来源:刑事参考、中国检察官
编者按
6月15日,第一届法大数字刑事法论坛“智能化与数字化社会发展进程中的刑法治理”顺利举办。本篇通过刊发喻海松、余双彪两位“两高”研究室副主任的发言摘编,深入解读网络犯罪司法实务的最新动向,联袂探讨如何应对这一全球性的难题。
网络犯罪的“治罪”与“治理”
最高人民法院研究室副主任 喻海松
非常荣幸有机会参加第一届法大数字刑事法论坛。感谢志远院长的主持,我的这个发言属于怀胜教授给的命题作文,让谈谈网络犯罪司法实务的最新动向。思来想去,我把发言的主题界定为从“治罪”到“治理”。
今年是中国正式接入国际互联网三十周年。1994年4月20日,北京中关村地区教育与科研示范网接入国际互联网的64K专线开通,实现了与国际互联网的全功能连接。信息技术是一把“双刃剑”,互联网加快了社会发展步伐,同时信息技术的安全隐患和威胁也逐渐显现,特别是利用计算机网络实施的各类犯罪迅速蔓延,社会危害严重。当今社会,“技术”变“骗术”的事情层出不穷,网络犯罪已成为一个无法回避的“科技之痛”。回顾三十年来我国网络犯罪的应对历程、特别是近些年来的政策调整和制度完善,我认为值得关注的一点就是思路由单纯“治罪”转变为综合“治理”。
第一,“刑法先行”现象得到明显改观。网络犯罪基本属于行政犯的范畴,理想的状态应当是先有前置法律法规,后由作为“其他部门法的保障法”的刑法加以规制。然而,实践情况恰恰是“刑法先行”。
以公民个人信息领域为例,刑法先于其他部门法明确了公民个人信息犯罪的界限。在具体适用之中,由于前置法的缺位,导致刑法适用陷入困境。例如,关于涉公开信息案件的处理就是如此。对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。这一问题的真正解决,是在《民法典》颁行之后。《民法典》为这一争议问题作了明晰,即否定“二次授权”的规则。《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”(《个人信息保护法》第13条、第27条亦有类似规定)据此,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。
可以说,通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延,是不得已而为之的举措,但并非上策。刑法只能治标,尚难治本。近些年,随着《网络安全法》《个人信息保护法》《数据安全法》等前置法律的健全完善,个人信息民事、行政、刑事的全方位保护体系得以构建,个人信息违法犯罪的系统治理才能真正得以推行。
第二,罪刑均衡原则贯彻更为深入。刑罚并非越重越好,罪刑均衡最为重要。当前,网络犯罪黑灰产业链的滋生,原因较为复杂,既有刑事规制不力的原因,也有前置法律不健全和管理不到位的原因。因此,运用刑法惩治网络犯罪黑灰产切不可“一打了之”“一味从重”。特别是,我国现行刑法关于网络犯罪的部分罪名设置距今较为久远,相关司法解释的制定系在黑灰产泛滥之前,对相关定罪量刑标准的设置可能未考虑到适用于黑灰产的情况。个别情形下,可能出现罪名形式符合但刑罚过重的现象。基于此,对网络犯罪黑灰产业链的刑法适用,应当特别注重罪责刑相适应原则的把握。
例如,自2017年7月开始,行为人为赚取赌博网站广告费用,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中概率。截至2017年9月底,行为人链接被植入木马程序的目标服务器共计113台,其中包含部分政府服务器。
