我国数据安全法益保护:域外经验与立法路径
2022-02-15蔡士林
蔡士林
(1.中国矿业大学人文与艺术学院,江苏 徐州 221116;2.中国矿业大学安全工程学院,江苏 徐州 221116)
互联网的迭代式发展加快了信息和数据在网络空间中的流通速度,使现实社会和虚拟世界紧密连接在一起。在生活的方方面面均由数据①驱动的今天,数据不仅是21世纪的“石油”,它更像是我们呼吸的空气,因此基于数据获取、泄露、破坏等目的进行的犯罪增量惊人。数据犯罪治理正备受世界各国的关注,例如美国的《计算机欺诈和滥用法》(Computer Fraud Abuse Act,CFAA)、英国的《计算机滥用法》(Computer Misuse Act,CMA)以及德国《刑法典》等法律都为数据犯罪治理提供了依据。
为应对数据侵权行为滋生的刑事风险,我国1997年《刑法》增设了“破坏计算机信息系统罪”,并在2015年《刑法修正案(九)》中添加了双罚制,2009年《刑法修正案(七)》又增设了“非法获取计算机信息系统数据罪”。检视我国刑法对于数据安全的保护,其立法遗憾之一就是由于坚守以“计算机信息系统”为核心的保护体系,不合理地弱化数据法益独立保护的重要性,致使对数据犯罪的规制既不全面也不协调。基于以上背景,本文立足于将数据安全作为独立法益予以保护的刑法猜想,分析域外立法的模式与经验,指出目前我国数据立法存在的问题,并就如何实现数据安全法益的独立保护提出相应对策。
一、数据安全属于独立的刑法法益
在数据泄露、数据篡改以及数据非法使用等风险肆意蔓延的背景下,美国学者沙尔茨(Saltzer)和施罗德(Schroeder)首次提出了“数据安全”(Data Safety)的概念。数据安全包括数据的保密性(Confidentiality)、完整性(Integrity)和 可 用 性(Availability)。保密性指在特定情形下,系统维持一种自上而下的权限,并控制那些有权获取信息的人[1]。随着数据商业化的大面积推广,保密性也被赋予了新的含义。正如约克大学商学院茨威格(Zweig)教授所言,数据时代的保密性指属于云服务消费者的数据在任何情况下都不会被泄露给未授权方的数据隐私[2]。一些立法者也对数据保密性进行确认,例如《美国法典》第44篇第35章第3542条规定,保密性指“对信息获取和披露的授权限制,包括保护个人隐私和专有信息的手段”。此外,完整性指在存储或传输的状态下数据不会被未经授权的人篡改,而可用性指及时、可靠地获取和使用数据[3]。
数据安全属于数据刑法的法益具有合理性。数据安全法益是基于自身的内容、利用价值和侵害风险所作出的独立规范评价,它能更加合理地解释数据犯罪的构成要件,为疑难案件的解决提供新思路和新方法。首先,它充分考虑了数据安全背后原有的技术样貌。大数据时代,数据异构性、规模性和复杂性决定了数据侵害的层次性。早在20世纪70年代,贝尔-拉·帕杜拉模型(Bell-La Padula Model,BLP)和毕巴模型(BIBA)就对数据的保密性和完整性作出了系统性阐述,此后这一阐述在数据安全的技术实践中被广泛应用。因此,技术特征应当成为数据犯罪中对“数据”进行界定的主要依据,而这也可以为后续数据权利的行使和保护奠定基础。其次,它反映了数据安全在不同场景下的保护内容。数据生存周期大致分为采集、传输以及存储等6个阶段,不同阶段对数据保护的侧重点各不相同,例如采集阶段重点保护数据的可用性和完整性,而传输阶段重点保护数据的安全性和保密性。数据本身的可复制性和共享性特征使数据商用价值被无限放大,进一步导致数据犯罪主体多元化和犯罪行为隐蔽化并增加了司法实践所面临的障碍。而对数据安全法益的实质考察为划清犯罪边界提供了工具,例如对删除、增加或修改数据但并未侵犯数据安全法益的行为不作定罪处罚。最后,它可以准确界定数据行为的性质,防止犯罪圈的肆意扩张。犯罪实行行为机能的实现与实行行为的法益侵害性这一实质内容有关。通常数据犯罪行为的法益侵害程度被表达为“违法所得”“经济损失”等数额化的指标,但这无法完整描述其犯罪性质。数据安全法益所涵盖的保密性、完整性和可用性3个面向却恰好对此作出回应,可以帮助建立实行行为评估体系。
