数据安全法益的参照系与刑法保护模式
2021-01-12张勇
张 勇
(华东政法大学 刑事法学院,上海 200042)
一、问题的提出
近年,随着我国信息网络技术和数字经济快速发展,非法获取、泄露和滥用信息数据的新型犯罪不断增加,传统的犯罪类型也借助互联网载体不断发生变异,不仅侵犯公民个人的信息数据权益,而且对公共利益、社会秩序和国家安全也造成严重威胁,呈现扩散放大的负效应,数据安全从网络安全、信息安全的范畴中逐渐凸显出来。以往我国对信息数据安全的法律保障主要通过对计算机信息系统安全运行或对商业秘密、著作权益保护加以实现,数据安全法益在相关立法中始终处于附属和次要的地位。在大数据时代,数据安全风险及其防范问题越来越受到国家立法的重视,法律保护的重心也从网络载体、信息内容逐步转到数据本身,从静态的计算机安全到动态的网络运行安全,发生着质的转变。我国《网络安全法》于2016年通过、2017年实施,目前正在制定“数据安全法”和“个人信息保护法”,这三部法律将是支撑我国信息网络和数据安全法律保障体系的重要支柱,分别承担着保护网络系统安全、数据自身安全、个人信息安全的主要职能,彼此之间存在交叉重合关系。在不同的立法中,数据安全法益的地位和具体内容是不一样的,法律保护的重点和制裁手段也不同;同时,这些法律规定作为刑法中相关罪名的前置法规范,也发挥着重要的定罪功能。
从我国刑事立法来看,从1997年《刑法》对传统意义上的计算机信息系统安全加以保护,到2009年《刑法修正案(七)》及2011年最高人民法院、最高人民检察院(以下简称“两高”)《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机安全刑案解释》),再到2015年《刑法修正案(九)》,数据安全的刑事法保障也经历了一个从附属保护到间接保护,再趋向独立保护的发展和蜕变过程。在刑事司法领域,近年出现的许多新型网络数据犯罪的刑事案件,例如全国首例“打码撞库案”①“流量劫持案”②以及“网络爬虫”类刑事案件③,对涉罪行为的认定存在侵犯著作权罪、侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪等不同罪名适用的争议。对这些涉及数据安全犯罪予以刑法规制,首先需要对数据安全法益进行识别;在法定犯领域,法益识别离不开相关罪名的前置性行政法律规范为参照。目前,我国虽然制定实施了不少与数据信息有关的法律、行政法规以及行业标准等规范性文件,但从整体上看,数据安全立法尚缺乏系统设计,对数据安全法益缺乏明确界定,各法律法规相对分散,缺乏有效的衔接与协调。在法秩序的统一性的视域内,如何以数据安全领域相关立法为参照,对各种涉信息数据和网络犯罪行为所侵犯的法益性质予以识别,在对其罪质和罪量合理评价的基础上,妥当适用数据犯罪的具体罪名,并运用刑事、民事和行政法手段,实现数据安全法益的体系化保护,有必要加以深入研讨。
二、数据安全的内涵界定与法益属性
(一)数据安全立法中的数据安全
首先,应当明确数据本身的含义,厘清数据与信息的关系。数据就是对信息的记录,包括电子或者非电子形式,两者可谓是形式与内容的关系。相对于数据来说,信息是一个较为宽泛的概念,包括可识别的个人信息和不可识别的匿名化信息,可识别性是区分个人信息与一般数据的本质特征。《民法典》第一千零三十四条对个人信息的“可识别性”予以确认,并明确界分了个人信息与个人隐私之间的关系。关于数据与信息关系,学界存在不同认识,有的将信息与数据等同视之,有的则认为信息的内涵大于或小于数据[1]。信息的本质属性即内容层面的可识别性,而数据的本质属性是其形式层面的完整性、保密性、可用性。《网络安全法》第七十六条规定的“网络数据”即计算机信息系统中存储、处理或者传输的数据,属于信息与数据的交叉重合部分,即以电子化方式记录的信息。然而,“网络数据”并不完全是具有识别性的个人信息,还包括匿名化的信息,其不属于对外的信息内容,不能被人所识别。在计算机网络系统之外,信息是以电子以外的其他方式记录的,也属于数据,但不是“网络数据”,具体包括以固定形式存在的密码、情报、商业秘密等。可见,“数据”与“网络数据”的含义也不能完全等同,前者保护范围更广泛,还应包括未联网的计算机信息系统中存储、处理与传输的数据。
