王肃之

(最高人民法院，北京 100745)

一、网络犯罪规范模式的分歧溯源

关于网络犯罪的规范模式的分歧源于《网络犯罪公约》。①《网络犯罪公约》(Cybercrime Convention)于2001 年11 月由欧洲委员会的26 个欧盟成员国以及美国、加拿大、日本和南非等30 个国家的政府官员在布达佩斯共同签署。《网络犯罪公约》是于2001 年11 月由欧洲委员会的26 个欧盟成员国以及美国、加拿大、日本和南非等30 个国家的政府官员在布达佩斯所共同签署的国际公约，系全世界第一部针对网络犯罪行为所制定的国际公约。2003 年1 月23 日，欧盟在斯特拉斯堡通过了《网络犯罪公约补充协定：关于通过计算机系统实施的种族主义和排外性行为的犯罪化》(Additional Protocol to the Convention on Cybercrime，Concerning the Criminalisation of Acts of a Racist and Xenophobic Nature Committed through Computer Systems)。《网络犯罪公约》包括4 章，共计48 个条文。第1 章“术语的使用”，包括第1 条。第2 章“国家层面上的措施”，包括第2 条至第22 条。第3 章“国际合作”，包括第23 条至第35 条。第4 章“最后条款”，包括第36 条至第48 条。其中第2 章第1 节“刑事实体法”部分第2 条至第13 条为网络犯罪的具体类型和处置规则，这些规定对缔约国的网络犯罪刑事立法产生了重大影响。

关于我国在网络犯罪刑事立法过程中是否应当以《网络犯罪公约》为蓝本和指南，学界形成了不同的观点。一种观点认为，我国应当以《网络犯罪公约》为蓝本，完善网络犯罪刑事立法。例如，有学者认为：“《网络犯罪公约》是一部历经近20 年才制定的反网络犯罪的国际公约，在立法的完善性方面尚没有任何国家、国际组织的相关立法能出其右，而且，该部公约已经在2004 年7 月1 日生效，是目前国际上影响最大的、已生效的反网络犯罪的国际法律文件。借鉴该公约中的网络犯罪立法能迅速提升我国网络犯罪立法的完善程度。”②皮勇：《我国网络犯罪刑法立法研究——兼论我国刑法修正案(七)中的网络犯罪立法》，《河北法学》2009 年第6 期。又如，有学者认为：“应当根据《网络犯罪公约》和我国现有立法的不足，重新调整网络犯罪行为模式的立法布局。”③孙道萃：《移动智能终端网络安全的刑法应对——从个案样本切入》，《政治与法律》2015 年第11 期。另一种观点则认为，我国完善网络犯罪刑事立法不应照搬《网络犯罪公约》，应该坚持自己的立法主张。这一论断的基础主要在于以下两个方面。第一，是基于网络犯罪国际立法规则的博弈。有学者指出：“目前国际社会对欧洲网络犯罪公约的态度已经逐渐分化为两大对立的立场。一方面，西方发达国家极力推动将《网络犯罪公约》上升为全球性公约，另一方面，中、俄以及广大的发展中国家都主张制定全新的网络犯罪国际公约。”④于志刚：《缔结和参加网络犯罪国际公约的中国立场》，《政法论坛》2015 年第1 期。该学者进而认为，在推动网络犯罪国际公约领域呈现出“美欧”与“中俄”两大阵营的对峙。⑤参见于志刚：《虚拟空间中的刑法理论》，社会科学文献出版社2018 年版，第360 页。第二，是基于网络犯罪类型的分歧。有学者指出，《网络犯罪公约》在犯罪类型上难以适应以我国为代表的发展中国家打击网络犯罪的立法需求，“公约规定的网络犯罪罪行侧重于技术性犯罪，即以网络为犯罪对象的犯罪(如非法入侵、非法拦截、数据干扰、系统干扰、设备滥用等)，与当前‘传统犯罪网络化’的形势不相适应。除上述技术性犯罪外，公约规定的其他罪行，包括网络儿童色情、侵犯知识产权犯罪等，多为美欧发达国家关切的罪行，而发展中国家重点关注的网络成人色情、网络赌博等罪行均未纳入公约。”⑥胡健生、黄志雄：《打击网络犯罪国际法机制的困境与前景——以欧洲委员会<网络犯罪公约>为视角》，《国际法研究》2016 年第6期。由此，中国的网络犯罪立法不应按照《网络犯罪公约》等网络犯罪国际条约进行，而应基于独立自主的视角展开。

笔者同意后一种观点，虽然《网络犯罪公约》在国际刑事立法的许多方面开创了先例，为各国立法者参考，但是其不宜作为我国制定网络犯罪立法的蓝本。第一，《网络犯罪公约》制定于2001 年，早已落后于网络犯罪的发展。《网络犯罪公约》所界定的仅为“计算机系统”、“计算机数据”、“服务提供商”和“业务数据”等概念，但是诸如关键信息基础设施、僵尸网络、个人信息等关键概念在该公约制定时并未出现，其也无法作出规定。第二，《网络犯罪公约》所规定的犯罪类型难以全面契合我国实际。比如我国全面规定了色情犯罪和赌博犯罪，而《网络犯罪公约》只规制网络儿童色情犯罪，且未规制赌博犯罪。第三，我国既未加入，也未计划加入《网络犯罪公约》。我国一直反对将《网络犯罪公约》作为打击网络犯罪的国际标准，相反倡导在联合国框架下制定全球性公约，以及通过亚非法律协商组织等平台建立区域网络犯罪治理规则。总之，各国网络犯罪具体情况各不相同，其网络犯罪立法理应根据该国实际情况进行，不应削足适履。

此外，不少刑法学者提出依照《网络犯罪公约》完善我国刑事立法的观点某种程度上也与我国的参照范本有关。随着传统的苏联理论在刑法学界的式微，德日理论开始成为刑法理论的显学。德国和日本都是《网络犯罪公约》的缔约国，因此我国难免在选择倾向上受到一定程度的影响。然而，我国和欧洲国家的刑法传统和犯罪治理需求并不完全一致。比如，《网络犯罪公约》基于欧洲国家刑事立法趋近的现实，欧洲学者在讨论的是具有跨国效力的刑法该选择合作模式和超国家模式⑦Vgl.Ulrich Sieber,Die Zukunft des Europäischen Strafrechts-Ein neuer Ansatz zu den Zielen und Modellen des europäischen Strafrechtssystems-,ZStW 121(2009),Heft 1,S.17.，而这一前提和基础显然与我国现实并不契合。也有学者认为，我国对于网络秩序型犯罪的归罪模式，是当前中国刑法不同于国外刑法的重要方面之一。⑧参见于志刚：《中国网络犯罪的代际演变、刑法样本与理论贡献》，《法学论坛》2019 年第2 期。虽然该归纳是否妥当仍可商榷，但是思考和研究我国网络犯罪立法的特色与模式确已成为理论研究的当务之急。

