对网络刑法的技术制衡

摘 要：本文把网络犯罪和网络刑法放在技术环境中,首先从新的视角描述了网络犯罪的实质特征和技术特征,并以此为前提,论述了技术制衡对网络刑法的必要性,包括技术对网络刑法在内容上的制衡,即将网络越轨行为犯罪化的技术界限;以及技术对网络刑法在立法模式的选择上的制衡,即在目前及一段时期内,选择单独立法模式更能发挥技术的制衡作用,而这与将来的统一立法并不矛盾。

关键词：网络犯罪　刑法　技术
 
面对长期以来流行着的互联网上“三无”的说法:互联网上无国界、无法律和互联网技术无法管理,从目前世界各国的相关理论发展及立法、司法实践来看,以刑法来保护脆弱的网络已经成为基本的共识。

网络社会并不只是技术的集合,它更是现实社会的映射,在网络空间同样需要行为规范和道德标准。在对网络的刑法保护中,网络刑法与安全技术不是势不两立的。技术虽然对防治网络犯罪不具有最终的可依赖性,但并不是说技术在网络犯罪面前无所作为。在网络法制社会里,刑法的实效迫切需要优势技术的不断支持。所以我们绝不能忽视技术对网络刑法的制衡作用。

　　一、网络犯罪的实质特征与技术特征

因本文所要探讨的是技术对网络刑法的制衡作用,由此,我们将网络犯罪的特征归结为两点:技术特征和实质特征。

(一)实质特征(社会危害性)

实质犯罪的含义在于,“行为不是因为它违反了刑法规范,而在于它侵害了刑法所要保护的实质内容而成为犯罪”。[1]网络犯罪的实质特征即网络犯罪侵害了刑法所保护的法益,具有社会危害性。

网络犯罪一直被视为新型犯罪,但不能无视的基本现实是:网络社会与现实社会有着不可分割的联系。我们看到互联网上大量出现的犯罪仍然是盗窃、色情、诽谤、赌博、贩毒和恐怖活动等犯罪,而象非法侵入计算机系统这样似乎全新的犯罪行为,也可以看作是私闯民宅的网络翻版。用传统犯罪学理论同样可以解释计算机网络犯罪。从刑法学的犯罪构成理论出发,我们可以把现实世界的犯罪和网络空间的犯罪构成的四个要件,即犯罪主体要件、犯罪主观要件、犯罪客体要件及犯罪客观要件来逐一比较,我们不难发现两种行为都具有犯罪的实质特征——社会危害性,不同的只是网络越轨行为的某些对象或具体的行为方式与传统概念不同。从长远看,网络犯罪只是“一般犯罪”。现阶段计算机网络犯罪还仅仅处于初级阶段,随着计算机网络的日益普及和对人类日常生活的渗透,“网络犯罪”也会成为犯罪的新的普遍的存在形式。

(二)技术特征(网络技术依赖性)

网络犯罪是技术犯罪,没有一定的计算机网络技术为依托,犯罪行为的实施是无法进行的。网络犯罪的技术特征即网络犯罪的网络技术依赖性。可以说,新技术的不断出现使得犯罪的方式方法以至环境载体都在不断地推陈出新。某些技术的发明创造如火药、枪炮、电报、电话给犯罪分子提供了越来越有效的犯罪工具,而那些创造一个时代的技术飞跃对犯罪也许已经不仅仅是工具上的革新,而且还提供了新的实施环境和载体。现代社会网络技术的出现与发展对人类社会生活的全方位影响又是那些发明创造所无法比拟的了。

前面我们为了描述网络犯罪的一般性,提出:网络犯罪是犯罪在网络空间的翻版,其实这个结论正包含了网络犯罪的另一个特性:即它既具有对传统犯罪行为的再现性,同时也具有网络技术依赖性。这在那些由网络带来的新罪名下的犯罪行为上表现得尤其鲜明。

　　二、技术制衡的必要性

认识到网络犯罪的再现性,就认清了计算机网络犯罪与其他传统犯罪的共性,可以使我们绕开某些网络越轨行为的技术特征,认清它们的犯罪本质,如对非法侵入计算机信息系统的行为正如同现实生活中非法侵入他人住宅的行为一样,而侵入重要领域的计算机信息系统所带来的社会危害性更大。认识到计算机网络犯罪的网络技术性,则是认清计算机网络犯罪的个性——网络技术依赖性。

面对可操作性要求很高的与网络犯罪相关的刑事法律,笔者认为,现在对与网络犯罪相关的刑事法律中的技术因素的认识和理解太少了。正如有的学者强调法律的科学精神那样,有关网络犯罪的刑事法律要强调网络技术的基础作用。就各国打击网络犯罪的现状来看,如果过于夸大法律的作用,会使人们满足于既有的刑事法律而裹足不前;在我们对网络犯罪的认识还十分有限的情况下,只有清楚地认识到网络犯罪的网络技术特征,才能更好地保护网络、打击网络犯罪。

