对象型网络犯罪的刑事政策应对,本文主要内容关键词为:对象论文,政策论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
中图分类号:DF611 文献标识码:A 文章编号:1002-3933(2016)08-0140-15 该文已由“中国知网”(www.cnki.net)2016年6月28日数字出版,全球发行 人类已然进入到了信息时代,计算机和互联网在各个方面改变了人们的生活方式,极大地推动了社会的进步。然而,由于网络的虚拟性和技术性,计算机和互联网在给人们带来生活便利的同时也遭受着不法犯罪分子的侵害。计算机信息系统安全问题日益突出。如何维护计算机信息系统安全,正视信息时代计算机信息系统刑法保护所面临的挑战,及时填补刑法制裁侵害计算机信息系统安全犯罪的不足,是目前维护计算机信息系统安全最为迫切的需要。 在进入研究分析之前,需要对样本予以说明。本研究以全国对象型网络犯罪①案件判决书为考察样本,这些案件来源于中国裁判文书网和北大法宝。案件检索时间是从1997年10月1日至2015年2月6日。案件检索关键词是“计算机信息系统”,通过筛选、查重最终确定案例总数为179个。在数据录入时,为统计和分析方便,采取了以罪名为基准的录入方式:一方面仅录入被判罪名是对象型网络犯罪罪名的相关案件数据,另一方面区分罪名分别录入案件数据。就选择罪名而言,为研究需要和方便,对于提供侵入、非法控制计算机信息系统的程序、工具罪不拆分统计;但对于非法获取计算机信息系统数据、非法控制计算机信息系统罪则原则上进行拆分统计,作为例外,如果被告人被判罪名是非法获取计算机信息系统数据、非法控制计算机信息系统罪,则不将之拆分成两个罪名分别录入数据。按照这种方式录入,最终获得383例罪名样本②。 一、对象型网络犯罪案件特征统计 通过分析383例罪名样本,可以发现对象型网络犯罪案件有如下特征: (一)犯罪主体特征显著 179个对象型网络犯罪案件共涉及381个犯罪人。这些对象型网络犯罪初犯比率高,犯罪目的以牟利为主。 1.初犯比率高 通过考察有无前科这一变量发现,有前科背景的有21人(约5.51%),而没有前科背景的有360人(约94.49%),这说明对象型网络犯罪主体绝大多数是初犯。 2.犯罪目的以牟利为主 就犯罪目的而言,如表1所示,通过频次分析发现在383例样本中有342例(89.3%)是以牟利为目的。尤其值得注意的是,在对被判处破坏计算机信息系统罪和非法侵入计算机信息系统罪的被告的主观目的统计后发现,在163例被判处破坏计算机信息系统罪的被告中有127例(77.9%)具有牟利目的;在11例被判处非法侵入计算机信息系统罪的被告中有10例(90.9%)具有牟利目的。这说明这两种犯罪案件的犯罪人在实际中常具有牟利目的。
(二)受案数呈上升趋势 就179个对象型网络犯罪案件而言,在受案年份上,除去1个缺省值外,受案年份有效数据有178个,具体而言:1999年受案1件,2001年受案2件,2002年受案1件,2003年受案1件,2005年受案1件,2007年受案3件,2008年受案5件,2009年受案2件,2010年受案6件,2011年受案4件,2012年受案14件,2013年受案39件,2014年受案97件,2015年受案2件③。我们观察2011年至2014年的受案数可以发现,每一年的受案数约是上一年度的3倍。通过将2009年至2014年全国法院办理对象型网络犯罪受案情况做成折线图,如图1所示,可以大致看出受案情况总体呈现上升趋势。
图1 2009-2014年全国法院办理对象型网络犯罪案件受案走势 (三)轻刑适用比例较高 从总体上考察,如表2所示,通过分析383例样本刑期,可以发现刑期均值为25.764个月,中值为24个月,众数为36个月,极小值为0个月,极大值为72个月。在这里值得注意的是不管是均值、中值还是众数都小于或等于36个月。通过把刑期分为轻刑(刑期在36个月以下,含36个月)和重刑(刑期在36个月以上),可以发现判处轻刑的有323例(84.3%),判处重刑的有60例(15.7%),前者约是后者的5倍,显然,占绝大多数的是轻刑。
从个罪上考察,如表3④所示,破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、非法侵入计算机信息系统罪和提供侵入、非法控制计算机信息系统的程序、工具罪的刑期均值、中值和众数均小于或等于36个月。通过把刑期分为轻刑和重刑,并对上述罪名所对应的刑期分别进行统计,我们发现破坏计算机信息系统罪中判处轻刑的有132例(81%),判处重刑的有31例(19%);非法获取计算机信息系统数据罪中判处轻刑的有111例(88.8%),判处重刑的有14例(11.2%);提供侵入、非法控制计算机信息系统的程序、工具罪中判处轻刑的有25例(78.1%),判处重刑的有7例(21.9%);非法控制计算机信息系统罪中判处轻刑的有44例(86.3%),判处重刑的有7例(13.7%)。也就是说,在个罪中绝大部分判处的也是轻刑⑤。
