第二节 跨国网络犯罪的国际法规制

从跨国网络犯罪的发展阶段及上述网络犯罪的定义可以看出，跨国网络犯罪主要涵盖网络化的传统犯罪。基于此，似乎仅依据传统法律就可以规制这些犯罪，没必要专门以国际立法的形式另起炉灶将所有网络化的传统跨国犯罪纳入一个综合性的公约中进行统一的规制。这种认识一方面看到了跨国网络犯罪与传统跨国犯罪的联系，是值得赞赏的；另一方面却忽略了跨国网络犯罪与传统跨国犯罪的区别，这使他们产生了跨国网络犯罪不需要专门进行规制的错误思想导向。事实上，由于跨国网络犯罪具有与传统跨国犯罪所不同的特征，而这些特征引发了一系列法律问题，使得传统国际法无法有效打击这些跨国网络犯罪。为此，一些区域组织主要联合本区域内的国家通过了一系列区域立法，但由于这些区域立法本身固有的缺陷或不完善使得它们在规制跨国网络犯罪时也面临一些问题。

一、对跨国网络犯罪进行国际法规制的必要性

由于互联网技术的迅猛发展，网络犯罪问题已经超越一国的范围，逐渐演变成为需要国际社会共同应对的难题。有效打击跨国网络犯罪，甚至消除跨国网络犯罪的危害，就要追根溯源探究犯罪或危害得以产生的根本原因，并着力降低甚至消除这些因素的影响，使犯罪或危害丧失生存的土壤。从根本上说，跨国网络犯罪引发的法律问题源于网络犯罪的特征。[40]跨国网络犯罪除具有跨国性特征外，还具有技术性、即时性特征，这些特征使得打击跨国网络犯罪与传统犯罪存在一定的差异。网络空间将传统的以国家为中心的权力结构分散化，建构了一个由网络技术联通的、无控制中心的空间。在这个无控制中心的空间里，信息技术至关重要，掌握了一定的信息技术，可通过互联网在任何地点对特定目标发动复杂而精密的攻击，技术性是跨国网络犯罪的主要行为特征。[41]正如有学者所指出的那样：“网络犯罪是一种高技术的智能犯罪，犯罪人主要是一些掌握计算机技术的专业研究人员或对计算机有特殊兴趣并掌握网络技术的人员，他们大多具有较高的智力水平，既熟悉计算机和网络的功能与特性，又洞悉计算机和网络的缺陷和漏洞。因而，他们能够借助本身的技术优势对系统、网络发动攻击，对网络信息进行侵犯，并达到预期的目的。”[42]同时，信息在全球互联网上的传播速度可以以毫秒为单位计，通过网络实施的跨国网络犯罪行为或攻击等可以在转瞬之间涉及数个法域，由此，跨国网络犯罪也具有即时性特征。具体地，具有这些特征的跨国网络犯罪主要引发了以下法律问题：

首先，跨国网络犯罪以国籍、领土等为连结点，由于跨国网络犯罪具有技术性、跨国性等特征，使得这些连结点相比传统犯罪的连结点不易确定，从而影响跨国网络犯罪的管辖、调查和刑事司法协助的实施。当打开计算机接入互联网，国界和距离暂时消失。在无国界阻碍的情况下，行为人可以在一个国家访问计算机系统，在另一个国家传送和存储数据，而使结果发生在第三国。此时，确定犯罪地和行为地便成为问题。而犯罪地和行为地通常是各国行使管辖权的依据，也是它们进行犯罪调查或提出刑事司法协助的前提；在犯罪地和行为地无法确定的情况下，跨国网络犯罪的管辖、调查和刑事司法协助就无从谈起。另外，借助一定的信息或通信技术，黑客和电脑病毒传播者不仅能对世界任何国家、任何性质的通信和计算机系统造成不良影响，而且能轻易隐藏身份从而免予被追诉。那么，司法机关确定行为人的国籍也成为问题。有学者就指出：“用户可以随便到任何一台联网的计算机上从事所有的网上活动，而且上网时并不要求确认其身份。因此，国界与当事人之间的联系是相当脆弱的。”[43]国籍是相关国家对特定网络犯罪行使管辖权的一个重要依据，在国籍无法确定的情况下，行为人的国籍国就无法主张对网络犯罪的管辖权。进一步地，即使能够根据其他连结点确定哪一国或哪些国家对同一网络犯罪具有管辖权，在行为人国籍及身份不明的情况下亦无从惩处。

其次，跨国网络犯罪的技术性和即时性给执法机关提出了新的要求，也增加了打击跨国网络犯罪的难度。信息技术在全球范围内的普及使行为人能够轻易掌握一些网络信息技术，跨国网络犯罪行为可以远程实施，行为人只要掌握一定的网络信息技术，在全球任何一个地方只需要一台电脑甚至智能手机就能实施犯罪活动及进行犯罪前后的联络和隐匿。“犯罪分子面临的风险较低，发动攻击所需要的资源相对于其所造成的潜在伤害和破坏微乎其微。”[44]目前，跨国网络犯罪日益高技术化，行为人既可以利用成熟的加密技术进行交流，并借助匿名的网络或代理服务器、被侵入的计算机系统、虚假的IP（网络地址）等来隐藏其真实信息和真实身份；也可以通过操控位于他国的计算机等方式跨越地域、国界作案，而且依托全球互联网，跨国网络犯罪的结果可以在瞬间波及目标国之外的其他国家。跨国网络犯罪的这些特征不仅使行为人可以在没有任何重大风险的情况下轻而易举地从事非法活动，而且给执法机关打击跨国网络犯罪带来了挑战：它们不仅要求各国打击跨国网络犯罪要制定强有力的法律法规，还要求各国司法和执法机关具备相当的跨国网络犯罪侦查能力。例如，有能力分析并获取计算机系统、发放需要特殊电脑数据的任务指令、破译加密信息、实时地收集信息数据，以及截取所需要的数据等。[45]这意味着，较之于在物理空间（如陆地、海洋、外空、南极）的犯罪，跨国网络犯罪对国家立法和执法提出了更高的技术要求。由此，也增加了防范和打击跨国网络犯罪的难度。

再次，为有效应对跨国网络犯罪问题许多国家和区域都通过了专门的打击跨国网络犯罪立法，但是，由于跨国网络犯罪的跨国性特征及法律规则之间缺乏有效的协调，不同国家之间及区域之间的打击跨国网络犯罪立法的适用容易产生冲突，打击跨国网络犯罪国际合作面临障碍。由于各国立法及各区域立法的核心价值观及对跨国网络犯罪的严重性的认知不同，依据一国国内法被认定为犯罪的，在另一国可能不被认定为犯罪。例如，各国在言论自由和隐私等价值观上的差异使得淫秽内容的管制、言论自由与国家安全的平衡、自由获取互联网信息的程度以及对于执法机关入侵式调查个人信息的限制各不相同，由此，各国立法对相关行为的罪与非罪、轻罪与重罪的认识必然不同。此时，如果一行为人在网络空间传播淫秽内容，并同时触犯了价值观存在较大差异的几个国家的法律，对此种罪行的惩处应适用哪国的法律就成为问题。目前，国际社会已认识到合作预防和打击跨国网络犯罪的重要性和迫切性，[46]为了解决不同国家间立法的冲突，相关区域性组织制定并通过了一系列专门的打击跨国网络犯罪区域、多边公约。然而，由于这些公约中，与打击跨国网络犯罪国际合作相关的程序规定不尽相同，对合作至关重要的国家间、区域内，以及与多边文书的立法协调程度仍然存在较大差异，这些差异可能影响跨国网络犯罪的调查、取证、引渡等方方面面的国际合作问题，打击跨国网络犯罪国际合作面临障碍。

