尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐|喻海松:立法与司法交互视域下网络犯罪规制路径总置评

作者:尚权律所 时间:2024-07-18

摘要

 

1997年刑法施行以来,我国网络犯罪的规制路径由司法起步到立法修正,历经司法先行先试、刑法集中扩张、司法后续调适三个发展阶段,逐步建构起对网络犯罪的规制体系。这一规制路径呈现出明显的积极预防性刑法观。立法扩张虽然是网络犯罪规制体系建构的关键环节,但并非立法向司法的单向输入,而是立法与司法交互影响,这是准确把握我国网络犯罪规制路径的关键。回顾既往,对网络犯罪的规制路径应予整体肯定,但在规制对象聚焦、罪刑均衡保障等具体层面尚需作进一步改进。立足未来,对网络犯罪的规制应当坚持司法为主立法补强的具体路径。

 

关键词:网络犯罪;规制路径;立法扩张;司法调适

 

 

1994年4月20日,北京中关村地区教育与科研示范网接入国际互联网的64K专线开通,实现与国际互联网的全功能连接,这标志着我国正式接入国际互联网。与所有的技术手段都具有“两极效应”一样,信息技术是一把“双刃剑”。当今社会,“技术”变“骗术”的事情层出不穷,网络犯罪已成为一个难以回避的现代“科技之痛”。随着信息技术的快速发展和广泛应用,网络犯罪已然成为当前主要犯罪形态。1997年刑法施行以来,面对网络犯罪的滋生蔓延态势,我国刑法立法和司法层面均积极作出回应,不断加大规制力度。

 

25年来网络犯罪的规制路径涉及立法修正、司法规则、案件办理等诸多方面,采取了增设新罪、修正旧罪、司法扩大等诸多方式,有必要全面检视规制路径背后的法理成因。有鉴于此,本文基于立法与司法交互的视角,通过对我国网络犯罪的规制路径脉络进行梳理,概括其中特点,厘清其中得失,以期对网络犯罪规制的未来方向有所裨益。


一、积极预防性刑法:25年来网络犯罪的规制路径

 

1997年刑法制定于我国接入国际互联网的初始阶段,对网络犯罪的关注和考虑有限。换言之,1997年刑法整体而言是以传统犯罪为基准加以设置,故在应对网络犯罪方面存在诸多不适。1997年刑法施行之后,基于运用刑法手段有效治理网络犯罪的现实需要,司法、立法层面接续而行,从具体案件到司法规则再到刑法修正,逐步建构起对网络犯罪的规制体系。

 

(一)网络犯罪司法规制的先行先试(1997年—2009年)

 

相较于1979年刑法,1997年刑法增设第285条的非法侵入计算机信息系统罪和第286条的破坏计算机信息系统罪。这两个罪名当然可以视为广义网络犯罪的范畴。但是,由于“web1.0时代网络犯罪是以计算机及其系统为物理性对象兼物理性方法而实施”,即网络化的特征尚未显现,故以此为基准设置的犯罪实际更应归入传统计算机犯罪的范畴。“法律一经制定便已落后于时代。”随着信息技术的快速发展,网络的交互性凸显,计算机犯罪开始向网络犯罪演变。所涉犯罪,自然包括以计算机信息系统数据、控制权为对象的新型危害计算机信息安全犯罪,但更多则表现为传统犯罪向互联网迁徙所形成的犯罪新样态。由于刑法规范供给落后于司法实际这一现实情况,司法环节不得已采取扩大解释的路径,以满足办案所需。

 

以危害计算机信息系统安全犯罪为例,非法侵入计算机信息系统罪设置的初衷是为了保护特定领域的计算机信息系统安全。之所以设立非法侵入计算机信息系统罪,且将对象限定为“国家事务、国防建设、尖端科学技术领域的计算机信息系统”(即三大领域的计算机信息系统),就在于所涉计算机信息系统“一旦被非法侵入,很可能导致其中的重要数据遭到破坏或者某些重要、敏感的信息被泄露”。显然,三大领域的计算机信息系统往往通过防火墙等方式实现与互联网的“隔绝”,主要使用范围为局域网,这与随着信息技术广泛运用而出现的通过互联网访问的其他计算机信息系统有实质差异。1997年刑法未将非法获取计算机信息系统数据、非法控制计算机信息系统行为规定为犯罪,但多数获取数据、控制系统的行为以侵入为前提。故而,囿于刑法欠缺专门罪名的现状,把非法获取计算机信息系统数据、非法控制计算机信息系统“迂回解释”为非法侵入计算机信息系统,就成为变通之道。缘于此,早期对三大领域的计算机信息系统认定范围较宽,不少非法获取计算机信息系统数据、非法控制计算机信息系统的案件适用非法侵入计算机信息系统罪处理。可以说,这一扩大适用的影响久未消除,直至《刑法修正案(七)》增设非法获取计算机信息系统数据、非法控制计算机信息系统罪后,仍有不少案件将非法侵入地方政府机关网站的行为认定为非法侵入计算机信息系统罪。

 

司法的扩大适用,更多表现为对传统犯罪的扩大解释。例如,随着网络游戏产业的迅速发展,盗窃游戏账号、游戏装备等现象日益猖獗,甚至形成了产业链条。然而,对于盗窃虚拟财产的行为,刑法未设专门罪名。在这一时期,对盗窃虚拟财产的案件,多适用盗窃罪加以处理。这实际上是对刑法第264条规定的“盗窃公私财物”作了扩大解释,将虚拟财产纳入“公私财物”的范畴。同时,由于这一扩大解释存在一定争议,个别案件转而适用侵犯通信自由罪等其他罪名。

 