(四)降格认定存在一定比例 经统计发现,在383例样本中共有12例(约3.1%)在认定情节(特别)严重与后果(特别)严重上存在疑问。具体而言,依据相关司法解释本应认定情节特别严重却认定成情节严重的有3例(0.7%),本应认定后果特别严重却认定成后果严重的有9例(2.3%)。这说明对象型网络犯罪案件中存在一定比例的降格认定问题。 二、惩治对象型网络犯罪存在的问题 2015年8月29日全国人大常委会审议通过了《刑法修正案(九)》,该修正案增加规定了单位可以构成对象型网络犯罪的犯罪主体。尽管如此,惩治对象型网络犯罪依然存在问题。 (一)对犯罪对象的考察 1.犯罪对象含义模糊 刑法第285条第1款规定非法侵入计算机信息系统罪的犯罪对象必须是国家事务、国防建设、尖端科学技术领域的计算机信息系统。但是,立法规定不明确导致对于国家事务、国防建设、尖端科学技术领域的计算机信息系统的内涵存在理解争议。为此,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(本文以下简称《危害计算机信息系统安全刑事案件解释》)第10条提出了争议解决办法⑥。虽然《危害计算机信息系统安全刑事案件解释》为概念争议提供了认定程序,但是未根本解决问题,因为省级以上负责计算机信息系统安全保护管理工作部门的检验结论仅具有参考价值,其并非最终结论,最终是否是国家事务、国防建设、尖端科学技术领域的计算机信息系统还得司法机关认定,如此一来,各地方司法机关依凭自己的理解,很有可能出现理解不一的情况。比如在李某等非法侵入计算机信息系统案[1]和王某某获取计算机信息系统数据案[2]中,两案法官对计算机信息系统的理解就不同。 在李案中被入侵的是广州市交警支队网上车管所的计算机信息系统,王案中被入侵的是重庆市公安局交通管理局网上车管所。二者虽都是网上车管所,但是在李案中,审理法官认为广州市交警支队网上车管所的计算机信息系统属于三大领域的计算机信息系统;而在王案中,审理法官则认为重庆市公安局交通管理局网上车管所的计算机信息系统属于三大领域以外的计算机信息系统。可见网上车管所是否属于三大领域的计算机信息系统,法官们意见不同。事实上,由于很容易排除网上车管所属于国防建设、尖端科学技术领域的计算机信息系统,所以两案法官的争议焦点实际上是网络车管所是否属于国家事务领域的计算机信息系统。 2.犯罪对象范围狭小 (1)非法侵入计算机信息系统罪的犯罪对象无法包括国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。 我国已有学者指出现行刑法第285条第1款规定的犯罪对象过窄[3]。有学者认为,过窄的犯罪对象范围与计算机技术的发展和普及并不协调。该学者主张扩大非法侵入计算机信息系统罪的犯罪对象范围,将受保护的计算机信息系统扩大至具有重大价值或社会公共利益的计算机信息系统,比如金融系统的计算机系统、民间的信息服务系统[4]。有学者指出,在1997年刑法修订时,公安部在《危害计算机信息系统安全罪方案(草稿)》中所建议增设的非法侵入计算机信息系统罪中的犯罪对象是包含了经济建设领域的计算机信息系统的;而修订后增设的非法侵入计算机信息系统罪的犯罪对象并不包括经济建设领域的计算机信息系统。因此,将重要经济建设领域的计算机信息系统重新纳入刑法的可能性不大。不过该学者建议将社会保障领域的计算机信息系统纳入本罪的保护范围[5]。 (2)非法获取计算机信息系统数据、非法控制计算机信息系统罪的犯罪对象难以涵盖国家事务、国防建设、尖端科学技术领域的计算机信息系统及其数据。 从文理解释上看,我国刑法第285条第2款的保护对象显然是三大领域以外的计算机信息系统和其数据。由于立法规定的缺漏,司法实务对非法侵入三大领域的计算机信息系统并非法获取其数据以及非法控制这三大领域的计算机信息系统的行为采取的是不予评价的态度,比如赵某某非法获取计算机信息系统数据案[6]。该案事实部分提到被告非法侵入了公安部计算机信息系统并非法获取数据,非法侵入湖南联通长沙分公司的计算机系统并非法下载数据,而在定罪量刑部分却只说“违反国家规定,侵入其他计算机信息系统,获取该计算机信息系统中的数据,情节严重,其行为构成非法获取计算机信息系统数据罪”。这实际上是不予评价被告非法侵入公安部计算机信息系统并非法获取数据的行为。 