吳·
江蘇省徐州市人民檢察院
摘要:收碼平臺相關方通過收碼平臺獲取大量手機號和驗證碼,並批量註冊轉化為互聯網賬號,為下遊黑灰產業源源不斷地提供“輸血和食物供應”,為黑灰產業從業者隱藏身份構築了巨大屏障,具有極大的社會危害性和法益侵害性。現階段,對對接平臺當事人行為的刑事規制仍需加強。我們可以通過分析所涉及的主體和操作流程來區分實名卡和非實名卡,從而準確地刻畫出對接平臺各參與方的行為。
關鍵詞:收碼,黑灰產侵犯公民個人信息,非法獲取計算機信息系統數據技術上是違法的。
全文
收碼是壹個產業鏈,以卡商、號商、收碼平臺運營商為核心主體,向下遊黑灰產業構建大量手機號、互聯網賬號。5438年6月+2020年10月,國務院決定在全國範圍內開展“打卡”行動,嚴厲打擊和懲治非法開設和銷售手機卡、信用卡的犯罪行為。作為向下遊黑灰產業高效提供大量手機號碼和互聯網賬號的源頭,收碼平臺是此次“破卡”行動的重點打擊對象。
壹、代碼接收平臺的基本概述
(1)參與編碼平臺的三方實體
卡商是指擁有大量實體手機卡的用戶,他們將這些卡直接或通過收碼平臺銷售給號商或下遊黑灰從業者。卡商手中的手機卡分為實名卡和非實名卡。實名卡的來源主要是購買他人實名註冊的手機卡、使用他人身份註冊的手機卡或以虛假身份註冊的手機卡、從有開卡任務的運營商處獲得的卡;非實名卡包括物聯網卡和境外卡。
號商是指直接從卡商或通過收碼平臺購買手機號並獲得驗證碼的人。號商將獲取的手機號和驗證碼註冊到各種互聯網賬號中,出售給黑灰產的從業者或自己用於黑灰產。
收碼平臺是連接卡商和號商的中介。像超市壹樣,在平臺上展示卡商的手機號碼,供號碼商選擇,為卡商提供接收、發送驗證碼、資金結算等服務。
(2)代碼接收平臺的操作流程
壹般來說,收碼平臺有三個端口,包括平臺的管理端、提供給號商的客戶端和提供給卡商的卡商。卡商將自己掌握的大量手機卡插入“貓池”設備,通過讀卡軟件將手機號碼上傳到收碼平臺,讓號碼商在電腦客戶端看到平臺上的號碼。商家在收碼平臺充值,選擇號碼,將號碼輸入互聯網軟件註冊頁面,點擊獲取驗證碼。“貓池”將收到的驗證碼直接上傳到收碼平臺,商家在平臺上看到驗證碼後輸入到註冊頁面,平臺收到壹個驗證碼後會自動扣除壹個驗證碼的費用。卡商通過收碼平臺銷售手機號和驗證碼後,向平臺發起結算申請,收碼平臺根據銷售情況與卡商結算。以上主要由卡商、收碼平臺、號商組成的收碼流程,批量重復。
騰訊、JD.COM等互聯網公司明確禁止惡意批量註冊,並為此設立了專門的安全機制,不會商會利用刷機軟件更改手機設備識別號、切換手機IP地址,繼續實施上述獲取驗證碼、註冊賬號的行為,繞過互聯網公司的安全保護措施。
二、代碼接收平臺的運行特點
在網絡平臺多元化的背景下,通過收碼平臺註冊手機號和驗證碼的互聯網賬號被廣泛使用,既有炒信、“薅羊毛”、發廣告、小程序投票、遊戲授權登錄等低級遊戲,也有電信詐騙、傳播淫穢物品、賭博等高級遊戲。社會危害不言而喻。但基於平臺的運營特點,對對接平臺的關聯方進行處罰也存在壹定的難度。
(壹)規模巨大
