互联网违法行为的犯罪化对传统刑事处罚范围的突破

基于对中国大陆互联网犯罪立法和司法的观察

中文摘要

  在中国，1997年刑法典全面修订时将三类互联网违法行为予以犯罪化。2009年和2015年两次部分修订刑法典之际，立法者以最初的三类犯罪为基点， 首先，通过修改构成要件中的要素来扩大处罚范围；其次，通过在刑法分则中增设新的条款，把传统犯罪的帮助行为以及犯罪预备阶段的行为予以单独的正犯化，使得刑法的介入不再受刑法总则中一般原理的约束。互联网违法行为的犯罪化、继续犯罪化已经让刑事司法在互联网违法领域的介入突破了根据传统刑法理论所圈定的介入框架。

  在中国，互联网违法行为犯罪化的历史并不久远，但其犯罪化的速度之快、处罚范围延展之广都超过了其他任何一类违法行为。在展开论述之前，先简略梳理一下互联网违法行为犯罪化的历史进程。1979年刑法典中没有规定互联网犯罪。个人电脑在中国开始出现是在上个世纪八十年代之后，1986年出现了第一例进入银行电子计算机系统从他人账户上非法盗取钱款的案件。在立法上，互联网违法行为的犯罪化始于1997年刑法典的全面修订。在这次修订中，立法者以285条、286条和287条分别规定了三类不同的互联网犯罪行为，由此构架起中国互联网犯罪的基本框架。2009年刑法第七次修改和2015年刑法第九次修改之际，互联网犯罪领域内，继续犯罪化的立法意图明显。以下论述也以三类犯罪为线索展开。

一、非法侵入类互联网违法行为的犯罪化问题

  1997年刑法典全面修订之际新设第285条，为处罚非法侵入他人计算机信息系统的行为（以下简称为“非法侵入类互联网违法行为”）提供了犯罪化根据。

（一）非法侵入类互联网违法行为的犯罪化

  在非法侵入类互联网违法行为犯罪化之初，根据1997年《刑法》第285条的规定，只有侵入“国家事物、国防建设、尖端科学技术领域的计算机信息系统”（简称为“三大计算机信息系统”）的行为才构成犯罪，并且侵入行为本身就足以构成犯罪。上述规定从被害对象角度对处罚范围进行了严格的限定。

  在司法实践中，根据此规定处罚的行为所侵入的系统包括中国人民银行的征信查询系统；[1]人力资源和社会保障部人事考试中心的全国专业技术人员资格考试报名服务平台[2]以及省人力资源和社会保障厅考试中心网站报名信息系统；[3]公安系统内部专用的人口信息管理系统；[4]公共安全部下属的交通管理研究中心管理下的“交通信息管理系统” [5]以及各地市的交通警务信息系统；[6]省政府的政务内网[7]以及网站名以gov.cn结尾的政府网站；[8]省公务员考试网计算机系统[9]以及省财政厅会计从业资格考试成绩查询系统等。[10]

（二）非法侵入类互联网违法行为的继续犯罪化

  2009年的《刑法修正案七》中，第285条之后增加了两款，分别为第2款和第3款（原规定即成为第1款），将更多的“非法侵入”类行为纳入到刑法规制范畴内。

  新设的第2款通过将原条款的侵入对象扩大到三大计算机信息系统之外的所有计算机信息系统来实现了处罚范围的扩大化。特别需要说明的是，根据第1款，侵入三大计算机信息系统这一行为本身就足以构成犯罪。与此相比，根据第2款，侵入行为的犯罪化要需要补充如下两个条件：其一，侵入者或者“获取该计算机信息系统中存储、处理或者传输的数据”或者“对该计算机信息系统实施非法控制”；其二，侵入行为必须达到情节严重的程度。最高人民法院和最高人民检察院在2011年9月发布的司法解释中对“情节严重”进行了明确的列举。[11]

