马荣春 王 腾
“云时代”网络犯罪的刑法范式转换
马荣春 王 腾*
《刑法修正案 (九)》新增的三个网络犯罪罪名呈现鲜明的 “网络技术隔断”范式,其可以通过网络犯罪的 “技术化”特征、风险刑法理论、帮助犯 “主犯化”与预备犯“既遂化”予以解释。但 “云时代”的技术中立化、资源化倾向导致 “网络技术隔断”范式的规制不能与错位。网络在作为法益存在形式与行使方式的延伸工具同时,其自身亦与法益相融合,并进而成为社会整体法益与个体法益的有机构成。因此,网络犯罪的规制范式需转向 “法益保护”范式。“法益保护”范式的具体转向,端赖于立法上的法益扩容与司法上的 “关键词”解释,而 “关键词”解释又可分为规范关键词的文义解释与技术关键词的扩张解释。
网络技术隔断 云时代 网络犯罪 法益保护
大数据时代的海量数据计算与存储需求,催促着 “云计算时代”即 “云时代”的到来。自2006年谷歌、亚马逊等公司首提 “云计算”概念以来,云计算历经十余年的 “爆炸式”发展,已渗透进个人生活的方方面面。①如苹果公司的iCloud、百度公司的百度云、office软件的实时云存储等等。2015年3月国务院公布实施的 《关于促进云计算创新发展培育信息产业新业态的意见》明确提出了 “2017年云计算产业链基本健全,安全、创新的云计算发展格局初步形成”的短期目标,以及 “2020年云计算应用基本普及、云计算服务能力达到国际先进水平”的长期目标。2017年3月工业和信息化部印发的 《云计算发展三年行动计划 (2017-2019年)》则从产业规模上提出了4300亿的发展目标。中国的 “云时代”已经到来,且方兴未艾。云计算是一种利用互联网实现实时、按需、便捷地访问共享资源池 (如计算设施、存储设备、应用程序等)的计算模式,②罗军舟、金嘉晖、宋爱波、东方:《云计算:体系架构与关键技术》,载 《通信学报》2011年第7期。即数据计算与存储的全面外包。用户利用共享资源池对数据进行计算和存储,如同将货物交由仓储公司进行货物的分拣与保存,具有高效能、低成本之功效。云计算在革新与优化计算机资源分配模式的同时,其自身的自洽性、大数据性、泛接入性也对网络犯罪的刑法应对提出了新的挑战,正所谓 “欲思其利,必虑其害”。
(一)“网络技术隔断”范式的发掘
刑法修正案是刑法典自我完善的一种立法模式,具有修补旧罪与增设新罪的双重功能,③黄京平、彭辅顺:《刑法修正案的若干思考》,载 《政法论丛》2004年第3期。以使得刑法典在保持稳定性的同时,适应社会发展变化。刑法修正案的立法属性决定其必然遵循一定的刑事立法思维和犯罪治理策略,前者是后者的文本承载。而我们常把包括规律、理论、标准、方法等在内的一整套信念,某一学科领域的世界观,决定某一时期的科学家观察世界、研究世界的方式称之为 “范式”,④张文显、于宁:《当代中国法哲学研究范式的转换——从阶级斗争范式到权利本位范式》,载 《中国法学》2001年第1期。故通过对刑法修正案的研判,刑法学研究者可以发掘出蕴含着网络犯罪的刑法规制“范式”。
为了应对日益严峻的网络犯罪,《刑法修正案 (九)》新增了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪三个罪名。虽然 《刑法》现有的第二百八十五、二百八十六、二百八十七条之规定也被习惯性的称为网络犯罪条款,⑤欧阳本祺、王倩:《lt;刑法修正案 (九)gt;新增网络犯罪的法律适用》,载 《江苏行政学院学报》2016年第4期。但就其保护对象或曰法益而言,其非纯粹的网络犯罪条款而是计算机犯罪条款。计算机与网络的关系类似于电话与电话线的关系,计算机是终端,而网络是信息传输通道。针对以及利用计算机实施的犯罪既可与网络有关,亦可无关,二者虽关系密切,但无必然联系。以非法侵入计算机信息系统罪为例,犯罪分子既可以通过网络即 “黑客”的方式入侵,亦可通过直接接触电脑,破解电脑密码的方式入侵。申言之,《刑法修正案 (九)》可谓首次直接面向网络犯罪的刑事立法。那么 《刑法修正案 (九)》又流露出怎样的应对策略与治理范式呢?有的学者认为,新增的三个网络犯罪罪名,虽然仅拒不履行信息网络安全管理义务罪明确了主体是 “网络服务提供者”,但从其客观行为的描述可以推知非法利用信息网络罪、帮助信息网络犯罪活动罪的犯罪主体也为 “网络服务提供者”,⑥参见前引⑤,欧阳本祺、王倩文。即刑法的应对范式是通过规制网络服务提供者从而管控网络犯罪。显而易见,《刑法修正案 (九)》描摹的以传统犯罪为模型,以网络技术使用与技术提供者为对象,以求治理网络犯罪的策略,即 “网络技术隔断”范式已为学者所留意,并进而通过规制网络技术承载主体——“网络服务提供者”这一表述予以暗意。但甚为遗憾的是,因 “新增的三个网络犯罪主体皆为网络服务提供者”的论断存在明显的缺陷,从而导致 “网络技术隔断”范式未能得以明示和重视。非法利用信息网络罪、帮助信息网络犯罪活动罪主体皆为一般主体,而非 “网络服务提供者”这一特殊主体,但其共性在于都是规制对犯罪具有促进作用的网络技术使用与提供行为。具体而言,网络技术对犯罪的促进可以分为网络技术准备与网络技术帮助,非法利用信息网络罪是面向传统犯罪 (诈骗罪、贩卖毒品罪等)而对网络技术准备的治理,而帮助信息网络犯罪活动罪则体现为对网络技术帮助的惩治。如果说拒不履行信息网络安全管理义务罪是 “网络技术隔断”范式的直接体现,而非法利用信息网络罪、帮助信息网络犯罪活动罪则在 “曲折”中体现着 “网络技术隔断”范式。易言之,非法利用信息网络罪是传统犯罪预备的网络技术化的 “隔断”,拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪则为传统犯罪网络技术提供者的 “隔断”。于其中, “网络技术隔断”范式得以全面展现。
