移动智能终端网络安全的刑法应对
——从个案样本切入
2015-10-28孙道萃
孙道萃
(华南理工大学法学院,广东广州510006)
移动智能终端网络安全的刑法应对
——从个案样本切入
孙道萃
(华南理工大学法学院,广东广州510006)
移动智能终端的高速发展极大地推动了移动互联网的普及,同时,移动互联网安全问题越来越严重,新型疑难个案频发,对这些典型样本进行分析,可以明确相关法律的完善方向。从行为对象的保护范围看,应将移动智能终端纳入立法序列,扩容网络安全保护界限以换代升级。目前立法确立的危害行为类型具有不完整性和散乱性,应当借鉴域外立法和国际经验,丰富和拓展网络危害行为的类型,促进罪名体系的再整合。随着互联网空间日益独立化,移动智能终端同时成为犯罪手段、犯罪对象和独立法益空间,独立法益空间值得立法单独予以保护。
移动智能终端;移动互联网安全;破坏计算机信息系统罪;网络安全法;独立法益空间
一、移动网络安全警钟长鸣
人类社会正在经历互联网高速发展的新时代,并且正在体验由PC终端到移动智能终端(手机是最典型与被广泛运用的移动智能终端①1999年,摩托罗拉A 6188的出现,标志着智能手机的诞生,也推动了以手机移动智能终端为代表的移动智能终端产业的高速发展。)的快速过渡期。据中国互联网络信息中心(CNNIC)近期发布的第30次中国互联网络发展状况统计报告显示,截至2014年12月,中国网民规模达6.49亿,全年共计新增网民3117万人。互联网普及率为47.9%,较2013年底提升了2.1个百分点。中国手机网民规模达5.57亿,较2013年底增加5672万人。网民中使用手机上网人群占比由2013年的81.0%提升至85.8%。②参见《中国互联网络发展状况统计报告》(2015年1月发布)。2014年6月底,我国手机网民规模首次超越传统PC网民规模。③参见《中国移动互联网调查研究报告》(2014年8月发布)。目前,以手机为代表的移动智能推动移动互联网发展尤为迅猛,更便捷、点对点等特征使得移动互联网及其智能终端正在深刻地改变人类的工作和生活方式,接踵而至的是网络安全问题。
目前,针对以手机为主要形式的移动智能终端所形成的网络犯罪形式不断翻新,造成的危害结果不断升级:一是以手机为手段的犯罪行为不断攀升,①参见左德起:《手机里的犯罪》,《深圳特区报》2014年7月15日,第B11版。如手机短信诈骗、手机账户密码盗窃等;②参见林曦:《智能手机泄密严重》,《羊城晚报》2012年9月6日,第A5版。二是针对手机移动智能终端的犯罪行为日益增加,如“恶意吸费”、种植木马拦截短信、散播病毒、非法获取个人重要信息等。相比于传统针对PC终端与互联网的犯罪,手机智能终端(主要是指安卓系统)的技术具有开放性、技术安全保护体系相对脆弱、手机互联网更具共享性、手机智能终端更具个人私密性、③DCCI互联网数据中心联合360手机安全中心发布的《2014年上半年Android手机隐私安全报告》显示,92.8%安卓手机用户在手机中存放隐私,智能手机已经成为隐私最多的设备。承担互联网支付等众多应用平台功能等情况,从而造成了犯罪的侵害面更广、隐蔽性更强、危害性更大、侦查难度增加等新问题,以智能终端为载体和平台的移动互联网犯罪现象愈演愈烈。④参见裴智勇:《严防“手机犯罪”》,《人民日报》2004年3月24日,第10版。在此前提下,移动智能终端安全问题日益暴露出来,所面临的保护形势也日益严峻。
然而,我国暂时缺乏专门针对移动互联网与移动智能终端犯罪的相关规定,尤其缺乏关于当前多发高发的手机移动智能终端方面的具体规定,使得“于法无据”的司法困局如骨鲠在喉。所以,须从立法层面完善针对移动互联网犯罪的相关规定较为迫切(如增设向手机发送批量病毒的犯罪规定)。但是,我国《刑法》第286条第3款仅规定向计算机发送病毒的行为,手机是否属于“计算机”以及是否另行立法等问题有待解决。另外,《刑法》第363条和第364条仅规定了有关淫秽物品、淫秽音像制品等犯罪,却未规制淫秽信息,鉴于当前通过手机传播淫秽信息屡禁不止,需要特别补充规定传播淫秽信息罪。⑤参见屈学武:《完善打击“手机犯罪”相关法律》,《人民日报》2004年4月7日,第15版。尽管如此,这一系列的调整仍仅具有局部性。目前,由于网络技术提升具有飞跃性,使得互联网背景下的网络犯罪已经不同于原有的计算机犯罪,而发生了整体的新变化。这就要求在刑事立法层面进行整体的布局和修改,并同时完善新形势下网络犯罪的定量评价机制。⑥参见于志刚:《技术提升需要独立网络犯罪法》,《法制日报》2012年7月21日,第7版。唯此,才能满足应对以手机智能终端为代表的新型网络犯罪的需要。
二、危害移动智能终端安全犯罪的个案研析
当前,对于利用手机移动智能终端与手机互联网作为犯罪工具实施有关破坏移动智能终端及其相关法益的犯罪现象,可以根据我国《刑法》第287条的规定,依《刑法》的其他规定定罪处罚。比如,利用手机实施淫秽色情信息犯罪的,可以依制作、复制、贩卖、传播淫秽物品牟利罪论处。⑦参见罗书臻:《最高人民法院公布6起手机淫秽色情信息犯罪典型案例》,《人民法院报》2010年1月13日,第3版。但是,针对移动智能终端的犯罪行为不断翻新,非法控制移动智能终端、非法获取移动智能终端的信息数据、破坏移动智能终端的正常运行、干扰移动智能终端数据等行为日渐增加,使得《刑法》第287条的规定略显“不够用”,而《刑法》第285条、第286条的适用对象又明显不匹配。在实践中,一些新型典型案件频发,有关定罪的争议将问题进一步暴露。
(一)“毒媒”手机僵尸病毒案
“毒媒(AVK.DuMusic)”是一种针对Symbian S60系统的手机木马程序,是“手机僵尸”类病毒,目前已经出现4个不同的变种,“毒媒”及其变种会伪装成诸如“移动梦网”等常用手机软件进行伪装式的传播。特定的用户手机感染“毒媒”病毒后,“毒媒”将自动触发并启动,而后接受来自远程控制服务器的各项指令,实现对指定手机软件或程序的删除行为,诸如关闭和删除各类手机杀毒软件等;自动连接到互联网,向互联网特定的控制服务器上传用户的本机手机号、手机型号、IMEI号码、IMSI号码、信息中心号码等,进而窃取用户隐私,这严重影响用户的手机运行,严重威胁手机的信息和数据安全。而且,一旦用户手机感染“毒媒”,将无法通过常规方式自行卸载,相关的查杀难度也很大,导致被感染的手机处于非法控制状态。据国家互联网应急中心(CNCERT)统计,自2010年8月以来,该病毒的感染峰值一度达到100万以上,严重威胁用户的移动数据安全。据相关数据显示,还有40万手机用户正面临此病毒威胁。①参见《手机僵尸再现变种“毒媒”发作感染40万用户》,http://it.sohu.com/20101201/n278030124.shtm l,2015年8月27日访问。
