恶意公布、售卖计算机安全漏洞行为入罪化的思考

　 有学者在评论案例时指出：“2005年8月，犯罪嫌疑人陈某通过向福建的刘某等人出售‘网银大盗3’恶意代码获利数万元，刘某等人随后通过传播该恶意代码盗取上千个工商银行的网上银行账号和密码，并窃取大量资金。但根据现行法律规定，陈某制作、贩卖用于盗窃网络银行账号的恶意代码的行为，无法定罪处罚。”{19}一般认为，网络空间中帮助犯的故意仅限于直接故意，那么如果将恶意公布、售卖安全漏洞行为作为后续实行犯罪的帮助行为，将很难被认定为共犯：因为恶意公布、售卖安全漏洞行为人虽然在公布、售卖安全漏洞方面是恶意或者直接故意的，但是对于后续的黑客犯罪往往只是一种盖然性的认知。行为人对于具体黑客犯罪—虽然不排除持积极追求的态度—一般也只是持放任的态度，即在主观方面大多是间接故意，那么对于大多数恶意公布、售卖安全漏洞行为是很难进行定罪处罚的。

　 2．不作为犯罪处理的原因之二：利用该漏洞的网络攻击行为可能不构成犯罪

　 我国实行二元的法律结构，即对违法行为划分为刑事违法和非刑事违法（一般违法），在这种二元立法结构下，往往根据有没有“实害”乃至“严重程度的实害”把犯罪与一般违法严格区分开来{20}。在总则方面，《刑法》第13条规定：“……但是情节显著轻微危害不大的，不认为是犯罪”；在分则方面，很多犯罪都存在着反映危害程度的定罪情节。例如，在破坏计算机信息系统罪和《刑法修正案（七）》新增加的非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和提供侵入、非法控制计算机信息系统程序、工具罪中，都规定了“后果严重”、“情节严重”等定罪情节，如果没有达到这些情节，即使实施了某种危害行为也不作为犯罪处理。

　 在虚拟世界里，利用安全漏洞实施黑客攻击的行为大量存在，但是其中很大一部分是没有达到犯罪程度的，司法机关无法从刑法角度对此类行为进行评价，难以追究其刑事责任。但是，这种法律现状间接地造就、支持了无数此类违法犯罪行为的恶意公布、售卖计算机安全漏洞行为，由于只能作为此类行为的帮助行为进入刑法的评价视野，这直接导致司法机关也无法对具有巨大社会危害性的恶意公布、售卖安全漏洞行为进行刑法评价。这是真正的司法困境所在。

　 3．不进行处理的原因之三：侦查取证困难

　 虽然恶意公布、售卖安全漏洞行为人对后续黑客网络犯罪大多持间接故意，但是仍然存在持直接故意的行为人，那么为何没有出现行为人被作为帮助犯处理的案例呢？此外，共同犯罪的理论通说认为，帮助犯的故意包括直接故意和间接故意，帮助犯明知他人准备犯罪或者正在犯罪，而对其进行帮助的，就构成帮助犯，而无论帮助者是否知道具体犯罪性质、犯罪的时间、地点、方式、对象等。这一学说也是大陆法系和前苏联的通说{21}。如果按照此种通说理论，大部分恶意公布、售卖安全漏洞行为因为构成后续黑客犯罪的帮助犯可以被追诉，但这就更加令人疑惑，为何至今也没有对恶意公布、售卖安全漏洞行为进行处理的案例呢？经过分析可以发现，这里存在着更为重要的理由，即在对作为黑客犯罪帮助犯的恶意公布、售卖安全漏洞行为进行定罪处罚时，存在巨大的侦查取证困难。

