破壞計算機信息系統罪“網絡化”轉型中的規范結構透視

李源粒

(中國政法大學 刑事司法學院，北京 102249)

網絡運行安全的重要性日益增加，網絡刑法的制度保障已屬必要。但是，雖然與經典計算機犯罪有著虛擬技術犯罪的共通之處和歷史發展上的承襲關聯，實現從計算機刑法到網絡刑法的“網絡化”轉型，卻絕非簡簡單單的一個語詞上的變更就能完成。實現這種規范的“網絡化”轉型，需要結合現實問題，從規范結構徹底檢視，得出相應的路徑方案，最后形成網絡刑法的一個完整體系。

一、計算機刑法“網絡化”的重點結構性轉變

計算機刑法“網絡化”的必要性是網絡攻擊模型的復雜化以及網端結構的變化。

(一) 從系統安全轉向數據安全

系統攻擊最簡模型中三種存在層面的一體化在網絡攻擊中被打破，網絡攻擊體現了數據傳輸和網絡運行的獨立性與重要性，以及與系統安全的交錯關聯。

1.計算機系統攻擊的最簡模型。計算機犯罪經典形式CIA犯罪以最簡單模型為預設。從數據論看，數據的本質是信息存在形態，是以電磁信號為主要形式的、在計算機網絡化系統中進行獲取、處理、存儲、傳輸和利用的信息內容。[注]參見王景中、徐小青編著：《計算機通信信息安全技術》，清華大學出版社2006年版，第5-6頁。從電腦特質論看，計算機信息系統運行與其承載的功能，是一種計算形態的信息能量，從計算機自動化處理特征出發可將計算機的機能視作輸入、程式處理和結果輸出三個環節。[注]參見李茂生：《權力、主體與刑事法——法邊緣的論述》，翰蘆圖書總經銷1998年版，第183頁。二者間關聯點在于，計算機信息系統運行就是通過對數據的存儲、處理、傳輸等技術運行方式來實現的。從物理設備看計算機設備是一種物理存在形態，具體如電腦、手機等有形物。無論是數據還是系統運行的計算能力，都依托于能源能量(電能)供給在物體設備中實現。這里的三者一致是信息(數據)、(計算)能量(運行)、物質(計算機)三種存在層面重合的最簡模型。

2.網絡攻擊模型的復雜化。網絡環境下，信息——計算能力——物質設備三者一致的形式出現了轉移與錯位，這清晰體現在網絡攻擊之中。

首先，數據范圍與系統運行不一致。例如，云端存儲使數據存儲與本地系統分離。再如，大數據技術利用傳感器獲取海量數據，使數據輸入與本地系統分離?；赪VP的路徑導航服務將地圖數據、實時路況分析、包含人類行為信息車輛WVP數據等數據經統計應用到傳統信息化交通服務中，車輛導航應用由“以計算為中心”變為“以數據為中心”。[注]參見王靜遠、李超、熊璋、單志廣：《以數據為中心的智慧城市研究綜述》，載《計算機研究與發展》2014年第2期。這導致信息安全與系統運行安全復雜交錯。一方面網絡空間的攻擊直接侵害信息安全；另一方面網絡中惡意數據和應用程序也對系統安全造成了嚴重的侵害危險。非法入侵、網絡攻擊和病毒傳播利用網絡通信協議中的漏洞對網絡系統或用戶數據進行泄露和破壞，信息傳播受到攻擊會造成數據在網絡上傳播失控，嚴重時將直接導致整個網絡系統癱瘓。[注]參見陳建昌：《大數據環境下的網絡安全分析》，載《中國新通信》2013年第17期。另外，惡意軟件可利用漏洞通過服務器傳播(利用Web瀏覽器漏洞，包括內容注入)等，[注]參見Markus Jakobsson, Zulfikar Ramzan, Crimeware, Understanding New Attacks and Defenses, Szmantec Corporation, Page 19-20.利用物聯網RFID系統可以入侵計算機信息系統。[注]參見李欲曉：《物聯網安全相關法律問題研究》，載《法學論壇》2014年第6期。

其次，計算能力范圍與系統運行不一致。整體上云計算代表了一種計算能力供給(效用計算)的工業化趨勢。[注]歐盟：COM(2012)529 final.用戶將自己的數據和業務系統遷移到云計算平臺，失去直接控制能力。[注]參見左曉棟：《云計算服務網絡安全管理中的若干技術問題探討》，網信辦http://www.cac.gov.cn/2015-07/29/c_1116078319.htm，2018年2月2日訪問。這造成網絡運行安全與系統運行安全復雜交錯。一方面對計算機系統的非法控制、破壞行為可以直接危害網絡資源安全，如僵尸網絡攻擊和“5·19斷網事件”；另一方面網絡資源安全危險也帶來系統安全侵害危險。虛擬機逃逸使得攻擊者既可以攻擊同一宿主機上的其他虛擬機，也可控制所有虛擬機對外發起攻擊；虛擬機之間的嗅探對傳統安全設備提出了新挑戰。[注]參見杜偉：《云計算安全問題及對策》，http://www.miit.gov.cn/newweb/n1146312/n1146909/n1146991/n1648534/c3488885/content.html，2018年2月14日訪問。

綜上，信息——計算能力——物質設備的三者重合一致的最簡模型在網絡中已發生變化，信息、計算能力都分別脫離開物理系統邊界范圍，成為獨立維度。網絡攻擊也隨之體現出新特征。因此，破壞計算機信息系統罪需實現“網絡化”轉型。

