作者:尚权律所 时间:2022-10-21
摘要
数据犯罪是指以数据为犯罪对象、严重扰乱国家数据管理秩序的犯罪行为。数据犯罪不同于网络犯罪、计算机犯罪。数据与信息之间实则是一种相互交叉的关系,因而数据犯罪也不同于信息犯罪。数据犯罪所侵害的法益是一种独立于传统法益的新型法益,即国家数据管理秩序。我国刑法目前并不存在对一般数据进行全流程保护的客观条件,无须对所有的一般数据进行全流程保护,亦无须对非法存储和非法使用一般数据行为加以规制。我国刑法应将非法获取、传输一般数据行为和非法分析数据行为纳入规制范围。刑法应增设妨害数据流通罪和非法分析数据罪,以规制严重妨害数据流通管理秩序的非法获取、传输一般数据行为和严重妨害数据分析管理秩序的非法分析数据行为。
关键词:数据犯罪 一般数据 数据管理秩序 妨害数据流通罪 非法分析数据罪
随着大数据时代的不断深化发展,数据安全已经成为人们政治、经济和生活中热议的话题。时下,如何对数据进行有效法律保护,业已成为法学理论与实务界研究的重要课题。应该承认,刑法学界对数据犯罪概念的理解至今仍未达成共识,许多学者经常将数据犯罪与信息犯罪、计算机犯罪或网络犯罪相混淆。同时,部分学者明确提出应承认数据在社会交往中的重要性,主张应将除涉个人信息、商业秘密、国家秘密等已受刑法保护数据之外的其他数据也纳入刑法的保护范围,且应对这些数据进行全流程的刑法保护。笔者在此将这些尚未受刑法保护的其他数据统称为一般数据。但是,相关学者并未对为何一般数据值得刑法保护、对一般数据进行全流程刑法保护是否具有可行性和必要性等问题展开系统论证,由此导致理论和实践中存在较大的困惑。本文围绕数据犯罪侵害的法益等问题,对一般数据的刑法保护价值和限度进行探讨,并提出完善数据刑法保护体系的相关建议。
一、数据犯罪侵害的法益及界分
(一)数据犯罪是以数据为犯罪对象的犯罪
目前,“数据犯罪”这一名词已逐渐被学界接受。就数据犯罪包含的内容或范围而言,多数观点认为数据犯罪是以数据或大数据为犯罪对象的犯罪,笔者将其称为狭义的数据犯罪。部分学者认为数据犯罪不仅包含以数据为犯罪对象的犯罪,还包括以数据为犯罪工具的犯罪,笔者将其称为广义的数据犯罪。相较而言,狭义的数据犯罪在内容限定上似乎更具有准确性。
一方面,数据犯罪概念是在大数据时代针对数据的侵害行为层出不穷这一历史背景下产生的。在传统犯罪中,以数据为犯罪工具的犯罪并不少见,此时的数据仅是一种犯罪工具,并不具有任何特殊性。随着数据自身价值被逐渐认可,针对数据的非法获取、破坏、流转、分析等行为成为一种新的犯罪样态。数据从犯罪利用的工具演变为犯罪针对的对象,此后,数据犯罪的概念才被学界提出和重点研究。因此,从数据犯罪概念的产生背景来看,狭义的数据犯罪概念更为准确。
另一方面,将数据犯罪定义为以数据为犯罪对象的犯罪可以检视现行刑法是否已经形成完备的数据保护体系。如果采用狭义的数据犯罪概念,则更便于区分数据犯罪与其他犯罪的界限,即可以对数据犯罪的范围进行全面明确地圈定,以凸显数据本身的刑法保护价值,进而充分有效地检视刑法是否已将所有对数据相关法益产生严重危害的行为悉数纳入规制范围,从而据此可以对既有立法进行解释或完善。相反,如果采用广义的数据犯罪概念,则因为其不仅强调对数据的保护,还强调对其他与数据安全等相关的传统法益的保护,以至于显得过于宽泛,从而导致刑法针对数据重点保护的需要和内涵无法得到突出的体现。因此,狭义的数据犯罪概念更具有合理性。基于上述原因,本文所讨论的数据犯罪是指以数据为犯罪对象的犯罪。
(二)数据犯罪是严重侵害国家数据管理秩序的犯罪
在采纳狭义的数据犯罪概念基础上,我们依然需要进一步对数据犯罪所侵害的具体法益进行论证,以明确数据犯罪有关构成要件的具体内容。应该看到,如果刑法需要对数据进行保护,首要条件便是明确数据自身存在值得刑法保护的价值或利益,也即刑法对数据犯罪所侵害的法益存在保护的必要性。据此,我们才能在明确数据犯罪所侵害法益具体内容的基础上,确定数据犯罪有关罪名的具体构罪标准。众所周知,我国《刑法》分则每一章乃至每一节基本上是以各类犯罪所侵害的法益为分类依据的。因此,明确数据犯罪所侵害的法益有助于确定数据犯罪在刑法中的体系地位。笔者认为,数据犯罪所侵害的法益应为国家数据管理秩序,所谓数据犯罪是指以数据为犯罪对象、严重侵害国家数据管理秩序的犯罪,刑法学界应对数据犯罪与计算机犯罪或网络犯罪作出明确的界分。
首先,数据犯罪不同于计算机犯罪。多数观点认为,计算机犯罪是以计算机信息系统为犯罪对象的犯罪,侵害的法益是计算机信息系统安全。典型的计算机犯罪有《刑法》第285条规定的非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,还有《刑法》第286条规定的破坏计算机信息系统罪,等等。诚然,数据犯罪的罪名范围可能与计算机犯罪的罪名范围存在一定的交集,如非法获取计算机信息系统数据罪既属于数据犯罪的范畴,也属于计算机犯罪的范畴。但是,如前所述,数据犯罪的犯罪对象是数据,其侵害的法益是国家数据管理秩序。事实上,数据不同于计算机信息系统,两者之间是内容和载体的关系,数据具有其独立的价值属性。可见,数据犯罪与计算机犯罪在犯罪对象、侵害法益等方面均有所不同,数据犯罪不同于计算机犯罪。
