链条式钓鱼软件的运行机制及其刑法规制
2018-02-06李世阳浙江大学光华法学院讲师
李世阳 浙江大学光华法学院讲师
一、问题的提出
近年来,中国的互联网产业呈现出井喷式的野蛮生长状态,以互联网为依托的第三产业正在迅速崛起,成为新的经济增长点。然而,在繁荣的背后隐藏着危机,例如,随着互联网以及电子商务的迅猛发展,互联网犯罪不断升级演化,呈现出新型化、精细化、专业化、组织化等特点。除了利用互联网实施传统犯罪,危害网络和信息安全行为越来越公开化、规模化,形成了各类黑灰产业链,成为寄生于电子商务乃至整个互联网的毒瘤,尤以恶意注册、虚假认证、虚假交易三大黑灰产为甚,而在背后不断支撑这些犯罪和黑灰产行为的是互联网技术黑灰产。各种恶意硬件、软件开发、买卖,非法信息、数据买卖,恶意聊天群组和平台网站运营是各类犯罪和黑灰产行为滋生的土壤,伪基站,恶意注册、盗号软件,炒信平台,身份证、手机卡、银行卡买卖,各类恶意聊天群组的肆意活动和发展形成了环环相扣的链条。毫无疑问,仅仅打击表面的犯罪行为治标不治本,如何在法律上构建安全有序的网络环境是法学界面临的一大难题。
对于刑法而言,正面临着传统犯罪的网络化与网络黑灰产带来的冲击。一方面,传统的实行行为论、故意论、过失论、因果关系论、共犯论、未遂论等理论工具在适用于新型网络犯罪的过程中,产生诸多解释论上的难题;另一方面,在对我国刑法分则所规定的各个罪名的构成要件进行解释时,如何在坚守罪刑法定原则这一底线的前提下,对当前各种网络黑灰产进行有效规制,既是解释论的问题,也是立法论的问题,考验着法律人的智慧。
本文以一则利用钓鱼软件侵犯他人财产的真实案例为素材,探讨以上问题。
二、案情简介与焦点
(一)案情简介1
小李是浙江省诸暨市大唐镇一家网店店主,2016年4月,为了提升店铺信誉,她在网络平台上找了一个职业刷单手张某。按照约定,刷单手张某用自己的账号拍下小李网店的商品后,由网店老板小李远程操控刷单手的电脑,即只是借用刷单手的购物账号,实际付款、收款的都是老板自己的钱。小李通过远程操控张某的电脑,用6300元购买了自己网店的产品,按理说,第二天这6300元就会回到小李的账号上。没想到,第二天,这钱却“爽约”了。同样在4月,诸暨市另一名网店店主阮某也被同样的方法骗走5000元。
通过一系列侦查手段,这个刷单手张某被揪了出来。张某交代,猫腻出在网银支付页面上。张某在卖家远程操控电脑之前启动了自己电脑上的钓鱼软件,输入自己的账号和预设金额。当卖家按下付款键时就会自动转跳到一个假的网银支付页面。于是,原本要“回流”到卖家账号中的钱,就这样进了张某的口袋。
顺着张某这一线索,在诸暨市检察机关提前介入、引导下,公安机关顺藤摸瓜,历时几个月时间,陆续抓获了出售该款钓鱼软件的吴某等人和开发这一钓鱼软件的林某等人。这条价值近千万元的“大鱼”终于浮出水面。据吴某交代,他是从软件开发者林某处获得的经营代理权,然后在网上销售该软件,并以QQ聊天、远程演示、转发视频教程等方式教授购买者使用软件进行刷单诈骗。每个月,吴某都会从下家手里收取每个账号500元的使用费,把份子钱交给林某。
可是,这些刷单手是怎么找到这些想刷信誉的店主呢?目前,网络上有一些语音平台,一开始是供游戏玩家商量游戏攻略用的,相对隐蔽,后来有人借助这些平台开设刷信誉群,吸引网店店主和刷单手加入。但是加入是有条件的,刷单手每次要给群主100元入群费,然后由群主对刷单手进行3天的刷单业务培训,而网店店主进群则需要缴纳更高的入群费。在这个群里,有些人利用刷单赚外快,但也有利用刷单实施侵财行为的伪刷单手。然而,钓鱼刷单是一次性交易,一旦卖家发现钱被骗走,会向群主反映,群主就会把这些伪刷单手的账号封杀。这样,伪刷单手想要物色下一个目标,就必须重新注册账号并再次缴纳100元加入新群,费时又费钱。于是,他们想到了开发或购买木马软件盗号,并谎称自己是淘宝店主,把含有木马程序的商品链接发给刷单手,趁机盗取刷单手账号。就这样,伪刷单手换了身份,重新回到群里实施新一轮的犯罪行为。2参见吴江英、倪夏子、王雨:《网店找人刷信誉 屡屡被钓鱼软件骗走钱款》,载《人民公安报》2016 年7 月24日。
