网络安全监管渎职行为的犯罪化研讨*
2021-04-15孙道萃
孙道萃
内容提要:网络安全监管是全新的政府职责,网络安全监管制度是网络安全保障体系的关键要素。网络安全监管渎职行为严重危害网络安全,增设网络安全监管渎职犯罪可以缓解规范供给不足危机。网络安全监管法益是新型的刑法法益,与网络安全监管部门的法定监管职责相呼应,为网络安全监管渎职犯罪的立法奠定基本内涵、规范基础与方向。网络安全监管渎职行为仍可在作为与不作为框架下展开设定。《网络安全法》规定负有网络安全监管职责的国家机关工作人员的大体范围,实践中仍应进行具体、实质判断。网络安全监管渎职犯罪的因果关系呈现出鲜明的网络关联性转向。建议增设《刑法》第408条之二暨“网络安全监管渎职罪”。
第六届世界互联网大会正式发布的《世界互联网发展报告2019》和《中国互联网发展报告2019》,将网络安全及其监管作为基本议题。《乌镇展望2019》指出,全球数字经济活力充沛,现有发展政策和监管规则的不健全、不适应问题日益凸显,亟待完善发展政策和监管规则并提升监管能力。这些都强调了网络安全监管的重要地位及其现实挑战。《网络安全法》(2016年)确立了我国网络安全监管体制与运行机制,彰显了“强监管”的基本思路。网络安全监管是国家的网络安全保障体系的基本要素与重要力量,是维护网络安全的基本防线,是网络世界有序运行、网络社会安定发展的基石。网络安全监管的意义和价值决定了网络安全监管法益的重要地位。网络安全监管渎职行为可能造成严重的网络安全问题。现阶段探讨是否增设独立的网络安全监管渎职犯罪,不仅是具有显著现实意义的深度追问,也对健全和完善我国网络犯罪的规范体系具有积极意义。同时,勾勒与具化网络安全监管渎职罪的立法背景与规制原意、立法构造以及条文表述等,无疑是一次颇具实践意义、前瞻性的立法尝试。而且,增设“网络安全监管渎职罪”是网络刑法立法保持积极预防姿态的一个缩影。
一、网络安全监管渎职行为“入罪”的正当理据
在“总体国家安全观”的统领下,网络安全监管是一项全新的行政职责。(1)高铭暄、孙道萃:《总体国家安全观下的中国刑法之路》,《东南大学学报》2021年第2期。网络安全监管渎职行为严重威胁网络安全保障体系,对其予以犯罪化是现实需要。通过立法增设独立的网络安全监管渎职犯罪规定是必然选择,可以有效缓解传统刑法规范供给不足的结构性矛盾,更好地督促网络安全监管部门依法履责。
(一)网络安全监管正跃升为新的行政职责
网络安全是总体国家安全观下的基本内容。《网络安全法》是我国网络法律体系的基本法和“母法”,是国家网络安全保障体系的制度基石与规范依据。在国家网络安全保障体系中,网络安全监管处于重要的地位,是全新的政府职责。
1.网络安全监管之于网络安全的重要地位
在互联网发展与互联网治理的初期,“去国家化”一度是主导声音。但是,随着网络安全成为全球性的重大挑战,尤其是网络安全已经演变为最新且最常见的非传统安全类型,并全面渗透国家安全、公共安全、社会秩序、个人权益等领域。网络安全隐患存续性地威胁国家安全的现状,导致国家必须主导互联网治理。(2)〔英〕巴瑞·布赞、〔丹〕奥利·维夫、〔丹〕迪·怀尔德:《新安全论》,朱宁译,杭州:浙江人民出版社,2003年,第29—66页。这直接大幅提升国家在互联网治理中的地位和作用,也为国家采取必要的非常措施进行应对提供了合法性依据。(3)刘恩东:《美国网络内容监管与治理的政策体系》,《治理研究》2019年第3期。例如,德国确立以行政部门为主导的互联网监管体制,而联邦、各州和行业协会均参与互联网监管立法和机构设置。(4)黄志雄:《互联网监管的“道路之争”及其规则意蕴》,《法学评论》2019年第5期。欧盟作为最大的区域性组织也强化了网络安全监管力度与强度。《通用数据保护条例》(2018年通过)是史上最严的“个人数据保护条例”,确立了“最严”的监管机构、监管制度,限制企业对个人用户数据的使用权。同时,还成立欧洲数据保护委员会(EDPB)作为欧盟的独立监管机构,取代数据保护监管工作组。网络安全事关主权国家的政权安定、社会安全以及个体安全。维护网络安全已经成为当代主权国家的一项全新课题。国家(政府)在互联网安全治理中的地位和作用显著提高,是传统安全议题在网络时代延伸的必然产物。在网络安全保障体系中,网络安全监管制度的地位越发凸显,依法履行网络安全监管职责尤为重要。
