广告联盟产业的刑事风险

纪敬玲　李涛

摘 要：广告联盟是互联网经济的重要组成部分，作为一种新型的产业，在快速蓬勃发展的同时蕴含了大量的刑事风险。对于广告联盟的商业模式、技术合法性、主体责任的研究不仅仅是网络生态治理的题中之义，也是开展刑法规制的必备前提，打击广告联盟商业模式中的不法行为，可以有效倒逼广告联盟参与方依法合规经营，落实网络安全管理义务，促进产业良性发展。

关键词：广告联盟 计算广告 刑法规制 数据安全

近年来，互联网广告发展势头迅猛，计算广告已经成为了广告产业的核心，根据eMarketer报告显示，在中国市场，2019年仅程序化交易广告支出已经达到313.5亿美元（人民币2074.3亿元），有71.0%的数字显示广告通过程序交易。[1]而与此同时，监管与实践发生着激烈的碰撞。一方面，围绕广告联盟产生的虚假流量、网络运营服务商平台责任、侵犯公民个人信息等问题层出不穷;另一方面，行政法规、刑法也陆续出台了相关法律条款、司法解释，对产业中出现的问题予以回应。我们不难看出，广告联盟正是近10年来互联网、大数据、法律在并行发展中一个缩影：新技术催生的新产业在发展的过程中必然经历上升、调整、再发展三个阶段，呈现出“螺旋”上升的趋势。对广告联盟商业模式中存在的刑事风险进行合理规制，主要目的是通过设定明确的行为边界为行业发展设立“红线”，倒逼广告联盟参与方依据法律法规全面履职，以促进产业的良性发展。司法机关需要深入了解广告联盟的商业模式，加强网络平台的主体责任研究，同时以法益、犯罪构成要件为核心，准确适用刑法。

一、广告联盟的概念及主体

在互联网行业，最有效、常见的商业模式无疑是可以将网站流量直接变现的广告模式，这一商业体系正支撑Google、Facebook、百度、阿里等众多企业蓬勃发展。互联网广告行业已经从最初的全覆盖式、针对不特定对象的网页广告，进化到以数据为核心的计算广告。一般而言，计算广告的内在逻辑是“将那些能够规模化、个性化传播信息的商品，以边际成本的价格出售”，并获得“流量、数据和影响力”三项可变现的资产，并将其进行“加工、利用与交易”。[2]而广告联盟，是对计算广告衍生的产业链描述，其由三类不同的平台组成，覆盖了一个广告从制作到展示的重要环节。以国家市场监督管理总局发布的《互联网广告管理暂行办法》（以下简称《暂行办法》）第14条为基准，广告联盟的参与方可以分为“广告需求方平台”（以下简称DSP）、“媒介方平台”（以下简称SSP）和“广告信息交换平台”（以下简称ADX）。在实践中，还有一些平台主体同样参与广告联盟的交易过程，但并未被《暂行办法》予以定义，如“数据管理平台”主要开展面向数据源的数据管理、加工、交易等服务。在市场上，常见的广告联盟有Google Adsense、百度联盟、搜狗联盟、淘宝联盟等。

二、广告联盟的特点

有学者对广告联盟的样态定义为“集合中小网络媒体资源，通过平台帮助广告主投放广告，并进行数据监测统计，广告主则按照网络广告的实际效果向联盟会员支付广告费用的网络广告组织投放形式”。[3]广告联盟与传统广告形式最大的区别就是，通过计算机信息系统和网络技术，依托平台化的构造，将分散的广告供给方和需求方进行集合，以数据为依据，以算法为通道，实现了高效的、自动化的广告投放。广告联盟解决了传统广告无法面向特定对象展示的缺点，降低了企业成本，提升了广告效果。究其运行的逻辑与结构，我们不难发现广告联盟的特点如下：

