论非法访问数据行为的入罪
2023-02-08蔡士林黄东泳
蔡士林,黄东泳
(1.中国矿业大学 人文学院,江苏 徐州 221116;2.浙江省永康市人民检察院,浙江 永康 321300)
数据①本文在相同意义上使用和理解“信息”和“数据”。源于记录客观世界的需要,人类实践以数据为工具。数据突破了表征特定属性,跨越时间和空间,成为推演事物运动、变化规律的依据和基础,现代社会文明由此得以建立。计算机存储和交互功能的出现以及算法和计算机迭代技术加持使得数据流通速度加快,数字经济在此基础上迅速崛起。我国数字产业化与产业数字化齐头并进,数字经济规模从2012 年的11 万亿元增长到现在的45.5 万亿元,连续数年位居世界第二,电子商务交易额、移动支付交易规模居全球第一,数字经济正成为我国经济发展中创新最活跃、增长速度最快、影响最广泛的领域。②《迈向网络强国中国网信事业逐梦新征程》,载https://politics.gmw.cn/2022-11/11/content_361 54589.htm,2023 年11 月11 日访问。随着人类社会从物理空间向网络空间甚至是虚拟空间的迁移,双层社会初见端倪,数据作为底层要素自然也受到不法分子的密切关注,数据犯罪增量惊人。截至2021 年12 月,遭遇个人信息泄露的网民比例最高为22.1%;遭遇网络诈骗的网民比例为16.6%;遭遇设备中病毒或木马的网民比例为9.1%;遭遇账号或密码被盗的网民比例为6.6%。①《第49 次中国互联网络发展状况统计报告》,载https://www.cnnic.net.cn,2022 年11 月23 日访问。2021 年“元宇宙”(MetaVerse)一词的迅速走红,预示着未来人们通过数字分身进入虚拟世界并未痴人说梦,而这需要以海量数据加载为前提。
由于数据的传输、储存以及流通等都离不开计算机和网络支持,且1997 年《刑法》修订时,我国正式接入国家互联网才不过三年,计算机犯罪方兴未艾,数据犯罪的概念更是尚未成形,因而立法者早期更倾向于将数据置于计算机犯罪或网络犯罪之中进行间接保护。例如,我国在1997 年《刑法》就增设了“破坏计算机信息系统罪”和“非法侵入计算机信息系统罪”,并在2015 年《刑法修正案(九)》中添加了双罚制,2009 年《刑法修正案(七)》又增设了“非法获取计算机信息系统数据罪”。显然,我国刑法对于数据保护仅包括两种类型:非法获取型和破坏型。遗憾的是,这两种类型的数据犯罪无法涵盖愈演愈烈的非法访问数据这一行为类型。作为针对数据的前端侵害行为,非法访问行为的治理不仅关系到数字经济健康有序的发展,而且与下游犯罪产业的阻断息息相关。基于此,本文拟在澄清非法访问数据定义的基础之上,论证刑法规制的必要性,然后进一步分析我国刑法存在的不足,最后提出应对之策。
一、前提性问题——“非法访问”概念的厘定
任何关于计算机或数字技术的讨论都倾向于依赖隐喻,如“信息高速公路”(Information superhighway)、赛博空间(Cyberspace)和万维网(World Wide Web)。不可否认,此举不仅可以帮助我们理解、评估和构思新想法,而且还允许我们使用更熟悉的与源“概念”相关的概念和值,并将它们应用于更不熟悉且通常更抽象的目标概念[1]。尽管这一过程符合认识论的基本原理,但它本质上不利于法律概念的应用,误导我们所探索的概念的真正本质,且与刑法明确性原则存在不可调和的矛盾。因此,规范性概念的使用首要需要澄清。此种情形在计算机犯罪和数据犯罪中体现得更加明显,因为只有比照物理世界进行匹配性表述,才能发挥规范性命令的示范作用。
在信息内外网数据频繁化的同时,由于绝大部分的网络数据库具有覆盖面广、信息价值高、存储量大的优势,因此,用户对数据库的非法访问会对数据安全造成巨大影响。早期的网络犯罪采用类似财产犯罪的规范构造,如计算机入侵(Computer Trespass)。从用户的立场出发,“访问”(Access)暗示获得授权进入的物理行为,在这里的意思是入口、准入、允许(出现或使用),故而该行为包括进入(计算机)和使用(计算机内的数据)两个方面[2]。从这个角度来看,计算机被视为一个包含信息的箱子,自然禁止未经授权进入箱子。然而,它并不能反映现代网络计算的现实,因为人类与计算机的交互方式众多,可以单纯进行访问(查阅)而不对数据进行抓取。例如,ADO(AcLiveX Data Object)数据库访问技术可以打开数据进行访问,也可以将数据取出发送到其他软件。数据安全专家也意识到非法访问数据的危害性,因而探究新的访问控制技术,如基于KRR 方法组建回归方程实现对数据库内非法访问数据的采集和锚定[3]、基于加密方案的云储存平台下数据库访问控制策略[4]以及基于智能合约的数据访问控制方法[5]。
