数据犯罪的规制困境及其对策完善
——基于非法获取计算机信息系统数据罪的展开
2022-07-25苏青
●苏 青
伴随信息网络时代的发展,数据、信息等相关法律问题是当前各国面临的重要议题。我国从2009 年最早在刑法中规定侵犯公民个人信息的犯罪,到2021 年《民法典》的颁布施行及《数据安全法》《个人信息保护法》的先后出台,对数据、个人信息、隐私等已形成相对完整的法律规制与保护体系。然而,我国当前刑法中典型的数据犯罪只有非法获取计算机信息系统数据罪一个罪名,未能涵盖主要的数据犯罪行为类型。在司法实践中,该罪不仅存在明显的“适用不足”,还有与侵犯公民个人信息罪及以数据形式呈现的知识产权犯罪、财产犯罪区分困难等问题。通过分析该罪的司法适用现状及其困境,可以管窥我国刑法规制数据犯罪的关键难题,进而在现有立法的基础上探究数据犯罪的完善对策。
一、数据犯罪的刑法规制关键难题:以非法获取计算机信息系统数据罪为例
2009 年《刑法修正案(七)》在《刑法》第285 条新增两款规定,其中第2 款新增罪名为“非法获取计算机信息系统数据、非法控制计算机信息系统罪”。据此,非法获取计算机信息系统数据罪是我国刑法规制数据犯罪的主要罪名。另外,《刑法》第286 条“破坏计算机信息系统罪”之第2 款规定的行为包括“删除、修改、增加计算机信息系统中的数据”,但从刑法罪名安排和法益保护来看,该款旨在保护计算机信息系统的正常运行而非数据保护,难以归于数据犯罪。〔1〕最高人民法院第145 号指导性案例“裁判要点”指出:通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合《刑法》第285 条第2 款规定的,应当认定为非法控制计算机信息系统罪。在当前以计算机信息系统安全为核心保护法益的刑法体系下,虽然相关罪名的设置可能在客观上产生保护数据安全的效果,但能够体现对数据保护的仅非法获取计算机信息系统数据罪一个罪名。在数据违法犯罪问题日益凸显的现实背景下,数据犯罪立法不足问题十分明显。梳理非法获取计算机信息系统数据罪的司法适用情况,发现自2009 年刑法规定该罪名以来,截至2021 年底的13 年间共有762 例案件,年案件量从未超过200 件,尤其是在2017 年之前年判决书不足100 件,平均每年案件总数不足63 件。这体现出非法获取计算机信息系统数据罪作为刑法中典型的数据犯罪,在实践中并未发挥应有的作用,与目前治理数据犯罪的现实需求相差甚远。总体而言,数据概念界定不清导致的数据外延过度泛化和立法限制致使入罪行为过于狭窄,是非法获取计算机信息系统数据罪存在的突出问题。
(一)数据外延过度泛化
从司法判决来看,网络虚拟财产和不具有财产属性的网络账号及其密码是非法获取计算机信息系统数据罪在司法实践中的主要数据类型,此外还包括房产信息、车辆信息以及客户资料、医疗系统数据、客户资料、手机工厂码、维修记录等。因理论和实践对数据的内涵和外延缺乏有效界定,网络虚拟财产成为该罪最主要且最具有“辨识度”的数据类型。其他以该罪处理的案例中,均有与个人信息、知识产权等犯罪界限不清、罪名适用不统一的问题。在非法获取计算机信息系统数据罪中,虽然该罪的司法适用率不高,但仍有部分案例将不属于“数据”的对象纳入规制范围,导致数据外延的泛化。
《民法典》第127 条首次明确规定了“网络虚拟财产”,广义上的虚拟财产不仅包括虚拟账号、游戏装备、虚拟货币等,还包括其他一切可以人为拥有和支配的具有财产价值的网络虚拟物和财产性权利。〔2〕参见潘淑岩:《网络虚拟财产继承法律制度研究》,中国政法大学出版社 2017 年版,第42 页。但刑法学界多倾向于对虚拟财产进行限缩解释。如有学者将网络虚拟财产分为游戏装备类虚拟财产、货币类虚拟财产和账号类虚拟财产。〔3〕参见陈罗兰:《虚拟财产的刑法意义》,载《法学》2021 年第11 期,第94-98 页。这种限定与分类具有科学性,一方面,“财产性”是虚拟财产的核心特征,也即具有财产价值、可以流通并能直接变现;另一方面,此种分类基本能够涵盖网络虚拟财产的现实类型。在非法获取计算机信息系统数据罪的判决中,也采取对网络虚拟财产的狭义限定,故而基本能够清晰区分网络虚拟财产与其他数据类型。作为该罪最常见的数据类型,非法获取网络虚拟财产的案件在近三年判决中占比1/3 以上。如在该罪2021 年共36 份判决中,针对网络虚拟财产的就有12 份,占判决总数的33%。其中常见是非法获取网络游戏账号、密码并买卖游戏角色及其装备的行为,共有8 例,占虚拟财产案件的67%。其他虚拟财产还包括虚拟货币,如比特币、“USDT”币、“泰达币”,〔4〕非法获取三种虚拟货币的案件分别参见河北省衡水市桃城区人民法院(2020)冀1102 刑初500 号刑事判决书、江苏省靖江市人民法院 (2020)苏1282 刑初336 号刑事判决书、湖南省沅江市人民法院(2021)湘0981 刑初55 号刑事判决书。具有财产价值的网络账号,如QQ 账号、陌陌账号及直播平台的虚拟礼物等。