对恶意注册行为的附随后果,实践上主要考量恶意注册行为是否造成了计算机信息系统崩溃、无法正常运转的严重后果。如在邹某才破坏计算机信息系统案中,法院认为邹某才大量恶意注册的行为属于对计算机信息系统数据的增加,而这种大量数据的增加导致了“今日永州APP”服务器瘫痪,系统无法正常运行,构成“破坏计算机信息系统罪”。又如在刘某光等破坏计算机信息系统案中,法院认为刘某光等人篡改北京某科技有限公司运营的服务器端口造成计算机信息系统不能正常运行,构成破坏计算机信息系统罪。
对恶意注册行为所涉及到的数据爬取行为,实践上倾向于处罚注册过程中行为人从服务器获得特定数据的行为。例如在程某将提供侵入、非法控制计算机信息系统程序、工具案中,法院将程某将在使用“DJ_APP.exe”软件进行注册的过程中从京东系统收取手机验证码的行为以“非法获取计算机信息系统数据罪”加以处罚。
2.以下游犯罪为核心的入罪思路
在以下游犯罪为核心的入罪思路上,法院以行为人所实施的具体下游犯罪为依据,对于那些既实施了恶意注册行为又利用虚假账号实施对应犯罪的行为人概括适用下游罪名。如在徐某等合同诈骗案中,二人通过技术手段注册大量京东新用户并以此骗取京东拉新佣金,法院并未对二人恶意注册、购买手机号等行为加以评价,而是直接以其所实施的下游犯罪,即合同诈骗罪对其处罚。又如在王2诈骗案中,王2使用“易码"等软件恶意注册大量虚拟客户账户,骗取奖励金,法院并未对王2所使用的恶意注册软件以及王2的恶意注册行为加以定性,而直接以诈骗罪定罪处罚。
综合上述两种主要的判断思路可以发现,在恶意注册行为人直接实施了下游犯罪,或下游犯罪可以查清的情况下,法院倾向于以下游犯罪为核心的入罪思路,不对行为人的恶意注册行为本身加以评析。而在恶意注册行为人实施的下游犯罪无法予以查清或证明,或恶意注册行为人并未实施下游犯罪的情况下,法院则倾向于以计算机安全为核心的入罪思路,通过考察行为人恶意注册行为中涉及犯罪的要素来适用罪名。
(二)恶意注册行为的理论争鸣
1.以恶意注册的行为方式和上下游犯罪为焦点的“类型化规制论”
“类型化规制论”,主要是通过对恶意注册上、下游及恶意注册手段行为加以刑法规制的方式,将恶意注册的规制路径进行类型化区分的理论。陈兴良教授可以说是“类型化规制论”的代表性学者,其构建了恶意注册行为上、中、下游的基本框架,并采取举例的方式对上游、中下游可能涉及的罪名适用进行了讨论于定性。喻海松法官也是“类型化规制论”的有力支持者,其提出从恶意注册的手段行为出发,分别适用“非法获取计算机信息系统数据罪”、“侵犯公民个人信息罪”和“使用虚假身份证件、盗用身份证件罪”对恶意注册行为中可能出现的行为进行规制。此外还有将恶意注册账号后售出账号的行为定性为“非法经营罪”的观点。
2.着重强调对恶意注册适用一罪予以规制的“统一规制论”
“统一规制论”,是指看重恶意注册行为本身,强调对恶意注册行为进行统一的罪名适用的理论。高艳东教授就提出应当扩张“破坏生产经营罪”的适用范围以规制恶意注册行为。郭玮博士则采用了累积犯的理论,提出将刑法解释“去中心化”,以推定的方式认定恶意注册行为中行为人的“明知”并适用“帮助信息网络犯罪活动罪”。刘宪权教授也在其论文中提出可以设立全新的“妨害信息网络管理秩序罪”对恶意注册行为加以规制。
(三)恶意注册行为的刑法治理缺陷
我国对于恶意注册行为的规制以“类型化规制论”为基础,区分为以计算机安全为核心和以下游犯罪为核心的两种思路。笔者认为,现有的规制思路和理论基础不仅在适用路径上缺乏体系性与逻辑性,在具体的罪名适用和情节认定上也存在模糊和冲突。
