网络黑灰产中游技术帮助行为的刑法规制

陈冰慧　黄俊杰

一、基本案情

2021年至2022年，犯罪嫌疑人A以牟利为目的，将自己编写的“小XX”下单工具等配套软件通过网络平台予以售卖，该软件的功能在于通过输入从上家处购买的cookie值［1］，便可绕过购物平台的识别验证机制，从而免密登陆他人的新人账号。为提高成功率，犯罪嫌疑人A还编写了自动增加字符以修改收货地址、更换IP地址等绕过购物平台的封号机制的程序。下游的用户通过他人的新人账号下单，便可使用平台专门发放给新用户的大额购物优惠券，在购物时获得减免优惠。

期间，下家B通过该软件下单累计获利8万余元；犯罪嫌疑人A造成相关平台损失达78万余元，获利40余万元。第三方公司出具意见，认为“软件在未经授权的情况下，突破了网站账号登陆和交易的风控、反爬等计算机信息系统安全保护措施，破坏和干扰了计算机信息系统的功能和正常运行”。

二、分歧意见

案发后，公安机关以犯罪嫌疑人A涉嫌提供侵入、非法控制计算机信息系统程序、工具罪将案件移送审查起诉。但经审查发现，犯罪嫌疑人A制作涉案软件的行为，既不同于恶意注册账号的上游行为，也不同于直接实施薅羊毛的下游行为，应当属于网络黑灰产业的中游帮助行为。因此，针对本案的处理，形成了以下三种意见。

第一种意见认为，涉案软件未经授权，突破网站账号登陆和交易的风控、反爬的计算机系统安全保护措施，侵入了计算机系统，并获取平台的后台计算机信息系统服务数据，本案应定性为提供侵入、非法控制计算机信息系统程序、工具罪。

第二种意见认为，犯罪嫌疑人明知他人会利用软件实施侵财类犯罪，仍然售卖软件为他人的犯罪活动提供技术支持，应当在下游构成犯罪的前提下，将本案定性为帮助信息网络犯罪活动罪。

第三种意见认为，犯罪嫌疑人未与下游犯罪达成共同犯罪的合意，单纯售卖软件的行为不应认定为犯罪。

三、评析意见

学理层面针对黑灰产业链的刑法规制问题也以讨论上游与下游犯罪为主，对中游犯罪的表现形式一般仅提及“养号”行为，或以上中游共同认定为最终目的的准备行为或手段行为。而实务界也因最高检指导案例检例第34号“李骏杰破坏计算机信息系统案”［2］于2024年2月27日宣告失效而再度产生争议。因此，有必要对避开封号实现网络黑灰产中游帮助行为的刑法规制进行探讨。经审查，笔者赞成第二种意见，即本案应当在下游构成犯罪的情况下认定为帮助信息网络犯罪活动罪。理由如下：

（一）当前刑法对计算机保护“重系统轻数据”

本案的争议焦点在于犯罪嫌疑人是否侵入了计算机系统，即需明确使用从上游获取的cookie值免密登陆的行为是否突破了相关平台的安全防控措施。而通过对相关法条的拆解，可得知当前刑法计算机类的罪名完全依附于旧有的“计算机系统”的概念，强调侵入计算机系统是构罪的应有之义，导致本案中的cookie值这一未进入计算机系统内部的数据无法被认定属于计算机系统数据，而被排除在计算机系统犯罪保护范畴之外。

1.立法的迟滞性难以应对现实发展。根据我国计算机产业的发展，刑法关于计算机犯罪的规制路径是经历了由计算机犯罪到网络犯罪再到网络空间犯罪的三次样态转变。［3］第一次计算机系统犯罪入罪是由于我国的计算机发展刚刚起步，当时尚无互联网的概念；第二次2009年《中华人民共和国刑法修正案（七）》增设计算机系统的相关罪名是因為彼时黑客猖獗，计算机的系统安全被提升到一个较高的层面；第三次2015年《中华人民共和国刑法修正案（九）》的出台则是在于解决互联网跨地域性带来的共犯处理证明难的问题，将预备犯、帮助犯的行为独立入罪评价。同时，相关的司法解释于2011年施行此后尚无其他规定。

