网络犯罪的定量评价机制

导读

网络安全犯罪日益受到刑法重视，出现了“预备行为实行化”的趋势。在信息领域公共安全犯罪中，网络攻击行为入罪改造后，需要新的定量评价机制。网络技术帮助行为需要进行“正犯化”处理，帮助使用盗窃、传播黑客技术与公布、售卖安全漏洞的行为类型化都应当有独立的定量标准。

原标题《网络犯罪的定量评价机制》，载《法律和社会科学》第15卷第1辑。作者郭旨龙，时为英国格拉斯哥大学博士研究生，中国政法大学网络法研究中心研究人员。文章推送时有删减。

网络再造了一个与传统物理空间并行、互动的新型社会空间，同时成为犯罪空间。网络作为犯罪空间，如果从与网络作为犯罪对象、犯罪工具相区别的角度看，可能只限于网络空间中的秩序类、传播类犯罪，例如，传播各种虚假、有害信息；但是，从网络安全问题整体发展进程来看，“空间安全”是指网络在各个层面融入和渗透进入了各行各业，成为与传统空间并列和互动的“第二空间”，其中的各个元素、各种关系都面临着安全问题。其一，网络秩序犯罪包括传统秩序犯罪的网络异化，就是上述“网络空间中的秩序类、传播类犯罪”。其二，网络安全随着网络及其中的系统、数据、应用程序等“要素”由“犯罪对象”“犯罪工具”向“犯罪空间演变，其内涵不断丰富和升级，在当代与国家安全、公共安全等整体安全交织在一起，成为新生的综合性安全概念。所以，网络安全犯罪是指危害国家安全罪、危害公共安全罪、危害国防利益罪与网络的融合，既有利用网络进行这些危害活动的情形，又有针对网络运行本身这一公共安全乃至国家安全进行侵害的情形。

对于网络安全和网络秩序犯罪，其定性固然重要，但其定量评价规则亦不可忽视，需要进行全新而又系统的探索，在总结司法经验的基础上进行体系化的构建。‍‍‍‍‍‍‍‍‍‍‍‍‍‍

一、网络安全犯罪的行为犯标准

传统犯罪在网络空间中发生了种种异化，尤其是安全犯罪，原则上仍然适用“一次行为”的标准，而不因为案件的多发、罪行的易得逞而增加更多的罪量要求。换言之，传统犯罪中的行为犯在信息时代以网络为犯罪工具、犯罪平台的，也适用“一次行为”的定量标准，对行为犯进行立案追诉的罪量要求只有实施一次行为。

1.网络安全犯罪“一次行为”标准的实践

2001年最高人民法院《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》6条规定，通过互联网将国家秘密或者情报非法发送给境外的机构、组织、个人的，以为境外非法提供国家秘密、情报罪定处。本规定也是针对网络时代新的作案手法，即以网络为犯罪工具的犯罪样态规定了立案标准。该犯罪手段对国家安全的法益造成的侵害与用其他手段造成的侵害是同等的，所以适用同样的立案标准，并没有更多或者更少层次的要求。

1998年最高人民法院《关于审理非法出版物刑事案件具体应用法律若干问题的解释》1条规定：“明知出版物中载有煽动分裂国家、破坏国家统一或者煽动颠覆国家政权、推翻社会主义制度的内容，而予以出版、印刷、复制、发行、传播的，依照刑法第一百零三条第二款或者第一百零五条第二款的规定，以煽动分裂国家罪或者煽动颠覆国家政权罪定罪处罚。”这些犯罪在网络空间中实施的，也应当是一次行为即可，不需要更多的罪量要求。最高人民法院、最高人民检察院2003年《关于办理妨害预防、控制突发传染病疫情等灾害的刑事案件具体应用法律若干问题的解释》10条第2款规定：“利用突发传染病疫情等灾害，制造、传播瑶言，煽动分裂国家、破坏国家统一，或者煽动颠覆国家政权、推翻社会主义制度的，依照刑法第一百零三条第二款、第一百零五条第二款的规定，以煽动分裂国家罪或者煽动颠覆国家政权罪定罪处罚。”

由此可见，在网络上制造、传播危害国家安全言论的行为是极易被立案追诉的，因为网络空间中的煽动对象是不特定多数人，并且由于网络的可复制性、超时空性和无线延展性，这些言论行为的危害性是不特定的，造成的危害也是不可限量的，只有及早严厉打击才能及时预防和制止。这也是对极其重大的法益的保护贯彻打小、打早的刑事政策的体现。

2.网络安全犯罪“一次行为”标准的实质

发生了网络异化的传统犯罪也有预备行为法定化后的罪量问题。如正犯化的组织领导行为就会面临网络时代变异后的罪量问题。首先要明确的是这里的预备性的组织是指鼓动、召集若干人建立或组织为从事某一特定活动的比较稳定的组织或集团。领导是指在某一组织或集团中起指挥、决定作用。积极参加是指对参与恐怖活动态度积极，并起主要作用。这不同于共同犯罪中的组织犯。共同犯罪中的组织犯是指组织进行犯罪活动的分子。换言之，前者的组织行为是将一个组织体进行从无到有的建设，而后者的组织行为是在组织体形成后具体组织犯罪活动。