〔5〕非法获取具有财产价值的网络账号的案件如广西壮族自治区桂林市雁山区人民法院(2021)桂0311 刑初7 号刑事判决书、广东省佛冈县人民法院(2021)粤1821 刑初91 号等刑事判决书,被告盗取他人QQ 号、陌陌号等出售获利;非法获取直播平台虚拟礼物的案例如江苏省南京市栖霞区人民法院(2021)苏0113 刑初335 号刑事判决书,该案中被告盗登他人在“奇秀”直播平台的账号并变卖账号内礼物获利6.5 万元。虽然理论和实践对非法获取网络虚拟财产案件的定性仍有分歧,〔6〕实践中仍有少数对非法获取网络虚拟财产的行为以盗窃罪判决的案例,如重庆市武隆区人民法院(2021)渝0156 刑初39号刑事判决书、上海市闵行区人民法院(2021)沪0112 刑初180 号刑事判决书等。但目前网络虚拟财产是非法获取计算机信息系统数据罪的核心数据类型,且有相对明确的区别于其他数据的特征。
网络账号、密码是非法获取计算机信息系统数据罪最常见的数据类型,如果不区分是否具有财产属性,2021 年共36 份判决中有23 份涉及网络账号、密码,占比64%。基于对网络虚拟财产的解释,将具有财产属性的网络账号、密码等作为虚拟财产单独归类后,以不具有财产属性的网络账号、密码为对象的判决有11 份,占2021 年判决总数的31%,仅次于虚拟财产的判决数量。从具体类型来看,不具有财产属性的网络账号、密码主要包括微信号、各类网站账号、邮箱号及其密码等,还包括手机号及短信验证码。此类案件存在的突出问题是数据与个人信息难以区分。以“身份可识别性”为判断个人信息的标准,多数案件中的网络账号、密码均可间接识别主体身份,应属于个人信息。在侵犯公民个人信息罪判决中,也可见大量类似的非法获取网络账号、密码的案件。如在2021 年“侵犯公民个人信息罪”判决书中,就有不少以网络账号、密码、手机号码及验证码等为对象的案例,部分案例也未明确此类“个人信息”是否具有身份可识别性。同样地,在非法获取计算机信息系统数据罪判决中,多数也未区分涉案网络账号、密码、手机号码及验证码等是属于“数据”还是“公民个人信息”。〔7〕例如广东省佛冈县人民法院(2021)粤1821 刑初91 号刑事判决书中,将非法获取并销售陌陌号的行为以非法获取计算机信息系统数据罪判决,四川省营山县人民法院(2021)川1322 刑初86 号刑事判决书中,被告非法获取并销售微信号、陌陌号、抖音号则以侵犯公民个人信息罪定罪处罚,判决均未说明涉案网络账号是否能够识别自然人身份。也有少数案例对涉案网络账号进行了区分,如辽宁省西丰县人民法院(2020)辽1223 刑初113 号刑事判决书对被告非法获取并销售微信号的行为,区分了“实名微信号”与“未实名微信号”,分别被认定为“侵犯公民个人信息罪”和“非法获取计算机信息系统数据罪”。此种司法乱象源于对数据和个人信息没有清晰的认识,将公民个人信息不当纳入非法获取计算机信息系统数据罪的规制范围。
非法获取计算机信息系统数据罪的常见数据类型还包括房产信息、车辆信息以及客户资料等,也有个别涉及医疗系统数据、手机工厂码、维修记录等的案例。此类案件在司法实践中多数以侵犯公民个人信息罪定罪处罚,少数以非法获取计算机信息系统数据罪判决,法院均未提及此类数据是否能够识别自然人身份,也未交待具体的数据内容,同样存在与侵犯公民个人信息罪的区分问题。有不少案件因未交待数据或信息内容而导致“相同案件不同罪名”的判决,如同样是非法获取车辆信息、房产信息的案件,有些以非法获取计算机信息系统数据罪判决,有些则以侵犯公民个人信息罪定罪处罚,法院并未交代具体数据或信息内容。〔8〕分别参见安徽省淮北市相山区人民法院(2021)皖0603 刑初535 号刑事判决书、山东省日照市中级人民法院(2021)鲁11刑终3 号刑事裁定书等。另有部分案例中涉案数据有不同类型,但法院并未区分而以相同的罪名定罪处罚。如在“张某等非法获取计算机信息系统数据案”中,被告非法获取“医院统方数据”,数据内容除了药品信息外还包括“医生工号、姓名”等,法院未作区分,以非法获取计算机信息系统数据罪定罪处罚。〔9〕参见上海市黄浦区人民法院(2021)沪0101 刑初108 号刑事判决书。也有判决认为涉案数据部分属于公民个人信息时,非法获取计算机信息系统数据罪吸收了侵犯公民个人信息罪。如在“何某非法获取计算机信息系统数据案”中,辩护人对起诉罪名有异议,法院认为案件中“侵犯公民个人信息的行为,只是案涉行为的一部分,已被本罪名吸收”。〔10〕参见广东省从化市人民法院(2021)粤0117 刑初50 号刑事判决书。此外,还有非法获取网络学习资料、影视资源及网络平台优惠码、优惠券等的行为,以非法获取计算机信息系统数据罪判决的案例。〔11〕参见山东省济南市历下区人民法院(2020)鲁0102 刑初351 号刑事判决书、山东省枣庄市台儿庄区人民法院(2021)鲁0405 刑初75 号刑事判决书、浙江省瑞安市人民法院(2021)浙0381 刑初379 号刑事判决书等。严格来讲,此类案件应根据数据内容及行为性质具体分析,多数情形下应归于知识产权犯罪或者财产犯罪,不属于非法获取计算机信息系统数据罪。
