2018试论信息犯罪的刑法回应?

2400135

　　在经历了农业社会、工业社会之后，人类社会进入了信息社会。信息社会在极大地方便人们生产、生活的同时，也不可避免地伴生出巨大的风险，信息泄露、信息滥用等行为往往导致了各种各样的直接和间接后果。信息社会同时也是风险社会。风险社会的概念最早由贝克、吉登斯等社会学家提出，他们认为人类社会在从工业社会向风险社会演进的过程中，科学、法律、民主、技术经济、政治制度等工业社会的理性基础将会受到质疑进而被冲破、被推翻。而风险社会的理性基础还没有形成，还需要讨论，需要重建[1]。发生于信息社会的、围绕信息展开的信息犯罪同样挑战着现有的刑法规定，需要刑法作出恰当的、准确的回应。2015年8月29日，全国人大常委会通过《刑法修正案（九）》，对信息犯罪行为提出了一系列新的规制条款，虽有进步之处，但仍然存在尚需进一步探讨和完善之处。　　一、信息犯罪对刑法的挑战　　有学者认为：所谓信息犯罪就是发生于信息空间中危害信息法益、威胁信息秩序，应受刑法处罚的数字化行为[2]。也有学者认为，信息犯罪的特殊要求体现为：在典型行为或犯罪情节的本质要素中蕴涵着凭借事先预设的程序实现电子数据自动化处理的信息和远程通讯新技术（或者他们的组成部分、产品以及处理对象）[3]。笔者认为，这两种观点各有道理，前一种观点根据信息犯罪的本质，从法益的角度作出概括，而后一种观点则提醒我们在理解信息犯罪时，不仅要关注以信息为对象的犯罪，也要关注通过信息手段实施的犯罪。此外，笔者认为，信息犯罪这一概念必将随着信息社会的发展而扩展，所以需要留有一定的余地。信息犯罪大致可以指称与信息有关的犯罪，其范围概括起来讲，包括但不限于以信息为对象的犯罪（如侵犯公民个人信息的犯罪），以信息为工具的犯罪（如利用信息实施的有关犯罪），也包括与信息相关的其他犯罪。　　从原子社会向信息社会转变是我们社会当下经历的进程和未来发展的趋势，发生于信息社会的信息犯罪也对基于原子社会制定的传统刑法规定提出了新的挑战。从信息学的角度来讲，信息具有以下性质：普遍性、依附性、可度量性、可识别性、可处理性、可传递性、可共享性[4]。信息犯罪也不可磨灭地打上信息的烙印，具有一些传统犯罪不具备的特征。有学者对信息犯罪的特征概括为如下五性，即：犯罪人员的智能性、犯罪手法的隐蔽性、犯罪手段的多样性、犯罪后果的严重性、犯罪行为的复杂性[5]。笔者认为，上述关于信息犯罪特征的概括还不够完整准确，尚处于初步认识阶段。在信息社会的初期，信息犯罪就已经具有智能性等特征，随着信息社会的发展和信息犯罪的演化，很多不具备专业技术的人员也可以轻易地实施信息犯罪，其他特征也随着信息社会的发展发生了新变化，需要刑法作出回应。其最为突出的有以下几点：　　（一）犯罪行为的多元化：以侵犯公民个人信息犯罪为例　　信息犯罪的犯罪方式逐渐多元化，不断突破原有刑法规定的行为方式范畴。信息社会，信息作为事物存在和运动的方式，更加普遍地存在于社会之中，信息的普遍性更加明显。而且，在大数据时代，数据信息本身蕴含着丰厚的利益价值。因为信息具有可识别性，可以通过识别作出一定的分析进而影响行为决策及其结果。而且，信息发挥巨大作用的范围也越来越广，从国家范畴到个人范畴，从政治范畴到商业范畴，掌握信息的主体越来越多，侵犯各种信息的犯罪行为的数量和范围也就不可避免地扩大。