1.在司法实践上,司法者存在刑法评价的缺漏和罪名适用的瑕疵
一方面,现有的司法实践对于恶意注册的刑法评价并不存在统一的适用思路,导致遗漏评价的问题。首先,我国司法实践对恶意注册行为的评价缺乏体系性。如汤某某制造并提供“畅游注册机.exe"注册机的行为成为了罪与非罪的核心。但在徐、夏合同诈骗案中,二人同样制造并传播了具有回避京东公司风险监控程序的“佐罗”软件,但法院却并未对二人制造、传播软件的行为予以评价。徐、夏的合同诈骗行为与传播程序的行为分别侵犯了不同法益,仅评价二人下游犯罪而不评价其传播行为的做法并不合理。将两种入罪思路分开适用的做法不当地分割了恶意注册的整体体系。其次,我国司法实践对恶意注册行为的评价并不存在统一的逻辑顺序,只能从中选取有可能构成犯罪的部分加以适用,容易遗漏其他具有社会危害性的行为。例如在邹某才案中,只从结果上评价了其最后造成的破坏后果。在程某将案中,仅在过程上评价了软件性质和非法获取数据的行为,忽视了购买手机号码的准备行为。在朱某华等诈骗案中,只对购买个人信息和下游的诈骗行为予以评价,并未考量二人在过程中使用的软件定性以及可能涉及的非法获取数据的行为。
另一方面,司法实践对于某些具体罪名的适用在准确性上存在瑕疵。以对注册技术程序的认定为例,对恶意注册人制造、传播技术程序的行为不仅在罪名适用上存在瑕疵,在细节定性问题上也存在矛盾。首先,在程某将案和汤某某案中,二人所制造的程序均被认定为“破坏性程序”,且法院均对其传播行为定性为“提供侵入、非法控制计算机信息系统程序、工具罪”,但这种传播“破坏性程序”的行为,根据《刑法》第286条第3款的规定应当构成破坏计算机信息系统罪,此处存在罪名适用的瑕疵。其次,对于具有相同功能的技术程序,不同法院的定性也存在矛盾,例如在汤某某案和叶某星等提供侵入计算机信息系统程序案中,对于同样是以频繁更换IP地址的方式回避电商平台监控措施的“DJ_APP.exe”与“小黄伞”软件,前者被法院认定为“破坏型程序”,后者被认定为“专门用于侵入计算机信息系统的程序”。而制作、传播这两种程序的行为存在此罪与彼罪的差别,司法实践对于具体要件定性上的矛盾,已经影响到罪名的准确适用。
2.在刑法理论上,现有理论对恶意注册的规制缺乏逻辑条理和进一步的细化,最终导致司法实践出现了上述问题
“统一规制论”基本需要在原有立法和刑法理论的基础上进行较大的扩张。如若要适用“破坏生产经营罪”就需要将“破坏”解释为干扰经营秩序的行为。而本罪所保护法益是与生产资料增值有直接密切联系的生产经营活动的经济利益,只有直接损益、破坏了生产经营活动中用于产生经济利益的底层逻辑才能符合本罪的法益要求。故这种解释方法实则过于突破原有法益,难以在司法实践中得到广泛适用。基于此,我国现阶段对恶意注册行为的规制基本采取了“类型化规制论”的观点。
在“类型化规制论”的观点中,陈兴良教授构建了以“上游、中游、下游”三个部分进行规制的体系,为恶意注册行为的刑法治理确立了基本的框架。“类型化规制论”的框架能够概括恶意注册行为,具有相当的科学性,但是从现有司法实践的角度来看,现有理论一方面缺乏一以贯之的逻辑骨架,另一方面亟需细化罪名的具体适用。
在理论逻辑上,陈兴良教授虽然提出了“上、中、下游”的三个部分,但在讨论三个部分的罪名适用时却并未强调上中下游相互影响次序递进的关系,并未明确指出三个部分之间存在的逻辑顺序,使得恶意注册行为的规制犹如缺乏脊椎的各个器官,虽然具备整体框架,却并不具有统一的适用思路。最终导致司法实践中出现前文所述的,只从恶意注册各个部分中找出可能构成犯罪的行为加以约束,造成遗漏评价的问题。
