論與二維碼有關的違法犯罪防控

摘 要 我國的互聯網技術正處在高速發展的階段。二維碼由于其具有便捷高效的特性，被廣泛運用在網絡生活中。一些違法犯罪活動便企圖利用二維碼來進行。二維碼真偽難辨，同時由于國家對相關制度體制不夠完善，對于二維碼違法犯罪的防控較難開展。本文從二維碼在我國的應用為出發點，對二維碼違法犯罪活動進行分析，為二維碼違法犯罪的防控提供建議。

關鍵詞 互聯網 二維碼 違法犯罪 防控

作者簡介：余越洋，華東政法大學刑事司法學院。

中圖分類號：D924.3 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2017.12.348

一、二維碼技術的功能和在我國常見的應用類型

我國近幾年的網絡用戶呈現爆炸性增長趨勢，其中移動終端用戶占有主要比重。截止2016年7月，我國的手機網民達7.8億 。由此可見，我國網絡的運用很大一部分集中在移動終端上，而二維碼作為一個極大方便了用戶之間的聯系的工具，便隨著移動網絡的興起而快速發展。早在2012年，在客觀環境的提升下，二維碼隨著已有3億用戶的微信實現爆發性運用 ，二維碼已經成為了我們生活中不可缺少的信息工具。筆者綜合我國目前應用二維碼的情況，以二維碼使用者的應用目的為標準，對二維碼的運用進行了分類，二維碼在我國的應用大致可分為以下三類：

（一） 信息分享

二維碼的應用中最為主要的便是信息分享，這一應用的本質目的是為了實現信息的便捷傳播與流動，這同時也是二維碼設計的根本目的。用戶通過掃取二維碼來閱讀文章、查看消息、進行社交軟件的交友等等，這方面具體可參照微信、QQ等社交平臺上二維碼的運用。商戶作為用戶，還可以通過二維碼進行市場營銷活動，如產品宣傳、品牌推廣等等。二維碼在信息的分享與傳遞中扮演著“快速通道”的角色，正是由于它在信息分享上的運用，增大了網絡中的數據流，對于大數據的生成有著極大的作用，也正是因為如此，二維碼在信息分享交流中的應用使得用戶在網絡中留下自身信息的機會也就越多，這為套取信息型的二維碼違法犯罪提供了更大的犯罪“利潤”。

（二） 防偽查證

這一方面的運用發生在二維碼技術得到普及之后，它作為二維碼的創新型應用而存在，用戶運用移動設備掃描位于商品、貨物上的二維碼標簽，跳轉到商家事先設定好的防偽頁面，通過防偽頁面特有的防偽口令等網絡認證手段以檢驗商品真偽。中國牛肉質量安全追溯系統采用由中國農業大學研發的追溯標簽對牛肉質量進行跟蹤，該標簽由 UCC/EAN-128 碼和 QR碼（即二維碼）共同組成，消費者可以使用智能手機掃描標簽上的二維碼通過鏈接的網站進行信息查詢，該追溯系統采用了當前流行的 QR 碼進行追溯，保證了追溯系統的普世性和實用性 。這一應用是對于傳統的物理防偽標簽的升級，在標簽原有的物理性上又增加了網絡認證性，使得二維碼作為防偽口令起到作用的中介。二維碼的這一運用大大增加了違法犯罪的成本，使得此類犯罪如果需要得逞，則可能要對商家事先制作好的防偽頁面進行偽造，同時要對商家自身的防偽口令系統進行模擬，這大大增加了犯罪難度，對此類違法犯罪的預防有一定作用。

