中美网络犯罪立法比较及给我国的借鉴

皮 勇

《刑法修正案（九）》增设了《刑法》第286条之一、第287条之一和之二，规定了三种新网络犯罪，它们不同于《刑法》第285条、第286条规定的侵犯计算机信息系统安全犯罪，是妨害信息网络安全管理秩序犯罪，与传统犯罪有一定的交集，标志着我国独立的网络犯罪立法不再局限于对象型网络犯罪，进入了网络犯罪立法新阶段。针对这三种新型网络犯罪立法，不少刑法学者运用传统刑法理论如共犯〔1〕、预备犯理论进行解读〔2〕，也有学者加以批判〔3〕，意图将以上犯罪立法及其适用限制在传统刑法教义学理论框架内。我国网络犯罪立法向何处去，是延伸适用传统犯罪立法，还是顺应现代社会科技发展趋势、实事求是地设立必要的新网络犯罪，这一立法方向问题必须慎重对待。历史总是惊人的相似，美国在20世纪70年代也遇到相似的问题，经过十几年的试错，美国网络犯罪立法走向了扩张解释传统犯罪立法与设立新型网络犯罪协调发展的道路。本文通过比较中美网络犯罪立法，分析美国网络犯罪立法及其适用的成功经验，希望为解决前述问题提供新思路，为我国网络犯罪立法的科学发展提供参考。

一、中美网络犯罪立法历程与立法体系

美国最初对计算机犯罪延伸适用传统犯罪立法。在20世纪60年代，美国就出现了计算机犯罪，当时这类犯罪被认为只是改变手段的传统犯罪〔4〕，司法实践通常采取延伸适用现有刑法规定的方式，以避免修改立法。〔5〕法官对计算机、互联网相关犯罪通常适用盗窃（Theft）、入室盗窃（Burglary）和非法侵入住所（Trespass）三罪法条，通过对这三罪规定的自由解释来解决法律适用中的困难问题。〔6〕然而，以上做法常常陷入与事实和法律规定不符的困境：其一，行为人进入他人住所，是成立入室盗窃和非法侵入住所的构成条件，而该事实在计算机犯罪案件中并不存在；其二，盗窃罪保护的是财产，而非法获取计算机数据或盗用他人计算机信息系统不同于永久剥夺他人财物；其三，行为人主观上是恶意攻击系统、非法窥探信息，而不是秘密获取财物等。〔7〕不仅如此，在以上法律适用模式下，新兴的社会信息活动得不到充分的刑法保护。在扩张解释传统刑法规定的路径上“试错”十多年后，美国刑法学界和立法者认识到，仅靠法官能动适法不能弥补犯罪立法的时代滞后缺陷，必须制定专门的法律。〔8〕

经过30多年的发展，美国建立了独特的网络犯罪立法体系。1984年《全面控制犯罪法》（Com⁃prehensive Crime Control Act）设立了三种未经授权或超越授权侵入计算机信息系统犯罪①美国1984年《伪造接入设备与计算机欺诈及滥用法》规定的三种犯罪是：（1）未经授权或故意超越授权范围，故意侵入美国国防或外交关系事务计算机信息系统，获取秘密信息的，构成重罪；（2）未经授权或故意超越授权范围，故意侵入联邦财政机构或消费者报告机构的计算机信息系统，获取财务信息的，构成轻罪；（3）未经授权或故意超越授权范围侵入联邦政府机关的计算机信息系统的，意图使用、修改、破坏或泄露其中的信息，或者意图阻碍其正常运行的，构成轻罪。，经1986年《计算机欺诈与滥用法》修改后，编入《美国联邦法典》第1030条。在此基础上，美国网络犯罪立法又经历了八次增加和修改，最终形成当前网络犯罪立法的基础体系。此外，美国《窃听法》（Wiretap Act）规定了涵盖利用计算机、互联网侵犯通信的三种犯罪，其他法律条款如《美国联邦法典》第2701条、第1362条、第1343条、第1037条、第1029条、第1028条及第1028A条等，也规定了与计算机、互联网相关的犯罪。但是，网络赌博犯罪、网络儿童色情和其他淫秽信息犯罪以及与网络相关的侵犯知识产权犯罪、侵犯隐私犯罪、经济间谍犯罪等，都未被纳入美国司法部网络犯罪与知识产权部门（CCIPS）界定的网络犯罪范围，而是按其他犯罪独立应对。②美国司法部网络犯罪与知识产权部门（CCIPS）区分网络犯罪与知识产权犯罪，将侵犯著作权、商标、商业秘密、专利的犯罪行为单独归为一类，进行专门的司法应对。详见https://www.justice.gov/criminal-ccips/ccips-documents-and-reports，2020年1月6日。以危害行为和行为对象为分类根据，当前美国网络犯罪分为两大类：一类是侵犯计算机信息系统安全的犯罪，包括非法侵入计算机、破坏计算机、提供密码犯罪；另一类是独立的网络相关犯罪，包括身份盗窃罪、计算机相关诈骗犯罪、侵犯通信犯罪。

我国社会信息化发展至今已有20余年，我国网络犯罪随之经历了计算机犯罪、网络犯罪、网络空间犯罪三个样态，在每一个演变阶段中，我国刑法都及时回应，经过六次网络犯罪立法后，设立了侵犯计算机信息系统及其数据安全犯罪、侵犯个人信息犯罪、妨害信息网络安全管理秩序犯罪，确认了网络化形式的传统犯罪的刑事责任，建立起“四位一体”的网络空间犯罪立法体系。中美网络犯罪立法过程、体系和内容相似，都是从保护计算机信息系统安全转向维护信息网络管理秩序，都规定了非法侵入计算机信息系统犯罪、破坏计算机信息系统犯罪、提供密码、程序类设备犯罪、身份信息和网络诈骗相关犯罪等，在司法实践中都重视以扩张解释传统犯罪立法来打击网络犯罪，这些构成了开展比较研究的基础。

