论与二维码有关的违法犯罪防控

摘 要 我国的互联网技术正处在高速发展的阶段。二维码由于其具有便捷高效的特性，被广泛运用在网络生活中。一些违法犯罪活动便企图利用二维码来进行。二维码真伪难辨，同时由于国家对相关制度体制不够完善，对于二维码违法犯罪的防控较难开展。本文从二维码在我国的应用为出发点，对二维码违法犯罪活动进行分析，为二维码违法犯罪的防控提供建议。

关键词 互联网 二维码 违法犯罪 防控

作者简介：余越洋，华东政法大学刑事司法学院。

中图分类号：D924.3 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2017.12.348

一、二维码技术的功能和在我国常见的应用类型

我国近几年的网络用户呈现爆炸性增长趋势，其中移动终端用户占有主要比重。截止2016年7月，我国的手机网民达7.8亿 。由此可见，我国网络的运用很大一部分集中在移动终端上，而二维码作为一个极大方便了用户之间的联系的工具，便随着移动网络的兴起而快速发展。早在2012年，在客观环境的提升下，二维码随着已有3亿用户的微信实现爆发性运用 ，二维码已经成为了我们生活中不可缺少的信息工具。笔者综合我国目前应用二维码的情况，以二维码使用者的应用目的为标准，对二维码的运用进行了分类，二维码在我国的应用大致可分为以下三类：

（一） 信息分享

二维码的应用中最为主要的便是信息分享，这一应用的本质目的是为了实现信息的便捷传播与流动，这同时也是二维码设计的根本目的。用户通过扫取二维码来阅读文章、查看消息、进行社交软件的交友等等，这方面具体可参照微信、QQ等社交平台上二维码的运用。商户作为用户，还可以通过二维码进行市场营销活动，如产品宣传、品牌推广等等。二维码在信息的分享与传递中扮演着“快速通道”的角色，正是由于它在信息分享上的运用，增大了网络中的数据流，对于大数据的生成有着极大的作用，也正是因为如此，二维码在信息分享交流中的应用使得用户在网络中留下自身信息的机会也就越多，这为套取信息型的二维码违法犯罪提供了更大的犯罪“利润”。

（二） 防伪查证

这一方面的运用发生在二维码技术得到普及之后，它作为二维码的创新型应用而存在，用户运用移动设备扫描位于商品、货物上的二维码标签，跳转到商家事先设定好的防伪页面，通过防伪页面特有的防伪口令等网络认证手段以检验商品真伪。中国牛肉质量安全追溯系统采用由中国农业大学研发的追溯标签对牛肉质量进行跟踪，该标签由 UCC/EAN-128 码和 QR码（即二维码）共同组成，消费者可以使用智能手机扫描标签上的二维码通过链接的网站进行信息查询，该追溯系统采用了当前流行的 QR 码进行追溯，保证了追溯系统的普世性和实用性 。这一应用是对于传统的物理防伪标签的升级，在标签原有的物理性上又增加了网络认证性，使得二维码作为防伪口令起到作用的中介。二维码的这一运用大大增加了违法犯罪的成本，使得此类犯罪如果需要得逞，则可能要对商家事先制作好的防伪页面进行伪造，同时要对商家自身的防伪口令系统进行模拟，这大大增加了犯罪难度，对此类违法犯罪的预防有一定作用。

国内有不少使用二维码开展防伪业务的公司，他们也是看中二维码防伪标签的安全性。如长沙景瑞防伪科技有限公司就二维码防伪与传统防伪技术所制作的对比表 ：

通过该表的信息，我们可以非常直观地看出，二维码在防伪溯源方面与传统防伪方法相比，有着更大的优势，二维码在防伪查证方面发挥着极大的作用，对二维码违法犯罪有一定防控作用。但是由于二维码防伪标签技术的专利一般只有专业防伪公司所拥有，导致引进该技术作为防护手段需要一定成本，使得该防伪技术更多地使用在农业和工业等实体产业，作为“大众创业、万众创新”政策下刚刚兴起的一些低成本网络公司，由于其没有实体产业支撑，且往往秉持著节约成本的运营观念，对二维码防伪技术的引进往往不够重视，使得违法犯罪分子有了违法条件。