在具体的罪名适用上,现有理论对于具体的罪名和实践中出现的争议矛盾尚未较好地回答,在罪名适用的问题解决上不够细化。例如陈兴良教授在论述上游犯罪时仅考虑到了涉公民个人信息犯罪,并未考虑到行为人准备、制造技术程序的情况。陶云峰检察官在论述中游犯罪时仅考虑到了养号问题,并未涉及对计算机信息系统安全和数据内容的破坏和获取。再如喻海松法官仅是在理论上讨论了几种罪名的适用可能性,却并未涉及该种罪名在司法实践中具体适用的情况。对于具体的法律适用问题的缺失,直接导致司法实践中出现前文所述的对于某些行为要件的认定或罪名具体适用上的瑕疵与矛盾。
可见,刑法理论对于恶意注册行为规制缺乏逻辑性和进一步细化的问题,直接导致了司法实践中出现对恶意注册行为遗漏评价和罪名适用瑕疵的现状。故要解决现有司法实践的现实问题,一方面应当为恶意注册行为添加名为逻辑顺序的“脊椎”,建立统一的罪名适用路径。另一方面还应当在此基础上进一步细化罪名适用,解决现有司法实践中出现的难题。
三、恶意注册的行为逻辑建构与细化治理
(一)恶意注册的行为模式建构
现有理论所建立的上中下游的框架能够较为完整地概括恶意注册行为,故可以在此框架的基础上,结合司法实践中恶意注册行为的客观表现,对恶意注册行为的基本行为逻辑加以建构。
对前文所举的数个案例进行研究可以发现,不同的恶意注册上游行为中行为人准备的技术手段和获取个人信息的方式各有不同。因现有网络运营商基本都会设置对批量注册的防护措施,而在实名制网络环境下注册账号基本离不开个人信息。故无论行为人使用何种方式,技术手段和个人信息都将成为注册账号所必不可少的基础。而在行为人恶意注册大量虚假账号后,一般会采取一定手段使账号其“变现”。例如在本案所举所有案例中均有恶意注册人将账号用于下游犯罪或出售获利的情况,而法院也基本以行为人非法获利的数额为判断情节严重标准的依据。
可以看出,恶意注册行为存在一种以输入、中枢、输出为基本流程的,犹如产品从原材料到加工再到出售的一种生产逻辑。在输入端输入个人信息和技术手段作为原材料与工具,由中枢端将原材料利用工具加工成虚假账号的产品,最后由输出端将这种虚假账号产品参与下游违法犯罪或出售账号进行变现。
将这种输入端、中枢端、输出端的逻辑顺序带入司法实践,能够指导司法人员对三个部分罪名的评价存在一种先后推进的逻辑顺序,形成先判断输入,再判断中枢,最后判断输出的思维习惯,解决因只判断其中一部分而造成遗漏评价的问题。但仅构建逻辑顺序尚不能满足现有司法实践的需求,还应结合现有司法实践中出现的具体问题,对各个部分所涉及到的罪名适用问题进行进一步细化。
(二)输入端行为的治理:个人信息与注册工具的准备
1.以侵入计算机信息系统方式获取个人信息的行为定性
对于以侵入计算机信息系统的方式获取信息的行为,应当以行为人侵入计算机信息系统后获取信息的具体种类进行区别判断。有学者提出在通过技术手段非法获取公民个人信息的情况下,应当以侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合进行处理。笔者认为,两罪所保护的个人信息和数据在内涵上存在差别,不能一概而论。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《信息系统安全解释》)第一条和第十一条将数据解释为用于确认用户操作权限的口令、数字证书等认证信息。而公民个人信息则是指能够单独或与其他信息结合识别特定自然人身份或活动情况的各种信息。基于此,若行为人侵入计算机信息系统所获得的信息并不属于认证信息,如身份证号码、行踪记录等,则只能适用侵犯公民个人信息罪。若行为人侵入计算机信息系统获得的验证信息并不具有反应公民个人身份的可能性,如验证码等,则只能适用非法获取计算机信息系统罪。