(二)入罪行为过于狭窄
根据《刑法》第285 条第2 款的规定,非法获取计算机信息系统数据罪的法定行为类型有两种:一是侵入非特定领域的计算机信息系统,获取该计算机信息系统中的数据,即“侵入型”非法获取数据的行为;二是采用其他技术手段,获取非特定领域计算机信息系统中的数据,即“采用其他技术手段型”非法获取数据的行为。“侵入型”非法获取数据的违法性表现为对计算机信息系统访问及获取数据的双重非法性。即计算机信息系统本身就通过技术或其他方式对系统的访问采取了禁止、限制或授权等措施,突破其禁止、限制或授权要求的访问即为“侵入”,“侵入”后对系统数据的获取自然也是非法的。“采用其他技术手段型”非法获取数据的违法性则有三种可能:一是技术手段的非法性,常见的如采用间谍软件、网络嗅探器等具有破坏性、侵入性的技术手段非法收集、获取公开数据的行为。二是获取数据的非法性,如利用网络爬虫获取非公开数据的行为。网络爬虫是常见的获取数据的中立技术,但未经授权利用爬虫技术获取数据也为非法。三是技术手段与获取数据均为非法,即采用具有侵入性、破坏性的技术手段获取非公开数据的行为。此三种情形中第一种情形其法益侵害性通常表现为采取非法技术手段对被访问计算机信息系统产生危害,因而法益保护的重点仍是计算机信息系统;第二种情形是比较典型的仅针对数据的犯罪;第三种情形下计算机信息系统和数据均遭受非法侵害,存在计算机信息系统类犯罪和本罪的竞合问题。
可见,非法获取计算机信息系统数据罪虽为当前我国刑法中唯一专门规制数据犯罪的罪名,但从法定构成要件来看,其规制范围十分狭窄。在当前以计算机信息系统安全为主要保护法益的刑法体系下,该罪设立的初衷也不在于保护数据安全。“侵入型”非法获取数据的行为具有明显的对计算机信息系统的侵害性,“采用其他技术手段型”也将计算机信息系统作为其保护重心。此外,司法实践中还有些案例,客观行为并不符合此两种法定行为的特征,但法院仍以非法获取计算机信息系统数据罪作出判决。例如,在一些贩卖数据的案件中,被告将合法持有或非法获取的数据出售牟利的,也有以非法获取计算机信息系统数据罪判决的案例。〔12〕如云南省曲靖市麒麟区人民法院(2021)云0302 刑初688 号中,被告作为4S 店员工将车辆维保信息系统登录账号、密码提供给他人;江苏省扬州市江都区人民法院(2020)苏1012 刑初533 号刑事判决书中,被告将通过网络搜索、查找收集的数据经过处理后出售牟利。还有利用平台漏洞非法获取数据的行为,从手段上看,也不具备该罪“侵入性”或“采用其他技术手段”的特征。〔13〕参见湖南省沅江市人民法院(2021)湘0981 刑初55 号刑事判决书、北京市海淀区人民法院(2020)京0108 刑初241 号刑事判决书、江苏省靖江市人民法院(2020)苏1282 刑初336 号刑事判决书等。第一类案件在多数情况下是以“侵犯公民个人信息罪”处理;第二类案件常见的是利用平台漏洞多次、用多个账号登录并获取“虚拟财产”,在当前“虚拟财产”是司法实践中非法获取计算机信息系统数据罪的主要数据类型的背景下,可以说是典型的数据犯罪,但客观行为不符合该罪的构成要件。如果严格解释非法获取计算机信息系统数据罪的客观行为要件,将个人信息等犯罪从数据犯罪中剥离出去,非法获取计算机信息系统数据罪的规制范围将更小。显然,我国刑法仅规定非法获取数据的行为,难以应对层出不穷的数据犯罪,立法对该罪行为类型的限定又导致其入罪行为过于狭窄,需要进一步研究完善对策。
二、数据犯罪完善对策之基础:厘清数据的内涵
长期以来,我国理论和实践中对信息、数据、个人信息、个人数据及个人隐私等概念混同使用,譬如在判决书中以“个人数据”“个人信息”“用户信息”“数据信息”“个人电子信息”“隐私信息”等不同的概念来指向同一对象,〔14〕参见北京市海淀区人民法院(2015)海民(知)初字第 12602 号民事判决书、北京知识产权法院(2016)京73 民终588 号民事判决书等。法律术语使用混乱。从我国当前立法来看,数据、信息、个人信息与隐私等各自有相对独立的范畴,对应的权利属性及法律地位也不尽相同。在数据犯罪治理中,通过比较数据与信息、个人信息、隐私等概念,厘清数据的刑法内涵,是探究数据犯罪刑法规制路径的基础。
(一)数据与信息
