夏伟:网络时代刑法理念转型:从积极预防走向消极预防
夏伟【摘要】积极刑法观是网络犯罪治理的主流刑法观。在积极刑法观指导下,刑法通过扩容旧罪与增设新罪来增添“新法益”与规制“新行为”,搭建起网络犯罪的预防体系。积极刑法观具有本能的入罪倾向,单向度地强调积极预防容易激发网络犯罪的扩张性,导致刑法被迫与前置法脱钩,并以扩大解释助长司法犯罪化,造成刑法功能异化。消极刑法观与积极刑法观并非完全对立,两者具有相反相成的辩证关系,应当在预防性网络犯罪中合理嵌入消极刑法观的限制刑罚权思想。在立法配置上,应当暂停增设新类型的网络犯罪,将前置法的义务性规范与违法排除规则嵌入犯罪评价,以重塑刑法与前置法关系。在司法适用上,应当慎用入罪扩大解释,对网络犯罪中的争议事实进行司法限缩,以畅通网络犯罪的出罪路径。
【关键字】网络犯罪;积极刑法观;消极刑法观;预防性犯罪化;出罪路径
一、问题的提出
刑法观念之争不仅是刑法立场问题,更关涉到刑法如何适应社会发展变化以实现其治理能力现代化。我国正处在快速转型发展的网络时代,网络技术的广泛运用既有效促进了社会发展变迁,也伴随着更深层次的新问题,网络失范行为的类型与数量明显增多,一些过去危害不大的行为,借助网络技术也产生了广泛而深远的负面影响,因此,当下比以往任何时候都需要刑法作出积极回应,“刑法通过增设新罪的方式参与社会治理是‘刚性’需求”,积极刑法观也由此成为了主流刑法观念。在积极刑法观影响下,网络犯罪治理逻辑从事中事后管控走向了事前预防,立法与司法呈现出明显的“刑法积极主义倾向”,预防性犯罪化正是积极刑法观贯彻于网络犯罪领域的重要路径。
立法上,通过增设新罪与扩容旧罪等方式,不断增加网络犯罪的总容量,推进网络犯罪刑事法网的严密化与刑罚处罚的严厉化。2015年8月29日,全国人大常委会表决通过的《中华人民共和国刑法修正案(九)》(以下简称“《刑法修正案(九)》”),增设了多个新型网络犯罪,并对既有网络犯罪进行扩容,具体而言:《刑法修正案(九)》增设《中华人民共和国刑法》(以下简称“《刑法》”)286条之一拒不履行信息网络安全管理义务罪,使网络服务提供者从遵循消极的责任避风港原则到承担积极的网络安全保障义务;增设《刑法》第287条之一非法利用信息网络罪,对利用信息网络传授犯罪方法的行为予以类型化规制;增设《刑法》287条之二帮助信息网络犯罪活动罪,使网络技术提供者从日常生活的中立角色转变为刑事可罚对象;修改《刑法》第253条之一,对个人信息犯罪进行立法扩容,增加了主体类型及行为方式。2020年12月26日,全国人大常委会表决通过《中华人民共和国刑法修正案(十一)》(以下简称“《刑法修正案(十一)》”),修改《刑法》第217条侵犯著作权罪,增加规定了未经权利人许可,通过信息网络传播文字、音乐、美术、录音录像制品及表演作品等构成犯罪的情形,适应了网络时代著作权刑法保护的客观需要;修改《刑法》第160条、第161条,提高利用信息网络实施非法集资犯罪行为的法定刑。网络犯罪增设、修改扩容所带来的处罚范围扩大及法定刑提升,正是积极刑法观在立法上的体现。
司法上,通过司法解释与指导性案例将物理空间的裁判规则引入网络空间,并纳入网络犯罪的新侵害形式,促进司法犯罪化。2013年9月6日,最高人民法院、最高人民检察院发布了《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(以下简称“《网络诽谤解释》”),其第5条第2款将网络空间解释为“公共场所”,使物理空间的“公共场所”概念得以在网络空间转化适用,据此,在网络上发表不当言论扰乱公共秩序,情节严重的,可以按照寻衅滋事罪定罪。最高人民法院、最高人民检察院还通过发布指导性案例,将“劫持DNS”后果严重的行为认定为破坏计算机信息系统罪、将“撞库打码”情节严重的行为认定为非法获取计算机信息系统数据罪,等等。以上现象表明,积极刑法观在网络犯罪的司法实务中得到了广泛运用。
虽然积极刑法观在与消极刑法观争论中处于优势,并在网络犯罪立法与司法实务中得以贯彻,但是这并不表明积极刑法观具有必然的合理性,也不意味着消极刑法观应当完全退出刑法视野。无论基于何种理论立场,学者们都认可应当为刑法介入社会治理划定必要的界限,因为刑法作为公法,“就其在法秩序规定下的意义而言”,主要是为了“约制国家机构相关行动(staatsanstaltsbezogenes Handeln)” 而制定,“如果不思考刑法的界限,并且从非刑事法律的角度审视刑法,那么被禁止的行为是否正当是无法确定的”。职是之故,即便认为网络犯罪治理应采取积极刑法观,也不能否弃刑法在整体法秩序中的限制国家刑罚权与“最后保障法”的体系定位,不能让刑法提前介入处理非刑事纠纷,这一限制刑罚权立场与消极刑法观不谋而合。积极刑法观与消极刑法观既相互对立,又彼此互补。网络犯罪整体上采积极刑法观而推进预防性犯罪化,并不排斥其在具体构成要件解释上吸收消极刑法观的有益思想,在预防性网络犯罪中合理嵌入消极刑法观,有助于划定刑法介入网络治理的合法性边界。为此,有必要深入分析积极刑法观与消极刑法观之间的辩证关系,以探求消极刑法观融入预防性网络犯罪的合理路径。
二、积极刑法观与网络犯罪预防体系的搭建
