- 建构数字安全:数据时代的刑法立场
- 李怀胜
- 28038字
- 2025-05-14 16:32:25
上编 从网络安全到数据安全
第一章 网络安全的演变趋势及其法律应对
人类改造自然的历史,也是一部波澜壮阔的奋斗史。在人类文明长达万年的演进和发展历程中,科学技术充当了推动文明升级的内生动力和根本驱动力,而生产工具和能源利用方式则是文明形态的外在表现和直观特征。如果说对人力、畜力的使用是农业文明的标志,对电力、磁力和化石能源的使用是工业文明的标志,对数字的使用则是数字文明的最主要特征。自“二战”以来,信息技术和互联网的发明与广泛运用,包括最近十余年方兴未艾的云计算、大数据、物联网、金融科技与其他新的数字技术,在很大程度上已经摆脱了工具理性的束缚,转而开始制约乃至型构人类社会的基本关系网络和组织形态。以网络为代表的现代科学技术的不断发展和深度社会化,正在全方位地改变着人类的社会面貌和生活,技术已成为新的社会范式。
1994年4月20日,中国通过一条64K的国际专线,全功能接入国际互联网,从此开启了中国互联网时代的元年,至今网络在中国的发展走过了近30年的时间。30年里,网络已经成为政府、组织、团体和个人信息交流与传递的重要媒介。网络正在深刻地影响着人类生活的方方面面,从基本生活方式的演进到基础生存理念的更迭,无不渗透着网络的影响。正因如此,网络安全问题才比以往任何时候都显得重要而棘手。在此背景下,全面地回顾三代互联网环境下网络犯罪的演变规律及其趋势,并对今后的立法策略进行前瞻性的安排就非常必要了。
一、三代网络环境下的网络技术特征及其风险迁移
在信息化时代,网络已经成为影响国家安全的重要领域,尤其是在经济全球化的背景下,各国在网络安全领域的竞争及其争夺对各国的国家安全、经济发展和社会稳定都造成了持续性的重大影响。在我国,网络也早已成为基础性的社会资源。2014年7月21日,中国互联网络信息中心(CNNIC)发布第34次《中国互联网络发展状况统计报告》,该报告显示,截至2014年6月,我国网民规模达6.32亿人,较2013年底增加1442万人;其中手机网民达5.27亿人,较2013年年底增加2699万人,网民中使用手机上网的人群占比提升至83.4%,手机网民规模首次超越传统PC网民规模(80.9%)。[1]另据中国电子商务研究中心发布的《2013年度中国电子商务市场数据监测报告》,截至2013年年底,中国电子商务市场交易规模达10.2万亿元,同比增长29.9%,首次突破10万亿元大关。[2]2023年3月2日,中国互联网络信息中心(简称CNNIC)在京发布第51次《中国互联网络发展状况统计报告》。《报告》显示,截至2022年12月,我国网民规模达10.67亿,较2021年12月增长3549万,互联网普及率达75.6%。我国网民规模在九年时间里又增加了4亿人,其增量的互联网人口在世界各国的人口数量中可以排到第三位。在数字经济规模上,《中国互联网发展报告2022》和《世界互联网发展报告2022》蓝皮书显示,2021年中国数字经济规模达到45.5万亿元,成为稳定经济增长的关键动力。与网络在社会生活中的穿透性相伴随的则是网络犯罪以及其他网络侵害行为的普遍存在。网络犯罪的治理,不在一城一地的得失,不在就事论事的策略回应,而在于寻找网络犯罪发生、发展的规律性认识。而网络犯罪的演变曲线,是和三代网络的技术特征及其层级结构密切相关的。
(一)三代互联网的应用特征
众所周知,现代互联网诞生于美国军方的实验室,1969年,美国国防部建成的阿帕网(ARPANET)被认为是现代互联网的起源,但是由于阿帕网局限于美国的军事和政府领域,因此不能算是真正的互联网。真正的具有社会化应用价值的互联网开始于20世纪70年代后期。伴随着信息技术的高度发展,
1.一代互联网:以软件为核心的单机、局域网时代
一代互联网是局域网,它是现代互联网的先驱和雏形。从20世纪70年代末期到90年代初期,在阿帕网基础上建立的局域网开始获得迅猛发展。局域网是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个较大范围的信息处理系统。局域网已经具备了现代互联网的所有物理要素,并初步显露出了其在数据传输、资源共享和分布处理等方面的优越性。但是局域网不同于现代互联网,它还无法实现信息的完全互联互通,局域网的使用具有场所和功能的特定性,因此一般而言具有较高的安全标准。时至今日,局域网仍然在一些单位和系统内使用,为了满足信息保密的需求,军事单位、科研单位的局域网会要求严格的物理隔绝。在技术上,局域网的核心是软件,因此它是以软件应用为核心的网络。早期的计算机犯罪正是在单机和局域网层面上使用的,其危害性主要也是针对软件。
2.二代互联网:以内容为核心的传统互联网时代
以网络向商业机构和私营部门开放为标准,在20世纪90年代初期,全球进入了一个互联网的时代。互联网其实是全球范围内的最大化的广域网。1991年,万维网(World Wide Web)技术面世,它以超文本传输协议为基础,能够方便地从一个站点连接到另一个站点,[3]这就为大量商业门户网站的建立扫清了技术上的障碍。传统互联网是以内容为核心的,在其发展历史上,先后经历了所谓“网络1.0”和“网络2.0”两个发展阶段。
(1)网络1.0:网络具有较明显的中心化特征
早期二代互联网在技术上被归为网络1.0,以有别于后来的网络2.0。网络1.0的特点是,由于多媒体技术和视频技术还没有得到大规模普及和应用,互联网主要还是信息传递和沟通工具,具有明显的中心化特征,此时互联网是以“联”为主,侧重信息的传递性,忽视交互性,互联网主要是作为信息交流和沟通媒介而存在的,没有太多的应用场景。商业机构和门户网站在网络中占据主导作用,门户网站在信息发布能力和信息渠道的权威性方面具有较大的支配力和权威性,门户网站是人们在网络空间中获取信息的主要来源,虽然门户网站较之传统的报纸和媒体具有信息发布及时的特点,[4]但其一般很少自行采集和制作信息,而主要作为传统媒介的信息发布渠道存在。在网络1.0时期,网络采用的是技术创新的主导模式,信息技术的发展和变革对网站的发展起到了关键性的作用。门户网站把持着信息发布权限,它也遵循着传统媒体的先审查再发布的信息处理机制,这一举措维护了其公信力,因此所谓网络谣言等在后期互联网中异常泛滥的现象在此时并不突出。在人际关系方面,人与人之间的联系实际上是通过门户网站链接的,个人也只是将网络作为单纯的交流和信息沟通平台。同时在网络1.0时期,网络的普及率还较低,家庭宽带等刚刚走入家庭,个人应用还不发达,网络的社会影响力只能说是初见端倪,上网甚至被认为是一件时尚的事情。
(2)网络2.0:社会关系趋于扁平
随着多媒体技术的进步,网络2.0继之以网络1.0,并很快成为网络的主流应用模式。网络2.0的标志性技术包括博客、微博、百科、即时通信、社交网络、P2P(互联网借贷平台,peer-to-peer lending)下载等,可以看出,网络2.0时期的网络应用场景极大丰富起来。网络2.0遵循开放、共享的理念,其特点主要包括:①用户参与信息制造。网络1.0时期的信息源头仍然是传统媒体,网络只是承担了信息渠道的功能,而在网络2.0时期,互联网上大量的信息都是由用户自己通过博客、即时通信软件、社交网络等创造的。个人既是信息的接收者,又是信息的制造者。随着智能手机的普及以及4G网络的全面铺开,个人可以随时随地地制造信息,在网络中开辟自媒体,上传自己的各类动态。网红经济、流量经济在中国社会具有普遍的影响力。②用户之间的信息分享成为主流应用。社交网络成为网络用户交流的重要渠道,传统的门户网站依然重要,但是已经无法做到对信息的垄断。在网络1.0时期,信息主要来自传统媒体的移植,而在网络2.0时期,网络自身创造信息,此时传统媒体反而在网上寻找新闻来源了。新媒体、网络媒体的普及,让传统媒体从朝阳产业变成夕阳产业,网络广告等也对传统电视渠道的广告造成很大冲击。但是网络缺乏传统媒体的先审查后发布的信息控制机制,这导致其信息真实性大打折扣。网络2.0对传统权力关系的一个重大影响是,普通个体首次获得了信息话语权,并和传统权威共同分享信息权力。这在人类历史上是从来没有过的。
扁平网络也是去中心化的网络,即“无中心网络”,与它相对的是金字塔结构,无论是去中心化结构还是金字塔结构指涉的都是某种事物的组织形态。与传统社会的等级制构造不同,网络社会则呈现明显的无中心性,网络参与者至少在形式上是平等的。卡斯泰尔认为,网络化社会里的人虽然缺乏认同感,但网络有助于减少人们对认同感的抵制,有助于社会机制的重建。因为网络是一种偏离中心的组织和干预形式,具有新的社会运动的特点,它不仅是为了组织活动或分享信息,它还是文化代码的真正生产者和传播者。网络对社会的影响很少来源于步调一致的战略,很少由一个中心来决策,但通过多种形式的网络处理后,社会逐渐形成新的认同感。