自然科学意义上的数据和信息有较为明确的区分界限,但在信息网络背景下,数据和信息呈现出高度一体化的特征。根据通信理论,通信系统可以划分为物理层、代码层和内容层,〔15〕参见[美]劳伦斯•莱斯格:《思想的未来——网络时代公共知识领域的警世喻言》,李旭译,中信出版社 2004 年版,第 23页以下。相应地,也可以从存储介质层、数据文件层和信息内容层三个层面来讨论数据和信息问题。〔16〕参见纪海龙:《数据的私法定位与保护》,载《法学研究》2018 年第6 期,第74 页。可以说,物理层的存储介质是代码层数据文件的载体,代码层数据文件又是内容层信息内容的载体。因此人们通常将数据与信息的关系理解为载体和本体的关系,犹如纸张之于文字。区别是,在传统的纸张、文字符号与文字内容的三层关系中,纸张与文字符号一体化为文字内容的载体,而在电子存储介质、数据代码和信息内容的三层关系中,电子存储介质体现出一定的独立性,数据代码和信息内容则难以明确分割。可见,在自然科学意义上,一般将数据理解为代码符号,经过“读取”的数据则为信息,二者有相对明确的界限。但在社会科学中,因数据与信息的高度一体化特征,常将二者混同使用。简言之,在社会科学意义上,可以认为数据包含信息:在最广义的数据中,包括所有承载信息的代码符号及不承载任何信息的代码符号;而一般意义上的数据则表现为与信息一体化,即所有记载信息的代码符号,我们可以称之为广义的数据。进而,可以将已被读取信息内容的数据称为狭义数据,其范畴与自然科学意义上的信息重合。据此,数据与信息的关系可以见图1 与图2。
图1 自然科学意义上的数据与信息
图2 社会科学意义上的数据与信息
对数据的这种划分都基于数据与信息的一体化,在“数据”这一概念下根据数据承载信息的状态进一步“分层”,以便于理解二者关系及不同层面的概念在法学领域的意义。其中,广义数据概念基本等同于我国《数据安全法》对数据的界定;〔17〕参见《中华人民共和国数据安全法》第3 条第1 款规定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”狭义数据的关注点则从代码符号转向已读取的信息内容,典型的如个人信息。有学者提出在信息与数据共生、共通的背景下,在法律概念使用上没有严格区分的必要。〔18〕参见梅夏英:《信息和数据概念区分的法律意义》,载《比较法研究》2020 年第6 期,第151 页。事实上,在当前我国立法体系下,数据与信息已有相对明确的界分:《数据安全法》规定的是信息与数据一体化的“广义数据”,从总体上保护和规制所有“有信息价值”的数据及其相关行为。《个人信息保护法》 则是特别法,在数据保护中对提取“个人信息”进行特殊保护。《民法典》 将数据、虚拟财产并列规定为“其他民事权利”,可以认为在私法意义上,数据的价值主要体现为财产性利益。另外,立法均以“身份可识别性”限定个人信息,可以认为其主要体现为人格利益。数据与信息的区别不仅体现在具体法律问题的性质及法律制度的构建与适用上,也应体现在术语使用上。在我国当前立法背景下,“信息”概念的使用场景应当体现出与信息内容的直接相关性,数据则可涵盖所有信息及其载体(代码符号)。
(二)个人数据、个人信息与隐私
从《数据安全法》所规定的数据概念出发,个人数据便是所有对个人信息的记录,包括记载所有未读取及已读取的个人信息的代码符号;个人信息则是指经过读取后与已识别或可识别的自然人有关的信息,且不包括匿名化处理后的信息。〔19〕《个人信息保护法》对“个人信息”的界定更为明确、具体,其规定的“与已识别或者可识别的自然人有关”的标准,外延上大于刑法司法解释及《网络安全法》所规定的“身份可识别性”标准。显然,个人信息外延小于个人数据。无论是承载人格利益还是财产利益的个人信息,都基于对信息内容的读取,未被读取的部分应当纳入数据保护范围,故讨论个人信息问题时应当避免与“个人数据”混同使用。个人信息的权利属性是当下所热议的话题,有广义隐私说、财产权说、独立人格权说等不同的观点。〔20〕参见郑维炜:《个人信息权的权利属性、法理基础与保护路径》,载《法制与社会发展》2020 年第6 期,第126-129 页。《民法典》将个人信息保护条款规定在隐私权等人格权之后,可以认为其基本定位也是人格权。
隐私的历史几乎与人类社会同步,即使在古代社会甚至原始社会,我们也能找到与隐私相关的规范内容。〔21〕See Alan Westin, Privacy and Freedom, New York: Ig Publishing, 1967, p.10-21.但隐私成为法律上的概念,却是现代社会的发明。隐私权概念最早在1890 年由萨缪尔•沃伦和路易斯•布兰代斯在《隐私权》一文中提出,〔22〕See Samuel D. Warren & Louis D. Brandeis,The right to Privacy,Harvard Law Review, Vol.4, 1890, p.193-196.早期的理论强调对隐私权作为个人权利的绝对保护。随着对隐私功能研究的深入,也有不少论者认识到隐私在复杂的社会关系所承载的不同利益及其张力,从不同角度理解隐私权及其法理构造。〔23〕如有学者主张从信息隐私是否涉及他人重大利益来划分和确认隐私权保护,也有学者从竞争关系及社会整合、社会治理的角度理解隐私权。分别参见苏力:《隐私侵权的法理思考——从李辉质疑文怀沙的事件切入》,载《清华法学》2019 年第2 期,第122 页;吴伟光:《从隐私利益的产生和本质来理解中国隐私制度的特殊性》,载《当代法学》2017 年第4 期,第5 页。但无论如何,从各国理论和实践来看,个人自由与尊严仍是隐私权保护的核心利益。〔24〕参见徐明:《大数据时代的隐私危机及其侵权法应对》,载《中国法学》2017 年第1 期,第134 页。我国《民法典》首次确立隐私权为民事权利的一种,与自然人的生命权、身体权、健康权等人格权利并列规定,可以认为立法对隐私权的基本定位是人格权。
