数字时代网络撞库行为的刑法规制

蔡荣 刘嘉毅

根据《中国互联网络发展状况统计报告》显示，截至2021年6月，我国网民规模达10.11亿，互联网普及率达71.6%，是全球规模最大、应用渗透最强的数字社会。习近平总书记指出，“我国数字经济在快速发展中也出现了一些不健康、不规范的苗头和趋势，这些问题不仅影响数字经济健康发展，而且违反法律法规、对国家经济金融安全构成威胁，必须坚决纠正和治理。”[1]这一论述明确凸显数字安全作为数字经济发展的重要价值，数字安全和个人信息保护等问题已成为数字法治的重要课题。网络撞库行为，是一种在互联网中常见的针对数据库的黑客攻击方式，黑客通过攻破安全性较差的网站获取用户的个人信息，又通过数据分析后尝试批量登录用户同账号密码的其他网站。[2]网络撞库行为严重危害我国数字安全，其不仅侵害了数据的保密性和个人信息的安全性，还可能引发危及公民人身财产安全的下游犯罪，存在较强的社会危害性，确有通过刑法加以规制的必要性和紧迫性。

一、问题的提出

网络撞库行为具体表现为：行为人收集互联网已泄露的用户和账户密码信息，由于很多用户在不同网站使用的是相同的账号密码，因此黑客可以通过已获取的用户账号信息从而尝试登录其他网络平台，尝试批量登录其他网站后，得到一系列可以登录的账户。而其中实现批量登录账号的技术手段就是撞库。[3]换言之，网络撞库行为是利用非法获取的网站账户信息批量匹配其他网站进而牟利的行为。网络撞库行为是黑客无聊的“恶作剧”，也是一种领先时代的攻击技术，而这种攻击无疑会加剧信息泄漏的风险，从而严重危及网络安全及个人权益。

利用网络撞库行为实施犯罪行为在司法认定上会存在不同的结论。有司法裁判认为，网络撞库行为是通过非法技术手段获取网站数据信息，应当认定为非法获取计算机信息系统数据罪（案例1：陈刚、宋阳等人非法获取计算机信息系统数据罪一案——江苏省宿迁市中级人民法院（2020）苏13刑终第23号刑事裁定书）;另一种观点认为，网络撞库行为是为了获取他人的账号密码信息，是对他人个人信息权的侵犯，应当构成侵犯公民个人信息罪（案例2：金龙海等侵犯公民个人信息罪一案——江苏省睢宁县人民法院（2019）苏0324刑初第61号刑事判决书）。争议焦点在于，网络撞库行为是构成非法获取计算机信息系统数据罪还是构成侵犯公民个人信息罪，其中最为关键的是，网络撞库行为所危害的对象——“账号密码”，究竟是非法获取计算机信息系统数据罪所保护的“数据”还是侵犯公民个人信息罪所保护的“个人信息”？

案例1中，法院认为账号密码具有识别特定个人的特别属性，因此这里的“账号密码”应当属于公民的个人信息。网络撞库行为侵害了公民的个人信息安全，则应予认定为侵犯公民个人信息罪。但也有观点认为网络撞库行为除了侵犯公民的个人信息之外还危及了网络公共安全，单纯地侵犯公民个人信息罪不能同时包容评价个人法益与社会法益。[4]案例2中法院就是基于这一思路，认为行为人实施的网络撞库行为侵入了目标网站，获取了计算机信息系统中的数据。但反对的观点认为，行为人所实施的网络撞库行为仅仅是对已有数据进行的筛选而并未侵入目标网站，不能以非法获取计算机信息系统数据罪进行定罪。

