最高法:侵犯公民个人信息等网络犯罪如何适用法律
《刑法修正案(九)》实现了刑法在网络犯罪领域的扩张,但相关规定的司法适用面临诸多难题。本文选取其中的侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,从司法适用的视角,对所涉及的法律适用问题进行探讨。
适时修改完善惩治网络犯罪的法律规定,形成惩治网络犯罪的高压态势,是网络时代刑法扩张的应有之义。《刑法修正案(九)》突出了对网络犯罪的关注,多个条文与网络犯罪相关,涉及新增犯罪、扩充罪状、降低入罪门槛、提升法定刑配置和增加单位犯罪主体等多种方式。然而,《刑法修正案(九)》施行以来,网络犯罪相关规定争议不断,司法适用面临诸多难题。基于此,本文围绕侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪所涉及的若干问题,探究相关规定的司法适用,以求教于学界方家和实务同仁。
在信息时代,“现代社会中每个成员自身的情况也已经是社会信息中不可分割的部分”。[1]特别是,随着信息网络技术的不断发展,公民个人信息的安全性问题日益成为一个全社会关注的问题。为进一步加强对公民个人信息的保护,《刑法修正案(九)》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合成侵犯公民个人信息罪,扩大犯罪主体的范围,提升法定刑配置。
在《刑法修正案(九)》之前,出售、非法提供公民个人信息的入罪前提要件是“违反国家规定”。而刑法第九十六条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”因此,对于出售、非法提供公民个人信息非法性的判断标准应当是“国家规定”,即立法机关制定的法律和国务院制定的行政法规等。考虑到对出售、非法提供公民个人信息“违反国家规定”尚存争议,《刑法修正案(九)》将“违反国家规定”修改为“违反国家有关规定”。
本文认为,“违反国家有关规定”不同于“违反国家规定”,前者的范围更为宽泛。我国尚未制定专门的公民个人信息保护法,但一些专门的法律、法规对特定领域公民个人信息的保护有专门规定。此外,违反部门规章等国家规定关于公民个人信息保护的规定的,也可以认定为“违反国家有关规定”。但是,“国家有关规定”宜限于国家层面的有关规定,不包括地方性法规的等非国家层面的规定。
“公民个人信息”的范围把握,直接影响侵犯公民个人信息罪在司法实践中的正确适用。然而,刑法未对“公民个人信息”的范围作出明确,其他法律规定也缺乏对“公民个人信息”的统一规定。
1.“公民个人信息”的“公民”如何把握?“公民”是一个严格的法律概念,也有着固定的内涵和外延。然而,对于刑法中“公民个人信息”的“公民”如何把握,特别是是否局限于中国公民(具有中华人民共和国国籍的人),还是包括外国公民、无国籍人在内,存在着认识分歧。[2]
本文认为,公民个人信息犯罪中的“公民个人信息”,既包括中国公民的个人信息,也包括外国公民和其他无国籍人的个人信息。主要考虑如下:(1)从刑法规范用语的角度看,刑法第二百五十三条之一的用语是“公民个人信息”,但并未限定为“中华人民共和国公民的个人信息”,因此,从刑法用语的角度而言,不应将此处的“公民个人信息”限制为中国公民的个人信息。(2)外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护,否则,会出现对外籍人、无国籍人个人信息保护的缺失,这显然不符合立法精神和主旨。从个人信息的刑法保护角度而言,“我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人,一视同仁地提供刑法的保护,不主张有例外。”[3]基于平等适用刑法原则,无论是侵犯我国境内的外国人、无国籍人个人信息的刑事案件,还是我国境内危害行为侵犯境外的外国人、无国籍人个人信息的刑事案件,我国均享有当然的刑事管辖权,对于这类刑事案件没有理由不适用我国刑法的规定追究刑事责任。(3)从司法实践的具体情况看,将大量外籍人、无国籍人个人信息排除在刑法保护之外,无疑放纵了犯罪。特别是,对于一起侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息,也有外国公民、无国籍人的个人信息的,只处罚涉及我国公民个人信息的部分,既不合理,也难操作。