（三） 网络支付

网络支付同样也是二维码的创新型运用，二维码的这一运用是对传统网络支付的革新。传统的网络支付一般单纯发生在网络环境中，不能当面进行商品交换，因为支付的终端常常是电脑等大型通讯设备，不便随身携带。传统的网络支付是通过网上银行等第三方网页支付平台支付，用户渐渐感受到传统网络支付过程的繁琐，传统网络支付时，需要登入网页版支付平台输入账号，再完成转账等一系列行为。随着移动终端使用的增加，现实生活中对于移动网络支付的需求也逐渐增加，人们渐渐发现利用手机支付既可以省去携带实物货币的麻烦，同时又能规避了实物货币结算时的找零行为。有了需求就有了变革的动力，于是，如支付宝、百度钱包、财付通等网络支付平台开发出了以二维码支付为主要支付方式的移动版app。用户通过扫取二维码跳转到支付页面进行支付，整个过程变得极为高效快速，现如今，使用二维码进行移动终端上的网络支付几乎成为绝大多数人在支付行为中的首选。

二维码的应用在便捷信息交换、辨别虚假信息、方便网络支付行为上都起到了革命性的作用，使用户获得了更加良好的体验。但是，在肯定其极大地方便了用户的网络行为时，也应当指出二维码的应用中具有一系列的安全问题，这些安全问题长时间暴露在网络环境中，使得二维码极其容易被违法犯罪行为利用而进行违法犯罪活动，使得公民的权利受到侵害。因此，对现有的二维码违法犯罪进行分析和防控迫在眉睫，具有必要性。

二、二维码违法犯罪在我国的具体类型

与二维码有关的违法犯罪行为正是随着上述二维码的广泛运用产生的，二维码应用的范围遍及方方面面，由于二维码起步晚，兴起迅速，相关安全机制还不够完善，可被违法犯罪利用的安全性漏洞也较多。笔者通过对现今二维码违法犯罪案例的整理分析，试图将二维码犯罪行为进行周延的分类。笔者认为，以二维码违法行为发生后首先侵害的现实客体为标准可将其分为以下三类：

（一） 套取信息型

即利用二维码进行非法获取用户信息的违法犯罪行为，其目的是非法获取用户信息。2015年全年，月户均移动互联网接入流量达到389.3M，同比增长89.9% 。我国的互联网流量大幅增加，说明我国互联网用户使用互联网的行为增多，这必然导致用户的信息与资料在网络行为中留下了更多的痕迹。违法者可通过搜集互联网用户在网络行为中留下的各种信息痕迹，加以筛选，从而得到有利于违法犯罪的信息，如获取的用户住址可用于入室盗窃、获取的用户电话可用于电信诈骗，甚至获取到重要的账号密码进行恶意转账等等。这类犯罪手段有两种：1.直接套取：通过扫码送礼等营销手段，或者扫码生成性格分析图、星座运势图等“福利”赠送方式，诱使用户填写个人信息，进行用户注册，从这些用户自主输出信息的行为中间直接套取用户信息。这类手段较为简单且成本较低，只需要对二维码进行简单包装修饰则可使用户“交出”自己的信息，因此一般针对于不特定人群，所得的信息量也较大。2.间接套取：这类手法的技术含量较高，它可以先通过伪造的二维码诱骗用户扫码，使用户接入事先设置好的带有木马病毒的恶意链接，建立和移动终端的联系，然后再通过通常的网络攻击步骤中植入病毒，安装后门的手段，装后门为精于算计的攻击者在退出系统之前会在系统中安装后门，以保持对已经入侵主机的长期控制 。使得木马病毒感染移动终端，这一过程与电脑的木马病毒的机理相同，之后则通过长期的流量监控、数据搜索等方式搜集用户的大数据、上网痕迹等等，将用户较为重要的信息窃取并用于违法行为。由于此类手段有一定的技术要求，因而犯罪成本较大，使其更加倾向于窃取较为重要的信息，导致其倾向于针对较为特定的对象，一般为能从中获得较高犯罪利润的对象。当然，撇开违法者对于犯罪对象的倾向性选择，间接套取的手段同样也能够适用于不特定人群。

套取信息型的二维码违法行为的主观目的是套取用户信息，非法套取用户信息本身就是一种违法行为，至于后续可能利用信息侵害的何种客体，是可能客体，为避免分类过繁杂而分类难以周延，这里所做的分类标准只在行为完成后首先侵害的现实客体层面，以尽量明晰行为的分类，因此以非法套取信息为手段的违法行为不作进一步的分类。

