2018年5月25日,由国家“2011计划”司法文明协同创新中心、浙江大学光华法学院互联网法律研究中心主办,“大数据+互联网法律”创新团队承办的互联网法律论坛第12期暨“网络空间治理难题及对策” 研讨会,在杭州顺利举行。参加本次论坛的有来自诸暨市人民检察院、杭州铁路运输检察院和阿里巴巴集团的实务专家,也有来自浙江大学光华法学院、南京审计大学法学院和浙江警察学院的理论学者。
本次论坛由阿里巴巴集团平台治理部连斌总监、谢虹燕专家先后主持,由浙江大学光华法学院王敏远教授担任总评议人,由各专家和学者分享课题研究成果,与会嘉宾参与讨论。
连斌:阿里巴巴平台治理部总监
谢虹燕:阿里巴巴平台治理部高级专家
王敏远:浙江大学光华法学院教授
一、 数字经济时代公民个人信息权利和边界问题研究
周建达:浙江警察学院侦查系副教授
周建达副教授认为,近年来,在公民个人信息权利领域,侵犯公民个人信息的违法犯罪活动和滥用公民个人信息权利牟利的现象呈“双向增长”趋势,有必要在继续加强公民个人信息权利保护的同时,进一步明确公民个人信息权利的行使边界。
周建达副教授首先界定了公民个人信息权利的内涵外延。随后指出,随着数字经济时代的到来,除了传统的人身权属性外,公民个人信息权利的财产权属性正逐步被发掘。公民个人信息权利滥用的基本类型有不当竞争型的权利滥用、消费误导型的权利滥用、犯罪辅助型的权利滥用、敲诈勒索型的权利滥用。公民个人信息的行使必须有边界,作为信息权利所有者的公民在行使个人信息权利时应当遵循客观真实原则、信守公约原则、有限让渡原则、越权无效原则、责任自负原则。除此之外,还需建立应对公民个人信息权利滥用的机制,即需制定权利责任清单,规范权利行使边界;构建网络诚信体系,发挥惩戒威慑作用;健全个人信息立法,完善法律衔接机制;从严从重处理典型,强化个案宣示效力。
讨论环节
有专家提出在当前,企业已经具备了使个人信息数据可用而不可见的技术,即通过相应的技术处理,能得到所需的结果,但在整个过程中,没有任何主体可以识别或接触这些信息。从而使信息在使用和流动过程中,更具安全性。
二、公民个人信息的权利属性与法律保护机制——以网络黑灰产为素材
李世阳:浙江大学光华法学院助理教授
首先,李世阳助理教授对公民个人信息的权利属性做了理论上的研究。李世阳助理教授认为,当前学界存在的人格权属性说、财产权属性说、隐私权属性说以及信息自决权属性说均有不圆满处,无法完全契合我国法律体系及应对当前出现的所有问题。
其次,李世阳助理教授以上述理论研究为基石,从民法、行政法和刑法角度探讨如何构建公民个人信息保护机制。在刑法方面,李世阳助理教授详细解读了2017年6月1日生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,认为这一司法虽然还存在一些问题,但对保护公民个人信息仍有重要意义。在行政法方面,要建立、健全信息收集、使用的保护机制,防止行政机关对公民个人信息权利的侵害;同时要强化行政监管,为刑法介入做好前置性保障,做好行政法和刑法的衔接。在民法方面,要最大限度地尊重民事主体的意思表示,只要其内容不违法,原则上应当认定当事人之间的约定有效。
最后,李世阳助理教授总结了两个研究公民个人信息保护的前提性问题:即应当倾向于公民个人信息权的保护,还是倾向于信息的流通?应当倾向于技术的创新,还是倾向于隐私保护?
