摘 要:我国《刑法》中的网络犯罪罪名体系经历了不断拓展的三个发展阶段,体现出了回应性扩张、预防性前置、概括开放性的特点。虽然我国网络犯罪立法积极回应实践难题,整体上契合网络刑事治理的发展,但是仍存在诸多值得反思之处。网络犯罪体现出复杂而多元的法益属性,兼具公共性、秩序性与个体性的多重特征,将其置于《刑法》第6章第1节之下并不恰当。现有网络犯罪罪名体系存在刑法保护范围不周延、罪名之间相互交叉重合的现象。近年来的网络犯罪立法并没有对明确性原则给予充分重视,引发了正当性危机和司法适用争议。面对上述问题,在法教义学的努力之外,应当从宏观层面重构网络犯罪罪名篇章结构、严密刑事保护法网,在微观层面理顺罪名关系、细化罪状表述。
关键词:网络犯罪 立法特征 立法结构 罪名体系 体系反思
近年来,我国的刑事立法进入了活性化发展的阶段,新罪不断设立,犯罪门槛逐渐降低,这引起了学界的激烈争论。而在这波犯罪化浪潮中,网络犯罪无疑是立法的“宠儿”。面对我国网络犯罪不断扩张、翻新、升级的局面,不应仅仅满足于对立法正当性的宏观探讨,而需系统梳理我国网络犯罪法律体系的发展历史,总结其特征与趋势,在此基础上深入而具体地评估目前我国网络犯罪立法的体系、结构,分析其内部逻辑与细节,为网络刑事治理寻找立法论上的指导。
一、我国网络犯罪立法的历史嬗变
(一)1997年《刑法》:奠定罪名基础
随着计算机技术的发展,为了保护计算机信息系统的安全,我国1997年《刑法》首次规定了第285条“非法侵入计算机信息系统罪”和第286条“破坏计算机信息系统罪”。前者对国家事务、国防建设、尖端科学技术领域的计算机信息系统的访问权限进行了保护,后者则规定了三种破坏计算机信息系统的行为,包括对计算机信息系统功能进行删除、修改、增加、干扰,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加,以及故意制作、传播计算机病毒等破坏性程序。此外,1997年《刑法》还增加了第287条利用计算机实施的有关犯罪。按照这一概括性的注意规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。上述两个具体罪名和概括性条款,构成了我国网络犯罪的罪名基础,被学者称为“两点一面”的罪名体系。在这个阶段,互联网尚未普及,网络犯罪尚属新生事物,因此立法条文也相对简单,此类犯罪的核心载体与媒介仍是计算机,因此在理论与实务中更常使用“计算机犯罪”这一概念。
(二)《刑法修正案(七)》:拓宽保护范围
进入新千年后,我国的信息技术飞速发展,互联网普及率迅速提升,网络安全问题也逐渐严重。例如,据国家计算机病毒应急处理中心统计,2007年我国接入互联网的计算机中约有91.47%被植入病毒、木马程序,被植入三种以上病毒、木马程序的占53.64%。然而,当时“两点一面”的罪名体系显然难以应对这种不断恶化的局面。一方面,《刑法》第285条所设定的计算机信息系统的范围过于狭窄,国家事务、国防建设、尖端科学技术领域以外的计算机信息系统没有被纳入《刑法》保护范围之内。另一方面,侵入计算机信息系统后窃取数据和控制计算机信息系统的案件急速增加,而这类行为也无法为原有《刑法》所涵盖。有鉴于此,立法者于2009年通过《刑法修正案(七)》新增了285条第2款“非法获取计算机信息系统数据、非法控制计算机信息系统罪”,将侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其技术手段,获取数据或者非法控制该计算机信息系统的行为,纳入了犯罪圈。
此外,非法侵入计算机信息系统和窃取数据泛滥的重要原因之一在于有人专门制作、销售用于实施此类犯罪行为的程序和工具,大大降低了犯罪难度。因此,立法者特别地将这类技术帮助行为单独入罪,即《刑法》第285条第3款“非法提供侵入、非法控制计算机信息系统的程序、工具罪”。按照该款规定,提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,独立构成犯罪而不再从属于被帮助正犯的认定,这也开创了网络犯罪领域“共犯正犯化”的先河。立法机关认为,上述程序、工具的提供者常常是以层层代理的方式销售,难以查清与实际正犯的关联性,为了避免共同犯罪实体和程序认定上的困难,将程序、工具的提供者单独入罪处罚。
至此阶段,我国的网络犯罪立法模式初步与国际接轨,几种世界范围内常见的网络犯罪类型在中国立法中都被涵盖,刑法的保护范围显著拓宽。