(二)“网络技术隔断”范式问题的缘起
“网络技术隔断”范式是网络犯罪的 “技术化”特征的 “对症下药”,见之于宏观,其端赖的刑法扩张性及积极一般预防的立法动向可以通过风险刑法学予以说明;见之于微观,其表征的严惩对犯罪具有促进作用的网络技术使用与提供行为的立法情势可以在帮助犯 “主犯化”与预备犯 “既遂化”中得以解释。
1.网络犯罪的鲜明技术性
自1994次中国首次接入国际互联网以来,互联网产业经过23年的长足发展已深入百姓生活的方方面面,互联网平民化趋势明显,但仅就网络犯罪而言,其技术化特征并非消逝而是存在样态发生了改变。在网络犯罪涌现的初期,技术化特征以个体 (包括单位)技术化 (如黑客)为主要样态,但因此样态具有社会发展的不适应性而自发蜕变,原因如下:首先,中国互联网信息中心(CNNIC)发布的第39次 《中国互联网络发展状况统计报告》指出,手机网民占比高达95.1%,而网络犯罪的个体技术化与计算机具有紧密关联性,故仅有4.9%的网民有实施网络犯罪的 “个体技术可能”。但吊诡的是,网络犯罪不仅未呈现萎缩,反而愈演愈烈。此外,在犯罪手段上,利用手机终端进行网络犯罪的实践样态已经出现,个体技术化样态 “落伍”;其次,网络技术也在突飞猛进、一日千里。众所周知,互联网历经了三个时代,并呈现从计算机信息系统、信息网络到网络数据的核心转向。⑦孙道萃:《网络刑法知识转型与立法回应》,载 《现代法学》2017年第1期。互联网自身的技术变革性决定了实施网络犯罪的难度不断加大、技术需求性增强,加之网络安全技术与网络安全产业的 “雪上加霜”,网络犯罪的 “个体技术化”难度增大;最后,网民对网络技术 “弱敏感”。网络技术存在两个 “面相”,内在的高技术性与外在的低操作性,即网络技术在愈发高精尖的同时也在力图促使使用的简单化。而网民即网络技术的使用主体关心的仅是操作的简便性,对于背后的高度技术性因与其使用网络无涉而不甚关心甚至毫不关心,即 “弱敏感”或曰 “不敏感”。于是,网民与网络技术产生割裂,技术化差异增加,而网络犯罪的技术需求性与网络技术的发展具有正相关性,故网民与网络犯罪的技术需求之间的罅隙扩张,并进而对网络犯罪的 “个体技术化”产生明显抑制作用。
网络服务提供者的无甄别式网络技术服务为网络犯罪的技术样态转型提供了 “孵化园”。由此,“非技术化主体+技术化通道”成为网络犯罪技术化特征的主要存在样态。在网络犯罪中,非技术化主体通过网络服务提供者提供的技术通道从而实现犯罪的目的。在此,必须举例加以说明。以网络主播通过在网络平台在直播淫秽视频谋取非法利益为例,网络主播是非技术化主体,网络平台则为技术化通道,通过此通道网络主播得以将淫秽视频传播,从而获得非法利益。但无论是 “个体技术化”,还是 “非技术化主体+技术化通道”,都蕴含着技术性,其区别仅在于技术承载体的不同,前者是行为主体,而后者是网络服务提供者,但始终不变的是网络犯罪的鲜明技术性。
2.风险刑法理论的驱动
风险刑法因其对刑法扩张及积极一般预防的立法动向具有完美的诠释力,⑧劳东燕:《公共政策与风险社会的刑法》,载 《中国社会科学》2007年第3期。进而受到诸多学者的青睐。但风险刑法的理论潮流也催生了理论研究者的盲目与冲动,正如学者所指出:“一些学者对风险社会的内涵不甚了解,只是为赶时髦而将许多并不属于风险社会中的问题冠之以风险社会之名”。⑨利子平、石聚航:《我国风险刑法理论研究中的三大理论误区》,载 《北京理工大学学报》2013年第4期。那么用风险刑法学来阐释网络犯罪的治理是否也是盲目与冲动的呢?互联网风险是否为风险社会的 “风险”呢?“风险社会”概念的提出者贝克明确指出:“我说风险,首先是指完全逃脱人类感知能力的放射性、空气、水和食物中的毒素和污染物”。⑩[德]乌尔里希·贝克:《风险社会》,何博闻译,译林出版社2004年版,第20页。其同时指出, “生态危机、全球经济危机以及跨国恐怖主义网络可以确认为风险社会中的风险”。①[德]乌尔里希·贝克:《“9·11”事件后的全球风险社会》,王武龙编译,载 《马克思主义与现实》2004年第2期。“风险社会的风险核心在于其不可控性,而这与其全球性、未知性、系统性和两面性有关”。②南连伟:《风险刑法理论的批判与反思》,载 《法学研究》2012年第4期。在此,我们可以抓取 “完全逃脱人类感知能力”,“与生态危机等风险具有相当性”,“不可控性”三个标准来判定网络风险的风险社会归属性。首先,网络是否属于完全逃脱人类感知能力的答案不证自明。网络是虚拟化的存在,③虚拟化是指不是以传统物质形态而存在的新型信息互动方式。看不见摸不着,无法真切感知,却又客观存在;其次,网络风险与生态危机等风险具有相当性。与生态危机等风险相似,网络风险的爆发具有强大破坏性和不可修复性。以 “爱虫”电脑病毒为例,其短短两天侵袭了全球范围内100多万台计算机,造成上百亿元的损失。④小军:《爱虫病毒咋回事》,载 《科技信息》2000年第6期。“爱虫”病毒的袭击对象并不是普通的计算机用户,而是那些具有高价值IT资源的电脑系统,如美国国防部、中央情报局、英国国会等,造成重要电子数据不可逆的丢失,严重危机世界安全。更值一提的是,“支付宝”、微信支付等网络银行的兴起及网络支付方式的普及更加剧了网络风险的潜在破坏力和影响力。针对网络银行的网络犯罪可能诱发甚至直接导致金融危机的发生;最后,网络风险同样具有不可控性。