浅析网络钓鱼犯罪行为

摘 要 网络钓鱼者窃取他人身份信息的行为，不仅对网络用户的个人信息隐私严重侵犯，而且也对公众的财产乃至生命安全造成了非常大的威胁。与此同时，网络钓鱼行为也在很大程度上扰乱了互联网正常运营的社会秩序。本文从网络钓鱼犯罪行为的特点出发，分析了网络钓鱼犯罪行为的定性与犯罪形态，以进一步论证将网络钓鱼犯罪行为纳入刑法体系的必要性与可能性。

关键词 网络钓鱼 犯罪形态 定罪量刑

作者简介：刘永刚，湖北瑞通天元（仙桃）律师事务所律师，研究方向：刑事法律制度与司法实践。

中图分类号：D924.3 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2017.08.270

一、网络钓鱼犯罪行为的特点

当前我国网络钓鱼犯罪行为呈现出以下两个方面的特点：一方面，犯罪形式多样化和年轻化。国家互联网应急中心联合中国互联网络信息中心共同发布的《中国互联网络信息安全调查报告2015》显示，2015年，超过百分之九十的互联网用户遇到网络钓鱼事件。在互联网用户中有51万用户遭受经济损失，占互联网用户总数的16.9%。钓鱼行为造成网民的损失已经达到182亿元。由于互联网和各种网络终端的广泛普及，无论是高科技人才还是普通民众，不管其年龄的大与小，本着不同的目的，他们都可以成为网络钓鱼行为的主体。据统计，2014年至2016年，网络钓鱼行人中有92%的比例为80年后。出现这种状况的主要原因是网络钓鱼行为分工越来越细化，各个环节的操作方法越来越简单，成本也非常低，所以年轻人参与案件越来越多。垂钓者利用计算机网络技术和多媒体技术，制作更加优雅、细致的网站等附加产品，轻而易举的骗取他人的身份信息、财务等，而不需要投入大量的人力、财力、物力。犯罪的手段也呈现多样化发展趋势，比如伪造著名网站、虚假的邮件服务器、发送垃圾邮件、制造木马网页等。钓鱼者的网络欺诈，虚构的场景更接近事实，或者能够更隐蔽掩盖事实真相，所以受害者更容易受騙。

另一方面，犯罪活动的隐蔽性和潜伏性。网络钓鱼犯罪活动的行为主体具有隐蔽性。网络钓鱼攻击者通过合法的网站将自己隐藏在其背后，或伪装成网络朋友，建立其和网络用户的信任，降低了他们的警惕，并通过木马，网络攻击或者软件漏洞等，在用户丝毫没有察觉的情况下偷走他们银行账户和其他信息。一旦开始实施犯罪，需要的时间往往很短，有时需要的时间只是按下几个按键，而且由于这类犯罪没有特定的表现场所，所以基本上不可能有目击证人，有时甚至犯罪活动就发生在你面前，不是很精通计算机网络等专业知识的人也很难知道，因此非常具有隐蔽性和潜伏性。

二、网络钓鱼犯罪行为的定性

当前在我国刑法中，仍然缺少关于“网络钓鱼”犯罪行为的法规，至于网络钓鱼行为的定罪问题，法学界对其有不一致的看法。针对网络钓鱼行为的看法，主要有以下几种：其一，网络钓鱼与破坏计算机信息系统。此种观点认为垂钓者制作的钓鱼网站把欺骗性的 IP 地址和 Web站点关联起来，属于入侵正规的网站。这种网络钓鱼行为应当认定为故意传播、制作破坏性代码，使得网站系统收到影响，从而无法正常运行，以构成破坏计算机信息系统犯罪事实。其二，网络钓鱼与非法攻击计算机信息系统说。此种观点认为“网络钓鱼”行为是多发性的，大量垃圾邮件通过网络钓鱼者而被发送，各种假冒网站也被网络钓鱼者通过各种方式发布，从而引诱互联网用户点击其发送的网址或者邮件，让受害者踏入钓鱼者早已搭建好的陷阱。所以，网络用户在网络中的个人信息甚至资金都可能因此被偷盗。这整个过程中，网络户却毫不知晓，他们肆意侵入网络用户的计算机而没有合法的借口。所以，此时的网络钓鱼行为就应证了非法侵入计算机信息系统罪这一学术观点了。其三，网络钓鱼与非法获取公民个人信息说。该观点所持的理由是：在整个钓鱼过程中，钓鱼者采用欺骗互联网用户的方式主要是利用技术手段伪造各种虚假网站，互联网用户个人信息的泄漏是在钓鱼者的指示下“自愿”透露的，但自己却没有察觉。钓鱼者的这种行为已经构成了非法获取公民个人信息罪。