(二)從系統運行安全轉向網絡運行安全

連入互聯網的計算機系統作為終端與網絡運行之間的重要性對比逐步改變；網絡本身的架構變化讓終端的意義、網絡的作用以及二者關系，發生了深刻變化。

1.以系統設備為起點。20世紀70年代以來，集成電路的發展推動了計算機的微型化與普及化。[注]參見佚名：《計算機的發展趨勢:微型化(或體積微型化)》，中科院計算技術研究所http://www.ict.cas.cn/kxcb/jsjfzs/200807/t20080714_2182453.html，2018年2月12日訪問。利用通信技術和計算機技術實現計算機的網絡化，用戶得以共享軟件、硬件和數據資源。[注]同⑧。智能聯網時代，信息化終端的意義漸漸脫離其自身，被納入到網絡或者重要物理設施當中，成為物聯網的無數節點或者物理信息系統、工業控制系統的信息控制平臺。一方面是終端設備的日常化、輕便化、碎片化。計算機的發展將趨向超高速、超小型、并行處理和智能化。[注]參見楊露斯、黎煉：《論計算機發展史及展望》，載《信息與電腦(理論版)》2010年第6期；汪芳、張云勇、房秉毅、徐雷、魏進武：《物聯網、云計算構建智慧城市信息系統》，載《移動通信》2011年第15期。另一方面則是信息物理系統設施的重要化、大型化、集中化。國家關鍵信息基礎設施是指關系國家安全、國計民生，一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益。

2.網絡架構的三次突破。從網絡應用上看，互聯網應用從只能讀取內容的Web 1.0時代發展到可以參與共享內容的Web 2.0時代，再到智能化的Web 3.0時代。從網絡犯罪代際發展看，網絡犯罪經歷了網絡“作為犯罪對象”、“犯罪工具”和“犯罪空間”三個階段，[注]參見于志剛：《網絡犯罪的發展軌跡與刑法分則的轉型路徑》，載《法商研究》2014年第4期?！坝嬎銠C犯罪”的定義是涉及計算機數據的所有犯罪，“互聯網犯罪”則限于在互聯網中或者通過互聯網實施的計算機犯罪。[注]參見Ulrich Sieber，Europ?isches Strafrecht, Nomos, 2.Aufl. 2014，S.435；[德]烏爾里希·齊白：《全球風險社會與信息社會中的刑法》，周遵友、江溯等譯，中國法制出版社2012年版，第290-302頁。

網絡自身和系統與網絡間的結構關系有三個變化。第一是端的聯網與泛化，導致日常物理設備因被納入智能網絡發生定義改變。如兒童智能手表通過應用軟件可以進行網絡監視，被定義為非允許的發射裝置。[注]參見德國聯邦網絡監管局：Bundesnetzagentur geht gegen Kinderuhren mit Abh?rfunktion vor， https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2017/17112017_Verbraucherschutz.html，2017年12月20日訪問。第二是網絡中心化，網絡云平臺、數據中心與連入互聯網的本地系統間形成差別。云計算具有高密度特征，是一種集中化部署方式，[注]參見工信部：《云計算白皮書2016》，第22頁。數據不再是本地化的或在自己的網絡中進行存儲，而是存儲在云服務提供商的異地服務器上。[注]參見Ulrich Sieber：Europ?isches Strafrecht2014年版，第438頁.第三是智能網絡的邊緣化擴展與去中心化。霧計算與物聯網發展相關，[注]參見薛育紅：《云計算驅動了霧計算的發展》，載《中興通訊技術》2017年第2期。在網絡架構上是云計算向網絡邊緣設備的延伸和擴展，是一種計算數據的體系結構，應用程序和服務被從集中云推到網絡的邏輯終端，即邊緣。[注]參見張放：《霧聯網開啟萬物互聯新時代》，載《人民郵電》2017年4月20日第6版。云霧協同概念即邊緣微數據中心可通過云端集中中心進行管理，[注]參見蘇云沛：《“云”里“霧”里——霧計算時代的到來》，載《甘肅科技》2016年第5期。提供統一的端到端云+霧平臺、服務和應用。[注]參見佘惠敏：《2017中國(上海)國際物聯網大會舉辦 “霧計算”成亮點》，中科院網站轉載http://www.cas.cn/cm/201704/t20170426_4598363.shtml，2018年1月6日訪問。這種轉變以網絡數據傳輸為核心。

綜上，網絡結構變化意味著刑法規范關注點必須拋棄掉系統和數據的關聯預設、拋棄掉物理設備的限定；將重心放到計算能力上來，放到網絡計算資源、傳輸資源、存儲資源上來，放到終端對網絡資源、網絡服務的獲取和應用上來。相應地，系統功能安全也要增加網絡通信安全和網絡資源安全這一維度。

