摘要”2007年8月7日德国“为打击计算机犯罪的《刑法》第41修正案”获得通过,该修正案完成了欧洲理事会《关于网络犯罪的公约》和欧盟委员会《关于打击计算机犯罪的框架决议》在德国刑法中的移植。研究这两部国际公约以及德国第41修正案的内容,可以认识欧洲刑事法一体化背景下的德国网络犯罪立法及其进程,掌握网络犯罪国际立法和德国相关立法的基本状况和存在的问题。
“关键词”《德国刑法》第41修正案;欧盟理事会;欧洲刑事法一体化;立法比较
“正文”
2007年8月7日德国“为打击计算机犯罪的《刑法》第41修正案”(以下简称《修正案》)获得德国联邦议会决议通过,并于8月11日开始生效,完成了欧洲理事会和欧盟委员会关于打击计算机犯罪的两个国际公约在德国刑法中的移植,将德国网络犯罪立法提升到新的高度,有利于遏制德国社会日益严重的新型网络犯罪。{1}研究欧洲刑事法一体化背景下的德国网络犯罪立法,认识关于网络犯罪的国际立法以及德国立法的基本状况和存在的问题,有助于借鉴国外立法的成功经验、完善我国网络犯罪立法。
一、网络犯罪相关国际立法状况
德国通过《刑法》第41修正案,除了因为网络犯罪的新发展给德国社会带来了新的危险,还有一个外在的强制性的法律因素,是已经生效的欧洲理事会《关于网络犯罪的公约》{2}和欧盟理事会《关于攻击信息系统的理事会框架决议》(2005/222/JHA),{3}这两个国际公约要求作为其成员国的德国履行修改本国法律的义务。因此,要完整了解《修正案》立法的原因、结构和内容,有必要首先认识作为其立法背景的以上两个国际公约。
(一)欧洲理事会《关于网络犯罪的公约》的基本内容
早在20世纪80年代,欧洲理事会已经在呼吁国际社会更多地关注黑客行为和其它计算机相关犯罪所造成的威胁,1997年欧洲理事会建立了网络犯罪专家委员会,开始起草涵盖刑事实体法、程序法和国际协作的《关于网络犯罪的公约》(以下简称《公约》),该《公约》在2001年11月8日获欧洲理事会部长委员会通过,{4}是世界上 免费论文检测软件http://www.jiancetianshi.com
第一个同时也是目前影响范围最大、最重要的打击网络犯罪的国际公约。德国是《公约》开放签字日首批签字国,2009年3月9日德国联邦议会批准该《公约》,2009年7月1日《公约》在德国生效。
该《公约》的主要目标是寻求打击网络犯罪的共同的刑事政策,特别是建立适应网络犯罪的法律体系和国际协助。{5}《公约》除序言外,正文分为四章,共计48个条文。序言规定公约的功能、目标和网络犯罪的内涵。《公约》 免费论文检测软件http://www.jiancetianshi.com
第一章“术语的使用”定义了网络犯罪涉及的主要术语,包括计算机系统、计算机数据、服务提供商和通信数据,{6}但它只规定了这些术语的基本内涵,缔约国可以在保障该《公约》的执行和与《公约》基本原则一致的前提下,在本国的法律中具体定义这些概念。{7}《公约》第二章“国家层面上的措施”和第三章“国际合作”的规定,是该《公约》的核心内容。第二章“国家层面上的措施”包括三个部分,即“刑事实体法”、“刑事程序法”和“管辖权”,从第2条到第22条共计21个条款。第三章“国际合作”包括两个部分,即“一般原则”和“特殊规定”,从第23条到第35条共计13个条款。第四章“最后条款”包括13个条款,主要规定公约的签署、生效、加入、区域应用、公约的效力、声明、联邦条款、保留、保留的法律地位和撤回、修订、争端处理、缔约方大会、公约的退出和通告等事项。另外,与《公约》一起同日获欧洲理事会部长委员会通过的,还有《公约》的解释报告,该解释报告不是解释公约的官方法律文档,但能帮助缔约国适用公约的规定。{8}
直接影响《修正案》立法内容的是《公约》第二章“国家层面上的措施”的 免费论文检测软件http://www.jiancetianshi.com
第一部分“刑事实体法”,包括12个条款(从第2条至第13条),规定了网络犯罪及其相关的刑事条款。该部分首先把网络犯罪分为4类9种犯罪:侵犯计算机数据和系统可信性、完整性和可用性的犯罪(非法侵入计算机系统、非法拦截数据、数据干扰、系统干扰和设备滥用)、与计算机相关的犯罪(计算机相关的伪造、计算机相关的诈骗)、与内容相关的犯罪(与儿童色情相关的犯罪){9]侵犯著作权及其邻接权犯罪。在此之后,还规定了相关犯罪的未遂犯、帮助犯、教唆犯、法人犯罪以及以上犯罪的处罚。在处罚上,《公约》第13条规定:“缔约方应制定必要的国内法或者其它规定,保证对触犯《公约》第2~11条的犯罪人处以有效、相称、劝诫作用的刑罚,包括对自由的剥夺。”《公约》的目标,是通过缔约国一致认同的网络犯罪的最低标准来消除缔约国之间法律上的冲突,促进缔约国打击网络犯罪经验的交流和国际合作的发展,增强预防和制止网络犯罪的法律力量,{10}缔约国可以在此基础上根据本国实际情况规定更多的网络犯罪。{11}为了尽可能争取更多的国家加入该《公约》,《公约》也允许缔约方在限制情况下,按照《公约》第40条、第42条的规定,对上述犯罪相关条款全部或者部分予以保留。
由于德国刑法中对所谓利用计算机实施的网络犯罪的规定,{12}已经达到了《公约》第7~10条规定的要求,《修正案》主要根据《公约》第2条至第6条的规定进行修改和补充立法。以下仅对《公约》第2条至第6条的规定进行分析:
1.非法侵入计算机系统罪
《公约》第2条规定的非法侵入计算机系统罪,是指故意实施的非授权侵入他人计算机系统的全部或者部分的行为。成立该罪,至少应具备以下条件:{13}①侵入计算机系统的全部或者部分。“侵入”是指进入计算机系统的整个系统或者其中一部分,包括组装好的计算机系统的硬件、组件、存储的数据、文件目录、通讯数据和内容数据等。侵入的目标既可以是连接公用通信网路的计算机系统,也可以是某组织内部网中的计算机系统,至于网络通信的方式(有线的或者无线的,短距离的或者是远程的)不影响犯罪的成立;②必须是“非授权”实施。如果行为人得到系统所有者或者合法持有者的授权,例如经授权检测或维护计算机系统的,不构成本罪。另外,如果该系统允许公众进入,行为人进入系统的全部或者一部分的,也不构成本罪。行为人使用特殊的技术工具,如利用深度超文本链接或者“cookies” “ bots”等进入系统网页的,如果这些技术工具的使用不被系统所有者、管理者拒绝或者删除的,行为人可视为获得授权。③主观上是故意。故意的内容允许缔约国自行规定。如有些国家对“进入”作狭义上的规定,对无害的或出于帮助发现系统缺陷或者隐患的侵入不视为犯罪,有的国家则采纳广义的“进入”,即使是单纯的进入系统也可构成本罪。
除了以上必要条件外,《公约》还规定一些选择条件:①犯罪行为是对抗信息系统安全保护措施;②有获取计算机数据的意图或者其它应受刑事处罚不诚实的意图;③被侵人的计算机必须是通过网络与其它计算机系统远程相连接的。缔约国可以把其中一个或多个条件作为本罪成立的要件。缔约国如果把第三个条件作为本罪成立的要件,就把非授权侵入单机的行为排除在本罪调整范围之外。
2.非法拦截计算机数据通讯罪
