電信網絡詐騙“黑產”鏈中的個人信息侵犯及規制
——以“兩卡”犯罪幫助行為為切入點

黃 成，孔 堯

（北京市朝陽區人民檢察院，北京 100025）

一、電信網絡詐騙的產業化及其對個人信息安全的威脅

電信網絡詐騙是我國非法利用互聯網犯罪活動中由來已久、也具極大社會危害性的一種犯罪形式，是諸多形式詐騙犯罪中打擊難度較大的一種。此類犯罪從2000年后由臺灣引入我國東南沿海地區，其突出特點之一，就是以地域性職業化為基礎、實現了“犯罪產業化”：電信網絡詐騙由犯罪集團為主導的詐騙活動，分離成了多個團體的犯罪活動，形成一個互為基礎、相互依存的上下游鏈條關系[1]。可以認為，“電信網絡詐騙”作為一種不法活動，在現實角度上看已不能再被視為單純的財產犯罪，而是關涉多種罪名的復雜犯罪系統，“信息網絡犯罪活動分工細化，逐步形成由各個作案環節構成的利益鏈條，甚至‘流水線’式作業，從而導致信息犯罪日益泛濫，已是不爭的事實”[2]。這種共生鏈條所涉及的法益危害自然也超出了單純的公民財產權益；在由電信網絡詐騙所帶動的諸多類型上游犯罪活動中，包含著對公民個人信息安全的威脅。而隨著此類犯罪在專項打擊下擴展到全國各地，原本基于地域性犯罪產業而聯系在一起的犯罪鏈條隨之進一步分散化。而在今日的上游產業與下游詐騙團伙間，不一定需要人員的直接對接，甚至可能不存在明確的詐騙共謀，而在上游環節內部也出現了進一步的分工分層，總體而言具有了更強的獨立性（但其作為產業鏈的相互依存并未消失）。在這種背景下，要實現對電信網絡詐騙的有效治理，需要更清楚的罪名適用來完整打擊這一日趨復雜化的全部環節。

在電信網絡詐騙的“產業鏈條”中，對公民個人信息的非法獲取和利用是詐騙活動上游環節里的突出一環。信息網絡的發展使得詐騙犯罪不需要物理接觸被害人同樣能實施既遂，但反過來也使得此類犯罪對個人信息的利用產生了更大依賴。因此，對公民個人信息的獲取是電信網絡詐騙中始終存在的重要主題，信息本身不能直接為詐騙團伙謀得不法利益，但對其實施犯罪有著重要幫助作用。根據《網絡安全法》《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑案解釋》）之定義，法律上所言之個人信息，其本質功能在于能夠識別出特定自然人之身份，或是反映其活動情況[3]。在上游環節非法獲取公民個人信息，而后在詐騙實施中作為鎖定被害人及設計騙局的基礎材料，這是電信網絡詐騙中為提高詐騙成功率而經常采用的做法，也是此類犯罪與個人信息侵害最典型的關聯方式。例如，在網絡購物類詐騙中，通過獲取公民的網絡購物賬戶信息，冒充商家向其聲稱所購產品存在質量問題，為其提供退款服務；或者獲取公民照片、信用卡信息后，冒充國家機關工作人員要求被害人協助調查，過程中向其展示虛假的“銀行凍結通知”“通緝令”，恐嚇被害人。由于詐騙團伙確實能夠向其提供真實個人信息，其騙局也具備了更強的迷惑性。此類典型應用，可是詐騙犯罪實施者對個人信息識別功能的正向利用。

