叶良芳等:英国网络犯罪刑事立法的发展及其镜鉴
摘 要:英国是网络信息化建设的先发国家,也是较早运用刑罚制裁网络犯罪的国家。英国网络犯罪的刑事立法专门针对依赖型网络犯罪,而对利用型网络犯罪则交由传统刑法规制,这是其最鲜明的立法特色。《计算机滥用法》是英国制裁网络犯罪的基本法律,《警察和司法法》《严重犯罪法》等法律是修正性法律。英国网络犯罪刑事立法在罪名创设、罪状构造、刑罚配置等方面均有值得镜鉴的成功经验,但也存在不少需要反思的地方。对照英国网络犯罪刑事立法的经验和教训,我国网络犯罪刑事立法应当继续坚持重在规制纯正网络犯罪的立法方向,重新设定计算机基本罪名的关系,并注意与相关国际公约的规定相协调。
关键词:网络犯罪;刑事立法;计算机滥用法;非法访问;计算机资料罪;英国
一、引言
“网络犯罪不同于传统犯罪,它能借助计算机网络突破地理位置和国家疆界的限制,在全球范围内造成严重危害。”英国是世界上网络和信息化建设最为先进的国家之一,同时也是饱受网络犯罪侵害之苦的国家。为有效预防和惩治网络犯罪,维护网络安全和社会稳定,英国一扫传统的保守主义作风,率先启用网络犯罪刑事立法通道,取得了明显的法治效果。
在英国,网络犯罪是一个总括性术语,通常用来描述以下两种犯罪类型:利用型网络犯罪和依赖型网络犯罪。利用型网络犯罪,是指利用计算机、计算机网络或其他信息通信技术实施的网络犯罪,如网络诈骗、网络盗窃、网络敲诈勒索等。这类犯罪与传统犯罪的区别,并不在于犯罪对象和侵犯利益有所不同,而在于有无利用现代网络技术。从犯罪场域来看,这类犯罪并不局限于网络空间实施,在传统的现实空间也可以实施。这两个犯罪场域是互通的,所谓“线下非法行为,在线上实施同样非法”。依赖型网络犯罪,又称与计算机有关的犯罪,是指只能通过计算机、计算机网络或其他信息通信技术实施的犯罪,如传播病毒或其他恶意软件、黑客攻击、拒绝服务(DoS)攻击等。这类犯罪的目标是计算机系统和互联网资源,因而只能在网络空间进行,离开了网络空间,则无法实施此类犯罪。
对于上述两种网络犯罪,英国议会采取了不同的立法策略。对于利用型网络犯罪,主要通过修改现有罪名的构成要素或者司法扩张解释的路径,将其纳入相应的传统犯罪的调整范围,从而避免对其专门立法,增设新罪。而对于依赖型网络犯罪,则需要通过专门立法来增设新罪予以解决。本文主要探讨英国议会对依赖型网络犯罪的立法应对。
二、1990年《计算机滥用法》
1.《计算机滥用法》的立法背景
20世纪80年代,英国发生了一系列不正当获取计算机程序和数据的事件,使计算机犯罪成为各界瞩目的焦点。但当时并未有专门针对计算机犯罪的立法,实践中相关法院以毁坏财物、盗窃电力、伪造文书等传统犯罪来处理相关案件。具体而言,大体有以下三种处理模式。一是对毁坏财物罪的行为方式进行扩张解释。例如,在考克斯诉莱利案中,上诉法院认为,毁坏并不要求一定是永久性的,也可以是暂时性的,因此,删除计算机的程序,使系统运行不稳定,也构成毁坏。但毁坏财物罪的对象必须是有体物,计算机程序显然不是有体物,判决存在明显的硬伤。二是对盗窃电力罪的适用范围进行扩大解释。对于一些未经授权访问计算机资料的黑客行为,有的法院以盗窃电力罪论处。但批评者认为,滥用计算机行为的危害主要在于危及计算机系统安全以及破坏数据的价值,而消耗的电量实际上相当微少,以盗窃电力罪论处,犹如“仅指控窃贼盗窃了汽油,而他实际上盗窃的是整辆汽车”,存在严重的评价不足问题。三是对伪造文书罪的行为对象进行扩大解释。例如,在女王诉戈尔德和施弗林案中,二被告在一个商业展销会上肩窥一名英国电信公司工程师的用户名和密码后,非法侵入了该公司的快速电视电话咨询服务系统。治安法院认为被告构成伪造文书罪,分别判处750英镑和600英镑的罚金。
鉴于传统刑法在应对计算机滥用犯罪方面的漏洞及其适用争议,主流意见认为,议会应当启动立法程序制定新罪,以资因应。为此,英国议会拟定了《计算机滥用法》(Computer Misuse Act 1990)。该法案于1990年6月29日获得通过,并于同年8月29日起施行。
2.《计算机滥用法》的主要内容
该法开篇即表明其立法目的——“为保护计算机资料免受未经授权的访问或修改,以及其他相关目的”,因而增设了三个计算机滥用罪名:非法访问计算机资料罪、加重非法访问计算机资料罪和非法修改计算机资料罪。
(1)非法访问计算机资料罪
《计算机滥用法》第1条第1款规定:“任何人实施以下行为,即属犯罪:(a)让计算机执行任何功能,以便访问任何计算机中存储的程序或数据;(b)他意图进行的访问未经授权;(c)他当时知道,当他让计算机执行这一功能时,他是未经授权的。”据此,所谓非法访问计算机资料罪,是指未经授权,让计算机执行任何功能,以便访问任何计算机中存储的程序或数据的行为。本条针对的是非法访问,包括黑客入侵在内的任何未经许可访问计算机资料的行为。构成本罪,应当具备以下要件。
