1. 问题之缘起
随着网络技术的广泛应用,电子商务交易场景日趋增多,2019年1月1日《中华人民共和国电子商务法》正式实施,明确了电子商务经营者的权利和义务,强调诚信经营,同时我国对电子商务平台的监管力度加强 [1] 。同时,个人信息和个人的身份利益在电商时代得到了更高程度的关注和保护。《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律,要求电商平台在收集和使用信息时需经过用户同意。中国互联网络信息中心(CNNIC)发布的第49次《中国互联网络发展状况统计报告》显示,截至2021年底,我国网民规模达10.32亿,而遭遇个人信息泄露的网民比例高达22.1% [2] 。据此可见我国网民的个人信息正在处于极大风险之中。
前文所论述的电子商务中数字化身份应用场景的繁多,为身份盗用犯罪提供了温床,笔者在北大法宝案例检索库中检索,以电子商务为关键词搜索,然后以“诈骗”在结果中搜索刑事案件有7件。目前盗用身份进行合同诈骗、冒用身份注册账号控评的案件较多。这是因为人与人之间的交流并非按照以往物化标准来区分,而是根据一系列的数字化身份来辨认。在美国,社会保险号码、母亲之姓、银行账号、信用卡卡号以及电子邮件号码已经成为最主要的识别身份的标准,而这些标准基本上都是用电脑进行处理 [3] 。根据国外信息统计,早在互联网发展之初,2002一年美国就有多达近1000万的身份信息被冒用或者被盗用,由此所造成的经济损失高达530亿美元。由此可见,电子商务平台越发展,其公民个人身份之利益就越重要,公民个人身份是电商交易的基础,数字化身份应当具有法律保护之必要。
2. 电子商务中身份利益受侵害的主体分析
笔者通过查询裁判文书,检索新闻得知,目前在电子商务平台中对身份利益的侵害主体主要是有网站商家、个人、信息中介等构成。之所以对侵害主体进行分析,才能得出我国目前刑法对电子商务中的身份利益侵害的规制尚无同一的评价的结论。
2.1. 网站商家的过失管理与非法收集
对于交易双方或者是电商平台上的各类主体来说,网站商家收集消费者信息是应然之举,此部分的信息即可以是识别特定身份的信息如姓名、联系方式等,亦可是非特定信息。然商家为了更高的经营效率和利润,大多数会把已经购买过商品或服务的信息整理成库,以此形成自己的经营优势。这种数据库大多数是以商业秘密来进行管理和保护。例如,在某平台购买药物之后,每逢促销季,该商家会推送相关药物至曾经购买过的消费者手机上,其中就隐藏着隐患,因为买方的联系方式、姓名等特定信息已然被商家所掌握,商家在面临巨大的经营优势或者是高额利润时,将该信息出售,或者是利用该信息直接注册账号,利用该账号进行刷评、控评等操作。
目前在电子商务平台中,一些网站商家在当消费者浏览网站时,会针对消费者的电脑进行追踪。通过监看消费者浏览过的网站、日期等总结出消费者日常偏好。部分电商主体还会利用病毒窃取个人信息,获取被害人的用户名和密码,如此就获得了买方的身份信息。
如果说收集买方信息属于正常的经营方式,那么如果滥用所收集的信息就当然可以被评价为越过了合理界限,属于犯罪行为,至于构成何种犯罪,后文会有论述。
2.2. 个人骗取情形
经过检索裁判文书,笔者发现存在个人盗取电商平台的身份信息的情形,一些个人伪装成消费者所信任的公司、网站等,诱使消费者提供个人身份机密,以此完成收集之后,便会将这些信息贩卖给负责注册、控评、刷评的犯罪团体,这些犯罪团体便会盗用冒用他人的身份信息进行账号注册,从而破坏正常的电子商务交易环境。侵犯身份法益的手段往往呈现分工明确、上游下游等牵连情形,这也为目前打击牵连犯的处罚规则——择一重罪论处相冲突。这种情形会导致未能完全评价整条非法产业链的犯罪行为。
3. 电子商务中身份利益的刑法保护
3.1. 电子商务中身份利益侵害的个罪分析