另外，詐騙犯罪的實施者也會反向利用手中信息的識別功能，通過冒用身份來繞過現有的反詐防控，這一點對當前的網信詐騙來說可謂更加的“關鍵”。對公安機關及電信、金融機構的嚴加防范，采取一定的身份冒用繞過監管，是此類犯罪實施得逞、逃避打擊的必備要件。負責完成這一環節的詐騙上游產業，即對實名制電話卡、銀行卡這兩類實名卡的非法開辦及販賣活動。當前我國公安機關已將此二類非法開辦、販賣實名卡的行為合并簡稱為“兩卡”行為，并有針對性地開始進行專項打擊。“兩卡”行為雖以實名卡的實物為客體，但在電信網絡詐騙實施過程中，不僅會利用實名卡原有的通信或金融支付功能，與號碼、賬戶實名綁定的個人信息也會發揮重要的犯罪幫助作用：詐騙團伙在呼叫、收款時，往往使用由他人開辦的實名卡，以此隱瞞自己的身份，在本應實名運作的系統中實現了匿名活動。這種做法實質上是一種對自然人身份的冒用，是將他人身份信息用作逃避偵查打擊的工具。此外，虛假的個人身份信息還可用于規避技術性反詐手段中：只要詐騙團伙同時持有多份個人信息、彼此配合，即使其號碼被查封、禁用，也可繼續利用其他虛假身份實施犯罪。正因為這種由個人信息冒用帶來的變相匿名性，“兩卡”非法供應鏈成為了今日我國電信網絡詐騙高發的重要根源。

基于上述方面的因素，今日的電信網絡詐騙在實施上已經和非法利用公民個人信息密切綁定在了一起，其對個人信息不法利用的廣度、深度也隨此類犯罪產業擴散全國而不斷增大。保護個人信息、規范個人信息的應用，不能與針對網絡信息詐騙的治理分割開來。此外，幫助行為對犯罪實施的作用在網絡時代日漸重要，甚至一定程度上“已經逐漸占據了主導地位，開始突破幫助行為在犯罪中的從屬地位，并主導犯罪和引領犯罪”[4]。打擊此類幫助活動，對防治電信網絡詐騙而言是具有極高優先性的工作任務，也是一個極為有效的著力點。

二、涉個人信息犯罪幫助的治理難題：打擊“兩卡”中的規范適用疑難

由于電信網絡詐騙對個人信息的不法利用方式不止一種，要對此類上游犯罪產業進行刑法的規制，自然需要考慮適用到多個不同罪名。我國刑法對個人信息相關犯罪加大關注，部分原因就是詐騙犯罪的高發——正因為非法提供、獲取公民個人信息可謂電信、網絡詐騙之根源，2015年《刑法修正案（九）》才在既有的個人信息犯罪基礎上，修正設立了侵犯公民個人信息罪，并在原有基礎上擴大其主體范圍，提高了法定刑[5]。為犯罪團伙非法提供各類個人信息、用以鎖定被害人，是電信網絡詐騙活動中侵害個人信息的最典型形式，如此明知他人實施犯罪而向其提供個人信息的行為，已在《個人信息刑案解釋》被明確列舉為“情節嚴重”情形之一。因此，對非法提供個人信息、供詐騙分子使用的上游犯罪行為，刑法已經充分地將其納入到規制范圍當中，可以徑直適用侵犯公民個人信息罪來加以制裁，在此沒有教義學意義上的刑法適用疑難。

然而對于“兩卡”類行為而言，雖然同樣涉及對個人信息的不法利用，卻不能簡單地予以相同途徑規制。由于侵犯公民個人信息罪屬于刑法分則第四章“侵犯公民人身、財產權利”罪名之列，故此罪名所要保護的法益應在公民人身權利或民主權利范疇之內[6]。“兩卡”行為與前述典型的個人信息侵害存在重要不同：其實施者均為自愿參與提供實名卡，而如果其對個人信息的處分屬自愿行為，那么將很難認為其個人權利受到了侵害（或者說，這種侵害因當事人自身的認可變得不值得刑法介入）。由于電話卡、信用卡本身在信息載體外還具備特定功能，此類行為一般也牽涉到了對其他類型法益的侵犯。在此“一行為侵害了數個法益，非刑法某一罪名單獨適用可以完整涵蓋”[7]，也即存在犯罪的想象競合。首先，為他人提供信用卡信息、持有他人信用卡的行為本身也擾亂了金融管理秩序，可以構成非法提供信息卡信息罪或妨害信用卡管理罪，前者甚至可視為對個人信息在金融領域的專門刑法保護。同時，這種供卡行為對犯罪的幫助性確鑿無疑，因此無論開辦的是何種實名卡，只要行為人在明知心態下將其提供給網絡詐騙或其他犯罪團伙，都可能構成幫助信息網絡犯罪活動罪。