（一）网络钓鱼不构成犯罪的行为

“网络钓鱼”行为不构成破坏计算机信息罪。我国刑法第 286 条对破坏计算机信息系统罪有明确的规定，通过分析法规，找出破坏计算机信息系统罪的组成要素，可以得出这种罪行是一个结果犯，其必要条件是一定要造成严重后果。然而后果是否严重的衡量标准是什么。其中有人持这样的看法：以司法实践角度出发，以下几种情况可以认为属于“后果严重”的范畴：

1.对系统存储的应用程序、数据造成严重破坏，涉及的价值高、数额大的。

2.导致系统丧失部分或全部功能的。

3.对信息系统功能的修复耗时长、耗资大的。

4.对高尖端技术领域、国家相关事物管理等领域破坏造成重大损失的。

从表面上看，“网络钓鱼”行为符合破坏计算机信息系统罪的组成要素。而本质上来讲，这些“网络钓鱼”行为仅仅是凭借这些五花八门的信息，仿照正规网站误导、诱骗互联网使用者，使得使用者泄露出自身的宝贵信息。但是网络钓鱼网站与跟网络上的木马病毒相比，又有一定不同点，这种行为有时不至于造成计算机系统的损坏，而使得其不能够正常运行。所以说，网络钓鱼行为在这种情况下是不符合此学说的组成要素中对于“后果严重”的标准的。

（二）网络钓鱼构成犯罪的行为

1.“网络钓鱼”的行为与非法获取公民个人信息罪。我国刑法对此罪有明确规定，其核心内容主要是指以不正当的方法非法获取公民个人信息的行为。公民个人信息的具体解释，我国法律条文没有与之相关的明确的阐述。通常解释为，公民的个人信息是和个人自身密切相关私人情况，银行卡卡号与密码、婚姻状况、身份证号码、家庭成员、教育背景、个人血型、个人基因信息等都属于公民个人信息，对公民自身来说，这些信息一般都是非常的重要，同时个人是不希望外界知晓自身的信息。对于非法获取公民个人信息罪的“其他方法”的认定，一般包括以下几种手段：用暴力手段夺取，采取欺骗手段骗取，用金钱手段买卖等。公民个人信息罪的非法获取被认为是一个结果犯，判断其能否构成犯罪要依据《刑法》第 253 条规定的根据其“情节严重”状况而定。至于如何认定其“情节严重”的程度，有观点认为：“大量获取公民个人信息是以获取利益为目的的，或者是非法获取公民个人信息后，牟利较多的，或者是存在其他情节严重的行为的可以被认定为情节严重。”

2.“网络钓鱼”行为符合非法获取公民个人信息罪的组成要素。首先，钓鱼者通过各种手段获得的个人信息主要是身份证号、银行卡号和密码等重要信息，这满足其对行为对象的基本要求。其次，为了成功欺骗网络用户，钓鱼者通常采取各种技术手段，无论是利用了真实的网站的漏洞还是仿冒真实网站，这些行为都是网络欺诈行为，网络用户在不知情的情况下被其欺骗了，并且“自愿”的把自身的私密信息透露给垂钓者。其实，这种骗取用户的自身信息的行为还是利用欺诈手段，这与非法获取公民个人信息罪中规定的客观要求是一致的。通过先进的技术手段，“钓鱼者”成功获取了用户的个人信息，在这个过程中，“网络钓鱼”者的本体行为虽然已经顺利完成。因此，非法获取公民个人信息罪中关于“情节严重”的认定的事实对其来说是非常符合的。