互联网所带来的最大改变,是改变了权力的分配。网络在结构上的最大影响是分权,人和事都不再依赖一个中心点彼此连接。[5]工业革命以来的两个世纪里,人类追求的都是经济规模,互联网的出现,开始让世界朝另一个方向发展,即权力分散到个人之后,未来最重要的资产将是电脑无法拥有的东西,如想象力、人格特性、决策力。互联网的兴起,将使越来越多的人快速地长大成熟,你再也不能为自己的问题找外界的借口,因为现在你有了选择的自由。[6]
扁平化的网络主要体现在以下三个方面:
第一个方面,网络由精英化向草根化转变。作为去中心化的网络,互联网由过去的信息和知识高度集中化的传播模式转向集中与分散化并重的传播模式,互联网不但是信息传播的平台,还是信息共享的平台。在互联网1.0中,门户网站、网络论坛(Bulletin Board System-BBS)是交流的中心平台,人们从门户网站上获知自己需要的信息,并围绕网站提供的某些新闻话题展开讨论,网站不但提供信息交流的场所,必要时还可以启动信息的排除机制,将不合时宜的话题删除,主流文化的形成主要依赖于少数网络精英的贡献。不过在互联网2.0中,个人的自主意识、自主权被充分地调动起来,每个人都在改变网络,网民不再是信息的客体。现在的互联网是用户中心论而不是权威中心论。对此有的学者指出:反“客”为主,成为主流文化形成的推手。使得媒体的重心从组织层面转向个人以及个人媒体层面。DIY(Do It Yourself,自己动手制作)成为主流,博客、播客、威客、维客……这些所谓的“客”,其实是网络文化的真正主人,在动态中充当着文化权威的角色。少数的精英权威被分散的普通网民所代替。权威式的文化中心主体意志被淡化,平等自由的主体间的交往成为主流,所形成的文化关系则是“去中心化”的,进而产生了不同于传统的文化构成模式。[7]
第二个方面,网络由信息发布工具转向信息制造工具。在互联网1.0中,网络的作用主要是信息发布工具,网络近乎为零的传播成本使得传统媒体损失惨重,不过传统媒体还是占有优势的,这一方面取决于传统媒体具有更强的权威性和信赖度,另一方面则在于网络的资源主要是传统媒体提供的,网络只不过增加了新的信息流通渠道,它冲击的是传统媒体的发行环节而不是制作环节,传统媒体在信息制造方面还具有很大的优势。不过在互联网2.0中,互联网不但是信息的发布工具,还是信息的制造工具。博客、播客、威客、维客等是信息制造的具体场所,普通网民则是信息制造的主力军。网络时代的一个特点是,许多新闻不是传统媒体或者传统社会权威制造的,而是网络制造的。微博、公众号等不断制造和催生着各类新闻热点。“直至不久以前,新闻还只意味着两件不同的事——有新闻价值的事件和新闻媒体所报道的事件。从现在开始,新闻可以不借助传统媒体而闯入公众意识。新闻媒体反而可能因为某件事已经通过其他途径闯入公众意识,结果只好报道它了。新闻从一种机构特权变成了一个信息传播生态系统的一部分。”[8]有数据显示,2013年至2020年,我国移动互联网接入流量由13亿GB增长至1656亿GB,年均复合增长率高达99.86%。截至2021年6月,中国移动互联网接入流量为1033亿GB,同比增长38.6%。流量转移背后是信息渠道、传播载体、话语秩序的转移,用户之间的渠道成为主渠道。[9]信息化时代,网络的力量不可小觑。
第三个方面,网络由旁观性转向参与性。网络扁平化结构的另一个表现是旁观性的网络开始转向参与性的网络。交互性是网络较之传统媒介的很大不同,在传统媒体与受众建立的关系中,传统媒体处于积极主动的地位,受众处于被动的、倾听者的地位,即使在互联网1.0中这种现象也没有根本改变。但是在互联网2.0中,一切都不同了。网民在网络中的角色,不再是单纯的信息接收者,而是开始积极主动地介入网络的生活,网民作为一股独立的力量在网络中形成。
3.三代互联网:以数据为核心的智能互联网时代
第三代互联网是以数据为核心的智能互联网时代,数据的价值受到充分重视和利用,其中三网融合和物联网技术提供了大数据搜集的通道,云计算使得数据的利用在技术上成为可能。
(1)三网融合和物联网技术奠定了大数据时代的基础
以网络技术和社会需求为双重驱动力,网络又进入了一个新的被称为智能互联网的时代。智能互联网的代表性产物是三网融合、大数据、云计算、移动互联网和物联网等。三网融合,通常是指以电话网为代表的电信网、以有线电视为代表的广播电视网和以互联网为代表的计算机通信网三大网络,通过技术改造,使其技术功能趋于一致、业务范围趋于相同,网络互联互通、资源共享,能为用户提供语音、数据、图像等综合性的多媒体业务。三网融合催生了物联网和智能家电的出现,更丰富了网络系统的内涵。为此也迫使传统刑法理论作出调整。2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条第1款规定:“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”手机等移动互联网终端的加入,“实现了‘人—物—空间’等基于网络信息的无缝连接,并催生了海量异构的网络信息资源,而云计算通过虚拟化的计算模式,使得围绕用户需求的网络信息资源的智能挖掘和动态流动成为可能”,[10]在现代信息社会之前,搜集数据要付出很大成本,但是借助信息技术,很多数据的搜集、整理可以不经意间轻易完成,如个人网上购物,其消费习惯被网站记录下来,而无须专门搜集。只有数据搜集的成本可以接受,数据利用才有价值,而信息技术使这一切成为可能。
(2)云计算和大数据挖掘技术催生了大数据时代的到来
大数据(big data)这个概念最初是指需要处理的信息量过大,已经超出了一半计算机在处理数据时所能使用的内存量,因此必须改进处理数据的工具,这导致新的处理技术的诞生。[11]目前对网络数据的搜集主要采取爬虫技术进行,而数据挖掘的一般流程是:确定目标—获取数据源—数据探索—数据预处理—挖掘分析建模—模型效果评价。随着开源社区的活跃和技术的发展,越来越多的算法和框架被创造出来简化数据挖掘和数据分析工程师们的工作。[12]在云计算出现之前,传统的计算机是无法处理如此大量且不规则的“非结构数据”的,而云计算可以方便地对这些数据进行整理和挖掘。云计算与大数据是一个硬币的两面,关于云计算的定义,目前还存在一定争议。目前广为接受的是美国国家标准与技术研究院(NIST)的定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。简单地说,云计算之前的计算模式就像是个人供暖,而云计算就是将分散的供暖炉收集起来集中供暖,其费效比自然最高,可以最大限度地节约资源。也只有云计算模式,才能够更好地处理信息化时代的海量数据。
(3)智能互联网背景下大数据的价值剖析
大数据作为一种客观存在的信息资源,其价值既取决于其内在品性,也取决于对其的利用能力。就像一座矿藏,对有开采能力的人来说它就是宝藏,而对没有开采能力的人来说它只是石头。云计算技术的应用客观上使得大数据的价值利用成为可能。
大数据的价值首先体现在商业领域。比如,个人登录商业网站进行购物,那么商业网站就会记录下个人的登录时间、登录地点、浏览的网页、购买的商品种类和数量,借此就可以了解个人的经济实力、消费习惯等,并借此开展私人定制式的营销活动。根据先前记录的IP地址和客户的消费习惯,可以向其推送个性化的产品广告,以提高购买的概率。某宝最近几年都会发布年度购物报告,其依据就是当年用户登录某宝留存的各种数据信息。当然,大数据的价值还体现在社会公共服务乃至政治领域。大数据,可能是信息时代最重要的生产要素了。国家、政府、企业、个人围绕数据权属权益的争夺在全球范围内展开,这对信息时代的网络安全产生了深远的影响。
(二)三代网络环境下安全风险的时代迁移
从前文的回顾可以看出,20多年来全球互联网的应用遵循了“软件—内容—数据”的发展路线,每一次应用的转变背后都带有深刻的技术推动的特征。人类历史发展到近代,科学技术对人类文明和社会结构的影响超越了以往任何时候,而技术是通过改变人类的能源分配方式来改变人类的文明生态的。就如远古时代的人类选择逐水而居,近代在煤矿、铁矿产区附近多形成现代大都市,其根源都在于可以降低能源利用成本。而在信息时代,信息开始成为对人类社会具有宰制力量的资源形式,谁掌握了信息权,谁就获得了对社会的支配力量,而数据也是信息的一种存在方式。三代互联网的应用侧重点不同,其利益聚焦的重点和安全风险也不同。了解这一点,有助于我们更加清晰地认识三代网络环境下网络安全立法的转换策略。
1.局域网时代:以技术性安全风险为主