   在司法实践中已经出现了适用新设条款的刑事案件。在一则案件中，行为人通过窃取管理者的用户名和密码非法侵入了河南省的人力资源网页后获取了370000条私人的信息数据，并且出售这些私人信息，构成第2款的犯罪。[12]在另一则案件中，行为人暴力破解密码后对被害人的电脑进行攻击，致使其电子计算机感染上特洛伊木马病毒，由此成功地控制了被害人的电子计算机系统，也构成第2款的犯罪。[13]

  新设的第3款规定，提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法行为而为其提供程序、工具，情节严重的，构成犯罪。这一条款通过将前两款所规定的犯罪的帮助行为予以单独的正犯化扩大了处罚范围。

  具体而言，如果没有第3款，对前两款规定的犯罪客观上提供了帮助的行为只有在帮助者与前两款规定的犯罪的实行者之间有共谋的情况下才能成为处罚的对象。即使帮助者单方面有帮助的故意，根据共同犯罪理论，片面的帮助犯也是不可罚的。但是，根据第3款，只要帮助者知道其提供的程序、工具只会被用于实施前2款犯罪，或者知道他人会使用其提供的程序、工具实施前2款犯罪（在后一种情况下，程序、工具从其本身的性质上而言并不必然只能被用于实施前2款犯罪）时，就会触犯刑法。因此，第3款将前2款犯罪行为的轻率帮助行为和片面帮助行为予以单独犯罪化。

二、破坏类互联网违法行为的犯罪化问题

  1997年刑法典全面修订之际新设第286条，根据该条处罚的行为是针对电子计算机信息系统本身或对其内部的数据进行破坏的行为（以下简称为“破坏类互联网违法行为”）。

（一）破坏类互联网违法行为的犯罪化

  在1997年刑法典中，立法者根据破坏对象的不同或根据破坏手段的不同以三个条款分别规定了三类不同的破坏行为。并且，“破坏”行为本身不足以构成犯罪，其犯罪化的条件是，破坏行为或者造成了严重的后果，或者使得电子计算机系统无法正常运行。因此，第286条规定的三类犯罪属于结果犯。

  根据第1款，破坏的对象是“电子计算机信息系统功能”，破坏手段是非法删除、修改、增加、干扰。例如，在司法实践中根据该款处罚的行为包括：侵入被害人公司的计算机网络服务器，修改Nginx目录；[14]或者删除和修改在线办公的电商平台的后台数据平台；[15]或者对游戏服务器进行DDoS攻击；[16]或者通过使用大流量来攻击信息服务器。[17]

  司法实践中存在着一类专门针对苹果手机系统的破坏案件。苹果公司为了保障客户账户安全，要求客户以邮箱申请个人账户并设定密码，在个人账户或密码被修改之后，除非能够向苹果公司提供购买手机的有效证明，否则便无法解锁来使用手机。此类案件中，行为人会利用上述安全系统来作案，具体而言，非法侵入被害人的苹果手机系统，通过修改用户名和密码远程锁住苹果手机系统，此后向被害人发送信息要求其为解锁付费。[18]从财产犯罪的角度看，上述行为属于敲诈勒索行为，而财产犯罪的构成要件要求，被害人的财产必须遭受了损失，这限制了财产犯罪相关条款的适用。因此，也可以说，互联网违法行为的犯罪化在一定程度上弥补了传统的财产犯罪相关条款适用中可能存在的漏洞，在保护计算机信息网络安全的同时也使得刑法对他人财产等重要法益的保护更为周全。

  根据第2款，破坏的对象是“计算机信息系统中存储、处理或者传输的数据和应用程序”，破坏的手段是删除、修改、增加上述数据或应用程序。在司法实践中已经出现了如下的案例。一则案件中，行为人书写了一个计算机程序，并且使用此程序侵入到驾驶学校的电子信息系统中，修改数据，增加了在驾校参加学习的课时数。[19]在另一则案件中，行为人知道了网络支付平台上的技术漏洞之后，截取并修改了从他自己的电子计算机传送到互联网空间上的数据，从而将其在支付平台上实际支付的1元人民币修改为5万元人民币。[20]

