论坛·原创 | 《联合国打击网络犯罪公约》刑事定罪部分的缺憾与展望 - 新鲜讯息

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线：010-82341063

文 | 武汉大学法学院副教授敬力嘉

当地时间 2024 年 8 月 8 日，联合国打击网络犯罪公约特设委员会（以下简称“特委会”）一致投票通过了《联合国打击网络犯罪公约》（以下简称《公约》）。《公约》是首个联合国框架下打击网络犯罪的全球性公约，最终通过的会议附加会议案文（A/AC.291/22/Rev.3）的“刑事定罪”部分共包括 15 个条文，全面规定了网络犯罪行为（第 7 条至第 17 条）、法人责任（第 18 条）、参与和未遂（第 19 条）、追诉时效（第 20 条）以及起诉、审判和制裁（第 21 条），对确立网络犯罪治理的国际标准与合作机制具有重大意义。然而，必须承认，作为《公约》的核心部分，“刑事定罪”确立的网络犯罪类型在普适性与前瞻性方面仍存在一定缺憾。

因此，有必要对此进行全面总结与反思，以期为将来《公约》的国内法转化和通过附加议定书等形式完善《公约》提供具有可操作性的方案。对比分析《公约》公布的五个案文，梳理“刑事定罪”部分的案文变化，并基于此总结案文中“刑事定罪”部分存在的缺憾，可以展望未来完善《公约》“刑事定罪”部分的具体路径。

一、“刑事定罪”部分修改情况总览

依照时间顺序，可分别就罪名设定与构成要件设置对《公约》五个草案文本“刑事定罪”部分的修改情况进行梳理。

相较于第四次会议案文（A/AC.291/16），第六次会议案文（A/AC.291/22）对“刑事定罪”部分进行了重大删改，删除了几乎所有网络化传统犯罪的罪名（参见表1）。这无疑体现了美国等西方国家的立场。A/AC.291/22 对部分罪名的构成要件设置进行了精简与轻缓化处理，也体现了特委会对凝聚更广泛共识的期许（参见表2）。

表1 罪名的增删

表2 构成要件设置的调整

相较于第六次会议案文（A/AC.291/22），其后公布的三次会议案文的修改，主要聚焦于与网络儿童色情犯罪有关罪名的构成要件设置。这种修改充分体现了发达国家与发展中国家，在确定此类犯罪的认定标准与处罚范围时，存在的激烈博弈（参见表3）。

表3 后续三次会议案文修正

二、最终案文“刑事定罪”部分的缺憾

基于以上梳理，可以观察到，“刑事定罪”部分作为《公约》的核心内容，经过各国的激烈博弈，在罪名设定与构成要件设置两个方面均经历了求同存异的过程，最终形成了具有一定包容性的版本，即最终会议附加会议案文（A/AC.291/22/Rev.3）。在上述两个方面，该案文仍存在较显著的缺憾。

在罪名设定方面，应当承认，第四次会议案文（A/AC.291/16）规定的第 22 条、第 23 条等罪名确实存在较大争议，不具有普适性。该版本案文第 22 条、第 23 条涉及的潜在犯罪人数量庞大（例如网络暴力致人自杀），罪与非罪的边界相对模糊，并且存在较显著的证明难题。特别是第 23 条，各国对参与他人自杀行为的刑事可罚性存在较大的认知差异。对于该版草案第 28 条的规定，鉴于西方国家近年来针对我国新疆问题进行的“种族灭绝”等大规模的污名化行动，该条罪名中的“种族灭绝”和“危害和平与人类罪”等概念极易泛政治化。最终案文将上述罪名予以删除，具备合理性。但是，最终会议附加会议案文（A/AC.291/22/Rev.3）确立的网络犯罪行为主要限于数据、装置、信息和通信技术系统关联犯罪、网络儿童色情犯罪以及网络洗钱犯罪，全面删除了更广泛的网络化传统犯罪罪名，难以充分体现《公约》的普适性与前瞻性，主要存在以下三个方面的缺憾。

第一，最终会议附加会议案文中有关公民个人权益保护的罪名被删除，使《公约》规定的网络犯罪类型缺乏足够的普适性。尽管各国国内法大多规定了此类犯罪，但入罪标准差异较大，而办理此类案件对国际司法合作的需求强烈，亟待《公约》对此进行具有包容性和指引性的规定，为各缔约国国内法的完善与国际司法合作的展开提供规则与机制保障。例如，尽管侵犯个人信息（数据）已普遍被各国刑法犯罪化，但各国刑法设定的构成要件内容、入罪门槛、前置法依据等均存在较显著的差异。在个人信息（数据）跨境流动如此频繁的当下，《公约》未能探索性厘定个人信息（数据）处理的专门罪名，为各缔约国提供进一步研讨交流的平台，实属遗憾。又如，对于网络财产犯罪，该版案文仅在第 13 条规定了“与信息和通信技术系统有关的盗窃或欺诈”，完全照搬《欧洲委员会网络犯罪公约》（即《布达佩斯公约》）第 8 条“计算机相关的诈骗”的（a）款和（b）款的规定，遗漏了网络敲诈勒索类犯罪，同样是非常遗憾的。