一般认为,个人信息与隐私是交叉重合关系。一方面,在隐私权的研究范式中,存在空间隐私权、信息隐私权和亲密关系自决权三个基本维度,〔25〕参见岳林:《论隐私的社会生成机制——以习俗和法律关系为视角》,载《学术月刊》2019 年第6 期,第105 页。与个人信息紧密相关的仅是信息隐私权;另一方面,个人信息并不必然与个人自由、尊严密切相关,或者说只有少部分个人信息承载的是隐私利益。《个人信息保护法》主要围绕“个人信息处理”展开,也说明在当前社会背景下个人信息的存在价值与“处理”密切相关,而隐私是不能被“处理”的。因此,信息隐私与个人信息分属于不同的权利束。在经验层面,信息隐私可以被理解为是个人信息的一部分,即个人信息中不愿为他人知晓的私密信息。但在规范层面,信息隐私对应的权利是隐私权,主要体现为消极的、与个人尊严和自由直接相关的权利,而个人信息权则主要体现为积极的、承载包括个人尊严和自由在内的多重利益的权利。因此,隐私与个人信息在信息隐私层面是重合的,但信息隐私属于隐私权范畴,其他个人信息则具有独立的权利属性与法律保护体系。个人信息与隐私的关系如图3 所示。
图3 隐私与个人信息
(三)数据的刑法内涵:数据犯罪与信息犯罪的应然二分
在刑法学中,涉及数据犯罪的大部分研究或者将“数据”“大数据”作为宏大背景,“数据”被视为包含信息在内的上位概念,或者只针对刑法规定的数据犯罪个罪进行教义学解读,缺乏对数据基本内涵的分析。实践中,更是凸显对数据界定的困惑。譬如近年来频发的“薅羊毛”案件,有以诈骗罪判决的,也有以非法获取计算机信息系统数据罪、盗窃罪判决的。〔26〕2021 年以诈骗罪判决的“薅羊毛”案件如浙江省上虞市人民法院(2021)浙0604 刑初705 号刑事判决书、浙江省绍兴市越城区人民法院(2021)浙0602 刑初7 号刑事判决书等;以非法获取计算机信息系统数据罪判决的如浙江省瑞安市人民法院(2021)浙0381 刑初379 号刑事判决书;而在四川省古蔺县人民法院(2019)川0525 刑初232 号刑事判决书中,类似案件则以盗窃罪判处。从社会科学意义上对数据和信息的区分来看,数据外延大于信息。结合我国《数据安全法》对数据的界定,法学领域的数据包括所有信息及其载体(代码符号),也即广义的数据概念。即使在《数据安全法》《个人信息保护法》均已出台的背景下,一般意义上的数据仍包括信息在内,如上海、深圳等新近出台的地方性《数据条例》中,仍将个人信息作为数据保护的一部分内容来规定。但在刑法中,许多传统犯罪都有可能以数据的形式呈现,包括财产犯罪、知识产权犯罪等,立法也将一些数据因其承载的信息内容具有刑法保护的必要性而规定了单独的罪名并分布在不同章节中。如果将这些犯罪都纳入数据犯罪的规制范围,会导致理论和实践仍然陷于“数据”与“信息”不分的泥沼。因而,应当基于刑法体系安排将特定信息剥离数据的基本范畴,即刑法因数据所承载的信息内容而有特别规定的,性质上属于信息犯罪而非数据犯罪。如此,数据的刑法内涵应采狭义的概念,即一方面仅指记录信息的数据,排除不记录任何信息的数据代码;另一方面,已读取信息内容且刑法有特别保护的数据不属于数据犯罪之“数据”,以此区别于以数据形式呈现的其他犯罪。
根据我国《刑法》的规定,与数据相关的犯罪可以分为三类:一是针对作为数据、信息载体的计算机信息系统的犯罪,包括非法侵入、控制、破坏计算机信息系统的犯罪与提供侵入、非法控制计算机信息系统的程序、工具罪;二是针对数据的“非法获取计算机信息系统数据罪”;三是信息犯罪,典型的如侵犯公民个人信息罪,也有侵害对象表现为国家秘密、商业秘密、公司、企业重要信息、信用卡信息等特定领域的信息犯罪。基于对数据内涵的狭义限定,可以厘清我国刑法对数据及相关犯罪的层次性安排:针对计算机信息系统的犯罪相对独立于数据犯罪和信息犯罪,是对数据和信息之“载体”的保护;信息犯罪相对于数据犯罪是特别罪名,也即根据信息内容对特定领域的数据进行特别保护;不能以作为特别法的信息犯罪处理的,则以数据犯罪予以规制。以非法获取计算机信息系统数据罪和侵犯公民个人信息罪为例,个人信息的人身权利属性要求须以“身份可识别性”来区分个人信息与数据,当前该罪适用率居高不下是数据犯罪立法不完善、司法未严格区分数据与信息的结果。因此,侵犯公民个人信息罪的适用应趋于限缩而非扩张。此外,数据承载著作权、商业秘密等知识产权的,也应以知识产权犯罪而非数据犯罪处理。刑法没有特别规定且妨害数据管理秩序、需要动用刑罚处罚的,便属于数据犯罪。这样,数据犯罪与信息犯罪便有了相对清晰的界限,〔27〕区分数据犯罪与信息犯罪在逻辑上与数据和信息的界分是一致的,信息就是已被读取数据代码所记载的内容的“数据”。因此可以说,刑法中长期关注的实际上是信息犯罪,即针对已读取信息内容且具有刑法保护必要性的“数据”。但近年来实践中所呈现出的问题是大量犯罪行为所针对的为“海量数据”,相对于信息内容所对应的特别法益,对数据本身的保护也引起了广泛关注。因此,在刑法上区分数据犯罪与信息犯罪,厘清数据犯罪的内涵及强调刑法保护法益的独立性是必要的。非法获取计算机信息系统数据罪之数据外延过度泛化的问题能够得以解决,同时也能为划定数据犯罪规制范围、完善数据犯罪立法奠定基础。