网络风险的全球性与两面性自不待言,关键在于其是否具有未知性与系统性?风险社会中 “风险”的未知性源发于科学认知有限而风险无限的深刻矛盾之中,而网络安全与网络危险的此消彼长正是此矛盾的 “网络面相”,故网络风险具有未知性也就理所当然。系统性是对风险社会的 “风险”生成过程的描述与总结,风险由工业制造出来,被经济外部化,被法律制度个体化,被自然科学合法化,且被政治变得表面上无害。⑤[德]乌尔里希·贝克:《世界风险社会》,吴英姿、孙淑敏译,南京大学出版社2004年版,第175页。显而易见,网络的生成过程与之高度契合,全民 (包括政府机构)参与,全程合法,风险生成的每个环节中每个人、每个机构都可以找到正当合法的理由来推卸责任。这就是网络风险的系统性。综上,网络风险是风险社会中 “风险”的应然范畴,故用风险刑法理论来诠释网络犯罪的治理也当是天经地义。于是,刑法对网络技术风险的积极应对与立法前置也就应运而生。
3.帮助犯 “主犯化”与预备犯 “既遂化”的严惩机能
网络空间中帮助犯的主犯化,是指在网络共同犯罪中,帮助犯作为提供网络技术支持的主体在整个犯罪链条中起到主要作用,在刑法的规范评价中应当将其视为主犯。⑥于志刚:《网络空间中犯罪帮助行为的制裁体系与完善思路》,载 《中国法学》2016年第2期。在以往共犯犯罪的认知中,帮助犯作为实行犯的侧面 “给力”,并不能主导犯罪的进程与法益侵害程度,对实行犯具有法益侵害性的从属性,故按作用分类法应认定为 “从犯”。但网络打破了传统共同犯罪的 “人缘”与 “地缘”模式,诸共犯人间可能素昧平生,甚至身处世界的两端,各共犯人间的独立性增强,即狭义共犯对实行犯或曰正犯的从属性趋弱。但是,这不意味着共犯从属性向共犯独立性的迁移。帮助犯对实行犯或曰正犯从属性趋弱只能说明在网络时代技术帮助行为在有的网络共同犯罪中起着决定性的作用也即 “主犯化”。正如前文所述,网络技术的更新换代促使着网络犯罪模式的改变,但依然如故的是鲜明的 “技术化”特征。因此,技术化的帮助成为实施网络犯罪必要条件。而网络技术在决定网络犯罪 “入圈”门槛的同时,也在促进着传统犯罪的 “量变”。⑦刘宪权:《从传统到现代:网络犯罪刑事规制对策的建立与完善》,载 《政治与法律》2016年第9期。网络技术为传统犯罪插上了技术化的翅膀,加深与加剧着犯罪法益侵害性的广度与深度。以诈骗罪为例,网络技术使得传统的 “一对一”诈骗模式衍生为 “一对多”,行为人可以通过设立诈骗网站的方式,在同一时间诈骗身处不同地域的数人,而基于错误认识的处分行为则简化为轻轻的随手一点。易言之,网络技术在网络犯罪中有着举足轻重的作用,见之于网络共同犯罪,技术帮助犯成为 “共犯体”核心,其主犯化作用日益明显。于是,刑法对技术帮助行为单独立法予以重惩也就自然而然。那么,帮助信息网络犯罪活动罪是否是对技术帮助犯的严惩呢?张明楷教授基于本罪是帮助犯的量刑规则的属性定位,认为本罪不是对技术帮助的严厉惩罚,⑧张明楷:《论帮助信息网络犯罪活动罪》,载 《政治与法律》2016年第2期。但其却又默默认同着本罪对刑法总则 “从犯”量刑规则使用的限制。刑法的严厉性既可体现为法定刑上限的提高,亦可体现为从宽下限的约束。诚然,作为量刑规则的帮助信息网络犯罪活动罪无法超越正犯的法定刑,也即法定刑上限未提高,但刑法第二百八十七条第三款,“同时构成其它犯罪,从一重”的规定,则扎紧了从宽下限的口子,而这正体现着惩罚的严厉性。
预备犯 “既遂化”是指在以实行行为既遂为一般立法模型的刑法分则条文中,规定独立预备罪即将预备行为规定为实行行为既遂的立法模式。⑨张明楷:《论lt;刑法修正案 (九)gt;关于恐怖犯罪的规定》,载 《现代法学》2016年第1期。预备犯 “既遂化”的立法倾向,原因有二:其一,法益如此的重要,一旦着手后果不堪设想;其二,犯罪预备具有独立法益侵害性。网络犯罪显然属于前者,故而往往通过法益保护的前置化予以说明。与环境犯罪相类似,网络犯罪的法益重要性源于个体法益的叠加。网络搭建起人与人信息互通的 “关系网”,这就为犯罪信息的 “弥散式”传播提供了天然途径,即网络上的犯罪信息将对数以万计的网民产生潜在的法益侵害性,而网络犯罪的预备阶段正是将犯罪信息散布于网络或者搭建 “网络犯罪关系网”的阶段。因此,网络犯罪预备犯“既遂化”就是刑法应时而为的体现。与帮助行为 “主犯化”相类似,预备犯 “既遂化”也是对刑法总则 “预备犯”量刑规则的制约,体现严惩的法态度。此外,帮助犯 “主犯化”与预备犯“既遂化”并非各自独立,而是在 “默契认同”中形成严惩网络犯罪技术促进行为的 “合力”。正如学者所言,非法利用信息网络罪在进行 “预备行为实行化”的同时亦 “暗度陈仓”地实现了 “帮助行为正犯化”的效果,⑩王霖:《网络犯罪参与行为刑事责任模式的教义学塑造——共犯归责模式的回归》,载《政治与法律》2016年第9期。而 “正犯化”正意味着 “主犯化”。
或许有人会认为,“网络技术隔断”范式的发掘与问题缘起是同一问题的重复论述。但显而易见,前者仅是对立法中潜藏着的 “网络技术隔断”范式予以揭示,而后者则试图开启对该范式的妥当性反思。
“网络技术隔断”范式具体表现为:网络服务提供商的不作为犯罪;网络技术帮助行为的单独立法;网络犯罪技术准备的实行化、既遂化。而在云时代,云计算资源的自动化配置、云存储的分布式存储方式以及物联网技术的日新月异,无一不对 “网络技术隔断”发起挑战。在此,有三个问题尤需讨论:一是网络云服务商是否会构成不作为犯罪?二是网络云技术帮助者能否明知?三是技术准备可否查证?