國內有不少使用二維碼開展防偽業務的公司，他們也是看中二維碼防偽標簽的安全性。如長沙景瑞防偽科技有限公司就二維碼防偽與傳統防偽技術所制作的對比表 ：

通過該表的信息，我們可以非常直觀地看出，二維碼在防偽溯源方面與傳統防偽方法相比，有著更大的優勢，二維碼在防偽查證方面發揮著極大的作用，對二維碼違法犯罪有一定防控作用。但是由于二維碼防偽標簽技術的專利一般只有專業防偽公司所擁有，導致引進該技術作為防護手段需要一定成本，使得該防偽技術更多地使用在農業和工業等實體產業，作為“大眾創業、萬眾創新”政策下剛剛興起的一些低成本網絡公司，由于其沒有實體產業支撐，且往往秉持著節約成本的運營觀念，對二維碼防偽技術的引進往往不夠重視，使得違法犯罪分子有了違法條件。

（三） 網絡支付

網絡支付同樣也是二維碼的創新型運用，二維碼的這一運用是對傳統網絡支付的革新。傳統的網絡支付一般單純發生在網絡環境中，不能當面進行商品交換，因為支付的終端常常是電腦等大型通訊設備，不便隨身攜帶。傳統的網絡支付是通過網上銀行等第三方網頁支付平臺支付，用戶漸漸感受到傳統網絡支付過程的繁瑣，傳統網絡支付時，需要登入網頁版支付平臺輸入賬號，再完成轉賬等一系列行為。隨著移動終端使用的增加，現實生活中對于移動網絡支付的需求也逐漸增加，人們漸漸發現利用手機支付既可以省去攜帶實物貨幣的麻煩，同時又能規避了實物貨幣結算時的找零行為。有了需求就有了變革的動力，于是，如支付寶、百度錢包、財付通等網絡支付平臺開發出了以二維碼支付為主要支付方式的移動版app。用戶通過掃取二維碼跳轉到支付頁面進行支付，整個過程變得極為高效快速，現如今，使用二維碼進行移動終端上的網絡支付幾乎成為絕大多數人在支付行為中的首選。

二維碼的應用在便捷信息交換、辨別虛假信息、方便網絡支付行為上都起到了革命性的作用，使用戶獲得了更加良好的體驗。但是，在肯定其極大地方便了用戶的網絡行為時，也應當指出二維碼的應用中具有一系列的安全問題，這些安全問題長時間暴露在網絡環境中，使得二維碼極其容易被違法犯罪行為利用而進行違法犯罪活動，使得公民的權利受到侵害。因此，對現有的二維碼違法犯罪進行分析和防控迫在眉睫，具有必要性。

二、二維碼違法犯罪在我國的具體類型

與二維碼有關的違法犯罪行為正是隨著上述二維碼的廣泛運用產生的，二維碼應用的范圍遍及方方面面，由于二維碼起步晚，興起迅速，相關安全機制還不夠完善，可被違法犯罪利用的安全性漏洞也較多。筆者通過對現今二維碼違法犯罪案例的整理分析，試圖將二維碼犯罪行為進行周延的分類。筆者認為，以二維碼違法行為發生后首先侵害的現實客體為標準可將其分為以下三類：

