文/顾宝娟
江苏省连云港市人民365bet官方开户网址_365bet手机娱乐_365bet有app吗院
一、基本案情
2020年7月至2021年9月期间,犯罪嫌疑人姜某等6名“卡商”从他人处购得3000余张境外非实名手机SIM卡,通过祝某创建并经营的“ZIPO”接码平台,向王某等8名“号商”出售手机号码及验证码。王某等“号商”在接码平台中选择注册网络账号的类型、数量,接码平台自动匹配“卡商”的手机号码,并通过技术手段自动获取“卡商”相应手机号的短信验证码,“号商”利用获取的手机号、短信验证码批量注册网络账号。“ZIPO”接码平台根据注册网络账号的类型对短信验证码进行定价,“号商”先在接码平台上充值,接码平台根据其成功获取手机号、短信验证码的数量扣费,“卡商”根据其成功提供的手机号、短信验证码的数量进行计费,“ZIPO”接码平台经营者祝某从中赚取“号商”“卡商”之间的短信验证码差价牟利。期间,王某等8名“号商”利用上述手机号码及验证码批量注册微信、京东、抖音、淘宝等网络账号共计2.5万个,销售给他人后获利5万余元,姜某等6名“卡商”获利6万余元,ZIPO接码平台经营者祝某获利4万余元。
二、关于本案的处理意见
对于本案中姜某等“卡商”、接码平台经营者祝某、王某等“号商”的行为如何评价,共有三种分歧意见:
一种意见认为构成非法获取计算机信息系统数据罪。根据最高法、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上,或者上述以外的身份认证信息500组以上的,构成非法获取计算机信息系统数据罪。其中,该解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。手机号码和验证码是用于确认用户在计算机信息系统上操作权限的数据,等同于账号和密码的作用,属于计算机信息系统数据。本案行为人采用非实名手机号,绕过安全防范机制获取验证码,是一种非法获取计算机信息系统数据的行为。
第二种意见认为构成侵犯公民个人信息罪。根据《中华人民共和国网络安全法》《中华人民共和国反恐怖主义法》等法律规定,电话卡是标识身份、依法用于身份核验的凭证。最高法2022年12月26日发布的第195号指导性案例《罗某、瞿某侵犯公民个人信息刑事附带民事公益诉讼案》,明确了服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的侵犯公民个人信息。即单独的手机验证码也属于公民个人信息。本案中,行为人利用电话卡获取了对应的验证码,侵犯了公民个人信息。
第三种意见认为构成帮助信息网络犯罪活动罪。根据刑法第二百八十七条之二的规定,明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,构成帮助信息网络犯罪活动罪。本案属于典型的“卡商”“号商”“接码平台”犯罪,其中的手机号码为境外非实名卡,“号商”注册的微信等平台账户大多数被用于下游网络犯罪,属于互联网黑灰产业;行为人使用非实名卡、猫池设备、接码平台等工具逃避监管,批量注册账户后销售给他人谋利,对于他人利用账户实施违法犯罪活动应当具有明知,因此应以帮助信息网络犯罪活动罪评价。
三、评析意见
笔者同意第三种意见,认为本案行为人的行为构成帮助信息网络犯罪活动罪,理由如下:
第一,使用非实名手机号码及验证码的行为不属于获取计算机信息系统数据的行为。根据刑法第二百八十五条第二款的规定,非法获取计算机信息系统数据罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的行为。本案的争议焦点是行为人是否违反国家规定,采用其他技术手段,侵入并获取计算机信息系统中存储、处理或者传输的数据。
首先,行为人的行为违反了国家规定。《中华人民共和国网络安全法》第二十四条规定,网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息;第二十七条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的行为。本案中,姜某、祝某、王某等人的行为违反了《中华人民共和国网络安全法》要求网络运营者对用户真实身份进行核验的法律规定,干扰了网络平台正常功能,违反了国家规定。其次,行为人的行为不属于采取其他技术手段。目前,司法实践中,采用其他技术手段包括:撞库、入侵拖库、钓鱼盗号、收购租用等方式非法获取网络账号,其中“撞库”是指黑客通过收集互联网已泄密的用户和密码信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录的用户,“入侵拖库”是指网站遭到入侵后,黑客窃取其数据库并导出数据。