【摘要】网络犯罪是信息时代的新型犯罪,随着我国社会信息化进程的发展,网络犯罪在我国出现并不断变化。为了遏制新型网络犯罪,近年来我国密集修改关于网络犯罪的法律并颁布新的司法解释,这些新立法和司法解释适应了网络犯罪发展的新特点,对遏制当前经济领域的新型网络犯罪具有重要作用,但是,我国新网络犯罪立法及其司法适用仍然存在一些问题,需要进一步完善。
【关键词】新网络犯罪立法;司法解释;司法适用
20世纪90年代之前我国仅发生少量的、攻击互联网的计算机和利用计算机伪造文件等所谓计算机犯罪,1994年国际互联网进入我国,我国迅速普及互联网应用,计算机犯罪也发展到网络犯罪阶段,犯罪网络化、跨国性、集中于经济领域等特征十分突出。为了应对新型网络犯罪的挑战,我国在1997年、2000年两次对网络犯罪进行立法后,[1]2008年年底通过的《刑法修正案(七)》再次规定了网络犯罪相关内容,增设了非法获取计算机数据罪、非法控制计算机信息系统罪和为非法侵入、控制计算机信息系统提供程序、工具罪三种新网络犯罪,2011年9月生效的“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称“《解释》”)对新设立的网络犯罪的司法适用问题进行了解释。这些新立法和司法解释适应了网络犯罪发展的新特点,对遏制当前新型网络犯罪具有重要作用。但是,我国新网络犯罪立法和司法适用仍然存在一些问题,需要进行研究。
一、非法侵入计算机系统罪相关问题
我国刑法第285条第1款规定,“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的”,构成非法侵入计算机信息系统罪。该罪立法存在某些缺陷,其保护的对象限于国家事务、国防建设、尖端科学技术领域的计算机信息系统,而不属于以上领域的其他重要计算机系统得不到该条的保护,例如,比乡级政府政务(属于国家事务领域)计算机信息系统更重要的中国银行总行的核心数据库系统就不受其保护。这一缺陷通过新设立的非法控制计算机信息系统罪得到修补。
关于如何界定前述三类计算机信息系统的范围问题,《解释》第10条只规定,由省级以上负责计算机信息系统安全保护管理工作的部门检验后确定,但未规定具体的标准。有学者认为,应主要根据计算机系统采集、加工、存储、传输、检索的信息的性质,来确定其属于哪一领域,并由国家相关部门发布规章加以确定。[2]笔者赞同这一观点,在目前没有相关规定的情况下,凡是专门为国家事务、国防建设、尖端科学技术领域服务的,或者国家事务、国防建设、尖端科学技术领域的国家单位使用的或者拥有的计算机信息系统,应属于以上三类特定计算机信息系统。
二、非法获取计算机数据罪相关问题
《刑法修正案(七)》第9条规定,“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”,该规定的内容成为刑法第285条第2款,其规定的第1项行为是非法获取计算机数据罪,有利于打击非法获取网络金融、网络游戏等领域的个人数据的犯罪。
该罪规定的缺陷是,本应受到重点保护的国家事务、国防建设、尖端科学技术领域的计算机信息系统不受该罪规定的保护。如果行为人非法侵入以上计算机系统,非法获取其中的不属于国家秘密、商业秘密的数据的,即使情节特别严重,也只能依刑法第285条第1款的规定处罚,最高处3年有期徒刑;采取非法侵入之外的其他技术手段,获取以上计算机信息系统中的非国家秘密或商业秘密的数据的,则不构成犯罪。第285条第1款确认了以上计算机信息系统及其中数据是受法律重点保护的计算机信息系统,理应得到更全面的法律保护,该罪的立法逻辑与前者相悖。
