|
黄双双[1]
【摘要】:在数字产业化稳步发展的背景下,互联网技术与实体经济和日常生活深度融合。一方面,互联网、大数据等信息技术不断推动着实体经济和人民生活方式的变革,另一方面网络犯罪案件量却也呈现出持续上升的态势,互联网安全领域的相关问题引发了社会的广泛关注。近年来司法机关以从源头坚决遏制网络犯罪的态度,持续性地整治互联网黑灰产,其中互联网批量注册账号的产业链成为当前整治的重镇。但由于相关刑事司法缺少对于互联网批量注册账号的行为的统一处置意见,亦在刑法及相关司法解释中缺少具体的适用规则,实践中司法机关出现以非法获取计算机信息系统数据罪、提供侵入计算机信息系统程序、工具罪或帮助信息网络犯罪活动罪等不同罪名对该行为进行评价的司法乱象。因此,有必要厘清批量注册账号行为中,自动访问程序的技术属性与功能,自动获取的验证码和账号的“数据”属性,从法律解释角度入手,准确评价互联网批量注册账号产业链的刑事危害性,从而实现对该行为在刑法上的精准打击。
【关键词】:批量注册、接码平台、互联网犯罪、刑事责任
一、引言
乘借数字经济时代高速发展的东风,互联网技术在其发展和应用领域的广度与深度上得到了进一步的开拓。一方面这一现状几乎让每个人都享受到其发展带来的红利,另一方面也催生出大量分工明确的互联网黑灰产业链,例如薅羊毛、流量劫持、游戏外挂等等,如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。近年来,公检法以断根打击的态势,持续整治互联网黑灰产业链,其中互联网批量注册账号行业被视为滋生和助长互联网犯罪的核心利益链条之一,成为了重点打击的领域。但司法实践中,各地司法机关在对批量注册账号产业链的刑事打击上却出现以不同的罪名定罪处罚的乱象,主要集中于破坏计算机信息系统罪、非法获取计算机信息系统数据罪[2]和侵犯公民个人信息罪等罪名。出现上述现象的原因在于,一方面现行刑法并未对批量注册账号的行为予以明确的规制,另一方面,司法机关对于实现自动注册功能的计算机程序的技术属性和计算机功能程度认识不准确,对于批量注册过程中获取的验证码属性理解有偏差。因此,我们有必要梳理接码平台在实现批量注册账号的过程中,所采用的计算机程序、软件的技术功能,厘清验证码和账号与计算机信息系统数据之间的界限,探索在现行刑法体系之下最为准确的认定思路,进而找到罪刑法定原则与专项整治需求之间可能的平衡点。
二、打击批量注册账号产业链的动因与障碍
(一)“万恶之源”:网络犯罪滋生的根源所在
网络账号是用户的“网络身份”。在以账号体系为基础的网络环境中,网络犯罪、乃至黑灰产的实施,均以大量获取账号资源为前提。[3]因此,批量注册的账号被视为滋生助长网络犯罪的核心利益链条之一。同时,批量注册的账号多数利用不记名的物联网卡进行注册,为相关的账号使用者提供了便捷的真实身份隐蔽及账号控制主体溯源规避的功能,亦成为了网络诈骗、赌博等相关犯罪所必须的工具[4]。
基于这样的背景,实践中批量注册账号可以定义为“违反国家规定和平台注册规则,使用大量身份信息(包括自然人和法人) ,以手动方式或通过程序、工具自动进行,批量创设网络帐号的行为。”[5]其操作模式通常为,卡商将取得的物联网卡或手机卡导入“猫池”,通过卡商端上传至接码平台,接码平台对外销售手机号与验证码。用户通过号商端在接码平台上创设账号后,通常需要充值一定金额,之后在接码平台处购买卡商上传的手机号码后,用户需要选定注册账户的平台,通过接码平台的接口,在短时间内批量接收下游平台的注册验证码。用户购买实时上传到平台的验证码后,再通过人工操作或者自动注册程序的方式进行批量注册。接码平台通过对用户出售手机号与验证码获利,并与卡商约定分成比例。
