APP下载

新《中华人民共和国档案法》背景下电子档案信息安全的刑法保护路径研究

2023-12-29张宇晴阎二鹏

档案管理 2023年6期
关键词:档案法计算机信息信息安全

张宇晴 阎二鹏

摘  要:档案法的修订赋予了电子档案的法律地位,使得其安全理念从档案安全转向了数据安全;我国刑法对于档案安全的保护仍聚焦于传统载体档案,存在与档案法衔接不畅、档案犯罪对象设定狭窄、档案安全理念有待更新等问题;在载体与信息分离的前提下,刑法对电子档案信息安全的保护路径应从载体安全与信息安全两个维度进行完善。

关键词:档案法;电子档案;档案安全;载体安全;数据安全;非法获取;商业秘密;刑法保护

Abstract: The revision of the Archives Law has granted legal status to electronic archives, shifting its security concept from archive security to data security. However, China's Criminal Law still focuses on protecting traditional carrier archives for archive security, resulting in issues such as poor convergence with the Archives Law, narrowly defined targets for archival crimes, and a need to update the archival security concept. Under the premise of separation of carrier and information, the protection path of criminal law for the security of electronic archival information should be improved from two dimensions: carrier security and information security.

Keywords:  Archives Law; Electronic archive; Archival security; Carrier security; Data security; Illegal acquisition; Business secret; Criminal law protection

2021年開始施行的《中华人民共和国档案法》(简称《档案法》)通过立法形式首次确认了电子档案的法定身份,并赋予其“与传统载体档案具有同等效力,可以以电子形式作为凭证使用”的法律地位。不仅如此,新《档案法》为实现电子档案制度规范化管理,亦专门增设了第五章“档案信息化建设”,成为此次修法亮点引发各界关注。可见,电子档案信息安全不仅是档案信息化建设的关键,还直接关系到国家档案信息资源的安全,电子档案的法律地位确认亦会引起档案法与相关部门法的规范衔接与适用等问题。与其他部门法相较,刑法的保障法地位决定了危害档案安全的违法行为应纳入刑法规制范围,而电子档案与传统载体档案的差异,使得其刑法保护路径亦需进行相当程度的完善。

1 从档案安全到数据安全:新《档案法》背景下电子档案信息安全的理念转换

档案安全历来是档案立法关注的重点,但对于档案安全的具体内涵在学理上却存在分歧。既有文献从《档案法》中出现的“安全”“保护”以及相关之禁止性规定出发,将档案安全进行某种泛化理解,即档案安全涵盖档案制度安全、档案保管环境安全、档案信息化安全、档案意识安全、档案文化安全等诸多方面。上述解读一方面使得档案安全的涵射范围过于宽泛,如在某个层面上观察,无论新旧《档案法》均是关于档案工作的领导、管理、监督制度的规定,而将此均作为档案安全之内容并不利于理论把握和实践操作;另一方面,在电子档案作为法定档案形式确定后,抽象的理解档案安全无法观照到电子档案信息安全的特性,亦不利于对其作出有针对性的解释。显然,电子档案作为模拟态、数字态形式的档案类型,与传统档案具有显著区别,对其具体安全内涵需从档案定义的实质层面进行梳理。

