An Algebraic Detection Approach for Control Systems under Multiple Stochastic Cyber-attacks

In order to compromise a target control system successfully, hackers possibly attempt to launch multiple cyberattacks aiming at multiple communication channels of the control system. However, the problem of detecting multiple cyber-attacks has been hardly investigated so far. Therefore, this paper deals with the detection of multiple stochastic cyber-attacks aiming at multiple communication channels of a control system. Our goal is to design a detector for the control system under multiple cyberattacks. Based on frequency-domain transformation technique and auxiliary detection tools, an algebraic detection approach is proposed. By applying the presented approach, residual information caused by different attacks is obtained respectively and anomalies in the control system are detected. Sufficient and necessary conditions guaranteeing the detectability of the multiple stochastic cyber-attacks are obtained. The presented detection approach is simple and straightforward. Finally, two simulation examples are provided, and the simulation results show that the detection approach is effective and feasible. © 2014 Chinese Association of Automation.

数据法益的阶层式还原路径与刑法适用

在既有刑事立法框架下,建构完整的数据法益保护体系首先需要将抽象的数据法益进行还原。耦合式法益还原路径以主体为导向进行数据法益的分配,容易使刑法陷入数据确权的难题之中,且无法回答数据法益与信息法益保护之间的关系。应以阶层式路径还原刑法中的数据法益,即数据载体法益、数据本体法益、信息法益。刑法对数据本体法益的保护实乃对信息法益的预防性保护,当行为人采取侵入性手段获取本就应当被公开的数据时,不必然构成非法获取计算机信息系统数据罪。刑法应当严密信息法益犯罪的法网,适当扩大针对信息法益犯罪罪名的适用。

我国数据犯罪立法的反思和重整

《数据安全法》与刑法之间存在宏观理念不协调、具体制度的代际落差、面向数据与信息“二元”立法的整体预案落空等规范“脱钩”问题。应统筹把握立法的主要内容、排列立法的重难点及主次逻辑、科学处理两法衔接的标尺与边界等。具体立法清单为:宜增设第151条之一暨数据、个人信息非法出境罪;增设第226条之一暨扰乱数据交易管理秩序罪;增设第231条之三暨妨害数据正当竞争罪;修改第285条第1款暨破坏重要数据、敏感个人信息安全罪;修改第285条第2款暨非法获取数据、个人信息罪;修改第286条之一暨拒不履行个人信息、数据安全管理义务罪;增设第286条之二暨破坏数据、个人信息安全罪。

爬取公开信息行为入罪的逻辑解构与标准重构——从“反反爬行为”的性质切入

在涉及网络爬虫程序的数据犯罪案件中,绕过反爬虫措施的“反反爬行为”因其“技术侵入性”和“法益侵害性”,成为爬取公开信息行为入罪的主要依据。然而,反爬虫措施不是计算机安保措施,故“反反爬行为”的“侵入性”在技术层面上并不成立。同时,为保护“数据控制权”而认定绕过反爬虫措施抓取数据行为侵害数据安全的观点,亦不具有正当性、合理性和可行性。实际上,基于计算机技术的原理、数字经济发展的需求、维护法秩序统一的需要,只有当“反反爬行为”突破基于特定身份的访问权限,从而破坏封闭网络空间的信息安全时,相应爬取数据行为和提供爬虫程序行为才成立数据犯罪。因而绕过反爬虫措施抓取公开信息的行为,不应构成非法获取计算机信息系统数据罪。

网络暴力场域中公民个人信息的刑法保护

网络暴力是指在信息网络上针对个人肆意发布谩骂侮辱、造谣诽谤、侵犯隐私等信息,损害他人名誉,扰乱网络秩序的行为。网络暴力与侵犯公民个人信息行为密切相关,实现刑法对公民个人信息的周全保护有利于削减网络暴力数量、抑制网络暴力产生、降低网络暴力危害。侵犯公民个人信息型网络暴力的行为类型主要为非法获取与非法提供,在满足其他要件的情况下构成侵犯公民个人信息罪;应纳入刑法规制范围的侮辱型网络暴力必须指向特定自然人,因而其中必然包含个人信息的非法泄露,后者应按照侵犯公民个人信息罪定罪处罚;提供他人真实信息的诽谤型网络暴力本身即为公民个人信息的非法提供,属于侵犯公民个人信息罪与诽谤罪的竞合。公开信息属于刑法中的公民个人信息,“人肉搜索”行为是否构罪取决于信息处理行为是否具有合理性;应在侵犯公民个人信息罪中增加“非法利用”行为要件,实现对单纯滋扰行为的有效规制;以拒不履行信息网络安全管理义务罪、非法利用信息网络罪等罪名追究网络暴力事件中平台的刑事责任,同时对其安全管理义务提出具体要求。

