电信网络诈骗“黑产”链中的个人信息侵犯及规制
——以“两卡”犯罪帮助行为为切入点

黄 成，孔 尧

（北京市朝阳区人民检察院，北京 100025）

一、电信网络诈骗的产业化及其对个人信息安全的威胁

电信网络诈骗是我国非法利用互联网犯罪活动中由来已久、也具极大社会危害性的一种犯罪形式，是诸多形式诈骗犯罪中打击难度较大的一种。此类犯罪从2000年后由台湾引入我国东南沿海地区，其突出特点之一，就是以地域性职业化为基础、实现了“犯罪产业化”：电信网络诈骗由犯罪集团为主导的诈骗活动，分离成了多个团体的犯罪活动，形成一个互为基础、相互依存的上下游链条关系[1]。可以认为，“电信网络诈骗”作为一种不法活动，在现实角度上看已不能再被视为单纯的财产犯罪，而是关涉多种罪名的复杂犯罪系统，“信息网络犯罪活动分工细化，逐步形成由各个作案环节构成的利益链条，甚至‘流水线’式作业，从而导致信息犯罪日益泛滥，已是不争的事实”[2]。这种共生链条所涉及的法益危害自然也超出了单纯的公民财产权益；在由电信网络诈骗所带动的诸多类型上游犯罪活动中，包含着对公民个人信息安全的威胁。而随着此类犯罪在专项打击下扩展到全国各地，原本基于地域性犯罪产业而联系在一起的犯罪链条随之进一步分散化。而在今日的上游产业与下游诈骗团伙间，不一定需要人员的直接对接，甚至可能不存在明确的诈骗共谋，而在上游环节内部也出现了进一步的分工分层，总体而言具有了更强的独立性（但其作为产业链的相互依存并未消失）。在这种背景下，要实现对电信网络诈骗的有效治理，需要更清楚的罪名适用来完整打击这一日趋复杂化的全部环节。

在电信网络诈骗的“产业链条”中，对公民个人信息的非法获取和利用是诈骗活动上游环节里的突出一环。信息网络的发展使得诈骗犯罪不需要物理接触被害人同样能实施既遂，但反过来也使得此类犯罪对个人信息的利用产生了更大依赖。因此，对公民个人信息的获取是电信网络诈骗中始终存在的重要主题，信息本身不能直接为诈骗团伙谋得不法利益，但对其实施犯罪有着重要帮助作用。根据《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息刑案解释》）之定义，法律上所言之个人信息，其本质功能在于能够识别出特定自然人之身份，或是反映其活动情况[3]。在上游环节非法获取公民个人信息，而后在诈骗实施中作为锁定被害人及设计骗局的基础材料，这是电信网络诈骗中为提高诈骗成功率而经常采用的做法，也是此类犯罪与个人信息侵害最典型的关联方式。例如，在网络购物类诈骗中，通过获取公民的网络购物账户信息，冒充商家向其声称所购产品存在质量问题，为其提供退款服务；或者获取公民照片、信用卡信息后，冒充国家机关工作人员要求被害人协助调查，过程中向其展示虚假的“银行冻结通知”“通缉令”，恐吓被害人。由于诈骗团伙确实能够向其提供真实个人信息，其骗局也具备了更强的迷惑性。此类典型应用，可是诈骗犯罪实施者对个人信息识别功能的正向利用。