2.“公民个人信息”的“个人信息”如何把握?关于“个人信息”的含义,理论和实务界存在不同认识,主要有如下几种观点:[4]第一种观点认为,个人信息是指能实现对公民个人情况的识别,被非法利用时可能对公民个人生活和安宁构成损害和危险的信息。第二种观点认为,个人信息是指本人不希望扩散,具有保护价值,一旦扩散,可能对公民权利造成损害的信息。其中,有论者也从刑法第二百五十三条之一侵犯之法益的角度认为,个人信息具有个人隐私的特征。第三种观点认为,个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。本文认为,上述关于“个人信息”的不同观点,实际上涉及对“个人信息”的范围把握问题。对此,宜把握两个原则:
(1)从更为有效地保护公民权利的角度出发,对个人信息的范围不宜限制过窄。一方面,不宜将个人信息限定为个人隐私。个人信息不等同于个人隐私,即便个人信息已经公开,仍有可能成为公民个人信息犯罪侵犯的对象,如有关部门为救济、救助而公示的公民个人信息。另一方面,也不宜将个人信息限定为能够识别公民个人身份的个人专属性信息。换言之,公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份的信息属于“个人信息”的范围,但并非全部。综上,个人信息既包括个人的专属性信息,也包括涉及公民隐私的信息。
(2)对个人信息范围的把握,应当充分考虑与有关法律法规的协调和一致。全国人大常委会《关于加强网络信息保护的决定》第一条第一款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”上述规定虽然不是直接针对刑法第二百五十三条之一规定的“公民个人信息”,但为准确把握“公民个人信息”提供了可资借鉴的基础。在此基础上,“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号,以下简称《通知》)明确规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”
本文认为,《通知》关于“公民个人信息”的界定较为合理,明确了公民个人信息主要包括能够识别公民个人身份的信息和涉及公民个人隐私的信息两大类,实践中可以据此予以把握相关问题。需要提及的是,对于“能够识别公民个人身份的信息”,应当理解为能够单独或者与其他信息结合识别公民个人身份的信息。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。
根据刑法第二百五十三条之一的规定,出售、非法提供公民个人信息,窃取或者非法获取公民个人信息,均以“情节严重”为入罪要件。如果未达到情节严重的程度,如系初犯,涉案公民个人信息数量较小,获利较少等,则不构成犯罪,可以根据具体情况予以行政处罚。
关于“情节严重”的具体认定标准,刑法第二百五十三条之一未作规定,[5]目前也未见相关司法解释对此予以明确。综合司法实践的具体情况,本文认为,可以从以下几个方面认定“情节严重”:(1)公民个人信息的数量。如果出售、非法提供或者窃取、非法获取公民个人信息的数量较大的,应当认定为“情节严重”。需要注意的是,各类公民个人信息的差异较大,在确定数量标准时应当区别对待。例如,手机位置、车辆轨迹等信息与公民人身安全直接相关,系高度敏感信息,对于此类信息的行为应当设置相对较低的入罪标准。(2)违法所得的数额。从实践来看,不少侵犯公民个人信息案件,特别是出售和非法提供公民个人信息案件,其目的主要在于牟取经济利益。因此,应当以违法所得的数额作为衡量“情节严重”的标准之一。(3)引发的后果的严重程度。对于违反国家有关规定,将所获取的公民个人信息出售或者提供给他人,被他人用以实施犯罪,造成受害人人身伤害甚至死亡,或者造成重大经济损失、恶劣社会影响的,可以认定为“情节严重”。对于窃取或者以其他方法非法获取公民个人信息,造成其他严重后果的,也可以认定为“情节严重”。(4)行为人的一贯表现。对于以出售、非法提供或者窃取、非法获取公民个人信息为业,特别是曾因侵犯公民个人信息受过行政处罚或者刑事处罚又实施此类行为的,在认定“情节严重”时应当加以充分考虑。
