摘要
网络钓鱼作为依托信息技术实施的复合型网络犯罪,兼具技术隐蔽性与社会危害广泛性,已成为威胁网络安全与公民权益的重要风险源。本文以网络钓鱼行为的双重结构——本体行为与后续行为为分析框架,系统梳理其可能触犯的非法获取公民个人信息罪、窃取、收买、非法提供信用卡信息罪、破坏计算机信息系统罪、盗窃罪及诈骗罪等罪名体系。在此基础上,结合共犯理论与罪数形态原理,探讨共同犯罪的认定标准与罪名竞合的司法处理规则。文章主张在坚持罪刑法定原则的前提下,通过解释论路径强化刑事规制的精准性与有效性,构建兼顾打击力度与权利保障的刑法应对机制。
关键词:网络钓鱼;刑事对策;罪数形态;共犯认定;信息犯罪
一、引言
随着互联网技术深度嵌入社会运行体系,网络空间的安全治理日益成为国家法治建设的重要议题。在此背景下,网络钓鱼(Phishing)作为一种典型的非接触式网络犯罪形态,凭借其低成本、高收益、跨地域的特点,呈现出持续蔓延态势。所谓网络钓鱼,是指行为人通过伪造网站、发送欺诈性电子邮件或即时通讯信息等方式,诱使用户误以为其正在与可信主体进行交互,进而骗取账号密码、银行卡号、身份信息等敏感数据的行为。此类行为不仅直接侵害个体财产权益与个人信息安全,更对金融秩序、网络信用体系乃至社会稳定构成潜在威胁。
近年来,我国立法与司法机关已逐步加强对网络犯罪的打击力度,《刑法修正案(九)》增设拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪等罪名,体现了对网络空间治理的重视。然而,针对网络钓鱼这一具体犯罪样态,现行刑法并未设置专门罪名,其规制主要依赖既有罪名体系的适用。由于网络钓鱼行为链条长、参与主体多元、技术手段复杂,导致在罪名选择、共犯认定、罪数判断等方面存在诸多争议。因此,有必要从教义学角度出发,厘清网络钓鱼行为的刑法评价逻辑,明确各阶段行为的可罚性基础,以实现法律适用的统一与公正。
二、网络钓鱼的行为结构与刑事可罚性基础
网络钓鱼并非单一行为,而是一个由多个环节构成的动态过程。依据行为性质与功能差异,可将其划分为“本体行为”与“后续行为”两个基本层次。前者指为实施欺诈所采取的技术性准备与欺骗手段本身,后者则指向利用非法获取的信息进一步实施财产性或其他法益侵害行为。这种结构性区分有助于准确识别不同阶段的法益侵害类型,进而为罪名适用提供前提。
(一)本体行为的刑法评价
本体行为是网络钓鱼犯罪的核心前置环节,主要包括伪造网站、发送钓鱼邮件、架设伪基站、篡改域名解析(DNS劫持)等技术操作。这些行为虽未直接造成财产损失,但已严重扰乱网络秩序并侵犯他人合法权益。
首先,伪造网站或仿冒登录页面往往涉及对目标机构网页代码的复制、修改与部署,若未经授权擅自复制受著作权保护的网页内容,可能构成《刑法》第217条规定的侵犯著作权罪。但实践中此类情形较少,更多情况是仅模仿视觉设计而不复制源码,难以成立该罪。更为关键的是,此类行为通常伴随对计算机信息系统的非法访问或控制。根据《刑法》第285条第2款,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据的行为,构成非法获取计算机信息系统数据罪。在网络钓鱼中,行为人为收集用户提交的登录信息,常需在服务器端设置数据接收程序,此即属于“获取数据”的行为范畴,具备构成本罪的可能性。
其次,部分网络钓鱼行为还可能触犯《刑法》第286条规定的破坏计算机信息系统罪。该罪要求造成计算机信息系统不能正常运行或对系统功能进行删除、修改、增加、干扰。虽然多数钓鱼网站本身并不直接攻击原网站系统,但在某些情形下,如通过SQL注入等方式篡改官网跳转链接,或将用户流量劫持至虚假站点,则可能实质性影响原系统的正常服务功能,符合“后果严重”的入罪标准。
