总体国家安全观视域下我国网络犯罪的刑法规制
2023-04-12 00:00:00皮勇张明诚
苏州大学学报(哲学社会科学版) 2023年1期
摘 要:网络犯罪已经形成了庞大的产业链与犯罪生态系统,严重危害我国网络安全与国家安全,在以法益保护为本位的网络犯罪治理策略下,网络犯罪并未得到有效遏制。以妨害信息网络安全管理秩序犯罪立法维护信息网络安全管理秩序,有助于遏制网络空间犯罪的蔓延,但是,关于其适用的争议影响了打击网络犯罪的效果。针对网络犯罪生态化,我国应转变网络犯罪治理策略,在总体国家安全观的指导下,转向网络犯罪的生态治理、系统防控,既要充分利用传统犯罪立法惩治网络化的传统犯罪,也要对产业链化、生态化的网络犯罪独立适用网络犯罪立法,使二者协调配合,切实维护网络空间安全,保障国家安全。网络犯罪的刑法规制不能局限于保护个罪的特定法益,更不能将网络犯罪立法的适用限制在传统犯罪立法的框架,应以保护网络安全和国家安全为目标,网络犯罪立法与司法规则应适应网络犯罪的新变化而创新发展。
关键词:总体国家安全观;新型网络犯罪;法益保护;犯罪生态治理;系统防控
作者简介:皮勇,同济大学上海国际知识产权学院教授、博士生导师,主要从事刑法学研究;张明诚,同济大学上海国际知识产权学院博士研究生,主要从事刑法学研究。
基金项目:国家社会科学基金重大项目“网络时代的社会治理与刑法体系的理论创新研究”(项目编号:20amp;ZD199)、国家社会科学基金重点项目“新发展理念与总体国家安全观视域下我国网络安全的刑法保障体系研究”(项目编号:21AZD082)、教育部规划项目“新发展理念视域下人工智能安全发展的刑法保障研究”(项目编号:21YJA820017)的阶段性成果。
中图分类号:D924 文献标识码:A 文章编号:1001-4403(2023)01-0043-14
DOI:10.19563/j.cnki.sdzs.2023.01.005
随着社会信息化发展,我国网络犯罪经历了计算机犯罪、网络犯罪和网络空间犯罪三种样态的变化,刑法适应打击网络犯罪的需要,逐步建立起由侵犯计算机信息系统及数据安全犯罪立法、传统犯罪网络化的刑事责任确立、侵犯个人信息犯罪和妨害信息网络安全管理秩序犯罪立法组成的“四位一体”的网络犯罪刑法规制体系。当前我国网络犯罪仍处于高发状态,各类网络犯罪相互联系、彼此支撑,形成了庞大的犯罪生态系统,而刑法及其司法适用仍偏重于以传统犯罪立法解释适用的规制策略,重点保护传统法益,未能对网络生态进行全面、系统的治理,尤其是对妨害信息网络安全管理秩序犯罪的刑法规制摇摆不定,不能有效遏制产业链化、生态化的网络犯罪。本文以总体国家安全观为视角,分析我国网络犯罪刑法规制的不足,探寻我国网络犯罪生态治理策略下充分保护网络安全与国家安全的网络犯罪刑法规制。
一、法益保护本位下我国网络犯罪的刑法规制
我国网络犯罪立法以保护法益为本位,通过惩治网络犯罪来保护信息社会中的重要法益。然而,随着新信息技术的发展应用,网络犯罪呈现产业化、族群化态势,网络犯罪分工日益精细化,出现了为网络犯罪提供技术支持、服务推广或信息发布等多种形式的外围黑灰产业违法行为,这些行为不直接侵犯传统犯罪的法益,也没有固定的下游犯罪,却为网络犯罪提供重要支撑或生存环境,成为网络犯罪生态中的关键组成,严重危害我国网络安全与国家安全。针对这些新形式网络犯罪活动,《刑法修正案(九)》调整了网络犯罪刑法治理策略,增设了3种妨害信息网络安全管理秩序犯罪,但是,我国网络犯罪立法、相关司法实践和理论研究以法益保护为本位,不利于有效遏制网络犯罪。
(一)我国网络犯罪立法的不足
我国各网络犯罪立法有其专门保护的法益,但是,各罪立法存在漏洞,整体上保护法益呈现碎片化,相互之间缺乏联结。新设立的妨害信息网络安全管理秩序犯罪不附属于传统网络犯罪立法,但其适用存在从属化趋势,导致对网络犯罪的刑法规制存在疏漏,遏制网络犯罪的功效不佳。
1.侵犯计算机信息系统及数据犯罪立法的不足
《刑法》第285条、第286条规定了侵犯计算机信息系统及数据安全犯罪,经过《刑法修正案(七)》的补充,在原有第285条的基础上,增设了非法获取计算机信息系统数据罪、非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序工具罪,保护法益为计算机信息系统及其中数据的保密性、可用性和完整性。但是,该类网络犯罪立法存在以下不足:
(1)对重要领域的计算机信息系统及数据安全保护不足。《刑法》第285条立法的初衷是对重要领域计算机信息系统提供强保护,保护对象限于国家事务、国防建设、尖端科学技术领域计算机信息系统。随着社会信息化的深入发展,计算机信息系统在社会各领域获得广泛应用,更多的重要计算机信息系统需要受到该罪立法的保护,然而,即使是《网络安全法》规定重点保护的计算机信息系统也并非全部受其保护,反映出该罪保护范围过窄,行刑立法衔接不协调,对重要法益的保护存在疏漏。
(2)《刑法》第285条第1款与第2款的立法逻辑存在矛盾。《刑法》第285条第1款旨在给予重点领域计算机信息系统以更强的刑法保护,只要实施侵入行为即可入罪,但是,对后续非法行为缺乏合理规制。由于第285条第2款排除了对第1款规定的三类重要计算机信息系统的保护,侵入上述三类重要计算机信息系统后实施非法控制,或非法获取其中数据的,若系统中的数据不属于国家秘密、商业秘密、公民个人信息和通信信息,刑法便无法提供保护,只能以非法侵入的手段行为定罪。①(①参见皮勇:《网络黑灰产刑法规制实证研究》,《国家检察官学院学报》2021年第1期,第24页。)非法侵入计算机信息系统的最高法定刑为3年有期徒刑,而第285条第2款对后续侵犯行为设置的最高法定刑为7年有期徒刑,本应得到强保护的三类领域计算机信息系统反而处于弱保护状态。
(3)《刑法》第285条第3款处罚的行为存在纰漏。《刑法》第285条第3款处罚提供侵入、非法控制计算机信息系统程序、工具且情节严重的行为,对打击网络犯罪产业链起到重要作用。但是,随着技术的发展演变,能够侵入、非法控制计算机信息系统的方式增多,不限于提供“程序”“工具”,如通过提供“密码”能够使下游行为人轻易进入计算机信息系统,同样能够侵害法益,却未被规定为犯罪。此外,对法益侵害更严重的破坏计算机信息系统罪中的行为不是该罪的下游犯罪,为其提供前述程序、工具的行为不受该罪规制,对计算机信息系统安全的保护不全面。
(4)《刑法》第286条保护范围不明确,相关条款规定不协调。《刑法》第286条保护的法益是计算机信息系统运行安全,《刑法》第286条第2款规定的严重后果应当与前后款的规定一致,限定为造成计算机信息系统不能正常运行引起的严重后果,否则将使该罪的保护法益不合理地扩张,成为处罚严厉的“口袋罪”。对于没能影响计算机信息系统正常运行的修改计算机信息系统数据并从中获利行为,仅能定性为非法侵入计算机信息系统行为,至多适用非法侵入计算机信息系统罪或非法控制计算机信息系统罪,然而,修改数据行为的危害性要大于非法侵入、非法控制计算机信息系统或单纯获取其中数据的行为,但我国刑法中没有规定干扰业务罪等类似犯罪,这会导致轻纵该类犯罪。
2.传统犯罪网络化刑法规制的不足
传统犯罪网络化表现为以计算机和网络为工具手段,或者在网络环境中实施传统犯罪,对于大部分网络化的传统犯罪适用的是传统犯罪立法,即根据《刑法》第287条、《关于维护互联网安全的决定》的相关规定以及《刑法》分则规定的个罪法条定罪量刑。由于传统犯罪立法以保护现实空间的传统法益为目的,立法时未能考虑犯罪网络化的特征,罪状具有定型性,部分传统犯罪网络化后与其传统形式在危害行为、犯罪对象、犯罪场所等方面均有本质区别,出现传统犯罪立法的适用困难。例如,虚拟财产是否能够成为诈骗罪或盗窃罪的犯罪对象,①(①参见张明楷:《非法获取虚拟财产的行为性质》,《法学》2015年第3期,第19页;陈云良、周新:《虚拟财产刑法保护路径之选择》,《法学评论》2009年第2期,第145-147页;刘明祥:《窃取网络虚拟财产行为定性探究》,《法学》2016年第1期,第151页。)网络空间秩序是否属于寻衅滋事罪立法的公共场所秩序等,②(②参见曲新久:《一个较为科学合理的刑法解释》,《法制日报》2013年9月13日;孙万怀、卢恒飞:《刑法应当理性应对网络谣言——对网络造谋司法解释的实证评估》,《法学》2013年第11期,第12-14页。)在司法实践中存在激烈的争论。
笔者认为,虚拟财产不齐备传统财物的法定特性,将侵犯虚拟财产行为强行解释为盗窃罪或诈骗罪会带来更多的法律问题。网络空间与物理空间形式的公共场所有着本质区别,对于发生在网络空间的犯罪,不应以违反罪刑法定原则为代价,强行抹平公共秩序与公共场所秩序的界限,将扰乱网络空间秩序等同于扰乱公共场所秩序,适用寻衅滋事罪等规制限定在公共场所发生的、扰乱公共场所秩序的犯罪的罪名。对于出现新行为、新对象和新环境的传统犯罪网络异化,可以借鉴国外立法的做法增设必要的新罪,③(③参见皮勇:《〈网络犯罪公约〉框架下的美国网络犯罪立法:特立与趋同》,《国外社会科学》2020年第5期,第36-37页。)而不是以扩大解释的方式套用对危害行为、犯罪场所和犯罪对象有定型性要求的传统犯罪立法,否则,不仅会违反罪刑法定原则,也无法保护遭受新形式犯罪侵犯的新社会法益。
3.侵犯个人信息犯罪立法的不足
关于侵犯个人信息犯罪的法益,在民法和刑法学者中都存在不同观点。我国刑法将侵犯公民个人信息罪设置在侵犯公民人身权利、民主权利罪中,从个罪法益的法定性角度分析,不少学者认为该罪保护的法益是个人信息权。然而,侵犯公民个人信息罪并非只侵害公民的人格权,也不只侵犯个人权益,还会对社会利益和国家利益造成现实的威胁,将该罪法益确定为人身权利与事实不相符。作为侵犯公民个人信息罪的前置法,《个人信息保护法》《网络安全法》等行政法律法规建立了个人信息安全管理制度,“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及该罪的司法实践都表明该罪侵犯的主要是集体法益,将该罪定性为侵犯个人权利的犯罪与相关立法及客观事实相悖。例如,信息处理者经用户同意后违法跨境提供个人信息危害国家安全的,虽然不侵犯个人法益,但违反作为该罪前置法的《个人信息保护法》和《网络安全法》等法律法规,仍有必要予以刑罚处罚。
当前侵犯公民个人信息罪不处罚非法利用个人信息行为,导致侵犯个人信息犯罪立法存在重大缺陷。作为侵犯个人信息黑灰产业链中的核心行为,非法利用个人信息行为直接威胁或侵害个人权利、社会利益和国家利益。而且非法利用个人信息犯罪是非法获取、提供个人信息犯罪泛滥的“源头”和“供养者”,不遏制前者必然陷入“治标不治本”的困境。目前我国刑法中,仅有部分非法使用个人信息行为可以按照传统犯罪的实行犯、预备犯或帮助犯处罚,大量非法使用个人信息的行为并不能被现行刑法所规制,如合法采集和处理中国人的基因信息,但用于定向性基因武器的研发的非法利用行为就不受刑法规制。因此,有必要扩展侵犯公民个人信息罪的处罚范围,为个人权益、社会利益和国家安全提供全面、充分的刑法保护。
4.妨害信息网络安全管理秩序犯罪立法的不足
妨害信息网络安全管理秩序犯罪具有预备或帮助性质行为的特征,对其他网络违法犯罪起支持作用,在过去通常被认为是一般网络违法行为,致使网络犯罪“打而不绝、越打越烈”。为了全面遏制网络犯罪生态,《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪,对信息网络安全管理秩序提供独立的刑法保护,完善了网络犯罪立法体系。但是,刑法学界对以上3罪立法一直存在争议,如有学者认为帮助信息网络犯罪活动罪是帮助犯的量刑规则,进而否定该罪立法的必要性,①(①参见张明楷:《论帮助信息网络犯罪活动罪》,《政治与法律》2016年第2期,第11页。)影响了上述三罪立法功效的正常发挥。
妨害信息网络安全管理秩序犯罪是遏制网络犯罪产业化、生态化的正当性立法,在我国网络犯罪生态中,妨害信息网络安全管理秩序犯罪与其他网络犯罪共生互利、紧密联系,不遏制妨害信息网络安全管理秩序犯罪,不可能实现对网络犯罪的有效治理。妨害信息网络安全管理秩序犯罪不从属于特定的下游网络犯罪,不直接侵犯下游犯罪的法益,②(②参见皮勇:《新型网络犯罪的防范与治理》,《犯罪研究》2021年第6期,第12页。)应当独立适用或者与其他犯罪立法配合适用,不能按照传统犯罪的共犯或预备犯对待,否则,将使该类犯罪立法被空置。同时,妨害信息网络安全管理秩序犯罪立法在情节要件的类型化限定、罪状表述等方面存在一定的不足,限制了该罪立法惩治网络犯罪的作用。
(二)传统法益保护本位下网络犯罪立法的司法适用与理论解释
我国网络犯罪立法的司法适用及刑法理论解释表现出唯法益保护导向,表现为通过扩大解释传统犯罪立法来规制网络化的传统犯罪,扩展传统犯罪立法的保护法益范围,没有充分发挥网络犯罪立法特别是妨害信息网络安全管理秩序犯罪立法的功效,不利于全面、有效遏制网络犯罪。
在司法适用层面,针对因传统犯罪网络化带来的司法问题,司法机关倾向于通过扩大解释的方法延展传统犯罪立法的适用范围:其一,针对犯罪场所网络化异变,司法解释通过把“公共场所秩序”解释为“公共秩序”,将信息网络空间认定为公共场所,从而将在信息网络中编造、散布虚假信息,情节严重的行为以寻衅滋事罪定罪处罚。③(③《最高人民法院最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第5条第2款规定:“编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第(四)项的规定,以寻衅滋事罪定罪处罚。”将《刑法》第293条第(四)项规定的“在公共场所起哄闹事,造成公共场所秩序严重混乱的”中的“公共场所”解释为包含信息网络,将“公共场所秩序”解释为“公共秩序”。)但是,这实质是创设了“扰乱公共信息网络秩序罪”。大多数学者反对这种扩大解释,认为是以司法之名行立法之实,有违罪刑法定原则。