作者:尚权律所 时间:2022-07-19
摘要
区块链技术的发展催生了新的法益,迫使我国刑法应建立起信息安全的整体保护思路,将保护力度延伸到大数据运算分析的动态过程中。现有刑法体系在应对黑客攻击区块链的行为时,存在不同程度的入罪障碍,具体来讲,从犯罪对象来看,财产性利益不能作为盗窃罪的犯罪对象,区块链不符合刑法语境中的计算机信息系统;从行为方式来看,攻击区块链的行为方式与传统计算机犯罪不同,且“情节严重”难以界定;从犯罪客体来看,区块链犯罪的客体不同于计算机犯罪,现行刑法体系无法涵盖大数据法益。为应对新技术带来的挑战,我国应在刑事理念上放弃“代码就是法律”的主张,加强二次违法性原则的前置适用;在刑事立法上规范资格刑、法定刑的设置,对数据的保护增加危险犯模式;在刑事司法上扩大关键词的外延,明确网络越轨行为的性质,规范证据制度,深化跨域合作;在整个法律体系框架内对财产性利益进行专门保护,确立以信息为中心的非物权化路径,以期成功应对新技术带来数据安全风险的挑战。
关键词:区块链技术;数据犯罪;大数据整体性保护;财产性利益;黑客攻击
为应对区块链技术带来的挑战,2018年6月14日,美国密歇根州率先提出两份新法案,拟将非法篡改区块链记录认定为犯罪行为,这也是全球范围内第一次将篡改区块链的行为明确入刑。而反观我国,虽已有不少法学界学者加入到对区块链技术的研究中来,但新技术带来的法律滞后性仍然存在。2019年2月15日,《区块链信息服务管理规定》经国家互联网信息办公室室务会议审议通过,式开始施行,旨在明确区块链信息服务提供者的信息安全管理责任,是保护区块链用户数据安全以及正常社会秩序的前置手段,但该规定仍未对恶意攻击区块链的行为进行明确定性,也尚未上升到刑法层面。笔者将以此为背景,通过对攻击区块链典型案件的回顾,分析黑客攻击区块链行为的入罪障碍,以区块链的发展为契机提出对涉数据网络犯罪的完善对策。
一、区块链技术下涉数据犯罪典型案件回顾及分析
(一)The DAO大劫案案件回顾
2016年6月17日,加密货币和区块链行业发生了一次震荡事件。中国社区得到Vitalik Buterin的通知,黑客攻击了The DAO系统,盗取了6千万美元的以太币,这就是史上最大的数字货币盗窃案。事件发生的始末是,在The DAO中,有一个split DAO函数由智能合约编写,黑客利用此函数的漏洞,不停从The DAO系统的资金池中分散出资金,转移到攻击者事先建立的子DAO中。从黑客发起攻击起,仅需三个小时就可致300万的以太币被转移出The DAO的资金池。按照当时以太币的市场价格,被窃取的以太币价值六千万美元。The DAO的监管者提议区块链社区发送大量垃圾交易以堵塞以太坊网络,从而减缓The DAO系统中资金被分散出的速度。不久,以太坊官方博客紧急发布“关于The DAO的漏洞”的文章,该文章全面解释了The Dao被攻击的细节,文章中的解决方案是,进行一次软分叉。不会有回滚,不会有任何交易或者区块被撤销。软分叉将从块高度1760000开始,把任何与The DAO和子DAO相关的交易认做无效交易,用这样的方式来阻止黑客在27天之后提现被盗的以太币。此后再进行一次硬分叉,帮助用户将以太币找回。
前述文章公布后,黑客的攻击暂时停止。以太坊社区的Ethcore团队发布了持软分叉的Parity客户端。但不久,自称“黑客”的攻击者通过网络匿名发布会,声称将使用智能合约的形式奖励不支持软分叉的矿工100万以太币和100万比特币,来对抗以太坊基金会提议的软分叉。
此外,黑客还在互联网上发布了一封公开信,信中表示他通过The DAO获取以太坊的行为是“合法且正当的”,并且任何软分叉或硬分叉都在侵犯其“合法且正当获得的以太币”的权益。这有两个原因:首先,“DAO代码本身包含此功能”,其行为不是窃取,而是“合法正当”;第二,DAO智能合约的代码没有任何其他解释,也没有任何文本指定超出DAO代码设置的东西。
(二)The DAO大劫案引发的思考
1.如何看待补救方案及黑客行为的性质
对黑客攻击的危害后果是否应通过硬分叉的方式人为的将其回复到攻击前的状态,涉及到结果正义;是否应该通过软分叉的方式达成新的共识从而去追回损失,涉及到程序正义。上述不一致的主要原因是通过硬分叉来回滚意味着区块链系统持续存在块分散的概念;软分叉又类似于“黑客技术”,如果使用这种方式,区块链系统的未来发展和维护,能否利用其自身的专业技术优势来获取利润,仍然值得怀疑。因此,以太坊将推出一个软分叉甚至回滚交易的硬分叉来解决The DAO的问题,但这种做法会面临是否有人会利用此权力“作恶”的问题,同样都是利用“黑客技术”实施相同的行为,却只因目的不同而在刑法上存在不同的评价。此外,如果不做任何人为干预(也就是让系统自动处理),就无法保护投资者的利益。
在性质判断上,黑客攻击The DAO案件是“代码套利”或法律意义上的盗窃罪还是计算机犯罪,还存在很多争议。回到The DAO主页,主页显示:“The Dao is borne fromimmutable,unstoppable,and irrefutable computer code,operated entirely by itsmembers,and fueled using ETH which Creates DAO tokens.”中文翻译大概是:DAO是用程序代码创建的,它是不可伪造,不可虚构,不可篡改的,并且完全由其成员自由控制,自动运行,流通的DAO代币可以用货币兑换。如果主旨用普通商业术语解释,那么引用Slock.it的评论就是:“与创建DAO有关的条款列在以太坊区块链的智能合约中。具体位置是:“0xbb9bc244d798123fde783fcc1c72d3bb8c189413”。在解释这些条款和其他相关文献时,不可能替换或修改DAO代码术语中已涵盖的义务或保证。但这些解释仅用于投资者教育的目的,并不代替或更改区块链上DAO代码术语本身的含义。
因此,通常的解释(包括Slock.it团队常用的解释)是:黑客窃取其他DAO用户的资金,这与DAO的初衷相违背。因为“被黑”或“被盗”这些词本身包含有关用户对DAO意图的假设。但代码本身不是由用户的意图转移的,它只是一个逐个执行编码代码的智能合约。因此,代码不可能“被黑”,而只能“正常使用”。最类似的比喻是有人称这种“被黑”为代码套利行为,并不构成任何犯罪。
实际上,The DAO的“三大不可”原则让使用者的逻辑错误无法适用,是一个逻辑代码的乌托邦。人类的期望不是输入变量,除非这些期望毫无偏差地被编译成代码。因此,根据The DAO的设立目的,编程代码的“不可伪造、不可虚构、不可纂改”的三个原则是关于相关行为是否违反The DAO设立目的的唯一考虑因素。
2.如何看待区块链的安全漏洞及其危害
安全漏洞,是指使用计算机信息系统运行时的安全风险。从专业的视角看,“漏洞是硬件、软件、协议实现或系统安全策略中的缺陷,允许攻击者在未经许可的情况下访问或破坏系统。”从这个意义上来讲,安全漏洞的存在在本质上就是一个缺陷。通过简单的分类,可以将这种缺陷分为三个方面:硬件缺陷、软件缺陷和协议缺陷。详细来说,硬件缺陷,如Intel Pentium芯片中的逻辑错误;软件缺陷,如早期版本的Sendmail中的编程错误;协议缺陷,如NFS协议中身份验证方法的缺陷,Unix系统管理员对匿名FTP服务实施了错误配置。这些缺陷都会被攻击者利用,进而严重威胁计算机系统的安全,也就被称为计算机信息系统中存在的安全漏洞。
那么在涉数据犯罪中安全漏洞的性质是什么呢?Microsoft中文网站中对安全漏洞的定义有一个版本,它有助于理解安全漏洞的性质。内容是:即使用户具有完美合理的产品配置,产品的操作也可能因产品本身的缺陷而发生变化,从而导致非设计人员的预期后果,最终可能导致安全漏洞。包括用户的系统被非法侵犯,数据被非法访问和泄露,或者系统拒绝提供服务。这些缺陷就是我们通常所称的安全漏洞。此定义是指Microsoft作为产品,其中设计的软件中固有的缺陷,称为安全漏洞。可以看出,计算机中的安全漏洞基本上是产品缺陷。这些计算机软件和硬件制造商留下的缺陷不是由于疏忽造成的,而是计算机软件设计和硬件制作中难以规避的缺陷。
