文 | 中国政法大学刑事司法学院副教授、博士生导师 郭旨龙

2024 年 8 月 8 日,《联合国打击网络犯罪公约》(以下简称《公约》)(A/AC.291/22/Rev.3)最终获得联合国网络犯罪问题特设委员会一致投票通过。可以预见,在后续经由联合国大会通过后,我国将展开对《公约》签署和批准的评估工作。现有国内法如何实现与《公约》具体规定的体系性衔接,或将成为未来一段时间理论界关注的重点。聚焦《公约》的实体定罪部分,结合第一章“总则”与第二章“刑事定罪”的具体条文,可以探索如何通过更新我国刑法罪名体系,推动《公约》的有效实施与落地。

一、《公约》总则规定对分则的要求与制约

《公约》总则部分除了明确公约的宗旨(预防和打击网络犯罪)、表明公约的价值立场(兼顾保护主权与尊重人权)之外,还对普遍适用于分则的若干术语的涵义进行了统一规范,其中,尤其需要关注关于“严重犯罪”与“财产”这两个概念的表述。此外,《公约》第 4 条明确的“同一性原则”与第 17 条对“犯罪所得的洗钱行为”的相关规定,也与国内法的落实密切关联。

第一,总则第 2 条(h)项规定的“严重犯罪”定义,系指“最高可处以至少四年有期徒刑或更重惩处”的犯罪行为,与我国理论及实践中的“重罪”标准存在差异。尽管我国并无确切区分轻罪、重罪的规范性概念,但是刑法与刑事诉讼法往往将“三年有期徒刑”视为影响实体追责或程序适用的某种界限标准。因此,在未来《公约》实施的过程中,国内法也应注意区分原有的“三年标准”与《公约》确立的“四年标准”的适用情景。需要注意的是,总则部分规定的“严重犯罪”概念不仅涉及分则中的程序性事项,包括拦截内容数据(第 30 条)和电子数据取证的国际合作(第 35 条)等,同时,也应对各缔约国贯彻《公约》规定的实体定罪规范产生影响。例如,《公约》第 19 条规定了各缔约国可自行立法将未遂与预备适当确立为犯罪。对于我国而言,可以将是否属于“严重犯罪”的预备行为作为评价其是否构成行政违法,乃至刑事犯罪的标准,并通过对我国一般不处罚预备犯的实践进行合理调适,落实《公约》的要求。

第二,总则第 2 条(i)项明确的“财产”内涵,系指不论物质或非物质、动产或不动产、有形或无形的“各种财产”,对我国刑法总则针对“财产”概念的更新和分则的统一解释具有启发意义。我国《刑法》总则第 92 条对“财产”概念进行了“有限列举式”的规定。在信息技术发展日新月异的背景下,狭隘的“财产”概念范畴已经无法适应时代变化和有效解决现实问题,而且,司法实践中围绕“虚拟财产”如何定性与保护的争论,也充分说明了这点。尽管如今通过教义学手段将“虚拟财产”解释为财产犯罪的对象已取得共识,但“数据资产”的兴起又对我国规定的狭隘“财产”概念提出了挑战。我国《刑法》总则可以借鉴《公约》的范式,通过规定更广泛的财产概念应对技术的发展与不断多样化的经济活动的挑战。如果欲将具有可复制性的“数据资产”纳入刑法保护范围,就要考虑在分则的财产犯罪或市场经济秩序犯罪中增设相应罪名,而非继续通过纯正的计算机犯罪罪名进行处理。

第三,总则第 4 条规定根据联合国其他公约和议定书确立的犯罪“在使用信息和通信技术系统实施时,也视作本国法律所规定的刑事犯罪。”有必要结合相关背景理解这一条文。在《公约》制定过程中,发达国家与发展中国家阵营博弈的焦点之一在于定罪的范围。如今呈现的《公约》案文中仅第 7 条至第 17 条涉及具体的刑事定罪,这种“窄定罪”立场是发展中国家作出妥协的结果。总则第 4 条规定的“同一性原则”,则是为弥补刑事定罪规范的局限而作出的安排。根据该条,由其他联合国公约规定的传统犯罪若借由网络技术实施,则同样应根据国内法作为犯罪行为处理。对于这种传统犯罪的网络异化,我国《刑法》一般通过法律解释即足以应对。例如,根据我国签署并批准的《联合国禁止非法贩运麻醉药品和精神药物公约》要求,我国《刑法》第 347 条规定了走私、贩卖、运输和制造毒品罪,如果行为人借由互联网平台销售毒品(这在实践中尤为常见),并且符合相应的构成要件,对其可以贩卖毒品罪定罪处罚。但是,在某些例外情况下,如果在罪刑法定原则限度内的解释无法实现依托现有罪名进行定罪处罚,则需要考虑增设新的刑法规范。