其次,数据安全与信息安全、网络安全的关系。一方面,由于数据与个人信息之间是形式和内容的关系,数据安全与(个人)信息安全存在重叠关系,如《个人信息保护法(草案二次审议稿)》第十条关于个人信息处理活动的禁止性规定,纳入了公共安全和国家安全的考量因素。作为一种非传统安全,数据安全的内涵除个人数据权益的安全保障之外,还应包含有关数据活动的社会利益、公共安全和国家安全。另一方面,根据《网络安全法》第七十六条的规定,“网络安全”的概念除包含保障网络稳定可靠的运行状态之外,还包含保障网络数据的完整性、保密性和可用性。根据《数据安全法(草案二次审议稿)》第三条的规定,“数据安全”是指有效保护和合法利用数据并使之持续处于安全状态。可见,上述条款中的“网络安全”与“数据安全”也存在交叉重合之处。然而,这里的“数据安全”只是狭义上的概念。有学者将数据安全概括为“自身安全”“自主可控”和“宏观安全”三个层面。其中,“数据自身安全”即通过身份认证、访问控制、数据防泄露、业务数据风险管理等技术和制度,确保数据的保密性、完整性、可用性[2]。从广义角度来看,“数据安全”是一个内涵层次丰富的概念,在不同立法中具有不同的法益属性;同一种数据行为所涉及的数据安全往往不是单一层次的,而是多层次的;数据安全的法益保护也具有多元性,由此决定了数据安全法益识别判断的复杂性。
(二)数据安全法益的多元性
在大数据时代,随着数据技术迭代引发的数据规模的爆炸式增长,数据安全的脆弱性与易受攻击性越发凸显。在此背景下,安全和秩序的价值必然成为数据安全的法律治理所着重考量的因素,也成为数据法益保护的重要内容。须指出,从法理角度看,法益与权利的含义是不同的,法益泛指所有受法律保护的利益,但不一定以权利的形式固定下来,法定权利包含在法益之内。因此,数据法益与数据权利的内涵也是有区别的,除了数据权利,也存在尚未被法律所认可的各种与数据有关的不同主体所拥有的数据利益。比较来说,数据法益侧重于保护社会秩序和公共利益,从正面给予某种数据利益以法律保护;数据权利侧重于保护个人权利自由,从反面强调权利行使必须排除他人的非法干预。当然,立法在强调数据安全和秩序价值的同时,也要顾及数据主体的权利自由的价值,反之亦然。例如,有学者认为,如果对个人数据只给予财产权的法律保护,大型数字平台就有可能在与个人用户的服务协议中增加数据财产权的转让条款,禁止第三方对数据的读取,这样就不利于数据合理利用和自由流动,可能造成数据行业的垄断局面,阻碍数字行业创新。还有学者指出,在大数据时代,为了平衡个人数据生产激励与个体隐私权保护的紧张关系,应当区别敏感个人数据和普通个人数据,前者的权属配置给数据主体,后者的权属配置给数据从业者和数据主体共同共有[3]。基于数据安全利益主体的多元性,法律应通过制度设计实现不同价值目标和利益平衡,而不是任由一方压制另一方从而违背数据公平正义的原则。
基于数据法益所蕴含的多元价值,数据法益可分为集体法益和个人法益。前者包括社会秩序、公共利益和国家安全,法益保护的重心在于安全;后者包括公民个人和社会组织的权利自由,法益保护的重心在于自由。然而,安全与自由这一对价值范畴并不是截然对立的,安全是自由的底线保障,而自由是安全的终极目标,两者是既对立又统一的。在数据安全领域,如何认识和处理好集体法益和个人法益的关系,涉及数据安全法益的价值和功能定位。关于集体法益相对于个人法益是否具有独立保护的价值,学界存在“一元论”“二元论”和“缓和的一元论”等不同主张[4]。“一元论”对所谓集体法益的独立属性持否定态度,强调公民个人权利自由的保障;“二元论”坚持肯定立场;“缓和的一元论”则持折中观点。目前,多数学者更倾向于“缓和的一元论”,这种学说承认集体法益的概念及其意义,同时认为,它不仅包括个人利益,也包括可还原为个人利益的国家利益与社会利益[5]。“二元论”则认为,集体法益并不隶属于个人法益,其自身是一个整体上不可分的客体,可以被每一个人平等、完整地享有,但是无法被分配或归属于个人[6];对于数据法益的不同内容应当进行识别,以此作为认定侵犯数据法益的行为是否定罪的根据。本文赞同集体法益“二元论”的主张,这种学说更契合信息时代数据安全法益保护的现实需求。首先,“缓和的一元论”虽然强调个人权利自由,但过分拉伸了“个人”的概念[7],将数据法益仅仅理解为公民个人权益,将其作为数据安全刑法保护的对象,就难以界分数据安全个人法益、社会法益、国家法益的不同层次和属性,使得相关罪名的法益失去了犯罪定型的机能。其次,“缓和的一元论”认为,集体法益只有能还原为个人法益时才具有保护的正当性[8]。对此观点,笔者并不赞同。不可否认,数据安全属于抽象性的集体法益,具有脆弱性、易受攻击性和不可控制性,存在司法认定上的困难,确实需要通过客观、具体的个人法益予以衡量;从相关罪名定罪标准的司法解释规定来看,也是以某种数据行为对个人权益造成的实际损害为主要依据。在很多情况下,数据安全作为一种“集体法益”可以被还原为个体的人格或财产权益,因而也是可感知、可评价、可衡量的。从罪刑法定原则和个人权利保护的角度看,对数据安全的法益保护不能放弃相对明确性的要求[9],诸如个人的安全感、畏惧感、信赖感等抽象要素,显然不能归属于数据安全法益保护的范围。但问题是,作为集体法益的数据安全是否必须能够还原为个人法益才具有可评价性、可衡量性,才能够受到法律保护?本文认为,数据安全法益不可避免地带有抽象性,但承认集体法益的抽象性、概括性并不意味着否定其客观性和独立保护的必要性,评价和衡量数据安全集体法益并不一定要采取这种“法益还原”的方式。换言之,即使数据安全法益不能还原为数据所蕴含的个人权利或权益,也不能因此否定其受法律保护的必要性。况且,仅着眼于个人法益实际受侵害的程度,也难以对数据安全法益作出完整的评价。因而,需要留出一定的裁量空间,积极发挥司法者的主观能动性,基于社会一般人的评价标准,对涉及公共安全和国家安全、抽象概括的法益内容进行具体判断。国家司法机关不一定要制定出有关罪名适用的定量化、规范化定罪量刑标准,也可以通过发布指导性案例的方式提供具体参照,这应当说也是切实可行的。