另一方面,在侵入方式的认定上应当以回避或突破安保措施的方式获取信息数据。有学者认为利用网络工具绕过安全验证等风控措施获取数据的行为不能适用非法获取计算机信息系统数据罪,原因在于这种行为没有侵入系统。《信息系统安全解释》第二条将侵入行为规定为避开或者突破计算机信息系统安全保护措施的行为,足以说明以回避方式避开安保系统的行为属于侵入行为,应当适用非法获取计算机信息系统罪。但若行为人所实施的技术行为并未回避或突破安保系统,如利用安保系统存在的漏洞获取数据、经授权进入系统后爬取数据或进入没有安保系统的设备的,因此类行为并未回避或突破安保系统,故不能适用非法获取计算机信息系统数据罪。
2.以一般方式获取公民个人信息的行为定性
以购买的方式获取公民个人信息的,应当适用侵犯公民个人信息罪。对于购买方式本身是否属于《刑法》第253条之一第三款非法获取公民个人信息的行为存在一定争议。从文义上讲,购买个人信息应属于获取个人信息行为的应有之义,而从规范上讲,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《个人信息解释》)第四条将购买、收受、交换纳入了获取行为的范畴,而《个人信息保护法》第十条也明确规定对个人信息不得非法买卖,故对于为了实施恶意注册行为而购买个人信息的行为,应当认定为非法获取公民个人信息,适用侵犯公民个人信息罪。
对于依授权获得公民个人信息的,陈兴良教授认为不能适用侵犯公民个人信息罪。该观点存在时代局限性,2021年生效的《个人信息保护法》设置了敏感信息这类特殊的信息类型,对该类信息的收集仅获得当事人授权是不够的,还应当符合法律或行政法规规定的其他程序性要素。例如要收集未满十四周岁未成年人的信息,就还应当获得监护人的许可,否则即使得到了未成年人本人许可也应当认定为非法获取公民个人信息,构成侵犯公民个人信息罪。故对依授权获得公民个人信息的行为,应当判断行为人获得的信息是否属于敏感信息,以及是否符合相关法律法规对该类敏感信息的处理规定。
另外需要注意的是,合法获取公民个人信息后予以非法使用的行为,因我国侵犯公民个人信息罪并未对非法使用公民个人信息的行为加以规制,故即使此类行为同样具有较大的社会危害性,也不能以侵犯公民个人信息罪定罪处罚。
3.恶意注册所使用的技术工具的定性问题
侵入性工具与破坏性工具在司法认定上的矛盾与混乱是现有司法实践中较为突出的问题。有学者指出,两种工具的区别在于是否破坏了注册平台本身的功能、数据和运行。笔者认为该种观点实质上没有明确实践中定性问题的核心矛盾,难以指导具体的罪名适用。在程茂将案和汤某某案中,法院均是以程序会对平台的正常操作流程和正常运行方式造成干扰为由认定破坏性程序,而在叶源星案中对于具有同样功能的“小黄鸭”却并未提及干扰,从而将其认定为侵入性程序。故司法实践对工具定性问题的根本矛盾在于对干扰行为内涵的理解上。
