论网络犯罪治理现代化的立法实践

曾粤兴，谭健强

（北京理工大学 法学院，北京 100081）

近年，在云计算、大数据和算法等基础层智能技术的辅助下，社会系统中的信息传输模式发生了革新，实现了“纸质通信—有线通信—无线通信—数字通信”的技术转型。智能技术浪潮的推动虽然减少了人与人之间的交际成本，但也异化了原始犯罪模式，新型犯罪模式逐渐突起。换言之，传统暴力犯罪渐趋被智能犯罪所更迭，以专业知识、技能和经验为核心内容的犯罪特征成为智能科技犯罪的评价标签，网络技术则是智能科技犯罪的主要方式。

坦率地说，以网络技术为代表的智能技术手段倘若被不恰当地利用，确实会使已有社会秩序遭受猛烈的冲击，致使网民的合法权益受损。故有论者感慨，犯罪借助网络的方式使得其所产生的社会危害性大为增强[1]。这种说法深中肯綮，令人深思。这实则是网络时代智能技术穿透力强和影响面广的特质合力作用的结果。对此，刑法作为综合治理格局措施中最严苛且最具威慑效能的处罚手段，其立法实践能否应对网络信息技术与智能犯罪之间的糅合，避免网络犯罪的滋漫，是法治现代化进程中无法回避的问题。对此问题可进一步解构为：如何分析网络犯罪治理现代化的规范释义？如何概述网络犯罪治理现代化的立法实践历程和时代意蕴？如何挖掘并化解网络犯罪治理现代化的立法实践“痼疾”？这些都是亟须解答的理论困惑。鉴于此，本文从本体论、价值论、认识论和方法论四个维度系统剖析上述问题，以期对实现网络犯罪治理在立法层面的法治化有所助益。

一、本体论：网络犯罪治理现代化及其立法实践

“网络犯罪治理现代化的立法实践”这一议题在本体论层面的内容有二：一是网络犯罪治理现代化的规范内涵为何，即寻觅犯罪治理现代化与信息网络耦合之后的意蕴；二是概括网络犯罪的立法实践历程。

（一）犯罪治理现代化与信息网络的耦合

“现代化是人类文明进步的标志，中国式现代化是近代以来中国人民的伟大创造。”[2]在推进和实现中国式现代化的进程中，推进国家治理体系和治理能力现代化是关键一环。国家治理体系和治理能力现代化，又称“国家治理现代化”，是全面深化改革的重要内容，涵摄经济发展、环境保护和教育均衡等诸多领域。将“国家治理现代化”的命题对焦网络犯罪领域，可称为“网络犯罪治理现代化”。自从“国家治理现代化”的重大命题被提出以来，如何加快推进和实现网络犯罪治理现代化俨然成为学者乐此不疲的研究课题。如有论者从宏观角度论证我国网络犯罪治理模式亟须转型，即网络犯罪治理模式应由原有公力模式转为公私合作模式[3]。也有论者从网络金融治理[4]、电信网络诈骗犯罪治理[5]等微观领域论证网络犯罪治理现代化的法治方向。无论从宏观还是微观领域论证网络犯罪治理现代化的内容，均是在本体论层面所作的延展阐释。那么，网络犯罪治理现代化的本质内涵究竟何解？

笔者认为，可以以国家治理现代化的内涵为根基，从治理体系和治理能力两方面对网络犯罪治理现代化进行释义。国家治理体系是国家制度的集中体现，囊括法律规范、党内法规、行政规范文件等不同制度载体[6]。而国家治理体系在国家治理实践中运作的状态、过程和效果便是国家治理能力[7]。申言之，国家治理现代化旨趣是，从顶层设计的维度探究不同的制度载体在社会治理状况下的运行状态和实施效能。就网络犯罪治理现代化而言，要实现网络犯罪治理现代化，核心是合理建构和规范网络犯罪治理的内在逻辑体系，包括网络刑法规范体系的现代化和网络刑事司法体系的现代化。前者指网络刑法规范之间能够做到逻辑自洽，以此编织起“严而不厉”的刑事法网；后者指在网络犯罪领域中要实现刑事司法认定犯罪规则的现代化。网络刑法规范体系和网络刑事司法体系的现代化共同铸成刑事治理现代化，它们都是国家治理现代化的有机组成部分并影响着其能否实现。然而，网络刑法规范体系的现代化是网络刑事司法体系现代化的逻辑前提，没有网络刑法规范体系现代化的构建，遑论网络刑事司法体系现代化的创设。为此，剖析网络犯罪治理现代化的立法实践，为网络刑事司法体系现代化提供理论基础，是有效治理网络犯罪的前提。

（二）网络犯罪立法的实践历程

我国网络犯罪的立法实践历经立法阙如到立法兴起再到立法完善的演变过程，这实则是刑法规范对计算机犯罪、网络犯罪和网络空间犯罪治理过程具体变化的体现。这喻示着刑法对网络犯罪的规制正逐步迈入精细化、科学化以及合理化的治理轨道。

一是网络犯罪立法的迷失阶段（1949—1979年）。20世纪30年代，随着工业化进程的推进，人们迫切需要一台先进设备来解决数据计算量大且精确度高的窘境。于是，世界首台电子数字计算机“埃尼阿克”（ENIAC）在美研发成功。经过不断优化和升级，计算机起初的体积庞大、结构复杂等问题日益改善，计算处理、数据存储和控制等功能也逐渐具备。为了避免因计算机普及所带来的威胁，20世纪70年代开始，美国先后通过刑法延展适用及专门的网络犯罪立法来惩治计算机与网络犯罪[8]。我国计算机行业同期虽然在苏联的帮助下也探索并研制出第一台计算机，但是1979年《刑法》并没有规定因计算机应用可能产生的犯罪。原因是：一方面，特定历史时期导致刑法的任务有所偏重。当时我国法制建设正处于初创阶段，国家急迫的任务是进行经济建设，保护人民财产，维护社会、生产和工作秩序，刑法也是围绕着这些内容而展开且规定较为粗疏。另一方面，立法前瞻性意识薄弱。当时我国计算机技术刚刚起步，科研者对计算机应用领域认识尚浅，更勿谈立法者以超前意识判断计算机网络能否对社会或人们的法益造成侵害或威胁，以及受侵害的法益该如何保护等问题。概言之，我国网络犯罪的规定在此时期未见雏形，网络犯罪立法正处于迷失阶段。

