楊春然
(中國石油大學(xué) 文法學(xué)院,山東青島 266580)
隨著計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用,很多國家的刑法都引入了傳統(tǒng)的侵入禁止規(guī)范來控制計算機的濫用,我國刑法第285條的規(guī)定就是適例。然而,這種刑法禁止適用于現(xiàn)實時,存在著很多的問題。
案例1,某雜志社在網(wǎng)站上推出了一項服務(wù),即用戶登錄該網(wǎng)站,可以免費瀏覽10篇文章。如想繼續(xù)閱讀,必須付費訂閱。否則,該網(wǎng)站就會根據(jù)用戶以前的訪問留下的cookies,自動拒絕其請求。而行為人甲卻通過及時清除自己電腦中的cookies的方式,長期無償享用該網(wǎng)站的服務(wù)。
案例2,乙經(jīng)常登錄某網(wǎng)站收集信息。網(wǎng)站得知后,發(fā)函制止,并查封了其IP地址。(1)參見Craigslist Inc. v. 3Taps Inc., 942 F. Supp. 2d 962, 968-70 (N.D. Cal. 2013) .但乙卻通過改變IP的方式,繼續(xù)訪問并獲取信息。
案例3, 行為人丙利用其好友在某大學(xué)讀博士之際,通過其用戶名和密碼,經(jīng)常登錄該大學(xué)的圖書館購買的LexisNexis數(shù)據(jù)庫,下載資料。
案例4,某網(wǎng)站為防止太多的人看到自己網(wǎng)站上的內(nèi)容,故意將其域名設(shè)置的非常復(fù)雜,但丁卻通過自制特殊軟件,搜索該網(wǎng)址,并定期訪問。
不考慮情節(jié),甲乙丙丁的行為是否構(gòu)成非法侵入計算機信息系統(tǒng)罪或者非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪(以后將兩者簡稱為侵入計算機罪)?學(xué)界有不同的看法。(2)參見James Grimmelmann, Computer Crime Law Goes to the Casino, Concurring Opinions , http://concurringopinions.com/archives/2013/05/computercrime-law-goes-to-the-casino.html .立法者認(rèn)為,虛擬世界與現(xiàn)實世界是一對雙胞胎,兩者具有可比性。(3)Kerr O S. Norms Of Computer Trespass. Columbia Law Review, 2016, 116(4):1143-1183.因此,應(yīng)當(dāng)從傳統(tǒng)的侵入禁止規(guī)范入手,結(jié)合目前計算機和網(wǎng)絡(luò)技術(shù)的特點,采用類推的方法尋找這個問題的答案,這才能既符合計算機侵入禁止的立法目的,又迎合傳統(tǒng)刑法的理念。
一般認(rèn)為非法侵入公民住宅、性侵、入戶盜竊和刑事侵入等等刑法禁止,是傳統(tǒng)侵入禁止規(guī)范的典型范例。(4)刑事侵入罪是為了保護一般動產(chǎn),參見美國刑法典第221.2條。我國刑法未有類似規(guī)定。然而,將傳統(tǒng)侵入禁止規(guī)范應(yīng)用于虛擬世界時,卻存在著很多的問題。
其一,由于現(xiàn)實世界存在著多種侵入禁止規(guī)范,要保護計算機,首先存在著選擇何種侵入禁止規(guī)范的問題。在物理世界,個人住宅、一般動產(chǎn)、商業(yè)店鋪、公共圖書館以及廣場等,由于開放性不同,他們都有自己獨立的侵入禁止規(guī)范。由于住宅與個人隱私及人身安全捆綁在一起,法律提供的保護最高(性侵除外);公共場所由于涉及到公共使用權(quán),其保護程度最低,只受到冒犯規(guī)范的保護。(5)參見Stern S M. The Inviolate Home: Housing Exceptionalism in the Fourth Amendment. Cornell Law Review, 2010, 95(5):905-956.在美國和德國,往往通過冒犯型的規(guī)范,保護公共場所,而我國沒有這樣的立法。楊春然:《冒犯型犯罪的根據(jù):傷害原則對法益保護原則的一次超越——兼論犯罪的本質(zhì)》,載《中國刑事法雜志》2010年第2期。其他的物理空間,比如商店,則在兩者之間:只要商店營業(yè),人們就可以隨便進入;未營業(yè),客戶不得進入,但可以透過門縫向里面觀望。住宅卻不允許這樣。因此,計算機類比的對象不同,侵入禁止規(guī)范的內(nèi)容也將不一樣。(6)參見Grimmelmann J. Consenting to Computer Use. Social Science Electronic Publishing, 2016, 84(6):1500-1522.
其次,傳統(tǒng)侵入禁止規(guī)范是人們長期生活形成的一種理念或共識,本身包含著習(xí)慣要素,故有一定的模糊性。比如,行為人為了侵入住宅,向大門走去,站在一旁的警察何時才能抓捕并指控他呢?學(xué)界存在著爭議。一般將門檻視為是侵入的邊界,理由是,過路行人完全可以在他人門前避雨,即使到此叩打門窗,也不會評價為侵入。然而,警察沒有任何證據(jù),僅僅出于懷疑戶主種植大麻,而攜帶緝毒犬到他人門前搜查的,雖未踏進門檻,也將其評價為侵入。(7)參見Florida V. Jardines, 133 S.Ct. 1409 (2013).理由是,鄰居發(fā)現(xiàn)有人在他人門前避雨或敲門是正常的,但警方用探測器或緝毒犬在他人門前搜查,則很容易使人將戶主與犯罪聯(lián)系起來,即這種行為超越了社會所能容忍的程度。所以,傳統(tǒng)侵入禁止規(guī)范蘊含著非規(guī)則(即政策)的要素。不過,由于傳統(tǒng)的侵入禁止規(guī)范主要被用來抓捕和攆走不應(yīng)當(dāng)處于特定場所的人,而不是懲罰被告人,即使該禁止存在著模糊,也不影響其之適用。(8)參見Kerr O S. Norms Of Computer Trespass. Columbia Law Review, 2016, 116(4):1143-1183.然而,計算機侵入禁止并不僅僅趕走已進入他人計算機中的人,而是保護計算機內(nèi)的數(shù)據(jù)或隱私,故侵入禁止規(guī)范的模糊性通常會影響其適用。
最后,在計算機產(chǎn)生之初,網(wǎng)絡(luò)尚不發(fā)達,將計算機等同于住宅,沒多大問題的。(9)參見Brenner S W. Is There Such a Thing as" Virtual Crime"?. California Criminal Law Review, 2001, 4; Kerr O S. Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes. Social Science Electronic Publishing, 2004(5).然而,侵入住宅禁止通常要求被告人跨過門檻,即將行為人的身體與犯罪對象(物理空間)結(jié)合在一起進行判斷。(10)參見3 C. Torcia, Wharton’s Criminal Law § 331, at 202 (14th ed. 1980);Cal. Penal Code § 459 (West 2002)。與之不同,侵入計算機的行為卻不存在物理上的闖入,僅僅妨礙機主所有權(quán)的行使。因此,即使在過去,將計算機類比于住宅,也是有問題的。而作為網(wǎng)絡(luò)節(jié)點的計算機,由于充當(dāng)了網(wǎng)絡(luò)服務(wù)器,更像是廣場或者臨街的商店。如果機主再通過不同的措施限制他人訪問,問題變得更為復(fù)雜。(11)參見Brief for Appellee at 34, Auernheimer, 748 F.3d 525 (No. 13-1816), 2013 WL 5427839.所以,這就意味著侵入規(guī)范在適用時,需要借助社會政策進行判斷。然而,由于計算機及其網(wǎng)絡(luò)的發(fā)展史很短,社會尚未形成成熟的相關(guān)政策,故本文從傳統(tǒng)侵入規(guī)范保護的法益出發(fā),結(jié)合計算機及網(wǎng)絡(luò)的技術(shù)特點,探討這種侵入禁止的適用及其限制。
目前德國、歐盟、美國聯(lián)邦及其各州在立法上通常以“未經(jīng)授權(quán)訪問”,作為計算機侵入禁止規(guī)范規(guī)制的對象,如德國刑法第202條《美國法》第1030條。于是,“訪問”是該禁止的主要構(gòu)成要件要素。
由于人們無法在物理上進入計算機,學(xué)界以時間為標(biāo)準(zhǔn),將訪問區(qū)分為連接、登錄和獲取信息等三個階段,與之對應(yīng)的是有關(guān)訪問的三個學(xué)說。
其一,發(fā)送信息說。這種觀點主要出現(xiàn)在民法領(lǐng)域,其認(rèn)為,行為人向他人的計算機信息系統(tǒng)發(fā)送信息,進行連接就是訪問,典型的例證是美國在線公司訴保健中心案。(12)參見America Online v. National Health Care Discount, Inc(NHCD)121 F. Supp. 2d 1255 (N.D. Iowa 2000).在該案中,被告人為了推銷保健服務(wù),通過特制的軟件向在原告門戶網(wǎng)站注冊的郵箱,發(fā)送大量的廣告郵件。原告認(rèn)為,被告人向其客戶發(fā)送郵件的行為,違反了該門戶網(wǎng)站的服務(wù)條款,即其實際上等同于在沒有獲得授權(quán)的情形下,訪問了原告的計算機。法院支持了原告的訴求,理由有:一則,法律沒有明確“訪問”,但從字典上看,不僅有“接近”的意思,而且還有使用某物的自由或者能力的意思;二則,行為人使用計算機發(fā)送郵件,該郵件通過其他計算機的傳輸,最后到達目的地,這意味著所有幫助傳輸該郵件的計算機,行為人都“訪問”了;三則,訪問原是一個物理概念,但在虛擬的世界里,實質(zhì)上是指行為人發(fā)送的信息進入了他人的計算機。因此,在訪問時,即使未接到被訪問的計算機的反饋,只要向他人的計算機發(fā)送了信息,就構(gòu)成了對該計算機的訪問。這種學(xué)說稱為最廣義的訪問說。
