现有规则本身不完善

2026年03月16日

版权

一、现有规则本身不完善

法律通常都包含多个法条，但是，它们未必都是完整的法条（即完全法条）。事实上，无论是国际法还是国内法中的单个法条通常都是不完全法条，同一文本中的法条之间相互结合才构成完全法条。不完全法条主要分为：说明性法条、限制性法条、指示参照性法条、作为指示参照的法条拟制。其中，说明性法条又包括两类：描述性法条详细描述应用于其他法条的概念或类型，是针对构成要件要素所作出的规定；填补性法条在考量不同的案件形态下，将一般用于特殊化或更进一步充实其内容，大多对法效果作进一步的规定。限制性法条是为应对法条的构成要件规定得太宽泛而产生的，包含消极性适用规定（即不适用）。指示参照性法条则是包含构成要件的法条在其构成要件指示下所参照的法条。作为指示参照的法定拟制的目标通常在于将针对一构成要件所作的规定，适用于另一构成要件。^[2]由此可见，无论何种不完全法条均与构成要件密不可分。有学者就指出：“犯罪构成要件就是犯罪的全部成立条件，行为只有符合犯罪构成要件才成立犯罪。”^[3]

事实上，犯罪构成作为法律规定，对刑事司法具有特别重要的意义：它为区分罪与非罪、此罪与彼罪、一罪与数罪、重罪与轻罪提供了法律标准和法律依据。^[4]打击跨国网络犯罪国际公约中的罪名至少应确定相关罪名的犯罪构成要件。虽然目前大陆法系、英美法系及我国的犯罪构成要件理论对犯罪构成的要件尚未达成一致意见，但是，通过对比不难发现不同的理论对于犯罪构成要件中的主要要素的规定大致相同。如美国国际刑法学家巴西奥尼（Mahmoud Cherif Bassiouni）教授的观点就与中国的刑法理论的通说大致相同。巴西奥尼在其《国际刑法·国际刑法典草案》一书中认为国际犯罪包括四要素：实质要件、心理要件、因果要件、危害结果要件。其中实质要件指犯罪危害行为等，心理要件又称主观要件，因果要件指危害性和危害结果之间的因果关系。^[5]我国学界有两种不同的观点：以张明楷教授为代表的学者推崇苏俄的四要素说，一般认为犯罪主体、犯罪的主观方面（犯罪目的、动机、故意或过失）、犯罪客体（犯罪对象、所侵害的法益）、犯罪客观方面（包括危害行为、行为方式、行为的危害后果及行为和后果的因果关系）是犯罪的基本构成要件。^[6]而以陈兴良为代表的学者则推崇德日犯罪的三阶层体系，认为犯罪的认定应对犯罪构成要件的该当性、违法性和有责性进行评价：构成要件的该当性是事实评价，它由客观构成要件和主观构成要件两部分组成，前者包括行为人、行为、结果、因果关系等要素，后者包括故意、过失、不法意图等要素；违法性是法律评价，它可分为实质违法性与形式违法性，实质违法性由法益和法益侵害性要素构成，形式违法性包含违法阻却事由的判断内容，一旦出现违法阻却事由就排除其形式违法性，当然也排除其实质违法性；有责性是主观评价，它由责任能力、违法性认识和违法可能性意识以及期待可能性等要素组成。^[7]上述三种观点的区别在于主体和客体要素是否属于犯罪主要构成要件，张明楷教授显然主张应具备这些要件，而巴西奥尼和陈兴良则倾向于跳过主体和客体进行研究。^[8]由于国际法受到西方法律思想影响较深，传统国际法领域中的主要公约也基本不对主体和客体进行说明，可以说目前的国际公约的条款设计更切合三阶层理论，因此，本文的研究主要建立在三阶层理论的基础上。不过，目前上述区域性打击跨国网络犯罪国际公约的实体刑法规则明确涉及的多仅有该当性中的主观方面，即规定犯罪应是故意且未经授权；不完全涉及该当性中的客观方面，仅涉及危害行为、行为方式，基本不涉及危害后果、行为和后果间的因果关系；多仅涉及违法性中的实质性违法而不完全涉及形式违法性；基本未涉及有责性的问题，尤其是特殊主体的责任问题。需要指出的是，由于违法性判断尤其是形式违法性的判断及一般主体的责任问题国内法都有相应立法予以专门的规定，在国际公约中不明确规定并不会对打击犯罪造成阻碍，因此，本文的研究主要侧重于对犯罪后果缺失可能产生的问题及特殊主体的追责问题。另外，如果某一犯罪不是行为犯，构成一项犯罪还要求一定的情节（如损失或危害扩大）等，上述立法对于情节等的规定或相当简略或直接缺失，本文也对犯罪情节作一定的探讨。