从访问的技术手段角度来看,主要可以分为非法访问者访问数据以及合法访问者对数据库非授权对象进行非法访问[6]。任何与计算机的交互都必然涉及数据的访问,因为这种交互会导致计算机以某种方式作出响应。以端口扫描为例,请求被发送到联网的计算机端口,以查阅目标计算机上哪些端口是开放的。这是一种评估脆弱性的方法,可能是尝试进一步访问的前兆[7]。例如,未经授权利用木马程序获得登录权限或密匙,侵入计算机信息系统,进而获得访问数据库的权限。当然,针对登录密码错误可能存在争议。从外部视角看,他或她没有获得进入计算机的权限,因而不构成访问,但从用户角度观测,此行为同样会导致计算机响应并在处理中修改数据,因而属于非法访问。应当说,从技术层面来看,在破解登录权限的情况下进行随机试错,获得访问权限的概率可以忽略不计,应当予以排除。又如,在获得授权之后,超越授权的内容访问其他数据库内容,破坏了数据库整体的安全,属于非法访问。
从侵害的主体来看,非法访问的对象是“数据”而非“计算机”。一方面,与早期计算机的用途和功能不同,大数据时代我们逐渐习惯将大容量的数据资源存储于数据库中,然后借助SQL等访问技术进行搜索。此种语境下,访问对象不再是抽象化的“计算机”或“计算机系统”,而是具体建构于数据库中的数据。计算机安全强调建立和采取保护措施,以保护计算机的硬件、软件和数据等一切安全。相较计算机的载体属性,数据是内容,需要法律的独立保护。另一方面,不论是计算机安全抑或是网络安全,数据都是最关键的保护对象。正是基于数据安全的重要性,它才成为被攻击的目标。为了有效化解并遏制风险,访问控制、身份验证、数字签名和防火墙等一系列技术手段应运而生[8]。倘若以“计算机”为名进行保护,既达不到全面保护的目标,也无法实现对数据的重点保护。
综上,笔者认为非法访问数据是指行为人未经授权或超越授权登入成功后,对数据库数据进行查阅或浏览的行为。
二、非法访问数据行为刑法规制的必要性与可行性
(一)必要性:非法访问数据的行为具有严重的法益侵害性
在数据泄露、数据篡改以及数据非法使用等法律风险肆意蔓延的背景下,1975 年美国麻省理工学院电气系教授沙尔茨(Saltzer)和施罗德(Schroeder)首次提出了“数据安全”(Data Safety)的概念。数据安全包括数据的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。保密性是指在特定情形下,维持一种自上而下的权威,并控制那些有权获取信息的人[9]。完整性是指存储或传输的状态下,数据不会被未经授权的人篡改。可用性是指及时、可靠地获取和使用数据[10]。数据安全所倡导的完整性、有用性和保密性目标不仅充分考虑了数据安全背后原有的技术样貌,而且反映了不同场景下的保护内容,因而成为数据犯罪的保护的法益。
从法益内容上看,非法访问数据的行为严重侵害了数据的保密性和可用性。一方面,非法访问数据行为的法益侵害具有直接性。无论是非法获取行为、破坏行为抑或是滥用行为,都可以看作是数据犯罪的中下游犯罪。之所以长期以来忽视非法访问行为的存在,主要原因在于理论界和实务界习惯于将其与后续犯罪行为杂糅到一起,认为是手段与目的或主行为与从行为的关系,择一重处罚。实际上,非法访问行为作为手段体现出的关键性和必然性特质本身就对数据安全产生了严重侵害。目前学界和实务界都在极力消除数据和传统意义上有价值物的区别,进而佐证数据的财产属性,因此,数据财产权便成为一种新型权利。需要说明的是,数据的可复制和低消耗等特征要求我们对于传统犯罪构造予以重塑。