在公共安全犯罪中，随着恐怖主义网络化，网络恐怖主义泛起：“在生活与信息已经形成互动网络的时代，信息已经成为一种重要的斗争工具：通过信息传播影响民众，使敌对国家民众想自己之所想，急自己之所急，从而从根本上、在思想深处解决问题。为了达到这个目的，利用信息化武器系统就比传统系统更为有效，而网络则是最为便捷的一种信息传播媒介。政客可以通过互联网络散布阴谋，攻击政治对手；恐怖主义分子则可以通过网络进行宣传，不仅仅是恐吓民众，而且也可以宣传自己的主张和信仰，躲避国家的信息封锁。所以，现在很多国家都把网络空间的争夺和控制视为一个重大的安全问题。”但是，这里概括的网络恐怖宣传行为类型并不全面，例如，恐怖组织利用网络聚集人员、财物、信息，网络恐怖攻击，虚假认领“恐怖活动”，都面临着法律评价困境，而且网络恐怖活动犯罪往往呈现出一种刑法难以评价的“预备行为”。2011年10月全国人大常委会通过了《关于加强反恐怖工作有关问题的决定》，规定了恐怖活动及其组织、人员的定义，《反恐怖主义法(草案)》将被通过，该“决定”将被废止，相关规定相应更新。但限于该法律的技术性质，实体规定仍然不全面，难以进行罪刑评价。

应当认为在网络空间鼓动、召集若干人建立或组织为从事恐怖活动的比较稳定的组织或集团的、在该活动中起指挥、决定作用的，应当认定为组织、领导恐怖活动罪；在该网络空间对参与恐怖活动态度积极，并起主要作用的应当认定为积极参加。换言之，恐怖主义组织和活动在网络时代有了新的平台，因为其在本质上属于举动犯，一经实施就构成犯罪，应当立案追究，行为人在网络上建立或组织恐怖活动组织、开展恐怖活动的，一经实施也应当立案追究，其社会危害性在网络时代与以前相比只能说是有过之而无不及。

而在危害国家安全的犯罪中，经过立法将预备行为实行化的现象也不少。这不仅仅是因为国家安全事关重大，是极其重要的法益，而且因为国家安全必须提前保护，否则根本无法逆转，无法惩治实行行为。例如，同样为举动犯的煽动分裂国家罪、煽动颠覆国家政权罪，只要在网络上制作、传播分裂国家、颠覆国家政权的信息，就应当立案追究。同样，资助危害国家安全犯罪活动罪、资敌罪也有了网络平台，提供网络空间的行为也应当立案追究。

二、网络公共安全的解释与“情节”标准的发展

在现实社会中，许多犯罪行为看似已有刑法规范清晰明确的定性，但同样的行为一旦发生在网络空间，其刑法上的定性则会产生争议。这种定性的争议有可能是出现了新的需要被刑法所保护的法益，也有可能是传统法益在网络空间中的异化表现，究其根本原因仍是网络空间的虚拟性和技术性。传统法益在网络空间中的异化表现也可能导致定量标准的争议。同样可能导致争议的是出现了新的需要被刑法所保护的法益。这里的争议不仅仅在于该利益是否被刑法所承认，而且在于承认之后如何定量分析予以立案追究。

1.公共安全法益在信息时代的扩容

我国《刑法》分则第二章保护的是公共安全。笔者认为，在网络时代，公共安全这种法益也应当有所扩容。由审理破坏公用电信设施刑事案件的司法解释可知，《刑法》124条规定的公共安全的法益包括对公众生活的平稳与安宁的内容。2007年《最高人民法院关于审理危害军事通信刑事案件具体应用法律若干问题的解释》第1条也有类似规定。

第2条规定了“情节特别严重的”的标准，而其兜底性条款在信息时代就有用武之地，可以大显身手：例如，在军事通信的核心计算机系统放置足以使重要军事通信大面积瘫痪的逻辑炸弹，即便没有造成实际的危害后果，也应当属于情节特别严重。类似的情形在国家电网监管方面已经发生。2001年秋，我国电网遭遇了建网以来最大的一次录波器大面积失灵、死机事故，华中、华北、华东等地的147个变电站电网录波器功能瘫痪，就是行为人放置逻辑炸弹的结果。再如，审理破坏广播电视设施等刑事案件的司法解释也遵循了同样的解释思路。

可以发现，通过网络攻击，可以使电信设施、广播电信设施、军事电信设施不能正常运行，从而危害公共安全、危害国防利益乃至国家安全。所以，在信息时代，还应当认为：公共安全的法益包括对公众生活的平稳与安宁的内容，公众生活的平稳与安宁的内容不仅包括广播、电视、通信的正常运行，在信息时代还包括网络的正常运行。破坏网络的正常运行的，属于危害公共安全，如“5·19断网事件”带来的六省市断网的后果。至于增设条款的体系性位置，则是另当别论的问题。但如果不增设，则不排除司法机关进行扩展解释，乃至类推解释，从而适用《刑法》11条的以其他危险方法危害公共安全的规定。尤其是伴随着网络技术的发展，我们不能保证不会发生通过网络攻击导致大面积断网的事件，或者通过传播新型病毒等破坏性程序以控制、破坏无数计算机终端的行为。如果发生，在社会舆论的压力下，民意“绑架”司法导致“能动司法”功能的异化，出现大胆适用法条以求重罪或者重刑的司法也是可能的。