(三)《刑法修正案(九)》:革新制裁思路
进入21世纪第二个十年后,我国的信息产业进一步加速增长,而且与商务交易应用的发展联系极为密切。截止2015年6月,中国网民规模达到6.68亿,互联网普及率为48.8%,其中网络购物用户规模即达到3.74亿。但是,与之伴随的是网络犯罪的链条化与产业化发展,犯罪整体规模之大、参与人员数量之多前所未有。中央政法委时任书记孟建柱曾指出,近年来暴力犯罪(如杀人、爆炸、抢劫等)数量持续下降,但是传统的违法犯罪向网上蔓延,网络犯罪已占犯罪总数近三分之一,已经成为第一大犯罪类型。在这样的背景下,立法者回应实践需求,采取了一些不同于以往的刑事制裁思路。
首先,立法者直接确立了以往作为间接责任主体的网络服务提供者的刑事责任。在网络空间中,网络服务提供者既提供着不可或缺的基础网络技术服务,使信息互联成为可能,也扮演着“守门人”角色,在一定程度上对信息内容发挥节点控制的功能。立法机关认为,实践中一些网络服务提供者常常不履行法律、行政法规规定的义务,甚至造成了严重的法律后果,应将网络服务提供者的信息网络安全管理义务在《刑法》中加以确认,因此设立了《刑法》第286条之一“拒不履行信息网络安全管理义务罪”。根据该条规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,造成违法信息大量传播、用户信息泄露、刑事案件证据灭失等后果之一的,构成犯罪。
其次,立法者采取了网络犯罪预备行为实行化的策略。由于网络犯罪出现链条化、产业化发展的特征,仅仅在犯罪产业链下游进行打击难以回应实践需要,因此一种前置处罚、实现早期干预、“打早打小”的预防刑法思想进入人们视野。立法机关认为,实践中网络犯罪在证据提取、事实认定、法律适用等方面遇到了诸多难题,互联网犯罪的跨地域性、灵活性、分散性使得很难对所有犯罪参与人一一查证,因此增设了《刑法》第287条之一“非法利用信息网络罪”,对为实施犯罪设立网站、发布信息等行为作出专门规定。该条规定,利用信息网络,设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;或者发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;或者为实施诈骗等违法犯罪活动发布信息的,构成本罪。
最后,立法者在网络犯罪领域进一步引入了统括性的“共犯正犯化”思路。在纵深发展的网络空间中,共犯参与结构产生了重要的变化。在客观方面,由于网络技术性因素的影响,正犯与共犯对犯罪目标实现的重要性逐渐发生翻转,在很多情况下,共犯(尤其是帮助犯)发挥着比正犯更加重要的实际作用。而且,由于网络犯罪产业化分工的影响,不同参与主体之间的客观联系越发松散。在主观方面,由于上述原因参与人之间的犯罪意思联络也越来越难以认定。因此,司法实践中网络共同犯罪的定罪处罚越来越困难。鉴于这种状况,立法者引入了比《刑法》第285条第3款更为概括性的“共犯正犯化”立法,将为他人信息网络犯罪提供帮助且情节严重的行为整体性入罪,即《刑法》第287条之二“帮助信息网络犯罪活动罪”。按照该条规定,明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的构成犯罪。
此外,《刑法修正案(九)》还增加了非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪,破坏计算机信息系统罪的单位犯罪。值得注意的是,过去十余年间,最高人民法院和最高人民检察院(以下简称“两高”)颁布了一系列刑事司法解释,为网络犯罪(尤其是传统罪名所涉及的网络犯罪,如网络赌博、网络诽谤、网络传播淫秽物品等)的定罪处罚提供了具体化的准则,如2010年两高、公安部《关于办理网络赌博犯罪案件适用法律若干问题的意见》;2010年两高《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》;2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》等。而且,两高近年来陆续发布了一系列网络犯罪指导性案例,虽然这些案例没有被直接适用的法律效力,但是实际上仍然为网络犯罪的认定提供了指导性的规则。
二、我国网络犯罪立法的趋势特征