当然，二者犯罪立法的差异也是明显的，不仅表现在犯罪立法体系上，也反映在相似犯罪的罪状及其法定刑方面，详述如下：其一，犯罪类属。我国刑法主要按照犯罪客体将犯罪设置于10章中，多数网络犯罪被规定在“妨害社会管理秩序罪”之下的“扰乱公共秩序罪”中，仅侵犯个人信息犯罪被设置在“破坏金融管理秩序罪”和“侵犯公民人身权利、民主权利罪”中。而美国刑法主要按照危害行为、行为对象及行为之间的关联关系，将犯罪分设于94章中，除了与通信相关的四种犯罪被设置在《美国联邦法典》第18编第119章“有线和电子通信拦截和口头通信拦截”和第121章“访问存储的有线和电子通信记录”外，其他网络犯罪都被设置在第47章“欺诈与虚假陈述”中。由于中美刑法对犯罪分类没有共同基础，故只能从罪状上比较二者相似的网络犯罪。其二，犯罪的客观条件。对于危害行为或行为对象基本相似的网络犯罪，两国刑法的规定也有较大差别，几乎找不到犯罪客观条件完全相同的犯罪。这在一定程度上反映了两国在网络犯罪的特点和法律保护的重要利益方面的差别。其三，刑罚。美国网络犯罪立法大多规定了多个量刑档次，各罪的重罪类型的法定刑较重，并附加财产刑，较多网络犯罪处罚未遂犯和谋议犯，犯罪人刑法倾向明显。我国刑法中网络犯罪的法定刑相对较轻，即使是规定了重罪类型的网络犯罪，其法定刑也比前者轻，较少处罚未遂犯，处重刑的可能性更小。

基于以上分析，以下比较中美刑法中的侵犯计算机信息系统及其数据安全犯罪和独立的网络相关犯罪立法，不讨论二者司法实践中的传统犯罪网络化的刑法延伸适用。

二、中美侵犯计算机信息系统及数据安全犯罪立法的比较

中美网络犯罪立法的起点都是侵犯计算机信息系统及数据安全犯罪，二者在该类犯罪方面的规定相似度较高，但也有一定的差别。

（一）非法侵入计算机信息系统犯罪立法

修改后的我国《刑法》第285条规定了三种侵入计算机信息系统犯罪，即非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪和非法控制计算机信息系统罪。前者是单一犯罪构成，最高法定刑为三年有期徒刑，而后二者包括基本罪和重罪，重罪法定刑最高为七年有期徒刑。《美国联邦法典》第1030条（与计算机有关的欺诈及相关行为，Fraud and Related Activity in Connection with Computers）（a）款规定了四种非法侵入计算机信息系统犯罪，分别是侵入计算机信息系统获取信息①《美国联邦法典》第1030条（a）（2）规定了侵入计算机信息系统并获取信息罪，是指蓄意（intentionally）未经授权或者超越授权范围侵入计算机信息系统，并从金融机构或消费者报告机构的金融记录、美国国家部门或机构、受保护的计算机中获取信息的行为。如果出于获取商业利益目的或个人财产收益的目的，或者有进一步的违反宪法、联邦或任何州的法律的刑事或侵权行为，或者获取的信息价值超过5000美元的，处罚金或五年以下监禁、或者二者并处。计算“信息价值”可以包括为研究、发展和制作该信息花费的成本，也可以是该信息非法交易的价值。、为诈取财物侵入计算机信息系统获取利益②《美国联邦法典》第1030条（a）（4）规定了为诈取财物侵入计算机信息系统并获取利益罪，是指明知（knowingly）未经授权或者超越授权范围，出于欺诈的意图侵入受保护的计算机信息系统，并通过该行为推进意图实施的欺诈并获取有价值的物的行为，诈骗对象和所获取的物只是计算机的使用且该使用的价值在一年内不超过5000美元除外。、非法侵入国家计算机信息系统③《美国联邦法典》第1030条（a）（3）规定了非法侵入国家计算机信息系统罪，是指蓄意(intentionally)未经授权侵入美国国家部门或机构的非公开计算机信息系统的行为，该系统由美国政府独占使用，或者在非独占使用情况下，正处于美国政府使用中或者为其服务，而该侵入行为影响了以上使用或服务。、非法侵入计算机系统获取国家秘密信息并传播或扣留。④《美国联邦法典》第1030条（a）（1）规定了非法侵入计算机系统获取国家秘密信息并传播或扣留罪，是指明知(knowingly)未经授权或者超越授权范围，侵入计算机信息系统获取国家秘密信息，并故意提供或意图提供给非授权接受者，或者故意扣留该信息的行为。两国刑法规定的前述犯罪除了都是故意犯和行政犯外，还有以下相似之处：

其一，设立了基本的和特殊的非法侵入计算机信息系统犯罪。《美国联邦法典》第1030条（a）（3）规定的非法侵入国家计算机信息系统罪与我国《刑法》中的非法侵入计算机信息系统罪相似，但前者规定有重罪类型，处罚未遂犯，刑罚“轻轻重重”和犯罪人刑罚的特点突出。二者规定的特殊的侵入计算机信息系统犯罪都要求行为人侵入计算机信息系统后，有进一步的危害行为，《美国联邦法典》1030条a（1）（2）（4）规定的三罪的后续行为与我国《刑法》第285条第2款规定相同，都是非法获取计算机数据或者非法使用（控制）计算机信息系统资源。

其二，保护所有领域计算机信息系统的犯罪立法。我国《刑法》第285条第1款和第2款结合在一起，为所有领域的计算机信息系统提供刑法保护。前述美国第1030条（a）（2）保护的计算机信息系统也没有限制，只要被获取的信息是美国国家部门或机构的、受保护的计算机中的信息或者是金融机构或消费者报告机构的金融记录即可，包括为美国政府及相关机构提供一般或特殊网络服务的各互联网公司或个人的计算机信息系统，都可以成为该罪的保护对象。