为强化网络服务提供者的信息网络安全管理义务,《刑法修正案(九)》增设拒不履行信息网络安全管理义务罪,规定网络服务提供者不履行网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,构成犯罪:(1)致使违法信息大量传播的;(2)致使用户信息泄露,造成严重后果的;(3)致使刑事案件证据灭失,情节严重的;(4)有其他严重情节的。
根据刑法第二百八十六条之一第一款的规定,拒不履行信息网络安全管理义务罪的主体为“网络服务提供者”。本文认为,可以从提供网络服务和利用网络提供公共服务这两个角度把握“网络服务提供者”的范围。具体而言,提供下列服务的主体,应当认定为“网络服务提供者”:(1)网络接入服务、信息服务、数据中心服务、网络加速服务、上网服务、应用服务、域名服务等网络接入、存储、传输、应用服务;(2)利用信息网络提供的政务、金融、通信、交通、民航、教育、医疗、能源等公共服务。
从实践来看,网络服务提供者往往在各地设立分支机构和内部设立内设机构、部门。例如,某运营商是网络服务提供者,其在各地都有分支机构,但只有各省分公司具有法人资格,市级和县级分支机构未必具有法人资格。对于单位的分支机构或者内设机构、部门(特别是不具有法人资格的主体)拒不履行信息网络安全管理义务的行为,实践中如何进行责令改正、以及如何追究刑事责任,存在不同认识。本文认为,单位的分支机构或者内设机构、部门可以成为拒不履行信息网络安全义务管理罪的主体。主要考虑如下:第一,如果认为单位的分支机构或者内设机构、部门不能成为本罪的主体,则意味着实践中进行责令改正,须向单位进行责令改正。如对某运营商省公司的责令改正文书须向总公司作出,不具有可操作性。第二,对于单位分支机构或者内设机构、部门实施拒不履行信息网络安全管理义务犯罪,根据罪责自负原则,不宜由单位承担刑事责任,故应当将单位分支机构或者内设机构、部门作为刑事责任追究的对象。
根据刑法第二百八十六条之一第一款的规定,拒不履行信息网络安全管理义务罪的入罪前提为“经监管部门责令采取改正措施而拒不改正”。司法适用中应当妥当把握这一要件,既要防止打击面不当扩大,也要切实发挥本罪的威慑和教育功能。
1.责令改正的主体和方式。根据刑法明确规定,责令改正的主体是“监管部门”。而根据《人民警察法》第六条和《计算机信息系统安全保护条例》第六条的规定,公安机关负责计算机信息系统安全保护的监管工作。基于此,责令改正的主体包括但不限于公安机关。例如,《计算机信息系统安全保护条例》第六条第二款规定:“国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”据此,在国家安全部、国家保密局的职责范围内,其也可以成为责令改正的主体。需要进一步研究的是,责令改正的主体有无级别限制,是否任何级别的监管部门(如县级公安机关的派出所)均能责令网络服务提供者采取改正措施。本文认为,为规范责令改正行为,兼顾信息网络安全规制的现实需要,宜对责令改正的主体的级别作出限制(至少应当限于县级以上的监管部门)。此外,由于责令改正涉及刑事责任的追究,宜将责令形式限于法律文书形式。
2.责令改正的对象。通常情况下,对于责令改正的对象不存在争议。需要注意的是,如前所述,单位的分支机构或者内设机构、部门可以成为拒不履行信息网络安全义务管理罪的主体。故而,单位的分支机构或者内设机构、部门不履行法律、行政法规规定的信息网络安全管理义务的,监管部门应当向单位的分支机构或者内设机构、部门责令采取改正措施。
3.责令改正的内容。责令改正的内容与网络服务提供者的网络管理义务范围直接相关。从网络服务行业的长远发展而言,当前似不宜赋予其过重且事实上无法做到的义务要求。因此,责令改正的内容原则上应当具体明确,通常应当限于已经发生的危害行为。实践中,不宜作出“下次不得再出现违法信息”“一经出现违法信息马上删除”等抽象责令改正要求。[6]但是,这并不意味着责令改正的具体措施不能涉及防范未来可能发生的危害行为。例如,责任网络服务提供者采取特定措施,以筛查违法信息的,应当属于可以责令改正的内容。
4.拒不改正的认定。通常情况下,在责令改正法律文书指定的期限内未采取改正措施的,应当认定为经监管部门责令采取改正措施而“拒不改正”。考虑到司法实践的情况较为复杂,应当认为存在例外,即有证据证明行为人确因自然灾害等不可抗力或者其他正当事由未知悉责令改正或者未及时采取改正措施的除外。