第一,让计算机执行任何功能。《计算机滥用法》没有对“计算机”这一术语进行定义,主要是考虑到任何一个定义都跟不上技术的发展,因而不如不做定义,反而有利于保证立法的适应性。实践中,法院通常关注的是计算机的功能属性而非物理特征。例如,在检察长诉琼斯案中,法官将计算机界定为“一种能够存储、处理和检索信息的设备”。这里的“执行任何功能”,是指运行计算机,使其执行一系列操作,以便能够访问计算机存储的程序和数据。本罪客观行为的包容性极广,基于访问目的运行计算机的任何行为,如点击链接、启动电源、准备输入登录密码等,均包括在内。但与计算机只有物理接触,没有交互的行为,则被排除在外,如阅读计算机终端输出的文件、阅读屏幕的数据、电脑监听等。
第二,意图访问计算机程序或数据。这里的“访问”,包括:修改、删除程序或数据;将程序或数据复制、转移至其他存储介质(上传或下载);使用、执行程序或数据;输出、显示程序或数据以及阅读程序和数据等。这里的“程序或数据”,既可以是目标计算机上存储的特定的程序或数据,也可以是任何不确定的程序或数据。
第三,意图进行的访问未经授权。所谓“未经授权”,是指行为人本人无权控制对相关程序或数据的访问,或者未取得任何有权访问的人的同意。实践中,认定黑客的行为未经授权相对容易,但认定单位内部雇员的行为未经授权则非常复杂。在具体认定雇员的权限时,应当考虑雇员的雇佣合同的内容以及任何相关信息(如口头建议或办公室惯例等),以确定雇员是否超越了权限范围。例如,在检察长诉比格内尔案中,被告二人系伦敦警察局的警察,他们指示警察局的电脑操作员从国家警察计算机中心的数据库中调取两辆私家车的注册和产权信息,以供私用。治安法院裁定被告均有罪,但上诉法院裁定无罪。理由是,两被告属于拥有“控制访问权”的人,虽然他们将获取的信息用于非公务用途,但他们获取信息的行为本身是合法的,因而不构成犯罪。但这一裁决受到广泛批评,认为“许可不仅针对行为本身,还应包括行为处理的事项”。在女王诉弓街治安法院和埃里森(美联社)案中,上议院做出了不同的裁决。在该案中,被告从信用卡分析员那里获取了189个账户信息,然后利用这些信息制造伪卡,并从自助机上取走了100万美元。治安法院和上诉法院均裁定被告无罪,但被上议院推翻,认为“虽然第1条第2款没有要求意图进行的访问必须针对特定的数据,但这并不意味着访问特定的数据不需要授权”。
第四,明知意图进行的访问未经授权。“明知”,表明本罪的主观方面是故意,轻率不能构成本罪。动机如何,不影响定罪。例如,在女王诉卡斯伯特案中,被告是计算机安全顾问,他怀疑接受亚洲海啸的灾难紧急委员会的网站是钓鱼网站(反应慢、图像差),因而对其进行了渗透测试。法院认为,未经邀请的安全漏洞测试是非法访问的一种形式,明显违反了法律,因为被告是明知自己无权进入网站系统的。
根据《计算机滥用法》第1条第3款的规定,犯本罪的,应以简易程序定罪,处以不超过6个月的监禁,或者不超过标准等级表5级的罚金,或者两罚并处。
(2)加重非法访问计算机资料罪
《计算机滥用法》第2条第1款规定:“任何人实施上述第1条规定的犯罪,且具有以下意图,即构成本条之罪:(a)意图实施本条规定的犯罪;(b)意图帮助实施此类犯罪(无论被帮助者是他本人还是任何其他人)。‘意图实施或帮助实施的犯罪’,本条以下简称为‘下游犯罪’”。据此,所谓加重非法访问计算机资料罪,是指未经授权,让计算机执行任何功能,以便访问任何计算机中存储的程序或数据,意图帮助自己或他人进一步实施更严重的下游犯罪的行为。本条的目的是遏制更加严重的下游犯罪的实施,即通过将下游犯罪的预备行为实行行为化,而将防范关卡前移。构成本罪,应当具备以下要件。
第一,实施本法第1条规定的行为,即未经授权访问计算机程序和数据。
第二,意图实施或帮助实施下游犯罪。被告明知自己未经授权却仍访问计算机程序和数据,目的是要进一步实施或者帮助他人实施下游犯罪,如盗窃、欺诈、勒索等。只要证明被告意图自己实施或帮助他人实施下游犯罪,即已满足主观要件。至于下游犯罪的具体情状,如是否已经着手实施、是否使用计算机、是否可能完成等,均不影响本罪的成立。例如,在女王诉德拉马尔一案中,被告系巴克莱银行职员,他将客户的账户信息透露给其同学和同学的表弟。后者冒充账户持有人,从银行取走了1万英镑。被告被判犯有加重非法访问计算机资料罪。不过,应当注意的是,如果下游犯罪是由被告本人实施的话,则不仅构成加重非法访问计算机资料罪,还触犯了2006年《欺诈罪法》(Fraud Act 2006)。对于这种竞合犯,应当以欺诈罪论处。