2.信息时代新型公共安全的定量评价规则

网络公共安全犯罪的增设要落实到定量评价机制的健全，从网络公共安全法益的实体要素出发，进行探索。通过扩张解释解决了公共安全法益在信息时代扩容的问题，接着就应当探讨如何确定网络的正常运行受侵害的程度，从而在量上予以准确立案追究。信息时代新型公共安全的定量评价规则对于危害国防利益乃至国家安全的定量评价也将具有示范意义。网络安全与国家安全、公共安全呈现“交织型”扁平关系，“网络安全”范围的对内溢出为网络安全对于公共安全的承载态势，网络安全”范围的内外融合是网络安全对国家安全的嵌入态势。整个重大安全体系应当在定性和定量上一体贯通。

以上公用电信设施的解释提出了公用电信设施的范围、用户数、通信中断和严重障碍的标准和时间长度等定性和定量标准，值得在确定网络的正常运行受侵害的程度予以借鉴。参考相对应的行政性文件，并区分网络用途、“网络范围”等，拟建议如下：破坏网络的正常运行，有下列情形之一的，属于危害公共安全，尚未造成严重后果：(1)造成火警、匪警、医疗急救、交通事故报警、救灾、抢险、防汛等网络中断或者严重障碍，并因此贻误救助、救治、救灾、抢险等，致使人员死亡一人、重伤三人以上或者造成财产损失三十万元以上的；(2)造成二千以上不满一万用户网络中断一小时以上，或者一万以上用户网络中断不满一小时的；(3)在一个局域网、城域网范围内网络中断不满二小时或者直接影响范围不满五万(用户X小时)，或者在一个广域网、互联网范围内网络中断不满一小时或者直接影响范围不满二万五(用户X小时)；(4)造成网络严重障碍，一日内累计二小时以上不满十二小时的；(5)其他危害公共安全的情形。

对于“其他危害公共安全的情形”，可以考虑包括滥用软件技术保护措施。前四项标准都只考虑了网络故障导致的损害，而未能考虑直接针对计算机终端的损害。滥用软件技术保护措施波及大量的计算机，如“微软黑屏事件”，定性上应当认定为危害公共安全。定量标准可以考虑借鉴非法控制计算机信息系统的标准：20台以上的；造成经济损失10, 000元以上的。当然，因为法定刑幅度高，为了罪刑相当，应当提高上述标准。

这里也表明，虽然法律不要求造成严重后果，只要求具体危险，未遂犯通过分则特别规定法定化，但是在未遂犯被独立处罚后，对危险的量化要求已然可能存在，司法解释完全有必要、有可能做出具体解释，结合数额、次数标准提出新的、全面的定罪量刑标准。以下就上述标准进行时间长度标准的诠释，进行示范论证。

三、时间长度标准的兴起及其在网络安全犯罪中的应用论证

在6个传统的立案追诉准中，时间长度标准的规定有4种：造成公司、企业等单位停业、停产6个月以上的；造成公司、企业等单位停业、停产1年以上的；一次冲击持续时间较长的；雇用一人6个月以上的；非法剥夺他人人身自由24小时以上的。

1.信息时代时间长度标准的兴起

信息时代的时间长度标准规定主要有以后果持续的小时为单位计量危害的实践：在一个本地网范围内，网间通信全阻、关口局至某一局向全部中断或网间某一业务全部中断不满2小时；造成网间通信严重障碍，一日内累计2小时以上不满12小时的；地市(设区的市)级广播电视传输网内的设施无法使用3小时以上，县级广播电视传输网内的设施无法使用12小时以上，信号无法传输的。

这些都是以时间长度为为单一标准的实践，而未要求与单位数量、冲击次数、雇用人数、剥夺人身自由人数等其他标准结合形成复合型标准。传统司法实践已经有将时间长度与其他单一标准一并要求才定罪量刑的做法，可以称之为n型标准，是指必须同时满足数额、数量、人数、户数、次数、人次、户次、起次、场次、抽象型结果、其他结果、危险、行为等单一标准中的两个以上。可以分为两种情形：一是已经规定了两项以上单一入罪标准，在此基础上规定同时达到两项以上入罪标准的一定程度的量上要求的，也应当人罪的模式；二是未规定两项以上单一入罪标准，而是一开始就同时要求符合复合型标准。