其二,進入可能性說。在美國康薩斯州的Allen案中,法院認(rèn)為,使用公共域名而未設(shè)置密碼保護的計算機,就像臨街隨便出入的商店,打開主頁如同進入商店,構(gòu)成訪問;對于使用公共域名且存在著密碼保護的計算機,行為人只要獲得了進入的條件,且正在使用這些條件,就等于訪問。(13)參見State v. Allen,917 P.2d 848 (Kan. 1996).在該案中,被告人為了進入被害人的計算機(程控交換機,具有允許用戶免費撥打長途電話的功能),多次輸入了用戶名和密碼,試圖打開被訪問的頁面??胤秸J(rèn)為,訪問包含著靠近、發(fā)出指令、連接、儲存數(shù)據(jù)、檢索數(shù)據(jù)以及使用計算機資源等行為,故構(gòu)成訪問。法院認(rèn)為控方對“訪問”的定義太寬了,會使該規(guī)則的邊界模糊不清,有悖于法治原則。將“靠近”解讀為“訪問”,意味著用身體靠近計算機,也會評價為侵入計算機罪,顯然是有問題的。法院指出,“訪問”是指“獲得或者使用計算機內(nèi)部信息的能力”,在突破密碼限制之前,都不能說訪問了被害人的計算機。據(jù)此,“訪問”是指使用正確用戶名和密碼的行為,因這才會使被告人有可能獲得計算機內(nèi)部文件。正確的用戶名和密碼就像是鎖的鑰匙,將其輸入就等于將鑰匙插入鎖中,點擊確認(rèn)鍵,等于打開了鎖,獲得了進入房間的機會,即訪問了他人的計算機。美國華盛頓州的Riley案的判決,采用的也是這種觀點。被告人登錄被害人的網(wǎng)頁,輸入了其猜出的正確用戶名和密碼,獲得了免費撥打長途電話的機會。盡管沒有證據(jù)證明被告人盜打了電話,但法院仍認(rèn)為被告人已訪問了被害人的計算機,構(gòu)成了“侵入”或“使用計算機資源的行為”。
其三,獲取信息說。其認(rèn)為,即使行為人登錄被害人的門戶網(wǎng)站,輸入了正確的用戶名與密碼,也不得視為是侵入或者訪問了該計算機,因?qū)π袨槿硕裕嬎銠C內(nèi)的文件就像大街兩側(cè)商店櫥窗里或者柜臺內(nèi)擺放的商品,即使進入商店,也沒有切實地看到。行為人只有進入相應(yīng)的網(wǎng)站,查看了具有實質(zhì)內(nèi)容的信息時,才構(gòu)成訪問,理由是,計算機僅僅是個機器,是人們收發(fā)及存儲信息的工具。(14)參見Kerr O S. The Problem of Perspective in Internet Law. Ssrn Electronic Journal, 2002, 91(2):357-405.當(dāng)用戶瀏覽他人的網(wǎng)站時,用戶的計算機會向該網(wǎng)站發(fā)出信息,請求其發(fā)送文件;當(dāng)文件發(fā)送后,用戶的瀏覽器才能重新組合該文件,使之以原來的形式呈現(xiàn)出來。這樣,用戶發(fā)送了請求性的信息,并不構(gòu)成訪問,只有當(dāng)目標(biāo)計算機按照要求向該用戶發(fā)送了具有實質(zhì)內(nèi)容的信息時,才能解釋為訪問。比如,用戶向一個受密碼保護的計算機發(fā)出指令,要求發(fā)送其主頁,以便于輸入用戶名和密碼。目標(biāo)計算機接受了指令,發(fā)送主頁,用戶輸入正確的用戶名和密碼后,即使行為人點擊了確認(rèn)鍵,也不等于訪問了該計算機,因為這在某種程度上像用鑰匙開了鎖,并不等于進了門。只有打開門,進到房間,看到里面的東西,才能視為是侵入。(15)參見Gralla P. How the Internet Works. Que Corp. 2001. at 81.據(jù)此,只有獲得被訪問的計算機內(nèi)部的實質(zhì)性數(shù)據(jù),才構(gòu)成訪問。
刑法與民法不同,由于民事責(zé)任通常受制于現(xiàn)實的損害,即使采用較為寬泛的概念,也沒問題。比如網(wǎng)絡(luò)安全測試,行為人掃描他人的計算機端口,即向其發(fā)送詢問指令,查看端口是否已經(jīng)打開。在掃描時,開放的端口會向請求的計算機進行信息反饋,由此證明它是開放的;反饋的信息是錯誤的,則證明該端口是封閉的。根據(jù)最廣義的訪問說,向他人的計算機端口發(fā)送信息,就等同于訪問,但是,被掃描的計算機的機主通常并不會因此受到損害,故民法不會“禁止”這種行為。然而,犯罪卻不以危害結(jié)果的發(fā)生為前提,如果采用第一種觀點,很容易造成刑法的不當(dāng)擴張,故學(xué)界普遍排斥發(fā)送信息說。從形式上看,我國刑法第285條第1款采用的是第二種觀點,第2款采納的是第三種觀點,也未采用第一種觀點。然而,隨著無線網(wǎng)絡(luò)的普及以及計算機技術(shù)的發(fā)展,訪問方式呈多元化的趨勢,我們認(rèn)為發(fā)送信息說,即,只要用戶向某一計算機發(fā)送了可執(zhí)行的命令,與計算機進行了成功的連接,就構(gòu)成訪問,主要理由有:
首先,cookies技術(shù)、大數(shù)據(jù)和云計算技術(shù)等,要求采用最廣義的訪問說。Cookies是一種文本文件,其是客戶登錄和瀏覽網(wǎng)站留下的痕跡,存儲在用戶的硬盤中,隨后返回給目標(biāo)計算機。由于這是在后臺進行的,很多用戶對此不知情。在這種技術(shù)模式下,訪問行為實際上具有了一定程度的相互性,即用戶通過其計算機瀏覽目標(biāo)計算機的信息時,后者也會訪問用戶的計算機,兩者之間存在著相互“瀏覽”對方信息的問題。如果對訪問進行過窄的解釋,行為人在尚未登錄網(wǎng)站或者獲取目標(biāo)計算機的信息時,不構(gòu)成訪問,而目標(biāo)計算機通過cookies的技術(shù)卻獲得了行為人的信息,也不能構(gòu)成訪問。然而,在大數(shù)據(jù)和云計算模式下,目標(biāo)計算機通過cookies獲得的用戶碎片化的信息非常重要,因為當(dāng)其結(jié)合在一起時,可能構(gòu)成一條完整的可識別信息。比如,某商場根據(jù)一女孩上網(wǎng)留下的cookies,通過云計算,得出其已懷孕的結(jié)論。(16)參見Mai J E. Big data privacy: The datafication of personal information. Information Society, 2016, 32(3):192-199.原來看來沒有價值的cookies,在大數(shù)據(jù)和云計算的背景下,有了具體的意義,其能挖掘出新信息。正是這種原因,很多國家要求網(wǎng)站在收集用戶的cookies時,必須征得其同意,且不得以此為由限制用戶的訪問權(quán)。(17)參見Ray P P. Internet of Things for Sports (IoTSport): An architectural framework for sports and recreational activity, International Conference on Electrical, Electronics, Signals, Communication and Optimization. IEEE, 2015: 79-83..這樣,如果采用后面的兩種觀點,網(wǎng)站收集用戶cookies的行為就會排斥在計算機侵入禁止規(guī)范之外,顯然是不妥的。如果認(rèn)為收集cookies的行為構(gòu)成訪問,根據(jù)后面的兩種觀點,行為人可能未訪問目標(biāo)計算機,而目標(biāo)計算機卻已經(jīng)訪問了行為人的計算機,這顯然是有問題的。(18)參見楊春然:《論大數(shù)據(jù)模式下運動員隱私的保護》,載《體育科學(xué)》2018年第2期。
其次,后面的兩個標(biāo)準(zhǔn)會不當(dāng)?shù)叵拗朴嬎銠C侵入禁止的適用范圍。目前計算機在很大程度上已取代了電話,而且,用其打電話幾乎沒有成本,這致使很多公司通過電話推銷商品或者服務(wù),對人們的生活構(gòu)成嚴(yán)重的干擾。如采用最廣義的訪問說,行為人撥打他人的電話,一旦接通,電話鈴響,即構(gòu)成侵入,無需機主接聽。相反,如采用后面的兩種觀點,行為人只有接了電話(反饋)或者進行具有實質(zhì)意義的通話,才構(gòu)成訪問;未接通之前,不構(gòu)成侵入,這顯然忽視了即使不接電話,也影響了他人生活的事實。再比如,現(xiàn)在很多網(wǎng)站,以方便客戶為由,自主在他人的計算機或手機上安裝諸如游戲或服務(wù)等方面的客戶端。對于這種騷擾用戶,甚至侵占用戶計算機資源的行為,后面的兩種觀點也很難控制。
再次,獲得信息說中的“獲得”,通常是指下載、復(fù)制或者粘貼,其存在的問題有:一則,忽視了行為人通過閱讀獲得他人信息的情況;二則,行為人打開網(wǎng)絡(luò)上的文件,其瀏覽器就會以cookies的方式,將該文件記錄在行為人的電腦中,這與下載、復(fù)制或者粘貼文件根本沒有什么不同,上述觀點顯然忽視了這種技術(shù)的存在。三則,目前光學(xué)技術(shù)獲得了空前的發(fā)展,其開始與計算機技術(shù)結(jié)合在一起。比如,目前谷歌開發(fā)了一款軟件,如果行為人用其打開他人的網(wǎng)站或者圖書,該軟件就可以用特制的光線對其進行快速掃描或者拍照,然后,通過提取關(guān)鍵詞的方式,將文件的主要意思(而非原文)保存在特定的計算機設(shè)備之中,獲得信息說很難對其進行控制。
最后,發(fā)送信息說并不會導(dǎo)致該刑法禁止不當(dāng)擴張,因為單純的訪問是沒有法律意義的,只有“非法”的訪問,刑法才予以規(guī)制,即“非法”構(gòu)成“訪問”的限制。比如,上面提到的用身體靠近他人計算機的行為,完全可以解釋為“訪問”,但這是否觸犯侵入禁止規(guī)范,關(guān)鍵看行為人是否“有權(quán)”這樣做(靠近電腦,是為了看屏幕上的信息,還是僅僅路過此地)。再比如,前面提到的掃描他人的計算機端口,根據(jù)發(fā)送信息說,雖然可以評價為訪問,但這并不屬于“非法”訪問,即不觸犯侵入禁止規(guī)范。因為在網(wǎng)絡(luò)的背景下,作為網(wǎng)絡(luò)節(jié)點,計算機與網(wǎng)絡(luò)相連時,通常被視為公共場所,他人可以隨便訪問。但是,隨著技術(shù)的發(fā)展,一旦掃描他人的計算機端口有了現(xiàn)實意義(比如攔截他人的cookies,或者向其發(fā)送大量的文件包,造成該端口堵塞),最廣義的訪問說,卻為刑法干預(yù)這種行為保留了可能,所以,計算機侵入禁止規(guī)范應(yīng)當(dāng)更多強調(diào)“非法”的內(nèi)涵,不是限制“訪問”的外延。(19)參見Kerr O S. Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes. Social Science Electronic Publishing, 2003,78:1596-1668.此外,由于行為人將自己的計算機與目標(biāo)計算機進行連接,具有客觀性,所以,將其定義為訪問,還有利于提高該刑法禁止的明確性。
我國刑法第285條并沒有具體地記述計算機侵入禁止規(guī)范,而是用“非法”概括之,其實,這里的“非法”主要是指“未經(jīng)授權(quán)”,即被害人不同意,這也是非法侵入公民住宅罪、入戶盜竊罪和強奸罪的共同構(gòu)成要件要素。(20)參見Grimmelmann J. Consenting to Computer Use. Social Science Electronic Publishing, 2016, 84(6):1500-1522.
