|
【201616070】非法获取他人身份证件信息骗取互联网账号认证的司法认定
文/李明
【摘要】
公民个人信息安全是人权保障的重要组成部分。司法实践中,不法行为人通过伪造、变造、买卖、盗用及PS他人身份证件信息,进行买卖或者违法犯罪活动,形成黑灰产业链。特别是伪造、变造、买卖、盗用及PS他人身份证件骗取互联网账号认证行为,一直以来无法从源头上真正有效遏制。根据刑法修正案(九)第十七条的规定,有必要从理论上分析这种伪造、变造、买卖、盗用及PS他人身份证件信息侵害公民个人信息犯罪的构成,对于这些不法行为在刑法上予以合理规制。可以考虑由犯罪嫌疑人或被告人对部分构成要件事实进行举证;对非法获取公民个人信息罪的情节严重进行正确认定;对行为人通过伪造、变造、买卖、盗用及PS他人身份证件这种手段构成其他犯罪的,依照法律和司法解释的明确规定进行处理。
一、对非法获取他人身份证件骗取互联网账号认证行为的分析
(一)伪造、变造、买卖、盗用及PS他人身份证件骗取互联网账号认证行为的概念
根据互联网运行规律和使用规则,为了保障互联网平台的交易安全,往往需要在互联网平台上进行网络账号注册。一般来说,注册网络账号的基本要求是实名制,注册网络账号会要求提供本人真实有效的信息,包括身份证等证明身份真实性、有效性、一致性的相关个人信息;网络用户在电子商务平台上完成真实姓名和身份证号码与公安网进行校验,通过身份信息的验证,通过这种实名认证后相当于拥有了一张网络身份证,当事人可以在众多电子商务网站从事商业活动,例如开店、出售商品、增加网络账户拥有者的信用度。否则,没有正确身份证件信息的输入,则无法通过第三方平台的网络认证,就无法进行网络上的电子交易。
伪造、变造、买卖、盗用及PS他人身份证件骗取互联网账号认证行为,是指以谋取非法利益为目的,通过伪造、变造、买卖、盗用及PS他人身份证件,批量将他人居民身份证件进行电子化处理,利用他人真实身份信息在互联网平台网络账号进行认证的非法行为。即不法分子批量收购和骗取他人身份证件,非法获取并出售公民身份证件,或者通过PS身份证件进行谋利。不法分子借助网络的隐蔽性特征,隐身或以他人名义发布危害国家安全的言论;发布违禁信息、销售侵权产品以及假冒伪劣商品;或利用虚假认证的账户所开设的店铺从事转移犯罪所得赃物、诈骗、盗窃等犯罪活动。根据大数据统计,目前被发现的国内从事虚假网络认证、具有一定规模的团伙就达近二十万个以上,非法年交易额达几十亿元以上。
1.关于公民个人信息。公民个人信息尚没有统一的定义,一般是将公民个人信息归入个人数据、个人信息或个人隐私的范畴。“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)中规定,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。从我国居民身份证件的性质和定位来看,公民的个人身份证件信息属于公民个人信息的当然内容。
2.PS身份证件的性质。司法实践中,不法行为人为了达到进行虚假认证、拥有大量僵尸账户以便于从事其他违法犯罪活动的目的,将他人真实身份证件进行PS技术处理的行为,其真实目的是利用互联网第三方平台的真实身份信息的要求,利用PS技术处理他人身份证的手段,来实现第三方平台上要求的网络认证,从而为自己及其他人进行违法犯罪活动铺平道路。这种PS技术处理他人真实身份证的行为侵犯的就是他人的公民个人信息权利。
3.关于买卖与非法使用。司法实践中,不法行为人通过买卖和非法使用的方式贩卖公民个人信息。买卖是指将自己掌握的公民信息卖给他人,从中牟利;非法使用是指违反国家有关规定,利用他人的公民个人信息从事违法犯罪活动。
(二)伪造、变造、买卖、盗用及PS他人身份证骗取互联网账号认证的流程
(1)线下大量购买和获取他人身份证件。不法分子到我国偏远地区农村,及工厂或者学校,通过假冒厂家、店家活动、商家送洗衣粉等手段骗取公民身份证件信息材料。从表面形式上看,不法行为人征得了个人信息所有者的同意或许可,但其并未告知个人信息所有人其获取身份证件信息的真实用途所在,实际上是通过欺骗、诈骗的手段来采集他人真实身份信息。
(2)将购买的身份材料照片在互联网上进行PS技术组装,修改身份证上身份信息(姓名、身份证号、身份证头像等),从而炮制出我国居民身份信息库中并不存在的身份信息和身份证件。
(3)通过互联网平台收购垃圾小号,或者自行批量注册网络小号,用收购的真实身份证件或PS出的虚假身份材料,在互联网第三方平台上申请电子平台身份证件认证。
