计算机犯罪的“黑数”及统计差异
计算机犯罪是典型的高科技犯罪:在作案时间上,往往是犯罪行为与犯罪结果不同步,时间跨度大;在作案空间上,往往是行为实施地与结果产生地相分离,可以不受地域限制;在作案对象上,不是有形的物质,而是无形的电子数据;在作案手段上,不使用传统的工具,而使用现代化的电子设备;在作案结果上,不产生肉眼可观察的有痕迹的现场,而是无法固定的稍纵即逝的电子脉冲。所有这些都导致了计算机犯罪难发现、难认定,证据难搜集、难保全,案件难定性,犯罪难量刑。
一 计算机犯罪的“黑数”
犯罪“黑数”(dark figure)在犯罪学上是指未报案的犯罪(unreported crime)案件数,也可引申为没有被发现(undiscovered)的犯罪案件数。
任何类型的犯罪都有一个“黑数”问题,但计算机犯罪的“黑数”可能最大,因而有案可查的计算机犯罪统计数字并不代表犯罪的实际数字,这两个数字可能相差几倍,甚至几十倍。据芬·左·穆勒(Von Zur Muhlen)研究,目前发现的计算机犯罪数与未发现的犯罪数比率是1∶10;美国的简·贝克(Jay Becker)则称,计算机犯罪的发现率是1%,犯罪“黑数”非常大。
1987年,美国律师协会(BAR)对300家公司和政府机构进行了一次调查,其中72个单位承认在调查前的12个月内曾遭受过计算机犯罪的侵害,损失额估计为1.45亿~7.3亿美元。1991年,美国、加拿大以及欧盟同时对300个小型机工作站进行了涉及计算机安全事件的调查,其中72%的被调查者承认在过去的12个月内曾发生过1起以上的安全事件;43%的被调查者认为发生的安全事件是一种计算机犯罪;8%的被调查者不知道他们那里是否曾发生过安全事件。据美国联邦调查局国家计算机犯罪侦查队(the FBI's National Computer Crimes Squad)推测,85%~97%的计算机入侵犯罪没有被发现。1995年前后,美国国防部对全国8932个系统进行了攻击测试,其中7860个系统被成功地攻入,但仅有390个系统发现受到了攻击,而向有关部门报告受到攻击的系统仅有19个。1992年10月5日至8日,在德国韦尔斯堡(Wzburg)举行的计算机犯罪及其他犯罪学术研讨会上发表了一份关于计算机犯罪的论文,据与会国报告,执法机构立案侦查的计算机犯罪案件仅是实际发案数的5%。1958年,美国硅谷发生了一起利用计算机篡改程序窃取银行存款余额案,但直到1966年才被发现。从目前我国及国外破获的计算机犯罪案件情况看,一般都是案发很多天、甚至数月或数年后才被发现而立案侦查的,侦破难度可想而知。事实上,计算机犯罪未被发现,或者虽发现了蛛丝马迹,但由于难以查证而不了了之的案件很多,没有哪个国家、哪个部门或哪个研究机构能准确统计出计算机犯罪数,也无法推断出这个“黑数”究竟有多大。
计算机犯罪的“黑数”之所以如此突出,主要有以下几方面原因:
1.技术因素
随着微电子技术、计算机技术以及通信技术的飞速发展,计算机的精密度、存贮量、处理能力和运行速度在不断提高,计算机网络的覆盖范围、介入领域、时空跨度也不断扩大,从而客观上增加了预防、控制和打击计算机犯罪的难度,为计算机犯罪“黑数”的存在提供了可能性。
2.管理和法制因素
从国内外已侦破的计算机犯罪案件情况看,犯罪嫌疑人为内部雇员的占较大比重,这在一定程度上说明单位内部计算机安全管理存在隐患。我国的情况尤为突出,虽然各个部门都在计算机信息系统的建设和运行方面制定了相应的规章制度和操作规程,但却没有形成强有力的信息安全管理体系,管理制度很少落到实处。从立法方面看,目前各国政府虽然都制定了打击计算机犯罪的法律、法规,但覆盖全球、资源庞大的互联网实行的却是民间机构自愿式管理,没有国界,没有“警察”,这为计算机犯罪提供了便利。
3.打击和控制因素
司法机关由于缺乏足够的训练,不能有效地处理复杂的数据环境中的各种问题,致使许多计算机犯罪案件得不到应有的查处,或因法律不健全,使犯罪分子轻易逃避处罚,造成计算机犯罪“黑数”大量存在。
4.受害人因素
计算机犯罪的受害者,尤其是商业、军事、政府等部门,由于害怕名誉受损、泄露秘密等不愿报案,从而使计算机犯罪案件得不到及时的查处。
5.教育和宣传因素