最后，跨国网络犯罪的跨国性给打击跨国网络犯罪国际法的发展带来了挑战。随着网络的互联互通，跨国网络犯罪问题已经超越国家、区域范围，逐渐发展成为一个全球性问题。国际互联网使犯罪分子得以在全球范围内快速地开展大规模行动：犯罪分子可以利用互联网上数量众多的网站、网络匿名交谈室或使用各种加密技术进行网络通信、传递加密文件、交流或教授网络犯罪方法等，这些手段使用起来灵活安全，使犯罪分子不必接头会面就可以成立团伙、谋划犯罪行为并付诸行动。[47]跨国网络犯罪的后果可以在瞬间传至世界的各个角落，使各国网络系统瘫痪，任何国家和地区都难以独立应对。有效应对跨国网络犯罪这一全球性问题，需要各国及各区域开展国际合作加以应对。目前，虽然国际社会合作共同应对跨国网络犯罪的威胁已经成为各国的共识，但是，各国对通过何种机制来实现国际合作分歧明显：以中国和俄罗斯为代表的国家主张在联合国框架下发起新的全球性打击跨国网络犯罪国际公约的谈判，而以欧盟国家及美国为代表的国家则倾向于通过各种途径推动《布达佩斯公约》成为一个全球性打击跨国网络犯罪国际公约。那么，制定全球性打击跨国网络犯罪国际法究竟应遵循何种路径呢？由此可见，跨国网络犯罪的跨国性给打击跨国网络犯罪国际法的发展也带来了不小的挑战。

二、跨国网络犯罪的国际法规制现状

随着互联网的互联互通，网络犯罪问题超越一国的领土范围，已逐渐成为一个国际性问题。为有效应对跨国网络犯罪问题许多国家和区域都通过了专门的打击跨国网络犯罪立法，但是，由于跨国网络犯罪的跨国性特征及法律规则固有的滞后性本质，国与国之间的网络犯罪立法容易产生管辖权等方面的冲突。因此，仅依各国各自独立的网络犯罪立法无法有效规制跨国网络犯罪活动。制定相关的国际性公约一直是相关国家的愿景，但是，各国的立场依旧需要时间磨合，普遍适用于各国的打击跨国网络犯罪国际公约尚未达成。在此背景下，区域性的国际公约就显得引人注目了。

（一）现行区域性打击跨国网络犯罪国际法规范

为协调国家间网络犯罪立法的冲突，有效打击跨国网络犯罪，一些区域组织相继出台了一系列专门的打击跨国网络犯罪多边条约或法律文件。例如，欧委会2001年的《布达佩斯公约》、独立国家联合体2001年的《独立国家联合体打击计算机信息领域犯罪合作协定》、上海合作组织成员国2009年的《上海合作组织成员国保障国际信息安全政府间合作协定》、阿拉伯国家联盟2010年的《阿拉伯打击信息技术犯罪公约》、西非国家经济共同体2011年的《西非国家经济共同体打击跨国网络犯罪指令》、非洲联盟2014年的《非盟网络安全和个人数据保护公约》等。[48]虽然跨国网络犯罪区域立法并不限于上述几项，[49]但是，由于上述区域立法基本上都是具有或将具有法律约束力的文书，而且它们在相应的区域甚至更广泛的范围内产生了重要影响，本文重点对上述几项区域立法进行研究。

1.《布达佩斯公约》

作为第一部打击跨国网络犯罪行为、活动的国际公约，《布达佩斯公约》是在网络犯罪问题日益严重的背景下，由欧委会于2001年11月23日通过并于2004年7月生效的。与该公约一起获欧委会部长委员会通过的还有该公约的《解释报告》，该解释报告不是解释公约的官方法律文件，但它能为缔约方适用公约的相关规定提供指导。[50]2003年1月23日，欧盟通过了公约的补充协定《网络犯罪公约补充协定：关于通过计算机系统实施的种族主义和排外性行为的犯罪化》（Additional Protocol to the Convention on Cybercrime，Concerning the Criminalisation of Acts of A Racist and Xenophobic Nature Committed through Computer Systems）（以下简称《补充协定》）。

该公约旨在达成成员国之间更大程度的一致性，追求一个旨在保护社会、打击跨国网络犯罪的共同刑事政策。[51]与该公约同时通过的解释性报告就指出，该公约主要有以下几个目的：（1）协调本国刑事实体法的定罪因素与网络犯罪领域相关规定的关系；（2）为网络犯罪行为、其他利用计算机系统手段从事的犯罪或存在电子证据的犯罪活动的调查和起诉提供必要的本国刑事程序法权力；（3）建立快速且有效的国际合作体制。[52]

该公约共48条。在结构上分为4章，分别是“术语的使用”“国内层面采取的措施——实体刑法和程序法”“国际合作”与“最后条款”。其核心内容主要包括第2—3章：

第2章的第一部分是实体刑法（第2—13条）。该部分将跨国网络犯罪分为4类、涵盖9种犯罪行为，分别是：（1）破坏计算机数据和系统的机密性、完整性和可用性的犯罪，包括非法入侵、非法拦截、数据干扰、系统干扰、设备滥用罪等；（2）与计算机相关的犯罪，如与计算机相关的伪造罪和诈骗罪；（3）与内容相关的犯罪，如儿童色情罪；（4）与侵犯版权和邻接权相关的犯罪。该部分还进一步明确了上述9种犯罪的共同犯罪形态、未完成犯罪形态与法人犯罪的刑事责任和制裁：公约规定了两种共同犯罪形态，即帮助犯和教唆犯，公约要求缔约方将故意帮助或教唆他人实施上述9种罪行的行为定为犯罪；公约也规定了未完成犯罪形态，即预备犯，公约要求缔约方将非法拦截，数据干扰，系统干扰，与计算机相关的伪造、诈骗犯罪和与计算机相关的儿童色情犯罪中的制造、分发和传输行为定为犯罪，但是，缔约方可以全部或部分地保留该规定。另外，《补充协定》增加了通过计算机系统传播种族主义和仇外性质的材料，煽动种族主义和仇外的威胁，煽动种族主义和仇外的侮辱，对种族屠杀和反人类罪的行为否认、开脱、赞同或为其辩护4种与内容相关的犯罪；而且除了这4种犯罪的既遂形态外，《补充协定》还规定了它们的帮助犯、教唆犯。由于该协定的目的在于补充《布达佩斯公约》的内容，将通过计算机实施的种族主义和仇外性质的行为犯罪化，[53]且该公约除具体罪名外的其他主要条款均适用或要求缔约方扩展适用于该协定，[54]因此，研究《布达佩斯公约》的具体罪名当然包括该协定中的4种犯罪。