  第3款所规定的犯罪行为在破坏手段上与前两款规定的犯罪行为有所区别。根据第3款，行为人故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，构成犯罪。从该条款在司法实践中的具体适用情况来看，首先，“制作”不限于行为人自己制造病毒或其他程序。在一则案件中，行为人从他人处订制被用于破坏或干扰电子计算机音声功能的软件，并且在网上出售此软件，构成该款的犯罪。[21]其次，“传播”也可以以多种形式实现，如“网上出售”；[22]“网上出售并远程安装” [23]；“通过互联网侵入监控系统，往系统上上传病毒或其他程序”；[24]“通过手机短信向不特定多数被害人的手机上传送特洛伊木马病毒”。[25]

（二）破坏类互联网违法行为的继续犯罪化

  2015年的《刑法修正案九》中，第286条的三个条款之后又增加了1款，作为第286条之一。根据新的规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，[26]经监管部门责令采取改正措施而拒不改正，且导致严重后果的，构成犯罪。本罪也是结果犯。

  网络服务提供者的不作为行为客观上为他人利用互联网实施违法犯罪提供了消极帮助。但是，从主观方面而言，网络服务提供者与其他的违法犯罪人之间没有共谋。这里有两种可能性：一是，网络服务提供者对于其他违法犯罪人的行为有片面帮助的故意；二是，网络服务提供者能够一般性预见到其不作为所创设的危险（即，使得他人利用互联网实施违法犯罪变得容易的危险），却没有采取任何措施来避免或排除这种危险。在前一种情况下，根据共同犯罪的基本理论，一般认为片面的帮助犯不可罚。而在后一种情况下，网络服务提供者在主观上最多是过失，根据刑法的基本理论，过失的帮助行为不足以构成犯罪。由此可见，第286条之一的重要意义是，把利用网络服务提供者的不作为实施犯罪的片面帮助行为和过失帮助行为予以单独的正犯化，突破了传统刑法理论所框定的处罚范围。

三、利用类互联网违法行为的犯罪化问题

  基于刑法第287条犯罪化的互联网违法行为是一类“利用”计算机信息系统或互联网实施刑法分则中规定的其他犯罪的行为（以下简称为利用类互联网违法行为）。计算机或互联网技术仅是实施其他犯罪的手段。

（一）利用类互联网违法行为的犯罪化

  在1997年的刑法典中，立法者明确列举了利用计算机实施“金融诈骗、盗窃、挪用公款、窃取国家秘密或者其他犯罪的”，依照刑法分则中相关犯罪的规定处罚，不另设新罪名。

  关于“其他犯罪”，最年来愈加猖獗的主要包括：与刑法分则第一章相关，传播破坏国家安全或煽动民族仇恨的言论。与刑法分则第三章相关，出售或传播伪劣商品的信息；破坏知识产权；在偷税案件中，交易双方在电子邮件中报价后删除邮件中的原始数据，伪造低价凭证来欺骗税务机关；没有实际还款能力的行为人利用P2P平台向不特定多数人非法吸收公众资金等。与刑法分则第四章相关，越来越多的行为人利用互联网或网络系统针对其他公司或个人进行侮辱或诽谤；进入他人的通信系统，侵害他人的隐私。与刑法分则第6章相关联，在互联网环境中设置赌场，进行赌博；利用互联网进行毒品或原材料的贩卖和交易活动。在举国瞩目的“8.31互联网毒品贩卖和滥用案”中，12125名犯罪嫌疑人被捕，144个犯罪组织被捣毁，340个毒品窝点被查获，22个制毒工厂被查封，308.3千克的毒品被缴获。最后，色情，特别是针对儿童的色情以及淫秽行为也在互联网环境下日益猖獗。

