作者:尚权律所 时间:2022-08-15
摘要:数据安全和数据共享是数据治理的基本目标。受数据赋权观念的影响,现行刑法采用了控制模式,重在禁止“获取”“泄漏”“窃取”数据的行为,并借此对滥用行为进行事前防范。控制模式忽视了数据的公共产品属性,无法全面、有效保护数据法益,导致既无法有效维护数据安全,亦难以实现数据共享。旨在规制滥用行为的利用模式,是刑法数据治理模式调整的现实方向。利用模式可基于以下路径实现:刑法总则中设置专门条款,指导分则数据法益的解释;适当限制控制模式立法,发挥数据的独立价值;增加滥用算法罪、非法提供算法服务罪,弥补现行刑法规范供给不足的缺憾;积极探索涉数据犯罪的违法阻却事由,避免因刑法介入过度而抑制数据共享目标的实现。
关键词:数据安全 数据法益 刑法治理 控制模式 利用模式
数据,是指任何以电子或者其他方式对信息的记录。随着数据时代来临,海量数据激发了全社会的创造力,极大增强了社会和市场活力,成为备受瞩目的基础性、战略性资源。与此同时,大量非法获取、披露、滥用数据的行为层出不穷,严重妨害了社会和经济的健康发展。保障数据安全,促进数据共享,由此成为全球性数据治理的基本目标,也成为全球范围内法律上对数据资源进行权利和义务分配的重要标准。基于现实需要,各个国家和地区无不持续更新立法,或通过专门的数据保护法案,或对已有相关法案增删符合数据治理的法律规则,我国也不例外。
中共中央、国务院2020年3月出台的《关于构建更加完善的要素市场化配置体制机制的意见》明确提出,要加快培育数据要素市场,加强数据资源整合,提升社会数据资源价值,培育数字经济新产业、新业态和新模式,建立数据安全保护制度。国家互联网信息办公室等四部委2021年12月联合发布的《互联网信息服务算法推荐管理规定》,为规范互联网信息服务算法推荐活动、促进互联网健康发展提供了政策依据。然而,由于深受赋权理念影响,我国刑事立法与司法将数据主要看作个人权利的载体和个人自由的延伸,更偏重于维护权利主体对于数据的控制安全,而对数据的公共产品属性重视不够,导致相关刑法规范的设定脱离社会和经济发展需求,出现了数据安全保护领域诸多问题,致使有关刑法规范既未能真正有效保护权利主体的合法权益,亦未能有效促进数据要素市场的培育。如何将国家的数据治理政策导向通过完善刑法立法及解释工作,促成刑法数据治理模式的有效转换,实现安全维护、自由保障与技术进步的协同、均衡发展,是亟待解决的重大刑法学问题。
刑法的任务在于保护法益,法益是建构刑法分则罪刑规范体系的基石。然而,我国刑法中尚不存在以数据法益为核心的罪刑规范体系。现行刑法相关罪刑规范分散于分则不同章节,通过不同罪名体系与行为类型予以呈现。
1.罪名体系:直接保护与间接保护
从罪名体系来看,刑法分则对数据主要采用直接和间接两种保护方式。直接保护是直接将数据作为犯罪对象加以保护。在相当长时期,刑法对数据法益的保护仅限于计算机信息系统安全,直至《刑法修正案(十一)》增设了危险作业罪和妨害药品管理罪,直接以数据为对象的刑法规制体系才开始扩张,由妨害社会管理秩序罪向危害公共安全罪和破坏社会主义市场经济秩序罪延伸。间接保护是将表征数据内容的各种具体信息、秘密、证明或者证件等作为犯罪对象,以此间接规制数据侵害行为。其范围涵盖了政治、经济、军事等诸多领域,所保护的法益则囊括了国家安全、公共安全、市场经济秩序、公民人身权利、财产权利、社会管理秩序等。
总体上,现行刑法罪名体系呈现以下特点:(1)在直接保护中,所涉数据范围极其狭窄,仅限于“计算机信息系统数据”“公民个人信息”“直接关系生产安全的监控、报警、防护、救生设备、设施的相关数据”以及“与药品注册相关的数据”四类;(2)在间接保护中,立法目的明显侧重于对国家法益、社会法益的保护,体现出重点维护安全、秩序利益的立法偏向;(3)两种保护方式均将数据作为犯罪对象,独立的数据法益并不存在,数据的性质、层级、种类、功能定位亦不清晰。
2.行为类型:片断性与不完整性
刑法现有罪名并未事无巨细地保护数据活动的所有阶段,而是仅规定了以下不法行为类型:(1)编造或者传播虚假数据的行为(如编造并传播证券、期货交易虚假信息罪);(2)删除、篡改、隐瞒或者销毁数据的行为(如危险作业罪);(3)非法获取或者泄漏数据的行为(如侵犯公民个人信息罪);(4)非法利用信息或者数据的行为(如利用未公开信息交易罪)。其中,禁止编造、提供虚假数据的行为保护的是数据的真实性,而非现实存在的数据法益。真正与后者密切相关的,实为数据的完整性、数据的保密性以及数据的可利用性。以上不法类型表明,当前刑法治理的重心在于数据的非法获取行为而非滥用行为。就此而言,现行刑法规定对数据法益的保护无疑具有片断性,不法行为类型亦明显呈现出不完整性特征。
数据共享与数据安全是数据治理的基本目标。数据共享通过数据处理来实现,其包括数据的收集、存储、使用、加工、运输、提供、公开等;而数据安全是指通过采取必要措施,确保数据处于有效控制和合法利用的状态,以及具备保障持续安全状态的能力。可见,数据安全包括数据控制安全和数据利用安全。其中,数据控制安全体现的是一种赋权理念,其侧重于保护数据主体对于数据的控制力。数据利用安全体现的则是自由利用理念,其侧重于保护数据在各个处理阶段的安全。据此,可将刑法关于数据安全的保护模式划分为数据控制安全保护模式和数据利用安全保护模式。为行文便利,本文将这两种模式分别简称为数据控制模式与数据利用模式。从数据控制模式的特征看,我国刑法正是采用了该模式。