另外，诈骗犯罪的实施者也会反向利用手中信息的识别功能，通过冒用身份来绕过现有的反诈防控，这一点对当前的网信诈骗来说可谓更加的“关键”。对公安机关及电信、金融机构的严加防范，采取一定的身份冒用绕过监管，是此类犯罪实施得逞、逃避打击的必备要件。负责完成这一环节的诈骗上游产业，即对实名制电话卡、银行卡这两类实名卡的非法开办及贩卖活动。当前我国公安机关已将此二类非法开办、贩卖实名卡的行为合并简称为“两卡”行为，并有针对性地开始进行专项打击。“两卡”行为虽以实名卡的实物为客体，但在电信网络诈骗实施过程中，不仅会利用实名卡原有的通信或金融支付功能，与号码、账户实名绑定的个人信息也会发挥重要的犯罪帮助作用：诈骗团伙在呼叫、收款时，往往使用由他人开办的实名卡，以此隐瞒自己的身份，在本应实名运作的系统中实现了匿名活动。这种做法实质上是一种对自然人身份的冒用，是将他人身份信息用作逃避侦查打击的工具。此外，虚假的个人身份信息还可用于规避技术性反诈手段中：只要诈骗团伙同时持有多份个人信息、彼此配合，即使其号码被查封、禁用，也可继续利用其他虚假身份实施犯罪。正因为这种由个人信息冒用带来的变相匿名性，“两卡”非法供应链成为了今日我国电信网络诈骗高发的重要根源。

基于上述方面的因素，今日的电信网络诈骗在实施上已经和非法利用公民个人信息密切绑定在了一起，其对个人信息不法利用的广度、深度也随此类犯罪产业扩散全国而不断增大。保护个人信息、规范个人信息的应用，不能与针对网络信息诈骗的治理分割开来。此外，帮助行为对犯罪实施的作用在网络时代日渐重要，甚至一定程度上“已经逐渐占据了主导地位，开始突破帮助行为在犯罪中的从属地位，并主导犯罪和引领犯罪”[4]。打击此类帮助活动，对防治电信网络诈骗而言是具有极高优先性的工作任务，也是一个极为有效的着力点。

二、涉个人信息犯罪帮助的治理难题：打击“两卡”中的规范适用疑难

由于电信网络诈骗对个人信息的不法利用方式不止一种，要对此类上游犯罪产业进行刑法的规制，自然需要考虑适用到多个不同罪名。我国刑法对个人信息相关犯罪加大关注，部分原因就是诈骗犯罪的高发——正因为非法提供、获取公民个人信息可谓电信、网络诈骗之根源，2015年《刑法修正案（九）》才在既有的个人信息犯罪基础上，修正设立了侵犯公民个人信息罪，并在原有基础上扩大其主体范围，提高了法定刑[5]。为犯罪团伙非法提供各类个人信息、用以锁定被害人，是电信网络诈骗活动中侵害个人信息的最典型形式，如此明知他人实施犯罪而向其提供个人信息的行为，已在《个人信息刑案解释》被明确列举为“情节严重”情形之一。因此，对非法提供个人信息、供诈骗分子使用的上游犯罪行为，刑法已经充分地将其纳入到规制范围当中，可以径直适用侵犯公民个人信息罪来加以制裁，在此没有教义学意义上的刑法适用疑难。

然而对于“两卡”类行为而言，虽然同样涉及对个人信息的不法利用，却不能简单地予以相同途径规制。由于侵犯公民个人信息罪属于刑法分则第四章“侵犯公民人身、财产权利”罪名之列，故此罪名所要保护的法益应在公民人身权利或民主权利范畴之内[6]。“两卡”行为与前述典型的个人信息侵害存在重要不同：其实施者均为自愿参与提供实名卡，而如果其对个人信息的处分属自愿行为，那么将很难认为其个人权利受到了侵害（或者说，这种侵害因当事人自身的认可变得不值得刑法介入）。由于电话卡、信用卡本身在信息载体外还具备特定功能，此类行为一般也牵涉到了对其他类型法益的侵犯。在此“一行为侵害了数个法益，非刑法某一罪名单独适用可以完整涵盖”[7]，也即存在犯罪的想象竞合。首先，为他人提供信用卡信息、持有他人信用卡的行为本身也扰乱了金融管理秩序，可以构成非法提供信息卡信息罪或妨害信用卡管理罪，前者甚至可视为对个人信息在金融领域的专门刑法保护。同时，这种供卡行为对犯罪的帮助性确凿无疑，因此无论开办的是何种实名卡，只要行为人在明知心态下将其提供给网络诈骗或其他犯罪团伙，都可能构成帮助信息网络犯罪活动罪。