（二）利用类互联网违法行为的继续犯罪化

   在2015年的《刑法修正案九》中，第287条之后增加了2个条款，分别作为第287条之一和第287条之二。

  根据第287条之一，利用互联网实施下列行为之一，情节恶劣的，构成犯罪：（1）设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组；或者（2）发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的；或者（3）为实施诈骗等违法犯罪活动发布信息的。

  上述行为往往发生于实施利用类互联网犯罪的预备阶段，尚未发展到利用类互联网犯罪的着手阶段，因此，对于利用类互联网犯罪所侵害的法益而言，上述行为只是创设了引起法益侵害的抽象危险。根据刑法总论的传统理论，刑法的介入原则上开始于犯罪的着手，只有在故意杀人等重大犯罪中，预备阶段的行为才有可能具有可罚性。因此，可以说，在《刑法修正案九》生效之前，只是实施了利用类互联网犯罪的预备行为，不足以构成犯罪。但是，根据新设的第287条之一，这些预备行为被正犯化，可以独立构成犯罪。

  在司法实践中根据第287条之一处罚的一类典型案件是，行为人受他人（上线或在QQ等互联网虚拟平台上使用昵称联系者）雇佣，按其指示，利用随身携带的伪基站、手机等设备，以中国移动官方客服号码、银行官方客服、支付宝安全中心的名义先后在多地向不特定手机用户发送诸如“尊敬的建行用户，你的账户已有1万分积分，可以兑换百分之五的现金，请登录网站兑换”等诈骗短信。[27]

  与此相对，在另外一组颇为类似的电信诈骗案件中，法官会选择适用诈骗罪未遂。例如，在一则案件中，行为人利用自己携带的短信发送设备假借建设银行名义先后在呼和浩特市及包头市等地发送内容为“尊敬的建行用户：您的账户已满一万积分可兑换5%的现金，请使用手机登录www.cbckeng.com查询兑换，逾期时效”的诈骗短信，以诈骗罪未遂被追究刑事责任。[28]在另一则案件中，行为人用他人提供的笔记本电脑、伪基站设备及手机，按照同一人的指示连接设备并使用笔记本电脑中的短信群发软件，以中国建设银行的官方客服号码的名义发送诈骗短信，以诈骗罪未遂被追究刑事责任。[29]法官的判断有如下两个司法解释做根据。最高人民法院、最高人民检察院在2011年2月21日发布的《关于办理诈骗刑事案件具体应用法律若干问题的解释（以法释〔2011〕7号）》中指出，利用发送短信、拨打电话、互联网等电信技术手段对不特定多数人实施诈骗，诈骗数额难以查证，但具有其他严重情节的，以诈骗罪（未遂）定罪处罚。此后，最高人民法院、最高人民检察院、公安部在2016年12月20日开始施行的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（以法发[2016]32号）》中又提出，构成刑法第287条之一和之二的犯罪，同时构成诈骗罪的，依照处罚较重的规定定罪处罚。上述两个司法解释的内容之间在以下这一点上观点是一致的。即，如果把电信诈骗视为一个整体的犯罪实施过程，在能够认定发送诈骗短信行为是诈骗着手的情况下，按照诈骗未遂追究行为人的刑事责任。后一司法解释更加明确地提示了刑法第287条之一的适用范围包括两部分。一是可以被认定为诈骗着手的行为。假如否定这部分，就不存在司法解释中所设定的刑法第287条之一的犯罪和诈骗罪想象竞合的情况。二是可以被认定为诈骗预备阶段的行为。假如否定这部分，那么刑法第287条之一在电信诈骗中适用的余地就不复存在，换言之，所有的电信诈骗都以诈骗罪未遂来处理就足够了。如上，通过观察诈骗罪和第287条之一在电信诈骗案件中的适用情况，能够更加明确到看到，第287条之一的价值在于将预备行为单独正犯化。

