王龙国

摘要“网络钓鱼”自从1996年前后在美国首先发生之后,迅速扩散到其他发达的一些欧洲国家。近几年,中国也屡次发生“网络钓鱼”攻击的案件,而且形势愈演愈烈。对此,国际社会积极应对,而我国刑法在规制此种行为时却显得力量有些单薄,需要进行完善。

关键词网络钓鱼刑法规制完善

中图分类号:D924.1文献标识码:A文章编号:1009-0592(2009)10-020-03

一、“网络钓鱼”及其实质

“网络钓鱼”是上世纪90年代中期以来兴起的一种网络诈欺行为。该词自从产生之后,并没有一个准确的含义,也不是一个真正法学意义上的术语。但一般认为,“网络钓鱼”是指那些利用欺骗性的电子邮件和伪造的web站点来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账号、社保编号等,并利用其获取不正当利益的行为。反钓鱼工作组(APWG)将“网络钓鱼”定义为一种利用社会工程学和技术手段盗窃消费者个人身份资料和金融账号凭证的身份信息在线窃取活动。①美国司法部认为,“网络钓鱼”是指制造或使用与知名合法企业、金融机构或政府机关的电子邮件和网站相似的电子邮件和网站,诱骗网络用户透露他们的银行和金融账户信息或其他个人信息如用户名和密码。②日本的警察厅将“网络钓鱼”以及网络钓鱼诈骗定义为:“网络钓鱼,是指伪装成银行等企业的邮件,引导收件人访问虚假的网页,使其在该网页上输入个人的金融信息(信用卡号、ID、密码等),非法获取其个人的金融信息的行为。以该信息为基础骗取金钱的手段被称为网络钓鱼诈骗。”③

从以上关于“网络钓鱼”的界定中,我们可以看出,关于“网络钓鱼”的具体内涵并没有一个统一的定义,日本警察厅只将那些“获取其个人的金融信息”的行为看作是“网络钓鱼”,而在美国,不管是司法部还是APWG都既将窃取个人金融信息又将窃取其他个人身份信息的行为看作是“网络钓鱼”。从世界上发生“网络钓鱼”案件比较多的一些国家的实际情况来看,APWG的定义是较具代表性的。“从法律角度看,网络钓鱼的实质是身份窃取(IdentityTheft)。”④笔者以为,只要是那些利用计算机网络诱骗他人在不知道的情况下透露其个人真实的身份信息的行为都是“网络钓鱼”的行为。

二、“网络钓鱼”的表现形式

“网络钓鱼”者为了能够有效地通过诈欺行为获得他人的真实身份信息,采取了各种各样的手段。“网络钓鱼”并不像其他的病毒或黑客袭击会对用户计算机造成破坏,更多的是利用人心理上的弱点来欺骗用户的敏感数据。其主要欺骗方式如下:

(一)发送电子邮件,以虚假信息引诱用户中圈套

诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码,或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户资金。

(二)建立假冒网上银行、网上证券网站,或者发送假链接,骗取用户账号密码实施盗窃

犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金。还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。

(三)利用虚假的电子商务进行诈骗

此类犯罪活动往往是建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,犯罪分子在收到受害人的购物汇款后就销声匿迹。

