淺析網絡釣魚犯罪行為

摘 要 網絡釣魚者竊取他人身份信息的行為，不僅對網絡用戶的個人信息隱私嚴重侵犯，而且也對公眾的財產乃至生命安全造成了非常大的威脅。與此同時，網絡釣魚行為也在很大程度上擾亂了互聯網正常運營的社會秩序。本文從網絡釣魚犯罪行為的特點出發，分析了網絡釣魚犯罪行為的定性與犯罪形態，以進一步論證將網絡釣魚犯罪行為納入刑法體系的必要性與可能性。

關鍵詞 網絡釣魚 犯罪形態 定罪量刑

作者簡介：劉永剛，湖北瑞通天元（仙桃）律師事務所律師，研究方向：刑事法律制度與司法實踐。

中圖分類號：D924.3 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2017.08.270

一、網絡釣魚犯罪行為的特點

當前我國網絡釣魚犯罪行為呈現出以下兩個方面的特點：一方面，犯罪形式多樣化和年輕化。國家互聯網應急中心聯合中國互聯網絡信息中心共同發布的《中國互聯網絡信息安全調查報告2015》顯示，2015年，超過百分之九十的互聯網用戶遇到網絡釣魚事件。在互聯網用戶中有51萬用戶遭受經濟損失，占互聯網用戶總數的16.9%。釣魚行為造成網民的損失已經達到182億元。由于互聯網和各種網絡終端的廣泛普及，無論是高科技人才還是普通民眾，不管其年齡的大與小，本著不同的目的，他們都可以成為網絡釣魚行為的主體。據統計，2014年至2016年，網絡釣魚行人中有92%的比例為80年后。出現這種狀況的主要原因是網絡釣魚行為分工越來越細化，各個環節的操作方法越來越簡單，成本也非常低，所以年輕人參與案件越來越多。垂釣者利用計算機網絡技術和多媒體技術，制作更加優雅、細致的網站等附加產品，輕而易舉的騙取他人的身份信息、財務等，而不需要投入大量的人力、財力、物力。犯罪的手段也呈現多樣化發展趨勢，比如偽造著名網站、虛假的郵件服務器、發送垃圾郵件、制造木馬網頁等。釣魚者的網絡欺詐，虛構的場景更接近事實，或者能夠更隱蔽掩蓋事實真相，所以受害者更容易受騙。

另一方面，犯罪活動的隱蔽性和潛伏性。網絡釣魚犯罪活動的行為主體具有隱蔽性。網絡釣魚攻擊者通過合法的網站將自己隱藏在其背后，或偽裝成網絡朋友，建立其和網絡用戶的信任，降低了他們的警惕，并通過木馬，網絡攻擊或者軟件漏洞等，在用戶絲毫沒有察覺的情況下偷走他們銀行賬戶和其他信息。一旦開始實施犯罪，需要的時間往往很短，有時需要的時間只是按下幾個按鍵，而且由于這類犯罪沒有特定的表現場所，所以基本上不可能有目擊證人，有時甚至犯罪活動就發生在你面前，不是很精通計算機網絡等專業知識的人也很難知道，因此非常具有隱蔽性和潛伏性。

二、網絡釣魚犯罪行為的定性

當前在我國刑法中，仍然缺少關于“網絡釣魚”犯罪行為的法規，至于網絡釣魚行為的定罪問題，法學界對其有不一致的看法。針對網絡釣魚行為的看法，主要有以下幾種：其一，網絡釣魚與破壞計算機信息系統。此種觀點認為垂釣者制作的釣魚網站把欺騙性的 IP 地址和 Web站點關聯起來，屬于入侵正規的網站。這種網絡釣魚行為應當認定為故意傳播、制作破壞性代碼，使得網站系統收到影響，從而無法正常運行，以構成破壞計算機信息系統犯罪事實。其二，網絡釣魚與非法攻擊計算機信息系統說。此種觀點認為“網絡釣魚”行為是多發性的，大量垃圾郵件通過網絡釣魚者而被發送，各種假冒網站也被網絡釣魚者通過各種方式發布，從而引誘互聯網用戶點擊其發送的網址或者郵件，讓受害者踏入釣魚者早已搭建好的陷阱。所以，網絡用戶在網絡中的個人信息甚至資金都可能因此被偷盜。這整個過程中，網絡戶卻毫不知曉，他們肆意侵入網絡用戶的計算機而沒有合法的借口。所以，此時的網絡釣魚行為就應證了非法侵入計算機信息系統罪這一學術觀點了。其三，網絡釣魚與非法獲取公民個人信息說。該觀點所持的理由是：在整個釣魚過程中，釣魚者采用欺騙互聯網用戶的方式主要是利用技術手段偽造各種虛假網站，互聯網用戶個人信息的泄漏是在釣魚者的指示下“自愿”透露的，但自己卻沒有察覺。釣魚者的這種行為已經構成了非法獲取公民個人信息罪。