对干扰行为的理解应当从破坏程度和行为方式两方面入手,在破坏程度上,应当要求干扰行为与删除、修改、增加具有相当的破坏性,即应当使原有的计算机运行程序在实质上无法按照原有的路径运行或无法运行。而在对于行为方式的理解上,有学者主张将干扰理解为对系统运行机理造成的重大变化,笔者对此呈否定态度,在法律条文的规定中,干扰是于修改、删除、增加之后的第四种行为,前三种行为已经囊括了对系统运行机理变化的全部方式,若将干扰也认定为对机理的变化则将会导致干扰的行为方式难以得到释明。干扰应当理解为是在不改变系统既定运行规则的前提下对计算机系统运行效率和运行能力进行减损或破坏的行为。以此理解既更能符合干扰的字面含义,也能对破坏计算机系统的行为进行全面概括。
综上,对于侵入性程序和破坏性程序的区分,应当重点考察该程序是否能在不改变既定运行规则的前提下减损计算机系统运行效率致使其无法运行或崩溃。当系统本身不受任何干扰时,不能以破坏计算机信息系统罪定罪处罚。汤某某案中的注册程序是通过第三方平台自动接收和发送手机验证码完成注册,程某将案中的程序是通过打码回避京东安保措施进行注册,二者均无法减损计算机安保系统运行效率或使安保系统无法运行,不能认定为破坏性程序。
而对于侵入性程序的判断,一方面应当考察程序本身是否具备回避或突破安保系统的能力,另一方面应当考量程序是否具备获取数据的功能。如在汤某某案中,注册程序通过第三方平台收发手机验证码进行模拟人工注册,法院并未提及其是否回避了安保系统。若该程序并不回避畅游注册平台的安保机制或没有非法获取数据的功能,则不能认定为侵入性程序。
4.行为人与上游犯罪之间的联系
司法实践中存在行为人为了实施恶意注册而向上游犯罪者购买个人信息或技术程序的情况。例如在程某将案中,程某将的技术程序就是其雇佣陈孔波编写的。在朱某华案等诸多案例中,行为人的个人信息也是从他人处购买而来的。对于此类行为人与上游犯罪存在明显的教唆、帮助、金钱给付关系的,应当以共同犯罪予以处罚。
(三)中枢端行为的治理:恶意注册技术行为的罪名适用
1.对于破坏型注册行为的规制
以破坏方式进行注册的行为主要包括行为方式上的破坏和结果意义上的破坏。行为方式上的破坏,是指在恶意注册的过程中删除、修改、增加或干扰了原有的计算机信息系统,导致该系统不能正常运行。例如在刘某光案中,其篡改了原服务器端口导致原服务程序无法正常运行,属于以破坏方式进行注册的行为。对于此类行为应当以破坏计算机信息系统罪定罪处罚。
结果意义上的破坏,是指行为人实施恶意注册后,其结果导致计算机信息系统程序崩溃、无法运行或不能正常运行。例如在邹某才案中,邹某才恶意注册大量账号致使今日永州服务器超负荷而崩溃,法院以其对系统功能进行修改、干扰为由适用了破坏计算机信息系统罪。但需要注意的是,若行为人不存在对系统程序运行规则的破坏则不能适用本罪第一款的规定,如邹某才的注册行为并不属于对系统程序运行规则的修改或干扰,而是对系统数据进行增加,应当使用本罪第二款的规定予以处理,此处存在法律适用上的瑕疵。
有学者否认注册大量账号导致计算机系统崩溃的行为入罪的观点,原因在于个人批量注册大量账号的行为并未违反国家规定。笔者认为此观点还需商榷,个人以自己名义注册大量账号的行为自然不违反国家规定,但在恶意注册流程中行为人并未使用自己真实的身份信息,而是使用非法获得的他人信息或伪造的个人信息等虚假信息注册账号。此类不提供真实身份信息注册账号的行为,违反了《互联网用户账号名称管理规定》第5条关于信息真实性的规定。故对于使用非真实身份信息进行大量恶意注册的行为,应当认可其违法性,并考量其是否在行为方式和行为结果上破坏了计算机信息系统。
2.对于侵入型注册行为的规制