（二） 获取财物型

即是利用二维码进行非法获取用户财物的行为，其目的是获取用户财产。这类行为主要是利用了二维码难以辨认真伪的安全漏洞。这类行为主要发生在移动网络支付的应用过程中，通过将链接了木马程序的二维码替换原先的二维码，由于真伪二维码在外观上完全无法辨认，使得用户极其容易被蒙骗而扫描了假冒的二维码，接入违法者设置的网页链接。如果网页链接中含有木马程序，手机一旦通过支付端口、扫码端口对这类型的网站进行了搜索、打开，木马程序就会连上你的信用卡、支付宝完成划款，如南京市团购信息藏病毒二维码案，也有的违法者不通过接入非法链接或木马程序的方式，而是直接利用支付软件的合法支付页面进行欺骗行为，这主要是利用了支付界面的安全漏洞，不同用户的支付界面几乎相同，只有头像、昵称等作为区分不同用户的依据。有效区分标识，即是能够有效作出区分判断的标识依据。而头像、昵称这类的区分标识都是可以由用户进行随意修改伪造的，且在现实的网络支付环境中，支付双方都力求快速完成交易。在这些因素的影响下使用者根本无暇仔细关注头像和账户这仅有的认证标识来进行身份区别，在移动网络支付过程中间极易忽略对象的真伪，使得用户极有可能将钱款通过伪造的二维码转入非法者的账户中。如福建安溪“二维码违停罚单”案，最早发现假冒告知单的是家住安溪凤城镇新华路的一位车主，当天早上8时左右，他在小区旁准备取车时，看到车上有一张黄色告知单，上面的二维码让他生疑。目前公安交管部门并未开通微信二维码缴纳罚款功能，如碰到在违停告知单上设置二维码进行转账的，都是诈骗。

通过对这些现有的二维码违法犯罪类型进行分析，我们可以从中总结出各个类型的二维码犯罪所利用的漏洞所在，并以此对二维码违法犯罪的防控作出分析总结。

三、二维码运用中的安全问题与防控建议

（一）真伪难辨

真伪难辨，是所有二维码安全问题的根源。如前述，二维码是黑白几何图形按一定规律分布生成的，因此从外观上很难看出二维码的异同之处。而二维码信息获取的来源正是这种难以分辨异同的几何图形。这种真伪难辨的安全漏洞一旦被违法犯罪者加以利用，则成为了诈骗的新手段。北京警方破获首例伪造“扫二维码违章罚单”诈骗案， 2016年10月9日23时许， 张女士發现自己停放在大兴区路边的汽车上贴有“扫二维码交罚款”的“违章罚单”，她用手机扫描二维码后，出现“向北京市大兴区交通支队转账200元”的界面。原来，杨某以100元的价格让一名网友伪造了罚单。目前，杨某因涉嫌伪造国家机关公文印章罪被刑事拘留。

防控建议：这均是由于二维码真伪难以分辨造成的，应当及时采取措施来修补如此明显的安全漏洞。二维码本身的难辨性较难改善，因为其难辨性主要是图形排列复杂、色调单一，肉眼难以分辨导致的，但图形的排列正是二维码功能的核心，改变了图形的排列，二维码就不具备传播特定信息的功能了。因此，从改变图形排列入手改变其难辨性明显不现实，即不可能改变二维码本身。笔者认为，应当从外部强化认证机制，提升其可辨性。如网络公司对自己使用的二维码进行防伪认证，将二维码嵌入防伪页面，由于防伪页面难以伪造，让自己公司的使用的二维码页面不易被不法分子盗用嵌入假冒二维码。还有在支付页面上加强对不同用户分辨的标识，如企业认证标识、使用一个用户一个账号，同时页面上强化用户账号的醒目度。也应当如文章前述，推广二维码防伪技术，有关部门应当推广二维码防伪技术的效果，使得中小企业对二维码防伪更加重视。二维码的难辨性也是二维码容易被犯罪分子利用的主要原因，所有的二维码犯罪行为所借助的主客观条件，都是基于二维码的难以辨认性而展开的。

（二） 缺乏完备的标准体系与监管

我国的二维码行业随着近几年网络的发展而发展，兴起的较为迅速，但二维码的安全体系还没能跟上，没有一个统一完备的二维码安全标准来规范市面上二维码的应用，国家也没能及时有效地对二维码传播的信息、链接等进行监管审查，使得二维码处在一个几乎无约束的发展的状态之下，更使得二维码违法犯罪行为从根源上得不到抑制，当违法犯罪行为出现时予以打击，往往是指标不治本。因此，我国的二维码行业急需行业标准体系的制定以及政府监管的介入。

