第一节 跨国网络犯罪概述
跨国网络犯罪是一种日益普遍的罪行,研究跨国网络犯罪应首先对网络犯罪的概念进行基本的阐释,以在此基础上界定本文语境下的跨国网络犯罪范畴。
一、网络犯罪
虽然网络犯罪(cybercrime)这一概念是近几年才开始较多使用起来的,但事实上网络犯罪问题由来已久。早在20世纪末,网络犯罪问题就引起了一定的关注,[6]不过,当时很少有学者对它进行系统的阐述。由于缺乏对网络犯罪的界定,网络犯罪经常与计算机犯罪(computer crime,crime on the internet)、网络空间犯罪(cyberspace crime)、与计算机相关的犯罪(computer-related crime)、高科技犯罪(high-tech crime)等相关概念混合使用。[7]随着信息技术的迅猛发展,互联网由1.0时代过渡到2.0时代和3.0时代,网络犯罪也逐渐超越国(边)界,发展成为一个跨国性问题。跨国网络犯罪引发了日益广泛的关注,为有效打击跨国网络犯罪,国际社会作出了一定的努力;但是,到目前为止,并不存在一个统一的、普遍接受的网络犯罪概念。虽然在国际法发展过程中,并非每一个国际法概念均需要进行明确和统一的界定,但是,将概念限定在特定范围内,并运用一定的技巧使相关概念不因实践的变化而过时可能产生一系列积极影响,这样界定出的概念可将相关行为限定在特定的范围内,使相关概念的内涵随着实践的发展不断充实和更新,并有益于达成在这些问题上的谅解。虽然目前打击跨国网络犯罪国际立法间的矛盾难以调和的根本原因在于各国利益不同,但是,它们对于网络犯罪概念的不同理解无疑加深了矛盾。目前,相关区域性打击跨国网络犯罪国际公约、各国国内立法、学界等对网络犯罪内容和概念的理解各不相同,这可能阻碍跨国网络犯罪的国际规制,对网络犯罪的概念作出一个概括性界定有益于促进各国在进一步探讨跨国网络犯罪的具体问题时达成谅解,从而减少分歧和争端。
现有区域性打击跨国网络犯罪国际公约很少直接界定网络犯罪的概念。部分区域性国际公约仅强调网络犯罪的内容,并未涉及网络犯罪概念的界定。例如,欧洲委员会(Council of Europe,以下简称欧委会)在20世纪90年代后期发起并于2001年11月通过的《布达佩斯公约》是网络犯罪乃至整个网络安全领域的第一个多边条约。该公约实体刑法部分(第2—13条)对九类网络犯罪进行了比较完整的阐述,[8]然而,该公约并未对网络犯罪的概念进行界定。[9]一些比较具有影响力的区域性打击跨国网络犯罪国际公约,如《阿拉伯打击信息技术犯罪公约》《非盟网络安全与个人数据保护公约》等与《布达佩斯公约》一样,也仅涉及网络犯罪的内容,未对网络犯罪的概念进行界定。其他一些比较具有影响力的区域性打击跨国网络犯罪国际公约并未使用“网络犯罪”一词,它们间接涉及网络犯罪的概念,但是,这些概念多仅涉及网络犯罪的个别方面。例如,《独立国家联合体打击计算机信息领域犯罪合作协定》将“与计算机信息相关的犯罪行为”定义为“一种将计算机信息作为目标的犯罪行为”;[10]《上海合作组织成员国保障国际信息安全政府间合作协定》将“信息犯罪”定义为“为达到非法目的在信息空间使用和(或)影响信息资源”。[11]前一定义仅强调网络作为犯罪的对象,而后一定义仅强调网络作为犯罪的工具,由于网络犯罪不仅仅包括与计算机信息相关的犯罪、信息犯罪,还涉及其他犯罪,如妨碍计算机系统的正常运行等犯罪;且网络犯罪不仅限于以网络为对象和工具的犯罪,随着实践的发展还包括以网络为空间或平台的犯罪(如网络宣传等),这些概念显然不能等同于网络犯罪的概念。由此,这些定义也存在一定的问题。