三、数据犯罪完善对策之展开:锚定数据犯罪的规制行为
(一)取消对非法获取数据行为的限定
我国《刑法》第285 条第2 款规定的非法获取计算机信息系统数据罪将非法获取数据行为纳入刑法规制范围。该罪一方面在司法实践中适用率偏低,难以回应现代信息社会背景下刑法治理数据犯罪的现实需求;另一方面,因对数据外延理解的泛化和对客观构成要件行为的扩张解释,该罪名趋于“口袋化”。〔28〕参见郭旨龙:《非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思》,载《政治与法律》2021 年第1 期,第64 页。数据外延的泛化体现在司法判决中,是将个人信息犯罪、知识产权犯罪及一些以数据形式呈现的财产犯罪等不当纳入该罪规制范围。对客观构成要件的扩张解释主要表现为对“以其他技术手段”非法获取数据行为的理解。如在最高人民检察院第九批指导案例第36 号中,指出超出授权范围登录后查询、获取数据的行为属于使用技术手段非法获取数据的行为。〔29〕参见计莉卉、游涛: 《超越权限进入计算机信息系统的行为性质》,载《人民司法》2018 年第8 期,第25-26 页。然而,即使对数据作泛化理解、对客观行为要件进行扩张解释,甚至被学界批评沦为新一代的“口袋罪”,该罪自设立以来年平均案件总数不足59 件的客观现实表明,其当前最突出的问题是“适用不足”而非过度适用。“适用不足”的主要原因在于立法对该罪客观行为的限定,即只规定了“侵入型”和“利用其他技术手段型”两种非法获取数据的行为。“侵入型”更偏向于对承载数据的计算机信息系统的保护;“利用其他技术手段型”在立法本意上亦未脱离对计算机信息系统保护的基本立场,因此该罪设定的保护法益就没有体现对数据的独立保护。故而司法实践中针对形形色色的数据犯罪行为,将部分客观上并未利用技术手段的行为扩张解释为“利用其他技术手段型”非法获取数据的行为。
可见,非法获取计算机信息系统数据的限定性立法是将非法获取数据的行为置于计算机信息系统法益保护的传统定位中。实践中对“采用其他技术手段”的扩张解释,以及对并不符合这两种限定条件的非法获取数据行为以该罪定罪处罚的情形,说明立法上的定位和限定已难以回应刑法规制数据犯罪的需求。另外,此种限定也难以打击将合法持有或非法购买的数据贩卖牟利、利用平台漏洞获取数据等行为,而此类案件在实践中越来越常见。因而,对非法获取计算机信息系统罪应取消当前在行为类型上的限定,该罪规制范围的划定应当以数据和信息的区分为核心,以数据安全作为独立保护法益,非法获取行为采取何种手段并不影响对数据法益侵害的评价。
另外值得注意的是,欧洲《网络犯罪公约》规定了对计算机系统和数据的“非法访问”行为。一般情形下,对数据的非法访问伴随着非法获取,这在非法获取计算机信息系统数据罪的大部分案例中都有体现。但在个别情形下,可能存在对数据的非法访问单独侵害法益的情形。如利用网络爬虫故意大量访问网站及其数据的行为,可能导致该网站的数据拥堵,影响网站运行速度甚至导致网站崩溃。这种“恶意访问”案件在实践中多数涉及竞争法的问题,但在个别案件中也可能因侵害计算机信息系统而构成犯罪。如在流量攻击案件中,行为人通常利用技术手段向目标网站大量、重复性地发送访问请求(典型的如DDoS 攻击),或者大量、反复地访问网站数据,导致网站无法回应正常用户的请求。司法实践中,此类案件一般以非法控制计算机信息系统罪定罪处罚。〔30〕参见安徽省长丰县人民法院(2019)皖0121 刑初51 号刑事判决书、江苏省洪泽县人民法院(2018)苏0813 刑初81 号刑事判决书等。可见,非法访问数据而未获取数据的行为构成犯罪的,一般伴随着对系统的非法侵入与访问,构成侵害计算机信息系统的犯罪。
(二)将非法提供、利用、破坏数据的行为纳入刑法规制范围
数据安全成为刑法独立保护的法益是信息网络时代犯罪演化的必然结果。2001 年通过的欧洲《网络犯罪公约》第2 至6 条专门对计算机系统和数据的非法访问、拦截、干扰、滥用等行为进行了规定,〔31〕See Convention on Cybercrime, Nov. 23, 2001, T.I.A.S. 13174, E.T.S. No. 185, at.2. https://www.jstor.org/stable/20694233?seq=1#metadata_info_tab_contents., last vistted on March 22, 2022.体现出数据在刑法保护体系中的独立地位及其重要性。在我国当前立法的基础上,结合数据犯罪行为的现实类型,应当将非法提供数据的犯罪、非法利用数据的犯罪及破坏数据的犯罪纳入数据犯罪规制范围。