5.免责规则的确立。考虑到信息网络服务安全的复杂性和高风险性,为使网络服务提供者不致于承担过重的安全责任,以激发从事信息网络服务的积极性,基于不作为犯罪的基本原理,对于网络服务提供者履行法律、行政法规规定的信息网络安全管理义务,或者虽未履行有关安全管理义务但根据监管部门的责令采取改正措施,仍然出现违法信息大量传播、用户信息泄露或者刑事案件证据灭失等情形的,不构成犯罪。
根据刑法第二百八十六条之一的规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的行为,具有所列情形的,才构成犯罪。
1.“致使违法信息大量传播的”的情形。对于“违法信息”,可以从信息内容和发布信息的目的两个角度加以判断。具体而言,含有法律、行政法规禁止的内容的信息,以及为实施违法犯罪活动发布并经监管部门责令处置的信息,应当认定为“违法信息”。而对于“致使违法信息大量传播”,可以从信息传播面和信息接收量两个方面加以判断。当然,考虑到本罪为不作为犯罪,行为人并未直接实施传播违法信息的行为,以及网络传播具有难以控制性,故应当较之直接传播行为的入罪门槛大幅提升,以确保刑事介入的谦抑。
2.“致使用户信息泄露,造成严重后果”的情形。“用户信息”与“公民个人信息”存在交叉竞合,但不能等同。一般认为,用户信息是指用户在接受信息网络服务中被采集、存储、传输信息。具体而言,主要包括下列信息:(1)网络公民个人信息;(2)账号、密码、数字证书等用于确认用户操作权限的身份认证信息;(3)上网轨迹、交易记录、浏览记录、通信记录、位置记录等网络行为信息;(4)通信内容。本文认为,基于全面保护的原则,用户信息不限于不能被公开获取的信息。但是,对于经权利人同意发布、获取的信息,实际上不存在“泄露”的问题,故不作上述限制并不会导致刑事介入的宽泛。至于“造成严重后果”,可以根据用户信息的重要程度以及泄露可能造成的危害程度,从信息数量、涉及用户数量、损失数额等方面,认定是否致使用户信息泄露“造成严重后果”。
3.“致使刑事案件证据灭失,情节严重”的情形。对于“情节严重”,可以主要从致使刑事证据灭失的次数和灭失的刑事证据涉及的案件类型等角度加以认定。例如,多次造成刑事案件证据灭失的,或者造成危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重犯罪的证据灭失的,可以考虑认定为“情节严重”。
4.“有其他严重情节”的情形。从实践来看,可以从致使公共服务的信息网络遭受破坏、信息网络服务被用于犯罪以及经济损失等方面认定“有其他严重情节”的情形。例如,下列情形可以考虑认定为“有其他严重情节的”:(1)致使国家机关或者金融、电信、交通、教育、医疗、能源等领域提供公共服务的信息网络受到破坏,严重影响生产、生活或者造成恶劣社会影响的;(2)致使信息网络服务被多次用于犯罪,或者被用于危害国家安全犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重犯罪的;(3)致使造成特别重大的经济损失的。
《刑法修正案(九)》增设非法利用信息网络罪,有针对性地对尚处于预备阶段的网络犯罪行为独立入罪处罚,规定利用信息网络实施下列行为之一,情节严重的,构成犯罪:(1)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的;(2)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的;(3)为实施诈骗等违法犯罪活动发布信息的。
大量网络犯罪案件中,仅能查实行为人在网络上实施联络或者其他活动,对于网络下实施的各种危害性行为,很难一一查实、查全。因此,设立非法利用信息网络罪,目的是为了解决网络犯罪中带有预备性质的行为如何处理的问题,将刑法规制的环节前移,以适应惩治犯罪的需要。[7]可见,非法利用信息网络罪的实质是对网络犯罪预备行为独立入罪,实现预备行为实行化。因此,认定非法利用信息网络罪,只应要求行为人实施了相应的网上行为,即所设立的网站、群组用于实施违法犯罪活动,或者所发布的信息内容有关违法犯罪或者为实施诈骗等违法犯罪活动。至于行为人客观上实施了相应违法犯罪活动,属于网下行为,不应成为非法利用信息网络罪的构成要件内容[8];而且,对于行为人实施了相应违法犯罪活动,符合刑法第二百八十七条之一第三款规定的,应当从一重罪处断。