首先,在规制理念上,力求通过对数据“静态安全”的维护,实现对数据利用安全的前置性保护。以侵犯计算机信息系统的犯罪为例,很多通过篡改、删除或者破坏数据等方式侵害计算机信息系统的行为,旨在实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等犯罪。刑法通过保护数据的控制安全,可以对相关法益进行前置性保护。又如,公民个人信息通常与公民的人格利益或者财产利益密切相关。多数情况下,单纯获取或者泄漏此类数据,并不会直接对相关利益产生现实危害。但是,由于其可能成为数据滥用行为的源头,通过禁止该类行为,可以提前保护公民的人身、财产安全以及正常的工作、生活不受侵害和干扰。可见,数据控制模式是一种事前防范机制,旨在防范因数据泄漏或非法获取所可能导致的数据滥用危险。
其次,在规制重点上,通过抑制非法获取或者泄漏数据等削弱数据主体对数据排他性控制程度的行为,强化数据主体对数据的控制。这在现行刑法规定及相关解释中体现为三点。
一是通过积极禁止数据窃取、泄漏行为,直接保护数据主体对于数据的控制。依传统观念,强化数据主体对于数据的控制,被认为是严密保护数据主体利益的最有效方式。在我国涉数据保护的刑法规范体系中,禁止非法获取或者泄漏数据的罪刑规范占涉数据罪刑规范的绝大多数。例如,在将国家、商业或者军事等秘密作为保护对象的罪名中,规制的均是非法获取或者泄漏秘密的行为。
二是通过禁止删除、篡改(修改)、隐瞒、销毁、增加、干扰数据的行为,间接强化数据主体对数据安全的控制。由于数据的分析价值在不断组合、剥离、聚合中产生,而“在分析阶段,处理也可能导致数据的变化。例如,通过组合创建新数据的数据集,或者通过剥离标识符号或聚合标识符,将它们转换为‘匿名’数据”, 由此导致数据的完整性与可利用性之间始终存在内在张力。通过禁止删除、修改数据的立法强化对数据完整性的保护,必然会导致数据可利用性的弱化。现有刑法罪名禁止对数据进行增加、删除、修改、销毁等处理,以此对数据的完整性提供保护,其实是从一般性地禁止数据利用的角度,间接强化了数据主体对于数据的控制。
三是在对涉数据犯罪的构成要件进行解释时,同样凸显出数据控制模式的色彩。现行刑法并未规定保护数据法益的一般性条款,导致大量侵犯数据的行为难以受到惩处。为摆脱此困境,通过解释扩张数据的内涵及其载体的范围,已成为实务界的通行做法。一方面,相关司法解释将计算机系统的内涵界定为具备自动处理数据功能的系统,使得数据载体的范围得以扩张。另一方面,新近司法判例打破以往将保护对象限定为“身份”认证数据的传统,将盗窃虚拟财产的行为认定为非法侵入计算机信息系统罪。对于难以评价为非法获取公民个人信息罪的删除公民个人信息的行为,则将其评价为破坏计算机信息系统罪。这些做法最终导致前述二罪沦为“兜底罪名”。在现行刑法旨在维护数据控制安全的前提下,这无疑进一步强化了数据控制模式的色彩。
最后,在规制范围上,尊重数据主体的意愿,将“知情同意”作为数据获取、利用行为违法性的阻却事由。数据控制模式的立法实际上赋予数据主体对于数据的排他性支配权,除属于国家机密(如关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据)而禁止或者限制法益拥有者进行特定转让的特殊种类数据外,如果征得数据主体同意,原则上任何获取或者利用数据的行为均合法。这么处理的依据源于各个前置部门法的规定。例如,我国《消费者权益保护法》第29条、《网络安全法》第41条即明确将消费者同意、被收集者同意作为收集、利用相关数据的合法条件。我国《数据安全法》第32条则从反面规定,任何组织和个人不得窃取或者以其他非法方式获取数据。司法中,“新浪微博诉脉脉案” “朱烨诉百度案” 等案件的争议焦点均围绕数据获取行为是否需要知情同意、是否存在知情同意以及知情同意的范围而展开。
现行刑法之所以采用控制模式,有着相应的理论、现实、法政策等依据。
1.理论依据:数据的权利属性
将值得保护的数据限定为只能由相应主体加以控制,实为私法上数据赋权观念在刑法中的投影。长期以来,私法中权利思想盛行,以致那些仅通过特定命令或禁令而受到保护的法律状态,也被视作权利, 但准确而言,这种法律状态仅是一种受到法律保护的权益,其更强调国家的保护义务。在确定数据的属性时,对于其究竟是一种可以对抗不特定主体的权利,还是一种受国家保护的权益,学界存在明显分歧,由此形成权利属性模式与权益属性模式之争。其中,权利属性模式肯定数据利益与特定主体之间的排他性归属关系,无论权利主体是政府、企业还是私人,只有特定主体可以实施存储、处理、使用等数据行为,其他主体均不得实施。该模式将数据利益视为一种独享权利,强调权利主体与其占有、控制的数据之间存在绝对排他性支配关系。这种理解反映在数据治理问题上,则表现为将数据保护的重心放在数据的控制安全上,即采用数据控制模式。由独享权利的排他性所决定,数据的限定接触属性是该模式的逻辑起点。