三、網络钓鱼行为的犯罪形态

网络钓鱼一般都是多人共同实施的，按照一般刑法原理对其定罪处罚即可，下面就一些特殊情况进行分析研究。

（一）共犯形态的认定

在以高科技（不含木马、病毒攻击）为主的网络钓鱼行为中，钓鱼者很有可能与对方间形成共犯关系。在此种方法真正的核心在于钓鱼者精心设计的钓鱼网站，此钓鱼网站的URL域名或者IP地址与真实的合法网站非常接近，极其容易混淆视听。没有专业知识的普通网络用户很容易就会相信眼前的钓鱼网站是真实合法的官方网站。但是，互联网经营者凭借其扎实的专业知识机能和严谨的防范心态会及时的发现这一异常的钓鱼网站，这也为双方的意思联络提供了时间。若网络经营方明知网络钓鱼方发布虚假的网络钓鱼网站或虚假的广告，其依旧默认网络钓鱼方在自己经营或管理的网站上散发虚假信息，此时，其应该被认定是网络钓鱼者的帮凶。

对于通常以技术攻击（木马、病毒攻击）手段为主，其他技术手段与社会工程学为辅的手法，完成网络钓鱼犯罪的情况下，一般钓鱼者也很难和其形成共犯关系。因为其间不存在共同犯罪故意的意思联络。在此种情况下，互联网经营者往往是被木马、病毒攻击的对象，其与钓鱼者正好处于对立的位置。网络钓鱼行为也只能在互联网经营者并不知晓的情况下才得以施行，一旦经营者发现自己被攻击，便会立即采取应对和防御措施，钓鱼行为也就难以顺利进展了。此种情况下，双方敌对，根本不会有理由和机会进行犯意联络了，也就不存在共同犯罪这一说法了（互联网经营者方因事前与钓鱼者进行沟通而故意被攻击的情况除外）。如果第三方结算者在已然明知此次交易的对手是具有欺诈行为的网络钓鱼实施方的情况下，仍然直接或者间接的将信息或者财务交付给网络钓鱼者，又或者为网络钓鱼的行为放提供相关的财务服务等，此时则应当认定第三方结算者与网络钓鱼者构成共犯关系。

（二）罪数形态的认定

网络钓鱼行为不是千篇一律的，有些时候在不同的情况下，其本体行为与后续行为可能其触犯的不只是一个罪名。此时笔者认为，应当依照数罪形态理论进行分析和认定。

1.构成牵连犯时的情况。构成牵连犯存在一个前提条件，即行为人必须存在两个以上对客体的侵害行为。若行为人只实行了一个危害行为，则不存在具有牵连关系的行为。在网络钓鱼的问题上笔者认为，如果网络钓鱼的本体和其随后的行为是同一行为目的与手段的关系，那么此种情况下网络钓鱼的行为人构成牵连犯，应当从一重罪处断。例如，网络钓鱼的本体行为触犯非法提供信用卡信息罪及其，后续行为触犯《刑法》第264条盗窃罪，则网络钓鱼的行为人应受到盗窃罪这一法条的规制。此外，人体行为钓鱼计算机信息系统的破坏，获得网络用户值得探讨的行为信息的剥削。计算机信息系统的破坏，以获取网络用户信息，以获得破坏行为的目的信息的行为被认定为牵连犯后；计算机信息系统的网络用户行为和钓鱼获得信息的行为破坏。此时，两者的主要部分重复，应当认定为网络钓鱼行为者只实施了一个行为，则其应当以想象竞合犯论处。

2.构成想象竞合犯时的情况。通过多项指控犯下的行为是无法充分评估的关系应该是构成该罪行的各种行为之间没有重叠，即行为侵犯，这是想象竞合犯罪的犯罪区分犯罪的基本特征的物质，犯罪的实数，并同意的条款。具有刑事犯罪数量之间的关系一致，并与所犯同意这种法律形式的条款一致。在网络钓鱼的问题上，钓鱼者先破坏计算机的系统，再植入网络钓鱼木马来盗取用户的个人信息，这是两个独立的行为，此时应当按照牵连犯来定罪量刑；在网络钓鱼过程中，木马被植入的过程中，便是两个重叠的行为的主要部分，如果计算机系统行为的破坏，应该想象竞争压犯的处理，此时应当从一重罪处罚。

参考文献：

[1]皮勇.网络犯罪比较研究.中国人民公安大学出版社.2005.

[2]徐湧捷.网络盗窃犯罪研究.华东政法大学学报.2007（8）.

[3]陈玲.网络钓鱼与刑法规制.政治与法律.2008（8）.

[4]陈睿.网络钓鱼犯罪分析.网络安全技术与应用.2005（8）.

[5]高铭暄、马克昌.刑法学.北京大学出版社.2000.