刑法介入网络治理、预防网络风险，首先考虑设立抽象危险犯，将对“使法益危殆化的法益关联性行为的规制提至具体危险发生之前的阶段”。当网络参与者实施某种失范行为时，将会对网络空间不特定多数人利益产生威胁，为了预防这种潜在的不可控的未来风险，“唯一的办法就是采用不需要判断结果可归责性的抽象危险犯”（abstrakte Gef?hrdungsdelikte），于是，只要行为人实施符合构成要件的定型化行为，就被认为具备法益侵害的抽象危险，构成犯罪。因此，刑法设立抽象危险型网络犯罪，更有利于实现一般预防效果。《刑法修正案（九）》增设非法利用信息网络罪，将“设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组”、“发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息”、“为实施诈骗等违法犯罪活动发布信息”等情节严重的行为规定为犯罪，这正是基于风险预防逻辑。上述行为并未直接侵害法益，但是放任这些行为，会导致犯罪手段、犯罪工具、犯罪信息等在网络空间无序传播，增加未来的犯罪风险，有可能危害网络安全。刑法设立非法利用信息网络犯罪，将各种非法利用信息网络的行为类型化，以便在抽象危险阶段提前预防法益侵害风险。

　　 另一种方式是，刑法开始将关注焦点从核心犯罪转向外围犯罪，对违法犯罪行为实施全流程打击。在网络初生的Web1.0时代，自由自治成为首要原则，排除包括刑法在内的法律干预被认为是网络自由发展的重要前提。当网络进入到Web2.0和Web3.0时代之后，面对复杂多变的网络失范行为，立法者意识到，只有将网络治理纳入法治框架，才能够塑造清朗有序的网络环境。为了落实这一目标，网络参与者不再绝对自由自治，而是依其角色承担相应的网络安全保障义务。《中华人民共和国网络安全法》（以下简称“《网络安全法》”）、《中华人民共和国数据安全法》（以下简称“《数据安全法》”）、《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）等都从不同层面规定了网络参与者的法定义务，如《数据安全法》第27条至第36条分别规定了数据风险监测、重要数据处理风险评估、重要数据出境管理、数据中介服务审核、数据行政许可等数据安全保障义务。网络安全保障义务位于网络监管的最外围，是所有网络参与者必须履行的法定义务，刑法以此为基础，增设了新的外围犯罪即拒不履行信息网络安全管理义务罪，该罪“要求网络服务提供者承担协助管理网络空间的义务，与相关部门共同维护有利于遏制网络犯罪的网络环境”。

　　 基于上述分析，积极刑法观是有效治理网络犯罪的主流刑法观，它促进了网络犯罪预防体系的搭建。立法上增设新罪扩容旧罪，使刑法提前介入网络空间的风险预防，改变了网络犯罪的整体格局；司法上增加规制对象与行为类型，充分诠释了传统线下犯罪向线上犯罪转化的逻辑路径，使刑事司法更具网络空间适应性。积极刑法观在立法与司法中的贯彻，确立了网络犯罪治理的新格局。

　　 三、网络犯罪预防过度化与刑法功能异化

　　 风险预防犯在刑法理论上经常面临正当性质疑，一个可能的原因是，“这些犯罪并不禁止损害本身，而是禁止损害的可能性”，“当从未有任何损害时”，刑罚是无理由的，它的可罚性基础并不如同实害犯那样坚实可靠。风险预防犯传递着强烈的入罪信号，为了排除入罪限制，刑法被迫与前置法脱钩，并频繁通过采用扩大解释助长司法犯罪化，导致刑事犯罪圈被过度扩张。

　　 （一）法法关系断裂：刑法与前置法的脱钩

　　 预防性网络犯罪皆为法定犯，对于法定犯，“违反前置法是其构成要件要素，这种定位不仅具有形式意义，还具有实质价值”。具体而言，法定犯具有双重违法性，违反前置法是其第一重违法性的体现，在此基础上还要进行第二重违法性即刑事违法性判断。在预防性网络犯罪中，连接前置法与刑法的要素已经转化为犯罪构成要件，它既可以是成文的也可以是不成文的。成文的如《刑法》第286条破坏计算机信息系统罪中的“违反国家规定”；不成文的如《刑法》第285条第3款提供侵入、非法控制计算机信息系统程序、工具罪并未直接规定“违反国家规定”或其他类似要件。然而，即使没有成文规定，在认定该罪时，也应当根据法定犯双重违法性的逻辑指引，结合犯罪构成要件描述寻找对应的前置法，并在先判断行为是否违反了前置法的相关规定。因此，在法定犯中，刑法与前置法的违法判断具有紧密的递进关系。