　 根据共犯从属性理论，对恶意公布、售卖安全漏洞行为追究刑事责任的前提是：利用该漏洞实施的黑客攻击行为被认定为犯罪，所以对恶意公布、售卖安全漏洞行为侦查取证的困难，首先是因为对黑客行为的侦查取证方面。利用安全漏洞的黑客犯罪行为可能包括几乎所有的网络犯罪，网络犯罪作为一种新型的犯罪类型，对其展开调查取证要克服很多困难：第一，网络犯罪发生在互联网的虚拟空间，无传统刑法上的“犯罪现场”之说，黑客犯罪分子可能跨省，甚至跨国实施犯罪行为，这就给公安机关的侦查取证造成很大的困难，由于必须通过国际合作展开联合行动才能奏效，这就使公安机关的反应变得迟缓，从而错失良机；第二，网络犯罪具有极大的隐蔽性，犯罪分子可以充分利用网络空间的无线延伸性隐藏自己，例如，利用网吧等实施攻击，司法机关很难找到线索；第三，对网络犯罪的侦查过程就是与犯罪分子展开一场围绕着计算机技术进行的较量过程，由于网络犯罪所涉及的领域广、技术要求各异，而侦查人员很难掌握其全部技能，这客观上也增加了网络犯罪的侦查难度与取证难度{22}第四，电子证据易于损坏，不宜提取，往往在保存之后存在取信于法庭的困难{23}。所以，大部分网络犯罪难以被追诉，甚至难以被发现，“据美国联邦调查局国家计算机犯罪侦查队估计，85%－97％的计算机侵入犯罪没有被发现，犯罪黑数非常大”{22}42-46，在我国当前很难找到这方面的统计数据，但是形势肯定不容乐观。如果这种作为实行行为的黑客攻击网络犯罪行为没有被发现，或者即使被发现但因为证据不足而不能让法官采信的话，那么对恶意公布、售卖安全漏洞的危害行为就不能作为犯罪处理。

　 即使颇费周折地收集到了从事攻击行为的黑客的犯罪证据，也会碰到另外一个棘手的问题，即需要找到恶意公布、售卖安全漏洞的行为人并且证明其实施了该行为；此外，还要证明其恶意公布、售卖安全漏洞行为与后来的黑客网络攻击行为存在刑法意义上的因果联系等。这一系列问题都让司法机关的侦查行为举步维艰，司法机关往往没有足够的精力去调查和取证，或者即使有足够的精力也很难在侦查阶段取得实质性进展，从而在客观上导致司法机关对恶意公布、售卖安全漏洞的危害行为很少在刑法层面上对其进行处理。

　 4．作为犯罪处理时往往量刑过低，其直接原因是受制于从犯制度

　 根据共同犯罪理论和我国刑法典的体例，犯罪的实行行为是由刑法分则明确规定的，而其他犯罪行为只能依托于实行行为，进而根据共同犯罪制度进行定罪处罚。恶意公布、售卖安全漏洞行为如果没有触犯特定的刑法分则条文，例如，故意泄露国家秘密罪等，就只能依托相关的刑法分则罪名按照非实行犯处理。实际上根据其行为特点，一般只能将其作为帮助行为，即对恶意公布、售卖安全漏洞的行为人作为特定实行犯的帮助犯予以定罪处罚。

　 现行《刑法》第27条规定：“在共同犯罪中起次要或者辅助作用的，是从犯。对于从犯，应当从轻、减轻处罚或者免除处罚。”从理论上讲，虽然帮助犯没有被排除认定为主犯的可能性，但是一般情况下，在我国刑事司法实践中，帮助犯会被认定为从犯，进而在从犯制度的制约下，对于此种恶意公布、售卖安全漏洞的行为只能作为网络黑客犯罪的从犯，对其从宽处罚。

　 （三）恶意公布、售卖安全漏洞行为陷入司法困境的本质原因：作为帮助犯的障碍

　 有相当一部分学者已经认识到，“目前打击网络犯罪的压力的确很大，但是现行刑事立法不能适应信息技术和网络发展的特征规律，明显滞后，不能为公安机关提供有效的法律依据”{19}。综合上述4种直接原因可以发现，之所以在司法实践中对恶意公布、售卖安全漏洞行为不作为犯罪处理或者即使作为犯罪处理也处刑较轻，其根本原因是根据现行《刑法》规定，此种具有巨大社会危害性的行为只能作为相关网络犯罪的帮助犯来处理：(1)把恶意公布、售卖安全漏洞的行为作为相关网络犯罪帮助犯，导致了在刑事诉讼过程中，司法机关不仅必须证明相关网络犯罪的存在，而且必须证明恶意公布、售卖安全漏洞行为作为刑法意义上的帮助行为也存在。这就使该行为的定罪面临两大难题，即实体方面上主观的间接故意阻却共犯的成立，以及诉讼方面要面临巨大的侦查取证困难。如果不把其作为相关网络犯罪的帮助犯，那么上述诉讼中的侦查取证难题就基本上不复存在了。(2)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯，导致了这样一种结果，即只有作为实行行为的某种相关网络黑客行为构成犯罪，该行为才有可能构成犯罪。而在现实中，大量利用安全漏洞实施黑客攻击的行为没有达到入罪的程度，从而导致引发黑客违法行为的恶意公布、售卖安全漏洞的行为被阻却在刑法评价范畴之外。(3)把恶意公布、售卖安全漏洞行为作为相关网络犯罪的帮助犯，即使可以作为犯罪处理，也会在量刑上受制于从犯制度。换句话说，即使通过复杂艰难的诉讼程序证明恶意公布、售卖安全漏洞行为构成犯罪，但是在从犯制度下，对于实施该行为的犯罪分子也只能作为相关网络犯罪的从犯定罪并且从宽处罚，进而导致刑法评价的不公平。

