李明鲁
(武汉大学法学院 武汉 430072)
2021年4月9日,习近平总书记对于惩治电信网络诈骗犯罪作出重要指示,强调要注重综合治理、源头治理,通过加强法律制度建设,落实互联网、通信、金融等行业的监管责任,以遏制电信网络诈骗犯罪的多发高发态势.[1]随着互联网、大数据和人工智能的信息技术变革,电信网络诈骗犯罪已经实现了从短信、电话向互联网发展的转变,并且呈现出一种诈骗手段智能化、专业化、产业化的发展特点.为了应对当下诈骗手法不断翻新的电信网络诈骗犯罪,可以以人工智能技术的发展为契机,加强技术反制,并充分发挥网络服务提供者的监督管理作用,探索一种刑事立法、司法与社会治理有机结合的综合治理模式.
目前电信网络诈骗犯罪形势严峻,诈骗手段不断“推陈出新”,贷款诈骗、刷单诈骗、冒充客服诈骗、杀猪盘诈骗等诈骗犯罪活动正愈演愈烈[1].以当下高发的“杀猪盘”诈骗套路为例,行为人实施这种交友类诈骗犯罪一般先是和被害人进行网上聊天,建立亲密关系,取得被害人的信任,待时机成熟,再诱导被害人参与投资或者赌博活动.当达到骗财目的之后便不再与被害人联系,从此销声匿迹.被害人在发觉自己被骗时,已经遭受了金钱和感情的双重损失,可以说杀猪盘诈骗方式相比于仅骗财的电信网络诈骗,对被害人造成的伤害更大.根据2021年4月7日最高人民检察院发布的研究数据,电信网络诈骗犯罪的主要作案手法及其占比如图1所示[2].
技术是一把双刃剑,人工智能技术在为人们的生活提供便利、促进社会发展的同时,也存在被不法行为人滥用的可能,从而增加了防范电信网络诈骗犯罪的风险隐患.例如,行为人利用人工智能深度伪造技术实施换脸或换声诈骗,或者通过人工智能技术进行数据分析和数据挖掘,从而针对不同需求的人群设计不同的诈骗方案,实施精准诈骗.再如,通过人工智能技术制作自动化程序,进行深度学习,开展群聊群控的电信网络诈骗活动[3].无论是深度伪造的新型诈骗、目标性更强的精准诈骗,还是群聊群控,都无疑增加了诈骗活动成功的概率,扩大了诈骗范围,给电信网络诈骗犯罪的治理带来诸多困难和挑战.
电信网络诈骗犯罪之所以屡禁不止、愈演愈烈,另一个重要原因在于当下的电信网络诈骗犯罪呈现出一种黑灰产业利益链的发展态势.在这条黑灰产业链中,上游的不法行为人为中游的电信网络诈骗提供用于实施违法犯罪的程序、工具或者其他技术支持和帮助,下游的犯罪行为人通过支付通道将诈骗违法所得“洗白”[2].不同环节的不法行为人分工配合,使得电信网络诈骗犯罪的实施更加“高效”,而这种“专业化”的诈骗手法意味着会有更多的受害者陷入诈骗犯罪分子的圈套.
针对电信网络诈骗犯罪黑灰产的治理,需要对诈骗犯罪活动的不同环节分别加以规制.据统计,电信网络诈骗犯罪中超过七成是与公民个人信息泄露有关[4],所以维护公民个人信息安全,加强数据安全保护是防治电信网络诈骗犯罪的关键,同时也是加强源头治理的必要举措.然而,产业化的电信网络诈骗犯罪给犯罪治理带来的困境之一,是对于上游行为人的犯罪认定问题.因为上游的行为人实施公民个人信息犯罪,或者为诈骗犯罪实施提供技术支持,往往会以对下游诈骗犯罪的不知情为理由,以自己不存在帮助故意而逃避责任[5].
2021年4月16日,全国首起电信运营商拒不履行信息网络安全管理义务案,在云南省昆明市盘龙区法院进行了宣判.