二是网络犯罪立法的兴起阶段（1980—1997年）。1980年之所以能成为网络刑法立法兴起阶段的开启之年，是因为从此时间节点起，立法者逐渐规制网络违法行为，甚至将其予以犯罪化。具体如下：科技浪潮助推计算机的普及，大量的经济活动开始依赖计算机网络的运行，尤其是国家事务、国防、外交、尖端科技等重要领域相当广泛地运用计算机技术[9]。我国此时虽已接通国际互联网，但是信息交互范式依旧传统，新型信息传输模式未能搭建。详言之，Web1.0时代网络信息主要借助局域网或互联网进行单向输送，人们对聚量信息的搜寻以人机互助模式为样态，故其仅能满足“人对信息搜索、聚合的需要，而没有解决人与人之间沟通、互动和参与的需求”[10]。与此同时，围绕着计算机信息系统的网络失范行为逐渐凸显，甚至成为冲击网络秩序的“导火索”。1994 年，国务院公布了《计算机信息系统安全条例》，对计算机信息安全保障制度、公安机关的监管职责以及法律责任的追究等均作出明确规定，可以说，这是首个保障计算机信息系统安全的规范性文件。可是，作为行政法规，其不具有最强的威慑效力，因为其受制于最高惩治措施（行政处罚）的桎梏。这种天然的内在缺陷也使得其在面对日益猖獗的网络失范行为之时黯然失色。故1997 年《刑法》发挥后盾法的作用，增设“非法侵入计算机信息系统罪”“破坏计算机信息系统罪”，并增加利用计算机实施犯罪的提示性规定。由于这一时期以攻击计算机信息系统为主，故被称为计算机犯罪时期。概言之，此阶段的网络犯罪规定初露锋芒，网络犯罪立法打破了以往没有刑法规制的局面，迎来了兴起阶段。

三是网络犯罪立法的完善阶段（1998 年至今）。此阶段以2009 年为时间节点，分为前后两阶段。前一阶段为网络犯罪。Web2.0时代，信息内容的生成方式更加多元，信息源的传输方式也由此发生革新。网站不再是唯一的信息传播源，社会公众也可以通过网络平台或各类客户端等软件来实现信息的传播和互通。在此过程中，新型网络犯罪也逐渐涌现。据统计，2001年公安机关立案侦查的计算机违法犯罪案件为4500 余起，比上年涨了70%，同时也约为前年的11倍，其中九成以上涉及网络犯罪[11]。对此类犯罪主要采用两种途径应对：一是传统罪名规制模式。大多数网络犯罪表现为传统犯罪模式的网络化。司法裁判者仅需结合《刑法》（文中未特别标明年份的特指现行《刑法》）第二百八十七条和传统罪行样态所对应的罪名，便可以将网络不法行为纳入犯罪圈。二是“迂回解释”规制模式。网站平台或相关客户端掌握着大量公众信息，倘若不法分子侵入计算机信息系统窃取这些信息数据，则难以对其予以规制。将此行为“迂回解释”为非法侵入计算机信息系统，便是变通之道[12]。为解决此问题，《刑法修正案（七）》新增“非法获取计算机信息系统数据、非法控制计算机信息系统罪”。同时还将提供程序或工具的帮助行为规定为“提供侵入、非法控制计算机信息系统程序、工具罪”。后一阶段为网络空间犯罪。相较于前一阶段而言，网络空间犯罪具有与时代气息相契合的“智能性”特征[13]。这种特征是万物互联时代（Web3.0 时代）所独有的。在大数据、云计算、算法等技术辅助下，公众可以通过移动客户端在网络空间中实现“点对点”甚至是“点对面”的信息互通。这些信息涉及面广，既包括日常交流信息，还涵盖教育、医疗、购物等内容，所以将现代社会描绘成由网络空间和现实空间同构的“双层社会”的观点[14]具有时代性和现实性。值得注意的是，网络空间也存在不法行为，并且给犯罪治理带来挑战。例如，传统猥亵行为要求主体双方之间发生肢体接触，但是近年“隔空猥亵”事件频发，不法分子利用网络诱使未成年人发送私密部位图片或观看淫秽视频。能否认定“隔空猥亵”行为构成强制猥亵罪或猥亵儿童罪，是值得斟酌的问题。其实，“隔空猥亵”行为本质是物理空间的不法行为向网络空间的延伸。在网络空间中，大部分不法行为可以突破传统物理空间的束缚，向网络空间蔓延或渗透，而回归到物理空间中基本上都能找到该网络犯罪行为的雏形。当然，为了避免网络空间犯罪的肆虐，立法者通过《刑法修正案（九）》增设“拒不履行信息网络安全管理义务罪”“非法利用信息网络罪”“帮助信息网络犯罪活动罪”等罪名来维护网络空间秩序。概言之，此阶段我国网络刑法立法从兴起阶段迈向完善阶段，法律规定渐趋完善。

二、价值论：网络犯罪治理现代化立法的时代意蕴

前文围绕着本议题作出了本体论意义上的解读，那么，网络犯罪立法究竟诠释着何种价值，这无疑是本议题在价值论上的考量。其实，网络犯罪的立法实践蕴含三大功能：

（一）网络犯罪立法的秩序维护功能

面对纵深发展的信息技术，网络犯罪的作案手法及犯罪场域也表现出与传统犯罪相异的时代特征，即网络技术已经被当作传统犯罪的“传导器”甚至是犯罪行为的“策源地”。以刑法立法的方式促进网络秩序的体系建构，进而消弭网络安全隐患，是刑法基本功能的体现。笔者认为，网络刑法立法有以下秩序治理功能：