我国《网络安全法》第8条首次对我国网络安全监督体制与管理部门设置作了规定,通过立法确立了网络安全监管部门及其工作人员法定的监管职责,解决了监管无依据、职责不明等突出问题。网络安全监管是重要的法定职责,不仅需要从正面设定法定的职责,还需要从法律责任层面强化执行制度的刚性。
2.我国网络安全监管的实效偏于疲软
习近平在“网络安全和信息化工作座谈会”(2016年)上指出,要树立正确的网络安全观。网络安全是共同而非孤立的,全社会负有维护网络安全的共同责任,网络安全监管是必要一环。《国家网络空间安全战略》(2016年)阐述了我国强化网络安全监管的决心。2017年12月,第四届互联网大会发布的《乌镇展望2019》确立国家主导下多元参与治理的网络安全观,政府应制定出台网络安全法律法规、打击网络犯罪与网络恐怖主义等,其维护网络安全的职责愈发凸显。网络安全形势日益严峻,应当强化网络安全监管体制。网络安全监管部门更应积极履行职责,切实担当和发挥网络安全保障体系的首要责任与主体责任。
我国早期的网络安全监管存在监督主体不明、监管不规范、力度不够等问题。《网络安全法》正式确立了我国网络安全监管体制,网络安全执法稳步强化,大幅提升了网络安全监管措施的威力与强度。但是,当下网络安全监管效果不容乐观,致因也是多方面的。其中,国家网络安全监管的实施不足,已经成为重大网络安全隐患与危险的主要内因。例如,网络直播平台乱象丛生,对直播平台的监管不力是重要原因;(5)孙道萃:《网络直播刑事风险的制裁逻辑》,《暨南学报》2017年第11期。又如,强化政府监管并预防和减少网络不良信息传播,是预防网络诈骗犯罪的重要手段。(6)杨永勤、季冬梅、梁月:《强化监管防范网络盗窃》,《检察日报》2018年2月23日。因此,必须建立强有力的网络安全监管体系。《网络安全法》第8条的规定整体上仍较为宏观。虽解决了我国网络安全监管的体制与职能归属问题,但立法配套规定及其措施未能及时到位,使操作性相对不足;也未规定刚性的法律责任条款,对违反规定的渎职行为,在追究法律责任上相对不足。对于违反《网络安全法》、情节严重的网络安全监管渎职行为是否应规定为犯罪的新问题,刑法学者应进行前瞻性研究。
(二)传统渎职犯罪规定的网络代际落差与立法超越
对于网络安全监管渎职犯罪所遭遇的规范供给不足问题,应优先考虑立法修正。网络化的扩张解释虽起到“兜底式”效果,但只是“备胎性”的规制。(7)高铭暄、孙道萃:《网络时代刑法解释的理论置评与体系进阶》,《法治研究》2021年第1期。
1.传统渎职犯罪规范供给不足日益凸显
《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年)第10条、第11条首次较为明确规定了网络安全监管渎职行为的刑事责任。但是,该规定较为间接和抽象。《网络安全法》第73条规定:“网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予处分。”虽然规定了网络安全监管主体违反监管职责的刑事责任。但是,该条只作了一般性的提示规定。而且,第73条确立的“行政(法定)犯罪”尚需刑法加以确认。
1997年《刑法》并无直接对应的配套规定,对网络安全监管渎职犯罪,只能援引1997年《刑法》第397条(滥用职权罪、玩忽职守罪)进行处置。但是,从立法原意看,《刑法》第397条在制定之际,显然无法也不可能为网络安全监管渎职犯罪预留相应的“立法原意”。立法规定所涉及的犯罪客体并不能直接“兼容”并有效打击新型网络安全监管犯罪。网络安全监管渎职犯罪有着新的网络法益、行为特征、危害结果的评价等要素,传统渎职犯罪规定显然无法直接规制。实际上,新型网络安全监管渎职犯罪的出现,已经暴露了传统刑法理论与立法在网络时代所遭遇的“规范供给滞后”困境。及时启动立法修正势在必行。