1997年我国《刑法》第286条的规定,主要是以计算机信息系统为立法背景的,当前移动智能终端已经取代了传统PC终端的统治地位,针对移动智能终端的犯罪铺天盖地而来;尤其是手机用户数量已经超过了PC用户端,手机用户组成的移动互联网在不断扩容,一旦出现手机病毒并大肆传播,所造成的网络安全问题将更为严重。但是,移动智能终端是否属于计算机信息系统是摆在眼前的一个技术性难题。即使从解释论层面可以得出肯定的结论,也要考虑计算机信息系统与移动智能终端两种不同技术平台对定罪量刑的差异影响。然而,这些问题目前尚处于空白状态,暂时只能勉强参照计算机犯罪罪名及其相关司法解释。且《刑法》第286条第3款关于计算机病毒的规定本身也存在缺陷,也进一步导致在套用第286条第3款处理手机病毒案件时容易陷入新老问题的交错中。
(二)江苏省首例手机“恶意扣费”案
据犯罪嫌疑人的供述,某公司在2010年3月份的一次高层会议上,决定尽快开发一款软件,可以实现对手机用户进行恶意扣费。该公司的技术部总监王某根据决定,向被告人常某提供2万元开发设计相关手机软件。常某设计出“娱乐伴侣”这一破坏性程序,某公司在王某的具体落实下,将“娱乐伴侣”事先植入到用户的手机内,当启动后台程序后,“娱乐伴侣”会自动发送短信、秘密订制SP服务,并可以过滤运营商发送的资费提醒短信,②按照工信部要求,订制SP增值服务须用户及运营商双方两次确认,但该程序屏蔽并代替用户进行确认。最终在用户毫不知情的情况下,“娱乐伴侣”会自动恶意扣取用户的手机费用。2010年8月至10月期间,该案被告先后向全国27个省市1159万手机用户发送了诱骗短信,导致数十万人被非法扣费,公司已经从中非法获利100多万元。
在该案的定性上,侦查机关主张以涉嫌非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪提请批捕。③参见王涵宇:《常州侦破全国首例手机病毒恶意扣费案》,《江苏法制报》2011年5月31日,第002版。但是,检察院决定不予批捕,原因为:一是难以认定已经达到了“后果严重”的入罪标准;二是智能手机是否可以认定为计算机存在较大的分歧。同时,该案与一般的盗窃罪和诈骗罪不同,因为侵犯的法益明显有差异。④参见周斌:《全国首例手机恶意程序案定性难》,《法制日报》2011年5月27日,第005版。因而,这个“首案”如何定性存在争议,究竟是定“非法控制计算机信息系统罪”还是定“破坏计算机信息系统罪”,抑或是无法按照传统罪名定罪,这已经揭示出现有立法及司法解释的“短板”;换言之,现有关于网络危害行为的类型设置并不科学,在实践中容易出现交叉重合等问题。与此同时,一个较为重要的背景不容忽视,制作传播手机恶意扣费程序是行业内的潜规则,此案中的非法分子的获利与通信运营商已经协定为三七分成,运营商是否构成共犯难以确定;而且,通信运营商往往在投诉的手机号码数据库中设立“黑名单”,将受害人投诉的手机号码列入“劣质资源”和“黑名单”目录,尽最大可能不向这些手机号码发送手机恶意代码,避免再次遭到投诉或追究责任。⑤同上注,周斌文。从主流的共同犯罪理论看,通信运营商的行为应当视为“片面的(技术)帮助犯”,然而,追究通信运营商的刑事责任缺乏相应的证据予以支撑,也与当前的共同犯罪理论不合拍。不过,《刑法修正案(九)》第29条增设的《刑法》第287条之三明确规定了网络运营商和服务提供商应当承担片面共犯的刑事责任。⑥《中华人民共和国网络安全法(草案)》第42条、第52条等条文也应作出相应的修改。申言之,在网络环境下,网络技术帮助犯的处罚范围如何确定是一个新的难题,既要合理限定片面共犯(帮助犯)的成立范围,也要合理限定中立帮助行为的处罚范围。
(三)北京市首例利用“静默插件”获取用户信息案
杨某是某公司实际控制人,陈某和罗某两人分别是深圳两家信息技术公司的法定代表人。2010年7月至2011年5月,杨某、陈某和罗某等人先后在深圳和北京成立了三家公司。从2011年年底起,杨某等人授意马某等4名公司技术员,研发“静默插件”,通过给手机用户刷机的方式悄悄植入移动终端,从而非法控制手机的正常运行,如自动上传个人手机通讯录信息(2000万条)、强制改变用户手机运行状态、强制删除与安装手机应用程序等;而且,在用户不知情的情况下推送开发软件,以此赚取软件开发商的好处费。截至案发,被植入“静默插件”的用户累计40多万,公司通过植入插件、静默推送广告获利约20余万元。①参见颜斐:《团伙偷手机通讯录2000万条》,《北京晨报》2015年2月28日,第A09版。
公诉机关指控被告人杨某等人犯非法获取计算机信息系统数据、非法控制计算机信息系统罪,向一审法院提起公诉。被告人杨某的辩护人认为,安装“静默插件”的行为未违反国家规定,不属于侵入计算机信息系统的行为,杨某不构成犯罪。被告人陈某的辩护人也为其做无罪辩护。一审法院认为,被告人以营利为目的,研发升级“静默插件”,通过后台服务端操控的方式植入“静默插件”移动终端用于非法控制手机运行、获取手机的信息,并推送软件、广告等商业性电子信息,从而非法获取计算机信息系统数据,并实现对计算机信息系统的非法控制,应当依照我国《刑法》第285条第2款的规定,认定被告人构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。法院判决,杨某获刑三年半,罚金五万元;其余被告人分别获刑一年五个月至三年,并处罚金一万元至三万元。
在该案中,手机移动智能终端已经被默认为属于“计算机信息系统”,究其原因在于,2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称:《危害计算机信息系统安全解释》)第11条对“计算机信息系统”和“计算机系统”进行了解释,即“是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。这意味着手机智能终端可以扩张解释为计算机信息系统。②参见孙道萃:《手机移动互联网犯罪挑战刑法》,《检察日报》2015年5月7日,第003版。但是,法院最终认定构成非法获取计算机信息系统数据、非法控制计算机信息系统罪,而非《刑法》第286条规定的破坏计算机信息系统罪。这一做法有以下三点需要注意。其一,根据《刑法》第285条原有的规定,入侵普通的计算机系统和网站、单纯非法获取计算机信息系统中存储、处理或者传输的数据、专门制作和提供用于侵入、非法控制计算机信息系统的程序、工具共三种行为无法作为犯罪处理。③参见黄太云:《〈刑法修正案(七)〉解读》,《人民检察》2009年第6期。所以,《刑法修正案(七)》第9条增加了第285条第2款和第3款的规定,第2款规定了“非法获取”和“非法控制”两种行为,重在强调对普通计算机信息系统安全的重视和保护④同上注,黄太云文。。按照法条竞合的基本原理,法院的定性并无原则性错误。其二,根据《危害计算机信息系统安全解释》第1条关于非法获取计算机信息系统数据或者非法控制计算机信息系统“情节严重”和“情节特别严重的”的规定,该案中杨某等人已经达到了相应的入罪标准,所以,在处罚上并无不可。其三,非法植入“静默插件”的行为同样属于破坏计算机信息系统的行为,是否应当认定为破坏计算机信息系统罪的疑问随之而生,同时也就产生了法条竞合(行为竞合)的新问题,而它背后的深层次问题正是网络危害行为类型的立法不足。
