【星来观点】电信网络环境下钓鱼网站涉及的若干法律问题

小剧场

陈来来是一名资深吃货，专爱四处搜罗各种美食。

一日，她看到XX银行推出了一款信用卡，每周三、周五、周日都可以享受十来家网红餐厅的优惠折扣，陈来来当即便办了一张，还将此消息告诉了闺蜜王星星。王星星说：“这真不错啊，以后我更得跟着你混吃混喝了。”“那可不，银行工作人员说能领多张可以叠加使用的优惠券呢！”

噔噔，陈来来话音刚落，手机上就收到了一条短信，内容显示为：尊敬的XX行用户，您尾号XXXX信用卡现已有资格领取13家热门餐厅的大额优惠券，请于今日18点前登录手机网址：wap.XXXXXpc.com领取 [XX银行]。“喏，你看，说来就来。”陈来来很兴奋。“我看看这咋说的。”王星星看了眼陈来来的手机屏幕。“诶，不对不对，你先别急着戳进去，你瞧这网址，好像不太对，因为我也办过这个银行的储蓄卡，我记得网址好像不是这个。”

“真的吗？我对一下。”陈来来拿出了实体卡片，将背面显示的官网链接与短信进行了比对。“真的不一样！莫非这是骗钱的？”陈来来有点生气，但又庆幸发现及时。王星星说：“没错，这应该就是所谓的钓鱼网站。还好有我在，不然你这个吃货该中招咯！”陈来来笑了，说：“走！为了感谢你，这就请你搓一顿！”

形态多样的钓鱼网站

“钓鱼网站”是仿照真实官方网站页面或者虚构某官方网站页面，使用户信以为真，并诱使用户主动输入账户、密码等关键信息的虚假网站。在电信网络诈骗治理活动中，钓鱼网站一直是重点打击的对象，主要原因是它总以许多令人防不胜防的形态出现着——有的钓鱼网站将域名虚拟化为假冒的知名网络商城及其退款中心页面，用以记录登录用户的手机号、银行账号和支付密码等个人信息；有的钓鱼网站中含有木马病毒程序，能够直接盗取公民个人信息；还有的钓鱼网站以虚假链接的短信呈现，被害人一旦不慎点击该链接，填写银行卡信息和验证码后，其账户便很有可能被批量盗刷。司法实践中，钓鱼网站不仅和侵犯公民个人信息罪、非法侵入（或获取、控制）计算机信息系统罪等刑事犯罪相关联，还可能涉及与第三方服务提供者划分损害赔偿责任的民事纠纷案件。钓鱼网站总能因其百变的外观形态，以一石激起千层浪的效果，对人们的个人信息和财产安全产生不可忽视的威胁。

刑事案例

案例►  

蔡某某、夏某某等人提供侵入、非法控制计算机信息系统的程序、工具、非法获取计算机信息系统数据、破坏计算机信息系统罪

(2016)苏0829刑初***号

案情简介►

1. 提供侵入、非法控制计算机信息系统的程序、工具 

2014年至2015年9月期间，被告人蔡某某模仿苹果官网，QQ官网开发、设计了“紫缘管理系统”，并将该系统在互联网上通过付费租用的方式提供他人使用。蔡某某明知他人利用该系统可以非法获取他人苹果电子设备密码、QQ密码，仍提供给被告人夏某某、周某、张某和杨某(另案处理)、赵某(另案处理)等人使用，从中获利共计人民币85692元。

2. 非法获取计算机信息系统数据

2014年以来，被告人夏某某、周某、张某租用蔡某某开发的“紫缘管理系统"，通过向他人手机、邮箱发送含有“紫缘管理系统”网址链接的信息、邮件等，骗取他人在该钓鱼网站输入自己的苹果电子设备账号、密码共计3600余组。

3. 破坏计算机信息系统

2014年下半年以来，被告人刘某某通过购买赵某1、杨某等人利用“紫缘管理系统”非法获取的他人苹果电子设备帐号、密码等信息，后登陆苹果官网的icloud界面，利用前述苹果电子设备帐号、密码使用“抹除模式”，锁定该苹果电子设备，并对他人苹果电子设备屏幕留言实施勒索，共锁定被害人吴某1等15人的苹果电子设备20台，勒索人民币7000元。

