《信息网络犯罪司法解释》的支付业适用
2020-09-10林帅姜川
林帅 姜川
为实现打击网络犯罪、维护网络秩序的目的,2015年11月1日正式实施的《刑法修正案(九)》中增加了拒不履行信息网络安全管理义务罪(《刑法》第二百八十六条之一)、非法利用信息网络罪(《刑法》第二百八十七条之一)以及帮助信息网络犯罪活动罪(《刑法》第二百八十七条之二)。为进一步明确以上三项罪名的定罪量刑标准和有关法律适用问题,最高人民法院、最高人民检察院制定发布了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《解释》),自2019年11月1日起施行。对于支付机构和支付行业从业人员来说,有必要重视刑事司法的新变化,这是因为这三个罪名都在条文或实践中将支付结算纳入调整范围的同时,均可能构成单位犯罪,实行双罚制度,既对单位判处罚金,也对其直接负责的主管人员和其他直接责任人员进行相关处罚。
拒不履行信息网络安全管理义务罪
法条与司法解释分析。《刑法》中,拒不履行信息网络安全管理义务罪的主体被限定为“网络服务提供者”,行为要件是“不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正该罪”。后果要件有四点:一是致使违法信息大量传播的;二是致使用户信息泄露,造成严重后果的;三是致使刑事案件证据灭失,情节严重的;四是有其他严重情节的。
本罪司法适用的难点在于“网络服务提供者”的范围认定,以该罪涉及的法律条文的表述逻辑可分析得出,“网络服务提供者”应当为必须履行法律、行政法规规定的信息网络安全管理义务的主体,而问题在于相关法律、行政法规对于信息网络安全管理对象的描述同样宽泛,难以认定;依照法律、行政法规对信息网络安全具有监管职责的部门的具体规定,以及责令整改的表现形式,因监管职权交叉不明引发的冲突该如何应对;该罪构成的四个要件缺乏界定标准,例如“大量传播”“严重后果”“情节严重”等具体量化的问题。
因此,《解释》第一条至第六条,对该罪三个适用难点进行了详尽的阐述。
第一,对“网络服务提供者”的解释,包括通过计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,向公众提供网络服务的机构和个人。具体将网络服务提供者归纳为三类,即网络技术服务提供者、网络内容服务提供者和网络公共服务提供者,其中“网络支付”归类为网络内容服务提供者。
第二,信息网络安全监管部门指的是“网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门”,责令整改必须以责令整改通知书或者其他文书形式,责令网络服务提供者采取改正措施。另外還应当综合考虑责令改正的明确性与拒不改正的可能性因素。
第三,该罪的入罪标准细节形成量化标准,例如“致使违法信息大量传播的”,主要从违法信息传播数量和传播范围两个角度规定了数量标准;“致使用户信息泄露,造成严重后果的”入罪标准,从用户信息数量和造成后果两个角度作了限定;“致使刑事案件证据灭失,情节严重的”,考虑涉及刑事案件的重大程度、证据灭失次数、对刑事诉讼程序的影响等因素。
支付行业的适用探析。《解释》第一条第二款直接将提供“网络支付”的主体纳入“网络内容服务提供者”的范围,网络支付机构与从业者必然符合本罪的特殊实施主体“网络内容服务提供者”的范围。尽管,目前尚无直接就该罪追究支付机构与从业者刑事责任的案例,但是以支付业的乱象来看,触犯该罪并非遥不可及,该罪要求“违反信息网络安全管理的法定义务与被行政机关要求改正后再犯+造成四种法定行为后果”就可能构成。事实上这三个条件都可能满足。
“不履行法律、行政法规规定的信息网络安全管理义务”的达成并不难,收单市场乱象丛生,以中国人民银行的处罚信息为参考, 2019年上半年,中国人民银行对非银行支付机构开出罚单54张,累计罚没总金额约为4518万元,比2018年上半年多20张罚单。而纵观2019年,被中国人民银行处罚的既包括微信支付、支付宝等非银行支付机构,也包括多家银行及其支付部门。在支付机构法律义务的落实愈加严格的背景下,违反信息网络安全管理的可能性也在增加,未被中国人民银行处罚的违法行为更不可计数。
“经监管部门责令采取改正措施而拒不改正”中“监管机关”的具体范围虽然在《解释》中明确为“网信、电信、公安等依照法律、行政法规的规定承担信息网络安全监管职责的部门”,但是支付行业的直接监管部门—中国人民银行并未被解释、直接列举。这实则为不完全列举,中国人民银行属于“等”机构之列,这也符合其逐步增强科技监管的趋势。而被中国人民银行“责令采取改正措施而拒不改正”的支付机构其实颇多,据不完全统计,嘉联支付于2017年至2019年被昆明、呼和浩特、宁波、石家庄、长沙五地的中国人民银行给予5次行政处罚。
