|
【201401080】提供侵入、非法控制计算机信息系统程序、工具罪探析——《网络犯罪公约》与我国立法之比较
文/解甦甦王孔祥
网络全球化已成为这个时代的主题,然而科技是一把双刃剑,人们在充分享受网络带来的便利的同时,也不得不面对网络犯罪的苦果。欧洲委员会于2001年11月通过的《网络犯罪公约》(以下简称《公约》)是国际上第一个打击网络犯罪的公约,具有重要的参考价值。我国1979年刑法和后来通过的单行刑法都没有规定网络犯罪的罪名。1997年刑法在第六章“妨害社会管理秩序罪”的第一节“扰乱公共秩序罪”增加了关于网络犯罪的三个法条。2009年通过的刑法修正案(七)在第二百八十五条分别增加了非法获取计算机系统数据、非法控制计算机信息系统罪作为第二款,提供侵入、非法控制计算机信息系统程序、工具罪作为第三款。2011年9月生效的最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)对新设置的网络犯罪的司法适用问题进行了解释。面对日益严峻的网络犯罪形势,从源头进行控制已成为我国亟待解决的问题。
一、提供侵入、非法控制计算机信息系统程序、工具罪的立法分析
《公约》第6条规定了滥用计算机设备罪,用于惩治未经授权故意生产、销售、采购、持有用于实施网络犯罪的计算机设备或计算机数据的行为。我国刑法原来没有相关的法条,行为人为自己或者他人实施网络犯罪而生产、销售、采购以上物品的,要么不构成犯罪,要么只能以相关犯罪的预备犯或者帮助犯处罚。2009年刑法修正案(七)新增的第二百八十五条第三款提供侵入、非法控制计算机信息系统程序、工具罪,填补了这一法律上的空白。刑法第二百八十五条第三款规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重,依照前款的规定处罚。”本罪的构成要件为:
其一,本罪侵犯的客体是计算机信息系统的安全。但不是直接侵犯,而是通过提供以下两类程序、工具,间接侵犯计算机系统和数据的安全:第一类是专门用于侵入、非法控制计算机信息系统的程序、工具。从其功能上看,这类程序、工具不具备合法用途,被称为有害性信息安全设备。{1}2011年最高法院和最高检察院联合发布的《解释》第2条,对于具有下列情形之一的程序、工具,应当认定为刑法第二百八十五条第三款规定的“专门用于侵入、非法控制计算机信息系统的程序、工具”:(1)具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;(2)具有避开或者突破计算机信息系统安全保护措施、未经授权或者超越授权对计算机信息系统实施控制的功能的;(3)其他专门设计的用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。第二类计算机程序、工具有其他正当的用途,不是专门用于侵入、非法控制计算机信息系统,但其功能可以被用于前述违法犯罪,行为人明知使用者的目的,仍然为其提供该类程序、工具的,被称为双用途信息安全设备。
其二,本罪的客观方面表现为提供前述犯罪的程序、工具,情节严重的行为。“提供”是我们日常生活的普通用语,但这里作为刑法学意义上的“提供”,是从广义角度还是狭义角度来理解,应做出进一步的解释。本罪是情节犯,构成本罪还需满足情节严重的构成条件,行为人提供的数量、造成的危害结果等成为评价是否构成情节严重的因素。
其三,本罪的主体是一般主体,单位不构成本罪。但《解释》第8条规定:“以单位名义或者单位形式实施危害计算机信息系统安全犯罪,达到本解释规定的定罪量刑标准的,应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。”
其四,本罪的主观方面表现为故意,行为人是否以营利为目的提供程序、工具不影响犯罪的成立,过失导致以上程序、工具被他人获得的,不构成本罪。
二、与《公约》中滥用计算机设备罪的比较分析