此外,如后所述,帮助信息网络犯罪活动罪通常须以帮助对象构成犯罪为前提,适用空间有限。为此,应当充分利用非法利用信息网络罪以涉及违法犯罪活动的网站、通讯群组或者信息为对象的要件规定,尽量扩大适用空间。故而,对非法利用信息网络罪的客观行为方式界定为包括行为人“为自己或者为他人”非法利用信息网络的情形。而且,为他人非法利用信息网络设立网站、通讯群组或者发布信息,虽然也属于帮助信息网络犯罪活动的情形,但其本质上还是一种非法利用信息网络的情形,且非法利用信息网络罪与帮助信息网络犯罪活动罪的法定刑配置完全一致,故作出上述规定符合刑法第二百八十七条之一的规范涵义。
刑法第二百八十七条之一第一款第一项、第二项规定的情形为“设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的”“发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的”。
1.“违法犯罪”的涵义。基于立法技术考虑,刑法第二百八十七条之一第一款只例举了诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动。从实践来看,常见的还包括传播宣扬恐怖主义、极端主义信息、侵犯知识产权、传销、侵犯公民个人信息、组织考试作弊等违法犯罪活动。
2.用于实施违法犯罪活动的网站、通讯群组的界定。对此,可以从网站、群组的设立目的与设立后主要从事的活动两个方面加以判断。具体而言,以实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动为目的设立或者设立后主要实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、群组,应当认定为“用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”。
3.设立用于实施违法犯罪活动的网站、通讯群组的认定。如前所述,对非法利用信息网络罪的客观行为方式应界定为包括行为人“为自己或者为他人”非法利用信息网络的情形。故而,对于设立有关网站、通讯群组亦应包括为自己和为他人设立网站、通讯群组的情形。从司法实践来看,将建立完整的网站、通讯群组进而转交给他人的行为认定为设立网站、通讯群组,应无问题。但是,网络犯罪的特点是分工细化、各管一段,实践中不少人不直接从事网站的建立网站、通讯群组的工作,仅从事其中的一个环节。故而,为他人设立上述网站、通讯群组提供互联网接入、服务器托管、网络存储空间、通讯传输通道等帮助的,也应当认定为“设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”。
4.发布信息的认定。司法实践中,有些行为人为逃避打击,不直接发布信息,而是发布信息的链接地址、截屏,或者将包含信息的文件放到网盘等存储空间后发布访问账号、密码。例如,传播淫秽色情案件中,行为人将大量淫秽色情视频文件存入网盘后,在网上售卖网盘账号、密码。实际上,此种情形与直接发布信息并无差异,应当认定为“发布信息”。这一界定应当同时适用于刑法第二百八十七条之一第一款第二项、第三项规定的“发布信息”。
根据刑法第二百八十七条之一第一款第三项的规定,非法利用信息网络罪的客观行为方式包括“为实施诈骗等违法犯罪活动发布信息”。从实践来看,为便利相关案件办理,对于“实施诈骗等违法犯罪活动”的主观目的,宜允许根据客观行为加以推定。具体而言,可以根据如下客观情形推断行为人主观上具有“实施诈骗等违法犯罪活动”的目的:(1)曾因发布违法犯罪信息受过刑事追究,或者曾因发布同类信息受过行政处罚的。这主要是从行为人的一贯表现推定行为人的主观目的。当然,由于刑事追究与行政处罚存在差异,故而,如果行为人曾因发布违法犯罪信息受过行政处罚,但此次发布的信息系不同类信息的,不宜推定行为人为实施违法犯罪活动发布信息(2)为实施相关违法犯罪活动准备工具、制造条件或者已经着手实行的。例如,行为人已在购买相关作案工具,可以推定为实施相应违法犯罪活动发布信息。当然,由于上述情形系推定,应当允许行为人提出反证,即有证据证明确非为实施违法犯罪活动发布信息的除外。
