接码平台相关方行为的刑事定性吴启航江苏省徐州市人民检察院摘 要:接码平台相关方通过接码平台大量获取手机号和验证码,并据此批量注册转化成互联网账号,源源不断地为下游黑灰产业“输血供粮”,为黑灰产从业者筑起了隐匿身份的巨大屏障,具有较大的社会危害性和法益侵害性。现阶段对接码平台相关方行为的刑事规制仍待加强,可通过分析接码所涉主体、运行过程等,区分实名卡和非实名卡,以对接码平台相关方行为予以精准刑事定性。
关键词:接码 黑灰产 侵犯公民个人信息 非法获取计算机信息系统数据 技术不法
全文
接码是以卡商、号商、接码平台运营者三方为核心主体,构建起的向下游黑灰产业输送大量手机号码和互联网账号的产业链条。2020年10月,国务院决定在全国范围内开展“断卡”行动,严厉打击并整治非法开办、贩卖手机卡和信用卡的犯罪行为。接码平台作为向下游黑灰产业高效提供大量手机号和互联网账号的源头,是“断卡”行动的重点打击对象。
一、接码平台基本概况 (一)接码平台涉及的三方主体
卡商是指拥有大量实体手机卡的用户,他们把这些卡直接出售或通过接码平台卖给号商或下游黑灰产从业者。卡商手里的手机卡分为实名卡和非实名卡,实名卡的来源主要是收购他人实名注册的手机卡、冒用他人身份注册的手机卡或用虚假身份注册的手机卡,以及从有开卡任务的运营商工作人员处获取的卡;非实名卡包括物联网卡和境外卡。
号商是指从卡商手里直接购买或通过接码平台购买手机号并获取验证码的人,号商将获取的手机号和验证码注册成各类互联网账号后卖给黑灰产从业者或供自己从事黑灰产使用。
接码平台,是连接卡商和号商的中介,如同一个超级市场,将卡商的手机号码展示在平台上,供号商选取,并为卡商号商提供接收、传输验证码、资金结算服务。
(二)接码平台的运行过程
接码平台一般有三方端口,包括平台的管理端、提供给号商的客户端、提供给卡商的卡商端。卡商将掌握的大量手机卡插在“猫池”设备上,通过读卡软件将手机号上传到接码平台,号商在电脑客户端可以看到平台上的号码。号商在接码平台上充值,选择一个号码后将号码输入到互联网软件注册页面并点击获取验证码,“猫池”将接收到的验证码直接上传到接码平台,号商在平台上看到验证码后将其输入到注册页面便完成注册,且号商接收到一个验证码后平台会自动扣除一个验证码的费用。卡商通过接码平台销售手机号和验证码后会向平台发起结算申请,接码平台根据销售情况向卡商结算。上述以卡商、接码平台、号商三方为主体的接码过程周而复始、批量进行。
诸如腾讯、京东等互联网企业明确禁止恶意、批量注册行为,并为此设置了专门的安全防范机制,号商会使用刷机软件更改手机设备识别号、切换手机IP地址,继续实施上述获取验证码并注册账号的行为,以绕开互联网企业的安全防护措施。
二、接码平台运行特征 在网络平台多样化的大背景下,通过接码平台获取手机号及验证码注册完成的互联网账号被广泛使用,既包括炒信刷单、“薅羊毛”、发送广告、小程序投票、游戏授权登录等低段位玩法,也包括电信诈骗、传播淫秽物品、赌博等高段位玩法,社会危害性不言而喻。但基于平台运行特征,对接码平台相关方的惩治也存在一定困境。
(一)规模巨大
由于成本投入小、获取利益大,接码平台迅速扩张,卡商获取的手机卡数量、接码平台接收的验证码数量、号商注册并销售的互联网账户数量动辄上万、几十万,甚至上百万。对应不同的卡商、号商、下游的各类产业,接码平台支持和帮助的对象不固定,且是“多对多”的模式,相较于传统型犯罪“一对一”“一对多”模式,接码平台运行的社会危害性更大、波及范围更广。
(二)组织结构松散
不同于传统的“金字塔”型管理结构,卡商、接码平台、号商三方并无明显的层级划分,本质上是一种协作,即每个行为人基于分工处在产业链条的不同环节上,基于分工提供服务。接码平台各环节成员并不固定,流动性强,且跨地域分布,互相并不明示身份,也无紧密联系和频繁沟通,整体组织结构较为松散。该特征往往使得对相关人员的追责困难且易出现管辖异议。
(三)技术具有不法性
接码技术的属性一直以来备受争论。依照“技术中立”观点,技术本身不代表价值取向,需通过其研发过程、使用方法、用途范围等来综合判断。接码技术本身没有明显的侵入性和破坏性,但其是为了大量高效地向下游提供手机号码和验证码以规避网络实名监管而产生,具有一定的不法性或者说违规性。但由此并不能得出通过接码平台所得号码及验证码必然被用于违法犯罪,现实中也存在使用接码平台获取手机号和验证码是为了使用账号进行广告推广,或个人为了在网络空间隐藏身份以提升体验感和自由度。
