数据要素全生命周期安全风险的刑事保障制度研究
——以数字经济安全法益观为视角
2024-01-18刘艳红
刘艳红
(中国政法大学 刑事司法学院,北京 100088)
数据是数字经济时代最关键的新型生产要素。数据要素的爆发增长、海量集聚蕴藏了巨大的价值,“这些新的无形物代表着当今信息社会某些最重要的利益(goods)和价值观。因此,也出现了一些专门针对版权、商业秘密和隐私权这类无形利益的新型犯罪”,(1)[德]乌尔里希·齐白:《全球风险社会与信息生活中的刑法:二十一世纪刑法模式的转换》,周遵友、江溯等译,中国法制出版社2012年版,第303页。非法获取、出售、提供、泄露、滥用数据等违法犯罪层出不穷,由此产生的数据安全隐患对数字经济的健康可持续发展造成负面影响,数据犯罪的蔓延使得数字经济面临日益严峻的刑事安全风险挑战。对此,国务院印发的《“十四五”数字经济发展规划》(国发〔2021〕29号)将“提升数据安全保障水平”作为“着力强化数字经济安全体系”的重要环节,要求研究推进数据安全标准体系建设,规范数据采集、传输、存储、处理、共享、销毁全生命周期管理,推动数据使用者落实数据安全保护责任。数据要素只有在安全可控、合规有序的流通环境中才能充分实现其价值。数据安全已成为事关国家安全与经济社会发展的重大问题,可以说,没有数据安全就没有国家安全。党的二十大报告明确要求“强化数据安全保障体系建设”。2022年6月22日,习近平总书记在主持召开中央全面深化改革委员会第二十六次会议时强调:“要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。”(2)《习近平主持召开中央全面深化改革委员会第二十六次会议强调 加快构建数据基础制度 加强和改进行政区划工作》,载《人民日报》2022年6月23日,第1版。2022年12月19日,中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据“二十条”》)贯彻总体国家安全观,统筹发展和安全,坚持促进数据开发利用与保障数据安全并重的原则,进一步要求完善和规范数据流通规则,建立安全可控、弹性包容的数据要素治理制度,构建数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系,实现数据流通全过程动态管理。数据要素全生命周期安全风险的刑事保障制度是数据要素治理制度的重要组成部分,为有效预防和精准惩治数据犯罪、防范和化解数字经济的安全风险提供强有力的刑事法治保障,对于促进我国数字经济高质量发展意义重大。
一、数字经济中数据要素全生命周期的刑事安全风险表征
以数字产业为主导的数字经济形态区别于传统以农业、制造业为主导的实体经济形态,数字产业的发展依赖数据要素的投入和加工处理。尤瓦利·赫拉利(Yuval Noah Harari)在《今日简史》一书中指出:“数据的重要性已经超越土地和机器,成为21世纪最重要的资产。”(3)[以色列]尤瓦利·赫拉利:《今日简史》,林俊宏译,中信出版社2018年版,第73页。与土地、劳动力、资本、技术等传统生产要素相比,数据要素具有衍生性、共享性、非消耗性等特殊价值和独特优势,打破了自然资源有限供给对经济增长的制约,为持续增长和永续发展提供了基础与可能。(4)参见连玉明主编:《数权法3.0:数权的立法前瞻》,社会科学文献出版社2021年版,第86页。与数字经济蓬勃发展如影随形的数据要素刑事安全风险随之而来。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》将《数据安全法》第27条规定的“建立健全全流程数据安全管理制度”具体化为“强化数据资源全生命周期安全保护”。从技术层面来看,国家标准《信息技术大数据术语》(GB/T 35295—2017)将“数据生命周期”定义为“将原始数据转化为可用于行动的知识的一组过程”。国家标准《信息安全技术大数据服务安全能力要求》(GB/T 35274—2017)和《信息安全技术数据安全能力成熟度模型》(GB/T37988—2019)进一步将数据生命周期划分为采集、传输、存储、处理、交换、销毁等六个阶段,并规定了相应的数据服务安全要求。“数据安全并不仅仅在于技术本身,而是在于因数据的开放、流通和应用而导致的各种风险和危机。”(5)连玉明主编:《数权法3.0:数权的立法前瞻》,社会科学文献出版社2021年版,第132页。围绕数据要素发挥作用的业务场景,《“十四五”数字经济发展规划》《数据“二十条”》均要求强化数据安全保障体系建设,把安全贯穿数据供给、流通、使用全过程,积极有效防范和化解各种数据安全风险。因此,数据要素全生命周期的刑事安全风险防范应贯穿于数据要素供给、流通、使用三大环节,主要表征为数据供给安全、数据流通安全和数据使用安全三种形态,直接影响国家数字经济安全。
(一)数据要素供给环节的刑事安全风险
随着数据要素市场化配置深入推进,数据资源的价值并非局限于生产过程中的副产品抑或辅助生产的工具,而是作为生产的原材料以及价值本源存在。数据要素的高质量供给是数据价值释放的源泉,只有确保高质量的海量数据投入要素市场,才能从根本上实现从作为工具的数据到作为生产要素的数据的转变。毋庸置疑,数据要素供给始终离不开数据要素的生产,亦即无法脱离数据活动的第一步——数据采集与获取。因此从某种程度上讲,数据要素在供给环节所面临的主要安全风险来自于数据采集与获取。
