作者:尚权律所 时间:2022-12-23
摘要
数据法益是理解数据犯罪实质的核心基准,其不是单个法益,而是表达、实现与数据相关的新型利益的集合体,内部结构包括数据人格法益、数据财产法益、数据安全法益,外部形态分为个人数据法益、企业数据法益、公共数据法益。基于数据法益刑法保护三元模式,就侵犯个人数据犯罪而言,应将非法使用个人信息行为纳入侵犯公民个人信息罪的构成要件,而在合理范围内处理已公开的个人信息则不宜入罪;就侵犯企业数据犯罪而言,应将数据集合作为新型数据财产纳入刑法意义上公私财物的范畴,适用侵犯财产罪予以保护,而将数据产品纳入知识产权客体的范畴,并增设侵犯数据专有权罪;就侵犯公共数据犯罪而言,应将单纯非法删除、修改、增加数据的行为从《刑法》第286条中分离出来,单独设置破坏公共数据罪,在制定司法解释时应引入公共数据安全分级保护规则,配置层次化、差异化的罪量评价标准。根据在先权利限制原则和法益保护位阶法则,当某一行为同时侵犯数据私法益与数据公法益时,应优先适用保护数据人格法益或数据财产法益的罪名,而保护数据安全法益的罪名起兜底作用;当某一行为同时侵犯数据人格法益与数据财产法益时,应优先适用保护数据人格法益的罪名。
关键词:数据犯罪 数据法益 侵犯公民个人信息罪 侵犯知识产权罪 破坏计算机信息系统罪
数据对于当今社会的重要性不言而喻。“今天每一个人,在满足了以食物为中心的温饱生存问题后,他的神经、意识和触角,就在搜索和创造数据。”“数据爆炸”和大规模数据处理活动奠定了数字社会生成与发展的基础。大数据、物联网、云计算、人工智能等新兴技术将数据的规模处理与价值属性紧密联结在一起,使数据的流转利用释放出巨大能量。“计算机数据是无形的:这些新的无形物代表着当今数字社会某些最重要的利益(goods)和价值观,因此,也出现了一些专门针对这类无形利益的新型犯罪”,引发各种新的法益侵害问题,日益严峻的数据犯罪态势给数据法律秩序和数字社会治理带来重大挑战。刑法如何切实保护与数据相关的新兴法益、如何合理划定刑法介入数字社会的边界等一系列数据刑事治理问题,成为数字时代推进中国式刑事治理现代化所必须研究的核心议题。
一、当前我国数据犯罪刑事规制的困境及其成因
人类社会的一切活动都可以通过数字化的形式进行数据处理来表达,数据成为关键生产要素。与之相对应,承载复杂利益纠葛的数据自然也成为犯罪活动觊觎的对象。近年来,随着数字技术的革新与应用,为牟取非法利益,不断涌现流量劫持、撞库打码、网络爬虫、外挂干扰等新型数据犯罪,呈现出犯罪手段智能化、行为方式多样化、行为对象精准化、危害结果多元化等不同于计算机时代数据犯罪的代际特征,由此带来的数据刑事风险时时向传统法律制度提出新的挑战。由于我国数据犯罪刑事立法严重滞后、数据犯罪相关罪名的司法适用陷入误区,使得数据犯罪刑事规制的现实困境日益凸显,数据刑事治理效果不佳、能力孱弱。
(一)立法滞后:构成要件类型设置保守
根据数据来源或利益属性的不同,可以将数据划分为个人数据、企业数据、公共数据,进而可以将数据犯罪分为侵犯个人数据犯罪、侵犯企业数据犯罪、侵犯公共数据犯罪。刑法应为规制各类数据犯罪、保护与数据相关的新兴法益提供充分的制裁性规范供给,但历次刑法修正均没有跳脱出计算机时代陈旧的规制思路和立法模式,在回应数字时代数据刑事风险方面缺乏预见性、前瞻性和系统性,存在明显的代际落差与类型遗漏。我国近年来虽然逐渐强调对数据的法律保护,但是在相关数据犯罪构成要件类型的设置上实际仍然相当保守,目前尚未建立完善的数据犯罪刑法规范体系,可谓立法上“先天不足”。
首先,就侵犯个人数据犯罪而言,非法使用个人信息行为未被纳入侵犯公民个人信息罪的构成要件行为类型。不同于《民法典》《网络安全法》《个人信息保护法》中设定的个人信息民事侵权行为或行政违法行为包括非法收集、使用、买卖、提供、公开等方式,《刑法》第253条之一仅规制非法获取、出售、提供个人信息行为,所关注的是自然人对其个人信息流转的自主可控性,对非法使用个人信息的现象则缺乏必要的关注,该立法模式是以防范非法转移个人信息为入罪逻辑。非法获取、出售、提供个人信息的最终目的是使用个人信息实施违法犯罪以谋取不正当利益。最高人民检察院发布的数据显示,2021年有近四分之一的网络诈骗是利用个人信息进行“精准出手”,有针对性实施犯罪,个人信息已成为网络犯罪中的关键要素。相较于转移个人信息行为而言,非法使用个人信息行为所造成的法益侵害具有直接性和精准性,其将前端的非法转移的不法性现实化,危害更为严重。从以需求端为源头治理数据犯罪来看,非法使用个人信息行为入罪化具有迫切的必要性。