需要提及的是,这一时期的司法扩大适用,不仅表现为具体案件的处理,更是以此为基础建构司法规则。淫秽电子信息犯罪可以称之为网络犯罪司法规则建构的最早领域。刑法分则第6章第9节对“制作、贩卖、传播淫秽物品罪”作了专节规定。其中,第367条第1款规定:“本法所称淫秽物品,是指具体描绘性行为或者露骨宣扬色情的诲淫性的书刊、影片、录像带、录音带、图片及其他淫秽物品。”为了将淫秽物品犯罪适用于网络空间,最高人民法院、最高人民检察院联合发布《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》(法释〔2004〕11号,以下简称《淫秽电子信息犯罪解释(一)》),将刑法第367条第1款之中的“其他淫秽物品”解释为包括“互联网、移动通讯终端电子信息和声讯台语音信息”在内,从而将淫秽物品犯罪从现实空间的淫秽物品犯罪链接到网络空间的淫秽电子信息犯罪。《淫秽电子信息犯罪解释(一)》应属网络犯罪领域的第一部司法解释。以此为开端,最高司法机关通过一系列司法解释、规范性文件逐步实现传统罪名在网络空间的适用。

 

(二)网络犯罪规制的刑法集中扩张(2009年—2015年)

 

受制于罪刑法定原则,司法扩张必然有其限度。故而,在司法扩张抵达最大限度之时,刑法修正便提上日程。自2009年始至2015年止,我国刑法历经了两次网络犯罪的集中扩张。两次扩张并非仅是所涉罪名的不同,而是具有明显的属性差异。

 

第一次集中扩张主要涉及新型危害计算机信息系统安全犯罪。2009年刑法修正案(七)增设非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪,进一步健全危害计算机安全犯罪的体系结构。与非法侵入计算机信息系统罪、破坏计算机信息系统罪在设立之初实际属于计算机犯罪有所不同,刑法修正案(七)所增设的两个罪名针对的是具有较强交互性的网络犯罪。就非法获取计算机信息系统数据、非法控制计算机信息罪而言,获取数据或者控制权的行为并不会直接对计算机信息系统产生破坏,而是涉及交互的数据或者系统的交互功能,这已经表现出与原有危害计算机信息系统安全犯罪的明显代际差异。当然,刑法第285条、第286条所涉4个罪名所保护的法益均为计算机信息系统安全,可以统一归入危害计算机信息系统安全犯罪。

 

第二次集中扩张主要涉及新型信息网络犯罪。随着信息技术的广泛应用和传统犯罪日益网络化,以互联网为手段实施的各类犯罪不断凸显,危害日益严重。针对这一情况,2015年刑法修正案(九)突出了对网络犯罪的关注。其中,增加刑法第286条之一、第287条之一、之二,增设拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。与危害计算机信息系统安全犯罪有所不同,该三个罪名实际是在信息网络日益普及的时代背景下,针对传统犯罪与信息网络交织的情况,通过强化信息网络安全管理义务、前移信息网络犯罪的刑事防线、惩治信息网络犯罪黑灰产业链而增设的专门罪名,可以称之为“新型信息网络犯罪”。

 

当然,该两次网络犯罪的刑法集中扩张,内容实际远超上述五个罪名。例如,刑法修正案(七)增加刑法第253条之一,增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪。由于当时相关犯罪的网络化尚未到位,个人信息并未完全呈现为电子信息形式,故还没有被认为属于网络犯罪的范畴。但是,在刑法修正案(九)对刑法第253条之一再次作出修改完善之时,由于常见犯罪形态就是侵犯公民个人电子信息,故该条被立法工作机关明确归类于“维护信息网络安全,完善惩处网络犯罪的法律规定”之中。细究可以发现,所涉犯罪虽然理论上亦可以通过线下方式实施,但互联网实际上已经成为相关犯罪的基本场域。同理,刑法修正案(九)增设的编造、传播虚假信息罪,考试作弊犯罪(组织考试作弊罪,非法出售、提供试题、答案罪,代替考试罪)和修改的扰乱无线电通讯管理秩序罪等,实际都可以视为网络犯罪刑法扩张的重要表现。

 

可以说,1997年刑法施行以来,我国刑法呈现出明显的积极预防性刑法立场。“刑法早已由事后惩治犯罪的手段变为事先预防犯罪的工具,积极预防主义成为当下刑法观的主流。”作为积极预防性刑法观的集中体现,网络犯罪的刑法扩张实际呈现出三条明显主线:一是刑法防线前移。对此的集中表现,一方面是非实害犯的设置受到“青睐”,刑法修正案(七)、刑法修正案(九)增设的网络犯罪基本为情节犯;另一方面则是刑法修正案(九)增设非法利用信息网络罪,统一实现对所有涉网犯罪的规制由实行阶段前移至预备阶段。二是突出对犯罪上下游链条的惩治。两次刑法集中扩张都将惩治利益链条作为重点,当然具体方法有所差异。刑法修正案(七)增设提供侵入、非法控制计算机信息系统程序、工具罪,将危害计算机信息系统安全犯罪链条之中的提供程序、工具环节独立入罪。而刑法修正案(九)增设帮助信息网络犯罪活动罪,则是针对涉网犯罪链条突出的现实情况,将符合法律规定的网络帮助行为正犯化,对帮助行为统一设置堵截性罪名。三是强化网络平台的刑事责任。当前,前置法不断加大网络服务提供者的网络安全管理义务,要求其在提供服务环节承担安全管理义务。与之相适应,刑法修正案(九)增设了拒不履行信息网络安全管理义务罪。

 

(三)网络犯罪规制的司法后续调适(2015年至今)

 

“徒法不足以自行。”在网络犯罪的两次刑法集中扩张之后,如何保障修正后刑法关于网络犯罪的规定得以贯彻实施,成为司法面临的重要任务。从2015年刑法修正案(九)施行开始,网络犯罪扩张后时代的司法调适大规模铺开。细言之,大致呈现出三条主线:

 