二、破壞計算機信息系統罪的規范結構及其瓶頸

我國已經具有比較完備的計算機刑法和網絡刑法，規范體現了四種基本模式。規范設置應采用相對最優規范模式，尋求“網絡化”轉型。

(一)規范結構要素

法益是刑法規范的出發點(Ausgangspunkt)。首先，法益是具有現實存在基礎的。Welzel將規范違反(Normverst??e)從法益侵害的概念中剔除出去，將并非通過制裁(Sanktion)而是通過規范(Norm)保護的對象稱為法益，規范保護的對象(den Gegenstand des Norm-Schutzes)是(規范所依據的)價值判斷的對象(Objekt)。這種價值判斷是規范的保護益(Schutzgut)，從實在(Realit?t)中剪裁出了所保護的法益(Rechtsgut)。[注]參見Kunt Amelung, Rechtsgüterschutz und Schutz der Gesellschaft, Athen?um Verlag, 1972, S.188.Bernd J.A. Müssig, Schutz abstrakter Rechtsgüter und abstrakter Rechtsgüterschutz, Peter Lang, 1994, S.32-33.[德]漢斯·韋爾策爾：《刑法與哲學》，潘文博譯，載趙秉志主編：《刑法評論》2016年第1卷，法律出版社2016年版，第326頁。Kunt Amelung, Rechtsgüterschutz und Schutz der Gesellschaft, Athen?um Verlag, 1972, S. 344、348、350.這是一種受現象學影響的存在論的法益定義，其核心方法論強調的是刑法上的“思維方式”并不“創造”新的對象，拒絕“方法的造物功能”。此外，法益是社會性的概念。Amelung指出一種“精神化的”法益教義無法描述一種犯罪行為的社會效果，精神化法益所屬領域基本上將法從起因和效果中抽離開來，但犯罪行為的社會侵害后果只能對于外部世界對象才能進行描述。Sieber教授認為在Welzel的意義上的法益概念和制度化的法益概念之外并不存在第三種“精神化的”或“非物質的”法益概念；以Welzel意義上的法益作為主要的法益內容，但應當區分出行為對象的概念。此外，對社會系統中的法益概念應引入“基于主體性”的法益概念，將法益定義為“通過規范進行保護的功能統一體(die durch die Norm geschützte Funktionseinheit)”。[注]Ulrich Sieber, Computerkriminalit?t und Strafrecht, Carl Heymanns Verlag KG, 1977, S. 255-257.

從規范結構要素上看，禁止或允許規范都是對行為的描述，法益是(行為)規范保護的對象，行為對象是構成要件中對行為的描述所引出的對象。之所以要區別出行為對象(Tat- oder Handlungsobjekt)這個概念，蓋其屬于一種刑法的概念工具主義，決定刑法分則構成要件和構成要件要素，而法益不具有這種功能，對象概念(Objektsbegriffe)的作用不在于確定教義，而在于明確法益保護思想的能效。[注]參見Kunt Amelung, Rechtsgüterschutz und Schutz der Gesellschaft, Athen?um Verlag, 1972, S.200、201.經典計算機犯罪概念的確定與對電子數據進行處理和傳輸的計算機和信息技術的特征相關聯，將計算機信息系統功能或者CIA作為法益。[注]Ulrich Sieber，Les chemins de l'harmonisation pénale / Harmonising Criminal Law, 載Delmas-Marty/ M. Pieth/Sieber編著， Société de Législation Comparée， 2008，第131頁及以下；Ulrich Sieber，Europ?isches Strafrecht, Nomos, 2.Aufl. 2014, S.435頁；Ulrich Sieber, Straftaten und Strafverfolgung im Internet, Verlag C.H.Beck, 2012, S. 84; Hilgendorf/Vlerius, Computer- und Internetstrafrecht, Computer- und Internetstrafrecht, 2. Auflage, Springer 2012, S. 161 Rn 536; Eisele, Computer- und Medienstrafrecht, Verlag C.H.Beck, 2013, S.33 Rn 1.行為對象是數據，行為則是技術性的虛擬性的侵害方式。

從規范內容要素上看，計算機刑法規范中技術關鍵詞與規范關鍵詞交織呈現。概念思辨的重要方面就是溝通科學理解和自然理解，亦即努力使技術概念獲得非技術性理解。[注]參見陳嘉映:《語言哲學》，北京大學出版社2003年版，第17頁。刑法概念對于數據、計算機信息系統、網絡等技術語言要以技術事實為基底來進行概念捕捉。對我國現行刑法分則條文中“關鍵詞”的解釋應當根據網絡犯罪的不同類型，重點關注具有代表性的“規范關鍵詞”。[注]參見于志剛:《網絡犯罪的發展軌跡與刑法分則的轉型路徑》，載《法商研究》2014年第4期。

(二)現有規范的結構模型

本文主要研究破壞計算機信息系統罪“網絡化”轉型問題，研究對象的范圍限定在我國刑法第285、286條、第124條。此外還有2011年兩高《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《計算機系統解釋》)，2004年最高人民法院《關于審理破壞公用電信設施刑事案件具體應用若干法律問題的解釋》(以下簡稱《公用電信設施解釋》)2011年最高人民法院《關于審理破壞廣播電視設施等刑事案件具體應用法律若干問題的解釋》(以下簡稱《廣播電視設施解釋》)，《網絡安全法》及2000年全國人大《關于維護互聯網安全的決定》(以下簡稱《決定》)中相關規定。根據上述條款，我國刑法及相關法規的規范模式有以下四種。

1.法益(R)模式。法益模式直接將法益表述在規范中，行為、行為對象則未在規范中描述或描述含糊。例如，《刑法》第286條第1款表述為，“違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行的”；《計算機系統解釋》第4條“后果嚴重”認定中第(一)項規定為，造成10臺以上計算機信息系統的主要軟件或者硬件不能正常運行的。在這種模式下，行為采技術性描述，但仔細分析，行為所描述的其實是行為所造成的對計算機信息系統功能的可能影響，已是行為后的描述而非行為本身的描述。

法益模式的結構可以抽象為“侵害法益行為+法益侵害”即“(H)+非R”結構。這一模式的問題在于，計算機刑法規范條文本身的實質就在于保護虛擬法益，而規范的犯罪就表述為法益侵害，就相當于反面解釋和同義反復了規范本身；基于此的行為描述沒有真正表述禁止的行為規范，而是重述了禁止法益侵害這一實質禁令，缺失真正的規范結構。這種模式較為少見，在后續的刑法修正案和司法解釋中都不再使用。

2.行為(H+O)模式。行為模式是從行為方式和對行為對象的不法改變來進行規范描述的，行為、行為對象、行為后果在規范中有完整表述。例如，《刑法》286第2款中，行為方式為對數據和應用程序的“刪除、修改、增加的操作”這種虛擬行為方式。行為對象是顯性的，與行為共同表述，具體是“計算機信息系統中存儲、處理或者傳輸的數據和應用程序”。行為后果指“后果嚴重”，從《計算機系統解釋》的規定來看，仍然是對行為+行為對象本身的嚴重行為情狀的描述，而不是對行為造成的法益侵害后果 、法益狀態變化的行為影響的描述。

