尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨熊波:数据分类分级的刑法保护

作者:尚权律所 时间:2023-12-18

  摘要

  《数据安全法》确立的数据分类分级保护理念,对我国数据犯罪治理具有前置法的基本指引作用,同时其也是数据犯罪治理的必经过程和重要方法。数据分类分级的刑法保护首先应当区分分类与分级的概念,而在此基础上,分类决定分级保护说将分级保护概念置于形式化地位,并不可取。刑法应当塑造分类和分级保护的独立关系理论,明确数据分类保护的内容属性和分级保护的危害属性的划分标准。类别保护的既有混淆模式容易导致定罪量刑的偏差和错乱,刑法应当构建信息数据和系统数据的类别区分标准。数据分类保护“民行”规范的直接套用是一种简单移植的衔接模式,不利于不同部门法数据类别保护的差异化,规范区分衔接理论能够在法秩序统一原理的基础上体现“民行刑”规范的差异化保护。目前,关联性标准作为数据分级保护方案仍处于模糊状态,刑法可以融合风险场景理论,类型化分析不同数据层级的保护架构。

  关键词:信息数据;系统数据;分类保护;分级保护;数据犯罪

 

  一、现实问题与案例来源

  《数据安全法》第21条明确规定“国家建立数据分类分级保护制度”,而作为广义的数据犯罪概念,无论是个人信息犯罪、计算机系统犯罪还是纯正网络犯罪等相关罪名立法,其均将通过空白罪状,体现数据分类分级对我国数据犯罪治理的基本指引和重大影响。不仅如此,2022年12月2日印发的《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》,更是将数据分类分级保护作为防范和化解各种数据风险、数据利用和管理安全保护的基础手段。数据分类分级保护能够实现数据精细化管理,是数据安全治理工作的起始点。

  其实,我国《刑法》在《数据安全法》出台之前,早已实现数据分类分级保护的理念。如《刑法》第253条之一侵犯公民个人信息罪和第285条、第286条、第288条的计算机系统、纯正网络安全等犯罪,将计算机系统数据和个人信息等予以分类保护。同时,第285-286条对计算机系统数据中的系统功能数据、系统独立运行数据和一般应用程序数据予以分类立法,实现数据分类的精细化保护。再如,最高人民法院、最高人民检察院于2017年5月8日发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑事案件解释》)第5条、第6条,将个人信息分为“敏感性信息、一般个人信息、为合法经营目的侵犯的个人信息”三种类型,并提出“直接或者间接影响人身、财产安全”和“合法经营目的”的分级保护标准。因此,数据分类分级的刑法保护不仅是一项基本理念,其更是一种具体规则,其完全能够影响精准化定罪量刑。

  但是,随着《数据安全法》《个人信息保护法》的出台以及数据保护“民行刑”衔接理念的深入,业已确定的数据分类分级保护理念和现状,是否适合数据类型的区分化和精细化保护、是否适配不同数据类型的利益平衡理念和社会积极效应、是否实现数据的重点场景和重要类型保护等诸如此类的问题,恐怕还有待深思。此类问题我们可以通过四则典型案例反映出来。

  案例一:数据分类保护和分级保护关系模糊的问题

  “李某获取房产信息案”:被告单位法定代表人李某为拓展装修业务客户群体,向他人购买楼盘业主财产信息、住宿信息,包括楼盘名称、业主姓名、房号、建筑面积、联系方式、联系地址等21178条公民个人信息。法院认为:无论被告单位美福来公司及李某获取涉案公民个人信息的主观目的为何,涉案公民个人信息涉及楼盘地址、名称、业主姓名、房号、建筑面积、联系方式等,且相关信息被获取后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性,实为公民个人敏感的房产状况信息,即为财产信息。

  案例二:系统数据和信息数据分类保护混淆的问题

  “杨某转卖cookie案”:被告人杨发玉向某公司员工金倩倩等人收购“58同城”的用户账号及密码,通过技术手段提取相应账号的cookie数据,再将cookie数据转卖给他人。法院审理后认定杨发玉构成非法获取计算机信息系统数据罪。

  案例三:一般信息数据的“民行刑”规范分类保护等同衔接的问题

  “沈某业务数据案”:沈某在重庆某小贷公司担任业务员期间,为方便开展业务通过QQ群获取一般公民个人信息和车辆贷款类交易信息。法院认为被告人获取个人信息的主观目的是为了公司的经营活动,且未牟利,社会危害性不大,主观恶性较小。因此,认定沈某构成侵犯公民个人信息罪。

  案例四:敏感信息数据和一般信息数据分级保护错乱的问题

  “梁某等贩卖航班信息案”:梁某等人通过网络渠道购买大量公民航班信息(内含有公民身份证号、姓名、手机号码、航班起飞抵达时间地点等),用于实施电信诈骗。法院审理后认为,航班信息虽不属于行踪轨迹信息,但综合考虑航班信息的性质及可能造成的危害后果,可归类于其他可能影响人身、财产安全的公民个人信息。

  在司法实践中,上述案例反映的数据分类分级刑法保护的问题较为普遍。其中,案例一反映了数据分类和分级保护关系的厘定问题,亦即数据分类是否可以直接决定分级保护,其是后续数据分类分级保护具体路径展开的前提和基础。案例二反映了系统数据和信息数据分类保护混淆的现状,亦即数据是否可以作为信息的代名词,其是后续信息数据体系内部分级保护的前提基础。案例三反映了数据分类保护“民行刑”规范等同衔接的现状问题。不同于案例二,这是刑法内外部体系的数据分类衔接保护的问题,其化解有利于后续刑法体系内部数据分级保护的展开。案例四则反映了敏感信息数据和一般信息数据的分级保护错乱的问题,其是数据分级保护的具体体现。这四类问题意识的初步凝练与逻辑关系的展开,形成了本文的基础研究思路。

