【摘要】 2001年《关于网络犯罪的公约》是国际社会第一个控制网络犯罪的国际公约,该公约开创了国际刑法控制网络犯罪的先河。本文在介绍网络公约相关背景的基础上,重点探讨了该公约所规定的打击网络犯罪的原则和措施以及公约所确立的规则和标准对国际法和国内法的影响。 |
|||
一、制定《关于网络犯罪的公约》的背景 20世纪90年代,随着计算机与通信技术的飞速发展,网络从狭窄的部门应用扩大到公众领域,成为个人和社会生活的一部分。不仅如此,网络的普及和发展还为社会的进步提供了强劲的动力,由此进入了一个崭新的知识经济时代。政府上网、电子商务、远程教育、虚拟社区这些新生事物不断发展,网络全球化、信息全球化已成为这个时代的主题。然而,科技总是一个两面性的事物,随着人类社会对计算机的依赖程度的加大,网络在为人们提供便利、带来效益的同时,也使人类面临着控制网络犯罪的新问题。以破坏信息安全方面的网络犯罪为例,据有关资料,近年来全球网络安全问题以每年30%的速度增加,平均20秒钟就会发生一起黑客事件,目前全世界约有80%的网站都不同程度地存在着安全隐患。[3]在全球范围内,除原有的计算机犯罪频频发生外,其他新型的网络犯罪如网络赌博、网络洗钱也在蔓延。网络犯罪与其他犯罪交织在一起,对各国的主权、安全和社会稳定构成了严重威胁。 面对这一威胁,世界各主要国家自20世纪末相继制定了专门立法,[4]以便在传统立法的基础之上,对网络色情、网络欺诈、网上传播计算机病毒、网络盗窃等与计算机有关的网络犯罪进行控制。由于网络的特点,网络犯罪与传统犯罪的重要区别在于其可迅即之间同时发生在多个国家甚至全球。因此有人认为网络犯罪是一种“无国界”的犯罪。由于国家的管辖权是有限的,各国在与网络犯罪这种非传统犯罪作斗争的过程中,不可避免地遇到如何规定管辖权以及协调管辖权冲突而引起的难题。单靠一国的努力,或各国各自为政,不可能有效解决上述问题。如何协调各国的刑事法(包括实体法和程序法),并在实时数据收集、通信数据的快速保存和披露、电子证据保全、相关信息的交流等具体侦查措施方面建立起一套有效的合作机制,是解决这一难题的关键。这就意味着各国应在打击网络犯罪方面取得共识,进而达成一项国际协议以应付挑战。 国际组织在这项尝试的进程中发挥了积极作用。如联合国相关机构长期以来对与计算机相关的犯罪进行研究,以期制定共同标准,协调各国打击网络犯罪的行动。[5]然而,在联合国这样的全球性国际组织里一个旨在控制网络犯罪的国际公约尚未形成或出现。因为不同地区、不同类型的国家在对待网络犯罪的立法和司法方面差异极大,从而导致协调的困难。而这种情况在一些区域性国际组织里则比较容易处理,于是由区域性国际组织起草公约就显得更为有利。 在这种情势下,欧洲委员会开始着手准备起草网络犯罪公约。早在1989年,欧洲委员会部长委员会就通过了一项建议,[6]提请各成员国考虑在其国内法中增加相应条款或者另立新法以控制与计算机有关的犯罪。1995年,部长委员会通过了又一项建议,[7]提出了缔结一个预防和惩治网络犯罪公约的构想。其后,欧洲委员会欧洲犯罪问题委员会(European Committee on Crime Problems,简称CDPC)任命H. W.K Kaspersen教授研究起草公约的具体事项,并于1997年2月下设网络空间犯罪专家委员会(Committee of Experts on Crime in Cyber—Space,简称PCCY),由Kaspersen教授任主席。Kaspersen教授在其报告中指出,应缔结一项涵括刑事实体法、程序法和国际协作的公约,以应付网络犯罪。1997年4月至2000年12月间,网络空间犯罪专家委员会举行了10次全体会议,其草案专家组举行了15次会议。作为所有努力的结果,公约草案及其说明备忘录于2000年4月被发布到互联网上。这在国际法律文件的起草过程中是极不寻常的,为的是让有关专家、网络使用者及从业者提出意见,以便对公约作进一步修正。在以后的数月里,草案经过了多次修改,直至第27稿。