一是明确网络犯罪的定罪量刑标准。相关工作实际从2009年刑法修正案(七)施行之后即已开始,如最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号,以下简称《危害计算机信息系统安全犯罪解释》)针对危害计算机信息系统安全犯罪所涉四个罪名的定罪量刑标准和有关法律适用问题作了系统规定。当然,在刑法修正案(九)施行之后,网络犯罪的司法规则建构的速度和密度均大幅加大。围绕侵犯公民个人信息罪、扰乱无线电通讯管理秩序罪、考试作弊犯罪、新型信息网络犯罪等的一批司法解释、规范性文件,均制定于这一时期。

 

二是规制网络犯罪的变异形式。与传统犯罪形式相对固定有所不同,网络犯罪与信息技术高度关联,随着技术发展而不断推陈出新。以电信网络诈骗犯罪为例,在不同时期呈现不同表现形式。第一阶段的电信网络诈骗犯罪,与传统诈骗相比主要在于手段不同,即利用通讯工具、互联网等技术。故而,最高人民法院、最高人民检察院《关于办理诈骗刑事案件具体应用法律若干问题的解释》(法释〔2011〕7号,以下简称《诈骗罪解释》)、最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)惩治的重点均指向直接实施诈骗的环节,采取刑事防线前移、入罪门槛降低等多种办法。第二阶段的电信网络诈骗犯罪,显著特征则是关联犯罪突出。与之相适应,对惩治重点的调整就成为必然。对此,最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(法发〔2021〕22号,以下简称《电诈犯罪办理意见(二)》)在引言部分即开宗明义,将制定目的阐明为“进一步依法严厉惩治电信网络诈骗犯罪,对其上下游关联犯罪实行全链条、全方位打击”,而其具体内容更是直指电信网络诈骗犯罪的上下游关联犯罪。

 

三是调适网络犯罪既有司法规则体系。与网络犯罪规制的前两个阶段有所不同,这一时期的司法规则更为强调宽严相济刑事政策的贯彻落实。例如,《电诈犯罪办理意见(二)》第16条专门强调办理电信网络诈骗犯罪案件应当充分贯彻宽严相济刑事政策。当然,更为明显的转变则是直接调整相关定罪量刑标准。例如,《淫秽电子信息犯罪解释(一)》明确以牟利为目的,利用互联网、移动通讯终端制作、复制、出版、贩卖、传播淫秽视频文件20个以上的即构成犯罪,100个以上的即应当在“三年以上十年以下有期徒刑,并处罚金”的幅度内量刑,500个以上的即应当在“十年以上有期徒刑或者无期徒刑,并处罚金或者没收财产”的幅度内量刑。这实际上是与2004年制定之时的网络技术水平相关联的,本身无可厚非。近年来,随着云技术的发展,网络云盘的应用越来越广泛。由于网络云盘的存储空间大,利用网络云盘传播淫秽电子信息,涉案信息往往数量巨大。实践中,有的案件单个云盘账号含淫秽视频可达上万部,个别案件涉及云盘账号数万个。如果机械套用云时代之前淫秽电子信息犯罪的定罪量刑标准,相关案件普遍在十年以上量刑,明显有违罪责刑相适应原则的要求,严重悖离一般民众的法感情。在这一背景之下,最高人民法院、最高人民检察院《关于利用网络云盘制作、复制、贩卖、传播淫秽电子信息牟利行为定罪量刑问题的批复》(法释〔2017〕19号)对于以牟利为目的,利用网络云盘制作、复制、贩卖、传播淫秽电子信息行为的升档量刑采用综合裁量规则,实际废弃了《淫秽电子信息犯罪解释(一)》《淫秽电子信息犯罪解释(二)》所确立的升档量刑标准。


二、立法与司法交互:网络犯罪规制路径的特点梳理

 

回顾25年来网络犯罪的规制路径可以发现,虽然立法扩张是网络犯罪规制体系建构的关键环节,但立法扩张以司法扩张为前提和基础,且依靠司法环节最终得以贯彻落实。可以说,立法与司法的交互促进是我国网络犯罪规制路径的突出特征。

 

(一)积极扩张是网络犯罪规制路径的基本方向

 

25年来对网络犯罪规制的基本方向是积极扩张,这应属无疑。在此主要围绕立法层面的有关问题展开讨论。综观1997年刑法施行以来的立法进程,网络犯罪成为立法扩张的主要领域之一。网络犯罪的立法扩张不仅范围大,而且频度强。实际上,不少网络犯罪被多次修改,作了反复扩张。例如,刑法第253条之一的侵犯公民个人信息罪、第285条、第286条的危害计算机信息系统罪均为刑法扩张的重点条文,为刑法修正案(七)、刑法修正案(九)接续扩张,频度不可谓不强。

 

为解决刑法规范供给不足的问题,网络犯罪的刑法扩张采取多种方式,实现了规制范围的拓展和处罚力度的加大。具体而言:(1)增设犯罪。1997年刑法施行以来,两次集中扩张不仅扩充危害计算机信息系统犯罪,增设新型信息网络犯罪,还增加多个涉网犯罪。(2)扩大场域。例如,刑法修正案(七)增设非法获取计算机信息系统数据、非法控制计算机信息系统罪,实际使得危害计算机信息系统安全犯罪的适用场域由“三大领域”的计算机信息系统扩充至其他计算机信息系统领域,实现了对计算机信息系统的全覆盖。(3)扩充犯罪主体。例如,刑法修正案(九)扩充刑法第253条之一的出售、非法提供公民个人信息罪的主体,由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”这一特殊主体调整为一般主体。(4)降低入罪门槛。例如,刑法修正案(九)对刑法第288条规定的扰乱无线电通讯管理秩序罪作了修改,取消“经责令停止使用拒不停止使用”的要件,由结果犯调整为情节犯。(5)提升刑罚配置。例如,刑法修正案(九)对刑法第253条之一的侵犯公民个人信息犯罪、第288条的扰乱无线电通讯管理秩序犯罪的刑罚配置均作提升,将法定最高刑由3年有期徒刑调整为7年有期徒刑。

