數字時代網絡撞庫行為的刑法規(guī)制

蔡榮 劉嘉毅

根據《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示，截至2021年6月，我國網民規(guī)模達10.11億，互聯(lián)網普及率達71.6%，是全球規(guī)模最大、應用滲透最強的數字社會。習近平總書記指出，“我國數字經濟在快速發(fā)展中也出現(xiàn)了一些不健康、不規(guī)范的苗頭和趨勢，這些問題不僅影響數字經濟健康發(fā)展，而且違反法律法規(guī)、對國家經濟金融安全構成威脅，必須堅決糾正和治理?！盵1]這一論述明確凸顯數字安全作為數字經濟發(fā)展的重要價值，數字安全和個人信息保護等問題已成為數字法治的重要課題。網絡撞庫行為，是一種在互聯(lián)網中常見的針對數據庫的黑客攻擊方式，黑客通過攻破安全性較差的網站獲取用戶的個人信息，又通過數據分析后嘗試批量登錄用戶同賬號密碼的其他網站。[2]網絡撞庫行為嚴重危害我國數字安全，其不僅侵害了數據的保密性和個人信息的安全性，還可能引發(fā)危及公民人身財產安全的下游犯罪，存在較強的社會危害性，確有通過刑法加以規(guī)制的必要性和緊迫性。

一、問題的提出

網絡撞庫行為具體表現(xiàn)為：行為人收集互聯(lián)網已泄露的用戶和賬戶密碼信息，由于很多用戶在不同網站使用的是相同的賬號密碼，因此黑客可以通過已獲取的用戶賬號信息從而嘗試登錄其他網絡平臺，嘗試批量登錄其他網站后，得到一系列可以登錄的賬戶。而其中實現(xiàn)批量登錄賬號的技術手段就是撞庫。[3]換言之，網絡撞庫行為是利用非法獲取的網站賬戶信息批量匹配其他網站進而牟利的行為。網絡撞庫行為是黑客無聊的“惡作劇”，也是一種領先時代的攻擊技術，而這種攻擊無疑會加劇信息泄漏的風險，從而嚴重危及網絡安全及個人權益。

利用網絡撞庫行為實施犯罪行為在司法認定上會存在不同的結論。有司法裁判認為，網絡撞庫行為是通過非法技術手段獲取網站數據信息，應當認定為非法獲取計算機信息系統(tǒng)數據罪（案例1：陳剛、宋陽等人非法獲取計算機信息系統(tǒng)數據罪一案——江蘇省宿遷市中級人民法院（2020）蘇13刑終第23號刑事裁定書）;另一種觀點認為，網絡撞庫行為是為了獲取他人的賬號密碼信息，是對他人個人信息權的侵犯，應當構成侵犯公民個人信息罪（案例2：金龍海等侵犯公民個人信息罪一案——江蘇省睢寧縣人民法院（2019）蘇0324刑初第61號刑事判決書）。爭議焦點在于，網絡撞庫行為是構成非法獲取計算機信息系統(tǒng)數據罪還是構成侵犯公民個人信息罪，其中最為關鍵的是，網絡撞庫行為所危害的對象——“賬號密碼”，究竟是非法獲取計算機信息系統(tǒng)數據罪所保護的“數據”還是侵犯公民個人信息罪所保護的“個人信息”？

案例1中，法院認為賬號密碼具有識別特定個人的特別屬性，因此這里的“賬號密碼”應當屬于公民的個人信息。網絡撞庫行為侵害了公民的個人信息安全，則應予認定為侵犯公民個人信息罪。但也有觀點認為網絡撞庫行為除了侵犯公民的個人信息之外還危及了網絡公共安全，單純地侵犯公民個人信息罪不能同時包容評價個人法益與社會法益。[4]案例2中法院就是基于這一思路，認為行為人實施的網絡撞庫行為侵入了目標網站，獲取了計算機信息系統(tǒng)中的數據。但反對的觀點認為，行為人所實施的網絡撞庫行為僅僅是對已有數據進行的篩選而并未侵入目標網站，不能以非法獲取計算機信息系統(tǒng)數據罪進行定罪。