由於成本低、收益大,收碼平臺迅速擴張,卡商獲得的手機卡數、收碼平臺收到的驗證碼數、號碼商註冊銷售的互聯網賬號數都在幾萬、幾十萬甚至上百萬。對應不同的卡商、號商和下遊行業,收碼平臺支持和幫助的對象並不固定,是“多對多”的模式。與傳統的“壹對壹”、“壹對多”的犯罪模式相比,收碼平臺的運營對社會的危害更大,範圍更廣。
(二)松散的組織結構
不同於傳統的“金字塔”式管理架構,辦卡商戶、收碼平臺、號商戶之間沒有明顯的層級劃分。本質上是壹種合作,即各個行為者基於產業鏈不同環節的分工提供服務。收碼平臺各環節成員不固定,流動性大,跨區域分布。他們不表達身份,也沒有密切的聯系和頻繁的交流,整體組織結構比較松散。這壹特點往往導致難以追究相關人員的責任,並容易出現管轄權異議。
(C)該技術是非法的
代碼拼接技術的屬性壹直存在爭議。根據“技術中立”的觀點,技術本身並不代表價值取向,需要通過其研發過程、應用方式、應用範圍等進行綜合判斷。收碼技術本身並沒有明顯的入侵性和破壞性,而是為了高效地向下遊提供大量的手機號和驗證碼,以規避網絡的實名監管而產生的,是違法或違規的。但不能斷定通過收碼平臺獲取的號碼和驗證碼壹定是用於違法犯罪。現實中也存在利用收碼平臺利用賬號進行廣告推廣獲取手機號和驗證碼,或者個人在網絡空間隱藏身份以增強體驗感和自由度的情況。
綜上所述,為下遊黑灰產提供服務的接碼行業也是黑灰產的壹種,社會危害性很大。但是,黑灰產不是法律術語,也不是犯罪絕緣體。對受碼行業相關方行為的刑法規制,應當始終以刑法的規定為基礎。從分析卡商、收碼平臺運營商、號商的具體行為是否符合犯罪構成入手,探索收碼平臺相關當事人行為的刑事規制路徑。
第三,代碼接收平臺當事人行為的刑事定性
(壹)實名卡碼平臺當事人行為的刑事定性。
收碼平臺相關當事人傳輸、提供、獲取具有真實個人信息的實名手機卡的行為,符合《刑法》第二百五十三條規定,構成侵犯公民個人信息罪。第壹,具有真實個人信息的實名手機卡可以認定為侵犯公民個人信息罪的犯罪對象,符合識別特定自然人身份或者反映特定自然人活動的特征。其次,收碼平臺的卡商和經營者的行為符合該條規定的“違反國家有關規定,向他人出售或者提供公民個人信息罪”的描述。根據《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第四條的規定,號碼商戶購買、獲取手機號碼屬於“以其他方法非法獲取公民個人信息”,即收碼平臺經營者、辦卡商戶、號碼商戶的行為均符合侵犯公民個人信息罪的構成要件。需要註意的是,用虛假身份註冊的手機卡雖然是“實名”的形式,但是記錄的是所有的虛假身份信息。因此,出售、提供、購買以虛假身份註冊的手機卡和驗證碼的行為,不應以侵犯公民個人信息罪定罪。
此外,鑒於涉案實名手機卡是他人自願提供或出售的,實踐中也有不同看法。有人認為自願提供個人手機卡防止侵犯公民個人信息權,也有人認為自然人對其個人信息不享有專屬權利。筆者贊同後壹種觀點,認為侵犯公民個人信息罪所保護的法益不僅包括公民個人信息權益,還包括國家對公民個人信息的管理秩序。公民自願出售的個人信息,包括大量買賣實名手機卡,嚴重違反了國家對公民個人信息的管理秩序,具有較大的社會危害性,應當按照侵犯公民個人信息罪定性。
(2)非實名卡編碼平臺當事人行為的刑事定性
目前適用於非實名卡和虛假身份登記的手機卡收碼行業相關行為的收費主要有以下幾種。