(一)网络云服务商难以构成不作为犯罪
不作为犯罪以作为义务的存在为前提,作为义务是指应当实施某一行为的义务,其以命令规范的方式加以规定。①陈兴良:《作为义务:从形式的义务论到实质的义务论》,载 《国家检察官学院学报》2010年第3期。显而易见,作为网络服务提供商的一种,根据 《计算机信息网络国际联网安全保护管理办法》第十条之规定,网络云服务商具有维护网络信息安全的作为义务。但拒绝履行作为义务并不等于构成不作为犯罪。不作为犯罪的成立不仅要求作为义务的存在,还要求行为人能履行作为义务、且履行作为义务能够避免危害结果的发生。②张明楷:《刑法学》,法律出版社2014年版,第153页。那么,网络云服务商能否履行作为义务呢?网络云服务商通常提供 “云计算” “云储存” “物联网”三种服务,故有必要分而述之:其一,“云计算”是一种按需分配计算资源的计算模式,其具有自动分配计算资源及恢复异常的功能,即具有自洽性。换而言之,“云计算”无需人工维护,实质处于无监管的状态。因此,无履行作为义务的主体不应被赋予作为义务;其二,“云存储”储存的数据庞大,且处在不断变动中。要求网络云服务主体从汪洋大海般的数据与信息中,“大海捞针”式的发现、抓取危及网络安全的信息与数据,显然是强人所难。以苹果iCloud为例,每天有数以亿计的人在使用苹果设备,与iCloud云数据库之间产生不可胜数的数据交换。倘若要在一天内对这些数据进行逐一筛查,苹果公司将有一半员工会专门从事此工作,企业也会因此不堪重负。既然 “云存储”的低成本高效能的优势消失殆尽,那么放弃 “云存储”也就自然而然。法律尤其是刑法不应成为社会发展的阻碍,因此,“云储存”服务提供商当属法律上作为义务之履行不能;其三,“物联网”意味着数据的实时传输与计算处理,即数据输入与输出都具有瞬时性。而在数据的不断更新中,后数据对前数据具有明显的覆盖性。数据的实时传输性与覆盖性决定了对于数据的审查要在极短的时间内完成,而 “物联网”获取物体实时信息的大数据性决定了这样的审查全无可能,故 “物联网”服务提供商显属履行不能。
拒不履行信息网络安全管理义务罪的规定也从侧面体现了这一点,故本罪在犯罪成立条件中增加 “经监管部门责令采取改正措施而拒不改正”的条件。因此,未经监管机关明确责令改正的,网络云服务机构无能力履行作为义务,不构成此罪。进一步说,监管机构的明确责令不是大而化之的责令改正,而需具有明确的信息指向性,即监管机构须明示具体违法信息的内容及存在方位。于是,网络云服务提供的履行不能转化为监管机构的职务监管不能。退而言之,假使监管机关作出明确责令,作为理性经济体的网络服务提供者,无论是基于经济利益考虑还是基于社会声誉考虑,也都会毫不犹豫的予以改正。于是,拒不履行信息网络安全管理义务罪在 “云时代”成为适用上的“僵尸条款”,并进而成为象征性立法的例证。③刘艳红:《象征性立法对刑法功能的损害——二十年来中国刑事立法总评》,载《政治与法律》2017年第3期。
(二)网络云技术帮助者无法 “明知”
网络云技术帮助者构成犯罪的前提在于 “明知”,即认识到他人利用网络实施犯罪。“明知”的内涵可以分为认识因素与意志因素,而认识因素是意识因素的前提与基础。于是,网络云技术帮助者是否具有认识就成为决定成立犯罪与否的关键,而是否具有认识的判断又以能否认识的判断为前提,即若网络云技术者不能认识到他人利用网络实施犯罪,则其当然不构成犯罪;若网络云技术者能认识到他人利用网络实施犯罪,则还需判断具体情形下是否实际上具有认识。问题是:网络云技术帮助者能否认识到他人利用网络实施犯罪 (犯罪信息)呢?首先,网络 “云计算”服务提供者不能认识。正如前文所述,云计算服务实质处于无监管状态,故云计算服务商无法发现他人利用云计算进行犯罪活动,也就自然无法认识到他人利用云计算网络实施犯罪。进一步说,云计算的本质属性是计算性,也即数据处理的属性,而数据多以中立姿态出现,即其不能显示是否用于犯罪,正如电脑商无法知道其所售电脑是否会被用于犯罪一样,云计算服务商也无法预知其所处理的数据是否会被用于犯罪,即无法认识。