行為模式的結構可以抽象為“行為+行為對象”即“H+O”結構。這一模式直切虛擬犯罪的行為特征，側重技術性，成為傳統刑法“信息化”的輕巧捷徑，但存在過度擴張解釋的危險。如果只要涉及網絡因素的傳統犯罪都會同時觸犯第286條“破壞計算機信息系統罪”，那么這一罪名則成為幾乎所有傳統犯罪的口袋罪。[注]參見于志剛：《口袋罪的時代變遷、當前亂象與消減思路》，載《法學家》2013年第3期。行為模式在公共安全犯罪的擴張解釋中(見表1)，將行為對象結果描述的具體情形與行為結果所造成的法益侵害(法益關聯性)即“危害公共安全”，以“規范關鍵詞”解釋方式結合起來。[注]表1規范法益一欄中下兩項為“公共安全”的具體化，《公用電信設施解釋》第1條、第2條和《廣播電視設施解釋》第1條、第2條在對行為結果、嚴重后果的表述中，是立足于“危害公共安全”的規范性解釋。

表1

3.行為對象(O)模式。行為對象模式將規范重心放在行為對象的描述上，把對行為對象的準確界定作為規范設置的核心，也是作為體現不法的關鍵，將行為、行為結果的表述都揉進以行為對象為核心的描述中，如《刑法》285條第2款?！队嬎銠C信息系統解釋》第1條，認定“情節嚴重”中第(一)項關注于解釋所獲取的“數據概念”，第(二)項則以被非法控制的“系統”的數量作為不法衡量標準，即非法控制計算機信息系統20臺以上的，在認定“情節特別嚴重”第(一)項中， 也是將以對“數據”和“系統”的侵害數量作為不法衡量標準；《計算機系統解釋》第10條、第11條，都是圍繞著“技術關鍵詞”的規定，將解釋重心放在了技術性的行為對象上，主要是系統定義和惡意程序定義。

行為對象模式的結構表現為“對行為對象的侵害”，即“(H)+非O”模式。其優點和弊端都在于選擇了完全技術性的數據、應用程序、計算機信息系統作為規范設置的中心，只將刑法規范的禁止內容描述停留在技術侵害層面，只到技術性行為對象為止，規范缺乏行為對象到法益的連接結構，也就自然缺乏了應有的法益保護的規范基礎。再進一步分析，行為對象模式只是在行為樣態階段的“時間型”刑法規制方面涇渭分明地區分了技術侵害與刑法法益侵害的兩個階段，并沒有在侵犯客體的諸多行為樣態以及侵犯類型的“空間型”平面上進行謹慎地聯結和安插，有脫離網絡犯罪與傳統刑法的法益侵害疊合、割裂地創造懸浮于刑法體系平面之上的“平行空間”的過度前置化危險。[注]參見李茂生：《權利、主體與刑事法——法邊緣的論述》，翰蘆圖書出版有限公司1998年版，第185-188頁。

4.行為對象與法益混合(O-R)模式。行為對象與法益混合模式的特征在于，將規范所保護虛擬法益的再深層一步的現實法益關聯性，直接融合到行為對象的概念之中，規范描述以此種復合行為對象概念為核心，意在突顯某些法益的現實關聯性的重要性。例如，《刑法》第285條第1款中的侵入“國家事務、國防建設、尖端科學技術領域的計算機信息系統”，以國家、軍事層面的計算機虛擬法益與計算機系統作為行為對象的復合概念，該規范就是這一復合概念的擴展描述。與行為模式“H+O”中的行為對象相比，混合“O-R”模式最大的不同在于這里其實根本沒有真正的獨立的行為對象概念，稱其為復合概念就在于，這里涉及的“行為對象”根本就是法益關聯性的在某一規范中的特定顯現，而不具有從法益中分離出的、作為特別的“刑法規范要素工具”的作用。易言之，各種“特定的”系統與計算機虛擬法益、網絡法益的關系結構不明，能確定的只是這類系統具有國防或社會管理秩序(也即法益關聯性)上的重要性，且體現為技術詞匯。

行為對象與法益混合模式的基本結構為“造成復合行為對象概念的侵害”，即“非O-R”模式。與行為對象模式相比，這種模式極為關注計算機刑法與傳統刑法在“空間型”層面上的交織，是偏重“規范關鍵詞”解釋的。但是，以法益關聯性和行為對象直接融合形成復合行為概念，在技術侵害層面與傳統刑法價值層面的銜接中，跳過法益，這樣的概念復合是表面化的、粗糙的。Sieber教授在德國第二次經濟刑法改革增設計算機犯罪一系列條文之時便指出，對于計算機犯罪的構成要件設置，對“計算機詐騙”進行描述必須要拋棄一種整體式和技術概念式的解決方案。他主張的解決方法是在對構成要件中對于數據處理裝置的限制中，引入“控制”或者“保護其不受濫用的安全”，形成與現有構成要件的“平行設置”。[注]Ulrich Sieber, Informationstechnologie und Strafrechtsreform, Carl Heumanns Verlag KG, 1985, S. 40-41.我國在研究網絡安全與國家安全、公共安全的“嵌入態勢”之時，也主張需要提煉出“控制”作為嵌入點。[注]參見于志剛：《網絡安全對公共安全、國家安全的嵌入態勢和應對策略》，載《法學論壇》2014年第6期。混合模式并未能從法益這一出發點，形成足夠清晰的概念結構，而只是淺層的立法、司法解釋意向(法益關聯性)與技術概念(行為對象)的復合概念。這樣，規范保護法益不明，復合概念由來的正當性也就不明。

