非法获取一般网络数据行为的刑法规制
2022-03-23麦买提乌斯曼
麦买提·乌斯曼
(新疆农业大学,新疆 乌鲁木齐 830052)
当今关于数据的刑法保护仍将是大数据时代亟待进一步深化探讨的问题之一。目前刑法学界的研究更多聚焦在计算机信息系统安全运行或对个人信息、知识产权和商业秘密保护领域,但是对一般网络数据刑法保护的研究明显不充分[1],特别是非法获取一般网络数据行为刑法规制对于传统刑法起着无法回避的弱化、异化、虚化的作用[2]。虽然一般网络数据的刑法保护问题在学界引起了激烈的争论,但是在司法实践中并未受到上述争论的影响,在传统“小数据”时代思维的影响下,以非法获取计算机信息系统数据罪来规制已成为常态。在大数据时代,一般网络数据的刑法保护具有一定的现实意义。因此,现行刑法必须转变传统思维,重视一般网络数据的刑法保护,对非法获取一般网络数据行为的刑法规制进行调适。
一、问题的提出
在我国司法实务中,部分非法获取一般网络数据的行为直接被评价为非法获取计算机信息系统数据罪。但是在司法实务以非法获取计算机信息系统数据罪来追究非法获取一般网络数据的行为的做法极耐人寻味。
案例1:被告人谢某在未经授权的情况下,在2016 年9 月至2017 年10 月期间,通过他人获取联想(北京)有限公司SLK 系统账户的用户名和密码,多次登录该系统非法获取系统内存储的手机解锁码数据,获利人民币6 万元。2019 年12 月,被告人谢某被公安机关抓获归案,后被法院审理以非法获取计算机信息系统数据罪追究了刑事责任。①参见北京市海淀区人民法院(2020)京0108 刑初1155 号刑事判决书。
案例2:2019 年10—11 月期间,由上海某医疗科技有限公司派驻至本市复旦大学附属妇产科医院进行信息系统维护工作的张某结交了在某医药(咨询)有限公司从事医药代表工作的黄某。2019 年11 月至2020 年7 月间,张某为获取非法利益遂与被告人陈某商量,由陈某利用工作便利,擅自数次侵入复旦大学附属妇产科医院计算机信息系统数据库,非法下载医院统方数据并交于张某,再由张某转卖给黄某,二人从中非法获利人民币20,400 元后分赃花用。2020 年9 月陈某、张某被公安机关抓获,后被法院审理以非法获取计算机信息系统数据罪追究了张某、陈某的刑事责任。①参见上海市黄浦区人民法院(2021)沪0101 刑初108 号刑事判决书。
根据我国刑法的规定,“侵入”或者“其他技术手段”获取计算机信息系统中存储、处理或者传输的数据是非法获取计算机信息系统数据罪采取的行为。虽然“侵入”在内的“技术手段”获取的数据,在我国刑法第285 条第2 款中没有明确规定,但是可以通过最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(2011)(以下简称《计算机解释》)第2 条和第11 条将非法获取计算机信息系统数据罪理解为,避开或者突破计算机系统安全保护措施非法获取身份认证信息的行为。②从司法实务看,身份认证信息既包括真实的身份认证信息,如银行卡账号密码、考生信息系统账号、口令、密码、数字证书等,也包括匿名的身份认证信息,如网游账号密码、微信账号密码等。参见杨志琼.非法获取计算机信息系统罪“口袋化”的实证分析及其处理路径[J].法学评论,2018(6):165.所以在案例1 中,法院认为,“被告谢某的行为已构成非法获取计算机信息系统数据罪”。因为,根据《计算机解释》第11条的规定,谢某非法获得的手机解锁码数据就是“用于确认用户在手机系统上操作权限的数据”。故法院对谢某行为的认定无误,判决符合“罪刑法定”和“罪责刑相适应”原则。但是在案例2中,法院对陈某、张某所实施行为的定性引争议。陈某、张某非法获得的医院用药统方数据不是特定的身份认证信息,而是作为一种“一般网络数据”的药品用量信息。③被告人陈某、张某非法获取的计算机信息系统数据有51 个Excel 文件。内容包含药品ID、药品名称、规格、单位、生产厂家、医生排序、医生工号、医生姓名、数量、金额、占比等。参见上海市黄浦区人民法院(2021)沪0101 刑初108号刑事判决书。法院把“一般网络数据”认定为属于非法获得计算机信息系统数据罪中的“数据”,其完全表明非法获得计算机信息系统数据罪所指的“数据”从内容上已经不再局限于“账号、口令、密码、数字证书等”权限型数据,即所有非法获取与电脑系统有关数据的行为都可能构成非法获取计算机信息系统数据罪[3]。那么,在我国司法实践中非法获取一般网络数据的行为为什么依非法获取计算机信息系统数据罪来规制?近年来非法获取计算机信息系统数据罪日益成为学界的重点关注,研究也比较充分。例如,有学者认为,司法实务中“数据”的法律属性和技术属性未分清,用技术属性来替代了法律属性,即在司法实务部分非法获取一般网络数据行为在缺乏应有的法益判断之前,就直接用技术判断来认定为非法获取计算机信息系统数据罪[3]。