④(④参见孙万怀、卢恒飞:《刑法应当理性应对网络谣言——对网络造谋司法解释的实证评估》,《法学》2013年第11期,第13-14页。)其二,对于妨害信息网络安全管理秩序犯罪采取扩大解释共同犯罪和未完成形态犯罪立法的方法,将其按照传统犯罪的共犯或实行犯处罚。“两高一部”《关于办理网络赌博犯罪案件适用法律若干问题的意见》将为赌博网站提供互联网接入、服务器托管等外围帮助服务,为赌博网站提供资金支付结算服务,获利较大的行为以开设赌场罪的共同犯罪认定。“两高”《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》第3条将利用互联网建立主要用于传播淫秽电子信息的群组的行为认定为传播淫秽物品牟利罪的实行行为。笔者认为,以上司法解释以保护传统犯罪法益为中心,既不符合案件的客观事实,又不利于惩治妨害信息网络安全管理秩序犯罪。这是因为:(1)根据我国共同犯罪立法,帮助犯具有从属性,对实施帮助性质行为的行为人的处罚依赖于对正犯行为的查实,而相当多的网络犯罪案件中主要犯罪人不在境内,涉案证据查证困难,难以对前者按共犯追究刑事责任;(2)对实施预备性质行为的行为人按实行犯处罚,与客观事实相违背。建立主要用于传播淫秽电子信息的群组并未实施传播淫秽物品行为,未直接侵犯淫秽物品管理秩序,不是传播淫秽物品罪的实行行为。
与前述司法倾向对应的是,有学者主张以传统法益保护为导向的教义学解释来扩张传统犯罪立法在网络空间的适用。有学者认为对于发生在网络上的传统犯罪,在通过对刑法教义学的犯罪认定原理进行适当调整后,完全可以根据现行刑法规定进行认定处罚。①(①参见陈兴良:《网络犯罪的类型及其司法认定》,《法治研究》2021年第3期,第12页。)笔者不认同这种观点,刑法的解释不应突破文义的涵摄范围。我国刑法规定的适用的确有一定的“张力”,可以适用于大多数网络化的传统犯罪,但是,当构成要件或要素出现本质性网络化异变后,如犯罪对象从现实财物成为虚拟财产、犯罪地点从现实公共场所变为网络空间,扩张相关概念范围无法满足其文义涵摄的统一性,如果无限扩张刑法教义学的解释势必将破坏构成要件的定型机能。传统法益保护导向的刑法理论解释在妨害信息网络安全管理秩序犯罪立法的解释适用中表现得更为突出,有学者将非法利用信息网络罪解释为“预备行为实行化”,②(②参见于志刚:《网络空间中犯罪预备行为的制裁思路与体系完善——截至〈刑法修正案(九)〉的网络预备行为规制体系的反思》,《法学家》2017年第6期,第62-63页。)将帮助信息网络犯罪活动罪解释为“帮助犯的量刑规则”,③(③参见张明楷:《论帮助信息网络犯罪活动罪》,《政治与法律》2016年第2期,第5页。)或者解释为“帮助行为正犯化”,④(④参见刘艳红:《网络犯罪帮助行为正犯化之批判》,《法商研究》2016年第3期,第22页。)不仅违反妨害信息网络安全管理秩序犯罪立法的规定,也突破了刑法关于共同犯罪和未完成形态犯罪的规定。妨害信息网络安全管理秩序犯罪立法是回应网络犯罪产业化、生态化、族群化的独立性犯罪立法,旨在打破网络犯罪生态,弥补原有网络犯罪立法的不足。根据“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的规定,非法利用信息网络罪的下游行为包括了属于刑法分则规定的行为类型但尚未构成犯罪的违法行为,被帮助者是否到案等因素不影响帮助信息网络犯罪活动罪的认定,都说明司法实务不将该罪视为下游犯罪的共犯。有学者试图扩张共同犯罪理论以解决其理论观点与立法和司法解释的矛盾,但是,“扩张式地修订共犯理论,既可能冲击罪刑法定原则,也会使共同犯罪理论愈发复杂难懂,并难以运用到司法实践中”⑤(⑤江溯:《帮助信息网络犯罪活动罪的解释方向》,《中国刑事法杂志》2020年第5期,第83页。)。
二、总体国家安全观视域下我国网络犯罪刑法治理的应然转向
网络安全是国家安全的重要组成部分,网络犯罪生态化增加了网络犯罪治理困难,使国家安全面临来自网络犯罪的严峻挑战,我国网络犯罪的刑法治理应坚持总体国家安全观,转变唯法益保护的治理策略,适应网络犯罪生态化、产业链化态势,进行全过程的、系统性的全面刑法治理。
(一)总体国家安全观对网络犯罪刑法规制的要求
总体国家安全观是新形势下维护和塑造中国特色国家安全的行动指南,兼顾传统安全与非传统安全,以整体安全理念统筹各方面、各领域安全。⑥(⑥参见习近平:《坚持总体国家安全观,走中国特色国家安全道路》,《人民日报》2014年4月16日第1版。)维护国家安全是刑法的重要任务,通过刑法保障总体国家安全是法治国家的基本共识与实践经验。①(①参见高铭暄,孙道萃:《总体国家安全观下的中国刑法之路》,《东南大学学报(哲学社会科学版)》2021年第2期,第60页。)网络犯罪刑法规制体系应符合保障总体国家安全的要求,为国家安全提供全方位的刑法保障。随着我国社会网络化、数字化、智能化,网络、数据与算法成为推动社会变革的“三驾马车”,网络是数据与算法应用的基础,数据是新的生产要素,算法则为智能化发展赋能,网络犯罪也在社会变革中不断变化犯罪样态,对网络、数据以及算法安全构成严重威胁,危害社会变革中的我国国家安全。根据总体国家安全观的要求,网络犯罪的刑法规制体系应以保护网络安全为根本,全面保护数据安全,重点保障算法安全,构筑严密的刑法保障体系,维护网络空间安全,保障国家安全。
第一,维护网络安全保障网络运行安全和网络空间安全秩序。没有网络安全,就没有国家安全,保护网络安全是网络犯罪刑法规制体系的基本任务。随着互联网与社会各领域活动紧密结合,网络安全风险向社会各领域渗透,传统安全风险与非传统安全风险交织,风险内容多变、形式更新、强度升级,需要以全面、系统的刑法规制来防控网络犯罪。首先,刑法应给予计算机信息系统更全面的安全保障,计算机信息系统安全是网络安全的底层“基石”,总体国家安全观下,不仅要重点保护国家事务、国防建设、尖端科学技术等重点领域的计算机信息系统安全,还应对金融、医疗等其他重要计算机信息系统安全给予必要的刑法保护。近年来教育、金融、交通、医疗、能源等非传统领域计算机信息系统成为国内外网络攻击的重点对象,对国家安全造成严重危害。②(②参见《2021年网络安全形势分析与2022年展望》,浙江省人民政府网,http://gat.zj.gov.cn/art/2022/4/22/art_1229442538_59087000.html,2022年4月24日访问。)其危害较之于攻击前述三类特定领域计算机信息系统有过之而无不及,产生了严重的国家安全风险。其次,传统犯罪网络化不仅改变了传统犯罪的手段方法,还产生了新形式犯罪,这些新型犯罪破坏网络空间的正常秩序,危害网络空间安全。维护总体国家安全观,要求刑法对网络犯罪的变化迭代予以动态回应,及时填补网络犯罪立法的漏洞。再次,个人信息不只关联个人利益,特殊的个人信息及其集合蕴藏着影响社会与国家安全的信息内容,而侵犯公民个人信息罪对个人信息的保护并不充分,有必要加强对个人信息的刑法保护。最后,独立的“外围性”网络犯罪是网络犯罪生态的重要组成,严重危害网络空间安全,不遏制此类网络犯罪,就不能遏制网络犯罪的泛滥,无法保障网络安全与国家安全。
