刘 丹
随着“流量劫持案”“制售微信外挂软件案”“撞库打码案”“爬虫技术抓取数据案”等案件的相继发生,数据犯罪逐步进入大众视野,由此带来的数据安全问题引发社会各界的普遍关注,数据犯罪技术识别难题也增加了司法工作者的工作难度。2019年5月,国家互联网信息办公室出台《数据安全管理办法》,标志着数据安全防范已刻不容缓。
随着大数据时代的到来,数据所呈现出的最典型特征不再局限于指数级量增效应,更多的是静态的表征信息,海量数据背后的信息逐步暴露于虚拟空间,不仅涉及公民个体信息,还涉及社会组织乃至国家安全等集体性信息,这些信息难免成为网络有组织犯罪的主要目标对象,并催生了以数据为侵害法益的数据犯罪类型。数据犯罪也不再局限于对数据空间的入侵,而是面向大数据对象、二元结构社会空间的整体侵害,危害面横跨个体、社会、国家,全面覆盖政治、军事、财产、人身、民主权利等各个领域。
数据犯罪的概念,可从犯罪对象、犯罪方式、犯罪后果三个层面予以阐释。其中,犯罪对象指向的是数据采集、存储、分析、利用等全过程中所涉及的以数字化形式进行技术处理的一切数据,从公民个体账户、访问数据,到生活、生产行为的非结构化数据,再到智能多终端数据,均可成为犯罪对象;从犯罪方式来看,数据犯罪集中体现在对数据的监控、窃取、销毁、过度挖掘、恶意滥用等方面;从犯罪后果来看,数据犯罪不仅对网络计算机系统造成了破坏,还侵害了公民人身与财产安全,扰乱了社会经济秩序,影响了国家安全。由此可见,数据犯罪指向的是数据采集、存储、分析、利用等全过程,通过非法窃取、破坏销毁、过度挖掘、恶意滥用等手段,严重侵害公民人身及财产权益,危害依靠数据建立的公共秩序与国家安全的行为[1]。
从客观层面而言,数据犯罪直观体现了数据侵入与窃取对现实法益的危害;而从犯罪形式层面看,其呈现出共同犯罪的特征。从这两个侧面入手,可提炼不同的类型化表征。
此类犯罪区别于一般犯罪的最典型特点是其技术手段的前沿性、专业性与网络攻击的广泛性。数据犯罪往往依赖高新技术入侵传统安全防护体系,并在某一集中时段连续向目标数据发起攻击,为数据窃取奠定基础。例如,随着货币的数字化发展,不法分子试图通过连续攻击或修改数据进行侵财类犯罪。值得注意的是,在大数据时代,数字化货币显然被赋予了更多的价值与功能,许多犯罪行为仅通过攻击、删除或修改货币数据,即可完成侵害他人财产的行为,与传统侵财类犯罪行为的社会危害性一般无二。
数据犯罪分子通常会将病毒、木马程序植入软件中,再通过互联网将软件投放至个体、企业或政府网站,软件夹杂与伪装的数据流由此散布与传播,并配合网络技术筛选、捕获、窃取个体、企业、政府等个人与部门的财产或身份信息。典型的例子如制作与传播病毒、劫持公共域名服务器、在手机中安设“静默插件”等,一般涉及破坏计算机信息系统罪,而向智能手机安装恶意扣费软件等类型,则涉及非法获取计算机信息系统数据罪。
随着数据安全意识的提升,具有较高价值数据拥有者的个体、企业及政府部门在持续强化内部网络安全建设,为了缩减攻击支出,越来越多的不法分子将目光聚焦于第三方集团,并联同黑客共同实施犯罪行为。在黑客技术的支持下,犯罪分子可轻松窃取目标数据。例如,利用黑客技术进行网络窃取、刺探、收买、非法获取国家秘密、商业秘密、公民个人信息等的犯罪行为[2]。
广义的犯罪预防是指在犯罪生成的全过程中,以消除或限制各种犯罪行为发生的可能性为目的的各类措施与行为。从内涵层面来看,要防范数据犯罪,需要从数据犯罪意图的产生、犯罪动机的生成、犯罪行为的发生与形成等全过程出发,探索不同阶段消除或减少犯罪原因与条件的防范措施,如此方可达到有效预防的目的。然而,现阶段国内关于数据犯罪的预防与规制普遍忽视犯罪形成过程,不仅面向数据犯罪的目标针对性不强,而且预防措施多为一般性犯罪预防,这极大地影响了防范的精准度、有效度。
从立法层面来看,当前国内关于数据信息保护的法律法规分散无序,以刑法保护而言,根据法益不同分别将法规置于不同的章节,缺乏单独以信息安全作为法益进行保护的规范体系,这严重影响了数据犯罪立法规制效果;从司法层面而言,数据犯罪中的“数据”范围日趋“口袋化”,模糊了数据犯罪保护法益的内涵与外延,加上数据犯罪构成要件解释缺乏独立标准,数据犯罪定性争议普遍存在,导致数据犯罪面临着“内外交困”的司法窘境[3]。
数据犯罪是在大数据技术的支持下产生与发展起来的,为了有效防范数据犯罪,势必也离不开大数据技术的深度应用与支持。然而,现阶段国内数据犯罪领域大数据技术的应用趋于浅表化,不仅未建立起覆盖全社会各领域的大数据情报平台与集“打、防、管、控”于一体的数据犯罪防控战略平台,而且缺乏对重点人群、重点区域、被害人被害性与高危性主客观特征等数据的抽取、挖掘、研判与评估,导致数据犯罪防范效果不甚理想。