从上述通行模式来看,批量注册账号产业链中上下游分工明确且完整。上游为信息或技术支持方,即为批量注册提供大量身份信息或资料及其所需的技术支持,卡商和接码平台便处于上游位置。中游为账号获取方即号商,即行为人通过从卡商和接码平台处获取的手机号与验证码,使用自动访问平台注册程序的软件或程序,获得大量注册平台账号。下游为账号使用方,行为人通常向号商购买账号,以供网络刷单炒信、发布违禁信息、进行网络攻击等多种用途[6]。
基于批量注册账号技术的便利性与适用的广泛性,为了避免自己平台的账号资源被相关黑灰产从业者恶意注册,各大互联网公司也加大对批量注册行为的防范与打击力度。例如,互联网公司一旦识别出短时间内大量注册访问的申请,其会采用识别异常IP等技术措施,对抗批量注册账号的行为。如此,批量注册产业链的中下游使用者只能创设更多账号,以达到其获利目的。
而这些被批量注册而产生的账号,除了部分被用于明星打榜、电商刷量、微商营销等灰色领域外,更广泛被下游用于实施诈骗、赌博等违法犯罪行为,且批量注册行为也干扰了互联网的正常注册秩序,因此从技术和法律层面对批量注册行为进行合力防范和控制刻不容缓。
(二)认识分歧:批量注册行为的要素剖析
依据当前各大互联网平台的注册程序,在注册账号的过程中,访问方需要提供注册信息并输入平台方发送的验证码才能够获取平台账户。因此,在打击“批量注册账号”的行动中,普遍以批量注册行为所衍生的验证码获取及账号获取的行为作为刑事司法打击的切入点,进而不加区分的将验证码和账号统一认定为计算机信息系统数据[7]。但相关的司法实践却缺少对于验证码与账号的本质属性的探索,亦未正确地理解计算机信息系统数据的内涵及外延,以至于对于批量注册行为的违法性根源存在较大的认识分歧。因此,准确的厘清验证码、账号与数据之间的区隔,是准确规制批量注册行为的核心所在。
1、验证码:一种人机识别的测试机制
从信息论角度出发,数据是信息的具体表现形式,是信息的载体,信息需要经过数据化转变成数据才能存储和运输,用公式化的语言表达也就是——“数据=信息+数据冗余”。具体而言,以视频数据为例,指的是数字化的视频信息记忆处理、加工视频信息过程中冗余的计算机语言、文字、代码、字符等;而视频信息,指的是视频所反映的可视化内容。[8]根据上述特征,数据必须具有特定的信息传递功能。
而批量注册过程中,接码平台所接收的验证码,其全称为Completely Automated Public Turing Test to Tell Computers and Humans Apart,缩写CAPTCHA,可译为全自动区分计算机和人类的图灵测试[9]。因此,注册验证码,是平台发送给访问方的用于注册账号的可视化的验证信息,用于对注册者人机身份的识别,而非数字化的文本信息记忆处理、加工过程中冗余的计算机语言、代码、字符等[10]。
更重要的是,数据作为数字经济的关键生产要素,被视为一种被保护的社会利益,必然存在特定的权利主体。倘若认定验证码属于数据,则无法解决验证码的权属问题。举一例以明之,手机登录支付宝时,支付宝向手机发送的验证码,其权属应归于支付宝,还是应归于用户?
