“網絡釣魚”與刑法規制的完善

王龍國

摘要“網絡釣魚”自從1996年前后在美國首先發生之后,迅速擴散到其他發達的一些歐洲國家。近幾年,中國也屢次發生“網絡釣魚”攻擊的案件,而且形勢愈演愈烈。對此,國際社會積極應對,而我國刑法在規制此種行為時卻顯得力量有些單薄,需要進行完善。

關鍵詞網絡釣魚刑法規制完善

中圖分類號:D924.1文獻標識碼:A文章編號:1009-0592(2009)10-020-03

一、“網絡釣魚”及其實質

“網絡釣魚”是上世紀90年代中期以來興起的一種網絡詐欺行為。該詞自從產生之后,并沒有一個準確的含義,也不是一個真正法學意義上的術語。但一般認為,“網絡釣魚”是指那些利用欺騙性的電子郵件和偽造的web站點來進行詐騙活動,誘騙訪問者提供一些個人信息,如信用卡號、賬號、社保編號等,并利用其獲取不正當利益的行為。反釣魚工作組(APWG)將“網絡釣魚”定義為一種利用社會工程學和技術手段盜竊消費者個人身份資料和金融賬號憑證的身份信息在線竊取活動。①美國司法部認為,“網絡釣魚”是指制造或使用與知名合法企業、金融機構或政府機關的電子郵件和網站相似的電子郵件和網站,誘騙網絡用戶透露他們的銀行和金融賬戶信息或其他個人信息如用戶名和密碼。②日本的警察廳將“網絡釣魚”以及網絡釣魚詐騙定義為:“網絡釣魚,是指偽裝成銀行等企業的郵件,引導收件人訪問虛假的網頁,使其在該網頁上輸入個人的金融信息(信用卡號、ID、密碼等),非法獲取其個人的金融信息的行為。以該信息為基礎騙取金錢的手段被稱為網絡釣魚詐騙。”③

從以上關于“網絡釣魚”的界定中,我們可以看出,關于“網絡釣魚”的具體內涵并沒有一個統一的定義,日本警察廳只將那些“獲取其個人的金融信息”的行為看作是“網絡釣魚”,而在美國,不管是司法部還是APWG都既將竊取個人金融信息又將竊取其他個人身份信息的行為看作是“網絡釣魚”。從世界上發生“網絡釣魚”案件比較多的一些國家的實際情況來看,APWG的定義是較具代表性的。“從法律角度看,網絡釣魚的實質是身份竊取(IdentityTheft)。”④筆者以為,只要是那些利用計算機網絡誘騙他人在不知道的情況下透露其個人真實的身份信息的行為都是“網絡釣魚”的行為。

二、“網絡釣魚”的表現形式

“網絡釣魚”者為了能夠有效地通過詐欺行為獲得他人的真實身份信息,采取了各種各樣的手段。“網絡釣魚”并不像其他的病毒或黑客襲擊會對用戶計算機造成破壞,更多的是利用人心理上的弱點來欺騙用戶的敏感數據。其主要欺騙方式如下:

(一)發送電子郵件,以虛假信息引誘用戶中圈套

詐騙分子以垃圾郵件的形式大量發送欺詐性郵件,這些郵件多以中獎、顧問、對帳等內容引誘用戶在郵件中填入金融賬號和密碼,或是以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息,繼而盜竊用戶資金。

(二)建立假冒網上銀行、網上證券網站,或者發送假鏈接,騙取用戶賬號密碼實施盜竊

犯罪分子建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平臺極為相似的網站,引誘用戶輸入賬號密碼等信息,進而通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡、證券交易卡盜竊資金。還有的利用跨站腳本,即利用合法網站服務器程序上的漏洞,在站點的某些網頁中插入惡意Html代碼,屏蔽住一些可以用來辨別網站真假的重要信息,利用cookies竊取用戶信息。

(三)利用虛假的電子商務進行詐騙

此類犯罪活動往往是建立電子商務網站,或是在比較知名、大型的電子商務網站上發布虛假的商品銷售信息,犯罪分子在收到受害人的購物匯款后就銷聲匿跡。

(四)利用木馬和黑客技術等手段竊取用戶信息后實施盜竊活動

木馬制作者通過發送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序,當感染木馬的用戶進行網上交易時,木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼,并發送給指定郵箱,用戶資金將受到嚴重威脅。