一是加强信息基础设施硬件的保护。信息基础设施硬件指计算机信息系统，其承担着社会乃至国家信息数据交互安全的保障职责。即便是身处在虚拟与现实同构的当下，聚量信息储存和输送的枢纽依旧需要依赖计算机信息系统的运行。然而，我国当前计算机信息系统却无时无刻不面临安全风险。据统计，2020年上半年捕获境内外计算机恶意程序约1815 万个，其中境外约2.5 万个计算机程序恶意控制着我国约303万台主机①。因此，保护计算机信息系统的安全，与社会安全秩序的稳定相攸关。当然，作为不法行为否定性评价最高位阶的刑法，虽然无法从技术风险防范的领域提升网络安全的防范能力以便直击网络失范行为，但却可以通过增设与维护计算机信息系统有关罪名的方式来起到溯源警示和事后惩罚的作用，以此实现对秩序价值的追求。

二是规范网络失范行为和网络空间秩序。在复杂的网络社会中，网络不法行为不再以传统一人犯罪为基本模型，而是表现为共同犯罪凸显和共犯人数众多，更重要的是犯罪活动分工细化，逐步形成“流水线”式作业[15]。具言之，网络犯罪表现为上、中、下游联动式的犯罪链条，各个链条之间不仅能够做到相互配合、环环相扣，而且相互独立、互不影响。所以在审理阶段，司法机关常常会在网络不法行为的因果链和损害后果的认定问题上陷入困境，这是因为大部分被侦破的网络犯罪案件的犯罪链条是支离破碎的。因此，为了打击网络犯罪产业链，刑法积极立法理念将打击网络空间犯罪不法行为的着手点前置，将设立违法犯罪活动的网站和通信群组、发布违法犯罪信息以及为实施违法犯罪活动发布信息纳入犯罪圈，实现预备行为正犯化。此外，帮助行为正犯化也是网络空间领域犯罪治理“公认”的模式。在网络空间领域，帮助行为打破传统“一对一”的行为结构，借助网络技术所带来的便捷性特点，在短期内实现“一对多”的帮助行为，这些叠加起来的帮助行为的社会危害性与正犯行为相比有过之而无不及。因此，将明知他人犯罪，为他人提供技术支持或者广告推送等帮助行为规定为犯罪，是维护网络秩序的应然之策。

（二）网络犯罪立法的法益保护功能

“法益保护原则一直是刑事立法的基本指导原理”[16]，《刑法》分则任何一款的设置都是围绕着某一特定的法益保护目标而加以规定的，因此，以保护法益为目的的刑法不可能对新类型的网络犯罪无动于衷[17]，而是根据法益侵害的实质变化和法益保护的严厉程度不同来对法益进行契合实际的保护。

一是法益侵害的实质发生改变。传统理论认为，结果犯中的结果仅指法定的犯罪结果，即犯罪行为对刑法所保护的法益造成的实际侵害事实[18]。例如，故意杀人要求导致他人死亡，破坏计算机信息系统要求造成计算机信息系统不能正常运行，这其实是刑事古典学派对结果犯理论的窥视。可是，伴随着网络社会的来临，网络犯罪的结构开始变迁，单纯依赖结果犯的立法模式难以有效遏制网络失范行为。具言之，相较于传统犯罪模式，网络信息时代“点对面”的犯罪特点使不法行为可以突破时空的拘束，导致其所产生的社会危害性更大。对此，网络时代法益保护的界限不应固守于实害结果的发生，而是可以“通过侧面补强来加强其保护力度，即致力于法益保护的前阶段或周边的保护上，来阻止犯罪发生”[19]。因此，网络犯罪治理的立法模式逐渐通过设置危险犯来实现法益保护的前置化。

二是法益保护的严厉程度不同。侵害或威胁法益是不法行为的直接表现，立法者之所以对不同条款的罪质和罪量作出差别性设置，本质是法益保护规范目的不同所致的结果。换言之，法益的大小、轻重在一定程度上决定了罪行的性质。我国网络犯罪虽然对法益保护的界限作出前置化的设置，但这并不意味着对所有侵犯法益的行为均作出同样的不法评价，事实上，法益保护的价值在位阶上存在保护次序的差异。以非法侵入计算机信息系统罪和非法获取计算机系统数据罪为例，前者为行为犯，后者为危险犯。对此，有论者认为当前计算机信息系统的自主支配管理、不受侵犯的诉求业已成为公民的一项基本权利，因而刑法不应进行所谓的公、私划分[20]。诚然，当前计算机信息系统已遍及社会生活的各个领域，其所储存的数据更可被誉为“新型生产要素”，因此，为国家事务、国防建设和尖端科学技术领域以外的计算机信息系统编织网络防护网，防止数据被攫取，是明智的立法抉择。但是，对计算机信息系统划定层级予以保护的方式，将侵入上述三大系统的入罪门槛降低，也是可取的，因为侵入上述三大系统，将会对国家计算机信息系统中所存储的重要情报造成威胁。

（三）网络犯罪立法的人权保障功能

面对网络领域帮助行为正犯化、预备行为正犯化等刑事处罚前置的趋势，如何剖析网络犯罪立法中的人权保障问题值得深思。笔者认为，网络犯罪立法的人权保障功能有二：

一是人权保障主体的扩张，使公私主体权力（利）的保障并驾齐驱。在公法上，公权力与私权利相对应，公权力主体指国家，私权利主体指企业或个人。1997 年《刑法》虽然早已料及技术浪潮将会对计算机信息系统的法益造成冲击，但是其立法保护的畛域却限缩在公权力主体法益（国家事务、国防建设、尖端科学技术）的范围内，忽略了对个人或企业经济建设领域②的保护。然而，随着“人权法治观念渐入人心，刑法观念也发生了一系列重大变革”[21]，即从原来维护国家和社会法益为主的机能到之后的人权保障机能，刑法保护和保障机能不断加强[22]。倘若将其聚焦到网络领域，便是网络犯罪治理的人权保障圈层逐渐向私权领域扩张，实现公、私权力（利）主体法益兼顾保护的局面。详言之，对计算机信息系统的保护已然抛弃了传统仅对公权力主体进行保护的观念，不仅将保护的法益扩展到上述三大系统以外的计算机信息系统，而且还将所侵犯法益的严重程度划分为“情节严重”和“情节特别严重”两个程度，在人权保障方面更加精确。

