董 凡
(华南理工大学 法学院,广东 广州 510006)
现阶段,移动互联网络恶意程序呈井喷式增长,对社会信息、财产安全造成的隐患与危害日益扩大。但是,限于我国目前缺乏专门的针对移动互联网与移动智能终端犯罪的相关规定,尤其缺乏关于当下多发的移动智能终端方面的具体规定,使得“于法无据”的司法困局如骨鲠在喉。[1]本文将以移动互联网络恶意程序为研究对象,分析其刑法规制的困境以及应对路径,以期为我国司法实践提供有益借鉴。
由于移动互联网恶意程序是新兴科技产物,我国理论界尚未有准确的内涵界定。在工业和信息化部发布的《移动互联网恶意程序监测与处置机制》中对移动互联网恶意程序作出初步界定,即运行于包括智能手机在内的具有移动通信功能的移动终端之上,存在窃听用户通话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。[2]由此得知,移动互联网恶意程序是一种计算机程序,它是通过一系列客观表现行为予以认定的。移动互联网程序出现上述行为或同性质的行为,可以认定为行为人实施移动互联网恶意程序行为。
相比于传统PC终端与互联网犯罪,移动手机智能终端的技术具有开放性、技术安全保护体系相对脆弱性、手机互联网极具共享性、手机智能终端个人信息私密性。[3]基于上述移动手机智能终端的特征,移动互联网恶意程序便产生隐蔽性、移动互联性、广泛性等特征。
1.隐蔽性。犯罪行为人将恶意程序进行“包装”,发送至社会不特定人的移动终端上,实施恶意扣费、侵犯隐私等不法行为,这一系列行为使移动终端持有人放松警惕,以不宜察觉的方式侵犯权利人、持有人的利益。据有关调查显示:约有51%的移动手机受访用户不重视自己的手机资费余额,且察看频率在一周以内的仅有14%,[4]该项调查说明大部分的移动终端用户缺乏一定的个人信息财产安全意识。究其实质,是移动互联网恶意程序的隐蔽性使然。
2.移动互联性。首先,基于科技的快速革新,使网络犯罪行为完成从有线向无线的移转。犯罪嫌疑人利用恶意程序向移动终端进行传播,增加了犯罪行为的不可控性。其次,犯罪嫌疑人利用数字技术可以摆脱固定计算机的技术桎梏,使网络犯罪完成“区域固定”到“空间自由”的转变。例如,犯罪嫌疑人可以通过向他人智能终端设备安装APP应用程序,进而非法监控公民的个人信息或非法控制他人的智能终端设备。[5]
3.广泛性。基于移动互联网恶意程序的隐蔽性与移动互联性,使得移动互联网犯罪对公民、社会造成的消极影响具有较强的广泛性。现阶段,移动互联网恶意程序犯罪的主要手段是病毒程序,借移动网络通道之便,病毒程序得以广泛地传播。例如,以群发信息“点对面”的形式向其他智能终端用户发送载有恶意程序的链接。
移动互联网恶意程序的直接目的和行为方式与计算机恶意软件不完全相同,但移动互联网恶意程序与计算机恶意程序之间存在实质性相似,其客观实施行为表现为较高的相似性。例如在计算机程序中频繁出现的强制安装、恶意卸载程序、广告弹出等客观行为,同样出现在移动互联网恶意程序中;而移动互联网恶意程序的资费消耗、传播不法信息等客观行为不过是上述计算机恶意程序在移动互联网平台上的“延伸”或“变体”。对此,笔者结合现有研究现状,尝试对现有移动互联网恶意程序犯罪的客观行为进行分类。
1.资费损失类。资费损失主要有两种形式,即恶意扣费与资费消耗。恶意扣费类主要通过订购SP服务的方式实现;资费消耗类则通过信息、上网流量实现。例如,在移动终端内置恶意吸费软件,通过恶意代码从底层调用各类通信方式,包括发送短信、彩信、拨打声讯台和发起网络链接实现资费消耗。
