來源：刑事參考、中國檢察官

編者按

6月15日，第一屆法大數字刑事法論壇“智能化與數字化社會發展進程中的刑法治理”順利舉辦。本篇通過刊發喻海松、余雙彪兩位“兩高”研究室副主任的發言摘編，深入解讀網絡犯罪司法實務的最新動向，聯袂探討如何應對這一全球性的難題。

網絡犯罪的“治罪”與“治理”

最高人民法院研究室副主任 喻海松

非常榮幸有機會參加第一屆法大數字刑事法論壇。感謝志遠院長的主持，我的這個發言屬于懷勝教授給的命題作文，讓談談網絡犯罪司法實務的最新動向。思來想去，我把發言的主題界定為從“治罪”到“治理”。

今年是中國正式接入國際互聯網三十周年。1994年4月20日，北京中關村地區教育與科研示范網接入國際互聯網的64K專線開通，實現了與國際互聯網的全功能連接。信息技術是一把“雙刃劍”，互聯網加快了社會發展步伐，同時信息技術的安全隱患和威脅也逐漸顯現，特別是利用計算機網絡實施的各類犯罪迅速蔓延，社會危害嚴重。當今社會，“技術”變“騙術”的事情層出不窮，網絡犯罪已成為一個無法回避的“科技之痛”。回顧三十年來我國網絡犯罪的應對歷程、特別是近些年來的政策調整和制度完善，我認為值得關注的一點就是思路由單純“治罪”轉變為綜合“治理”。

第一，“刑法先行”現象得到明顯改觀。網絡犯罪基本屬于行政犯的范疇，理想的狀態應當是先有前置法律法規，后由作為“其他部門法的保障法”的刑法加以規制。然而，實踐情況恰恰是“刑法先行”。

以公民個人信息領域為例，刑法先于其他部門法明確了公民個人信息犯罪的界限。在具體適用之中，由于前置法的缺位，導致刑法適用陷入困境。例如，關于涉公開信息案件的處理就是如此。對于公開的個人信息，由于信息已經處于公開狀況，獲取無須征得同意，對此應無疑義；但是，在獲取相關公開信息后進而提供的行為，是否需要取得“二次授權”（在獲取相關信息后，提供相關信息需要告知同意），則存在較大爭議。這一問題的真正解決，是在《民法典》頒行之后。《民法典》為這一爭議問題作了明晰，即否定“二次授權”的規則。《民法典》第1036條規定：“處理個人信息，有下列情形之一的，行為人不承擔民事責任：……（二）合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外……”（《個人信息保護法》第13條、第27條亦有類似規定）據此，對公開的個人信息的合理處理可以推定自然人概括同意，即除了“該自然人明確拒絕或者處理該信息侵害其重大利益的”情形外，不需要通知和征得該自然人或者其監護人同意。

可以說，通過刑法積極適用防止侵犯公民個人信息違法犯罪持續蔓延，是不得已而為之的舉措，但并非上策。刑法只能治標，尚難治本。近些年，隨著《網絡安全法》《個人信息保護法》《數據安全法》等前置法律的健全完善，個人信息民事、行政、刑事的全方位保護體系得以構建，個人信息違法犯罪的系統治理才能真正得以推行。

第二，罪刑均衡原則貫徹更為深入。刑罰并非越重越好，罪刑均衡最為重要。當前，網絡犯罪黑灰產業鏈的滋生，原因較為復雜，既有刑事規制不力的原因，也有前置法律不健全和管理不到位的原因。因此，運用刑法懲治網絡犯罪黑灰產切不可“一打了之”“一味從重”。特別是，我國現行刑法關于網絡犯罪的部分罪名設置距今較為久遠，相關司法解釋的制定系在黑灰產泛濫之前，對相關定罪量刑標準的設置可能未考慮到適用于黑灰產的情況。個別情形下，可能出現罪名形式符合但刑罰過重的現象。基于此，對網絡犯罪黑灰產業鏈的刑法適用，應當特別注重罪責刑相適應原則的把握。

例如，自2017年7月開始，行為人為賺取賭博網站廣告費用，對存在防護漏洞的目標服務器進行檢索、篩查后，向目標服務器植入木馬程序（后門程序）進行控制，再使用“菜刀”等軟件鏈接該木馬程序，獲取目標服務器后臺瀏覽、增加、刪除、修改等操作權限，將添加了賭博關鍵字并設置自動跳轉功能的靜態網頁，上傳至目標服務器，提高賭博網站廣告被搜索引擎命中概率。截至2017年9月底，行為人鏈接被植入木馬程序的目標服務器共計113臺，其中包含部分政府服務器。

