数据爬取行为刑事不法认定的应然转向
2024-05-09智逸飞
智逸飞
(云南大学 法学院,云南 昆明 650091)
数据资源的价值在当代社会犹如经济发展的智能引擎,因此数据检索技术也随之向着更高效的方向不断变革。网络爬虫已成为近年来最具代表性的数据收集技术,它是一种根据特定规则抓取万维网页信息的程序或脚本,能够凭借短时间内偌大的爬行范围和数量,更好地满足特定人群对特定领域信息的需求[1]。但是,在网络爬虫作为一种新兴技术被广泛应用于互联网访问的同时,其蕴含的风险也因为一些使用者的恶意运用而凸显出来,使相关数据主体的权益遭受严重侵犯。就我国《刑法》的规制现状来看,当前已有构成侵犯公民个人信息罪(1)参见河南省济源市人民法院(2018)豫9001刑初503号刑事判决书、湖南省怀化市鹤城区人民法院(2019)湘1202刑初530号刑事判决书等。、侵犯著作权罪(2)参见上海市浦东新区人民法院(2014)浦刑(知)初字第24号刑事判决书、北京市海淀区人民法院(2020)京0108刑初237号刑事判决书等。与非法获取计算机信息系统数据罪(3)参见杭州市余杭区人民法院(2014)杭余刑初字第1231号刑事判决书、北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书、深圳市南山区人民法院(2020)粤0305刑初1037号刑事判决书、北京市朝阳区人民法院(2020)京0105刑初2594号刑事判决书等。的相应判决。在这些适用的罪名中,侵犯公民个人信息罪和侵犯著作权罪由于相关客体较为明确,受损害的法益不难判断,故相对来看适用争议较小;而非法获取计算机信息系统数据罪作为适用最多的罪名,在数据爬取行为定罪中的适用颇具争议。主要原因在于,作为该罪客体的“数据”,是几乎可以囊括计算机信息系统中一切内容的存在形式;而作为新兴的数据犯罪保护法益,即数据安全法益,司法实务中存在对其内容理解空泛、弱化其指导价值的问题,使得该罪成为违背刑法规范保护目的的“口袋罪”。因此,本文以对数据爬取行为定罪中的非法获取计算机信息系统数据罪为中心,力求实现数据爬取行为入罪重心的规范转向,重塑数据爬取入罪的主客观标准。
一、数据爬取行为的入罪误区:症结与诊视
数据爬取行为的入罪研究近年来在理论界形成的主要观点如下:使用网络爬虫违反合约授权仅承担民事责任,但故意避开或强行突破网站技术措施要承担刑事责任;同时,抓取开放数据无须承担法律责任,抓取限制重新使用的数据需承担民事责任,抓取限制访问、获取的数据要承担刑事责任[2]。还有相似观点认为,网络爬虫未经授权或超越授权爬取他人数据的行为属于“非法获取”,“情节严重”时构成非法获取计算机信息系统数据罪,并认为反爬意愿的强弱和数据开放的程度都属于能够影响刑事责任大小的因素[3]。另有观点认为,如何界定访问的“非法性”是判断爬取行为正当性的重要依据,非法性的核心在于突破了计算机信息系统的安全机制,对计算机信息系统安全构成了威胁[4]。但是,仍以计算机信息系统安全作为数据犯罪的保护法益已经明显滞后于打击数据犯罪的现实需求。例如,以计算机信息系统安全作为数据犯罪的保护法益时,对数据的篡改、泄露、窃取、破坏、滥用行为必须同时引起计算机信息系统不能正常运行,才构成数据犯罪,但大数据时代的数据犯罪即使不干扰计算机信息系统的正常运行,也会对国家安全、公共利益与组织、个人的合法权益造成严重影响。还有学者指出:“突破反爬措施爬取数据的行为虽具有一定的社会危害性,但将其解释为侵入计算机信息系统而非法获取数据,确有‘司法犯罪化’之嫌。”[5]此观点相较于前述观点有较为明显的不同之处,但论者在文中并未提出更为合理的判断数据爬取行为刑事不法性的标准用于指导解决其发现的问题。司法实践中,也多以违背数据主体的意愿规避、突破技术保护措施作为认定爬取行为刑事不法的根据。全国第一例网络爬虫入刑案即“上海晟品网络科技有限公司非法获取计算机信息系统数据案”的判决书中,就指出:“被告采取了绕过或突破受害单位反爬虫安全措施的技术手段,未经许可进入受害单位的计算机系统,构成非法获取计算机信息系统数据的犯罪行为”(4)参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。。“马某某等非法获取计算机信息系统数据案”的裁判要旨也指出:“网络爬虫技术使用的合法性基础是数据提供者知情、同意,行为人未经授权,避开或突破系统保护措施使用网络爬虫技术非法获取普通用户计算机信息数据的,构成非法获取计算机信息系统数据罪。”(5)参见扬州市经济技术开发区人民法院(2019)苏1091刑初157号刑事判决书。