(五)利用用戶弱口令等漏洞破解、猜測用戶賬號和密碼

不法分子利用部分用戶貪圖方便設置弱口令的漏洞,對銀行卡密碼進行破解。

三、當前刑法在規制“網絡釣魚”行為中的缺陷

中國是“網絡釣魚”侵害比較嚴重的國家,但是,中國并沒有直接針對釣魚行為的法律規范。當前刑法在打擊“網絡釣魚”行為中的作用是十分有限的。

我國1997年刑法設置的與計算機或網絡直接有關的犯罪分別是第285條、286條。《刑法》第285條規制的是侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為。任何一種釣魚行為最終要想竊取他人的個人資料,都是要通過其個人才能實現目的,而不會侵入國家事務、國防建設、尖端科學技術系統去達到目標,因此,也不能以此罪定罪。《刑法修正案》(七)通過后,將本罪的犯罪對象擴大到幾乎所有的計算機信息系統,如果情節嚴重的,均可構成非法侵入計算機信息系統罪。將第285條的犯罪對象進行如此的擴大后,則那些詐取了個人資料和密碼等信息后,以此信息再進入銀行系統取款、轉賬的釣魚行為就有可能以此定罪了。此時,我們只需將其利用別人的登錄口令進入銀行系統的行為認定為“非法”就行了。而且,這種冒充的方式就是“侵入”的行為表現之一,通常“侵入”的方式有“冒充”、“技術攻擊”、“后門”、“陷阱門”等。⑤然而,根據《刑法修正案》(七),行為人如果侵入的是國家事務、國防建設、尖端科學技術系統以外的計算機信息系統,需要達到情節嚴重的程度才能構成非法侵入計算機信息系統罪,而對那些還沒有造成危害后果或者剛剛著手實施釣魚行為以及其他的一些情節不是很嚴重的行為,則無力規制。可是,這與“網絡釣魚”本身即具有社會危害性,需要進行刑法的規制是不相適應的。由以上分析可以看出,非法侵入計算機信息系統罪是不能規制當前的“網絡釣魚”行為的。

《刑法》第286條規制的是違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,和對計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加的操作,以及故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,后果嚴重的行為。“網絡釣魚”行為中的一種表現形式,即利用木馬和黑客技術等手段竊取用戶信息的行為,往往都是通過木馬等破壞性程序來影響計算機系統的正常運行,從而獲取個人資料的。“網絡釣魚”中的此類行為在一定程度上綜合了該罪的客觀方面,似乎可以此罪來定罪處罰。然而,該罪的三款都要求“后果嚴重”,才能入罪,如果釣魚者竊取了許多人的個人資料或盡管沒竊取很多人的資料,但卻造成了受害人隱私的外泄或者受害人因為個人資料被竊取而自殺、報復社會等其他結果,我們尚可以說“后果嚴重”,并以此來定罪。否則,釣魚者只竊取了某個人的個人資料或身份信息,我們很難認定為“后果嚴重”,因為這里缺乏一個衡量標準。因此,此罪也不能承擔起從刑法上打擊“網絡釣魚”行為的功能。

盡管我國刑法中直接規定的與計算機和網絡有關的犯罪不能直接規制目前出現的詐取他人身份信息和密碼的行為,但有一種特殊的身份信息卻因為我國刑法的專門規定可以得到保護,即信用卡資料。如果釣魚者竊取網絡用戶信用卡的賬號、密碼等信息資料,就構成了刑法第177條之一規定的妨害信用卡管理罪。釣魚者的另外一種行為也可能受到我國現有刑法的規制,即偽造網站時,同時偽造或擅自制造了他人注冊商標標識的行為,如果達到情節嚴重的程度,就構成了刑法第215條規定的非法制造注冊商標標識罪。

根據以上分析可以看出,我國當前刑法基本上不適應規制當前愈演愈烈的網絡釣魚行為的需要。

四、增設新罪來規制“網絡釣魚”的初步思考

(一)學者們的構想及分析

如何設立新罪來打擊“網絡釣魚”呢?

一部分學者借鑒加拿大的立法模式,主張規定身份信息犯罪或身份犯罪。認為“身份犯罪或稱與身份有關的犯罪是指非法獲取、持有、收集、傳播、買賣、使用和偽造身份信息、文件和標志的行為。”⑥一類學者借鑒美國的立法模式,主張規定身份盜用或身份盜竊罪。認為“身份盜用是指為了取得金錢、物品、服務等利益或者逃避義務和責任,盜竊他人身份證明信息以非法冒用他人身份的行為。”⑦“身份盜竊”指的是行為人竊取并利用證明他人身份的個人資料、數據以非法獲得他人的經濟利益的犯罪。⑧一類學者認為“借鑒《刑法修正案》(五)、《刑法》關于非法獲取國家秘密罪、非法獲取軍事秘密罪、侵犯商業秘密罪等的規定,我國刑法應當增設非法獲取、傳播身份信息罪。”⑨一類學者主張規定網絡釣魚罪。建議:“以利用身份識別信息實施違法或犯罪行為為目的,故意利用仿冒的電子郵件信息、網頁、網絡站點或者其他網絡技術手段欺詐性地獲取網絡用戶的身份識別信息,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金。”⑩