2.网络安全监管犯罪的立法规制链条亟待确立
《网络安全法》确立了“强监管”理念。从其与刑法的衔接角度看,网络安全监管部门应当明确其监管主体地位及其职责,强化行政执法力度。滥用网络安全监管职权或在监管中不作为,情节严重的,应当依法追究网络安全监管渎职犯罪的刑事责任。但是,运用现行渎职犯罪规定便可以规制是偏于保守的看法。
当前,虽然立法修正的前瞻之举显得“超前”,理论研究对独立罪名的设置以及规范表述等问题尚无定论。但这不能成为反对或质疑立法化的理由。对此,不妨以《刑法》增设第408条之一作为范例。鉴于渎职犯罪罪名体系的立法时代局限性,《刑法修正案(八)》遵循“零容忍”的刑事政策,将“加强民生的刑法保护”作为重要的立法目的,增加第408条之一暨食品监管渎职罪,强化了食品安全的行政法与刑法之间的立法衔接机制。这对后续刑法面向新型犯罪治理的立法修正具有积极的参考价值。易言之,在立法需求、立法契机、时代背景条件极为相似的情势下,为了强化有效履行网络安全监管职责,积极打击网络安全监管渎职违法犯罪问题,应当考虑增设新的独立罪名。(8)孙道萃:《增设独立罪名惩治网络安全监管渎职犯罪》,《检察日报》2018年7月1日。只有从刑法层面提供有效的规范供给,才能建立起完备的行刑衔接机制,夯实立法规制的科学链条。
二、网络安全监管法益奠定立法的理论基石
网络安全监管制度应当是独立的法益内容。网络安全监管法益是网络安全监管制度在规范层面的呈现与表述,应当从立法层面夯实网络安全的保障体系。
(一)网络安全监管法益的规范呈现与独立地位
根据《网络安全法》等相关规定,网络安全监管职责的内容主要包括以下内容:(1)建立健全网络安全的国家保障力量体系。网络安全事关国家主权和国家安全,网络安全需要强大的国家保障力量体系,国家监管部门处于这条防线的前端,也是防御网络安全风险的国家屏障。(2)全面指导和监管网络服务运营者、提供者切实履行网络安全管理的主体责任与具体的法定义务。网络服务运营者、提供者是网络安全管理的基本主体。但是,单靠网络服务运营者、提供者自觉履行管理义务是不切实际的,国家监管部门应当督促网络服务运营者、提供者积极履行网络安全管理义务。(3)及时应对和处置网络安全事件和防范网络安全风险。近些年,网络安全突发事件频发。国家网络安全监管部门及时介入与控制事态,可以挽回损失,尽快修复并回归正常的网络运行状态。国家监管部门应当统筹指导各方力量,积极参与风险防控,共同预防网络安全风险。(4)负责网络安全的国际治理合作与协调工作。防止域外对我国网络安全的干扰或破坏,依法打击涉外网络安全违法犯罪行为,组织或指导开展国际司法合作机制。
网络安全监管制度是网络安全保障的基础制度与法定力量,具有显著的官方性、组织性、系统性与全局性,在网络安全法律体系中具有独立的地位。网络安全监管渎职行为违反了网络安全监管制度及其规定的监管职责,从“制度内部”破坏了网络安全保护体系,纵容了危害网络安全的违法犯罪行为。因此,网络安全监管渎职行为与其他危害网络安全行为是相互独立的,合并在一起进行评价,不能揭示网络安全监管渎职行为直接破坏了网络安全法监管法益及其所造成的危害之特定性与重大性。鉴于应当单独评价网络安全监管渎职行为,在规范上则需要通过网络安全监管法益予以实现。刑法意义上的网络安全监管法益,既是网络安全监管部门所负法定的监管职责在刑法规范层面的直接映射,也是判断网络安全监管渎职行为并确定刑事责任归属的重要依据。它作为网络安全监管制度在法律体系与规范层面的呈现载体与对应概念,具有合法性与正当性,应当是刑法保护的新对象。在网络安全法益的刑法专属保障体系内,(9)孙道萃:《网络时代的中国刑法发展研究:回顾与展望》,《华南师范大学学报》2021年第1期。网络安全监管法益既重大、又关键。不仅需要加强刑法保护力度,更应当强化刑法立法的专门保护。