相反,如果将数据利益视为一种受国家保护的权益,即采用权益属性模式,则除数据主体之外的第三方主体同样也可以分享一定的数据利益,并在利益受损的情况下要求法律提供救济。例如,我国立法就未赋予商业秘密以权利属性,对于侵犯商业秘密的行为,商业秘密所有人、商业秘密使用人均可以作为商业秘密利益的享有者,以权利人的身份要求非法获取、披露、使用商业秘密的人承担侵权责任。
可见,不同的数据属性模式会导致不同的社会效果:在权利属性模式下,原则上禁止其他利益关联者共享此利益;在权益属性模式下,鉴于私法上强调“法不禁止皆自由”, 除法律有特殊规定外,原则上并不禁止数据共享。权益属性模式反映在刑法的数据治理问题上,则意味着应将数据保护的重心置于对数据利用行为的规制上。
2.实践动机:数据法益的独立、补充保护
由于刑法并未设置独立保护数据法益的一般性条款,数据能否得到保护,端赖其背后存在的具体法益,以及刑法是否设定了保护该法益的条款。随着大数据技术的发展,针对数据本身的各种新型侵权行为层出不穷。如果继续维持传统保护模式,现行刑法规范无法满足数据治理需求的状况将难以得到根本性改善。在此背景下,承认数据法益的独立性及其保护的必要性和正当性,逐渐成为刑法各界的共识。在立法尚未积极作出回应前,为避免处罚漏洞,理论界和实务界多主张侵害计算机信息系统安全类犯罪的保护法益是数据安全,进而基于保护法益的目的,对数据内涵及其载体范围进行扩张解释,即突破刑法规定的“计算机信息系统”“计算机系统”的用语限定,将作为此类犯罪对象的数据扩大到一切数据。此种基于回应社会生活需要的客观目的论解释立场,一方面使得数据利益不再依附于计算机信息系统安全,实现了对数据法益的独立保护;另一方面通过扩张解释,侵害计算机信息系统安全的犯罪成为兜底条款,实现了对数据法益的补充性保护。
3.政策诉求:数据滥用风险事先预防的强化
随着风险社会的到来,风险预防的理念受到重视,“虽然没有损害法益,但是只要通过危险行为威胁到了法益就可以肯定刑事不法的存在”,由此产生了“有法益侵害危险就有必要作为犯罪惩罚”的积极主义刑法立法观。获取或者泄漏数据等行为的犯罪化,同样应置于该立法理念下理解。例如,对于非法获取公民个人信息罪,尽管可以从个人信息自主决定权的角度解释该罪的保护法益,但相关泄漏或者出售行为“对公民的人身、财产安全和个人隐私构成严重威胁” 才是立法者设定该罪的实质理由。换言之,该罪的规范保护目的在于,通过打击出售、提供、非法获取公民个人信息等侵犯公民个人信息的犯罪,切断其与电信网络诈骗等犯罪的链条,从源头上预防和减少犯罪的发生。再如,《刑法修正案(十一)》增设了危险作业罪,将“篡改、隐瞒、销毁”相关数据行为犯罪化,其目的在于对一些具有导致重大事故发生现实危险的重大隐患行为,刑法也应当提前介入,预防惩治这类犯罪。
作为数据治理的基本目标,数据安全和数据共享分处数据保护的两端。在利益衡量的天平上,控制模式将砝码置于数据的静态安全(数据控制安全)一端,这无疑对数据安全的保护发挥了重要作用。然而,由于其过度强化数据控制,该模式能否有助于达成数据安全与数据共享的基本治理目标,不无疑问。
随着民法价值取向由纯粹的个人本位迈向社会本位,权利概念的“社会建构属性”日益凸显,赋权理念需更多融入社会公共利益基因,这已经成为社会共识。在这种法律价值重心转换的背景下,“社会个体之间除了持有各种异质的主观目的之外,总是在不同内容、范围和程度上分享着相同或者相似的主观目的和利益”。 鉴于此,在承认数据私权属性的同时,必须正视数据所具有的交互性、分享性、公共性等公共产品属性,以释放数据的公共价值。 然而,控制模式却忽视了数据的公共属性,导致诸多弊端。
1.无视多元主体的正当利益诉求
当前过度强调数据私密性或者数据控制的权利属性做法,忽视了其他主体对同一数据存在多重正当利益关联的现实。以与公民关系最为密切的个人信息为例,《民法典》的“民事权利”一章明确将个人信息作为权利加以保护。根据《民法典》第1034条的规定,“能够单独或者与其他信息结合识别特定自然人”的信息“可识别性”,是个人信息的本质属性。但是,“可识别性”实际上属于关系范畴而非数据、信息的本质属性。这是因为:其一,“可识别性”体现着个人与他者的关系。对于信息“可识别性”的追求并非与生俱来,而是社会交往的需要。“一个人要进入社会或者参加社会活动,就需要向他人披露、公开身份。封闭个人信息就意味着与世隔绝。从社会的角度出发,社会也需要利用个人提供的个人信息和散落各处的、可被搜集掌握到的个人信息来了解、判断某个人”。 既然“可识别性”是个人与他人或者社会之间的关联性,在对个人信息进行保护时,必须考虑信息接受者的正当利益诉求。其二,“可识别性”体现着个人与信息之间的关系。“可识别性”意味着通过相关数据可以直接或者间接实现数据与个人的锁定。但是,无论是直接锁定还是间接锁定,都无非表明数据所表征的相关信息与个人存在一种对应关系,却并不意味着这些数据必然归属于个人。例如,不同的人完全可以使用同样的名字。因此,作为“可识别性”的信息不是数据的固有特征,其表征的是自我与他者的一种关系范畴,仅简单强调数据的私权属性不足以揭示数据的本质特征。
2.无法有效实现“数据共享”的价值目标