相关国家的国内立法也基本未具体界定网络犯罪的概念,它们也多侧重规定特定历史条件下网络犯罪所能涵盖的内容。例如,由于当时的网络犯罪主要表现为破坏计算机信息系统的犯罪,英国1990年颁布的《滥用计算机法》(Computer Misuse Act 1990)专门规定了破坏计算机信息系统的基本犯罪形式,包括未经许可接入他人计算机系统或数据库、未经许可侵入他人计算机、未经许可侵入计算机并修改或删除计算机程序或数据三项犯罪;而且,该法并未明确界定网络犯罪的概念。[12]其他国家的国内立法也基本不直接涉及网络犯罪的概念。例如,美国司法部1996年颁布的《国家信息基础设施保护法案》(The National Information Infrastructure Protection Act of 1996)将网络犯罪分为三类:一是计算机或计算机系统是犯罪活动的目标,二是计算机是实施犯罪的工具,三是使用计算机是犯罪的一个附带方面;虽然该法案可能为犯罪提供电子证据,但是,它并未明确界定网络犯罪的概念。[13]另外,美国国会研究处的一项报告也曾尝试对网络犯罪进行说明,但遗憾的是,该报告仅对网络犯罪可能涵盖的内容进行了阐述,并未直接定义之。[14]由于20世纪末处于互联网1.0时代,信息技术处于起步阶段,犯罪分子实施网络犯罪的形式有限,计算机往往是犯罪的对象,在立法中规定上述几类网络犯罪是符合当时社会发展需要的;然而,随着互联网技术日新月异的发展,出现了新型的网络犯罪(如与计算机相关的儿童色情犯罪等),上述立法模式无法将新型网络犯罪纳入其中,表现出了落后性。
与打击跨国网络犯罪国际公约及国内法回避界定概念的情形不同,一些国际组织的报告、文件等明确对网络犯罪进行了界定,但是,这些界定往往过于宽泛。例如,国际电信联盟(International Telecommunication Union,ITU)在《发展中国家网络安全指南》中指出:“网络犯罪是使用互联网技术实施的一种与计算机相关的犯罪,它包括在网络世界发生的所有罪行。”[15]随后ITU又在《网络犯罪了解:发展中国家指南》中指出:“网络犯罪……通常用于描述一系列犯罪,包括传统计算机犯罪和以网络为支撑的犯罪(network crimes)的犯罪活动。”[16]总的来说,ITU倾向于概况地界定网络犯罪的概念,这种方法是可取的;但是,深入分析则不难发现ITU的界定问题重重。ITU的前一界定简单地将网络犯罪视为直接发生在网络空间的犯罪,仅包括传统计算机犯罪并未涵盖以网络为支撑的犯罪;后一定义进一步将网络犯罪分为传统计算机犯罪和以网络为支撑的犯罪两种,但是,问题在于什么是传统计算机犯罪?它与非传统计算机犯罪的界限在哪里?它与以网络为支撑的犯罪有本质的区别吗?这些问题的存在使人很难通过这一定义明确网络犯罪的本质及特征等。一些实体也试图对网络犯罪进行界定,但是,它们界定的网络犯罪概念往往依托于一定的语境,因此,很难将这些概念作为普遍适用的、通常意义上的网络犯罪使用。例如,胡佛研究所、信息安全研究和政策研究联盟(CRISP)和国际安全与合作中心(CISAC)于1999年12月6日至7日发起,在斯坦福大学举行的会议基础上发展而来的《加强预防网络犯罪和恐怖主义国际公约》第1.1条指出:“网络犯罪是指针对网络系统实施的行为,被认定将会被本公约惩罚的罪行。”[17]显然,这一界定仅涉及以网络系统为对象的犯罪,而这并非网络犯罪的全部内容,因此,它也只能适用于该公约,并不能扩大适用于其他公约和其他场合。