亚飞达信息科技股份有限公司(以下简称亚飞达公司)是虚拟运营商远特(北京)通信技术有限公司(以下简称远特公司)的一级代理商,主要业务是帮助电信运营商销售各类电话卡.经查,亚飞达公司为多个犯罪团伙提供大量“电话黑卡”(1)电话黑卡,是指未进行实名登记并被不法分子利用实施违法犯罪活动的移动电话卡(含无线上网卡)用于实施电信网络诈骗犯罪活动.在2020年12月31日,亚飞达公司的相关责任人曾因从事电信网络诈骗犯罪活动而触犯帮助信息网络犯罪活动罪、侵犯公民个人信息罪、非法利用信息网络罪等罪名.在明知亚飞达公司从事违法犯罪活动的情况下,远特公司并未采取必要措施维护用户信息安全,仍为亚飞达公司供应大量电话黑卡,为其开通高级权限,经监管部门责令改正后仍不改正.最后,远特公司因触犯拒不履行信息网络安全管理义务罪,董事长和其他直接责任人分别被判处1年4个月至1年10个月的有期徒刑或拘役.这是电信运营商因电话卡监管不到位、造成严重后果发生而获刑的全国第1案[6].
这起电信运营商拒不履行信息网络安全管理义务案也体现出了当前电信网络诈骗犯罪黑灰产业化的特征(详见图2).电信网络诈骗犯罪往往依托微信、QQ、游戏账号、交友软件账号等虚拟身份,而这些虚拟身份的账号需要依附于电话卡才能注册,因此批量购买电话卡,制作虚拟身份的黑灰产业链由此产生.远特公司因拒不履行信息网络安全管理义务罪而获罪,其未履行信息网络安全管理义务的不法行为只是电信网络诈骗犯罪黑灰产业链的其中一环.远特公司向亚飞达公司供应的电话黑卡,被亚飞达公司大量售卖给下一环节的电信网络诈骗犯罪行为人——“黑兔子”工作室.“黑兔子”工作室是专门出售虚拟账号的犯罪团伙,该犯罪团伙从手机黑卡中盗取与该手机卡绑定的QQ、微信、支付宝等虚拟账号,然后再贩卖给实施具体电信网络诈骗犯罪活动的行为人[7].电信网络诈骗犯罪行为人利用这些虚拟身份,根据精心设计的诈骗剧本,向潜在的被害人施展骗术,进而达到骗取被害人钱财的目的.
“号商”即盗号(窃取电话卡中的数据和个人信息)的行为人向“卡商”购买的电话卡大致可以分为2种:第1种是向电信运营商购买未实名登记的电话卡,自己注册虚拟身份然后贩卖给实施电信网络诈骗犯罪的行为人;第2种是从电信运营商手中违规购买“回收卡”,然后从回收卡中盗取原来已经注册的虚拟身份再进行贩卖.对于电话回收卡而言,因为被弃用的电话卡绑定了先前用户的个人微信号等虚拟身份和信息,在废弃不用后应当经过一段时间的冷冻处理,才能再次流入市场销售.但是一些电信运营商违反行业卡安全管理相关规定,将绑定个人微信号的电话卡回收,制作成行业卡直接用以出售[8],进而流入盗号团伙手中.这些盗号的不法行为人通过技术手段将回收卡中的个人信息提取出来,而且还能够破解虚拟账号的密码,然后将这些账号和信息贩卖给下游产业链的诈骗犯罪行为人[9].对于非法买卖电话黑卡的行为,一些电信运营商违反电话卡实名制规定或者行业内鬼利用自己的权限便利,跳过实名认证,制作并出售大量电话黑卡.电话黑卡被盗号行为人用于批量注册虚拟网络账号,然后再将这些虚拟账号贩卖给不法行为人,从而导致各类电信网络诈骗犯罪的发生.
根据我国刑法第286条之一的规定,网络服务提供者在经监管部门责令改正后,仍不履行法律、行政法规规定的信息网络安全管理义务,造成4种法定情形之一的,则依法成立拒不履行信息网络安全管理义务罪.对于该罪的理论认定,本文将从行为主体、义务来源、法定后果这3个方面展开论述.
1) 行为主体:电信运营商属于网络服务提供者.
电信运营商作为提供即时通讯服务的单位,根据《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条的规定,电信运营商符合拒不履行信息网络安全管理义务罪中的网络服务提供者这一主体要件.所以虚拟运营商远特公司作为网络服务提供者,在防范电信网络诈骗犯罪的“断卡行动”中,应当依法承担相应的企业监管责任,清理整顿静默卡、睡眠卡、一证多卡等高风险号卡,强化对异常卡的监测,履行法定的信息网络安全管理义务.