作为一项复杂的系统性工程,预防数据犯罪对于社会乃至国家安全而言均具有十分重要的意义,因此,还需从此类犯罪生成机理的关键节点着手,切断其进一步延伸与发展的路径,以确保防之有效。值得注意的是,数据犯罪基于大数据背景产生,也需要凭借大数据分析与研判探明犯罪行为与其他因素之间的关系,为数据犯罪的预防提供有预测性的指导意见,以达到精准化防范的目的。
情报获取是大数据技术的最显著优势,借助该技术可全面收集、整合、分析、研判来自各种渠道的多元数据类型,继而获取精确情报,为警务决策及资源配置提供依据,是主动预防、精准打击犯罪的技术保障。在此过程中,需要借助大数据技术分析获取数据犯罪热点、行为模式,总结规律、集中场域,明晰整个犯罪网络、行为人社交状况等,为警力部署提供决策指导。为了实现这一目的,一方面,要全面推进警务大数据来源渠道系统建设,既要涵盖警务部门自身业务大数据,又要覆盖社会各领域大数据,为情报获取提供“大样本”,为数据犯罪防范提供“望远镜”与“显微镜”;另一方面,要加快构建数据犯罪防控平台,平台依循传统“打、防、管、控”犯罪理论方法,结合预测犯罪渠道模型,实现对数据犯罪风险指标变动情况的跟踪、观察、计算、分析、预测,为警务部门提前获取数据犯罪信息、赢得犯罪管控时间、及早预防犯罪决策提供支持,从而提高警务办案效率。此外,要加快构建全国联网联动机制,确保数据犯罪防控战略平台的全国联网、区域联动、上下联手、通力协作,通过全国联网构建数据信息资源、数据犯罪线索、犯罪动态跟踪、犯罪证据共享的犯罪动态预防机制,借助平台协调指挥、协同办案、联合抓捕,解决传统南征北战的困境,形成在数据空间内不敢犯罪、不能犯罪、不易犯罪的“三不敢”机制[4]。
引发数据犯罪意图的因素众多,如根源因素、调整因素、诱因等。从效率层面而言,针对调整性因素的预防可取得最优化效果,但这仅仅是数据犯罪预防的切入口,在预防策略体系中难免涉及根源、诱因等因素的调适。针对犯罪意图产生机制的犯罪预防重点仍聚焦于提升个体自控力与消解犯罪原因等方面,既要扶正纠偏、塑造个体健康的人格,又要注重营造风清气正的社会环境。一方面,要提升个体自控力,关键是要改正个体的不良思想状态。通过实时数据采集、抽取、分类、挖掘、研判,深度加工、综合归纳并汇总成个体、群体、区域乃至社会整体等多层面的大数据评估报告,通过评估报告对网络数据环境清朗度进行监控,并对个体、群体思想动态、价值观趋向进行判断,针对超出合理阈值的舆论走向、价值观偏移,特别是个体人格缺陷等存在严重犯罪意图及倾向的数据,要及时预警并作为数据监控的重点。另一方面,要塑造风清气正的数据环境,关键是要加快立法进程。构建以数据法益为重心的罪名体系及与《网络安全法》相衔接的刑事保障模式,在法治的高压震慑与引导下,开展有针对性的宣传,积极传播正能量,引导大众科学的数据观、价值观,从根源预防数据犯罪行为。此外,还要强化监督与反馈,结合数据评估报告结果,采取有针对性的引导与实时监测,为数据犯罪后续防范策略的调整提供情报支持[5]。
从意图产生到数据犯罪行为的发生,该过程最重要的影响因素是犯罪空间与潜在犯罪目标,这为数据犯罪行为人提供了机会与适宜的条件,加上犯罪诱惑性、安全性等双重因素的影响,犯罪分子最终选择将数据犯罪行为外化。因此,针对犯罪行为生成机制的犯罪预防,关键是要从削减犯罪空间、减少潜在犯罪目标方面入手,以提高数据犯罪预防的实效性与可操作性。一方面,针对数据犯罪在空间上的聚集性与聚集的稳定性,可基于大数据分析技术与地理信息系统、空间计量经济学分析工具,依托数据犯罪地理专题地图制作、临近指数分析、空间自相关分析、核密度分析、人工神经网络计量模型等,探索数据犯罪空间与犯罪数量、人群、被害群体间的关系,研判规律,精准锁定犯罪空间,并在此基础上进行环境设计、情境调控、警务资源调配,以削减犯罪空间,直接切断数据犯罪行为的产生机制;另一方面,要借助大数据技术研究数据犯罪被害人的被害性与高危性主客观特征,锁定最易成为被害人的目标人群,归纳人口统计学特征、被害心理特征、人格特质、生活行为偏好等,从而有针对性地制定犯罪预防策略[6]。
近年来,国内数据犯罪的数量及类别呈逐年递增趋势,为精准、有效地防范数据犯罪,要加快推进网络空间保护、数据犯罪领域的立法进程,同时立足大数据的分析、挖掘与预测作用,积极收集犯罪情报,遏制犯罪意图及行为产生,挤压犯罪空间。值得思考的是,与国家治理能力和治理体系现代化发展进程相比,数据犯罪预防研究与实践仍严重滞后,导致有关部门在保护现实空间、数据空间法益、防范数据犯罪上力有不逮。因此,有必要进一步深入开展数据犯罪研究,为数据犯罪预防工作提供理论依据与实践指导。