以侵入方式实施的恶意注册行为,是指以回避或突破计算机安全保护措施,未经授权或者超越授权注册大量虚假账号的行为。需要注意的是,仅通过侵入程序进入一般计算机信息系统,后予以恶意注册的行为不能认定为犯罪,因《刑法》第285条第二款仅处罚非法控制计算机和获取计算机中数据的行为,而侵入计算机系统后进行注册的行为并未非法控制计算机,也并未获取计算机中数据。
对于使用侵入程序后非法获取服务器注册用验证码的行为,应当认定为非法获取身份认证信息,适用非法获取计算机信息系统数据罪。例如在程某将案中,对于程某将使用技术程序规避安保措施后与服务器通信获取注册验证码的行为,法院将其定性为非法获取计算机信息系统数据罪。但需要注意的是,本罪的适用应当以行为人实施了侵入为前提,例如在汤某某案中,汤某某虽然也获得了验证码,但是由于其所使用的程序并未侵入计算机系统,故无法适用本罪。
3.对于其他注册行为的规制
有学者提出,以非法经营为目的注册大量虚假账号并养号的行为符合经营行为的特征,违反了国家法律规定,应当适用非法经营罪。笔者并不认同这一观点,原因在于注册虚假账号并养号的行为既没有规范支撑也不应当认定为侵犯市场秩序。从规范意义上讲,一方面,支持该论的学者所主张的《关于加强网络信息保护的决定》、《互联网信息服务管理办法》等法律规定均是用于规制网络服务提供者的规范,并不能用以规制个人。另一方面即使以《互联网用户账号名称管理规定》第5条认定恶意注册行为违法,该条规定也仅是原则性规定,面向一般的社会管理秩序而非经营秩序,并不属于非法经营行为所依赖的规范范围。从实质意义上讲,网络账号的买卖也难以认定为是市场秩序的一部分,其缺乏法律明文规定也难得到法律的有效保护。互联网账号并不像专营专卖物品、期货保险业务那样在销售程序和主体上具备明文规定,也不同于批准文件、许可证等由法律明文禁止予以售卖,买卖网络账号的行为并未受到经营类法律规范的规制,难以认定售卖虚假网络账号的行为严重扰乱了市场秩序。
(四)输出端行为的治理:提供或保存虚假账号行为的刑法评价
1.对于明知下游犯罪而提供或保存的行为
对于明知下游犯罪而为其提供或保存虚假账号的行为,应当根据下游犯罪所构成的具体罪名对恶意注册者适用共同犯罪。其中对于明知他人利用信息网络实施犯罪而为其提供虚假账号的,应当同时适用帮助信息网络犯罪活动罪,依照处罚较重的规定定罪处罚。
对于明知的认定,存在是否应当对恶意注册行为推定明知的争议。在规范意义上,《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的驾驶》(下称《帮信解释》)第十一条中规定提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的可以认定行为人明知他人犯罪。在学理意义上,有学者认为恶意注册行为人在提供虚假账号时,已经认识到他人可能利用虚假账号开展信息网络犯罪活动,仍实施了注册、保有、出售或转让行为。故应当推定行为人具备明知的主观要件。
笔者认为,本罪具有帮助犯的属性,仍然应当遵循共犯的实行从属性原则,即本罪的成立仍以帮助对象实施了“犯罪”为前提。在被帮助的他人没有实施一定的信息网络犯罪的时候,至少从罪刑法定原则的角度来看,不能成立本罪。另一方面,提供虚假账号人在一般情况下不能直接在规范或理论意义上被推定明知。在理论意义上,恶意注册行为所针对的下游并不一定是网络信息犯罪活动。以“流量型”下游犯罪为例,笔者在裁判文书网以“刷流量”为关键词进行全文搜索,其中刑事案由137例,民事案由96例,以合同纠纷为主。可见,仅在“流量型”下游行为中,民商事案件就占比约41%,真正用于网络犯罪活动的“流量型”仅占比一半。无论是从推定明知的合理性上还是帮助信息网络犯罪活动罪的适用范围上来讲,在下游行为仅有一半是网络信息犯罪的情况下,该学者主张的推定是不可取的。