从这个意义上来讲,在计算机软件和硬件产品中,安全漏洞是固有缺陷。安全漏洞的固有特性表现在,尽管开发人员层层检测到计算机软件和硬件,但它们仍然无法避免安全漏洞。随着计算机用户对它继续应用,软件和硬件漏洞就会不断地被发现。虽然供应商也在不断提供软件补丁试图修补这些漏洞,但补丁系统很有可能会触发新的漏洞。事实上,“安全漏洞的产生是因为人们在安全机制理论的具体实践中犯了错误,并且它们是意外的异常。在人类实施的所有系统中,各种潜在的错误被不同程度地使用、实施和设置,因此必须在所有系统中都有一些安全漏洞”。安全漏洞的本质是产品缺陷,这些缺陷是固有的、隐藏的和不可避免的。
虽然安全漏洞是计算机软件和硬件中固有的,但它们不容易被不法分子利用,因为它们通常是隐藏的。但是,一旦攻击者发现已经存在的漏洞,他们就会利用这些漏洞,编写非法入侵用户个人计算机的目标攻击代码。具体而言,这些黑客攻击分为两类:故意破坏和秘密窃取。故意破坏是指攻击者利用计算机硬件和软件中的安全漏洞,对目标计算机的应用系统进行破坏性攻击。这种攻击可以分为两类:一类直接破坏计算机系统本身,另一类是破坏网络服务信息。例如,当计算机系统在2000年左右被销毁时,它只能感染Windows95/98操作系统的CIH病毒。这种病毒是恶意病毒,利用系统的安全漏洞破坏计算机系统硬件。近年来,网络服务已经受到损害,例如频繁的拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDOS)。上述攻击的破坏性质是使用网络协议(TCP)本身来发送大量伪造的TCP连接请求。攻击者已用尽资源,CPU已满或内存耗尽,因此被攻击的主机或网络无法及时接收和处理信息。处理外部请求或未能及时响应外部请求可能导致网络故障。秘密窃取是指使用计算机配置的软件漏洞将木马病毒嵌入用户的计算机,以此来窃取用户的个人信息。例如,在线银行账户密码,在线游戏账户和密码以及秘密信息。换句话说,安全漏洞是黑客必须依赖的路径才能发动攻击。一旦黑客利用安全漏洞,计算机用户将受到不同程度的伤害。
3.如何理解黑客攻击区块链的刑法适用争议
如果黑客在未经他人同意的情况下,攻击区块链,或者利用区块链漏洞盗取虚拟货币,导致具有严重情节或严重后果的行为,这种情形下的罪与非罪、此罪与彼罪的问题,现行司法实践主要有以下四种观点:
第一,破坏计算机信息系统说。攻击区块链属于计算机病毒的行为,它可以在预先设定的条件下自动触发,而无需他人的许可,消耗大量的计算机系统硬件资源。依据最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第5条第2款,“能够在预先设定条件下自动触发,并破坏计算机系统功能的程序”应当认定为“计算机病毒等破坏性程序”,恶意“挖矿”程序符合“计算机病毒等破坏性程序”的特征,故恶意“挖矿”行为符合《刑法》第286条第1款“对计算机信息系统功能进行干扰”和第3款“故意传播计算机病毒等破坏性程序,影响计算机系统正常运行”,应认定为破坏计算机信息系统罪。
第二,非法控制计算机信息系统说。攻击区块链行为的基本特征为未经他人同意,在其他人的计算机上安装具有自动操作,隐藏和某些防查杀功能的程序,并使用其他计算机硬件资源执行网络操作以获取利润。这些程序应属于木马程序的类别。攻击者的目的不是破坏或干扰计算机信息系统的正常运行,而是利用木马程序取得对计算机的部分控制,并使用其他计算机信息系统作为自己所有而加以控制。它属于对计算机信息系统进行特定操作的未经授权的控制,应被视为非法控制计算机信息系统罪。
第三,盗窃说。使用区块链漏洞未经用户同意劫持其他人的计算机,实质上是利用其他人的计算机硬件资源来获得罕见的电子数据资源。由于行为者未经授权使用计算机硬件资源,不会导致硬件设备的丢失或转移,因此不应受到刑法的评价。然而,行为人的秘密转移和获取受害者的电力资源,与将其“挖矿”设备与他人的电路设备的连接,使用其他人的电力资源“挖矿”具有相似之处。
第四,无罪说。攻击区块链的程序属于中立程序,不破坏或控制计算机信息系统,与木马等病毒程序的本质不同。一方面,“挖矿”程序的目的不是在计算机资源空闲时干扰计算机的运行。另一方面,“挖矿”程序不向参与者提供任何控制权限。攻击者无法远程控制计算机,也无法主动向计算机发出任何操作指令。“挖矿”类似于Web广告插件。网络广告插件等程序也需要利用计算机信息系统的运行,这将占用和消耗计算机资源。与“挖矿”行为相比,它只是占用资源量的差异。“挖矿”对他人造成的损害只是电费的增加与计算机硬件的损失。但是,由于“挖矿”造成的额外电费负担和计算机硬件寿命和折旧的损失无法量化,因此不能视为侵犯他人的财产权。“挖矿”属于未经授权使用他人财产,不排除占有他人财产的目的或故意损害他人财产的行为,是民事侵权行为规制的范围。
二、区块链技术与涉数据犯罪的界定
(一)区块链技术
区块链是计算机技术的一种新的应用模式,如分布式数据存储,点对点传输,共识机制,加密算法等。它是以比特币为代表的数字加密货币系统的核心支撑技术。从狭义的观点来看,区块链是按时间顺序排列的链结构数据,并且加密方法用于确保数据不会被篡改和不会被伪造。从广义的观点来看,区块链技术使用块链结构来存储数据,使用链式数据上下关系来验证数据,使用分布式节点来生成数据,并使用共识算法来更新数据和使用密码。确保数据的真实性,使用由程序代码组成的智能合约来确保协议的非默认性,是一个具有高可用性,高扩展性,高安全性和其他特性的新数据系统。
一个简单的例子可以说明区块链是什么。想象一个封闭的岛屿国家房地产市场,只允许岛民买卖岛屿房屋,所有交易记录均由岛上唯一的房地产经纪人打印和保存。每个房屋的房产交易记录是一个信息链,过去每笔交易的信息都按时间顺序形成了一条链。如果每个记录都锁定在一个单独的邮箱中,则只有该房屋的所有者拥有该密钥,新的交易记录可以填入邮箱并成为信息链的最新部分,但一旦填入邮箱,记录就不能再被取出或修改。此时,所有邮箱加在一起是非数字区块链——信息加密,每个密钥持有者只能看到或授权他人查看自己房屋的交易信息,每次向房屋添加交易信息都是永久不可逆转的过程。不会丢失,不能修改。
2019年1月10日,国家互联网信息办公室正式通过了《区块链信息服务管理规定》,该规定于2019年2月15日生效。其中,对区块链的主体也有明确规定。规定第2条提到区块链信息服务,即基于区块链技术或者系统,通过互联网站、应用程序等形式,向社会公众提供信息服务。因此,我们认为公链项目,DAPP,钱包等应属于区块链信息服务范围,属于受监管项目。上述项目只要为中国居民从事或提供服务,无论在中国境内或境外的注册,经营和服务器位置如何,均应履行规定中的义务。
(二)涉数据犯罪
随着大数据、云计算、物联网和区块链技术等新一代信息技术的普及和应用,数据日益成为信息社会发展和网络产业发展的战略要素。有效预防和控制与数据相关的网络犯罪也成为一个受到业界和公众高度关注的重要命题。2017年10月16日,最高法院发布了第九批指导性案例,其中包括李丙龙破坏计算机信息系统案等六起案件。对于涉数据犯罪的刑事司法,对公民权利的全面保护和网络攻坚的综合管理将产生积极的引导作用。
之所以提出“涉数据犯罪”的概念,意在将侵犯数据安全这一法益的整个犯罪链条加以统一规制。例如出卖或泄露公民个人信息的行为,已经形成“源头、信息贩子、购买者”一条龙式的黑色产业链,集聚式的侵犯信息犯罪愈演愈烈,集中、大量的侵犯个人信息的案件比比皆是。在信息社会,数据的挖矿利用已经成为包括搜集、保存、流转、利用在内的体系,为数据被侵害提供了巨大的空间,非法获取、非法公开、非法利用数据的行为均呈现出扩张的态势。
学界一般认为,涉数据犯罪以刑法第253条之一侵犯公民个人信息罪为逻辑起点,其范围延伸及于数据信息相关的网络犯罪整体:基于网络犯罪黑色产业链打击的思维,上至破坏公用电信设施罪、扰乱无线电管理秩序罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪以及破坏计算机信息系统罪等,下及侵犯著作权罪、电信网络诈骗犯罪等下游犯罪,同时也涵盖拒不履行信息网络安全管理义务罪、非法利用信息网络罪以及帮助信息网络犯罪活动罪等新设关联罪名。
