网络数据安全犯罪规范体系的重构
2024-04-10麦买提乌斯曼
麦买提·乌斯曼
目 次
一、“秩序本位”网络数据安全犯罪规范体系的认识
二、“秩序本位”网络数据安全犯罪规范体系面临的现实挑战
三、“秩序本位”网络数据安全犯罪规范体系的理论逻辑反思
四、网络数据安全犯罪规范体系的“价值本位”重构
五、结语
一、“秩序本位”网络数据安全犯罪规范体系的认识
大数据时代,数据的重要性前所未有,数据已经成为构建当代人类生活方式和认知方式的基础。〔1〕参见王华伟:《数据刑法保护的比较考察与体系建构》,载《比较法研究》2021 年第5 期,第135-151 页。与此同时,数据安全的脆弱性与易受攻击性越发凸显,也引发了新的风险,即“正在对我们的法律制度构成新的挑战”〔2〕于冲主编:《域外网络法律译丛·刑事法卷》,中国法制出版社2015 年版,第3 页。,引起了社会的全面关注。故,网络数据安全犯罪的规制自然成为无法回避的重要命题。特别是除我国传统数据安全犯罪规范体系将数据的概念界定为计算机信息系统中以验证为内容的信息,对数据进行信息化解释〔3〕根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释〔2011〕19 号)第11 条第2 款规定,数据就是用于确认用户在计算机信息系统上操作权限的身份认证信息,即数据等于信息。之外,网络对社会内部秩序和外部秩序带来的严重挑战,致使人们开始强调更多的预防性规制与干预。〔4〕参见[德]乌尔里希·齐白:《全球风险社会与信息社会中的刑法:二十一世纪刑法模式的转换》,周遵友、江溯等译,中国法制出版社2012 年版,第288 页。因此,刑法立法将网络数据安全犯罪散布规定在妨害社会管理秩序罪一章中,并依附于计算机信息系统的范畴,坚守以“计算机信息系统”为核心,保护计算机信息系统安全的管理秩序,即网络空间秩序的有序性、稳定性和连续性成为网络数据安全犯罪规范体系的重点。然而,此种网络数据安全犯罪规范体系不仅不合理地弱化了对网络数据安全独立保护的重要性,致使网络数据安全犯罪规制被不恰当地限缩在计算机信息系统犯罪规制的范围内,〔5〕参见王惠敏:《网络数据安全独立性之提倡及其刑法展开》,载《法治研究》2023 年第3 期,第117-131 页。还“加剧了计算机类犯罪的‘口袋化’趋势”〔6〕王惠敏:《网络数据安全独立性之提倡及其刑法展开》,载《法治研究》2023 年第3 期,第117-131 页。,引起了与其他犯罪罪名定性上的争议。例如,2016年“闫某破坏计算机信息系统案”〔7〕参见四川省崇州市人民法院(2016)川0184 刑初611 号刑事判决书。和2019 年“黄某招、汪某达、陈某等破坏计算机信息系统案”〔8〕参见福建省福州市中级人民法院(2019)闽01 刑终402 号刑事判决书。,两案共同之处在于,被告人都对计算机信息系统中的数据进行了修改,没有对计算机信息系统正常运行造成影响或破坏,即并未危害到网络空间秩序安全,其本质上是对网络数据本身价值安全的侵犯。但是法院认为,这些被告人的行为构成“破坏计算机信息系统罪”,扰乱了网络空间秩序。
检视我国刑法网络数据安全犯罪规范体系,“计算机信息系统”是保护的核心,其过于偏向对“计算机信息系统安全的管理秩序”的保护,即是一种“秩序本位”的数据安全犯罪规范体系。〔9〕现阶段有关数据安全的规范规定在妨害社会管理秩序一章扰乱社会秩序一节中,因此,这些规范的“正义观”就是“秩序本位”。所谓“秩序本位”网络数据安全犯罪规范体系是指以风险管理为核心,通过社会管理优先保护网络空间管理秩序法益进而间接规制网络数据安全法益的立法犯罪体系。然而,此种“秩序本位”的数据安全犯罪规范体系除了弱化对网络数据安全犯罪法益的独立保护,其内部存在的结构性矛盾必然会导致网络数据安全犯罪的规制不够周延。例如,在“破坏型”罪名〔10〕“破坏型”罪名是指破坏计算机信息系统罪。中,对于未对计算机信息系统正常运行造成损害,但非法实施“删除、增加”等使网络数据丧失本身价值安全的数据处理行为,仍然适用“破坏计算机信息系统”来规制,导致了数据本身价值安全未受到刑法的专门保护或评价,网络数据本身价值安全得不到充分的保护,与目前规制网络数据安全犯罪的现实需求相差甚远。所以,在大数据时代必须从法律规范意义上对数据安全犯罪进行再分析,实现数据技术向法律体系的融合,建构一种以数据本身价值为中心的存在,重整网络数据安全犯罪规范体系。
二、“秩序本位”网络数据安全犯罪规范体系面临的现实挑战
我国“秩序本位”网络数据安全犯罪规范体系着眼于静态的计算机软件与系统,格外关注对计算机信息系统范畴依附性较强的数据内容价值安全和工具价值安全,〔11〕如“破坏计算机信息系统罪”涉及数据工具价值安全,而“非法获取计算机信息系统数据罪”则涉及数据内容价值安全。却忽视了数据本身的价值安全,即“秩序本位”网络数据安全犯罪规范体系在犯罪化标准、罪名设置和行为归责方面的诸多不足影响了刑法对网络数据价值安全的全面、动态保护。〔12〕参见王惠敏:《网络数据安全独立性之提倡及其刑法展开》,载《法治研究》2023 年第3 期,第117-131 页。
(一)犯罪化标准不合理
