提供動態IP服務的行為定性

門美子

一、秒撥動態IP概述

（一）IP判定安全策略基本原理

IP，Internet Protocol Address的簡稱，即網絡協議使用的地址。IP地址由網絡ID和主機ID組成，網絡中兩臺主機相互通信時，先按照網絡ID查找目標主機所在的網絡，將數據傳到該網絡，之后再按照主機ID找到目標主機，將數據傳送到該主機。[1]由此，IP地址可用來標識互聯網上計算機的邏輯地址，每個Internet 包都必須帶有IP 地址，每臺聯網計算機都依靠IP 地址來標識自己，根據IP地址能夠定位計算機的位置。目前廣泛應用的IP版本為IPV4，由于IP資源有限，我國運營商實際上采取的是隨機分配IP的技術。在用戶通過電腦或路由器等終端發送寬帶連接請求時，服務提供商從寬帶接入服務器事先配置好的IP地址池中隨機（或按照一定的規則）為用戶分配一個空閑的IP地址。那么，在該次連接中，用戶將固定使用被分配的IP。由此，IP地址在應用中，可判斷計算機設備的物理位置，并識別特定的計算機設備，而這也構成了互聯網行業賬號體系設定IP判定安全策略的基本邏輯。

IP判定安全策略是指基于互聯網安全防護的目的，根據上述IP原理所采取的安全技術措施。舉實際的應用場景來說。

例1：防止侵犯公民個人信息的批量登錄行為

某社交軟件，為防止不法人員在獲取公民信息后“曬密撞庫”并進一步實施電信網絡詐騙，社交軟件使用限定社交賬號異地登錄需短信驗證的安全策略（即根據IP發現異地登錄后向綁定手機發送下行短信并要求登錄者填錄短信內容以實現身份驗證），同時限定同一IP在10秒內只能請求一次登錄驗密行為。本例的防范原理在于，首先根據IP能夠判斷登錄設備的地理位置，由此可以確定設備正在進行異地登錄，而用戶改變日常習慣登錄地點有可能系被他人非法登錄，因此通過IP策略識別出異地登錄后，計算機系統會啟動更嚴格的安全策略，譬如要求進行短信驗證。

同時，之所以要求同一IP10秒內只能請求一次登錄驗密行為，是因為這符合人類思考及輸入密碼的正常時長，而不法分子在掌握公民信息進行登錄時，一般采取的是批量機器登錄，其輸入速度與人類正常登錄行為明顯有異（用戶正常登錄不可能由機器批量實施）。由此，基于IP識別特定計算機設備的原理及10秒內只能進行一次登錄的安全策略，即可拒絕掉來自機器的秒級快速登錄，從而拒絕掉不法分子的非法登錄行為。

例2：防止非正常的獲利行為

當今的電商平臺經常會通過發放優惠券或進行小額返利等方式開展促銷。電商平臺提供優惠卡券是為了鼓勵經營活動，但部分行為人將優惠卡券作為牟利途徑，通過機器批量獲取的方式，在短時間內大量獲取優惠券，再高價倒賣給需要優惠券的用戶賺取差價利潤，這部分不以正常消費為目的，而以“積少成多”或倒賣牟取利益的行為，被生動地稱為“薅羊毛”。為防止“薅羊毛”群體惡意刷券，電商系統會限定同一IP僅能參加一次領券活動，即利用IP策略識別特定計算機設備的原理，確定了同一設備，并規定同一設備只能領取一次卡券的策略。

除上述兩個具體案例場景之外，根據IP識別設備和確定位置的原理，還有很多場景涉及到IP判定策略。譬如，例3，視頻平臺約定版權授權僅限大陸地區，為保護知識產權，限定注冊和登錄為中國境內IP的帳號，才可訪問內容，對于非中國大陸地區的IP拒絕其登錄行為。再如，大量網站為防止他人利用爬蟲技術批量“搬運”網絡內容，基于利用爬蟲批量讀取數據速度的明顯差異（譬如正常人讀取網頁內容需要一定時間，而利用爬蟲技術爬取則是秒級速度），從而識別和拒絕爬蟲的爬取行為。