2.信息时代网络安全犯罪中时间长度标准的应用

信息时代也应用了n型标准，主要体现为台数n小时、用户n小时标准。具体而言：(i)审理破坏公用电信设施刑事案件的司法解释采用了2000用户n1小时的入罪标准。 (2)办理危害计算机信息系统安全刑事案件使用了100系统n1小时和10, 000用n1小时的入罪标准。同时司法实践有了用户X小时的定量标准，如审理破坏公用电信设施刑事案件的司法解释采用了50, 000(用户X小时)小时的入罪标准。

n型标准与X型标准的区别要通过比较其法定刑升格条件才能得出。比较二者可发现，n型标准是以某一单一标准为基础，以另一单一标准为变量的定量标准，而X型标准则是同时以两个单一标准为变量的定量标准，比n型标准更具有灵活性，因而能更全面地适应各种案情。换言之，如果一个定量标准同时要求达到两个定量，则其限定范围呈矩形扩张式；而如果要求达到两个变量的积，则其限定范围为曲线蔓延状，比前者更为灵活和全面。

四、网络技术帮助行为的正犯化立法与定量评价

在信息时代，既有传统的扰乱社会秩序的犯罪在网络空间中的“异化”情形，如编造、传播虚假信息犯罪，也有不断新增的以网络终端、网络运行、网络数据等为犯罪对象的情形。纯粹的计算机犯罪需要不同于传统犯罪的定罪量刑标准，传统秩序犯罪的网络异化也导致其需要新的定罪量刑情节。传统的扰乱社会秩序犯罪中有传授犯罪方法罪，而信息时代网络空间中扰乱网络秩序的一大“公害”是所谓的“中性业务”共犯行为，尤其是“一对多”式的技术帮助行为，模糊了传播犯罪方法和犯罪工具的界限，这使得网络空间进入技术强者“任我行”的无序状态。

刑法的应对思路是共犯行为正犯化的立法，这在不考虑网络时代因素的情况下就已经出现，例如，帮助行为正犯化。《刑法》107条资助危害国家安全犯罪活动罪既包括特定共同犯罪中的部分帮助行为，又包括不成立共同犯罪的资助行为。《刑法》507条规定了协助组织卖淫罪，2011年又在《刑法》244条增设了协助强迫劳动罪。并且可以发现的是，前者与事实上的正犯行为相比，刑罚更低，而2011年增设的协助强迫劳动罪则与强迫劳动罪的正犯行为适用同样的法定刑，“依照前款的规定处罚”。组织行为正犯化也出现了。如同《刑法》107条资助危害国家安全犯罪活动罪既包括特定共同犯罪中的部分帮助行为，又包括不成立共同犯罪的资助行为，《刑法》103条第2款煽动分裂国家罪，既包括特定共同犯罪中的部分组织行为，又包括不成立共同犯罪的组织行为。如果煽动者与分裂者是共同犯罪的话，那么就可将本罪的立法视作为组织行为正犯化的立法。

其实，信息时代共犯行为正犯化的现象也伴随着组织、教唆的模糊，教唆、帮助的模糊，帮助、实行的模糊等现实。 “海量的帮助实施违法犯罪行为的专用软件、程序的出现，降低了犯罪的门槛，推高了网络犯罪的案发总量。《刑法修正案(七)》中新罪名(提供侵入、非法控制计算机信息系统程序、工具罪，笔者注)的增设，实际上没有完全解释类似的制裁帮助行为的司法需求。”但是，只要正犯化后，相关的共犯行为就以独立的正犯论处了，就应当适用自己独立的立案追诉标准。而自己的标准必然根据自身的特点加以设计和确定。例如，资助恐怖活动，是指为恐怖活动组织或者实施恐怖活动的个人筹集、提供经费、物资或者提供场所以及其他物质便利的行为。实施恐怖活动的个人包括预谋实施、准备实施和实际实施恐怖活动的个人。在网络时代，资助恐怖活动罪也有了新的表现形式和立案标准。网络为恐怖活动提供了新的平台，为恐怖活动组织或者实施恐怖活动的个人提供网络平台的，也应当认定为提供场所等物质便利予以立案追究。在信息时代，对“不作为”的正犯如网站建立者和管理者不作为的直接打击，已经在2015年通过的《刑法修正案(九)》中予以回应。这样，把实质上的帮助行为跨类罪实行化为独立的犯罪，可以完全脱离实行行为对帮助行为进行单独的刑法评价，并且可以便利诉讼，极大缩短刑事证明的因果链条。但是，突出技术帮助行为有以下三种，却仍然没有直接回应，需要理论的探索准备。

其实，国际法上已经有相关实践的推进。《网络犯罪公约》(Convention on Cybercrime)第6条规定了设备滥用(misuse of devices)罪行：当生产、销售、获得使用、引入、发行或以其他方式提供主要为了实施上述第2条至第5条规定的任何罪行而设计或改造的设备，包括计算机程序，或者能够通过其进入计算机系统的整体或任何部分的计算机密码、进入编码或类似数据，或者持有上述设备或数据，意图使用于实施任何第2条至第5条规定的犯罪，是没有正当理由而故意进行时，每一签约方应采取本国法律下认定犯罪行为必要的立法的和其他手段。签约方可以规定持有犯罪应当具备一定数量。可见，这种正犯行为立法化的思路在应对网络犯罪现实罪情时是非常有必要的，也是极为有效的。由此，这种思路不仅应当在中国国内立法中大力借鉴，而且应当在新的网络犯罪公约中予以推广，并且从数量等角度进行具体的定量分析。

