尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨金鸿浩:网络犯罪刑法理论范式的体系化变革

作者:尚权律所 时间:2023-06-14

网络犯罪的刑法规制是21世纪刑法理论必须回应的重要问题。早期的网络犯罪刑法理论具有表象化特征,“三分法”理论等侧重于对网络犯罪现象的类型归纳,后续学者又进行了多元化的保护法益探索。但上述理论既无法为网络犯罪提供明晰的分类界限,多元观点间也缺乏逻辑关联,存在以偏概全问题。

 

网络刑法研究应当进行体系化思考,建立网络刑法理论的外在体系和内在体系。外在体系承担网络刑法的认识论功能,以类型化研究为重点,倡导对网络空间物理层犯罪、软件层犯罪、数据层犯罪、信息层犯罪实施分层保护;内在体系承担网络刑法的方法论功能,坚持问题导向,对网络犯罪共性法律适用问题分层进行教义学探讨,从而形成网络刑法的“中国模式”。

 

问题的提出

 

新世纪以来,人工智能、大数据、云计算、区块链等新一代信息技术之间正向反馈互动的“群集现象”加速迭代,信息技术革命方兴未艾。越来越多的社会现象和社会关系已经或正在基于信息技术的线上到线下(Online To Offline,O2O)模式创新发生范式变革,从而产生了需要法律规制、调整的新领域、新情况、新问题。

 

但是,与信息技术的指数型增长相比,法律规范的更新速度却相对缓慢。就刑事实体法而言,如果说对于发生“量变”的网络时代犯罪现象,还可以通过对传统刑法“打补丁”的方式提供理论和制度供给;那么对发生“质变”的犯罪现象,当作为知识解释的客体和法律规制的对象这一“现实基点”发生根本性变革时,围绕这一领域的既定知识体系、法律体系的圆满状态自然也被同时打破了。

 

这种应然与实然之间的滞后性主要体现在三个方面:

 

一是刑法罪名设置的滞后性。当网络社会出现了传统刑法法条完全无法对应的新型犯罪时,刑法基于罪刑法定原则便无法追责,从而容易在一定时间内客观上纵容犯罪的发生、发展。

 

二是犯罪论层面的理论滞后。由于网络因素的介入,部分犯罪虽然能够找到对应法条进行三段论推理,但是传统罪名面临“网络异化”现象,构成要件需要重新进行教义学解读,同步更新司法解释。否则“旧瓶装新酒”式的解决方案经常处于“难以适用的尴尬境地”,个别网络案件中法官、检察官在适用法律时也因为缺乏理论支撑,无法形成充分的内心确信。

 

三是刑罚论层面的理论滞后。一方面,由于犯罪场域的重大变化,传统的轻罪(如侵犯隐私权、名誉权的犯罪)可能在网络时代产生较大的法益侵害性,而传统的暴力犯罪等重罪则可能由于网络的非接触性特征而减少发案率,从而对现有罪名刑罚配置的合理性提出挑战;另一方面,同一罪名线下犯罪和线上犯罪的刑罚裁量基准的关系也需要重新厘清,防止“两张皮”现象导致严重的量刑失衡。

 

当前,网络犯罪治理迫切呼唤理论创新,以解决网络刑法理论所面临的认识论、方法论“双重断裂”问题。

 

在认识论层面,盲动粗放式的应对可能破坏法的安定性,加剧法学理论体系、刑法学说内部的逻辑混乱。在方法论层面,沿袭传统犯罪的规制思路制定的网络犯罪刑事对策,由于没有充分考虑网络犯罪的自身特点,可能会在“一定程度上失灵”,进而导致惩治和预防网络犯罪不得不陷入了“头痛医头,脚痛医脚”式相对被动、碎片化的应对之路。对此,部分文献虽然试图回应和解决这一问题,但是此类研究多数要么偏于零散,要么就个案论个案,未能在一般意义上提供理论构建。

 

面对网络犯罪公诉案件2020年同比上升47.9%的严峻态势,显然不能再将网络犯罪研究的重点只局限于分散的个罪式研究,不能再将网络运行过程继续作为“黑盒”而只关注网络犯罪表象。正如黑格尔所说,“这种看法的正确性只能由体系的陈述本身来予以证明”。需要提出一个符合信息网络规律、具有逻辑自洽性和可操作性的体系化网络刑法理论,作为刑法学人批评讨论的基点。通过网络刑法理论的“知识革命”,逐步形成网络犯罪治理新的基本共识。

 

“表象化”网络犯罪类型理论的意义与不足

 

晚近以来,我国刑法学界探索形成了一个具有部分体系性特征的网络犯罪理论,该理论体系缘起于20世纪80年代末90年代初的网络犯罪“二分法”,其目的是希望在“实然”的计算机网络犯罪现象和“应然”的刑法理论之间搭建一种映射关系和类型学上的分类方法,帮助刑法学者和司法人员准确适用法律。

 

网络犯罪“二分法”最早可追溯到1989年计算机专家李飞鹏提出的“计算机既是犯罪的手段和工具,也是罪犯攻击的目标和对象”之论述。作为犯罪工具,李飞鹏借鉴国际商业机器公司(IBM)的分类方法细分为使用计算机诈骗、窃密、盗用计算机系统、破坏等不同二级类型。作为犯罪对象,后续学人又提出了将攻击计算机的犯罪细分为“硬破坏”(破坏硬件设备)和“软破坏”(破坏信息软件)两种二级类型。

 

这种观念首先是由计算机专家基于对早期计算机犯罪现象的观察所得出的,并由刑法学者发展完善。1995年,北京大学科技法研究中心的黄国民将破坏计算机犯罪归类为“以计算机作为犯罪行为的对象”,将盗用、滥用计算机犯罪归类为以计算机为犯罪工具。后来,有的刑法学者又将“以计算机网络为犯罪对象”定性为纯正网络犯罪,将“以计算机网络为犯罪工具”定性为非纯正网络犯罪。在应对措施上,建议对纯正网络犯罪通过立法增设新罪的方式予以规制,非纯正网络犯罪则通过解释论扩大解释等方式予以应对。最高人民检察院《人民检察院办理网络犯罪案件规定》第2条将网络犯罪定义为“针对信息网络实施的犯罪,利用信息网络实施的犯罪”,就基本延续了这一思路。

 

本世纪初的网络犯罪“三分法”,得益于网络刑法研究者对该理论在类型学上的进一步展开。中国政法大学网络刑法研究团队率先提出,在“将网络作为犯罪行为的对象”“以网络为犯罪工具”之外,还存在第三种网络犯罪类型,即“将网络作为犯罪空间”,这种观念后来被实务部门所接受。2013年最高人民法院、最高人民检察院在制定《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》时,开始认识到“互联网门户网站、公共微博平台等网络空间同样具有‘公共场所’属性”。

 

虽然对此解释存在理论争鸣,但是也间接表明法律界已初步认识到双层社会中的网络空间具有其独特的保护价值。“将网络作为犯罪空间”的学术观点,敏锐地观察到网络空间和传统现实空间具有显著差异,网络空间中存在“时间压缩”现象,是流变(Becoming)建构了存在(Being),时间驯服了空间,因此网络空间具有不同于传统物理空间的“流动空间”特征,从而使发生在网络空间的犯罪行为也具有了跨时空性、非接触性、便捷性、隐蔽性等特征。

 

“将网络作为犯罪空间”的网络犯罪,既不同于产生了新的规制对象属于“质变”范畴的以网络为对象的犯罪,也不同于属于“量变”依据《刑法》第287条的提示性规定按照原罪名定罪的以网络为工具的犯罪。网络空间型犯罪兼具“质变”“量变”特征。

 

一方面,需要对发生“质变”的网络空间内主体的权利义务关系进行重新调整,通过预备行为的实行化、共犯行为的正犯化和义务犯等新的立法思路,明确和压实网络参与者刑事责任,以应对风险社会背景下的网络犯罪风险泛化。另一方面,需要对发生“量变”的网络空间内犯罪行为的法益侵害性进行评估,提倡构建信息时代犯罪定量标准体系,根据罪责刑一致原则通过司法解释调整入罪的“罪量”标准。

 

上述的应对思路直接或间接影响了网络犯罪治理的刑事立法与司法解释方向,被《刑法修正案(九)》和相关网络犯罪司法解释充分吸收,开辟了网络犯罪体系性研究的先河,为惩治和预防网络犯罪发挥了积极作用(见图1)。

 

 

但是,这种基于犯罪现象表征观察得出的网络犯罪刑法体系建构也面临着诸多不足。

 

其一,在逻辑上以视角差异性替代了内在逻辑自洽性。网络对象说、网络工具说、网络空间说的提出,一定程度上受到四要件理论的影响,这三种分类方式实际上是对犯罪客观要件的不同要素进行了限缩。网络对象说属于以计算机网络为特定犯罪对象的犯罪类型,在犯罪对象上进行了限缩;网络工具说属于利用计算机网络等特定工具实施的作为犯罪,在犯罪实施方式上进行了限缩;网络空间说属于发生在计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络等特定空间的犯罪,在犯罪空间等犯罪其他客观要件(客观的附随情状)上进行了限缩。