(三)数据安全法益的层次性
一般来说,刑法对某种法益的保护是以法益实际受到的侵害或者存在被侵害的危险为前提的。就数据安全法益来说,刑法首要保护的是数据利益主体对数据的排他性复制、使用与处分权益。数据安全法益主要是指数据与主体关系的稳定性,包括主体对数据控制状态、占有状态、利用状态的稳定以及数据不被其他主体窃取、篡改、使用、破坏状态的稳定。然而,在数据的流动和使用过程中,初始权利主体逐渐不再拥有对个人数据的完全控制权,数据利益主体呈现多元化趋势,从数据权利主体扩展至数据的收集者、使用者及处理者。数据安全法益越来越多地呈现出社会公共性,数据安全的利益谱系也具有个人安全、公共安全和国家安全不同层面[10]。对数据的非法获取、破坏和滥用行为不但会对个体权益造成严重侵害,还会对公共利益、社会秩序和国家安全造成实际侵害或危险。公民个人虽可以利用信息网络技术手段实施违法犯罪行为,但却无力对数据安全进行维护,无法承担信息网络安全保护义务,二者只有依赖社会集体的共同协作才能得以实现。因此,数据的公共安全、社会秩序和国家安全必然成为公法保护首要考量的价值目标,而个人数据权利或权益则更多地在私法领域中加以保护。
从刑法角度来看,不是所有的数据法益都是值得保护的,这是由刑法作为后盾法、保障法的体系地位所决定的。某种数据只有经过以数据安全为核心的法益识别和利益衡量之后,才能被视为刑法所必须保护的法益。首先,刑法对数据风险的识别是将数据安全法益规范化、明确化的过程,其意义在于,对某种数据处理行为对数据安全所造成的实质侵害或危险进行评价,确定是否有必要追究刑事责任以及刑事责任大小。刑法中数据安全的法益识别包括两层含义:一是判断某种数据所承载的利益是否能够上升为刑法法益;二是确认数据行为所侵犯的权利或利益是何种法益。其次,刑法作为制裁措施最为严厉的部门法,不可能将所有危害社会的行为均纳入规制范围,也不会将所有利益因素均纳入保护范围,而是在法益识别和筛选方面更加严格,经过利益衡量后确定值得刑法保护的法益类型。对相关罪名的认定,需要以最重要的数据法益保护内容为核心,对其构成要件进行解释,在罪刑法定的框架下加以利益衡量[11]。从总体国家安全观的角度看,数据的公共安全、国家安全无疑更为重要,具有优先的法益地位。然而,在涉及数据法益的个人、社会和国家安全之间发生利益冲突的时候,也不能因为过于强调国家和社会公共法益而轻视甚至舍弃对个人安全法益的保护,而应当兼顾两者之间的平衡。
三、数据安全法益识别的立法参照系
(一)数据安全法益识别与参照系的价值
根据风险管理的一般理论,风险识别是国家政府和社会组织进行风险管理的基础,从社会治理角度看,通过规范化的法律手段,可以有效提升治理效果,规制和防范公共安全风险。在大数据时代,“数据风险”成为新型的社会风险因素,具有高频度、可变性和不可预见性,呈现“法益侵害风险社会化”的趋向[12]。从数据处理活动的动态过程上看,在数据收集、处理和使用的各个阶段均存在数据安全遭受侵害的风险,以已知或未知的形式在整个社会层面造成严重威胁和实际危害。从数据安全风险防控的角度看,需要经过数据安全的风险识别,根据相关法律法规,确认某种数据所蕴含的法益性质;而数据安全的法益识别,离不开一定的法律规范作为参照系,以下予以详析。
其一,数据安全法益识别及其路径。数据安全法益识别,即以数据安全为核心,明确某种数据安全法益的保护范围与程度,促进实现不同数据利益之间的平衡关系。主要有立法和司法两种途径:(1)立法层面,通过制定法律确认个人、企业、国家的数据利益,以及在不同法律法规中数据安全的法益地位,使数据安全法益保持应有的独立属性。《数据安全法(草案二次审议稿)》第四章规定了数据安全保护义务,其中第三十一条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。在数据安全法益的立法识别中,应当充分发挥数据安全法律领域的基本法作用,防止与其他法律法规之间出现内容重复或产生冲突,避免孤立地考量数据安全法益作为新兴法益的特殊性,而否定传统法律保护手段在数据领域的适用[13]。(2)司法层面,通过有关信息数据保护法律法规的司法适用,检验和甄别数据安全法益保护的合理性和妥适性。在私法实践中,数据安全的法益识别及其法律适用是运用民法、行政法和刑法等不同法律法规完成的。一般来说,有关数据个人用户知情同意等人格权利与数据财产权益保护,应当适用民法、消费者权益保护法等私法领域的法律规定;涉及数据处理者及数据管理机构的安全保护义务的,可适用有关行政法规,对于相关责任人员或单位的行政违法行为予以行政处罚。以上不同法律法规的适用,有利于充分发挥不同法律手段的规制和预防功能,体现不同的立法价值目标,共同实现对数据安全法益等级化、层次化的保护,形成数据安全风险防控法律体系。
