科学构建全球性网络犯罪公约刑事实体规则

文│最高人民法院 陈攀 王肃之

全球打击网络犯罪国际规则的博弈从未停止。一直以来，有关网络犯罪规则的博弈多集中于程序法层面，例如跨境取证，而刑事实体法未得到充分的重视。然而，实体规则决定打击网络犯罪的范围、模式，并且关涉犯罪类型和价值传统，因此，我国应积极向国际社会展示中国在打击网络犯罪方面的成功经验和成果，推动全球性网络犯罪公约刑事实体规则的多元化和科学化。

一、联合国首次主持网络犯罪问题国际公约谈判

美欧等西方国家期望推动《欧洲委员会网络犯罪公约》（Council of Europe Convention on Cybercrime），即《布达佩斯公约》（Budapest Convention），成为全球性公约。以中国、俄罗斯等为代表的新兴国家，则在多个国际场合表示，制定联合国框架下的打击网络犯罪国际公约，势在必行。

2019年12月，第74届联合国大会通过《打击为犯罪目的使用信息通信技术》（Countering the Use of Information and Communications Technologies for Criminal Purposes）决议，即第74/247号决议，决定设立一个代表所有区域的不限成员名额特设政府间专家委员会，以拟订一项关于打击为犯罪目的使用信息和通信技术行为的全面国际公约。这标志着中国、俄罗斯等国的主张受到国际社会的普遍认同，联合国将首次主持网络犯罪问题国际公约谈判。

二、推动构建以信息为中心的网络犯罪实体规则

在网络犯罪立法模式上，德国等欧洲国家强调数据中心模式。例如，《德国刑法典》（Strafgesetzbuch）即围绕数据中心展开，其第202条a探知数据罪、第202条b拦截数据罪、第202条c预备探知和拦截数据罪、第202条d窝藏数据罪、第303条a变更数据罪、第303条b破坏计算机罪等，均是如此。与之契合，《布达佩斯公约》第2条非法访问、第3条非法拦截、第4条干扰数据、第5条干扰系统、第6条滥用设备，也是围绕数据中心展开的。德国《联邦数据保护法》（Bundesdatenschutzgesetz）第42条刑事责任条款，也是对“个人数据”加以保护。

与之不同，我国是以信息为中心构建了具有自身特色的网络犯罪立法。《中华人民共和国刑法》（以下简称“《刑法》”）对相关对象均做出了信息化的解释。例如，《刑法》第285条非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，第286条破坏计算机信息系统罪，第253条之一侵犯公民个人信息罪，无一不是以“信息”作为限定。二者相比，以信息为中心强调对象的实质评价，而以数据为中心强调对象的形式评价，从有效打击网络犯罪的层面说，前者更具有指导意义。在参与全球性网络犯罪公约刑事实体规则构建中，我国应推动构建以信息为中心的实体规则。具体表现在以下两个层面。

第一，推动构建以信息为中心的网络犯罪术语体系。例如，关于网络犯罪作用的设备实体，《布达佩斯公约》采用了“计算机系统”的表述，我国则采用了“计算机信息系统”的表述。尽管实质含义大体相近，但是，仍需对具体的表述进行必要推敲。在全球性网络犯罪公约刑事实体规则中，“计算机”和“信息”的表述均保留更为妥当，即表述为计算机信息系统。一方面，该系统应当具有信息性，以区别于其他事物的系统，否则难以与网络犯罪之间建立概念上的对应关系。例如，通过浸水、摔砸等方式实施破坏计算机的行为，虽然也可能被评价为犯罪，但是，并非网络犯罪行为；另一方面，该系统应当隶属于计算机，而非泛指所有的信息系统。因为诸如电子表等设备的系统也具有信息性，而对其侵入、破坏显然难以被评价为网络犯罪，应当以“计算机”的表述来限定该概念的基本范畴。与之类似，也应界定“个人信息”而非“个人数据”。“信息”强调内容性，“数据”强调形式性，“个人信息”与“计算机数据”的表述错开，更易于区分和理解。反观“个人数据”的表述，有可能产生属于“个人信息”还是个人计算机系统中的数据的歧义。

第二，推动构建以信息为中心的网络犯罪行为类型。具体而言，可规定以下几类行为：其一，非法访问计算机信息系统；其二，非法干扰计算机信息系统或计算机数据；其三，非法获取计算机数据；其四，滥用计算机设备和认证信息；其五，创制、利用和散发恶意软件；其六，批量发送垃圾邮件。其中，对于创制、利用和散发恶意软件行为，以及发送垃圾邮件的行为，俄罗斯提出的《联合国打击网络犯罪合作公约（草案）》（Draft United Nations Convention on Cooperation in Combating Cybercrime）均有探索性规定，可予借鉴。

至于非法滞留计算机信息系统中的行为则不应被规定。该类行为系《西部非洲国家经济共同体打击网络犯罪的指令》（Directive on Fighting Cybercrime within Economic Community of West African States）等少数打击网络犯罪国际立法所规定，然而，“非法滞留计算机信息系统中”这一行为本身欠缺独立性：一方面，向前追溯非法滞留行为的评价，势必难以离开非法访问行为（不访问显然无法滞留），如果访问行为违法，则可对滞留行为进行附属评价；另一方面，向后延展非法滞留行为如果造成危害，又难免和非法干扰等行为关联。因此，这一行为未能被普遍认可，不宜作为全球性网络犯罪公约刑事实体规则的一般类型。