二、数据与信息：网络犯罪对象范式的选择

计算机(及其计算机系统)与数据(电磁记录)作为网络犯罪对象已得到德国、日本刑法和《网络犯罪公约》承认。第一，德国刑法中使用的犯罪对象概念为数据(Daten)与计算机(Computer)。其主要保护计算机系统和数据的机密性、完整性、可用性(zum Schutz der Vertraulichkeit，der Integrität und der Verfügbarkeit von Computerszstemen und-daten)。⑨Ulrich Sieber,Straftaten und Strafverfolgung im Intenet,C.H.Beck,2012,S.82.第二，日本刑法中使用的犯罪对象概念为“电子计算机”。“所谓电子计算机，是指自动进行计算和数据处理的电子装置。”10[日]高桥则夫：《刑法各论》，成文堂2014 年版，第554 页。日本《刑法》并未使用数据的概念，其第7 条之二专门界定了“电磁记录”，指用电子、磁记录技术及其他不能通过人的知觉认识的方式制作的供电子计算机进行信息处理所使用的记录。第三，《网络犯罪公约》第1 条也规定计算机系统(computer system)和计算机数据(computer data)，其中计算机系统强调“通过运行程序进行数据的自动化处理”，“计算机数据”包括“适于使计算机信息系统进行某项功能的程序”。

与之不同，我国《刑法》虽然也使用了“计算机信息系统”和“计算机信息系统数据”的概念，但是无论对于计算机系统还是其中的数据均以“信息”作为限定。此外，我国《刑法》多个条文还涉及了德国、日本刑法中未出现的“信息”概念，如“个人信息”、“虚假信息”等概念。基于以上网络犯罪对象的范式区别，虽然不少学者提出应借鉴德日刑法的数据范式，但是从另外的角度考察，我国刑事立法形成了颇具特色的信息范式。

(一)信息与数据的范式选择

信息与数据是我国刑事立法和司法解释均使用的概念。比如，我国《刑法》第253 条之一使用了“个人信息”的概念，第291 条使用了“虚假恐怖信息”、“虚假信息”的概念。其第285 条、第286 条使用了“计算机信息系统数据”、“数据”的概念。相关司法解释也均使用信息与数据的概念。比如，《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19 号)(以下简称：《危害计算机信息系统安全解释》)第1 条第1 款规定的非法获取计算机信息系统数据的情形即包括：其一，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；其二，获取第一项以外的身份认证信息五百组以上的。其第11 条第2 款更明确指出，该解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

以上对象概念的交叉使用虽然可以确保刑法对于网络犯罪的打击，但也引发了对概念边界的讨论。一种观点认为，目前数据的概念范围过于狭窄。就我国《刑法》中规定了数据的第285 条、第286条，分别有学者提出批评意见。有学者认为，我国《刑法》第285 条第2 款非法获取计算机信息系统数据罪所保护的数据，其范围限于“计算机信息系统内部的、侧重于信息系统自身功能维护的、以访问控制为主要考虑的数据”，该数据类型过多附属于计算机信息系统功能，未关注数据的价值与保护必要性，且范围过分局限于以验证为内容的数据。11参见于志刚、李源粒：《大数据时代数据犯罪的制裁思路》，《中国社会科学》2014 年第10 期。另有学者认为，我国《刑法》第286 条破坏计算机信息系统罪中的数据是计算机信息系统中的数据，仅是该系统功能实现的载体，限于该系统内部的静态数据的安全，不符合大数据时代的要求，像“网页浏览痕迹、下载记录和关键词搜索记录等反映用户生活规律、消费习惯和经济状况的信息数据”，无法归入计算机信息系统数据的范畴。12参见黄晓亮：《从虚拟回归真实：大数据时代刑法的挑战与应对》，《中国政法大学学报》2015 年第4 期。秉承这种观点的学者围绕数据范围的扩大提出了具体的修改建议：“其一，将‘非法获取计算机信息系统数据罪’修正为‘非法获取网络数据罪’。具体而言，修正《刑法》第285 条第2 款‘非法获取计算机信息系统数据罪’，去除前提性的技术行为限定。其二，修正制裁履职过程中的数据犯罪的罪名。建议将罪状中的‘将本单位在履行职责或者提供服务过程中获得的公民个人信息’中的‘公民个人信息’，修正为‘数据’。”13同前注11，于志刚、李源粒文。另一种观点则认为，目前数据的概念范围过于宽泛，主要理由有两点。其一，数据和信息的范围会产生交叉。如有学者认为，作为犯罪对象的数据范围极其广泛，几乎涵盖了所有可在计算机信息系统中储存、显示、获取的权利客体，数据与各类信息的交叉不可避免。比如，“身份认证信息以个人真实信息显示时，‘数据’和‘个人信息’发生重叠而难以区分，直接导致部分原本应构成侵犯公民个人信息罪的行为被认定为非法获取计算机信息系统数据罪，典型的是获取考生信息系统中考生账号密码的案例”。14杨志琼：《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》，《法学评论》2018 年第6 期。其二，并非所有的数据均应作为犯罪对象保护。有学者认为应区分核心数据和非核心数据，破坏计算机信息系统罪中的数据必须是核心数据，进而为该罪划定合理的处罚边界。15参见俞小海：《破坏计算机信息系统罪之司法实践分析与规范含义重构》，《交大法学》2015 年第3 期。

以上讨论实际上关系到网络犯罪对象的一个基础性问题——采用信息范式还是数据范式，需要辨明。

1.数据范式

德日刑法采取的是数据范式。德国以数据(Daten)作为网络犯罪的核心犯罪对象，并以其他形式的对象作为补充。除了德国《刑法》第202 条a 规定的探知数据罪、第202 条b 规定的拦截数据罪、第202 条c 规定的预备探知和拦截数据罪、第202 条d 规定的窝藏数据罪、第303 条a 规定的变更数据罪等罪名外，第303 条b 规定的破坏计算机罪也指向了数据处理。德国《刑法》中的数据概念具有极强的包容性。德国《刑法》第202a 条中的数据概念超出了《网络犯罪公约》和《欧洲委员会关于攻击信息系统的理事会框架决议》的要求，因为访问数据也未必进入计算机系统，通过录音带、磁带、软盘、硬盘、记忆卡、芯片和存储卡、信用卡、CD 或DVD 等储存媒介均可获取数据。对于数据概念内涵，德国立法机关故意不作规定，因为这样可以避免基于各种新的技术发展再次调整数据概念。16Vgl.Daniel Schuh,Computerstrafrecht im Rechtsvergleich-Deutschland,Österreich,Schweiz,Duncker &Humblot,2011,S.53～56.