关于档案的定义,新《档案法》仍维持原有之规定,从档案主体与档案内容两个方面进行界定,即“过去和现在的机关、团体、企业事业单位和其他组织以及个人从事经济、政治、文化、社会、生态文明、军事、外事、科技等方面活动直接形成的对国家和社会具有保存价值的各种文字、图表、声像等不同形式的历史记录”。循此规定,电子档案只是在形式上有别于传统档案,在内容上亦是对上述活动的历史记录。而对比《中华人民共和国网络安全法》(以下简称《网络安全法》)与《中华人民共和国数据安全法》(以下简称《数据安全法》)关于“网络数据”与“数据”的规定来看,前者以“通过网络收集、存储、传输、处理和产生的各种电子数据”划定网络数据的范畴,后者则通过“任何以电子或者其他方式对信息的记录”界定数据之范畴。通过与档案的定义相比较可以发现,档案与数据在法律概念层面,均为广义上的“记录”。逻辑延伸的结果便是,电子档案亦是对广义上信息的电子记录形式,故在本质上属于电子形式存在的数据,是归属于“数据”的下位概念。而新《档案法》第五章“档案信息化建设”中所提及的档案数字资源即电子档案,传统载体档案数字化成果以及其他具有档案属性或档案价值的数字资源亦可归属电子数据范畴。换言之,所有系统中生成的具有档案属性的数据,包括档案馆存储资源之外的数据资源,如政府公开数据、档案用户数据、社交媒体交互数据等不仅属于电子档案范畴,亦属于广义的档案范畴。

电子档案的数据性质决定了其安全内涵必须从数据安全的视角进行解读,尽管目前学界对《档案法》与《数据安全法》《网络安全法》等有关数据安全保护的法律规范之间的逻辑关系尚存一定争议,但基于“领域法”的视角,将《档案法》理解为“以档案事务为特定领域,法学为基本要素,集档案学与法学于一体,横跨档案科学与法律科学的新型法学学科体系、学术体系和话语体系”的认知可谓学界的共识。档案法的跨学科属性意味着电子档案信息安全形态必须与同样作为领域法的《数据安全法》相协调:很明显,宏观上《数据安全法》确立了数据载体安全与数据信息安全两个维度,前者通过“确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”等对数据生成环境的法律规定予以体现,后者则通过“数据分级分类保护制度”等确保数据信息免遭篡改、破坏、泄露或者非法获取、非法利用的规范予以确定。在此前提下,电子档案信息安全之内涵亦可从载体与信息安全两个维度进行解读。

一方面,电子档案的载体安全是指作为电子档案存储介质本身的安全,在网络智能化时代,电子档案的存储介质除实体物质如光盘、缩微胶片、录音带、录像带等之外,更为重要的是依托于虚拟的网络系统、计算机信息系统的安全。现行《档案法》对包括电子档案在内的档案载体安全的考量主要聚焦于实体安全方面,如新《档案法》第十九条“按照国家有关规定配置适宜档案保存的库房和必要的设施、设备,确保档案的安全”规定即属于对档案存储介质外部环境安全的具体规定,意在对影响档案存储物质实体安全的消极因素进行规范。而对于影响电子档案载体安全的计算机信息系统安全,新《档案法》则通过第三十九条“电子档案应当通过符合安全管理要求的网络或者存储介质向档案馆移交”,对其进行了规定。

另一方面,电子档案的信息安全则是指作为电子档案信息内容的真实性、完整性、可靠性和安全性不受损害。新《档案法》从正反两个方面对档案信息安全进行了明确:在“档案信息化建设”一章中首次明确提出了档案信息安全的概念,即“档案馆和机关、团体、企业事业单位以及其他组织应当加强档案信息化建设,并采取措施保障档案信息安全”,同时,第三十九条亦明确了电子档案信息的真实性、完整性、可靠性和安全性的要求;新《档案法》第二十一条通过“禁止篡改、损毁、伪造档案”的禁止性规定确定了危害档案信息内容安全的行为类型。

2 档案安全刑法保护之传统路径的不足

档案安全亦是《中华人民共和国刑法》(以下简称《刑法》)关注的内容之一,從中华人民共和国成立后的第一部刑法典即1979年《刑法》到1997年第二部刑法典,均有直接针对“档案犯罪”的法律条文出现,伴随档案法的修订及大数据时代电子档案的普遍化趋势,现行刑法对档案安全的保护仍存在一些不足之处。