前述美国犯罪立法在司法实践中出现较多争议，其处理方式对我国相关立法和司法具有参考价值，尤其表现在以下两方面：

一方面，关于“违反国家规定”的认定。我国《刑法》第285条规定的“违反国家规定”属于开放的构成要件。以其他法律法规为判断依据，在司法实践中是以行为人是否获得计算机信息系统权利人的合法授权为判断依据，但没有考虑“未经授权”和“超越授权范围”的区别。前述美国犯罪立法将“未经授权”或“未经授权或超越授权范围”规定为犯罪成立的条件，其司法实践中对“授权”的判断标准及其执行情况值得我国司法机关参考。详述如下：“未经授权”是指行为人在未被授权的情况下，采取非法手段取得计算机信息系统的访问权。争议的焦点是，当已被授权访问计算机信息系统的行为人违反了对授权方的忠诚义务，是否满足“未经授权”？美国有民事法庭持肯定的立场，认为即使授权方尚不知情也未取消其访问计算机信息系统的授权，“未经授权”也成立。①Int’l Airport Ctrs.，LLC v.Citrin，440 F.3d 418，420，421（7thCir.2006）；Shurgard Storage Ctrs.，Inc.v.Safegurad Self Storage，Inc.，119 F.Supp.2d 1121，1125（W.D.Wash.2000）.持否定立场的判决则认为，只有授权方撤销了行为人的访问授权才能满足“未经授权”，“未经授权”取决于授权方的行动而非被授权方违反其忠诚义务。②LVRC Holdings LLC v.Brekka，581 F.3d 1127，1133，1134（9thCir.2009）.持后者立场的法庭较多，对有授权访问计算机信息系统的所谓内部人员一般考虑其是否在“超越授权范围”内而非“未经授权”。关于“超越授权范围”，《美国联邦法典》第18编第1030（e）（6）将其规定为“在获得授权情形下访问计算机信息系统，利用该访问获取或者改变计算机信息系统中的、对访问者未授权获取或改变的信息”③18 U.S.C.S.1030（e）（6）.。如果被授权者出于不正当的目的访问计算机信息系统，是否属于“超越授权范围”？以上行为分为三种情形：（1）授权方禁止被授权者出于不正当目的访问计算机信息系统；（2）被授权方出于不正当目的使用授权方数据的行为，为授权方事先禁止，但授权方未调整对其授权；（3）第（2）情形中的使用行为虽未被授权方禁止，但违反了授权方的利益。在美国司法实践中，一般认为第一种情况构成超越授权范围；④United States v.John，597 F.3d 263，272（5thCir.2010）.对第二种情况争议较大，因为前述法条将“超越授权范围”限定为“获取或者改变计算机信息系统中的、对访问者未授权获取或改变的信息”，行为人获取被授权获取的数据不违反该规定，同时，其将经授权获取的数据用于授权人禁止的目的，不属于违反该法条的“获取或改变”行为，因此，不少法庭认为其不构成“超越授权范围”；⑤Int’l Ass’n of Machinists and Aerospace Workers v.Werner-Masuda，390 F.Supp.2d 479，498，499（D.Md.2005）.对于第三种情况，有些法庭认为其行为实质上违背了对授权方的忠诚义务、损害了后者的利益，与授权的内容相背离，从而认为其符合“超越授权范围”的条件。⑥Motorola，Inc.v.Lemko Corp.，609 F.Supp.2d 760，767（N.D.Ill.2009）.对此，美国不少法庭予以反对，认为即使是行为人出于不正当的目的，也不符合“超越授权范围”的规定。⑦Bell Aerospace Service，Inc.v.U.S.Aero Services，Inc.，690 F.Supp.2d 1267（M.D.Ala.2010）.

另一方面，对非传统价值物的专门保护。网络社会产生了许多新社会活动和新形式财富，它们多数仍处于传统犯罪立法的“张力圈”内，相关涉罪行为可以依据我国《刑法》第287条的规定定罪处罚。但是，有些行为和对象“跳出了构成要件的张力圈”，过度扩张解释传统犯罪立法违反罪刑法定原则。例如，当前我国刑法学界争论的热点问题之一是能否将秘密获取网络虚拟财产的行为认定为盗窃罪，焦点在于网络虚拟财产可否解释为盗窃罪的财物。对此，在理论研究和司法实践中不乏持肯定立场者〔9〕，所持观点与美国20世纪七八十年代延伸适用刑法的观点相似，未摆脱传统教义学的时代桎梏。我国《刑法》中的非法获取计算机信息系统数据罪立法虽然在一定程度上可以解决前述问题，但是没有正确反映前述行为以欺诈手段获取非法利益的特征，也没有解决数据资源的刑法属性问题。《美国联邦法典》第1030条（a）（4）设立了为诈取财物侵入计算机信息系统并获取利益罪，将以上非传统价值物定性为范围更广泛的“利益”，以此来保护非传统价值物，解决了传统法律适用困难和理论纷争，对我国解决前述问题有借鉴价值。

（二）破坏计算机信息系统犯罪立法

我国《刑法》第286条规定了破坏计算机信息系统罪，第285条第2款规定的非法控制计算机信息系统行为，在严重影响计算机信息系统正常运行时，广义上也属于破坏计算机信息系统行为。《美国联邦法典》第1030条（a）（5）（7）规定了破坏计算机信息系统罪和威胁破坏计算机信息系统罪①《美国联邦法典》第1030条（a）（5）规定了破坏计算机信息系统罪，包括三种犯意状态下的破坏计算机信息系统犯罪，分别为：（1）明知（knowingly）会引起向受保护的计算机信息系统发出程序、信息、代码或前述行为的后果，蓄意（intentionally）未经授权使受保护的计算机信息系统受到损害；（2）蓄意（intentionally）未经授权侵入受保护的计算机信息系统，并轻率（recklessly）地引起损害；（3）蓄意（intentionally）未经授权侵入受保护的计算机信息系统，并疏忽导致损害或损失，符合法定后果的行为。《美国联邦法典》第1030条（c）（4）规定了有六种引起加重刑罚的情节，为在一年内导致至少6000美元的损失、对医疗服务造成实际或者潜在影响、对人身的物理损害、对公共健康或安全的威胁、对用于司法、国防或国家安全管理中的计算机信息系统的损害、在一年内对至少10台受保护的计算机信息系统的损害性影响。《美国联邦法典》第1030条（a）（7）规定了威胁破坏计算机信息系统罪，是指出于勒索目的在州际或国际商务中发出包含勒索内容的通信，勒索内容是以未经授权或者超越授权范围获取受保护的计算机信息系统中的信息或损害通过以上方式获取的信息的保密性相威胁，索要金钱或其他有价值物。，第1362条规定了干扰美国国家通信罪，该二罪是破坏特殊计算机信息系统犯罪。②《美国联邦法典》第1362条规定了干扰国家通信罪，是指蓄意或恶意干扰、破坏、阻扰美国所有或者使用的用于通信目的的计算机信息系统的行为，包括三种选择性行为：一是损害或者破坏任何无线电、电报、电话或电缆、线路、电台或系统或其他形式通信的工程、财产或材料，该通信由美国运作或者控制，或者用于或准备用于军事或者美国国防功能，无论其已经建成或是处于建设中；二是以任何方式干扰前述线路或系统的工作或使用；三是阻扰、妨碍或延迟任何前述线路或系统上的任何通信传输。该罪的犯罪对象范围广泛，包括私人所有的线路和系统，即使其不是排他性地用于军事或国防用途，也属于该罪的对象，互联网服务提供者向政府提供通信服务的，其通信线路和系统属于该罪的犯罪对象。除了设立的破坏计算机信息系统犯罪数量不同、法定刑轻重各异，二者的差别主要表现为以下三方面：其一，犯罪类型。我国刑法规定的破坏计算机信息系统罪是故意犯，而美国刑法中的破坏计算机信息系统罪包括三种犯罪心态，即故意、轻率和过失；其二，犯罪对象。我国刑法中的破坏计算机信息系统犯罪的犯罪对象没有范围限制，而美国刑法规定的破坏计算机信息系统犯罪保护的计算机信息系统范围狭窄。《美国联邦法典》第1030条（a）（5）（7）所规定之罪的犯罪对象是法定受保护的计算机信息系统，第1362条规定的干扰国家通信罪的犯罪对象是为美国国家提供通信服务的计算机信息系统；其三，危害后果。我国《刑法》中的破坏计算机信息系统罪是结果犯，在司法实践中要求《刑法》第286条的三款规定的行为都必须“影响计算机信息系统正常运行”，并造成严重后果。③2020年12月31日，最高人民法院发布第26批指导性案例，其中张竣杰等非法控制计算机信息系统案的判决书认为，构成破坏计算机信息系统罪必须影响计算机信息系统正常运行，并产生相应的严重后果。《美国联邦法典》第1030条（a）（7）和第1362条规定的犯罪是行为犯。第1030条（a）（5）规定的犯罪是结果犯，第一种行为必须是蓄意导致受保护的计算机信息系统的损坏后果，第二种、第三种行为没有明确规定导致受保护的计算机信息系统损坏，但是第二、三种行为的主观心态是轻率和疏忽大意的过失，比第一种行为的主观恶性更弱，而三种行为适用相同的法定刑，后两种行为的入罪门槛没有理由反而更低，故该罪三种犯罪行为都只能是结果犯。