（一）平台化的构造可以集合分散的广告供给和需求，从而降低双方交易成本

SSP和DSP分别从供需两个市场吸收主体，通过ADX平台将双方的供需进行匹配，降低了广告主投放广告的成本，提升了SSP成员盈利。从宏观经济角度来看，这无疑是一种社会资源的优化，其对广告行业的改造犹如淘宝对于传统贸易行业的改造一般。

（二）以数据为核心的广告供需匹配机制使精准营销成为可能

一般而言，用户在日常互联网行为中产生的数据可以反应用户的多种信息，比如使用的手机型号、浏览网站或使用某些服务等。当这些信息足够准确，样本量足够庞大，其便形成了用户画像-广告投放策略的核心要素。在广告联盟的框架下，SSP成员采集、整合用户网络行为产生的数据，而DSP自行或委托DMP将数据加工为用户标签，ADX将SSP的数据与广告主的需求的用户标签进行匹配，从而可以實现向特定用户进行投放特定的广告，完美的贴合了现代营销的核心理念-4R法则。[4]

（三）广告联盟框架下，各主体的法律性质存在共性与个性

我国现行对广告联盟主体性质的法律规定，主要参见《网络安全法》《广告法》《暂行办法》。而根据《网络安全法》第2条、第76条之规定，广告联盟的各方成员均属于网络运营者，天然受到《网络安全法》的规制，这是广告联盟在法律性质上的共性。而究其各方在广告发布活动中的法律性质，《暂行办法》第14条给予了明确的规定，并通过第15条、第16条、第17条，对其各方的责任进行了划分。一般而言，广告联盟的主体在遵循《网络安全法》一般性的规定条件下，承担不同的责任：如DSP必须承担广告发布者和经营者的责任;SSP及其成员和ADX仅在“明知或应知”的情况下，承担相应的责任。[5]

三、广告联盟的刑事风险及司法治理实践

随着广告联盟的日渐活跃，其可能涉及的刑事风险已经成为了当下的热点。广告联盟是一种基于计算机信息系统和网络技术为基础的商业模式，其涉及的刑事风险多样而复杂，如数据性质、网络安全管理义务、商业模式等，厘清相关风险点将有助于实现对广告联盟的合理规制，划清犯罪边界。截至到2020年12月，笔者在中国裁判文书网、无讼网上，使用“广告联盟”作为关键字，对网络犯罪案例进行检索，其中一审判决案件数量为88件，分别为诈骗罪13件，非法吸收公众存款罪2件，非国家工作人员受贿罪2件，危害计算机安全类型犯罪10件，传播淫秽物品类犯罪35件，职务侵占罪1件，侵犯公民个人信息罪2件，侵犯著作权罪23件。

在这里需要说明的是，笔者使用的搜索条件并不能覆盖与广告联盟相关的全部刑事案例，因为部分刑事案件的起诉、判决事实并未使用“广告联盟”的字眼描述，可能导致案件并未被纳入统计。在综合笔者办理的相关案件经验及网上判决案例的基础之上，分析的结论如下：

（一）广告联盟存在商业贿赂的刑事风险

从平台角度而言，SSP、DSP面对成员时处于强势的地位，其不仅掌握着资质审核的权力，同时可以通过算法和竞价机制直接影响流量分配，从而间接的影響成员的利润和成本，强势的地位和权力容易造成权钱交易现象。如姚筑非国家工作人员受贿罪一案[6]，被告人姚筑身为某广告联盟平台方员工，利用职务便利，违规审核广告联盟成员资质，并收受好处费。需要注意的是，在此类案件中，实施违规审核行为不仅可以借助职务，也可以通过对计算机信息系统进行非法控制、破坏的方式达成。如陈博睿破坏计算机信息系统数据一案[7]，陈博睿系某广告联盟平台的技术负责任人，基于工作便利，为谋取个人私利，超越工作权限，采用技术手段擅自调用业务系统接口，违规使大量网站通过媒体资质审核。