还有学者认为,非法获取计算机信息系统数据罪机密性和可用性的规范结构使得刑法未保护的秘密利益和财产利益都覆盖进来导致了本罪成为口袋罪[4]。另有一些学者认为,“当前在司法实务中,数据的对象功能和媒介、工具功能并未区分开来,而是所有以数据为载体的法益侵害行为都涵盖进来,导致数据的内涵和外延不清晰,数据无所不包”[5]。然而,上述研究均是以技术视角来阐述非法获得计算机信息系统数据罪“口袋化”原因,并没有直接涉及非法获取一般网络数据的刑法规制问题。网络数据是大数据时代的产物。如果不能以大数据时代为背景,用大数据思维来审视刑法对当前网络数据的保护,就不能解释司法实践对非法获取计算机信息系统罪的偏爱和当前非法获取一般网络数据行为刑法规制的滞后性,更不能真正地对非法获取一般网络数据刑法规制进行适合大数据时代的调适。
二、大数据思维对传统刑事司法思维的重塑
在大数据时代,数据除了数量和种类上远远超出小数据时代数据的数量和种类之外,数据还是一种财富变体且其成为了大数据时代的典型特征之一。但是,传统刑事司法在“系统、软件”思维[6]的桎梏下,对数据犯罪的治理与大数据时代脱节,各类数据正面临着风险。故在大数据时代,刑事司法更加认识到,传统刑法的反应体系并不能完全适应“大数据思维”时代的数据犯罪。换言之,大数据时代亟待传统刑法司法思维的重塑。
(一)数据内涵与价值再认识——刑法应确立数据法益理念
有学者认为,法益保护原则是刑事立法的基本指导原理[7]。所以,刑法是法益保护法[8]。大数据时代,数据法益能否在刑法中确立?此问题引起了学界的重大关注。因为,刑法自计算机信息系统立法到现今相关网络数据立法,其主要聚焦还是网络信息安全,对大数据法益缺乏足够的认识和立法容纳,使得网络数据法益的地位、作用和功能无法充分展现[9]。然而,虽然在我国刑法中缺少数据成为法益的规范性规定,但这并不阻碍数据成为刑法保护的法益,即在数据概念和价值的不断演进下,刑法要确立数据是应受刑法保护的一种新兴法益[10]理念。
首先,大数据时代数据内涵的演进,符合了法益保护的真实性。关于“法益”的概念,虽然大陆法系刑法中有众多表述,但是有一点是共同的,即“法益是一种物质化的社会利益与精神化的制度秩序”[11]。然而,这并不表明“法益”是一个实定法的概念,其内涵是变动的,法益的认识随着社会的发展而不断变化。
数据作为人类认识客观世界的标度,其历史源远流长。无论从道家的“道生一,一生二,二生三,三生万物”思想,还是易经中的“无极生太极,太极生两仪,两仪生四象,四象生八卦”,两者都是用“数来阐释宇宙产生的模式及事物变化的规律”[12]。也就是说,“数已经成为了人类命运的先兆和代表的寄托之一”[13]。也正由此,古希腊毕达哥拉斯学派最早提出了“万物源于数”的观点。然而,由于认识工具的局限性,除了有限的抽样数据之外,其他数据的收集一旦完成了收集数据的目的就会被认定为已经没有用处。半个世纪以来,随着计算机技术全面融入社会生活,数据爆炸已经积累到了一个开始引发革命的程度,即导致了数据形态的变化,创造出了“大数据”这个概念[14],同时又把人类推入了新的时代——大数据时代。那么,什么是大数据?在小数据时代,数据需要与一定的载体共存,离开载体数据也就无从谈起。然而在大数据时代,数据是一种独立的客观存在,是独立于物质世界、精神世界的一种新的信息世界[15]。在这个新的信息世界里一切皆用数据来观察,一切都用数据来刻画。可见,大数据时代真正做到了“存在的就是合理的”,即小数据时代被采集使用的标准化数据还是被排除的非标准化数据都有存在的合理性,在大数据时代,从行为客体的角度看,各类数据是真实存在的,而不是拟制的。各类数据必然成为犯罪侵害或威胁的对象,具有了真实的可侵害性。
其次,大数据时代数据价值的演进,符合了法益保护的必要性。法益保护的必要性意味着法益保护不得抵牾比例原则。为此,法益保护的必要性一方面强调刑法保护重要法益,一般法益应当归属其他法律调整。然而在小数据时代,数据的重要性并未凸显,而在大数据时代随着数据技术的发展各类数据的重要性也随之凸显。也就是说在大数据时代,各类数据具有同等的重要性,其完全打破了小数据时代的金字塔式的、不平等的数据等级结构,即所有数据更多的处于平等关系,所有数据都平起平坐,不会特别突出某些数据的关键作用[16]。因为,任何一种在小数据时代被看作无用而又占据储存空间的“垃圾数据”,通过挖掘和处理迅速成为宝,成为炙手可热的资源。于是在大数据时代,在“数据富豪”示范和引领下,“数据与能源和材料一起被认为是三大战略资源”[13],大数据都是资源,都是财富,其应成为刑法保护对象的理念深入人心。另一方面,刑法保护的必要性还强调刑法手段的最后性。数据是由人类自己所创造。故多数观点倾向于从私权意义上看待数据,认为数据是民事权利的客体[17]。但是,大数据作为风险社会的一种表现形式,在新的大数据安全风险的现实压迫下,私权无力维护大数据的安全和秩序。正如波斯纳曾经指出:“在风险成为当代社会的基本特征后,刑法逐渐蜕变成一项规制性的管理实务”[18]。所以,对于这种安全风险的控制,刑法作为最后的保障法,同样也责无旁贷[10]。