前述美国犯罪立法有以下几点值得借鉴：其一，将故意非法侵入但过失导致计算机信息系统损害后果的行为犯罪化。美国刑法中的破坏计算机信息系统罪处罚蓄意未经授权侵入计算机信息系统，因疏忽大意导致损害后果的行为。如果这种情形发生在我国，即使造成特别严重的后果，也不构成犯罪。笔者认为，前述行为的社会危害性严重，其主观恶性并不小，有必要追究刑事责任，我国可以借鉴前述美国立法，处罚故意非法侵入计算机信息系统、过失导致计算机信息系统不能正常运行且后果严重的行为。其二，积量构罪条件。①所谓积量构罪是对特定网络犯罪的罪行构造特征的描述，其危害行为在单次实施时只具有较低的社会危害性，与一般行政违法行为没有差别，多表现出未遂犯、帮助犯行为的特性，是通过利用信息网络大量实施，形成整体的累积危害后果或者危险，达到应处刑罚的严重程度。具有积量构罪特征的网络犯罪与传统犯罪中的累积犯相似但不相同，后者危害行为的社会危害性较严重，累积犯危害行为实施次数远低于积量构罪的网络犯罪，而前者需要利用信息网络的技术特性，低成本、大数量级、自动对不特定公众实施，通过积微成巨达到犯罪的严重危害程度。我国《刑法》中的非法利用信息网络罪、帮助信息网络犯罪活动罪与拒不履行信息网络犯罪活动罪具有积量构罪特征。详见皮勇：《论新型网络犯罪立法及其适用》，《中国社会科学》2018年第10期。《美国联邦法典》第1030条（a）（5）规定了六种加重处罚情节，其中包括“在一年内导致至少6000美元的损失”“在一年内对十台受保护的计算机信息系统的损害性影响”等积量情节，这些规定符合此类犯罪的实际情况，对认定破坏计算机信息系统犯罪的损害后果具有重要作用。我国刑法第286条及其司法解释中规定了“后果严重”“情节严重”等犯罪成立条件，相关评价标准较为传统。笔者认为，对这些条件的认定可以借鉴前述美国立法规定，在相关司法解释中设立积量构罪的认定规则。

（三）非法提供设备犯罪立法

中美刑法都设立了非法提供密码、程序类设备犯罪，以刑法手段打击间接侵犯计算机信息系统安全的行为。《美国联邦法典》第1030条（a）（6）规定了提供密码类设备罪，该罪是指明知并出于欺诈意图提供计算机密码或类似信息，其用途是未经授权侵入某一计算机信息系统，该行为影响了美国州际或国际商务，或者所提供物针对的是美国联邦政府使用的或者为其服务的计算机系统。该罪的提供行为是指向他人移交或以其他方式处置，或者为了向他人移交或以其他方式处置而取得控制的行为②18 U.S.C.S.1029（e）（5）.，如果不是出于向他人移交或者以其他处置的方式单纯持有密码行为不构成该罪。该罪的犯罪对象主要是密码，也可以是指引获取计算机信息系统访问权、与密码具有相同防护作用的其他信息，如用于验证用户访问计算机信息系统的代码、用户名、通行语及其他方法，或者与前者的组合。③S.Rep.No.99-432,at 13（1986），reprinted in 1986 U.S.C.C.A.N.2479,2491.我国《刑法》第285条第3款规定了与之相似的为侵入、非法控制计算机信息系统非法提供程序、工具罪。

前述两国犯罪立法的主要差别是犯罪对象。前述美国犯罪立法的犯罪对象为未经授权侵入计算机信息系统的计算机密码或类似信息，不包括避绕验证程序的后门程序和木马程序。然而，后门程序和木马程序同样能给计算机信息系统造成严重威胁，并且是当前美国主要的安全威胁，如“僵尸网络”病毒和木马程序。美国是欧洲理事会《网络犯罪公约》的缔约国，该公约第6条规定了滥用计算机设备罪（Abuse of Devices）④欧洲理事会《网络犯罪公约》第6条规定的滥用设备罪，是指为了实施非法侵入、拦截通信、干扰计算机数据和破坏计算机信息系统犯罪，故意实施生产、销售、采购、持有主要为实施前述四种犯罪而设计或改制的计算机程序、借以进入计算机系统的计算机密码、访问代码或者其他相似计算机数据的行为。详见皮勇：《〈网路犯罪公约〉中的犯罪模型与我国大陆网路犯罪立法比较》，《月旦法学杂志》（台北）2002年第11期。，美国对该条采取了保留立场，只将用于未经授权侵入他人计算机信息系统相关部分危害行为规定为犯罪。相比于前述美国犯罪立法，前述我国犯罪立法中的犯罪对象为程序和工具，包括专用于侵入、非法控制计算机信息系统的程序、工具和非专用程序、工具，后者必须是明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供，下游违法犯罪行为不限于侵入行为，规制的危害行为范围更宽。

虽然如此，前述我国犯罪立法对计算机信息系统安全的保护也不完善，存在以下问题：

其一，犯罪对象。相较于侵入、非法控制计算机信息系统行为，破坏计算机信息系统行为的危害更严重，为其提供前述程序、工具行为的社会危害性更大，犯罪立法举轻以明重，更应当犯罪化，而我国刑法并没有将破坏计算机信息系统规定为该罪的下游违法犯罪。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第6条规定，“提供计算机病毒等破坏性程序十人次以上的”，构成《刑法》第286条第3款规定的“后果严重”，可以将其认定为破坏计算机信息系统罪。①《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第6条将向他人“提供”破坏性程序解释为刑法第286条第3款规定的直接影响计算机系统正常运行的“制作、传播”行为。如此解释看似能够弥补《刑法》第285条第3款规定的不足，其实并没有起到这种作用，这是因为行为人向他人提供的程序、工具可以是源文件或者其他非执行代码，而前述解释第6条规定的“提供计算机病毒等破坏性程序”，如果只是源程序，就不可能直接“影响计算机系统正常运行”，不能构成破坏计算机信息系统罪。因此，该条解释的规定无法涵盖此情形，不能弥补《刑法》第285条第3款立法的不足。

