网络安全刑事立法的体系性设计

      随着互联网的迅猛发展，网络越来越紧密地联系着人们工作、学习、生活的方方面面，现代社会也越来越成为一个“网络社会”。“网络不仅仅是信息交流和传播的工具和媒介，也不仅仅是基本的生活与工作的平台，它在很大程度上已经摆脱了工具理性的束缚，逐步开始制约、乃至型构人类社会的基本关系网络和组织形态”[1]。人们享受着网络带来的更加高效、方便、快捷的生活，同时也面对着网络带来的种种问题。2016年11月7日，全国人大常委会颁布了《中华人民共和国网络安全法》（以下简称“《网络安全法》”），这是我国第一部系统规定网络安全相关内容的法律，填补了我国网络安全立法的空白，对于网络犯罪的规制具有重要意义。在这方面，网络安全法无疑是刑法的前置法，刑法是其保障法。但我国刑法中涉及网络安全犯罪的仅有寥寥数条规定，它对网络安全的许多方面规定明显缺乏充分的关照，这将使得刑事手段在应对网络安全问题时难以充分发挥保障法的效用。必须提倡附属刑法的实质化，并以此为出发点构建网络安全刑事立法的科学体系。 
　　一、规范的明确性：《网络安全法》对刑法的倒逼效应 
　　《网络安全法》的出台在规范的明确性上会对刑法产生很大倒逼影响。《网络安全法》对一系列基础概念进行了必要的立法上的解释，有利于刑法相关条款的适用。如《网络安全法》第76条第二款规定的网络安全概念、第76条第三款规定的网络运营者概念等。在司法实践中，面对侵害网络安全犯罪行为应当如何准确定性是一个首要问题。诸如此类的基础概念在刑法中并未予以明确限定，借助行政法规定能够减少刑法司法适用中的分歧。《网络安全法》对这些基础性的概念进行了系统、全面、详尽的厘清，刑事司法人员在处理案件时能够有明确的参照依据，这无疑有助于有效打击和防止网络安全犯罪。同时，《网络安全法》中的禁止性规定也有利于刑法适用时对相关犯罪的认定。“由于行政法、经济法的禁止规定与行政犯罪、经济犯罪存在明确的对应关系，了解了行政法、经济法的禁止内容，便知道了相关犯罪的构成要件，因而容易认定犯罪”[2]。 
　　“对网络安全的管理一定是一套系统工程”[3]。对网络的管理涉及社会的方方面面，牵涉到各个部门法的规定。虽然刑法应对的是已達到严重程度的侵害网络安全行为，但是涉及的范围比较广。从预防犯罪的角度看，如何防患于未然，对于严重程度不足以达到犯罪的行为如何处理，这就不是刑法所能够完全应对的了，单独依靠刑法威慑最终只会落入重刑主义的窠臼，因此，必须结合其他法律进行全方位的体系构建才能有效解决问题。以对网络个人信息的保护为例，《网络安全法》第四章以专章形式规定了网络信息安全，涉及网络信息安全制度、有关主体的权利义务、网络信息安全中的禁止行为等诸多方面，系统规范了网络信息安全的保障体系，对相关主体的行为提出要求和指导，其规定的范围涵盖了刑法规定的保护个人信息的范围，这不仅在事前为网络信息保护构建了全面的保护措施，而且一旦涉及刑事审判，这些规定就会为刑事侦查提供侦查导向，为司法审查提供明确标准，从而避免了刑法规范中的空白问题。 
　　二、规范的可衔接性：《网络安全法》对刑法的要求 
　　（一）《网络安全法》和刑法存在规定范围不一致的情况 