数据要素具有主体多元、权属复杂、资源富足、要素交叉关联紧密、价值溢出效应倍增等显性特征,导致数据承载的社会关系、价值形态纷繁复杂,特别是随着数字技术的发展,数据的外延不断扩展,(6)参见彭诚信:《“信息”与“数据”的私法界定》,载《河南社会科学》2019年第11期。在数据要素的采集与获取过程中滋生巨大的安全风险。刑法领域的“数据”概念尤其丰富,不仅包括作为本体的数据,比如《刑法》第285条非法获取计算机信息系统数据罪中的“计算机信息系统数据”,也包括表现为内容的数据,比如《刑法》第217条侵犯著作权罪中“作品”、第219条侵犯商业秘密罪中的“商业秘密”、第253条侵犯公民个人信息罪中的“个人信息”、第282条非法获取国家秘密罪中“国家秘密”,等等。非法采集、获取不同类型的数据可能触犯不同的罪刑规范。以当前最常用的自动化数据采集工具——网络爬虫为例,利用网络爬虫技术抓取不同类型的数据可能面临不同的数据要素刑事安全风险。
首先,司法实践中最普遍的现象是利用网络爬虫非法获取个人信息。作为保护个人信息的专门立法,《个人信息保护法》明确且详细地对告知同意的类型、撤回、效力与具体要件等内容作出规定,以凸显告知同意规则作为个人信息处理活动的合法性基础。换言之,对于个人信息,告知同意是一道“安全阀门”,(7)参见姚佳:《知情同意原则抑或信赖授权原则——兼论数字时代的信用重建》,载《暨南学报(哲学社会科学版)》2020年第2期。除非特殊情况,绕开“知情同意”而收集、获取、购买、收受、交换个人信息的行为都是非法的。(8)最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第4条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’”。例如,在吴某等人侵犯公民个人信息案中,被告人吴某等通过应聘到某公司工作,在被告人张某庆等人的要求安排下,采取欺骗、误导的方式,分工合作,通过让客户扫二维码填写个人信息办理信用卡、推广电话卡、下载手机APP等方式非法获取个人信息,法院认定其行为构成侵犯公民个人信息罪。(9)参见河南省开封市尉氏县人民法院(2021)豫0223刑初536号刑事判决书。
其次,利用网络爬虫等技术手段非法抓取文学艺术作品或者窃取商业秘密等智力成果。随着数字科技全面融入经济社会生产生活的方方面面,数字技术与知识产权深度融合,在知识产权数字化转型背景下越来越多的文学艺术作品、商业秘密以网络数据的形式存在。未经著作权人许可,非法获取并通过信息网络传播他人作品的行为往往被认定为“复制发行、通过信息网络向公众传播作品”,以侵犯著作权罪定罪处罚。例如,S网络技术公司利用定向抓取网页资源的爬虫技术获取被害单位网站文字作品,同时利用转码技术将作品从电脑端网页格式转换为移动客户端,法院认定其数据爬取实质上就是获取作品复制件的行为,其后的转码技术实质是通过信息网络向公众传播作品,因此该行为构成侵犯著作权罪。如果以电子侵入方式窃取的商业数据属于企业的经营信息或者技术信息,且具有秘密性、价值性、保密性等法律特征,即属于商业秘密的范畴,同样面临刑事入罪风险。比如,在徐某等侵犯商业秘密案中,被告人徐某在某科技股份公司工作期间,利用职务之便,违反公司相关保密规定将某科技股份公司的技术信息储存、拷贝至其自己的电脑中,在其离职后,未经某科技股份公司允许或授权的情况下,通过出售上述技术信息非法获利,法院认定其行为构成侵犯商业秘密罪。(10)参见广东省深圳市龙华区人民法院(2021)粤0309刑初698号刑事判决书。
最后,利用网络爬虫非法抓取不具有可识别性、创造性、秘密性等特征的一般数据。网络数据中除了涉及具有可识别性的个人数据、具有创造性的智力成果数据、具有秘密性的商业秘密数据之外,还包含大量不具有上述特征但具有商业价值的一般数据,利用网络爬虫技术抓取此类数据仍然具有极大的刑事入罪风险。例如,在上海晟品网络科技有限公司非法获取计算机信息系统数据案中,上海晟品网络科技有限公司采用网络爬虫手段非法抓取北京字节跳动网络技术有限公司的视频数据,法院认定晟品公司及侯某某、郭某等人构成非法获取计算机信息系统数据罪。(11)参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。有学者指出,作为非法获取计算机信息系统罪保护对象的“数据”应去识别性、去财产性、去创造性。(12)参见杨志琼:《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,载《法学评论》2018年第6期。
(二)数据要素流通环节的刑事安全风险
数据的价值在于流通,尤其是在数据自由流动的全球主义浪潮下,数据在全球治理过程中发挥重要价值,而数据在世界各地频繁流转的同时,其所面临的复杂的数据治理格局也会使数据自身带有极大的风险,特别是数据泄漏、交易风险不断加剧,那么对应的数据安全风险也需要提前预防。(13)参见沈伟、冯硕:《全球主义抑或本地主义:全球数据治理规则的分歧、博弈与协调》,载《苏州大学学报(法学版)》2022年第3期。换言之,数据孤岛和数据垄断本质上是与数据的价值实现相违背的。数据流动释放的价值与数据流动的自由度具有正相关,数据越能自由流动,则数据价值就越大。因此必须打破数据孤岛,构筑数据有序流转和开放共享的利益格局。(14)参见王融:《大数据时代:数据保护与流动规则》,人民邮电出版社2017年版,第245-246页。但是,如果对数据流通不加约束和规范,一味追求数据价值而放任其“任性”流转,则不但会贬损数据流通的经济价值,更会对数据流转造成反噬效应。因此数据治理的目标之一,就是建立安全可控、弹性包容的数据要素治理制度。