　　 由于法定犯成立受限于前置法，当前置法没有作出规定或规定模糊时，刑法的犯罪化欠缺充足理据，当前置法规制的行为类型较为狭窄时，刑法的犯罪圈也应受到限缩。因此，从某种意义上说，法定犯的结构天然不利于推进预防性犯罪化。为减少前置法限制，刑法在搭建网络犯罪预防体系时，在某些环节被迫与前置法脱钩，创造独立于前置法的刑法标准，具体而言有三条路径：

　　 路径之一是：当前置法没有作出规定时，刑法通过增设新罪率先保护新法益。个人信息保护立法便采取这条路径。我国法律对于个人信息保护采取先刑事立法后民事立法、先一般立法后专门立法的路径展开，呈现出明显的刑事立法先行的特征。首先关注个人信息保护的是刑法。早在2009年2月28日全国人大常委会审议通过的《中华人民共和国刑法修正案（七）》（以下简称“《刑法修正案（七）》”）中就专门规定了以个人信息为保护法益的犯罪，即出售、非法提供公民个人信息罪；随后，2015年8月29日全国人大常委会审议通过的《刑法修正案（九）》将该罪修改扩容为《刑法》第253条之一侵犯公民个人信息罪。其次关注个人信息保护的是民法。2017年3月15日全国人大审议通过的《中华人民共和国民法总则》（以下简称“《民法总则》”）第111条首次规定了个人信息概念，个人信息保护有了私法依据。2020年5月28日全国人大表决通过《中华人民共和国民法典》（以下简称“《民法典》”），将个人信息纳入人格权编加以保护，并确立了个人信息保护的一般规则。最后才制定了个人信息保护的专门立法。2021年8月20日全国人大常委会审议通过了《个人信息保护法》，此时，个人信息保护才有了体系化的部门法依据。

　　 反思个人信息保护的发展历程，刑事立法先行不仅在逻辑上难以自洽，在解释适用上也产生不少问题。从逻辑上看，刑法作为整体法秩序中的保障法，一般只有严重违反了其他部门法的行为，才有必要纳入刑法加以规制。个人信息首先作为私法权益而存在，因此，个人信息保护规则应当先由私法规范作出。在私法尚未规定个人信息概念之前，刑法率先增设个人信息犯罪存在逻辑问题，换言之，个人信息保护立法从刑法到民法再到专门立法，违背了立法的一般逻辑。有学者指出，网络时代个人信息泄露风险日趋严重，个人信息权益受侵犯现象也愈发普遍，刑法将其中严重侵害个人信息权益的行为犯罪化，具有必要性。笔者并不否认增设个人信息犯罪的必要性，但是，立法的必要性与立法逻辑的合理性是两个不同层面的问题，并非只要有必要犯罪化的事项，都应由刑法率先作出。刑法作为整体法秩序中的“保障法”，“只有在其他手段如习惯道德上的制裁、地域社会中的非正式的控制或民事上的控制不充分时的时候，才能使用刑法”。可是，如果刑法之外的其他法律尚未制定，如何能够先验地假设它们不足以妥善保护个人信息呢？更何况，个人信息保护刑事立法先行的逻辑问题也带来了解释适用上的争议与障碍。例如，关于个人信息的法益属性，理论上进行了持久的个人法益说与超个人法益说之争，至今仍未达成共识。再如，关于个人信息分级保护，《侵犯个人信息刑事解释》第5条将个人信息分为三个等级，其敏感程度依次递减。第一类信息包括行踪轨迹信息、通信内容、征信信息、财产信息4种最核心的隐私信息，其私密性最高；第二类信息包括住宿信息、通信记录、健康生理信息、交易信息等私人领域信息，其私密性次之；第三类信息是最外层社会领域的其他个人信息，其私密性最低。上述分级保护的依据是个人信息对自然人人身、财产安全的影响程度，系一元标准。《个人信息保护法》虽然也根据个人信息私密性等级分别保护，但其采取的两级保护策略，只区分了敏感个人信息与其他个人信息。而且，其分类标准是二元的，即依据个人信息对自然人人格尊严或者人身、财产安全的影响程度。由于《侵犯个人信息刑事解释》制定之时，生物识别、宗教信仰等涉及个人尊严的个人信息并未得到广泛关注，因此，司法解释并未将之作为区分个人信息敏感性的标准。归类标准不统一引发了评价差异，生物识别、宗教信仰等涉及人格尊严的个人信息，在《个人信息保护法》中属于敏感信息，在《侵犯个人信息刑事解释》中却可能归入普通信息，导致两法对个人信息的敏感性评价存在冲突。

