大数据时代电信网络诈骗犯罪的防控反思

娄永涛，唐 祥

(1.南京财经大学， 江苏 南京 210023；2.成都市锦江区人民检察院， 四川 成都 610055)

日本学者大河原克行指出：“现在是‘海量信息’创造财富的时代……大数据的核心就是收集到以往无法收集到的数据，看见以往看不见的事物。”[1]随着互联网、智能手机的普及，人们开始拥有并发送大量的数据，大数据不仅使“隐形知识”可视化，通过对多种数据的整合，还可以得出精准的预测。很多APP、网购平台和移动支付终端要求先注册个人信息才可登录使用，在获取公民个人信息的同时也加大了信息泄露的风险。利用电话和互联网等电信技术传播信息的功能，向不特定的人群发布虚假信息来骗取数额较大的公私财物，这种传统电信诈骗历经打击后已衍生出新的形态。诈骗分子利用大数据获取个人信息，有针对性地制定诈骗套路，如冒充熟人诈骗、求职诈骗、校园贷诈骗、保健品购物诈骗等多种契合被害人需求的诈骗手段。这种精准锁定个人信息的电信诈骗案件让人真假难辨、防不胜防，引发公众焦虑不安的情绪，影响社会的和谐稳定，急需司法机关找到破解这一社会治理难题的有效防控路径。

一、大数据时代防控电信诈骗的三大难题

随着大数据的发展与智能通讯技术的进步，犯罪集团的隐蔽趋势愈发明显，犯罪分子愈显高智商化，犯罪手段的智能化不断升级，防控电信诈骗犯罪形势十分严峻，存在三大难题。

(一)大数据规制出现“真空”，信息数据获取监管不规范

瑞士研究网络犯罪的苏朗热·戈尔纳奥提指出，网络犯罪运用“钓鱼”等成熟的社会工程技术在网上诱骗人们泄露私人数据、银行账户信息和密码，进而实施各种网络诈骗[2]。早在2016年公安部就统计公布了48种常见的电信诈骗案件，已从运用邮寄包裹信件、利用手机拨打电话、利用短信群发器、利用电脑群发软件、400捆绑电话等途径散布虚假信息实施诈骗，发展到综合运用VOIP网络电话、“伪基站”“钓鱼网站”、有线和无线网络设备、网上银行、手机银行、第三方支付等技术和平台，散布虚假信息实施诈骗、转移钱财[3]。随着大数据技术的发展，智能化程度不断提高，犯罪的科技手段不断升级。例如，近年来发生的诈骗团伙通过劫持GSM短信信息，用短信嗅探技术对受害人银行卡实施盗刷。这些诈骗手段结合最新的网络技术，针对不同群体，量身定制骗术，极易突破被害人的心理防线，手法之新、类型之广，令人防不胜防。

“信息社会最显著的特征是信息创造价值。”[4]个人信息具有商业价值，一些掌握信息源的机构或个人，为了谋求非法利益，通过隐蔽手段倒卖个人信息，导致公民个人信息从源头泄露。虽然相关职能部门在防范电信诈骗方面做了大量工作，如金融监管部门出台办法限制开卡数量，通讯部门限期手机实名制等取得了实效，但仍有一些网络通讯商、银行金融机构等为了揽客户，对各类假名登记、申办业务行为听之任之。在大数据时代，个人的私密数据很容易被自己无意识地泄露并被各种数据平台或者手机APP收集。日本IBM公司认为大数据具有4个特性：多样性、高频性、海量性和精确性。例如“多样性”不仅指企业等信息系统收集的结构化数据是多样的，文字、声音、影像、点击流等非结构化数据也是多样的[1]。由此，通过大数据的几个特性来看，大数据可以收集的个人信息的形式、内容也是多样的，当前我们国家的法律并没有系统纳入法律规制，还存在立法规制的漏洞。

