文 / 谢君泽，作者博客:骆驼异种（http://infolaw.fyfz.cn/)

　　草际鸣蛩，惊落梧桐，正人间，天上愁浓。是年七夕，与往不同，云阶月地，病毒万重。19岁的大一学生，因为好奇，研制“神器”病毒。数百万用户被骗，数十万手机感染。在为无线天网安全的担忧之余，多少人又为无知少年扼腕叹息。那么，本案的作案学生究竟刑罚如何？当前的网络刑法规定是否合理科学？笔者在此斗胆评析。

　　网络刑法的实然

　　从现行刑法的实然层面来讲，由于这次手机病毒案件的作案人既有制作、传播手机病毒的行为，又有利用手机病毒窃取受害手机的短信或通讯录的行为，因此本案既可能适用刑法第286条第三款（故意制作、传播计算机病毒等破坏性程序），也可能适用第253条第四款（非法获取公民个人信息）。

　　如果本案适用刑法第286条第三款（故意制作、传播计算机病毒等破坏性程序），首先要讨论的是作案人是否存在主观上的故意。从目前媒体报道来看，作案人是基于炫耀技术的目的，而非牟利的目的。但是，作为一名具备一定专业知识的大一学生，应该能够认识到所制作的手机病毒可能造成传播的危害后果。因此在主观上虽然没有直接故意，但认定为间接故意是完全可能的。即，明知自己的行为可能发生危害后果但放任其发生。

　　其次是本案的手机病毒是否属于破坏性程序。根据两高发布的司法解释《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第五条规定，具有下列情形之一的程序，应当认定为刑法第二百八十六条第三款规定的“计算机病毒等破坏性程序”：(一)能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的;(二)能够在预先设定条件下自动触发，并破坏计算机系统功能、数据或者应用程序的;(三)其他专门设计用于破坏计算机系统功能、数据或者应用程序的程序。从法条的理解来看，本案的手机病毒虽然具有恶意性质，但如果说它是破坏计算机系统功能、数据或者应用程序的程序，似乎有些牵强。当然，这最终取决于司法者对于立法者所说的“破坏性”的理解。

　　如果司法者勉强认定该手机病毒是刑法所规定的“破坏性程序”。那么，本案手机病毒所造成的危害足以构成“后果严重”，甚至是“后果特别严重”。这在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第六条已有明确规定。

　　如果本案适用刑法第253条第四款（非法获取公民个人信息），虽说目前关于什么是公民个人信息法律上并无明确规定，但本案中短信、通信录认定为个人信息几乎是毫无疑问的。而，不管从手机病毒所获取的个人信息数量，还是从手机病毒给他人造成的财产损失数额，从客观上认定“情节严重”也几无悬念。至于，如何计算财产损失的金额、收集“情节严重”的证据，是程序法上的问题，不在此论。从目前警方实施刑事拘留的理由来看，司法机关倾向于适用刑法第253条第四款（非法获取公民个人信息）。

　　实际上，如果本案的手机病毒最后认定是刑法所规定的“破坏性程序”，那么刑法第286条第三款（故意制作、传播计算机病毒等破坏性程序）和第253条第四款（非法获取公民个人信息）存在刑法上的竞合问题。即，故意制作、传播计算机病毒等破坏性程序是本案的手段，非法获取公民个人信息是前述手段的结果。根据刑法理论，这种竞合一般采从一重处断原则。当然，由于本案手机存在“破坏性程序”司法认定风险，因此司法者很可能直接适用第253条第四款（非法获取公民个人信息）。

　　至于量刑，这里必须要讨论的是犯罪的主观罪过与客观危害如何衡平的问题。主客观相统一原则历来被认为是中国刑法的基础性原则。然而，这个基础性原则在网络犯罪适用时产生了巨大的困难。就本案而言，若论犯罪的主观方面，作案学生的主观恶性是较小的。然而，若论犯罪的客观方面，该案所产生的客观危害是十分严重的。那么，司法者在量刑时，如何主客观相统一呢？到底以主观方面为主，还是以客观方面为主，或者是采用“平均主义”？

