网络黑客行为之法律规制
黑客(hacker)一词是外来语,其来源于英文单词hack,意为劈、砍及游荡、闲逛;hancker原意指在网络中游荡并破除其前进障碍的人,主要是指那些精通于计算机技术和网络技术,水平高超的电脑专家。黑客一词原本并无贬义,尤其是在20世纪80年代以前,黑客是由那些才华出众、通宵达旦操作计算机的学生为代表的计算机迷,他们是电脑革命的英雄。正是由于这些人对网络技术的痴迷和不知疲倦地挑战,才不断推动了计算机网络技术的发展。但是随着网络的发展,黑客行为的目的已经从窥探、开玩笑或者仅仅是为了炫耀其能量演变为破坏、窃取、诈骗等,黑客不再被视为无害的探索者,而是阴险恶毒的侵略者,口令大盗和电子窃贼成为其代名词。因此,对黑客一词的理解也发生了重大变化,一般是贬义的,主要是指利用计算机技术非法侵入、干扰、破坏他人的计算机信息系统,或擅自操作、使用、窃取他人计算机信息资源,对电子信息系统安全有程度不同的威胁和危害性的人。
在计算机网络全球化的时代,电子商务日益盛行,软硬件、数字财产和信息数据等价值都在与日俱增,黑客不仅仅入侵他人的计算机系统,更有不法之徒利用黑客入侵牟取不法利益,黑客攻击行为更加具有趋利性,甚至形成了黑客产业链条;同时也带来了网络犯罪的蔓延,犯罪类型由原先纯正的计算机犯罪扩大到不纯正的计算机犯罪,主要表现在传统型犯罪的计算机化趋势{1}——除了强奸罪等必须以行为人自身或者他人的人身作为犯罪工具的传统型犯罪以外,其他犯罪基本上均可通过计算机实施;以网络为载体和手段的侵权行为发生频率已经越来越高:数据泄漏事件频发,越来越多的网站爆出数据库被黑客入侵利用,用户隐私安全遭到威胁的消息;被攻击的计算机信息系统涉及更多领域,针对政府、金融、交通、电力、教育、科研等重要领域系统的攻击数量明显上升,其破坏性更大。黑客行为的社会危害性越来越大,严惩黑客的呼声愈来愈高。
目前,我国已成为世界上黑客攻击的主要受害国之一。2013年7月4日发布的《2012年中国互联网网络安全报告》{2}显示黑客活动日趋频繁、隐蔽性攻击事件呈增长态势:2012年,我国境内被篡改网站数量为16388个,被暗中植入后门的网站有52324个,用户信息泄露严重;针对我国境内网站的钓鱼页面有22308个,窃取经济利益成为黑客实施网络攻击的主要目标之一;境外约有7.3万个木马或僵尸网络控制服务器控制我国境内1419.7万余台主机,境外攻击威胁严重。网络安全正威胁着我们每一个人,极大地影响了我国网络运行的正常秩序。
关于黑客行为的法律规制
由于黑客行为往往是通过进行非授权的登录完成的,因此其行为又被称为黑客攻击。黑客攻击的手段多种多样,因此其所引发的法律问题也呈现出复杂化的趋势,但是毫无疑问,各国政府对于网络黑客采取严厉打击和制裁的态度是高度一致的。
(一)国内外规制黑客行为的立法概况
目前,世界上第一个同时也是影响范围最大、最重要的打击网络犯罪的国际公约是欧洲理事会通过的《关于网络犯罪的公约》。《公约》强调了国际间协作,将网络犯罪进行了归类,并且还规定了相关犯罪的未遂犯、帮助犯、教唆犯、法人犯罪以及以上犯罪的处罚。欧盟理事会制定的《关于攻击信息系统的理事会框架决议》则是强调建立有效应对攻击信息系统、保护网络和信息安全的全面解决方法。
德国的刑法修正案则将网络犯罪立法提升到新的高度,其突出特点是轻罪处罚轻缓,重罪处罚严厉。美国于1986年通过《计算机欺诈和滥用法》并多次修订,惩治范围不仅包括任何已经实施网络犯罪的人,也包括那些密谋策划网络犯罪的人。英国于1990年通过《计算机滥用条例》,此外,加拿大、日本、澳大利亚、新加坡、瑞典、法国、挪威等国先后针对网络犯罪行为制定了有关法律法规。
我国规制网络黑客行为的法律框架。在法律层面上主要有1997年刑法,将两种黑客行为规定为犯罪:非法侵入计算机信息系统罪和破坏计算机信息系统罪。2009年的刑法修正案(七),增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪。全国人大常委会颁布了《关于维护互联网安全的决定》以及《中华人民共和国治安管理处罚法》等。