在互联网迅猛发展的当下，我国的数据发展已经进入到一个新的阶段，有关的信息也不只局限于计算机数据，移动终端、服务器、云盘，都有可能承载着公民的个人信息，而AI时代的到来也意味着数据的重要性不断提升。但立法固有的迟滞性使得法律保护总是落后于现实问题的出现，现有的法规仍停留在10年前。因此，从上述立法调整过程可以看出，我国现有刑法对计算机犯罪的规定重在保护系统，而鲜有规定对计算机数据的保护，本案的cookie值被排除保护范畴之外。

2.现有刑法数据保护的范围局限于身份认证信息。刑法第285条第2款为非法获取计算机信息系统数据、非法控制计算机信息系统罪。由于司法实践对于数据的解读呈现一定的恣意性，包括游戏服务器内的数据［4］、教务管理系统内的数据［5］都有被界定为“系统数据”，缺乏一致性，因此需要准确界定何为“系统数据”。

根据2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称“2011年《解释》”）第1条前两款规定了非法获取计算机信息系统数据的行为，包括“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上”“获取前述以外的身份认证信息500组以上的”，应当认定为刑法第285条第2款规定的情节严重。而本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

据此，计算机系统罪名的系统数据，应当局限于“身份认证信息”。从现有的刑法框架之下，适用计算机犯罪系统数据必须局限于用户在网络上操作的权限，对于金融服务信息则在信息数量这一入罪条件有所放宽；同时，由于前述立法背景，本罪对于数据的保护仍是针对计算机系统的，没有规定对于网络数据安全的保护，保护的范围实际较窄。由于相关立法的缺失，导致司法实践将系统安全与数据安全杂糅，错误地适用相关罪名。

3.刑法第285条第3款系规制前两款规定行为的帮助犯。刑法第285条第3款为“提供侵入、非法控制计算机信息系统程序、工具罪”，属于帮助行为正犯化，也即为正犯提供帮助行为。该规定重在规制提供相关程序、工具的行为，与前两款系关联性罪名，属于前两款行为的帮助犯。而本案的正犯即下游行为人，是以非法占有为目的获取满减优惠，从而给平台造成损失，理应以包括诈骗罪在内的侵财类犯罪进行规制。因此，从刑法逻辑进行推导，若犯罪嫌疑人触犯刑法第285条第3款，那么正犯的行为必然要构成刑法第285条第1款或第2款规定的罪名，这显然与本案将正犯定为侵财类犯罪的逻辑冲突。

（二）侦查实验印证涉案软件未侵入平台计算机系统

1.刑法第285条第3款的“侵入行为”应满足三要件，可总结为“突破安全保障+无授权或超授权+获取控制”。根据2011年《解释》第2条的规定，构成提供侵入、非法控制计算机信息系统程序、工具罪，必须同时满足三个要件：一是避开和突破安全保护措施；二是未经授权取得授权或超越权限；三是具备对计算机信息系统获取数据和控制功能。计算机信息系统的的安全是一套严密的体系，只有同时具备三个要素，方能损害危害计算机信息安全。该要件的设计参考了黑客软件实施侵入和非法控制的三个步骤，黑客侵入系统首先要避开和突破安全防护措施，进入后再针对系统漏洞植入木马或者获取弱密码等超级用户权限，最后利用超级用户权限非法获取数据或非法控制计算机系统。

认定“侵入”计算机系统的行为应同时满足三要件，目的是防止犯罪圈层的不当扩张。根据汉语词典的释义，侵入意味着强行或非法进入，也强调外来或有害的事务进入内部。而刑法特有的谦抑性立场则意味着刑法意义上的侵入明显有别于进入。刑事法律层面上更应当对侵入行为作狭义解释，否则会造成打击面过大的情况。

2.通过侦查实验能够印证涉案软件调用的cookie值是本地文件，不涉及平台系统及数据。为了复现“小XX”软件的犯罪过程，特开展以下侦查实验，步骤如下：第一步，操作者关闭网络，登陆在本地电脑上的谷歌浏览器。第二步，通过启用F12键调用“开发者工具”，进入“网络”板块，可调取存储在本地计算机内谷歌浏览器访问时储存的cookie值。第三步，在其他设备输入保存好的cookie值，成功实现免密登陆。通过侦查实验，印证了cookie值的作用是避免登陆账号需要频繁验证，cookie值是本地数据。