其次,数据犯罪也不同于网络犯罪。网络犯罪所覆盖的范围极为广泛,既包括将计算机信息系统作为犯罪对象的犯罪,也包括以计算机信息系统作为犯罪工具的犯罪,甚至还包括以计算机网络为犯罪空间的新型网络犯罪。就侵害法益而言,网络犯罪既包括侵害计算机信息系统安全等网络特有法益的犯罪,也包括利用计算机网络侵害传统法益的犯罪。正因为此,有观点认为网络犯罪只是可以作为犯罪学上的一类犯罪,而难以成为刑法学上的一类犯罪。总体而言,学界普遍认为网络犯罪是一个宏观且模糊的概念。网络犯罪的范围囊括一切与计算机网络有关的犯罪,侵害的法益包括计算机信息系统安全和传统法益等多种法益。根据笔者前文对数据犯罪的分析,数据犯罪的范围和侵害法益相较网络犯罪而言更为微观且具体明确,两者不能混同使用。当然,不可否认的是,数据犯罪的具体犯罪行为均发生于计算机网络空间之中。从犯罪学角度分析,由于网络犯罪包含以计算机网络为犯罪空间的犯罪,而数据犯罪一般也是以计算机网络为犯罪空间的,因此,完全可以将数据犯罪归入网络犯罪的范畴之中,并成为网络犯罪的下位概念。
最后,数据犯罪与信息犯罪也存在混淆不清的问题。这主要是因为立法和学理上均未能梳理清楚数据与信息两者之间的关系。
在立法层面,随着《民法典》《数据安全法》《个人信息保护法》等立法的相继出台,我国基本形成对数据的法律保护体系。然而,相关法律对数据的定义以及数据与信息的关系尚不能达成统一。首先,民法未明确数据与信息的具体区别。虽然《民法典》在第111条和第127条分别就“个人信息”和“数据”的民法保护进行了规定,这似乎意味着立法者认为数据与信息在概念上应当存在一定的区分,但是,《民法典》并未进一步对两者进行概念上的具体界定。其次,行政法有关数据与信息之间关系的认定并不合理。刚施行不久的《数据安全法》第3条将数据定义为“任何以电子或者其他方式对信息的记录”。由此观之,《数据安全法》认为数据与信息仅是载体和内容的关系,而并不存在其他的差异。但是,这种定义显然没有太大的实际意义,因为数据与信息一样都是无形物,信息的内容需要借助特定载体予以呈现,而数据亦是如此。事实上,内容和形式并不是对立的关系,数据本身也可以蕴含特定的实质内容,数据与信息仅在汉语语义层面上存在内容和形式的分化。当数据或信息成为不法行为的侵害对象时,相关不法行为既无法越过内容而仅侵害形式,也不可能越过形式而仅侵害内容。因此,《数据安全法》对数据与信息的区分存在较大问题。最后,相关刑法司法解释将数据与信息视为同一概念。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第1条的规定,非法获取计算机信息系统数据罪中的“计算机信息系统数据”特指“身份认证信息”。同时,该司法解释第11条规定:“本解释所称‘身份认证信息’,是指用于确认用户在计算机信息系统上操作权限的数据。”可见,该司法解释认为数据与信息之间并无区别,两者可相互替换使用。总之,我国相关部门法及司法解释对数据与信息之间关系的认定存在相互冲突的现状。究其缘由,是因为整个法律体系尚未明确或未能准确明确数据的概念。
在学理层面,学界就数据与信息的关系提出了以下几种观点。第一种观点认为数据的范围要大于信息的范围。在计算机信息系统中,有些数据虽然对计算机信息系统或某些程序本身的运行必不可少,但却不一定体现为具有现实意义的信息内容。数据或大数据既可指向内容层的信息,也可指向符号层的数据文件。数据一词覆盖数据文件和数据信息两个侧面的含义。因此,信息时代的数据范围比信息范围要大。第二种观点认为,就载体而言,信息的范围要大于数据的范围。数据应区别于日常生活中的各种纸面统计数据,仅指自动化处理的数据。数据侧重于突出载体或媒介本身,而信息不只可以通过数据的形式来呈现,还可以借助其他的媒介得以呈现。第三种观点认为数据与信息没有明显的区别。例如,“个人数据”的表达实质上指向的就是“个人信息”的内涵。在大多数的情形下,两者的混用并不会引起理解上的偏差。
诚然,从日常用语的角度而言,数据与信息可混同使用,没有必要对两者进行区分。从中文语义角度理解,数据与信息更多的是一种形式和内容的关系。数据偏向形式层面,而信息偏向内容层面。然而,结合前置法以及刑法对数据与信息保护的立法目的等因素综合来看,特别是从实然角度分析,数据应区别于信息。首先,根据民法、行政法等前置法的有关规定,可推知立法者实际上有意将数据与信息的概念进行区分。尤其是随着《数据安全法》《个人信息保护法》的相继出台,相关行政法律对数据与信息分别进行了不同的定义。这也进一步印证了笔者有关立法者有意对数据与信息作概念上区分的观点是正确的,否则根本无须出台两部法律对数据与信息进行分别保护。其次,结合刑法的有关规定可知,刑法也并不认为数据与信息的概念可混同使用,否则《刑法修正案(七)》完全没有必要同时设立非法获取计算机信息系统数据罪与侵犯公民个人信息罪两个罪名。尽管有关司法解释实际将数据与信息混同使用,但仅凭相关司法解释的规定不能作出刑法规定也将数据与信息视为同一概念的推断。最后,为了实现法秩序的统一性,如无特殊原因,刑法中数据与信息的概念及两者的关系也需要尽可能与前置法保持基本一致,否则将使得有关数据犯罪构成要件的认定标准含混不清。