  根据第287条之二，明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，构成犯罪。上述行为皆为他人实施犯罪的帮助行为，在提供帮助者与利用其帮助者之间没有共谋的情况下，上述帮助属于中立帮助行为。之所以称其为“中立”的帮助行为是因为其属于日常生活中的行为或正常的经营行为，本身是法律所允许的无害行为。在学术讨论中，中立帮助行为的可罚性存在着争议。从限制处罚范围的立场出发，较为有力的观点是，即便处罚此类行为也必须严格限制在，此类行为给法益带来被侵害的危险具有急迫性的情况。例如，甲为五金店的销售员，知道乙购买刀子去杀人的案件中，因为甲出售刀具是合法的经营行为，所以即使事实上帮助了乙的杀人行为，也不必然以杀人罪的帮助犯被追究刑事责任。根据上述的“急迫性”要件，只有被害人就在乙的面前，甲明知乙拿到刀子即刻会杀人却仍然把刀子卖给乙的情况下，才能按照杀人罪的帮助来追究甲的刑事责任。

   第287条之二的重要意义在于，在互联网犯罪语境下放宽了处罚中立帮助行为的要件。即，根据此条款，只要行为人知道其顾客是互联网犯罪者，并提供了服务，就构成犯罪。与传统的有力观点相比，处罚互联网犯罪的中立帮助行为不再受“急迫性”这一条件的限制。在司法实践中，适用此条款的刑事案件也已经陆续出现。例如，行为人知道其在网上认识的人要通过一个“钓鱼网站”实施电信诈骗，却仍然出售给其域名，并帮助其分析数据；[30]行为人知道X在实施非法控制他人电子计算机系统的犯罪，却仍然远程登陆被害人的管理服务器，帮助X维护其控制下的电子计算机系统，并且给X提供支付和结算的账户；[31]行为人知道其客户使用电话号码实施诈骗，却仍然将电话号码在线出租给客户，并收取报酬。[32]

四、结   语

  互联网违法行为的犯罪化、继续犯罪化已经让刑事司法在互联网违法领域的介入远远超过了根据传统刑法理论所圈定的介入框架。特别值得关注的是，立法者在扩张刑法适用时所采用的立法技术。

  首先，立法者通过修改构成要件中的要素来扩大处罚范围。这一点明显体现于第285条第1款和第2款之间的关系。

  其次，立法者通过在刑法分则中增设新的条款，把传统犯罪的帮助行为以及犯罪预备阶段的行为予以单独的正犯化，使得刑法的介入不再受刑法总则中一般原理的约束。具体而言，根据刑法总则的规定，在与共同犯罪相关这一点上，刑法之臂的延伸原则上止于有共谋的帮助，最长可延伸到片面的共同正犯，而第285条第3款和第286条之一的增设为处罚作为或不作为的片面帮助和轻率帮助提供了刑法适用的根据。在与犯罪的未完成形态相关这一点上，刑事的介入原则上适于犯罪的着手，即处罚未遂，然而，在互联网犯罪的领域内，根据第287条之一，互联网犯罪的预备行为原则上成为处罚的对象。第287条之二也极大了扩大了根据传统刑法理论可罚的中立帮助行为的范围。

  最后，在实务层面上，通过司法案例的检索和分类观察，我们可以看到，1997年刑法全面修订时第一批犯罪化的互联网违法行为在司法实践中也已经开始作为犯罪来处理，并且此类刑事案件的数量在迅速增加。对于最近两次刑法修正案中增设的新条款，至今为止，实务上也已经出现了根据第285条第2款、第287条之一和之二处罚的案例。不过，笔者认为，面对立法上对互联网违法行为的“无限”犯罪化，实务上反而应当从限制处罚范围的立场出发谨慎适用新条款，避免出现打击互联网违法行为过度依赖刑罚的现象，以至于懈怠了从互联网违法行为预防的角度去发展刑罚之外的有效措施。