(二)网络安全监管法益设定立法内容
任何行政监管渎职行为都必然同时会对行政相对人以及社会公共利益产生危害。对于网络安全监管渎职行为所侵犯的直接客体,它直接或主要侵犯的首先是国家网络安全监管体制及其正常管理、运行以及国民对此的预期,既危害了国家网络安全,也侵犯社会公共利益、公民合法权益。从《网络安全法》等网络法律法规的规定出发,可以动态、综合地确定网络安全监管法益的主要内容及其表现形式。具体而言:(1)根据《网络安全法》对网络安全法益的一般理解。该法第1条的规定包括三个层次,也即“维护网络空间主权和国家安全、社会公共利益”、“保护公民、法人和其他组织的合法权益”、“促进经济社会信息化健康发展”。这明确国家网络安全监管体制以及监管部门的日常管理制度,从宏观上明确我国网络安全法律体系的立法初衷,也从不同层次明确了其所保护的网络安全法益。网络安全监管制度作为国家对网络安全、网络社会秩序等法益的正式保障制度,决定其时代使命正是对网络安全法益保障体系的“官方监督与保障”,确保网络安全及其保障体系在国家的监管体系下得以正常运行。《网络安全法》确定的网络安全法益及其内部结构,原则上成为理解和确定网络安全监管法益的前提和基础。刑法中的网络安全监管法益,包括保障网络安全的国家管理制度及其正常运行以及社会、公民对国家网络安全监管工作的信任等内容。(2)网络安全监管法益的主要形式。根据《网络安全法》的规定,网络安全监管部门应建立健全安全管理制度,也即:一是网络运行安全的管理制度,特别是关键信息基础设施的运行安全。习近平在“网络安全和信息化工作座谈会”上指出,关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。二是网络信息安全的管理制度。三是网络安全监测预警与应急处置的管理制度。这三个方面是信息网络时代下的网络安全的主要内容,是网络安全监管行为的主要对象,是网络安全监管制度的主要内容。当前虽然框定了网络安全监管渎职的高发区域,但其内容与形式是发展的。(3)网络安全监管法益的更新。国家互联网信息办公室(简称国家网信办)牵头持续发布新的网络法律、法规、规章等规范性文件。既细化《网络安全法》的规定,也根据网络安全形势的发展,扩充不同领域的网络安全保障制度。目前,它主要包括网络系统运行安全、运营安全、建设与运营基础设施安全、服务安全、空间管理安全与平台安全、信息网络安全、数据安全、内容安全等内容。网络安全法益的变动,使网络安全监管对象与法益发生变动。既丰富网络安全监管制度的本体内容,也充实网络安全监管渎职犯罪所要保护法益的范围。
(三)网络安全监管法益引领立法方向
在网络犯罪时代,刑法保护的对象处于高速更迭状态。新型网络犯罪的出现就是最好的范例。刑法保护对象的变化,使刑法所保护的法益之内涵与形式也一同变化。网络安全的重要地位使其必然成为法律保护的重点对象,网络安全法益也随之确立。新型网络犯罪与传统犯罪之间的实质差异正在扩大化,导致现行刑法理论体系与知识结构陷入“断层”的危机中,现行刑法规定的“不适”问题不断加剧。对于网络时代的刑法法益所显现的新内容,现行刑法规定显然缺乏“事前的预见性”以及规定。在“立法原意”辐射不足的情况下,通过扩张解释的方式激活现有罪名的“网络化适用”潜力是相对受限的应急之举。因此,应当对新出现的网络法益进行立法,通过增设新的罪名予以专属规制。这生动地阐释网络安全法益倒逼并指导新型网络犯罪立法之演变轨迹。(10)孙道萃:《网络刑法学初论》,北京:中国政法大学出版社,2020年,第47—48页。网络安全法益是开放性的发展概念,包括国家网络安全监管法益等具体内容。网络安全监管法益是对国家网络安全监管制度及其监管活动的刑法价值与意义之“规范呈现”。但在立法原意的层面,1997年《刑法》规定的渎职犯罪显然与之无关。为了更好地保护网络安全监管法益,督促网络安全监管部门依法履责,有必要进行前瞻性立法,增设专属的纯正网络渎职犯罪罪名,精准惩治网络安全监管渎职行为。这不仅是刑法保障功能寻求进化的主要途径,也是刑法维系与强化时代适宜性的基本途径。