日本“刑法”采取了“电磁记录”的表述，从其第7 条的表述看，电磁记录是指用电子、电磁记录技术及其他不能通过人的知觉认识的方式制作的供电子计算机进行信息处理所使用的记录。虽然从其概念来看，日本《刑法》中的电磁记录有着数据的含义，如非法制作电磁记录罪与提供非法制作的电磁记录罪(第161 条之二)、第18 章之二有关支付磁卡电磁记录的犯罪、第19 章之二非法指令电磁记录相关犯罪等罪名直接规定了电磁记录，其他相关犯罪也规定了电磁记录。然而，日本刑法中的电磁记录并不是真正有独立意义的犯罪对象，这一点与德国《刑法》的规定是不同的，在德国《刑法》中，数据概念虽然与信息相比强调形式判断，但是也具有独立的对象价值，可以被探知、拦截等；日本《刑法》中独立的电磁记录并不作为犯罪对象保护，即便是日本《刑法》第163 条之四预备非法制作支付磁卡电磁记录罪规定了非法获取电磁记录信息的情形，也是要求供第162 条之二非法制作支付磁卡电磁记录等罪之用，作为附属规制。

在这一范式中，信息并不是作为类似数据的基础性犯罪对象概念的。

第一，在这一范式中，信息是作为数据(或电磁记录)的内涵形式或者结构形式的。德国刑法并未将信息作为犯罪对象，只是在其第176 条性虐待儿童罪中规定了“信息和通讯技术方式”(Informations-und Kommunikationstechnologie)。日本刑法中电磁记录包括电磁记录信息，如在准备非法制作支付用卡电磁记录的犯罪中，其对象是“电磁记录信息”，即在使用支付用卡进行支付决算系统中，成为其数据处理对象的一连串的信息，不是会员号、姓名等零碎的信息。电磁记录本身的范围很广，计算机病毒都包括在“非法指令电磁记录”中。17参见[日]大谷实：《刑法讲义各论》，成文堂2015 年版，第500～511 页。

第二，在这一范式中，信息在是否成为财产罪的客体层面进行讨论，而非人身犯罪层面。如日本学者一般认为，信息的保护必要性增大，但是不该作为财物看待，仅盗窃信息不能构成犯罪。18参见[日]前田雅英：《刑法各论讲义》，东京大学出版会2015 年版，第147 页；[日]斋藤信治：《刑法各论》，有斐阁2014 年版，第342页。无论从有体性说还是物理的管理可能性说看，信息本身不是物理的存在，不过当信息被记录在文件、软盘、USB 等物理介质中时，存储信息的介质(信息化的物体)就是财物。19参见前注17，大谷实书，第184～185 页；前注10，高桥则夫书，第209 页；前注○18，斋藤信治书，第91 页；[日]山中敬一：《刑法各论》，成文堂2015 年版，第255 页。

第三，在这一范式中，个人信息(个人数据)保护通过单行刑法的方式予以规定，在刑法典层面限于个人秘密、隐私的保护路径，比如德国《刑法》第203 条侵犯个人秘密罪(Verletzung von Privatgeheimnissen)、第204 条利用他人秘密罪(Verwertung fremder Geheimnisse)、第134 条泄露秘密罪(秘密漏示)均是基于个人秘密信息而规定的。

2.信息范式

我国刑法采取的是信息范式。从广义而言，信息作为犯罪对象并不限于网络犯罪范畴。刑法已经规定诸多有关信息的犯罪。有学者认为，在我国现行法的体系中，明确了对于七种类别的信息予以保护，分别是国家秘密、军事秘密、国家情报、商业秘密、消费者个人信息、网络运营商收集的用户信息和公民个人信息。20参见于志刚：《“公民个人信息”的权利属性与刑法保护思路》，《浙江社会科学》2017 年第10 期。笔者认为，应对其进一步予以类型化，在内容上分为以下四类。第一类是有关国家信息的犯罪，包括我国《刑法》第111 条规定的为境外窃取、刺探、收买、非法提供国家秘密、情报罪；第398 条规定的故意泄露国家秘密罪、过失泄露国家秘密罪；第431 条规定的非法获取军事秘密罪，为境外窃取、刺探、收买、非法提供军事秘密罪；第432 条规定的故意泄露军事秘密罪、过失泄露军事秘密罪等。第二类是有关商业信息的犯罪，包括我国《刑法》第161 条规定的违规披露、不披露重要信息罪；第180 条第4 款规定的利用未公开信息交易罪；第181 条规定的编造并传播证券、期货交易虚假信息罪，诱骗投资者买卖证券、期货合约罪，以及知识产权有关犯罪等。第三类是有关社会管理信息的犯罪，包括我国《刑法》第291 条之一规定的编造、故意传播虚假信息罪；第308 条之一规定的泄露不应公开的案件信息罪，故意泄露国家秘密罪21在国家秘密意义上我国和德国刑法的规定立场相同，均强调信息的秘密性。，披露、报道不应公开的案件信息罪，有关计算机信息系统数据的犯罪等。第四类是有关个人信息的犯罪，主要包括我国《刑法》第177 条之一规定的窃取、收买、非法提供信用卡信息罪，第253 条之一规定的侵犯公民个人信息罪等。

在网络犯罪层面应特别关注的是以下三点。第一，侵犯个人信息犯罪的增设。我国《刑法》第253 条之一侵犯公民个人信息罪的增设与修改，第177 条之一窃取、收买、非法提供信用卡信息罪的增设均选择了“信息”的表述，而没有使用德国和日本刑法的“秘密”表述。第二，虚假信息犯罪的增设。我国《刑法》第291 条之一编造、故意传播虚假恐怖信息罪和编造、故意传播虚假信息罪的增设，都使用了“虚假信息”的概念，强调信息属性，不同于日本《刑法》“虚假传闻”或“虚假事实”概念。22参见前注19，山中敬一书，第213 页；[日]松宫孝明：《刑法各论讲义》，成文堂2016 年版，第168 页；前注10，高桥则夫书，第181 页。第三，对“计算机信息系统数据”作信息化的解释。《危害计算机信息系统安全解释》第1 条第1 款第1项、第2 项的解释实际上也是将计算机信息系统数据作出了信息化的解释，将其具体为“身份认证信息”。综上所述，我国实际上通过计算机系统的信息化实现对其保护，而非将其割裂开来，因此笔者赞同如下观点：“我国刑法计算机犯罪条文的一个显著问题是在系统和数据的关系上强调系统安全而不重视信息安全的观点未能体现我国网络犯罪对象的保护模式。”23李源粒：《破坏计算机信息系统罪“网络化”转型中的规范结构透视》，《法学论坛》2019 年第2 期。