【注释】

[1]河南省商水县人民法院（2016）豫1623刑初278号刑事判决书。
[2]济南高新技术产业开发区人民法院（2014）高刑初字第34号刑事判决书。
[3]云南省昆明市五华区人民法院（2016）云0102刑初655号刑事判决书。
[4]湖北省随县人民法院（2017）鄂1321刑初73号刑事判决书；贵州省正安县人民法院（2014）正刑初字第207号刑事判决书。
[5]四川省广元市利州区人民法院（2014）广利州刑初字第260号刑事判决书。
[6]北川羌族自治县人民法院（2017）川0726刑初20号刑事判决书；河南省洛阳市洛龙区人民法院（2016）豫0311刑初18号刑事判决书。
[7]浙江省长兴县人民法院（2015）湖长刑初字第246号刑事判决书。
[8]广东省东莞市第一人民法院（2013）东一法刑初字第2023号刑事判决书。
[9]河北省丰宁满族自治县人民法院（2016）冀0826刑初80号刑事判决书。
[10]湖北省崇阳县人民法院（2015）鄂崇阳刑初字第2号刑事判决书。
[11]最高人民法院和最高人民检察院在2011年 6月 20日以法释〔2011〕19号发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》。
[12]浙江省湖州市中级人民法院（2013）浙湖刑终字第123号刑事裁定书
[13] 江苏省无锡市惠山区人民法院（2016）苏0206刑初578号刑事判决书。
[14]北京市通州区人民法院（2016）京0112刑初239号刑事判决书。
[15]江苏省南京市鼓楼区人民法院（2016）苏0106刑初686号刑事判决书。
[16]江苏省无锡市惠山区人民法院（2016）苏0206刑初79号刑事判决书；江西省宜春市袁州区人民法院（2016）赣0902刑初174号刑事判决书；浙江省杭州市滨江区人民法院（2016）浙0108刑初380号刑事判决书。
[17]浙江省杭州市滨江区人民法院（2016）浙0108刑初157号刑事判决书。
[18]江苏省海安县人民法院（2016）苏0621刑初548号刑事判决书；江苏省启东市人民法院 （2016）苏0681刑初660号刑事判决书；浙江省温州市瓯海区人民法院（2016）浙0304刑初495号刑事判决书；浙江省玉环县人民法院（2016）浙1021刑初391号刑事判决书。
[19]江苏省泰州市中级人民法院（2016）苏12刑终19号终审刑事裁定书。
[20]浙江省德清县人民法院（2017）浙0521刑初75号刑事判决书。
[21]江苏省南京市雨花台区人民法院（2016）苏0114刑初332号刑事判决书。
[22]同上。
[23]宁夏回族自治区银川市中级人民法院（2015）银刑终字第182终审刑事裁定书。
[24]北京市东城区人民法院（2016）京0101刑初192号刑事判决书。
[25]河北省承德市中级人民法院（2016）冀08刑终307号终审刑事裁定书。
[26]互联网服务提供者应该履行的注意义务在2017年6月1日生效的《网络安全法》中有明确的规定。
[27]湖北省宜昌市西陵区人民法院（2016）鄂0502刑初208号刑事判决书；广东省深圳市福田区人民法院（2016）粤0304刑初1663号刑事判决书；湖南省吉首市人民法院（2016）湘3101刑初84号刑事判决书。
[28]湖北省鄂尔多斯市中级人民法院（2016）内06刑终111号刑事裁定书。
[29]浙江省金华市中级人民法院（2016）浙07刑终572号终审刑事裁定书。
[30] 浙江省浦江县人民法院（2016）浙0726刑初968号刑事判决书。
[31] 江苏省无锡市惠山区人民法院/（2016）苏0206刑初578号刑事判决书。
[32] 浙江省绍兴市越城区人民法院（2016）浙0604刑初1032号刑事判决书。
作者：于佳佳，上海交通大学凯原法学院副教授，东京大学法学博士。
来源：《月旦刑事法评论》2018年第9期