二、网络撞库行为入刑的必要性分析

要了解网络撞库行为的行为构成，就需要提到拖库行为和洗库行为。拖库行为是网络撞库行为的上游环节，指的是网络黑客入侵有价值的网络站点后，把注册用户的资料数据库全部盗走的行为，也就是实施网络撞库行为的前提——获取原始数据。[5]洗库行为是网络撞库行为的下游环节，是指在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现的行为，主要分为将相关信息打包出售供他人进一步实施其他犯罪和自行利用信息实施下游犯罪两种，例如盗取他人账户内的虚拟财产、利用他人的贷款额度签订贷款合同、直接刷取他人账户内的财物等等。由此，拖库、撞库、洗库三个环节环环相扣构成了黑色产业链。[6]而网络撞库行为本身具有在刑法上予以独立评价的必要，具体理由如下：

一方面，网络撞库行为本身严重危及数据信息安全。行为人通过购买或自行拖库获取大量的账号信息进行网络撞库，一旦成功，即使其仅只针对某一单个用户的账号进行后续洗库，但大量的账号信息被破解，这就使得网络数据安全面临巨大的风险。另一方面，网络撞库行为属于网络黑色产业链中的重要一环。除了网络撞库行为本身会对个人信息、财产和社会网络安全进行侵害，其上游获取网站后台信息的行为侵犯了计算机信息系统数据安全，其下游犯罪又侵犯了个人及平台的信息和财产，网络撞库行为作为黑色产业链中的中间环节也应当受到刑法规制。[7]

三、网络撞库行为的罪名确定

（一）网络撞库行为的犯罪对象

对网络撞库行为在刑法上予以准确定性，就应当明确区分其使用的数据本身与最终获取的个人信息之间的关系。网络撞库行为是对计算机信息系统内的数据进行匹配，从而获得登录该网站的账号密码。从字义上看，数据是指在计算机系统中实际处理的一切文字、符号、声音、图像等内容有意义的组合。[8]但并非所有的计算机数据都值得刑法保护。2011年最高人民法院、最高人民检察院（以下简称“两高”）发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》将非法获取计算机信息系统的数据类型限定为身份认证信息。同时对身份认证信息进行了准确定义，身份认证信息是指用于確认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。在司法实践中，身份认证信息既可以是真实的认证信息，亦可以是虚拟的、匿名的但具有身份识别属性的信息。由此可见，司法解释将非法获取计算信息系统数据的类型限定为身份认证信息。

而直接以身份信息为犯罪对象的还有侵犯公民个人信息罪。“两高”于2017年通过的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下称《个人信息解释》）中规定：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”因此，在身份认证信息属于前文提到的真实个人认证时，数据与个人信息就会产生相互重叠的部分，从而影响罪名的认定，导致二罪在一定程度上存在相互错认的情况。[9]03AFCF36-A74E-4F12-9B75-5B72688060FC

通过司法解释的立场可以看出，公民个人信息也是数据的一种，而网络撞库行为是通过技术手段获取他人的账号密码信息，这里的账号密码固然属于一种认证操作权限的数据，但网络撞库行为所利用的并非是账号里的数据属性，而是利用账号所具有的特定身份归属特征，所需求的更多的是具有身份属性的详细信息。因此，网络撞库行为获取的对象是身份认证信息，更是公民个人信息。

（二）网络撞库行为的法益内容

第一，侵犯个人信息权。通过网络撞库手段所获取的账号密码具有强烈的人身识别属性。例如，在案例2中，行为人利用自编程序盗取的用户信息中除了账户基本的用户账号密码、姓名、性别、邮箱、电话号码等身份认证信息之外，还储存有个人的身份证号码和积分等个人信息。个人信息是个人隐私的数据化体现。网络撞库行为造成的最直接的法益侵害后果就是对个人隐私权的侵犯。个人信息，尤其是个人财产信息的泄露，对于用户的个人征信情况会产生不可逆转的恶劣损害，甚至打乱用户原本的经济计划，导致用户后续信用生活偏离正常秩序进行。[10]