 

(二)司法扩张是网络犯罪立法扩张的助推保障

 

司法环节承担着保障刑法规定贯彻实施的重要职责。如前所述,在网络犯罪立法集中扩张之后,司法规则体系调整进入“快车道”。但更为值得关注的是,司法环节对网络犯罪立法扩张的作用力不限于此,还是立法扩张的助推保障:既助推保障立法环节的制度创设,又助推保障立法规范的落地见效。

 

其一,司法扩张是立法扩张得以进行的前提基础。就网络犯罪而言,积极预防性刑法立法并非一蹴而就,而是建立在司法领域多次小规模扩大适用的基础之上。换言之,一些司法规则的制度创设,实际上为后来立法修正起到了“试验场”的作用。

 

以非法利用信息网络罪为例,其并非立法的“突发奇想”,而是通过相关司法规则的先行先试逐步积累经验。利用网络实施犯罪,可以大致分为网上行为和网下行为两个阶段:网上行为主要表现为设立网络、通讯群组及发布信息等情形;网下行为则是在网上行为的基础上进而实施诈骗、盗窃等行为。非法利用信息网络罪实际是使刑事规制范围由网下行为前移至网上行为。这一思路肇始于《诈骗罪解释》的有关规定。与传统诈骗犯罪相比,由于电信诈骗的运作模式,要查明犯罪分子的具体诈骗数额往往存在众多困难,甚至不少被害人都无法联系上。对此,《诈骗罪解释》第5条规定对诈骗数额难以查证的电信诈骗案件,可以根据群发短信、群拨电话的数量、诈骗手段及危害等,以诈骗罪未遂论处。这使得对电信网络诈骗犯罪的规制有所前移,虽然发送信息、拨打电话已经处于实行犯罪阶段。“上述规定部分解决了网络诈骗犯罪中带有预备性质的行为如何处罚的问题,从网络违法犯罪的实际情况看,还有一些其他犯罪也存在类似问题,需要将刑法规制的环节前移,以适应惩治犯罪的需要。”基于此,刑法修正案(九)增设非法利用信息网络罪,将为实施犯罪设立网站、发布信息等行为独立入罪处罚,从而使得刑事防线进一步前移至预备行为阶段。

 

帮助信息网络犯罪活动罪的增设亦是如此。网络犯罪帮助行为不限于支持某一个或者少数下游犯罪,能够为众多下游网络犯罪提供技术支持,并牟取自身独立的经济利益,从而具有了独立性。基于此,对其具有独立入罪处罚的必要,这也就是帮助信息网络犯罪活动罪的设立缘由。然而,增设该罪名并非一步到位,而是分步骤分阶段推进的。具体而言,大致历经了三个阶段:(1)针对部分突出的网络犯罪帮助行为,刑法单设罪名。例如,刑法修正案(七)增加刑法第285条第3款,增设提供侵入、非法控制计算机信息系统程序、工具罪,就是通过立法实现“共犯行为独立入罪”,将本来系非法获取计算机信息系统数据、非法控制计算机信息系统犯罪中的帮助行为独立化。(2)囿于网络犯罪帮助行为单设罪名有限的情况,司法规则尝试独立处断。最早体现这一思路的,当属《淫秽电子信息犯罪解释(二)》。根据第7条的规定,通过投放广告等方式向淫秽网站直接或者间接提供资金,或者提供费用结算服务行为,构成制作、复制、出版、贩卖、传播淫秽物品牟利罪的共同犯罪,但对该行为设置独立入罪标准,即不受实行犯罪量因素的影响。例如,根据第1项的规定,向10个以上淫秽网站投放广告或者以其他方式提供资金的行为即可构成制作、复制、出版、贩卖、传播淫秽物品牟利罪的共同犯罪,而不论所涉淫秽网站本身是否构成犯罪和具体情况。此外,《网络赌博犯罪意见》第2条“关于网上开设赌场共同犯罪的认定和处罚”的规定、《危害计算机信息系统安全犯罪解释》第9条关于危害计算机信息系统安全共同犯罪的认定,实际都是这一思路的具体体现。(3)增设帮助信息网络犯罪活动罪,一揽子解决有关问题。在前两个阶段,立法条文和司法规则都作了有益尝试,但实际覆盖面有限。司法实践中还存在大量网络犯罪帮助行为,刑法既没有将其独立规定为单独的犯罪,也无法通过既有司法规则作为共同犯罪作出处理。可以说,几乎所有的犯罪迁移到互联网上之后都存在帮助行为难以规制的问题,亟须作出应对。而且,就司法规则而言,“这些解释虽解决了对这类行为的定性问题,但在具体犯罪情节的认定、主犯的认定等问题上仍存在一定困难。”有鉴于此,刑法修正案(九)增设帮助信息网络犯罪活动罪,对所有网络犯罪帮助行为,在一定条件之下实现独立入罪处罚。

 

其二,司法扩张是确保立法扩张落地见效的重要保障。网络犯罪的立法扩张,多属于试探性立法,缺乏既有经验可以借鉴,有时可能出现扩张范围不清晰的问题。立法通过后,面对扩张范围的争议,从现实性加以考虑,与其寄希望于立法再次修订,不如靠司法环节加以校准。

 

