论我国互联网犯罪规制的立法演进、特征及建议
2022-01-14赵明勋朱德安
赵明勋,朱德安
(1.天津渤海律师事务所,天津 300201; 2.天津商业大学法律事务室,天津 300134)
尽管互联网犯罪算是老生常谈的话题,但依然存在并产生值得研究的新课题①。在总体国家安全观之下,互联网犯罪问题关涉社会稳定、信息安全、经济安全等诸多方面,对该类犯罪行为进行预防与控制理当是刑事法律的应有之义。尤其是随着“互联网平台与传统行业进行融合之‘互联网+’”[1]的深度开发与运用,互联网已然同人类社会的生产与生活休戚相关,成为人类社会经济发展的重要阶梯。
法律规范作为调整社会关系的主要手段之一,尽管具有一定的预见性,但往往滞后于新的社会现象和社会关系的出现。这也就意味着“刑罚本身固有的不确定性会带来刑罚立法上和刑事司法上的‘真空’”[2],立法逃脱不掉创设、修订、完善式的交替上升的“命运”。互联网犯罪规制的立法同样遵循这一逻辑路径。在人工智能蓬勃发展和5G通信技术大规模商用的历史新时期,互联网技术和互联网应用场景势必更加纷繁复杂,对互联网犯罪规制的立法研究具有实践意义。笔者通过梳理互联网犯罪规制的立法演进及其立法特点,尝试发现其中的不足,意在提出些许立法完善拙见,以期适应不断变化的社会情状之需要。
一、立法演进:刑法规范渐趋丰满
正如于志刚教授总结的,“网络犯罪的发展先后出现了网络作为‘犯罪对象’、网络作为‘犯罪工具’和网络作为‘犯罪空间’三个基本类型的犯罪”[3]。从某种程度上说,这三种网络犯罪类型也即网络犯罪的三个历史阶段,大体上亦是按照时间由远及近(为便于研究讨论,本文将“互联网犯罪”与“网络犯罪”视为同义词)。
(一)“九七刑法”颁布之前
我国首次全功能接入互联网可追溯到1994年4月20日②,这一时期恰巧处在1979年《中华人民共和国刑法》(以下简称“七九刑法”)的“夕阳余晖”里。因“七九刑法”颁布时,我国尚未出现互联网的“星火”,且“七九刑法”在实施期间不曾有过修正,故刑法规范中没有涉及互联网犯罪,因而“七九刑法”不在本文的讨论之列。易言之,在1997年《中华人民共和国刑法》(以下简称“九七刑法”)出台之前的这段时间里,互联网犯罪规制在刑法规范中尚属空白。这段时期,为了建立计算机信息系统安全保护机制,解决计算机及网络领域的涉法纠纷,相关部门颁布了一系列专门的或内容关联的法律法规(详见表1)。
表1 “九七刑法”之前主要法规一览表
其中,比较有代表性的是1994年《中华人民共和国计算机信息系统安全保护条例》(以下简称《保护条例》)和1996年《中华人民共和国计算机信息网络国际联网管理暂行规定》。前者被认为是“九七刑法”第二百八十五条和第二百八十六条的雏形,其在第二十四条载明了互联网违法犯罪行为的法律责任③。后者同样规定有对互联网犯罪应当进行追究刑事责任的情形④。虽然上述条款提出可以构成犯罪,但实际上因彼时刑法分则条文中未有关于计算机系统、互联网等专门罪状的相关规定,且条例、规定本身并不具备完整意义上的刑法性质,在“法无明文规定不为罪”的原则之下,行为人此处可能构成的犯罪应当指的是刑法中的其他罪名。例如,行为人实施了《保护条例》第二十七条所规定的行为的,可能构成渎职类犯罪⑤。
不难发现,这一时期⑥关于互联网和计算机的立法呈现如下特征:一是在立法层级上,主要为国务院及其组成部门制定的行政法规和规章,级别相对较低;制定主体为不同的行政部门,多头制定,多头管理。二是在保护对象上,主要是计算机信息系统、计算机软件和网络的接入使用。三是在法律责任上,以行政处罚为主,尽管规定了“构成犯罪的可以追究刑事责任”,实际上这一规定并非针对计算机或互联网本身,而是指向这一过程中实施的侵害其他法益之行为。同时,部分“可追究刑事责任”的情形并没有在彼时的刑法分则中设置对应的罪名。譬如,《保护条例》规定的“利用或者向他人透露申请者登记时提交的存档材料及有关情况的,情节严重可追究刑事责任”,实际上这一行为在“七九刑法”中只能以渎职犯罪论处。