(二)因果观的重新刻画——刑法司法数据保护思维模式应转换
因果思维是在小数据时代人在认识世界和改造世界的过程中形成的固定和惯常的思维模式。因果思维除了是科学研究的基础之外,还是人主观认知结构的核心,“人们无法离开因去寻果,更无法离开果去寻因。”但是,在大数据时代,传统因果观遭到了“大数据的物数据化”[19]的挑战。故只能转换思维模式,其也包括了与法益直线、单向联系的刑法数据保护线性思维模式[20]的转换。
首先,大数据物数据化使因果关系转换成变量之间的关系。由于对因素相互作用过程的描述被认定为因果。所以,“因果”不是实体概念[19]。根据因果关系理论,因果关系所具有的明确方向性使得原因与结果之间形成了必然的联系,即“同样原因永远产生同样结果,同样结果也永远只能发生于同样原因”[21]。但是在大数据时代,面对无法估量的数据,加之大数据物数据化,事物之间明确方向性的因果关系已经无法寻找到。由此,因果关系锐变为量化的因果关系,即变量之前的关系。例如,2011年西雅图一家叫Decide.com 的科技公司,为了给顾客预测商品的价格推出了一个门户网站。电子商务网站上所有电子产品的价格数据和产品信息经过一年时间的运营,Decide.com 分析了400 万产品的超过250 亿条价格信息,预测准确率达到77%,帮助每个顾客在购买产品时平均节省了100 美元。可见,产品价格数据和产品信息与产品将来的价格之间没有必然联系,即通过传统因果关系不可能预测到产品的将来价格。而Decide.com 科技公司能够预测商品价格是因为所有电子产品的价格数据已经成为变量数据,通过这些变量数据的分析发现相关数据之前关系的强弱度,深刻洞悉了数据中潜藏的变量关系并进行了科学的价格预测。换言之,在大数据时代,数据最大部分的价值在于它的使用,而不是占有本身。为了能够被释放出数据的预测功能必须克服因果探寻传统思维模式和特定领域的固定偏见,反映变量之间关系的相关因果关系较因果关系能在预测功能上展现出更大的优势。
其次,相关关系能够有效避免刑法司法数据保护思维模式的弊端。我国刑法传统的因果关系理论的显著特色是将因果关系界定为“引起和被引起”的关系[22]。同时,在这一认知下,“必然—偶然”和“直接—间接”因果关系在刑法中得到了系统的研究[23]。由此,将网络数据与计算机系统线性、单项联系起来是目前我国刑法对网络数据的保护思路,即“判断计算机数据的性质—分析该性质数据同何种利益直接相关—决定改利益是否需要刑法保护”[20]。但是,在此种模式下,受到刑法保护的是与计算机信息系统直接线性相连的数据。反之,与计算机信息系统不直接非线性相连的数据不被纳入刑法保护的范畴。在大数据时代,随着数据价值的演进,数据归属于计算机信息系统的地位被打破,数据不再依附于传统法益,而是具有了独立的法益性。换言之,在大数据时代不断出现了“当一个数据值增加时,另一个数据值也会随之增加”或者“当一个行为被实施时,必然受到侵害的数据法益未遭到侵害,反而另一个相关数据法益造到侵害”的非线性相关关系。故在大数据时代,针对数据所实施的行为具有创设侵害相关法益风险(不法)的功能,针对数据实施的行为与相关法益受到侵害的结果之间存在因果关系,进而对相关法益的侵害结果归责与针对数据所实施的行为,能够实现数据时代数据犯罪因果关系的功能回归。
三、大数据思维审视非法获取一般网络数据行为的刑法规制
波斯纳曾经指出:“当风险成为当代社会的基本特征之后,刑法不再为报应与谴责而惩罚,主要是为控制风险而威慑”[18]。大数据时代,数据的价值功能在不断扩张,重要性日益凸显,即从海量元数据到技术处理过程,以及最终处理的信息结果都具有价值。所以,大数据时代整个信息秩序都有被侵害的风险,信息秩序会有保障的需求[6]。然而,这样的需求在传统刑法对网络数据的保护中并未得到满足。因为,通过大数据思维审视当前网络数据刑法保护时发现,司法实践中非法获取一般网络数据行为以“非法获取计算机信息系统数据罪”来规制是刑法对大数据时代的被动回应,此种回应具有一定的滞后性。
(一)确立保护法益逻辑错位,滞后于大数据时代保护法益变革