可见,当前学界和实务对数据爬取行为触犯刑法较为有力的认识是,以行为人有无避绕、突破数据管理者设置的技术保护措施作为非法获取计算机信息系统数据罪的“非法”行为。质疑这种认识的观点并没有进一步深入探讨,得出更为合理的判断标准。本文的基本立场是,对数据爬取行为刑事不法的认定不应偏重于行为手段上的突破技术措施。原因如下。
第一,容易导致刑法保护对象发生偏误。新兴的数据安全法益的内容,包括数据的保密性、完整性和可用性[6]。如果认为只要稍有动摇数据保密性、完整性、可用性的状态,就属于侵犯了作为法益保护对象的数据安全,那么其实是在保护数据主体对其管辖之下数据的绝对控制力,如此会变相使得对数据爬取者有无触犯刑法、是否要追究刑事责任的评价掌控在数据主体手中,将数据的保密性变异为数据主体的隐私利益。绝大多数数据的价值在共享和流动中才得以发挥。数据安全法益之所以强调数据的保密性,是因为部分密切关系到数据主体当前或未来权益的数据,一旦被窃取、泄露,会严重危害到数据主体的利益和声誉。故不是对任何数据都必须以保密性为由而加以保护,具有保密性的数据必定是具备一定的重要性和价值,能形成一定影响力的数据。
第二,抽空了数据犯罪的法益内容,架空了法益的构成要件解释机能和违法性评价机能。依前述逻辑,以行为方式的不法性作为判断数据爬取刑事不法的前置要件,那么当这一行为方式不存在时,例如,数据主体对其管辖的数据没有完全封锁,而是采用协议形式告知用户使用数据的权利边界,待用户确认之后才向其开放相关数据,用户如果违反协议规定爬取数据,对数据主体造成重大损失,能否成立数据犯罪?抑或行为人取得了数据主体的授权,在数据主体“知情同意”的情况下获取相关数据,但之后由于对数据的滥用,使数据主体遭受了巨大损失。滥用数据的社会危害性明显大于爬取数据的行为,此种情形能否以数据犯罪来规制?如果对这两种情形的刑事非法性都持肯定态度,也就因应了对数据爬取行为刑事不法性的判断是存在一套值得发掘的客观标准的。又由于犯罪的本质是侵犯法益,而刑法的任务是保护法益,那么这套客观标准就必定是以数据承载的重要利益为中心的法益,这也是数据安全法益构建的应有之义。作为数据犯罪保护法益的数据安全法益,应有的机能就是指导解释某一针对数据的篡改、泄露、窃取、破坏、滥用行为是否构成数据犯罪,将不属于犯罪的篡改、泄露、窃取、破坏、滥用数据的行为排除出刑法规制范围。但如果是把规避、突破技术保护措施作为爬取数据刑事不法性的判断依据,对数据本身的重要性与价值不加要求,那么就相当于数据安全法益无任何具体内容,以至于无从发挥这一机能。
第三,抑制数据公共价值的释放,引起不良的社会效应。如果把判断数据爬取行为刑事不法的重心放在行为方式上,恐会产生的社会影响是,各市场经济的主体为了防止竞争对手获悉自己经营过程中的数据,强化对己方数据的封锁。大数据时代,市场主体将他们期待获得的数据资源比作是亟待开采的原油,数据通过交互、共享,被市场主体重组、开发、分析、利用之后,其作为公共产品的价值才会愈发凸显和释放[7]。但若是数据在社会和市场中不进行流通与分享,形成一座座数据孤岛,则阻碍的是科技创新和国家综合实力的提升。《数据安全法》第7条规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”所以,国家保护数据的一个重要目的是为数据依法有序自由流动创造条件,不是为了绝对的数据安全而限制流动。此外,如果数据主体都把数据封禁在自己有限的区域内,那么对于防控数据犯罪而言,恐不会有效遏制,反而变相滋生、加剧不正当竞争趋势。故正确的做法是使数据的使用价值充分发挥和保障数据安全处于相对平衡的状态。