其二,数据法益识别中参照系的价值。参照系又称参照物,属于物理学概念,即为确定研究对象的位置和描述其运动而选作标准的另一物体。从不同的参照系来看,同一物体的运动状态是不同的。同世界万物一样,任何法律规范都是普遍联系的,也是不断运动变化的,参照系可被看作一种法学论证方法加以运用[14]。研究某一种法律,必须以其为质点,选取另一种法律作为参照系,将其固定下来进行对照;或者选择不同的法律作为参照系,从不同角度进行对比。同时,还需要参照该法律在其产生发展的不同阶段的立法变化,从而更准确、更深刻地认识和理解作为质点的法律的本质内容。因此,对于数据安全的法益识别也有必要运用参照系的论证方法,以数据安全相关立法作为参照,对某种数据对象或数据处理行为所蕴含的法益性质及其对于数据安全的重要程度进行认识判断。如前所述,数据安全作为一种集体法益,相对于个人法益来说,其本身具有独立保护的价值;同时,数据安全也包含着个人法益内容,因而又具有一定的从属性。数据安全法益虽有独立保护的必要,但对其中的个人法益进行识别也需要参照与个人信息权利保护有关的法律规范;更何况,数据安全的集体法益具有抽象性、模糊性,对其进行法益识别更离不开相关法规范为参照。数据安全法益包括个人法益、公共法益、国家法益三个层次,对某种具体的数据法益来说,从个人权利到社会秩序、公共利益乃至国家安全,往往具有不同层次的内涵,法律保护的重点也不同。对某种数据对象或数据行为进行法益识别,首先要选择其所对应的法律规范作为参照系,在此基础上,再确定法律所要重点保护的法益内容和层次,这是正确适用相关罪名予以刑法规制的前提。
(二)不同立法参照系的功能区分与互补
在我国数据安全立法中,已颁布施行的《网络安全法》和正在制定中的“数据安全法”“个人信息保护法”属于基础性法律,三者之间存在交叉重合关系,都可以将“数据”“个人信息”或“网络数据”作为调整对象。数据安全往往也意味着信息安全、网络安全,可以受到上述法律法规以及《国家安全法》《保守国家秘密法》《密码法》等法律的保护。在不同的立法参照系下,法益保护的重点也不同,对于数据安全保护重要性的认识是存在差别的。例如,在“个人信息保护法”中,个人信息权益(如知情权、同意权)被作为重点保护的法益,但其在“数据安全法”、《网络安全法》中居于次要的法益地位,后者虽有涉及,但重点保护的是数据自身安全和网络系统运行的安全性。因此,在对某种数据法益进行识别时,选择何种立法作为参照系显得十分关键。
在数据安全法益识别方面,“数据安全法”“个人信息保护法”与《网络安全法》作为立法参照系,既存在功能的差异性,同时也有一定的互补性。首先,如前所述,“数据安全法”中的数据安全与《网络安全法》中的网络安全存在较大的内涵重合,法律保护的“数据”对象范围较大,不仅包括线上的“网络数据”,也涵盖了线下的电子数据,但不包括非电子数据。这也决定了这两部法律保护的重心存在差异,作为参照系的法益识别功能也不同。为了避免两者不当交叉,并发挥互补效应,应对两者的调整对象范围予以界分。其次,“个人信息保护法”保护的重点是个人信息安全,即在个人信息处理中如何避免受到非法收集、滥用和泄露等不法侵害。而“数据安全法”的出台,旨在重点保护信息载体即数据的处理活动,它与“个人信息保护法”的立法出发点和法益保护重点不同。同时,两者也不是截然分离的。因为两部法律所规制的对象——信息和数据——其实是一种事物的两个侧面,对“个人信息保护法”中个人信息法益的理解可援引“数据安全法”中的相关规定,反之亦然。再次,在上述法律法规中,个人信息(数据)、网络数据(信息)是就不同层面而言的,所调整的对象具有重合性。这就决定了对数据安全法益识别,不可能只依赖其中一部法律作为参照系,或者说,数据安全法益识别并不排斥选择多种参照系。从法秩序统一性角度看,在对某种数据(信息)处理活动所涉及的法益识别过程中,应当将不同的立法参照系都纳入视野范围,加以对比和衡量,根据法益保护内容的重要性程度,选择其中一部法律法规作为主要参照系,其他相关法律法规及行业规范则作为补充。不同的立法参照系之间也可以相互援引,并加以体系解释,以使数据法益识别和判断的结论得到更好的印证。例如,对于侵犯公民个人信息罪中“违反国家有关规定”的界定,可以结合《网络安全法》第四十一条的规定予以理解和把握。根据该条规定,“非法获取公民个人信息”的“非法性”除违反法律法规之外也包括“违反双方约定”。实践中,如果网络平台经营者收集用户个人信息的行为违反了法律法规或双方约定,都可认定为“非法获取”行为,从而成为侵犯公民个人信息罪的客观行为构成要件,这更有利于个人信息主体知情同意权的行使和个人数据安全的法益保障。