例如,传统的财产犯罪都秉承占有主义,单纯地观察犯罪目标,可能构成犯罪预备甚至不构成犯罪,因为难以达到使财物失去控制的法益侵害程度。与此不同,数据的上述特征决定了侵害方式和法益的特殊性。倘若按照传统财产犯罪的规范构造,甚至会得出与立法相悖的结论。例如,虽然非法获取计算机信息系统数据罪的实行行为是非法获取,行为构造上类似于盗窃罪或抢劫罪,但却并未使数据所有者所有权权益有所减损。这也说明立法者也承认数据犯罪与传统犯罪的差异。未经授权或超越授权入侵他人计算机信息系统,而后进入他人数据库中进行查阅,侵害了数据的保密性,同时,由于数据内容被披露(相对于数据所有者而言),可用性随即减弱。正如有学者所言:“数据不同于财物,受保护的方式自然也要更新升级,非法访问作为一种被遗忘的侵害方式应当被立法者重视,否则法律的规制则如同‘亡羊补牢,为时晚矣’。”[11]另一方面,非法访问数据的行为的法益侵害具有隐藏性。尽管网络服务提供者都在不断提高防火墙和病毒的检测技术,做到“打早打小”,避免损失的扩大化,但基于访问技术的隐蔽性,在尚未执行查询命令时一般很难发觉。这不仅造就了技术层面的规制难题,也难以使立法者和司法者聚焦于这一问题。隐蔽性不代表不存在法益侵害的事实。应当说,非法访问数据行为作为所有数据犯罪的必经环节,必然会对数据安全产生严重侵害,刑法介入的正当性成立,立法者不能因为这种侵害方式是不被人看到或听到就选择听之任之[12]。研究也表明,如果非法访问数据的行为受到法律的制裁,数据所有者的损失就会减少70%[13]。总之,非法访问数据的行为对数据安全的法益产生了严重的侵害,且其侵害程度不亚于其他数据犯罪行为,故而应当得到刑法立法者的重视和回应。
从被害主体教义学的立场出发,非法访问数据行为严重侵害了数据权利人的权益。对于非法访问数据行为刑法规制的考察,不仅需要立足法益保护的理念正面论证,而且结合被害人教义学,合理划定受保护的对象同样必不可少。被害人教义学从被害人的角度出发,从被害人的保护可能性与需保护性这一核心原则展开,对被害人法益是否值得刑法保护予以评估,使被害人这一犯罪学意义上的主体进入刑法教义学的视野。[14]一方面,从刑法保护角度而言,非法访问数据行为的被害人具有保护的可能性。随着Web3.0 时代的到来,数据权利人自我保护的可能性受到影响。例如,在Web1.0到web2.0 期间,数据权利人拥有强势的管理能力,非法访问数据行为不会造成自我保护可能性的减弱,但Web3.0 时代网络易入性使得攻守关系发生了逆转,数据权利人防御成本增高。另一方面,与其他网络犯罪的离散型不同,非法访问数据行为针对的一般是数据库控制者,具有主观上的故意。如上文所述,当数据库权利人采用多种措施尽到“通知”或“提醒”义务时,行为人已经通过技术手段强行访问,显然具有了主观上的“故意”。
(二)可行性:域外立法和公约的共同选择
尽管不同国家和地区存在法域上的差异,但审视国际社会的刑事立法不难发现,各个法域以附属刑法或者增设罪名等不同形式强化数据安全的独立地位。尽管不能在立法上亦步亦趋,但国际上的立法趋向所反映的一定的规律性,无疑对我国有参考和借鉴价值。
以英国和澳大利亚为例,两国都明确表示,受到惩罚的实际上是未经授权访问计算机数据,而不是计算机本身的行为。根据澳大利亚联邦规定,如果行为人在明知该访问是未经授权的情况下,通过该访问意图实施或协助实施严重罪行,则该访问是违法的①Criminal Code Act 1995(Cth),ss 477.1(1)(a)(i),477.1(4)(a)(i).。此外,任何人明知访问受限制数据是未经授权的,而故意使任何人访问该等数据,即属犯罪。对数据的访问必须基于计算机的某一功能而开启,因而不包括对数据的物理损坏。“访问储存在电脑内的数据”的定义是:由该计算机显示该等数据或由该计算机以任何其他方式输出该等数据;或将该等数据复制或移至电脑内任何其他地方或移至数据储存装置;或对于程序,即程序的执行。这个非常宽泛的定义本质上等同于使用“数据作为与数据的任何交互,无论是否成功”,都会导致程序的执行或数据的输出。例如,失败的密码尝试仍然会导致程序执行和数据输出。英国也采用了类似的立法表达。