尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨赵桐:财产性数据的规范属性与刑法保护方案

作者:尚权律所 时间:2023-06-28

摘要

 

财产性数据是指具有可被利用的经济价值且该价值能被市场客观化确定的数据,包括一般数据、大数据集合体、大数据产品、流量数据、数字货币、虚拟财产等。根据数据流通和集合的原理,一般数据和大数据集合体的价值来源于数据流通,无法确立财产权,而流量数据体现了企业的竞争利益,也无法被视为财物,故而这三类数据都不应被纳入财产犯罪中保护。数字货币和虚拟财产之上只能确立债权,可以被解释进诈骗罪构成要件范围,但仍有必要建立专门的计算机诈骗罪和数据变更罪予以保护。大数据产品的价值来源于知识产权,在与财产犯罪存在竞合的情况下,应当使用更为具体的侵犯商业秘密罪保护。除了财产犯罪之外,我国当前的计算机犯罪也无法完全覆盖对财产性数据的保护,因而应当转变刑法保护观念,从权利确认转为秩序维护,同时衔接《数据安全法》中的相关规定,规制非法窃取数据行为,落实交易秩序和安全保障义务。

 

关键词:财产性数据;财产犯罪;数字经济;数据安全

 

一、问题的提出

 

 随着数据技术与数字经济的发展,数据不仅成为现实财产的电子载体,也成为了重要的生产资料。实践中已经出现了广泛的数据交易,但是这类新型财产性数据的性质定位仍然模糊,是否应当将非法获取以上财产性数据的行为纳入财产犯罪的保护范畴,涉及到对数据性质和财产概念的梳理和界定。

 

 在理论研究和司法实践中,对非法获取财产性数据并从中获利的行为,大致存在三种处理思路:一则,认为财产性数据本质还是计算机数据,从而认定为相应的计算机犯罪;二则,认为财产性数据本质是财产,进而认定为相应的财产犯罪;三则,认为数据只是载体,而根据数据上所体现出来的权利,分别认定为相应的信息犯罪、知识产权犯罪等。但是,由于数据概念广泛、种类繁多,三种处理思路大多存在交叉或分歧。例如,在非法获取虚拟货币的案件中,出现了一审法院认定构成盗窃罪而二审法院改判为非法获取计算机信息系统数据罪的情况,其核心争议就在于虚拟货币的定性问题。而对于大数据产品与流量,许多民法学者认为应当肯认其财产地位,由此也陆续有刑法学者主张应当将非法获取大数据或流量劫持的行为认定为财产犯罪,但也有许多学者主张大数据产品或流量不属于财产,司法实践中也并不承认大数据属于财产犯罪的对象,而是将其认定为商业秘密,对于流量劫持的案件也基本认定为计算机犯罪。随着实践中的数据种类和行为方式不断更新换代,针对这一领域仍存在较大讨论空间。而在涉及虚拟财产的案件中,财产的认定边界以及获取行为的定性问题也还未得到解决。实践中仍然存在较大争议,如有的法院认为窃取电子账号并获利的行为属于盗窃罪,有的法院则认为属于非法获取计算机信息系统数据罪,理论中也仍在尝试如何限定虚拟财产的范围并提出合理标准。

 

 以上争议所体现出的问题本质在于:其一,目前我们对财产性数据的价值本质和定性定位仍没有达成共识,且上述四类财产性数据的价值来源并不相同,不加区分地认定势必带来分歧和争议;其二,数据技术的发展给传统财产概念带来了较大冲击,能否继续使用财产犯罪保护财产性数据成为需要进一步探讨的问题;其三,目前的计算机犯罪并不能准确全面地评价非法获取财产性数据的行为,倘若一味地将所有与数据相关的犯罪纳入计算机犯罪,将会导致计算机犯罪沦为所谓的“口袋罪”。

 

 推动数字经济平稳有序发展是二十大的重要议题,国务院印发的《“十四五”数字经济发展规划》中也提出,发展数字经济应健全完善数字经济治理体系,强化数字经济安全体系。因此,为了顺应数据时代、保护公民的数据安全,同时回应以上司法实践中存在的疑问和争议,有必要结合财产犯罪教义学,对于财产性数据的概念内涵、价值确认、权利本质进行系统讨论,探寻财产犯罪对财产性数据的保护边界,以及应然的保护模式和功能转向。

 

二、财产性数据的权利本质

 

 以数据流通与集合的规律过程来看,数据首先以信息创造者为单位独立存在,多数情况下以表达公民信息或商业信息为主,可以将此时的这类数据称为一般数据;其后,数据通过流通和特定的集合方式,或成为数字货币与虚拟财产,或称为大数据集合体或大数据产品,或成为具有经济价值且能够变现的流量,此时数据根据其被处理的方式不同而具有不同侧面的价值。

 