但随着信息和网络技术的快速发展,有关国家和商业秘密的信息己经在大数据中产生交叠,涉数据犯罪不应仅指有关“个人”信息的犯罪。笔者认为,涉数据犯罪应分为两种,第一种是针对计算机系统实施的犯罪:非法侵入计算机信息系统罪,非法获取、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪;第二种是利用计算机网络实施的涉数据犯罪:侵犯公民个人信息罪,侵犯商业秘密罪以及非法获取国家秘密罪,为境外窃取、刺探、收买、非法提供国家秘密、情报罪。以上即为笔者所讨论范围内的涉数据犯罪。
(三)区块链技术下的涉数据犯罪
在明确了区块链技术与涉数据犯罪的范围后,笔者将区块链技术下涉数据犯罪分为以下两种,第一是利用区块链技术实施的犯罪,如集资诈骗罪,非法吸收公众存款罪,逃税罪等,由于此类犯罪与传统犯罪的区分主要在于实施犯罪的手段不同,类似于故意杀人罪中的用刀杀人还是用枪杀人,本文不再过多讨论。第二是针对区块链本身的犯罪,如下文将着重研究的黑客攻击区块链行为。
1.区块链技术应用于涉数据犯罪规制的局限
第一,区块链网络中的节点容易受到攻击。区块链网络中的节点往往是个人计算机。与传统网络体系结构中的专用服务器相比,其性能较低,抗攻击能力较差。此外,在集中式体系结构中,运营方只需要关注一个或多个服务器。在区块链网络中,所有节点都具有相同的状态,很难将相同的安全措施应用于许多地理上分散的节点上。攻击者容易发现弱节点入侵区块链网络。
第二,区块链交易关联可用于推断敏感信息。区块链是无法篡改,不可伪造,计算不可逆的,但是它们必须在私钥保密的前提下才是安全的。但是,区块链中的所有交易都保存在公共的分布式账本中,黑客可以轻松获取所有交易信息。通过分析交易中的联系,可以逐断减少区块链地址的用户匿名性。直到破解匿名地址与用户真正身份信息之间相对应的关系。
第三,区块链应用系统本身存在许多安全漏洞。区块链技术尚处于起步阶段,存在许多安全漏洞,可能对区块链应用程序构成安全威胁。目前,如果一个节点可以控制整个网络51%的计算能力,就可以伪造或篡改区块链数据。在当前典型电子货币的应用场景中,这是没有必要的。但是,随着区块链的应用范围的扩大,攻击者可能会进行这样的攻击以达到特定的目的。此外,基于区块链的算法,主要是公钥算法和哈希算法,其安全性来自数学难度,相对安全。然而,随着高性能计算和量子计算的发展和商业化,所有现有的加密算法都有可能被破解,这也是区块链的威胁。
2.技术手段较之于刑法手段对数据保护的不同
在区块链带来的机器学习趋势下,当刑法遇到代码和算法时,由于机器学习带来的学习能力的快速提高和学习成本的快速下降,刑法的独特功能遇到了深刻的挑战。刑法不再仅仅是主权下“不敢”违法的现象。它还包括各种代码实现的“不能”违法、由各种算法实现的“不用”违法的现象。
众所周知,刑法是“深度不学习”的制度安排,是一种高度反认知和标准化的操作技能。如果每次沟通都需要“学习”来验证各种身份、事实、时间和权利,社会交往必然会受到阻碍。这与区块链技术的“深度学习”所代表的认知操作技术形成鲜明对比。不学习刑法的根本目的是简化社会的高度复杂性,暂时切断从标准化角度学习带来的无穷无尽的共识链。
目前,智能社会的迅速崛起将从根本上促进刑法学习。首先,各种数字智能技术的兴起导致了世界社会分化趋势的加速。区块链可以被视为一个不断发展的新社会系统。根据卢曼社会系统理论,当前的区块链形成了一个完整的系统生态学:它形成了系统/环境的区别(通过一致性算法和独特的证明机制),独立的时间维度(每十分钟时间单位的区块生成率),独特操作介质和加密方式(哈希计算和时间戳),特定二元代码(记账/不记账)。在这样一个新的区块链世界中,可以进一步配备人工智能,虚拟现实和其他技术。在技术推动下,区块链理论可以在虚拟网络世界的“架子”上显示所有人和事物,用于统一识别的智能技术,并确保标准化的智能操作。技术变革必然涉及创造新财富和旧财产的再分配。区块链技术的革命性质实际上是一种价值协议。这不仅仅是现实世界财产的数字化问题,而是一个解决方案,是虚拟世界资产的创建、分发、定价和交换。
在传统的刑法保护方式中,最重要的是在所有市场、道德和建构的监管方法都失败的情况下,刑法可以发挥最终的安全保障作用。简而言之,刑法没有学习最极端的形式,即判处死刑。它可以完全消除个别主体的自由,排除干扰社会交往自由的噪音。从这个意义上说,不学习的刑法是社会监管的终极展现。
“法不禁止即自由”,这一原则实际上源于现代治理技术的局限性。不学习的刑法不能将其触角扩展到人类行为的每个领域,因此这些领域被定义为“刑法自由”。也就是说,现代自由价值矛盾地依赖于技术“低效率”,当技术效率不再是传统的刑法时,它就形成了学习与非学习的特殊结合。一方面,学习旨在保持刑法的活力,与环境共同进化;另一方面,学习不是为了维持其规范性,而是在功能上稳定人们的规范期望。随着现代社会的复杂性,刑法体系一方面增强了内部操作的复杂性,这也是其自身学习的体现。同时,它通过标准化而无需学习,通过“压缩”技术实现复杂社会的简化处理。
刑法体系内部过程的复杂性和规范决策中刑法体系的简化,共同构成了现代刑法核心的矛盾特征:以高度复杂性来简化高度复杂性。正因如此,现代刑法体系需要在立法,执法和司法方面实现高度的功能区分。换句话说,现代刑法的结构和操作程序的复杂性实际上是为了简化司法判决而提供尽可能多的“数据”和“情景”以及更先进的“计算装置”。刑法不学习是指其在规范运作中的封闭性,但封闭运作绝不等于刑法的不变性。相反,现代刑法具有深度学习和认知开放的特点,能够感知系统外的环境干扰,进行有利于刑法本身演变的调整。
3.区块链技术有利于加强数据保护的原理
第一,P2P网络很难实现网络窃听。作为P2P网络中的一种的区块链,其节点使用中继转发模式进行通信。在传统的网络中,通过窃听网络流量来发现用户之间的通信关系与区块链网络有明显区别。比如,在一个区块链网络中,当需要在节点之间执行事务时,发送方首先将事务信息发送给其邻居节点,接收到该信息的邻居节点将该信息转发给其他邻居节点,从而逐步将该信息传播到整个网络。接收节点最终将从网络接收事务信息,而无需与发送方直接通信。因此,行为人无法通过窃听发现网络中传播信息的真实来源和目的地。
第二,区块链技术支持匿名交易。区块链交易中使用的地址(类似于银行卡账户)通常由用户创建和保存,而无需第三方参与,地址本身与用户身份信息无关。此外,区块链地址通常具有很大的地址空间,并且冲突的概率很低,这允许用户为每个事务生成不同的地址,从而增强了事务的匿名性。
第三,分散式体系结构能够有效地应对网络攻击。使用区块链技术的应用程序通常具有分布式体系结构。无需在中央服务器上存储敏感信息(如帐户和密码),从而大大降低了对传统服务器攻击从而造成数据泄露的风险。
三、区块链技术下涉数据犯罪的规制困境
事实证明,全球网络,尤其是涉及货币交易的网络,是黑客的主要目标。如今,黑客已经掌握了高端技术,并呈现出组织化、集团化的趋势。这些黑客为他们访问大量数据资源的能力感到自豪,有些甚至由某些政府赞助,承担数百万美元的欺诈行为。黑客攻击区块链的行为涉及到对多种法益的侵害,但站在本文的立场上,笔者认为在攻击区块链获取数据信息的行为中,大多都是以牟利为目的,其中以盗取数字货币的数据最为典型。区块链技术下“盗窃”数据信息的行为目前面临诸多困境,这类犯罪能否从现行刑法的角度进行评价,是本文研究的重点,有待下文分析。
(一)以犯罪对象为分析视角
网络犯罪中的财产利益通常是以数字数据的形式产生并存在于网络中的数字资产,并通过数字形式的某些程序在网络之间传输,例如个人信息,商业秘密,虚拟货币等。目前区块链作为虚拟货币的底层技术,攻击区块链的行为大多意在盗取虚拟货币,本文研究的The DAO事件就属于此类。在The DAO案件中,用户被盗取的以太币,可以被认定为具有在平台上购买的用于交换的数据财产。但我国刑法学界对此种行为究竟应如何定性众说纷纭,或构成盗窃罪,或构成非法侵入计算机信息系统罪,非法获取、非法控制计算机信息系统罪,破坏计算机信息系统罪等,不一而足。以下笔者首先从犯罪对象的角度来分析。