综上可知,为避免数据保护的泛安全化,数据安全法益的构建不能忽视数据本身的重要性与影响力。从维护《刑法》罪刑体系的严谨协调角度来看,非法获取计算机信息系统数据罪与侵犯商业秘密罪、侵犯著作权罪、侵犯公民个人信息罪,即非法获取特殊类型的数据所成立罪名的基础法定刑一致。对此,笔者认为,作为数据安全法益客体的数据不是普通数据,只有危害到价值不菲、利害相关的数据才是对数据安全法益的侵犯,才能够合理解释。
二、数据爬取入罪的客观证立:数据安全法益的建构与侵犯类型界定
数据安全被认为是“最重要的新型刑法法益,应当确立其独立地位”[8]。数据安全法益包括数据的保密性、完整性和可用性。数据的保密性是指数据免受未授权人探知、获悉或使用的状态;数据的完整性是指数据不被篡改或损坏的状态;数据的可用性,是指权利人能及时、有效地获取、使用数据的状态[9]。笔者认为,数据的保密性、完整性和可用性属于数据安全法益的形式面向,反映的是数据本体状态安全的重要性;数据安全法益最重要的是其实质面向,也就是通过保护数据的保密性、完整性、可用性而保护数据承载的现实利益,即数据被篡改、破坏、泄露、非法获取、非法利用后对国家安全、公共利益、组织与个人的合法权益造成的威胁或损害才是刑法数据安全法益保护的重心。
(一)数据安全法益的重要依据:数据分类分级的刑法保护模式例证
关于如何确定值得被刑法法益保护的数据重要性程度,笔者认为,可以数据分类分级保护为基础构建数据安全法益。第一,符合法秩序统一性的规范要求。《数据安全法》第21条第1款规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”第3款规定:“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”既然《数据安全法》已把数据分类分级作为保护数据安全的重要根据,可将之看作是《数据安全法》作为前置法对《刑法》的启示,《刑法》也需要对《数据安全法》做出回应。第二,数据分类分级以数据的重要程度和一旦遭到篡改、破坏、泄露或者非法获取、非法利用造成的危害程度为重要依据,与刑法法益的价值倾向相契合。法益关注不法行为对值得保护的利益的威胁或侵害,是特定行为入罪的实质标准,也是刑罚正当化的前提[10]。数据分类分级后,国家安全、公共利益或个人、组织的合法权益可能遭受的危害程度是构建刑法法益的适格依据。法益不保护微小利益,可将安全等级低、不值得刑法保护的数据通过数据的分类分级排除出法益客体范围。
数据分类,是根据数据的属性进行区分和归类,通过明确数据的本质、属性、权属及相关关系,了解各个数据如何被使用,确定哪些数据属于何种类别。数据分级,是按照一定的分级原则对分类后的数据进行定级[11]。数据分类分级对数据刑法保护的意义是,在筛选出各类型囊括的所有数据中,达到一定安全等级的数据才值得被刑法所保护,明确侵犯数据安全法益的行为特征,为制裁数据犯罪提供基本依据。
本文根据数据犯罪针对的不同主体及《数据安全法》第21条的表述,将数据类型分为国家安全数据、公共利益数据、组织合法权益数据、个人合法权益数据,根据数据遭到篡改、破坏、泄露或非法获取、非法利用后对国家安全、公共利益、组织与个人合法权益的危害性对分类后的数据确定安全等级,为数据分类分级的刑法保护提供一个示例。
作为数据类型的国家安全数据,是指与国家政权稳固、领土主权、民族团结、社会和经济稳定等密切相关的数据;公共利益数据指的是与生产经营、教学科研、医疗卫生、公共交通等社会秩序和民众的政治权利、人身自由、经济权益等紧密联系的数据;组织合法权益数据,是与企业或其他组织的生产运营、声誉形象等相关联的数据;个人合法权益数据,是与个人敏感信息、人身和财产安全、人格尊严、个人名誉等有关的数据[12]。数据分级要根据数据被篡改、破坏、泄露、非法获取、非法利用后的影响范围和影响程度来进行考虑。可将数据安全级别由低至高分为L1、L2、L3、L4级,分别指代无危害或者危害程度可忽略、轻度损害、较大损害与严重损害[13]。其中,涉及国家安全的数据被篡改、破坏、泄露或者非法获取、非法利用,造成的损害必定具有严重性,只能以L4级来指代。