非法利用信息网络罪的入罪标准完善路径

非法利用信息网络罪主要包括三个入罪标准,即行为类型、违法犯罪和情节严重。《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》虽然对非法利用信息网络罪的入罪标准进行了明晰,但实践中司法适用仍存在困境。非法利用信息网络罪的入罪标准改进路径应当对三项标准进行优化,对“标准一:行为类型”进行限制解释,在“标准二:违法犯罪”中坚持并完善“部分违法+犯罪”学说,对“标准三:情节严重”的认定应采用综合认定和实质认定的方式,从而实现非法利用信息网络罪的正确适用。

电信网络诈骗非法提供两卡行为司法治理研究

当前法律规范下,大量为电信网络诈骗非法提供两卡行为被以帮助信息网络犯罪活动罪认定并处之以刑罚,不仅难以实现刑法惩罚与保护的目的,反而可能影响社会秩序的稳定,造成刑事司法资源的浪费。对其中形式上符合犯罪构成要件但实质上不需要判处刑罚的案件,在司法裁判中作出罪处理不仅具有必要性,还能够从损害可弥补、被侵害的法益可修复等角度找到理论支撑,在我国现行实体、程序法框架中也是有据可依的。非法提供两卡构成犯罪案件,如果行为人的人身危险性和再犯罪可能性低、行为本身危害性小、行为人事后认罪悔罪并积极退赔退赃或有其他轻微情节,可以考虑在司法裁判时免予刑事处罚。

恶意爬取数据行为的刑法规制边界——以非法获取计算机信息系统数据罪为视角

爬取数据行为的刑事风险逐渐扩张,根本原因在于未厘清非法获取计算机信息系统数据罪法益的实质内涵。考虑到作为本罪行为对象的“数据”所具有的动态流转功能及其背后的重要利益价值,应将本罪保护的法益界定为“数据的控制与操作自由—传统信息内容安全”。这一阶层式法益成功跨越事实和规范之间的“鸿沟”,保证了刑法罪名体系之间的协调与功能上的合理配置。在厘清非法获取计算机信息系统数据罪法益内涵的基础上,能够为恶意爬取数据的行为划定合理的刑法边界。爬取开放数据一律不构罪;恶意爬取半开放数据不构成本罪,但不排除构成传统信息类犯罪的可能性;恶意爬取不开放数据,若其无法被还原为刑法类型化保护的传统信息,则不构罪;如果能够被还原,根据刑法类型化保护的信息内容是否公开再次判断,若公开则不构罪,反之则构罪,并且可能与传统信息类犯罪发生法条竞合。

爬虫技术下非法获取计算机信息系统数据罪与侵犯著作权罪的关系

【目的】研究非法获取计算机信息系统数据罪与侵犯著作权犯罪的区别与联系,在实现数据法益刑法保护的同时,让其与传统罪名良好衔接。【方法】通过对爬虫技术下非法获取计算机信息系统数据罪、侵犯著作权犯罪以及涉及两罪的相关案例进行实证研究,分析两罪保护的法益与其实行行为的差异,进而研究两罪关系。【结果】在司法实践中非法获取计算机信息系统数据罪与侵犯著作权罪不是非A即B的关系。【结论】将数据犯罪与传统犯罪区分是必然的,但不应将数据犯罪与传统犯罪相排斥,非法获取计算机信息系统数据罪与侵犯著作权罪可以数罪并罚。

迈向“风险”范式的侵犯公民个人信息罪之教义学重构

刑法学界主流立场对侵犯公民个人信息罪的阐释与建构,因单纯倚重“权利”范式而存在理论缺陷、方法缺陷和现实缺陷,无力应对数据信息社会对个人信息保护提出的全新挑战。“风险”范式是近年来涌现的个人信息保护理念,能够合理分配信息处理活动的风险,将个人信息保护的主要责任与义务分配给制造风险的信息处理者。对侵犯公民个人信息罪的学理阐释,应统合两种范式的合理内核,重塑保护法益、犯罪属性以及不法阻却事由。侵犯公民个人信息罪的保护法益是数据信息社会中个体的匿名性;侵犯公民个人信息罪是法定犯而非自然犯,“违反国家有关规定”不能被矮化为“取得同意”;个人的知情同意与信息处理者基于风险的风险控制义务共同构成了不法阻却事由。