第二,保护数据安全推动数字社会安全发展。数据是数字社会的核心,充分保护数据安全是维护总体国家安全对网络犯罪刑法规制的必然要求。数据对数字社会安全与发展具有重要价值,根据国际数据公司IDC预测,2025年全球数据量达到175ZB,将为驱动数字经济快速发展持续赋能,③(③See I-SCOOP:Data Age 2025:the datasphere and data-readiness from edge to core,https://www.i-scoop.eu/big-data-action-value-context/data-age-2025-datasphere/,2022年4月24日访问。)在我国,数据成为和劳动、资本、土地、知识等并列的生产要素,是促进社会发展的重要推力。④(④参见中共中央国务院:《关于构建更加完善的要素市场化配置体制机制的意见》,http://www.gov.cn/xinwen/2020-04/09/content_5500622.htm,2022年4月24日访问。)当前数据安全面临严重威胁,针对数据的窃取、篡改、破坏等攻击活动日益严重,数据不仅记录个人信息、商业秘密,还包含国家秘密和情报,非法获取、持有、提供和使用涉及国家经济利益和国家安全的数据,严重威胁国家安全与利益。美国、欧盟等国家和区域性组织已经将保护数据安全上升至国家和区域安全战略,我国也通过了《网络安全法》《数据安全法》来加强数据安全保护、促进数据有序流动和合理利用。保护数据安全,不仅要保护国家秘密和情报,也不只是保护国家事务、国防建设、尖端科学技术领域计算机信息系统中的数据,其他如金融、交通、公共服务等关系国计民生重要领域的计算机信息系统及相关载体中的数据也应当受到刑法保护。即使是个人信息,如果可以从中分析出影响国家安全和利益的情报信息,也应当从维护总体国家安全的高度进行刑法保护。例如,当前侵犯个人信息犯罪持续为电信网络诈骗“供养充能”,导致公众财产损失,使得大量国民资产被非法转移到境外,对我国国内经济和社会稳定造成严重危害,不能仅仅将电信网络诈骗犯罪视作侵犯个人利益的侵犯财产犯罪,而要将个人数据安全的刑法保护作为保护总体国家安全的重要组成部分。
第三,保障算法安全促进智慧社会建设。在社会智能化过程中,算法安全风险成为总体国家安全的新威胁,网络犯罪立法应为算法安全提供刑法保护。新一代人工智能技术的核心是机器自主学习算法,随着算法迅速演进及人工智能的社会化应用,①(①参见中国人工智能学会编著:《中国人工智能发展报告(2019—2020)》,机械工业出版社2020年版,第216页。)人工智能在金融、交通、教育、医疗、司法等领域发挥了重要作用。新一代人工智能算法的技术局限、算法的不当使用、针对算法的网络攻击会给算法应用活动造成严重危害,损害个人、集体、社会与国家安全:(1)新一代人工智能算法本身具有技术局限性。无论是在人工智能算法理论研究还是其实际应用中,基于深度学习算法的感知与理解技术在自适应性、鲁棒性、可解释性方面的问题仍未解决,②(②参见谭铁牛编著:《人工智能·用AI技术打造智能化未来》,中国科学技术出版社2019年版,第194页。)导致算法应用的可控性、稳定性与可靠性存在基础性的安全隐患。例如,特斯拉汽车搭载的图像识别算法无法正确识别障碍物,将白色车厢识别为白云从而发生严重的交通事故,③(③参见《特斯拉自动驾驶车祸致死:因为系统识别不了白色?》,搜狐网,https://www.sohu.com/a/101238136_418128,2020年4月28日访问。)对个人以及公共安全造成重大损害。(2)算法滥用具有严重危害性。算法应用企业通过算法分析构建消费者行为画像实施“大数据杀熟”,严重损害消费者权益,扰乱正常的市场经济秩序。出于非法目的滥用深度学习算法实施音像深度伪造,合成国家领导人讲话音视频,严重危害国家安全。(3)通过“数据投毒”“对抗样本干扰”等进行算法攻击,会严重破坏算法稳定性、可靠性和有用性,不仅会导致算法无法正常使用,还可能生成破坏性的算法,对算法应用活动造成严重破坏。为了维护总体国家安全,促进新一代人工智能应用,刑法应当保护算法生产和应用安全,惩治严重危害算法安全行为。
综合以上,在智慧社会发展过程中,网络安全、数据安全与算法安全成为总体国家安全的新组成部分,应当得到刑法的充分保障。当前网络空间不只是计算机信息系统及其数据的简单集合,也不只是传统行为的网络化,而是包含了计算机信息系统、大数据、个人信息、算法等要素并融合网络化、数字化与智能化的新社会形态,对新形势下的国家安全有重大影响。刑法应及时回应网络空间内安全要素的动态变化,满足维护总体国家安全的要求,及时完善网络犯罪立法并依法合理适用。
(二)网络犯罪刑法规制的应然转向
我国网络犯罪的刑法规制应当体现总体国家安全观,适应网络犯罪生态化、产业链化特征,转向新的规制策略。
1.满足维护总体国家安全的需要
我国是互联网大国,也是遭受网络攻击最严重的国家之一,面临着严峻的网络安全问题,仅2021年下半年便有近40%的网民遭遇个人信息泄露、网络诈骗、设备中毒等网络安全问题。④(④参见中国互联网络信息中心:《第49次中国互联网络发展状况统计报告》,第25、103页。)网络犯罪不仅危害公民个人安全,还对公共安全和国家安全产生威胁,网络犯罪立法与司法应关注网络安全内容的变化演进,满足维护总体国家安全的需要。
国家安全是指一种没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。维护总体国家安全应以国家对安全、稳定状态及安全维持能力的需求为导向,网络犯罪立法与司法应当以维持网络空间安全与稳定为重要任务,以系统完备的立法架构和有效的司法适用体系形成持续保障网络空间安全的能力。当前网络犯罪立法与司法以保护传统法益为重心,不能有效回应网络犯罪的动态变化,在维护总体国家安全的任务导向下,需要将规制重心转移到保障网络空间安全与国家安全上。
在我国“四位一体”的网络犯罪立法体系中,各类网络犯罪立法都有相对独立的法益保护任务。如果只注重本类网络犯罪立法的主要保护任务,难以避免网络犯罪去中心化下的刑法治理碎片化。①(①参见喻海松:《网络犯罪形态的碎片化与刑事治理的体系化》,《法律科学(西北政法大学学报)》2022年第3期,第62-63页。)详言之,以法益保护为中心的网络犯罪立法及其适用未能充分重视网络犯罪的生态化特征,仅从符合构成要件的危害行为性质来判断侵犯了何种法益,进而适用某类网络犯罪立法,而未能重视特定网络犯罪行为对超出网络犯罪立法所保护的法益之外的国家利益的危害,导致对作为总体国家安全重要组成部分的网络安全的保护不充分,表明“单点治理”“分散治理”的网络犯罪刑法规制策略存在不足,不利于遏制链条化、产业化的网络犯罪,不能有效打击网络犯罪、保障国家安全。