第二，损害网络安全秩序。根据《中华人民共和国网络安全法》第1条的规定，网络安全是指“网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益”。网络撞库行为对于网络安全的侵害更是不容小觑：其一，网络撞库行为入侵网站后台，恶意盗取大量用户账号信息，破坏网络平台信息安全管理秩序，使得网络信息安全管理面临巨大的风险;其二，行为人利用打码软件与所获账号密码信息，批量尝试登录其他网站的行为，也对该网站正常的运行秩序造成了侵扰，其利用软件绕过验证码的“打码”行为更是对该网站的系统安全产生了威胁。

（三）网络撞库行为的罪名界定

一是网络撞库行为不构成非法获取计算机信息系统数据罪。该罪针对的是“数据”，但相对的不能将所有以网络为载体储存、传播的信息都解释为“数据”，而是需要对这些信息是否存在对个人、社会的法律意义进行判断。[11]有观点认为：“非法获取计算机信息系统数据罪应局限于以数据为对象，以数据安全为保护法益的犯罪，而不包括以数据为媒介、工具侵犯传统法益的犯罪。”[12]数据的盗取和匹配并非是网络撞库行为的目的，而是为了获取能够认证身份信息的账号密码，对数据的获取和使用只是非法获取公民个人信息的手段行为。同时，网络撞库行为中涉及的账号密码不单纯是涉密的数据，而是能够对于特定的公民个人进行身份识别，会对公民个人信息权和隐私权造成侵害。非法获取计算机信息系统数据罪只是数据安全犯罪的一般性条文，仅是数据安全或是网络安全管理秩序并不能够将网络撞库行为对个人权益的侵害内容予以充分评价。

二是，网络撞库行为应当单独评价为侵犯公民个人信息罪。第一，在数字社会背景下，对数据的盗取也不仅仅只代表着网络安全秩序本身，数据犯罪的侵害最终落位于个人权益的损失。网络撞库行为的对象是能够进行身份识别的账号密码，因账号密码的身份关联性，所导致的犯罪结果也指向特定公民的个人财产权和人身权利地位侵害。[13]网络撞库行为实质是以网络数据为媒介，造成对公民个人信息权的法益侵害，应当评价为侵犯公民个人信息罪。第二，如上文所述，公民个人信息属于数据的一种，二者属于特殊与一般的关系，当使用特殊法条能够对犯罪事实进行充分评价的情况下，就应优先适用特殊法条的规定。因此，将网络撞库行为的犯罪对象限定为具有身份识别性质的账号密码，其侵犯的法益内容能够为个人信息权所完全涵盖的情况下，将网络撞库行为认定为侵犯公民个人信息罪更为合理。

四、网络撞库行为和后续的获利行为的罪数问题

网络撞库行为的司法认定不仅是对网络撞库行为本身的刑法性质进行评价，还要涉及整个依据网络撞库技术手段支撑的网络黑色产业链的罪数认定问题。网络撞库行为从操作上可被划分如下为三个部分：第一，行为人入侵网站的后台批量获取用户信息的行为;第二，行为人将这些用户数据链向其他网站撞库以筛选匹配账户的行为;第三，后续牟利的行为。如果仅是网络撞库行为本身则毫无疑问的以侵犯公民个人信息罪论处，而当网络撞库作为技术手段与相关下游犯罪共同出现的情况，在司法实践中认定更为复杂，存在数罪并罚、牵连犯和吸收犯等不同处理的情况。

（一）现有观点的评价

1.数罪并罚说

数罪并罚原则一般采取学界通说的犯罪构成标准说来判断区分“数罪”。根据上文分析，网络撞库行为可以评价为侵犯公民个人信息罪，由此引发的下游洗库类犯罪可以根据具体行为评价为盗窃罪、诈骗罪、敲诈勒索罪等。同一行为人实施了数个行为，造成了数个不同的犯罪结果，应当数罪并罚。在案例1中，陈刚在通过网络撞库手段获取大量用户账号密码信息后，先后进行了套取贷款和販卖信息的犯罪行为，因此法院认为在本案中陈刚构成非法获取计算机信息系统数据罪和合同诈骗罪，实行数罪并罚。