(三)数据安全刑事立法的参照系问题
1.数据犯罪内涵的立法比较
在国外,许多国家刑事立法对数据安全的保护都是从针对计算机信息系统实施的非法侵入、破坏、控制等犯罪行为开始的,计算机信息系统安全具体包括计算机数据、计算机系统及计算机本身的安全。如,美国1986年《计算机欺诈与滥用法》尽管多以信息为保护对象,但并没有忽视对数据资料以及代码指令等计算机信息系统数据的保护。在《德国刑法典》以及《德国刑法第41次修正案》中,计算机网络犯罪罪名体系的核心概念便是数据,主要包括探知数据罪、变更数据罪和破坏计算机罪、截取数据罪、探知数据和截取数据的预备等罪名[15]。日本1987年修正刑法典明确界定了“电磁记录”的含义,即以电子方式、电磁方式以及其他不被人感知的方法制作的电子计算机处理信息使用的记录,与我国的电磁数据、电子数据等概念所指涉范围基本相同[16]。须指出,上述国家大多是《网络犯罪公约》的缔约国,其国内立法受到该国际公约的重要影响。《网络犯罪公约》规定了9种网络犯罪行为,如违法接触、违法拦截、数据干扰、系统干扰、装置滥用等,也都是以计算机信息系统安全为核心,或者说,是以计算机系统安全为参照系对数据犯罪予以刑法规制。
在我国,刑法中的“数据犯罪”有广义和狭义之分。本文中的“数据犯罪”是从狭义层面来理解的,即在计算机信息系统内以“数据”为对象,非法获取或删改网络数据,危害数据安全的行为。具体包括《刑法》第二百八十五条第二款、第二百八十六条第二款规定的两种犯罪类型:非法获取计算机信息系统数据罪和破坏计算机信息系统罪(非法删除、修改、增加计算机信息系统数据)。前者为获取型数据犯罪,后者为破坏型数据犯罪。从法益性质来看,上述罪名以数据安全为核心,即以数据的保密性、完整性和可用性为法益内容,因而,也可称之为“数据安全犯罪”。从广义角度看,“数据犯罪”则包括所有以数据为对象、载体或工具,侵犯公民个人权益、社会秩序或公共利益、国家安全的犯罪。广义上的数据安全其实早已被我国刑法确立为保护法益,而非一种“新型法益”。与数据安全保护相关的罪名明显不限于上述狭义的数据犯罪,有的罪名是将数据作为个人信息加以保护,有的罪名则是将数据作为计算机信息系统的内在组成部分加以保护[17]。不同罪名的法益性质不同,保护重心也不同,相互之间也存在重合和交织,这些罪名均具有公共安全法益的共同属性。在数据安全法益的界域内,狭义的数据犯罪罪名与侵犯公民个人信息罪以及其他信息网络犯罪的关联罪名一起构成数据安全保护的罪名体系。
2.数据安全刑事立法的参照系
在信息时代,数据犯罪手段日趋技术化、复杂化,如拖库撞库、数据拦截、木马植入、网络爬虫等,这种技术范式的转变必然要求刑法规范层面加以应对。我国数据安全法律保护从整体上经历了一个从静态保护到动态保护的发展变化过程,数据安全立法的发展变化影响着刑事立法和司法。对某种数据犯罪行为所侵犯法益的刑法认定,离不开以相应的前置性法律规范为参照,其可作为罪质界定和罪量评价的依据。数据犯罪属于典型的法定犯,确定《刑法》第二百八十五条第二款与第二百八十六条第二款中“违反国家规定”的前置法,是选择数据安全法益识别立法参照系的关键。
在数据犯罪的不同罪名中,数据安全法益往往属于复杂客体,对计算机信息系统安全、公民个人信息安全到数据自身安全的保护重点也存在差别。从我国刑事立法发展来看:首先,《刑法》第二百八十五条第一款、第二百八十六条规定的非法侵入计算机信息系统罪和破坏计算机信息系统罪中,法益保护的重点均为计算机信息系统,而非信息数据的自身安全,刑法并没有对网络数据法益保护的独立性予以足够重视。其次,《刑法修正案(七)》在第二百八十五条增设非法获取计算机信息系统数据罪、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,将适用对象范围限定于“身份认证信息”,与侵犯公民个人信息罪中的“公民个人信息”对象范围产生了一定的交叉重合,实践中为司法机关带来定罪上的困难。上述数据犯罪行为所侵害的法益并非仅仅是技术层面的网络系统安全,而是作为信息载体的数据安全。然而,刑事立法对上述罪名及其构成要件的表述依然沿用了过去传统意义上的“计算机信息系统数据”的概念,不恰当地限缩了数据犯罪的适用对象范围,显然无法适应网络数据内容、类型多样化的特点和要求。再次,《计算机安全刑案解释》首次使用了“计算机系统”的术语,与“计算机信息系统”相区分,并将几乎所有与计算机相关联的网络终端设备都扩张解释为计算机信息系统。然而,该解释始终未区分数据的对象功能和媒介、工具功能,未能结合独立的数据安全法益来加以说明,“数据犯罪”最终为传统的计算机安全犯罪所遮蔽,这显然是不合理的,可能导致数据犯罪罪名的滥用,使得数据犯罪的两个罪名都有成为“口袋罪”的趋势,有过度扩大解释之嫌[18]。