虽然国内法和国际法上并不要求所有单个的法条本身均是完全法条，但国内法上的一般做法是单个不完全法条基本都能够通过指向该法的其他条款或其他立法成为完全法条，国际法上的常见做法是对相关罪名的犯罪构成要件进行概括规定（并非每一条均是完全法条），并在公约上下文中或公约其他条款中概括地规定完善罪名构成要件的方向或方法。例如，《联合国反腐败公约》中的部分罪名本身也不是完全法条，第18条第1款就仅规定了犯罪的主观方面（故意）、客观方面（滥用影响力的行为）中的个别要素；但是，我们或可从公约的其他条款中找到其他缺失的犯罪构成要件，或可根据公约其他条款的指引找出完善犯罪构成要件的方向和方法，公约第28条就规定了确定犯罪主观方面的方法。^[9]又如，《联合国打击跨国有组织犯罪公约》中也存在很多不完全法条，但是，通读公约全文，基本能够确定几乎所有罪名条款的犯罪构成要件。也就是说，单个条款本身不是完全法条在国内法和国际法上都不是问题，但问题在于，能否根据包含该条款的法律完善该条款的犯罪构成要件或为完善之确定方向和方法。由此，本书所称的现有打击跨国网络犯罪国际公约实体法罪名条款的不完善也主要在于根据这些立法的上下文很难完善部分罪名的犯罪构成要件。例如，原则上《布达佩斯公约》第4条可用于规制网络恐怖主义犯罪（如可用于规制通过操控航空运输系统影响飞行安全的网络恐怖行为），而事实上该条款很难指导具体的打击网络恐怖主义实践，原因固然是多方面的，如该条并非专门针对网络恐怖主义犯罪的，网络恐怖主义的表现形式多样且对某些犯罪是不是网络恐怖主义存在分歧，但条款规定的不完善是其中的一个根本性问题。^[10]虽然目前并没有具体的案例证明由于现有打击跨国网络犯罪国际公约条款的不完善而造成实际的危害，但是，其他领域实施良好的国际公约的实践表明，比较完善的罪名条款有利于规制特定的犯罪。例如，上述《联合国反腐败公约》对预防腐败、反腐败国际合作、非法资产追缴等问题进行了法律上的规范，为全世界的反腐败事业提供了基本的法律准则和行动指引；^[11]这在很大程度上得益于该公约规定了较为完善的罪名条款，该公约下的罪名不仅犯罪构成要件较为完整（条款本身较为完整或根据上下文能确定较完整的犯罪构成要件），还包含了起诉、审判和制裁犯罪时关于犯罪严重程度的考量（第30条），为预防犯罪缔约方应采取的措施（第14条）等。因此，为使现有打击跨国网络犯罪国际公约更好地适用于实践，依托罪名条款理论分析现有打击跨国网络犯罪国际公约的不足并在此基础上提出完善它们的方向不失为一个方法。