（二）IP判定策略的突破：秒撥動態IP服務

針對網絡系統提供的IP判定的安全策略，突破該策略的技術也應運而生，即秒撥動態IP服務。通過研究秒撥動態IP服務的技術原理可以發現，行為人是以Ros軟路由、RADIUS認證服務器搭建“秒撥”動態IP集群，整合全國各地的ADSL動態IP、服務器線路、云主機靜態IP和國際互聯網鏈路，將多種網絡IP資源捆綁集成提供給用戶使用。由此，使用人員可以實現以下兩方面的功能。

其一，隱藏真實IP，獲得與設備實際位置不同的IP。這不僅使得前述例1、例3的異地登錄啟動更高安全等級策略和限定服務區域等特定功能失效，而且使得網絡行為的倒查機制失效。譬如，行為人實施互聯網流量攻擊，被攻擊方防火墻能夠記錄攻擊源的IP，如果該IP系真實的，即可回溯倒查到行為人（通過倒查IP位置結合網絡接入登記、實際使用人證據等）從而發現案件事實；但如果現防火墻顯示IP是行為人利用了他人提供的動態IP服務而來的，則顯然無法通過防火墻的記錄倒查到真正的行為人。

其二，秒級變換IP，使得全部基于“同一IP”的安全策略徹底失效。如前所述，基于該原理的安全策略是通過識別同一IP所指向的單一設備的讀取速度、登錄速度來拒絕該類行為的，而如果行為人使用的IP發生了變化，基于同一IP限制快速登錄、快速讀取的策略顯然就“無用武之地”了。

應該說，網絡中使用的IP判定策略，是從賬號安全、數據安全的角度出發的，而且通過IP確定位置倒查網絡行為，在促進網絡行為合規以及預防、偵查刑事犯罪方面也是具有重要意義的。而秒撥動態IP服務，使得上述IP判定策略全部落空，屬于突破計算機信息系統安全保護措施的行為。在實踐中，大量秒撥動態IP被用于網絡犯罪，或失范行為，在查處網絡犯罪時可以發現秒撥動態IP已經成為犯罪的常用工具，而提供該種經營服務的人員則獲取大量暴利。然而，對于經營秒撥動態IP服務的行為性質，實務界卻始終未得到一致結論。

二、關于秒撥動態IP服務的經營活動性質

如前所述，IP地址是網絡連接中的一環，秒撥動態IP服務的經營者向用戶提供該種服務，與提供網絡服務密切相關，而網絡服務本身在我國屬于電信業務之中的一種，故有必要在經營電信業務范圍內加以討論。在這里需要討論兩個層面的問題，第一，提供秒撥動態IP業務是否屬于經營電信業務；第二，未經許可經營該種電信業務，是否能夠認定為非法經營罪。

（一）提供秒撥動態IP業務是否屬于經營電信業務

電信業務的種類和范圍，要求諸于《電信業務分類目錄（2015年版）》（以下簡稱《電信業務目錄》）。《電信業務目錄》B14（B表示電信增值業務）項目規定了“互聯網接入服務業務”，“互聯網接入服務業務是指，利用接入服務器和相應的軟硬件資源建立業務節點，并利用公用通信基礎設施將業務節點與互聯網骨干網相連接，為各類用戶提供接入互聯網的服務。用戶可以利用公用通信網或其他接入手段連接到其業務節點，并通過該節點接入互聯網”。

而秒撥動態IP服務的技術原理恰恰是，行為人搭建“秒撥”動態IP集群，整合各種線路，將多種網絡IP資源捆綁集成提供給用戶使用。從表面上看，行為人提供的只是IP地址，但從實質上看，行為人是向用戶提供了該用戶本來無法接入的多條線路連接（本來只能接入一條，且無法接入不屬于自己所在地理位置的線路）。當然，客觀來說，該種行為與提供“從無到有”的互聯網服務的“黑接入”存在不同，用戶固然原本就擁有互聯網服務的線路連接，但是行為人提供的動態IP秒撥服務，使得用戶能夠連接上更多本來無法連接的，且僅應由運營商提供的線路，因此可以理解為提供了一種“從有到多”的互聯網接入服務。在此基礎上，該種業務類型符合《電信業務目錄》B14列舉的互聯網接入的電信增值業務。