综上,为下游黑灰产提供服务的接码产业本身也是一类黑灰产业,具有较大的社会危害性,但黑灰产不是法律术语,也绝非犯罪绝缘体,对接码产业相关方行为的刑事规制应始终落脚于刑法规定,从分析卡商、接码平台运营者、号商的具体行为是否符合犯罪构成入手,探寻接码平台相关方行为的刑事规制路径。
三、接码平台相关方行为的刑事定性 (一)实名卡接码平台相关方行为的刑事定性
接码平台相关方传输、提供、获取记录有真实个人信息的实名手机卡的行为符合刑法第253条之一侵犯公民个人信息的犯罪构成。其一,记录有真实个人信息的实名手机卡可以认定为侵犯公民个人信息罪的犯罪对象—“公民个人信息”,符合具有识别特定自然人身份或者反映特定自然人活动情况的特征。其二,卡商、接码平台运营者的行为符合该条文规定的“违反国家有关规定,向他人出售或者提供公民个人信息”的罪状描述。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条的规定,号商购买、获取手机号的行为属于“以其他方法非法获取公民个人信息”,即接码平台运营者、卡商、号商的行为均符合侵犯公民个人信息罪的构成要件。需特别注意的是,用虚假身份注册的手机卡虽形式“实名”,但记录的均是虚假身份信息,因此,销售、提供、购买用虚假身份注册的手机卡和验证码的行为不应以侵犯公民个人信息罪定罪。
另外,针对涉及的实名手机卡系他人自愿提供或出售的情形,实践中有不同的观点,有的认为个人自愿提供阻却了对公民个人信息权益的侵犯,有的则认为自然人对自己的个人信息并无排他的权利。笔者赞同后一种观点,侵犯公民个人信息罪所保护的法益,不仅包含公民个人信息权益,还包含国家对公民个人信息的管理秩序,大批量收购或销售实名手机卡在内的公民自愿出售的个人信息,严重侵犯了国家对公民个人信息的管理秩序,有较大的社会危害性,应按照侵犯公民个人信息罪予以定性。
(二)非实名卡接码平台相关方行为的刑事定性
关于非实名卡及虚假身份注册的手机卡接码产业相关行为,现阶段主要存在以下几种罪名适用的探讨。
1.非法经营罪。有观点认为接码平台相关方出售、传输、获取非实名手机号和验证码的行为本质是违反国家关于网络实名制的规定,经营短信代收业务。接码平台相关方无证经营代收短信业务,扰乱了市场秩序,构成非法经营罪。该观点值得商榷。《互联网信息服务管理办法》规定了国家对经营性互联网信息服务实行许可制度,即通过互联网有偿给网络用户提供信息或网页制作等服务的,如果取得了管理部门许可,该服务即合法,未取得管理部门许可即为非法。这里隐藏了一个前提即服务本身是中立的。但接码技术并非完全中立的技术,其向下游大量输送手机号和验证码具有逃避实名监管的不法意图技术具有不法性。据此,论证接码平台相关方的行为构成非法经营罪存在困境。
2.提供侵入、非法控制计算机信息系统程序、工具罪、非法获取计算机信息系统数据罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。这4个罪名均为刑法第六章妨害社会管理秩序罪中涉及网络犯罪的罪名,其中非法利用信息网络罪、帮助信息网络犯罪活动罪系《刑法修正案(九)》新增的条款,前者是“预备犯的正犯化”,后者是“帮助犯的正犯化”,两个罪名作为网络犯罪的兜底条款,应在本章其他网络犯罪罪名无法适用的情况下再考虑适用,因此下文将首先探讨提供侵入、非法控制计算机信息系统程序、工具罪与非法获取计算机信息系统数据罪适用的可能性。
(1)提供侵入、非法控制计算机信息系统程序、工具罪。该罪中的“程序、工具”是指“专门用于侵入、非法控制计算机信息系统的程序、工具”。接码平台在功能设计上不具有侵入他人计算机信息系统的功能,其是既可以用于网络违法犯罪也存在合法用途的程序,不符合该罪必须是专门用于实现违法犯罪目的的程序、工具的要求,无法适用该罪。
(2)非法获取计算机信息系统数据罪。适用该罪需从“是否违反国家规定”“是否属于非法获取计算机信息系统数据罪构成要件要素中的数据”“是否属于技术手段”三个方面考量。
