴出行账号,通过获取新手优惠券、虚拟跑单、乘客投诉司机的方式骗取北京滴滴无限科技发展有限公司补贴款7万余元。在这一案例中,法官最终并没有惩罚虚假注册这一行为,而是通过前期的购买公民个人信息行为和后期的骗取滴滴公司补贴款两个行为认定了侵犯公民个人信息罪和诈骗罪。再比如在前一案例“杭州王某侵犯公民身份信息”一案中,对于王某指导相关人员做店铺注册认证、转卖店铺等行为,检察院没有认定为违法行为,且对于出售淘宝店铺的非法获利,检察院认为是淘宝店铺本身的价值,也不能归入王某出售公民个人信息的非法获利金额中。

在刑法条文修改之前,可以对明知他人实施犯罪而提供用于作案的账号的行为人(包括真实信息提供者、收集者、收购虚假认证的店铺卖出获利的“放单人”等)以具体实行行为的共犯追究刑事责任。对虚假认证以及利用认证账号实施欺诈等犯罪行为这些实行行为而言,真实身份信息的提供者以及收集者实施的是一个事前提供犯罪工具的帮助行为,可以以共犯论处,这样可以有效对潜在提供者形成威慑,减少虚假认证行为的“工具”来源。

(四)对真实身份信息的提供者共同犯罪故意如何证明

如前所述,公民个人信息权不仅是一个个人权利,还涉及对社会公共利益的维护,此时,公民对个人信息的自决权不能对抗对社会秩序、公共利益的保护,所以将其纳入刑法处罚范围有其正当性。在对其打击的时候必须要注意故意的查明,即要证明“明知”才可能进入刑法规制的视野。在对“明知”的查明中,可以从以下几方面考量:首先,《中华人民共和国居民身份证条例》第15条、《刑法》第253条之一等法律文件都明确禁止转让、出借居民身份证或向他人提供身份信息的行为,且公民日常处理事务中也会收到有关保护个人身份信息、不随意出借或告知他人身份信息的提示。从这个角度,可以认为,社会一般人都有一定保护个人身份信息以及相关转让、出借行为违法的认识。其次,虚假认证的过程中,个人信息的授权和提供并非是一次性的,在网店后续用于违法经营,触发网络平台二次认证的时候,这些信息提供者还会配合违法人员进行实人认证,如提供个人照片、人脸识别等,进一步欺骗网络平台和国家监管部门,这种情况下,很难证明信息提供者对违法人员的行为完全不知情。最后,从一般性标准而言,这种真实身份信息的提供者只要能够证明自己不可能履行注意义务,或者自己已经尽到了合理义务以避免结果发生的,就不应推定其主观上有故意。反之,行为人有能力履行却怠于履行,或者未尽到适当义务而导致结果发生的,就可以推定其主观上明知。

(五)如何利用现有罪名规定和司法解释的扩张适用打击相关行为人

对比,一方面可以通过侵犯个人信息罪进行规制。2017年出台的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第253之一第3款规定的“以其他方法非法获取公民个人信息”。可以利用本条打击为虚假认证行为收集真实身份信息的链条人员,对诸如中介、“主持”“兼职人员”“地推”等以侵犯公民个人信息罪论处。

另一方面可以通过帮助信息网络犯罪活动罪进行规制。可以利用《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第12条规定的明知他人利用信息网络实施犯罪,为其犯罪提供帮助,认定为情节严重的相关情形对设立为实施虚假认证、破坏网络可信身份等违法犯罪活动的网站、通讯群组、发布信息、提供网店买卖的中介服务的平台、中介人员,即网赚平台、放单等环节的参与人以帮助信息网络犯罪活动罪追究刑事责任。

此外,建议最高人民法院发布指导案例,以明晰对虚假认证行为以及围绕其形成的灰色产业链上的相关行为的刑法适用,尤其是明晰对信息提供者如何区别帮助信息网络犯罪活动罪与具体犯罪的共犯等问题,才能更准确,也更全面地打击整个链条犯罪行为。

(六)如何通过政企协作解决办案过程中的技术障碍

互联网监管,绕不开政府的作为,也离不开互联网企业的协作。伴随着新型网络犯罪的发生,大量黑色产业链和专业化犯罪团伙随之形成,在遏制网络犯罪的刑事策略方面要由过去偏重打击的策略转变为防范与打击并重的策略,既要惩戒违法犯罪分子,又要整治网络服务环境,从而彻底铲除滋生网络犯罪的源头,切断助推网络犯罪的利益链条。现在对新型网络犯罪规制的一个障碍就是在取证问题上,而这就需要相关的网络平台和企业给予技术支持和调查协助。笔者在之前的调研中了解到,基层法官大多对这些新的技术并不了解,这就给判案过程中带来许多麻烦。以叶某星、张剑秋提供侵入计算机信息系统程序、谭房妹非法获取计算机信息系统数据案为例,被告人叶某星编写了用于批量登录某电商平台账户的“小黄伞”撞库软件供他人免费使用。“小黄伞”撞库软件运行时,需配合使用叶某星编写的打码软件来完成撞库过程中对大量验证码的识别,这一打码软件的验证码识别费用是有偿的。在公安机关和检察机关对证据的搜集和认定过程中,听取了电商平台以及相关技术专家的意见以解决“小黄伞”的运行原理、软件最终编写者追踪、电子证据认定等问题。在以上的打码撞库案中,如果不了解“小黄伞”软件和淘宝网的后台运作机理,是没法认定这种行为到底是否属于非法获取计算机信息系统数据的。对于一种全新的犯罪形态,我们必须通过和网络平台方的交流与合作,才能更好地解决网络世界中层出不穷的新行为的认定问题。

由此可见,在完善刑法规定的同时,也不能忽视加强与网络平台的协作。包括《网络安全法》在内的《互联网用户账号名称管理规定》《网络交易管理办法》等一系列法律文件中都要求企业承担起信息安全管理制度建立和用户真实信息身份审核的责任。网络平台方的监管是链接法律规制和虚假认证相关违法犯罪行为的重要桥梁,也是司法活动过程中证据获取的重要助力,只有网络平台方真正负担起“巡查”职责,积极配合警方侦查,才能更为高效地规制此类犯罪行为。

 

四、结语

 

除了在现有立法状态下从司法实践角度对网络虚假认证相关行为予以规制以外,在未来的立法中也可以修订或增补相关条文,进一步加强对这类黑灰产行为的有效打击和防控。具体来说,第一,在《刑法》第253条之一中加入一款:“购买或用其他手段非法获取他人真实身份信息并用于进行社交平台、电商平台等账号虚假认证的,依照第一款的规定处罚。”第二,在刑法第287条之一本条中加入新的一类行为:“利用通过他人真实身份信息虚假认证的账号实施诈骗、虚假交易、非法借贷、洗钱等违法犯罪行为的”。第三,在刑法中设立新罪名,对虚假认证的身份证明提供者进行规制,条文参考如下:“明知他人利用虚假认证的网络账号实施违法犯罪行为,为其犯罪提供自己或他人真实身份信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”

 

本文为最高人民法院司法研究重大课题“网络信息保护及网络犯罪问题研究”(ZGFYKT201621)的阶段性成果。

 

作者:贾元,中国社会科学院法学研究所《环球法律评论》编辑,法学博士。

来源:《法律适用》2020年第22期。