1.提供用于网络违法犯罪的程序、工具独立入罪化后的定量标准

有学者指出，现实空间中，存在很多职业化地生产、销售专门用于实施违法犯罪行为的工具的非法行为，如生产、销售窃电器的。在网络空间中，网络资源已经具有了自身独立的价值，已经具有了财产权益的性质，同时也有了大量的使用盗窃行为及伴生的帮助使用盗窃的行为。而且在网络空间中，帮助使用盗窃行为的社会危害性发生了严重的异化，已经远远超过了使用盗窃行为的社会危害性。但《刑法修正案(七)》已经有了相关的立法成就，可以加以扩张改造，将提供专门用于“侵入、非法控制”计算机信息系统的程序、工具的行为，抽象提升为提供专门用于网络违法犯罪的程序、工具的行为，实现立法的经济性、可行性。对此，如果拟定刑法专门条款为“提供用于网络违法犯罪的程序、工具罪”：提供专门用于网络违法犯罪的程序、工具，或者明知他人实施网络违法犯罪行为而为其提供程序、工具，情节严重的……那么，根据提供专门用于“侵入、非法控制”计算机信息系统的程序、工具的司法解释，可以对提供专门用于网络违法犯罪的程序、工具的行为入罪所要求的“情节严重”予以量化：(1)提供能够用于非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息、网络使用盗窃的专门性程序、工具五人次以上的；(2)提供第(1)项以外的专门用于网络违法犯罪的程序、工具20人次以上的；(3)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息、网络使用盗窃的违法犯罪行为而为其提供程序、工具五人次以上的；(4)明知他人实施第(3)项以外的网络违法犯罪而为其提供程序、工具20人次以上的；(5)违法所得5000元以上或者造成经济损失1万元以上的；(6)其他情节严重的情形。第(1)项至第(5)项的标准是参照了提供专门用于“侵入、非法控制”计算机信息系统的程序、工具行为立案标准的规定。因为提供专门用于网络违法犯罪的程序、工具的行为吞并了提供专门用于“侵入、非法控制”计算机信息系统的程序、工具行为，扩大到了对帮助使用盗窃行为的打击，故将提供专门用于“侵入、非法控制”计算机信息系统的程序、工具行为的立案标准扩大为所有提供专门用于网络违法犯罪的程序、工具的行为的立案标准。

但是，参照标准具有局限，种数标准可以突破该局限。上述制作、提供用于网络违法犯罪的程序、工具罪的定量标准基本照搬了提供侵入、非法控制计算机信息系统的程序、工具罪的定罪量刑标准，难免局限于侵入、非法控制计算机信息系统的程序、工具行为的特点，而未能全面考虑到制作、提供用于网络违法犯罪的程序、工具罪本身的特点。所以，应当从制作、提供用于网络违法犯罪的程序、工具罪自身的特点出发，探讨该总则性的制作、提供程序、工具行为的独有定量标准，以求全面有效地预防和打击种种网络违法犯罪链条中的上游犯罪。

现行立法及司法解释将程序、工具分为两类：专门用于网络违法犯罪的程序工具以及其他用于网络违法犯罪的程序、工具。例如，上述司法解释第2条专门界定了“专门用于侵入、非法控制计算机信息系统的程序、工具”。第5条还“似乎”将《刑法》286条第3款规定的“计算机病毒等破坏性程序”限定为专门设计用于破坏计算机系统功能、数据或者应用程序的程序。这种分类初步体现了依据程序、工具本身种类不同而确定不同的定罪量刑标准的可能性。但该司法解释在第3条中仅根据程序、工具的具体用途的不同，也即违法犯罪行为的不同，区分提供人次标准具体量上的要求是20人次以上还是5人次以上。而在第6条中根据程序种类的不同规定了不同的定量标准。对第一种计算机病毒程序，因为其具有自我复制传播特性，其传播方式容易引起大规模传播，一经传播即无法控制其传播面，也无法对被侵害的计算机逐一取证确认其危害后果，所以规定只要制作、提供、传输改程序导致其通过网络、存储介质、文件等媒介传播的，不要求达到一定系统台数，即认定为“后果严重”。

这种区分初步体现了根据程序、工具种类不同规定不同的定量标准的思想。但仍然没有根据程序、工具种类数量本身进一步规定独立的定量标准，导致现有解释的局限。针对上述第一种程序，司法解释规定的法定刑升格的标准是：制作、提供、传输第5条第1项规定的程序，导致该程序通过网络、存储介质、文件等媒介传播，致使生产、生活受到严重影响或者造成恶劣社会影响的。因为该种程序容易引起大规模传播且一经传播就无法控制其传播面。换言之，因为大多数该种程序都会致使生产、生活受到严重影响或者造成恶劣社会影响，所以只有极少数会适用第一量刑幅度的入罪标准。这首先违背了量刑幅度条件设置的分流功能，应当说法定刑升格的案件应当是少量而非大多数。另外，因为无法对被侵害的计算机逐一取证确认其危害后果，所以在具体案件中难以区分是否致使生产、生活受到严重影响或者造成恶劣社会影响。这导致即使认可大多数该类案件适用第二量刑幅度的效果，也在实践中难以操作。换言之，定量标准既要求贯彻罪刑相适应的刑法基本原则，又要求符合宽严相济的刑事政策，还要求达到操作便利的实践理性。

