随着万物互联时代的全面到来,物联网(Internet of Things, IoT)设备已经深度嵌入社会生活的各个层面——从智能家居、可穿戴设备到工业控制系统、智慧城市基础设施,物联网设备的连接数量呈指数级增长。据相关统计,截至2025年底,全球物联网设备连接数已突破200亿台。然而,物联网设备在带来便利的同时,也因其自身安全漏洞频发、防护能力薄弱等问题,日益成为网络犯罪分子的攻击目标和犯罪工具。物联网设备被利用实施犯罪,已经从一个技术问题演变为一个严峻的法律问题。
本文从刑事辩护律师的实务角度出发,系统梳理物联网设备被利用实施犯罪的技术特征与类型,深入分析安全漏洞的法律归责原则,探讨设备制造商的合规义务与刑事责任边界,明确使用者的注意义务与出罪空间,并提出针对性的辩护策略,以期为司法实践提供参考。
一、物联网犯罪的技术特征与类型
(一)物联网设备的安全脆弱性
物联网设备相较于传统计算机终端,具有以下显著的安全脆弱性:第一,计算资源受限。大量物联网设备采用低功耗芯片,处理器性能和存储空间极为有限,难以运行复杂的安全加密算法和防护软件。第二,固件更新机制不完善。许多设备制造商在产品售出后缺乏持续的固件更新支持,导致已知安全漏洞长期得不到修补。第三,默认配置存在安全隐患。大量设备出厂时使用默认密码、开放不必要的网络端口,且用户缺乏修改默认设置的技术能力。第四,通信协议安全性不足。部分物联网设备使用的通信协议(如蓝牙低功耗、ZigBee等)存在固有的安全缺陷。
(二)物联网犯罪的主要类型
在司法实践中,利用物联网设备实施的犯罪主要包括以下几种类型:
1. 利用物联网僵尸网络实施DDoS攻击。 这是最为典型的物联网犯罪形态。攻击者通过恶意软件感染大量存在安全漏洞的物联网设备(如网络摄像头、家用路由器等),将其组建成僵尸网络(Botnet),进而对特定目标发动大规模分布式拒绝服务攻击。2016年著名的Mirai僵尸网络事件即是典型案例,该僵尸网络感染了约60万台物联网设备,对美国东海岸地区的大规模互联网服务造成瘫痪。
2. 利用物联网设备窃取个人隐私数据。 智能家居设备(如智能音箱、智能摄像头、智能门锁等)持续收集用户的语音、图像、行为习惯等敏感信息。攻击者通过入侵这些设备,可以获取大量个人隐私数据,进而实施侵犯公民个人信息犯罪。根据《中华人民共和国刑法》第二百五十三条之一的规定,非法获取公民个人信息,情节严重的,构成侵犯公民个人信息罪。
3. 利用工业物联网设备实施破坏生产系统的犯罪。 在工业互联网领域,攻击者可入侵工业控制系统(SCADA),篡改生产参数、破坏生产流程,甚至引发安全事故。这类行为可能触犯《刑法》第二百八十六条规定的破坏计算机信息系统罪,以及第一百一十四条、第一百一十五条规定的以危险方法危害公共安全罪。
4. 物联网设备成为诈骗等传统犯罪的工具。 犯罪分子利用物联网设备的定位功能、远程控制功能等,为诈骗、盗窃等传统犯罪提供技术支持。例如,利用智能锁具的远程控制功能实施入室盗窃,利用车载物联网系统实施车辆盗窃等。
二、设备安全漏洞的法律归责原则
(一)刑法上的因果关系认定
物联网设备被利用实施犯罪,涉及多层主体——设备制造商、网络服务提供者、设备使用者、直接攻击者。在刑法上,需要准确判断各主体行为与犯罪结果之间的因果关系。
根据刑法理论中的条件说和相当因果关系说,只有在行为与结果之间具有条件关系且具有相当性时,才能认定因果关系成立。对于设备制造商而言,其生产的存在安全漏洞的设备仅仅是犯罪发生的条件之一,而非直接原因。攻击者主动利用漏洞实施犯罪的行为,才是犯罪结果的直接原因。因此,在大多数情况下,设备制造商的安全漏洞与犯罪结果之间不具有刑法上的直接因果关系。
但是,如果设备制造商明知其产品存在严重安全漏洞,且该漏洞极易被利用造成严重后果,却故意不予修复,甚至在收到安全研究者的漏洞报告后仍然置之不理,则可能认定其主观上存在放任的故意,客观上为犯罪提供了条件,在特定情形下可能构成不作为犯罪。
(二)归责原则的适用
在物联网犯罪案件中,应当遵循以下归责原则:
主客观相一致原则。 不能仅因设备存在安全漏洞就追究制造商的刑事责任,必须考察其主观上是否具有犯罪的故意或过失。制造商对安全漏洞的主观认知状态,是认定其是否承担刑事责任的关键。
罪责自负原则。 物联网设备被他人利用实施犯罪,设备所有者或使用者一般不承担刑事责任,除非其明知或者应当知道设备被用于犯罪而仍然提供帮助。刑法打击的应当是实施犯罪行为的直接行为人,而非无辜的设备使用者。
比例原则。 在追究相关主体责任时,应当考虑其行为的社会危害性程度、主观恶性大小、与犯罪结果的关联度等因素,做到罚当其罪。
三、设备制造商的合规义务与刑事责任
(一)现行法律框架下的合规义务
我国现行法律对物联网设备制造商的合规义务已有初步规定:
在行政法律层面,《网络安全法》第二十二条规定,网络产品和服务应当符合相关国家标准的强制性要求;网络产品、服务提供者发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,及时告知用户并向有关主管部门报告。《数据安全法》和《个人信息保护法》也分别对数据处理者和个人信息处理者的安全保障义务作出了规定。
在部门规章层面,《物联网终端安全白皮书》等指导性文件,以及国家标准化管理委员会发布的《信息安全技术 物联网数据传输安全要求》(GB/T 37044-2018)、《信息安全技术 物联网安全参考模型及通用要求》(GB/T 37044-2019)等国家标准,为物联网设备的安全设计和管理提供了规范性指引。
(二)刑事责任的边界
设备制造商是否承担刑事责任,核心在于其是否履行了安全保障义务以及其主观过错程度。
不构成犯罪的情形: 设备制造商在产品设计中遵循了当时的安全标准和行业惯例,在发现漏洞后及时发布了安全补丁并通知用户更新,但因技术局限性未能防范新型攻击手段的,一般不应当承担刑事责任。这属于技术发展过程中的正常风险,应当通过民事责任和行政责任予以解决。
可能构成犯罪的情形: 第一,设备制造商明知产品存在严重安全漏洞,可能被利用实施危害公共安全的犯罪,仍不采取补救措施,造成严重后果的,可能构成不作为的犯罪。第二,设备制造商故意在产品中预留"后门",为他人实施网络犯罪提供便利的,可能构成帮助信息网络犯罪活动罪(《刑法》第二百八十七条之二)或相关犯罪的共犯。第三,设备制造商违反国家规定,未履行网络安全保护义务,经监管部门责令采取改正措施而拒绝改正,致使违法信息大量传播、用户信息泄露造成严重后果等情形的,可能构成拒不履行信息网络安全管理义务罪(《刑法》第二百八十六条之一)。
四、使用者的注意义务与出罪空间
(一)使用者的合理注意义务
物联网设备的使用者(包括个人用户和企业用户)对其所使用的设备负有一定的合理注意义务。对于个人用户而言,其注意义务的标准应当以一般公众的技术认知能力为基准,不应当苛求普通用户具备专业网络安全知识。具体而言,个人用户的合理注意义务包括:及时修改设备的默认密码、安装厂商推送的安全更新、不在不安全的网络环境下使用设备等基本安全操作。
对于企业用户,特别是涉及关键信息基础设施运营的企业,其注意义务标准应当高于个人用户。企业用户应当建立物联网设备安全管理制度,定期开展安全评估,及时更新设备固件,对重要数据采取加密保护措施等。
(二)出罪空间的认定
在司法实践中,以下情形应当认定为使用者不具有刑事可罚性:
缺乏主观明知。 使用者不知道且不应当知道其物联网设备被他人利用实施犯罪。例如,普通家庭用户的智能摄像头因制造商的固件漏洞被黑客入侵并用于窃取邻居隐私,该用户对此完全不知情,不应当承担刑事责任。
尽到合理注意义务。 使用者已经按照厂商说明和一般安全常识对其设备进行了基本的安全配置,但仍因设备本身存在的未知漏洞被利用,不应当追究使用者的刑事责任。刑法不应当要求普通公众承担超出其能力范围的注意义务。
被胁迫或欺骗。 使用者在受到网络攻击者的技术胁迫或社会工程学欺骗的情况下,其设备被利用实施犯罪,应当根据具体情况认定是否存在排除犯罪事由。
五、辩护策略与典型案例
(一)无罪辩护:否定犯罪构成要件