1.财产性利益不能作为盗窃罪的犯罪对象
笔者认为,黑客利用BUG获取以太币的行为,不构成盗窃罪。
首先,盗窃罪的犯罪对象为公私财物,而虚拟货币能否认定为盗窃罪的犯罪对象尚待探讨。刑法一般都规定了财产犯罪的数额。定罪和判刑的严重程度取决于数额。虽然财产利益具有财产的某些特征,但其价值的识别是复杂的,特殊的虚拟资产只能存在于特殊的网络环境中。离开特殊的网络环境并不一定有价值。一方面,网络中存在多种财产利益,供需关系波动很大,用户交易时往往会产生情感色彩,难以确定其真实价值;另一方面,网络中的财产权益的价值由主体决定,即对于不同的主体,网络中的财产利益的价值是不同的,有些甚至可能被认为是毫无价值的。简而言之,评估互联网上虚拟财产的价值,并不能构成普遍接受的客观计算方法或显性价值评估机制。网络中财产利益的性质可能导致刑法适用的不平衡。网络中财产价值识别的不确定性不仅影响了行为人行为的定性,而且与数额相关的量刑结果也可能违反了犯罪和惩罚原则。在这方面,如果全以盗窃罪认定,结果可能太重而不能被公众接受。检察官似乎更愿意通过等待黑客将比特币兑换成现金来指控盗窃行为的后果,例如对出售被盗比特币所得收益进行洗钱。
其次,从我国刑事立法的角度来看,许多违反网络财产权益的犯罪行为都没有按照财产犯罪论处。例如,侵犯著作权的行为按照侵犯著作权罪论处,侵犯商业秘密的行为按照侵犯商业秘密罪论处。此外,网络流量,个人信息,网络域名,甚至道路交通违规信息管理系统的数据也具有财产价值。在这之中互联网上侵犯个人信息的犯罪应属于最常见的犯罪模式。非法获取个人信息的主要目的是利用交易获取非法利益。但是,刑法没有按照规定的财产犯罪的认定,而是单独设立了侵犯公民个人信息罪。
最后,虚拟货币底层技术的描述导致了一个直观的假设,即个人拥有虚拟货币无形的财产权益,就意味着虚拟货币是一种可以被排除在整个世界之外的东西。但实际上虚拟货币在本质上是无形的,它只不过是电子数据,一系列“位”托管在没有任何物理存在的软件上。私人密钥的持有人是唯一可以访问、交易或转让相关虚拟货币的个人。然而,得出虚拟货币在法律上是盗窃对象的结论,需要的不仅仅是一个简单的假设。这对于盗窃虚拟货币的入罪分析来说是至关重要的——要想让某个东西被不允许地拿走,它必须首先被独占。盗窃行为——非法地把“他的”视为“我的”,必然是基于这样一个观点:即我将你的东西视为我的东西,这个东西实际上是你的。自然,这与所有权理论相关,也与财产利益相关。要解决虚拟货币的盗窃问题,那么,主张虚拟货币所有权的人必须首先拥有这一权利。
2.区块链不符合刑法语境中的计算机信息系统
一般来讲,非法侵入计算机信息系统罪,非法获取、非法控制计算机信息系统罪,破坏计算机信息系统罪统称为计算机犯罪,而计算机信息系统作为计算机犯罪的犯罪对象,首先应厘清计算机信息系统的概念。
根据最高人民法院、最高人民检察院《关于计算机信息系统安全刑事案件的解释》第11条的规定,计算机信息系统是指具有自动数据处理功能的系统,包括计算机,网络设备,通信设备和自动化控制设备。根据《中华人民共和国计算机信息系统安全保护条例》第2条的规定,计算机信息系统是指由计算机及其相关的配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
由此可见,在刑法语境中的计算机信息系统,是一套设备,是一个具体的对象,所以对于其“入侵、控制、破坏”的违法行为应受到刑法不同程度的惩处。但就区块链而言,虽然是由无数个单机构成的系统,但这些单机的损坏不会影响整个链条的存在,因此笔者更倾向于把它看作是一个虚拟的链条,每一个用户都可以访问,因而不涉及“侵入”,共识机制又决定了无法由某一个人单独“控制”,也无法“破坏”。事实上,区块链应受到刑法保护的,恰恰是黑客利用这种特有的共识机制,进行恶意的攻击。
在The DAO案件中,黑客的攻击只针对编程中有漏洞的智能合约,而以太坊系统本身没有任何伤害,利用BUG进行的“攻击”,实质上可以理解为用户的“正当操作”,并非传统意义上致使计算机系统物理瘫痪的行为,将“攻击”行为认定为“控制、破坏”计算机信息系统罪是不合适的。
(二)以行为方式为分析视角
1.攻击区块链的行为方式与传统计算机犯罪不同
与传统的集中式架构相比,区块链机制不依赖于特定的中心节点来处理和存储数据,从而避免了单服务器崩溃和集中式服务器数据泄漏的风险。但是,为了在分布式区块链节点之间达成共识,区块链中的所有事务记录都必须暴露于所有节点,这增加了数据泄漏的风险。例如,在数字货币应用中,分析师可以分析交易记录以获取用户的交易规则,甚至可以猜测用户的身份信息和位置信息。在金融应用中,如果分析师获得所有交易记录,他们可以追溯到单个账户交易的细节,也可以分析宏观金融趋势,这不仅是公司用户数据,也是核心数据;在能源行业,区块链技术通常用于实现点对点能源交换。在这种情况下,区块链交易数据具有敏感信息,如能量传输泄漏,对人身和国家安全构成威胁。可以看出,区块链领域中数据泄漏的风险不仅仅是通过“非法”手段获取数据,还包括以“非法目的”实施“合法手段——利用公开信息与个人隐私的耦合程度”破解区块链,从而对个人、社会、国家造成难以估计的损失。
区块链技术与传统IT架构的显著差异导致传统数据保护立法在区块链应用中的不足。在传统的IT体系结构中,数据通常存储在集中的服务器中,而数据保护的重点是确保数据不被破坏。因此,管理员可以通过提高中心节点的防御能力来抵御各种攻击,例如使用高性能服务器、部署入侵检测设备和安装专用的数据防泄漏软件。在区块链技术中,数据存储在分散的节点中,没有统一的管理器,节点的性能和安全性能也不统一。攻击者可以很容易地破坏某些节点。此外,攻击者甚至可以将自己伪装成直接获取事务数据的合法节点。因此,区块链数据保护的重点是保证交易的匿名性,即攻击者无法通过分析交易数据来获取用户的身份信息。此安全要求需要有针对性的数据保护法规。
除此之外,区块链中的漏洞不同于传统软件领域的漏洞。黑客利用传统的软件域漏洞发动网络攻击,对公司的部分加密数据和数据造成一系列影响。对于数字货币,区块链节点中的安全漏洞可能会导致数千个节点受到攻击。即使在传统软件漏洞领域,被认为相对较少有害的拒绝服务漏洞也可能对区块链网络中的整个网络造成风暴攻击,这将对整个数字货币系统产生巨大影响。
2.攻击区块链行为的“情节严重”难以界定
目前的司法实践一般从行为次数、获取信息的量、给受害人造成的损失、犯罪行为造成的社会影响等几个角度来认定计算机犯罪中的“情节严重”。
第一,从行为的数量来看。在司法实践中,“侵入计算机系统,危害信息安全,非法控制计算机信息系统三次以上”是认定“严重情节”的标准之一。第二,确定了采集的计算机信息数据量。如果演员获得了500多张与个人信息有关的图片,或在计算机信息系统中获得了一定数量的数据,如超过50万亿,则应视为“严重情况”。第三,从行为人获得的经济利益和给受害人造成的经济损失来判断。第四,从犯罪行为的影响和后果来看,如果犯罪人在获取计算机信息系统的数据后,肆意传播所获取的数据,在不构成其他犯罪的情况下,给受害人的生活带来麻烦,侵犯其数据权,甚至造成社会不良影响,或者因数据内容泄漏致他人自杀的,应认定为“情节严重”。
综观以上四个角度的认定方式,几乎所有涉及到攻击区块链的犯罪行为,都能轻易的达到获取信息数量巨大、给受害人造成严重的经济损失以及社会影响巨大这三类认定标准,但这从立法角度来讲是十分不合理的,无法达到分段量刑的目的。攻击区块链获取计算机信息数据的数量较传统计算机犯罪相差巨大,非法所得的数额难以评估,将成为实务中认定的主要难题。
(三)以犯罪客体为分析视角
1.区块链犯罪的客体不同于计算机犯罪
计算机犯罪属于我国刑法的第六章,妨害社会管理秩序罪,其侵犯的客体应为计算机管理秩序,而攻击区块链的行为能否适用于计算机犯罪所保护的法益呢?