2.牵连犯说

网络撞库行为可以评价为侵犯公民个人信息罪，由此引发的下游洗库类犯罪可以根据具体行为评价为盗窃罪、诈骗罪、敲诈勒索罪等，符合复数行为的独立性与异质性。构成牵连犯，必须要存在两个或两个以上相互独立且能构成不同种类犯罪的行为，且这些行为之间存在一定的牵连性。[14]关于行为之间牵连关系的判断，通说观点认为，主观上行为人必须具有牵连意图，客观上方法行为与目的行为、原因行为与结果行为之间必须具有因果关系，牵连关系是主客观的统一。[15]因此，具体到网络撞库行为中，行为人虽然是以获取他人个人信息为目的进行网络撞库行为，以获取利益为目的进行下游犯罪，但这一系列行为都是以获取非法利益为目的进行的，网络撞库行为是实施下游犯罪的手段行为。主观上，行为人在下游犯罪的犯意支配下实行了网络撞库行为;客观上，网络撞库行为与下游犯罪之间具有手段与目的的关系，因此网络撞库行为与下游犯罪之间具有牵连关系，应当按照牵连犯认定犯罪。

3.吸收犯说03AFCF36-A74E-4F12-9B75-5B72688060FC

吸收犯，指一个犯罪行为因为是另一个犯罪行为的必经阶段、组成部分或当然结果，而被另一个犯罪行为吸收的情况。构成吸收犯，通常认为需要两个条件：一是行为人实施数个行为，数个行为可以独立成罪;二是数个行为之间具有吸收关系。[16]在案例1中，陈某利用他人账号进行贷款，须以知晓他人的账号密码为前提，而其正是因为网络撞库行为才得知的账号密码，两行为之间存在获取他人账号密码这一共同的要素，存在一定的交集，故网络撞库行为与下游犯罪存在交错关系。

（二）罪數的判断

综合以上三种评价，以行为人的主观目的为评价依据更为合理，即是否“另起犯意”为依据进行数罪并罚或从一重处理。由此可以推断出以下两种情况：以同一犯罪目的而进行的网络撞库行为与下游犯罪应当以牵连犯认定，即前后罪从一重进行处罚;以不同犯罪目的，即在完成网络撞库行为后“另起犯意”继续进行后续下游犯罪的行为，应当数罪并罚。

1.以同一犯罪目的实施网络撞库行为

从主观方面来看，牵连犯虽然是基于一个犯罪目的实施数个犯罪行为，但在这个犯罪目的的制约下形成了与牵连犯罪的目的行为、方法行为、结果行为相对应的数个犯罪故意;吸收犯基于一个犯意，为了实现一个具体的犯罪目的而实施了数个犯罪行为。网络撞库行为的犯意在于获取他人信息，下游犯罪的行为犯意在于谋取利益，而两个犯意共同叠加成同一的犯罪目的，即利用他人信息进行牟利。从客观方面来看，网络撞库行为与后续下游犯罪之间的关系并不具有强烈的紧密关系，行为人实施网络撞库行为侵犯公民个人信息后并不必然继续实施下游犯罪。因此，以同一犯罪目的而进行的网络撞库行为与下游犯罪不成立吸收犯。网络撞库行为与下游犯罪具有明显的手段和目的的关系。行为人应当知晓其网络撞库行为只是作为下游犯罪的前置行为，单独获取用户信息的行为并不符合其获取利益的犯罪目的。因此，以同一犯罪目的而进行的网络撞库行为与下游犯罪应当按照牵连犯原则从一重罪处理。