因此,注册验证码仅仅是一串数字标识,并不具有特定的信息传递功能,而只是作为人机识别的一种工具存在,且其权属难以界定,其无明确的权属主体,亦不符合数据的核心特征,不属于计算机信息系统数据。
2、账号:使用特定网络服务的数字标识
账号在我们日常的网络服务使用过程中普遍存在,但很少有人去关注相关账号的法律属性,而想要准确评价账号的法律特征,需要从账号的注册及生成机制出发,从源头上剖析其所存在的背景,进而对于账号的司法认定予以准确的界定。以QQ号为例,根据腾讯公司的《QQ号码规则》第二条“QQ号码的性质”规定,QQ号码是腾讯按照本规则授权注册用户用于登录、使用腾讯的软件或服务的数字标识。[11]据上述对于QQ账号的释意可知,各互联网平台的账号是用户按照平台协议用于登录、使用平台的软件或服务的数字标识,而并不具有特定的信息传递功能,也不能被视为计算机信息系统的数据。
3、数据:信息传递的数字载体
倘若认定平台发送给注册方的验证码和账号属于“数据”,其不仅要符合信息论角度下的“数据”特征,在对其进行刑法评价时,二者的属性也应当符合刑事证据中“电子数据”的内涵。2021年1月22日最高检发布《人民检察院办理网络犯罪案件规定》(以下简称《规定》)第二十七条明确框定了电子数据的内涵,即“电子数据是以数字化形式存储、处理、传输的,能够证明案件事实的数据”。该条规定明确了电子数据的类型,即电子数据包括反映各类信息的数据及相关的电子文件。因此,存储于计算机信息系统内,具有信息价值的计算机软件代码才可以成为刑事证据中的电子数据,不具有任何表意含义或者不具有信息传递功能的数字编码,不属于电子数据的范畴。
因此,批量注册账号产业链中核心争议的验证码与账号的法律属性问题,由于其均不具备信息论与刑事司法中电子数据所必须具备的特定信息传递功能,因此并不能将其认定为计算机信息系统数据。
(三)技术本质:关于账号注册的自动化处理程序
当前司法实践中,以危害计算机信息系统的罪名对批量注册账号的行为进行规制时,通常认定验证码程序属于互联网安全防护措施。只要访问方采用计算机程序或软件短时间内接收大量验证码,则被视为突破平台方设置的安全防护措施。
但是,验证码作为全自动区分计算机和人类的图灵测试,其在注册程序过程中的唯一作用仅于[12],区分判断访问平台并使用平台功能的主体是“计算机”还是“人类”,因此其才在当前被普遍应用于各大网站、APP,来防止计算机的自动注册、登录、灌水、刷票等行为。[13]例如,《京东用户隐私协议》中第一点第(一)条第1款第(1)项用户注册中,明确提到,“我们将通过发送短信验证码或邮件的方式来验证您的身份是否有效”。很明确,京东平台发送短信验证码是用于验证,访问平台的用户是否是有效的个人用户而非机器人。
而结合两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称“《解释》”)第二条,关于非法获取计算机信息系统数据罪的规范表述,可知判断一个技术行为是否突破计算机信息系统安全保护措施的前提是,判断该技术行为是否能够在未经授权或者超越授权的情况下,对于特定的计算机信息系统进行访问,典型行为主要有“木马程序”、“后门软件”、“键盘跟踪技术”、“攻击病毒”、“开放端口”、“钓鱼软件”等对于计算机软件的访问权和控制权严重侵害的技术行为。而在批量注册账号过程中,以短信验证码为例,用户在接码平台购买手机号码后,点击“获取验证码”,再将手机号与对应的验证码作为注册信息,申请对应平台的账号。号商通过“触动精灵”等自动注册软件,自动循环往复上述注册流程,进行账号的批量注册。这种批量注册账号的技术手段,仅仅是用户的设备终端与网站服务器之间自动化交互的一种自动化处理技术,但其能够自动化处理的前提在于相关的设备终端有权获得网站服务器所发送的验证码并进行本地验证,该技术并未突破特定网站的计算机信息系统柜安全保护措施。[14]更重要的是,这种信息交互仅发生在特定的计算机信息系统外部,需要以“请求-响应”的方式实现,而非直接在某一特定的计算机信息系统内部直接实施完成,亦无法被认定为是一种侵入计算机信息系统的行为。