(4)通过网络认证后,利用虚假认证的账户直接进行欺诈、售假、发布违禁信息等违规行为;或者将已经通过认证的网络小号转手倒卖,从中渔利;或者从事其他违法犯罪活动。
从伪造、变造、买卖、盗用及PS他人身份证骗取互联网账号认证的流程中,主要反映出以下几类问题:
1.伪造、变造他人真实身份证件。
伪造、变造居民身份证罪是1997年刑法确定的。该罪的客观方面是指无权制作身份证的人擅自制作居民身份证,以及有权制作人制作虚假的身份证,同时也包括对真实身份证的本质部分进行加工、修改的行为。[1]在互联网平台的交易过程中,需要提供居民身份证验证身份作为注册账号的前提。不法分子为自己或者他人隐瞒真实身份进行变造的目的,就是通过网络手段将他人身份证件变造成不存在、不真实、不一致的身份证件,谋取非法利益。这类身份证件的来源主要有两类:一类是别人丢失的身份证件,我国每年丢失、被盗的二代身份证总数可达数百万张;另一类是专门有人去收购他人合法的身份证件,即不法分子选择偏远落后山区或者工厂学校,骗取身份证的复印件或者照片,价格从几十块到一百块一张不等。将骗取或收购他人的真实身份证,通过PS技术处理等手段对他人身份证件上的姓名、身份证号、头像等信息重新组装、改头换面,对他人身份证件进行变造。
2.买卖他人遗失、被盗或伪造PS的身份证。买卖他人遗失、被盗或伪造的、PS的身份证犯罪,从构成要件来看,犯罪客观方面是他人的身份权和居民身份证的公共信用和国家身份证管理制度。不法分子往往事先就与伪造、变造身份证的犯罪团伙有通谋,以收取佣金为对价,达成了分工协作的配合模式。这种上下线的交易关系,尽管有时是非接触性的,但双方的意思表示是一致的,双方的互动形成稳定的犯罪链条。双方均是以谋利为目的,买方通过各种貌似合法渠道收集他人身份证件,然后通过各种网络传输渠道销售他人真实的或假冒的身份证件,通过这种形式意义上的实名制,进行网络虚假认证,然后实现在互联网上拥有大量合法网络账号从事违法犯罪的目的。
3.买卖、使用、盗用他人电子化身份证(电子副本)。关于身份证,可以分为广义和狭义。广义的身份证,可以泛指一切能够证明一个人的身份的证件。狭义的身份证,则是指由居民身份证法所规定的居民身份证。在互联网平台上,网店或交易对方经常要求通过拍照、扫描等方式对身份证件进行电子化使用,是出于诚信交易、保证交易安全的考虑。因此,要求使用电子化身份证件的主要目的和核心要素在于证明真实身份,因此,伪造、变造、买卖此类电子化身份证件的,只不过是将身份证通过电子化表现形式扩大了使用范围而已,实质上与物理身份证发挥着确定身份信息的相当的、同样的证明作用。
(三)伪造、变造、买卖、效用及PS他人身份证件骗取互联网账号认证的社会危害
1.严重破坏了互联网认证体系和诚信体系。利用非法电子化他人身份证(电子副本)行为,或者通过PS证件,造成监管机关和侦查机关难以对网络空间中的不法行为进行有效追踪、及时控制、确认行为人身份、收集固定证据和依法处置;不法行为人利用他人身份证件进行登记注册、认证的网络虚拟身份与其真实姓名、身份证号等社会上自然人的真实身份之间没有任何对应联系;需要实名认证的网络身份、认证的注册账号和真实身份不符,导致互联网虚拟空间的网络交易可以毫无诚信而难于查处,不法行为人可以随意窃取他人的网络账户和虚拟财产而难于制裁。
2.侵犯公民个人信息的安全和自由。关于侵犯公民个人信息的安全和自由,《通知》中曾这样描述:“部分国家机关和金融、电信、交通、教育、医疗以及物业公司、房产中介、保险、快递等企事业单位的一些工作人员,将在履行职责或者提供服务过程中获取的公民个人信息出售、非法提供给他人。获取信息的中间商在互联网上建立数据平台,大肆出售信息谋取暴利。非法调查公司根据这些信息从事非法讨债、诈骗和敲诈勒索等违法犯罪活动。此类犯罪不仅危害公民的信息安全,而且极易引发多种犯罪,成为电信诈骗、网络诈骗以及滋扰型‘软暴力’等信息犯罪的根源,甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合,影响人民群众的安全感,威胁社会和谐稳定。”司法实践中出现的买卖伪造的、PS的身份证,买卖、使用、盗用他人电子化身份证(电子副本)等不法行为,不法行为人通过网络虚假认证,严重侵犯了公民个人信息的安全和自由,严重干扰和破坏公民的人身、财产安全和个人隐私以及正常的工作、生活。