 由于财产性数据兼具可外化的财产价值与可流通的数据的双重属性,早期学界主要关注数据是否具有可客观化和可控制的价值,而后在尤其是数字货币和虚拟财产领域讨论重心转移到了数据财产的性质和权利归属,通过对数据性质的不同认定,决定对相应行为的规制方案。基于对各类财产性数据定性既有路径的研究,应当进一步探寻财产性数据与普通财产的本质区别,并考察该区别能否与财产概念本身相洽。

 

(一)一般数据与大数据集合体无法确立财产权

    

 大数据是指依托算力实现服务需求的海量数据,具体又可以划分为大数据集合体和大数据产品,前者是指海量数据信息的直接集合,后者是指权利人对海量数据通过特定方式的筛选、加工、处理而形成的,可供商业预测或市场分析的产品。其中,大数据集合体是一般数据的直接凝结和聚集,其权利本质与一般数据无异,都不具有确立财产权的可能。

 

 首先,一般数据的确权无益于其价值的发挥。数据要素的重要经济特征就是数据使用时的非竞争性,即更多人使用同一数据并不会造成或加剧数字资源的稀缺性并降低其他人使用该数据的价值,其他人同时使用该数据不仅不会带来快速上升的边际成本反而面临零边际成本。一般数据的价值并非源于孤立的符号,而是源于流动、集合与被使用。产权制度的意义原本在于,对市场上的商品进行合理界定与保护,进而实现商品在交易流转中的价值最大化和相关利益主体的激励,最终达成竞争性市场的资源最优配置结果。进一步而言,赋予数据产权的目的是促进资源利用和保证数据主体的数据租金,以及在产权明确的基础上市场交易的价格机制可以实现个人数据采集和流转应用中隐私负外部性的内部化。而从数据价值来源于其整合效应的层面来说,一般数据在市场中必定具有多个主体,倘若认为数据之上可以确定绝对权,那么每个数据主体之间会产生非常高的谈判交易成本,数据主体个人利益最大化决策会产生数据要素利用的“反公地悲剧”。

 

 其次,一般数据从客观上也不具有确权的意义。对于公民所持有的单条一般数据而言,数据固然具有价值,但由于过于碎片化和同质化而价值极低,确权只能将本就不大的碎片价值固化,反而提升了交易成本和利用成本,故而并不具有确权的意义。而即使是数字平台或企业通过收集大量一般数据而形成大数据集合,大数据集合的价值也来源于数据的规模效应,故而依赖于数据的数量和生产速度,在这种规模经济中,生产者不需要产权保护作为投入担保和激励,而有意义的是生产的安全、速度和有效性,因此也不具有确权的必要。此外,一般数据可以无损耗、低成本地无限复制,具有非排他性,无法确定权利边界,这也与物权理论相悖。

 

 因此,在尚且无法为一般数据确权的前提下,刑法不应将这类数据纳入财产犯罪的规制范围。

 

(二)数字货币与虚拟财产属于债权凭证

 

 数字货币最显著的特征就是去中心化,这也导致了其与国家发行的法定货币具有本质区别。所谓的去中心化是指货币发行与流通过程中,不存在银行、第三方支付平台等中介机构作为交易的记录者,这也就意味着数字货币的财产性并不来源于现实货币,也不能直接兑换为现实货币。因此,数字货币定性中最突出的难题就是这种非直接兑换性是否影响其成为财产。

 

 反对数字货币作为财产的最核心论据在于,数字货币的本质是计算机运算结果,没有国家信用背景和公信力支持,也没有真实货币支撑,不具有稳定的价值。数字货币的数据载体本质具有可操作性,导致了数字货币的价值不具有确定性。以The DAO大劫案为例,黑客利用The DAO系统的漏洞,盗取了360万的以太币(市场价值6000万美元),而以太坊官方则通过软分叉技术阻止黑客提现被盗的以太币,再通过硬分叉技术帮助用户找回以太币。可见,数字货币的价值可以通过技术手段恢复,同样地,对数据的操作也可以导致数字货币的价值消失。

 

 但是,目前比特币已经被界定为可以由个人合法持有和买卖的虚拟金融商品,也具有了被法律认可的财产性。虽然数字货币的价值和权属确实可以通过修改数据而被操作,但一方面,在修改者是私人入侵者的情况下,这种修改本身就是对数字货币的非法获取或毁坏,并不影响数字货币本身具有价值;另一方面,在修改者是发行数字货币的官方平台的情况下,这种修改也只是非常极端和罕见的,因为对数字货币的价值和权属进行操作将动摇用户对该产品的信任,不规范地修改数据最终会使该数字货币被市场淘汰。因此,无需因为极其个别的The DAO大劫案就否认数字货币具有相对稳定的市场价值。

 

