在前两篇文章中,笔者列举了四篇关于批量注册账号产业链中接码平台涉刑的典型案例,研究这些判例可以发现,不论以什么罪名认定,控方和审判机关必然会关注这类案件中的两个要素,一是接码平台获取的“数据”,二是“接码平台”的计算机软件功能。而各司法机关在实践中却对上述两者并未作出一致的刑法评价,这也是导致实践中出现以不同罪名规制“接码平台”批量注册账号的重要原因。
一、最新判决思路:“手机号+验证码”系“数据”
之前4篇典型案例基本罗列了当前司法机关在办理批量注册账号产业链涉刑案件时的定罪思路,笔者结合最新司法判例发现,在针对批量注册账号产业链的刑事打击行动中,司法机关亦在更新和完善其定罪思路,力求每一个判例都能够达到司法效果与社会效果的统一。最新的指控思路为,接码平台用户使用的“手机号+验证码”应当被认定为获取计算机信息系统数据罪的构成要件要素“数据”,这仿佛修正了之前仅将验证码单独认定成“数据”的定罪思路。
在该份判例中,司法机关作出了如下论述:当下社会,由于手机及其收发的信息具有个人专属性、隐私性,性质类似于网络用户的电子邮箱,故互联网企业采取手机短信的方式以标识用户,手机号码及对应接收的验证码一并充当了用户名和密码的作用,显然具有用户身份识别、确认用户操作权限的作用。接码平台的数据库记录了平台用户使用的手机号码及以此注册APP账户、接收的短信验证码的内容,二者对应匹配,相互结合,能够形成一组身份认证信息,属于计算机信息系统中储存、处理、传输的数据。且即便其中有被告人使用物联网卡等虚拟卡获取验证码,实际上与一般用户设置的账号和密码类似,同样能够用于注册、登陆、操作、使用APP,属于身份认证信息。
二、现实问题:同一手机号可对应多组身份认证信息?
随着电话卡实名制,互联网实名制政策的落实,互联网用户的个人身份与手机号码的绑定越发紧密,个人用户的手机号原则上被认定是用户的身份认证信息,用于绑定网络账号,从而增强用户使用互联网平台服务时的安全性。但当前,为简化注册程序,若采用手机号码直接注册平台账号,手机号码则具备了用户名及身份认证信息的双重身份。这也是上述司法裁判逻辑的基本依据。
但在这一逻辑下,不可回避的一个问题是,用户每次进行操作的验证码必然不相同,那么同一个手机号将会产生多组不同的身份认证信息,那么是否能够认可,同一个用户的同一账号下存在多组不同的身份认证信息?一个可接受且符合常理的理解,应当是,身份识别信息应当是唯一的,而不是多样的,例如“银行卡+密码”。但如果按照上述逻辑,则多组身份认证信息的问题仍旧难以得到解决,也无法帮助我们真正认识到网站使用验证码进行人机验证的功能所在。
三、厘清前提:手机号无身份标识意义,SIM卡才是用户ID
可实质上,手机号只是一串数字标识,其本质上并没有意义和价值,真正起到身份认证作用的是用户的手机卡(SIM卡)。SIM卡是Subscriber Identity Module 客户识别模块,的缩写,也称为智能卡、用户身份识别卡。SIM卡是在一电脑芯片上存储了数字移动电话客户的信息,加密的密钥以及用户的电话簿等内容。SIM卡在GSM系统中应用,使卡与手机分离,SIM卡唯一标识一个客户,即便SIM卡插入不同的GSM手机中使用,所产生的通信费用也会记录在该SIM卡所唯一标识的客户账户上。
如果用户的手机号码离开手机设备,则永远不能接收到验证码,更谈不上用户使用手机号码进行注册、登录等操作。因此,互联网平台给注册的手机号发送验证码的本质,是校验该手机号对应的设备是否处于活跃状态,即用户的SIM卡能否进行特定的信息传输。个人用户日常使用的设备最多是双卡双待的手机,而在批量注册账号的产业链中,接码平台的卡商端使用的猫池,本质上可以理解为是一台N卡N待的设备。互联网平台需要绑定的并非是用户的手机号码,而是要绑定一台手机设备及该设备中的SIM卡。
厘清这一技术前提后,可以发现,把手机号码当成是数据,本身并没有意义,因为手机号码并没有任何价值,也不可能离开设备而单独使用,不具有任何表意含义或者不具有信息传递功能的数字编码,不属于刑事证据中电子数据的范畴。可见,认定手机号码系计算机信息系统内的“数据”也存在技术和法律上的缺陷。
四、正视过程:硬凑“身份认证信息组合”,难得证据支持
承接上述前提,再看“手机号+验证码”组合,是否能够证明,接码平台获取了对应注册平台的计算机信息系统“数据”呢?我们认为从三方面看均持否定结论。
首先,手机号与验证码来源不相同,手机号由卡商端发送,验证码由注册平台发送。号商若要注册账号,首先需要从平台处购买一个手机号码,其次,从接码平台处接收对应的注册平台响应获取验证码的程序发送验证码。之后,号商将收到的手机号与验证码输入至对应平台的注册页面,完成用户注册。因此,手机号码是由卡商提供,对应的注册验证码则是由注册平台发送,二者并非全部源于注册平台系统。
其次,从时间节点上看,号商无法同时收到注册的手机号与验证码。分析已被查处的众多接码平台的功能,号商在接码平台上收到手机号码和验证码存在时间差。若号商获取的是对象注册平台的数据,则应当是由平台同时发送,而不应当存在时间差。
再者,从原始储存状态上看,在用户注册前,各注册平台数据库中自始没有用户账号。若认定批量注册产业链的各方获取了平台用户的身份认证信息,则意味着,平台数据库中应当事先存有注册用户的手机号。但该产业链的客观状况是,若号商不完成填入“手机号码+验证码”这一步注册程序,则平台数据库中不可能存储对应的手机号码。更无从说起,号商通过接码平台获取了注册平台中的“手机号+验证码”的若干组数据。
因此,即便在批量注册账号的产业链中,在号商端能够形成“手机号+验证码”的组合信息,但实质上号商从注册平台方接收的自始仅有验证码,而非非法获取计算机信息系统数据罪的犯罪对象——用户身份认证信息。
五、结语
数字经济时代呈现出数字产业化,产业数字化,数据价值化的特征,信息技术的发展也催生出更加精细的产业分工,更加隐蔽的技术手段使得当前网络犯罪案件高发、频发,成为数字经济进程中的绊脚石,而批量注册账号产业链被视为网络犯罪的源头更加有必要采用刑事手段对其进行规制。采用刑事手段虽然能够在短期内对该产业进行有效打击,但是由于现行司法在立法和司法实践中对于互联网批量注册账号产业链的各方均缺乏明确的规则和统一的处置意见,即便采用刑事治理手段作用明显,也难免陷入责罪刑不相适应的司法处置困境。因此,对于批量注册账号产业链的涉刑案件,司法机关有义务对接码平台设置的自动访问程序/软件进行准确的技术评价,对其中涉及的验证码/手机号码与计算机信息系统内部数据之间的界限进行准确划分,以系统性的法律思维应对刑事法规不完善的现状,从而探索出一条准确且稳健的规制路径,有效发挥刑法的治理功能。
发表评论