(二)焦点问题
至此,一个完整的针对刷单的钓鱼软件产业链呈现出来,这个产业链包括三层,分别为:开发网页切换软件——贩卖切换软件——购买切换软件与盗号软件——循环实施侵财行为。由此可见,网页切换软件以及盗号软件是这类网络侵财案件产生的源头。在刑法上,以下问题值得追问:首先,如果这些软件可以定性为“恶意软件”,在刑法上应接受怎样的评价?如果不是“恶意软件”,刑法应秉持怎样的态度?如何判断软件的“恶意性”?其次,软件开发者与销售者作为上游阶段的人员与作为下游阶段人员的软件购买者及使用者之间往往不具备双方向的意思联络,于是,软件开发者对于软件使用者实施的违法犯罪行为是否承担责任?如果可以,其主观归属与客观归属的依据何在?再次,刷单手使用网页切换软件致使刷信誉的淘宝商家将钱打到其账户上,这种行为可能符合刑法分则规定的哪一个构成要件?最后,群主在语音平台上组建通讯群组供刷单手与淘宝商家进行虚假交易,这种行为是否可能构成犯罪?语音平台的管理人作为网络服务提供者,对于其平台上的通讯群组负有怎样的管理义务?
三、恶意软件无中立
毫无疑问,互联网发展的背后离不开技术的支撑。于是,技术中立原则常常被用于反对法律对技术的监管,或者为技术服务者免责。3参见郑玉双:《破解技术中立难题——法律与科技之关系的法理学再思》,载《华东政法大学学报》2018年第1期。然而,可以说技术中立这一表述本身就是不中立的,因为技术是否中立至少要从功能、责任、价值等方面进行综合判断。4参见郑玉双:《破解技术中立难题——法律与科技之关系的法理学再思》,载《华东政法大学学报》2018年第1期。例如,伴随着电子商务的发展以及利用云计算的大数据分析技术的运用,广而告之的广告时代已经即将终结,取而代之的是针对每个消费者不同的消费习惯、消费能力、年龄、阅历、学历、职业等不同特征而专门制定并推送的个性化广告,而当我们在享受互联网带来的交往、交易、学习等方面的便利时,殊不知我们已经在互联网上留下了属于自己特征的痕迹,网络技术可以将所有这些碎片瞬间拼接起来,还原出一个真实的人物形象。当所有的这些人物形象特征掌握在少数人手里时,也意味着财富与权力将集中在少数人手里,我们生活的世界变成“楚门的世界”。
对于软件而言,其功能与价值是由软件开发者通过编程赋予的,当软件开发者在开发某个软件时,如果专门赋予该软件实施违法犯罪行为的功能,该软件就带上了开发者的“恶意”。例如,本案的钓鱼软件就专门被用于切换支付宝支付界面的网页,微信抢红包外挂软件被专门用于迅速抢红包,盗号软件被专门用于盗取他人互联网账号等。这种“恶意”一方面打破了对技术中立性的认识误区;另一方面为互联网黑灰产业链条上各个参与人之间的意思联络的存在提供基础。据此,在刑法解释论上可以得出以下结论:
第一,恶意软件在客观上为软件利用者实施的盗窃、诈骗、破坏计算机信息系统等违法犯罪行为提供了物理上的帮助,从因果共犯论出发,软件开发者成为软件利用者所实施的犯罪的参与人。
第二,软件利用者只要认识到了软件的恶意性并使用,就建立起与软件开发者之间双方向的意思联络。也就是说,并不需要双方之间存在明示的共谋,也不需要具有共同意志才能认定共同故意的存在。在这个意义上,本文认为故意的成立仅仅需要具备对客观构成要件要素的认识,而不需要具备对于结果发生的希望或放任态度,这种态度是从认识要素推定出来的附属物。