有学者指出,我国刑法第285条第1款确认了要重点保护上述三大领域的计算机信息系统,而第285条第2款对该三大领域的数据却不给予全面重点保护,在立法逻辑上说不通[7]。与之相反,有学者指出,这一问题完全可以通过表面的构成要件要素来解决,即将刑法第285条第2款中的“前款规定以外”理解成表面的构成要件要素。换言之,“前款规定以外”并不是成立犯罪所必需的要素[8]。 笔者认为采取表面的构成要件要素来解决刑法第285条第2款犯罪对象范围狭窄的问题仍存在逻辑问题。《危害计算机信息系统安全刑事案件解释》规定,非法控制计算机信息系统20台以上才构成刑法第285条第2款中的“情节严重”。据此,为什么只要非法侵入上述三大领域的计算机信息系统,即理论上只要非法侵入上述三大领域的计算机信息系统1台,就构成犯罪,而非法控制上述三大领域计算机信息系统得要达到20台才成立犯罪呢?换言之,同样都规定在刑法第6章第1节第285条之下,为什么犯罪对象都是国家事务、国防建设、尖端科学技术领域的计算机信息系统,非法侵入该计算机信息系统即构成犯罪,而非法控制该计算机信息系统得要“情节严重”才成立犯罪呢?难道非法控制国家事务、国防建设、尖端科学技术领域的计算机信息系统的法益侵害性不如非法侵入该计算机信息系统的法益侵害性大,需要再另外明示增加罪量要素才成立犯罪?同理,为什么非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统即构成犯罪,而非法获取该系统中的数据得要“情节严重”才成立犯罪呢?难道非法获取国家事务、国防建设、尖端科学技术领域的计算机信息系统数据的法益侵害性不如非法侵入该计算机信息系统的法益侵害性大,需要再另外明示增加罪量要素才成立犯罪?从行为时序上讲,“侵入”应在“获取”和“控制”之前;从法益侵害性上讲,获取上述三大领域计算机信息系统数据的法益侵害性和非法控制上述三大领域的计算机信息系统的法益侵害性应远大于仅仅非法侵入上述三大领域的计算机信息系统的法益侵害性。何以刑法的介入(打击)时点会有差别呢,即刑法在行为人实施非法侵入上述三大领域的计算机信息系统的行为即予以介入,而刑法在行为人实施非法获取上述三大领域的计算机信息系统数据后得要达到一定的罪量才予以介入?这在逻辑上说不通。再换个角度,刑法第285条第1款较低的入罪门槛已表明刑法特别保护国家事务、国防建设、尖端科学技术领域的计算机信息系统。而若认为非法控制计算机信息系统罪的犯罪对象也包括了国家事务、国防建设、尖端科学技术领域的计算机信息系统,那么第285条第2款以及《危害计算机信息系统安全刑事案件解释》第1条哪里体现了对这三大领域的计算机信息系统予以特别保护呢?所以,虽然上述论者可以通过表面的构成要件要素将国家事务、国防建设、尖端科学技术领域的计算机信息系统和该系统中的数据纳入刑法第285条第2款予以保护,但是仍然存在逻辑问题。 此外,有学者指出,计算机信息系统中存储、处理或者传输的数据应指为信息系统的功能实现而存储、处理和传输的内部数据,在外延上可包括系统中从外部采集而输入系统的身份信息等数据,而无法包括系统运行过程中自行产生的痕迹、记录等数据和网页浏览痕迹、下载记录、关键词搜索等信息数据以及云端数据,等等。而这些未被包括的数据恰恰是“大数据”的重要部分甚至未来可能是最核心的组成部分[9]。 (3)提供侵入、非法控制计算机信息系统的程序、工具罪难以评价为非法获取计算机信息系统数据或破坏计算机信息系统提供程序、工具的行为。 陆云优等提供侵入、非法控制计算机信息系统程序、工具等案[10]涉及对提供侵入、非法控制计算机信息系统的程序、工具罪之犯罪对象的认定问题。本案中被告销售的木马程序具有获取他人QQ账号和密码并发送到远程服务器的功能,这种具有获取数据功能的程序是否属于提供侵入、非法控制计算机信息系统的程序、工具罪中的程序呢?依据《危害计算机信息系统安全刑事案件解释》第2条的规定⑦,答案是肯定的。该解释显然扩大了专门用于侵入、非法控制计算机信息系统的程序、工具的外延。当然,应当认为具有获取数据功能的木马程序可能会同时具有侵入、控制功能,从这个角度看该扩大解释还是有道理的。 但问题是,是否存在这么一种程序或工具,即它不具有侵入、控制功能但它却具有获取数据的功能呢?如果存在,那么上述扩大解释的合理性就会受到质疑。另外,《危害计算机信息系统安全刑事案件解释》只是扩大解释了“专门用于侵入、非法控制计算机信息系统的程序、工具”,并不能完全弥补现行刑法第285条第3款所存在的缺陷。一方面,对于行为人明知他人实施非法获取计算机信息系统数据的违法犯罪行为而为其提供程序、工具的行为仍然不在刑法第285条第3款规制范围之内。