日本学者松尾丰和盐野诚对谈时，涉及到一个尖锐的问题：大数据是属于谁的？国家使用公民个人数据时，“如果这是用于改善自己接受公共服务质量，那把个人数据交给国家也无妨”，但如果普通企业或个人使用个人数据的时候怎么界定呢[5]？换言之，个人的数据是否属于个人财产？这个问题在世界很多国家的法律规定中都还不完善，存在很大的“真空地带”，这也为一些犯罪分子提供了滋生犯罪的温床。我国关于大数据权限和使用规则的法律规定也是很不完善，目前只能通过侵犯公民个人信息罪等几个罪名来进行打击和约束。2017年中华人民共和国最高人民法院和最高人民检察院(以下简称两高)发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条、第五条将公民个人信息限定为识别自然人身份的信息和反映自然人活动情况的行踪轨迹、通信内容、征信等各种信息。随着云计算和云存储的技术日益成熟，使得数据通过网络实现便捷的存储共享成为可能，在给人们带来生活便利的同时，也不可避免地带来了潜在的巨大风险。实时抽取庞大数据的技术设备——传感器的价格日益下降，传感器的应用门槛也不断降低，由此带来了一系列问题：如何规避窃听、偷拍？如何在收集传感器信息的过程中，保障信息的安全？这都是亟待解决的技术难题和法律痛点。

(二)网络犯罪打击难度大，难彻底铲除

在大数据时代，一些企业通过网络或者手机APP很容易收集到很多个人信息数据，并通过网络等多种渠道进行多次倒卖，导致犯罪分子获取个人信息的渠道极为便利和隐蔽，加上电信诈骗犯罪的组织日益严密、分工更加细化、手段更为隐蔽，具有职业化、集团化和地域化的发展趋势。新型电信诈骗涉案成员构成逐步由互相熟悉的家族成员、朋友、同学共同作案，发展为陌生人通过网络、手机聊天软件单线纵向沟通交流，借助网络通信、大数据技术横向阶段式独立，总体协作的方式来作案，并且主犯多隐藏在境外，从犯、帮助犯等分散在境内。传统电信诈骗成员彼此之间具有较为深厚的情感，即便是被抓捕、被起诉或被审判，也基本上不会供述其同伙，因而导致难以开展深挖犯罪工作；而现在，新型电信诈骗犯罪成员之间彼此单线联系且身处地域跨度较大，一般只能抓住个别犯罪组织的下属或打掉少数组织下端的小团伙，极难将整个犯罪集团连根拔起、彻底铲除。

为逃避司法机关的打击，电信诈骗犯罪分子流动性和反侦查能力极强，往往隐藏自己的真实身份，经常更换居住地址，不易被抓捕；犯罪集团核心成员往往身处境外或港澳台地区，各地刑事司法协作不尽完备，更给打击犯罪带来困难；一些地域性电信诈骗犯罪重灾区整治还不够彻底，如福建省龙岩市新罗区被点名为网络购物诈骗犯罪重点地区，广西自治区宾阳县被点名为假冒QQ好友诈骗犯罪重点地区等，发案率居高不下，出现了屡打不绝的现象[6]。另外，虽然侦查机关已经开始利用大数据技术来进行犯罪侦查，尤其是发现并锁定犯罪嫌疑人的技术较为成熟，但是在完成第二项重要侦查任务即收集犯罪的证据材料方面的作用极为有限。在公安适用技术侦查措施的570份裁判文书中仅有52个案件，也就是9%的案件中技侦措施被用作诉讼证据，并且113件适用大数据技术的案件均未被用作诉讼证据[7]。这也反映出我国大数据侦查的应用目前还处在初级阶段，尤其在处理公民隐私权的不当干预与对犯罪精准打击的合理协调上还有很多的问题亟待解决。

(三)用高新技术侦办案件分歧较多影响效率

虽然2011年两高出台了《关于办理诈骗刑事案件具体应用法律若干问题的解释》对电信诈骗犯罪作出规定，2019年出台了侵犯公民个人信息的最新司法解释，但是电信诈骗手段不断翻新，涉及大数据、云技术、网络通讯、电子支付等诸多新领域，导致新型电信诈骗定罪量刑标准滞后的立法漏洞，司法过程中引发很多争议。以冒充公检法电话诈骗这种典型的电信诈骗定性为例，在司法实践中就有两种分歧意见：一种观点认为，应当按照招摇撞骗罪和诈骗罪的法条竞合规则定罪处罚；另一观点认为，应当按照招摇撞骗罪和诈骗罪的想象竞合犯从一重处断[8]。在量刑方面包括该类犯罪的犯罪数额问题、既未遂问题、共同犯罪问题等，如多人分工协作实施电信诈骗是按犯罪集团处理还是按一般共犯论处，在司法实务方面包括管辖问题、证据审查问题、侦查技术问题等，如关于电信诈骗犯罪的证据效力认定问题，有观点认为，扣押清单与搜查笔录不一致、手机串号最后一位数不确定等证据使瑕疵证据不能成为定罪依据；又有观点认为，虽然前述证据单独看或有瑕疵，但只要综合看所有证据能够形成证据锁链，就可以成为定罪证据(1)四川省成都市检察机关案例选编。。