再次,行为人在实施钓鱼过程中大量收集用户的账号、密码、身份证号、手机号等信息,此类行为同时构成对公民个人信息权的侵害。根据《刑法》第253条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成侵犯公民个人信息罪。值得注意的是,即使行为人尚未将所获信息对外出售,只要其以非法方式获取并在后续用于诈骗等活动,亦可视为“非法获取”,从而纳入该罪规制范围。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于‘以其他方法非法获取公民个人信息’。”据此,钓鱼行为中对用户信息的采集完全符合“非法获取”的构成要件。
(二)后续行为的罪名适用
后续行为系指行为人利用钓鱼手段获取的信息进一步实施财产性或其他法益侵害行为,主要包括资金转移、身份冒用、二次诈骗等。此类行为直接导致被害人财产损失,具有更强的可谴责性。
最常见的后续行为是利用窃得的银行账户信息进行转账、消费或提现,此类行为本质上属于秘密窃取他人财物,符合《刑法》第264条盗窃罪的构成特征。尽管传统观点认为盗窃须以“物理性转移”为前提,但随着电子支付普及,司法实践已普遍承认对虚拟财产及电子资金的非法占有亦可构成盗窃。例如,最高人民法院指导案例27号明确指出,非法获取他人网络游戏装备并出售牟利的行为可以认定为盗窃罪。同理,通过钓鱼获取银行卡信息后操作网银转账,实为绕过权利人意志转移其财产性利益,应以盗窃罪论处。
另一种常见情形是行为人冒用他人身份申请贷款、注册平台账户或实施电信诈骗,此类行为多符合《刑法》第266条诈骗罪的构成要件。诈骗罪的核心在于“虚构事实、隐瞒真相”使对方陷入错误认识并基于该认识处分财产。在网络钓鱼的后续阶段,行为人使用真实存在的个人信息(如身份证号、手机号)配合伪造的身份证明材料进行信贷申请或平台认证,正是通过制造“身份真实”的假象骗取机构信任,从而非法获取资金或服务资源。此种“精准诈骗”因其成功率高、隐蔽性强,社会危害尤为突出。
此外,若行为人将非法获取的信用卡信息(如卡号、有效期、CVV码)出售或提供给第三方,则可能构成《刑法》第177条之一第2款规定的窃取、收买、非法提供信用卡信息罪。该罪设立初衷即在于防范信用卡信息被用于制作伪卡或实施远程支付欺诈,与网络钓鱼的典型后果高度契合。只要行为人非法获取了足以伪造可交易信用卡或进行无卡交易的信息,并达到“数量较大”标准(一般为10条以上),即可构成本罪,无需实际造成资金损失。
三、共犯关系的认定与责任边界
网络钓鱼犯罪往往呈现组织化、分工化特征,涉及策划者、技术支持者、信息提供者、资金流转者等多个角色,形成完整的黑色产业链。在此背景下,共犯理论的应用对于全面追责至关重要。
根据《刑法》第25条,共同犯罪是指二人以上共同故意犯罪。在网络钓鱼案件中,各参与者虽未必全程参与所有环节,但只要其明知整体犯罪目的仍提供协助,即可成立共犯。例如,某技术人员明知他人拟用于钓鱼网站搭建而为其提供服务器托管、域名解析或SSL证书申请服务,即便未参与后续诈骗活动,仍可依《刑法》第287条之二的帮助信息网络犯罪活动罪追究责任。该罪虽为独立罪名,但在体系上可视作共犯的特殊形态,适用于“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助”的情形。
值得注意的是,帮助行为正犯化的趋势使得部分原本属于帮助犯的行为得以独立成罪。但这并不排除在特定情况下仍按共犯处理的可能性。当帮助者与实行者之间存在通谋,主观上具有共同犯罪故意时,应优先适用传统共犯理论,以主从犯形式定罪量刑。例如,在一起典型的钓鱼团伙案中,若网站开发者与诈骗实施者事先约定分成比例,并持续优化钓鱼页面以提高转化率,则其行为已超出单纯的技术支持范畴,构成诈骗罪的共犯,而非仅成立帮信罪。
此外,还需警惕“中立帮助行为”的出罪边界。诸如普通ISP服务商、电商平台或邮箱运营商,在未尽审核义务的情况下客观上为钓鱼活动提供了便利,但若缺乏主观明知且无积极促进意图,不宜轻易入罪。否则将过度加重企业合规负担,抑制技术创新。对此,应坚持主客观相统一原则,重点考察行为人是否具备明显异常交易识别能力、是否收到监管部门警示、是否存在收费显著偏离市场水平等可疑情节,综合判断其“明知”状态。
四、罪数形态的司法认定
由于网络钓鱼行为链条长、环节多,常常同时触犯多个罪名,如何处理罪数问题直接关系到刑罚的正当性与均衡性。