三、非法控制计算机系统罪相关问题
刑法修正案案(七)第9条第2项规定的是非法控制计算机系统罪,即“违反国家规定,……或者对该计算机信息系统实施非法控制,情节严重的”行为,该罪立法有利于打击目前社会上使用“肉鸡”、“僵尸”之类网络病毒程序控制大范围的计算机信息系统的犯罪活动。由于非法侵入计算机系统在技术上表现为非法取得计算机信息系统或者其中数据的全部或者部分控制权,广义上的非法控制行为包括非法侵入行为,因此,该罪可以适用于非法侵入前述三类计算机信息系统之外的其他计算机系统且情节严重的行为,从而部分弥补了非法侵入计算机信息系统罪保护范围狭窄的缺陷。
但是,本罪的规定存在着与非法获取计算机数据罪相同的立法逻辑上的缺陷,并与刑法第286条的规定发生交叉。非法控制计算机系统表现为非法地全部或者部分控制计算机系统,它与刑法第286条规定的破坏计算机系统罪第1款和第3款规定的“干扰计算机信息系统功能”、“故意传播计算机病毒等破坏性计算机程序”等行为发生重合,其差别仅为,后者构成犯罪必须造成“严重后果”,而前者则必须有“严重情节”。我国刑法规定的“情节严重”兼含主客观方面的内容,包含发生“严重后果”的情形,如果行为人非法控制他人计算机信息系统,且造成严重后果的,同时构成破坏计算机信息系统罪(最高法定刑15年有期徒刑)和非法控制计算机信息系统罪(最高法定刑7年有期徒刑),按照择一重罪处罚的定罪原则,以破坏计算机信息系统罪定罪处罚。因此,非法控制计算机信息系统罪只可能适用于结果犯之外情节犯。
但是,即使将非法控制计算机系统罪限制在情节犯的范围,该罪在司法实践中也难以适用。例如,某行为人非法控制多人计算机信息系统但未造成严重后果时,一方面该犯罪很难被发现,另一方面,即使犯罪被发现,收集众多的受非法控制的计算机信息系统中的犯罪证据,以证明其满足“情节严重”的构成条件,对警方而言是一个艰难的工作,从我国刑事侦查能力的实际情况看,其结果可能是,只有少数犯罪被发现,更少数犯罪被追究刑事责任,难以实现本罪设立的初衷。
笔者认为,刑事立法应当具有可操作性,才能实现其保护社会的任务,那些不能实现立法目的的规定比不作规定对国家法治更有害。而且,“非法控制”计算机信息系统的行为完全可以被破坏计算机信息系统罪(第286条第1款)中的“干扰”行为所包括,没有必要再设立非法控制计算机信息系统罪。如果有必要从法律上确认此类行为的犯罪性,也只需将该行为规定为破坏计算机信息系统罪的一种行为方式即可。
四、提供非法侵入、控制计算机信息系统的程序、工具罪相关问题
刑法修正案案(七)第9条规定,“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚”,该规定成为了刑法第285条第3款。目前制作、传播、贩卖计算机病毒、特洛伊木马程序等有害程序、信息安全相关的工具严重威胁互联网安全,设立该罪有利于打击制作、传播、售卖有害程序、工具非法牟利的违法犯罪行为。
但是,本罪的规定也引起法学界和IT业的争论和担忧。法学理论界对设立本罪存在担忧:(1)提供前述有害计算机程序、工具是非法侵入计算机信息系统罪、非法控制计算机系统罪的预备行为,后二罪基本罪是3年以下有期徒刑,属于轻罪。根据刑法学理论通说,两罪的预备行为所受的处罚应低于3年,但是,本罪的最高法定刑却是?年有期徒刑,属于重罪。二者的罪刑设定存在轻重失衡问题;(2)该罪不直接损害计算机系统安全,其社会危害性不表现为破坏网络安全的结果,而是从行为对象、行为次数、非法获利等方面来评价其对网络安全的危险,即,本罪属于行为犯或抽象危险犯。[3]将这一社会危害性并不严重的危险犯处以最高7年有期徒刑并处罚金,人们担心这一犯罪立法可能给正常的社会活动造成阻碍,认为该立法缺乏必要性和合理性。[4]网络安全服务行业则更担心,如果他人使用其制作、提供用于检测计算机系统漏洞的计算机程序、工具犯前述两罪,可能牵连到该行业的从业人员受刑事起诉。