另一方面,对于明知他人实施破坏计算机信息系统犯罪行为而提供用于破坏计算机信息系统功能、数据或者应用程序,并且达到《危害计算机信息系统安全刑事案件解释》第9条所规定的数额和行为次数的,依据《危害计算机信息系统安全刑事案件解释》应认定为破坏计算机信息系统罪的共犯。有学者指出,如果该提供者不构成共犯,而现行刑法第285条第3款又不规制此提供行为,则刑法将无法处罚该提供者[7]。 (二)对罪量的审视 1.罪量认定问题 司法实践中对罪量认定存在如下问题: 第一,未能严格依据司法解释认定罪量。由于《危害计算机信息系统安全刑事案件解释》已经对刑法第285条和第286条的罪量做了细化规定,因而法官在将犯罪事实涵摄于法律规范时就更具操作化,同时,对象型网络犯罪基本犯和加重犯的界分(较之于司法解释出台前)就更加清晰。尽管如此,在对象型网络犯罪案件中法官的某些涵摄仍值得商榷。前文提到在383例样本中有12例存在降格认定问题,即本应认定为加重犯却认定为基本犯。 第二,《危害计算机信息系统安全刑事案件解释》本身存在问题。这个问题就是违法所得的认定和经济损失的认定在某种程度上存在交叉。同样一份价值,既可以从违法所得角度认定,也可以从经济损失角度认定。比如行为人甲偷了被害人乙的东西A,对甲来说A是“得”,但对乙来说却是“失”。由于《危害计算机信息系统安全刑事案件解释》规定违法所得5000元或造成经济损失10000元是情节严重,违法所得25000元或造成经济损失50000元是情节特别严重,所以案件中常常会出现这种情况,即被告人窃取了价值约30000元的物品,这时候从违法所得角度看,被告的犯罪行为应属于情节特别严重,而从经济损失角度看,被告的行为仅是情节严重。在这种情况下应如何认定罪量呢? 2.罪量细化问题 《危害计算机信息系统安全刑事案件解释》在罪量细化上存在超越立法之嫌。以王飞破坏计算机信息系统案[11]为例,该案涉及破坏计算机信息系统罪的罪量认定问题。该案法官认为:“被告人王飞违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重”。如何认定这里的“后果严重”呢?从案件事实部分看,本案被告在21台电脑上安装了雨人软件,法官据此认为“后果严重”。事实上,这是依据《危害计算机信息系统安全刑事案件解释》第6条第1款第2项认定“后果严重”的。但如此便真的是“后果”严重吗? 细看《危害计算机信息系统安全刑事案件解释》第6条第1款⑧就会发现,该款第1项实际上是对传播路径的规定,第2项是对传播数量的规定,第3项是对提供次数的规定。概言之,前3项实际上是从破坏性程序的传播路径、传播数量和提供次数的角度细化“后果严重”。但是,这样的规定确定是“后果”严重而不是“行为”严重吗?换言之,前3项的评价对象究竟是后果还是行为?笔者认为更多的还是从行为角度进行的评价。也就是说,前3项实际上是针对传播(破坏性程序)行为的规定,而并非针对传播(破坏性程序)行为所带来的后果的规定。如果这种理解正确的话,那么《危害计算机信息系统安全刑事案件解释》在细化“后果严重”的同时实际上是虚化了“后果”。事实上,如果我们除去第4项“违法所得五千元以上或者造成经济损失一万元以上的”这种一般性的后果规定,除去前3项有关传播(破坏性程序)行为的规定,那么《危害计算机信息系统安全刑事案件解释》第6条第1款就只剩下兜底条款了。换言之,《危害计算机信息系统安全刑事案件解释》第6条第1款并没有明确细化传播(破坏性程序)行为的“破坏性”后果是什么。可以说,《危害计算机信息系统安全刑事案件解释》实际上是把刑法第286条第3款的结果犯解释成了情节犯,这一做法有超越立法之嫌。 (三)对法定刑的检视 我国刑法第285条和第286条在法定刑规定方面存在不足。以但明松破坏计算机信息系统案[12]为例。被告人但明松2009年犯破坏计算机信息系统罪被判处1年有期徒刑,2011年犯破坏计算机信息系统罪被判处三年六个月有期徒刑,2013年犯破坏计算机信息系统罪被判处二年六个月有期徒刑。被告人两次前科都犯的是破坏计算机信息系统罪,而且都被判处有期徒刑,第三次仍然犯破坏计算机信息系统罪而且是累犯。刑法理论一般认为刑罚目的在于一般预防和特殊预防。所谓的特殊预防就是指预防犯罪人重新犯罪。而上述案件中破坏计算机信息系统罪的刑罚显然没有发挥特殊预防的功能,不然被告人怎么会一而再,再而三的犯罪?这不得不让我们反思刑罚效果。 我国刑法第286条为破坏计算机信息系统罪配置了拘役和有期徒刑这两种刑罚。一方面,虽然这两种刑罚在实际运用中可以根据犯罪人的罪行严重程度科处长短不一的刑期,但是倘若刑罚执行完毕,犯罪人仍具有再犯危险性,依据现行制度,也只好将之放归社会。