（一） 套取信息型

即利用二維碼進行非法獲取用戶信息的違法犯罪行為，其目的是非法獲取用戶信息。2015年全年，月戶均移動互聯網接入流量達到389.3M，同比增長89.9% 。我國的互聯網流量大幅增加，說明我國互聯網用戶使用互聯網的行為增多，這必然導致用戶的信息與資料在網絡行為中留下了更多的痕跡。違法者可通過搜集互聯網用戶在網絡行為中留下的各種信息痕跡，加以篩選，從而得到有利于違法犯罪的信息，如獲取的用戶住址可用于入室盜竊、獲取的用戶電話可用于電信詐騙，甚至獲取到重要的賬號密碼進行惡意轉賬等等。這類犯罪手段有兩種：1.直接套取：通過掃碼送禮等營銷手段，或者掃碼生成性格分析圖、星座運勢圖等“福利”贈送方式，誘使用戶填寫個人信息，進行用戶注冊，從這些用戶自主輸出信息的行為中間直接套取用戶信息。這類手段較為簡單且成本較低，只需要對二維碼進行簡單包裝修飾則可使用戶“交出”自己的信息，因此一般針對于不特定人群，所得的信息量也較大。2.間接套取：這類手法的技術含量較高，它可以先通過偽造的二維碼誘騙用戶掃碼，使用戶接入事先設置好的帶有木馬病毒的惡意鏈接，建立和移動終端的聯系，然后再通過通常的網絡攻擊步驟中植入病毒，安裝后門的手段，裝后門為精于算計的攻擊者在退出系統之前會在系統中安裝后門，以保持對已經入侵主機的長期控制 。使得木馬病毒感染移動終端，這一過程與電腦的木馬病毒的機理相同，之后則通過長期的流量監控、數據搜索等方式搜集用戶的大數據、上網痕跡等等，將用戶較為重要的信息竊取并用于違法行為。由于此類手段有一定的技術要求，因而犯罪成本較大，使其更加傾向于竊取較為重要的信息，導致其傾向于針對較為特定的對象，一般為能從中獲得較高犯罪利潤的對象。當然，撇開違法者對于犯罪對象的傾向性選擇，間接套取的手段同樣也能夠適用于不特定人群。

套取信息型的二維碼違法行為的主觀目的是套取用戶信息，非法套取用戶信息本身就是一種違法行為，至于后續可能利用信息侵害的何種客體，是可能客體，為避免分類過繁雜而分類難以周延，這里所做的分類標準只在行為完成后首先侵害的現實客體層面，以盡量明晰行為的分類，因此以非法套取信息為手段的違法行為不作進一步的分類。

（二） 獲取財物型

即是利用二維碼進行非法獲取用戶財物的行為，其目的是獲取用戶財產。這類行為主要是利用了二維碼難以辨認真偽的安全漏洞。這類行為主要發生在移動網絡支付的應用過程中，通過將鏈接了木馬程序的二維碼替換原先的二維碼，由于真偽二維碼在外觀上完全無法辨認，使得用戶極其容易被蒙騙而掃描了假冒的二維碼，接入違法者設置的網頁鏈接。如果網頁鏈接中含有木馬程序，手機一旦通過支付端口、掃碼端口對這類型的網站進行了搜索、打開，木馬程序就會連上你的信用卡、支付寶完成劃款，如南京市團購信息藏病毒二維碼案，也有的違法者不通過接入非法鏈接或木馬程序的方式，而是直接利用支付軟件的合法支付頁面進行欺騙行為，這主要是利用了支付界面的安全漏洞，不同用戶的支付界面幾乎相同，只有頭像、昵稱等作為區分不同用戶的依據。有效區分標識，即是能夠有效作出區分判斷的標識依據。而頭像、昵稱這類的區分標識都是可以由用戶進行隨意修改偽造的，且在現實的網絡支付環境中，支付雙方都力求快速完成交易。在這些因素的影響下使用者根本無暇仔細關注頭像和賬戶這僅有的認證標識來進行身份區別，在移動網絡支付過程中間極易忽略對象的真偽，使得用戶極有可能將錢款通過偽造的二維碼轉入非法者的賬戶中。如福建安溪“二維碼違停罰單”案，最早發現假冒告知單的是家住安溪鳳城鎮新華路的一位車主，當天早上8時左右，他在小區旁準備取車時，看到車上有一張黃色告知單，上面的二維碼讓他生疑。目前公安交管部門并未開通微信二維碼繳納罰款功能，如碰到在違停告知單上設置二維碼進行轉賬的，都是詐騙。