“秩序本位”网络数据安全犯罪规范体系忽视数据本身价值安全,“计算机信息系统安全的管理秩序法益”是其保护的逻辑起点,即通过“秩序法益”来间接保护数据内容价值安全和工具价值安全。故,此种立法法益保护思维或犯罪化标准严重制约了“虚拟法益的类型化以及与传统刑法的嵌入”,导致违反国家规定,破坏数据本身价值安全的数据处理行为只要涉及计算机信息系统或只要数据存储在计算机信息系统中,就被定性为“破坏计算机信息系统犯罪”。可见,在“秩序本位”网络数据安全犯罪规范体系下,既有的预防网络数据安全犯罪理论对破坏网络数据本身价值安全行为的规制,即犯罪化标准具有不合理性,难免会导致“寒蝉效应”。〔13〕参见高磊:《论P2P 共享服务提供者的刑事责任——以快播案为视角》,载《环球法律评论》2017 年第5 期,第81-96 页。在司法实践中,大部分情况下对破坏数据完整性的数据处理行为只能定性为“计算机领域的犯罪”,即“破坏计算机信息系统罪”。〔14〕参见重庆市渝中区人民法院(2011)一中刑终字第854 号刑事判决书;北京市第一中级人民法院(2011)一中刑终第614 号刑事裁定书。甚至对利用黑客技术侵入网上商城,通过数据修改来非法充值并予以出售的行为,也有法院认定为“破坏计算机信息系统罪”。〔15〕参见福建省福州市中级人民法院(2019)刑终字第390 号刑事裁定书。同时,有些法院也将破坏数据完整性的行为认定为,以非法获取财物为目的的网络虚拟财产犯罪,即被告人的行为构成“盗窃罪”而非“破坏计算机信息系统罪”。〔16〕参见上海市浦东新区人民法院(2015)浦刑初第1882 号刑事判决书。本文认为,破坏数据自身完整性的数据处理行为侵害的是网络数据的本身价值安全,其行为无论被定性为“破坏计算机信息系统罪”还是“盗窃罪”都值得仔细斟酌。
其一,定性为“盗窃罪”实属不妥。虽然财产化保护对非法侵占财产的行为具有一定预防性,但是此种保护“基本上是按照物理空间思维来‘外在化’地笼统设定犯罪构成,并不是以数据属性和智能互联网的运行逻辑来‘内在化’地设定犯罪构成”〔17〕马长山:《迈向数字社会的法律》,法律出版社2021 年版,第46 页。,即财产化保护仍然是传统刑法规制策略,没有进入新业态的运行逻辑内部,还是一种立足物理空间的规范评价,其评价的是侵害数据的后果,不是破坏网络数据本身价值安全的数据处理行为本身。
其二,定性为“破坏计算机信息系统罪”更有待于商榷。结合《刑法》对“破坏计算机信息系统罪”的规范目标则会发现,“破坏数据完整性的数据处理行为”不能构成破坏计算机信息系统罪。根据《刑法》对“破坏计算机信息系统罪”的规定,“计算机信息系统正常运行与否”是“破坏计算机信息系统罪”构成的显性标准。〔18〕参见皮勇:《论中国网络空间犯罪立法的本土化与国际化》,载《比较法研究》2020 年第1 期,第135-154 页。但是,如果破坏数据完整性的数据处理行为只是对数据真实性、可靠性和完整性的篡改,未造成计算机信息系统不能正常运行,则只能说是对计算机信息系统设计的功能性目的造成了干扰。如果此类数据处理行为仍然被定性为“破坏计算机信息系统罪”,这本身就是对计算机信息系统自身运行状态与其背后的功能性目的之间差异的忽视,“计算机信息系统的设计目的与程序的正常运行之间并非存在绝对对应关系”〔19〕阎二鹏:《干扰型破坏计算机信息系统罪的司法认定》,载《中国刑事法杂志》2022 年第3 期,第122-137 页。,篡改系统数据真实性、可靠性和完整性的数据处理行为,本质上是一种单纯的数据造假行为,在性质上与破坏计算机信息系统罪并不相同。
(二)罪名设置不周延
“当前我国刑事立法分别从计算机信息系统和网络数据所承载的信息内容两个方面”〔20〕刘宪权、石雄:《网络数据犯罪刑法规制体系的构建》,载《法治研究》2021 年第6 期,第44-55 页。设定罪名,并实现了对网络数据安全的保护。然而,以网络数据安全三价值〔21〕本文认为,从法益性质上看,网络数据安全犯罪是以数据内容价值(保密性)安全、工具价值(可用性)安全和本身价值(完整性)安全等数据价值安全为核心的犯罪。来分析,前者与数据技术特征相对应,其设定罪名保护了网络数据的工具价值安全,而后者与数据信息特征相对应,其设定罪名保护了网络数据的内容价值安全。故,当前刑法对网络数据安全犯罪的规制还停留在“系统、软件”和“信息内容”思维下。至于对网络数据本身价值安全的保护,即网络数据的真实性、可靠性和完整性,为保护数据内容价值安全和工具价值安全而设定的罪名规范根本起不到任何作用。所以,现阶段“秩序本位”数据安全犯罪规范体系具有较强的局限性和滞后性。
(三)行为归责错误
“秩序本位”网络数据安全犯罪规范体系忽视对网络数据本身价值安全的保护,致使因果关系对行为归责的评价功能发生错误。
1.“必然”事实因果流程的利用致行为归责错误
在大数据时代,人类本身及其他生物或非生物都在产生数据,因此网络数据就是“以数字化形式进行技术处理的一切海量信息”〔22〕黄鹏:《数据作为新兴法益的证成》,载《重庆大学学报(社会科学版)》2022 年第5 期,第192-206 页。。可见,数据技术的发展真正实现了“存在的就是合理的”,即从行为客体的角度看,各类数据不是拟制的,而是真实存在的,各类数据具有了真实的可侵害性并必然成为被犯罪侵害或威胁的对象。但是,在“秩序本位”网络数据安全犯罪规范体系下,将数据与计算机信息系统直接联系起来的线性思维使“数据”概念已无法脱离“计算机信息系统”的桎梏,传统的计算机信息系统犯罪遮蔽了数据安全犯罪。在线性思维下,任何一种网络数据处理行为都与计算机信息系统的损害结果之间存在一种事实因果流程,即任何一种网络数据处理行为都必然会使计算机信息系统受到损害,致使刑法“必然”因果关系在网络数据安全犯罪规范体系中成为行为归责的基础,导致计算机信息系统类犯罪与网络数据安全犯罪难以区分。例如,最高人民检察院指导性案例“李骏杰等破坏计算机信息系统案”中,虽然李骏杰等犯罪人骗取重置密码、冒充合法用户登录并修改数据的行为使得用户评价数据丧失了真实性和准确性,即影响了评价数据的本身价值安全,但是其行为并不必然造成信息系统的不能正常运行,只是改变了评价系统的重要使用功能,〔23〕功能受到干扰与信息系统运行不正常,甚至崩溃之间并非存在绝对对应关系。例如,利用外挂软件可以实现对计算机信息系统功能的改变,但是,这种功能改变必须在原计算机系统正常运行前提下发挥作用。不满足“破坏计算机信息系统罪”的“计算机信息系统不能正常运行”这一客观构成要件。然而,法院利用“必然”因果流程使李骏杰等犯罪人的数据处理行为与被告人获益和平台为恢复数据、功能而支出的必要费用等损害之间产生了必然的事实联系,即在事实因果流程上满足“破坏计算机信息系统罪”的因果关系判断准则。此种选择单纯的客观事实作为刑法因果关系评价显然不合理,是刑法行为归责错误,即网络数据安全犯罪最终为传统破坏计算机信息系统罪所遮蔽。
