【在网络环境中使用骗取方式来盗窃QQ账号行为的定性】盗窃

在网络环境中使用骗取方式来盗窃QQ账号行为的定性

在网络环境中使用骗取方式来盗窃QQ账号行为的定性 [基本案情]犯罪嫌疑人杨某某受其上家雇佣,制作钓鱼网站, 盗取QQ 账 号和密码, 从2015 年7月至2016 年6 月, 共盗取数量达100 余万个。盗取QQ 账号和密码的具体方式为:
上家先给杨某某几十个已经盗取的QQ 账号和密码, 杨某某通过QQ群发器,登陆这些QQ 账号,向这些QQ 账号的好友发送腾讯公 司十周年送手机流量500M的钓鱼网站链接,这个钓鱼网站是杨某某租用服务器, 编写代码制作的,被害人点击这个钓鱼网站,网页上会跳出要求输入QQ 账号和 密码的表单, 一旦被害人输入之后, 这些QQ 账号和密码的信息会被自动保存 到该钓鱼网站的服务器, 杨某某再将服务器上盗取的QQ 账号和密码, 下载下 来发给上家, 按量获取报酬,同时利用这些盗取的QQ 账号和密码,继续通过 QQ 群发器,反复盗取QQ 账号和密码。截至案发,杨某某非法获利40 余万元。

其中2016 年有两个月的时间, 杨某某的上家向杨某某支付宝转账61 万元,除 去双方之间其他解密、网页推广等费用,盗取QQ 账号的报酬达30 余万元。

一、司法实务分歧 关于本案的处理, 司法实践中产生了两种不同意见:一种观点认为,杨 某某的行为属于非法获取计算机信息系统数据罪中的采用其他技术手段,获取该 计算机信息系统中存储、处理或者传输的数据,应该认定为非法获取计算机信息 系统数据罪。另一种观点认为, 杨某某的行为属于侵犯公民个人信息罪中的窃 取或者以其他方法非法获取公民个人信息,应认定为侵犯公民个人信息罪。笔者 认为, 本案同时侵犯了非法获取计算机信息系统数据罪和侵犯公民个人信息罪, 属于牵连犯,应定侵犯公民个人信息罪。

二、非法获取计算机信息系统数据罪条文解读非法获取计算机信息系统数 据罪规定在《刑法》第285 条第2 款:违反国家规定, 侵入前款规定以外的计 算机信息系统或者采用其他技术手段, 获取该计算机信息系统中存储、处理或 者传输的数据处。认为本案应定非法获取计算机信息系统数据罪的一个主要理由 源自《中华人民共和国刑法解读》(以下简称《解读》),根据《解读》,非法获 取计算机信息系统数据罪是指非法获取他人计算机信息系统中存储、处理或者传 输的数据的行为。获取包括从他人计算机信息系统中窃取,如直接侵入他人计算 机信息系统,秘密复制他人存储的信息;也包括骗取,如设立假冒网站,在受骗 者登陆时,要求用户输入账号、秘密等信息。存储、处理和传输这三种形态,涵 括了计算机信息系统中所有的数据形态,不论行为人非法获取处于哪种形态的数据,均符合法律的规定。

但笔者认为该《解读》具有一定的误导性。第一,关于获取的误导性解读。

《刑法》第285条第2 款规定,侵入前款规定以外的计算机信息系统或者采用其 他技术手段, 获取该计算机信息系统中存储、处理或者传输的数据,其中获取 并非一个容易发生歧义或误导性的概念。但《解读》将获取一词进行重点解释, 解读为窃取和骗取两种行为方式,并列举了窃取和骗取的具体行为类型。这就与 条文所规定的侵入或其他技术手段的行为方式发生混淆,使人产生理解上的困惑。

虽仔细分析,应当是侵入、其他技术手段中可以包含窃取和骗取的方式,但也容 易使人理解为 侵入、其他技术手段与窃取和骗取之间为一种并列的关系,抑或 窃取、骗取是一种其他技术手段,甚至有可能将窃取、骗取的作用对象与本罪的 犯罪构成发生混淆。

第二,关于获取的计算机信息系统中 处理、传输数据的误导性解读。按 照条文规定,获取的数据具有方式上的特定性,仅指 侵入 或 采用其他技术手 段获取该计算机信息系统中的数据。本罪的条文是《刑法修正案(七)》增加的内 容。按照条文的立法背景,之所以新增本罪条文,是因为公共信息安全和网络监 察部门提出, 当前, 我国计算机网络安全形势十分严峻。非法侵入他人计算机 系统或者利用其它技术侵入计算机系统的主要目的之一,是非法窃取他人在计算 机系统存储、处理和传输的数据。按照《解读》,获取(窃取、骗取)、处理、传 输的数据,均为本罪犯罪罪状的描述。这样理解,未对侵入等行为进行强调, 导 致网络环境下获取处理、传输的数据均有被误读为本罪的可能。

