論網絡犯罪治理現代化的立法實踐

曾粵興，譚健強

（北京理工大學 法學院，北京 100081）

近年，在云計算、大數據和算法等基礎層智能技術的輔助下，社會系統中的信息傳輸模式發生了革新，實現了“紙質通信—有線通信—無線通信—數字通信”的技術轉型。智能技術浪潮的推動雖然減少了人與人之間的交際成本，但也異化了原始犯罪模式，新型犯罪模式逐漸突起。換言之，傳統暴力犯罪漸趨被智能犯罪所更迭，以專業知識、技能和經驗為核心內容的犯罪特征成為智能科技犯罪的評價標簽，網絡技術則是智能科技犯罪的主要方式。

坦率地說，以網絡技術為代表的智能技術手段倘若被不恰當地利用，確實會使已有社會秩序遭受猛烈的沖擊，致使網民的合法權益受損。故有論者感慨，犯罪借助網絡的方式使得其所產生的社會危害性大為增強[1]。這種說法深中肯綮，令人深思。這實則是網絡時代智能技術穿透力強和影響面廣的特質合力作用的結果。對此，刑法作為綜合治理格局措施中最嚴苛且最具威懾效能的處罰手段，其立法實踐能否應對網絡信息技術與智能犯罪之間的糅合，避免網絡犯罪的滋漫，是法治現代化進程中無法回避的問題。對此問題可進一步解構為：如何分析網絡犯罪治理現代化的規范釋義？如何概述網絡犯罪治理現代化的立法實踐歷程和時代意蘊？如何挖掘并化解網絡犯罪治理現代化的立法實踐“痼疾”？這些都是亟須解答的理論困惑。鑒于此，本文從本體論、價值論、認識論和方法論四個維度系統剖析上述問題，以期對實現網絡犯罪治理在立法層面的法治化有所助益。

一、本體論：網絡犯罪治理現代化及其立法實踐

“網絡犯罪治理現代化的立法實踐”這一議題在本體論層面的內容有二：一是網絡犯罪治理現代化的規范內涵為何，即尋覓犯罪治理現代化與信息網絡耦合之后的意蘊；二是概括網絡犯罪的立法實踐歷程。

（一）犯罪治理現代化與信息網絡的耦合

“現代化是人類文明進步的標志，中國式現代化是近代以來中國人民的偉大創造?！盵2]在推進和實現中國式現代化的進程中，推進國家治理體系和治理能力現代化是關鍵一環。國家治理體系和治理能力現代化，又稱“國家治理現代化”，是全面深化改革的重要內容，涵攝經濟發展、環境保護和教育均衡等諸多領域。將“國家治理現代化”的命題對焦網絡犯罪領域，可稱為“網絡犯罪治理現代化”。自從“國家治理現代化”的重大命題被提出以來，如何加快推進和實現網絡犯罪治理現代化儼然成為學者樂此不疲的研究課題。如有論者從宏觀角度論證我國網絡犯罪治理模式亟須轉型，即網絡犯罪治理模式應由原有公力模式轉為公私合作模式[3]。也有論者從網絡金融治理[4]、電信網絡詐騙犯罪治理[5]等微觀領域論證網絡犯罪治理現代化的法治方向。無論從宏觀還是微觀領域論證網絡犯罪治理現代化的內容，均是在本體論層面所作的延展闡釋。那么，網絡犯罪治理現代化的本質內涵究竟何解？

筆者認為，可以以國家治理現代化的內涵為根基，從治理體系和治理能力兩方面對網絡犯罪治理現代化進行釋義。國家治理體系是國家制度的集中體現，囊括法律規范、黨內法規、行政規范文件等不同制度載體[6]。而國家治理體系在國家治理實踐中運作的狀態、過程和效果便是國家治理能力[7]。申言之，國家治理現代化旨趣是，從頂層設計的維度探究不同的制度載體在社會治理狀況下的運行狀態和實施效能。就網絡犯罪治理現代化而言，要實現網絡犯罪治理現代化，核心是合理建構和規范網絡犯罪治理的內在邏輯體系，包括網絡刑法規范體系的現代化和網絡刑事司法體系的現代化。前者指網絡刑法規范之間能夠做到邏輯自洽，以此編織起“嚴而不厲”的刑事法網；后者指在網絡犯罪領域中要實現刑事司法認定犯罪規則的現代化。網絡刑法規范體系和網絡刑事司法體系的現代化共同鑄成刑事治理現代化，它們都是國家治理現代化的有機組成部分并影響著其能否實現。然而，網絡刑法規范體系的現代化是網絡刑事司法體系現代化的邏輯前提，沒有網絡刑法規范體系現代化的構建，遑論網絡刑事司法體系現代化的創設。為此，剖析網絡犯罪治理現代化的立法實踐，為網絡刑事司法體系現代化提供理論基礎，是有效治理網絡犯罪的前提。

（二）網絡犯罪立法的實踐歷程

我國網絡犯罪的立法實踐歷經立法闕如到立法興起再到立法完善的演變過程，這實則是刑法規范對計算機犯罪、網絡犯罪和網絡空間犯罪治理過程具體變化的體現。這喻示著刑法對網絡犯罪的規制正逐步邁入精細化、科學化以及合理化的治理軌道。

一是網絡犯罪立法的迷失階段（1949—1979年）。20世紀30年代，隨著工業化進程的推進，人們迫切需要一臺先進設備來解決數據計算量大且精確度高的窘境。于是，世界首臺電子數字計算機“埃尼阿克”（ENIAC）在美研發成功。經過不斷優化和升級，計算機起初的體積龐大、結構復雜等問題日益改善，計算處理、數據存儲和控制等功能也逐漸具備。為了避免因計算機普及所帶來的威脅，20世紀70年代開始，美國先后通過刑法延展適用及專門的網絡犯罪立法來懲治計算機與網絡犯罪[8]。我國計算機行業同期雖然在蘇聯的幫助下也探索并研制出第一臺計算機，但是1979年《刑法》并沒有規定因計算機應用可能產生的犯罪。原因是：一方面，特定歷史時期導致刑法的任務有所偏重。當時我國法制建設正處于初創階段，國家急迫的任務是進行經濟建設，保護人民財產，維護社會、生產和工作秩序，刑法也是圍繞著這些內容而展開且規定較為粗疏。另一方面，立法前瞻性意識薄弱。當時我國計算機技術剛剛起步，科研者對計算機應用領域認識尚淺，更勿談立法者以超前意識判斷計算機網絡能否對社會或人們的法益造成侵害或威脅，以及受侵害的法益該如何保護等問題。概言之，我國網絡犯罪的規定在此時期未見雛形，網絡犯罪立法正處于迷失階段。