就公民个人信息而言，随着大数据时代的来临，信息的收集和利用越来越成为一种自在的事实，不以信息主体是否有发布和传播的意愿为前提，非法利用、非法获取公民个人信息的行为也不断发生。　　为了应对侵犯公民个人信息犯罪愈演愈烈的趋势，《刑法修正案（七）》增加了刑法第二百五十三条之一，对国家机关以及金融、电信、交通、教育、医疗等六种特定领域内出售或者非法提供其在履行职责或者提供服务过程中获得的公民个人信息的犯罪行为作出了规制。刑法的这一规定，在当时确实是对原有立法的重大突破，体现了刑法对公民个人信息保护的重视。但是随着信息社会的发展，上述规定就显现出滞后和不足：非法出售和非法提供公民个人信息的行为，初期可能只是具有提供涉及公民个人信息若干特定服务的主体能够实施。在信息化全面普及的今天，即便是商业领域中一般的电商平台、提供物流服务的快递公司甚至其他非官方主体，都掌握着大量的公民个人信息，他们非法出售、非法提供公民个人信息的行为明显具有较大的社会危害性，但是在《刑法修正案（七）》的规定中却无法找到对其施以刑事处罚的依据。比如，2013年曾经有这样一条新闻被广泛关注：包含了公民各种信息的快递单，居然在互联网上按照0.4元一份的标价肆意买卖。买入这些快递单的主体，很多是网络店铺的掌柜，他们购买的目的竟然是利用这些信息进行虚拟的交易和评价，以此来提高自己网店的信誉①。在商业领域中，除了商业主体，个人主体（包括商业主体中的个人主体）侵犯公民个人信息的犯罪行为同样不容忽视。但是《刑法修正案（七）》对于窃取、非法获取公民个人信息的范畴限定在上述信息（六大领域中的公民个人信息），无法充分保护公民的个人信息。2013年底，一个电商平台的工作人员张某伙同另一个第三方支付平台的工作人员李某，通过技术手段获取了20G以上的客户信息资料后进行售卖，而被公安机关拘留②。　信息社会的发展对于公民个人信息的刑法保护提出了新的命题。获取、泄露、传播个人信息的主体日益扩展，逐渐由公权力机关的单位和个人，转向公权力机关以外掌握大量公民个人信息的单位和个人[6]。根据《刑法修正案（七）》的规定，无法对该类信息犯罪作出有效的回应：第一，行为对象范围狭窄。《刑法修正案（七）》将犯罪主体限定在六类特定领域之中，但是实际上需要对公民个人信息进行保护的范围早就超越了这一局限，不仅商业领域中，甚至公民个人都有可能实施该类犯罪，为此，需要对该类犯罪的行为对象予以必要的扩展。第二，行为方式过于单一。《刑法修正案（七）》仅对有关公民个人信息的非法出售、非法提供、非法获取行为分别作了规定，但是其规定存在很大不足：一方面，对于信息持有主体自己非法利用公民个人信息的行为未加规制，这些行为活动不是出售、非法提供而是非法使用公民个人信息[7]；另一方面，对于非法获取中的其他方法的理解也有分歧，有学者认为，所谓其他方法，是指除窃取之外，包括采取欺骗、威胁等不正当手段获取公民信息，或擅自录入禁止录入的信息，或违反规定采集禁止采集的信息，等等[8]。这就存在一个问题，目前较为泛滥的购买公民个人信息的行为是否在其之列？按照立法者的观点，可以包括购买、欺骗等方式非法获取公民个人信息的行为[9]。但是在立法中是否仍有必要就购买行为作出单独的规定以更好地打击该行为？这个问题还有待进一步探讨。　　（二）犯罪主观方面多元化：以破坏计算机信息系统罪为例　　我国刑法并没有直接对计算机中存储、处理的信息予以保护，而是通过保护计算机系统和数据的方式来保护其中的信息。