其二，危害行为。该罪行为是提供行为，制作、贩卖、转售以上程序、工具都不构成该罪。在实际生活中，后者活动已经独立化、产业化，它们共同组成侵犯网络安全的黑灰产业链，是网络犯罪得以实施的前提条件和关键工具。如境外恐怖主义内容信息之所以能传入我国，虚拟机服务、翻墙软件等程序与工具发挥了关键作用。而且，以上行为不只是创造条件，还能引发下游行为人的犯罪意图。鉴于此类技术性工具对网络犯罪的巨大支持和诱发作用，为了更好地保护我国网络安全，我国该罪立法不应当对标前述美国犯罪立法的“低标”，而应借鉴《网络犯罪公约》的相关规定②欧洲理事会《网络犯罪公约》第6条要求缔约国将生产、销售、为投入使用而采购、进口、分发或者其他使其可为他人获得、持有用于侵犯计算机数据和信息系统安全的特殊物品的行为规定为犯罪。详见Convention on Cybercrime of Europe of 23.11.2001（ETS No.185），Explanatory Report，no.71-78。，将该罪行为扩展为“制作、销售、分发、提供、为投入使用而采购、进口、持有”行为，并将下游违法犯罪扩展为“侵入、非法控制、破坏计算机信息系统以及其他严重违法犯罪”。

三、美国网络相关犯罪立法给我国的借鉴

根据我国《刑法》第287条规定，利用计算机实施盗窃、诈骗等犯罪的，依照刑法相关规定定罪处罚。换言之，对于利用计算机、互联网实施的犯罪，多数可以适用传统犯罪立法，这在美国刑法适用中也是相同的。但是，前文分析过，有些网络相关犯罪不适合按照传统犯罪定罪处罚，需要设立独立的犯罪，中美刑法中都有此类独立的网络相关犯罪立法，以下对其进行比较分析。

（一）身份盗窃犯罪立法

中美两国重视对个人信息的刑法保护，都规定了侵犯个人身份的犯罪。《美国联邦法典》规定了两种身份盗窃犯罪，分别是第1028条（a）（7）规定的身份盗窃罪③《美国联邦法典》第1028条(a)(7)规定的身份盗窃罪，是指明知未经合法授权而转移、持有或者使用他人的识别方法信息，意图实施、帮助、教唆或者关联到违反联邦法律的不法行为或者依据有效的州法律或者地方法律构成重罪的行为。该罪中的“他人（person）”包括行为时在世和已经去世的人。“识别方法信息（means of identification）”是指可以被用于独立或者与其他信息结合识别特定人的任何名字或数字，包括但不限于：（A）姓名、社会保险号码、出生日期、国家或政府颁发的官方驾驶执照或身份证号码、外国人登记号码、政府护照号码、雇主或纳税人身份证号码；（B）独特的生物识别数据，如指纹、声纹、视网膜或虹膜图像，或其他独特的物理表征；（C）唯一的电子识别号码、地址或路由代码；（D）电信识别信息或接入设备。美国司法界对于唯一识别符如社会信用号码属于识别方法信息基本没有不同意见，但对于名字、生日等非唯一识别符能否单独被视为“识别方法信息”存在较大的争议。部分法庭认为，只要该信息有与其他信息结合在一起识别特定人的潜在能力，即使不能单独完成唯一识别，也属于“识别方法信息”；而持反对立场的法庭认为应限于实际被用于结合其他信息识别特定人的信息。和第1028A条规定的加重的身份盗窃罪。④《美国联邦法典》第1028A条规定的加重的身份盗窃罪是指在犯《美国联邦法典》第1028A条（c）款和第2332b条(g)(5)(B)项所列的重罪行为期间和在与之有关的情况下，未经合法授权，明知而转移、持有或使用他人身份证明方法信息的行为。该罪的构成要件与身份盗窃罪大多相同，只是该罪发生在前述犯罪期间或者与之有关联。身份盗窃犯罪对应于我国刑法中的侵犯个人信息犯罪，我国《刑法》中规定了两种侵犯个人信息的犯罪，分别是《刑法》第253条之一规定的侵犯公民个人信息罪、第177条之一规定的侵犯个人信用卡信息罪。中美前述犯罪立法既有相似之处，也有明显的差别，除了在犯罪立法体系等方面，二者区别主要有：

1.犯罪对象。我国前述犯罪立法中的犯罪对象是公民个人信息和个人信用卡信息资料。相关司法解释将公民个人信息定义为“以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”，并按照重要性程度将其分为三类，规定了相应的入罪标准。后者是在个人信用卡业务活动中应用的特殊个人信息，不仅能识别特定自然人身份，也能反映其特殊的金融活动。《美国联邦法典》第1028条（a）（7）规定的“他人的识别方法信息”没有区分个人信息的种类，且限于单独或者与其他信息结合识别特定自然人身份的信息。相比之下，我国前述犯罪立法及其司法解释对公民个人信息的保护更全面、细致。

2.危害行为。我国《刑法》第177条、第177条之一和第196条处罚信用卡相关违法犯罪，其中的第177条之一处罚窃取、收买或者非法提供他人信用卡信息资料行为，第177条和第196条处罚使用以上信用卡信息伪造信用卡、使用伪造的信用卡等行为，对非法使用信用卡信息行为及其邻接行为处罚更重。而侵犯公民个人信息罪未将使用个人信息行为规定为危害行为，该罪危害行为限于窃取或以其他方式获取、出售或者提供公民个人信息。前述美国两罪立法规定的危害行为是转移、持有和使用他人的识别方法信息行为，不包括非法获取行为。但是，其中的持有行为近似于我国刑法中相关犯罪的部分非法获取行为。相比之下，中美两国相关犯罪立法处罚的危害行为各有侧重，前者打击的重点是侵犯公民个人信息犯罪的中上游行为，而后者的重点则在中下游行为。

3.主观方面。美国刑法规定的身份盗窃罪是故意犯罪，并且有特定犯罪意图，如果只是为了本人或者他人的合法活动，转移、持有和使用他人的识别方法信息不构成犯罪。前述我国规定的犯罪也是故意犯罪，但不要求有特定的犯罪目的，只要“违反国家有关规定”，即使不是用于违法犯罪活动的非法获取、提供公民个人信息行为也可以构成该罪。相比之下，前述美国犯罪立法规制的行为范围更窄。从立法效果看，前述美国犯罪立法既为合法使用个人信息提供了较宽松的法律空间，也严厉打击为了实施不法活动的使用行为，较好地兼顾了个人信息保护和合法利用两方面的利益，而前述我国犯罪立法能全面地打击非法获取和提供个人信息行为，但不能处罚非法使用个人信息的行为，包括出于非法目的的使用。