其次,就侵犯企业数据犯罪而言,刑法上尚未承认数据财产的概念,企业数据被排除在财产犯罪或经济犯罪的行为对象之外,导致企业数据财产权益刑法保护阙如。数字经济时代,数据成为现代社会重要的商业资源,能产生很大的经济利益,将数据作为一种重要财产或资源看待有一定的合理性。根据对数据类型的划分,这里可以作为财产权客体的“数据财产”指的是企业数据而非个人数据或公共数据,企业数据的财产属性主要体现在企业能够基于对数据的控制以及通过数据的交易、利用获得一定的经济收益乃至竞争优势,商品化或财产化是企业数据的重要特征。虽然我国已先后在司法实践层面和《深圳经济特区数据条例》《上海市数据条例》等地方性法规中确认数据处理者(平台企业)对于其投入大量人力、物力、财力积累聚集而成的“数据资源整体”以及深度开发与系统整合形成的“数据产品”享有竞争性财产权益,但刑法上一直未赋予企业数据作为新型财产的法律地位,其被排除在侵犯财产罪或破坏社会主义市场经济秩序罪的行为对象之外。因此,对于利用网络爬虫技术非法获取企业数据的行为,司法实践只能回避犯罪行为所抓取的数据类型、数量、价值等,从危害计算机信息系统运行秩序和数据安全的角度,适用非法获取计算机信息系统数据罪进行兜底性定罪处罚。该规制思路是基于企业数据的物理属性,难以体现对企业数据财产价值的保护,而这恰恰是企业数据最核心的价值以及区别于其他类型数据的独特社会属性所在。
最后,就侵犯公共数据犯罪而言,刑事立法未引入数据分级规则,欠缺对公共数据本身重要程度和受损影响程度的区别把握,导致法定刑配置缺乏层次性、针对性,罪量评价均等化、同质化。不同领域的公共数据所承载的秩序利益和安全价值的重要性有所差异,一旦遭到篡改、破坏、泄露、非法获取、非法利用,对国家安全、公共利益造成的危害程度也有高低之分,有必要对数据安全风险进行分级管控。《数据安全法》作为数据犯罪的前置法,首次在国家立法层面确立数据分类分级保护制度,《网络数据安全管理条例(征求意见稿)》根据数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,在分类的基础上进一步将数据分为一般数据、重要数据、核心数据三个等级,要求针对不同安全级别的数据采取不同的保护措施。目前,刑法中涉及保护公共数据安全的罪名如非法获取计算机信息系统数据罪、破坏计算机信息系统罪的立法思路相对滞后,在构成要件设计上均未引入公共数据安全分级保护机制,无论是非法获取或破坏安全等级较高的公共数据还是安全等级较低的公共数据都适用相同的法定刑和入罪标准,导致罪刑失衡的情况时有发生。
(二)司法误区:构成要件解释思路陈旧
基于数据类型的多样性,数据犯罪涉及刑法中多个章节的罪名,所侵犯的法益较为复杂,而司法实务往往因循守旧,司法人员在僵化思维和司法惯性的影响下,回避对数据法律属性的界定,解释构成要件时欠缺对实质合理性的探究。
其一,将已公开的个人信息纳入侵犯公民个人信息罪的行为对象,对未经信息主体同意、擅自向他人出售或提供已公开的个人信息行为一律入罪规制。在大数据环境下,“风险与个人信息的关系可能并非一一对应的关系,某一次个人信息收集、处理与披露可能不会立即带来风险,但这些个人信息一旦被汇聚处理,就会产生风险的‘聚合效应’(Aggregation Effect)”。汇集形成的个人信息集合一旦被犯罪分子所掌握,将严重威胁人身安全、财产安全及隐私安全等公民社会交往利益。从积极预防滥用个人信息风险的立场出发,司法实务将知情同意与否作为判断是否构成侵犯公民个人信息罪的关键标准,即便是向他人提供合法收集的已公开的个人信息也应征得信息主体的同意。由此,司法实务普遍倾向于以未获得信息主体“二次授权”同意为由,对擅自向他人出售或提供已公开的个人信息行为予以入罪,而忽视评价个人信息处理行为是否具有合理性、是否造成实质的法益侵害,存在过度犯罪化之虞。
其二,将财产犯罪中针对物质载体的“占有”“占有转移”等构成要件要素适用于非物质性的数据。财产犯罪中的“占有”“占有转移”与物质载体联系密切。就行为对象是有体物的取得型财产犯罪而言,行为人非法取得财物时,被害人同时丧失财物,二者之间存在明确的对应关系。但是,对于以电磁记录为载体的数据,其所具有的可复制性特征使得这种对应关系不复存在,行为人建立自己占有时,被害人并未丧失占有。“行为人毋需破坏他人对物的持有支配关系,而能对于他人仍在持有支配中的电磁记录建立新的占有支配关系,显然不符合刑法上的窃取概念。”因此,以“占有转移”为核心的传统盗窃罪构成要件要素,难以适用于非物质性的数据。网络虚拟财产以数据为载体,是数据财产的一种特殊类型。我国司法实践中曾有判例将窃取网络虚拟财产的行为认定为盗窃。但2012年最高人民法院法律政策研究室在答复“周某盗窃网络游戏币案”定罪问题时,指出不宜将网络虚拟财产解释为“公私财物”,选择将其作为普通数据加以保护,认为目前宜以非法获取计算机信息系统数据罪定罪处罚。该答复意见作为准官方的司法指导文件成为各地司法机关在审理侵犯网络虚拟财产案件时遵循的一般准则。
其三,将“造成计算机信息系统不能正常运行”或“影响计算机信息系统正常运行”视为破坏数据犯罪不成文的构成要件要素。数据安全刑法附属保护立法模式下,《刑法》第286条第2款将非法删除、修改、增加数据的行为纳入破坏计算机信息系统罪的构成要件,即把破坏数据行为与破坏计算机信息系统行为裹挟在一起,使得数据安全为概括性的计算机信息系统安全所遮蔽,对破坏数据犯罪构成要件的解释往往也受制于计算机信息系统安全。因此,有学者认为破坏数据行为必须与计算机信息系统的功能具有关联性,只有在导致计算机信息系统不能正常运行的情形,或者至少达到影响到计算机信息系统运行安全的程度,才能认定成立破坏计算机信息系统罪。司法实务也普遍将妨害计算机信息系统正常运行作为破坏数据犯罪的入罪要件,反之则予以出罪。
(三)刑事规制困境之成因:法益认识偏差