三、本案中的手段行为构成非法获取计算机信息系统数据罪 本案中的情形可以分为两个行为, 一个行为是杨某某非法登陆他人的QQ 账号,向这些QQ 账号里面的好友发送诈骗信息, 另一个行为是杨某某利用诈 骗信息,骗取QQ 账号,卖给上家。前者是手段行为,后者是目的行为。

按照非法获取计算机信息系统数据罪的犯罪构成,杨某某的手段行为已构 成该罪。非法获取计算机信息系统罪的犯罪构成又包含两个行为, 一是侵入计 算机信息系统,二是获取该系统中的数据。本案中, 杨某某利用上家提供的盗 窃的QQ 账号、密码登陆,应评价为一种侵入计算机信息系统的行为。早期的侵 入计算机信息系统的行为表现为侵入大型计算机信息系统(服务器)数据库,获取 数据库内存储的信息, 造成极其恶劣的影响和严重的危害。如1994 年英国电信 公司一员工侵入该公司的内部数据库, 获得了政府机构重要部门的电话号码和地址。侵入的方式有很多,有非法用户侵入,有合法用户越权访问,或者采取破 解身份认证信息,或者采取盗窃身份认证信息,或者强行突破安全防火墙等,但 其本质是未经计算机信息系统控制人或者所有者授权的擅入行为。为此,行为人 通过钓鱼网站等方式骗取他人的身份认证信息, 并运用这些身份认证信息登录 到计算机信息系统, 从形式上看,行为人是获得信息系统的许可进行登录,但 实质上也是一种未经授权的侵入行为。本案中,杨某某利用上家提供的盗窃的 QQ 账号、密码登录QQ软件系统的行为, 就是一种形式上获得计算机信息系统 授权的合法登录,实质上是一种侵入计算机信息系统的行为。

有观点可能会认为,QQ 软件的服务提供商本身对该软件QQ 账号、密码 被盗用的行为不负辨识是否为真实的QQ 账号使用人的责任。换言之,该软件的 服务提供商对于只要持有正确QQ 账号、密码的人都允许登录,而不会视为自身 的QQ 软件计算机信息系统被侵入。对于QQ 账号的注册人而言,更不会视作自 身的计算机信息系统被侵入,仅仅是认为自身的QQ 账号、密码被盗。事实上, 本案中的QQ 账号、密码被盗,亦并非盗取者侵入注册用户的电脑进行盗取。对 于该观点,有反驳者曾举一例,撬门进入他人住宅是非法侵入,盗取钥匙后,用 钥匙开门进入他人住宅的,当然也是非法侵入。笔者认为,本罪处于《刑法》分 则第六章第一节扰乱公共秩序罪中,其首要的保护法益是公共秩序,因未凸显本 罪中被害人的构成要素,才会有观点认为本罪与盗窃罪不同,获得账号、密码进 行登录的行为不视为侵入计算机信息系统。这里应当对侵入作适当的扩大解释, 包括未破坏计算机信息系统的网络安全防火墙,冒用他人的身份信息进行登录的 行为。

还有观点可能会认为按照最高人民法院、最高人民检察院《关于办理危害 计算机信息系统安全刑事案件应用法律若干问题的解释》第11 条,计算机信息 系统, 是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、 自动化控制设备等,而杨某某侵入的是某一特定QQ 用户的QQ账号,不能被评 价为计算机信息系统。这种观点是未具体地理解QQ 软件的计算机信息系统。其 是一个网络时时信息交互的软件, 软件分为客户端和服务器端,在客户端,用 户下载QQ 软件安装之后,进行注册,获得服务器端的许可,就可以进行不同 QQ 用户之间的时时信息交互,在服务器端,为每一个QQ用户保存着一套该用 户的信息, 客户端的QQ 用户进行时时信息交互的数据都要经过服务器。笔者 认为,这样由客户端、服务器端软件组成的具有时时信息交互功能的软件,是司 法解释第11 条所称的具备自动处理数据功能的计算机信息系统。本案中,杨某某利用盗窃的QQ 账号、密码侵入计算机信息系统(QQ 软 件信息系统),向该QQ 账号内的好友发送钓鱼网站链接,属于获取该QQ 账号 内存储的好友数据,杨某某还直接利用了这些数据。每一个QQ 账号的好友就是 一份信息系统数据,以特定的编码和方式存储在服务器上的该QQ 账号项下,既 可以直接侵入服务器获取,也可以按照杨某某的方式,以盗取QQ 账号、密码登 录后获取。因此,杨某某的行为属于获取计算机信息系统数据。综上, 本案中 杨某某的手段行为符合非法获取计算机信息系统数据罪的犯罪构成。