 因此,数字货币的数据属性并未影响其具有相对稳定的财产价值,争议主要在于数字货币的价值本质为何。关于数字货币的定性问题,存在计算机数据说、虚拟财产说、证券产品说、货币说、真实财产说。其中,由于数字货币已经被确认为一种“虚拟商品”,不应将其简单地看作计算机数据,而同时央行也明确了数字货币不应被作为货币流通使用,因而比较有说服力的学说只剩下虚拟财产说和证券产品说。但实际上虚拟财产与证券产品并非互斥关系,证券是多种经济权益凭证的统称,体现在债权市场就是债券产品,而虚拟财产也被学界大多数学者认为代表着用户和互联网运营商之间的债权关系,本文认为,数字货币属于虚拟财产,二者的本质都是债权凭证。

 

 有学者提出,将去中心化的数字货币归类于虚拟财产恐怕会将数字货币的问题陷入虚拟财产的迷雾中,原因在于虚拟财产本身的概念与定性就具有极大的争议,纳入数字货币后更加无益于解决数字货币中出现的争议和问题。这也反映了数据犯罪研究领域最大的难题:原有的概念尚且模糊混杂,新问题与新概念又不断出现,导致研究呈现琐碎与各自为战的局面。实际上,是否将数字货币归类于虚拟财产并不取决于虚拟财产的研究现状,而是取决于数字货币是否具有单独研究与考察的必要。论者将数字货币区别于虚拟财产而认定为真实财产,实际上只是论证了数字货币具有更强的“价值性”“排他性”“可转移性”,即数字货币具有更强的财产性,进而认为数字货币是真实的财产。但无论如何,数字货币的价值仍然来源于数据运行机制,与传统财产的由劳动赋权原理并不相同,且在数字货币未被法律承认为真实货币之前,其交易过程中势必存在数字货币持有者与货币交易所之间的债权关系,因而数字货币与虚拟财产本质无异,只是表现程度不同。

 

 无论是虚拟物品还是虚拟货币,虚拟世界中无法被现实性地直接支配的数据都无法作为物权的对象。物权与债权的最大区分就在于,债权体现的是“请求”,表征的是债权人与债务人之间的权利联系;而物权体现的是“支配”,要求无需他人协助或配合即可按照自己意志支配财物。在虚拟财产流转的过程中,都存在从用户到运营商(或提供商)再到用户的关系,虚拟财产的价值无法脱离用户和运营商(或提供商)之间的双方合同,甚至多数情况下是由运营商(或提供商)予以兑换才从虚拟财产换算成现实货币,因而虚拟财产无法脱离载体而存在,用户也无法脱离对运营商(或提供商)的请求履行而直接支配虚拟财产,虚拟财产是用户用以请求运营商(或提供商)兑换现实货币或服务的债权凭证,虚拟财产在用户之间交易流通,实际上是债权凭证在用户之间移转,其最终需要由用户向运营商(或提供商)主张才能实现。因此,应当在债权框架下讨论虚拟财产,在考察非法获取虚拟财产的相关案件时,所考察的是行为人、运营商(或提供商)、用户的三方关系。

 

(三)流量体现竞争利益

 

 流量是指互联网平台中用以显示网站浏览量和用户数量等相关数据的指标,由于流量可以承载互联网平台公司的运营模式和企业商业信誉和商品信誉等价值,在互联网平台之间已经成为广泛交易的对象。

 

 流量的产生与变现过程大概可以分为四步:首先,互联网公司对平台或产品投入前期研发、推广,通过向用户提供商品或服务建立交易关系;其次,吸引用户产生点击量或浏览量,有用户就有相应的流量;再次,通过技术性经营手段提高流量质量,增强流量的转化效率;最后,由于在用户建立过程中,一段用户的加入是以另一端用户的数量和质量决定的,因而可以实现从流量到增大交易量的转化。由此,流量实际上是一系列包含独立IP数、Cookie统计模式、独立访客数、页面浏览量等各项参数的数据集合,是对互联网公司或网站的运营能力的综合评价,这类参数目前已经形成了市场化、客观化的计算标准,因而也具有了可交易性和稳定的市场价格,应当肯定其具有值得保护的财产价值。

 

 在流量变现的过程中,并非由流量直接对应财产价值,而是由流量主体通过流量数据来证成自身的可投资性,从而获得竞争市场的优势地位。因此,所谓的流量劫持实际上是侵犯了他人的竞争利益,流量本身之上并不能构建财产权。所谓的流量经济主要体现为,互联网产业参与主体通过提升网站用户数量与流量,赚取广告佣金或吸引更多用户。互联网的访问流量体现了用户的行为习惯和上网方式,具有极高的经济价值,且当前互联网市场上已经形成了一套稳定的根据访问量和下载量来计算费用的方式。

 