其一，现有区域性打击跨国网络犯罪国际公约通常未规定必要的犯罪后果和一定的犯罪情节。《布达佩斯公约》涵盖的跨国网络犯罪形式较广，在实体刑法部分就列明了9种形式的跨国网络犯罪，而且在其程序规则中，又纳入了涉及电子证据调查的犯罪。然而，在这些犯罪中，该公约仅在其第2条、第6条、第7条、第8条规定了特定的犯罪目的，而且除第5条将“严重阻碍计算机系统功能”作为犯罪后果外，均没有对犯罪后果及一定的犯罪情节进行概括或基础性的描述。^[12]《阿拉伯公约》与《布达佩斯公约》的实体法在较大程度上重合。尽管用语不尽相同，《阿拉伯公约》所涵盖的内容和犯罪构成要件与《布达佩斯公约》基本相同，前法除第6条非法访问罪比后法有所发展外（除将非法访问信息技术定为犯罪外，还规定了加重情节，这是后法所没有的），其他八类罪名的具体规定均不及后法详尽。^[13]但是，《阿拉伯公约》与《布达佩斯公约》一样也存在缺失犯罪后果和犯罪情节的问题。《非盟公约》实体刑法部分包括一系列犯罪，具体分为两大类：针对信息和通信技术的犯罪、实施特定的信息和通信技术犯罪。虽然该公约的罪名设置、法人责任和制裁措施均与《布达佩斯公约》类似，但是，它的罪名条款更加具体，所涉及的部分罪名所涵盖的内容比后法更加丰富。以非法访问为例，公约第29条第1款第a项、第b项对非法访问进行了详细规定。第29条第1款第a项对非法访问进行了区分，包括两类：一是访问或试图非法访问整个计算机系统或其任何部分；二是超越授权范围进行访问。第29条第1款第b项对非法访问的动机进行了规定：带有前项犯罪目的，或有促进或帮助实施这一罪行的目的。^[14]然而，遗憾的是该公约也存在缺失相应犯罪后果、犯罪情节的问题——部分罪名条款中未对犯罪后果作出规定。例如，公约第29条第2款第c项仅规定故意使用以欺诈手段获取的计算机数据等构成破坏计算机数据罪，未对小范围的自用和公开大范围的供他人使用及使用的后果作出必要的说明。《西经体指令》与上述几项公约存在类似问题。该指令包括一系列犯罪，具体分为两大类：一是与信息及通信技术相关的特殊罪行，二是包含传统罪行的信息和通信技术犯罪。虽然该指令实体刑法与《布达佩斯公约》类似，但是，罪名条款更加具体，涉及的部分罪名内容更加丰富。^[15]例如，仅就儿童色情犯罪，该指令就设置了一系列包括生产儿童色情或色情表达，进出口生产儿童色情或色情表达，持有儿童色情或色情表达，便利青少年获取色情、文件、声音或色情表达等具体罪名。^[16]然而，遗憾的是，该指令也缺失相应犯罪后果的规定。

另外两项公约在犯罪后果的规定上问题不明显但基本未涉及任何犯罪情节。《独联体国家协定》第3条“犯罪行为”对该协定下的跨国网络犯罪行为进行了规定。总体来看，协定下的跨国网络犯罪分为非法访问、滥用装置、干扰计算机数据和侵犯版权4类，该条对于这4类犯罪的犯罪客体（包括犯罪对象）、危害行为、犯罪的主观方面均有规定。另外，该条虽然对这4类犯罪的后果的规定不尽相同，但其中3类罪名均有犯罪后果的描述：对非法访问的后果进行了陈述，即“导致信息的毁坏、阻滞、更改或复制，或导致计算机、计算机系统或相关网络的中断”；对干扰计算机数据和侵犯版权均规定了“严重后果”或“重大损失”。对滥用装置虽然并未设定后果，但规定了3种犯罪方法即“创建、使用或分销恶意软件”以对该罪进行限定。^[17]由此，该协定在犯罪后果的规定上问题不明显。《上合组织协定》本身并未规定具体的罪名，但其附件2对信息犯罪进行了描述：“该威胁根源：恐怖组织或参加恐怖活动的个人，利用或针对信息资源进行非法活动。其威胁特征：恐怖组织利用信息网络实施恐怖活动，吸收新成员；破坏信息资源，导致社会秩序混乱；控制或封锁大众传媒渠道；利用互联网或其他信息网络散布恐怖主义言论，制造社会恐怖和恐慌，以及对信息资源造成其他负面影响。”^[18]据此，该协定对信息犯罪的犯罪客体（信息资源安全和信息自由受阻）、危害行为（带有犯罪目的非法使用）、行为人（个人或组织）、犯罪后果（造成混乱、恐慌等）进行了统一的说明。