在我国数据犯罪刑事立法与司法适用均陷入困境的背景下,刑法必须根据数据犯罪的新变化、新特征作出针对性、前瞻性回应,从而有效治理层出不穷、迅速蔓延的新型数据犯罪。为保证刑法在日新月异的数字时代的适应性,对数据犯罪的研究应当秉承法教义学概念化、抽象化、类型化、体系化的研究范式,改造或变革传统刑法理论,探究数据犯罪的本质。“犯罪应该限定于对法益的加害行为,即对法益予以现实的侵害的行为,或产生了法益侵害危险的行为,这样的思考方法,已经成为如今学说中通说性质的共识。”无论是数据犯罪的构成要件类型设置保守,还是构成要件解释思路陈旧,归根结底在于立法者或司法者对不同类型数据犯罪所侵害的法益的内容与性质把握不准确、认识不全面。一方面,立法者未及时将数字社会产生的与数据相关的新型生活利益纳入刑法的保护范围,造成我国数据犯罪刑事立法明显滞后,规范供给严重不足。另一方面,面对新型数据犯罪行为,司法者往往运用传统法益(如计算机信息系统安全等)来解释相关罪名的构成要件,导致出现诸如行为定性模糊、入罪标准混乱、处罚范围失当、个别罪名口袋化、法益保护不周延等问题。
刑法的任务在于保护法益,刑法中犯罪的设立与认定都必须遵守法益保护原则。法益概念为刑法的保护对象提供经验的、事实的基础,承担着判定立法是否合适的功能,也担负着判断犯罪是否成立的作用。具体而言,“法益概念既是刑法建立刑罚正当化的前提条件,也是特定行为入罪化的实质标准:法益概念正是犯罪行为的实质不法内涵所在,也是行为之所以被定义为犯罪且需要受到处罚的实质理由”。总之,法益是确定刑法处罚范围的价值判断标准,既是刑事立法层面判断是否将某种社会生活利益纳入刑法保护范围的决定性依据,也是刑事司法层面确定某一行为是否侵害了刑法所保护的法益、是否达到了应受刑罚处罚的程度的重要标准。如果没有确定某一类型数据犯罪所侵害的法益是什么,就无法在法益的指导下设置和解释构成要件。因此,探索破解当前数据犯罪刑事规制困境的根本出路,在于遵循犯罪的本质是法益侵害这一现代刑事法治的基本逻辑,引入数据法益概念作为理解数据犯罪实质、构建数据刑法保护体系的核心基准,指导我国数据犯罪的立法规定更新与司法准确适用,以提升数据刑事治理能力。
二、数据法益类型化分析:内部结构与外部形态
刑法中所出现的各种犯罪类型与行为样态,其背后均有相对应的某一特定法益,没有一种罪刑规范是不需要保护任何法益的,法益概念已经成为刑法教义学不可或缺的要素之一。解决数据刑事治理问题,首先需要厘清刑法意义上的数据法益概念,进而基于类型化思维从纷繁复杂的数据犯罪事实中准确识别法益的内容与属性,明晰数据法益的多重保护需求。如果数据法益的内涵和外延界定不清,将导致数据犯罪的刑事规制失去“准星”。
(一)数据法益的生成逻辑与概念诠释
法益的内容具有“前实定”的性质,利益本身在实定法对其进行保护之前就已经存在,刑法对这种利益的确认并加以保护,就使之成为刑法法益。某种生活利益要成为刑法法益必须通过“个人的承认获得个人的要保护性”“社会的承认获得社会的要保护性”“法的承认获得法的要保护性”等三重承认。与数据相关的利益正越来越普遍地获得个人承认、社会认同与法律确认,如《个人信息保护法》将“保护个人信息权益”作为首要立法目的,《数据安全法》明确规定“国家保护个人、组织与数据有关的权益”,最高人民法院、国家发展改革委员会共同发布的《关于为新时代加快完善社会主义市场经济体制提供司法服务和保障的意见》要求“加强对数据等新型权益的保护”。由此,数据法益可以成为刑法法益的新内容,并被纳入独立的刑法保护客体。
刑法所保护的法益并非一成不变。“生活的需要产生了法律保护,而且由于生活利益的不断变化,法益的数量和种类也随之发生变化。”例如,财产犯罪所保护的财产法益内容经历了从有体物产权扩展到能量型无体物产权(电、热、气),再到财产性利益的嬗变过程。从农业社会到工业社会、信息社会,再到如今正步入数字时代,人们的生活利益越来越多,法益的种类和内容也不断拓展丰富,呈现从传统法益向新兴法益进阶的不可逆趋势。所谓新兴法益是尚未被立法明确规定,但又不违反禁止性原则,能够被一般条款所涵摄、覆盖的利益形态,主要分为两种类型:一是有些利益以前没有被纳入刑法保护甚至没有被认为是一种利益,现在需要由刑法加以保护;二是有些已经受到刑法保护的传统法益,但在新的时代背景下衍生新的内容,外延发生了变化。“一种利益是不是新兴法益是根据社会关系、社会生活事实判断的。”不同于传统社会,数字社会中产生新的价值形式需要法律的保护,特别是与数据相关的新利益。数据法益正是数字经济蓬勃发展、数字社会治理转型、数字人权理论诞生背景下的产物,应“以具有经验性把握之可能的实体(经验的实在性)、对人的有用性(与人有关的有用性)为理由”将其纳入刑法法益的范畴,作为立法者和司法者在制定和解释各种法律条文时都必须遵循的评价准则。