实践中,如果将出售破解版电视机顶盒、开发软件插件、利用加粉软件强制加粉等行为也认定为非法获取计算机信息系统数据罪,显然是不适当的。最后,《刑法修正案(九)》将侵害个人信息的两个原有罪名合并为侵犯公民个人信息罪,通过修改并扩大犯罪主体构成要件范围、加档提升法定刑加大了处罚力度。同时,2017年“两高”出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑案解释》)进一步界定了“公民个人信息”的对象范围。然而,应当看到,《刑法修正案(九)》仍未明确数据的法定内涵,未将其与个人信息予以界分,也未对数据安全法益予以独立保护,而是将数据杂糅进侵犯公民个人信息罪的适用对象范围,对涉信息数据犯罪行为予以模糊化处理,这也导致司法实践中因法益性质界定不清而使罪名适用产生偏差。
综上所述,目前我国数据犯罪的刑事立法在观念和规范层面仍然存在不足。刑事司法解释的相关规定也偏重于对信息网络安全的保护,以“计算机信息系统安全”为中心,通过扩大解释其内涵,实现对数据犯罪的刑法规制。然而,以“计算机信息系统安全”来表述数据安全的法益性质和内容,并不符合信息时代数据犯罪的本质属性,实践中也会导致数据犯罪与其他计算机犯罪难以区分;同时,由于相关罪名的量刑标准存在差异,罪名适用不当也会带来处刑畸轻畸重的问题。在现有的刑事立法背景下,如何合理运用司法解释方法,准确界定某种数据行为所侵犯的重点法益,找到与之相应的前置性法律规范,作为评价该行为是否定罪、应定何罪的参照系,显得尤为重要。
四、数据安全刑法规制的参照系功能及适用
(一)基于数据安全法益识别的数据犯罪认定
我国刑事立法采取“定性+定量”模式,认定犯罪首先是罪质的判断,同时也离不开罪量的评价。确定数据犯罪的入罪门槛,关键在于对法益性质的界定。以相关前置法规范为参照系进行法益识别,判断数据犯罪对象所反映的客体性质、客体所遭受的侵害程度,明确其对数据安全的重要程度,对犯罪行为的罪质和罪量予以评价,决定是否适用数据犯罪的罪名。
1.数据犯罪的罪质界定及参照系
在现有刑法规定的基础上,对数据犯罪中数据本身的性质和内容、数据使用价值的大小、数据安全权益可能遭受的侵害风险及刑法保护的必要性进行规范评价,从而更合理地解释数据犯罪的构成要件,是十分重要的。以下对狭义上数据犯罪的两个具体罪名的罪质认定加以研讨:
首先,非法获取计算机信息系统数据罪的罪质界定。关于此罪的法益性质,学界存在不同认识。持“单一法益说”的学者认为,此罪名的保护法益或者说犯罪客体是单个的,具体表述不尽一致,如“计算机信息系统安全”“计算机信息系统运行安全”“信息安全”“数据传输的私密性”等。持“复合法益说”的学者认为,此罪名的保护法益是复合性的,有的将其表述为“数据安全与系统功能法益”[19],有的将其表述为计算机信息系统的管理秩序、运行秩序及系统内存储、处理或传输的数据的安全等[20]。认定此罪的关键是正确把握刑法所保护的数据安全法益,即数据收集和使用过程中的保密性、完整性和可用性。数据安全立法所保护的重心不是计算机信息系统,而是数据安全,计算机信息系统的作用仅在于对数据的类型进行限缩,而不应该用计算机信息系统安全这一泛化的概念遮盖数据安全法益的保护价值。实践中,本罪的行为表现形式多样,如非法获取游戏账号密码后销售、转让账户内的游戏币;非法获取游戏账号或者个人QQ、邮箱等登录账号密码等。司法机关应当依据“数据安全法”以及《网络安全法》等法律法规、行业规范中有关保护数据的保密性、完整性和可用性的规定,结合具体案件事实选择适用该罪名的前置法,并从数据安全法益的角度进行罪质界定和罪量评价,判断某种数据处理行为是否构成此罪。例如,全国首例“‘爬虫’入刑案”④,被告人晟品网络科技公司不当使用网络爬虫技术的行为,被认定为侵害了数据的保密性。该案的裁判理由认为,被告单位采用“爬虫”技术获取“公开视频信息”,作为载体的视频数据本身仍然具有保密性,也有刑法规制的必要[21]。在该案的罪质认定中,法院明确区分了作为形式载体的数据和作为数据内容的个人信息,将数据载体的保密性作为刑法保护的重点。上述案件刑事裁决对数据犯罪的刑法法益予以独立评价和重点保护,改变了以往将其附属于计算机信息系统安全或混同于个人信息安全的传统认识和处理模式,是值得充分肯定的[22]。须讨论的问题是,作为本罪的保护对象,“数据”是否仅指不具有可识别性的信息?在我国信息网络领域立法中,“可识别性”被认为是个人信息的本质特征,也是判断个人信息保护法益的基本标准。根据《网络安全法》第七十六条的规定,个人信息分为可识别的身份信息和个人私密信息。《个人信息保护法(草案二次审议稿)》第四条对个人信息的界定采取了“已识别”与“可识别”相结合的模式,个人信息的可识别性同样被立法所确认。有学者认为,个人信息与普通“数据”的最大区别就在于其具有“可识别性”,能够识别特定主体的身份,只有可识别的个人信息才具有隐私性和自决性,才能作为个人信息保护法的调整对象,不可识别的信息则应作为普通的“数据”,由“数据安全法”、《网络安全法》予以保护[23]。根据此种观点,非法获取计算机信息系统数据罪的对象就应当排除具有可识别性的个人数据信息,由此将该罪与侵犯公民个人信息罪加以界分。如果不当地加以限缩解释,使该罪的适用范围小于侵犯公民个人信息罪的对象范围,两罪的定罪量刑标准存在差别,就可能造成两种罪名适用上的漏洞或冲突。