三、网络安全监管渎职的犯罪构成之立法教义学展开
网络安全监管渎职犯罪以网络技术、网络时代、网络犯罪等为主要前提,违反国家规定,严重破坏国家网络安全监管制度及其正常运行安全,是新型渎职犯罪。从教义学层面全面阐明破坏网络安全监管法益是立法的基本遵循,应明确这一法定犯罪的基本构成要件要素,以更好地对其作出前瞻性的立法规定。
(一)网络安全监管渎职行为的基本类型
在网络环境下,与网络违法犯罪行为相关的发生场域、时空维度、行为主体等要素都出现了新情况,有必要具体地讨论网络安全监管渎职行为的表现形式。
1.渎职行为类型化的网络议题
传统刑法意义上的渎职行为可以是作为形式或不作为形式,前者典型的是滥用职权,后者典型的是玩忽职守。这一“共识”虽是“旧”知识,但在理解和确定网络安全监管渎职行为的主要类型上,具有一定的参照意义。同时,由于在监管职责涉及网络安全领域、监管内容具有较强的技术属性、监管手段具有明显的间接性等方面存在差异。尚需创新性地结合网络安全监管渎职犯罪的内在特征,重新确定网络安全监管渎职行为。网络安全监管渎职犯罪是典型的法定犯,是以《网络安全法》等网络法律法规所明确规定的网络安全监管职责为前提的,其违反了网络安全监管方面的法律规定。基于此,可以从法定的监管部门、监管职责类型、监管要求等,重新认识和确定网络安全监管渎职行为的主要类型。
2.遵循网络安全监管属性界定行为方式
根据《网络安全法》等法律法规对违反网络安全监管职责的立法表述,可以发现实际存在(“活着的”)的网络安全监管行为方式。这些网络安全监管行为方式,从不同角度反映了网络安全监管的职责主体、权力限度、执法方式、行政裁量以及执行主体等,进一步明确了网络安全监管渎职行为的边界。
根据《网络安全法》等相关规定,网络安全监管渎职的主要情形有:(1)违反强制性的职责规定。这是指“必须为之”的强制性法定职责,如《网络安全法》第45条的规定,是常见的监管职责类型,也是主要的监管渎职情形。网络安全监管部门违反上述具有强制性的规定是渎职行为,而且通常是滥用职权行为。(2)违反授权性的职责规定。这是指需要获得《宪法》、基本法律或立法机关与更高行政机关授权,才“可以或应当为之”的一种具有权限性的职责规定。例如,《网络安全法》第58条的规定。对于授权性规定,监管部门在具体履行职责时具有一定的自由度,但不得与上位法的授权性规定相冲突。网络安全监管部门违反授权性规定的,既是其刑事违法性的重要判断依据,也是渎职行为的具体体现,实践中可以是滥用职权行为,也可以是玩忽职守行为。(3)违反程序性的职责规定。这是指网络安全监管需要遵循法定程序的职责规定,是与监管权限相配套的程序规定。例如,《互联网信息内容管理行政执法程序规定》(2017年,国家网信办)第3条的规定。典型的监管程序性规定往往专门规定网络安全监管部门的执法程序,是判断是否渎职的重要规范依据,具体可以是滥用职权或玩忽职守。(4)违反行政裁量性的职责规定。网络安全监管是一项新生事物,需要赋予监管部门适当的行政裁量权限,避免僵硬执法与机械监管。但这也催生出具有裁量属性的行政监管职责规定。例如,《互联网新闻信息服务单位约谈工作规定》(2015年,国家网信办)第2条的规定。典型的行政裁量性规定,首先是软性的行政监管措施。但对于严重违法且造成危害结果的,应当认定是网络安全监管渎职犯罪行为。
(二)网络安全监管渎职主体的廓清
网络安全监管体系、监管职责与监管人员、监管对象的变化,决定了网络安全监管渎职犯罪的主体有其特殊性,应准确锁定这类新型犯罪主体及其范围。
1.“国务院电信主管部门、公安部门和其他有关机关”的进一步释明
