吴沈括:解读“互联网+”环境下的刑事风险防控与刑法修正案(九)
一、前言
2015 年8 月29 日, 第 十 二届全国人民代表大会常务委员会第十六次会议通过了中华人民共和国刑法修正案 (九) (以下简称修正案) 。本次刑法修正以时代性、系统性和开放性为其突出特征,这同样反映在有关计算机犯罪与网络犯罪的各项罪刑规范之中:
第一,就时代性而言,修正案引入的各项改革规范是对当下大数据、云计算、移动互联网以及物联网等新一代信息技术迅猛发展态势的最新回应,诸多犯罪构成要件的建构以及语词遣用都带着一抹浓重的技术色彩。第二,在系统性层面,修正案的主要规范革新涉及面宽广,在相当程度上呼应了日趋成型的、以网络安全、互联网信息服务、电信、电子商务以及个人信息等为基础支柱的互联网法治顶层设计的制度脉络。 第三,从开放性来看,相较先前历次刑法改革的力度,修正案各项新条文在该领域的规范设计呈现出更大的延展性,不但提升了非刑事法规范要素的权重,而且为借鉴和导入国际最佳实践(bestpractice)铺就了制度空间。
具体而言,我们认为本次修正案中对互联网企业具有显著意义的规定至少包括以下条文:有关职业禁止的规定(第1 条),侵害个人信息犯罪(第17 条),侵入、破坏计算机信息系统犯罪的单位刑事责任(第26、27 条),违反信息网络安全管理义务犯罪(第28条),违法犯罪网站和通信群组(第29 条), 网 络 帮 助 犯 罪( 第29条),涉“伪基站”犯罪(第30条),网络虚假信息犯罪(第32条)等。应当指出的是,经过本次修正案的补充,我国以计算机犯罪与网络犯罪规范为主干的信息刑法(information criminal law)的制度内容得到了极大的扩充,在比较法层面而言该领域罪刑规范的数量已然呈现相较大多数欧洲国家更为丰富的态势,并且犯罪构成设计臻于成熟,体系化特征日趋明显。在此图景下,更新升级刑事风险防控策略对互联网企业乃至整个新一代信息技术产业的健康有序发展都有着不言而喻的重大意义,申言之:一方面,各类主体需要切实掌握并合理运用各项刑法条文所提供的新的规范性工具,进而有力打击侵害互联网企业乃至互联网产业利益的犯罪行为,可谓刑事风险防控的积极维度;另一方面,互联网企业应当深刻认识并及时贯彻各项刑法条文引入的新的禁止性规范,从而有效避免企业自身成为刑事处罚所指向的对象,是谓刑事风险防控的消极维度。
二、刑事风险防控的积极维度
从防范、打击侵害互联网企业乃至互联网产业利益的犯罪行为角度而言,应当认为修正案的规定对于互联网企业具有风险提示的显著意义,而且为企业刑事风险防控策略的设计提供了有效参照。具体而言,第一,修正案事实上揭示了现阶段新出现的可能危及互联网企业乃至互联网产业利益的主要刑事不法类型:
1. 危害互联网产业发展技术基础的犯罪。其突出示例是修正案第30 条也即“违反国家规定,擅自设置、使用无线电台(站),或者擅自使用无线电频率,干扰无线电通信秩序,情节严重的”行为。
确实,无线电通信为无线联网和移动计算提供支持,在“互联网+”时代背景下,移动互联网、物联网等新一代信息技术的进一步发展在很大程度上端赖无线电技术的普及应用与不断创新。对无线电通信秩序的干扰将危及无线数据网、各种移动通信的正常运行,进而破坏互联网产业发展的技术架构。
2. 危害互联网产业信息内容供给的犯罪。一方面,修正案第29条新增刑法第287 条之一,凸显三种严重损害互联网信息合法性的高发情形:a. 设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组;b. 发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息;c. 为实施诈骗等违法犯罪活动发布信息。另一方面,修正案第32 条新增刑法第291 条之一第2 款,其明确指向“编造虚假的险情、疫情、灾情、警情,在信息网络或者其他媒体上传播,或者明知是上述虚假信息,故意在信息网络或者其他媒体上传播,严重扰乱社会秩序的”行为。
第二,考虑到上述各项规范的明文规定以及与其它罪刑规范的逻辑联系,可以认为修正案不仅为互联网企业提供了新的刑事保护工具,而且在实质上提示了现阶段建构刑事风险防控策略时需要予以特别重视的新要求,也即配备专业技术-法务力量1)实时检测、保障信息基础设施技术架构的良性运作,并且2)优先处理各类涉及在线违法犯罪信息的外部投诉、内部报告与监管指令,进而面对异常情形能即时付诸联动响应并启动包括刑事手段在内的各类技术- 法律救济措施。
三、刑事风险防控的消极维度