虽然罪行（犯罪的客观方面）和罪过（犯罪的主观方面）是犯罪的主要构成要件，对犯罪后果和犯罪情节的详细规定主要是国内法的职责，但是，某些犯罪确实需要具有一定的后果及情节才能构成犯罪，换句话说，某些情况下犯罪后果及犯罪情节的缺失可能使得部分罪名的罪与非罪、轻罪与重罪界限模糊。例如，根据《布达佩斯公约》第3条的规定未经授权而故意通过技术手段对非公共传输的计算机数据的拦截构成非法拦截罪，如果此拦截是短暂的，由于拦截时间仅在毫秒之间受害者完全未注意到也并未造成任何损害后果，是否也构成该罪？如果构成是否能从轻处罚？又如，《阿拉伯公约》规定通过任何技术手段故意非法拦截运行中的数据和中断传输或接收信息技术数据的构成非法拦截罪，^[19]由于缺失必要的犯罪后果和犯罪情节的规定，该条的适用存在一定的问题——非法接收信息但不影响受害人使用是否必然构成该罪？非法拦截公共信息和个人信息在定罪和量刑上是否应有所区别？(https://www.daowen.com)

其二，多数现有区域性打击跨国网络犯罪国际公约均忽视了有责性问题，尤其是特殊主体的有责性判断问题。^[20]现有区域性打击跨国网络犯罪国际公约基本未对以官方身份实施某些犯罪的处于特殊地位的国家官员的定罪问题进行专门的规定。根据《布达佩斯公约》现有的规定很难确定这部分实体是否对公约下的犯罪负责，如果他们应对公约下的跨国网络犯罪负责也无法确定追究他们的刑事责任是否与一般自然人遵循同样的程序规则。因为通过对公约下的各个罪名和其他领域类似罪名的对比及公约第16条的分析仅可知，公约下的跨国网络犯罪责任主体包括自然人和法人。^[21]由于《布达佩斯公约》大多条文基本的表达结构为“某行为是未经授权故意进行……”，这种未明确犯罪主体的表述不能当然地理解为公约适用于任何自然人和法人实施的行为，由此，以官方身份实施某些犯罪的处于特殊地位的国家官员能否成为跨国网络犯罪责任主体及如何追责就是个问题。《阿拉伯公约》也存在相同的问题。通观整个文本，除第20条“自然人和法人的刑事责任”明确了本公约下的责任主体是自然人和法人外，《阿拉伯公约》并未涉及其他责任主体。因此，它也遗留了上述以官方身份实施犯罪的国家官员能否构成本公约下的法人责任外的其他犯罪责任的主体问题。需要指出的是，《阿拉伯公约》增加了侵犯隐私犯罪、与恐怖主义相关的信息技术手段犯罪、通过信息技术手段实施的有组织犯罪和非法使用电子支付工具四项罪名。这些是《布达佩斯公约》所没有明确规定的罪名，但遗憾的是，该公约同样未对这四项罪名的犯罪后果、情节和主体等进行较为明确的规定。根据该公约的相关罪名（如侵犯财产罪等）可以确定自然人是《非盟公约》的网络犯罪责任主体之一；根据该公约第30条第2项的规定，“非盟成员国应采取必要的立法措施以保障除国家、地方政府和公共机构外的法人实体对由代表它们的机构或其代表实施的本公约下的罪行负责”，^[22]可以明确法人是本公约下确定的跨国网络犯罪责任主体，对由它们的机构或其代表实施的本公约下的罪行负责；国家、地方政府和公共机构不是法人责任的主体。一方面，该条规定本身存在一定的问题，因为国家、地方政府和公共机构本身就不是严格意义上的法人，它们通常也不被称为法人。另一方面，该规定也引发了另外一个问题，即代表这些法人实体行为的、以官方身份实施犯罪的国家官员是否应对本公约下的责任负责？在责任问题上，《西经体指令》与《非盟公约》存在的问题基本一样，其第27条“法人实体而非公共实体的责任”指出，“任何除国家、地方政府和公共机构外的法人实体应对由代表它们的机构为它们利益而实施的本指令下的罪行负责”，显然，它也存在代表国家、地方政府和公共机构的，以官方身份实施犯罪的国家官员是否对本公约下网络犯罪负责的问题。通过对《独联体国家协定》的分析，我们也很难推知这些犯罪的责任主体究竟有哪些。综观整个文本，我们也无法找到任何与犯罪责任主体相关的规定。换句话说，该指令对责任主体只字不提。《上合组织协定》的规定过于宽泛，不仅缺乏对犯罪后果的规定，也缺失对危害行为、犯罪主体等的必要规定。例如，协定的犯罪主体是个人和组织，通常我们所指的个人是生物意义上的人，而事实上根据《牛津高阶英汉双解词典》的释义，个人（individual）一词的基本意思是指区别于团体的人，而《元照英美法词典》对个人的释义有所扩大，“区别于团体和阶级的单个人，也区别于合伙、法人或社团，指私人或自然人。但在一定场合下，也指拟制的人”。^[23]据此，个人一词不必然涵盖拟制的人，协定是否能涵盖法人亦难以确定。组织（organization）一词含义更为宽泛，《元照英美法词典》将它解释为“个人或依法联合形成的团体”，《牛津高阶英汉双解词典》的释义是“为达成某一特定目标，由个人组成的组织、团体或机构”。^[24]据此，国际组织（International organization）似可归于协定管辖之下。但是，代表国家的、以官方身份实施犯罪的国家官员是否为本协定下的责任主体仍很不明朗。

