吳啟航
江蘇省徐州市人民檢察院
摘 要:接碼平臺相關方通過接碼平臺大量獲取手機號和驗證碼,並據此批量註冊轉化成互聯網賬號,源源不斷地為下遊黑灰產業“輸血供糧”,為黑灰產從業者築起了隱匿身份的巨大屏障,具有較大的社會危害性和法益侵害性。現階段對接碼平臺相關方行為的刑事規制仍待加強,可通過分析接碼所涉主體、運行過程等,區分實名卡和非實名卡,以對接碼平臺相關方行為予以精準刑事定性。
關鍵詞:接碼 黑灰產 侵犯公民個人信息 非法獲取計算機信息系統數據 技術不法
全文 接碼是以卡商、號商、接碼平臺運營者三方為核心主體,構建起的向下遊黑灰產業輸送大量手機號碼和互聯網賬號的產業鏈條。2020年10月,國務院決定在全國範圍內開展“斷卡”行動,嚴厲打擊並整治非法開辦、販賣手機卡和信用卡的犯罪行為。接碼平臺作為向下遊黑灰產業高效提供大量手機號和互聯網賬號的源頭,是“斷卡”行動的重點打擊對象。壹、接碼平臺基本概況
(壹)接碼平臺涉及的三方主體 卡商是指擁有大量實體手機卡的用戶,他們把這些卡直接出售或通過接碼平臺賣給號商或下遊黑灰產從業者。卡商手裏的手機卡分為實名卡和非實名卡,實名卡的來源主要是收購他人實名註冊的手機卡、冒用他人身份註冊的手機卡或用虛假身份註冊的手機卡,以及從有開卡任務的運營商工作人員處獲取的卡;非實名卡包括物聯網卡和境外卡。 號商是指從卡商手裏直接購買或通過接碼平臺購買手機號並獲取驗證碼的人,號商將獲取的手機號和驗證碼註冊成各類互聯網賬號後賣給黑灰產從業者或供自己從事黑灰產使用。 接碼平臺,是連接卡商和號商的中介,如同壹個超級市場,將卡商的手機號碼展示在平臺上,供號商選取,並為卡商號商提供接收、傳輸驗證碼、資金結算服務。 (二)接碼平臺的運行過程 接碼平臺壹般有三方端口,包括平臺的管理端、提供給號商的客戶端、提供給卡商的卡商端。卡商將掌握的大量手機卡插在“貓池”設備上,通過讀卡軟件將手機號上傳到接碼平臺,號商在電腦客戶端可以看到平臺上的號碼。號商在接碼平臺上充值,選擇壹個號碼後將號碼輸入到互聯網軟件註冊頁面並點擊獲取驗證碼,“貓池”將接收到的驗證碼直接上傳到接碼平臺,號商在平臺上看到驗證碼後將其輸入到註冊頁面便完成註冊,且號商接收到壹個驗證碼後平臺會自動扣除壹個驗證碼的費用。卡商通過接碼平臺銷售手機號和驗證碼後會向平臺發起結算申請,接碼平臺根據銷售情況向卡商結算。上述以卡商、接碼平臺、號商三方為主體的接碼過程周而復始、批量進行。 諸如騰訊、京東等互聯網企業明確禁止惡意、批量註冊行為,並為此設置了專門的安全防範機制,號商會使用刷機軟件更改手機設備識別號、切換手機IP地址,繼續實施上述獲取驗證碼並註冊賬號的行為,以繞開互聯網企業的安全防護措施。二、接碼平臺運行特征
在網絡平臺多樣化的大背景下,通過接碼平臺獲取手機號及驗證碼註冊完成的互聯網賬號被廣泛使用,既包括炒信刷單、“薅羊毛”、發送廣告、小程序投票、遊戲授權登錄等低段位玩法,也包括電信詐騙、傳播淫穢物品、賭博等高段位玩法,社會危害性不言而喻。但基於平臺運行特征,對接碼平臺相關方的懲治也存在壹定困境。 (壹)規模巨大 由於成本投入小、獲取利益大,接碼平臺迅速擴張,卡商獲取的手機卡數量、接碼平臺接收的驗證碼數量、號商註冊並銷售的互聯網賬戶數量動輒上萬、幾十萬,甚至上百萬。