2.1 《刑法》与《档案法》未实现有效衔接。档案犯罪在理论上被无异议地归属于法定犯,从而与自然犯对应。法定犯是指违反行政法规,侵犯刑法所保护的法益,情节严重的行为,法定犯具有刑事和行政双重违法性,换言之,对档案犯罪的刑事归责应与《档案法》这一前置法规范相衔接。尽管1979年《刑法》和1997年《刑法》两部刑法典均有关于档案犯罪的规定,但《档案法》从1987年施行至今已经过三次修正,而1997年《刑法》至今亦进行过11次修正,与此形成鲜明对比的是,《刑法》关于档案犯罪的规定从1997年至今尚未进行一次修正,《档案法》中的诸多有关档案安全之内容尚未在刑事立法层面落实。如新《档案法》在“法律责任”一章中通过第四十八条和第五十条的规定将11种严重侵害档案安全的违法行为进行了罚则的设定,同时在第五十一条明确提出“违反本法规定,构成犯罪的,依法追究刑事责任”。但现行刑法仅规定了“抢夺、窃取国家所有的档案罪”和“擅自出卖、转让国家所有的档案罪”两种档案犯罪,对实践中存在的诸多严重危害档案安全的违法犯罪行为难以合理地划入犯罪圈。如对于篡改、损毁、伪造电子档案的行为,其危害性并不亚于“抢夺、窃取”“擅自出卖、转让”国有档案的行为,根据“举轻以明重”的解释规则,理应纳入犯罪圈追究刑事责任,但在现行刑法框架内,上述行为因在构成要件行为类型上的差异无法划入犯罪圈。

2.2 “档案犯罪”的对象设定狭窄,档案安全的保护范围受限。尽管两部刑法典的设立都有关注到档案安全的刑法保护问题,但很明显其关注重点仅局限于国有档案的保护一隅。无论是1979年《刑法》“以反革命为目的,抢劫国家档案”抑或是1997年《刑法》“抢夺、窃取国家所有的档案罪”和“擅自出卖、转让国家所有的档案罪”的法条,均以“国有档案”为其构罪对象。而《档案法》则明确了国家所有、集体所有、个人所有档案的法定类型,后者只有在“对国家和社会具有保存价值的或者应当保密”,且国家档案行政管理部门在必要时通过“收购或者征购”或“档案所有者向国家档案馆寄存或者出卖”的前提下,可视为国家所有的档案。由此可见,在现行刑法框架下,大量的非国家所有的档案无法被纳入档案犯罪的规制对象,同理,对电子档案信息安全的保护范围亦局限在国有电子档案类型,对于社会生活中大量存在的非国有的电子档案,在面对档案资源流失、数据损毁或信息泄密等严重危及电子档案信息安全的违法行为时,仍无法在档案犯罪的框架内获得处罚依据。

2.3 电子档案信息安全尚未实现向“数据安全”理念的转换。由于现行《刑法》对“档案犯罪”的立法规定可追溯至1997年,彼时互联网在我国尚处“萌芽阶段”,电子档案远未出现,数据安全的理念亦尚未形成,故档案犯罪的规制对象仍局限在传统载体档案安全。与传统档案安全理念相匹配的典型例子是刑法学界关于国有档案界定的讨论,传统理论一贯主张,由国家档案部门、国家机关、国有公司、企业、事业单位、人民团体和其他组织保管的、所有权属于国家的档案,是国有档案,与此相关联的问题便是,国有档案的复印件是否属于国有档案。上述理念或许在传统载体档案安全的保护现实下可以成立,但对于电子档案信息安全则未必适用,如传统观点往往将原始记录性视为档案的本质属性,这是因为在传统载体档案中,内容的原始性与载体的原始性不可分离,人们可以借助形式的原始性来确证内容的原始性。不过,上述论断显然是对传统载体档案的特征归纳,而在电子档案的现实情境下,由于其内容与载体可以进行分离,其原始性必须在载体与内容之间进行选择,对此,目前理论界对电子档案的原始性判断虽仍有争议,但从新《档案法》将真实性、完整性、可用性和安全性作为电子档案的安全监测要求来看,电子档案的原始性就只能从其内容的原始性进行理解。在此前提下,电子档案的主体归属问题就显得没有必要,档案复印件是否属于档案的问题亦不存在。由上可见,现行《刑法》对档案安全的关注点仍维持在传统载体的档案安全,尚未转变到数字时代电子档案所承载的数据安全属性上来。