然而隨電信網絡詐騙活動在全國范圍內的擴散，“兩卡”行為的實施方式也隨之發生了相當的改變，有必要重新從實務細節上審視其規制問題。如前文所述，電信網絡詐騙在我國始于地域性產業，隨專項打擊力度的增強，在近年來逐步擴散到全國。這種全國擴散的重要表現之一，便是其產業鏈愈發彌散化：雖然在組織性上有所下降，但依賴于網絡通訊及物流服務，其參與人數、涉案規模、分工程度反而有所提升，逐步發展為“一對多”甚至“多對多”的非法交易網絡。

當前實務中處置的“兩卡”類違法行為，基本都呈現出此種合作松散的多層級結構。詐騙團伙實施電信網絡詐騙，不再需要安排專人直接辦卡，而是通過供應商通過供貨渠道批量收賣犯罪用卡，而維系這些渠道的正是職業化的“兩卡”倒賣人，此類群體正是當前“兩卡”犯罪產業的主要參與者。倒賣人一般以發布廣告等形式招攬辦卡人，將其組織起來開辦實名卡、并收購倒賣。多次交易后，倒賣人往往還會繼續在開卡人中發展出“帶隊人”，由后者負責組織具體的辦卡指揮和接頭收卡活動。一個“帶隊人”可以與多名倒賣人合作，倒賣人之間也可能存在多層倒賣、多方售卡的關系。從實際辦卡人開辦實名卡，到詐騙分子最終利用其實施犯罪，中間可能存在三層、乃至更多層級的轉手交易，如此儼然形成了一個規模化的非法市場。

在現有的相關規范框架下，這種結構彌散化讓一部分“兩卡”活動的刑法規制遭受了意外難題。由于不法活動在整個鏈條上化整為零，即使能明確個別參與人的行為具有相當違法性，也難以在現有規范中找到衡量其情節嚴重性的認定規則，導致其不法行為能否入罪在實務上存疑。這一問題集中體現在針對幫助信息網絡犯罪活動罪的法律適用上，特別是針對實名手機卡的倒賣活動。在兩高法釋〔2019〕15號第十二條的規定中，分別從幫助對象數量、違法所得、支付結算金額等六個方面規定了幫助信息網絡犯罪活動罪情節嚴重的認定標準，在“兩卡”案件的實務處置中，就此規范可能出現難于適用的情形。首先，對“兩卡”活動而言，查證幫助對象的數量存在極大困難：電信詐騙的打擊難點之一就是犯罪者往往身處臺灣或境外，無從查獲犯罪人的所在，而“兩卡”產業鏈條的高度分散化，更使得售卡者本人無從掌握實名卡的具體去向。經層層轉手倒賣之后，司法機關只能確證相關實名卡最終被用于犯罪當中，卻無法掌握具體的幫助對象身份，更無法確認其數量的多少。其次，當前司法解釋以違法所得一萬元作為入罪門檻，但對于“兩卡”交易而言，這種違法所得不僅在查證上有難度，更時常與其危害程度不成正比。居間從事“兩卡”活動者往往多頭交易、零散銷售，單張、單筆交易收益極低，轉手實名電話卡的單張交易價格不過數十元，銀行卡不過數百元，要達到總計一萬元以上的標準，需要能確證單個不法交易人總計提供實名卡達到數百張之多。如此大的數量要求不僅查證難，也遠超出了下游犯罪活動對工具幫助的需求——從實務上看，一個詐騙團伙只需掌握十余張實名卡，便足以成功實施多起犯罪；上游供卡者違法所得不過數千元時，其下游關聯詐騙往往已造成多名被害人受騙，總計金額可達數十萬元。相比以上幾種條件，以幫助支付結算金額二十萬元來界定幫助情節是否嚴重，是比較能合理衡量行為危害程度，且易于查證的認定標準；但此類標準僅針對涉及販賣銀行卡的幫助行為，對同屬實名卡的電話卡倒賣完全無法適用。