随着互联网与计算机的使用持续增加,尽管上述立法动作起到了一定积极作用,但是分散的、不统一的立法也给司法实践带来了不小的困扰,实际起到的效果并不理想。互联网违法行为基于其自有特性所带来的社会危害性单凭行政处罚亦无法得到有效预防和控制,一些负面影响已经在这一时期凸显,通过刑事立法予以明确刑事责任成为时代发展的需要。
(二)“九七刑法”中的规定
“九七刑法”是现行有效的刑法典,高铭暄教授称之为“一部崭新的、统一的、比较完备的、具有时代气息和多方面显著进步的刑法典”[4]。计算机犯罪在“九七刑法”中正式进入刑法规范的视野。这一时期,计算机被认为是互联网的唯一载体,计算机犯罪与互联网犯罪视为具有相同内涵的两个概念。
具体来说,“九七刑法”中关于互联网犯罪设置有三个专门的条款。其中,第二百八十五条是关于违反国家规定,侵入特殊领域的计算机信息系统的。第二百八十六条有三款规定,“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的;违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的;故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的”。上述两条都是以计算机信息系统或计算机信息系统中的信息数据、应用程序的安全作为保护对象,但第二百八十七条则不同,其规定的是“以计算机作为犯罪工具”实施的其他类型的犯罪,立法者只是笼统介绍而没有具体展开,最终以实际侵犯的法益来定罪处罚。在这种情况下可能会产生竞合,倘若某一犯罪行为符合第二百八十七条所具体指向的某一罪名的犯罪构成且法定的最高刑高于第二百八十五条、第二百八十六条的规定时,适用该具体罪名定罪量刑。反之,则适用第二百八十五条或者第二百八十六条之罪名。第二百八十七条充当一个兜底性条款,有利于更全面打击互联网犯罪,防止挂一漏万。
针对计算机信息系统的犯罪可以是利用互联网作为工具的与计算机共同发挥作用实施的,也可以是除利用互联网之外的其他方式(例如以插入U盘传输病毒的方式实施侵入、破坏计算机信息系统)。这一阶段准确说是将作为互联网重要组成部分的计算机信息系统以及其中存储的数据、加载的应用程序为犯罪对象的阶段。随着手机、平板电脑等移动数据终端设备的大量出现与普及,互联网的作用发挥不再以计算机作为唯一载体,此时互联网犯罪的外延更为宽泛。
(三)刑法修正案的补充完善
相关统计数据显示,我国互联网上网用户数逐年上涨(参见表2),甚至最初作为统计项之一的“计算机台数”都逐渐失去了统计价值⑦。这一时期,直接对计算机信息系统攻击的案发数量已经降低,将互联网作为工具实施传统犯罪的现象越发突出。
表2 主要年份我国上网用户数统计表
2010年“两高一部”联合发布的《关于办理网络赌博犯罪案件适用法律若干问题的意见》中规定了网上开设赌场的定罪量刑标准,明确将赌博网站与现实生活中的赌场一样视为刑法意义上的“赌场”。2013年两高出台的《利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》中,互联网作为犯罪工具的作用更加明显,规定了在互联网空间捏造事实诽谤他人的,按照诽谤罪定罪处罚;辱骂恐吓他人,情节严重的按照寻衅滋事定罪处罚;还规定了互联网空间中构成“敲诈勒索罪”和“非法经营罪”的情形。
就刑法修正案来说,《刑法修正案(七)》和《刑法修正案(九)》在对互联网犯罪规制方面给予了足够的“关切”。前者一方面基于对传统计算机信息系统的保护,在第二百八十五条中增设了两个罪名,“非法获取计算机信息系统数据、非法控制计算机信息系统罪”和“提供侵入、非法控制计算机信息系统程序、工具罪”;另一方面,为应对通过互联网侵犯公民个人信息的案件愈演愈烈,在第二百五十三条中增设了“出售、非法提供公民个人信息罪”和“窃取、非法获取公民个人信息罪”。不难发现,前一方面《刑法修正案(七)》的重点保护对象依然是计算机信息系统和数据,但是相比“九七刑法”扩大了保护对象范围。同时将互联网犯罪的帮助行为予以正犯化,加强了对互联网犯罪的上游帮助行为的打击力度。后一方面,起到了一定的保护公民个人信息的作用,但主体只列举了个别单位,具有较大局限性。为此,《刑法修正案(九)》做出了回应。其将第二百五十三条统合为“侵犯公民个人信息罪”,使得该罪的主体为一般主体。此外,还增设了若干诸如“拒不履行信息网络安全管理义务罪,非法利用信息网络罪,帮助信息网络犯罪活动罪,编造、故意传播虚假信息罪”等具有明显互联网犯罪特征的罪名。