上述技术手段的特点是通过一定类似于黑客技术的手段,获取计算机信息系统数据。本案中,行为人只是使用了手机号码及验证码,并没有采取其他技术手段。虽然侵害计算机系统数据的行为具有多样性,但笔者认为仍应对其他技术手段作相当性解释,并非任何方式都可以被认为是其他技术手段。最后,行为人的行为不是侵入并获取计算机信息系统中存储、处理或者传输的数据的行为。从文义解释的角度看,“获取”是指获得、取得,结合本罪的罪状描述,要求行为人侵入计算机信息系统获取计算机信息系统中的数据,即行为人的行为对象是计算机信息系统中本来就存在的数据,行为人非法侵入计算机信息系统后,获得了上述数据。本案中,行为人使用手机号码注册账号,其首先在平台上输入手机号码,然后平台向手机发送验证码,行为人再输入验证码完成注册,实际上并没有侵入网络服务提供者的系统,因此不构成本罪。
第二,非实名手机号码及验证码不能被认定为公民个人信息。关于个人信息和公民个人信息,在我国多部法律和司法解释中均有提及。2016年《中华人民共和国网络安全法》第七十六条第(五)项规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。2020年《中华人民共和国民法典》第一千零三十四条第二款规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。2021年《中华人民共和国个人信息保护法》第四条第一款规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名处理后的信息。2017年最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定,刑法第二百五十三条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。从上述规定可以看出,2009年《刑法修正案(七)》就增设了侵犯公民个人信息罪,但是相关的前置法反在其后,呈现出刑法先于行政法的发展脉络。基于法秩序统一原理,认定公民个人信息应当尊重前置法和刑法的独立性,同时做好行政法意义和刑法意义上的分别认定。公民个人信息的本质特征是具有可识别性,即能够与特定的自然人相关联。例如,最高法第195号指导性案例中,罗某利用担任电信公司培训老师的便利,瞿某利用担任中国移动营业厅销售员的职务便利,将在提供服务过程中获取的客户手机号码和随机验证码发送给他人用于注册淘宝、京东等新账号牟利。该案中,罗某、瞿某使用的是实名认证的手机号码,与验证码共同具有可识别特定自然人的特征,因此本案定性为侵犯公民个人信息罪没有争议。但是在本案中,姜某等人使用的是境外非实名卡,虽然也有手机号码、验证码,但是因为二者结合也不具有可识别性,无法关联至特定自然人,使用该手机号码及验证码不会侵犯到本罪保护的法益,因此不宜认定为侵犯公民个人信息罪。
第三,现有证据证明他人购买账号用于网络犯罪活动,姜某等人的行为可以评价为帮助信息网络犯罪活动罪。网络犯罪呈现出链条化、专业化的特点,除了常规的电信诈骗、网络赌博等犯罪以外,还产生了网络犯罪黑灰产业链。其中,黑产是指为上述犯罪窃取、提供账号密码和研制钓鱼网站、仿冒网站等行为,黑产一般属于违法甚至犯罪行为,灰产是只为黑产提供帮助,通常游走在法律边缘,距离直接实施的网络犯罪较远。笔者认为,对于黑灰产业行为的认定,应当坚持上下游综合认定和主客观相统一的原则。一方面,对于黑灰产业,应当从整个犯罪链条的视角审视。单独来看,某个行为似乎不具备违法性,例如,注册平台账号的行为不具有违法性。但是,以专业工具、大量境外非实名手机卡、批量注册平台账号出售给他人用于网络犯罪的行为就难言其合法性。因此,对于网络黑灰产业,应当坚持全链条打击。另一方面,应当坚持主客观相统一的原则。从事黑灰产业的行为人通常会提出不明知他人如何使用账号的辩解。主观见之于客观,应当重点通过行为人客观行为,证明其主观明知。例如,有证据证明行为人经监管部门告知后仍然实施有关行为的,交易价格或者方式明显异常的,提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的,频繁采用隐蔽上网、加密通讯、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查等行为,就足以认定行为人的主观明知。本案中,现有证据证明行为人注册的账号被用于网络犯罪,行为人对此知道或者应当知道,可定性为帮助信息网络犯罪活动罪。