采用信息范式还是数据范式与国家的社会价值观念与犯罪追诉标准有关。第一，在社会价值观念层面，德国和日本强调个人法益优先，隐私利益处于绝对的地位，无论是计算机(信息)系统和数据的“机密性”，还是个人数据的私密性，都强调秘密属性，因此一旦数据形式上被侵犯，不论其内容如何，均通过刑法予以保护。我国社会结构与之不同，在计算机信息系统和个人信息层面均强调安全，更注重其实质内涵，故采用更体现内容属性的信息概念。然而，这并不意味着我国对此的保护程度更低，比如，对于公开的个人信息在我国也可以通过刑法予以保护，这种刑法保护，用个人秘密范式进行保护显然存在障碍。有学者认为：“我国将来的刑事立法，应当将伪造、变造普通私文书、印章、署名与伪造、变造电子文书、电子署名(电磁记录)等行为，一并规定在同一法条中，从而保护私文书、印章、署名的信用。”24张明楷：《网络时代的刑事立法》，《法律科学》2017 年第3 期。这一观点实际上未充分考虑我国和德日网络犯罪对象范式的本质区别。第二，在犯罪追诉标准层面，德国和日本的犯罪圈很大，理论上任何侵犯法益的行为均构成犯罪，只是在司法层面由法官裁量是否予以追诉，因此通过更为具有形式意义的数据概念可以确保犯罪追诉。我国犯罪标准较高，凡是入罪的行为均具有相当程度的法益侵害性，且达到法定标准均应予以追诉，因此采用更为具有实质意义的信息概念可以确保刑罚发动的正当性和妥当性。

传统理论中信息并不作为犯罪对象，如有观点认为：“没有必要(将犯罪对象)解释为‘信息’，把简单问题复杂化。”25高铭暄、马克昌主编：《刑法学》，北京大学出版社、高等教育出版社2016 年版，第59 页。近年来，随着侵犯信息的犯罪日益增多，学界也逐渐认可了信息可以作为犯罪对象。如有学者认为：“信息可以成为行为对象(犯罪对象)，在对信息的本质存在激烈争议的情况下，可以将信息视为物。”26张明楷：《刑法学(上)》，法律出版社2016 年版，第163 页。

不过前述论述仍未解决根本问题，信息是否应从“物”的视角认可为犯罪对象有待商榷。有学者指出：“计算机信息与传统的物具有显著差别，计算机信息不在刑法上的‘物’的调整范围内”。27皮勇：《网络犯罪比较研究》，中国人民公安大学出版社2005 年版，第29 页。将信息作为“物”最大的障碍就是信息的可复制性，“信息虽然可以成为被毁损的对象(被毁了以后的信息将无人能够持有)，但是却不可能基于传统刑法理论而成为被窃的对象(因为被窃后，原持有者仍持有信息)，因而与传统刑法存在冲突”。28于志刚：《论传统刑法与虚拟空间的冲突和衔接》，《浙江社会科学》2004 年第1 期。传统的物是具体的、确定的，物本身有确定的利益，物的流转会带来利益的变动，所以在民法和刑法理论中才有必要讨论占有的问题。这一障碍未能得到根本解决，将信息作为“物”将始终面临难以进行适当刑法评价的问题。此外，也有学者认为应在“物”之外考虑网络犯罪的对象，如有学者认为：“在犯罪对象的分类中，如果按照表现形式来划分，可分为三种：人、物、虚拟之真实存在(即数字化之真实存在)。”29许富仁、庄啸：《传统犯罪对象理论面临的挑战——虚拟犯罪对象》，《河北法学》2007 年第2 期。

笔者认为，应明确信息作为网络犯罪的对象。一般认为，一个事物能够成为犯罪对象，应符合以下三个条件：“第一，犯罪对象是具体的人或物；第二，犯罪对象是犯罪行为直接作用的人或物；第三，犯罪对象是刑法规定的人或物。”30同前注25，高铭暄、马克昌主编书，第59 页。其中第一个条件信息已经客观具备，信息的具体内容已经为理论和实务所承认，以下再说明信息可以符合后两个条件。第一，信息可以被犯罪行为所直接作用。“(对信息而言)主体的犯罪行为直接作用或影响的不可能是无形的东西，必须借助于作为中介的信息载体。”31薛瑞麟：《关于犯罪对象的几个问题》，《中国法学》2007 年第5 期。然而，即便借助载体，犯罪行为所作用的依然是信息，而非载体。比如，通过登录计算机信息系统破坏具有信息内容的数据，显然不同于直接将计算机硬件物理损毁。第二，如前所述，我国《刑法》已经规定四类信息犯罪，信息也是法定的犯罪对象。

(二)计算机系统的信息化

在相关概念表述上德日刑法、《网络犯罪公约》和我国有所区别。德国刑法采用的是“计算机”的表述，日本刑法采用了“电子计算机”的表述，指向具体的应用终端。《网络犯罪公约》表述为“计算机系统”，强调应用终端的系统性。我国则在“系统”前增加“信息”的前缀，表述为“计算机信息系统”。

对于上述区别，可以从以下几个方面予以理解。第一，电子计算机强调对于硬件和软件的双重保护，对此以物理形式破坏计算机的行为也属于破坏计算机。德国《刑法》第303 条b 第1 款第c 项明确规定了“破坏”、“毁损”等物理方式。与之类似，日本学者一般认为，对于日本《刑法》第234 条中对他人业务使用的电子计算机的破坏包括对其进行物理性的破坏，或消除磁盘等记载的信息之类的，使其失去其用途的一切行为。32参见前注17，大谷实书，第148～149 页；前注18，前田雅英书，第143 页；前注⑩，高桥则夫书，第197 页；前注○19，山中敬一书，第247页。第二，计算机系统则强调对于系统、程序在软件层面的保护，《网络犯罪公约》所规定的犯罪行为也均为通过计算机(网络)的方式实施，不包括对其硬件的保护。第三，计算机系统处理的必然是信息，在此意义上，我国刑法中的计算机信息系统与《网络犯罪公约》中的计算机系统并无根本区别，只是我国体现“信息”的犯罪对象立场是与我国整体犯罪对象的选择有内在关联的。

