“二维码”犯罪的刑事治理

(北京师范大学 刑事法律科学研究院，北京 100875)

“二维码”犯罪的刑事治理

宋大伟

(北京师范大学 刑事法律科学研究院，北京 100875)

“二维码”犯罪作为一种新型的网络犯罪，在具有网络犯罪的部分特征的同时，也有其相对独立的特点。“二维码”犯罪的研究应当立足于二维码自身的特殊性，着眼于“二维码”犯罪的类型化，注重“二维码”犯罪在司法认定、侦查取证和平台管控方面的问题与挑战，寻求完善的“二维码”犯罪的刑事治理体系。与此同时，应当注重刑法谦抑性，严格限制“二维码”犯罪的责任范围，寻求控制犯罪与技术创新之间的平衡。

二维码犯罪；类型化；法律适用；电子数据；平台管控

“二维码”缘起于日本，原本是Denso Wave公司为了追踪汽车零部件而设计的一种条码。它不仅能够储存表单、文字资料，更可以用来储存影像资料，而且不会出现消磁、损坏、容量不足的问题。“二维码”的推广运用，一方面进一步推动了互联网络的创新发展，另一方面使网民日益享受着互联网络发展的福利。 “二维码”的扫描和使用，已经成为APP不可缺少的功能。扫码获得信息，扫码加好友，扫码支付，扫码出行等应用屡见不鲜。从社交到支付到出行，“二维码”发挥着各种各样的功能。与此同时，“二维码”带来的风险也是有目共睹的。例如，带有“二维码”的实名制火车票成为泄露个人信息的渠道[1]，在“二维码”中植入手机病毒[2]，偷换“二维码”非法获取财物[3]等行为。“二维码”以不同形式多方面地参与到传统犯罪和网络犯罪。故而，有针对性的研究和治理“二维码”犯罪，有利于维护我国信息网络环境的安全，实现积极的犯罪控制，保障公民的合法权益。

一、“二维码”犯罪的特点与分类

(一)“二维码”犯罪的特点

“二维码”犯罪，是以“二维码”为对象、以“二维码”为主要手段或者以“二维码”为附属手段实施的犯罪。由于“二维码”自身的优势——资料储存量大、信息方便携带、复制成本低廉、具备错误纠正能力——十分明显，加之“二维码”应用主要依托的网络环境——我国数量庞大的的移动终端用户——内部对“二维码”的认同度不断提升，使得二维码犯罪呈现出以下的特点：

1.低门槛，低成本。互联网上的“二维码”制作服务大多免费提供，制作“二维码”的平台也会对首次制作“二维码”的用户给予初步的指导和帮助，这就使得制作“二维码”在一定程度上没有技术障碍，而且，由于“二维码”不受存在介质的影响，“二维码”的复制成本极低，可以认为是零成本，这就大大降低了“二维码”犯罪的成本，呈现出低成本的特点。

2.多危害，多竞合。由于“二维码”资料储存量大，“二维码”在传递信息时，一般会呈现两种违法形态：一是传播大量的非法信息，如虚假信息、恐怖信息、邪教信息等，这使得“二维码”犯罪行为侵害的法益的种类具有较多的可能性，如虚假信息侵害社会公共秩序安定的法益、恐怖信息侵犯公共安全的法益等，进而呈现出侵害法益范围广，多危害的特点；二是虽然传播了合法的信息，但是由于具有相对充足的储存空间，也可以附加一些手机病毒、违法广告等非法信息，或者传播非法信息的同时附加手机病毒等非法程序，使得“二维码”犯罪一个行为同时损害不同的法益，符合多个不同犯罪构成的情况，呈现出多竞合的特点。

3.易传播，受害广。智能手机的普及，“二维码”应用程序的广泛使用，为获取“二维码”、扫描“二维码”提供了设备支持。同时，移动网络的发展和网速的提升，使得包含链接的“二维码”更加普及。通过“扫码”识别链接、跳转网页已经成为多数“二维码”的运作方式。除此之外，由于“二维码”自身方便携带，“二维码”算法的先进性使得信息获取的时间大大缩短，导致“二维码”极易传播，同时在用户的参与和移动网络的保证下，非法“二维码”的受害范围广泛，呈现出易传播、受害广的特点。

4.侦查难，管控难。日常生活中流通的“二维码”通常具有时效性，也即一些“二维码”在一定的时间范围内是有效的，超过了一定的时间范围就会无效。这一类的“二维码”如果应用于犯罪活动，则会导致证据难以固定，侦查困难。然而，这一类的“二维码”却广泛应用于支付、社交等功能之中，极大的增加了风险的同时，也使得“二维码”犯罪呈现出“侦查难”的特点。

