2018年5月14日,联合国预防犯罪和刑事司法委员会第27届会议在奥地利首都维也纳召开,会议主题是“采取包括加强国内和国际合作在内的各种刑事司法措施预防和打击网络犯罪”。各国就如何开展多边国际合作打击网络犯罪问题展开激烈讨论:欧美一些国家主张采用欧盟主导制定的《布达佩斯网络犯罪公约》,而中国等国家认为应在联合国框架下制定新公约。本人在参会期间参与了相关议题的讨论,也对网络犯罪公约问题提出了自己的看法:

　　不可否认,《布达佩斯网络犯罪公约》(以下简称《布约》)有其优点:

　　一是《布约》较早地反映了信息社会犯罪趋势。欧美国家较早地应用信息技术与互联网,也较早地发现相关犯罪的危害。《布约》勾勒出打击网络犯罪公约的基本框架:包括刑事实体法、刑事程序法、国际合作,反映了国际社会共同打击网络犯罪的共同意愿,为加强国际司法合作创造了条件。

　　二是对相关犯罪进行初步分类。《布约》将犯罪分为:非法入侵、非法拦截等破坏计算机系统和数据机密性、完整性和可用性的犯罪;与计算机相关的伪造和诈骗等犯罪;网络儿童色情等与内容相关的犯罪;以计算机实施的与侵犯著作权及邻接权有关的犯罪。此外还规定了上述各类犯罪的未遂、帮助和教唆形态,法人责任。

　　三是在程序法方面。针对电子证据的特点,防止数据丢失,保持数据完整性,《布约》规定了计算机数据的快速保存,搜查、实时搜集和扣押计算机数据等规定,这些执法措施反映了信息时代获取电子证据的新特点,为打击网络犯罪提供指引,增进了预防网络犯罪的能力建设。

　　四是在国际合作方面。鉴于各国对网络犯罪的定罪差异和互联网特点,《布约》强化国际合作手段,如否认双重犯罪原则是司法协助的前提,规定跨境进入经同意的或者公开可获得的存储数据取证等措施,一定程度上克服了合作的障碍。

　　虽然《布约》作为地区性公约有其优点,但是若要发展成全球性公约仍有不足之处:

　　一是时代局限性。《布约》制定于2001年之前,当时世界反恐形势尚不严峻,斯诺登事件引发的网络安全担忧并不存在,云计算、大数据、互联网、人工智能等新技术尚未出现。因此,《布约》对近些年频繁出现的网络恐怖主义、网络洗钱、个人信息贩卖等新型犯罪均未涉及。相关犯罪范围的划定,法律规范与技术特点的契合等问题有待更新。

　　二是利益局限性。一些犯罪划定过宽,如不区分违法和犯罪行为的界限,侵犯知识产权入罪化过宽,反映了欧美信息强国保护知识产权的关切,体现了欧美国家的经济利益。一些犯罪划定过窄,如网络色情只包括儿童色情;没有将网络恐怖主义规定为犯罪,在911之后也没有修约,这反映了一些国家在反恐问题上的双重标准。

　　三是地域局限性。《布约》由欧盟国家制定,欧盟很多国家成人色情业合法化,故《布约》把成人色情排除在犯罪之外,这种欧美法律文化很难为世界各国接纳。此外,《布约》第32条b规定的无需另一方主管机关同意,可跨境从公开可获得的存储数据中取证,或经另一方公民同意,从其个人处取证等措施,与欧盟一体化水平较高有紧密联系,但如果在其他国家,则有侵犯司法主权之嫌。

　　四是签约封闭性。《布约》规定,非欧盟成员国加入公约须由部长委员会征得缔约国的一致同意,在部长委员会的投票中获得2/3以上多数的支持,并取得列席委员会投票的缔约国代表的一致支持,方可获邀请加入。同时《布约》设定了复杂程度堪比加入程序的修订程序。这严重限制了签约的效率,阻碍了根据技术和社会发展的及时修约。

　　习近平主席在今年4月的全国网络安全和信息化工作会议上明确指出,推进全球互联网治理体系变革是人心所向、大势所趋。《布约》虽然有其积极作用,但不具有发展成为全球性法律文书的基础,不能替代在联合国框架下的全球标准。未来,中国应充分利用自身网络大国的地位,在吸收包括《布约》在内的既有优秀成果的同时,凝聚最大共识,积极推动联合国框架下网络犯罪公约的制定:

　　一、定罪范围。在定罪范围上不仅要涵盖危害网络安全的犯罪,也要涵盖利用网络实施的犯罪。第一类是非法进入、攻击、破解、传播病毒、黑客等破坏网络和计算机系统稳定的行为;第二类是毁损、删除、破坏、修改或隐藏信息资料,窃取、贩卖个人信息等危害信息安全的行为;第三类是“互联网+传统犯罪”,包括将互联网用于恐怖主义犯罪,从事赌博、诈骗、贩毒、贩枪、色情等犯罪。就制定公约来讲,可不必纠缠于明确“网络犯罪”的边界和罪名列表,可以先将各国能达成共识的罪行纳入公约,并根据实践不断补充完善。

　　二、跨境取证。互联网的跨地区性使网络犯罪案件的跨境取证问题尤为突出:一是国家数据主权和司法管辖主权,与打击网络犯罪跨境取证的执法需求,以及云计算、大数据的技术应用,发生冲突。二是办案实践中嫌疑人、被害人均在同一国家,但利用他国网络资源实施犯罪的情况大量涌现。三是电子数据本身的脆弱性和易灭失性,对跨境取证的效率提出更高的要求。这些都对以“双重犯罪原则”为基础的传统司法协助制度提出了新的挑战。为此,亟待明确打击网络犯罪跨境取证的基本原则:一是明确国家数据主权和司法管辖主权,反对未经主权国授权或同意,通过本国跨国运营的互联网企业或者绕过网络安全保护措施的技术方法,擅自提取他国存储的涉及该国核心利益或公民个人信息的网络数据。二是在不违背“双重犯罪原则”的前提下,只要两国国内法对同一行为均规定为犯罪,就可以提出跨境取证合作请求,协助固定、保存证据,及时交换线索,证据,以提高跨境取证协作效率。

　　三、企业的责任。网络服务提供者掌握、占有网络技术、网络资源和用户数据,在防范、发现、追查网络犯罪中有非常重要的作用:一是明确规范企业的犯罪预防责任,一旦发现其服务被用于实施犯罪而采取阻断犯罪信息传播、关停钓鱼等涉案网站、关闭涉案域名等紧急处置义务。二是明确规范企业的日志信息记录留存义务,以及日志信息记录留存的原则、标准、期限等,以保存数据、固定证据,协助配合执法和司法调查。在打击跨国网络犯罪中,既要推动政府和国际组织的网络治理,也要更好发挥企业的积极作用,特别是网络资源发达国家企业的协作责任,奠定国际合作的法律基础和社会基础。