 

进一步分析可以发现,以网络为对象、以网络为工具、以网络为空间之间的逻辑关系事实上是断裂的,三种方式彼此之间缺乏强逻辑关系,只是具有视角的差异性。同四要件理论一样,这种理论体系也具有平面性、封闭性、模糊性、静止性特征,难以完全承载解释、评价网络犯罪的使命与功能。

 

其二,在分类上较为模糊,不存在非此即彼的明晰界限。由于网络对象说、网络工具说、网络空间说是从不同客观要件限缩的视角出发,犯罪对象、犯罪实施方式、犯罪时空要件概念本身之间的交叉性就比较强,不存在非此即彼的关系,导致“三种类型处于共存的状态”。将上述要素抽离出来作为类型学划分的依据,用以对纷繁复杂的网络犯罪现象进行分类,则会发现在个案上常常存在重复评价问题。

 

比如,以网络为犯罪对象通常意义上会同时以网络为工具,为解决这一问题,学者们又提出了网络对象兼工具说,虽然一定程度可以对存在交叉性的犯罪现象增强解释力,但这种解释更进一步加剧了分类上的混乱。譬如,在网络空间发生的犯罪绝大多数都会使用网络工具,那是否又需要提出网络空间兼工具说?这种理论观点的提出恰恰说明分类上模棱两可的问题普遍存在,没有一个清晰的分类标准。有的学者也对此批判道,“未对网络犯罪进行细致的类型化分析,可能是有些学者得出上述如此这般笼统且绝对定论的症结所在”。

 

其三,在功能上注重观察现象,缺乏进一步的法教义学探讨。究其原因,这种理论上的划分不是基于法律本身作为论证依据的,而是从传统刑法理论和网络犯罪关联的角度进行思考,还停留在具体的犯罪对象、工具、空间等现象层面。

 

一方面,没有体现计算机网络犯罪自身的规律或技术逻辑,具有初期研究主要关注现象(表象)层面的特点,不能完全揭示网络犯罪的本质。特别是随着信息技术的快速发展,基于互联网(Web)1.0、Web2.0阶段网络犯罪现象归纳的网络犯罪理论,对于Web3.0阶段的网络犯罪现象更加缺乏解释力,导致理论说服力存在一定局限性。

 

另一方面,没有在规范论层面的教义学上进行建构,实然的现象观察和阶层式犯罪论体系之间仍然属于“两张皮”。比如即使将某一具体案件归纳为“以网络为空间的犯罪”存在充分依据,那么在司法审查中应该在哪个环节审查?如果是在构成要件该当性中考虑,那应该是在危害行为中考虑还是在危害结果中考虑?审查时需要把握哪些原则或侧重点?当这些问题均未得到有效回答时,自然也就缺乏可操作性,理论的应用价值受到局限。

 

“多元化”网络犯罪法益理论的意义与不足

 

“表象化”网络犯罪类型理论的探索使我们得到了一条“试错”经验,即在“实然”的计算机网络犯罪现象和“应然”的刑法理论之间,不能简单地仅根据“实然”层面的犯罪实施工具、犯罪对象、犯罪空间等犯罪现象分析就将其想当然地作为分类依据。单纯的“实然”层面外部视角的思考很难直接为司法实务解决问题提供具有可操作性的理论范式和方法启迪。同时,单纯的“应然”层面法教义学建构也很容易丧失方向感,陷入“刑法学者自己想保护什么”从而展开论述的单向度认知偏差。

 

如何完成从“实然”到“应然”的逻辑转化,实现从外部视野到内部视野的范式转换?显然不能是跳跃式、直觉性的过渡,认为因为重要所以直接开始对个罪(特别是新增罪名)进行教义学阐释。这个艰巨的任务应当由法益理论来承担。犯罪的本质是经验上可以把握的法益侵害,而若想以法益侵害作为中心,刑法领域“双层社会”的形成不仅是犯罪学意义上传统犯罪向网络空间的延伸,更重要的是形成专属于网络空间中的法益。

 

换言之,应当将对“实然”层面犯罪现象的观察、分析、思考,通过法益理论将“外部的规范需求传递进入刑法体系”,从而完成将法社会学的外部视野融入法教义学的内部视野,将刑事法学科的犯罪学研究成果融入刑法学研究的“沟通外部环境与刑法体系的功能”,最终再过渡到具体的“应然”层面个罪不法论的探讨。

 

可以看到,为了解决前述表象化的计算机网络犯罪刑法理论缺陷,当前越来越多的学者已经开始自觉或不自觉地基于法益理论探讨网络犯罪本质,开始在立法论或司法论上思考如何基于计算机网络法益填补法律空白、完善司法解释、提升审查技巧。从某种角度讲,今天学者争论的焦点已经不再是是否存在计算机网络法益,而是计算机网络法益到底是什么法益以及如何将上述法益转化为刑法理论解释力和司法实务操作力的问题。

 

比如:网络安全秩序法益说认为,网络安全是国家安全的重要组成部分,算法安全、算据安全、算力安全都与信息时代的国家安全紧密相关。由于调整对象上的重叠性,网络犯罪多数属于行政犯,因此《刑法》需要以《国家安全法》《网络安全法》《数据安全法》等网络治理领域的行政法为前置法,通过刑罚的方式对严重违反上述行政法规的恶劣行为予以惩治,发挥刑法的最后保障性作用。

 

在未来,网络安全法益逐步替代传统法益将会成为一种“新常态”,立法机关通过增设新罪(法定犯)的方式,将使得网络安全法益的实体内容得到不断扩充。持该类观点的学者还提出,除狭义的网络安全外,全球范围内“第五空间”的治理仍处在早期探索的无秩序状态中,属于广义的网络安全保护范围。网络秩序作为信息时代的一种公共秩序利益,无论是公共信息传播与获取,还是公共的外在安宁与内在安宁,都需要予以专门独立保护。共同推进网络空间中犯罪圈的逐步扩张,由此形成网络空间国家化的趋势。

 

数据法益说认为,数据法益是法律所识别、确认、保护的数据利益。有的学者从价值法学、分析法学、社会法学等不同维度对数据法益进行研究,提出:在价值法学看来,侵犯数据法益的行为实质上是对社会共同价值追求的违反;在分析法学看来,数据法益是数据立法秩序的体现,并衍生出数据法益的规范论、状态论、制度论三个分支学说;在社会法学看来,数据法益是个人利益与共同体利益的统一。

 

当前,大数据时代是对数据价值再发现的时代,数据法益的重要性与日俱增。而与此同时,数据安全的脆弱性与易受攻击性也越发凸显,严重危害国家安全、社会秩序以及企业与个人利益。因此无论政界、业界还是学界都在呼吁对数据法益赋予独立的法益地位予以专门保护,而不仅限于立足私益的数据权利保护,或者继续沿用惯例将数据安全作为软件安全的附属法益保护。

 

2021年《数据安全法》的制定实施被视为是“数据安全法益”本位之回归的里程碑事件,并进一步加速了刑法学界对数据法益的研究热潮。有的学者借鉴“数据主义”从“以人为中心”转向“以数据为中心”的哲学观念,认为应将刑法的触角延伸至技术领域,提出“以数据为中心”“以预防为基准”来重新设计认定数据犯罪的刑法教义学。不仅要保护静态的数据本身,还应当保护动态的数据流动;不仅要惩治造成数据损毁等严重后果的实害犯罪,也要惩治严重危害数据安全的危险行为。

 

信息法益说认为,狭义的信息法益是指信息主体依法享有的信息权利,包括但不限于信息专有权、信息传播权、信息利用权、信息获取权等。广义的信息法益是指在制造、获取、传播、利用信息过程中,可能会指向的人身法益、财产法益、社会法益等多种类型的法益。

 

2012年全国人大常委会制定《关于加强网络信息保护的决定》以来,网络信息保护成为刑事司法的重要任务。在狭义的信息法益保护方面,主要突出表现为侵犯公民个人信息犯罪和知识产权犯罪,特别是随着2021年《个人信息保护法》的制定和近年来侵犯公民个人信息专项行动的实施,信息隐私已成为社会关切,学界对于公民个人信息法益的探讨存在人格权说、财产权说、二元属性说、公共管理秩序说等不同观点。

 

当前主流观点倾向于基于刑法的谦抑性、补充性和法益平衡,将独立保护的信息法益限于严重的社会法益或集体法益范围进行保护。随着犯罪实务部门和理论界的高度关注,许多狭义信息犯罪的突出问题正在被逐步解决。但是在广义的信息法益保护方面,信息法益所具有的多重指向性、泛在性的特征,导致广义信息法益保护的“碎片化”问题、不衔接不协调问题仍然十分突出,有待进一步加强研究。

 