作为数据分级考虑因素的影响范围,可包括三种情形。较小范围指数据发生被篡改、破坏、泄露、非法获取、非法利用后,影响的规模同时满足以下情形:(1)不影响国家安全;(2)仅影响个别组织,但不涉及公共利益;(3)影响的自然人不超过一定数量。其中影响的自然人不超过一定数量是指:①高敏感数据影响不超过50人;②较敏感数据影响不超过500人;③低敏感数据影响不超过5000人(6)根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,高敏感数据,指自然人的生物特征信息、行踪轨迹信息、通信内容、征信信息、财产信息等;较敏感数据,指住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的信息等;低敏感数据,指除高敏感数据、较敏感数据以外的信息。。较大范围的影响是满足以下情形之一:(1)影响的组织涉及公共利益,不涉及国家安全;(2)影响自然人的数量介于较小范围的“3”和100万人之间。超大范围的影响是以下两种情形之一:(1)影响国家安全;(2)影响自然人的数量超过100万人[14-16]。
影响程度由低至高可分为四类。无影响是对国家安全、公共利益、组织和个人的合法权益不具有危害性。轻微影响包括:(1)可能导致社会秩序和公共利益遭受轻微程度的损害,对个别行业、组织或民众造成轻微影响;(2)可能对组织正常运作造成轻微影响,导致重要、关键业务出现中断,资产、形象和声誉受到轻微损害;(3)可能对个人合法权益如人身安全、财产安全、个人名誉、个人隐私等造成轻微的影响或损害。属于轻微影响的损害结果可被补救或补偿。一般影响包括:(1)可能导致社会秩序和公共利益遭受损害,影响到部分行业、组织或者民众;(2)可能对组织正常运行造成一般程度的影响,导致重要或关键业务无法正常开展,资产、形象和声誉受到损害;(3)可能导致个人合法权益出现一般程度的损害。属于一般影响的损害结果不可逆,但可以通过采取措施来降低损失。严重影响的情形有:(1)可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况;(2)可能导致严重危害社会秩序和公共利益,对全社会或多个行业、行业内组织、大量民众造成严重影响;(3)可能对组织的正常运作造成严重影响,导致大部分甚至全部业务无法正常开展,资产、形象和声誉受到严重损害;(4)可能对个人合法权益造成严重程度的损害。属于严重影响的损害结果不可逆[17-18]。
综合考虑上述影响因素,借鉴了安徽省数据资源管理局发布的《安徽省政务数据分类分级指南(试行)》中“表5:数据级别与分级因素的关系”的栏目和格式,本文绘制了表1,其中的国家安全适用超大范围,公共利益适用较大及以上范围,N/A(Not Applicable)表示其他不适用的情形。
如表1所示,数据安全等级由假设各类型的数据发生被篡改、破坏、泄露、非法获取、非法利用后的影响程度、影响范围来综合决定。滥用数据爬取技术的行为人爬取的数据安全等级越高,行为的社会危害性越严重。如果是L1等级的数据被爬取,则即使该数据被管理者采取了保护措施,也不能认为爬取者应当承担刑事责任,因为对国家安全、公共利益及组织、个人的合法权益不产生影响的数据不应作为刑法的保护客体。仅依行为手段反主体意志的特征认定爬取行为的刑事不法,相当于盗窃了毫无价值的物品却要据此入罪,与刑法的最后手段性立场相悖。
(二)侵犯数据安全法益的具体类型暨数据安全法益的入罪指导作用
1.结合司法解释中的三种行为结果确定数据安全法益被侵犯的具体类型