三、谬误与反思:批量注册行为刑事处置的批判性考察
结合前述分析,批量注册账号产业链系通过计算机程序实现的自动化账号注册认证机制,而相关的网络平台或互联网公司的注册策略又是排斥该种自动化注册行为的存在,因此批量注册的过程中难免会存在互联网黑灰产从业人员与互联网公司安全部门之间的技术对抗。因此,在这种背景下,司法机关在对于批量注册的行为进行刑事处置时,第一反应就是需要适用危害计算机类的犯罪对其进行打击。但是,由于当下相关司法人员对于批量注册账号程序中的特定技术特点及核心要素的界定存在一定的认识分歧以及技术上的理解误区,因此现有的实践案例中亦存在诸多事实认定及法律适用的谬误,这些谬误亟需进行澄清并且纠正,以免形成将错就错的案例指引。
(一)非法获取计算机信息系统数据罪处置批量注册行为的谬误
以非法获取计算机信息系统数据罪评价批量注册账号产业链中的接码平台的刑事责任,通常具有以下认定逻辑。第一,验证码或者“验证码+手机号”属于计算机信息系统数据;第二,验证码机制属于互联网安全防护措施,;第三,自动获取验证码机制或代理IP技术属于“侵入”行为;第四,获得验证码的行为可以评价为“获取”行为。根据上文,在本罪的应用中,还需要深入解决三个概念问题,第一,验证码或“手机+验证码”组合的计算机信息系统“数据”类型;第二,“侵入”行为的概念;第三,“获取”的内涵。
1、验证码≠身份认证信息
《解释》第一条规定,非法获取计算机信息系统数据的犯罪对象系网络金融服务的身份认证信息或除此以外的其他身份认证信息。但是,注册验证码并不能被理解为《解释》第一条第二款规定的,其他身份认证信息。从信息网络安全角度看,所谓的身份认证是指,用户要向系统证明访问系统的是他所声称的特定的用户[15]。常见的身份认证的方法有4种,如口令、密码;USB Key,通行证;用户生物特征(如指纹、DNA、声音等),用户行为特征(如手写签字)。因此,从身份认证信息的功能角度看,其必须具有识别特定的人作用。
结合《规定》将常见的4种身份认证信息通过例举的方式列明,即用户注册信息、身份认证信息,数字签名、生物识别信息,这已说明,用户注册信息必须与其他三项身份认证信息具有相一致的功能,即“识别特定的用户”。从注册验证码机制的核心功能出发,在成为平台注册用户之前,单凭验证码并不能判断访问系统的主体是否是特定的注册用户。因此,其不具与动态口令(动态密码)相仿的有身份认证的功能。相反的是,在用户注册程序中,只有先行获取验证码,才能够实现成为平台的特定用户的目的。因此,验证码不属于身份认证信息,并非非法获取计算机信息系统数据罪中保护的对象。[16]
2、“手机号+验证码”≠注册平台计算机信息系统内的数据
个人用户在互联网中的用户身份信息应当由“特定用户名+特定身份认证信息”组成,普遍理解是互联网用户在平台上的“手机号+密码/动态验证码”这种组合的信息。在批量注册账号产业链中,号商确实使用了“手机号+验证码”完成了注册程序,但是以该组合认定号商获取了注册平台内的数据,便是对计算机信息系统数据存在本质上的误解。
首先,手机号与验证码来源不相同,手机号由卡商端发送,验证码由注册平台发送。随着电话卡实名制,互联网实名制政策的落实,互联网用户的个人身份与手机号码的绑定越发紧密,个人用户的手机号原则上被认定是用户的身份认证信息,用于绑定网络账号,从而增强用户使用互联网平台服务时的安全性。但当前,为简化注册程序,若采用手机号码直接注册平台账号,手机号码则具备了用户名及身份认证信息的双重身份。号商若要注册账号,首先需要从平台处购买一个手机号码,其次,从接码平台处接收对应的注册平台响应获取验证码的程序发送验证码。之后,号商将收到的手机号与验证码输入至对应平台的注册页面,完成用户注册。因此,手机号码是由卡商提供,对应的注册验证码则是由注册平台发送,二者并非全部源于注册平台系统。