多元化计算机网络犯罪法益理论的形成略晚于表象化网络犯罪类型理论,但在理论性、指导性上均得到了大幅提升与增强,注重从交叉学科视角对网络犯罪治理提出新的理论观点和方法对策。但是,应当看到多元化理论建构也面临着自身问题。

 

其一,在视角上周延不够,存在以偏概全和“盲人摸象”问题。当前各类网络犯罪法益学说都有其存在价值,许多研究论述非常精彩,但彼此之间无法说服的原因,不是理论深度不足而在于理论广度欠缺。不少学说观点事实上陷入了“盲人摸象”陷阱,从而导致对网络犯罪的解释“横看成岭侧成峰,远近高低各不同”。客观上,不同视角的理论假设均反映了网络犯罪的某一个维度,能解决网络犯罪的部分问题,但是均没有反映网络犯罪的整体面貌。

 

比如,网络安全与秩序法益说对于在网络犯罪中危害国家利益、集体利益的犯罪行为予以高度重视,但是对个体法益的保护则相对欠缺,而显然在网络空间治理中“安全与秩序”的保护不能替代个体“权利与义务”关系的重构,网络安全与网络发展之间也需要适度平衡,“刻舟求剑”式的网络安全刑事保护将大幅压缩网络虚拟社会的发展空间,错过互联网行业的发展红利。再如,数据法益、信息法益关注到网络生态传输层、应用层的犯罪行为,但是数据法益、信息法益显然无法囊括许多传统的计算机犯罪的法益侵害类型,例如对计算机设备等实体的破坏显然不能用数据、信息等虚体的保护替代。

 

其二,在概念上界定不严,主观性的解释导致学说可伸缩性较大。由于“网络”“数据”“信息”等核心概念在法律中的定义不完全明确,具有一定的解释空间,因此导致个别研究者在缺乏对网络技术本身全面理解的基础上,只是参考了计算机网络科学某个二级学科的基础知识,而对于计算机网络科学一级学科下的其他专业知识的借鉴不足。部分学说的论证与辩护存在“本位主义”倾向。

 

在计算法学、网络法学、数据法学、信息法学、智能法学等交叉学科建设中,有的学者在“潜意识”下将自己所支持的核心概念进行扩大解释,对其他概念进行缩小解释,从而进一步论证所提出理论的合理性,比如支持“网络安全”的学者提出网络安全是一个宏观安全,将数据安全、信息安全囊括其中;支持“数据安全”的学者认为信息是数据的内容,因此信息安全从属于数据安全。这些“纯粹法学问题”的争论,对于客观认识网络犯罪本质、把握网络犯罪规律、提出网络犯罪对策的意义相对有限,甚至容易陷入文字游戏的怪圈。导致各种学说内部虽然具备一定的逻辑性,但是学说之间缺乏逻辑关联,尚未“求同存异”生成一个网络刑法理论体系的基本共识或强势观点。

 

其三,在原理上阐述不足,缺乏刑法理论层面的深度解读和内在体系建构。“多元化”网络犯罪法益理论认识到了需要在规范论层面进行刑法教义学解读,希望将计算机网络科学中的相关概念迁移到法学理论之中,以完成网络刑法的知识升级任务。这个探索方向并没有错,但是在进行“迁移”或“嫁接”的过程中不能“直接迁移”。

 

这不仅是因为在语义上,不同系统有时对同一概念的意义“赋值”存在显著不同,更是因为在深层次上,“直接迁移”陷入了“社会秩序规则一元论”的泥潭。而正如哈耶克“社会秩序规则二元论”所阐述的,网络社会治理中同时存在内部规则的“自生自发秩序”和外部规则的“组织秩序”两种不同的规则与秩序。“直接迁移”模式事实上导致作为外部规则的网络法律的过度扩张,替代内部规则发挥作用。

 

而无论从刑法人权保障还是司法经济的角度,刑罚权的发动需要高度谨慎,网络治理的法秩序不应当一味地无序扩张。根据卢曼系统论的观点,刑法理论从网络系统迁移知识时应当秉持认知的开放性和运作的封闭性双重原则。法律系统的自我描述必须要考虑到其规制对象的特殊性,以网络系统规律为研究参照,否则“闭门造车,出门合辙”的理论创新必然因为缺乏经验支持而变为理论空想。

 

但是当网络系统等其他系统的概念进入法律系统时,必须由通晓网络工程知识和刑事法律知识两个系统语言的“符码转译者”弥补系统之间的鸿沟,促进不同社会系统间的“结构耦合”。由法学家对这种联结进行法律意义的“资格审定”,以使网络法律系统在运作上保持自成一体、自我生成、自我检验的自涉性同时,自发地适应网络社会结构与形势的变化。

 

网络刑法理论“外在体系”的系统建构

 

体系思维是法学最基本的思维方式,也是未来网络刑法理论的发展方向。李斯特曾经尖锐地指出,“只有将体系中的知识系统化,才能保证有一个站得住脚的学说,否则,法律的运用只能停留在半瓶醋的水平”。

 

在充分借鉴网络犯罪刑法类型理论(1.0版)、网络刑法法益理论(2.0版)的经验教训基础上,笔者认为体系化网络刑法理论(3.0版)的构建,应当区分法律的外在体系和内在体系两个部分。

 

外在体系(外部体系)是由法律应用的语境因素和不同内涵的概念通过涵摄技术所构成的逻辑体系,遵循认识的开放性原则,承担网络犯罪理论的犯罪类型学任务,为网络犯罪行为寻找到“一个共同的分母”,并归纳多样化网络犯罪行为各自的特征。内在体系(内部体系)是指与法律秩序内在构造、原则、价值判断相关的法律思维体系,在法律规范和法律渊源范围内对构成要件进行法律解释,遵循运作的封闭性原则,承担网络犯罪理论的刑法教义学任务。

 

只有通过形式上的外在体系和实质上的内在体系的相互融通、相互完善,从描述性的“以抽象概念为基石的”外在体系建构,逐步深入到“以原则及其显现的评价内容为基石”的内在体系建构,才可能真正赋予网络刑法理论评价性、经验性和开放性,进而实现网络犯罪理论在认识论和方法论上的预期功能。

 

网络刑法理论“外在体系”的系统构建应当遵循拉伦茨“从调整对象的事实构建中分离出某些确定要素并将其普遍化”的方法,将所有的“下位”概念涵摄、包容到抽象程度更高的“上位”概念之下,最终将大量的形态各异、错综复杂的网络犯罪现象归结于简洁的概念体系之中。因此,在网络刑法理论“外在体系”的构建中,笔者特别注重区分了一级概念和二级概念。

 

一级概念是网络刑法理论所规制的对象——“网络空间”。之所以将“网络空间”作为概念而没有采用“互联网空间”“虚拟空间”“赛博空间”“虚拟社会”“网络社会”等相近概念,主要有四点考虑。

 

第一,“网络空间”的“网络”按照互联规模和通信方式包括局域网(LAN)、广域网(WAN)、城域网(MAN)、互联网(Internet),虽然互联网的使用人数最多,但是并不能涵盖其他网络,使用“互联网空间”替代“网络空间”存在以偏概全问题,并不十分严谨。

 

第二,“网络空间”的“空间”实际上包括不同层次,按照国际标准化组织(ISO)的开放式系统互联通信参考模型(以下简称OSI模型)第一层就是物理层,离开了物理层的“物理媒介”,网络空间就如同“空中楼阁”根本不可能存在。而如果使用“虚拟空间”或“赛博空间”,在认识上并没有将物理层纳入其中,这种概括也是不全面的。

 

第三,“网络空间”在图论上是通过网络系统各组成部分(节点或顶点)及它们之间的连接关系(被称为链接或边)组成的。因此法律既要保护网络系统中每一个节点(公民、法人和其他组织)的合法权利,也要保护网络系统中的连接关系(网络秩序)。如果使用“网络社会”的概念,一方面容易忽略网络社会底层的技术架构,另一方面更加侧重于对网络连接关系之上的新的网络社会关系的保护,容易忽视网络个体法益的探讨。

 

第四,“网络空间”也是目前官方话语中认可的规范性表述,“推进网络空间治理”“构建网络空间命运共同体”“营造风清气正的网络空间”等表述已经深入人心,我国国家互联网信息办公室、外交部等相关部门也采用“网络空间”的概念制定了《国家网络空间安全战略》《网络空间国际合作战略》。2021年,最高人民检察院发布11个“充分发挥检察职能推进网络空间治理典型案例”。采用“网络空间”一级概念作为网络刑法理论“外在体系”所规范的对象在科学性、全面性、规范性上都较为适宜。

 

当前,网络刑法研究的一个突出问题在于,多数学者能够区分实体的网络空间(硬件层面)和虚体的网络空间(硬件以外的虚拟化空间)的差异,但是对于虚拟空间中的软件、数据、信息等相近概念很多研究是含糊不清的。

 

