刑法关于网络犯罪的规范主要集中在刑法第285、286、287三条规定上。其实,从第287条的表述来看,它是将网络作为一种犯罪工具,并不是作为一种新的犯罪类型来看待的。因此,本文仅就刑法第285、286条的规定所存在的缺陷进行分析,以为未来的立法完善提供参考。在笔者看来,既有刑法有关网络犯罪的规定存在以下缺陷:

首先,按照现行刑法,除了非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统之外,其他非法侵入行为基本上都会游离于刑法规制之外。

在现行刑法上,对非法制作、传播和利用具有危害性或危险性程序的行为规定主要是刑法第285、286条。其中,第285条看来,其对非法侵入行为进行了区分:对于非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役(第一款)。而对于其他的非法侵入行为,如果要适用刑法,则仅仅侵入行为本身似乎并不能构成犯罪,还同时必须具备另外两个要件:一是要证明侵入者获取了该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施了非法控制,二是还必须符合“情节严重”这一要件。显然,如果从举证责任的分配来看,证明侵入者获取了该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施了非法控制的举证责任应该由公诉机关举证。从技术上讲,公诉机关要实现这一举证责任,基本上是不可能的,尤其是要证明侵入者获取了该计算机信息系统中存储、处理或者传输的数据,更是难上加难[1]。再者,关于“情节严重”这一要件,由于要想证明侵入者获取了该计算机信息系统中存储、处理或者传输的数据本身就存在巨大困难,因此,再要求“情节严重”作为作为追究刑事责任的第二个要件更加使该条立法目的落空。有鉴于此,在实际中,除了非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统之外其他非法侵入行为基本上都会游离于刑法规制之外。

其次,按照既有的法律规定,各种利用具有危害性或危险性程序非法侵入他人计算机信息系统的行为实际上很难得到追究。

从刑法第285条第三款 “提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具情节严重的”的规定来看,绝大多数非法制作、传播具有危害性或危险性程序或代码的行为都无法作为犯罪来追究。这是由该款所设定的“专门用于”、“明知”两个限制性条件所决定的。显然,就既有的危险程序,比如木马程序,来说,它们本质上是一种工具,既可以被用于好的目的,也可以被用于不法目的。换言之,由于基本上很少能够找到一种专门用于侵入、非法控制计算机信息系统的程序、工具,因此,该款的规定基本上不能付诸实施。尤其是针对目前广泛存在的利用木马程序非法侵入行为,由于很难证明木马只是专门用来实施侵入、非法控制计算机信息系统的程序、工具,因此,这类行为往往也就很难被追究。就该款所规定的“明知”要件来讲,由于既有的危险程序既可以被用于好的目的,也可以被用于不法目的。因此,要想证明现实生活中某一主体制作、传播危险程序或代码的行为是“明知” (他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具)而适用该款规定的话,也很难成功。尤其是在面临当今非常普遍的黑色产业链,如果要想证明诸如传授制作危害程序或危险程序方法、制作危害程序或危险程序等“上游产业”行为,对于利用危害程序或危险程序实施非法侵入或控制等“下游产业”的犯罪行为属于“明知”而追究其刑事责任则会存在很大困难[2]

再次,既有的立法对于绝大部分制作、传播和买卖具有危害性或危险性程序的行为无法适用。

按照刑法第286条之规定,那些制作、传播具有危害性或危险性程序的行为绝大部分得不到适用。这是因为该条仅仅针对的是制作、传播和利用具有破坏性程序的行为,而对于制作、传播和利用像木马等远程控制程序的非法行为基本上无法得到规制。这是因为,利用木马等远程控制程序本身不具有破坏性,使用者使用该程序也可以利用该程序不对计算机系统功能进行删除、修改、增加、干扰,也可以不对影响计算机信息系统的正常运行,也可以不对对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作。这样,该条规定对于既利用远程控制程序非法侵入他人计算机系统的行为无法规制,更对那些处于黑色产业链最上游的行为无法规制,如公开传授如何制作、使用各种具有危害性或危险性程序方法的各种行为毫无意义。而这些行为正是危害网络公共安全行为工具之来源地。显然,刑法286条所谓的“计算机病毒等破坏性程序”是以上个世纪90年代技术背景为规制对象,无法适应木马等远程控制程序非法侵入行为盛行的今天。即使按照刑法第285条规定,那些处于黑色产业链上游的专门传授如何制作、如何使用远程控制程序、专门从事买卖远程控制程序的行为等也不属于刑法上的犯罪行为。同样是因为这些远程控制程序在价值上时中立的,既可以用来做好事,如远程办公,也可以用来做坏事,如非法侵入他人计算机系统并实施非法控制行为。即这种远程控制程序不是专门从来做坏事的工具