根据《1990 年计算机滥用法》(Computer Misuse Act 1990)第1 条1 款规定,有以下情况的人即属犯罪:他或她使计算机执行任何功能,目的是确保对任何计算机内持有的任何程序或数据的访问是安全的,或使对任何该等访问是安全的;他或她打算确保或使其能够确保的访问是未经授权的;和当他或她使计算机执行功能时,他或她知道情况就是这样。根据第2 条第3 款,如第1 条的罪行是意图犯某一指明罪行,则属较严重罪行。打开计算机、试图输入密码或试图远程访问计算机都会导致计算机执行某种功能,因此,只要这些操作是未经授权的,并且是出于必要的目的而进行的,就可能属于这一节的范围。这与访问的尝试是否成功无关,如用户输入密码但被拒绝访问。
以美国为例,1986 年颁布的《计算机欺诈和滥用法》(Computer Fraud Abuse Act,CFAA)中与数据犯罪有关的内容被载入《美国联邦法典》第18 章第1030 条。第1030 条(a)规定了个人故意“未经授权访问计算机”或者“超出授权访问计算机”且从事以下行为,应当承担刑事责任或民事责任:(1)获取政府数据或国家安全保密数据;(2)访问各类受保护的计算机并获取数据;(3)访问联邦政府拥有或专用的计算机;(4)访问计算机并实施欺诈;(5)损坏计算机或缓存的数据;(6)对访问计算机的密码进行非法交易;(7)利用计算机进行敲诈勒索①18 U.S.C.A.§1030(a)(1)-(a)(7).。1996 年《经济间谍法》(Economic Espionage Act,EEA)第二章对第1030 条进行了修改,目的在于调整(a)(2)的适用对象,从最初金融机构、发卡机构或消费者报告机构的金融记录变更为任何类型的信息②See 18 U.S.C.§1030(a)(2)(Supp.II 1996).。2008 年通过的《身份盗窃惩罚和赔偿法》(Identity Theft Enforcement And Restitution Act,ITER)再次对第1030 条(a)(2)进行了修改,规定任何未经授权地访问任何受保护的计算机数据,检索任何类型的信息,不管是州际之间或州内,都将受到法律的惩罚③Former Vice President Protection Act of 2008,Pub.L.No.110-326,122 Stat.3560.。尽管美国在形式上是以“计算机犯罪”对非法访问数据的行为进行规制,但从立法内容不难看出,数据犯罪内容占据主流,且其对非法访问行为进行了全方位的规定[15]。
欧盟委员会2001 年通过了《网络犯罪公约》(Cybercrime Convention)(以下简称《公约》),并于2004 年正式实施。《公约》为了打击黑客行为,规定未经授权进入计算机系统(第2 条)、非法截取计算机数据(第3 条)和未经授权干扰计算机数据或计算机系统(第4 条和第5 条)属于犯罪[16]。《公约》设置了与“非法访问”类似的“干扰数据罪”,并鼓励成员国进一步细化犯罪类型。2015 年德国颁布的《第49 部刑法修改法》第202 条a规定:“未经授权为自己或他人探知不属于自己的为防止被他人非法获得而作了特殊安全处理的数据的,处3 年以下自由刑或罚金刑。”第202 条c 规定:“为第202 条a 和第202 条b 规定的犯罪进行预备,对下列对象加以制作,为自己或他人获取、出售、转让他人,散布或以其他方式公之于众的,处1 年以下自由刑或罚金刑。”[17]
其他如日本《关于禁止不正当侵入网络行为等的法律》④本法于平成11 年(1999 年)8 月颁行,最后修改时间为平成25 年(2014 年)5 月。第1 条第4 款规定:“本法中所说的‘不正当侵入网络行为’是指下列各项情形之一的行为:其一,通过电气通信线路,向具有网络访问控制功能的特定电子计算机输入他人的识别符号,启动该特定电子计算机,进入获得该网络访问控制功能限制的特定使用状态(不包括设定该网络访问控制功能的访问权限管理者实施的行为,以及获得该访问权限管理者的承诺或者该识别符号利用权人承诺行为);其二,通过电气通信线路,向具有网络访问控制功能的特定电子计算机输入可以解除通过网络访问控制功能限制的特定利用的信息(识别符合除外)或者输入指令,启动特定电子计算机,进入该功能控制的特定利用状态的行为;其三,通过电气通信线路连接的其他特定电子计算机所具有的网络访问控制功能,向控制该特定使用的特定电子计算机,输入可以通过电气通信线路解除该限制的信息或指令,启动该特定电子计算机后,进入在被限制状态下可以特定使用的行为。”