讨论环节
有专家对公民个人信息的内涵和外延提出疑问,当前的账号和密码设置已扩展至生物信息,例如指纹、声纹以及人脸等,公民个人信息是否可包含此类生物信息?对此,李世阳助理教授回应道,公民的生物信息当然属于公民个人信息。
另有专家提出,在实践中公民可能出售、出租或出借个人信息,这些是否均为公民个人信息权利的滥用?李世阳助理教授回应,对公民个人信息权利滥用的认定,取决于对公民个人信息权利属性的认识,若承认信息自决权,则公民对个人信息有全面的支配权。但李世阳助理教授并不认可赋予公民此支配权,在信息时代,公民个人信息权利的行使尚需平衡个人法益和社会法益。
三、恶意软件、网络技术黑产等不法行为的界定与规制
余军:浙江大学光华法学院教授
余军教授提出,我国法律法规对恶意软件的界定存在局限性,现有对恶意软件的定义已无法涵盖互联网上出现的种种以实施违法行为目的的软件。从网络分层技术的角度看,当前对恶意软件的定义仅仅涉及赛博空间中“应用程序”“内容层”等环节。随后,余军教授简要介绍了传统软件平台、智能移动平台、物联网平台、新型网络平台等平台上存在的恶意软件的特点和发展趋势。此外,现有法律法规对网络技术黑产、提供相关技术帮助的不法行为界定集中于《网络安全法》《刑法》,但尚不足以涵盖所有的违法活动。
以此为基础,余军教授提出了对恶意软件、网络技术黑产等不法行为的规制措施和应对办法。第一,对恶意软件的界定,建议采用更为科学、精确、开放性的标准;应当认识到,当下恶意软件、网络技术黑产等不法行为造成的危害不仅仅限于用户的知情权和选择权,而是对赛博空间的各个层级构成了威胁与挑战,用户的财产权、隐私权、经营权都受到了侵害,具有危害网络空间整体安全的性质。第二,通过修改法律或完善法律解释,将网络技术黑产、提供相关技术帮助等不法行为明确纳入法律的规制范围。第三,需加强事前的技术防范措施,政府管制部门应加大对恶意软件的分析、清除和防御机制的投入和研发。
讨论环节
有专家提出疑问,在黑灰产软件分析过程中,发现常常涉及切换IP等的行为,但从当前法律看来,这些行为是否属于犯罪尚无明确规定,这里是否存在立法空白?
对此,余军教授认为,为犯罪、违法活动提供IP跳转软件,实现快速切换IP地址的行为,应当通过法律解释纳入《网络安全法》第63条“提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持”的调整范围;在刑法层面,则可以通过法律解释,纳入《刑法》第287条之二(帮助网络犯罪活动罪)的调整范围,该条规定:“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”可以基于该条立法目的,对其中的“等技术支持”进行扩张解释,从而实现对上述行为的涵摄。
四、网络电信刑事疑难案件证明问题研究
何邦武:南京审计大学法学院教授
首先,何邦武教授介绍了实践中对电信网络诈骗犯罪中的证据进行“综合认定”的三种模式,即认罪认罚从宽模式、通过间接证据综合认定全案模式、传统的刑事证明模式。
其次,何邦武教授认为,最高人民法院、最高人民检察院、公安部出台的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》所规定的“综合认定”规则,缺乏操作性,理论及实践中难以就此形成共识,以致“规则虚置”。具体原因有:规则模糊;实践中对于间接证据所形成证据链证明力的疑惧;对认定过程理解中的唯理主义信仰和自负。
最后,就如何解决“综合认定”在实践中遇到的难题,何邦武教授提出了三种解决方法。第一,区分间接证据证明与推定的关系,大胆使用间接证据。第二,正视案件事实认定的对话、论证属性,使可接受性成为刑事证明的标准。第三,引入情状证据,重视情状证据在案件事实调查认定中的作用。其中,何邦武教授重点讲解了第三点,强调司法亲历性和默会知识案件事实形成中的重要性。
讨论环节
有专家提出问题,在刑事案件中,作案设备是构成证据链的一个重要环节,但在实践中,常常发生作案设备被销毁的问题,应该如何应对?