与国内法不同，除个别国际刑事公约如《罗马公约》等外，国际法一般不会对一般主体的责任能力、违法性认识和违法可能性意识以及期待可能性等进行专门的规定；^[25]但是，考虑到跨国网络犯罪的势头迅猛，产生的影响往往是国际化的，与特殊主体的刑事责任相关的问题应受到一定的关注，有必要以跨国网络犯罪构成要件为基础对这些问题进行进一步的深入研究，这或许还能够为传统国际法上这个由于主体身份的特殊性而长期悬而未决的问题提供一个契机。一般来说，犯罪责任主体的范围比较明确，包括自然人和法人（或称单位），此外还存在一些特殊主体。在特殊的主体中，国际社会普遍认同国家元首、政府首脑和外交部部长享有外国刑事管辖豁免；^[26]1961年《维也纳外交关系公约》、1963年《维也纳领事关系公约》和1969年《特别使团公约》分别规定了相应的外交、领事及特别使团成员的特权和豁免，因此这几类人员在他们执行职务期间也享有相应的外国刑事管辖豁免，对于他们的责任问题自然不必花费太多笔墨专门探讨。而其他以官方身份实施犯罪的国家官员，如国家元首、政府首脑和外交部部长以外的国家高级官员包括国防部长、国家安全机关首脑等能否享有外国刑事管辖豁免在国际法上并不存在一个统一的做法：虽然国际法委员会通过的条款草案第2（e）条对国家官员作出定义，即“代表国家或行使国家职能的任何个人”，^[27]但草案仍处于协商阶段，并未得到国际社会的普遍认同。不过，中国对此表示支持：中国在参加第69届联大六委关于“国际法委员会第66届会议工作报告”议题的发言中指出：“除国家元首、政府首脑、外交部部长外，议长、副总理、政府部长等其他一些高级官员，越来越多地参与国际交往并直接代表国家履行职能，也应享有属人豁免。”^[28]但是，应如何理解“代表国家履行职能”呢？如果他们以代表国家职能为契机实施具有违法性的行为是否应受处罚呢？本书关注的正是他们是否当然地成为跨国网络犯罪的责任主体，如果是，如何既尊重他们的属人豁免，又保障有效追究他们的刑事责任。