(四)浙江省首例破坏智能手机系统案
周某原是杭州某科技公司的一名设备技术员,主要负责从公司文控中心拷贝软件到手机生产线的服务器上。2013年12月6日至13日,周某利用工作上的便利,将同事徐某(仍在逃)交给他的一款含有恶意软件的软件包拷贝到公司某车间的产线服务器上,并将该软件包安装到某国产品牌某个型号的智能手机上,每安装一台则获得一元的好处费,事后致使该批被植入恶意软件的手机出现了被恶意收费等情况。经统计,这批被安装恶意软件的手机共计48665台,并已全部出厂销售。周某从中获得好处费5500元。①参见萧法、肖菁:《浙江首例破坏智能手机系统案宣判90后获刑6年》,《钱江晚报》2014年9月19日。
公诉机关指控被告人周某犯破坏计算机信息系统罪,法院审理认为,被告人周某伙同他人,违反国家规定,对计算机信息系统、应用程序进行删除、修改、增加的操作,后果特别严重,其行为已构成破坏计算机信息系统罪,依照《刑法》、《危害计算机信息系统安全解释》的相关规定,周某的行为已经属于“后果特别严重”,依法应当判处五年以上有期徒刑。法院一审判处被告人周某有期徒刑六年,违法所得予以追缴并上交国库。这是浙江省首例以智能手机终端为犯罪对象的破坏计算机信息系统案件。
相比于江苏省首例手机“恶意扣费”案的定性,此案定性分歧更大,对于此案中的“恶意收费”的行为,法院最终以破坏计算机信息系统罪论处。同时,其与北京市首例“静默插件”获取用户信息案的定性也存在很大的差异。问题的本质是,针对手机移动智能终端的犯罪,究竟如何按照《刑法》第285条、第286条进行定罪处罚,司法机关在选取明确合理的适用标准时存在模糊地带。其原因在于:第285条、第286条规定的网络危害行为在实践中不便区分,特别是《刑法》第286条规定的“破坏”计算机信息系统行为具有极强的包容性,完全可以涵盖所有针对网络本身的危害行为,进而容易滋生网络危害行为的竞合。因此,应当反思立法本身的合理性,尤应检讨《刑法》第285条、第286条确立的危害行为之间的重复交叉性与不完整性等问题。
(五)广东省首例“静默卸载、安装”无罪案
沈某原是杭州一家无线通信技术有限公司的技术主管。2013年9月至2014年4月,他利用职务之便在公司的手机“销量管理系统”应用软件中植入自己编写的恶意程序,并使用该恶意程序对用户手机通过静默卸载的方式恶意卸载了UC浏览器、百度浏览器等手机应用程序,以静默安装的直接方式推广欧鹏浏览器、百度应用盒子、朋游等应用程序。通过上述方式造成了动景公司经济损失人民币9万元,非法获利共约人民币130万元。②参见董柳:《手机移动互联网入罪标准引热议》,《羊城晚报》2015年4月20日,第A4版。
公诉机关指控被告人沈某犯破坏计算机信息系统罪,向一审法院提起公诉。被告人沈某辩称,其在公司的手机“销量管理系统”应用软件中植入自己编写的程序,通过该程序对手机用户进行静默卸载、静默下载安装的操作,并收取推广费人民币约130万元,但其收取推广费与卸载UC浏览器等手机应用程序没有关系。被告人沈某的辩护人认为公诉机关指控被告人沈某破坏计算机信息系统的事实不清、证据不足。理由之一是鉴定结论不能证明被告人发出的静默卸载指令与涉案手机的UC浏览器被卸载之间存在因果关系,即使存在因果关系也应当通过民事法律途径解决。理由之二是被告人的“静默安装”行为得到用户同意,现有证据不足以认定被告人发出指令并造成手机被静默安装软件的事实,且被告人获得的130万元推广费不足以认定为其违法所得。法院认为,现有证据无法证明被告人沈某“静默安装”(即未经用户许可,操控用户的手机下载)应用程序及具体数量,也不能证明被告人沈某推广欧鹏浏览器等应用程序所获取的130万元为“静默安装”方式获得的违法所得。公诉机关指控被告人破坏计算机信息系统的事实不清,证据不足,指控的罪名不能成立。因此,判决被告人沈某无罪。目前,检察机关以适用法律错误为由依法提起抗诉,抗诉案正处于二审阶段。
该案的最大特点是“无罪”处理,笔者认为,法院的无罪判决显然值得商榷。其一,事先植入编写的恶意程序是静默卸载和静默安装的前提,也是非法获利130万元的前提。即使是以弹窗或短信通知的方式进行推广,也是基于先前安装的恶意程序的功能而实现的,无恶意程序则无静默下载和静默安装,也不会有非法获利的结果。其二,手机智能终端属于计算机信息系统,沈某非法植入自己编写的恶意程序已经属于对计算机信息系统的非法添加,而且,植入的恶意破坏性程序同时可以对通讯录、通话记录等数据进行监听以及实施静默下载、静默安装,这使得手机智能终端的信息系统的完整性、安全性受到极大的威胁,也危及到手机智能终端的数据信息安全。显然,这已经属于破坏计算机信息系统的危害行为,恶意程序的装机量不是构成破坏计算机信息系统罪的法定要件。基于此,在入罪的标准上,根据《危害计算机信息系统安全解释》第4条第3款的规定,沈某获利130万元已经远远超出“后果严重”,已经达到“后果特别严重”。其三,对于具有严重社会危害性和危害手机移动智能终端安全的行为,应当定罪处罚。在该案中,沈某在大量手机用户上植入了恶意的破坏性程序,而且,情节特别严重。一旦手机被预先植入了恶意的破坏性程序,手机的数据信息安全、手机的正常运行等都受到了严重的破坏。对此,应当依法定罪处罚。其四,即使无法按照我国《刑法》第285条、第286条进行处理,也可以考虑根据我国《刑法》第163条(非国家工作人员受贿罪)、第276条(破坏生产经营罪)进行处罚,而不能纵容移动互联网成为“无法空间”。由此,可以发现针对移动智能终端的犯罪在证据收集和证据运用上应当有所转变,与其对应的犯罪定量标准也应当作出及时的更改。
(六)小结
综上所述,在网络技术升级换代、网络终端平台日新月异的新形势下,移动互联网与传统的PC网络渐行渐远。由于借助移动智能终端使用移动互联网的用户数不断攀升,移动互联网的安全形势进一步恶化,一系列新型疑难案件频发,其原因包括诸如立法理念的滞后、立法罪名的不足、共同犯罪理论和立法规定的缺陷、网络预备行为处罚的不足、网络危害行为类型的不完整等等,导致刑法介入能力的明显不足,传统计算机犯罪立法的合理性和有效性受到持续考问。移动互联网安全是当前互联网安全的一个缩影和写照,凸显出网络安全形势不容乐观,刑法保护网络安全的供给不足日益暴露。当前,传统计算机犯罪立法在应对移动互联网安全保护问题上,亟待克服几个明显而迫切的立法短板:一是移动智能终端及其移动互联网的立法调整和全面保护;二是网络犯罪中危害行为类型的优化与整合;三是专门针对移动互联网及互联网的特殊性进行必要的立法填补和扩充保护。
三、移动智能终端网络安全的刑法保护路径
针对手机移动智能终端的犯罪形式不断翻新,造成的危害结果持续恶化。从刑法保护的有效性看:一是要在立法修改时将移动智能终端正式纳入“网络”;二是应当根据《关于网络犯罪的公约》和我国现有立法的不足,重新调整网络犯罪行为模式的立法布局;三是应当确立移动智能终端的三个保护维度(分别包括犯罪手段、犯罪对象和犯罪空间),着力提高立法规制的针对性和有效性。