笔者认为,数据与信息实则是存在相互交叉关系却应该加以区别的一组概念。数据与信息的区别主要在于以下两个方面。从存在形式(载体)上看,信息的载体要广于数据的载体。数据应仅指以电子化形式存在的代码;而信息还包含其他存在形式,其既可以以电子化形式进行记录(此时的信息等于数据),又可以以其他诸如纸质形式进行记录。从实际内容看,数据的范围又要广于信息的范围。数据是指存在于网络空间的电子数据,这种电子数据可以具有实质的信息内涵,包含以电子数据为载体的个人信息、商业秘密、国家秘密以及其他信息,也可以是不具有信息内涵的其他数据,如可以是供计算机信息系统相关程序所用的一些无现实意义的代码;而信息则必须具备有现实意义的实质内容。正因为数据与信息无论是在形式上还是在范围上均存在很大区别,所以刑法中的数据犯罪也应该与信息犯罪有别。我们不应该因为有较早前将数据与信息混同的司法解释规定,而罔顾相关法规甚至刑法对数据与信息、数据犯罪与信息犯罪区别对待的立法原意。
二、新型国家数据管理秩序观的厘定
(一)国家数据管理秩序法益与相关法益的区分
数据自身蕴含值得刑法保护的利益。有观点提出刑法设立非法获取计算机信息系统数据罪等一系列罪名并没有形成对数据的保护闭环,刑法应将数据本权和人格权、财产权等进行一定程度的分离以对数据进行单独保护。例如,可将非法获取计算机信息系统数据罪罪状中的“计算机信息系统数据”调整为“网络数据”。若实现上述观点,则须论证数据自身存在何种值得刑法保护的利益以及这种利益值不值得刑法单独保护。换言之,是否存在值得刑法保护的国家数据管理秩序。有关国家数据管理秩序的界定,学界众说纷纭。有学者试图从既有规范推导出国家数据管理秩序,也有学者认为应通过权利束理论来论证国家数据管理秩序,还有学者认为国家数据管理秩序就是指数据安全法益、算法安全等。上述观点均对国家数据管理秩序的界定展开了相应的论证分析,具有一定的参考价值,但均存在一定的误区。
第一,国家数据管理秩序无法通过既有规范制度推导得出。由于数据所蕴含的权利属性极为广泛,数据的权属内涵复杂多样,国家数据管理秩序无法通过合同法、物权法、知识产权法、反不正当竞争法、个人信息保护法等单一既有规范进行推导。换言之,既有制度无法有效回应数据流通和数据使用过程中的诸多问题,且未能以权利的形式保护数据。有学者进而提出运用权利束理论解决数据确权问题,认为数据权利是一种包含了人格、隐私、财产、主权等多样权利的权利集合,这一权利集合中的每种权利又各有边界,且数据权利的行使需要严格遵循特定的规则。但是,数据权利束理论不仅不能证明数据权利人为何对数据存在上述多种权利,且其存在一个明显的缺陷即并非所有数据权利人均能享有国家主权、人格权和财产权等权利。由于数据权利人对不同的数据所享有的权利各有不同,该理论没能准确对各类数据所普遍蕴含的权利进行论证,而是仅提供了当数据权利行使过程中发生权利冲突时的一种解决思路,因而具有局限性。由此,依据现有法律规范来推导国家数据管理秩序的方法难以行之有效。
第二,国家数据管理秩序不等于数据安全法益。当前,学界多数观点认为国家数据管理秩序就是数据安全。例如,有观点认为数据现已成为了犯罪行为的重要目标,数据窃取或滥用行为逐渐演变成为类型化的侵犯数据安全的行为即数据安全犯罪。刑法设立数据安全犯罪的核心目标在于保护数据的保密性、完整性和可用性。还有观点借鉴国外有关数据安全理论对数据的保密性、完整性和可用性进行进一步解析,认为数据的保密性是指确保数据免受他人探知、获悉或使用的权利;数据的完整性是指确保数据不被他人修改的权利;数据的可用性是指确保权利人随时访问(知悉)数据的权利。
笔者认为,上述数据安全法益观存在一定的问题。首先,不能将国家数据管理秩序概括归结为数据安全。根据《数据安全法》第3条的规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态以及具备保障持续安全状态的能力。可见,数据安全是我国立法对数据保护的目标,是法律希望数据蕴含的相关权益不受威胁或损害的理想状态,但并非立法对数据进行保护的原因。由于数据安全的概念本身就是抽象的、模糊的,“对数据进行保护是因为要保证数据安全”的观点显然陷入了循环论证的误区。可见,认为数据安全是国家数据管理秩序的观点没有任何实质的意义,该观点并没有解释清楚数据为什么不应受到威胁和损害,并没有回应哪些数据权利或利益值得刑法保护。其次,国家数据管理秩序也并非数据的保密性、完整性和可用性。诚然,国外相关理论已经论述了上述数据三个特性的重要性,但直接借用国外的理论来应用于我国刑法体系中必须要有充分的论证。虽然我国《数据安全法》等相关前置法在一定程度上肯定了对数据保密性、完整性和可用性的法律保护,但这并不意味着对数据的保密性、完整性和可用性一定要提高到刑法保护的层面。这主要是因为现行刑法并未对线下信息的保密性、完整性和可用性的保护作任何规定。由于涉及相同内容的线上数据和线下信息在实质层面上具有同一性,在不考虑侵害数据行为对其他法益造成侵害的前提下,单纯非法侵害数据保密性、完整性和可用性行为的社会危害性应等同于非法侵害线下信息保密性、完整性和可用性行为的社会危害性,即这两种行为应当承担相近的法律责任。