现有立法也没有作出有关过失的特殊规定，这就意味着该罪只能由故意构成。但是随着信息社会的发展，信息犯罪的主观方面也在发生变化，因过失导致的网络危害行为并不鲜见，只不过鲜有刑事立法评价[10]。例如，某些对信息数据具有保护义务的人不履行对该信息数据的保护义务，而导致大量信息数据外泄，造成严重后果。对于这一情形，行为人主观上并没有直接的故意，可能仅仅只是由于疏忽大意或者过于自信，未预见到该信息数据可能由于自己的疏忽而大量泄露，或者虽然预见到可能由于自己的失误导致大量泄露但却轻信能够避免。例如，在2014年曾有这样的报道：一个网络浏览软件平台，因为开发人员技术上的失误，致使数万开发人员的电子信箱以及账户资料置于可被浏览访问的公共网络上，造成了极大的风险③。又比如，诺顿杀毒软件误杀一案，诺顿软件开发商本身是资深的网络安全服务商，应当知道软件技术测试的必要性，但事实上却从未采取应有的技术测试，导致其开发的杀毒软件对Windows操作系统的大范围误杀，给软件使用者造成巨大损失④。　　总体来看，因过失导致信息犯罪的实例虽然并不多见，但是这代表着一个趋势信息犯罪正在由一类犯罪向一种犯罪实施方式扩展，其必然的结果就是信息犯罪的包括主观要件要素在内的构成要件要素更为丰富。目前，信息社会的发展已经为过失的信息犯罪的发生提供了必要的技术基础。对于这类行为的评价，既不可简单地统统归罪，也不可一味回避，需要刑法在一定限度内作出必要的考量。　　（三）犯罪结果的多元化：以提供侵入、非法控制计算机信息系统程序、工具罪为例　　以往信息犯罪的结果更多地表现为现实的、客观的实害结果，较少出现危险结果，所以《刑法修正案（七）》对于提供侵入、非法控制计算机信息系统程序、工具的行为也未作出危险犯的规定，仅是在立法条款中以一个颇为模糊的情节严重进行表述。然而，信息犯罪不但在行为方式上更趋多元，在主观态度上更为复杂，在结果形式上也更加丰富。信息本身具有可传递性、可共享性，信息犯罪的犯罪结果也由于信息所具有的这些特性而呈几何放大效应，很多情况下行为一旦发生，造成的危害就无法避免。这就需要考虑信息犯罪的结果是否应该从实害结果扩大到危险结果？　　随着信息犯罪的发展，其所侵犯的信息早已不再局限于单个个体拥有信息，而是涉及更多不确定多数人的个人信息。例如在2012年，江苏某市发生的一起案件中，行为人通过木马程序盗取即时通讯工具的账号和密码，短短一年时间就非法盗取了几千万的即时通讯工具账号和密码信息，牟利达4000多万⑤。更为可怕的是，木马程序的应用已经远远走出技术精英的范畴，为更多普通的犯罪分子所青睐。2014年底，河南破获的一起通过即时通讯工具进行诈骗的案件当中，行为人利用木马程序控制某企业一支笔的即时通讯工具账号，通过虚构转账指令，获利500多万元。与巨大的犯罪所得形成鲜明对比的是，行为人购买木马程序仅仅只花费了五百元而已，犯罪成本相当低廉！不可想象的是，如果木马程序可以被更多的犯罪分子以这样的低价购买，那么它对整个社会造成的危害将难以估量，潜在的危险也十分可怕！但是，该罪是情节犯，非情节严重的提供行为不构成该罪[11]。所以，对于这种事实上危害公共安全的行为却无法依照相关刑法条文进行有效打击。为此，刑法对于该类行为的规制，还需要更为深入、准确的考量，作出新的规定。　　