　 五、恶意公布、售卖计算机安全漏洞行为入罪化的模式

　 通过对恶意公布、售卖安全漏洞行为的司法困境之分析，可以发现一种有效遏制此种具有巨大社会危害性行为的途径渐渐明晰起来，即通过“共犯行为的正犯化模式”，将此种行为直接独立入罪，规定为一种独立犯罪的实行行为。

　 （一）恶意公布、售卖安全漏洞行为应当“实行犯化”

　 笔者认为，在当今网络时代，恶意公布、售卖安全漏洞行为应当“实行犯化”，这不仅是朴素的公平正义观念和罪刑相适应的刑法基本原则的要求，也是网络背景下刑法转型的必要措施。

　 1.“实行犯化”的功利性依据：摆脱作为帮助犯的入罪依附性

　 既然把恶意公布、售卖安全漏洞行为作为后续性黑客犯罪的帮助犯的刑法评价模式是导致其刑事责任无法落实的本质原因，那么寻找对该行为进行公正刑法评价的出路就只能是在刑事立法上让它摆脱对帮助犯的依附。笔者认为，这一途径就是帮助行为的“实行犯化”，即把恶意公布、售卖安全漏洞行为直接独立化入罪，直接规定为一种独立犯罪的实行行为而进入刑法典。这样上述问题就会迎刃而解：(1)利用安全漏洞的具体后续黑客犯罪是行为不再成为行为人主观方面的具体内容，行为人无论对后续具体黑客犯罪是积极追求还是放任甚至过失，都可以对其按照“实行犯化”后的独立犯罪定罪量刑；(2)司法机关不再需要对后续黑客犯罪行为的存在，以及恶意公布、售卖安全漏洞行为和该后续黑客犯罪行为之间的因果联系承担举证责任，这就极大地便利了诉讼，避免了刑法的虚设；(3）即使后续的黑客攻击行为不构成犯罪，对于恶意公布、售卖安全漏洞行为也可以按照“实行犯化”后的独立犯罪进行定罪处罚；(4）对恶意公布、售卖安全漏洞行为人直接按照“实行犯化”后独立犯罪的法定刑量刑，不再受从犯制度下的量刑制约问题。

　 可能有人会认为，这样做犯了一个错误，即为了追求效率而简化诉讼，却使得实体正义也被消减。其实这是不必担忧的，因为：第一，实体正义并不是单独存在的，它需要程序正义的支持。实体正义和程序正义是辩证统一的，“及时，亦即效率的要求。这是司法公正的重要价值，它的基本含义是按照法律规定的期限，如期处理案件，避免久拖不决。很多时候，正义是跟一定的时间联系在一起的，所谓‘迟到的正义不是正义’，就是从这个意义上说的。正义不能及时‘运送’，有时就会变得没有意义或者其意义大打折扣。高效及时运行的司法程序不仅缩短当事人的诉讼时间，还节约国家和个人的司法成本，也有利于堵塞漏洞、防止司法腐败”{24}。第二，传统刑法理论和行为无价值理论允许行为犯的存在。我国传统刑法理论重视对犯罪主观方面和行为危险的评价，譬如，现行《刑法》总则中规定了犯罪预备、未遂、中止制度，另外，《刑法》分则中规定了大量的行为犯、情节犯、危险犯，例如，强奸犯罪和资助恐怖活动犯罪。而“一般认为，行为无价值论主张违法的本质是违反刑法背后的社会伦理规范”{25}，对于恶意公布、售卖安全漏洞行为来说，它本身就对社会造成了极大的危险，应该受到社会的否定性评价。此外，行为人也具有较大的主观恶性，因此从鱼水情节犯甚至行为犯的层面对其进行定罪量刑并不违背实体正义。

　 当前，安全漏洞的恶意公布、售卖等许多新问题随着计算机应用的深入逐渐显露出来，利用计算机网络进行网络违法犯罪之势愈演愈烈，而计算机犯罪难发现、难捕捉、难取证，难定性，完善计算机领域的法律、法规仍然任重道远{26}。因此，应当用发展的眼光看待计算机和网络犯罪的立法问题。基于诉讼效率和刑法司法适用的现实性需要，有必要对恶意公布、售卖安全漏洞的行为在《刑法》分则中进行“实行犯化”。