4.犯罪类型。我国《刑法》中的侵犯公民个人信息罪是情节犯，第177条之一规定的妨害信用卡管理秩序罪则是行为犯，窃取、收买和提供信用卡信息一条即构成犯罪，数量多或情节严重的，构成重罪。前述美国刑法规定的两种身份盗窃犯罪都是行为犯，如果具有加重情节的，加重处罚，这些加重情节主要是依据非法获利数额和支持了其他违法犯罪，其中的非法获利情节具有积量特征，一年非法获取超过5000美元的有价值物的，即可认定。

根据以上分析，可以发现前述美国犯罪立法存在不足。例如，将持有他人的识别方法信息规定为犯罪，却不处罚更严重的非法获取行为。再如，故意移交、持有和使用以上信息，必须具有实施、帮助、教唆或者关联到一定的不法犯罪行为的意图，限制了该罪处罚的范围，过度放纵了为了商业利用或者非公共利益目的的未经授权获取、持有、移交和使用的行为。但是，前述美国犯罪立法处罚非法使用他人身份识别方法信息，值得我国相关犯罪立法借鉴。

当前我国保护个人信息的规定散见于民法、行政法和刑法中，对非法使用个人信息的行为规制不合理。《网络安全法》等法律法规仅禁止网络运营者非法使用个人信息，却未禁止其他单位和个人的相同行为。侵犯公民个人信息罪也不处罚危害更直接、严重的非法使用个人信息行为。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条看似要求处罚为合法经营活动而非法购买、收受个人信息行为，实则为该行为入罪设置了难以跨越的门槛，原因是在司法实践中查证“利用非法购买、收受的公民个人信息获利五万元以上”几乎是不可能的，难以追究行为人的刑事责任。此外，在“侵犯公民人身权利、民主权利罪”一章中设置侵犯公民个人信息罪，没有正确反映该罪立法保护法益的公共性。个人信息安全不只影响个人权利，也关系到国家利益和社会利益，因此，《网络安全法》等行政法律设立了个人信息安全管理制度，在司法层面，只有极少数侵犯个别个人信息的侵犯公民个人信息罪案，绝大多数案件中侵犯的个人信息数以万亿计，表明该类犯罪侵犯法益的公共性。因此，侵犯公民个人信息罪的主要客体应当是个人信息安全管理秩序，而不是公民人身权利，该罪的核心行为是非法利用个人信息行为，直接危害或威胁个人合法权利、社会和国家利益，应规定为违法行为。

我国应当在适当平衡个人信息保护和合法利用的基础上，对公民个人信息给予全面的刑法保护。建议将《刑法》第253条之一整体移至“扰乱公共秩序罪”章中，将该罪危害行为扩展，使之包含非法使用个人信息行为。同时，对《网络安全法》第44条作相应修改，明确禁止非法利用个人信息。①具体法条设计建议如下：将《刑法》第253条之一整体移至“扰乱公共秩序罪”中，设为第287条之三，在该条第3款和第4款之间增加一款：“违反国家有关规定使用个人信息，情节严重的，依照第一款的规定处罚，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”详见皮勇：《论中国网络空间犯罪立法的本土化与国际化》，《比较法研究》2020年第1期。

（二）网络诈骗犯罪立法

我国刑法没有设立专门的网络诈骗犯罪，根据《刑法》第287条规定，利用计算机实施金融诈骗等其他犯罪的，依照刑法有关规定定罪处罚，与之相关的是我国《刑法》第287条之一和之二的规定。美国刑法规定了较多种类的诈骗犯罪，但是，这些诈骗犯罪规定难以适用于部分网络诈骗犯罪，因此，《美国联邦法典》设立了一些独立的计算机相关诈骗犯罪，分别是第1029条规定的利用访问设备诈骗罪②《美国联邦法典》第1029条规定了利用访问设备诈骗罪，是指明知并出于欺诈的意图，实施法定的与访问设备相关的行为，影响州际或国际经济活动。该罪中的犯罪对象是任何卡、盘、代码、账号、电子序列号、移动识别号、个人识别号或其他电信服务、设备或仪器识别号，或可单独使用或与其他接入设备一起使用的其他账户接入方式，以获取资金、货物、服务或任何其他有价值的物品，或可用于启动资金转移的物品（仅由票据发起的转移除外），但是限于可以访问计算机信息系统中账户的设备，没有扩展至涉及有价物转移的所有设备形式。该罪的危害行为主要是与邮件相关的诈骗和涉卡类诈骗行为，主要是行为犯，只需行为人实施了前述欺诈行为即可，部分行为要求有非法所得，可以是一定数额的任何有价值物，并不限于钱款和财物。该罪行为还必须影响州际或国际经济往来，至少产生了明确的、具体的影响，而无需证明构成了实质的影响。主观上是明知的故意，并出于欺诈的意图，但不限于诈骗财物的意图。犯该罪未遂的，比照既遂犯处罚；谋议实施该罪的，比照既遂犯减半处罚。、第1030条（a）（4）规定的为诈取财物侵入计算机信息系统并获取信息罪、第1037条规定的电子邮件相关欺诈及关联行为罪③《美国联邦法典》第1037条规定了电子邮件相关欺诈及关联行为罪是指明知而故意实施电子邮件欺诈及关联行为，影响州际或者国际经济活动，符合法定情节的行为。该罪的危害行为是隐匿、进行重大篡改邮件识别信息，或者在邮件信息的来源上欺骗、误导信息接收者，发送多条邮件的行为。该罪规定中的“多条”是指在24小时内累计100条以上，或者30天内累计1000条以上，或者1年内累计10000条以上。以上行为必须是在州际或者国际经济活动中实施，或者影响到州际或者国际经济活动。主观上是出于明知的故意，具有在邮件信息的来源上欺诈或误导他人的意图。阴谋实施该罪的，比照实行犯处罚。，以及第1343条规定的电信诈骗罪。④《美国联邦法典》第1343条规定了电信诈骗罪，是指制定诈骗或通过虚假表述的方式获取钱物的计划，并通过电信方式在州际或国际经济活动中发送信息以实现该计划的行为。主观方面是蓄意，对其利用电信通信实施的方法有明确的认识，并有诈取他人钱财的目的。虽然在行为性质上都属于诈骗性质的犯罪，但前述中美犯罪立法规定的罪状差别大，特别是客观条件，仅在立法结构和部分构成条件上具有相似性，分述如下：