国内外学者也对网络犯罪进行了界定,但是,这些定义也都存在一定的问题。一些学者部分地指明了网络是实施犯罪的工具、对象和空间——将网络犯罪界定为以计算机为媒介的犯罪,或犯罪活动的目标或厂域是计算机,符合客观事实,显然是合理的。例如,福斯特(Martin L.Forst)和杨正鸣均强调网络或计算机是犯罪的对象和工具,分别指出“网络犯罪是指所有借助计算机或信息技术的非法活动,或计算机是犯罪的目标”[18]“网络犯罪是以网络为犯罪工具或犯罪对象,实施危害网络信息系统安全的犯罪行为”;[19]陈开琦则仅强调网络或计算机是犯罪的工具,指出“计算机犯罪就是指那种利用计算机辅助实施的犯罪”。[20]总体上,他们的界定涵盖了互联网1.0时代和2.0时代的犯罪,即以网络为对象和工具的犯罪,但他们均未涉及互联网3.0时代的以网络为空间的犯罪。另外,这些定义缺失对必要的犯罪后果的考量。当然,与犯罪相关的概念中并不一定要求必须规定后果,但是,对于一行为在何种情况下可能超越界限演变为犯罪应作出一定的原则性规定,以避免过度扩大打击面、造成过度的心理威慑。一些学者从网络空间与物理空间的关系出发对网络犯罪进行了进一步的说明——网络空间的虚拟性与物理空间的实在性密不可分。界定网络犯罪当然要从这种客观存在的实际情况出发,但是,这些定义往往过于抽象,据此可能根本无法判断哪些犯罪是网络犯罪。例如,戈登(S.Gordon)和福特(R.Ford)指出:“我们将网络犯罪定义为任何实施或使用电脑、网络、或硬件设备的犯罪……网络犯罪提供了一个连续体,从性质上几乎完全是技术性的犯罪到实体的,其核心是完全与人相关的犯罪。”[21]根据这种定义,我们不难看出网络犯罪的实施需要借助一定的物理媒介且犯罪对人们产生具体的影响,但是,是否只要使用电脑及互联网技术等的犯罪就是网络犯罪呢?似乎并非如此。一般来说,只有电子媒介实际发挥过工具、媒介、空间等具体作用且造成一定的危害时,使用电子媒介实施的行为才构成犯罪。一些学者将网络犯罪与传统犯罪对比进行界定,存在合理之处,毕竟网络犯罪发生在虚拟空间;但是,这些界定忽略了网络犯罪与传统犯罪在空间上的本质差别,即网络犯罪是在虚拟的网络空间发生的,具有现实影响的犯罪,而非仅仅是传统犯罪在网络空间的实施。例如,布罗德赫斯特(Roderic Broadhurst)指出:“网络犯罪往往是传统犯罪(如欺诈、身份盗窃、儿童色情)的快速实施以及未经授权的访问、破坏和干扰计算机系统,而且存在大量潜在的受害者。”[22]根据这种定义,与内容相关的网络犯罪是传统犯罪在网络空间的快速实施,似乎可以将它理解为传统犯罪仅因转换了一个空间,由物理空间过渡到虚拟空间就变成了网络犯罪。事实上,与内容相关的网络犯罪不等于发生在网络空间的传统犯罪,网络犯罪强调的是网络空间在犯罪中确实发挥着一定的作用,而发生在网络空间的犯罪并不一定有这种要求。也有一些学者指出了界定网络犯罪的方法。例如,波卡尔(Fausto Pocar)指出:“如果要对网络犯罪进行一个综合性的界定必须是非常宽泛的,如将网络犯罪界定为使用任何计算机网络或互联网系统的犯罪,这意味着以犯罪为目的攻击或滥用系统或网络。”[23]这种较为宽泛地界定网络犯罪的方法固然存在可取之处,但是,该学者所举例证存在过度扩大网络犯罪的范围的问题——使用任何计算机网络或互联网系统的犯罪均构成网络犯罪,事实上并非如此,如对于利用互联网实施的网络间谍行为就不一定构成网络犯罪。[24]相比较明确界定网络犯罪的概念,更多学者倾向于避而不谈网络犯罪的定义问题,而以“网络犯罪的概念”为题阐述网络犯罪的内容。大多数学者直接援引《布达佩斯公约》的分类,[25]也有部分学者重新对网络犯罪进行了分类。