其次,从时间节点上看,号商无法同时收到注册的手机号与验证码。分析已被查处的众多接码平台的功能,号商在接码平台上收到手机号码和验证码存在时间差。若号商获取的是对象注册平台的数据,则应当是由平台同时发送,而不应当存在时间差。
再者,从原始储存状态上看,在用户注册前,各注册平台数据库中自始没有用户账号。若认定批量注册产业链的各方获取了平台用户的身份认证信息,则意味着,平台数据库中应当事先存有注册用户的手机号。但该产业链的客观状况是,若号商不完成填入“手机号码+验证码”这一步注册程序,则平台数据库中不可能存储对应的手机号码。更无从说起,号商通过接码平台获取了注册平台中的“手机号+验证码”的若干组数据。
因此,即便在批量注册账号的产业链中,在号商端能够形成“手机号+验证码”的组合信息,但实质上号商从注册平台方接收的自始仅有验证码,而非非法获取计算机信息系统数据罪的犯罪对象——用户身份认证信息。
3、验证码机制≠侵入计算机信息系统
最高人民检察院第36号案例(卫某某非法获取计算机信息系统数据案)明确,“非法侵入”的实质内涵是违背他人意愿进入他人计算机信息系统,既包括采取技术手段进入,也包括未征得他人同意或者授权进入。即,“侵入”取决于一个人是否虚拟地进入他人的计算机信息系统。
接码平台针对验证码机制设定的计算机软件功能,仅仅是对人类申请手机验证码行为的模仿,系模拟人机交互的过程,并未突破或绕过任何计算机信息系统的安全保护措施,进入计算机信息系统。这与通常具有侵入计算机信息系统,或者通过非法手段取得技术信息的“木马程序”、“攻击病毒”、“钓鱼软件”等恶意的计算机程序具有显著的差异。
互联网注册程序通常是,自然人用户通过手机号,向平台发送会员账号注册申请,平台的注册程序自动向这些手机号发送验证码。此时,验证码是互联网平台根据提前设定的程序自动、自愿发送给申请注册的用户,并未违背平台的意愿,不能够将此行为评价为“非法侵入”平台的行为。
4、“更换 IP 地址功能”≠侵入计算机信息系统
不少案件由于出现了接码平台使用代理IP的技术措施,而被认定为系避开互联网安全防护措施,“侵入”计算机信息系统。但是使理IP的行为,其主要目的是为了避免登陆行为被错误识别为恶意攻击,亦不属于“侵入”计算机信息系统。
首先,使用代理IP本身并不违法。代理IP服务系《电信业务分类目录》的B13国内互联网虚拟专用网业务(IP-VPN)的衍生业务,该业务的存在具有合法的行业基础。同时,代理IP的使用也是互联网行业获取信息的通用解决方案,诸如百度、腾讯、阿里巴巴等互联网企业,都存在使用代理IP的情况。因此衍生出了专门从事代理行业的企业,开发了许多产品,例如芝麻代理、飞猪IP等。
其次,互联网行业使用代理IP进行登陆访问的主要目的,是为了避免单一IP地址多次重复登陆的行为被服务器错误识别为网络攻击,进而触发服务器内部的保护措施,对相关IP地址进行封禁。由于爬虫程序自动化访问的特点,当超过服务器承载量的爬虫对同一服务器进行访问时,会大量占据服务器的流量,进而影响正常用户的访问体验。因此,不少网站设计了相应的反爬虫程序,其目的在于避免短时间内爬虫机器人对于服务器流量的挤占,进而对于超量访问的IP地址进行封禁。
但由于这种反爬虫程序仅仅是在计算机信息系统登入之初进行IP地址的识别[17],规避反爬虫机制所带来的效果无非是让服务器将机器人识别为用户个人,而不具备任何“侵入”计算机信息系统的功能。因此,这种更换IP地址的模式,实质上不会影响第三方网站的权益,不具有任何意义上的不法性。