将数据安全作为独立法益进行刑法保护具有科学性。刑法上的法益是指根据宪法的精神,由刑法保护的、客观上可能受到侵害或威胁的人的客观利益。法益的独立不仅要满足法益构成的基本条件,还需要证明其有别于既存法益的特殊性。数据安全反映出大数据背景下数据对人们生活利益格局的重塑。数据作为一种新生产要素,是市场经济发展的重要驱动力,显然符合法益的构成要素。相较之计算机信息系统安全,数据安全的特殊性表现在2个方面:一方面,网络空间治理的重要性日益凸显,而数据作为核心要素,其价值和意义已经超越了计算机信息系统这一载体本身,因此需要对作为新生产要素的数据的保护模式进行重构。另一方面,数据犯罪侵害法益的手段具有特殊性,传统的计算机信息系统安全难以涵盖。计算机(系统)犯罪侧重于对象的形式保护,而数据犯罪还需要考察实质性侵害。例如针对数据的非法访问,在前者看来它并不构成犯罪(既非“获取型”也非“破坏型”),但该行为却对数据主体的客观利益造成严重损害,因此需要新的犯罪模式予以评价和规制。综上,应将数据安全法益作为刑法独立保护的对象。
二、域外立法的模式和经验
尽管不同国家存在法域上的差异,但审视国际社会的刑事立法,我们不难发现,各国以附属刑法或者增设罪名等方式强化了数据安全的独立地位。这种域外立法的共同趋向反映了一定的规律性,无疑对我国立法具有参考和借鉴价值。
(一)计算机信息系统保护模式:以美国为例
美国的《计算机欺诈和滥用法》(以下简称CFAA)旨在打击未经授权访问计算机的犯罪行为。该法历经4次修改,适用的对象和范围也不断扩张,产生了显著的累积效应,因而成为美国影响最深远的刑法之一[4]。该法的每次修改都不同程度体现出逐渐对数据安全独立保护的趋势。1984年通过的《伪造访问设备和计算机欺诈及滥用法》(Counterfeit Access Device and Computer Fraud and Abuse Act,CADCFAA)是该法的前身,但由于其只保护最重要的联邦利益,存在实质性和结构性缺陷,因此受到批评。修改后的CFAA中与数据犯罪有关的内容被载入《美国法典》第18篇第1030条,具体可分为3项罪名。这些罪名适用于任何人在未经授权的情况下故意访问电脑,或经授权访问计算机后,利用该等访问机会达到该等授权无法包含的目的等行为。此类罪名后来增加了一些要件,将犯罪限制在3种特定情形:滥用计算机获取国家机密、滥用计算机获取个人财务记录和侵入美国政府的计算机。不难发现,CFAA在罪名设置上更加重视对数据或信息犯罪的考量。1994年通过的《暴力犯罪控制和执行法案》(Violent Crime Control and Law Enforcement Act,VCCLEA)对第1030条进行了重大修改,主要是对第1030(a)(5)条的适用范围进行了扩张,使其还可适用于意外甚至没有任何疏忽造成的计算机或存储数据的损坏行为。1996年《经济间谍法》(Economic Espionage Act,EEA)的第二章对第1030条也进行了修改,目的在于调整第1030(a)(2)条的适用对象,从最初金融机构、发卡机构或消费者报告机构的金融记录变更为任何类型的信息。2001年通过的《爱国者法案》(PATRIOT Act)不仅将第1030(a)(5)条升级为重罪,同时通过修改犯罪构成要件降低了入罪门槛,将“为促进司法、国防或国家安全的政府实体使用或为其服务”作为立法目的。2008年通过的《身份盗窃惩罚和赔偿法》(Identity Theft Enforcement and Restitution Act,ITER)再次对第1030(a)(2)条进行了修改,规定任何未经授权而访问任何受保护的计算机,检索任何类型的信息,不管是州际或州内,都将受到法律的惩罚。总之,审视CFAA及其历次修正,美国都没有刻意将数据犯罪置于计算机信息系统之中进行保护,而是把两者置于同等地位看待,并逐渐为数据犯罪编织严密的刑事法网。
(二)分类协同保护模式:以德国为例