根据这一结论,再将两种行为所对应的具体场景进行一一对比,便能得出数据的保密性、完整性、可用性并非国家数据管理秩序的结论。例如,一般而言,线下偷听他人电话、偷窥他人笔记的行为往往都难以被认定为民事侵权行为,那么,线上非法知悉他人数据的行为便不可能也不应当构成犯罪;再有,线下修改或撕毁某人记事本的行为不可能构成犯罪(记录国家秘密等特殊信息的除外),那么,线上修改数据的行为便不可能也不应当构成犯罪。总之,既然难以将线下侵害一般信息保密性、完整性和可用性的行为认定为犯罪,便无法认为单纯侵犯线上数据保密性、完整性和可用性的行为具有入刑的必要性。所以,数据的保密性、完整性和可用性并非是值得刑法保护的数据权利,更不应是国家数据管理秩序。
第三,国家数据管理秩序不是算法安全。如上所述,有观点认为基于现有相关数据权利理论的诸多缺陷,对数据的确权必须回归到数据权利的生产机制中对算法进行考察,明确算法在数据权利中所处的中心地位。诚然,对国家数据管理秩序的界定离不开对数据权利生产机制的考察。笔者认为,上述观点依然存在一定的疏漏。首先,算法与数据是两个不同的概念。作为一种分析数据的重要手段,算法有助于对数据进行挖掘,并衍生出更有价值的数据。但是,算法与数据无法混同,算法安全无法成为数据自身所蕴含的权益。其次,算法并非数据生产机制的全部内容。数据生产机制包含数据的获取、存储、分析、传输、使用等多个阶段,算法安全仅是数据分析阶段所须考虑的关键内容。算法安全虽然重要,但并非数据全流程环节中所须考虑的唯一内容。最后,算法自身具有局限性。算法安全不仅受到算法内容的约束,还受到原始数据的约束。若原始数据的来源不合法,即便算法合法,衍生数据依然具有非法性。同时,再精妙的算法也无法将一组行踪轨迹数据演化为支付密码数据。这充分表明建立以算法安全为核心的数据保护体系是不够全面的。虽然其可以解决部分数据确权以及数据保护问题(例如,通过算法得到的衍生数据应归算法提供者所有;若算法不合法,则衍生数据也具有非法性),但是以算法安全为核心的数据保护体系无法形成对原始数据的全面保护。此外,算法的边界、内涵也较为模糊,我国法律体系中尚不存在对算法进行准确定义的有关规定。由此可见,国家数据管理秩序也绝非算法安全。
(二)作为新型法益的国家数据管理秩序的界定
在厘清国家数据管理秩序观相关误区的基础上,必须着眼于数据的本质特征并结合数据处理的基本流程规律对国家数据管理秩序进行准确定位。笔者认为,国家数据管理秩序是一种独立于传统法益的新型法益。
首先,国家数据管理秩序应指一般数据所蕴含的值得刑法保护的利益。很多观点均认为,国家数据管理秩序包含着国家法益、人身法益和财产法益,因此国家数据管理秩序是众多传统法益的集合。前文已对上述观点进行了批判,所谓国家数据管理秩序,应指所有类型数据所共有的法益。数据是一个比较模糊而宏大的概念,从外延来看,数据包含涉及个人信息、商业秘密、国家秘密以及其他一般信息等各类具体数据。而所谓数据的共有法益,应指上述各类数据所蕴含权益的交集部分。换言之,国家数据管理秩序应为一般数据所蕴含的值得刑法保护的利益。
其次,国家数据管理秩序具有一定的社会属性。有观点认为,数据直接保护的是权利人的私益,出发点是私益。然而,上述观点依然没有厘清一般数据可能蕴含的利益与必然蕴含的利益之间的区别。事实上,并非所有数据均蕴含个人利益。以财产权益为例,只有当数据具有经济价值时,数据才具备了财产利益,才会被特定主体收集并产生数据的个人权益。很多数据并不是因单个自然人或法人而产生的,也不是为单个自然人或法人而存在的,这些数据不可能蕴含个人权益。例如,多数野生动物数据、环境数据等不属于个人信息、商业秘密、国家秘密中的任何一类数据。该类数据既不因个人而产生,也不为个人而服务,所以不具备个人权益属性。但是,这并不意味着上述数据没有价值,不值得法律保护。实际上,所有数据均有一个共通之处,即均是为社会管理的便利而存在。因为数据本身便来自人类收集自然界和社会活动中的各种留痕,任何数据的产生均包含一定的人类意志,均为社会发展和管理提供一定的素材。因此,数据虽然并不一定具备个人权益属性,但一定具备社会属性,数据蕴含着一种具有社会属性的公法益。这一社会属性的公法益,实则指向国家数据管理秩序。事实上,数据管理秩序已逐渐成为社会治理领域中的重要组成部分,我国已初步形成相对健全的数据管理秩序。根据国务院《“十四五”数字经济发展规划》的有关要求,“十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。规划提出我们应强化高质量数据要素供给、加快数据要素市场化流通、创新数据要素开发利用机制,建立完善政府、平台、企业、行业组织和社会公众多元参与、有效协同的数字经济治理新格局。同时,从《网络安全法》《数据安全法》的颁布到《网络数据安全管理条例(征求意见稿)》的起草,我国立足打造保障数据安全流通、数字经济有序发展的产业秩序,实现数据治理能力现代化。由此可见,数据管理秩序的构建已然成为新时代我国社会治理的重要任务。在此背景下,结合我国安全刑法观的基本理念,国家数据管理秩序这一扎根于转型时期国家治理能力与治理体系现代化进程中的公法益也随之孕育而生。