（二）未經許可經營該種電信業務，是否能夠認定為非法經營罪

對于該種未經許可擅自經營電信業務的行為，在達到一定數額和損害程度時，能否以非法經營罪評價認定。實際上，根據《中華人民共和國電信條例》第7條的規定，“國家對電信業務經營按照電信業務分類，實行許可制度。經營電信業務，必須依照本條例的規定取得國務院信息產業主管部門或者省、自治區、直轄市電信管理機構頒發的電信業務經營許可證。未取得電信業務經營許可證，任何組織或者個人不得從事電信業務經營活動。”從該條文的表述來看，電信業務屬于專營業務，未經許可不得由他人經營。

然而，另一方面，在刑法體系中非法經營罪法律條文及司法解釋涉及電信業務的，主要是2000年最高人民法院《關于審理擾亂電信市場管理秩序案件具體應用法律若干問題的解釋》（以下簡稱《2000年電信市場解釋》）、2002年最高人民檢察院《關于非法經營國際或港澳臺地區電信業務行為法律適用問題的批復》（以下簡稱《2002年電信業務批復》）和2003年“兩高一部”《辦理非法經營國際電信業務犯罪案件聯系會議紀要》（以下簡稱《2003年電信業務紀要》）三個文件。而三個文件主要規制的內容都是國際電信業務，而未明確涉及經營其他電信業務的行為性質認定問題。而且，根據三個文件的規定，對違反國家規定，采取租用國際專線、私設轉接設備或者其他方法，擅自經營國際電信業務或者涉港澳臺電信業務進行營利活動，擾亂電信市場管理秩序，情節嚴重的，均系按照《刑法》第225條第4項的規定認定的非法經營罪，而并非根據第1項專營業務認定。由此，不得不讓人產生疑問：行為人未經授權經營除“國際電信業務”之外的其他電信業務，是否能夠認定非法經營罪，如果能認定的話，是根據第1項認定專營業務，還是根據第4項的“其他”的兜底條款認定？

對于上述問題的前半段，司法實踐存在部分肯定回答。從裁判文書網上能夠查詢到的公開生效判決來看，除國際電信業務之外，尚還有其他為數不少的經營電信業務被認定非法經營罪的案例。譬如“黑接入”案例（既有按照第1項認定的，也有按照第4項認定的）、擅自經營網吧案例、群發短信案例、提供經營性互聯網接入服務案例等。同時，值得關注的是，實踐中已有將提供秒撥動態IP的經營活動認定為非法經營罪的生效判決。

譬如，楊某某非法經營案[（2015）榮刑初字第72號]。基本事實：被告人楊某某自2013年6月以來，在未取得《電信增值業務許可證》的情況下，兩次通過自貢市某通訊有限公司的被告人劉某甲、范某某取得了30個寬帶賬號，被告人劉某甲、范某某利用工作的職務之便將該30個客戶的寬帶賬號解除綁定，按每個賬號設置10至50不等的連接數，供被告人楊某某在淘寶網開設的名為“思源網絡科技”網店上出租，被告人楊某某利用在其家中私設的服務器為用戶提供動態IP上網服務（VPS服務），每月收取租金，非法經營數額達12.9萬元，獲利10萬余元。法院認定“被告人楊某某違反國家法律規定，在未取得經營許可的情況下，私自經營電信增值業務，為用戶提供VPS服務，擾亂電信市場，情節嚴重，其行為已構成非法經營罪”（法律依據為《刑法》第225條第4項）。

