黑客一词最早源自英文“hacker”,原指精通于计算机技术和网络技术,水平高超的电脑专家,尤其是程序设计人员。但今天,该词已被用于泛指那些专门利用系统安全漏洞对网络进行攻击破坏、窃取资料或制造恶作剧的人。因此,他们又被称为“骇客”(cracker)。在网络上黑客几乎无处不在,其中,有些黑客的行为已构成犯罪。我国刑事立法对黑客犯罪作了较为明确的规定。但是,随着网络技术的发展,许多具有较大社会危害性的黑客行为却难以对其定罪处罚,即使勉强为之,也可能导致罪刑不均衡的现象。因此,对黑客犯罪进行研究,已是我国法学界不容忽视的一个紧迫问题。
一、黑客犯罪的立法与解释
在刑事立法方面,刑法第二百八十五条和第二百八十六条分别设立了“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”,第二百八十七条是关于利用计算机实施传统犯罪的规定。《刑法修正案(七)》在刑法第二百八十五条中增加两款分别规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,并在这两款中设置了罚金刑。2011年8月29日最高人民法院和最高人民检察院联合发布《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,就办理此类刑事案件中应用法律的若干问题进行了解释。此外,1994年2月18日《中华人民共和国计算机信息系统安全保护条例》、2000年12月28日全国人民代表大会常务委员会《关于维护互联网安全的决定》等都对黑客犯罪问题进行了规定。
二、有关黑客犯罪规定的立法缺陷
(一)犯罪构成的设定不科学
1.未规定单位犯罪主体。根据罪刑法定原则,单位犯罪以法律有明文规定为限。刑法第二百八十五条、第二百八十六条均未规定单位可以成为犯罪主体,而根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第八条规定:“以单位名义或者单位形式实施危害计算机信息系统安全犯罪,达到本解释规定的定罪量刑标准的,应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。”因此对于单位实施的计算机犯罪,就只能追究直接实施者、参与者以及直接主管人员的刑事责任。事实上,单位在某些情况下不仅可能实施计算机犯罪,而且类型与形态都日趋多样化和复杂化。我国刑法没有规定单位可以成为黑客犯罪的主体,不能不说是一个疏漏。
2.刑事责任年龄设置不合理。根据我国刑法,不满十六周岁的青少年的黑客行为,是不作为犯罪处罚的。而青少年学习速度快、接受能力强,黑客犯罪的主体越来越趋向于低龄化。例如,1998年2月25日侵入美国五角大楼的两名小黑客年仅15岁。因此,随着网络技术的发达以及青少年计算机水平的迅速提高,如果此类犯罪主体的刑事责任年龄一律限定在十六周岁,将会使一些严重危害国家及公共安全的黑客行为得不到应有的处罚。
3.罪状表述较为模糊。尽管在立法和司法解释中对什么是“计算机信息系统”作出了解释,但是,计算机信息系统毕竟不等同于网络系统。网络系统是至少由一个以上的计算机信息系统连接起来的、比计算机信息系统更高级的系统。对行为进行规范的重要前提就是要对相关行为有一个准确的界定,建立科学的法律术语。将黑客行为纳入刑法的调整范围内则不可避免地要使用计算机专业术语,比如网络系统、计算机病毒等。因此,简单地用计算机系统来描述基于网络系统而发生的黑客犯罪行为是不科学、不严谨的。
4.犯罪对象的规定比较局限。刑法第二百八十五条第一款“非法侵入计算机系统罪”的对象仅限于“国家事务、国防建设、尖端科学技术领域的计算机系统”,其保护范围过于狭窄,也与计算机日新月异的发展及其在我国各行业的广泛应用状况不相称。近年来,我国计算机网络广泛普及于生产、生活,政府办公、医疗服务、社会保障、交通运输、金融服务、企业管理等社会部门的工作越来越依赖计算机系统。那些关系国计民生的重要领域一旦遭遇黑客侵害,造成的损失将无法估量。原有法条对犯罪对象的范围规定过于狭窄,这使得相当一部分犯罪活动逃避了法律的追究。