　 2.“实行犯化”的本质依据：帮助行为的危害性远远大于实行行为

　 恶意公布、售卖安全漏洞的行为自身具有巨大的社会危害性，此种危害往往是利用该漏洞实施的单次黑客攻击行为无法达到的。2009年2月，“瑞星发出了2009年度首个红色（一级）安全警报，由于针对IE7新漏洞（MS09-002）的病毒攻击代码在网上公布，导致利用该漏洞的新木马病毒大量出现。根据瑞星‘云安全’系统的统计，受新木马病毒的暴增影响，仅在2月19日就截获了高达866万人次的挂马网站攻击，相比前一天增加了一倍。瑞星‘恶意网站监测网’显示，近日，利用该漏洞的挂马网站拦截量直线上升，已升为目前危害最严重的漏洞。”{27}之所以会出现这种情况，是因为安全漏洞在网络上被公开恶意售卖尤其是被恶意公布后，往往会有数以万计的网络黑客立即投入相应计算机病毒和专门侵入、非法控制软件的研制中。这种高效的运作会产生巨大的“创造力”，无数种病毒会迅速产生，基于各种目的对计算机和网络的疯狂攻击也会接踵而至。可以说，一次对安全漏洞的恶意、售卖行为可能会促成上万次甚至上百万次的黑客攻击行为，在这种整体的社会危害性面前，其中一次的黑客攻击行为已经显得微不足道了。

　 基于司法的惯性等因素，恶意公布、售卖安全漏洞行为往往被评价为黑客网络攻击犯罪行为的帮助型从犯，因而导致对于行为人的处罚往往会远轻于实施黑客攻击行为的实行犯；但是，如果由恶意公布、售卖安全漏洞行为造成、引起的数起甚至数十起网络黑客攻击犯罪行为被司法机关同时追诉，那么恶意公布、售卖安全漏洞行为人所受的刑罚就可能大于单次黑客犯罪行为人所受的刑罚，此时，就不会再存在从犯制度的制约问题，似乎恶意公布、售卖安全漏洞行为人得到了应有的刑罚制裁，在此种情况下，还会存在刑罚评价不全面和量刑过低的问题吗？笔者认为，答案是肯定的，其理由是：(1)网络犯罪的隐蔽性导致其很难被发现，而一次安全漏洞恶意公布、售卖行为引起的数起乃至数万起网络犯罪同时被发觉的可能性近乎等于零；(2）即使数起乃至数万起网络犯罪被同时发现，仍然会有因恶意公布、售卖同一漏洞引起的数以十万、百万计的其它黑客攻击行为被深深地隐藏起来。这就说明，对于恶意公布、售卖安全漏洞行为作为帮助行为予以定性，仍然存在明显的刑法评价不足和量刑过低问题。因此，对于此种帮助行为的社会危害性明显大于实行行为的情况，惟有将帮助行为直接规定在刑法分则中，对其单独进行刑法评价并设定独立、适当的法定刑，才能做到量刑均衡。

　 （二）帮助行为“实行犯化”模式的实证法考察

　 刑法分则并不是各种条文的的简单累加，而是一个由规定各种具体犯罪的条文按照犯罪类型组成的有机整体。那么，恶意公布、售卖安全漏洞行为的“实行犯化”应当如何在刑法分则中实现呢？观察我国现行刑法典的立法模式，可以发现帮助行为实行化的基本模式有以下几种：

　 1．紧挨实行行为条文在同一类罪中规定为独立犯罪

　 在刑法分则中，很多帮助行为“实行犯化”是采用这种模式的。例如，《刑法》第358条第3款规定：“协助组织他人卖淫的，处5年以下有期徒刑，并处罚金；情节严重的，处5年以上10年以下有期徒刑，并处罚金。”协助组织卖淫行为实质上是组织卖淫行为的帮助行为，在现行刑法典中被“实行犯化”后规定为独立的犯罪；再如，经《刑法修正案（七）》修正后的《刑法》第285条第3款规定：“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。”认真分析可以发现，提供侵入、非法控制计算机信息系统程序、工具的行为，本质上是一种帮助型行为，但是在这里被“实行犯化”为独立的提供侵入、非法控制计算机信息系统程序、工具犯罪。

　 此外，某种类罪之下若干种具体犯罪的帮助行为也可以被“实行犯化”为一种独立的犯罪。例如，《刑法》第107条规定：“境内外机构、组织或者个人资助境内组织或者个人实施本章第102条、第103条、第104条、第105条规定之罪的，对直接责任人员，处5年以下有期徒刑、拘役、管制或者剥夺政治权利；情节严重的，处5年以上有期徒刑。”资助危害国家安全犯罪活动行为实质上是背叛国家等6种危害国家安全行为的帮助行为，在现行刑法典中被“实行犯化”为独立的资助危害国家安全犯罪活动犯罪。