第2章的第二部分是程序法（第14—22条）。该章共5节，包括一般规定（程序条款的适用范围、限制和安全措施）、已存储计算机数据的快速保存（已存储计算机数据的快速保存、通信数据的快速保存和部分披露）、提供令、搜查和扣押已存储计算机数据、计算机数据的实时收集（通信数据的实时收集、内容数据的拦截）和管辖权。该部分的“一般规定”大大拓宽了公约的适用范围，即相关程序规则不仅适用于实体法所涵盖的9种网络犯罪，还适用于其他借助计算机系统实施的犯罪和涉及电子证据收集的犯罪。[55]

第3章是国际合作（第23—35条）。该章共两部分：第一部分包括4节，涉及一些一般性的规定——与国际合作相关的一般原则、与引渡相关的原则（引渡）、与相互协助相关的一般原则（与相互协助相关的一般原则、主动提供信息）、在缺乏可适用的国际协定的情况下与相互协助请求相关的程序（在缺乏可适用的国际协定的情况下与相互协助请求相关的程序、保密性和使用的限制）；第二部分包括3节，涉及一些特殊规定——与临时措施相关的相互协助（已存储计算机数据的快速保存、已保存通信数据的快速披露）、与侦查权力相关的相互协助（与访问已存储计算机数据相关的相互协助、越境访问经同意或对公众开放的已存储的计算机数据、与实时收集通信数据相关的相互协助、与内容数据拦截相关的相互协助）和24/7网络。该章中，“与国际合作相关的一般原则”规定，缔约方应依照本公约相关国际合作的规定并通过适用国际刑事合作的相关文件、在统一或互惠的立法基础上达成的安排以及国内法，最大限度地开展国际合作。[56]这就意味着公约在很大程度上是现有各国刑事司法协助体系的补充，要服从于各国间司法协助文件的安排。[57]

总体来看，作为第一部针对跨国网络犯罪所制定的国际公约，该公约对国际社会合作打击跨国网络犯罪起到了一定的积极作用，许多国家及其他区域的打击跨国网络犯罪立法均或多或少地借鉴了该公约。但是，该公约并非一个非常完善的打击跨国网络犯罪国际公约，它的实体、程序和国际合作规则均存在一定的不完善。实体规则中，虽然涉及不少罪名，但是，其中对主要罪名的犯罪构成的规定存在一定的欠缺；程序规则中，由于管辖权规则存在未规定具体管辖权原则之间的优先次序、电子证据调查规则多是非义务性规则等问题，这些规则的可适用性及适用的有效性存疑；国际合作规则中，国际合作原则、方式、条件、机构等规范并不完善甚至缺失也使这些规则的适用存在问题。这些问题中，有些可能通过公约的修订而不断完善，有些问题则由于问题本身的复杂性及公约修订程序的问题很难得到改善，也正是由于这些原因公约很难突破自身的限制获得世界上大多数国家的认可。例如，目前很多新兴网络大国加入公约的积极性受阻甚至反对将该公约发展为全球性打击跨国网络犯罪公约就源于公约第32条第b项的规定不仅对这些国家的网络安全存在潜在的威胁且难以救济，而且欲通过修订该款而消除威胁在程序上基本是行不通的。[58]

2.《阿拉伯打击信息技术犯罪公约》

为提高和加强阿拉伯国家之间打击信息技术领域罪行的合作以预防此类犯罪的威胁，保护阿拉伯国家的安全、利益和他们的社会和公民的安全，阿拉伯国家联盟总秘书处于2010年通过了《阿拉伯打击信息技术犯罪公约》（以下简称《阿拉伯公约》）。[59]该公约通过后很快获得了大多数阿拉伯国家的接受和支持。[60]

该公约共5章，44条。它对《布达佩斯公约》沿袭程度较深。从结构上看，它与后法大致相同，均包括：一般规定、实体规则、程序规则、法律和司法协助规则（即国际合作条款）和最后条款。从内容上看，它与后法的核心内容大致相同：相关条款基本上是对后法的沿用甚至照搬；该公约的主要部分包括实体法、程序法和法律与司法协助，它们与后法的内容存在较大程度的重合，尤其是程序法部分基本照搬后法原文。具体地：

第2章是实体法条款（第5—21条）。该章涉及一系列犯罪：刑事定罪、非法访问罪、非法拦截罪、侵犯数据完整性的犯罪、滥用信息技术手段罪、伪造罪、诈骗罪、色情罪、其他与色情相关的罪行、侵犯隐私罪、与恐怖主义相关的信息技术手段犯罪、通过信息技术的手段实施的有组织犯罪、与版权和邻接权相关的罪行、非法使用电子支付工具、准备和参与实施犯罪、自然人或法人的刑事责任、扩大通过信息技术手段实施的传统犯罪的惩罚力度。在该章中，除第5条“刑事定罪”专门规定“每一缔约国应根据其立法和法规对规定在本章中的行为进行刑事定罪”以外，[61]其他条款均与《布达佩斯公约》相似。例如，第6—9条是对后法的损益，主要内容相同，个别用语存在细微差异或省略了后法中的某些建议性规定；[62]第10—12条与《布达佩斯公约》基本无差异。虽然该公约的实体规则在较大程度上沿袭了后法，但是，与后法相比，该公约增加了部分内容。例如，该法第14条“侵犯隐私罪”、第15条“与恐怖主义相关的信息技术手段犯罪”、第16条“通过信息技术的手段实施的有组织犯罪”、第18条“非法使用电子支付工具罪”和第21条“扩大惩罚通过信息技术实施的传统犯罪力度”都是后法所缺失或未明确规定的罪行。

第3章是程序条款（第22—29条）。该章共8条，涉及程序条款的适用范围、通过信息技术存储的数据的快速保护、[63]快速保护和部分用户跟踪信息的披露、命令提交信息、检查存储的信息、扣押存储的信息、用户信息的快速收集、信息内容的拦截。除条款标题上的差异外，该章与《布达佩斯公约》第2章程序法的条款一一对应且实质内容存在较大程度的重合。另外，需要指出的是，该公约在将《布达佩斯公约》关于管辖权的规定充实之后，置于“法律与司法协助”一章中。

第4章法律与司法协助（第30—43条）。包括权限、引渡、相互协助、间接信息、合作和互助请求程序、拒绝协助、使用的机密性和限制、存储在信息系统中的信息的快速保护、受保护用户跟踪信息的快速披露、与访问已存储信息技术信息相关的合作和双边协助、信息技术信息的跨国获取、与快速收集用户跟踪信息相关的合作和双边协助、与内容相关信息的合作和双边协助、专门团体。该章与《布达佩斯公约》第三章的规定基本相同，仅存在几点细微的差别：一是该公约第30条“权限”对应《布达佩斯公约》程序规则中的第22条“管辖权”，但该公约的规定比后法更完善且更具有可操作性；二是该公约没有像《布达佩斯公约》一样规定打击跨国网络犯罪方面进行国际合作的一般原则，这是该公约存在的一个重要问题；三是该公约第39条“与访问已存储信息技术信息相关的合作和双边协助”与涉及国际合作一般原则的《布达佩斯公约》第31条的规定存在些许语词上的差异；四是该公约第43条对应《布达佩斯公约》第35条，两者的主要区别在于该公约规定“专门团体”应“一天24小时”保证对与计算机系统和数据相关的犯罪的调查和程序或收集电子证据的快速协助规定得以执行，而《布达佩斯公约》则规定的是“一个联络点”（a point of contact）应“一天24小时一周7天”保证对与计算机系统和数据相关的犯罪的调查和程序或收集电子证据的快速协助规定得以执行。[64]