在局域网时代,网络应用是以软件为核心的,当时的网络主要表现于大型企业的工业控制系统和科研机构的科研网络系统,这些系统对外是予以隔离的,因此安全风险的边界较为明确,主要集中在个人或者机构内部,对外界的影响力较小。风险的扩散性和波及力较低,同时由于风险目标高度分散,单个目标的风险度也比较低,风险控制的权属界限清晰,对风险的控制力强。攻击某一个计算机信息系统,其危害性就好比烧掉了这个企业的厂房。其网络安全风险的表现类型上,以技术性风险为主,因此早期的网络犯罪,主要表现为技术型的黑客犯罪,其直接侵害对象则是计算机信息系统。受制于网络较低的普及性,网络对经济领域的拉动作用较低,对政治文化领域的影响力不明显,对社会领域的渗透力较低,因此法律并没有对网络进行专门的特别关注。总体而言,在局域网时代,网络安全问题虽然也有发生,病毒等危险工具开始出现,但是大体上处于可控境地,并且局域网的使用主体较少,网络安全问题没有给社会造成牵连性的危险。
2.传统互联网时代:技术性安全风险和内容性安全风险并存
在传统互联网时代,技术性风险虽然依然存在,但是内容性风险也开始浮出水面,网络风险迅速地由技术性风险过渡到内容性风险。
(1)网络1.0:技术性风险仍然占据主导地位
中国在20世纪80年代就出现了计算机犯罪案件,[13]1996年出现了第一起被破获的制造计算机病毒案。[14]在传统互联网的1.0时期,技术性风险仍然占据主导地位。此时的网络主要从事的还是信息服务,其信息渠道的功能是互联网的主流应用。网络的主导力量是商业机构和门户网站,其犯罪的主要表现形式是计算机病毒的肆虐和黑客的横行。犯罪指向是大型的商业机构和设防严密的计算机网络。其犯罪实施需要较高的技术门槛,技术能力基本等同于犯罪能力。网络1.0时期,黑客一直是个有争议的话题。
长期以来,黑客都是一个神秘的群体,在媒体的描述中黑客反对权威而奉公守法,性格孤僻、技术绝伦,在网络上神通广大无所不能,才华横溢而又淡泊名利,黑客是网上的游侠,是由技术天才组成的精英群体。应当承认,早期黑客基本上符合这个描述,如目前高级服务器上使用的unix操作系统当年竟是丹尼斯·利奇和肯·汤普生两位黑客为方便自己打游戏而编写的,其他如自由软件之父理查德·斯托尔曼、Linux之父李纳斯·托沃兹、苹果电脑创始人斯蒂芬·沃兹尼克等人,都是计算机界大名鼎鼎的人物。作为最初的黑客群体的一员,他们为电子计算机和信息技术的发展做出了卓越的贡献,已经成为当今黑客们的一面旗帜,这面旗帜也怂恿着一般的计算机用户,尤其是青少年群体加入黑客行业。一些新闻媒体为追求新闻轰动效应,在报道黑客犯罪活动时,不是对此类行为进行道义上的谴责和负面的评价,而是津津乐道于犯罪过程的传奇性、着力渲染黑客的技术天赋,把黑客打造为对抗世俗强权的英雄,这使得社会公众有意无意地对他们的“智慧”和能力有某种程度上的敬慕之情。
(2)网络2.0:内容性安全风险凸显
内容性安全风险凸显的一个重要原因是,互联网开始由“信息媒介向内容服务的转换”。在网络2.0时期,个人应用获得前所未有的发展,个人用户开始成为网络的主流群体。同时网络上集聚了大量的个人财富,网络犯罪的触角也开始由计算机信息系统转向个人,如网络游戏账号、装备、个人存储空间、个人身份信息等都成为侵害对象,网络的内容性安全风险受到大量关注。在网络2.0时期,传统犯罪的网络异化现象开始大范围出现,几乎所有的传统犯罪,都可以在网络空间中找到其对应的犯罪类型,由此也引发了刑法理论的诸多争议,如关于网络虚拟财产,时至今日,依然没有形成绝对共识。随着信息网络的快速发展,国内外刑法学界对于虚拟财产的研究也在不断更新与发展,讨论主要集中在虚拟财产是否属于财产犯罪的保护对象、刑法保护路径的选择以及虚拟财产的数额认定方法三个方面。
对于虚拟财产的刑法属性的研究具有基础性的意义,虽然《民法典》第127条明确规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,肯定了虚拟财产的法律地位,但是民法和刑法都具有一定的独立性,违反民法的行为不必然属于犯罪行为,因此唯有先讨论虚拟财产是否是刑法所保护的对象,确定其属于刑法所保护的“财物”“财产”或者是其他权益后,才能进一步研究选择何种罪名体系或者其他法律途径对其进行保护。目前从学界的研究趋势看,大部分学者肯定虚拟财产属于刑法中的“财物”[15],如陈兴良主张我国《刑法》第五章侵犯财产犯罪中的“财物”是一个包括了有体物、无体物和财产性利益在内的广义概念,因此具有财产价值的虚拟财产可以作为财产犯罪的保护对象。[16]张明楷从虚拟财产符合《刑法》上的财物所具有的管理性、转移可能性和价值性的特征的角度论证了虚拟财产属于财物的范畴。[17]梁根林基于法秩序整体统一性的考量,提出既然虚拟财产可以作为民法所有权的客体,也应当可以成为《刑法》财产犯罪的法益侵害对象。[18]否定说则认为将虚拟财产解释为《刑法》财产犯罪中的“财物”是类推适用,将虚拟财产归类于财产犯罪所侵犯的财产法益,会彻底打乱物权、债权、知识产权的位阶体系,[19]“应让虚拟财产永远待在虚拟世界”。[20]有学者认为无论在方法论还是法益论上都难以将虚拟财产解释为“财物”或者“财产性利益”,继而提出本质上说只有构建虚拟财产的代码数据才是刑法调整的对象,[21]否定虚拟财产属于财产犯罪的对象并不等于认为侵犯虚拟财产的行为是无罪的,行为人盗用这类虚拟物品所获取的是财产性利益,与盗窃财物有重要差别,因而不能认定为盗窃罪。[22]
关于虚拟财产的保护路径,我国学者提出了对虚拟财产的财产化保护和网络化保护两种不同的司法路径。[23]在这两个路径的基础上,学者归纳了四种不同的观点:[24]计算机犯罪路径、财产犯罪路径、想象竞合犯路径、牵连犯路径。赞成第一种路径的学者提出了两个有力的理由,一方面这一路径可以回避虚拟财产法律属性和是否具有价值的争论,另一方面司法实务中仍未形成成熟的针对虚拟财产的价值评估标准,因此财产化保护路径在司法实务中难以克服价值评估的困难,[25]提出财产化的直接保护路径引起了犯罪论与刑罚论的混乱,忽视了虚拟世界与现实世界的本质区别。[26]此外,也有部分学者虽然赞成虚拟财产可以通过财产犯罪进行保护,但是其认为《刑法修正案(七)》生效后,非法获取计算机信息系统罪等计算机罪名与盗窃罪等财产罪名存在法条竞合的关系,计算机类犯罪属于财产类犯罪的特别法,根据特别法优于一般法的原则,侵犯虚拟财产的犯罪应当以对应的计算机犯罪论处。[27]
支持第二种观点的学者提出对于非法获取虚拟财产的行为论以计算机犯罪具有明显的局限性,表现为计算机犯罪属于扰乱公共秩序罪,保护的是公共秩序这一种公法益,而侵犯虚拟财产更多损害的是被害人的个人财产法益。[28]相类似的也有学者主张在财产犯罪的罪名体系下,依据虚拟财产的种类、是否具有非法占有目的和行为人的处分行为认定不同罪名和既未遂状态。[29]赞成第三种观点的学者提出盗窃罪与非法获取计算机信息系统数据罪之间不是法条竞合,两个罪名之间的竞合是基于特定的行为事实产生的,而且保护的法益之间也没有包容关系,因此认定为想象竞合更合适。[30]也有部分学者支持牵连犯的观点,提出行为人实施盗窃虚拟财产的行为,如果以计算机系统为手段,将不可避免地发生牵连犯罪的情况,有刑法明文规定的按照规定数罪并罚和从一重罪处罚。[31]除此之外,也有部分学者认为,随着信息网络的不断发展,通过刑法解释将虚拟财产纳入财产犯罪的保护对象范围之列也只是权宜之计,过分依赖扩大解释最终可能会违反罪刑法定的原则,因此通过完善立法弥补刑法的滞后性才是当下最优解。[32]虽然刑法学界呈现出倾向于财产犯罪的保护路径,但是在司法实务中,虚拟财产的类型日新月异,统一的价值认定标准难以建立,这些不确定因素制约了司法机关援引财产保护路径的积极性,加上2009年《刑法修正案(七)》增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪等罪名,以及2010年最高人民法院研究室发布的《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》中认为“利用计算机窃取他人游戏币非法销售获利行为目前宜以非法获取计算机信息系统数据罪定罪处罚”,司法机关推行网络保护路径的趋势日益明显。由于目前司法机关不支持虚拟财产的保护路径,因此关于虚拟财产数额认定的理论争议不再赘述。虚拟财产刑法保护的话题,本书后章亦有讨论。上述关于虚拟财产的争论虽然是在刑法教义学层面展开的,但是也可以看出网络空间中内容性风险的复杂性。
3.智能互联网时代:多种风险并存,数据安全风险形势复杂
如果说在局域互联网时代中,网络安全风险还局限于网络内容,在传统互联网时代,网络风险虽然主要集中在网络空间中,但是也开始溢出网络的话,在智能互联网时代,网络安全的内涵及其外延等发生了巨大的变化。其主要表现在以下几点:
(1)安全风险的界限模糊