数据可以作为私权客体,具有限制接触性,但这仅为非功能性数据的特点,而非所有数据的共性。一方面,数据的限制接触性是数据经过法律规范评价后的产物,而非信息或者数据本身的特性。另一方面,从法秩序的基本价值取向来看,信息公开是原则,限制数据的接触和使用是例外。例如,《政府信息公开条例》规定,除涉及国家秘密或者可能危害国家安全,以及涉及商业秘密或者他人隐私的信息外,信息公开是原则。即使是国家秘密,也通过规定保密期限对其限制接触性加以限制。在这方面,《保密法》第15条第2款即规定,国家秘密的保密期限,除另有规定外,绝密级不超过30年,机密级不超过20年,秘密级不超过10年。此外,促进数据流通是数据赋权的重要价值。除了传统的隐私权的赋权模式将数据权的重心置于个人信息的消极防御功能外,无论是个人信息自我决定权的赋权模式,还是财产权的赋权模式,都强调通过赋予权利主体对于数据积极处分权能的方式,“激励数据权利人积极地共享或者转让其合法占有的数据权利”。而在数据控制模式下,“数据共享”首先在理念上遇到了阻碍。
1.企业交易、创新成本以及刑事法律风险增高
国家要发展,社会要进步,数据和信息的有序流通是一个基础性条件。而数据控制模式的基本理念则存在对冲这一基础性条件达成的倾向。一方面,数据控制模式使企业、个人获取数据的成本增高。在数据控制模式下,知情同意原则是数据收集和利用的基本原则,然而,面对海量数据,要求每一条数据都需要获得事前同意,根本就不具有可行性,而只会遏制企业的创新与发展,因而有必要区分不同数据类型,针对其是否为可识别数据、衍生数据而采用不同处理规则。另一方面,数据控制模式使企业面临更高的刑事法律风险。因为,真正有能力大规模收集并分析数据的主体是政府和企业,如果全面强化对于数据控制的保护,则所有未经数据权利人或者控制者同意的数据获取、利用行为,都有构成非法获取计算机信息系统数据罪或者非法获取公民个人信息罪的可能性。
2.社会治理能力弱化
如果不对数据的性质、类型、层级进行区分,一律禁止数据流动与二次使用,势必影响社会治理能力的强化。首先,如果不能有效利用大数据进行动态分析和回应,公共政策决策大概率会缺乏现实针对性,不利于实现社会治理的精准化。疫情防控中对个人信息的公共利用带来的治理效能,对于控制模式的冲击给予了非常有说服力的背书。其次,如果不能有效利用相关数据,便捷的公共服务将受到限制,势必会增加公民的时间成本、经济成本以及社会交往成本。最后,数据控制模式阻碍多元主体的数据共享,导致难以及时评估、修正相关治理决策,无法建构回应各类问题相应的模型,不利于推动国家治理现代化。
数据控制模式效能的发挥,受到特定前提条件的约束。一是在事实层面,数据主体有能力控制所有与其利益相关的数据,他人只能通过权利主体“知情同意”的方式获得相关数据。二是在规范层面,通过抑制非法的数据获取行为,可以有效评价数据滥用行为。但是,随着科技变革的迭代升级,支持数据控制模式效能发挥的前提条件正逐步消失,单纯依靠控制模式并不能真正实现对数据法益的有效保护。
1.数据主体权益保障不足
控制模式依托于数据赋权理念,大数据时代以“知情同意”原则为核心的数据控制模式,不但没有强化对公民个人信息安全的维护,反而导致数据权利人面临极大风险。一方面,数据权利主体与数据利用者在经济、社会以及技术层面存在着显著的不平等性,由此使得数据权利主体与利用者之间缺乏议价能力。另一方面,现实生活中强化权利主体数据控制的“知情同意”原则往往流于形式,因为告知用户权利和义务的用户协议不但过于复杂,而且“为使用相应的网络产品或服务,用户在点击同意之外时常别无选择,交易地位的不对等使得同意的真实性与对隐私声明的知悉度都大打折扣”。 换言之,大数据背景下,由于数据主体欠缺议价能力,数据使用者滥用数据的行为反而可以借助数据收集阶段一次性的“知情同意”原则而被正当化,并从而导致数据滥用风险的最终承担者不当地由使用者转向权利主体。
2.刑法评价不充分
刑法规定非法获取公民个人信息罪和非法获取计算机信息系统数据罪,并不能实现对数据滥用行为的充分评价。一方面,现实中大数据杀熟、诱导性消费等数据滥用行为越来越普遍,其危害并不亚于数据的非法获取行为。另一方面,以数据为对象的非法获取行为和以物为对象的非法获取行为存在着明显的不同。以盗窃财物并使用为例,刑法上一般只评价财物窃取行为,后续的使用行为属于不可罚的事后行为。因为,犯罪人非法获取财物之后,由于财物的不可复制性和占有的排他性,权利人的财产所有权因难以正常行使而在事实上被剥夺。与此不同,单纯的数据获取行为只是获取了数据,而数据背后隐含信息的发掘和利用行为仍未实施,这些行为本身可能具有迥异于获取行为的危害性,因而仍存在单独进行刑法评价的必要。
3.罪责刑不均衡
较之于危险犯、预备犯、帮助犯,实害犯、实行犯、正犯在违法性程度与罪责程度上无疑更为严重。从罪刑均衡原则的要求来看,如果立法者将前类行为犯罪化,后类行为犯罪化的必要性理应更高,法定刑亦应更重。以此检视刑法关于数据犯罪的现行规定,罪刑失衡可谓显而易见。原因在于,数据获取、泄漏等行为,充其量仅是招致数据滥用风险的前置性行为,而非实际侵害数据法益的实害性行为,其违法性程度与罪责程度明显弱于实际滥用行为。然而,刑法却轻重颠倒,将规制重心放在非法获取行为而非滥用行为上,这无疑违反了罪刑均衡原则。退一步讲,即使将非法获取公民个人信息罪、非法获取计算机信息系统数据罪作为涉数据犯罪的一般性条款,由于作为危险犯,其法定刑较轻,以其处罚作为实害犯的数据滥用行为,依然难以实现刑罚幅度与实害程度的对应性。