诚然,专门用于实施违法犯罪行为的软件在其“恶意性”的认定上并不存在特别的困难,但在这些软件背后往往运用了某一核心技术,这一核心技术可能并不仅仅运用于一款软件。例如,在本案中,支撑一钓鱼软件运行的关键技术就是网页的迅速切换,然而这一技术照样可以用于大型网络游戏的设计中。在这种情形下,刑法应保持必要的克制态度。在这个意义上,软件的“恶意性”是被推定出来的,作为被推定的客观事实材料,首当其冲是该软件的功能,当该功能取决于用户时,由用户利用该软件实施的违法犯罪行为并不能归属于软件开发者。例如,视频播放软件的利用者利用该软件播放何种视频已经脱离了开发者的支配范围。
四、盗窃与诈骗关系的厘清
虽然我国《刑法》第264条与第266条分别规定了盗窃罪与诈骗罪,但这两个条文所规定的构成要件对于盗窃与诈骗行为的描述是一种同义反复,因此盗窃罪与诈骗罪的基本构造只能求诸解释学。在刑法解释学上,将盗窃行为解释为“打破他人的占有并建立自己的占有”的占有转移过程,5参见车浩:《盗窃罪中的被害人同意》,载《法学研究》2012年第2期。将诈骗罪的基本构造解释为“行为人实施欺骗行为—对方产生认识错误—对方基于认识错误处分财产—被害人遭受财产损失”。6参见张明楷:《诈骗罪与金融诈骗罪研究》,清华大学出版社2006年版,第7页以下。由此可见,盗窃罪与诈骗罪都是占有转移型的犯罪,只是转移的方式不一样而已。具体而言,盗窃是行为人基于自身的实力以相对和平的方式完成占有转移过程,与此相对,在诈骗的过程中,介入了被骗人的因素,由被骗人实施财产处分行为以完成占有转移过程。由此可见,财产处分行为的存在与否成为区分盗窃罪与诈骗罪的关键。
那么,刑法意义上的处分行为应如何认定?作为刑法意义上的行为,必须是在行为意思支配下实施的、具有侵犯行为规范之危险的行为。据此,要成立刑法意义上的处分行为,仅仅具有客观外在的交付行为并不足够,还必须具备支配交付行为实施的处分意识。然而,处分意识的内容到底是什么?关于这一问题,日本学者佐伯仁志教授举出了一个生动的例子加以说明:卖鱼人在将装入箱子中的鱼卖给顾客之际,以为是装入了10 条鰯鱼,结果出现了:(1)卖了装入12条鰯鱼的情形( 鱼数量的错误);(2)放入了 1 条鲷鱼的情形(鱼种类的错误);(3)放入了钱包的情形(财物种类的错误) ,而无论哪种情形,卖鱼人都只是意识到了对于箱子和10条鰯鱼的占有转移。7参见[日]山口厚、佐伯仁志、井田良:《理论刑法学的最前线Ⅱ》,岩波书店2006年日文版,第118页。那么,如果严格坚持卖鱼人的意识内容是对于箱子和10条鰯鱼的占有转移的话,以上的三种情形可以说都成为无意识的处分行为。但是,如果将意识的内容抽象为对鰯鱼的占有转移,第一种情形就成了有意识的处分行为;如果进一步将意识内容抽象为对鱼的占有转移,第二种情形也成了有意识的处分行为;如果再进一步将意识内容抽象为对财物的占有转移,甚至连第三种情形也成了有意识的处分行为。由此可见,如果沿着被处分的具体财物所属的种概念一步步抽象的话,那么可以说在诈骗罪中的所有处分行为都成了有意识的处分行为。从而有意识的处分行为说和无意识的处分行为说的区别也就变得模糊了。可是,无限制地将处分意识的内容抽象化,将会扩大诈骗罪的范围,从而使诈骗罪和盗窃罪难以区分。这显然是不合适的,所以有必要对处分意识的内容加以限制。8参见李世阳:《论诈骗罪中的财产处分行为》,载《北京大学研究生学志》2011年第2期。