《数据安全法》第21条明确规定国家建立数据分类分级保护制度,《数据“二十条”》根据数据来源或利益属性的不同,将数据分为公共数据、企业数据和个人数据(个人信息)三个类别,并且为不同类型的数据配置相应的权利义务规范。不同的数据类型在流通中所呈现的风险并不相同。对于个人信息而言,数据泄漏产生的直接风险在于侵犯个人信息权益,并威胁公民的人身安全、财产安全。相关统计数据表明,约25%的电信网络诈骗案件是犯罪分子在获取个人信息后“精准出手”,个人信息泄露成为电信网络诈骗犯罪的源头。犯罪分子利用这些个人信息对诈骗对象进行“画像”,分析诈骗对象心理特征和性格特点,精心设计各具特色、迷惑性极高的诈骗场景,实施“精准诈骗”,致使受骗者深陷其中无法自拔。对于企业数据而言,数据泄漏损害的是企业的竞争优势或者经济利益。企业数据泄漏风险不仅存在于正常数据业务往来活动,更常见的情况是外部黑客的侵入、内部系统的漏洞以及内外勾结、里应外合导致的各类数据泄露风险。《网络安全法》明确要求网络运营者应当建立健全用户信息保护制度,《刑法》第286条之一拒不履行信息网络管理义务罪将网络运营者承担的数据安全保障义务上升为刑事义务,以追究不作为刑事责任的方式督促网络运营者切实履行数据安全保护义务,防范和化解企业数据流通中的刑事安全风险。
当涉及国家安全的重要数据被非法流转至境外、为境外主体所控制,引发的数据要素刑事安全风险则成为国家安全风险。比如,“人类遗传资源数据出境第一案”“滴滴上市数据出境案”等重要数据跨境传输事件凸显了国家安全、数据主权面临的严峻挑战。除此之外,数据要素流通不仅要求数据本身真实、可信,同样要求数据流通交易环境具有确定性,以及数据可信流通在数据基础设施建设中推进与安全可信技术的融合,客观上给数据基础设施建设提出了更高的要求。然而现实是数据要素面临的风险不仅源于数据本身遭受泄漏和侵犯,承载重要数据的关键信息基础设施和重要信息系统同样面临巨大风险。据相关报道指出,中国是全球“高级别持续性威胁”(APT)网络攻击主要受害国之一,工业控制系统的网络数据资源频繁被境外黑客扫描嗅探,每日平均高达两万余次,(15)参见俞玮、姚笛:《中国是黑客攻击的最大受害国》,载《人民日报》2010年1月25日,第8版。目标主要集中于国内能源、电信、交通、水利、金融、制造业、国防科技工业等重点行业的关键信息基础设施和重要信息系统。2023年4月18日,最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》要求:“聚焦维护网络系统安全、数据安全……依法严惩针对我国重要信息系统、窃取关键数据,以及其他泄露、非法获取、非法利用数据的相关犯罪。”
(三)数据要素使用环节的刑事安全风险
数据要素经历采集、流通、加工、处理等环节,最终必然需要面向应用环节,从而真正实现其价值。日前,由国家数据局、科技部等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》,明确提出大幅拓展数据要素应用的广度和深度,结合工业制造、金融服务等12个重点领域,进一步凸显数据要素乘数效应,赋能数字经济发展,标志着数字经济发展已经从早期的数字技术推广应用阶段转换为数据要素深度挖掘应用阶段。伴随着数据要素应用场景多元化、应用广度和深度快速拓展而来的是非法使用数据问题加剧。
以表征个人身份信息或者特定活动的个人数据为例,大量个人数据泄露后流入网络黑市,被用于实施各种违法犯罪活动。例如,盗用他人个人信息注册互联网账号进行造谣引流、刷单炒信、刷量控评、代骂诽谤,冒用他人个人信息“绕过”人脸识别身份认证系统,利用掌握的他人个人信息拔打骚扰电话进行虚假营销,根据个人信息定向推送违法信息和不良信息,冒用他人个人信息申请信用贷款等事件频繁出现在媒体的报道中,(16)参见许晴:《斩断网络“黑账号”利益链》,载《人民日报》2018年12月6日,第23版;韩丹东:《骚扰电话黑色产业链调查》,载《法制日报》2019年8月21日,第4版;于伟力:《起底人脸识别黑产链条》,载《法治周末》2019年12月11日,第4版。引发公众对个人信息安全的严重忧虑。觊觎数据要素承载的经济价值,不乏经营者利用网络爬虫、黑市交易、盗窃、欺诈等不正当方式获取其他经营者的商业数据并加以使用,损害其他经营者和消费者的合法权益,扰乱市场公平竞争秩序。诸如“新浪微博诉脉脉案”“大众点评诉百度地图案”“淘宝诉美景案”“抖音诉刷宝案”等互联网平台企业之间的商业数据不正当竞争纠纷呈现愈演愈烈的态势,引发日益严重的数据要素使用安全风险,对数字经济的发展造成负面影响。
此外,以大数据与算法模型为基础的ChatGPT等生成式人工智能的应用,鉴于立法始终具有滞后性,此类新兴技术的深度发展给数据要素的规范化应用带来诸多挑战,隐含着巨大的数据安全风险。比如基于西方价值观和思维导向所建立的技术框架极易滋生新的霸权形式——数据霸权,从而潜藏着侵蚀国家数字主权的内在风险;(17)参见刘艳红:《生成式人工智能的三大安全风险及法律规制——以ChatGPT为例》,载《东方法学》2023年第4期。再如ChatGPT基于违规获取的个人数据以及高超的算法技术生成大量虚假信息,从而引发信息传播风险,产生恶劣的社会影响。(18)参见张欣:《生成式人工智能的数据风险与治理路径》,载《法律科学(西北政法大学学报)》2023年第5期。
二、数字经济安全法益的生成逻辑、内在结构及价值立场