對倒賣過程涉及銀行卡的行為人，即使無法適用幫助信息網絡犯罪活動罪，也可另行考慮妨害信用卡管理類犯罪來予以規制，但對于針對手機卡的倒賣活動，并不存在同等嚴密的防范。電信市場的實名制管理制度，目前更多是針對服務運營商適用的行政管理方法，尚無法律法規將其上升為全社會都應盡力維護的強制性規范，當前上升到刑事層面來施以打擊，更多是防止關聯網絡犯罪的需要，所強調的并非其電信領域要素或個人信息要素，而是其犯罪幫助作用。由此，對于“兩卡”活動來說，如果將罪名適用的視野僅僅停留在幫助信息網絡犯罪活動罪或是妨害信用卡管理犯罪上，勢必會造成大量以販賣手機卡形式提供幫助的行為人逃出法網，這與嚴密打擊電信網絡詐騙犯罪的刑事政策是相悖的。

三、對“兩卡”活動個人信息侵害性的分析——以侵害公民個人信息罪化解適用難題

“兩卡”活動以實物為主要客體，但因其目的是使所開辦的實名卡能夠為詐騙分子順利使用，故在對實物的交易之外，總是附隨有對相關個人信息的轉移。因此，無論是針對手機卡還是銀行卡的非法開辦，都會關涉到對個人信息的提供和利用行為。二者的區別在于：針對銀行卡信息的提供本身即構成經濟犯罪，針對手機卡信息的提供卻沒有專門的罪名來對應，若排除其中對公民個人信息的侵害性，就只能從其幫助其他犯罪的角度來加以制裁。正如前文所述，若把現行司法解釋下的幫助信息網絡犯罪活動罪適用于手機卡開辦行為，可能會造成一部分倒賣人逃脫于法網外。在此為保證打擊的全面有效，有必要跳出其作為幫助犯罪的視角，回到個人信息的要素上；而“兩卡”活動的分層化運作，也使此類活動中潛藏的個人信息侵犯性凸顯了出來。

和針對被害人的非法獲取信息不同，用于實名卡的個人信息，一般都是由受雇于犯罪產業鏈的開卡人主動出賣。雖然侵害公民個人信息罪并未強調自然人意愿因素，但如此出于自愿的信息提供行為，已經很難被視作對公民個人信息的“侵害”；而對正常收集的個人信息直接予以非法利用的，雖在立法階段曾被學者提議，但最終并無單獨罪名加以追究[8]。然而，正如前文所述——當前的“兩卡”活動呈現出高度的分工分層，其犯罪產業鏈的認知局限性相比于地域式、團隊式運作程度更甚。這種認知局限，更確切的說是一種認知單向性：“行為人通常不易（也不必）認識到他人所實施的犯罪或非犯行為；于意志因素層面其多追求自身利益的實現”[9]，對于他人是否希望獲得幫助并不知曉。這種認知局限一方面加大了對參與者主觀明知性的判斷難度，另一方面卻也意味著在交易的這一環節中發生的處分意圖，其意思表示的范圍僅限于當前交易之中，而對此次交易后的進一步發展不再關注，不能當然將其推及到交易鏈條的下一環中。

這樣的情形在“兩卡”辦理活動中體現得尤為典型。牽涉到“兩卡”犯罪鏈條中的個人信息，所對應的自然人是處于交易鏈最末端的開卡人。實務中，此類開卡人一般是臨時形式招攬而來，雖有部分開卡人可能會逐步深入到倒賣行業內，但也有相當部分人僅僅存在開卡和交付上的臨時參與，一般也無從知曉其所辦手機卡的真實去向。特別要指出的是，根據《中華人民共和國電信條例》《電話用戶真實身份信息管理規定》規定，采取虛假身份辦理入網屬違法行為，但在辦理手機卡后予以轉讓的并未受到禁止。因此，不能僅憑轉讓手機卡號這一行為徑直判定辦卡人存在主觀違法的心態。對于這些臨時參與的開卡人，即使認可其提供個人信息的做法屬于自愿，也不能以此推斷其對將自身信息用作違法活動存在認可；退一步說，即使認為辦卡者在主觀意愿上存在協助一般違法行為的認可，也不能認為其存在幫助犯罪活動的認可。事實上，由于收卡人一般不會對外透露真實的犯罪目的，除非另有客觀證據可以推定存在明知，辦卡人對自身個人信息的處分其實是處于錯誤認識之下做出。