根据《计算机滥用法》第2条第5款的规定,犯本罪的,如果以简易程序定罪,应处不超过6个月的监禁,或者不超过法定最高额的罚金,或者两罚并处;如果以公诉程序定罪,则应处不超过5年的监禁,或者无限额罚金,或者两罚并处。
(3)非法修改计算机资料罪
《计算机滥用法》第3条第1款规定:“任何人实施以下行为,即属犯罪:(a)实施任何导致计算机内容被修改的行为;(b)在实施这一行为时,具有必需的意图和必需的认识。”据此,所谓非法修改计算机资料罪,是指未经授权,对计算机实施任何操作,意图造成计算机的内容被修改的结果发生的行为。本条针对的是篡改计算机信息系统资料的行为,如更改、删除、添加数据等。构成本罪,应当具备以下要件。
第一,对计算机实施了可能导致所存储的程序或数据被修改的结果发生的行为。这里的“行为”包括:损害任何计算机的运行;阻止或妨碍访问计算机上存储的任何程序或数据;损害任何此类程序的运行或者任何此类数据的可靠性。例如,在泽泽夫和亚里马卡诉布里克斯顿地区英莱森监狱长案中,被告潜入彭博通讯社的计算机系统,进入公司创办人的邮箱,并在其中放置了一封电子邮件,向其勒索20万美元。上诉法院认为,被告的行为导致计算机记录错误,即将源自A处的信息记录为源自B处,这明显影响了数据的可靠性。
第二,意图计算机程序或数据被修改的结果的发生。这里的“修改”是指有关计算机上存储的任何程序或数据被更改或删除,或者任何程序或数据被添加到计算机资料中。修改不应理解为是对计算机或其存储介质的物理毁坏,进而适用1971年《刑事毁坏法》的规定。修改可以是永久性的,也可以是暂时性的。对于修改的结果,被告主观上必须持故意的心态。
第三,明知对计算机程序或数据的修改未经授权。这里的“未经授权”,是指行为人本人无权决定可以修改,或者未获得有修改决定权之人的同意。例如,在检察长诉列侬案中,被告通过恶意软件向公司的邮件服务系统发送了500多万封电子邮件,导致其瘫痪。上诉法院认为,公司默示同意接收邮件,不等于同意被海量的电子邮件淹没。默示同意也无须设定接收邮件的数量,而只需表明以通信为目的发送的邮件都可接收,但以中断系统服务为目的发送的邮件却不可接收。
根据《计算机滥用法》第3条第7款的规定,犯本罪的,如果以简易审理定罪,应处不超过6个月的监禁,或者不超过法定最高额的罚金,或者两罚并处;如果以公诉程序定罪,则应处不超过5年的监禁,或者无限额罚金,或者两罚并处。
三、2006年《警察和司法法》
1.《警察和司法法》的立法背景
该法主要是规范警察职权和刑事司法活动等事项的一部综合性法律,内容涉及警察制度的多个方面以及《刑事司法法》第12章的修订、《计算机滥用法》的修订等。该法于2006年11月8日通过。就网络犯罪而言,鉴于《计算机滥用法》在打击网络犯罪(特别是DoS攻击)方面的滞后和乏力,有必要修改法律,堵塞法律漏洞,增强刑罚威慑力。另外,欧盟《网络犯罪公约》(Convention on Cybercrime)于2001年11月签署,英国作为缔约国,也有义务履行公约的要求,修改相应的法律。
2.《警察和司法法》的主要内容
针对《计算机滥用法》在适用中存在的缺陷,《警察和司法法》(Police and Justice Act 2006)有四个条文对其予以修正,分别是:第35条修改了前者第1条,第36条(“新3条”)替换了前者第3条(“旧3条”),第37条为前者增设了第3A条,以及第38条修改了跨境犯罪和储蓄条款。
(1)修改非法访问计算机资料罪
《警察和司法法》第35条对非法访问计算机资料罪进行了两点修改。一是增加了构成要素的内容,即将“意图访问”修改为“意图访问或意图有助于访问”,从而扩大了本罪的涵摄范围。二是提高了法定刑的幅度,即如果以简易程序定罪,法定刑由原来的“不超过6个月的监禁,或者处以不超过标准等级表5级的罚金,或者两罚并处”修改为“在英格兰和威尔士,应处以不超过12个月的监禁,或者处以不超过法定最高额的罚金,或者两罚并处”,“在苏格兰,应处以不超过6个月的监禁,或者处以不超过法定最高额的罚金,或者两罚并处”;如果以公诉程序定罪,法定刑为“处以不超过2年的监禁,或者无限额罚金,或者两罚并处”。这样修改的益处有二:一是如果被告有可能被判处监禁,可以将其引渡,有利于与其他国家开展刑事司法合作;二是如果以公诉程序审理,可以追究本罪的未遂犯,将其绳之以法。
(2)修改非法修改计算机资料罪(非法损害计算机系统罪)