 根据盈利模式不同,可以将流量劫持行为区分为“引流型”“展示型”“替换型”三种,引流型是指直接通过技术手段使用户在浏览网页时跳转到特定网站,展示型是指以弹窗等形式强迫用户接收广告,替换型是指通过技术手段将用于推广的分发渠道的统计数据进行替换和混用,从而侵犯分发渠道的经济利益。其中,引流型和展示型劫持行为既影响了互联网用户的浏览与使用,又分流了原网站的访问量从而影响了其正常经营,而替换型劫持行为则影响了分发渠道的商业利益。一方面,用户没有遭受经济损失,这种行为属于对用户计算机信息系统的非法侵入或非法控制;另一方面,原网站的经济损失体现在表现为数据形式的商业价值被篡改,进而影响了在市场上的竞争利益。因而在保护数据价值的意义上,应当从反不正当竞争的角度规制此类流量劫持行为,无法直接将流量等同于财物。

 

(四)大数据产品价值来源于知识产权

 

 大数据产品是指通过采集整合一般数据,使用算法进行统计、分析,进而得出预测或结论的产品。如上所述,一般数据虽然可以反映出经济价值,但是与物理资源所反映出的价值不同,这种价值本质上是统计价值,其收益也并非稳定的、可见的收益,而只有经过在数字平台中流动、集合、计算后才有意义。而大数据集合则是一般数据的直接聚集,价值仍然在于数据的流通数量和速度,对其进行确权无异于其价值的发挥。但是,大数据产品的价值则更为固定,大数据产品就是经过对上述大数据集合的提取和分析后生成的预测型、指数型、统计型衍生数据,其价值本质上来源于不同的数据加工处理方式,这种方式应当体现为数据加工者的知识产权。

 

 大数据产品中包含着两类数据,一是海量信息数据,二是数据处理阶段作为数据挖掘工具的程序性数据。其中,虽然前者是大数据产品的呈现基础,但是现实中大多数的信息数据本身大多来自公有领域,是任何人均可以从公开渠道直接获取的。真正具有效用性、非公开性、稀缺性的是作为挖掘工具的数据,而这类程序性数据大多需要开发者投入大量前期研发成本,同时采用一定的保密措施,具有商业秘密的特征。此外,倘若此类程序性数据能够实现独创性地选择、整理、编排数据,数据开发者也可能享有类似汇编作品的著作权。

 

 但是,有学者认为大数据产品的价值来源于算力,而算力可以类比电力成为财物,从而论证大数据产品属于财物,可以成为盗窃罪的对象。这种思路存在一定问题:诚然,无论是挖掘数据抑或计算数据,都依赖于计算机系统的运行和计算能力,算力是大数据产品的价值来源,但互联网公司或平台对大数据产品所享有的权利本质并不能简单地等同于对算力的控制,而是对数据开发程序的知识产权。况且,电力等无形能源作为盗窃罪的对象,具有明确的司法解释,即使认为大数据产品上所承载的权利只有算力,也无法将算力直接类比电力从而认为大数据产品可以成为盗窃罪的对象。

 

 综上,从数字经济的实践来看,数据主体对具有价值的数据所享有的权利都不是具有直接可支配性的物权:一般数据、大数据集合和流量之上无法构建财产权,而大数据产品的价值来源于知识产权,数字货币和虚拟财产属于债权凭证。数据的出现可以说颠覆了传统民法学关于物债二分观点,因而许多民法学者认为只能确定架构性的财产权,或者在利益冲突中确立定纷止争规范,而无法按照传统的观念进行确权。更确切地说,数据主体在事实上需要某种对抽象数据集合的排他控制力和不受干预的权利,这种权利是一种超越了具体要素权属的集合性权利。而在刑法领域,数据的出现是否完全突破了传统财产犯罪对象和行为的概念,则仍需要结合以上财产性数据的本质特征与财产犯罪教义学作进一步分析。

 

三、财产性数据犯罪的现有解释方案

 

 从数字经济的实践来看,数据主体对具有价值的数据所享有的权利都不是具有直接可支配性的物权:一般数据、大数据集合体和流量之上无法构建财产权,而大数据产品的价值来源于知识产权,数字货币和虚拟财产属于债权凭证。在确定了财产性数据的本质属性的情况下,数据能否被纳入财产犯罪的对象范围,仍取决于各项财产犯罪中的“财物”的认定,以及与财物具有动宾关系的相应行为的认定。我国财产犯罪主要包括抢劫罪、抢夺罪、盗窃罪、诈骗罪、侵占罪、故意毁坏财物罪、敲诈勒索罪等,从数据犯罪的司法实践来看,行为类型上一般不存在对人身具有危险性的强制占有型财产犯罪,因而讨论的对象主要集中在盗窃罪、诈骗罪、侵占罪等平和取财型财产犯罪,以及故意毁坏财物罪的毁财型犯罪。

 

(一)非法获取一般数据、大数据集合和流量无法构成财产犯罪

 

 基于财物与财产性利益二分的框架,盗窃罪指向物上的绝对权,要求行为对象可以“被拿走”,而诈骗罪则指向更广泛的财产价值,只需存在财产损失即可。而在故意毁坏财物罪中,“毁坏”究竟应当是物理性的还是功能性的,目前仍存在较大争议,本文赞成将毁坏理解为毁灭与损坏,二者都指向的是物理层面的价值剥夺。所以毁坏的对象应当是有形的实物。而侵占罪则涉及到与盗窃罪类似的问题,其保护的也是财物上的所有权完整。因此,首先对于财产性数据而言,以电磁记录形式存在的数据并不具有实体形态,不能成为故意毁坏财物罪的对象,其次对财产性数据作为财产犯罪对象的认定边界问题,应当根据数据之上是否存在绝对权进行划分。