3.骗领银行信用卡诈骗等违法犯罪活动。目前,我国部分银行存在申办信用卡时审核不严格的现象,忽视了身份证与身份证持有者是否一致,给不法分子造成可趁之机,不法分子利用冒领的遗失身份证办理大量信用卡进行恶意透支、诈骗、转账等违法犯罪活动。同时,不法分子则通过刷库、撞库、爬虫、木马侵入等互联网手段,获取用户信息进行精准诈骗,不法分子大肆买卖、盗用身份证、网盾、手机卡等相关资料,收购、销售、使用他人身份证件一条龙,然后进行诈骗、盗窃、虚构退税等违法犯罪行为。
4.增加了互联网平台的运营成本和安全管理成本。不法行为人通过伪造、变造、买卖、盗用及PS他人身份证件骗取互联网账号认证,导致电子商务平台上存在的会员身份信息不真实的情况。为了应对这些虚假认证行为,各大互联平台不得不投入巨大资金升级安全系统,组建人数众多的、处理这些不法行为的安全团队,大大增加了运营成本和安全管理成本。而规模较小的互联网平台公司则往往由于资金受限、承担不起高昂的维护成本,极容易受到此类虚假认证行为的攻击。
5.严重阻碍我国电子商务的健康发展。电子商务是通过网络来完成的,消费者常需要提供个人身份证件信息进行网络认证,以保证网络交易的安全和交易平台第三方的经营秩序。而非法电子化他人身份证件则使得消费者在不知情的情况下,身份证件被出售、泄露和利用,而导致消费者的信用卡账号及密码被人获知或盗用,严重阻碍我国电子商务的健康发展。
二.审理虚假认证案件中存在的问题
(一)PS身份证件的问题。不法分子为了逃避网络实名监管,将骗取或收购他人的真实身份证,通过PS等技术手段对他人身份证件上的姓名、身份证号、头像等信息重新组装、改头换面,其目的是通过网络手段将他人身份证变造出不存在、不真实、不一致的身份证件。办案人员虽然知悉此类行为危害着我国身份证件管理秩序,但对于此时的这种PS身份证件是否属于刑法第二百八十条规定的身份证件,还是应当属于刑法第二百五十三条规定的公民个人信息的范畴拿捏不准。
(二)买卖他人遗失、被盗或伪造的、PS身份证的问题。对于伪造、变造身份证来说,不法分子大多是以谋利为目的,通过各种貌似合法渠道收集他人身份证件,然后通过各种网络传输渠道销售他人真实的或假冒的身份证件,然后利用互联网形式意义上的实名制进行网络虚假认证,然后实现拥有大量合法网络账号,达到从事违法犯罪的目的。而对于买卖他人遗失、被盗或伪造的、PS身份证件的,司法实践中,不少司法实务人员对于这种购买伪造、变造居民身份证件的行为是否构罪,构成哪类罪,是否构成伪造居民身份证罪的教唆犯或帮助犯,如何解决诉讼程序中证明上的明知的拿捏不准。特别是这种买卖身份证件的买方与卖方都通过互联网进行联系,双方均不认识,双方似乎并没有共同犯罪的故意。但是,买假证者应当知道制证者提供的大量身份证件来源可能不合法;卖假证者也应当明知道买证者购买大量的身份证件去从事一些不合法的事情。卖证者通过销售虚假身份证获得了不法利益,而购买者也利用该虚假的身份证从事一些违法犯罪活动,这两者的行为都直接破坏了我国对身份证的管理秩序,问题在于卖假证者与买假证者是否可以构成共同犯罪,何种情况下构成共同犯罪,是否属于对向犯罪应予处罚。
(三)互联网平台上电子化身份证的问题。在互联网平台上,网店或交易对方经常要求通过拍照、扫描等方式对居民身份证进行电子化使用,因此,对于伪造、变造、买卖此类电子化身份证件(电子副本)的定性,就有一个是否属于刑法保护对象的问题。
关于伪造公文、证件犯罪的保护对象,刑法理论有形式主义、实质主义和折衷主义三种观点。其中,折衷主义认为,内容真实的文书不存在侵害交易信用之虞,因此伪造文书应当具有双重构造,即没有权限的人制作他人名义的文书和其内容是虚伪的。[2]由于刑法分则的规定并没有穷尽所有具体的犯罪行为与手段,因此,司法实践中存在的问题就是,这种伪造、变造电子化身份证是否损害了刑法所保护的社会关系,是否属于法定身份证件的表现形式扩大化;这种电子化的身份证件是否应当为刑法概念上的公民个人信息所涵摄,有待进一步研究。
(四)使用虚假身份证件和盗用身份证件问题。对于虚假身份和盗用,除了使用传统刑法意义上盗窃方式获取居民身份证后的使用行为,是否也应当包括不法分子到全国各地骗取、收集、购买他人真实身份证后的使用行为,以及故意使用他人遗失的身份证行为?对于身份证遗失后被盗用、被冒用的,特别是申请各种网络交易平台,注册游戏,出入境登记,办理工商执照、车辆牌照,证券开户,合同登记,骗领通信卡等,如何进行有效打击?