刑法中的法益是指“刑法所保护的人的生活利益”[24]。据此,刑法保护的作为法益的利益不在主体自身,而在主体之外,是满足主体需要的物质利益。①从客体角度看,利益可以分为物质利益和精神利益。但是,这并不意味着所有的物质利益与精神利益都可能成为刑法所保护的利益。因为刑法所保护的是可能受到不法行为侵犯的利益,而某些精神利益是不可能受到不法行为侵犯的,因而立法者并不将其上升为法益。参见张明楷.法益初论[M].北京:中国政法大学出版社,2003:169.也就是说,传统刑法中法益表达的是一种物质化的社会利益。但是,“当法益的内涵一旦从物质的载体转向精神层面扩展,刑法立法就会不断从需保护的社会利益中寻找法益。”故法益的内涵是变动的,社会的变化必然会改变人们对法益的认识,法益不是刑法本身的组成部分,而是一个刑法之外的现象,即是一种价值评价的产物和价值判断的符号[11]。
何谓网络数据?我国《网络安全法》第67条规定如下:“通过网络收集、存储、传输、处理和产生的各种电子数据是网络数据。”与此同时,该条文又明确,“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统被称为网络。”故网络数据是指“计算机、网络设备或者其他信息终端系统以信息为载体内容的各种电子数据”[25]。但是,我国刑法对网络数据的认定与《网络安全法》不一致。虽然我国现行刑法和司法解释中没有明确“数据”的概念,但是刑法中“数据”的价值实际上可以体现在各个法益层面。所以,根据“数据”贯穿的个人、社会和国家法益的多层体系可知,刑法中的“数据”排除了实体形式记录下来的数据信息,仅仅是用“0”和“1”数据符号记录下来的特定价值的电子数据信息。那么,刑法中的具有特定价值的电子数据信息又指什么数据?物质和能量作为基本概念建立了传统刑法体系。虽然“数据”是一个技术名词,但是,我国刑法涉及的数据犯罪罪名,与其说体现为技术层面,不如说体现在与现实世界受保护法益的联系上。也就是说,刑法所保护的数据是那些对应于现实的法益 ,②传统刑法倾向于将数据法益认定为财产。参见于冯卫国,李婷.论大数据和信息犯罪及刑法规制[J].犯罪研究,2020(10):18.例如,人身和财产等在习惯认为的基本用途上价值明显的数据。由此可以看到,刑法中的网络数据是指具有特定价值的计算机、网络设备或者其他信息终端系统中的以信息为载体内容的电子数据。换言之,刑法立法中的网络数据是计算机信息系统中存储、处理或者传输的,依附于计算机信息系统存在的具有特定价值和稳定结构化形式的数据。也就是说,刑法网络数据的保护旨在保障计算机信息系统中的特定价值数据的安全,对计算机信息系统功能的安全而言,数据的处理与操作安全至关重要,即“数据安全”了“计算机信息系统”就能安全。然而,这种理解和解释使得“数据安全”与“计算机信息系统安全”的范围无限趋同,使得司法裁判者认为非法获取计算机信息系统数据罪保护的就是作为一项新兴法益的“数据安全法益”。例如,“2016 年5 月至7 月间,被告人陈某某利用从网上购买的破解器软件,下载江苏云学堂网络科技有限公司电子课程视频资料并在网上售卖,非法获利共计人民币6734 元。”③参见苏州市虎丘区人民法院(2017)苏0505 刑初189 号刑事判决书。法院认为,该案构成非法获取计算机信息系统数据罪。法院之所以如此作出判决,其原因在于,虽然被告利用破解软件下载的课程视频资料属于公开数据,但是加工视频的过程中冗余的计算机语言、文字、代码、字符等是保密的,所以,被告陈某侵害的法益是数据安全中的保密性[26]。换言之,法院以非法获取计算机信息系统数据罪来保护的数据安全法益就是对视频数据免于下载复制的技术,④数据的保密性是指确保数据免受未授权人探知、获悉或使用。基于数据安全法益与计算机信息系统安全法益的趋同,数据的保密性指向的是数据的控制与操作的技术的保密性。即数据技术平移成为了非法获取计算机信息系统数据罪保护的法益。然而,从本体层面,法益是刑法保护的人的生活利益[24]。从目的层面,法益是社会成员生存、发展所需要、真正需要刑法来保护的客观利益。⑤刑法是法益保护的最后手段。也就是说,其他法律在不能充分保护法益时需要刑法的介入。参见张明楷.刑法学[M].3版.北京:法律出版社,2007:25.非法获取计算机信息系统数据罪以数据技术作为法益混淆了法益与对象,抽空了法益的本体论和目的论价值[27]。故可感知或经验表象的数据技术作为法益的本体论和目的价值论,是通过技术手段来解决因技术生产的刑法问题,即“代码就是法律”。