网络既创设自由空间,又聚拢犯罪风险。网络科技发展使网络犯罪由“精英犯罪”蜕变为“平民犯罪”,降低了犯罪门槛;与此同时,跨越地域界限的网络犯罪,较之物理空间的传统犯罪而言具有更强的传播性和危害性。网络风险的加深与蔓延,也使公众的价值观念发生根本转变,过去谈论较多的是网络自由,而现在网络安全却更受关注。“当网络科技高度发达,以至于在网络空间出现了新的行为类型或者新的值得刑法护的法益时,新的立法就需马上跟进”,为了防止网络空间不可控的法益侵害风险的滋生,网络犯罪治理时点应当适度提前,惩罚力度也要对应法益侵害程度适当提升。积极刑法观契合了当前网络犯罪治理的客观需要,现行刑法以此为逻辑基础,搭建起了网络犯罪的预防体系。
(一)在传统犯罪中增添“新法益”
网络空间的犯罪治理面临着更多的新挑战。一方面,传统犯罪行为经由网络异化,升级为危害更大、隐蔽性更强的新形态;另一方面,网络空间又衍生出各种新侵害形式,伴随网络技术而生的“深度链接”、“流量劫持”等新型犯罪频发且变型多样。在网络犯罪数量剧增与形态多元的双重背景下,传统管控型犯罪治理模式无力应对网络空间不确定的技术风险和复杂化的犯罪形势,当务之急是,基于网络风险泛在的特点回溯至犯罪源头,构建具有网络空间适应性的刑事制裁体系。
从某种意义上说,当下的“网络空间仍然是一个‘理想的犯罪环境’,因为它包含许多目标和机会,而与之对抗的网络监管却相对较为宽松”。根据卡内基梅隆大学计算机应急小组(CERT)的追踪调查显示,21世纪以来计算机入侵犯罪呈现爆发式增长,2001年度全球共报告了52000多起计算机安全事件,到2009年则有超过900万台计算机受到攻击和感染,且上升趋势仍然明显。2019年12月13日,百度与公安部第三研究所法律研究中心联合发布的《2019年网络犯罪治理防范白皮书》表明,2018年度全球因网络犯罪造成的损失高达290万美元,全年相当于损失1.5万亿美元,并呈现出上下游犯罪紧密捆绑、犯罪形态错综复杂等新态势,现有立法和监管无法有效应对这些新情况,网络犯罪治理面临法规范和制度供给不足的现实困境。
为预防网络犯罪,刑法通过扩容旧罪、扩大解释构成要件等方式增添“新法益”,以有效应对网络犯罪新变化。法益不是永恒范畴,“法益秩序,可以说是建立在实际的社会上之评价经验的基础之上(auf der Basis der aktuellen sozialen Werterfahrung)”,它会随着社会发展变迁而适度变化。亦即,随着社会发展变迁,过去不重要的利益在现在可能被视为重要的利益,并通过刑法法益化;过去重要的利益在现在也可能被视为不重要的利益,不再作为刑法法益加以保护。网络犯罪预防体系搭建的一条重要路径是,在既有罪名的基础上,通过扩容旧罪、扩张性司法解释与类型化司法裁判等方式补充“新法益”,实现了刑法处罚范围的扩张。
刑法通过修改条文,将网络犯罪的新形式归入既有犯罪中。“随着以网络、数字化为代表的新技术的高速发展和应用……通过信息网络传播这种方式侵权的行为越来越多”,一些新的知识产权表现形式如二次创作的“短视频”、自媒体评论文章等,承载着创作者的知识智慧和劳动付出,并已经纳入到著作权法保护。这些新的表现形式,“主要是传统类别的知识产权借助新的数字技术和网络平台而发展形成的,权利内容并未发生本质上的变化,只是其所存在的载体和扩散的媒介发生了变化”。为了适应著作权保护的时代变迁,《刑法修正案(十一)》第20条对《刑法》第217条侵犯著作权罪作出修改,增加对二次创作“短视频”等知识产权新形式的刑法保护。
刑法通过司法解释与司法裁判,续造既有法规范,确立“新法益”的法律地位。数据保护的变迁全面地揭示了这一司法进路。在早期司法实务中,刑法一般不保护数据本身,只有非法获取了计算机信息系统数据之后,才能构成犯罪,即《刑法》第285条第2款非法获取计算机信息系统数据罪。刑法设立非法获取计算机信息系统数据罪,是为了保护计算机信息系统安全,因此,单纯获取存储在硬盘等介质中的非计算机信息系统数据的行为,一般不构成犯罪。随着网络发展以及数据价值不断挖掘,刑法针对数据本身的保护也愈发强化。虽然刑法并未直接以数据为保护法益设立新罪,但是通过司法解释与司法裁判,数据的法益化倾向明显,从中分割出了“数据财产权”“个人信息权”等民法上的私权利及与之相对应的刑法上的个人法益。例如,2017年5月8日最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《侵犯个人信息刑事解释》”)第1条规定,个人信息包括以电子形式存储的能够反映自然人身份或者反映特定自然人活动情况的数据,非法获取此类数据,情节严重的,构成侵犯公民个人信息罪。这意味着,个人信息数据受刑法保护。再如,有关网络虚拟财产能否成为刑法保护对象,在司法实务中也经历了从否定到肯定的变迁历程。过去刑法理论认为,网络虚拟财产只是一段电磁记录或者一段数据,本身没有任何价值,但时至今日,理论与司法的共识是,数据只是网络虚拟财产的存在形式,它的财产价值体现在特定的市场交易过程中。
基于上述分析,网络发展拓宽了刑法的法益内容,数据、网络知识产权、网络虚拟财产等“新法益”与物理空间的知识产权、财产等,不仅存在形式差异,也存在内容区别。由于构成要件具有开放性,内容相互关联的不同法益可以归入同一类别,因此,即使刑法没有增设新罪,通过修改刑法条文、制定司法解释以及总结司法裁判经验,亦能够在既有犯罪的保护框架下妥善安置“新法益”。
(二)在核心犯罪中纳入“新行为”