早在20世纪70年代德国黑森州就制定了世界上第一部个人数据保护法,即《黑森州数据保护法》,此举为8年后德国《联邦数据保护法》(Bundesdatenschutzgesetz,BDSG)的颁布铺平了道路。德国在法律框架设计之初特别重视社会保障领域的数据保护,因此德国议会引入了专门适用于福利安排的单独数据保护制度,并且在《社会法典》(Sozialgesetzcuch X,SGB X)第67至85条建立了一个普遍适用的框架。德国的数据保护充分体现出对数据类型的差异性考量,即个人数据和一般数据分别由《联邦数据保护法》和《刑法典》予以保护。个人数据的保护重点在于对公民个人信息自决权的建构,以人格权和公民基本权利作为标准,范围相对明确;一般数据的保护则更强调数据主体对普通数据的保密性、完整性、可用性利益,范围也相对宽泛[5]。1977年德国正式在联邦层面通过了《联邦数据保护法》,此后几十年间又对该法进行了不同程度的修正。为了与欧盟的《通用数据保护条例》衔接,同时推进欧洲法律一体化进程,2019年修订的《联邦数据保护法》第42条对数据保护作出了新的调整。该法规定:“(1)在未经授权的情形下,以营利的方式,故意将多人非开放数据传输给第三方或者通过其他方式开放,处3年以下自由刑或罚金刑。(2)在未经授权的情况下,为了获取利润,或者为自己或他人谋取利润,或者为了给他人造成损失,处理未开放的个人数据,或者通过虚假的信息骗取未开放的个人数据,处2年以下自由刑或者罚金刑”。和之前的《联邦数据保护法》相比,附属刑法的条文不再需要依靠行政处罚的前置规定,而是设置了独立的犯罪构成要件,体现了德国政府对于数据安全独立保护的重视。此外,德国《刑法典》经过数次修正,逐渐形成了对数据非法访问、获取、变更、窝藏等行为一体化规制的刑法体系。
(三)以数据为中心的刑法规制模式:以澳大利利亚、英国和法国为例
澳大利亚和英国都明确表示,应受到惩罚的实际上是未经授权访问计算机数据的行为,而不是访问计算机系统本身的行为。根据澳大利亚联邦的规定,如果行为人在明知该等访问是未经授权的情况下,通过访问意图实施或协助实施严重罪行,则该访问是违法的。此外,任何人明知访问受限制数据是未经授权的,而故意使任何人访问该等数据,即属犯罪。对数据的访问必须是由于计算机的某一功能的执行而引起的,因此排除对数据的物理损坏。“访问储存在电脑内的数据”的定义是:(a)由计算机显示该等数据或由计算机以任何其他方式输出该等数据;或(b)将该等数据复制或移至电脑内任何其他地方或移至数据储存装置;或(c)对于程序,即程序的执行。这意味着将数据作为犯罪目标,无论是否成功都会导致程序的执行或数据的输出,例如失败的密码尝试仍然会导致程序执行和数据输出,因此构成非法访问数据罪。
英国针对当时泛滥的不正当获取计算机程序和数据的事件,在1990年制定了《计算机滥用法》并于同年实施。英国在立法之初就将计算机内部资料(数据)作为首要保护目标。该法开篇即表明其立法目的,“为保护计算机资料免受未经授权的访问或修改,以及其他相关目的”,因而增设了3个计算机滥用罪名:非法访问计算机资料罪、加重非法访问计算机资料罪和非法修改计算机资料罪。其中非法访问计算机资料罪规定:“任何人实施以下行为,即属犯罪:(a)让计算机执行任何功能,以便访问任何计算机中存储的程序或数据;(b)该人意图进行的访问未经授权;(c)该人当时知道,当他让计算机执行这一功能时,他是未经授权的”。按照此种逻辑,打开计算机、试图输入密码或远程访问计算机都会导致计算机执行某种功能,只要这些操作是未经授权的,并且是出于特定目的而进行的,就可能构成本罪。显然,该罪的成立与访问是否成功无关,例如用户输入密码但被拒绝访问仍可能构成犯罪。此外,法国1994年施行的《刑法典》规定了“侵犯资料自动处理系统罪”,但2015年最新修订的法国《刑法典》将其改为“侵犯数据自动处理系统罪”,涵盖对非法增加、摘录、持有、复制、传递、删除以及更改数据等多种行为的规制,此举也反映出法国立法者对数据安全独立和全面保护的重视。
(四)经验与启示