2) 义务来源:法律、行政法规规定的信息网络安全管理义务.
根据《中华人民共和国网络安全法》(以下简称《网络安全法》)第24条第1款和第42条的规定,本案中远特公司不履行法定的信息网络安全管理义务的行为具体包括:一是违反电话用户实名登记的法律规定而出售电话卡;二是违反信息安全监督管理义务,为亚飞达公司开通高级权限,并将携带有大量公民个人信息的回收卡提供给亚飞达公司,客观上为电信网络诈骗犯罪的实施提供了便利.
首先,对于远特公司违反电话用户实名认证义务的行为,不应作为认定其“不履行法律、行政法规规定的信息网络安全管理义务”的依据.因为对于拒不履行信息网络安全管理义务罪构成要件符合性的判断,只有当网络服务提供者所违反的网络安全管理义务与法定危害结果之间存在刑法上的因果关系时,才能将这一危害结果归属于网络服务提供者的不作为.然而,违反实名认证的网络安全管理义务并不能直接产生“致使用户信息泄露”以及该罪所规定的其他法定后果.而且也不应当对本罪的兜底条款“其他严重情节”进行无限的扩张解释,否则将会把原本仅构成一般行政违法的行为作为刑事犯罪论处,从而不当扩大了刑事处罚的范围[10].
其次,虚拟运营商远特公司在出售未实名登记的电话卡之外,还将电话回收卡违规提供给亚飞达公司,为其开通高级权限,违反了法定的网络信息安全管理义务.因为这些回收卡绑定了先前用户的微信号等虚拟身份,而微信账号与其他信息结合便可以识别到特定的自然人,因此属于公民个人信息(2)山西省晋城市中级人民法院(2019)晋05刑终286号刑事裁定书.而远特公司作为网络服务提供者,根据《网络安全法》第42条的规定,对其所收集的用户个人信息负有安全管理义务,应当采取技术措施确保个人信息安全,向他人提供信息时必须先对个人信息进行处理,确保“无法识别特定个人且不能复原”,防止信息泄露的发生.但是,远特公司并未履行相应的网络信息安全监督管理义务,将大量回收卡违规提供给亚飞达公司,客观上为电信网络诈骗犯罪的实施提供了卡号支持和帮助,并最终导致了用户信息大量泄露的危害结果发生.
3) 法定后果:致使用户信息泄露,造成严重后果.
构成拒不履行信息网络安全管理义务罪,还需要满足一定的结果要件.根据《解释》第4条的规定,拒不履行信息网络安全管理义务,致使用户信息泄露,当达到一定数量时,应当认定为刑法第286条之一第1款第2项规定的“造成严重后果”.
远特公司作为网络服务提供者,出于业务开展的需要,获取了大量的公民个人信息,作为信息持有主体和信息管理者,其对于公民个人信息具有支配地位和支配能力.无论是基于形式的法义务说中的“先行行为义务”(3)先行行为义务,是指基于先行行为产生的作为义务,即由于自己实施的先行行为产生了发生结果的急迫危险,行为人必须承担防止该结果发生的义务[11],还是基于机能二分说中的“风险监督管理义务”[12],网络服务提供者对于在服务过程中收集的公民个人信息均负有安全管理的义务.如果其有能力履行却不履行法定的信息网络安全管理义务,则应依法承担相应的不作为责任.具体到本案,远特公司违反电话用户实名制、行业卡安全管理等相关规定,将携带公民个人信息的电话卡回收制作成行业卡出售给亚飞达公司,经监管部门责令采取改正措施而拒不改正,最终致使用户信息泄露,造成严重后果,依法构成拒不履行信息网络安全管理义务罪.
随着大数据和人工智能技术的快速发展,个人信息泄露成为引发电信网络诈骗犯罪的重要因素,所以网络服务提供者依法履行信息网络安全管理义务,维护公民个人信息安全,是抵御电信网络诈骗犯罪发生的必要举措.如果在电信网络诈骗犯罪发生之后,网络服务提供者对于他人侵害其所管理的公民信息的不作为,可能依法构成拒不履行信息网络安全管理义务罪.如果是在电信网络诈骗犯罪活动的实行过程中,网络服务提供者知道或者应当知道他人实施电信网络诈骗违法犯罪,而为其提供某种技术帮助,其帮助行为与不法结果之间存在刑法上的因果关系,那么这种“1对多”的网络帮助行为将依法构成帮助信息网络犯罪活动罪或其他不纯正不作为犯罪.