2.隐私窃取类。隐私窃取行为亦分为两类,一类是恶意软件在用户不知情的情况下读取、收集用户者的隐私数据,尔后在后台启动数据连接或通过短信将相关信息发回给指定手机、网站服务器;第二类是恶意软件在用户拨打电话时进行电话录音,通过数据连接回传信息,或直接在打电话时启动三方静音通话的方式,达到窃听用户通话内容之目的,[6]从而对用户的隐私安全形成潜在危害。
3.功能损坏类。此类恶意程序通常利用移动终端操作系统的程序漏洞,破坏系统软件的正常功能甚至移动终端硬件,[7]致使智能终端的系统崩溃或功能受限,使得用户将无法正常使用移动终端产品。
4.远程控制类。远程控制类的表现形式通常是由控制端向移动终端发出恶意控制指令,载有此类恶意程序的移动智能终端会自动获取并执行控制端发布的任意指令。
5.传播、发送不法信息类。此类恶意程序的行为特征是在用户不知情的情况下,通过复制、感染、传播、下载等方式将自身或其他不法信息传输给其他移动终端用户。
1.侵犯移动终端用户的财产权。移动互联网恶意程序对终端用户造成损失以侵害财产法益最为常见。犯罪嫌疑人利用移动互联网恶意程序向移动智能终端用户推送信息、强制安装APP应用程序,利用恶意程序以直接或间接的方式给终端用户造成不同程度上的财产损失;更甚者,由于恶意程序攻击移动终端系统,使终端设备丧失正常功能进而无法正常使用或需要高额维修费进行维修,这些情形均可以视为侵害用户的财产权益。
2.侵犯移动终端用户的隐私权。“构成移动互联网中的‘隐私’的范畴至少应当包括以下内容:第一,个人信息资料;第二,个人网络行为记录及网络行为习惯;第三,个人所记录的其他信息和生活隐私等等。”[8]犯罪嫌疑人利用终端用户的个人隐私进行牟利或者以实施其他犯罪为目的,在未征得终端用户同意或终端用户不知情的情况下,利用移动互联网恶意程序私自搜集用户的个人信息,将其搜集的数据进行记录并加以传播的行为,可以视为侵害终端用户的隐私权益。
3.侵犯移动终端用户的知情权和自由选择权。从移动互联网恶意程序的隐蔽性可以得知,恶意程序是在移动终端用户不知情或者不完全知情的前提下实施的。一般来说,犯罪嫌疑人以诱导的方式,或以后台运行的方式使终端用户在不能完全知情的情况下自行安装程序,并且在得知安装恶意程序后无法顺利卸载,此类情形是对移动终端用户知情权与自由选择权的侵害。
4.扰乱社会信息安全秩序。为扩大恶意程序的覆盖范围,行为人将恶意程序进行“包装”以吸引用户点击,或者推送至移动终端用户,在用户查阅信息时,恶意程序已经在移动终端运行,并将自行复制以同种或类似方式发送到其他端设备中,除传播非法信息扰乱社会信息安全外,大规模传播还可能使通讯网络瘫痪。因此,这些不良信息会随着恶意程序的泛滥而广泛传播,给社会信息安全形成潜在隐患,不利于社会信息安全。
技术的高速发展、社会的快速变革与法律与生俱来的滞后性形成一道不可逾越的“鸿沟”,面对网络环境下的诸多新兴犯罪行为,传统法律规范已无法较好地承担如此重任。为维护信息社会网络安全,《刑法修正案(七)》《刑法修正案(九)》新增了网络犯罪条款,但事实上仍未较好地规制移动互联网恶意程序犯罪行为。笔者认为,主要表现为如下两种情形。
1.计算机终端能否扩大解释包含“移动互联网智能终端”。例如,江苏省首例手机“恶意扣费”案,检察院决定不予以批捕的主要因由是“智能手机能否认定为计算机存在较大争议”。[9]根据我国刑法规定,计算机犯罪的侵害对象为计算机信息系统,且情节严重,而移动智能终端能否被认定为计算机信息系统径直关系到此类行为能否受到现有法律规范的规制,能否保护公民权益与社会公共利益。由此可见,刑法规范的有限性成为适用刑法规制移动互联网恶意程序的最大瓶颈,若不对“移动互联网终端”进行概念界定,将会给司法实践与刑事立法发展带来极大的困难与挑战。质言之,基于对立法、司法的成本与效率考量,现阶段宜适用计算机类罪名(涉及《刑法》第二百八十五条、第二百八十六条)对移动互联网犯罪行为进行规制。若利用上述刑法规范对移动互联网犯罪行为进行规制,需要对移动互联网恶意程序所侵犯的对象(移动智能终端系统)进行刑法上的扩大解释,将其纳入“计算机系统”的函射界限内。