以上3种典型的立法模式,从形式上看虽千差万别,实质上却殊途同归,旨在实现刑法对数据安全的独立保护。如上所述,美国尽管采用了计算机信息系统保护模式,但实质内容却强调区别于信息基础设施保护之外的数据安全法益保护。有学者甚至尖锐地指出,之所以数据犯罪的司法认定遭遇模糊性难题,原因就在于立法指向的“表里不一”,未意识到数据安全保护的重点在于数据本身而非计算机信息系统。德国根据数据的类别,以附属刑法和刑法典相结合的方式实现对数据安全的独立保护。不可否认,由于一般数据和个人数据反映不同的法益保护内容,因此立法上存在差异,但是这并不影响其数据安全独立保护的事实存在结果。例如,一般数据借助德国《刑法典》予以规制,将数据窝藏和截获等行为纳入调整范畴,个人数据则通过德国专门的《联邦数据保护法》予以保护,目的在于实现数据的分类保护。相较于前者,澳大利亚、英国和法国等选择直接将数据本身作为刑法保护的对象。我国之所以应当选择对数据安全进行独立的刑法保护主要基于两方面的考量:一方面,对数据安全进行独立的刑法保护已经成为国际通行做法,为了未来数据产业的全球化发展,我国需要考虑这一趋势。另一方面,我国《个人信息保护法》和《数据安全法》的颁行,意味着对“数据”和“信息”并行保护成为我国的特色。这种前置立法结构的设计,要求刑法也随之转变立法理念,将数据犯罪从计算机信息系统犯罪中分离出来。
三、我国刑法对数据安全独立保护的不足
(一)立法理念更新缓慢
通过观察我国刑法既存罪名体系不难发现,其关注的重点依旧停留在对计算机信息系统的保护,例如,非法侵入和非法控制计算机信息系统罪等都是以“计算机信息系统”作为同类项进行立法续造。刑法的修改主要是通过拓展计算机信息系统的范围和增加部分新的犯罪方式,并未从根本上实现立法理念与思维的超越,仍然采用较为传统的计算机犯罪立法理念与模式,已经与数字化、网络化和智能化的当代格局格格不入[6]。这里隐含着一个不科学的立法理念,就是所有数据犯罪规制的终极目标都是为了保护计算机信息系统的安全性。一方面,受早期信息技术发展水平的影响,立法者认为有价值的数据几乎都存储在计算机信息系统中,甚至大部分网络数据仅存储在本地计算机。不可否认,当时网络数据的外延范围同计算机信息系统基本上是一致的,立法理念受到当时客观物质条件的深刻影响是可以理解的。然而当数据在市场中的角色转变为一种生产要素或虚拟财产时,立法理念也应及时更新,遗憾的是,保护计算机信息系统安全的立法思维根深蒂固难以破除。大数据时代,数据已经成为众多移动终端的记录载体,刑法对数据的保护不应该停留在技术层面,而应该上升至所表征的权利内容[7]。另一方面,数据作为计算机处理的对象亦是计算机系统主要内容的观念在很大程度上阻碍了我国数据犯罪的立法进程。伴随着数据应用场景增多以及存储设备多元化,数据的价值日益凸显,甚至超越了计算机系统本身的价值,网络数据自然成为犯罪分子首选的侵害对象。然而此种转变并未成为直接保护网络数据的动因,相反数据和计算机信息系统的关系绑定得更加牢固,形成了“保护计算机信息系统就是保护网络数据”的偏见。例如2011年“两高”颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《2011解释》)第十一条规定:“本解释所称‘计算机信息系统'和‘计算机系统',是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。不难看出,是否具备自动处理数据功能成为判断计算机信息系统的主要依据,此定义没有正面回应“数据”的概念和外延,而司法机关希望通过对“计算机(信息)系统”的扩张解释达到一劳永逸之目的。但是,从解释学立场出发,以“计算机信息系统安全”涵盖数据犯罪的保护法益并不妥当,容易使数据犯罪沦为计算机犯罪的附庸而难以获得独立的审判,进而造成技术评价与规范评价的分歧。
与立法理念相关联的另外两个话题也有必要在此一并提出。其一,受到本体论的深刻影响,立法者对于数据侵权所带来的损害寄希望于通过规制实体予以表达和传递。计算机信息系统实际处理的一切有意义的文字、符号、声音、图像等内容的组合就是数据[8]。这种理念反映到立法中,便是通过设立单向修改计算机(信息系统)犯罪以实现数据保护目的。然而,在移动终端广泛应用,且数据价值得到社会普遍认可的情形下,立法者依旧选择只具备物质特征的计算机信息系统作为刑法修改的突破口,忽视了数据本身的社会价值。其二,为了突出数据安全独立刑法保护的重要性,当今越来越多的国家和地区都在刑法典或附属刑法中将数据犯罪独立或区别于传统犯罪进行规制。遗憾的是,我国至今没有在刑法中设专章或专节来规定数据犯罪及其相关犯罪,甚至直接相关罪名也寥寥无几。