二是網絡犯罪立法的興起階段（1980—1997年）。1980年之所以能成為網絡刑法立法興起階段的開啟之年，是因為從此時間節點起，立法者逐漸規制網絡違法行為，甚至將其予以犯罪化。具體如下：科技浪潮助推計算機的普及，大量的經濟活動開始依賴計算機網絡的運行，尤其是國家事務、國防、外交、尖端科技等重要領域相當廣泛地運用計算機技術[9]。我國此時雖已接通國際互聯網，但是信息交互范式依舊傳統，新型信息傳輸模式未能搭建。詳言之，Web1.0時代網絡信息主要借助局域網或互聯網進行單向輸送，人們對聚量信息的搜尋以人機互助模式為樣態，故其僅能滿足“人對信息搜索、聚合的需要，而沒有解決人與人之間溝通、互動和參與的需求”[10]。與此同時，圍繞著計算機信息系統的網絡失范行為逐漸凸顯，甚至成為沖擊網絡秩序的“導火索”。1994 年，國務院公布了《計算機信息系統安全條例》，對計算機信息安全保障制度、公安機關的監管職責以及法律責任的追究等均作出明確規定，可以說，這是首個保障計算機信息系統安全的規范性文件。可是，作為行政法規，其不具有最強的威懾效力，因為其受制于最高懲治措施（行政處罰）的桎梏。這種天然的內在缺陷也使得其在面對日益猖獗的網絡失范行為之時黯然失色。故1997 年《刑法》發揮后盾法的作用，增設“非法侵入計算機信息系統罪”“破壞計算機信息系統罪”，并增加利用計算機實施犯罪的提示性規定。由于這一時期以攻擊計算機信息系統為主，故被稱為計算機犯罪時期。概言之，此階段的網絡犯罪規定初露鋒芒，網絡犯罪立法打破了以往沒有刑法規制的局面，迎來了興起階段。

三是網絡犯罪立法的完善階段（1998 年至今）。此階段以2009 年為時間節點，分為前后兩階段。前一階段為網絡犯罪。Web2.0時代，信息內容的生成方式更加多元，信息源的傳輸方式也由此發生革新。網站不再是唯一的信息傳播源，社會公眾也可以通過網絡平臺或各類客戶端等軟件來實現信息的傳播和互通。在此過程中，新型網絡犯罪也逐漸涌現。據統計，2001年公安機關立案偵查的計算機違法犯罪案件為4500 余起，比上年漲了70%，同時也約為前年的11倍，其中九成以上涉及網絡犯罪[11]。對此類犯罪主要采用兩種途徑應對：一是傳統罪名規制模式。大多數網絡犯罪表現為傳統犯罪模式的網絡化。司法裁判者僅需結合《刑法》（文中未特別標明年份的特指現行《刑法》）第二百八十七條和傳統罪行樣態所對應的罪名，便可以將網絡不法行為納入犯罪圈。二是“迂回解釋”規制模式。網站平臺或相關客戶端掌握著大量公眾信息，倘若不法分子侵入計算機信息系統竊取這些信息數據，則難以對其予以規制。將此行為“迂回解釋”為非法侵入計算機信息系統，便是變通之道[12]。為解決此問題，《刑法修正案（七）》新增“非法獲取計算機信息系統數據、非法控制計算機信息系統罪”。同時還將提供程序或工具的幫助行為規定為“提供侵入、非法控制計算機信息系統程序、工具罪”。后一階段為網絡空間犯罪。相較于前一階段而言，網絡空間犯罪具有與時代氣息相契合的“智能性”特征[13]。這種特征是萬物互聯時代（Web3.0 時代）所獨有的。在大數據、云計算、算法等技術輔助下，公眾可以通過移動客戶端在網絡空間中實現“點對點”甚至是“點對面”的信息互通。這些信息涉及面廣，既包括日常交流信息，還涵蓋教育、醫療、購物等內容，所以將現代社會描繪成由網絡空間和現實空間同構的“雙層社會”的觀點[14]具有時代性和現實性。值得注意的是，網絡空間也存在不法行為，并且給犯罪治理帶來挑戰。例如，傳統猥褻行為要求主體雙方之間發生肢體接觸，但是近年“隔空猥褻”事件頻發，不法分子利用網絡誘使未成年人發送私密部位圖片或觀看淫穢視頻。能否認定“隔空猥褻”行為構成強制猥褻罪或猥褻兒童罪，是值得斟酌的問題。其實，“隔空猥褻”行為本質是物理空間的不法行為向網絡空間的延伸。在網絡空間中，大部分不法行為可以突破傳統物理空間的束縛，向網絡空間蔓延或滲透，而回歸到物理空間中基本上都能找到該網絡犯罪行為的雛形。當然，為了避免網絡空間犯罪的肆虐，立法者通過《刑法修正案（九）》增設“拒不履行信息網絡安全管理義務罪”“非法利用信息網絡罪”“幫助信息網絡犯罪活動罪”等罪名來維護網絡空間秩序。概言之，此階段我國網絡刑法立法從興起階段邁向完善階段，法律規定漸趨完善。

二、價值論：網絡犯罪治理現代化立法的時代意蘊

前文圍繞著本議題作出了本體論意義上的解讀，那么，網絡犯罪立法究竟詮釋著何種價值，這無疑是本議題在價值論上的考量。其實，網絡犯罪的立法實踐蘊含三大功能：

（一）網絡犯罪立法的秩序維護功能

面對縱深發展的信息技術，網絡犯罪的作案手法及犯罪場域也表現出與傳統犯罪相異的時代特征，即網絡技術已經被當作傳統犯罪的“傳導器”甚至是犯罪行為的“策源地”。以刑法立法的方式促進網絡秩序的體系建構，進而消弭網絡安全隱患，是刑法基本功能的體現。筆者認為，網絡刑法立法有以下秩序治理功能：