（二）广告联盟存在数据安全的刑事风险

一个成功的广告联盟，核心竞争力并非是技术，而是数据。一般而言，DSP、SSP成员均可以通过一定的技术手段收集用户的网络行为数据，然后ADX平台负责对数据进行匹配并作为DSP、SSP双方进行广告投放的核心依据。其天然要求成员与网络用户之间、成员与平台之间、平台与平台之间发生数据的采集、交易、整合等行为。一般而言，用户网络行为数据在刑法中可能被评价为计算机信息系统数据或者公民个人信息。以2017年“两高”颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯公民个人信息司法解释》）第1条为依据审视用户网络行为数据，我们不难发现公民个人信息属于用户网络行为数据的一个子集。有学者认为，“《刑法》第253条之一的侵犯公民个人信息罪和第285条第2款的非法获取计算机信息系统数据罪是法条竞合的关系，公民个人信息也是数据的一种，只不过我国《刑法》第253条之一对个人信息数据予以特别保护。因此，侵犯公民个人信息罪是特别法，非法获取计算机信息系统数据罪是普通法”[8];也有学者认为，“公民个人电子信息往往表现为计算机信息系统数据，故非法获取公民个人电子信息的行为有时会同时触犯非法获取公民个人信息罪与非法获取计算机信息系统数据罪两个犯罪构成要件，但由于只有一个犯罪行为，属于刑法中的想象竞合犯，按照处理一个犯罪形态的规则，应当从一重罪处断”。[9]在相关的案例中，北京瑞智华胜公司涉嫌非法获取计算机信息系统数据一案[10]具有一定的代表性。公安机关以侵犯公民个人信息罪立案侦查并移送审查逮捕、起诉，检察机关以非法获取计算机信息系统数据提起公诉，法院最终认可了检察机关指控并下判。说明在此类案件中，尽管公检法三方可能对公民个人信息的认定标准不一，但并不必然导致刑事责任的免除。因数据性质产生的多种犯罪竞合的刑事风险要求广告联盟的具体成员及平台方必须从多种角度对数据流转行为开展合规。

（三）广告联盟存在帮助信息网络犯罪活动的刑事风险

互联网广告作为一种通行的商业模式，不仅仅是合法网站的盈利来源，也是网络犯罪的经济命脉。在实践中，大量的三无、违法类网站必须借助接入广告联盟才能实现获利。基于对打击网络犯罪现实的考虑，立法者认定“提供广告推广”属于一种典型的帮助行为，并在刑法第287条之二的罪状中予以明确。不言而喻，对“提供广告推广”的解释将直接影响本罪的处罚边界。在广告联盟的语境下，他人利用信息网络犯罪实施犯罪可能包含两种不同的情况。

第一种情况，利用信息网络实施犯罪的主体属于DSP成员，需要向外投放广告，招揽客户。在此种情况下，对“提供广告推广”涉及的主体认定当然包括ADX、SSP及其成员，这符合广告联盟运行的逻辑。在此种情况下三方若存在主观上的“明知”，理应构成帮助信息网络犯罪活动罪。此类案件中，比较有代表性的是厦门华夏时代品牌策划有限公司涉嫌帮助信息网络犯罪活动罪相关案件。[11]被告单位厦门华夏时代品牌策划有限公司系搜狗广告联盟的代理商，在明知客户无法提供搜狗公司所要求的相关资质材料，且所推广的网站系为了违法犯罪的情况下，仍为其代理广告推广业务。

第二种情况，利用信息网络实施犯罪的主体属于SSP成员，需要承接广告，赚取利润。如果说第一种情况是对“提供广告推广”的应当解释，那“两高”在2019年出台的《关于办理非法利用信息网络、帮助信息网络犯罪活动罪等刑事案件适用法律若干问题的解释》（以下简称《信息网络犯罪司法解释》）的第12条第1款第3项，将“以投放广告等方式提供资金五万元以上”作为“情节严重”标准，显然是进一步明确了“提供广告推广”的内涵。在行为人主观“明知”的情况下，通过投放广告的方式提供资金，在实质上是对网络犯罪主体的一种帮助支持，将其列为本罪的构成要件要素予以评价并未突破刑法原则，具备合理性。