其一,是否违反国家规定。笔者认为,接码平台相关方的行为违反了《网络安全法》第27条关于“不得从事干扰他人网络正常功能的活动”的规定。有观点认为,接码平台相关方的行为违反有关实名制的国家规定,主要是指违反《网络安全法》第24条第1款的规定,但该条文是指网络运营者提供相关服务,应当要求用户提供真实身份信息,即违法的主体是网络服务提供者,根据该规定,不能当然认为卡商、号商违反实名制的国家规定。不过可以明确的是,互联网企业为执行《网络安全法》针对网络运营者的实名制规定,为维护网络秩序,明文禁止恶意注册、批量注册行为,并为此专门设置了一系列防范、对抗的安全机制,而卡商、接码平台、号商相互配合,完成了获取非实名手机号和验证码、绕过安全防范机制、批量注册互联网账号的行为,这是干扰他人网络正常功能的行为,严重危害网络安全秩序,因而具有违法性。
其二,是否属于非法获取计算机信息系统数据罪构成要件要素中的数据。手机号码和验证码是用于确认用户在计算机信息系统上操作权限的数据,根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,其属于该罪构成要件要素中的数据。有观点指出通过接码平台获取的实际是账号和密码,但分析账号和密码的生成原理不难发现,账号是互联网企业用批量程序编写好的,密码虽为用户设定,但也是在平台通过并允许使用的大前提之下才能设定成功,因此密码实际是平台交付给用户的。从注册过程看,手机号和验证码一并充当了账号和密码的作用,是账号和密码的前身。另外,认定一组身份认证信息不应以在办案过程中是否可以实际登录使用为判断标准,而应结合非法获取的具体方法判断手机号和验证码在被获取时是否可用为依据。获取的手机号和验证码在注册APP发生问题时会向平台反馈,反馈内容会被记录于数据库,由此印证了验证码的用途及其有效性,这也解决了司法实务中,嫌疑人辩解获取的是账号及密码,利用手机号和验证码注册的账号很多被封号,获取的数据数量难以取证、不好计算的问题。
其三,是否采用了其他技术手段。非法获取计算机信息系统数据罪的罪状描述为“侵入或者采用其他技术手段”,接码平台相关方的行为不属于“侵入”,因此需重点讨论是否属于“其他技术手段”。
经检索中国裁判文书网,以“非法获取计算机信息系统数据罪”判决的文书中,认定为采用其他技术手段的包括:“撞库”、利用钓鱼网站获取数据、使用软件批量修改密码及换绑手机以获取账号等。其中以“撞库”方式获取数据的情形最多,且判决均将获取的大量账号和密码通过“撞库”(晒密)重新获取一组有效且具有操作权限的数据认定为“技术手段”。判断接码平台相关方获取数据的行为是否属于“其他技术手段”,可从与上述已经判决认定且无争议的技术手段进行比较入手。
现有互联网企业对抗“撞库”的核心安全策略是建立验证码安全保护措施,其原理是提供通常只能由人类识别的图文,让操作者解答以确认操作的主体是人类而非机器。嫌疑人为提高“撞库”验证的效率,催生了打码平台。现阶段司法实务中,将具有验证码识别的打码平台和批量登录的扫号软件认定为“具有避开计算机信息系统安全保护措施,未经授权或超越授权获取计算机信息系统数据功能”的程序、工具。接码过程中海量获取验证码注册、更改IP、刷机等操作均是绕开互联网企业设置的防范同一设备多次使用多个手机号码注册多个账号的安全防护措施。因此,本文讨论的接码技术和上述打码技术均具有刺破平台验证码安全保护措施的作用。接码平台相关方的手段行为与撞库采取的方式具有相当性,应属于“采用其他技术手段”。
刑法第285条第2款规定“采用其他技术手段”,说明立法者已经注意到实践中存在除“侵入”以外的多种非法获取计算机信息系统数据的行为,且随着互联网平台安全防护技术门槛的提高,与之对抗的黑灰产技术也不断进步,因此该罪的具体行为方式难以通过详细列举的方式穷尽,必然要通过对行为和技术原理的具体分析来界定。
其四,接码平台相关方是否构成共同犯罪。卡商、接码平台运营者、号商均明知三方共同实施的具体行为且明知非法批量获取手机号及验证码以注册互联网账号的目的,仍相互配合完成上述行为,三方缺一不可,在获取计算机信息系统数据的过程中均起到了主要且积极的作用,构成共同犯罪。
(3)非法利用信息网络罪、帮助信息网络犯罪活动罪。接码平台相关方的行为在构成非法获取计算机信息系统数据罪的情况下,并不排除会与非法利用信息网络罪或帮助信息网络犯罪活动罪产生竞合。但不同于获取数据行为本身构成非法获取计算机信息系统数据罪,构成非法利用信息网络罪和帮助信息网络犯罪活动罪的前提是要查实下游犯罪,如查实本人或他人利用设立的接码平台发布违法犯罪信息或实施其他诸如诈骗等具体违法犯罪活动的,才能以非法利用信息网络罪追责;查实通过接码平台获取的手机号和验证码注册的账号被用于电信网络诈骗等违法犯罪活动的,才能以帮助信息网络犯罪活动罪对接码平台相关方定罪处罚。