此外,需要注意的是,在《刑法修正案(九)》施行前,根据“两高”《关于办理诈骗刑事案件具体应用法律若干问题的解释》(以下简称《诈骗罪解释》)第五条的规定[9],对于发送诈骗短信的行为,可以诈骗罪(未遂)定罪处罚。而此种行为实质上应当归属于“为实施诈骗等违法犯罪活动发布信息的”情形。那么,在《刑法修正案(九)》施行后,是否意味着对发送诈骗短信的行为应当适用非法利用信息网络罪。本文认为,从修法精神来看,增设非法利用信息网络罪是为了加大对网络犯罪的惩治力度,而不是减轻处罚力度。而实践中查获的案件发送的诈骗短信通常数量大,可以认定为刑法第二百六十六条规定的“其他特别严重情节”。故而,依据刑法第二百八十七条之一第三款的规定,对此类行为原则上仍应当以诈骗罪(未遂)定罪处罚。[10]当然,例外情形下,如依照非法利用信息网络罪处罚较重或者处罚一致的,可以考虑适用非法利用信息网络罪。
根据刑法第二百八十七条之一第一款的规定,非法利用信息网络的入罪以“情节严重”为标准。根据司法实践中的具体情况,可以从如下几个方面认定“情节严重”:
1.传播面,具体包括设立网站、发布信息数量和访问数量。很多从事诈骗活动的犯罪分子会申请很多近似的域名而指向相同的网站,如针对工商银行(icbc.com.cn)制作钓鱼网站,犯罪分子将网站内容托管到服务器后会申请诸如icbc.com、1cbc.com、icdc.cn等近似于工商银行域名的虚假域名指向网站后台,即使某一虚假域名被发现注销,还会有其他域名正常工作。故可以考虑以相关网站、域名的数量认定“情节严重”。而且,对于多个近似的域名指向相同的网站,应当累计计算。网站被点击数、注册账号数可以反映网站的传播面,也可以作为认定“情节严重”的标准。同理,群组的个数和成员账号数也可以作为认定“情节严重”的标准。此外,关于有关信息,宜以发布信息的条数、实际点击数以及向用户账号发送信息数作为认定“情节严重”的标准。
2.违法所得数额。从事实践来看,非法利用信息网络设立网站、通讯群组或者发布信息,可能获取广告费、会员注册费或者其他违法所得。因此,可以考虑以违法所得数额作为衡量“情节严重”与否的标准。
此外,从实践来看,不少非法利用信息网络行为是跨境实施,对于发生在境外的犯罪活动,取证受制于各方面的因素,更为困难。为便于司法操作,严厉打击此类行为,可以考虑针对此类行为降低入罪标准,即对于跨境非法利用信息网络,数量或者数额入罪标准减半计算。
《刑法修正案(九)》增设帮助信息网络犯罪活动罪,针对明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助的行为独立入罪。正如有论者所指出的,“《刑法修正案(九)》之所以增设帮助信息网络犯罪活动罪,是以传统的共同犯罪理论为前提的。”[11]本文认为,对帮助信息网络犯罪活动罪的司法适用,应当以传统共同犯罪理论为基础,但也需要根据网络犯罪帮助行为的现实情况作出明晰和适当突破。
根据刑法第二百八十七条之二第一款的规定,帮助信息网络活动罪的主观要件为“明知他人利用信息网络实施犯罪”。为减轻司法实践对于主观明知的认定困难,可以考虑依据客观行为加以推定。应当注意的是,对于“明知”不应解释为泛化的可能性认知,而应当限制为相对具体的认知(不要求达到确知的程度),以防止将并非追究不法目的的正常业务行为纳入刑事惩治范围。[12]具体而言,本文认为, 实施刑法第二百八十七条之二第一款规定的行为,具有下列情形之一,行为人不能作出合理解释的,可以认定其“明知他人利用信息网络实施犯罪”,但是有证据证明确属被蒙骗的除外:
1.经监管部门告知后仍然实施有关行为的。例如,监管部门告知某运营商所提供的某项互联网接入服务被用于诈骗活动的,该运营商应当依法中断互联网接入,如果继续提供服务的,主观上当然认定明知。需要注意的是,随着信息技术的发展,监管部门的通知不一定都采用书面告知方式,特别是遇到紧急事件时采取书面告知的方式会效率低下,监管部门往往通过即时通讯群组、电话、短信、电子邮件等多种方式告知,只要有相关证据可以证明已经告知即可。
2.接到举报后不履行法定管理职责的。网络服务提供者在为网络应用提供服务的同时也担负相关的管理职责,但现实中服务商不可能对所有服务对象进行相关管理。如网站托管服务商一般只负责网站软硬件环境的建设和维护,对网站内容不予管理,故不能要求服务商主动发现全部违法犯罪行为,但在接到具体举报后应当履行法定管理职责。例如,网站托管服务商在接到举报某服务对象托管的网站为淫秽色情网站后,仍不依法采取关停、删除、报案等措施,继续为该网站提供服务的,可以认定其主观明知。