基于GIS的城镇住宅小区违建治理全过程管理研究

如何实现住宅小区违建治理的信息化、科学化和精细化,是城市管理的难点问题。本文根据住宅小区违建治理工作的实际需求,探讨了住宅小区违建治理工作多部门协同全过程管理流程,构建了住宅小区违建管理数据库,搭建了住宅小区违建治理综合管理平台,有效提高了住宅小区违建治理工作效率和治理能力。

侵犯游戏类虚拟财产行为定性分析——以关系路径为视角

游戏类虚拟财产包括游戏账号、金币与装备,从权利视角出发,将其定义为物权或债权都存在难以自圆其说之处,以此为基础展开的刑法论证并不严谨。采取利益保护模式,从游戏运营商、玩家和第三人之间迥异的三种法律关系入手可满足游戏类虚拟财产的刑法救济需求。游戏类虚拟财产具有财产属性,作为财产性利益被囊括进财产犯罪对象,其外延应当被限缩。网络游戏运营商具有零成本复制数据的权限,运营商控制下的游戏类虚拟财产因具有可复制性而不是财产犯罪的对象,玩家控制下的虚拟财产因不具有可复制性而可以成为财产犯罪的对象。已经进入玩家市场流通环节的虚拟财产应当以市场价格认定财产价值,尚未进入玩家市场流通环节的虚拟财产应当以被害人投入成本费用和行为人销赃价格折中认定财产价值。

APP侵犯公民个人信息行为的刑法规制及其合理边界

APP所具有的天然属性——相悖的二元功能面向,使得个人信息保护与利用之间的博弈更加明显,因此应寻求二者之间的平衡。未经用户同意的恶意APP与越权APP,在满足其他要件的情况下,容易构成侵犯公民个人信息罪。格式化授权与提供非民生所必需之服务的“非允即退”式授权不影响用户同意之效力;提供民生所必需之服务的“非允即退”式授权足以压制用户意思自由,同意无效。在同意被撤回之后,APP运营商拒不停止处理信息的行为属于“未经授权”的情形,广义的“获取”包括初始取得信息的动作与之后的持有行为。因此,APP运营商拒绝用户的删除申请、继续持有信息的行为属于“非法获取”。为避免犯罪评价半径过于扩张与刑事制裁措施过度使用,在强调适用侵犯公民个人信息罪的同时还应关注出罪化事由,主要包括处理匿名化信息、用户知情同意、处理公开信息、维护公共利益等。

非法获取虚拟游戏币犯罪问题的审视与应对

虚拟游戏币具有一定的财产属性,但不具有现实财产的效用性、可支配性和稀缺性,与现实财产存在着本质差异,不应属于财产类犯罪中的“公私财物”。因此,非法获取虚拟游戏币的行为不能被认定为盗窃罪。从行为方式上看,非法获取虚拟游戏币的行为符合非法获取计算机信息系统数据罪及破坏计算机信息系统罪的行为构成要件;从法益保护视角看,适用非法获取计算机信息系统数据罪及破坏计算机信息系统罪,是对作为两罪犯罪对象的数据作扩张解释,扩大到包括虚拟游戏币的一切数据。如此认定亦属无奈之举,刑法本身具有谦抑性,应当在其他法对虚拟游戏币属性确权后再进行刑事立法的回应。

窃取虚拟财产行为定性的教义学阐释与类型化规制

实务界和理论界关于窃取虚拟财产行为的定性众说纷纭,根源在于未划定作为理论前提的虚拟财产的讨论范围、作为盗窃罪对象“财物”的标准模糊、非法获取计算机信息系统数据罪的规范保护目的混乱以及对虚拟财产功能个性的忽视。为解决上述难题,应从虚拟财产的体系性保护角度出发,对其进行广义上的概念界定以厘定问题域,并对盗窃罪中“财物”的核心标准进行确定,分别是有交易价值、具有自然领域的物质客观实在性和受到法律保护。稀缺性、可转移性、管理可能性只能作为核心标准衍生出来的次检验标准。同时应将非法获取计算机信息系统数据罪的法益定位于“数据的控制与操作——传统信息内容安全”,以保证刑法罪名体系之间的协调与功能上的合理配置。在路径适用时,可以将虚拟财产分为账号类、游戏装备类和数字资产类,类型化地判断其是否成立盗窃罪和非法获取计算机信息系统数据罪,但也不能忽视根据虚拟财产功能特性上的不同而可能涉及到的其他相关罪名。

