王启欣，王肃之

(武汉大学 法学院，湖北 武汉 430072)



试论信息犯罪的刑法回应
——兼评《刑法修正案(九)》的相关立法条款

王启欣，王肃之

(武汉大学 法学院，湖北 武汉 430072)

信息犯罪在行为方面、主观方面、结果方面都体现了多元化的特点，给刑法提出了新的挑战。《刑法修正案(九)》对于信息犯罪作出了较为详细的规定，加大对侵犯公民个人信息犯罪的打击力度、增设有关网络服务提供者刑事责任的规定、增加单位犯罪的有关规定，但是也有一定的不足。回应信息犯罪，刑法需要注重对新犯罪行为的纳入、注重对犯罪结果多元化予以回应、为过失信息犯罪预留必要的立法空间。

信息犯罪；刑法修正案(九)；网络服务提供者

在经历了农业社会、工业社会之后，人类社会进入了信息社会。信息社会在极大地方便人们生产、生活的同时，也不可避免地伴生出巨大的风险，信息泄露、信息滥用等行为往往导致了各种各样的直接和间接后果。信息社会同时也是风险社会。风险社会的概念最早由贝克、吉登斯等社会学家提出，他们认为人类社会在从工业社会向风险社会演进的过程中，科学、法律、民主、技术经济、政治制度等工业社会的理性基础将会受到质疑进而被冲破、被推翻。而风险社会的理性基础还没有形成，还需要讨论，需要重建[1]。发生于信息社会的、围绕信息展开的信息犯罪同样挑战着现有的刑法规定，需要刑法作出恰当的、准确的回应。2015年8月29日，全国人大常委会通过《刑法修正案(九)》，对信息犯罪行为提出了一系列新的规制条款，虽有进步之处，但仍然存在尚需进一步探讨和完善之处。

一、信息犯罪对刑法的挑战

有学者认为：所谓信息犯罪就是发生于信息空间中危害信息法益、威胁信息秩序，应受刑法处罚的数字化行为[2]。也有学者认为，“信息犯罪”的特殊要求体现为：在典型行为或犯罪情节的本质要素中蕴涵着凭借事先预设的程序实现电子数据自动化处理的信息和远程通讯新技术(或者他们的组成部分、产品以及处理对象)[3]。笔者认为，这两种观点各有道理，前一种观点根据信息犯罪的本质，从法益的角度作出概括，而后一种观点则提醒我们在理解信息犯罪时，不仅要关注以信息为对象的犯罪，也要关注通过信息手段实施的犯罪。此外，笔者认为，信息犯罪这一概念必将随着信息社会的发展而扩展，所以需要留有一定的余地。信息犯罪大致可以指称与信息有关的犯罪，其范围概括起来讲，包括但不限于以信息为对象的犯罪(如侵犯公民个人信息的犯罪)，以信息为工具的犯罪(如利用信息实施的有关犯罪)，也包括与信息相关的其他犯罪。

从原子社会向信息社会转变是我们社会当下经历的进程和未来发展的趋势，发生于信息社会的信息犯罪也对基于原子社会制定的传统刑法规定提出了新的挑战。从信息学的角度来讲，信息具有以下性质：普遍性、依附性、可度量性、可识别性、可处理性、可传递性、可共享性[4]。信息犯罪也不可磨灭地打上信息的烙印，具有一些传统犯罪不具备的特征。有学者对信息犯罪的特征概括为如下“五性”，即：犯罪人员的智能性、犯罪手法的隐蔽性、犯罪手段的多样性、犯罪后果的严重性、犯罪行为的复杂性[5]。笔者认为，上述关于信息犯罪特征的概括还不够完整准确，尚处于初步认识阶段。在信息社会的初期，信息犯罪就已经具有智能性等特征，随着信息社会的发展和信息犯罪的演化，很多不具备专业技术的人员也可以轻易地实施信息犯罪，其他特征也随着信息社会的发展发生了新变化，需要刑法作出回应。其最为突出的有以下几点：