通过梳理上述网络犯罪的立法变迁,可总结出我国网络犯罪立法的如下趋势特征:
(一)回应性的罪名扩张
纵观我国网络犯罪刑事立法的三个阶段,充分回应网络犯罪逐步恶化的现实、不断扩张网络犯罪罪名体系是基本的特征之一。早在1997年《刑法》修正时,公安部就在立法建议中列举了8种网络犯罪罪名,但是最终只有其中两种被采纳。立法者采取这种保守的立场值得肯定,因为彼时中国的网络社会刚刚发端,互联网普及率极低。据统计,截止1997年10月,我国上网计算机总数才29.9万台,上网用户数62万,WWW站点数也只有1500个左右。然而,在此之后的20余年,中国的互联网“跑步前进”,信息技术迅猛发展、互联网普及率急剧提升,网络犯罪的数量和类型也迅速膨胀。在此背景下,立法者不仅拓宽了对计算机信息系统的保护范围,将国家事务、国防建设、尖端科学技术领域外的一般计算机信息系统也纳入进来;而且还设立了对信息数据的刑法保护机制,将非法获取计算机信息系统数据和非法控制计算机信息系统的行为也予以犯罪化。此外,面对争议较大的网络服务提供者刑事责任和平台刑事责任问题,立法者也做出了积极主动的回应,明确将网络服务提供者的信息网络安全管理义务入刑。在传统社会及其刑事犯罪迅速网络化、信息化的基本背景下,新型刑事法律风险凸显,原有刑事立法框架难以承受其重,因此回应性的罪名扩张符合实践需要,值得充分肯定。
(二)预防性的处罚前置
由于网络犯罪开始以链条化、产业化的方式发展,为了更有效地应对这一局面,克服网络犯罪在定罪处罚中所面临的困难,立法者采取了预防性的处罚前置思路。一方面,为了落实对网络犯罪实施“打早打小”的治理策略,从网络犯罪链条上游进行早期遏制,立法者引入了“预备行为实行化”的策略,这直接地体现在《刑法》第287条之一“非法利用信息网络犯罪活动罪”中。另一方面,着眼于网络共同犯罪中的诸多实践性难题,近年来的立法旗帜鲜明地采纳了“共犯正犯化”的思路。在《刑法修正案(七)》中,立法者仅是通过《刑法》第285条第3款将特定犯罪(即《刑法》第285条第1款和第2款)的特定技术帮助行为(即提供程序、工具)予以正犯化,“共犯正犯化”的立法理念仍然局限在专门性的网络犯罪领域。而在《刑法修正案(九)》中,立法者则进一步通过《刑法》第287条第2款将广义网络犯罪(即所有利用信息网络实施的犯罪)的宽泛性帮助行为整体予以正犯化。如此一来,对网络犯罪共犯的独立处罚就在更宽的领域内展开了。
经由以上两种立法思路,网络犯罪的刑事处罚不仅在干预阶段上纵向提前,而且也在规制范围上横向拓展。面对现代技术所带来的不可避免的不确定性,传统刑事立法范式可能需要革新乃至重置,一种旨在控制不可预测后果的、预防性的伦理与法律被认为是必要的。而就网络犯罪的防治而言,我国的刑事立法对此进行了建设性的尝试。
(三)概括性的开放立法
晚近以来的网络犯罪立法也体现出概括性开放立法的趋势。由于信息技术日新月异,新型网络犯罪手段层出不穷,网络空间主体的权利义务关系尚未定型,立法者对网络犯罪中刑事义务与刑事责任的边界设置采取了开放式的立场。这一特征在《刑法修正案(九)》新增设的罪名中体现得尤为明显。例如,立法者在《刑法》第286条之一“拒不履行信息网络安全管理义务罪”中并没有对“信息网络安全管理义务”做出一个明确的定义、设定一个封闭的范围,而该罪的结果要件中,还规定了“其他严重情节”这种兜底式条款。原因在于:网络服务提供者的概念与类型在理论上尚且没有达成共识,对其法律定位学界也存在严重分歧,所以刑事义务的边界自然也难以划定。立法者实际上仅是通过该条款明确了强化网络服务提供者刑事义务承担的基本法律框架,其具体适用仍然有待深入讨论。
再如,《刑法》第287条之二所规定的“帮助信息网络犯罪活动罪”也体现了同样的特征。一方面,该罪所规定的被帮助对象极为宽泛。在万物互联的时代,“利用信息网络实施犯罪”这一表述,可以将几乎所有的广义网络犯罪囊括进来。另一方面,该罪所规定的帮助行为也具有极强的涵盖效力。尽管该条明确列举了“提供互联网接入、服务器托管、网络存储、通讯传输”和“提供广告推广、支付结算”这样的具体帮助行为,但是在立法上还是采用了“等技术支持”“等帮助”这样的开放式表述。之所以采取这种立法策略的可能原因在于:越来越多的传统犯罪已经开始向线上转移,而网络共同犯罪的处罚难题也绝非是个别罪名所面临的特殊问题。因此,立法者试图通过这种概括性的开放立法方式,整体性地解决网络共同犯罪难题。
概括性的开放立法是立法者的一种策略选择,它着眼于弥补可能的刑事法网疏漏,为司法者提供了辐射面较宽的规范依据,也为尚未成形的新型网络犯罪预留了较多的刑法规制可能,但是也留下来诸多隐患,下文将对此进一步展开。
三、我国网络犯罪立法的体系性反思
尽管我国网络犯罪刑事立法的实践性与回应性值得充分肯定,但是现有的立法框架与立法理念仍然有许多值得反思之处。
(一)网络犯罪的立法结构
目前,我国的网络犯罪罪名主要集中在《刑法》分则第6章“妨害社会管理秩序罪”的第1节“扰乱公共秩序罪”中。从法条逻辑上来看,网络犯罪主要是对社会管理秩序与公共秩序的侵害。传统刑法理论对网络犯罪法益侵害的理解也基本契合这一定位。例如,就破坏计算机信息系统罪而言,较为传统的观点认为,本罪的客体(保护法益)是国家对计算机信息系统安全的管理秩序。此外,也有观点认为,本罪的客体是国家对计算机信息系统的安全运行管理制度和计算机信息系统的所有人与合法用户的权益。但是,随着网络犯罪形式越来越多样,覆盖面越来越广,内涵逐渐变得复杂,对网络犯罪罪名进行的上述体系定位也越发成为问题。
部分学者已经敏锐地注意到了时代变迁对网络犯罪立法结构所带来的挑战。尤其是在网络犯罪局势不断恶化、网络安全面临更高风险的背景下,有学者认为,由于网络犯罪所造成的社会危害性越来越大,因此它主要体现出危害公共安全的性质,应当将网络犯罪部分罪名从妨害社会管理秩序罪调整到危害公共安全犯罪。此外,也有学者注意到,网络实际已经成为一种社会基础设施,因而网络犯罪也应当实现从扰乱公共秩序向公共安全的转换。不得不说,这种观察结论颇有道理。在很多情形中,网络犯罪确实直接地危及公共安全。一方面,网络本身构成了信息时代的重要媒介和关键基础设施,对网络本身的破坏就已经具有了强烈的危害公共安全的属性。另一方面,网络具有较强的扩散性和放大性,它在很大程度上打破了现实世界中时间和空间的限制,这使得原本微小的法益侵害在虚拟空间中急剧扩大,从而达到危害公共安全的量级。
然而,上述观点尚未描述出信息时代网络犯罪法益侵害特征的全貌,因为网络犯罪不仅具有上述强化法益侵害的公共性特征,也逐渐体现出了“去秩序化”的趋势。仍以破坏计算机信息系统罪为例,在该罪设立之初,中国的互联网普及率很低,计算机大多是由国家机关、事业单位等机构来管理与运营。彼时,将本罪的法益理解为“国家对计算机信息系统安全的管理秩序”恰如其分。但是,随着互联网社会的深度发展,计算机信息系统成为了生活中随处可见的基础性元素,它不再主要由机构来运营,个体公民占有支配的现象稀松平常。最直观的例证在于,几乎我们手中的每部智能手机都可以构成刑法上的“计算机信息系统”,而具体的被害人也当然是个体的公民,这一点已在指导性案例中得到了肯定。在这样的背景下,破坏计算机信息系统的行为与更为宏大的社会管理秩序、公共安全并没有必然的关联,该罪所保护的对象逐渐从秩序性法益转向了个体性法益。而且,不仅仅是破坏计算机信息系统罪,其他几个网络犯罪罪名也同样不同程度地体现出了这种趋势。事实上,由于互联网发展普及历程具有相似性,国外刑法也体现出了类似的特征。例如在《德国刑法》中,关于破坏计算机罪和数据变更罪,原来认为其所侵害的是公司、企业和机构的数据处理,但是,《德国第41次刑法修正法》将私人的数据处理也囊括进来,因此刑法保护的不再仅仅是经济和管理上的利益,还包括个体运营者和用户数据处理不受干扰的利益。
总的来看,尽管时代已经发生了剧烈的变革,但是我国网络犯罪的立法结构仍然没有跳脱出原有思维范式的束缚。网络化与信息化的浪潮终将重塑犯罪与刑法,但是目前的立法仍然仅仅是将网络犯罪视为某种具有从属性和下位性的子犯罪类型。
(二)罪名规范的内部逻辑
尽管我国网络犯罪罪名体系不断扩充完善,但是罪名规范的内部逻辑却并不让人满意。整体来看,目前我国网络犯罪立法缺乏整体性和统一性的合理内部架构。
1.保护范围不周延。我国《刑法》中部分网络犯罪罪名的保护范围并不周延,这不仅在立法上存在缺陷,也可能会造成解释论上的难题。