积极刑法观的形成是网络风险演化与网络规制发展的共同结果。伴随网络从Web1.0到Web2.0再到Web3.0的代际变迁,网络犯罪也经历了从“网络作为犯罪对象”到“网络作为犯罪工具”再到“网络成为犯罪空间”的迭代共生。Web3.0时代的网络犯罪不仅具有Web1.0和Web2.0时代的物理性特征,同时又具备“高度隐匿性、智能性”,网络犯罪分子“善于将智能科技运用于犯罪的各个环节,在缩短犯罪耗时的同时,通过加密或设置傀儡网站等操作以隐藏作案手段”,与之相适应,治理网络犯罪不能照搬物理空间的管控型思维,
而应确立具有网络空间向度的预防性思维,积极刑法观由此确立。积极刑法观促进了刑事立法的活跃化,为了预防网络风险,刑法通过增设新罪将“新行为”纳入了规制范围,有效地扩大了刑法处罚的范围。
刑法介入网络治理、预防网络风险,首先考虑设立抽象危险犯,将对“使法益危殆化的法益关联性行为的规制提至具体危险发生之前的阶段”。当网络参与者实施某种失范行为时,将会对网络空间不特定多数人利益产生威胁,为了预防这种潜在的不可控的未来风险,“唯一的办法就是采用不需要判断结果可归责性的抽象危险犯”(abstrakte Gef?hrdungsdelikte),于是,只要行为人实施符合构成要件的定型化行为,就被认为具备法益侵害的抽象危险,构成犯罪。因此,刑法设立抽象危险型网络犯罪,更有利于实现一般预防效果。《刑法修正案(九)》增设非法利用信息网络罪,将“设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”、“发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息”、“为实施诈骗等违法犯罪活动发布信息”等情节严重的行为规定为犯罪,这正是基于风险预防逻辑。上述行为并未直接侵害法益,但是放任这些行为,会导致犯罪手段、犯罪工具、犯罪信息等在网络空间无序传播,增加未来的犯罪风险,有可能危害网络安全。刑法设立非法利用信息网络犯罪,将各种非法利用信息网络的行为类型化,以便在抽象危险阶段提前预防法益侵害风险。
另一种方式是,刑法开始将关注焦点从核心犯罪转向外围犯罪,对违法犯罪行为实施全流程打击。在网络初生的Web1.0时代,自由自治成为首要原则,排除包括刑法在内的法律干预被认为是网络自由发展的重要前提。当网络进入到Web2.0和Web3.0时代之后,面对复杂多变的网络失范行为,立法者意识到,只有将网络治理纳入法治框架,才能够塑造清朗有序的网络环境。为了落实这一目标,网络参与者不再绝对自由自治,而是依其角色承担相应的网络安全保障义务。《中华人民共和国网络安全法》(以下简称“《网络安全法》”)、《中华人民共和国数据安全法》(以下简称“《数据安全法》”)、《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)等都从不同层面规定了网络参与者的法定义务,如《数据安全法》第27条至第36条分别规定了数据风险监测、重要数据处理风险评估、重要数据出境管理、数据中介服务审核、数据行政许可等数据安全保障义务。网络安全保障义务位于网络监管的最外围,是所有网络参与者必须履行的法定义务,刑法以此为基础,增设了新的外围犯罪即拒不履行信息网络安全管理义务罪,该罪“要求网络服务提供者承担协助管理网络空间的义务,与相关部门共同维护有利于遏制网络犯罪的网络环境”。
基于上述分析,积极刑法观是有效治理网络犯罪的主流刑法观,它促进了网络犯罪预防体系的搭建。立法上增设新罪扩容旧罪,使刑法提前介入网络空间的风险预防,改变了网络犯罪的整体格局;司法上增加规制对象与行为类型,充分诠释了传统线下犯罪向线上犯罪转化的逻辑路径,使刑事司法更具网络空间适应性。积极刑法观在立法与司法中的贯彻,确立了网络犯罪治理的新格局。
三、网络犯罪预防过度化与刑法功能异化
风险预防犯在刑法理论上经常面临正当性质疑,一个可能的原因是,“这些犯罪并不禁止损害本身,而是禁止损害的可能性”,“当从未有任何损害时”,刑罚是无理由的,它的可罚性基础并不如同实害犯那样坚实可靠。风险预防犯传递着强烈的入罪信号,为了排除入罪限制,刑法被迫与前置法脱钩,并频繁通过采用扩大解释助长司法犯罪化,导致刑事犯罪圈被过度扩张。
(一)法法关系断裂:刑法与前置法的脱钩
预防性网络犯罪皆为法定犯,对于法定犯,“违反前置法是其构成要件要素,这种定位不仅具有形式意义,还具有实质价值”。具体而言,法定犯具有双重违法性,违反前置法是其第一重违法性的体现,在此基础上还要进行第二重违法性即刑事违法性判断。在预防性网络犯罪中,连接前置法与刑法的要素已经转化为犯罪构成要件,它既可以是成文的也可以是不成文的。成文的如《刑法》第286条破坏计算机信息系统罪中的“违反国家规定”;不成文的如《刑法》第285条第3款提供侵入、非法控制计算机信息系统程序、工具罪并未直接规定“违反国家规定”或其他类似要件。然而,即使没有成文规定,在认定该罪时,也应当根据法定犯双重违法性的逻辑指引,结合犯罪构成要件描述寻找对应的前置法,并在先判断行为是否违反了前置法的相关规定。因此,在法定犯中,刑法与前置法的违法判断具有紧密的递进关系。
由于法定犯成立受限于前置法,当前置法没有作出规定或规定模糊时,刑法的犯罪化欠缺充足理据,当前置法规制的行为类型较为狭窄时,刑法的犯罪圈也应受到限缩。因此,从某种意义上说,法定犯的结构天然不利于推进预防性犯罪化。为减少前置法限制,刑法在搭建网络犯罪预防体系时,在某些环节被迫与前置法脱钩,创造独立于前置法的刑法标准,具体而言有三条路径:
路径之一是:当前置法没有作出规定时,刑法通过增设新罪率先保护新法益。个人信息保护立法便采取这条路径。我国法律对于个人信息保护采取先刑事立法后民事立法、先一般立法后专门立法的路径展开,呈现出明显的刑事立法先行的特征。首先关注个人信息保护的是刑法。早在2009年2月28日全国人大常委会审议通过的《中华人民共和国刑法修正案(七)》(以下简称“《刑法修正案(七)》”)中就专门规定了以个人信息为保护法益的犯罪,即出售、非法提供公民个人信息罪;随后,2015年8月29日全国人大常委会审议通过的《刑法修正案(九)》将该罪修改扩容为《刑法》第253条之一侵犯公民个人信息罪。其次关注个人信息保护的是民法。2017年3月15日全国人大审议通过的《中华人民共和国民法总则》(以下简称“《民法总则》”)第111条首次规定了个人信息概念,个人信息保护有了私法依据。2020年5月28日全国人大表决通过《中华人民共和国民法典》(以下简称“《民法典》”),将个人信息纳入人格权编加以保护,并确立了个人信息保护的一般规则。最后才制定了个人信息保护的专门立法。2021年8月20日全国人大常委会审议通过了《个人信息保护法》,此时,个人信息保护才有了体系化的部门法依据。
反思个人信息保护的发展历程,刑事立法先行不仅在逻辑上难以自洽,在解释适用上也产生不少问题。从逻辑上看,刑法作为整体法秩序中的保障法,一般只有严重违反了其他部门法的行为,才有必要纳入刑法加以规制。个人信息首先作为私法权益而存在,因此,个人信息保护规则应当先由私法规范作出。在私法尚未规定个人信息概念之前,刑法率先增设个人信息犯罪存在逻辑问题,换言之,个人信息保护立法从刑法到民法再到专门立法,违背了立法的一般逻辑。有学者指出,网络时代个人信息泄露风险日趋严重,个人信息权益受侵犯现象也愈发普遍,刑法将其中严重侵害个人信息权益的行为犯罪化,具有必要性。笔者并不否认增设个人信息犯罪的必要性,但是,立法的必要性与立法逻辑的合理性是两个不同层面的问题,并非只要有必要犯罪化的事项,都应由刑法率先作出。刑法作为整体法秩序中的“保障法”,“只有在其他手段如习惯道德上的制裁、地域社会中的非正式的控制或民事上的控制不充分时的时候,才能使用刑法”。可是,如果刑法之外的其他法律尚未制定,如何能够先验地假设它们不足以妥善保护个人信息呢?更何况,个人信息保护刑事立法先行的逻辑问题也带来了解释适用上的争议与障碍。例如,关于个人信息的法益属性,理论上进行了持久的个人法益说与超个人法益说之争,至今仍未达成共识。再如,关于个人信息分级保护,《侵犯个人信息刑事解释》第5条将个人信息分为三个等级,其敏感程度依次递减。第一类信息包括行踪轨迹信息、通信内容、征信信息、财产信息4种最核心的隐私信息,其私密性最高;第二类信息包括住宿信息、通信记录、健康生理信息、交易信息等私人领域信息,其私密性次之;第三类信息是最外层社会领域的其他个人信息,其私密性最低。上述分级保护的依据是个人信息对自然人人身、财产安全的影响程度,系一元标准。《个人信息保护法》虽然也根据个人信息私密性等级分别保护,但其采取的两级保护策略,只区分了敏感个人信息与其他个人信息。而且,其分类标准是二元的,即依据个人信息对自然人人格尊严或者人身、财产安全的影响程度。由于《侵犯个人信息刑事解释》制定之时,生物识别、宗教信仰等涉及个人尊严的个人信息并未得到广泛关注,因此,司法解释并未将之作为区分个人信息敏感性的标准。归类标准不统一引发了评价差异,生物识别、宗教信仰等涉及人格尊严的个人信息,在《个人信息保护法》中属于敏感信息,在《侵犯个人信息刑事解释》中却可能归入普通信息,导致两法对个人信息的敏感性评价存在冲突。
路径之二是:在前置法规定不明确时,刑法通过虚化构成要件、转嫁证明责任等方式积极入罪。在《刑法修正案(九)》增设帮助信息网络犯罪活动罪之前,其他法律并未就利用信息网络为不法行为提供支付结算等帮助应当如何处罚作出明确规定。刑法理论上,关于帮助信息网络犯罪活动罪的解释适用之争,主要围绕如何理解该罪的主观要件展开,即如何理解本罪中的“明知”。传统刑法理论认为,客观上提供了帮助但欠缺主观故意的行为,不能视为刑法上的故意,甚至连片面帮助犯也无法成立。而帮助信息网络犯罪活动罪存在虚化主观要件之嫌,虽然该罪成立也要求行为人“明知”,但却包含了“推定的明知”。根据《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条的规定,本罪中的“明知”有6种情形,包括:(1)经监管部门告知后仍然实施有关行为;(2)接到举报后不履行法定管理职责;(3)交易价格或者方式明显异常;(4)提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助;(5)频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份,逃避监管或者规避调查;(6)为他人逃避监管或者规避调查提供技术支持、帮助。然而,第二种情形“接到举报后不履行法定管理职责”可以是放任即间接故意,也可能只是过失;第三种情形“交易价格或者方式明显异常”难以佐证行为人“明知”他人实施网络犯罪,无法证明存在帮助故意;第五种情形中采用隐蔽上网、加密通信等方式逃避监管,也未必是为他人实施网络犯罪提供帮助,比如网络黑客为了隐藏身份,可能习惯性地采取隐蔽上网、加密通信等手段。因此,上述司法解释关于“明知”的规定已经超出了刑法中故意的“明知”范围,实际上包含了“推定的明知”。