在物理世界,對他人放在公共場所的電腦,即使不關(guān)閉,他人也不得使用,這是財產(chǎn)所有權(quán)自然要求,這與未關(guān)門不是有權(quán)進入他人住宅的理由一樣,故機主無需表達不同意。而在虛擬世界里,不適用這樣的規(guī)則,不同意通常需要機主積極的表達出來,否則,計算機同意就是被害人同意,主要理由有:
首先,計算機同意通常是機主事前、預(yù)期的同意。對于強奸、搶劫、大部分盜竊和侵入住宅等罪而言,被害人不同意通常是根據(jù)行為的環(huán)境所得出的判斷,因為被告人與被害人往往都在現(xiàn)場。(21)參見Kerr O S. Norms Of Computer Trespass. Columbia Law Review, 2016, 116(4):1143-1183.而在網(wǎng)絡(luò)的背景下,機主事前一般通過安裝軟件的方式,將用戶分為有權(quán)訪問的和無權(quán)訪問的兩種。隨后,機主會離開計算機,由計算機按照事前的設(shè)定,允許符合預(yù)設(shè)條件的用戶訪問,屏蔽不符合條件的用戶。行為人訪問他人的計算機,如果允許其進入,表明其之訪問存在著機主同意;相反,計算機不允許進入,表明機主不同意其訪問。(22)參見Grimmelmann J. Regulation by Software. Yale Law Journal, 2005, 114(7):1719-1758.這樣,計算機(不)同意本質(zhì)上是機主事前的、預(yù)期的(不)同意。
在物理世界,病人對手術(shù)的同意就具有這種特征,因為在手術(shù)過程中,病人通常會失去知覺,對醫(yī)生用手術(shù)刀切除自己器官的行為和手術(shù)的風(fēng)險等等,只能進行事前的同意。這種同意雖然具有一定的預(yù)期性,但其仍然具有否定手術(shù)行為違法性的功能。因此,計算機(不)同意也應(yīng)有此規(guī)范意義。
其次,網(wǎng)絡(luò)的開放性使同意用戶訪問成為機主的社會義務(wù)。1969年,網(wǎng)絡(luò)的發(fā)明者通過“征求意見”的方式,將開放性視為網(wǎng)絡(luò)的基本特點。隨后因特網(wǎng)工程任務(wù)組接受了“征求意見”,在RFC1945 和RFC2616中提出了“超文本傳輸協(xié)議”(http),這也是目前規(guī)制網(wǎng)絡(luò)服務(wù)器與客戶之間關(guān)系的基本規(guī)范文件。(23)參見T. Berners-Lee et al., Network Working Grp., Request for Comments: 1945, Internet Engineering Task Force (2006), http://tools.ietf.org/html/rfc1945 [http://perma.cc/PS7 4-4C3A] [簡稱為 RFC1945]; T. Berners-Lee et al., Network Working Grp., Request for Comments: 2616, Internet Engineering Task Force (1999), http://www.ietf.org/rfc/rfc261 6.txt [http://perma.cc/7MJN-PWFK] [簡稱為RFC2616].根據(jù)該協(xié)議,網(wǎng)絡(luò)是普遍共享的、超媒體的信息系統(tǒng),開放性是基本特征。(24)RFC1945, at 1.RFC2616, at 7.這樣,一旦機主的服務(wù)器與網(wǎng)絡(luò)連接,用戶的瀏覽器就可以與之建立聯(lián)系,向其發(fā)出指令。這樣,網(wǎng)絡(luò)服務(wù)器很像是公共市場上租用的攤位,任何人都有權(quán)看到擺放在該攤位上的物品。如果機主不愿意他人瀏覽,其就不應(yīng)當(dāng)將其服務(wù)器與因特網(wǎng)相連,或者不應(yīng)將其計算機當(dāng)作服務(wù)器。機主一旦選擇了公共域名,則意味著其愿意將其計算機作為服務(wù)器,必須接受網(wǎng)絡(luò)的公開性。這樣,信息一旦放到自己的或者他人的服務(wù)器上,就推定其同意任何人獲取。(25)參見Gralla P. How the Internet Works, Fourth Edition. Immunology Letters, 1998, 6(5):257-263..因此,在網(wǎng)絡(luò)背景下,借助傳統(tǒng)侵入禁止規(guī)范解讀侵入計算機禁止,類比的對象應(yīng)當(dāng)是公共場所,而不是公民的住宅。(26)在美國和德國,大都用冒犯型的規(guī)范,保護公共場所,比如,禁止在公園公開欣賞淫穢物品。但是,我國目前還沒有這樣的刑事立法。參見楊春然:《冒犯型犯罪的根據(jù):傷害原則對法益保護原則的一次超越——兼論犯罪的本質(zhì)》,載《中國刑事法雜志》2010年第2期。所以,網(wǎng)站要想否定公開性的推定,只能通過積極的行為表達出來,否則,計算機允許他人登錄,就意味著機主同意他人訪問。
最后,軟件功能的多樣性,使計算機同意可能有別于機主同意。計算機(不)同意是借助軟件進行的,但在現(xiàn)實中,計算機軟件的性質(zhì)和功能非常多,通常遠遠超過軟件設(shè)計者的想象。這就意味著軟件運行的結(jié)果,很可能完全有悖于設(shè)計人(即程序員)的預(yù)期目的,致使計算機“(不)同意”背離機主的意志。(27)參見Grimmelmann J. Regulation by Software. Yale Law Journal, 2005, 114(7):1719-1758.
在物理世界,利用機器預(yù)期功能多樣性的行為,是很容易被推翻的。比如最早的自動售煙機:顧客向其前面的凹槽中投放一個硬幣,隨后向前推一下把手,機箱上的小孔便彈出一支煙。如有人將金屬塊代替硬幣投到里面,也能獲得里面的香煙。(28)參見Regina v. Hands [1887] 16 LRCCR 188 (Eng.).不過,法院認(rèn)為行為人占有他人香煙時,機器同意(即小孔彈出煙)不等于機主同意,構(gòu)成盜竊,理由是:其一,該機器的使用說明規(guī)定:投放硬幣,才能取走香煙。由于被告人投放的是金屬塊,故售貨機的同意不等于被害人同意,屬于利用售煙機功能的多樣性(即工作邏輯錯誤)而占有他人財物的行為,如同通過在箱子上鉆孔而取走其中的香煙。其二,該行為符合“零和游戲”規(guī)則,即被告人通過由于該行為符合“ 零和游戲” 規(guī)則這很容易得出被告人通過欺騙機器而拿走他人香煙的結(jié)論,理由有:其一,網(wǎng)絡(luò)的開放性特征,通常推定機主同意任何人訪問;其二,訪問他人計算機的行為,不僅不符合“零和游戲”規(guī)則,而且,還通常認(rèn)為用戶訪問互聯(lián)網(wǎng),雙方都獲利,因為互聯(lián)網(wǎng)存在著兩個假設(shè):第一,電子交流既不會損壞接受方的計算機系統(tǒng),也不會危及其功能;第二,創(chuàng)建網(wǎng)站通常意味著機主同意他人進行無害的訪問,因為這不僅實現(xiàn)了表達自由,而且其還會從中受益。因此,計算機允許他人訪問,就等于機主同意。這樣,網(wǎng)絡(luò)的開放性造成計算機同意成為機主同意的主要“證據(jù)”,事實可能并不這樣。(29)參見Grimmelmann J. Consenting to Computer Use. Social Science Electronic Publishing, 2016, 84(6):1500-1522.