根据最高人民法院、最高人民检察院2011年出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《危害计算机信息系统安全解释》),数据爬取行为构成非法获取计算机信息系统数据罪的三种入罪标准分别是数量入罪、违法所得达到一定数额入罪和经济损失达到一定数额入罪(7)司法解释还规定了兜底条款“其他情节严重的情形”,对此,要根据兜底条款的同类规则、严格限定规则、明确具体规则解释具体情形是否达到“情节严重”,此时多表现为行为造成了恶劣的社会影响。但兜底条款不属于“数量、违法所得、经济损失”之外的行为结果。从司法解释规定与司法实践来看,“数量、违法所得、经济损失”属于最为常见的三种行为结果,几乎涵盖了非法获取计算机信息系统数据罪的所有结果类型,故本文仍围绕这三种行为结果进行讨论。。其中,数量入罪仅规定了获取身份认证信息组数的入罪标准,但在大数据的时代背景下,获取身份认证信息以外的数据也会严重危害到国家安全、公共利益、组织和个人的合法权益,但同时也不宜过于轻易地以数量作为入罪标准。笔者认为,数量入罪的标准在数据分类分级保护模式下需要做出调整。首先,以所爬取数据整体承载的利益来决定该部分数据的安全等级;其次,爬取获得的数据的安全等级达到L4时才可入罪。因为当行为人爬取到一定数据,没有对数据主体造成直接性的经济损失,且尚未做出进一步的贩卖牟利等不法行为时,爬取数据就仅是一种预备行为,对国家安全、公共利益、组织和个人合法权益的损害也只是预估而非实证。对这种预备性、抽象危险性的行为,只有当其对需保护的利益构成最严重的威胁时,才能将其规定为犯罪行为。爬取的数据安全等级为L2、L3时,其影响范围、影响程度都不具备必须由刑法进行规制的说服力,爬取者可能只是为了合法利用数据,故不适合以数量作为入罪标准,必要时可运用《民法》《反不正当竞争法》等前置法来调整此类情形。
对“违法所得”数额大的入罪规定,有学者批评道:“一旦将违法所得数额作为认定‘情节严重’的标准之一,容易导致司法机关避难就易,放弃搜集有关信息类型、数量的证据,转而搜集更易认定的违法所得数额的证据,而不利于保护法益”[19]。“为准确反映行为的法益侵害程度,不宜以‘违法所得数额’作为认定‘情节严重’的标准。”[20]以“违法所得数额”作为非法获取计算机信息系统数据罪的结果要件与法定刑升格要件,理论上必须能够体现出随着违法所得数额的增加,数据安全法益将面临更严重的侵害。然而,违法所得数额并不具有此番功能,也即违法所得数额越大,不代表数据安全法益被威胁或损害的程度就越重。行为人非法获取数据的“违法所得”通常包括两种情形:一是将非法获取的数据贩卖牟利;二是将数据提供给实施盗窃、诈骗、敲诈勒索的违法犯罪分子或渴望凭此获利的其他主体,以获得报酬。显然,行为人贩卖或有偿提供数据的对象越多、范围越大,数据主体的权益面临被侵害的危险就越大,所以行为人贩卖或有偿提供数据的范围是比违法所得数额更能说明法益面临威胁严重的因素。未来司法解释应做出调整,考虑行为人将数据扩散的范围,同时兼顾数据获取者对数据的用途是为了实施犯罪还是拉取客源等,分别做出规定。就对目前司法解释条文的适用来讲,应重点关注随着行为人违法所得数额的增大,其贩卖或提供数据范围的扩大使数据主体的权益面临的进一步被侵害的风险,也即提高法益面临危险的程度在定罪量刑中的比重,谨慎适用违法所得数额标准。当然,L2、L3、L4级的数据对应的违法所得入罪标准应依次降低。
至于以经济损失数额作为入罪标准的情形,《危害计算机信息系统安全解释》第11条第3款规定,经济损失包括危害计算机系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的必要费用,所以主体遭受的经济损失应是其权益受损最直接的说明和表现。对经济损失的入罪标准,要求具有直接、现实、具体的经济损失结果,同时L2、L3、L4级数据对应的入罪标准依次降低。当前在网络空间中,以数据形式存在的各类电子作品,通常很有可能成为爬虫技术爬取的对象。因成立侵犯著作权罪要求“以营利为目的”,致使不能以该罪去遏制不当爬取作品之后无营利目的的浏览、传播行为[21]。如此,由于爬取作品行为的低成本性,必会导致此类避开或突破网站保护措施爬取电子作品的行为愈演愈烈。笔者认为,未经许可爬取电子作品,是对著作权人或与著作权有关的权利人经济利益的侵害,行为人爬取到的任何一部电子作品,权利人就会损失相应的经济效益,应以电子作品的市场价格计算爬取电子作品给权利人造成的损失,达到非法获取计算机信息系统数据罪的“经济损失”入罪标准时,可以该罪论处,用以遏制此类网络侵权行为的蔓延。如果行为人既爬取到安全等级最高的数据,满足数量入罪的标准,又满足了违法所得或经济损失的入罪标准,则为了防止重复评价,使用能对行为人适用刑罚最重的标准即可,不能将两种以上的入罪标准叠加适用。