推定只传达某种可能性,将“推定的明知”引入犯罪评价将会使刑事法治被迫妥协,与刑法及刑事诉讼法基本理论产生冲突。首先是可归责性缺失。“明知”是刑法中故意的组成要素,基于存疑有利于行为人原则,当“明知”与否无法准确判断时,应当推定不明知而非相反,否则可能使不可归责的行为犯罪化,动摇刑法责任主义的根基。其次是举证责任倒置。在无法排除合理怀疑的前提下,推定行为人明知他人实施犯罪行为,等同于在诉讼程序上将举证责任倒置,要求行为人提供相反的证据才能出罪,这显然属于不利于行为人的入罪推定。最后是自由裁量权滥用。对故意的认定倚赖于司法机关的“推定”,变相使不可控的网络风险转嫁给网络参与者,增加了司法误判的可能性。而误判的后果是,“对没有故意、欠缺危害的行为施加刑罚,这将进一步损害公众对法律的尊重,耗损刑法的一般威慑性”与司法的权威性。
路径之三是:在前置法规定范围较窄时,刑法通过促进犯罪“口袋化”扩张犯罪圈。《刑法》第285条、第286条规定了5个以计算机信息系统安全为保护法益的犯罪,分别是非法侵入计算机信息系统罪,非法获取计算机信息系统数据罪,非法控制计算机信息系统罪,
提供侵入、非法控制计算机信息系统程序、工具罪以及破坏计算机信息系统罪,这些犯罪都是法定犯,其成立要求“违反国家规定”。此处的“国家规定”是与计算机信息系统安全有关的“国家规定”,主要是指1994年发布、2011年新修订的《中华人民共和国计算机信息系统安全保护条例》,据此,结合法益指导刑法解释的方法论功能,只有相关行为侵害了计算机信息系统安全,才能构成上述犯罪。
虽然根据前置法的规定,上述犯罪的保护法益应当被限定为“计算机信息系统安全”,然而,在司法实务中,这一限定早已被突破。以非法获取计算机信息系统数据罪为例,根据前置法以及本罪保护法益,行为人所获取的数据只有与计算机信息系统安全有关,侵害了计算机信息系统安全,才能成立本罪。不过,很多司法判决并未遵循上述逻辑,无论是利用技术手段提取网站上消费者的购物信息,还是窃取旅客购票信息,抑或是窃取游戏账号、密码及账号内游戏装备等都被认定为本罪。消费者购物信息、旅客购票信息以及游戏装备数据等虽然承载着网络权利客体或者私法利益,也存储在相关介质中,但是这些数据并非计算机信息系统的组成部分,无关计算机信息系统安全。以上裁判无疑突破了法益的内在限定,将本罪的保护法益即计算机信息系统安全数据扩张性地理解为存储在计算机中的各种数据,而不问该数据是否与计算机信息系统安全直接相关。于是,“似乎所有能储存于电脑系统中的权利客体都可以称为‘数据’,对其非法获取行为都可能构成非法获取计算机信息系统数据罪,使得该罪成为名副其实的‘口袋罪’”。
刑法与前置法脱钩,等于放弃了法定犯的第一重违法性判断。没有了前置法的限制,刑法的犯罪化将高度依赖于裁判经验的累积,这种做法虽然能够预防网络风险,但也包容了经验性错误,当这些错误汇聚在一起并付诸实践时,刑法的基本原则与核心教义将受到根本性挑战。
(二)司法逻辑误区:扩大解释与入罪倾向
积极刑法观驱动了刑法的扩张性,在刑法条文的解释适用上,倾向于采取扩大解释以实现积极入罪。扩大解释是对刑法用语通常含义的扩大,它并不违反罪刑法定原则,但扩大解释的结论未必都是合理的。换言之,“扩大解释方法本身并不违反罪刑法定原则,但其解释结论则可能与罪刑法定原则相抵触”。积极刑法观导向下的网络犯罪预防体系,全面开放了入罪通道,这不仅体现在立法层面,也体现在司法层面。司法层面的犯罪化扩张有两条进路:一是通过司法解释降低入罪标准,扩张刑事犯罪圈;二是在个案裁判中淡化限制入罪的实体要件,积极入罪。无论是降低入罪标准还是淡化限制入罪的实体要件,都是对刑法基本原则的忽视与悖逆。
预防性网络犯罪本身是刑法的扩张,在这些犯罪中如果频繁适用扩大解释,无疑是对网络犯罪的“二次扩张”,容易违背罪刑法定原则。这是因为,“如果司法机关决定对现有犯罪作扩大解释,那么亦能产生更多的犯罪化。通过该过程,在根本上没有任何立法行为的情况下,更多的犯罪化亦随之而来”。对《刑法》第253条之一侵犯公民个人信息罪中“违反国家规定”的扩大解释即为示例。《侵犯个人信息刑事解释》第2条规定,侵犯公民个人信息罪中“违反国家规定”,是指“违反法律、行政法规、部门规章有关个人信息保护的规定”,这与《刑法》第96条关于“国家规定”的定义有所不同。《刑法》第96条规定,“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”,因此,“国家规定”不包括部门规章。《侵犯个人信息刑事解释》将“国家规定”扩大解释为包含部门规章,有当时的背景因素,因为在该司法解释制定之时,只有《民法总则》第111条规定了个人信息概念,除此之外,并没有专门规定个人信息保护规则的法律性文件,以法律为依据而制定的行政法规也极少,相对而言,比较多见的是中国人民银行、工信部等颁布的规范性文件,这些规范性文件对相关领域个人信息保护作出较为详尽的规定,为具体认定行为是否侵犯了个人信息法益提供了重要的司法参考。然而,司法参考并非裁判依据,《侵犯个人信息刑事解释》第2条的规定使部门规章直接上升为裁判依据,扩大了“国家规定”的范围,与《刑法》第96条的规定不符,违反了罪刑法定原则。