(一)犯罪行为的多元化：以侵犯公民个人信息犯罪为例

信息犯罪的犯罪方式逐渐多元化，不断突破原有刑法规定的行为方式范畴。信息社会，信息作为事物存在和运动的方式，更加普遍地存在于社会之中，信息的普遍性更加明显。而且，在大数据时代，数据信息本身蕴含着丰厚的利益价值。因为信息具有可识别性，可以通过识别作出一定的分析进而影响行为决策及其结果。而且，信息发挥巨大作用的范围也越来越广，从国家范畴到个人范畴，从政治范畴到商业范畴，掌握信息的主体越来越多，侵犯各种信息的犯罪行为的数量和范围也就不可避免地扩大。就公民个人信息而言，随着大数据时代的来临，信息的收集和利用越来越成为一种自在的事实，不以信息主体是否有发布和传播的意愿为前提，非法利用、非法获取公民个人信息的行为也不断发生。

为了应对侵犯公民个人信息犯罪愈演愈烈的趋势，《刑法修正案(七)》增加了刑法第二百五十三条之一，对国家机关以及金融、电信、交通、教育、医疗等六种特定领域内出售或者非法提供其在履行职责或者提供服务过程中获得的公民个人信息的犯罪行为作出了规制。刑法的这一规定，在当时确实是对原有立法的重大突破，体现了刑法对公民个人信息保护的重视。但是随着信息社会的发展，上述规定就显现出滞后和不足：非法出售和非法提供公民个人信息的行为，初期可能只是具有提供涉及公民个人信息若干特定服务的主体能够实施。在信息化全面普及的今天，即便是商业领域中一般的电商平台、提供物流服务的快递公司甚至其他非官方主体，都掌握着大量的公民个人信息，他们非法出售、非法提供公民个人信息的行为明显具有较大的社会危害性，但是在《刑法修正案(七)》的规定中却无法找到对其施以刑事处罚的依据。比如，2013年曾经有这样一条新闻被广泛关注：包含了公民各种信息的快递单，居然在互联网上按照0.4元一份的标价肆意买卖。买入这些快递单的主体，很多是网络店铺的“掌柜”，他们购买的目的竟然是利用这些信息进行虚拟的“交易”和“评价”，以此来提高自己网店的“信誉”①。在商业领域中，除了商业主体，个人主体(包括商业主体中的个人主体)侵犯公民个人信息的犯罪行为同样不容忽视。但是《刑法修正案(七)》对于窃取、非法获取公民个人信息的范畴限定在“上述信息”(六大领域中的公民个人信息)，无法充分保护公民的个人信息。2013年底，一个电商平台的工作人员张某伙同另一个第三方支付平台的工作人员李某，通过技术手段获取了20G以上的客户信息资料后进行售卖，而被公安机关拘留②。

信息社会的发展对于公民个人信息的刑法保护提出了新的命题。获取、泄露、传播个人信息的主体日益扩展，逐渐由公权力机关的单位和个人，转向公权力机关以外掌握大量公民个人信息的单位和个人[6]。根据《刑法修正案(七)》的规定，无法对该类信息犯罪作出有效的回应：第一，行为对象范围狭窄。《刑法修正案(七)》将犯罪主体限定在六类特定领域之中，但是实际上需要对公民个人信息进行保护的范围早就超越了这一局限，不仅商业领域中，甚至公民个人都有可能实施该类犯罪，为此，需要对该类犯罪的行为对象予以必要的扩展。第二，行为方式过于单一。《刑法修正案(七)》仅对有关公民个人信息的非法出售、非法提供、非法获取行为分别作了规定，但是其规定存在很大不足：一方面，对于信息持有主体自己非法利用公民个人信息的行为未加规制，这些行为活动不是出售、非法提供而是非法使用公民个人信息[7]；另一方面，对于非法获取中的“其他方法”的理解也有分歧，有学者认为，所谓“其他方法”，是指除窃取之外，包括采取欺骗、威胁等不正当手段获取公民信息，或擅自录入禁止录入的信息，或违反规定采集禁止采集的信息，等等[8]。这就存在一个问题，目前较为泛滥的购买公民个人信息的行为是否在其之列？按照立法者的观点，可以包括购买、欺骗等方式非法获取公民个人信息的行为[9]。但是在立法中是否仍有必要就购买行为作出单独的规定以更好地打击该行为？这个问题还有待进一步探讨。