关于《网络安全法》第8条规定的“国务院电信主管部门、公安部门和其他有关机关”,应作如下理解:(1)“公安部门”应当包括国家安全部门。(2)“国务院电信主管部门”、“其他有关机关”具有一定的抽象性与变动性。《电信管理条例》(2014年修订)第3条和《电信条例》(2016年修订)第2条、第3条规定,“国务院电信主管部门”是指“国务院信息产业主管部门”,具体应当是指“工业和信息化部”下属的“信息通信管理局”。(3)“其他有关机关”具有显著的开放性。原则上可以是国务院与地方的任何相关机构,但以负有网络安全监管职责为前提,也要根据网络立法的最新变化,增加、调整或删除部分监管部门,或者适度地扩张解释,具体且动态地作出认定。此外,应当区分国家网络安全监管主体与网络服务提供商作为管理主体,二者是监管与被监管的行政法律关系。
2.负有网络安全监管职责的国家机关工作人员之具体认定
判断负有网络安全监管职责的国家机关工作人员,一般应遵循以下规则:一是总体上应当以网络安全监管体制为前提,尊重网络时代的特征,根据网络安全监管部门的设置,以及是否实质履行网络安全监管义务,综合确定网络安全监管渎职的行为主体。二是对传统的“职务说”与“身份说”的争议,仍应以“职务说”为基本原则,并兼顾“身份说”的主张,全面审查和判断网络监管主体的监管资格,从而建立起实质解释而非形式解释的基本立场。三是充分贯彻发展性原则,容许必要的扩张解释。我国网络立法活动持续增量,使《网络安全法》确定的网络安全监管体制处于动态中,新兴或具体的网络安全监管部门陆续出现,必然使网络安全监管渎职犯罪主体范围不断变动。因此,应当进行适度的扩张解释。
此外,还需注意以下情形:(1)上下级,如《移动互联网应用程序信息服务管理规定》(2016年,国家网信办)第3条的规定。(2)委托第三方,如《互联网新闻信息服务新技术新应用安全评估管理规定》(2017年,国家网信办)第4条的规定。(3)行业组织,如《网络借贷信息中介机构业务活动管理暂行办法》(2016年,中国银监会、工业和信息化部、公安部、网信办)第34条的规定。在认定上述情形时,不应单纯唯“身份论”,应将是否真正负有监管职责作为实质依据。一般的判断标准为:一是从《网络安全法》确定的监管体制看,上下级的情况并不实质地影响网络安全监管主体资格的判断,原则上包括派出机构中负有网络安全监管职责的人员。二是对于委托第三方和行业组织的情形,只要符合《刑法》第93条的规定以及司法解释的本意,其负有网络安全监管职责的人员实质地履行网络安全监管职责的,实施渎职行为的,都可以作为本罪的犯罪主体。
(三)网络安全渎职犯罪因果关系的“关联性”延拓
应当阐明网络安全监管渎职行为与其所造成的危害结果之间的因果关系及其判断规则。由“因果性”到“关联性”的转变尤为关键。
1.网络时代因果关系的异变
危害行为与危害结果都有所变化,网络安全监管渎职行为与破坏“网络安全监管法益”的结果之间存在新型因果关系,因果关系不免呈现出新的特征,具体而言:(1)网络安全监管的技术性、专业性要求升高,倒逼监管主体的水平提升,渎职的规范判断难度系数递增。网络技术具有相当的专属性,往往由特定少数人掌握。即使广泛普及和应用,一般人对技术的“控制性”并不高。网络安全监管人员直面“技术门槛”问题。由于监管的技术性、专业性要求显著提高,导致监管要求、监管能力都随之攀升,监管主体可能因自身技术不足、认识不够、能力不精等问题,难以同步适应“对技术风险进行有效监管”的职责,使“严重不负责任”与“监管能力的客观不足”之间的区分界线变得模糊。在对监管人员的认识能力进行判断时,应符合国家或行业标准而非一般人的标准;对确实属于技术水平限制或客观上的能力不足的,在意志因素的认定上,也应予以排除认定。(2)网络安全监管渎职引发的危险之潜伏性、隐蔽性与感染蔓延能力相对凸显,监管渎职的危害结果的滞后性、复杂性增加,加剧刑事归责的时空识别难度。首先,网络安全监管实质上是对不同程度的技术失范行为及其危险的监控与治理。实施网络安全监管渎职行为后,对网络安全监管法益的侵害,可能无法立即显现,其往往具有潜伏性等特征,使前因后果之间的时空链条被拉长。