  二、数据分类保护与分级保护的刑法关系

  数据分类分级保护并非是一种笼统性和概括化路径,其本身包含两方面的内容:数据分类保护和数据分级保护。因此,在具体构建数据分类分级保护路径时,刑法必须首先解决两类保护的关系问题。

  (一)数据分类决定分级保护说的理论评析

  《数据安全法》第21条采用的是“数据分类分级保护”的一体化概念表述,其并未明确区分“分类保护”和“分级保护”的独立概念以及两者具体关系。这一问题延伸至数据犯罪治理当中,数据分类分级刑法保护也面临此类问题。其实,数据分类分级保护制度具体包含两类数据保护关系:分类保护、分级保护。诚然,从前置法规范中,可以推断出先分类后分级的逻辑顺序关系。逻辑顺序关系是以分类保护和分级保护的区分为基础的,其本身蕴含着区分保护理论。但是,逻辑顺序的保护关系及其区分保护理论对于分类分级保护的具体展开并无多大助益,其仅是理清数据保护方法的基本步骤。

  对此,理论界在区分保护理论的基础上,针对分类保护和分级保护的两类概念关系展开进一步探究,并主要形成了数据分类决定分级保护说(分类决定说)。分类决定理论总体认为数据分类可以直接决定数据分级保护。“数据分类是把具有共同属性或特征的数据归并在一起,通过其类别的属性或特征将之纳入不同的分级保护体系之中。两者从不同的角度明确数据安全的责任和边界,确定责任主体的具体义务。”从观点表述中,不难发现,数据属性和特征在作为分类划分标准时,也是分级保护的依据标准。因此,分类决定理论才会认为,数据定级的具体步骤在于国家和行业领域确定的核心数据目录、重要数据目录,只要依据数据类别目录,即可直接展开数据分级保护。

  前述“李某获取房产信息案”也契合了分类决定说,法院并未仔细判定行为人购买财产信息和住宿信息的目的和具体场景,而直接依据信息内容属于敏感信息,就认定该信息的获取具有极易引发盗窃、诈骗、敲诈勒索等关联犯罪的风险。甚至还有部分法院直接认为,车辆档案信息属于财产信息,至于涉案信息处在什么状态、造成何种危害,不影响犯罪构成。

  虽然分类决定理论相较于区分理论而言,在明确区分“分类保护”和“分级保护”的独立概念的基础上,揭示出两者具体关系。但是问题在于,第一,分类决定说以信息内容种类直接作为分级保护的最终依据,将会导致危害推定的谬论现象,违背刑法的法益保护原则和全面评价原理。第二,分类决定理论将数据分级保护概念置于形式化和空洞化的地位。在分类保护标准确立后,分级保护应当塑造何种划分依据已经不再重要。诸如,分类决定理论持有者认为,数据内容的敏感程度是确定是否发生数据安全侵犯的关键因素,仅敏感数据的内容分类对责任确定至关重要。分级保护的概念主要是为数据分类进入刑法保护体系提供依据和途径,其并不具备实质意义。

  (二)塑造数据分类保护和分级保护的独立关系理论

  在理论界,针对分类决定说,部分观点已经开始逐渐认为分类保护和分级保护两者之间并无侧重关系,两者并列独立存在、同等重要(并列理论),并在此基础上提出数据保密性、完整性、可用性的客体性质和损害程度的分级划分标准。还有学者提出数据影响对象、影响广度、影响深度等分级划分因素。相较于分类决定说,并列理论已经开始塑造分级保护的独立地位。但由于此类理论并未明确分类保护和分级保护的概念,并且其也仅是笼统性提出分级保护的划分标准。因此,分级划分标准中还残留分类保护划分标准的内容。如并列理论涵盖的数据客体性质和数据影响对象,就是分类决定说中的一种分类标准。

  对此,我们应当在并列理论的基础上,进一步构建分类保护和分级保护的独立关系理论。独立关系理论是指数据分类保护和分级保护两者独立进行,两者认定的基础标准独立塑造、彼此不受影响的理念。按照独立关系理论的概念,在“李某获取房产信息案”中,对于李某为拓展装修业务客户群体,购买楼盘业主财产信息、住宿信息的敏感信息侵犯行为,法院不能因为涉案财产信息属于敏感信息种类和内容,简单判定行为具有敏感信息侵害的法益危害和风险。其还必须在敏感信息归类后,进一步判定侵犯行为针对的数据对象是否符合分级保护标准。

  相较于并列理论,独立关系理论进一步围绕分类保护和分级保护的独立体系和地位巩固展开探讨,并明确了分类保护和分级保护的两者独立概念和具体划分标准。

  第一,数据分类保护是指依据数据内容属性标准,对不同类别数据以及同一类别不同数据内容进行的类型化保护。数据本体分类观认为,数据分类是按照数据本体内容对实体对象进行的分类,并基于数据分类实现数据概念的集合。按照《数据安全法》第21条的规范表述,其中的“重要程度”就是分类保护内容属性标准的规范来源。换言之,在数据本体分类观看来,不同类别数据是指不同概念属性的数据本体内容,而同一类别数据是指同一概念属性下的不同数据类型集合。因此,数据分类保护需要依据数据内容的种类和性质进行归类保护。如根据《网络安全标准实践指南——网络数据分类分级指引》(以下简称《数据分类分级指引》)第4.1条规定的数据分类框架,其按照公民、组织、公共事务、行业领域等内容属性维度的标准,将所有数据划分为“公民个人、公共管理、信息传播、行业领域、组织经营”五个维度框架。在刑法中,计算机系统数据和个人信息,以及计算机系统数据中的系统功能数据、系统独立运行数据和一般系统数据等不同本体内容的相关个罪立法,均体现数据分类保护方法。