数据要素全生命周期安全是数字经济安全的核心内涵,构建数字经济刑事安全风险防范体系,必须强化数据安全刑法保障体系建设,积极有效防范和化解各种数据安全刑事风险。“刑法的任务在于保护法益,这在现代刑法思想中已不存在重大分歧”,(19)[德]伊沃·阿佩尔:《通过刑法进行法益保护?——以宪法为视角的评注》,马寅翔译,载赵秉志等主编:《当代德国刑事法研究》(第1卷),法律出版社2017年版,第49页。整个刑法无疑是一部“法益保护法”。在刑法发展史中,法益的根本意义在于析出一个妥当的保护对象和保护目的,建构法益概念正是为了在“保护什么”和“如何保护”的系列任务中明确刑法的定位。正如“解决数据刑事治理问题,首先需要厘清刑法意义上的数据法益概念,进而基于类型化思维从纷繁复杂的数据犯罪事实中准确识别法益的内容与属性”,(20)刘双阳:《数据法益的类型化及其刑法保护体系建构》,载《中国刑事法杂志》2022年第6期。构建数字经济刑事安全风险防范体系应当以数字经济安全法益为基石。
(一)数字经济安全法益的生成逻辑
法律所保护的利益并非通过法律秩序产生,相反,法律只是将现实社会中已经存在的生活利益提升为法益。换言之,法益在此具有“前实定”的性质。区别于形式的法益概念,实质的法益概念所考虑的是刑法应当保护什么利益,其先于刑法规范而独立存在的经验事实,这些经验事实存在于个体需求和特定社会生活条件之中,并为社会公众普遍认同和信赖。“唯有将实质的法益概念作为根据,法益保护原则才具备预期的有效性”,(21)[德]阿敏·英格兰德:《通过宪法振兴实质的法益理论?》,马寅翔译,载赵秉志等主编:《当代德国刑事法研究》(第1卷),法律出版社2017年版,第95页。数字经济安全法益正是一种建立在实质的法益概念之上的新兴法益。
第一,数字经济安全法益具有坚实的社会基础。数字经济是区别于农业经济、工业经济的新型经济形态,推动生产方式、生活方式和治理方式发生深刻变革,重塑数字时代的经济基础和社会。有什么样的社会,就产生有什么样的利益和犯罪,当然就需要相应的罪刑规范来应对。法律是以社会为基础,“一种利益是不是法益是根据社会关系、社会生活事实判断的”,(22)张明楷:《法益初论(上册)》(增订本),商务印书馆2021年版,第187页。即创设法益须以社会状态为事实根据(社会依据),否则就是无根之木、无源之水。因此,刑法所保护的法益并不是一成不变的,“生活的需要产生了法律保护,而且由于生活利益的不断变化,法益的数量和种类也随之发生变化”。(23)[德]弗兰茨·冯·李斯特:《李斯特德国刑法教科书》,埃贝哈德·施密特修订,徐久生译,法律出版社2021年版,第6页。作为数字经济发展产物的数字经济安全法益不是纯粹的概念构想,而是“基于普遍需求而非纯个体需求且符合道德与习惯的要求”,(24)孙山:《从新兴权利到新兴法益——新兴权利研究的理论原点变换》,载《学习与探索》2019年第6期。植根于经济社会变革所形塑的新的利益格局中。发展数字经济已上升为国家战略。党的二十大报告明确指出,加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。国家互联网信息办公室发布的《数字中国发展报告(2022年)》显示,2022年我国数字经济规模增至50.2万亿元,总量稳居世界第二,占国内生产总值比重提升至41.5%,成为国民经济体系中最具增长力、引领力和影响力的经济形态,主导地位更加稳固、支撑作用更加明显,数字经济成为稳增长、促转型的重要引擎。(25)参见张玺、王峰:《数字经济赛道如何迎来新突破》,载《工人日报》2023年6月6日,第7版。
第二,数字经济安全法益具有充足的政策基础。数字经济刑事安全风险防范是一种有目标、有定位的能动性治理活动,而非单纯依靠文本进行的利益分配,刑法介入保护数字经济安全法益需要通过国家政策划定其利益调整的领域或者疆界,从而将数字经济发展政策、数据安全治理策略与刑法的机能三者有机统一。2021年10月18日,习近平总书记在十九届中央政治局第三十四次集体学习时强调:“要规范数字经济发展,坚持促进发展和监管规范两手抓、两手都要硬,在发展中规范、在规范中发展。”2021年12月12日,国务院印发的《“十四五”数字经济发展规划》(国发〔2021〕29号)将“提升数据安全保障水平”作为强化数字经济安全体系的重点,要求建立健全数据安全治理体系。2022年12月19日,中共中央、国务院印发的《数据“二十条”》提出构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,体现了贯彻落实数字经济“坚持促进发展和监管规范并重”的指导方针,统筹兼顾“促进数据开发利用”与“保障数据安全”两条主线,既通过规范数据处理活动来切实保障数据安全,又要着眼于推动数据技术产品、应用范式、商业模式和体制机制协同创新,促进数据依法有序自由流动与合理有效利用,旨在充分实现数据要素价值、促进全体人民共享数字经济发展红利。
第三,数字经济安全法益具有明确的宪法基础。尽管法益的内容在刑法规定之前就已经存在,什么样的法益可以纳入刑法的保护范围取决于立法者的选择,但立法者并不能随心所欲地选择。(26)参见张明楷:《法益初论(上册)》(增订本),商务印书馆2021年版,第184页。基于宪法的最高效力地位,只有当罪刑规范所保护的是从宪法导出的法益时,该罪刑规范才具有正当性,因此什么样的法益值得刑法保护必须以宪法作为价值判断的根据。“宪法规范的作用并不是肯定地、积极地从正面告诉立法者,哪些生活利益或者经验事实可以升格为法律保护的法益……而是否定、消极地从反面警示立法者,并为立法者的自由价值评判设立一系列不可逾越的藩篱。”(27)田宏杰:《刑法法益:现代刑法的正当根基和规制边界》,载《法商研究》2020年第6期。虽然我国《宪法》并未明确规定数字经济的法律地位,但可以通过“公私财产保护”“禁止任何组织或者个人扰乱社会经济秩序”“维护国家安全”“通信自由和通信秘密受法律的保护”等条款将数字经济安全所承载的人格利益、财产利益、安全利益与宪法性价值联结起来。根据宪法制定的《刑法》在第3条也明确将“保卫国家安全、保护公私财产、保护公民的人身权利、维护社会秩序和经济秩序”纳入刑法的任务。因此,创设数字经济安全法益并借助刑法加以保护并不违反宪法的基本原则和立法精神。此外,根据宪法及相关法律、行政法规,结合本地实际,浙江、江苏、广东、河南、北京等省、市纷纷围绕促进本行政区域内数字经济发展进行专门立法,制定地方性法规,其中《北京市数字经济促进条例》设立“数字经济安全”专章,要求“市、区人民政府及其有关部门建立健全数据安全工作协调机制,采取数据分类分级、安全风险评估和安全保障措施,强化监测预警和应急处置,切实维护国家主权、安全和发展利益,提升本市数据安全保护水平,保护个人信息权益”。