2.“直接”事实因果流程的利用致行为归责错误
在日常用语中,数据与信息两者可混同使用。但是,作为一个技术名词,数据与信息的概念有交叉也有本质区别。然而,我国相关司法解释将数据与信息视为同一概念,使得网络数据安全犯罪规范体系并非以数据本身价值安全,而是以数据承载的信息内容价值安全为基准。例如,侵犯商业秘密罪、侵犯公民个人信息罪、非法获取国家秘密罪等。可以说,以数据承载的信息内容价值安全为基准的网络数据安全犯罪规范体系是刑法通过打击信息犯罪(侵犯商业秘密罪、非法获取国家秘密罪、侵犯个人信息罪等)来间接保护网络数据的,其是大数据时代网络数据风险管理的治理举措,又是社会管理系统功能分化的使然。
然而,在“秩序本位”网络数据安全犯罪规范体系下,当司法机关在司法实务中遇到违反国家规定、未对计算机信息系统正常运行造成损害、针对数据内容价值安全的“删除、修改、增加”等数据处理行为时,则惯用“直接”事实因果流程将以信息内容价值安全为基准的网络数据安全法益保护〔24〕参见任颖:《数据立法转向:从数据权利入法到数据法益保护》,载《政治与法律》2020 年第6 期,第135-147 页。刑法规范直接修改为以数据工具价值安全为基准的刑法规范,即将作为行为对象的“数据”同计算机信息系统的正常运行直接、单向化地联系起来,以计算机信息系统犯罪来规制。例如,在“闫某破坏计算机信息系统案”中,考试成绩、旷课记录、处分等网络数据虽然在高校教务系统中,然而本质上却无法归属于计算机信息系统数据的范畴。这些数据使高校学生的学习和生活动态化、物联化,恰恰是“网络数据”的重要组成部分,理应成为法律独立保护的对象。但是,法院利用“直接”事实因果流程,使行为人的数据处理行为与计算机信息系统的安全相联系,即行为人的数据处理行为侵犯计算机信息系统安全法益,同样在行为归责方面出现了错误。
三、“秩序本位”网络数据安全犯罪规范体系的理论逻辑反思
随着数字信息技术革命性发展,人逐渐被赋予了新的“数字人类”属性,即人们的社会行为和日常交往都在不断地数字化。同时,数字化也强化了安全防控和打击犯罪能力,社会管理秩序更加可控化、可视化和稳定化。换言之,这种智慧治理带来的不是民权民生保障而很可能是公权力的延伸,否定了数据安全领域排斥刑罚权运用的“赛博自由主义”,〔25〕See Dwight D.Murphey,“Cyber Anarchism,Wiki Leaks and Computer Warfare: the Unprecedented Dangers Associated with Information Technology Today”, 36 Journal of Social Political and Economic Studies 455,455-471 (2011).即网络空间成为一个新的行为空间,网络与现实的现代双层社会架构逐渐固化,〔26〕参见李琪、姜俊鹏:《双层社会视阈下数据犯罪的法益规制思路》,载《犯罪研究》2021 年第1 期,第95-102 页。参与者合法权益的保障、网络社会公平正义的维护都需要设定合理的“社会秩序管理模式”。由此,“秩序本位”成为数字网络空间数据安全犯罪规范体系的逻辑偏向。
(一)“秩序本位”背离网络数据安全犯罪法益定位的基本要求
在计算机科学领域,“数据是指能够输入到计算机信息系统并被程序处理的具有一定意义的数字、字母、符号等”〔27〕王珊、萨师煊编著:《数据库系统概论》(第5 版),高等教育出版社2014 年版,第4 页。。数据具有的此种技术价值容易使网络数据安全犯罪与计算机信息系统的正常运行与否相联系,使计算机信息系统的损害成为侵害网络数据安全行为的入罪标准。同时,根据数据安全犯罪及其相关犯罪在我国刑法中的章节位置,较为传统且颇具影响力的观点认为,网络数据安全犯罪规范体系保护的是计算机信息系统的管理秩序法益。〔28〕参见邢永杰:《破坏计算机信息系统罪疑难问题探析》,载《社会科学家》2010 年第7 期,第81-84 页。但是,现阶段不对网络数据安全犯罪所属章节的位置加以调整,不转变网络数据安全犯罪所保护的法益,除了不利于数据本身价值安全的保护,还会严重背离网络数据安全法益定位的基本要求。
1.“秩序本位”忽视正确的“前置法”,致使侵害法益的确定错误
网络数据安全犯罪作为一种法定犯罪,“前置法”所确定的义务是判断其行为刑事违法性的重要依据。《数据安全法》作为规制网络数据安全犯罪的前置法,第3 条规定了对“数据安全状态”的保护。故,刑法作为保障性法律必须顾及作为前置法的《数据安全法》的基本态度,并对“数据安全状态”的保护作出合理的回应。但是,在“秩序本位”网络数据安全犯罪规范体系下,刑法对“数据安全状态”保护的回应仅限于与计算机信息系统相联系的“网络数据工具价值安全状态”的保护,颠倒了前置法法益与刑法法益之间的关系,即在实质和形式上前置法的选取受制于刑法法益。正如“某个法律规范的适用取决于规范所追求的目的”〔29〕[德]伯恩·魏德士:《法理学》,丁晓春、吴越译,法律出版社2013 年版,第67 页。。在“秩序本位”网络数据安全犯罪规范体系下,计算机信息系统管理的安全秩序是规范追求的目的。因此,《计算机信息系统安全保护条例》之类单纯涉及计算机信息系统管理秩序安全的行政法规更容易成为前置法,专门保护网络数据安全的《数据安全法》《个人信息保护法》等前置法反而更容易被忽视。例如,在“王某培、关某威、关某凯、王某乐非法获取计算机信息系统数据案”〔30〕参见北京市海淀区人民法院(2019)京0108 刑初81 号刑事判决书。中,被告人非法获取的是计算机信息系统中的他人个人信息,第一保护法益应该是个人信息权益,前置法应该是《个人信息保护法》。但是,法院判决被告人的行为构成“非法获取计算机信息系统数据罪”,正是前置法法益与刑法法益之间关系颠倒的结果。