然而随电信网络诈骗活动在全国范围内的扩散，“两卡”行为的实施方式也随之发生了相当的改变，有必要重新从实务细节上审视其规制问题。如前文所述，电信网络诈骗在我国始于地域性产业，随专项打击力度的增强，在近年来逐步扩散到全国。这种全国扩散的重要表现之一，便是其产业链愈发弥散化：虽然在组织性上有所下降，但依赖于网络通讯及物流服务，其参与人数、涉案规模、分工程度反而有所提升，逐步发展为“一对多”甚至“多对多”的非法交易网络。

当前实务中处置的“两卡”类违法行为，基本都呈现出此种合作松散的多层级结构。诈骗团伙实施电信网络诈骗，不再需要安排专人直接办卡，而是通过供应商通过供货渠道批量收卖犯罪用卡，而维系这些渠道的正是职业化的“两卡”倒卖人，此类群体正是当前“两卡”犯罪产业的主要参与者。倒卖人一般以发布广告等形式招揽办卡人，将其组织起来开办实名卡、并收购倒卖。多次交易后，倒卖人往往还会继续在开卡人中发展出“带队人”，由后者负责组织具体的办卡指挥和接头收卡活动。一个“带队人”可以与多名倒卖人合作，倒卖人之间也可能存在多层倒卖、多方售卡的关系。从实际办卡人开办实名卡，到诈骗分子最终利用其实施犯罪，中间可能存在三层、乃至更多层级的转手交易，如此俨然形成了一个规模化的非法市场。

在现有的相关规范框架下，这种结构弥散化让一部分“两卡”活动的刑法规制遭受了意外难题。由于不法活动在整个链条上化整为零，即使能明确个别参与人的行为具有相当违法性，也难以在现有规范中找到衡量其情节严重性的认定规则，导致其不法行为能否入罪在实务上存疑。这一问题集中体现在针对帮助信息网络犯罪活动罪的法律适用上，特别是针对实名手机卡的倒卖活动。在两高法释〔2019〕15号第十二条的规定中，分别从帮助对象数量、违法所得、支付结算金额等六个方面规定了帮助信息网络犯罪活动罪情节严重的认定标准，在“两卡”案件的实务处置中，就此规范可能出现难于适用的情形。首先，对“两卡”活动而言，查证帮助对象的数量存在极大困难：电信诈骗的打击难点之一就是犯罪者往往身处台湾或境外，无从查获犯罪人的所在，而“两卡”产业链条的高度分散化，更使得售卡者本人无从掌握实名卡的具体去向。经层层转手倒卖之后，司法机关只能确证相关实名卡最终被用于犯罪当中，却无法掌握具体的帮助对象身份，更无法确认其数量的多少。其次，当前司法解释以违法所得一万元作为入罪门槛，但对于“两卡”交易而言，这种违法所得不仅在查证上有难度，更时常与其危害程度不成正比。居间从事“两卡”活动者往往多头交易、零散销售，单张、单笔交易收益极低，转手实名电话卡的单张交易价格不过数十元，银行卡不过数百元，要达到总计一万元以上的标准，需要能确证单个不法交易人总计提供实名卡达到数百张之多。如此大的数量要求不仅查证难，也远超出了下游犯罪活动对工具帮助的需求——从实务上看，一个诈骗团伙只需掌握十余张实名卡，便足以成功实施多起犯罪；上游供卡者违法所得不过数千元时，其下游关联诈骗往往已造成多名被害人受骗，总计金额可达数十万元。相比以上几种条件，以帮助支付结算金额二十万元来界定帮助情节是否严重，是比较能合理衡量行为危害程度，且易于查证的认定标准；但此类标准仅针对涉及贩卖银行卡的帮助行为，对同属实名卡的电话卡倒卖完全无法适用。