《欧洲人权公约》第8条明确规定保护通信秘密权,该条在《公约》中得到反映,《公约》第3条规定了非法拦截计算机数据罪,以保护电子数据传输的保密权。非法拦截计算机数据罪是指未经授权利用技术手段故意拦截计算机数据的非公开传输的行为,成立本罪,至少应具备以下条件:{14}①实施了利用技术手段拦截计算机数据的行为。利用技术手段拦截是指监听、监视通信传输的内容,既可以是进入计算机系统直接获取数据内容,也可以是使用电子窃听或者电子陷阱设备的间接获取数据。这里的技术手段,既包括在通信线路上安装技术设备,也包括收集和记录无线通信内容,至于中间是否使用了应用程序、密码不影响犯罪的成立。②犯罪侵犯的是计算机数据的非公开传输。所谓非公开传输是指传输过程的非公开性,而不是被传输数据的非公开性。有的数据虽然是可以公开的数据,但缔约方希望秘密传输的,这仍应属于计算机数据的非公开传输。其次,非公开传输不排除使用公共网络,如付费的数字电视信号虽然是通过公共网络传输的,但由于它使用了加密、扰码等通信保密措施,所以仍应属于非公开传输。再次,计算机数据的非公开传输既可以是通过有线通信网路,也可以是通过无线通信网路,但这并不意味着缔约方必须把所有干扰无线通信的行为(即使是非公开的无线通信)规定为犯罪,而仅限于干扰计算机数据的非公开无线通信行为。关于计算机数据传输的范围,可以是在计算机系统内部,如从计算机主机向显示器和打印机传输数据,也可以在不同计算机系统之间,还可以在人和计算机中间,如自然人通过键盘、数字手机向计算机系统传输数据。《公约》第3条允许缔约方规定计算机数据的传输仅限于远程连接的计算机系统之间。作为本罪行为的例外,非法拦截计算机系统的电磁辐射的,也可以构成本罪。计算机系统在运行过程中,不可避免要辐射一定的电磁信号,严格地讲,电磁信号不属于《公约》第1条规定的计算机数据,但由于这些电磁信号可由一些无线接收设备接收、复原,得到相关的计算机数据,因此,《公约》把非法拦截计算机系统电磁辐射信号的,也规定为本罪。③必须是“非授权”实施。如果行为人获授权拦截计算机数据的非公开传输的,如司法机关经合法程序监听个人的计算机通信的,不构成本罪。④主观方面表现为故意。《公约》允许缔约方在国内法中,要求本罪犯罪人主观方面还有“不诚实的意图”。
3.非法干扰计算机数据罪
《公约》第4条规定的非法干扰计算机数据罪,是指非授权故意损坏、删除、危害、修改、妨碍使用计算机数据的行为,规定该罪目的是为了保护存储的计算机数据或者计算机程序的完整性和正常使用。构成非法干扰计算机数据罪,至少应具备以下条件:{15}①本罪的危害行为是损坏、删除、危害、修改和妨碍使用计算机数据的行为。“损坏”和“危害”都是指破坏计算机数据的完整性,使其丧失正常功效的行为。“删除”是指毁灭计算机数据的行为。“妨碍使用”是指阻碍计算机程序或数据的使用的行为。“修改”是指对存在数据的改动。《解释》把向计算机系统中输入恶意代码,如计算机病毒和特洛伊木马程序的行为,视作对计算机数据的修改。{16}②以上行为“非授权”。经授权实施以上行为的,不构成本罪。对于为进行匿名通信而修改通讯数据的,如修改匿名邮件服务器配置,或者为通信保密而对数据进行加密的,《解释》认为,一般应认为是保护隐私的合法行为。但是,如果行为人是为了实施犯罪而修改通讯数据包中的头信息,以隐藏侵入者身份的,缔约方可以将这种行为规定为犯罪。{17}③主观方面表现为故意。《公约》允许缔约方在国内立法中规定构成本罪还要求“严重后果”,并具体解释“严重后果”的内容。如果缔约国作了以上规定,那么,缔约国应将解释的内容通知欧洲理事会秘书长。
4.非法干扰计算机系统罪
《公约》第5条规定的非法干扰计算机系统罪,是指非授权故意输入、传输、损坏、删除、危害、修改或者妨碍使用计算机数据,严重妨碍计算机系统功能的行为。规定该罪的目的是为了惩罚妨碍合法使用计算机系统的行为,保护计算机系统、通信系统的所有者、使用者的合法权益。构成本罪至少应具备以下条件:{18}①实施了妨碍计算机系统功能的行为。所谓“妨碍”是指阻扰计算机系统的正常功能的行为,而且,该行为的行为方式仅限于输入、传输、损坏、删除、危害、修改、妨碍使用计算机数据七种行为方式。超出以上行为方式妨碍计算机系统功能的,如利用电磁武器烧毁计算机主板等,不构成本罪的危害行为。②妨碍计算机系统功能必须达到严重的程度。只有达到“严重”的程度,才能以本罪定罪处刑。至于何为“严重”,缔约国可以自行确定标准。《公约》起草者建议,将向特定计算机系统发送一定形式、规模和频度的计算机数据,给所有人或者合法用户使用计算机系统造成显著危害的,视作严重妨碍。比如,使用“拒绝服务”攻击程序、计算机病毒等恶意代码或者发送巨量的垃圾邮件,干扰计算机系统正常工作,致使计算机系统资源耗竭等情况。③必须是非授权实施。行为人如果经授权实施以上行为,即使严重妨碍计算机系统功能,也不构成犯罪。与网络设计相关的普通行为,包括计算机系统安全检测、保护或者调整等行为,以及或计算机系统所有者、管理者授权的行为、普通的商业行为等都属于经“授权”的行为。④主观方面是故意,并且犯罪人必须有严重妨碍计算机系统功能的意图。行为人出于商业的或其它目的,未经请求发送电子邮件,特别是发送的电子邮件数量巨大或者发送频次很高的,《公约》起草者认为,只在行为人故意实施并有严重妨碍计算机系统功能的意图时,才能以犯罪论处。
5.滥用计算机设备罪
《公约》第6条规定了滥用计算机设备罪,把为实施前述4种犯罪而故意实施的与特定计算机设备相关的行为规定为独立的犯罪。《公约》规定该罪的理由是:为前述4种犯罪,行为人往往需要特殊的侵入工具,如黑客软件,对犯罪工具的需求刺激了该类计算机设备生产、销售市场的发展,这类计算机设备的生产和销售不仅对前述4种犯罪的实施起较大的推动作用,并且还能诱使没有犯罪意图的人实施犯罪。为了更有效地打击前述4种犯罪,必须从源头禁止特定的危险行为,使后续的犯罪因缺乏作案条件而不能进行。构成滥用计算机设备罪,至少应具备以下条件:{19}①有与犯罪行为相关的特殊物品。这里的特殊物品分为两类:一是计算机设备(包括计算机程序)。本罪的计算机设备限于主要为实施前述4种犯罪而设计或改制的设备,从而排除既具有合法用途又可用于犯罪的所谓双用途的计算机设备。在实践中,对计算机设备的这种限制,可能导致刑事审判中的极大困难,使本条仅可在极少情况下适用。二是藉以进入计算机系统的计算机密码、访问代码或者其它相似计算机数据。②有特定的犯罪行为。本罪的犯罪行为分为两类:一是生产、销售、采购上述物品的行为。《解释》认为,这类行为包括制作或改写超文本链接,使他人可以进人上述特殊计算机设备的行为。{20}这是因为当行为人建立以上链接时,尽管相关其它犯罪的行为人没有占有该计算机设备,却能使用这些计算机设备实施相关犯罪,实际上相当于使他人取得了该计算机设备。二是持有以上物品的行为。《公约》允许缔约国在本国法律中规定,行为人持有一定数量的以上物品才承担刑事责任,缔约国可以自行规定持有的以上物品的最低数量。行为人持有一定数量的以上物品,可以直接证明行为人有实施犯罪的意图。③必须是非授权实施。将以上行为限于“非授权”实施,是为了避免犯罪扩大化,而把为合法目的生产或销售上述物品的行为当作犯罪处理,比如生产、销售反黑客侵人的计算机设备的,就不应构成犯罪。④主观上是直接故意,其犯罪目的是使以上物品被用于前述4种犯罪中的任何一种。如果行为人不是希望以上物品被用于犯罪,而是用于检测和保护计算机系统的,不能构成本罪。由于各国的不同情况,《公约》允许缔约国依照保留条款的规定,对以上规定予以保留。但是,缔约国至少应该把销售、分发或者使他人得到上述计算机密码、访问代码或者其它相似的计算机数据的行为规定为犯罪。
《公约》第11条、第12条还规定了与以上犯罪相关的帮助犯、教唆犯和未遂犯。
《公约》第11条第1款规定,缔约国应当把故意帮助、教唆他人实施以上犯罪的行为规定为犯罪。如果行为人没有帮助、教唆他人实施以上犯罪的意图,即使客观上帮助、促成了他人实施犯罪,也不能追究行为人的刑事责任。例如,互联网通信服务商不知道他人在利用其互联网络实施以上9种犯罪,由于互联网通信服务商没有监管网上信息的义务,因此,不能追究其刑事责任。《公约》第11条第2款规定,缔约国应追究实施以下犯罪的未遂行为的刑事责任:非法拦截计算机数据通讯罪、非法干扰计算机数据罪、非法干扰计算机系统罪、与计算机相关的伪造罪、与计算机相关的诈骗罪和与儿童色情相关犯罪中第1、3种犯罪行为。《公约》允许缔约国根据本国特殊情况,在签署《公约》时,对以上犯罪的未遂犯罪予以全部或者部分保留。《公约》没有对以上所有9种犯罪都规定未遂犯的原因有二:一是有些犯罪难以存在未遂犯,如通过计算机系统提供儿童色情材料或将儿童色情材料放在互联网上的行为;二是缔约国关于以上9种犯罪未遂犯的规定差别很大,欧洲理事会希望通过允许缔约国保持本国相关立法,来减少这些缔约国加人《公约》的障碍,以争取尽可能多的国家加入《公约》。{21}