根据腾讯安全与中国人民大学舆论研究所共同调研的《2014年度互联网安全报告》显示,近三年新发现的电脑病毒数量呈现持续增长态势,2014年,新发现的电脑病毒数为1.35亿个,较2013年增加了31.9%,较2012年增加了49.42% [4] 。对于上述利用病毒破坏电子商务计算机信息系统的行为,可以以破坏计算机信息系统罪来评价。
伪造或者盗用账户的犯罪目前仍然是高发态势,此类犯罪是在被害人不知情的情况下,冒用身份信息从而注册账号从事控评、刷评等行为。此类犯罪由于是盗用冒用了他人身份信息,因此可以构成盗用他人身份证件罪。但需要注意的是,本罪的构成要件要求是行为人在依照国家规定应当提供身份证明的活动中,盗用他人的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件,且情节达到严重程度的。这就意味着当面临盗用他人身份证件的情形,并不能单纯以该单罪论处,还要考虑其情节是否严重,但是对于已经冒用他人身份信息注册了账号但并非从事破坏电子商务正常经营活动的行为来说,可能并不能当然构成本罪,那么对于上述情形的刑法评价就出现了偏差,会不适当的缩小该罪的适用空间。
电子商务中较多的犯罪是侵犯公民个人信息的犯罪。本罪主要是指非法窃取、获得、出售、提供公民个人信息的行为。电商经营者应在消费者同意的前提下,按照正当、必要的原则收集、使用消费者的个人信息。但是,由于我国缺失对个人隐私尊重的文化传统,加上没有相应的立法,因此滥用、盗用个人信息的情形非常严重,威胁到用户对电子商务的信任和网络的使用 [5] 。电商平台中侵犯公民个人信息的研究不在少数,但有部分学者未能看到其侵犯公民个人信息罪不仅仅是单纯的盗用身份,而是这种盗用行为归根到底是要落脚到破坏电子商务中的正常经营环境的。
3.2. 电子商务中对侵害身份利益的评价完善
前文已经论述了目前对侵害身份利益的常用评价手段,前述的评价方案有的过于紧盯破坏电子商务环境的上游犯罪(盗用他人信息),有的过于紧盯电子商务中的冒用他人身份进行的合同诈骗,由此可以窥知目前我国对于电子商务中的身份利益的保护并无同一适用的罪名。而本文想先就身份利益与公民个人信息的区别进行探讨,以此来论证身份利益保护的特殊性。所谓公民个人信息,简称个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息1,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。在电子商务中,公民个人信息当然具有基础性意义,这无可厚非。
但需要注意的是,电子商务的本质是一种交易方式的技术革新,所以它具有交易的底色,正所谓交易是交互主意,在协商中双方均拥有意志自由,这种意志自由的载体是个人信息,而交易最根本的特征就在于个人意志的自由。而这种包含个人意志自由的表现,我们称其为“身份利益”。有些学者认为身份利益包含了公民个人信息,所以将两者等同。但是经过上文的分析,如果我们单纯以个人信息来进行法律评价,或多或少地会限缩或扩大罪名的适用,并不能找到其破局方法。举例来讲,盗用他人身份证件罪和侵犯公民个人信息罪都要求情节严重,如果在盗用后,并未来得及从事破坏电子商务环境的行为时,我们将会受圄于认定其“情节严重”,但是这种行为当然侵犯了比个人信息更值得保护的身份利益,当然需要刑法评价和规制。
下面以江苏省连云港市中级人民法院某判决书为例2,具体论述如何全面评价电子商务中侵犯身份利益的行为。该案件犯罪嫌疑人有林某、吴某两人,两人通过QQ平台进行购买信息,购买后利用非法获取的信息注册淘宝店铺和滴滴出行司机端,获取新人福利后再将账号倒卖。后被法院认定为构成侵犯公民个人信息罪和诈骗罪。