所以，由于网络的无限延展性导致网络攻击行为的危害结果无限展开，虽然导致巨大的社会危害性，但往往难以无法准确定量，如传播计算机病毒在未爆发时潜伏在网络信息系统中而难以发现，也难以准确计量感染的终端数量，而一旦爆发虽然损失常常过亿但难以准确估量并且难以确定其发作的期限，有必要提出其他更具有针对性的定罪量刑标准，以弥补现有标准之不足。可以结合基于的程序、工具的基本分类，根据程序、工具种类的不同确定程序、工具种类数量的标准：以提供、传播为目的而制作、提供或者传播能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的程序1种以上，或者其他专门用于网络违法犯罪的程序、工具5种以上的，以提供、传播为目的而制作其他可以用于网络违法犯罪的程序、工具20种以上的，或者明知他人实施网络违法犯罪行为而为其提供能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的程序1种以上，其他专门用于网络违法犯罪的程序、工具5种以上，或者其他程序、工具20种以上的，应当认定为制作、提供、传播用于网络违法犯罪的程序、工具，“情节严重”。这样就可以以相应的倍数关系确定情节特别严重的标准了，实现案件分流、罪刑相适应，满足司法实践的可操作性。当然，程序、工具的分类不只以上分类方法。

上述标准是制作、提供、传播用于网络违法犯罪的程序、工具本身的种数，在大多数相关案件中能够适用。但是，在某些案件中，可能程序、工具本身只有一种，但其却“威力无穷”，能够针对多种程序、工具进行破坏，此时如果固守前述定量标准将难以对行为人进行准确的定罪量刑。

其实，这也是针对网络违法犯罪技术日益精细化的罪情而对定罪量刑标准不断进行细化研讨的实践。专业入侵的黑客软件设置了多种攻击模式，可以认为是“一对多”的侵害模式，虽然行为工具只有一种，但行为对象众多，危害性仍然极大。所以，确立破坏的程序、工具、技术众多的应当定罪量刑的规则在信息时代是很有必要的，是与信息时代的犯罪精细化、侵害呈现“一对多”形态的罪情相符合的。

与上述“一对多”的侵害模式相类似的是一种程序生出多个变种情形。这种情形危害巨大。在这些环节中，变种数量处于行为链条的中游，可以考虑发挥其定量评价的作用。信息时代适用程序种数的定量标准时需要处理的问题是，如何处理程序种数与变种数量的关系。应当采用实质性的判断标准：如果变种之间的差异达到需要相差较大的技术处理措施或者其危害方式或者危害后果有较大差别的，应当视为不同的程序，都计入程序种数当中。此时，变种数量等同于程序种数标准，这在黑客从炫耀技术到逐利的信息时代也是重要的定量标准。当然，二者关系处理的另外一种方案是对程序种数和变种数量直接进行区别处理，分别规定不同的数量要求，原则上应当是变种数量的要求高于程序种数的要求。对程序、工具种数的扩张解释也可包括一种程序、工具具有多种危害的情形。

2.传播用于网络违法犯罪的方法独立入罪化后的定最标准

打击制作、提供、传播用于网络违法犯罪的程序、工具体现了刑法提前规制、法益保护刑法前置的趋势。从只针对提供侵入、非法控制计算机信息系统的程序、工具和只打击制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，到打击所有网络违法犯罪程序、工具的提供、传播和制作行为，实现了从关注影响这一行为后果到定点提供、传播这一中间行为，再到定格制作这一始端行为，法益保护不断前置，力求针对日益细化的网络违法犯罪链条实现全程控制和打击。

但是，当前网络空间中有不少传授黑客技术的培训网站、教学QQ群等平台，这些传授黑客技术的行为为他人的黑客活动提供了技术支持和帮助。有学者认为，从目前刑事立法既有成果来看，刑法规制网络空间中黑客犯罪的重点是后期的成品化“产品”。1997年《刑法》新增286条破坏计算机信息系统罪，第3款针对的是“计算机病毒等破坏性程序”。2009年《刑法修正案(七)》新增设的285条第3款针对的是专门用于侵入、非法控制计算机信息系统的“程序、工具”。可以发现，前面的“程序”，后面的“程序、工具”，都是网络技术滥用背景下的后期“成品”。在网络犯罪爆发式增长、危害性日益倍增的情形下，刑事立法的打击着力点如此置后显然是不行的，适度前移才是因应之道。应当从打击后期的技术滥用后的制造、传播、提供“成品”的犯罪，前移到打击前期的传播“黑客技术”的行为。基于此，应当增设专门的罪名将培训黑客技术的行为予以正犯化。