欧洲委员会的《公约》具有划时代的重大意义,对世界各国的网络犯罪立法都产生了重要的影响,很多国家即便是未批准该公约也多少借鉴了其内容。在《公约》刑事实体法部分第一类侵犯计算机数据和系统保密性、完整性和可用性的网络犯罪中,第6条规定了滥用计算机设备罪,把为实施非法侵入、非法拦截、数据干扰、系统干扰等4种犯罪而故意实施的与特定计算机设备相关的行为规定为独立的犯罪。构成该罪应具备以下条件:{2}
第一,具有相关的特殊物品。一是指计算机设备。这里的计算机设备主要限于为实施上述4种犯罪而设计或改制的设备,从而排除那些既可用于合法用途、又可用于犯罪的所谓双用途的计算机设备。在司法实践中,对计算机设备的这种限制过于狭窄,可能导致刑事审判中的认定困难,使本条适用的情况比较少。而我国刑法中的提供侵入、非法控制计算机信息系统程序、工具罪,犯罪对象既包括专门用于侵入、非法控制计算机系统的程序、工具,又包括有其他合法用途但也可用于侵入、非法控制计算机系统的程序、工具,这一点是值得肯定的。二是指进入计算机系统的计算机密码、访问代码等计算机数据。我国的提供侵入、非法控制计算机信息系统程序、工具罪将范围限定在计算机程序、工具以内,并不包括密码、代码等计算机数据,难免有让犯罪分子打擦边球之嫌。
第二,有特定的网络犯罪行为。一类是生产、销售、采购上述物品的行为。《公约》的解释报告认为,这类行为包括制作或改写超文本链接,使他人可以进入上述特殊计算机设备的行为。{3}当行为人建立以上链接时,尽管其他相关犯罪的行为人没有占有该计算机设备,却能够使用,实际上为他人实施犯罪提供了便利。另一类是持有以上物品的行为。《公约》允许缔约国在本国法律中规定,行为人持有一定数量才承担刑事责任,缔约国可以自行规定持有以上物品的最低数量。而我国的提供侵入、非法控制计算机信息系统程序、工具罪将客观行为表述为“提供”,顾名思义,不管是从广义角度还是狭义角度上理解,一定是向他人供给,而不包括仅仅持有。与《公约》相比,我国在此有所限制。
第三,必须是非授权。将以上行为限于非授权实施,是为了避免把因合法目的生产或销售上述物品的行为当作犯罪处理,以免违背立法的初衷,“非授权”应是题中之义。这里与我国的立法规定是一致的。
第四,行为人主观上必须是直接故意,其犯罪目的是使以上物品被用于前述4种犯罪中的任何一种。如果行为人没有这样的主观故意,而是用于检测和保护计算机系统,不能构成本罪。而我国的提供侵入、非法控制计算机信息系统程序、工具罪并没有严格限定为直接故意犯罪,本罪中没有犯罪目的和犯罪动机的法定表述,此处的故意犯罪应包括间接故意的情形。
由于各国情况不一样,《公约》允许缔约国对以上规定予以保留,但各缔约国至少应该把销售、分发或者使他人得到上述计算机密码、访问代码或者其他相似的计算机数据的行为规定为犯罪。
三、完善我国提供侵入、非法控制计算机信息系统程序、工具罪的建议
我国刑法修正案(七)新增提供用于侵入、非法控制计算机信息系统的程序、工具罪在立法上是一大进步,但与《公约》规定的滥用计算机设备罪相比,仍存在一些不足之处。《公约》是各缔约国网络犯罪立法的最低标准,应该成为我国网络犯罪刑事立法的发展方向。笔者建议,应从以下几个方面进行完善:
(一)限制条件相应放宽
本罪的客观行为是实施非法侵入和非法控制计算机信息系统犯罪的重要条件,将其入罪是必要的,但将其限定在为侵入、非法控制计算机信息系统两种犯罪提供程序、工具的范围内,其合理性却值得怀疑。实际上,本罪的客观行为也是非法获取计算机信息系统数据、破坏计算机信息系统犯罪的重要条件,为这两种犯罪提供程序、工具且情节严重的,同样有入罪的必要。从司法实践来看,现实生活中存在为非法干扰计算机信息系统、非法获取计算机信息系统数据提供程序、工具的危害行为,没有理由将这些行为区别对待而不入罪。另外,本罪将行为对象限定为程序、工具,也值得我们思考。密码等安全代码不属于程序、工具,但实际上,它们与程序、工具的作用相似,在实践中特别是网络游戏行业大量存在着非法出售、提供他人账户密码的不法活动,若不受规制,显然不合理。{4}因此,我国应借鉴《公约》第6条的规定,为计算机系统和网络安全提供全面的刑法保护。