而在规范意义上,恶意注册行为所注册出来的账号可以用于个人使用、也可以用于增加点击率等不直接涉及违法的行为,而《帮信解释》规定的专门用于违法犯罪的工具更多倾向于“仿冒银行、执法部门网站制作的钓鱼网站”、“解冻被支付宝、微信等支付工具安全策略冻结的未实名账户服务”等为违法犯罪活动提供帮助的专门服务。在此意义上,虽然恶意注册行为所注册的虚假账号大多被用于下游网络黑灰活动,但是由于其中“黑”与“灰”混杂,并不必然涉及违法犯罪,故不能适用《帮信解释》的规定推定行为人的明知。
2.对于不明知下游犯罪而提供虚假账号行为的规制
对于不明知下游犯罪或者无法证明明知要件而卖出账号的行为,因不具备对经营类规范的违反和对市场秩序的破坏不能适用非法经营罪。
对于恶意注册后出卖账号给他人的行为,实践中存在适用侵犯公民个人信息罪的情况。如在谢某扬侵犯公民个人信息案和韩某涛侵犯公民个人信息案中,法院将二人购买、出售含有公民信息的QQ、微信账号的行为认定为非法获取、出售公民个人信息的行为。此类账号包括直接以公民个人信息为内涵的类型,如与现实中个人手机号、身份证号绑定的账号,也包括能够通过正常途径与公民个人信息进行联系的类型,如部分硬件的账号具有行踪轨迹定位的功能。对于此类账号的出售,若不能证明行为人对下游犯罪的明知,则可以适用侵犯公民个人信息罪定罪处罚。
但需要注意的是,恶意注册行为所注册出来的虚假账号并非均能反映个人真实信息,也存在大量无法反映个人信息的账号、无法与现实个人进行联系的“黑号”和以现实中不存在的虚假个人为主体的“假号”,对于此类账号不能以侵犯公民个人信息罪定罪处罚。
(五)恶意注册行为的罪数形态
1.同一阶段内的罪数形态
在输入端,为了恶意注册而非法获取公民个人信息和准备破坏、侵入性程序的行为应当成立数罪,以侵入方式获取公民个人信息的应当根据前文所述的判断规则选择适用罪名或按想象竞合处理。例如,若行为人为了实施恶意注册行为而购买公民个人信息并制作破坏性程序的,应当以破坏计算机信息系统罪和侵犯公民个人信息罪数罪并罚。若行为人采用了撞库等侵入手段获取信息,则应当根据信息种类分别考量非法获取计算机信息系统数据罪和侵犯公民个人信息罪的适用与想象竞合。另外,还应当考量行为人与其上游犯罪之间存在的共犯关系,如行为人教唆、资助上游开发传播侵入性程序,应当以提供侵入计算机信息系统程序罪共犯,与行为人的其他行为并罚。
在中枢端,以侵入方式恶意注册并非法获取了系统中的身份认证信息,其结果导致系统无法运行,同时构成非法获取计算机信息系统数据罪和破坏计算机信息系统罪的,因行为人只实施了一个行为,故应以想象竞合从一重罪处理。例如行为人以回避方式侵入计算机信息系统后收取验证码等身份认证信息,其注册行为给系统中增设数据导致计算机系统崩溃。此时行为人的行为方式同时符合两罪的要求,行为结果同时造成了计算机信息系统的破坏和数据的泄露,应当以两罪的想象竞合从一重罪处罚。
在输出端,行为人将恶意注册所得账号分别交予不同下游实施犯罪或予以出售,构成不同罪名的,应当数罪并罚。例如行为人注册附有个人信息的一万份账号后,将其中五千份提供给其明知的某一下游犯罪,剩余的部分售卖给他人但并不明知其下游行为。此时应当对行为人以下游犯罪的共犯和侵犯公民个人信息罪数罪并罚,原因在于此时行为人实施了数个行为且侵犯了数个不同法益。