(二)处罚漏洞明显
我国刑法重“计算机信息系统”轻“网络数据”的现状使得有关数据犯罪的规定存在诸多处罚漏洞。这不仅表现为非法获取计算机信息系统数据罪与非法侵入计算机信息系统罪保护对象的不一致,还割裂了非法获取和侵入行为的整体性,使得非法获取特定计算机信息系统(国家事务、国防建设、尖端科学技术领域)数据的行为无法受到刑法规制。特定计算机信息系统本应当是数据犯罪重点保护的对象,但新增的非法获取计算机信息系统数据罪反而未予保护,显然处罚逻辑上存在悖论[9]。而且囿于我国刑法所构建的是以计算机信息系统为中心的保护体系,致使刑法对于整个数据生存周期的保护既不周延,也违背教义学的基本原理。
具体而言,我国刑法对数据的保护重点全部集中在获取和破坏两个区间,缺乏对整个生存周期的关照。首先,数据在后续环节中因泄露或滥用而产生的直接危害与次生风险往往更为严重。美国网络安全服务商Risk Based Security(RBS)公司的调查报告显示,2018年全球公开的数据泄露事件就达七千多起,其中涉及人数超一亿的就多达12起。大型网络数据库的庞大规模和结构复杂性使得数据一旦脱离控制便无法轻易收回,数据处理者和用户对此都束手无策。与此同时,数据挖掘技术也会使得原本看似无足轻重的数据转化为高风险敏感数据。新兴且强大的分析工具(算法、人工智能和深度学习等)正在以强大且隐形的方式重塑着数据格局[10]。轰动一时的Facebook和剑桥分析公司数据泄露事件清楚地表明,大规模数据泄露的后果可能不仅仅是金融欺诈或身份盗窃,收集到的数据可以被转化为“武器”,以个体为目标并操纵或影响其观念和行为,从而产生深远的地缘政治影响。
其次,数据的非法存储和使用侵害了数据的保密性。法益是数据侵权行为的犯罪化标准和边界。非法获取计算机信息系统数据罪中的“非法获取”被界定为“非法侵入计算机信息系统或者其他技术手段”,显然该行为侵害了数据的保密性[11]。按照该逻辑,非法存储和使用可以被视为该罪的下游犯罪行为,因为获取数据大多是为了使用,持有则是其间的特殊犯罪形态。不仅如此,非法存储和使用对法益的侵害程度不亚于非法获取,这一观点在司法实践中也得到了佐证。例如“摩羯数据爬虫案”就是典型的侵犯数据存储安全的案件,法院认为摩羯公司在数据处理过程中,擅自将其爬取的数据留存在服务器中,构成侵犯公民个人信息罪。
最后,数据的非法删除和非法访问等行为侵害了数据的完整性和有用性。数据的非法访问或删除不仅破坏了原始的数据结构,而且意味着计算机信息系统的最高权限被控制或篡改,因此侵入型和滥用型的数据犯罪应当得到立法的回应。有学者认为,非法获取计算机信息系统数据罪涵盖了对于数据非法删除和压缩等行为的规制,理由是:侵入计算机信息系统是指未经授权或超越授权,获得删除、增加、修改数据或者获取系统存储、处理、传输数据的权限[12]。然而依照当前的罪名设计来看,这种观点是存在疑问的,因为侵入和获取是两个不同性质的实行行为。
(三)司法适用混乱
我国刑事立法对相关概念缺乏清晰界定,导致语义不清和司法适用混乱,相关罪名附属于计算机信息系统犯罪条款之后,严重影响了罪名之间的逻辑性和功能性。例如,数据和个人信息关系的混乱导致罪名适用上的困扰。一方面,由于刑法规范并未将数据安全作为直接保护对象,而是延续一贯的“信息至上”的立法理念,导致非法获取计算机信息系统数据罪和侵犯公民个人信息罪适用混乱。我国刑法中的相关罪名均以保护计算机信息系统安全为己任,与数据安全保护存在显著差异。这里的“数据”也并非专指《数据安全法》中具有保密性、完整性和有用性的数据[13]。尽管2017年施行的《网络安全法》已经规定构建数据的分类分级制度,并为罪名间的区隔提供了新的方案,但既存的罪名和相关司法解释并未进行有效衔接。由于对网络数据未加以限定,其无法作为罪与非罪的判断根据,而且此罪与彼罪的界限也变得模糊。例如在池某非法获取计算机信息系统数据案中,被告人池某利用经营4G上网卡、上网设备店之便利,为获取非法利益,通过发短信、邮件等方式欺骗苹果手机客户登录仿苹果钓鱼网站,共获取苹果iCloudID身份认证信息716组。法院认为,池某违反国家规定,非法获取用户信息,情节严重,其行为已构成非法获取计算机信息系统数据罪。显然,“iCloudID身份认证信息”同时符合“计算机信息系统中存储的数据”和“个人信息”的范围。