　　就本案而言，鉴于这次事件的严重后果及恶劣影响，笔者大胆推测，司法者会采取“以客观后果为主定罪，以主观罪过为主量刑”的思路。即，不管作案学生是否主观上存在罪过或其大小，既然客观上已经造成严重后果，就以其客观后果定罪。至于定罪之后，可以以主观恶性较小为由从轻量刑。结合前述分析，本案最可能的结果是以非法获取公民个人信息罪定罪。由于该罪的法定刑罚是处三年以下有期徒刑或者拘役，并处或者单处罚金，因此从轻量刑的结果很可能是缓刑或一年以下的实刑。

　　网络刑法的应然

　　似乎这样的司法结果可以让大家接受！但是，笔者认为，这仍然存在刑法上客观归罪的嫌疑。这种嫌疑源于立法者对“网络效应”的不当认识。所谓“网络效应”，是指由于网络的传播技术特性而导致网络影响的“放大效应”和“不可控性”。这种“网络效应”往往是当事人主观上所不能预料而产生的客观效应。简言之，一个小错，在网络上就可能放大成难以控制又无法预料的大事故。

　　就刑法第286条第三款（故意制作、传播计算机病毒等破坏性程序）而言，现行刑法将其定性为“结果犯”，即以法律规定的“影响计算机系统正常运行，后果严重的”作为犯罪既遂标准。但，笔者认为，从应然层面讲，传播网络病毒与传统的“投放危险物质罪”相同，应当定性为“危险犯”，即以造成法定的某种危险状态作为犯罪既遂标准。至于因网络的“放大效应”和“不可控性”而造成传播影响和危害后果，则完全可以类似“投放危险物质致人重伤、死亡或者使公私财产遭受重大损失”，作为“结果加重犯”进行规定。同理，制作网络病毒是否可以定性为以网络病毒制作完成为犯罪既遂标准的“行为犯”，也是可以讨论的。

　　如此，网络传播病毒的定案逻辑转变为：首先不考虑网络传播的影响，先以是否存在网络传毒行为并造成危险状态进行定罪。随后，再考虑以网络传播的所造成的影响认定为“结果加重”。当然，如果不符合“结果加重”的法定标准，也可以考虑仅作为定罪后的量刑依据。显然，这里涉及到网络制、传病毒犯罪的归类问题。笔者认为，网络制、传病毒犯罪侵犯的客体应是网络社会的公共安全，即不特定的多数人的重大公私财产等，其损失的范围和程度也是往往难以预料的。因此，它应当归类为危害公共安全犯罪，而非现行刑法所规定的妨害社会管理秩序犯罪。

　　“网络效应”的法律认识是网络刑事立法关键

　　笔者以为，如何看待“网络效应”，是合理科学制定网络刑法规则必须要面对的关键问题。这也正是网络犯罪区别于传统犯罪的特殊之处。具有“网络效应”的网络犯罪，究竟是定性为结果犯，或是结果加重犯，亦或仅是量刑依据？

　　实际上，包括通过网络非法获取公民个人信息、通过网络传谣等其他网络犯罪，也都存在如何看待“网络效应”的问题。很多所谓的“谣言”在开始时只是小范围的“戏谑之言”，但经过网络的疯狂传播就可能变成入刑的“谣言”。也许，网络造谣“500转”定罪规则一直争论不休，正是根源于此。

　　最后，“网络效应”所带来的刑事司法困难，其实不仅在于主客观相统一的认定，还有犯罪停止形态的认定、共同犯罪的认定，等等。诸多问题，不在此论。

　　作者简介

　　谢君泽，男，出生于1983年，本科毕业于通信工程专业，硕士毕业于法律硕士专业，具有信息技术与法律专业的交叉背景。现为中国人民大学物证技术鉴定中心副主任、国家司法鉴定人，中国人民大学法学院证据学研究所研究人员，中国电子学会计算机取证专家委员会专委，长期致力于计算机网络取证、电子证据司法鉴定、职务犯罪信息化侦查、网络安全法等信息与法的交叉研究，多次参加最高人民检察院、中华全国律协等部门电子证据规则的起草与论证。

　　欢迎大家加入科技杂谈菁英汇，交流思想、分享信息。仅限行业商端人士参与。参与方式：点击左下方“阅读原文”填写您的加入信息，科技杂谈通过审核后，会添加入群。

本文仅代表作者观点，科技杂谈授权刊登。

转载必须注明作者与科技杂谈，侵权必究。

科技杂谈文章，均同步发布于犀牛财经网。

已入驻搜狐新闻客户端，网易阅读客户端。