其间,欧洲委员会咨询会议对此案文进行了广泛的讨论,美国、加拿大等国也参与了起草和修改。最终,部长委员会在2001年11月8日正式通过了公约案文,[8]并决定于同月23日在布达佩斯召开成员国大会,将公约提供给成员国及观察员国(加拿大、日本、南非、美国)签署。 二、《关于网络犯罪的公约》制定过程中的争论焦点 在公约制定初期,所有的工作都是在欧洲委员会犯罪问题委员会内部进行的。这种封闭式的作法遭到了相关网络利益者(主要是网络自由与权利组织及网络商业机构)的批评。它们认为,制定这样一部将给虚拟空间带来普遍而重大影响的法律,而得不到相关利益者的参与,是极不妥当的,会造成可怕的后果。稍后,公约草案解密,这些组织和机构纷纷发表各自对草案的看法并提出建议,有些言辞还相当激烈。这些争论主要集中在隐私权、数据保护和服务提供商的责任与负担等三个问题上。 (一)隐私权 网络自由和权利组织[9]认为,隐私权作为当代社会最重要的公民权利之一,无论在现实世界还是在虚拟世界中,都应得到充分的保护。而且,在虚拟世界中,存储在计算机里的个人信息、显示个人活动的业务数据更容易受到侵犯和监控。这种情况在个人面对拥有强大技术能力的国家机构时尤其明显。因此,公约在赋予国家执法机关相当权力以有效打击网络犯罪的同时,应规定对应措施防止有权机关滥用被赋予的权力,阻止在自由国家出现“专制者”( Big Brother),从而实现对个人通信和个人数据的充分保护。[10] 这些NGO对公约草案中的一些规定表示不满,其主要理由有三:1.草案没有一个对隐私权和相关权利实行保护的原则性规定,这将造成隐私权国际保护标准的缺乏,进而给缔约国执法机关滥用被赋予的权力留下机会。2.草案中的国内执法程序和措施过于强硬,有可能对隐私权造成严重威胁。如实时收集计算机业务数据和截获内容数据,由于其具有较大的强制性,与欧洲人权公约的相关规定存在出人,目前仅在英国等少数国家适用,而草案将其列入并要求其他国家对之进行立法,这是很不明智的。3.草案规定的网络犯罪的范围过广,包括与计算机、计算机系统或计算机数据有关的一切犯罪,而且其规定极不具体,将许多事项交由缔约国国内法规定,这有可能将保护隐私权的个人行为确定为犯罪。[11] 面对这样一些反对意见,欧洲委员会犯罪问题委员会予以了及时的考虑,并在最后案文中作了以下改进:补充对隐私权及相关公民权利保护的原则性规定,在程序法一章中形成权利保护的“共同条款”,要求缔约国所有国内执法程序和措施必须与之相符;细化相关规定,要求缔约国在进行国内执法和国际合作时,应将强制行动限制在侦查与特定犯罪有关的通信范围内,禁止拉网式搜索;规定缔约国进行国内立法时,应严格遵守相关人权条约(如欧洲人权条约、联合国公民与政治权利盟约)的规定。 但是,这样的改进与有关NGO的要求仍有差距。它们表示,其将继续在国内层面进行游说,影响公约的实际执行效果。 (二)数据保护 数据保护在公约的制定过程中主要牵涉到两个问题,一是对用户信息(Subscriber Information)的保护,二是对加密数据即密码的保护。对于前者,有关NGO认为,不应允许执法机关得到用户信息,否则将危及用户的隐私及用户数据的商业价值;对于后者,许多NGO主张应对密码实行严格保护,不应准许执法机关向密码所有人索要密码。但这两个要求最终都没有得到完全的满足。因为要实现对网络犯罪的顺利侦查(如确定嫌疑人的身份),披露用户信息或进行解码有时是绝对需要的。因此,公约最后案文规定,执法机关可在一定条件下获得用户数据和密码。[12] (三)服务提供商(ISP)的责任和负担 服务提供商的责任主要是指服务提供商是否应对其所提供的服务中含有非法信息负法律责任。犯罪问题委员会在对此问题进行考虑后决定,鉴于目前的路由器技术还不能确保在信息海洋里有效地鉴别和筛选非法信息,服务提供商不应因此承担法律责任。 关于服务提供商的负担问题则争议较大。网络商业机构认为,草案施加在服务提供商身上的负担过重,使之既要对在其控制下的相关已存储计算机数据进行快速保存,又要协助主管当局实行实时收集业务数据或截获内容数据,还要在必要时提供有关的数据。