二、《刑法修正案（九）》对信息犯罪的回应分析　　（一）加大对侵犯公民个人信息犯罪的打击力度　　为了回应侵犯公民个人信息犯罪高发频发的现实，《刑法修正案（九）》对于刑法第二百五十三条之一作了较大的修改：第一，对于非法出售、非法提供公民个人信息的信息所属领域不再要求必须是六类特定领域中的公民个人信息，对于非法窃取公民个人信息的行为，也不再要求指向上述信息，扩大了行为对象的范围。第二，降低了犯罪要求，不再要求必须是违反国家规定，将其中的国家表述去掉，采用了违反规定的表述，从而降低了入罪要求，有利于更好地打击该类犯罪行为。第四，加大了惩处力度，规定法定刑为三年以上七年以下有期徒刑，并处罚金。这样的规定，对于打击日益严重的侵犯公民个人信息的犯罪无疑具有重要的作用，有利于保护公民个人信息的安全。
　　但是，上述立法仍然存在不足，其中最突出问题就在于对侵犯公民个人信息的行为类型规制不全面。侵犯公民个人信息的行为方式主要有以下三种：第一，信息泄露。在大数据时代，数据是客观产生的、存在的，公民个人信息的拥有主体早已突破了国家机关或者金融、电信、交通、教育、医疗等单位的范畴，电商平台、社交网站等主体也事实上掌握着大量的公民个人信息。但是这些网络主体技术水平不等、人员构成复杂，导致像支付宝安全门、携程门等公民个人信息的信息交易事件和信息安全事件层出不穷。第二，未经授权获取。个人信息除了在公民知情的情况下被收集，很多情况是在公民不知情、未授权的情况下被收集的。比如公民在网络中的点击行为、浏览行为会被记录，定位信息会随互联网移动终端的适用而被保存，颇为典型的是windows10系统刚刚发布就陷入隐私门事件。第三，非法利用。一些网络主体在收集公民个人信息的时候是经过授权的，也没有非法泄露给第三方，但是却违背约定用途对公民个人信息进行挖掘、加工来获取新的利益，比如未经允许推送信息、发送广告邮件等，客观上滥用了公民的通讯方式、个人偏好等信息。上述三种方式中，对于非法利用公民个人信息行为的规制，刑法尚未作出明确的规定，有待于进一步完善。
　　（二）增设有关网络服务提供者刑事责任的规定
　　信息社会，对于某些信息犯罪，除了犯罪分子直接加功以外，网络服务提供者的一些行为也在客观上起了推波助澜的作用。《刑法修正案（九）》新增设的第二百八十六条之一，对网络服务提供者应承担的刑事责任作出专门规定，从某种意义上也是对于信息犯罪日益严重的犯罪结果的回应，其立法目的在于釜底抽薪，打击网络服务提供者不履行义务、不恰当履行义务的行为。网络服务提供者对于信息具有一定的特殊义务，如果不履行或者履行不适当，有必要从刑法的角度加以惩罚。《刑法修正案（九）》规定网络服务提供者拒不履行法律、法规规定的特定义务时，如果情节严重或者后果严重，就应当承担刑事责任。这样一种规定某种程度上沿袭了《侵权责任法》中的有关规定⑥，《侵权责任法》中的规定也可在某种程度上看作网络服务提供者的义务来源根据。追究网络服务提供者的刑事责任不仅具有一定的理论基础，而且在司法实践中也有较强的必要性：一方面可以督促其履行依法管理互联网的职责并在发生网络犯罪时积极协助办案机关侦查破案，另一方面也可以使得被害人得到相应的补偿。当然，刑法中有关义务违反的标准应当比民法中有关义务违反的标准更为严格[12]，最根本的还是要从社会危害性的标准出发。违反后者的义务设置规定，达到入罪标准的社会危害性的行为，即可能构成不作为犯罪[13]。不过在司法实践中区分二者并非易事，在绝大多数情况下，必须针对个案仔细研究，才可能得出正确结论[14]。