3 载体与信息分离下的电子档案刑法保护路径完善

如上文所述,电子档案的数据属性意味着对其安全的刑法保护路径应从数据安全保护的高度进行完善,与此同时,由于数据载体与数据信息可分离的特性使然,对于危害电子档案信息安全的违法行为类型亦应跳出狭义的“档案犯罪”范畴,从载体与信息安全两个维度进行规制。

3.1 电子档案载体安全的刑法保护路径。电子档案载体既可能包括如光盘类的物质载体,亦可能指向如信息网络类的虚拟载体。对危害物质载体安全的犯罪行为,大体表现为非法获取、破坏、毁损等行为,这些行为类型完全可以按照财产犯罪如盗窃罪、诈骗罪、破坏财物罪等进行归责。而对于危害虚拟载体安全的犯罪行为,既有文献分析鲜有论及,这类行为主要表现为非法侵入、破坏等危害电子档案管理计算机信息系统安全的行为类型。实践层面,国家档案局于2018年印发了《电子档案管理系统基本功能规定》,明确指出,电子档案管理系统是指档案机构运用信息技术手段对电子档案进行接收、整理、保存和提供利用的计算机软件系统。根据相关司法解释,计算机信息系统是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等,而电子档案管理系统显然属于《刑法》视域下的计算机信息系统。在现行刑事立法框架下,危害计算机信息系统安全的犯罪被称之为“纯粹的计算机犯罪”,也是刑法最早规定的“网络犯罪”类型,具言之,1997年《刑法》第二百五十八条、第二百八十六条及《中华人民共和国刑法修正案(七)》所增加的第二百八十五条两款形成的“非法侵入计算机信息系统罪”“非法控制计算机信息系统罪”“提供侵入、非法控制计算机信息系统的程序、工具罪”及“破坏计算机信息系统罪”四个罪名,构成了早期网络犯罪的立法雏形。由于电子档案管理系统属于特殊的计算机信息系统,故对于实施非法侵入、非法获取、非法控制、提供程序、工具以及破坏电子档案管理系统,情节严重的行为自然应按照上述条文进行入罪化处理。

3.2 电子档案信息安全的刑法保护路径。电子档案信息安全的保护内容重在数据所承载的信息内容安全的保护,由于档案所涉内容包括经济、政治、文化、社会、生态文明等多个方面,在刑法视域下意味着其背后所代表的利益关系各有不同。这与刑法关于数据犯罪的设置相吻合,在广义数据犯罪的基础上,数据犯罪是“以大数据对象为中心,纵向侵害技术与现实双层法益,形成的一个多行为方式,危害后果横向跨越个人、社会、国家各层面与政治、军事、财产、人身和民主权利各领域的大犯罪体系”。换言之,数据与信息之间载体与内容的逻辑关联性决定了,对于数据犯罪的惩治需按照数据承载的信息内容所代表的法益形态进行个别化处理,同理,电子档案与数据的同质性也决定了,对于电子档案信息安全的刑法保护路径亦需按照信息内容的属性进行类型化的安排。

首先,对于电子档案内容为个人信息的,非法获取、提供此类电子档案的可按照破坏公民個人信息罪处罚。新《档案法》包括了在完善档案开放利用制度时涉及个人信息的相关内容,并明确提出“档案利用过程中,涉及个人信息问题应当遵守有关规定”。由此,电子档案的开放和利用必然涉及公民个人信息的保护问题,对此,我国《民法典》《个人信息保护法》等对公民个人信息的保护有明确之规定,特别是后者对个人信息按照其与个人人格利益的紧密联系程度不同分别设置了强度不同的保护规定。《刑法》虽作为公法性质的部门法,但对公民个人信息的保护力度更强,侵犯公民个人信息罪在《民法典》与《个人信息保护法》出台之前已经为立法机关所设立,个人信息法益的地位也随之确立。