1. 否定主观方面的辩护。 在物联网设备被利用实施犯罪的案件中,辩护律师首先应当审查行为人是否具有犯罪的主观故意或过失。如果当事人是设备的普通使用者,其对设备被利用实施犯罪完全不知情,不具有犯罪故意,也不具有应当预见而未预见的过失,则应当作无罪辩护。根据《刑法》第十六条的规定,行为在客观上虽然造成了损害结果,但不是出于故意或者过失,而是由于不能抗拒或者不能预见的原因所引起的,不是犯罪。
2. 否定客观行为的辩护。 对于被指控参与网络犯罪的当事人,辩护律师应当仔细审查其客观行为是否符合犯罪构成要件。例如,某程序员在工作中编写了可被用于物联网设备漏洞扫描的代码,但该代码系用于合法的安全测试目的,后被他人非法获取并用于犯罪活动。在此情形下,该程序员的行为不具有刑事违法性,应当作无罪辩护。
(二)罪轻辩护:量刑情节的挖掘
1. 自首与立功。 物联网犯罪案件往往涉及复杂的技术手段,行为人到案后如实供述自己的犯罪手法,协助侦查机关理解攻击技术路径,甚至主动提供其他案件的线索,可以争取自首和立功的认定。
2. 从犯地位。 在共同犯罪中,如果当事人仅实施了较为边缘的技术辅助行为(如提供漏洞信息、编写部分代码等),并非犯罪的主要策划者和实施者,应当争取认定为从犯,依法从轻或减轻处罚。
3. 退赃退赔与被害人谅解。 对于涉及财产损失的物联网犯罪案件,积极退赃退赔、取得被害人谅解,是争取从宽处理的重要途径。
(三)证据辩护:电子证据的审查
物联网犯罪案件的核心证据通常是电子证据。辩护律师应当重点审查以下方面:
电子证据的收集程序是否合法。 根据《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》,电子数据的收集、提取应当由二名以上侦查人员进行,取证方法应当符合相关技术标准。违反法定程序收集的电子证据,可能被作为非法证据排除。
电子证据的完整性与真实性。 物联网设备产生的日志数据、网络流量数据等是否被完整提取,是否存在被篡改的可能性,数据的时间戳是否准确等,都是辩护律师应当仔细审查的要点。
司法鉴定意见的质证。 对于涉及物联网技术的司法鉴定意见,辩护律师应当审查鉴定机构的资质、鉴定方法是否科学、鉴定结论是否具有唯一性等。必要时,可以申请具有专门知识的人员出庭作证或重新鉴定。
(四)典型案例分析
以某"智能摄像头被入侵案"为例:被告人李某利用网上公开的漏洞利用工具,入侵了数百台存在默认密码未修改问题的智能摄像头,获取了摄像头拍摄的画面并贩卖获利。辩护律师在审查中发现,部分摄像头的数据提取程序存在瑕疵,部分电子证据的哈希校验值不匹配,最终成功排除了部分关键证据。同时,辩护律师提出李某使用的工具系网上公开工具,其技术含量较低,社会危害性相对有限等量刑辩护意见,最终获得了较为宽大的处理结果。
六、结语
物联网设备被利用实施犯罪,是一个技术发展与法律规制之间张力的集中体现。在追究犯罪行为人刑事责任的同时,必须准确把握归责原则,合理界定设备制造商、网络服务提供者、设备使用者等各方主体的法律责任边界,既不能放纵犯罪,也不能将技术风险无限转化为法律风险。
从立法层面看,我国亟需完善物联网安全领域的专门立法,明确设备制造商的安全保障义务和违反义务的法律后果,建立物联网设备安全认证制度,推动行业安全标准的制定与实施。从司法实践层面看,办理物联网犯罪案件需要法官、检察官和辩护律师具备一定的技术素养,正确理解技术事实,准确适用法律。从辩护律师的角度看,应当深入理解物联网技术原理,熟练掌握电子证据审查规则,善于运用无罪辩护、罪轻辩护、证据辩护等多种策略,切实维护当事人的合法权益。
作为江西吉泰律师事务所的刑事辩护律师,笔者将持续关注物联网犯罪领域的法律发展动态,为当事人提供专业、高效的法律服务。
*声明:本文仅为法律知识分享与学术探讨,不构成具体法律意见。如有法律问题,请咨询专业律师。*
*王吉成律师联系方式:183-0796-5661(微信同号:lawyer_wang_zz)*
*执业机构:江西吉泰律师事务所*
*办公地址:江西省吉安市吉州区平园路9号金光道大厦19楼*