《危害计算机信息系统安全解释》第11 条规定：“本解释所称‘计算机信息系统’和‘计算机系统’，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。”该司法解释也是将“计算机信息系统”和“计算机系统”作为内涵相同的概念把握的。实务部门对此曾有如下说明：“从技术角度看，区分不具实质意义。随着计算机技术的发展，计算机操作系统与提供信息服务的系统已密不可分。具备自动处理数据功能的设备都可能成为被攻击的对象，有必要将其纳入刑法保护范畴。总之，任何内置有操作系统的智能化设备都可能成为入侵、破坏和传播计算机病毒的对象。”33陈国庆、韩耀元、吴娇滨：《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>理解与适用》，《人民检察》2011年第20 期。不过，有学者认为：“现行《刑法》第285 条、第286 条所设定的数个计算机信息系统犯罪，都应为网络犯罪而非单纯的计算机犯罪。其危害对象因而只能是计算机信息系统而非任何计算机系统。”34屈学武：《计算机信息系统罪危害对象探微》，《人民检察》2009 年第19 期。如前所述，笔者认为计算机信息系统和计算机系统具有同一性，故采司法解释的观点。

基于司法解释的以上规定，有学者指出手机智能终端也可以扩张解释为计算机信息系统，并且这一扩张解释没有超过国民的预测可能性。35参见前注③，孙道萃文。这一观点是符合客观现实的，然而，同时应注意防止计算机信息系统概念的过分扩大，不应将一切具有信息处理功能的设备均定义为计算机信息系统(比如电子表)。就此可参考日本学者的观点，即(他人业务使用的)电子计算机以具备独立性并在某种程度上广泛地处理业务为必要，作为组成部分集成在家电产品、自动贩卖机、计算机等中的微型计算机被排除。36参见前注2，松宫孝明书，第182 页；前注10，高桥则夫书，第196 页；前注○18，斋藤信治书，第83 页。

我国《刑法》第285 条、第286 条规定的计算机信息系统包括如下三种情形：第一，第285 条第1款规定的非法侵入计算机信息系统罪的犯罪对象为“国家事务、国防建设、尖端科学技术领域的计算机信息系统”；第二，第285 条第2 款规定的非法控制计算机信息系统罪的犯罪对象为“国家事务、国防建设、尖端科学技术领域以外的计算机信息系统”；第三，第286 条规定的破坏计算机信息系统罪的犯罪对象是一般意义的“计算机信息系统”。值得注意的是，第285 条第1 款和第285 条第2 款犯罪对象范围不一致。“如果采用非法侵入以外的技术手段获取‘国家事务、国防建设、尖端科学技术领域的计算机信息系统’中存储、处理或者传输的数据，就不构成犯罪。”37张智辉：《试论网络犯罪的立法完善》，《北京联合大学学报(人文社会科学版)》2015 年第2 期。就这一问题的解决，主要形成以下三种观点。

第一种观点认为，应将“前款规定之外”作为表面的构成要件要素看待。如有学者认为，我国刑法第285 条第2 款中的“前款规定之外”仅为表面要素或者界限要素，而非真正的构成要件要素。基于该款(非法控制计算机信息系统罪)的法定刑重于非法侵入计算机信息系统罪，如果将其作为真正的构成要件要素将会导致法条之间不协调与处罚的不均衡。38参见张明楷：《刑法学(下)》，法律出版社2016 年版，第1047 页。

第二种观点认为，应对于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”的范围进行部分扩大。就扩大的范围，学者又有不同意见。第一种意见认为，应将特定领域(金融领域)的计算机信息系统纳入该条规定的范围。因为金融系统的计算机信息系统在社会生活中具有相当重要的地位，应将侵入银行业金融机构计算机信息系统的行为纳入非法侵入计算机信息系统犯罪的范围。39参见殷宪龙：《我国网络金融犯罪司法认定研究》，《法学杂志》2014 年第2 期。第二种意见认为，应将若干个领域的计算机信息系统纳入该条规定的范围。如有研究者认为：“应当扩大本罪的犯罪对象，将金融、医疗、交通、航运等重要领域的计算机信息系统也纳入本罪的保护范围，加强对计算机信息系统的刑法保护”。40周微：《试论我国网络刑法存在的缺陷和立法完善》，《福建论坛(人文社会科学版)》2008 年第12 期。第三种意见认为应将公共部门的计算机信息系统纳入该条规定的范围。如有研究者认为：“证券股票交易系统，邮电、交通、医院、劳动与社会保障以及其他公共部门的计算机信息系统都涉及社会公众的合法权益，也同样需要刑法予以保护”。41黄泽林、陈小彪：《计算机犯罪的刑法规制缺陷及理论回应》，《江海学刊》2005 年第3 期。

第三种观点认为，应取消“国家事务、国防建设、尖端科学技术领域”的限定，将第285 条第1 款犯罪对象的范围扩大为计算机信息系统。如有学者认为：“我国刑法规定的非法侵入计算机信息系统罪只保护国家事务、国防建设、尖端科学技术领域的三类计算机信息系统，对其他计算机信息系统没有提供刑法保护，应将其修改为计算机信息系统。”42皮勇：《我国网络犯罪刑法立法研究——兼论我国刑法修正案(七)中的网络犯罪立法》，《河北法学》2009 年第6 期。也有学者将理由归结为公司财产的平等保护，认为不应忽视、放弃对“国家事务、国防建设、尖端科学技术”领域外的计算机信息系统的安全与正常活动的保护，否则将与法治国家所内涵要求的平等保护公共财产、私有财产原则不符。43参见徐澜波：《计算机信息犯罪研究》，《社会科学》2004 年第4 期。

笔者认为，第三种观点较为妥当。第一种观点实际上超越了刑法规定进行解释，超越了条文表述的涵摄范围与国民的预测可能性，已经不是扩张解释，与其所坚持的“刑法用语可能具有的含义”的解释限度背道而驰。44参见前注24，张明楷文。第二种观点虽然对于该款犯罪的对象范围进行扩大，但是会面临新领域的计算机信息系统不断出现的现实，并没有从根本上解决问题，且如何判断哪些领域的计算机信息系统应当予以保护也存在困难。第三种观点则可以弥合我国《刑法》第285 条第1 款和第285 条第2 款犯罪对象范围的差异，构建完善的计算机信息系统保护体系。此外，还有一个因素应当考虑，我国《刑法》第285 条第2 款系《刑法修正案七》所增设，客观上反映了经过12 年的发展，计算机信息系统的重要领域早已不限于1997 年我国《刑法》第285 条第1 款设立时的“国家事务、国防建设、尖端科学技术领域”，后续法律修改应对此有充分的认识。