此外,当前传统犯罪网络化是我国网络犯罪的主体,我国网络犯罪司法倾向适用传统犯罪立法来处罚网络犯罪,主要是通过扩张适用共同犯罪和未完成形态犯罪立法来惩治新网络犯罪行为,这种规制思路没有保护新网络犯罪侵犯的法益,也没有保护遭受新网络犯罪侵犯的国家安全。在网络空间犯罪生态中,提供网络技术帮助行为是网络犯罪得以实施的关键,其危害作用并非只是帮助、辅助作用,往往能够超越实行行为的社会危害,②(②参见于志刚:《共犯行为正犯化的立法探索与理论梳理——以“帮助信息网络犯罪活动罪”立法定位为角度的分析》,《法律科学(西北政法大学学报)》2017年第3期,第84页。)传统犯罪立法的司法适用将其视为传统犯罪的从属行为,不能正确反映该类犯罪对网络安全的实际危害,以保护传统犯罪法益为核心的单点治理与碎片化治理,必然导致网络犯罪刑法治理出现大量空白地带,无法有效保障网络空间安全。
网络犯罪立法与司法应转向维护网络空间安全,重视妨害信息网络安全管理秩序犯罪的严重危害性和独立性,将其按照独立犯罪进行惩治,切断网络犯罪生态中的各类网络犯罪之间的联系。同时,网络犯罪立法与司法应当适应网络空间要素不断扩充变化的社会环境,跟随网络犯罪的变化及时进行调整,为国家安全提供可持续性的刑法保障。
2.对网络犯罪生态进行系统化治理
网络安全已经融入总体国家安全,网络空间安全的实体内容转化为国家安全要素。③(③参见于志刚:《网络安全对公共安全、国家安全的嵌入态势和应对策略》,《法学论坛》2014年第6期,第16页。)各类网络犯罪在网络空间内互利共生,演化出庞大的网络犯罪生态,为了维护网络空间安全、保障国家安全,应实施面向网络犯罪生态的刑法治理策略,对网络犯罪进行系统化的刑法规制。
网络犯罪生态表现为各种网络犯罪相互影响、网络犯罪与网络空间环境相互作用的系统,遏制网络犯罪生态的刑法规制应以阻断犯罪生态联系和控制各环节犯罪为目标。然而,以传统法益保护为本位的网络犯罪立法和司法不以切断网络犯罪生态为主要目标,只是打击传统犯罪网络化,保护传统犯罪法益,不能有效遏制网络犯罪生态的扩张。以电信网络诈骗犯罪为例,我国电信网络诈骗犯罪持续高发,成为数量上升最快的刑事案件类型之一,④(④参见《电信网络诈骗犯罪呈高发态势》,光明网,https://m.gmw.cn/baijia/2021-09/28/1302616199.html,2022年4月25日访问。)每年导致大量国内资产外流损失。在总体国家安全观的视域下,电信网络诈骗犯罪不是单纯的诈骗行为,更不只是诈骗罪犯罪手段的网络化,而是包含上、中、下游犯罪的网络犯罪生态活动,上游犯罪为提供个人信息和“两卡”、通过伪基站发送诈骗信息等行为,下游犯罪为转移资金、取现隔断资金流向、汇钱出境等行为,这些上下游的外围行为并不依赖于特定诈骗犯罪生存,而是与境内外诈骗犯罪人以非法交易形式提供非法服务,没有这些上下游行为的帮助、支持,电信网络诈骗难以实施,更不会发展到当前严峻的态势。同时,这些上下游犯罪也从诈骗犯罪的资金输送中获得了生长动力,不断有新的犯罪人加入上下游犯罪群体,形成共生互利的生态系统。虽然对单个诈骗犯罪的单个上下游行为的社会危害性不严重,但是,该类犯罪却是网络犯罪生态中各类犯罪之间的“桥梁”和“链条”,使网络犯罪在网络空间内不断滋生蔓延,持续恶化网络空间安全环境。只有以阻止网络犯罪生态扩张、压缩网络犯罪的生存空间为目标,通过打击外围网络犯罪来“断桥割链”,网络犯罪立法和司法才能有效遏制各类网络犯罪。妨害信息网络安全管理秩序犯罪立法适应了前述中间性网络犯罪的独立性,将其独立犯罪化而不再从属于下游实行行为,较之于适用传统犯罪立法,能够更好地遏制网络犯罪生态的扩张。①(①参见皮勇:《新型网络犯罪独立性的教义学分析及司法实证》,《政治与法律》2021年第10期,第98页。)如果对这类网络犯罪仍然按照传统犯罪的共犯或未完成形态犯罪定罪处罚,无论如何扩张传统犯罪理论都会受困于传统犯罪立法,不利于网络犯罪的防控。
对网络犯罪应坚持系统化治理策略,坚持预防与打击并重、刑事司法与行政执法结合以及多元主体共治的治理模式。首先,对网络犯罪进行全程刑法治理。当前网络犯罪呈现出“网上”“网下”相结合的犯罪样态,大量犯罪案件可以查实设立网站与通讯群组等“网上”行为,却难以查实“网下”违法活动。②(②参见喻海松:《新型信息网络犯罪司法适用探微》,《中国应用法学》2019年第6期,第159页。)在当前网络犯罪样态下,网络犯罪的刑法规制应重视事前打击,将犯罪遏制在萌芽阶段,不应等待“网下”法益侵害结果发生后再惩治,否则,在客观证据难以收集的情况下必然会放纵部分犯罪。坚持网络犯罪预防与打击并重,应当充分发挥妨害信息网络安全管理秩序犯罪立法“清洁”网络空间环境的作用,对网络犯罪的初期行为进行刑法治理。其次,对网络犯罪进行体系化治理。妨害信息网络安全管理秩序犯罪在过去被视为一般网络违法行为,通过限定危害行为类型、利用信息网络实施的犯罪方法并设置“情节严重”要件,使妨害信息网络安全管理秩序犯罪立法符合刑事违法性和刑事可罚性要求。在惩治这类网络犯罪过程中,仍然要区别于一般违法行为,做好行刑衔接,避免不当扩张刑法处罚的边界。最后,对网络犯罪应坚持多主体共治。除了集合公安机关等网络监管部门力量外,应发挥网络服务提供者的协助管理作用。互联网的发展应朝向适法有序,对网络服务提供者施加安全保障义务,是推动互联网健康发展的关键。③(③参见刘文杰:《网络服务提供者的安全保障义务》,《中外法学》2012年第2期,第403页。)同时,网络社会无法脱离现实空间内的社会主体进行独立运行,应充分发挥社会各主体力量,共同参与网络空间治理,实现对网络犯罪生态的全程、系统化防控。
三、网络犯罪刑法规制的原则与路径
“在社会转型的背景下,对于刑法的制度性反思要突破刑法学的边界,在整体法秩序乃至整个社会治理体系的视域下进行。”④(④崔仕绣、王付宝:《社会治理现代化下的刑法与刑法修正探析——以〈刑法修正案(十一)〉为视角》,《上海政法学院学报(法治论丛)》2022年第4期,第104页。)网络犯罪侵犯个体利益,妨害社会管理秩序,危害国家安全,对网络犯罪的刑法规制不能局限于保护个罪的特定法益,更不能将网络犯罪立法的适用限制在传统犯罪立法的框架内。网络犯罪立法与司法应秉持总体国家安全观,为网络安全和国家安全提供充分的刑法保护,对网络犯罪生态进行系统化、全程、全面的刑法治理。
(一)网络犯罪的刑法规制原则
网络犯罪的刑法规制应当充分发挥网络犯罪立法和传统犯罪立法的功效,使之相互协调、配合,并及时创新发展网络犯罪立法,为网络安全提供充分的刑法保护。