对此,何邦武教授回应道,作案设备作为证据链,应明确其证明对象是什么?如果是设备的物理性存在证明嫌疑人使用过该设备实施犯罪,可否参照通常物证灭失后经常使用的替代证据就进行证明。如果是利用设备存储的数据信息,可否考虑利用诸如区块链这样的技术进行证明。
五、“非侵入、控制型”恶意程序的刑法规制
孙孝良:诸暨市人民检察院检察官
孙孝良检察官认为,与传统犯罪相比,网络犯罪有相对独立的上游犯罪,打击此类上游犯罪存在很大困难,因此,有必要对上游犯罪中提供恶意软件、恶意程序的行为进行研究。
通过梳理我国刑法对恶意程序的规定,孙孝良检察官发现法律对恶意程序类型的规定经历了三个阶段的变迁:从计算机病毒,到新增侵入、控制型恶意程序,再到增加非侵入、控制型恶意程序。虽然刑法并未明确定义恶意程序的内涵,但通过大量的司法案例可以总结出,恶意程序是指行为人故意制作、传播的用于在计算机信息系统上执行恶意任务的程序,其中不具有避开或突破计算机信息安全防护措施功能,也不具有非法控制功能的为非侵入、控制型恶意程序。
对非侵入、控制型恶意程序的刑法规制,当前的刑法规定有两种路径。其一,非侵入、控制型恶意程序可能单独构成非法利用信息网络罪、帮助信息网络犯罪活动罪、传授犯罪方法罪等罪名。其二,可与下游犯罪共同构成非法获取计算机信息系统数据罪、破坏计算机信息系统罪以及盗窃罪、诈骗罪等侵犯财产权益的犯罪。总体而言,当前刑法存在多罪名重合,但又不能全面评价的问题。据此,可以建议刑法新增“提供恶意程序罪”,整合计算机病毒、侵入控制型恶意程序的法律条文,统一规制网络恶意程序,针对不同类型的恶意程序的不同危害性,设置不同的定罪和量刑标准。
讨论环节
有专家提到,既然文章建议增设“提供恶意程序罪”,是否要对恶意程序下定义?孙孝良检察官回应道,当前我国法律语境下的恶意程序,主要指“指行为人故意制作、传播的用于在计算机信息系统上执行恶意任务的程序”。
另有专家反问,上述对恶意程序的定义,还是用“恶意”界定“恶意”,即陷入循环定义,事实上还是没有解释“恶意”,而解释“恶意”是界定恶意程序的关键。
有多位专家提出侵入和非侵入程序的界限是什么,大部分专家认为平台的防护策略需要通过具体的代码和硬件实施,与防火墙一样,绕过此类策略的程序也可以定义为侵入,都是突破防护获取相应权限,有专家还以撞库程序进行了举例。
六、DDOS攻击的发展现状及其法律规制路径
朱佳俐:杭州铁路运输检察院助理检察员
朱佳俐助理检察员首先介绍了DDoS攻击的发展脉络与现状,包括DDoS攻击的三个发展阶段、当前态势以及动因分析。若对DDoS攻击做行为分解,可以划分为三个环节:第一,准备环节,即准备攻击软件和攻击流量的环节。第二,中间环节,即中介接单的环节。第三,攻击环节,还包括后续索取对价和报酬的环节。依据我国刑法,DDoS攻击可能构成刑法第285条规定的非法控制计算机信息系统罪以及提供非法控制计算机信息系统程序、工具罪,第286条规定的破坏计算机信息系统罪,第287条之二规定的帮助信息网络犯罪活动罪等,而后续行为也可能构成敲诈勒索罪、破坏生产经营罪等。在罪名选择时,常常存在行为内部牵连和犯罪链路竞合。
随后,朱佳俐助理检察员结合案例,检讨了我国的刑法和刑诉法存在的规制失灵之处。第一,刑法规制存在体系失衡,表现为入罪结构存在缺陷、评价标准存在不合理和共犯体系亟待调整。第二,证据认定存在现实障碍,表现为客观取证和证据认定存在困境。为了优化对DDoS攻击的法律认定规则,朱佳俐助理检察员认为,一方面,可以借鉴域外法的相关立法例;另一方面,可以从实体规范的客观优化和程序规则的实践调整两个层面补足现有立法的不合理之处。
讨论环节
针对DDoS工具入罪和量刑标准,有专家分享了一个案例,在此案中,行为人接受了他人付给的二万七千元人民币,并按要求控制了大概一百台服务器,因受害人拥有众多服务器,行为人的行为影响甚小,损失也无法计算。法院最后按照行为人的获利,对其处以有期徒刑五年的刑罚。
七、刑事案件网络电子证据的可采性研究
林劲松:浙江大学光华法学院副教授
首先,林劲松副教授明确了网络电子证据和传统的电子证据存在区别。是不是要加几句?