通過對這些現有的二維碼違法犯罪類型進行分析，我們可以從中總結出各個類型的二維碼犯罪所利用的漏洞所在，并以此對二維碼違法犯罪的防控作出分析總結。

三、二維碼運用中的安全問題與防控建議

（一）真偽難辨

真偽難辨，是所有二維碼安全問題的根源。如前述，二維碼是黑白幾何圖形按一定規律分布生成的，因此從外觀上很難看出二維碼的異同之處。而二維碼信息獲取的來源正是這種難以分辨異同的幾何圖形。這種真偽難辨的安全漏洞一旦被違法犯罪者加以利用，則成為了詐騙的新手段。北京警方破獲首例偽造“掃二維碼違章罰單”詐騙案， 2016年10月9日23時許， 張女士發現自己停放在大興區路邊的汽車上貼有“掃二維碼交罰款”的“違章罰單”，她用手機掃描二維碼后，出現“向北京市大興區交通支隊轉賬200元”的界面。原來，楊某以100元的價格讓一名網友偽造了罰單。目前，楊某因涉嫌偽造國家機關公文印章罪被刑事拘留。

防控建議：這均是由于二維碼真偽難以分辨造成的，應當及時采取措施來修補如此明顯的安全漏洞。二維碼本身的難辨性較難改善，因為其難辨性主要是圖形排列復雜、色調單一，肉眼難以分辨導致的，但圖形的排列正是二維碼功能的核心，改變了圖形的排列，二維碼就不具備傳播特定信息的功能了。因此，從改變圖形排列入手改變其難辨性明顯不現實，即不可能改變二維碼本身。筆者認為，應當從外部強化認證機制，提升其可辨性。如網絡公司對自己使用的二維碼進行防偽認證，將二維碼嵌入防偽頁面，由于防偽頁面難以偽造，讓自己公司的使用的二維碼頁面不易被不法分子盜用嵌入假冒二維碼。還有在支付頁面上加強對不同用戶分辨的標識，如企業認證標識、使用一個用戶一個賬號，同時頁面上強化用戶賬號的醒目度。也應當如文章前述，推廣二維碼防偽技術，有關部門應當推廣二維碼防偽技術的效果，使得中小企業對二維碼防偽更加重視。二維碼的難辨性也是二維碼容易被犯罪分子利用的主要原因，所有的二維碼犯罪行為所借助的主客觀條件，都是基于二維碼的難以辨認性而展開的。

（二） 缺乏完備的標準體系與監管

我國的二維碼行業隨著近幾年網絡的發展而發展，興起的較為迅速，但二維碼的安全體系還沒能跟上，沒有一個統一完備的二維碼安全標準來規范市面上二維碼的應用，國家也沒能及時有效地對二維碼傳播的信息、鏈接等進行監管審查，使得二維碼處在一個幾乎無約束的發展的狀態之下，更使得二維碼違法犯罪行為從根源上得不到抑制，當違法犯罪行為出現時予以打擊，往往是指標不治本。因此，我國的二維碼行業急需行業標準體系的制定以及政府監管的介入。

防控建議：當務之急是先制定完備的二維碼行業標準體系，這樣才能使得政府的監管得以介入，且介入有依據。國家標準化管理委員會司長鄧瑞德說道：“鑒于二維碼發展和推廣的需要，當務之急就是要建立健全標準體系，要制定相應的借口標準、數據流標準、統計標準、測試方法標準、安全標準、保密標準、誠信標準等，并推進標準的實施。” 因此，應當首先在二維碼建立安全標準體系以規范市場。我國目前的行業標準較為粗糙，7月27日，中國二維碼標準聯合工作組在北京舉行啟動儀式，二維碼國家標準同時發布，工作組將從基礎、技術、應用3個層面規劃制定二維碼國家標準、行業標準及團體標準等相關標準，建設我國二維碼標準體系，對我國“自主、安全、規范、可控”的二維碼公共管理服務體系的快速建立和二維碼產業的健康發展具有重要意義。 我國二維碼標準的出臺只是一個開始，標準還有很多部分需要細化，因此，出臺完備的行業標準是應當不斷努力的方向。