(二)数字经济安全法益的内在结构
数字经济主要依赖数据资源作为关键生产要素,以现代信息网络作为平台支撑,并且通过数字技术的整合应用来提供源源不断的推动力。数字经济框架中的数据资源、信息网络、数字技术,既深刻地重塑数字经济刑事安全风险防范的时空条件、要素结构和系统机制,又直观地凸显构建数字经济安全体系的时代价值和法治意义。“数字经济安全”显然不是单个法益,而是“法益群”或者“法益束”,属于包含多重结构与多样形态的复杂系统。法益保护机能的发挥应当置于数字经济安全体系之中,而数字经济安全体系是一个多元的、协调的、动态的、整体的运行系统,要求数字经济安全法益不单纯是一个观念,而且是一个契合数字经济高质量发展机理的结构化内容体系。数字经济安全法益的内在结构可以初步界定为:数据要素安全、网络信息系统安全、数字技术安全,即作为关键生产要素的数据资源、作为重要载体的信息网络、作为核心驱动力量的数字技术这三个方面,支撑数字经济安全运行不可或缺的要素处于有效保护和合法利用的状态,以及通过建立数字经济安全体系而具备保障持续安全状态的能力。三者既紧密关联,又各有侧重。
其一,数字经济安全法益以数据要素安全为核心。《数据安全法》第3条第对数据安全的概念作出明确界定,主要由有效保护、合法利用、保障持续安全状态的能力三个评价指标构成。“传统理论中数据的完整性、保密性和可用性的评价体系仅仅是具体时间节点的数据安全状态,本法的界定方式实质上是将整个数据处理全生命周期都纳入调整范围,每一个数据处理环节都应当保障数据的安全状态。”(28)龙卫球主编:《中华人民共和国数据安全法释义》,中国法制出版社2021年版,第8页。
从中可以得知,数据安全不仅包括保护数据的机密性、完整性和可用性,即静态数据安全(数据自身安全),也称为“狭义的数据安全”,还包括保障数据处理活动的可控性和正当性,即动态数据安全(数据处理安全),这两者统称为“广义的数据安全”。前者的目的是规制窃取、泄露、篡改和破坏数据等违法犯罪行为,例如非法获取数据行为侵犯了数据的机密性;删除、修改、增加等破坏数据行为侵害了数据的完整性和可用性。后者的目的是防范在数据的大规模流动、聚合和分析应用过程中引发的安全风险,(29)参见刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期。规制不当流转和利用数据的行为。这两者都可以起到前置保护数据承载的人格权益、财产权益等个人法益的作用。
其二,数字经济安全法益以信息网络系统安全为基础。信息网络系统(计算机信息系统)是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对数据进行收集、存储、传输、交换、处理的系统。信息网络系统安全指向的是计算机信息系统功能正常运行。2011年8月1日,最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条将“计算机信息系统”定义为“具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。那么,这里的“计算机信息系统功能正常运行”应解释为计算机信息系统的“数据处理功能”正常运行。(30)参见王华伟:《破坏计算机信息系统罪的教义学反思与重构》,载《东南大学学报(哲学社会科学版)》2021年第6期。《网络安全法》第76条将“网络数据”定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。电子数据通常依附于网络信息系统而存在,对其进行处理需要借助于网络通信相关的硬件设备和软件程序。就电子数据与网络信息系统的关系而言,有学者将二者形象地比喻为“内容物”与“容器”,即电子数据是网络信息系统的内容,网络信息系统是电子数据的载体。(31)参见王倩云:《人工智能背景下数据安全犯罪的刑法规制思路》,载《法学论坛》2019年第2期。因此,信息网络系统是发生侵害数据行为的空间要素或者场域,维护信息网络系统安全可以起到间接保护数据安全的作用。
其三,数字经济安全法益以数字技术安全为重点。《数据安全法》第3条第1款从本体的角度将“数据”定义为“任何以电子或其他方式对信息的记录”,即数据是信息的载体。数字化是借助数字技术将对客观事物、事件的描述或者记录转化为用“0”或“1”表示的二进制代码,供计算机信息系统自动化读取、存储、传输和处理分析,本质上“是一种把客观现象转变为可制表分析的量化形式的过程”。(32)[英]维克托·迈尔-舍恩伯格、肯尼思·库克耶:《大数据时代:生活、工作与思维的大变革》,盛杨燕、周涛译,浙江人民出版社2013年版,第104页。数字技术安全不仅关注技术本身的可靠性、稳定性,旨在为保障数据安全提供有效的技术防护措施,更为重要的是强调数字技术应被用于合法、正当、必要的数据处理活动,防范数字技术被用于实施流量劫持、撞库打码、网络爬虫、外挂干扰、深度伪造、深层链接、视频解析、破解密钥等各类层出不穷的新型数据犯罪行为。因此,必须准确把握数字技术创新应用与数据违法犯罪的界限,既要依法规范数字技术,实质判断利用数字技术实施的不法行为的法益侵害性,将严重侵犯数据权益和数据安全的行为犯罪化,及时发现、精准惩治以新技术新业态为幌子实施的数据犯罪活动,有效防范各类数据风险叠加演变。同时,又要支持数字技术的迭代升级与创新应用,促进数字经济健康持续发展,避免因过度犯罪化遏制技术进步。