这就无法根据犯罪人的特殊性给以有针对性的惩罚,难以预防其再次犯罪。另一方面,本罪缺乏财产刑,难以从经济上对犯罪人予以惩罚⑨。对于具有牟利目的的犯罪人而言,正如本案被告,其通过犯罪所得到的经济利益在案发后不过被追缴而已。若不科处财产刑,其在经济上是不会再失去什么,出于侥幸和逐利心理,再犯罪可能性就很大。 三、对象型网络犯罪刑事政策建构 结合对象型网络犯罪案件特征和惩治对象型网络犯罪存在的问题,当前我国对象型网络犯罪的刑事政策选择应是在宽严相济刑事政策的基础上坚持适度从严的政策。 (一)从严打击刑事政策的必然性 从严打击刑事政策的选择主要是考虑到以下几点:第一,正如前文所述,当前我国对象型网络犯罪受案数正急剧上升,这实际上反映了对象型网络犯罪总体呈上升趋势。第二,当前对象型网络犯罪的惩治存在法网不严密、惩治力度不够等问题。前文提到有些对象型网络违法行为还无法为刑法所规制,部分条文不明确限制了刑法的规制能力,虽然司法急于扩张犯罪圈,但是部分司法解释存在越权的诟病;对象型网络犯罪案件被告人被判轻刑比例较高,存在“高”罪量被认定为“低”罪量等放纵犯罪人的情形。第三,决策者已然接受这一政策。2013年全国政法工作会议提出:“要严厉打击网络犯罪……绝不能让网络成为‘法外之地’。”[13] (二)从严打击刑事政策的实现途径 1.严密法网,加大惩处力度 (1)严密刑事法网 严密刑事法网可以通过增设或完善有关罪名以及简化对象型网络犯罪的入罪条件来实现。 1)增设或完善有关罪名 从1997年刑法规定非法侵入计算机信息系统罪和破坏计算机信息系统罪,到2009年《刑法修正案(七)》增设非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统的程序、工具罪,再到2015年《刑法修正案(九)》为对象型网络犯罪增设单位犯罪主体,可以看出对象型网络犯罪的罪名体系在逐步构建,犯罪圈呈现扩大趋势:其一,犯罪主体类型从自然人向单位主体延展;其二,在立法技术层面,将原本是预备行为的“侵入行为”单设刑法第285条第1款来予以规制,将原本是帮助行为的“提供行为”单设刑法第285条第3款来予以规制。尽管如此,对象型网络犯罪的刑事法网依然不严密,为有效打击对象型网络犯罪,还应当继续完善对象型网络犯罪的罪名体系,具体而言,应从如下方面着手: 第一,扩大刑法第285条第1款的保护范围。 虽然公安部曾建议增设的非法侵入计算机信息系统罪的犯罪对象需包含经济建设领域的计算机信息系统,而1997年刑法修订时对之却未予以采纳,但这并不能否定未来将重要经济建设领域的计算机信息系统纳入刑法保护的必要性与可能性。可以说某些经济建设领域的计算机信息系统在重要性上并不逊于三大领域的计算机信息系统。正如有学者所说:“中国工商银行总行密码数据库所在计算机信息系统的重要性就远高于属于国家事务的乡级政府的电子政务计算机信息系统。”[14]据此,从法益保护的角度看,有必要在未来将重要经济建设领域的计算机信息系统和具有重大价值或社会公共利益的计算机信息系统,比如社会保障领域的计算机信息系统,纳入非法侵入计算机信息系统罪的保护范围。 第二,扩大刑法第285条第3款的保护范围。 我国刑法第285条第3款仅规定了提供侵入、非法控制计算机信息系统的程序、工具罪。这从立法技术上讲属于“共犯正犯化”,即将原本是非法侵入、非法控制计算机信息系统行为的帮助行为通过立法予以“正犯化”。但刑法第285条第3款仅将非法侵入、非法控制计算机信息系统行为的帮助行为予以“正犯化”,却没有将非法获取计算机信息系统数据和破坏计算机信息系统行为的帮助行为予以“正犯化”,这显然是不合理的。虽然《危害计算机信息系统安全刑事案件解释》做了扩大解释试图予以补救,但是《危害计算机信息系统安全刑事案件解释》始终是解释,其无法超越立法并代行立法。因而,从严密刑事法网看,有必要增设提供非法获取计算机信息系统数据、破坏计算机信息系统的程序、工具罪。 2)简化对象型网络犯罪的入罪条件 有学者指出:“就技术层面而言,严密法网有两个途径选择:一是不断细化现有法律,通过司法解释将模糊不清的行为加以明确,减少法律的模糊性;二是降低入罪门槛,简化犯罪构成,将更多行为纳入刑法评价范围。”[15]就细化现有法律而言,《危害计算机信息系统安全刑事案件解释》细化了对象型网络犯罪的定罪量刑标准,明确了相关概念的具体范围和认定程序。对于网络金融服务的身份认证信息的数量标准予以从严规定。但除此以外,对象型网络犯罪仍存在犯罪对象不明确和入罪门槛较高等问题,对此应从如下方面简化对象型网络犯罪的入罪条件: 第一,明确国家事务领域的计算机信息系统的内涵。 我国刑法第285条第1款未对国家事务领域的计算机信息系统的内涵予以界定。