帮助信息网络犯罪活动罪的司法规则制定就是佐证。刑法修正案(九)增设帮助信息网络犯罪活动罪,在第287条之二的表述为“明知他人利用信息网络实施犯罪,为其犯罪提供......帮助”,即将帮助的对象限定为“犯罪”。立法作此规定,其背后的考虑大致是,帮助违法行为构成犯罪,有违一般认知。然而,对此处规定的“犯罪”的把握,将直接影响该罪的涵括范围。从字面意义上理解,“犯罪”应当是指刑法分则规定应当受到刑罚处罚的行为。但是,从实操角度来看,如果已查实被帮助对象实施的具体罪量因素,则可能择一重罪按照帮助犯进行处理。可以说,需要适用帮助信息网络犯罪活动罪论处的帮助行为,正是被帮助对象实施行为的具体罪量因素无法查明的情形。如前所述,增设帮助信息网络犯罪活动罪,旨在将为信息网络犯罪提供帮助的行为独立入罪,以更为准确、有效惩治各种网络犯罪帮助行为。如果不顾及司法实践中的具体情况,特别是在不少帮助信息网络犯罪活动的对象是否达到犯罪的程度难以查实的实际情况下,一律将被帮助对象限制为犯罪,将会导致立法目的落空。基于此,最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号,以下简称《新型信息网络犯罪解释》)第12条实际对“犯罪”作了扩大解释,允许在例外情况下,将被帮助对象实施刑法分则规定的行为但无法查证是否达到犯罪程度的情形纳入规制范围。这就是在立法扩张基础之上保障扩张到位的重要步骤,使得修法目的得以实现,妥当解决了信息网络时代“一对多”帮助情形带来的挑战,进一步严密了刑事法网。

 

(三)司法调适是网络犯罪规制路径的重要环节

 

司法依附于立法,但又具有一定的独立性。“许多政策的概括性都很强,因此其实际影响取决于人们在执行阶段对它们的理解。”网络犯罪的刑法规定更具包容性,且整体呈现扩张态势,容易导致入罪的泛化。故而,应当高度关注司法环节的调适,防止刑法扩张过度,以实现立法与司法的良性互动。

 

其一,司法的妥当调适可以防止立法扩张过度。司法具有一定的自主性,可以在立法的基础上相对独立地发挥作用。特别是在立法过度扩张的情形下,通过司法环节采取限制解释加以过滤,可以实现对立法的有效调适,妥当划定处罚范围。

 

非法利用信息网络犯罪所涉“违法犯罪”的界定就是适例。刑法第287条之一多处涉及“违法犯罪”的表述,包括“用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”“有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息”“为实施诈骗等违法犯罪活动发布信息”。可见,正确适用非法利用信息网络罪的前提和关键,就是准确厘清“违法犯罪”的内涵。

 

从字面上理解,“犯罪”是指刑法分则规定应当受到刑罚处罚的行为;“违法”则可以宽泛理解为除犯罪以外的违法行为,既包括符合刑法分则规定但尚未构成犯罪的违法行为,也包括刑法规定以外的其他违法行为。但是,如果作上述宽泛把握,对于刑法未规定、仅在其他法律法规规定的行政违法行为,只要在互联网上实施,就可以构成非法利用信息网络罪。例如,根据《道路交通安全法》第24条的规定,公安机关交通管理部门对机动车驾驶人违反道路交通安全法律、法规的行为,实行累积记分制度。实践中,存在买卖记分的行为。对于所涉行为,无法依据现有的刑法规定定罪处罚。但是,如果行为人发布有关买卖记分的信息或者设立相关网站、通讯群组,在不对“违法犯罪”作出限制的前提下,则完全可能构成非法利用信息网络罪。同理,房屋出租人将房屋出租给无身份证件的人居住的行为违反了《治安管理处罚法》第57条第1款的规定,但显然不属于刑法分则规定的构成要件行为。如果房屋出租人通过信息网络发布信息的方式将房屋出租给无身份证件的人居住,在不对“违法犯罪”作出限制的前提下,上述行为亦可以构成非法利用信息网络罪。显然,作上述宽泛理解,有违刑法的谦抑性,相关解释结论也明显超出一般人的预期,会导致罪刑法定原则确保一般人预测可能性的功能落空。基于此,《新型信息网络犯罪解释》第7条对此作了妥当调适,采取限制解释的立场,规定:“刑法第二百八十七条之一规定的‘违法犯罪’,包括犯罪行为和属于刑法分则规定的行为类型但尚未构成犯罪的违法行为。”

 

其二,司法的激进调适可能造成立法的泛化适用。司法可能发挥反作用,使得立法规定的具体适用偏离其原本预期的轨道。对此,必须予以高度关注,采取切实措施加以防范避免和妥当处置。

 

帮助信息网络犯罪活动罪扩展适用于线下帮助行为亦是适例。刑法修正案(九)增设帮助信息网络犯罪活动罪,虽属积极预防刑法观之下的立法扩张,但在具体条文设置上亦持慎重态度,将帮助行为限制为“互联网接入、服务器托管、网络存储、通讯传输等技术支持”“广告推广、支付结算等帮助”,即主要限定在线上技术帮助。然而,司法适用之中将其大规模扩张至线下帮助行为。

 

司法实务之中,对于提供“两卡”(手机卡、信用卡)这一线下帮助行为能否适用帮助信息网络犯罪活动罪,在很长一段时期实际普遍持观望态度。至少,早期的帮助信息网络犯罪活动罪适用场景基本是线上帮助行为。与之相关,这一时期的案件量不大。然而,最高人民法院、最高人民检察院、公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》(法发〔2021〕22号)(以下简称《电诈意见(二)》),在第7条将线下帮助行为扩充解释到“等帮助”之中。由此,帮助信息网络犯罪活动罪司法适用发生重要转折,即从早期的技术帮助扩张到线下帮助行为,直接导致相关案件快速增长。这一解释属于等外扩大解释的范畴,且具有实践必要性,本身无可厚非。但《新型信息网络犯罪解释》关于帮助信息网络犯罪活动罪的定罪量刑标准体系,本系针对线上帮助的场景,将其直接适用于线下帮助极易导致入罪泛化。故而,这一司法调适,实际使得帮助信息网络犯罪活动罪偏离了立法预设的轨道,开始进入大规模适用的阶段。作为应对,应当采取进一步的举措,对此后文将作进一步阐释。
 

三、司法为主立法补强:网络犯罪规制路径的未来方向

 