1.非法提供数据的犯罪。在大部分情形下,非法提供数据的行为与非法获取数据的行为并存。如非法获取计算机信息系统数据罪在2021 年的36 例案件中,仅有1 例被告非法获取数据并将数据直接变现牟利,不存在非法提供数据的情形,〔32〕参见浙江省瑞安市人民法院(2021)浙0381 刑初379 号刑事判决书。其他案件在行为上均呈现“非法获取+非法提供”的特征,占比97%。在“非法提供”类型中,有27 例是直接将数据出售牟利,占比77%,其他案件通过非法提供数据收取服务费、中介费、加盟费等形式牟利。总体而言,非法提供数据的犯罪基本都体现牟利性特征,在刑法评价上,因多数案件中与非法获取数据的行为合并实施,在当前刑法体系下以非法获取计算机信息系统数据罪定罪处罚。但这并不意味着对非法提供数据的行为不具有单独刑法评价的必要性。一是不排除个别情形下存在不与非法获取数据行为并存的非法提供数据的行为,例如,将因职务、协议等合法持有的数据非法提供给他人的,如果在数据性质上不构成侵犯公民个人信息罪、侵犯商业秘密罪等信息犯罪的,仍有构成数据犯罪的可能。二是非法获取数据犯罪的违法评价对象是非法获取行为,并不包含非法提供数据的行为,存在法益保护的缺位。因此,我国刑法应当增加对非法提供数据行为的规范设置。此外,对非法提供的理解可以参考相关司法解释,将非法或未经授权发布或公开数据的行为也涵盖在内。〔33〕《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,通过信息网络或者其他途径发布公民个人信息的,应当认定为《刑法》第253 条之一规定的“提供公民个人信息”。
2.非法利用数据的犯罪。非法获取、提供数据的犯罪是以数据为犯罪对象,直接通过数据实现其犯罪目的,因此数据在犯罪中处于核心地位。与此不同的是,在非法利用数据的犯罪中,数据的重要性被其他犯罪所“稀释”。如在利用数据实施的诈骗犯罪中,对具有显著社会危害性的诈骗犯罪的评价冲淡了对数据利用行为的违法性评价。〔34〕参见苏青:《认识网络犯罪:基于类型思维的二元视角》,载《法学评论》2022 年第2 期,第86 页。这在数据犯罪与信息犯罪中都有体现,例如,我国“侵犯公民个人信息罪”仅规定了对个人信息的非法获取、出售、提供行为,而未单独规定非法利用行为。但正如有学者所指出的,较之于法定构成要件的行为,非法利用行为“对法益的侵害更具有直接性和精准性,危害更甚”。〔35〕刘仁文:《论非法使用公民个人信息行为的入罪》,载《法学论坛》2019 年第6 期,第118 页。对非法利用数据的行为是否具有单独违法性评价的必要性,在于如何看待对数据的利用行为与利用数据实施的“下游犯罪行为”之间的关系。如果将数据安全作为独立法益进行刑法保护,就意味着“数据”在刑法上的特殊性,利用数据实施其他犯罪,不仅对“下游犯罪”应予违法性评价,利用数据的行为本身就危害了数据安全而被规定为犯罪。对数据犯罪与“下游犯罪”进行数罪并罚,并不存在重复评价的问题,因为二者有各自独立的行为与法益保护对象。当前司法实践中,对非法获取数据并实施诈骗等“下游犯罪”的,多数以下游犯罪定罪处罚,不再评价数据犯罪,这不符合刑法适用的基本原理。〔36〕也有个别案例对数据犯罪和“下游犯罪”进行了分别评价,数罪并罚,参见广东省广州市海珠区人民法院(2021)粤0105刑初4 号刑事判决书。另外,不排除个别情形下非法利用数据实施的“下游行为”不构成犯罪,而“上游”的数据获取也可能是合法的,如果此种数据利用行为具有值得刑罚处罚的法益侵害性,也应当以独立的刑法规范进行规制而非使其逍遥法外。
3. 破坏数据的犯罪。欧洲《网络犯罪公约》第4 条规定了“数据干扰”,将数据破坏行为规定为犯罪。通过插入恶意代码、病毒、木马等破坏数据,数据权利人有权以对数据造成严重损害而主张追究破坏者的刑事责任。〔37〕See Mike Keyser, The Council of Europe Convention on Cybercrime, J. Transnat’l L. & Pol’y., Vol.12, 2003, p. 302-304.我国《刑法》第286 条“破坏计算机信息系统罪”第2 款的规定旨在对计算机信息系统正常运行进行保护,而非规制破坏数据的行为。最高人民法院于2020 年发布的第145 号指导性案例虽然认为“未造成网络系统功能实质性破坏或者使其不能正常运行”的破坏数据行为不构成破坏计算机信息系统罪,但该案本身也说明实践中存在未对计算机信息系统造成损坏但数据遭到破坏的案例。尤其是发生在数据存储过程中的犯罪,主要表现为对数据的破坏行为,而人工智能时代数据犯罪侵害的法益也不仅仅是计算机信息系统的安全。〔38〕参见刘宪权:《人工智能时代数据犯罪的刑法规制》,载《人民检察》2019 年第13 期,第34 页。人工智能技术的发展可能使更多的数据破坏行为逐渐脱离计算机信息系统而指向数据本身。在数据犯罪已相对独立于计算机信息系统犯罪的现实背景下,基于对数据安全的保护,应当将破坏数据行为规定为犯罪。