《解释》对本罪四种法定入罪要件进行了细化,支付行业需要注意的是以下几个种类:其一,“造成严重后果”类的“致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的”,交易信息泄露达到五千条以上就可以入罪,这在支付业很常见,例如很多支付软件都收集信息并打包出售给其他电销公司的情况,而各种代还软件泄露支付信息的新闻也时有发生。
其二,“有其他严重情节”类的“对绝大多数用户日志未留存或者未落实真实身份信息认证义务的”,该问题在支付行业内较为严重,2018年国付宝、联动优势、卡友和付临门等支付机构都因为特约商户资质审核不严、违反商户实名制管理被处罚。
其三,“有其他严重情节”类的 “二年内经多次责令改正拒不改正的”,嘉联支付3年5次处罚就可能涉及该条件。
其四,“有其他严重情节”类的“致使信息网络服务被主要用于违法犯罪的”,支付通道被用于涉黄、涉赌、虚拟货币等情况,均可能触犯该情形。
其五,“有其他严重情节”类的“致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的”,支付通道并非直接被用于犯罪,而是涉及犯罪的其他行为,比如辅助或前期服务,同时,这一项又可称为反洗钱的刑事化,而反洗钱是支付行业的高发问题。2019年迅付、点佰趣、易通金服等多家支付机构因为违反《反洗钱法》而被处罚。
虽然总体而言,这一犯罪构成较为复杂,存在行政提示的前置程序,而构成条件相对较难,但是由于其复杂的法定情形,使得在有行政处罚的案底之后,较为容易触犯刑律。
非法利用信息网络罪
法条与司法解释分析。设立非法利用信息网络罪的目的是做到对网络犯罪的“打早打小”,体现预备行为实行的立法思路。非法利用信息网络犯罪是一般主体利用信息网络实施三类行为即可构成,一是设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组;二是发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息,三是为实施诈骗等违法犯罪活动发布信息。
尽管非法利用信息网络犯罪的法条表述较为明晰,但司法实践中也存在若干适用难点。首先是构成要件之一中“违法犯罪”的限定过于狭窄,以及上述例举的犯罪类型与实际“设立网站、通讯群组”的逻辑顺序不明确;其次,该罪构成要件之二及之三中的“发布违法信息”应当是何种形式无法确定;最后,该罪的入罪标准缺乏数量与范围的衡量准则。
《解释》第七条至第十条对该罪适用作了宏观至微观的把控,具体如下:
第一,非法利用信息网络罪的范围得到扩充:“违法犯罪”,包括犯罪行为和属于《刑法》分则规定的行为类型但尚未构成犯罪的违法行为。
第二,本罪中“用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”的认定问题,主要从以实施违法犯罪活动为目的而设立与设立后主要用于实施违法犯罪活动两个方面作了规定。
第三,该罪的入罪标准,以传播范围考虑,对设立网站、通讯群组的数量以及账号数量规定了标准,而以发布信息数量考虑,从在网站公开发布信息的条数、发送信息的账号数量、通讯群组人数、社交网络关注账号人数等方面规定了标准。
支付行业适用探析。非法利用信息网络犯罪行为的表现形式可归纳为“设立……网站、通讯群主”“发布……违禁品、管制物品等信息”以及“为实施诈骗发布信息”等。非法利用信息网络罪在实践中针对的是群发诈骗短信、钓鱼短信、网络发布诈骗二维码、设立虚假网站、制作盗版客户端App等行为。另外,通过网络发布他人支付涉密信息,也属于此罪的处罚范畴。2016年,李智刚将其从网上下载的“京东登录的编程源代码”改写成“FX”软件,在该软件中导入个人基本信息就可盗取他人京东账户的账户名、登录密码、姓名、绑定的银行卡号、身份证号码等信息,从而在“京东商城”购买商品。随后,李智刚开设QQ群组宣传,将“FX”软件以每月1500元的价格租借他人使用。法院最终认定其行为触犯非法利用信息网络罪。在这个案件中,犯罪嫌疑人李智刚本人并未盗用他人账号为自身购买商品,所以不能成立盗窃或诈骗罪,但是他通过群组等方式宣传出售他人的账户信息,为他人犯罪提供便利,符合“为实施诈骗发布信息”的犯罪形态。
对于支付行业从业者来说,并非“不偷不抢”就不会卷入该罪,一些“灰色支付产业”存在着本罪的适用空间,例如很多“二清”支付机构都涉及接入“黑产”,甚至不少“二清”支付机构在网站或招商QQ群中都将“可接入博彩、棋牌、时时彩”作为其卖点,这就符合以违法犯罪活动为目的而设立群组或网站,并且设立后主要用于实施违法犯罪活动的构成要件。即使“二清”支付机构可能并未开始收单或并未收到涉及博彩类的客户,其行为依旧可能构成该犯罪。如果已经收到客户,就存在着本罪与帮助信息网络犯罪活动罪的适用选择问题。