一是加強信息基礎設施硬件的保護。信息基礎設施硬件指計算機信息系統，其承擔著社會乃至國家信息數據交互安全的保障職責。即便是身處在虛擬與現實同構的當下，聚量信息儲存和輸送的樞紐依舊需要依賴計算機信息系統的運行。然而，我國當前計算機信息系統卻無時無刻不面臨安全風險。據統計，2020年上半年捕獲境內外計算機惡意程序約1815 萬個，其中境外約2.5 萬個計算機程序惡意控制著我國約303萬臺主機①。因此，保護計算機信息系統的安全，與社會安全秩序的穩定相攸關。當然，作為不法行為否定性評價最高位階的刑法，雖然無法從技術風險防范的領域提升網絡安全的防范能力以便直擊網絡失范行為，但卻可以通過增設與維護計算機信息系統有關罪名的方式來起到溯源警示和事后懲罰的作用，以此實現對秩序價值的追求。

二是規范網絡失范行為和網絡空間秩序。在復雜的網絡社會中，網絡不法行為不再以傳統一人犯罪為基本模型，而是表現為共同犯罪凸顯和共犯人數眾多，更重要的是犯罪活動分工細化，逐步形成“流水線”式作業[15]。具言之，網絡犯罪表現為上、中、下游聯動式的犯罪鏈條，各個鏈條之間不僅能夠做到相互配合、環環相扣，而且相互獨立、互不影響。所以在審理階段，司法機關常常會在網絡不法行為的因果鏈和損害后果的認定問題上陷入困境，這是因為大部分被偵破的網絡犯罪案件的犯罪鏈條是支離破碎的。因此，為了打擊網絡犯罪產業鏈，刑法積極立法理念將打擊網絡空間犯罪不法行為的著手點前置，將設立違法犯罪活動的網站和通信群組、發布違法犯罪信息以及為實施違法犯罪活動發布信息納入犯罪圈，實現預備行為正犯化。此外，幫助行為正犯化也是網絡空間領域犯罪治理“公認”的模式。在網絡空間領域，幫助行為打破傳統“一對一”的行為結構，借助網絡技術所帶來的便捷性特點，在短期內實現“一對多”的幫助行為，這些疊加起來的幫助行為的社會危害性與正犯行為相比有過之而無不及。因此，將明知他人犯罪，為他人提供技術支持或者廣告推送等幫助行為規定為犯罪，是維護網絡秩序的應然之策。

（二）網絡犯罪立法的法益保護功能

“法益保護原則一直是刑事立法的基本指導原理”[16]，《刑法》分則任何一款的設置都是圍繞著某一特定的法益保護目標而加以規定的，因此，以保護法益為目的的刑法不可能對新類型的網絡犯罪無動于衷[17]，而是根據法益侵害的實質變化和法益保護的嚴厲程度不同來對法益進行契合實際的保護。

一是法益侵害的實質發生改變。傳統理論認為，結果犯中的結果僅指法定的犯罪結果，即犯罪行為對刑法所保護的法益造成的實際侵害事實[18]。例如，故意殺人要求導致他人死亡，破壞計算機信息系統要求造成計算機信息系統不能正常運行，這其實是刑事古典學派對結果犯理論的窺視?？墒?，伴隨著網絡社會的來臨，網絡犯罪的結構開始變遷，單純依賴結果犯的立法模式難以有效遏制網絡失范行為。具言之，相較于傳統犯罪模式，網絡信息時代“點對面”的犯罪特點使不法行為可以突破時空的拘束，導致其所產生的社會危害性更大。對此，網絡時代法益保護的界限不應固守于實害結果的發生，而是可以“通過側面補強來加強其保護力度，即致力于法益保護的前階段或周邊的保護上，來阻止犯罪發生”[19]。因此，網絡犯罪治理的立法模式逐漸通過設置危險犯來實現法益保護的前置化。

二是法益保護的嚴厲程度不同。侵害或威脅法益是不法行為的直接表現，立法者之所以對不同條款的罪質和罪量作出差別性設置，本質是法益保護規范目的不同所致的結果。換言之，法益的大小、輕重在一定程度上決定了罪行的性質。我國網絡犯罪雖然對法益保護的界限作出前置化的設置，但這并不意味著對所有侵犯法益的行為均作出同樣的不法評價，事實上，法益保護的價值在位階上存在保護次序的差異。以非法侵入計算機信息系統罪和非法獲取計算機系統數據罪為例，前者為行為犯，后者為危險犯。對此，有論者認為當前計算機信息系統的自主支配管理、不受侵犯的訴求業已成為公民的一項基本權利，因而刑法不應進行所謂的公、私劃分[20]。誠然，當前計算機信息系統已遍及社會生活的各個領域，其所儲存的數據更可被譽為“新型生產要素”，因此，為國家事務、國防建設和尖端科學技術領域以外的計算機信息系統編織網絡防護網，防止數據被攫取，是明智的立法抉擇。但是，對計算機信息系統劃定層級予以保護的方式，將侵入上述三大系統的入罪門檻降低，也是可取的，因為侵入上述三大系統，將會對國家計算機信息系統中所存儲的重要情報造成威脅。

（三）網絡犯罪立法的人權保障功能

面對網絡領域幫助行為正犯化、預備行為正犯化等刑事處罰前置的趨勢，如何剖析網絡犯罪立法中的人權保障問題值得深思。筆者認為，網絡犯罪立法的人權保障功能有二：

一是人權保障主體的擴張，使公私主體權力（利）的保障并駕齊驅。在公法上，公權力與私權利相對應，公權力主體指國家，私權利主體指企業或個人。1997 年《刑法》雖然早已料及技術浪潮將會對計算機信息系統的法益造成沖擊，但是其立法保護的畛域卻限縮在公權力主體法益（國家事務、國防建設、尖端科學技術）的范圍內，忽略了對個人或企業經濟建設領域②的保護。然而，隨著“人權法治觀念漸入人心，刑法觀念也發生了一系列重大變革”[21]，即從原來維護國家和社會法益為主的機能到之后的人權保障機能，刑法保護和保障機能不斷加強[22]。倘若將其聚焦到網絡領域，便是網絡犯罪治理的人權保障圈層逐漸向私權領域擴張，實現公、私權力（利）主體法益兼顧保護的局面。詳言之，對計算機信息系統的保護已然拋棄了傳統僅對公權力主體進行保護的觀念，不僅將保護的法益擴展到上述三大系統以外的計算機信息系統，而且還將所侵犯法益的嚴重程度劃分為“情節嚴重”和“情節特別嚴重”兩個程度，在人權保障方面更加精確。