(一)移动智能终端的网络立法扩容
根据1994年国务院发布的《计算机信息系统安全保护条例》(第147号),“计算机信息系统”是该法规保护的对象。1997年,在制定有关计算机信息系统犯罪的规定时,由于当时的主流计算机信息技术以PC系统为主要载体和形式,所以,计算机信息系统被规定为犯罪对象,同时也被规定为犯罪工具。①参见赵秉志、于志刚:《论计算机犯罪的定义》,《现代法学》1998年第5期。然而,以《计算机信息系统安全保护条例》的制定为背景,使得1997年《刑法》无法以前瞻的思维预见到当前(手机)移动智能终端的迅猛增长势头和发达程度,以至于目前的刑事立法仍主要停留于计算机信息系统犯罪这一特定的技术背景下。②参见赵秉志、于志刚:《计算机犯罪及其立法和理论之回应》,《中国法学》2001年第1期。
然而,在互联网技术升级换代的前提下,随着智能手机和平板电脑等移动终端的发展,移动互联网已经开始深刻地改变人们的生活和工作方式。所谓移动互联网,简单地讲,是指用户手持移动智能终端就可以不受限地与Internet互联并享用互联网。目前,移动互联网已经占据越来越重要的位置,移动智能终端设备是移动互联网的核心环节,始终以用户为中心,并向更智能化、定制化、环保化、云化和融合化等方向发展。互联网的应用环境的变化带来了以手机移动智能终端为标志的移动智能终端的飞速增长,但是,开放的应用环境和智能操作系统的引入带来新的安全问题,比如,个人手机已成网络犯罪的重要终端或对象。①参见刘子阳:《个人手机已成网络犯罪终端》,《法制日报》2014年8月5日,第005版。所以,移动智能终端的安全保护日益成为互联网安全的重点和焦点,而诸如立法观念落后、法律规定滞后、办案成本过高、惩治效果欠佳等问题随之而来。
有鉴于此,一些针对移动智能终端安全保障的规范陆续出现,旨在适应移动智能终端安全保护的现实需要,其主要包括以下几项。(1)《抵制恶意软件自律公约》(中国互联网协会,2006年12月27日)第2条规定:“本公约所称恶意软件是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。”显然,这里的“其他终端”应当包括移动智能终端,从而将恶意软件的规制范围扩大至移动智能终端。(2)工信部《移动互联网恶意程序监测与处置机制》(2011年12月9日)第2条规定:“移动互联网恶意程序是指运行于包括智能手机在内的具有移动通信功能的移动终端之上,……,等恶意行为的计算机程序。”这已经明确了手机等移动智能终端是恶意程序的侵害对象,同时是网络安全的保护对象。(3)工信部《关于加强移动智能终端管理的通知》(2013年4月)要求生产企业不得在移动智能终端中预置擅自收集、修改用户个人信息的软件以及擅自调用终端通信功能,造成流量消耗、费用损失、信息泄露的应用软件。这直接明确了生产商的重要安全保障责任,同时也进一步强化了移动智能终端安全的保护。(4)工信部《关于加强移动智能终端进网管理的通知》(工信部电管〔2013〕120号)第1条规定:“本通知所称移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装应用软件的移动通信终端产品。”(5)《工业和信息部、公安部、工商总局关于印发打击治理移动互联网恶意程序专项行动工作方案的通知》(工信部联保〔2014〕153号)要求,加强移动智能终端生产企业预装应用程序管理,强化移动智能终端进网安全检测和预装应用程序管理,组织开展移动智能终端证后监督检查。这进一步从源头上强化了移动智能终端安全的法律保护。总之,从相关部门的规范性文件看,移动智能终端应当属于通常意义的“计算机(信息)系统”,从而为保护移动智能终端安全提供了合法依据和规范支撑。这一系列规范性文件不断强化了移动智能终端的重要性、独立地位以及保护的特殊性。
值得注意的是,《危害计算机信息系统安全解释》第11条对“计算机信息系统”和“计算机系统”作出了解释:“是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。②根据《严惩危害计算机信息系统安全犯罪保障互联网的运行安全与信息安全(下)——最高人民法院、最高人民检察院研究室副主任就〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉答记者问》中的说明,“网络设备,是指路由器、交换机等组成的用于连接网络的设备;通信设备,是指包括手机、通信基站等用于提供通信服务的设备;自动化控制设备,是指在工业中用于实施自动化控制的设备,如电力系统中的监测设备、制造业中的流水线控制设备等”。人们不能从中得出移动智能终端是否属于“计算机信息系统”和“计算机系统”的明确判断,这难免折射出《危害计算机信息系统安全解释》的相对滞后性。然而,移动智能终端在数量上已不逊于PC客户终端,其所面临的安全问题更为迫切,所以,从实质解释看,对“计算机信息系统”或“计算机系统”进行合理的扩张解释非常有必要,完全没有超过国民的可预测范围之内;而且,扩张解释的司法积极效应可以辐射到移动智能终端的安全保护上。从根源上看,《危害计算机信息系统安全解释》第11条之所以没有明确移动智能终端问题,是因为《刑法》第285条至第287条的立法理念与话语体系仍停留在“计算机信息系统”和“计算机系统”,而《刑法修正案(七)》对《刑法》第285条的修改主要是拓展了计算机信息系统的范围和增加了部分新的犯罪方式,并未从根本上实现立法理念与思维的超越,仍然是较为纯粹的传统计算机犯罪立法理念与模式,已经与计算机的深度网络化、移动互联化的格局明显格格不入。目前,三网已经融合,除去犯罪工具和犯罪对象外,互联网逐渐独立成为一个新的空间维度,网络空间的秩序性价值日益凸显,需要刑法做出特殊的保护。
为了确保移动智能终端能够成为刑法的保护对象,刑法应当对网络空间背景下的网络犯罪所涉及的一些专业性技术术语进行超前的规定或解释,①参见皮勇:《论我国刑法修正案(七)中的网络犯罪立法》,《山东警察学院学报》2009年第2期。从而提高立法与解释本身的适宜性和预见性。2001年《关于网络犯罪的公约》(Convention on Cybercrime)②最初由欧洲犯罪问题委员会网络空间犯罪专家委员会负责起草《网络犯罪公约》草案,随后数易其稿,历经二十余载后,最终于2001年11月23日在布达佩斯正式通过了全球第一个国际性的《关于网络犯罪的公约》,在立法完善性方面具有权威性。2004年7月1日,《关于网络犯罪的公约》正式生效。第一章便对诸如“计算机系统”③《关于网络犯罪的公约》1.1.a条规定:“‘计算机系统’意味着任何设备或者相互连接或者相关的设备,可能是一个也可能为多个,用于运行程序,进行自动处理数据。”、“计算机数据”④《关于网络犯罪的公约》1.1.b条规定:“‘计算机数据’意味着任何事实、信息和概念的表现形式,该形式采纳一个适合与在一个计算机系统中处理的格式,包括一个适合于使用计算机系统进行某项功能的程序。”等重要的专业技术用语进行了规定、解释和说明;从“计算机系统”与“计算机数据”的解释内容看,都使用了“任何”界定外延,这一做法值得借鉴。目前,最重要的是更新立法理念,逐渐摒弃传统的计算机犯罪立法观念,不断弱化计算机信息系统、计算机系统等传统媒介的思维固化效应,充分认识到移动互联网时代的来临与互联网空间独立性的渐次深化等基本发展趋势,为整体上置换现有的计算机犯罪立法体系提供科学的认识论前提,为借鉴域外先进立法经验奠定基本共识。