最后,即使对于像那些刑法第286条第一、二款所规定的行为来说,其法律规定的立法目的也基本上无法实现。

按照第286条第一、二款的规定,对计算机信息系统功能或系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的追究刑事责任。问题是要追究对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的行为,负举证责任的应该是公诉机关而不是行为人---被告。从法理上讲,要追究嫌疑人或被告人的刑事责任,公诉机关不仅要举证证明某种系统功能、数据或程序的存在,而且还应该同时证明这些系统功能、数据或程序是由嫌疑人或被告的远程控制程序所删除、修改或增加。从技术上讲,公诉机关举证成功,往往面临巨大的技术障碍,基本上是不可能的。这样,该两条款的立法目的就无法实现,利用远程控制程序非法侵入到他人计算机系统并删除、修改或增加系统存储的系统功能、数据和应用程序的行为也就基本上逍遥法外了。

另外,值得一提的是,由于现行刑法所保护的对象仅限于“计算机信息系统”,而不及于手机内存、移动硬盘、电子邮箱等其他信息存储空间,因此,对于那些利用危险程序非法侵入手机内存、移动硬盘、电子邮箱等其他信息存储空间的行为,既有的法律无法有效适用。显然,随着计算机网络、广播电视网络和包括移动通信网络在内的电信网络等三网融合,未来的互联网已经不再仅仅是有计算机所组成的互联网了,而应该同时包括电信网、广播电视网、计算机网络。为了法律的适用,未来立法应该采取技术中立的态度,只有这样,才能更好地维护网络空间的公共安全。

2.立法缺陷的原因分析

1)对于公共安全的认识存在片面性,对危险程序的危险性缺乏足够的认识。

实际上,目前,制作、传播、使用具有危害性或危险性程序的非法行为之所以非常普遍,并已经成为一个非常成熟的黑色产业,首先是人们对公共安全的认识存在偏差及具有危害性或危险性程序的实际危害性和危险性认识不足所致。如前所述,完整意义上的公共安全应该包括现实空间里的公共安全和网络空间里的公共安全。实际上,在网络和信息时代的今天,网络空间的安全不仅攸关信息安全和财产权益的安全,也攸关人格利益的安全[3];如果站在国家战略的角度上讲,其重要性要远远大于现实空间的公共安全。事实上,从行为工具功能及其危害上看,某些具有危害性或危险性的程序或代码与传统的易燃易爆物品、枪支弹药等在本质上是一样的,即虽然它们都是一种工具,但都具有很大的危险性,一旦被随意制作、传播、利用,将对不特定的人身或财产利益安全带来很大的危害危险[4],其对网络空间的公共安全所构成的危害性或危险性绝对不比传统的易燃易爆物品、枪支弹药等对现实空间的危害性小。从实践上看,利用有害或危害性程序或代码实施攻击的行为大致上可以分为两类:一类是只针对特定少数的主体所实施的目标很明确的攻击行为。另一类是针对不特定多数主体所实施的非法攻击行为。对于后者来说,目前,根据攻击者所使用的工具,有的使用诸如蠕虫等具有自我复制、自动传播且具有破坏性的病毒程序或代码,由于这些程序或代码本身可以自行在网络上寻找存在有技术或安全漏洞或缺陷的网站、网页或计算机等作为其攻击目标并主动发起攻击[5];有的利用在存在安全漏洞或缺陷的网站或网页或通过模仿某一网站并在该网站上放置具有危害危险性程序或代码等方式诱骗用户访问,这样,被诱骗访问的用户很可能会遭受潜伏在(他人有安全漏洞的网站或网页,或攻击者模仿他人网站或网页)网站或网页上的危害危险程序或代码的攻击[6]。也有的会利用群发电子邮件或诸如MSN、QQ等及时聊天工具将带有危害危险程序的链接地址发给不特定的用户以诱骗点击浏览或通过与某些软件或程序打包工用点击下载,这样,一旦用户点击浏览这些链接地址或下载某些软件或程序,其电脑或手机等网络终端设备很可能会感染病遭受危害危险程序或代码的攻击。因此,对于后一类攻击行为,由于其所实施的攻击对象是不特定多数主体,因此,该攻击行为符合刑法上危害公共安全罪的特征。对于第一类,虽然攻击者本身在主观上只想针对特定少数主体实施攻击行为,但是,如果攻击者使用的是某些具有自我传播、自我复制的破坏性程序或代码,那么,其攻击行为仍然可以构成刑法上的危害公共安全罪。这是因为,由于这些作为攻击手段的程序或代码本身具有自我复制、自动传播等特征,因此,一旦其脱离了攻击者的控制进入特定攻击对象的电脑、手机或服务器等网络终端设备后,攻击者就很难再控制其后续传播、扩散和破坏行为了。因此,对于以此类程序或代码作为攻击工具行为,虽然攻击者主观上时针对特定少数主体的攻击行为,但是,在客观上仍然会对互联网络上不特定主体发动攻击,使得不特定主体的合法权益因此而遭受损害。因此,该类攻击行为仍然属于危害公共安全行为。当然,如果攻击者所使用的攻击工具本身不具有自我复制、自动传播特定,如使用的是所谓的木马程序,那么,该程序或代码的后续传播就具有可控制性,其危害结果和范围也就相对具有特定性,因此,对于以此类工具针对特定少数主体所实施的攻击行为可能不会构成刑法上的危害公共安全行为