二是对私权利主体保障的细化，使对私主体权利的保障日臻完善。上述第一点主要是从被害人法益保护的维度进行论述，而法治国家倡导的罪刑法定原则首先是对被告人权利的保障[23]，为此，对私主体人权的保护还应将被告人人权的保障囊括在内。其实，网络犯罪立法体现出很多保障被告人人权的思想，如轻罪立法特征显著，网络刑法立法的实践进程呈现出轻罪立法理念浓厚的思想③。又如，罪状的构造体现出保障被告人人权的思想，以“拒不履行信息网络安全管理义务罪”为例，学界对此罪的增设存在争议，认为其纯属情绪化立法的产物，而且业已沦为闲置条款，但是正因为该罪的设置存在行政程序前置的规定，因而阻断了行为人违法行为迈向犯罪化的道路，而这些规定也与当前的合规理念相吻合，是企业权益保障理念的具象化。

三、认识论：网络犯罪治理现代化立法的现实窥视

认识论是从实践和认识的关系角度探究认识何以生成和如何发展的问题，“是人们对于自己认识的反思，关注的是认识的真理性问题”[24]。通过认识论层面的阐释，可以更好地反思和斟酌网络刑法立法的现实问题，以便寻觅方法论的创设。

（一）回应性立法：网络犯罪立法的理念滞后

从网络刑法立法的轨迹来看，我国网络刑法立法针对不同时期的网络失范行为，制定了与之相匹配的刑法规范，以便及时回应网络社会的治理需求，如在互联网尚未普及的时代，攻击计算机信息系统的行为具有严重社会危害性，刑法立法因而聚焦于计算机信息系统展开规制。又如线上虚拟与现实物理高度拟合的社会，刑法逐步解构犯罪利益链条，以刑事处罚前置化的立法方式，多维度、全方位地解决网络产业化的问题。这些刑法立法规定在一定程度上避免了网络乱象的滋生，回应和反馈了人们对网络安全的迫切诉求。但是，这种回应和反馈并非积极能动的，而是消极被动的。详言之，网络刑法立法并未能够做到与网络信息技术的发展同步，而是消极被动地解决网络信息技术所带来的麻烦，因而导致网络刑法立法呈现出一种“头痛医头、脚痛医脚”的立法修补[25]理念。这种理念客观来讲就是对既往网络不法行为的条理化记录，是一种聚焦于实时问题而缺乏前瞻性的立法方式，因此它不能成为立法理念的主流。

那么，何为网络立法的主流理念？其实，网络犯罪立法不仅要具有回溯性，实时解决既往网络立法阙如的问题，又应具有前瞻性，“应当尽量对可能出现的驱动刑法变动的社会实践作长远、充分、合理的预测，并在规范设计层面予以接纳”[26]。为此，网络时代对网络不法行为的刑法规制，除重视计算机犯罪、网络犯罪和网络空间犯罪这三种立法类型之外，还应将立法的偏重转向智能型和数据型网络犯罪④。一方面，随着智能驾驶已经迈向商业化运营，人们的法益所受到的侵害或威胁也必然随之增加，但是刑法立法并没有回应智能驾驶的罪刑归责难题。另一方面，网络数据的安全保护已经成为国家安全治理过程中的重要因素，但是我国对于数据安全保护的刑法规定甚少，保护力度也不足，所以将智能型和数据型网络犯罪纳入刑法制裁范围，具有必要性和合理性。遗憾的是，这些内容尚未能在我国刑法中得到充分体现。

（二）系统性不足：网络犯罪立法的罪质缺陷

1.前置法与后盾法间的衔接不畅

网络犯罪行刑衔接的“桥梁”主要借由违背前置法所指引的规范性内容来实现，即“违反国家规定”和“不履行法律、行政法规规定的义务”，以此呈现出前置法与后盾法之间的递进关系。然而，现阶段存在混淆前置法指引范围的情形，导致网络犯罪行刑衔接不畅。

一是部门规章突破刑法文义解释的规定。网络犯罪与传统犯罪不同，其涉及许多专业性、技术性的内容，而这些内容囿于立法容量的限制，难以在刑法中作出详细规定。故网络刑法立法通常采用空白罪状（违反国家规定）的立法技术，要求网络犯罪的成立要以前置性法律的违反为前提，这也是这类犯罪的构成要件之一。《刑法》总则中“违反国家规定”的文义理解囊括两层含义：一是全国人大及其常委会制定的法律；二是国务院制定的行政法规及与其具有相同等级的行政措施、决定和命令[27]。也就是说，对网络刑法立法中“违反国家规定”的理解，核心在于寻觅和解构与网络失范行为相关的法律、行政法规及其相同等级的措施等规范性文件。可是，当前“违反国家规定”本身所蕴含的文义解释却遭受到部门规章的突破，例如，《公安部关于对破坏未联网的微型计算机信息系统是否适用〈刑法〉第286 条的请示的批复》（以下简称《公安部批复》）就把“国家规定”的范围扩展到了部门规章，即破坏计算机信息系统罪中的“违反国家规定”不应仅包括行政法规，还应包括部门规章。