另外,本罪的行为对象被限定为“程序”、“工具”,也受到人们的质疑。密码等安全代码不属于“程序”、“工具”,非法提供密码和其他安全代码的行为不受该罪的规制,而实际上,它们与“程序”、“工具”的作用相似,且实践中特别是网络游戏行业大量存在的非法出售、提供他人账户密码的不法活动,却不受该罪处罚,显然不合理。
笔者认为,如果将本罪做扩大解释,将间接故意、过失引起双用途计算机程序或工具被他人用于非法侵入、非法控制计算机系统犯罪也认定为该罪是不妥的。在网络安全服务行业,为检测网络系统的安全性能,经常要使用专门的计算机程序、工具、密码和安全代码,这些程序、工具、安全代码的制作者显然知道它们可能被用于非法侵入、控制他人的计算机信息系统。如果把以上行为纳入该罪的范围,网络安全行业将难以正常发展。
但是,我国《刑法修正案(七)》第9条的规定不存在扩大打击范围的问题。首先,本罪行为必须是提供只能用于非法侵入、控制计算机信息系统的有害程序、工具,对于提供双用途计算机程序和工具的,行为人则必须明知他人使用这些程序、工具实施非法侵入、控制计算机系统的违法犯罪,即,不存在放任态度下行为人提供以上程序、工具的可能;其次,本罪是情节犯,非情节严重的“提供”行为不构成本罪,排除了本罪是行为犯和抽象危险犯的可能。也就是说,构成该罪,不仅要求行为人出于故意和有实行行为,还要求满足“情节严重”的条件,如行为人提供的程序、工具的破坏力、提供的数量和次数、行为人的主观恶性等达到了情节严重的程度。而在网络安全服务企业的正常活动中是不可能出现这些情形的,可以排除该罪对网络服务业的“法律威胁”;再次,目前诸如“僵尸病毒”、“灰鸽子”、“熊猫烧香”等已经严重威胁网络安全,如果不对提供这类有害程序、工具的行为进行严厉打击,就无法遏制它们对计算机、网络信息系统的安全威胁。虽然提供前述程序、工具的行为具有非法侵入、非法控制计算机系统犯罪的预备行为的性质,但是,该行为自身具有严重的社会危害性,立法上有必要将其单独规定为犯罪并规定更重的刑罚,这种情形在我国刑法分则中并不少见。[5]
当然,本罪立法也有不足,其规定的行为限于为非法侵入计算机信息系统罪、非法控制计算机信息系统提供程序、工具,实际上,本罪行为不仅是前述两罪的犯罪条件,也是非法获取计算机数据罪、破坏计算机信息系统罪的重要条件,为后二者犯罪提供程序、工具且情节严重的,同样应承担刑事责任。
五、破坏计算机信息系统罪相关问题
刑法第286条规定了破坏计算机信息系统罪,[6]该条第1、2、3款规定犯罪行为的标准不同,第1款、第2款以行为对象为标准,而第3款则是根据行为手段为标准,规定了故意制作、传播计算机病毒破坏计算机信息系统这种特别行为方式,以致第3款的规定与前2款规定的内容发生交叉。例如,传播计算机病毒删除计算机信息系统中的数据或应用程序,造成严重后果的,可以同时适用第2、3款的规定。这虽然不会引起定罪上的困难,但表明该罪的立法技术存在缺陷。