在大数据时代,数据的重组、开发等创造了数据重新性用途,使得数据习惯性的基本用途不再是数据价值的唯一来源。更重要的是通过加速数据的收集和深度挖掘,任何一种数据经由大数据处理之后就可以追溯到个人或能够掌握的商业秘密或知识产权。例如,如今在美国和欧洲部署的智能电表每6 秒采集一个实时读数。因为每个电子设备通电时都会有自己独特的“负荷特征”,所以通过每个人的能源使用情况就能获得不同人的日常习惯、医疗条件和非法行为等个人信息[14]。故在大数据时代,所有的数据都有价值,在价值层面彼此平等。即使有些数据价值尚未凸显,也只能说明该数据尚处在休眠状态,即随着大数据技术的发展,处于休眠状态的数据也能够有效地与另一种截然不同的数据集结合,必然会释放出超出基本价值的潜在价值。然而,我国《数据安全法》和《网络安全法》,根据数据对国家安全和重大社会利益的危害程度,从不同领域把数据划分为重要数据、受控数据[28]并给予重点保护和关注,对于一般网络数据未作出明确规定。所以,在这种社会背景下一般网络数据的刑法保护自然成为无法回避的重要命题,特别是在内涵与形式上具有独立性的一般网络数据①一般网络数据既不属于系统中从外部采集而输入系统的数据,也不属于系统运行过程中自行产生的痕迹与记录数据,由于其并未进入熊内部,在本质上无法归属于计算机信息系统数据的范畴之内。参见黄晓亮.从虚拟回归真实:大数据时代刑法的挑战与应对[J].中国政法大学学报,2015(4):54-63;黄丽勤,宋骏男.未成年人数据权的二元保护研究[J].青少年犯罪问题,2020(4):64-73.价值的衡量成为了一件相当复杂的问题。②例如案例2 中的医院统方数据就属于一般网络数据,其具有技术属性之外还具有社会属性,价值不能仅体现在技术性上。因为任何一种一般网络数据在被二次利用后的潜在危险依然强大。③即使是最无害的数据,只要被数据收集器采集到足够的量也会暴露出个人身份。匿名化或是单纯隐藏已不再适用。参见维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].杭州:浙江人民出版社,2013:242.例如,目前数据非法交易已经发展出一条成熟的产业链条,“黑市”规模估计已超1500 亿元。在数据黑市里,任何数据都被“明码标价”售于其他非法活动,或者直接用来进行诈骗[29]。故在大数据时代,一切一般网络数据皆可以爬取,任何一类一般网络数据深度挖掘后的潜在价值或者新价值不当使用均会造成危险并产生法益侵害。所以,一般网络数据已经包含了大数据时代某些重要的利益和价值观,其自身的保护已经不是纯粹依附于“计算机信息系统数据安全”的技术范畴[30]。故刑法不能仅只保护与传统法益对应的特定价值网络数据的安全,而是更应该增加对一般网络数据自身内容属性上的价值与保护的关注度,即刑法保护应扩展保护网络数据的外延,从特定价值数据延伸到一般网络数据。可见,在新技术环境下依据预防理论确立刑法规范的保护目标是将危险规范化的过程,对解决数据风险至关重要。
总之,在大数据时代,计算机信息系统与一般网络数据完全脱离。计算机信息系统功能的发挥并不会遭到非法获取一般网络数据行为的影响,其行为的违法性应该体现在对他人数据支配权和经济利益的侵害上。例如,在案例2 中,被告人非法复制下载医院统方数据的行为并不会对医院计算机信息系统功能的发挥造成影响。但是,这种非法获取医院统方数据的行为具有危害性。因为,医院统方数据具有实用性并能够扩张医院边际利润的潜在经济价值,④医院统方数据是医院依照一定的逻辑收集和整理的结构化数据,如果对此数据进行进一步分析等增值处理必然会得到其本身价值之外的潜在价值。非法获取统方数据的行为除了侵害医院统方数据的支配权之外,还侵犯了医院的经济利益。所以在大数据时代,一般网络数据造成的刑法问题不是技术生产的问题,而是由一般网络数据的社会价值属性和潜在价值属性引发的问题。如果在对非法获取一般网络数据行为进行刑法规制时,继续倡导对技术的工具性解释而非社会价值属性,试图通过保护“数据安全”或者“计算机信息系统安全”来规制非法获取一般数据行为无异于“隔靴搔痒”,甚至会导致法益为核心的刑法教义学立场的崩塌[27]。
(二)犯罪构成要件结构性缺陷,滞后于大数据时代行为和数据内涵的变革
现阶段我国刑法主要以针对计算机信息系统的犯罪①主要包括第285 条第1 款非法侵入计算机信息系统罪,第285 条第2 款非法获取计算机信息系统数据、非法控制计算机信息系统罪,第285 条第3 款提供侵入、非法控制计算机信息罪系统程序、工具罪,第286 条破坏计算机信息系统罪等。来保护网络数据。所以在刑法中,网络数据与计算机信息系统之间具有一定的包容关系。与此同时,计算机信息系统是具备自动处理数据功能的系统,导致“数据”对“计算机信息系统”至关重要。故对网络数据的侵犯就是对计算机信息系统安全的侵害。换言之,侵害计算机信息系统数据的行为可能会对计算机信息系统安全造成损害或引起危险隐患[31]。总之,这种重计算机信息系统安全,而轻视或抛弃网络数据独立价值,使其依附于计算机信息系统,数据与计算机信息系统法益直线、单向联系起来的思维就是以物理立场系统安全为中心的线性②当前,刑法对网络数据的保护遵循的立法思维是:“判断数据性质——该类性数据与何种利益直接相关——利益是否需要刑法保护。”参见田刚.大数据安全视角下计算机数据刑法保护之反思[J].