 

 一般数据、大数据集合与流量中虽然也承载着财产性利益,但其本身的属性决定了,这类数据的财产价值反过来又来源于其在竞争市场中的流动性,确权会为数据这种流动性增加壁垒,并最终可能导致其丧失价值。所以可以说,对一般数据的财产权确认本身就是一个伪命题,也无法真正现实地确认这类数据的财产权归属。而在无法确定财产权的情况下,也很难确认被害人所遭受的财产损失,且非法获取这类数据的行为一般涉及到篡改代码与黑客入侵,行为人也并非采取欺骗的方式进行,因而非法获取一般数据与流量很难被解释为诈骗罪。

 

 实践中,非法获取一般数据的行为大多被认定为侵犯公民个人信息罪,而流量劫持的行为也大多被认定为非法获取计算机信息系统数据罪,这在目前我国的罪名体系中具有一定的解释上的合理性。但是,出于防止侵犯公民个人信息罪和非法获取计算机信息系统数据罪处罚范围的过度扩张与处罚界限的过度模糊的考虑,有必要将对一般数据和流量的保护进一步具体化和专门化,专门对权利人自由处置一般数据提出保护,以及对一般数据和流量在竞争市场中的流动秩序提出规范。

 

(二)非法获取大数据产品构成侵犯知识产权罪

    

 大数据产品由于数据加工工艺所产生的知识产权,可以通过刑法对商业秘密或著作权的保护得以实现。其中,倘若使用著作权保护方式,则可以对应于《著作权法》第14条所规定的有独创性的汇编作品,即把大数据产品看作使用了特殊选择和编排方式而形成的数据库作品。但是,根据侵犯著作权罪的规定,要求行为人侵犯的是较为固定化的产品,如以被开发的计算机软件的形式存在的产品,同时也需要论证该产品的“独创性”,在认定过程中,也需要行为人所复制或利用的新软件与权利人所拥有的软件具有代码上的“实质相似性”。但是,大数据产品在多数情况下只是企业对海量用户数据的分析与预测,其价值往往在于数据的巨量和混杂,很难论证其具有独创性或以软件形式存在,因而大部分案件中法院更倾向于直接认定为商业秘密。

 

 相对于著作权而言,商业秘密的保护结合了反不正当竞争的方式,在范围上相对更为广泛。商业秘密作为知识产权的一种特殊形式,既具有经济性质与财产权性质,又具有维护秩序的性质,因而在实践中存在两种价值取向选择:一种是基于保护私人财产所有权的需要,一种是基于维护竞争秩序的需要。目前各国对商业秘密保护的差异,就在于对价值取向的选择不同,其中美国的刑事法律偏重于对前者的保护,而我国的刑事法律偏重于对后者的保护。因此,对于那些被企业采用了保护措施的、对企业在市场中竞争与发展具有经济价值的大数据产品,可以用侵犯商业秘密罪予以保护。

 

 当然,由于知识产权是特殊的财产权,侵犯知识产权犯罪本身就与财产犯罪存在一定的法条竞合,侵犯商业秘密的行为也有构成财产犯罪的可能,但是,由于商业秘密评估上的专业性与特殊性,使用财产犯罪予以保护在实践中有可能造成定罪标准不一、罪刑不适应、无法揭露商业秘密本质等问题,这也是刑法专门增设侵犯商业秘密罪的原因。因此,在处理非法获取大数据产品时,应当选择更为具体适当的侵犯知识产权罪,而非一味纳入财产犯罪中混淆相关构成要件。

 

(三)非法获取数字货币与虚拟财产可以构成诈骗罪

 

 数字货币与虚拟财产的性质属于债权凭证,债权具有相对性,行为人非法获取数据所导致的债权凭证转移,并不意味着债权也被转移给了行为人,因此真正导致财产损失的是行为人使用该债权凭证向网络运营平台主张债权并得到对价的行为,例如兑换非法获取的数字货币或游戏装备,或实践中近年出现的窃取并兑换购物积分或优惠券的行为,实际上都是行为人伪造债权人身份,使网络运营平台陷入错误认识,并最终交付财物。 

   

 在判断是否构成诈骗罪时,存在一个学界长期争议的问题,即“机器能否被骗”。最具有代表性的反对观点认为,主观认识是一种心理现象,是具有自由意志的自然人所独有的,因而也只有自然人才能陷入错误认识,机器无法陷入错误认识。被害人认识错误也是诈骗罪与盗窃罪得以区分的重要构成要件,倘若架空被害人心理上的认识的要件,那么诈骗就不再能被完整评价为被害人主动交付型犯罪,也恐怕会难以与间接盗窃相区分。 