（一）網絡釣魚不構成犯罪的行為

“網絡釣魚”行為不構成破壞計算機信息罪。我國刑法第 286 條對破壞計算機信息系統罪有明確的規定，通過分析法規，找出破壞計算機信息系統罪的組成要素，可以得出這種罪行是一個結果犯，其必要條件是一定要造成嚴重后果。然而后果是否嚴重的衡量標準是什么。其中有人持這樣的看法：以司法實踐角度出發，以下幾種情況可以認為屬于“后果嚴重”的范疇：

1.對系統存儲的應用程序、數據造成嚴重破壞，涉及的價值高、數額大的。

2.導致系統喪失部分或全部功能的。

3.對信息系統功能的修復耗時長、耗資大的。

4.對高尖端技術領域、國家相關事物管理等領域破壞造成重大損失的。

從表面上看，“網絡釣魚”行為符合破壞計算機信息系統罪的組成要素。而本質上來講，這些“網絡釣魚”行為僅僅是憑借這些五花八門的信息，仿照正規網站誤導、誘騙互聯網使用者，使得使用者泄露出自身的寶貴信息。但是網絡釣魚網站與跟網絡上的木馬病毒相比，又有一定不同點，這種行為有時不至于造成計算機系統的損壞，而使得其不能夠正常運行。所以說，網絡釣魚行為在這種情況下是不符合此學說的組成要素中對于“后果嚴重”的標準的。

（二）網絡釣魚構成犯罪的行為

1.“網絡釣魚”的行為與非法獲取公民個人信息罪。我國刑法對此罪有明確規定，其核心內容主要是指以不正當的方法非法獲取公民個人信息的行為。公民個人信息的具體解釋，我國法律條文沒有與之相關的明確的闡述。通常解釋為，公民的個人信息是和個人自身密切相關私人情況，銀行卡卡號與密碼、婚姻狀況、身份證號碼、家庭成員、教育背景、個人血型、個人基因信息等都屬于公民個人信息，對公民自身來說，這些信息一般都是非常的重要，同時個人是不希望外界知曉自身的信息。對于非法獲取公民個人信息罪的“其他方法”的認定，一般包括以下幾種手段：用暴力手段奪取，采取欺騙手段騙取，用金錢手段買賣等。公民個人信息罪的非法獲取被認為是一個結果犯，判斷其能否構成犯罪要依據《刑法》第 253 條規定的根據其“情節嚴重”狀況而定。至于如何認定其“情節嚴重”的程度，有觀點認為：“大量獲取公民個人信息是以獲取利益為目的的，或者是非法獲取公民個人信息后，牟利較多的，或者是存在其他情節嚴重的行為的可以被認定為情節嚴重。”

2.“網絡釣魚”行為符合非法獲取公民個人信息罪的組成要素。首先，釣魚者通過各種手段獲得的個人信息主要是身份證號、銀行卡號和密碼等重要信息，這滿足其對行為對象的基本要求。其次，為了成功欺騙網絡用戶，釣魚者通常采取各種技術手段，無論是利用了真實的網站的漏洞還是仿冒真實網站，這些行為都是網絡欺詐行為，網絡用戶在不知情的情況下被其欺騙了，并且“自愿”的把自身的私密信息透露給垂釣者。其實，這種騙取用戶的自身信息的行為還是利用欺詐手段，這與非法獲取公民個人信息罪中規定的客觀要求是一致的。通過先進的技術手段，“釣魚者”成功獲取了用戶的個人信息，在這個過程中，“網絡釣魚”者的本體行為雖然已經順利完成。因此，非法獲取公民個人信息罪中關于“情節嚴重”的認定的事實對其來說是非常符合的。