3.收取费用明显异常的。例如,第三方支付平台从一般的支付活动中收取1.5%的费用,而在有的赌博案件中第三方支付平台收取7%的费用。从这一收费明显异常情况,可以看出该第三方支付平台对服务对象从事犯罪活动实际上是“心知肚明”的,故推定其具有主观明知。
4.从事专门用于违法犯罪的活动或者提供专门用于违法犯罪活动的程序、工具的。实践中,随着网络犯罪案件的分工日益细化,滋生出专门用于违法犯罪的活动(如替人开卡、取钱、收购身份证、银行卡等服务)和专门用于违法犯罪活动的程序、工具(如仿冒银行、执法部门网站制作钓鱼网站)。可以说,这些活动或者程序、工具并非社会正常活动所需,而是只能为违法犯罪活动提供帮助的专门服务,故相关从业人员对其服务对象系可能涉嫌犯罪主观上实际是明知的,应当将此种情形推定为主观明知。
5.其他情形。例如,故意避开监管措施的。实践中,一些行为人在帮助信息网络犯罪活动中采取了故意避开监管措施的方式,如带着头套去ATM机替人取钱,以防备摄像头。对于类似避开监管措施的行为,可以推定行为人主观明知。又如,在执法人员调查时,通过销毁证据等方式故意规避调查或者向犯罪嫌疑人通风报信的。即通过行为人案发后规避调查、通风报信等的事后表现推定其主观明知。此外,如取钱人持有多张户主不同的银行卡或者多张假身份证,无法说明缘由的,亦可以推定其主观明知。
根据刑法第二百八十七条之二第一款的规定,认定帮助信息网络犯罪活动罪,通常以帮助对象实施的行为构成犯罪为前提。当然,帮助对象实施的犯罪尚未依法裁判,但查证属实的,不影响帮助信息网络犯罪活动罪的认定。
本文同时认为,帮助实施刑法分则规定的利用信息网络实施刑法分则规定的行为也可以例外地构成犯罪。“网络犯罪的帮助行为相较于传统的帮助行为,其对于完成犯罪起着越来越大的决定性作用,社会危害性凸显,有的如果全案衡量,甚至超过实行行为。”为此,刑法第二百八十七条之二设立帮助信息网络犯罪活动罪,以更为准确、有效地打击各种网络犯罪帮助行为。[13]可见,帮助信息网络犯罪活动罪的设立要旨包括加大对帮助信息网络犯罪的打击力度,体现帮助行为的独立社会危害性。然而,如果不顾及司法实践中的具体情况,特别是不少帮助信息网络犯罪活动的对象是否达到犯罪的程度难以查实的实际情况,一律将帮助对象限制为犯罪,将会导致设立帮助信息网络犯罪活动罪的立法本意无法体现。为此,帮助信息网络犯罪活动罪在例外情况下可以不要求对象构成犯罪,但对此应作严格限制:一是必须是帮助对象人数众多,对于帮助单个或者少数对象利用信息网络实施犯罪的,必须以帮助对象构成犯罪为入罪前提;二是确因客观条件限制无法证实帮助对象实施的行为达到犯罪程度,但经查证确系刑法分则规定的行为的,如果是一般的违法行为也不能适用这一例外规则;三是情节远高于“情节严重”的程度,即此种情形下虽然无法查证帮助对象构成犯罪,但帮助行为本身具有十分严重的社会危害性,达到独立刑事惩处的程度。例如,行为研制盗窃木马程序并提供给一万个人用于盗窃,约定收取盗窃金额的百分之十。每个盗窃行为人只盗窃了一百块钱,并未达到入罪标准,无法定罪处罚。但是,对于盗窃木马程序的提供者,则应当例外地适用帮助信息网络犯罪活动罪定罪处罚。
对于网络犯罪的帮助行为,“按照共犯处理,一般需要查明帮助者的共同犯罪故意,但网络犯罪不同环节之间往往相互不认识,没有明确的意思联络。”为此,刑法第二百八十七条之二设立帮助信息网络犯罪活动罪,以更为准确、有效地打击各种网络犯罪帮助行为。[14]可见,帮助信息网络犯罪活动罪的设立要旨包括,对于帮助信息网络犯罪,但是由于无法查证共同犯罪故意,无法适用传统共同犯罪处理的情形适用帮助信息网络犯罪活动罪定罪处罚。为了准确反映这一立法精神,应当准确界分帮助信息网络犯罪活动罪与共同犯罪,对于可以成立共同犯罪的网络帮助行为作出妥当处理:
1.构成共同犯罪的处理。根据刑法第二百八十七条之二第一款的规定,帮助信息网络犯罪活动罪的主观方面要件为“明知他人利用信息网络实施犯罪”。而根据刑法第二百八十七条之二第三款的规定,实施帮助信息网络或者活动的行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。因此,帮助信息网络犯罪活动的行为,可能具有共同犯罪故意,从而成立共同犯罪,对此,应当根据刑法第二百八十七条之一第一款、第三款的规定确定适用的刑法规定:(1)按照行为人在共同犯罪中所起作用,处罚较轻的,应当依照刑法第二百八十七条之二第一款的规定,以帮助信息网络犯罪活动罪论处;(2)按照行为人在共同犯罪中所起作用,处罚较重的,应当依照刑法第二百八十七条之二第三款的规定,以共同犯罪论处。