例如,古德曼(Marc D.Goodman)、布伦纳(Susan W.Brenner)、霍尔(Chris Hale)等指出网络犯罪分为三类:(1)计算机是犯罪活动的目标;(2)计算机是实施犯罪的工具或是组成部分;(3)计算机只是犯罪的一个附带方面。[26]恰克(Mohamed Chawki)把网络犯罪分成两类:暴力或潜在的暴力犯罪、非暴力犯罪,并指出绝大多数网络犯罪是非暴力犯罪。[27]直接列举网络犯罪的内容固然有利于直观地理解网络犯罪,但是,以列举方法界定的网络犯罪内容是僵化的,不能随着实践的发展而发展,因此,此种方法并不可取;而且内容和概念并非同一个概念,甚至定义和概念都不能等同,[28]在“网络犯罪的概念”标题之下,仅以网络犯罪的内容为焦点进行论述,而绝口不提如何及明确对网络犯罪进行界定有回避问题之嫌。
互联网的发展逐渐由1.0时代过渡到2.0时代和3.0时代,在不同时代由于信息技术的发展程度不同,所表现出的网络犯罪的类型也不同。例如,在互联网1.0时代,网络犯罪基本上是个人对大型机构所属计算机信息系统的攻击;在互联网2.0时代,网络犯罪则开始以攻击普通公众为主要选择;在互联网3.0时代,传统犯罪网络化的理论判断逐渐成为现实,网络主要为犯罪提供空间。[29]由此,建立在一定实践基础上的各国、国际社会及学界对网络犯罪的界定也各有侧重,网络曾分别主要被视为犯罪对象、犯罪工具和犯罪空间。目前,以网络作为对象、工具和空间的犯罪都存在,给网络犯罪下一个普遍适用并广为接受的定义相当困难。[30]尽管如此,考虑到研究应当在一个适当的范围内进行,在总结和借鉴上述定义的优点,吸取它们的经验教训的基础上,本文仍尝试对网络犯罪的概念作出界定。上述定义以概括的语言界定网络犯罪,对以网络为对象、工具等的犯罪与传统犯罪加以区分,兼顾网络犯罪与传统犯罪的联系等是可取的;但是,以列举方式僵化地界定网络犯罪的内容、以过度抽象的语言界定网络犯罪等是不可取的。在明了了上述定义的可取和不可取之处后,本文从犯罪学角度对网络犯罪作出以下定义。[31]即,网络犯罪是各类实体以信息、网络等为目标、工具、空间或厂域,故意实施的,造成一定危害或后果的行为或活动。
二、跨国网络犯罪
上述网络犯罪的定义涵盖了从互联网1.0时代、2.0时代到3.0时代所出现的三类网络犯罪。然而,由于这三类犯罪有相当一部分是发生在一国领土范围内的,各国也基本上都在本国的刑法中或专门立法中对它们进行了规制,本文的研究并不涵盖完全发生在一国领土范围内的网络犯罪。换句话说,本文将着重对具有跨国性的网络犯罪进行研究。那么,何谓跨国网络犯罪呢?本文将着重对“跨国”和“犯罪”进行论述,以明确本文语境下的跨国网络犯罪的内容。[32]
(一)“跨国”网络犯罪
随着信息技术的发展,互联网的普及程度日益加深;国际互联网将全球贯通,使互相连通的各国共处于一个由国际社会组成的全球性、跨国界、跨区域界限的技术、经济和社会共同体——网络空间之中。人为的地理国界所构筑的领域界限彻底为互联网瓦解,除传输技术上的差异引发的连接速度的差异外,互联网上基本不存在国界。[33]换句话说,网络空间作为全球性的信息交流和社会互动平台,已经超越了地域限制,体现出跨国性的特征。[34]基于网络空间的跨国性特征,在网络空间中实施的跨国网络犯罪更加司空见惯。目前,国际互联网业务日益国际化,网络犯罪超越国(边)境也体现出跨国性特征。