二、網絡撞庫行為入刑的必要性分析

要了解網絡撞庫行為的行為構成，就需要提到拖庫行為和洗庫行為。拖庫行為是網絡撞庫行為的上游環(huán)節(jié)，指的是網絡黑客入侵有價值的網絡站點后，把注冊用戶的資料數據庫全部盜走的行為，也就是實施網絡撞庫行為的前提——獲取原始數據。[5]洗庫行為是網絡撞庫行為的下游環(huán)節(jié)，是指在取得大量的用戶數據之后，黑客會通過一系列的技術手段和黑色產業(yè)鏈將有價值的用戶數據變現(xiàn)的行為，主要分為將相關信息打包出售供他人進一步實施其他犯罪和自行利用信息實施下游犯罪兩種，例如盜取他人賬戶內的虛擬財產、利用他人的貸款額度簽訂貸款合同、直接刷取他人賬戶內的財物等等。由此，拖庫、撞庫、洗庫三個環(huán)節(jié)環(huán)環(huán)相扣構成了黑色產業(yè)鏈。[6]而網絡撞庫行為本身具有在刑法上予以獨立評價的必要，具體理由如下：

一方面，網絡撞庫行為本身嚴重危及數據信息安全。行為人通過購買或自行拖庫獲取大量的賬號信息進行網絡撞庫，一旦成功，即使其僅只針對某一單個用戶的賬號進行后續(xù)洗庫，但大量的賬號信息被破解，這就使得網絡數據安全面臨巨大的風險。另一方面，網絡撞庫行為屬于網絡黑色產業(yè)鏈中的重要一環(huán)。除了網絡撞庫行為本身會對個人信息、財產和社會網絡安全進行侵害，其上游獲取網站后臺信息的行為侵犯了計算機信息系統(tǒng)數據安全，其下游犯罪又侵犯了個人及平臺的信息和財產，網絡撞庫行為作為黑色產業(yè)鏈中的中間環(huán)節(jié)也應當受到刑法規(guī)制。[7]

三、網絡撞庫行為的罪名確定

（一）網絡撞庫行為的犯罪對象

對網絡撞庫行為在刑法上予以準確定性，就應當明確區(qū)分其使用的數據本身與最終獲取的個人信息之間的關系。網絡撞庫行為是對計算機信息系統(tǒng)內的數據進行匹配，從而獲得登錄該網站的賬號密碼。從字義上看，數據是指在計算機系統(tǒng)中實際處理的一切文字、符號、聲音、圖像等內容有意義的組合。[8]但并非所有的計算機數據都值得刑法保護。2011年最高人民法院、最高人民檢察院（以下簡稱“兩高”）發(fā)布的《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》將非法獲取計算機信息系統(tǒng)的數據類型限定為身份認證信息。同時對身份認證信息進行了準確定義，身份認證信息是指用于確認用戶在計算機信息系統(tǒng)上操作權限的數據，包括賬號、口令、密碼、數字證書等。在司法實踐中，身份認證信息既可以是真實的認證信息，亦可以是虛擬的、匿名的但具有身份識別屬性的信息。由此可見，司法解釋將非法獲取計算信息系統(tǒng)數據的類型限定為身份認證信息。

而直接以身份信息為犯罪對象的還有侵犯公民個人信息罪?！皟筛摺庇?017年通過的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下稱《個人信息解釋》）中規(guī)定：“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！币虼耍谏矸菡J證信息屬于前文提到的真實個人認證時，數據與個人信息就會產生相互重疊的部分，從而影響罪名的認定，導致二罪在一定程度上存在相互錯認的情況。[9]03AFCF36-A74E-4F12-9B75-5B72688060FC

通過司法解釋的立場可以看出，公民個人信息也是數據的一種，而網絡撞庫行為是通過技術手段獲取他人的賬號密碼信息，這里的賬號密碼固然屬于一種認證操作權限的數據，但網絡撞庫行為所利用的并非是賬號里的數據屬性，而是利用賬號所具有的特定身份歸屬特征，所需求的更多的是具有身份屬性的詳細信息。因此，網絡撞庫行為獲取的對象是身份認證信息，更是公民個人信息。

（二）網絡撞庫行為的法益內容

第一，侵犯個人信息權。通過網絡撞庫手段所獲取的賬號密碼具有強烈的人身識別屬性。例如，在案例2中，行為人利用自編程序盜取的用戶信息中除了賬戶基本的用戶賬號密碼、姓名、性別、郵箱、電話號碼等身份認證信息之外，還儲存有個人的身份證號碼和積分等個人信息。個人信息是個人隱私的數據化體現(xiàn)。網絡撞庫行為造成的最直接的法益侵害后果就是對個人隱私權的侵犯。個人信息，尤其是個人財產信息的泄露，對于用戶的個人征信情況會產生不可逆轉的惡劣損害，甚至打亂用戶原本的經濟計劃，導致用戶后續(xù)信用生活偏離正常秩序進行。[10]