最后,国家数据管理秩序具有防止国家安全、人身、财产等法益受到侵害的功能特征。如前所述,若一般线上数据与一般线下信息完全等同,则其并不值得刑法的保护。一般线上数据与一般线下信息虽在其直接指向的内容层面具有同质性,但一般线上数据仍具独有的两大特征,即广泛分布性和集中处理便捷性。一方面,数据的广泛分布性是指数据分布于个体计算机、互联网、物联网、可移动便携设备甚至云端等各个角落。这也意味着每一个数据源的出现都会成为潜在的受攻击点。同时,一旦数据被非法获取后,有关数据可能被迅速地转移至不特定的主体,这将使得不法侵害的结果可能无限放大。另一方面,数据的集中处理便捷性则意味着我们完全可能通过对海量一般线上数据的集中处理而推导衍生新的特殊数据。大数据时代的一个重要特征便是人们能利用互联网将杂乱无章的数据迅速汇集起来,通过一个个节点将不同的数据连接起来,最终通过算法将本来毫无意义的数据碎片还原成系统详细的信息资料。通过人工智能和云计算等技术,我们完全有可能从海量且杂乱的大数据中整理出重要的涉国家秘密、商业秘密或个人信息等已被现行刑法所保护的特殊数据以及其他尚未被刑法保护的重要数据。因此,过去可能不具有信息意义的各类数据,在大数据时代都可能获得新的意义。一般线上数据本身也可能蕴涵着可以被解读和分析的国家秘密、商业秘密、个人信息等重要信息,因而也就产生了对其保护的必要性。为防止行为人通过对一般数据的非法利用分析来获取有关特殊数据,进而危害国家安全、公民人身和财产等有关法益,我们需要对数据处理的重要环节进行严格把控,形成一种稳定的社会秩序。这种秩序便是国家数据管理秩序。
综上所述,国家数据管理秩序这一新型法益的确立具有重要的时代意义。刑法对这一新型法益的保护,不仅有利于维护一般数据的流通、交易安全,推进我国数据治理能力的现代化进程,还有利于形成对有关国家秘密、商业秘密、个人信息等重要数据的体系性保护格局。需要特别说明的是,数据管理秩序依然是一个相对宏观的概念。根据数据全流程的各个阶段,我们可将数据管理秩序进一步细化为数据流通管理秩序、数据分析管理秩序、数据存储秩序和数据使用秩序等。笔者认为,刑法对数据管理秩序的保护也应在一定的限度范围内进行,下文将对此命题作进一步论证。
三、一般数据刑法全流程保护的反思
当前,我国刑法主要通过设立非法获取计算机信息系统数据罪和破坏计算机信息系统罪对计算机信息系统中的数据进行保护,但总体而言尚未形成系统的数据犯罪体系,仍难以对一般数据的各项权利形成完整保护链条。基于此,学者们提出应构建系统的数据犯罪体系,其主要包含以下两个方面的内容:一方面是对一般数据进行刑法保护,另一方面是对数据进行全流程的刑法保护。如前所述,一般数据具有与国家、人身、财产等法益的紧密关联可能性,且蕴含数据管理秩序这一社会法益,对其进行刑法保护具有一定的合理性和必要性。然而,一般数据具有刑法保护的价值并不能推导出应对所有一般数据进行刑法保护,也无法得出应对一般数据进行全流程保护的结论。我们应当避免将对数据的刑法保护停留在泛泛而谈的理念层面,而须具体考量对一般数据进行全流程保护是否有必要,以及是否会带来相应的困境。笔者认为,就现阶段而言,我国刑法无须对所有的一般数据实行无区别的保护,也无须将非法存储、使用一般数据的行为纳入规制范围。
(一)并非所有的一般数据均须刑法予以保护
根据前文对数据的分类,一般数据应区别于特殊数据,是指涉个人信息、商业秘密、国家秘密等刑法所保护特殊数据之外的其他数据。然而,我国尚且没有明确的行政法律对一般数据的保护作具体规定。《数据安全法》仅在第32条规定任何组织、个人收集数据,应当采取合法、正当的方式;在第51条规定窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的,依照有关法律、行政法规的规定处罚。但纵观整部法律,《数据安全法》将立法重心放在对重要数据的保护上,并未明确侵害重要数据之外的一般数据所应承担的具体行政责任。同时,《网络安全法》也仅针对有关关键信息基础设施领域的相关数据以及涉个人信息的数据进行重点保护,并无对一般数据的保护规定。再者,《网络安全法》《个人信息保护法》还将匿名化数据与涉个人信息的数据进行明确区分,在强化对涉个人信息的数据进行保护的同时,并未提及对匿名化数据的保护。考虑到一般数据与匿名化数据(或脱敏数据)具有高度相似性,这似乎意味着相关行政法规的立法者并不认为所有一般数据均具有法律保护的必要性和紧迫性。此外,近日国家互联网信息办公室起草的《网络数据安全管理条例(征求意见稿)》也同样表现出对重要、核心数据保护的重视,而并未出现对一般数据保护的具体条款。笔者认为,在行政法规尚未对一般数据进行明确、详尽保护的背景下,刑法没有必要将所有一般数据纳入保护范围之中。
其一,无法与特殊数据相关联的一般数据无须刑法保护。前文已论述,国家数据管理秩序重在保障与特殊法益紧密关联的相关数据处理行为的安全有序。若相关数据并不具有与国家安全、人身、财产等法益紧密关联的可能性,则意味着即便不法行为人对该类数据进行处理分析,也无法通过对相关数据的分析而衍生出特殊数据。此时,相关一般数据不具有刑法保护的必要性。同时,某些数据存在的唯一价值是为计算机信息系统有关程序的运行提供服务。由于该类数据并不承载任何有价值的信息,则其更不可能与相关法益具有关联可能性,刑法也无须对该类数据进行保护。