《警察和司法法》第36条替换了《计算机滥用法》第3条,规定:“意图损害计算机运行等或者放任这一结果而实施未经授权行为(1)任何人实施下列行为,即属犯罪:(a)对计算机实施了未经授权的行为;(b)在实施行为时,他明知自己未经授权;(c)存在以下第(2)或(3)款的情形。(2)本款适用于行为人实施行为时具有以下意图:(a)损害任何计算机的运行;(b)阻止或妨碍对任何计算机上存储的任何程序或数据的访问;(c)损害任何此类程序的运行或任何此类数据的可靠性;或者(d)有助于完成上述第(a)至(c)项所指的任何事项。(3)本款适用于行为人对其行为是否会导致第2款第(a)至(d)项的结果持轻率心态的情形……”据此,所谓非法损害计算机系统罪,是指未经授权,对计算机实施相关的行为,意图损害计算机的运行,阻止或妨碍对计算机程序或数据的访问,损害计算机程序的运行或数据的可靠性,以及促成这些事项完成,或者对上述结果的发生持轻率心态的情形。
本条对旧3条做了重大修改,完全替代了后者。一是修改了本罪的罪名,即将罪名由非法修改计算机资料罪修改为非法损害计算机系统罪。
二是扩大了本罪的处罚范围。新3条第2款第(a)(b)(c)项和旧3条完全相同,但增加第(d)项的内容,删除了“修改计算机内容”的规定。据此,只要行为可能“损害”计算机系统或其内容,即满足本罪的行为要件,而不需要行为达到“修改”计算机的内容的严重程度。这极大地扩张了本罪规制的行为对象的范围。例如,根据旧3条,DoS攻击能否归属于本罪的处罚范围是存疑的,因为发送给目标服务器的信息是被默认接收的,因而难以认定为目标服务器的内容“被修改”。但根据新3条,DoS攻击虽然没有像单一行为(传播病毒、蠕虫、特洛伊木马)那样“修改”计算机数据,但也属于本条规定的“损害”计算机系统的行为。不过,以“损害”代替“修改”也带来认定上的难题。“损害”一般是指减少、减弱、损坏等,这在解释上是一个相当主观的概念。它不像“修改”,要么是指数据变化,要么是指数据灭失,认定的标准非常明确、客观。而对系统或数据的“损害”,却不存在这样一个标准。根据新3条第5款的规定,“损害”还可以是暂时的,这更增加了判断的困难。尽管如此,本文认为,以“损害”代替“修改”还是非常可取的,具体认定时则应结合案情综合分析而定。例如,在女王诉马丁(路易斯·斯蒂芬)案中,被告对牛津大学、剑桥大学、肯特郡警察局等公共机构的服务器发动了DoS攻击,另外还侵入了一些个人银行账户。为修复攻击对系统造成的损害,两所大学用了19个工作日,警察局安全科用了35个工作时。那些银行账户信息被盗的个人也受到了影响,不得不销号、申领新卡,这一过程花费了数周时间。被告被认定犯有非法访问计算机资料罪、非法损害计算机系统罪、非法拦截通信罪。
三是增加了轻率的意志因素。根据旧3条规定,本罪的意志因素必须是故意。但根据新3条的规定,本罪的意志因素不仅可以是故意,也可以是轻率。因此,如果行为人已经预见到自己的行为会导致损害、阻止、妨碍任何计算机系统、程序或数据的结果,并且漠视这一结果发生的,即构成本罪。应当注意的是,在所有的计算机滥用犯罪中,只有本罪的意志因素可以是轻率,其他犯罪都只能是故意。这是基于加强法律的执行力和提高起诉率的需要,因为在实践中,证明轻率(漠视危害结果发生)比证明故意(意图危害结果发生)要容易得多。
四是提高了法定刑的幅度。根据新3条第6款的规定,犯本条之罪的,如果以简易程序定罪,在英格兰和威尔士,应处不超过12个月的监禁,或者不超过法定最高额的罚金,或者两罚并处;在苏格兰,应处不超过6个月的监禁,或者处不超过法定最高额的罚金,或者两罚并处。如果以公诉程序定罪,应处不超过10年的监禁,或者无限额罚金,或者两罚并处。简言之,和旧3条相比,如果以简易程序定罪,监禁的最高刑由6个月提高到12个月(仅限于在英格兰和威尔士);如果以公诉程序定罪,监禁的最高刑由5年提高到10年。
(3)增设制作、提供、获取计算机滥用犯罪物品罪
《警察和司法法》第37条规定:“在《计算机滥用法》第3条之后插入本条:3A制作、提供或获取用于第1条或第3条犯罪物品(1)任何人制作、改装、提供或者承诺提供任何物品,且意图该物品被用于实施或者帮助实施第1条或第3条规定之罪的,即属犯罪;(2)任何人提供或者承诺提供任何物品,且相信该物品可能被用于实施或者帮助实施第1条或第3条犯罪的,即属犯罪;(3)任何人获取任何物品,且目的是提供给他人使用,以用于实施或帮助实施第1条或第3条犯罪的,即属犯罪;(4)本条所谓的‘物品’包括以电子形式存储的任何程序或数据……”据此,制作、提供、获取计算机滥用犯罪物品罪,是指制作、提供、获取用于实施或者帮助实施计算机滥用犯罪的计算机程序或数据的行为。网络犯罪之所以如此猖獗,原因之一是专门用于网络犯罪的程序和工具随处可得,而且使用时基本不需要特别的技术。规定本条就是要打击网络犯罪工具的不法交易行为,将防范关卡前移,同时也是回应《网络犯罪公约》第6条第1款的要求。