　 在此种模式中，被“实行犯化”的帮助行为和实行行为被规定在同一类罪名之下，两者针对同一犯罪客体，在法益侵害性上具有同质性，在行为的内涵和外延上是一种并列关系，在适用上是相互排斥的关系，因此，在定罪量刑时直接适用“实行犯化”后的独立犯罪及其罪名，不再适用《刑法》总则中关于共同犯罪的规定。对这种犯罪的帮助行为“实行犯化”有以下合理性：(1)实现对帮助行为的刑法直接评价，即使由于某种具体情形导致了实行行为自身不够成犯罪，也可以对具有较大社会危害性的帮助行为定罪处罚；(2)在立法上对帮助行为直接规定法定刑，从而对司法权进行一定的限制，避免量刑畸轻。

　 但是，此种“实行犯化”模式也具有一定的局限性：一方面，在司法适用的时候，往往仍然是在将其作为特定类型实行行为的帮助行为层面上进行犯罪事实认定，因此，在证据的搜集和举证程序方面并没有得到简化；另一方面，这仅仅是对某一种或某几种特定具体犯罪的帮助行为的“实行犯化”，因此，如果实施其它类似犯罪的帮助行为，就难以适用这一“实行犯化”后的罪名去单独定罪。例如，只有为他人实施组织卖淫犯罪提供帮助的，才能适用《刑法》第358条规定的协助组织卖淫罪；为他人实施强迫卖淫罪提供帮助的，就无法套用独立化后的新罪名进行评价。

　 2．跨越实行行为类罪规定为独立犯罪

　 此种帮助行为的“实行犯化”模式具有一定的隐蔽性，其中的帮助行为在“实行犯化”前是作为实行犯的帮助犯形态出现的，但是一旦被“实行犯化”，似乎就与原来的实行犯脱离了实质上的共犯关系。例如，我国《刑法》第128条第2款和第3款规定了非法出租、出借枪支犯罪，即“依法配备公务用枪的人员，非法出租、出借枪支的，依照前款的规定处罚。依法配置枪支的人员，非法出租、出借枪支，造成严重后果的，依照第一款的规定处罚。”有的学者根据刑法的体系解释得出了以下结论：“行为人明知他人使用枪支实施杀人、伤害、抢劫、绑架等犯罪行为，而出租、出借枪支给他人的，与他人成立相应犯罪的共犯。”{28}根据这一结论，似乎这种情况并不适用该条的规定，也就是说作为故意杀人、伤害等犯罪帮助行为的非法出租、出借枪支行为并不是《刑法》第128条第2款和第3款规定的行为。笔者认为，仅从该条文看，行为人出租、出借枪支，不但可以基于为他人提供非犯罪使用的目的，而且可以基于对结果放任的心态，更可以基于为他人提供犯罪使用的目的。如果行为人明知他人使用枪支实施故意杀人、故意伤害等犯罪行为，而依然出租、出借枪支的，那么行为人的行为就同时构成非法出租、出借枪支罪和故意杀人罪、故意伤害罪等其他犯罪（帮助犯），根据想象竞合犯理论，对其择一重罪处罚。一般会认定为“与他人成立相应犯罪的共犯”，这样在逻辑上才是合理的。所以在该种情形下，该条款规定的犯罪行为在实质意义上就是故意杀人、故意伤害等实行行为的帮助行为，只不过被立法者“实行犯化”了。当然跨越类罪加以“实行犯化”后，非法出租、出借枪支犯罪就具有了独立的内涵，它不仅可以作为众多具体犯罪的帮助行为，而且还包括基于非犯罪目的而出租、出借枪支的行为。通过以上分析可以看出，立法者之所以要将非法出租、出借枪支的行为在《刑法》分则中“实行犯化”为独立的犯罪，很可能是考虑到非法出租、出借枪支行为的目的不限于为他人提供犯罪帮助，它本身就具有独立的较大的社会危害性，具有区别于后续犯罪的特殊的法益侵害性—危害枪支管理秩序和公共安全—需要刑法对其进行单独评价。此外，这也使得特定情况下对该危害行为的追诉更加便利，因为在无法证明行为人实施该行为的目的是为其他犯罪行为提供帮助时，也可以对其进行追诉，这种诉讼的便利其实是公平正义的要求。