1.《美国联邦法典》第1029条规定的利用访问设备诈骗罪具有间接侵犯法益和积量构罪的特征，将在互联网环境下独立生存的中间性犯罪规定为独立犯罪，与我国《刑法》中的帮助信息网络犯罪活动罪相似。

首先，二者具有相同的罪行结构，都是为他人实施犯罪提供帮助、支持，或者实施与之相关的行为，不直接侵犯他人财产权等下游犯罪侵犯的法益。这些行为不依赖于下游犯罪，能够在犯罪产业链中独立生存，是一种中间性的独立犯罪。对比二者规定的危害行为，帮助信息网络犯罪活动罪不限于处罚访问设备相关行为，而是一切与信息网络犯罪相关的帮助、支持行为，犯罪边界要宽于利用访问设备诈骗罪。

其次，二者都具有相同的积量构罪特征。帮助信息网络犯罪活动罪的危害行为比下游犯罪行为的社会危害性更小，是间接侵犯法益的帮助性质行为，通常需要符合积量构罪条件才能成立犯罪。利用访问设备诈骗罪的危害行为也具有前述特征，也规定了积量构罪条件，如一年内获得累积价值1000美元及以上的任何物，以及持有15个或者更多伪造的或者未经授权的设备等积量条件等。这些犯罪成立条件与我国《最高人民法院最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第12条规定的入罪情节基本相当。

帮助信息网络犯罪活动罪与利用访问设备诈骗罪都是故意犯罪，并有特定犯罪目的。利用访问设备诈骗罪要求有广义上的欺诈意图，与下游犯罪没有犯意联络，不符合共同犯罪的主观条件，该罪具有独立性。帮助信息网络犯罪活动罪在主观方面不限于欺诈的犯罪意图，但要求明知下游犯罪人利用信息网络犯罪。不过从司法实践看，行为人可以是片面帮助犯的主观心态，独立性比前者弱。但是，前述解释第11条对“明知”规定了推定规则，“交易价格或者方式明显异常的”“经监管部门告知后仍然实施有关行为的”“接到举报后不履行法定管理职责的”等都可以认定为“明知”，避绕了“明知他人犯罪”的主观构成要件要素限制，放松了该罪与下游信息网络犯罪的犯意联系要求，使该罪在司法实践中具有独立性。

综上所述，中美刑法对信息网络环境下的独立的、中间性的、低危害性活动都采取独立犯罪化的立场，设置了积量构罪的情节要件，表明该罪立法不是我国刑法的“创新”，而是信息发达国家的共同做法。同时，美国刑法规定的利用访问设备诈骗罪处罚更为严厉，而我国刑法规定之罪的最高法定刑为三年有期徒刑，作为轻罪和兜底罪，我国刑法的介入要谨慎得多。

2.《美国联邦法典》第1037条规定的电子邮件相关欺诈及关联行为罪与我国刑法中的非法利用信息网络罪的构成特征相似，规定了相似的危害行为和积量构罪要件。

非法利用信息网络罪规定了三种危害行为，即设立用于违法犯罪活动的网站或通讯群组、为实施违法犯罪活动发布信息、发布违法犯罪信息。美国刑法规定的电子邮件相关欺诈及关联行为罪是伪造、隐匿或者以其他方式在电子邮件信息的来源上欺骗或者误导他人的行为，即使电子邮件信息的内容是合法的，也可以构成该罪。从罪状上看，两罪规定的危害行为差别明显，前者发送的信息内容具有违法性，或者为发送违法内容信息创造条件，而后者则是电子信息发送行为本身具有违法性，不要求信息内容具有违法性。

但是，二者规定的罪行结构有诸多相似之处，如都与发送电子信息相关、不直接侵犯下游犯罪的法益、只有较低的社会危害性、规定了积量构罪条件、都属于中间性的独立犯罪。根据《新型网络犯罪解释》第10条规定，非法利用信息网络罪的犯罪情节大多是积量构罪情节，如实施违法犯罪活动网站的注册账号数、在网站上发布违法犯罪有关信息数量、接收违法犯罪信息的用户账号数或群组成员数、违法所得一万元以上等。与之相似的是，前述美国电子邮件相关欺诈及关联行为罪立法规定的“多条”要件和加重处罚条件也是积量要件，以一定时间内累计发送的电子邮件数量，或者以一年时间内导致他人损失或者非法获得任何有价值物的金额，来评价该罪行为的累计危害量。

3.《美国联邦法典》第1343条规定的电信诈骗罪与我国刑法中网络化的传统诈骗犯罪相似，与我国《刑法》第287条之一第（三）项规定的“为实施诈骗等违法犯罪活动发布信息”也有一定相似之处。二者的区别是，我国刑法中的诈骗犯罪主要是结果犯，非法利用信息网络罪主要是积量构罪结构的情节犯，而美国刑法中的电信诈骗罪则是行为犯，且法定刑要严厉得多。

鉴于中美两国刑法中的前述犯罪立法都采用了积量构罪构造，至少可以认为，积量构罪的罪行构造是适合于网络犯罪的成熟罪行构造。积量构罪的罪行构造不是我国刑法的独创，美国刑法早已采纳了该种犯罪立法模式，并将其规定为重罪，而我国刑法出于谨慎的考虑，仅将其规定为兜底性质的轻罪，未来我国有必要考虑对情节特别严重的行为设立更重的刑罚。笔者认为，针对网络犯罪的新特点，借鉴前述美国犯罪立法的成功经验，设立积量构罪模式的独立网络犯罪，对部分网络化的传统犯罪设立行为犯，应当成为未来我国网络犯罪立法的常态选择。