其一,非法侵入计算机信息系统罪只涵盖了国家事务、国防建设、尖端科学技术领域的计算机信息系统,如果行为人仅仅侵入了以上领域之外的计算机信息系统,则尚不构成犯罪。然而时至今日,计算机信息系统已属于人们日常生活不可或缺的基本组成部分,计算机信息系统的自主支配管理、不受随意侵犯的诉求已经成为了公民的基本权利之一。因此,对计算机信息系统做出上述公、私划分,进行区别对待,是否仍然符合社会发展的需要值得反思。例如,在《德国刑法》中,过去仅仅侵入计算机信息系统的黑客行为并没有被纳入犯罪圈,但是考虑到该种行为带来的法益侵害性,通过2007年《德国刑法第41次修正法》对第202a条的修正,仅仅是非法的数据访问(即非法侵入计算机信息系统)行为就已经构成了探知数据罪,无需以获取数据为必备要件。显然,德国的立法者已经意识到时代变迁给网络刑法及其法益保护所带来的新挑战,并且及时回应了这种诉求。而我国的网络犯罪立法尽管整体上积极主动,但是对计算机信息系统的保护范围却显保守。此外,目前对计算机信息系统采取的这种分裂式立法,也可能造成非法侵入计算机信息系统罪与非法获取计算机信息系统数据罪关系不清的问题。例如,如果行为人侵入了国家事务等特定领域的计算机信息系统,但误以为只是侵入了普通计算机信息系统进而获取相关数据的情形如何处理存在疑问。而且,何为“国家事务”“尖端科学技术”也很可能存在解释论上的较大争议。
其二,虽然我国《刑法》第285条第2款对数据保护作出了规定,但是在规制方式上还仍然存在不少局限。首先,本罪中的数据仅指“计算机信息系统中存储、处理或者传输的数据”,系统之外的数据无法在此处被涵盖。显然,这里刑法所保护的数据对计算机信息系统具有依赖性,独立而完整的数据权利尚未在刑法中得到真正确立。反观《德国刑法》,数据都是构建网络犯罪罪名体系的核心,对数据的保护并不从属或依赖于计算机信息系统。而且,《德国刑法》中主要的几个网络犯罪罪名,如第202a条数据探查、第202b条数据拦截、202c数据探查与拦截的预备、202c数据窝藏、第303a数据变更、第303b破坏计算机,无不围绕数据来展开。其次,非法获取计算机信息系统数据罪设置了手段行为作为前提要件,这也在一定程度上限制了对数据权利的全面保护。如果行为人没有侵入计算机信息系统或者采用其他技术手段,那么即使非法获取了数据也并不符合本罪的构成要件。而何为“其他技术手段”并不清楚,对其做宽泛的解释实际上可能会逐步消解手段行为这一前置要件。例如,近年来出现了以“撞库”的方式来获取数据的案例,不法分子购买了大量邮箱用户名和密码信息,借助相关软件或平台,大批量地筛选、匹配淘宝网等平台的身份认证信息。这种情形,行为人并未侵入计算机信息系统,法院一般认定为“利用其他技术手段”获取计算机信息系统数据。实际上,非法获取数据行为本身就是一种技术性犯罪,多多少少具有一定程度的技术含量,因此本罪中“技术手段”(尤其是侵入计算机信息系统)这一前置要件不仅显得有些冗余,而且可能给数据权的刑法保护设置不必要的障碍。最后,如上文所言,由于《刑法》第285条对计算机信息系统采取了分裂式立法,也导致非法获取计算机信息系统数据罪、非法控制计算机信息系统罪并未把国家事务、国防建设、尖端科学技术领域的计算机信息系统中的数据纳入进来,这同样造成了保护范围的不周延。
其三,《刑法》第285条第3款将提供用于侵入、非法控制计算机信息系统的程序、工具的行为独立入罪,但是这种帮助行为正犯化的思路显然范围过度限缩。一方面,本罪仅仅是将《刑法》第285条第1款和第2款的帮助行为正犯化,按照该罪的表述,提供专门用于破坏计算机信息系统的程序、工具的行为显然无法被涵盖,而从严密刑事法网、有效打击网络犯罪链条的考量出发,后者的帮助行为同样有必要独立入罪,将来立法完善时可以考虑对此加以修正。另一方面,按照该罪的表述,罪状中的帮助行为仅涉及到侵入、非法控制计算机信息系统,而没有提及非法获取计算机信息系统数据,因此,提供专门用于非法获取计算机信息系统数据的程序、工具的行为能否入罪,不无疑问。当然,2011年两高司法解释对“专门用于侵入、非法控制计算机信息系统的程序、工具”做了扩充解释,弥补了这一漏洞,但是本罪立法表述上的不周是显而易见的。
2.罪名交叉重合。现有的网络犯罪罪名之间存在相互交错,这也为司法定性带来了极大的不确定性。