通过对数据价值产生过程和应用场景展开细致观察,可以发现:在生产端,数据是用户和平台持续合作、共同投入和维系的结果;在产出端,数据是包含了人格利益、财产利益和公共利益的开放权益集合。因此,品格独立、内涵丰富、主体多元的数据法益不是单个法益,而是表达、实现与数据相关的新型利益的集合体,即“法益群”或“法益束”,表现为包含内部多重结构与外部多样形态的复杂系统。“当人们借助抽象—普遍的概念及其逻辑体系都不足以清晰明白地把握某生活现象或者某种意义脉络时,首先想到的是求助于‘类型(Typen)’的思维方式。”类型思维最为重要的功能,在于它为“抽象理念的具体化”提供了某种可能途径。“相对于法学中的抽象概念而言,类型代表了一种更为具体可感的形象,从而为更加精细化、具体化地处理法律素材增添了思维工具。”因此,我们不能简单地说数据是财产权或者人格权的客体,而应在厘清数据法益概念的基础上,借助类型化的思维方法对数据法益的内部结构与外部形态进行类型化分析,明晰数据上承载的不同利益形态以确定数据法益类型,而非相当然地创设新的法益类型。
(二)数据法益内部结构的类型化区分
相对于利益的自然状态,法益是法律对利益状态的重塑,这种重塑往往由具有立法权的国家来完成,在重塑的过程中,国家根据一定的价值位阶标准,对利益进行层次性的安排。法益在结构上最显著的特征在于法益是分层次的差序构造,体现为法益内容的差异:权利(人身权利和财产权利)、安全(国家安全和公共安全)和秩序(经济秩序和社会秩序)。这三种法益在刑法保护上不是平行关系,而是有先后次序的,即一种法益较他种法益的位阶价值,由此可以得出法益位阶性命题。所谓法益保护位阶是指权利、安全和秩序这三种法益形成一种价值梯度关系。其中,权利是基础,处于优先保护的地位;秩序和安全是权利行使的社会环境,对于权利实现具有保障性的作用。以“法益束”理论作为数据法益的分析框架,数据法益是与数据相关的多项利益的集合,具有复合性的特征;解析数据法益的内部结构需要遵循法益位阶性原理,按照一定的价值位阶顺序,对数据法益所蕴含的内容(利益)进行价值排序,并依据其价值次序形成从上到下的刑法保护阶梯。基于法益的位阶性,应在对法益的类型进行区分并权衡其位阶的基础上,分别设定不同的刑法保护力度。
在区分数据本体体现电磁记录的虚拟性与数据内容表征生活利益的真实性的基础上,可以初步将数据法益分为两种样态:一是虚拟数据法益(数据的保密性、完整性、可用性);二是真实数据法益(个人身份性与财产性权益)。虽然这样具有一定合理性,但是数据安全并不仅仅存在于虚拟空间,而是现实社会中国家安全和公共秩序的重要组成部分。从法益内容来看,数据法益的内部结构包含数据权益(数据私法益)与数据安全(数据公法益)两大模块。数据权益是指数据之上承载的私人权利与合法利益,兼具人格属性与财产属性,数据人格法益和数据财产法益共同构成数据私法益的核心。数据安全对内表现为数据安全管理秩序,即保障数据自身的保密性、完整性和可用性以及数据处理活动的正当性和可控性,对外表现为关乎数据主权的国家数据安全,即有效防范数据被其他国家操纵、监控、窃取、恶意利用或非法出境,防控因数据跨境流动产生的影响国家安全的政治风险和社会威胁。就数据权益与数据安全的关系而言,两者相辅相成,保障数据安全是实现数据权益的必要前提,实现数据权益是保障数据安全的根本目的。
在对不同类型法益的先后位序进行安排的时候,不可避免要作出一些价值判断。从法益属性来看,数据人格法益和数据财产法益大体上属于个人法益;数据安全法益则属于超个人法益,其中数据安全管理秩序属于社会法益,而国家数据安全属于国家法益。可见,数据法益包含个人法益、社会法益和国家法益三个层次。个人法益与超个人法益归根结底都是人的法益,其功能都是供个人在社会中自我实现,只是具体的作用方式有所不同。“个人法益直接归属于个人、直接服务于个人,超个人法益则是间接地服务个人,超个人法益只于它们有助于个人自我实现(人格自由发展)的范围内才有正当性。”因此,数据安全法益处于兜底性保护的地位,其只有经过“法益还原”方式的检验、在有助于保护人格权益或财产权益的情况下才具有刑法保护的正当性。换言之,数据权益相较于数据安全处于优先保护的地位,而在数据权益内部,“与其他法益,尤其是物质性的利益相比,人的生命和人性尊严处于更高的位阶”,数据人格法益相较于数据财产法益具有优位保护价值。因此,根据法益位阶性原理,数据法益的内部结构按照价值位阶从高到低依次分为数据人格法益、数据财产法益、数据安全法益。
(三)数据法益外部形态的类型化界分
“刑法法益作为一个具体事物,其内部结构既有内在逻辑性,也存在与外部事物的紧密联系……因此对其进行分析,应既考虑到内部结构的理论逻辑性,也要考虑对外部行为进行指导的需要。”数据法益外部形态的类型化意味着数据犯罪行为的类型化,旨在明晰不同类型数据犯罪所侵害的数据法益的具体形态,有针对性地构建数据犯罪刑事规制模式。有学者根据网络数据的重要性程度,把数据法益分为普通数据法益和重要数据法益,提出数据犯罪的制裁思路应以信息论为基础建立“基本行为特征类型化模式+动态链条模式”的纵横双向模式,构建以制裁普通数据犯罪和重要数据犯罪为核心的双轨并行式罪名体系,增设非法获取、持有网络数据罪,非法提供网络数据罪,非法删除、修改、增加网络数据罪三项罪名以覆盖数据安全的全生命周期,建立数据安全刑法分级保护机制,将侵害重要数据的行为作为升格法定刑从重处罚的情形。另有学者根据网络数据是否具有可识别性,将其分为个人数据与一般数据,提出我国数据刑法保护的规范体系与理论模式应借鉴德国通过附属刑法和核心刑法所建立的数据法益刑法保护二元模式,按照个人数据犯罪和一般数据犯罪的二元路径予以建构,法益定位分别是作为个人法益的个人信息权和数据主体对一般数据的形式支配权限以及对一般数据的私密性、完整性和可用性利益。前述两种数据法益刑法保护模式对数据类型及其法益内涵的认识尚不全面,特别是忽略了数字经济时代网络数据的财产价值。