三、规定发展中国家关切的网络犯罪类型

以《布达佩斯公约》为代表的现有打击网络犯罪国际立法由欧美等发达国家主导制定，所规定的网络犯罪类型更多地体现西方的立法传统和价值观念，对广大发展中国家关切的网络犯罪类型重视不够。也正因为如此，阿拉伯国家才推动《阿拉伯打击信息技术犯罪公约》（Arab Convention on Combating Information Technology Offences）的制定。因此，只有充分考虑广大发展中国家关切的网络犯罪类型，才能保证全球性网络犯罪公约的参与国家范围。我们认为，以下两类犯罪特别值得关注。

第一，网络色情犯罪的体系规定。《布达佩斯公约》仅规定了网络儿童色情犯罪，与之相对，《阿拉伯打击信息技术犯罪公约》则对网络色情犯罪予以一体打击，只不过加重对网络儿童色情犯罪的处罚力度。这一分歧也是二者在刑事实体条款上最为关键的区别之一。全球性网络犯罪公约势必需要充分考虑广大发展中国家刑事立法对于网络色情犯罪予以普遍打击的现实，改变仅打击网络儿童色情犯罪的规定模式。当然，基于对这一问题刑事立法的分歧，未来制定的全球性网络犯罪公约可以充分兼顾各国立法的差异。一种可行的思路是进行区分制规定，即明确缔约国均对网络儿童色情犯罪予以打击，同时明确缔约国可基于本国公共利益对网络成人色情犯罪进行打击，从而尽可能求得国际共识与协同，也为打击网络犯罪国际程序合作奠定实体法基础。与之类似，对于网络赌博犯罪也存在同样的分歧，同样可考虑作此种模式的规定。

第二，网络侵害关键基础设施犯罪的规定。近年来，各国关键基础设施日益成为网络犯罪重点侵害的对象，特别是对于发展中国家来说，由于网络防御技术相对落后，受到的现实威胁相比发达国家更为严重。《布达佩斯公约》由于制定时间较早，并未重视该类型的网络犯罪，因此，在立法上存在疏漏。与之相反，《上海合作组织成员国保障国际信息安全政府间合作协定》附件2则规定了“对全球和国家信息基础设施安全稳定运行的自然和（或）人为威胁”，指出该威胁根源为自然灾害和其他危险的自然现象以及突然爆发或长期积累造成的人为灾难，可对国家信息资源产生大规模的破坏性影响，其威胁特征为破坏信息基础设施的运行，导致关键结构、国家管理和决策系统不稳定，其后果直接关系国家和社会安全。因此，必须充分重视发展中国家关键基础设施保障的诉求，肯定网络侵害关键基础设施犯罪行为作为全球性网络犯罪公约独立犯罪类型的必要性。

四、实现网络犯罪类型规定的与时俱进

西方国家一直声称《布达佩斯公约》为“黄金模范”,然而，该公约制定于21世纪初，其相关规定明显滞后于网络犯罪的发展变化。该公约制定之初盛行的不少网络犯罪如今已鲜见，而新的网络犯罪类型层出不穷，新类型的网络犯罪亟待纳入全球性网络犯罪公约之中。具体包括：

第一，网络涉财犯罪的体系规定。《布达佩斯公约》仅间接规定了网络伪造犯罪，现有打击网络犯罪国际立法也多未对此做出独立规定。全球性网络犯罪公约应注重纳入两类犯罪：一类犯罪为网络侵犯财产犯罪行为。具体包括网络盗窃犯罪和网络诈骗犯罪，二者的区别在于是直接从计算机信息系统获取财产还是利用网络方式诱导被害人陷入错误认识而处分财产。另一类为网络洗钱犯罪行为。随着网络洗钱犯罪行为的独立化，仅基于上游犯罪打击网络洗钱行为可能面临全面性、有效性层面的障碍，难以打击类型化、职业化的网络洗钱犯罪。因此，追缴网络洗钱犯罪的所得固然重要，但是，将其作为一般的行为类型纳入刑事实体规则更为必要。

第二，网络侵犯知识产权犯罪的全面规定。《布达佩斯公约》等现有打击网络犯罪国际立法多仅对网络侵犯著作权犯罪加以规定，未对网络侵犯专利权、商标权以及商业秘密的行为进行体系规定。在现实中，网络侵犯知识产权犯罪早已蔓延至各个领域，全球性网络犯罪公约应对网络侵犯知识产权行为进行扩展规定，使之成为包括网络侵犯著作权（及邻接权）、商标权、专利权和商业秘密在内的行为体系。

第三，网络恐怖活动犯罪的独立规定。在《布达佩斯公约》制定时，网络恐怖活动犯罪尚未兴起，其后，一些打击网络犯罪国际立法沿用了该公约的模式，也未对这一犯罪类型予以重视。然而，在现实中，网络恐怖活动犯罪已经成为危害巨大的行为体系，包括组织、策划、领导、资助、发动或实施的危害一国国家安全、政治稳定、公民人身和财产安全，以及对此进行公开宣扬的各类行为。因此，全球性网络犯罪公约应当对其进行独立规定，并且进行体系化的规定。

此外，全球性网络犯罪公约也应当对网络犯罪的未完成形态和共同犯罪，作为犯罪要素的明知、故意或者目的，网络犯罪的时效，以及法人责任等作出规定，以全面实现刑事实体规则的科学化。

（本文刊登于《中国信息安全》杂志2020年第9期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。