  依据内容属性进行数据归类的理论基础在于刑法类型化思维。德国学者考夫曼认为,分类是一种类型归纳,“类型直接指向‘事物的本质’,从类型中产生的思维,正是‘事物本质’式的思维”。对此,规范类型化思维认为,虽然不同事物在内容和概念表述等形式要件方面不存在绝对一致性,但是在事物内容本质的实质要件上存在绝对一致性。因此,刑法规范为实现精简化、明确化、概括化立法,通常会利用事物本质一致性对具体事实予以类型化表达。这在构成要件理论看来,是一种构成要件的类型化定型机能。

  计算机信息系统数据、个人信息数据、国家安全数据、虚拟财产数据等内容,单独从整体的数据概念而言,我们都只能得出数据的代码和比特流的数字化技术表达:其均是各类电子设备及其程序能够识别、处理和计算0、1序列的离散数字。至于数据的性质和类型理解,数据概念并不关注。这种数据概念式思考是一种“元叙事”界定。但是,类型化思维注重具体化思考,其在概念式的“元叙事”界定基础上进一步区分和演绎,与概念式思维形成手段和目的的关系,这旨在使数据技术概念更为形象和具体。基于此,刑法类型化思维才得以对不同的数据类型分门别类地区分立法。而正是因为依据数据内容属性标准予以类型化思维保护,所以数据刑法具有构成要件定型化和区分化的分类功能。依据不同类别的数据概念和内容,刑法设置不同类型的罪名,对不同数据犯罪的构成要件类型予以明确的边界,继而使数据分类保护实现规范区分衔接和精准定罪机能。

  第二,数据分级保护是指依据数据危害程度和风险评估的危害属性,对不同类别数据或者同一类别但不同内容数据,予以不同层级的保护。数据危害影响观认为,分级保护是在分类保护的基础上,按照数据的敏感程度以及其遭受泄露、滥用等可能对国家、社会及个人等造成的影响进行的分级保护。因此,数据分级保护是从利益安全的角度对数据划分的等级集合。具体而言,利益安全角度的分级保护是指,按照既定标准对数据大小、纯度、强弱、好坏等进行高低的级别划分。此外,除了利益安全和危害程度的等级保护标准,还有部分观点在危害属性分级标准的基础上提出数据风险创设观,其认为数据安全目标应当是风险评估效果,数据风险越小,其安全级别越高。而安全级别的认定需要结合安全风险的影响范围、持续时间、可恢复性等三个维度具体认定。因此,数据分级保护的划分标准在于数据的危害程度以及风险评估。从数据分级保护的划分标准来看,其不同于数据分类保护的划分标准,前者重在强化数据危害属性。

  而正是因为数据危害程度以及风险评估同样属于刑法法益保护原则的评价要素,因此,数据危害属性对于数据分级刑法保护同等重要。其主要体现在,第一,不同类别的数据分级保护。刑法对国家安全数据和其他安全数据的不同安全程度予以分级保护。第二,同一类别但不同数据的分级保护。《个人信息刑事案件解释》第5条、第6条,将个人信息分为“敏感性信息、一般个人信息、为合法经营目的侵犯的个人信息”三种类型,并提出“直接或者间接影响人身、财产安全”和“合法经营目的”的分级保护标准,就是基于数据危害属性提出的。按照《数据安全法》第21条的表述,其中的“危害程度”就是分级保护危害属性标准的规范来源。同样,《数据分类分级指引》第6.1条规定的分级保护按照影响对象、影响程度予以等级划分,亦是如此。

  因此,按照独立关系理论,数据分类保护和分级保护应当塑造各自基础标准。其中,数据分类保护仅具有内容归类和要件类型化的作用,其无刑事责任追究的指引作用。而独立于数据分类保护的分级划分标准,能够在分类保护基础上实现数据犯罪规制的最终目的。

  三、内外部数据类别保护的刑法方法

  数据分类分级保护的主体对象是数据,数据分类保护离不开数据概念的明定和类型化要素,这是数据分类分级保护的前提和基础。

  (一)数据分类保护类别混淆的既有模式

  目前,在理论界和实务界,数据分类保护类别的混淆模式是既有现象,其主要体现在系统数据和信息数据分类保护的混淆问题(不同数据的外部分类混淆),以及同一系统数据内部的不同数据状态安全分类保护的混淆问题(同一类别数据的内部分类混淆)。

  其一,对于系统数据和信息数据的分类保护的混淆问题。目前我国理论界并未明确区分系统数据和信息数据,这导致在刑事司法实践中系统数据和信息数据的概念是混淆使用的。因此,“事实层面,数据已经被作为了第五大要素,随着数字经济的发展日渐得到重视,但是围绕数据权利的制度设计却付之阙如,究其原因在于人们谈起数据,不由得想到数据上负载的信息”。诸如,前述“杨某转卖cookies案”便反映出系统数据和信息数据的概念混淆的司法现状。