(二)犯罪主观方面多元化：以破坏计算机信息系统罪为例

我国刑法并没有直接对计算机中存储、处理的信息予以保护，而是通过保护计算机系统和数据的方式来保护其中的信息。现有立法也没有作出有关过失的特殊规定，这就意味着该罪只能由故意构成。但是随着信息社会的发展，信息犯罪的主观方面也在发生变化，因过失导致的网络危害行为并不鲜见，只不过鲜有刑事立法评价[10]。例如，某些对信息数据具有保护义务的人不履行对该信息数据的保护义务，而导致大量信息数据外泄，造成严重后果。对于这一情形，行为人主观上并没有直接的故意，可能仅仅只是由于疏忽大意或者过于自信，未预见到该信息数据可能由于自己的疏忽而大量泄露，或者虽然预见到可能由于自己的失误导致大量泄露但却轻信能够避免。例如，在2014年曾有这样的报道：一个网络浏览软件平台，因为开发人员技术上的失误，致使数万开发人员的电子信箱以及账户资料置于可被浏览访问的公共网络上，造成了极大的风险③。又比如，诺顿杀毒软件误杀一案，诺顿软件开发商本身是资深的网络安全服务商，应当知道软件技术测试的必要性，但事实上却从未采取应有的技术测试，导致其开发的杀毒软件对Windows操作系统的大范围“误杀”，给软件使用者造成巨大损失④。

总体来看，因过失导致信息犯罪的实例虽然并不多见，但是这代表着一个趋势——信息犯罪正在由一类犯罪向一种犯罪实施方式扩展，其必然的结果就是信息犯罪的包括主观要件要素在内的构成要件要素更为丰富。目前，信息社会的发展已经为过失的信息犯罪的发生提供了必要的技术基础。对于这类行为的评价，既不可简单地统统归罪，也不可一味回避，需要刑法在一定限度内作出必要的考量。

(三)犯罪结果的多元化：以提供侵入、非法控制计算机信息系统程序、工具罪为例

以往信息犯罪的结果更多地表现为现实的、客观的实害结果，较少出现危险结果，所以《刑法修正案(七)》对于提供侵入、非法控制计算机信息系统程序、工具的行为也未作出危险犯的规定，仅是在立法条款中以一个颇为模糊的“情节严重”进行表述。然而，信息犯罪不但在行为方式上更趋多元，在主观态度上更为复杂，在结果形式上也更加丰富。信息本身具有可传递性、可共享性，信息犯罪的犯罪结果也由于信息所具有的这些特性而呈几何放大效应，很多情况下行为一旦发生，造成的危害就无法避免。这就需要考虑信息犯罪的结果是否应该从实害结果扩大到危险结果？

