[摘 要]: [英文摘要]: [关 键 字]: [论文正文]:在计算机病毒肆虐的今天,刑法的利益观念还有待进一步改变。那么,该如何进一步完善法律渠道,以面对新的形势变化?
“法律总是具有一定程度的粗糙和不足,因为它必须在基于过去的同时着眼未来,否则就不能
预见未来可能发生的全部情况。现代社会变化之疾、之大,即使刑法经常修改也赶不上它的速度。”这是一句十分富有哲理性的话,用在今天,特别是用在计算机、信息产业领域是再恰如其分不过了。
科技的发展改变着整个世界,但同时,计算机病毒的侵入也改变着人们的生活。1994年2月18日,国务院发布的《中华人民共和国计算机信息系统安全保护条例》(以下称《条例》)被认为是关于计算机安全方面最早的法规,也是惟一一部由国务院颁发的相关法规。在计算机病毒肆虐的今天,急需进一步完善法律等渠道,使与之配套的法律法规满足现实的需要。
相关法规相继出台
国务院于1991年、2002年发布和修订了《计算机软件保护条例》,前者从侵犯著作权的角度对“未经软件著作权所有者或者合法受让者的同意修改、翻译、注释、复制或部分复制、向公众发行、展示其软件的复制品、向第三方办理其软件的许可使用或者转让事宜”的行为规定民事责任后,1994年2月18日国务院发布了《条例》,这也是我国首次提出刑事警告的法规。
《条例》第六条规定,“公安部主管全国计算机信息系统安全保护工作。”“国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。”这些,从法律的形式上确认了主管部门。条例第七条规定,“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。”
条例第二十三条将“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的”行为视为违反条例的行为,规定“由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1~3倍的罚款。”第二十四条则对超越二十三条的行为做出解释,如“构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚”;“构成犯罪的,依法追究刑事责任。”
但是,这样一个严谨的规定,却存在操作上的困难: 没有规定什么样的行为“构成犯罪”。当然,从资格上来讲,其尚不具备规定犯罪的情形;《条例》制定之时,《刑法》尚无相关规定。
另外,为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障计算机的应用与发展,根据《条例》的规定,公安部于2000年5月17日制定了《计算机病毒防治管理办法》(以下称《办法》)。《办法》第三条规定了“中华人民共和国境内的计算机信息系统以及未联网计算机的计算机病毒防治管理工作,适用本办法”和第四条由“公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作”的要求。
《办法》针对《刑法》等法律规定的空白点,根据计算机病毒的发展状况明确和理清了一些概念。如第五条规定,“任何单位和个人不得制作计算机病毒”;
第六条规定“任何单位和个人不得有下列传播计算机病毒的行为:(一)故意输入计算机病毒,危害计算机信息系统安全;(二)向他人提供含有计算机病毒的文件、软件、媒体;(三)销售、出租、附赠含有计算机病毒的媒体;(四)其他传播计算机病毒的行为。”《办法》还规定,在非经营活动中有违反本办法第五条,第六条第二、三、四项规定行为之一的,由公安机关处以1000元以下罚款;在经营活动中有违反本办法第五条,第六条第二、三、四项规定行为之一,没有违法所得的,由公安机关对单位处以10000元以下罚款,对个人处以5000元以下罚款;有违法所得的,处以违法所得3倍以下罚款,但是最高不得超过30000元。
《办法》第十六条还规定,违反本办法第六条第一项规定的,依照《条例》第二十三条的规定处罚。即“构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚”;“构成犯罪的,依法追究刑事责任。”也许是因为立法机关的资格不同,《办法》没有直接将犯罪罚则引入1997年刑法,而是引入1994年《条例》。
法规遭遇操作难题
在1997年《中华人民共和国刑法》的第285~287条中对涉及计算机方面的犯罪作了相应规定。
第285条规定,“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”根据此条法律,笔者认为有四个方面的疑问:
第一,侵入对象只有国家事务、国防建设、尖端科学技术领域,而侵入其他领域是否不构成犯罪?