一方面根源出在立法上,《网络安全法》《数据安全法》《个人信息保护法》作为行政法上网络空间保护的三大支柱,分别承担着保护网络系统安全、数据安全、个人信息安全的职能,但三者“彼此之间存在交叉重合关系”,立法上对部分概念的界定本身就相对原则性并不完全清晰,相近概念在具体的立法表述上也不完全一致,导致法律条文中缺乏对软件、数据、信息的系统界定和明确区分。

 

另一方面原因在法学研究上,由于网络法的研究起步较晚尚不成熟,特别是由于学科背景的差异,法学研究者多数缺乏对计算机网络科学的深度研究,导致在理论探讨中不同学者对软件、数据、信息的概念理解存在较大差异。有的学者没有区分软件与数据的差异,在研究中经常使用“软件数据”概念,延续了数据附属于软件保护的传统观念;有的学者没有区分数据与信息的差异,在研究中经常使用“数据信息”作为论述的基本概念,或者认为数据内容是数据的组成部分。

 

在这种观念的影响下,实务中司法人员因为对“软件”“数据”“信息”认知模糊、难以区分,直接导致部分案件法律适用不当,有的将原本应构成侵犯公民个人信息罪的行为认定为非法获取计算机信息系统数据罪,有的将非法获取计算机信息系统数据罪认定为破坏计算机信息系统罪。

 

针对上述问题,二级概念的建构还应当承担网络空间的分类任务。在充分考虑法学所规制对象的“相关学科在形成概念时想要追求的目的”的基础上,应当用可概观的方式进行分类,用清晰易辨的特征加以描述,以赋予同一类客体相同的法律效果。

 

在分类中,计算机网络科学追求信息传输目的,在技术实现上,普遍达成共识的是OSI模型和传输控制协议/网际协议(TCP/IP)参考模型。OSI模型是国家标准化组织于1985年提出的一种理论模型,将计算机网络分为七层,自下而上分别为物理层、数据链路层、网络层、传输层、会话层、表示层、应用层;TCP/IP参考模型是因特网实际使用的一组通信协议,对OSI模型进行了简化,分为网络访问层、网际互联层、传输层和应用层。不同层次设计不同协议,从而将分散的计算机软硬件设备通过信息网络紧密连接在一起,形成了信息技术所承载的网络空间。

 

刑法对网络(空间)犯罪也需要进行层次化解读,在将碎片化的计算机网络犯罪通过逻辑黏合形成体系的基础上,对功能分化的网络社会进行分类治理。笔者参考网络工程的分层思想,将网络刑法所保护的网络空间拆分为四个二级抽象概念,对应网络空间的物理层、软件层、数据层、信息层四个层次,尝试在外部体系中清晰界分四个层次彼此之间的异同。

 

(一)网络刑法体系的第一层规制对象:网络空间物理层

 

网络空间物理层为整个互联网世界提供硬件(算力)支撑,并与现实社会进行物质连接,其科学基础是微电子学与网络工程学。而无疑,绝大多数网络犯罪的犯罪过程或犯罪对象都离不开计算机硬件设备。网络空间物理层刑事法治保障的主要目的是维护作为运行环境的计算机设备和网络通信的(硬件)运行安全,这是网络刑法保护的物理基础。

 

在网络空间物理层中,对个体法益的侵害主要指向财产法益,基本不涉及人身权利,其宪法保护基础是“公民的合法的私有财产不受侵犯”。对以计算机网络(硬件)为犯罪对象的犯罪行为,主要集中在《刑法》第二编第五章侵犯财产罪中的盗窃罪、侵占罪、故意毁坏财物罪等相关犯罪。

 

对公法益的侵害,过去主要表现为非技术手段的犯罪,如为盗窃而破坏广播电视设施、公用电信设施。近年来主要表现在技术手段犯罪,比如“伪基站”类犯罪,以及犯罪产业链中制造销售犯罪工具的行为,如生产、销售窃听专业器材、窃照专业器材,侵入或非法控制计算机信息工具、“伪基站”设备、作弊器材等专门从事违法犯罪的硬件设备;以及为犯罪提供硬件设备服务的行为,如提供互联网接入、服务器托管、网络存储、通讯传输等技术支持的上游犯罪。

 

(二)网络刑法体系的第二层规制对象:网络空间软件层

 

网络空间软件层为整个互联网世界提供软件(算法)支撑,将机器语言转换为汇编语言,起到连接网络空间物理层和数据层的承上启下作用,其科学基础是软件工程学。网络空间软件层刑事法治保障的主要目的是维护作为运行环境的信息系统和信息应用的(软件)运行安全,承担着“保护信息系统免受侵入、干扰、攻击和破坏”的任务。网络空间软件层的犯罪现象由于发生在比特世界内,因而不容易被外界所感知,在造成严重后果前,其法益侵害容易被忽视。

 

信息系统等软件的法律性质客观上具有三重属性:其一,信息系统毫无争议地属于知识产权(著作权)的保护范围,《著作权法》第3条明确将“计算机软件”视为著作权法的“作品”纳入其规制范围;其二,信息系统作为单位或个人重要的无形资产,所有者或合法使用人对信息系统理所当然具备排他性的物权与使用权;其三,信息系统在信息时代承担着公民数字生活的“住宅”功能,网络世界的住宅是通过代码创建的,突破代码壁垒非法侵入信息系统与现实社会“砸门破窗”侵入他人住所“属于同样的道理”,在事实上危害了公民广义的住宅安全权。

 

当然,为了与民法、行政法对信息系统在财产权、知识产权、人格权等的保护予以必要区分,并且考虑到针对个体信息系统犯罪的法益侵害性较低、情节轻微通常不认为是犯罪,我国《刑法》第285条、第286条主要将其作为超个体法益予以保护,将造成多个信息系统损害或社会负面影响的才纳入刑法惩治犯罪,在犯罪手段上表现为破坏、控制计算机信息系统犯罪、木马病毒犯罪、程序外挂与私服犯罪等犯罪现象。在软件层犯罪中,仅2006年青年黑客李俊制作“熊猫烧香”病毒就感染中毒电脑百万台以上,数百万用户深受其害;而像“勒索病毒”(Wanna Cry)等木马病毒犯罪还发挥着下游敲诈勒索犯罪的犯罪工具作用。

 

(三)网络刑法体系的第三层规制对象:网络空间数据层

 

网络空间数据层为整个互联网世界提供数据(算据)支撑,在网络工程、软件工程的基础上,数据工程侧重于数据采集、存储、检索、加工、变换和传输,起到连接网络空间软件层和信息层的承上启下作用,其科学基础是数据工程学。在网络刑法体系中,网络空间数据层刑事法治保障的主要目的是保护数据安全和通信自由。

 

数据犯罪的法律性质较为复杂:一方面,存在大量对“静态数据”(即作为资源的数据)的不法侵害现象。虽然大数据时代数据具有经济价值几无争议,数据已成为数字经济时代最关键的生产资料之一,但是数据产权问题(数据经济权利的权属)的争议尚未形成共识。另一方面,还存在大量的“动态数据”(作为通信的数据)的不法侵害,其宪法基础是通信自由的保障,公民的通信他人不得扣押、隐藏、毁弃。

 

但是对拦截数据、非法获取数据等行为,由于目前我国刑法法条侧重于数据的附属保护,针对的是对“储存有特定数据的对应计算机系统的侵害”而非对“数据的侵害”,对流通中的数据犯罪的保障尚有欠缺。与德国、法国等大陆法系国家刑法将数据作为网络犯罪的核心犯罪对象(《德国刑法》第202条a规定了探知数据罪、第202条b规定了截获数据罪、第202条c规定了探知和截获数据的预备犯惩处、第202条d规定了数据窝藏罪)相比,我国对数据流通的刑事保护尚有较大差距,数据犯罪的刑事法网存在疏漏。

 

(四)网络刑法体系的第四层规制对象:网络空间信息层

 

网络空间信息层是网络世界的“上层建筑”和虚拟社会的直观呈现方式,网络用户在各类网站、应用程序(APP)的信息浏览行为、信息传播行为、信息利用行为均发生在网络空间信息层,并在该层实现虚拟社会与现实社会双向互动,其科学基础是网络传播学、网络社会学、网络政治学、网络经济学等社会科学。

 

数据和信息是载体与内容的关系,《数据安全法》第3条第1款规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”即数据是一种标准化、可再处理的信息表达方式,是信息内容的荷载符号。有的学者所说的“作为内容的数据”实际上指的就是信息,而不再是数据。网络空间信息层犯罪具有不同于其他网络犯罪的三个特点。

 

首先,信息层犯罪具有多元化特征。数据所承载的信息内容千差万别,可能涉及政治、经济、文化、社会等不同领域,也可能涉及国家、集体、企业、公民等不同主体。因此,信息内容多元化、信息对象多元化客观上就会导致侵犯法益多元化。

 