随着信息犯罪的发展，其所侵犯的信息早已不再局限于单个个体拥有信息，而是涉及更多不确定多数人的个人信息。例如在2012年，江苏某市发生的一起案件中，行为人通过木马程序盗取即时通讯工具的账号和密码，短短一年时间就非法盗取了几千万的即时通讯工具账号和密码信息，牟利达4000多万⑤。更为可怕的是，木马程序的应用已经远远走出技术精英的范畴，为更多“普通”的犯罪分子所青睐。2014年底，河南破获的一起通过即时通讯工具进行诈骗的案件当中，行为人利用木马程序控制某企业“一支笔”的即时通讯工具账号，通过虚构转账指令，获利500多万元。与巨大的犯罪所得形成鲜明对比的是，行为人购买木马程序仅仅只花费了五百元而已，犯罪成本相当低廉！不可想象的是，如果木马程序可以被更多的犯罪分子以这样的低价购买，那么它对整个社会造成的危害将难以估量，潜在的危险也十分可怕！但是，该罪是情节犯，非情节严重的“提供”行为不构成该罪[11]。所以，对于这种事实上危害公共安全的行为却无法依照相关刑法条文进行有效打击。为此，刑法对于该类行为的规制，还需要更为深入、准确的考量，作出新的规定。

二、《刑法修正案(九)》对信息犯罪的回应分析

(一)加大对侵犯公民个人信息犯罪的打击力度

为了回应侵犯公民个人信息犯罪高发频发的现实，《刑法修正案(九)》对于刑法第二百五十三条之一作了较大的修改：第一，对于非法出售、非法提供公民个人信息的信息所属领域不再要求必须是六类特定领域中的公民个人信息，对于非法窃取公民个人信息的行为，也不再要求指向“上述信息”，扩大了行为对象的范围。第二，降低了犯罪要求，不再要求必须是“违反国家规定”，将其中的“国家”表述去掉，采用了“违反规定”的表述，从而降低了入罪要求，有利于更好地打击该类犯罪行为。第四，加大了惩处力度，规定法定刑为“三年以上七年以下有期徒刑，并处罚金”。这样的规定，对于打击日益严重的侵犯公民个人信息的犯罪无疑具有重要的作用，有利于保护公民个人信息的安全。

但是，上述立法仍然存在不足，其中最突出问题就在于对侵犯公民个人信息的行为类型规制不全面。侵犯公民个人信息的行为方式主要有以下三种：第一，信息泄露。在大数据时代，数据是客观产生的、存在的，公民个人信息的拥有主体早已突破了国家机关或者金融、电信、交通、教育、医疗等单位的范畴，电商平台、社交网站等主体也事实上掌握着大量的公民个人信息。但是这些网络主体技术水平不等、人员构成复杂，导致像“支付宝安全门”、“携程门”等公民个人信息的信息交易事件和信息安全事件层出不穷。第二，未经授权获取。个人信息除了在公民知情的情况下被收集，很多情况是在公民不知情、未授权的情况下被收集的。比如公民在网络中的点击行为、浏览行为会被记录，定位信息会随互联网移动终端的适用而被保存，颇为典型的是windows10系统刚刚发布就陷入“隐私门”事件。第三，非法利用。一些网络主体在收集公民个人信息的时候是经过授权的，也没有非法泄露给第三方，但是却违背约定用途对公民个人信息进行“挖掘”、“加工”来获取新的利益，比如未经允许推送信息、发送广告邮件等，客观上滥用了公民的通讯方式、个人偏好等信息。上述三种方式中，对于非法利用公民个人信息行为的规制，刑法尚未作出明确的规定，有待于进一步完善。

(二)增设有关网络服务提供者刑事责任的规定

信息社会，对于某些信息犯罪，除了犯罪分子直接加功以外，网络服务提供者的一些行为也在客观上起了推波助澜的作用。《刑法修正案(九)》新增设的第二百八十六条之一，对网络服务提供者应承担的刑事责任作出专门规定，从某种意义上也是对于信息犯罪日益严重的犯罪结果的回应，其立法目的在于“釜底抽薪”，打击网络服务提供者不履行义务、不恰当履行义务的行为。网络服务提供者对于信息具有一定的特殊义务，如果不履行或者履行不适当，有必要从刑法的角度加以惩罚。《刑法修正案(九)》规定网络服务提供者拒不履行法律、法规规定的特定义务时，如果情节严重或者后果严重，就应当承担刑事责任。这样一种规定某种程度上沿袭了《侵权责任法》中的有关规定⑥，《侵权责任法》中的规定也可在某种程度上看作网络服务提供者的义务来源根据。追究网络服务提供者的刑事责任不仅具有一定的理论基础，而且在司法实践中也有较强的必要性：一方面可以督促其履行依法管理互联网的职责并在发生网络犯罪时积极协助办案机关侦查破案，另一方面也可以使得被害人得到相应的补偿。当然，刑法中有关义务违反的标准应当比民法中有关义务违反的标准更为严格[12]，最根本的还是要从社会危害性的标准出发。违反后者的义务设置规定，达到入罪标准的“社会危害性”的行为，即可能构成不作为犯罪[13]。不过在司法实践中区分二者并非易事，在绝大多数情况下，必须针对个案仔细研究，才可能得出正确结论[14]。