表2

(三)規范結構模型的取舍與問題

網絡刑法規范模型需要根據特定問題選取最優模型，采相對模式主義。數據、網絡與系統之間不夠清晰的界分是既有計算機刑法“網絡化”轉型中所面臨的主要障礙。

1.相對模式主義。現代刑法中一個單一的絕對模式是不可行的。只能針對刑法所面臨的真實的現實問題，尋求對于這一特定問題的最佳解決模式，形成最優規范模式。也即，應以問題為導向，探尋規范目的實現的最優相對模式。

例如，對于計算機刑法基本規范來說，行為對象“(H)+非O”模式并非最優模式。但行為模式卻在前置化保護的“預備行為實行化”模式下有著特別貢獻，即，以行為對象與法益侵害直接的實質關聯作為刑法規范保護前置化的出發點，以便對高度危險的具有實質危害性的預備行為進行刑法規制。以我國刑法兩個“預備行為實行化”條文為例。刑法第285條第3款提供侵入、非法控制計算機信息系統的程序、工具罪和刑法第286條第3款故意制作、傳播計算機病毒等破壞性程序罪的規范表述都是以行為對象對于法益侵害的“適格性”(Geeignetheit)作為刑法規范的出發點，采行為對象模式為規范模式。德國計算機刑法核心條文中統一規定的預備行為犯罪，即§ 202c，就是采用行為對象模式。

2.“網絡化”轉型中的模式問題。

Seyfort Ruegg 1977: David Seyfort Ruegg, The gotra, ekayāna and tathāgatagarbha theories of the Praj?āpāramitā according to Dharmamitra and Abhayākaragupta,Praj?āpāramitā and related systems (Studies in honor of E. Conze), Berkeley, 283-312.

(1)系統和數據：重系統安全輕信息安全。我國刑法計算機犯罪條文的一個顯著問題是在系統和數據的關系上強調系統安全而不重視信息安全，這體現在規范結構模型上就是法益模式與行為模式是統整式的而不是清晰區別的。

第一，如上所述，《刑法》第286條第1款采用了法益模式，規范落在“計算機信息系統運行”、“計算機信息系統功能”之上，第2款則采取了行為模式，體現了行為、行為對象、行為結果的結構，二者關系實則是實質與形式的統一關系。但是，《計算機系統解釋》第4條在行為描述中直接全部并列，表述為“破壞計算機信息系統功能、數據或者應用程序”，在此統整之后，在這一行為的幾項后果中又分別出現了法益、行為及其對象、復合法益關聯性的行為對象概念三種模式。這表明，對計算機犯罪刑法規范的法益、行為的對象、法益背后的現實關聯性，實際上都沒有區分。以至于刑法第286條第1款、第2款的規范結構，實際上成為了一個十分混亂的結構：按照《計算機系統解釋》第4條的“行為與后果”的階段分隔，其結構便呈現為“H——R、O——R、H+O、O-R”，這顯然不妥。

第二，在行為模式“H+O”中，行為對象被限定為“系統中的”(參見表1中行為對象一欄)，毋庸多言，在最簡模式之下的信息安全被認為是依附于虛擬的系統運行安全、系統功能。但在規范描述中，“系統中的”這樣的限定將信息的位置不恰當地限縮和綁定在系統之上，而沒有體現出信息安全與系統安全之間的一體兩面的內在關系，是規范描述的不足。

(2)系統和網絡：重系統安全輕網絡安全。另一個計算機刑法規范設置問題是在系統和網絡的關系中重視系統安全而不夠明確網絡安全，這體現在行為對象模式、行為對象與法益混合模式的滯后性及其障礙上。

行為對象“O”模式依賴技術性關鍵詞構建規范，而技術發展必然造成原有技術關鍵詞的滯后，并帶來擴張解釋需要。三網融合背景下，對于智能手機乃至以后一般家用智能電器能否擴張解釋為計算機信息系統，成為我國刑法理論研究和司法實踐必須面對的問題。[注]參見于志剛：《三網融合視野下刑事立法的調整方向》，載《法學論壇》2012年第4期。在司法判例中，有將HPE5100A型網絡分析儀認定為計算機信息系統的做法，并依此認定在網絡分析儀內存中設置“黑屏”文件、操作測試程序使網絡分析儀黑屏的行為構成破壞計算機信息系統罪。[注]一審判決書： 江蘇省無錫市濱湖區人民法院(2001)錫濱刑初字第395號。二審裁定書：江蘇省無錫市中級人民法院(2001)錫刑終字第213號。這在智能聯網環境下將是數量與種類上都無法預測的一種概念擴張，共享單車雨傘、google home mini等信息家電，以及任何搭載簡單信息控制功能的物體終端，都可被擴張解釋為計算機信息系統，這并不可取。

行為對象與法益“O-R”混合模式的滯后性源于三方面。首先，復合概念的行為對象選取“系統”(參見表2復合行為對象一欄)，是非常明確的系統視角，對“網絡化”中智能分散節點的問題存在與行為對象模式一樣的既定思維障礙。其次，規范結構缺乏法益這一規范基點，也即規范中復合概念的形成和解釋的實質基礎法益是不明確的，“系統”為何應作為計算機刑法基本條文的“行為對象”、其與規范法益的結構關系，也是不清楚的。最后，預先確定的單一復合概念之下行為對象和法益關聯性的“O-R”對應關系在“網絡化”轉型的實踐中面臨涌現出的各種新的應對關系的出現應對窘境。智能聯網環境下的家居、隨身物品、車輛等都不僅僅應界定為財產法益，其法益關聯性也絕非限于個人法益。網絡系統安全已經與生命、健康等公眾核心利益、國家和社會運行的關鍵領域直接相關，成為公共安全尤其是關鍵領域的信息系統安全。[注]參見于志剛：《網絡安全對公共安全、國家安全的嵌入態勢和應對策略》，載《法學論壇》2014年第6期。傳統刑法中物體、規范法益、法益相應法益關聯性間的結構關系在智能環境下斷裂開來，省略規范法益無法構建智能網絡環境下的“O-R”結構。