[18]《法国刑法典》第三章“侵犯数据自动处理系统罪”中第323条第2 款规定:“妨碍或扰乱数据自动处理系统运行的,处5 年监禁并科150000 欧元罚金。”第323条第3 款规定:“非法增加、摘录、持有、复制、传递、删除或者更改数据自动处理系统之数据的,处5年监禁并科150000 欧元罚金。”[19]《西班牙刑法典》第十编第197 条第2 款规定:“为损害第三人利益,未经授权,占有、使用、更改他人或者家庭保存的数据,电脑、电信或信息保存的数据或者其他形式的私人、公共档案、记录;以损害其拥有人、第三人为目的,未经授权,变更、使用或访问以上信息,以各种方式取得上述各种信息,处第一款的刑罚。”[20]
综上所述,尽管上述各国因法律文化和传统差异在刑法立法的表述上各具特色,但本质上都将非法访问数据的行为纳入刑法调整的范畴,根本原因在于域外国家业已形成完整的“计算机犯罪或数据犯罪”刑事法网,基本涵盖了数据的生命周期,而我国刑法分则对于此类型行为的立法阙如,致使理论和实务界的相关研究逐渐走入误区。
三、现行刑法规定无法涵盖非法访问数据的行为
(一)无法将非法访问数据行为纳入非法获取计算机信息系统数据罪
非法获取计算机信息系统数据罪①我国《刑法》第285 条第2 款规定:“违反国家规定,侵入前款规定以外的计算机信息系统或采用其他技术手段,获取该计算机信息系统中存储、处理或传输的数据,或者对该计算机信息系统实施非法控制,情节严重,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”的实行行为可以概括为“侵入+获取”或“采用其他技术手段+获取”。遗憾的是,无论对非法访问作何解读都无法被上述两种行为类型所涵盖。
首先,从数据的生存周期出发,访问行为可以作为独立阶段且与其他数据行为进行区隔。数据的生存周期可以分为数据采集、数据传输以及数据储存等六个阶段②《信息安全技术数据安全能力成熟度模型》(GB/T37988-2019)第5.4.1 条与第5.4.2.1 条。。这里的“采集”并不等同于“获取”,而是对单向非法访问行为的不法性评价。获取是数据从无到有的过程,对如何获取数据的技术进行有效法律规制才是问题的关键。对计算机数据的访问显然是获取和破坏行为的技术前提,彼此之间具有事实上的逻辑关系和因果关系,缺乏了访问行为,则后续的数据侵害行为不可能实现。尽管这些数据侵害行为在推进因果关系进程上具有一致性,但是行为之间存在本质区别。而且现实生活中存在并未直接获取数据,无法构成非法获取计算机信息系统数据罪,但同样造成严重社会危害性的行为,此时便形成了刑法处罚上的漏洞。例如,被告人A 通过私自窥视到的账号、密码,多次非法登录某资源交易平台,并在系统新增管理员账号(影子账号),以查看平台内招标项目的投标情况、报价单等,有偿提供给B 公司,非法获利10 万元[21]。
其次,从行为侵害的法益区分,非法访问数据行为具有特殊性。未经授权或超越授权的非法访问数据行为侵害了数据的保密性。有学者认为,针对数据犯罪而言,获取、出售及提供是处于法益边缘的行为,对于法益不具有直接侵害性,而使用行为则是法益侵害的核心行为,对于法益具有直接侵害性[22]。也有学者持相反观点,认为数据犯罪进入实行阶段之后对法益会产生巨大侵害,刑法保护的前置化应当得到立法者的关注和回应[23]。应当说,与传统犯罪相比,网络语境下的犯罪组织分工进一步细化,利益链条被不断延伸,形成了更多独立的犯罪单元,因此,实行行为的中心地位也被不断弱化,呈现出明显的去中心化特点。以盗窃罪为例,传统盗窃罪重点考察的要素包括行为人盗窃手段、周围环境、逃脱的可能性,基本上排除了对准备工具和制造条件等预备行为的考量,因为前者直接关乎犯罪行为能否既遂。换言之,整个犯罪是以实行行为中心的。“工欲善其事,必先利其器”是新型网络盗窃的真实写照。作为典型的技术犯罪,工具技术状况直接决定犯罪的走向。