其次,破坏计算机信息系统罪中“删除、修改、增加数据”的罪质界定。关于本罪的法益性质,有的学者将其表述为“计算机信息系统的功能安全和数据安全管理秩序”[24],有的学者则将其表述为“数据的安全性与应用程序的完整性”[25],不一而足。“就破坏计算机信息系统罪的规范目的而言,理解为同时包含计算机系统的安全与数据的安全,是更为合理的选择。”[26]就删除、修改、增加数据的行为而言,如果未侵害数据信息的可用性和完整性,就不能构成此罪。例如,最高人民法院于2020年12月29日发布的145号指导性案例即“张某某等非法控制计算机信息系统案”中,法院裁判认为,被告人张某某等为了赚取赌博网站广告费,提高搜索引擎命中率,通过植入木马程序的方式,非法获取存在防护漏洞的网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,上传网页链接代码;但这种行为未造成网络系统功能实质性破坏或者使其不能正常运行,不应当认定为破坏计算机信息系统罪,应当认定为非法控制计算机信息系统罪。可见,判断行为所侵害的法益是数据安全还是计算机信息系统安全,是区分两罪的关键,而对法益性质和保护程度的识别判断,则有赖于对作为参照系的前置法的确定和把握。如果根据“数据安全法”的相关规定来判断,删除、修改、增加数据的行为没有危及数据的持续安全状态,就不宜认定为破坏计算机信息系统罪,否则可能导致该罪名的“口袋化”,与其他计算机犯罪的罪名发生适用上的冲突;同时,由于不同罪名的定罪处刑标准存在差别,如上述案件所涉及的破坏计算机信息系统罪的基本法定刑是五年,非法控制计算机信息系统罪的基本法定刑的上限是三年,如果将被告人的行为认定为前罪,则会导致量刑偏重,这从根本上说是由于对其行为的罪质认识不当所致。
2.数据犯罪的罪量评价及参照系
我国《刑法》中数据犯罪的构成要件采取“定性+定量”的立法模式,“情节严重”是常见的罪状表述方式。根据《刑法》第二百八十五条第二款和第二百八十六条的规定,非法获取计算机信息系统数据罪、破坏计算机信息系统罪的罪量构成要件分别是“情节严重”和“后果严重”,这种综合性的定罪标准带有概括性和模糊性,需要司法机关作出具体判断。随着互联网和大数据的广泛运用,数据安全法益内容的日益技术化和抽象化会使司法机关对相关罪名的定罪量刑产生困难。数据犯罪的定罪标准从“数额为主,情节为辅”转向“数额与情节并重”或“以情节为主”的模式,以合理评价数据犯罪的法益侵害程度。在此情况下,应当立足于数据犯罪相关罪名的前置法规定,根据数据安全法益保护的必要性及重要程度,明确数据犯罪的数额或数量标准和综合性情节的罪量评价要素。跟普通的经济犯罪一样,数据犯罪也是采用违法所得、经济损失等定罪数额、数量标准。例如,《计算机安全刑案解释》第一条对非法获取计算机信息系统数据罪的“情节严重”定罪标准进行了列举,其中包括经济损失、违法所得、计算机台数、身份认证信息组数等。上述标准虽在一定程度上反映了该罪对具体个人法益所造成的危害,但未能充分评价其对数据安全集体法益的侵害程度,特别是对公共安全、国家安全所形成的危险程度。同时,该司法解释第四条对破坏计算机信息系统罪的定罪标准“后果严重”规定了数据赖以储存的计算机台数,违法所得或经济损失数额以及造成为一定数量计算机或用户服务的计算机信息系统不能正常运行的小时数等。然而,对数据犯罪的罪量不能仅仅从行为对公民个人所造成的实际侵害或损失加以评价,而是应当更多地考虑行为对社会秩序、公共利益乃至国家安全的侵害或影响。刑法规范本身就是明确性与模糊性的统一,允许一定的抽象、概括的罪量因素存在,作为具体、定量化标准的补充,更能完整地反映数据犯罪的本质属性和罪量特征。将来的刑事立法或司法解释,应在原有数据安全定级要素基础上增加新的内容,采用新的罪量评价标准,诸如数据流量、安全漏洞数、注册会员数、点击浏览或下载数量、系统正常运行时长、网络中断时长及影响用户数、网络故障导致的事故损害后果等。非法获取、删除、修改、增加数据对社会秩序、公共利益或国家安全的侵害和影响越大,新型罪量因素的定罪量刑作用就显得越重要。另外,上述罪量因素中有的具有明显定量特征,如果经过司法实践检验进行“数量化”是切实可行的,可以通过司法解释明确规定其为定罪量刑的具体数量标准;有的罪量因素是比较模糊和抽象的,则不一定被明确规定为具体数量标准,但可以放入“情节严重”或“后果严重”中综合加以考量。数据安全法益本身是抽象的,在制定司法解释明确数据犯罪的定罪标准时,应当设置一定的柔性规范或兜底规定,允许法官在个案审理中保留一定的自由裁量空间,这样更有助于实现定罪量刑的实质公正。