第二，最终会议附加会议案文中有关网络恐怖主义、极端主义的罪名被删除，使《公约》的规定难以回应广大发展中国家的重要关切。网络恐怖主义是网络因素与恐怖主义相结合的产物，是指出于恐怖主义目的，通过制造、获取、传播网络信息实施的恐怖主义犯罪预备、帮助、实施和组织行为，给广大发展中国家的政治稳定和经济发展都带来了重大威胁。事实上，许多发达国家也加强了规制网络恐怖主义的立法，英国、德国、美国等都针对网络恐怖主义犯罪进行了相应的规定。可以说，打击网络恐怖主义、网络极端主义代表整个国际社会的共同需求。但是，由于对“恐怖主义、极端主义”的定义存在争议，该版案文将与恐怖主义、极端主义有关的罪名全部删除，无疑是非常遗憾的。第三，最终会议附加会议案文中没有对新技术发展产生的以及在可预见的未来可能产生的犯罪形态进行回应，缺乏足够的前瞻性。该版案文规定的网络犯罪类型仍主要局限于有关数据、装置以及信息和通信技术系统的传统计算机犯罪，以及发达国家较关注的网络儿童色情犯罪和网络洗钱犯罪，却未对区块链、人工智能等新技术及此类新技术支撑下的网络黑灰产业链催生的新型犯罪形态作出探索性规定。相较于《布达佩斯公约》，《公约》未能在罪名设定上体现出足够的前瞻视野。

在构成要件设置方面，最终会议附加会议案文在以下三个方面存在较明显的缺憾。

第一，最终会议附加会议案文第 12 条的规定不够科学。所谓“与信息和通信技术系统有关的造假行为”构成要件的表述实为数据伪造行为。该条目前规定的“输入、更改、删除或隐瞒电子数据，造成不真实的数据，意图使其如同真实的一样在合法用途中被考虑或作为行动依据”，难以涵盖技术发展带来的多样化数据类型及其伪造行为类型。此外，该条第 2 款仅规定可以数据伪造的意图限制入罪范围，未如第 9 条（干扰数据）第 2 款那样要求造成严重损害，可能导致该罪处罚范围的过度扩张。

第二，最终会议附加会议案文第 13 条的规定不够科学。盗窃与诈骗具有完全不同的行为方式，信息网络时代的发展催生了多样的盗窃与诈骗行为方式。该版草案第 13 条第 1 款规定的 3 种行为方式均与电子数据或信息和通信技术系统直接相关。然而，在现实中，真正多发的网络盗窃和诈骗行为则未必如此，例如，各种类型的电信网络诈骗行为，以及利用计算机信息系统漏洞进行盗窃的行为，难以纳入该条规定的行为方式。该条第 2 款则只规定了意图与危害结果，未规定入罪的构成要件行为。整体来看，该条的构成要件设置含混不清，未能准确提炼网络盗窃与诈骗犯罪的行为特征，对缔约国国内法的指导意义有限。

第三，最终会议附加会议案文第 14 条的规定不够科学。该条规定非常严格、细致，且犯罪化的行为类型非常广泛，体现了《公约》对儿童性权利与身心健康从严保护的立场。然而，该条第 1 款将提供、出售、分销、传送、广播、展示、出版或以其他方式提供，通过信息和通信技术系统征求、获取或访问，拥有或控制儿童性虐与性剥削材料，以及上述行为的资助行为，都被视为《公约》规定的犯罪。在将“儿童”界定为 18 周岁以下的基础上，犯罪圈可能过于扩大。此外，该条对“儿童”年龄标准的界定，也与我国《刑法》刑事责任年龄体系中“儿童”的界定存在冲突。如何协调这一冲突，将会成为该条规定转化为国内法的过程中亟待解决的重要问题。

三、对“刑事定罪”部分实施与完善的展望

鉴于《公约》最终案文“刑事定罪”部分仍存在上述缺憾，建议在转化为国内法时需审慎对待，并通过附加议定书进一步完善《公约》该部分的规定，以期为《公约》的实施和完善提供具有操作性的参考方案。为确保《公约》“刑事定罪”部分相关规定的贯彻实施，需对我国有关刑事立法与司法解释进行审慎评估与调整。