　　无论从理论上还是实践上考量，追究网络服务提供者不作为的刑事责任都很有必要。但是有一个问题需要解决好，那就是如何理解严重后果和情节严重？考察《刑法修正案（九）》对网络服务提供者刑事责任的规定，其出发点应该立足不作为犯罪的角度，而非过失犯罪的角度。当然，尽管这样的规定有利于防止打击面的扩大，但是否为网络服务提供者过失的犯罪行为预留足够的立法空间？还是说网络服务提供者过失的犯罪行为不应当受到刑法的惩处，还需要深入探讨？
　　（三）增加单位犯罪的有关规定
　　《刑法修正案（九）》中关于信息犯罪增设了若干单位犯罪的规定：第一，在刑法第二百五十三条之一规定了单位犯罪。第二，在刑法第二百八十五条规定了单位犯罪。第三，在刑法第二百八十六条规定了单位犯罪。根据前面的分析，在刑法第二百五十三条之一增设单位犯罪不难理解，因为实际上很多单位掌握有大量的公民个人信息，他们实施的侵犯公民个人信息的犯罪行为理应被刑法制裁。值得讨论的是刑法第二百八十五条、第二百八十六条规定的单位犯罪。事实上，的确存在是单位犯罪但是由个人受过的案件。比如，上海首例破坏计算机信息系统罪案件，其实就是单位犯罪：在认为竞争对手不正当竞争的情况下，王某所在企业集体通过了王某提出的通过黑客程序攻击对方企业的方案，由王某实施黑客攻击，造成了非常严重的后果⑦。该罪缺乏单位犯罪的有关规定，造成对该类行为的处罚存在间隙，或者处罚失当。所以，增设上述犯罪的单位犯罪规定，确有必要。
　　但是，对于提供侵入、非法控制计算机信息系统程序、工具罪而言，增设单位犯罪仅代表横向打击面上的扩张，并不意味着纵向打击深度的延展。事实上，提供侵入、非法控制计算机信息系统程序、工具的行为，本身就已经造成非常严重的社会危害，甚至说其危害了公共安全，仅增设单位犯罪的规定无法满足打击该类犯罪行为的需要。
　　总体来看，《刑法修正案（九）》较之前的刑法规定有了较大的进步，但是对于信息犯罪行为的多元化、主观方面多元化、结果的多元化重视不够，还有待进一步完善。
　　三、信息犯罪的刑法回应路径思考
　　（一）注重对新犯罪行为的纳入：以侵犯公民个人信息犯罪为例
　　对于侵犯公民个人信息犯罪，在立法时要注重对两类行为的关注：第一，非法利用公民个人信息的行为。《刑法修正案（九）》中的规定依旧是围绕向他人出售或者提供公民个人信息、窃取或者以其他方法非法获取公民个人信息展开的，主要目的是规制公民个人信息被非法泄露的出售、非法提供行为和非法获取行为，而未经授权获取公民个人信息的行为、公民个人信息非法利用的行为并不在该条的打击范围之内，需要在以后立法时重新考虑。第二，《刑法修正案（九）》中关于非法获取公民个人信息行为的表述依旧是窃取或者以其他方法非法获取公民个人信息，没有对非法购买公民个人信息的行为作出明确规定，不利于遏制该类行为以及该类行为有可能诱发的下游犯罪。目前《刑法修正案（九）》中对向他人出售或者提供公民个人信息的行为以及窃取或者以其他方法非法获取公民个人信息的行为已有明确的规定，但对购买上述信息的行为却没有体现，从目前的司法实践来看一般是将购买行为解释为其他方法之一。出于打击下游犯罪的考虑，笔者认为还是应当将这一行为与窃取、其他方法并列规定较为妥当。出处：武汉理工大学学报(社会科学版)作者：王启欣 王肃之 [版权归原杂志和作者所有，摘录自网络，仅供学习参考提供论文代写和发表服务]