其二,虚假数据无须刑法保护。数据通常承载着各类信息内容,其中必然也包含着许多虚假数据。根据现行刑法规定,编造、故意传播虚假数据行为可能构成《刑法》第291条之一的编造、故意传播虚假信息罪。与非法获取、故意传播其他数据行为不同的是,刑法规制编造、故意传播虚假数据行为是因为编造、传播虚假数据行为将引发公众的恐慌和不安,进而妨害社会管理秩序。但需要指出的是,虚假数据本身并不蕴含值得刑法保护的法益。
其三,超过时效的一般数据无须刑法予以保护。任何数据均具有时效性。虽然原则上数据可以永存,但数据的价值将也随着时间的流逝而不断减少。事实上,与前一年相比,每一年我们所能存储的信息都会变得更多,其速度也会变得更快。据有关研究表明,目前已经存在的大多数数据都是在过去的一年中创建出来的。这也意味着数据是不断更新换代的。每一年所产生数据的使用期限是有限的,大部分数据的价值会随着时间的推移呈现递减之势,直至归零。因此,已过时效的一般数据无须刑法保护,甚至无须法律对其进行保护。
其四,规模较小的数据无须刑法保护。大数据时代,数据的规模越大,其分析和处理的价值便越大。数据处理者往往需要收集海量的各类数据,通过对不同类型的数据进行比对,从杂乱无序的数据池中发现数据之间的关联点,进而梳理出更具有价值的数据。若数据的规模较小,则难以从中推导出值得刑法保护的特殊数据。同时,对少量一般数据的侵害行为也不会对数据管理秩序造成严重危害。因此,一般而言,对少量一般数据的侵害行为也无须刑法予以规制。
(二)非法存储、使用一般数据无须刑法规制
刑法无须规制非法存储一般数据行为。非法存储一般数据行为是指数据持有者不具有持有数据的资格而仍然非法持有一般数据的行为。非法存储一般数据行为属于以数据为对象的违法行为类型中的兜底行为,没有必要将该行为纳入刑法规制的范围中。其一,除了《刑法》第282条非法持有国家绝密、机密文件、资料、物品罪对涉国家秘密等数据的非法持有行为进行规制以外,现行刑法没有针对非法持有数据行为进行规制的有关规定。例如,《刑法》第253条之一侵犯公民个人信息罪仅规定了非法获取、提供、出售个人信息三种犯罪行为方式;《刑法》第219条侵犯商业秘密罪也仅对非法获取、披露、使用商业秘密的行为进行规制。由于一般数据的重要性显然无法与涉个人信息和商业秘密等特殊数据的重要性相提并论,在现行刑法未将非法存储个人信息或商业秘密行为纳入规制范围的情况下,刑法当然不应该规制非法存储一般数据行为。其二,将非法获取、传输一般数据行为入刑尚且需要满足严格的限定条件,对社会危害性相对更低的非法存储一般数据的行为纳入刑法规制范围则应该更没有必要。其三,实践中对数据存储权利主体的认定通常存在争议,这就会导致非法存储一般数据行为在认定标准上存在不统一的问题,因而将该行为入罪不具有合理性。
刑法亦无须规制非法使用一般数据行为。非法使用数据通常是行为人对数据进行侵害的最终目的。根据现行刑法规定,非法使用涉国家秘密、商业秘密等数据的行为将构成相应的数据犯罪,且也有许多学者提出应将非法使用个人信息行为纳入刑法规制的范畴中。然而,笔者认为,无须将非法使用一般数据的行为纳入刑法规制范围。其一,如前所述,非法使用数据行为是以数据为工具的非法行为,而以一般数据为工具实施违法活动不具有较重的社会危害性。由于一般数据的重要性远低于国家秘密、个人信息等特殊数据,以行政法和民法的有关规定便足以对以一般数据为工具实施的违法行为进行有效规制。其二,现行刑法尚未将非法使用个人信息行为纳入刑法规制范围之中,对非法使用一般数据行为进行刑法规制便不具有紧迫性和必要性。其三,如果行为人以一般数据为工具实施犯罪活动,完全可根据行为人具体实施的犯罪行为进行定罪处罚。由此可见,刑法无须再新增相关规定以规制非法使用一般数据行为。
四、侵害一般数据行为刑法规制重点
由于不同类型的侵害数据行为所造成危害结果的严重程度各有不同,且对一般数据进行全流程保护势必将与现行刑法有关数据犯罪的规定相冲突,刑法对一般数据实行全流程保护事实上存在很大难度。结合数字经济发展的趋势、不同类型侵害数据行为的社会危害性以及现行刑法体系等各方面因素,我们应该具体区分行为类别,对侵害一般数据的行为实行有重点的刑法规制。具体而言,应将非法获取、传输一般数据行为以及非法分析数据行为纳入刑法规制范围。
(一)增设妨害数据流通罪