　　《网络安全法》所规定的内容更加全面，对于侵害网络行为的规制范围更加广泛，这可以为刑法关于网络犯罪立法的未来发展提供指引，但从现时的角度来看，却产生了不协调乃至矛盾之处。例如，刑法第286条之一规定的拒不履行网络安全义务罪的犯罪主体是网络服务提供者，而《网络安全法》中规定的网络运营者包括网络的所有者、管理者和网络服务提供者，后者的范围明显更大。那么，对于网络的所有者、管理者未履行网络安全管理义务的行为达到犯罪程度的，应否将其涵盖进刑法规定的范围就成了问题。诚然，可以对刑法第286条之一的网络服务提供者作实质上的扩张解释来解决问题，但又会出现新的问题，刑法与《网络安全法》对同样的主体作了不同的解释，这同样是矛盾之处。 
　　（二）《网络安全法》与刑法的衔接存在不少问题 
　　以个人信息安全的保护为例，一方面，立法不够明确，缺乏衔接标准的问题。《网络安全法》和刑法构建了从事前防御到行政处罚再到刑事处罚的一系列保障手段，但具体何时应当运用刑事手段却未有明确规定。《网络安全法》只是概括式地在第74条规定：构成犯罪的，依法追究刑事责任。那么，何时何种情况下才是“构成犯罪”？这种尺度的把握立法者并未明言，这使得司法者在面对具体案件时只能自己掌握分寸，在实践中极易出现“以罚代刑”的问题。另一方面，还存在法条无法衔接的情况。《网络安全法》第74条“构成犯罪的，依法追究刑事责任”的规定仅仅适用于刑法对相关问题有规定的情况，对于刑法没有规定的情况就无法进行衔接，造成网络信息保护体系不够完善。《网络安全法》第64条规定了两款处罚情形，对于第二款，可以明确衔接到刑法第253条之一，对于第一款，其中的非法获取公民信息行为可以对应刑法第253条之一，其他行为却无对应的刑法条文。 
　　（三）刑法必须具有时效性 
　　法律须具有时效性，但刑法如何补充修改以与其他法律衔接却陷入两难。一方面，刑法典不断进行修改，修改速度和幅度已经引发质疑和批评。有学者认为，随着刑法修正案的不断出台，刑法典分则的大部分条文可能都会通过刑法修正案的方式得到修改或替换，“最终出现一个完全不同于97刑法典分则的新的分则条文体系和罪名体系”[4]。另一方面，即使对刑法典不断进行修改，仍然难以满足实际需要。《刑法修正案（九）》刚刚修改一年多，随着《网络安全法》的颁布，刑法典中相关条款又需要进一步进行扩充。而且，网络技术不断更新换代，面临的新问题只会越来越多、越来越复杂，刑法只能不断修改。可见，网络安全刑事立法还有诸多困难亟待克服。

      三、附属刑法的实质化：网络安全刑事立法的外在形式 
　　要解决上述问题，网络安全刑事立法有必要采用实质性的附属刑法立法方式，在《网络安全法》之中直接规定罪状与刑罚。 
　　（一）从法理上看，现代刑法立法应当向分散立法的趋势发展 
　　单一法典化的思想及其理论范式是否适合现代社会还需要进一步分析。单一法典化背后是一种“现代性范式”，它提供了这样一个理论前提：人具有高度的科学理性，人可以借由这种理性发现真理、创设完美世界。这样的理论范式存在不小问题。科学理性的立法思维并不符合现代科学常识。自20世纪60年代开始，后现代主义者对科学进行了全面的反思和批判，指出所谓现代的科学与真理根本并不具有等价性质。相反它带有诸多的片面性，也不是真理唯一的载体和形式，而且在科学之中不可能排除人类的权术和其他一些非理性因素。科学的目标不是追求科学真理，而是追求科学的实用性、解释的有效性，以及理论与实际的适合度[5]。那么，立法科学思维的局限性要求立法评估方式也要变化。根据现代的科学常识，人类的理性认识始终有局限性。既然如此，就不得不承认，人类凭借自己的理性能力永远无法创设出包罗万象、“垂范永久”的法典，盲目致力于编撰法典的理性根据已然不复存在。因而，不能认为单一法典化形式是最佳立法方案，其他立法形式也应当得到重视。现代刑事立法应当向分散立法的方向发展，采取多样化的立法模式。 