需要注意的是,网络服务提供者的信息网络安全管理义务不是主动审查义务,而仅仅是一种监管义务.因为面对庞杂的亿万条数据信息,如果要求网络服务提供者逐字逐条地进行审查,从实际可操作性上已经远远超出了网络服务提供者的能力范围, 同时也不利于保证互联网技术开发与应用的积极性,与经济社会的效率原则背道而驰.虽然近年来电信网络诈骗犯罪活动仍屡禁不止,电信诈骗行为不可不依法惩治,但也应当秉持法重在疏通而非抑制的治理理念.规范网络服务提供者在电信网络诈骗犯罪中的不作为责任边界,量定刑事犯罪与一般行政违法之间的界限,一方面可以明确其构成不作为犯罪的认定标准,另一方面也具有限制犯罪成立范围的作用,坚持法有所为有所不为,以确保刑法的谦抑性.
在他人实施了电信网络诈骗犯罪行为的情况下,如果网络服务提供者不履行法定的信息网络安全管理义务,并且造成了用户信息泄露等严重后果的发生,只有当能够认定其不作为与危害结果之间具有刑法上的因果关系时,才能进一步追究其不作为犯罪的刑事责任.根据德国学者罗克辛提出的客观归责理论,对构成要件行为进行客观归责,需要经过前后2个阶段的检验.
首先,对网络服务提供者的不作为和危害结果作出事实因果关系的认定.根据风险管辖理论,如果行为人创设或接管了某种风险,并且该风险具有促进构成要件结果发生的客观危险,那么该风险及其结果便处于行为人的管辖范围之内[12],如果行为人的不作为导致其管辖范围内的风险在构成要件结果中实现,那么这一不作为与构成要件结果之间存在事实因果关系.具体到网络服务提供者在电信网络诈骗犯罪中的不作为,如果网络服务提供者的违反义务的行为是法定危害结果发生的条件,那么就可以认定二者之间具有事实因果关系.
然后,在事实因果关系成立的前提下,再进一步判断该结果能否归责于网络服务提供者的不作为.只有当危害后果能够归责于网络服务提供者的不作为,网络服务提供者才需要对这一危害结果承担刑事责任.对于结果归责,罗克辛提出了允许的风险理论——当一行为客观上对法益造成了一定的危险,但该行为并非为法律所不允许,而是具有社会相当性的正常行为,其所制造的风险只是一般的生活风险,则不能认为行为以相当的方式侵害了法益[13].如果在电信网络诈骗犯罪活动中,网络服务提供者所提供的只是一般性的网络存储、通讯传输、互联网介入、服务器托管等技术性服务,则属于技术中立帮助行为.虽然提供技术服务的行为客观上能够为信息违法犯罪的实施提供便利,提高犯罪结果发生的可能性,但不应仅以网络技术支持可能诱发社会危害后果这一方面,而一概否定其对于网络社会所产生的巨大价值和发挥的积极作用.正如交通事故每天都在上演,机动车运输给人们的出行带来很大的安全风险,但我们却不会因此而取缔车辆运输那样,允许在特定时期风险存在并承认其正当性的理论,是对社会发展与公民个人生存二者之间的利益冲突进行权衡之后的结果.因此,网络服务提供者提供纯粹技术性服务的行为属于法所允许的风险,而不应将其作为创设风险的先行行为,从而认定网络服务提供者的技术服务行为与电信网络诈骗犯罪的危害后果之间存在法律因果关系,否则便不当扩大了刑事因果关系的归责范围.
认定网络服务提供者构成不作为犯罪,需要审查网络服务提供者对于电信网络诈骗犯罪事实的发生是否存在认识.认识、预见的事实是指包含于构成要件之中的事实[14],因此在网络服务提供者的不作为犯罪中,则需要网络服务提供者对他人利用其所提供的网络服务实施的电信诈骗违法犯罪行为及行为危害后果的事实存在认识.可对于信息繁杂、违法手段隐蔽的互联网领域犯罪来说,很多时候难以发现他人利用其提供的技术服务而实施的违法犯罪,难以鉴别或者鉴别需要耗费巨大的经济成本和人力成本.所以如果网络服务提供者没有可能预见到他人实施的电信网络诈骗犯罪行为,这时即便造成了严重的危害后果,网络服务提供者也不需要对该犯罪结果承担不作为的刑事责任.