因此,非法登录、破解密码或植入程序等行为反而成为关键与核心。同理,作为数据犯罪的关键环节,非法访问行为自然可以被视为整个数据犯罪(包括上游犯罪和下游犯罪)最重要的步骤,应当予以独立规制。实际上,刑法在立法过程中也逐渐意识到这一点,从回应型刑法向预防性刑法转变,实现对重要法益刑法保护的早期化。准备实施恐怖活动罪①《刑法》第120 条之二规定:“有下列情形之一的,处五年以下有期徒刑、拘役、管制或者剥夺政治权利,并处罚金;情节严重,处五年以上有期徒刑,并处罚金或者没收财产:(一)为实施恐怖活动准备凶器、危险物品或者其他工具的;(二)组织恐怖活动培训或者积极参加恐怖活动培训的;(三)为实施恐怖活动与境外恐怖活动组织或者人员联络的;(四)为实施恐怖活动进行策划或者其他准备的。有前款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”和提供侵入、非法控制计算机信息系统程序、工具罪的设立便是例证。②提供侵入、非法控制计算机信息系统程序、工具罪规定:“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款规定处罚。”单位犯前三款罪的,对单位判处罚金,并对其直接负责的主观人员和其他直接责任人员,依照各该款的规定处罚。
最后,由于非法访问数据的行为无法被非法获取计算机信息系统数据罪所涵盖,司法机关只有进行类推解释或借助类似罪名予以惩治,而这必然引发罪名适用上的争议。以卢某等提供侵入、非法控制计算机信息系统程序、工具案为例,被告人卢某租用境外服务器架设VPN 专用网络,雇佣他人通过绕开我国互联网防火墙监管非法访问境外互联网网站的数据,获利375332 元。最终法院认为,被告未经相关部门授权,利用软件绕开防火墙监管,突破计算机信息系统安全保护措施,非法访问境外互联网数据,构成非法经营罪,判处有期徒刑三年三个月③河南省三门峡市中级人民法院〔2018〕豫12 刑终271 号刑事裁定书。。但非法经营罪规定在《刑法》分则第三章破坏社会主义市场经济秩序罪之第八节扰乱市场秩序罪之下,也就意味着本罪的规范目的是维护市场经济秩序,而本案中非法访问数据的行为并不能为市场经济秩序所涵摄。从本案的核心事实来看,未经他人授权秘密地访问数据库数据实际上是对数据保密性的侵蚀,与整个市场经济秩序无害,甚至在一定程度上还有利于提升数据的附加值。更何况,非法经营罪的核心构成要件是对“经营活动”合法性的保护,而访问本身尽管获利但并未扰乱经营活动,所以两者的底层逻辑互相冲突。
(二)无法将非法访问数据行为纳入其他罪名
除上述罪名外,间接相关的罪名主要有两个,即非法侵入计算机信息系统罪④《刑法》第285 条规定:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或拘役。”和破坏计算机信息系统罪①《刑法》第286 条规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常进行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重,依照第一款的规定处罚。”,但它们并不能用来规制非法访问数据的行为。
非法访问数据的行为可以分解为两个步骤:第一步,通过技术破解成功登录,进入他人的计算机信息系统。此时的破解行为本质上是手段行为,应当被目的行为所吸收。按此逻辑,最终可能构成非法获取计算机信息系统数据罪。即便从非法访问数据行为的全貌来看,其也与非法获取数据行为存在本质差异,更何况第一步的技术破解和登录。单从这个独立的行为来看,其与非法侵入计算机信息系统罪极为相似,两者本质上都是对计算机信息系统安全的侵害。但是,由于我国设置非法侵入计算机信息系统罪之目的在于保护特定领域的计算机系统安全,因此,非法侵入一般计算机信息系统的行为不在本罪调整范畴②因为非法侵入计算机信息系统罪将犯罪对象限缩为特定领域,因而与非法获取计算机信息系统数据罪难以形成适用上的兼容。为解决这一难题,因此有学者认为,应当将《刑法》第285 条第2 款“前款规定之外”作为表面构成要件要素或界限要素,而非真正的构成要件要素。