在国家的政治法律体系中,刑法只能是保护社会的最后一道屏障,刑法的这种谦抑性要求国家在对网络进行刑法保护时不能随意将网络行为犯罪化。毕竟,在现代法治国家里,刑罚是针对社会破坏性最强的国家法律手段。这就要求立法者应当力求以最少量的刑罚支出取得最大的社会保障效益。

技术对网络刑法的制衡作用还表现在它可以加强刑法的确定性,限制立法权转移。在与高科技犯罪相关的刑法条文中,往往会包含很多技术术语,欧美国家通常的做法是将各术语一一详解,附于条文之后。这样,刑法才能完整明晰地确定该高科技犯罪的内涵,使刑法更具确定性和可操作性。同时也将刑法立法权限制在最高立法机关的手里。

以我国1997年《刑法》第285条至第287条为例,在刑法中仅有的这三条关于计算机犯罪的条文中,缺乏对相应术语如“侵入”、“计算机信息系统”等的技术定义。而无论在学者著述中,还是在司法实践中,均采用国务院、公安部等出台的法规、规章中的相关术语解释,尤其是第287条,完全没有相关技术解释,几乎形同具文。这样,既不利于刑法的确定性,也实际上将全国人大的刑法立法权交给了不具备立法权限的部门。

总之,法律要尊重科技的力量。网络刑法对可操作性的迫切需求要求在相关立法、司法活动中,由技术承担制衡作用。缺少技术的支持,不仅立法工作很难进行,即便制定出法律,相关条文也会形同虚设,不仅司法机关将无所适从,犯罪人也很难认罪伏法。

　　三、网络刑事责任中的技术可能性

2000年世界头号网络公司雅虎官司缠身,其中它在法国的官司很有典型意义。[2]2000年4月,法国互联网用户发现雅虎的欧洲网站拍卖纳粹物品,包括宣扬种族主义的纳粹大事记和一些有关的纪念品,由此产生一系列诉讼。法国巴黎法院作出紧急裁定,要求美国雅虎公司在裁定发出后的90天内,采取有效过滤措施禁止法国网民进入有关拍卖纳粹文物的网站。

在巴黎法院审理这一案件的过程中,雅虎在法律和技术两个方面为自己的业务行为作了辩护:第一,在法律上,雅虎的英文Yahoo.com业务由美国政府管辖,而依据美国宪法,并不限制纳粹物品的网上拍卖,而雅虎的法语门户网站Yahoo.fr并不主办这类拍卖,并没有触犯法国法律;第二,在技术上,雅虎称现在还没有有效的过滤检测系统来识别法国用户并限制其进入相关网站。

巴黎法院认为,虽然雅虎的法语门户网站没有主办该类拍卖,但基于互联网的开放性,法国网上游览者只需一点鼠标就可以由雅虎法语门户网站转到其它语言的雅虎服务中,雅虎必须尊重法国法律,禁止法国用户进入拍卖纳粹物品的英文网站。但在技术上,由法庭指定的计算机专家组经过数月的技术论证,最终提供了有利于法院裁定的证词。认为根据特别研发的“过滤”技术,有一种可以查明用户国籍的系统,加上使用口令,可以阻挡90%试图进入纳粹纪念品网站的来自法国的互联网用户,这一证词在技术上支持了法庭裁定。

“雅虎案”裁定的贡献之一是它充分表现了法律对新科学技术的尊重,正是技术上的支持才使得司法机关最终确认了雅虎的法律责任。由于雅虎在技术上提出了辩解,巴黎法院虽然在2000年5月份就得出了处罚雅虎的基本意见,但还是足足等待了6个月之久,让科学技术界论证执行法律的技术可能性。可以肯定,雅虎案是刑法与技术在互联网空间结合的良好尝试。同时,刑法学从这个案例中可以得到的最大收获应当是这样一个概念——技术可能性。法律只能要求人们做可能做到的事,不能要求人们做不可能做到的事。因此确认行为人的行为是否有罪,必须根据其行为当时的具体情况来判定。这里包含的就是西方刑法学中一个十分重要的概念——期待可能性。

它的基本含义是,行为人行为当时,基于当时的具体情况,期待行为人作出合法行为的可能性。网络犯罪中的技术可能性正是期待可能性在网络技术环境中所必然包含的重要组成部分,它是指在网络行为当时的具体技术条件下,期待行为人做出合法行为的可能性。由于网络犯罪是在技术环境中实施的,网络犯罪的成立必须具备技术可能性,不仅如此,技术可能性的概念如同期待可能性的概念一样,不仅在犯罪的成立上具有重要作用,它也应当成为网络刑法的犯罪理论的核心要素之一。只有这样,技术才可能在网络刑法的基础理论中也占据一席之地,为最终将技术对网络刑法的制衡作用落到实处打下理论基础。