3.使用cookie值登陆，未涉及计算机信息安全问题。首先，windows防火墙、黑白名单规则、端口和IP地址段限制等，属于平台为了计算机安全设置的操作。其次，使用cookie值避开封号，不属于“突破”安全防护网。举例而言，平台通过黑白名单等安全保护规则，禁止相关账号登陆，如犯罪嫌疑人修改规则或突破规则限制，强行登陆相关账号，此时便涉及安全问题。而本案则是客户自主选择登陆方式的问题，并非安全问题。行为人虽然进入了平台，但仅是一种登陆方式，显然没有影响平台安全，行为人也不能实施任何危害平台的行为。行为人使用涉案软件下单功能属交易问题，也与计算机安全无涉。

4.同一IP登陆多账号导致冻结是账号管理问题，而非计算机信息安全问题。为提高成功率，A编写更换IP等绕过购物平台的封号机制的程序，也被鉴定为影响平台安全。但是平台设立冻结规则是为防止同一用户掌握规则漏洞后使用大量账号恶意“薅羊毛”，因此冻结账号规则是平台对于账号和用户的管理问题，而非计算机信息安全问题问题。涉案软件设计更换IP，也是防止行为触发冻结机制。举例说明，某些论坛的账号超过6个月未登陆，便会被冻结且限制发言，但长期未登陆并不涉及系统安全问题，而仅是网站为了管理不活跃用户而设置的管理机制。

还需注意，普通客户通过通信公司上网的IP地址属于动态IP，随机性意味着无法被平台事先封禁。路由器重启后，完全可能获取与之前不同的IP地址。IP地址由电信公司分配到客户终端上，在沒有登陆前，任何平台的服务器都无法事先得知客户IP地址。因此，平台基本不大可能事先封禁IP段，否则可能会影响客户的正常登陆。

因此，涉案软件预先导入cookie值免密登陆与更换IP功能不是规避平台登陆上的安全防护措施，而是规避平台用户和交易管理的风控机制。通过上述的技术分析可知，涉案软件未侵入平台计算机系统，更无法获取计算机系统数据。

（三）全链条网络犯罪应当适用正犯行为共犯化的应然立场

传统的共犯从属性理论在规制网络犯罪出现弊端。按照传统的犯罪理论，共同犯罪的参与人必须围绕某一核心主体形成犯罪的意思联络和共同行为。［6］网络空间内的帮助行为的特点呈现一对多的模式，帮助者与受助者之间的意思联络趋弱，帮助行为独立性变强，但社会危害性随着网络链条的延长而扩大。这种情况下，传统的共犯理论在规制此类问题时就会出现失灵问题，黑灰产业中该特征更为明显。以本案下游犯罪“薅羊毛”为例，上游恶意注册大量账号、中游提供技术支持，下游实施“薅羊毛”行为，每一环节行为人对其他人的行为都知之甚少，基本上通过网络沟通，彼此没有实际接触，对于受助者的行为无法产生清晰认知。［7］由于传统犯罪的共犯从属性理论出现失灵，难以囊括业已存在甚至可能异化的违法行为，对于打击电信网络诈骗之类的犯罪产生了极大的困难，有必要基于网络犯罪的特点进行回应，遵循正犯行为共犯化的立场规制网络犯罪。

司法实践层面已经先于立法对于网络犯罪参与行为予以回应，正犯行为共犯化是解读行为性质的应然立场。根据2023年最高检《关于办理电信网络诈骗及其关联犯罪案件有关问题的解答》、2022年“两高一部”《关于“断卡”行动中有关法律适用问题的会议纪要》等规定精神，帮助信息网络犯罪活动罪的明知内容不限定被帮助行为的类型。行为人仅需有概括性的故意，即认识到他人利用信息网络实施严重危害社会的行为，就能推定其主观明知，即使对行为类型认识有误的，也不影响明知的认定。一般而言，司法解释、会议纪要、问题解答等都会先于立法出现对实践进行探索，待理论成熟后通过立法的形式予以最终确认。司法解释先于立法对网络犯罪参与行为予以回应，对于网络犯罪共犯的主观明知可以适当放宽。［8］