《公约》第12条规定了实施以上9种犯罪及其相应的教唆、帮助和未遂犯罪的法人责任问题。需要注意的是,《公约》规定的法人责任不限于刑事责任,而是可以根据缔约国本国的法律原则,确定为刑事责任、民事责任或者行政责任,法人承担法律责任不影响犯罪实行者的刑事责任。法人承担法律责任的情况可以分为两种: 免费论文检测软件http://www.jiancetianshi.com
第一种情况中,法人承担刑事责任的必要条件为:①存在以上9种犯罪及其相应的教唆、帮助和未遂犯罪行为。②行为人具有法人代表权,或者受权为法人利益而作出的决定,或者受权并在法人的控制下实施以上犯罪行为。③行为人在法人组织中处领导地位。④行为人主观上是故意并为了法人利益。第二种情况中,法人承担刑事责任的必要条件为:①存在以上9种犯罪及其相应的教唆、帮助和未遂犯罪行为。②以上行为是在授权范围内实施的。③法人疏于对自然人的管理、控制而导致以上犯罪行为的发生。④行为人主观上是故意并为了法人利益。
(二)欧盟理事会《关于攻击信息系统的理事会框架决议》的基本内容
欧盟理事会制定《关于攻击信息系统的理事会框架决议》(以下简称《决议》)的背景是,电子欧洲行动计划、委员会意见“网络和信息安全:欧洲政策解决方法的提案”和“关于在网络和信息安全领域的一般解决方法和特别行动”的理事会决议都强调要建立有效应对攻击信息系统、保护网络和信息安全的全面解决方法。另一方面,欧盟国家面临的有组织犯罪和恐怖袭击的严重威胁,存在“攻击信息系统特别是作为来自于有组织犯罪的威胁的结果的证据和对日益增长的攻击构成成员国关键基础设施的一部分的信息系统的恐怖袭击的可能性的担忧。这构成了实现一个更安全的信息社会和一个自由、安全和公正的领域的威胁,因此,需要在欧盟层级上的响应”。{22}因此,《决议》并不是单纯关注攻击信息系统的行为,而是因为“在这一领域成员国法律中明显的差距和区别可能阻碍反对有组织犯罪和恐怖犯罪的斗争,并可能使在攻击信息系统领域的有效的警察和司法合作变得复杂。现代化的信息系统跨国界和无界限的特点意味着攻击这样的系统经常是具有跨国性,因此,强调迫切需要在这一领域接近于刑法的进一步行动”。{23}《决议》要求成员国在攻击信息系统领域刑事立法一致化,以形成有效的合作来打击通过信息系统实施的跨国性的有组织犯罪和恐怖袭击。{24}
《决议》除了前言外共13条,包括定义、三种攻击信息系统的犯罪及其煽动、帮助、教唆、未遂犯罪的规定、处罚和加重情节、法人的责任和处罚、管辖权、信息交换、履行和生效。其中,与德国刑法《修正案》实体法内容有关的是《决议》第2条至第9条,以下对这些条款进行分析。
《决议》第2条到第4条规定的是三种侵犯信息系统安全的犯罪,即非法侵入信息系统、非法干扰信息系统、非法干扰信息系统数据。
1.非法侵入信息系统罪
第2条规定的非法侵入信息系统罪是指未经授权故意侵入一个信息系统的全部或者任一部分的行为,{25}其基本构成特征为:①危害行为,表现为未经授权侵入信息系统的全部或者任一部分。行为人必须是未经对系统或者其一部分享有所有权或者其它权利的持有者的授权或者未经国家法律的许可而进行侵入。所谓侵入,当然不是指行为人本人进人信息系统,而是指行为人实际取得了系统及其中数据和程序的访问权限。侵入的程度既可以是侵入了全部的信息系统,也可以是只侵入其中一部分,如只侵入了安全层级低的部分数据和程序。在行为方式上,《决议》允许成员国将本罪的行为方式限定为通过侵犯一个安全措施来进行侵入,如破解访问信息系统的安全密码、对抗信息系统的防火墙等安全控制措施等,以排除将未经授权侵入事实上对公众开放的信息系统的行为当作犯罪处理。②行为人主观上是出于故意。虽然在一般情况下明知是他人的信息系统且未经授权而侵入的,主观上通常是故意,但也不排除过失侵人的可能,如果将后者作为犯罪处理,显然违背了《决议》第13条规定的避免过分犯罪化的要求。③关于该罪的犯罪人,《决议》设定了一个最低要求,即对成年人犯本罪的应予以刑罚处罚,对于未成年人实施以上行为的,可以不作为犯罪处罚。
本条对应于《公约》第2条,二者规定的基本一致,只是《公约》允许缔约国另外再增加两个构成要件,而《决议》允许成员国限定承担刑事责任的主体是成年人。
2.非法干扰信息系统罪
第3条规定的非法干扰信息系统罪是指通过输入、传输、损坏、删除、使恶化、改变、压制或者使转化成不可访问的计算机数据,未经授权故意严重阻碍或者干扰信息系统的功能的行为,{26}其基本构成特征为:①危害行为是,通过输入、传输、损坏、删除、使恶化、改变、压制或者使转化成不可访问的计算机数据,未经授权严重阻碍或者干扰信息系统的功能。本罪行为必须是严重阻碍和干扰信息系统,且行为方式必须是通过输入、传输、损坏、删除、使恶化、改变、压制或者使转化成不可访问的计算机数据。由于《决议》在第1条中规定,“计算机数据”包括计算机程序,所以,这些行为方式应当理解为通过影响信息系统中的数据和计算机程序来阻碍和干扰信息系统的正常运作。在影响的程度和结果上,本条要求达到严重的程度。此外,本条也要求以上行为是未经授权而实施的。②该罪主观上必须是故意。③与第2条相同,该条允许成员国将本罪的犯罪主体限于成年人。
该条对应于《公约》第5条,二者在罪状要求上完全一致,其差别只在于《决议》允许成员国只将成年人实施本罪的作犯罪处罚。
3.非法干扰信息系统数据罪
第4条规定的非法干扰信息系统数据是指未经授权故意对信息系统上的计算机数据进行删除、破坏、使恶化、改变、压制或者使转化为不可访问的行为,{27}其基本构成特征是:①危害行为是,未经授权对信息系统上的计算机数据进行删除、破坏、使恶化、改变、压制或者使转化为不可访问。需要注意的是,行为对象限于信息系统上的计算机数据,脱离信息系统的计算机数据不是本罪的行为对象。危害行为的实施方式限于对这些计算机数据进行删除、破坏、使恶化、改变、压制或者使转化为不可访问。②该罪主观上必须是故意。③《决议》允许成员国只将成年人规定为本罪的犯罪人。
本条对应于《公约》第4条,都是干扰计算机数据的行为,二者最大的差别是《公约》规定的计算机数据不限于信息系统中的计算机数据,脱离信息系统的计算机数据也是保护的对象,而《决议》保护的是信息系统,因此,本罪的行为对象不包括不在信息系统中的计算机数据。
第5条规定成员国应将以上三种犯罪的煽动、帮助、教唆、未遂行为按照犯罪处罚。但是,第5条第3款为成员国设立了一个保留选项,即允许成员国对非法侵人信息系统的未遂行为不作为犯罪处罚。{28}相对于非法干扰信息系统和非法干扰信息系统数据,非法侵人信息系统对信息系统安全的危害要小得多,如果没有其它严重情节,如涉及有组织犯罪、恐怖袭击或者危及关键利益,该罪通常并不严重,其未遂行为的确没有必要作犯罪处罚。《决议》第5条第3款规定这样一个保留条款,兼顾了刑法宽严程度不同的成员国的实际情况。《决议》第5条对应于《公约》第11条的规定,二者的差别是《公约》未规定以上三罪的煽动行为应按犯罪处罚,也不要求缔约国将非法侵人信息系统的未遂行为作犯罪处罚,在这两方面比《决议》的规定更宽松。
第6条是第2条到第5条规定的犯罪的处罚规定,即,成员国应对这些犯罪处以有效的、适当的和劝阻作用的刑罚,对第3、4条规定的犯罪的刑罚处罚的最高刑至少是1年至3年之间的监禁。{29}本条对应于《公约》第13条第1款的规定,{30}但《公约》没有具体限定刑罚的轻重,相比之下,《决议》的相应规定要求更严格。第7条规定的是加重处罚的情节,如果行为人在98/733/JHA联合行动定义的犯罪组织框架内实施了规定的犯罪,成员国应对其规定最高2~5年监禁刑。该条还允许成员国将“导致了严重损害或者影响了关键利益”作为加重处罚的情节,适用前述加重刑罚的规定。{31}该条规定的加重处罚情节,特别是对有组织犯罪和造成严重后果情节的规定,在《公约》中没有对应的条款,凸显了《决议》的立法背景—欧盟国家通过《决议》来加强打击有组织犯罪、恐怖袭击和其它严重危害欧盟国家关键利益犯罪。