(一)牵连犯的适用困境
传统刑法理论中,出于同一犯罪目的,实施数个犯罪行为,彼此间存在手段与目的或原因与结果关系的,构成牵连犯,一般择一重罪处罚。在网络钓鱼语境下,伪造网站(手段)与骗取信息(目的)、获取信息(原因)与转移资金(结果)之间似乎存在明显的牵连关系。然而,随着刑法理论的发展与司法实践的细化,牵连犯的适用空间已被大幅压缩。
一方面,现行刑法分则中已有明确规定按数罪并罚处理的情形。例如,《刑法》第287条之一规定,利用信息网络实施诈骗等违法犯罪活动,同时构成其他犯罪的,“依照处罚较重的规定定罪处罚”,体现出立法者倾向于单一化处理的立场。但该条款仅适用于设立网站、通讯群组的情形,无法涵盖全部钓鱼行为。
另一方面,现代刑法更强调行为个别化评价。每个独立的危害行为只要满足独立构成要件,原则上就应单独定罪。例如,非法获取计算机信息系统数据的行为与后续的盗窃行为分别侵犯了不同的法益——前者为网络管理秩序与数据安全,后者为财产权。二者虽有关联,但不具有必然依附性。行为人完全可能在获取信息后长期持有而未使用,或用于其他非财产性用途。因此,将两者割裂评价更具合理性。
(二)想象竞合与实质竞合的区分
在具体案件中,应严格区分想象竞合与实质竞合。所谓想象竞合,是指一个行为触犯数个罪名;实质竞合则是多个行为分别触犯不同罪名。
在网络钓鱼中,若行为人一次性发送包含木马程序的钓鱼邮件,既非法获取了用户信息,又导致对方设备瘫痪,则同一行为同时触犯非法获取计算机信息系统数据罪与破坏计算机信息系统罪,属于典型想象竞合,应择一重罪处罚。
但若行为人先搭建钓鱼网站获取信用卡信息,再另行登录网银转账,则前后为两个独立行为,分别构成非法获取公民个人信息罪(或窃取信用卡信息罪)与盗窃罪,属于实质竞合,应当数罪并罚。最高人民法院《关于审理掩饰、隐瞒犯罪所得、犯罪所得收益刑事案件适用法律若干问题的解释》亦确立了“本罪与上游犯罪数罪并罚”的原则,反映出司法机关对多环节网络犯罪从严惩处的倾向。
此外,还需注意连续犯与吸收犯的适用限制。除非行为具有时间连续性、对象一致性且出于同一概括故意,否则不宜合并处理。例如,行为人分属不同时间段、针对不同群体实施多种类型的钓鱼攻击,每次均独立完成信息获取与资金转移,则应分别评价,累计计算数额。
五、刑事对策的完善方向
面对网络钓鱼犯罪的严峻形势,应在坚守罪刑法定原则的基础上,通过解释论路径增强刑法适用的灵活性与针对性。
第一,强化对“明知”要素的推定规则。鉴于网络犯罪中主观故意证明难度大,可借鉴洗钱罪中的“明知推定”机制,建立反向举证责任。例如,若技术支持方收取远高于市场价格的服务费用,或频繁更换服务器地址以规避监管,可推定其具有犯罪认知,除非能作出合理解释。
第二,统一司法尺度,出台专门司法解释。建议最高人民法院、最高人民检察院联合发布关于惩治网络钓鱼犯罪的指导意见,明确各阶段行为的入罪标准、共犯认定条件、罪数处理规则及证据采信要求,避免“同案不同判”。
第三,推动行政执法与刑事司法衔接。网信、通信管理、金融监管等部门应加强监测预警,及时固定电子证据,并依法移送涉嫌犯罪线索。同时,鼓励平台企业履行主体责任,运用AI识别、域名黑名单等技术手段主动拦截钓鱼内容。
第四,注重预防性治理与国际合作。除事后惩治外,应加强公众网络安全教育,提升识别能力;推动跨境执法协作,打击境外服务器支撑的钓鱼活动。
六、结语
网络钓鱼犯罪以其高度的技术性与组织性挑战着传统刑法的适用逻辑。通过对本体行为与后续行为的结构化分析,可以发现其可能触及侵犯公民个人信息罪、非法获取计算机信息系统数据罪、盗窃罪、诈骗罪等多个罪名。在共犯认定上,应坚持主客观相统一原则,区分一般帮助与共谋参与;在罪数处理上,宜摒弃笼统的牵连犯思维,倡导行为个别化评价,对实质竞合予以并罚。未来应在尊重刑法谦抑性的前提下,通过规范解释与制度协同,构建科学、精准、有效的刑事规制体系,切实维护网络空间秩序与公民合法权益。
编辑:芦笛(公共互联网反网络钓鱼工作组)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