我们知道区块链网络倾向于支持未经许可的开放和使用原则,类似于早期互联网的工作方式。为了保护这一概念免受政治压力和监管干预,区块链网络运行在一个不受任何人或组织控制的分散架构上。与政治管理不同,区块链的管理并非直接来自社区。相反,这是将代码写入协议并作为初始网络架构的组成部分运行的先发制人措施。要成为此社区的成员,必须支持最初开发和建立的区块链网络规则。由此可见,区块链的管理者是每一个用户,而不是像传统的中心化数据库一样有一个管理者。在The DAO案例中,以太坊创始人的最初愿景是,计算机代码应被视为社区法律,并取代法律协议和监管规则。为实现这一愿景,The DAO创始人表示,参与者应将应用程序的代码确定为决策的唯一来源。
由此可见,此次事件能否被认定为妨害社会管理秩序,仿佛变成了一个假命题,因为根本没有管理者,何来的侵犯社会管理秩序呢。
2.现行刑法体系无法涵盖大数据法益
笔者认为,在区块链技术背景下,刑法对信息安全的保护所侧重的角度会发生变化,这个变化过程由“信息系统的保护”、“个人信息保护”和“大数据整体性保护”三个阶段构成,目前我国刑事立法尚处于由第一个阶段向第二个阶段的过渡期,而由于攻击区块链行为的出现和发展,法益的保护应向“大数据整体性保护”转变。
区块链使用加密技术来帮助平台参与者隐藏真实的身份信息。其他参与者通过公钥查询仅限于交易信息。查询参与者身份信息时,结果只是区块链上的用户名,或者是一串有效保护参与者信息的地址代码。但这种保护个人信息的方式,看似很好的阻绝了个人身份的泄露,但“个人信息”,或者说“值得保护的个人信息”,其核心价值在于与真实生活的耦合程度,而往往不在信息本身。
以小黄车ofo为例,它的盈利方式不仅在于获取里程数佣金,而在于扩大使用后对于城市人口特定时间内行为轨迹的追踪,这一记录形成的大数据才是极具商业价值的,而具体到是由哪一个人实施的行为,恰恰不是信息价值的核心。如此可见,个人信息不仅关系到个人法益,更关系公共信息安全乃至国家安全,例如有关国家和商业秘密的信息己经在大数据中产生交叠,因此需要加强对大数据的整体性保护,而非将个人数据,商业秘密,国家秘密割裂开来,若是仍然沿用原有概念的范围对信息进行保护,将使得原有的法益无法被涵盖其中。
四、区块链技术下涉数据犯罪规制困境的成因剖析
涉数据犯罪在信息社会中发生和发展,特别是在大数据时代。犯罪分子利用现代通信技术闯入数据系统,手段与传统犯罪的区别主要在于客体的非物质性,与受害者的非接触性以及危险的潜在性。因此,基于涉数据犯罪刑事规制的一般思想,可以从行为异化、法益保护和刑罚适用三个方面来思考监管困境。
(一)涉数据犯罪行为异化的理性剖析
在大数据时代,基于有效利用数据的新技术,如人工智能,云计算和区块链,正在推动信息社会和数字经济的发展。数据安全风险防范已从传统的计算机犯罪演变为个人信息犯罪,“刑法”的重点正在从法律地位的“计算机系统数据”价值转向背后的“信息”。据此,对于法律评价而言,重要的信息和数据有范围上的差异,刑法对数据网络的异常行为和犯罪者的刑事责任进行了负面评估。传统的破坏数据安全行为主要是指计算机犯罪,包括特定领域的计算机系统的入侵和破坏。从互联网犯罪时代到信息网络犯罪时代,再到三网融合下的大规模网络犯罪时代,一方面,传统犯罪行为的网络异化是犯罪作为评价对象的结果,法益侵害紧迫性变成刑法的核心;另一方面,是犯罪目的的变化,犯罪活动的变化,犯罪损害后果的变化,以及对刑法概念的理解,排除了受控对象。涉数据犯罪已从“精英犯罪”演变为“普通犯罪”。总之,传统的涉数据犯罪与涉数据网络犯罪相互关联,在法律利益保护和问责原则方面具有相似性,但在监管思想和主体方面存在许多差异。
就涉数据犯罪监管对象而言,第一,涉数据犯罪的目的呈现出一种非纯营利的变化。例如,在版权犯罪案件中,犯罪者购买真正的视频并将其上传到互联网上免费下载。犯罪者希望增加其网站上的访问者、下载和评论数量,而不是单纯地追求利润。刑法第217条规定的侵犯著作权罪,要求行为人主观上具有利益目的。因此,网络环境下的盈利目的应该得到适当的解释。第二,涉数据犯罪的变化呈现出多样化的演变。非法获取个人信息和非法使用个人信息已成为实施准确电信网络欺诈、通过资源共享软件非法复制、非法传播作品和实施“网上计费”等下游犯罪的先决条件。据报道,中国的涉数据犯罪与美国、俄罗斯的涉数据犯罪不同。一方面,他们并不严重依赖秘密网络。另一方面,恶意软件的开发者和特定犯罪的实施者在大多数情况下不是同一个人或同一组织。在这方面,学术界就网络犯罪帮助行为的刑事定罪标准展开了更深入的讨论。第三,涉数据犯罪的后果各不相同。传统犯罪以“实害犯”为中心,以实际发生的危害后果为必备要件。然而,在涉数据犯罪中,有害后果的发生与传统犯罪不同,大多表现为存在潜伏期。涉数据犯罪有害结果的异化也体现在行为危险性上,即犯罪人在涉数据犯罪中的预备行为足以造成法律不允许的重大风险,导致利益被侵害的紧迫状态。例如,在个人信息犯罪中,非法存储大量他人的个人信息,使不特定多数公民的财产权和人身权始终处于被侵害的状态。综上,传统犯罪行为在网络环境中与其异变形态并存。因此应在坚持刑法谦抑性、刑法基本原则的基础上,构建数据网络越轨行为的刑法评价体系。
(二)涉数据保护法益的重新定位
在区块链技术下,刑法中的利益保护已从物质变为非物质,保护的重点逐渐转向个人权利。
首先,从分析涉数据犯罪的核心犯罪类型入手。主要有“隐私权理论”、“人格权理论”、“个人信息权理论”等关于个人信息保护法律利益的争议。根据“隐私权理论”的观点,个人信息立法的基础是保护公民的隐私权,并注重保护个人信息的精神利益。在刑事立法中,它表现为基于公民道德损害因素的刑事责任。根据“人格权理论”的观点,在一般人格权的基础上,我们重视个人信息中人格的独立性、人格自由和人格尊严,这体现在刑事立法中对公民人身权和财产权的保护。“个人信息权”支持建立个人信息的合法权益,保障个人信息中的人身权和财产权。一方面,它包括主动使用和允许他人使用它的权利。另一方面,它包括对他人不可侵犯权利的被动保护。它体现了刑事诉讼理念的转变、制度创新和科学治理。在个人信息权的基础上,我们应进一步完善个人信息保护要素和适用的刑罚规范。
目前,网络数据库、软件著作权和网络数字多媒体作品的保护已经成为一项全新的著作权保护内容。我们有必要对以侵害市场经济秩序为基础的刑罚适用作一个深入的思考,主要是对自由刑的处罚和对罚金刑的补充。在著作权犯罪领域,国外国家主要赋予著作权人部分刑事起诉权,即在不侵犯社会合法权益的情况下,著作权人有权决定是否对侵犯著作权的行为提起刑事诉讼,以对侵犯著作权的行为进行追诉。最大程度上保护侵权行为造成的经济损失。我国著作权犯罪率相对较高,治理效果不佳。根本问题是犯罪收入与犯罪成本之间的不平衡,导致预防犯罪效率低下。综上所述,应加强对权利的控制和恢复,改变具体措施,保护法律利益,实现涉数据犯罪的多元化防控。
(三)涉数据犯罪刑罚效果欠佳的原因分析
2017年,打击个人信息犯罪专项行动开始在全国范围内开展,效果甚佳。从已经发现的案例来看,数据泄露的主要渠道是公司内部人员的职业犯罪和黑客攻击。公司信息数据来自于其广大客户,同时,公司又是信息数据的购买者。所以应对信息和数据的风险进行源头上的防治,禁止法律未知风险的增加,并参与到信息和数据的收集中,为使用和存储的个人或组织提供更严谨的方法。
首先,涉数据犯罪共犯行为的正犯认定问题。《刑法修正案(九)》增设了帮助信息网络犯罪活动罪,将法律意义上的帮助行为单独纳入犯罪,初步解决了网络语境下对共犯难以入罪的限制。在实际案例中,如何识别中立的帮助行为,如何认定网络监督义务是司法认定中的难题。在“快播传播淫秽物品牟利案”中,争议焦点可以总结为以下三个方面:第一,快播软件是否发布和传播色情视频;第二,运营方是否对色情视频纵容放任;第三,软件是否从传播色情视频中获利。站在从运营方的视角,该软件只具有视频编码和编号功能,用户单独拥有视频的上传和发布的权限,视频在“110系统”严格审核之后方能上传。通过代码设计,运营方可以识别出一部分非法视频并禁止其上传,但是不能阻止全部的非法视频。所以,运营方通过视频文件的过滤和“110系统”报告的及时处理,已完全履行了监管职责。对于视频盈利来说,运营方声称软件只提供技术支持,上传内容是用户的权限,软件的行为是中立的,与色情视频的传播无关。在这方面,公诉方提出了不同意见,即从结果来看快播的运营方应在主观上具有间接故意,客观上允许实际传播淫秽视频,并从广告和软件合作中获益。总之,对涉数据犯罪中正犯的认定问题,寻求平衡数据利用和数据保护之间利益的方法是最重要的。
