作者简介:李兴臣,法学硕士,获得法律职业资格、注册税务师职业资格、证券从业资格、基金从业资格等。联系电话18916979575(微信号同)
03
泄露计算机漏洞行为成为法外之地,原因何在
世界各国现行的刑事立法普遍没有将泄露计算机漏洞行为规定成独立的犯罪,因此,将该行为作为后续的计算机犯罪的帮助行为进行处罚便成了追究泄露计算机漏洞行为刑事责任的唯一途径。质言之,就是把该行为作为黑客利用计算机漏洞实施犯罪的帮助犯来处理,此即现行刑事立法将泄露计算机安全漏洞行为入罪的路径。正由于这一处置路径,泄露计算机漏洞行为几乎成为法外之地,司法实践中要么对该类行为不予处理,要么处理的量刑畸轻。
首先,“帮助行为”的外衣使其逃脱了共犯认定。传统刑法中,计算机领域里帮助犯的故意仅包括直接故意,因此,作为黑客实施计算机犯罪的帮助行为,泄露计算机漏洞行为很难被认定为共犯。不难理解,即使行为人在泄露计算机漏洞这一行为上具有直接故意,但其对于后续是否有黑客利用该漏洞生产、传播计算机病毒却只存在或然性的认知。泄露者对于后续的黑客犯罪往往持放任的态度(尽管不能排除积极追求的态度),这便意味着其对于后续的黑客犯罪在主观方面是间接故意,因而在大部分情况下无法将其认定为具体黑客犯罪的共犯。
其次,利用计算机漏洞实施的黑客行为可能不被认定为犯罪。我国法律将违法行为分为刑事违法行为与一般违法行为两类,即典型的二元制立法结构,其依据违法行为有没有导致实害结果以及实害结果的危害性程度等标准将违法行为严格区分开来[2]。比如,我国刑法总则规定了“……情节显著轻微危害不大的,不认为是犯罪”,刑法分则部分也设置了许多反应行为危害性程度的定罪情节及量刑情节,最典型的就是刑法第二百八十六规定的破坏计算机信息系统罪,该罪第2、第3款都规定了“后果严重”的定罪情节,如果行为人不满足“后果严重的”,即便其实施了破坏计算机信息系统的行为也不构成犯罪④。上述情节性规定大量存在于计算机犯罪体系中,而大部分利用计算机漏洞进行的黑客攻击行为都没有达到定罪要求的“后果严重”,因此,司法机关对这类行为便无法进行刑法视角的评价。这种二元立法模式间接支持了无数利用计算机漏洞实施的危害网络安全的行为,而泄露计算机漏洞行为只能作为帮助行为进入刑法评价的视域,可想而知,在实行行为尚不构成犯罪的情况下,司法机关应该如何对泄露计算机漏洞行为进行刑法评价呢?这是真正的司法窘境所在。
再者,受制于从犯制度,即使处理也量刑畸轻。根据中国刑事立法特点以及共犯理论体系,《中华人民共和国刑法》在分则中规定了个罪的实行行为,其它没有规定为独立罪名的危害行为都要依附于个罪的实行行为[3],从而按照刑法总则之共犯理论对其定罪量刑。由此可知,若泄露计算机漏洞行为没有触及刑法分则某特定罪名的,便只能将其进行“非正犯”处置即将其附着于刑法分则里的具体罪名。在司法实践过程中,办案人员往往依据该类行为的特点将其认定为帮助行为,即将泄露计算机漏洞的行为认定为某正犯的帮助犯。根据《中华人民共和国刑法》第二十七条的规定,在共同犯罪过程中起次要或辅助作用的是为从犯。而对于从犯,应当从轻、减轻或者免除处罚。⑤实际上,泄露计算机漏洞行为在绝大多数案件中所起到的作用都是次要的或辅助性的,因此被认定为从犯而获得从宽处罚。
综上所述,泄露计算机漏洞行为成为法外之地的根本原因在于其 “帮助犯”身份的庇护。部分法学研究者逐渐意识到:虽然打击计算机网络犯罪的力度在不断加大,但现行刑事立法明显滞后,其无法适应计算机网络与信息技术发展的步伐,难以为司法人员提供切实可行的法律依据[4]。因此,剥去泄露计算机漏洞行为的“帮助犯”外衣是从根源上治理计算机犯罪的唯一路径,从立法上将其作入罪处理也为泛人工智能的时代背景所迫。
04
泄露计算机漏洞行为应当“正犯化”
本文认为,在刑事立法上将泄露计算机漏洞行为“正犯化”,不仅是罪责刑相适应的刑法基本原则的要求,也是泛人工智能背景下刑法转型的时代要求。