本罪包括了三种行为类型,每一种行为类型相当于一种新罪,都有各自独立的构成要件。一是制作、改装、提供、承诺提供计算机滥用犯罪物品罪。该罪在客观上,必须实施了制作、改装、提供、承诺提供意图用于实施或者帮助实施《计算机滥用法》第1条或第3条规定之罪的程序或数据的行为;主观上,必须是故意。二是提供、承诺提供计算机滥用犯罪物品罪。该罪在客观上,必须实施了提供或者承诺提供可能用于实施或者帮助实施《计算机滥用法》第1条或第3条规定之罪的程序或数据的行为;主观上,必须是相信。三是获取意图用于计算机滥用犯罪物品罪。该罪在客观上,必须实施了获取意图用于《计算机滥用法》第1条或第3条规定之罪的程序或数据的行为;主观上,必须是故意。这三种犯罪都是行为犯,主观上均为故意,且都应认识到物品被用于计算机滥用犯罪的高度盖然性。这里的“物品”,是指意图用于网络犯罪的电子数据或程序,如专门用于DoS攻击的“Jaindos”软件、用于隐藏IP地址的“网络魔鬼”软件。例如,在女王诉马德案中,被告制作了一款恶意软件,并租售给11.2万个注册用户使用,获得了约38.6万英镑的租金收入。他本人和注册用户使用这款软件对66.6万个IP地址和域名发起了170万次分布式拒绝服务(DDoS)攻击。被告被判犯有非法损害计算机系统罪,制作、提供、获取计算机滥用犯罪物品罪和隐瞒犯罪所得罪。
根据第3A条第5款的规定,犯本条之罪的,如果以简易程序定罪,在英格兰和威尔士,应处不超过12个月的监禁,或者不超过法定最高额的罚金,或者两罚并处;在苏格兰,应处不超过6个月的监禁,或者不超过法定最高额的罚金,或者两罚并处;如果以公诉程序定罪,应处不超过2年的监禁,或者处以无限额罚金,或者两罚并处。
本条在立法过程中存在激烈的争议,焦点在于技术的中立性。实践中,所谓“黑客工具”都具有两面性,既可能用于网络违法犯罪,也可能用于检测网络安全,这取决于使用者的目的。如果将提供这类工具犯罪化,则可能造成过度威慑,阻碍技术创新。有论者指出,在业界,许多研发人员制作计算机程序、软件等工具,是基于信息安全、渗透测试以及其他正当需要。如果因为这些工具最终被用于网络犯罪而惩罚前端的制作行为,研发人员就会时刻担心有无触雷。虽然存在反对的声音,但法案最终获得通过,并在产业界和政界受到广泛好评。
本条在司法适用中也存在疑难问题,特别是对第2款中“可能”一词的解释。如果要根据该款认定犯罪,必须证明行为人主观上明知所提供的物品“可能”被用于网络犯罪。然而,“可能”的含义非常模糊和宽泛,而立法又完全授权司法者裁量判断,这就带来解释的难题。实践中,检察官在判断物品被用于实施网络犯罪的可能性时,通常应当考量以下诸要素:A.制作该物品的主要目的或者唯一目的,是否是为了实施网络犯罪;B.该物品是否具有广泛的商业基础,并通过合法渠道销售;C.该物品是否被广泛地用于合法目的;D.该物品是否具有实质的安装需要;E.与最初的意图相比,该物品用于实施犯罪的背景是什么。
四、2015年《严重犯罪法》
1.《严重犯罪法》的立法背景
2013年10月,英国政府公布了《严重犯罪和有组织犯罪战略》,以确保执法机构能够有效应对严重和有组织犯罪的挑战。作为回应,英国议会拟定了《严重犯罪法》(Serious Crime Act 2015),对现行诸多法律进行了重大修改。该法案于2015年3月2日议会通过,次日女王批准。其中,关于网络犯罪法律的修改,除了上述动因外,还有落实《欧洲议会和理事会2013/40/EU指令》(Directive 2013/40/EU of the European Parliament and of the Council,以下简称《2013/40/EU指令》)的需要。
2.《严重犯罪法》的主要内容
《严重犯罪法》用4个条文对《计算机滥用法》做出了较大修改,具体如下文所述。
(1)增设实施造成严重损害或危险行为罪
《严重犯罪法》第41条在《计算机滥用法》第3条之后插入3ZA条,规定:“实施造成严重损害或危险行为罪(1)任何人实施下列行为,即属犯罪:(a)该人对计算机实施了未经授权的行为;(b)在实施行为时,该人明知是未经授权的;(c)该行为造成了重大物质损害或产生造成重大物质损害的危险;(d)该人意图通过实施该行为造成重大物质损害,或者漠视造成重大物质损害……”据此,所谓实施造成严重损害或危险行为罪,是指未经授权,对计算机实施某种行为,造成重大物质损害的结果或结果发生的危险的情形。本罪的增设,旨在打击严重的网络犯罪,保护公共利益。