其次,林劲松副教授通过合法性、真实性、关联性三个方面,研究网络电子证据的可采性。在合法性问题的研究上,存在取证主体的合法性、取证程序的合法性、第三方公司配合取证的边界、取证过程中导致侵权如何救济等问题。在真实性问题的研究上,包括内容的真实性和过程的真实性,前者要求对证据内容的真实性检验,后者要求取证人员如实取证、不篡改数据。在关联性问题的研究上,学界提出了网络电子证据需具备“双重关联性”,即不仅要求数据的内容具有关联性,还要求具有形式的关联性,后者主要指的是身份同一性问题。
最后,林劲松副教授提出了研究中最大的困难在于缺少合适的案例,这也是后续研究将要重点完善之处。
讨论环节
有专家也认同,如何确定形式的关联性,确实是刑事案件网络电子证据的可采性研究的一大难点。有专家认为,实践中能够采取的最佳措施为,公安机关在实施抓捕时,于第一现场将证据固定,第一时间确定行为人和特定计算机间的使用关系。此外,有专家也提出,可以借助算法,分析计算机上留下的使用痕迹,从而确定使用人。但采用这种方式,在司法过程中会产生两个问题:第一,是否需要向法官提供算法的运行逻辑,抑或告诉法官输入值和输出值即可;第二,通过算法得出的结论是否可以被作为证据使用,因为通过大数据得出的结论仅具有高度相关性而不是因果性。
八、互联网时代传统罪名的扩张解释——以网络犯罪为视角
高艳东:浙江大学光华法学院副教授
首先,高艳东副教授谈到,针对新出现的网络犯罪泛滥问题,刑法可以有两个规制进路:一是完善立法;二是对现有罪名做新的客观解释。此次研究尝试后一进路,对信息时代的非法经营罪做出合理解释。
一方面,在传统经济领域应限缩非法经营罪的适用范围。“法不禁止即自由”是市场经济的必然要求,为了确保自由交易,许可证、专营专卖的领域应限于涉及公共安全的领域(如枪支、精神药品等),否则将导致国家对市场干预过度、垄断经济利益的现象出现。例如,倒卖粮食、违法建房并出售等仅属于违法行为或违规行为,但没有危及公共安全,未达到科处刑罚的程度,不应作为非法经营罪处理。因此,在判断行为人符合违反国家规定、违反专营专卖、扰乱市场秩序等法定条件之外,还必须判断行为是否具有实质危害性。只有当行为损害了他人利益和公共安全时,才能以非法经营罪入罪。
另一方面,在互联网领域,非法经营罪应当适度扩张,为网络空间设立行为法则。互联网的高速发展,大大超过了立法速度,面对激增的新型网络犯罪,法律不能无所作为。中国互联网的现状,是繁荣与乱象并存,创业与投机共生。电信诈骗泛滥成灾,地下产业恣意蔓延,据官方公布,目前我国网络黑色产业链从业人员已超过150万,市场规模更是达到了千亿级别。在网络世界无法无天的背景之下,刑法应当扩张干预的程度,这是社会的需要,也是刑法的责任。
因此,刑法应当坚持“老问题老办法、新问题新办法”的立场,对非法经营罪做出合理解释。
讨论环节