三、網絡釣魚行為的犯罪形態

網絡釣魚一般都是多人共同實施的，按照一般刑法原理對其定罪處罰即可，下面就一些特殊情況進行分析研究。

（一）共犯形態的認定

在以高科技（不含木馬、病毒攻擊）為主的網絡釣魚行為中，釣魚者很有可能與對方間形成共犯關系。在此種方法真正的核心在于釣魚者精心設計的釣魚網站，此釣魚網站的URL域名或者IP地址與真實的合法網站非常接近，極其容易混淆視聽。沒有專業知識的普通網絡用戶很容易就會相信眼前的釣魚網站是真實合法的官方網站。但是，互聯網經營者憑借其扎實的專業知識機能和嚴謹的防范心態會及時的發現這一異常的釣魚網站，這也為雙方的意思聯絡提供了時間。若網絡經營方明知網絡釣魚方發布虛假的網絡釣魚網站或虛假的廣告，其依舊默認網絡釣魚方在自己經營或管理的網站上散發虛假信息，此時，其應該被認定是網絡釣魚者的幫兇。

對于通常以技術攻擊（木馬、病毒攻擊）手段為主，其他技術手段與社會工程學為輔的手法，完成網絡釣魚犯罪的情況下，一般釣魚者也很難和其形成共犯關系。因為其間不存在共同犯罪故意的意思聯絡。在此種情況下，互聯網經營者往往是被木馬、病毒攻擊的對象，其與釣魚者正好處于對立的位置。網絡釣魚行為也只能在互聯網經營者并不知曉的情況下才得以施行，一旦經營者發現自己被攻擊，便會立即采取應對和防御措施，釣魚行為也就難以順利進展了。此種情況下，雙方敵對，根本不會有理由和機會進行犯意聯絡了，也就不存在共同犯罪這一說法了（互聯網經營者方因事前與釣魚者進行溝通而故意被攻擊的情況除外）。如果第三方結算者在已然明知此次交易的對手是具有欺詐行為的網絡釣魚實施方的情況下，仍然直接或者間接的將信息或者財務交付給網絡釣魚者，又或者為網絡釣魚的行為放提供相關的財務服務等，此時則應當認定第三方結算者與網絡釣魚者構成共犯關系。

（二）罪數形態的認定

網絡釣魚行為不是千篇一律的，有些時候在不同的情況下，其本體行為與后續行為可能其觸犯的不只是一個罪名。此時筆者認為，應當依照數罪形態理論進行分析和認定。

1.構成牽連犯時的情況。構成牽連犯存在一個前提條件，即行為人必須存在兩個以上對客體的侵害行為。若行為人只實行了一個危害行為，則不存在具有牽連關系的行為。在網絡釣魚的問題上筆者認為，如果網絡釣魚的本體和其隨后的行為是同一行為目的與手段的關系，那么此種情況下網絡釣魚的行為人構成牽連犯，應當從一重罪處斷。例如，網絡釣魚的本體行為觸犯非法提供信用卡信息罪及其，后續行為觸犯《刑法》第264條盜竊罪，則網絡釣魚的行為人應受到盜竊罪這一法條的規制。此外，人體行為釣魚計算機信息系統的破壞，獲得網絡用戶值得探討的行為信息的剝削。計算機信息系統的破壞，以獲取網絡用戶信息，以獲得破壞行為的目的信息的行為被認定為牽連犯后；計算機信息系統的網絡用戶行為和釣魚獲得信息的行為破壞。此時，兩者的主要部分重復，應當認定為網絡釣魚行為者只實施了一個行為，則其應當以想象競合犯論處。

2.構成想象競合犯時的情況。通過多項指控犯下的行為是無法充分評估的關系應該是構成該罪行的各種行為之間沒有重疊，即行為侵犯，這是想象競合犯罪的犯罪區分犯罪的基本特征的物質，犯罪的實數，并同意的條款。具有刑事犯罪數量之間的關系一致，并與所犯同意這種法律形式的條款一致。在網絡釣魚的問題上，釣魚者先破壞計算機的系統，再植入網絡釣魚木馬來盜取用戶的個人信息，這是兩個獨立的行為，此時應當按照牽連犯來定罪量刑；在網絡釣魚過程中，木馬被植入的過程中，便是兩個重疊的行為的主要部分，如果計算機系統行為的破壞，應該想象競爭壓犯的處理，此時應當從一重罪處罰。

參考文獻：

[1]皮勇.網絡犯罪比較研究.中國人民公安大學出版社.2005.

[2]徐湧捷.網絡盜竊犯罪研究.華東政法大學學報.2007（8）.

[3]陳玲.網絡釣魚與刑法規制.政治與法律.2008（8）.

[4]陳睿.網絡釣魚犯罪分析.網絡安全技術與應用.2005（8）.

[5]高銘暄、馬克昌.刑法學.北京大學出版社.2000.