构成本罪,应当具备以下要件。第一,行为人对计算机实施了未经授权的行为。这里的“行为”,可以是计算机滥用的任何行为;可以是单一行为,也可以是系列行为;可以是作为,也可以是不作为。第二,造成了严重物质性损害的结果或者结果发生的危险。这里的“物质性损害”,是指对任何地区人类福祉的损害(包括生命丧失、身体受伤、导致疾病,金钱、食物、水、能源或燃料断供,通信系统中断,交通设施毁坏,医疗服务中断);对任何地区环境的损害;对任何国家经济的破坏;对任何国家的国家安全的破坏。这里的“危险”,是指造成严重物质性损害结果的可能性。“损害”和“危险”都必须是现实存在的,而不能是想象的或尚未发生的。不过,行为人所实施的行为并不必是损害结果发生的直接原因(间接原因亦可),也不必是唯一原因或者主要原因。J第三,行为人明知在实施行为时未经授权。如果存在授权的情形,则排除犯罪的成立。第四,行为人实施行为的目的,是意图造成重大物质性损害结果,或者漠视这一损害结果的发生。
根据第3ZA条第6、7款的规定,犯本罪的,应以公诉程序定罪,处以不超过14年的监禁,或者无限额罚金,或者两罚并处;如果造成人员死亡、伤害或者疾病,或者严重损害国家安全的,应以公诉程序定罪,处以终身监禁,或者无限额罚金,或者两罚并处。
(2)修改制作、提供、获取计算机滥用犯罪物品罪
《严重犯罪法》第42条规定:“将《计算机滥用法》第3A条(制作、提供、获取用于第1条或第3条规定的犯罪物品罪)第3款中的‘物品考虑用于’替换为‘物品—(a)意图用于实施或者帮助实施第1、3或3ZA条的犯罪;或者(b)考虑用于’。”这一修改,旨在与《2013/40/EU指令》第7条的规定保持一致。
《计算机滥用法》旧第3A条基本满足《2013/40/EU指令》第7条的要求,只是未将“获取以供本人所用”纳入刑罚处罚的范围。根据旧第3A条第3款的规定,获取物品,意图提供给他人实施计算机滥用犯罪之用的,构成犯罪;但是,如果获取物品是意图供自己实施计算机滥用犯罪之用的,则不构成犯罪。这里,明显存在一个法律漏洞。为此,《严重犯罪法》第42条在保留原有规定的基础上,又增加了一种行为类型,即获取物品,意图供本人犯罪之用的。据此,只要证明行为人意图在实施相关犯罪中使用特定物品而持有的,即构成犯罪,而无须考虑是否意图提供给他人犯罪之用。这一修改极大地提高了法律的执行力和威慑力。据此,警察在嫌疑人尚未实施网络攻击前(仅获取物品但尚未进一步实施计算机滥用犯罪),就可以进行干预和阻断;检察官对获取物品行为也可以直接起诉,因为根据涉案工具的性质,通常就可以证明行为人将其用于计算机滥用犯罪的意图,这显然要比证明行为人将物品用于第三人犯罪的意图容易得多。
五、英国网络犯罪刑事立法的镜鉴
从1990年《计算机滥用法》颁布至今,英国网络犯罪刑事立法历经三十余年。概而观之,既有可圈可点、值得借鉴的经验,也有乏善可陈、需要警惕的偏误,值得我国网络犯罪刑事立法予以镜鉴。
1.英国网络犯罪刑事立法的经验
(1)注重网络犯罪刑事立法的指向性
网络犯罪刑事立法的任务,是要将“网络犯罪行为”纳入犯罪圈,予以刑罚制裁。为此,首先要明确网络犯罪的行为类型。对此,多数学者主张三分法,即将网络犯罪分为以网络为对象的犯罪、以网络为犯罪工具的犯罪和以网络为犯罪场所的犯罪三个基本类型。部分学者坚持两分法,即将网络犯罪分为纯正网络犯罪和不纯正网络犯罪两个基本类型。英国议会采纳的是两分法,即将网络犯罪分为利用型网络犯罪(相当于不纯正网络犯罪)和依赖型网络犯罪(相当于纯正网络犯罪),这可谓抓住了问题的关键。虽然传统刑法制定之初不是以网络犯罪为规制对象的,但并不意味着其对网络犯罪的规制完全无能为力。事实上,对于利用型网络犯罪而言,都能在现实生活中找到相应的传统犯罪作为对照,二者属于“量”或“形”的差异,而非“质”或“本”的不同,因而完全可以在传统刑法的框架下予以有效规制。只有依赖型网络犯罪,由于纯粹利用网络技术,在网络空间实施,且在传统犯罪中找不到相应的参照物,属于全新的犯罪类型,这才需要制定新法予以专门应对。由此,英国的网络犯罪刑事立法基本上是对依赖型网络犯罪的立法,《计算机滥用法》可谓是规制网络犯罪的基本法。这种调整优化立法存量、控制立法增量的做法,有利于节约有限的立法资源,降低立法成本,提高立法效益。
(2)注重网络犯罪刑事立法的严密性