对倒卖过程涉及银行卡的行为人，即使无法适用帮助信息网络犯罪活动罪，也可另行考虑妨害信用卡管理类犯罪来予以规制，但对于针对手机卡的倒卖活动，并不存在同等严密的防范。电信市场的实名制管理制度，目前更多是针对服务运营商适用的行政管理方法，尚无法律法规将其上升为全社会都应尽力维护的强制性规范，当前上升到刑事层面来施以打击，更多是防止关联网络犯罪的需要，所强调的并非其电信领域要素或个人信息要素，而是其犯罪帮助作用。由此，对于“两卡”活动来说，如果将罪名适用的视野仅仅停留在帮助信息网络犯罪活动罪或是妨害信用卡管理犯罪上，势必会造成大量以贩卖手机卡形式提供帮助的行为人逃出法网，这与严密打击电信网络诈骗犯罪的刑事政策是相悖的。

三、对“两卡”活动个人信息侵害性的分析——以侵害公民个人信息罪化解适用难题

“两卡”活动以实物为主要客体，但因其目的是使所开办的实名卡能够为诈骗分子顺利使用，故在对实物的交易之外，总是附随有对相关个人信息的转移。因此，无论是针对手机卡还是银行卡的非法开办，都会关涉到对个人信息的提供和利用行为。二者的区别在于：针对银行卡信息的提供本身即构成经济犯罪，针对手机卡信息的提供却没有专门的罪名来对应，若排除其中对公民个人信息的侵害性，就只能从其帮助其他犯罪的角度来加以制裁。正如前文所述，若把现行司法解释下的帮助信息网络犯罪活动罪适用于手机卡开办行为，可能会造成一部分倒卖人逃脱于法网外。在此为保证打击的全面有效，有必要跳出其作为帮助犯罪的视角，回到个人信息的要素上；而“两卡”活动的分层化运作，也使此类活动中潜藏的个人信息侵犯性凸显了出来。

和针对被害人的非法获取信息不同，用于实名卡的个人信息，一般都是由受雇于犯罪产业链的开卡人主动出卖。虽然侵害公民个人信息罪并未强调自然人意愿因素，但如此出于自愿的信息提供行为，已经很难被视作对公民个人信息的“侵害”；而对正常收集的个人信息直接予以非法利用的，虽在立法阶段曾被学者提议，但最终并无单独罪名加以追究[8]。然而，正如前文所述——当前的“两卡”活动呈现出高度的分工分层，其犯罪产业链的认知局限性相比于地域式、团队式运作程度更甚。这种认知局限，更确切的说是一种认知单向性：“行为人通常不易（也不必）认识到他人所实施的犯罪或非犯行为；于意志因素层面其多追求自身利益的实现”[9]，对于他人是否希望获得帮助并不知晓。这种认知局限一方面加大了对参与者主观明知性的判断难度，另一方面却也意味着在交易的这一环节中发生的处分意图，其意思表示的范围仅限于当前交易之中，而对此次交易后的进一步发展不再关注，不能当然将其推及到交易链条的下一环中。

这样的情形在“两卡”办理活动中体现得尤为典型。牵涉到“两卡”犯罪链条中的个人信息，所对应的自然人是处于交易链最末端的开卡人。实务中，此类开卡人一般是临时形式招揽而来，虽有部分开卡人可能会逐步深入到倒卖行业内，但也有相当部分人仅仅存在开卡和交付上的临时参与，一般也无从知晓其所办手机卡的真实去向。特别要指出的是，根据《中华人民共和国电信条例》《电话用户真实身份信息管理规定》规定，采取虚假身份办理入网属违法行为，但在办理手机卡后予以转让的并未受到禁止。因此，不能仅凭转让手机卡号这一行为径直判定办卡人存在主观违法的心态。对于这些临时参与的开卡人，即使认可其提供个人信息的做法属于自愿，也不能以此推断其对将自身信息用作违法活动存在认可；退一步说，即使认为办卡者在主观意愿上存在协助一般违法行为的认可，也不能认为其存在帮助犯罪活动的认可。事实上，由于收卡人一般不会对外透露真实的犯罪目的，除非另有客观证据可以推定存在明知，办卡人对自身个人信息的处分其实是处于错误认识之下做出。