网络犯罪的蔓延态势与变异发展,决定对其规制必然是长期不间断的过程。回顾既往,我国网络犯罪的扩张路径整体而言符合法理、国情,可谓因时而变、应势而动,实现了立法与司法的有机交融。当然,整体肯定并不等于网络犯罪规制的具体细节无可挑剔,实际上仍有亟须改进的空间,需要在未来进一步优化。

 

(一)网络犯罪扩张路径的整体肯定

 

对于积极预防性刑法观,刑法理论界尚未形成一致认识,支持和批判的观点皆有。同样,就网络刑法领域而言,理论研究之中亦有积极刑法观和消极刑法观的对立。本文认为,围绕网络刑法领域加以观察可以发现,网络犯罪的扩张路径整体符合惩治犯罪的现实需要,有其合理性和必要性。

 

其一,网络犯罪的扩张整体缘于技术发展和现实背景。“刑法是社会的,必然要随着社会变迁而发生相应的嬗变,历史中的犯罪论表明,犯罪论的体系构建从来都不只是理想化的结果,而是时代的产物。”网络犯罪的扩张,根源于对抗网络犯罪的现实需要。1979年刑法制定于我国接入互联网之前,当然不存在网络犯罪,刑法也自然不需要设置相关罪名。而1997年刑法及其施行以来围绕网络犯罪所作扩张,就在于我国接入互联网之后所面临的网络犯罪滋生蔓延的现实情况。基于此,通过适度扩张网络刑法的规制范围,以有效保护法益,成为必然要求。网络犯罪圈的范围及其变化,表面是立法机关的取舍,实则缘于经济社会的实际情况和惩治犯罪的现实需要。

 

其二,网络犯罪的扩张整体符合法益保护的需要。讨论刑法的立法扩张是否必要,主要标准应当在于所保护法益的范围大小,以及是否值得动用刑法加以保护。随着网络技术的迅速发展和广泛应用,不仅计算机信息系统本身面临着严重的黑客攻击破坏威胁,传统犯罪网络化之后更是使得法益侵害程度聚集放大,这就使得刑法介入保护法益成为必然。由此,基于计算机信息系统本身的进一步刑法保护,有了危害计算机信息系统安全罪的扩充;基于对传统犯罪网络化的对抗,则有了新型信息网络犯罪和其他涉网犯罪的增设扩充。

 

其三,网络犯罪的扩张整体未违反谦抑原则的要求。“刑法谦抑性......不意味着对犯罪的处罚范围越小越好,关键是要实现妥当的处罚。”如前所述,我国网络刑法的扩张,系基于保护法益的现实需要。而且,从处罚的比例要求来看,整体而言,也有其必要性。以帮助信息网络犯罪活动罪的增设为例,其实质上是堵截性罪名。基于传统犯罪的视角观之,可能确实会产生是否具有处罚必要的疑问,究其原因,就在于传统犯罪之中帮助行为的法益侵害往往小于实行行为。但是,“从犯罪的组织结构看,网络犯罪的帮助行为相较于传统的帮助行为,其对于完成犯罪起着越来越大的决定性作用,社会危害性凸显,有的如果全案衡量,甚至超过实行行为。”而且,提供帮助者由于被帮助对象的数量巨大,往往成为获利最大的环节。在抓获所有接受帮助行为的实行犯并查清相关情况不具有可操作性的背景下,对帮助行为视情纳入帮助信息网络犯罪活动罪的范畴,进而配置最高3年有期徒刑的刑罚,应当认为符合处罚适当原则的要求。

 

(二)网络犯罪规制的未来改进方向

 

主张网络犯罪扩张路径的整体妥当性,并不意味着对扩张所涉各个方面均持肯定立场。必须承认,在网络犯罪整个扩张路径之中,尚存在亟须进一步改善的地方。特别是,“两卡”案件大规模适用帮助信息网络犯罪活动罪,集中反映出刑法规制的对象偏离和罪刑失衡的现实问题,须着力加以解决,以确保未来规制的正确方向。

 

一是解决刑法规制的对象聚焦不够的问题,妥当控制处罚范围。刑法惩治的重点应当聚焦于法益侵害严重的行为,而不应涵括法益侵害相对较小的行为,后者更应交由行政处罚或者其他规制手段。然而,网络犯罪扩张路径之下,客观上存在规制偏离惩治重点的情况。就帮助信息网络犯罪活动罪而言,其惩治的重点无疑应当是法益侵害严重的线上帮助行为,因为其加速了网络犯罪进程、放大了网络犯罪的法益侵害。然而,现实情形则是“两卡”案件被大规模以帮助信息网络犯罪活动罪追究刑事责任。自2020年10月“断卡”专项行动开展以来,帮助信息网络犯罪活动罪被“激活”。与以往电信网络诈骗犯罪主要追究诈骗直接实施者的情形有所不同,“断卡”专项行动主要针对为诈骗环节提供帮助的“两卡”行为。据统计,自2021年4月起,“一年来,全国共破获电信网络诈骗案件39.4万起,抓获犯罪嫌疑人63.4万名,同比分别上升28.5%和76.6%。各部门持续推进‘断卡’行动,打掉‘两卡’违法犯罪团伙4.2万个,查处犯罪嫌疑人44万名。”虽然法检的统计数据远低于公安机关公布的上述数据,但2022年1月至9月全国检察机关起诉帮助信息网络犯罪活动罪9.3万人,在各类刑事犯罪中起诉人数排名第三。“两卡”属于典型的线下帮助行为,如此集中地适用帮助信息网络犯罪活动罪,反映该罪适用偏离了惩治重点,即对电信网络诈骗犯罪的惩治并未真正涉及诈骗环节,而是大比例偏向“两卡”环节。

 

