网络木马犯罪及其法律规制

“黑客经济”这个具有严密组织化的产业链条，已经在充满恶意软件的黑暗世界里显现“繁荣景象”。据媒体披露，这个地下的黑色产业链已经形成规模。据不完全统计，“灰鸽子”病毒程序直接售卖价值就达2000万元以上。

黑暗的另一面必是阳光!近来，随着警方不断加大打击力度，利用“木马”恶意软件大赚不义之财的案件被接连破获。随着案情的不断曝光，这个“黑色产业”的运作方式也逐渐浮出水面，引起各方关注。近日，一份来自权威机构的白皮书揭示，以保障手机安全为目的软件行业正在迅速崛起，“手机反黑”很有可能成为IT行业的下一个金矿!

木马是整条黑色产业链流动的细胞，而传播网络木马的犯罪行为则是整条产业链的动脉，“挂马集团”则是黑色产业链的心脏。网络木马犯罪行为与传统犯罪行为在内涵外延、表现方式等方面都有诸多差异。比如犯罪主体是否包括特殊身份主体，不作为在网络上能否构成犯罪，如何判定网络木马入侵的着手时间，违法性阻却事由中的紧急避险能否在网络犯罪中适用等。因此，网络木马新型犯罪对刑法理论体系形成了巨大冲击，而且现行的刑法条文无法对黑色产业链中的某些行为比如“贩卖肉鸡”等进行有效规制，致使形成了法律的真空地带，让犯罪分子有机可乘。相关法律条文对网络木马犯罪行为规制力度不够，才致使网络犯罪分子频频铤而走险。

针对现今日益猖獗且花样不断翻新的网络木马犯罪，是否需要尽快修改《刑法》，或者出台单独的网络法来对其进行规制呢?笔者认为，即使目前滞后的《刑法》规范无法适应日益变化发展的各种新型网络犯罪，考虑《刑法》的稳定性、连续性以及《刑法》修订的成本，目前我国也没有必要频繁修改《刑法》和制定专门的网络法，时机也不成熟。我们坚持的原则应当是先考虑在《刑法》体系内寻求补救措施，针对新问题、新观点先在《刑法》理论体系内通过体系解释、目的解释等方法来寻求合理的前提，通过《刑法》的条文解释来寻求具体的可操作模式；最后，当新型犯罪已经超出可控制范围，即使原有条文的文义解释也无法囊括时，我们才应当考虑运用较大成本来破坏《刑法》的稳定性以对网络各种犯罪进行系统的包容。

网络木马犯罪的行为主体

行为主体，是《刑法》规定的实施犯罪行为的主体，首先是自然人，其次是单位。在网络犯罪领域，这方面学术界争议较大的是关于网络犯罪的特殊身份问题。主要有两种观点之争，一种观点主张网络犯罪主体为一般主体。理由主要有：特殊身份应当基于自然身份或者法定身份，而行为人了解、熟悉、精通计算机知识，既不构成自然身份，也不构成法定身份；其次，法律设立特殊主体的目的是缩小惩治的范围或加重对特殊人员的处罚，但现在普通公民都可以有能力和条件实施网络犯罪，因此将网络犯罪主体限定为特殊主体不适当。另一种观点主张网络犯罪主体分为一般主体和特殊主体。理由主要有：仅将网络犯罪划归为一般主体有悖正确量刑原则，在许多具体的网络犯罪中，利用职务上的便利与不利用职务上的便利，所造成的危害无明显区别；相反，与其掌握计算机专业知识程度高低则密切相关。

要分析网络犯罪是否有必要规定特殊身份，首先要了解《刑法》将特殊身份规定为某些犯罪的客观构成要件要素的原因。其中一个最重要原因是为了保护特定法益，将某种犯罪作为加重类型，而规定特殊身份。比如为了特别保护国有财产与相关公共财产，《刑法》另设立贪污罪，主体身份限定为国家工作人员。这里又涉及对国家工作人员范围的身份论和职责论的争议。其实两种观点都有侧重，“身份论”优点是为了防止人为地将国家工作人员的范围扩大化；而“职责论”好处在于能有利打击犯罪。笔者认为是具有特定法律义务的应当严格采用“身份论”来限制其范围；而其余以特定职业为内容的特殊身份则采用“职责论”更为妥当。