因此，對于在“兩卡”產業鏈上來回交易的倒賣者來說，其收集個人信息的自愿性，僅存在于從辦卡人處有償收買的這一環節。在這之后，收卡人將個人信息另行轉手、進而提供給詐騙分子實施犯罪使用的，便已經超出了辦卡者本人對信息處置的許可范圍，構成了對個人信息權益超出正常采集之外的提供行為。合法收集來的信息，在提供行為上存在非法性的，并不妨礙罪名的構成，而由于倒賣者提供信息是為他人實施網絡詐騙之用，其行為當然不為法律所容許，更是對相關自然人利益的損害。如此一來，根據《個人信息刑案解釋》規定，此行為可直接構成侵害公民個人信息罪，且在入罪上不再需要考慮違法所得或信息條數等數額問題——存在于實務中對違法所得數額、不法幫助具體對象的查證困難等情形，在此不會構成嚴密打擊的阻礙。

在這一結論的基礎上重新回到行為犯罪幫助性的角度，可以更清楚地分析個中存在的犯罪想象競合關系。對于“兩卡”活動而言，其行為作為犯罪幫助的屬性是固定存在的：無論如何分層分工，它在本質上都是一個被細分為多步驟的詐騙幫助行為。這也使得幫助信息網絡犯罪活動罪始終是制裁“兩卡”行為時應做優先考慮的罪名。而對個人信息的侵害，在這個鏈條內是以或然形式存在于部分環節之中；決定其成立與否的，在于自然人自身處分個人信息的意志因素貫徹到了鏈條的哪一部分，也只有在其意志認可以外的交易環節里，才存在對個人信息的侵害行為。如果相關自然人明知鏈條終端指向不法、仍要把個人信息提供出來，則整個犯罪鏈條都在其意志的認可范圍內，此時整個行為的性質就變成了單純的非法利用個人信息，屬幫助行為的一種形式。從這個意義上說，幫助信息網絡犯罪活動罪較之于侵犯公民個人信息罪，能更全面地覆蓋所有不法活動；在今后的司法適用中，無論如何都需要進一步探索經驗，確定其情節嚴重能否將其他酌定性認定標準納入考量中，如所造成經濟損失的嚴重程度、所涉及案件數量等，以此解決目前存在的適用疑難。不過，從犯罪競合的處置規則上說，針對情節特別嚴重的情形，侵犯公民個人信息罪施以了更高的法定刑上限，最高可處以七年有期徒刑。就此而言，在電信網絡詐騙屢屢造成受害者重大經濟損失的當前情勢下，亦可考慮適用此罪加強對“兩卡”行為中影響惡劣者的打擊力度。

四、總結

電信網絡詐騙是我國現存的主要互聯網黑色產業鏈之一，這種犯罪產業上下依存關系的形成，已經使得此類犯罪活動不再是單純的財產犯罪，而是綜合性侵害多種法益的犯罪體系，它的盛行不僅造成直接的財產性損失，以“兩卡”活動為代表的上游犯罪產業，更構成了對公民個人信息安全的一大主要威脅。在嚴密法網、加強打擊的過程中，幫助信息網絡犯罪活動罪無疑是最直接針對此類活動的罪名，但現有規范框架尚不能完全適應案件辦理實務，還需要更多的經驗總結，形成更為嚴密的適用規則。作為嚴密法網、提高制裁的一種途徑，此類行為中“潛藏”的個人信息要素或可得到更多關注。無論是非法提供信用卡信息罪，或是侵害公民個人信息罪，都有針對此類不法行為加以適用的可能，可以形成對信息網絡犯罪規制以及電信詐騙系統性打擊的有效補充。