其次,由于技术本身具有虚拟性与不可视性,可能使技术危险结果或危险状态更缺乏可视性、可评估性,人类通过肉眼等传统方式,对网络安全监管法益的危害结果或危险状态进行判断更困难。在运用逻辑规则作出判断时,渎职行为与危险结果之间的时间跨度更大、内在联系更微弱。因此,判断网络安全监管渎职犯罪中的因果关系,需要相适应的新规则体系。最后,互联网时代中的技术危险具有一定的蔓延性,“交叉感染”的危险系数相对提高,所引发的危害结果或危险状态也具有相当的发散性或叠生性。这容易出现“一因多果”、“多因一果”、“多因多果”等情形,相互交叉的情形可能大幅增加,模糊“因与果”之间的直接联系性程度,增加识别与判断的难度,传统因果关系理论与判断规则的失灵在所难免。(3)网络安全监管渎职行为与法益侵害之间的必然性或唯一因果性联系降低。按照传统刑法理论,必然因果关系是常见且容易被认识、判定的主要情形。但是,网络安全监管渎职行为具备新的特征,导致网络安全监管渎职行为与法益侵害之间的直接必然性联系显著降低。相比于传统渎职犯罪中的物理性因果关系及其所具有的确定的必然性、极其高度的概然性、可以排除合理怀疑的紧密联系等特点,网络安全监管渎职犯罪中的因果关系变得更模糊、微弱和不确定,认定时更复杂、困难。
2.网络安全监管渎职犯罪的“关联性”归责之倡导
在网络时代,技术的“超人类性”特征尤为凸显。技术内在的虚拟性或不可视性,以及主体滥用的随意性、不确定性与可替代性等,均导致网络安全监管渎职行为、网络安全监管法益的内外表现形式呈现明显的独立特征。易言之,由因果性到关联性的本质蜕变趋势也顺势而出。为了更契合网络时代的技术特质,避免因果关系及其认定成为阻碍制裁网络安全监管渎职犯罪的“过高门槛障碍”,可以考虑将传统社会的因果关系适度调整为网络犯罪的关联性。
网络犯罪中的“关联性”思维,是指相比于传统刑法中的因果关系及其逻辑,基于网络危害行为中的危险性成分递增,以及网络危害结果及其形态的复杂、多样及潜伏性,适度降低行为与结果之间的“必然性及其程度”之规范判断比重与系数,强化行为与结果之间的复杂关联性之地位与含量。这既适度跳出传统刑法因果关系的掣肘,也有序符合网络犯罪时代的新型因果关系之演化。可以更恰当地针对新出现的诸如网络安全监管犯罪等,提供更符合网络犯罪特性、规律的司法判断方法与逻辑。其主要内容与判断要素为:(1)相关性不是完全抛弃传统的因果性,但根据不同网络犯罪的行为属性与结果形态,做了必要的限定或扩充,防止无法认定或过泛认定。具有网络意义上的相关性,通常认为具有网络犯罪意义上的因果性,都可以纳入到因果关系的判断议程,并根据网络犯罪时代特有的判断规则,识别出最接近或最合理的引起与被引起的关系。(2)以关联性为核心关键词,既可以适度降低以必然或直接为主要类型的传统因果关系对“度量”的严苛要求,避免因过高或无法证明的因果关系,使网络安全监管渎职犯罪的立法目的在司法阶段落空。同时,关联性作为判断渎职犯罪的归责基础的关键词,以及作为因果关系判断的焦点,只是定罪和追究刑事责任的前提条件,不必然导致法定犯罪的入罪门槛被过度降低或变成恣意入罪、出罪。但是,在认定和具体判断时,需要遵循科学且严谨的规则。(3)在认定关联性条件时,应将合理且便于认定网络安全监管渎职犯罪中行为与结果的“归责性”作为基本目标,结合刑事法相关规定,根据不同的案件类型、危害程度、审判程序等,确立层次合理、体系科学的判断规则,具体地解决网络安全监管渎职犯罪中行为与结果之间的关联性认定难题,防止宽泛化的司法倾向。此外,可以适度进行刑事推定。
四、立法建言暨结论
根据网络安全监管渎职犯罪在应然层面所侵犯的刑法法益以及罪质,结合危害行为、行为主体、因果关系等基本构成要件要素的应然内容,可以借鉴《刑法》第408条之一的做法,同时适当参照《刑法》第397条关于滥用职权罪、玩忽职守罪的规定,通过刑法修正案的方式,增设独立的刑法条文暨第408条之二(罪名暂定为“网络安全监管渎职罪”):“违反国家规定,负有网络安全监督管理职责的国家机关工作人员,滥用职权或者玩忽职守,造成网络空间主权和国家网络安全、网络社会公共利益,公民、法人和其他组织的合法网络权益,以及经济社会网络信息化发展遭受严重损失的,处五年以下有期徒刑或者拘役;造成特别严重后果的,处五年以上十年以下有期徒刑。徇私舞弊犯前款罪的,从重处罚。符合本条规定的,同时又符合本法的其他规定的,依照处罚较重规定定罪处罚。”