防控建议：当务之急是先制定完备的二维码行业标准体系，这样才能使得政府的监管得以介入，且介入有依据。国家标准化管理委员会司长邓瑞德说道：“鉴于二维码发展和推广的需要，当务之急就是要建立健全标准体系，要制定相应的借口标准、数据流标准、统计标准、测试方法标准、安全标准、保密标准、诚信标准等，并推进标准的实施。” 因此，应当首先在二维码建立安全标准体系以规范市场。我国目前的行业标准较为粗糙，7月27日，中国二维码标准联合工作组在北京举行启动仪式，二维码国家标准同时发布，工作组将从基础、技术、应用3个层面规划制定二维码国家标准、行业标准及团体标准等相关标准，建设我国二维码标准体系，对我国“自主、安全、规范、可控”的二维码公共管理服务体系的快速建立和二维码产业的健康发展具有重要意义。 我国二维码标准的出台只是一个开始，标准还有很多部分需要细化，因此，出台完备的行业标准是应当不断努力的方向。

在建立了规范的标准体系后，政府就要依据标准介入监管，建立监管体系。我国在二维码领域的相关监管规定也同样粗糙，仅央行在网络支付领域对二维码（央行的函告中称“条码”）的监管原则进行了规定，根据中国人民银行支付结算司有关条码支付原则及要求的函告中规定：“线下条码支付具有进入门槛低、便捷等特点，适用于对传统POS收银成本敏感的小商户的日常小额交易，定位于传统线下银行卡支付的有益补充”、“支付机构开展条码支付所涉及的系统、客户端等相关产品通过支付清算协会组织的检测认证”、“中国银联可在参照支付清算协会标准基础上联合只要成员机构指定银联卡条码支付标准与业务规范，实现跨机构之间银行卡条码支付的互联互通”可以看出，我国的监管体系中的规定主要为原则性规定，十分粗糙，还应当对具体的监管行为作进一步进行细化规定。因而，我国的二维码行业的标准和政府监管体系均有进一步发展的空间，且应当跟上二维码应用行业发展的步伐而不断细化。

（三） 对移动终端的防护意识薄弱

对于移动终端我们没有保持一个较高的安全意识，病毒传播最主要的途径就是通过网络，移动终端同样有接入网络的功能，智能手机的操作系统具有开放性的特征，在给使用者带来方便的同时也导致了安全问题的产生 ，黑客针对智能手机操作系统中存在的漏洞，开发和研制出大量的进入智能手机的漏洞工具 ，并且在之前在文章中已经提到，移动网络终端的流量在爆发性增长，正因为如此移动网络终端感染病毒的概率也非常高，我们对于手机、平板电脑等移动终端的安全防护意识也必须加强。

防控建议：我们应当为手机安装安全杀毒软件，监控手机在网络行为中的流量，防止不法分子通过二维码使我们的终端连接上病毒链接，防止手机被其植入病毒，起到預防作用。金山、奇虎等网络科技公司均有开发适用于不同移动终端的安全软件供用户选择使用，且操作页面简单明了。同时，我们在使用设备时应当多留一个心眼，不要贪小便宜，应当警惕类似“扫一扫送礼品”、“扫一扫打折”的二维码营销手段，不要相信天上会掉馅饼，防止通过扫取这类二维码被接入恶意链接，植入病毒。我们也应当多关注扫码后的页面是否异常，以及在移动支付时多关注扫码后的付款对象是否和自己的付款对象相同，防止被不法分子伪造的假冒二维码蒙骗而遭受损失。

四、结语

随着我国经济的日益繁荣，网络技术的发展速度将越来越快，二维码的运用也更将呈现常态化，与二维码有关的违法犯罪也将更加活跃，由于目前主客观方面存在的缺陷，使得对于此类违法行为的防控形势更为严峻。如上述，要使目前这个形势得到改善，使人民合法利益得到有效保护，应当从人民和政府两个方面入手，从意识和体制两个层面进行改善，健立完备的二维码行业监管体制，加强人民自我防护意识，有效打击此类违法犯罪的发展势头，防止二维码在其快速发展的过程中沦为违法犯罪的工具。

注释：

中国互联网协会、国家互联网应急中心.中国移动互联网发展状况及其安全报告（2016）.2016.

王杨.二维码传播信息的应用及其分析.山西大学.2013.

兰龙辉、邱荣祖.维码技术在农产品物流追溯系统中的应用.物流工程与管理.2013（9）.

景瑞防伪：http：//csfangwei.com/fufei/？baidu20160705001.景瑞防伪为老字号防伪企业.

工业与信息化部.2015年通信运营业统计公报.2016-01-21.

余波、于冷.计算机系统安全原理与技术. 北京：机械工业出版社.2009.

杨路.一种隐藏签名认证方案的分析与改进.计算机应用研究.2011（7）.

丁莹.中国二维码国家标准发布.中国质量报.2016-07-29.

李润荣.智能手机安全问题及防护技术分析.无线互联网科技.2015（18）.