2.《刑法》第285条第3款行为方式的适度调适
《刑法》第285条第3款规定了提供侵入、非法控制计算机信息系统程序、工具罪,《危害计算机信息系统安全解释》第2条第(1)项对该罪罪状中“专门用于侵入、非法控制计算机信息系统的程序、工具”解释为“具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据功能的”。据此,可能会有观点认为,因为数据爬取的技术特征符合司法解释的该项规定,那么向他人提供爬虫技术就可构成提供侵入、非法控制计算机信息系统程序、工具罪,既然具有司法解释明文规定的刑事非法性,则运用爬虫技术未经授权或超越授权获取数据这一行为本身便是违反了《刑法》,所以无须以有无侵犯数据安全法益判断数据爬取是否具备刑事不法,直接以行为手段判断即可。本文认为,《刑法》中非法获取计算机信息系统数据罪的条文位于提供侵入、非法控制计算机信息系统程序、工具罪之前,后罪是以提供能够造成前罪危害性的犯罪工具作为客观行为。基于此,厘清前罪侵犯法益的内容,必能为后罪的正确认定起到指引作用。那么以数据分类分级保护为基础建构的数据安全法益作为非法获取计算机信息系统数据罪的法益保护内容,提供侵入、非法控制计算机信息系统程序、工具罪所规制的行为也一定是提供用于侵犯数据安全法益的程序、工具。故而,只能以《刑法》第285条第2款去指导第3款的解释,而不能以司法解释对第3款的行为方式有说明,来反推第2款非法性的判断。
三、数据爬取入罪的主观证立:“明知”的内容纾解与确证
考察数据爬取行为人主观层面的意义在于:其一,在法益侵害事实清楚,且该事实确由行为人引起的情况下,如不考虑行为人的主观层面,就无法判定该行为具有刑事非法性;[22]其二,如果行为人爬取到的是未经技术加工却蕴含极大价值的原始数据,或是加密数据、脱敏数据等难以识别信息内容的数据,行为人的主观方面相较于爬取到一般数据有无特殊性。
行为人的主观层面,包括故意、过失的罪过形式,也包括违法性认识等罪责要素,其中罪过是进行有责性判断的基础。对数据爬取行为人主观罪过的判断,首要的是厘清行为人犯罪故意的内容,即成立数据犯罪,数据爬取行为人的主观认识需要达到何种程度。此外,当以行为人的违法所得或对数据主体的经济损失作为定罪结果要件时,非法获取计算机信息系统数据罪属于实害犯,在出现法定的法益侵害后果时,犯罪才成立。因此,这两种情况下,犯罪主观层面较为清晰、明确,无须过多赘述。所以,本文重点关注行为人爬取到较高安全等级的数据,且没有与之相关的违法所得及对数据主体造成的经济损失时,主观方面的具体指向。
(一)犯罪故意中“明知”的内容厘正
根据《刑法》第14条的规定,犯罪故意是必须“明知自己的行为会发生危害社会的结果”。对此,理论界存在两种解读。一种观点认为,成立故意时,只要求行为人明知自己的行为会发生作为事实的构成要件结果,“危害社会”只是对行为或结果属性的修饰或表达,并不是明知的内容;[23-26]另一种观点认为,成立故意时,除了要求行为人明知自己的行为会发生作为事实的构成要件结果,还要求行为人明知“危害社会”这一属性,即要能够认识到自己行为可能导致的社会危害性[27-30]。对应数据爬取行为,行为人爬取数据时,是对行为与结果存在事实性认识即可,还是要提出更高要求,需对数据的价值、数据被爬取后可能造成的损害均有认识才能肯定主观故意。
笔者认为,前述两种观点中,第一种观点更具优越性。首先,随着法定犯在《刑法》中占比的增加,行为人触犯法定犯罪名多是违反了国家管理秩序,法定犯的社会危害性通常并不明显,也难以被认知。以抽象的事实认识错误与违法性错误为例,当出现这两种错误时,行为人可能都认识不到行为的社会危害性,但作为理论界共识的处理结果却不同。抽象的事实认识错误是指行为人对构成要件事实存在超出同一构成要件范围的认识错误,如行为人不知自己收购物种的具体名称,其实是珍贵、濒危野生动物,此时无论按照抽象符合说还是法定符合说,都认为可阻却犯罪故意的成立。