首先,非法控制计算机信息系统罪与破坏计算机信息系统罪的关系就存在争议,二者属于交叉关系还是并列关系并无定论,这造成司法实践中同类行为的定性极不统一。重要的原因在于,非法控制计算机信息系统罪中的“控制”一词涵摄性极强,具有非常宽泛的语义射程,它很容易与破坏计算机信息系统行为中的“修改”“增加”“干扰”相互重合,以至于有学者主张非法控制行为完全可以被破坏计算机信息系统罪中的干扰行为所包括,因而没有单独立法的必要性。例如,前罪中的“控制”行为与后罪中的“干扰”行为在DDoS攻击的案例中就产生了交叉。浙江省苍南县人民法院曾先后处理李某、唐某破坏计算机信息系统案与蔚某提供侵入、非法控制计算机信息系统程序、工具案,两起案例都同样涉及DDoS攻击,但前案的行为定性是破坏计算机信息系统,而后案中DDoS攻击行为实际上被认定为非法控制计算机信息系统。对此,有学者认为,此处的“破坏”也可被实质地评价为“非法控制”,《刑法》第285条中的“非法控制”与《刑法》第286条中的“破坏”并非排斥关系,而是包容或交叉关系。此外,实务中上述“控制”行为与破坏计算机信息系统罪中的“修改”“增加”行为在违法设置黑链的案例中也可能存在重合。在网站中加入隐藏的链接,既可能被实质性地评价为操纵和控制了计算机信息系统,也有可能被认为是对计算机信息系统进行了一定程度的“修改”和“增加”。因此,对于同样的行为类型,司法实践中有的法院按照非法控制计算机信息系统罪来认定,有的法院按照破坏计算机信息系统罪来处罚。
其次,《刑法修正案(九)》所增设的拒不履行网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪三者之间也存在交叉。一方面,网络服务提供者拒不履行信息网络安全管理义务,客观上同时也可能构成为他人所实施的信息网络犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持。有学者甚至认为,如果将《刑法》第286条之一理解为故意犯罪,则拒不履行信息网络安全管理义务罪与帮助信息网络犯罪活动罪出现了功能重合,显得立法过剩。例如,假设著名的“快播案”发生在《刑法修正案(九)》生效之后,被告人的行为有可能同时构成这两项罪名。另一方面,行为人设立用于实施犯罪的网站、通讯群组的行为,或者发布违法犯罪信息的行为,同时也可能构成为他人的网络犯罪提供技术支持,这也可能造成罪名适用上的争议。在理论上,多数观点认为,《刑法》第287条之一既包括行为人“为自己”也包括“为他人”非法利用信息网络的情形。但是也有学者认为,为了避免法条上的繁杂竞合,《刑法》第287条之一应当限缩解释为仅是对自己发布信息的刑事责任。可见,至少从罪状可能的语义射程上来看,两罪客观上是存在交叉竞合关系的。而且,上述三项罪名的刑罚幅度完全一致,难有孰轻孰重之分,在发生竞合时难以抉择最终的罪名适用。
最后,帮助信息网络犯罪活动罪与其他相关罪名的共犯形成了大面积的竞合现象。明显不同于《刑法》第285条第3款,该罪的立法表述明确要求行为人“明知他人利用信息网络实施犯罪”,这似乎意味着该罪的构成仍然以实际正犯构成犯罪为前提。如此一来,尤其是在认可片面共犯理论的学者看来,《刑法》第287条之二只是共犯基本原理的重述,以至于有学者认为该条属于量刑规则,而非帮助行为正犯化。在司法实践中,大量的网络共同犯罪判例提及被告人也构成帮助信息网络犯罪活动罪,但绝大多数案件最后都是按照其他相关罪名的共犯来认定。更令人担忧的是,甚至有个别案件虽然符合其他重罪的共犯构成条件,但却是按照相对轻缓的帮助信息网络犯罪活动罪来定罪处罚。
(三)罪状明确性不足
在我国现有的网络犯罪罪名体系中,尤其是近年来新增设的罪刑条款,在明确性上存在明显不足。
第一,《刑法修正案(九)》增设的第286条之一“拒不履行信息网络安全管理义务罪”存在严重的立法表述模糊性。该条款首次在《刑法》中确立了网络服务提供者的刑法义务和刑事责任,这样的扩张型立法在世界范围内都是极为罕见的。而相反在一些具有代表性的国家,不但没有专门针对网络服务提供者的刑法条文,往往还存在一套适用于网络服务提供者的免责体系。如何划定互联网世界自由与秩序之间的界限是法治建设的关键,考验着中国的立法者。然而,即使是这种立法正当性本身就存疑的罪名,对其中最为核心的行为要件———“信息网络安全管理义务”却并无任何明确定义。虽然我国《网络安全法》第21条对网络运营者的安全保护义务作出了具体规定,但是直接援引该规定来界定网络服务提供者刑事义务的做法是值得商榷的。因为,即使是真正的不作为犯,有时也仍免不了需要对保证人进行规范性的实质判断,而拒不履行信息网络安全管理义务罪恰恰就属于这种情形。原因在于,普通公众乃至专业人士对何为“信息网络安全管理义务”远未达成基础性的共识。在这样的背景下,《网络安全法》中的安全保护义务无法直接转换为《刑法》中的信息网络安全管理义务。更何况,按照《网络安全法》第59条的规定,如果网络服务提供者不履行第21条所规定的安全保护义务,最多也仅是处以行政罚款。在司法实践中,本罪的适用率极低,而且适用结论也未必站得住脚,具有沦为象征性立法的风险,而本罪行为要件的不明确性无疑是重要原因之一。