5.危害后果的规定过于轻缓。刑法第二百八十六条第三款规定,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,构成破坏计算机系统罪。仅仅有制作、传播计算机病毒的行为还不能构成犯罪,还必须是该行为造成“后果严重”。这一规定显然过于轻缓,不利于打击那些传播计算机病毒、威胁巨大、危害严重的黑客犯罪,例如利用逻辑炸弹实施的犯罪行为。
6.共同犯罪的规定不完善。我国现行刑法关于共同犯罪的规定,仅限于犯罪人之间有相互的犯罪意思交流的共同犯罪形式,没有涵盖新出现的网络聚众型犯罪,这类新型的共同犯罪人相互之间有时候并没有意思联络,可能是单向的,例如一方向不特定的人发出倡议,另一方接受。在认定黑客犯罪的共同犯罪成立时,如果坚持传统的标准“双方之间存在意思联络”,显然会让一部分犯罪参与人得不到法律制裁。
(二)刑罚的设定不够合理。
1.刑罚种类过少。我国刑法第二百八十五条、第二百八十六条对计算机犯罪的刑罚包括三种:有期徒刑、拘役、罚金。对第二百八十五条第一款的“非法侵人计算机信息系统罪”和第二百八十六条的“破坏计算机信息系统罪”设置了有期徒刑和拘役;而对第二百八十五条第二、三款的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”和“提供侵入、非法控制计算机信息系统程序、工具罪”设置了有期徒刑、拘役和罚金。可见,对黑客犯罪的刑罚种类设定太少。
2.刑罚程度过轻。除了刑罚种类太少,在程度方面还存在过轻的问题。例如第二百八十五条第一款的“非法侵入计算机信息系统罪”法定最高刑仅三年有期徒刑,而犯第二款的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”情节特别严重的,也仅“处三年以上七年以下有期徒刑,并处罚金。”这就限制了审判机关对计算机犯罪刑罚的选择,不利于对犯罪分子进行有效打击。量刑过低,既纵容了犯罪,也降低了司法机关在民众心中威信。
三、黑客犯罪的立法完善
(一)完善犯罪构成
增设单位犯罪主体。现行刑法应当根据我国的实际情况,同时借鉴国际立法的趋势,如法国刑法典的规定,将单位规定为计算机犯罪的犯罪主体。
严格限定刑事责任年龄。鉴于国家安全方面的考虑,针对特定的犯罪可以考虑调低黑客犯罪主体的责任年龄。不过,基于宽严相济的刑事政策,未成年人的黑客犯罪行为不在重点打击之列。
修改罪状规定。计算机信息系统并不等同于网络系统,因此,刑法应当进一步明确“侵入……网络系统”的表述,增加对非法侵入重要网络系统行为的规制。
科学设定犯罪对象的范围。除了“国家事务、国防建设、尖端科学技术领域的计算机系统”,还应当将金融、交通、航运、水利、电力、医疗等机构的计算机系统都纳入刑法保护范围。
将制作、传播计算机病毒的行为规定为行为犯。不需要产生严重的后果,甚至不需要产生具体的危险,就推定该行为具有危险,即可确认犯罪成立。
完善共同犯罪的规定。把黑客共同犯罪与现行刑法中关于共同犯罪的规定相区别,将黑客共同犯罪界定为:意思沟通可以是双向的也可以是单向的;意思沟通可以是不确定的、模糊的,只要犯罪人之间基于一定程度的意思交流活动,客观上形成了一定的组织形式,即可以按共同犯罪处理。
(二)设定科学的刑罚
首先,完善黑客犯罪的刑罚种类。具体来说,不妨考虑设立剥夺行为人在互联网上行为资格的新型资格刑,将其增补到我国传统资格刑体系中;对一部分具有较高计算机网络技能的、实施了严重网络犯罪的人,剥夺其一定期限的网上行为资格。其次,加重黑客犯罪的刑罚,以更有效落实罪责刑相适应原则。最后,对于共同犯罪要追究网络聚众型黑客犯罪的首要分子、积极参加者以及对犯罪活动起主要作用的犯罪人的刑事责任。
【作者单位】华中科技大学
原标题:黑客犯罪的刑法规制
来源:《人民检察》2012年第3期
牛律师刑事辩护团队编辑
牛律师刑事辩护网www.lawyer123.cn,依据最权威的法律法规,秉持最科学的刑辩技巧,坚持术有专攻成就刑事辩护品牌成功案例。为正在身陷囹圄或因犯罪即将追究刑事责任的犯罪嫌疑人、被告人及亲友提供无罪、罪轻、减轻处罚的服务。牛律师刑事辩护精英团队,专注刑辩领域,案例成就金牌!
服务热线:4006066148