因此在正犯行为共犯化的立场之下，A明知自己设计的“小XX”软件作用就是帮助他人违法获取平台提供给新人的优惠，从而给平台造成经济损失，A主观上持概括性故意。因此，理应对其认定为下游犯罪的共犯。

（四）虚拟财产应认定为财物

正因网络犯罪的共犯论证存在争议，为防止过于扩大打击面，导致犯罪圈层的不当扩大，按照限制从属性说、最小从属性说等多种学说，结合司法实践的观点，都要求下游的实行行为必须构成犯罪，方能对上中游的行为进行刑事处罚。

而网络技术的复杂性与特殊性，对于案件的处理也产生了影响。由于下游犯罪系通过网络实施，被害人或单位遭受损失的往往是虚拟财产，包括游戏币、装备、优惠券等。虽然受损失的虚拟财产属于无体物，也无法否认被害人或单位通过该无体物获利的期待可能性。因此，通过“小XX”软件在平台获取的优惠券，能否被认定为财物，直接影响下游犯罪的认定，也成为本案能否定罪的关键。

对于虚拟财产的争论，主要有肯定说与否定说两种理论。肯定说主张，具备财物特征的虚拟财产应当被刑法所保护，其中财物特征是指管理可能性、转移可能性与价值性。［9］这种观点认为，司法解释没有否认难以准确计价财物的盗窃性质，且财物的多重属性并不足以否认其财产性的特点。将针对虚拟财产的违法行为排除在财产犯罪之外无法做到罪责刑相适应。而否定说主张虚拟财产应当认定为计算机数据，回避讨论其法律属性。否定说认为，除非有特殊规定，无体物和“财产性利益不是我国刑法中盗窃罪的对象”。即使将虚拟财产的本质界定为无体物和财产性权利，也不能成为盗窃罪的犯罪对象。［10］

结合最高检的观点，更倾向于肯定说。例如2017年10月12日最高检发布的第九批指导性案例之“张四毛盗窃案”中，将网络域名认定为盗窃罪的犯罪对象［11］。包括各种数据在内的虚拟财产的重要程度现已不亚于普通财物，例如某些手机公司推出“数字遗产”广受好评等，都说明虚拟财产的重要性。如张明楷教授谈及，刑法具有相对的稳定性，但也必须同时适应社会发展的需要，否则便没有生命力。［12］所以，对刑法必须采取同时代的解释，虚拟财产可以被认定为财物。举例而言，电虽然无法用实体形式体现，但电属于财物。优惠券虽然看似可以无限生成，但用户一般只能获得有限数量的优惠券，不可能无限制地获取实惠。行为人将优惠券的抵扣数额用于购买商品后，优惠券就会产生稀缺性，产生了相应的使用价值，产生了节省金钱的实际效果与期待可能性，符合民众的一般认知。采用肯定说的观点，能够更好地适应时代的发展，也更有利于保护实现法益保护的功能。

（五）黑灰产下游构罪的前提下应当适用帮助信息网络犯罪活动罪

由于网络犯罪链条的松散性，行为人之间的犯意联络并不紧密，难以适用传统的共犯理论认定为诈骗罪，而是在正犯行为共犯化的立场之下，适用帮助信息网络犯罪活动罪。

第一，根据体系解释，计算机信息系统犯罪属于第六章扰乱公共秩序罪下属章节内的犯罪，属于对公法益的犯罪。本案下游“薅羊毛”造成了被害单位的财产损失，但没有造成网络大规模的瘫痪、用户无法使用权益等公共利益受损情况，因此应当认为属于对私犯罪，属于侵犯财产犯罪。當下游犯罪构成了侵财类犯罪，而帮助犯只能以侵财类的帮助行为追究责任，而不适宜定性为危害计算机信息系统的犯罪类别。