在物理世界,店鋪有開放性,店門緊閉卻意味著店主不同意客戶進入,只有打開店門,才能解釋為同意任何人進入。然而,即使店門敞開,如果店主在店鋪里設(shè)置封閉的個人空間,設(shè)置“閑人不得入內(nèi)”或“客人止步”等標(biāo)識,也可以表達店主一定范圍的“不同意”,這種空間會受到侵入禁止規(guī)范的保護。(30)參見State v. Cooper, 860 N.E.2d 135, 138 (Ohio Ct. App. 2006).客人到達此地,店主要求離開而拒絕的,會被評價為侵入。同理,網(wǎng)絡(luò)具有開放性,機主也可以通過設(shè)置訪問障礙(如不使用公共域名,不同意計算機作為公共服務(wù)器),阻止他人訪問自己的計算機。即使將計算機當(dāng)作服務(wù)器,機主也可以通過第三方軟件,將特定的區(qū)域加密,把一般用戶拒之門外。用戶要訪問,須單獨征詢計算機的態(tài)度。這就是所謂的認(rèn)證制度。
這種認(rèn)證制度并非源自于網(wǎng)絡(luò)技術(shù),而是使用第三方軟件。這種軟件控制的虛擬空間,通常會受到計算機侵入禁止規(guī)范的保護,主要理由有:其一,機主通過這種加密措施,將一般公眾屏蔽在特定的虛擬空間之外,向社會表達該空間的不開放性;其二,一般用戶面對網(wǎng)站,認(rèn)證要求就像一堵高墻,無法逾越。這種訪問障礙,足以告訴用戶計算機不同意其進入。此外,這還構(gòu)成對用戶的保護,避免用戶因不慎誤入。其三,用戶使用猜出或者竊取的用戶名和密碼進行訪問,則等同于使用撿到或者盜竊的鑰匙進入他人住宅;利用軟件程序安全缺陷規(guī)避這種認(rèn)證限制,則等同于通過翻墻闖入或者從窗子爬進他人住宅;借助第三方軟件進入未使用公共域名的計算機,等于通過挖地道進入他人住宅,都觸犯計算機侵入禁止規(guī)范。
在網(wǎng)絡(luò)的背景下,認(rèn)證制度是機主表達不同意用戶訪問的典型形式。然而,規(guī)避認(rèn)證限制的訪問,在表面上似乎也存在著計算機同意,否則,行為人無法進入計算機系統(tǒng)。然而,使用他人用戶名和密碼,或者借助黑客技術(shù),利用緩存溢出手段,通過破壞計算機的記憶力訪問計算機,這里的計算機同意,就像被害人由于被欺騙而誤認(rèn)為被告人是其丈夫,同意與之發(fā)生性行為一樣,如果不欺詐,計算機不會同意的,所以,這種同意無效。
認(rèn)證制度、不使用公共域名、隱藏網(wǎng)址以及驗證碼程序,都可以在一定程度上表達了計算機對用戶訪問的不同意,但是,這是否能成為刑法意義上的被害人不同意呢?關(guān)鍵要看其是否符合以下的條件:
首先,機主必須實施特定的客觀行為。對傳統(tǒng)侵入禁止規(guī)范中的“被害人不同意”,學(xué)界一直存在著主觀主義(即心理不同意或者事實不同意)與客觀主義(即表達不同意或者法律不同意)之爭。(31)參見Hurd H M. The moral magic of consent. Legal Theory, 1996, 2(2): 121-146.; Alexander L. The moral magic of consent (II). Legal Theory, 1996, 2(3): 165-174.比如強奸罪,作為構(gòu)成要件要素的被害人不同意,有的國家采用主觀主義,也有的國家采用客觀主義。(32)參見Westen P. The logic of consent: The diversity and deceptiveness of consent as a defense to criminal conduct. Routledge, 2017: 111-119.然而,計算機侵入禁止中的不同意,必須采用客觀主義,主要理由有:一則,刑法禁止記述的“未經(jīng)授權(quán)”是指有特定形式要求的行為,即要求機主使用第三方加密軟件或不使用公共域名,而不是心理態(tài)度,所以須采用客觀主義;二則,如果采用主觀主義,則意味著被害人心理態(tài)度具有刑法意義,但被告人完全可以以對此缺乏“明知”或者“故意”為由,否定該禁止的可適用性,因為其規(guī)制的是未經(jīng)授權(quán)而故意訪問他人計算機的行為。這樣,主觀主義不僅會導(dǎo)致該禁止的適用范圍不當(dāng)擴張,違反責(zé)任主義,而且還會導(dǎo)致該禁止虛置,使立法目的落空。(33)參見McFadden v. United States, 135 S. Ct. 2298, 2304 (2015).三則,根據(jù)“超文本傳輸協(xié)議”,機主在與網(wǎng)絡(luò)連接時,已經(jīng)承諾網(wǎng)站具有開放性,且這種承諾構(gòu)成一項社會義務(wù),這也是推定網(wǎng)站同意任何用戶訪問的根據(jù)。(34)參見Kerr O S. Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes. Social Science Electronic Publishing, 2004(5).因此,機主想拒絕或者限制用戶訪問,無法通過網(wǎng)絡(luò)技術(shù)本身實現(xiàn),而是需要借助第三方軟件將其表達出來,否則,其不足以否定其網(wǎng)站的開放性。
其次,計算機必須以設(shè)置用戶訪問實質(zhì)障礙的方式,表達機主不同意。用戶不付出特殊的努力,很難進入計算機,否則,計算機允許進入,即認(rèn)定存在著機主同意。比如,網(wǎng)站主頁登錄端口明確規(guī)定,“未滿18歲嚴(yán)禁進入”,或者網(wǎng)站的服務(wù)條款要求“用戶發(fā)表的帖子必須遵紀(jì)守法,講文明”。(35)參見id.不滿18周歲的用戶或者不遵守使用條款的用戶進行訪問,并不違反計算機侵入禁止規(guī)范,因為他們進入該網(wǎng)站的難易程度與符合訪問條件的用戶完全一樣,這種情況通常被評價為網(wǎng)站所設(shè)置的理念限制,通常沒有法律意義。比如,在物理世界,世界杯決賽結(jié)束后,甲球迷站在體育館出口的中間,向擁擠的人流大聲呼叫:“誰也不許碰我!”(36)Id. at 322-323.乙球迷本來很容易避開,但其仍然用身體碰觸了她,這種行為并不構(gòu)成侵權(quán),理由是,該球迷進了賽場,就等于默認(rèn)了他人對自己有無害碰觸權(quán),即類推同意碰撞,否則,她只能待在家中或其他的地方,即其他人并沒有躲避的義務(wù)。網(wǎng)站所有人在網(wǎng)站上公布信息,就如同甲到了體育館觀看比賽,有容忍他人瀏覽(碰觸)的義務(wù)。在網(wǎng)絡(luò)開放性的背景下,這種理念限制是沒有法律意義的。
最后,須不存在機主的事實同意。計算機不同意為法律類推而非法律擬制,即使計算機存在著認(rèn)證限制或者未使用公共域名,對于規(guī)避該限制或者借助第三方軟件而進行的訪問,如果真的存在著被害人同意,也不觸犯計算機侵入禁止規(guī)范。被害人同意之所以能推翻計算機不同意,因為未經(jīng)授權(quán)是侵入計算機罪的構(gòu)成要件要素。如果存在著被害人事實上的同意,則此一構(gòu)成要件要素欠缺,因此,被告人的行為不符合該刑法禁止的規(guī)定。在傳統(tǒng)的侵入禁止規(guī)范中,被害人同意通常都有此功能,如盜竊罪和強奸罪,被害人事實同意可以阻卻犯罪該當(dāng)性的成立,即,即使被告人對此不知情,也不得將其行為評價為犯罪(未遂)。(37)楊春然:《論語義學(xué)視角下的法律錯誤——兼論對強奸罪中的被害人不同意認(rèn)識錯誤的性質(zhì)》,載《法學(xué)論壇》2016年第6期;Mistake of Law--A Mistake?, 51 J. OF CRIM. L. 1987, 326.Dressler, J.. Understanding Criminal Law. (4th ed.). Newark: LexisNexis,pp.186-187(2006);[日]團藤重光:《刑法中的自由意志問題》,載《尾高教授追悼論文集·自由的法理》1963年,第289頁;[日]藤木英雄:《事實的錯誤與法律的錯誤的限度》,載《刑法講座》1963年,第3卷,第88頁以下。
總之,計算機侵入禁止規(guī)范中的未經(jīng)授權(quán),屬于法律類推,關(guān)鍵要看機主是否設(shè)置了訪問的實質(zhì)障礙。(38)參見Manson N C. Consent in the Law-By Deryck Beyleveld & Roger Brownsword. Journal of Applied Philosophy, 2010, 27(2):215-217; AlanWertheimer. Consent to sexual relations. Cambridge University Press, 2003.現(xiàn)實中存在的驗證碼制度中有些驗證碼其實就是認(rèn)證制度:用戶首先注冊,事后通過手機即時獲得的驗證碼,才能登錄。這種驗證碼其實就是密碼。與單純的驗證碼制度不同,比如,用戶要登錄谷歌時,網(wǎng)站經(jīng)常要求用戶輸入驗證碼,用戶只有輸入正確的驗證碼(文字或者圖案)才能登錄。用戶通過自制的軟件,自動選擇驗證碼,規(guī)避這種限制,通常并不觸犯計算機侵入禁止規(guī)范。這種驗證碼的限制在形式上與認(rèn)證限制相似,不同之處乃在于其會將驗證碼同時提供給用戶,不過,其要求用戶手動而不是自動選擇。(39)參見United States v. Lowson,No. 10-114 (KSH), 2010 WL 9552416 (D.N.J. Oct. 12, 2010).因此,驗證碼的目的主要是為了限制黃牛黨的行為,并非不允許人們進入。(40)參見CAPTCHA: Telling Humans and Computers Apart Automatically, CAPTCHA, http://www.captcha.net/ [http://perma.cc/9FHM-C62D].所以,用戶通過軟件自動規(guī)避這種驗證碼限制的行為,不觸犯計算機侵入禁止規(guī)范。這種驗證碼的限制就像是現(xiàn)實公路上的減速帶,不能解釋為計算機不同意訪問。
從民法的角度看,越權(quán)訪問也屬于無權(quán)訪問的范疇,越權(quán)訪問是否觸犯計算機侵入禁止規(guī)范呢?根據(jù)當(dāng)前我國的司法解釋,答案好像是肯定的。(41)參見2011年《最高人民法院最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第2條第1款與第2款。與之不同,美國國會在解釋美國法第1030條時指出,未經(jīng)授權(quán)的訪問是指 “外部人”的行為,越權(quán)訪問指的是“內(nèi)部人”的行為,計算機侵入禁止的目的旨在于禁止外部人,而不是內(nèi)部人的訪問。(42)參見United States v.Morris, 928 F.2d 504 (2d Cir. 1991).