第四,《公约》规定的罪行向国内法转化的限度问题,值得关注。在未来我国签署并批准《公约》的情况下,对于未声明保留或不能声明保留的条文而言,如果要求缔约国“应”将特定行为在国内法中确立为刑事犯罪(criminal offense),则我国国内法必须将其犯罪化,而不能仅仅作为行政违法行为处理。基于我国“违法-犯罪”二分的立法体例,需要在依照《公约》要求将特定行为规定为犯罪的过程中,确保相应行为达到了应为刑法处罚的社会危害性程度要求。纵观《公约》第二章“刑事定罪”的全部条文,有的明确规定缔约国可增加“不诚实意图或犯罪意图”(第 7 条第 2 款)的主观要素,有的则明确缔约国可增加“有更进一步的行动”(第 15 条第 2 款)或“造成严重损害”(第 9 条第 2 款)的客观要素。这些规定为我国在将行政违法转化为刑事犯罪的过程中确保满足“量”的要求提供了操作空间。较为特殊的是,第 17 条对洗钱罪行的规定并没有为缔约国留出增设程度性要件的余地,此时需要对相应的要素进行解释性转化。具体而言,第 1 款(a)项“明知财产为犯罪所得”的“犯罪”,应限缩解释为达到了刑法所要求的行为程度,而非仅仅满足了刑法所要求的行为类型;第 1 款(b)项“符合本国法律制度基本概念”则可以结合我国刑法第 13 条规定的犯罪概念,对入罪行为的社会危害性程度予以审慎把握,确保既实现与公约具体要求的衔接,同时,也与我国“违法-犯罪”二分的立法体例相协调。

二、《公约》关于纯正计算机犯罪的罪名衔接

《公约》规定的纯正计算机犯罪,是在起草与修改中争议相对较小的领域,主要体现在第二章“刑事定罪”的第 7 条至第 11 条。以下将分别对第 7 条至第 11 条进行分析。

第一,《公约》第 7 条规定了“非法访问”罪行,要求缔约国将非法访问信息和通信技术系统的至少部分行为确立为犯罪。从“访问”这一行为模式出发,我国《刑法》能够与之初步衔接的罪名是第 285 条第 1 款的非法侵入计算机信息系统罪。在此基础上,我国,一方面,应将“非法侵入”的对象范围从仅限于“国家事务、国防建设、尖端科学技术领域”扩展到一般性的计算机信息系统;另一方面,有必要根据第 2 款规定,增加“以违反安全措施方式实施”“涉及联网系统”和“具有不诚实或犯罪意图”的客观和主观要件,确保被纳入犯罪圈的行为满足犯罪化所必需的社会危害性程度要求。

第二,《公约》第 8 条规定了“非法拦截”罪行,要求缔约国将以技术手段拦截网络空间非公开传输的电子数据的行为确立为犯罪。该条可以关联我国《刑法》第 285 条第 2 款前段规定的非法获取计算机信息系统数据罪。需要注意的是,《公约》与国内法存在显著差异。例如,《公约》第 8 条“非法拦截(数据)”罪行的对象是“非公开传输的数据”,而国内法则无此要求。可见,就犯罪对象而言,国内法对非法拦截(获取)数据行为的处罚范围较之《公约》而言更加宽泛;此外,国内法比《公约》多出了“违反国家规定”的要求。因此,我国仍可基于现有规范,通过灵活把握对空白罪状所转引的前置行政法规范,对获取公开数据但手段严重违法的部分数据爬取行为进行刑事打击。