笔者认为,该解释存在疑问,它超出了文字可能的含义。参见张明楷:《刑法学(下)》,法律出版社2019 年版,第1048 页。。第二步,通过SQL 等查询工具或特定代码在数据库中查找并浏览(查阅)目标数据(集)。对于此浏览或查阅行为属性的考量直接影响罪名的适用。不可否认,对他人数据库中数据(集)的查询可能造成并发使用,同时在线人数众多或远程操控同时执行若干查询或浏览任务可能导致计算机信息系统的安全性能降低[24]。简言之,非法访问数据的行为可能导致计算机性能过载,进而影响计算机信息系统安全。但笔者认为,即便如此,也不能将“非法访问”行为解读为“对计算机信息系统功能的干扰”,进而定性为破坏计算机信息系统罪。一方面,“干扰”意味着对计算机信息系统安全造成侵害或威胁,而“非法访问”对计算机信息系统的影响极小,甚至可以忽略不计。研究表明,非法访问所采用的技术所占用的容量和流量几乎不会影响到数据所有者的正常使用,因为一旦服务器过载就容易触发防火墙的报警。当然,为了予以技术反制,企业习惯采取动态访问控制方法,设置惩罚时间[25]。另一方面,非法访问行为所针对的目标是数据而非计算机信息系统,退一步而言,即便引发计算机信息系统安全问题,也属于竞合犯问题,如此便排除了破坏计算机信息系统罪适用的可能性。
(三)无法通过下游犯罪实现规制目的
有学者可能认为,非法访问数据行为只是手段,属于上游犯罪,通常还会存在下游目的犯罪,两者构成牵连犯,可以通过规制下游犯罪的方式来实现对非法访问数据行为的打击。本文认为,此种观点有待商榷。
一方面,数据犯罪中上游犯罪的独立规制已经为立法和司法所接受,并非异类。数据新技术在经济活动和社会生活中不断渗透和融合,盗窃、诈骗、侵犯商业秘密等诸多传统犯罪成为整个数据犯罪产业链中的下游犯罪,并且在算法的加持下呈现出爆炸式增长。与此同时,为其提供服务且更为隐蔽的上游数据犯罪手段也在不断更新和升级。为了应对此种情景,刑法规制的行为类型需要向前端治理推移。这种观念也被立法者和司法者所接受,如“提供侵入、非法控制计算机信息系统程序、工具罪”和“帮助信息网络犯罪活动罪”的设立体现出积极刑法观,旨在从网络犯罪的上游予以打击。积极刑法观的出现要求“打早打小”,为合法权益维护提供前置性保护。在充分认识到非法访问数据行为的社会危害性之后,刑法应当积极对其进行刑法规制,防止法益侵害的进一步蔓延。有学者可能会质疑此种立法的合理性,认为预防性刑法会突破刑法后置法和谦抑性的角色定位,阻碍数字经济的发展。应当说,刑法立法的预防性转向是现代社会法律整体价值立场转换的一个具体面相,只要以宪法和法益保护必要性为原则,便不会出现无序扩张的风险[26]。因此,对非法访问数据行为的规制与刑法的价值取向并不冲突。
另一方面,非法访问数据行为与下游犯罪是否属成立牵连犯存在疑问。牵连犯指代“复数行为之间因为存在手段与目的、原因与结果等特殊关联,继而仅适用从一重处断”的竞合现象[27]。有学者可能认为,之所以没有增设专门的罪名来规制非法使用数据行为,主要原因在于既存的牵连犯结构可以有效地解决这一难题。如所周知,肯定牵连犯的前提在于行为人所实施的“手段—目的”行为具有类型化的牵连关系[28],而不仅仅是简单的“手段—目的”外观即可。就非法访问数据而言,无论后续的目的是诈骗罪还是帮助信息网络犯罪活动罪等网络犯罪,二者仅具有经验上的牵连关系而非规范上的牵连关系。具言之,尽管非法访问数据作为行为样态引发结果的盖然性和惯常性高于其他行为,但尚未达到框定在牵连犯程度的,如引发诈骗罪的手段众多。且这只能解决一小部分案件,多数情况下的非法访问数据的行为被掩埋。退一步来讲,即便承认非法访问数据行为和后续的目的构成牵连犯,也不影响前行为的刑法规制,只不过二者具有共罚属性而已。例如,伪造行为与诈骗行为是典型的牵连关系,但这丝毫不影响刑法设置伪造类犯罪。
四、非法访问数据行为入罪的具体构想