在一代互联网时期,网络系统之间的界限较为明晰,网络安全的界限也相对较为明确,在二代互联网时期,网络系统之间开始模糊,带有全局性的网络安全事件时有发生,网络风险的蝴蝶效应明显,如2009年“5·19断网事件”,一次偶然的网络攻击行为,导致南方数省的大量用户无法上网。[33]到了智能互联网时代,安全风险的界限更加模糊,这有两个方面的原因:其一,在智能互联网时代,海量数据瞬时实时生成,数据占有与分配关系处于实时变动过程中,这就增加了网络安全运行的风险。据统计,“2013年,移动互联网流量达到132138.1万GB,同比增长71.3%,比上年提高31.3个百分点。月户均移动互联网接入流量达到139.4M,同比增长42%。其中手机上网是主要拉动因素,在移动互联网接入流量的比重达到71.7%”。[34]资料显示,目前每天全球互联网流量累计达1EB(10亿GB或1000PB),这意味着每天产生的信息量可刻满1.88亿张DVD光盘。万物互联时代下,各类互联网业务蓬勃兴起,互联网流量及数据迎来高速增长期。其二,在智能互联网时代,海量数据跨越国境在全球范围内流动,网络安全风险已超过一国之范畴。根据中国互联网络信息中心2014年7月21日发布的第34次《中国互联网络发展状况统计报告》,截至2014年6月,中国国际出口带宽为3776909Mbps,半年增长率为10.9%,而在2010年底的时候,这个数字仅有1098957 Mbps。2022年,我国移动互联网接入流量达2218亿GB,比上年增长18.1%。
(2)安全风险的来源复杂
在智能互联网时代,上网终端的数量呈激增之势,种类也日趋多样,因此网络安全的成因复杂,既有来自传统网络的安全风险,也有来自电信网络、手机移动网络终端的风险,根据中国互联网络信息中心2023年3月2日发布的第51次《中国互联网络发展状况统计报告》,截至2022年12月,我国网民使用手机上网的比例达99.8%;使用电视上网的比例为25.9%;使用台式电脑、笔记本电脑、平板电脑上网的比例分别为34.2%、32.8%和28.5%。既包括传统的技术性风险,也包括新的内容性风险和数据性风险。其中数据性风险包括数据匮乏或者失控导致的风险。这些都增加了风险治理的难度。
(3)安全风险的程度提高
网络安全威胁开始具有全局性特征,技术性风险、内容性风险、信息风险等同处于高度风险状态之中。智能互联网时代是以数据为核心的时代,对数据安全的保护处于网络安全保护的核心地位。但是数据又处于实时生成并动态扩散的状态中,云技术计算的加入,使得数据目标高度积累,单个数据目标被侵害的风险呈几何倍数增加,而一旦侵害成功,其造成的后果也是严重的。例如,韩国自2007年7月开始实施互联网实名制,而到了2011年7月,当时韩国一家著名门户网站和一家社交网站被黑客攻击,约有3500万名网民(韩国2010年的总人口为4800余万人)的个人信息外泄,包括名字、身份证号码、生日甚至地址。此次事件直接导致韩国网络实名制制度的废除。[35]2021年,中国电信、中国移动和中国联通总计监测发现分布式拒绝服务(DDoS)攻击753018起,较2020年同期下降43.9%。2021年,工业和信息化部网络安全威胁和漏洞信息共享平台收集整理信息系统安全漏洞143319个。其中,高危漏洞40498个,中危漏洞86217个。[36]
(4)安全风险的控制弱化
智能互联网时代的安全风险开始更多地表现为一种跨地域、跨国性的安全风险,一国网络安全的威胁源很可能来自其他国家,这就使本国对其网络安全的控制力度大大降低。同时在世界范围内,信息霸权导致的技术鸿沟越发明显。西方发达国家利用自身在信息网络中的技术优势、人才优势以及话语优势,加大对发展中国家的网络渗透,而发展中国家囿于自身技术能力,在网络安全对抗中处于弱势。
(5)安全风险的后果严重
在智能互联网时代,网络已经全方位渗透入社会生活中,物联网技术的发展,使得整个社会都被纳入数字之网。一个网络与现实空间相互依存、相互影响的双层社会已经形成。因此,网络造成的安全风险更加具有扩散性。在2013年12月,若干北美银行因用户银行卡信息与个人数据泄露而损失逾2亿美元,并且其最终损失总额很有可能远超这一数据。2014年6月,黑客从某大型欧洲银行的客户账户中窃取了逾50万欧元。更典型的例子是,2010年一种名为“震网”的蠕虫病毒入侵了伊朗布什尔核电站,20%的离心机报废,伊朗大约3万个网络终端被感染。“震网”蠕虫病毒侵入西门子为核电站设计的工业控制软件,意在夺取核电设备的控制权。这一事件意味着,网络攻击正在从开放的互联网向封闭的工业控制网络蔓延,工业控制系统在互联网时代同样面临网络安全的挑战,而工业控制系统的安全一般又和基础设施的安全密切联系在一起,工业控制系统信息安全,这个不为常人所知的领域一旦遭遇黑客攻击或者自身出现故障,将对整个城市造成灾难性的后果。[37]为此我国的工业和信息化部在“震网”事件出现后出台了《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)。
二、三代网络环境下网络安全的侵害指向及其表征
网络几十年来的发展历程,既是网络不断社会化、深度社会化的过程,也是网络从扁平化走向立体化的过程。从层级的结构看,网络目前已经形成了相互联系又相对区分的三层结构。网络的第一层级是物理层面的计算机网络,第二层级是数字化的信息资源网络,第三层级是现实的社会关系网络。网络的三层结构并不是同步发展起来的,而是存在先后的发展差异,甚至后来者居上。但正是这种发展的差异化导致在不同的发展时期,网络犯罪的侵害指向是不同的。
(一)网络的纵向层级结构
1.网络的第一层级:物理层面的计算机网络
物理层面的计算机网络是网络的第一层级,指的是构成网络的物理设备及其连接方式。在早期由于计算机主机价值昂贵,因此形成了以单机计算机为中心的连接系统。到了20世纪70年代,多个终端计算机网络开始互联互通,形成了多主机的互联网,同时网络主机的任务开始明确分为资源终端和通信终端,或者单独构成一个通信网络。在该通信网络的基础上逐渐形成了我们目前所知的公共计算机网络。
众所周知,互联网最早是以一种技术形态的面目出现的。这要从互联网的起源说起。如前所述,现在互联网的前身叫作阿帕网,这是隶属美国国防部高级计划署的一个网络,高级计划署的英文缩写就是阿帕(ARPA),阿帕网起源于20世纪五六十年代的“冷战”,其设计思想是要求网络在遭受严重破坏的条件下(如某些节点不能工作和某些线路中断),仍然能够保持运行,阿帕网最早只有4个电脑主机节点,到了1976年,阿帕网发展到了57个节点,电脑用户发展到了2000多个。60年代广泛使用的网络都是中央控制式的。这种网络有一个明显的弱点:如果中央控制系统受到攻击,整个网络就会瘫痪。后来新的网络理论提出了分组交换的理论,即网络通信不再像过去那样直接将数据由发送地传送到目的地,而是网络的不同节点让数据像接力赛一样传送,现在的互联网仍然遵循这一基本的数据传输原理。1970年,网络工作小组又制定了最初的主机对主机的通信协议——“网络控制协议”,用来控制网络信号的传输。但是随着阿帕网规模的扩大,怎样使不同类型的电脑按照共同的方式和共同的标准接入阿帕网成为关键的问题。1973年,网络专家提出了至今仍在使用的TCP/IP协议(传输控制协议、网络间协议),这个协议是Internet最基本的协议、Internet国际互联网的基础,简单地说,就是由网络层的IP协议和传输层的TCP协议组成的。TCP/IP定义了电子设备(如计算机)如何接入因特网,以及数据如何在它们之间传输的标准。TCP/IP是一个四层的分层体系结构。高层为传输控制协议,它负责聚集信息或把文件拆分成更小的包。低层是网际协议,它处理每个包的地址部分,使这些包正确地到达目的地。1977年美国国防部高级计划署组织了一次远距离的网络通信并获得了成功,证明了TCP/IP协议的有效,这为后来互联网的爆炸性发展打下了坚实的技术基础。1983年,阿帕网正式将其网络核心协议由NCP变为TCP/IP协议,1986年美国国家科学基金会建立了大学之间互联的骨干网络,1987年中国初步接入了国际互联网。1990年整个网络向社会公众开放,后面的历史就被我们熟知了。
随着计算机和通信技术的飞速发展,网络的快速普及,当前网络的连接方式已经非常复杂,因此采用一定的连接标准就显得非常重要了,目前的网络就是网络体系结构化的产物。
2.网络的第二层级:数字化的信息资源网络
网络的第二层级是数字化的信息资源网络,这也是目前网络应用的主流。基于网络海量存储的特性和信息的快速传递,早期的网络主要是作为军方与科研机构的信息交流工具使用的。时至今日,信息交流依然是网络的最重要属性。从早期的电子邮件、BBS,到后期的微博再到今天的微信等即时通信软件,都是建立在网络的信息交流属性上的。在数字化的信息网络资源网络中,个人可以使用娱乐、社交等多种应用,并享受网上贸易、资源共享等多种类型的服务。对企业来说,网络则是电子商务的载体,技术创新的平台。网络的第二层级的实现是以第一层级为基础的,没有网络技术的逐步扩展,网络的很多应用是无法实现的,数字化的信息资源网络是网络最主要的层级结构。
3.网络的第三层级:现实的社会关系网络