如前所述,除了未使用公共域名的計算機外,有認(rèn)證要求的網(wǎng)站,也可以獲得刑法的保護。要想訪問這種網(wǎng)站,事前通常須注冊取得訪問資格,而這又須承諾其會遵守服務(wù)條款或者使用條款。用戶事后違反這種承諾,通常評價為越權(quán)訪問,其之后果不應(yīng)當(dāng)與規(guī)避認(rèn)證限制的訪問相同,主要理由有:
首先,在網(wǎng)絡(luò)背景下,對計算機進行保護通常涉及兩個法益:其一,網(wǎng)絡(luò)不僅給用戶提供了打開新世界的能力,而且還為自由表達,甚至為行為自由提供了一個平臺,(43)參見e.g., Lawrence Lessig, Code and Other Laws of Cyberspace 6 (1999); Lawrence Lessig, The Death of Cyberspace, 57 Wash. & Lee L. Rev. 337, 344 (2000)所以,網(wǎng)絡(luò)的公開性本身就具有應(yīng)受保護的社會價值;其二,由于法律與技術(shù)是為人服務(wù)的,當(dāng)機主通過第三方軟件,對自己的計算機內(nèi)部的個人隱私或者數(shù)據(jù)進行保護時,社會有尊重的義務(wù)。(44)Schwartz P M. Internet Privacy and the State. Connecticut Law Review, 1999, 32: 815-859.; Samuelson P. Privacy as intellectual property?. Stanford Law Review, 2000: 1125-1173.這兩個法益有時會發(fā)生沖突,如從行為人的角度看,黑客可以被定義為一種自由的科學(xué)探索;從被害人的角度看,卻構(gòu)成對隱私和網(wǎng)絡(luò)安全的侵犯。(45)參見Lee M, Pak S, Kim T, et al. Electronic Commerce, Hackers, and the Search for Legitimacy: A Regulatory Proposal. Berkeley Technology Law Journal, 1999: 839-886.“計算機同意”邊界的確定,應(yīng)同時兼顧這兩個法益。一則,由于這兩個法益的主體不同,平衡兩者關(guān)系的只能是作為管理者的國家,而不能是被害人。如將越權(quán)訪問入罪,則意味著被害人事后有決定特定的行為是否構(gòu)成犯罪的權(quán)利,行為人卻沒有反對的機會,這很容易造成網(wǎng)絡(luò)公開性與隱私關(guān)系的失衡。二則,合同的簽訂和履行通常有助于社會資源的優(yōu)化配置,提高社會的整體效益。如果違約一方存在著牢獄之災(zāi),很可能造成人們不敢或者不愿再與他人簽訂合同,從而導(dǎo)致市場在資源配置方面的作用受到極大的限制,故這種做法有害于社會或不利于社會發(fā)展。(46)參見Birmingham R L. Breach of contract, damage measures, and economic efficiency. Rutgers L. Rev., 1969, 24: 273-292.三則,如果行為人認(rèn)為違約而承擔(dān)相應(yīng)的民事責(zé)任是合算的,當(dāng)然有權(quán)違約,因為民法旨在于定價。(47)參見Cooter R. Prices and Sanctions. Columbia Law Review, 1984, 84(6):1523-1560.再加上合同具有相對性,違約通常不涉及第三人的利益,國家干預(yù)這種行為,不僅會違反契約自由,而且,還會否定當(dāng)事人的自治權(quán),悖離法益保護原則。
其次,責(zé)任主義的要求。越權(quán)訪問雖然對他人的隱私構(gòu)成威脅,但這種行為事前具有可預(yù)測性,為可控風(fēng)險。在訂立合同時,機主通常知道這種風(fēng)險,不過,出于其他的利益考量,自愿選擇并容忍這種風(fēng)險,因為即使這樣,允許行為人訪問在整體上也利大于弊。(48)參見Cf. Hoffa v. United States, 385 U.S. 293, 302 (1966) .更為重要的是,當(dāng)事人已經(jīng)就違約的后果做了安排(即處罰措施),即,只要愿意承擔(dān)這種不利后果,是可以違約的。(49)參見[美]波斯納:《法律的經(jīng)濟分析》,蔣兆康譯,北京:中國大百科全書出版社,1997:152.再者,用戶在注冊時通常并不會閱讀服務(wù)條款或者使用條款,特別是,一些使用條款通常極為冗長,里面充滿了很多的法律概念甚至不規(guī)范的表達。(50)參見Aleecia M. McDonald & Lorrie Faith Cranor, The Cost of Reading Privacy Policies, 4 I/S: J.L. & Pol’y for Info. Soc’y 543, 565 (2008)如將越權(quán)訪問入罪,實際上是承認(rèn)這些條款具有刑法意義,即,用戶有閱讀并理解的義務(wù),顯然這是很難被接受的。(51)參見Greenawalt K. Punishment. Journal of Criminal Law and Criminology, 1983, 74(2): 343-362.因此,不追究越權(quán)訪問的刑事責(zé)任,也是責(zé)任主義原則的要求。
最后,如果將越權(quán)訪問視為是侵入計算機罪,還有可能導(dǎo)致該刑法禁止的濫用,甚至成為壓制言論,打擊異己的工具。(52)參見INS v. St. Cyr, 533 U.S. 289, 299-300 (2001)將越權(quán)訪問入罪,其實是賦予計算機的所有人享有對言論,甚至單純的思想的定罪權(quán)。(53)參見Cf. Lewis v. City of New Orleans, 415 U.S. 130, 132-34 (1974) .比如,計算機的所有人屬于反墮胎主義者,為了打擊支持墮胎的人,其可能在網(wǎng)站客戶端的服務(wù)條款中規(guī)定,只有反對墮胎的人才能登錄其網(wǎng)站。如果有人在該網(wǎng)站上支持墮胎,則觸犯了服務(wù)條款,構(gòu)成犯罪。(54)參見Intel Corp. v. Hamidi, 114 Cal. Rptr. 2d 244, 255 (Cal. Ct. App. 2001), rev’d, 71 P.3d 296 (Cal. 2003).于是,這種制度就變成了組織或者個人壓制不同言論自由的工具。這不僅有悖于罪刑法定原則,也有違憲的嫌疑。(55)參見Fallon R H. Making Sense of Overbreadth. The Yale Law Journal, 1991, 100(4): 853-908..
總之,計算機的服務(wù)條款就像棒球賽門票上的條款一樣,不僅不能改變持票人進入賽場的權(quán)利,也不能成為追究違反該條款的行為的刑事責(zé)任的根據(jù)。
與規(guī)范的同意不同,學(xué)界將建立在事實同意基礎(chǔ)之上的同意,稱為記述的同意。當(dāng)出現(xiàn)脅迫、欺詐和行為能力欠缺等情形時,記述的同意的效力通常會受到影響。對于侵入計算機罪而言,由于被害人與行為人在時空上往往是分離的,脅迫和無行為能力的情況很難遇到,因此,影響計算機同意效力的,通常是欺詐,如規(guī)避認(rèn)證限制的訪問因欺詐而使計算機同意無效。計算機同意是否也會因越權(quán)訪問而無效呢?我們認(rèn)為答案是否定的,主要理由有:
首先,越權(quán)訪問通常是指行為人在注冊(賬戶)時,原本想遵守服務(wù)條款,事后反悔,違反其事前的承諾的情況。比如,前面提到的美國在線公司訴保健中心案中,被告人在注冊郵箱時,網(wǎng)站的服務(wù)條款顯示:用戶須不得利用該郵箱收集其他人的郵址,發(fā)送違法或者商業(yè)廣告。被告人注冊成功后,違反以前的承諾。這種行為并不觸犯計算機侵入禁止,因為按照時間順序,這里存在著被告人登錄郵箱、發(fā)布違規(guī)廣告兩個行為。由于兩者發(fā)生的時間不同,且相互獨立,所以,后行為的瑕疵無法影響前行為的效力,即,發(fā)布廣告超越了網(wǎng)站的授權(quán),但登錄郵箱卻存在著計算機同意,因此,前行為并不觸犯計算機侵入禁止。
其次,越權(quán)訪問還存在著一種極端的情況,即用戶在注冊賬戶時根本沒有遵守服務(wù)條款的意思,但為了注冊成功,假裝同意該條款,事后違反規(guī)定而使用該賬戶的,構(gòu)成允諾的欺詐。(56)參見Ayres I, Klass G. New Rules for Promissory Fraud. Social Science Electronic Publishing, 2006(4).這種欺詐與越權(quán)訪問的區(qū)別,僅僅體現(xiàn)在用戶注冊時的心理不一樣上,客觀上并沒有什么不同,即無法從證據(jù)法的角度,對兩者進行區(qū)分。(57)參見Podgor E S. Criminal Fraud. American University Law Review, 1999, 48(4): 729-767; K. Shapira Ettinger, The Conundrum of Mental States: Substantive Rules and Evidence Combined ,Cardozo Law Review, 2007(28):2577-2596在大多數(shù)情況下,法院往往根據(jù)“無罪推定原則”,將其視為是違約,即為有權(quán)訪問。
最后,即使被告人在注冊時,做了虛假承諾,事后的“越權(quán)”訪問通常也不觸犯計算機侵入禁止,理由是,被告人的虛假陳述針對的是服務(wù)條款的遵守,而不是訪問計算機的行為本身。換言之,計算機對“侵入行為”未產(chǎn)生認(rèn)識錯誤,僅僅對放棄法益(允許其進入)的行為的回報、條件、后果或者意義產(chǎn)生認(rèn)識錯誤(學(xué)界稱為誘因欺詐),這種錯誤不影響計算機同意的效力。(58)參見Kerr O S. Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes. Social Science Electronic Publishing, 2004(5).理由是物理世界里的侵入禁止規(guī)范就遵守這樣的規(guī)則,比如,行為人欺騙賣淫女說,如與其發(fā)生性行為,給予兩千元。行為人事后拒絕給付的,只評價為“違約”,因為被害人對(性)行為本身是同意的,其之錯誤僅僅指向于放棄法益的行為所產(chǎn)生的期待或者回報,故這屬于債權(quán)債務(wù)糾紛,即被害人對性行為的同意,在刑法上有效,能阻卻強奸罪的該當(dāng)性的成立。(59)參見羅克辛:《德國刑法學(xué)總論(第1卷)》,王世洲譯,法律出版社2005年版,第376頁。See,People v. Minkowski, 23 Cal. Rptr. 92 (Cal. Ct. App. 1962). See, People v. Donell, 32 Cal. Rptr. 232, 234-35 (Cal. Dist. Ct. App. 1973); State v. Boggs, 164 N.W. 759, 760 (Iowa 1917); State v. Mularky, 218 N.W. 809, 810 (Wis. 1928).事實上,妓女在作出同意的意思表示時,通常會意識到嫖客不給付嫖資的風(fēng)險存在。在讓用戶答應(yīng)遵守使用條款時,機主也應(yīng)預(yù)見到用戶有可能事后“違約”,這也是其在服務(wù)條款中制定處罰規(guī)則的原因所在。比如新浪微博的使用條款規(guī)定,“用戶以任何方式損害微博運營方及其關(guān)聯(lián)公司的商譽或信譽等合法權(quán)益”的,可以終止提供服務(wù)。這意味著新浪網(wǎng)在接受注冊時,已經(jīng)意識到用戶很有可能對此作虛假陳述。如果有人通過微博對新浪的經(jīng)營提出批評,只能以此追究其責(zé)任,但這絕不會構(gòu)成侵入計算機罪。規(guī)避認(rèn)證的訪問也構(gòu)成欺詐,不過,被害人是對放棄的法益的種類、范圍或者危險性等,產(chǎn)生認(rèn)識錯誤,對侵入行為本身產(chǎn)生認(rèn)識錯誤(學(xué)界將其稱為事實欺詐)。比如,被告人以猜出的用戶名和密碼登錄他人的郵箱,這與婦科醫(yī)生欺騙女患者,將性行為說成是子宮檢查一樣。盡管也存在著被害人同意,但這種同意指向的對象是子宮檢查(賬戶的戶主登錄),而不是性行為(非戶主登錄),所以,被告人構(gòu)成強奸罪。