　 可见，把实质上的帮助行为跨类罪“实行犯化”为独立的犯罪，是现行刑法典的已有模式。很明显，这种帮助行为“实行犯化”模式的优点是：（1)已经完全脱离实行行为对于帮助行为进行刑法评价，这种“实行犯化”后的帮助行为已经独立为较为纯粹的实行行为，从而真正实现对帮助行为的单独评价；(2)诉讼便利，极大地缩短了刑事证明的因果链条。

　 需要指出的是，刑法典中上述两种帮助行为的“实行犯化”模式本身并没有优劣之分，只是在针对某种具体帮助行为加以实行化时，存在适合与否的问题。

　 （三）恶意公布、售卖安全漏洞行为独立人罪化的模式

　 在对于帮助行为的“实行犯化”模式进行实证考察之后，综合考虑恶意公布、售卖安全漏洞行为的特性和推动其实行犯化的因素，可以看出，恶意公布、售卖安全漏洞行为的实行犯化应当采取下列模式：

　 1．跨越各种黑客犯罪规定为独立犯罪

　 如前所述，恶意公布、售卖安全漏洞的行为使得黑客的攻击行为不仅在数量上无限地增多，而且在攻击的时间上也大幅度地提前，导致黑客行为的社会危害性被无限放大。而此种无限放大的社会危害性不仅凸显了恶意公布、售卖安全漏洞作为黑客攻击帮助行为的社会危害性，也使得它具有了超过单次黑客行为的独立的巨大社会危害性；另外，利用公布或者售卖的漏洞进行网络攻击的单个黑客行为可能因情节轻微不构成犯罪；但是，由于网络的无限延伸性和开放性，恶意公布、售卖安全漏洞所造就、引发的网络病毒和网络恶意攻击行为在数量上却是巨大的，这更加说明了它具有黑客犯罪之外的独立社会危害性。这种独立的社会危害性具有很广泛的外延，它不仅是单次黑客犯罪无法包容的，也是利用安全漏洞实施的非法入侵计算机系统犯罪、盗窃犯罪等某一类网络黑客犯罪无法包容的。例如，一次安全漏洞恶意公布行为可能会导致无数起非法侵入计算机信息系统犯罪、非法获取计算机信息系统数据犯罪、非法控制计算机信息系统犯罪和网络盗窃犯罪等各种网络黑客犯罪行为，这就排除了适用第一种模式的正当性。另外，第一种模式也无法解决侦查取证和刑事司法证明极为困难的司法难题。而采用第二种“实行犯化”模式，即把恶意公布、售卖安全漏洞行为跨越各种黑客犯罪在刑法分则中规定为一种独立的犯罪显然是可取的，这不仅实现了对具有较大独立社会危害性的恶意公布、售卖安全漏漏洞行为的全面准确评价，而且也大大地简化了刑事司法证明，使刑事诉讼能够真正得以进行。

　 如果采用第二种“实行犯化”模式，那么还存在另外一个问题，即应当规定在哪个章节呢？计算机和网络发展到今天，已经开始以独特的方式承载巨大的社会利益，同时相关的计算机和网络犯罪无论种类还是数量都日益剧增，除了与计算机有关的传统犯罪以外，计算机和网络犯罪不仅数量日益增多，而且具有独特的犯罪客体，需要刑法在该独特犯罪客体层面上进行单独评价，即需要将计算机和网络犯罪刑事法规单列为一章增加到原刑法典中去，法国和俄国就是采用这种立法模式{29}。所以，笔者认为，应设立单独的“计算机和网络犯罪”章节，并且把恶意公布、售卖安全漏洞行为规定于其中。

　 2．规定为情节犯且法定刑不宜太高

　 根据我国刑法理论，《刑法》分则规定的既遂犯可以分为行为犯、情节犯、结果犯等犯罪类型，那么恶意公布、售卖安全漏洞行为在《刑法》分则中应当规定为何种类型的犯罪呢？

　 前文已经指出，该行为“实行犯化”的重要推动因素之一是诉讼便利的需要，即通过该行为的“实行犯化”，免除司法机关对一系列相关问题的证明责任。如果采用结果犯的犯罪类型，司法机关同样很难克服由此带来的侦查取证和证明难题，达不到诉讼便利的目的，所以“结果犯”的模式不可取。此外，“在现实中，犯罪并不是那么容易威慑的，要威慑所有无效率的犯罪几乎是不可能达到的目标”{29}。在当今社会，由于各种原因，网络犯罪非常猖撅，已经成为了普遍存在的现实，恶意公布、售卖安全漏洞的行为也不例外。为了缩小刑法的打击面进而发挥刑法的效用，有必要设置一定的犯罪“门槛”，而且并不是所有的恶意公布、售卖安全漏洞行为都具有很大的社会危害性，如果公布的只是轻微的安全漏洞，利用其从事的网络黑客行为就不能对计算机和网络造成很大的冲击，因此，也不具有较大的社会危害性，所以没有必要把其划定在犯罪圈之内。综上所述，在将恶意公布、售卖安全漏洞行为的“实行犯化”而独立入罪之时，将其设定为“情节犯”可能是比较合适的。