那么从事网络销售POS机或是代理以网络套现为目的的网络“二清”机构,又是否可以适用本罪呢?根据最高人民检察院的观点,在网上进行违反治安管理处罚法或者其他法律法规规定、但不违反刑法的行政违法行为,不能因为其仅仅在线上而被认定为犯罪,基于罪刑法定原则,例如网络买卖驾照分数、买卖仿真枪等违法行为并不构成本罪,所以对于单纯网销POS机或者一般“二清”支付机构不应成立本罪。而制作并销售“二清”机具或“二清”网络支付系统,则可按照《关于办理非法从事资金支付结算业务,非法买卖外汇刑事案件适用法律若干问题的解释》被认定为非法经营罪。
帮助信息网络犯罪活动罪
法条与司法解释分析。《刑法》关于帮助信息网络犯罪活动罪的表述为“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金”,直接将“支付结算”纳入法条。
该罪中的一个适用难点在于,行为人“明知”的主观状态认定,在立法目的上,該罪打击的应是“明知”但放任且客观上为信息网络犯罪提供便利及帮助的行为,而实际上行为人的主观思想较难推测。另一个难点在于提供支付结算等帮助的具体情形认定,例如支付结算、广告推广金额的投入,以及网络储存的数量等。
《解释》第十一至十四条针对该罪适用的两个难点进行了细化。
第一,《解释》第十一条明确了本罪中“明知”的认定问题,根据《刑法》规定,构成帮助信息网络犯罪活动罪,以明知他人利用信息网络实施犯罪为前提。实践中存在两种情形:一种情形是行为人确实不知道,只是疏于管理;另一种情形则是行为人虽然明知,但放任或者允许他人的犯罪行为,而司法机关又难以获得其明知的证据,导致刑事打击遇到障碍。因此,该条坚持主、客观相一致的原则,总结归纳了七种可以推定“明知”的情形。
第二,关于帮助信息网络犯罪活动罪的入罪标准,《解释》第十二条有了明确的规定,主要包括以下几个方面:一是在提供帮助的范围方面限定了被帮助对象的数量范围。二是在提供支付结算帮助的行为上,对支付结算金额作了较为细致的规定。三是对于提供投放广告等帮助的行为,明确了该行为所提供资金的数额。四是从行为人违法所得考量,规定了违法所得数额标准。五是考虑被帮助对象实施犯罪活动的情况,规定了被帮助对象实施的犯罪造成严重后果的情形。
支付行业适用探析。这一犯罪是将从犯单独变成了独立的犯罪,客观上也将从属于他人已经实施的犯罪才可以追责变成了准备犯罪既可追责,一个直接的法律变化就是相比于帮助犯罪模式之下,收集他人非法利用网络后的目的行为构成犯罪的证据较为困难,但在“帮助信息网络犯罪活动罪”独立罪名之下,只需收集帮助他人非法利用网络的证据,这相对容易。
值得关注的是,已有从事支付工作的人士被以本罪追责。2014年以来,郑奎开发建立PEAS云网络交易平台,在明知他人利用该平台进行实名注册账号交易的情况下,仍提供网站存储、通讯传输等技术支持,以及支付结算等帮助,并通过收取2%的交易手续费获得非法利益。截至案发,通过PEAS云网络交易平台成交的账号交易金额为人民币2349.64万元,被告人郑奎共收取手续费46.99万元。法院认为其构成帮助信息网络犯罪活动罪。该案结合《解释》,可看出支付行业具有可能触犯该犯罪的特征。
其一,不论具体信息网络犯罪的行为人是否被抓获,是否被追责,均不影响支付行业构成帮助信息网络犯罪活动罪。该案中郑奎为具体信息网络犯罪提供帮助,具体信息网络犯罪主体若是过失行为、法令行为或者未达到刑事责任年龄等,只要具体信息网络行为具有法益侵害性,便可追责帮助信息网络犯罪行为。
其二,支付行业从业者明知他人利用信息网络犯罪仍提供帮助的,构成帮助信息网络犯罪活动罪。该案中郑奎在明知他人利用该平台进行实名注册账号交易的情况下,仍提供相关技术支持服务,构成该罪。其中“明知他人利用信息网络实施犯罪”认定准备其实较为宽泛,可以明确列举的就包括:经过监管部门告知仍实施或者接到举报仍不履行法定管理职责的,为违法行为提供信息数据的,篡改非法信息数据以掩盖具体犯罪事实的。
其三,支付行业为信息网络犯罪提供帮助的行为有具体的量化标准。该案中郑奎帮助信息网络犯罪活动所支付结算金额高达两千余万,并且自身违法所得近五十万,符合《解释》第十二条第二款和第四款中“支付结算金额二十万元以上”以及“违法所得一万元以上”的情形,另外,支付行业若达到“为三个以上对象提供帮助”“被帮助对象实施的犯罪造成严重后果”等标准,自然构成该罪。
由此观之,本罪的成立并不需要支付從业资质,只需要为其他犯罪活动提供帮助支付结算的服务即可,例如支付“灰产圈”常见的高价或者高通道费用收储蓄卡、个人或企业支付宝账号等,收购来的账号大概率成为涉黄、涉赌、涉骗等业务的通道,如此提供账户的账户所有人极有可能触犯本罪,日后被查处,不但需要收入退回,更可能锒铛入狱,为此类犯罪提供支付通道的“二清”机构也可能受此罪打击,更不必言“赤膊上阵”为此类犯罪活动提供支付通道的支付机构将同时面临行政罚款与刑事处罚。
林帅系南昌大学法学院硕士研究生
姜川系南昌大学法学院讲师 法学博士
编辑:葛辛晶