北京网络行业协会法律委员会副主任王琮玮律师
2019年2月15日
目前正在北京卫视热播的《天下无诈》吸引了很多人的目光,剧中以一起涉嫌金额巨大的电信诈骗案件入手,层层叠叠的隐藏线索,案件背后的人物形态,直接刻画了犯罪分子的狡猾,电信诈骗案件侦破的难度、被害人的痛苦,更反映了以邝钟为代表的侦察人员工作的艰辛以及为人民服务的高度责任心和使命感。该剧是第一部反映目前热点社会问题的写实性影视作品,一经播出,不仅掀起了普通观众观看热潮,从事相关工作的公安司法人员对此剧也充满了热情。
说起电信诈骗,很多人自然而然地会想起山东徐玉玉案、清华大学教授被骗案,惨痛的代价,悲剧的经验教训,一直让我们难以释怀对电信诈骗等这个社会热点问题。关于徐玉玉一案,2017年7月,宣告被告人陈文辉犯诈骗罪、非法获取公民个人信息罪,判处无期徒刑,并处没收个人全部财产;其他六名被告人郑金锋、黄进春、熊超、陈宝生、郑贤聪、陈福等被判15年到3年不等的有期徒刑并处罚金六十万元到十万元不等。
徐玉玉案件是一起非常典型的电信诈骗案件,其犯罪手段、犯罪过程、受害人遭受的经济及精神双重压力、侦察机关侦破案件的难度等等,都与《天下无诈》这部电视剧反映的诈骗案件有许多相同之处。犯罪分子杜天禹通过植入木马等方式,利用网站漏洞非法侵入山东省2016年普通高等学校招生考试信息平台,窃取了大量考生信息,并出售给此次案件的主犯陈文辉,陈文辉聚集他人实施电信诈骗活动,最终导致被害人徐玉玉死亡。
但是单凭一部电视剧,或者制定几部法律就能实现“天下无诈”,让犯罪分子无处遁形,似乎过于理想,其实如果要实现“天下无诈”,在网络安全的各个环节加强管理,避免和减少此类案件的发生是完全有可能的。
一、山东省高考信息平台存在安全泄漏,是导致信息被泄露的原因之一,网络运营者加强自我保护的安全意识至关重要。
杜天禹业余时间经常搜索一些网站,测试对方的“安全性”,一旦发现漏洞,便利用木马侵入内部,打包下载个人信息、账号、密码。杜天禹在测试山东省高考信息平台网站时,发现漏洞,并从数据库中找到了山东高考考生的信息并偷偷下载。《网络安全法》第十条规定:建设、运营网络或者通过网络提供服务,应当采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。这是作为山东省考生信息平台的所有者、管理者保护其平台上数据安全的法定义务。也就是说,我们的网络运营者在提供服务时不能没有任何技术措施,也不能完全依靠个人的自我保护,特别是在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
此外,杜天禹获取的是个人敏感信息,对于个人信息的保护,《网络安全法》第四十二条特别规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。所以,徐玉玉个人信息的泄露,不只是黑客杜天禹的攻击行为所致,更是与网站日常的管理有关,网站本身存在漏洞,也没有实行漏洞管理,直接被破解从而导致信息泄露。按照《网络安全法》第二十一条规定,山东考生信息平台应建立安全等级保护制度,包括制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;采取数据分类、重要数据备份和加密等措施保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
二、杜天禹缺乏法律意识,对于行为产生的连锁效果没有认识,成为产生下游犯罪的重要渠道。加强个人信息的法律保护意识也是重中之重。
杜天禹把“黑”来的个人信息,比喻成“战利品”,每当将战利品收入囊中,他都会很兴奋。有一次他在网上的一篇文章中得知这些信息还可以卖钱,于是开始在网上贩卖这些考生的信息。而与杜天禹有同样认识的人不在少数,他们一般认为自己只是拿了一些别人的数据,自己卖的是数据,并没有具体实施诈骗行为,也认为自己的行为对他人没有任何伤害。而在实际生活中,除了攻击他人网络获得取信息以外,还有提供资金帮助,提供电信卡、建立买卖信息、教授黑客技术的平台等行为,这些行为正是诈骗罪实施的条件因素,也是给诈骗团体提供了作案的工具与帮助。也就是说,正是这些自认为没有参与诈骗的人,在诈骗的准备环节和实施环节,帮助诈骗团体拓展诈骗渠道,能够在信息买卖、联系受害人、资金获得和转移方面获取有效支持,从而屡屡得手。