對應不同的卡商、號商、下遊的各類產業,接碼平臺支持和幫助的對象不固定,且是“多對多”的模式,相較於傳統型犯罪“壹對壹”“壹對多”模式,接碼平臺運行的社會危害性更大、波及範圍更廣。 (二)組織結構松散 不同於傳統的“金字塔”型管理結構,卡商、接碼平臺、號商三方並無明顯的層級劃分,本質上是壹種協作,即每個行為人基於分工處在產業鏈條的不同環節上,基於分工提供服務。接碼平臺各環節成員並不固定,流動性強,且跨地域分布,互相並不明示身份,也無緊密聯系和頻繁溝通,整體組織結構較為松散。該特征往往使得對相關人員的追責困難且易出現管轄異議。 (三)技術具有不法性 接碼技術的屬性壹直以來備受爭論。依照“技術中立”觀點,技術本身不代表價值取向,需通過其研發過程、使用方法、用途範圍等來綜合判斷。接碼技術本身沒有明顯的侵入性和破壞性,但其是為了大量高效地向下遊提供手機號碼和驗證碼以規避網絡實名監管而產生,具有壹定的不法性或者說違規性。但由此並不能得出通過接碼平臺所得號碼及驗證碼必然被用於違法犯罪,現實中也存在使用接碼平臺獲取手機號和驗證碼是為了使用賬號進行廣告推廣,或個人為了在網絡空間隱藏身份以提升體驗感和自由度。 綜上,為下遊黑灰產提供服務的接碼產業本身也是壹類黑灰產業,具有較大的社會危害性,但黑灰產不是法律術語,也絕非犯罪絕緣體,對接碼產業相關方行為的刑事規制應始終落腳於刑法規定,從分析卡商、接碼平臺運營者、號商的具體行為是否符合犯罪構成入手,探尋接碼平臺相關方行為的刑事規制路徑。三、接碼平臺相關方行為的刑事定性
(壹)實名卡接碼平臺相關方行為的刑事定性 接碼平臺相關方傳輸、提供、獲取記錄有真實個人信息的實名手機卡的行為符合刑法第253條之壹侵犯公民個人信息的犯罪構成。其壹,記錄有真實個人信息的實名手機卡可以認定為侵犯公民個人信息罪的犯罪對象—“公民個人信息”,符合具有識別特定自然人身份或者反映特定自然人活動情況的特征。其二,卡商、接碼平臺運營者的行為符合該條文規定的“違反國家有關規定,向他人出售或者提供公民個人信息”的罪狀描述。根據《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》第4條的規定,號商購買、獲取手機號的行為屬於“以其他方法非法獲取公民個人信息”,即接碼平臺運營者、卡商、號商的行為均符合侵犯公民個人信息罪的構成要件。需特別註意的是,用虛假身份註冊的手機卡雖形式“實名”,但記錄的均是虛假身份信息,因此,銷售、提供、購買用虛假身份註冊的手機卡和驗證碼的行為不應以侵犯公民個人信息罪定罪。 另外,針對涉及的實名手機卡系他人自願提供或出售的情形,實踐中有不同的觀點,有的認為個人自願提供阻卻了對公民個人信息權益的侵犯,有的則認為自然人對自己的個人信息並無排他的權利。筆者贊同後壹種觀點,侵犯公民個人信息罪所保護的法益,不僅包含公民個人信息權益,還包含國家對公民個人信息的管理秩序,大批量收購或銷售實名手機卡在內的公民自願出售的個人信息,嚴重侵犯了國家對公民個人信息的管理秩序,有較大的社會危害性,應按照侵犯公民個人信息罪予以定性。 (二)非實名卡接碼平臺相關方行為的刑事定性 關於非實名卡及虛假身份註冊的手機卡接碼產業相關行為,現階段主要存在以下幾種罪名適用的探討。 1.非法經營罪。有觀點認為接碼平臺相關方出售、傳輸、獲取非實名手機號和驗證碼的行為本質是違反國家關於網絡實名制的規定,經營短信代收業務。