联系网络攻击行为以及破坏系统的立法，可以考虑此处扩容传播进行外部技术攻击、破坏系统的方法的行为。如果拟定为“传播用于网络违法犯罪的方法罪”：传播专门用于网络违法犯罪的方法，或者明知他人实施网络违法犯罪行为而为其提供方法，情节严重的……那么，根据提供专门用于“侵入、非法控制”计算机信息系统的程序、工具的司法解释，可以对传播用于网络违法犯罪的方法的行为入罪所要求的“情节严重”予以量化：(1)传播能够用于设计非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息、网络使用盗窃、破坏计算机系统的专门性程序、工具的方法5人次以上的；(2)传播能够用于设计第(1)项以外的专门用于网络违法犯罪的程序、工具的方法20人次以上的；(3)明知他人实施非法获取支付结算、证券交易、期货交易等网络金融服务身份认证信息、网络使用盗窃、破坏计算机系统的行为而向其传播能够设计用于此类行为的程序、工具的方法5人次以上的；(4)明知他人实施箄(3)项以外的网络违法犯罪而向其传播能够设计用于此类网络违法犯罪行为的程序、工具的方法20人次以上的；(5)违法所得5000元以上或者造成经济损失1万元以上的；(6)其他情节严重的情形。第(1)项至第(5)项的标准是参照了提供专门用于“侵入、非法控制”计算机信息系统的程序、工具行为立案标准的规定。因为传播用于网络违法犯罪的方法的行为吞并了传播用于侵入、非法控制计算机信息系统的方法的行为，扩大到了对传播使用盗窃、破坏计算机系统的行为的方法的打击，故将传播用于侵入、非法控制计算机信息系统的方法的行为的立案标准扩大为所有传播用于网络违法犯罪的方法的行为的立案标准。

但是，参照标准具有局限，技术种数标准可以突破。可以发现，上述传播用于网络违法犯罪的方法的定量标准局限于方法传播行为人次、违法所得、经济损失标准，而未能根据方法的类型提出独立的标准，难以全面、准确地规制传播网络违法犯罪方法的行为。所以，仍有必要对方法本身的特点提出独立的其他标准，全面地从源头上预防和打击“黑客”犯罪。

对此，可以根据方法的成品的种类数量来设计传播用于网络违法犯罪的方法的定罪量刑标准：传播1种以上能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的程序的制作方法，5种以上其他专门用于网络违法犯罪的程序、工具的制作方法，或者20种以上其他可以用于网络违法犯罪的程序、工具的制作方法的，或者明知他人实施网络违法犯罪行为而为其提供1种以上能够通过网络、存储介质、文件等媒介，将自身的部分、全部或者变种进行复制、传播，并破坏计算机系统功能、数据或者应用程序的程序的制作方法，5种以上其他专门用于网络违法犯罪的程序、工具的制作方法，或者20种以上其他程序、工具的制作方法的，应当认定为传播用于网络违法犯罪的方法，“情节严重”。

此时，即使制作方法种类不一，但可只计成品的种类数量。这样也可以用相应的倍数关系确定情节特别严重的标准了，实现案件分流、罪刑相适应，满足司法实践的可操作性。这可以理解为信息时代网络犯罪形态中“一对多”行为方式的扩容，具体理解为“一生多”的犯罪模式，由一种技术生出众多程序、工具，一个行为人面向众多下游行为人。在深圳市福田区检察院办理的全市首宗涉嫌提供侵入、非法控制计算机信息系统的程序、工具罪的案件中，这种“一对多”的行为方式已经初露端倪。

3.恶意公布、售卖安全漏洞行为独立入罪化后的定量标准

系统、数据成为犯罪对象的安全问题很大程度上是由于信息安全漏洞问题。有学者指出，发现安全漏洞之后将安全漏洞直接提供、售卖给黑客或者黑客组织，或者将安全漏洞报告直接在网络空间中加以恶意公布的行为，考虑到利用安全漏洞的网络黑客行为的巨大社会危害性，以及恶意公布、售卖安全漏洞使黑客行为的危害性无限放大，应当认为有必要将恶意公布、售卖安全漏洞行为人罪化，以解决对其不处理或者量刑过轻的司法困境。设立单独的“计算机和网络犯罪”章节并且把恶意公布、售卖安全漏洞的行为规定其中是应当采取的实行化模式。如果拟定为“公布、售卖安全漏洞罪”：公布、售卖计算机安全漏洞，情节严重的……那么，情节严重的立案标准则根据公布、售卖安全漏洞行为的方式特点，结合设计为情节犯的侦查取证和证明要求，借鉴相关计算机和网络犯罪的司法解释规定的立案标准予以确定。可以拟定为：(1)公布、售卖国家事务、国防建设、尖端科学技术领域的计算机信息系统的安全漏洞的；(2)公布、售卖第(1)项以外的国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的计算机信息系统的安全漏洞的；(3)公布、售卖第(1)项、第(2)项以外的为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统的安全漏洞的；(4)公布、售卖1万以上计算机信息系统的安全漏洞的；(5)公布、售卖计算机安全漏洞5次以上的；(6)违法所得5000元以上或者造成经济损失1万元以上的；(7)其他情节严重的情形。