为了更好地观察我国当前立法现状不足与发展方向,表1所列个案样本可供参考。
从表1所列的样本分析看,传统的立法理念认为,计算机信息系统的关键词是“人机系统”,部分规范同时增加了“网络”或“运行体系”等选择性关键词。但是,以智能手机为代表的移动智能终端并不以PC计算机信息系统为物质载体,移动智能终端和传统意义上的计算机信息系统在技术层面、功能安排、安全内容及其保护要求等方面都有一些差异,基于此,应当区分传统的计算机信息系统与移动智能终端。更重要的是,《中华人民共和国网络安全法(草案)》(以下简称:《网络安全法(草案)》)作为我国未来网络安全法律体系的基本法,已经彻底置换了固有的“计算机信息系统”这一滞后的界定,相比之下,“网络”不仅比“计算机新系统”更具技术升级性、观念超前性、内涵包容性、外延开放性,而且可以在逻辑上包含“移动智能终端”等一系列新生事物,因此,《网络安全法(草案)》可谓顺势而行,在立法理念上也已超越了《关于网络犯罪的公约》。
因此,该草案的总体思路为:在逻辑上摒弃计算机信息系统包含移动智能终端的落后立法逻辑,同时放弃原有的计算机信息系统这一核心概念,转而采取包括网络、信息系统、运行安全等在内的“网络”这一核心,并将其作为刑法保护的对象,这同时有助于形成计算机信息系统与移动智能终端以及其他网络形式并列同等保护的新局面。然而,《网络安全法(草案)》尚未通过立法审议,一切讨论难以付诸实施。即使其通过,已经审议通过的《刑法修正案(九)》也未充分吸收《网络安全法(草案)》的先进理念和规定,从而客观上导致我国网络犯罪立法会仍然处立法冲突以及部分立法不适应现实的尴尬境地。目前,可以借《刑法修正(九)》对网络犯罪作出大幅度修改之际,适时出台专门的司法解释,正式确立“网络”作为网络犯罪立法的根基地位,从而将移动智能终端嵌入其中。在解释内容上,可以根据“列举+概括”的方式预留兜底条款,为拓宽保护的边界预留解释余地,为将来通过立法完善的方式应对互联网发展的新形势、新情况提供足够的缓冲空间。
(二)危害移动智能终端网络安全的行为类型重组
1997年《刑法》用第285条和第286条分别规定了有关针对计算机的犯罪内容,从这两个罪名规定的危害行为类型看,主要有如下两种。一是非法侵入(第285条);二是破坏计算机信息系统功能(第286条第1款)、破坏计算机信息系统的数据和应用程序(第286条第2款)、通过破坏性程序破坏计算机系统正常运行(第286条第3款),这些行为可以概括为“破坏”计算机信息系统。由于《刑法》第286条的核心内容是“破坏”行为,所以,可以将《刑法》第285条和第286条规定的危害行为类型概括为两个模式:即非法侵入和破坏。其中,非法侵入的范围限定为特殊的计算机信息系统,破坏则适用于所有的计算机信息系统。
然而,《刑法》第285条和第286条的规定明显存在逻辑上的不自洽和不周延。一是非法侵入和破坏之间不是并列的逻辑关系,非法侵入也是一种“破坏行为”,所以,《刑法》第285条和第286条实质上仅规定了“破坏”这种危害行为类型。二是第286条规定的三种破坏行为之间也非绝对的并列关系,计算机信息系统功能、计算机信息系统内部的数据和应用程序、计算机系统的正常运行是紧密相连的一个整体,如删除计算机信息系统往往导致计算机系统不能正常运行,删除计算机信息系统内部的重要应用程序同样可能导致计算机信息系统不能正常运行,因此,《刑法》第286条所确立的三个独立的“破坏行为”在实践层面缺乏可辨识性和可操作性,可以视为立法瑕疵。①参见皮勇:《我国网络犯罪刑法立法研究——兼论我国刑法修正案(七)中的网络犯罪立法》,《河北法学》2009年第6期。2000年,全国人民代表大会常务委员会《关于维护互联网安全的决定》第1条也规定了以计算机为对象的犯罪行为类型,包括“侵入特殊的计算机信息系统”、“通过破坏性程序攻击计算机系统及通信网络”、“擅自中断计算机网络或者通信服务”。从《关于维护互联网安全的决定》看,“擅自中断计算机网络或者通信服务”似乎是一项新的行为类型,但是,它仍然可以归结到《刑法》第286条规定的“破坏”行为类型之中。综上所述,1997年《刑法》仅规定了“非法侵入”和“破坏”两种行为类型,这一立法现实的指导思想明显狭隘,实有变革必要。
相比之下,根据2001年欧洲理事会制定和通过的《关于网络犯罪的公约》第二章第一节“刑事实体法”第2条至6条的相关规定,已经形成了一套网络犯罪的最低共同标准,即“侵犯计算机数据或系统的机密性、完整性及可用性的犯罪”这类犯罪。①《关于网络犯罪的公约》于2001年11月23日开放签署。2003年1月28日通过了《关于网络犯罪的公约的附加协定——关于将通过计算机系统实施的种族主义和仇外性质的行为犯罪化》。该公约第7条至第10条分别规定了“与计算机有关的犯罪”这一类犯罪,包括“与计算机有关的伪造罪”、“与计算机有关的诈骗罪”、“与内容有关的犯罪(只有一个个罪,即‘与儿童色情有关的犯罪’)”、“与侵犯版权和领接权有关的犯罪”。我国《刑法》第287条基本属于这类情形。这是《关于网络犯罪的公约》关于网络犯罪的核心,②参见周文:《欧洲委员会控制网络犯罪公约与国际刑法的新发展》,《法学评论》2002年第3期。包括越权登入、非法干扰等对计算机系统、网络或计算机数据的安全造成基本威胁的行为,具体行为(罪名)有“非法访问(进入)”、③指当针对整个计算机系统或其任何部分的访问是未经授权而故意进行时,每一签约方应采取本国法律下认定犯罪行为必要的立法的和其他手段。签约方可以规定此犯罪应当具有获得计算机数据的意图或其它不诚实意图,或涉及与另一个计算机系统相连接的计算机系统而侵害安全措施。“非法获取”、④此类行为包括非法截取电脑传送的“非公开性质”电脑资料,此项规定是用以保障电脑资料的机密性。根据欧洲理事会说明,如果电脑资料在传送时,没有意图将资讯公开时,即使电脑资料是利用公众网络进行传送,也属于“非公开性质”的资料。“数据干扰”、⑤包含任何故意毁损、删除、破坏、修改或隐藏电脑资料的行为,此规定是为了确保电脑资料的真确性和电脑程式的可用性。“系统干扰”、⑥此项规定与第四条的“数据干扰”不同,是针对妨碍电脑系统合法使用的行为。根据欧洲理事会的说明,任何电脑资料的传送,只要其传送方法足以对他人电脑系统构成“重大不良影响”时,都会被视为“严重妨碍”电脑系统合法使用。所以在此原则下,利用电脑系统传送电脑病毒、蠕虫、特洛伊木马程式或滥发垃圾电子邮件,都符合“严重妨碍”电脑系统,即构成“系统干扰”的行为。“设备的滥用”。