由于数据价值的实现以数据流通、数据共享为前提,而数据共享不仅是国家经济、社会政策的取向,同时是民法、行政法等前置法兼顾数据流通、实现数据利益配置的客观要求。正因如此,《数据安全法》第1条即开宗明义地将“促进数据开发利用”作为其核心任务之一。强化数据控制安全的立法模式不但在理念层面与前述要求相抵触,事实上也会产生不当限制数据共享的消极后果。鉴于此,将数据滥用行为与数据获取、泄漏、篡改、删除等行为同置于刑法评价之下,并将治理模式由控制模式调整为利用模式,便具有理论、实践与法政策上的正当性。
数据利用模式原则上并不禁止他人实施获取或者利用数据的行为,而是通过重点规制数据滥用行为的方式,兼顾数据主体的利益和数据利用者的利益,以尽可能释放数据所蕴含的社会价值。其特征包括以下三点。
一是在规制理念上,数据利用模式旨在通过对数据“动的安全”的维护,释放数据的社会价值。由于单个数据主体产生的零星数据通常欠缺分析价值,以数据的重新收集和利用为本质的数据共享,已成为实现数据经济和社会治理的关键所在。 而对于数据“静态安全”的维护,只是赋予了数据主体消极的防御权,并不能使其由此直接获取数据所蕴含的积极价值。由此出发,数据利用模式重视的不是数据主体对于数据的静态控制,而是数据分析、共享等动态利用行为和过程,从而释放出数据所蕴含的社会价值。
二是在规制重心上,数据利用模式重点规制的是数据滥用行为。由于释放数据蕴含的丰富信息离不开对数据的分析和共享,数据利用模式必然重视发挥数据的社会、经济价值,弱化数据控制模式所强调的数据主体对数据的控制或排他性占有。这并不意味着该模式不再重视对数据主体利益的维护。毋宁说,其是通过将规制重点转移至数据滥用行为的方式,引导数据利用者合理利用数据,从而实现对数据主体利益的更为全面的维护。因为,数据的价值在于数据的分析和利用,单纯获取数据而不加以利用或者利用行为属于“合法利益豁免”的情形, 根本不会损害数据主体的利益。数据控制模式的立法本来就是通过限制数据获取行为的方式,实现对数据滥用行为的前置性预防。既然如此,与其通过广泛地禁止数据获取行为而导致“不利他性”保护,不如通过禁止数据滥用行为的方式,实现多方主体的利益平衡。
三是在法政策诉求上,通过建立新的风险分配机制,数据利用模式能够兼顾数据主体的利益和数据利用者的利益。在传统的数据控制模式下,数据利用行为的正当性主要奠基于数据主体的知情同意之上。然而,知情同意原则很容易异化为数据利用者滥用数据的免责根据,导致数据主体被迫承担数据被滥用的风险。与此相反,在数据利用模式下,由于数据治理的重心在于数据利用行为,数据利用者不能仅凭借获得数据主体的“知情同意”而正当化其利用行为,存在于数据控制模式下的不利局面——数据主体承担数据被滥用的风险而数据利用者坐享滥用数据的利益——将得到有效扭转,原本即不应由数据主体承担的风险将返还给数据利用方。这种风险责任承担的转换会促使数据利用者在利用数据时,尽可能地将其限制在合理范围内,由此使得数据主体的利益和数据利用者的利益得以兼顾。
1.理论依据:法秩序统一性与刑法谦抑性
数据的公共产品属性是刑法数据治理模式转向数据利用模式的基本原理。然而,从刑法上看,导致利用模式成为数据法益保护最佳模式的根本原因,并非数据所具有的公共产品属性,而是法秩序统一性和刑法谦抑性的内在要求。一方面,法秩序应当具有统一性,以实现多元利益的协调共存,“使其各自的目的以及(所承载的)法律原则彼此之间处于一个适当的比例关系”。 由于控制模式的立法一味强调权利主体对于数据的控制,其他主体利用数据的利益必然难以得到有效保障。只有将数据法益的保护重点置于利用行为,才能既保障数据共享利益的实现,又能通过规制数据滥用行为维护数据主体的利益,以此契合法秩序统一性的要求。另一方面,刑法应当具有谦抑性,采取数据利用模式的立法更契合该要求。刑法的目的在于保护法益,但刑法并不处罚所有引起法益损害的行为,而是将处罚对象限制为达到可罚的违法性程度的行为。鉴于单纯的数据泄漏行为并不会直接损害数据主体的利益,后续的数据滥用行为才有此可能,因而只有后者才具有处罚必要性。数据利用模式的立法更加符合刑法谦抑性的内在要求。
2.价值依据:安全、自由与科技发展之间的平衡
平衡安全与自由以促进社会发展,是刑法数据治理的重要目标。信息社会时代,数据已经成为“激发全社会创造力和市场活力,推动经济发展质量变革、效率变革、动力变革”的重要生产力。“数据的大规模收集、处理、报告甚至交易,是数据活动的本质要求,不应该简单站在用户立场,为了保护个人信息而保护个人信息,而对数据活动进行简单粗暴的限制。” 然而,现有刑法数据治理体系却滞后于数据利用实践,几乎完全聚焦于数据主体的权利,而不充分考虑数据流动、数据共享及数据交易。这导致一方面对个人数据权利保护过度,另一方面对数字流动及以此为基础的数字经济发展保护不足,从而破坏了安全、自由与科技发展之间的平衡。相反,如果将保护重心置于数据利用行为上,则既可以避免传统控制模式过于限制数据利用价值的弊端,又可以避免数据不法行为对数据主体权利的侵害。建立在宪法价值秩序基础之上的刑法目标应当是,通过对法益的保护来确保公共福利和法秩序平衡,在新技术环境下依据报应和预防理论实现其保护目的。而将个人信息处理行为的规制目标定位于防止滥用,则有助于实现上述目的。