人們借助事實欺詐與誘因欺詐區(qū)分的理論,解釋違約行為(如越權(quán)訪問)不能入罪的原因,最早出現(xiàn)在16世紀(jì)。(60)有學(xué)者指出,一般來說,如果欺騙造成對事實本身的誤解(契據(jù)性質(zhì)欺詐),則沒有法律認(rèn)可的同意,因為同意并不是對所發(fā)生的事實做出的;而對于誘因欺詐而言,如果欺騙并不涉及所實施的行為,而是涉及一些間接的事實,這種同意則是有效的。Rollin M. Perkins & Ronald N. Boyce, Criminal Law, New York: TheFoundation Press, Inc. 1982:1079; Gifford R W. Will or No Will? The Effect of Fraud and Undue Influence on Testamentary Instruments. Columbia Law Review, 1920, 20(8):862-880.其目前主要受到兩個方面的質(zhì)疑:其一,事實欺詐與誘因欺詐的邊界有主觀任意性,極易滋生刑法威權(quán)主義,比如,醫(yī)生給患者打電話謊稱,與其發(fā)生性行為才能治療其疾病?;颊哒`信其言,從而發(fā)生性關(guān)系。有的法院認(rèn)為此為誘因欺詐,因為被害人對性行為本身沒有產(chǎn)生認(rèn)識錯誤,只是對后果或者意義(治療疾病)產(chǎn)生認(rèn)識錯誤,故其做出的同意有效,可以阻卻強奸罪的成立。(61)參見Boro v. People, 210 Cal. Rptr. 122 (Cal. Ct. App. 1985). 在該案中,被害人接到自稱為“斯蒂芬醫(yī)生”的電話,告訴被害人說,他在當(dāng)?shù)匾患裔t(yī)院工作,并對其血樣進行了檢查,其感染了極為危險、甚至?xí)?dǎo)致其死亡的病毒。 被告人告訴被害人說,這種病毒來自于公廁,其治療要么通過極為疼痛的手術(shù),要么與已經(jīng)對此病毒產(chǎn)生抗體的人發(fā)生性行為。被告人誤信了被害人的話,才與其發(fā)生性行為。也有法院認(rèn)為,這種行為構(gòu)成事實欺詐,應(yīng)當(dāng)追究行為人強奸罪的刑事責(zé)任,這表明事實欺詐與誘因欺詐之間沒有明確的邊界。(62)參見Luis E.Chiesa, Solving The Riddle Of Rape-By-Deception, Yale Law & Policy Review, 2017(35):407-460.其二,有鼓勵人身法益“商業(yè)化”的嫌疑。比如行為人欺騙被害人說:“砍掉你的小拇指,我給你一萬元?!笔潞缶芙^給付。如果根據(jù)事實欺詐與誘因欺詐區(qū)分的理論,這種行為構(gòu)成誘因欺詐,屬于違約,刑法不禁止,這顯然是在鼓勵人身交易。(63)參見羅克辛:《德國刑法學(xué)總論(第1卷)》,王世洲譯,法律出版社2005年版,第377頁以下。
這些質(zhì)疑是有一定的道理的,但是,其一,作為事實欺詐與誘因欺詐的上位概念的欺詐,本身就有模糊性,(64)究其原因:一則,在其定義中一直存在著兩個有關(guān)聯(lián)的主觀要素(即被告人的心理與被害人的心理);二則,由于存在著諸如“空城記”之類的“不欺售欺”現(xiàn)象,立法者無法記述其定義;三則,其有一個合法的外觀(即合同)。Buell S W. Novel Criminal Fraud. Social Science Electronic Publishing, 2006, 81(6):1971-2043.這也是欺詐有時評價為違約,有時評價為侵權(quán)甚至犯罪的原因。至于如何對上述情況進行劃分,目前仍未找到一個客觀的標(biāo)準(zhǔn)。(65)參見楊春然:《欺詐:違約、侵權(quán)抑或犯罪?——以民刑邊界理論為中心展開》,載《刑法論叢》2017年第1期。既然欺詐的模糊性不能否定欺詐制度的存在,就不能以此為由否定事實欺詐與誘因欺詐劃分的合理性。至于所列舉的例證,本身也有問題。一般來說,對于以治療疾病為由而騙取性利益的行為,只要被害人對性行為本身未產(chǎn)生認(rèn)識錯誤,通常構(gòu)成誘因欺詐。而在法院否定成立誘因欺詐的案件中,被害人當(dāng)時年僅15周歲,且由于擔(dān)心治療之痛苦,而才選擇性行為的,故其表面上屬于誘因欺詐,實質(zhì)有脅迫的成分,即被告人的欺騙造成被害人性自決權(quán)的喪失,所以,該例證不能成為否定事實欺詐與誘因欺詐區(qū)分的根據(jù)。(66)參見Gifford R W. Will or No Will? The Effect of Fraud and Undue Influence on Testamentary Instruments. Columbia Law Review, 1920, 20(8):862-880.其二,這種理論僅僅適用于犯罪該當(dāng)性的評價,而不是違法性的評價。換言之,被害人須對放棄的法益,享有完全的處理權(quán),否則,通過欺騙,讓被害人處理其本來無權(quán)處理的法益,這種處理的效力當(dāng)然會受影響,比如欺騙他人自殺或者自殘的,就不能適用這種理論。(67)楊春然:《論被傷害權(quán)對同意效力范圍的限制——兼論被害人同意在三階層犯罪論體系中的位置》,載《清華法學(xué)》 2013年第7期。所以,這根本不存在鼓勵人身交易的問題。其三,至少對于傳統(tǒng)侵入禁止規(guī)范而言,如果不堅持這樣的區(qū)分,很多問題無法解釋。比如,出于欺詐而進入他人住宅的,雖然有可能構(gòu)成其他的犯罪,但這決不會評價為侵入住宅罪,而出于盜竊或者無端地進入他人的住宅的,則構(gòu)成侵入住宅罪。如果否定事實欺詐與誘因欺詐的區(qū)分,則很難對上述現(xiàn)象進行解釋。
毋庸諱言,幾乎所有的理論都有一定的缺陷或者局限性,越權(quán)訪問不構(gòu)成犯罪也不例外。事實上,我國刑法第219條規(guī)定的侵犯商業(yè)秘密罪,(68)如行為人將其合法獲得的他人的商業(yè)秘密,違反保密協(xié)議而披露給他人,就是將違約行為入罪。第196條第4款規(guī)定的信用卡詐騙罪,都是將違約行為入罪的例證,即違約行為不構(gòu)成犯罪僅為一般性原則,并非絕對。(69)從這個角度看,在諸如Explorica和Verio案中,擴張解釋“未經(jīng)授權(quán)的訪問”是錯誤的,因為他們忽視了契據(jù)性質(zhì)欺詐與誘因欺詐的區(qū)別,這種理論構(gòu)成包含同意或者授權(quán)性要素的刑法禁止的一般性的限制。Verio 和 Explorica都將該案視為是契據(jù)欺詐,擴張了計算機犯罪法的自然的邊界。如果越權(quán)訪問違反以下標(biāo)準(zhǔn),有可能入罪:
首先,預(yù)期功能標(biāo)準(zhǔn)。這種觀點是由美國的莫里斯案的判決率先提出的。(70)參見United States v.Morris, 928 F.2d 504 (2d Cir. 1991).被告人發(fā)現(xiàn)當(dāng)時的計算機網(wǎng)絡(luò)在郵箱、互聯(lián)網(wǎng)查詢、使用第三方計算機和簡易密碼保護等方面,存在著嚴(yán)重的安全隱患。(71)同⑤。為了向社會證明這一結(jié)論,被告人設(shè)計了一種名為“蠕蟲”的程序,發(fā)送到自己的郵箱。該程序即刻借助門戶網(wǎng)站的軟件,進行自我安裝,并感染郵箱內(nèi)的文件,使之變成病毒,在網(wǎng)絡(luò)間自動傳播。為了控制這種軟件的自我復(fù)制功能,被告人原本設(shè)置了一個密碼。然而,感染第三方計算機后,密碼突然失效。由于其自我復(fù)制速度極快,最終導(dǎo)致當(dāng)時的網(wǎng)絡(luò)癱瘓??胤街缚仄錁?gòu)成侵入計算機罪。(72)美國法第1030(a)(5)(A)條。被告人認(rèn)為,其開始訪問的是康奈爾大學(xué)、哈佛大學(xué)和伯克利大學(xué)的網(wǎng)站。由于其在這些網(wǎng)站都注冊了賬戶,故向這些計算機發(fā)送該軟件,屬于有權(quán)訪問,最多評價為越權(quán)訪問;至于其他的計算機受到感染,這是該軟件自身失控造成的,并非是其故意而為,因此,其不應(yīng)承擔(dān)刑事責(zé)任。上訴法院認(rèn)為,被告人雖然有權(quán)訪問其注冊的郵箱,但郵箱旨在于傳輸信息,詢問程序旨在于讓用戶向其他的用戶提問題。被告人既沒有接發(fā)郵件,也沒有提問,而是基于這兩個程序的漏洞從而安裝軟件,這與從窗子中闖入他人住宅無異,即使其有權(quán)進入他人住宅,也觸犯侵入禁止規(guī)范。至于感染的第三方的計算機,是軟件通過猜出密碼進行的,這如同撬鎖而進入他人房間,并不存在被害人同意的問題。這樣,即使行為人有權(quán)訪問他人的計算機,只要不尊重被訪問計算機軟件的預(yù)期功能,同樣觸犯侵入禁止規(guī)范,構(gòu)成犯罪。
根據(jù)該法院的判決,預(yù)期功能標(biāo)準(zhǔn)具有以下的特點:其一,預(yù)期是社會或者一般人賦予給特定軟件的功能或者其存在的目的,這與墻壁限制他人闖入、窗戶用于通風(fēng)一樣。(73)參見Sendmail Frequently Asked Questions, at http://www.sendmail.org;Pekka Himanen, The Hacker Ethic and the Spirit of the Information Age (2001).因此,被告人的行為是否有悖于特定軟件的預(yù)期功能,取決于社會一般理性人的看法。這就意味著用戶通常不得利用程序的設(shè)計缺陷而訪問他人的計算機。其二,預(yù)期功能實際代表著被害人同意的范圍,或者構(gòu)成法律同意的限制。也就是說,被告人應(yīng)尊重軟件或者計算機的預(yù)期功能,否則,即使有權(quán)進入他人的計算機,當(dāng)違反預(yù)期功能時,也會認(rèn)為其之訪問缺乏被害人同意。其三,違反預(yù)期功能的行為須給被訪問的計算機造成損害,是刑法干預(yù)這種行為的前提。然而,由于預(yù)期功能標(biāo)準(zhǔn)主要解決內(nèi)部人,通過黑客或者病毒技術(shù)攻擊他人計算機的行為,故其適用范圍非常狹窄。(74)這種區(qū)分主要源自于國會對美國聯(lián)邦未授權(quán)訪問法(第1030條)的解釋,見S. Rep. No.104-357, at 4 (1996) ,其規(guī)定,對于侵入政府計算機信息系統(tǒng)的行為,該法僅僅適用于未經(jīng)授權(quán)的外部人的侵入,政府雇員因此獲得政府信息的,可能是敏感的,甚至是秘密的,都不得處罰,法律另有規(guī)定的除外。S. Rep. No. 99-432, at 10 (1986).