总之，无论从结构还是从内容上看，该公约均在较大程度上沿袭了《布达佩斯公约》——该公约结构与后法基本相同，内容上的重合度也较高。但是，需要指出的是，该公约既存在一些与后法相同的问题，如它关于罪名的规定大多不及后法详尽，犯罪构成要素缺失的问题较为严重；也突破了后法的一些缺陷，如它在后法基础上补充规定了管辖原则的优先次序等；甚至发展了一些具有针对性的规则，增加了一些罪名，如与恐怖主义相关的信息技术手段犯罪、通过信息技术手段实施的有组织犯罪等罪名均是后法所未能明确规定的。正是该公约与后法的差异及它对后法的突破，使得对于该公约的研究具有重要意义。

3.《独立国家联合体打击计算机信息领域犯罪合作协定》

为有效打击相关跨国计算机信息领域犯罪，确定以各方同意的方式打击相关犯罪，2001年举行的独立国家联合体国家首脑理事会会议将“独立国家联合体打击计算机信息领域犯罪合作协定”作为其第五项议程进行了深入讨论，并于6月1日正式通过《独立国家联合体打击计算机信息领域犯罪合作协定》（以下简称《独联体国家协定》）；该协定已于2002年3月14日生效。[65]

该协定是独立国家联合体各缔约方建立的、执法和司法机构之间合作的法律框架，该协定要求缔约方合作以确保有效预防、侦查、抑制、发现和调查计算机信息犯罪。该协定共17条，包括基本术语、总则、犯罪行为、主管部门、合作的形式、协助请求、执行请求、拒绝执行请求、信息的机密性、争端解决、费用、工作语言、与其他国际协定的关系、修订与附件、生效的条件、效力、最后条款。与《布达佩斯公约》类似，该协定的核心内容是犯罪行为的界定（第3条）、国际合作（第5—9条）；但是，该协定涉及的实质领域与《布达佩斯公约》并不完全相同。具体地：

该协定第3条将4类行为视为协定下的跨国网络犯罪：（1）非法访问计算机信息导致信息破坏、阻塞、修改、复制计算机、计算机系统或导致相关网络功能中断的行为；（2）创建、使用或分销恶意软件的行为；（3）有访问权限的人违反规定使用计算机、计算机系统或相关网络，从而导致破坏、阻止或修改受法律保护的计算机信息且造成重大伤害或严重后果的行为；（4）非法使用受版权保护的计算机和数据库软件或软件盗版且造成重大损害的行为。该条还指出了网络犯罪的主观方面是“故意”，也就是说该协定下的所有网络犯罪主观上均应是故意的；该条也指出了确定犯罪后果、重大损害的方法，“‘重大损害’概念的定义，‘严重后果’和‘重大损害’应当由各缔约方自行确定”。另外，该条明确了该协定基本遵循国内法优先及转化适用的原则，该条前言指出：“各方应当遵循他们的国家立法，确立以下行为为犯罪……”[66]

该协定第5—9条是关于国际合作的规定。第5条规定了7种具体的合作形式，但是，该条并未穷尽所有合作形式——除该条明确规定的7种外，协定下的合作形式还包括“各方可能同意的其他形式的合作”；第6条规定了请求方请求协助所应具备的6大条件及其他辅助性要求（如请求的形式、签章要求、确认请求的最长时间限制等）；第7条规定了被请求方执行请求的具体要求及一些特殊情况下被请求方应执行的程序要求；第8条规定了拒绝执行请求应满足的条件及拒绝后的后续措施；第9条则规定了合作的一个重要要求，即保持信息的机密性。[67]

该协定并未对具体的程序规则作出规定，但是，其第10条“争端解决”规定了协定解释和适用存在争议时的解决方法——谈判和协商。

总之，该协定与《布达佩斯公约》存在较大的差别。由此，它也存在《布达佩斯公约》所不具有的优势和缺陷。就优势来说，该协定的内容设置把部分问题统一和细化，有利于建立统一明确的标准，减少缔约方之间由于对条约理解的不同而产生的分歧，如它关于国际合作的形式、请求方请求协助所应具备的条件等的规定就相当详细，明确的合作形式和协助条件不仅规范了缔约方国际合作的形式，也可能提高国际合作的效率。而且该协定的很多规定是开放性的条款，这使得该协定能够随着实践的变化纳入新的内容，上文“各方可能同意的其他形式的合作”就是一个例证。就缺陷来说，该协定规定的内容过于简单，在罪名、管辖、电子证据调查程序等方面均存在较大问题。首先，该协定涉及的罪名有限，而且相关罪名转换为国内法后如何适用也存在较大的问题。其次，当各缔约方管辖权冲突时如何确定管辖权问题，该协定仅规定应谈判和协商解决管辖权争端，而并未规定具体的程序和方法，也未规定传统管辖权规则是否均适用于解决该协定下的争端，这也是一个不容忽视的问题。最后，该协定只字不提电子证据的调查问题，电子证据调查是打击跨国网络犯罪的一个重要步骤，该协定的这种欠缺显然是一个不小的问题。正是这些《布达佩斯公约》所不具备的优势和缺陷使得对该协定的研究具有重要意义。

4.《西非国家经济共同体打击跨国网络犯罪指令》

为建立一个有效的、可信赖的打击跨国网络犯罪国际合作和立法框架，2011年8月17—19日在尼日利亚首都阿布贾举行的第66届西非国家经济共同体部长委员会常规会议上，通过了《西非国家经济共同体打击跨国网络犯罪指令》（Directive C/DIR.1/08/11 on Fighting Cybercrime）（以下简称《西经体指令》）。[68]该指令于2014年1月1日起开始实施，[69]其目标在于通过实质性刑事立法和西非国家经济共同体成员国处理跨国网络犯罪问题的刑事程序。[70]

该指令共6章，35条，结构与《布达佩斯公约》类似，包括：一般条款、实体刑法、程序规则及最后条款。公约的核心内容分布在第2—5章。

实体刑法（第2—3章）包括一系列犯罪，具体分为两大类：一是与信息及通信技术相关的特定罪行（第4—23条）。包括非法访问计算机系统，非法滞留在计算机系统中，干扰计算机系统的运行，非法在一个计算机系统中输入数据，非法拦截计算机数据，非法修改计算机数据，计算机数据伪造，从相关计算机伪造活动中获益，非法篡改个人数据，使用伪造数据，获取实施犯罪的设备，加入一个实施网络犯罪活动的联盟或协定中，生产儿童色情或色情表达，进出口儿童色情或色情表达，持有儿童色情或色情表达，便利青少年获取色情、文件、声音或色情表达，通过计算机系统持有种族主义或排外书面文件或图像，通过计算机系统进行威胁，通过计算机系统实施虐待，通过计算机系统否认反人道的行为或罪行或为之辩护。二是包含传统犯罪的信息和通信技术罪行（第24—27条）。包括违反共同体法罪行的加重情况，对计算机数据、软件和程序的侵犯，通过电子通信技术实施的媒体罪行，法人实体而非公共实体的责任。虽然该指令实体刑法与《布达佩斯公约》类似，但是，其罪名条款更加具体（涉及的部分罪名又进一步分为更具体的罪名）且增加了新的罪名（如通过计算机系统否认反人道的行为或罪行或为之辩护等罪）。另外，该指令以专章规定了对实体网络犯罪的制裁措施——第4章制裁（第28—29条），包括主要的处罚、辅助的处罚。