重庆邮电大学学报,2015(3):32.的刑法规制思维。然而,在大数据时代,随着具有独立内涵和形式且不依附于计算机信息系统的一般网络数据的出现,刑法立法将数据与计算信息系统安全单项、直线联系的线性思维不利于司法实践中对一般网络数据的保护,即不利于对非法获取一般网络数据行为进行刑法规制。例如,被告人王某培、关某威、关某凯、王某乐经共谋,在2016年至2018 年期间,利用违规登录、下载的方式,侵入北京某教育中心有限公司系统,获取该计算机信息系统中存储的学生个人信息10+余万条、公司文件等数据用于牟利。2018 年9 月上述被告人被公安机关抓获归案,后被人民法院以非法获取计算机信息系统数据罪追究了四被告刑事责任。③参见北京市海淀区人民法院(2019)京0108 刑初81 号刑事判决书。该案件中,裁判者在以系统安全为中心的物理立场线性思维的影响下,完全轻视或者可以说是放弃考量存储于计算机信息系统中的学生个人信息的独立价值,使学生个人信息依附于计算机信息系统,遂判处非法获取计算机信息系统数据罪。该案裁判者把适用于“小数据”时代网络数据犯罪归责基础的物理立场线性刑法规制思维运用于大数据时代一般网络数据犯罪的归责问题上,忽略非法获取一般网络数据行为的独立规制实属不应。正如“当你开车穿越沙漠过程中,如果你迷路了,想从汽车的全球定位系统中寻求些许安慰,就是一种缘木求鱼”一样,在大数据时代思维变革下,通过对“数据”与“侵害行为”的再认识,以非法获取计算机信息系统数据罪来规制非法获取一般数据行为存在犯罪构成要件的结构性缺陷。
首先,是对作为对象的“数据”范围和内涵的理解偏颇。在计算机技术建立之初,数据与计算机密切联系,数据被理解为是“从外部输入到计算机系统内部的图片、文字、影音资料、程序或者软件等。”紧跟着互联网的出现,数据又包括了通过电脑操作行为而产生的网页浏览痕迹、下载记录、关键词搜索记录等”网络行为数据。但是,随着大数据技术的发展,数据与计算机信息系统等存储设备、载体、媒介之间的关联性逐步弱化,数据无限接近记录的趋势明显。因此,当前数据更受关注的是数据的存在体系,即更多地关注数据类型、结构、组织、生命周期以及数据的价值链[5]。然而,刑法第285 条第2 款规定的“非法获取计算机信息系统数据罪”中的“数据”仍以计算机技术和网络技术出现之初的数据为基础,是以计算机信息系统中的静态数据为其保护对象,完全忽视了大数据时代海量数据具有的动态价值。所以,“非法获取计算机信息系统数据罪”的嵌入点不在数据潜在价值上,数据内涵的认定则出现偏差,导致数据保护体系不够周延。
其次,行为手段的限定严格。根据非法获取计算机信息系统数据罪的典型案例来看,下列“侵入”行为被认定为“避开或突破计算机信息系统安全保护措施”:(1)采用侵入手段实施数据侵害行为;(2)利用技术手段绕开数据安全保护措施进而实施数据侵害行为;(3)利用技术手段破解网络安全措施而实施数据侵害行为;(4)利用“撞库”手段实施数据侵害行为等[32]。也就是说,非法获取计算机信息系统数据罪客观方面的行为具有非法侵入性和破坏性两种特征。但是,随着大数据技术的发展,数据的范围和内涵有了进一步的扩张,“非法获取”数据行为,特别是一般网络数据的“非法获取”行为与“非法侵入”行为相分离,使得有些案件中非法获取一般数据的行为完全没有了非法侵入性。例如,在案例2 中,法院认定被告人陈某侵入医院计算机信息系统是擅自非法侵入,但是仔细分析可知,被告人陈某并非“避开或突破计算机信息系统安全保护措施”而是利用职权正常登录访问,只是获取数据行为未取得医院同意,即该案更加明显体现的是对数据“非法获取”行为单独规范的必要性,即损害不公开知悉状态的非法获取。实务中,以非法获取计算机信息系统数据罪来规制明显是违反了罪责刑相适应原则。
四、大数据思维下对非法获取一般数据行为的刑法调适
世界随着互联网、视频监控、智能手机等各类智能设备的普及逐渐变成了数据化的世界。同时,人类也被急速推入并快速步入大数据时代。与小数据时代少量而且基本上是预先设计好的受控实验的数据相比,大数据时代的大数据数量巨大、种类繁多,大数据已经逐渐开始渗透到万物之中,大数据成为人类认识客观世界的标度[33]。故当社会向大数据时代转型过程中,大数据改变了人们的工作、学习与生活方式,引起了思维的变革[34]。在大数据时代,大数据蕴含的巨大经济价值和战略价值使得一切数据都成为犯罪的对象。那么刑法应如何应对把一切数据作为犯罪对象的“数据犯罪”?大数据时代完全不同与之前的小数据时代或者工业时代。大数据时代出现“数据犯罪”具有浓厚的时代的背景,规制必须具有时代思维。非法获取一般网络数据行为作为大数据时代出现的一种违法行为,其具有的时代背景需要变革思维从刑法立法与司法实务两方面重新调适刑法的规制。