　　具体到网络安全刑事立法而言，《网络安全法》也适宜用附属刑法的形式来规制。网络安全犯罪中有大量的行政犯，对于这类经常变动的行政犯，规定在特别刑法中更为合适。在特别刑法中，附属刑法针对某一领域的犯罪，具有通盘考虑，相比刑法典更加灵活，相比单行刑法又更加稳定，也更具体化。所以，长远来看，对于某一法律领域，可以采取使用附属刑法先行，建立全面的法规体系，之后可以随着社会发展逐渐对条文进行修改。网络安全作为现代社会需要规制的重要领域，毫无疑问以附属刑法的方式进行构建成为一个不断发展的体系更加合适。 
　　（二）从法律体系看，兼顾刑法的稳定性与灵活性以应对网络安全问题 
　　刑法典偏重稳定，不适于频繁修改。注重稳定的刑法典与变动频繁的社会现实存在着先天的矛盾。对刑法典进行不断的修改，使其能够适应社会发展的需求，会丧失其稳定性；对刑法典少进行修改，使其更加稳定，却会丧失其有效性。因而，我们可以采取附属刑法的立法形式，直接在《网络安全法》之中具体规定罪状和刑罚，这样可以避免对刑法典进行频繁的修改。对于新型的、复杂的网络安全犯罪，可直接在相关的条文之后进行规定，在修改时也可直接对附属刑法条款进行修改，这样，“在更加突出附属刑法规范的特别刑法的性质之同时，也简便了立法，并有利于及時惩治各种新型犯罪，从而能够适应变化之复杂生活”[6]。 
　　此外，现代社会的新型犯罪以法定犯居多。1997年刑法典出台后不久，修正案、立法解释等不断颁布，其中多数规定都与法定犯有关系。刑法典中补充大量法定犯规定造成两个后果：一是法定犯的相关规定未能收到预期效果，相关规定与非刑事法律存在脱节，很多规定比较简单、笼统，在实践中难以有效应用；二是法定犯规定入刑法典造成其体系上的膨胀。法定犯全部规定在刑法典中造成刑法典需要不断修改补充，体系臃肿庞杂。面对大量法定犯，有学者指出，转变刑法立法模式是必要的，可以将刑事立法模式从单轨制转换为双轨制。亦即自然犯规定在刑法典中，法定犯规定在其他比刑法典多几十倍上百倍甚至上千倍的其他法律中。这样就可以使得刑法典更加稳定，同时也可以应对社会快速发展、法定犯急剧增加带来的问题[7]。网络安全犯罪中以法定犯居多，其灵活多变的特点也适合以附属刑法进行规制。 
　　（三）从司法层面看，有助于解决网络安全刑事立法中存在的问题 
　　1. 有利于弥补相关规定的缺失。如果附属刑法规范规定了明确和相对具体的罪状和责任，在行政机关适用法律时，对于何时何种情况下应当移送司法机关，就可以较为简便、明晰地进行判断。由于规定的是明确的罪状和刑罚，而不是形式上的是否“构成犯罪”，因而在实践中，行政机关对于应当以行政处罚处理的，可以自行处理，对于可能构成犯罪的，可以较为明确地判断其情节，并决定是否移送司法机关。 
　　2. 可以有效减少刑法与非刑事法律之间的矛盾规定。刑法典与非刑事法律中关于同一现象具有不同规定，当前的所谓附属刑法基本上是虚置的，一个重要的原因就在于刑法与非刑事法律在立法时是分开进行的，缺乏沟通和协调。如果附属刑法立法工作能够实质性地进行展开，在非刑事法律中进行有明确罪状和刑事责任的规定，使之统一有序，就可以最大限度地消除刑法典与非刑事法律中对同一现象的矛盾规定。尤其在现代社会分工不断深入和细化的背景下，刑法与其他非刑事法律将联系更加频繁和紧密，“附属刑法就是各部门法与刑法之间的桥梁”[8]。 