三、網絡化轉型中規范結構調整的具體路徑

破壞計算機信息系統罪是以最簡模型、以終端重心為基礎而設置的計算機犯罪基本規范，實現其“網絡化”轉型首先應區分物理、運行、數據安全的三個層面，重點在于補充網絡刑法數據視角和由系統限定切換到網絡思維。

(一)網絡刑法立法的視角補充

計算機刑法基本條文需要補充獨立數據視角。網絡刑法中原先基于CIA信息安全模型的數據視角也需要進行調整，形成網絡刑法數據視角。

1.三種可選視角。計算機犯罪立法之初仍在數據、計算、設備三者形式合一的框架下，刑法立法本有三種可選視角。我國明確排除了以物為基點的立法策略，不包括以物理破壞方式對設備進行的犯罪，強調其虛擬化特征，是只能在計算機空間所實施的犯罪。[注]參見于志剛：《計算機犯罪的定義及相關概念辨析》，載《網絡技術安全與應用》2001年第4期。在系統與數據中我國選擇系統視角，確切地說，是包括以計算能力為主要視角、兼有物理設備隱形視角、不徹底數據視角的混合視角，這從《刑法》第286條第1款、第2款及《計算機系統解釋》第4條體現出的規范結構可以看出。[注]見本文二(三)2、(1)部分。對比之下，德國計算機刑法選擇數據視角，未排除物理視角，同時存在第303a第(1)款、303b第(1)款第1項和第2項規定的虛擬侵害行為，和303b第(1)第3項規定的物理侵害行為。就虛擬侵害行為來看，德國刑法計算機犯罪基本條文202a、202b、303a、303b，構成要件的行為對象是統一的“數據”，“數據”定義統一規定在202a中。[注]參見于志剛、李源粒：《大數據時代數據犯罪的類型化與制裁思路》，載《政治與法律》2016年第9期。

2.需要補充數據視角。將網絡資源作為能量來看，即一種信息能量，是基于數據處理和傳輸所產生的信息性質的能量和資源，數據處理、存儲、傳輸與物質終端設備的綁定越來越不必要。破壞計算機信息系統罪的網絡化轉型必須補充數據視角。刑法規范以信息安全模型作為現實基底。

(1)信息安全模型。CIA-triad模型起源可追溯至1975年，Saltzer和Schroeder總結了當時安全專家區分出來的三類信息安全威脅，即未經授權的信息泄露、信息修改和拒絕使用，形成于1986-1987年間。[注]參見Yulia Cherdantsevay, Jeremy Hilton, “A Reference Model of Information Assurance & Security”， IEEE proceedings of ARES 2013, SecOnt workshop (2-6 September, 2013, Regensburg, Germany).刑法計算機犯罪的虛擬法益也以此為模型，因此核心計算機犯罪被稱為CIA犯罪。但CIA模型已不能應對日益變化的環境，[注]參見M. Whitman, and H. Mattord, “Principles of Information Security”, 4th ed., Cengage Learning, 2012，P.8.此后信息安全模型經歷一系列發展。2013年提出的RMIAS模型(如圖1)在范圍上擴展了CIA Triad模型。其一是基于信息安全本身包括了更多的社會、商業、犯罪等維度，其二則是因為發生了從封閉的孤立的IT環境到開放的互聯的網絡環境的轉變(即去邊界化，de-perimeterisation)。[注]同⑤。

圖1：RMIAS模型

(2)網絡信息安全模型?！熬W絡化”轉型的數據層面上需形成以信息安全為主線的網絡信息安全規范體系。CIA模型只確定機密性、完整性、可靠性三種信息安全目標，為計算機刑法基本規范的法益。RMIAS模型下這一安全目標被明確擴展，對CIA犯罪的“網絡化”以信息安全為視角，規范法益需有所擴展。此外，RMIAS模型將信息安全視為一個完整生命周期，信息安全目標與信息分類學、信息安全措施是動態統一的整體，可引出新的規范要素。具體來說，向前，信息安全目標中的信息依據信息類型學可為構成要件中行為對象描述提供實在層面依據。我國《刑法》第285條、124條行為模式中對數據的規范描述為“計算機信息系統、電信網計算機信息系統、廣播電視設備系統中”的“存儲、處理或者傳輸的數據或者應用程序”，采用位置和狀態數據類型標準。德國計算機刑法中的數據概念指非暫時存儲的電磁記錄，[注]參見NK/Kinderh?user/Neumann/Paeffgen(Hrsg.), 5. Auflage, Nomos, 2017, Vor § 202a, Rn 4; MK-StGB, 3. Auflage, 2017, Verlag C.H.Beck 2003, § 202a, Rn 10，14; SK-StGB, 8. Auflage, Carl Heymanns Verlag 2012, § 202a, Rn 4.是從狀態標準定義。向后，信息安全目標以相應信息措施來保障，反之則意味著對信息措施的破壞構成對信息安全目標的危險或侵害，可為構成要件中危險或侵害行為提供現實參考。

3.網絡刑法的數據視角。計算機犯罪中數據對象描述主要依據信息類型學標準，無論是狀態標準還是位置標準，都有本地、系統的隱形影響，而安全措施中提取的數據安全要素更體現為信息安全本身。