二是對私權利主體保障的細化，使對私主體權利的保障日臻完善。上述第一點主要是從被害人法益保護的維度進行論述，而法治國家倡導的罪刑法定原則首先是對被告人權利的保障[23]，為此，對私主體人權的保護還應將被告人人權的保障囊括在內。其實，網絡犯罪立法體現出很多保障被告人人權的思想，如輕罪立法特征顯著，網絡刑法立法的實踐進程呈現出輕罪立法理念濃厚的思想③。又如，罪狀的構造體現出保障被告人人權的思想，以“拒不履行信息網絡安全管理義務罪”為例，學界對此罪的增設存在爭議，認為其純屬情緒化立法的產物，而且業已淪為閑置條款，但是正因為該罪的設置存在行政程序前置的規定，因而阻斷了行為人違法行為邁向犯罪化的道路，而這些規定也與當前的合規理念相吻合，是企業權益保障理念的具象化。

三、認識論：網絡犯罪治理現代化立法的現實窺視

認識論是從實踐和認識的關系角度探究認識何以生成和如何發展的問題，“是人們對于自己認識的反思，關注的是認識的真理性問題”[24]。通過認識論層面的闡釋，可以更好地反思和斟酌網絡刑法立法的現實問題，以便尋覓方法論的創設。

（一）回應性立法：網絡犯罪立法的理念滯后

從網絡刑法立法的軌跡來看，我國網絡刑法立法針對不同時期的網絡失范行為，制定了與之相匹配的刑法規范，以便及時回應網絡社會的治理需求，如在互聯網尚未普及的時代，攻擊計算機信息系統的行為具有嚴重社會危害性，刑法立法因而聚焦于計算機信息系統展開規制。又如線上虛擬與現實物理高度擬合的社會，刑法逐步解構犯罪利益鏈條，以刑事處罰前置化的立法方式，多維度、全方位地解決網絡產業化的問題。這些刑法立法規定在一定程度上避免了網絡亂象的滋生，回應和反饋了人們對網絡安全的迫切訴求。但是，這種回應和反饋并非積極能動的，而是消極被動的。詳言之，網絡刑法立法并未能夠做到與網絡信息技術的發展同步，而是消極被動地解決網絡信息技術所帶來的麻煩，因而導致網絡刑法立法呈現出一種“頭痛醫頭、腳痛醫腳”的立法修補[25]理念。這種理念客觀來講就是對既往網絡不法行為的條理化記錄，是一種聚焦于實時問題而缺乏前瞻性的立法方式，因此它不能成為立法理念的主流。

那么，何為網絡立法的主流理念？其實，網絡犯罪立法不僅要具有回溯性，實時解決既往網絡立法闕如的問題，又應具有前瞻性，“應當盡量對可能出現的驅動刑法變動的社會實踐作長遠、充分、合理的預測，并在規范設計層面予以接納”[26]。為此，網絡時代對網絡不法行為的刑法規制，除重視計算機犯罪、網絡犯罪和網絡空間犯罪這三種立法類型之外，還應將立法的偏重轉向智能型和數據型網絡犯罪④。一方面，隨著智能駕駛已經邁向商業化運營，人們的法益所受到的侵害或威脅也必然隨之增加，但是刑法立法并沒有回應智能駕駛的罪刑歸責難題。另一方面，網絡數據的安全保護已經成為國家安全治理過程中的重要因素，但是我國對于數據安全保護的刑法規定甚少，保護力度也不足，所以將智能型和數據型網絡犯罪納入刑法制裁范圍，具有必要性和合理性。遺憾的是，這些內容尚未能在我國刑法中得到充分體現。

（二）系統性不足：網絡犯罪立法的罪質缺陷

1.前置法與后盾法間的銜接不暢

網絡犯罪行刑銜接的“橋梁”主要借由違背前置法所指引的規范性內容來實現，即“違反國家規定”和“不履行法律、行政法規規定的義務”，以此呈現出前置法與后盾法之間的遞進關系。然而，現階段存在混淆前置法指引范圍的情形，導致網絡犯罪行刑銜接不暢。

一是部門規章突破刑法文義解釋的規定。網絡犯罪與傳統犯罪不同，其涉及許多專業性、技術性的內容，而這些內容囿于立法容量的限制，難以在刑法中作出詳細規定。故網絡刑法立法通常采用空白罪狀（違反國家規定）的立法技術，要求網絡犯罪的成立要以前置性法律的違反為前提，這也是這類犯罪的構成要件之一?！缎谭ā房倓t中“違反國家規定”的文義理解囊括兩層含義：一是全國人大及其常委會制定的法律；二是國務院制定的行政法規及與其具有相同等級的行政措施、決定和命令[27]。也就是說，對網絡刑法立法中“違反國家規定”的理解，核心在于尋覓和解構與網絡失范行為相關的法律、行政法規及其相同等級的措施等規范性文件?？墒牵斍啊斑`反國家規定”本身所蘊含的文義解釋卻遭受到部門規章的突破，例如，《公安部關于對破壞未聯網的微型計算機信息系統是否適用〈刑法〉第286 條的請示的批復》（以下簡稱《公安部批復》）就把“國家規定”的范圍擴展到了部門規章，即破壞計算機信息系統罪中的“違反國家規定”不應僅包括行政法規，還應包括部門規章。