当把处分意识做严格理解时,比如对财物的物理特征、种类、性质、价值、数量等要素都要有明确认识才能认定具有处分意识的话,诈骗罪的成立范围就极大程度地受到限制;与此相对,当把处分意识做缓和理解,甚至将处分意识抽象到只要认识到自己是在处分财产即可这种程度时,使用欺骗方法转移对方注意力而取走财物的行为都可能被视为诈骗。本文认为,由于财产可以分为财物与财产性利益,在处分这两种财产时所要求的处分意识内容并不相同。具体而言,当处分的对象为财物时,作为处分意识的内容,至少需要认识到财物的性质与种类。当处分的对象为财产性利益时,只要行为人认识到自己是在给予对方某种利益即为足够。9参见李世阳:《论诈骗罪中的财产处分行为》,载《北京大学研究生学志》2011年第2期。在互联网时代的今天,财产性利益的种类在不断丰富,支付形式在不断创新,交易速度在不断加快。在这一时代背景下,行为人的处分意识必然不断被抽象化、符号化。即便如此,被害人认识到自己是在针对行为人作出财产处分行为,这一点依然是区分盗窃罪与诈骗罪的底线。
在本案中,淘宝商家本来预设将货款打入自己的账户中,但支付页面却被假刷单手利用钓鱼软件切换,从而将钱款打到假刷单手的账户中,由此造成财产损失。表面上看符合前述诈骗罪的基本构造,但本文认为本案中的淘宝商家并不具有对假刷单手作出财产处分行为的意识,因此不能认定存在财产处分行为。具体而言,当假刷单手利用钓鱼软件切换支付页面时,淘宝商家已经成为假刷单手实现占有转移的工具,因此,假刷单手成立盗窃罪的间接正犯。
五、语音平台的刑事责任
在本案中,群主利用语音平台设立信誉群的行为符合《刑法》第287条之一所规定的非法利用信息网络罪的构成要件。然而,该语音平台事实上为各种违法犯罪活动的交流提供了场所。语音平台的管理人作为网络服务提供者,是否可能成立拒不履行网络安全管理义务罪,成为值得讨论的问题,这一问题与该罪的构成要件的解释紧密关联。
从法条的规定来看,本罪是真正的不作为犯,也就是说本罪只能以不作为的方式完成,其所违反的作为义务是一种法定义务,即只能是由法律或行政法规所规定的信息网络安全管理义务。由此可见,该管理义务的内容并非由刑法确定,而是由其他法律或行政法规加以确定,这样管理义务的认定就成为一种开放性的、规范性的判断,并且管理义务的确定与作为保证人的网络服务提供者之确定这两者之间是相辅相成的关系。其结果,虽然本罪从形式上来看是真正不作为犯,但仍然要根据确定不真正不作为犯的保证人地位原理进行实质性判断。也就是说,作为义务的确定仍然是认定本罪成立与否的核心问题。具体而言,(1)让网络服务提供者承担信息网络安全管理义务的合理根据在哪里;(2)依据我国现行适用于互联网领域的法律与行政法规,网络服务提供者负有怎样的安全管理义务。
作为具有继续性、类型性的社会地位之网络服务提供者,当处于其管理之下的设施隐藏着违法信息并且其对此具有认识时,并没有理由直接否定网络服务提供者具有将其删除以防止危害结果继续扩大的义务。10参见[日]镇目征树:《网络服务提供者等的刑事责任》,载《现代刑事法》第6卷第1号,第17页以下。该义务是从民事法上的安全确保义务类推而来的,具体而言,当处于自己支配领域之下的物的危险源(物、装置、设施)具有危及第三人之法益的危险时,该行为人就具有防止该危险源对他人法益产生侵害的义务。11参见Kienapfel/Hoepfel,(Fn.6),Z 30 Rn 22a。该观点是基于以下两点考虑:第一,由于原则上不允许社会生活往来者介入处于他人支配领域下的危险支配,不能对由此而产生的危险做出有效应对,因此在日常生活中不得不信任该危险支配;第二,从对物与事务管理中获得利益者,即使是细微之处,也负有监督并回避由此而可能产生之危险的义务。