(四)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动

木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。

(五)利用用户弱口令等漏洞破解、猜测用户账号和密码

不法分子利用部分用户贪图方便设置弱口令的漏洞,对银行卡密码进行破解。

三、当前刑法在规制“网络钓鱼”行为中的缺陷

中国是“网络钓鱼”侵害比较严重的国家,但是,中国并没有直接针对钓鱼行为的法律规范。当前刑法在打击“网络钓鱼”行为中的作用是十分有限的。

我国1997年刑法设置的与计算机或网络直接有关的犯罪分别是第285条、286条。《刑法》第285条规制的是侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。任何一种钓鱼行为最终要想窃取他人的个人资料,都是要通过其个人才能实现目的,而不会侵入国家事务、国防建设、尖端科学技术系统去达到目标,因此,也不能以此罪定罪。《刑法修正案》(七)通过后,将本罪的犯罪对象扩大到几乎所有的计算机信息系统,如果情节严重的,均可构成非法侵入计算机信息系统罪。将第285条的犯罪对象进行如此的扩大后,则那些诈取了个人资料和密码等信息后,以此信息再进入银行系统取款、转账的钓鱼行为就有可能以此定罪了。此时,我们只需将其利用别人的登录口令进入银行系统的行为认定为“非法”就行了。而且,这种冒充的方式就是“侵入”的行为表现之一,通常“侵入”的方式有“冒充”、“技术攻击”、“后门”、“陷阱门”等。⑤然而,根据《刑法修正案》(七),行为人如果侵入的是国家事务、国防建设、尖端科学技术系统以外的计算机信息系统,需要达到情节严重的程度才能构成非法侵入计算机信息系统罪,而对那些还没有造成危害后果或者刚刚着手实施钓鱼行为以及其他的一些情节不是很严重的行为,则无力规制。可是,这与“网络钓鱼”本身即具有社会危害性,需要进行刑法的规制是不相适应的。由以上分析可以看出,非法侵入计算机信息系统罪是不能规制当前的“网络钓鱼”行为的。

《刑法》第286条规制的是违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,和对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作,以及故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。“网络钓鱼”行为中的一种表现形式,即利用木马和黑客技术等手段窃取用户信息的行为,往往都是通过木马等破坏性程序来影响计算机系统的正常运行,从而获取个人资料的。“网络钓鱼”中的此类行为在一定程度上综合了该罪的客观方面,似乎可以此罪来定罪处罚。然而,该罪的三款都要求“后果严重”,才能入罪,如果钓鱼者窃取了许多人的个人资料或尽管没窃取很多人的资料,但却造成了受害人隐私的外泄或者受害人因为个人资料被窃取而自杀、报复社会等其他结果,我们尚可以说“后果严重”,并以此来定罪。否则,钓鱼者只窃取了某个人的个人资料或身份信息,我们很难认定为“后果严重”,因为这里缺乏一个衡量标准。因此,此罪也不能承担起从刑法上打击“网络钓鱼”行为的功能。

尽管我国刑法中直接规定的与计算机和网络有关的犯罪不能直接规制目前出现的诈取他人身份信息和密码的行为,但有一种特殊的身份信息却因为我国刑法的专门规定可以得到保护,即信用卡资料。如果钓鱼者窃取网络用户信用卡的账号、密码等信息资料,就构成了刑法第177条之一规定的妨害信用卡管理罪。钓鱼者的另外一种行为也可能受到我国现有刑法的规制,即伪造网站时,同时伪造或擅自制造了他人注册商标标识的行为,如果达到情节严重的程度,就构成了刑法第215条规定的非法制造注册商标标识罪。

根据以上分析可以看出,我国当前刑法基本上不适应规制当前愈演愈烈的网络钓鱼行为的需要。

四、增设新罪来规制“网络钓鱼”的初步思考

(一)学者们的构想及分析

如何设立新罪来打击“网络钓鱼”呢?

一部分学者借鉴加拿大的立法模式,主张规定身份信息犯罪或身份犯罪。认为“身份犯罪或称与身份有关的犯罪是指非法获取、持有、收集、传播、买卖、使用和伪造身份信息、文件和标志的行为。”⑥一类学者借鉴美国的立法模式,主张规定身份盗用或身份盗窃罪。认为“身份盗用是指为了取得金钱、物品、服务等利益或者逃避义务和责任,盗窃他人身份证明信息以非法冒用他人身份的行为。”⑦“身份盗窃”指的是行为人窃取并利用证明他人身份的个人资料、数据以非法获得他人的经济利益的犯罪。⑧一类学者认为“借鉴《刑法修正案》(五)、《刑法》关于非法获取国家秘密罪、非法获取军事秘密罪、侵犯商业秘密罪等的规定,我国刑法应当增设非法获取、传播身份信息罪。”⑨一类学者主张规定网络钓鱼罪。建议:“以利用身份识别信息实施违法或犯罪行为为目的,故意利用仿冒的电子邮件信息、网页、网络站点或者其他网络技术手段欺诈性地获取网络用户的身份识别信息,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。”⑩

第一类学者、第二类学者、第三类学者的主张并不是完全针对“网络钓鱼”现象提出的,他们不仅认识到网络钓鱼的危害,而且还认识到其他大量存在与“网络钓鱼”在性质上有相同之处的窃取他人身份信息行为的危害。这些学者试图用一个更加具有包容性的入罪方案将社会上存在的有关身份信息犯罪的行为都包括在内,他们的想法是有道理的。但是,这三类学者的主张也各有他们的缺陷。