二是前罪法所涵蓋的規范文本范圍擴張。如前所述，網絡犯罪的前置法范圍被部門規章擴張適用，導致行刑銜接出現障礙。這其實是外力作用擴張所致的結果。事實上，網絡犯罪還存在著內力作用擴張的表現。所謂內力作用的擴張，指前置法沒有對某一專業性、技術性的內容作出規定，對該內容的窺視還需從其他法律、行政法規中尋覓，甚至是國家強制性標準。以拒不履行信息網絡安全管理義務罪為例，該罪為真正不作為犯，行為人必須不履行法律、行政法規規定的信息網絡安全管理義務才有可能構成此罪。其中，《網絡安全法》對該罪的不作為義務來源作出了細化規定，如“網絡產品、服務應當符合相關國家標準的強制性要求”，換言之，網絡產品、服務沒有達到相關國家標準便違反了信息網絡安全管理義務的要求。顯然，這里前置法的范圍在該罪中已然通過法律轉接到國家強制性標準的適用范疇之內。然而，這種規范的適用過程也遭到質疑，畢竟該罪前置法僅僅將不作為義務的范圍限定在法律和行政法規的界限內，并沒有涵蓋國家強制性標準，倘若將國家強制性標準作為認定不作為義務的判定依據，則有違罪刑法定原則。

2.網絡犯罪罪狀設置的規范性欠缺

罪狀規定了某行為是否構成犯罪、構成何罪以及該罪的不法程度如何等問題，因而罪狀是否得以規范描述直接影響到行為人罪責的判定，但是當前網絡刑法立法在罪狀的構造上還需加強。

一是罪狀的規范表述不精準。破壞計算機信息系統罪的客觀行為有刪除、修改、增加、干擾四種。有論者提出，將修改行為解釋為對具備自動處理數據功能的系統中的數據代碼進行篡改是對該罪行為方式的誤解，修改行為還應囊括增加或刪減數據代碼的行為，它們之間在規范術語的表述上存在重疊。此種觀點是從刑法本身所蘊含的語義的維度進行深究的，因為《現代漢語詞典》將“修改”解讀為“改正文章、計劃等里面的錯誤、缺點”[28]，不但有對錯誤內容及時修正之意，還有對相關內容加以增刪的語義。此外，“后果嚴重”或“情節嚴重”作為犯罪程度的評價標尺，也是犯罪構成要件之一，因而對其精準的表述也有嚴格要求。同樣以破壞計算機信息系統罪為例，該罪第一款以“后果嚴重”和“后果特別嚴重”為罪量畛域，將行為人破壞計算機信息系統的不法行為劃分為兩個罪量單位，揭示著行為人破壞計算機信息系統的不法行為危害程度不同，罪責評價也由此不同。但是該罪第二、三款的立法構造卻僅規定了“后果嚴重”一個罪量單位，忽略了對“后果特別嚴重”情節在刑法立法過程中的敘明化，因而導致司法實踐出現困惑。

二是罪狀間的規定存在疏漏。刑法條款所規定的內容是否周延，是刑法立法罪狀設置過程中繞不開的問題。刑法條款周延性的應有之義是刑法罪名之間能夠邏輯自洽、不疏漏。然而網絡刑法立法在此方面亟須加強，例如《刑法》第二百八十五條第三款將提供侵入、非法控制計算機信息系統程序、工具的幫助行為正犯化，但是這樣的入罪標準顯得立法規定過于疏漏。因為從該款罪狀的表述可知，幫助行為僅涉及提供侵入和控制計算機信息系統，而沒有涉及獲取計算機信息數據和破壞計算機信息系統[20]，事實上，后兩種幫助行為的行為性質更惡劣、社會危險性更大，更應值得刑法重視與回應。

3.網絡過失犯罪的立法規定闕如

網絡刑法立法的罪過形式圍繞著故意加以規定，過失犯罪的規定闕如。這種立法設置固有其緣由，在信息時代下計算機信息系統具有安全水準高、保密程度強的物理屬性，對于一般的網絡訪問戶而言，過失不恰當地違背操作流程并不會致使信息系統癱瘓而無法運行，唯有具備專業知識的網絡訪問戶出于故意的心理狀態襲擊計算機信息系統或擾亂網絡空間秩序，才被刑法予以評價。故此，網絡刑法立法的規制對象較為單一，以計算機信息系統攻擊者和網絡空間秩序擾亂者為主。

可是，這種對象的規制范圍只側重于從外圍保障計算機信息系統和網絡空間秩序的安全，忽略了對基礎層信息系統的內部保障，即當前網絡刑法立法在網絡運營者⑤的刑事注意義務方面欠缺合理考慮。一方面，網絡刑法立法沒有規定計算機信息系統安全運行的檢測義務。網絡運營者其實在計算機信息系統投入市場運營前、后均具有檢測義務，應確保該信息系統的安全標準指數能夠達到最低限度的安全界限，否則應承擔過失犯罪的責任。例如，重慶某校技術人員將其所開創的帶有病毒的軟件上傳到網絡供他人下載，致使他人系統癱瘓，但其辯稱自己并無惡意，純粹是想借助網絡信息反饋來升級軟件，對此，其罪過形式究竟為何，難以揣測[29]。其實，即使不能將該技術人員的主觀心態確定為故意，也應認定為過失，因為該技術人員具有較高的專業技術水準，其有能力、有義務、也有責任確保計算機信息系統在投入網絡市場運營前的安全系數。另一方面，網絡刑法立法沒有規定計算機信息系統安全運行的審慎義務。專業操作人員應該在計算機信息系統具體操作流程的限制范圍內運行系統，例如對于保密程度高的信息而言，局域網（內網）能夠保證這些信息在內部交互傳輸的安全性，因而信息系統的操作流程要求禁止專業操作人員私自接入互聯網。專業操作人員應當熟悉操作流程，并按照操作流程的指引使用互聯網，否則因其過失行為造成內部信息泄露的，應承擔刑事責任?？傊?，網絡過失犯罪立法規定闕如的現狀，顯然與當前信息社會發展之需相脫軌。