其次,网络 “云存储”服务提供者不能认识。“云存储”服务商为了应对超大文件的存储与多次改写,提出了分布式数据储存模式。以GFS(Google File System)为例,一个大文件被划分成若干固定小 (如64MB)的数据块,并分布存储在计算节点的本地硬盘上。④参见前引②,罗军舟等文。易言之,“云存储”的文件被切割成若干个大小相同或者不同的数据块,分别储存。于是,若云储存服务商意图对大文件进行检查,则必须通过控制节点提取、整合该文件包含的数据块,这无疑是在反向重复文件存储主体的存储过程。显然,这将使得 “云储存”的效率降低一半,严重阻碍“云存储”产业的发展。而若云储存服务商对数据块进行检查,因只能观察文件的很小部分,故难以对文件整体的性质进行判定。另外,文件存储主体基于个人隐私或商业机密的考虑,往往会运用一定程度的加密技术对需要存储的文件进行处理,这种处理既可能作用于文件的整体,也可能作用于数据块。但无论是作用于整体文件还是作用数据块,都会隔绝云储存服务商对存储文件的访问。因此,网络 “云存储”服务商不能认识,也无法 “明知”。最后,“物联网”服务提供主体不能认识。如前所述,物联网的数据具有实时更新性,即犯罪信息会被不断掩盖。换而言之,犯罪信息已被传输,但未 “遗留”任何痕迹,不是因为它未 “走过”,只是新信息的 “足迹”掩没了它。于是,若物联网服务者无法在当时发现违法信息,则将永远无法发现,而物联网服务提供主体又无法做到实时监控,故物联网服务提供主体存在违法信息的认识不能。综上,网络云技术帮助者不能认识他人利用网络实施犯罪,无法 “明知”。值得一提的是,无法 “明知”的原因在于认识不能,从而网络云技术帮助主体不应认识。因此,将主观扩容至 “过失”也将无济于事。
(三) 技术准备难以查证
网络犯罪技术准备是指为了实施犯罪,利用网络发布违法信息、设立网站等行为。⑤为了实施犯罪,利用网络发布违法信息、设立网站等行为属于犯罪预备行为,也即属于为了实施犯罪,制造条件、准备工具的行为。又因利用网络犯罪或曰网络犯罪具有鲜明技术性,故称为网络犯罪技术准备。利用网络技术准备,犯罪信息 “不胫而走”,使五湖四海的网民接收到犯罪信息,从而增加成功实施犯罪的几率与显著提高犯罪回报率。由是,罪犯的技术准备关涉或曰利用的是网络的信息快速、广泛传播的功能。而网络云技术的泛接入性则为网络犯罪的信息开辟了全新的信息传输通道,且此通道无需准备、也更具秘密性。以iCloud为例,只要拥有iCloud账号和密码,任何人可以在任何设备上下载iCloud中存储的信息,当然也包括犯罪信息。换而言之,犯罪分子只需将包含犯罪信息的云账号、密码以各种合法的名目发布于网络上,吸引网民登录此云账号即可实现传播犯罪信息的目的。依据实质解释论的观点,我们当然可以将前述行为解释为发布违法信息的行为。问题在于,重复登录后,谁才是违法信息的发布者无踪可循,任何登录过此账号的人都可能为发布者。更值一提的是,云分享技术的发展,不仅实现了信息的私密单享,更实现了信息的私密泛享。用户只需泛享加密的文件并私信访问密码即可安全地泛享。于是,云技术成为网络犯罪技术准备的帮凶,促进准备行为的隐秘化,抑制着刑法规范的实际效用,而刑法对此却无能无力。
网络云技术的发展和 “云时代”的到来,使得网络服务渐趋为一种 “纯粹的存在”,而这正是缘起于 “网络资源化”设想。易言之,网络计算、网络存储将逐渐演化为类似于电、水等生活服务,即渐变为纯粹的中立技术帮助行为,这便使得 “网络技术隔断”范式的刑法应对存在明显错位。此外,正如学者指出,随着互联网技术的发展和侵权行为方式的推陈出新,现行刑法面对纷繁复杂的侵权行为明显力不从心。⑥梅传强、黄铱:《论互联网时代版权刑法保护的完善》,载 《南昌大学学报》2017年第2期。“网络技术隔断”范式将使刑法陷入犯罪手段 “推陈出新”与规范“墨守成规”的深刻矛盾之中,以至于走入 “变动不居”与 “以古制今”的两难境地,前者以刑法的稳定性为代价,后者则使刑法脱离实际。那么,云时代网络犯罪刑法应对路在何方?