结合上述两种情况，笔者认为，在刑法语境下，ADX、SSP和DSP及其成员都需在“明知”的情况下承担相应的刑事责任。“主观明知”是广告联盟是否构成帮助信息网络犯罪活动罪的重要影响因素。各方在广告活动中实施的具体行为不同，其主观判断的标准也不尽相同。现有案例中，司法机关往往会从平台方是否履行了对成员的审核、监督、管理等义务，DSP成员投放的广告内容，SSP成员业务性质等角度判断帮助信息网络犯罪活动罪的主观构成要件。但对于ADX而言，“既是DSP和SSP的交易中枢，也提供广告活动的数据交换、报价结算等服务”[12]，对其刑事责任的判断、认定更加复杂，需要司法机关具备一定的专业知识才能得出合理判断。

同时，在搜索相关案例中，笔者发现一组有趣的数据对比：在以“广告联盟”为关键字的88个案例中，有23件为侵犯著作权案件，35件为传播淫秽物品类案件，有1件为非法吸收公众存款罪。上述合计59件刑事案件中，均存在下游违法犯罪网站通过广告联盟平台投放广告或展示广告的事实;笔者又以“帮助信息网络犯罪活动罪”为附加关键字对上述案件进行进一步检索，发现仅有4件刑事案件在相关的判决中对该事实进行了论证、认定，这至少说明帮助信息网络犯罪活动罪在实践中依然存在适用空间。

（四）广告联盟存在流量欺诈的刑事风险

在广告联盟的语境下，流量一般可以理解为用户点击广告的次数，而无论是广告需求方的成本，亦或是广告供给方的利润，都需要以流量为核心的指标进行测算。流量欺诈，是指行为方利用自动化手段点击广告位置，产生缺乏真实用户行为的流量数据，恶意消耗广告主费用，提升广告需求方成本，获取不正当广告费用的行为。流量欺诈的手段较为多样，比较常见的是通过编写计算机信息系统程序或控制大量设备自动点击广告。在司法实践中，此种行为往往认定为诈骗类犯罪，区别在于罪名适用合同诈骗还是诈骗。如在马镇权等5人诈骗一案[13]中，法院判决认为，马镇权等5人为虚增广告点击量，获取广告推广费用，编写计算机程序自动点击被害单位腾讯广告联盟挂靠在开发者APP上的广告，其行为构成诈骗罪;但在重庆左岸科技有限公司涉嫌合同诈骗罪一案[14]中，对于类似的犯罪实施，认定为合同诈骗罪。

四、广告联盟的刑法规制

广告联盟平台的运营模式决定了其法律关系结构复杂，围绕广告联盟产生的刑事问题也具有多样性。笔者拟从两个层面，提出广告联盟平台的刑法规制路径：第一个层面，刑法应该以保护公民个人信息为出发点对广告联盟平台及其成员的数据采集、交易、流转等行为展开规制;第二个层面，刑法需要将广告联盟平台视为一个整体进而考虑其在网络空间内发挥的作用，并结合现有罪名进行规制。

（一）侵犯公民个人信息罪的合理适用

我国目前尚未出台公民个人信息保护法，关于公民个人信息的法律规定主要集中在《关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》《电子商务法》、民法典等文件中。同时，在刑事案件办理中《侵犯公民个人信息司法解释》也具有强力的指导意义。公民个人信息作为一种与个体相关的“准权利”，其概念是稳定而准确的，刑法对于公民个人信息的保护也应该遵循谦仰性原则。但就司法实践来看，近年来，打击侵犯公民个人信息罪的司法实践呈现出了扩张和不确定性。笔者认为，在广告联盟语境下准确适用侵犯公民个人信息罪，必须从公民个人信息定义、非法获取、提供公民个人信息的认定两个角度开展。