特别是在当今“互联网+”的时代,“互联网+政治”“互联网+经济”“互联网+社会”“互联网+文化”的新业态不断涌现,促使网络空间信息层犯罪侵害几乎激活了散布于刑法分则各章节中人身犯罪、财产犯罪、社会秩序犯罪、公共安全犯罪、国家安全犯罪的多数传统罪名,并进一步加速了传统犯罪网络化趋势、网络犯罪常态化趋势,进而在很大程度上改变了我国的犯罪总体态势与基本结构。信息犯罪的多元化特征又极大增加了信息犯罪治理的复杂性、艰巨性。

 

其次,信息层犯罪具有虚拟化特征。虚拟化是一种去物质化、去实体化的过程。网络空间自步入软件层开始,就开始了虚拟社会对实体社会的虚拟化趋势。网络空间软件层完成了“社会基础虚拟化”任务,将原先的现实社会运行基础通过算法虚拟化为各类软件平台,并催生了平台企业和平台经济;数据层完成了“物质载体虚拟化”任务,将原先的物质载体虚拟化为数据载体,例如将淫秽光盘、淫秽报刊转化为含有淫秽电子信息的数据文件;信息层完成了“意义行为虚拟化”,将各类有意义的人类行为和行为对象虚拟化了,大量无形之物成为了犯罪侵害的对象;进而部分打破了传统刑法等法律规范所依赖的对象有形性、行为有体性等基本假设,并产生了一系列的颠覆性冲击。

 

比如,针对虚拟身份的犯罪是否会侵犯人格权?虚拟财产是否属于刑法意义上的“财物”?虚拟信息秩序的扰乱是否属于刑法意义上的扰乱公共秩序?个别网络犯罪司法解释在试图解决上述问题时,又对法的安定性产生影响。

 

最后,信息层犯罪具有模糊化特征。信息犯罪违法性的判断主要是价值判断,因此相比数据犯罪违法性的事实判断,在不法侵害的识别和不法侵害程度的衡量上都具有模糊性特征。特别是信息犯罪的行为手段多数是信息表达,又涉及宪法言论自由与信息犯罪法益保护的法益平衡问题。而言论自由的边界本身又具有模糊性,这就使在法益侵害判断时遇到了言论自由保护边界模糊性和信息犯罪法益侵害模糊性的“双重模糊性”难题,导致在不少个案中法官对情节并不特别严重的信息层犯罪在入罪还是出罪的自由裁量上经常性地缺乏内心确信。

 

(五)网络刑法外在体系的逻辑关系

 

网络空间的四个层次之间存在紧密的逻辑关系,上下层之间呈现内容与载体的关系,信息是数据的内容、数据是软件的内容、软件是硬件的内容;反之硬件是软件的载体、软件是数据的载体、数据是信息的载体(见图2)。

 

 

在信息技术构造上主要体现自下而上从软硬件基础运行环境到上层应用的技术逻辑,在信息应用时主要体现自顶向下从主观到客观的行为逻辑。信息流依托数据流而存在,数据流根据软件算法依托电磁流而流动,从而构造了不同于传统空间具有逻辑闭环的“流动空间”。通过网络空间底部物理层的物质性和上层信息层的现实性与实体社会实现双向交互、紧密连接,共同构成“双层社会”。

 

网络空间的保护同时存在公法益与私法益两种进路。就公法益保护而言,网络安全是国家安全的重要组成部分,《国家安全法》第25条明确提出“维护国家网络空间主权、安全和发展利益”的网络时代国家安全总要求。结合《网络安全法》《数据安全法》的相关规定,又可以细分为国家网络空间物理层、软件层的网络运行安全,网络空间数据层的数据安全、网络空间信息层的信息安全。从这个角度,网络空间安全是网络运行安全、数据安全、信息安全的集合,缺一不可。就私法益保护而言,网络法益保护的基础是宪法提出的基本人权,包括财产权(宪法第12条、第13条)、通信权(宪法第40条)、言论权(宪法第35条)及其相关联的其他权利。

 

在不同层次的网络空间中,网络违法犯罪行为所侵犯的公民权利类型和程度也存在较大差异。缺乏了财产权的保护,网络空间物理层、软件层的公民权利就不复存在;缺乏了通信权的保护,网络空间数据层的公民权利就缺乏保障;缺乏了言论权的必要保护和法律限度,网络空间信息层的公民权利就很容易受到多重侵害。网络刑法外在体系的合理分层,有助于刑事司法工作人员加深对网络犯罪的全面理解、准确辨识网络犯罪类型,在抽象概念的基础上甄繁就简、科学认识网络犯罪现象。

 

网络刑法理论“内在体系”的教义探讨

 

在面对新型网络犯罪时,既有的理论体系内部存在调适的必要性。网络刑法理论内在体系的构造需要在外在体系基础上,探索法律原则的具体化,将刑法原则及其下位原则作为网络刑法“体系的基石”,并按照“内在的位阶顺序”发挥作用。与外在体系侧重于法社会学基础上的网络犯罪治理“认识论”生成不同,内在体系侧重于法益论和法教义学基础上的网络犯罪治理“方法论”的探讨,以解决网络空间治理法治化的难题。

 

就目前刑法研究而言,网络空间四个层次的研究程度相差较大,越往下层和传统刑法理论越接近,越往上层遇到的问题越多。

 

其中,第一层的物理层和第二层软件层的研究相对成熟。第三层的数据层目前已经成为研究的重点,《刑法修正案(七)》对此予以了补充规定,学术研究比较丰富,当前正处于各种观点的激烈对峙状态,有望在未来几年内形成共识。但第四层的信息层研究基本是零星的,在现有研究中也是个罪研究较多,类罪研究、基础理论研究较少,相比信息犯罪数量多、类型杂、手段新、危害大的犯罪态势,理论供给客观上存在明显不足。

 

本节主要从不同层次网络空间犯罪的保护法益和构成要件进行分析。

 

(一)网络空间物理层犯罪的刑法适用规则探讨

 

由于计算机网络硬件设备同处于网络空间和现实世界,总体上网络物理空间的法律适用最接近于现实社会,问题也相对较少。计算机网络硬件设备毫无疑问可以归属为刑法的“财物”概念,因此早在1977年德国学者齐德尔(JoeZidle)就提出,非法破坏计算机设备犯罪所保护的法益是财产法益。在现行的《德国刑法典》中,破坏计算机罪(第303条b)亦明确属于刑法分则中“损坏财物的犯罪”。

 

在早期,无论在理论上、还是实务中,都主要按照财产法益追究网络空间物理层犯罪的刑事责任。但当计算机由“单机时代”进入到“互联网时代”“大数据时代”,计算机不再是孤立的财物,计算机网络硬件设备在网络结构中的功能差异,以及作为硬件基础承载的上层软件、数据、信息的价值差异,在法律适用时仍要进行区分考虑。

 

在横向网络维度上,物理层犯罪的保护法益因网络节点中心度不同而具有差异性。作为财产法益的保护对象,单从计算机硬件本身的财物属性而言,只要两个计算机硬件设备的价值相当(比如市价都约1万元人民币),二者在法律性质上就没有明显差异。但是,在互联网时代,即使两台同价格、同型号、同配置、同批次生产的计算机在作为犯罪行为对象时,法律性质并不一定相同或相似。

 

比如,一台高性能计算机供互联网公司员工日常视觉设计使用,另一台相同的高性能计算机作为该互联网企业对外提供服务的服务器使用。但破坏员工计算机的行为只会损害员工一个人的利益,而破坏作为服务器的计算机将会损害可能访问该服务器所有用户的利益,波及面可能达到数百人乃至数万人,因此虽然两台电脑本身的价格相等,但作为行为对象在性质上却大相径庭。究其原因,是因为当计算机连入网络后,计算机作为一个网络节点,网络的各个节点、各个部分都会对网络整体(网络安全)产生影响,但是不同节点的网络中心度(与该节点连接的节点数量)不同。

 

考虑到复杂网络兼具健壮性、脆弱性特征,当被攻击的网络节点网络中心度较低时(如上例的员工个人电脑),一般节点的损坏对整体网络安全产生的不良影响几乎可以忽略,因此此时损坏计算机设备只是侵犯了该设备的财产法益;而如果被损害的计算机设备网络中心度较高,甚至属于“枢纽节点”,由于互联网的脆弱性特征,其潜在破坏可能是难以估量的,严重者可能导致网络瘫痪,并使无标度“网络变成碎片”。此时破坏设备行为除侵犯该设备的财产法益之外,还会危害网络公共安全。由于只有一个破坏行为,应当按照想象竞合择一重,一般追究更严重的危害网络公共安全法益的刑事责任。

 

在纵向体系维度上,物理层犯罪的不法侵害程度需进行双重价值判断。针对网络硬件运行环境的经济犯罪涉案价值有别于传统财物,这是因为从体系性视角分析,运行中的计算机网络设备具有双层价值:一方面是其物自体本身的价值,其价值判断原则与传统普通物品等同,可通过委托价格鉴定等方式,参照计算机网络设备购买时的价格考虑折旧因素后予以确定;另一方面是其承载服务的价值,计算机硬件作为网络安全的基础,还承担着承载软件运行、数据存储等的物质载体功能。