(三)数字经济安全法益的价值立场
犯罪的本质是侵害法益,管控数字经济刑事安全风险的立场取决于秉持何种法益观。相较于国家安全、公共安全、市场经济秩序、社会管理秩序这些综合性法益,数字经济安全法益更具有总体国家安全的特点,它的开放性、风险性以及其行业属性和业务属性使得其在宏观层面关涉市场经济秩序、社会管理秩序等超个人法益,在微观层面牵涉网络用户的人身权益、财产权益等个人法益,需要动态调整风险边界和安全余量。以保障个人自由为本位的消极法益观强调,法益的本源性价值在于保护个人的自由发展。无论是个人法益还是超个人法益,就主体而言,都是“人”的法益;就功能而言,“都是供个人在社会中自我实现,只是具体的作用方式有所不同,超个人法益通过在前阶段保护个人法益而间接地服务个人”,(33)钟宏彬:《法益理论的宪法基础》,元照出版有限公司2012年版,第248页。规制侵犯超个人法益犯罪的根本目的是保护个人的自由发展。超个人法益极易“野蛮生长”,呈现抽象化、精神化的畸形倾向,法益的实质内容日趋单薄与空虚,“使立法者以保护抽象的社会秩序为名扩张刑法处罚范围变得轻而易举,从而弱化了法益的犯罪化限制机能”。(34)孙国祥:《集体法益的刑法保护及其边界》,载《法学研究》2018年第6期。因此,超个人法益必须与个人法益相关联,其只有在能够被解析为个人法益的情况下,即为维护个人发展条件所必需的时候,才应受到刑法的保护。如果某种安全保障或秩序维护仅仅是基于行政管理或社会治理的需要,而与促进个人的自由发展没有紧密联系,那么就不应当纳入刑法法益的范畴。刑法对数字经济安全法益的保护并非对所谓的市场经济秩序、社会管理秩序等表象状态的保护,而对其所关联的个人法益的前置保护。
从属于总体国家安全的数字经济安全法益必然以预防主义为导向,有效防范数字经济刑事安全风险成为刑事治理的首要目标。随着数字经济新型安全需求的扩展,这种预防主义倾向“总是与无限制相联系,具有不确定性和难以捉摸的特性,具有与生俱来的‘越早越好’的内在扩张逻辑”,(35)付玉明:《立法控制与司法平衡:积极刑法观下的刑法修正》,载《当代法学》2021年第5期。极易滑向积极预防主义的轨道,刑法日渐沦为早期控制数字经济安全风险的工具。为在短期内取得立竿见影的成效,频繁通过增设新罪、扩大解释构成要件、加重法定刑、降低入罪标准等扩张“犯罪圈”的方式积极威慑应对数字经济衍生的各类失范行为,使得刑法从“事后的保障法”逐渐演变为“在先的管理法”。由此,“刑罚目的不可避免地将会首重于‘纯粹的秩序控制’或者‘规范效力之承认的可能性’,而所谓的法益保护任务转由抽象的‘安全保证’取代之”,(36)古承宗:《刑法的象征化与规制理性》,元照出版有限公司2019年版,第91页。刑法处罚范围借维护安全和秩序之名得以扩大,即意味着公民自由权利的行使空间被压缩。在将刑法作为防范数字经济刑事安全风险的手段时,必须预想到这种积极干预手段当中存在不当侵蚀公民自由权利的风险,其本身可能成为新的风险源,不宜过度推崇刑法的预防机能而放松对国家刑罚权的限制。
刑法的预防机能是消极的,其在防范数字经济刑事安全风险时应当秉持消极自由主义立场,“在刑法视域内,确立消极自由作为价值根基的最大意义,在于明确秩序,或者说安全本身不是刑法的目的”。(37)敬力嘉:《信息网络犯罪规制的预防转向与限度》,社会科学文献出版社2019年版,第22页。消极自由是指免于遭受不当干涉的自由,着眼于保留个人自由空间不受侵犯,与消极自由主义所对应的是预防性和有限性相结合的消极预防刑法观。这里的“消极”不是刑法毫不作为,而是遵循比例原则统辖下的刑法克制主义,即在数字经济刑事安全风险的预防模式上反对积极刑法观,倡导法益保护的刑法“辅助性”:其一,在多元社会治理规范中,注重刑法规范与刑法外规范、法律外规范的比例供给,保持刑罚系统的“最小比”;其二,强调法益保护目的与法益手段之间的匹配和均衡,保持刑法介入的“最后性”。(38)参见刘艳红:《网络时代社会治理的消极刑法观之提倡》,载《清华法学》2022年第2期。
三、基于数字经济安全法益观完善数据犯罪的罪名体系
在数字经济蓬勃发展的背景下,承载着越来越多个人权利、经济利益或者安全价值的网络数据自然成为不法分子觊觎的对象。一个社会的数字化、网络化、智能化程度越高,数据的重要性和遭受侵害的风险自然也就越大,数字经济刑事安全风险防范的难度也在不断增加。近年来,利用数字技术实施的窃取、泄露、篡改、伪造、毁坏、滥用数据等违法犯罪在数字经济新产业、新领域、新业态呈现快速蔓延增长的严峻态势,而且呈现出犯罪手段智能化、行为方式多样化、危害后结果多元化等与以往不同的代际特征,同时诱发信息网络安全风险、人工智能安全风险、知识产权安全风险、金融安全风险等诸多非传统安全风险叠加,引起全社会对数字经济安全的忧虑。“我们无法抛弃技术而去谈时代,因为技术总比其它任何事物都更能代表一个时代的特征。我们活在技术的潮流之中,时代的更迭与技术的发展息息相关。”(39)[美]莱恩·阿瑟:《技术的本质》,曹东溟、王健译,浙江人民出版社2014年版,第27页。数字技术迭代升级和广泛应用所带来的数据犯罪风险不仅对数字经济的高质量发展产生深层次阻碍,而且时时在向传统法律制度提出新的挑战,对数据刑事治理能力提出新的要求,“法学家的任务不仅是对广泛存在的而且是计划中的技术进行法律评价,并且应及早说明可能存在的违法,以便于技术发展中进行修正”。(40)[德]埃里克·希尔根多夫:《德国刑法学:从传统到现代》,江溯、黄笑岩等译,北京大学出版社2015年版,第378页。刑法作为重要的国家治理手段,如何贯彻科技向善的理念引领数字经济与数字社会健康可持续发展、有效规制各类新型数据犯罪、着力提升数据刑事治理能力是数字经济时代刑事立法与司法实践应重点关注和深入研究的核心课题。
