上海恒杰律师事务所 王龙国

[内容摘要]“网络钓鱼”是上世纪90年代中期以来兴起的一种网络诈欺行为。自从1996年前后在美国首先发生之后，迅速扩散到其他发达的欧洲资本主义国家。近几年，中国也屡次发生“网络钓鱼”攻击的案件，而且形势是愈演愈烈。对于此种行为，国际社会积极应对，美国联邦政府及各州政府已从刑事立法上对“网络钓鱼”进行规制，而我国刑法在打击此种行为时却显得力量有些单薄，需要进行完善。

[关键词]网络钓鱼    刑法规制    完善

[Abstract] "Phishing "is a network of fraud raising in the last century since the mid-90's the rise of.  After the first time Since around 1996 in the United States ,it has quickly spreaded to other developed capitalist countries in Europe. In recently, the "Phishing" has also repeatedly taken place in China, and its cicumstance is ingcreasingly aggravating . For such situation, the international community take an actively respond to these cases.The U.S. federal government and state governments have regulated "Phishing "by criminal  legislation .However,the China's criminal law in fighting against such acts Sometimes appears some weak, so it needs necessarily to be strengthened.

[Key Words] Phishing    regulated by criminal law      improving

[Subject]  Improve the system of criminal laws about the regulations of Phishing

一、“网络钓鱼”及其实质

“网络钓鱼”是上世纪90年代中期以来兴起的一种网络诈欺行为。自从1996年前后在美国首先发生之后，迅速扩散到其他发达的欧洲资本主义国家。近几年，中国也屡次发生“网络钓鱼”攻击的案件，而且形势是愈演愈烈。

“网络钓鱼”一词自从产生之后，并没有一个准确的含义，也并不是一个真正法学意义上的术语。但一般认为，“网络钓鱼”是指那些利用欺骗性的电子邮件和伪造的web 站点来进行诈骗活动，诱骗访问者提供一些个人信息，如信用卡号、账号、社保编号等，并利用其获取不正当利益的行为。反钓鱼工作组（APWG）将“网络钓鱼”定义为一种利用社会工程学和技术手段盗窃消费者个人身份资料和金融账号凭证的身份信息在线窃取活动。美国司法部认为，“网络钓鱼”是指制造或使用与知名合法企业、金融机构或政府机关的电子邮件和网站相似的电子邮件和网站，诱骗网络用户透露他们的银行和金融账户信息或其他个人信息如用户名和密码。日本的警察厅将“网络钓鱼”以及网络钓鱼诈骗定义为：“网络钓鱼，是指伪装成银行等企业的邮件，引导收件人访问虚假的网页，使其在该网页上输入个人的金融信息（信用卡号、ID、密码等），非法获取其个人的金融信息的行为。以该信息为基础骗取金钱的手段被称为网络钓鱼诈骗。”

从以上关于“网络钓鱼”的界定中，我们可以看出，关于“网络钓鱼”的具体内涵并没有一个统一的定义，日本警察厅只将那些“获取其个人的金融信息”的行为看作是“网络钓鱼”，而在美国，不管是司法部还是APWG都既将窃取个人金融信息又将窃取其他个人身份信息的行为看作是“网络钓鱼”。从世界上发生“网络钓鱼”案件比较多的一些国家的实际情况来看，APWG的定义是较具代表性的。“从法律角度看，网络钓鱼的实质是身份窃取（Identity Theft）。”笔者以为，只要是那些利用计算机网络诱骗他人在不知道的情况下透露其个人真实的身份信息的行为都是“网络钓鱼”的行为。

二、“网络钓鱼”的表现形式

 “网络钓鱼”者为了能够有效地通过诈欺行为获得他人的真实身份信息，采取了各种各样的手段。“网络钓鱼”并不像其他的病毒或黑客袭击会对用户计算机造成破坏，更多的是利用人心理上的弱点来欺骗用户的敏感数据。其主要欺骗方式如下：

1、发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金。

2、建立假冒网上银行、网上证券网站，或者发送假链接，骗取用户账号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，利用cookies窃取用户信息。