林某和吴某都是通过非法渠道购买了公民个人信息,然后又利用这些信息注册了店铺,从本意义上说,盗用他人信息是违背了他人的意志,侵犯了身份利益中所包含的意志自由,这种意志自由是电子商务交易的基础,当然要受到法律评价,因此属于构成了侵犯公民信息罪,但同时,也构成诈骗罪。但是对于两罪如何处罚,是按照牵连犯择一重罪论处,还是按照数罪并罚?不同的学者会有不同的结论。我认为应当按照数罪并罚原则来论处。原因如下,其一我国对于牵连犯罪,通说是采用择一重罪论处的,但是在刑法总则中并没有相关的提示和处断原则。因此从法理角度认为应当数罪并罚并不会与法律规定相冲突。其二,本案中被告人实际上是拥有多项行为的,首先是违背他人意志、盗用他人身份,侵害他人身份利益,其次这种盗用的目的或者说结果是为了“薅羊毛”,破坏了电子商务中公平竞争的要求,因此从本质来说,两个行为虽然具有牵连性,但是其所破坏的法益是复合的,一是公民个人的身份利益,二是市场管理秩序,因此应当按照数罪并罚处断规则来论处。对于通过利用公民信息虚假注册账户和恶意虚假账号的行为方式来“薅羊毛”的行为,法院将其认定为侵犯个人信息罪进行处罚 [6] 。对此,笔者认为法院的判决无误。而对于此类类型中,还存在一种用计算机信息技术,违反国家安全规定、破坏互联网安全防护机制,通过不法渠道获取公民个人信息,并将公民信息用于不法账户注册,以非法获利的目的对注册账户进行使用,大规模的获取平台或商家所推出的新人优惠活动,获取非法利益的恶意注册虚假账号行为 [7] 。因此,这种行为可能会构成非法控制计算机信息系统罪,而对于这两个罪的竞合,笔者认为由于是侵犯了两种不同的法益,因此应当按照数罪并罚规则来进行处断。不应按照择一重罪论处规则处罚,以示身份利益保护之必要。
4. 电子商务中侵犯身份利益的对策研究
4.1. 立法维度探讨
法律是保障电子商务安全,减少电子商务犯罪的后盾。随着网络信息技术迅猛发展,个人信息内容的不断扩充,个人信息财产利益的保护需求也愈发强烈 [8] 。早在1998年10月,美国过会通过《身份盗用罪防治法》(Identity Theft and Assumption Deterrence Act),禁止任何未经合法授权转移或使用他人身份证明,从事、协助或者教唆违反联邦法律或者根据州、地方法律构成重罪的非法活动。此项法律在更宏观的层面上肯定了身份利益,因此实践证明,该法律强有力的抑制了美国身份盗窃犯罪问题。就我国来说,应当考虑电子商务交易的特殊性,确立在电子商务中盗用他人身份的行为入罪,在入罪时不应当以情节严重为构成要件要素,因为盗用他人身份的行为本身就侵害了他人的身份利益的自由意志,并不能等到犯罪人具体实施侵犯个人信息犯罪时再对此进行规制,这样可能会导致介入过晚,无法及时修补身份利益。
目前我国对电子商务身份利益侵害的刑法评价罪名有侵犯公民个人信息罪、盗用他人身份证件罪等。目前电子商务中对身份权益的侵害,主要是通过上游公司将获取的公民个人信息贩卖给下游从事盗用身份的公司的方式。但目前获取公开信息是否能被侵犯公民个人信息罪来概括,实属有较大争论。一种学说认为未经信息权利人同意非法获取其个人信息的,一律构成本罪。理由是个人信息不同于个人隐私,即使已公开的个人信息不再具有隐私特征,但是仍然具有识别特定个人的功能。虽然信息权利人最初将自己的个人信息挂在网上时,已经对此表示同意并予以授权,但是这并不意味着行为人就有权利将该信息挪用。一种学说遇到这种案件时,应当以信息权利人公开信息的目的为标准具体认定。如果行为人未经个人同意,在收集已公开的个人信息后改变当时公开的目的而使用,那么就构成本罪。
质言之,在电子商务中侵犯公民个人信息的行为如果用本罪来规制,那么极易会受到上述学说的干扰。因为电子商务平台天然具有收集公民个人信息的属性,我们日常使用电子商务时,会看到各种各样的隐私条款,其中隐私条款都包含这对个人身份信息的处理,甚至如果不授权对个人身份,那么就无法使用软件。所以从立法角度来看,应当设立专门保护电子商务中个人身份法益的罪名,即侵犯电商身份信息罪。该罪应当着重强调电子商务中的个人身份法益保护,跳出侵犯公民个人信息罪的桎梏,考虑类似犯罪行为的特殊性。