另一方面,非法获取计算机信息系统数据罪的适用呈现出“口袋化”的倾向,主要原因在于实务中不少司法人员将数据犯罪的技术属性和法律属性混淆,经常用技术判断代替法律判断。这导致司法实践对多数以数据为对象的犯罪行为不再追问其背后侵害法益的属性,而是直接以非法获取计算机信息系统数据罪进行规制。究其原因可以归结为以下两点:一是虚拟财产数据化。客观上,网络虚拟财产具备财产和数据双重属性,但数据是否为虚拟财产的反命题却引发了学界和司法界的强烈分歧。有学者认为,网络数据是具有价值属性的物,自然属于网络虚拟财产,应当按照财物予以刑事保护,非法获取此类数据应当以盗窃罪论处[14]。也有学者认为,类似于网络游戏虚拟物的网络数据不是网络财产,因此非法获取该类虚拟物的行为应当以非法获取计算机信息系统数据罪定性[15]。为了解决此症结,2013年“两高”司法解释明确规定,网络虚拟财产本质属性是系统数据。该解释否定了网络虚拟财产的财产属性,因此无形中扩大了非法获取计算机信息系统数据罪的适用范围。二是商业秘密数据化。计算机存储技术的优化以及电子化革命的兴起,使我们不断学会适应无纸化的生活。从零售行业到科技巨头,各企业无不将有用信息转移到虚拟空间中以实现高效办公和经营[16]。我国对于商业秘密的刑法保护依赖于《反不正当竞争法》,将商业秘密本质上视为有价值的信息,造就了其与数据“剪不断,理还乱”的关系。加之我国知识产权的刑法保护体系尚在建构中,罪名偏少,直接导致非法获取计算机信息系统数据罪的适用失控。
四、我国刑法对数据安全独立保护的立法完善
在保护网络数据安全方面存在的前述结构性缺陷,决定了必须通过立法完善我国刑法。应当改变数据犯罪依附于计算机信息系统犯罪的局面,数据危害行为类型的设置可以结合数据的技术特性、功能属性、应用特质以及经济价值等[17]。基于此,笔者就以下4类典型数据罪名的完善展开论述。
(一)侵入型数据犯罪的立法完善
非法侵入本质上突破了访问控制技术,其侵害的是用户对数据的支配权,可以进一步表述为“未经授权”和“超越授权”[18]。应当将数据犯罪与计算机信息系统犯罪分别予以规制,增设“非法访问网络数据罪”。首先,这里的“网络数据”犯罪,不包括所有可数据化的传统犯罪。有学者在分析数据犯罪时将“数据”做广义解释,所有与数据相关的犯罪都成为研究对象[19]。不可否认,芯片技术的发展使得众多复杂的身份认证和金融凭证都可以压缩到一张实体卡(信用卡、系统登录卡、充值卡或购物卡等)或虚拟卡(电子消费券、电子代金券等)之中去实现。然而,针对类如传统实体卡中数据的犯罪,通过既存的财产犯罪、知识产权犯罪和国家安全犯罪完全可以实现全面保护。本条款保护的对象仅限于网络数据,即网络中存储、流通和处理且用于传递信息的电磁记录。其次,本罪是典型的行政犯,其成立需要以违反前置法为条件。我国《数据安全法》和《网络安全法》都强调要采取必要的措施确保数据处于有效保护和合理利用的状态,再加上刑法的谦抑性原则和法秩序统一性原理,决定了本罪构成要以“违法国家规定”和“情节严重”为前提。最后,数据的类型应当包含所有网络数据。数据作为一种特殊的电磁记录方式,从微观层面来看对其侵入可能不容易形成对法益的侵害,但侵入不同类型数据的汇集或同类型数据的高度聚合则可能对国家安全造成威胁。例如基因数据和生物识别数据,如果仅从个人的角度而言,似乎仅由《民法》和《数据安全法》调整即可,甚至有学者指出,数据的价值在于流通,刑法的过度介入是不妥当的[20]。但从数据的技术应用来看,它们已经融入到我们的生活之中,成为重要的集体法益。移动智能终端的多元化和普及进一步加速了这种局面的形成。而非法访问国家事务、国防建设、尖端科学技术、金融领域等重要数据则可以作为本罪的加重情节。