2.“秩序本位”限缩保护客体,致使网络数据安全法益的保护不全面
“数据权益是指数据管控者对其管控的数据享有的权益。”〔31〕赵加兵:《论作为数据权益客体的数据集合》,载《河北法学》2021 年第7 期,第111-127 页。数据仍然是数据权益的客体,但是,并非所有的数据都可以成为数据权益的客体,只有那些对数据控制者具有一定价值的数据才能成为数据权益的客体。也就是说,数据权益可能涉及包括“个人信息主体、信息处理者、算法的知识产权人,甚至政府等公权力主体”〔32〕王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第7 期,第99-113 页。在内的数据控制者对数据工具价值安全、内容价值安全和自身价值安全的权益需求。故而,“数据之上的权益往往呈现网状结构”〔33〕王利明:《论数据权益:以“权利束”为视角》,载《政治与法律》2022 年第7 期,第99-113 页。,数据权益实际上是数据之上形成的各项数据价值安全需求的集合。所以,根据《数据安全法》第7 条的规定,网络数据安全的保护模式是“政府—数据处理者—数据权益人”三个向度的结合,〔34〕参见时延安:《数据安全的刑法保护路径及方案》,载《江海学刊》2022 年第2 期,第142-150 页。即既要保护数据利用和获取的公共秩序,又要维护数据自身具有的权益性。〔35〕《个人信息保护法》第2 条规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”虽然数据和信息严格意义上不能等同,但是,现阶段在我国数据和信息的混同使用,使得数据也是一种权益。法律必须明确确认数据自身价值安全上的数据权益,并允许通过刑事或刑事附带民事诉讼主张该权益求得赔偿。然而,在“秩序本位”网络数据安全犯罪规范体系下,保护的数据权益客体是网络数据工具价值安全,而网络数据内容价值安全和网络数据自身价值安全等数据权益客体被完全排除在保护的数据权益客体之外,不仅致使刑罚的一般预防目的不能实现,还导致了网络数据安全法益保护的不周延。例如,在“闫某破坏计算机信息系统案”中,真正直接受到侵害的是高校自身控制的网络数据本身价值的安全,并非作为公共秩序的“计算机管理秩序安全”。再比如“王某培、关某威、关某凯、王某乐非法获取计算机信息系统数据案”中,行为人真正侵害的是网络数据内容价值安全,即个人信息权益,并非作为公共秩序的“计算机管理秩序安全”。
(二)“秩序本位”背离网络数据安全犯罪的犯罪构成
“秩序本位”网络数据安全犯罪规范体系下,网络数据安全犯罪的规制理念是“力求通过对数据‘静态安全’的维护来实现对数据利用安全”〔36〕于改之:《从控制到利用:刑法数据治理的模式转换》,载《中国社会科学》2022 年第7 期,第56-73 页。。然而,此种理念可能使网络数据安全犯罪的犯罪构成出现问题。
1.“秩序本位”使网络数据安全犯罪的犯罪构成简单化
其一,“秩序本位”删除了网络数据安全犯罪的重要构成要件要素。在信息与数据的关系问题上,通常认为数据是信息的载体,数据“只有被转换为信息后才具有意义”〔37〕黄良永、徐雨明主编:《大学计算机基础教程》,电子科技大学出版社2008 年版,第5 页。。同时,《刑法》中所称的数据是指:“在计算机信息系统中实际处理的一切文字、符号、声音、图像等内容有意义的组合”。〔38〕高铭暄、马克昌主编:《刑法学》(第5 版),北京大学出版社2011 年版,第536 页。由此可见,在我国刑法语境下,数据安全就是信息价值安全或称为数据内容价值安全,即一种“数据或信息内容被权利主体知悉的权利”,或者是一种权利主体“能够知悉的状态”。然而,在“秩序本位”网络数据安全犯罪规范体系下,数据附属于计算机信息系统,数据安全变为计算机信息系统中的数据不被“非权利人知悉”的状态。也就是说,“秩序本位”避免了数据或者信息被没有知悉权利的人获取,保障了数据权利人对数据设置的保密状态。〔39〕参见杨秀:《大数据时代定向广告中的个人信息保护——〈中国互联网定向广告用户信息保护行业框架标准〉分析》,载《国际新闻界》2015 年第5 期,第138-154 页。数据安全内涵的此种改变直接改变了网络数据安全犯罪的犯罪构成,即在数据权利人未知悉的情况下,那些尚未对计算机信息系统正常运行造成损害的“删除、修改、增加”等数据处理行为更容易被定性为“破坏计算机信息系统罪”。此种犯罪构成的简单化不仅无助于“破坏计算机信息系统罪”保护法益的厘清,更不利于网络数据本身价值安全的独立保护。
其二,“秩序本位”未能解释网络数据安全犯罪对象的非物质本质。计算机信息系统安全指“计算机信息系统能够正常的、符合计算机信息系统操作人员预期的存储、处理和传输数据”〔40〕王倩云:《人工智能背景下数据安全犯罪的刑法规制思路》,载《法学论坛》2019 年第2 期,第27-36 页。。利用计算机信息系统安全来保护网络数据安全,不仅是将网络数据看作计算机信息系统可用并存储和处理的对象,而且是把计算机信息系统安全等同于网络数据安全。但是,随着数据时代的到来,特别是云计算技术的发展,数据已经在技术层面与计算机信息系统相分离。一是在大数据时代,数据和业务系统都迁移到了云计算平台,数据动态安全开始凸显出来,导致对数据和计算机信息系统的任何一种非法控制、破坏行为必然会直接危害到网络资源的安全。可见,在大数据时代,数据和计算能力都分别与物理系统脱离,成为独立维度。〔41〕参见李源粒:《破坏计算机信息系统罪“网络化”转型中的规范结构透视》,载《法学论坛》2019 年第2 期,第37-48 页。在类似情形下,被侵害的可能并非计算机信息系统,而是网络数据本身。二是在大数据时代,数据从个人控制转向社会控制,对于数据而言,数据的权利人不存在“所有”或“占有”,仅存在“能够知悉”权利的状态。对于大数据,应当针对其数据的本质,即针对数据特征,以数据基本原理为依据设定数据安全犯罪基本行为规范,应当独立建立以数据安全为基础的网络数据安全犯罪规范体系,“实现从电脑特质向数据特质的转向”。然而,在“秩序本位”网络数据安全犯罪规范体系下,计算机信息系统对网络数据工具价值安全的保护模式是以物权为基础的,即权利人对数据享有永久的、完全的占有、使用、收益和处分等排他性权利。这种保护“基本上是按照物理空间思维来‘外在化’地笼统设定犯罪构成,并不是以网络数据属性和智能互联网的运行逻辑来‘内在化’地设定犯罪构成”〔42〕马长山:《迈向数字社会的法律》,法律出版社2021 年版,第46 页。,即一种立足物理空间的规范评价,评价的是几十台乃至几百台计算机信息系统的损害,其仍然仅具有电脑特质。基于此,刑法理论和司法实践应该开始倡导并充分重视大数据时代网络数据安全犯罪对象的非物质性。