无论从理论上还是实践上考量，追究网络服务提供者不作为的刑事责任都很有必要。但是有一个问题需要解决好，那就是如何理解“严重后果”和“情节严重”？考察《刑法修正案(九)》对网络服务提供者刑事责任的规定，其出发点应该立足不作为犯罪的角度，而非过失犯罪的角度。当然，尽管这样的规定有利于防止打击面的扩大，但是否为网络服务提供者过失的犯罪行为预留足够的立法空间？还是说网络服务提供者过失的犯罪行为不应当受到刑法的惩处，还需要深入探讨？

(三)增加单位犯罪的有关规定

《刑法修正案(九)》中关于信息犯罪增设了若干单位犯罪的规定：第一，在刑法第二百五十三条之一规定了单位犯罪。第二，在刑法第二百八十五条规定了单位犯罪。第三，在刑法第二百八十六条规定了单位犯罪。根据前面的分析，在刑法第二百五十三条之一增设单位犯罪不难理解，因为实际上很多单位掌握有大量的公民个人信息，他们实施的侵犯公民个人信息的犯罪行为理应被刑法制裁。值得讨论的是刑法第二百八十五条、第二百八十六条规定的单位犯罪。事实上，的确存在是单位犯罪但是由个人受过的案件。比如，上海首例“破坏计算机信息系统罪”案件，其实就是单位犯罪：在认为竞争对手不正当竞争的情况下，王某所在企业集体通过了王某提出的通过黑客程序攻击对方企业的方案，由王某实施黑客攻击，造成了非常严重的后果⑦。该罪缺乏单位犯罪的有关规定，造成对该类行为的处罚存在间隙，或者处罚失当。所以，增设上述犯罪的单位犯罪规定，确有必要。

但是，对于提供侵入、非法控制计算机信息系统程序、工具罪而言，增设单位犯罪仅代表横向打击面上的扩张，并不意味着纵向打击深度的延展。事实上，提供侵入、非法控制计算机信息系统程序、工具的行为，本身就已经造成非常严重的社会危害，甚至说其危害了公共安全，仅增设单位犯罪的规定无法满足打击该类犯罪行为的需要。