从互联网企业自身切实遵循刑法条文引入的新的禁止性规范进而确保免受刑事处罚的角度而言,应当指出的是,修正案在一般意义上提高了企业所面对的刑事责任强度,而且突出强化了互联网企业的规范注意义务与特定作为义务。申言之,第一,关于刑事责任强度的提高,尤为引人注目的是,一方面,修正案首次在刑法总则层面引入了职业禁止机制,其第1 条明确规定:“因利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪被判处刑罚的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业”。
显然,如果互联网企业工作人员利用其从业便利实施犯罪,或者实施违背业务要求的特定义务的犯罪时,除了刑罚以外,还可能面对为期三年至五年的职业禁止处罚。当然,肯定职业禁止机制在互联网产业这一高技术含量部门领域所具有的显著的特殊预防意义的同时,如何实现与互联网从业人员依宪享有的劳动就业权之间的平衡是需要各方进一步思考与博弈的问题。此外,职业禁止机制是否会在司法实务中被运用到单位犯罪的场合,对于互联网企业而言具有相当的影响,是需要持续予以高度关注的重要方面。另一方面,修正案加大了单位刑事责任在计算机犯罪与网络犯罪领域的权重,不难发现,除了涉“伪基站”犯罪(第30 条)与网络虚假信息犯罪(第32 条)的规定,新增的各项罪刑规范均配置了单位犯罪刑事责任条款,包括侵害个人信息犯罪(第17 条)、违反信息网络安全管理义务犯罪(第28 条)以及网络帮助犯罪(第29 条)等。尤其应当关注的规范突破是修正案第26、27 条,它们事实上将单位犯罪制度的适用范围扩张及于几乎所有的经典计算机犯罪,这意味着包括互联网企业在内的各类组织体都可能成为非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪以及破坏计算机信息系统罪的犯罪主体。
由此,在刑事风险防控层面,如何优化企业内部操作规程进而避免陷于单位犯罪是互联网企业已然面对的一项紧迫任务, 关于这一点,切实可行的策略选择是借鉴欧洲规范经验,建立个人行为与单位责任的合理熔断机制(限于篇幅,对于这一点作另文阐述)。第二,关于修正案突出强调的规范注意义务与特定作为义务,需要指出的是,一方面,修正案以明示或默示的方式要求互联网企业扩大其规范注意范围,其中:
1. 根据修正案第17 条的改革,出售或者提供公民个人信息环节成立犯罪的前提条件之一是违反“国家有关规定”。应当承认,相较先前刑法第253 条之一的要求(即违反“国家规定”,其具体范围实质上已由刑法第96条予以明文限定) ,互联网企业应当承担的规范注意义务有了相当的扩张,但其具体范围却呈现一定的不确定性,有待进一步的澄清;
2. 修正案第29 条新增第287条之二,在惩处“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的”行为的同时,实质上喻示着互联网企业在网络接入、服务器托管、网络存储、通信传输、广告推广以及支付结算等诸多领域的规范注意义务将产生刑事意义,被纳入刑法的评价范围。另一方面,备受业内广泛关注的是修正案第28 条,它第一次运用刑罚手段强调履行信息网络安全管理这一特定作为义务的重要意义,指出网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使违法信息大量传播,或者致使用户信息泄露,造成严重后果的,或者致使刑事案件证据灭失,情节严重的,或者出现其他严重情节的,应当承担刑事责任。
然而,如果全面审视修正案第28 条引入的刑法第286 条之一所运用的立法技巧,有必要指出的是,其规范设计的切入点是信息网络安全管理义务,但最终着力点却是监管部门的管理权威, 因为相对于 “不履行”安全管理义务,刑事处罚更为直接的触发点在于面对监管指令而“拒不改正”,由此产生的反思有二:其一,面对互联网等高新技术部门,在监管机关自身能力建设仍亟待提速充实的今天,通过刑罚手段维护监管权威是否已经时机成熟;其二,即使认可刑法介入的正当性,该领域能够责令互联网企业采取特定措施并且受到刑法强力保障其权威的“监管部门”的范围与级别,也是有待明确厘定的重要方面。
四、结语
毋庸置疑,修正案(九)作为现阶段提升互联网治理水平的最新尝试,对于“互联网+”以及新一代信息技术产业的进一步发展将产生显著的导向性影响;对其各项罪刑规范的系统解读是互联网企业构筑刑事风险有效防控策略当然的逻辑起点,在此过程中,既要立足中国语境下的信息化图景,重视顺应互联网产业自身的业务逻辑,同时也应放眼国际先进经验,考察借鉴域外产业实践的路径选择,从而助益于增进规范-策略的契合程度。