3、利用虚假的电子商务进行诈骗。此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹。如2003年，罪犯佘某建立“奇特器材网”网站，发布出售间谍器材、黑客工具等虚假信息，诱骗顾主将购货款汇入其用虚假身份在多个银行开立的账户，然后转移钱款的案件。

4、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。

5、利用用户弱口令等漏洞破解、猜测用户账号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。如2004年10月，三名犯罪分子从网上搜寻某银行储蓄卡号，然后登录该银行网上银行网站，尝试破解弱口令，并屡屡得手。

6、Pharming 攻击。Pharming 最早出现在2004年，它由入侵DNS（Doman Name Server）的方式，将使用者导引到伪造的网站上，因此又称为DNS下毒（DNS Poisoning）。Domain Name Server的功能是将网站的IP位址（例如：125.13.213.1），转换成网址（例如：www.google.com），一旦DNS被入侵，使用者便经DNS的IP转换，不知不觉地被“导引”到一个伪造的网站，并让黑客有机会窃取个人的机密资料。

三、当前刑法在规制“网络钓鱼”行为中的缺陷

中国是“网络钓鱼”侵害比较严重的国家，但是，中国并没有直接针对钓鱼行为的法律规范。当前刑法在打击“网络钓鱼”行为中的作用是十分有限的。

我国1997年刑法设置的与计算机或网络直接有关的犯罪分别是第285条、286条、287条。《刑法》第285条为，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，构成非法侵入计算机信息系统罪。根据该条规定，本罪的客观方面是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。显然，任何一种钓鱼行为最终要想取得他人的个人资料，最终都要通过其个人才能实现目的，而不会侵入国家事务、国防建设、尖端科学技术系统去达到目标，因此，也不能以此罪定罪。很多研究计算机犯罪的学者都提出，现行刑法将非法侵入计算机信息系统罪的犯罪对象限定为“国家事务、国防建设、尖端科学技术领域”的计算机信息系统，范围过于偏窄，应当扩大本罪的犯罪对象，将金融、医疗、交通、航运等重要领域的计算机信息系统也纳入本罪的保护范围。如果真将第285条的犯罪对象进行如此的扩大，则那些诈取了个人资料和密码等信息后，以此信息再进入银行系统取款、转账的钓鱼行为就有可能以此定罪了。此时，我们只需将其利用别人的登录口令进入银行系统的行为认定为“非法”就行了。而且，这种冒充的方式就是“侵入”的行为表现之一，通常“侵入”的方式有“冒充”、“技术攻击”、“后门”、“陷阱门”等。然而，也有学者认为，上述建议的出发点虽然是好的，但容易导致刑事立法的随意化，因为哪些领域的计算机信息系统应该由刑法保护，而哪些领域的计算机信息系统又不需要由刑法保护，这需要一定的衡量标准，而不是凭我们的主观判断就可随意将其犯罪化的。他们立论的依据是：从国外的立法来看，并非仅仅将非法侵入计算机系统的单一行为规定为犯罪，还必须要有其他的构成要件，要么强调行为必须产生一定的结果，要么强调行为必须具有一定的目的，要么强调行为必须采取一定的手段，否则，不予以治罪。我国刑法是在犯罪对象上对犯罪的范围加以限制，而国外一般是通过犯罪结果或犯罪目的加以限制的。这里的问题是，以犯罪对象来限制犯罪范围存在一个判断标准的问题，即以什么标准来对计算机系统的重要性做出判断。由以上分析可以看出，非法侵入计算机信息系统罪是不能规制当前的“网络钓鱼”行为的，即使对其犯罪对象进行扩大，也不能适应打击“网络钓鱼”行为的需要。