第一類學者、第二類學者、第三類學者的主張并不是完全針對“網絡釣魚”現象提出的,他們不僅認識到網絡釣魚的危害,而且還認識到其他大量存在與“網絡釣魚”在性質上有相同之處的竊取他人身份信息行為的危害。這些學者試圖用一個更加具有包容性的入罪方案將社會上存在的有關身份信息犯罪的行為都包括在內,他們的想法是有道理的。但是,這三類學者的主張也各有他們的缺陷。

第一類學者主張全面規定身份信息犯罪或身份犯罪,該主張的特點是打擊范圍廣,只要是與身份信息有關的非法行為,都可以被包括在該類罪之內,就連“持有”他人身份信息的行為也要接受打擊,而事實上,我國刑法對“持有”型犯罪是嚴加控制的,一般情況下只有“持有”的對象是國家明令禁止并嚴管的對象時,才被規定為犯罪。因此,對“持有”他人身份信息的行為也規定為犯罪過于苛刻。況且,“網絡釣魚”者在竊取他人身份資料后,通常還要利用該信息實施進一步的違法行為,如果對該整體行為進行評價,我們不能避開后續行為只評價前行為,因此,我們在將網絡釣魚行為入罪時,考慮的不僅僅是其竊取他人身份信息的行為,通常還要考慮其竊取行為的動機。

第二類學者規定身份盜用或身份盜竊罪,該主張將非法獲取他人身份信息的行為及其后續行為一起評價,而我國刑法已經對利用他人身份資料進行違法的行為進行了評價,如果為了打擊身份信息犯罪而不考慮已有刑法的存在,將會產生一些法律上的競合。比如,我國刑法對非法獲取他人身份信息后的一些后續行為已經進行了入罪的規定,偽造、變造居民身份證罪,詐騙罪,洗錢罪,信用卡詐騙罪便是如此。因此,主張規定身份盜用或身份盜竊罪盡管能打擊“網絡釣魚”,但卻會與現存刑法存在一些法條上的競合。

第三種主張設立非法獲取、傳播身份信息罪,相對于第一種主張,打擊范圍縮小了很多。但是,即使如此,也不能準確地打擊“網絡釣魚”行為。“網絡釣魚”行為是釣魚者同一個人實施竊取他人身份信息的行為和后續的欺詐行為或者受一個人操縱、控制、指使實施了上述兩階段的行為,在這前后相繼的行為過程中,釣魚者的目的是明確的,動機是不變的。而如果規定非法獲取、傳播身份信息罪,將會存在一種情況,也就是行為人在竊取到他人的身份資料后,然后又出售給一些中介公司或者欲購買者,甚至經過很多道中轉,那么,在該種情況下,將所有的行為人都規定為犯罪顯然是不可取的。因為,這些行為人當中可能有些人純粹是買賣信息的行為,他們的動機各不相同,將這所有人的行為都用一種罪來評價也是不公正的。

第四種主張是規定單獨的網絡釣魚罪,從打擊“網絡釣魚“的角度來說,此種規定當然是可取的。因為,當每一種違法犯罪行為出現時,我們都有理由在刑法中規定一種犯罪,但是,從長遠來看,該種做法也是有弊端的。大量新罪的增加將造成刑法典的不穩定性以及隨時可更改性,將會減少人們對刑法的了解與預知的程度。并且,隨著大量的新情況的出現,刑法如都做出回應,也會造成對現行刑法體系和結構的沖擊。因此,我們在增設新罪時一定要考慮到這個問題,既要保持現行刑法結構體系的穩定性,又要將一些新出現的犯罪行為納入到自己的規制之下。

(二)筆者的建議

基于前面分析,筆者主張在刑法第286條破壞計算機信息系統罪后增設一條竊取身份信息的犯罪,作為第286條之一。具體建議如下:

“利用欺詐性電子郵件、仿冒網頁、網址、木馬或者破壞性程序、破譯弱口令等互聯網技術手段竊取他人身份識別信息的,后果嚴重的,處3年以下有期徒刑、拘役或者管制,并處或者單處罰金;后果特別嚴重的,處3年以上7年以下有期徒刑,并處或者單處罰金。

利用互聯網技術以外的其它手段竊取他人身份識別信息的,后果特別嚴重的,處3年以下有期徒刑、拘役或者管制,并處或者單處罰金。

本條所稱身份信息是指:①銀行賬號、密碼;②信用卡密碼;③各種身份證明號碼;④各種網絡通行口令、密碼;⑤其他可用于識別他人身份的個人身份資料。”