綜上，提供秒撥動態IP業務能否被認定為非法經營罪，需要解決上述兩個層面的問題，但上述兩個問題似乎都并未達到意見一致的程度。尤其是，觀察目前的司法實踐，為了防止非法經營罪成為“口袋罪”從而導致被濫用的風險，目前幾乎所有人都承認非法經營罪的適用走向了逐漸收緊的狀態。但在這里有必要強調的是，非法經營罪的適用，既要防止濫用風險，也要防止反過來因為要收緊所以普遍不愿認定、不敢認定的傾向。因為只要該罪還沒有被廢除，那么評價某種行為是否構成該罪的判斷標準就是構成要件是否符合。即，如果從構成要件分析（當然從階層論角度講，還要符合違法和有責兩個層面）行為人行為符合非法經營罪，就不能僅僅以“非法經營罪在收緊”而否定入罪。

可以發現，上述的分析是基于將“提供秒撥動態IP”經營活動作為單獨的一個行為進行評價的路徑。而與此相對的另一種路徑是，將其與下游用戶的行為，結合起來一并觀察。這種觀察路徑，將問題引導到了網絡犯罪的討論范圍之內。

三、關于秒撥動態IP服務提供網絡犯罪幫助的性質

從前文分析可以發現，提供秒撥動態IP主要是為了提供下游使用，起到隱藏真實IP和秒級變化IP的作用。而隱藏真實IP和秒級變化IP時常與網絡犯罪密切相關，由此引發了關于提供秒撥動態IP能否認定《刑法》第285條至第287條的計算機和網絡犯罪的思考。

（一）關于《刑法》第285條第3款的提供侵入、非法控制計算機信息系統的程序、工具罪

秒撥動態IP服務提供了線路控制客戶端供用戶使用，提供的功能包括IP的“自動切換”、“秒級切換”、“斷線重撥”、清理COOKIES緩存、虛擬網卡等，從而實現突破IP安全策略的功能。然而，《刑法》第285條第3款規定的程序、工具限于提供“侵入、非法控制計算機信息系統”功能，而動態IP服務難以認定提供上述功能。即便是經營者提供的秒撥客戶端，其作用主要是代替人工實現重新撥號從而更換IP的功能，與人工的差別僅在于其因屬于機器完成而可以達到極高的速度，直至秒級撥號。由此以該罪認定恐存障礙。

（二）關于認定幫助信息網絡犯罪活動罪

秒撥動態IP很多情況下是與網絡犯罪共同出現的。譬如，在發現刷單團伙時，往往會發現行為人使用了秒撥動態IP服務，并由此回溯到提供秒撥動態IP服務的行為人。除了在認定共同犯罪的場合，就出現了上游行為人行為性質認定的問題。

關于幫助信息網絡犯罪活動罪的犯罪性質，尤其是上下游之間的關系，理論界及實務界始終莫衷一是。大部分實務人員及筆者傾向認為，罪狀中的“利用信息網絡實施犯罪”原則上要求下游行為構成犯罪，但特殊情況下，在行為滿足構成要件而僅僅是罪量未達到追訴標準的情況下也可認定。譬如下游100個人每個人利用上游提供的幫助詐騙了1000元，雖然下游每個人都不構成詐騙罪，但是上游因為實施了“一對多”的幫助行為，而且其作用及危害甚至重于下游正犯，故上游行為也可能構成幫助信息網絡犯罪活動罪。

從客觀上說，行為人提供了秒撥動態IP服務，確實能夠幫助下游行為人實施至少下列行為：其一，利用掌握的海量公民賬戶密碼等公民信息實施批量登錄行為（俗稱撞庫、曬密），該行為系直接侵犯公民個人信息的行為；其二，采取“爬蟲”技術批量獲取數據行為，互聯網公司為了防止被他人爬取數據的行為，幾乎均采取了IP判斷策略以識別非人類的瀏覽行為，由此利用“爬蟲”技術批量獲取數據就需要不斷變化IP；其三，刷單、刷量行為，由于刷單所需要的反復點擊行為也會基于IP判定策略而無法進行，故動態IP也是刷單、刷量行業的常用手段；其四，“薅羊毛”行為；其五，全部需要對抗互聯網共同IP判定安全策略的行為。