为应对网络空间的治理挑战,英国政府强调国家主导功能的重要性。2009年英国政府出台了首个国家网络安全战略,用以指导和加强国家的网络安全建设,并于2011年、2016年根据安全形势和建设需求的变化,发布了第二版、第三版国家网络安全战略。与此相对,英国议会的行动则更为迅速。早在20世纪80年代中期,议会即已启动立法程序,开始探寻网络犯罪的治理之策。总体而言,英国网络刑事犯罪立法,体现出一种“严而又厉”的特色。“严”是指法网严密。刑事立法活动与刑事司法实践的联系非常紧密,往往是基于典型案例处理中凸显的法律漏洞之填补的需要而启动。由于长期受议会至上的法律传统的浸染,面对法律漏洞,英国民众更加青睐由立法机关(能动修法)而不是司法机关(能动释法)来解决。“厉”是指处罚严厉。这里的“处罚严厉”,是相对而言的。对于网络犯罪,从无为而治到法律干预,从行政法规制到刑法规制,从民事罚款到刑事罚金,从有限额罚金到无限额罚金,这种法律效果的变化,本身就是严厉处罚网络犯罪理念的体现。从立法实践来看,《警察和司法法》和《严重犯罪法》对部分网络犯罪法定刑的修改,将其提高至10年监禁,甚至无期徒刑这一最重刑罚,更是鲜明地体现了以“严刑峻法”应对网络犯罪的姿态。
(3)注重网络犯罪刑事立法的国际性
网络犯罪天然是一种跨国犯罪,需要国际社会的协调合作和司法互助,才能有效地对其惩治。为此,网络犯罪刑事立法必须遵循国际社会的共通性规则。作为世界上第一部惩治网络犯罪的国际公约,《网络犯罪公约》“通过从实体法、程序法和国际合作方面对网络犯罪的系统规定,公约构建了一套打击网络犯罪的最低区域性国际标准”。英国议会不断修改网络犯罪刑事立法,某种程度上也是基于这种考量,特别是要与相关国际公约保持一致。具体而言,体现在以下三个方面。其一,在犯罪设定上,根据国际公约或国际法律文件的要求,及时修改或增设有关罪名。例如,《警察和司法法》根据《网络犯罪公约》的要求,增加了制作、提供、获取计算机滥用犯罪物品罪;《严重犯罪法》根据《2013/40/EU指令》的要求,修改了制作、提供、获取计算机滥用犯罪物品罪,增加了获取计算机滥用犯罪物品意图供本人犯罪之用的行为类型。其二,在管辖设定上,根据惩治犯罪需要和国际法律文件的要求,及时修改完善相关条文。例如,《计算机滥用法》拓展了传统的管辖权,增加了一种域外管辖权,即英国法院对于域外实施的、与英国具有紧密联系的犯罪行为,具有管辖权。这里的“紧密联系”,仅限于被害人、目标计算机或受影响的计算机在犯罪行为实施时位于英国。但《2013/40/EU指令》颁布后,《严重犯罪法》又对管辖权做了补充,增加了国籍这一连接因素。据此,对于英国公民在域外实施第1条至第3A条的犯罪,虽然除了被告国籍之外没有其他连接因素,但只要犯罪行为地国也将这种行为规定为犯罪,则英国法院亦具有管辖权。其三,在刑罚设定上,提高一些犯罪的法定刑,以便能够对罪犯予以引渡。例如,《警察和司法法》将非法访问计算机资料罪的法定最高刑由6个月提高至12个月,就是考虑引渡的需要。
2.英国网络犯罪刑事立法的偏误
(1)网络犯罪刑事立法的及时性不足
网络犯罪是一种技术犯罪,技术的发展有多快,网络犯罪的发展就有多快。由此,网络犯罪刑事立法的滞后性,似乎是必然的,不应过于苛求立法的及时性。尽管如此,英国议会在网络犯罪的制度供给方面,反应实在过于迟缓。例如,对于DoS攻击行为,《计算机滥用法》没有规定,直到《警察和司法法》才将其纳入犯罪圈,其间经历了整整16年。再如,对于获取计算机滥用犯罪物品供本人犯罪之用的行为,《警察和司法法》没有完全遵循《网络犯罪公约》的要求,将其规定为犯罪,直到《严重犯罪法》才根据《2013/40/EU指令》的要求,将其纳入犯罪圈,其间也长达9年之久。在信息社会时代,各国基于网络技术的迅猛发展给犯罪治理带来的挑战,纷纷提高了立法应对的强度和速度,表现之一便是修法的频率不断加大,修法的间隔期不断缩短。英国议会关于网络犯罪修正的效率之低,或许是其立法程序的复杂性使然,但这种表现确实不尽人意。
(2)网络犯罪刑事立法的明确性有所欠缺
英美法谚云:“不明确的法律无效。”客观地说,英国议会是比较重视法律规范的明确性的,这一点可以从法律中对一些法律术语的解释中得以佐证。例如,《计算机滥用法》第17条专门对该法的一些关键术语进行了解释,包括“访问”“使用”“输入”“未经授权”“存储”“修改”等。又如,《警察和司法法》第37条对“物品”一词进行了专门界定。然而,对于一些重要的术语,立法并没有进行解释。例如,《计算机滥用法》没有对“计算机”一词进行界定。尽管立法者考虑到技术的发展,不便对其做出界定,以免束缚了司法者的手脚。但是,对于这么一个基础性概念,不予定义是不合适的。对此,《网络犯罪公约》明显采取不同的立法技术,开篇即对“计算机系统”做出界定,同时还界定了“计算机数据”“服务提供商”“流量数据”等相关概念。
(3)网络犯罪刑事立法的扩张性开始显现