二是前罪法所涵盖的规范文本范围扩张。如前所述，网络犯罪的前置法范围被部门规章扩张适用，导致行刑衔接出现障碍。这其实是外力作用扩张所致的结果。事实上，网络犯罪还存在着内力作用扩张的表现。所谓内力作用的扩张，指前置法没有对某一专业性、技术性的内容作出规定，对该内容的窥视还需从其他法律、行政法规中寻觅，甚至是国家强制性标准。以拒不履行信息网络安全管理义务罪为例，该罪为真正不作为犯，行为人必须不履行法律、行政法规规定的信息网络安全管理义务才有可能构成此罪。其中，《网络安全法》对该罪的不作为义务来源作出了细化规定，如“网络产品、服务应当符合相关国家标准的强制性要求”，换言之，网络产品、服务没有达到相关国家标准便违反了信息网络安全管理义务的要求。显然，这里前置法的范围在该罪中已然通过法律转接到国家强制性标准的适用范畴之内。然而，这种规范的适用过程也遭到质疑，毕竟该罪前置法仅仅将不作为义务的范围限定在法律和行政法规的界限内，并没有涵盖国家强制性标准，倘若将国家强制性标准作为认定不作为义务的判定依据，则有违罪刑法定原则。

2.网络犯罪罪状设置的规范性欠缺

罪状规定了某行为是否构成犯罪、构成何罪以及该罪的不法程度如何等问题，因而罪状是否得以规范描述直接影响到行为人罪责的判定，但是当前网络刑法立法在罪状的构造上还需加强。

一是罪状的规范表述不精准。破坏计算机信息系统罪的客观行为有删除、修改、增加、干扰四种。有论者提出，将修改行为解释为对具备自动处理数据功能的系统中的数据代码进行篡改是对该罪行为方式的误解，修改行为还应囊括增加或删减数据代码的行为，它们之间在规范术语的表述上存在重叠。此种观点是从刑法本身所蕴含的语义的维度进行深究的，因为《现代汉语词典》将“修改”解读为“改正文章、计划等里面的错误、缺点”[28]，不但有对错误内容及时修正之意，还有对相关内容加以增删的语义。此外，“后果严重”或“情节严重”作为犯罪程度的评价标尺，也是犯罪构成要件之一，因而对其精准的表述也有严格要求。同样以破坏计算机信息系统罪为例，该罪第一款以“后果严重”和“后果特别严重”为罪量畛域，将行为人破坏计算机信息系统的不法行为划分为两个罪量单位，揭示着行为人破坏计算机信息系统的不法行为危害程度不同，罪责评价也由此不同。但是该罪第二、三款的立法构造却仅规定了“后果严重”一个罪量单位，忽略了对“后果特别严重”情节在刑法立法过程中的叙明化，因而导致司法实践出现困惑。

二是罪状间的规定存在疏漏。刑法条款所规定的内容是否周延，是刑法立法罪状设置过程中绕不开的问题。刑法条款周延性的应有之义是刑法罪名之间能够逻辑自洽、不疏漏。然而网络刑法立法在此方面亟须加强，例如《刑法》第二百八十五条第三款将提供侵入、非法控制计算机信息系统程序、工具的帮助行为正犯化，但是这样的入罪标准显得立法规定过于疏漏。因为从该款罪状的表述可知，帮助行为仅涉及提供侵入和控制计算机信息系统，而没有涉及获取计算机信息数据和破坏计算机信息系统[20]，事实上，后两种帮助行为的行为性质更恶劣、社会危险性更大，更应值得刑法重视与回应。

3.网络过失犯罪的立法规定阙如

网络刑法立法的罪过形式围绕着故意加以规定，过失犯罪的规定阙如。这种立法设置固有其缘由，在信息时代下计算机信息系统具有安全水准高、保密程度强的物理属性，对于一般的网络访问户而言，过失不恰当地违背操作流程并不会致使信息系统瘫痪而无法运行，唯有具备专业知识的网络访问户出于故意的心理状态袭击计算机信息系统或扰乱网络空间秩序，才被刑法予以评价。故此，网络刑法立法的规制对象较为单一，以计算机信息系统攻击者和网络空间秩序扰乱者为主。

可是，这种对象的规制范围只侧重于从外围保障计算机信息系统和网络空间秩序的安全，忽略了对基础层信息系统的内部保障，即当前网络刑法立法在网络运营者⑤的刑事注意义务方面欠缺合理考虑。一方面，网络刑法立法没有规定计算机信息系统安全运行的检测义务。网络运营者其实在计算机信息系统投入市场运营前、后均具有检测义务，应确保该信息系统的安全标准指数能够达到最低限度的安全界限，否则应承担过失犯罪的责任。例如，重庆某校技术人员将其所开创的带有病毒的软件上传到网络供他人下载，致使他人系统瘫痪，但其辩称自己并无恶意，纯粹是想借助网络信息反馈来升级软件，对此，其罪过形式究竟为何，难以揣测[29]。其实，即使不能将该技术人员的主观心态确定为故意，也应认定为过失，因为该技术人员具有较高的专业技术水准，其有能力、有义务、也有责任确保计算机信息系统在投入网络市场运营前的安全系数。另一方面，网络刑法立法没有规定计算机信息系统安全运行的审慎义务。专业操作人员应该在计算机信息系统具体操作流程的限制范围内运行系统，例如对于保密程度高的信息而言，局域网（内网）能够保证这些信息在内部交互传输的安全性，因而信息系统的操作流程要求禁止专业操作人员私自接入互联网。专业操作人员应当熟悉操作流程，并按照操作流程的指引使用互联网，否则因其过失行为造成内部信息泄露的，应承担刑事责任。总之，网络过失犯罪立法规定阙如的现状，显然与当前信息社会发展之需相脱轨。