在建立了規范的標準體系后，政府就要依據標準介入監管，建立監管體系。我國在二維碼領域的相關監管規定也同樣粗糙，僅央行在網絡支付領域對二維碼（央行的函告中稱“條碼”）的監管原則進行了規定，根據中國人民銀行支付結算司有關條碼支付原則及要求的函告中規定：“線下條碼支付具有進入門檻低、便捷等特點，適用于對傳統POS收銀成本敏感的小商戶的日常小額交易，定位于傳統線下銀行卡支付的有益補充”、“支付機構開展條碼支付所涉及的系統、客戶端等相關產品通過支付清算協會組織的檢測認證”、“中國銀聯可在參照支付清算協會標準基礎上聯合只要成員機構指定銀聯卡條碼支付標準與業務規范，實現跨機構之間銀行卡條碼支付的互聯互通”可以看出，我國的監管體系中的規定主要為原則性規定，十分粗糙，還應當對具體的監管行為作進一步進行細化規定。因而，我國的二維碼行業的標準和政府監管體系均有進一步發展的空間，且應當跟上二維碼應用行業發展的步伐而不斷細化。

（三） 對移動終端的防護意識薄弱

對于移動終端我們沒有保持一個較高的安全意識，病毒傳播最主要的途徑就是通過網絡，移動終端同樣有接入網絡的功能，智能手機的操作系統具有開放性的特征，在給使用者帶來方便的同時也導致了安全問題的產生 ，黑客針對智能手機操作系統中存在的漏洞，開發和研制出大量的進入智能手機的漏洞工具 ，并且在之前在文章中已經提到，移動網絡終端的流量在爆發性增長，正因為如此移動網絡終端感染病毒的概率也非常高，我們對于手機、平板電腦等移動終端的安全防護意識也必須加強。

防控建議：我們應當為手機安裝安全殺毒軟件，監控手機在網絡行為中的流量，防止不法分子通過二維碼使我們的終端連接上病毒鏈接，防止手機被其植入病毒，起到預防作用。金山、奇虎等網絡科技公司均有開發適用于不同移動終端的安全軟件供用戶選擇使用，且操作頁面簡單明了。同時，我們在使用設備時應當多留一個心眼，不要貪小便宜，應當警惕類似“掃一掃送禮品”、“掃一掃打折”的二維碼營銷手段，不要相信天上會掉餡餅，防止通過掃取這類二維碼被接入惡意鏈接，植入病毒。我們也應當多關注掃碼后的頁面是否異常，以及在移動支付時多關注掃碼后的付款對象是否和自己的付款對象相同，防止被不法分子偽造的假冒二維碼蒙騙而遭受損失。

四、結語

隨著我國經濟的日益繁榮，網絡技術的發展速度將越來越快，二維碼的運用也更將呈現常態化，與二維碼有關的違法犯罪也將更加活躍，由于目前主客觀方面存在的缺陷，使得對于此類違法行為的防控形勢更為嚴峻。如上述，要使目前這個形勢得到改善，使人民合法利益得到有效保護，應當從人民和政府兩個方面入手，從意識和體制兩個層面進行改善，健立完備的二維碼行業監管體制，加強人民自我防護意識，有效打擊此類違法犯罪的發展勢頭，防止二維碼在其快速發展的過程中淪為違法犯罪的工具。

注釋：

中國互聯網協會、國家互聯網應急中心.中國移動互聯網發展狀況及其安全報告（2016）.2016.

王楊.二維碼傳播信息的應用及其分析.山西大學.2013.

蘭龍輝、邱榮祖.維碼技術在農產品物流追溯系統中的應用.物流工程與管理.2013（9）.

景瑞防偽：http：//csfangwei.com/fufei/？baidu20160705001.景瑞防偽為老字號防偽企業.

工業與信息化部.2015年通信運營業統計公報.2016-01-21.

余波、于冷.計算機系統安全原理與技術. 北京：機械工業出版社.2009.

楊路.一種隱藏簽名認證方案的分析與改進.計算機應用研究.2011（7）.

丁瑩.中國二維碼國家標準發布.中國質量報.2016-07-29.

李潤榮.智能手機安全問題及防護技術分析.無線互聯網科技.2015（18）.