只有在网络服务提供者对于他人利用信息网络实施犯罪的行为及其后果存在认识,但仍为其提供技术支持或者帮助,希望或者放任危害结果发生的情况下,才能依法追究其不作为的刑事责任.虽然在司法实践中,网络服务提供者的主观心态难以探知, 但依据主观心态客观化的判断思路,能够推断其是否具有明知的故意.根据《解释》第11条提供的关于“明知”的判断标准,比如是否有逃避监管或规避调查的行为,是否在接到举报后仍不履行法定管理职责等,可以推定网络服务提供者是否具有明知的故意.
刑罚作为最严厉的法律制裁方式,在适用时应当遵循最后性原则.刑法作为保护国家和公民的最后一道屏障,应当审慎适用,如果过分苛责网络服务提供者,不当扩张犯罪圈,将不利于网络社会的发展,阻滞文化和信息的交流与传播,造成万马齐喑的消极势态.穷尽行政救济后方可启动刑法保护,这既是刑法谦抑性的要求,同时也是行政违法与刑事犯罪相互衔接的要求.
以拒不履行信息网络安全管理义务罪为例,构成该罪必须经过行政前置程序,即“经监管部门责令采取改正措施而拒不改正”.首先,本罪中的“监管部门”是指依法具有网络安全监督管理职权的政府机构,具体包括工业与信息化部门、电信部门、公安部门等共计16个不同的职能部门[15],而不包括企业内部的监管部门.其次,网络服务提供者违反法定的信息网络安全管理义务,即使已经造成了用户信息泄露等法定危害后果,在认定其成立本罪之前,必须先经过行政监管部门责令改正,只有当该网络服务提供者在规定期限内仍未按要求采取改正措施的,才可能构成本罪.如果该网络服务提供者在收到责令改正的通知后,积极采取了改正措施,则不构成本罪.
但是,是否正如有些学者所担心的那样, 网络服务提供者只有在经监管部门通知责令改正之后,仍不采取改正措施的,才有构成犯罪之可能,那么这一行政前置程序的存在会使拒不履行信息网络安全管理义务罪成为备而无用的象征性罪名,事实上,如果在主观方面能够认定网络服务提供者具有帮助行为人实施电信网络诈骗犯罪的故意,即明知行为人正在实施电信网络诈骗违法犯罪,却不主动采取措施加以阻止的,则可能构成非法利用信息网络罪、帮助信息网络犯罪活动罪等犯罪,而不再符合拒不履行信息网络安全管理义务罪的构成要件.在这种情况下,就不必等到行政监管部门责令采取改正措施之后再追究其不作为犯罪的刑事责任.
科学技术的发展在促进社会进步的同时,法律风险也相伴而生[16].在信息网络快速发展的背景下,电信网络诈骗已成为当前发展最快、严重影响人民群众安全感的刑事犯罪[17].彻底惩治电信网络诈骗犯罪活动,不能仅仅依靠法律的制裁,因为法律只能作为一种事后的惩罚和救济途径,但对于已经造成的危害结果毫无挽回之力.要把电信网络诈骗犯罪的危害降到最低,最大程度地维护公民的合法权益,需要依靠政府、企业以及公众的共同努力,实现多方主体协同共治、综合治理的良好效果.
根据公安部提供的政务信息,为遏制电信网络诈骗犯罪,自2020年以来,公安部会同工信部、人民银行、最高法、最高检和3大电信运营商联合开展“断卡”行动,截至2021年4月9日,全国共抓获犯罪嫌疑人21.3万名,缴获手机卡328.6万张、银行卡19.1万张[17].当前电信网络诈骗犯罪仍呈多发高发之势,为了对抗猖獗的电信网络诈骗犯罪,从根本上铲除电信网络诈骗这颗毒瘤,必须调动起全社会各界的力量.不仅要依靠最高司法机关和公安部发挥的政策引导作用,还需要互联网、通信和金融等行业自觉承担起行业监管责任,同时公民自身也应当增强对于电信网络诈骗的防范意识,提高防骗能力.只有当司法、行政部门,电信运营商等网络服务提供者,社会组织以及公民个人共同参与到打击电信网络诈骗犯罪活动中来,才能织就严密的防治之网,让从事电信网络诈骗的不法分子没有可乘之机[18].