二、立法特征:刑法视野渐趋扩张
前文就我国互联网犯罪的相关法律规范之演进进行了粗略的梳理,从中可以窥到:互联网犯罪的行为方式多样,帮助行为正犯化,罪名数量增加,保护的法益更加全面等等。同时,关于互联网犯罪的刑事立法思维由“修补式”转向“展望式”。这一态势是符合我国的基本情况的,正如张明楷教授所说,“我国当下需要采取积极刑法观,通过增设新罪来满足保护法益的合理要求”[5]。
(一)犯罪行为多样
初期的互联网犯罪行为呈现单一化的特点,伴随着互联网的广泛普及,互联网犯罪行为也变得多元化,手段层出不穷。
“九七刑法”只规定了“非法侵入”和“破坏”计算机信息系统的行为,这两种是典型的实行行为。而《刑法修正案(七)》中的“非法控制计算机信息系统”属于非法侵入的延伸和具体化,而且衍生出了“提供侵入、非法控制计算机信息系统程序、工具罪”,这是“非法侵入计算机信息系统”和“破坏计算机信息系统”的帮助犯正犯化。
《刑法修正案(九)》之前关于互联网犯罪的法律规定基本都是要求犯罪行为以作为的方式完成,但其新增的“拒不履行信息网络安全管理义务罪”是典型的不作为的方式,同时要求造成特定的结果才承担相应的刑事责任,属于纯正的不作为犯。再如新增的“非法利用信息网络罪”,其中规定“为了违法犯罪而设立网站、通讯群组的或者为了实施诈骗等违法犯罪活动发布信息的”,只要发布了实施犯罪的信息就是本罪的既遂形态。我国对大部分犯罪的预备行为持不处罚的态度,但前期的设立网站、通讯群组等行为与之后即将实施的行为存在紧密耦合的关系,如果对互联网犯罪的预备行为不处罚,可能造成取证和追逃难度大,被害人的合法权益得不到有效保护。对非法利用信息网络这种预备行为进行处罚,是对互联网犯罪在行为上的延伸,是将打击互联网犯罪前置化。
(二)单位犯罪增加
在犯罪主体的变化方面,最显著的特点是单位可以作为犯罪主体的罪名增多。单位犯罪是刑法有规定的才定罪处刑,在“九七刑法”设置的互联网犯罪中并没有单位犯的规定。而《刑法修正案(七)》增设的“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”可以由单位实施,但是主体范围比较狭窄,仅限于特殊单位。2011年出台的《最高人民法院最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》所明确的“非法获取计算机信息系统数据罪”“非法控制计算机信息系统罪”同样可以由单位实施。《刑法修正案(九)》新增的除却“编造、故意传播虚假信息罪”之外的五个罪都可以由单位作为犯罪主体。其中,“出售、非法提供公民个人信息罪”的单位范围比《刑法修正案(七)》中的更广,不再局限于特殊单位,而是包括所有单位。
(三)刑罚力度增强
我国对于互联网犯罪在立法上总体坚持“犯罪化”,坚决严厉打击该类型犯罪。通过对比“九七刑法”《刑法修正案(七)》《刑法修正案(九)》中关于互联网犯罪的法条,可以窥见关于互联网犯罪的刑罚力度呈现增强的趋势,主要体现在刑种的增多和刑度的提高(详见表3)。早期互联网犯罪处罚的刑种较为单一,只有“拘役”和“有期徒刑”两种方式。刑度也相对较轻,大部分罪名规定的刑期是5年以下有期徒刑。经过立法的完善,《刑法修正案(九)》之后包含了“管制”“拘役”“有期徒刑”“罚金刑”四种刑罚方式。在刑度上,以“非法获取公民个人信息罪”为例,《刑法修正案(七)》中情节严重时法定最高刑是5年,《刑法修正案(九)》规定情节严重最高刑是7年。
表3 关于互联网犯罪罪名情况对比
三、立法建议:刑事法需更有作为