行为性质上看,由于各种具有危害性或危险性的程序或代码与传统的易燃易爆物品、枪支弹药等都具有很大的危险性,因此,公开传授制作方法、制作、传播、使用各种具有危害性或危险性程序或代码的行为与现在空间中非法制造、买卖、运输、邮寄、储存枪支、弹药、爆炸物的行为在本质上并无区别。既然在现行刑法第一百二十五条把非法制造、买卖、运输、邮寄、储存枪支、弹药、爆炸物的行为视为危害公共安全的行为,那么,却又为何不把非法公开传授制作、制作、传播、使用各种具有危害性或危险性程序或代码的行为也视为危害公共安全的行为,而却把它视为妨害社会管理秩序行为来规制?可见,把非法公开传授制作方法、制作、传播、使用各种具有危害性或危险性程序或代码的行为视为扰乱社会秩序而非危害(网络)公共安全的行为的做法在观念上存在偏差,没有认识到公共安全包括现实空间的公共安全和网络空间的公共安全,没有认识到这些行为的潜在危险性和现实危害性。

2.)技术特定化的立法无法适应新技术下的社会现实

所谓的技术特定化,是指立法在对某些法律范畴的界定时没有抽象出其法律性质,而是将某种技术条件或背景作为该范畴内涵要素的做法。技术特定化现象在既有立法上突出体现在对具有危害性或危险性程序的规定和对非法侵入对象的规定这两个方面。首先,既有立法危害网络安全的工具方面采取了技术特定化的做法,即仅仅把它局限于具有破坏功能的“计算机程序”。这样的立法当然就不能适应木马等本身不具有破坏功能的远程控制程序。而这种具有远程控制功能的程序对网络安全的危害性要远远大于传统的具有破坏功能的计算机病毒等程序。其次,既有立法在对非法侵入的对象上也采取了技术特定化的做法。按照现行有关法律,法律仅仅禁对计算机信息系统非法侵入,而对其他诸如手机内存、移动硬盘、广电系统等的非法侵入缺乏应有的法律规范。随着电信网、广电网和传统计算机网络等融合,移动网络、广电网络和计算机网络都属于互联网的子系统。显然,要维护包括这些子系统在内的整个互联网络的安全不收侵害,目前的立法是不能胜任的。

可见,既有的立法非法侵入工具---危害危险程序或代码的法律属性及非法侵入对象的认识上存在技术上的特定性和局限性,其所反映的技术背景只能适应上个世纪90年代,无法适应21世纪网络时代的社会现实。

侵删