其次,对于涉数据犯罪中的处罚措施,现有的犯罪预防体系并不全面。《刑法修正案(九)》增加了从业禁止制度,该制度与禁止令、前科制度共同构成预防性处罚体系,构建了三位一体、双向平行的格局。目前,与涉数据犯罪主体表现出由“特殊主体”向“一般主体”、由“精英犯罪”向“普通人犯罪”的转化趋势。在预防性处罚措施的司法实践中,除少数关于犯罪前科存续期限的规定外,大多数法律都无限期地规定了犯罪前科制度,即犯罪记录将伴随行为人的一生,导致他们中的大部分就业资格的丧失,阻碍了其回归社会。一些学者指出,我国刑罚制度的弊端不仅在于重刑化,而且在于刑罚影响的持续性,导致犯罪分子永久丧失职业资格,给犯罪分子刑满释放后的社会化增加了过多的障碍。所以,犯罪前科制度在网络犯罪中的具体应用尤为重要。另外,从业禁止制度与前科制度存在分歧。如果有犯罪记录的行为人因其后续行为被判处禁止从事特定行业,这两种制度之间就出现了分歧,不能反映从业禁止制度的价值。由此,在涉数据犯罪的预防和控制中,应将禁止令、从业禁止和犯罪前科制度有机结合起来。
五、区块链技术下涉数据犯罪的刑事规制
从以上分析可以看出,不仅是窃取虚拟货币的行为,黑客攻击区块链的任何行为从现有的刑法角度都难以认定为犯罪。但笔者之所以极力将区块链与传统计算机犯罪加以区分,并非希望像密歇根州新法案一样,简单的将篡改区块链行为追认为犯罪。而是在互联网已经进入3.0时代的今天,我们理应看到,区块链的极速发展已经成为不可逆的趋势,若之前单纯大数据概念的提出不能引起足够重视,那么区块链已经给法学界敲响了警钟,应当对计算机犯罪行为进行细致系统地单独定罪,而非为了达到诉讼目的尽力将其硬塞入可以适用的传统法条中。
(一)刑事规制上的理念转变
1.放弃“代码就是法律”的主张
“代码就是法律”,这一由比特币社区倡导的大胆声明,是由点对点软件协议(通常称为区块链技术)创新所引发的对“新世界秩序”的总结。这些协议使个人用户能够安全地实施有价值的数据交易(也称为“加密货币”),而无需中央机构作为第三方或政府强制执行的法律规则。但目前来看,代码并非能全方位的保护现有法律体系内的基本权利免受黑客或其他不法分子的侵害。
因此,此处主要涉及到一个观念的转变。放弃“代码就是法律”的主张,即在区块链的应用之初就介入国家强制力保障其正常运行,从犯罪预防的角度规制区块链应用的开发者。公众普遍认为区块链技术已经是目前为止信息加密手段中的顶级技术,但无数国内外的案例显示,任何代码的写入都不可避免的存在漏洞,所谓智能合约的安全性,只建立在代码正常运行的基础上,而未能考虑到其本身存在的问题,黑客攻击也大多是利用这些漏洞。前文中The Dao案例中所述的硬分叉否认了智能合约的结论性或不变性,智能合约秉持着替代法律的特性,原本不必依靠强制执行的方式来解决争端,代码就可以保证区块链良好的运行,但事实是,黑客的攻击行为不减反增。
大众普遍将黑客攻击区块链的行为理解为盗窃行为,也就是说,对拿走属于他人的东西(虚拟货币)的行为,社会认为这是一种必将受到惩罚的行为。尽管有些受害者只是单纯的接受这一损失,认为这是参与虚拟货币市场不可避免的风险,但越来越多的人向监管机构投诉这一问题,这种投诉增多的部分原因是虚拟货币被盗造成的损失迅速增加,丢失的虚拟货币不太可能被收回。然而,从规范意义上讲,这种反应表明了一个普遍的观点,即未经授权的掠夺行为的受害者期望通过传统方式,即通过政府行为得到保护和补偿。
即使以太坊的经典目标是保持区块链的不可变性和交易的确定性,目前来看,对“代码就是法律”的主张也在某种程度上被冲淡了,因为“基础管理者”(即政府)不存在,就无法执行和维护法律,区块链只是一个允许执行不可变交易和程序的协议,尽管它被描述为一个分散的、无需管理的系统,但仍然依赖于第三方执行。如果出现任何问题,区块链就无法为改变其状态控制自身的合法运作,因此数据犯罪和其他非法活动的追责权需要通过国家强制力来保障。
2.二次违法性原则的前置适用
刑法谦抑性的理念已经深入人心,与此相适应的是,涉数据犯罪具有“二次违法性”的特点。即以行政违法行为为第一评价,达到一定程度的严重性后,进入刑法评价阶段。所以,部门法之间的有机联系具有重要意义。行政机关在强调完善刑事法律法规时,应当及时立法,将行政法律评价中涵盖涉数据网络越轨行为,以遏制大量的数据违法行为。同时,我国对涉数据犯罪的刑事规制与国外刑事规制的区别在于定罪的门槛。对于在国外被视为犯罪的危害较小的数据网络侵权行为,根据《治安管理处罚法》,在我国可能构成行政违法。此外,《治安管理处罚法》还应规范与数据网络有关的违法行为,与刑法形成有机的违法行为双重评价体系,从不同的层次和程度上提高违法行为的成本。
2019年颁布的《区块链信息服务管理规定》就指出,国家互联网信息办公室负责执法监督管理,采用归属管辖权,各行政机关负责监督区域内的区块链信息服务,管理执法工作。如果区块链信息服务提供商违反《区块链信息服务管理规定》,可能会收到警告,要求在限期内纠正,暂停相关业务,并处以不低于5000元但不超过3万元的罚款。构成犯罪的,依法追究刑事责任。这种表述就是对刑法谦抑性理念以及二次违法性原则适用的具体体现。
当一种刑法理念成为一个人内心深处的真实想法,而不只是停留在口头表述或书面文字时,这种理念必然对解释刑法、适用刑法起到重要的指导作用。作为一种新兴的互联网技术,区块链技术经历了从默默无闻到流行讨论再到理性回归的发展时期。如何通过监督指导区块链技术并将其应用于特定的经济情景,是所有关注区块链发展的人关心的重点问题。《区块链信息服务管理规定》的制定是中国区块链监管的一个转折点。通过实施监管,将对推动区块链技术的发展起到积极作用。
(二)刑事立法上的条款调整
非法获取计算机信息系统数据、非法控制计算机信息系统罪,使我国信息安全保护进入了新的阶段。它将刑法的重心从单纯的国家信息安全转向普通的计算机系统,将新的计算机信息系统非法控制纳入刑法调整的范围,对打击黑客犯罪起到了重要作用。但是,应当指出的是,现行刑法在完善计算机犯罪主体、刑罚种类和法定刑设置方面还不够完善,需要进一步修改和完善。
1.资格刑设置的规范化
在我国刑法中,只有一种资格刑,即剥夺政治权利。从现实的角度看,这种以自由刑为核心的刑罚体系已不能满足打击犯罪的需要。相应地,惩罚犯罪效果的缺陷也逐渐显现。就这一罪行而言,大多数罪犯都是通过专业或容易访问计算机信息系统来犯罪的。这不利于罪犯重返社会,也不可能仅通过自由刑或罚款来降低他们再次犯罪的可能。黑客犯罪大多是青少年犯罪。在执行自由刑后,犯罪者又有能力继续攻击计算机信息系统。黑客犯罪手段新颖隐蔽。禁止网络成瘾的黑客法律规定的时间内从事与计算机相关的工作,对于降低黑客犯罪的发生率尤为重要。
如2002年5月1日,美国联邦法院因被告人——电脑病毒“梅丽莎”制造者史密斯帮助政府发现其他病毒制造者,对被告人从轻判处5000美元罚款、参加社区服务并禁止其使用电脑和因特网。在1979年《刑法》的立法过程中,“禁止某些业务”被列为处罚类型之一。1995年8月8日,全国人民代表大会常务委员会法律工作委员会刑罚修正组《中华人民共和国刑罚(总则修正稿)》在第4章“刑罚”中明确规定“剥夺特定职业资格”,即第55条,“利用所从事的职业,犯罪情节严重的,剥夺从业资格。”可以独立适用,也可以附加适用。第56条:“剥夺特定职业资格的期限不低于一年,不超过五年,刑期从判决生效之日起计算”,这种资格刑有助于对有黑客犯罪记录的犯罪分子进行特殊预防。
《刑法修正案(九)》规定了“职业禁止”,即在刑法第37条后增加一条,作为第37条之一规定:“因利用职业便利实施犯罪,或者实施违背职业要求的特定义务的犯罪被判处刑罚的,人民法院可以根据犯罪情况和预防再犯罪的需要,禁止其自刑罚执行完毕之日或者假释之日起从事相关职业,期限为三年至五年。”但需要注意的是,“刑罚执行完毕”应当理解为实刑的执行完毕,职业禁止的规定不包括判处管制以及宣告缓刑的情形。特别是根据刑法的相关规定,管制期限内蕴含着允许犯罪人继续从事职业的精神,故不能将“职业禁止”适用于管制。根据职业禁止在刑法中的结构位置来看,它只是一种非刑罚处罚措施,而非严格意义上的资格刑。故笔者建议刑法增设“禁止从事一定业务或职业”的资格刑。资格刑职业禁止的范围可根据国际劳工组织采用的《国家标准职业分类(2008年)》来界定。然后将职业资格与职业活动区分开来,法官通过自由裁量来选择禁止的职业范围和期限。