本條第一款為利用互聯網技術竊取身份信息罪,第二款為利用非互聯網技術竊取身份信息罪。只要是采取非法手段竊取他人身份信息資料,造成嚴重后果的,都定罪處罰。考慮到目前竊取身份信息的行為主要是通過網絡釣魚手段來實施的,所以,對此類行為要專門規定,加重懲治力度。

竊取身份信息的犯罪的犯罪構成如下:

竊取身份信息的犯罪的主體為一般主體。凡是達到刑事責任年齡并具有刑事責任能力的人,即年滿16周歲,精神智力正常,都可以成為本罪的犯罪主體。筆者以為,從防患于未然以及刑法制定的前瞻性角度來考慮,單位也可以構成這個罪的犯罪主體。盡管目前出現的非法竊取他人身份信息的行為還沒有單位實施的情況,但這并不意味著以后也不會出現。1997年6月下旬,江民公司為了打擊盜版的軟件,在其反病毒軟件KV300的L++版本中置入了“邏輯炸彈”程序。從這一案例我們可以知悉,利用計算機網絡來實施的犯罪有可能是單位的行為。因此,我們不能排除將來會有一些公司或單位為了謀取非法的利益,會通過釣魚行為來竊取客戶的身份信息或者他人的身份信息,這是完全可能的。有鑒于此,單位實施了竊取他人身份信息的行為,也可觸犯本條規定的刑律。

竊取身份信息的犯罪的主觀方面為故意,即只有故意實施違法行為竊取他人身份信息資料或者明知是他人非法獲取的別人的身份資料而故意傳播的行為,才構成這兩個罪。至于行為人的動機是多種多樣的,不管其是否準備繼續實施身份信息竊取的后續行為,只要“竊取”這一前行為實行完畢,這兩個罪的實行行為就已終了。

利用互聯網技術竊取身份信息罪客觀方面的表現是:通過網絡技術手段,發送欺詐性電子郵件,建立假冒的網頁或網站,編制木馬或破壞性程序,破譯弱口令、密碼等,竊取他人的身份識別信息。行為人只要實施了上述行為之一,而且目的是竊取他人的身份信息資料,不管其今后是否利用該身份識別信息實施違法行為,即符合該罪的客觀方面,以該罪處罰。該罪的既遂以行為人獲取并控制他人的身份識別信息為標志。如果行為人既實施了該種行為,又利用竊取的身份信息資料實施了后續的其他犯罪行為,則構成該罪和他罪的數罪,處罰時應數罪并罰。至于通過網絡技術手段竊取他人的身份識別信息的具體方式則多種多樣。利用非互聯網技術竊取身份信息罪的客觀方面表現是:行為人通過互聯網技術以外的任何方式竊取他人身份信息資料的行為。

竊取身份信息的犯罪侵犯了計算機信息系統安全,破壞了國家對計算機信息系統的管理秩序。同時,該罪也侵犯了他人的身份信息資料專有權和使用權。

基于以上分析,筆者認為,網絡釣魚行為是一種嚴重的違法犯罪行為,隨著計算機及網絡技術的日新月異,網絡釣魚的趨勢也會愈演愈烈。目前,在刑法的規制上,我國基本上還是一片空白,這就給防范和打擊網絡釣魚行為的實踐帶來了司法難題。因此,我們有必要在理論上和實踐中深入對網絡釣魚行為的研究,加強對相關問題的認識,使刑法可以適應這種由于信息技術進步而使社會生活關系所發生的變革。

注釋:

①②⑩陳玲.網絡釣魚與刑法規制.政治與法律.2008(8).第40頁,第44頁.

③尹琳.日本網絡釣魚的現狀與對策.顧肖榮.經濟刑法(7).上海社會科學院出版社.2008年版.第178頁.

④任傳倫,楊義先,馮朝輝.網絡釣魚攻擊的發展趨勢及法律對策考慮.網絡安全技術與應用.2007(6).第87頁.

⑤胡國平.關于四種計算機犯罪的認定.趙秉志.計算機與網絡犯罪專題整理.中國人民公安大學出版社.2007年版.第145頁.

⑥楊誠.身份犯罪立法的國際動態及其啟示.政治與法律.2008(8).第35頁.

⑦閔慶飛,季紹波,仲秋雁.身份盜用的發展及其治理和研究趨勢.公共管理學報.2007(1).第51頁.

⑧姜雯.美國的身份盜竊.2002年12月9日.檢察日報.

⑨陳為鋼,張少林.增設非法獲取、傳播身份信息罪初議.顧肖榮.經濟刑法(7).上海社會科學院出版社.2008年版.第158頁.

壽步.江民公司KV300軟件邏輯炸彈案.http://www.blogchina.com/new/display /806.html..2009年4月30日訪問.