这必将干扰服务提供商正常的商业运作,改变其经营模式,从而导致成本的提高,对网络业的发展造成不良影响。有鉴于此,公约在定稿时规定,服务提供商应在现有能力范围以内承担义务,以避免改造服务设施而增加成本。 三、《关于网络犯罪的公约》的主要内容 布达佩斯会议通过的《网络犯罪公约》除序言之外,正文由4章组成,共计48条。 在序言中,公约对网络犯罪的范围进行了界定,指出本公约涉及的网络犯罪是指“危害计算机系统、网络和计算机数据的机密性、完整性和可用性,以及对这些系统、网络和数据进行滥用的行为”[13]这个界定较为广泛。前半句实际上是指纯正的网络犯罪,即利用信息科学技术并且以“计算机系统、网络、计算机数据”为特定侵害对象的犯罪,其全面覆盖了现实的与虚拟的,单个的和联网的范畴,而将“计算机数据”作为一个单独的概念提出,使规定更加周延;后半句实际上指不纯正的网络犯罪,即利用信息科学技术实施传统犯罪的行为,用“滥用”一词概括了对具体的危害行为和侵犯客体不能穷尽的列举,其强调的是以“计算机系统、网络、计算机数据”为工具这层含义。[14]公约对网络犯罪范围的界定较好地反应了各国与计算机相关犯罪的立法现状,兼顾了仅仅规定纯正的计算机犯罪的国家与既规定纯正的计算机犯罪又规定不纯正的计算机犯罪的国家的不同需要。 公约在第一章“术语的使用”中定义了网络犯罪所涉及的主要术语,包括计算机系统、计算机数据、服务提供商、业务数据。其规定:“计算机系统是指任何设备或一组相互联接或相关的设备,其中一台或数台按照一定的程序对数据进行自动处理;计算机数据是指以适合于在计算机系统内处理的形式而存在的任何事实、信息或概念的表示,包括能引起计算机系统执行某种功能的程序;服务提供商是指任何为用户提供服务,使其能通过计算机系统进行通信的公私实体,以及代表这种通信服务及其用户处理或存储计算机数据的其它实体;业务数据(traffic data)是指任何由组成通讯链的一部分的计算机系统产生,与通过某一计算机系统进行的通信有关的,表明其来源、目的地、路径、时间、日期、大小、持续时间或潜在服务类型的计算机数据。”[15]通过这些定义,公约为各缔约国的相关立法提供了一个统一的参照标准。 公约第二章“在国内层面采取的措施”与第三章“国际合作”的规定构成公约的核心内容。根据公约规定,在国内层面采取的措施包括“刑事实体法”、“刑事程序法”和“管辖权”。公约所规定的国际合作分为“总则”和“分则”。 (一)刑事实体法 公约第二章第一节“刑事实体法”,意在建立一套网络犯罪的最低共同标准,以融合各缔约国有关网络犯罪各罪的规定。公约明确规定了构成“网络犯罪”的类罪和行为,并要求各缔约方采取必要的立法和其它措施,将这些行为确定为国内法上的犯罪。 第一类罪[16]为“侵犯计算机数据或系统的机密性、完整性及可用性的犯罪”,该类犯罪构成了公约规定的网络犯罪的核心。其包括了越权登陆、非法干扰等对计算机系统、网络或计算机数据的安全造成基本威胁的行为。具体罪名有: (1)“非法访问”:故意地、未经授权地访问一个计算机系统的整体或其任一部分的行为。缔约国可以要求这种犯罪是通过破坏安全措施而实施的,且出于获取计算机数据或其它不法目的或与联网的计算机系统相关。 (2)“非法截获”:故意地、未经授权地通过技术手段,截获在一个进出计算机系统、或在该系统内部传输的非公开的计算机数据,包括截获从一个计算机系统发出的、携带有这种计算机数据的电磁辐射的行为。缔约国可以要求这种犯罪是出于不法目的或与联网的计算机系统相关。 (3)“数据干扰”:故意地、未经授权地损坏、删除、瓦解、修改或压制计算机数据的行为。缔约国可以保留要求此种犯罪须造成严重后果的权利。 (4)“系统干扰”:故意地、未经授权地通过输入、传输、损坏、删除、瓦解、修改或压制计算机数据,从而严重妨碍一个计算机系统的功能的行为。 (5)“设备的滥用”: a.故意地、未经授权地制造、销售、为使用而取得、进口、分发或通过其它方式使人获得: 1.