3.政策依据:数据价值、利用者权益与刑法任务
数据的生产、流通和分析利用已经成为数据经济的核心,数据资源的社会化和市场化利用制度是数据经济发展的基础。就此而言,数据利用模式在治理政策上同样具有其正当性。
首先,由于数字经济已经成为推动国民经济高质量发展的重要引擎,数据的利用价值日益受到重视,出现了由重视数据控制到重视数据利用的转变趋势。从国外立法来看,一方面,立法者更加注重数据权利的积极价值。近年来,无论是欧洲还是美国,都从实现数据积极价值的角度,允许用户与数据经营者签订收集、利用协议。另一方面,在数据的保护问题上,出现了数据保护相对化的趋势。欧洲并未将个人对数据的信息自主决定权视为具有排他性的绝对权,而美国对数据犯罪的刑法规制呈现出逐步缓和的趋势。例如,对于数据抓取、使用行为是否被“授权”的判断,相当数量的判例采取了较为宽松的认定标准。
其次,将数据保护模式调整为数据利用模式,契合前置法的内在价值诉求。在整体法秩序中,刑法是实现法益保护的一种手段,且仅处于保障法或者补充法的地位。由刑法的这种功能定位所决定,对于何种利益属于法益、如何在不同主体之间进行法益分配等一系列问题,原则上交由民法、行政法等前置法决定。虽然《民法典》只是规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,并没有正面明确数据的属性,但无论是采用权利属性模式还是采用权益属性模式,均无一例外地强调应当赋予数据利用者以相应的权益。 这表明,在承认数据之上复数权利的并存具有可能性和必要性情况下,应当将数据治理的重点由控制数据流通转向避免数据滥用,通过合理规制数据滥用行为的方式,协调不同权利主张之间的冲突。
最后,将数据安全的规制重心转向数据利用行为,符合刑法的任务定位。刑法的任务在于保护法益,只有对法益造成急迫危险的行为,才具有通过刑法加以规制的必要。通常而言,数据泄漏或者数据获取行为并不会直接导致数据之上的法益面临急迫的危险。只有在数据被利用的情况下,才有可能对数据之上的人格利益或者财产利益产生影响。因此,对于数据安全的维护而言,由控制模式转向利用模式,可以充分评价不同性质、类型的数据侵权行为,这符合刑法作为补充性法益保护工具的功能定位。
上述分析表明,适当限制控制模式立法,加强利用模式立法,是刑法数据治理的正确方向。当然,数据利用模式并不排斥控制模式立法,只是认为应当将其限制于特定范围内,作为一种例外模式而存在。作为一种制度安排,数据利用模式在承认数据主体对数据享有权利的前提下,通过将数据转化为公共产品,促使数据充分流通,从而最大化地发挥其社会价值。
四、刑法数据利用模式实现路径
数据利用模式的构建属于一项系统工程,应当兼顾不同需求。在治理原则上,应当遵循比例原则与平衡原则的要求,确保数据安全的治理目标与拟采用的治理手段之间存在合比例性,实现个人数据权利保护与数据流动、数字经济发展之间的动态平衡。在治理模式上,应当明确控制模式立法的适用限度以及利用模式立法的规模结构。在实现方式上,应坚持立法论与解释论并行,充分发挥刑法规范的体系效应。在治理重点上,既要通过犯罪化的方式,保障刑法规范供给的充足性,又要积极探索违法阻却事由,避免罪刑规范供给过度。
数据的价值在于其所蕴含的信息。信息不同,数据所承载的法益自然不同。根据法益属性的不同,刑法分则规定了不同的罪刑规范。然而,遍览现有规范不难发现,任何一个或者一类罪刑规范均无法穷尽数据所承载的法益,事实上也不能指望立法者针对数据再设置一个个与传统犯罪相对应的具体罪名。基于此,对数据法益的保护,仍应立足于刑法解释,将值得刑罚处罚的行为解释为犯罪,以确保罪刑规范的供给充足。为此,有必要在刑法总则中设置一个专门条款,用于指导分则数据法益的解释。该条款应有助于实现以下两大功能。
一是根据数据蕴含信息的法益属性,确定数据侵害行为的犯罪性质。在刑法并未对某种侵害数据法益行为设置构成要件,但此类行为却造成严重后果时,确定受损法益的性质以及相关刑法规定,是通过扩大解释惩处数据滥用行为的关键。因为,“数据包含着数据主体的人格尊严、自由价值、商业价值和公共管理价值”, 这种多重利益关联的状态,决定了数据承载的某种法益并不能排除其他性质法益的存在。例如,就QQ账号及其密码或者支付宝账号及其密码而言,虽然它们都属于非法获取计算机信息系统数据罪所保护的“身份认证”数据,但这并不妨碍其属于“能够单独或者与其他信息结合识别特定自然人”的个人信息,如果账户内有存款,前述信息还可以被评价为财产法益的载体。