在风险社会,各国立法在一定程度上都偏离了危害原则,出现了刑事立法扩大化的趋势。公允地说,英国议会在网络犯罪刑事立法方面,能够坚持谦抑性原则,适度地划定犯罪圈的边界。例如,《计算机滥用法》将计算机犯罪限定于依赖型计算机犯罪,对利用型计算机犯罪则由现行刑法予以调整,这就较好地避免了刑法体系的扩张化和膨胀化。之后的网络犯罪刑事立法,基本上都遵循这一思路,因而网络犯罪立法规模总体是适量的、可控的。但是,相比其他国家的网络犯罪立法,英国还是显现出一定的扩张性。具体表现在以下三个方面:一是计算机滥用犯罪普遍缺乏对危害结果构成要素的“量”的限制,与《网络犯罪公约》及其他国家的规定存在明显的差异,如非法访问计算机资料罪;二是个别犯罪将预备行为正犯化,极大地扩大了犯罪圈,如制作、提供、获取计算机滥用犯罪物品罪;三是个别犯罪偏离了“网络犯罪立法就是对依赖型网络犯罪的立法”的惯例,有向利用型网络犯罪立法的倾向,如实施造成严重损害或危险行为罪,即动摇了不同网络犯罪区分应对的立场。
3.对我国网络犯罪刑事立法的镜鉴
近年来,我国信息网络发展相当迅速,同时网络犯罪亦呈高发态势。对照英国网络犯罪刑事立法的经验和教训,我国网络犯罪刑事立法需要从以下几个方面予以完善。
第一,应当继续坚持重在规制纯正网络犯罪的立法方向。我国1997年刑法颁布之初,仅规定了两个网络犯罪,即刑法第285条第1款非法侵入计算机信息系统罪和第286条第1款破坏计算机信息系统罪。这两个犯罪均是纯正网络犯罪。同时,第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。该条规定属于不纯正的网络犯罪。由此,确立了网络犯罪二分法的规制架构,即纯正的网络犯罪需要专门制定新罪规制,而不纯正的网络犯罪则按照传统罪名规制。这是相当科学的。之后,《刑法修正案(七)》增加的两个网络犯罪,即刑法第285条第2款非法获取计算机信息系统、非法控制计算机信息系统罪,刑法第285条第3款提供侵入、非法控制计算机系统程序、工具罪,亦维持这一规制架构。但是,《刑法修正案(九)》却打破了这一二分法,其所增加的三个罪名,既有纯正网络犯罪,也有不纯正网络犯罪。具体而言,刑法第286条之一规定的拒不履行信息网络安全管理义务罪属于纯正网络犯罪,而刑法第287条之一规定的非法利用信息网络罪和刑法第287条之二规定的帮助信息网络犯罪活动罪均属于不纯正的网络犯罪。对不纯正网络犯罪专门设定新罪,不仅浪费了有限的立法资源,而且将导致设罪基本理论的混乱。
第二,应当重新设定计算机基本罪名之间的关系。英国网络犯罪的三个基本罪名在危害性上呈现出一种级差关系,即非法访问计算机资料罪最轻,加重访问计算机资料罪次之,非法损害计算机系统罪最重。其内在的逻辑关系是:意图实施其他犯罪的非法访问重于一般的非法访问,非法损害则重于任何非法访问。相应的,三种犯罪的刑罚配置也呈现一种级差关系。反观我国的三个计算机基本犯罪,即非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪和破坏计算机信息系统罪,在构成要件、刑罚配置方面却彼此交错,呈现出一种剪不断、理还乱的状态。首先,非法侵入一般计算机信息系统无罪(需侵入后还获取数据才构罪),非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统才构罪,这种因计算机信息系统所有者不同而采取不同保护的做法有违平等保护原则。其次,对非法侵入国家事务、国防建设、尖端科学技术领域的计算机系统后,获取数据的行为,按非法侵入但未获取数据的行为同等处罚,缺乏加重法定刑。再次,非法获取、非法控制和破坏三种行为难以分开,互相交叉,使相关罪名的界限模糊。为此,有必要重新厘清三个罪名的关系,设计明确清晰的构成要件。初步设想,非法侵入为基本行为类型,非法侵入后获取为加重行为类型,而破坏(包括非法控制)则为另一独立的行为类型。
第三,应当注意协调与相关国际公约的规定。我国虽然不是《网络犯罪公约》的缔约国,但由于网络犯罪的无地域性特征,在刑事追诉中更需要国际刑事司法合作。为此,在刑事实体法上尽可能保持协同和一致,则更有利于取得国际社会的配合,共同打击网络犯罪。我国网络犯罪刑事立法总体上与《网络犯罪公约》的相关规定是一致的,但也存在个别差异之处。对于其中的差异之处,包括我国未规定为犯罪而《网络犯罪公约》规定为犯罪的情形,或者相反的情形,都有必要审视我国的做法是否合理。例如,我国刑法第285条之三规定了提供侵入、非法控制计算机信息系统程序、工具罪,《网络犯罪公约》亦规定有设备滥用罪。但后者包括非法持有用于网络犯罪的数据或程序的行为,而前者并不包括非法持有这一行为类型,由此存在处罚漏洞,需要立法修正。
作者信息
叶良芳,1970年生,博士,浙江大学光华法学院教授、博士生导师。
马路瑶,1993年生,浙江大学光华法学院博士研究生。
来源
文章原载:英国网络犯罪刑事立法的发展及其镜鉴,《国外社会科学》2020年第5期。
因文章篇幅原因略去注释。
推荐阅读
国外社会科学
长按二维码
关注我们