据《最高人民检察院工作报告》显示,2019年全国检察机关起诉电信网络诈骗犯罪43 929人,同比上升29.3%;起诉利用网络赌博、传播淫秽物品、泄露个人信息等犯罪15 003人,同比上升41.3%。在世界范围内,互联网犯罪问题业已普遍存在(详见表4、表5)。美国联邦调查局(FBI)互联网犯罪投诉中心(IC3)发布的2018年《互联网犯罪报告》显示,全美2018年因网络犯罪造成的总经济损失约为27亿美元,近乎2017年的两倍。Norton(诺顿)2018年1月发布的一项关于网络安全与数据安全的研究报告显示,2017年全世界约有9.87亿人遭受了互联网犯罪的影响,因黑客攻击造成了全球消费者约1 720亿美元的损失⑧,足见加强对互联网犯罪的打击势在必行。
表4 2018年全美互联网犯罪群体及损失统计
表5 2017年世界主要地区互联网犯罪损失情况分布
(一)加强对“云端”的保护
以“百度云”“网易云”以及其他各类云盘为代表的云端平台由于便捷优势而深受广大网民欢迎。从本质上来讲,云端技术是一个巨大的资源池,网民可以通过互联网将信息数据、应用程序等上传到云端备份或公开分享,其他人可以借助云端搜索下载需要的资料。有学者预测,“未来互联网发展方向就是云端成为重要的互联网平台”[6]。云端极有可能会成为互联网犯罪的新阵地。目前,在对云端的依法保护上还存在一些障碍,例如“云端能否等同于刑法中的‘计算机信息系统’”是一个亟待回答的问题,毕竟计算机信息系统是具有自动处理数据功能的系统,而云端不具有自动处理数据的功能。再如,能否将“非法获取计算机信息系统数据罪”中的“数据”与云端中的“数据”等同视之尚无决断。实际上,《网络犯罪公约》中规定的“数据”一般认为是输入到系统中的数据,而云端中的数据包含但不限于浏览记录、关键词搜索等,两者存在明显不同;非法获取某一计算机信息系统中的数据和非法获取某云端中的数据也存在“量”的区别。在某一系统中的数据可以被认定为数据无疑,系统被破坏后,可能只是一部分数据被窃取;而一旦云端被攻破,云端中所有的数据将被获取,对云端平台将是致命打击。而且不法分子可能会利用云端所得到的网民数据信息进一步实施不法行为,给网民人身、财产权利带来巨大安全隐忧。
云端作为互联网空间资源、信息集散地,倘若管理不到位,也会变相地助长互联网犯罪。不法分子可能在云端平台实施非法获取、买卖公民个人信息、传播淫秽物品等犯罪行为。这就需要云端平台提高技术水平、管理水平,实施“黑名单”制度和封号处理。同时,笔者建议以“前瞻式”立法思维为指导,考虑云端可能会被作为互联网犯罪的对象、工具、空间,尽快出台相关的规范性文件。
(二)突出未成年人群体关照
未成年人群体一直是法律所重点关注的,《中华人民共和国民法典》和《刑法修正案(十一)》对责任能力的年龄都进行了调整,也是对生理因素、社会因素的综合考量。但总体而言,未成年人的认知能力和辨别是非的能力有限,容易受到互联网中不良因素的干扰和影响,进而诱发一些下游犯罪。但目前刑法规范和司法解释中都没有体现互联网方面对未成年人的特殊保护,似乎有些缺陷。
“从法律实践的具体经验材料中抽象形成可靠真实的体现法的现象的本质属性的法的概念、判断、范畴、原理”[7]的马克思实践性法学思维逻辑能够提供方法论上的助力。美国曾就未成年人的互联网保护发布了多部规范性文件⑨,可以借鉴。其中《儿童网上保护法》规定,通过网络向未成年人传播“有害于未成年人”的商业行为作为犯罪处理,并强制要求网站设计者在发布这些信息的时候,必须设置要求进入者提供年龄证据的障碍,低于18周岁的不能进入该网站[8]172;并由国家娱乐软件定级委员会对网络游戏软件进行定级,划分出适合不同年龄阶段的游戏级别,还采取诸如标签分级系统、年龄认证制度、网络管理和时间局限技术等多种技术手段。而法国在1998年修改了未成年人保护法,制定了重罚条款,比如在互联网上向未成年人传播色情物品相比在现实生活中发生同样的情况,量刑重30%—40%[9]。新加坡在1996年对互联网实施管制,实施分类许可制度,互联网使用者必须通过政府的电脑控制中心进行信息中转传输,目的是过滤掉色情内容,没有按照法律规定办理的,被查处后处以重罚[10]。在网络游戏产业非常发达的日本,网游实施行业自律和分级审查,由“网络共同体特别委员会”完成,且行业协会有相对独立的评价机构,保证未成年人玩的游戏有益于身心健康[11]。