刑法第286条存在的更大问题是,把故意制作、传播计算机病毒归属于破坏计算机系统行为,没有正视计算机病毒的自动传染技术特性。根据《计算机信息系统安全保护条例》第28条的规定,计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码”,前述《解释》第5条第1款将其解释为“能够通过网络、存储介质、文件等媒介,将自身的部分、全部或者变种进行复制、传播,并破坏计算机系统功能、数据或者应用程序”。根据以上规定,能够自我复制并传播、破坏计算机系统及其中的数据和程序是计算机病毒的主要技术特征。在互联网广泛应用的环境中,计算机病毒一旦被施放、传播出去,其实际造成的危害后果很难予以准确计算。正因为如此,有学者主张,不将“造成严重后果”作为故意制作、传播计算机病毒行为的入罪条件。[7]但有学者对此表示反对,认为以上观点扩大了打击面,对尚未发生作用的破坏性程序进行危害性评价,缺乏司法介入的依据。[8]从以上争论可以看出,由于计算机病毒的自动复制、传染特性,将与之相关犯罪完全按照结果犯处罚,可能导致轻纵犯罪,而完全按照行为犯处罚,又显得处罚过重。
《解释》采纳了第一种观点的立场,将导致计算机病毒通过网络、存储介质、文件等媒介传播,或者提供计算机病毒等破坏性程序10人次以上的,或者违法所得五千元以上或者造成经济损失一万元以上的,解释为“后果严重”。该解释存在的问题是:该解释规定的前二种情况,并不是制作、传播计算机病毒所造成的“影响计算机系统正常运作”的后果,而是行为情节,并且,从目前网络安全环境看,发生这两种情况时,并不会必然出现“影响计算机系统正常运作”的“严重后果”,这是因为:(1)由于公众网络安全意识的加强,网络安全环境有了很大的改善,各种反病毒的安全措施特别是免费的杀毒软件得到广泛使用,使得普通计算机病毒很难在较大的范围内传播和造成破坏结果;(2)计算机病毒是具有破坏性的计算机程序,但它们的破坏力是不同的,有些计算机病毒的破坏力实际上不大,以1999年“野兔”病毒事件为例,该病毒曾被媒体认为是传染性最厉害的病毒,但实际上没有多大的破坏力;[9](3)计算机程序包括源程序和目标程序,如果行为人提供的是计算机病毒源程序(计算机源程序也是计算机程序),由于源程序是不可能直接破坏计算机系统的,[10]更不可能造成严重后果。《解释》的本意,是想解决司法实践中因计算机病毒的自动传染特性引起的危害后果难以收集和认定的问题,可惜的是,它不仅没有解决故意制作、传播计算机病毒所造成的严重后果的认定标准,还使得在前述两项规定的情形中实际上将结果犯按照行为犯的标准来认定,这明显超出了司法解释的权限,属于越权对罪状的修改。
《计算机病毒防治管理办法》第5条规定,“任何单位和个人都不得制作计算机病毒”,《计算机信息系统安全保护条例》等法规、法律规定,提供、传播计算机病毒的行为是违法行为,因此,任何单位和个人制作、提供、传播计算机病毒的,都构成违法,未造成严重后果的,应受到相应的行政处罚,造成严重后果的,应依照刑法第286条第3款的规定处罚。这样的处理结果还不能反映计算机病毒相关犯罪的实际危害,我认为,应根据计算机病毒的破坏力,区分对待制作、传播计算机病毒的行为,恶性计算机病毒不同于只有较小破坏力的普通计算机病毒,也不同于不具自动传染性的破坏性程序,它能自动感染、破坏范围广、数量大的、不特定的计算机信息系统,后果极严重且难以准确计算所造成的实际危害后果,其危害近似于传染病病原体。[11]应当对恶性计算机病毒相关犯罪规定特别罪名。具体而言,对于制作、传播具有一般破坏力的计算机病毒的,应当根据查明的危害后果(如果没有查到有法定的危害后果,要么是不能发现犯罪,要么只能处以行政处罚),按照破坏计算机系统罪从重处罚(这是考虑到计算机病毒相关犯罪必然存在无法查明的“暗处的”危害结果以及对网络安全整体的潜在威胁);对于制作、传播破坏力大的恶性计算机病毒的行为,应当将其基本犯规定为行为犯或危险犯,对造成严重后果的,加重处罚。[12]