（三）罪刑不相称：网络犯罪立法的罪量失衡

1.刑罚的配置不合逻辑

刑罚的合理配置是刑法立法公正在刑罚论上的体现。那么，何谓刑罚配置合理？贝卡里亚表示，明智的立法者在确定刑罚阶梯之时，应当慎防最高一级的刑罚向最低一级的刑罚越位[30]。正所谓重罪重罚、罚当其罪，根据行为人不法行为的危害程度设立与之相匹配的刑罚，使刑罚之间配置均衡、不错位，是刑罚立法的基本要求。故刑法立法在对正犯和共犯的刑事责任作出评价之时，通常都会权衡行为人在整个犯罪过程中的支配力大小从而设定适当的刑罚规定。进言之，在共同犯罪理论中，正犯的不法行为直接侵害或威胁法益，而共犯的不法行为通过助力或教唆正犯实施不法行为来间接实现犯罪目的，因此，刑法通常都会对正犯科以比共犯更重的刑罚。回归到网络刑法立法，有论者指出，倘若将帮助信息网络犯罪活动罪与虚假广告罪结合起来分析，就会明显发现两罪的刑罚配置存在张力，具体表现为网络刑法立法条款违背了罪责刑相适应原则，造成正犯与共犯两者之间的刑事处罚失衡。例如，张三明知李四利用网络广播对商品或服务作虚假宣传，仍然为其提供广告推送且情节严重，但不能就此对张三以刑罚较高的帮助信息网络犯罪活动罪处罚[31]。因为李四作为商品或服务虚假宣传的正犯，仅触犯了虚假广告罪，最高判处两年有期徒刑；而张三为李四提供技术服务，其所实施的行为按分工可定性为帮助行为，但是同时触犯了虚假广告罪与帮助信息网络犯罪活动罪，倘若对其判处帮助信息网络犯罪活动罪，就会导致在共同犯罪中帮助犯的刑事处罚比正犯还严厉，这明显与常识、常理和常情相悖。

2.非刑罚处罚措施缺位

自《刑法修正案（九）》增设职业禁止制度以来，该制度就被司法机关所重视，并主要用于防止违背师德的教师再次犯罪的案件中，而适用到网络领域的案件甚少，目前可供查询的仅有一例⑥，即周某利用网络为实施诈骗违法活动发布信息，情节严重，侵犯了正常信息网络环境的管理秩序，构成非法利用信息网络罪，被判处有期徒刑二年、缓刑三年；同时，法院考虑到其作为电信行业从业者，实施违背职业要求的特定行为，为预防其再次犯罪，禁止其在缓刑考验期满后的五年内从事通信网络服务相关职业⑦。然而此案例值得商榷，因为刑罚执行存在刑罚已经执行完毕和刑罚不再执行这两种情形，适用职业禁止的前置性条件是犯罪人所受的刑罚已被司法机关执行完毕或已被假释，但是，对于被判处缓刑的犯罪人来说，缓刑的结束揭示着原判刑罚不再执行，而非原判刑罚执行完毕，故法院对周某适用职业禁止缺乏法理支撑。实际上，考虑到犯罪人的人身危险性（再犯可能性），网络刑法立法倘若对犯罪人在缓刑考验期间或缓刑期满之后从事的与网络相关的专业性工作加以限制，也是合情合理的。原因有三：一是网络信息时代计算机信息系统汇聚了各种数据资源，不法分子如果通过网络实施犯罪行为，其所产生的犯罪后果较之于传统犯罪危害性更大、受害人数更多。二是被判处缓刑的犯罪人并没有被执行实刑，其主观上是否真诚悔过难以考量，贸然允许其在缓刑考验期间再次从事相应的网络技术工作，难以保证犯罪人不会重蹈覆辙。三是限制犯罪人的职业并不意味着剥夺犯罪人的就业权，而是衡量犯罪人已实施的网络犯罪行为的不法程度和再犯可能性的大小，作出相应职业年限的限制。遗憾的是，当前我国职业禁止制度在网络领域形同虚设，无法实现特殊预防的效果。

四、方法论：网络犯罪治理现代化立法的路径依归

前文已阐释了网络刑法立法存在着回应性立法、系统性不足以及罪刑不相称等问题，因此有必要从方法论的维度寻求解决方案。

（一）适度预防：网络犯罪立法理念的转型

面对当前网络刑法理念滞后的问题，灵活调整刑法立法理念，补足立法短板，是网络刑法治理的应然路径。为此，有论者提出，需要扩充网络刑法规范，将智能机器人犯罪涵摄在内，因为“随着智能机器人不断摆脱其‘人造产品’的预设前提后，其刑事责任能力将不断强化，承担刑事责任的可能性随之增长，目前的刑法规范明显无法作出规制，必须加以修改，明确入罪边界”[32]。这种观点实则对网络立法实践提出了前瞻性的立法要求。相反，有论者认为我国网络犯罪的刑事法网呈现出严密状态⑧，“无论是数据犯罪还是人工智能犯罪抑或当前其他与信息技术相关的犯罪形式，整体并未超出网络犯罪的代际特征，基本都处于现行网络犯罪的罪名体系的规制范围之内”[12]，因此，无需再增添新罪名来应对网络犯罪所带来的新难题。

笔者认为，网络刑法立法既不能过度革新，将所有网络失范行为纳入犯罪圈层，又不能过于守旧，对新出现的智能型和数据型网络犯罪置若罔闻。理想、科学的立法理念应该是适度预防，即立法者理性考虑现阶段或将来相对较短的时间范围内的社会需求，对智能型和数据型网络犯罪进行科学、合理的类型划分，并对所划分的类型围绕着刑法保护的迫切程度展开论述，同时还要辨清刑法内部的逻辑关系，以此实现适度预防的立法理念。具言之：

一方面，适度预防的立法理念是社会发展进程的真实写照。法是社会发展到一定阶段的产物，是社会存在的反映，故而为法律制定指引方向的立法理念，应该做到与时代发展相一致，过度超前或滞后的立法理念都是不合理的。以智能机器人为例，对其不法行为给予否定性评价的逻辑前提是其具有刑事主体资格，但是学界对此问题尚存争论，况且当前正处于弱人工智能时代⑨，倘若贸然将智能机器人纳入刑法圈，必然使相关刑法规定沦为闲置条款。相反，智能驾驶现已市场化运营，其异于传统汽车的驾驶范式的显著特性也给其在刑事规则的确定上带来困扰，因此刑法保障智能驾驶安全刻不容缓。