1.非法經營罪。有人認為,收碼平臺相關方出售、傳輸、獲取非實名手機號碼和驗證碼的實質是違反國家關於網絡實名登記制度的規定,經營短信代收業務。接收平臺當事人無證經營短信業務,擾亂市場秩序,構成非法經營罪。這種觀點值得商榷。《互聯網信息服務管理辦法》規定,國家對經營互聯網信息服務實行許可制度,即通過互聯網向網絡用戶有償提供信息或者網頁制作服務的,該服務經行政部門批準的為合法,未經行政部門批準的為非法。有壹個隱藏的前提,服務本身是中立的。但是,收碼技術並不是完全中立的,為了逃避實名監管,向下遊非法輸送大量手機號和驗證碼是違法的。據此,證明收碼平臺當事人的行為構成非法經營罪。
2.提供侵入、非法控制計算機信息系統程序、工具罪,非法獲取計算機信息系統數據罪,非法利用信息網絡罪,幫助信息網絡實施犯罪活動罪。這四項罪名都與《刑法》第六章擾亂社會管理秩序罪中的網絡犯罪有關。其中,非法利用信息網絡罪和幫助信息網絡犯罪活動罪是刑法修正案九新規定的。前者是“預備犯罪”,後者是“幫助犯罪”。這兩個罪名作為網絡犯罪的底層條款,在本章其他網絡犯罪不能適用的情況下,應該予以考慮和適用,所以下文將先行。
(1)提供程序、工具侵入、非法控制計算機信息系統罪。本罪中的“程序和工具”是指“專門用於侵入、非法控制計算機信息系統的程序和工具”。收碼平臺在功能設計上不具備入侵他人計算機信息系統的功能。這是壹個程序,可用於網絡犯罪和法律目的。不符合犯罪必須是專門用於實現違法犯罪目的的程序或工具的要求,因此不能適用本罪。
(2)非法獲取計算機信息系統數據罪。本罪的適用需要從是否違反國家規定、是否屬於非法獲取計算機信息系統數據罪構成要件中的數據、是否屬於技術手段三個方面考慮。
第壹,是否違反國家規定。筆者認為,收碼平臺當事人的行為違反了《網絡安全法》第二十七條“不得從事幹擾他人網絡正常功能的活動”的規定。有觀點認為,收碼平臺當事人的行為違反了實名制登記制度的國家相關規定,主要參照了《網絡安全法》第24條第1款的規定。但該規定是指網絡運營者提供相關服務,應當要求用戶提供真實身份信息,即違法主體是網絡服務提供者。根據這壹規定,不能想當然地認為卡商、號商違反了實名登記制度的國家規定。但可以明確的是,互聯網公司為了落實《網絡安全法》對網絡運營者的實名登記制度規定,維護網絡秩序,明確禁止惡意註冊和批量註冊,並專門設置了壹系列防範和對抗的安全機制。卡商、收碼平臺、號商相互合作,獲取非真實手機號碼和驗證碼,繞過安全機制,批量註冊互聯網賬號,是幹擾他人網絡正常功能的行為。
其次,是否屬於非法獲取計算機信息系統數據罪構成要件中的數據。手機號碼和驗證碼是用於確認用戶對計算機信息系統的操作權限的數據。根據《關於辦理危害計算機信息系統安全刑事案件適用法律若幹問題的解釋》的規定,屬於本罪構成要件中的數據。有人指出,賬號和密碼其實是通過收碼平臺獲取的,但分析賬號和密碼的生成原理不難發現,賬號是互聯網公司在批處理程序中編寫的。雖然密碼是為用戶設置的,但只有在平臺認可並允許使用的前提下才能設置成功,所以密碼實際上是由平臺交付給用戶的。從註冊過程來看,手機號和驗證碼壹起充當賬號和密碼,是賬號和密碼的前身。此外,對壹組身份認證信息的認定,不應以能否在辦案過程中實際登錄使用為標準,而應根據非法獲取的具體方式,確定獲取時手機號和驗證碼是否可用。獲取的手機號和驗證碼會在APP註冊出現問題時反饋給平臺,反饋內容會記錄在數據庫中,從而確認驗證碼的使用和有效性,這也解決了司法實踐中,嫌疑人借口獲取賬號和密碼,很多用手機號和驗證碼註冊的賬號被封,獲取的數據量難以取證和計算的問題。