我国相关法律法规在关于公民个人信息的定义上主要采用了两种不同的模式，分别是以《网络安全法》、民法典为代表的识别型定义和以《侵犯公民个人信息司法解释》的准关联型定义模式。识别型定义的核心要素是可以直接或者间接地将已识别或者可识别的特定自然人的信息认定为个人信息。而关联型定义则认为，与公民相关联的信息均属于公民个人信息。“两高”在制定相关司法解释时，认为：“《网络安全法》是广义上适用‘身份识别信息这一概念，亦即包括个人活动情况信息在内。”因此，《解释》第1条在上述规定（即《网络安全法》对于公民个人信息的定义）的基础上明确“‘公民个人信息包括身份识别信息和活动情况信息”。在《网络安全法》、民法典的基础之上，将“反应特定自然人活动情况”的信息同样纳入了个人信息定义，进一步扩大了个人信息的内涵，已经近似于关联型定义。从覆盖公民个人信息范围的角度而言，司法解释采用的准关联型定义所覆盖的公民个人信息范围是最全面的，可以实现对于公民个人信息最大程度的保护。而此后，即将于2020年10月1日正式实行的《个人信息安全规范》（GB/T35273-2020）也采用了与《侵犯公民个人信息司法解释》相同的概念，并在附录中对公民个人信息进行了列举。

在明确保护客体的基础之上，对广告联盟平台侵犯公民个人信息的认定实际上是犯罪构成中“违反国家有关规定”与客观行为之间的印证的过程。根据刑法第253条及相关司法解释的规定，违反国家有关规定，向他人出售或者提供公民个人信息，窃取或者以其他房费非法获取公民个人信息均系侵犯公民个人信息罪的客观行为方式。而在广告联盟的语境下，司法机关对于广告联盟平台及其成員获取数据行为的非法性认定，应当重点参考《网络安全法》《消费者权益保护法》《电信和互联网用户个人信息保护规定》等法律、行政法规、部门规章。如SSP成员在未经用户同意的情况下，收集用户网络行为数据，当相关数据被认定为公民个人信息时，应认定其行为构成侵犯公民个人信息，因为《网络安全法》第41条明确规定了“明示收集”的原则。同时，因为《网络安全法》同时规定“网络运营者不得收集与其提供的服务无关的个人信息”，因此，“收集与提供服务无关的公民个人信息的，应当认定为非法获取公民个人信息”。[15]广告联盟平台之间互相出售、提供、购买数据行为的非法性认定也是同理。

（二）拒不履行网络安全管理义务罪与帮助信息网络犯罪活动罪的合理适用

广告联盟平台属于典型的网络服务提供者，其承担信息网络安全管理义务。各平台方对内具有强而有力的规制定权，对外有充分的商业选择权，完全具备治理网络空间的能力。但在现实中，广告联盟平台已经成为了网络黑灰产业链实现“商业变现”的最主要工具，同时围绕广告联盟的刷量、个人信息买卖等网络犯罪产业链也已成型。通过刑法规制，倒逼广告联盟平台履行网络安全管理义务，净化网络空间，本就是网络犯罪治理的题中之义。而拒不履行网络安全管理义务罪与帮助信息网络犯罪活动罪正是破解这一难题的“金钥匙”。“两高”颁布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《信息网络犯罪司法解释》）对两个罪名的犯罪构成进行了详细规定，贴合实践的需求。司法机关在具体认定犯罪时，对以下因素应做重点考虑。

第一，网络安全管理义务的来源。有学者对网络安全管理义务进行梳理后，总结如下：“目前该义务来源应限于 《网络安全法》、《反恐怖主义法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《国务院互联网信息服务管理办法》的规定，而不能是其他部门规章和地方性法规。”主要涉及“技术支持与协助、数据留存、保护个人信息、管理发现的违法信息、主动审查含有恐怖主义、极端主义内容信息、真实身份验证、对不提供实名认证者拒绝服务”7大类。[16]