针对如何理解非法经营罪中的经营许可,有专家分享了一个网络上买卖域名的案例。在本案中,中间商收购并出售域名,但这些域名并未获得相应的许可或进行备案,每次转让后也并未做变更登记,违反了我国关于互联网域名管理的规范,这些域名最终则被用于涉赌、涉黄、涉恐活动。各位专家学者就中间商的域名转让行为是否构成非法经营罪进行了激烈的讨论。问题最终聚焦在,中间商的行为是否具有客观危害性和主观可责性,在理论研究时,是否应进一步完善认定非法经营罪所需的危害性要件。
此外,在场的同学也提出了许多问题,专家和学者一一给出了解答和回应。
王敏远教授对几个课题的研究方向和内容,予以充分肯定。王敏远教授认为,不论是研究的内容,还是方法,都充满了朝气,契合新时代、新问题的研究。另外,王敏远教授对进一步的研究提出了几点建议和感想:第一,在研究前沿性问题时,要有意识地强化与以往研究的连接性。因为,所谓革命性问题和创新研究,并非完全与过去隔断,应注意到其中的相关性。第二,在研究问题时,应梳理相关理论,如果已有的理论仍有适用空间,应注意其“剩余”价值;当然,也不能受限于传统理论,要注意在学科融合的基础上的创新。第三,在研究中,需加强对新现象的研究,在此基础上,才能展开有针对性的实质问题的研究。第四,随着时代的飞速发展,产生了很多新的问题,但在研究这些问题时,仍应当围绕“人”和“社会”两个主题。前者是指,所有问题的研究均是为了增进人的发展;后者是指,研究应当注重对人与人之间的关系、社会秩序和人之间的关系的关照。
宋伟:蚂蚁金服法务部高级专家
林晶晶:阿里巴巴安全部高级专家
王少华:阿里巴巴安全部高级安全工程师
邱志英:阿里大文娱公共事务部高级专家
至此,互联网法律论坛第12期暨“网络空间治理难题及对策”研讨会圆满结束。此次论坛集合了高校师生、实务人员与互联网企业,以课题研究和总结为契机,为研究互联网时代前沿的法律问题、解决社会现实困境提供了理论和实践经验的指引。
与会嘉宾(以姓名拼音为序):
程 科:阿里巴巴平台治理部专家
高艳东:浙江大学光华法学院副教授
何邦武:南京审计大学法学院教授
黄 波:阿里巴巴安全部安全专员
金 �:蚂蚁金服安全管理部专家
金羽丰:阿里巴巴安全部专家
连 斌:阿里巴巴平台治理部总监
林劲松:浙江大学光华法学副教授
林晶晶:阿里巴巴安全部高级专家
李世阳:浙江大学光华法学院助理教授
邱志英:阿里大文娱公共事务部高级专家
宋 伟:蚂蚁金服法务部高级专家
孙孝良:诸暨市人民检察院检察官
王敏远:浙江大学光华法学院教授
王少华:阿里巴巴安全部高级安全工程师
谢虹燕:阿里巴巴平台治理部高级专家
徐文涛:阿里巴巴平台治理部资深运营专员
余 军:浙江大学光华法学院教授
周 斌:阿里巴巴安全部安全专员
周建达:浙江警察学院侦查系副教授
朱佳俐:杭州铁路运输检察院助理检察员
以及浙江大学部分同学参加了本次论坛。
本次活动系“中央高校基本科研业务费专项资金”、“国际合作区域拓展计划•一带一路国家合作项目经费”项目成果。
摄影:查正筱、盛佳 / 供稿人:叶敏婷