非法访问数据行为入罪有两个途径可以考虑:其一,通过司法解释,把此种行为纳入既存的数据犯罪罪名中;其二,通过刑法修正案的形式增设新的罪名。应当说,第一种方法难以实现,因为非法访问数据的行为与既存的数据犯罪罪名都存在显著差异。通过司法解释予以吸收不是扩大解释,而是类推解释,因此予以排除,既然如此,就需要增设“非法访问数据罪”。具体条文如下:【非法访问网络数据罪】违反国家规定,未经授权或超越授权访问他人做特殊安全处理的网络数据的,经监管部门责令采取改正措施而拒不改正,情节严重,处三年以下有期徒刑或拘役,并处或单处罚金。非法访问国家事务、国防建设、尖端科学技术、金融领域等重要领域数据的,处三年以上五年以下有期徒刑,并处罚金。为了保障新罪名的合理适用,需要对其中的核心犯罪构成要件予以阐释,即“未经授权访问”和“超越授权访问”。
针对“未经授权”和“超越授权”的判定标准,主要存在“代理理论(Agency Theory)”“基于代码的方法(Code-Based Approach)”“基于文本的方法(Text-Based Approach)”“撤销机制(Revocation)”四种学说。“代理理论”是指代理人代表被代理人行事,被代理人的利益高于自己的利益,代理人负有忠实于被代理人的义务[29]。因此,雇佣关系背景下,如果员工“获得了不当利益”或“严重违反忠诚”协议,代理关系终止,那么员工访问雇主电脑的行为便从合法授权转化成未经授权。此种判定方法显然将员工置于弱势地位,是否构成非法访问数据罪的决定权完全交由雇主,实质上违背了主体的平等性,应当排除适用。“基于代码的方法”需要对被告获得访问权限的具体技术方式进行事实全面的检查,如被告是否利用了软件程序中的漏洞,通过改变IP地址或使用服务器代理绕过互联网协议(Internet Protocol),或发送重复的公共查询(“GET 请求”)从公司的数据库中检索用户信息等[30]。这种看似客观的判定方法依旧将犯罪的决定权交由雇主,实际上是为了实现雇主利益的最大化,同样不可取。“基于文本方法”的判定逻辑是访问正当性取决于用户是否违反了书面政策,如违背了试图限制允许计算机行为边界的网站使用条款(Website Terms of Use,TOU)[31]。此判断方法存在根本缺陷,一方面依旧以雇主利益最大化为中心,另一方面不同互联网企业的合同条款存在差异甚至是冲突,无法形成统一的标准。“撤销机制”是指当数据网站已经明确撤销用户的访问权限后,用户依旧继续进行访问,则属于“未经授权的访问”和“超越授权的访问”[32]。相较前三种判定方法,“撤销机制”不仅明确了判定标准,而且合理平衡了各方利益主体的关系。基于此,笔者认为,未来司法解释应当对“未经授权访问”和“超越授权访问”予以说明。“未经授权访问”是指绕过对方技术障碍的数据访问行为;“超越授权访问”则是指违反网络服务提供者撤销通知,继续进行数据访问的行为。
同时,为了防止非法访问数据罪的滥用,应当对“情节严重”作进一步的解释。我国应当将结合数据公开性、重要性以及数量三个维度分析。主要原因是,一方面数字经济的大背景下,数据的可转化价值本身就隐藏于保密性之中,故而是否愿意将数据公开和共享成为判定法益是否遭受侵害的重要指标。另一方面,数据的重要性和数据的敏感性息息相关,世界范围内包括我国在内也都倾向于根据将一些关键性数据进行匿名化或脱敏处理,进而保证数据安全。因此,访问公开数据不构成本罪,访问一般数据、公共数据、国家核心数据则分别根据重要性程度,设置不同的入罪数量要求。此外,非法访问数据罪与其他关联性罪名的适用问题也需要一并解决。应当说,非法访问行为是侵入计算机信息系统的后续犯罪行为,但是与非法获取或破坏数据犯罪不同的特殊行为样态。因此,当侵入计算机信息系统后进行访问则适用本罪,若访问后继续实施非法获取或破坏数据的行为,则从一重处断,防止刑法的重复评价。
结语
从传统犯罪到数据犯罪,不仅仅是犯罪对象的变化,全新的犯罪样态也逐渐浮出水面。数据犯罪以技术手段的分工和细化为天性,呈现出异于传统犯罪的去中心化特征。这种转变使得传统以实行行为为中心的规制方法显得捉襟见肘。数据技术的不断强化不仅创造了新的经济增长点,同时也引起了不法分子的注意,创设了新的危险点,这倒逼立法者反思既存犯罪构造上的缺陷。尽管我国刑法已经有零散几个罪名,但对非法访问数据这一常见且社会危害性大的行为束手无策。面对数据技术引发的犯罪样态零碎化,未来需要立法者注重法律与技术互动、实体法与程序法兼容、出罪与入罪的结合,平衡各方利益主体的关系。