2.以不同犯罪目的实施网络撞库行为

行为人在以获取他人信息为目的完成网络撞库行为后，又另起犯意利用用户信息实施了后续下游犯罪，则不能再应用吸收犯或牵连犯原则进行处理。这种情况在客观上并不符合吸收犯或牵连犯成立的构成要件，即不是在同一个犯罪目的下进行的数个行为。不论是吸收犯的以一个犯罪目的贯穿始终，还是牵连犯的包含着不同犯意的同一犯罪目的，都与这种情况不相符。因此，在此种情形下，应当依照刑法中有关罪名实行数罪并罚。

综上所述，对于网络撞库行为及其后续犯罪的罪数问题，应当以行为人的主观意图进行区分，以同一犯罪目的而进行的网络撞库行为与下游犯罪应当按照牵连犯原则从一重罪处理;以不同犯罪目的，即在完成网络撞库行为后另起犯意继续进行后续下游犯罪的行为应当依照刑法中有关罪名实行数罪并罚。在案例1中，二人对于完成网络撞库行为后的出售行为属于以同一犯罪目的而进行的网络撞库行为与下游犯罪的情形，应当将网络撞库行为与出售行为按照牵连犯原则进行从一重罪处理;而二人后续又利用账号进行的贷款行为则属于“另起犯意”，即以不同犯罪目的在完成网络撞库行为后继续进行后续下游犯罪的行为，应当数罪并罚。

网络撞库行为作为网络黑色产业链的重要一环，其刑法规制对于网络黑灰色产业的打击具有重要意义。在网络时代，法律的前瞻性和过渡性应当并重，社会与法律共同规制网络撞库行为，更好地平衡现有的法律框架和在不断发展的时代背景下先后出现的新型犯罪间的关系，才能营造健康的网络发展环境，保障网络信息尤其是公民个人信息的安全。

基金项目：江西省社科基金项目“江西省扫黑除恶专项斗争的法治效果、问题与对策研究”（项目编号：20FX03）的阶段性研究成果;南昌大学本科生科研训练项目“网络黑恶势力犯罪刑法规制问题研究”阶段性研究成果。

参考文献：

[1]习近平.不断做强做优做大我国数字经济[J].求是，2022（02）：1-3.

[2]左进玮.“撞库”视角下的个人信息保护研究[J].法制与社会，2017（24）：61-62.

[3]崔鹏.网络信息安全警报拉响 消费者要多加防范 利用撞库攻击大麦网 信息泄露致用户被骗[J].信息安全与通信保密，2016（08）：58-59.

[4]皮勇.全国首例撞库打码案的法律适用分析[J].中国检察官，2019（06）：7-9.

[5]黄嵩.拖库撞库对数据安全的威胁及应对[J].信息与电脑（理论版），2015（22）：131-132+154.

[6]商希雪.侵害公民个人信息民事归责路径的类型化分析——以信息安全与信息权利的“二分法”规范体系为视角[J].法学论坛，2021，36（04）：100-111.

[7]皮勇.全国首例撞库打码案的法律适用分析[J].中国检察官，2019（06）：7-9.

[8]陈兴良.规范刑法学[M].北京：中国人民大学出版社.2008.

[9]杨志琼.非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径[J].法学评论，2018，36（06）：163-174.

[10]刘仁文.论非法使用公民个人信息行为的入罪[J].法学论坛，2019，34（06）：118-126.

[11]马微.理念转向与规范调整：网络有组织犯罪之数据犯罪的刑法规制路径[J].学术探索，2016（11）：81-90.

[12]杨志琼.非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径[J].法学评论，2018，36（06）：163-174.

[13]郑旭江.侵犯公民个人信息罪的述与评——以《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》为视角[J].法律适用，2018（07）：30-35.

[14]刘宪权.我国刑法理论上的牵连犯问题研究[J].政法论坛，2001（01）：50-58.

[15]张小虎.论牵连犯的典型界标[J].中国刑事法杂志，2013（05）：27-32.

[16]林亚刚.论吸收犯的若干问题[J].政治与法律，2004（02）：76-83.

作者单位：南昌大学法学院

责任编辑：刘小侨03AFCF36-A74E-4F12-9B75-5B72688060FC