第一,应当独立适用妨害信息网络安全管理秩序犯罪立法。在网络犯罪产业链化、生态化发展中,网络犯罪既分工配合、互利共生,又相互独立、自力生存。有数据显示,近20%的网络诈骗案件由不法分子利用他人提供的公民个人信息实施,精准诈骗极大地提高了犯罪成功概率。①(①参见《网络犯罪大数据报告及电信网络诈骗犯罪典型案例新闻发布会》,最高人民法院官网,http://www.court.gov.cn/zixun-xiangqing-200651.html,2022年5月1日访问。)网络化的传统犯罪离不开网上相关帮助、支持行为,包括为网络犯罪提供宣传推广、技术支持、资金结算以及各类信息、工具物料的外围违法活动形成的庞大黑灰产业,与其他网络犯罪形成了网络犯罪生态体系,②(②参见喻海松:《网络犯罪黑灰产业链的样态与规制》,《国家检察官学院学报》2021年第1期,第42页。)网络黑灰产业能够从网络犯罪生态中独立获取非法利益,降低下游网络犯罪的犯罪成本,是推动下游犯罪成功实施的关键。网络犯罪产业链化有两个基本特征:一是网络犯罪链条化,网络犯罪链条中的上、中、下游犯罪相互联系,呈现出联结性特征;二是网络犯罪产业化,网络犯罪链条中的上、中、下游各环节形成了独立产业,有着独立的犯罪样态与犯罪收益模式。不少学者关注到了网络犯罪产业链化的联结性特征,认为上游网络犯罪对中下游网络犯罪具有从属性,将其解释为共同犯罪关系,而无视其事实上的独立性,导致刑法对其规制失灵。我国刑法应转变片面依靠传统犯罪立法的治理思路,从单点治理转向生态治理,对网络犯罪产业链化进行科学回应,充分发挥妨害信息网络安全管理秩序犯罪立法惩治网络黑灰产业犯罪的功效,避免将其束缚在传统犯罪立法适用的框架内。
第二,协调网络犯罪立法与传统犯罪立法的适用。网络犯罪生态是多种网络犯罪的集合,构筑维护国家安全的、惩治网络犯罪的刑事法网,需要协调网络犯罪立法与传统犯罪立法,使之相互配合。从我国网络犯罪涉及的罪名来看,按诈骗罪、开设赌场罪、盗窃罪等传统罪名适用的案件数量在网络犯罪案件中占多数。③(③参见中国司法大数据研究院:《网络犯罪特点和趋势(2016.1—2018.12)》,https://www.court.gov.cn/upload/file/2019/11/22/14/42/20191122144257_13346.pdf,2022年5月1日访问。)近年来随着电信网络诈骗犯罪高发,帮助信息网络犯罪活动罪等新型网络犯罪的适用率快速上升,④(④参见《电信网络诈骗犯罪呈高发态势》,最高人民检察院官网,https://www.spp.gov.cn/llyj/202109/t20210928_531166.shtml,2022年5月1日访问。)这说明传统犯罪与网络犯罪立法在网络犯罪规制中都发挥了重要作用,二者配合适用是治理我国网络犯罪的应然选择。因此,首先,要利用好网络犯罪立法与传统犯罪立法之间的互补关系,共同维护网络空间安全与国家安全。网络犯罪立法是维护网络空间安全的基本立法,重点保护计算机信息系统及数据安全、网络信息安全、信息网络安全管理秩序等网络空间的专门法益,而传统犯罪立法能回应大多数向网络空间转移的传统犯罪,可以规制包括以互联网为工具的、侵害传统法益的犯罪行为,二者都是网络安全与国家安全的重要刑法保障。其次,要根据网络犯罪的实际状况合理适用网络犯罪和传统犯罪立法。网络空间是现实空间各类要素的映射,同时,具有自身独特的虚拟性、无限延展性等特性,部分网络空间内发生的犯罪在构成要件要素上并无本质性改变,仍能通过传统犯罪立法来规制;也有部分犯罪有本质性改变,应按其手段行为适用网络犯罪立法,不应强行扩张传统犯罪立法的适用范围,不能突破罪刑法定原则的刑事司法底线。再次,要处理好网络犯罪与传统犯罪立法的竞合。网络犯罪立法与传统犯罪立法存在交叉部分,要以合理方式解决二者的竞合问题,一般情况下是按照从一重罪定罪量刑的原则处理,但是,如果因为立法原因按照重罪认定会导致罪刑失衡,应当按照法治国原则选择适用适当的法条。
第三,与时俱进促进网络犯罪立法的创新发展。与信息技术的发展应用同步,网络犯罪样态在不断变化,网络犯罪立法应及时消除新网络犯罪带来的安全威胁。网络犯罪是“技术敏感型”犯罪,随着我国社会网络化、数字化与智能化发展,衍生出与大数据、人工智能等新一代信息技术应用相关的新网络犯罪,在新信息技术的帮助下,犯罪成本显著下降,犯罪成功率不断攀升,犯罪危害持续扩大。例如,利用人工智能技术能够对网络空间内的各类信息进行整合、分析、处理,精准筛选诈骗对象,自动生成针对特定被害人的诈骗信息,自动发送信息或呼叫电话与应答,实现电信诈骗犯罪全程智能化。深度伪造等人工智能技术在犯罪中的应用大幅提高了犯罪的欺骗性与隐蔽性,如在侵犯公民个人信息犯罪案件中,唐某等人通过合成3D人脸动态图破解了支付宝人脸识别系统,①(①四川省成都市郫都区人民法院(2019)川0124刑初610号刑事判决书。)张某将他人头像照片通过软件合成为3D人脸动图,骗取新用户红包奖励。②(②浙江省衢州市中级人民法院(2019)浙08刑终333号刑事裁定书。)人工智能等新一代信息技术对网络空间治理产生颠覆性影响,由于欠缺技术能力,被害人既无法准确识别AI伪造活动,也无法对犯罪进行有效预防。网络用户对犯罪的感知能力、识别能力与防控能力显著下降,犯罪分子无须与被害人进行任何实质接触,仅需要获取部分信息便可伪造用户身份,而用户对自己信息被泄露和使用可能毫不知情,因此,网络犯罪防控与治理的核心主体必然转向网络平台等网络服务提供者。网络服务提供者能够第一时间管控网络空间内的违法犯罪活动,要求网络服务提供者承担必要的网络空间安全管理义务是必然选择,目前国外信息发达国家给网络服务提供者设立了协助执法、内容信息监管、用户数据保护等义务,对防控网络空间犯罪发挥了重要作用。③(③参见皮勇:《论网络服务提供者的管理义务及刑事责任》,《法商研究》2017年第5期,第14-17页。)未来网络犯罪是融合网络、数据和智能算法的更高层级的信息犯罪,对这类犯罪的防治会遇到感知、识别与防控等新困难,网络犯罪立法需要及时回应新一代人工智能技术、大数据技术的发展给犯罪防治带来的挑战,根据新网络犯罪的特征调整规制策略,在现有犯罪立法无法有效规制时,应及时修改网络犯罪立法,增设涉及人工智能的犯罪立法,为我国网络安全与国家安全提供充分的刑法保护。
(二)网络犯罪刑法规制的完善路径
针对前述网络犯罪立法和司法问题,为了充分保护网络安全,我国网络犯罪立法和司法应当根据网络犯罪生态化、产业链化态势进行调整和完善,同时,为网络犯罪智能化发展做好预防性准备。
1.立法层面
我国网络犯罪立法应在总体国家安全观的指导下,从维护总体国家安全的需要出发,以瓦解网络犯罪产业链条,保障网络空间安全为目标,针对性完善现有立法保护存在的不足。