⑦包含生产、销售、发行或以任何方式提供任何从事上述各项网络犯罪的设备。进行上述网络犯罪,最简便的方式便是使用黑客工具,因此间接催生了这些工具的制作与买卖,需要严格惩罚这些工具的制作与买卖,从基本上杜绝网络犯罪行为。从《关于网络犯罪的公约》确定的核心行为模式看,既包括不同的行为方式,也包括所针对的不同行为对象,是行为与对象相互交叉并轨的行为类型设定模式,比我国《刑法》第285条和第286条设定的行为模式更为宽泛、更具包容性、更具实用性,同时也跳出了计算机(信息系统)这一陈旧的立法理念,转而以计算机犯罪的网络化为背景,这些都是值得借鉴的。与此同时,欧盟理事会2005年通过了《关于攻击信息系统的理事会框架决议》,其第2至第4条分别规定了三种侵犯信息系统安全的犯罪,即非法侵入信息系统、非法干扰信息系统、非法干扰信息系统数据。⑧参见皮勇:《论欧洲刑事法一体化背景下的德国网络犯罪立法》,《中外法学》2011年第5期。其中,非法侵入信息系统、非法干扰信息系统与《关于网络犯罪的公约》第2条⑨本条对应于《关于网络犯罪的公约》第2条,二者规定的内容基本一致,只是《关于网络犯罪的公约》允许缔约国另外再增加两个构成要件,而《关于攻击信息系统的理事会框架决议》允许成员国限定承担刑事责任的主体是成年人。、第5条⑩该条对应于《关于网络犯罪的公约》第5条,二者在罪状要求上完全一致,其差别只在于《关于攻击信息系统的理事会框架决议》允许成员国只将成年人实施本罪的作犯罪处罚。的规定基本一致,而非法干扰信息系统数据与《关于网络犯罪的公约》第4条的规定相对应。⑪本条对应于《关于网络犯罪的公约》第4条,都是干扰计算机数据的行为,二者最大的差别是《关于网络犯罪的公约》规定的计算机数据不限于信息系统中的计算机数据,脱离信息系统的计算机数据也是保护的对象,而《关于攻击信息系统的理事会框架决议》保护的是信息系统,因此,本罪的行为对象不包括不在信息系统中的计算机数据。尽管基本内容大体相同,但该决议也提出了一些新的选择性内容(形式层面)。
从与国际接轨的角度看,调整我国计算机犯罪的行为类型及其模式尤为迫切。为此,《刑法修正案(七)》对第285条进行修改并增加了两款,在行为类型上补充了“非法获取”与“非法控制”共两个实行行为和“提供侵入、非法控制的程序、工具”一个帮助行为,同时也相应增加了“非法获取计算机信息系统数据、非法控制计算机信息系统罪”、“提供侵入、非法控制计算机信息系统程序、工具罪”共三个罪名。总体而言,这次修改有以下特色:第一,扩大了非法侵入计算机信息系统的保护对象范围,以弥补《刑法》第285条保护范围非常有限的立法不足;第二,及时增加了几种常见的危害计算机信息系统安全的危害行为,如“非法获取”与“非法控制”以及后续的提供“程序、工具”等;第三,将某些间接破坏计算机信息系统安全的技术帮助行为单独作为犯罪实行行为论处,使得某些预备行为转化为抽象的实行行为,①参见于志刚:《网络犯罪与中国刑法应对》,《中国社会科学》2010年第3期。具体是指“提供侵入、非法控制计算机信息系统程序、工具”危害行为。不过,“共犯的正犯化”做法也遭到了非议。②参见阎二鹏:《共犯行为正犯化及其反思》,《国家检察官学院学报》2013年第5期。
然而,《刑法修正案(七)》的这一修改仍存在一些较为突出的问题,尤其是在行为类型上。其一,从第285条第1款、第2款的逻辑上看,否定了针对特殊计算机信息系统的“非法获取”和“非法控制”行为构成犯罪,③参见解甦甦、王孔祥:《提供侵入、非法控制计算机信息系统程序、工具罪探析——〈网络犯罪公约〉与我国立法之比较》,《人民司法》2014年第1期。但是,《刑法》第285条第1款规定的三种特殊计算机信息系统理应受到更完整的保护,实施“非法侵入”、“非法获取”和“非法控制”三种行为都应处罚,因此,这是明显的立法疏漏。其二,从行为类型及其所可能导致的危害结果看,《刑法》第285条第2款增加的“非法获取”和“非法控制”与《刑法》第286条规定的“破坏”行为必然存在重合交叉之处;而且,由于各自都要求达到“情节严重”或“后果严重”的入罪标准,使得这几种行为的重合概率大为增加。比如,“非法获取”和“非法控制”与第286条第1款规定的“干扰”行为存在重合的可能,而且这些行为往往通过植入病毒等破坏性程序得以实现的。因而,可以得出没有必要另行设立非法控制计算机信息系统罪的结论。④参见皮勇:《我国新网络犯罪立法若干问题》,《中国刑事法杂志》2012年第12期。实际上,从前文所列举的几个法院判决看,“非法控制”并非庭审定罪的关键或重要因素。其三,《刑法》第285条第3款规定了“提供非法侵入、非法控制程序、工具”这一新的行为类型,然而,“提供程序、工具”仅限于“非法侵入”和“非法控制”,这与实际情况明显不符,“提供程序、工具”的行为对象至少还可以包括“非法获取”和“破坏”两种行为情形,而且,为“非法获取”和“破坏”两种行为“提供程序、工具”所造成的危害结果并不亚于《刑法》第285条第3款规定的“非法侵入”和“非法控制”两种情形。因此,这一修改整体上喜忧参半。与《关于网络犯罪的公约》所设定的犯罪行为类型的“最低标准”相比,目前国内的立法客观上存在一定的差距,首当其冲的是危害行为类型设计不合理。
进一步分析,《刑法》第286条规定的行为类型也同样存在以下几个固有的缺陷。其一,第1款至第3款的内在逻辑混乱。从《刑法》第286条包含的3个款项看,前两款是以对象为标准进行划分的,第3款则以行为方式为标准,这意味着内部的标准不统一。同时,计算机信息系统功能、数据和应用程序应当属于一个紧密联系的整体,对任何一方的破坏都会直接或间接影响其他方面,如通过传播计算机病毒的方式可以实现任何形式的破坏。这意味着第1款至3款规定的行为方式容易发生冲突、交叉等情形,增加了司法认定的难度,这在前文所列举的几个案例中有所体现。其二,制造、传播病毒等破坏性程序不是独立的危害行为。目前把故意制作、传播计算机病毒规定为“破坏”计算机系统的行为,而且,要求达到“后果严重”的条件。然而,计算机病毒等破坏性程序的自动传染技术使得单纯的“制作、传播”行为所造成的危害结果往往不可估量,实践中侦查取证的难度非常大,遑论为“非法侵入”和“非法控制”等危害行为“提供程序、工具”已经单独规定为犯罪。所以,应当单独规定这类危害行为。实际上,针对1997年我国《刑法》第286条第3款的规定,早有观点将其确定为制作、传播破坏性计算机程序罪,⑤参见蒋浩、于志刚:《论制作、传播破坏性计算机程序罪》,《法学家》1997年第5期。这显然是独立的危害行为并单独设置了独立的罪名,其原因就在于它的潜在破坏性和严重危害性不可预测。甚至有观点还主张应当删除“后果严重”的构成要件规定,①参见刘广三:《计算机犯罪论》,中国人民大学出版社1999年版,第188页。以降低入罪的门槛。但是,也有一种折中方案主张,对制作和传播破坏力大的恶性计算机病毒的行为,应规定为行为犯或危险犯,不考虑“后果是否严重”,造成严重后果的应当加重处罚;制作和传播具有一般破坏力的计算机病毒的,应当根据查明的危害后果,按照破坏计算机信息系统罪论处。②参见皮勇:《网络安全法原论》,中国人民公安大学出版社2008年版,第402页。总之,尽管在设置为结果犯还是危险犯上存在分歧,但是,单独处罚制作、传播网络病毒行为已经是共识。当前,互联网严重依赖“技术”,“技术性”是互联网空间的根本要素之一,“技术”首先是实施危害互联网安全的方法之一,对于制作和传播具有潜在破坏性、传播性与严重社会危害性的病毒等破坏性程序、技术或工具等,应当考虑确立为一种独立的危害行为类型。