第二,如果法律允许这种现象存在的话,应当将该罪纳入危害国家安全罪和危害公共安全罪范畴,而将侵入其他领域纳入其他犯罪或许更好。
第三,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,自然人终究是少数,不论是间谍或商业犯罪,恰恰多是机构行为,而刑法规定的犯罪主体却是自然人,恰恰将单位犯罪排除在外。
第四,由于刑罚在此处罚的是行为犯罪,只要侵入指定的系统,最低就要处拘役刑,量刑偏重;在危害国家安全罪和危害公共安全罪中,与之相似的犯罪所要接受的处罚要重得多,相比之下,本条量刑偏轻。
利于计算机病毒犯罪的目的已经不单单停留在牟取利益上,有些行为的目的在于取悦自己、取悦别人,故刑法的利益观念有待转变。
第286条规定,“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”根据此可能会出现两个问题:
第一,最难操作的就是所谓的“后果严重的”行为。我们清楚,在计算机领域这个虚拟空间中, “情节严重”、“后果严重”同样具有虚拟成份,但虚拟中或然着真实。在司法实践中,后果是否严重,更多的要看“治愈”情况。比如伤害案件,能否治疗好伤情对于处刑是一个非常重要的参考。那么在计算机病毒犯罪中,很难说病毒的后果有多么严重。如果使用杀病毒软件,绝大多数都会完全恢复。刑法如何看待这种情况?是否修复了系统就可以不进行追究了呢?这种规定将使司法实践产生诸多难题。
第二,本条涉及的三个款项中,无例外地规定“后果严重的……”才给予处罚,这样的规定将在最新的计算机犯罪面前束手无策。如2004年6月4日,一种新近被截获的计算机病毒,被证实能突破大部分网上银行安全防线,成功窃取用户账号和密码。反病毒专家警告,网上银行潜在的资金威胁已上升到万亿元级别。这就是“超级网银大盗Ⅱ”,它被认为是已于2004年4月份被截获的“网银大盗”的新变种。该病毒记录键盘敲击的每一个键值,然后发送到病毒作者的服务器上。在此,“犯罪行为”未对计算机信息系统功能进行任何删除、修改、增加、干扰,未造成计算机信息系统的不能正常运行,对于上述信息系统和应用程序更谈不上后果,如何惩罚?
第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
根据此条,可能出现的问题是:由于只是将操作计算机作为犯罪手段来看待,导致前例犯罪中的行为不能触犯第286条的规定时,在上述这个案例中的这种高危木马病毒可以盗取几乎涵盖中国目前所有个人网上银行的账号、密码、验证码等等,该病毒涉及国内32家网上银行及支付系统。但如果病毒制造者的目的在于进行扰乱社会秩序或金融秩序,他未必进行直接的盗窃或占有行为,其如果在网络上公布这些盗来的网上银行账号,鼓励他人“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪”,如何处理?
病毒犯罪后果严重
什么是“严重后果”?在国际间的司法实践中,对于计算机病毒方面的犯罪来说,这些人们所认可的所谓“直接”或“间接”后果很难计算,或者说很难使之成为证据。
首先,是难以计算的数额问题。1988年,受莫里斯影响,全世界6000多台电脑停机,经济损失达9600万美元;1999年美丽杀手病毒导致一些政府部门及大公司紧急关闭了网络服务器,经济损失超过12亿美元;从2000年5月至今,爱虫病毒使众多用户电脑被感染,损失在100亿美元以上; 从2001年12月至今,求职信大量病毒邮件堵塞服务器,损失达数百亿美元;仅2002年以来,以电子邮件、、文件共享等传播途径的混合型病毒愈演愈烈,曾经影响最大的“求职信”病毒持续6个月高居感染率第一,遭到感染的计算机近百万台,损失巨大。但在追究行为人的法律责任时,上述这些计算方法根本无法奏效。 特洛伊木马
|
|