(一)“正犯化”的司法依据——摆脱作为帮助犯的入罪依附性
既然现有刑事立法体系导致泄露计算机漏洞行为具有附着性是造成司法窘境的根本原因,那么,在立法上使泄露计算机漏洞行为摆脱对帮助犯的依附,便是解决这一窘境的不二法门,即将原来的帮助犯行为“正犯化”,把泄露计算机漏洞行为规定为独立罪名,如“泄露计算机安全漏洞罪”等。这样,利用计算机漏洞实施黑客犯罪的后续行为便不再是行为人主观方面的评价内容,质言之,无论泄露者对后续计算机黑客的犯罪行为持积极追求的态度还是消极放任的态度,都将其按照诸如“泄露计算机安全漏洞罪”等独立犯罪进行处罚。其次,司法机关在追究泄露安全漏洞行为人的刑事责任时,不需要再对后续黑客犯罪行为的存在加以证明,更无需承担黑客行为与泄露计算机漏洞行为之间存在因果关系的证明责任,从而便利了诉讼程序。再者,即使后续黑客的攻击行为“情节显著轻微危害不大,不认为是犯罪”也不影响对“正犯化”之后的泄露计算机漏洞行为进行追诉。除此之外,将泄露计算机漏洞行为“正犯化”以后,在定罪量刑上则可以摆脱从犯制度的制约。
也许有人会提出,简化诉讼确实提升了司法机关的办案效率,但这样做会不会减损了实体正义?本文认为,这种担忧是多余的。首先,实体正义与程序正义二者是辩证统一的,实体无法脱离程序而独立存在,其需要有程序正义作为支撑。无论实体正义或程序正义,它们的实现都需要满足效率的要求,即效率也是公正司法的重要价值,正所谓“迟来的正义非正义”[5]。正义不能及时“送达”,有时则会变得毫无意义或使其意义大打折扣。高效及时运转的司法程序不仅有助于缩短当事人的诉讼时间,还能够节约司法成本,也有利于防止司法腐败[6]。第二,传统刑法理论以及行为无价值论都认可行为犯的存在[7]。我国传统刑法理论非常重视对行为危险性以及行为人主观恶性的评价,《刑法典》总则中的预备、中止、未遂制度便是最好的例证,除此之外,现行《刑法典》中还规定了众多行为犯、危险犯、情节犯,如资助恐怖活动罪等。而“一般认为,行为无价值论主张违法的本质是违反刑法背后的社会伦理规范”[8],就泄露计算机漏洞行为本身来说,其具有极大的社会危害性,应当受到刑法的否定性评判。同时,泄露计算机漏洞的行为者主观恶性也比较大,所以,将其独立入罪并在情节犯甚至行为犯的层级上对该行为定罪量刑并不违反实体正义。
泛人工智能时代背景下,安全漏洞的恶意泄露等新的危害社会的行为随着计算机应用的不断深入而逐渐增多,利用计算机漏洞进行的黑客犯罪愈演愈烈,所造成的社会危害也被无限放大。同时,计算机犯罪具有发现难、取证难、定性难等多重司法难题,这使得完善计算机安全领域的立法任重而道远。刑事立法应当具有前瞻性,法学者更应当以发展的眼光对待泛人工智能时代的计算机立法问题。现阶段,基于泄露计算机漏洞行为带来的破坏性以及刑事司法的迫切需要,将该行为在《刑法》分则中“正犯化”势在必行。
(二)“正犯化”的本质依据——泄露行为的危害性远远大于后续黑客行为
如前所述,泄露计算机漏洞行为本身即可对社会造成极大的危害,而该危害后果往往比利用计算机漏洞实施的后续黑客犯罪更为严重。2017年3月7日,瑞星安全研究院对外发布紧急安全警报(一级),Apache Struts 2被曝存在的高危远程命令执行漏洞(漏洞编号为S2-045,CVE编号CVE-2017-5638)在网上被泄露,导致大量木马病毒瞬间剧增。据介绍,本次爆出的漏洞触发点主要存在使用基于Jakarta插件的文件上传功能,经过瑞星安全专家验证,该漏洞可直接执行系统命令,一旦被黑客执行恶意破坏命令,可能对服务器造成的是永久性破坏。随后,瑞星公司旗下的“恶意网站监测网”显示,使用被泄露的计算机漏洞的木马网站拦截量急剧上升,短时间内升成最具危害性的计算机漏洞[9]。由此可见,计算机漏洞被泄露之后将会引发严重的计算机网络安全风险。因为,当某一个计算机漏洞泄露出去之后,黑客或者黑客组织会在第一时间生产、传播针对该计算机漏洞的病毒,而黑客或者黑客组织的数量是难以预料的,有可能数以万计。这种高效能的病毒生产对整个网络安全来说具有极大的*伤杀**力,不计其数的病毒被迅速制造出来,并基于各种目的对计算机展开疯狂攻击。可以毫不夸张的说,单次计算机病毒泄露行为,可能促使不计其数的黑客攻击行为。