将大数据这种尚在发展的新技术作为办案手段也可能会引发更大的分歧。大数据技术的应用是以收集并分析大量数据为基础的，但是大数据的作用并不仅限于此，而是根据分析结果加以预测并制定预先的应对措施[1]。大数据的挖掘或预测结果极度依赖作为源头的数据质量，数据被污染或有瑕疵将直接导致误导性甚至根本性错误[7]。关乎公民生命与自由的刑事司法领域的容错率极为有限，基于污染或错误数据开展的大数据侦查和裁判，极可能误导司法机关不当干预公民权利乃至剥夺公民个人自由和生命，从而引发新技术导致的一系列冤假错案。这就导致当司法实践中涉及到新技术类型的犯罪时，侦办案件效率不高。

二、大数据时代电信诈骗犯罪“防控难”的因由

在大数据时代，新技术给社会生活带来的风险无所不在，刑法作为防范风险的最后屏障，公安司法机关理应成为防控电信诈骗犯罪的排头兵。然而，盲目夸大司法机关的作用也是不可取的，只有深刻剖析新型电信诈骗成因，才能找准根治顽症的良方。

(一)风险成本与犯罪收益的“博弈”与选择

美国学者迈克尔·戈特弗里德森指出：“犯罪的数量深受犯罪活动的性质、犯罪活动包含的危险性(被逮捕和受惩罚的危险性)、犯罪所需付出的努力以及犯罪能够产生的利益的制约。”[9]被逮捕和受惩罚的危险性会有效阻碍涉及长期计划和大量投入的犯罪活动。犯罪必受处罚的刑法威慑力不足，一些犯罪分子更是有恃无恐地进行电信诈骗。当前，我国经济处于转型升级时期，很多与互联网、大数据关联的新型经济模式如雨后春笋般涌现，相应立法的滞后性导致了法律规制的漏洞。受到利益的驱动，电信诈骗犯罪分子在风险与利益之间博弈，走向了“经济成本低、非法收益高”的诈骗之路。据媒体统计，电信网络诈骗给被骗个人或企业、单位造成了极大的经济损失，少则几千，多则上百万甚至上亿元的财产损失，与巨大的获利相比被破获抓捕到的风险相对较小[10]。

为了规避法律制裁风险，谋求更大的经济收益。新型电信诈骗组织的分工架构已高度专业化和职业化，充分勾结网络社会中的灰色产业链，来买卖个人信息数据，然后利用这些信息数据筛选诈骗对象，制定周密的诈骗方案进而分工实施诈骗行为，并对诈骗资金转移分流等，是一个闭环的诈骗产业链。诈骗团伙的分工也从过去“通讯组”“技术组”“取款组”的简单分工，发展到与网络上非法获取公民个人隐私信息数据的个人或者公司进行合作，与网络黑客进行技术服务支持的买卖交易，甚至将传统的“取款业务”也外包给有资金分流或洗钱渠道的个人或者公司来专门处理。这种流程的分段外包看似较传统诈骗组织更松散，但正是对非法利益的共同追逐，新型电信诈骗犯罪分子与灰色产业群的合作变得更加紧密，不断拓展犯罪空间，形成了犯罪生态链条，严重影响了社会经济发展和公众的安定生活。刑法的目的是预防犯罪行为的发生，可通过“特殊威慑”“普遍威慑”和剥夺再犯能力这3种途径借助于刑罚来实现，对利用大数据技术实施电信网络诈骗的犯罪亦是如此。