对预防性网络犯罪的扩大解释,还容易激发司法入罪倾向,并可能形成不合理的裁判结果。以陈某涉嫌投放虚假危险物质罪为例。陈某为报复他人,以免费送牛奶的方式吸引他人饮用,她先后将放有两片安眠药的牛奶给多人食用,造成5人出现头晕、恶心等症状。该事件原本是小范围事件,但是,相关照片被某网友拍下后又上传到微信朋友圈和本地贴吧,引起了较大范围的公众议论和恐慌情绪。据此事实,法院认定陈某的行为严重扰乱社会秩序,构成投放虚假危险物质罪。投放虚假危险物质罪是为预防恐怖主义风险而设立的罪名,其设立背景是,“美国‘9?11’事件后,在美国出现了投放炭蛆杆菌病毒的恐怖活动,继而出现了以假的炭蛆杆菌病毒制造恐慌的事件”,因此,只有投放虚假危险物质行为引起了较大范围的群众恐慌才能够认定为此罪。但在本案中,陈某投放安眠药的行为原本只引起了小范围事件,之所以演变为较大范围的公共事件,是由于事件发生后,某网友将相关照片传到网上所引起的。从投放虚假危险物质罪的构成要件分析,本罪所重点处罚的并非投放行为,而是虚假信息传播所引发的公众恐慌及社会秩序混乱,这才符合本罪以公共秩序为保护法益的理论定位。据此分析,本案中,要想认定陈某的行为构成投放虚假危险物质罪,只能够将某网友上传图片至微信和贴吧的行为扩大解释为陈某行为的延伸,如此才能够在整体上评价为犯罪。然而,陈某既不认识该网友,更没有教唆该网友上传相关照片,线下行为与线上行为之间并无因果关系,因此,陈某的行为不符合投放虚假危险物质罪的构成要件,认为陈某构成该罪的裁判结果既不合法也不合理。
综上分析,预防性网络犯罪本能的扩张性使其与扩大解释方法适配性较低,不合理的扩大解释容易激发司法入罪思维。网络发展“并未对法律基础理论、法学基本教义提出挑战,受到挑战的只是如何将传统知识适用于新的场景”,预防风险当然是网络时代的核心主题之一,但它必须遵守罪刑法定、法益保护等刑法基本原则和基本教义,不能以预防为名无限制地制造新犯罪。司法实践中,在对网络犯罪相关构成要件解释时,应当慎用扩大解释,尤其是入罪的扩大解释。自由才是网络的“第一天性”,无限制的犯罪化不是预防,而是对自由的侵害,其结果可能是,“制造出一个人人安全无虞却丧失自由的社会环境”,这将削弱网络犯罪预防的有效性,并与网络空间法治治理的根本目标相抵牾。
四、消极刑法观嵌入预防性网络犯罪的教义学调适
积极刑法观具有两面性,它既将网络犯罪治理导向了预防刑法的正确轨道,构建起网络犯罪预防体系,又以安全保障为名禁锢了自由,并助长了过度犯罪化。过度犯罪化意味着惩罚不适当,“不适当的惩罚,即或者根本不应当的惩罚……是对刑法的一种伤害”。如果说积极刑法观塑造了刑法参与治理网络犯罪的基本方式,那么,在此之外还应当明确刑法介入网络治理的必要限度,以保持其作为整体法秩序中“最后保障法”的应然定位,这与消极刑法观的限制刑罚权思想暗合。
(一)刑法与前置法的互动融合
回顾我国网络立法发展史,刑法较早地介入网络治理,率先制定了严密的网络犯罪预防体系,其他部门法如《民法典》《网络安全法》《数据安全法》《个人信息保护法》等与网络治理紧密相关的部门法却相对滞后。这种刑事立法先行的做法,有助于借助刑法工具性和惩罚性优先规制网络空间中比较严重的失范行为,塑造网络犯罪的刑事治理规则。然而如上分析,刑事立法先行违背了一般立法逻辑,也潜藏着极深的法治危机,并已经在司法适用中反复显现。当刑法基于积极刑法观建立网络犯罪预防体系之后,其核心任务不再是继续推进犯罪化,而是调适既有的网络犯罪立法规范,接纳前置法中对应的网络治理规则,以重塑符合整体法秩序的法法关系。
1.刑法应当暂停增设新类型的网络犯罪,从立法“活跃期”进入到“调整期”
我国现行刑法经过多次修正,已经形成较为完善的网络犯罪预防体系,它由三部分构成:第一部分是计算机信息系统犯罪,包括《刑法》第285条非法侵入计算机信息系统罪,非法获取计算机信息系统数据罪,非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪和第286条破坏计算机信息系统罪,它是Web1.0和Web2.0时代网络犯罪初生期的犯罪架构,主要用于保护最核心的计算机信息系统安全。第二部分是新型网络犯罪,包括《刑法》第253条之一侵犯公民个人信息罪、《刑法》第286条之一拒不履行信息网络安全管理义务罪、《刑法》第287条之一非法利用信息网络罪以及《刑法》第287条之二帮助信息网络犯罪活动罪,这是Web3.0时代刑法因应网络风险治理的最新成果,主要用于在外围构建网络风险预防的刑法屏障。第三部分是传统犯罪的网络表现形式,比如以网络虚拟财产为侵害对象的盗窃、诈骗等犯罪,它是传统犯罪行为的网络化体现,依其所侵害的法益类型可以归入到相关犯罪中,主要用于指引线下规则与线上规则的交互转化。由此可见,我国网络犯罪预防体系已经成型,刑法应当暂停增设新类型的网络犯罪,刑事立法也应从“活跃期”进入到“调整期”,自此之后,刑法在面对网络治理中的新问题、新挑战时,“能解释的绝不轻易修改立法,能修改立法的绝不另立新罪”,对预防性网络犯罪的“改”和“释”应成为当下网络空间刑事治理的新主题。