网络不但是数字化的信息资源网络,也逐渐成为一个由虚拟到现实的社会关系网络,而这又是和网络2.0时代齐头并进的。所谓现实的社会关系网络,是指以网络为纽带和连接因素,人们在超越现实空间之外又组成了新的关系网络,同时这一网络关系与现实关系并行不悖甚至高度交叉融合。网络第三层级的实现至少依赖两个条件:(1)技术应用的进步推动了网络人际互动性的增强。早期的网络主要是信息网络,在网络1.0时期网络仍然以信息应用为主,普通网民只是网络信息的被动接收者,不但与门户网站缺乏信息反馈机制,普通网民之间的沟通机制也没有超越现实空间。但是到了网络2.0,随着多媒体的广泛应用,网络娱乐功能的大大扩展,以及交互式技术的推广适用,博客、微博等大行其道,网民开始成为网络的主体。过去网民与网站之间的纵向联系让位于网民与网民之间的横向联系,网民对网络的黏性增强,网民之间的互动性增强。网络关系与现实空间的重合度越来越高,在早期人们常说网络是虚拟社会,但是现在已几乎没有提“虚拟社会”了。(2)网络普及率的提高构成了网络社会关系的基数。网络对现实社会的影响力是以网络的深度社会化和网络的普遍参与性为前提的,截至2021年12月,我国累计建成并开通5G基站数达142.5万个,全年新增5G基站数达到65.4万个;有全国影响力的工业互联网平台已经超过150个,接入设备总量超过7600万台套,全国在建“5G+工业互联网”项目超过2000个,工业互联网和5G在国民经济重点行业的融合创新应用不断加快。[38]从地域分布来看,经济发达地区的网络普及率要高于经济欠发达地区,网络的风吹草动都会对现实空间造成影响。网络形成自己独立的社会关系网络的标志就是,独立的网络意识形态的形成。网络空间中的一举一动不但会对现实空间造成直接的影响。与此同时,网络也会对现实空间中的某些行为产生发酵作用。
(二)三代网络环境下网络安全侵害的现实表征
三代互联网的应用模式和利益集聚方式不同,其网络犯罪的表现特征也各不相同。一代互联网时期的网络犯罪,是以技术性侵害为主,二代互联网时期的网络犯罪,就以利益性侵害为主,三代互联网时期的网络犯罪,其侵害种类和复杂程度都超过了以往任何时候。
1.一代互联网:技术性侵害为主
一代网络时期的犯罪以技术性侵害为主,也就是我们熟知的黑客犯罪。早期黑客一般是指那种计算机技术高超,但是本人又不安分喜欢搞些恶作剧的人。我国政府相关部门对黑客的定义是:“对计算机信息系统进行非授权访问的人员。”[39]在单机局域网时代,网络的数量较少,并且不为社会公众熟悉,这时的黑客犯罪主要是采取技术手段破解网络防火墙,侵入并控制网络计算机系统的犯罪行为,犯罪手段及其破坏性的高低与技术能力成正比,属于典型的高技术犯罪。黑客犯罪要求具有较高的技术能力,这在无形中提高了犯罪门槛,但是后期随着技术的普及,尤其是傻瓜式黑客工具的大量出现,[40]黑客犯罪有泛滥的趋势,但是整体上仍然保持了技术性侵害的底色。
2.二代互联网:技术性侵害与利益性侵害的混合
在二代网络时期,技术性侵害也就是黑客犯罪虽然依然广泛存在,但是利益性侵害日渐成为人们关注的焦点。而技术性侵害与利益性侵害也并非对立的,前者是对犯罪的手段特性的描述,后者是对犯罪的主观动机的描述。这一时期的利益性侵害,多数情况下仍然要借助技术手段才能实现,因此它其实也是传统黑客犯罪向现代黑客犯罪的转变。在早期的单机互联网时代和网络1.0时期,科研机构和大型门户网站垄断了网络资源,这些网站存储的资源对普通人没有吸引力并且侵入需要较高的技术实力,但是在网络2.0时期,个人成为网络应用的主流,网络开始成为各种利益的交汇地,网络犯罪也非常明显地从炫耀个人技术转为侵夺他人权益。例如,网络游戏的繁盛催生了大量的盗窃账号、游戏装备等虚拟财产的犯罪,并引发了理论和实务界长时期的关于虚拟财产是否属于财产以及该如何保护的讨论。网络银行的快速普及也使得盗窃网银密码的犯罪行为大行其道,以至于出现有人负责犯罪、有人负责销赃、有人负责提供技术支持的网络犯罪产业链。直到今天,电信诈骗、网络赌博、传销等犯罪行为等无一不是围绕不法利益展开,甚至演变为新型的信息跨国犯罪。犯罪是以非法的方式改变合法的利益分配规则,有利益的地方必有犯罪,这是不以人的意志为转移的,网络空间中的利益型犯罪在很长时间内都会是网络犯罪的主流形态。
3.三代互联网:利益性侵害与秩序性侵害的混合
在三网融合的智能互联网时代,网络犯罪的特点再次发生了迁移,变为利益性侵害与社会关系侵害的混合,同时第三代互联网的利益性侵害与第二代互联网亦不相同。二代互联网时期的利益性侵害以内容侵害为主。而在三代互联网时期,利益性侵害虽然依然大量存在,但专门针对数据的侵害开始大行其道,似有超越利益性侵害风头的倾向,目前异乎猖獗的公民个人信息犯罪就是数据犯罪的变种。为了严厉制裁出售、非法提供和非法获取公民个人信息的犯罪,2009年的《刑法修正案(七)》增设了出售、非法提供公民个人信息罪与非法获取公民个人信息罪,但是伴随着信息犯罪的快速演变,短短六年时间之后该罪已无法满足司法实践打击此类犯罪的现实需要,为此《刑法修正案(九)》不得不对本条进行修改。
互联网进入第三代之后,网络空间中的秩序性犯罪日渐突出,并且涵盖范围几乎遍及传统刑法的各个领域。网络空间中的秩序性犯罪主要包括:(1)危害国家安全型的犯罪。(2)涉恐涉爆的危害安全型犯罪。恐怖主义是当今人类社会的共同敌人,恐怖主义犯罪也是对国家和民族危害性最大的犯罪类型,并且恐怖主义开始与网络因素结合,出现了网络恐怖主义这一犯罪变种。犯罪分子利用网络传播宗教极端思想,煽动民族分裂、民族仇恨的音频、视频,加剧了恐怖主义思潮的蔓延态势。(3)网络传播虚假信息类犯罪。网络传播虚假信息包括在网络上诋毁他人人格、名誉,对他人商品声誉、商业信誉进行造谣,从事有偿发帖、删帖等“公关行为”。传统空间中虽然也存在造谣诽谤等行为,但是受到信息传递的物理限制,很难造成较大的社会危害性。但是在网络中,一方面缺乏信息的事前审查与甄别机制,另一方面信息传递可以在瞬时内大范围传播开来,因此虚假信息类犯罪在网络空间中可以说“如鱼得水”。在二代互联网以前,网络犯罪还主要表现在对网络本身的侵害,网络犯罪的现实辐射效应有限,但是在三代互联网时期,“双层社会”已经形成,网络空间的风吹草动都会对现实空间产生影响,这无疑加大了国家对网络的治理难度。
三、三代网络环境下网络安全的法律监管体系调整
网络开启了人类社会的一场伟大变革,但越是如此网络对传统规则的挑战就越剧烈和严峻。最近几十年来,信息技术一刻也没有停止其发展的步伐,网络虽然逐步渗透进千家万户的生活,但是网络自身却从来没有形成固定的利益模式。从早期的局域网时代再到现在的智能互联网时代,网络的利益格局不断发生着重组和迁移,因此网络安全保护的法律策略也需与时俱进。
(一)网络安全保护的法律体系的进展
1.网络应用早期:建立基础的网络安全保护体系
网络应用早期是指网络1.0及之前的时期,在我国大致为2000年之前。这一时期关于网络安全的立法有以下几个特点:①法源形式上以行政法规和部门规章为主,法律层次较低。从1994年中国正式接通国际互联网开始到现在,针对互联网的专门法律只有3部,分别是《全国人大常委会关于维护互联网安全的决定》《电子签名法》《全国人大常委会关于加强网络信息保护的决定》。行政法规10部,分别是《计算机信息系统安全保护条例》《计算机信息网络国际联网管理暂行规定》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》《计算机软件保护条例》《外商投资电信企业管理规定》《互联网上网服务营业场所管理条例》《信息网络传播权保护条例》《出版管理条例》《电信条例》。②立法的主要目标是建立基础性、框架性的网络安全体系。例如,《信息系统安全保护条例》确立了网络安全的分级保护制度,国务院《计算机信息网络国际联网管理暂行规定》对国际联网也规定了“统筹规划、统一标准、分级管理、促进发展”的原则。这个阶段的网络安全立法主要处在摸索阶段,因此不但法规本身篇幅较短,法条规定也相对笼统。
2.网络应用的成熟期:侧重内容安全的网络安全保护体系
网络在我国进入全面普及和快速发展的阶段后,同时在应用层面网络也进入了2.0时代,因此这一时期也是网络应用的成熟期。随着网络受众面的极大扩展,网络安全的法律治理将重点聚焦在网络内容的安全上。为了适应网络安全的常态化治理,国家互联网信息办公室与工业和信息化部独自或者联合出台了一系列的部门规章,并且应用范围主要集中在网络内容的治理上,包括网络域名管理、信息服务、新闻服务管理、著作权保护、视听节目服务管理等。在法律层面,修订后的《著作权法》将信息网络传播权从复制发行权中剥离出来,成为著作权的独立权能,此举也是为了实现与相关国际公约的接轨。
这一时期的立法在制度设计上从粗疏走向精细,从原则化走向可具操作性。
3.网络应用的最新阶段:应当关注复合型安全的保护体系