(一)云时代网络犯罪刑法应对新范式的事实前提:从犯罪工具到犯罪对象
网络犯罪是指以网络为工具的犯罪或者以网络为对象的犯罪。在 “云时代”,以网络为对象的犯罪则因危害性呈几何倍的增长尤需刑法关注。云技术的数据与信息归集功能,以及 “物联网”技术所赋予的 “物”控制功能促使其成为个人及公司用户的 “命门”。数以万计的个人隐私、商业秘密被收集、存储到云系统中,不计其数的智能设备被 “物联网”支配,即云系统不再是单纯的工具,其自身 “兹事体大”。正如水从本质上而言也是一种资源工具,但显然水库至关重要。可以想象,一旦云系统被攻克,无数的个人、公司将处于 “裸奔”状态,智能设备或被锁死或被控制,法益侵害的严重性无以复加。易言之,在 “犯罪人+网络技术+法益侵害”的犯罪模式中,“前云时代”注重网络技术应用于犯罪的治理,而 “云时代”技术与法益融合,并进而形成技术化的法益集群,最终网络技术在成为犯罪工具的同时,更成为群体利益的 “保护伞”。于是,“云时代”网络不再是传统犯罪网络化的 “附庸”,而是传统犯罪的对象。
众所周知,网络是一种技术工具,其目的在于服务人类社会。见之于刑法,网络被视为传统犯罪网络化的工具。在犯罪生成过程中,网络充当的是客体或曰法益侵害的武器。正如刘宪权教授所言,诽谤者好比刺客,诽谤行为好比刺刀,网络则加长了刀刃。⑦刘宪权:《网络空间中犯罪帮助行为的制裁体系与完善思路》,载 《中国法学》2016年第2期。因此,网络仅以 “滥用”的面目进入刑法视野,也即网络以传统犯罪的不当 “附庸”被刑法附属性地评价。而在犯罪构成中,网络被抽象化、价值化 “危害行为”所遮蔽,网络仅是危害行为判定的要素之一,其或许为 “定量”的重要参考,但绝非 “定性”之必要因素。至此,我们不禁要问,网络对刑法的影响仅此而已?于志刚教授将网络犯罪分为三个阶段:网络作为犯罪对象、网络作为犯罪工具、网络作为犯罪空间,并提出网络空间是刑法未来的着眼点。⑧于志刚:《网络、网络犯罪的演变与司法解释的关注方向》,载 《法律适用》2013年第11期。但颇为遗憾的是,其未对网络作为犯罪空间的样态进行进一步的明晰。其实,网络作为犯罪空间具体又可分为 “以网络空间为犯罪环境”和 “以网络空间为犯罪对象”。2005年最高人民法院、最高人民检察院 《关于办理赌博刑事案件具体应用法律若干问题的解释》中将赌博网站视为 “赌场”的规定,其实质是 “以网络空间为犯罪环境的”体现。而 《中国人民共和国网络安全法》将网络空间主权和安全视为国家主权和安全的具体内涵,才可称为 “以网络空间为犯罪对象”之演展。由此,侵犯网络空间主权与网络安全显属危害国家主权与安全,也即刑法将网络空间主权与安全视为保护的对象。以网络空间为犯罪对象的实质在于刑法认可网络空间为刑法应予以保护的法益,而非仅仅是作为客观方面之一的犯罪场所的网络化。网络空间作为与现实空间并行的 “第二空间”,其与现实空间具有相同的结构化过程,因而也具有安全性、秩序性等基本属性。其实,网络共同安全是否可以解释为公共安全并进而成为刑法的保护对象,才是网络空间的犯罪对象化思维的叩问。
正如现实社会公共安全,网络公共安全也应 “脚踏实地”。刑法对公共安全的定义为 “不特定多数人的生命、财产安全”。同理,网络公共安全也应具有相同的内涵。网络可以危及不特定多数人财产安全自不待言,而网络技术的发展,则使得网络到设备进而到行为人的反向控制成为可能。以近期爆发的 “WannaCry”病毒为例,其入侵了英国的多家医院系统,加密患者的病例资料,部分医院只能被迫转移急症病人至其他医院治疗,严重危及病人的生命安全。因此,侵害网络公共安全也会致使不特定多数生命、财产处于危险之中,刑法应当予以保护。网络在便利社会的同时,也时时刻刻在复刻社会。就本质而言,网络空间并非网络形成的空间,而是现实社会与个体法益 “虚拟化”的必然产物。正如社会一样,网络空间并非自发存在,而是在人与人的法益交往与约束中逐渐形成。与冰箱、电视等纯粹的工具不同之处在于,网络在延伸法益存在形式与行使方式的同时,自身亦成为法益的一种延展,正如网络信息发送权代表着自由言论权利、网络货币代表着财产权等等。网络在促使现实法益 “虚拟化”的过程中,其自身也杂糅进法益之中,成为法益的表现形式和行使方式,以至于无法区分是侵犯网络还是侵犯个体法益。易言之,网络虚拟化地延展法益存在形式与行使方式的过程,也就是其 “法益化”的过程,即 “对象化”的过程。因此,视网络为犯罪对象是一种顺势而为的必然过程。
(二)云时代网络犯罪刑法应对新范式的直接表达:“法益保护范式”
在工具思维下,网络是传统犯罪的 “技术化工具”,于是采用斩断技术准备、技术帮助的犯罪治理策略与范式便顺理成章。“网络技术隔断”范式围绕传统犯罪的实施过程,构造了分阶段的网络技术隔断:犯罪预备阶段,新设非法利用信息网络罪;犯罪实行阶段,新设帮助信息网络犯罪活动罪 (积极帮助)、拒不履行信息网络安全管理义务罪 (消极帮助)。在 “网络技术隔断”范式下,刑法围绕传统犯罪构建全方位网络防范圈,力图阻止行为人通过网络实施传统犯罪,即阻止传统犯罪网络化。可见,在刑法视线中,网络仅是实施犯罪的一个危害性更大的手段而已。正如前文所述,云时代的到来,网络愈发地纯粹技术化;而在另一面,网络与法益呈现互融互通,即网络即法益,法益即网络。而这是视网络为工具的网络技术隔断范式难以应对的。刑法对网络犯罪的治理需要从 “技术隔断”部分地向 “法益保护”的迁移。⑨部分即非全部,正如于志刚教授所言,网络作为犯罪工具依然是当前网络主流,并将保持长期存在。