除此之外,可以在涉数据犯罪中建立与职业禁止相配套的前科消灭制度。尽管有犯罪记录的人不是嫌疑人,但基于记录的职业限制仍然受到严格的限制,无论是作为平等保护还是作为正当程序。有犯罪记录的人,像传统的嫌疑犯阶层一样,缺乏政治权力,并遭受社会歧视。由于不能依赖正常的社会活动,因此存在更大的社会危险性,针对有犯罪记录的人,法律将施加不必要的伤害。如果有犯罪记录的人在社会活动中有真正的发言权,那么职业限制仍然存在。即使法律没有受到偏见的驱使,公众对前罪犯的普遍憎恶也意味着法律往往不能适当地重视对有犯罪记录的人所造成的伤害。因此对于涉数据犯罪的过失犯,社会危险性较小,再犯罪的可能性也较小,建议规定在法定期间内未犯罪或未触犯其他法律的,可以将其作为适用前科消灭制度的实质性内容。形式要件对前科消灭制度的程序作出具体规定。前科者向法院申请适用该制度的,法院查清案件后,可以酌情判决。前科消灭制度是为特殊预防而设计的,有利于罪犯的社会返回。
2.法定刑设置的合理化
《刑法修正案(七)》第9条规定,国家事务、国防建设和先进科学技术领域以外的计算机信息系统的信息安全保护。《刑法修正案(七)》除增加了客体与刑法第二百八十五条的区别外,还增加了控制计算机信息系统的行为。非法控制普通计算机信息系统的最高法律处罚为三年有期徒刑,情节特别严重的,可以处七年有期徒刑。有特殊技术手段的,可以不侵入国家事务、国防建设和先进科学技术领域的计算机信息系统,而用非法控制替代,这种情况不构成犯罪。虽然这也是一种控制行为,但在刑罚中的规定确有不同。国家事务、国防建设和先进科学技术领域的计算机信息系统与国家安全密切相关。非法控制计算机信息系统将严重危害国家信息安全,主观恶性比侵入普通计算机信息系统更严重,但行为人面临的惩罚却更轻。此处法定刑的设定是否适当,值得商榷。
法定的刑罚等级应当与犯罪的危害后果、手段和数额相协调,以正确反映行为的严重性,罪责刑相适应。刑法第二百八十五条规定,在非法侵入计算机信息系统罪与非法获取计算机信息系统数据罪、非法控制计算机信息系统罪之间,非法侵入计算机信息系统罪的客体更为重要。其法定刑等级与第二款规定的基本犯罪相同。它不能反映计算机信息系统在国家事务、国防建设、国防科技等领域的安全性、重要性。因此,建议将刑法第285条修改为:“违反国家规定,侵入国家事务、国防建设和先进科学技术领域的计算机信息系统的,处三年以上、七年以下有期徒刑。”
3.对数据的保护增加危险犯模式
刑法对计算机犯罪的规制应以权力控制为中心,对信息安全的违法违规和非法授权行为应视为主要违反数据秩序的危险犯罪。由于此类行为在刑法上是可处罚的,因此不需要结果来为其可处罚性提供充分的依据。在以往分析的基础上,计算机犯罪的保护应该从数据操作的过程入手,从危险犯罪的角度出发。另外,严重后果不应视为构成犯罪的必要构成要件。“造成严重后果”是构成要件,但不是处罚的实质依据。
此外,我国刑法对计算机犯罪进行了界定(此处计算机犯罪是指非法侵入计算机信息系统、非法控制计算机信息系统罪、破坏计算机信息系统罪),仅规定了行为犯罪及其后果的犯罪。例如,刑法规定:“故意生产、传播计算机病毒等破坏性程序,影响计算机系统正常运行,造成严重后果的,依照第一款的规定处罚。”本款所称生产、传播,是指病毒的认定本身并不构成犯罪,但在一定条件下,它将构成犯罪,但事实上,当后果发生时,它已经对社会造成了伤害,而且是不可弥补的。目前,以区块链为代表的新技术的出现,使得犯罪时很容易达到“情节严重”的标准。由此可见,结果犯的定罪模式难以适应时代的发展。因此,建议在定罪模式下,以危险犯取代结果犯,而制造病毒和传播病毒等危险行为应在法律范围内加以控制。
(三)刑事司法上的适用完善
1.扩大条文中关键词的外延
今天,随着区块链技术的广泛应用,面对越来越频繁的数据违法犯罪,我们还应注意完善法律条文中“规范性关键字”的解释,完善法律保障体系,防止因以下原因而不能有效处罚的新犯罪的发生:保护对象范围太窄。笔者认为,对于与数据有关的犯罪,在解释现行刑法中的“规范性关键词”时,可以采取实质性解释,在保护法律利益的基础上扩大解释范围。犯罪构成的确定和理解还应以受法律保护的法律利益为指导,不仅要从条款的字面意义上,而且要以犯罪和法律的合法性原则为指导,这样,如果某项有害行为不能包括在犯罪构成中,那么就可以更广泛地解释这种有害行为。
例如,《刑法》253条规定的侵犯公民个人信息罪所保护的合法利益是公民的数据权和日常生活的安宁。“公民个人信息”的解读直接关系到犯罪的认定。如果只解释为“特定的公民个人信息”,这种解释显然不能形成全面有效的完善法律利益预防保护。例如,个人信息被盗事件在我们的日常生活中经常发生。窃取的数据量通常很大。这些数据不指向特定对象。基于这一新的犯罪特征,有必要扩大对“公民个人信息”的解释,将可能因泄密而对公民造成实质性侵犯的所有数据和信息纳入解释范围,从而有效地保护刑法第253条所指的法律利益。
此外,尽管目前的司法实践普遍认为涉嫌窃取大量数据是一种“严重”的情况,但并未规定此类大量数据是否针对特定对象。只有扩大解释,才能将无特定对象的大量数据的销售和非法提供纳入刑法的范围,才能有效地遏制非法大型数据产业链中公民信息的窃取。信息保护违法行为应当避免侵犯公民信息权、造成重大社会危害的大规模犯罪活动。
2.明确网络越轨行为的性质
在涉数据犯罪司法认定中的难点之一,就是如何界定网络越轨行为,即犯罪嫌疑人在网络背景下利用数据作为犯罪工具或犯罪对象,实施违法行为的定性问题。从行为轻重来看,网络越轨行为可以分为不当行为、不道德行为和反社会行为。涉数据犯罪属于法定犯,第三类行为在刑法规制的范围内。2017年,“网络刷单”第一案主犯以非法经营罪定罪,引起学者对涉数据犯罪“变异行为”、“违法性认识有无”等问题的广泛关注。当前,“网络计费”、“流量劫持”、“DDOS攻击”等与数据相关的新兴的网络越轨行为已发展成为一系列链条化犯罪,且出现国际化、智能化、平台化、企业化和大众化的趋势,对社会发展和稳定造成了严重的不良影响。但是,在司法实践中,犯罪分子却大多认为他们在利用行业的潜规则,而不是犯罪。在“网络刷单”第一案中,原被告就犯罪人的“违法性认识”和“是否违反国家规定”发表了意见。对违法性认识来说,网络刷单行为在社会生活中广泛存在。犯罪分子对该行为的是否构成犯罪缺乏认识。即便他们意识到这是违法的,也大多将其视为是民事侵权或行政违法。
新兴的涉数据网络越轨行为的治理可以从两个方面进行改进。首先,在短期内,通过司法解释的完善,将涉数据网络越轨行为纳入刑法,如《关于办理利用信息网络实施诽谤等刑事案件适用法律若干解释》的规定。更好地实现了刑法的指导作用和规范作用。其次,从长远来看,涉数据犯罪需要全面保护,这不仅需要刑法的规制,还需要民事和行政措施的参与。对于民事措施来说,被害人或者原告应当减轻或免除诉讼费用和举证责任,实现刑事手段的良好保证;对于行政措施来说,应当合理颁布行政法规,提高政府监督的效能。完善对行政违法行为的处理,依法对行政违法者采取责令删除违法内容、关闭网站等强制性措施。
3.规范电子数据的证据规则
在程序法上采用司法解释的方式完善电子数据的证据规则。数据网络犯罪问责困难的主要原因之一是证据规则,特别是电子数据的矛盾。虽然民事诉讼程序是基于谁主张谁举证的原则,但由于专业技术的局限性,获取有关非法收集、使用和传播信息数据的法律证据很难。在刑事诉讼方面,相关研究提出了举证责任倒置和降低标准的反措施,但他们面临更现实的障碍。所以,2017年5月最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确规定采用推定的证明方式,也就是说,对于个人信息的量化监管,推定并不一定要证明这是正确的,因为推定非由相反的证据证明就是正确的。另外,为了构建电子数据证据规则,一方面我们可以借鉴美国电子数据采集的法律标准,逐步引入和应用电子数据搜查令制度,完善电子数据嵌入规则;另一方面,“启用数据取证评估,包括评估证据收集方法,评估证据收集内容和评估调查工具的能力”,以建立技术证据规则系统。
4.深化区域及国际间的协同合作