　 对于恶意公布、售卖安全漏洞行为法定刑的设置，需要从罪刑均衡的角度进行考量。恶意公布、售卖安全漏洞一般具有较大的社会危害性，对网络安全造成巨大的冲击。但是，仅仅以恶意公布、售卖安全漏洞行为为依据，基于计算机和网络承载的抽象社会利益受损而适用重刑（尤其是无期徒刑，甚至死刑）是非常草率的。非法出租、出借枪支罪的最高法定刑也只有7年有期徒刑，因此，恶意公布、售卖安全漏洞行为加以“实行犯化”和独立入罪后的法定刑不宜太高，以有期徒刑为限。如果恶意公布、售卖安全漏洞行为导致极其恶劣的黑客犯罪，例如，数额特别巨大的网络盗窃犯罪（可能判处无期徒刑）；又如，利用国防网络系统的安全漏洞实施的为境外窃取、刺探国家秘密、情报犯罪并且对国家和人民危害特别严重、情节特别恶劣（可能判处死刑），那么完全可以运用想象竞合犯理论，根据“从一重罪处罚”的规则，认定为盗窃罪和为境外窃取、刺探国家秘密、情报罪而适用无期徒刑或者死刑。

　 （四）恶意公布、售卖安全漏洞行为独立入罪化之前的司法对策

　 “由于立法程序的民主化和科学化程度的影响，有效率的结果并不必然出现，但是经过时间和历史的淘洗，以及不同法系、不同国家在立法制度、程序、内容上的相互影响，有效率的法律原则、制度总会更容易产生。”{30}88但是，任何法律的制定和修改都具有一定的滞后性，恶意公布、售卖安全漏洞行为“实行犯化”也是如此。该行为可能在以后相当长的一段时间内都会以黑客犯罪帮助犯的形式出现于法律上。虽然刑事立法有缺陷，但是根据罪刑法定原则，司法机关必须在刑事法律规定的范围之内进行定罪量刑，并且要在自由裁量权范围内尽可能做到刑事判决结果的公正。

　 在恶意公布、售卖安全漏洞行为独立入罪化之前，司法实践中在处理恶意公布、售卖安全漏洞行为时，往往会出现无法入罪或者量刑过轻的问题。笔者认为，为了尽可能避免这些问题的出现，司法机关应当在遵守罪行法定原则的前提下采取以下对策：第一，如果对恶意公布、售卖安全漏洞行为在网络黑客犯罪帮助犯层面上无法入罪，那么就要考虑其他入罪视角，例如，故意泄露国家秘密罪等；第二，如果对于恶意公布、售卖安全漏洞行为在网络黑客犯罪帮助犯层面上能够入罪，那么在量刑时只能“从轻”处罚，不能“减轻”更不能“免除”处罚；第三，如果对于恶意公布、售卖安全漏洞行为具有对黑客犯罪教唆的刑法解释余地，那么就应力求按照相应犯罪的教唆型主犯处理；第四，如果恶意公布、售卖安全漏洞行为引起的黑客攻击行为危害重大公私财产或者重大公共利益安全，那么就要进行扩张解释，在恰当的时候可以考虑按照以危险方法危害公共安全罪处理。
 

【注释】
[1]该病毒发作时，硬盘一直转个不停，所有数据都被破坏，硬盘分区信息也将丢失，甚至可能破坏某些类型的主板的电压，改写只读存储器的BIOS。
[2]2009年5月18日，我国江苏、安徽、广西、海南、甘肃、浙江等省份出现的罕见的断网故障，即为针对网络服务进行的分布式拒绝服务攻击的现实案例。