可以想见的是,拒不履行信息网络安全管理义务罪正是对网络安全项下网络信息安全的保护,其所体现的是 “法益保护”,而这是否意味着网络治理范式是否已经转型?诚然,网络信息安全是网络安全的一部,但同样显而易见的是,网络信息安全的核心是信息安全,也即信息的真实性、健康性。而传统信息安全与之具有相同的内容,区别仅在与传播的载体不同。网络服务提供商存在审查信息安全的义务,而与此审查义务所截然对立的是公民的信息隐私权。网民在使用云计算、云存储时,云计算与云存储演化为公民个人信息的延伸,网络服务提供商存在侵犯公民个人隐私与不作为犯罪的两难境地。因此,这样的审查义务仅限于予以公开的信息。但显而易见的是,云时代违法信息多以个人信息的方式存在。信息安全既包括公开信息的安全,当然也包括公民个人信息的安全。于是,拒不履行信息网络安全管理义务罪对不作为的泄露个人信息行为予以规制。问题在于,云时代系统自身的安全性显然要高于信息被泄露的风险。只要控制了云系统,无论泄露信息,还是删除信息,修改信息等等,都易如反掌,甚至可以直接发出控制信息。至此,答案已然明了,这种 “捡了芝麻、丢了西瓜”的巧合立法显然难言治理范式的转型。显然,在 “法益保护”范式下,刑法对网络的保护应当是全方位的,因为其所保护的是从包融个体法益的网络系统、网络云盘到聚合集体法益的网络秩序、网络安全。网络不仅是网络犯罪的工具,更是网络犯罪的对象,甚至是未来的主要对象。可以想见,一旦攻破云系统,尚不言其可以获取大量的个人信息和商业秘密,其更可径直掳走个人和公司的账户内现金。加之 “物联网”,这种影响甚至可以及于个体安全与公共安全。美国大片中的远程控制汽车即 “僵尸车”危及公共安全的场景并非只是虚幻的电影,而是在逐渐变为现实。网络的法益集群效应使得网络自身已然成为一种重要的法益,从而网络立法与司法从 “网络技术隔断”范式走向 “法益保护”范式刻不容缓。当然,“法益保护”范式绝非保护网络法益的同义语。从认识论角度,其变革了立法者与司法者认识网络犯罪的方式与方法,实现从关注犯罪手段到紧抓侵害法益的切换;而从价值论角度,其亦意味着立法者与司法者对刑法功能定位的迁移,即从社会治理手段转向社会安全保障。
(三)云时代网络犯罪刑法应对新范式的实践展开:从刑法立法到刑法司法
1.立法层面的具体展开
网络安全以信息安全为重中之重,故仅以信息安全的立法保护为展开。网络系统与法益的交融性决定了网络系统自身应成为刑法保护的法益,故刑法丞需对网络信息系统予以全面保护,具体策略为:将非法侵入计算机信息系统罪的规制范围扩容至普通领域;将拒不履行信息网络安全管理义务罪修改为不履行网络系统安全管理义务罪。由此,形成网络信息系统对向主体 (侵入主体与安全保护主体)作为与不作为的双向保护。
首先,《刑法》第二百八十五条第一款规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,构成非法侵入计算机信息系统罪。可见,刑法只对国家事务、国防建设、尖端科学技术领域的计算机信息系统入侵行为进行处罚。这是一种基于个人电脑端,而非网络交互端的立法思维。由于在个人电脑端思维下,信息不具有集群效应而使得对个体电脑的单纯入侵行为的危害性难以上升到动用刑罚的程度。因此,现行刑法仅对关乎国家安全的重要领域的信息系统入侵行为予以规制。但正如前文所述,云时代使得个人信息呈现大规模的集群现象,也即侵入一个云系统可以使得数以亿计的个人信息处在被窥视状态,造成大规模的恐慌。申言之,云系统与群体法益的严密关系促使其已成为重要的法益,故对其侵入的行为具有足够的社会危害性,刑法应当予以惩处。个体信息的大规模汇集无疑将形成 “法益库”,正所谓聚沙成塔、集腋成裘。但是,无论存储数量多少的个人信息,信息系统的性质都不会发生改变,即个人信息系统。于是,由于入侵云系统无法 “狭义地”解释为入侵国家事务等系统,故此类行为无法以非法侵入计算机信息系统罪定罪处罚。当侵犯云系统的严重社会危害性与刑法的规制不能产生实质矛盾,而行法定原则要求定罪必须有刑法的明文规定,则修改刑法规定也就成为唯一的选择,即将非法侵入计算机信息系统罪的适用范围扩容至普通领域,也即删除条文中 “国家事务、国防建设、尖端科学技术领域”的限制性规定。
其次,信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。云时代信息安全显然更加依赖于其所寄生系统的安全性。拒不履行信息网络安全管理义务罪的关涉核心点依旧是信息的本体安全,而信息系统的安全只是信息本体安全的一种 “附带”而已。但正如前文所述,以信息本体安全为核心存在个人信息的审查不能与非泄露性威胁等缺漏。网络系统与个体信息的集合使得系统自身成为信息安全决定性的存在,正如大坝与水源的结合也使得大坝成为水库安全的决定性存在。对于危及不特定多数人的生命、财产也即公共安全的行为,刑法总是倾向前置保护,这不仅是法益保护的需求,也是公民的法情感需求。相较于传统犯罪,网络犯罪往往呈现更大的社会性,故无论社会大众还是刑法学者,都试图将法益保护提前。在信息系统与个人、公司信息的结合体中,法益保护必然要从信息本体向信息系统保护迁移,因为信息系统保护是信息本体保护的必要条件 (不考虑个体的自我答责)。而另一方面,网络系统服务提供商提供系统服务,收取服务费用,其可以否认对系统内信息的安全保证,但不可否认其对系统的安全具有保证义务。因此,将拒不履行信息网络安全管理义务罪修改为不履行网络系统安全管理义务罪,既是保护网络信息安全的应时而为,更是网络系统服务提供商责任自负的一次深化。需要说明的是,在此仍存在履行不能的问题,不过仅限于技术不能,也即其受技术条件限制难以维护系统安全。