 

 实际上,最根本的解决问题之道是如有学者所主张的,建立专门针对虚拟世界财产犯罪的计算机诈骗罪。但是,在我国不存在计算机诈骗罪的现状下,将非法获取数字货币与虚拟财产的行为认定为诈骗罪也不具有较大的解释难度。首先,在我国的刑法理论中,也存在不具有自由意志的主体被推定具有认识的情况,最典型的就是单位犯罪和企业刑事合规。单位组织体不是单独的自然人,其决策的做出也并不像自然人一样是基于意志,但是,通过其形式上达成的条件或客观表现,可以拟制其是否存在认识或故意。其次,预设同意理论具有可行性。即可以认为智能机器的场合下,机器程序的设置就预设了在满足一定条件时,机器设置者同意转移财物。出于网络平台经济高速发展的现实需要,网络平台无法依次实质审查虚拟财产的持有者是否为债权人本人,对行为人出具的债权凭证只能进行形式上的代码审核,但并不意味着平台方认同所有的满足形式审查结果都是正确的财产处分决定。在系统运营之初,平台方预设了这种一旦满足形式要件,即可转移财产的运营模式,在行为人使用欺骗或篡改代码等手段满足了平台方的形式审查条件之后,这种预设的正常的运营模式就被打断,进而导向了错误的财产处分结果,因而虽然智能机器确实不具备与自然人相同的认识心理,但是通过客观设置的体现,也能够拟制其存在“错误认识”。最后,虚拟财产不能成为盗窃罪的对象,因而虚拟世界中的诈骗与盗窃不存在区分困境,将非法获取虚拟财产作为诈骗罪的特殊情况纳入诈骗罪中,也不会突破诈骗罪与盗窃罪的界限。当然,例外地使用诈骗罪对虚拟财产进行保护只是权宜之计,更根本的解决之道是尽快建立新型数据财产犯罪。

 

四、财产性数据刑法保护方案的调整

 

 根据上述分析,财产性数据保护存在两大根本难题:一是如一般数据和流量这类本身具有无形性和公共性的数据,由于其本身价值来源于分享而无法私权化;二是如数字货币、虚拟财产和大数据产品这类相对固定的产品类数据,由于非法获取这类数据的行为类型突破了传统犯罪的构成要件,而无法直接规制。对于前者而言,数据上所承载的法益已经突破了传统的单一财产法益或信息法益,财产性数据的刑法保护法益观应当从单纯的财产损失转变为数字经济市场的秩序。在保护观念上,不应局限于传统的“确权-侵权-损害”思考模式,而可以在维护数字经济秩序的视阈下,推动与维护数据流动和利用价值,建立符合保护数据价值本质的举止规范。对于后者而言,由于数据是全新的客体,则需要转变规范保护的方式,具体体现在对我国计算机犯罪体系的调整与重构。

 

(一)一般数据保护观念的转向

 

 1.从确权到安全 

  

 数据保护大致存在两种价值取向,一是维护个人生活秘密与隐私,二是促进数字产业的正常有序发展,前者是对私人领域信息安全的保护规范,后者则属于对网络中一般数据流通的安全秩序规范。在私人生活领域,对个人数据处置权的全面保护有助于保障公民信息自决权,从而保障人格权。但是这种保护不能建立在财产化之上,将人格权财产化不仅不具有现实可能性,而且无益于人格权本身的保护。因而,刑法上应当使用信息犯罪保护私域中的公民数据,关注的重点在于“未公开”与“授权”这类体现信息处置的要件,并不涉及对数据财产的确权。 

 

 而当公民数据进入互联网世界,或者被企业大量收集,数据就成为了经济学上的“公共品”,对其进行分割和交易在经济上已经变得不再可行,对数据保护的立法目的也不再来源于数据本身,而应当来自于更上位的对系统风险的防范。这种风险一方面来源于企业对于所持有的数据存在泄露或滥用的安全风险,另一方面来源于第三方对企业所持有数据的不合理获取所导致的竞争风险。二者都不依赖于数据本身的权属界定:前者属于保护公民信息与数据安全的价值层面,可以通过落实衔接《数据安全法》的相关规定,或构建企业数据保护合规体系等手段,合比例分配数据信息处理的潜在风险。而后者则只以数据的合法获得与控制为必要,可以通过建立数据控制的基本秩序、数据获取的相应规范,来规制数据市场秩序中的失范或犯规行为,以对抗未经权利人许可而对数据现有控制状态的干涉和破坏行为。

    

 2.从损失到获利

 

 既然一般数据之上无法确立财产权,那么也就不能使用“财产损失”这一传统的财产犯罪构成要件作为法益侵害结果,对数据的财产利益侧面的保护,主要体现在行为人的非法获利以及非法行为的负面清单之中。

 