首先,为各领域计算机信息系统和数据安全提供全面、全过程的刑法保护。一是要扩大刑法对计算机信息系统的保护范围。计算机信息系统安全是网络安全的重要组成部分,在总体国家安全观下,为了充分保护网络安全和国家安全,《刑法》应与《网络安全法》相衔接,将《网络安全法》第31条重点保护的计算机信息系统纳入刑法保护范围。二是要解决《刑法》第285条各款之间的逻辑混乱问题,应将非法获取重要领域计算机信息系统数据、非法控制重要领域计算机信息系统入罪化,在法定刑设置上体现出对重要领域计算机信息系统及数据提供强保护的立法逻辑,使立法内容符合对不同类型计算机信息系统实施分级保护的立法本意。三是要扩展第285条第3款的保护范围,扩大危害行为范围,将“制作、销售、分发”等行为纳入该罪规制范围,实现对间接侵犯计算机信息系统行为的全程打击,同时,扩大犯罪对象范围,使之可以包含不能被“程序”“工具”涵盖的“密码”“深度链接”等行为对象,合理规制能够对计算机信息系统造成同等法益侵害的行为,将提供专门用于破坏计算机信息系统以及用于其他严重违法犯罪等下游违法犯罪纳入该罪规制。四是要明确规定《刑法》第286条第2款处罚的行为应“造成计算机信息系统不能正常运行”。针对司法实践中经常出现修改数据非法获利、但尚未造成计算机信息系统无法正常运行的情况被认定为该罪的情形,应统一该条三款的规定,即因该罪行为造成计算机信息系统不能正常运行,回归该罪立法保护计算机信息系统及其数据安全的本意。如果要为计算机信息系统数据提供更全面的刑法保护,可参考《网络犯罪公约》第4条规定的设立思路,④(④欧洲理事会:《网络犯罪公约》第4条规定了数据干扰犯罪,要求每一缔约方均应采取必要的立法和其他措施,在其国内法下,将故意擅自损坏、删除、危害、修改或妨害使用计算机数据的行为定为刑事犯罪。See Convention on Cybercrime of Europe of 23.11.2001(ETS No.185).)单独设置侵犯计算机信息数据罪,并配置相对较轻的法定性。
其次,完善传统犯罪网络化立法与侵犯个人信息犯罪立法。传统犯罪立法在应对构成要件要素性质变化的网络化传统犯罪时遇到司法适用上的困难,寄希望于以传统犯罪立法的扩张解释规制全部网络犯罪并不现实,应以网络空间立法思维完善相关犯罪立法,对网络空间的新法益进行保护。①(①参见孙道萃:《网络刑法知识转型与立法回应》,《现代法学》2017年第1期,第124页。)例如,针对财物虚拟化与空间网络化问题,欧洲理事会《网络犯罪公约》第8条要求各缔约国设立计算机相关诈骗罪,②(②欧洲理事会:《网络犯罪公约》第8条规定了计算机相关诈骗罪,是指出于不法为自己或者第三人谋取经济利益的诈骗或者不诚实获取意图,未经授权故意输入、修改、删除或压制计算机数据,或者干扰计算机系统功能,导致他人财产损失。See Convention on Cybercrime of Europe of 23.11.2001(ETS No.185),Explanatory Report,No.86-90.)体现了网络空间立法思维,值得我国借鉴。个人信息安全与国家安全紧密联系,侵犯个人信息犯罪立法应满足保护国家安全的需要。个人信息安全是数据安全的核心内容,个人信息关联个人、企业、社会和国家利益,只有全面打击侵犯个人信息犯罪,才能有力保障国家安全。当前侵犯公民个人信息罪只处罚非法获取、提供个人信息的行为,应将该罪行为至少扩展至非法使用个人信息,以实现对侵犯个人信息犯罪链的全程刑法打击。此外,将侵犯公民个人信息罪设置于“侵犯公民人身权利、民主权利罪”一章不利于保护国家安全,应调整其在《刑法》中的位置,将其纳入“妨害社会管理秩序罪”一章,充分发挥侵犯公民个人信息罪对维护国家安全的应有功效。
再次,完善妨害信息网络安全管理秩序犯罪立法,及时设立必要的涉人工智能犯罪立法。妨害信息网络安全管理秩序犯罪立法对治理网络空间环境、维护网络安全具有特别作用。“两高”《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《妨害信息网络安全管理秩序犯罪解释》)较好地解决了其大部分司法适用问题,但是,仍留有部分问题需要在立法层面解决,如拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪的部分构成要件要素定型化不足,不应留给司法解释和学理解释来解决。此外,在新一代人工智能技术发展应用的环境下,网络犯罪智能化带来犯罪主体、犯罪行为、行为对象的智能异变,传统刑法适用出现问题。网络犯罪立法应顺应智能时代的发展,及时回应涉人工智能犯罪的挑战,将新一代人工智能的研发、生产和应用纳入刑法规制的范围,为社会智能化发展中的国家安全提供充分的刑法保护。
2.司法层面
网络犯罪的刑事司法要体现对国家安全的保护。对于传统犯罪网络化的刑事司法,应当在法律规定与文义范围内解释有争议的构成要件,实现对网络化传统犯罪的合法规制。对于侵犯计算机信息系统及数据安全犯罪的刑事司法,要充分发挥该类犯罪立法从犯罪手段上规制网络犯罪的作用,同时,要注意到其主要保护法益是计算机信息系统及其数据安全,其适用有一定的范围,应当避免违背罪刑法定原则不当扩大适用。对于侵犯公民个人信息罪的刑事司法,既要充分发挥其保护个人信息权益的重要作用,也要注意该罪的犯罪前提是违反保护个人信息的国家有关规定,即该罪的主要保护法益不是个人信息权益而是个人信息安全管理秩序,包括保护国家安全,因此,即使不侵害个人信息权益,但违反国家有关规定非法获取、提供公民个人信息且情节严重的,也应按该罪定罪处罚。妨害信息网络安全管理秩序犯罪设立时间不长,司法实务和理论上存在较大争议,应对其合理解释适用,发挥好该类犯罪立法遏制网络犯罪、保护网络安全和国家安全的作用。
目前拒不履行信息网络安全管理义务罪呈现出空置化倾向,需要依法合理解释该罪相关构成要件,督促网络服务提供者依法履行协助管理网络空间。截至2022年5月1日,在裁判文书网上仅能查到3份以该罪判决的刑事判决书,其中,2件案件中的犯罪行为是非法提供VPN服务或翻墙软件,③(③上海市浦东新区人民法院(2018)沪0115刑初2974号刑事判决书;荆州市荆州区人民法院(2018)鄂1003刑初150号刑事判决书。)1件是违反用户实名制进行挑卡,导致用户个人信息泄露,①(①云南省昆明市盘龙区人民法院(2020)云0103刑初1206号刑事判决书。)该罪不仅适用极少,理论界对该罪立法的必要性与合理适用范围争议也较大。《妨害信息网络安全管理秩序犯罪解释》对三罪的部分构成要件要素进行了解释,解决了部分适用问题,该罪的司法适用还需要注意以下问题:(1)网络服务提供者及其提供的服务应具有合法性。前述司法解释列举了网络服务提供者的服务提供范围,但对服务主体及服务的性质未进行明确说明。前述司法裁判中,提供VPN服务属于违法行为,提供者本身也不具有提供网络服务的正当性身份,其行为模式是直接从事违法行为,不符合本罪的构成条件。(2)应当明确信息网络安全管理义务的范围。该罪是不作为犯,前述司法解释并未明确网络服务提供者的安全管理义务范围,应对其管理义务进行形式与实质上的双重限定,使该罪有明确的适用范围,避免该罪的泛化适用对行刑边界的不当突破。在法律形式上,网络服务提供者的管理义务只能来自法律与行政法规,在实质上应将管理义务限定在能够引发该罪第1款规定的四项严重后果的范围内,即义务内容与危害后果应具有相当性。(3)应当合理评价该罪的情节要件。根据体系解释的原则,该罪第1款第(四)项规定的“其他严重情节”应与前3项具有相当性,即造成危害后果,而《妨害信息网络安全管理秩序犯罪解释》第6条第(一)(二)项是对危害行为本身的评价,不当扩大了适用范围。