案例►  

②黄某某等窃取信用卡信息罪

(2019)京0108刑初****号

案情简介►  

被告人陈某某、黄某某系同学关系。2017年6月，被告人陈某某加入黄某某开设的深圳万企动力信息科技有限公司，共同从事网页设计业务。2017年8月，被告人陈某某通过网络收到他人制作“钓鱼网站”的邀请，后其伙同被告人黄某某以牟利为目的，租赁境外服务器，为他人制作、设立假冒华夏银行等多家银行的“钓鱼网站”，以提升信用卡额度为诱饵，非法获取公民信用卡信息并储存于服务器。在此期间，二被告还根据他人要求，帮助他人从服务器导出利用“钓鱼网站”非法获取的公民信用卡信息资料，并直接提供给从事其他违法犯罪活动的相关人员。现查明，2017年8月至2019年1月间，被告人陈某某、黄某某通过帮助他人制作、设立“钓鱼网站”共非法获利人民币523864元，公安机关从二被告人使用的电脑中查获已从服务器中导出的公民信用卡信息资料190组。

利用钓鱼网站作案的特点之一——数人数罪。具体来说，案件中行为人多为团伙作案，每个人负责实施一部分犯罪行为，相互之间以钓鱼网站为起点形成了紧密的合作关系网。比如，有人负责专门提供侵入或控制计算机的工具，有人则利用前述工具非法获取计算机系统内的数据或对计算机系统采取攻击等破坏行为，还有人负责将非法获取的数据进行收购后再次出售牟利或利用这些数据进行诈骗活动。

利用钓鱼网站作案的特点之二——一个犯罪行为同时触犯多个罪名。第一个案例中刘某一人实施了两个犯罪行为，两个行为存在手段与目的的关系，即刘某破坏计算机系统的行为是为了实施敲诈勒索。因此，虽然刘某行为同时构成破坏计算机系统罪、敲诈勒索罪，但在定罪时应按牵连犯从一重罪处罚。结合刘某犯罪数额，在比较破坏计算机信息系统罪和敲诈勒索罪所对应的刑期后，法院最终以更重的破坏计算机信息系统罪对刘某定罪量刑。第二个案例中黄某某和陈某某利用钓鱼网站（虚假银行网站）实施的犯罪行为同时触犯了非法利用信息网络罪和窃取信用卡信息罪，在法律适用上存在交叉认定的难度。但法院最终根据刑法第287条之一非法利用信息网络罪第三款“同时构成其他犯罪的，依照处罚较重的规定定罪处罚”的规定，结合二人非法获利52万余元及窃取190组公民信用卡信息的犯罪事实，以更重的窃取信用卡信息罪定罪处罚。

技术中立能作为抗辩理由吗？

钓鱼网站犯罪中，有一类“提供侵入、非法控制计算机信息系统的程序、工具”的行为人（往往本身是IT技术人员）可能会以所谓的“技术中立原则”作为辩解理由。但“技术中立”仅限于技术本身，并不代表对应该技术的后续使用行为也当然具有中立性。如“爬虫技术”虽是中立的，依靠该技术可以实现数据的流通与共享，但未经授权而爬取个人信息的行为显然带有明显的法益侵害性。技术人员若帮助他人，按他人需求制作仿冒网站，开发带有特定功能的软件（如批量爬取非公开的个人信息），或帮助发布虚假广告链接和推广软文等，且被帮助者利用该技术人员提供的服务、搭建的计算机系统或设计的应用程序从事犯罪活动，则该技术人员很有可能会因为“明知他人实施犯罪而为其提供技术支持”而被认定为涉嫌帮助信息网络犯罪活动罪，或提供侵入、非法控制计算机信息系统的程序、工具罪，甚至沦为被帮助者的共犯。