2.不同阶段间的罪数形态
在中枢端构成犯罪的情况下,虽然输入端的行为在客观上为中枢端提供了犯罪工具和犯罪条件,但由于罪名之间并不存在一般意义上的牵连或吸收关系,故不能适用牵连犯或吸收犯的原理,应当数罪并罚。例如行为人在输入端非法购买了公民个人信息,在中枢端又以侵入方式恶意注册并非法获取了系统中的身份认证信息,因为此时中枢端的行为与输入端的行为并非是目的与手段的一般关系,故应当以非法获取计算机信息系统数据罪和侵犯公民个人信息罪数罪并罚。
对于输出端能证明明知的,即使能够证明行为人是为了给下游犯罪提供帮助而实施的恶意注册,也不能仅以输出端的罪名定罪,而应当考量输入端和中枢端所构成的具体罪名进行数罪并罚。例如行为人在输入端非法购买公民个人信息,在中枢端使用破坏方式进行恶意注册导致计算机系统无法运行,又在输出端向下游网络诈骗犯罪提供虚假账号帮助,因行为人实际上实施了数个行为,而数个行为所侵犯的法益各有不同,故应当以侵犯公民个人信息罪、破坏计算机信息系统罪和诈骗罪的共犯三罪数罪并罚。
综上所述,司法者在对恶意注册行为进行评价时,可以依照“输入、中枢、输出”的思考逻辑,先后考察三个阶段可能适用的罪名和阶段内的罪数形态,最后在总体上统合现有罪名进行评价。这样的做法既能帮助司法者充分认识恶意注册行为整体的产业链条,简化复杂的恶意注册过程,还能确保对恶意注册诸多具有社会危害性的要素进行全面评价防止遗漏。
四、代结语:现有立法体制的规制缺陷
前文为恶意注册的刑法规制体系设置了输入、中枢、输出的基本逻辑并细化了不同阶段的罪名适用,在一定程度上解决了现有司法适用中刑法评价缺漏和罪名适用瑕疵的问题。
但需要指出的是,在现有的立法体制下无论如何细化完善原本框架,都无法处罚所有的恶意注册行为。例如行为人非法购买侵入性程序和手机号,利用侵入性程序进行恶意注册,并由第三方软件完成验证码的收发工作,将注册好的账号卖于下游。此类行为是最为常见的恶意注册行为,可以发现,在输入端仅购买侵入型程序而不予以传播的行为无法被认定为犯罪,而手机号存在大量未绑定号码、空号、境外号码的情况下又难以认定为公民个人信息。在中枢端因验证码的收发是由第三方软件进行,难以认定恶意注册人自身非法获取身份认证信息,而仅增加数据未造成破坏结果的行为也无法构成犯罪。对于输出端,行为人售卖的账号若不附带或不明显体现公民个人信息则不能认定为侵犯公民个人信息罪,而行为人对下游犯罪的联系又难以证明。故对于恶意注册行为,若行为人并未涉及一些构成犯罪的特殊情况,则难以动用刑法规制。
另外还需要指出的是,即使适用刑法对某些特殊的恶意注册行为加以规制,其处罚的行为也非注册本身而仅是其中的网络攻击、隐私侵犯等传统犯罪。对于该类传统犯罪,行为人完全可以通过新兴网络技术予以规避,例如使用虚拟手机号或强智能AI模拟人工注册等。以现有的立法模式处罚恶意注册行为的思路,不仅无法规制现状下所有的恶意注册行为,还无法适应高速发展的互联网技术,存在严重的滞后性。
鉴于此,笔者认为可以将“网络诚信体系”作为法益纳入刑法保护,通过设立侵犯网络诚信体系罪来对恶意注册行为进行入罪。但“网络诚信体系”法益的具体内涵,以及恶意注册入罪后如何加以解释适用,有待于进一步的研究分析。
特约编辑:潘庸鲁
责任编辑:李瑞霞
执行编辑:吴涛 黄阿晴
⏩ 转载请标明本公号和二维码 ⏪
推荐阅读
●【论文精选】第128期丨预查封不动产强制变价的路径探析返回搜狐,查看更多