三.应对措施与认定规则
(一)应对措施
1.充实前置性法律与行政法规。随着互联网时代的到来,传统的行政管理和刑法对应模式,对于当下的新型网络犯罪,逐渐有点“跟不上趟”。所以,一方面有必要完善在民事、行政立法中的相关立法规范,或者对行业制定的规范进行较好的监督,或是由国务院统一制定相关行业规范。只有从源头上抓好行政治理,才能有效地将违法犯罪消灭在萌芽状态,才能大幅度减少此类犯罪现象的蔓延。
第一,推行实名制。完善身份证管理制度,从源头上推进银行卡和手机卡的实名普及率,并真正建立人证合一的验证体系,将实名制推进到实人制,才能真正杜绝实名不实人的现象。第二,实人认证。利用生物识别、图像比对、语音识别等技术,综合各类数据进行实人认证。这项技术在互联网企业中的发展速度极快,效果也十分明显。第三,推行互联网电子身份证制度。建立以身份认证为核心的互联网安全认证体系,实现与其真实身份绑定的数字认证,在用户上网时实现身份认证、加密传输、信息完整检验和不可抵赖等基本功能,从而达到实名上网、网络诚信、虚拟财产保护、防止网络诈骗或传播不良信息、对用户交易和上网行为进行监控等多种目标。第四,强化行政管控能力。建议银行系统加强异常账号的风险管控能力,特别是在账号冻结、资金追踪等方面,要积极跟公安系统对接,简化手续,提高效率。
2.出台有关保护公民个人信息的司法解释。为了加强对公民个人信息的保护,切断出售、非法提供公民个人信息的黑色产业链,从源头上打击利用公民个人信息实施的其他侵害公民权益的违法犯罪行为,有必要出台有关保护公民个人信息的司法解释。
(1)关于PS身份证。在我国1997年刑法规定伪造、变造居民身份证罪的时候,并未出现不法分子伪造、变造、买卖PS或电子化的居民身份证情况。随着网络交易的迅猛发展,电子化的居民身份证在社会生活中的用途越来越广,其重要性越来越大,随之出现了买卖PS居民身份证的情况。对于通过图像处理技术PS等收集的居民身份证进行处理的行为,刑事立法保护的法益是立足于对真实身份的保护,即人证是否一致、身份证明的真实性问题。建议可以将伪造、变造、买卖、盗用及PS他人身份证件信息的行为按照刑法修正案(九)第十七条侵犯公民个人信息罪进行处理。例如,可以规定为:利用技术手段修改居民身份证、护照、驾驶证等证件电子副本获取公民个人信息的,属于刑法第二百五十三条第三款所规定的“其他方法”,应当依照第一款的规定处罚。
(2)关于电子化身份证(电子副本)。身份证件是仅指物理意义上的身份证件,还是也包括发挥同样、同质证明作用的电子化身份证件?证明身份是居民身份证的主要功能,这种电子化的身份证件实际上属于公民个人信息的范畴。两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》11条中规定:“本解释所称‘身份认证信息’,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等”。
(二)认定规则
1.证明责任的转移。出售、非法提供公民个人信息罪和非法获取公民个人信息罪的主观方面是故意,并且只能是直接故意。而司法机关在办理此类案件的过程中,经常遇到不法分子以“缺乏主观故意”来逃避刑事打击。而如果恪守传统证明责任理论,要求对每一个构成要件事实都要有证据证明,则可能会容易放纵罪犯。建议可以考虑在公诉案件中,对部分构成要件事实适用证明责任转移,由犯罪嫌疑人或被告人对部分构成要件事实(特别是主观方面)进行举证;或者在间接证据充分的情况下,对主观方面的事实适用刑事推定来解决刑事案件中的证明困境。
2.购证者与擅自使用者是否构成犯罪的认定。本次刑法修正案(九)完善了这方面的规定,增加了买卖身份证件的犯罪。买卖居民身份证的情况在一些偏远地区、城乡结合部、特定行为、专业领域等特别突出,特别是在网络行业方面,不法行为人利用虚假认证通过的账户直接进行盗窃、诈骗、售假、发布违禁信息等违规行为。因此,刑法修正案(九)对买卖居民身份证件的行为也作了补充规定。与此同时,无论行为人购买的居民身份证件是真证还是假证,从修正案本身规定的含义来看,这都属于刑法规定的买卖国家机关公文、证件、印章犯罪,即购买假证达到法定的标准,同样构成本罪。