其次,对于电子档案内容表现为国家秘密、商业秘密或经济活动等信息的,按照刑法相关规定进行处罚。电子档案所承载的信息类型丰富多样,除上述表现为与个人法益相关的个人信息之外,还可能包括国家秘密等信息在内的公法益。对于危害此类电子档案信息安全的犯罪,可通过现行《刑法》分则第三章中的“破坏社会主义市场经济秩序罪”中的隐匿、故意销毁会计凭证、会计账簿、财务会计报告罪,窃取、收买、非法提供信用卡信息资料罪,侵犯商业秘密罪以及第九章“渎职罪”中的“故意、过失泄露国家秘密罪”等进行归罪。

最后,对于电子档案内容体现为征表计算机信息系统安全的信息时,对此类信息的操作可构成危害计算机信息系统安全类的犯罪。如非法获取的电子档案为网络账号、密码等身份认证信息时,由于此类信息往往与计算机信息管理系统的控制、管理权限相关,按照相关司法解释的规定,应认定为非法获取计算机信息系统数据罪;对于非法篡改、损毁、销毁电子档案数据特别是影响计算机信息系统运行的系统数据的,在构成要件上满足《刑法》第二百八十六条第二款设定的“对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的”要求,可构成破坏计算机信息系统罪。

需要说明的是,上述两类犯罪形态在实践中往往存在某种罪数关系,最为典型的是手段与目的的牵连关系,如非法侵入电子档案管理系统后进而获取其中有重要价值的数据信息,或者非法控制、破坏电子档案管理系统等,对于此类犯罪现象,可按照牵连犯的理论,从一重罪处断。

*本文系国家社科基金项目“新型网络犯罪对传统刑事法理论的突破与应对研究”(项目编号:2019FBX062);最高人民检察院检察理论研究课题“涉数据网络犯罪的司法认定研究”(项目编号:GJ2021C27)研究成果之一。

参考文献:

[1]臧珊珊.新档案法安全理念对档案工作的启示[J].城建档案,2021(08):113-114.

[2]王玉珏,吴一诺,凌敏菡.《数据安全法》与《档案法》的协调研究[J].图书情报工作,2021(11):24-34.

[3]王协舟,王露露.“互联网+”时代对档案工作的挑战[J].档案学研究,2016(6):66-69.

[4]张罡.领域法:档案法研究的新视角[J].中国档案,2023(04):20-21.

[5]陈兴良.规范刑法学[M].北京:中国人民大学出版社,2008:231.

[6]单邦来.新修订《档案法》视域下电子档案刑法保护的完善路径[J].中国档案,2022(01):67-69.

[7]罗翔.也谈刑法中的档案犯罪[J].中国档案,2006(01):44-46.

[8]姚军,徐有法.电子档案原始性的保障策略[J].档案建设,2015(11):22-23+38.

[9]阎二鹏.我国网络犯罪立法前置化:规范构造、体系检讨与路径选择[J].法治研究,2020(06):80-93.

[10]于志刚.大数据时代数据犯罪的制裁思路[J].中国社会科学,2014(10):100-120.

(作者单位:1.海南大学档案馆 张宇晴,硕士,讲师;2.海南大学法学院 阎二鹏,博士,教授,博士生导师 来稿日期:2023-06-29)

猜你喜欢

档案法计算机信息信息安全
昌宁县档案馆多措并举深入学习贯彻新修订档案法
上海万欣计算机信息科技有限公司
省档案局馆举办新修订的《档案法》学习活动
大理州委办公室召开学习新修订的《中华人民共和国档案法》专题会议
“大数据”时代的计算机信息处理方法阐述
保护信息安全要滴水不漏
高校信息安全防护
吉林省档案局为纪念《中华人民共和国档案法》颁布三十周年组织举办档案法律法规知识竞赛
计算机信息处理技术
保护个人信息安全刻不容缓