(二)大数据产业存在行业失范和监管不力

法国社会学家迪尔凯姆在研究有机社会中的病理状态——“失范”时明确指出，“失范”是缺少行为规范和道德控制的一种社会的不正常状态，人们容易迷失于合理有效的规范和行为中，缺乏有效约束和控制，个人欲望和行为无限膨胀[11]。与电信网络诈骗犯罪关联的行业失范，主要是互联网、通信、金融服务、大数据产业等行业内部缺乏对从业人员适法性的规范约束，相关行政部门对这些行业的监管存在漏洞，导致部分从业人员倒卖他人信息数据资源、非法贩卖移动通讯设备、违规办理网络或金融账户、特殊号通信业务等，为新型电信诈骗犯罪提供技术支持和帮助，失范行为和犯罪行为不断增加。例如第三方网络支付平台监管不到位，犯罪分子利用电子支付方式轻松转账，甚至实现其“洗钱”目的。除了以上单位对用户的监管不到位外，工信部、银监会、工商管理等政府部门还存在对电信运营商、金融机构和第三方支付平台监管不力的问题，这是前文所述行业失范问题的重要原因。

在经济飞速发展的转型期，大数据和网络经济给当前的社会带来了巨大的利益增长，互联网和电商平台创造了很多短期内暴富的神话。这也激发了人们通过网络淘金暴富的创业激情和欲望，淘宝、京东、跨境电商等C2C的营销模式，也衍生出了P2P互联网金融、共享经济模式，更滋生了网络传销、E租宝、钱宝网等利用人们急于通过网络暴富的心理实施诈骗的多种犯罪形态[12]。法国社会学家迪尔凯姆在《自杀论》中拓展研究“失范”理论时指出：“经济繁荣时期的失范比经济衰退要更为严重，因为经济繁荣刺激了欲望的产生，而此时恰恰约束这些个人欲望的规则体系已经崩溃。在经济飞速发展刺激个人欲望膨胀时，极易导致传统规则在民众心中失去权威，欲望的实现这种莫大的奖赏刺激着人们更急功近利，更加漠视规则的约束和控制。此时，外界约束规则的缺失必然导致违规状况或社会反常状况进一步恶化。”[13]

(三)立法滞后、司法疏漏导致打击不力

虽然我国《刑法》《电信条例》《维护互联网安全的决定》和《办理诈骗案件若干问题的解释》对电信网络违法犯罪均做出了明确规定，但是正如前文所述，电信网络诈骗在定罪量刑等实践方面还有诸多争论，《刑法》及相关司法解释未作出有针对性的细化新规定，现有规定可操作性不强，无法适应新型电信诈骗的立法需要。除此之外，个人信息保护、电信、金融等行业领域存在法律法规滞后问题，如刑法对公民个人信息保护的法律规定比较笼统，可操作性不强；又如电信、金融、互联网等行业法律规范不足，导致虚假信息泛滥，电子支付漏洞、网络病毒等为不法之徒利用，给电信诈骗犯罪的滋生蔓延提供有利条件。

新型电信诈骗犯罪主要是犯罪集团与司法机关在通讯、金融和互联网领域的技术对抗，而实践中司法人员缺乏电信、金融和互联网等知识的储备，打击能力相对不足，达不到预期的打击效果。据2015年的统计，全国公安机关对电信网络诈骗的立案共59万起，而检察机关起诉的和法院审结的却只有千余件，总计222亿元经济损失中被追回的只是“九牛一毛”[14]。尤其是在办理跨国电信诈骗犯罪时，司法机关需要跨境侦办案件，在收集、固定相关电子证据时很难短期内及时高效地处理，涉案赃款赃物的冻结、追缴面临多重困难，与境外相关司法机关协作配合机制不健全，使得办案成本高但效率很低，导致公安机关对电信网络诈骗立案较多，囿于证据收集不全等问题，能够被检察院起诉、法院审判的案件数量大幅度降低。

三、大数据时代防控电信网络诈骗的思路

大数据时代对电信网络诈骗犯罪的防控应采取新理念与方法，应当顺应大数据技术引发的社会生活变化，从完善大数据技术运用、规范大数据行业规则推动社会治理和多层次刑事控制协调3个维度寻找新的防控思路。