 

因此在对计算机网络设备侵权损害进行认定时,需要采取“自身物质性损害+基础服务性损害”双层价值判断,即f(计算机运行环境犯罪的危害性)=X1计算机网络设备的物质价值+X2计算机网络设备的服务价值。以黄某保盗窃案为例,被告人盗窃正在通讯的网络电缆,若按罪犯所盗铜线本身的价值计算,仅值六千多元;而若按照电话电报的阻断时间计算经济损失高达14.75万元。最高人民法院研究室认为,对由于盗窃这些通信线路使电报、电话中断因而造成的经济损失,应视为盗窃或者破坏通信设备所引起的后果,可以盗窃罪或者破坏通讯设备罪从重处罚,也体现了这种双层价值的审查思路。

 

事实上对于盗窃、毁损计算机设备的,引发如上层软件数据库无法访问、存储数据无法恢复、网络交易无法完成等问题,均可以参照这种思路,在罪量上按照财物价值+财产性利益的损害程度,在财产犯罪范畴内从重处罚。

 

(二)网络空间软件层犯罪的刑法适用规则探讨

 

网络空间软件层是网络空间运转的关键。信息应用以代码构成的比特世界(比特构成的世界)与物理世界(原子构成的世界)在存在论上存在明显界分。为了强化网络空间软件层的法律秩序,早在1997年我国现行《刑法》修订时,已经专门设置了第285条、第286条,对1994年制定的《计算机信息系统安全保护条例》中部分严重危害计算机信息系统安全的行为予以刑事制裁,以加强对计算机信息系统安全的保护。

 

但随着信息技术的日新月异,为更好地规制网络软件空间,法律体系也应与时俱进,在“法律的非物质化”革命的道路上,法律适用中需要根据信息软件自身的特征探索形成新的法益观和教义学理论与规则。

 

其一,软件安全法益应当做广义化、网络化、体系化、阶梯化理解。软件安全是对计算机信息系统安全的简洁概括,对于软件安全法益的理解,应当把握四个方面。

 

一是广义化理解。“信息系统”需要做广义解释,既包括操作系统(OS)、管理信息系统(MIS)、数据库系统(DS),也包括电子游戏在内的其他各类信息应用(APP);既包括软件前台,也包括软件中台、后台。信息系统安全(软件安全)在广义上包括影响软件质量的一切严重因素,并最终在类型上集中反映于软件的可用性、完整性和保密性上。

 

二是网络化理解。软件层安全的网络化理解可以追溯到1994年的《计算机信息系统安全保护条例》第2条规定的“本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的”信息系统,“含网络”一词就蕴含了软件安全包括网络系统安全的含义。在互联网时代,软件安全的理解也应当与时俱进,既包括“点”的单机系统安全,更包括“边”的连接不同单机系统的网络运行环境的软件安全,从而实现对网络空间软件层法益保护的全覆盖。就网络运行环境而言,对处于枢纽节点的软件安全的破坏,应当从严保护。

 

三是体系化理解。软件层安全是在网络空间硬件层安全之上、数据层安全之下的保护法益。“皮之不存毛将焉附”,硬件层安全受到严重损害(如设备损毁)时,软件层安全也岌岌可危;同样软件层安全受到严重危害时,存储在该软件的数据安全也会受到严重威胁,应当予以体系化(而非割裂化)保护。

 

四是阶梯化理解。刑法对软件安全的保护呈现“软件保密性的有限保护、软件完整性的部分保护、软件可用性的从严保护”三个阶梯,软件保密性针对国家事务、国防建设、尖端科学技术三个特定领域进行有限保护;软件完整性针对信息系统控制权的完整性对情节严重的予以部分保护;软件可用性以软件“不能正常运行”作为界定标准,对造成严重后果的追究刑事责任,从而形成了软件安全法益保密性、完整性、可用性刑事制裁由轻到重的阶梯性刑罚机制。

 

其二,软件层犯罪的行为结果不法判断应当与时俱进。软件层犯罪的行为结果在判断上需要结合软件工程等行业实务知识,比如“不能正常运行”是破坏计算机系统罪的危害结果,但什么是“不能正常运行”?最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》只对信息系统“不能正常运行”的严重后果在罪量上进行了列举式说明:比如造成10台以上计算机信息系统的主要软件或者硬件不能正常运行的;造成为1万以上用户提供服务的计算机信息系统不能正常运行累计1小时以上的,但并没有对“不能正常运行”本身进行解释。

 

笔者认为对此需要革新观念,受云服务(Software as a Service,SaaS,软件即服务)理念的影响,将软件理解为“服务”可能更有利于理解本罪的危害结果。从服务的角度,“不能正常运行”指的就是信息系统不能正常提供服务。而软件在服务范围上可划分为基础服务和增值服务,在服务质量上可划分为服务不能(服务中断)和服务不好(服务质量显著降低、一般降低、轻微降低)。

 

那么,服务不好的量化标准就可以参考软件测试响应时间的2/5/8原则,对于导致软件服务延迟2秒以内的,由于用户不会有直观上的明显感觉,不认为属于“不能正常运行”;对于2—5秒的服务延迟,可以认定为服务质量轻微降低;对于5—8秒之间的服务延迟,可以认定为服务质量一般降低,能正常运行但会受到一定影响;对于8秒以上的服务延迟,在软件测试中一般会严重影响用户体验,可以认定为服务质量显著降低。

 

考虑到软件基础服务和增值服务的差异性,对于软件基础服务(比如通信软件的通讯服务、购物软件的购物服务、支付软件的支付服务等)在程度上只要达到服务质量显著降低就可以认定为“不能正常运行”;而对于软件增值服务(比如通信软件的QQ秀增值服务、购物软件的广告服务、支付软件的小游戏服务等)在程度上只有达到不能服务才可以认定为“不能正常运行”。

 

其三,软件层犯罪故意可以探索代码证明方式。在实务中,由于行为人通过软件工具实施的犯罪行为相比行为人直接在现实中实施的行为,其有责性证明更加困难,因此给予了被告人更多的辩护空间。有的案件中被告人试图以所谓的技术中立“免责事由”将责任“转嫁”给机器以逃脱法律制裁,或者利用法律政策对高新产业发展的宽松环境和容错机制减少惩罚。

 

但是,应当看到软件工具是由代码所构成的,而代码语言实际上是一种类似于文字的意思表示,反而有助于在刑事诉讼中以一种相对客观方式对犯罪的主观构成要件进行证明。比如,在网络信息空间的传播淫秽物品犯罪中,很多被告人通过购买或开发爬虫软件采集与传播淫秽物品,此时可以将问题从网络空间信息层降维到网络空间软件层予以考察,根据爬虫软件的算法和协议进行判断。

 

如果行为人在设置爬虫协议时,明确设定了从特定淫秽网站中抓取淫秽视频,表明行为人希望软件自动采集淫秽视频链接,对采集到的淫秽物品数量和内容应当推定行为人“明知”。只有对具有机器学习等人工智能功能的网络爬虫软件,当犯罪工具在犯罪计划之外自发地或错误理解行为人的意图情况下实施危害行为时,行为人作为间接正犯对超出的支配范围才不再担负刑事责任。

 

(三)网络空间数据层刑法适用的部分规则探讨

 

在信息社会从互联网信息技术时代(IT时代)向数据信息技术时代(DT时代)过渡时,随着科技的快速发展,数字化、数据化的趋势也更为显著。刑法体系也存在一个对数据价值重新认识的过程。由于理论与立法的相对滞后,导致当前许多危害数据处理和数据安全的行为尚处于罪与非罪的“灰色地带”,为法律适用带来了新的挑战。

 

首先,刑法意义上“数据法益”的保护范围需要合理界定。数据的价值密度低是数据科学的常识之一。因此并不是所有数据都是有价值的,至少不是所有数据都具有法律(特别是刑事法律)上的保护价值。最高人民法院第26批指导性案例的观点也提倡,刑法所保护的数据要求或者“造成系统功能实质性破坏”,或者“对该信息系统内有价值的数据进行增加、删改”,其他一般性的数据在刑法上不予保护。

 

指导性案例的立场实际上是将数据层价值判断进行了转化,“造成系统功能实质性破坏”实际上是将数据价值降维到下一层的软件层进行价值判断,比如软件中关键数据的损毁可能会导致软件无法正常运行,路由器配置数据的篡改可能导致网络系统无法正常通信;“对该信息系统内有价值的数据进行增加、删改”实际上是升维到上一层的信息层进行价值判断,比如对网络游戏软件的数据篡改可能直接导致的用户虚拟财产损失,非法删除交通违章数据帮助违章者逃避处罚,从外部的数据功能视角,提供了一个判断数据价值的具有一定可操作性的次优选择,以便区分某类数据是否需要受刑法保护。