2.“秩序本位”使罪量在网络数据安全犯罪构成中具有过高权重
通常认为,数据作为计算机语言,其独特价值体现在技术属性上。因此,“数据以数字化的形式存在于计算机信息系统中,被计算机信息系统所物理性地识别”〔43〕吴祈泫:《非法获取数据行为的刑事规制》,载《北京警察学院学报》2022 年第3 期,第29-34 页。。除此之外,数据还可以记录一定的信息,指向特定的内容,与各种社会利益相联结,形成了错综复杂的纯正网络数据安全犯罪与侵犯传统法益犯罪之间的关系。其中,行为引起的经济损失和犯罪人的违法所得是保持这种复杂关系的纽带,即网络数据安全犯罪的构成需要满足罪量要素。例如,2011 年,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》就明确了构成“计算机信息系统安全类犯罪”需要满足一定的罪量要素。可见,虽然在最初的计算机单机应用时代,无论是数据还是系统运行的计算能力,都只能在物体设备中实现,行为引起的经济损失和犯罪人的违法所得等罪量要素完全可以作为数据安全犯罪的中心,但是,进入数字与网络相结合的大数据时代,行为引起的经济损失和犯罪人的违法所得等罪量要素不能成为网络数据安全犯罪的中心。
其一,在大数据时代,一个辐射全社会的网络数据治理系统正在逐渐形成,网络数据治理思维应由“计算机信息系统安全的管理秩序”转向“网络数据价值安全”。大数据时代,任何一种非法侵入获取、泄露和处理数据的行为,如果情节严重都将直接导致整个网络系统的瘫痪。故,网络数据价值安全已经成为影响大数据时代经济发展、社会生活乃至国家治理的重要因素,形成了新型“网络数据价值安全法益”。例如,在“孙某破坏计算机信息系统案”〔44〕参见江苏省宿迁市中级人民法院(2012)宿中刑终字第0042 号刑事裁定书。中,孙某行为对数据造成的危害性就体现在所造成的经济损失24000 元或者是涉案金额14.425 万元上吗?自人类文明形成开始,人类惯于设定标准来调整社会行为。其中,经济损失是常用的标准之一。但是,进入大数据时代,随着数据各类价值的凸显,数据脱离了计算机信息系统,数据与传统法益依附关系被打破,数据具有了独立的法益。换言之,在大数据时代形成了“当一个行为被实施时,必然受到侵害的数据法益未遭到侵害,反而另一个相关数据法益却遭到侵害”〔45〕麦买提·乌斯曼:《非法获取一般网络数据行为的刑法规制》,载《中国人民公安大学学报(社会科学版)》2022 年第5 期,第70-80 页。的非线性相关关系,致使行为对象与保护法益相分离。因此,侵害数据的行为对社会造成的损害不能通过经济损失来衡量,如果仍然坚持经济损失罪量要素,那么,将无法对新型网络数据价值安全的侵害行为进行合理规制。
自然质量分运算包括“因素法”与“样地法”,具体操作中常采取“因素法”。“因素法”的运算前提是“立地条件”、“土壤环境”以及土壤管理效果等多种因素指标。这类指标能够比较全面的体现耕地质量级别情况,但这类指标信息的采集却要消耗大量人力与物力,难以实现及时动态测定。而且,有些指标是在长时间地质过程与耕种环境下出现的,在无更大的自然和人为因素影响时是比较稳定的,能够在第一次采集基础信息后削弱对它们的及时动态测定。
其二,随着云计算的出现,网络数据运行安全与计算机信息系统数据运行安全复杂交错。在大数据时代,由于计算能力强大,数据和业务系统都迁移到了云计算平台,导致对数据和计算机信息系统的任何一种非法控制、处理行为必然会直接危害到网络资源的安全,而这种网络资源的危险反过来又引起了计算机信息系统安全的侵害危险。可见,在大数据时代,数据和计算能力都分别与物理系统脱离,成为独立维度。〔46〕参见李源粒:《破坏计算机信息系统罪“网络化”转型中的规范结构透视》,载《法学论坛》2019 年第2 期,第37-48 页。故而,构成计算机信息系统类犯罪的罪量要素难以成为网络数据安全犯罪的犯罪构成要件要素。例如,“孙某破坏计算机信息系统案”中,被告孙某的违法所得并不能准确说明车辆违章数据价值安全的侵害程度,违法所得不是本案定性考虑的重点。
四、网络数据安全犯罪规范体系的“价值本位”重构
大数据时代的核心是数据,数据化深刻改变了生产方式、生活方式和社会治理方式。网络数据安全犯罪是数字技术发展到一定程度的新生样态,属于大数据时代的新生事物。从“秩序本位”网络数据安全犯罪规范体系所面临的现实挑战与逻辑反思来看,网络数据安全犯罪规范体系需要应然性调整和规范性重构。
(一)网络数据安全“价值本位”范式:网络数据安全犯罪规范体系的应然性调整
体系是指“对整个法律秩序的与决策对象有关的规范进行总体性的并且尽可能不矛盾的梳理”〔47〕[德]伯恩·魏德士:《法理学》,丁晓春、吴越译,法律出版社2013 年版,第65 页。。因此,规范之间的和谐就是规范体系的“系统化”原则。“秩序本位”网络数据安全犯罪规范体系在网络数据价值安全保护方面不和谐,需要对规范所追求的目的进行调整。
1.网络数据安全“价值本位”契合网络数据价值利用的机理