“数据相关的利益主体分为个人、企业、其他组织与国家,不同的利益主体对数据权益的享有范畴与属性又存在差异。”数据法益外部形态的类型化应是在同一个平面内按照归属主体及其享有利益属性的不同对数据法益进行分类,并与具体的数据犯罪行为对接起来。那么,数据法益的外部形态可以分为个人数据法益、企业数据法益、公共数据法益三种类型。“从维护各方主体的利益以及私人利益、社会利益和国家利益等相互协调的视角出发,对于不同类型的数据,分别赋予不同的主体以不同的权利”:个人数据法益通常体现为人格属性,企业数据法益侧重于财产属性,公共数据法益尤为强调安全属性,分别对应侵犯个人数据犯罪、侵犯企业数据犯罪、侵犯公共数据犯罪所侵害的法益。进而,针对三类数据犯罪行为,能够以数据法益类型化为基准,构建完善的数据犯罪刑事规制体系。
三、数据法益类型化保护的体系建构与实践展开
类型思维较之概念思维是一种复合的思维形态,它克服了概念的抽象性、封闭性,以事物本质作为推理的实质根据,通过分类和排序能够解决某种较为复杂事项的判断。“不同利益相关者往往基于他们的角色/贡献而对数据行使不同的权利。”与此相对应,不同形态数据法益的保护需求亦有所差别,应根据法益的内容与属性采取类型化保护思路:在对数据法益的内部结构与外部形态进行类型化分析的基础上,厘清数据人格法益、数据财产法益、数据安全法益的实质内涵,并协调三者之间的竞合关系,建构具有针对性、有效性的数据法益类型化保护体系,即个人数据法益的人格化保护模式、企业数据法益的财产化保护模式、公共数据法益的秩序化保护模式。
(一)数据法益类型化保护的三元模式
其一,个人数据表征的是人格尊严和人格自由。“信息主体对个人信息流转范围和流转方式的掌握,和个人人格的发展密切联系,这也是在现实社会中保护个人信息权益的价值基础。”根据《民法典》第990条的规定,自然人所享有的个人信息权益应理解为一种具体的民事权益,即与隐私权、名誉权等相并列的一种精神性人格权益。《个人信息保护法》第四章规定的“个人在个人信息处理活动中的权利”是个人信息权益的具体化。不宜赋予自然人对其个人信息享有初始的数据财产权,“人格权指向的利益不限于人格利益,财产利益总是内含其中,且随着社会发展和利用技术的改变而不断变化”。自然人对其个人信息享有的财产利益包含在个人信息自决权中,通过人格要素商品化的方式来实现较为合适,如姓名、肖像的商业化利用。相关人格要素之上衍生的财产利益应理解为某些人格权的权能特别是利用权能发生了扩张,而不是生成了其他独立的权利。因此,刑法上对个人数据法益宜采取“人格化保护模式”。
其二,不同于个人数据指向的是人格利益,企业数据承载的主要是经济利益。数据具有价值密度低的特征,单个数据的价值几乎可以忽略不计,只有相互关联的海量数据汇集在一起形成数据资源,才能够为大数据分析提供所必要的全样本,从中抽象出社会活动的普遍特征、发现数据背后隐藏的客观规律,由此才具有了普遍意义上的经济价值。例如,购物网站上某个用户对某一产品的评价,对于商品营销策略改进,或者用户画像基本没有用处;只有对大量的同类用户关于同类产品的评价等行为数据进行分析,才能获得有商业价值的结论。可见,数据的价值不在于支配,而在于利用,数据最重要的利用价值体现为预测未来的功能。从数据的整个生命周期来看,企业数据的价值产生于汇集(混合)和加工(添附)两个环节,可以分为两种形态:一是合法收集大量原始数据形成的数据集合;二是加工处理原始数据生成的以衍生数据为主要内容的数据产品。该数据处理过程揭示了企业数据的价值是被人类劳动生产出来的。“数据要素市场主体最重要的贡献正在于,其投入的实质性劳动,将分散的单个数据汇集成为一个体量巨大的数据集合,使数据脱离了原始的自然状态,从而实现了从分散到集合、从人格利益到财产价值、从小数据到大数据的转变。”根据洛克关于“财产权是对勤奋劳作的一个合理的报酬”的论断,“投入劳动使得客体价值增加,社会趋向于在相关客体上界定财产权,将利用客体的成本与收益内部化,激励权利人发挥权利客体的最大效用”。因此,法律对企业的付出和努力应当予以合理肯定,赋予企业对其合法处理数据形成的数据集合或数据产品享有相应的财产权。以财产化方式保障企业开发利用数据的预期利益,有利于释放数据红利,促进企业数据的生产投入、有序流通和有效利用,实现数据要素市场化高效配置,使数字经济得以置身于一种高效稳定的财产权结构性的驱动力和交易安全的保障之中。总之,随着大数据产业的发展,对作为新型财产利益的数据进行保护显得日益重要,刑法上对企业数据法益宜采取“财产化保护模式”。