  该问题本质源于数据和信息的概念关系混淆。对于两者关系,目前我国理论界已经形成“等同说、包容说、交叉说”三种观点。第一,等同说将数据保护等同于信息数据的本体内容保护。其具体表现为“数据和信息概念的并用论、数据概念的单一信息论、数据概念的无用论”。并用论认为数据和信息无任何差别,数据就是信息,信息也即数据。单一信息论认为数据安全是信息隐私或者财产信息的附属品,数据安全刑法无需独立保护,或者可以通过传统财产类犯罪予以保护。而数据概念无用论则完全否定系统数据概念,认为数据仅是一种比特流存在,其无法律保护的必要性。第二,包容说在未界定和理清系统数据和信息数据的概念和关系时,概而括之地提出数据保护广于且可以涵盖信息本体内容的保护。第三,交叉说认为数据和信息在部分层次中可以实现彼此独立保护。其实,无论是等同说、包容说还是交叉说的理论争议,都不符合我国刑法对系统数据和信息数据的分类保护立法规定和理念。其中,等同说和包容说均无法解释为何刑法要在系统数据犯罪相关罪名的既有立法基础上,单独设置侵犯公民个人信息罪。包容说并未区分两者的界限和关系,导致系统数据和信息数据类别保护的混沌状态。因此,其还容易将以信息内容为对象实施的传统犯罪纳入系统数据犯罪之中,弱化系统数据犯罪存在的必要性和特殊性。而至于交叉说,其并未解答部分独立保护的来源依据和类别标准。

  其二,同一系统数据内部的不同数据状态安全分类保护的混淆问题。虽然从规范表面来看,系统数据可以依据不同行为类型予以区分保护。但是其实非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪三者之间关联的计算机系统数据,还无法实现精准分类保护。主要原因在于破坏计算机信息系统罪的“计算机系统功能”“系统不能正常运行”和“对数据和应用程序进行删除、修改、增加”的概念理解,同时可以包容非法控制计算机信息系统罪的受控性运行状态的法益侵害结果,以及非法获取计算机信息系统数据罪的数据侵入和获取行为。目前,学界对于破坏计算机信息系统罪的“不能正常运行”的概念理解,指向的是“系统全部和部分功能”对象,或者“系统功能无法按照原先设计要求运行”的状态。甚至在部分学者看来,《刑法》第286条第2款的破坏计算机信息系统数据行为,其针对的是数据内容本身的安全,而不要求数据系统的正常运行。但是,对于上述情形,非法获取计算机信息系统数据的侵入和获取行为、非法控制计算机信息系统行为均可实现。与此同时,对于非法控制计算信息系统罪和非法获取计算机信息系统数据罪而言,单独的控制行为也必须通过侵入系统或者获取系统数据的方式予以实现。因此,该两类罪名也无法实现数据分类保护。

  综上,无论是系统数据和信息数据的分类保护混淆问题,还是同一系统数据内部的不同数据状态安全分类保护的混淆问题,其实两者均反映出数据分类保护标准缺失的现状。亦即,不同数据类型的分类保护标准,以及同一数据类型的内部分类保护标准如何塑造?

  (二)构建类别区分理论的数据分类保护标准

  为化解数据分类保护类别混淆的既有模式问题,刑法应当塑造数据类别区分理论。其是指数据分类保护可以依据数据内容属性和技术运作状态的不同,对不同类型数据以及同一类别但不同数据内容予以区分保护的理念。类别区分理论本质来源于数据与信息的区分论。数据与信息的区分理论立足狭义的数据概念认为,狭义的数据概念仅指信息的媒介和载体,而信息则是媒介和载体上的具体内容。诸如,数据系统承载着的财产性数据、个人信息数据、企业数据等。其中,数据充当着信息内容分享、传播、传输的基础技术工具。数据与信息的区分论较具合理性,其为非法获取计算机信息系统数据罪的计算机系统安全保护排除身份认证信息提供了理论依据,可供资鉴。但是,区分论立足的是狭义的数据概念(仅指系统数据)。本文采取广义数据概念,将数据分为系统数据和信息数据,其能够凸显数据分类分级的一体化保护,有利于数据类型化分析和精准化治理。

  类别区分理论重在依据不同数据类型的内容属性差异,实现数据犯罪罪名构成要件的类型化和定型化区分。虽然,数据是指各类电子设备及其程序能够识别、处理和计算0、1序列的离散数字,但是,依据离散数字的内容功能,我们可以将数据单独区分为系统数据和信息数据两种类型。具言之,数据包括维持系统运行和防御状态安全的系统数据、以系统数据为载体呈现具体信息内容的信息数据。其中,系统数据是指数据载体或数据形式,信息数据是指数据内容。卡斯特将这种区分视为信息技术主义和信息主义的分野,其中,信息技术主义强调的是数据处理能力的重要性,因为信息内容生成和呈现必须依靠数据技术设施和数据载体的生产和运作,这和知识等信息内容一样同等重要。

  首先,按照系统数据犯罪等罪名的立法罪状设置,系统数据主要是指系统功能数据。如非法侵入计算机信息系统罪和非法获取计算机信息系统数据罪均是侵入数据系统的行为犯罪化,罪名或立法包含的“非法侵入”表明两者均强调侵入行为对封闭性系统的突破性技术危害。

  对于非法侵入计算机信息系统罪,其保护的是特定数据系统的封闭性,只要侵入行为突破特定重要领域封闭性数据系统的防御状态,则该行为便构成犯罪。对于非法获取计算机信息系统数据罪,虽然其也保护数据系统的封闭性,但是由于侵入行为针对的是一般程序数据,因此,该罪侵入行为还需要在突破封闭性数据系统的防御状态后,造成情节严重的情形才能构成犯罪。按照数据类别区分理论,非法获取计算机信息系统数据罪在于保护系统数据状态安全,因此,非法获取计算机信息系统数据罪的“情节严重”必须和系统数据的运行功能具有直接关联性,获取行为的侵害对象只能是数据运行状态安全法益。因此,将系统侵入性犯罪侵害的数据防御状态安全、非法控制系统性犯罪侵害的数据独立运行状态安全,以及破坏系统性犯罪的数据有效性运行状态予以类别区分,实现了同一类别但不同数据内容的区分保护。