总体来看，《刑法修正案(九)》较之前的刑法规定有了较大的进步，但是对于信息犯罪行为的多元化、主观方面多元化、结果的多元化重视不够，还有待进一步完善。

三、信息犯罪的刑法回应路径思考

(一)注重对新犯罪行为的纳入：以侵犯公民个人信息犯罪为例

对于侵犯公民个人信息犯罪，在立法时要注重对两类行为的关注：第一，非法利用公民个人信息的行为。《刑法修正案(九)》中的规定依旧是围绕“向他人出售或者提供公民个人信息”、“窃取或者以其他方法非法获取公民个人信息”展开的，主要目的是规制公民个人信息被非法泄露的出售、非法提供行为和非法获取行为，而未经授权获取公民个人信息的行为、公民个人信息非法利用的行为并不在该条的打击范围之内，需要在以后立法时重新考虑。第二，《刑法修正案(九)》中关于非法获取公民个人信息行为的表述依旧是“窃取或者以其他方法非法获取公民个人信息”，没有对非法购买公民个人信息的行为作出明确规定，不利于遏制该类行为以及该类行为有可能诱发的下游犯罪。目前《刑法修正案(九)》中对“向他人出售或者提供公民个人信息”的行为以及“窃取或者以其他方法非法获取公民个人信息”的行为已有明确的规定，但对购买上述信息的行为却没有体现，从目前的司法实践来看一般是将购买行为解释为“其他方法”之一。出于打击下游犯罪的考虑，笔者认为还是应当将这一行为与“窃取”、“其他方法”并列规定较为妥当。

此外，为了更好地打击该类犯罪及与其关联的下游犯罪，笔者建议出台专门的司法解释，规定在侵犯公民个人信息犯罪同时实施其下游犯罪时(如诈骗罪、敲诈勒索罪等)，通过对下游犯罪中“严重情节”的解释，予以从重处罚甚至加重处罚。采用司法解释的方式既不会过多更改现有刑法典的既有规定模式，又能实现严厉打击侵犯公民个人信息犯罪的下游犯罪的目的。

(二)注重对犯罪结果多元化予以回应：以提供侵入、非法控制计算机信息系统程序、工具罪为例

诸如“木马”之类的计算机程序、工具，往往在对某个具体的计算机系统造成侵入、非法控制的实害后果之前，其制作、传播行为就已经存在危及社会公共安全的危险。该罪要求达到“情节严重”，本罪是情节犯，构成本罪，必须具有严重情节[15]。但是这里的“情节严重”，在认定时就存在一定的困难。本条工具、程序指向的是侵入、非法控制计算机系统，根据官方的解释，司法实践中认定行为人的行为是否情节严重，可以从行为人所提供程序、工具的数量、具体用途，行为持续的时间，所造成的实际危害后果等方面进行考量[16]。从语法上看，“行为人所提供程序、工具的数量、具体用途，行为持续的时间”与“所造成的实际危害后果”是并列关系，这里的“情节严重”，既包括行为情节的严重，又包括结果情节的严重，依前者可以将其理解为行为犯，依后者可以将其理解为结果犯。但是从刑法理论上看，行为犯与危险犯之间并无实质的、不可逾越的鸿沟。笔者认为，认为“行为人所提供程序、工具的数量、具体用途，行为持续的时间”属于情节严重，也完全可以包括该行为造成危险结果的情况。类似的，无论是侵入、非法控制，还是破坏，只要指向的是多数的计算机信息系统，该危险结果就都是应当被刑法制裁和处理的。“木马”只是其中的一种，危害性程序还有很多种。当然，采用穷举的方式是不明智的，应当采用类似“程序、工具、服务等”的兜底条款更为妥当[17]。

但是这种处理方式又带来另一个问题：如果该危险结果值得被刑法处理，那么其代表的法益是什么？笔者认为，从公共秩序法益、个人法益的角度理解都无法得出合理的解释。因为如果某种行为只是可能危害一定法益就需要被刑法处理，那么肯定涉及的法益十分重大。笔者认为这里的法益应该是公共安全。危害性程序一旦被制作出来，即便没有对具体的系统造成损害，由于信息传播的特征，使得相当数量的计算机系统处于被危害的可能性之下。换言之，“木马”等危害性程序，一旦被制作、传播，就已经对社会造成了巨大的危害，带来了巨大的危险。信息公共安全也是公共安全的一种。也就是说，刑法有必要在第二章“危害公共安全罪”中作出规定，以更好地打击涉及危害性程序有关的犯罪行为。事实上，对于打击类似犯罪已有学者提出过相应的建议。如有学者建议，在刑法第二章“危害公共安全罪”中，增设恶性计算机病毒相关犯罪的特别罪名。笔者认为，这样的思路是妥当的，否则不足以回应该类犯罪行为结果形式的变化。