(一)刑事立法:数据法益重构刑法理论,聚焦数据犯罪立法和司法解释并举
“法律应以社会为基础”[35]。随着社会的不断变化,新的犯罪现象不断冲刷到了立法者脚前[36]。正如日本前田雅英教授所言:“之所以科处刑罚,是因为全体国民而言存在必要性”[37]。随着大数据时代的到来,非法获取一般网络数据行为作为一种新的犯罪现象,其危害性和刑罚处罚的漏洞足够可以打破立法者金字塔般的沉默,更不可能视而不见[38]。其实,刑事立法和实务并非没有注意到随着大数据时代的到来,对数据领域刑法规范的利益关注不可避免地从系统安全向网络安全的时代转向。所以,2009 年《刑法修正案(七)》增设了“非法获取计算机信息系统数据罪”,随后2011 年最高人民法院、最高人民检察院联合颁发《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》使新型数据载体①这些载体包括了移动智能终端、APP 应用软件、蓝牙等新型数据载体。被“计算机信息系统”包容,扩大了“非法获取计算机信息系统数据罪”的处罚范围。由此,随着大数据技术的发展而出现的任何一类数据类型自然被“计算机信息系统”所包容,丧失了自身独立的法益性。但是,随着人们步入大数据时代脚步的加速,一般网络数据表现出了巨大的潜在价值,其成为无形资源的理念逐步建立,立法者和裁判者应将其作为独立于计算机信息系统和网络系统的表征。为此,我国有刑法学者提出了增设新罪来保护一般网络数据或处罚非法获取一般网络数据的行为。②参见郭旨龙.非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思[J].政治与法律,2021(1):64-76.但是笔者认为,无论是学者提出的增设“非法获取数据致损罪”还是“非法获取网络数据罪”,都仅仅是对非法获取一般网络数据行为的策略性的简单回应,即是具体违法行为的刑法具体回应,其并不是大数据时代消除数据风险的最终或最优方式。换言之,我国刑法尚处于以实现物理空间为主要规制对象的阶段,此时增设一个以消除数据风险为目的的新刑法罪名,必然使其新增罪名成为无源之水无本之木,最终使增设的罪名被闲置且不被使用。为此,以应对规制非法获取一般网络数据行为发展新局面的需要,在大数据思维下应重构刑法理论,聚焦数据犯罪立法和司法解释并举。
1.实现“物理”思维转向大数据思维,扩大法益内涵,确立数据保护立法观念。传统以现实物理空间为主要规制对象的刑法中的法益必须与人相关联,即“刑法的目的是保护人的利益”[39]。由此对数据而言,传统刑法中与个人利益相关的数据内容决定了数据的法益属性,而数据本身是没有价值的符号。因此,在传统刑法认知思维下,一般网络数据根据内容不具有较高价值,其依附于计算机信息系统而加以保护。但是在大数据深度挖掘聚合场景思维下,一般网络数据的价值并不体现在内容上,其本身已经是具有价值的数据符号。首先,一般网络数据法益的保护日益紧迫。人们的利益是随着社会的发展变化越来越多。其中,“越是受到普遍侵害的法益,越是需要刑法的保护”[38]。大数据时代,数据显然早已成为重要生产资料,特别是一般网络数据的潜在价值更不需要赘述。一般网络数据早已经表现出独立于计算机信息系统的特性,成为重要的法益,需要刑法的保护。为此,在大数据时代,传统法益与大数据的结合实现了内涵转型,数据法益作为体系性的概念进入法律视野,并在大数据思维下扩大传统刑法保护法益的内涵已经不可避免。其次,非法获取一般网络数据行为刑法处罚的漏洞日益明显。近几年来随着我国刑法对相关数据犯罪的规定不断增多,新型网络数据犯罪行为也在层出不穷,刑法立法已经远远跟不上新型网络数据犯罪行为的形成。因为,现行刑法法益理论缺乏独立的数据法益概念,一种值得科处刑罚的行为无论如何都不能通过解释涵摄在现有的构成要件之中,导致存在许多处罚漏洞。特别是现行《刑法》第285 条第2 款“非法获取计算机信息系统数据罪”的一个突出表现是,只保护了依附于计算机信息系统的数据安全法益或计算机信息系统安全法益,而没有保护同等重要,不依附于计算机信息系统的一般网络数据。因而,现行刑法在非法获取一般网络数据行为的规制方面必须重构法益论以避免处罚漏洞的出现。
2.实现“物理”思维转向大数据思维,聚焦客观解释论前提下的适用性司法解释。随着大数据技术的发展,数据无处不在,数据涉及的社会利益重要性不断凸显,一般网络数据逐渐被刑法所关注是其背后的潜在社会性利益价值的重要性,依数据技术属性和社会属性为核心构建出协调互补的规制规范体系至关重要。而现行刑法有关规制非法获取网络数据行为的“非法获取计算机信息系统数据罪”存在的处罚漏洞有必要再次将目光转向立法。但是,现阶段刑法法益理论中“数据法益”观念尚未确立,未满足设立新罪的前提条件。为此,在大数据时代,为了应对非法获取一般网络数据行为的需要,在刑法条文尚未变更的情况下,司法解释尤显必要。