第三,《公约》第 9 条规定了“干扰电子数据”罪行,要求缔约国将“故意破坏、删除、劣化、更改或隐瞒电子数据”的行为确立为犯罪。我国《刑法》第 286 条破坏计算机信息系统罪的第 2 款可大致与之对应。但是,仍有三点需要明确。一是目前国内法仅规定了“删除、修改、增加”三种数据干扰犯罪行为。这与《公约》规定“破坏、删除、劣化、更改或隐瞒”之间未能实现充分衔接。国内法的“修改”在语义上固然可以涵盖劣化、更改和一部分的破坏行为,但难以包含“隐瞒”。因此,如若我国批准该《公约》,则需调整《刑法》第 286 条第 2 款规定的行为方式。二是国内法将保护的数据范围限于“计算机信息系统内”的数据。《公约》针对所有的(电子)数据。结合目前人工智能、大数据与云计算等新兴信息技术的发展趋势,《公约》更具包容性的规定较为合理。未来,我国国内法宜进行相应的立法调整。三是国内法要求数据干扰行为构成破坏计算机信息系统罪的,需要满足“后果严重”要件。对此,判断是否应与系统的正常运行状况相关联,在目前实践中仍有争议。若按照《公约》的立场,则显然不需要此种关联。

第四,《公约》第 10 条规定了“干扰信息和通信技术系统”罪行,要求缔约国将“通过输入、传输、破坏、删除、劣化、更改或隐瞒电子数据”而严重妨碍系统运行的行为确立为犯罪。相比我国《刑法》第 286 条破坏计算机信息系统罪第 1 款(针对“计算机信息系统功能”)和第 3 款(依靠“病毒等破坏性程序”)罪行,《公约》第 9 条将所有通过对数据的操作而妨碍系统运行的行为规定为犯罪,打击面更广,避免了过去我国司法实践中围绕行为是否对“系统功能”及手段是否牵涉“破坏性程序”的解释争议,为我国后续的立法与司法实践提供参照。

第五,《公约》11 条规定了“滥用装置”罪行,要求缔约国将提供、获取、制作、采购使用、进口与实施《公约》第 7 条至第 10 条犯罪有关的装置(程序)的行为确立为犯罪。相比我国《刑法》第 285 条第 3 款规定的提供侵入、非法控制计算机信息系统程序、工具罪,《公约》从三个维度扩大了构罪范围:一是就提供的物项而言,《公约》在可用于侵入系统的“程序、工具”基础上,增加了访问类数据。二是就行为类型而言,《公约》在“提供”之外增加了“获取、制作、采购使用、进口”和本人为实施计算机犯罪而“拥有”的行为。三是就装置或访问类数据所针对的犯罪类型而言,《公约》不再限于“侵入、非法控制”,而是指向《公约》第 7 条至第 10 条规定的各种类型的计算机犯罪。

此外,根据《公约》该条第 3 款的规定,缔约国尽管可以声明保留,但不得涉及“提供访问类数据”的行为。这意味着在我国批准《公约》后,如果“访问类数据”不能解释为现行《刑法》的“工具”(显然无法解释为“程序”),那么就需要规范的更新,实现将提供访问类数据行为入罪。

三、《公约》关于不纯正计算机犯罪的罪名衔接

《公约》第二章“刑事定罪”在规定了前述纯正计算机犯罪的罪行外,第 12 条至第 17 条还规定了六种不纯正计算机犯罪罪行。其中,第 17 条规定的洗钱罪行已于第一部分有所涉及,以下针对第 12 条至第 16 条所规定的罪行分别进行分析。

第一,《公约》第 12 条规定了计算机伪造罪行。在我国“违法-犯罪”二元治理的语境下,将全部计算机伪造行为规定为犯罪显然既不实际、亦无必要,而大部分此类行为以认定为行政违法的方式处理即已为足。考察该条第 2 款可以发现,《公约》为缔约国预留了限缩入罪范围的空间。不过,“不诚实意图”的表述较模糊,且其所指向的行为的社会危害性亦可能未达到入罪的程度,因此,可以将“具有犯罪意图”作为我国《刑法》规定计算机伪造犯罪的要件。考虑到计算机伪造往往是行为人意欲实施其他计算机犯罪的预备行为,因此,计算机伪造入罪本质上反映了刑事处罚提前化趋势下预备行为的实行化,可以考虑将其与非法利用信息网络罪合并处理。

第二,《公约》第 13 条规定了计算机侵财的手段行为,要求缔约国将计算机盗窃与欺诈行为确立为犯罪,但并未具体区分盗窃和欺诈的各自情形。我国《刑法》显然无法笼统或混同地进行规定盗窃罪与诈骗罪,因此,从《公约》的该条到国内法的转化问题,值得关注。对于计算机盗窃而言,我国现行的盗窃罪完全可以应对,无需增设条文。但是,对于计算机诈骗,则需首先回答“机器能否被骗”这一在我国刑法理论与实务中至今仍无定论的问题——如果持“机器不能被骗”立场,则应考虑像德、日的刑法一样在诈骗罪法条后增加计算机诈骗的单独条文;如果持“机器可以被骗”的立场,则计算机诈骗同样可以被解释为现有的诈骗罪,无需规范变动。