在行政法规和部门规章层面上,1994年2月18日国务院颁布实施的《中华人民共和国计算机信息系统安全保护条例》是我国制定的第一部针对计算机系统安全保护的规范性文件;1996年2月1日,国务院发布《中华人民共和国计算机信息网络国际联网管理暂行办法》。1998年2月13日,国务院信息化工作领导小组发布《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》;1996年4月9日,邮电部发布《中国公用计算机互联网国际联网管理办法》;1997年12月16日公安部发布《计算机信息网络国际联网安全保护管理办法》;2000年1月25日国家保密局发布《计算机信息系统国际联网保密管理规定》;2000年4月,公安部发布《计算机病毒防治管理办法》和《计算机信息系统安全保护等级划分准则》。
另外,司法解释方面,2011年“两高”联合出台了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,进一步加大了对危害计算机信息系统安全犯罪的打击力度。
这一系列法律法规及规范性文件构成了目前我国计算机信息系统和网络安全保护的法律体系,充分表明我国法律反对任何形式的网络黑客攻击行为的决心和举措。
(二)黑客应承担的法律责任
许多人往往从黑客的动机(比如爱国)出发,认为黑客有“好”、“坏”之分,美化和推崇所谓的“好”黑客,而不能对网络黑客行为作出法制上的价值判断。笔者认为不能因黑客某种目的的正义性而否认其行为的违法性,即便其不构成犯罪,也应当承担起相应的法律责任。对于黑客行为,除受刑法和行政法的调整外,还应当按照民事侵权行为受到民法的调整。也就是说,黑客应承担的法律责任包括刑事责任、行政责任和民事责任。
第一,关于刑事责任。正如前文所说,当前网络黑客的犯罪类型出现了传统型犯罪的计算机化趋势,但是网络黑客的攻击行为及至衍生的网络犯罪行为无论再怎么花样翻新,不过是表现形式不同而已。比如北京法院审理的首例利用木马程序实施的网银盗窃案,犯罪嫌疑人将木马植入他人电脑,远程操控盗取银行密码然后把钱转走的行为,这虽然与普通盗窃行为的手段、过程不一样,但两者之间目的、后果是一致的,而且并不能改变“秘密窃取”的实质要件,法院依然按照刑法的规定评价为盗窃罪。总之,我国刑法规定的犯罪构成才是分清罪与非罪、此罪与彼罪的具体标准,包括犯罪主体、犯罪主观方面、犯罪客体、犯罪客观方面四个要件,缺一不可。黑客行为如果符合刑法的犯罪构成要件,就应当承担相应的刑事责任,受到相应的刑事处罚。
第二,关于行政责任。黑客行为对国家安全和社会治安秩序危害严重,构成犯罪的,应当承担刑事责任,刑法已有明确规定。当然,当黑客违法行为不构成犯罪时,其行为的违法性也有相应的法律规范予以评价和调整,并不能因其网络特征而改变。对此,我国治安管理处罚法第二十九条明确规定不构成犯罪的,根据情节轻重,予以行政拘留,这是黑客应当承担的行政责任。另外,黑客可能承担的行政责任还主要包括被警告、罚款、没收违法所得、停止联网、停机整顿、吊销经营许可证直至取消联网资格。
第三,关于民事责任。黑客行为除了具有刑事和行政违法性外,其行为后果仍然可能给他人造成经济上和精神上的损害,或者是具有民事侵权的性质。因此,黑客还应当承担民事责任。根据我国法律规定,承担民事责任的方式主要包括停止侵权、赔偿损失等。比如,黑客进入别人的网站,更改网站内容,或者将重要内容进行删除、修改,当然会造成相应的损失,那么黑客就要承担相应的民事责任。如果擅自更改网页的页面设计及文字内容,则构成侵犯著作权,应当承担相关民事责任。目前,我国关于网络侵权的直接规定体现在侵权责任法第三十六条,该规定为网络侵权行为提供了较为规范的法律依据。
规制网络黑客行为的建议
虽然我国是世界上较早从法律上规定黑客行为应予处罚的国家,但是与西方发达国家相比,我国的反黑客法律却显得缺乏完整性、严密性和足够的震慑力。