另一方面，适度预防的立法理念需辨清刑法内部的逻辑关系。在增设数据型网络犯罪条款以摆脱立法阙如的窘境之时，需要厘清罪名之间的规范逻辑，避免立法臃肿现象的发生。故而立法者在立法前需弄清楚所增设的数据型网络不法行为能否被既有刑法条款所评价，倘若能被既有刑法条款所规制，则应慎增刑法条款。例如有论者提出，《刑法》第二百八十五条第一款应该将获取三类重要领域计算机信息系统中的数据也囊括在内，这样才契合立法的体系性要求[33]。事实上，如前所言，本罪为行为犯，其入罪门槛低于非法获取计算机信息数据罪，体现了刑法对国家计算机信息系统安全的坚决保护。此外，“获取”数据的行为方式需以“侵入”为逻辑前提，即便获取三类领域的计算机信息系统数据的行为未被纳入刑法规制范围，仍可以对该行为给予不法评价，为此，为了避免立法的臃肿，无须额外新增罪名。

（二）规范罪刑：网络犯罪立法条款的修改

1.罪质的规范

一是畅通网络刑法立法的衔接模式。畅通网络刑法行刑衔接模式的核心是确定前置法所指引的规范性内容的实质范围，也就是准确理解“违反国家规定”与“不履行法律、行政法规规定的义务”的内涵。笔者认为，对前置法范围的划定首先应遵循文义解释的基本要求。从网络刑法立法的规范束来看，《刑法》分则虽然并未以明确的规范性条款来释明前置法的范围，但这并不可直接断言前置法的范围是无迹可寻的。事实上，《刑法》总则对前置法的具体规定破解了《刑法》分则相关规定阙如的窘境。这其实正是《刑法》总则所规定的普通要素与《刑法》分则所规定的特殊要素之间相辅而行，始能全其效用[34]的理论诠释。所以对网络刑法立法前置法范围的剖析应以《刑法》第九十六条为基准，将其界定为法律、行政法规及与其具有相同等级的措施等规范性文件。在破坏计算机信息系统罪中，《公安部批复》将部门规章囊括在“国家规定”的范围之内，使得前置法的范围也因此而得到扩张，但因其超越且悖于《刑法》第九十六条的解释范围，故不应承认该条款具有法规范效力。另外，与行政法规具有相同等级的措施等规范性文件该如何理解，也是前置法所亟须解决的难题。虽然这些规范性文件没有被冠以行政法规之名，但依旧可以划入前置法规范适用的圈层内，原因不外乎其具有与行政法规相同的效力等级，亦即这些规范性文件是由“国务院批准发布或授权批准发布，因而具有法规性规范的效力”[35]。国家强制性标准便是最好的范例，如前所言，“网络产品、服务应当符合相关国家标准的强制性要求”。根据《标准化法》第二条的规定，强制性标准是国家标准的一种，其必须得以执行。国家强制性标准之所以必须执行，是因为其由国务院颁布，具有与行政法规相似的法规范效力。此外，国家强制性标准涉及某一行业的专业性内容，难以在法律或行政法规中详细规定，因此，前置法范围通过法律转接到国家强制标准的适用范畴内，恰恰是罪刑法定原则的体现。

二是规范网络刑法立法的罪状架构。其一，规范网络刑法立法的法律术语。破坏计算机信息系统罪的不法行为方式存在规范术语表述赘余的问题，即“修改”的不法行为按文义解释应囊括“删除”“增加”两种不法行为。由于对词语的文义解释通常需要借助词典来进行，而这种解释方式有时会损害刑法体系的协调性[36]，因此刑法术语的规范释义还需辅之以体系解释的方法来作实质理解。在该罪的立法结构中，立法者将删除、修改、增加、干扰等破坏计算机信息系统的不法行为作并列式罗列，就已经暗示这四种网络不法行为相互独立，所以此处的“修改”仅指对计算机信息系统的功能进行篡改。无独有偶，对网络刑法立法罪状中罪量的表述也需进行体系解释。《刑法》第二百八十六条第二、三款只规定了“后果严重”这一个罪量单位，但从刑法条款前后的协调性、体系性出发，“后果特别严重”的情形更应囊括在刑法的处罚范围之内，而这种解释逻辑也得到了司法解释的肯定答复。当然，为了避免司法实践产生歧义，妥当的策略是对上述内容予以适度修改，一方面，删除“修改”计算机信息系统功能的不法行为，以此避免规范术语表述赘余；另一方面，删除“后果严重的”的罪状表述，直接以“依照前款的规定处罚”来替代，以此避免规范术语表述过于简洁所带来的司法歧义。其二，完善网络刑法立法的罪状。如前所述，《刑法》第二百八十五条第三款的帮助行为仅涉及提供侵入和非法控制计算机信息系统程序、工具，而没有涉及获取计算机信息数据和破坏计算机信息系统。对此有两种完善方式：一为在《刑法》第二百八十五条第三款中增加“非法获取”计算机信息系统数据的不法行为，以及在第二百八十六条项下额外增添一款规定将破坏计算机信息系统的帮助行为正犯化；二为在第二百八十六条项下增设“帮助侵害计算机信息系统活动罪”以取代《刑法》第二百八十五条第三款的规定，即将所有帮助侵害计算机信息系统的不法行为（侵入、非法获取、非法控制以及破坏）全部容纳其中。当然，两种修改方式均可填补刑法罪状间的疏漏，但相较而言，后者将分散化的帮助行为以简洁、有逻辑的方式汇总起来，使罪状的表述更为合理。