程序规则（第5章，第30—33条）包括搜查或访问计算机系统、数据的快速保存、证明的方法、司法合作。第30条“搜查和访问计算机系统”对国家主管机关访问计算机的条件及无法访问时的程序规则进行了规定。第31条“数据的快速保存”对必须保存的信息作出了规定，且为个人设定了一定的信息保存义务：“当现有信息必须保存，且有理由认为计算机系统中的信息可能丢失的情况下，国家主管机关可以要求任何个人在一段时间内保存和维护个人所拥有或在个人控制下的数据的完整性。”第32条“证明的方法”对电子证据作了规定，强调电子证据必须来源于身份确定的主体，以保证这些主体提供的证据是真实可靠的：“由能够确认身份且能够保持身份明确以保障电子证据完整性的个人提供的电子证据应被接受为定罪的证据。”第33条“司法合作”规定了成员国的司法合作义务，这种义务是强制的，即只要一成员国被另一成员国通知被请求合作打击的罪行是本指令下的犯罪，则该成员国应合作追查、定罪及收集证据。该条还规定合作应遵循相关犯罪领域国际合作国际法及法律机制。[71]

该指令并未设专章对打击跨国网络犯罪国际合作进行规定，因此，西经体成员国在指令下合作打击跨国网络犯罪只能依据第5章第33条的规定。

虽然该指令在结构上与《布达佩斯公约》类似，但是，它们的具体内容存在较大区别。就罪名而言，该指令的罪名条款更加具体，涉及的部分罪名的内容比后法更丰富。就程序规则而言，该指令未涉及管辖权规则，而对于电子证据的规定仅限于电子证据规则的适用范围及具有证明力的电子证据需要具备的要素。就国际合作而言，指令仅规定了成员国的司法合作义务，并未规定具体的合作原则和程序等。这些相似和区别使得指令既与后法存在一些类似的问题，如由于侧重对与信息技术相关的罪名的打击，指令与后法一样对于日益受国际社会关注的网络恐怖主义犯罪、其他有组织犯罪、侵犯隐私犯罪未予以明确规定，这使得能否适用指令打击这些犯罪不易确定；也存在一些不同的问题，如由于侧重达成一个适用于西经体国家的刑事程序规则，其规定的合作义务具有强制性，由此，该指令也善意地相信缔约方会积极合作，它并未具体规定缔约方消极合作甚至不合作时的临时措施，这使一方不积极履行国际合作义务时另一方的权利难以得到有效救济。这些类似及截然不同的问题使得对该指令的研究也具有意义。

5.《上海合作组织成员国保障国际信息安全政府间合作协定》

为应对国际信息安全威胁，维护成员国信息安全利益，创建一个和平、合作、和谐的国际信息环境，并为成员方建立一个法律的、有组织的合作框架以保障它们在国际信息安全领域的合作，上海合作组织成员国元首理事会于2006年6月15日签署了《上海合作组织成员国元首关于国际信息安全的声明》，[72]并于2007年8月16日批准了为落实该声明而制定的《上海合作组织成员国保障国际信息安全行动计划》。[73]在上述基础上，上海合作组织成员国元首理事会于2009年6月16日在叶卡捷琳堡签署了《上海合作组织成员国保障国际信息安全政府间合作协定》（以下简称《上合组织协定》）及其两个附件。协定确定了成员国在上海合作组织框架内保障国际信息安全的途径和手段，强调各国在双边、本组织内部和国际等层面进行合作，以提高打击网络恐怖主义和网络犯罪、保障本国信息安全的能力，防止利用网络传播“三股势力”思想，防止个别国家利用网络干涉他国内政。我国于2011年3月5日核准该公约，该公约于同年6月2日起对我国生效。

该协定共12条，包括一般术语、信息安全保护领域的主要威胁、主要合作方向、合作基本原则、合作主要方式和机制、信息保护、费用、与其他国际条约的关系、争端的解决、工作语言、保存方、最后条款。[74]该协定明确指出附件1、附件2是其不可分割的一部分，[75]因此，对协定内容的分析必然包括这两个附件。附件1《国际资讯安全领域基本术语及概念清单》包括信息安全、信息战、信息基础设施、信息犯罪、信息空间、信息资源、信息恐怖主义、国际信息安全、非法使用信息资源、未经许可干扰信息资源、信息安全威胁等术语。附件2《国际信息安全领域的威胁种类及其根源和特征清单》包括信息武器的研制与使用，信息战的准备和实施，信息恐怖主义，信息犯罪，利用在信息空间的领先地位损害他国利益和安全，传播破坏他国政治、经济和社会制度以及精神文化环境的信息，对全球和国家信息基础设施安全稳定运行的自然和（或）人为威胁。

该协定是一个综合性的网络安全协定，涉及网络安全的主要领域，跨国网络犯罪只是其中的一项内容。就跨国网络犯罪而言，该协定可用于解决国际信息安全背景下跨国网络犯罪事务的合作问题、信息战、网络恐怖主义及针对国际与国家信息基础设施的威胁等问题。由于国际信息安全问题受到国际社会日益广泛的关注，该协定侧重从整体上把握信息安全问题，并未对跨国网络犯罪的实体规则、程序规则和管辖权问题进行具体规定。[76]但是，这并不妨碍该协定成为打击跨国网络犯罪国际法研究的主体，因为该公约关于国际合作等的规定较为系统，总体上确立了合作的原则、方式和机制等，这是其他大多数区域性打击跨国网络犯罪国际公约所不具备的。因此，它对于其他打击跨国网络犯罪国际公约的修订及未来可能形成的新的全球性打击跨国网络犯罪国际公约具有较强的借鉴意义，这也正是它值得我们深入研究的一个重要原因。另外，该协定充分体现了以中国为代表的信息网络国家在网络问题上的立场和主张，尤其是这些国家关于网络犯罪及相关国际合作问题的态度，这也使得对该协定的研究具有重要意义。