[35]互联网具有极强的传播功能,国际互联网既实现了信息媒介的全球化,也便利了网络犯罪的实施,使网络犯罪可以不受传统的地域、国界的限制:犯罪分子既可以在任何时间和地点实施针对各国的网络犯罪,也可以不受限制地在全球范围内传授网络犯罪方法和经验;犯罪分子还能够利用计算机、网络、多媒体等多种信息技术跨国、跨地区实施犯罪,并直接或者间接地危及无辜的第三方国家并给这些国家造成严重损害。跨国网络犯罪逐渐演变成一种备受关注且迫切需要国际法规制的犯罪。一般来说,跨国网络犯罪与传统的跨国犯罪相比,犯罪成本更低、犯罪的隐蔽性更高、犯罪实施更便捷、国家查处的难度也更大。首先,由于网络空间是一个开放的公共空间,一切公开的网络信息都可以免费且轻易地被行为人获取,并得到快速分享和传播;行为人实施网络犯罪时并不需要借助实体的工具,更不需要行为人出现在犯罪现场,这使得跨国网络犯罪成本更低、隐蔽性更高。其次,互联网的普及便利了网络犯罪行为和活动。行为人可以通过网络自由分享犯罪经验、方法和寻求支持、筹集资金等,例如,恐怖分子开始利用互联网进行恐怖主义宣传、煽动和筹款,这使得实施跨国网络犯罪更加简单、便捷和易于操作。最后,互联网上巨量的信息流和多种多样的反侦察技术给打击跨国网络犯罪造成了难以克服的障碍,而犯罪分子却能借此在全球各地大肆发展跨国网络犯罪活动,这使得跨国网络犯罪更不易查处。由于跨国网络犯罪活动的预备、实施和后果往往超出一国范围,在跨国性网络犯罪中,受侵害的对象更广泛,造成的社会危害性也更大;加之,跨国网络犯罪往往涉及相关国家的主权,上述三方面的问题与主权交织在一起更增加了打击跨国网络犯罪的难度。有学者就指出:“网络犯罪的危害性不仅体现为危害领域、危害对象、危害结果都具有广泛性,并且还表现出危害造成损失的巨大性。”[36]总之,呈现跨国性特征的网络犯罪的影响和治理非一国所能单独承受和完成,已然成为世界各国共同面临的严峻挑战。
明确了网络犯罪的跨国性之后,需要对“跨国”因素进行分析,以区分国内网络犯罪、跨国网络犯罪和国际网络犯罪,进而明确本文研究的“跨国”网络犯罪的范围。在传统国际法上,《联合国打击跨国有组织犯罪公约》曾对何谓“跨国”犯罪进行了一个比较明确的界定。即跨国犯罪是指在一个以上国家实施的犯罪,虽在一国实施但其准备、筹划、指挥或控制的实质性部分发生在另一国的犯罪,犯罪在一国实施但涉及在一个以上国家从事犯罪活动的有组织犯罪集团或犯罪在一国实施但对于另一国有重大影响。[37]该公约强调的跨国性要素主要以领土为基础,涉及领土、行为、活动和结果,也就是说这些要素中只要满足其中一个相关犯罪即被界定为跨国犯罪。由于网络空间是一个虚拟空间,地域界限日益模糊,跨国网络犯罪与传统跨国犯罪相比,所涉及的跨国性要素并不完全一致,领土在网络犯罪的跨国性判断中往往表现为与领土相关的人和物。一般来说,网络空间的跨国性要素包括人、物、基础设施、行为、活动及结果等。但是,本书所强调的“跨国”网络犯罪主要包括各国能够行使域外管辖权的网络犯罪,即在境外从事网络活动的人员实施的犯罪,通过位于境外的网络基础设施实施的犯罪,或活动本身跨国或其效果跨国的网络犯罪。由于这些跨国性因素比较明确,一项犯罪行为是跨国网络犯罪还是国内网络犯罪比较容易判断,本书不涉及完全发生在一国疆域内的网络犯罪。由于跨国性和国际性两个概念存在某些重合之处,至少两个概念的关联相当密切,这使得某些跨国网络犯罪发展到一定的严重程度可能成为国际网络犯罪。例如,一般跨国实施的网络恐怖主义犯罪并非国际罪行,但如果它针对的是特定种族,目的是灭绝该种族,它可能成为国际网络犯罪。加之,由于部分现行区域性打击跨国网络犯罪国际公约中涉及国际犯罪,如《布达佩斯公约》的《补充协定》《西经体指令》和《非盟公约》对通过计算机系统或网络实施的危害人类罪、灭绝种族罪进行了专门的规定;后文关于罪名和管辖权的分析部分地涉及在网络空间实施的国际犯罪。但是,本书主要致力于研究具有上述跨国因素的跨国网络犯罪,而非国际网络犯罪。