因此，基于以上的逻辑，我们得先讨论网络犯罪的侵害的法益是否达到需要特别保护的程度。对于计算机犯罪所侵犯的法益的研究，我国《刑法》理论界基于出发点的不同而导致观点各异。广义说的学者认为，计算机犯罪所侵犯的法益十分广泛，几乎涵盖了所有犯罪形式所触及的社会关系，即侵犯的复杂客体，即一方面是计算机信息系统安全，另一方面根据侵犯的具体社会关系而体现为具体的客体；狭义说认为计算机网络犯罪只能侵犯计算机信息系统安全，而利用计算机实施的金融诈骗、窃取国家秘密等行为只属于传统型犯罪。

2000年12月28日，全国人民代表大会常务委员会通过的《关于维护互联网安全的决定》从侵害的客体的不同对网络犯罪进行了六大类罪、16项具体客体的分类。此分类正符合了广义说。其实《刑法》仅有的规制计算机犯罪的第285、第286、第287条已经给我们某些启示。即第285、第286条侵害的法益主要是计算机信息系统安全，第287条则侵犯的是传统犯罪的法益，比如财产、隐私等，而计算机只不过是工具。

实践中我们发现，计算机犯罪主体有不少是在企业公司内部自己的员工。如今信息时代社会，市场经济条件下，许多大型国有企业、公司单位都采用无纸化办公、信息化办公，许多公司重要资料数据都由内部rr员工统一维护保管。由于网络犯罪的隐蔽性，一旦某一环节有些小漏洞，内部员工就完全有可能将公司企业内的数据资料泄露给别的竞争对手，获取高额报酬，对市场经济秩序造成了严重破坏。如果是国家机关、国有事业单位内部员工犯罪，甚至有泄露国家机密的危险。因此，针对这种情况，笔者觉得有必要规定网络犯罪主体分为一般主体与特殊主体。至少笔者觉得有必要对国家机关、国有企事业单位的内部计算机犯罪给予特别法益的保护。

其次是关于计算机单位犯罪问题。《刑法》分则关于计算机犯罪的法律条文里并没有规定单位能构成计算机犯罪。而且根据我国新《刑法》第30条的规定，单位实施危害社会的行为，只有法律规定为单位犯罪的，才应当负刑事责任。然而无论新《刑法》修订前还是修订后，我国《刑法》界都不乏有单位能否成为计算机网络犯罪主体的理论探讨，以及单位应当成为计算机犯罪主体的立法建议。主要理由有：一是网络犯罪的技术性和复杂性，以及目前网络犯罪形成的产业链的模块化、专业化、合作化等特点，决定了法人可以构成其犯罪主体。有些网络犯罪的具体手段、方式极其复杂，难度极大，涉及面又广，单凭个人难以完成整个犯罪过程，尤其是目前形成的黑色产业链，该链条上的许多关键环节都是由专业的集团组成，而集团中许多则是具有法人的资格。二是现行《刑法》的有关经济犯罪的刑事法规已规定法人可以构成其犯罪主体。而在网络犯罪中，大量的网络犯罪其实质是经济犯罪，也可归为经济犯罪领域，计算机只不过是被 利用的工具。因此，健全和完善法人可以作为网络犯罪的犯罪主体的立法问题，能更有力地打击当代社会所出现的各种网络犯罪，再且，承认计算机单位犯罪并不排除对自然人的刑事、行政、民事责任的追究。笔者亦支持尽快将法人作为网络犯罪主体的观点，而且在实践中也不乏法人犯罪的例子，比如北京江民公司事件、日本的夏普公司事件和笔者统计资料中的2004上海七洲网络公司等传播物品牟利案等。

网络木马犯罪的行为

网络木马犯罪对法益的侵害性主要体现在行为上。犯罪是侵犯法益的行为。所以，作为犯罪的客观构成要件要素的行为也被我国刑法理论称为危害行为。网络木马犯罪行为与传统的犯罪行为有诸多区别。