第二，損害網絡安全秩序。根據《中華人民共和國網絡安全法》第1條的規(guī)定，網絡安全是指“網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益”。網絡撞庫行為對于網絡安全的侵害更是不容小覷：其一，網絡撞庫行為入侵網站后臺，惡意盜取大量用戶賬號信息，破壞網絡平臺信息安全管理秩序，使得網絡信息安全管理面臨巨大的風險;其二，行為人利用打碼軟件與所獲賬號密碼信息，批量嘗試登錄其他網站的行為，也對該網站正常的運行秩序造成了侵擾，其利用軟件繞過驗證碼的“打碼”行為更是對該網站的系統(tǒng)安全產生了威脅。

（三）網絡撞庫行為的罪名界定

一是網絡撞庫行為不構成非法獲取計算機信息系統(tǒng)數據罪。該罪針對的是“數據”，但相對的不能將所有以網絡為載體儲存、傳播的信息都解釋為“數據”，而是需要對這些信息是否存在對個人、社會的法律意義進行判斷。[11]有觀點認為：“非法獲取計算機信息系統(tǒng)數據罪應局限于以數據為對象，以數據安全為保護法益的犯罪，而不包括以數據為媒介、工具侵犯傳統(tǒng)法益的犯罪?！盵12]數據的盜取和匹配并非是網絡撞庫行為的目的，而是為了獲取能夠認證身份信息的賬號密碼，對數據的獲取和使用只是非法獲取公民個人信息的手段行為。同時，網絡撞庫行為中涉及的賬號密碼不單純是涉密的數據，而是能夠對于特定的公民個人進行身份識別，會對公民個人信息權和隱私權造成侵害。非法獲取計算機信息系統(tǒng)數據罪只是數據安全犯罪的一般性條文，僅是數據安全或是網絡安全管理秩序并不能夠將網絡撞庫行為對個人權益的侵害內容予以充分評價。

二是，網絡撞庫行為應當單獨評價為侵犯公民個人信息罪。第一，在數字社會背景下，對數據的盜取也不僅僅只代表著網絡安全秩序本身，數據犯罪的侵害最終落位于個人權益的損失。網絡撞庫行為的對象是能夠進行身份識別的賬號密碼，因賬號密碼的身份關聯(lián)性，所導致的犯罪結果也指向特定公民的個人財產權和人身權利地位侵害。[13]網絡撞庫行為實質是以網絡數據為媒介，造成對公民個人信息權的法益侵害，應當評價為侵犯公民個人信息罪。第二，如上文所述，公民個人信息屬于數據的一種，二者屬于特殊與一般的關系，當使用特殊法條能夠對犯罪事實進行充分評價的情況下，就應優(yōu)先適用特殊法條的規(guī)定。因此，將網絡撞庫行為的犯罪對象限定為具有身份識別性質的賬號密碼，其侵犯的法益內容能夠為個人信息權所完全涵蓋的情況下，將網絡撞庫行為認定為侵犯公民個人信息罪更為合理。

四、網絡撞庫行為和后續(xù)的獲利行為的罪數問題

網絡撞庫行為的司法認定不僅是對網絡撞庫行為本身的刑法性質進行評價，還要涉及整個依據網絡撞庫技術手段支撐的網絡黑色產業(yè)鏈的罪數認定問題。網絡撞庫行為從操作上可被劃分如下為三個部分：第一，行為人入侵網站的后臺批量獲取用戶信息的行為;第二，行為人將這些用戶數據鏈向其他網站撞庫以篩選匹配賬戶的行為;第三，后續(xù)牟利的行為。如果僅是網絡撞庫行為本身則毫無疑問的以侵犯公民個人信息罪論處，而當網絡撞庫作為技術手段與相關下游犯罪共同出現(xiàn)的情況，在司法實踐中認定更為復雜，存在數罪并罰、牽連犯和吸收犯等不同處理的情況。

（一）現(xiàn)有觀點的評價

1.數罪并罰說

數罪并罰原則一般采取學界通說的犯罪構成標準說來判斷區(qū)分“數罪”。根據上文分析，網絡撞庫行為可以評價為侵犯公民個人信息罪，由此引發(fā)的下游洗庫類犯罪可以根據具體行為評價為盜竊罪、詐騙罪、敲詐勒索罪等。同一行為人實施了數個行為，造成了數個不同的犯罪結果，應當數罪并罰。在案例1中，陳剛在通過網絡撞庫手段獲取大量用戶賬號密碼信息后，先后進行了套取貸款和販賣信息的犯罪行為，因此法院認為在本案中陳剛構成非法獲取計算機信息系統(tǒng)數據罪和合同詐騙罪，實行數罪并罰。