第8条、第9条规定是法人的法律责任和处罚。第8条规定法人实施第2、3、4、5条规定的犯罪所应承担的法律责任,该条不仅明确规定了法人应对犯以上4条规定的犯罪承担责任,而且详细规定了两种法人犯罪的情形,即法人内的具有领导职位者和得到具有领导职位者授权的人实施以上4条规定之罪的情形。同时,第8条还要求成员国不仅处罚法人,还必须对作为第2、3、4、5条规定犯罪的实施中的行为人、煽动者或者帮助者的自然人予以刑事追究。{32}第9条具体规定成员国应对承担第8条规定责任的法人予以有效的、适当的和劝阻作用的处罚,其中,对第8条第1款承担责任的法人的处罚应包括刑罚上的和非刑罚上的罚款,以及其它处罚,如剥夺取得公共利益或者帮助的权利、暂时或者永久取消其参与商业活动的资格、将其置于司法监管之下或者作出司法清盘令。{33}《决议》第8条、第9条对应于《公约》第12条,只是前者的规定更具体,第9条还规定了对法人处罚的方式,这在《公约》中没有具体的规定。
(三)比较分析
《决议》的主体内容是有关攻击信息系统犯罪的刑事实体法规定,它与《公约》的国家层面的刑事实体法规定相似,其不同之处表现为:
1.缔约国范围不同
《公约》的缔约国不限于欧盟成员国,也不限于欧洲国家,它是对世界各国开放的国际条约,已经有30个国家包括美国批准了该《公约》,还有17个国家包括日本、南非和加拿大签署了该《公约》。《决议》的缔约国限于目前的27个欧盟成员国,该决议一旦通过就开始生效,欧盟成员国有义务在规定的时间即2007年3月16日前,将该决议的要求移植到本国法律中。显然二者的影响范围有很大差别,《公约》是全球范围的打击网络犯罪的国际条约,特别是美国、日本、加拿大等非欧洲大国的加入,使得该《公约》成为协调世界范围内打击网络犯罪司法合作的框架法律,而《决议》只是欧盟国家之间的国际条约,构建的是欧盟范围内的打击网络犯罪的司法合作体系。
2.立法的宗旨不同
虽然《公约》和《决议》都以打击网络犯罪为目标,但《公约》把遏制网络犯罪作为唯一的立法目标,而《决议》则是在应对网络信息系统环境下有组织犯罪、恐怖袭击的新威胁,需要通过欧盟国家打击攻击信息系统犯罪立法一致化而制定该决议,后者立法的目标显然主要是服务于有效打击有组织犯罪、恐怖袭击的需要,不是针对网络犯罪的特征进行全面立法,特别是没有对打击网络犯罪起关键作用的国家层面的程序法规定。
3.条约规定的内容不同
《公约》规定的内容涉及国家层面的刑事实体法、程序法和国际层面的司法合作程序等三个方面的内容,而《决议》仅规定欧盟成员国国家层面的网络犯罪实体法和管辖权,不涉及国家层面的程序法,也不涉及欧盟国家之间进行合作的司法程序。即使在网络犯罪实体法的规定上,《决议》也只规定了侵犯计算机系统安全的三种罪名及其教唆犯、帮助犯和未遂犯,对利用计算机实施的网络犯罪和与计算机相关的网络犯罪则完全没有条款涉及,而《公约》的刑事实体法规定则是全面的,即使在侵犯计算机数据和系统的犯罪立法部分,其规定也不限于侵犯计算机系统安全的犯罪,对计算机系统之外的数据也予以保护。
通过以上比较,可以认为,《公约》在立法的针对性、完备性、全面性等方面都优于《决议》,加之《公约》生效时间早于《决议》的通过时间,前者于2004年7月1日生效,而《决议》于2005年2月24日才获通过,对于同样是《公约》缔约国的欧盟国家而言,《决议》似有画蛇添足之嫌。但是,这两个国际条约的实际运行效果则是另外一种状况。从条约的生效和成员国批准的时间来看,尽管《公约》为了争取尽可能多的国家加入和实施《公约》,规定了大量允许缔约国保留的内容,但是《公约》立法的全面性仍然是其获得广泛认同的原因:《公约》2001年11月23日即通过并开放签署,直到2004年7月1日才达到生效的条件,并且,从其获得通过至今近10年时间,只有30个国家批准该《公约》,尚有17个签字国仍然停留在等待本国议会批准的阶段。而《决议》通过后次月即生效,并对27个欧盟国家规定了最晚移植到本国法律中的时间,实际进度远快于《公约》,迅速推进了欧盟国家网络犯罪实体立法一致化和司法合作进程,也许《决议》内容的不全面性特征正是其迅速在欧盟议会获得通过和被欧盟成员国执行的原因。换句话讲,欧盟国家只对《决议》规定的网络犯罪立法内容形成一致意见,对更高程度要求的《公约》的立法仍然没有获得广泛的认同。以德国网络犯罪立法为例,正是在《决议》的推动下,德国《修正案》于2007年8月7日获得通过并于8月11日生效,而德国虽然早在2001年11月23日就已经签署了《公约》,但直到2009年7月1日《公约》才对德国生效。{34}因此,《决议》的实际影响力不容小觑。《决议》的通过和实施,对《公约》的生效和扩大影响起到了推动作用,不仅所有《决议》成员国签署了《公约》,并且在30个批准《公约》的国家中占了17个,在17个签署但未批准《公约》的国家中占了10个。可以说,《决议》是被实际执行的小“《网络犯罪公约》”,是《公约》的核心内容和欧盟成员国加入《公约》的“渡船”。
刑法学近3年论文/d/file/p/2024/0425/fontbr />二、德国网络犯罪立法现状
在《修正案》通过之前,《德国刑法典》直接规定的网络犯罪有2类4个罪名,即侵犯计算机数据和信息系统安全的犯罪(第202a条窥探数据、第303a条变更数据和第303 b条破坏计算机)和利用计算机实施的网络犯罪(第263 a条计算机诈骗)。对于《公约》的第7、8、9条的规定(与计算机相关的伪造和诈骗及与内容相关的犯罪),由于《德国刑法典》相关条款中没有限定犯罪方法、手段,原有规定已达到了《公约》的要求,无需进行立法的修改。因此,《修正案》的立法围绕侵犯计算机数据和信息系统安全的犯罪展开,表现为:①修改了《德国刑法典》第十五章“侵害人身和隐私的犯罪”中的第202a条,在第202a条后增加了第202b条和第202c条,并对涉及这3条的第205条(告诉)做了相应修改;②修改了第二十七章“损坏财物的犯罪”中的第303a条和第303 b条,并对涉及这2条的第303c条(告诉)进行了修改。修改后的《德国刑法典》中第202a条(窥探资料)对应于《公约》第2条(非法侵入)和《决议》第2条(非法侵入信息系统),第202b条(拦截数据)对应于《公约》第3条(非法拦截),第202c条(预备窃取和拦截数据)对应于《公约》第6条(设备滥用),第303a条(变更数据)对应于《公约》第4条(干扰资料)和《决议》第4条(非法干扰信息系统数据),第303 b条(破坏计算机)对应于《公约》第5条(干扰系统)和《决议》第3条(非法干扰系统)。《修正案》在网络犯罪的刑事实体法方面不仅满足《决议》的立法要求,而且也达到了《公约》的立法标准,在欧盟成员国中是网络犯罪相关立法完备程度最高的国家之一。
(一)德国网络犯罪立法现状
《修正案》生效后德国网络犯罪立法(仅指侵犯计算机数据和信息系统安全的犯罪)规定如下:
1.窥探数据罪
原《德国刑法》第202a条规定:“ 1非法为自己或他人窥探不属于自己的、经特别保护的资料的,处3年以下自由刑或罚金。2第1款所述的数据,仅限于以电磁或者其它不能直接感知的方法存储或者传送的数据。”《修正案》第1条第2款将第202a条原第1款修改为:“ 1任何人未经授权访问或者通过其它不是为其设置的被采取安全控制措施以阻挡未经允许访问的数据的入口,获取了访问入口的控制,处以三年以下自由刑,可并处罚金。”其构成特征为:
(1)保护的法益,是处分权人的数据不被他人获取的权利,它不取决于数据的具体内容,不要求是《德国刑法》第203条规定的具体的个人秘密,但是,该数据必须是个人数据或者具有财产价值。在主观上处分权人有使资料保密的意愿,并在客观上通过对非授权获取数据采取的安全控制措施表达出来,如有未经授权的对抗以上安全控制措施的获取行为,即侵犯了数据的处分权。{35}
(2)行为对象,是被采取了特别的安全控制措施以防止非授权获取的数据,而行为人没有被允许获取该数据。这里的资料,根据第202a条第2款的规定,限于以电磁或者其它不能直接感知的方法存储或者传送的数据。数据的概念是以通常的意义来理解,程序也属于数据,同样受到该条的保护。{36}所谓“以不能直接感知的方法存储或者传输”,是指数据必须通过技术设备的转化、表现、翻译才能被人们感知,传输也是数据的一种存在状态,窥探传输中的数据也符合构成要件。这里的数据还必须是被采取了特别的安全控制措施的,例如使用物理隔离措施、在硬件中加入指纹识别控制、在软件中嵌入密码或者进行加密处理,只要是为了使得他人获取数据变得困难,并且这一意图在客观上可以被认识到,就符合被采取了安全控制措施的特征。{37}当然,要将其与机房门锁或禁止复制仅供阅读的数据的措施相区别,因为后者并不是对获取数据的控制措施,而是对进入机房或复制数据的控制措施。
(3)危害行为,是压制或者对抗前述数据的安全控制措施,使自己或者他人获得进入数据的入口控制。行为人要获取的数据,首先必须压制或者对抗数据安全控制措施,即要花费时间来对这些安全控制措施进行技术对抗。{38}
(4)结果,是获得了进入数据的通道控制。关于第202a条的认定中,是否只需要存在单纯的黑客目的而不需要有为自己或者他人获取数据就满足了该条规定的构成要件?在《修正案》生效前德国刑法学理论通说的观点认为是不构成该罪。作为移植《公约》和《决议》相应规定的结果,《修正案》第1款规定,犯罪人不再需要为自己或者他人获得数据,而只需要获得“访问数据的信道”,这个数据通道就是符合构成要件的结果。{39}通过该信道获取计算机数据已经不存在障碍,所以,成功破解访问安全控制措施的黑客活动都满足第202a条的构成要件。例如,当密码已经送达犯罪人或者其它人,后者可以凭密码知道加密数据的信息内容时,获取加密数据的信道即已存在。如果还需要有被害人或者无关第三人的行为,犯罪人才能认识加密资料时,就不能认为满足了获得进入加密数据的信道这一构成要件的结果要求。获取数据的信道必须是在压制访问安全控制措施的情况下得到的,需要压制行为和获得通道结果之间有因果关系。{40}
(5)如果数据是获得了处分权人的授权的,也就是说,行为人进入数据获得了相应权利人的同意,则阻却构成要件的该当性。处分权通常归属于数据的保存者,数据的保存者可以将其处分权转授给他人,并应对资料的存取权达成一致,但是,不能认为仅转交数据的内存就是取得数据的存取权,例如请他人保管银行卡就不能视为授权他人处分磁卡上的数据。{41}此外,存取权也不同于使用权,在数据上设置了禁止复制措施是限制了对数据的复制使用权,但没有限制对数据的存取权,同样,在数据的存取上设置了使用时间等条件的,违反此等条件的存取行为不能认为阻却构成要件的该当性。
(6)行为人主观上必须是故意,如果行为人对不是给其的数据产生了错误认识,那么他不具备犯罪故意。{42}
本罪只有单一的量刑范围,即3年以下自由刑,可并处罚金,第202a条没有规定要处罚其未遂行为。根据《修正案》修改后的《德国刑法》第205条第1款的规定,本罪是相对的亲告罪,除非侦查机关为了特殊的公共利益,告诉才处理。
2.拦截数据
第202b条(拦截资料)是《修正案》根据已生效的《公约》第3条(非法拦截)新增的法条,该条规定:“任何人未经授权或者使其它人,通过使用技术设备,从非公开的数据传输或者信息处理系统的电磁辐射中获取(202a第2款规定)不是给其的数据,处三年以下自由刑,可并处罚金。如果其它法条规定了更重的处罚,从其规定。”该条规定之罪的构成特征分析如下:
(1)保护的法益,是资料的处分权人对资料的保密权,即处分权人希望对资料的内容予以保密的权利,保护作为数据载体传输或者交换的保密性,而不是数据所承载的内容的秘密性。{43}也就是说,受保护的数据不取决于其内容信息是否具有《德国刑法》第203条规定的秘密特征,起决定性作用的是数据传输过程本身是否不公开,只要处分权人希望对何时和如何把数据信息传递给他人予以保密,其数据传输就是不公开的,侵犯这种数据传输或者交换的保密性的,应承担该条规定刑事责任。
(2)行为人为自己或者他人获得了数据。第202b条规定获取的数据是指第202a条第2款规定的数据,而不依照第202a条第1款来认定获取行为,即认定获取行为不取决于是否要对抗安全措施,因此,为了使自己或者他人获得数据信道而压制或者对抗数据的访问控制措施的纯粹的黑客行为,不构成《刑法》第202b条规定的犯罪。{44}实施以上两种选择性构成要件行为必须是利用技术手段来实施,这排除了没有使用技术手段拦截数据构成本罪,如截留他人信件的行为不适用本罪,以防止本罪规定适用的范围过于扩大。在以上技术手段中,除了使用获取和记录无线通信的设备之外,使用特殊的软件、编码或者密码也应当作为技术手段对待。{45}
(3}被拦截数据的来源,限于不公开的数据传输中或者从数据处理设备的电磁辐射中。数据的传输开始于从一个存储设备中有意识地将数据的电磁信号发送往另一个设备,结束于数据到达目的存储设备,数据在发往收信人途中的中间存储,例如被保存在网络服务提供者的服务器中,也是被认为在传输途中。{46}数据的传输可以通过电话、传真或者电子邮件,可以是有线或者无线的方式传输,但不能是通过邮件方式传递数据载体,{47}这是因为所传输的数据必须是符合第202a条第2款规定的数据,而传递存储数据的存储设备不符合第202b条规定的数据传输的要求。这里的不公开的数据传输,需要区分传输者主观希望的不公开传输和客观上的公开,这是要看传输者是否知道或者至少能够知道,未经授权的行为人可能拦截其发出的数据,{48}如果传输者知道,则要求其采取一定的保护措施,如采取加密技术,但这里不应该提出过高的保护技术要求。另一种拦截数据的方法是,从数据处理设备的电磁辐射中获取,行为人利用技术设备接收数据处理设备发出的电磁辐射并用特殊技术设备进行重构复原,就能获得该数据。{49}
(4)如果数据是行为人有权获取的,即通过数据的处分权人授权或者同意给行为人的,将阻却本罪构成要件的该当性。由于数据的处分权通常是取决于持有者作为自己的物品保存,可以认为对数据的占有权由处分权转化为存取权。{50}
(5)行为人主观上只要求是基本的可能的故意即可,行为人通过获得数据能了解信息的内容。如果行为人只是安装好窃听设备但尚未拦截到数据的,不受第202b条的处罚,单纯的黑客行为不构成第202b条规定的犯罪,与第202a条规定的获取访问数据的信道即可以构成犯罪不同,构成第202a条规定的犯罪不要求知道信息的内容。{51}
本罪只规定了单一的量刑范围,即3年以下自由刑,可并处罚金,第202b条没有规定要处罚其未遂行为。根据《修正案》修改后的《德国刑法》第205条第1款的规定,本罪是相对的亲告罪,除非侦查机关为了特殊的公共利益,告诉才处理。
3.预备窥探和拦截数据
第202c条(预备窥探和拦截资料)是《修正案》根据已生效的《公约》第6条(滥用设备)新增的法条,该条规定:“ 1任何人预备进行202a或者202b规定的行为,只要其通过:(1)制作可以进入第202a条第2款规定的数据的密码或者其它安全代码,或者(2)编写计算机程序,实施该行为的目的是生产、为自己或者他人制作、出售、转让给他人、传播或者用其它方式使他人可以获得,将处以1年以下自由刑或者并处罚金。2对本罪行为,相应适用149条第2和3款的规定。”该条规定之罪的构成特征分析如下:
(1)保护的法益。新增加的第202c条规定了窥探数据和拦截数据的准备行为,同时,《修正案》增加了第303a条(变更数据)第3款和第303 b条(破坏计算机)第5款,使第202c条也适用于变更数据和破坏计算机系统的预备行为。因此,第202c条规定的犯罪损害的是其所指向的以上四种实行行为侵害的法益,是通过第202c条规定的预备行为间接造成损害。
在《修正案》的立法理由中,第202c条被归入“抽象危险犯”中,其功能是《公约》规定的“对预备行为给予刑罚处罚”。要求行为人的主观故意必须与他准备实施的犯罪行为相关,也就是说,行为人必须至少对其行为引起的进一步的计算机犯罪行为具有可能的故意,作为构成要件,犯罪人必须具有这种超过的内心趋势,这使得第202c条规定的犯罪有别于纯粹的抽象的危险犯,即虽然在客观构成要件上只要有抽象的危险即可,但在主观方面必须具有侵害前述法益的故意。{52}
虽然在适用法条时进行了以上限制,对该条的规定德国刑法学界仍然存在不少反对的意见,认为:①第202c条将“确定的特别危险的准备行为”犯罪化,并规定一年以下的自由刑,无疑背离了扩大的刑法的价值。由于《刑法》第202a条、202b条规定的既遂犯的法定刑是3年以下自由刑,其未遂犯“鉴于符合犯罪构成的门坎非常低”应保持不予以刑罚处罚,但是却落入了《刑法》第202c条规定的抽象的行为犯的处罚范围,这在法律评价上是矛盾的。②根据《德国刑法》第205条第1款、第303c条的规定,第202c条指向而实行犯都是作为相对的亲告罪,法律对这些犯罪在既遂的情况下都不认为存在追究刑事责任的必要,而第202c条规定的犯罪却是一个公诉罪,一旦犯罪人对保护的法益构成具体的危险或者造成损害时,其刑事诉讼取决于存在刑事追诉或者特别的公共利益,使一个相对无害的不法行为被捆绑到一个近乎无所不包的预备犯罪行为中。即使司法实践中对犯罪构成要件的客观方面和主观方面采取了狭窄的解释,但仍然存在对标准的清晰性的担忧。因此,有学者认为,如果不必要制定一个法律,那么必须不制定该法律。{53}
虽然存在以上批评,但毕竟本罪规定的犯罪对社会造成了现实的危害,如同《公约》在界定本罪时非常谨慎一样,《修正案》为了打击此类网络犯罪和达到《公约》的立法要求,同样非常谨慎地规定了本罪,并在司法实务中予以严格适用。
(2)犯罪工具,是安全代码或者是计算机程序。所谓安全代码是指数据形式的代码,制作该安全代码的人主观上是希望并且客观是用于阻止获取《德国刑法》第202 a条规定的数据,密码是安全代码的一种典型形式,但不限于密码这一种形式。所谓计算机程序,是指用于控制计算机系统执行一定功能的数据,使用该计算机程序的目的必须是为了实施第202a条、第202b条的犯罪。程序编制人员、犯罪人或者其它人的主观意愿不起决定作用,而以计算机程序的用途在其功能来显示其目的,该计算机程序不必仅为了实施某一计算机犯罪,但应是可以被用于实施计算机犯罪。在作为犯罪工具的计算机程序中,一种是专用于第202a条和第202b条规定的犯罪的所谓“有害程序”,另一种是所谓的“双用途程序”,后者既可以用于合法目的也可以用于非法目的,在客观属性上符合构成要件的要求。{54}由于公众担心第202c条将IT安全部门的活动作为犯罪处罚,联邦政府提出,仅仅是适合于计算机犯罪的程序并不满足全部条件,而是必须“非法应用是内在的”和其“功能目的是明显的非法目的”。{55}联邦议会的法律委员会也提出,这里的行为对象只包括最初就是为了实施犯罪行为而设计或者制作的程序,{56}也就是所谓的“有害软件”,即立法者认为只有黑客工具才符合客观的构成要件,从而排除包括非特定使用的一般计算机程序工具和用于计算机设备安全检测的保护数据安全的程序。但是,从实际情况看,这些被排除的计算机程序与侵入他人计算机系统所使用的软件没有区别。{57}因此,对构成要件的限制应在主观特征方面,即是为了准备第202a条和第202b条的犯罪行为的实施本罪行为。{58}
(3)危害行为,是制造、使自己或者他人获得、出售、出让给他人、传播或者用其它方式使他人可以获得犯罪工具。所谓制造是指使犯罪工具处于可用状态;所谓提供是指将犯罪工具的支配权力转移给他人;所谓出售是指以交易的方式转让犯罪工具的支配权;所谓出让是指转移了犯罪工具的占有而不只是单独将支配权转让给其它人;所谓传播通常是指使犯罪工具的接收人可以从数据存储器中获得其复制件;所谓使他人可以获得是指使他人获得通过网络途径可以取得的可能。作为《公约》第6条在《德国刑法》中的移植,第202c条没有全盘采纳《公约》规定的行为,对单纯的持有犯罪工具的行为予以保留,没有将其规定为犯罪行为,同时,对一般的准备行为也不按照犯罪处罚。
(4)行为人主观方面是故意,即行为人明知是法律规定的犯罪工具和所要进行的行为而希望进行的心态,除此之外,行为人还必须还有过剩的内心趋势,即进一步希望通过其行为意图使自己或者他人实行前述网络犯罪。{59}
本罪只有单一的量刑范围,即处以1年以下自由刑或者并处罚金。此外,该条第2款规定,参照第149条第2款、第3款的主动悔罪的规定,为已经完成了第202c条规定的行为的行为人设立了一种补救的机会,通过积极悔罪以免除刑罚。如果犯罪人准备实施的第202a条、第202b条、第303 a条、第303 b条规定的行为实际被执行了,则行为人不再构成第202c条规定的犯罪,无论是犯罪人自己实施后续的犯罪,还是与他人共同实施第202c条规定的犯罪且属于对他人实施后续犯罪构成帮助,都按照后续犯罪的共同犯罪定罪处罚。{60}
4.变更数据
《修正案》生效前,《德国刑法》第303a条规定:“ 1非法去除、掩盖、使其不能使用或变更第202a条第2款规定的数据的,处2年以下自由刑或罚金。2犯本罪未遂的,亦应处罚。”《修正案》第5条增加了第303a条第3款:“3对于准备实施 免费论文检测软件http://www.jiancetianshi.com
第一款犯罪行为的,适用第202c条的相应规定。”其构成特征分析如下:
(1)该条保护的法益是资料的可用性,而不是财产。这是因为《联邦德国民法典》规定的财产权只能存在于物上而不能在数据上,同样,在民法上限于物上的占有权和使用权也不能存在于数据上,这些权利只可能存在于数据的内存上。侵犯数据的可用性必然侵犯数据的使用权,因此,该条也保护对数据的使用权。{61}
(2)犯罪对象是他人拥有使用权的数据。这里的数据的概念依照《德国刑法》第202a条第2款的规定,而不适用第202a条第1款的规定。因此,作为犯罪对象的数据不限于采取安全保护措施和限于给特定的人使用的数据,{62}不必是有证据价值的数据或者是他人取得时可以理解其内容意义的数据(例如加密的记录),可以只是服务于个人目的的数据(如个人的记录),{63}但是,该资料上必须存在着犯罪人之外的他人的使用权,这一权利可以是事实上的权利,如对数据载体的处分权,也可以是经授权获得的对数据的使用权。
(3)危害行为,是删除、压制、修改他人的数据或者导致其不能使用。所谓删除,是指将数据从数据载体中移除或者将数据载体本身破坏(例如用其它数据来覆盖数据、插入计算机病毒)。{64}所谓压制,是指使对数据的使用权人不能访问,既可以是通过拿走数据载体,也可以是通过施加其它的错误(通过更改数据文件的名字使其不能被找到或者加人新的密码)来实现,不需要造成永久不能访问的损害。压制行为不需要成功完成,如果在其实施期间造成数据的处分权人无法获取数据,也构成压制。{65}所谓使数据不能使用,是指通过施加特定的作用在一定程度上影响数据的可用性,可以是通过改变用途添加其它数据来实现。{66}改变数据的影响必须是导致了不法的后果,这种不法后果是在行为人对数据没有使用权或者对抗他人的使用权的意图支配下实施的。
(4)行为人主观方面表现为故意,但只要存在可能的故意即满足。{67}