若以代理IP为关键词在百度引擎中进行搜索,可以显示,有许多专门从事代理IP业务的企业(如芝麻代理、飞猪IP、万变IP、uuhtpp等)相关企业均提供代理IP的服务。同时,点击查看相关代理IP企业的合作商户,可见包括百度、知乎、抖音、阿里巴巴在内的诸多知名互联 网企业,均是相关代理IP企业的客户或合作方。可以证实通过代理IP技术进行站点访问,避免单一IP重复访问被错误识别为网络攻击是互联网行业中通行的解决方案,相关技术的提供及使用亦不存在违法性。
5、接收验证码≠“获取”数据
根据国际通行标准,所谓“获取(acquisition)”是指“在特定的数据集合中进行数据副本创建的过程(process of creating a copy of data within a defined set)”;同时对于该条款的注释亦明确“获取的内容是对于拟获取的数据信息的备份(The product of an acquisition is a potential digitai evidence copy)”[18]。可见,“获取”的技术含义应当是获取者在主观意志的支配下对于既有数据的复制行为,单纯取得信息而并未复制数据的行为,不代表获取。
对于电子数据的“获取”行为,在法律规范上亦有同类的参照。2014年两高一部发布了《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》(以下简称“《程序意见》”),其中对电子数据的取证与审查提出了原则性要求,即电子证据的提取与呈现应当具备原始性、真实性、完整性、同一性。《程序意见》第14条规定,提取收集、提取电子数据应当制作笔录并记录数据的完整性校验值即数据的哈希值。鉴于在哈希函数中输入数字串对应着唯一的输出数字串,只要数据的哈希值不变即意味着电子数据具备原始性、完整性和同一性。《电子数据取证规则》第二章规定的五种提取方式,即扣押、封存原始存储介质、现场提取电子数据、网络在线提取电子数据、冻结电子数据、调取电子数据,充分反映了前述电子数据提取行为的核心特征。
刑事案件中对于电子数据的提取行为,本质就是通过特定的技术手段和储存介质,将原本储存在原始介质电子数据迁移至刑事案卷之中。然而,接码平台的功能仅仅局限于取得验证码信息,而不具有复制、下载计算机信息系统数据的功能,不能等同于“获取”。因此,单论接码平台接受验证码的功能,既没有“侵入”行为也没有“获取”行为,不具备非法获取计算机信息系统数据罪的法定构成要件。
(二)提供专门用于侵入、非法控制计算机信息系统的程序、工具罪规制批量注册行为的谬误
对于批量注册账号产业链进行刑事规制之初,亦出现了以提供专门用于侵入、非法控制计算机信息系统的程序、工具罪定罪处罚的情况,例如由浙江省兰溪市人民法院作出的全国首例“恶意注册账号案”。该案被告人汤某某在网上购买了注册机及E语言源代码并改写成“畅游注册机.exe”注册机,该软件通过设置相应配置,实现自动产生注册信息并通过第三方平台获取手机号,将注册信息及获取手机号通过数据包方式发送给畅游注册平台服务器,借助第三方平台自动将获取的手机验证码发送回畅游注册平台完成批量注册。[19]法院认为,该软件对畅游注册平台的正常操作流程和正常运行方式能造成干扰,属于破坏性程序。判处汤某某提供专门用于侵入、非法控制计算机信息系统的程序、工具,判处有期徒刑十个月。[20]
在该全国首例的“恶意注册账号”案件中,司法机关作出了两项认定。第一,“畅游注册机.exe”注册机对注册程序具有干扰作用,系破坏性程序;第二,本案破坏性程序具有“侵入”功能。上述认定亦出现在了江苏省阜宁县作出的(2020)苏0923刑初26号判决书中,但该认定结果依旧存在不恰当之处。