四、数据犯罪完善对策之实现:设立危害计算机信息系统数据罪
由于理论和实践中长期不区分数据与信息,导致对数据犯罪的法益众说纷纭。有主张“数据安全法益”与“数据财产法益”的复合法益论者,〔39〕参见刘一帆等:《复合法益视野下网络数据的刑法保护问题研究》,载《法律适用》2019 年第21 期,第112-113 页。也有“数据安全法益”独立法益论者。〔40〕参见杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019 年第6 期,第159-160 页。多数研究根据数据所承载的具体利益,对数据犯罪所侵害的法益进行了多元划分或者多层分析。〔41〕如有学者提出在“数据安全法益”下依照立法参照系对数据犯罪进行多元法益识别和利益平衡。参见张勇:《数据安全法益的参照系与刑法保护模式》,载《河南社会科学》2021 年第5 期,第42 页。事实上,在厘清数据与信息关系的基础上,数据犯罪相对于刑法有特别规定的信息犯罪而言,是具有其独立范畴与刑法法益的犯罪类型。在《数据安全法》《个人信息保护法》业已出台的背景下,数据已成为国家公法保护和规制的重要对象之一。结合我国《刑法》中的法益保护体系,数据犯罪所侵害的法益是国家对数据安全的管理秩序。个人数据或承载财产利益及其他法益的数据,应根据具体案情根据“特别法优于一般法”“重法优于轻法”的规则,在数据犯罪和信息犯罪或其他传统犯罪中合理选择适用的罪名。
自2020 年我国《民法典》颁布实施以来,学界对是否需要编纂刑法典的问题也有讨论。正如有学者所指出,我国现行刑法已是实质意义上的法典,但目前仍有必要基于法典编纂的理念全面修订刑法典,打造刑法典的“升级版”。〔42〕参见周光权:《法典化时代的刑法典修订》,载《中国法学》2021 年第5 期,第39 页。虽然我国现行刑法体系较为完备并具有法典的实质特征,但十一部刑法修正案及多如牛毛的刑法解释的出台,本身就反映出刑法应对实践的乏力。源于1979 年《刑法》的基本框架结构也难以适应当今社会的犯罪与刑罚特征,尤其是分则中个罪的体系安排也不尽合理,导致司法实践中识别法益、适用罪名存在诸多困难。因此,应当积极推进对刑法典的全面修订工作。在此背景下,立法需要回应时代需求并在将来刑法修订中尽可能“未雨绸缪”。数据犯罪、信息犯罪便是在信息时代背景下的新的犯罪类型。当前刑法中信息犯罪以“侵犯公民个人信息罪”为核心罪名,但个人信息与隐私的界限难以划定;数据犯罪仍“屈居”计算机信息系统安全法益的保护之下,数据法益的独立性尚未确立。重新梳理隐私犯罪、个人信息犯罪、数据犯罪及计算机信息系统犯罪的关系,形成严密、合理的刑法罪名体系,是完善刑法的重要任务之一。
基于本文对数据犯罪规制困境及刑法完善路径的分析,认为数据与信息的区分是刑法治理数据犯罪首先需要解决的问题。从当前立法来看,侵犯公民个人信息罪是最典型、最常见的信息犯罪,但在司法实践中,存在与非法获取计算机信息系统数据罪区分适用上的困难,且该罪扩张适用趋势十分明显。因此,应当坚持“个人本位”的立场,以个人信息权作为其保护法益,对侵犯公民个人信息罪作限缩解释。虽然当前理论和实践中对个人信息权有各种争议,但个人信息所承载的法益应是个人法益,且主要体现为人身权利。结合个人信息的“身份可识别性”及其他认定条件,可以将侵犯公民个人信息罪的保护范围限缩到对个人法益的保护。在《个人信息保护法》业已出台的背景下,刑法上的个人信息范围应与其保持一致,将不具有身份可识别性的个人信息排除在外,作为数据进行保护。这样,数据犯罪与个人信息犯罪的基本界限得以厘清。同样地,对以数据形式呈现的知识产权犯罪、财产犯罪等,也可根据其具体的信息内容,结合刑法对该领域的特别规定进行处罚。难以确定信息内容或刑法对该信息内容所承载的法益未作特别保护者,便属于数据犯罪。进而,为完整涵括可能存在的且值得刑法处罚的数据犯罪行为,建议在现有的非法获取计算机信息系统数据罪的基础上,设立危害计算机信息系统数据罪,确立信息社会背景下数据犯罪的独立刑法体系地位。考虑到保持立法简明性并预留较为灵活的解释空间,参照现有相关立法可将条文拟定为:“非法获取、提供、利用、破坏计算机信息系统数据,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
五、结语
数据安全是当今社会的重要课题,我国《数据安全法》的出台也体现了在新的时代背景下对总体国家安全观的贯彻落实。刑法作为保护数据安全、规制数据犯罪的最有力的手段,应当充分发挥其作用,回应时代需求。然而我国刑法对数据犯罪的立法不尽完善,司法适用也存在诸多困境,导致刑法规制数据犯罪存在巨大障碍。从典型的数据犯罪——非法获取计算机信息系统数据罪入手,本文分析了当前刑法在数据犯罪治理中存在的突出问题,进而通过界定数据内涵、锚定规制行为来勾勒数据犯罪的应然轮廓,并提出数据犯罪刑法完善的具体建议,以期推动对数据犯罪研究的深入并为实践提供参考。