（三）罪刑不相稱：網絡犯罪立法的罪量失衡

1.刑罰的配置不合邏輯

刑罰的合理配置是刑法立法公正在刑罰論上的體現。那么，何謂刑罰配置合理？貝卡里亞表示，明智的立法者在確定刑罰階梯之時，應當慎防最高一級的刑罰向最低一級的刑罰越位[30]。正所謂重罪重罰、罰當其罪，根據行為人不法行為的危害程度設立與之相匹配的刑罰，使刑罰之間配置均衡、不錯位，是刑罰立法的基本要求。故刑法立法在對正犯和共犯的刑事責任作出評價之時，通常都會權衡行為人在整個犯罪過程中的支配力大小從而設定適當的刑罰規定。進言之，在共同犯罪理論中，正犯的不法行為直接侵害或威脅法益，而共犯的不法行為通過助力或教唆正犯實施不法行為來間接實現犯罪目的，因此，刑法通常都會對正犯科以比共犯更重的刑罰?；貧w到網絡刑法立法，有論者指出，倘若將幫助信息網絡犯罪活動罪與虛假廣告罪結合起來分析，就會明顯發現兩罪的刑罰配置存在張力，具體表現為網絡刑法立法條款違背了罪責刑相適應原則，造成正犯與共犯兩者之間的刑事處罰失衡。例如，張三明知李四利用網絡廣播對商品或服務作虛假宣傳，仍然為其提供廣告推送且情節嚴重，但不能就此對張三以刑罰較高的幫助信息網絡犯罪活動罪處罰[31]。因為李四作為商品或服務虛假宣傳的正犯，僅觸犯了虛假廣告罪，最高判處兩年有期徒刑；而張三為李四提供技術服務，其所實施的行為按分工可定性為幫助行為，但是同時觸犯了虛假廣告罪與幫助信息網絡犯罪活動罪，倘若對其判處幫助信息網絡犯罪活動罪，就會導致在共同犯罪中幫助犯的刑事處罰比正犯還嚴厲，這明顯與常識、常理和常情相悖。

2.非刑罰處罰措施缺位

自《刑法修正案（九）》增設職業禁止制度以來，該制度就被司法機關所重視，并主要用于防止違背師德的教師再次犯罪的案件中，而適用到網絡領域的案件甚少，目前可供查詢的僅有一例⑥，即周某利用網絡為實施詐騙違法活動發布信息，情節嚴重，侵犯了正常信息網絡環境的管理秩序，構成非法利用信息網絡罪，被判處有期徒刑二年、緩刑三年；同時，法院考慮到其作為電信行業從業者，實施違背職業要求的特定行為，為預防其再次犯罪，禁止其在緩刑考驗期滿后的五年內從事通信網絡服務相關職業⑦。然而此案例值得商榷，因為刑罰執行存在刑罰已經執行完畢和刑罰不再執行這兩種情形，適用職業禁止的前置性條件是犯罪人所受的刑罰已被司法機關執行完畢或已被假釋，但是，對于被判處緩刑的犯罪人來說，緩刑的結束揭示著原判刑罰不再執行，而非原判刑罰執行完畢，故法院對周某適用職業禁止缺乏法理支撐。實際上，考慮到犯罪人的人身危險性（再犯可能性），網絡刑法立法倘若對犯罪人在緩刑考驗期間或緩刑期滿之后從事的與網絡相關的專業性工作加以限制，也是合情合理的。原因有三：一是網絡信息時代計算機信息系統匯聚了各種數據資源，不法分子如果通過網絡實施犯罪行為，其所產生的犯罪后果較之于傳統犯罪危害性更大、受害人數更多。二是被判處緩刑的犯罪人并沒有被執行實刑，其主觀上是否真誠悔過難以考量，貿然允許其在緩刑考驗期間再次從事相應的網絡技術工作，難以保證犯罪人不會重蹈覆轍。三是限制犯罪人的職業并不意味著剝奪犯罪人的就業權，而是衡量犯罪人已實施的網絡犯罪行為的不法程度和再犯可能性的大小，作出相應職業年限的限制。遺憾的是，當前我國職業禁止制度在網絡領域形同虛設，無法實現特殊預防的效果。

四、方法論：網絡犯罪治理現代化立法的路徑依歸

前文已闡釋了網絡刑法立法存在著回應性立法、系統性不足以及罪刑不相稱等問題，因此有必要從方法論的維度尋求解決方案。

（一）適度預防：網絡犯罪立法理念的轉型

面對當前網絡刑法理念滯后的問題，靈活調整刑法立法理念，補足立法短板，是網絡刑法治理的應然路徑。為此，有論者提出，需要擴充網絡刑法規范，將智能機器人犯罪涵攝在內，因為“隨著智能機器人不斷擺脫其‘人造產品’的預設前提后，其刑事責任能力將不斷強化，承擔刑事責任的可能性隨之增長，目前的刑法規范明顯無法作出規制，必須加以修改，明確入罪邊界”[32]。這種觀點實則對網絡立法實踐提出了前瞻性的立法要求。相反，有論者認為我國網絡犯罪的刑事法網呈現出嚴密狀態⑧，“無論是數據犯罪還是人工智能犯罪抑或當前其他與信息技術相關的犯罪形式，整體并未超出網絡犯罪的代際特征，基本都處于現行網絡犯罪的罪名體系的規制范圍之內”[12]，因此，無需再增添新罪名來應對網絡犯罪所帶來的新難題。

筆者認為，網絡刑法立法既不能過度革新，將所有網絡失范行為納入犯罪圈層，又不能過于守舊，對新出現的智能型和數據型網絡犯罪置若罔聞。理想、科學的立法理念應該是適度預防，即立法者理性考慮現階段或將來相對較短的時間范圍內的社會需求，對智能型和數據型網絡犯罪進行科學、合理的類型劃分，并對所劃分的類型圍繞著刑法保護的迫切程度展開論述，同時還要辨清刑法內部的邏輯關系，以此實現適度預防的立法理念。具言之：

一方面，適度預防的立法理念是社會發展進程的真實寫照。法是社會發展到一定階段的產物，是社會存在的反映，故而為法律制定指引方向的立法理念，應該做到與時代發展相一致，過度超前或滯后的立法理念都是不合理的。以智能機器人為例，對其不法行為給予否定性評價的邏輯前提是其具有刑事主體資格，但是學界對此問題尚存爭論，況且當前正處于弱人工智能時代⑨，倘若貿然將智能機器人納入刑法圈，必然使相關刑法規定淪為閑置條款。相反，智能駕駛現已市場化運營，其異于傳統汽車的駕駛范式的顯著特性也給其在刑事規則的確定上帶來困擾，因此刑法保障智能駕駛安全刻不容緩。