尽管《刑法修正案(九)》增设了第286条之一、第287条之一和第287条之二,但对充实网络危害行为类型的作用有限:一是,第286条之一剑指网络安全信息保护,重在追究网络服务提供商不履行安全监管义务并造成危害结果的行为,在实质上仍属于“干扰”网络信息数据的行为;二是,第287条的立法思路是针对网络作为“犯罪手段”的情形,实践中该规定的行为类型具有开放性,第287条之一和第287条之二分别对网络预备行为和网络片面共犯行为作出处罚的规定,③参见张智辉:《试论网络犯罪的立法完善》,《北京联合大学学报》(人文社会科学版)2015年第2期;周光权:《〈刑法修正案(九)(草案)〉的若干争议问题》,《法学杂志》2015年第5期。确实丰富了网络作为“犯罪手段”的情形,但仅限于共同犯罪情形。
总之,从设置更完整的危害行为类型结构看,可以考虑适当借鉴《关于网络犯罪的公约》与《关于攻击信息系统的理事会框架决议》以及《网络安全法(草案)》,④客观地讲,我国当前的立法和《关于网络犯罪的公约》与《关于攻击信息系统的理事会框架决议》不存在根本性的差异,但是,在立法技术、立法内容的周全性、立法规定的前瞻性上确有差距。合理区分网络危害行为的对象与网络危害行为的种类,兼顾《刑法》第286条规定的“破坏”行为具有的包容性,同时结合网络攻击行为的方式、手段等因素,逐步明确“非法侵入”、“非法控制”、“非法获取”、“非法干扰”、“非法提供”、“非法制作、传播”、“非法滥用”(滥用软件技术行为⑤“微软黑屏事件”就是典型的“非法滥用”行为。其实质是滥用软件技术保护措施对用户计算机信息系统安全的损害行为。参见于志刚:《关于滥用软件技术保护措施行为的刑法思考》,《政法论丛》2010年第4期。)以及“非法利用”共八种不同的行为类型规制模式,每个行为类型后可以增补相应的网络危害行为对象(整体上都可以概括为网络或网络空间),从而严密规制各种类型的网络危害行为的刑事法网。比如,一种观点认为,侵犯计算机数据和系统安全的网络犯罪罪名应当包括非法侵入计算机系统罪、干扰计算机系统罪、干扰计算机数据罪、故意制作、传播计算机病毒罪、非法拦截计算机数据罪、滥用信息安全相关设备罪。①参见皮勇:《网络犯罪比较研究》,中国人民公安大学出版社2005年版,第99-191页。显然,这比第285条至第287条设定的行为类型更为丰富、合理,也较为充分地吸纳了《关于网络犯罪的公约》。立足于第285条至第287条的规定以及《刑法修正案(七)》与《刑法修正案(九)》的相关内容,我国网络危害行为类型可以做出如表2所示的调整。
表2 网络危害行为类型
(三)移动智能终端的对象性、工具性、独立空间化的三维应对
在实践中,一方面,移动智能终端本身的安全设置具有缺陷,以Andriod系统为主要形式的移动智能终端具有开放性,其中隐藏着巨大的安全漏洞,往往被作为犯罪工具使用,如利用手机移动智能终端实施诈骗的数量和危害呈爆炸式增长态势;②参见魏蔚:《手机诈骗案件人均损失远高于PC》,《北京商报》2015年4月29日,第C02版。另一方面,移动智能终端承载非常多的网络应用服务,如社交、支付、个人信息(账号和密码)等都依托于移动智能终端及其应用程序、软件,移动智能终端往往会成为被侵害的对象,如植入“木马”和破坏性程序、预先安装恶意软件、“开后门”、发送“钓鱼”短信、组建“僵尸网络”等。所以,移动智能终端既有作为犯罪工具的加害属性,也有作为犯罪对象的被害属性。在实践中,移动智能终端的工具性和对象性往往融为一体,纯粹作为工具或对象的网络犯罪并非主要形式,移动智能终端作为犯罪工具与作为被侵害的对象往往胶着在一起。这和计算机信息系统的双重属性具有一致性,1997年《刑法》第285条至第287条的立法基本指导思想也较好地贯彻了这一点。
根据1997年《刑法》第285条和第286条的规定,前者针对特殊而重要的计算机信息系统(国家事务、国防建设、尖端科技领域)进行保护,后者旨在保护普通计算机信息系统的功能正常发挥、系统安全运行与系统正常管理等。在此基础上,《刑法》第287条明确了相关法律的界限,以便于司法实践处理与计算机关联的犯罪时有所遵循。③参见高铭暄:《中华人民共和国刑法的孕育诞生和发展完善》,北京大学出版社2012年版,第512-514页。可见,1997年《刑法》主要从“危害信息交流安全”和“利用计算机技术”两个法益角度来进行规定和设计罪状,其中,第285条和第286条主要从前一个角度予以规定,第287条则从后者出发作出规定。
随后的两次刑法修改也基本上维持了原状。第一次是,《刑法修正案(七)》对《刑法》第285条进行了修改并增加了两款,罪名分别是“非法获取计算机信息系统数据、非法控制计算机信息系统罪”和“提供侵入、非法控制计算机信息系统程序、工具罪”。这次修改主要也是立足于“危害信息安全”,并同时扩大了行为对象的范围和增加了行为方式的类型,有助于回应不断翻新的计算机(网络)犯罪形式。第二次是,《刑法修正案(九)》增设的第286条之二也同样立足于网络空间的“信息安全”,但是,已经开始跳出了计算机信息系统安全,转向了网络信息安全,这是进步之举。《刑法修正案(九)》增设的第287条之二、第287条之三是以网络作为犯罪手段为前提的,分别规定了网络预备行为、网络片面帮助行为的处罚规定,法律修改的宗旨与第287条是一致的。因此,我国网络犯罪的立法修改指导思想仍主要停留于计算机信息系统安全语境下,而且至今只对以计算机作为对象和工具的情形作出了立法。
然而,在网络技术快速升级和网络空间日益成型之际,计算机犯罪已是较为陈旧的犯罪形式,网络犯罪才是新生的犯罪形式。在互联网时代,最重要的特征与趋势是网络空间的工具化、功能化以及独立性的深度化,网络及网络空间已经开始全面渗透到传统的物理社会,网络空间与传统物理社会的紧密融合彻底地影响人类生产和生活,甚至未来将全面进入智能时代,网络空间也将全面覆盖和嵌入人类本身与人类的生存空间。当前,互联网的高度普及化进一步推动网络时代的整体推进和网络空间的独立化进程,对于法律制度而言,也面临话语体系的适应和变革。目前,刑法中的传统罪名体系已经明显落后于网络犯罪、移动智能终端犯罪的现状及其发展趋势,仍然主要对“手段性”和“对象性”两个环节进行保护,缺乏对网络空间以及网络空间主权的刑法保护,以至于司法机关在保护网络空间安全和网络主权的问题上面临“适法困难”,并且往往被迫选择“爱莫能助”或退而求其次地推行“扩张解释”。然而,这些不是传统刑法理论和刑事立法正确应对互联网思维和迎接网络新纪元的最佳选择,网络空间的特殊立法保护势在必行。