本次刑法修正案(九)增加了使用伪造、变造的或者盗用他人的居民身份证件的犯罪。司法实践中,特别是在利用互联网实施犯罪行为案件中,大量存在使用伪造、变造的或者盗用他人的身份证件的行为,大多是为了实施盗窃、诈骗、洗钱、非法经营等其他犯罪,其心存侥幸心理,妄图利用伪造的、PS他人的身份证件信息逃避法律追究。因此,本次刑法修正案(九)对于使用伪造、变造的居民身份证以及盗用他人身份证件,情节严重的,作为犯罪追究法律责任。
3.情节严重的认定。刑法修正案(九)第十七条,并未对怎样的行为方式、结果构成情节严重做出量化规定,给办理具体案件的司法机关留有较大空间的自由裁量权。《通知》规定,“对于在履行职责或者提供服务过程中,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤害或者死亡,或者造成重大经济损失、恶劣社会影响的,或者出售、非法提供公民个人信息数量较大,或者违法所得数额较大的,均应当依法以非法出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大,或者违法所得数额较大,或者造成其他严重后果的,应当依法以非法获取公民个人信息罪追究刑事责任”。作为情节犯,情节严重作为成立本罪的构成要件,应当进一步明确该情节性质的认定及标准,即根据刑法的谦抑性原则,只有当行为人出售或者非法提供公民个人信息的行为达到了情节严重的程度标准,同时满足本罪其他的犯罪构成要件时,行为人才可受到本罪的追究。
可以参照两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》3条:提供侵人、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的“情节严重”:(一)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;(二)提供第(一)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;(三)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;(四)明知他人实施第(三)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;(五)违法所得五千元以上或者造成经济损失一万元以上的;(六)其他情节严重的情形。
关于情节严重,笔者认为可以从以下几个方面来理解:
(1)数额标准。即使用虚假身份证件、盗用身份证件获利较大、数量较多作为该罪的定罪标准,如果使用虚假身份证件信息、盗用身份证件信息的数量达到一定程度,其行为的社会危害性就超过了一般违法行为,从而构成犯罪。
(2)危害结果标准。即以特定危害后果的发生与否作为本罪成立与否的标准。这里的结果,既包括犯罪行为发生后导致的物质性结果,也包括非物质性结果;既包括直接经济损失结果,也包括间接损失结果。
(3)行为方式标准。行为方式是行为人主观恶性的外化,行为方式的不同反映了行为给社会带来的危害性程度的不同,反映了情节是否严重的程度。如使用虚假身份证件、盗用身份证件从事违法犯罪活动的不法行为人,是否是团伙犯罪、累犯、教唆犯等等,这些方面都在不同程度上反映了行为人主观恶性和行为的社会危害性。
4.构成其他罪的处理。最高人民法院《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》8条规定:“盗用他人公共信息网络上网账号、密码上网,造成他人电信资费损失数额较大的,依照刑法第二百六十四条的规定,以盗窃罪定罪处罚。”第9条规定:“以虚假、冒用的身份证件办理入网手续并使用移动电话,造成电信资费损失数额较大的,依照刑法第二百六十六条的规定,以诈骗罪定罪处罚”,对于非法获取个人信息后用于电信类犯罪活动的行为提供了指导意见,明确了行为的定性。因此,对于行为人通过伪造、变造、买卖、效用及PS他人身份证件这种手段构成其他犯罪的,依照法律和司法解释的明确规定进行处理。同时,对于行为人在侵犯他人个人信息过程中又触犯了其他犯罪的,即同时触犯了非法获取公民个人信息罪,符合数个犯罪构成时,对于这种想象竞合犯,应当择一重罪处罚。
【注释】[1]张明楷:《刑法学》,法律出版社2007年版,第761页。
[2][日]大冢仁著:《刑法概说(分论)》,中国人民大学出版2003年版,第414一415页。
(作者单位:中国应用法学研究所)
|