（三）侵犯通信犯罪立法

当前通信大多与计算机、互联网相关，信件也衍生出电子邮件和实时短信形式，侵犯通信犯罪立法可以规制部分与计算机通信相关的网络犯罪行为。我国《刑法》第252条规定的侵犯通信自由罪，该罪的危害行为是隐匿、毁弃或者非法开拆他人信件，可以规制非法截取电子邮件以及其他电子形式的电子通信内容的行为。《美国联邦法典》规定了拦截通信罪①《美国联邦法典》第2511条（1）（a）规定了拦截通信罪，是指蓄意拦截、试图拦截，或者促使他人拦截或试图拦截任何有线、口头或电子通信的行为。互联网系统能影响州际或国际商务的要求，符合以上“电子通信”定义的要求。这里的“拦截”是指“通过使用任何电子的、机械的或者其他设备，以听觉及其他方式取得任何有线的、电子的或者口头通信的内容”，对于在拦截过程中是否获悉通信内容以及拦截行为是否与通信同步发生，美国司法实践中存在争议。犯罪对象是有线、口头或者电子通信的内容，即“与任何有线、口头或者电子通信相关的，包括通信的实质、主旨或者含义”，不包括识别通信方以及通信发生的信息。行为人主观上是蓄意，即以明知或者有目的的心态，有意识地实施截取通信的行为或追求其行为结果，不论行为人出于何种动机以及是否知道其行为触犯法律。、披露拦截的通信罪②《美国联邦法典》第2511条（1）（c）规定了披露拦截的通信罪，是指明知或者有理由知道信息是通过违反第2511条（1）规定的拦截有线、口头或者电子通信获得的信息，将任何有线、口头或者电子通信的内容蓄意披露、试图披露给他人的行为。行为人实施的是披露通信实际内容行为，如果披露的通信内容只是公开信息或者常识，不属于该罪行为。行为人对披露行为是蓄意，并且明知或者有理由知道披露的信息是通过违反该条规定拦截通信所获得，误以为他人获得授权拦截通信的，可以阻却犯罪故意。、使用拦截的通信罪③《美国联邦法典》第2511条（1）（d）规定了使用拦截的通信罪，是指明知或者有理由知道信息是通过违反第2511条（1）规定的拦截有线、口头或者电子通信获得的信息，蓄意使用、试图使用以上通信内容的行为。“使用”拦截通信的内涵较为广泛，但必须是基于一定目的积极利用违法拦截的通信内容，而不能是单纯地听拦截的通信内容。、非法访问存储的通信罪④《美国联邦法典》第2701条规定了非法侵入存储的通信罪，是指未经授权或者超越授权范围蓄意访问提供电子通信服务的设备，并获取、修改该系统中的处于电子存储的有线或者电子通信，或者阻止获得授权者对其访问的行为。这里的访问设备，通常是指登录服务器系统，访问对象是提供电子通信服务的设备。这里的电子存储，根据《美国联邦法典》第2510条（17）的定义，是指“（A）附带于以电子方式传送的有线或电子通讯的任何临时的、中间性的存储；及（B）由电子通讯服务为该通信提供后备保护而对该通信所做的存储”。一种观点认为，电子邮件只有在传输中的中间点并未被其预期的接收者检索到的情况下，电子邮件或者语音邮件的备份才是处于“电子存储”中，当其被接收者检索到，该通信就到达了目的地。接收者选择在服务提供者的系统中保留通信的备份的，该备份不再是处于“电子存储”中，因为其既不是附属于电子通信的临时的、中间性的存储，也不是通信的备份，应当被视为用户存储的其他材料，受《美国联邦法典》第18编第2702条的保护。另一种观点扩大“处于电子存储”的范围，认为邮件信息无论是否被访问过都属于处于电子存储中，被开启过的邮件不属于前述第2510条（17）（A）规定的处于“临时的、中间性的存储”，但属于第2510条（17）（B）所规定的“备份”。，也能适用于侵犯电子通信的犯罪行为。

中美两国刑法规定的侵犯通信犯罪既有相似之处，也有显著差别。我国刑法规定的前述犯罪原本针对传统通信方式，罪状简单、不限定犯罪对象和犯罪手段，将其扩展适用于侵犯网络通信犯罪没有法律障碍。美国刑法规定前述犯罪明确规定保护电子通信，针对电子通信是否实时、通信内容信息的存储状态规定了不同的犯罪，罪状规定得更为细致，犯罪行为范围更宽，还扩展到后续的披露、使用拦截的通信内容行为，处罚也更重。不过，也因为前述美国犯罪立法规定具体、细致，在司法适用中遇到较多的疑难问题时，存在不同的处理观点，这反映了美国社会高度重视保护通信自由和通信秘密，同时也避免过于宽泛地打击通信相关犯罪，阻碍信息社会的正常发展。

对比前述二者犯罪立法，我国《刑法》规定的侵犯通信自由罪与美国刑法中的非法侵入存储的通信罪相似。前者的“隐匿、毁弃或者非法开拆他人信件”行为可以涵盖非法侵入计算机信息系统后，读取、转移、删除他人的电子邮件以及其他电子通信信息行为，与后者规定的危害行为基本相同。如果对我国刑法中的邮件做扩张解释，前者行为可以扩展解释为对实时计算机通信内容信息的复制、拦截，则与美国刑法规定的拦截通信罪的拦截电子通信行为相似。不过，前述我国刑法规定的犯罪是情节犯、轻罪，而美国刑法规定的犯罪是行为犯、重罪，后者对通信自由的保护明显更全面、有力。

前述美国犯罪立法值得我国借鉴。我国是互联网应用大国，计算机通信成为公民通信的主要形式，而我国刑法中的侵犯通信自由罪是20世纪70年代制定的以保护纸质信件通信为主的犯罪，已经不能为当前网络通信提供充分的保护。当前我国刑法重视保护公民个人信息，将侵犯公民个人信息罪置于侵犯通信自由罪之后，并规定两个档次的法定刑，最高法定刑为七年有期徒刑。对比以上两罪，在现代网络社会中公民通信自由和秘密的重要性不低于公民个人信息，应当对二者提供相当的刑法保护，提升对公民通信自由和秘密的刑法保护力度。我们认为，为了使侵犯通信自由罪保持较宽的适用范围，建议在基本保留该罪相对宽泛的罪状规定的前提下，明确将拦截电子通信的行为规定为犯罪，同时，改变其法定刑结构，增设“三年以上七年以下有期徒刑，并处罚金”的重罪法定刑。

四、结语

中美网络犯罪立法历程、立法体系和大部分犯罪的罪状规定相似，反映了网络犯罪立法的基本趋势。美国刑法较早就设立了多种独立的网络犯罪立法，并对相关犯罪规定了积量构罪规定，在罪行“宽口径”、刑罚严厉等方面“走得更远”。我国网络犯罪立法的新近发展是信息发达国家网络犯罪立法发展的必经阶段，标志着进入了网络犯罪立法新进程，未来我国网络犯罪立法的发展不应受限于延伸适用传统犯罪立法的教义学理论框架，应当顺应社会信息化发展趋势，实事求是地设立必要的新网络犯罪，并与传统犯罪的合理扩张解释适用相互协调，构建全面的网络犯罪刑法治理体系。

美国网络犯罪立法及其司法实践的时间较长，部分立法较为细致、完善，对部分争议问题的讨论较为深入，这些立法和司法经验对解决我国相关犯罪立法及其司法问题大有裨益。同时要看到，其立法也存在不足之处，没有必要全部照搬，应当根据我国国情和网络犯罪特点进行扬弃。与美国网络犯罪立法修改迅速、实用性强等特征形成对照，其网络犯罪相关刑法理论并不发达，我国在借鉴其犯罪立法时应汲取其教训，重视网络犯罪理论的发展与创新。