对未成年人需着重保护。一方面,未成年人的“慎独”精神在互联网中需提高;另一方面,明晰互联网运营者尤其是视频网站和游戏软件这类平台的责任。游戏网站或平台,需要实名注册,按照身份证号码所记载的年龄进行阶段划分。例如,以暴力血腥程度和易上瘾的程度来划分网游,只有达到一定年龄的未成年人才可以接触到相关的网游,同时限制游戏时间。对网游中包含暴力、不适宜未成年人的内容需在相关监管部门备案,监管部门设立大数据监管平台,实时监测相关情况。明确违反上述情形的网游公司和网站的相关责任,造成严重后果的,还应该承担刑事责任。
(三)彰显刑罚处罚的适应性
刑法第二百八十五条、二百八十六条和二百九十一条之一第二款对互联网犯罪的刑罚方式中没有罚金刑,这与当今社会各国互联网立法中广泛使用财产刑和资格刑的通例不相符[12]272。在国外,互联网犯罪刑罚方式包括自由刑、罚金刑和资格刑。《法国刑法典》有关于集资、公共服务、信用卡等限定资格规定,而我国的资格刑只有一种,就是剥夺政治权利,且不适用于互联网犯罪。针对我国目前互联网刑罚中刑种单一的问题,笔者建议对互联网犯罪设定相应的资格刑。
在互联网犯罪中,经济类案件占大多数,多数行为人是出于牟利的目的,因此笔者建议在“非法侵入计算机信息系统罪”“破坏计算机信息系统罪”“编造、故意传播虚假信息罪”三罪中增加“单处或者并处罚金”。对涉及互联网犯罪的自然人可以尝试设立相应的资格刑,即“禁网令”。例如,实施非法获取计算机信息系统数据的行为人大多是专业技术较高的人,对此类判处缓刑的罪犯,有必要同时设定一定的考验期,在考验期内不得接触互联网相关工作。虽然不能杜绝今后再次实施互联网犯罪,但如果在考验期内违反缓刑中的“禁网令”,则有被撤销缓刑执行原判刑罚的风险。这就需要有关部门对该类罪犯进行备案,长期跟踪回访,该措施可能会有效预防罪犯再次实施互联网犯罪。资格刑对单位同样适用。例如,在“快播案”中,单位缴纳了罚金,且直接责任人员和直接主管人员承担了刑事责任,但快播平台依然可以继续实施不作为。此时就可以对网络服务提供者的不作为行为增加相应的资格刑。资格刑在实践中操作起来有一定的难度,但是从维护刑法的权威角度来讲有重要的意义。立法需要逐步探索,分门别类讨论研究现实操作性,不宜搞“一刀切”和“照搬照抄”。可喜的是,《中华人民共和国网络安全法》对网络服务提供者的义务做了具体规定,《刑法修正案(九)》也对网络服务提供者的不作为的行为进行了规定。
注释:
①在CNKI以“互联网犯罪”为篇名关键词进行检索的最早中文论文为1998年《瑞士对使用互联网犯罪的研究——瑞士讨论问题的概览》;在CNKI以“网络犯罪”为篇名关键词进行检索的最早中文论文为1995年《警惕网络犯罪:银行计算机犯罪新成员》。
②人民网:《1994年中国互联网“开天辟地”》,网址:http://media.people.com.cn/n/2014/0415/c40606-24898154.html
③参见《保护条例》第二十四条:违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。
④参见《中华人民共和国计算机信息网络国际联网管理暂行规定》第十五条:违反本规定,同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
⑤参见《保护条例》第二十七条:执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任。“七九刑法”中没有贪污类犯罪,相关规定在渎职类犯罪中。
⑥此处指的是1994年4月20日之后至“九七刑法”生效之前的这段时间。
⑦原因在于,最初的互联网终端仅限于台式计算机,而现在除了各种固定终端,手机、平板电脑、便携式手提计算机等移动终端成为上网主力装备,已无从统计。
⑧数据来源于北京师范大学吴沈括教授在2018年12月5日于红十字国际委员会东亚地区代表处、中国军控和裁军协会主办的“从武器管控到新冲突疆域:国际人道法的机遇和挑战”会议的主题发言。
⑨1996年至今,美国先后通过了4部保护儿童权益的法律:《通信内容端正法》《儿童在线保护法》《儿童网络隐私规则》和《儿童互联网保护法》。