(三)为过失信息犯罪预留必要的立法空间：以破坏计算机信息系统罪为例

目前刑法并未追究过失信息犯罪行为的刑事责任，笔者认为不妥，应该预留必要的立法空间。比如负有信息保护义务的特定主体，因过失导致信息数据被非法获取从而产生严重后果；或者网站管理人员明知某一文件很有可能是“木马”程序，为了扩大网站浏览量依旧上传供网站会员下载，但又未预料到后果的严重程度，上述过失行为并非全都不能被刑法所规制。《刑法修正案(九)》将网络服务提供者的刑事责任规定于第二百八十六条之一，官方未给出新的罪名，而是暂用拒不履行信息网络安全管理义务罪的表述。如前所述，目前刑法追究网络服务提供者刑事责任的前提是其主观上故意、客观上不作为的犯罪——《刑法修正案(九)》在其责任规定中使用了“拒不改正”的表述，应该可以认为其从心理态度上属于故意；“拒不改正”，可以认为是应当改正而没有改正，属于不作为犯罪。曾有学者以ICP的责任为例，指出明知是他人制作或发布的非法的信息资料，仍然加以传送的，如果与行为人没有共同的意思联络，可单独构成犯罪(不作为)；如果与行为人有共同的故意，则构成帮助犯[18]。但是除了直接故意的情形外，网络服务提供者也不乏有间接故意或者过失的心理态度。比如，对于某个行为人发布的违法信息，网络服务提供者知道其可能是违法信息，但是出于扩大网络服务应用或者其他的考虑，没有尽到应有的监管义务，导致严重后果的情况应该如何处理？从《刑法修正案(九)》的规定看，未尽义务和拒不改正是两个并列的条件，那么对于这种行为就难以通过刑法予以规制。但是这种因为没有尽到义务导致的严重后果在责令改正前已经发生的情况，刑法是否应该予以制裁？或许目前从技术水平或者信息社会发展的角度暂未纳入犯罪圈，但是至少应该预留必要的刑事立法空间。

类似的，比如杀毒软件之间的“误杀”行为，从各杀毒软件本身来讲，应该具有对于查杀技术的管控能力与义务，但是却未适当履行这一义务。从性质上讲，这是一种严重的技术过失。目前虽然没有直接在刑法中明确作出规定加以制裁，但是也应当考虑为其预留立法空间。

总之，信息犯罪的发展变化是十分迅速的，无论是行为方面、主观方面还是结果方面，都给刑法提出了巨大的挑战。刑法必须迎头赶上，在保证立法的稳定性、谦抑性的基础上，及时、恰当地回应信息犯罪。而且随着信息犯罪越来越多、越来越广，刑法也面临着一个转型的问题，构建信息刑法的框架与体系也是未来需要解决的重要命题。面对信息犯罪，需要细致分析信息给刑法带来的改变，迅速构建信息刑法的基本原则、关键理论和整体框架，推动刑法以发展的姿态来迎接和回应信息社会的来临。

注释：

①参见新华网的《央视曝申通圆通天天快递贩卖快递单个人信息》一文，http://news.xinhuanet.com/fortune/2013-08/29/c_125275257.htm。

②参见中国经营网的《支付宝闹“内鬼” 用户信息被盗卖 马云放权“惹祸”?》一文，http://www.cb.com.cn/companies/2014_0106/1031864.html。

③参见财经新闻网的《使用数据防泄漏技术避免“过失泄密”》一文，http://hebei.ifeng.com/news/detail_2014_09/16/2919233_0.shtml。

④诺顿“误杀”事件。诺顿软件是一款杀毒软件，但本是电脑卫士的杀毒软件却扮演了一回电脑“杀手”的角色。2007年5月18日，诺顿杀毒软件的一次正常升级带来了灾难性的后果：诺顿升级到最新的病毒库后，Windows XP的关键系统文件被当作病毒予以清除，重启电脑后系统将会瘫痪。