二是解决罪刑均衡的落实存在不足的问题,实现罪责刑相适应。帮助信息网络犯罪活动罪常态情形下针对的是线上帮助行为,诸如“互联网接入、服务器托管、网络存储、通讯传输等技术支持”和“广告推广、支付结算”均属网络犯罪产业链之中法益侵害较大的环节。《新型信息网络犯罪解释》对帮助信息网络犯罪活动罪设置的定罪量刑标准,大抵也是与之相适应。然而,相关定罪量刑标准一旦适用于线下帮助行为,由于线下帮助行为的法益侵害程度与“技术支持”不具有相当性,实际上存在处罚过于严厉的问题。以“两卡”案件为例,基本没有技术门槛,虽然为电信网络诈骗犯罪提供了工具,但对整个犯罪进程的作用远不如线上帮助行为。由于线下行为与线上行为的危害性存在差异,适用相同的定罪量刑标椎,给予同等的处罚力度,应当认为在罪刑均衡方面有较大改进空间。

 

(三)网络犯罪未来规制的路径选择

 

整体肯定网络犯罪扩张路径,明确规制的未来改进方向,目的就是为了妥当规制网络犯罪,实现有效治理。目标明确了,关键就是实现路径。对此,本文主张对网络犯罪的未来规制坚持司法为主立法补强的路径。

 

1.坚持司法为主。目前看来,网络犯罪的大规模刑法修改,在短期之内既无可能,亦无必要。细究可以发现,无论是危害计算机信息系统犯罪,还是新型信息网络犯罪,抑或涉网犯罪,我国刑法均专设罪名,业已形成了较为系统的网络犯罪罪名体系。网络犯罪的形态和样式当然会不断变异,但无论是数据犯罪还是人工智能犯罪抑或当前其他与信息技术相关的犯罪形式,整体并未超出网络犯罪的代际特征,基本都处于现行网络犯罪的罪名体系的规制范围之内。故而,在此基础上,应当将重心置于刑法规定的妥当运用,充分发挥司法手段的作用。

 

一方面,未来司法环节应当全力保障刑法规范的妥当适用。在网络犯罪集中扩张之后,司法的具体适用至关重要。特别是,立法上相关条文的设置调整,往往会产生体系性的影响。例如,在刑法修正案(七)之前,由于刑法关于网络犯罪的规定只有非法侵入计算机信息系统罪和帮助信息网络犯罪活动罪,故对该两个罪名的扩大适用并无大的问题。但是,在刑法修正案(七)增设非法获取计算机信息系统数据罪、非法控制计算机信息系统罪之后,从体系解释的角度,司法应当重新审视非法侵入计算机信息系统罪和破坏计算机信息系统罪的适用范围。具体而言:(1)非法侵入计算机信息系统罪的对象为三大领域的计算机信息系统,而非法获取计算机信息系统数据、非法控制计算机信息系统罪的对象为三大领域以外的计算机信息系统。可见,二者适用范围之间存在此消彼长的关系。如果某个计算机信息系统被认定为三大领域的计算机信息系统,则侵入该计算机信息系统即可以依据刑法第285条第1款的规定构成犯罪(最高刑为3年有期徒刑),但如果继续实施非法获取计算机信息系统数据、非法控制计算机信息系统的行为,则无法适用刑法第285条第2款的规定(最高刑为7年有期徒刑)。故而,有观点认为两款之间存在逻辑缺陷,对此最佳的解决方案无疑是修改完善刑法规定。然而,与其批判立法,不如审视解释能力,在现行刑法规定的框架内,应通过合理解释尽量避免两款之间的逻辑矛盾,这是司法环节的重要任务。司法的应然立场是严格限缩三大领域计算机信息系统的范围,确保侵入三大领域计算机信息系统并实施进一步侵害行为的,可以适用非法获取国家秘密罪,为境外窃取、刺探、收买、非法提供国家秘密、情报罪等更重的罪名,从而有效避免罪刑失衡。(2)根据刑法第286条第2款的规定,“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”行为,并未设置与其他两款类似的“造成计算机信息系统不能正常运行”“影响计算机系统正常运行”等要件。这也导致刑法第286条第2款的破坏计算机信息系统罪适用空间较大。囿于当时刑法规范供给不足的现实,这在刑法修正案(七)施行前并无明显不妥。但是,刑法修正案(七)增设了非法控制计算机信息系统罪,而该罪通常需要通过对计算机信息系统增加木马程序等操作得以实现,大概率必然会涉及对数据的破坏。这就要求厘清破坏计算机信息系统罪与非法控制计算机信息系统罪之间的界限。基于此,最高人民法院发布《张竣杰等非法控制计算机信息系统案》(指导案例145号),在裁判要点之中提出:“通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。”这实际就是在刑法条文修改之后,通过司法规则实现对数据型破坏计算机信息系统罪适用范围的重置,以妥当界分既有的破坏计算机信息系统罪与增设的非法控制计算机信息系统罪。

 

另一方面,未来司法环节应当着力解决既有规制存在的不足。如前所述,网络犯罪规制呈现出偏离惩治重点和罪刑失衡的问题,这就需要通过司法采取更为切实有效的措施加以解决。面对帮助信息网络犯罪活动罪“井喷”的态势,相关司法规则体系也在调整完善。如前所述,《电诈犯罪办理意见(二)》明确传导出对帮助信息网络犯罪活动罪予以司法限定的基本立场,特别是第16条进一步强调要充分贯彻宽严相济刑事政策,妥当把握惩治重点,区分对象从宽处理。但目前看来,相关司法规则调整并未见到明显成效,尚有进一步改进的空间。细究可以发现,前已述及的对线下帮助行为适用与线上帮助行为相同的定罪量刑标准,方是造成刑法适用泛化的主要原因。在现行定罪量刑标准不作改变的前提下,寄希望先行“入罪”而后通过政策“出罪”,在我国现有刑事诉讼运作模式之下,自然难以完全奏效。特别是,通过政策出罪,在侦查阶段尚且容易,在审查起诉阶段尚有可能,在审判环节则相对困难。故而,必须回到“入罪”的本原解决问题,即针对网络犯罪线下帮助行为构成帮助信息网络犯罪活动罪单设专门的定罪量刑标准,方能起到妥当限定刑事规制面的效果。实际上,针对线下帮助行为与线上帮助行为设置双层入罪门槛,采取差异化的定罪量刑标准,妥当划定犯罪圈范围,本来就是罪刑均衡原则的要求,也是司法应尽的职责。