第一类学者主张全面规定身份信息犯罪或身份犯罪,该主张的特点是打击范围广,只要是与身份信息有关的非法行为,都可以被包括在该类罪之内,就连“持有”他人身份信息的行为也要接受打击,而事实上,我国刑法对“持有”型犯罪是严加控制的,一般情况下只有“持有”的对象是国家明令禁止并严管的对象时,才被规定为犯罪。因此,对“持有”他人身份信息的行为也规定为犯罪过于苛刻。况且,“网络钓鱼”者在窃取他人身份资料后,通常还要利用该信息实施进一步的违法行为,如果对该整体行为进行评价,我们不能避开后续行为只评价前行为,因此,我们在将网络钓鱼行为入罪时,考虑的不仅仅是其窃取他人身份信息的行为,通常还要考虑其窃取行为的动机。

第二类学者规定身份盗用或身份盗窃罪,该主张将非法获取他人身份信息的行为及其后续行为一起评价,而我国刑法已经对利用他人身份资料进行违法的行为进行了评价,如果为了打击身份信息犯罪而不考虑已有刑法的存在,将会产生一些法律上的竞合。比如,我国刑法对非法获取他人身份信息后的一些后续行为已经进行了入罪的规定,伪造、变造居民身份证罪,诈骗罪,洗钱罪,信用卡诈骗罪便是如此。因此,主张规定身份盗用或身份盗窃罪尽管能打击“网络钓鱼”,但却会与现存刑法存在一些法条上的竞合。

第三种主张设立非法获取、传播身份信息罪,相对于第一种主张,打击范围缩小了很多。但是,即使如此,也不能准确地打击“网络钓鱼”行为。“网络钓鱼”行为是钓鱼者同一个人实施窃取他人身份信息的行为和后续的欺诈行为或者受一个人操纵、控制、指使实施了上述两阶段的行为,在这前后相继的行为过程中,钓鱼者的目的是明确的,动机是不变的。而如果规定非法获取、传播身份信息罪,将会存在一种情况,也就是行为人在窃取到他人的身份资料后,然后又出售给一些中介公司或者欲购买者,甚至经过很多道中转,那么,在该种情况下,将所有的行为人都规定为犯罪显然是不可取的。因为,这些行为人当中可能有些人纯粹是买卖信息的行为,他们的动机各不相同,将这所有人的行为都用一种罪来评价也是不公正的。

第四种主张是规定单独的网络钓鱼罪,从打击“网络钓鱼“的角度来说,此种规定当然是可取的。因为,当每一种违法犯罪行为出现时,我们都有理由在刑法中规定一种犯罪,但是,从长远来看,该种做法也是有弊端的。大量新罪的增加将造成刑法典的不稳定性以及随时可更改性,将会减少人们对刑法的了解与预知的程度。并且,随着大量的新情况的出现,刑法如都做出回应,也会造成对现行刑法体系和结构的冲击。因此,我们在增设新罪时一定要考虑到这个问题,既要保持现行刑法结构体系的稳定性,又要将一些新出现的犯罪行为纳入到自己的规制之下。

(二)笔者的建议

基于前面分析,笔者主张在刑法第286条破坏计算机信息系统罪后增设一条窃取身份信息的犯罪,作为第286条之一。具体建议如下:

“利用欺诈性电子邮件、仿冒网页、网址、木马或者破坏性程序、破译弱口令等互联网技术手段窃取他人身份识别信息的,后果严重的,处3年以下有期徒刑、拘役或者管制,并处或者单处罚金;后果特别严重的,处3年以上7年以下有期徒刑,并处或者单处罚金。

利用互联网技术以外的其它手段窃取他人身份识别信息的,后果特别严重的,处3年以下有期徒刑、拘役或者管制,并处或者单处罚金。

本条所称身份信息是指:①银行账号、密码;②信用卡密码;③各种身份证明号码;④各种网络通行口令、密码;⑤其他可用于识别他人身份的个人身份资料。”

本条第一款为利用互联网技术窃取身份信息罪,第二款为利用非互联网技术窃取身份信息罪。只要是采取非法手段窃取他人身份信息资料,造成严重后果的,都定罪处罚。考虑到目前窃取身份信息的行为主要是通过网络钓鱼手段来实施的,所以,对此类行为要专门规定,加重惩治力度。