接碼平臺相關方無證經營代收短信業務,擾亂了市場秩序,構成非法經營罪。該觀點值得商榷。《互聯網信息服務管理辦法》規定了國家對經營性互聯網信息服務實行許可制度,即通過互聯網有償給網絡用戶提供信息或網頁制作等服務的,如果取得了管理部門許可,該服務即合法,未取得管理部門許可即為非法。這裏隱藏了壹個前提即服務本身是中立的。但接碼技術並非完全中立的技術,其向下遊大量輸送手機號和驗證碼具有逃避實名監管的不法意圖技術具有不法性。據此,論證接碼平臺相關方的行為構成非法經營罪存在困境。 2.提供侵入、非法控制計算機信息系統程序、工具罪、非法獲取計算機信息系統數據罪、非法利用信息網絡罪、幫助信息網絡犯罪活動罪。這4個罪名均為刑法第六章妨害社會管理秩序罪中涉及網絡犯罪的罪名,其中非法利用信息網絡罪、幫助信息網絡犯罪活動罪系《刑法修正案(九)》新增的條款,前者是“預備犯的正犯化”,後者是“幫助犯的正犯化”,兩個罪名作為網絡犯罪的兜底條款,應在本章其他網絡犯罪罪名無法適用的情況下再考慮適用,因此下文將首先探討提供侵入、非法控制計算機信息系統程序、工具罪與非法獲取計算機信息系統數據罪適用的可能性。 (1)提供侵入、非法控制計算機信息系統程序、工具罪。該罪中的“程序、工具”是指“專門用於侵入、非法控制計算機信息系統的程序、工具”。接碼平臺在功能設計上不具有侵入他人計算機信息系統的功能,其是既可以用於網絡違法犯罪也存在合法用途的程序,不符合該罪必須是專門用於實現違法犯罪目的的程序、工具的要求,無法適用該罪。 (2)非法獲取計算機信息系統數據罪。適用該罪需從“是否違反國家規定”“是否屬於非法獲取計算機信息系統數據罪構成要件要素中的數據”“是否屬於技術手段”三個方面考量。 其壹,是否違反國家規定。筆者認為,接碼平臺相關方的行為違反了《網絡安全法》第27條關於“不得從事幹擾他人網絡正常功能的活動”的規定。有觀點認為,接碼平臺相關方的行為違反有關實名制的國家規定,主要是指違反《網絡安全法》第24條第1款的規定,但該條文是指網絡運營者提供相關服務,應當要求用戶提供真實身份信息,即違法的主體是網絡服務提供者,根據該規定,不能當然認為卡商、號商違反實名制的國家規定。不過可以明確的是,互聯網企業為執行《網絡安全法》針對網絡運營者的實名制規定,為維護網絡秩序,明文禁止惡意註冊、批量註冊行為,並為此專門設置了壹系列防範、對抗的安全機制,而卡商、接碼平臺、號商相互配合,完成了獲取非實名手機號和驗證碼、繞過安全防範機制、批量註冊互聯網賬號的行為,這是幹擾他人網絡正常功能的行為,嚴重危害網絡安全秩序,因而具有違法性。 其二,是否屬於非法獲取計算機信息系統數據罪構成要件要素中的數據。手機號碼和驗證碼是用於確認用戶在計算機信息系統上操作權限的數據,根據《關於辦理危害計算機信息系統安全刑事案件應用法律若幹問題的解釋》的規定,其屬於該罪構成要件要素中的數據。有觀點指出通過接碼平臺獲取的實際是賬號和密碼,但分析賬號和密碼的生成原理不難發現,賬號是互聯網企業用批量程序編寫好的,密碼雖為用戶設定,但也是在平臺通過並允許使用的大前提之下才能設定成功,因此密碼實際是平臺交付給用戶的。從註冊過程看,手機號和驗證碼壹並充當了賬號和密碼的作用,是賬號和密碼的前身。