为了体现对数据的特殊保护,针对积极刑法观的构建引发了激烈争论。持否定说的学者认为,网络时代积极刑法观具有本能的入罪倾向,单向度地强调积极预防容易激发网络犯罪规制的扩张性,导致刑法被迫与前置法脱钩,并以扩大解释助长司法犯罪化,造成刑法功能异化[21]。持肯定说的学者强调技术迭代式发展不仅导致法益侵害方式多样化,而且也造就了新法益的形成,这自然使得刑法出现漏洞。我国当下需要采取积极刑法观,通过增设新罪来满足保护法益的合理要求[22]。笔者认为,当前我国的数字经济发展呈现出分散、低质量等特征,究其原因在于过分强调发展而弱化了数据安全的保护。实际上数据安全保护与数字经济成长并不是矛盾的,将两者关系处理得当有益于彼此的正向发展。本文认为,应当将非法访问网络数据的预备行为予以正犯化,在源头上起到积极预防的效果,即增设“准备非法访问网络数据罪”。
(二)非法获取型数据犯罪的立法完善
其一,应当将原来的“非法获取计算机信息系统数据罪”从《刑法》第二百八十五条中独立出来,并修改为“非法获取网络数据罪”。 这在一定程度上宣示了数据安全作为独立法益的重要性。其二,将非法获取“国家事务、国防建设、尖端科学技术领域、金融领域”等特殊的计算机信息系统数据作为加重情节进行处理。除此之外的加重情节包括:(1)获取、持有或存储过程中导致原始数据严重受损;(2)造成计算机信息系统出现故障或其他严重后果的;(3)手段恶劣或有其他严重情节的。其三,将“非法存储和持有”行为一并纳入获取型犯罪类型之中。主要原因有两点:一方面,非法持有和非法存储都是非法获取后的接续状态,本质上侵害了数据安全的保密性;另一方面,相较于非法获取而言,持有和存储属于中游数据犯罪,后者在整个数据犯罪中起到纽带和桥梁作用,法益侵害的同质性要求对其予以刑法规制。有学者可能会质疑“持有”和“存储”的差异性,认为二者本质上是一样的,主要原因在于它们都是一种对数据的“非法占有”。不可否认这是它们的共性,但是两者最主要的区别在于,“非法持有”的前提是从获取行为开始都是非法的,而“非法存储”意味着获得数据的手段是合法的,只是没有遵循删除义务。
此外,网络数据与个人信息的界限不明也是司法适用混乱的重要原因。不同于德国和日本继受《网络犯罪公约》并以数据为中心的刑法规制体系,我国特有的网络犯罪国情和治理经验决定了以信息为中心的网络犯罪规范模式的合理性。有学者认为,数据和信息的紧密关系决定了数据犯罪的本质需要回归到信息层面研究,故而没有必要将二者分离,数据信息才是数据安全法益的核心[23]。但《数据安全法》和《个人信息保护法》的出台意味着我国采纳了“数据—信息”的二元保护模式,因此《刑法》在后续的修改中应当贯彻这种理念。通说认为,数据和信息区分的关键在于可识别性,即事实上已借由此种信息识别特定自然人,或者一般人能够不借助技术分析而直接识别出特定自然人,此外还包括存在识别的可能性,如与其他信息相结合能够识别特定自然人。本文认为,“可识别性”虽然考虑到数据演变为个人信息的动态过程,但实际上不易操作。例如盗取别人的游戏账号若数量较大,一般多以非法获取计算机信息系统数据罪或盗窃罪定性,但实际上游戏账号多以实名制注册为前提,所以侵犯公民个人信息罪同样也存在适用的可能。对此可以考虑从两方面着手:一方面要修改司法解释,将具有身份认证信息的数据纳入侵犯公民个人信息罪保护的范畴,进而划清数据和个人信息的界限;另一方面以“可识别性+应用场景”两个因素作为个人信息的判定标准,在数据的具体适用场景中来判定是否具有识别的可能性或高度盖然性。
(三)破坏型和滥用型数据犯罪的立法完善
与破坏他人对数据的占有相比,在数据流动化与商业化不可避免的背景下,对个人数据的滥用行为更需要刑法在内的法律进行规制[24]。之所以将数据滥用和破坏放在一起分析,是因为两种行为具有相似性,滥用本质也是一种破坏,且二者都侵害了数据的可用性和完整性。尽管《刑法》第二百八十六条第二款对破坏数据的行为作出了规定,但是数据犯罪应当独立出来,因此建议修改为“破坏网络数据罪”。需要说明的是,“干扰”数据的行为也应当纳入刑法调整的范畴。一方面,数据干扰行为不仅造成数据本身属性值的重大变化,还可能影响到后续聚类挖掘;另一方面,干扰与修改、删除、增加行为危害相同但性质不同。破坏数据型的“干扰”主要是指对系统核心数据本身属性的修改,包括数据值修改和信号屏蔽等技术手段。