我国目前进入了深度应用的网络发展阶段,三网融合、大数据、云计算、物联网等概念方兴未艾,有的正在从理论走向现实。在网络对社会生活各个角落无孔不入的背景下,网络空间与现实空间由原本虚拟社会与现实社会的对立,变为两者的全面融合。大数据采集、挖掘技术的成熟,不但激发了大数据蕴含的巨大经济利益和社会财富,更使大数据可能成为新的安全危险来源。各种网络虚假信息在网络上的肆虐,更给现实社会秩序造成了严重的威胁。网络安全与国家安全具有了更强的契合度,同时网络安全也超越了以前的信息安全、内容安全等范畴,而具有更加丰富的内涵。这个阶段也是安全风险全面提升的阶段,因此相应的法律治理重点也开始转向复合型网络安全。例如,为了打击网络造谣等违法犯罪活动,最高人民法院、最高人民检察院出台了《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》,指明了寻衅滋事罪在网络空间中的适用策略,《刑法修正案(九)》不但对原有的编造、传播虚假信息犯罪体系进行调整,还将利用网络传播极端主义,恐怖主义的视频音频行为作为犯罪处理。2010年修订的《保守国家秘密法》针对网络泄密行为作了专门性规定,强化了信息系统的保密管理责任,以及增加了不得将涉密计算机接入互联网等一些禁止性规定。
党的十八大以来,我国的网络安全立法明显提速,2017年6月1日施行的《网络安全法》,2020年1月1日施行的《密码法》,2021年9月1日施行的《数据安全法》,2021年11月1日施行的《个人信息保护法》等法律的出台,基本构建了我国网络安全的法律体系,初步解决了有法可依的问题。关于党的十八大以来我国网络法治建设的成就介绍,可参阅2023年3月16日国务院新闻办公室发布的《新时代的中国网络法治建设》白皮书。
(二)网络监管体系的调整历程
网络监管是国家对网络空间行使权力的重要体现,根本上是国域内的法权问题,因此网络监管是对国家网络空间主权观念的重要支撑。网络监管体制,是指网络监管的职责划分和权力分配的方式和组织制度,包括监管主体、监管对象、监管内容、监管依据、监管模式等诸多方面的内容。在网络监管问题上,世界各国从维护本国利益出发,根据网络的发展阶段和变化特点、监管需求等不断调整其网络监管政策,进而形成了具有不同模式和风格的网络监管体制。
影响和衡量我国网络监管体制的因素有很多,包括网络监管的领导体制、制度体系、监督主体和对象等网络监管体制自身的因素,以及互联网产业状况、国际国内政治经济背景等外部状态。其中贯穿网络监管体制变革的主要变量就是产业安全和产业发展的矛盾。我国自1994年全功能接入国际互联网以来,就正式开始了对网络的监管,至今大致经历了四个阶段。[41]
1.监管的初步形成阶段(1994—1999年)
我国的信息化领导体制最早出现于20世纪80年代初。早在1982年,国务院就成立了计算机与大规模集成电路领导小组,1984年,为了加强对电子和信息事业的统一领导,该小组改为国务院电子振兴领导小组,当时的主要注意力集中在计算机和集成电路领域。随着信息网络技术革命的兴起,专门的领导和监管机构的建立势在必行。1993年,国务院批准成立国家经济信息化联席会议,统一领导和组织协调信息化建设。1996年,正式成立国务院信息化领导小组,1999年,该机构更名为国家信息化领导小组。其主要职责是,组织协调国家计算机网络与信息安全管理方面的重大问题;组织协调跨部门、跨行业的重大信息技术开发和信息化工程的有关问题等。
在这个阶段,我国也开始了网络法律法规的初步建立。1994年国务院《计算机信息系统安全保护条例》是我国第一部涉及互联网管理的行政法规,主要是针对计算机系统安全,但同时也首次涉及了国际联网管理规定。此外,我国又陆续出台了几个行政法规和部门规章。包括1996年国务院《计算机信息网络国际联网管理暂行规定》,1997年国务院《计算机信息网络国际联网安全保护管理办法》,1998年国务院信息化领导小组《计算机信息网络国际联网管理暂行规定实施办法》。这些政策法规创制了中国互联网监管的初步制度,其中一些制度至今依然沿用。包括:(1)国际出入口信道专营制度。(2)联网许可的接入、备案制度。(3)计算机信息系统等级保护制度。(4)“九不准”制度。即《计算机信息网络国际联网安全保护管理办法》第5条规定:“任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:(一)煽动抗拒、破坏宪法和法律、行政法规实施的;(二)煽动颠覆国家政权,推翻社会主义制度的;(三)煽动分裂国家、破坏国家统一的;(四)煽动民族仇恨、民族歧视,破坏民族团结的;(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;(七)公然侮辱他人或者捏造事实诽谤他人的;(八)损害国家机关信誉的;(九)其他违反宪法和法律、行政法规的。”“九不准”制度奠定了互联网内容监管的框架和底线需求,对以后网络立法影响巨大。
2.监管体制的正式确立阶段(2000—2007年)
以2000年《互联网信息服务管理办法》的颁布为标志,中国的网络监管体制进入了新的发展阶段。在监管机构方面,2001年重组了国家信息化领导小组,同时在国务院建立国务院信息化工作办公室。2003年,在国家信息化领导小组下又设立了国家网络与信息安全协调小组,进一步加强了中央对网络监管的领导协调。同时,以原信息产业部、公安部以及其他内容监管部门为代表的监管主体地位开始明确。
随着网络的快速发展,对网络的监管需求和监管范围都在同步扩展。网络内容和应用层面的监管重要性大大提升,其标志性的法律文件即《互联网信息服务管理办法》,这部行政法规成为各监管主体进行规章立法的直接法律依据。此后,《互联网文化管理暂行规定》《互联网新闻信息服务管理规定》等陆续出台。此外,2001年首次提出了我国互联网管理的十六字方针:“积极发展,加强管理,趋利避害,为我所用。”
3.监管体制的优化与调整阶段(2008—2013年)
2008年次贷危机之后,许多国家重视互联网的经济引擎作用,出台互联网发展战略,网络的地位大大提升,同时网络新型业态开始出现,网络不正当竞争、电子商务、网络支付、税收、个人信息保护等新的互联网问题对监管体制造成很大冲击。在移动互联网的大潮下,网络的意识形态属性也日趋明显。网络监管开始进入优化和调整并存的阶段。
2010年确立了沿用至今的新的网络监管架构:网信部门主管互联网信息内容,工业和信息化部门负责互联网行业管理,公安部门负责规范和打击互联网违法犯罪。国家互联网信息办公室在整个网络监管体制中的牵头和协调作用日益突出。2013年党的十八届三中全会指出,“要坚持积极利用、科学发展、依法管理、确保安全的方针,加大依法管理网络力度,完善互联网管理领导体制”。新的网络监管“十六字方针”取代了2001年提出的旧“十六字方针”,同时也揭开了网络监管体制新一轮调整的序幕。
4.监管体制的升级阶段(2014年至今)
党的十八大以来,网络安全受到空前重视,2014年2月,习近平总书记在中央网络安全和信息化领导小组第一次会议上指出,“没有网络安全就没有国家安全,没有信息化就没有现代化”。网络监管体制在经历了前一个阶段的调整弱化后,再次提升到前所未有的高度,进入重构升级阶段。其标志就是2014年中央网络安全和信息化委员会成立,同时国务院对国家互联网信息办公室做出职能授权。此后,随着国家互联网信息办公室作为网络安全和信息化的统筹协调地位的确立,我国的网络立法步伐也明显加快。一方面,立法层级显著提升,改变了过去网络监管领域长期以来行政法规甚至部门规章占主导地位的局面,全国人大常委会专门的网络立法开始增多。另一方面,通过专门立法和兼顾立法相结合的方式,出台或者修订了一些网络立法。包括《网络安全法》《电子商务法》《反恐怖主义法》《国家安全法》《食品安全法》《广告法》等法律的出台,以及部门规章的大量出现,我国的网络立法体系基本成型。
随着云计算、大数据、物联网、人工智能等新一代信息技术的方兴未艾,网络不仅是信息工具,还成为重要的创新要素,“包容审慎”成为对网络新型业态的监管原则。同时,随着网络主权观念在世界范围的兴起,各国高度重视本国的网络安全以及数据安全,国家间的网络不互信情绪加重。这些网络的内外因素都加剧了监管的难度和复杂性。
四、我国网络安全立法的范畴、理念及其模式构建
坦率地讲,虽然我国网络安全立法的必要性毋庸置疑,但是相应的理论储备并没有达到较为充沛的地步,这体现在对有关网络的监管模式、网络安全的评判标准、网络犯罪的发生规律乃至网络安全的基本内涵的认识都在进一步深化过程中,相关理论研究也是分歧大于共识。这里笔者也仅对有关网络安全立法的范畴、理念等问题谈些粗浅看法。
(一)“网络安全”的范畴及其与“信息安全”的概念差异
在网络领域,“网络安全”和“信息安全”是经常提及的概念,许多学者对其术语并没有严格区分,而是基于习惯使用,两者语义虽然接近,但是在内涵上仍有差别。