有的网络犯罪立法已经无法适应新情况,可以修改立法。侵犯公民个人信息罪是刑法保护个人信息的核心罪名,但该罪只处罚3种行为,分别是非法获取、非法提供、非法出售公民个人信息。非法获取个人信息入罪,规制对象是非法的信息流入,非法提供、非法出售公民个人信息入罪,规制对象是非法的信息流出,然而,中间层的信息控制者非法使用个人信息行为却不在规制之列。根据《个人信息保护法》第13条的规定,个人信息的收集和使用等处理活动应当经过信息主体同意,未经同意而进行上述处理活动的,都属于违法行为。在现实中,信息控制者未经授权而使用个人信息的情况非常普遍,如网络购物平台提供的精准推送、大数据服务公司非法提供的查询他人征信服务等,都属于未经授权的个人信息非法使用行为,这些行为当然违反了个人信息保护法。可是,根据现行刑法规定,信息控制者非法使用个人信息的,不属于侵犯公民个人信息罪中的任何一种情形,不构成犯罪。基于个人信息非法使用行为的法益侵害性,可以考虑在未来对侵犯公民个人信息罪进行修改扩容,将非法使用个人信息情节严重的行为,作为一种情形纳入该罪的规制范围。
有的网络犯罪司法解释存在明显问题,可以重新解释。例如,《侵犯个人信息刑事解释》第2条将“国家规定”扩展至部门规章,是早期立法、行政法规不完善时的权宜之计,如今《网络安全法》《数据安全法》《个人信息保护法》以及相关行政法规已经相继确立,这项与《刑法》第96条明显冲突的解释可以考虑予以废除。即使短期内难以制定新司法解释,在对侵犯公民个人信息罪进行司法裁判时,也不应当以部门规章作为判断是否违反国家规定的依据,使这项解释保持“立而不用”的状态,从而在事实上实现对该条的废除。再如,帮助信息网络犯罪中的“明知”,存在将“推定的明知”视同“明知”的问题,导致本罪主观要件的不合理扩张,在司法实践中,应避免将前述“推定的明知”所包含的情形入罪,也可以在总结司法裁判经验之后修改相关司法解释。
2.前置法应当融入网络犯罪评价,并顺势转化为相关犯罪的成立条件
随着《网络安全法》《数据安全法》《个人信息保护法》等相继确立,网络犯罪认定有了充足的前置法依据。现阶段法法衔接的任务是,
前置法如何补充曾经的立法空白,合理融入到预防性网络犯罪的定性评价之中,以还原其作为法定犯的双重违法性判断,使刑法与前置法在整体法秩序中各安其位。基于法定犯结构以及考察相关立法内容,前置法中的两类规则可以转化为犯罪成立条件:
第一,义务性规范向构成要件转化。网络犯罪作为法定犯,其成立要求违反国家规定,确切地说是违反国家禁止性规定或义务性规范。当今时代,“网络管制是各国共同立法议题,网络空间不再是规避义务的‘避风港’,网络服务提供者既要尊重个人权利,又要履行法定义务”。《网络安全法》《数据安全法》《个人信息保护法》等前置法中规定了网络服务提供者、数据服务商以及个人信息控制者等网络参与者的法定义务,这些义务构成了网络参与行为的合法性边界。对于法定犯评价而言,所谓违反国家规定其实就是指违反了前置法中的义务性规范,如判断侵犯公民个人信息罪中的“违反国家规定”,需要回归到《个人信息保护法》第五章“个人信息处理者的义务”,评价个人信息处理者是否履行个人信息安全保障义务、个人信息处理过程监督义务、个人信息处理合规审计义务、个人信息保护影响评估义务、个人信息保护社会责任报告义务,等等。没有履行上述义务的,都属于违反国家规定,在此基础上,再非法搜集个人信息或者造成个人信息不当泄露,情节严重的,构成侵犯公民个人信息罪。因此,在网络犯罪定性评价中,前置法中的义务性规范是判断行为是否违反国家规定的主要依据,应当将之转化为相关网络犯罪的构成要件,以还原法定犯双重违法性判断、重塑法法关系。
第二,违法排除规则向犯罪排除事由转化。刑法参与网络治理不是单向度地进行入罪化评价,还应为网络自由权利发展留下必要空间,适度非犯罪化。一般而言,当行为该当构成要件之后,能够依照刑法规定出罪的极少,网络犯罪同样如此。但是,网络犯罪作为法定犯,其双重违反性结构决定了前置法中的合法行为不构成犯罪,具言之,前置法中的违法排除规则可以向犯罪排除事由转化,作为出罪依据。根据《个人信息保护法》第13条的规定,“取得个人的同意”、“为履行法定职责或者法定义务所必需”以及“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”等情况下处理个人信息是合法的。转换到刑法语境下,上述情形下处理个人信息的,即使造成泄露的,一般也不构成犯罪。这种私法规则向刑法规则转化的做法必须有充足的法理依据。以个人信息保护为例。个人信息作为私法权利,对应到刑法中为个人法益,对于个人法益而言,法益持有人拥有放弃该法益的处分权,这种放弃行为能够产生“阻却构成要件承诺”(Eine tatbestandsausschlie?ende Einwillingung)或“阻却违法性承诺”(Rechtfertigende Einwillingung)的法效果,从而排除犯罪。《网络安全法》《数据安全法》也规定了相应的违法排除规则,基于法定犯结构,这些规则构成了刑法之外超法规的违法阻却或责任阻却事由,为网络犯罪出罪提供了充分的前置法依据。
总之,当下刑法介入网络治理的核心主题并非推进继续犯罪化,而是在网络犯罪预防体系已经成型的背景下,将重点集中在对既有网络犯罪的“改”和“释”,以消除前期刑事立法先行与过度介入的残余负面效应。配合前置法的完善,将前置法中的义务性规范转化为网络犯罪构成要件,将前置法中的违法排除规则转化为网络犯罪出罪事由,最终在整体法秩序下重塑良性的法法衔接关系。
(二)争议事实的司法限缩