 一方面,确定损失不具有现实意义与可操作性。如上所述,对一般数据的保护应当着眼于秩序层面,无论数据权利人是否遭受了相应的损失,行为人使用技术手段突破他人数据保护屏障并非法获取数据的行为,或不当利用他人数据扰乱数字经济市场的行为,已然造成了法益侵害。而且在无法对数据进行权利确定而只能进行利益确定的情况下,数据权利人、数据实际价值、商业或竞争上的损失,都将变得难以确定。因此,对一般数据的经济属性的考虑主要体现在行为人非法获利目的与违法所得数额上,而权利人遭受财产损失只需作为情节考量即可。

 

 另一方面,我国的扰乱市场秩序犯罪和侵犯知识产权犯罪中也大多并未要求损失要件。比较典型的如非法经营罪和侵犯商业秘密罪,前者明确将市场秩序作为保护法益,并不要求造成一定数额的实际财产损害,而后者规定了侵犯他人商业秘密的行为类型,也并未要求造成他人商业利益丧失或财产损失。将对一般财产性数据的保护从财产犯罪中剥离之后,也无需再要求不法行为造成财产损失。

 

(二)财产性数据刑法保护体系的调整

   

 由上可知,对于当前实践中涌现的财产性数据而言,虽然侵犯商业秘密罪可以在一定程度上保护大数据产品,诈骗罪可以在一定程度上保护虚拟财产和数字货币,但是大部分具有财产价值的数据都被排除在保护之外,而这两类犯罪的认定也需十分谨慎,以防止突破构成要件的解释范围。而我国刑法第285条非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统数据罪,以及第286条破坏计算机信息系统罪,也同样无法完全覆盖对财产性数据的保护,有必要衔接《数据安全法》的相关规定做出调整。

 

 1.当前计算机犯罪无法覆盖对财产性数据的保护

 

 我国目前计算机犯罪所保护的法益并不指向数字经济与数据财产性,也无法完全将财产性数据保护纳入法条语义解释的范围内,有必要重新把握解释的边界和财产性数据保护的新面向。

 

 其一,刑法第285条第1款保护的对象是特定数据,不包含本文所指的财产性数据。根据法条原文表述,第285条所规制的“侵入”行为的对象是与国家公共利益相关的特定计算机系统,因此,该规定并非从保护财产性数据的角度出发,而是从保护重大数据信息安全的角度出发,对非法侵入行为进行处罚。同时,从体系解释上来看,对于“国家事务”的认定应该限定在和“国防建设”“尖端科技”一样对整个国家有重要意义的事务上。这样一来,虽然地方政府部门的官方网站也可以被解释为对国家事务管理具有意义,从而被认定为非法侵入的对象,但私人的计算机系统和行业的管理服务信息系统等就无法被纳入本条的规制对象中。因此,目前刑法第285条保护特定的重大数据信息安全具有其独立的意义,与具有财产价值和经济价值的一般财产性数据不同。从可罚性上来说,侵犯这一重大信息安全也比侵犯一般数据更为严重。所以,目前刑法第285条第1款的规定仍有存在的必要,但其并不能将一般的财产性数据纳入解释范围内。

 

 其二,刑法第285条第2款非法获取信息系统数据罪所保护的法益是计算机信息系统安全,而非数字经济秩序。目前的计算机犯罪被规定在妨害社会管理秩序罪一章中,传统观点认为,本罪的法益是国家对计算机信息系统安全的管理秩序,指向的是国家信息网络安全,保护的对象是计算机信息系统中储存、处理或传输的信息数据。即使是目前有学者主张将计算机犯罪转向为数据犯罪,也是主张保护数据信息安全,即数据自身的保密性、完整性、可用性。也就是说,本罪针对的是信息数据作为对象本身,而这也的确具有独立保护的意义。但是,财产性数据所需要被保护的则是借助于数据的工具和载体功能所承载的价值,即大量数据或特定数据集合所体现出的经济价值,这种价值体现在财产性数据的获取、交易、利用秩序上,与计算机信息系统安全或数据信息安全都不在同一层面。而像承载着债权的虚拟财产,本质是财产性利益,则更无法被本罪所保护。

 

 其三,刑法第286条破坏计算机信息系统罪不能评价破坏数据的行为。破坏计算机信息系统罪被比喻为“虚拟空间的毁弃犯罪”,具有替代故意毁坏财物罪来规制毁坏数据的空间。但是,按照目前的立法设置,本罪保护的法益应当是计算机信息系统的正常运行,而不是数据本身的可用性与完整性。本罪于1997年增设时,目的是加强对计算机信息系统的管理和保护,保障计算机信息系统功能的正常发挥,维护计算机信息系统的安全运行。因此,本罪所规制的行为也只能包括破坏计算机信息系统功能的行为,和会导致计算机信息系统无法正常运行的破坏数据或应用程序的行为。然而,实践中大部分破坏数据的行为都没有影响到计算机信息系统的正常运行,例如对于网站流量数据的破坏、对企业计算机信息系统中用户数据的破坏、对大数据产品或虚拟财产的破坏,在尚未影响到计算机信息系统正常运行时,都无法被本罪所规制。