关于信息安全,我国1994年《计算机信息系统安全保护条例》,所谓信息安全是指防止信息被故意地或偶然地非法授权泄露、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性、不可否认性等。从内涵上看,网络安全和信息安全具有较大的重合性但又有区别。信息安全除包括网络信息安全外,还包括广播、电影、电视等信息传播渠道的安全,除包括国家和公共利益的安全外,还包括个人隐私信息的保障,而网络安全除包括网络信息的安全外,还包括网络底层系统、底层协议、网络硬件等网络基础设施的安全。可见,网络安全与信息安全是一种交叉关系。而全国人大常委会的立法规划表述中,使用的是网络安全法而非信息安全法,这表明了立法机关的倾向性态度。
(二)立法理念上,如何统筹网络秩序与权利的关系
在对网络安全的法律体系的构筑中,实际上不仅包括网络秩序的成分,也包括网络权利的成分。一方面,个人的网络隐私利益和个人信息安全也是网络信息安全的一部分;另一方面,秩序价值的过分关切也可能会威胁到网络的活力和创新力。在立法中该如何确定网络安全的判断标准、审查程序、认定机构等,使之既维护网络秩序的稳定,又不扼杀网络的活力,因为二者对社会整体利益的提升同等重要。
(三)立法策略上,如何统筹前瞻性与稳健性的关系
最近几十年来,网络和信息化技术是人类发展最为迅速的技术门类之一。网络在我国短短20多年的时间里,就先后走过了网络1.0、网络2.0时代,如今正稳步迈入电脑屏、手机终端屏、电视屏三网融合的时代。与网络的快速发展相伴随的,是网络空间中各种脱序、失范行为的快速推陈出新,这就给网络法律规则的确定化带来挑战。通常而言,法律具有天然的滞后性,同时为保证法律规范的普适效力,纳入法律规范中的行为通常在现实社会中具有持续性的存在。然而在网络空间中经常出现这样的情况:当一国的立法经过复杂而冗长的立法程序将某种网络行为纳入本国法律进行规制时,却惊奇地发现该种行为在网络上已经趋于销声匿迹了,代之而起的是新型的、法律尚未关注的行为,法律生效后很快就实质性失效的情况在网络中更易发生。在网络立法领域,立法的前瞻性与稳健性的矛盾将会格外突出,这就要求立法者在审慎总结网络安全的现状与规律的基础上,能够精准预测未来一段时期内网络安全的发展趋势,并作出恰当的立法安排,以避免法律生效但事实上无效的窘况。
(四)立法模式上,如何统筹一元化模式还是多元化模式
立法规范模式,又称立法体例,是指一个国家或者地区立法所采取的方法、结构、体例及形态,一般是指法律以何种形态为表现。[42]直白地说,就是法律规范的组合形式。
需要指出的是,立法规范模式的概念不同于立法体系,立法体系是指由不同立法机关所制定的具有不同法律形式和法律效力的法律规范所构成的法律形式体系,包括宪法、法律、行政法规、地方性法规、自治条例、单行条例和规章。立法规范模式的概念也不同于法律体系。法律体系是指“由一个国家的全部现行法律规范分类组合为不同的法律部门而形成的有机联系的统一整体”。[43]实际上,立法规范模式与法律(形式)渊源的关系密切,法律的形式是立法规范模式的基本元素。法律规范附着于法律条文,法律条文承载法律规范,由一系列具有内在联系的法条构成的外部表现方式,即为法律渊源。就刑法部门来说,在奉行成文法主义的国家,刑法渊源包括刑法典、单行刑法和附属刑法,而在判例法系国家,判例也是刑法渊源的一种。因而所谓刑事立法规范模式,是指刑事立法过程中采取的以何种法律形态来表现刑法规范的体系结构。刑事立法规范模式实际上涉及的是刑法典和其他刑法渊源之间的关系,并因此有一元和多元的规范模式之分。如果在刑事立法中仅采取刑法典形式的,即为一元的刑事立法规范模式。如果在刑法典之外,兼采单行刑法、附属刑法等其他法律形式的,就称为多元的刑事立法规范模式。多元模式的典型代表是德国和日本。现行德国刑法典渊源于1871年5月15日的《德意志帝国刑法典》。“二战”之后在原英美占领区的基础上成立的德意志联邦共和国开始了“纯洁”刑法典。1969年颁布的第一部刑法改革法对刑法总则进行了彻底修改,其后又颁布了数部刑法改革法,并导致西德立法机关于1987年又颁布了新版本的刑法典。两德统一后,又对1987年颁布的刑法典做出了若干修改。根据1998年的第六部刑法改革法,德国又颁布了新版本的刑法典。在刑法典之外,德国还存在大量的单行刑法和附属刑法。例如,1974年的《少年法院法》、1974年的《军事刑法》、1975年的《经济刑法》等,这些法律因为各种技术原因没有纳入刑法典中。显然,一元模式保守、单一而封闭,但是刑法规范具有高度的权威性;二元模式灵活、多元而开放,但是刑法规范的权威性显然不及一元模式。
党的十八大以来,网络安全是网络立法的重头领域,我国在2016年和2021年先后出台了《网络安全法》《数据安全法》两部法律,加上行政法规和部门规章的有效补充,我国网络安全领域的基本规则建构工作完成。从目前的网络安全立法情况来看,我国网络安全立法基本是以行政监管为主的,不过笔者认为,制定一部融合多种法律部门、融合实体与程序的综合性法律恐怕是更适当的。这是因为,网络安全中既有技术的因素又有法律的因素;既有行政规制的因素又有刑事犯罪的因素;在追责过程中既有实体的因素又有程序的因素。作为网络安全主要威胁形式的网络犯罪具有变异迅速、专业性更强等特点,网络安全的高度复杂性迫切需要一整套的法律反击策略和措施,依靠任何单一部门法的单打独斗都不足以完全应对网络安全的法律治理。当然,综合性法律并不排斥行政法规和部门规章的存在。随着网络对社会渗透程度的进一步加深,网络安全、数据安全的内涵和外延也在不断变化,部门规章可以充分发挥其灵活性和补充性的优势,并作为网络安全立法的先期性探索。
(五)新时代的网络安全立法述评
2023年3月16日,国务院新闻办公室发布《新时代的中国网络法治建设》白皮书。白皮书系统回顾与总结了党的十八大以来我国网络法治建设的非凡成就和历史经验。白皮书的发布标志着我国网络法治建设取得了重大阶段性胜利,同时也指明了今后网络立法的前进方向。十年来的网络立法,涵盖数字中国、数字社会、数字政府等各个领域,辐射企业、社会组织、个体等各类主体。网络立法的进程与网络深度嵌入经济社会生活的步履同频共振。白皮书全文15000字的篇幅中,“安全”一词出现了上百次。可以说,安全是十年来网络立法的基石和底色,是贯穿网络立法始终的筋骨和脉络,也是深刻理解十年来网络立法成就的一把钥匙。笔者认为,如果将党的十八大以来我国网络安全立法成就视为一幅徐徐展开的画卷的话,它具有以下三个鲜明特色:
从时间的横轴来看,坚持纲目并举。网络安全立法,深化探索保障安全的内涵,建构深度厚度兼具的网络安全立法。党的十八大以前,我国网络安全立法领域有《计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》等若干行政法规和部门规章。它们在相当长时间内发挥了我国网络安全的防波堤作用。面对不断迭代的网络生态和汹涌而来的网络浪潮,时有管涌风险。网络安全立法迫切需要构筑新的安全网,需要培养新的守门员。全国人大常委会2016年通过的《网络安全法》奠定了网络安全的框架性立法,2019年通过的《密码法》构筑了网络安全的基石性立法,2021年通过的《数据安全法》架设了网络安全的主干性立法。三大网络安全法律形成了网络安全领域的三足鼎立态势,它们既有效整合了过去分散在不同法律部门中的相对支离破碎的网络安全规范,又为今后的网络安全立法确定了基调,明确了指引。例如,2021年出台的部门规章《网络安全审查办法》第1条即明确表示本办法根据《网络安全法》《数据安全法》等法律制定。可以说,上述三大法律让我国网络安全立法面貌焕然一新。至此在网络安全领域,我国基本实现了对内容安全和秩序安全,对入口安全和出口安全的保障,同时实现了由局域安全向广域安全,再到全域安全的建构进程。甚至基于网络互联互通的客观现实,中国积极参与全球互联网治理,推动网络犯罪国际公约的制定,发出《全球数据安全倡议》,这是更深层次的,更高格局的网络全域安全,充分体现了中国的大国担当。
从规范的纵轴来看,坚持体翼并行。网络安全立法,深化探索保障安全的形式,建构多体多面的网络安全立法。“徒法不足以自行。”在规范类型上,中国的网络安全立法坚持多点多面同时开花,这个领域既有最具权威性的法律奠定网络安全立法的基石,又有大量的行政法规、部门规章、地方性法规、司法解释、规范性文件、政策文件等作为法律的细化性举措、补充性举措和完善性举措。这些灵活多样的网络安全法律规范,充实与完善了网络安全的武器库、工具箱,构筑了有筋有骨、有血有肉的网络安全法律体系,将网络安全立法深入网络世界的“田间地头”,让法律的宏观性规定变成日常网络行为的可操作性指引。在规范后果上,网络安全立法打通了民事责任、行政责任、刑事责任的界限,实现了对网络违法后果的“全通道治理”。网络立法是“领域立法”,它没有传统部门立法的负累,可以根据网络安全治理的现实需要灵活配置多样化的法律责任,并实现贯通性治理。例如,公民个人信息保护、数据安全等领域都是如此,这也吸引了来自不同部门法的专家学者的共同研究和探讨。在规范内容上,网络安全立法实现从最初的系统安全、运行安全到以后的数据安全、内容安全的建构。党的十八大以来的网络安全立法,从点的安全推进到线的安全,再过渡到面的安全,又由平面安全向立体安全延伸。可以说在网络空间的方方面面,都有相应的安全规范,基本做到了无死角、无盲区,今后要进一步向无漏洞迈进。