6.《非盟网络安全和个人数据保护公约》

为有效维护非洲网络安全，非洲联盟于2012年9月1日通过了《关于建立有利于非洲网络安全的法律框架公约草案》（Draft African Union Convention on the Establishment of a Legal Framework Conducive to Cybersecurity in Africa or Draft African Union Convention on the Confidence and Security in Cyberspace）；经过一系列复杂的讨论，该草案于2014年在非盟第23届常规会议上获得通过，并更名为《非盟网络安全和个人数据保护公约》（以下简称《非盟公约》）。[77]该公约的目的是建立一个体现非盟成员国在次区域、区域和国际层面实现信息社会现有承诺的网络安全与个人数据保护法律框架。[78]作为一个综合性的网络安全公约，公约以专章规定了电子交易、个人数据保护、促进网络安全和打击跨国网络犯罪问题。其中，公约第3章“促进网络安全和打击跨国网络犯罪”具体规定打击跨国网络犯罪相关问题。该章在结构上与《布达佩斯公约》存在较大的差异，具体地：

该章第一部分是国家层面的网络安全措施（第24—28条）。包括国家网络安全框架（国家政策、国家战略）、法律措施（打击跨国网络犯罪立法、国家监管部门、公民的权利、关键设施的保护）、国家网络安全系统（网络安全文化、政府的角色、公私合作关系、教育和培训）、国家网络安全监管框架（网络安全监管、制度框架）、国际合作（协调、相互协助、信息交换、合作的方式）。

该章第二部分是实体刑法（第29—31条）。包括针对信息和通信技术的犯罪（攻击计算机系统、攻击计算机数据、与内容相关的犯罪、与电子信息安全措施相关的犯罪）、针对特定的信息和通信技术犯罪（侵犯财产权、法人的刑事责任）、对信息和通信技术犯罪适用一定的制裁（刑事制裁、其他刑事制裁、程序法）。

从内容上看，该章实体刑法内容与《布达佩斯公约》存在较大的一致性，它的罪名设置、法人责任和制裁措施均与《布达佩斯公约》类似。但是，它的程序法规则较为简单（仅附于实体刑法中的一个规则之下）。另外，公约将国际合作置于“国家层面的安全措施之下”进行了规范，但是，当前该公约并未寻求建立针对网络刑事事项的国际合作机制及管辖权——“这或许是由于它将网络安全作为一个整体问题来关注，而非特别着眼于刑事司法问题”。[79]虽然到目前为止该公约并未生效，但由于该公约的部分规定如公民权利、国际合作的方式等的规定与其他公约存在较大差异，它可能对其他打击跨国网络犯罪国际公约及未来的全球性打击跨国网络犯罪国际公约具有借鉴意义；加之，该公约是非洲网络安全领域最受关注的区域性公约，有必要对该公约加以研究。

（二）现行区域性打击跨国网络犯罪国际法规范存在的主要不足

上述区域性打击跨国网络犯罪国际公约是目前打击跨国网络犯罪领域具有代表性的国际公约。除《非盟公约》外，其他公约均已生效和实施。上述已生效的国际公约在指导打击跨国网络犯罪的国际实践中表现出了一些问题，而尚未生效的《非盟公约》未来指导其缔约方的相关实践时亦可能存在类似问题。这些问题一方面源于它们作为区域性公约固有的缺陷。由于上述公约均为区域性公约（虽然西方国家正在积极推动《布达佩斯公约》的全球化，但其全球化进展缓慢，本质上其仍是一个区域性公约），难以避免一般区域性公约通常所具有的缺陷，这主要表现为它们的缔约方往往限于本区域内，公约本身开放性不足等。另一方面源于其自身条款设计上的不完善。从法律适用的角度看，它们作为区域性公约所固有的缺陷仅是其中一个问题，它们还存在或可能存在其他适用上的问题：它们往往过分看重自身作为国际公约的灵活性，而对于缔约方可作出的保留没有进行必要的限制，使得公约存在一定的权威性不足问题；它们也往往作为示范法适用于各缔约方，相关条款的规定往往是较为宽泛的，宽泛的规定常引发条款落实或实施上的问题；上述公约均在文本中确定了统一适用于全体缔约方的标准，由于各缔约方发展情况和发展阶段不同，这可能引发公平性的问题。从内容和结构设置上看，上述公约也都存在一定程度的结构和内容问题。进一步地，由于目前并不存在一个统一的适用于全球的打击跨国网络犯罪国际公约，而现有区域性打击跨国网络犯罪国际公约文本之间存在一定的差异，这也可能引发不同国际公约的缔约方在合作打击跨国网络犯罪上的分歧。

1.法律适用上存在的不足

上述区域性打击跨国网络犯罪国际公约在适用上存在很多问题，首当其冲的是，它们的缔约方缺乏普遍性和代表性。[80]众所周知，区域性公约本身就具有一定的局限性：一般区域性公约往往立足于本区域，以本区域内存在的相关问题为背景和依托拟定，通常对本区域具体情况具有较强的针对性，因此，区域性公约往往存在一定的开放性不足；虽然区域性公约并非封闭的公约，它们的参与主体不限于本区域，但事实上区域性公约的缔约方往往是本区域内的国家和其他实体，因此，它们的参与主体也往往缺乏普遍性和代表性。上述区域性打击跨国网络犯罪国际公约并未能摆脱一般区域性公约所具有的局限性，由于它们的缔约方多局限于相关组织的成员国，它们的参与主体明显缺乏普遍性和代表性，开放性也略显不足。一般来说，不能过分强调区域性公约的局限性，尤其是在网络空间，个别区域性公约（如《布达佩斯公约》）确实具有不小的影响力；而且目前达成全球性国际公约举步维艰，区域性公约可能是对相关网络问题进行法律规制的主要途径。但是，区域性公约所具有的缺陷在区域性打击跨国网络犯罪公约中确有体现。迄今为止，上述条约或法律文件均未能获得全球范围内大多国家的签署、批准或加入。签署、批准或加入《布达佩斯公约》的国家最多（截至2019年5月，共63个国家加入该公约），其中包括19个非欧委会成员国。[81]其他打击跨国网络犯罪国际法覆盖的地理范围较小，往往局限于本区域内——《阿拉伯公约》（18个国家或领土），《独联体国家协定》（10国），《上合组织协定》（6国）。若《非盟公约》得到非洲联盟所有成员国的签署或批准，将包括54个国家和领土。[82]不具有普遍性和代表性的国际公约在指导相关国家的打击网络犯罪实践中产生了不少问题，一个比较明显的问题是它们可能无法作为不同公约缔约国合作打击跨国网络犯罪的法律依据。例如，中国和美国分别是《上合组织协定》和《布达佩斯公约》的成员国和缔约国，其合作打击发生在两国间的网络犯罪既不是根据《上合组织协定》，也不是根据《布达佩斯公约》，相反往往依据中美之间定期召开的网络保护工作会议所达成的成果，如《美中打击跨国网络犯罪及相关事项热线机制运作方案》等；[83]两公约不被适用于解决两国间的争端固然存在其他原因，但在很大程度上可归因于两公约的适用不具有普遍性，换句话说，并不存在一个双方一致认可的国际公约可供双方适用。上述区域性打击跨国网络犯罪国际公约还存在一定程度的开放性不足的问题，虽然大部分公约均明确或不反对其他区域的国家或组织加入，但是，它们的加入机制或程序可能阻碍其他区域国家的加入。例如，《布达佩斯公约》第32条第b款就是阻碍新兴国家加入该公约的主要原因。