(二)在本法条中明文规定单位犯罪
《公约》第12条明确规定了网络犯罪的法人责任。我国《解释》第8条明确了对以单位名义或者单位形式实施危害计算机信息系统安全犯罪的行为,应当追究直接负责的主管人员和其他直接责任人员的刑事责任。刑法第二百八十五条和第二百八十六条规定的危害计算机信息系统安全犯罪在主体设置上是自然人犯罪,但在司法实践中,不少危害计算机信息系统安全犯罪是以单位名义或者单位形式组织实施的。司法机关在具体案件办理过程中,对此种情形应如何追究刑事责任往往产生分歧,导致此类案件难以处理。单位犯罪,只有在法律有明文规定时才可以构成犯罪。虽然“两高”出台了司法解释对此作出规定,但我国刑法第二百八十五条和第二百八十六条只规定了自然人犯罪,考虑到以单位名义或者单位形式实施的危害计算机信息系统安全犯罪的社会危害性非常大,有必要完善相应的法律条款,以做到立法和司法相统一。
(三)情节严重标准有待进一步细化
《解释》的公布使得提供用于侵入、非法控制计算机信息系统程序、工具罪的司法适用有了一些可供参照的裁判标准。《解释》第3条规定,提供侵入、非法控制计算机信息系统的程序、工具,具有下列情形之一的,应当认定为刑法第二百八十五条第三款规定的情节严重:(1)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的专门性程序、工具五人次以上的;(2)提供第(1)项以外的专门用于侵入、非法控制计算机信息系统的程序、工具二十人次以上的;(3)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息的违法犯罪行为而为其提供程序、工具五人次以上的;(4)明知他人实施第(3)项以外的侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具二十人次以上的;(5)违法所得五千元以上或者造成经济损失一万元以上的;(6)其他情节严重的情形。这里是从提供次数、违法所得、经济损失等方面对于情节严重进行了认定,但这应该是一个综合性的标准,不应局限于这几种情形。面对纷繁复杂的司法实践,《解释》对于该罪的情节认定标准还要进一步细化。鉴于我国刑法中的很多罪名都规定了“情节严重”这一构成要件,司法实践中法官的自由裁量权很大,因此,对情节犯进行整体性研究,就能够在一定程度上改善我国司法实践中情节认定难的困境。
(四)专业术语有待进一步界定
《解释》第5条和第11条分别对“计算机病毒等破坏性程序”、“计算机信息系统”、“计算机系统”等专业术语的内涵和外延做了明确规定。第11条将“计算机信息系统”和“计算机系统”统一界定为“具备自动处理数据功能的系统”,并列举了“计算机”、“网络设备”、“通信设备”、“自动化控制设备”等具体情形。对专业术语的准确界定是非常必要的,提供侵入、非法控制计算机信息系统程序、工具罪就涉及计算机信息系统。在此基础上,有必要对相关术语做进一步界定,比如“提供”、“侵入”、“控制”这些日常用语,在刑法学意义上如何界定,以及“控制”与第二百八十六条破坏计算机信息系统罪中“干扰”一词的区别联系等等,都应做出细化的界定。只有法律的文字表述严谨,才不会让犯罪分子钻法律的漏洞,才能真正体现法律的公正严明。
【注释】
{1}皮勇:“论我国刑法修正案(七)中的网络犯罪立法”,载《山东警察学院学报》2009年第2期。
{2}SeeConventiononCybercrimeofEuropeof23.11.2001(ETSNo.185),ExplanatoryReport,No.71-78.
{3}SeeConventiononCybercrimeofEuropeof23.11.2001(ETSNo.185),ExplanatoryReport,No.72.
{4}皮勇:“我国新网络犯罪立法若干问题”,载《中国刑事法杂志》2012年第12期。
(作者单位:东南大学国际关系学院)
|