其次,義務(wù)沖突標(biāo)準(zhǔn)。雇員與雇主之間通常存在著合同關(guān)系,根據(jù)預(yù)期功能標(biāo)準(zhǔn),雇員按照程序常規(guī)功能,越權(quán)使用雇主的計算機而侵犯其利益的行為,即使其行為危害極大,也不構(gòu)成侵入計算機罪。比如,被告人唆使被害人的雇員在離職前,登錄單位的計算機獲得商業(yè)秘密和財產(chǎn)信息。這種惡意訪問最多評價為違約,或者違反工作紀(jì)律的行為。為了解決這個問題,出現(xiàn)了義務(wù)沖突授權(quán)終止標(biāo)準(zhǔn)(即義務(wù)沖突標(biāo)準(zhǔn))。(75)參見Shurgard Storage Centers, Inc. v. Safeguard Self Storage, Inc 119 F. Supp. 2d 1121 (W.D. Wash. 2000).理由是,在物理世界,公司負責(zé)收發(fā)貨物的雇員,通過偽造簽名的方式而將公司的財物據(jù)為己有的,不構(gòu)成違約,而是盜竊。同理,公司的員工利用職務(wù)之便,通過訪問雇主的計算機,獲得商業(yè)秘密,并將此發(fā)送給公司的競爭對手的,也應(yīng)構(gòu)成犯罪,因為義務(wù)沖突會使得員工的代理權(quán)終止,其登錄公司計算機的行為由有權(quán)訪問,變成未經(jīng)授權(quán)的訪問。(76)代理人獲得與被代理人存在著利益沖突一方的利益或者實施嚴(yán)重違反對被代理人的忠實義務(wù)時,如果被代理人不知,代理權(quán)中止,另有約定的除外。United States v. Galindo, 871 F.2d 99 (9th Cir.1989)。需要指出的,該案雖然提出的禁令與損害賠償,其根據(jù)的卻是18 U.S.C. § 1030(a)(2)(C)規(guī)定的刑法禁止,這也是該案爭議的主要焦點。美國《代理法重述(第二版)》第112條。
義務(wù)沖突標(biāo)準(zhǔn)的根據(jù)是勞動法中的雇員忠實義務(wù)、保密義務(wù)和競業(yè)禁止規(guī)則,即違反該標(biāo)準(zhǔn)的行為,在表面上屬于違約行為,實質(zhì)為違法行為(觸犯了強制性的法律)。這樣,一旦雇員有悖于雇主的利益而使用其計算機,該雇員就不再是該雇主的代理人了,其對雇主計算機的訪問,就變成了未經(jīng)授權(quán)的訪問,雇員有可能構(gòu)成侵入計算機罪、商業(yè)間諜罪或者侵犯商業(yè)秘密罪。然而,根據(jù)這個標(biāo)準(zhǔn),雇員不是出于工作原因而使用雇主的計算機,都有可能被視為是犯罪,這必然會導(dǎo)致刑法向合同法領(lǐng)域擴張,危及契約自由,因此,這個標(biāo)準(zhǔn)需要限制:當(dāng)行為人自己的正常利益或者興趣與被害人發(fā)生沖突時,該標(biāo)準(zhǔn)不適用。比如,稅務(wù)局的職員違反單位的規(guī)定,查看其友人以及仇人的納稅申報表,受到了刑事指控。(77)參見United States v. Czubinski, 106 F.3d 1069, 1078 (1st Cir. 1997) .法院就以越權(quán)訪問為由,否定這種指控。再比如,在美國馬里蘭州的Briggs案中,被告人是程序管理員,由于對雇主不滿,在辭職前,將公司的重要文件放到一個設(shè)有密碼的文件夾中。雇主不知密碼,無法打開文件夾,而被告人又拒絕向雇主提供。檢方對雇員提起刑事指控,法院認(rèn)為,程序管理員有權(quán)訪問雇主的計算機。盡管他的行為有問題,但這并非是未經(jīng)授權(quán)的訪問,而是越權(quán)訪問,不構(gòu)成犯罪。(78)參見Briggs v. Maryland 704 A.2d 904 (Md. Ct. App. 1998).這樣,雇員出于損害雇主利益的目的而進行的訪問,屬于該刑法禁止打擊的范圍,這與前面提到的行為人將公司的財物據(jù)為己有是相同的。這種標(biāo)準(zhǔn)的缺陷是,僅僅適用于雇員侵犯雇主利益的情況,范圍過窄,不具有一般性。
最后,合理預(yù)期標(biāo)準(zhǔn)。這個標(biāo)準(zhǔn)最早也來自于物理世界,是由米切姆案的判決提出的。店主在柜臺上放了一盒火柴,以便于顧客抽煙。(79)參見Mitchum v. State, 45 Ala. 29 (1871).但是,被告人卻將整盒火柴拿走,于是受到盜竊罪的指控。被告人以越權(quán)為由進行辯護,即,其有權(quán)拿走一根火柴,而拿走一盒火柴應(yīng)為越權(quán)行為,不構(gòu)成犯罪。法院指出,只拿走一根火柴,不違背店主的意愿;如拿走整盒火柴,則會否定店主的善舉。從這兩個方面看,被告人的行為超出了店主決定實施該善舉時的合理預(yù)期,即顧客不會拿走整盒火柴,因此,被告人的行為缺乏被害人同意,構(gòu)成盜竊罪。后來,法院在侵入禁止規(guī)范中,引入了這一原則。如被告人冒充被害人的丈夫而發(fā)生性行為,法院認(rèn)為屬于事實欺詐,被害人同意無效,理由是這超出了被害人的合理預(yù)期,動搖了同意的基礎(chǔ)。(80)參見People v. Bush, 623 N.E.2d 1361, 1364 (1993) .
在計算機領(lǐng)域內(nèi),F(xiàn)ugarino案的判決,就適用了這一標(biāo)準(zhǔn)。在該案中,被告人是公司唯一的程序員,后來公司又雇了一個。被告人對此極為憤怒,于是,其登錄雇主的網(wǎng)站,將其密碼區(qū)直接刪除,且對公司恢復(fù)其原有系統(tǒng)的要求,置之不理。公司報案,初審法院認(rèn)定被告人的行為構(gòu)成犯罪,被告人不服上訴,上訴法院駁回,理由是,作為公司的程序員,通常是有權(quán)出于工作的需要而刪除文件的,但沒有權(quán)利刪除程序的密碼,因為其屬公司所有。被告人出于泄憤之目的而刪除密碼區(qū)域,出乎雇主的合理預(yù)期,其行為構(gòu)成未經(jīng)授權(quán)的訪問。這樣,將公司的重要數(shù)據(jù)放在有密碼限制的子目錄中,不構(gòu)成犯罪,但刪除卻構(gòu)成犯罪,理由就是后者超出了雇主的合理預(yù)期。
根據(jù)該標(biāo)準(zhǔn),行為人的越權(quán)訪問是否構(gòu)成犯罪,關(guān)鍵要從一般人的角度看,被告人的行為是否具有可預(yù)期性。如有,則表明被害人是愿意承擔(dān)這種違約的風(fēng)險的,屬于當(dāng)事人自擔(dān)風(fēng)險的范疇,刑法沒有干預(yù)的必要。相反,被害人對被告人侵犯法益的行為,在訂立合同時,不可能也不應(yīng)當(dāng)預(yù)測到,行為人的行為則處在被害人同意范圍之外,其會動搖被害人訂立合同或者放棄法益的意思表示的基礎(chǔ),屬于事實欺詐,而非誘因欺詐。
由于合理預(yù)期標(biāo)準(zhǔn)的適用范圍較寬,所以,較之于其他兩個標(biāo)準(zhǔn),有一定的模糊性,不過,其有以下的意義:其一,能在一定程度上揭示前面兩個標(biāo)準(zhǔn)的正當(dāng)性。違反預(yù)期功能標(biāo)準(zhǔn)或者義務(wù)沖突標(biāo)準(zhǔn)的行為之所以入罪,主要原因是違反了被害人在訂約時的合理預(yù)期。其二,還能解釋為什么有時誘因欺詐會視為是事實欺詐,即,當(dāng)作為放棄法益的意義或者回報非常重要,從一般人的角度看,會直接影響放棄法益的行為的正當(dāng)性,誘因欺詐應(yīng)當(dāng)與事實欺詐的后果相同。其三,還有劃分刑法意義上的詐騙與違約之間邊界的功能,即在訂約時,一般人認(rèn)為被告人的事后違約違反了合理預(yù)期,構(gòu)成詐騙罪(或者侵權(quán)),相反,則構(gòu)成違約。總之,越權(quán)訪問通常只能作為民法上的違約行為,最多是侵權(quán),不構(gòu)成犯罪,被害人只能以原告的身份,通過訴訟阻止被告人的行為。但是,當(dāng)越權(quán)行為突破了正常人的合理預(yù)期時,其就會變成純粹的無根據(jù)的訪問,即未經(jīng)授權(quán)的訪問。
賦予認(rèn)證制度以刑法意義,并不是說網(wǎng)絡(luò)政策應(yīng)以刑事責(zé)任為基礎(chǔ),畢竟用公權(quán)力規(guī)制網(wǎng)絡(luò),極易讓人對網(wǎng)絡(luò)產(chǎn)生恐懼,影響其活躍程度。網(wǎng)絡(luò)的開放性更鼓勵機主通過民法調(diào)整其與用戶的關(guān)系,這也是計算機立法的最大教訓(xùn)。在評價用戶規(guī)避機主限制的訪問時,網(wǎng)絡(luò)的開放性是一個不容忽視的因素。
如前所述,目前很多瀏覽器都有制作cookies的功能。當(dāng)用戶隨后再度訪問時,瀏覽器會自動將此記錄傳輸給所訪問的網(wǎng)站,因此,有很多網(wǎng)站藉此限制用戶訪問。比如,有的網(wǎng)站允許用戶瀏覽其網(wǎng)頁上的視頻,過程會以cookies的方式,記錄并存儲在該用戶的硬盤中。當(dāng)這種記錄達到一定的量或者次數(shù)時,其會自動彈出一個頁面,提醒該用戶要付費訂閱,否則,阻止該用戶繼續(xù)瀏覽或者訪問。此時,用戶自己電腦中的cookies就成了限制自己的工具。這樣,很多用戶就通過定期清理其電腦中的cookies的方式,逃避繳納服務(wù)費用,這種做法是否觸犯計算機侵入禁止規(guī)范呢?答案應(yīng)是否定的,主要理由有:其一,cookies是用戶的計算機記錄其上網(wǎng)的體驗,其本身并不具有阻止用戶訪問的功能。用戶完全可以根據(jù)自己的需要,保存、拒絕甚至刪除自己電腦中的cookies,即用戶沒有幫助網(wǎng)站限制自己的義務(wù)。其二,即使用戶不通過刪除cookies的方式,也可以使用不同的瀏覽器或其他的計算機訪問該網(wǎng)站,此時,這種cookies就不會再構(gòu)成訪問的障礙了。最后,用戶通過及時清理cookies進行“違規(guī)訪問”的做法,作為網(wǎng)站是完全可以預(yù)測到的,這并不能切實地阻止用戶訪問,即這與驗證碼制度相似,最多評價為訪問速度限制(即需要清除上次訪問的記錄),而不構(gòu)成訪問的障礙。換言之,通過cookies制造訪問的障礙,用戶完全可以克服,故其不構(gòu)成法律上的被害人不同意。