2.司法层面的具体展开
法律的生命在于司法,面对日益变迁的网络犯罪,司法应有所作为。法律的滞后性决定其自颁布实施业已落后于社会发展,又因作为行为规范的法律应具有稳定性,因而法律与社会的 “间隙”长存。司法解释作为司法机关的指导性解释,其能够敏锐觉察到社会的新问题、新动向,并给予积极回应。于是,网络犯罪 “法益保护”端赖于司法解释的先行。
首先需要予以说明的是,此处的司法解释显然不同于现行的司法解释。现行的司法解释多立根于说明犯罪手段的网络异化,而非关注法益的网络异化。云时代使得法益延伸进网络空间,使得网络空间与现实空间具有相似的社会性。换而言之,现实空间的社会化、秩序化过程在网络空间重现,从而网络秩序与安全被创造出来,并成为社会安全的有机组成部分。与 《中国人民共和国网络安全法》将网络安全与主权视为国家安全与主权的有机过程相似,司法解释也应将网络安全与秩序视为社会安全与秩序的有机组成部分,而这正与现行刑法将网络犯罪的相关条款规定于 “危害社会管理秩序罪”一章的做法不谋而合。于是,学者提出了 “关键词”扩大解释的司法解释方法。⑩于志刚:《网络犯罪的发展轨迹与刑法分则的转型路径》,载 《法商研究》2014年第4期。“关键词”扩大解释实质是实质解释论的一次应用,因为网络空间的社会化过程也就是 “复制”公共法益、秩序法益的过程。将网络秩序解释为公共秩序是社会变迁的恰当司法回应,但从另一角度,网络秩序是公共秩序的当然组成,也即 “公共秩序”这一关键词应然地包含网络秩序。虽然从现行刑法角度,将网络秩序解释为公共秩序是扩大解释,但立足于当下社会,其未尝不是实质解释论下的一次当然解释?刑法中的关键词存在 “技术性”与 “规范性”关键词两类,前者如计算机信息系统等,后者如公共秩序等。其实,“规范性”关键词的范围本由社会观念所决定,而社会观念的变化必然会致使 “规范性”关键词的语义范围发生变动。于是,依据社会观念对 “规范性”关键词作出与以往不同的解释,并非扩大解释或限缩解释,而是平义解释。但对于 “技术性”关键词,因与科学技术相勾连,故其范围相对固定,从而对之作出与不同以往的解释,必然是扩张解释或限缩解释。由是,对 “法益保护”范式的回应,司法解释存在两种路径,规范关键词的当然解释或曰平义解释与技术关键词的扩张解释。
在此有必要举例予以说明。最高人民法院、最高人民检察院 《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第五条第二款规定:“编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,以寻衅滋事罪定罪处罚”。此规定中公共秩序显然包括网络秩序与现实秩序两方面,但公共秩序显属 “规范性”关键词。在社会观念中,公共秩序随着社会发展已当然纳归网络秩序,也即网络秩序是公共秩序的当然内容。可见,公共秩序的 “规范性”语义范围中业已包含网络秩序,是纯粹的平义解释。相比之下,技术性概念因具有特定的内容而无需规范判断,故其需要予以扩大解释。最高人民法院、最高人民检察院 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条明确规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。与 《中华人民共和国网络安全法》关于个人信息范围相比,其增加了 “反映自然人活动情况”的规定。可以想见,若无 “反映自然人活动情况”的扩大解释规定,显然无法将侵犯个人活动情况信息的行为认定为侵犯公民个人信息罪。
行文至此,结论如下:一是网络犯罪法益保护的落实端赖于司法解释;二是司法解释存在规范关键词的当然解释或曰平义解释与技术关键词的扩张解释两种解释路径;三是因网络对现实法益的“复刻”是全方位的,故无法确定需要解释的 “关键词”的范围及其解释限度,但司法解释需要从法益保护角度对刑法 “关键词”予以解释。
恐惧源自于无知。在技术发端的初期,因对技术认识的不足,人们对技术化的犯罪深感彷徨。但刑法作为理性的存在,不应为了 “回应”而回应,并成为无知恐惧的宣泄口。“网络技术隔断”范式正是缘起于大众的技术恐惧感。但刑法的保障法地位决定了其不应是跃跃欲试的攻击者,而应是稳如泰山的守护者。因此,刑法应以法益保护为核心构筑坚实的防护体系,也即网络犯罪的治理应从 “网络技术隔断”向 “法益保护”迁移。对 “工具”予以 “法益”保护在刑法规定中并不鲜见,如破坏交通工具罪便是将交通工具作为公共法益予以保护。刑法是社会治理的最后手段,其应是社会秩序与安全最坚实的 “盾”,正如学者所指出,刑法的根本目正是维护社会共同的秩序。①贾健:《维护社会共同秩序:刑法的根本目的证立——兼论刑法目的的双层构造》,载《南昌大学学报》2014年第2期。法律工具主义历来为学者所批判,但把刑法作为治理社会的 “矛”,又何尝不是以否定之名行肯定之实。其实,“最好的进攻是防守”,犯罪的刑事治理 “道亦如此”。
“云时代”网络犯罪的刑法范式转换问题,最终牵涉的是 “云时代”网络犯罪的刑法生命力及其出路问题,但如果没有公众认同,就没有刑法的社会效果,而没有刑法的社会效果,便没有刑法的生命力及其出路。②马荣春:《中国刑法的当下出路:“附势用术”》,载 《南昌大学学报》2013年第1期。因此,“云时代”网络犯罪的刑法范式转换,最终应得到刑法公众认同和刑法社会效果的支撑与说明。
10.19350/j.cnki.fzsh.2017.05.001
*马荣春,扬州大学法学院教授,法学博士后;王腾,西南政法大学硕士研究生。
(责任编辑:卢护锋)