對傳統電腦間諜行為，我國《刑法》第285條的“侵入+非法獲取”、《德國刑法》第202a條的“非法獲得數據利用”，都是針對“無權限”特征，[注]參見于志剛、李源粒：《大數據時代數據犯罪的類型化與制裁思路》，載《政治與法律》2016年第9期。這對于有著明確邊界和訪問機制的計算機系統來說是信息安全的重要要素。而網絡監聽意義上的間諜行為則更為側重“非公開”特征。認證措施在物聯網、智慧城市的網絡環境下格外重要。物聯網中的RFID標簽利用無線射頻方式在讀寫器和電子標簽之間進行非接觸雙向數據傳輸，以達到目標識別和數據交換的目的，不可見和不可控性導致重大安全隱患。[注]參見李欲曉：《物聯網安全相關法律問題研究》，載《法學論壇》2014年第6期。訪問控制機制是信息系統中敏感信息保護的核心。[注]參見工信部：《中國智慧城市白皮書2013》，第24頁。所凸顯的幾個網絡信息安全要素為 “認證”、“加密”、“識別”、“授權”。

(二)網絡刑法立法的重心轉換

系統與網絡的結構中計算機刑法突出體現著以物理設備為行為對象的系統限定思路。規范重心轉換是由系統運行安全向網絡運行安全的轉向。

1.突破隱性的物質設備限定思路。雖然在立法思路上否定“物質設備”視角，但司法解釋中隱性地保留著一種“以物質設備限定網絡安全法益保護”的規范設置思路。《計算機系統解釋》第11條對“計算機信息系統概念”做擴張解釋來將智能手機終端納入概念之中。在“網絡化”轉型中應突破以物理設備為規范完善落腳點的路徑。

2.對網絡運行安全保護的轉向。以計算機系統安全和以網絡運行安全為導向的現實基底模型不同。應重新檢視網絡刑法的現實基底模型，以網絡思維進行規范重構。

(1)計算機系統安全。Jonsson從信息安全可靠性和安全概念的相互交織的本質出發，提出一個完整的“系統輸入—輸出模型”。[注]M. Whitman, and H. Mattord, “Principles of Information Security”, 4th ed., Cengage Learning, 2012，P.8.計算機信息處理分為數據輸入、數據處理和數據輸出，對數據不同的行為方式可以分為電腦操縱、電腦破壞、電腦間諜。[注]參見Ulrich Sieber, Computerkriminalit?t und Strafrecht, Heymanns Verlag KG, 1977, S. 39.這也成為電腦特質論下計算機系統安全刑法規范的基本參考模型。

(2)網絡運行安全。以系統安全為基本模型的計算機刑法規范中的CIA法益缺少網絡運行安全的維度，往往以“大范圍的計算機安全”、“重要計算機安全”代替應有的以網絡運行安全本身為對象的保護。雖承認僵尸網絡的危害性除了計算機信息系統功能侵害，木馬侵入者對計算機終端控制關系背后代表的是對網絡資源的非排他性的非法使用，[注]參見于志剛：《網絡犯罪與中國刑法應對》，載《中國社會科學》2010年第3期；參見于志剛：《傳統犯罪的網絡異化研究》，中國檢察出版社2010年版，第188頁。但我國刑法采用“O-R”混合模式，規范描述中以復合行為對象概念跳過法益，以隱性路徑替代網絡運行安全的明確保護。計算機系統限定思路在德國刑法中體現得更為明顯。固囿于比照物的損毀而設立的“計算機損毀”的框架，《德國刑法》第303b條將DDoS攻擊僅僅作為“大規模的DoS攻擊”。德國在2007年再次修改計算機刑法，第303a條制裁的是由此而實施的拒絕服務攻擊(DoS-Angriff)，DDoS攻擊就是以更多計算機組織發起的DoS攻擊。[注]參見J?rg Eisele, Computer- und Medienstrafrecht, Verlag C.H.Beck, 2013, S.57、58、62.

3.網絡運行安全的內容。網絡運行安全應作為新的虛擬法益維度來考量。從語言層面看，將信息作為過程，德文中信息Information來自于動詞“ informieren”或者“Informiert werden”或者“sich Informieren”， 即通信是通信載體和媒介所實現的動態的信息過程。[注]參見Michael Kloepfer, Informationsrecht, Verlag C.H.Beck München 2002, S. 27.從技術層面看，動態的計算機安全指計算機的硬件、軟件和數據[注]邏輯安全包括信息的完整性、機密性、可用性，也即CIA。受到保護，系統連續正常運行；通信網絡安全的主要內容包括網絡系統中的硬件、軟件及其數據和數據的傳輸不受破壞、更改、泄露，系統連續可靠地正常運行，網絡服務不中斷。[注]參見王景中、徐小青編著：《計算機通信信息安全技術》，北京：清華大學出版社2006年版，第4-6頁。從價值評價層面看，無論是從受影響的不特定多數人的特征來看，還是從公眾的正常生活受影響的嚴重程度或者對現實法益的危害危險來看，嚴重網絡攻擊所造成的大范圍網絡癱瘓事件都已危害公共安全。[注]參見于志剛：《網絡安全對公共安全、國家安全的嵌入態勢和應對策略》，載《法學論壇》2014年第6期。從具體內容上看，網絡運行安全可以分為進行數據傳輸處理、協同生產的通信基礎設施，以及能夠提供存儲空間、計算能力和可應用服務的網絡資源。

四、網絡刑法規范設置的結構透視

實現“網絡化”轉型需落實到網絡刑法規范設置上，應從規范結構上透視立法技術。數據層面的網絡刑法規范可考慮結合新的信息安全模型擴展經典計算機犯罪的行為模式。網絡運行層面則可從行為模式與法益和行為對象混合模式兩種路徑入手進行體系化統整。