(二)不同参照系下数据犯罪罪名适用的衔接协调
在数据犯罪中,数据是犯罪行为所指向的对象,而不是行为人实施其他犯罪的工具或手段,这是数据犯罪与侵犯人身、财产权益等传统犯罪区别的关键所在。对此,司法机关需要以相关立法为参照系,根据信息数据类型的不同,判断其所反映的法益本质,综合考虑数据处理行为对数据安全法益所造成的侵害或影响,作为区分狭义上的数据犯罪与其他关联罪名的实质根据。
首先,以数据犯罪的前置法规范为参照确定行为所侵犯的法益性质。将某种数据处理行为所涉及的法益性质界定为个人法益、公共法益还是国家法益,将直接决定或影响刑法中数据犯罪及关联罪名的认定。我国《民法典》《反不正当竞争法》《保守国家秘密法》《国家情报法》《中国人民解放军保密条例》等现行法律法规分别对个人信息和商业秘密、内幕信息、国家秘密、国家情报、军事秘密等予以保护,与数据安全法益保护的对象存在交叉重合,相关罪名也存在竞合关系。对《刑法》中相关罪名的构成要件设置和司法认定,需要依托前置性行政法律规范及行业标准,针对不同安全等级的数据处理行为,设定数据安全法益保护的命令性义务、禁止性规范及刑事责任,设置刑事风险防范的法律底线,侧重体现对于数据安全保护的特殊要求。据此,司法机关在认定数据犯罪及其关联罪名的时候,就可以作为认定前置性法律规范、进行刑事违法性判断的参考依据。同时,也应当注意不同前置法规范之间的衔接协调问题。例如,《个人信息刑案解释》对行踪轨迹信息等四类敏感个人信息的定罪情节作出了比一般个人信息更严格的标准要求,但没有包括更为敏感的个人生物数据信息;《个人信息保护法(草案)》则规定个人生物特征信息保护的规则,这就需要在这些法律规范及司法解释之间进行体系性思考并进行衔接适用。另外,信息安全、数据安全领域存在诸多行业规范,对相关单位或个人依法合规地开展数据处理活动具有很强的指导作用,但它们并不具有法律效力,相对于“数据安全法”等法律法规来说,对数据利益主体的安全保护义务要求更高,而《刑法》所规制的入罪门槛必须是数据安全保护的“最低安全基线”,与行业规范设置的安全标准存在差异,不能等同。为了避免刑事打击范围过大,应将行业规范作为前置性法规范中的参考依据,但不宜直接将其作为判断刑事违法性、认定犯罪的法律根据。
其次,根据行为所侵害法益性质选择适用数据犯罪及关联性罪名。根据我国现行《刑法》的规定,非法获取信息数据的行为可能构成侵犯公民个人信息罪,侵犯商业秘密罪,非法获取国家秘密、情报罪,以及非法获取军事秘密罪等多个罪名,这些罪名规定对承载着包括公民个人权利、市场经济秩序、国家安全、国防利益等在内的重要数据信息予以不同程度的类型化保护,形成了一套以数据信息法益保护为核心的罪名体系。若某种数据不在上述罪名保护的对象范围之内,则可考虑是否认定行为构成数据犯罪。在网络系统空间,信息和数据是不能截然分开的,两者如同一枚硬币的两面。如果行为人非法获取计算机信息系统中的数据,其行为触犯了非法获取计算机信息系统数据罪或侵犯公民个人信息罪,属于法条竞合,应按照“特别法优于普通法”的原则处理。但究竟何种罪名属于“特别法”的规定,选择适用何种罪名,则离不开相关前置法的参照系作用。在司法认定中,应当以“个人信息保护法”或“数据安全法”、《网络安全法》为参照系,识别和判断该行为所侵犯的重点法益的性质及危害程度。如果以“个人信息保护法”为参照,从个人信息权益保护角度看,非法获取计算机信息系统数据罪属于“特别法”规定的罪名;如果以《网络安全法》、“数据安全法”为参照,从计算机信息系统安全保护的角度看,侵犯公民个人信息罪则为“特别法”规定的罪名。
再次,从系统论角度看,以数据安全为核心,相关民法、刑法、行政法及行业规范共同形成了数据安全法益保护的法律规范体系,其内外部应当是衔接协调的。数据安全法益识别需要运用多种立法参照系加以对比,从而选择合适的法律规范予以保护,尽量避免法律规范之间的重复和冲突。从法秩序统一性角度看,数据安全法益保护需要依靠各种法律手段共同发挥作用,司法机关应将某种违法犯罪行为放置于整个法律保护体系之中加以考量,进行违法性的层次性判断,实现刑民关系、刑行关系的衔接协调。
注释:
①参见浙江省杭州市余杭区人民法院(2017)浙0110刑初664号刑事判决书。
②参见上海市浦东新区人民法院(2015)浦刑初字第1460号刑事判决书。
③参见北京市海淀区人民法院(2013)海刑初字第2725号刑事判决书;天津市南开区人民法院(2017)津0104刑初740号刑事判决书;江苏省淮安市淮安区人民法院(2018)苏0803刑初644号刑事判决书。
④全国首例“‘爬虫’入刑案”即上海晟品网络科技有限公司非法获取计算机信息系统数据案,又称“今日头条案”。参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。