第三,《公约》第 14 条要求缔约国将针对儿童色情材料的制作、提供、广播、出版乃至单纯的“获取/访问”或“拥有/控制”行为确立为犯罪。从前两款的表述看,该条规定的打击面尤其广泛,对象涉及不满 18 岁的所有儿童,而且,色情材料的范围也包含了该条第 2 款规定的诸多情形,且没有为缔约国预留“要求严重后果”或“要求有伤害意图”的灵活处理空间。因此,该条第 3 款与第 4 款对我国《刑法》合理把握入罪范围显得尤为重要:第 3 款表明,缔约国可以将儿童参与模拟性活动(例如色情动漫、色情电子游戏)和儿童处于有从事性活动的人的现场的材料排除儿童色情材料的范畴;第 4 款则规定,缔约国可排除对儿童自制色情材料(例如广受关注的“福利姬”案)等情形的犯罪化。对于这些由《公约》明确表示缔约国可以排除犯罪化的情形,我国国内法认定为行政违法,即已为足。

第四,《公约》第 15 条要求缔约国将为实施第 14 条的犯罪而利用网络“交流、教唆、诱骗或做出任何安排”的行为确立为犯罪。可以认为,第 1 款规定的行为类型过于宽泛。例如,和未成年人“交流”(例如网络聊天)的行为,从客观方面看,完全可能是单纯的生活行为。因此,我国《刑法》有必要依照该条第 2 款的规定,通过“更进一步的行动”的要求控制入罪范围。该条第 3 款的规定在国内法的语境中并无必要,因为其本身构成轻罪的犯罪未遂,以行政违法处即可。第 4 款在国内法的语境下,意味着要求对已满 16周岁未满 18 周岁的未成年人排除犯罪,这需要后续的规范更新予以回应。此外,尤应注意,《公约》第 14 条至 15 条规定的儿童色情罪行,可能导致在实践中司法机关调查权的无度扩张,甚至仅仅基于初步的举报或怀疑就搜索所有相关的系统与存储介质。考虑到《公约》序言部分专门强调个人隐私与个人数据保护,对《公约》规定的儿童色情罪行,必须配套以严格的调查规范,同时,利用《公约》的灵活性条款在源头上限制犯罪化的范围。

第五,《公约》第 16 条要求缔约国将未经同意传播他人私密图像的行为确立为犯罪。一个前提问题是,在我国传播私密图像本身就构成犯罪的语境下,是否有必要单独讨论“性图像传播的同意能力”这一议题。根据我国现状的分析,这是必要的,因为我国传播淫秽物品罪所保护的法益是社会管理秩序,而未经同意的传播行为可能同时构成侮辱罪。该罪所保护的法益则是他人的人格尊严与名誉,两者应当分别讨论。此外,《公约》该条第 5 款提及缔约国可为该罪增加“伤害意图”的要件,这在我国可能是没有必要的。例如,行为人将存有偷拍的他人私密图像的硬盘放置于公园长椅并离开,若因硬盘被路人拾取而导致传播,此时其所具有的“放任传播”的间接故意足以构成该罪。

四、结 语

互联网信息技术的发展为全人类带来了可观的福祉,而网络世界固有的开放性与无边界性特征,也使网络犯罪突破国界成为全球性难题。《公约》在为打击网络犯罪的国际合作提供了权威规范框架的同时,也对我国刑法的罪名体系更新提出了新的要求。就《公约》第二章第 7 条至第 17 条所规定的刑事定罪实体内容,应首先考虑基于我国刑法现有的规范与罪名,以适度扩张解释的教义学方法进行落实;对难以在罪刑法定原则的限度内通过国内法解释予以规制的部分罪行,则宜考虑以刑事立法修正的路径回应公约的要求。当然,伴随《公约》的未来发展,吸纳更多的纯正或不纯正计算机犯罪罪行,围绕国际法与国内法有效衔接的问题,也需与时俱进地展开有针对性的研究。

(本文刊登于《中国信息安全》杂志2024年第8期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。