前述《解释》第10条规定,对刑法第285条、第286条规定中涉及的计算机信息系统、计算机病毒等的认定,可以委托省级以上负责计算机信息系统安全保护管理工作的部门检验,这很好地解决了计算机科学技术术语与法律概念、行为对象的认定问题,当然也可以解决恶性计算机病毒的检验问题,进而为将故意制作、提供或传输恶性计算机病毒的行为按照危险犯或行为犯进行定罪量刑提供支持。但是,这一规定不应通过司法解释而应通过刑法修改来完成。
六、掩饰、隐瞒非法获取的数据和控制权行为的犯罪化问题
在网络黑色经济产业链中,有这样一部分犯罪人群体,他们专门转移收购、代为销售他人非法获取的他人的数据、非法取得的计算机信息系统的控制权,并从中谋取非法利益。由于数据和计算机信息系统的控制权不是传统意义上的物品,[13]且与上下游犯罪人之间不存在共同犯罪的关系,实践中各地司法机关在处理这些行为时未达成一致的意见,有的不以犯罪论处,有的按照掩饰、隐瞒犯罪所得定罪处罚,有的按照上下游犯罪的帮助犯处理。前述《解释》第7条的规定突破了传统意义上的“犯罪所得”的范围,无论非法获取的数据和非法取得的控制权是否排除了被害人的管理或控制,都解释为“犯罪所得”,对“明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五千元以上的”,以掩饰、隐瞒犯罪所得罪定罪处罚,并规定了单位实施以上行为,按照自然人犯罪的标准定罪处罚。我认为,这种司法解释反映了信息时代社会的实际状况,不仅在法制的框架下解决了司法实践中的新问题,也推动了刑法理论随时代进步发展,为犯罪对象相关理论的创新发展提供了司法依据。[14]
七、网络犯罪的共同犯罪问题
《解释》第9条规定了以刑法第285条、第286条规定的犯罪之共同犯罪定罪处罚的三种情形,即,“(一)为其提供用于破坏计算机信息系统功能、数据或者应用程序的程序、工具,违法所得五千元以上或者提供十人次以上的;(二)为其提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助,违法所得五千元以上的;(三)通过委托推广软件、投放广告等方式向其提供资金五千元以上的。”该条解释涉及两个问题,第一个是该条第(一)项的行为的定性问题,第二个是客观上为网络犯罪提供帮助、资助的网络服务商和广告商的法律责任问题。
该条第(一)项明确了明知他人实施网络犯罪而提供破坏计算机信息系统的程序、工具,按破坏计算机信息系统罪的共同犯罪定罪处罚的数额与行为次数标准。由于本条规定的行为人与下游犯罪人是共同犯罪人关系,必须在下游犯罪人构成破坏计算机信息系统罪,且行为人明知其实施破坏计算机信息系统罪时,才能以共犯论处。如果后者不构成犯罪,后者行为人仅认识到后者可能会实施破坏计算机信息系统的违法活动,则无论行为人违法所得多大或者提供的次数多少,都不能构成共犯。同时,由于其行为也是提供用于刑法第285条规定的非法侵入、非法控制用途的程序、工具,从而也不构成提供非法侵入、非法控制计算机信息系统的程序、工具罪。破坏计算机信息系统罪的法定刑比非法侵入计算机信息系统罪、非法控制计算机信息系统罪要重得多,为后二者活动提供程序、工具的行为被规定为犯罪,而为更严重的破坏计算机信息系统罪提供程序、工具的行为反而不构成犯罪,这一立法显然有违逻辑。结合前文分析,提供程序、工具罪的下游犯罪至少应包含破坏计算机信息系统罪。