2.移动互联网恶意程序犯罪的罪名认定存在困难。三网融合在给电信、广电、互联网企业带来巨大变革的同时,使得网络犯罪由固定终端转变至移动智能终端。因此,传统犯罪从“物理空间”移向“网络空间”再到“移动网络空间”的“犯罪漂移”过程基本完成,即“传统犯罪—计算机犯罪—传统网络犯罪—移动网络犯罪”。[10]现阶段,移动互联网恶意程序犯罪主要侵害社会网络安全的公共利益、网络用户的信息数据安全以及财产安全等法益。但是,由于移动互联网的技术特点以及现行刑法的相关规定自身存在局限性以及逻辑不自洽,使得犯罪方式方法存在多样性,关于该类犯罪定性存在诸多困扰。[11]
1.“计算机信息系统”扩张解释涵盖“移动设备终端系统”。笔者认为,将计算机信息系统解释为包含移动终端设备系统在内的概念,并没有超出计算机信息系统的原有范围,未违反罪刑法定原则。[12]第一,《关于办理计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条明确规定“计算机信息系统和计算机系统,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”根据上述规定,计算机信息系统包含“通讯设备”类;同时,根据通讯行业规范,通讯设备包括无线通讯设备,而移动终端设备大抵具备该项基础功能,属于通讯设备类的亚分类。因此,计算机信息系统的外延可包含移动终端设备的系统。第二,基于大数据、云计算、人工智能等数字技术的发展,使得处理信息的技术不断集成化、微小化,移动终端设备功能可能与计算机的日常功能不断趋同,使得移动终端系统将替代计算机系统成为可能。同时,“所谓移动终端设备系统,通常指安装在智能手机中的信息系统,是指使用开放式操作,同时第三方可根据操作系统提供的编程接口为手机开发各种扩展应用软件的程序。”[13]本质而言,移动终端设备系统可以视为运用计算机编写的计算机程序。
2.明确解释“资费损失类”的移动互联网犯罪应以盗窃罪定罪。 第一,明确认定实施“恶意扣费”移动互联网恶意程序的行为为“盗窃行为”。隐蔽执行、欺骗用户点击等是恶意扣费程序的外部特征。《刑法》第二百八十五条、二百八十六条对此行为均无法作出回应时,适用传统刑法规范规制新型问题,成为目前规范恶意程序的必然选择。[14]犯罪嫌疑人采取隐瞒移动终端设备用户的方式窃取财物,从客观行为显示均是由终端用户操作所致,但是扣除资费的行为却具有隐蔽性,终端用户进行选择时尚不知晓个人财产将面临减损的可能性。事实上,当个人财产出现减损时,终端用户并没有处分财产的意思,类似于终端用户对个人财产失去了控制,故可以视为构成盗窃行为。因此,笔者认为在司法解释中宜明确以盗窃罪规制“恶意扣费”类行为。第二,明确解释“恶意消耗用户资费”行为应认定为“盗窃行为”。犯罪嫌疑人在移动终端设备用户未知情的情况下,通过恶意程序软件私自向外批量发送信息,耗费了终端用户的资费和流量。笔者认为,该行为符合盗窃罪的特征,理由如下:(1)犯罪嫌疑人在终端用户不知情的前提下消耗终端用户的资费或流量的行为,悖离了用户的自由意志;(2)终端用户对自己资费与流量享有支配权;(3)犯罪嫌疑人的行为已经排除终端用户对于被消耗的资费的支配权,即该部分话费已经成为了第三人(即通讯运营公司)的财产。关于此种情形,犯罪嫌疑人的消耗行为已经排除用户对部分资费或流量的支配,即该部分资费或流量已经成为了第三人(即通讯运营公司)的财产或财产性利益,故盗窃行为已经成立并且既遂。因此,笔者认为宜在司法解释中明确“恶意消耗用户资费”类行为属于盗窃行为,应以刑法第二百六十四条定罪论处。