本罪只有单一的量刑范围,即处以2年以下自由刑或者并处罚金。根据第303a条第2款的规定,本罪处罚未遂犯,例如行为人使用计算机病毒感染了计算机程序但尚未产生破坏后果的,也要按照未遂犯处罚。{68}此外,根据第303a条第3款的规定,实施本罪行为,相应适用第202c条的规定,即预备实施本罪的,可以根据第202c条第2款、第149条第2款和第3款的可能免除刑罚的主动悔罪的规定,减轻或者免除处罚。最后,根据第303c条的规定,本条规定的犯罪是相对的亲告罪,除非存在特别的公共利益,告诉才处理。
5.破坏计算机
原《德国刑法》第303b条(破坏计算机)规定:“ 1为下列行为之一,非法干扰对他人公司、企业或当局具有重要意义的数据处理程序的,处5年以下自由刑或罚金:(1)实施第303a条第1款规定的犯罪的,或(2)对数据处理设施或计算机加以毁损、损坏、使其不能使用、去除或变更的。2犯本罪未遂的,亦应处罚。”根据《公约》第5条和《决议》第3条的规定,《修正案》第6条将原第1款修改为第1款和第2款:“ 1任何人对他人具有重要意义的数据处理进行明显的干扰,有下列行为:(1)实施了第303a条第1款规定的行为的;(2)对第202a条第2款中的数据进行了其它有害的增加、输入或者传输,或者(3)对信息处理系统或者信息载体进行损坏、损伤、使其不能使用、移除或者改变,处3年以下自由刑或者罚金。2对他人公司、企业或者政府机构的有重要意义的信息处理实施以上行为的,自由刑最高为5年或者处罚金。”原第2款改为第3款,后面再增加第4款和第5款:“4有第2款规定的特别严重情节的,处7个月至10年自由刑。特别严重情节规定为,当行为人(1)导致大规模的财产损失,(2)以之为业或者作为团伙成员有组织地、持续进行破坏计算机,(3)以上行为损害了居民生活必需品或者服务供给或者联邦德国的安全。5预备实施第1款规定的犯罪行为的,适用第202c条的相应规定。”该条规定的犯罪的构成特征分析如下:
(1)保护的法益。《修正案》将原来第303b条第1款规定的非法干扰他人公司、企业或者机关的有重要意义的数据处理的行为,规定为现在的第303 b条中的一种加重情形,并通过新的第1款第2项增加了对个人数据处理的保护。这一修改是应《决议》的规定而增加的,《决议》要求欧盟成员国为私人数据处理提供刑法保护免受破坏计算机的行为的损害,同时,要将通过输入或者传输数据的拒绝服务攻击行为规定为犯罪。{69}第303b条第1款保护的是数据的实际使用可能性,即数据的可用性以及计算机系统(包括数据载体)的可用性,免受破坏计算机的干扰行为侵害。作为第1款的特别构成类型,第2款保护的是他人公司、企业和机关的计算机数据和计算机系统的可用性,从而保护以上单位的计算机系统的功能及基于这些功能的正常发挥而相关的利益。以上单位的计算机系统和数据被用于经济和社会管理活动,其正常运行关系到国民生活必需品的供应或者联邦德国的安全,第4款规定的是破坏这些单位的计算机系统特别严重的情形,其保护的法益与第2款相同。第5款规定的预备实施第1款规定的行为,适用第202c条规定进行处罚,其保护的法益与第1款相同。第3款规定的是第1款、第2款规定犯罪的未遂犯的处罚,其保护的法益与第1款和第2款相同。
(2)行为结果。构成第1款规定的犯罪的行为结果是,对使用权人具有重要意义的数据处理受到了显著的干扰。所谓“数据处理”,是指计算机系统内部对数据进行的存储、转换、应用、传输到其它存储设备等操作,如果脱离计算机系统进行的处理,将数据载体转移到其它存储设备处,就不属于这里的数据处理。{70}所谓“显著的干扰”,是指往常情况下能实际进行数据处理过程不能像以前一样运行,不限于受干扰的数据处理不能正常工作,如果特定的数据处理的可能性不再存在了,也构成干扰。该干扰还必须是显著的,即在效果上如果为了消除损害在时间、人力、费用的支出相当高时,才达到了显著的程度。{71}所谓对他人“具有重要意义”,是指受干扰的数据处理对他人具有重要意义,这里的“他人”指的是合法使用者,且受到干扰的数据处理过程对其在事实上或法律上具有重要意义。{72}对于第 303 b条第1款而言,首先要区分该数据处理是为个人使用还是为了公司、企业和机关使用,如果是前者,必须该数据处理在个人的生活中处于中心地位。对于属于工作范围的文化、艺术、经济活动中的数据处理,对个人是处于中心地位的,但日常的通信和游戏中的数据处理则不是,{73}类似的其它活动需要法官进行具体的评价是否构成“显著的干扰”和“具有重要意义”,因此,构成第I款规定的犯罪至少有具体的危险。在第2款的规定中,被干扰的数据处理对于他人的公司、企业或者机关必须具有重要意义,判断是否具有重要意义与单位的性质、功能有密切的联系,在单位的数据处理受到干扰过程中,这些单位的功能至少遭受具体的危险,{74}同时,由于第2款规定的是对数据处理的干扰,而不是对有使用权的企业、公司或者机关的干扰,因此,只需要这些单位的数据处理功能受到损害,就满足了具体的危险。数据处理过程被干扰是否达到严重的程度,一方面要看被干扰的数据处理过程的数量,另一方面要看是否对使用权人的设备实现其目标产生了决定性作用。
(3)危害行为。犯罪人通过两种不同的方式给数据处理造成显著的干扰,一种是通过侵犯第1款第1项和第2项规定的数据,另一种是通过第1款第3项规定的数据处理设备和数据载体:①第1款第1项规定的行为方式。该项将第303a条规定的全部构成要件规定为选择性的特别构成类型,作为第1款的一种特别行为方式。②第1款第2项规定的行为方式。《修正案》增加该项是因为滥用诸如输入或者传输数据的行为也能造成显著的干扰。例如,在所谓“拒绝服务攻击”的过程中,服务器因为无法承受大量的访问以至于其接受和处理能力严重下降,甚至该服务器正常的联系与接收请求的通道被阻塞或者最少是变得迟缓。该项中的“资料”,依照第202a条第2款的规定来理解,但对于其中的输入数据的行为,只要犯罪人输入的数据最后存储在数据载体上,就认为符合第202a条第2款的规定,不要求输入数据前该数据已经是静态数据。这里的输入和传输数据的行为必须是故意实施的,在客观上有给他人(个人或者单位)的利益造成损害的具体的危险,但不必造成了财产损失,在主观上行为人意图造成他人利益的损害。③第1款第3项规定的行为方式,必须对数据处理、存储设备进行损坏、损伤、使其不能使用、移除或者改变。这里的损坏和损伤,参照《德国刑法》第303条的规定理解。这里的使其不能使用,必须没有造成实体的损害,是通过间接影响的方式致使失效,以区别于损坏和损伤行为。这里的移除,要求行为对象在使用权控制领域被移走。{75}这里的改动,是指对行为对象的可使用性施以中性的影响,使其从以前的状态变成异常的使用情况。
(4)特别严重的情节。作为一个特别构成类型,《修正案》在第4款规定了第2款的特别严重情节,分为三种情形:①第4款第1项规定的是“导致大量财产损失”,不包括对应于损害的财产风险,这里的“大量”,指损失数额大于5万欧元。②第4款的第2项规定的是“以之为业或者作为团伙成员有组织地、持续进行破坏计算机”,其中的“以之为业”是指,行为人以反复实施的破坏计算机的行为来获得一定范围和一定时间内的不断的收人,其中的作为“团伙的成员有组织、持续实施破坏计算机”是指,行为人参与了至少三个人的群体来实施一个不限定次数的计算机破坏行为,但不要求每一次破坏计算机都由多人实施,如果单个犯罪人实施犯罪有利于该团伙目的的实现,也属于团伙犯罪。③第4款第3项规定的“供给”依照《德国刑法》第316条第3款的第2项理解,所规定的“安全”依照《德国刑法》第92条第3款的第2项理解,是指抵御来自国内外的干扰和保护公民法益的国家保障能力。对供给和安全的侵害必须使法益存在具体的危险,{76}造成“供给”的具体危险通常是指现有的库存被耗尽而充分的和及时的补给不能被保证。该项中的“居民”应为一定数量的人,且明显要超过《德国刑法》第306条第1款所称的“大量的人”,如果“大量”是指从10-20个行为人起算的话,那么“居民”的数量应被理解为至少有三位数以上的相关人数。{77}