與之不同,有的網(wǎng)站為了給用戶提供質(zhì)量更高的服務(wù),而通過cookies技術(shù)收集其上網(wǎng)的信息。比如,用戶登錄自己的郵箱或者打開某文件后,其瀏覽器就會產(chǎn)生相應(yīng)的cookies,將其存儲在自己的電腦中。當(dāng)用戶再次登錄該郵箱時,網(wǎng)站借助cookies技術(shù),將其上次關(guān)閉的頁面直接打開,不再出現(xiàn)認(rèn)證頁面。在這里,cookies實際上等同于臨時密碼,具有識別賬戶和提供訪問機會的功能。這樣,如果第三方通過劫持他人的cookies,然后將其拷貝到自己的瀏覽器中,就可以在未得到用戶許可的情況下,訪問他人的郵箱或者賬戶了。這當(dāng)然構(gòu)成未經(jīng)授權(quán)的訪問,因為被告人劫持并使用這種信息,與盜竊別人的鑰匙而進入他人住宅無異,當(dāng)然觸犯計算機侵入禁止規(guī)范。
目前還有一種限制甚至剝奪用戶訪問權(quán)的方式,即封鎖IP地址。比如,美國的3Taps案(即本文開始提到的案例2)。法院認(rèn)為,被告人原本有訪問該網(wǎng)站并獲取信息的權(quán)利,但被害人將被告人的這種權(quán)利撤銷,并封鎖了其IP地址,則表明其已經(jīng)沒有訪問權(quán)了,再進行防問,則觸犯計算機侵入禁止規(guī)范。這種判決是有問題的,主要理由有:
其一,在本案中,機主一方面向全世界發(fā)布數(shù)據(jù),另一方面,又通過聲明或者信函的方式,阻止他人獲取網(wǎng)絡(luò)上公布的信息,不允許特定的用戶瀏覽。這種聲明或者信函不應(yīng)獲得刑法的認(rèn)可,理由是,在物理世界,既然報社對于發(fā)表在報紙上的信息,沒有禁止特定的人觀看的權(quán)利,所以,網(wǎng)站對自己公開的信息,也無權(quán)排斥特定人觀看。這樣,在網(wǎng)上發(fā)表文件,意味著是向所有的人披露。
其二,IP是由一組數(shù)字組成的,代表的是“網(wǎng)絡(luò)之間的互連協(xié)議”分配給每一個網(wǎng)站和主機的邏輯地址。在因特網(wǎng)上,用戶的電腦可以向網(wǎng)絡(luò)服務(wù)器發(fā)出請求,服務(wù)器接受后,向該IP地址發(fā)送數(shù)據(jù)。如果網(wǎng)站發(fā)現(xiàn)某IP地址的用戶存在著違規(guī)行為,可以通過封鎖該地址,阻止訪問,因此,封鎖IP地址可以限制用戶訪問。不過,這種限制并不構(gòu)成真正的訪問障礙,主要理由有:一則,在現(xiàn)實中,很多用戶的IP地址是不固定的,而是定期改變,故這種方法無法阻止這些用戶的訪問。二則,有的用戶擁有多臺計算機,故可能擁有多個IP地址。比如,目前人們的手機、家庭電腦和辦公室的電腦,所使用的通常并非是同一個IP地址。這樣,網(wǎng)站封鎖了辦公室的電腦,但家庭電腦或者手機,甚至是鄰居的電腦,都可以合法地訪問該網(wǎng)站,畢竟這些IP地址未被封鎖。如果上述判決成立的話,則意味著通過改變IP地址的訪問構(gòu)成犯罪,而換一臺電腦訪問屬于合法行為,顯然是荒唐的!三則,一些專業(yè)用戶甚至通過虛擬的個人網(wǎng)絡(luò),進行訪問,即,他們敲擊幾下鍵盤就能輕易地改變IP地址。由于是否改變自己的IP地址是用戶的權(quán)利,故這種方法僅僅約束那些只有一臺電腦且不懂網(wǎng)絡(luò)技術(shù)的人,這很明顯違反公平原則,也背離了公共領(lǐng)域不得歧視原則。
其實,封鎖IP的行為相當(dāng)于權(quán)利人將其物品放在廣場上,但周圍設(shè)置一個很矮的屏障。由于人們伸長脖子、踮起腳尖,即可繞開障礙物,看到該物品,所以,這仍然意味著權(quán)利人同意他人看到,盡管其心里可能并不這樣想。這也等同于馬路上的減速帶,其并非阻止通行,而是為了降低行駛速度。其實,通過隱藏網(wǎng)址或者把網(wǎng)址設(shè)計的非常復(fù)雜,不希望更多的人看到,與這種情況完全相似。因此,即使有人通過特制的軟件,將其搜索到,也不觸犯計算機侵入禁止規(guī)范。然而,如果行為人通過規(guī)避驗證碼限制或者IP限制,以突然劇增訪問量的方式,攻擊目標(biāo)計算機的,由于違反前面提到的預(yù)期功能標(biāo)準(zhǔn),則有可能構(gòu)成侵入計算機罪。
密碼共享是指一個賬戶和一個密碼,由兩個以上的人共同享有,且其間并不存在著代理關(guān)系的情況。如金融服務(wù)公司在網(wǎng)站上提供有償?shù)慕鹑谛畔⒎?wù),客戶要獲得該服務(wù),需事前注冊賬戶,并支付一定的費用。被告人與該網(wǎng)站客戶的雇員私下交易,共享該客戶在該網(wǎng)站注冊的用戶名和密碼。于是,被告人使用該客戶的認(rèn)證信息,訪問該網(wǎng)站,獲取相應(yīng)的金融信息,避免向被害人支付費用。這種共享賬戶和密碼的訪問,是否觸犯計算機侵入禁止規(guī)范呢?
賬戶持有人注冊賬戶并支付了一定的費用,獲得了網(wǎng)站的授權(quán),其之訪問存在著計算機同意,屬于有權(quán)訪問。當(dāng)該賬戶持有人將認(rèn)證信息告訴給第三人時,如果第三人為賬戶持有人的代理人,其訪問也應(yīng)評價為有權(quán)訪問,即代理人與賬戶所有人享有相同的權(quán)利,因為代理人就是本人。這等同于雇員出于工作之目的訪問雇主的賬戶。當(dāng)被告人并不是客戶的代理人時,其之訪問則觸犯計算機侵入禁止規(guī)范。道理很簡單,比如,被害人將自己家中的鑰匙給了甲,允許甲使用這把鑰匙,但甲并沒有權(quán)利將該鑰匙再授權(quán)給第三人乙,除非乙是甲的代理人或者被害人當(dāng)時允許甲可以讓其他人到其家中。
上述案件中,被告人通過密碼訪問被害人的網(wǎng)站,其并不是客戶的代理人。盡管支付了一定的費用,但網(wǎng)站的所有人沒有獲得。再加上,被告人的訪問是為了自己的利益,而不是為了幫助被害人的客戶,這無異于通過猜出或者盜竊的密碼而進行的訪問?;谶@個原因,被告人的行為構(gòu)成未經(jīng)授權(quán)的訪問。不過,這里存在著一個問題:客戶在注冊時,被害人制定的使用條款規(guī)定,“用戶不得將其認(rèn)證信息出售或者告知第三人”,客戶的雇員事后違反該條款,將其出售給第三人,為什么不評價為違約,而認(rèn)定為犯罪呢? 主要理由有:第一,被告人是第三人,不是被害人的客戶或者代理人,被告人與被害人之間沒有合同關(guān)系,即無約可違;第二,使用條款是由被害人創(chuàng)建的,其之效力僅僅局限于與其有合同關(guān)系的客戶與自己,不會給被告人創(chuàng)設(shè)任何的權(quán)利或者義務(wù)??蛻暨`反了使用條款,被害人可以通過暫停賬戶、限制該賬戶使用范圍或要求支付違約金的方式,進行處罰,其卻無法追究被告人的責(zé)任。第三,網(wǎng)站向賬戶的持有人授權(quán),不同于賬戶的持有人授權(quán)第三人。根據(jù)認(rèn)證的規(guī)定,網(wǎng)站給用戶建立賬戶,是向賬戶的持有人及其代理人的授權(quán)。賬戶持有人卻沒有再向他人授權(quán)的權(quán)利,因此,非出于代理關(guān)系的第三人訪問,屬于未經(jīng)授權(quán)訪問的范疇,而非是違約行為。
貝林格在一百多年前就曾指出,刑法禁止規(guī)范中不得有“違法”“不法”或者“非法”之類的表述,因為這不僅破壞了刑法的自足性和明確性,而且,還極易使刑法的規(guī)范分析變成循環(huán)論證。事實上,我國的非法侵入公民住宅罪完全可以用侵入公民住宅罪表達,因為“侵入”本身含有“非法”或者“不正當(dāng)”的意思,其無須再用“非法”進行修飾或者補充。同理,計算機侵入禁止條文中也不應(yīng)當(dāng)有“非法”的概念,而應(yīng)當(dāng)將 “未經(jīng)授權(quán)訪問他人計算機的”作為該罪的標(biāo)簽,以此提高該刑法禁止的明確性。需要說明的是:其一,我國刑法第285條規(guī)定的三個處罰條件,即被害人為國家、獲取信息和控制他人的計算機,(81)該條的第4款規(guī)定的提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪,其實是第3條的幫助犯的正犯化。并非是行為規(guī)范(即侵入規(guī)范)的內(nèi)容,而是裁判規(guī)范的內(nèi)容,否則,意味著未經(jīng)許可進入個人的郵箱,只要不獲得信息(甚至未獲得一定數(shù)量的信息或者未控制計算機的),我國刑法第285條(計算機侵入禁止規(guī)范)是允許的,顯然是有問題的。其二,正是由于其為裁判規(guī)范(即法官的判斷規(guī)則)的內(nèi)容,故其之證明無需達到排除合理懷疑的程度,即其產(chǎn)生的錯誤判斷風(fēng)險應(yīng)由行為人承擔(dān)。(82)Dan-Cohen M. Decision Rules and Conduct Rules: On Acoustic Separation in Criminal Law. Harvard Law Review, 1984, 97(3):625-677;楊春然:《正當(dāng)化事由與免責(zé)事由——兼論行為規(guī)范與裁判規(guī)范的解構(gòu)》,載《中國刑事法雜志》2015年第2期。其三,“控制他人的計算機”并非是指機主失去對其計算機的控制,而是利用計算機“多功能、多用戶”的特點,未經(jīng)授權(quán)遠程使用他人計算機的情況。