就时代背景引起的思维变革而言,大数据时代,数据安全的关注点已经从“计算机信息系统”保护到“公民网络个人信息”保护,再到“人与数据”保护的转变,人们已经普遍认同数据具有的巨大经济价值和对社会发展的重要性。所以,数据犯罪的认定应转变思维,在现有刑法规定的基础上“对数据本身的性质和内容、数据使用和潜在价值的大小和数据安全权益可能遭受到的侵害风险及刑法保护必要性”进行综合规范评价[40]。由此,在大数据时代,数据安全与计算机信息系统相分离,数据安全并非与计算机信息系统内涵一致或等同,大数据时代数据犯罪侵犯的是作为符合性法益的“数据安全与系统功能法益”[41]。非法获取一般网络数据行为除了侵害一般数据的保密性、完整性和可用性之外,更重要的是侵害了一般数据支配者的占有、使用、收益和处分权益。由此,司法解释不应该用泛化的计算机信息系统安全概念来遮盖一般网络数据法益的保护价值。为此,有必要对2011 年颁布的《计算机安全解释》进行修改,增加对“数据”这一技术概念的解释,即基于不同于传统时代的全新特征,在大数据时代对数据犯罪的刑法适用应在大数据思维下以客观解释论为主,以使刑法规范的全部意义得以从物理空间延伸到数据空间。
(二)摒弃系统安全为核心的简单线性思维,探索传统罪名应用
至今互联网经历了计算机信息系统、信息网络和网络数据等三个时代。但是,我们的思维并没有随着时代的变迁而变化。特别是在网络数据时代,司法实务仍然利用计算机系统时代的刑法思维来规制对数据的侵犯行为,其具有严重的滞后性,与时代发展不符。那么,为什么会出现此类不符合时代发展的现象?本文认为,除了刑法立法滞后于时代发展之外,司法实务对数据犯罪罪名的应用中仍然坚持着计算机信息系统时代以系统安全为核心的简单线性思维,即侵犯数据行为罪名的确定只判断数据是否属于计算机科学意义上的数据,不考察数据所承载的法律性。实践中,此种以系统安全为核心的简单线性思维来确定对于非法获取一般网络数据行为的罪名已经成为常态。现在司法实务中,裁判者应该要转变思维,摒弃系统安全为中心的线性思维。首先,现今网络中出现的各类数据并非都依附于计算机信息系统,并非都是计算机信息系统中的静态数据。具体案件中数据安全的保护越来越多地呈现出社会公共性,数据安全利益早已从个人安全层面延伸到公共安全甚至国家安全等不同层面。因此,非法获取网络数据行为的规制更应该考虑公共安全、社会秩序和国家安全等价值目标。其次,非法获取网络数据行为构成的犯罪应当是准抽象危险犯。①日本刑法理论中,危险犯二分法下的抽象危险犯概念实际上也是二元的,在具体危险犯和真正危险犯之间,还存在需要司法机关对行为的危险性进行实质的具体判断的准危险犯。德国刑法中此类犯罪被称为适格犯,其在立法上并没有绝对拟制或推定行为的危险属性,需要司法机关结合个案具体情况进行实质判断。参见熊亚文.抽象危险犯:理论解构与教义限缩[J].中国刑事法杂志,2021(5):108-125.由此,非法获取网络数据的行为是否对数据支配权益或数据机密性造成损害,需要司法机关根据个案事实情况进行具体判断。因此,更需要司法裁判者具备相关性思维而非简单以数据为中心的线性思维。可见,在大数据时代,在刑法立法尚未增设专门规制非法获取一般网络数据行为罪名的情况下,司法实务必须摒弃系统安全为中心的线性思维,探索正确利用传统罪名的方式。首先,对非法获取一般网络数据行为是否涉及计算机信息系统安全问题进行判断。若通过“避开或突破计算机信息系统安全保护措施”等技术手段获取一般网络数据,其行为已经侵犯了计算机信息系统安全,其构成对应的计算机犯罪。反之则没有侵犯计算机信息系统安全,则直接可以排除计算机犯罪,按刑法对应罪名予以判断,即若裁判者发现非法获取一般网络数据的行为虽然没有对系统安全形成侵犯,但是“足以”对数据背后的社会利益形成侵犯,例如,侵犯个人信息、商业秘密或知识产权等,则必然回归到不同的犯罪类型中,按照对应的罪名进行认定。其次,非法获取一般网络数据行为既对计算机信息系统安全形成侵犯又对其数据背后的社会利益形成侵犯,可以认为分别构成计算机信息系统数据罪和相应不同的犯罪类型,按照想象竞合犯、牵连犯等理论进行处断。
大数据时代的到来,除了改变了人们的生活之外,还重塑了传统刑法司法思维。因此,当前刑法对网络数据的保护必须重塑传统刑法对网络数据的保护运作机理,即从物理思维到大数据思维的法益逻辑转变和从物理立场刑法规制思维到数据立场刑法规制思维。但是,在大数据时代传统刑法尚未完成上述重塑。其中,传统刑法的典型滞后性体现在规制非法获取一般网络数据行为方面。故在大数据时代,非法获取一般网络数据行为必须在大数据思维下进行调适,即一是确立数据保护立法观和客观解释论前提下的适用性司法解释;二是摒弃系统安全为核心的简单线性思维,探索传统罪名的应用。