(二)“二维码”犯罪的类型化

所谓“二维码”犯罪的类型化是指根据不同的分类标准对“二维码”犯罪进行分类讨论的一种研究“二维码”犯罪的方法。对“二维码”犯罪进行分类研究有助于更加全面、更加具体、更加精细地认识“二维码”犯罪。但是应当注意的一点是，“二维码”犯罪在本质上仍是一种网络犯罪，因而，“二维码”犯罪的分类在一定程度上体现了网络犯罪的分类标准。但是，“二维码”犯罪并不完全等同于网络犯罪，“二维码”犯罪相比宽泛的网络犯罪有自身的特点。

本文认为，“二维码”犯罪应当分为：一是以二维码为对象的犯罪，包括替换二维码、破坏二维码、盗取二维码等行为；二是以“二维码”作为主要犯罪手段实施的犯罪，包括利用“二维码”传播非法信息类犯罪、利用“二维码”传播手机电脑病毒的犯罪，需要注意的是这里的利用“二维码”一般是指利用包含非法内容的“二维码”；三是以“二维码”作为附属手段的犯罪，其含义是“二维码”作为构成整个犯罪客观方面的附属行为，通常“二维码”自身并不包含违法信息。

这样分类的意义在于：一是这种分类方式以涉“二维码”犯罪的行为表现方式划分，能够较为全面的概括“二维码”犯罪的不同类型，具有包容性；二是这种分类方式突出了不同行为模式的“二维码”犯罪中，“二维码”所起到的作用的不同；三是在明确了不同类型和不同作用的基础之上，能够通过行为判断责任，较为清晰地明确 “二维码”犯罪的刑事责任归属。

二、“二维码”犯罪的司法认定

就目前刑法理论与实务所关注的热点来看，存在争议比较大的是关于以“二维码”为对象的犯罪。

(一)偷换“二维码”司法认定的观点梳理

以“二维码”为对象的二维码犯罪，常见的表现形式主要有替换二维码、破坏二维码、盗取二维码等行为。其中以替换二维码为主要表现形式。例如：2016年9月21日网上流传一个段子：小偷也开始整互联网思维啦，楼下的小店抓到个小偷，他把店里的支付二维码偷偷换成自己的，店主直到月底结款的时候才发现。据说，这个月他通过几家店已默默在家收了70万[4]。其后扬子晚报虽然证实这是一个假新闻，但是这却在刑法领域内引发了极大的讨论。偷换二维码获取财物的行为究竟应该是诈骗罪还是盗窃罪，其中关于诈骗罪的认定还有“普通诈骗”、“双向诈骗”和“三角诈骗”的不同认定。

为了梳理此类案件的法律关系，首先我们应当明确本案中涉及的几个主体和他们之间的法律关系。本案涉及三个法律关系主体：一个是顾客，一个是商户，另一个是“小偷”或者“骗子”。其中，毫无争议的是，商户在本案中一定是被害人，商户根据其同顾客之间的买卖合同支付了货物，却没有得到对应的货款，因而商户是本案中的受害人无疑。有观点认为，本案属于无被害人的犯罪，主要是认为顾客支付了货款得到了货物，没有损失；商户基于自愿的意思表示向顾客交付了货物，且商户自始至终都没有取得货款的所有权，也不存在违背其意志丧失该货款请求权，所以商户也应当视为没有损失；“小偷”或“骗子”更谈不上损失，所以本案无被害人。张明楷教授不认可这一观点，他认为如果本案中不存在被害人，那么从被告人处追回的财物应当返还给谁呢？很明显是返还给商户，所以商户毫无疑问是本案的受害人[5]。本案的被告人是“小偷”或者“骗子”，这也是毋庸置疑的。对于本案中顾客身份的定性就显得十分重要了。如果认为本案是构成盗窃罪，那么顾客应当仅仅作为盗窃罪的证人，证明存在支付货款行为；如果认为本案是普通诈骗罪，则顾客也应当是证人，受骗人和被害人都是商户；如果认为本案是构成“双向诈骗”，则顾客和商户都是受骗人；如果认定本案是“三角诈骗”，那么顾客应当是受骗人。本文认为，本案相比诈骗更符合盗窃的犯罪构成，所以本案中顾客的身份应当是盗窃罪的证人，而非受骗人。

(二)偷换“二维码”认定诈骗的商榷

本文认为构成诈骗值得商榷：诈骗罪，无论是双向诈骗还是三角诈骗都符合这样的行为模式(既遂)：行为人以非法占有为目的实施欺诈行为——受骗人产生错误认识——受骗人基于错误的认识处分财物——行为人取得财物——被害人受到财产上的损害。构成诈骗罪的关键是。受骗人有没有产生错误认识，有没有基于错误认识处分财产或者财产性利益。