在此还需要明确一个问题，即程序和计算机信息系统之间的关系。在计算机信息系统与信息数据二分的网络犯罪对象体系中，作为中间事物的信息程序该如何认定，对此各国国内法和国际立法也不一致。德国《刑法》第202 条第1 款c 项、日本《刑法》第168 条之二和之三与《网络犯罪公约》第6条的立场一致，即仅对病毒等破坏性程序作出附属于信息数据的规定，未对具有正面效能的信息程序作出规定。我国《刑法》除了第285 条第3 款关于侵入、非法控制计算机信息系统程序、工具罪的规定，以及第286 条第3 款关于计算机病毒等破坏性程序的规定，还在第286 条第2 款将“计算机信息系统中存储、处理或者传输的数据和应用程序”作为破坏计算机信息系统罪的犯罪对象，从而确立了对于具有正面效能的信息程序附属于计算机信息系统予以保护的立场。在这一问题上，我国的这一做法可谓具有积极的探索意义。

三、网络犯罪行为类型的模式比较

国内学者关于网络犯罪的行为模式的代表性研究是以《网络犯罪公约》与我国网络犯罪立法的犯罪模型比较展开的。其认为：“在刑事实体法方面，《网络犯罪公约》规定了9 种犯罪模型，将这些网络犯罪模型和我国网络犯罪立法规定进行比较，有利于发现两者之间的差异，对我国网络犯罪刑事实体法的修改完善起积极作用。”45皮勇：《欧洲理事会<网络犯罪公约>中的犯罪模型与我国网络犯罪立法比较》，《月旦法学杂志》(台北)2002 年第11 期。然而，如前所述，我国网络犯罪的立法立场应基于本土化的视角展开，对于网络犯罪对象的范式选择也具有中国特色，对于《网络犯罪公约》行为模式的参考、借鉴的可能性也应秉持这一立场进行具体分析。

(一)以数据为中心：《网络犯罪公约》的行为类型模式及其对德日的影响

《网络犯罪公约》确立了以数据为中心的行为类型模式，对于作为缔约国的德国与日本产生了重要影响。然而，德国和日本在数据概念的实质化和形式化的选择上采取了不同的路径，由此影响了各自网络犯罪的行为类型。

1.《网络犯罪公约》的行为类型模式

《网络犯罪公约》的行为模式对于缔约国(德国、日本等)立法的影响主要体现在计算机犯罪方面。这是因为《网络犯罪公约》的开创性本来就在于对计算机犯罪概念、行为模式、刑事程序以及合作打击机制等方面，行为模式的创新也主要在该领域。对于广义网络犯罪(网络色情犯罪、网络著作权犯罪等)，该公约更多的是明确既有立法惯例可以适用于网络犯罪，其创新性发展之处在于犯罪行为对象而非犯罪行为模式。《网络犯罪公约》第2 章第1 节“刑事实体法”部分也体现了上述区分，将“侵犯计算机数据和系统可行性、完整性和可用性的犯罪行为”与“计算机相关的犯罪行为”分别规定。

围绕计算机犯罪，《网络犯罪公约》具体规定了如下几类行为。第一，非法访问，即故意实施的非法访问计算机系统的全部或部分行为(第2 条)。第二，非法拦截，即故意实施的非法拦截计算机数据非公开传输的行为(第3 条)。第三，干扰数据，即故意实施的非法破坏、删除、损坏、修改或者压缩计算机数据的行为(第4 条)。第四，干扰系统，即故意实施的非法破坏、删除、损坏、修改或者压缩计算机数据，严重妨碍计算机系统功能的行为(第5 条)。第五，滥用设备，即为利用、进口、分发或者其他使之可用的目的生产、销售、提供计算机程序等设备，以及计算机密码、访问代码或者类似数据的行为(第6 条)。以上规定体现了以数据为中心的网络犯罪行为模式。第一，以可行性、完整性和可用性为保护法益，契合了数据保存和运行的特质。第二，扩大解释行为所指向的数据范畴，将计算机程序按计算机数据角度作类似判断(第6 条)。46《网络犯罪公约》第1 条关于计算机数据的概念界定更直接体现了这一立场，该条b 项直接将程序纳入计算机数据。第三，将干扰数据作为干扰系统的前置条件，实际上肯定了数据概念在计算机犯罪中的基础性。《网络犯罪公约》以数据为中心的行为模式对于德国、日本网络犯罪立法产生了重大影响。

2.德日的网络犯罪行为类型模式

2007 年德国联邦议会决议通过“为打击计算机犯罪的刑法第41 修正案”，将《网络犯罪公约》中的相关条款在德国《刑法》中予以体现。47此外，欧洲委员会2005 年出台的《关于攻击信息系统的理事会框架决议》也对德国网络犯罪立法产生了影响。修改后的德国《刑法》中网络犯罪的相关条款充分体现了《网络犯罪公约》的规定，并有所发展。第一，德国《刑法》第202 条a 探知数据罪基于《网络犯罪公约》第2 条(非法访问)进行修正，但是该条中数据概念超出了《网络犯罪公约》的要求，因为访问数据未必需要进入计算机系统，而是可以通过录音带、磁带、软盘、硬盘、记忆卡、芯片和存储卡、信用卡、CD 或DVD 进行访问。第二，德国《刑法》第202 条b 拦截数据罪是基于《网络犯罪公约》第3 条(非法拦截)而增设。第三，德国《刑法》第202 条c 预备探知和拦截数据罪是基于《网络犯罪公约》第6条(滥用设备)而增设，但是其范围超出了《网络犯罪公约》第6 条的范围，因为德国《刑法》第202 条C 的规定不要求该程序实质上主要适用于计算机犯罪，因此包括“两用工具”(Dual-Use-Tools)。48“两用工具”为既可用作正常用途又可用于网络犯罪的程序工具。第四，德国《刑法》第303 条a 变更数据罪对应《网络犯罪公约》第4 条(干扰数据)，于修正中增加与202条c 衔接的条款。第五，德国《刑法》第303 条b 破坏计算机罪根据《网络犯罪公约》第5 条(干扰系统)而修改，修改后的该条也保护重要的私人数据处理。49Vgl.Daniel Schuh,Computerstrafrecht im Rechtsvergleich-Deutschland,Österreich,Schweiz,Duncker &Humblot,2011,S.53～69.此外，德国《刑法》还创制了颇有特色的第202 条d 窝藏数据罪(数据赃物罪)。