 

 总而言之,目前我国刑法第285条和286条无法完全承担保护财产性数据的各项功能,但基于对重大数据信息安全以及社会秩序的保护,该法条也具有其自身的规范意义。基于对《数据安全法》的落实与衔接,刑法中也应当对计算机犯罪作出相应调整。

 

 2.计算机犯罪对《数据安全法》的衔接

 

 针对目前计算机犯罪无力保护财产性数据的现状,有必要调整我国计算机犯罪体系,依照《数据安全法》中的制度设计与理念规划,建立刑法对数据安全与数字经济发展的衔接保护。

 

 其一,衔接《数据安全法》中非法获取数据的有关规定,修改目前的刑法第285条第2款非法获取计算机信息系统数据罪。针对非法获取一般的具有经济价值的数据的行为,如储存在企业计算机系统内部的海量用户数据、流量数据等,主要需解决的矛盾是,目前的非法获取计算机信息系统数据罪所保护的法益并不面向财产性数据的流通秩序与竞争利益。因此,可以参照《数据安全法》第51条,修改非法获取数据罪的有关规定,对于“窃取或者以其它方式非法获取数据,开展数据处理活动排除、限制竞争,或者损害个人、组织合法权益的”行为予以刑事处罚。同时,也需要衔接《数据安全法》中的数据分类分级保护制度,严格将第285条第1款的保护对象限制在国家核心数据上,而使用第2款规制对公共利益和个人、组织合法权益造成危害的行为,两款在法定刑上作相应区分。

 

 其二,衔接《数据安全法》中提出的数据交易中的秩序和安全保护义务,落实数字经济市场中对财产性数据非法收集、使用、处理的刑事责任。《数据安全法》要求,组织或个人收集数据应当采取合法、正当方式,开展数据处理活动应当履行安全保护义务,促进经济社会发展。刑法也应当在扰乱市场秩序罪中,对数据交易主体设立相应的义务规范,对于扰乱数字经济市场秩序的行为予以刑罚规制。

 

 其三,有必要添加专门针对非法获取数字货币或虚拟财产的行为,以及损坏、变更数据的行为的刑法规制。目前财产犯罪所规定的手段类型不包含对虚拟数据的行为,因此,可以建立计算机诈骗罪和故意损坏、变更数据罪,规制利用技术手段非法使用、删除或变更数据,进而导致他人财产损失的行为。同时也可以限缩对财产犯罪相关构成要件的解释,防止构成要件的定型化消失。

 

结 论

 

 通过梳理实践中存在认定争议的财产性数据,可以肯认其财产价值与经济价值,但是其价值分别来源于不同的性质侧面。大数据可被分为两种具有财产价值的类型,其一是储存在企业计算机系统中的大量用户数据的集合,这类数据由于并未被深加工,只能被看作一般数据,其价值来源于数据的流通与分享,与传统财产确权存在根本的悖论,因此只能规制相应的使用、交易、流转秩序,而不能使用财产犯罪予以保护;其二是经过对大量数据进行专门化处理和分析,通过深加工形成的大数据产品。这类数据的价值来源于加工处理的方式,本质是商业秘密或者著作权。流量数据的价值在于其体现出来的投资价值,即商业竞争利益,这种价值本身也无法被确权,只能通过维护竞争秩序予以保障。数字货币虽然更具有固定的市场价值和投资价值,但是本质上仍然是虚拟财产,同为债权凭证,其价值最终需要由用户向运营商(或提供商)主张才能实现。

 

 从我国的财产犯罪体系上来看,应当区分对财物的犯罪和对财产性利益的犯罪,盗窃罪、侵占罪和故意毁坏财物罪所指向的对象应当限定在具有绝对物权的有体物上,因而无法保护财产性数据;而诈骗罪的对象则可以包含债权等财产性利益,但是将计算机程序自动转移财产的行为解释为“被害人陷入错误认识”,也具有扩张解释该构成要件的风险。无论是数据本身的属性,还是针对数据的获取、修改、删除、利用等新型操作,都与传统的财产犯罪所规定的对象与行为模式存在悖论,最好的办法仍然是建立新的财产性数据刑法保护体系。

 

 根据数据的特征与价值来源,在财产性数据刑法保护的功能面向上,应当从确权转向秩序保护、从损失要件转向获利要件。我国现行的计算机犯罪保护的法益是计算机信息系统安全,不能妥善涵盖对财产性数据的保护,可以参照《数据安全法》的有关规定,在保障数据安全与数字经济平稳有序发展的观念下,修改非法获取数据罪,同时添加计算机诈骗罪与故意损坏、变更数据罪。

 

 

来源:《兰州学刊》2023年第6期,注释略

作者:赵桐,南京大学、德国慕尼黑大学联合培养博士研究生