本案中，商户依据买卖合同向顾客交付了货物之后，自动取得了货款请求权——顾客对银行的债权的转移请求权。顾客在商户的指引下，扫描了二维码，支付了相应的货款，只不过由于被告人的原因，这个债权实际上转移给了被告人，并没有转移给商户。这里债权转让的瑕疵，并不是由于顾客和商户的原因造成的，而是由于被告人的偷换行为造成的。所以，顾客不应当承担合同未完成的责任。这里应当注意的是，顾客的支付行为是否陷入了认识错误，从实质上分析，的确，顾客将被告人的二维码误认为是商户的二维码了，同时商户也将被告人的二维码误认为是自己的二维码了，所以持有双向诈骗观点的学者认为在这中错误认识上转移财产构成诈骗罪。但是，在这种情况下——根据一般的交易习惯和商户对顾客支付行为的指引——顾客有没有可能发现这个二维码不是商户的呢？不排除存在这种可能性，但是通常而言，这种可能性也是非常小的。

另一方面，在这种环境下，顾客对于支付的认识应当停留在何种层面呢？一般而言，顾客为完成买卖合同，其对支付的认识就应当停留在此时此刻应当完成支付，至于对商户提供的支付方式没有义务也不必要去考察其有效性[6]，合同中商户应当主动提供积极有效的支付链接。所以，尽管被告人篡改了二维码，但是并没有使顾客履行支付行为的认识陷入错误，进而，顾客并没有对完成支付这一行为陷入认识错误，也就不存在基于认识错误处分了债权转移的行为。在排除了双向诈骗之后，是否存在诈骗商户的情形——即使商户陷入认识错误进而导致处分了财产呢？答案也是否定的。首先，商户是在交付了货物之后引导顾客向错误的二维码支付，但是在此时此刻财产性权利的处分并不是由商户做出的，商户只享有请求权，因而不存在因为认识错误处分财产。其次，在顾客转移了财产性利益之后，商户自始至终没有获得过该项债权，因而也不存在处分该项权利的可能。所以，即使主观上有认识错误，但是客观上不存在基于错误的处分行为，也不构成诈骗罪。

(三)偷换“二维码”认定盗窃的证明

本文认为本案构成盗窃罪，理由如下：

盗窃罪，是指以非法占有为目的，秘密窃取他人数额较大的财物或者多次盗窃、入户盗窃、携带凶器盗窃、扒窃的行为[7]。其中秘密窃取应当理解为违背被害人的意志，转移其财产至行为人或第三人的行为。秘密性主要体现在违背被害人的意志，采取隐秘的手段[8]。

本案中，被告人以秘密手段替换被害人的收银的二维码，被害人对此并不知情，仍引导顾客继续履行支付行为。本案盗窃的对象并非是顾客的银行债权，而是顾客转移给商户的银行债权，债权转让的合同属于诺成合同，双方达成合意即可完成债权转移。所以实际上在顾客扫码支付的一瞬间，商户就取得了银行债权(原则上)，但是由于被告人的行为该项债权被转移占有，这一行为应当视为被告人对商户——被害人的债权的秘密窃取。这里应当说明的一个前提是，盗窃的对象不仅包括被害人实际占有的财物，也应当包含财产性权利，进而当然包含对于银行的债权。所以存在被告人窃取被害人财产性利益的可能性。这里解读秘密性，应当视其为违反了被害人的意志转移财产，符合盗窃罪的构成要件。

有论者认为，应当以盗窃罪的间接正犯处理被告人。本文不认同这样的观点，间接正犯是应对共同犯罪从属性理论的产物，二者不在一个语境之下。此外，间接正犯的逻辑出发点是利用行为人的行为作为工具，本案中顾客的支付行为是履行合同的行为，利用该项行为进行盗窃是替换二维码盗窃的当然选择，并不存在直接正犯的可能，所以不宜以不是亲自实施犯罪行为达到犯罪效果的间接正犯理论来处理。有学者认为，应当以隔时犯的理论来思考，本文对此持保留态度。总之，无论以何种理论来处理本案，都应当认定为盗窃罪。