其次，上述区域性打击跨国网络犯罪国际公约的适用还存在权威性不足的问题。国际法和国内法具有一定的区别，国际法上并不存在一个统一的立法和执法机关，因此，国际法的适用较国内法也更为复杂。为获得更多国家在更大范围内的认可，国际法往往规定得更灵活，相关国际公约的缔约方在将这些国际公约转化或纳入其国内适用时往往具有一定的自由裁量权，传统国际法领域，国际公约作原则性或者基准性的规定、赋予国内法一定或者较大的灵活性的现象比较常见，因此，灵活性和自由裁量权本身无可非议；但是，当灵活性和自由裁量权过大时则可能引发一系列问题。上述区域性打击跨国网络犯罪国际公约是以类似示范法的方式建构的，它们往往仅确立了相关领域的基础性标准，基础性标准本身为缔约方合作打击跨国网络犯罪提供了一定的方向上的指引，这是国际公约通常应具备的功能，本身不构成问题；但由于上述区域性打击跨国网络犯罪国际公约基本未对如何将自身转化为国内法加以适用作出规定，使得这些基础性标准的适用缺少必要的保障，可能影响这些公约的权威性。例如，缔约方将相关公约转化适用时，由于对公约相关规定的解释存在偏差而偏离了公约的目的和宗旨，可能与公约相背离甚至相冲突，这不仅是对公约权威的减损和伤害，还可能阻碍缔约方合作打击跨国网络犯罪。部分立法还规定了相当多的保留条款，赋予了缔约方相当大的自由裁量权。保留条款本身也不是问题，因为国际法为了获得更多国家的认可，往往选择作出一定的妥协，保留条款往往是国际法对本公约下某些可减损利益的选择性退让；但是，如果规定过多的保留条款，则可能产生问题。以上述区域性打击跨国网络犯罪国际公约中影响力最大的《布达佩斯公约》为例，为了获得各国的支持，并促使更多的国家签署该公约，实现网络犯罪规定的国际化，该公约对许多有争议的事项都作了可保留的规定。《布达佩斯公约》共48条，仅可保留的条款就多达9项，而这9项保留条款往往与其他条款联系在一起，如该公约第11条规定，“各方可对本条第2款全部或部分保留”，而该条第2款涉及第3条、第5条、第7条、第8条、第9条；[84]一旦保留条款获得认可，上述与保留内容相关条款的适用也变得不确定。公约的这种做法虽然有利于成员国之间达成妥协，但由缔约方依据各自的国内立法作出保留，不仅使被保留的规定形同虚设，也使得与保留条款相关的规定难以有效适用，这无疑减损了该公约的效力，也影响了它们的权威性。如果国际法的规定不着力于自身的有效适用，而致力于最大限度地赋予各国依照本国的国内法来打击跨国网络犯罪的权利，国际法的意义何在，又如何体现它们的权威呢？

再次，上述区域性打击跨国网络犯罪国际公约的适用在一定程度上存在可操作性不足。由于它们均未设置相应的管理和执行机制，根据上述区域性打击跨国网络犯罪国际公约本身无法实现有效打击跨国网络犯罪的目标。根据相关国际公约的规定，不难看出它们的适用基本上都需要转化为国内法，并依靠国际法对相关罪名、程序和合作机制等进行完善。也就是说，上述区域性打击跨国网络犯罪国际公约的落实主要依赖国内法，依据上述国际公约本身无法对相关网络犯罪进行定罪和处罚。上述区域性打击跨国网络犯罪国际公约的规定还存在一定的不规范问题：它们虽然均强调条约对缔约方的效力，却基本上没有立法明确涉及发生在缔约方和非缔约方之间的跨国网络犯罪如何处理。事实上，上述国际公约的缔约方均非常有限（即使是成员国最多的《布达佩斯公约》也仅有世界上1/4的国家签署），发生在缔约方和非缔约方之间的跨国网络犯罪比比皆是。这一问题的存在，也严重影响了上述立法的可操作性。例如，发生在中国和越南、缅甸三国的“5·28”跨国网络赌博案就反映了这一问题。2014年5月，越南警方向中国警方通报，发现多名中国籍犯罪嫌疑人在越南运营一专门针对中国人的赌博网站。专案组经缜密侦查，发现一个跨中国、越南、缅甸三国，运营网络赌博网站的犯罪团伙。随后，中国、越南、缅甸统一开展了打击跨国网络赌博联合执法行动，三方公安机关分别抓获位于本国的犯罪嫌疑人后移交给中国徐州警方，有力地打击了跨国网络赌博犯罪活动。[85]虽然中国是《上合组织协定》的成员国，“为达到非法目的在信息空间使用信息资源”的网络赌博可以依据该协定进行规制，[86]但是，由于该协定未规定当跨国网络犯罪发生在缔约方和非缔约方之间时如何处理，该协定在该案及类似案件中基本没有适用的空间。

最后，部分打击跨国网络犯罪国际法的适用还存在公平性缺失的问题。这一问题在《布达佩斯公约》中体现得最为明显。一方面，该公约的缔约方主要是信息化程度相对较高的欧美发达国家，它们在立法过程中居于主导地位，掌握了立法的话语权，立法必然带有它们的利益主张与价值诉求。例如，西方国家在很多国际法事务中强调事务本身，尽力淡化主权、否认事务与国家主权的联系以为干涉他们事务提供借口，在网络犯罪事务上也是如此；这具体体现为该公约在国际合作上强调跨境证据调查的时效性，[87]规定一方可以在不经由另一方授权的情形下跨国访问位于他国的公共信息或由私人自愿、合法披露的信息，这方便了它们“合法”干涉他国网络事务。又如，西方发达国家尤其重视互联网自由及言论自由，它们以保护互联网自由为由，长期消极看待网络恐怖主义问题，因此，在该公约中并未直接规定网络恐怖主义犯罪罪名条款，仅笼统地将该问题归于公约第4条和第5条的罪名之下。[88]另一方面，由于世界各国在网络空间的核心利益和发展情况不同，在西方信息化程度较高的国家主导下订立的打击跨国网络犯罪框架并不能满足所有国家的要求。目前，虽然欧美发达国家致力于将该公约发展成为一个全球性打击跨国网络犯罪国际公约，但是，由于新兴国家并未充分参与公约的制定，且公约的修改很难顺利开展，公约不能充分反映以中国和俄罗斯为代表的新兴国家的利益和主张，现阶段也无法通过修订公约而改善这种问题，因此，许多新兴国家明确对此持反对意见。事实上，由于上述两方面的公平性问题，《布达佩斯公约》及其治理机制很难真正发挥一个全球性打击跨国网络犯罪公约应有的作用。其他区域性打击跨国网络犯罪国际公约也存在一定程度的公平问题，这主要体现在较为一致的定罪标准上。由于同一区域内各国发展阶段不尽相同，对于同一罪行如果严格要求一致的定罪标准可能对发展水平较低的国家造成过度的压力。例如，对于儿童色情的问题，发达国家日益重视儿童权利的保护，立法水平较高；而在一些价值观迥异、较为落后的国家，儿童权利的保护并不严格，以统一的、较高的标准来要求后者不仅可能很难实现，还可能使后者产生畏惧而不予合作。