第二,我国《刑法》的网络犯罪罪名中频繁采用“违法犯罪”这一表述,这也在理论上造成了很大的争议。具体来说,提供侵入、非法控制计算机信息系统的程序、工具罪中存在“明知他人实施……违法犯罪行为”的表述,而非法利用信息网络罪中采用了“违法犯罪活动”“违法犯罪信息”这样的用语。“违法犯罪”是否能够包含刑法分则以外的违法行为,或者满足刑法犯罪性质要件但未达程度要件(即未达刑法罪量标准)的违法行为,不无疑问。就非法利用信息网络罪而言,一种扩张性的观点认为,该罪中的“违法犯罪活动”可以解读为“违法行为”和“犯罪行为”,如此才能有效打击网络犯罪。而司法解释也在一定程度上具有这种倾向。例如,按照2016年最高人民法院《关于审理毒品犯罪案件适用法律若干问题的解释》第14条的规定,利用信息网络,设立用于组织他人吸食、注射毒品的网站、通讯群组,或者发布实施该种活动的信息,情节严重的,按照利用信息网络犯罪定罪处罚。但是,目前我国《刑法》尚未明确将组织吸毒的行为入罪。而与之不同的观点则认为,“违法犯罪”应当理解为严格意义上的犯罪,否则本罪可能会过度扩张成口袋罪名。可以预见,就此问题,司法实务中也会产生完全不同的见解和诸多争议。
第三,我国《刑法》帮助行为正犯化的立法实践中,也没有对明确性原则给予充分的重视。如上文所述,按照《刑法》第287条之二的罪状表述,该罪具有极宽的涵盖能力,行为定型性非常低。原因在于,在该罪的犯罪构成中,不仅被帮助的对象范围非常宽泛,而且帮助行为本身也缺乏具体类型的限定。一方面,这里的被帮助行为是所有的信息网络犯罪,几乎无所不包;另一方面,该罪的帮助行为虽然也含有具体的类型,但仅仅具有提示功能,按照罪状的开放性表述,实际上所有技术支持和帮助行为都可能被包含。“帮助”仅仅是对促进作用的一种抽象性、概括性描述,它缺少可以具体把握的行为类型,容易在司法实践中被滥用。正因如此,从理论上讲本罪完全可以把所有网络犯罪的帮助行为涵盖进来,未来有可能沦为又一项口袋罪名,而且也势必造成大规模的规范重合。网络技术的飞速发展与信息社会的快速变迁持续不断地带来新型犯罪问题,而网络犯罪更新迭代的速率远远超过复杂而繁琐的立法回应进程,因此立法者采用了模糊和开放的罪状表述,为可能的网络失范行为预留出规范涵盖空间。虽然这不失为网络犯罪治理中的一种策略,但是却在很大程度上牺牲了立法的明确性与司法的稳定性,值得警醒。
四、我国网络犯罪立法的制度展望
上文分三个阶段梳理了我国网络犯罪的罪名体系以及立法发展简史,其体现出了回应性扩张、预防性前置、概括开放性的特点。整体来说,我国的网络犯罪立法积极回应现实需求,对不断恶化的网络犯罪形势主动做出调整,契合网络社会发展的基本方向。然而我国现有的网络犯罪立法也有诸多值得反思之处,这主要体现为整体立法结构有待调整,罪名规范的内部逻辑需要理顺,罪状表述也需进一步明确化。上述问题说明,立法者在网络犯罪罪名的制定过程中更多的是一种应激性反应,充满着回应实践需求的立法热情,但是缺乏体系性和统一性的整体顶层设计,未能在规则设计的具体细节上做到逻辑严密。
需要强调的是,面对上述局面,刑法教义学可在一定程度上化解部分难题。例如,对网络犯罪的法益界定,在解释论上也并非绝对受制于立法上的章节定位。显然,不能认为破坏计算机信息系统的行为必须扰乱了公共秩序才可以构成本罪。再如,网络犯罪罪名之间的交错、重合问题,或者可以通过体系性解释或目的性限缩解释来避免冲突,或者可以在竞合论的语境中做出适当决断。此外,法条表述不明确的问题,也可以通过教义学的理论塑造予以缓解,通过学理上的实质性论述来框定相对稳定和可把握的语义内涵。然而,法教义学的适用也有边界,它受到刑法规范基本语义射程范围的限制,也会在很大程度上被基本立法结构和框架所约束。虽然“法律不是嘲笑的对象”,但是法教义学也并非万能,它显然无法解决上述网络犯罪的所有难题,而且在众说纷纭的理论争议中也并不总是能在法律适用的稳定性上取得良好效果。因此,为了更好地应对网络社会对传统刑法体系所带来的冲击,在探索法教义学解释路径的努力之外,从宏观层面完善刑事立法体系,重构网络犯罪罪名篇章结构,严密刑法保护范围,从微观层面理顺罪名关系,细化罪状表述,也是立法论上亟待推进的重大事宜。具体来说,我国将来的网络犯罪立法可以在以下几个维度上思考如何进一步完善:
首先,就网络犯罪立法结构而言,让网络犯罪罪名继续“寄居”在我国《刑法》第6章第1节并不妥当,而将其转移至《刑法》第2章也并不能真正解决问题。笔者认为,在我国《刑法》中将网络犯罪罪名独立成章才是真正妥当的立法方向。其一,在可以预见的未来,网络违法行为的种类和数量将会继续膨胀,而为了回应传统刑法构成要件无法涵盖、难以应对的问题,网络犯罪罪名很可能会进一步扩充,形成“与众不同的特殊犯罪群”。显然,《刑法》第6章第1节已经很难继续为这种立法提供充足和恰当的空间。其二,如上所言,网络犯罪罪名所保护的法益多元而复杂,在不同场景下,它既可能具有公共性、秩序性,也可能仅体现私有性、个体性;它不仅严重威胁国家网络安全,也会对国家安全、社会公共利益,以及公民、法人和其他组织的合法利益造成侵害。网络犯罪法益属性的这种独特性,使得它很难在现有的刑法分则章节中进行归类。而且,随着信息时代的到来,尽管具体理论定性上仍然存在激烈争论,但是数据权作为一种新型权利和法益正在逐步成型乃是不争的事实,而将侵害数据权的信息网络犯罪放在妨害社会管理秩序罪的章节之中则显得格格不入。其三,即使是在现有的网络犯罪罪名中,也已经出现了概括性、整体性条款与具体性、局部性罪名的分野,前者如利用计算机实施有关犯罪的规定以及帮助信息网络犯罪活动罪,后者如破坏计算机信息系统罪和非法侵入计算机信息系统罪等条文。概括性、整体性条款具有极强的涵盖性,因而容易与其他罪名发生竞合,但是同时也发挥着填补处罚漏洞的作用。网络犯罪罪名体系这种特殊的内部结构,也适合放置在独立的刑法分则章节之中。
其次,我国《刑法》应当统一对计算机信息系统的不受侵入性进行完整保护,同时逐步构建以数据为中心的网络犯罪体系。其一,我国《刑法》第285条第1款非法侵入计算机信息系统罪仅仅保护了三项特定领域计算机信息系统的安全,而未将一般的计算机信息系统纳入,不仅没有对个体公民计算机信息系统不受侵入的基本权利予以保护,而且也造成该罪与《刑法》第285第2款之间形成了错综复杂的关系。因此,在未来的立法修正中,可以考虑将非法侵入计算机信息系统罪的保护对象拓宽到所有的计算机信息系统。其二,我国《刑法》第285条第2款规定了“手段行为+目的行为”的构成要件结构,但是,这种立法配置不仅可能给法益保护造成不必要的障碍,而且手段行为实际上在司法适用中也逐渐被虚化。因此,将来的立法修正过程中,完全可以考虑将手段行为要件删除。其三,《刑法》第285条第2款中的数据存在着对计算机信息系统的依赖性,为了更好实现刑法对数据权利的完整保护,可以考虑删除“计算机信息系统中”这一前缀。
最后,在现有的网络犯罪罪名中,存在着构成要件明确性不足的问题,这不仅在立法正当性上严重存疑,而且也在司法适用中引发了诸多争议。其一,在最理想的状况下,立法者将来应当在《刑法》第286条之一中列明“信息网络安全管理义务”的具体内容;或者退而求其次,最高司法机关可以考虑以司法解释的形式来明确该核心义务的具体内涵,否则目前该罪名在司法实践中被长期虚置的困境恐怕难以破解。其二,建议将网络犯罪罪名中所采用的“违法犯罪”表述修改为“犯罪”,防止“帮助行为正犯化”和“预备行为实行化”被过度泛化,避免相关罪名因为这一模糊表述最终被不当异化为口袋罪名。
北京大学法学院教授梁根林点评:近年来我国的网络犯罪刑事立法变动频繁,立法者不仅修订了原有条款,而且新设了几项重要的罪名。然而,新的立法在理论界和实务界都引发了较大争议,因此有必要对我国网络犯罪立法做出体系性的评估与反思。该文以1997《刑法》《刑法修正案(七)》和《刑法修正案(九)》为时间节点,分三个阶段清晰地梳理了我国网络犯罪立法的历史嬗变过程,并进一步结合立法修订的具体内容,对我国网络犯罪立法的趋势特征进行了准确而全面的总结。文章的最大亮点在于对我国网络犯罪的立法进行了体系性反思,指出了其中宏观层面和微观层面的诸多问题,包括网络犯罪立法结构与信息时代发展的脱节,网络犯罪罪名保护范围不周延,罪名规范之间相互交叉重合,以及罪状明确性严重欠缺等现象。针对这些问题,作者着眼于网络时代刑法未来发展的方向和应当坚守的基本刑法原则,给出了具体而可行的立法完善建议,体现出其在网络犯罪领域所具有的深入思考。网络犯罪属于刑事法领域的前沿问题,新型违法犯罪活动不断出现,刑法难题层出不穷,因而刑法规范变动性较强。在这样的基本背景下,刑法教义学研究之外的立法论研究同样具有重要价值,而论文在这一方面做出了有益的探索。