　　四、网络越轨行为犯罪化的技术界限

在将社会越轨行为犯罪化时,该行为是否侵害了刑法所保护的法益是将其规定为犯罪的唯一标准。但在社会日益技术化、社会行为也日益技术化的数据信息时代里,网络犯罪的技术依赖性决定了网络越轨行为的犯罪化进程始终是与网络技术的发展紧密相连的。

AT&T公司负责网络安全研究的Steven Bellovin说:“世界上许多政府对于网络上什么能做、什么不能做存在着严重误解。”网络犯罪的技术性决定了在对网络进行刑事法保护的时候,只有对网络刑事法进行技术制衡,才能够达到这个目标。否则,网络选择刑法保护将是一个错误的决定,甚至可能会更快地窒息网络的发展。

(一)新罪名设置的技术分析

网络犯罪都是不同程度地破坏计算机网络安全性的行为。而对于计算机安全的理解是不能脱离技术的,只有在技术的帮助下廓清计算机网络安全的内涵,才能够在立法时明确到底希望通过刑法来保护什么。换句话说,就是应当明确将网络行为犯罪化的界限。

网络犯罪可以划分为针对网络的犯罪和利用网络的犯罪,我们看到,新罪名的设置往往针对的是前一类型,新罪名在设置中技术因素的作用是怎样的呢?

对于非法侵入计算机系统的行为,即仅仅无权侵入而未实施其他破坏行为或未造成危害后果,也应规定为犯罪。网络空间不同于现实的物理世界,它是由一系列的0和1组成的,对于犯罪者来说,一切有用的东西都存在于某一计算机系统当中。“进入”是犯罪者准备犯罪或是着手犯罪的必不可少的一步。因此,我们认为,对非法侵入计算机系统的行为进行惩处,对于惩治计算机犯罪具有基础性的意义。在刑法中将其单独规定出来是完全必要的。

从各国的立法实践来看,美国的大部分州和多数欧洲国家都规定了非法侵入计算机系统罪。在这一点上,我国刑法学界曾就第285条设立的必要性进行过争论。尽管我国与欧美国家对“非法侵入”的认识基本一致,但由于保护对象过窄(我国仅保护国家事务、国防建设、尖端科学技术领域的计算机信息系统),这种正确的认识并没有在立法中起到应有的作用。

(二)网络犯罪构成的技术内涵

如果将传统的入室盗窃行为与网络盗窃行为作一个比较,从犯罪的客观方面来看,两者都有“侵入”这个行为,但后者的“侵入”则具有全新的技术描述。由此,即使是网络犯罪中利用网络的传统型犯罪,在分则犯罪主客观条件的描述中不能不具有新的技术内涵。

1.保护计算机网络中信息的“三性”

全国人大常委会通过的《关于维护互联网安全的决定》明确指出,计算机安全是指计算机网络系统的运行安全和信息安全。而欧美国家认为法律系统必须保护数据和系统的保密性(confidentiality)、完整性(integrity)和可用性(availability),免遭无权的损害。

从网络技术的角度出发,计算机安全包括物理安全和逻辑安全,其中物理安全指系统设备及相关设施的物理保护以免于被破坏和丢失,逻辑安全是指信息的可用性、完整性和保密性三要素。具体地说,计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。因此,总体看来,欧美国家的理解比我国的更加具体化,也是与技术上的安全要求相吻合的,因为只有保证了数据和系统的保密性、完整性和可用性,才能够保证计算机网络系统的运行安全和信息安全。而刑法要打击的正是损害系统和数据的保密性、完整性和可用性的无权行为。

2.保护“受特别保护”的计算机信息系统

在网络空间,某个计算机信息系统如果未加任何保护,用户进入其中不应当是非法侵入,原因是互联网的基本特性是开放性与共享性。因此,我们认为受刑法保护的网络中的计算机信息系统应当是“受特别保护”的系统。这里的“受特别保护”是指对计算机信息系统的部分或全部,通过技术手段加以保护,以免受到无权访问。因此,一些国家规定刑法保护的是受系统所有者特别保护的系统和数据,采取种种技术手段攻破这些安全保护的访问就可以认定是非法侵入。

3.网络犯罪主观方面的技术分析

无权进入计算机系统的行为构成犯罪一般都需要存在主观故意,这一点也是有技术上的原因的。虽然人们常常将无权进入计算机系统的行为比作现实生活中非法侵入他人住宅的行为,但互联网的开放性、共享性的特点决定,在网络中的无权进入行为其过失的概率很高。因此,通过对网络的技术认识,刑法在规定该类行为时应当以故意为主观要件。