刑法应将非法获取、传输一般数据行为纳入规制范围。我国已初步形成有关数据流通的社会秩序,对非法获取、传输一般数据行为进行刑法规制契合我国大数据发展战略的基本方向。大数据时代,数据的价值愈发凸显,数据的流通成为数字经济发展的重要环节。各地政府纷纷建立数据交易中心或数据交易所,以实现对一般数据的充分利用。按此现状和发展趋势,不难预见大量数据的流通即将成为常态。例如,《上海市数据条例》(2022年1月1日起施行)第56条规定:“市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。”《贵州省大数据战略行动2022年工作要点》也提到,应“优化提升贵阳大数据交易所,完善数据流通交易服务中心组织架构,搭建数据流通交易平台”。在此背景下,数据流通管理秩序的稳定不仅成为数字经济发展的重要助力,而且也是数据交易市场平稳发展的必要保证。但是,非法获取、传输一般数据的行为则会直接扰乱数据交易市场的正常交易,从而必将严重妨害数据流通管理秩序。可见,将非法获取、传输一般数据行为纳入刑法规制范围具有一定的必要性。其二,数据获取、传输(包括出售、提供、公开等)阶段是数据处理流程中相对上游的环节,且实践中大部分对一般数据的侵害行为通常发生于数据的收集和传输阶段。因此,刑法对非法获取、传输一般数据行为进行规制,则可以从源头上对侵害一般数据行为进行有效遏制,从而起到一定的预防犯罪的功效。
需要注意的是,并非所有非法获取、传输一般数据行为均应当受到刑法的规制。一旦刑法过多地干预数据的获取、传输过程,可能会阻碍数字产业的创新与发展。笔者认为,当数据权属认定存在争议、权利人授权态度不明确(或授权状态频繁变动)时,非法获取、传输一般数据行为就不应纳入刑法规制范围。这是因为时下我国存在对一般数据权属认定不明确的问题。一般数据应归属国家、集体、数据来源主体、数据收集主体、数据加工主体抑或数据使用主体,既有行政法律并未对此作出明确的回应。时下,甚至存在部分数据来源主体不能使用其自身提供数据的社会现象,如各大互联网平台获取的消费者数据却不能被消费者享有。可见,当多方主体都依法享有对数据的部分权利时,数据的归属将难以认定,这也将直接影响到对非法获取、传输一般数据行为的刑法认定。另外,对非法获取、传输一般数据行为的刑法规制还需要具备权利人授权明确的前提条件。根据《数据安全法》《个人信息保护法》等有关法律规定以及学界多数学者观点,数据获取、流通行为是否合法的关键在于判断是否存在权利人的授权同意行为。而由此引发的问题是,所谓权利人的同意是一种对权利人主观心态的推断,权利人对数据收集和使用的目的、方式、范围等可以随时进行更改。如果将有关权利人同意的认定完全与权利人可以实时改变授权的态度进行绑定,则会因权利人授权态度的不明确,而实际给数据收集者、交易者造成承担法律责任的巨大风险。如此看来,非法获取、流通一般数据行为的刑法认定完全是以权利人的不确定态度为依据,这就存在较大的不合理性。
无独有偶,早期美国判例中对数据获取行为是否被“授权”的判断也采取宽泛的入罪标准,即一旦存在数据权利人对获取数据行为不满的信号,有关获取数据行为便可能被认定为“未经授权”而可能受到刑事追究。后来考虑到司法实践中的有关问题,美国对数据犯罪中的“授权”判断进行了修正,将行为人违反数据网站的安全防御技术作为认定非法获取数据行为中“未经授权”的核心标准。但是,美国的这一修正规定显然并不符合我国刑事立法的现状和需要。因为我国刑法已然通过设立破坏计算机信息系统罪这一罪名,对破坏数据网站安全防御措施的行为进行了单独规制,而并未将其作为判断非法获取数据行为中“未经授权”的唯一标准。据此,当对非法获取、传输一般数据行为中权利人授权的认定不明确时,刑法没有必要对有关行为进行定罪处罚。由此可见,当数据权属认定存在争议、数据权利人授权态度不明确(或授权状态频繁变动)时,非法获取、传输一般数据的行为不应被刑法规制。根据上述观点,笔者建议,应在我国现行刑法条文中增设妨害数据流通罪,对非法获取、传输一般数据等妨害数据流通管理秩序且情节严重的行为进行规制。有关该罪的构成要件,应当进一步明确以下两点:
一方面,妨害数据流通罪的客观行为方式应表现为作为。由于以不作为方式拒不履行数据流通管理有关义务的行为(如数据权利人未采取安全有效的防护措施、未及时对相关数据泄露风险予以处理等)完全可能构成《刑法》第286条之一拒不履行网络安全管理义务罪。为了保证刑事立法的精准性,避免重复立法现象的出现,妨害数据流通罪仅须针对以作为方式主动妨害数据流通管理秩序的行为加以适用。
另一方面,妨害数据流通罪“情节严重”的认定,应以行为人实际违法所得以及行为所造成的经济损失等为核心判断标准。有观点认为,将数据规模作为判断数据犯罪构罪与否的定量标准,其证明难度更低,更符合刑事诉讼法“事实清楚,证据确实、充分”的证明标准。但是,以数据规模作为妨害数据流通罪“情节严重”的认定标准似有不妥。因为刑法将非法获取、传输一般数据行为纳入规制范围,主要是为了保障一般数据中蕴含的具有实质内容的信息不受非法侵害,从而得以顺利流通。数据的规模大小与信息的数量多少之间并不必然存在绝对关联。数据是以代码这种电子化形式呈现的,一组代码可以承载多条具有实质内容的信息,也可以不承载任何一条具有实质内容的信息。因此,我们无法通过非法获取、传输数据行为所侵害的数据规模大小来判断行为对具有实质内容信息的侵害数量。此时,数据规模便无法成为妨害数据流通行为“情节严重”的认定标准。就此而言,笔者认为,应考虑以其他指标来作为妨害数据流通行为情节严重的认定标准。例如,以实施非法获取、传输一般数据行为的行为人之实际违法所得或行为所造成的经济损失为判断是否达到“情节严重”的标准,这样可以相对更为准确体现非法获取、传输一般数据行为的社会危害性程度。
(二)增设非法分析数据罪