第一，需更新我国《刑法》规定的对计算机犯罪的解释。《公约》第 7 条至第 10 条规定的相关罪名，基本能被我国《刑法》第 285 条、第 286 条和第 287 条规定的计算机犯罪相关罪名所涵盖。值得注意的是，我国《刑法》中使用的“计算机信息系统”这一概念，并未区分终端设备与其接入的网络系统本身，导致计算机犯罪的法益侵害性评价常常产生混淆与错位，而《公约》明确区分了“装置”与“信息和通信技术系统”。通过司法解释引入这一对概念，能够有效地解决前述问题。《公约》第 10 条（干扰信息和通信技术系统）规定的“在无权情况下故意通过输入、传输、破坏、删除、劣化、更改或隐瞒电子数据而严重妨碍信息和通信技术系统运行”，可以为明确我国《刑法》中干扰型破坏计算机信息系统罪的行为类型提供法律依据。《公约》第 11 条规定的“滥用装置”，规定了身份认证信息也可以成为行为对象。这与我国《刑法》第 285 条规定的计算机犯罪，以及第 287 条第 2 款规定的帮信罪的规制范围，并不一致，同样有待司法解释予以回应。综上所述，为更好贯彻实施《公约》第 7 条至第 11 条的有关规定，需适时更新对计算机犯罪的司法解释。

第二，需认真研究数据伪造犯罪化的具体路径，审慎增设新罪。对于以何种方式伪造何种数据造成何种损害，才能通过增设新罪将其犯罪化，仍需立足我国基本国情进行深入研究。例如，对于计算机信息系统数据的伪造行为，完全可以通过我国《刑法》第 286 条第 2 款的删改数据型破坏计算机信息系统罪进行规制。但是，对于其他计算机信息系统之外的数据，是否应当结合数据分级分类的要求，优先将在高风险场景基于非法获利、危害公共安全等不法目的对重要数据采用深度合成等技术手段进行伪造的行为犯罪化，是亟待进一步思考的问题。

第三，需对《公约》第 13 条至第 15 条有关网络儿童色情犯罪的规定与我国《刑法》衔接。对此，有待于对我国刑事责任年龄及性犯罪体系进行全面、系统的重新审视，探索出一条合理吸收《公约》规定的审慎路径。具体而言，《公约》将“儿童”的年龄界定为 18 周岁以下，与我国《刑法》对“儿童”的界定存在显著冲突。因此，是否应将这一标准限缩适用于《公约》规定的新罪，作为我国《刑法》分则规定的例外情形，还是应当对刑事责任年龄体系进行整体性的反思与调整，都是在将《公约》相关规定转化为国内法时应当审慎评估的问题。此外，如何确保《公约》新增的网络儿童色情犯罪与我国《刑法》当前的性犯罪体系保持协调，也需严肃思考，避免对我国既有的规范体系造成破坏性影响。

第四，应审慎研究将《公约》第 16 条转化为国内法的具体路径。该条规定保护的对象是私密图像承载的性隐私，而我国《刑法》目前尚无直接对应的罪名，需考虑增设新罪。增设新罪存在以下两条可行路径：一是参照该条增设专门保护性隐私的罪名，二是增设保护隐私的一般性罪名，覆盖对性隐私的保护。无论选择哪一条路径，都需要在仔细研究侵犯公民个人信息罪与拟增设隐私保护罪名的保护范围相区别的基础上，妥当设置新罪的构成要件及入罪门槛。

第五，应充分转化《公约》第 17 条的规定，适时调整我国《刑法》中关于洗钱罪的有关规定及相关司法解释的规定。在我国当前高度重视反洗钱工作的背景下，《公约》第 17 条对我国洗钱罪的上游犯罪、行为类型等提出了新的要求，我国也应当适时将该条规定吸收转化到国内法的有关规定中。

总之，为了进一步完善《公约》“刑事定罪”部分的有关规定，建议在未来《公约》附加议定书的谈判过程中，在求同存异的基础上，推动将网络侵犯个人信息、网络财产犯罪、网络恐怖主义与极端主义、网络传播虚假信息，以及其他新兴技术发展催生的新型犯罪形态纳入《公约》规定的犯罪类型。同时，在《公约》框架下持续加强国际合作，共同为有效打击和预防网络犯罪而努力。

（本文刊登于《中国信息安全》杂志2024年第8期）

分享网络安全知识强化网络安全意识

欢迎关注《中国信息安全》杂志官方抖音号

《中国信息安全》杂志倾力推荐

“企业成长计划”

点击下图了解详情