四、本案中的目的行为构成侵犯公民个人信息罪 杨某某受其上家委托,非法盗取他人QQ 账号、密码,但其并不清楚这些 被盗取的QQ 账号、密码的不法用途,从杨某某的角度来说,其侵入计算机信息 系统获取该系统内的QQ 好友数据, 并利用了这些QQ 好友数据,其目的是通 过向这些QQ 好友发送诈骗性质的钓鱼网站,以盗取QQ 账号、密码,并提供给 其上家,获取报酬。简言之,本案中,杨某某的目的行为是盗取QQ 账号、密码, 卖给其上家。

侵犯公民个人信息罪规定在《刑法》第253 条之一第1 款:违反国家有关 规定,向他人出售或者提供公民个人信息,情节严重的,处该条第3 款:窃取或 者以其他方法非法获取公民个人信息的, 依照第一款的规定处罚。该罪的主体 是一般主体,主观方面为故意。该罪的客观方面表现为违反规定, 向他人出售 或提供公民个人信息, 这些信息的来源无论是窃取或其他方法取得,不影响本 罪的认定。由于我国尚未制定《信息保护法》,何为公民个人信息,存在一定的 争议。有观点认为,公民个人信息,即指以任何形式存在的、与公民个人存在关 联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数 据或者情况都可以被认定为个人信息。该观点的前半部分称公民个人信息为可以 识别特定个人的信息,而后半部分又称只要有关个人的一切信息等都可以被认定 为个人信息,存在一定的矛盾,因为后者不一定属于前者,如个人的一份未包含 姓名、身份信息的体检报告,属于有关个人的信息,但该信息不能识别特定个人。

尽管如此,一般的观点认为,公民个人信息是能够识别公民个人身份等情况的信 息。笔者对此不能完全认同,而更支持有关个人的一切信息的公民个人信息观。

但两者并非不可调和。只要对前者中的识别一词扩大理解,对后者作限缩解释, 就能基本将两者相等同。

2012 年12 月颁布的全国人民代表大会常务委员会《关于加强网络信息保 护的决定》第1 条规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。持有的是一种身份识别和隐私权利的公民个人身份观,结合该法的具 体内容,特别是其中提到的网络服务提供者收集、使用公民个人电子信息必须严 格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供等规定,可以反 观该法所持的公民个人身份观,是一个比识别特定个人更广的概念,应是认为识 别特定个人的公民个人信息观尚不足以保护公民个人信息,为此,增加了公民个 人隐私的概念。概言之,应当从网络服务者等收集公民个人信息的角度来反向检 验何为公民个人信息更合适。公民的QQ 账号是当前网络上注册的必填项目之一, 也是很多网站、论坛、微博的登陆账号,特别是随着QQ 软件服务器提供商附加 在QQ 账号上的功能越来越多,QQ 账号绑定手机号码、微信号码、苹果手机识 别码、个人空间等功能越来越多,大多数QQ 账号已基本具备了身份识别和隐私 权利的属性,应属于网络服务者收集的公民个人信息。

2013 年4 月颁布的最高人民法院、最高人民检察院、公安部《关于依法 惩处侵害公民个人信息犯罪活动的通知》第1 条提到:当前,一些犯罪分子为追 逐不法利益,利用互联网大肆倒卖公民个人信息,已逐渐形成庞大地下产业和黑 色利益链。买卖的公民个人信息包括户籍、银行、电信开户资料等,涉及公民个 人生活的方方面面。该条描述的正是本案中的情形,杨某某受其上家雇佣,大肆 盗窃QQ 账号,并予以倒卖,形成了地下产业和黑色链条,其买卖的QQ 账号, 显然属于该条中提到的公民个人信息。易言之,互联网上具有倒卖价值的个人信 息,都可以是公民个人信息。综上, 尽管一般理论认为侵犯公民个人信息罪中 的公民个人信息应具有识别特定个人的属性,但是相关法律已将公民个人信息作 了适当扩大的规定,特别是针对网络上侵犯公民个人信息的情况,已将公民个人 信息的属性规定为网络服务提供者所收集的公民个人信息、互联网上大肆倒卖的 公民个人信息,而当今社会公民个人的QQ 账号、密码属于这类信息。因此, 本 案中杨某某所倒卖的公民QQ 账号、密码,属于公民个人信息。杨某某违反国家 有关规定,向他人出售或者提供公民个人信息,其目的行为构成侵犯公民个人信 息罪。