《刑法》第286条为，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的；违反国家规定，对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作，后果严重的；故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，构成破坏计算机信息系统罪。“网络钓鱼”行为中的一种表现形式，即利用木马和黑客技术等手段窃取用户信息的行为，往往都是通过木马等破坏性程序来影响计算机系统的正常运行，从而获取个人资料的。“网络钓鱼”中的此类行为在一定程度上综合了该罪的客观方面，似乎可以此罪来定罪处罚。然而，该罪的三款都要求“后果严重”，才能入罪，如果钓鱼者窃取了许多人的个人资料或尽管没窃取很多人的资料，但却造成了受害人隐私的外泄或者受害人因为个人资料被窃取而自杀、报复社会等其他结果，我们尚可以说“后果严重”，并以此来定罪。否则，钓鱼者只窃取了某个人的个人资料或身份信息，我们很难认定为“后果严重”，因为这里缺乏一个衡量标准。因此，此罪也不能承担起从刑法上打击“网络钓鱼”行为的功能。

《刑法》第287条规定，利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。本条规定的是利用计算机实施财产性或其他犯罪，也就是传统的犯罪类型，计算机只是其犯罪工具而已，因此，该条规定也不可以用来打击网络钓鱼的诈取个人资料的行为的。

尽管我国刑法中直接规定的与计算机和网络有关的犯罪不能直接规制目前出现的诈取他人身份信息和密码的行为，但有一种特殊的身份信息却因为我国刑法的专门规定可以得到保护，即信用卡资料。如果钓鱼者窃取网络用户信用卡的账号、密码等信息资料，就构成了刑法第177条之一规定的妨害信用卡管理罪。

钓鱼者的另外一种行为也可能受到我国现有刑法的规制，即伪造网站时，同时伪造或擅自制造了他人注册商标标识的行为，如果达到情节严重的程度，就构成了刑法第215条规定的非法制造注册商标标识罪。

根据以上分析可以看出，我国当前刑法基本上不适应规制当前愈演愈烈的网络钓鱼行为的需要。

四、增设新罪来规制“网络钓鱼”的初步思考

1、学者们的构想及分析

如何设立新罪来打击“网络钓鱼”呢？

一部分学者借鉴加拿大的立法模式，主张规定身份信息犯罪或身份犯罪。认为“身份犯罪或称与身份有关的犯罪是指非法获取、持有、收集、传播、买卖、使用和伪造身份信息、文件和标志的行为。”一类学者借鉴美国的立法模式，主张规定身份盗用或身份盗窃罪。认为“身份盗用是指为了取得金钱、物品、服务等利益或者逃避义务和责任，盗窃他人身份证明信息以非法冒用他人身份的行为。” “身份盗窃”指的是行为人窃取并利用证明他人身份的个人资料、数据以非法获得他人的经济利益的犯罪。一类学者认为“借鉴《刑法修正案》（五）、《刑法》关于非法获取国家秘密罪、非法获取军事秘密罪、侵犯商业秘密罪等的规定，我国刑法应当增设非法获取、传播身份信息罪。”一类学者主张规定网络钓鱼罪。建议：“以利用身份识别信息实施违法或犯罪行为为目的，故意利用仿冒的电子邮件信息、网页、网络站点或者其他网络技术手段欺诈性地获取网络用户的身份识别信息，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。”

第一类学者、第二类学者、第三类学者的主张并不是完全针对“网络钓鱼”现象提出的，他们不仅认识到网络钓鱼的危害，而且还认识到其他大量存在与“网络钓鱼”在性质上有相同之处的窃取他人身份信息行为的危害。这些学者试图用一个更加具有包容性的入罪方案将社会上存在的有关身份信息犯罪的行为都包括在内，他们的想法是有道理的。但是，这三类学者的主张也各有他们的缺陷。

第一类学者主张全面规定身份信息犯罪或身份犯罪，该主张的特点是打击范围广，只要是与身份信息有关的非法行为，都可以被包括在该类罪之内，就连“持有”他人身份信息的行为也要接受打击，而事实上，我国刑法对“持有”型犯罪是严加控制的，一般情况下只有“持有”的对象是国家明令禁止并严管的对象时，才被规定为犯罪。比如非法持有枪支、弹药罪，非法持有毒品罪，非法持有国家绝密、机密文件、资料、物品罪，持有假币罪，这些犯罪的对象本身都是国家明令禁止私人非法持有的，而他人的身份信息资料本身显然不具有任何意义，因此，对“持有”他人身份信息的行为也规定为犯罪过于苛刻。况且，“网络钓鱼”者在窃取他人身份资料后，通常还要利用该信息实施进一步的违法行为，如果对该整体行为进行评价，我们不能避开后续行为只评价前行为，因此，我们在将网络钓鱼行为入罪时，考虑的不仅仅是其窃取他人身份信息的行为，通常还要考虑其窃取行为的动机。