在民事上合法的行为,在刑法上不应当被认定为犯罪。但民法上的赔偿损害可以引入到刑法立法评价中。合理运用惩罚赔偿金对于保护公民身份信息利益具有极大的意义。惩罚赔偿金是《民法典》上明确规定的赔偿制度,而不是当事人之间意思主义约定而生的产物。商家一般不会自觉主动支付赔偿金。依照法律规定,确保高效实施惩罚赔偿金制度,需要提高消费者的自主意思,必须由消费者主动提出惩罚性赔偿金的索赔请求 [2] 。所以,在立法层面,要把犯罪嫌疑人对所侵害的公民个人赔偿列入法律之中。当然,这会引发一种思考。这种做法无异是对本罪法益为个人法益的肯定,但是如果存在被害人承诺的情形,还能否利用刑法规制的问题。笔者认为被害人承诺不会造成出罪事由,原因有二,一是因为在电子商务中侵犯公民身份信息这本身对电子商务的交易环境就会产生危害,这种侵害社会交易管理秩序的行为当然要被刑法苛责。二是此处的赔偿金是一种转移支付的方式,通过赔偿被害人,一方面是加大了犯罪嫌疑人的犯罪成本,另一方面这也是对公民身份信息固有价值的肯定。
4.2. 司法维度对策研究
对于司法层面来说,牵连犯罪择一重罪论处似乎已经成为惯例,但是对于一种新兴的电子商务来说,尤其又是身份利益成为了电子商务中最关键的要素来说,侧重保护是应然之举,在量刑方面,要考虑侵犯法益的种类来判断是否要择一重罪论处的情形,如果侵犯的法益既有电子商务的管理秩序,又有公民个人的身份利益,那么应当按照数罪并罚来定罪论处。
同时,根据《个人信息保护法》第七十条的规定,赋予了人民检察院、消费者组织及国家网信部门确定的组织可以依法向人民法院提起公益诉讼的权利,这就相当于法律给消费者维护个人信息权益增加了一位具有专业知识的助理 [2] 。既然《个人信息保护法》已经明确规定了公益诉讼的情形,那么就要妥善地运用,不能使其僵死的条文。因为人民检察院、消费者组织具有电子商务经营者无可比拟的取证能力。遇到犯罪情形时,司法机关要加大数罪并罚论处的适用场景,才能使犯罪分子不敢犯、犯不起,形成对身份信息的全面保护网。
4.3. 个人要增强保护意识
关于个人身份利益,消费者是第一条防线,在提供个人信息时,要注重审查电子商务商家的信誉,同时还要详细阅读隐私权声明,通过自力救济强化法律保护。要明白盗用身份信息不仅仅会影响到电子商务正常的经营环境,其行为更是对自身意志自由和身份利益的侵害。
个人是个人身份利益保护的第一责任人,如果我们对信息收集习以为常,对信息侵害习以为常,那么其损害后果会对电子商务交易环境产生极大的影响,最后会反噬消费者个人。
4.4. 引导电子商务行业内部自律
美国政府在电子商务领域的一贯主张是将政府干预降低到最低限度。《中共中央关于全面深化改革若干重大问题的决定》(2013年11月12日)指出“限期实现行业协会商会与行政机关真正脱钩”,增强行业协会的独立性,支持其独立开展活动 [9] 。肯定行业协会的独立性是逐渐使其履行市场监管职能的前提,在保证现有政府机构及其部门职能的前提下,肯定行业协会的监管介入,更有助于夯实政府监管的效果和效率。对于电子商务行业协会来说,要明确自律权力来源和自律规范制定的依据,其权威性才能得到提升,在实践中才能得到认可和遵守。
前文已经提及,在涉及电子商务中的身份利益侵害时,往往呈现上下游的关系,而这些上下游关系的载体大多数为犯罪人设立的公司、平台等。加强行业自律才能让这些犯罪人的成本增高,更加及时地介入身份信息侵害案件中。
5. 结语
大数据时代,电子商务快速发展,电商环境下的身份利益成为人们关注的重点。身份利益不仅仅是维护电子商务经营的桥头堡,更是电子商务环境中的核心要素。身份利益应当成为单独的保护对象,当面临身份利益和电子商务管理秩序同时受到侵害时,不应简单考察两者具有牵连关系,就按照择一重罪论处规则处罚,而是需根据数罪并罚原则处罚,在新兴事物发展之处,要侧重于其核心利益的保护。保护电子商务中的身份利益在立法层面要将身份法益纳入法律保护机制中,司法层面要分清牵连犯的处断规则,个人要提高信息保护,以自力救济推动法益保护。同时,还要加强行业自律,提高犯罪人的犯罪成本。
NOTES
1《中华人民共和国个人信息保护法》第四条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
2江苏省连云港市中级人民法院(2018)苏07刑终59号刑事判决书。