其三,不同于个人数据和企业数据,公共数据是属于全社会共享的公共资源,带有鲜明的公共属性特征,承载的更多是与每一个人息息相关的国家安全、社会秩序和公共利益。随着数据日益成为数字经济时代最重要的生产要素,公共数据的开放共享和流动利用正在稳步推进,但同时也潜藏着不小的安全风险。数据安全并不仅仅在于技术本身,而且还在于因数据的开放、流通和应用而导致的各种风险和危机。公共数据一旦遭受泄露、篡改、毁损、滥用等不法侵害,影响范围更大、危害程度更深。对此,党的二十大报告要求强化数据安全保障体系建设;《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出,要建立健全国家公共数据资源体系,确保公共数据安全;《“十四五”数字经济发展规划》也强调推动基础公共数据安全有序开放。根据公共数据的特殊性质,对其不宜采取私法赋权保护路径,而应采取基于边界安全机制的管理化保护路径——建立健全全流程数据安全管理制度,维护公共数据安全管理秩序,以便兼顾公共数据的开放共享与安全保障。秉持数据安全管理思路,刑法上对公共数据法益宜采取“秩序化保护模式”。
(二)数据法益类型化保护的刑法因应
在数据法益刑法保护三元模式下,应厘清不同类型数据犯罪所侵害的法益的实质内容与性质,进而充分发挥数据法益的刑事政策(立法批判)机能和解释论机能,针对性地完善我国数据犯罪刑事立法、修正数据犯罪司法认定的误区,构建起严密的数据犯罪刑事规制体系,以完整实现法益保护目的。
1.侵犯个人数据犯罪的法益定位及其实践展开
侵犯个人数据犯罪侵害的法益是数据人格法益,即不具有绝对排他性支配的个人信息自决权。个人信息自决不仅为该罪的设立与修订提供正当化根据及衡量标准,而且决定着该罪构成要件的解释方向与处罚范围。个人信息自决以知情同意为核心,重在强调自然人对处理其个人信息的自主控制可能性。“肯认每一个人对于涉及自己资料提供、利用之决定过程,皆有积极参与及形成自我决定之可能,并且尚得以作为抗拒他人恣意干涉之消极自由权,唯有如此,作为主体性之个人,其人性尊严,才不致受贬损。”个人信息自决具体包括三个方面的内容:一是个人信息不被不正当收集、采集的权利;二是个人信息不被泄露扩散的权利;三是个人信息不被滥用的权利。因此,个人信息自决权的权能既包括转移自主,也包括使用自主。而且,随着个人使用价值的日益凸显,使用自主相较于转移自主更具核心法益地位。刑法保护个人信息自决权应从转移环节延伸至使用环节,在立法上将非法使用个人信息行为纳入侵犯公民个人信息罪的规制范畴。但是,个人信息自决并不意味着自然人对其个人信息的绝对排他性控制,“个人对其切身资料并无所谓绝对不受限制的支配”,因为即使是个人信息,也同样是社会事实的反映,而非纯粹地与个人相联。从权利属性来看,个人信息自决权不是一项全面的、绝对的支配权,不具有对抗不特定第三人的效力,必要时会受到合理限制。那么,自然人对于已公开的个人信息是否仍享有个人信息自决权?已公开的个人信息是否还值得保护?
自然人自行公开个人信息仅意味着其在一定程度上同意他人对其个人信息的处理,并不意味着信息主体彻底放弃对个人信息的控制,更不意味着信息处理者可以任意处理已公开的个人信息。一方面,在个人信息的归属主体和处理主体相互分离已经成为常态的背景下,个人信息形成区别于隐私的非独占排他、可公开分享的独立特性,特定范围内公开的个人信息虽然不具有私密属性但仍具有可识别性,无疑属于法律意义上个人信息的范畴,应为其提供适当的保护。另一方面,信息主体向特定群体或在一定范围内公开个人信息,系有限让渡个人信息自决权,并不等于完全抛弃个人信息权益,法律不能因此放弃对已公开的个人信息的保护,以避免已公开的个人信息被滥用,使个人免于遭受“被决定”之侵害。总之,刑法对于已公开的个人信息既不能绝对保护,如果在任何场景下的处理行为都必须严格征得信息主体的同意,有可能导致具体场景下信息主体与信息处理者之间的利益失衡,但也不能放弃保护,而应遵循法秩序统一性原理,引入《民法典》《个人信息保护法》等前置法所设计的“合理处理规则”来评价未经信息主体同意、擅自向他人出售或提供已公开的个人信息的行为。具体而言,当个人信息被合法公开后,只要是在合理范围内处理已公开的个人信息则无须获得信息主体的“二次授权”同意,那么,该场合也就不适用《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第3条第2款之规定;若处理活动超出合理范围,则仍应取得信息主体的“二次授权”同意,如果未征得同意,就存在入罪的可能性。“合理处理”本质上是一种谨慎的注意义务,在具体场景中应围绕处理目的、处理方式、处理结果三个层面,以同时“符合个人信息公开的目的”“没有改变个人信息被公开时的用途”“未侵害信息主体的重大利益”三个要件来形塑“合理处理”的认定标准,从而划定已公开的个人信息适用侵犯公民个人信息罪的司法边界。
2.侵犯企业数据犯罪的法益定位及其实践展开
侵犯企业数据犯罪侵害的法益是数据财产法益,即企业数据财产权,包括数据控制权、数据开发权、数据许可使用权、数据转让权等积极权能和排除他人干涉或侵害的消极权能。当企业数据所承载的财产利益法定化为一种权利时,“它同时获得了法律的强制力保护以及社会共同体的认可,如此才能给人以安全感与合理预期”。赋予数据处理者对企业数据享有独立的财产权,是对其劳动投入的回报,因其对生成的数据集合与数据产品投入的劳动量不同,两者的财产价值有所差别。经过滤筛选、深度挖掘、提炼整合等加工处理流程生成的数据产品相较于简单汇聚整理形成的数据集合具有更高的应用价值和财产价值,将散乱无序的原始数据转换成结构化、有序化、提纯化的衍生数据的过程就像把原油精炼成汽油一样,实现了从一般数据到可用数据的跨越,数据的内在价值得以提升。权利配置应与财产价值高低相契合,构建强度适中、差异化的企业数据法益刑法保护模式。