第二类学者规定身份盗用或身份盗窃罪，该主张将非法获取他人身份信息的行为及其后续行为一起评价，而我国刑法已经对利用他人身份资料进行违法的行为进行了评价，如果为了打击身份信息犯罪而不考虑已有刑法的存在，将会产生一些法律上的竞合。比如，我国刑法对非法获取他人身份信息后的一些后续行为已经进行了入罪的规定，伪造、变造居民身份证罪，诈骗罪，洗钱罪，信用卡诈骗罪便是如此。因此，主张规定身份盗用或身份盗窃罪尽管能打击“网络钓鱼”，但却会与现存刑法存在一些法条上的竞合。

第三种主张设立非法获取、传播身份信息罪，相对于第一种主张，打击范围缩小了很多。但是，即使如此，也不能准确地打击“网络钓鱼”行为。“网络钓鱼”行为是钓鱼者同一个人实施窃取他人身份信息的行为和后续的欺诈行为或者受一个人操纵、控制、指使实施了上述两阶段的行为，在这前后相继的行为过程中，钓鱼者的目的是明确的，动机是不变的。而如果规定非法获取、传播身份信息罪，将会存在一种情况，也就是行为人在窃取到他人的身份资料后，然后又出售给一些中介公司或者欲购买者，甚至经过很多道中转，那么，在该种情况下，将所有的行为人都规定为犯罪显然是不可取的。因为，这些行为人当中可能有些人纯粹是买卖信息的行为，他们的动机各不相同，将这所有人的行为都用一种罪来评价也是不公正的。

第四种主张是规定单独的网络钓鱼罪，从打击“网络钓鱼“的角度来说，此种规定当然是可取的。因为，当每一种违法犯罪行为出现时，我们都有理由在刑法中规定一种犯罪，但是，从长远来看，该种做法也是有弊端的。大量新罪的增加将造成刑法典的不稳定性以及随时可更改性，将会减少人们对刑法的了解与预知的程度。并且，随着大量的新情况的出现，刑法如都做出回应，也会造成对现行刑法体系和结构的冲击。因此，我们在增设新罪时一定要考虑到这个问题，既要保持现行刑法结构体系的稳定性，又要将一些新出现的犯罪行为纳入到自己的规制之下。针对”网络钓鱼“现象，我们可以增设网络钓鱼罪，但在设立时必须要界定清楚其内涵，而且还要具有一定的前瞻性，对以后可能出现的情况进行充分的考虑，分析和论证。只有如此，设立一个新的罪名才能既保持其稳定性、可行性，具有显示的意义，又能适应打击今后出现的类似行为，不至于让该罪成为一个完全是为了形势需要的临时性过渡的罪名。

2、笔者的建议

基于前面分析，笔者主张在刑法第286条破坏计算机信息系统罪后增设一条窃取身份信息的犯罪，作为第286条之一。具体建议如下：

“利用欺诈性电子邮件、仿冒网页、网址、木马或者破坏性程序、破译弱口令等互联网技术手段窃取他人身份识别信息的，后果严重的，处3年以下有期徒刑、拘役或者管制，并处或者单处罚金；后果特别严重的，处3年以上7年以下有期徒刑，并处或者单处罚金。

利用互联网技术以外的其它手段窃取他人身份识别信息的，后果特别严重的，处3年以下有期徒刑、拘役或者管制，并处或者单处罚金。

本条所称身份信息是指：①银行账号、密码；②信用卡密码；③各种身份证明号码；④各种网络通行口令、密码；⑤其他可用于识别他人身份的个人身份资料。”

本条第一款为利用互联网技术窃取身份信息罪，第二款为利用非互联网技术窃取身份信息罪。只要是采取非法手段窃取他人身份信息资料，造成严重后果的，都定罪处罚。考虑到目前窃取身份信息的行为主要是通过网络钓鱼手段来实施的，所以，对此类行为要专门规定，加重惩治力度。