刑法应将非法分析数据行为纳入规制范围。所谓非法分析数据行为,是指以违法犯罪为目的,利用歧视性算法或其他非正当方式,对数据进行非法分析、处理的行为。数据的分析阶段是数据全流程中的重要环节。但是,数据的分析阶段并没有得到立法和司法的足够重视,许多人往往将该阶段归入数据的获取阶段或数据的使用阶段。事实上,非法分析数据行为不同于非法获取数据行为。非法获取数据行为是直接通过非法方式获取数据的行为,且现行刑法已对非法获取涉及个人信息、商业秘密、国家秘密等数据的行为进行了明确的规制。但是,非法分析数据行为中的数据既可以通过合法方式获取,也可以通过非法方式获取。如果说现行刑法将非法分析数据行为纳入非法获取数据行为中加以规制,那么,就显然将通过合法方式获取数据并进行非法分析的行为完全排除在规制范围之外。但是,非法分析数据行为的社会危害性主要是通过非法“分析”行为本身加以体现,获取数据手段的合法或非法似乎对其影响不大或者不能起到关键决定作用。特别是考虑到一般数据与涉国家秘密、商业秘密、个人信息等特殊数据的紧密联系性,将非法分析数据行为纳入我国刑法规制范围更有必要。
反之,如果不将非法分析数据行为纳入刑法规制范围,则行为人完全可以通过合法的方式先获取海量的一般数据,然后再利用算法对其进行非法分析,最终获得相关特殊数据。在此情况下,行为人可以利用现行刑法既不处罚非法获取一般数据行为也不处罚非法分析数据行为的规制漏洞,成功实现非法获取涉国家秘密、商业秘密、个人信息等特殊数据的目的。另外,非法分析数据行为不等于非法使用数据行为。非法使用数据行为是以数据为工具进行违法犯罪活动的行为,而非法分析数据行为则是以数据为对象进行非法分析的行为。从行为侵害的法益来看,以数据为工具的非法使用数据行为侵害的是与数据无关的其他传统法益;而以数据为对象的非法分析数据行为侵害的是与数据相关的国家数据管理秩序。因此,无法将非法分析数据行为纳入非法使用数据行为的范畴中。
由此可见,非法分析数据行为会对我国有关数据分析管理秩序造成严重破坏,在某种程度上,其行为的实质社会危害性并不亚于非法获取、使用特殊数据的行为,而现行刑法却并未将该行为纳入规制范围。据此,将非法分析数据行为纳入刑法规制的范围,可以在一定程度上填补刑法对特殊数据保护的立法疏漏。根据上述观点,笔者建议,在我国现行刑法中增设非法分析数据罪,对非法分析数据等妨害数据分析管理秩序且情节严重的行为进行规制。有关该罪的构成要件,应当进一步明确以下三点:
其一,非法分析数据行为中的数据既包括一般数据也包括特殊数据。就非法分析一般数据行为而言,行为人可以利用有关算法对一般数据进行非法分析,挖掘隐藏在一般数据中的涉个人信息、商业秘密、国家秘密等特殊数据,从而造成对数据分析管理秩序的严重破坏,此类非法分析行为应该具有入罪的必要性。而非法分析特殊数据行为则可能推导衍生出重要性更高的敏感个人信息、绝密商业秘密甚至绝密国家秘密,该行为具
有更强的法益侵害性,将该行为纳入刑法规制范围更不应有所争议。
其二,非法分析数据行为的行为人必须具有以违法犯罪活动为目的的主观心态。如果行为人并不具有违法犯罪目的而对数据进行非法分析的,相关行为无须刑法予以规制。例如,行为人未满足国家有关数据分析的资格,以科学研究或合法经营为目的,利用大数据算法实施对海量数据的分析行为,并将分析得出的有关个人信息(如手机号码或邮箱)应用于科学研究或正常经营活动。在此情形中,尽管行为人分析数据的行为仍然具有一定的非法性,但行为人主观上不具有违法犯罪的目的,且并未利用通过算法推导衍生的个人信息进行违法犯罪活动,即该行为不会对国家安全、人身、财产等法益产生危害可能性,其社会危害性较低,相关行为不应纳入刑法规制范围。事实上,我国数据分析管理秩序构建的一项重要目标便是希望更多数据权利人能享有更多的数据资源,通过对海量数据进行分析推导衍生更有价值的数据,最终促进数字经济的发展和数字技术的革新。因此,刑法不应对数据分析行为进行过度干预,不具有违法犯罪目的的非法分析数据行为不应入罪。
其三,非法分析数据罪“情节严重”的认定,应以算法内容的危害性以及通过算法推导衍生的特殊数据数量为核心判断标准。所谓非法分析数据罪“情节严重”的情形,是指通过算法对数据进行非法分析衍生大量的特殊数据,进而对国家安全、人身、财产等法益造成严重现实威胁的情形。相关行为对国家安全、人身、财产等法益的现实威胁程度是非法分析数据行为情节严重的主要认定依据。有关这一现实威胁严重程度的判断,笔者认为,可以结合非法分析数据行为的分析工具(即算法内容设计)本身的危害性以及非法分析数据行为的分析结果这两方面综合加以判断。一方面,非法分析数据行为所用于分析数据的算法内容设计危害性越大(例如,某些算法设计的唯一目标便是从海量数据中识别出涉国家秘密、商业秘密、个人信息等特殊数据),则该非法分析数据行为越容易对相关法益造成现实侵害或威胁。另一方面,非法分析数据行为所推导衍生的特殊数据数量越多,则该非法分析数据行为越容易对相关法益造成现实侵害或威胁。因此,将算法内容的危害性和通过算法推导衍生的特殊数据数量作为非法分析数据行为是否达到“情节严重”的认定标准是较为合理的。
来源:《中国刑事法杂志》2022年第5期
作者:刘宪权,华东政法大学刑事法学院教授