第三,是否采用了其他技術手段。非法獲取計算機信息系統數據罪描述為“侵入或者其他技術手段”,而代碼接收平臺當事人的行為不屬於“侵入”,需要重點看是否屬於“其他技術手段”。
經檢索中國裁判文書網,判定為“非法獲取計算機信息系統數據罪”的文書包括“撞庫”、利用釣魚網站獲取數據、利用軟件批量修改密碼、更換手機獲取賬號等。其中,“撞庫”的方式是最常見的獲取數據的方式,所有的判決都將其視為通過“撞庫”(泄密)獲取壹組有效的、可操作的數據的“技術手段”。判斷代碼接收平臺相關方的數據采集行為是否屬於“其他技術手段”,可以從與上述已經判斷確定且無爭議的技術手段的對比入手。
目前互聯網公司對抗“撞庫”的核心安全策略是建立驗證碼安全保護措施。它的原理是提供只有人類才能識別的圖片和文字,讓操作者來回答,以確認操作的主體是人而不是機器。為了提高“撞庫”驗證的效率,嫌疑人誕生了壹個編碼平臺。目前,在司法實踐中,具有驗證碼識別的編碼平臺和批量登錄的掃描軟件被認定為具有規避計算機信息系統安全保護措施、未經授權或者超越授權獲取計算機信息系統數據功能的程序和工具。在收碼過程中,大量獲取驗證碼、更換IP、刷機等操作,都是互聯網公司為防止同壹臺設備使用多個手機號多次註冊多個賬號而設置的安全防護措施。因此,本文所討論的編碼技術和上述編碼技術具有刺穿平臺驗證碼安全保護措施的功能。代碼接收平臺相關當事人的手段和行為與撞庫方式頗為相似,應屬於“使用其他技術手段”
《刑法》第285條第2款規定“使用其他技術手段”,說明立法者已經註意到實踐中除“侵入”之外還有許多獲取計算機信息系統數據的非法行為,而且隨著互聯網平臺安全保護技術門檻的提高,針對其的黑灰產技術也在不斷提高,因此很難通過詳細列舉窮盡本罪的具體行為,勢必要通過行為和技術原理的具體分析來界定。
第四,收碼平臺的當事人是否構成同壹犯罪。卡商、收碼平臺運營商、號商都知道三方進行的具體行動以及非法批量獲取手機號碼和驗證碼註冊互聯網賬號的目的,但仍相互配合完成上述行動。三方缺壹不可,在獲取計算機信息系統數據的過程中均起主要積極作用,構成* * *共同犯罪。
(3)非法利用信息網絡罪和幫助信息網絡犯罪活動罪。代碼接收平臺當事人的行為,在構成非法獲取計算機信息系統數據罪時,不排除與非法利用信息網絡罪或者幫助信息網絡犯罪活動罪的競合。但與獲取數據行為本身構成非法獲取計算機信息系統數據罪不同,構成非法利用信息網絡罪、幫助信息網絡犯罪活動罪的前提是對下遊犯罪進行查證,如查證本人或他人利用已建立的接碼平臺發布違法犯罪信息或實施詐騙等其他特定違法犯罪活動,才被追究非法利用信息網絡罪的責任;只有經查證屬實,通過收碼平臺獲取的手機號碼和用驗證碼註冊的賬號用於電信網絡詐騙等違法犯罪活動的,才能以幫助信息網絡犯罪活動罪對收碼平臺相關當事人定罪處罰。