第二，虚拟财产应当被认定为财物，下游犯罪构成诈骗罪。如上所述，优惠券这种虚拟财产应当被认定为财物，下游犯罪的行为人使用其他用户账户内的优惠券自行下单，给被害单位造成了一定的损失，下游犯罪有处罚的必要性，构成诈骗罪。随着ChatGPT的爆火、Soar模型的出现，当前及未来的机器已经区别于弱人工智能，机器逐渐成为自然人意志的延伸。平台已经设置了对IP识别的程序防范“薅羊毛”行为，但是机器根据程序的设定难以识别犯罪嫌疑人对该程序的规避，基于认识错误而自愿产生了的交易行为。可以设想，如果下游行为人乔装、更换身份拿着一个账户仅能获取一张的新人优惠券多次去线下找工作人员兑换优惠时，工作人员也未必能发现其行为，而此时可以认定为诈骗罪。类比可知，程序只能识别cookie值的身份，机器作为工作人员的意志延伸，可能存在被骗。此时，下游犯罪构成诈骗罪。

第三，本案行为人构成帮助信息网络犯罪活动罪。从逻辑分析，当下游行为构成诈骗罪，而帮助犯只能以诈骗的帮助行为追究责任，而不适宜定性为危害计算机信息系统的犯罪类别。否则，就会出现正犯实施诈骗罪，而帮助犯构成提供侵入、非法控制计算机信息系统程序、工具罪的结果，这不符合共犯与帮助犯之间的罪名逻辑。

综上，本案犯罪对象是数据从而排除了计算机系统犯罪的适用，犯罪嫌疑人的行为应当在准确下游犯罪构成诈骗罪的前提下，构成帮助信息网络犯罪活动罪。

另需注意，本案认定帮信罪情节严重的标准也应当适用兜底条款。2019年“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称“2019年《解释》”）第12条规定了“情节严重”的标准，由于客观原因限制只能查证一名下家B构成诈骗罪，而公安机关认定A的违法所得虽然远超第4款规定的“违法所得1万元以上”，但经审查，其售卖给下家B的软件金额仅为200元，其他违法所得没有完整的证据链能够证实售卖的软件均被下家用于诈骗活动。由于行为人对下游犯罪持概括性故意，因此，本案应当适用2019年《解释》第7款，即因客观条件无法查证被帮助对象是否达到犯罪，相关数额达到第1款第（二）项至第（四）项适用标准5倍以上，可以构成帮助信息网络犯罪活动罪。

* 浙江省温州市瓯海区人民检察院梧田检察室四级检察官助理［325000］

**浙江省温州市瓯海区人民检察院梧田检察室书记员［325000］

［1］ 指某些网站为了辨别用户身份进行Session跟踪而储存在用户本地终端上的数据，由用户客户端计算机暂时或永久保存的信息。简言之，即用户为免输密码，主动一键保存在本地的用户名、密码等公民个人信息。

［2］ 犯罪嫌疑人冒用买家身份，骗取客服审核通过后登陆购物网站内部评价系统删除差评。

［3］ 参见皮勇：《网络黑灰产刑法规制实证研究》，《国家检察官学院学报》2021年第1期。

［4］ 参见四川省成都市龙泉驿区人民法院刑事判决书，（2014）龙泉刑初第390号判决书。

［5］ 参见四川省崇州市人民法院刑事判决书，（2016）川0184刑初第611号判决书。

［6］ 参见王肃之：《论为信息网络犯罪活动提供支持行为的正犯性——兼论帮助行为正犯化的边界》，《刑事法评论》2020年第1期。

［7］ 参见江溯：《帮助信息网络犯罪活动罪的解释方向》，《中国刑事法杂志》2020年第5期。

［8］ 参见王肃之：《论网络犯罪参与行为的正犯性——基于帮助信息网络犯罪活动罪的反思》，《比较法研究》2020年第1期。

［9］ 参见张明楷：《非法获取虚拟财产的行为性质》，《法学》2015年第3期。

［10］ 参见陈云良、周新：《虚拟财产刑法保护路径之选择》，《法学评论》2009年第2期。

［11］ 参见《张四毛盗窃案》，最高人民检察院网https：//www.spp.gov.cn/spp/jczdal/201710/t20171017_202593.shtml，最后访问日期：4月5日。

［12］ 同前注［9］。