《危害计算机信息系统安全刑事案件解释》第10条也未明确予以解释,而是规定这一概念在难以认定时的认定程序,但这并没有根本解决问题。前文提到的两则案例就对这一概念的理解出现了争论。笔者认为有必要明确国家事务领域的计算机信息系统的内涵,从而消除概念争议所带来的司法裁判的不统一问题。 第二,删去刑法第285条第2款中的“前款规定以外的”。 刑法第285条第2款中的“前款规定以外的”限制了刑法规制侵入三大领域的计算机信息系统并获取非国家秘密的数据的行为,限制了刑法规制非法控制三大领域计算机信息系统的行为。有学者提出用“表面的构成要件要素”虚化“前款规定以外的”这一语词从而将之排除在构成要件要素之外的解决方案,但这存在逻辑上的障碍。因而,从严密对象型网络犯罪的法网看,有必要将侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统获取数据的行为以及非法控制这三大领域计算机信息系统的行为纳入刑法第285条第2款之中,从而使得规制此类行为有法可依。考虑到三大领域计算机信息系统及其数据的特殊性,在立法上可以规定从重处罚非法获取三大领域计算机信息系统中的数据或非法控制三大领域计算机信息系统的犯罪行为。 第三,删去刑法第286条第3款中的“后果严重”。 对于刑法第286条第3款规定的“后果严重”,如前所述,《危害计算机信息系统安全刑事案件解释》已非仅从“结果”的角度对之予以细化,很明显,这一解释存在超越立法之嫌。但反过来想,如果想要真正弄清楚破坏性程序被传播后结果到底如何,作为司法人员就需要查明破坏性程序被传播后哪些计算机信息系统被感染?被感染后是否影响了计算机系统正常运行?有没有计算机信息系统配杀毒软件?该杀毒软件是否成功杀死了破坏性程序而使之未影响计算机信息系统正常运行?等等。但这种查证事实上是很困难的。换言之,“后果严重”实际上是增加了司法证明难度。考虑到司法证明问题,笔者认为可以删去刑法第286条第3款中的“后果严重”。具体在立法设计上可以从行为犯、情节犯或是危险犯的角度对该条款进行修改。 (2)有针对性地加大惩处力度 《刑法修正案(七)》在刑罚上为非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统的程序、工具罪设置了罚金刑。但仅此还不够,加大惩处力度还需要从以下方面进行调整: 第一,统一增设罚金刑,加大罚金刑的处罚力度。 虽然我国对象型网络犯罪已经对部分罪名配置了罚金刑,但是非法侵入计算机信息系统罪和破坏计算机信息系统罪仍未配置罚金刑。如前所述,绝大多数对象型网络犯罪的罪犯是以牟利为目的,在163例被判处破坏计算机信息系统罪的被告中有127例(77.9%)具有牟利目的;在11例被判处非法侵入计算机信息系统罪的被告中有10例(90.9%)具有牟利目的。考虑到罚金刑不仅是轻刑,而且配置罚金刑有助于从经济上剥夺犯罪人的再犯罪能力,因而有必要为非法侵入计算机信息系统罪、破坏计算机信息系统罪增设罚金刑。 第二,扩大从业禁止的适用范围。 《刑法修正案(九)》增设了禁止从事一定职业的新规定⑩。据此,倘若对象型网络犯罪的犯罪人是利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪,就可以对之进行从业禁止。但倘若对象型网络犯罪的犯罪人未利用职业便利实施犯罪,或者其实施犯罪并未违背职业要求的特定义务,那么对其便难以适用该条款,进而即使这类犯罪人在刑罚执行完毕后仍具有再犯危险性,依据现行刑法,也不能额外实行禁业而只能依法释放。为对后一种情况进行有力打击,笔者认为,未来立法应适时扩大从业禁止的适用范围,将后一种情况的犯罪人纳入进从业禁止的规制范围。 第三,扩展适用禁止令。 为了实现特殊预防的目的,我国刑法规定了禁止令。但禁止令的类型仅包括管制禁止令和缓刑禁止令。由于对象型网络犯罪的法定刑未规定管制,所以能够适用于对象型网络犯罪的禁止令就只有缓刑禁止令。我国刑法第72条第2款规定:“宣告缓刑可以根据犯罪情况,同时禁止犯罪分子在缓刑考验期限内从事特定活动,进入特定区域、场所,接触特定的人。”关于禁止令的适用范围,从《关于对判处管制、宣告缓刑的犯罪分子适用禁制令有关问题的规定(试行)》看,似乎禁止令是适用于现实世界的。有学者认为,应当扩大刑法意义上的“区域”和“场所”,将禁止令扩展适用于网络空间。但这种禁止令的执行有赖于建立健全的网络配套制度[16]。诚然,在网络配套制度还不完善的情况下将禁止令适用于网络空间效果不大。只有在未来建立网络实名制等健全的网络配套制度之后,将禁止令适用于网络空间才是合适的。 2.