窃取身份信息的犯罪的犯罪构成如下:

窃取身份信息的犯罪的主体为一般主体。凡是达到刑事责任年龄并具有刑事责任能力的人,即年满16周岁,精神智力正常,都可以成为本罪的犯罪主体。笔者以为,从防患于未然以及刑法制定的前瞻性角度来考虑,单位也可以构成这个罪的犯罪主体。尽管目前出现的非法窃取他人身份信息的行为还没有单位实施的情况,但这并不意味着以后也不会出现。1997年6月下旬,江民公司为了打击盗版的软件,在其反病毒软件KV300的L++版本中置入了“逻辑炸弹”程序。从这一案例我们可以知悉,利用计算机网络来实施的犯罪有可能是单位的行为。因此,我们不能排除将来会有一些公司或单位为了谋取非法的利益,会通过钓鱼行为来窃取客户的身份信息或者他人的身份信息,这是完全可能的。有鉴于此,单位实施了窃取他人身份信息的行为,也可触犯本条规定的刑律。

窃取身份信息的犯罪的主观方面为故意,即只有故意实施违法行为窃取他人身份信息资料或者明知是他人非法获取的别人的身份资料而故意传播的行为,才构成这两个罪。至于行为人的动机是多种多样的,不管其是否准备继续实施身份信息窃取的后续行为,只要“窃取”这一前行为实行完毕,这两个罪的实行行为就已终了。

利用互联网技术窃取身份信息罪客观方面的表现是:通过网络技术手段,发送欺诈性电子邮件,建立假冒的网页或网站,编制木马或破坏性程序,破译弱口令、密码等,窃取他人的身份识别信息。行为人只要实施了上述行为之一,而且目的是窃取他人的身份信息资料,不管其今后是否利用该身份识别信息实施违法行为,即符合该罪的客观方面,以该罪处罚。该罪的既遂以行为人获取并控制他人的身份识别信息为标志。如果行为人既实施了该种行为,又利用窃取的身份信息资料实施了后续的其他犯罪行为,则构成该罪和他罪的数罪,处罚时应数罪并罚。至于通过网络技术手段窃取他人的身份识别信息的具体方式则多种多样。利用非互联网技术窃取身份信息罪的客观方面表现是:行为人通过互联网技术以外的任何方式窃取他人身份信息资料的行为。

窃取身份信息的犯罪侵犯了计算机信息系统安全,破坏了国家对计算机信息系统的管理秩序。同时,该罪也侵犯了他人的身份信息资料专有权和使用权。

基于以上分析,笔者认为,网络钓鱼行为是一种严重的违法犯罪行为,随着计算机及网络技术的日新月异,网络钓鱼的趋势也会愈演愈烈。目前,在刑法的规制上,我国基本上还是一片空白,这就给防范和打击网络钓鱼行为的实践带来了司法难题。因此,我们有必要在理论上和实践中深入对网络钓鱼行为的研究,加强对相关问题的认识,使刑法可以适应这种由于信息技术进步而使社会生活关系所发生的变革。

注释:

①②⑩陈玲.网络钓鱼与刑法规制.政治与法律.2008(8).第40页,第44页.

③尹琳.日本网络钓鱼的现状与对策.顾肖荣.经济刑法(7).上海社会科学院出版社.2008年版.第178页.

④任传伦,杨义先,冯朝辉.网络钓鱼攻击的发展趋势及法律对策考虑.网络安全技术与应用.2007(6).第87页.

⑤胡国平.关于四种计算机犯罪的认定.赵秉志.计算机与网络犯罪专题整理.中国人民公安大学出版社.2007年版.第145页.

⑥杨诚.身份犯罪立法的国际动态及其启示.政治与法律.2008(8).第35页.

⑦闵庆飞,季绍波,仲秋雁.身份盗用的发展及其治理和研究趋势.公共管理学报.2007(1).第51页.

⑧姜雯.美国的身份盗窃.2002年12月9日.检察日报.

⑨陈为钢,张少林.增设非法获取、传播身份信息罪初议.顾肖荣.经济刑法(7).上海社会科学院出版社.2008年版.第158页.

寿步.江民公司KV300软件逻辑炸弹案.http://www.blogchina.com/new/display /806.html..2009年4月30日访问.