网络发展使许多新侵害形式成为可能,但对于司法实践而言,绝大多数网络犯罪都是针对传统法益的,只是侵害的种类和形式是新的而已。多数情况下,线下犯罪与线上犯罪的标准几乎完全一致,如盗窃、诈骗等数额犯,在数额这一入罪标准上并不会因为发生在物理空间还是网络空间而有所不同,这些线下犯罪的线上转化并无争议。当线上线下无争议时,网络犯罪的定性评价并不存在司法障碍。然而,网络作为新的社会交往空间,发生在其中的犯罪事实也存在不少新的司法争议,这主要可以归为两类:一是新法益的确认,网络汇集了各方利益,各种新型权利主张非常活跃,对于这些新型权利主张,刑事司法是否予以确认值得深入探讨;二是客观价值大小的确定,数据、流量、个人信息、虚拟财产等网络空间的基本组成元素,难以完全根据物理空间的规则量化,如何确定其价值对于司法实践中相关犯罪尤其是数额犯认定至关重要。
基于消极刑法观限缩刑罚权思想,新法益的确认宜以法律规定与司法共识为限,当法律没有规定且欠缺司法共识之前,不宜确认为新法益。网络空间的新型权利主张,大多停留在司法经验总结阶段,尚没有达成司法共识或规定在法律中。如数据,虽然有学者主张将之部分权利化,并提出个人数据权概念,但是关于个人数据权属问题却争议不断。目前而言,司法实务主要根据数据的内在价值属性来确定保护模式与限度,如具有财产属性的网络虚拟财产数据参照财产权利加以保护,具有个人信息属性的个人信息数据按照个人信息权益加以保护。换言之,司法实践认为,数据只是表现形式,数据是否值得保护需要透过外在表现形式判断内在价值,刑法同样依此逻辑。对于刑事司法而言,既没有法律规定又没有达成司法共识的各种新型权利主张,不宜确认为新法益。因为在逻辑上,确认新法益的目的是为了入罪,而入罪需严格遵循罪刑法定原则,欠缺法律规定或司法共识径行确认新法益,无端压缩了网络参与者的自由权利,也违背了罪刑法定原则。
当网络空间中相关要素客观价值大小的确定存在争议时,应当“就低不就高”,其法理基础是存疑有利于行为人原则。例如,网络虚拟财产的价值确定,直接影响盗窃、诈骗等发生在网络空间的财产犯罪认定,并影响量刑裁判。网络虚拟财产“虚而有价”,但是它又与传统财物有所不同,其价值有时难以统一量化。在既往的司法实践中,对网络虚拟财产价值的确定,首先依据的是市场价,没有市场价的,则委托有关鉴定机构评估,根据最高人民法院、最高人民检察院2013年4月2日发布的《关于办理盗窃刑事案件适用法律若干问题的解释》第4条第1项规定:“被盗财物有有效价格证明的,根据有效价格证明认定;无有效价格证明,或者根据价格证明认定盗窃数额明显不合理的,应当按照有关规定委托估价机构估价”。
然而,当鉴定的虚拟财产价值与行为人实际获利价值差距巨大,或者两个以上合法的鉴定机构对同一网络虚拟财产鉴定出不同的价值时,应以何为准?以王某鑫、王某国盗窃案为例。2018年5月底至6月初,王某鑫、王某国利用手机游戏“剑雨春秋”的漏洞,使用外挂软件修改游戏充值的参数,达到让游戏元宝充值翻倍的目的。通过这种方式,二人获得了大量游戏元宝,并将部分游戏元宝转卖给他人,其余存储在账号中。经鉴定,二人非法获得游戏元宝价值91099元,游戏公司实际损失91099元,转卖游戏元宝获利10150元。本案中,检察机关认为,应当以鉴定确定的实际损失,即游戏公司损失的91099元作为盗窃数额标准。诚然,按照传统物理空间盗窃罪定性逻辑,盗窃罪的认定应当以行为造成的实际损失而非客观获利为准,据此,王某鑫、王某国盗窃的数额应当是91099元。然而,网络虚拟财产较之物理空间财产的不同之处在于,其具有高度的可恢复性和可再生性,本案中,只要游戏公司将二人尚未卖出的游戏元宝清零,便不影响游戏的正常运行,也没有任何损失,换言之,二人尚未使用的游戏元宝其实仍然处在游戏公司的控制之下,并且很容易恢复到应有状态。因此,法院考虑到网络虚拟财产的实际特点,认为,“游戏元宝毕竟属于虚拟财产范畴,确实存在缺乏客观价值认定标准及稀缺性,具有可无限再生性的特点……依对被告人最有利原则,以两被告人实际获利金额10150元为标准确定本案犯罪金额”。可见,确立“就低不就高”规则,有助于更好找到网络虚拟财产的“实价”,也守住了网络犯罪存疑有利于行为人的底线,为网络空间数额犯认定提供相对合理的量化标准。
综上,积极刑法观促成了网络犯罪的立法扩张,消极刑法观嵌入网络犯罪的一个重要方式是对司法的理性限缩。其理性体现在,在立法扩张与司法限缩的动态平衡关系中,使网络犯罪刑事司法聚焦于争议事实,并在争议之中寻找一条最有利于行为人的合法路径,从而既有效解决争议问题,又充分保障当事人权益。
五、结语
积极刑法观与消极刑法观具有相反相成的辩证统一关系,积极刑法观较之消极刑法观并不具有天然的优越性与必然的合理性。现行刑法以积极刑法观为指导,搭建起了网络犯罪预防体系,同时也激发了刑法的扩张性,使之过度介入网络失范行为治理。而当刑法以积极姿态介入网络治理时,需要反思的恰恰是积极刑法观本身,在积极刑法观的影响下,犯罪化愈发普遍,非犯罪化愈发少见,这绝不是正常现象,也远非单纯社会发展变迁所能解释。立法者显然已意识到这一点,在《刑法修正案(十一)》中并未增设新型网络犯罪,而只是对传统犯罪立法适应网络新发展进行了适当调整。时代选择了积极刑法观,但无论如何也不可能完全放弃消极刑法观,将消极刑法观嵌入预防性网路犯罪,有助于廓清网络犯罪刑事法治之路,使刑法与其他部门法一道在网络治理中各安其位、各司其职。
夏伟,中国政法大学刑事司法学院副教授,法学博士。