(一)大数据技术的开发应用同步防范涉罪风险

大数据技术是一把双刃剑，它在造福人类的同时也潜藏着诸多风险。有些属于容许的风险，即我们因为追求一个更高度的利益而可以接受该行为的附带风险[15]。大数据技术对社会生活和经济发展是有正面效用的，因大数据技术不完善而潜藏的技术风险是被容许的风险。电信诈骗者利用大数据技术等前沿科技，非法获取公民个人大量隐私信息进而设计各类新型诈骗套路，不是大数据可容许风险的范畴，它给我们的网络通信安全和个人隐私保护敲响了警钟。大数据时代可能引发的违法犯罪风险，“表现在云计算对于低价值密度的数据进行挖掘的信息价值实现过程，使元数据窃取的也具有核心信息泄露的不确定性”[16]。电信诈骗分子正是利用了大数据、网络通信等科技手段精准获取客户某方面的需求，制造诸如“杀猪盘”等新型电信网络诈骗。司法机关需加强与互联网平台公司、网络安全公司等技术合作，在依法整合大数据的基础上，开发高精尖技术，斩断新型电信诈骗犯罪上下游违法犯罪生态链。

首先，个人隐私和信息安全保护技术要与新科技同步，不仅要从PC终端、手机通信终端等硬件设备上加强技术防范，也要从操作系统、应用软件和手机APP等软件系统上强化技术防范[17]。例如，在个人PC端、手机等硬件设备上有针对性地预装一些隐私安全软件、加密软件和自动清除软件。利用大数据技术借助电信通讯、网络监控平台过滤和报警诈骗信息、网页，在APP或者网络平台定期或不定期地发布揭露各类新型电信诈骗手法的短信，确保广大群众不被诈骗电话或诈骗短信攻击。其次，运用现代生物技术和大数据技术，建立人脸识别、指纹识别、语音识别等数据库，对虚假身份信息快速准确鉴别，严防套用、伪造、变造公民个人身份信息等情况。强化规范互联网商家对用户信息数据的保护，运用大数据技术实时监控网络平台、网络商家或软件服务商非法收集、过度收集公民个人隐私的不当行为，严厉打击泄露、倒卖公民个人电子数据、隐私信息的行为。最后，在限制和举报资金非法转移方面，通过对银行交易系统、第三方支付系统等设置技术屏障，对向境外转账、支付的账户设置单日交易金额和次数的上限，在ATM机上增设防骗警示屏幕和加装防骗语音提示系统，从而有效阻隔或切断涉案资金的非法转移。

(二)顶层设计+多方联动推进“双层社会”治理

习近平总书记在全国网络安全和信息化工作会议重要讲话中强调：“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”《网络安全法》对公民个人信息保护、大数据传输等规则予以法律确认，但还需要政府主导加强信息安全保护、大数据传输的顶层设计，不断健全信息安全防护制度体系。在不断加强个人信息安全知识宣传教育的基础上，相关职能部门要在法律法规、大数据应用、网络通信建设等方面与司法机关协作配合，通过多元的治理系统对新型电信诈骗犯罪展开整体战。如电信、金融等主管部门要实时监控电信、金融等行业的信息保护工作，鼓励和支持相关公司建立网络改号诈骗电话拦截阻断和快速通报关停制度，以及涉案账户紧急止付和快速冻结制度，封堵电信、金融等领域的安全漏洞。

随着电子商务、网络社区等在网络空间的发展成熟，对现实社会辐射效应极大的网络空间已成为人们日常活动的“第二空间”——“双层社会”逐渐形成[18]。在双层社会空间要防范大数据技术发展引发的犯罪风险，除了在源头上加强顶层设计和行政监管外，还要提高大数据产业的行业自律和规范，多方联动切实做到负责任地使用隐私信息和大数据。一方面，网络运营等大数据行业的工作人员应强化自我约束和相互监督；相关行业协会应强化自律机制建设，增加信息数据安全方面资金、政策的战略投入，建立对用户数据负责任使用的内部监督机制，建立并完善相关人员诚信档案，对违背承诺买卖各类信息数据的个人公司进行严厉惩罚和制裁。另一方面，电信运营商、金融机构等应强化信息数据的审核、传播和使用，例如电信运营商必须严格落实手机、“一号通”和“400”电话等实名制，严格规范、审查移动通讯账号身份、短信群发业务、VOIP线路及“透传”线路等举措。