就财产价值较低的数据集合(以原始数据为主要内容)而言,“物不再是桎梏财产规则适用的必要前提,有形损害亦非判定财产侵害的唯一标准,价值的生成或减损渐渐成为人们界定财产的出发点”。数据集合兼具管理可能性、转移可能性、使用价值三个特征,应将其作为新型数据财产纳入数字经济时代刑法意义上“公私财物”的范畴,以盗窃罪、诈骗罪、故意毁坏财物罪等侵犯财产罪相关罪名为其提供刑法保护,即“新型财产保护模式”。在构成要件解释论重构方向上,应把盗窃罪的构成要件理解为未经他人同意,转移对于财物的控制,造成被害人财产损失;只要行为人控制了数据所承载的财产性利益即符合盗窃罪的构成要件行为。进而,本罪与诈骗罪的区分在于控制转移是否经过被害人同意,与故意毁坏财物罪的区别在于是否按照正常的用途使用。非法获取数据集合的行为,并非一方的数据“转移”到了另一方,转移控制的是财产性利益。
就财产价值较高的数据产品(以衍生数据为主要内容)而言,其属于人类智力劳动创造的新型数据财产。衍生数据的核心价值不在于作为其载体存在的电磁记录,亦不是计算机代码符号化的表达,而是其所反映出的信息。“调整对象的相似性、类似的制度目标以及相似的历史发展轨迹决定了知识产权制度可以作为衍生数据赋权保护的制度镜鉴”,应将其纳入数字经济时代知识产权客体的范畴,即“知识产权保护模式”。但是,衍生数据又与作品、专利、商标、商业秘密等现有知识产权客体的法律特征存在显著区别。“当新增财产客体难以以原有法律体系保护时,为适应生产力发展水平,适应技术进步和经济发展,法学家和立法者就会设立特殊权利加以保护。”因此,有必要在知识产权体系中增设以衍生数据为客体的数据专有权,与著作权、专利权、商标权、商业秘密权等并列。那么,在衍生数据刑法保护方面,因有新的法益需要刑法的保护,增加相关数据犯罪已不可避免,可以在《刑法》分则第三章第七节“侵犯知识产权罪”中增设侵犯数据专有权罪,规制以营利为目的、未经数据专有权利人许可擅自使用他人衍生数据的行为。
3.侵犯公共数据犯罪的法益定位及其实践展开
侵犯公共数据犯罪侵害的法益是具有超个人属性的数据安全法益,即公共数据安全管理秩序。《数据安全法》对数据安全概念作出明确界定,由有效保护、合法利用、保障持续安全状态的能力三个评价指标构成,既包括公共数据不被外部因素干扰的静态安全,还包括公共数据不被非法流转利用的动态安全,前者要求防范公共数据泄露或者窃取、篡改、毁损公共数据等不法行为,确保公共数据自身的保密性、完整性和可用性,即公共数据自身安全;后者要求防范引发公共数据大规模开放共享、流动聚合、挖掘应用所引发的安全风险,管控不当利用公共数据的行为,保证公共数据处理活动的可控性和正当性,即公共数据处理安全。公共数据安全与其说体现为技术层面,不如说体现在其与现实世界受保护法益的联系上,可以透过保密性、完整性、可用性、可控性、正当性等维度来阐释数据安全法益的实质内涵,即由状态保密、记录完整、无碍访问、风险可控、合规使用所构成的公共数据安全管理秩序,系数字社会公共秩序的重要组成部分。《网络数据安全管理条例(征求意见稿)》在前置法的意义上确认了公共数据安全管理秩序,要求公共管理和服务机构应当依照法律、行政法规的规定和国家标准的强制性要求,切实履行公共数据安全管理职责,将数据安全管理贯穿于公共数据采集、传输、存储、使用、共享、开放、销毁的全过程,建立公共数据全生命周期安全管理制度,制定并实施有针对性的公共数据安全管理措施,守住安全底线。
随着数据在技术层面对计算机信息系统的依附性弱化,删除、修改、增加公共数据并不必然影响计算机信息系统正常运行,破坏公共数据行为逐渐脱离计算机信息系统而指向数据本身,侵犯公共数据犯罪也就独立于危害计算机信息系统安全犯罪。因此,公共数据安全不宜被裹挟在计算机信息系统安全之中,而应作为刑法独立保护的法益。刑法上设立破坏计算机信息系统罪“旨在加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行”,而非专门规制单纯破坏数据的行为以保护数据安全。《德国刑法典》和我国台湾地区“刑法”均采取破坏数据犯罪与破坏计算机犯罪分立的立法模式。可以借鉴该立法经验,以数据安全法益的实质内涵为指导,对我国刑法上规制侵犯公共数据犯罪的相关罪名作出适当调整,将单纯非法删除、修改、增加数据的行为从《刑法》第286条中分离出来,独立成罪,设置专门的破坏公共数据罪,并将《刑法》第285条第2款规定的非法获取计算机信息系统数据罪修改为非法获取公共数据罪,同时增设非法提供公共数据罪和非法使用公共数据罪,四者共同构成侵犯公共数据犯罪的刑法制裁体系。