三是增加网络过失犯罪的立法规定。根据《刑法》第十五条第二款的规定，过失犯罪以刑法明文规定为启动要旨。网络刑法立法主观方面以故意的罪过形态为核心，内容规定较为单一，没有注意到网络时代下网络运营者实施过失行为的严重社会危害性，为此增设相应的网络过失犯罪的立法规定实有必要。笔者认为，在网络立法过程中，可以借鉴《俄罗斯联邦刑法典》中关于网络过失犯罪的规定⑩，并结合本土实情将具体网络刑法规范本土化。其一，增设“过失编制、使用和传播有害计算机程序罪”。计算机信息软件在市场化运行的整个过程中都应该达到最低限度的安全性标准，至少不能因为网络运营者的过失行为而导致计算机信息系统瘫痪。《俄罗斯联邦刑法典》第273条规定，软件使用者“授权许可”网络技术人员对其信息系统进行毁灭、闭锁、变异或复制的，便可以阻却违法要件；但是，对于一个理性的软件使用者而言，其所使用的计算机信息系统倘若面临网络技术人员过失行为的侵袭，其无论事前抑或事后均不会作出相应的授权许可。因此，我国《刑法》在借鉴《俄罗斯联邦刑法典》第273 条过失犯罪的规定之时，应当删除“授权许可”的违法阻却事由。其二，增设“过失违反计算机信息系统的使用规则罪”。审慎遵循特定网络的使用规则，是专业操作人员应尽的职责。《俄罗斯联邦刑法典》第274 条对违反计算机信息系统使用规则的故意和过失行为均给予刑罚处罚，但该罪故意的行为规制已被我国破坏计算机信息系统罪所涵盖，所以网络刑法立法仅需将过失行为纳入刑法圈层，并将行为主体确定为“有可能进入特定计算机信息系统的人员”。

2.罪量的规范

一是网络刑法立法刑罚幅度的辩正。面对提供互联网技术支持等帮助行为的刑罚处罚严于其他信息网络犯罪的正犯处罚时，有论者希冀通过刑法解释论来纠偏网络刑法立法中刑罚处罚逻辑紊乱的问题，该论者认为应对《刑法》第二百八十七条之二第三款作限制解释，将“同时构成其他犯罪”解释为法定刑高于本条第一款法定刑的犯罪，不包括法定刑低于本条第一款的犯罪[31]。诚然，此种解释方法确实全方位地考虑了网络帮助行为及与其相对应的正犯行为之间的差异，但却与想象竞合犯的原理背道而驰。相反，有论者指出，“帮助信息网络犯罪活动罪的构成要件行为包含提供技术支持、广告推广、支付结算等帮助行为。在一定条件下，该罪的正犯行为也可能同时构成其他犯罪的正犯行为”[37]。在前述案例中，张三的行为虽然同时触犯两罪，但是其所实施的行为是正犯行为，而非帮助行为，因此理应依据处罚较重的规定（帮助信息网络犯罪活动罪）定罪处罚。笔者认为，后一观点对网络刑法立法刑罚幅度的辩正更为合理，理由是：虚假广告罪处罚广告主、广告经营者和广告发布者，其中，广告发布者倘若明知广告主利用信息网络推送虚假宣传信息，仍然为其提供技术服务的，则应该将广告发布者的行为认定为发布虚假广告的正犯行为；同时，广告发布者又因为广告主提供技术支持，因而也触犯帮助信息网络犯罪活动罪，因此其行为同时触犯两罪，需择一重罪处罚；另外，广告发布者虽然服从广告主的技术指令，但是其在整个广告发布流程中起关键作用，拥有独立的意志自由，因此其行为的不法性质比广告主更为恶劣，更应受到严处。

二是完善网络刑法立法中的非刑罚处罚措施。《刑法》允许其他法律、行政法规对相关职业作出从业禁止的限制，因而我国相关法律为了保障网络领域安全，对于网络犯罪人的从业作出严格的限制，如《网络安全法》第六十三条第三款规定了行为人倘若实施危害网络安全的行为、提供专门用于危害网络安全活动的程序或工具，以及明知他人从事危害网络安全的活动仍然为其提供技术支持、广告推送等帮助的，并因这些行为受到刑事处罚，则终身不得从事网络安全管理和网络运营关键岗位的工作。诚然，缓刑也属于刑事处罚的一种，倘若遵循《网络安全法》的规定，则应当对网络犯罪的主体进行职业禁止，但是在刑法语境中单纯对宣告有罪、判处缓刑的行为人却难以适用职业禁止。如前所言，《刑法》对于职业禁止的主体有严格的限制，因而对适用缓刑的犯罪人来说作出职业禁止的限制欠缺合法性。显然，两部法律之间在此问题上存在张力。笔者认为，弥合两部法律之间张力的有效方案是将《刑法》第三十七条之一关于职业禁止规定的适用范围扩展到单纯宣告有罪且判处缓刑的犯罪人。当然，为了避免对其他类型的犯罪造成影响，立法者可以在该条款项下对涉及网络犯罪的内容另作说明，以此在不改变现有《刑法》总则基本构造的基础上，凸显出刑法对网络犯罪的特殊预防功能。

注释：

①参见《2020年上半年我国互联网网络安全监测数据分析报告》。

②参见《计算机信息系统安全保护条例》第四条。

③轻罪包括纯正的轻罪和不纯正的轻罪，前者指最高法定刑为3 年以下有期徒刑的犯罪，后者指该罪的法定刑中包含3 年以下有期徒刑的量刑幅度。参见陈兴良：《轻罪治理的理论思考》，《中国刑事法杂志》2023年第3期。故网络犯罪立法既有纯正的轻罪，又有不纯正的轻罪，总体以轻罪立法为主。

④有论者认为，网络犯罪的类型包括智能型和数据型。参见彭文华：《犯罪治理现代化视野下网络犯罪的罪刑体系化》，《苏州大学学报（哲学社会科学版）》2023年第1期。

⑤参见《网络安全法》第七十六条。

⑥笔者以“从业禁止”“职业禁止”“刑法第三十七条之一”等为关键词在北大法宝中检索，发现截至2023 年8 月12 日，涉及网络的刑事案件仅有一例。

⑦参见（2019）新2923刑初7833号一审判决书。

⑧我国刑事法网的基本状态包括“又严又厉”“严而不厉”“厉而不严”“不严不厉”四种类型，网络犯罪属于“严而不厉”的类型。参见肖鹏：《我国刑事法网的基本现状及发展趋势——兼评积极主义刑法观》，《河北法学》2021年第10期。

⑨此时代的智能机器人不具有自主意识和在意志支配下独立作出决策并实施的能力。

⑩《俄罗斯联邦刑法典》第273条和第274条规定了计算机信息系统过失犯罪的内容。参见《俄罗斯联邦刑法典》，黄道秀译，中国法制出版社2004年版，第147页。