 
【参考文献】
{1}北京瑞星信息股份有限公司．2008年中国大陆地区电脑病毒疫情＆互联网安全报告[EB/OL]. [2008-11-18]．http://www.rising.com. {2}百度百科.安全漏洞[EB/OL]．[2008-11-24]．http://baike. baidu. com/view/93544. htm. {3}微软中文网站．微软安全漏洞定义及相关声明[EB/OL]．(2008-1-30)[2008-11-18]．http://www.microsoft. com/china/technet/security/bulletin/define. mspx. {4}51CTO网站．拒绝服务攻击DoS专题[EB/OL] .http://netsecurity. 51cto. com/art/200706/48785. htm；百度百科．安全漏洞[EB/OL]．[2008-11-24]．http : //baike.baidu. corn/view/21950. htm {5}林皓．黑客危害有多大？[J]华南金融电脑，1999，(5) :36-39. {6}洪苗．浅谈网络攻击的常见方法及防范措施[J].电脑知识与技术，2009，(21）:35-42. {7}佚名黑客疯狂利用漏洞，暑期反毒首防挂马[EB/OL]．(2009-2-12) [2009-4-13]．http : //article.pchome. net/content-935652. html. {8}赫枫．黑客袭击-国内重大案例[EB/OL 1.(2008-12-1）[2009-4-3]．http : //blog. tianya. cn/blog-ger/post_show. asp? BlogID ＝ 5750&PostID ＝ 6410508. {9}佚名．"十一"长假网购网站纷纷被黑客挂马[EB/OL]．(2008-10-12) [2009-3-28]．http://xwt. done-ws. com/donews/article/1/137417. html. {10}佚名．黑客利用银行支付系统漏洞盗领转账使其损失百万[EB/OL] . (2008-2-24) [2009-4-6]. ht-tp://it. rising. com. cn/Channels/ Info/Securty/2004-04－22/1082597880d11951.shtml {11}佚名．金山内鬼助黑客狂盗虚拟币，公司损失700万[EB/OL]．(2007-8-29）[2008-12-5]. http : //tech. 163. com/09/0327/O1/55CJ8L 65000915BF. html. {12}啸风．黑客网上叫卖WMF漏洞资料，微软发布紧急补丁[EB/OL]. (2008-5-8) [2008-11-7 ]. ht-tp://tech.qq.com/a/20060204/000033.htm {13}佚名．瑞星发布2004年度报告，病毒、黑客威胁呈四大趋势[EB/OL]. (2004-11-12)[2008-11-28].http://it. rising, com. cn/Channels/Info/ Virus/2004-12－28/1104197700d14642.shtml. {14}边歆．新趋势：病毒大量利用工具软件漏洞[N].网络世界，2009-6-8(23). {15}佚名．黑客攻击逾九成发生在网络公布24小时内[EB/OL]．(2009-4-7) [2009-5-201．http://www.hacker. com. en/news/view. asp? id＝1616. {16}佚名．网财价值难定，盗窃百万近获刑1年半[EB/OL]．(2008-12-21）[2009-4-9].http://www.xinhuanet. com/chinanews/2005-08/24/ content_ 4957754.htm。 {17}王鑫．成都三"黑客"入侵网站偷卖游戏点卡获利被判刑[EB/OL]. (2009-3-20) [2009-5-6] . ht-tp://www. chinacourt. org/public/ detail. php? id ＝ 266335. {18}佚名．首例黑客盗虚拟财产案：偷14万判10年[EB/OL]．(2009-1-15）[2009-5-15]．http : //article.pchome. net/content-854898.htm1。 {19}郭高中．网络犯罪"黑数"较大，每年网络盗窃上百万起[EB/OL]．（2008-11-25）[2009-4-21]，ht-tp://news. ccw. com. cn/intemet/htm2006 /20060406_13A3K 2. htm. {20}阮齐林．中国刑法上的新类型危险犯[J]．国家检察官学院学报，2005,(6):42-51. {21}陈兴良．共同犯罪论[M]．北京：中国社会科学出版社，1992:134. {22}魏红．论网络犯罪对刑事责任侦查与证据制度的冲击[J]．贵州大学学报，2008,(5):42 -46. {23}靳慧云，试析网络犯罪案件侦查中的障碍[J].中国人民公安大学学报，2003,(5):33-39. {24}游劝荣．实体公正与程序公正及其相互关系研究-以司法特别是诉讼为观察角度[J]．福建论坛，2007，(5) :62-66. {25}张军．犯罪行为评价的立场选择-为行为无价值理论辩护[J]．中国刑事法杂志，2006,(6):25-31. {26}王云斌．网络犯罪[M]北京：经济管理出版社，2002:77. {27}佚名．IE7新漏洞致木马病毒剧增，瑞星发出红色警报[EB/OL]．(2008-6-6)［2009-3-21］http://news. ccidnet. com/art/1032/20090224/ 1687667 1. html. {28}张明楷．刑法学[M].3版．法律出版社，2007:536. {29}许秀中．网络与网络犯罪[M]．北京：中信出版社，2003:424. {30}沈海平．寻求有效率的惩罚-对犯罪刑法问题的经济分析[M]．北京：中国人民公安大学出版社，2009:326.