根该条文的规范表述,可以进一步浓缩其立法原意的核心内容与适用要素:(1)结果犯的罪质属性。从传统渎职犯罪规定看,渎职行为所造成的刑法意义上的危害结果,呈现为递进的逻辑(11)张明楷:《刑法学》(下)第6版,北京:法律出版社,2021年,第1631页。:一是破坏国家机关的公务活动管理及其正当、合理、有效的执行。它是一种抽象的危害结果,同时依赖后一个层次的危害结果进行实质判断。这是对渎职行为的规范判断。二是公民与社会以及国家因渎职行为而遭受损失。由此可见,传统刑法中渎职犯罪是结果犯的罪质属性。网络安全监管渎职行为首先违反国家规定,破坏国家网络安全监管制度与工作,并将网络安全置于高度危险境地,对网络建设者、运营者、服务者以及使用者的合法利益造成严重危害。这揭示渎职犯罪所侵犯的客体具有双重递进的基本属性。应将网络安全监管渎职犯罪的罪质界定为结果(情节)犯。(2)主观罪过可以是故意或过失。主要理由为:一是从立法的政策背景与司法预期看,网络安全监管渎职犯罪与食品监管渎职罪这种特殊的新型渎职犯罪更接近,均体现立法者对某类新型犯罪采取接近于“零容忍”政策的态度,也体现立法者对这类犯罪的“预防性”立法思维。设置为故意犯罪是对其主观恶性的惩治,设置为过失犯罪是对其高度危险的预防性确认,共同搭建起严密的立法防控体系。二是网络安全监管法益涉及公共安全、公共秩序以及重大生命财产安全,既需要对其进行事后的严惩,更需要防患于未然,强化事前积极预防。三是负有网络安全监管职责的国家机关工作人员,由于认识能力或业务能力、网络安全监管体制、监管能力、监管对象、监管环境、国家政策等主客观因素,对于网络安全监管职责及其履行,既可能是有认识的希望或放任行为,也可能是有认识的过于自信行为或无认识的疏忽行为。四是网络安全监管事关重大,网络安全监管渎职的危害具有延续性、潜伏性等特征,过失犯罪实际上是客观存在的,且所造成的危害结果并不必然低于故意犯罪。设置为过失犯罪,也充分体现立法者设置新罪名所欲实现的提前保护或积极保护的旨趣,体现从严打击的立场。(3)法定刑档次与幅度的科学配置。关于网络安全监管渎职罪的法定刑及其档次的立法问题,基于与网络安全监管渎职罪存在纵向或横向的正相关性,以及罪责刑相适应原则和比例性的要求,可以适度参照网络犯罪罪名、滥用职权罪和玩忽职守罪、食品安全监管渎职罪等关联罪名的规定。特别是可以优先借鉴《刑法》第408条之一的法定刑档次与幅度,最终设置为两档,并以10年有期徒刑为最高上限。这符合应从重处罚“国家机关工作人员”作为特殊身份实施犯罪之制裁原理。(4)追诉标准的拟定。本罪的立法定量可以参照渎职犯罪、计算机犯罪和纯正网络犯罪等关联犯罪的立案追诉标准。(12)参见《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号);《关于办理渎职刑事案件具体应用法律若干问题的解释(一)》(法释〔2012〕18号);《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号)。基于此,关于网络安全监管渎职罪的追诉标准及其定量因素与评价系数等,可以包括以下类型:导致计算机信息系统或信息网络无法正常运行;导致公民信息严重泄露;导致信息安全或数据安全遭受严重破坏;使国家网络安全监管制度处于无序运行状态,或使国家网络安全陷入重大的危险状态;造成国家网络安全方面的经济损失30万元以上的;造成网络信息社会的恶劣影响,或引发重大的网络安全事件并有损国家形象的;其他致使网络空间主权和国家安全、社会公共利益,公民、法人和其他组织的合法权益,经济社会信息化健康发展等遭受重大损失的情形。