可当行为人出现违法性错误,即不知自己的行为是被法律所禁止,如行为人知道自己收购的具体物种名称,但不知该物种刚刚被国家列入《珍贵、濒危野生动物名录》,属于国家禁止收购、运输、出售的物种,这时所要关注的是行为人的违法性错误有无避免可能性[30]。当行为人的违法性错误不可避免时,才可否定犯罪成立,但此时影响的就是有责性的判断。因为如果认为违法性认识包含于犯罪故意之内,则由于犯罪故意只需判断有、无,不存在判断轻、重的意义,就无法体现出随着违法性错误可避免性的增大或减小,行为人罪责层面可谴责性大小的变化,进而影响量刑的轻重。故违法性认识应当独立于犯罪故意之外,违法性错误问题应属于肯定了犯罪故意后对行为人罪责的判断内容。所以,合理的解释就是,只要行为人对其所为事实有认识,即可肯定《刑法》第14条的犯罪故意,事实认识错误可阻却故意犯的成立。其次,如大义灭亲的激情犯、宗教上的确信犯,行为人可能固执地相信自己的行为有益于国家和社会,但理论界和实务中都不会否认此类行为的犯罪故意[27]。
由此,《刑法》第14条的犯罪故意,应只包括对行为与结果的事实性认识,不包括对行为整体规范评价的认识。但是,如果只对“危害社会”做客观上符合刑法规范的评价,则无法在不知情的被利用者、假想的防卫等情形的处理上,得出合理的结论(8)前一情形例如,甲欲盗窃丙的财物,装作自己不方便去取的样子欺骗乙说那是自己的财物,请乙帮忙拿过来,乙照办。后一情形例如,甲使用玩具枪对丙开玩笑,乙误以为甲欲射杀丙,向甲抛掷石块,甲被砸身亡。两例中,乙的行为结果可被刑法规范评价为“危害社会”,但认为乙构成故意犯罪明显不当。。因此,对“危害社会”的解释,应以行为人当时认识到的事实为基础,以刑法规范立足于行为人认识到的事实进行评价,判断是否属于危害社会的结果,进而是否构成故意犯罪[31]。
(二)数据爬取行为人的主观罪过厘定
基于前述结论,数据爬取行为构成刑事犯罪需要的故意标准应包含两方面的内容:一是对行为方式,即避开、突破技术保护措施或超越协议授权范围爬取数据的认识;二是对爬取结果,也就是数据被爬取的总量(9)要求行为人认识到数据被爬取的总量,即指行为人无缺漏地认识到其爬取的所有数据。和数据表征的信息内容有认识。数据表征的信息内容通常是行为人所追求的爬取目标,爬取到具有该信息内容的数据是爬取行为既遂的标志,故而也需要行为人对此有所认识。
对于爬取方式来讲,若行为人对其爬虫程序设置有避开、突破系统管理者设置的诸如屏蔽IP、身份验证等安全保护措施的功能和指令,使用该程序进入了所针对的系统中开始对数据的爬取;抑或行为人确认、同意数据主体对用户设置的包含禁止爬取数据,以及爬取数据的范围等内容的协议后,仍越权实施数据爬取,就可以说明其对数据爬取行为方式的明知。
对于爬取结果来说,如果行为人未对爬虫程序设置所要爬取数据的特定类型,放任爬虫程序任意爬取,则可认为行为人对爬取所得的一切数据及其承载的信息内容是明知的。此时,如果行为人爬取到的数据中含有未经技术加工的原始数据,或是加密数据、脱敏数据等难以识别信息内容的数据,要看行为人有无获悉信息内容的意愿。若是行为人有获悉信息内容的主观意愿,且其本人有能力对原始数据汇集加工,以挖掘其信息内容或能够对难以识别信息内容的数据进行算法破解和解密,则可肯定其对该部分数据的犯罪故意;如果数据处理的技术难度在其本人能力之上,可否定其犯罪故意。如果行为人对爬虫程序设置了要爬取数据的特定类型,爬虫程序针对该类型的数据进行爬取,但是爬取的数据中却含有行为人爬取意愿之外的数据,或属于商业秘密等更具价值的数据,抑或对行为人来说不满足其期待的数据,这时要看行为人对待这些数据的态度。若是进一步地出卖牟利或因其他不当使用行为对权利人造成了经济损失,则推定行为人对这些数据的获取具有犯罪故意;若无进一步的行为,则可排除行为人对这些数据的犯罪故意。