2.牽連犯說

網絡撞庫行為可以評價為侵犯公民個人信息罪，由此引發(fā)的下游洗庫類犯罪可以根據具體行為評價為盜竊罪、詐騙罪、敲詐勒索罪等，符合復數行為的獨立性與異質性。構成牽連犯，必須要存在兩個或兩個以上相互獨立且能構成不同種類犯罪的行為，且這些行為之間存在一定的牽連性。[14]關于行為之間牽連關系的判斷，通說觀點認為，主觀上行為人必須具有牽連意圖，客觀上方法行為與目的行為、原因行為與結果行為之間必須具有因果關系，牽連關系是主客觀的統(tǒng)一。[15]因此，具體到網絡撞庫行為中，行為人雖然是以獲取他人個人信息為目的進行網絡撞庫行為，以獲取利益為目的進行下游犯罪，但這一系列行為都是以獲取非法利益為目的進行的，網絡撞庫行為是實施下游犯罪的手段行為。主觀上，行為人在下游犯罪的犯意支配下實行了網絡撞庫行為;客觀上，網絡撞庫行為與下游犯罪之間具有手段與目的的關系，因此網絡撞庫行為與下游犯罪之間具有牽連關系，應當按照牽連犯認定犯罪。

3.吸收犯說03AFCF36-A74E-4F12-9B75-5B72688060FC

吸收犯，指一個犯罪行為因為是另一個犯罪行為的必經階段、組成部分或當然結果，而被另一個犯罪行為吸收的情況。構成吸收犯，通常認為需要兩個條件：一是行為人實施數個行為，數個行為可以獨立成罪;二是數個行為之間具有吸收關系。[16]在案例1中，陳某利用他人賬號進行貸款，須以知曉他人的賬號密碼為前提，而其正是因為網絡撞庫行為才得知的賬號密碼，兩行為之間存在獲取他人賬號密碼這一共同的要素，存在一定的交集，故網絡撞庫行為與下游犯罪存在交錯關系。

（二）罪數的判斷

綜合以上三種評價，以行為人的主觀目的為評價依據更為合理，即是否“另起犯意”為依據進行數罪并罰或從一重處理。由此可以推斷出以下兩種情況：以同一犯罪目的而進行的網絡撞庫行為與下游犯罪應當以牽連犯認定，即前后罪從一重進行處罰;以不同犯罪目的，即在完成網絡撞庫行為后“另起犯意”繼續(xù)進行后續(xù)下游犯罪的行為，應當數罪并罰。

1.以同一犯罪目的實施網絡撞庫行為

從主觀方面來看，牽連犯雖然是基于一個犯罪目的實施數個犯罪行為，但在這個犯罪目的的制約下形成了與牽連犯罪的目的行為、方法行為、結果行為相對應的數個犯罪故意;吸收犯基于一個犯意，為了實現(xiàn)一個具體的犯罪目的而實施了數個犯罪行為。網絡撞庫行為的犯意在于獲取他人信息，下游犯罪的行為犯意在于謀取利益，而兩個犯意共同疊加成同一的犯罪目的，即利用他人信息進行牟利。從客觀方面來看，網絡撞庫行為與后續(xù)下游犯罪之間的關系并不具有強烈的緊密關系，行為人實施網絡撞庫行為侵犯公民個人信息后并不必然繼續(xù)實施下游犯罪。因此，以同一犯罪目的而進行的網絡撞庫行為與下游犯罪不成立吸收犯。網絡撞庫行為與下游犯罪具有明顯的手段和目的的關系。行為人應當知曉其網絡撞庫行為只是作為下游犯罪的前置行為，單獨獲取用戶信息的行為并不符合其獲取利益的犯罪目的。因此，以同一犯罪目的而進行的網絡撞庫行為與下游犯罪應當按照牽連犯原則從一重罪處理。

2.以不同犯罪目的實施網絡撞庫行為

行為人在以獲取他人信息為目的完成網絡撞庫行為后，又另起犯意利用用戶信息實施了后續(xù)下游犯罪，則不能再應用吸收犯或牽連犯原則進行處理。這種情況在客觀上并不符合吸收犯或牽連犯成立的構成要件，即不是在同一個犯罪目的下進行的數個行為。不論是吸收犯的以一個犯罪目的貫穿始終，還是牽連犯的包含著不同犯意的同一犯罪目的，都與這種情況不相符。因此，在此種情形下，應當依照刑法中有關罪名實行數罪并罰。