从思想的立轴来看,坚持道术并用。网络安全立法,深化探索保障安全的理念,建构行稳致远的网络安全立法。党的十八大以来的网络安全立法,坚持以本为本,以基为基。这个本和基,是习近平法治思想指导下的总体国家安全观。总体国家安全观,是网络安全立法之道,是正道也是大道,是十年来网络安全立法之灵魂、之根基、之保障,保障了网络安全立法之垂范久远,意蕴绵长。2012年12月28日通过的《全国人大常委会关于加强网络信息保护的决定》是党的十八大以来网络安全立法的开端。而2014年中央网络安全和信息化领导小组第一会议作出的“没有网络安全就没有国家安全,没有信息化就没有现代化”的论断成为今后网络立法的基调。总体国家安全观指导下的网络安全立法,统筹协调安全与发展的关系,做到了在安全中保障发展,在发展中维护安全,安全与发展齐头并进,并行不悖,安全与发展水乳交融。一些保障网络运行、推动产业发展、维护个体权益的网络法律,立法同时也处处贯彻了安全的理念,如《电子商务法》《个人信息保护法》等,避免为安全而安全。网络安全立法是网络世界的交通警、信号灯,是“关键基础设施”,完备的网络安全立法不但不会阻滞网络发展,反而会让网络信息高速公路通行更加顺畅,让全体人民充分共享网络发展权益。例如,为推动数字经济发展,推动经济社会的数字化转型,我国构筑了平台安全、算法安全、算力安全、数据安全四位一体的安全制度;作为内核安全制度;构筑了网络运行安全和网络基础设施安全制度作为外核安全制度;构筑了以《数据出境安全评估办法》为代表的数据跨境流动制度作为动态安全制度;构筑了《汽车数据安全管理若干规定(试行)》等行业安全制度。基本做到了外在体系完备,内在规范齐全。
实际上,以上三点还不足以完全概括我国网络安全立法全貌。笔者还可试举一二。例如,我国网络安全立法坚持了稳健立法与急用先行并重的方针。对于具有根本性、全局性的网络安全制度,坚持战略定力、细致探索和逐步推进,进而实现水到渠成。《网络安全法》《数据安全法》《密码法》等法律的出台就经历了这个过程。但对于一些人民反响强烈,立法需求迫切的法律,则急用先行,快速推动,如《反电信网络诈骗法》从起草到通过,前后不过一年的时间。党的十八大以来,我国各地方的网络安全立法在整个网络法治建设过程中书写了浓墨重彩的一笔,这些先期地方性探索不仅为全国性立法做了彩排和预演,积累了地方性经验,探索了地方性样本,同时也展现了地方性特色。总之,党的十八大以来的网络安全立法,实现了从体系阙如到系统完备的转变,实现了从域外引介到本土探索的转变。不仅展现了中国网络立法的鲜明特色,也彰显了中国式制度文明的新风范。
[1] 《CNNIC:中国网民规模6.32亿手机网民比例首超PC》,载凤凰网,http://tech.ifeng.com/internet/detail_2014_07/21/37437832_0.shtml(最近访问时间2023年3月20日)。
[2] 《我国电子商务交易规模突破10万亿大关》,载《北京商报》2014年3月20日。
[3] 惠志斌:《全球网络空间信息安全战略研究》,世界图书出版公司2013年版,第6页。
[4] 2001年“9·11”事件之后,雅虎、搜狐的新闻订购业务短时间内都出现了较大增长。
[5] [美]埃瑟·戴森:《2.0版数字化时代的生活设计》,海南出版社1998年版,第19页。
[6] 何精华:《网络空间的政府治理》,上海社会科学出版社2006年版,第164—165页。
[7] 高宪春:《“去中心化”对网络文化的影响》,载《网络传播》2010年第2期。
[8] [美]克莱·舍基:《未来是湿的》,胡泳、沈满琳译,中国人民大学出版社2009年版,第98页。
[9] 《DCCI数据:中国互联网2.0正式超越1.0》,载凤凰网,http://tech.ifeng.com/special/adworld2010/content-1/detail_2010_07/22/1814476_0.shtml(最近访问时间2023年3月20日)。
[10] 惠志斌:《全球网络空间信息安全战略研究》,世界图书出版公司2013年版,第7页。
[11] [英]维克托·迈尔-舍恩伯格等:《大数据时代》,盛杨燕等译,浙江人民出版社2013年版,第8页。
[12] 任昱衡等:《数据挖掘——你必须知道的32个经典案例》,电子工业出版社2018年版,第5页。
[13] 常远:《计算机犯罪的回顾与预测》,载《法律科学》1991年第3期。
[14] 殷伟、张莉:《手把手教您计算机安全技术》,电子工业出版社1997年版,第12页。
[15] 陈烨:《论虚拟财产的财产类型及其刑法保护》,载《南海法学》2020年第4期。
[16] 陈兴良:《虚拟财产的刑法属性及其保护路径》,载《中国法学》2017年第2期。
[17] 张明楷:《非法获取虚拟财产的行为性质》,载《法学》2015年第3期。
[18] 梁根林:《虚拟财产的刑法保护——以首例盗卖QQ号案的刑法适用为视角》,载《人民检察》2014年第1期。
[19] 曲新久:《区分扩张解释与类推适用的路径新探》,载《法学家》2012年第1期。
[20] 侯国云:《虚拟财产的性质与法律规制》,载《中国刑事法杂志》2012年第4期。
[21] 欧阳本祺:《论虚拟财产的刑法保护》,载《政治与法律》2019年第9期。
[22] 刘明祥:《论窃取财产性利益》,载《政治与法律》2019年第8期。
[23] 孙道萃:《网络财产性利益的刑法保护:司法动向与理论协同》,载《政治与法律》2016年第6期。
[24] 刘明祥:《窃取网络虚拟财产行为定性探究》,载《法学》2016年第1期。
[25] 梁根林:《虚拟财产的刑法保护——以首例盗卖QQ号案的刑法适用为视角》,载《人民检察》2014年第1期。
[26] 欧阳本祺:《论虚拟财产的刑法保护》,载《政治与法律》2019年第9期。
[27] 刘明祥:《窃取网络虚拟财产行为定性探究》,载《法学》2016年第1期。
[28] 张明楷:《非法获取虚拟财产的行为性质》,载《法学》2015年第3期。
[29] 田宏杰、肖鹏、周时雨:《网络虚拟财产的界定及刑法保护》,载《人民检察》2015年第5期。
[30] 陈兴良:《虚拟财产的刑法属性及其保护路径》,载《中国法学》2017年第2期。
[31] 邹政:《盗窃虚拟财产行为的刑法适用探讨——兼论虚拟财产价格的确定》,载《法律适用》2014年第5期。
[32] 陈烨:《论虚拟财产的财产类型及其刑法保护》,载《南海法学》2020年第4期。
[33] 《5·19断网事件详解:少年投资28万租服务器攻击》,载新浪网,https://finance.sina.cn/usstock/hlwgs/2009-07-15/tech-ichmifpy5790904.d.html?fromtech=1(最近访问时间2023年4月20日)。
[34] 《2013年通信运营业统计公报》,载中国发展门户网,http://cn.chinagate.cn/reports/2014-03/26/content_31905561.htm(最近访问时间2022年11月8日)。
[35] 朱景:《网络实名制的全球先行者,韩国为什么失败了?》,载南方报网,https://appnews.zol.com.cn/506/5062098.html(最近访问时间2022年11月8日)。
[36] 第49次《中国互联网络发展状况统计报告》。
[37] 张家年:《国家安全保障视角下安全情报与战略抗逆力融合研究——伊朗核设施遭“震网”病毒攻击事件的启示》,载《情报杂志》2018年第2期。
[38] 第49次《中国互联网络发展状况统计报告》。
[39] 1997年公安部《计算机信息系统安全专用产品分类原则》第3.6条。
[40] 李怀胜:《网络传授黑客技术的刑法学思索——以“黑客学校”现象为背景》,载《中国刑事法杂志》2009年第10期。
[41] 王融:《中国互联网监管的历史发展、特征和重点趋势》,载《信息安全与通信保密》2017年第1期。
[42] 竺效、杨飞:《境外社会工作立法模式研究及其对我国的启示》,载《政治与法律》2008年第10期。
[43] 《中国大百科全书·法学》,中国大百科全书出版社1984年版,第84页。