二是在相关数据具有多重法益属性时,根据主要法益属性确定可资适用的刑法规范。例如,对于非法窃取虚拟财产行为的定性,一直存在着非法获取计算机信息系统数据罪与财产犯罪之争,争议焦点即在于虚拟财产的性质。由于虚拟财产的本体是数据,如果将非法获取计算机信息系统数据罪的保护法益扩张解释为数据安全法益,当然可以适用非法获取计算机信息系统数据罪。但是,该处理方案存在问题:一方面,将具备财产属性的虚拟财产仅仅视为数据,忽视了数据所承载的财产利益;另一方面,非法获取计算机信息系统数据罪作为保护数据法益的一般条款,在法定刑配置上无法兼顾各种不同属性的数据,可能导致罪刑失衡。窃取他人虚拟财产的,应当通过扩张解释财物外延的方式,适用财产犯罪的规定。与此不同,由企业收集的数据库中的数据虽然同样具有经济价值,但对于窃取或者删除此类数据的,却不应当仅从财产法益的角度出发,将其评价为盗窃罪或者故意毁坏财物罪。因为,企业收集的相关数据虽然具有一定经济价值,但这些数据在功能上主要服务于企业的生产经营活动;并且,企业收集、分析相关数据的行为更在于增强市场竞争力。因此,应当将窃取企业相关数据的行为评价为非法获取商业秘密罪而非盗窃罪,将删除企业相关数据的行为评价为破坏生产经营罪而非故意毁坏财物罪。
鉴于数据的公共产品属性,刑法不应当禁止一切数据获取行为,只有在满足特定条件时,才可以采取控制模式立法。在具体立法过程中,应着重参考以下要素。
1.法益的价值重大性
由数据的公共产品属性所决定,除非数据共享行为满足了侵害原理的要求,否则不应限制数据的获取和利用。因此,控制模式立法下的数据利益,应当限制在具有重大价值的法益上。《保密法》第9条规定,“泄漏后可能损害国家在政治、经济、国防、外交等领域的安全和利益”的数据不予公开。《政府信息公开条例》第15条亦规定,“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息”应当限制公开。作为对前置部门法规范的回应,对于国家秘密、商业秘密、个人信息、影响计算机信息系统安全的信息、其他影响市场经济秩序和生产作业安全的数据,刑法可以采用控制模式立法。
2.泄漏行为的具体危险性
毫无疑问,数据处理行为会给法益主体造成一定的风险,如“个人遭受刑事犯罪(如钓鱼执法、身份盗窃)侵害的危险;羞辱感和数据公开侵害(如性、健康和其他敏感信息);歧视和难堪;信息永久性;情景脱离(即使用理由改变)”。控制模式的立法是预防性立法,旨在通过限制数据获取的方式,避免数据滥用行为,从而实现对下游关联法益的前置性保护。因此,数据获取、泄漏行为足以使相关法益陷入危险状态时,才可以采取控制模式立法。关于数据被滥用风险的判断,其标准在于获取相应数据的通常用途、用于其他例外用途的可能性和必要性。例如,由于公民个人信息被获取、泄漏后,通常被用于网络诈骗、网络盗窃等行为,通过控制模式限制相关数据的获取行为就具有正当性。反之,像网络店铺的买卖、转让行为,虽然同时伴随着相关消费者个人信息的转让,但转让后的店铺主要被用于正常经营活动, 一般不会产生滥用数据的危害后果。此时即使数据转让并未征得相关信息主体的同意,也不应当加以限制。
3.重大法益侵害的可能性
后续数据滥用行为造成重大损害的可能性,是设置控制模式立法的重要参考。如果后续数据滥用行为不会对数据权利主体的利益造成重大损害,则应当放弃控制模式立法,赋予数据共享以更大的空间,以实现数据利益最大化。因为,“当私人成本与社会成本发生冲突的时候,法律决策者会优先考虑控制社会成本,必要时还会以放纵私人成本为代价;毕竟社会成本是社会财富的实际减少,而私人成本只是社会财富的转移”。
参考上述要素可知,将危害计算机信息系统安全的犯罪直接改造为保护数据安全的犯罪并不可行,因为其完全忽视了对数据共享利益的考量,而一边倒地对数据控制安全采取了绝对保护的立场。当然,考虑到公民个人信息对于实现经济发展、改善社会治理的重要性,仍有必要增设两个罪名,以完善相关保护。
一是增设过失泄漏公民个人信息罪。虽然我国刑法立法以及司法解释对公民个人信息的保护日臻完备,然而,目前仍缺乏针对过失泄漏公民个人信息行为的罪刑规范,由此导致的问题是:(1)数据收集者的刑事风险防控义务缺失。数据的价值来源于对于数据集合的分析和利用,而真正掌控数据并享受利益的实际上是相关企业和平台,其理应承担防止数据泄漏的安全管理义务,但当前刑法相关规定缺失。(2)刑法处罚漏洞难以避免。网络社会时代,数据泄漏往往基于简单的键盘、系统操作,此类行为究竟是故意为之还是无心之失,不乏存在证明困难情形。如果不处罚过失泄漏行为,必将留下处罚漏洞。(3)信息泄漏风险由公民个人承担。现实生活中,公民要想获得相关服务,除了同意企业或者平台收集或者分析相关数据外,别无他途。如果不处罚相关数据泄漏行为,则享受数据利益且实际控制数据的企业或者平台将不承担任何数据泄漏的风险,而不现实掌控数据集合的个人反而被迫承担,这显然有失公平。通过设立过失泄漏公民个人信息罪,不但可以弥补处罚漏洞,还可以强化企业或者平台的风险防控意识。当然,为了避免过度增加企业或者平台的风险管理负担,罪状设置上应当坚持过失实害犯的立法传统。
二是增设删除、篡改公民个人信息罪。现行刑法尚未规定删除、篡改公民个人信息的行为类型,要对此类行为加以惩治,目前只能通过扩大解释破坏计算机信息系统罪的方式来实现。 然而,此种做法不但导致破坏计算机信息系统罪的一般条款化,使其沦为兜底罪名,同时,由于该罪与侵犯公民个人信息罪的法定刑存在显著差异,容易产生处罚失衡。虽然有观点主张,对于电子照片、邮件等具有使用价值的数据,可以作为财产加以保护,删除或者篡改此类数据的,可以按照故意毁坏财物罪论处。 实践中也有将删除数据的行为定性为破坏生产经营罪的案例。 但是,相关数据的价值并不完全体现为财产价值,且财产犯罪一般要求满足特定数额作为入罪门槛,对于那些与财产无直接关系的个人信息,显然无法通过财产犯罪予以保护。鉴于此,有必要在侵犯公民个人信息罪中增设新的条款,将删除或者篡改公民个人信息的行为犯罪化。