即将成为我国网络法律体系基本法的《网络安全法(草案)》正是在此背景下产生的,①2015年6月24日,十二届全国人大常委会第十五次会议二次审议了《中华人民共和国网络安全法(草案)》。该草案共七章六十八条,重点涉及保障网络产品和服务安全、保障网络运行安全、保障网络数据安全、保障网络信息安全等。目前,全国人大常委会法制工作委员会正在征求修改意见。2015年7月8日,《中华人民共和国网络安全法(草案)》正式公布征求修改意见。其第1条明确规定了立法的目的和宗旨:“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。”其中,“网络安全”、“网络空间主权”等内容切实凸显出网络空间独立性及其保护的重要性。只有从整体上确认网络空间安全的地位,才能更自如地对网络的“工具性”和“对象性”方面进行保护。进言之,考虑到网络空间本身的独立性日益获得共识、网络空间自身的公共秩序建构的重要性、以网络为犯罪空间的趋势日益明显等因素,应当尽快改变传统“一面四点”的立法格局,及时建立独立的网络犯罪法律体系。②参见于志刚:《网络“空间化”的时代演变与刑法对策》,《法学评论》2015年第2期。因此,今后的刑事立法既要体现网络犯罪的整体发展趋势,也要兼顾移动智能终端犯罪的特定需要,以求专门应对网络空间深层化所带来的各种新冲击和新挑战。
从立法的前瞻性看,由于以移动智能终端为平台的移动互联网和传统的PC互联网齐头并进,移动互联网安全问题作为一个独立的现象日渐显现出来。移动互联网作为互联网的新型平台,承载人类社会生产生活的重要功能,尽管兼具虚拟性与技术性两大新特征,但其内在的功能性、互联性、经济效益性等特征同时意味着互联网空间本身的脆弱性及其对现实物理社会的直接与间接危害,移动互联网空间和互联网空间都是应当单独进行保护的刑法时空对象。从整体上看,立法保护不能仅仅停留于移动智能终端的“工具性”和“对象性”特征之上,通过立法规制移动互联网空间尤为迫切,未来的立法应当从“对象性”、“工具性”和“空间性”三个维度进行展开。目前,针对“对象性”、“工具性”的刑事立法较为完整,“对象性”的规定已经较为丰富,但在行为类型模式上有些不足;在“工具性”上的立法进展值得肯定和期待,因为《刑法修正案(九)》新增加第287条之二和第287条之三都适度扩充了“利用计算机技术”实施犯罪的惩治范围,但是,围绕“网络空间”的立法尚不充分。虽然《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》、《网络安全法(草案)》、《中华人民共和国反恐怖主义法(草案)》等做出了相关的规定,但我国《刑法》并未对网络空间安全单独做出保护规定。为了强化互联网安全的独立性与重要性,从立法层面看,特别要合理设定行为类型,既要规定特殊性罪名,也要规定一般性罪名,从而严密法网。
针对网络空间这一独立法益的刑法立法保护,有以下三点值得关注。其一,刑法总则增加独立的概括性规定。应当考虑单独增设一个条文,规定破坏网络空间安全和网络空间主权的刑事责任。可以将其置于总则中,确立网络犯罪的独立地位,从而统领分则的条文,并彻底实现从“计算机信息系统(安全)”切换到“网络(空间安全)”的立法思维转变。可以考虑将其置于《刑法》第13条之内,理由如下。一是第13条属于犯罪概念的规定,同时也规定了犯罪构成,是总则所有规定中最基础和最重要的条文。二是网络犯罪在总则需要明确地位,同时也可以辐射总则的其他条文,并对分则具有指导意义,第13条是最佳选择。在内容上,可以考虑增加一个第三款:“实施破坏网络安全的危害行为,利用网络实施危害行为,对网络空间实施危害行为的,依照前两款的规定处理。”修改的理由为:一是鲜明地规定网络犯罪的三个维度,表明网络犯罪与传统犯罪的共性与差异;二是网络犯罪应当适用第13条关于犯罪的规定,同时也适用但书的规定,这才是完整的网络犯罪概念。其二,刑法分则单节或章规定。1997年《刑法》仅规定了第285条至第287条共三个条文,但是,随着网络犯罪的高发态势有增无减,增加网络犯罪的罪名成为共识,《刑法修正案(九)》增设的第286条之一、第287条之二、第287条之三是一个开始。所以,分则可以首先考虑单设一个“节”,而不应将其继续置于“妨害社会管理秩序罪”的第一节“扰乱公共秩序罪”内,具体地说,可以将其置于该章的最后一节即“第十节”,名称可以初定为“网络犯罪”。如若置于“危害国家安全罪”或“危害公共安全罪”内,则容易导致保护对象变得狭隘,同时也不符合过渡性调整的要求,容易增加立法修改的阻力。但是,将来不排除在刑法分则中对网络犯罪增加独立的一章即“网络犯罪”,以更集中和完整地规定网络犯罪。其三,罪名体系的重新安排。在罪名体系设计上,针对网络空间的立法处于阙如的状态,需要增设一个概括性条文并配置总括性的罪名,如“危害网络安全罪”或“破坏网络安全罪”;针对将网络作为对象犯罪的立法还需要完善,具体地说,可以根据网络危害行为类型重新设置条文和调整罪名,并加以新的有序排列;针对网络作为犯罪手段的立法策略基本可以保持不变,仍然可以采取“列举+概括”的立法模式,但应继续扩容。
当然,刑事立法完善仅仅是法律中的一环,还需要其他的法律体系进行配套方显实效。这既包括国家层面的法律法规、规章与政策,也包括地方性法规。比如,全国人大常委会应当尽快审议通过《网络安全法》,从实质上确立我国网络安全保护的基本法律体系,这样才能使网络空间作为独立的法益空间获得独立的地位,并为刑事立法的专业性、针对性、有效性提供法律基础。
四、余论
从曾经熟知的计算机时代走向日益深化的互联网时代,人类社会已经与PC计算机时代密不可分;然而,网络技术的高速发展不断弱化计算机时代,却日益强化网络空间时代。其中,以手机为代表的移动智能终端开启了移动互联网的新纪元,并对人类社会的生产生活施加了更为显著和全方位的影响,移动互联网正在全面深刻地改变人类社会的生产生活,而移动智能终端是移动互联网的核心之一。在依法保障移动智能终端与移动互联网安全问题上,传统刑事立法的理念滞后、技术匮乏与内容单薄等问题相继暴露出来,使得“扩张解释”成为不得已的司法选择。随着“互联网+思维”的深入,移动智能终端将不断推陈出新,移动互联网安全问题将警钟长鸣,有鉴于此,应当树立移动互联网安全保护的新思维,以全新的理念重构我国计算机犯罪规定,既要合理保留计算机“1.0”时代的烙印,更要突出互联网作为“2.0”版本的新需要;既要突出互联网及安全保护的普遍性,也要重视移动智能终端及其移动互联网的特定趋势、需要与应对措施。当前,应当针对移动智能终端的特殊性,以制定《网络安全法》、《刑法修正案(九)》为重要契机,首先对移动互联网的保护对象、网络危害行为规制类型、保护法益等方面进行必要的立法扩容和修改完善,以满足保障(移动)互联网安全的现实需要和维护移动智能终端的网络空间安全。
(责任编辑:杜小丽)
DF626
A
1005-9512(2015)11-0073-15
孙道萃,华南理工大学法学院讲师,法学博士。