现有区域性打击跨国网络犯罪国际公约对以官方身份实施某些犯罪的国家官员能否成为网络犯罪责任的主体均未明确规定，这在某种程度上可能影响特殊主体的刑事责任的追究。进入网络3.0时代，大数据、云计算、移动互联网和物联网等的使用使网络安全风险增加：既有来自传统网络的安全风险，也有来自电信网络、手机移动网络终端的风险；既包括传统的技术性风险，也包括新的内容性风险和数据性风险；同时安全风险开始更多地表现为一种跨地域、跨国境的安全风险，一国网络安全的威胁源很可能来自其他国家，别国国家高级官员操纵的网络安全事件或跨国网络犯罪事件时有发生，如何处理就成为问题。^[29]“斯诺登事件”的出现震惊了国际社会，但它并非偶然；^[30]实际上，各国授意下国家官员授权相应人员或组织对他国公民信息等进行非法收集、非法侵入计算机系统等问题相当严重；^[31]但是，由于其严重性程度或实施的范围不及“斯诺登事件”深广，而且很多国家都在不同程度地借助国家官员实施此类行为，对于这些主体的责任追究问题未引起应有的关注，国际法也很难有效规制这些行为。通常情况下，这种罪行被视为网络间谍活动，而目前一般认为和平时期各国的间谍活动不违反国际法。但是，从事间谍活动的方法可能违反国际法，而且这些方法产生的溢出效应可能超出网络间谍活动本身，如由于间谍活动而引发他国信息基础设施丧失功能等。^[32]由此，有必要对此进行规制。加之，由于跨国网络犯罪往往是跨国性的，危害也往往超越一国范围波及多个国家，这些主体实施的网络犯罪又往往针对的是网络3.0时代备受关注而且意义重大的信息、数据等，对这些主体的追责似乎比传统国际犯罪更迫切；^[33]而此类主体操控实施的跨国网络犯罪又由于主体身份的特殊性，往往因主张享有外国刑事管辖豁免或专属管辖而落入国内法程序，从而无法有效追究他们的刑事责任。有效和全面地打击跨国网络犯罪当然应包括追究这些犯罪主体的责任，尽管由于上述原因他们的追责问题可能存在较大障碍，但考虑到这些问题确实存在，本书认为有必要对这些主体的责任进行深入探讨。

其三，部分现有区域性打击跨国网络犯罪国际公约罪名条款的规定还引发了它们自身与国内法的优先性问题。《布达佩斯公约》实体刑法部分的罪名条款不仅存在上述问题，且大部分条款中均对缔约方将这些规定转化为国内法作了规定，这些规定相当原则性甚至规定“缔约方可以保留……权利”。这种将公约条款转化为国内法时相对松散的要求和罪名条款犯罪构成要素的不完备一起，使缔约方在将这些规定转化为国内法时，有着过大的自主解释的空间；这会造成各国表面上依公约规定达成了共识，实质上在国内法层面依旧各行其是，最终背离公约所追求的形成共同刑事政策的宗旨。^[34]《独联体国家协定》中规定的罪名条款非常少，仅包括非法访问、滥用装置、干扰计算机数据和侵犯版权四类；而且所涉四类罪名转换为国内法后如何适用也存在较大的问题。协定第2条第1款规定，“各方应当依照本协定、国内立法和其他各缔约方作为成员国的国际文书相互合作”，从此款很难看出协定与各国国内法谁优先的问题；该条第2款规定，“各方为了实施本协定的规定应采取可能必要的组织和立法措施”，据此可知，协定优先于国内法。但是，协定与缔约方参与的其他国际文书之间的优先性问题仍未得到解决。