互联网在中国的出现距今只有三十余年,而网络犯罪的滋生蔓延则更为晚近。我国现行《刑法》罪名体系大体定位为前网络犯罪时代。技术变革对既有罪名体系造成冲击,产生新的规范需求。2000年12月28日,九届全国人大常委会第十九次会议通过《关于维护互联网安全的决定》。这虽然是一部侧重宣示指引意义的单行刑法,本身并未创设新的罪刑规范,但其制定背景显然在于应对网络犯罪的滋生态势。故而,这可以视为我国网络时代刑法罪名体系应用调整的起步。而后,作为网络罪刑规范的集中立法,2009年《刑法修正案(七)》、2015年《刑法修正案(九)》对《刑法》作了两次修正,增设部分网络犯罪专门罪名,与业已存在的传统犯罪罪名和计算机犯罪专门罪名共同形成与网络时代相适应的最新罪名体系。 增设网络犯罪专门罪名当然是刑法应对的重要方面,但并非全部。更为值得关注的是,增设网络犯罪专门罪名之后,如何实现其与既有的传统犯罪罪名和计算机犯罪专门罪名融合,进而在网络空间实现一体适用。在这一过程之中,相关司法解释、规范性文件构建起刑法罪名在网络空间适用的规则体系,发挥了重要作用。基于此,本文立足刑法罪名体系应用这一视角,在对计算机网络犯罪专门罪名和传统犯罪罪名适用于网络空间进行回溯的基础上,总结既往经验教训,提出网络时代刑法罪名体系应用的基本立场,以期对网络犯罪的未来应对有所助益。 一、计算机网络犯罪专门罪名的适用态势 世界主要国家的刑法基本诞生于前网络时代,除少数计算机犯罪专门罪名外,基本不会直接针对网络犯罪设置专门罪名。我国亦不例外。1997年《刑法》设置非法侵入计算机信息系统罪、破坏计算机信息系统罪,并在第287条对利用计算机实施犯罪的处理作出提示性规定,形成了“两点一面”的罪名体系。①此后,2009年《刑法修正案(七)》、2015年《刑法修正案(九)》在罪名体系上实现了从计算机犯罪专门罪名到网络犯罪专门罪名的跨越。可以说,“随着计算机网络的发展,计算机与网络在技术上的相互依附与渗透使计算机犯罪和网络犯罪在概念上趋同”。②在此基础上,网络犯罪专门罪名与计算机犯罪专门罪名逐渐融合,一体实现在网络空间的应用。对此,可以从计算机网络犯罪专门罪名和网络犯罪专门罪名两个侧面加以观察。 (一)计算机犯罪专门罪名的适用 囿于制定时机,1997年《刑法》对网络犯罪未作专门规定。非法侵入计算机信息系统罪、破坏计算机信息系统罪侧重针对单个计算机的侵入破坏行为,网络化特征尚未显现,可以归入计算机犯罪专门罪名的范畴。以破坏计算机信息系统罪为例,虽然实践中业已出现破坏计算机信息系统的行为,但当时绝大多数计算机尚未互联互通,故大规模破坏网络系统的案件尚未出现。而《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19号,以下简称《危害计算机信息系统安全犯罪解释》)制定时已经处于对网络攻击破坏活动较为高发的时代背景之下,故在具体条文设置上突出了对网络时代破坏计算机信息系统行为的考量。可以说,相关规定促进了计算机犯罪专门罪名从单个计算机场域跨越至互联网空间,进而实现在网络环境下的妥当应用。 在破坏计算机信息系统罪之中,破坏系统功能是主要行为方式之一。与前网络时代攻击单个计算机明显不同,网络时代DDoS(分布式拒绝服务)攻击的危害更为严重,特别是针对特定服务器进行攻击的行为更是易于造成严重后果。实践中,对域名解析服务器、路由器、身份认证服务器等实施攻击,所造成的后果往往不限于攻击对象本身,而是可能导致系统瘫痪。基于此,不少国家或地区在立法中作出专门规定,围绕针对特定类型计算机信息系统的攻击行为予以特殊保护。③而在我国,该类攻击行为亦逐渐凸显。例如,在“5·19”断网事件中,行为人租用了81台服务器,于2009年5月18日攻击某游戏私服广告网站的域名解析服务器,最终导致多个省份网络域名解析服务瘫痪,进而致使江苏、安徽、浙江等省的互联网出现严重网络故障。基于此,《危害计算机信息系统安全犯罪解释》第4条对于针对基础服务计算机信息系统的攻击行为作了专门规定,设定了单独定罪量刑标准,体现了明显的网络化适用态势。 还有必要提及的是,《刑法》第286条关于破坏计算机信息系统罪的法条表述,存在“计算机信息系统”与“计算机系统”两个不同术语。现今看来,这两个术语的区分并无实质意义。但立足前网络时代的具体情况,《刑法》第286条第3款有关制作、传播计算机病毒等破坏性程序的规定采用“计算机系统”,其他两款采用“计算机信息系统”,可能是考虑到破坏计算机信息系统的对象主要为提供信息服务的系统(如数据库),而传播计算机病毒如果只影响计算机操作系统(计算机系统)本身,即使未对信息服务造成影响也应当受到处罚。这恰恰反映出当时单个计算机占据主体地位的情况。随着信息技术的发展和互联互通网络时代的到来,计算机操作系统与信息服务系统已密不可分,不少操作系统自身也提供信息服务,实际无法准确划分出操作系统与信息服务系统。这就是由于刑法术语与网络技术未能对应,进而导致相关术语界定不清,势必会影响对相关行为的规制。而关于制作、传播计算机病毒等破坏性程序情形,《关于维护互联网安全的决定》第1条已将攻击对象规定为“计算机系统及通信网络”,实际佐证了上述判断。基于此,《危害计算机信息系统安全犯罪解释》第11条第1款对“计算机信息系统”和“计算机系统”作了统一界定,即“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。网络设备、通信设备、自动化控制设备等均具备自动处理数据功能,与计算机的功能具有同类性,均可以为网络攻击破坏活动所涉及,故将其全部纳入破坏计算机信息系统罪的保护范围,进一步适应网络化适用的现实需求。