在实践中,对于有安全技术保护的计算机网络系统,一般黑客的攻击大体有如下三个步骤:信息收集→对系统的安全弱点探测与分析→实施攻击。由于对系统采取相应的安全保护措施,则不仅可以确认行为人的主观因素,还可以由此追踪到行为人的踪迹。如对于拒绝服务行为(Denial of Service),要区分是恶意的拒绝服务攻击和非恶意的服务超载,只要从技术的角度来判断请求发起者对资源的请求是否过份。

4.行为方式的技术分析

犯罪构成的客观方面对于立法、司法活动具有十分重要的意义,只有明确了犯罪行为方式,才能准确地惩罚该类行为。信息安全的隐患存在于信息的共享和传递过程中。从技术的角度分析,目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。对运行TCP/IP协议的网络系统,存在着如下五种类型的威胁和攻击:欺骗攻击、否认服务、拒绝服务、数据截取和数据篡改等行为方式。

举个立法中的例子,“非法侵入计算机系统罪”中,对“进入”(access)这个核心概念需要做技术上的准确描述,美国印第安那州的规定十分典型,对行为的描述也较全面,州法典第35—43—2—3条规定:

“‘进入’(access)是指:

接近(approach)

输入指令(instruct)

与连接(communicate with)

存储数据于(store data in)

检索数据自(retrieve data from)

或利用数据库自(make use of resources of )计算机、计算机系统,或计算机网络。”

我国刑法第285条关于侵入计算机信息系统罪的规定中没有直接对“侵入”作出解释,但从配套条例中看,“侵入”是指未经允许擅自以非法解密等手段进入有关重要的计算机信息系统。但实际上也还是将“进入”包含在对“侵入”的解释中了,有循环定义之虞。

　　五、技术制衡对立法模式选择的影响

就网络刑法的立法模式而言,各国的立法现状是:除了适用已有的法律规定之外,主要有两种,一是修订原有刑法,增设特别条款,即将有关计算机犯罪的规定纳入刑法典的体系当中;二是重新单独立法,即将广义上的计算机犯罪中的主要类型都包括进来,从而成为一部较为完整的自成体系的计算机犯罪法。对这两种立法模式的采用在理论界尚有争议。

我们认为在目前及相当长的一段时期里,单独立法模式更有利于发挥技术对网络刑法的制衡作用。从最通俗的意义上说,网络就是不断增加的相互连接的计算机网络的网络的网络……。

Cyberspace中的犯罪概念应当加以修正,但简单地将现行刑法改头换面是不能解决问题的,计算机网络对人类社会的影响远远超过以往人类历史上任何一次工具上的革命,仅仅将传统法律制度做细枝末节上的修补就拿到互联网上去适用是不够的。

单独立法模式首先体现了网络犯罪的实质特征,网络犯罪无所不能也是不争的事实。网络犯罪类型已经覆盖了刑法所保护的所有社会关系和社会秩序,单独立法模式可以依照现行刑法的体系,将网络犯罪作出全面系统的规定,以免挂一漏万。单独立法模式可以更全面而准确地体现网络犯罪的技术特征。我国司法实践中所碰到的所谓法律真空问题,有很多是技术术语及传统概念的技术解释的偏差或缺乏造成的。以我国《刑法》第287条为例,该条的规定是兜底式的,看似全面,但缺少了对相关技术术语及传统概念的技术解释,该条对司法实践而言,形同虚设。单独立法模式可以很好地解决这个问题。

实际上,除了网络刑事实体法采单独立法模式之外,网络刑事诉讼法更需要单独立法,因为诉讼法中碰到的技术问题更多,在诉讼法基本原则的指导下,更需要对网络刑事诉讼法的诸多概念加以技术规定和解释。

从世界范围的立法实践趋势看,单独立法也是大势所趋。2000年,在网络刑法方面走在前面的美欧分别出台了两份有关单独立法的重要文件,即《来自互联网不法行为的挑战》和《反网络犯罪国际条约》(第24稿)。出于网络刑法国际化的考虑,为我们展示了网络刑法单独立法的魅力。这对我国的相关立法工作应当具有相当的借鉴价值。
 --------------------------------------------------------------------------------

[1] 李海东:《刑法原理入门》,法律出版社1998年版,第13页。

[2] 有关本案的情况可参见政武:《巴黎法院对“雅虎案”裁定的法律思考》,自//www.people.com.cn/,2000年12月13日。需要说明的是,巴黎雅虎案从判罚上看是民事案件,但在我国则极可能作为刑案处理。因此,我们可望从该案中寻找其对网络刑法的启示。

肖中华 方　泉

作者单位：上海社会科学院;　北京大学法学院。

文章来源：《政法论丛》2001年8月10日第4期。