该条第(二)(三)项明确规定了为网络犯罪提供技术帮助、资金资助行为按照共同犯罪论处的司法适用标准,主要是惩治部分为网络犯罪提供帮助、资助的网络服务提供者和广告公司,因为正是有了后者提供的技术、资金帮助,大量网络犯罪才得以发生。该条规定正确适用的关键之一,是如何认定行为人明知下游犯罪人实施网络犯罪。由于网络服务业、网络广告业的繁盛,网络服务商、网络广告商很难频繁审查对客户的网络活动,一旦客户使用其提供的网络服务进行网络犯罪或者为了赚取广告资助费而进行网络犯罪的,它们可能被作为共犯调查,进而给这些网络经济单位的正常活动造成严重障碍。我认为,应明确认定“明知”的司法标准,既不能放纵帮助网络犯罪并从中谋取非法利益的共同犯罪人,也要保护以中立帮助者身份出现的网络服务商、网络广告商的合法权益。建议借鉴《信息网络传播权保护条例》第14条至第24条的网络服务提供者的免责、担责规定,以及《关于办理网络赌博犯罪案件适用法律若干问题的意见》第2条的规定,以公众举报或行政机关责令改正后进行技术、资金帮助、执法人员调查过程中故意销毁、隐匿相关数据等情形为依据,建立认定网络服务商和网络广告商符合本条中的“明知”的司法标准。
皮勇,单位为新疆大学法学院。
【注释】
[1]1997年修订的刑法设立了非法侵入计算机信息系统罪和破坏计算机信息系统罪,2000年通过的《关于维护互联网安全的决定》规定了21种利用互联网实施的犯罪。
[2]姚茂文:“计算机犯罪及实践问题”,载《人民检察》1997年第7期。
[3]Vgl.Dennis Jlussi:“IT—Sicherheit und§202c StGB”,www.eicar.org/press/infomaterial/JLUSSI_LEITFADEN_web.pdf.
[4]Vgl.Nadine Groseling/Frank Michael Hofinger,Computersabotage und Vorfeldkriminalisierung Auswirkungen des 41.StrAndG zur Bekampfung der Computerkriminalitat,MMR 2007,549.
[5]例如,我国刑法第295条规定的传授犯罪方法罪就是如此。
[6]我国刑法第286条规定,“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”
[7]孙铁成:“计算机犯罪的罪名及其完善”,载《中国法学》1998年第1期;刘广三著:《计算机犯罪论》,中国人民大学出版社1999年版,第188页。
[8]于志刚著:《计算机犯罪研究》,中国检察出版社1999年版,第163页。
[9]“历史上最拙劣的病毒”,http://www.enews.com.cn/,2000年6月20日。
[10]计算机病毒也是人有意编制的计算机程序,它的源程序经过普通的编译后就能成为可以执行的应用程序,即我们通常认识的计算机病毒是指编译后的可执行的病毒程序。
[11]中国《刑法》第114条、第115条、第127条和第291条,规定了传染病病原体相关犯罪,这些法条分别把投放、盗窃、抢夺、抢劫传染病病原体的行为规定为危害公共安全罪,和把投放虚假传染病病原体的行为规定为扰乱公共秩序罪。
[12]皮 勇著:《网络安全法原论》,中国人民公安大学出版社2008年版,第402页。
[13]王作富主编:《刑法分则实务研究》,中国方正出版社2007年版,第1388页。该书将“犯罪所得”界定为“从被害人处非法取得的物品”,通常限于财物,与这里非法取得的可能与被害人处于共同管理下的数据和控制权有显著的差异。
[14]马克昌主编:《刑法学》,高等教育出版社2007年版,第5l页。该书将犯罪对象定义为“刑法分则条文规定的犯罪行为直接作用的具体的人或物。”《解释》第7条的规定不仅再次为将犯罪对象涵盖数据类信息提供了司法依据,还创造性地将计算机信息系统的控制权解释为犯罪对象或行为对象,值得对信息社会环境下关于犯罪对象的刑法理论继续深入研究。