从以上规定看，德国网络犯罪立法延续和发展了《网络犯罪公约》以数据为中心的网络犯罪行为模式，并有所取舍。第一，沿用了访问(探知)、拦截、干扰等体现数据彩色的行为模式表述。第二，于德国《刑法》第202 条a 扩大了行为作用的数据范围，未局限于《网络犯罪公约》对“计算机数据”的界定。第三，虽然在德国《刑法》第202 条c 沿用《网络犯罪公约》第6 条将计算机程序与计算机密码、访问代码等并列规定，但是未将其置于计算机数据的概念下予以规定。此外，德国《刑法》第202 条c从预备行为的角度所作的规定，也反映了其对于网络犯罪行为教义化的探索。

《网络犯罪公约》也对日本刑法产生了相当程度的影响。根据2011 年的日本《刑法》部分修正，在第2 编第19 章之后，增设了“有关非法指令电磁记录(计算机病毒)的犯罪”作为第19 章之二，包括制作非法指令电磁记录等罪(第168 条之二)以及取得非法指令电磁记录等罪(第168 条之三)。该章对制作、提供计算机病毒或将计算机病毒作用于计算机的行为，以及为了上述目的而取得、保管计算机病毒的行为等进行处罚。50参见前注22，松宫孝明书，第415～416 页；前注17，大谷实书，第510～511 页；前注○18，前田雅英书，第405 页；前注⑩，高桥则夫书，第554 页。这些修正是日本为了加入《网络犯罪公约》而做的准备。

与德国不同，《网络犯罪公约》以数据为中心的网络犯罪行为模式并未对日本《刑法》中网络犯罪的规定产生全面性影响。第一，日本《刑法》中的“电磁记录”虽然与德国《刑法》中的“数据”有类似之处，但并不强调电磁记录作为基本的行为对象，而是作为附属性的行为对象或方式，难以全面决定网络犯罪的行为模式。电磁记录或者附属于特定领域的电子计算机，如日本《刑法》第234 条之二以破坏电子计算机等手段妨害业务罪中“供该电子计算机使用的电磁记录”，或者作为特定行为对象或方式的表现形式，如第175 条第1 款散布淫秽物品罪、第163 条之二至之五有关支付磁卡的电磁记录的犯罪、第246 条之二使用电子计算机诈骗罪、第258 条毁弃公文书等罪、第259 条毁弃私文书等罪、第161 条之二制作非法电磁记录罪与提供非法制作的电磁记录罪中的“电磁记录”。第二，在另外的意义上也可以认为日本《刑法》修改贯彻了《网络犯罪公约》以数据为中心的网络犯罪行为模式，具体表现在将计算机病毒规定为“非法指令电磁记录”。

不过，日本刑法的上述处理方式并非没有问题。在根据《网络犯罪公约》作出上述法律修改之前，就有学者指出有关支付磁卡的电磁记录的犯罪中，从法条表述看是电磁记录具有正规卡功能的意思，但是由于是针对具有支付功能的电磁记录所规定的，因此上述表述显得极难理解。51参见[日]中森喜彦：《刑法各论》，有斐阁2015 年版，第234 页。由于日本刑法之前未采用对计算机犯罪独立规定的模式，新增条款将计算机病毒等破坏性程序解释为“电磁记录”，无法为区别针对破坏性程序和针对信息数据实施的行为提供概念基础。

(二)以信息为中心：我国网络犯罪的行为类型模式

与《网络犯罪公约》、德国和日本刑法确立的以数据为中心的网络犯罪行为模式不同，我国网络犯罪立法确立了以信息为中心的行为模式，由此行为类型化的方向也具有我国的独特之处，不宜照搬以数据为中心的模式。

1.我国网络犯罪行为类型模式的选择

我国以信息为中心的网络犯罪的行为类型模式主要表现在如下方面。第一，侵入、破坏等行为所指向的是计算机信息系统，强调系统的信息性。我国《刑法》第285 条第1 款规定的非法侵入计算机信息系统罪、第285 条规定的破坏计算机信息系统罪等罪名均作此表述。第二，通过司法解释将非法获取等行为指向的计算机信息系统数据作信息化解释(解释为“身份认证信息”)。《危害计算机信息系统安全解释》第1 条第1 款规定的非法获取计算机信息系统数据的情形包括：其一，获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；其二，获取第一项以外的身份认证信息五百组以上的。该解释第11 条第2 款更明确指出，其所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。第三，新增犯罪的编造、传播、获取、提供等行为以“信息”作为基本对象概念。如我国《刑法》第253 条之一规定的侵犯公民个人信息罪、第291 条之一规定的编造、故意传播虚假恐怖信息罪和编造、故意传播虚假信息罪。

这种网络犯罪行为模式的不同在一定程度上也影响了行为类型的设置。比如，《网络犯罪公约》采用了“非法拦截”的行为模式，强调对于数据传输的保护，而我国刑法采取了“非法获取”的行为模式，强调对于信息数据内容的全面保护。又如，《网络犯罪公约》将干扰数据作为干扰计算机系统的前置条件，而我国则对于非法控制计算机信息系统的行为予以独立考量。

就我国是否应当借鉴《网络犯罪公约》的行为模式的问题，笔者认为，我国网络犯罪立法的行为模式与《网络犯罪公约》的规定各具特色，虽然我国可以在一定程度上对其予以借鉴参考，但是还应基于我国的立法传统和现实对于网络犯罪行为类型进行完善，而非简单予以照搬。

第一，《网络犯罪公约》制定于2001 年，在网络社会飞速变化发展的背景下其行为模式面临更新修改的问题。在我国、俄罗斯、巴西等国倡议下，2011 年根据联大决议设立联合国网络犯罪政府专家组，在专家组历次会议上，有发展中国家指出《网络犯罪公约》存在的问题之一即为内容过时，52See UNODC/CCPCJ/EG.4/2017/4)，http://www.unodc.org/documents/organized-crime/cybercrime/Cybercrime-April-2017/Cybercrime_report_2017/Report_Cyber_C.pdf，2019 年8 月28 日访问。我国也在积极推动在联合国框架下制定新的网络犯罪国际公约。53参见中华人民共和国外交部和国家互联网信息办公室：《网络空间国际合作战略》，http://www.cac.gov.cn/2017-03/01/c_1120552867.htm，2019 年8 月28 日访问。俄罗斯还在2017 年10 月11 日向联合国第三委员会提交了第一个联合国层面的关于网络犯罪的公约草案即《打击网络犯罪合作公约(草案)》，将《网络犯罪公约》未规定的以下行为在其中予以规定，包括“创制、利用和传播恶意软件”、“发送垃圾邮件”、“非法贩卖设备”、“网络钓鱼相关的犯罪”、“与国内法保护的数据有关的犯罪”等行为。54See UN,A/C.3/72/12,Draft United Nations Convention on Cooperation in Combating Cybercrime，https://www.un.org/zh/sections/general/documents/，2019 年8 月28 日访问。由此，难以认为《网络犯罪公约》是最为完善的打击网络犯罪国际法律文件，其行为模式也难以成为可以普遍推广的范本。

