黑客一词最早源自英文“hacker”,原指精通于计算机技能和网络技能,水平高超的电脑专家,尤其是程序设计人员。但本日,该词已被用于泛指那些专门利用系统安全漏洞对网络进行攻击破坏、窃取资料或制造开顽笑的人。因此,他们又被称为“骇客”(cracker)。在网络上黑客险些无处不在,其中,有些黑客的行为已构成犯法。我国刑事立法对黑客犯法作了较为明确的规定。但是,随着网络技能的发展,很多具有较大社会危害性的黑客行为却难以对其定罪处罚,即使勉强为之,也可能导致罪刑不平衡的现象。因此,对黑客犯法进行研究,已是我国法学界不容忽视的一个紧迫问题。
一、黑客犯法的立法与表明
在刑事立法方面,刑法第二百八十五条和第二百八十六条分别设立了“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”,第二百八十七条是关于利用计算机实施传统犯法的规定。《刑法修正案(七)》在刑法第二百八十五条中增加两款分别规定了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,并在这两款中设置了罚金刑。2011年8月29日最高人民法院和最高人民检察院联合发布《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的表明》,就办理此类刑事案件中应用法律的若干问题进行了表明。别的,1994年2月18日《中华人民共和国计算机信息系统安全保护条例》、2000年12月28日全国人民代表大会常务委员会《关于维护互联网安全的决定》等都对黑客犯法问题进行了规定。
二、有关黑客犯法规定的立法缺陷
(一)犯法构成的设定不科学
1.未规定单位犯法主体。根据罪刑法定原则,单位犯法以法律有明文规定为限。刑法第二百八十五条、第二百八十六条均未规定单位可以成为犯法主体,而根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的表明》第八条规定:“以单位名义大概单位形式实施危害计算机信息系统安全犯法,达到本表明规定的定罪量刑标准的,应当依照刑法第二百八十五条、第二百八十六条的规定追究直接负责的主管人员和其他直接责任人员的刑事责任。”因此对于单位实施的计算机犯法,就只能追究直接实施者、参与者以及直接主管人员的刑事责任。事实上,单位在某些情况下不但可能实施计算机犯法,而且类型与形态都日趋多样化和复杂化。我国刑法没有规定单位可以成为黑客犯法的主体,不能不说是一个疏漏。
2.刑事责任年龄设置不公道。根据我国刑法,不满十六周岁的青少年的黑客行为,是不作为犯法处罚的。而青少年学习速度快、接受本领强,黑客犯法的主体越来越趋向于低龄化。比方,1998年2月25日侵入美国五角大楼的两名小黑客年仅15岁。因此,随着网络技能的发达以及青少年计算机水平的迅速提高,假如此类犯法主体的刑事责任年龄一律限定在十六周岁,将会使一些严峻危害国家及公共安全的黑客行为得不到应有的处罚。
3.罪状表述较为含糊。只管在立法和司法表明中对什么是“计算机信息系统”作出了表明,但是,计算机信息系统毕竟不等同于网络系统。网络系统是至少由一个以上的计算机信息系统毗连起来的、比计算机信息系统更高级的系统。对行为进行规范的重要前提就是要对相干行为有一个正确的界定,建立科学的法律术语。将黑客行为纳入刑法的调整范围内则不可避免地要使用计算机专业术语,比如网络系统、计算机病毒等。因此,简单地用计算机系统来描述基于网络系统而发生的黑客犯法行为是不科学、不严谨的。
4.犯法对象的规定比较范围。刑法第二百八十五条第一款“非法侵入计算机系统罪”的对象仅限于“国家事务、国防建设、尖端科学技能领域的计算机系统”,其保护范围过于狭窄,也与计算机日新月异的发展及其在我国各行业的广泛应用状况不相称。近年来,我国计算机网络广泛普及于生产、生活,政府办公、医疗服务、社会保障、交通运输、金融服务、企业管理等社会部门的工作越来越依赖计算机系统。那些关系国计民生的重要领域一旦遭遇黑客侵害,造成的损失将无法估计。原有法条对犯法对象的范围规定过于狭窄,这使得相称一部分犯法活动躲避了法律的追究。