另一方面，適度預防的立法理念需辨清刑法內部的邏輯關系。在增設數據型網絡犯罪條款以擺脫立法闕如的窘境之時，需要厘清罪名之間的規范邏輯，避免立法臃腫現象的發生。故而立法者在立法前需弄清楚所增設的數據型網絡不法行為能否被既有刑法條款所評價，倘若能被既有刑法條款所規制，則應慎增刑法條款。例如有論者提出，《刑法》第二百八十五條第一款應該將獲取三類重要領域計算機信息系統中的數據也囊括在內，這樣才契合立法的體系性要求[33]。事實上，如前所言，本罪為行為犯，其入罪門檻低于非法獲取計算機信息數據罪，體現了刑法對國家計算機信息系統安全的堅決保護。此外，“獲取”數據的行為方式需以“侵入”為邏輯前提，即便獲取三類領域的計算機信息系統數據的行為未被納入刑法規制范圍，仍可以對該行為給予不法評價，為此，為了避免立法的臃腫，無須額外新增罪名。

（二）規范罪刑：網絡犯罪立法條款的修改

1.罪質的規范

一是暢通網絡刑法立法的銜接模式。暢通網絡刑法行刑銜接模式的核心是確定前置法所指引的規范性內容的實質范圍，也就是準確理解“違反國家規定”與“不履行法律、行政法規規定的義務”的內涵。筆者認為，對前置法范圍的劃定首先應遵循文義解釋的基本要求。從網絡刑法立法的規范束來看，《刑法》分則雖然并未以明確的規范性條款來釋明前置法的范圍，但這并不可直接斷言前置法的范圍是無跡可尋的。事實上，《刑法》總則對前置法的具體規定破解了《刑法》分則相關規定闕如的窘境。這其實正是《刑法》總則所規定的普通要素與《刑法》分則所規定的特殊要素之間相輔而行，始能全其效用[34]的理論詮釋。所以對網絡刑法立法前置法范圍的剖析應以《刑法》第九十六條為基準，將其界定為法律、行政法規及與其具有相同等級的措施等規范性文件。在破壞計算機信息系統罪中，《公安部批復》將部門規章囊括在“國家規定”的范圍之內，使得前置法的范圍也因此而得到擴張，但因其超越且悖于《刑法》第九十六條的解釋范圍，故不應承認該條款具有法規范效力。另外，與行政法規具有相同等級的措施等規范性文件該如何理解，也是前置法所亟須解決的難題。雖然這些規范性文件沒有被冠以行政法規之名，但依舊可以劃入前置法規范適用的圈層內，原因不外乎其具有與行政法規相同的效力等級，亦即這些規范性文件是由“國務院批準發布或授權批準發布，因而具有法規性規范的效力”[35]。國家強制性標準便是最好的范例，如前所言，“網絡產品、服務應當符合相關國家標準的強制性要求”。根據《標準化法》第二條的規定，強制性標準是國家標準的一種，其必須得以執行。國家強制性標準之所以必須執行，是因為其由國務院頒布，具有與行政法規相似的法規范效力。此外，國家強制性標準涉及某一行業的專業性內容，難以在法律或行政法規中詳細規定，因此，前置法范圍通過法律轉接到國家強制標準的適用范疇內，恰恰是罪刑法定原則的體現。

二是規范網絡刑法立法的罪狀架構。其一，規范網絡刑法立法的法律術語。破壞計算機信息系統罪的不法行為方式存在規范術語表述贅余的問題，即“修改”的不法行為按文義解釋應囊括“刪除”“增加”兩種不法行為。由于對詞語的文義解釋通常需要借助詞典來進行，而這種解釋方式有時會損害刑法體系的協調性[36]，因此刑法術語的規范釋義還需輔之以體系解釋的方法來作實質理解。在該罪的立法結構中，立法者將刪除、修改、增加、干擾等破壞計算機信息系統的不法行為作并列式羅列，就已經暗示這四種網絡不法行為相互獨立，所以此處的“修改”僅指對計算機信息系統的功能進行篡改。無獨有偶，對網絡刑法立法罪狀中罪量的表述也需進行體系解釋?！缎谭ā返诙侔耸鶙l第二、三款只規定了“后果嚴重”這一個罪量單位，但從刑法條款前后的協調性、體系性出發，“后果特別嚴重”的情形更應囊括在刑法的處罰范圍之內，而這種解釋邏輯也得到了司法解釋的肯定答復。當然，為了避免司法實踐產生歧義，妥當的策略是對上述內容予以適度修改，一方面，刪除“修改”計算機信息系統功能的不法行為，以此避免規范術語表述贅余；另一方面，刪除“后果嚴重的”的罪狀表述，直接以“依照前款的規定處罰”來替代，以此避免規范術語表述過于簡潔所帶來的司法歧義。其二，完善網絡刑法立法的罪狀。如前所述，《刑法》第二百八十五條第三款的幫助行為僅涉及提供侵入和非法控制計算機信息系統程序、工具，而沒有涉及獲取計算機信息數據和破壞計算機信息系統。對此有兩種完善方式：一為在《刑法》第二百八十五條第三款中增加“非法獲取”計算機信息系統數據的不法行為，以及在第二百八十六條項下額外增添一款規定將破壞計算機信息系統的幫助行為正犯化；二為在第二百八十六條項下增設“幫助侵害計算機信息系統活動罪”以取代《刑法》第二百八十五條第三款的規定，即將所有幫助侵害計算機信息系統的不法行為（侵入、非法獲取、非法控制以及破壞）全部容納其中。當然，兩種修改方式均可填補刑法罪狀間的疏漏，但相較而言，后者將分散化的幫助行為以簡潔、有邏輯的方式匯總起來，使罪狀的表述更為合理。