2.帮助数个对象利用信息网络实施犯罪的处理。其一,对于帮助数个对象的,由于帮助信息网络犯罪活动罪的对象限定为“犯罪”,故在定罪情节上只能考虑帮助对象中构成犯罪的部分;对于帮助对象未构成犯罪的情形,可以将其中未达到犯罪程度的犯罪行为作为量刑情节考虑,但对于其他违法行为不能作为量刑情节,以避免“帮助违法活动构成犯罪”的质疑。其二,对于帮助数个犯罪活动的,应当如何处理,司法实践中存在不同认识。此种情形下,无论是同种数罪还是异种数罪,均不宜直接累加计算。而如果以情节最重的犯罪为基准,可能出现法定刑难以升档,无法体现罪责刑相适应原则的问题。本文认为,为了罚当其罪,宜对此种情形分别裁量刑罚,进而数罪并罚确定应当执行的刑期。当然,对于帮助数个对象利用信息网络实施犯罪的最终处理,也应当根据刑法第二百八十六条之二第三款的规定,从一重罪处断。
[1]参见赵秉志:“公民个人信息刑法保护问题研究”,载《华东政法大学学报》2014年第1期。
[2]参见刘涛:“关于刑法第二百五十三条之一第二款有关内容理解问题的研究意见”,载《司法研究与指导》(第1辑),人民法院出版社2012年版。
[3]参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第150页。
[4]参见赵秉志:“公民个人信息刑法保护问题研究”,载《华东政法大学学报》2014年第1期。
[5]在《刑法修正案(九)(草案)》研拟过程中,有意见认为提供他人个人信息的行为有时情况很复杂,是否构成犯罪需要慎重考虑。如果规定为犯罪,可考虑规定“受过行政处罚又犯”或者“提供多人、多次提供”等条件限制。实际上,刑法将入罪限制在“情节严重”的情形,完全可以达到限制犯罪圈的目的,实践中不会导致入罪随意和打击面过大。
[6]参见涂龙科:“网络内容管理义务与网络服务提供者的刑事责任”,载《法学评论》2016年第3期。
[7]参见全国人大常委会法工委刑法室编著:《〈中华人民共和国刑法修正案(九)〉释解与适用》,人民法院出版社2015年版,第157-158页。
[8]当然,对于纯粹基于“恶作剧”发布销售毒品、枪支、淫秽物品等违禁物品、管制物品信息的行为,可以综合案件情况考虑是否认定为“情节严重”,必要时也可以根据刑法第十三条但书的规定不作为犯罪处理。
[9]该解释第五条第二款、第三款规定:“利用发送短信、拨打电话、互联网等电信技术手段对不特定多数人实施诈骗,诈骗数额难以查证,但具有下列情形之一的,应当认定为刑法第二百六十六条规定的‘其他严重情节’,以诈骗罪(未遂)定罪处罚:(一)发送诈骗信息五千条以上的;(二)拨打诈骗电话五百人次以上的;(三)诈骗手段恶劣、危害严重的。”“实施前款规定行为,数量达到前款第(一)、(二)项规定标准十倍以上的,或者诈骗手段特别恶劣、危害特别严重的,应当认定为刑法第二百六十六条规定的‘其他特别严重情节’,以诈骗罪(未遂)定罪处罚。”
[10]具体裁量刑罚时,应充分考虑《诈骗罪解释》第五条第二款、第三款的定罪量刑标准偏低,而当前发送诈骗短信的数量往往较大的客观事实,充分利用“对于未遂犯,可以比照既遂犯从轻或者减轻处罚”的规定,以实现罪责刑相适应。
[11]现代社会,正常的业务行为可能会对他人利用信息网络实施犯罪提供帮助,而行为人在主观上对可能性也是有认知的。例如,网络运营商当然明知诈骗犯可能利用自己提供的互联网接入服务实施诈骗犯罪,但不可能要求网络运营商停止所有的接入服务以防范诈骗犯罪,也不可以对此种行为以帮助信息网络犯罪活动罪论处;但是,如果该网络运营商对诈骗犯利用自己提供的互联网接入服务实施诈骗犯罪具有相对具体的认知,如对特定服务对象收取高于正常服务的费用或者被有关部门告知涉嫌犯罪的具体服务对象的,则应当对此种行为以帮助信息网络犯罪活动罪论处。实际上,在对帮助信息网络犯罪活动罪的主观明知认定作如上限制后,通常不会将“中立的帮助行为”纳入刑事处罚范围。
[12]参见全国人大常委会法工委刑法室编著:《〈中华人民共和国刑法修正案(九)〉释解与适用》,人民法院出版社2015年版,第164页。
[13]参见全国人大常委会法工委刑法室编著:《〈中华人民共和国刑法修正案(九)〉释解与适用》,人民法院出版社2015年版,第165页。
作者:喻海松,最高人民法院研究室法官,法学博士。
原标题:网络犯罪的立法扩张与司法适用
来源:北大法律信息网