《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第十一条列举规定了技术人员“明知”的七种情形：

（一）经监管部门告知后仍然实施有关行为的；

（二）接到举报后不履行法定管理职责的；

（三）交易价格或者方式明显异常的；

（四）提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助的；

（五）频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份，逃避监管或者规避调查的；

（六）为他人逃避监管或者规避调查提供技术支持、帮助的；

（七）其他足以认定行为人明知的情形。

其实，早在2011年，最高人民法院在《关于充分发挥知识产权审判职能作用推动社会主义文化大发展大繁荣和促进经济自主协调发展若干问题的意见》就已明确：“既要准确把握技术作为工具手段所具有的价值中立性和多用途性，又要充分认识技术所反映和体现的技术提供者的行为与目的。既不能把技术所带来的侵权后果无条件地归责于技术提供者，窒息技术创新和发展；也不能将技术中立绝对化，简单地把技术中立作为不适当免除侵权责任的挡箭牌。”因此，技术人员明知并参与钓鱼网站相关犯罪活动的，以技术中立作为脱罪理由，是无法得到司法机关的认可的。提供技术支持时，技术人员需要在明知或应知的范围内对技术用途做评判。

民事案例

案例►  

梁某与交通银行借记卡纠纷案

(2015)一中民(商)终字第****号

案例简介►

2011年7月2日，梁某在交通银行股份崇文门支行为尾号为6809的借记卡(开户行为交通银行万柳支行)办理了网上银行开通业务。2014年10月18日下午2点，梁某收到显示为95559发送的短信，短信内容为：“尊敬的交行用户：您的手机银行将于次日失效，请登入手机网址：wap．95559pc．com，进行升级，给您带来不便，敬请谅解[交通银行]”。收到该短信后，梁某点击了短信中的网址，并按照网站的操作提示，输入了手机号和登录密码，然后网站网页提示将给梁某手机发送动态密码，要求按照短信密码进行输入。梁某收到动态密码后输入到网站网页中，该网页随后出现手机银行升级一栏，梁某点击进行了升级。2014年10月18日18：04：37及18：05：24，梁某持有的上述借记卡在福建泉州的 ATM机上共计发生两笔无卡取现交易(手机ATM取款)，交易金额均为1万元，该两笔交易均通过短信方式向梁某手机发送。梁某诉至法院，要求交通银行万柳支行赔偿梁某存款2万元及利息。

法院观点► 

1. 本案争议焦点在于交行万柳支行对梁某的存款损失是否存在违约行为而应负损害赔偿责任。

2. 本案梁某的损失系因为其疏忽大意轻信了伪基站发送的95559短信，并点击其中的钓鱼网站，自己输入动态密码等造成的，交行万柳支行在此过程中并无违约之处。至于梁某所述交行万柳支行未尽到法定或约定的安全提示义务的问题，从梁某认可真实性的交行万柳支行提交的安全宣传折页来看，其中有防范钓鱼网站等提示，而且交通银行的借记卡背面即有交通银行官网地址http：／／www.95559.com.cn，梁某在一审中认可自己开通手机银行业务，在二审中认可使用过网上银行，也使用过手机银行，据此梁某对于交通银行的网站、手机动态密码的用途等应该是明知的，在此种情况下，并无证据证明交行万柳支行未尽到安全保障义务。

3. 驳回梁某要求万柳支行赔偿存款及利息的上诉请求，维持原判，万柳支行对梁某的存款损失不存在违约行为，无需承担损害赔偿责任。

案例►  

李某与招商银行股份有限公司借记卡纠纷

初字第*****号

案例简介►  

李某向朝外大街支行申请个人账户开户，取得卡号为****的借记卡一张，并申请开通了该卡的网上个人银行/手机银行服务。2015年7月25日15:50分,李某收到95555发送的短信一条，内容为“尊敬的招行用户：您的银行卡积分已满可兑换1288元现金礼包，请及时登录wap.cmbcix.cc进行兑换，逾期积分清零。[招商银行]”。李某点击了短信上显示的链接网址，在弹出的网站上输入了银行卡卡号等相关信息，并点击获取验证码。李某点击三次，均未收到验证码，遂拨打招行客服电话询问，招行客服回复称银行目前没有这个积分兑换活动。李某称招行客服未作钱款存在风险的提示，李某本人在通话后亦未对账户实施防范措施。2015年7月25日15:34:18至2015年7月26日11:19:05，李某的招行储蓄卡发生21笔支出，每笔金额不等。涉案银行卡总计支出金额为121091元。被盗刷期间，招行系统向李某预留手机号发送短信17条，内容为支付验证码和账户资金交易情况。上述短信中，没有对冒充招行客服电话发送虚假信息予以风险提示的短信内容。李某称可能因为被伪基站干扰，当天未收到银行发送的上述短信。2015年7月26日晚上，李某给朋友转账时发现被盗刷，进行口头挂失并到附近的东湖派出所报案。