 

但是,这种判断方式天然性地沿袭了数据法益是软件法益或信息法益的附属法益的思维惯性。外部数据功能视角的判断,并不能替代内部视角的数据利益判断。在大数据时代,刑法需要以动态的、独立的、开放的数据概念逐步取代静态的、附属的、封闭的“计算机信息系统数据”的概念。特别是在2021年《数据安全法》颁布后,刑法应当在国际通行的数据保护CIA原则基础上,参考借鉴德国数据立法经验,对数据处理全过程(包括数据的收集、存储、使用、加工、传输、提供、公开等)的各类侵害行为有条件、有节制地犯罪化,解决数据法益保护立法不足问题,强化数据安全的独立保护,为有价值的数据“处于有效保护和合法利用的状态”提供最后手段性的刑事法治保障。

 

其次,网络空间数据层犯罪的危害行为需要重新解释。数字化意味着信息的载体由物质载体转化为二进制的数据载体,基于实物载体的纸质数据和基于数据载体的电子数据二者在信息功能上是等价的,但是在载体上却迥然不同。而行为对象在载体上的变革,自然又会引起行为本身的变异。

 

比如,“非法获取”行为,因为“有体物”物质载体具有排他性特征,在传统社会中“非法获取”往往以转移占有为必要手段,行为人通过窃取、骗取等方式从被害人处获得一部纸质书籍,被害人丧失对该部书籍的占有,此时犯罪既遂;但是数据载体具有非排他性特征,行为人只需要从被害人处复制该电子书籍或者让被害人网络传送给被告人即可,被害人并不丧失对该部电子书籍的占有,自然也不存在占有转移的问题。所以,非法获取数据行为,只要行为人侵犯了有保护价值的数据的保密性需求,就构成犯罪既遂,而不再延续有体物占有转移的思维惯性。

 

再如,故意毁损行为,因为“有体物”物质载体具有消耗性特点,行为人毁坏财物后该财物的功能难以恢复,比如烧书后纸质书籍很难再恢复功能,数额较大的,构成故意毁坏财物罪,犯罪既遂;但是数据载体具有一定的非消耗性,行为人删除被害人电子书籍后,被害人有多种方式可以对数据进行恢复,恢复后的电子书籍与恢复前相比在功能上可能完全不受影响,特别是大型政府机关、互联网企业都进行了数据级灾备,因此对数据的毁损行为是否既遂,应当以最终是否侵犯数据的可用性为标准,而非以行为时特定数据是否被删除为标准。

 

最后,网络空间数据层犯罪的罪量计算应当与时俱进。

 

一方面,对于非法获取犯罪,涉数据犯罪的罪量当然可以和传统犯罪一样以行为对象个数作为衡量标准,比如最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条规定,非法获取“网络金融服务的身份认证信息十组以上的”或其他“身份认证信息五百组以上的”构成非法获取计算机信息系统数据的“情节严重”。但涉数据犯罪(特别是同质内容的数据)也可以根据自身数据量的大小辅助判断其法益侵害程度。在实务中个别网络案件也开始探索,如在传播淫秽物品案件中,公诉人通过举证被告人传播了约20太字节(TB)的淫秽视频、图片,以数据量大强调被告人行为的社会危害性,将其作为描述法益侵害程度的一种辅助证明方式。

 

另一方面,对于毁损数据型犯罪,在罪量上不仅要考虑数据的数量,还要考虑被损毁数据的价值大小。损害数据价值的测量方法可以分为三步进行计算。(1)首先需要考虑到数据的唯一性,对于非唯一性数据,单位或个人还有其他数据备份的,由于通常情况下重新拷贝数据的成本很低,一般不应当认为严重侵犯法益。(2)对于唯一性数据,需要考虑是否可以恢复数据,对于能够通过技术手段恢复数据的部分,其经济损害约等于数据恢复成本+误工成本。(3)对于不可恢复的唯一性数据,如果是个人或企业购买的数据,数据成本的计算主要以购买价格为基准,并综合考虑到资产折旧、误工成本等因素;对于非购买的本单位生产的内生数据而言,计算基准为人力成本,具体考虑到被损毁的数据由多少员工用多少工时生产,然后将员工工资进行折算+误工成本予以确定,对于主张经济赔偿的可以通过刑事附带民事诉讼等方式追偿。

 

(四)网络空间信息层刑法适用的部分规则探讨

 

网络空间信息层是网络犯罪集中发生的场域之一,不同于网络空间软件层、数据层犯罪的保护法益多属于新的法益,网络空间信息层的犯罪既包括新增罪名,侵犯了新的法益,更包括许多构成要件“网络异化”的传统罪名。总体上,网络空间信息层的保护法益可以概括为信息法益,在类型上细分为作为个体法益的信息权利法益(包括信息人格权、信息财产权)和作为超个体法益的信息秩序法益(包括信息社会秩序、信息经济秩序等)两个维度。因此在法律适用时也需要高度重视相关犯罪侵犯法益的差异,以及犯罪构成要件在网络空间的异化程度,并及时进行法益论和教义学诠释。

 

其一,网络空间信息层犯罪在法益侵害性上已经出现“质”与“量”的重大变化。

 

一方面,信息层犯罪的法益侵害种类出现了“质”的增加。许多犯罪行为原先只有“一个法益侵害事实”,但是网络化后往往具有“数个法益侵害事实”,侵犯了双重法益(复杂客体)。特别是对传统上针对个体法益(人身权、财产权)的犯罪,犯罪行为发生在网络空间信息层后,情节严重的还可能侵害社会法益的网络秩序。

 

比如网络诽谤,传统现实空间中口头诽谤或大字报式的诽谤行为,传播空间基本局限在单位、社区等有限空间;但情节严重的网络诽谤行为可能涉及成千上万人,不仅会严重影响被害人的名誉,更扰乱了网络社会的信息秩序,表现为名誉权+信息秩序的双重法益侵害。再如电信诈骗,传统的诈骗罪针对的是特定人或不特定人的财产法益。但是,电信诈骗行为不仅会侵犯财产权,铺天盖地的诈骗信息、诈骗电话客观上也侵害了网络信息秩序。不少学者敏锐地观察到,电信诈骗相比传统诈骗行为除了侵犯财产法益,还侵害了信息法益,包括对信息安全法益、信息资源法益的侵害。

 

另一方面,信息层犯罪的法益侵害程度还出现了“量”的增加。原先扰乱社会秩序的违法犯罪行为,借助信息网络传播的跨时空性、低成本性、互动性、匿名性等特点,在法益侵害上出现了“量级”的跃升。

 

比如,原先传播淫秽物品罪的个案传播对象达到上万人已经属于大案要案,但在网络空间信息层中淫秽电子信息被实际点击上百万次的也屡见不鲜,再按照传统社会或者Web1.0时代传播淫秽物品罪的入罪门槛定罪量刑就会“时过境迁”,从而在客观上导致犯罪圈的过度扩张和罪刑不均衡现象。再如,传统社会中虚假警情、疫情等社会谣言多数只在熟人圈等初级群体内传播,危害不大,依靠治安处罚、批评教育、舆论引导等手段完全可以规制和有效阻断不法侵害扩大;但是网络虚假警情、疫情等社会谣言传播速度之快、波及之广、防控之难,严重者甚至可能导致局部地区社会动荡,造成严重后果,情节严重的,必须依靠刑罚的方式予以惩治和威慑。

 

其二,网络空间信息层犯罪行为发生地是否属于公共空间不能一概而论。

 

既往实务部门存在一种假设,认为网络具有天然公共属性因素。最高人民法院新闻发言人曾表示,“网络空间属于公共空间,网络秩序也是社会公共秩序的重要组成部分”。有的法官甚至认为“网络空间”和“网络公共空间”只是同一事实的不同表述,因此只要是发生在网络空间的犯罪就“不应当回避网络空间秩序的问题”。

 

但上述观念严格意义上是不准确的,如果按照这种观念,只要是诽谤行为发生在网络空间,情节严重的,就可以认为是在公共空间诽谤,然后将诽谤罪和严重危害(网络)社会秩序联系起来,使自诉罪名变为公诉罪名。同理,只要是传播淫秽物品行为发生在网络空间,就可能侵害社会法益,少数微信好友之间传播淫秽电子信息数量达到司法解释量化标准的(如传播淫秽视频40个以上),就应当以传播淫秽物品罪情节严重追究刑事责任。

 

这种刑事裁判显然不仅会严重侵犯言论自由,更可能使网络空间“噤若寒蝉”,同时也阻碍信息经济、信息社会的可持续发展。网络空间并非必然等于公共空间,在传统社会中私人领域和公共领域是相对分离的、边界较为清晰,家与社区有实体的墙、门予以区分。但是网络空间中私人领域、半公共领域、公共领域三个领域是高度叠加的,边界相对模糊。因此,在不同场景下,“它既可能具有公共性、秩序性,也可能仅体现私有性、个体性”。