虚拟货币的国际监管格局是一个不一致的、不完整的、旨在打击滥用该技术的犯罪企图的拼凑。为了实现这项技术的变革潜力,必须有效地处理其刑事滥用问题。而涉数据犯罪的特点是科技性高,跨域广泛,协作性强。因此必须加强区域和国际机制之间的合作。涉网络犯罪国际刑事合作主要涉及管辖权纠纷和调解,引渡、取证、判决承认与执行。可以从两个方面考虑改善中外刑事司法合作。首先,中国应加强数据网络刑事立法,促进与国际社会的融合。电子数据可以提供关于跨域犯罪行为和结果的大量证据。因此,需要加强电子数据证明规则,跨域刑事调查和证据收集的前提也是基于该国明确的电子数据定义。由此,《刑事诉讼法》中关于电子数据更新和改进的有关规定为加深涉数据犯罪的跨域合作提供了良好途径。其次,是建立公平有序的涉数据犯罪体系,在国家和地区之间平等协商,友好合作,建立规范的合作平台,为从根本上建立跨域犯罪合作奠定基础和方向。中国应将解决刑事司法管辖的具体措施,具体的引渡标准等内容,作为跨境合作协议的主要内容。推动深化合作机制,促进了国际网络空间和区域经济秩序的稳健性和稳定性,同时维护了我国的网络安全和国家利益。
最困难的挑战可能留给执法部门——加密资产的相对匿名性将要求执法机构花费大量包括时间和金钱的资源来追查坏人。美国联邦调查局(“FBI”)早在2011年就意识到匿名性问题及其对盗窃和其他恶意使用区块链技术的影响。更为复杂的是,区块链行业继续创建功能,以增加“混合服务”和多重签名交易等用户的相对匿名性。犯罪分子正在关注这些匿名创新,在他们寻找技术新弱点的同时,将其作为一个盾牌。考虑到这些挑战,美国联邦调查局和其他机构将不得不继续创造性地为这些复杂的新犯罪寻求解决方案。
然而,网络犯罪造成的损失继续上升,如果虚拟货币的市场价格大幅上涨,或者基于区块链的资产成为商业信息转让的关键部分,盗窃将越来越多地在这一市场中发挥作用,虚拟货币盗窃与其他基于互联网的犯罪日益增多的趋势完全吻合。数据泄露在美国去年报告的统计数字中已经占第二大受害群体,执法机构似乎正在采取第一步来应对快速发展的技术挑战。私人团体同样也在设计使用公共地址和信息来识别不良行为者的方法。例如,链式分析机构已经与联邦调查局、美国证券交易委员会和其他机构建立了伙伴关系。以此来看,围绕虚拟货币盗窃的社会力量,以及与此相关的日益增长的经济效应,对于说服执法机构投入资源来克服这些挑战至关重要。
(四)刑法与其他部门法的协调适用
1.对财产性利益进行网络专门保护
在网络财产权益刑法保护中,应采取网络特殊保护模式,即“以纯网络犯罪保护模式为主,以财产犯罪保护模式为辅”的多重保护模式。具体来说,不可能概括出网络中的财产利益应该采用哪种方式来破坏。由于犯罪不仅可以由犯罪对象的性质决定,犯罪的客观方面也是一个需要考虑的重要因素,而且结合具体案件的背景和特定情况下财产利益的特点和属性。
例如,在非法流量获取案中,黑客使用恶意代码修改网络用户路由器的DNS设置,导致用户登录到某些导航网站自动并跳转到其他被劫持的网站,以此来获取信息的行为,被认定为破坏计算机信息系统罪。黑客利用内部网络的系统漏洞,从公司其他员工处窃取信息,登陆内网系统,非法利用他人手机号码获取互联网流量包获利,被认定为盗窃罪;犯罪分子利用在网络中心工作的便利,非法控制域名解析系统,造成用户被劫持,被迫跳到意想不到的访问页面,被认定为非法控制计算机信息系统罪。在这里,对于同一犯罪对象——流量,指控因行为而异。由此可见,虽然原则上在侵犯网络财产权益时更适合认定网络犯罪,但在特殊情况下,不能放弃财产犯罪的保护模式。此外,对于网络犯罪的保护模式,一些学者认为,非法获取他人虚拟财产作为网络犯罪可能形成一个刑罚漏洞,即如果行为人不使用入侵计算机信息系统的方法获取财产权益,如果使用欺诈手段,则不构成犯罪。非法侵入计算机信息系统罪的构成要件,不应视为计算机犯罪。
笔者认为,非法侵入计算机信息系统或者以其他技术手段获取数据的,原则上应当认定为网络犯罪;通过欺骗、胁迫或者其他手段非法获取网络财产权益的,包括利用职权、盗窃等犯罪行为,则应根据行为的性质选择予以处罚。然而,这种处罚仍然面临着如何正确理解网络财产价值的问题。此外,通过确立网络犯罪的立法趋势和特殊保护的司法适用趋势,实际突出了网络财产权益保护模式的正确选择。然而,网络犯罪的保护模式也面临着犯罪客体范围狭窄、犯罪行为类型存在漏洞、以及罪名竞合等问题。
2.确立以信息为中心的非物权化路径
虽然用传统的产权模式规范涉数据犯罪似乎具有可操作性,但事实上,将数据认定为刑事法律所保护财产的思想在逻辑上是不可行的。分歧主要在于将数据确认为财产属性时,如何确定数据的性质。
首先,区块链技术下的数据与我们过去所称的数据不同。它是以数据流的方式生成的,具有快速的移动性。涉数据犯罪保护的核心是信息。除海量信息外,大数据还包括数据计算和分析过程。仅仅将数据识别为电磁记录不足以规范大数据时代的涉数据犯罪。此外,数据不仅包括信息价值,还包括信息价值转换的过程。因此,不仅数据本身的价值,即信息保护,而且数据采集与处理、交易过程都存在值得保护的价值,但目前很难确定整个大数据的产权归属以及从大数据到信息转化的过程。最后,如果数据受到财产保护,不但对刑法的谦抑性存在负面影响,还会造成整个法律体系的解释混乱。数据的财产保护被质疑存在过度保护。信息是数据和知识之间的桥梁。“信息从大数据中获取。但大数据自身价值形态尚未确定。通过数据属性来规范大数据时代的所有涉数据犯罪是不可能的”。因此,涉数据犯罪中的数据保护不能走传统的道路。
在附属刑法中,我们可以从数据采集和使用的层面上开辟一条新的数据采集原则,即以信息保护为核心,规定信息采集的限制条件,为信息采集提供必要的保护。同时,我们可以通过明确相关的信息侵权行为来惩处这些违法行为,并建立相应的行为规范。数据采集的目的是获取和利用信息。为了防止信息滥用和妥善保护数据,数据的使用必须满足两个条件:一是来源合法,二是信息的使用不能超出授权范围,合法性以外的信息的使用应受到法律的限制。在此基础上,应树立规范涉数据犯罪的具体思路:从刑法层面制定信息侵权行为规范,加强对信息周边上下游犯罪的打击,从数据获取层面确立数据获取的限制条件和数据使用的适当范围。相应的,数据的使用仅限于获取数据的适当目的,数据的使用不能突破其授权使用的方式,使用应在授权结束时同时结束。
六、结 语
《韩非子·五蠹》中写道,“世异则事异,事异则备变”,“事因于世,而备适于事”。这句话的意思是一切都会随着社会的变化而变化,应根据当前的社会形势制定切实可行的措施。随着区块链技术和数据网络在社会生活中的应用逐步深入,技术给数据和信息安全带来了巨大挑战,同时改变了人们的生产和生活方式。随着技术使用案例的扩大,虚拟货币将继续在全国范围内的交易中发挥作用。可以预测,盗窃案件也会相应地增加。以上笔者通过对区块链技术在技术层面的分析,比较刑法领域对数据安全的保护措施,找出区块链对数据安全带来的风险。这些数据涵盖了个人,企业和国家层面的信息安全问题。区块链技术的发展使信息数据超越了法律的原有含义,使技术资源更加重要。但是,个人、企业和国家层面现行刑法中的信息安全保护仍然处于互联网发展的初级阶段。数据处理过程没有有效的保护系统,犯罪对象的范围没有明确界定,受法律保护的信息范围相对狭窄。由此,笔者建议信息安全领域的中国刑法保护制度应该从信息和技术的角度共同构建。“大数据整体性保护”被认为是刑法中的一种新的法律效益,并且提出了改变保护思路的建议。我们不仅要在信息结果上,还要在保护数据的过程引起注意。解决这些问题的关键是补充和解释法律条款,虚拟货币是一种可以拥有的物,窃取虚拟货币的行为是法律必须惩罚的行为。不仅仅是为了尽可能地补偿受害者,甚至是为了阻止未来的罪犯,尽管这将在交易中起到一定的作用。相反,交易将进一步加深法治的基本概念,不容他人侵犯的合法所有权权益的不正当获取。从实践的角度来看,执法将提供一个必要的止损空间,而其他政府机构将致力于采用基于区块链的技术和法律的适当方法。这是一条应该被追寻的道路。相信通过以上手段可以弥补刑法规范的不足,构建区块链技术下的涉数据安全保护体系。
来源:北师大CriminalLawReview
作者:张爱艳,山东政法学院刑事司法学院教授,副院长,山东省高校证据鉴识重点实验室常务副主任;
苏泽琳,北京天驰君泰(济南)律师事务所律师,山西大学与北京大学联合培养博士研究生。