与其他许多传统犯罪相比,计算机犯罪的受害者往往不能准确区分罪与非罪的界限,明明已经受到犯罪侵害却浑然不知。他们往往是在司法机关掌握事实之后告知其遭受计算机犯罪的侵害时,才知道自己是受害者。这就为计算机犯罪“黑数”的存在提供了土壤。
二 计算机犯罪统计的差异
犯罪统计因法律制度、司法体制的不同而存在较大差异。欧美法系的国家多数持一元犯罪观,对犯罪与违法不作严格区分。美国、英国等一些国家根据犯罪行为的危害程度将各类犯罪分为重罪和轻罪。在美国刑事诉讼意义上,轻罪由地方法院的某些基层法院,如治安法院、警察法院、夜法庭等管辖,轻罪审判无须通过大陪审团,轻罪犯可以缺席审判。在美国刑罚执行意义上,重罪指判监禁刑一年或一年以上,轻罪指判刑一年以下。1962年,美国法学会(American Law Institute)拟制的《模范刑法典》(Model Penal Code)按刑罚轻重把犯罪分为四等:重罪、轻罪、微罪(petty misdemeanor)和违警罪(violation)。重罪指判刑一年以上,轻罪指不超过一年的监禁,微罪的最高刑期为30天,违警罪判处罚金。《模范刑法典》本身不具有约束力,但对美国各州修订或制定刑法典具有示范作用。从《模范刑法典》及美国联邦和州刑法看,许多本该属于行政违法的行为却用刑罚方法处理,即将行政违法与刑事违法混在一起,不加严格区分。毫无疑问,这些国家的计算机犯罪统计就是计算机犯罪案件与计算机违法案件之和。
我国法律持二元犯罪观,即明确区分犯罪与违法的界限。《中华人民共和国刑法》(以下简称《刑法》)“总则”第3条规定:“法律明文规定为犯罪行为的,依照法律定罪处刑;法律没有明文规定为犯罪行为的,不得定罪处刑。”因此,我国官方的犯罪统计主要是依据《刑法》“分则”规定的犯罪客体、直接客体和对象进行分类统计。例如,根据犯罪客体的分类原则,我国《刑法》规定了十大类犯罪,公安机关每年根据十大类犯罪案件的立、破案情况进行案件统计,检察院、法院每年根据十大类犯罪案件的诉讼情况进行案件统计。根据犯罪直接客体和对象的分类原则,最高人民法院审判委员会于1997年12月16日公布了《刑法》“分则”中所规定的具体罪名的名称,因而公、检、法等部门每年还要根据每个具体罪名作犯罪统计。如《刑法》第285条规定了非法侵入计算机信息系统罪,第286条规定了破坏计算机信息系统罪。这两条就是我国《刑法》所规定的典型的计算机犯罪,据此可对全国计算机犯罪案件进行统计。
为了便于分析、掌握犯罪形势,正确制定预防、控制和打击犯罪的策略,司法部门及研究机构并不总是机械地根据《刑法》编排好的类型对各类犯罪进行统计,有时它们也根据各种需要进行统计。例如,将几类在某个时期、某个地区经常发生的案件作为对象进行统计,将各类有组织犯罪作为对象进行统计,将共同犯罪作为对象进行统计,将各类侵占财产案件作为对象进行统计等等。其主要目的是有针对性地制定控制和打击犯罪的措施,维护社会治安秩序。计算机犯罪案件的统计也是如此。如美国官方和研究部门在进行计算机犯罪统计时,将针对或利用计算机信息系统实施的犯罪都作为计算机犯罪进行统计;日本将针对各种卡、证实施的犯罪均列为计算机犯罪进行统计。我国有关职能部门为了解和掌握计算机犯罪的实际情况,以便超前制定对策,有时还将利用计算机实施的犯罪作为计算机犯罪案件进行统计,有的甚至还将针对或利用计算机实施的行政违法行为也列入计算机犯罪统计范畴。
由于上述原因,世界各国计算机犯罪的统计都存在准确性、真实性和可比性的问题。就目前情况看,除“黑数”问题外,不论是官方的统计,还是民间机构的统计,都难以准确地反映出一个国家、一个地区在一个时期的计算机犯罪真实情况。因此,在分析、研究各国计算机犯罪状况时,应当始终注意以下几个问题:
第一,并不是计算机犯罪统计数大的国家,其实际犯罪情况就严重;统计数字小的国家,计算机犯罪就不严重。
第二,并不是列入统计范畴的就是典型的、世界各国都公认的计算机犯罪,各国的统计标准是根据自己的法律和司法实践自行确定的。
第三,在对各国计算机犯罪进行比较时,要选好参照标准,不能只看数字,不看标准,只看表面,不看内容,否则既不科学,也未必有实际价值。
(作者:蒋平,本文原载于《信息网络安全》2002年第3期)