(一)数字经济安全法益观对数据犯罪立法的指导作用
“随着科学技术的发展,一些新出现的行为往往会超出刑罚法规的预见范围……首先要从解释论上厘清既存的刑罚法规的适用边界,当该行为超出刑罚法规的预见范围时,接下来就要从立法论上设计一个能够将它包摄在内的刑罚法规。”(41)[日]松井茂记、铃木秀美、山口淑子编:《网络法》,周英、马燕菁译,北京大学出版社2023年版,第229页。刑法中犯罪的设立与认定都必须恪守法益保护原则,“法益概念既是刑法建立刑罚正当化的前提条件,也是特定行为入罪化的实质标准”。(42)王皇玉:《刑法总则》(第七版),新学林出版股份有限公司2021年版,第24页。囿于对数据犯罪所侵犯的法益的内容及性质认识不准确、不全面,立法者未及时将数字经济产生的新的生活利益——数字经济安全纳入刑法的保护范围,造成我国数据犯罪刑事立法明显滞后,规范供给严重不足,尚未建立完善的数据犯罪罪名体系,可谓是“先天不足”。“不可否认,尽管刑法规制数据犯罪的力度在不断增强,但仍存在体系性不足与系统性缺陷,导致数据犯罪刑法治理在立法层面和司法层面都面临尴尬境地。”(43)房慧颖:《数据犯罪刑法规制的具象考察与策略优化》,载《宁夏社会科学》2023年第3期。数字经济安全法益作为一个实质的法益概念不仅可以引导刑法释义学,同时也可以指导刑事立法。(44)参见周漾沂:《从实质法概念重新定义法益:从法主体性论述为基础》,载《台大法学论丛》2012年第3期。
就数据犯罪立法而言,立法者应当审慎平衡保障数据安全与促进数字经济发展的关系,在对矛盾辩证统一之下,寻找一种能够保持法律系统全面性、稳定性的解决方案,以便适应不断变化的数据安全威胁。刑法是根据宪法制定的,其所保护的法益是从宪法的基本原则、基本权利、公民义务等条款中引申出来的,其产生于宪法中所载明的建立在个人自由基础上的法治国家任务,这个任务为国家刑罚权划定了边界。这种基于宪法的法益概念,在以个人及其自由发展为目标进行建设的社会整体制度范围之内,是有益于个人及其自由发展的,或者是有益于这个制度本身功能的一种现实或者目标设定。(45)参见钟宏彬:《法益理论的宪法基础》,元照出版有限公司2012年版,第141-144页。这并不意味着数字经济安全法益观只保护个人法益,法益的实质是满足人类生存和发展所需要的资源和条件,为法共同体享有的生活利益,刑法保护的法益必然是人的利益和对人有用的事物。数字经济安全法益观也包括秩序法益的面向,在数字经济活动中,数据的收集、存储、加工、使用、提供、交易、公开等数据处理活动日益频繁,数字经济安全秩序与每一个“数字人”息息相关,保障数据处于安全状态越来越重要,涌现新的法益值得刑法保护。(46)参见杨志琼:《数字经济时代我国数据犯罪刑法规制的挑战与应对》,载《中国法学》2023年第1期。这种数字经济安全秩序正是维系整个数字经济生态正常运转、人类数字化生存不可或缺的关键实体要素,其因对人有用而被赋予某种价值,只有保证数据安全,公众才会安心参与社会活动,才可以不断降低陌生人之间的交易成本,并将每个角色所负担的事项减少到最小的范围,因此属于对人有用的重要利益。
优化数据犯罪立法必须坚持以数字经济安全法益观为指导,以数字经济安全法益作为正当性基础并标定刑罚权的边界,刑法规范的内容应当在此目标的指引之下,针对数据的特征和类型作出相应调整,确定具体的罪刑规范。(47)参见夏伟:《论数据犯罪的立法重塑》,载《法制与社会发展》2023年第4期。随着科学技术的飞速发展,一些新的技术可能会带来严重的社会危害性,而现有的刑法规范难以防范这些潜在的安全风险。建立在合乎宪法的价值秩序基础之上的刑法目标是保障个人自由、公共利益和社会秩序稳定,并在新技术的环境下利用报应主义和预防主义原理达到这一目的。从深层次来看,需要把数据安全风险具体化后融入到法益侵害的实质特征上,然后再基于此寻求罪刑规范构成要件的类型化。通过更细致地阐述人格尊严、个人自由及发展等公民基本权益,从中找出法益侵害的关键特征,进而将不法行为定型化、类型化。因此,尽可能地将抽象模糊的数据安全风险具体化,从中提取法益侵害的本质特征,是推进数据安全风险规范化的正确路径。
(二)完善数据犯罪罪名体系的消极预防导向与路径展开
当前我国刑法上数据犯罪的罪名体系无法满足保障数据安全、防范数字经济刑事安全风险的现实需要,应将消极预防刑法观嵌入数据犯罪的罪刑规范体系。“预防性理念的嵌入应契合比例化与正当性,寻求比例原则的协作,共同强化对刑罚权的合理约束,以免社会治理过度依赖刑法。”(48)刘艳红:《民刑共治:中国式现代犯罪治理新模式》,载《中国法学》2023年第1期。一方面,刑法应当坚守谦抑性品格,不宜过早介入数据治理而压制数字经济发展潜力和活力,在民法、行政法以及其他规制措施无法有效调控数字经济安全风险时,刑法的介入才是必要的、正当的,从而为数字产业的创新发展留下足够的容错空间;(49)参见贾宇:《数字经济刑事法治保障研究》,载《中国刑事法杂志》2022年第5期。另一方面,刑法作为规制数据犯罪的最有力手段,有助于形塑安全可控、公平规范的数字经济秩序,刑事立法和司法实践可以适度加强数据犯罪惩治力度,确保目的与手段的合比例性,为促进数字经济发展营造良好的法治化营商环境。