对于窃取网络数据、为从事危害网络安全的行为或违法犯罪行为提供技术、资金支持的行为,我国《网络安全法》第二十七条有明确的禁止性规定。《网络安全法》第二十七条规定,任何人不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。严格禁止非法侵入他人网络、获取信息、为这些危害活动提供技术等支持的行为。
此外,对于违反本条规定的后果,在《治安管理处罚法》、《刑法》中均有衔接性规定。《治安管理处罚法》第二十九条规定:违反国家规定,侵入计算机信息系统,造成危害的;违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。可处五日以下拘留;情节较重的,处五日以上十日以下拘留。
对于违法后果严重的,《刑法》还专门规定了非法侵入计算机信息系统罪、非法破坏计算机信息系统罪、帮助信息网络犯罪活动罪等罪名,对于利用他人网站漏洞,通过植入病毒等手段入侵他人计算机信息系统,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的行为;为犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助行为情节严重的行为都将被追究刑事责任。
虽然在民、行、刑三个递进的法律制度里均有明确规定,可遗憾的是,现实中这类违法行为仍然大量存在,而这类案件也已然成为目前社会反应强烈、民怨较大的案件,这与法制宣传、法律意识的欠缺不无关系。特别是黑客情节在青少年中影响巨大,某些懂得黑客技术的青少年过度崇拜黑客,不把攻击他人计算机当作违法行为,没有法律意识,也没有网络道德教育和法制教育,在犯罪的道路上越走越远。急需引起社会重视,加强法律教育与宣传,提高个人法律意识,在预防保护阶段,告别犯罪。
三、买卖个人信息的渠道多、信息量大而全,成本低,加强对即时通讯工具的管理,是切断违法信息来源的有效方法。
徐玉玉案被告人陈文辉为实施电信诈骗犯罪,通过QQ等聊天工具,支付宝等支付工具从杜天禹处购买非法获取的考生信息10万余条。社会中,在网上设立专门用于教授黑客技术、出售或购买个人信息的QQ、微信等通讯群组大量存在,这些群组为违法犯罪行为提供了便利条件。近年来,通过QQ、微信群从事违法活动的案件也时有发生,常见的违法行为有赌博、传播淫秽视频等,直接影响了网络环境安全。
《网络安全法》第四十六条规定,任何个人和组织应当对其使用网络的行为负责,不得设立用于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。而对于网络通讯群组的管理目前法律、规范性文件也有明确的、特别性的规定。如在刑事法律方面《中华人民共和国刑法修正案(九)》第二十九条规定:利用信息网络实施设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;为实施诈骗等违法犯罪活动发布信息的,构成帮助信息网络犯罪活动罪。就是说,针对明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助的行为已经独立入罪。
为加强对群组的管理,2017年9月7日,中央网信办发布《互联网群组信息服务管理规定》对群组建立者、管理者和成员通过互联网使用群组的行为进行规定从实名认证、个人信息保护、信息发布内容管理等方面对于建组的设立、管理、使用均提出了要求。
电信诈骗案件的发生,追根溯源是缺少法律意识、法律规定落实不到位、安全意识有待提高所致。在电信诈骗案件发生后,有人同情,有人愤怒,也有人认为是受害人轻信他人的结果,甚至还有人幸灾乐祸指责受害人连最基本的安全意识都没有。但这些评价都是事后理性的思维,在我们的信息被泄露,尤其甚至是个人隐私被泄露,信息内容被犯罪分子完全掌握,犯罪分子利用人性中的弱点实施犯罪时,上当受骗的人很难在一时之内分辨出真伪,这与人的经历、社会经验等有一定关系,但绝不能认为是受害人没有最基本的安全意识所致,清华大学教授被骗案就是最直接的例证。在我们同情受害人的受害经历、感谢司法机关工作人员辛苦付出的同时,更加希望企业和个人能够切实履行网络安全法律体系的义务,执法部门能够进行有效的监督和管理,宣传部门能够加大宣传力度,让掌握大量数据、个人信息的企业不再存有侥幸心理,依法采取技术和管理等必要手段和措施确实保障数据安全、个人信息安全,以真正实现“天下无诈”。