三、“二维码”犯罪的侦查取证

(一)“二维码”的刑事证据资格

根据《中华人民共和国刑事诉讼法》第48条规定，可以用于证明案件事实的材料，都是证据。该条第二款第八项规定视听资料、电子数据也是证据种类。根据最高人民法院、最高人民检察院、公安部制定的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第1条规定，电子数据是案件发生过程中形成的，以数字化形式存储、处理、传输的，能够证明案件事实的数据。该条第二款第四项规定，电子数据包括但不限于下列信息、电子文件：(四)文档、图片、音视频、数字证书、计算机程序等电子文件。因而，二维码可以作为刑事证据进行刑事诉讼，而且在刑事诉讼中，二维码由于本身以图片的形式呈现，因而符合电子数据证据的相关规定，应当认定为电子数据证据。

(二)“二维码”侦查取证的一般原则

对于一般的“二维码”犯罪应当对二维码予以及时的扣押、收集、提取、保存等。在以“二维码”为对象的犯罪中，应当及时对替换的二维码进行冻结和收集，防止增加或减少二维码所蕴含的信息量(主要是毁损减少信息量的行为)。在以“二维码”为主要手段的犯罪中，二维码本身蕴含违法信息时，就应当格外注意证据的收集。

(三)时效性“二维码”侦查取证的注意事项

由于二维码自身的特性，有一些二维码可以持续的提供链接信息，还有一些二维码是有时效性的，这一类的二维码大多蕴含手机病毒、传播淫秽信息等非法信息、用以建立社交群组或传递个人名片、具有支付功能。这些具有时效性的二维码同样是二维码犯罪的重要参与者，同时由于具有时效性，反侦查能力极强，收集和冻结相对困难。因而，侦查机关在收集、扣押此类二维码时，首先应当注意提取二维码所蕴含的信息，以防二维码过期之后证据灭失；其次，应当注意对提取的信息依照法定程序进行鉴定和公证，确保证据的证明能力；最后，应当将提取出来的信息在鉴定和公正之后，附二维码一并作为电子数据证据予以保存。

(四)失效“二维码”的证据资格

由于二维码具有时效性，对于一些失效的二维码的取证和固定则更加困难。失效二维码，已经失去了传播了非法信息的功能，能否作为证据是值得商榷的。证据是用以证明案件事实的，失效的二维码一定程度上不能证明案件的事实了，所以不宜认定为证据。也就是说，对于时效性的二维码，只有那些仍旧有效的二维码才能作为电子资料的证据，对于已经失效的二维码，不能被识别和发挥功能的二维码不宜作为证据。

四、“二维码”犯罪的平台管控

“二维码”犯罪的平台管控，是指网络运营者、网络服务提供者对其运营的网络平台内产生和流通的二维码进行有效的监管和控制。

(一)平台管控的目的、对象及可能性

平台管控的目的，毋庸置疑，应当是实现对“二维码”犯罪的源头治理，有效预防和控制“二维码”犯罪。“二维码”的平台管控应当着眼于二维码生成控制、二维码流通控制、二维码扫描控制三个方面。根据“二维码”犯罪的类型化，平台管控应当积极有效的预防和控制以“二维码”为对象的犯罪、以“二维码”为主要手段的犯罪和以“二维码”为辅助手段的犯罪。但是，平台真的能够对上述三种类型的“二维码”犯罪实现积极有效的管控么？答案是否定的。根据二维码的基本原理，二维码是数据存储的另一种方式，二维码就是二进制算法的矩阵化体现，其制作和扫描并不一定通过在线的方式实现，二维码生成的程序的编程过程也不是十分复杂。所以，二维码的制作很难通过网络服务平台管控彻底实现。目前，我们只能通过在互联网上提供二维码制作和生成的平台的管控来实现对二维码制作的控制，但是需要注意的是，这不能完全覆盖所有二维码制作的情形。讨论这个特殊情况的意义在于，在涉及平台管控不力的责任时，由于一些二维码出于平台之外生成的情形，很难对平台在制作层面进行追责。如果存在制作平台追责的例外情况，那么对平台制作服务进行归责，就会增加平台运营的成本，不利于行业的发展。所以本文不主张对制作层面的平台进行管控责任落实。

另一方面，平台能实现积极有效的管控的“二维码”究竟是何种类型的二维码呢？也就是管控对象的范围问题。根据“二维码”犯罪类型化入手分析：以“二维码”为对象的犯罪，行为主要呈现出替换二维码、破坏二维码、盗取二维码等，此类行为用以替换的二维码、被破坏的二维码其自身并不一定以包含非法信息为前提，所以，尽管进行平台管控，这些以合法形式存在的二维码没有办法进行筛选，这种情况同样适用于以“二维码”为辅助手段的犯罪。所以，可以得出的结论就是，“二维码”犯罪平台管控的对象，或者说能够实现积极管控的“二维码”，应该是包含非法信息、非法程序的二维码。落实平台管控责任，能够实现积极预防和控制的是以“二维码”为主要犯罪手段的犯罪。