第二，要对拒不履行网络安全管理义务的原因进行实质考察。拒不履行网络安全管理义务罪名系不作为犯罪，在传统的不作为犯罪理论中，具备相应的义务能力是犯罪构成的重要构成，当网络安全管理者面对行政监管部门提出的改正措施要求时，必须要具备相应的义务能力，这种义务能力可能体现为技术实力、资金成本、软硬件设备设施等。当网络服务提供者不具备义务能力时，自然不应对其进行刑法上的责难。笔者认为，不具备义务能力同时说明了网络服务提供者不具备合法进行开展相关业务的能力，理应考虑阻止其继续开展相关业务。

第三，对行为人主观明知的考察。《信息网络犯罪司法解释》的一大特点是设立帮助信息网络犯罪活动罪的主观明知推定规则。如《信息网络犯罪司法解释》第11条总结了主观明知的推定情形。笔者认为，在推定广告联盟平台的主观明知时，需结合广告联盟的商业模式进行认定，不能机械适用。如第2项规定，网络服务提供者接到举报后不履行法定管理职责的，可以推定具有主观明知。而在广告联盟场景中，假设一名DSP成员通过广告联盟平台向一名SSP成员的网站投放了一条含有违法犯罪信息的广告，随后用户向网站管理者进行举报，其举报行为实际上指向了多个管理主体和不同的法定管理义务。对上述例子进行进一步的假设，如刊登该广告的SSP成员和ADX平台均对广告没有履行数据留存义务，其行为是否均构成犯罪？如持肯定的观点，实际上是将主观明知的推定标准与不履行网络安全管理义务之间划上了等号，将推定规则机械地适用于不同的主体，没有考虑各主体在广告联盟中发挥的不同作用和区别。这种观点从本质上来看，是将主观明知中的“明知或可能知道”降格为仅“认识到一种可能性即可”，极易造成帮助信息网络犯罪活动罪不适当的扩张。

*最高人民检察院第四检察厅检察官助理[100726]

**北京市海淀区人民检察院第二检察部检察官助理[100089]

[1] China Programmatic Digital Display Ad Spending：https：//www.emarketer.com/content/china-programmatic-digital-display-ad-spending，最后訪问日期：2021年7月9日。

[2] 参见刘鹏、王超：《计算广告》，人民邮电出版社2019年版，第4页。

[3] 朱巍：《互联网广告联盟的法律性质研究》，《辽宁大学学报》2017年第45卷第2期。

[4] 4R法则：在正确的时间将正确的信息，通过正确的渠道传递给正确的用户。

[5] 《互联网广告管理暂行办法暂行办法》第15条：媒介方平台经营者、广告信息交换平台经营者以及媒介方平台成员，对其明知或应知的违法广告，应当采取删除、屏蔽、断开链接等技术措施和管理措施，予以制止。

[6] 参见湖南省怀化市中方县人民法院刑事判决书，（2018）湘1221刑初第93号。

[7] 参见北京市海淀区人民法院刑事判决书，（2018）京0108刑初第2584号。

[8] 刘艳红：《网络爬虫行为的刑事法律规制》，《政治与法律》2019年第11期。

[9] 喻海松：《网络犯罪二十讲》，法律出版社2018年版，第234页。

[10] 参见浙江省绍兴市越城区人民法院刑事判决书，（2019）浙0602刑初第636号。

[11] 参见福建省厦门市思明区人民法院刑事判决书，（2018）闽0203刑初第299号;山东省菏泽市定陶区人民法院刑事判决书，（2018）鲁1727刑初第75号。

[12] 同前注[3]。

[13] 参见广东省广州市南沙区人民法院刑事审判书，（2019）粤0115刑初第456号。

[14] 参见北京市第一中级人民法院刑事判决书，（2018）京01刑初第79号。

[15] 周加海、邹涛、喻海松：《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉理解与适用》，《人民司法》2017第19期。

[16] 皮勇：《论网络服务提供者的管理义务及刑事责任》，《法商研究》2017第34期。