提高查处率,依法认定罪量 (1)提高对象型网络犯罪的查处率 如前所述,对象型网络犯罪案件受案情况总体呈上升趋势,换言之,对象型网络犯罪的查处率在不断提高。实际上,案件查处率会受到方方面面的因素影响,其中,对规范和事实的狭隘理解常会限制司法机关对相关犯罪进行查处。据此,提高查处率就需要司法机关对刑法条文中特定的关键词进行扩大解释,对特定的案件事实进行规范评价。 第一,在刑法未扩大非法侵入计算机信息系统罪的保护范围时,可以将部分事实侵入行为规范评价为刑法第285条第2款中的“控制”,从而将部分非法侵入非三大领域的计算机信息系统行为纳入刑法规制范围。有学者指出,虽然非法侵入计算机信息系统罪的保护对象不包括国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的计算机信息系统,但是这一缺陷通过新设立的非法控制计算机信息系统罪得到修补。“由于非法侵入计算机系统在技术上表现为非法取得计算机信息系统或者其中数据的全部或者部分控制权,广义上的非法控制行为包括非法侵入行为,因此,该罪可以适用于非法侵入前述三类计算机信息系统之外的其他计算机系统且情节严重的行为,从而部分弥补了非法侵入计算机信息系统罪保护范围狭窄的缺陷。”[7] 第二,扩大理解刑法第285条和第286条中的“计算机信息系统中存储、处理或者传输的数据”。从立法原意看,全国人大法工委对“计算机信息系统中存储、处理或者传输的数据”是这么理解的:“计算机信息系统中‘存储’的数据,是指在用户计算机信息系统的硬盘或其他存储介质中保存的信息,如用户计算机中存储的文件等。计算机信息系统中‘处理’的数据,是指他人计算机信息系统正在运算中的信息。计算机信息系统中‘传输’的数据,是指他人计算机信息系统各设备、设施之间,或者与其他计算机信息系统之间正在交换、输送中的信息,如敲击键盘、移动鼠标向主机发出操作指令,就会在键盘、鼠标与计算机主机之间产生数据的传输。‘存储’、‘处理’、‘传输’这三种形态,涵括了计算机信息系统中所有的数据形态。”[17]很明显,这里并未限制性地将“计算机信息系统中存储、处理或者传输的数据”理解为为信息系统的功能实现而存储、处理和传输的内部数据。而诸如网页浏览记录等数据可能存储在电脑的C盘中,根据上述解释,其完全符合“计算机信息系统中存储的数据”的定义,我们有什么理由将之排除在“计算机信息系统中存储的数据”之外呢? 《危害计算机信息系统安全刑事案件解释》第11条对“计算机信息系统”和“计算机系统”已经做了扩大解释和趋同解释,即具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。既然“计算机信息系统”的外延随着时代发展而有所扩展,那么“计算机信息系统中存储、处理或者传输的数据”就不应该再做僵化理解。诸如云端数据,其并不是凭空存在的,其必然附着于某个服务器。既然计算机信息系统包括网络设备,而服务器又属于网络设备,那么将云端数据理解为“计算机信息系统中存储、处理或者传输的数据”就并不困难。 所以,将系统运行过程中自行产生的痕迹、记录等数据和网页浏览痕迹、下载记录、关键词搜索等信息数据以及云端数据理解为“计算机信息系统中存储、处理或者传输的数据”不存在障碍。 (2)依法认定对象型网络犯罪的罪量 我国刑法对破坏计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统的程序、工具罪都明确规定了罪量要素:情节(特别)严重或后果(特别)严重。为明确起刑点和升刑点,《危害计算机信息系统安全刑事案件解释》已经细化了这些罪量要素。作为法官理当依据刑法并结合司法解释定罪量刑。 针对个别漏洞,即违法所得的认定和经济损失的认定在某种程度上存在交叉的问题,笔者认为,依据从严打击的刑事政策应从严把握。换言之,当出现物品价值在25000元至50000元之间时,应从违法所得的视角进行认定,即将行为人的犯罪行为认定为情节特别严重或后果特别严重。 (三)从严打击刑事政策的适度性 宽严相济是我国的基本刑事政策,在对对象型网络犯罪坚持从严打击刑事政策时,不应忽视“宽”的一面。具体而言: 第一,坚持刑事法网的适度性。在我国犯罪的成立需要综合考虑定性与定量两个因素,不符合定性或定量因素的违法犯罪行为都将被排除在刑法之外。换言之,定性和定量因素决定了刑事法网的大小。坚持刑事法网的适度性要求适时调整决定刑事法网大小的定性与定量因素。就对象型网络犯罪的定量因素而言,比如《危害计算机信息系统安全刑事案件解释》规定违法所得5000元就达到非法获取计算机信息系统数据罪的罪量。但这种过于明确的罪量在未来可能会因为通货膨胀、物价上涨等因素导致入罪门槛过低、刑事法网过于膨胀等问题。