非法利用信息网络罪具有“积量构罪”特征,该罪立法应当合理适用和独立适用。在适用该罪立法时,要坚持网络犯罪的系统性防控思路,正确适用《妨害信息网络安全管理秩序犯罪解释》第7条的规定,若下游犯罪是不符合刑法分则规定的行为类型的一般违法行为,则不应纳入该罪的打击范围,应充分发挥相关行政法规制违法行为的作用,避免过度依赖刑法手段。对该罪的入罪门槛不宜设置过低,即需要对入罪“积数”进行合理限制,《妨害信息网络安全管理秩序犯罪解释》第10条第(二)(三)项对设立用于实施违法犯罪活动的网站或通讯群组的入罪“积数”标准设置过低,应结合网站、群组数量与账号、成员数量对危害程度进行综合判断,若设置网站数量虽达到三个,但网站注册账号数量仅有几条或十几条的,不应作为犯罪处理。该罪的下游犯罪的社会危害性程度不同,其司法适用应考虑下游违法犯罪的严重性程度,相应调整该罪行为积量入罪的“积数”标准。②(②参见皮勇:《论新型网络犯罪立法及其适用》,《中国社会科学》2018年第10期,第148-149页。)
合理解释帮助信息网络犯罪活动罪的主客观要件,并与传统犯罪立法协调配合适用。首先不应将该罪的“明知”限定为帮助犯的犯罪故意,只要行为人对下游犯罪有概括性认知即可。该罪是独立的犯罪,《妨害信息网络安全管理秩序犯罪解释》第13条明确规定了该罪的独立适用规则,其立法目的是遏制不能按共同犯罪处罚的外围性、中间性危害行为,司法实践中不应以共同犯罪构成条件来限制该罪的适用。同时,前述解释第11条设置了“明知”的反证规则,对“明知”的认定不宜过分宽松,在“两卡”犯罪中不能仅以犯罪嫌疑人出售了“两卡”推定其“明知”,而应结合行为人的主观认知能力进行综合判断。其次,对于该罪中“他人利用信息网络实施犯罪”的“犯罪”,应结合该解释第12条第2款、第13条进行综合判断,并与非法利用信息网络罪中“违法犯罪”的内涵保持协调,将被帮助对象实施的行为限制为犯罪不符合该罪的立法本意。③(③参见喻海松:《新型信息网络犯罪司法适用探微》,《中国应用法学》2019年第6期,第161页。)最后,应注意对该罪“情节严重”的合理认定,应结合行为介入下游犯罪的程度等情况综合判断行为的危害性大小,依据危害程度对入罪“积数”进行合理调整。该罪与其他犯罪的帮助犯具有竞合关系,对于符合其他犯罪的帮助犯条件且处罚更重的,一般应当按照帮助犯处理,由于案件的客观条件或只能整体评价为情节严重的,应当按照该罪定罪处罚。该罪与非法利用信息网络罪也存在竞合关系,如果行为人明知下游犯罪的性质而帮助他人设立网站或通讯群组、发布信息时,应当按该罪定罪处罚。
[责任编辑:无 边]
The Criminal Law Regulation of Cybercrime from the Perspective of Overall National Security
PI Yong ZHANG Ming-cheng
(Shanghai International Institute of Intellectual Property,Tongji University,Shanghai 200092,China)
Abstract:Cybercrime has formed a huge industrial chain and criminal ecosystem,which seriously endangers China’s network security and national security,and has not been effectively curbed under the cybercrime governance strategy based on the protection of legal interests.The legislation on crimes against information network security management order maintains the order of information network security management and helps to curb the spread of crimes in cyberspace,but the controversy about its application affects the effectiveness.In response to the ecologization of cybercrime,China should change its cybercrime governance strategy,and under the guidance of the overall national security concept,turn to the ecological governance of cybercrime,systematic prevention and control,and make full use of traditional crime legislation to punish networked traditional crimes,as well as independently apply cybercrime legislation to industrial chain and ecological cybercrime,so that the two can coordinate and cooperate to effectively maintain cyberspace security and safeguard national security.The criminal law system of cybercrime should not be limited to protecting the specific legal interests of individual crimes,and the application of cybercrime legislation should not be restricted to the framework of traditional crime legislation,but should be aimed at fully protecting network security and national security,and cybercrime legislation and judicial rules should adapt to the new changes in cybercrime for innovative development.
Key words:overall national security concept;new cybercrime;protection of legal interests;ecological governance of crime;systematic prevention and control