首先,秉持消极预防的刑法规制思路,为数据信息核心权利提供严密的保障和救济。基于人格尊严或者个人自由权利保护,发展出刑民一体化的个人信息法益保护思路。《刑法》第253条之一将侵犯公民个人信息罪规定在刑法分则第四章“侵犯公民人身权利、民主权利罪”中,所保护的是个人信息权中最核心权利即个人信息自决权。(50)参见刘艳红:《民法典编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及<民法总则>第111条为视角》,载《浙江工商大学学报》2019年第6期。“我国近年来虽然逐渐强调对数据的法律保护,但是在相关数据犯罪构成要件类型的设置上实际上仍然相当保守。”(51)王华伟:《数据刑法保护的比较考察与体系建构》,载《比较法研究》2021年第5期。侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,随着大数据深度挖掘技术和数字经济的发展,使用自主相较于转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。(52)参见李川:《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》,载《中国刑事法杂志》2019年第5期。因此,应当将违反国家有关规定,未征得信息主体许可而使用他人个人信息的非法使用行为纳入《刑法》253条之一侵犯公民个人信息罪的规制范围。
其次,贯彻数字经济安全法益观,对个人信息安全风险和数据安全风险分别加以精准化防范。侵犯公民个人信息罪保护的个人信息自决权具有个人法益性质,而数据安全则是一种社会管理秩序法益,数据得到有效保护与合法利用的安全状态需要满足数据保密性、完整性、可用性、可控性、正当性等要素的要求,侵犯数据安全的行为应作为以数据自身安全和数据处理安全为侵害对象的数据犯罪,可以分为非法获取数据型、破坏数据型、滥用数据型三大类。目前我国《刑法》规定的危害计算机信息系统安全犯罪是以计算机信息系统安全而非数据安全为保护对象,并且未针对破坏计算机信息系统数据行为设置独立的罪名,而是将该行为杂糅在破坏计算机信息系统罪的构成要件中,即便是在非法获取计算机信息系统数据罪中,相关司法解释也将数据范围限缩为身份认证信息类数据。未来,应将网络数据独立于计算机信息系统、将数据安全保护独立于个人信息自决权保护,通过保密性、完整性、可用性、可控性、正当性等多个维度来阐释数据安全法益的实质内涵,即是由状态保密、记录完整、合规使用所构成的数据安全管理秩序,(53)参见杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019年第6期。在此基础上设置独立的非法获取数据罪、破坏数据罪、滥用数据罪。
最后,基于平衡预防主义与谦抑主义,数据犯罪均应当贯彻分类分级保护的层级化防范和规制理念。(54)参见熊波:《数据分类分级的刑法保护》,载《政法论坛》2023年第3期。个人信息的处理限度需要“在识别信息属性归类的基础上做出精准判断,而这则需要构建个人信息分类分级机制”。(55)刘艳红:《智慧法院场景下个人信息合规处理的规则研究》,载《法学论坛》2022年第6期。对此,侵犯公民个人信息罪的罪刑规范已为“敏感个人信息”“一般个人信息”“其他个人信息”设置不同的入罪标准和法定刑升格条件,非法侵入计算机信息系统罪也对国家事务、国防建设、尖端科学技术领域的计算机信息系统采取特殊保护。未来,数据犯罪相关司法解释也应引入数据安全分级保护规则,以非法获取、破坏、滥用数据行为对国家安全、公共利益或者公民、组织合法权益造成的危害程度为标准设置不同的入罪门槛,既满足了数字经济安全法益的消极预防主义保护需求,又通过重要数据信息重点保护、普通数据信息常规保护的方式,实现“重其所重,轻其所轻”,将宽严相济的刑事政策落到实处,契合刑法谦抑主义的罪刑均衡要求。
结语
“今天每一个人,在满足了以食物为中心的温饱生存问题后,他的神经、意识和触角,就在搜索和创造数据。数据不能当饭吃,却几乎构建了个体发展的全部基础。除了城市、乡村这种物理空间,我们每天还在一个新的空间生活:数据空间。”(56)涂子沛:《数商》,中信出版社2020年版,第11页。数字化代表着人类认识的一个根本性转变,在以数据为中心的数据主义世界观看来,数字时代人类社会的一切活动都可以通过网络数据来表达。(57)参见[以色列]尤瓦尔·赫拉利:《未来简史:从智人到智神》,林俊宏译,中信出版社2017年版,第355页。与之相对应,数据处理活动日益频繁,数据规模呈爆炸式增长,“当网络化和数据交换不断扩大时,相应地,数据网络犯罪也会侵入到更多区域”,(58)[德]埃里克·希尔根多夫:《德国刑法学:从传统到现代》,江溯、黄笑岩等译,北京大学出版社2015年版,第382页。窃取、泄露、篡改、伪造、毁损、滥用等数据安全风险与日俱增。保护数据安全就是保护国家数字经济的基础和命脉。当前,“大多数法律都是为了原子的世界、而不是比特的世界而制定的”。(59)[美]尼古拉·尼葛洛庞帝:《数字化生存》,胡泳、范海燕译,电子工业出版社2017年版,第5页。对此,应从宏观上梳理和研究数据全生命周期的刑事安全风险,从微观上深入研究作为关键生产要素的数据资源、作为重要载体的信息网络、作为核心驱动力量的数字技术三者所构成的数字经济安全法益,进而以此指导对具体数据犯罪的罪刑规范和罪名体系作针对性调整,精准惩治各类新型数据犯罪,着力提升数据刑事治理能力,有效防范和化解数字经济刑事风险,筑牢促进数字经济高质量发展的法治基石。