(二)平台管控实现的现实依据和法律依据

目前，我国网络用户接触和使用二维码的途径主要是依靠移动终端的应用程序，根据第39次中国互联网络发展状况统计报告显示，移动终端使用率最高的前五位APP分别是微信、QQ、手机淘宝、手机百度、支付宝。这些应用程序：一是具有庞大的用户群体，是二维码的主要流通平台；二是具有二维码的识别功能，是二维码的主要识别平台；三是这些程序运营的企业是我国主要的互联网公司，具有成熟的技术，可以为管控提供支持。因而，实现“二维码”的平台管控存在现实依据。

另一方面，根据《中华人民共和国网络安全法》第47条、《互联网信息服务管理办法》第13条、《即时通信工具公众信息服务发展管理暂行规定》(简称“微信十条”)第5条的规定，明确了互联网平台的信息安全管理责任和提供合法安全信息的义务。同时，《中华人民共和国刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪。前位的法律和行政法规以及拒不履行信息网络安全管理义务罪的增设，健全了网络平台信息安全监管的法律体系，为“二维码”犯罪的平台监管提供了法律依据。

(三)平台管控的实现路径

结合上述平台管控的对象、可能性以及现实依据和法律依据，平台管控应当通过以下途径实现或者平台管控应当注重下述内容：一是二维码的流通平台应当对平台内流通的二维码进行定期筛选和分类，对涉嫌传播非法信息、包含收集病毒等违法信息的二维码进行删除，并追究传播者的责任，进行平台范围内的封号等处罚。二是二维码扫描平台，不仅包括流通平台，还应当涵盖专门用于扫描二维码的软件平台，应当建立防火墙装置，对于扫描出来的结果进行预先关键词等方式的安全审查之后在呈现在用户面前，对于不符合安全管理规定的二维码不予以识别现实，扫描平台内部予以控制。三是加强同司法机关、行政机关的合作，积极配合二维码犯罪的侦查和证据收集，落实平台管理责任。四是加强平台用户安全提示，积极引导平台用户不随意扫码，不随意转发二维码。五是建立行业内部行为规范，在技术和经营策略容许的范围内，尽可能的实现二维码算法的标准化，统一化，资源共享，共同监督，共同引导。

(四)平台管控的刑事非难

根据《中华人民共和国刑法》第286条之一的规定，对于拒不履行信息网络安全管理义务的互联网服务提供者可以追究刑事责任；第287条之二的规定，明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，构成帮助信息网络犯罪活动罪。具体到“二维码”犯罪而言，应当格外注意一下行为：一是明知行为人以传播非法信息为目的，仍为其提供二维码制作、宣传等服务的，其中制作应当是较为明显的传播非法信息的情况，例如，直接在二维码生成平台制作分裂国家的标语的情况。对于宣传，应当区分明知的范围，对于商品夸大宣传的不宜视为虚假宣传的明知等。二是对于平台内传播的非法二维码经监管部门指出后仍不删除的进而构成犯罪的行为。由于二维码的极易制作和传播，因而，平台对于特定二维码删除之后，对后续相同的链接的不同制式的二维码，由于技术原因不能识别的，不宜认定为没有删除。也就是说，对平台由于技术原因不能识别的二维码，不能追究其责任。三是对于证据提取过程中，由于不能及时固定非法二维码致使刑事案件证据灭失，情节严重的，这里需要注意的是，对于一些时效性的二维码，在平台接到司法机关通知之前就已经失效的，进而导致平台不能对该二维码进行固定提取证据的，尽管情节严重，也不具备刑事非难的可能性。

[1]陈永杰.实名制火车票泄露个人信息[N].北京科技报，2012-02-20.

[2]张志勇.二维码成了盗窃“工具”[N].检察日报，2014-11-05.

[3]偷换店家收款二维码案:科技改变犯罪手段[J].方圆，2016，(19).

[4]偷换店家二维码 小偷躺收70万？[N].扬子晚报，2016-09-22.

[5]张明楷.三角诈骗的类型[J].法学评论，2017，(1).

[6]李政.“更换二维码”骗取支付构成盗窃[N].检察日报，2017-04-19.

[7]李希慧.刑法各论(第二版)[M].北京:中国人民大学出版社，2012:237.

[8]张明楷.刑法学(下)(第五版)[M].北京:法律出版社，2017:949

[责任编辑:李洪杰]

D914.3

：A

：1008-7966(2017)05-0032-04

2017-07-12

宋大伟(1993-)，男，黑龙江鸡西人，2015级刑法学专业硕士研究生。