因而,针对这种情况未来应当审视国民经济物价水平,适时调整违法所得数额以保持刑事法网的适度性。 第二,坚持配刑的适度性。法定刑的配置有赖于犯罪的法益侵害程度:法益侵害程度高,配置的法定刑就高;反之,配置的法定刑就低。据此,不同罪名间的法定刑宜根据法益侵害程度而有所差别,同一罪名的法定刑也宜根据法益侵害程度而设置多档。就现有对象型网络犯罪的罪名而言,由于在相同条件下破坏计算机信息系统的法益侵害程度一般会高于侵入计算机信息系统、非法获取计算机信息系统数据或是非法控制计算机信息系统的法益侵害程度,所以对破坏计算机信息系统罪配置较高的法定刑是合适的。同时,为保证配刑的宽严适度,对象型网络犯罪的绝大多数罪名设置了多档法定刑。所以,未来对象型网络犯罪增设罪名时也应注意配刑的适度性。 第三,坚持量刑的适度性。坚持量刑的适度性要求对具有法定、酌定从宽量刑情节的犯罪人依法给予相应的从宽处理。对于法定从宽量刑情节,比如自首、立功、坦白,如果行为人具备了这些量刑情节就可以依法给予从宽处理。对于酌定从宽量刑情节,比如认罪态度较好、积极退赃,如果行为人具备了这些量刑情节,法官就可以酌情给予从宽处理。前文提到对象型网络犯罪主体初犯比率较大,据此,法官在具体量刑时可酌情考虑初犯因素以体现宽宥。 注释: ①对象型网络犯罪是指侵害计算机信息系统(包括数据和程序)安全的网络犯罪行为。在外延上包括刑法第285条和第286条所规定的罪名,即非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统的程序、工具罪和破坏计算机信息系统罪。 ②这383例罪名样本包括非法侵入计算机信息系统罪11例,非法获取计算机信息系统数据罪125例,非法控制计算机信息系统罪51例,非法获取计算机信息系统数据、非法控制计算机信息系统罪1例,提供侵入、非法控制计算机信息系统的程序、工具罪32例,破坏计算机信息系统罪163例。 ③需要说明的是,2015年之所以是2件是因为案件检索时间是从1997年10月1日至2015年2月6日。 ④需要说明的是,表3仅对382例刑期数据进行统计,被缺省的数据是非法获取计算机信息系统数据、非法控制计算机信息系统罪的数据。 ⑤之所以没有对非法侵入计算机信息系统罪的相关统计量进行分析,主要是因为该罪只有一档法定刑,而且法定最高刑为3年有期徒刑。 ⑥《危害计算机信息系统安全刑事案件解释》第10条规定,对于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”难以认定的,应当委托省级以上负责计算机信息系统安全保护管理工作部门检验。司法机关根据检验结论,并结合案件具体情况认定。 ⑦《危害计算机信息系统安全刑事案件解释》第2条规定:“具有下列情形之一的程序、工具,应当认定为刑法第285条第3款规定的‘专门用于侵入、非法控制计算机信息系统的程序、工具’:(一)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(二)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;(三)其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。” ⑧《危害计算机信息系统安全刑事案件解释》第6条第1款规定:“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,具有下列情形之一的,应当认定为刑法第286条第3款规定的‘后果严重’:(一)制作、提供、传输第5条第(一)项规定的程序,导致该程序通过网络、存储介质、文件等媒介传播的;(二)造成二十台以上计算机系统被植入第5条第(二)、(三)项规定的程序的;(三)提供计算机病毒等破坏性程序十人次以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;(五)造成其他严重后果的。” ⑨刑法第285条第1款非法侵入计算机信息系统罪也未规定财产刑。 ⑩刑法第37条之一规定:“因利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪被判处刑罚的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业,期限为三年至五年。”
标签:非法侵入计算机信息系统罪论文; 网络犯罪论文; 计算机安全论文; 刑法理论论文; 刑事犯罪论文; 网络行为论文; 非法侵入论文; 电脑论文;
面向对象网络犯罪的刑事政策对策_非法侵入计算机信息系统罪论文
下载Doc文档