 

具体而言,从传播媒介类型的视角切入,大致上,网络自我传播属于私人领域,网络人际传播、特定人之间的网络群体传播处于半公共场域,不特定人之间的网络群体传播和网络大众传播属于公共领域,不能一概而论,需要结合具体场景具体分析。

 

其三,网络空间信息层犯罪法益侵害程度和情节严重性需要综合判断。

 

信息不仅是一种积极的产品,也是一种潜在的危险。在信息层犯罪中,不仅危害行为发生“网络异化”,危害结果有的也发生了“网络异化”。信息层的大量网络犯罪都要求“情节严重”“情节恶劣”“造成严重后果”才入刑,但不少争议案件,并没有区分不同类型网络犯罪的法益侵害性差异,过于注重某一个要素的量化评价而缺乏了对“整体的评价性要素”情节的全局性审查,导致“三个效果”不好的现象偶有发生。

 

(1)针对基于信息流的信息层网络犯罪,建议综合考虑信息危害性、传播广泛性、结果严重性三项指标。对于实害犯的既遂必须有证据证明具备结果严重性,而不能仅依据“信息危害性×传播广泛性”来推定具备结果严重性。

 

比如,编造、故意传播虚假信息罪案件中,即使行为人编造了虚假信息并在一定程度广泛传播,但是并没有“严重扰乱社会秩序的”,也不能为了惩治犯罪而据此入罪。对于危险犯的成立必须同时要求具备信息危害性和传播广泛性,以诽谤罪为例,正如林东茂教授所说,“诽谤罪作为具体危险犯,必须判断诽谤内容的‘杀伤性’,是否足以损伤他人的名誉”。否则即使传播广泛性再高,实际浏览量再多,但是所传播的信息不具有法益侵害可能,也不能滥用刑罚权。

 

(2)针对基于信息流+资金流的信息层网络犯罪,如电信诈骗、牟利型传播淫秽物品、网络赌博等,在该类犯罪中信息流(欺诈信息、淫秽信息、赌博信息)充当犯罪手段,非法获利是犯罪目的,建议区分三种情况。

 

一是对于危险信息广泛散布但没有实际获利的,建议参考最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》对“发送诈骗信息五千条以上的,或者拨打诈骗电话五百人次以上的”“在互联网上发布诈骗信息,页面浏览量累计五千次以上的”按照诈骗罪(未遂)定罪处罚;二是对于危险信息广泛散布但实际获利没有达到传统犯罪司法解释规定最低入罪数额的,由于客观上侵犯了双重法益,建议参照上述司法解释适当降低入罪数额(电信网络诈骗犯罪中司法解释认为可以降到相应数额标准的80%左右),认定为“其他严重情节”予以入罪;三是对于危险信息广泛散布且实际获利数额较大的,一般应在法定刑范围内从重处罚。

 

结论

 

互联网社会作为后现代社会的典型形式,在网络空间中现代性并没有消亡而是通过某种形式得以进一步加强。作为现代性的伴生物,风险已经内化于互联网结构的各层,无论是网络空间的硬件层、软件层、数据层还是信息层的重大犯罪,都存在对其上(下)层乃至整个互联网安全、秩序和网络用户权利产生重大危害的可能性,网络风险正在成为一种新的非线性的风险类型。

 

在信息技术高速迭代的背景下,科学不确定性的技术风险和由实体社会映射到虚拟社会的社会风险相互叠加,使得网络风险社会的高脆弱性特征已然成为新常态。在应对网络社会风险中,科学理性与社会理性经常是分离的,风险处置亦体现被动化、碎片化特征。为应对网络风险,刑法学人虽然先后提出以网络对象说、网络工具说、网络空间说为代表的网络犯罪类型理论,以及网络安全说、数据法益说、信息法益说等多元化的网络犯罪法益观念,也取得了积极作用,但是上述理论在解释力、系统性和逻辑自洽性等方面仍有一定程度的不足。其中很重要的原因是当作为外部规则的网络法律系统通过“结构性联系”与内部规则的网络社会系统发生高选择性的信息交换时,网络法学研究者没有完成其“转译”的纽带作用,导致部分知识创新存在“违和感”和浅层化问题。

 

事实上,刑法将危害网络安全、网络权利的行为进行犯罪化是相对容易的事情,但是在深层次构建一个公平合理解决网络犯罪问题的刑法方案则可能是相当困难的。21世纪的网络刑法理论研究者需完成其时代使命,在科学理性基础上认识网络犯罪,在社会理性基础上应对网络犯罪,将“体系思考和问题思考熔于一炉”,从而为整个网络社会系统提供刑事实体法层面的体系化保护。就像费尔巴哈所指出的,“已有的、相互关联的知识整体,只有当它获得了体系性关联的形式时,才能真正算得上是一门科学”。

 

网络犯罪理论的外在体系可以承担计算机网络科学与法社会学之间的“转译”功能,在参考网络系统OSI模型和TCP/IP协议分层理念的基础上,倡导类型化方法的应用,将网络空间犯罪现象自下而上划分为网络空间物理层、软件层、数据层、信息层犯罪现象,网络安全秩序法益、数据法益、信息法益等多元化的法益观念实际上是对网络空间法益不同层面不同维度的保护,对此应当体系化统筹保护,而非割裂保护。应当通过刑事司法理念、理论的重构,将分散于刑法分则各章的涉网犯罪罪名在逻辑关系上组合形成全面依法治网的刑事法律体系,以解决当前网络犯罪罪状明确性不足、罪名交叉重合等问题,在具体和抽象之间寻求新的路径,最终实现法的安定性与个案正义之间的平衡。

 

网络犯罪理论的内在体系承担案件办理中的法律适用工具职能,针对网络空间各层犯罪现象法律适用面临的共性问题,依据刑法教义学理论对各类网络犯罪的罪体、罪责、罪量的部分审查要点进行归纳与提炼,形成可参考、可借鉴的网络刑法规则,最终促进惩治和预防网络犯罪从自发到自觉、从理论到实践的转变。但应当清醒地看到,网络犯罪理论体系特别是内在体系的构建是一个长期的系统工程,还有赖后续研究的持续补充、细化与更正。

 

 评说 

陈兴良,北京大学法学院教授

 

网络犯罪是我国当前立法与司法中十分关注的一种新型的犯罪类型,目前刑法学者对网络犯罪的研究已经较为充分。但《网络犯罪刑法理论范式的体系化变革》一文,对网络犯罪采用了全新的研究视角和分析工具,提出了具有新意的观点。

 

本文提出网络刑法研究应当进行体系化思考,建立网络刑法理论的外在体系和内在体系。这里的体系化思考,是指采用体系解释的方法,对网络犯罪进行系统研究。在体系解释中,又可以区分为外部的体系解释与内部的体系解释。本文作者将这一分析框架引入对网络犯罪的刑法教义学研究,这在网络犯罪的研究方法上是一个创新。

 

在网络犯罪的外部体系考察中,作者认为外在体系应当承担网络刑法的认识论功能,并且以类型化研究为重点,倡导对网络空间物理层犯罪、软件层犯罪、数据层犯罪、信息层犯罪实施分层保护。这一观点对于深刻认识网络犯罪的整体类型具有较大的参考价值。作者还从内在体系考察了网络犯罪,认为内部体系研究应当承担网络刑法的方法论功能,坚持问题导向,对网络犯罪共性法律适用问题分层进行教义学探讨。上述观点对于推进我国网络犯罪的理论研究具有现实和理论意义。

 

 

来源:中国法律评论

作者:金鸿浩,北京化工大学科学技术与社会研究所副教授

图片

评 说

■  陈兴良,北京大学法学院教授

 

网络犯罪是我国当前立法与司法中十分关注的一种新型的犯罪类型,目前刑法学者对网络犯罪的研究已经较为充分。但《网络犯罪刑法理论范式的体系化变革》一文,对网络犯罪采用了全新的研究视角和分析工具,提出了具有新意的观点。

 

本文提出网络刑法研究应当进行体系化思考,建立网络刑法理论的外在体系和内在体系。这里的体系化思考,是指采用体系解释的方法,对网络犯罪进行系统研究。在体系解释中,又可以区分为外部的体系解释与内部的体系解释。本文作者将这一分析框架引入对网络犯罪的刑法教义学研究,这在网络犯罪的研究方法上是一个创新。

 

在网络犯罪的外部体系考察中,作者认为外在体系应当承担网络刑法的认识论功能,并且以类型化研究为重点,倡导对网络空间物理层犯罪、软件层犯罪、数据层犯罪、信息层犯罪实施分层保护。这一观点对于深刻认识网络犯罪的整体类型具有较大的参考价值。作者还从内在体系考察了网络犯罪,认为内部体系研究应当承担网络刑法的方法论功能,坚持问题导向,对网络犯罪共性法律适用问题分层进行教义学探讨。上述观点对于推进我国网络犯罪的理论研究具有现实和理论意义。