 

2.坚持立法补强。主张司法为主,并非完全舍弃立法的作用发挥。实际上,立法层面仍然是未来网络犯罪规制的重要方面,有不少问题的解决仍离不开立法,只不过是不同时期二者发挥作用的侧重面有所不同。

 

其一,刑法修正应当限于必要。排斥短期之内网络犯罪的大规模刑法修改,并不否定刑法的必要“修补”,以进一步健全网络犯罪的规制体系。特别是,指望“立法踩油门,司法踩刹车”,显然不现实,也不合理。理想的状况,只能是刑法与司法的交融互动。对于刑法规范本身存在改进空间的问题,可以靠司法在能力范围之内加以限制,但亦需要刑法及时作出必要的调整。例如,对于前述刑法第286条第2款破坏数据的规定存在的范围过大问题,司法环节通过指导性案例彰显限制立场,将一部分破坏数据的行为划入非法控制计算机信息系统罪的规制范围。但是,对于非法控制计算机信息系统罪规制以外的破坏数据行为还需要适用破坏计算机信息系统罪,而该罪的法定刑配置最高为15年有期徒刑,仍然存在处罚过重的问题。故而,这一问题的最终解决,应当在破坏系统、传播病毒等真正意义上的破坏计算机信息系统罪之外,通过立法修正另设专门的破坏数据犯罪,并单独配置相对较轻的刑罚。具体而言,可以比照非法获取计算机信息系统数据罪,设置最高7年有期徒刑的刑罚。

 

其二,前置法应当强化推进。我国网络立法整体呈现“刑法先行”的路径,诸如公民个人信息保护、信息网络安全保护等领域,均是刑法修正走在前置法之前。缺乏前置法的保障,相关网络犯罪的适用一定程度上处于“裸奔”状态,妥当适用的难度加大。例如,侵犯公民个人信息罪在较长一段时期的司法适用之中出现各种难题,实际就是由于缺乏前置法导致对相关问题无从厘清。其中,涉公开公民个人信息案件定性长期存在较大争议的原因,不在于刑法规范本身,而在于前置法对“二次授权”规则不明。这一问题最终是在《民法典》《个人信息保护法》明确相关规则之后得以解决。由于《民法典》《个人信息保护法》对公开个人信息均否定了“二次授权”的规则,刑事司法自然应当对常态情况下的涉公开信息案件作出罪处理。又如,涉虚拟财产案件的定性争议在今天依然激烈,症结不在于刑法,仍在于前置法对虚拟财产的规定不明。虚拟财产无疑具有财产属性,但是否属于财物,前置法尚未明确。民法典第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”目前,并未见其他法律的规定。在前置法律依据不明的情况下,对于虚拟财产是否属于刑法上的财物,对相关行为应否适用财产犯罪,就自然难以形成统一认识。这进一步凸显了完善前置法的必要性。实际上,只要前置法律先明确虚拟财产的财物性质,刑法上适用财产犯罪就不存在障碍。总而言之,前置法对相关刑事案件的处理至关重要,应当在未来受到高度重视,作为立法层面优先推进的方面。

 

在此有必要强调,此处所涉“前置法”的范围较宽,不限于法律法规,还包括国家标准等。就国家标准而言,这是一个看似与网络犯罪无关,但实际关联紧密的问题。例如,根据刑法第286条之一的规定,拒不履行信息网络安全管理义务罪的罪状是“不履行法律、行政法规规定的信息网络安全管理义务”。对此,《网络安全法》第22条第1款亦规定:“网络产品、服务应当符合相关国家标准的强制性要求。”可见,本罪的成立与相关国家标准关系重大。理想的状况是,网络服务提供者按照强制的国家标准实施相关行为,即可以“尽职免责”。然而,目前在信息网络安全管理领域并未见到强制性的国家标准。这就会使得相关网络服务提供者在具体业务活动之中难以明确界限范围,亦难以明晰刑事责任的边界。与之类似,在个人信息保护领域,作为主要国家标准的《信息安全技术个人信息安全规范》(GB/T 35273-2020)亦属于推荐性标准而非强制性标准的范畴。形象而言,推荐性标准类似于“80分”优良标准,强制性标准类似于“60分”及格标准。在缺乏“60分”及格标准的前提下,为避免刑事风险,不少涉个人信息处理业务的主体只能按照“80分”优良标准操作,客观上加重了相关业务主体的责任,并不可取。特别是在客观上无法达到“80分”优良标准的情况下,相关主体无法准确预判自己行为的刑事法律后果,能否入罪也争议较大。适宜的做法,应当是尽快推出相关强制性标准,只要涉个人信息处理主体按照该标准操作到位,即应当认为在刑事方面不再具有可责性。


结语

 

网络犯罪规制是网络时代的重要任务。25年来,我国网络犯罪的规制路径跨越三个阶段,呈现出司法、立法层面接续而行的发展历程。在这一进程之中,并非立法向司法的单向输入,而是呈现出明显的交互影响关系。网络犯罪的规制路径所呈现出的积极预防性刑法观,在整体层面应予肯定,但在微观层面尚需改进。网络犯罪刑法立法层面的任务已基本完成,未来大规模刑法修改在短期之内并不可取。故而,对网络犯罪的未来规制,应当坚持司法为主立法补强的路径选择,进一步完善规制体系,有力推进中国式网络犯罪治理现代化。

 

 

来源:《政法论坛》2023年第1期,第132-144页

作者:喻海松,最高人民法院研究室刑事处处长