通过立法规制数据滥用行为是一种补充性规制措施,只有在既有刑法规范供给不足的情形下才可以适用。此种情形包括:(1)刑法分则中不存在规制相关数据滥用行为的条文;(2)刑法分则中虽有可资适用的法条,但适用相关法条不能实现罪刑均衡。考虑到数据滥用行为的现状,有必要增设以下两个罪名,以实现有效治理。
一是增设滥用算法罪。大数据时代,生产者、经营者通过收集和分析用户数据形成用户画像并以此为基础形成个性化推荐,为消费者提供更加精确有效的信息。与此同时,同一时间不同消费者购买相同商品和服务,被经营者收取不同价款的“大数据杀熟”现象,以及严重侵扰个人生活安宁的个性化推荐现象,亦广泛存在。这无疑加大了用户的使用成本,导致其财产、时间的无谓消耗,影响甚至剥夺了其自主选择、安排个人生活的权利。对此,现有刑法规范并未提供有效治理方案,有必要通过创设滥用算法罪,对此类行为加以惩治。具体到构成要件的设计,应当考虑以下几点:(1)将“违反国家规定”作为构成滥用算法罪的前置条件;(2)滥用算法的行为必须产生严重影响交易公平、公民生活安宁或者公民自主选择权的后果;(3)可以仿效逃税罪、拒不履行信息网络安全管理义务罪的规定,通过设置相关客观处罚条件,避免刑事处罚过度。
二是增设非法提供算法服务罪。除直接规制滥用算法的行为外,还应当规制提供非法算法服务的行为。数据经营者的逐利本性,决定着其对算法服务的需求旺盛,与此相适应,未来专门提供算法服务的企业必然会大量增加。通过规制提供非法算法服务的企业,有利于从源头上抑制算法滥用行为。此类行为无法通过非法经营罪加以惩治,因为非法经营罪保护的法益是市场准入秩序,而非法提供算法服务的行为并不涉及该法益。增设非法提供算法服务罪规制此类行为更为可取。
数据控制模式限制了数据的自由、高效流动,不利于实现数据共享的基本目标,如何将正当的数据利用行为除罪化,意义重大。在此方面,知情同意原则的作用有限。
首先,知情同意并不必然阻却数据收集和利用行为的违法性。通过知情同意阻却数据获取、数据利用行为的违法性,是建立在相关同意是数据主体自主决定的基础上的。问题是,信息社会时代的数据主体大多处于弱势地位,事实上欠缺议价能力,如果只是形式地适用“知情同意”原则,很容易牺牲数据主体的合法利益。因此,“如果数据共享的格式条款明显不利于保护用户的隐私、个人信息等权利,则信息权利人应当有权否定该条款的效力,该条款也不能成为互联网企业共享用户个人信息的正当性基础和侵权的免责事由”。
其次,知情同意只是排除行为违法性的正当化事由,而非构成要件要素。我国相关法律法规均将数据主体的知情同意作为判断收集、利用行为是否合法的必要条件,从而导致未征得数据主体同意的信息收集、利用行为均属违法。然而,考虑到数据的公共产品属性,如果完全将数据主体的知情同意作为数据共享正当化的根据,则可能过度牺牲其他主体的利益。因此,知情同意原则至多仅是认定数据共享行为具有正当性的事由,却并非决定数据共享行为是否违法的充分必要条件。
最后,在以下情形中,即使未经数据权利主体同意而获取或者利用数据的,也仍然应当阻却行为的刑事违法性:(1)数据权利主体已经授权相关平台使用该数据,平台后续实施的转让等行为并未超出授权使用的范围。例如,在相关网络平台或者网络店铺进行转让时,如果转让前后的经营活动具有实质的同一性,对于转让的相关公民个人信息,即使未经相应数据主体的同意,原则上也不应当认为存在实质侵害。(2)数据获取或利用行为合理,且不存在利益侵害。原则上,除了国家秘密、商业秘密和个人信息等适用控制模式的数据外,只有在相关数据被限制访问且同时被限制使用的情况下,未经同意而使用数据的行为才具有刑事违法性,否则不应当认定为犯罪。如果数据获取或者利用行为在合理限度内,且未非法侵害他人利益,则基于合理使用原则,应当肯定此类行为的正当性。
结语
随着网络与信息技术的迅猛发展,数据拥有了前所未有的重要性。借助技术变革,数据已经与我们的生产、生活实现了无缝对接,保护数据法益已经成为一个极具现实性、急迫性的课题。对于数据法益的刑法保护,除了考虑其技术属性,还必须契合数据的社会功能,体现数据的社会价值。鉴于数据利用涵盖了收集、存储、传输、处理、使用、共享、交易等一系列活动,确保其间的数据安全、实现数据共享,成为数据治理的基本目标。作为历来被寄予厚望的社会治理手段,刑法在数据治理模式的选择上也必须围绕着安全与共享而展开。只有同时兼顾数据安全和数据共享的刑法保护模式,才是值得倡导的治理模式。由于本文旨在探讨刑法数据治理的模型建构,诸如数据的法律属性、数据法益的界定、个罪构成要件的设计及法定刑配置等法律问题,均有待专题展开。就此而言,未来如何以数据的控制安全为底线,以数据的利用安全为导向,建构符合我国国情的刑法数据治理模式,将是长期摆在立法者、司法者以及研究者面前的一道共同课题。
来源:《中国社会科学》2022年第7期P56-P74
作者:于改之,上海交通大学凯原法学院教授