(二)跨国网络“犯罪”
虽然从犯罪学角度出发对网络犯罪的界定应涵盖主要的网络犯罪,但实际上部分以网络为对象或工具的跨国网络犯罪并不具有比传统跨国犯罪更高的严重性,而目前以网络为空间的跨国网络犯罪远不如以网络为对象和工具的犯罪更普遍。加之,本书的研究主要建立在对于现行区域性打击跨国网络犯罪国际公约的规范研究基础上,它们所关注的也多限于以网络为对象和工具的跨国犯罪。因此,本书语境下的跨国网络“犯罪”主要是指那些与传统犯罪相比可能产生更严重后果的以网络为对象和工具的跨国犯罪。
其一,以网络为对象的跨国犯罪主要包括非法侵入罪、破坏数据罪和干扰系统罪等。非法侵入罪是指未经授权故意以非法手段接入计算机系统的行为,侵入后对计算机信息系统功能或存储的数据、应用程序等进行破坏并造成一定的损害后果。需要注意的是,由于不同的计算机或网络系统的重要性不同,构成本罪不一定要求犯罪后果。例如,重要的计算机系统往往涉及国家安全、人民基本生活等,非法访问本身已经对这些系统造成潜在的威胁,必须实施严格的限制并相应地降低定罪标准。另外,行为人实施犯罪的频率不同,还应考虑犯罪情节。破坏计算机数据是指故意未经授权对计算机系统中存储、处理或者传输的数据和信息进行删除、修改、增加等操作的行为。干扰计算机系统运行是指故意未经授权对计算机信息系统实施非法删除、修改、增加、干扰等操作,影响计算机系统功能正常运行的行为。这两种犯罪基本上都是行为犯,即只要相关行为人实施了这些行为就可构成犯罪,但可能由于侵害后果、情节的严重程度不同而对量刑造成一定的影响。
其二,以网络为工具的跨国犯罪主要包括非法拦截计算机数据,通过网络设备实施诈骗、盗窃、贩毒、色情、洗钱、间谍、恐怖主义、其他有组织犯罪、侵犯人身权犯罪等活动。非法拦截计算机数据是指未经授权故意拦截非公共传输的信息的行为,非法拦截需要强调拦截行为主观上的恶意,如果行为人客观上进行了拦截但主观上并无恶意且并未被受害人知悉也未引起任何后果,则非法拦截行为的定罪量刑可能受到影响。网络诈骗是指以网络为工具故意非法骗取他人钱、财、物等的行为。网络盗窃主要指利用网上银行窃取他人银行账号和密码将他人资金据为己有的行为。网络贩毒是指利用互联网进行毒品交易的行为。网络色情是指互联网接入服务供应商、信息供应商、应用服务供应商等出于牟利或其他目的不加选择地在网上提供色情信息、色情服务等行为。网络洗钱是指利用网上银行的“二次解码”确认制度或者其他结算、兑付保密制度,采取匿名方式在网络银行或其他银行之间进行大额度资金转移,以达到掩盖资金非法来源目的的行为。[38]网络间谍主要指秘密地或者以伪装方式使用网络能力收集或试图收集信息的任何行为,涉及但不仅限于使用网络能力来监视、监听、获取或泄露电子传输或存储的通信、数据或其他信息,还包括利用互联网从事其他危害国际安全的犯罪活动的行为。[39]网络空间其他有组织犯罪是指借助计算机系统或网络,组织、领导、策划、指挥、教唆、煽动、资助有组织犯罪活动的行为;网络恐怖主义犯罪是其中的一种类别。侵犯人身权犯罪是指通过互联网实施侮辱或捏造事实诽谤他人、非法侵犯公民通信自由和通信秘密、非法拦截、篡改、删除他人电子邮件或其他数据资料等违法犯罪活动,并造成严重后果的行为。
总之,本书语境下的跨国网络犯罪主要涉及以网络为对象和工具的在境外从事网络活动的人员实施的、通过位于境外的网络基础设施实施的或活动本身跨国或其效果跨国的网络犯罪。