三是增加網絡過失犯罪的立法規定。根據《刑法》第十五條第二款的規定，過失犯罪以刑法明文規定為啟動要旨。網絡刑法立法主觀方面以故意的罪過形態為核心，內容規定較為單一，沒有注意到網絡時代下網絡運營者實施過失行為的嚴重社會危害性，為此增設相應的網絡過失犯罪的立法規定實有必要。筆者認為，在網絡立法過程中，可以借鑒《俄羅斯聯邦刑法典》中關于網絡過失犯罪的規定⑩，并結合本土實情將具體網絡刑法規范本土化。其一，增設“過失編制、使用和傳播有害計算機程序罪”。計算機信息軟件在市場化運行的整個過程中都應該達到最低限度的安全性標準，至少不能因為網絡運營者的過失行為而導致計算機信息系統癱瘓?！抖砹_斯聯邦刑法典》第273條規定，軟件使用者“授權許可”網絡技術人員對其信息系統進行毀滅、閉鎖、變異或復制的，便可以阻卻違法要件；但是，對于一個理性的軟件使用者而言，其所使用的計算機信息系統倘若面臨網絡技術人員過失行為的侵襲，其無論事前抑或事后均不會作出相應的授權許可。因此，我國《刑法》在借鑒《俄羅斯聯邦刑法典》第273 條過失犯罪的規定之時，應當刪除“授權許可”的違法阻卻事由。其二，增設“過失違反計算機信息系統的使用規則罪”。審慎遵循特定網絡的使用規則，是專業操作人員應盡的職責?！抖砹_斯聯邦刑法典》第274 條對違反計算機信息系統使用規則的故意和過失行為均給予刑罰處罰，但該罪故意的行為規制已被我國破壞計算機信息系統罪所涵蓋，所以網絡刑法立法僅需將過失行為納入刑法圈層，并將行為主體確定為“有可能進入特定計算機信息系統的人員”。

2.罪量的規范

一是網絡刑法立法刑罰幅度的辯正。面對提供互聯網技術支持等幫助行為的刑罰處罰嚴于其他信息網絡犯罪的正犯處罰時，有論者希冀通過刑法解釋論來糾偏網絡刑法立法中刑罰處罰邏輯紊亂的問題，該論者認為應對《刑法》第二百八十七條之二第三款作限制解釋，將“同時構成其他犯罪”解釋為法定刑高于本條第一款法定刑的犯罪，不包括法定刑低于本條第一款的犯罪[31]。誠然，此種解釋方法確實全方位地考慮了網絡幫助行為及與其相對應的正犯行為之間的差異，但卻與想象競合犯的原理背道而馳。相反，有論者指出，“幫助信息網絡犯罪活動罪的構成要件行為包含提供技術支持、廣告推廣、支付結算等幫助行為。在一定條件下，該罪的正犯行為也可能同時構成其他犯罪的正犯行為”[37]。在前述案例中，張三的行為雖然同時觸犯兩罪，但是其所實施的行為是正犯行為，而非幫助行為，因此理應依據處罰較重的規定（幫助信息網絡犯罪活動罪）定罪處罰。筆者認為，后一觀點對網絡刑法立法刑罰幅度的辯正更為合理，理由是：虛假廣告罪處罰廣告主、廣告經營者和廣告發布者，其中，廣告發布者倘若明知廣告主利用信息網絡推送虛假宣傳信息，仍然為其提供技術服務的，則應該將廣告發布者的行為認定為發布虛假廣告的正犯行為；同時，廣告發布者又因為廣告主提供技術支持，因而也觸犯幫助信息網絡犯罪活動罪，因此其行為同時觸犯兩罪，需擇一重罪處罰；另外，廣告發布者雖然服從廣告主的技術指令，但是其在整個廣告發布流程中起關鍵作用，擁有獨立的意志自由，因此其行為的不法性質比廣告主更為惡劣，更應受到嚴處。

二是完善網絡刑法立法中的非刑罰處罰措施?！缎谭ā吩试S其他法律、行政法規對相關職業作出從業禁止的限制，因而我國相關法律為了保障網絡領域安全，對于網絡犯罪人的從業作出嚴格的限制，如《網絡安全法》第六十三條第三款規定了行為人倘若實施危害網絡安全的行為、提供專門用于危害網絡安全活動的程序或工具，以及明知他人從事危害網絡安全的活動仍然為其提供技術支持、廣告推送等幫助的，并因這些行為受到刑事處罰，則終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。誠然，緩刑也屬于刑事處罰的一種，倘若遵循《網絡安全法》的規定，則應當對網絡犯罪的主體進行職業禁止，但是在刑法語境中單純對宣告有罪、判處緩刑的行為人卻難以適用職業禁止。如前所言，《刑法》對于職業禁止的主體有嚴格的限制，因而對適用緩刑的犯罪人來說作出職業禁止的限制欠缺合法性。顯然，兩部法律之間在此問題上存在張力。筆者認為，彌合兩部法律之間張力的有效方案是將《刑法》第三十七條之一關于職業禁止規定的適用范圍擴展到單純宣告有罪且判處緩刑的犯罪人。當然，為了避免對其他類型的犯罪造成影響，立法者可以在該條款項下對涉及網絡犯罪的內容另作說明，以此在不改變現有《刑法》總則基本構造的基礎上，凸顯出刑法對網絡犯罪的特殊預防功能。

注釋：

①參見《2020年上半年我國互聯網網絡安全監測數據分析報告》。

②參見《計算機信息系統安全保護條例》第四條。

③輕罪包括純正的輕罪和不純正的輕罪，前者指最高法定刑為3 年以下有期徒刑的犯罪，后者指該罪的法定刑中包含3 年以下有期徒刑的量刑幅度。參見陳興良：《輕罪治理的理論思考》，《中國刑事法雜志》2023年第3期。故網絡犯罪立法既有純正的輕罪，又有不純正的輕罪，總體以輕罪立法為主。

④有論者認為，網絡犯罪的類型包括智能型和數據型。參見彭文華：《犯罪治理現代化視野下網絡犯罪的罪刑體系化》，《蘇州大學學報（哲學社會科學版）》2023年第1期。

⑤參見《網絡安全法》第七十六條。

⑥筆者以“從業禁止”“職業禁止”“刑法第三十七條之一”等為關鍵詞在北大法寶中檢索，發現截至2023 年8 月12 日，涉及網絡的刑事案件僅有一例。

⑦參見（2019）新2923刑初7833號一審判決書。

⑧我國刑事法網的基本狀態包括“又嚴又厲”“嚴而不厲”“厲而不嚴”“不嚴不厲”四種類型，網絡犯罪屬于“嚴而不厲”的類型。參見肖鵬：《我國刑事法網的基本現狀及發展趨勢——兼評積極主義刑法觀》，《河北法學》2021年第10期。

⑨此時代的智能機器人不具有自主意識和在意志支配下獨立作出決策并實施的能力。

⑩《俄羅斯聯邦刑法典》第273條和第274條規定了計算機信息系統過失犯罪的內容。參見《俄羅斯聯邦刑法典》，黃道秀譯，中國法制出版社2004年版，第147頁。