因此，对于在“两卡”产业链上来回交易的倒卖者来说，其收集个人信息的自愿性，仅存在于从办卡人处有偿收买的这一环节。在这之后，收卡人将个人信息另行转手、进而提供给诈骗分子实施犯罪使用的，便已经超出了办卡者本人对信息处置的许可范围，构成了对个人信息权益超出正常采集之外的提供行为。合法收集来的信息，在提供行为上存在非法性的，并不妨碍罪名的构成，而由于倒卖者提供信息是为他人实施网络诈骗之用，其行为当然不为法律所容许，更是对相关自然人利益的损害。如此一来，根据《个人信息刑案解释》规定，此行为可直接构成侵害公民个人信息罪，且在入罪上不再需要考虑违法所得或信息条数等数额问题——存在于实务中对违法所得数额、不法帮助具体对象的查证困难等情形，在此不会构成严密打击的阻碍。

在这一结论的基础上重新回到行为犯罪帮助性的角度，可以更清楚地分析个中存在的犯罪想象竞合关系。对于“两卡”活动而言，其行为作为犯罪帮助的属性是固定存在的：无论如何分层分工，它在本质上都是一个被细分为多步骤的诈骗帮助行为。这也使得帮助信息网络犯罪活动罪始终是制裁“两卡”行为时应做优先考虑的罪名。而对个人信息的侵害，在这个链条内是以或然形式存在于部分环节之中；决定其成立与否的，在于自然人自身处分个人信息的意志因素贯彻到了链条的哪一部分，也只有在其意志认可以外的交易环节里，才存在对个人信息的侵害行为。如果相关自然人明知链条终端指向不法、仍要把个人信息提供出来，则整个犯罪链条都在其意志的认可范围内，此时整个行为的性质就变成了单纯的非法利用个人信息，属帮助行为的一种形式。从这个意义上说，帮助信息网络犯罪活动罪较之于侵犯公民个人信息罪，能更全面地覆盖所有不法活动；在今后的司法适用中，无论如何都需要进一步探索经验，确定其情节严重能否将其他酌定性认定标准纳入考量中，如所造成经济损失的严重程度、所涉及案件数量等，以此解决目前存在的适用疑难。不过，从犯罪竞合的处置规则上说，针对情节特别严重的情形，侵犯公民个人信息罪施以了更高的法定刑上限，最高可处以七年有期徒刑。就此而言，在电信网络诈骗屡屡造成受害者重大经济损失的当前情势下，亦可考虑适用此罪加强对“两卡”行为中影响恶劣者的打击力度。

四、总结

电信网络诈骗是我国现存的主要互联网黑色产业链之一，这种犯罪产业上下依存关系的形成，已经使得此类犯罪活动不再是单纯的财产犯罪，而是综合性侵害多种法益的犯罪体系，它的盛行不仅造成直接的财产性损失，以“两卡”活动为代表的上游犯罪产业，更构成了对公民个人信息安全的一大主要威胁。在严密法网、加强打击的过程中，帮助信息网络犯罪活动罪无疑是最直接针对此类活动的罪名，但现有规范框架尚不能完全适应案件办理实务，还需要更多的经验总结，形成更为严密的适用规则。作为严密法网、提高制裁的一种途径，此类行为中“潜藏”的个人信息要素或可得到更多关注。无论是非法提供信用卡信息罪，或是侵害公民个人信息罪，都有针对此类不法行为加以适用的可能，可以形成对信息网络犯罪规制以及电信诈骗系统性打击的有效补充。