其一,在大数据时代,数据化是人们理解自身与社会行为的新范式。在数字网络技术高速发展并成为人们日常生活重要构成部分的今天,人们已经开始自主地选择以数据化的方式来认识和处理自己的日常生活。例如,通过直观的数据收集与算法统计,可穿戴设备为用户提供了一个最佳的行动方案,用户要找到“更好的自己”就应当遵守这一方案,即“可穿戴设备为自我授权、自我管理和自我提升提供了最佳的条件”。所以,在大数据时代,“用数据说话已成为认知世界的一种方法”〔48〕刘红、胡新和:《数据革命:从数到大数据的历史考察》,载《自然辩证法通讯》2013 年第6 期,第33-39、125-126 页。,即数据化成为人们理解自身与社会行为的新范式,变成了一个根本性的问题。〔49〕参见林建武:《数据主义与价值重估:数据化的价值判断》,载《云南社会科学》2020 年第3 期,第45-51 页。
其二,在大数据时代,数据与信息彼此完全脱离,数据本身具有独立的保护意义。网络数据安全犯罪的保护法益已非纯粹依附于“计算机信息系统安全”的技术性范畴,也超出了物权保护的范畴,其包含了数字网络社会某些重要的利益和价值观,〔50〕参见[德]乌尔里希·齐白:《全区风险社会与信息社会中的刑法:二十一世纪刑法模式的转换》,周遵友、江溯等译,中国法制出版社2012 年版,第303 页。即“公众对数据存储状态及其内容的信赖感”〔51〕杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019 年第6 期,第151-171 页。。因为,在大数据时代,如果公众丧失对数据存储状态及其内容的信赖感,则必然影响数据的流通。由此,网络数据本身也成为先验存在的客观事物,完成了从量变到质变的过程,通过规模剧增改变了现状,即数据变成大数据,成为科技革命与社会变革的新功能。换言之,网络数据不同于静态的计算机信息系统中的数据,也不同于内容数据,其本身价值远超于数据内容价值和工具价值。故,在大数据时代,网络数据价值安全法益是指由数据内容价值安全法益、工具价值安全法益和本身价值安全法益组成的一个“法益群”,各类数据价值安全都需要刑法的保护,网络数据安全犯罪规范体系由侵害上述各类价值安全法益的犯罪构成。
解读计算机信息系统类犯罪的立法原意可以发现,自设立计算机信息系统类犯罪之初,该类罪以计算机信息系统为规制对象,并且以保护计算机信息系统安全秩序法益为本位,更加契合当时刑法罪名体系。但是在大数据时代,计算机信息系统类犯罪呈现出的“口袋化”趋势,从另一方面解释了在数据社会司法实践中,网络数据价值的技术属性判断仍未被法律属性判断所替代,网络数据背后的数据价值法益实质依然被忽略。然而,从法秩序的和谐来看,我国现行法律体系明确了对数据安全、个人信息、商业秘密、计算机信息系统的保护,分别制定了《数据安全法》《个人信息保护法》《反不正当竞争法》《保守国家秘密法》《网络安全法》《计算机信息系统安全保护条例》《民法典》等。同时,《刑法》也根据所保护的网络数据价值安全的种类规定了“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据罪”“破坏计算机信息系统罪”“侵犯商业秘密罪”“侵犯公民个人信息罪”等罪名,尽量使《刑法》与前置法相呼应,形成了一套以网络数据价值安全为核心的法律规范体系。因此,将网络数据价值安全定位为网络数据安全犯罪保护法益,符合法秩序和谐原则。此外,我国《刑法》不断在新增和修改相关网络数据安全犯罪的内部罪名体系,也说明网络数据的刑法属性正体现在网络数据价值安全上,即网络数据具有工具价值安全、内容价值安全和本身价值安全等多重维度。
3.网络数据安全“价值本位”符合刑法谦抑性要求
其一,“数据犯罪方式是数据安全风险在不同侧面的类型化表达”〔52〕杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019 年第6 期,第151-171 页。。故,网络数据安全犯罪的行为要件要以侵害的不同数据价值安全来予以解释。例如,“非法获取计算机信息系统数据罪”侵害了数据内容价值安全,而“破坏计算机信息系统罪”侵害的是计算机信息系统的正常运行状态,即网络数据的工具价值安全。因此,如果不深入考虑法益侵害的实质,将那些对数据本身价值安全造成损害却未对计算机信息系统的正常运行状态造成损害的行为定性为“破坏计算机信息系统罪”,不仅没有解释网络数据背后的法益本质,而且还扩大了计算机信息系统类犯罪的规制范围,即一种“口袋化”现象。如若将网络数据安全犯罪的法益定位为网络数据价值安全,侵害网络数据不同价值的行为可能会留待《数据安全法》《个人信息保护法》《反不正当竞争法》《保守国家秘密法》《网络安全法》《计算机信息系统安全保护条例》《民法典》调整,恰好符合了刑法的谦抑性要求。
其二,当前司法实践中,对于网络数据安全犯罪行为的后果,普遍采用“违法所得”“经济损失”“系统数量”等数额标准。换言之,我国《刑法》中的网络数据安全犯罪“不是行为犯或危险犯,而是结果犯或情节犯,需要达到‘情节严重’”〔53〕高铭暄、孙道萃:《网络时代刑法解释的理论置评与体系进阶》,载《法治研究》2021 年第1 期,第22-37 页。。根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,不论是第1 条“非法获取计算机信息系统数据罪”还是第4 条“破坏计算机信息系统罪”,其罪名认定主要是从非法控制或破坏的计算机信息系统的台数以及违法所得和经济损失等要素来加以评价衡量。对归类为扰乱社会秩序类犯罪的“非法获取计算机信息系统数据罪”和“破坏计算机信息系统罪”的评价使用财产类犯罪的评价因素,加之“违法所得五千元以上或者造成经济损失一万元以上”的极低入罪门槛,除使计算机信息系统类犯罪与盗窃之间的界限更加模糊之外,还造成了计算机信息系统类犯罪“口袋化”趋势的进一步扩大。
(二)具体策略性重构:基于网络数据“价值本位”独立保护网络数据价值安全