綜上所述，對于網絡撞庫行為及其后續(xù)犯罪的罪數問題，應當以行為人的主觀意圖進行區(qū)分，以同一犯罪目的而進行的網絡撞庫行為與下游犯罪應當按照牽連犯原則從一重罪處理;以不同犯罪目的，即在完成網絡撞庫行為后另起犯意繼續(xù)進行后續(xù)下游犯罪的行為應當依照刑法中有關罪名實行數罪并罰。在案例1中，二人對于完成網絡撞庫行為后的出售行為屬于以同一犯罪目的而進行的網絡撞庫行為與下游犯罪的情形，應當將網絡撞庫行為與出售行為按照牽連犯原則進行從一重罪處理;而二人后續(xù)又利用賬號進行的貸款行為則屬于“另起犯意”，即以不同犯罪目的在完成網絡撞庫行為后繼續(xù)進行后續(xù)下游犯罪的行為，應當數罪并罰。

網絡撞庫行為作為網絡黑色產業(yè)鏈的重要一環(huán)，其刑法規(guī)制對于網絡黑灰色產業(yè)的打擊具有重要意義。在網絡時代，法律的前瞻性和過渡性應當并重，社會與法律共同規(guī)制網絡撞庫行為，更好地平衡現(xiàn)有的法律框架和在不斷發(fā)展的時代背景下先后出現(xiàn)的新型犯罪間的關系，才能營造健康的網絡發(fā)展環(huán)境，保障網絡信息尤其是公民個人信息的安全。

基金項目：江西省社科基金項目“江西省掃黑除惡專項斗爭的法治效果、問題與對策研究”（項目編號：20FX03）的階段性研究成果;南昌大學本科生科研訓練項目“網絡黑惡勢力犯罪刑法規(guī)制問題研究”階段性研究成果。

參考文獻：

[1]習近平.不斷做強做優(yōu)做大我國數字經濟[J].求是，2022（02）：1-3.

[2]左進瑋.“撞庫”視角下的個人信息保護研究[J].法制與社會，2017（24）：61-62.

[3]崔鵬.網絡信息安全警報拉響 消費者要多加防范 利用撞庫攻擊大麥網 信息泄露致用戶被騙[J].信息安全與通信保密，2016（08）：58-59.

[4]皮勇.全國首例撞庫打碼案的法律適用分析[J].中國檢察官，2019（06）：7-9.

[5]黃嵩.拖庫撞庫對數據安全的威脅及應對[J].信息與電腦（理論版），2015（22）：131-132+154.

[6]商希雪.侵害公民個人信息民事歸責路徑的類型化分析——以信息安全與信息權利的“二分法”規(guī)范體系為視角[J].法學論壇，2021，36（04）：100-111.

[7]皮勇.全國首例撞庫打碼案的法律適用分析[J].中國檢察官，2019（06）：7-9.

[8]陳興良.規(guī)范刑法學[M].北京：中國人民大學出版社.2008.

[9]楊志瓊.非法獲取計算機信息系統(tǒng)數據罪“口袋化”的實證分析及其處理路徑[J].法學評論，2018，36（06）：163-174.

[10]劉仁文.論非法使用公民個人信息行為的入罪[J].法學論壇，2019，34（06）：118-126.

[11]馬微.理念轉向與規(guī)范調整：網絡有組織犯罪之數據犯罪的刑法規(guī)制路徑[J].學術探索，2016（11）：81-90.

[12]楊志瓊.非法獲取計算機信息系統(tǒng)數據罪“口袋化”的實證分析及其處理路徑[J].法學評論，2018，36（06）：163-174.

[13]鄭旭江.侵犯公民個人信息罪的述與評——以《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》為視角[J].法律適用，2018（07）：30-35.

[14]劉憲權.我國刑法理論上的牽連犯問題研究[J].政法論壇，2001（01）：50-58.

[15]張小虎.論牽連犯的典型界標[J].中國刑事法雜志，2013（05）：27-32.

[16]林亞剛.論吸收犯的若干問題[J].政治與法律，2004（02）：76-83.

作者單位：南昌大學法學院

責任編輯：劉小僑03AFCF36-A74E-4F12-9B75-5B72688060FC