与破坏数据不同,我国刑法目前尚未对网络数据滥用作出规定。数据滥用是指未经当事人允许或以当事人所不乐见的方式使用数据。数据滥用的原因可以归结为两方面:其一,内部人员私自访问,滥用用户数据。例如2016年,美国明尼苏达州的州审计员发现,该州各部门的88名警察私自访问州驾驶执照数据库中的公民个人数据累计325次,以查找有关家人、朋友、邻居或商业伙伴的信息[25]。其二,用户主动放弃对留存数据的所有权。尽管用户有权利了解相关组织对其数据的处理方式,包括哪些数据会被收集、如何被收集以及如何被使用等,但是由于同意事项的内容过于庞杂和晦涩难懂,迫使用户无形中放弃了诸多数据权利。数据滥用不仅侵害了数据的保密性,而且在一定程度上为网络犯罪产业的发展起到了“助攻”作用。滥用网络数据罪是指违反国家规定,未经授权或超越授权使用他人网络数据,且情节严重的行为。为了避免犯罪圈的非理性扩张,一方面需要坚持以法益保护必要性为原则的立法理念,防止将侵权行为升级为犯罪行为;另一方面在入罪情节设定上需要从严解释,限制刑法过度介入。
(四)监督管理型数据犯罪的完善
监督管理主体应该包括两类:互联网平台监督机关和网络服务提供者。针对我国《刑法》规定的拒不履行信息网络安全管理义务罪,笔者认为有必要修改为“拒不履行网络数据安全管理义务罪”,借此涵盖最为基础的数据层,但对于本罪的构成要件也需要做出适度调整。
一方面,需要适当强化网络服务提供者的网络数据安全管理义务,落实数据合规义务。长期以来,对网络服务者义务的设定都遵循“避风港”原则,即网络服务提供者并不负有预先审查、实时监控网络数据动态的义务,而仅负有事后经过通知再移除数据的责任。这里的“通知主体”也被限缩解释为特定的互联网平台监督机关。不可否认在数字经济的发展初期,命令性规范义务设定越少可能越有利于数据企业发展,实现弯道超车。但随着数据产业的不断升级和业务拓展的需要,数据企业在域外发展面临法律障碍,原因是企业国内与国外承担的法律义务严重不均衡,难以适应国外的企业合规义务。其实,《数据安全法》和《个人信息保护法》已经意识到这一问题,并对数据企业(尤其是头部互联网企业)的审查义务进行了强化。与此同时,强化单位责任本身也是我国开展刑事合规的应有之义。当前我国正在积极探索刑事合规制度,其核心思想便是严格单位责任,通过合规义务给予匹配的刑事激励措施。“拒不履行网络数据安全管理义务罪”与刑事合规制度的理念接近,因此更适合进行立法上的修正和推广。除了罪名上的调整之外,还应对“行政程序前置化”的消极性进行克服。刑事合规的本质是强化单位责任,但同时也要兼顾“避风港”原则,因此可以扩大通知主体范围,合理强化网络服务提供者的义务。可将原条文中的“经监管部门责令采取改正措施而拒不改正”修改为“经监管部门责令采取改正措施或网络用户等权利主体通知改正后拒不改正”。另一方面,互联网平台监督机关承担着对网络服务提供者和网络数据双重的监督管理职责,因此有必要对其严重失职行为予以刑法规制。可以考虑在渎职罪中增设“网络数据监管渎职罪”,将严重的不作为行为予以犯罪化。
由于本文倡导对数据安全的独立保护,因此在罪名设计上形成一个闭环,新罪名之间以及和现有的相关罪名是否会引发数罪并罚自然成为一个不可回避的现实问题。新罪名的增设不仅嵌入了类型化的思维,同时也兼顾数据生存周期的实际情况,例如从非法访问数据罪到非法获取网络数据罪再到破坏网络数据罪。如果行为人实施数个犯罪行为,且作为犯罪的手段或者结果分别触犯其他罪名,则属于牵连犯,择一重罪处断。例如某人以非法获取网络数据为目的,访问某公司的数据库,则仅按照非法获取网络数据罪定罪即可。又如非法访问数据罪和侵入计算机信息系统罪之间也存在类似的结构,同样择一重罪处断即可。
注:
①本文中出现的数据专指网络数据,不包括非网络化的数据,例如信用卡数据。文中的数据犯罪采取狭义说,即直接以数据为对象的犯罪。