上述案例即為張竣杰等非法控制計算機信息系統案（最高人民法院指導案例145號）。在審理過程中，對于具體罪名適用存在非法控制計算機信息系統罪與破壞計算機信息系統罪等不同主張，法院最終認定為非法控制計算機信息系統罪。對于通過修改目標網站數據的方式進行流量劫持的案件，如果適用破壞計算機信息系統罪，只能是《刑法》第286條第2款規定的行為方式，即對數據進行“刪除、修改、增加的操作”。但是，從技術原理上而言，對計算機信息系統進行非法控制，也可能涉及對數據的增刪改操作。這就要求從兩罪的立法精神上予以區分，以作出準確界分。所謂破壞計算機信息系統罪，應當重在破壞，雖然《刑法》第286條第2款未明文要求對數據的增刪改達到“造成計算機信息系統不能正常運行”或者“影響計算機信息系統正常運行”的后果，但恐怕也不宜理解為只要對數據有增刪改即可構成破壞計算機信息系統罪。作此理解，將無法對通過破壞非主要數據進而控制計算機信息系統的行為與破壞計算機信息系統的行為區分開來。更有甚者，如果不作限定，批量注冊賬號、組織刷單的行為實際都會對計算機信息系統中存儲、處理或者傳輸的數據進行增加，形式上也符合了《刑法》第286條第2款的規定，但該結論明顯有悖一般認知。因此，對于《刑法》第286條第2款對數據的增刪改的行為應當限定為危害數據安全的相關行為，而非只要對數據進行增刪改即可構成。而且，從非法控制計算機信息系統罪和破壞計算機信息系統罪的罪刑配置來看，也宜認為破壞計算機信息系統罪是重罪，應當對破壞數據的行為作適當限縮解釋，解釋為對主要數據進行增刪改操作的情形。就上述案例所涉情形來看，行為人通過植入木馬程序的方式，非法獲取網站服務器的控制權限，進而通過修改、增加計算機信息系統數據，向相關計算機信息系統上傳網頁鏈接代碼的，應當認定為《刑法》第285條第2款規定的“采用其他技術手段”非法控制計算機信息系統的行為。在此過程中，確實存在對數據進行增加、修改的操作，但所修改的并非主要數據，也未影響所針對計算機信息系統的正常運行，實際上是非法控制的操作，故認定為非法控制計算機信息系統罪更為適宜，更符合罪責刑相適應原則的要求。

第三，刑法精準適用落實更為到位。幫助信息網絡犯罪活動罪的適用是近年來受到高度關注的罪名。幫助信息網絡犯罪活動罪并非純正的網絡犯罪，其所涉客觀方面可以由線下幫助行為構成。《刑法》第287條之二第1款將幫助信息網絡犯罪活動罪的行為方式并列規定為“提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持”和“提供廣告推廣、支付結算等幫助”。這就使對于線下的幫助行為解釋為“等幫助”之中，從體系解釋的角度完全沒有問題。

但是，另一方面，幫助信息網絡犯罪活動罪的適用，要切實防止兩方面的問題：一是該嚴未嚴，即本來應以更重的詐騙罪共犯或者掩飾、隱瞞犯罪所得罪論處，但卻按相對較輕的幫助信息網絡犯罪“降格”處理；二是當寬未寬，即本可不作為犯罪處理甚至并不符合幫信罪構成要件的，卻按幫助信息網絡犯罪活動罪“升格”處理了。兩方面都應當注意防范，但結合當前幫信案件“井噴”的實際，后一方面的問題更需要注意。

就“兩卡”案件而言，要注意如下兩點：（1）準確把握懲治的重點。對犯罪集團中的組織者、指揮者、策劃者和骨干分子，販賣“兩卡”團伙頭目和骨干，以及對境外電詐集團提供幫助者，要依法從嚴處理；對利用未成年人、老年人、殘疾人等特殊群體實施犯罪的，要依法從嚴；對慣犯、職業“卡商”、行業“內鬼”等，要依法從嚴。（2）妥當把握從寬的范圍。要綜合幫信行為造成的客觀危害、行為人在網絡犯罪中的參與程度、行為人的認知能力、主觀惡性和人身危險性等情節，恰當評價行為人行為的社會危害程度，不能簡單僅以涉案“兩卡”的數量、銀行卡的流水金額作為定罪量刑的標準。特別是對于人數眾多的案件，要區分對象，對于按照工作指示從事輔助性勞務性工作、參與時間較短、僅領取少量報酬等發揮作用較小的人員依法從寬處理，考慮出罪處理。

一言以蔽之，從犯罪治理角度看，應當重視落實源頭治理、綜合治理的要求。要切實貫徹全鏈條懲治網絡犯罪的精神，防止因為有幫助信息網絡犯罪活動罪“兜底”、幫助信息網絡犯罪活動罪簡單好辦而放松對危害更大的電詐犯罪組織者、實施者的查證和追訴。否則，不僅影響幫助信息網絡犯罪活動案件的處理效果，也會影響網絡犯罪的有效治理。此外，應當結合案件辦理，借助司法建議等方式，促使有關部門進一步嚴格手機卡、銀行卡的管理，嚴格實名制的落實。藉此，不給犯罪分子可乘之機，也不讓人因為貪圖小利而身陷囹圄，促進完善社會治理。

總而言之，刑法只是最后手段，標本兼治方為上策。在相當長時期內網絡犯罪仍處于高發、頻發態勢的背景下，運用刑法對網絡犯罪進行有效規制，無疑是必要的。但是，刑法的積極作為不意味著刑法的萬能，刑法在犯罪治理中雖然作用明顯，但只能治標、尚難治本。應對網絡犯罪，要靠刑事懲治開路，更要靠健全前置法律規定和建立長效機制，實現防范、懲治、治理一體化。