主要为实施上述任何一种犯罪而设计的,或适于上述任何一种犯罪目的的任何设备,包括计算机程序; 2.任何置于实施上述任何一种犯罪,用来访问计算机系统的整体或一部分的计算机口令、访问密码或类似数据; b.出于实施上述任何一种犯罪的意图,而拥有上述1或2项所规定的任何物品,缔约国可以要求达到一定的数量才负刑事责任。 该犯罪不包括对计算机系统进行得到授权而采取的类似行为,如授权测试或保护计算机系统。 第二类罪[17]是“与计算机有关的犯罪”,具体包括: (1)“与计算机有关的伪造罪”:故意地、未经授权地输入、修改、删除或压制计算机数据,意图使所产生的虚假数据被视作真实的或被用于合法用途的行为,而不论这些数据是否能被直接读出和理解。缔约方可以要求此项行为必须具有欺骗或类似的不法目的才负刑事责任。 (2)“与计算机有关的诈骗罪”:故意地、未经授权地输入、修改、删除或压制计算机数据,或干扰计算机系统的功能,且怀有欺骗或不法目的,意在为自己或他人获取经济利益,从而对他人造成财产损失的行为。 第三类罪[18]为“与内容有关的犯罪”。这里的“内容”是指网络信息的内容。该类型的犯罪只有一个个罪,即“与儿童色情有关的犯罪”,其包括下列行为:a、制造儿童色情资料,意在通过计算机系统分发;b、通过计算机系统提供或使他人能获得儿童色情资料;c、通过计算机系统分发或传输儿童色情资料;d,为本人或他人通过计算机系统获取儿童色情资料;e,在计算机系统或计算机数据存储介质上保有儿童色情资料。 公约中的“儿童色情资料”应包括从视觉上展示下列情形的资料:a、未成年人性交;b、貌似未成年人的人性交;c、以逼真的肖像显示未成年人性交。这里的“未成年人”是指所有不满18周岁的人。公约虽然容许缔约国在未成年人的年龄上可以降低标准,但要求国内法规定的未成年人的年龄不得低于16周岁。另外,在犯罪行为的范围上,公约允许缔约国全部或部分地保留此种犯罪行为方面的d和e项,以及未成年人范围规定方面的b和。项,将其不列为国内法上的犯罪。 第四类罪[19]是“与侵犯版权和邻接权有关的犯罪”,指符合缔约国所参加的有关知识产权条约的规定,在达到商业规模的情形下,通过计算机系统实施的故意侵犯版权或邻接权的行为。侵犯版权构成本公约规定的犯罪,所依据的条约有1971年保护文学和艺术作品伯尔尼公约、TRIPS协议和WIPO版权条约;构成侵犯领接权的犯罪所依据的条约有保护表演者、唱片制作者和广播组织罗马公约、TRIPS协议和WIPO表演和唱片条约。[20]需要注意的是,公约规定缔约国在国内立法的时候不必考虑上述条约中涉及的精神权利,而且也容许缔约国在有限的范围内(如平行出口)对刑事责任的确定予以保留,只要该保留不违背其所承担的其他条约义务。 在上述基础上,公约进一步规定了“辅助责任和制裁”,明确了上述9种犯罪的共同犯罪形态、未完成犯罪形态与法人犯罪所涉及到的刑事责任和制裁。 关于共同犯罪形态,公约规定了两种,即帮助犯和教唆犯。公约要求缔约国将故意帮助或教唆他人犯上述9种犯罪的行为定为犯罪。 公约规定的未完成犯罪形态只有一种,即预备犯,其仅存在于非法截获、数据干扰、系统干扰,与计算机有关的伪造、诈骗犯罪,以及与计算机有关的儿童色情犯罪中的制造、分发和传输行为之中,但缔约国可以予以全部或部分地保留。 关于法人责任,公约要求缔约国应确保法人也能对由任何在该法人中具有领导地位的自然人,以个人或作为该法人一部分的某个机构的名义,为该法人的利益实施本公约规定为犯罪的行为而承担责任,而不论这种犯罪行为是基于其法人代表权,还是基于其对法人的决策权或内部管理权。不仅如此,缔约国还应规定,法人应对由于其缺乏对前述具有领导地位的自然人的监督或控制,从而使其他自然人得以在该法人的授权下,为法人的利益,犯本公约规定之罪而负责。根据该缔约国的法律原则,法人的责任可以是刑事、民事或行政责任,且法人承担责任并不排除相关自然人的刑事责任。 关于制裁,公约要求缔约国应采取立法和其它必要措施,对以上犯罪给予有效的、与其罪行相适应的、能遏止犯罪的制裁。对自然人可施以自由刑,对法人可施以经济刑。 |