对于“秩序本位”网络数据安全犯罪规范体系而言,针对数据内容价值安全的信息网络安全犯罪、信息安全犯罪和针对数据工具价值安全的计算机信息系统安全犯罪基本上处于齐头并进的状态。但是,随着数据价值的增加,网络数据安全犯罪与上述类型犯罪的错位越来越明显,即刑法规定与网络数据安全犯罪的脱节越来越严重。因此,在大数据时代,传统网络数据安全犯罪规范体系亟待更新或者补充,有必要建立一个更加完善、合理的网络数据安全犯罪规范体系。
1.网络数据安全犯罪规范体系补充新的规范内容
“秩序本位”网络数据安全犯罪规范体系除既有规范未能提供合理的解决方案之外,还成为司法实践“适用不足”的直接原因。故,“秩序本位”的网络数据安全犯罪规范体系亟待合理化和严密化。在大数据时代,除了数据的范围已经不同于信息,数据也已不是计算机信息系统处理的静态对象,其早已与计算机信息系统脱离,数据本身的价值早已超过数据对计算机信息系统的工具价值和数据的内容价值。故,网络数据安全犯罪规范体系必须补充保护网络数据本身价值安全的新规范。
其一,借鉴域外立法思路,完善网络数据安全犯罪规范体系。考察当今国际社会的刑事立法,不难发现各国立法有一个共同的趋势,即各国“以附属刑法或者增设罪名等方式强化了数据安全的独立地位”〔54〕蔡士林:《我国数据安全法益保护:域外经验与立法路径》,载《深圳大学学报(人文社会科学版)》2022 年第6 期,第97-106 页。。例如:1986 年,德国联邦议会通过《第二部打击经济犯罪法》增设了“窥探数据罪”“数据变更罪”等;2007 年,《德国刑法典》增设了“截获数据罪”“截获数据罪的预备罪”,并在数据变更罪中新增预备行为的处罚;2015 年,德国在《通信数据的存储义务与最长存储期限引入法》又新增了“窝藏数据罪”。1994 年,《法国刑法典》规定了“侵犯资料自动处理系统罪”,但是2015 年新修改的《法国刑法典》把此罪修改为“侵犯数据自动处理系统罪”。此外,欧盟《网络犯罪公约》在第5 条规定了“系统干扰”行为,即“任何电脑资料的传送,只要其传送方法足以对他人电脑系统构成‘重大不良影响’时,将会被视为‘严重妨碍’电脑系统合法使用”。根据该条文,利用电脑系统传送电脑病毒、蠕虫、特洛伊木马程序或滥发垃圾电子邮件将构成“系统干扰”的行为。但是,欧盟《网络犯罪公约》并未停留在信息系统安全的保护上,其在第4 条又规定了“资料干扰”行为,即“任何故意毁损、删除、破坏、修改或隐藏电脑资料的行为”。虽然该条文规定的侵害对象是计算机信息系统中的数据,但是设置该罪名确保了数据的正确性和电脑程式的可用性。综上,这些国家和地区对数据安全进行独立的刑法保护,对我国而言是一种经过检验的立法思路。由此,我国在《刑法》中也应该试着增设一些新的罪名。例如,我国《刑法》第286 条第2 款规制了“删除、修改、增加”计算机信息系统中存储、处理或传输的数据并造成严重后果的行为,将其定性为“破坏计算机信息系统罪”。此种定性就是把动态网络数据的价值安全与计算机信息系统功能安全混为一谈。为了更好地保护网络数据本身价值安全,可以增设补充新的罪名,如“非法删除、修改、增加网络数据罪”。〔55〕参见刘宪权:《“互联网3.0”时代计算机系统犯罪刑法规制的重构》,载《华东政法大学学报》2022 年第5 期,第67-78 页。
其二,放弃“秩序本位”,增设专章“危害数据安全犯罪”,对新型网络数据安全侵害行为进行规制。在“秩序本位”网络数据安全犯罪规范体系下,规制网络数据安全犯罪方面存在结构性缺陷,即将规制的重点仅仅放在附属于计算机信息系统的“获取型”“破坏型”侵犯数据安全的行为。但是,在大数据时代,刑法对网络数据安全的保护“不应该停留在这种技术层面,而应上升至所表征的权利内容”〔56〕杨志琼:《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,载《法学评论》2018 年第6 期,第163-174 页。,即一种法益被刑法以规范的形式确定下来,除要遵循法益保护的规范目标以满足合法性之外,还要确定规范的责任违反内容。这就需要将数据危险具体化到法益侵害实质特征上,将整体数据危险不断具体化。与此同时,从国际比较法层面来看,国际上具有代表性的国家,例如美国和日本等,其刑法也未把网络数据安全犯罪限定在公共秩序范畴之内。美国《计算机欺诈和滥用法》中对破坏计算机的行为进行了规制,其中并未涉及扰乱公共秩序的要素。〔57〕参见王华伟:《破坏计算机信息系统罪的教义学反思与重构》,载《东南大学学报(哲学社会科学版)》2021 年第6 期,第93-104 页。日本《刑法》第234 条之二也规定了损害电子计算机等妨害业务罪。〔58〕但是,有学者认为,该罪保护的法益是电子计算机业务的顺利进行。参见[日]大谷实:《刑法各论》(新版第2 版),黎宏译,中国人民大学出版社2008 年版,第136 页。因此,我国《刑法》也应该在分则部分增设“危害数据安全犯罪”专章,〔59〕参见王惠敏:《网络数据安全独立性之提倡及其刑法展开》,载《法治研究》2023 年第3 期,第117-131 页。根据数据生存的六个阶段周期〔60〕数据生存周期分为数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁。参见《信息安全技术 数据安全能力成熟度模型》(GB/T 37988—2019)第5.4.1 条与第5.4.2.1 条。分别设定罪名。例如,“破坏计算机信息系统罪”中的“删除、修改、增加”行为是发生在数据处理过程中的破坏行为,如果三种行为导致了《刑法》第286 条第1 款、第2 款设定的计算机信息系统不能正常运行的情况,以“破坏计算机信息系统罪”定罪处罚符合罪刑法定原则。但是,在“删除、修改、增加”数据处理行为未对计算机信息系统运行安全造成破坏的情况下,就对网络数据的删除行为可以增设“非法破坏网络数据罪”,就通过“修改、增加”等数据处理行为进行深度伪造〔61〕比如,APP Store 中“ZAO”“AI 换脸”“FaceApp”都是非法使用公民个人信息的深度伪造数据的例子。可以增设“非法使用网络数据罪”。同时,还要注意帮助犯的正犯化问题。为了进一步加强网络数据安全,对那些为“删除、修改、增加”数据的行为提供帮助的行为也应当加以正犯化,可增设“非法提供网络数据罪”。〔62〕参见王惠敏:《网络数据安全独立性之提倡及其刑法展开》,载《法治研究》2023 年第3 期,第117-131 页。