窃取身份信息的犯罪的犯罪构成如下：

窃取身份信息的犯罪的主体为一般主体。凡是达到刑事责任年龄并具有刑事责任能力的人，即年满16周岁，精神智力正常，都可以成为本罪的犯罪主体。笔者以为，从防患于未然以及刑法制定的前瞻性角度来考虑，单位也可以构成这个罪的犯罪主体。尽管目前出现的非法窃取他人身份信息的行为还没有单位实施的情况，但这并不意味着以后也不会出现。1990年5月，日本发现了第一例公司之间采用计算机病毒作为斗争手段的案例：日本一家公司企图利用计算机病毒来破坏夏普公司的X6800微型计算机系统数据文件，以达到不正当竞争的目的。在中国，也发生过单位为了维护自身利益，不惜制作、传播破坏计算机系统程序的案例：1997年6月下旬，江民公司为了打击盗版的软件，在其反病毒软件KV300的L++版本中置入了“逻辑炸弹”程序。从这两例案件我们可以知悉，利用计算机网络来实施的犯罪有可能是单位的行为。因此，我们不能排除将来会有一些公司或单位为了谋取非法的利益，会通过钓鱼行为来窃取客户的身份信息或者他人的身份信息，这是完全可能的。而且，有些公司、企业以及银行等单位本身就掌握着大量的客户信息，它们更有窃取和传播这些身份信息的便利。相对于个人而言，单位往往具有更雄厚的资金和技术，它们一旦实施了此类犯罪，后果将会比自然人犯罪更为严重。有鉴于此，单位实施了窃取他人身份信息的行为，也可触犯本条规定的刑律。

窃取身份信息的犯罪的主观方面为故意。过失行为不构成窃取身份信息的犯罪，只有故意实施违法行为窃取他人身份信息资料或者明知是他人非法获取的别人的身份资料而故意传播的行为，才构成这两个罪。至于行为人的动机是多种多样的，不管其是否准备继续实施身份信息窃取的后续行为，只要“窃取”这一前行为实行完毕，这两个罪的实行行为就已终了。

利用互联网技术窃取身份信息罪客观方面的表现是：通过网络技术手段，发送欺诈性电子邮件，建立假冒的网页或网站，编制木马或破坏性程序，破译弱口令、密码等，窃取他人的身份识别信息。行为人只要实施了上述行为之一，而且目的是窃取他人的身份信息资料，不管其今后是否利用该身份识别信息实施违法行为，即符合该罪的客观方面，以该罪处罚。该罪的既遂以行为人获取并控制他人的身份识别信息为标志。如果行为人既实施了该种行为，又利用窃取的身份信息资料实施了后续的其他犯罪行为，则构成该罪和他罪的数罪，处罚时应数罪并罚。至于通过网络技术手段窃取他人的身份识别信息的具体方式则多种多样。利用非互联网技术窃取身份信息罪的客观方面表现是：行为人通过互联网技术以外的任何方式窃取他人身份信息资料的行为。行为人窃取他人身份信息资料要么是为自己所用，要么是将其出售进行营利，或者是在其他非法目的驱使下，未经信息所有者同意将其进行扩散，从而造成信息所有者的利益受到重大损失。在这种情况下，行为人的上述行为就符合了本罪的客观方面表现。

窃取身份信息的犯罪侵犯了计算机信息系统安全，破坏了国家对计算机信息系统的管理秩序。同时，该罪也侵犯了他人的身份信息资料专有权和使用权。

基于以上分析，笔者认为，窃取身份信息的网络钓鱼行为是一种严重的违法犯罪行为，随着计算机及网络技术的日新月异，网络钓鱼的趋势也会愈演愈烈。目前，在刑法的规制上，我国基本上还是一片空白，这就给防范和打击网络钓鱼行为的实践带来了司法难题。因此，我们有必要在理论上和实践中深入对网络钓鱼行为的研究，加强对相关问题的认识，使刑法可以适应这种由于信息技术进步而使社会生活关系所发生的变革。