  此外,为了实现独立性运行状态安全、有效性运行状态安全、非法获取计算机信息系统数据罪的侵入后获取数据行为的数据运行状态安全三者之间的精准分类,第一,破坏计算机信息系统罪的有效性运行状态安全只能局限于计算机系统主要功能和系统程序主要功能的破坏。诸如,系统蓝屏、无法运行程序、数据无法传输等情形。第二,非法控制计算机信息系统罪的独立运行状态,只能局限于脱离系统数据的被操控状态,而系统数据还是可以有效性运行的情形。并且,这种非法操控状态是可以恢复或者中断的,否则,长期非法控制状态的系统数据侵害,应当属于破坏计算机信息系统数据罪的规制对象。第三,根据前面两点结论,非法获取计算机信息系统数据罪保护的系统数据运行状态,只能针对系统一般功能和一般应用程序,并且该种运行状态安全的侵害行为要附加重大经济损失和违法获利的条件,如此才能实现罪刑均衡原则。

  其次,对于信息数据而言,其并不在于强调系统对信息内容展现过程的动态功能运行,而在于信息数据的本体内容价值。如按照侵犯公民个人信息罪对出售、获取、提供行为类型的规制特点,侵犯行为针对的是公民个人信息本体内容的可识别性价值,公民个人信息保护依据其本体内容的私密性、敏感性和自决性。同样,国家安全信息、知识产权信息、虚拟财产信息针对的是国家安全、财产性利益等信息本体内容安全价值,其均不在于体现信息在系统中运作、储存、流转、使用的状态安全价值。这在《数据安全法》和《个人信息保护法》的并行立法特点和《数据安全法》第3条对“数据安全”的概念界定中可以得到体现。从规范的概念界定中,《数据安全法》已经将数据分为以状态安全为目的的系统数据和以信息内容安全为目的信息数据。因此,信息本体内容的侵害行为,可以交由侵犯公民个人信息罪、非法获取国家秘密罪、侵犯知识产权罪、盗窃罪等罪名予以规制。

  根据类别区分理论解读“杨某转卖cookie案”可知,cookie数据属于用户网页浏览信息,其虽然不能反映个人信息者的特定身份,但是由于大量cookies数据能够为计算机自动推算网络用户的浏览习惯和系统操作行为。因此,其能够反映用户惯常性网络行为和活动,据此可以确定特定个人主体。在《个人信息刑事案件解释》第1条的规定中,反映特定自然人活动的信息同反映特定自然人身份的信息一样,应当是刑法保护的信息数据。在该案中,杨某应当构成侵犯公民个人信息罪。

  四、数据分类保护“民行刑”规范的衔接模式

  不仅是《数据安全法》是基本前置法,《个人信息保护法》《网络安全法》《民法典》中关于数据信息专章专条的规定,均是刑法规范外部体系的前置法。法秩序统一性要求数据分类分级的刑法保护应当与前置法形成合理衔接,那么,在数据“民行刑”规范的分类保护过程中,必然会形成刑法外部体系的衔接模式。

  (一)数据分类保护“民行”规范的直接套用路径

  受限于法秩序统一性原理的抽象性和概括性,多数观点认为数据分类保护“民刑”规范适用是刑民规范一体化过程。刑民规范一体化理论认为,数据分类分级保护应当实现刑民规范一体化治理,“把刑法、民法、行政法作为一个法律整体加以解释和适用”。这“就要求法规范的集合体不应该是一种自我矛盾的统一体,因而法秩序的统一性就必然要求排除诸规范之间的矛盾,进而要求违法判断的统一性。”刑民规范一体化理论倡导的法律整体解释适用和诸规范自我统一等核心观点,将法秩序统一性过程理解为“民行”规范直接套用的衔接模式。数据分类保护“民行”规范的直接套用是指数据分类的刑法保护不加选择和区分,直接适用前置法的数据保护理念和规则的情形。直接套用模式主要体现在个人信息处理行为的认定、敏感信息种类保护、一般信息量化保护标准三个方面。

  第一,信息数据处理行为认定规范的直接照搬。《个人信息保护法》第4条第2款和《民法典》第111条规定的个人信息的处理行为类型,均可概括为“收集、存储、使用、加工(删除)、提供(传输、买卖、公开)”等五大类情形。而《刑法》第253条之一的侵犯公民个人信息罪规制的行为类型,只有提供(出售)和获取行为。那么,这是否意味着民法规范的收集、储存可以被刑法的获取行为所涵盖,公开、传输可以被刑法的提供行为所吸收?目前,《个人信息刑事案件解释》并未明确处理行为“民行刑”规范分类衔接的具体标准。正是由此,为实现“民行刑”规范的无缝衔接,理论界开始倡导使用行为的扩充和获取行为一般化规制,部分司法实践也在脱离刑法谦抑性原则,贯彻前置法规范的无缝衔接理念。诸如,在“魔蝎公司非法储存个人信息案”中,公司在第一次被合法授权获取后,未经权利人同意单纯储存用户各类账号和密码行为,也被法院认定构成侵犯公民个人信息保护罪。

  第二,敏感信息种类保护的规范等同适用。在敏感信息数据的保护衔接方面,《个人信息保护法》第28条采取的是“人格尊严、人身安全和财产安全”三类危害的界定标准,信息种类具体包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息”。但是,对于影响入罪标准的数据分级保护的敏感信息种类,《个人信息刑事案件解释》第5条采取的是“直接或者间接影响人身安全和财产安全”的标准,其只包括“行踪轨迹、通信内容、征信信息、财产信息”和“住宿信息、通信记录、健康生理信息、交易信息”等个人信息。据此,为实现“民行刑”规范的完全衔接,部分学者开始提出与公民人格尊严、人身安全、财产安全的侵害可能性相关的指纹、虹膜、人脸、步态等所有生物识别信息,都应当纳入敏感信息数据的刑法保护范围的观点。并且,基于法秩序统一性原理,部分理论强调敏感信息“民行刑”规范的等同适用。如此一来,侵犯公民个人信息罪便直接沦为敏感个人信息“第一道防线”的保护条款。

  第三,一般信息量化保护标准的简单移植。在一般信息保护的规范衔接方面,无论行为人处于何种情境、手段方法和目的,只要其符合《个人信息保护法》未经同意的处理行为类型和可识别性个人信息种类的规定,一般信息达到5000条的数量标准,就表明未经同意的侵害的严重程度,行为人即可构成犯罪。但这忽视“民行刑”规范对一般个人信息保护的规范目的差异。在前述“沈某业务数据案”中,即使行为人仅是为了开展合法经营业务,而获取电话号码和姓名等一般个人信息,也被视为主观恶性较小的酌定量刑情节,而不影响入罪。但是,案件中获取一般个人信息的行为,仅是符合《个人信息保护法》未经同意的情形。那难道前置法保护个人同意的信息自决权侵害,仅靠单纯信息数量,就可直接决定任何获取一般公民个人信息行为的入罪?这不无疑问。

  (二)厘定规范区分衔接理论的数据分类保护标准

  按照法秩序统一性原理的广义理解,“法秩序的统一性,是指在由宪法、刑法、行政法、民法等多个法域所构成的整体法秩序中不存在矛盾,法域之间也不应做出相互矛盾、冲突的解释。”其并未要求“民行刑”规范衔接的等同性和统一性,只需要存在最低限度的法秩序违法性判断的不冲突性、无矛盾性。在部分学者看来,这是“各法领域的合目的性统一”。因此,法秩序统一原理下数据分类刑法保护,并不是指数据犯罪规范认定的前置法统一性或者移植性,也并不是指数据分类刑法保护不能与前置法规范产生任何矛盾,其应当是指数据犯罪违法性判断的一致性和合目的性。虽然民法、行政法等前置规范的一般违法性判断,并不能直接推定数据犯罪的刑事违法性,但是刑法立法可以通过空白罪状对一般违法性予以认可,并在此基础上,选择或确立符合刑法实质目的的前置法规范,以此契合法秩序统一性。

  因此,对于数据分类保护“民行刑”规范的衔接路径,刑法完全可以在前置法规范的规则范围内,确立自身的数据保护类型和处理行为的规制类型,对前置法规范的类型予以选择性保护或规制。这其实就是一种规范区分衔接理论。这同样可以在法秩序统一性原理下,实现数据分类保护的“民行刑”规范衔接。规范区分衔接理论是指数据分类刑法保护应当依据自身规范的实质保护目的,在前置法规范的处理行为和信息类型的范围内予以区分认定的理念。

  对于数据分类保护的规范衔接模式的理论探讨,目前刑法理论界和实务界主要集中在侵犯公民个人信息罪的法益认定,并形成了个人信息自决权、个人隐私权、人格尊严保护、个人信息安全的信赖感、个人信息权等规范衔接的分类保护标准。其中,个人信息自决权是刑法主流标准。

  但是,此类方案问题在于:第一,个人信息自决权核心要义在于知情同意原则,这与前置法如出一辙。采取该标准则意味着刑法需要保护信息权利人的知情权、同意权和决定权,这显然已经突破了刑法保护的重大法益的实质性范围。并且,其还意味着刑事责任追究完全处于权利人的掌控之下。第二,个人隐私权的法益界定过于狭隘,其无法保护隐私权之外涉及人身、财产安全的一般个人信息或者敏感信息。第三,人格尊严保护的概念过于空洞和抽象,其具体指向个人自治、不歧视(平等)、身份识别(信息的正确与完整性)、安全与财产利益以及社会信任。并且,其中部分内容显然已经超出刑法保护范围和实质目的。第四,个人信息安全信赖感的法益要素过于主观化,该方案凭借主观感受界定数据保护标准,致使主观入罪现象的出现。第五,个人信息权(信息专有权)直接肯定了个人对信息的专有控制权或者所有权,但这已经违背信息共享的数据公共性理论,不利于数据流通和社会交往。由此可见,当下“民行刑”规范衔接标准并不完全契合数据分类保护的区分衔接理论。

  基于刑法规范保护目的的特殊性,为实现信息数据的社会流通和安全价值的双重保障,我们应当塑造风险控制权的保护标准。在信息社会,每个人都需要借助自己的个人信息来塑造社会交往形象,国家需要个人信息来实现宏观的经济指导和促进信息共享。因此,信息社会的个人信息保护必然无法实现信息权的自我独占和控制,而是应当促进个人信息的合理利用。这也是为何《个人信息保护法》并未确立个人信息权的根本原因。

  在信息博弈论看来,风险规制和信息权益的共存和均衡,是信息权益保障的理性之选。前置法可以针对信息风险和危害的预防理念,利用上述理论方案将可能存在风险的场景予以消除。自然而然,信息自决权、人格尊严、信息安全信赖感等抽象性、绝对性、概括性的权利和利益,均可以被前置法所涵盖。但是,刑法需要严格恪守谦抑原则,就必须将信息重大风险控制和危害遏制,视为自身规范保护目的,而并非将信息内容的控制和风险预防作为保护标准。其中,风险控制包含了危害遏制理念。如此一来,便契合“民行刑”规范的区分衔接理论。

  信息风险控制理论的标准塑造需要融合规范区分衔接理论。具体而言:(1)风险控制理论是一种信息数据的客观风险控制。在风险控制理论中,信息焦虑感和信赖感、精神压力有时也会被视为一种法律保护的主观风险。但是,在数据分类的刑法保护体系中,“过于依赖主观的恐惧和焦虑,不够具体或重要,不足以被承认”。(2)风险控制理论在于重大人身、财产安全的风险评判。为契合规范区分衔接理论,在侵犯公民个人信息罪的个人权利的体系定位下,重大人身、财产安全的风险控制才是刑法应当重点关注的规范目标,数据分类保护的风险控制标准在于公民人身和财产安全的重大风险的自我控制。(3)风险控制需要注重可能性和必要性评价。为实现信息风险控制的前置法区分,基于刑法独特的风险控制标准,个人信息处理行为认定、敏感信息和一般信息的界定,必须结合风险控制的可能性和必要性予以进行。诸如在前述“沈某业务数据案”中,行为人获取的各类个人信息仅供开展合法贷款业务使用,而并未向不特定人和犯罪行为人提供。因此,这并不存在任何重大危害风险可能性,行为人不构成侵犯公民个人信息罪。

  五、数据分级保护的刑法方案

  (一)数据分级保护关联性标准的模糊现状

  当前囿于分类决定说的主流观点,部分数据种类分级保护的标准还处于模糊状态。在刑法规范中,存在同一类别数据内部具有不同级别数据保护的情况。根据系统数据和信息数据的分类保护方法,前者主要通过《刑法》第285条、第286条的立法规定,实现重要领域和一般领域以及非法侵入、控制、破坏三类犯罪的相关罪名对系统数据的逐级保护。相较而言,侵犯公民个人信息罪并不直接保护数据内容,而是保护数据内容关联的重大人身、财产安全及其重大风险控制。这完全不同于系统数据较为清晰的分级保护模式,第285条第1款系统数据在重要领域和一般领域的立法分级保护,已经是将系统数据和重要作用属性作为了分级保护目标和危害结果的评价标准;第285第和第286条非法侵入、控制、破坏三类犯罪的相关罪名对系统数据实现逐级保护,已经是根据系统数据危害结果进行立法分级保护设置的最终状态。因此,系统数据的分级保护层次相较于信息数据而言是较为清晰的。

  在侵犯公民个人信息罪中,按照《个人信息刑事案件解释》第5条的规定,“直接敏感信息、间接敏感信息、一般个人信息”三类不同级别的信息数据保护对象,相应匹配了“50、500、5000”条的入罪标准。虽然第5条明确了敏感信息的“人身、财产安全”影响的可能性或者直接性的分级标准,但是如何理解直接性和间接性影响?如何理解一般个人信息的安全影响?司法解释并未作进一步解答。《个人信息保护法》第28条对敏感个人信息的概念界定也未予以明确,这最终导致数据分级保护标准模糊化的问题,该问题也同样影响司法实务的处断。

  在前述“梁某等贩卖航班信息案”中,作为偶发性的航班信息,仅通过公民身份证号、姓名、手机号码、航班起飞抵达时间地点等信息,并不能反映特定个人的惯常性活动情况。其中的公民身份证号、姓名、手机号码本来应当作为一般个人信息的种类,为何其可以与航班信息结合作为间接性敏感信息?法院仅依据“综合考虑航班信息的性质及可能造成的危害后果”,便将航班信息直接归类为其他可能影响人身、财产安全的公民个人信息,这种间接性敏感信息的分级保护推定逻辑存在疑问。

  虽然司法解释并未细化可能性或者直接性的具体分级标准,但是最高人民检察院于2018年11月9日发布的《检察机关关于办理侵犯公民个人信息案件指引》第4条进一步规定,最高信息保护级别的直接敏感信息仅局限于“行踪轨迹信息、通信内容、征信信息、财产信息”四类固定信息种类,且不可扩大范围。而间接性敏感信息是指不涉及人身、财产安全,但具有上述四类直接性敏感信息的相当重要程度的信息。由此可见,直接性信息是指直接关联人身、财产安全的敏感信息,间接性信息是指相当程度地关联人身、财产安全的敏感信息。最终,关联性标准成为数据分级保护方法。但是,由于关联性标准是建立在信息内容和属性的因素基础上,其变相沦为了分类决定保护说。换言之,刑法规范层面塑造的关联性标准仍未明确提出数据分级保护的方案。而在理论界,不同于前述内容属性的关联标准,部分学者立足数据分级独立性保护理论和关联性标准,提出多元因素关联说和风险关联说。第一,欧姆提出多元因素关联说,其认为定义敏感信息应当重点关注并综合评判四类关联因素:伤害可能性、伤害概率、保密义务关系、公众风险感知度。第二,我国部分学者偏向风险关联说,该理论认为信息关联人身、财产安全的风险程度越高,其权益侵害的程度将越严重,而敏感信息和一般信息的分级保护标准就在于风险概率,或者是紧迫性和必要性风险关联程度。

  多元因素关联说和风险关联说相对于内容属性的关联标准而言,其较大程度上摆脱了分类决定说的弊端,但是问题在于:第一,对于多元因素关联说而言,其具体构建的四类因素之间的关系和评判顺序是不明确的。况且,其中的伤害可能性、伤害概率的两类因素是一种模糊概念,其具体认定方法和内容仍需要建立模式予以操作。因此,该理论容易陷入无法实际运用的困境。第二,对于风险关联说而言,由于其包含风险概率的评判,因此,其同样存在多元因素关联说的前述问题。第三,刑法分级保护对于数据风险采取预防还是控制方法,该理论并未明确给出答案。如果采取风险预防理念,便意味着实现数据风险最前置预防的民法和行政法的规制手段,也可以进入刑法体系,这显然有悖于刑法谦抑性原则。

  (二)融合风险场景理论的数据分级保护标准

  从前述关联性标准、多元因素关联说和风险关联说的理论探讨来看,多元因素的操作方法和风险概率的评判方法的欠缺,是其存在的共通性问题。为化解此类问题,刑法可以融合风险场景理论塑造数据分级保护方案。风险场景理论是指数据分级刑法保护必须结合数据处理的具体场景,认定重大数据安全风险客观存在的一种方法。该理论来源于康奈尔大学信息法学者海伦·尼森鲍姆(Helen Nissenbaum)构建的场景理论,其认为:“信息安全与场景完整性密切相关,根据场景完整性理论,了解场景是至关重要的,具体包括信息处理的主体、信息内容和性质,以及各方主体之间的关系,甚至包括更广泛的信息制度和信息流通社会环境。”我国学者将上述诸如此类的场景要素归纳为:信息的使用方法、存储环境、使用情境、传输对象等要素。由此可见,场景理论不再只是一项数据分级保护的具体标准,以及敏感信息和一般信息区分的基础标准,而是一种周全的数据保护方案。

  风险场景理论的核心要义在于具体场景,虽然从场景理论的观点表述中,不难发现其是一种“大场景”和“完整性场景”的综合概念。但与多元因素关联说不同的是,在场景理论的社会客观环境的限制下,多元场景要素必须是明确且具体的。在尼森鲍姆的场景概念界定中,场景就是一种客观化、结构化的社会环境。换言之,场景理论的判断路径必须回归数据行为风险的具体客观环境和条件。并且,多元场景要素之间并非是同时并用的关系,要素选取完全取决于场景判断的完整性程度。这在很大程度上摆脱了分类决定说的数据内容属性的固化和单一标准、多元因素关联说和风险关联说的不确定性认定方法等问题,体现了行为主义违法性理论的自由价值。而又结合前述风险控制的规范衔接标准,风险场景理论重在具体判定重大人身、财产安全的危害风险。因此,数据处理行为的刑事违法性认定,必须结合具体场景发生的风险和危害转化程度进行,这并非数据的静态内容属性可以决定。

  最后,借助风险场景理论,我们可以化解敏感信息、一般信息和合法经营信息的刑法分级保护问题,并类型化构建分级保护场景标准的运用情形。

  第一,敏感信息和一般信息内容的分级场景判断。首先,对于敏感信息而言,影响人身和财产安全的第一、二档分级保护标准在于,敏感信息的内容性质是否直接关联到人身和财产的重大风险场景。敏感信息的“直接性”在于信息内容本身就是财产信息和人身安全信息。如直接表明收入状况、房产状况的信息,以及直接体现人身安全的惯常性行动轨迹信息。行为人利用此类敏感信息的情形,将直接转化为重大人身、财产安全的危害风险场景。其次,敏感信息的“间接性”在于,虽然信息内容本身并不直接反映特定人身和财产情况,但是其是蕴含人身和财产状况的其他敏感个人信息。诸如,交易记录只能反映具体场景下的单次财产流向,但是大量的交易信息能够推算出信息权利主体的大概财产状况。因而,交易信息虽不属于财产信息,但是能够间接反映财产状况,其属于间接性敏感信息。最后,第三档级别保护对象的一般信息,是信息内容能够反映特定个人人身和财产安全的工具性关联信息。诸如金融服务的账户密码、公民身份证号等,虽然无法直接反映人身、财产信息,但是据此可以挖掘其账户和证件号背后关联的财产和人身安全内容。对此,其本质属于关联人身、财产安全的工具性信息。再结合“梁某等贩卖航班信息案”来看,梁某等人购买的用于实施电信诈骗(具体场景)的大量公民航班信息中的姓名、身份证号、手机号等信息,仅是涉及特定个人人身和财产安全的工具性关联信息,其应当属于第三档的一般个人信息。

  第二,敏感信息处理行为罪责轻重的分级场景判断。对于即使满足各档分级内容条件的数据类型,刑法在判断处理行为罪责轻重时,还需要再进一步分析行为的指向目标和所处环境等客观社会条件。如仅用于合法经营的敏感数据获取和决策行为,或者获取敏感信息用于小范围共享行为,和用于牟利的网上销售敏感数据行为相比,显然前者的刑事违法性并不存在或者较低。因此,如果“梁某等贩卖航班信息案”中信息侵犯行为目标在于电信诈骗,或是提供或出售给特定犯罪行为人和惯常犯罪的行为人,或是出售或提供给不特定多数人等情形,均创设人身、财产安全重大风险,那么其符合处理行为罪责严重的场景理论判断。而对于仅是出于自我修改、自我储存、自我合法经营,而使用、购买、窃取个人信息的特殊情形,在行为人并未出售或者提供的情形下,便不存在重大人身、财产危害风险的具体场景。

  第三,数据保护可以依据不同场景予以层级置换。根据风险场景理论,数据分级保护的核心要义在于具体场景的风险识别,而并不再单一取决于数据内容属性。按照数据交叉属性理论,“数据归属存在交叉性,数据在不同场景下会产生不同归属的情形”,此时“不同类型、不同级别的数据所荷载的权益存在较大差别”。如《个人信息刑事案件解释》第5条第1项,将出售或提供行踪轨迹信息被他人利用犯罪的情形,视为了敏感信息的最高等级保护,而不再受限于数据条数的目的,并不在于行踪轨迹反映的数据人身安全的内容属性,而是因为“被他人利用犯罪”直接构建了数据人身安全重大风险或危害转化的具体场景。换言之,对于行为人向具有抢劫、盗窃或者强奸前科的累犯等他人,提供单身独居女性的住宿信息(间接敏感信息)和身份信息(一般信息)的情形,刑法完全可以依据风险场景理论将间接敏感信息和一般信息置换为直接敏感信息,反之亦然。如此,这也契合分级保护的独立关系理论。

 


来源:政法论坛 

作者:熊波,华东政法大学刑事法学院副教授