2.内容和结构上的缺陷

上述区域性打击跨国网络犯罪国际公约自身在内容和结构上均存在一定的问题，这些问题的存在使它们无法有效规范网络犯罪问题。

从内容上看，上述区域性打击跨国网络犯罪国际公约均存在一定程度的规则缺失问题。打击跨国网络犯罪相关法律可能适用于解决一系列问题，包括：特定行为的定罪、执法机关的刑事侦查权、刑事司法协助问题、电子证据的调查、电子服务提供商的数据保护责任及打击跨国网络犯罪的国际合作机制等。但是，目前的相关打击跨国网络犯罪国际法的重点不尽相同，部分立法将重点放在调查措施、管辖权和国际合作等问题上，从而忽视了其他问题的解决。例如，仅就电子证据的调查而言，只有《布达佩斯公约》《阿拉伯公约》《西经体指令》和《非盟公约》载有与电子证据相关的条款。[89]而这些载有电子证据条款的立法的规定也不尽完善，《西经体指令》和《非盟公约》关于电子证据的规定相当简单，并不足以解决电子证据调查方面的问题。就网络恐怖主义犯罪的规制来看，除《上合组织协定》《阿拉伯公约》涉及网络恐怖主义外，[90]《布达佩斯公约》《独联体国家协定》《西经体指令》《非盟公约》均缺失针对网络恐怖主义的规则。部分领域的特定规则的缺失或不完善显然不利于有效规范跨国网络犯罪问题，因此，这一问题不容忽视。

从结构上看，一个综合性的打击跨国网络犯罪国际条约，应是较为全面的，即应当是涉及网络犯罪的实体、程序、合作机制等各方面的问题。《布达佩斯公约》主要涵盖了定罪、程序权力、管辖权和国际合作四个领域，是上述区域性打击跨国网络犯罪国际公约中结构比较完善的一个。除《上合组织协定》和《非盟公约》外，上述区域性打击跨国网络犯罪国际公约主要沿袭《布达佩斯公约》的结构设置，核心内容包括实体规则、程序规则与国际合作规则。然而，由于这些文书的目标和宗旨不尽相同，它们的结构设置也各有侧重，因此，也都或多或少存在一定的问题。《阿拉伯公约》的大部分规则，尤其是程序规则及国际合作规则基本完全照搬《布达佩斯公约》，因此，它与后法高度一致，结构上的问题不大。《西经体指令》的结构也沿袭了《布达佩斯公约》，主要内容包括实体规则和程序规则，但是，该指令对打击跨国网络犯罪国际合作的规定较为简单，且附于程序规则之中。《独联体国家协定》虽然也在一定程度上沿袭了《布达佩斯公约》的体例，但是，该协定确立的法律框架仅涵盖少量罪名条款和国际合作条款，未涉及具体的程序规则和管辖规则。因此，《西经体指令》和《独联体国家协定》的结构均存在不完善之处。《非盟公约》规定的具体罪名虽然与《布达佩斯公约》相似，但结构上与《布达佩斯公约》差异较大：它的刑事规则中包含了一些实体规则和少量程序规则，国际合作规则则规定在国际层面的安全措施中，结构相当混乱；而且该公约还缺失具体的管辖权规则。《上合组织协定》与《布达佩斯公约》的内容和结构均存在较大的差异。仅就结构来看，该协定包括一些国际合作规则，并涉及了一些罪名；但是，它未涉及具体的定罪规则、程序权力、管辖权和国际合作规则。因此，《非盟公约》和《上合组织协定》也存在结构上的问题。

3.文本差异引发的冲突

现有打击跨国网络犯罪国际公约之间存在一定差异甚至冲突，增加了不同国际公约的缔约方之间合作打击跨国和跨区域网络犯罪的难度。

现有打击跨国网络犯罪国际公约的核心条款既有共通之处，也在涉及的实质领域上存在一定的差异。其他现有区域性打击跨国网络犯罪国际公约不仅在结构上和内容上或多或少地借鉴了《布达佩斯公约》，它们之间也相互影响。例如，《布达佩斯公约》中提出的基本概念可见于其他国际公约之中，《独联体国家协定》与《上合组织协定》在计算机信息安全方面的一些概念一致，《非盟公约》与《西经体指令》中的部分内容类似。[91]但是，这些并非主要矛盾，上述立法之间的差异及其可能产生的影响才是主要矛盾。除因地理范围而产生的缔约方的不同，区域性公约同各国国内法一样，侧重解决的问题也有差异，而这些差异多源于各区域性公约间根本目标的不同。《布达佩斯公约》《阿拉伯公约》《独联体国家协定》专门致力于为打击跨国网络犯罪提供一个法律框架，因此，它们涉及了跨国网络犯罪的实体、程序及国际合作规则的主要方面。《上合组织协定》和《非盟公约》，致力于为网络安全提供一个法律框架，因此，它们涉及的内容较广，打击跨国网络犯罪只是其中的一项内容。就打击跨国网络犯罪而言，《上合组织协定》解决的是国际信息安全的背景下跨国网络犯罪事务的合作问题，并未明确阐释打击跨国网络犯罪的具体规则；《非盟公约》将网络安全作为一个整体问题来关注，并未寻求建立针对跨国网络刑事事项的国际合作机制。

差异主要体现为不同的打击跨国网络犯罪国际公约的规则不尽相同。不同的打击跨国网络犯罪国际公约对于同一罪行，可能规定不同的罪名、处罚措施和程序规则，从而可能出现同一罪行依据不同的立法被界定为不同的犯罪并分别适用不同的处罚措施和规则，极端情况下依据一项国际公约属于犯罪的行为，在另一项国际公约中可能不被视为犯罪。例如，《布达佩斯公约》以其第3条“非法拦截罪”规制侵犯隐私权，[92]而《阿拉伯公约》在其第14条“非法拦截罪”之外另辟条款专门对侵犯隐私犯罪进行了规制，[93]由此，当侵犯隐私权犯罪发生在两公约缔约国之间时，可能由于罪名的不同适用不同的处罚规则。规则的差异可能引发管辖权冲突，使相关国家根据不同的立法争相对某项犯罪主张管辖权；也可能引发罪名认定的冲突，使相关国家由于保留或特定犯罪构成要件的差异免予特定义务，从而使一些犯罪行为免予被处罚。规则的差异还可能引发跨国引渡的冲突，一些立法规定政治犯不引渡，而另一些立法无此规定，这可能使某些被界定为政治犯的行为人的引渡矛盾难以调和。例如，现有区域性打击跨国网络犯罪国际公约中，《布达佩斯公约》和《阿拉伯公约》明确规定了政治犯不引渡原则，[94]而其他国际公约对此未作规定，当两公约缔约方与其他打击跨国网络犯罪国际公约缔约方之间产生此类网络犯罪的引渡矛盾时，应如何协调呢？由此，不同的打击跨国网络犯罪国际法文本上的差异可能使得这些立法的缔约方之间产生严重的管辖权冲突或相关立法规定的引渡措施无法实施。加之，打击跨国网络犯罪国际公约之间缺乏协调和统一，相关冲突更是不可避免。由此，增加了不同国际公约缔约方合作打击跨国网络犯罪的难度。