　　 路径之二是：在前置法规定不明确时，刑法通过虚化构成要件、转嫁证明责任等方式积极入罪。在《刑法修正案（九）》增设帮助信息网络犯罪活动罪之前，其他法律并未就利用信息网络为不法行为提供支付结算等帮助应当如何处罚作出明确规定。刑法理论上，关于帮助信息网络犯罪活动罪的解释适用之争，主要围绕如何理解该罪的主观要件展开，即如何理解本罪中的“明知”。传统刑法理论认为，客观上提供了帮助但欠缺主观故意的行为，不能视为刑法上的故意，甚至连片面帮助犯也无法成立。而帮助信息网络犯罪活动罪存在虚化主观要件之嫌，虽然该罪成立也要求行为人“明知”，但却包含了“推定的明知”。根据《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第11条的规定，本罪中的“明知”有6种情形，包括：（1）经监管部门告知后仍然实施有关行为；（2）接到举报后不履行法定管理职责；（3）交易价格或者方式明显异常；（4）提供专门用于违法犯罪的程序、工具或者其他技术支持、帮助；（5）频繁采用隐蔽上网、加密通信、销毁数据等措施或者使用虚假身份，逃避监管或者规避调查；（6）为他人逃避监管或者规避调查提供技术支持、帮助。然而，第二种情形“接到举报后不履行法定管理职责”可以是放任即间接故意，也可能只是过失；第三种情形“交易价格或者方式明显异常”难以佐证行为人“明知”他人实施网络犯罪，无法证明存在帮助故意；第五种情形中采用隐蔽上网、加密通信等方式逃避监管，也未必是为他人实施网络犯罪提供帮助，比如网络黑客为了隐藏身份，可能习惯性地采取隐蔽上网、加密通信等手段。因此，上述司法解释关于“明知”的规定已经超出了刑法中故意的“明知”范围，实际上包含了“推定的明知”。

　　 推定只传达某种可能性，将“推定的明知”引入犯罪评价将会使刑事法治被迫妥协，与刑法及刑事诉讼法基本理论产生冲突。首先是可归责性缺失。“明知”是刑法中故意的组成要素，基于存疑有利于行为人原则，当“明知”与否无法准确判断时，应当推定不明知而非相反，否则可能使不可归责的行为犯罪化，动摇刑法责任主义的根基。其次是举证责任倒置。在无法排除合理怀疑的前提下，推定行为人明知他人实施犯罪行为，等同于在诉讼程序上将举证责任倒置，要求行为人提供相反的证据才能出罪，这显然属于不利于行为人的入罪推定。最后是自由裁量权滥用。对故意的认定倚赖于司法机关的“推定”，变相使不可控的网络风险转嫁给网络参与者，增加了司法误判的可能性。而误判的后果是，“对没有故意、欠缺危害的行为施加刑罚，这将进一步损害公众对法律的尊重，耗损刑法的一般威慑性”与司法的权威性。

路径之三是：在前置法规定范围较窄时，刑法通过促进犯罪“口袋化”扩张犯罪圈。《刑法》第285条、第286条规定了5个以计算机信息系统安全为保护法益的犯罪，分别是非法侵入计算机信息系统罪，非法获取计算机信息系统数据罪，非法控制计算机信息系统罪，(点击此处阅读下一页)