　　3. 可以使法律责任合理配置。一般来说，刑法和非刑事法律的立法，二者是分别进行的，这除了造成二者规定存在矛盾之外，还会使得行政违法责任与犯罪责任的配置不尽合理。在提倡实质的附属刑法的情况下，立法者在进行附属刑法立法时，是将非刑事法律条款与刑罚条款结合起来进行考量的，对于违反同一禁止规定的行为，在仅仅违法时如何处理，在达到犯罪时如何处理，都有各自的参照标准，民事责任、行政责任、刑事责任之间能够构成一个有顺序、有层次、更科学的体系。比如，《网络安全法》与刑法相关条款构建的保护个人信息的体系，若以附属刑法进行规定，可以更加清晰明确地界定各类责任的界限，从而更有效地发挥作用。 
　　四、附属刑法规范的合理性：网络安全刑事立法体系的搭配 
　　网络安全刑事立法应当采用实质的附属刑法形式，但在具体应用中还要注意诸多问题。 
　　（一）网络安全附属刑法的设置需要有一定前提 
　　以附属刑法形式规制网络安全犯罪，并不意味着不考虑任何情况一概采取附属刑法的立法方式，而是必须满足一定条件才能够采用附属刑法。

       1. 必须符合刑法谦抑性的要求。对于出现的侵害网络安全的犯罪，如果要将其作为附属刑法加以规定，必须要以已经违反非刑事法律规定为前提。如果对于某类问题，通过行政处罚就可以解决，甚至或者通过创新管理方式就可以解决的，就不必动用刑罚手段。我国历来存在重刑思想，倾向于利用刑法手段解决社会问题，“结果，刑法规制的范围不是根据专门行政法律的需要，而是基于个别热点社会事件被确定的，它无助于从根本上解决问题，且承载了过多的期望，最终不过被树立为威慑性的法律，而不是具有真正预防和惩治功能的法律”[9]。应用附属刑法，必须警惕重刑思想，不能因为附属刑法附带于非刑事法律之中，就误以为可以直接越过非刑事法律设置刑罚。网络安全问题是安全领域的新课题，如何对网络进行有效管理还有待加强探索，相关立法也需要不断积累经验，在这种情况下，更要慎重进行刑事立法。 
　　2. 必须注意犯罪性质和犯罪类型。对于新型犯罪，并不是只要涉及网络安全的就将其以附属刑法形式进行规定。有学者提出网络犯罪可分为三个阶段，“从网络在网络犯罪中的地位看，网络犯罪的发展轨迹可以分为三个阶段：第一阶段，网络是作为“犯罪对象”出现的；第二阶段，网络是作为“犯罪工具”出现的；第三阶段，网络是作为“犯罪空间”出现的”[10]。这一观点可以给我们一定启发。在面对新型网络犯罪时，必须考虑分析网络在其中的作用。如果仅仅是将网络作为犯罪工具或者犯罪形式，不影响犯罪性质、犯罪类型的，就仍然可以为现有的条文所涵盖。刑法第287条规定：利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或其他犯罪的，依照本法有关规定定罪处罚。对于犯罪性质和类型比较新，比如《网络安全法》之中规定的现有条文涵盖的行为，就可以考虑以附属刑法形式补充规定。 
　　（二） 网络安全附属刑法的具体形式 
　　网络安全附属刑法应当多采用直接规定罪状和法定刑的形式，少采用形式性的概括、宣示类规定形式。“构成犯罪的，依法追究刑事责任”作为表现方式，看似简明扼要，实际上会引发不少问题。因为这种立法方式仅具有一种抽象上的提示作用，其宣示作用远大于实际作用。对于犯罪行为来说，如果刑法中已经有了相关规定，那么完全可以依照刑法规定以及相关有效解释进行处理，在非刑事法律中进行抽象提示，只不过是徒有其表。刑法典如果没有与之相对应的条款，实质上就成为了一纸空文，根本无法进行适用。