(一)加强和完善刑事立法
在司法实践中,黑客犯罪行为所造成实际的损害结果远远超过了刑法条文中规定的危害结果,现行刑法已经不能满足惩罚网络黑客犯罪形势的需求。第一,刑法关于惩治计算机犯罪的法定刑设置过低、刑罚设置不合理,刑罚幅度与社会危害性罪责刑不相适应,对罪犯威慑力不足,达不到报应和预防的目的。建议通过修改刑法,在保持起点刑不变的情况下,可以适当提高刑罚处罚的上限并增加不同档次的法定刑罚。第二,刑罚设置单一,导致司法实践缺乏明确依据,常常出现广为业界诟病的“判重罚轻”或“刑重赔轻”的不合理情况,不利于遏制目前黑客犯罪的趋利性。建议可以增设罚金刑,以确保司法实务中对于黑客犯罪有更大的处罚空间,做到罪刑相适应,并充分发挥其防控犯罪的作用。第三,随着计算机网络的广泛应用,传统的计算机犯罪已经演变为以网络犯罪为主,尤其是近年来移动互联网的迅速发展,智能手机已成为黑客攻击的主要目标之一,而我国现行刑法中关于非法侵入和破坏计算机信息系统的规定已经不能完整地体现和涵盖对于网络犯罪的惩处。建议对现行刑法和司法解释中涉及计算机信息系统犯罪的相关罪名进行完善和整合,适当增加有关网络犯罪的罪名,加大对网络犯罪的惩处力度。
(二)加强网络治理的行政法介入
刑事责任制度的确立对于惩罚犯罪行为起到了制度保障的作用,《中华人民共和国治安管理处罚法》对于尚不构成犯罪的网络违法行为予以惩罚的规定填补了空白,明确了不承担刑事责任的网络违法行为所应当承担的行政责任等内容。但是在维护网络安全,包括惩治网络黑客行为在内的网络行政方面,还存在许多不足。一是目前网络治理的依据以部门规章为主,立法层级低,难以承担起遏制网络黑客违法行为的重任。建议制定统一的保障网络安全的行政法规,确立相关原则和准则,构建系统有序的网络治理的行政法体系,来规范网络的使用和发展。二是目前网络安全的行政治理涉及十几个部门,既有重复立案的情形,也有互相推诿的现象,严重损害了行政执法的严肃性,也不利于打击网络黑客的违法行为。建议修订已经颁布实施的各部门规章,或使之失效,整合规范行政执法力量,真正贯彻落实有关网络安全的规定和保障措施。三是目前我国的网络立法侧重于行政管理,而忽略了对民众权利的保障,{4}一方面是网络违法行为的肆虐,而另一方面则是遏制了网络的活力和健康发展。建议通过以保护公民信息安全和合法权益为核心的立法,以期不仅通过惩罚性规则矫治网络违法行为,并且从制度上确立行政部门的执法权限,最大程度地均衡各方利益,维护网络健康安全运行。
(三)加强惩治网络侵权的民事立法
不论是从国际还是国内立法的情况看,对于计算机网络安全和遏制黑客行为均侧重于从刑事法律和行政管理法律法规的角度出发来保护计算机网络的安全。但是随着黑客从单纯的计算机网络攻击行为日益转向经济获利性的侵权行为,我国以高额民事赔偿的方式来压制黑客侵权行为强调得还不够;我国网络侵权案件尤其是发案频率极高的黑客侵权案件的赔偿问题依然在遭遇法律盲区。另外,计算机系统被破坏后所造成的经济损失的确定及赔偿标准,依然是法律适用的空白以及司法实践中的困惑。在司法实践中,对于网络侵权案件的被侵权人经济损失的赔偿诉求,由于缺乏法律支持,法官甚至作出了1元的象征性赔偿数额的判决。{5}关于网络黑客侵权行为的民事制裁和遏制方面的法律缺失和不完善的立法现状,完全不利于打击网络侵权行为,不利于对民事主体合法权益的保护。建议在侵权责任法的基础上构建起一个关于网络侵权的专门体系,独立成章;在内容上应将行政法规、部门规章、司法解释等延伸的网络规范纳入其中,以适应网络侵权区别于一般侵权的特殊性,并加重对网络侵权者的惩罚,尤其要强调惩罚性经济赔偿责任的适用。
总之,我国关于黑客行为的法律规制还不成熟,行为规范较为简单,处罚力度不够。因此,从刑法、民法、行政法等多个法律角度及不同层面构建我国完善的网络安全法律体系已经刻不容缓。我们不能指望单纯从技术层面消灭黑客行为,而是要从法律制度上入手,加强综合治理,才能遏制黑客的疯狂行为,创建安全、健康的网络世界。