网络木马犯罪行为的隐蔽性、技术性、自动性、以及行为对象的不确定性等特点使其有别于传统犯罪行为。首先是隐蔽性，网络木马犯罪行为普遍比传统犯罪行为更为隐蔽。由于行为人在网络犯罪中运用的工具是计算机，而计算机CPU的强大运算功能和网络数据快捷的传输，使得犯罪行为很可能在短短十几秒内即形成既遂，一些木马程序在后台运行，几乎不占用受害人电脑的内存，被发现的几率极小。其次是技术性上的差别。网络木马犯罪是新型犯罪，具有信息性、智能性的特点一般是具备计算机专业知识的人才能实施，而传统犯罪行为大都不需要有这方面的要求。第三是自动性。网络木马程序可以按照行为人的需求来设计许多都是一键命令，即可自动做重复相同的动作。以肉鸡贩卖产业链为例，许多被入侵并成为肉鸡的电脑，事前并没有成为黑客们的确定目标，而只是在互联网上被随机搜寻到的“猎物”。即便目前许多网络木马犯罪集团也开始有针对性地搜索肉鸡，比如按照某一地区、或者某一类型的电脑系统等标准来分类搜索，虽然范围缩小了，但对象仍具有很大的不确定性。而传统犯罪行为对象则大多是比较确定具体的，只有少数传统犯罪对象是不确定具体的比如以危险方法危害公共安全罪等。网络犯罪行为这些区别于传统犯罪手段的新特点都使得其更加难以对付，法益侵害性更严重。

网络木马犯罪行为目前在学术界争议较大的是关于不作为网络犯罪问题。行为的表现形式多种多样，《刑法》理论界将行为概括为两种基本形式：作为与不作为。一般来说，作为是指行为人以积极的身体活动实施《刑法》所禁止的行为，不作为，是指行为人在能够履行自己应尽义务的情况下不履行该义务。不作为又分为两种类型：纯正不作为犯和不纯正不作为犯。由于我国计算机犯罪没有规定纯正不作为犯：因此只在不纯正不作为犯里讨论。

网络犯罪是否存在不作为的形式。《刑法》学界观点不统一，有的学者持否定论意见：互联网犯罪的行为只能是作为。这是由于互联网犯罪的物质基础在于由硬件和相应软件构成的计算机系统，而计算机系统的各种程序功能，需要通过人直接或者间接操作输入设备输入指令才能执行。这种互联网犯罪背后的人的行为只能是积极的行为，表现在我国立法中的用语可以是侵入、删除、增加或者干扰、制作等。就非法侵入计算机信息系统罪而言，其犯罪行为只能是“侵入”，即先“侵”后“人”。因此决不可能出现不实施积极行为而事先进入的情况，也就不存在不作为“非法侵入行为”。肯定意见认为：计算机犯罪中除了作为还有一部分是不作为，即行为人负担有排除计算机系统危险的任务，但是行为人拒不履行这种义务的行为。例如由于意外，行为人编制程序出现错误，对系统内部数据造成威胁，但行为人对此放任不管，不采取任何补救和预防措施，导致危害后果的发生，这种行为就构成计算机犯罪的不作为。

笔者观点是持肯定意见，即网络木马犯罪行为包括作为和不作为。否定观点无非是从“入侵”、“修改”、“删除”等文义解析的角度出发来得出这些词语都表示积极行为，而不作为是不积极行为，故网络犯罪不存在不作为的结论。如果按照这样的逻辑，则不作为同样不会构成罪，然而实际中有很多例子却有不作为的罪。比如A带着未成年女B去爬山，半途碰到熟人c，因A欠c款无法偿还，c见女B后将其，A担心c催其还款而未予阻拦。则A同样构成罪。其实从字面上理解，罪也需要行为人实施积极行为，然而却存在有不作为的犯。其中的关键问题是行为人是否存在有先前行为或者法律行为所产生的义务，A带B去爬山，理应负有保护B安全的一般意识，然而对于c的行为却不制止，因此同样以不作为的方式构成罪。同样道理，在网络木马犯罪中，同样存在着这样义务来源。比如，A为某单位的计算机网络系统管理员，A每周例行检测公司网络，发现公司有x漏洞，如果被入侵的话会对公司内部资料的泄露造成很大威胁。正当A准备修复该漏洞时，其朋友B告诉A说想取得其公司的核心资料，只要A没有将该公司的x漏洞补上即可，A不置可否，后来A考虑两人的好朋友关系就故意没有弥补该漏洞。A当然与B构成非法入侵计算机系统罪的共犯，A这里负有弥补公司漏洞的义务，然而却在B的劝说下放任没有弥补，致使B顺利入侵并让公司遭受了损失，理所当然构成不作为的非法入侵计算机信息系统罪。

总而言之，不能单从字面含义去理解条文内容，而应当从实质的法益侵害的角度来分析其内涵，才能真正做到罪责刑相适应原则。