3.非法获取公民个人信息罪与非法获取计算机信息系统数据罪的竞合关系。对于“隐私窃取”类移动互联网恶意程序犯罪,行为人在隐瞒用户的情况下利用恶意软件非法侵入移动端后盗取用户存储在通讯录、记事本中的信息及用户移动互联网中的个人信息,如若依托现行刑法以及上文对“计算机信息系统”的扩张解释,其行为既构成“非法获取公民个人信息罪”,又符合“非法获取计算机信息系统数据罪”的要件。这种情况下,这两个罪名存在交叉关系,应当根据重法优于轻法的原则进行处理。
一般认为,确立网络财产犯罪的特有定量评价机制,主要包括两大指标即数额和情节两类。相较情节,数额的确定是我国刑法最为常见的犯罪构成的定量因素。[15]随着传统网络犯罪向移动互联网络犯罪的“漂移”,并结合移动互联网的技术特点,使得难以确定犯罪嫌疑人的犯罪数额,部分犯罪嫌疑人即使行使相关行为,却因为犯罪数额问题而未被刑法所规制。例如,江苏省首例手机“恶意扣费”案,检察院决定不予以批捕的另一主要因由是“难以认定已到了‘后果严重’的入罪标准”。[16]因此,应当考虑移动互联网恶意程序犯罪的网络特性,在犯罪定性方面,尤其在定量上实现以“数额”为中心的标准转向受害人的人次、用户点击数、注册的会员数和违法所得等“情节”标准的转变,[17]其实质在确定犯罪数额时可以参考民事侵权判定的若干规则或方法。
网络空间的互联性与传统犯罪的最大不同在于受众群体体量庞大且分散化,倘若仍以犯罪“数额”为中心较难适应网络空间,对分散且庞大的受害人数难以进行充分考虑。现阶段,司法实践以用户点击数、注册会员数、受害人次的新型量化标准作为司法实践评断标尺,不仅使民刑的方法可以相互贯融,同时该种方法的客观量化特性将成为专门判定移动互联网络犯罪的定量标准。
参考文献:
[1][3][11]孙道萃.移动智能终端网络完全的刑法应对——从个案样本切入[J].政治与法律,2015(11).
[2]北大法宝.中央法规司法解释.移动互联网恶意程序监测与处置机制[EB/OL].http://www.pkulaw.cn/_form.aspx?Db=chl&Gid=163589&keyword=%e6%81%b6%e6%84%8f%e7%a8%8b%e5%ba%8f&EncodingName=&Search_Mode=accurate, 2017-09-15.
[4]李洪涛.浅谈三网融合背景下智能手机犯罪及其刑事立法调整[J].法制与社会,2013(5).
[5]王倩云.关于手机恶意程序的刑法学思考[D].北京:中国政法大学硕士学位论文,2012.
[6]何 倩.手机犯罪新趋势探究及侦察对策——以智能手机、3G 手机为主要视角[J].北京人民警察学院学报,2010(1).
[7]李 俊.一种基于云—管—端的移动互联网恶意程序管控方案研究[J].电信科学,2013(8).
[8]凤建军.流氓软件法律问题研究[J].河北法学,2008(6).
[9][16]周 斌.全国首例手机恶意程序案定性难[N].法制日报,2011-05-27.
[10]于志刚.网络、网络犯罪的演变与司法解释的关注方向[J].法律适用,2013(11).
[12]张明楷.刑法学[M].北京:法律出版社,2011.
[13]李 惠,丁革建.智能手机操作系统概述[J].电脑与电信,2009(3).
[14]于志刚.论传统刑法与虚拟空间的冲突和衔接[J].浙江社会科学,2004(1).
[15][17]于志刚.三网融合视野下刑事立法的调整方向[J].法学论坛,2012(7).