法院观点► 

1. 本案是犯罪分子利用技术手段，假冒招行95555短信，骗得李某的银行卡号、密码等信息，并窃取了银行系统发送的手机验证码。综合全案证据和双方陈述，按照一般民事案件的高度可能性的证明标准，可以认定涉案交易并非李某的授权交易。

2. 保障持卡人卡内资金安全是银行的法定义务，银行应当在办理网上支付业务中尽到审慎审核义务，对风险的存在以及防范尽到告知义务；发现钓鱼网站应当及时告知持卡人，并及时采取合理措施防范风险。现无证据证明，朝外大街支行就钓鱼网站相关风险向李某进行了提醒告知或者积极采取防范措施，以避免持卡人遭受损失，故本案中朝外大街支行未尽到安全保障义务，应当对李某的损失承担赔偿责任。

3. 李某作为持卡人在保管银行卡信息及审查交易页面真实方面未尽到足够的注意义务。李某点开的钓鱼网站与招行官方网站域名存在显著差异，其未经辨别即行点开。即使在发觉异常、得知没有积分兑换活动后仍未采取积极防范措施保护资金安全，导致损失进一步扩大。综上所述，综合考虑双方的违约程度、违约行为与损害发生的因果关系等因素，双方应各自承担相应责任。

银行是否应对储户被钓鱼网站窃取、骗取财物的后果负责？

这类案件的基础事实基本相似，即储户开通网银后，收到了带有钓鱼网站链接的诈骗短信，储户自行点击了该链接，最终造成财产损失。有的案例银行无需对储户的损失承担任何责任，但另有一些案例认定银行需与储户根据各自的过错程度而分担责任。导致差异判决的核心在于，银行是否对于资金和信息安全尽到了合理的安全保障和风险提示义务——既包括明显的防范钓鱼网站的信息提示、明示正确官网信息于卡片显著位置等措施，也包括出现多笔资金支取时的短信风险提示，甚至发现风险时积极采取防范措施。

银行是否能以涉刑为由拒绝赔付？

目前并没有明确的相关法律规定，虽然“先刑后民”原则总会在此时被提起。通常储户被钓鱼网站骗取钱财之后，会立即向公安机关报案，但犯罪行为人能否被抓捕到、资金损失能否得到退赔，尚属于不确定因素。此时若提起民事诉讼要求负有过错责任的银行承担赔偿责任，能够得到法律的支持，银行也不能以案件涉刑为由拒绝承担应有的责任，正如以上两个民事判例。

实务中的争议点在于，如果犯罪行为人被公安机关抓获到案（抑或自动投案）且其有能力退赔，银行的责任应当如何评判？细分为两种情况：（1）若被害人先行对银行提起了民事诉讼赔偿请求，银行需在过错范围内承担损害赔偿责任，且在事后不能对犯罪行为人行使针对于该部分责任的追偿权；犯罪行为人仍需全额退赔；（2）若先行处理刑事案件，则犯罪行为人应当全额退赔被害人的资金损失，而依照填平被害人经济损失的基本原则，银行可能“侥幸”不用担责。

看起来貌似有不公之处？

这确实是一个富有争议性的话题，立场不同，诉讼策略不同，责任主体的责任范围也可能不同。

如果被害人坚持在刑事判决后再对银行提起民事诉讼，法院会考虑已经生效的刑事判决，对本金部分不予支持，被害人仅能就利息部分获得银行赔偿。遗憾的是，有裁判思路显示，民事案件不会考虑在先刑事判决是否得到充分执行，这也会在一定程度上导致被害人损失无法弥补。

当然，陷入诉讼中时，还是建议寻求专业律师的帮助，请律师在复杂的法律关系和纷繁的司法实务中，为当事人选择最为有利的维权路径，尤其是在裁判尺度尚未深度统一的时候。

本文作者：星来律所王珺律师、陈卓菱实习律师