2.设置实行行为的认定标准和利用证明规则指引司法实践
立法者并非全知全能,在任何社会中仍存在着立法不足的现实。但是,在短期内对《刑法》计算机信息系统犯罪作全面修改几无可能的背景下,罪名司法确定的模式仍将延续。〔63〕参见喻海松:《罪名司法确定的实践逻辑与理论探究》,载《法学》2021 年第10 期,第80-93 页。因此,在大数据时代,刑事司法对各类网络数据安全犯罪的解释要结合时代特点与要求,即“要以大数据思维指导认识网络数据自身的价值安全保护的必要性,适应大数据时代刑法司法适用的现实需求”〔64〕黄晓亮:《从虚拟回归真实:大数据时代刑法的挑战与应对》,载《中国政法大学学报》2015 年第4 期,第54-63 页。。
首先,计算机信息系统数据的内涵与边界要廓清,强化网络数据价值安全的独立保护。“秩序本位”网络数据安全犯罪规范体系下,计算机信息系统安全是网络数据安全的前提。因为,数据是在计算机中储存、处理与传输的。也就是说,在“秩序本位”网络数据安全犯罪规范体系下,数据是载体,“相应的数据犯罪实际上是以数据作为媒介和工具的传统犯罪”〔65〕刘宪权:《“互联网3.0”时代计算机系统犯罪刑法规制的重构》,载《华东政法大学学报》2022 年第5 期,第67-78 页。。但是,在大数据时代,数据的价值已经超越了计算机信息系统的价值,数据安全犯罪规制的终极目标早已不是保护计算机信息系统的安全,反而整个计算机信息系统作为一个“系统的整体资讯”〔66〕刘宪权:《“互联网3.0”时代计算机系统犯罪刑法规制的重构》,载《华东政法大学学报》2022 年第5 期,第67-78 页。成为网络数据安全犯罪中的“数据”。所以,利用计算机信息系统类犯罪难以规制信息社会中的网络数据安全犯罪。换言之,大数据时代,网络数据安全犯罪的数据并不等于计算机信息系统数据,其范畴早已超越传统法益载体。
其次,要设置实行行为认定标准,完善构成要件。应当承认,在“秩序本位”网络数据安全犯罪规范体系下,侵害计算机信息系统安全是网络数据安全犯罪的行为类型之一。因此,破坏计算机信息系统正常运行认定标准的设置理应非常合理。例如,《刑法》第286 条第2 款对“破坏计算机信息系统罪”构成要件行为采用了“删除、修改、增加”等表述,除此之外,该条文没有明确上述行为造成了“计算机信息系统不能正常运行”。因此,《刑法》第286 条第2 款规定的“删除、修改、增加”等数据处理行为仅仅是一种“篡改行为”而非“破坏行为”。如果此时没有明确的破坏计算机信息系统正常运行的认定标准,那么这种单纯侵害数据完整性,即数据本身价值安全的数据处理行为就被认定为“破坏计算机信息系统罪”,显然与破坏计算机信息系统罪的基本属性格格不入。故,为了引导司法实践,避免实践中侵害数据本身价值安全的行为被错误地定性为“计算机信息系统类犯罪”,应结合计算机专业技术人员的指导意见,增设破坏计算机信息系统正常运行的认定标准,并在司法解释中加以明文规定,从而凸显对网络数据价值安全的独立保护。
最后,利用证明规则修改行为归责错误,区分此罪与彼罪。“秩序本位”网络数据安全犯罪规范体系下,在侵害网络数据价值安全的行为是否构成“计算机信息系统类犯罪”因果关系认定中,司法机关要严格区分事实判断问题与规范评价问题,根据不同的案件具体情况进行判断。
第一,如果一般情况下主要依据证据法的证明规则能够证明,侵害数据本身价值安全的行为确实造成了计算机信息系统不能正常运行,应属于事实判断问题;如果一般情况下不能查明,无法得出精确结论,只能得出概率性结论,则应属于规范评价问题。例如,最高人民检察院颁布的指导性案例“李骏杰等破坏计算机信息系统案”(检例第34 号)中,被告人非法侵入计算机信息系统的程序对系统内中差评数据进行删减的行为是否导致了系统不能正常运行,在没有足够证据法上的证据证明的情况下,这种非法侵入系统删除数据的行为应属于规范评价问题。当前这种“流量作弊型”犯罪,通常由删除者通过租用大量真实账号进入系统操作,此类行为无法为传统非法侵入类计算机犯罪所容纳;而且在数字时代,“流量作弊型”犯罪直接侵害的对象已经从电子商务平台扩展到了整个数字网络社会,其已经严重偏离扰乱市场秩序罪的规范保护目的,非法利用新型网络犯罪的规范基础也已消失,需确立符合数字时代的基于“数据价值”范式的评价规范来归责,否则违反罪刑法定原则和罪责刑相适应原则。
第二,事实判断与规范评价在刑法因果关系中有先后顺序,即事实判断在前、规范评价在后,如果事实判断通过证据法的证明规则尚不能得出确切的结论,那么在此基础上的规范评价也就难以划分责任。例如,在“顾某盗窃案”中,法院对《刑法》第286 条第2 款进行了非常严格的限缩性解释,即被告人行为未造成计算机信息系统不能正常运行,并最终认定被告人的行为构成“盗窃罪”。但是,仔细分析可知:一是实践中相当一部分网络虚拟财产罪以一定的网络破坏性手段为前提;二是被告人的这种增加数据行为,只是对虚拟财产的发行机制造成了影响,无法过证据规则证明其造成了系统不能正常运行。总之,在事实判断尚未确证的情况下进行原有规范基础上的规范评价必然会导致归责方面的错误,因此需通过刑事立法设定新的罪名,否则将违反罪责刑相适应原则。
五、结语
针对我国网络数据安全犯罪规范体系所面临的困境,确立网络数据“价值本位”的“网络数据价值安全法益”,对重构网络数据安全犯罪规范体系尤为重要。同时,这也是建立计算机信息系统安全犯罪、信息安全犯罪和网络数据安全犯罪协调监管模式的前提。在修改《刑法》现有规定并重构网络数据安全犯罪规范体系之时,立法要充分借鉴域外相关国家有关网络数据安全犯罪的罪名设定,而刑事司法要结合时代特点与要求对计算机信息系统类犯罪进行重新解释,使罪名司法确定更为明显。