通過對前述秒撥動態IP下游行為的分析可以發現，利用秒撥動態IP的下游行為并非均是構成要件該當的行為，至少部分行為是否構成犯罪在當下還是存在較大爭議的。譬如下游行為人借助秒撥動態IP使用爬蟲爬取數據，在實踐中并非能夠一概而論地認定非法獲取計算機信息系統數據罪，大量的爬蟲行為不被作為犯罪，甚至沒有被作為侵權行為看待。再如薅羊毛行為，也難以一概而論地認定為犯罪行為。

下游行為的性質，不僅影響了客觀的構成，在判斷行為人主觀明知方面也存在影響。而幫助信息網絡犯罪活動罪的主觀明知，又是認定該罪的最主要困難。當前的網絡犯罪具有鏈條化、產業化的特點，且摒棄了過去“一對一”的聯絡幫助方式，故發現和取得行為人之間共謀的證據是相當困難的。因此，關于幫助信息網絡犯罪活動罪主觀明知，實務界通常采取推定的方法予以認定。譬如，有實務專家提出“具有下列情形之一，行為人不能作出合理解釋的，可以認定其明知他人利用信息網絡實施犯罪，但是有證據證明確屬被蒙騙的除外：經監管部門告知后仍然實施有關行為的；接到舉報后不履行法定管理職責的；收取費用明顯異常的；從事專門用于違法犯罪的活動或者提供專門用于違法犯罪活動的程序、工具的；以及其他特殊情形，如避開監管措施等”。上述情形中，“從事專門用于違法犯罪的活動或者提供專門用于違法犯罪活動的程序、工具的”，在理解上可以認為“如替人開卡、取錢、收購身份證、銀行卡等服務）和專門用于違法犯罪活動的程序、工具（如仿冒銀行、執法部門網站制作釣魚網站），這些活動或者程序、工具并非社會正常活動所需，而是只能為違法犯罪活動提供幫助的專門服務，故相關從業人員對其服務對象系可能涉嫌犯罪主觀上實際是明知的， 應當將此種情形推定為主觀明知”[2]。上述觀點的確提供了一般情況下主觀明知的推定依據，但在秒撥動態IP的討論場合，仍有部分具體問題需要討論。

應該承認的是，“正常生活所需”和“利用信息網絡實施的犯罪”之間不是非此即彼的關系，事實上實踐中大量存在著既不是“正常生活所需”，但也不是“犯罪”行為的“灰色地帶”。譬如，前文所述的“薅羊毛”及與其性質類似的各種網絡灰色活動。顯然，電商的優惠卡券和小額返利是基于促銷目的，初衷絕不是為了讓少量人員大量囤積積累獲利，或轉手倒賣差價牟利。由此，薅羊毛絕非“正常生活所需”，但目前而言，該種行為又難以被沒有爭議地認定為犯罪。從正面的邏輯判斷，秒撥動態IP服務提供的隱藏真實IP，及秒級變換IP，無論如何都很難將其理解為一種正常生活所需行為。而且之所以需要秒撥動態IP，就是為了針對互聯網系統本身的IP判定的安全策略，為“突破安全策略”而提供和使用的服務，很難理解為是正常生活所需。然而幫助信息網絡犯罪活動罪下游確實存在難以被評價為犯罪的行為，無法作出“秒撥動態IP只能用于犯罪”的結論，由此也就不能作出行為人必定明知他人實施網絡犯罪的推定結論。

綜上，提供秒撥動態IP服務，確是為了對抗互聯網系統的IP判定策略，但使用其服務的，既可能是網絡犯罪行為，也可能是其他不滿足犯罪構成要件的行為，從而在主觀上也無法推定提供服務的人必定明知下游從事網絡犯罪活動。故，提供秒撥動態IP服務的人主觀明知問題，以及最終能否認定幫助信息網絡犯罪活動罪的問題，仍需要在個案中結合證據進行具體認定或推定。

注釋：

[1]參見劉浩然：《網絡犯罪偵查》，清華大學出版社2016年版，第72頁。

[2]參見喻海松：《網絡犯罪的立法擴張與司法適用》，載《法律適用》2016年9月。