⑤参见中国警察网的《盗数千万个QQ号 至少“剥六层皮”榨钱》一文，http://news.cpd.com.cn/n3559/c14903356/content_1.html。

⑥《侵权责任法》第36条第3款规定：网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。

⑦参见上青网的《上海首例“破坏计算机信息系统罪”案件昨日判决 黑客狂攻对手网站28天沦为罪犯》一文，http://www.why.com.cn/epublish/node4/node11858/node11861/userobject7ai95505.html。

[1]乌尔里希·贝克.从工业社会到风险社会(下篇)：关于人类生存、社会结构和生态启蒙等问题的思考[J].王武龙,译.马克思主义与现实,2003(5):60-72.

[2]高德胜.信息犯罪研究[D].长春：吉林大学,2008:16.

[3]劳伦佐·彼高狄.信息刑法语境下的法益与犯罪构成要件的建构[J].吴沈括,译.刑法论丛,2010(3):311-352.

[4]邹志仁.信息学概论[M].南京:南京大学出版社,2007:2-3.

[5]文军.信息社会信息犯罪与信息安全[J].电子科技大学学报：社会科学版,2000(1):21-25.

[6]黄晓亮,万方.现代刑法学的使命：全国刑法学术年会文集:2014年度[C].北京:中国人民公安大学出版社,2014:1458.

[7]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014(1):117-127.

[8]朱平.论信用信息权利的刑法保护[J].法律适用,2013(11):43-46.

[9]全国人大常委会法制工作委员会.中华人民共和国刑法释义：(第5版)[M].北京:法律出版社,2011:458.

[10]李怀胜.技术过失行为的法理省思：基于网络背景的刑事法考察[J].刑法论丛2010(3):67-106.

[11]皮勇.我国新网络犯罪立法若干问题[J].中国刑事法杂志,2012(12):44-49.

[12]赵远.浅析网络犯罪中网络服务提供者的刑事责任[N].法制日报,2014-07-23(11).

[13]秦天宁,张铭训.网络服务提供者不作为犯罪要素解构：基于“技术措施”的考察[J].中国刑事法杂志,2009(9):42-47.

[14]孟传香.关于网络服务提供者不作为刑事责任问题的探讨[J].重庆邮电大学学报：社会科学版,2012(6):26-30.

[15]皮勇.关于中国网络犯罪刑事立法的研究报告[J].刑法论丛,2011(3):198-257.

[16]全国人大常委会法制工作委员会.中华人民共和国刑法释义：(第5版)[M].北京:法律出版社,2011:513.

[17]胡博.网络木马犯罪及其法律规制[J].网络法律评论,2012(1):252-262.

[18]黄晓亮,陈谞.网络服务提供者不作为的刑事责任问题[N].法制日报,2004-09-02(10).

(责任编辑江海波)

Response of the Criminal Law to Information Crimes:Comment on the Provisions in the 9thAmendmentofPenalCode

WANG Qi-xin, WANG Su-zhi

(SchoolofLaw,WuhanUniversity,Wuhan430072,Hubei,China)

Information crimes are characterized by pluralism on behaviors,subjectivity and results,which give a new challenge to the criminal law. The provisions in the 9th amendment of penal code increase the punishment of the crimes of encroaching individual information, establish the criminal liability of internet service providers and the unit crimes,but some disadvantages still exist.To respond to the information crime,the criminal law has to focus on regulating the new behaviors and results, reserve the necessary legislative space for the negligent information crimes.

information crimes; the 9thAmendmentofPenalCode； internet service providers

2016-05-10

王启欣(1984-)，男，湖北省武汉市人，武汉大学法学院博士生，主要从事中国刑法学、网络安全法学研究；

王肃之(1990-)，男，河北省石家庄市人，武汉大学法学院博士生，主要从事中国刑法学、网络安全法学研究。

D924

A

10.3963/j.issn.1671-6477.2016.04.0020