五、关于本案的定性 首先, 杨某某的行为不属于想象竞合犯的情形。想象竞合犯是指一个行 为触犯数个罪名的情况。本案中,杨某某入侵QQ 软件计算机信息系统,获取 QQ 用户的好友信息, 再向这些QQ 好友发送钓鱼网站链接,欺骗这些QQ 好 友进行点击,注册信息,骗取这些QQ 好友的QQ 账号、密码, 最后提供给其 上家,获取报酬。评价杨某某的行为是一个行为还是两个行为,如果可以分为两个行为, 这两个行为之间有无重合,是评价杨某某的行为是否属于想象竞合犯 的关键。从描述的事实来看,杨某某至少实施了三个行为:
一是侵入QQ 软件 计算机信息系统,并获取QQ 好友信息;二是向这些QQ 好友发送钓鱼网站,实 施诈骗;三是将骗取的QQ 账号、密码提供给上家,获取报酬。而从案件的客观 事实来看,杨某某利用QQ 群发软件, 批量登陆QQ 账号,向QQ 好友批量发 送钓鱼网站链接, 杨某某两个行为着手的时间点几乎是同时的,第二个行为包 含了第一个行为,第二个行为多了一个准备钓鱼网站的预备行为和一个获取量 的(已经盗取的QQ 账号、密码)收尾行为。据杨某某供述:(上家)给我一些 量, 我就将这些 量 导入QQ 群发软件, 向他们好友发送钓鱼网站,如果收到 量 了, 再将收到的 量 导入QQ 群发软件,再次向他们好友发送,就这样反复进行。根 据《刑法》第253 条之一第3款侵犯公民个人信息罪 的相关规定, 窃取或者以 其他方法非法获取公民个人信息的,依照第一款的规定处罚,为此,杨某某的第 二个行为和第三个行为是其侵犯公民个人信息罪的一个行为,该行为与杨某某非 法获取计算机信息系统数据罪的行为,在第二个行为部分发生重叠,但是侵犯公 民个人信息罪 行为的主要部分是上述第三个行为,按照想象竞合犯主要部分重 合说的观点,杨某某所触犯的两个罪的行为的主要部分未重合, 因此,不属于 想象竞合犯的情形。

其次,杨某某的行为从数罪上来看,具有两个故意,两个行为,触犯两个 罪名,但是,杨某某的行为与数罪又有区别。一般来说,数罪的两个行为具有不 同的主观目的(这个目的不一定是犯罪构成上的目的),及两个缺乏联系的受到侵 害的结果。反观杨某某的行为,其非法侵入计算机信息系统,获取数据,骗取 QQ 账号、密码,予以转卖,行为之间连贯性较强,犯罪的主观目的明确,即窃 取QQ 账号、密码获取钱财,受到侵害的结果之间具有关联性,且杨某某非法侵 入QQ 软件计算机信息系统,获取QQ 好友的计算机信息数据,并非提供给他人, 而是为其下一步的犯罪行为所利用。因此,杨某某的行为与数罪的情况不同。

杨某某的行为应属于牵连犯的情形,牵连犯,是指犯罪的手段行为或结果 行为, 与目的行为或原因行为分别触犯不同罪名的情况,非法获取计算机信息 系统数据是其手段行为, 侵犯公民个人信息是其目的行为。牵连犯属于科刑上 的一罪,从一重罪论处。之所以如此, 是因为两个行为之间具有关联性。如骗 购外汇罪的规定即是如此,全国人民代表大会常务委员会《关于惩治骗购外汇、 逃汇和非法买卖外汇犯罪的决定》规定:伪造、变造海关签发的报关单、进口证 明、外汇管理部门核准件等凭证和单据,并用于骗购外汇的,依照前款的规定从 重处罚。伪造、变造海关签发的报关单等属于手段行为,骗购外汇属于目的行为,两者具有牵连性,刑法按目的行为从重论处。杨某某的手段行为和目的行为之间 不仅具有主观上的关联性,还具有客观上的关联性,并且这种关联性具有某种程 度的类型性, 因此应按牵连犯,以目的行为所触犯的罪名从重处罚。