我国人脸识别技术风险之刑法应对

人脸识别技术的应用具有双重面向,其在网络空间内的大规模推广催生了一条组织严密、分工明确的犯罪黑色产业链。现行刑法主要存在以下规制困境:一是侵犯公民个人信息罪的适用困难;二是理论与实务对破解人脸验证行为的定罪存在分歧;三是非法使用人脸信息的规制缺位。对此,应当从人脸识别犯罪产业链的各环节入手,非法收集行为应通过实质解释将人脸信息归为“公民个人信息”,进而适用侵犯公民个人信息罪的相关规定。破解人脸验证并未破坏数据和系统安全,应构成非法控制计算机系统罪。非法使用行为需结合行为性质与用途具体判断,确定相应罪名。

帮信罪中非法资金认定规则的构建

在帮助信息网络犯罪活动罪中,因网络犯罪行为较为隐秘、银行流水走向复杂等特点,对于非法资金存在综合认定方式应用障碍、刑事推定正当性有待探究、刑事推定具体规则有待明确等困境。对此,需完善非法资金的证明责任分配方法,对非法资金认定可以采用刑事推定,但应当确立控方承担兜底证明责任、辩方承担产生“合理怀疑”说明义务的基础规则。帮信罪中的非法资金认定规则,包括:单向流水确定规则、综合认定时点规则、多重比对剔除规则、资金混同区分规则。通过这四项具体规则,避免数额认定的恣意性。

大数据时代下爬取企业数据行为的入罪标准及其司法限缩

作为网络爬虫的行为对象,企业数据是表现为二进制代码的信息。基于传统权利体系的不兼容及价值冲突的双重困境,企业数据所承载的法益并非是一项权利。为衡平企业数据控制与流通,企业数据所承载法益宜理解为企业对数据的事实控制,侵犯企业数据的行为成立非法获取计算机信息系统数据罪。判断网络爬虫行为不法的核心在于对非法获取计算机信息系统数据罪构成要件行为中“非法侵入”的理解。“非法侵入”的本质是“未经授权或超越授权进入计算机信息系统”,其需要根据不同系统类型分别适用宽窄不一的代码或合同规则。当前,司法机关对企业数据承载法益的权利化理解及企业系统类型的不予区分导致爬取企业数据行为入罪的严重扩张。司法机关理应根据被害人承诺及优越利益理论,对爬取公开数据、垄断数据的行为予以出罪。且司法机关应认识到接入互联网的企业计算机信息系统系是混合型系统,并适用限缩的代码与合同规则以对无视技术合约及突破或绕过反爬虫措施的爬取行为进行精准判断。

论违法性认识的出罪功能——以帮助信息网络犯罪活动罪为视角

风险社会下刑法的规制机能日益扩张,侵犯了个人法益保护的边界。有必要通过违法性认识出罪来缓解刑法规制和个体法益保护的紧张关系。基于理论服务于实践的导向,不同于学界对该理论在刑法体系中存在位置正当性的争论,本文将违法性认识的研究重点放在具体犯罪的出罪功能上。以帮助信息网络犯罪活动罪为视角,探究违法性认识在该罪中出罪的可能性和正当性,以实现个体正义。帮信罪因刑事政策需要、定罪证明的不合理及犯罪主体的特点决定了该罪存在违法性认识出罪的可能。根据责任非难的观点,帮信罪中的支付结算类行为以违法性认识出罪也具有正当性。

侵犯公民个人信息罪中同意的地位

侵犯公民个人信息罪是近几年来的研究热点,这一罪名的设立对个人法益,乃至社会法益、国家法益的保护都有重要意义。理论界主要围绕同意能否成为该罪名的违法阻却事由展开讨论,存在极端说和违法阻却事由机能说的争论。其中,极端说包括违法阻却事由不能说和完全的违法阻却事由说。相较而言,违法阻却事由机能说最为合理,据此,同意虽然能够成为违法阻却事由,但并非在所有情况下都能成为违法阻却事由。为了限制同意阻却违法性的刑法效果,还需要在刑法中将个人信息进一步分类,即分为核心领域信息、次核心领域信息及一般领域信息。由此,同意阻却违法性的刑法效果按照核心领域信息、次核心领域信息、一般领域信息的顺序依次削弱。