网络安全立法滞后与前瞻——从“吕科”事件谈起(一)

人称巴蜀“网络天才”的吕科,因在河南北网信息工程公司AWE网络程序中安置逻辑炸弹及擅自取走原程序代码,而涉嫌破坏计算机信息系统被羁押46天后释放。这是因为我国刑法第二百八十六、二百七十六条规定及我国《计算机安全保护条例》(下简称《条例》)的规定,均不能适用吕科的这一特定行为,即按现行法律,吕科所为并不构成刑事犯罪;按现行法规,吕科的“破坏”也未达到受惩处的后果。其安置逻辑炸弹虽可导致北网开发的AWE软件瘫痪,然根据我国《软件产品管理暂行办法》也不能追究其责任。不过,法之不罪,并不说明吕科所为没有对计算机信息系统造成某种破坏或对信息系统的安全构成某种侵犯。我国《条例》第二条所解释的计算机信息系统保护就包括了AWE之类的开发。这里,笔者并无丝毫认为吕科已触犯刑律的意思,笔者重视这一并未犯法的“无罪”事件,完全基于该事件对我国网络安全敲起了警钟,对网络立法提供了启示。

  我国《条例》发布于1994年,一方面由于没法预计今日网络可能发生的破坏行为,另一方面由于受到传统立法之笼统、含糊的影响,数十条文竟无一具体适用今日之网络犯罪。该条例第一章总则第七条:“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”,与其说是律条,不如说是一般号召。第四章法律责任第二十三———二十五条,虽有警告、罚款、刑事犯罪等说法,但没有一条能让安置逻辑炸弹的吕科对号入座。还有新刑法颁布于1997年,其中第二百七十六、二百八十六条虽有对妨碍公共信息犯罪的规定,但由于吕科的行为并未“后果严重”而不能追究其刑事责任。笔者以为,公共信息关系到我国互联网络和电子商务的发展,事属重大,故破坏计算机网络或信息系统安全的任何行为,一旦实施,则不论其造成的后果轻重,均需承担法律责任,其分别应在于是承担刑事责任还是民事责任而已。须知我国计算机网络基础建设十分薄弱,电子商务市场远未形成,鉴于国际网路和电子商务发展迅速的严峻形势,绝容不得任何国民或技术人员对网络或信息系统的任何“监守自盗”或毁灭性破坏。众多网络公司老总所说“这样的天才我们不敢用”,并非要挟,此风不刹,的确网无宁日。不难想象,如果中国的程序员都像吕科那样利用其程序设计或其他权利实施了某种破坏行为而不必承担责任,我国的网络和商务发展恐怕就要大受阻碍了。

  其实,我国法律制裁不了吕科实施了的破坏行为,但是,社会责任、商业信用、职业道德却已对他作出了谴责。吕科受雇于北网公司,参与AWE项目开发,理应承担相应的社会责任和一定的商业信用,这是起码的职业道德。姑且不论北网并未扣发吕科参与设计AWE的奖金,就是北网真的有不兑现AWE销售后其应得资金之企图,吕科也不应在此前擅自设置时间炸弹并告知其父,成为其父后来索金25万元的要挟,而且在炸弹限定时间的2000年3月1日之前并不见吕科任何解密或坦言置弹的行动。我国法律对于这类违反商业信用和职业道德的网络破坏行为,不管其是否造成严重后果,均应作出惩戒,这就是本文认为我国网络立法滞后的原因。鉴于我国信息系统管理之薄弱,国内法律国际游戏规则与不相吻合的局面,为保障21世纪我国网络经济的发展,网络安全的前瞻性立法,已经成为当务之急。

  网络安全的概念,包括了计算机信息系统和国际联网的安全保护,后者,公安部经国务院批准,于1997年12月发布了《计算机信息网络国际联网安全保护管理办法》,但与前者《条例》一样,偏重于一般性的行政管理、国家安全和治安处罚,两者的“法律责任”,也没有太大差别。前者危害计算机安全的事项只涉及计算机病毒,后者增加了对计算机信息网络功能进行删除、修改或增加对计算机信息网络中存储处理或传输的数据和应用程序进行删除、修改、增加的两项活动。但是,触犯以上规定的,如无违法所得,仅由公安机关给予警告。尽管末尾都有“构成犯罪的,依法追究刑事责任”的规定,但何为构成犯罪行为?无论前者还是后者都没有明确规定。新刑法第二百八十六条所指危害行为有轻重之分,法规似无厚薄之别,吕科及其事件就是在这种两者都管不着的情况下,退而按“劳资纠纷”处理的。

  说我国网络安全立法滞后人们可能已经能够接受,但是,要求前瞻性立法,则可能备受指责,甚至认为是脱离现实的天方夜谭。的确,立法前瞻并非易事,然也不是绝无可能。美国二百多年前的宪法就颇具前瞻性,仅其关于司法的规定就使最高法院开创了美国司法进步数百年的基业。当前,网络安全立法并非瞎子摸象,而是有诸多国际立法可供参考,更有各国司法实践可供研究。笔者认为,当前网络安全法必须考虑以下三个问题: