大数据时代中国刑法对企业数据权的保护与规制论纲
2019-02-20唐稷尧
唐稷尧
(四川师范大学法学院,四川 成都 610068)
伴随着互联网的飞速发展,人类已经进入了大数据时代。在这个时代,每个人每时每刻都在产生着数据,也同时为数据所包围。作为各类信息的载体,数据日益成为社会及个人发展不可或缺的部分,“是国家基础性战略资源,是21世纪的‘钻石矿’”[注]参见中华人民共和国工业与信息化产业部发布的《大数据产业发展规划》。。在林林总总的数据持有者、处理者与使用者中,企业尤其是互联网企业占据着重要的地位,它们不仅是数据的重要收集者,更是最活跃的数据处理者与使用者。因此,作为数据保护法律体系中的重要组成部分,刑法在关注与保护个人数据权益的同时,也应当考虑对企业数据权的保护与规制。
一、刑事可罚性根据:技术视角与利益考量
现代民主法治社会要求刑法对社会生活的介入必须坚守补充性与不完整性的基本观念,这意味着刑法对于其所介入的社会生活领域总是有所选择地干预。因此,我们有必要首先考察企业数据权刑法保护与规制的可罚性根据。刑法对于社会生活的干预与影响主要是通过对特定行为类型的犯罪化与非犯罪化来实现的。按照法国著名刑法学者的观点,一个国家对特定行为类型的犯罪化源于两个不同的思路:“一个思路是保护社会免受新型犯罪的侵害,这些犯罪通常与新技术联系在一起,这种政策可以称之为现代化的政策;另一个思路是确认新的权利并加以保护,这种犯罪化的刑事政策可以称之为保护的政策。”[1]由此可见,对特定类型行为刑事可罚性根据的考察可以从技术与权利两个视角展开。
1.刑事可罚性根据的技术视角:从数据到大数据
从技术进步的视角而言,对企业数据权进行刑法保护与规制的必要性首先应当在大数据的客观背景下予以阐释。从词源来讲,数据是我们通过观察、实验或计算得出的结果,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合,它既可以是数字,也可以是文字、图像、声音等。数据与信息是具有密切联系的概念,二者不可分离,信息依赖数据来表达,数据则生动具体表达出信息。数据的价值在于数据所表达出来的信息,数据是信息的表现形式和载体,而信息是数据的内涵;信息是加载于数据之上,对数据作具有含义的解释。在传统社会,由于数据收集、存储、传输的局限,数据及其所表达出来的信息是分散的、样本化的,流动性较低。这种技术特征决定了对企业数据及其信息的法律保护主要关注数据持有者对数据的可控性,具体而言就是从保护一种秘密(包括国家秘密、商业秘密)或知识产权的角度展开。
然而,当人类进入大数据时代,传统的数据及其信息的表现方式出现了巨大的变化。按照国务院《促进大数据发展行动纲要》(以下简称《纲要》)的定义,大数据(big data)是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,其正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,从中发现新知识、创造新价值、提升新能力的新一代信息技术和服务业态。按照麦肯锡全球研究所给出的定义,大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合。支撑这种数据样态与特征的则是日新月异的大容量存储技术、高速高效网络信息技术与云计算运用。借助于海量的、近乎“全本”的数据规模与多样的数据类型,通过云计算与云存储等技术,相对于传统环境下的分散的、样本化的、低类型的数据,大数据时代的数据蕴含着巨大的经济价值与战略价值,成为企业的重要资产。就技术环境而言,这些数据的存在形式是在计算机网络中以二进制信息单元0、1的形式表示;数据的采集与获取呈现半自动甚至全自动性;数据的流转呈现极速性,具有极高的传播速度;数据的存储具有相对持久性,一旦进入或上传至网络,大部分数据信息内容很快就被复制并以各种形式存储起来,想要删除则非常困难。这些技术特征导致了数据的获取与传播成本与数据的控制成本日益成反比状态。
从法律权利客体的角度而言,大数据环境下的数据“作为信息网络科技发展的产物,表现为存在于计算机网络上流通的在二进制基础上由0和1组合的比特形式,无法脱离载体而存在”,它“既不是物(动产和不动产),也非智力成果或权利……作为无形物的数据,不可能被某一特定主体独占,具有非独占性或共享性的特点……数据并不会因为被某一特定主体收集而无法被其他人收集……数据也不会因为被某人使用而减少其他人的使用。”[2]所以,“数据不应该以它的存储而定义,应当由它的流转来定义”[3],“大数据时代也正是由于数据可以在网络空间的自由流动与分享才到来。”[4]因此,基于大数据时代的独特技术背景,涉及企业数据及其信息的法律就必然从单纯关注对数据的可控性转变为既关注数据的可控性,更关注对数据的合理流动、使用和防止数据权利的滥用,传统的单纯的从秘密(包括国家秘密、商业秘密)或知识产权的角度设定的刑事法律规范显然就存在扩张的可能。
2.刑事可罚性根据的法益视角:大数据背后的利益考量
民主法治国家刑法的正当性首先在于其通过设立犯罪而保护的对象一定是公众所认同的值得保护的利益。 “实施犯罪化之际,应充分认清其保护的法益,只有在作为保护该种法益的方法,除了创制刑事法规范、诉诸刑罚手段之外,别无选择的情况下,才能说可以犯罪化。”[5]因此,从本质上看,动用刑法对企业数据权进行保护与规制的正当性还应当从利益的角度予以解释。根据现代刑法的一般理论,刑法所保护的法益可以划分为国家法益、社会法益与个人法益三种类型。我们认为,在信息数据化、数据利益化的今天,企业所持有的数据在不同层面与刑法所保护的基本法益密切相关。
国务院《纲要》指出,“信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。”按照《纲要》的定位,大数据既是推动经济转型发展的新动力,更是重塑国家竞争优势的新机遇,还是提升政府治理能力的新途径。由于网络的无处不在与数据获取的自动化程度日益增加,这些事关国家战略与国家安全的海量数据不仅存在于政府部门,更存在于大量的企业中。[注]甚至有学者认为,在当前互联网企业迅猛发展,传统企业的生存状态日益互联网化的今天,政府并没有占据数据的绝对优势,海量的数据存在于企业中。因此,企业所持有的数据背后涉及值得刑法保护的国家法益应当说是不言而喻的。
大数据时代,由于数据本身的无形性与非独占性,在数据采集的自动性、传播的极速性、存储的相对持久性的技术环境下,企业数据采集、传播、存储、运用都呈现出与传统数据持有和利用显著不同的特点,形成了独特的贯穿于数据全生命周期的大数据行业秩序。而当前大数据产业在生产、流通、应用等各环节所呈现出的数据资源垄断、非法数据流通猖獗、个人隐私保护不力等严重问题也日益对整个数据行业秩序产生破坏。正是基于对秩序的渴求,《中国大数据行业自律公约》才应运而生,从采集、存储、流通、应用、竞争全环节进行了大数据行业自律规范,比如用户授权、获取手段、存储方式、存储安全、流通类型、隐私保护,包括承诺使用合规数据,反对数据垄断、维护公众利益等。[6]笔者认为,这种已经为全行业所认同的贯穿于数据全生命周期的大数据行业秩序应当被认定为,一种值得刑法保护的社会性法益。
对于企业数据而言,其所涉及的个人法益可以从两个方面来把握。一方面,从收集与获取的角度来看,企业所获取的数据有相当部分来源于数据主体[注]根据欧盟《一般数据保护条例》即GDPR第4条的规定,“个人数据”指的是与任何已识别或可识别的自然人(数据主体)相关的信息,因此,这里的数据主体是指自然人。,而这些数据所包含的信息显然事关自然人的隐私、尊严及个人自由重大利益,按照GDPR的观点,其体现的是“自然人的基本权利与自由,特别是自然人享有的个人数据保护的权利”。[注]欧盟《一般数据保护条例》,即GDPR第1条第2款。更为重要的是,企业数据的使用也事关个人的基本权利。由于互联网与大数据时代人类社会所面临的前所未有的技术背景,企业数据的运用已经深入渗透至个人生活的方方面面,其对个人基本自由与权利的影响与控制逐渐显露,典型的现象就是“大数据杀熟”、“数据极权”[注]关于此问题,本文最后一部分有详细的论述,此处不予赘述。。另一方面,从数据流转与运用的角度来看,企业不仅是数据的收集者,更是数据的处理者、使用者,数据财产化或商品化是企业数据的重要特征,企业收集、储存与分析、出售数据已经成为一种常态。互联网企业对于数据的大规模收集与处理已经成为其核心竞争力之一,而这些企业也经常将这些收集的数据视为自身的核心财产。[注]企业大数据所包含的这种财产利益也已经为中国的司法判例所确认。例如,2018年8月,杭州互联网法院在全国首例大数据产品不正当竞争纠纷案中就确认:“涉案数据产品能为淘宝公司带来可观的商业利益与市场竞争优势,淘宝公司对涉案数据产品享有竞争性财产权益。”具体可以参见:全国首例大数据产品不正当竞争案公开宣判[EB/OL].https://www.chinacourt.org/article/detail/2018/08/id/3462143.shtml.因此,无论是从数据主体的角度还是从数据持有者的角度,其背后所包含的个人法益应当是确定无疑的。
二、企业数据权保护:现行刑法的弱项与盲区
数据背后所包含的巨大利益使得各国纷纷通过立法对相应的数据权予以确认、保护和规制。美国的《加州消费者隐私法案》、欧盟的《一般数据保护条例》以及中国的《网络安全法》都对网络大数据时代数据权相关问题作出了相应的规定。从权利主体而论,数据权的主体可以大致分为两类:一类是数据主体,即自然人,他们既是数据的重要来源[注]个人不是数据的唯一来源,数据还可以来源于非自然人,如地理环境数据、气象数据、经济数据等数据被称为政府数据与公共数据,以区别于从数据主体那里获取的个人数据。,也是个人数据权的主体;另一类是数据的处理者与控制者,他们是大数据尤其是数据资产与数据财富的主要持有者与利用者。这些大数据的控制者又可以细分为两类:一类是企业,尤其是互联网企业;另一类则是政府及其他非营利性组织。由是观之,企业显然是数据最重要的持有者与利用者,也是大数据时代最为活跃、最具创造性的数据使用者,企业从大数据中发现新知识、创造新价值、提升新能力也已经发展成为新一代信息技术和服务业态,企业数据权理应受到法律相应的关注。然而,从中国当前的法律体系来看,对企业数据权的关注远远小于对个人数据权的关注,与企业数据权在大数据时代的地位并不相称,这在刑法上尤为明显,已经成为当前中国刑法的弱项与盲区,亟待改善。
1.刑法对企业数据保护在犯罪对象方面的缺位
就刑法条文而言,我国刑法直接规定数据保护的罪名只有两个,即《刑法》第285条第2款非法获取计算机信息系统数据罪与第286条破坏计算机信息系统罪。基于数据与信息的密切关系,如果将犯罪对象扩展到信息与秘密(秘密可以视为是一种保密的信息),那么犯罪对象可能涉及数据的罪名还可以扩展到其他11个罪名,分别是为境外窃取、刺探、收买、非法提供国家秘密、情报罪(第111条),非法获取国家秘密罪,非法持有国家绝密、机密文件、资料罪(第282条),故意或过失泄露国家秘密罪(第398条),泄露不应公开的案件信息罪(第308条之一),侵犯商业秘密罪(第219条),侵犯公民个人信息罪(第253条之一),侵犯通信自由罪(252条),私自开拆、隐匿、毁弃邮件、电报罪(第253条),拒不履行信息网络安全管理义务罪(第286条之一)。
从犯罪对象或保护对象来看,这些条款所构成的我国刑法对数据的保护体系主要围绕个人数据、涉及国家秘密的数据展开,刑法用多个专条、规定多种行为类型对这两类对象予以了较为周密的保护,但企业数据则是保护的弱项。如果企业数据属于商业秘密,那么可以从侵犯商业秘密罪的途径予以保护,但构成商业秘密需要具备法定的条件,而大数据背景下数据不仅数量巨大而且种类繁多,相当多的数据种类并不满足商业秘密的条件,但其依然是企业付出巨大代价与资源收集获得的,且具有商业价值。例如,随着移动互联网的兴起,一些关于航班动态的应用程序开始出现。运营商可以运用这些程序将机场航班实时动态转换成直观的信息,再传递给用户,让后者能够及时了解到航班的起飞、到达、延误、取消、返航、备降等状态,从而帮助用户更高效地安排行程计划。[注]在网络移动终端APP方面,目前这个市场上主要有三款应用产品,分别是航班管家、飞常准和航旅纵横。这些应用程序需要气象、航班、空域流量等信息,这些数据信息虽然并不属于秘密,但由于信息来源分布于不同的领域和部门而存在收集、整理成本,对于企业而言,其依然需要被保护,但将其归属于商业秘密则较为困难。除了侵犯商业秘密罪以外,可能对企业数据提供刑法保护的条款就只能依赖非法获取计算机信息系统数据罪与破坏计算机信息系统罪。由于刑法对于两罪中计算机信息系统数据缺乏明确的解释,它能否涵盖大数据背景下的各种数据类型尚存疑问。一个显著的例子是,在2011年最高人民法院、最高人民检察院颁布的《关于危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条中就仅仅将“支付结算、证券交易、期货交易等网络金融服务的身份认证信息及其他的计算机系统身份认证信息”明确纳入“计算机信息系统数据”的范畴,其他类型的数据信息就没有被纳入该解释中,从目前互联网与大数据产业的客观现实来看,这种思路显然大大落后于大数据时代的企业数据保护要求。
2.刑法对企业数据保护在犯罪手段方面的不足
从犯罪手段上看,目前刑法有关数据保护的罪名大致涉及三大类型:一是非法获取、持有类,包括窃取与截取、购买与收受、交换或者其他非法方法;二是破坏类,主要包括篡改、删除、增加、干扰等方法;三是(广义的)不法使用类,主要包括出售、向他人提供、通过网络或其他途径发布、泄露等方式。
从分布状况来看,刑法有关数据保护的罪名对个人数据与国家秘密类型数据的保护相当周密。 就个人数据而言,侵犯公民个人信息罪、侵犯通信自由罪以及私自开拆、隐匿、毁弃邮件、电报罪[注]虽然侵犯通信自由罪以及私自开拆、隐匿、毁弃邮件、电报罪本来是传统犯罪,但全国人大常委会基于互联网环境下公民个人使用网络通信特别是即时通信软件、系统的普遍性,在2000年发布的《关于维护互联网安全的决定》第4条第2项中将非法截取、篡改、删除他人电子邮件或其他数据资料也纳入了侵犯公民通信自由罪的惩处范围。这三种犯罪在行为手段上涵盖了从收集、截取、更改、删除、流转(提供或买卖)各环节的全过程;就国家秘密类型的数据而言,现行刑法所规定的犯罪类型在手段上除了涵盖从收集到流转的全过程外,更是将不当持有以及泄露行为也纳入处罚的范围。然而,就企业数据的保护而言,现行刑法的规定相对而言就明显狭窄了,仅仅涉及窃取(即非法获取计算机信息系统数据罪中的“侵入并获取”)、部分的破坏(即破坏计算机信息系统罪中的“删除、修改或增加”)和对商业秘密类数据的泄露。面对海量的数据、极速的传播速度、低廉的传播成本、日益丰富的数据类型以及日益凸显、不断被挖掘的的数据商业价值[注]由于大数据时代数据的非独占性与共享性特征,数据可以由不同人使用并创造不同的价值。即使是完全相同的数据也可以基于不同的目的进行开发、利用,产生不同的增值服务或衍生应用。相关论述可以参见吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律,2016,(7).以及企业日益增加的数据收集、储存、整理成本,刑法这种狭窄且粗疏的对企业数据的保护就显得落后甚至不合时宜,需要进行适当的调整。
三、企业数据权的保护:现行刑法的完善与未来展望
当代德国刑法学者在谈到当前的法律落后于互联网与大数据时代的问题时指出:“目前的讨论还是以传统的‘桌面计算’为基础的,即数据的传输是用户控制在计算机之间进行的。一个准趋势是数据传输在日常生活应用的对象与计算机之间进行,或者甚至仅仅在日常生活应用的对象之间进行。因此,计算机法的调整范围也以此为基础进行调整。”[7]笔者认为,中国当前刑法对计算机与网络犯罪的规定同样尚处于“桌面计算”时代,充其量也只是处于网络1.0时代。然而,在大数据与互联网背景下,网络技术的发展一日千里,作为战略性资源的数据对于企业尤其是互联网企业所具有的价值日益凸显,刑法对这一客观需求理应做出必要的反应。具体来说可从以下两个方面展开。
1.对现有刑法规定的修订与完善
针对中国当前刑法对于企业数据权益的保护在保护对象与惩处方式方面存在的不足,应当尽早对非法获取计算机信息系统数据罪(《刑法》第285条第2款)的基本内容予以修订,强化对非法获取企业数据行为的惩罚。
首先,应当将刑法保护对象从商业秘密、个人信息扩大到商业企业所持有的数据(公共数据除外)。为此,可以参照《网络安全法》第65条的规定,将《刑法》第285条第2款和第286条第2款中所规定的犯罪对象——“计算机信息系统数据”修改为“网络数据”,并根据《网络安全法》的定义确定刑法对数据的保护范围为通过网络收集、存储、传输、处理和产生的各种电子数据。相比原有的“计算机信息系统数据”,这显然更能够将当前各类企业数据都囊括其中,也更契合大数据的时代特征。
其次,明确大数据背景下新类型的不当获取企业数据行为的刑事不法性。现行刑法对非法获取计算机信息系统数据罪行为手段的规定是“侵入计算机系统或者采取其他技术手段获取数据”,从文义解释来看,这种手段的典型类型显然是“窃取”,但除此以外的“其他技术手段”则缺乏类型化的有权解释。基于大数据作为企业核心资源的重要地位,有必要通过立法或司法解释对“其他技术手段”的具体内涵予以进一步明确,尤其是对一些已经出现的新类型手段、方法。2017年深圳南山区法院审理的非法获取数据案,就是一个典型的例子。该院(2017)粤0305刑初153号判决书显示:深圳谷米科技有限公司所推出的酷米客实时公交 APP通过在公交车上安装定位器获得海量的实时公交位置数据,因精度高、误差小等优势,迅速吸引了大批市场用户。2015 年 11 月,同为实时公交 APP 的“车来了”为了提升市场份额和信息查询准确度,利用爬虫软件通过向酷米客发出数据请求、破解酷米客客户端的加密算法等方法获取酷米客公司服务器的实时数据,日均达 300万-400 万条。从技术角度而言,网络爬虫是一种按照一定的规则,自动抓取互联网信息的程序或者脚本, 可以理解为一个自动访问网页并进行相关操作的小机器人,爬虫技术的本质就是通过代码实现对人工访问操作的自动化操作。在大数据时代,除直接通过用户采集之外,另一大数据来源就是使用网络爬虫采集公开信息。随着数据产业的发展,数据爬取犹如资源争夺战一般越发激烈,然而,目前我国还没有专门针对爬虫技术的法律或者规范。在上述案件中,深圳南山区法院最终认定,“被告人通过技术手段破解了谷米公司APP的语言翻译程序,通过向谷米公司的服务器发送请求大量获取谷米公司的原始公交信息数据,是通过技术手段绕开了谷米公司的特定查询程序大量获取公交数据信息进行使用,其行为与普通公众的查询行为有本质的区别”,属于“采用其他技术手段,获取计算机信息系统中储存的数据的行为”,构成非法获取计算机信息系统数据罪。事实上,这一案件只是近年来互联网企业所出现的有关数据获取纠纷的冰山一角,仅过去两年,有关数据抓取方面出现的代表性争议案件就有:新浪微博起诉脉脉抓取使用微博用户信息案[(2016)京73民终588号判决)]、大众点评诉百度不正当竞争案 [(2016)沪73民终242号],只是这些案件最终都以民商事纠纷的处理方式结案。上述案件的处理提示我们,面对大数据时代企业获取数据的手段日益多元化,刑法急需对获取数据的合法方式划定相对明确的法律上的最终界限。
2.未来刑法应当关注的企业数据权保护
从远期来看,基于对企业数据的保护,刑法还应当考虑对一些特定的行为逐步予以犯罪化。
其一,扩大泄露企业数据行为的刑事处罚范围。目前刑法对于泄露数据的规定主要针对的是特定的数据类型,即国家秘密类、商业秘密类和特定用户信息类[注]刑法对拒不履行信息网络安全管理义务罪的行为方式仅仅规定了故意类型。《刑法》第286条之一拒不履行信息网络安全管理义务罪,虽然在犯罪构成要件中有“不履行法律、行政法规规定的信息网络安全管理义务”的内容,似乎涉及过失性泄露,但这只是成立该罪的前提条件,该罪的核心行为要件是“经监管部门责令采取改正措施而拒不改正……致使用户信息泄露,造成严重后果”,因此,该罪的罪过形式依然是故意而非过失。。笔者认为,刑法目前这种规定体现了刑法的谦抑性,这在传统的数据存在环境下应当是可取的,但在大数据环境下,基于大数据所具有的丰富的内容与形式及其战略资源属性与重要的竞争性财富的属性,单纯的商业秘密和用户信息可能无法涵盖企业数据的所有可能的类型,同时,对于过失使企业数据大面积泄露导致重大损失的行为,是否依然排除在刑法处罚范围之外,也值得立法者进一步观察和审慎衡量。
其二,保护数据的正常收集与流动,对于严重阻碍数据收集、流动的行为可以考虑予以刑罚处罚。大数据时代,数据的流动与传播是一个基本特征,在技术的推动下,互联网平台间的数据流动日益频繁,合理高效的数据流动可以使更多的主体利用数据,挖掘数据的价值,因此,对数据收集与流动的干扰与阻碍会严重破坏数据行业秩序。我们可以借鉴德国等发达国家的刑法规定,考虑对特定行为类型的犯罪化。《德国刑法典》第202条b款规定,非法为自己或他人通过技术手段从非公开数据处理设施或电磁广播的数据处理设备中拦截非特定数据的行为构成拦截数据的犯罪。虽然在我国互联网产业中目前还未有大规模拦截数据收集与流动的行为,但相关企业在互联网中利用拦截软件开展不正当竞争的行为已经时有发生,2017年腾讯起诉OPPO在用户下载软件时的“拦截导流”案、2016年奇虎360公司起诉小米公司拦截360手机助手案、2018年今日头条起诉腾讯指控对方屏蔽和拦截用户访问案[8]都显露出网络拦截行为已经成为互联网世界一种新型的、常发的行为,应当未雨绸缪,研究此类行为对数据流动与传播的可能影响。
四、企业数据权的规制:现行刑法的完善与未来展望
世界上没有绝对的权利,只要是法律权利,那就一定会受到限制,权利不得滥用已经是法律中的公理,企业数据权也不例外。从广义上讲,我国目前的法律对企业数据权的规制是存在相应规定的。《网络安全法》第四章有关网络信息安全的规定基本上皆是对数据收集者、持有者的义务性规范,可以理解为对企业数据权的限制,特别是对相关企业采集、处理、使用数据的行为进行的规制。但值得注意的是,这些规定主要是针对个人数据权的保护展开,企业数据权行使中的限制性规范与之相比明显稀缺。这种现象同样也反映在刑法中,如刑法中的侵犯个人信息罪、拒不履行信息网络安全管理义务罪关注的都是个人数据的安全。然而,如果从发展大数据产业的国家战略和规范大数据行业秩序的未来眼光看,将企业数据权的规制仅仅放在对个人数据权的保护上就显得过于狭窄,非刑事法律是这样,刑法亦然,因此,必须从法益保护的角度思考对企业数据权的刑法规制。
1.企业数据权的限制:设立非法提供、转移基础数据罪
大数据时代,庞大的信息催生的“数字经济”重新设定了国家和企业的运转规则,充斥全世界的数据开始变为财富,国家和企业都一齐参与到争夺数据的游戏中。国务院《促进大数据发展行动纲要》指出,信息技术与经济社会的交汇融合引发了数据迅猛增长,数据已成为国家基础性战略资源。国际上也是将大数据时代的数据比作“21世纪的钻石矿”、“21世纪的石油”。从某种意义上说,哪个国家掌握了数据资源,哪个国家就拥有了未来经济与社会发展的制高点。所有这些都凸显出大数据时代,一国掌握数据资源的重要性,更体现出数据背后的事关国家重大利益的国家法益。
当前,在保证数据合理流动与共享的同时,从法律上限制关键性、基础性数据的跨国境流动已经成为许多国家的选择。2017年12月,特朗普发布首份《国家安全战略报告》。该报告认为,数据资源是美国保持其技术优势的重要凭据。2018年初,中国互联网巨头阿里巴巴旗下的蚂蚁金服公司宣布,将中止与美国网络金融服务商速汇金公司的合并交易。主要原因是负责审核该交易的美国外国在美投资委员会(CFIUS)以国家安全为由否决该计划,原因是该交易可能会对美国公民身份数据的安全性构成挑战。[9]对于关键性、基础性数据的重要性,我国最高立法机关也有清醒的认识。基于此认识,我国在2017年开始实施的《网络安全法》对其给予了重点关注。根据该法第25条的规定,提供公共通信、广播电视传输等服务的基础信息网络和用户数量众多的网络服务提供者所有或者管理的网络和系统都属于“关键信息基础设施”的运营者。第31条规定,“关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”由于这些“关键信息基础设施”的运营者有相当部分都是互联网企业,因此这一法律规定实际可以看做是对企业数据权的限制性规定。
然而,遗憾的是,虽然基础性、关键性数据体现的是重要的国家法益,但刑法并未对这类数据给予必要的关注,这显然不利于我国在未来的数据资源的国际竞争中占据有利地位。为此,我们认为,基于此类关键信息基础设施的运营者所采集的数据的战略性地位与重要性,可以在《网络安全法》相关规定的基础上在刑法中设立非法提供、转移基础数据罪,从刑法的角度对企业所拥有的这一战略性资源的行使提供强有力的规制。事实上,就刑法而言,对国家的重要资源的跨境流动进行管制并不鲜见,例如,为防止贵金属、珍贵文物流出境外而设立的走私贵金属罪、走私珍贵文物罪,为防止外汇流失境外而设立的逃汇罪。就重要性而论,基础性、关键性数据堪比贵金属、珍贵文物与外汇,因此,刑法适应大数据时代的客观需要,对事关国家战略安全的关键性、基础性数据予以特定的保护,对企业数据权的行使予以必要的限制应当是合理的,也是必须的。
2.企业数据权的规制:防范企业的数据垄断与数据“极权”
从长远来看,对企业数据权的规制,防范企业尤其是超级的互联网企业利用掌握海量数据的优势地位与支配性地位而实施不当行为,刑法还必须从两个方面作认真的思考与准备。
其一,审慎考虑以刑法手段防范企业的数据垄断。垄断是自由竞争的大敌,是严重破坏市场秩序的行为,世界上许多法治发达国家不仅在竞争法方面设置了相应的反垄断规范,更是动用刑法的威慑力来惩处严重的垄断行为,保护市场竞争秩序。这其中最为著名的即是美国。美国的反垄断法由三部法律组成,分别是1890年颁布的《谢尔曼反托拉斯法》、1914年颁布的《联邦贸易委员会法》和《克莱顿法》。按照美国反垄断法的规定,一旦企业被裁定有垄断嫌疑,不仅可能面临罚款、赔偿、民事制裁、强制解散、拆分等多种民事、经济惩罚,还可能面临监禁的处罚。例如,《谢尔曼反托拉斯法》第1条规定,以托拉斯或任何类似形式限制州际贸易或对外贸易者均属非法,违者处以5千美元以下罚金,或1年以下监禁,或二者兼科;第2条规定,凡垄断或企图垄断,或与其他任何人联合或勾结,以垄断州际或对外贸易与商业的任何部分者,均作为刑事犯罪,一经确定,处罚与第1条相同。[10]美国司法部使用反垄断法指控过多起垄断犯罪。例如,2010年以来,美国司法部启动对于汽车零部件行业的反垄断调查,日本的汽车零部件企业矢崎、电装和东海理化的美国总部均遭到突击搜查,3年之内,31家汽车零部件供应商接到罚单,46名涉事职员被指控,26人被判入狱,服刑时间从12至19个月不等,公司罚款总金额24亿美元。[11]
由于互联网企业的技术特性与行业特性,巨型互联网企业基于技术、资金优势与行业先机,相比其他行业更容易形成对数据的先发优势,有学者甚至认为,在大数据产业中不存在后发优势。从目前来看,有关数据的争议与案件已经开始从反不正当竞争领域延伸到了反垄断领域。2017 年 6 月,美国数据分析公司 hiQ 向加州北部法院提起诉讼,主张领英(Linkedin)拥有市场支配地位,推动法院于 8 月份发出临时禁令,要求领英(Linkedin)在 24 小时内移除妨碍hiQ 获取其公开数据的技术障碍。[注]由于领英已在市场上占据了非常大的份额,因此,美国法院初步确认领英在用户的职业信息领域的数据已经达到了市场支配地位。其次,由于领英以往是允许hiQ进行公开数据抓取的,法院对领英提出的“为保护用户隐私而禁止抓取”的动因持怀疑态度。同时,法院还质疑领英为何单单禁止hiQ抓取而不是禁止所有的第三方进行抓取。此外,hiQ声称领英正试图进入数据分析市场与hiQ展开竞争。法院在颁发临时禁令时基本上采信了hiQ的举证和说辞,判令领英不能禁止hiQ进行数据的抓取。参见瞿森.数据之争——盘点2017年与数据有关的争议[EB/OL].https://www.secrss.com/articles/1571.虽然目前该案只是发布了禁令,尚未终结,但其日后的走向值得关注。在中国国内,虽然目前还没有对数据垄断的司法裁判,但与数据垄断相似的不正当竞争案件已经在互联网领域逐渐凸显。 2008 年,大众点评诉爱帮网系列案件最早涉及“数据竞争”的问题。之后,有关“数据竞争”的争议不断出现,诸如,2013 年百度诉 360 违反 robots 协议案、2015 年新浪诉脉脉非法抓取微博用户数据案、2016 年大众点评诉百度地图抓取用户点评信息案、2017 年运满满诉货车帮盗取用户信息案,以及顺丰与菜鸟有关物流数据接口的争议,新浪与今日头条有关微博内容爬取的争议等。这些争议无一例外,均与平台的海量数据有关。由此可见,在不久的将来,数据垄断问题必然会更为凸显,由于数据的保护与流动天然存在冲突,基于自由竞争秩序在市场秩序中的基础性与关键性地位,是否使用刑法规制数据垄断行为以及如何规制,是未来刑法的一大课题。
其二,防范企业的数据“极权”。相比企业数据垄断,研究企业的数据“极权”并从法律规制层面提出控制对策是一个更为深远的命题,也是大数据时代给法律人所出的一个考题,因为数据“极权”是以往时代所没有而只是在人类社会进入大数据时代才出现的现象。笔者认为,所谓数据“极权”,是指企业基于技术优势与对人工智能算法的控制,在大量收集、捕捉、储存个人数据的基础上,对个人进行数据画像,再根据个人的画像不断向个体投递个性化的信息流,在个体习惯这种信息接收方式后逐渐成为被种种信息喂养的个体,最终导致企业所推送的信息轻易能够影响个人的决策,由此,数据成为控制、支配个人行为与生活的潜在性权力。
具体而言,这种数据“极权”体现为两种形式:一种是经济领域出现的“大数据杀熟”。其是指在市场中,同样的商品或服务,企业基于对海量数据与人工智能算法的掌握,根据搜集到的用户个人资料、购买习惯等行为信息,通过大数据模型建立用户画像,企业基于用户画像对用户进行精准识别、归类,并通过推荐算法开启个性化推荐,对消费能力高、消费意愿强的用户展示更高的价格,来赚取更多的利润。[12]虽然差别化定价与溢价销售是市场的常态,但传统的溢价销售是透明的,而在大数据时代,企业利用数据与算法优势对消费者的价格投放则是非透明的。让消费者蒙在鼓里且普遍要支付高于“正常价格”的金额,显然是违反市场公平规则和商业道德的行为。从目前来看,无论是中国的携程、滴滴、阿里,还是外国的亚马逊、苹果都被曝出“大数据杀熟”。2018年 3 月,中国青年报社社会调查中心联合问卷网,对 2008 名受访者进行的一项调查显示,有 51.3% 的受访者遇到过互联网企业利用大数据“杀熟”的情况,63.4% 的受访者认为互联网企业利用大数据“杀熟”的情况普遍。[13]另一种形式则更为严重,已经进入到社会政治领域,最为典型的例子就是Facebook数据泄露丑闻。2013年,当时在剑桥大学工作的研究者科根因研究需要从Facebook收集到了超过5000万用户的数据,并将其转手给了剑桥分析公司。该公司在用户不知情的情况下,秘密分析了这些个人资料,并将他们分为32种不同的人格,然后融入选民的Facebook足迹、消费足迹和投票记录等,以此制定了个人化的政治宣传,最终分析并影响他们的投票行为,帮助美国总统特朗普赢得了2016年的大选。在剑桥分析网站的首页,一行大字醒目而跳脱,Data drives all that we do(数据引导你的作为);而剑桥分析政治服务部门的广告语则是:“我们定位你的选民,打动他们让他们采取行动。”在官网上,剑桥分析列出了自己的光荣业绩:“为五大洲超过100场竞选提供支持;仅在美国,我们就为赢得总统选举、国会选举和各州选举发挥了关键作用。”谷歌公司研究员FranCois Chollet在泄露事件后发表了一系列推文,警告说Facebook的问题不仅仅是隐私泄露或缺乏信任,而是由AI驱动的Facebook很快就会成为“极权主义的圆形监狱”[14]。
上述现象使我们不得不面对一个客观事实,那就是,我们在享受互联网、大数据所带来的便利化、智能化的同时,也必须认识到,数据并非是数据那么简单,数据还是一种权力,互联网企业的数据持有者不仅可以为我们提供便利,也可能为持有者制造“贪欲”。面向万物互联的未来,大数据的深度利用与广泛共享是无法扭转的趋势,但当大数据无孔不入时,我们也要谨防数据规则远远落后于数字生活。在笔者看来,所谓数据“极权”的本质正是这些企业数据持有者利用其数据优势,通过算法技术瓦解“自我的真实”,严重侵害个人在经济活动与社会政治活动中的自由选择权,而这种自由选择权应当是民主社会与市场经济中个人自由的应有组成。从这个意义上讲,这种数据“极权”已经触及了民主社会与市场经济的核心价值观与基础性利益,必须加以干预,如果不对企业数据权的行使予以必要的规制,避免一些“数据王国”滥用数据权力,其后果不堪设想。具体到刑法而言,就保护客体的重要性是不言而喻的,因此,刑法在控制数据权滥用、防范数据“极权”方面应当有所作为。当然,从技术角度而论,如何将数据“极权”现象类型化,最终总结与抽象出具体的犯罪构成要件特征,则还有待法律人尤其是刑法学者更为深入、精细化的研究。