第(1)项的标准是根据《刑法》285条对国家事务、国防建设、尖端科学技术领域的计算机信息系统进行严格保护的精神和惯例确定的；第(2)项的标准是根据2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》4条第2款第(3)项规定的“后果特别严重”的标准予以确定的；第(3)项的标准是根据上述解释第4条第1款第(4)项规定的破坏计算机信息系统、数据或者应用程序“后果严重”的标准予以确定的；第(4)项的标准是根据前一项“为一万以上用户提供服务的计算机信息系统”的标准予以发展确定的；第(5)项的标准是根据上述解释第3条第1款第(1)项规定的提供侵入、非法控制计算机信息系统的程序、工具的立案标准予以确定的；第(6)项规定则是参考了上述解释第3条第1款第(5)项规定的标准，考虑到了公布、售卖安全漏洞产业链的逐利性、破坏性；第(7)项规定则是考虑到了公布、售卖安全漏洞的复杂性和变异性，对其他立案标准留有余地，以更为有效地打击公布、售卖安全漏洞的行为，保护计算机系统。总之，根据系统性质、功能、数量、行为次数、违法所得、经济损失数额等既能反映公布、售卖安全漏洞危害性，又能简化侦查取证和证明程序的标准进行立案追诉。

但是，上述定量角度仍然不足。从安全漏洞市场现象中可以发现一部分案件用犯罪数额可以对相关犯罪行为进行定量评价，但是，犯罪数额标准并不能适用于所有公布、售卖计算机安全漏洞的行为。对于公布行为，很可能并没有涉及犯罪数额，此时可以用信息时代公布行为的定量标准，即公布的时间长度、公布的网站、网页数量以及引起的关注数量；对于售卖行为，可能双方并未大成具体的数额，所以犯罪数额标准仍然有可能难以适用。此外，公布、售卖计算机安全漏洞的情节难以都用系统台数予以量化。因为很可能存在大量系统都有同一个漏洞的情况。这种情况下难以确定系统的数量。信息组数的定量标准也难以适用，因为漏洞本身是一种信息，但这种信息一般不表现为计算机信息系统中存储、处理或者传输的数据，所以数据数量的标准也难以适用。

那么，公布、售卖计算机安全漏洞的行为作为信息时代兴起的网络违法犯罪行为是否有其新的定量标准呢？相关统计数据就提供了新的计量方式即考量漏洞本身的数量。但我们可以发现，这里漏洞的个数其实是漏洞的种数，不是指存在一种漏洞的不同系统的台数，而是指不同系统的不同漏洞的种类数量。例如，根据瑞星统计，2008年黑客常用的各种漏洞共有16个，其中既有MS06-014、MS08-056这样的系统漏洞，也有Hash Player这样的浏览器插件漏洞，还有迅雷看看、暴风影音等常用软件的漏洞，正是因为这些漏洞的存在，而且用户又没有及时将其弥补，这才使得木马病毒可以很容易的侵入用户电脑。此外，有必要按照漏洞的不同种类确定不同的量上要求。对于高危漏洞，可利用来实施远程攻击的漏洞的相关行为，应当确定更为严格的定量要求。此外，还可以根据漏洞是否原创区分不同种类漏洞的数量要求，以及根据漏洞影响对象类型对应用程序漏洞、WEB应用漏洞、网络设备漏洞、操作系统漏洞、数据库漏洞、安全产品漏洞提出不同的数量要求。

对于漏洞种数的运用需要明确漏洞种数的内涵和外延。它既包括漏洞本身具有多种，也包括一种漏洞危害多种对象的情形。只有对漏洞种数标准进行扩展解释才能使漏洞种数标准在信息时代的适应性增强。对漏洞种数标准的扩张适用还可考虑一种漏洞具有多种危害用途的情形。对于具体的用途种数的确定，可考虑的是，采用实质性的区别标准：如果两种攻击性用途在刑法上已经是跨越了类罪名或者说超出了一种法益的范围，那么就应当认定为漏洞种数达到两种。

五、结语

安全与秩序是法律和社会永恒的目标与愿景。安全是利益的焦点，秩序是利益的屏障，对网络空间中的利益而言亦是如此。刑法上的安全与秩序法益延伸到网络空间，提出了新的定性评价及其定量分析问题，呼唤着一体化的理论求索和实践反馈。在信息时代，网络安全有了新的含义，其与国家安全、公共安全等重大法益密不可分。而探索其独特的犯罪定量评价机制，有不可忽视的重要意义。这不仅是检验和发展既有司法探索的必要途径，也是在学理上对系统构建信息时代的犯罪定量标准的重要探索。未来对于网络安全犯罪的定量评价规则的求索，应当不仅注重司法经验的总结、批判和提升，更要注重具体案件的分析，加强案件的统计分析和实证研究，真正以司法实践“反哺”信息时代的犯罪定量评价理论。

在信息时代，网络秩序的范畴不断丰富和升级，需要全新的定性和定量规则。网络的技术特性决定了网络技术犯罪的技术特点，也意味着网络秩序犯罪的定量评价规则必然是以网络技术为“底色”和基础。未来的网络秩序犯罪的定量评价机制的探索，应当更多地注重司法案例中具体技术“中立”犯罪的特点总结和评估，以检验和发展既有的定量标准体系，为网络秩序的刑法保护夯实罪刑相适应的基础。