相反，如果结合具体情况直接在相关条款之后规定明确的罪状和法定刑，就可以使得这些条文直接有效发挥作用，也能有效协调不同的处罚手段，消除矛盾与不协调之处。比如，前文提到的《网络安全法》第64条规定的多种行为具有不同的社会危害性，针对其不同的程度在相关条文之后规定相应罪状之下不同的刑罚，可以使其更加协调，也使不同情况得到更具针对性的处理。此外，根据我国立法法第7条规定，《网络安全法》的制定主体和刑法的修改主体都是全国人大常委会。基于相同的立法主体，如果采用直接规定罪状和法定刑形式的附属刑法，立法者在制定或修改《网络安全法》时就可以同时对相关的附属刑法条款一并进行制定、审查、修改，既能够从根本上避免不协调和矛盾，也节省了立法资源和立法成本。 
　　（三） 网络安全附属刑法应当以刑法典作为指导 
　　提倡网络安全附属刑法不能否定刑法典的作用，刑法典仍然具有法律文化价值、比较法价值、社会价值、现代法治价值、规范价值等多方面的重要价值[11]。即便采用多元立法模式，刑法典仍然是刑法的核心，具有无可替代的地位和作用。因此，网络安全刑法也不能脱离刑法典的指导。 
　　具体来说，其一，在制定网络安全附属刑法时，应当避免与刑法典条文相冲突。刑法典的条文一般都是经过慎重的立法考量才进行规定的，相比之下，网络安全附属刑法主要是为了应对现实问题，一般没有充足的立法经验，因而，在制定相关规定时应当避免与刑法典有冲突。其二，网络安全附属刑法应当避免对刑法典的条文进行修改。在网络安全附属刑法与刑法规定可能发生冲突时，不能用附属刑法直接修改刑法典。如果任由附属刑法对刑法典进行修改，既不符合设置附属刑法的初衷，更会造成刑法典不断被修改，最终使得刑法体系混乱，影响刑法体系稳定。对于刑法典之中不合适的规定，仍然应当通过修正案形式进行修改，保证刑法典的权威性和稳定性。其三，在适用网络安全附属刑法时，应当结合刑法典的相关规定。刑法典总则是总的普遍性规定，适用于整个刑法领域，网络安全附属刑法在具体适用时应当遵循刑法典总则的规定。同时，网络附属刑法规定的是一时的问题，是具体方面的问题，对于刑法典分则涉及相关问题的规定，也应该进行参照和考虑，从而更好地进行适用。 
　　[参考文献] 
　　[1]于志刚，郭旨龙.网络刑法的逻辑与经验[M].北京： 
　　中国法制出版社，2015：1. 
　　[2]张明楷.刑事立法的发展方向[J].中国法学，2006（4）. 
　　[3]龙卫球，林恒民.我国网络安全立法的基本思路和制度建构[J].南昌大學学报（人文社会科学版），2016（2）. 
　　[4]于志刚.刑法修正何时休[J].法学，2011（4）. 
　　[5]张之沧.对科学研究中的经验主义批判[J].求是学刊，2002（4）. 
　　[6]曾月英，吴昊.附属刑法规范的理念定位与表述路径——以反垄断法为视角[J].中国刑事法杂志，2008（5）. 
　　[7]李运平，储槐植.要正视法定犯时代的到来[N].检察日报，2007-06-01（03）. 
　　[8]吴情树，陈开欢.附属刑法规范的理性分析与现实选择[J].福建警察学院学报，2008（5）. 
　　[9]朱孝清，莫洪宪，黄京平.社会管理创新与刑法变革——2011年中国刑法学年会论文集[C].北京：中国人民公安大学出版社，2011：344. 
　　[10]于志刚.网络安全的发展轨迹与刑法分则的转型路径[J].法商研究，2014（4）. 
　　[11]赵秉志.当代中国刑法法典化研究[J].法学研究，2014（6）. 
　　责任编辑：张淑瑛