从该观点出发,关于网络服务提供者的刑事责任,应分类探讨。首先,如果网络服务提供者作为自己的服务而提供违法信息(淫秽信息、损毁他人名誉信息、侵犯著作权信息等)时,就是居于正犯的身份并以作为的方式利用网络服务平台实施自己所意图的犯罪,此时的问题在于该行为符合刑法中哪个罪名的构成要件,并不产生不作为犯的问题。其次,网络服务提供者对于会员上传于其所运营的网络平台或网站上的违法信息不加以删除而原封不动放置时,就成为不作为的行为样态了。在这种情形中,由于平台或网站主页本身并不是危险源,违法信息才是危险源,因此,除非网络服务提供者或公告栏的运营者存在因主页与公告栏的特征之故而发挥了促进了违法信息的上传这一犯罪促进作用的“特别事情”,否则不能认为网络服务提供者具有监视保障人的地位。然而,对网络服务提供者科以无时不刻排查其经营的平台或网站上是否隐藏或传播违法信息的作为义务是不妥当的,应将其作为义务限定于在发现违法信息之后加以屏蔽或删除的义务。12参见[日]吉田敏雄:《不真正不作为犯的体系与构造》,成文堂2010年日文版,第82页以下。
关于这一点,我国有学者指出:对网络服务提供者的行为加以调整,法律上的根本出路在于求助成熟的安全保障义务理论。“开启或加入交往空间者对其中的他人负有安全保障义务,应在合理限度内照顾他人权益”这一原则并无对介质的特殊要求,也适用于作为社会生活一部分的网络空间。在网络空间的社会性交往中,网络服务提供者是交往的开启者和最终管理者,理应负有安全保障义务。即便对于完全私密性交往,服务提供者也负有安全保障义务,如保障交往信息不因当事人以外的原因而外泄、错误或迟延发送等。13参见刘文杰:《网络服务提供者的安全保障义务》,载《中外法学》2012年第2期。此外,我国相关的法律与行政法规也对网络服务提供者所应承担的安全保障或管理义务做出了相关规定。例如,根据《互联网信息服务管理办法》第6条规定,从事经营性互联网信息服务,应当具备健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度。这样就从法律的意义上确保网络信息服务提供者具有履行安全保障或管理义务的作为可能性。
总之,根据危险源责任理论,网络服务提供者对于其所运营的平台或网站负有安全管理义务,具体表现为网络服务提供者应从技术上建立健全足以保障平台或网站安全运营的配套措施,并在发现平台或网站上有违法信息之后采取屏蔽或删除的措施防止违法信息的进一步传播,即所谓的信息网络安全管理义务。如前所述,提供不同服务内容的网络服务提供者所负有的网络安全管理义务是不同的,应当区别对待才有助于问题的解决。例如,由于网络接入服务提供者通常而言并不可能对传输内容进行主动编辑或者修改,而只从技术上提供互联网接入服务,因此难以负有网络安全管理义务。而对网络平台服务提供者也不能科以严厉的安全管理义务,因为其对于网络用户即将发布于平台上的信息无法事前控制,最多只能事后监管,但如果平台管理人懈怠事后监管,仍然需要承担不作为的责任。与此相对,对于缓存服务提供者而言,在技术条件具备的情况下,负有审查其缓存内容的义务。而网络内容服务提供者本身就是内容的制作者或发布者,因此当然负有保证其所提供的服务内容合法的义务。对于访问软件提供者而言,必须根据软件的性质来确定其安全管理义务的范围,如果其所提供的是恶意软件或流氓软件,如盗号软件、打码软件、撞库软件、洗号刷单诈骗软件等,那么此时的技术已经丧失了中立性,软件提供者必须承担作为相应犯罪的正犯或共犯的责任。
六、结语
几乎所有的网络犯罪背后都有恶意软件的支撑,并以此为源头形成了规模庞大的、链条式的网络黑灰产。从刑法解释学的角度出发,如何在现行刑法的框架下规制网络上的违法乱象,是对罪刑法定原则的一大考验。当穷尽刑法的解释,仍然无法在构成要件的语义最大边界范围内规制互联网黑灰产时,对于在刑法上没有明文规定为犯罪但又侵犯网络秩序的行为,是否可以考虑将其犯罪化。可以说,这是思考互联网黑灰产的刑法规制的两大进路。
可以说,信息与信用是支撑互联网秩序的两大支柱。信息的生命在于流通,刑法如何保护动态的信息是最新的课题;与此相对,我国刑法并没有专门地将信用作为保护法益,由于互联网的虚拟特征,信用在互联网时代中的重要性日益凸显,从立法论的角度,有必要增加对信用的保护条款。