1、干扰性程序≠破坏性程序
根据《解释》第四条规定,破坏计算机信息系统的功能或者应用程序,应当造成计算机信息系统的主要软件或硬件不能正常运行。而该判例中,涉案软件所运行的程序仅对畅游注册平台的正常操作流程和正常运行方式能造成干扰,并未造成畅游注册平台的的软/硬件或者系统本身不能正常运行。将“干扰”后果等同于“破坏性程序”会造成的系统“无法正常运行”,系错误归类了软件功能的刑法定义[21]。
2、“破坏性程序”非提供专门用于侵入、非法控制计算机信息系统的程序、工具罪的评价对象
根据两高《解释》第二条规定,“专门用于侵入计算机信息系统的程序、工具”所应当具备的功能是,能够避开或者突破计算机信息系统安全保护措施,即“侵入或与侵入相似的技术功能”。首先,该案的软件即便确定系“破坏性程序”,其所具备的软件功能也不属于所判决的罪名的规制范畴,而应当定性为破坏计算机信息系统罪。其次,“干扰”功能与“侵入”功能存在本质区别。最高检第36号案例明确了“非法侵入”的实质内涵,而干扰性软件并未进入到计算机信息系统内部获取数据,本案软件的“干扰”本质也不能够被简单评价为具有“侵入功能”。
因此,单论批量注册程序,既没有“侵入”行为也没有“获取”行为,不具备提供专门用于侵入、非法控制计算机信息系统的程序、工具罪的法定构成要件。
四、依法惩治:批量注册行为刑事规制的路径探索
打击批量注册账号产业链,是当下司法机关清理整顿互联网黑灰产专项行动中志在必行的一项运动,但不能因为有特定的运动背景,就放宽对于罪刑法定、罪责刑相适应的刑事司法基本原则的追求。因此,我们需要在梳理批量注册行为核心社会危害性的基础之上,结合相关技术特征及现行刑法的规定,从罪刑法定的原则出发,从法律解释的角度入手,探索对于批量注册账号产业链中的接码平台进行准确规制和依法打击的路径。
(一)帮助信息网络犯罪活动罪的规制路径
从卡商、接码平台与号商的上下游关系来看,实质上存在共同犯罪的可能。无论从实质的社会危害性还是从形式的刑事违法性上看,上游主体行为的本质都是为下游不法分子的犯罪行为提供帮助。上游接码主体没有固定的帮助对象,也表现出“一对多”的对接形式,为此,刑法增设帮助信息网络犯罪活动罪加以应对。
帮助信息网络犯罪活动罪要求明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,且情节严重。[22]其中的明知包括确知与应当知道,其中应当知道是一种推定的“明知”。[23]为了减轻司法实践中对于主观明知的认定困难,《解释》第十一条第四项规定,“提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助”可推定其主观明知。该项规定限定相关帮助行为系专门用于“违法犯罪”,此处的“违法”并未明确要求限定为刑法分则规定的构成要件行为,而是应当理解为包括其他违法行为在内。
而《网络安全法》第二十四条设定了网络用户实名制的要求,故在网络账号产业链中,以大量物联网卡所接收的验证码注册大量网络账号,既违反了《网络安全法》的相关规定,也并非社会正常活动所需要,符合了“为违反犯罪活动提供专门帮助”的要求,可以推定其主观明知。所以在有证据证明的情况下,卡商、接码平台可以视明知程度涉嫌帮助信息网络犯罪活动罪。
但是,如果案件的下游行为不法程度较低,尚未达到犯罪的地步,在下游犯罪没有成立的情况下,接码平台的参与人员即便符合主观明知的条件,也难以构成帮助信息网络犯罪活动罪。尽管,本罪将网络犯罪帮助行为正犯化,赋予原本属于共犯性质的帮助行为独立的违法性,即使帮助行为对于完成犯罪起着决定性作用,即使社会危害性超过了实行行为,也不代表就能突破共同犯罪的理论,对批量注册行为的定罪量 |