(5)预备犯。《修正案》增加的第5款规定,预备实施本条第1款规定的犯罪行为的,适用第202c条的规定,同样也适用《德国刑法》第149条第2款和第3款关于预备犯之主动悔罪的规定。
(6)犯罪故意。本罪中的犯罪故意在各款规定的犯罪行为中有所不同,但对于所有客观构成要件,行为人主观上必须至少具有间接故意。{78}构成第I款规定的犯罪,行为人除了前述犯罪故意外,还必须希望对被害人具有重要意义的数据处理进行显著的干扰;构成第1款第2项规定的犯罪,犯罪人必须具备给他人造成不利的意图;构成第2款规定的犯罪,行为人必须有给该款中的单位的功能造成具体的危险的故意。
本罪规定了3个量刑范围,对于第1款规定的犯罪,量刑范围为3年以下自由刑或者罚金,对于第2款规定的犯罪,量刑范围为5年以下自由刑或者罚金,对于第4款规定的特别严重情节的量刑范围为7个月至10年自由刑。犯本罪未遂的,应受处罚。预备实施本罪的,按照第202c条的规定处罚。需要注意的是,根据第303c条的规定,本罪告诉才处理,即只有特别严重的情形或者在特别的公共利益受到侵害的情况,告诉才受刑事追诉。
(二)德国与前述公约网络犯罪立法比较
1.与《决议》的比较
《决议》中的三种网络犯罪都是围绕保护信息系统而规定的,其所设立的罪状标准都限于保护信息系统安全的范围,如《决议》第3条和第4条规定的计算机数据都限于计算机信息系统上的计算机数据。《修正案》生效后的德国网络犯罪立法规定,一方面完全符合《决议》的立法要求,其第202a条(窥探数据)和第303b条(破坏计算机)的规定完全涵盖了《决议》规定的第2条、第3条和第4条规定的犯罪;另一方面,它在《决议》所要求的立法基础上做了更具体的规定,表现在《德国刑法》第202a条对窥探数据行为的细致描述和对数据的严格界定,以及《德国刑法》第303 b条规定了多种行为方式和多种不同严重程度的犯罪情形。不仅如此,现行德国网络犯罪立法已经超越了《决议》所要求的保护信息系统安全的范围,对信息系统之外的计算机数据也给予了强有力的保护,表现在第202b条(拦截数据)和第303a条(更改数据)的规定上,这两条的保护范围覆盖了信息系统之外存储、传输的数据。
对其规定的三种犯罪,《决议》要求成员国给予“有效的、适当的和劝阻作用的刑罚”处罚,对其第3条、第4条规定的犯罪则做了明确的最高刑的底限要求,即不低于1年到3年之间的监禁,加重情节下不低于2年到5年监禁。《德国刑法》第303a条和第303 b条规定的刑罚完全符合了《决议》的要求,且在团伙犯罪和损害关键利益的情况下法定刑的最高刑甚至到了10年自由刑。《决议》规定了法人犯罪及其刑罚种类,《德国刑法》中没有法人犯罪的规定,但其第14条(为他人而行为)的规定完全符合《决议》的法人犯罪及其处罚的要求。
在《决议》所要求的三种网络犯罪的帮助犯、教唆犯、煽动犯上,可以直接适用《德国刑法》第26条(教唆犯)、第27条(帮助犯)及相关独立犯罪的规定,不过,在其未遂犯上《德国刑法》对窥探资料罪的未遂犯做了保留规定,一方面是因为《决议》第5条第3款允许成员国予以保留,另一方面《德国刑法》第202a条规定的窥探资料罪不是严重犯罪,没有对窥探资料未遂的行为予以刑罚处罚的必要。
根据《德国刑法》第3条到第9条有关刑法管辖范围的规定,德国刑法对以上网络犯罪的管辖规定完全符合《决议》第10条关于管辖权的要求。
2.与《公约》的比较
在网络犯罪实体法立法上,《修正案》更多地是遵照《公约》的规定进行立法修改。对应于《公约》第2条至第6条规定的侵犯计算机数据和系统保密性、完整性和可用性的犯罪,《修正案》增加和修改了第202a条、第202b条、第202c条、第303a条、第303 b条的规定,但《修正案》也并非按照《公约》的最高要求来制定,而是根据本国刑事政策和网络犯罪状况做了一定的保留,表现在两条规定上:一是第202a条(窥探数据罪)使用了《公约》第2条规定的保留规定,对该罪规定了特定的犯罪方法即采取对抗信息系统的安全措施的方法实施;二是第202c条(预备窥探和拦截数据)规定的选择性危害行为中排除了《公约》第6条(设备滥用)第I款b项规定的持有行为,但这是《公约》第6条第3款所允许做的保留。
在以上5种网络犯罪 的帮助犯、教唆犯和法人犯罪的处罚上,《修正案》生效后的德国刑法符合了《公约》的相应要求。《公约》第11条第2款要求对非法拦截、干扰数据、干扰系统三罪处罚未遂犯,但同时在第3款中允许其缔约国对此予以保留。《修正案》在以上三罪未遂犯的规定上没有采纳最高标准,其新增的第202b条(拦截数据)虽然不属于德国刑法上的轻罪,但考虑到并不属于严重犯罪,故没有规定处罚未遂犯。
三、结论
《公约》是目前世界范围内影响力最大的打击网络犯罪的全面的国际公约,《决议》是欧盟成员国范围内打击攻击信息系统的网络犯罪的国际公约,德国在这两个国际公约的起草和签署中都发挥了重要作用,反过来这两个公约也对德国网络犯罪立法特别是《修正案》的制定发挥了立法修改的“标杆”和“限时器”的作用,加快了德国网络犯罪立法速度,提升了立法水平。经过对以上三部法律的分析与比较,可以得出以下结论:
(一)为了打击同一互联网中的网络犯罪,世界各国立法最终要走向立法趋同和司法合作,这一立法趋同趋势已经形成。虽然在完备程度上有显著差别,《公约》和《决议》在各自的影响范围内促进了成员国或缔约国国内网络犯罪立法的一致化发展。目前《公约》批准国已经达到30个国家,其中有立法影响力大的美国、德国、法国、意大利等,这使得它逐渐成为影响世界各国网络犯罪立法的较高层次网络犯罪立法标准。而《决议》规定的最后立法期限还加快了作为《公约》缔约国的欧盟成员国的网络犯罪立法进程,是《公约》影响力扩大的关键力量。
(二)世界各国网络犯罪立法一致化进程并未完成,仍处于逐渐融合的上升过程,各国相关立法的差异仍然明显,相关的司法合作的范围有限。不少国家虽然签署了《公约》,甚至也是《决议》的成员国,但并没有就此达到《公约》的立法要求,仍有10个欧盟成员国没有批准和实施《公约》,这也说明了国际网络犯罪立法趋同进程还没有达到较高阶段,以《决议》为代表的较低层次的网络犯罪立法还具有广泛的代表性。即使在《公约》批准国之间立法的一致性也是相对的,由于《公约》规定了较多的保留条款,其缔约国可以使用这些保留条款制定较低层次的网络犯罪立法。{79}
(三)作为欧洲理事会和欧洲联盟的成员国,德国积极推动制定以上两个国际公约,构建打击网络犯罪的国际刑事立法一体化和刑事司法合作体系,以上两个公约也反过来推动了德国网络犯罪立法的完善。如前文中所谈到的,德国没有一味追求最高标准的网络犯罪立法,而是在两部国际公约允许的范围内,根据本国网络犯罪状况和本国刑事政策进行修改网络犯罪立法,其突出的特点是轻罪处罚轻缓,重罪处罚严厉,具体而言:①在轻罪轻处理方面,《德国刑法》第202a条、第202b条和第202c条不处罚未遂行为,且第202c条不将持有行为规定为犯罪行为。除第202c条规定的犯罪外,其余犯罪除非涉及公共利益,都是告诉才处理,避免刑法处罚范围的扩大化的弊端。②在重罪重处罚方面,《德国刑法》第303 b条规定了多层次的严重情节,并对特别严重的情形最高处10年自由刑,其刑罚设置虽然在《决议》规定的刑罚标准内,但已经相当严厉。最后,需要指出的是,作为德国刑法的一贯特点,《修正案》对各罪罪状的描述和使用术语规定得十分明确和准确,区分不同危害程度的犯罪情节并设置差别化的刑罚,这些都是德国网络犯罪立法值得借鉴之处。
相关文章:
浅析政府管理创新的判断准则及其特征04-26
浅析政府数字化改革与管理效能提高的关系04-26
扎实开展基层行政工作,推进运管工作新局面04-26
中等职业教育有效教学方法的探索04-26
职中生厌学心理分析及辅导04-26
浅谈中职学生德育工作的开展04-26
浅谈中专体育与健康教学04-26
中职电脑美术设计艺术性解析04-26
从教育评估谈中职学校档案管理面临的挑战04-26