而现有的刑事立法体系下,我们只能将泄露计算机漏洞行为认定为黑客攻击行为的帮助型从犯,从而导致对泄露者的刑事处罚远远轻于对作为正犯的黑客行为的处罚。试想一下,如果因泄露计算机漏洞行为所引发的所有黑客犯罪被司法机关同时追诉,则对泄露者判处的刑罚便有可能重于单个或单次黑客犯罪所受到的刑罚处罚,这样就摆脱了从犯制度对量刑的制约。但本文认为,即便如此,依然无法克服刑法评价不全面以及量刑畸轻的问题。一方面,由于计算机犯罪天然的隐蔽性,单次黑客犯罪行为尚且难以被发现,更何况追究由一次泄露计算机漏洞行为所引起的所有黑客犯罪行为。另一方面,即使发现了成千上万起泄露计算机漏洞行为所引发的黑客行为,仍然会有不计其数的黑客或者黑客组织的攻击行为隐藏在背后。由此可见,只要泄露计算机漏洞的行为不摆脱“帮助犯”的身份,对其刑法评价不全面以及量刑畸轻的问题便无法解决。所以,对于这类社会危害性远远大于实行行为的所谓的帮助行为,必须予以“正犯化”方可做到量刑均衡,从而实现刑法追求的公证价值。
05
结语
泛人工智能背景下,计算机安全问题变得尤其重要,治理计算机安全犯罪的形势更为紧迫。泄露计算机安全漏洞行为作为网络安全犯罪的源头行为,其社会危害性比后续黑客犯罪的社会危害性更甚,动用刑罚手段来规制泄露计算机漏洞的行为势在必行。而现行刑事立法的规制模式在一定程度上使得泄露计算机漏洞行为成为“法外之地”,首先,其作为帮助行为有时难以被认定为共犯;其次,泄露计算机漏洞行为对后续黑客犯罪行为具有依附性,若后续的黑客行为没有达到犯罪程度,便无法对前者泄露行为进行刑法评价;再者,由于从犯制度的存在,泄露计算机漏洞行为往往被认定为从犯而处罚过轻;究其本质,让这一危害性巨大的行为逃脱刑法制裁的是其作为“帮助犯”的庇护,质言之,“帮助犯”的身份成为其兴风作浪的“保护伞”。因此,笔者呼吁将泄露计算机漏洞行为“正犯化”,刺破泄露计算机漏洞行为的“保护伞”。实质上,泄露计算机漏洞行为的危害性达到了将其“正犯化”的要求,同时,摆脱对帮助犯的依附性有助于提高追诉效率符合刑法的程序性正义。
引用与注释
④ 刑法第286条
⑤ 刑法27条
[2] 阮齐林.中国刑法上的新类型危险犯[J].国家检察官学院学报,2005,(6):96-101.
[3] 周颜.片面共同犯罪理论之刍议[J].政法学刊,2012(4):17-21.
[4] 于志刚. 恶意公布、售卖计算机安全漏洞行为入罪化的思考[EB/OL]. (2011-2-18),[2018-5-7]. http://www.hi138.com/falv/xingfa/201102/288035.asp#divPagenation
[5] 张明楷.刑法格言的展开[M].3版.北京大学出版社,2013:236.
[6] 于志刚. 恶意公布、售卖计算机安全漏洞行为入罪化的思考[EB/OL]. (2011-2-18),[2018-5-7]. http://www.hi138.com/falv/xingfa/201102/288035.asp#divPagenation
[7] 张苏.量刑根据:以责任主义为中心的展开[C]. 刑事法评论,2012,451-513
[8] 张军.犯罪行为评价的立场选择-为行为无价值理论辩护[J].中国刑事法杂志,2006,(6):10-16.
[9] 佚名.瑞星发布紧急安全警报:Struts 2再爆高危远程漏洞[EB/OL]. (2017-3-7)[2018-5-8]. www.chinaz.com/news/2017/0307/669424.shtml
• end •