(三)严密法网+强化司法协同推进法治保护

大数据具有无形、可复制、易传播的特征，而网络社交、网络购物等领域广泛使用云计算等大数据技术极易导致个人隐私信息的复制传播。现有电信、金融相关法规体系已不能较好地适应大数据时代需要，具体的完善思路如下：

1.严密法网为大数据行业监管和约束提供依据

除依赖大数据产业的行业监管和自律外，还须尽快弥补法律漏洞，运用法律法规保护公民个人信息、电子账户密码等电子数据的安全。第一，《民法总则》第一百一十一条对公民个人信息采取“事先同意”和确保“信息安全”的原则，却未明确个人信息的内涵，也未赋予公民个人信息查询、更正、补充、删除等权利[19]。加大对司法机关法律适用的立法支持，如健全电子证据的收集、固定、审查、司法协助，涉案资金返还及跨境协助等制度。第二，升格《电信条例》《互联网信息服务管理办法》《中国互联网行业自律公约》为基本法，补充完善《银行法》等金融法规来规范互联网金融平台的运行规范和法律责任。完善个人信息非法传播的问责机制，强化网络留存的个人信息安全保密制度和规范追责机制等相关规范机制。

2.强化刑法对数据信息资源全程的严密保护

在大数据时代，个人隐私和财产都被网络技术处理为一系列的电子数据，刑法须突破传统思维，重视数据犯罪对原有数据信息保护体系的全面切入[16]。立法应从源头上对非法收集、贩卖、传播、使用大数据的黑客和监守自盗、非法牟利的大数据从业人员及企业从严从快打击，形成强大的刑法震慑力。目前我国刑法只是对非法倒卖公民信息、利用公民隐私信息实施犯罪的行为人进行刑事打击，对网络平台运营商没有采取相应的技术措施的刑事可罚性问题并无规定。例如，网络服务商没有将已知的诈骗网页邮件的发送者从网络上清除时，是否可认定为诈骗行为帮助犯？而德国《电子服务法》很早就有规定：网络提供商只是单纯传导数据，毋需对数据类犯罪承担责任，但在网络提供商知晓某一网络来源的违法内容时，有相应技术能力却仍故意不封锁时，系居于保证人地位，应当承担刑法上的责任[20]。

3.强化司法机关主导多方协作打击电信网络诈骗

在大数据时代，电信网络诈骗分子利用大数据技术获取的个人信息数据实施跨地、跨国电信网络诈骗，并根据个人信息数据量身定制精准的诈骗套路，危害性和打击难度极大。对此，司法机关应当加强内外沟通协作。第一，在司法机关内设机构之间应当形成工作合力，例如检察机关内部整合刑事、民事、行政等不同检察部门力量，以及与公安刑侦人员沟通协作，探索解决电子证据的收集、固定、举证标准认定和举证责任分配等司法难题；第二，司法机关应联合国内的大数据企业加大对司法办案人员的网络通信知识、大数据技术等专门培训，提高办案人员的电子证据取证、鉴定和审查的技术能力；第三，与境外司法部门协作搭建信息资源共享平台，或建立沟通交流联席会议机制，协商解决电信网络诈骗犯罪的取证协作机制、涉案资金冻结、追赃机制以及涉案人引渡等难题。

四、结语

在大数据时代，数据和信息已经成为网络社会和现实社会的核心要素。互联网公司通过云计算平台挖掘出的公民个人信息数据，已经成为企业的重要核心资产。是否应当严格区分数据和信息的差异，明确公民个人数据信息的权利属性， 公民授权同意大数据企业获取的个人信息的使用边界和可追责范围，以及司法机关在利用大数据技术侦办案件时如何处理好公民个人隐私与非法数据信息监控之间的平衡，都是需要深入研究的法律问题。未来网络交易会比现在更普遍化、更国际化，可能会出现更多的跨国界、跨文化的电信网络诈骗案件，因此需要司法机关联合多方力量建立信息监控巡查等司法联动机制，全面切断新型电信诈骗犯罪跨地域的信息链和资金链，努力做到全面系统地打击电信网络诈骗及其上下游的违法犯罪行为。