第二，《网络犯罪公约》的行为模式是基于德国等欧洲国家的认识和现实制定的，与我国的立法现实与传统有一定差距。从形式上看，《网络犯罪公约》采取了以数据为中心的网络犯罪行为模式，而我国网络犯罪立法采取了以信息为中心的网络犯罪行为模式。从实质上看，《网络犯罪公约》体现了欧洲国家重视形式判断的法律传统，我国网络犯罪立法则体现了重视实质判断的法律传统。此外，信息范式并非仅刑法所采取，诸如我国《网络安全法》等法律也使用了个人信息、关键信息基础设施等概念，贸然移植数据范式很可能导致南橘北枳的结果。

第三，我国采取一元的刑事立法模式，而非德日的二元刑事立法模式，移植《网络犯罪公约》的行为模式存在体系障碍。《网络犯罪公约》规定的以数据为中心的网络犯罪行为模式实际上以计算机犯罪为主要指向，在网络犯罪向各类犯罪演化的当今，这一模式难以适用于所有的网络犯罪类型。德日采取的是二元的刑事立法模式，可以只在刑法典中规定计算机犯罪行为的类型，将广义网络犯罪行为类型规定于其他法律的刑事条款中，其典型适例即为德国《联邦数据保护法》，即使德国《刑法》未规定所有侵犯个人信息的行为，也可通过德国《联邦数据保护法》的形式条款对此类行为作周延的规制。与之类似，日本《个人信息保护法》的刑事条款也承担着相同的功能。我国则采取一元的刑事立法模式，即所有犯罪的行为模式和法律后果均由刑法予以明确，由此选择统筹性和延展性更为充分的信息范式来确立网络犯罪行为类型有其特定化的依据。

此外，《网络犯罪公约》在色情犯罪、赌博犯罪等方面和我国《刑法》规定有较大差距，这也是我国反对《网络犯罪公约》成为一般性的打击网络犯罪国际法律文件的重要原因。55参见前注⑥，胡健生、黄志雄文。

2.我国网络犯罪行为类型化的方向

关于我国网络犯罪行为类型化，有学者分别从不同的视角提出两种思路。

第一种思路是从类型化的行为结构出发，认为应基于横向、纵向两个视角进行一体化的探讨。其认为，在横向制裁思路上，以“基本行为特征类型化”为思路，以我国《刑法》第253 条之一为核心的个人数据犯罪制裁体系，以及以“国家秘密、情报”为核心的数据犯罪制裁体系为主要内容。在纵向制裁思路上，强调数据犯罪链条的步骤分割与过程整合，制裁重点之一为犯罪预备行为的实行化，制裁重点之二为整体数据处理过程即数据窝藏。56参见于志刚、李源粒：《大数据时代数据犯罪的类型化与制裁思路》，《政治与法律》2016 年第9 期。这种思路存在以下二个问题。第一，割裂了同一层面的行为类型划分。在其“横向的制裁思路”中，《刑法》第253 条之一是针对信息实施的犯罪行为，《刑法》第285 条第1 款非法侵入计算机信息系统罪是针对计算机信息系统实施的犯罪行为；针对计算机信息系统数据实施的犯罪行为则归入“纵向的制裁思路”，导致依对象进行的行为类型划分不当地割裂。第二，混淆了不同层面的行为类型划分。在“纵向的制裁思路”中，犯罪预备行为是在预备行为、实行行为的层面讨论，针对计算机信息系统数据实施的犯罪行为则是在前述针对不同犯罪对象实施的犯罪行为层面讨论，混同分析反而不利于厘清各类行为的边界。

第二种思路是从类型化的行为范围出发，分别认为应当对不同种类的网络犯罪行为进行类型化。第一种观点认为，我国《刑法》第286 条之一规定的拒不履行信息网络犯罪活动罪、第287 条之一规定的非法利用虚假信息罪、第287 条之二规定的帮助信息网络犯罪活动罪和第291 条之一规定的编造、故意传播虚假信息罪是只能发生在网络空间的“纯正”(狭义)网络犯罪。57参见梁根林：《传统犯罪的网络化：归责障碍、刑法应对与教义限缩》，《法学》2017 年第2 期。第二种观点以非法利用信息网络罪为例，将其理解为独立的犯罪行为类型，认为：“此种立法方式十分明显地把握了传统犯罪大量转移至网络空间这一犯罪发展规律，从而抓住了‘利用信息网络实施犯罪’这一类型特征，最终完成了对相关犯罪行为的类型化处理。”58陈伟、蔡荣：《刑法立法的类型化表述及其提倡》，《法制与社会发展》2018 年第2 期。对于以上两种观点应区别看待。第一种观点具有一定的合理性，随着针对虚假信息实施的犯罪逐渐增多，其行为类型的跨罪名特性日益凸显，有必要进行归纳和分析。然而，编造、故意传播虚假信息行为并非本身只能发生在网络之中，只是我国《刑法》对于构成犯罪的条件作出的规定是“信息网络或者其他媒体”。第二种观点就个罪来说并无不当，但是并非笔者于本文中探讨的跨罪的行为类型化。比如，帮助信息网络犯罪活动罪，其行为系提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，并不是针对同一对象实施的不同形式的网络犯罪行为，而是针对不同对象实施的网络犯罪参与行为的归纳总结，因此不在本文讨论范围之内。

笔者认为，应立足我国以信息为中心的网络犯罪行为模式，结合我国《刑法》和司法解释，基于以下视角完善行为类型。第一，体系化的视角。随着网络犯罪向各类犯罪的渗透，网络犯罪的行为方式日益成为跨罪名的行为类型，然而，受罪名设置等影响，对它们的对比归纳研究较为缺乏。应当对跨罪名网络犯罪行为类型的一致性予以必要的重视和研究，形成体系归纳与具体规定结合的网络犯罪行为类型理论。第二，前瞻性的视角。应基于对于网络犯罪行为类型的分析研究，结合刑法谦抑性和妥当性的视角，对于网络犯罪行为类型予以前瞻性地探讨和分析，避免对网络犯罪行为亦步亦趋的回应式立法，推动网络犯罪刑事立法的科学化。