数据安全法益对于侵犯公共数据犯罪相关罪名中“情节严重”“后果严重”等构成要件的解释同样具有指导意义。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19号)第1条对非法获取计算机信息系统数据罪的“情节严重”判断标准进行了列举,主要包括身份认证信息组数、计算机台数、违法所得、经济损失等数量或数额标准;第4条对破坏计算机信息系统罪的“后果严重”判断标准进行了说明,主要包括计算机台数、违法所得、经济损失、用户数量、系统不能正常运行时长等标准。整体来看,这些罪量评价标准大多是围绕计算机信息系统安全法益来设计的,与数据安全法益的直接关联性较弱,未能体现侵犯公共数据犯罪实质的法益侵害性,难以对犯罪情节、危害后果的严重程度进行准确定量评价。“定量标准的实体要求是足以反映行为的社会危害性或者说法益侵害性和主观恶性。”公共数据的安全等级因数据本身的重要程度和遭受侵害后的危害程度不同而有所差别,一般数据、重要数据、核心数据承载的安全价值依次递增。数据分级有助于根据数据的不同安全级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平。刑法对于三种安全等级的公共数据采取不同的保护力度应当在罪量评价标准中予以体现。在制定司法解释时应引入公共数据安全分级保护规则,针对不同安全级别的公共数据适配层次化、差异化的罪量评价标准。对于公共数据目录里的重要数据和核心数据设计较低的入罪门槛,对于公共数据目录里的一般数据则设计较高的入罪门槛,三种安全等级的公共数据的入罪标准之间须形成一定的梯度关系。公共数据安全刑法分级保护通过“重其所重,轻其所轻”的策略实现罪刑均衡。
(三)数据法益类型化保护的竞合处理
根据数据来源或利益属性来区分数据类型,使得个人数据、企业数据、公共数据之间可能存在交叉重合的情况。例如,企业合法收集原始数据形成的数据集合中可能包括具有可识别性的个人数据;国家机关因履行法定职责采集和管理的公共数据中可能包含个人数据或企业数据。那么,某一数据犯罪行为侵害的数据法益类型就可能出现竞合的情形。例如,被告人翁某某利用木马程序侵入淘宝网站数据库,非法获取淘宝用户的账号、密码、浏览记录、交易订单、收件地址等数据。该行为既侵犯了数据财产法益(淘宝公司的数据财产权),也侵犯了数据人格法益(淘宝用户的个人信息自决权)。又如,被告人张某未经许可侵入中国裁判文书网爬取大量含有当事人个人信息的裁判文书并整理后出售。该行为既侵犯了数据安全法益(司法数据的安全管理秩序),也侵犯数据人格法益(当事人的个人信息自决权)。司法实务中处理数据法益类型化保护引起的法益竞合问题时应把握在先权利限制原则和法益保护位阶法则两大准则,以协调个人信息自决权、企业数据财产权、公共数据安全管理秩序三者之间的关系。
数据的法律属性不因数据控制主体的变更而发生改变,自然人对于企业数据或公共数据中所包含的个人数据仍然享有个人信息权利。借鉴商标法上的在先权利限制原则,即诚实信用、合法经营的民事规范要求,不允许破坏既存的权利状态,如在先的著作权、姓名权、商号权、角色形象权等。企业对其合法收集个人数据形成的数据集合享有数据财产权,但受到在先的个人信息自决权的限制,在先权利人通常不享有直接的支配权,但享有消极的、防御性的权利。在新浪微博诉脉脉案中,北京知识产权法院提出的“三重授权原则”,即“用户授权+平台授权+用户授权”,就明显体现了个人信息自决权对企业数据财产权的在先限制。总之,在企业数据包含个人信息的情况下,用户的个人信息自决权与企业的数据财产权发生冲突时,个人信息自决权应当优先于企业数据财产权。因此,当某一数据犯罪行为同时侵犯数据人格法益与数据财产法益时,应当优先适用保护数据人格法益的罪名。
法益保护位阶是法律世界的客观现象,反映了不同类型法益在刑法价值评价上的差序关系。“‘优位法益优先于低位法益得以实现’的法益保护位阶法则决定着刑法中法益保护出现竞合或冲突之时的选择规则。”当某一行为侵害复数法益时,要分析不同类型法益之间的价值位阶关系,以法益保护位阶法则解决法益竞合问题,这有助于维护法体系内部的和谐统一。基于法益的位阶性,权利法益(私法法益)相较于秩序法益(公法法益)处于优先保护的地位,个人信息自决权和企业数据财产权优于公共数据安全管理秩序。因此,当某一数据犯罪行为同时侵犯数据私法益(数据权益)与数据公法益(数据安全)时,应当优先适用保护数据人格法益或数据财产法益的罪名,而保护数据安全法益的罪名起兜底作用。
四、结 语
类型化的思维方法是贯穿法教义学的逻辑主线,其以事物的根本特征为标准对研究对象的类属进行划分。以“法益束”理论作为数据法益的类型化分析框架,就内部结构而言,数据法益可以分为数据人格法益、数据财产法益、数据安全法益;就外部形态而言,数据法益可以分为个人数据法益、企业数据法益、公共数据法益。建立在不同类型数据法律属性差异基础之上的数据法益类型化保护思路,即个人数据法益的人格化保护、企业数据法益的财产化保护、公共数据法益的秩序化保护,为构建数据犯罪刑事规制体系提供了明确的方向指引和实质的评价基准。一方面,可以借助数据法益的刑事政策机能完善数据犯罪刑事立法,达成一种应然状态的法治。另一方面,任何制定良好的数据刑法规范还必须通过数据法益的构成要件解释机能指导司法适用,妥当处理各类数据犯罪行为,转化为一种实然的法治秩序和治理效能即善治状态,从而以良法善治推进数据刑事治理现代化。
来源:《中国刑事法杂志》2022年第6期
作者:刘双阳,中国政法大学刑事司法学院讲师、中国政法大学企业合规检察研究基地研究人员