上述案例即为张竣杰等非法控制计算机信息系统案(最高人民法院指导案例145号)。在审理过程中,对于具体罪名适用存在非法控制计算机信息系统罪与破坏计算机信息系统罪等不同主张,法院最终认定为非法控制计算机信息系统罪。对于通过修改目标网站数据的方式进行流量劫持的案件,如果适用破坏计算机信息系统罪,只能是《刑法》第286条第2款规定的行为方式,即对数据进行“删除、修改、增加的操作”。但是,从技术原理上而言,对计算机信息系统进行非法控制,也可能涉及对数据的增删改操作。这就要求从两罪的立法精神上予以区分,以作出准确界分。所谓破坏计算机信息系统罪,应当重在破坏,虽然《刑法》第286条第2款未明文要求对数据的增删改达到“造成计算机信息系统不能正常运行”或者“影响计算机信息系统正常运行”的后果,但恐怕也不宜理解为只要对数据有增删改即可构成破坏计算机信息系统罪。作此理解,将无法对通过破坏非主要数据进而控制计算机信息系统的行为与破坏计算机信息系统的行为区分开来。更有甚者,如果不作限定,批量注册账号、组织刷单的行为实际都会对计算机信息系统中存储、处理或者传输的数据进行增加,形式上也符合了《刑法》第286条第2款的规定,但该结论明显有悖一般认知。因此,对于《刑法》第286条第2款对数据的增删改的行为应当限定为危害数据安全的相关行为,而非只要对数据进行增删改即可构成。而且,从非法控制计算机信息系统罪和破坏计算机信息系统罪的罪刑配置来看,也宜认为破坏计算机信息系统罪是重罪,应当对破坏数据的行为作适当限缩解释,解释为对主要数据进行增删改操作的情形。就上述案例所涉情形来看,行为人通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为《刑法》第285条第2款规定的“采用其他技术手段”非法控制计算机信息系统的行为。在此过程中,确实存在对数据进行增加、修改的操作,但所修改的并非主要数据,也未影响所针对计算机信息系统的正常运行,实际上是非法控制的操作,故认定为非法控制计算机信息系统罪更为适宜,更符合罪责刑相适应原则的要求。
第三,刑法精准适用落实更为到位。帮助信息网络犯罪活动罪的适用是近年来受到高度关注的罪名。帮助信息网络犯罪活动罪并非纯正的网络犯罪,其所涉客观方面可以由线下帮助行为构成。《刑法》第287条之二第1款将帮助信息网络犯罪活动罪的行为方式并列规定为“提供互联网接入、服务器托管、网络存储、通讯传输等技术支持”和“提供广告推广、支付结算等帮助”。这就使对于线下的帮助行为解释为“等帮助”之中,从体系解释的角度完全没有问题。
但是,另一方面,帮助信息网络犯罪活动罪的适用,要切实防止两方面的问题:一是该严未严,即本来应以更重的诈骗罪共犯或者掩饰、隐瞒犯罪所得罪论处,但却按相对较轻的帮助信息网络犯罪“降格”处理;二是当宽未宽,即本可不作为犯罪处理甚至并不符合帮信罪构成要件的,却按帮助信息网络犯罪活动罪“升格”处理了。两方面都应当注意防范,但结合当前帮信案件“井喷”的实际,后一方面的问题更需要注意。
就“两卡”案件而言,要注意如下两点:(1)准确把握惩治的重点。对犯罪集团中的组织者、指挥者、策划者和骨干分子,贩卖“两卡”团伙头目和骨干,以及对境外电诈集团提供帮助者,要依法从严处理;对利用未成年人、老年人、残疾人等特殊群体实施犯罪的,要依法从严;对惯犯、职业“卡商”、行业“内鬼”等,要依法从严。(2)妥当把握从宽的范围。要综合帮信行为造成的客观危害、行为人在网络犯罪中的参与程度、行为人的认知能力、主观恶性和人身危险性等情节,恰当评价行为人行为的社会危害程度,不能简单仅以涉案“两卡”的数量、银行卡的流水金额作为定罪量刑的标准。特别是对于人数众多的案件,要区分对象,对于按照工作指示从事辅助性劳务性工作、参与时间较短、仅领取少量报酬等发挥作用较小的人员依法从宽处理,考虑出罪处理。
一言以蔽之,从犯罪治理角度看,应当重视落实源头治理、综合治理的要求。要切实贯彻全链条惩治网络犯罪的精神,防止因为有帮助信息网络犯罪活动罪“兜底”、帮助信息网络犯罪活动罪简单好办而放松对危害更大的电诈犯罪组织者、实施者的查证和追诉。否则,不仅影响帮助信息网络犯罪活动案件的处理效果,也会影响网络犯罪的有效治理。此外,应当结合案件办理,借助司法建议等方式,促使有关部门进一步严格手机卡、银行卡的管理,严格实名制的落实。藉此,不给犯罪分子可乘之机,也不让人因为贪图小利而身陷囹圄,促进完善社会治理。
总而言之,刑法只是最后手段,标本兼治方为上策。在相当长时期内网络犯罪仍处于高发、频发态势的背景下,运用刑法对网络犯罪进行有效规制,无疑是必要的。但是,刑法的积极作为不意味着刑法的万能,刑法在犯罪治理中虽然作用明显,但只能治标、尚难治本。应对网络犯罪,要靠刑事惩治开路,更要靠健全前置法律规定和建立长效机制,实现防范、惩治、治理一体化。