(一)破壞計算機信息系統罪的基本結構

刑法立法技術使刑法規范呈現出三種不同構造。一是將法益作為構成要件描述，且與行為對象相同，這是形式與內容上的同一，如詐騙罪構成要件中“財產”作為法益和行為對象；二是只具有內容上的同一，如殺人犯罪所針對的法益是“人的生命”，而行為對象則是“人”；三是形式和內容上的同一都不具備。[注]參見Roland Hefendehl, Kollektive Rechtsgüter im Strafrecht, Carl Heymanns Verlag KG, K?ln, Berlin, B?nn, München: 2002, S. 40.單一或雙重錯位在傳統刑法規范和現代刑法規范中都存在。計算機和網絡虛擬法益的特質決定了網絡刑法的刑法規范設置是第三種構造。

雙錯位結構決定了破壞計算機信息系統罪的基本結構以行為模式為更優，因其齊備了各規范要素和規范要素間結構。行為模式是一種清晰正當而具有容納彈性的規范模型，特別是對于計算機犯罪“網絡化”轉型中的網絡數據安全問題，能夠準確尋得規范完善的特定單一要素。智能網絡中的物聯網、智慧家居等零碎智能終端的網絡安全問題、個人信息安全問題，都能結合RMIAS信息安全模型，通過行為模式中的“信息”對象和行為的調整，形成單獨的數據犯罪規范。

(二)網絡運行安全犯罪的立法技術

德國的行為模式立法以數據和物理設備為視角，局限于系統CIA法益而拒絕將網絡運行安全作為虛擬法益的維度，對公用電信網絡通信的保護，以“對計算機和網絡的依賴性”為連接點，放在結果加重體系中。以303b條中行為對造成損害的意圖為基礎構建不法，將所有攻擊行為都置于一個構成要件中整合和簡化，形成統一基本條文以及結果加重體系。[注]參見Ulrich Sieber, Straftaten und Strafverfolgung im Internet, Verlag C.H.Beck, 2012, S. 89.這樣，其規范模式就進一步體現出“H+O”的結構來，但特別強調了法益，同時結果加重體系則體現出法益和法益關聯性的多種可能連接，即“交織和貫穿性的嵌入態勢”。整體上， 規范全部結構如下。

我國刑法破壞計算機信息系統罪規范結構模糊，但實質上確認了CIA法益；對于網絡資源法益維度在“O-R”混合模式下以復合行為對象概念跳過法益，但實質上是隱性保護路徑?！稕Q定》和《網絡安全法》中確定“網絡安全”概念，都實質上確認了網絡運行安全為虛擬法益的一個維度。網絡運行安全的規范可以以數據作為行為對象要素?！毒W絡安全法》第76條規定的“網絡安全”概念包含了兩個層面。一是網絡安全即“網絡穩定可靠運行的狀態”，反向表述也即“防止對網絡的攻擊、侵入、干擾、破壞和非法使用”；二是網絡安全與數據安全的彼此依存的關系。因此，在規范結構上，行為模式中以數據作為行為對象的“H+O”的規范結構，適用于網絡運行安全保護的條文，是恰當的。

從整體上網絡刑法的體系化來看，以我國《刑法》第286條第2款和第124條的兩個司法解釋為代表的行為模式，實際上同時體現了破壞計算機信息系統罪“網絡化”轉型的一個結構。第286第2款立足于計算機虛擬法益；第124條以廣播電視、電信網絡中的數據和應用程序作為法益對象，立足于網絡基礎設施安全。第124條的兩個司法解釋在行為模式的延長上后綴了“規范關鍵詞”解釋，實現對特別規范法益的保護。與《德國刑法》第303b條相比，我國刑法的計算機刑法基本條文第286條沒有形成立足于虛擬法益而以此擴展的結果加重體系，而是直接在對應條文124條中“改造”了依賴計算機系統功能和網絡運行安全的公共安全的刑法條文，形成了新的立足于網絡安全同時也是公共安全的刑法規范。因此，這是在第286條的行為模式基礎上的兩個新的規范下依照行為模式的“推演”，如下。

計算機信息系統安全和網絡運行安全涉及諸多重要法益，這種 “網絡化”轉型中的“推演”若結合法益和行為對象混合模式，可以形成新的規范結構，用以對特定重要領域的系統、信息、網絡安全進行保護。 O-R結構的復合行為對象概念的滯后性主要在于未確定虛擬法益而直接跳到依據法益關聯性層面、以系統而非數據作為行為對象。因此，首先應填補上法益這個規范基點，作為已有規范解釋、新的復合概念正當性的實質基礎，形成網絡安全、同時也是公共安全和國家安全的規范法益保護目標。此外，在網絡刑法規范的基本結構具有足夠完整性和正當性的前提下，針對重要信息物理系統形成必要的統一“O-R”概念，即關鍵信息基礎設施。其結構推演如下。

對應的規范可作為例證?！毒W絡安全法》第31條規定了“關鍵信息基礎設施”的概念，即國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，并要求對其實行重點保護。歐盟2013年出臺了打擊針對關鍵基礎信息設施犯罪的指令，[注]參見歐盟指令Directive 2013/40/EC。指令第9條整體上規定了前3-7條各種行為的處罰，包括多種結果加重情形，體現了德國行為模式和結果加重體系；而第9條第4款對5年以上處罰的第(3)項，則規定為對“關鍵信息系統”的攻擊，這又體現了復合概念模式。

綜上，網絡運行安全保護的體系化技術有立足于虛擬CIA法益增加結果加重體系，和立足于行為模式的具體推演及重點規范設置兩種路徑。兩種路徑都采用數據視角。在網絡刑法的體系化上，德國路徑非常體系化，結構清晰，但缺乏網絡運行安全的法益維度；推演和重點概念創設路徑則可以充分發掘行為模式的彈性，容納網絡安全與公共安全、國家安全的“嵌入態勢”，較為符合我國網絡刑法體系的內生邏輯。