5.危害后果的规定过于轻缓。刑法第二百八十六条第三款规定,存心制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严峻的,构成破坏计算机系统罪。仅仅有制作、传播计算机病毒的行为还不能构成犯法,还必须是该行为造成“后果严峻”。这一规定显然过于轻缓,不利于打击那些传播计算机病毒、威胁巨大、危害严峻的黑客犯法,比方利用逻辑炸弹实施的犯法行为。
6.共同犯法的规定不完善。我国现行刑法关于共同犯法的规定,仅限于犯法人之间有相互的犯法意思交流的共同犯法形式,没有涵盖新出现的网络聚众型犯法,这类新型的共同犯法人相互之间有时候并没故意思联络,可能是单向的,比方一方向不特定的人发出倡议,另一方接受。在认定黑客犯法的共同犯法成立时,假如坚持传统的标准“双方之间存在意思联络”,显然会让一部分犯法参与人得不到法律制裁。
(二)刑罚的设定不够公道。
1.刑罚种类过少。我国刑法第二百八十五条、第二百八十六条对计算机犯法的刑罚包罗三种:有期徒刑、拘役、罚金。对第二百八十五条第一款的“非法侵人计算机信息系统罪”和第二百八十六条的“破坏计算机信息系统罪”设置了有期徒刑和拘役;而对第二百八十五条第二、三款的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”和“提供侵入、非法控制计算机信息系统程序、工具罪”设置了有期徒刑、拘役和罚金。可见,对黑客犯法的刑罚种类设定太少。
2.刑罚程度过轻。除了刑罚种类太少,在程度方面还存在过轻的问题。比方第二百八十五条第一款的“非法侵入计算机信息系统罪”法定最高刑仅三年有期徒刑,而犯第二款的“非法获取计算机信息系统数据、非法控制计算机信息系统罪”情节特别严峻的,也仅“处三年以上七年以下有期徒刑,并处罚金。”这就限定了审判机关对计算机犯法刑罚的选择,不利于对犯法分子进行有效打击。量刑过低,既放纵了犯法,也降低了司法机关在民众心中威信。
三、黑客犯法的立法完善
(一)完善犯法构成
增设单位犯法主体。现行刑法应当根据我国的实际情况,同时借鉴国际立法的趋势,如法国刑法典的规定,将单位规定为计算机犯法的犯法主体。
严格限定刑事责任年龄。鉴于国家安全方面的考虑,针对特定的犯法可以考虑调低黑客犯法主体的责任年龄。不过,基于宽严相济的刑事政策,未成年人的黑客犯法行为不在重点打击之列。
修改罪状规定。计算机信息系统并不等同于网络系统,因此,刑法应当进一步明确“侵入……网络系统”的表述,增加对非法侵入重要网络系统行为的规制。
科学设定犯法对象的范围。除了“国家事务、国防建设、尖端科学技能领域的计算机系统”,还应当将金融、交通、航运、水利、电力、医疗等机构的计算机系统都纳入刑法保护范围。
将制作、传播计算机病毒的行为规定为行为犯。不需要产生严峻的后果,甚至不需要产生具体的危险,就推定该行为具有危险,即可确认犯法成立。
完善共同犯法的规定。把黑客共同犯法与现行刑法中关于共同犯法的规定相区别,将黑客共同犯法界定为:意思沟通可以是双向的也可以是单向的;意思沟通可以是不确定的、含糊的,只要犯法人之间基于一定程度的意思交流活动,客观上形成了一定的组织形式,即可以按共同犯法处理。
(二)设定科学的刑罚
首先,完善黑客犯法的刑罚种类。具体来说,不妨考虑设立剥夺行为人在互联网上行为资格的新型资格刑,将其增补到我国传统资格刑体系中;对一部分具有较高计算机网络技能的、实施了严峻网络犯法的人,剥夺其一定限期的网上行为资格。其次,加重黑客犯法的刑罚,以更有效落实罪责刑相适应原则。最后,对于共同犯法要追究网络聚众型黑客犯法的首要分子、积极参加者以及对犯法活动起主要作用的犯法人的刑事责任。
张 娟 雷志春