另外,認定壹組身份認證信息不應以在辦案過程中是否可以實際登錄使用為判斷標準,而應結合非法獲取的具體方法判斷手機號和驗證碼在被獲取時是否可用為依據。獲取的手機號和驗證碼在註冊APP發生問題時會向平臺反饋,反饋內容會被記錄於數據庫,由此印證了驗證碼的用途及其有效性,這也解決了司法實務中,嫌疑人辯解獲取的是賬號及密碼,利用手機號和驗證碼註冊的賬號很多被封號,獲取的數據數量難以取證、不好計算的問題。 其三,是否采用了其他技術手段。非法獲取計算機信息系統數據罪的罪狀描述為“侵入或者采用其他技術手段”,接碼平臺相關方的行為不屬於“侵入”,因此需重點討論是否屬於“其他技術手段”。 經檢索中國裁判文書網,以“非法獲取計算機信息系統數據罪”判決的文書中,認定為采用其他技術手段的包括:“撞庫”、利用釣魚網站獲取數據、使用軟件批量修改密碼及換綁手機以獲取賬號等。其中以“撞庫”方式獲取數據的情形最多,且判決均將獲取的大量賬號和密碼通過“撞庫”(曬密)重新獲取壹組有效且具有操作權限的數據認定為“技術手段”。判斷接碼平臺相關方獲取數據的行為是否屬於“其他技術手段”,可從與上述已經判決認定且無爭議的技術手段進行比較入手。 現有互聯網企業對抗“撞庫”的核心安全策略是建立驗證碼安全保護措施,其原理是提供通常只能由人類識別的圖文,讓操作者解答以確認操作的主體是人類而非機器。嫌疑人為提高“撞庫”驗證的效率,催生了打碼平臺。現階段司法實務中,將具有驗證碼識別的打碼平臺和批量登錄的掃號軟件認定為“具有避開計算機信息系統安全保護措施,未經授權或超越授權獲取計算機信息系統數據功能”的程序、工具。接碼過程中海量獲取驗證碼註冊、更改IP、刷機等操作均是繞開互聯網企業設置的防範同壹設備多次使用多個手機號碼註冊多個賬號的安全防護措施。因此,本文討論的接碼技術和上述打碼技術均具有刺破平臺驗證碼安全保護措施的作用。接碼平臺相關方的手段行為與撞庫采取的方式具有相當性,應屬於“采用其他技術手段”。 刑法第285條第2款規定“采用其他技術手段”,說明立法者已經註意到實踐中存在除“侵入”以外的多種非法獲取計算機信息系統數據的行為,且隨著互聯網平臺安全防護技術門檻的提高,與之對抗的黑灰產技術也不斷進步,因此該罪的具體行為方式難以通過詳細列舉的方式窮盡,必然要通過對行為和技術原理的具體分析來界定。 其四,接碼平臺相關方是否構成***同犯罪。卡商、接碼平臺運營者、號商均明知三方***同實施的具體行為且明知非法批量獲取手機號及驗證碼以註冊互聯網賬號的目的,仍相互配合完成上述行為,三方缺壹不可,在獲取計算機信息系統數據的過程中均起到了主要且積極的作用,構成***同犯罪。 (3)非法利用信息網絡罪、幫助信息網絡犯罪活動罪。接碼平臺相關方的行為在構成非法獲取計算機信息系統數據罪的情況下,並不排除會與非法利用信息網絡罪或幫助信息網絡犯罪活動罪產生競合。但不同於獲取數據行為本身構成非法獲取計算機信息系統數據罪,構成非法利用信息網絡罪和幫助信息網絡犯罪活動罪的前提是要查實下遊犯罪,如查實本人或他人利用設立的接碼平臺發布違法犯罪信息或實施其他諸如詐騙等具體違法犯罪活動的,才能以非法利用信息網絡罪追責;查實通過接碼平臺獲取的手機號和驗證碼註冊的賬號被用於電信網絡詐騙等違法犯罪活動的,才能以幫助信息網絡犯罪活動罪對接碼平臺相關方定罪處罰。