虽然行为人的主观罪过并不属于行为人主观层面的全部内容,但在数据爬取行为中,行为人具备犯罪故意一般就不能否定其主观罪责。例如,要判断行为人的违法性认识,由于违法性认识就是对违反受法律保护的法秩序中能够决定行为刑事不法性的要素的认识[32],行为人既然能认识到其避开、突破技术保护措施或超越协议的授权范围爬取数据,就不难认识到该行为方式违背主体意愿的特征;行为人对爬取到的数据总量和数据表征的信息内容有认识,且由于此种情况下行为人爬取到的数据安全等级为最高,所以通常也会对这些数据与国家安全或公共利益、组织和个人的合法权益密切相关的特征有着基本认知。由此,当行为人认识到爬取数据的方式与爬取到的数据总量及数据表征的信息内容时,通常情况下可判定行为人具有违法性认识继而存在罪责,除非因一些特殊情形而排除行为人对构成要件事实罪责的成立。
四、数据爬取行为刑事不法认定的条文范式转换
依照《刑法》第285条第2款非法获取计算机信息系统数据罪的条文表述,本罪罪状中有两个要素在犯罪认定时必须予以关注,一是“违反国家规定”,二是“情节严重”。因此,通行观点认为,既然本罪以“违反国家规定”作为前端条件,那么只要行为人在获取计算机信息系统数据时,采取了国家规定的不容许行为手段,就可认定为本罪的客观行为,且本罪以“情节严重”作为行为后果的限制条件,所以不必担心入罪范围过大的问题。本文主张以行为人客观上侵犯数据安全法益,主观上对行为方式和结果存在明知作为数据爬取行为刑事不法性的判断依据,由此带来的定罪范式的转换,以及如何保证与“违反国家规定”和“情节严重”在解释论上的协调融贯就成为无可回避的问题。
(一)“违反国家规定”的规范意旨
在我国刑法分则条文中,“违反国家规定”可分为四种类型:一是作为构成要件要素(10)例如《刑法》第133条关于交通肇事罪的规定:“违反交通运输管理法规,因而发生重大事故,致人重伤、死亡或者使公私财产遭受重大损失的,处……”本条只规定了危害结果,没有明示行为类型,因此“违反国家规定”在该条文中属于典型的构成要件要素,必须依照交通运输管理法规来认定何种行为构成交通肇事罪。;二是作为构成要件行为的参照,明确构成要件行为要根据相关“国家规定”的内容来确定(11)例如《刑法》第222条关于虚假广告罪的规定:“广告主、广告经营者、广告发布者违反国家规定,利用广告对商品或者服务作虚假宣传……”这里何为“虚假宣传”,需要根据《广告法》第28条的内容予以确定,进而明确虚假广告罪的构成要件行为。;三是作为违法阻却事由的提示性规定(12)例如《刑法》第253条之一关于侵犯公民个人信息罪的规定第1款:“违反国家有关规定,向他人出售或者提供公民个人信息……”本条提示司法机关,如果处理公民个人信息的行为符合《个人信息保护法》第13、第14条的规定,已得到了公民个人在充分知情前提下的同意等情形,该处理信息的行为就是合法的。;四是不具有实体意义,对违法性仅具有提示功能(13)例如《刑法》第339条第1款关于非法处置进口的固体废物罪的规定:“违反国家规定,将境外的固体废物进境倾倒、堆放、处置的,处……”本条的“违反国家规定”,实际上就是《固体废物污染环境防治法》第24条“禁止中华人民共和国境外的固体废物进境倾倒、堆放、处置”的内容,删去本条“违反国家规定”,也不影响本罪认定。[33-34]。
非法获取计算机信息系统数据罪在《网络安全法》《数据安全法》出台之前,以计算机信息系统安全为主要保护法益,本罪条文的“违反国家规定”可参照的前置法主要是国务院出台的《计算机信息系统安全保护条例》,其中第7条规定:“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统安全”。可见,该前置法条款是一项原则性规定,与《刑法》中的非法获取计算机信息系统数据罪具有价值追求上的一致性,但不能起到对构成要件行为进一步说明的效果,所以本罪条文中的“违反国家规定”在当时也是仅具有违法性提示意义。《网络安全法》《数据安全法》出台后,数据安全法益作为非法获取计算机信息系统数据罪的新兴保护法益,从相关法条中也能看出对之加以保护的重要性,如《网络安全法》第10条规定了要“维护网络数据的完整性、保密性、可用性”。《数据安全法》第32条第1款规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”该条第2款指出:“法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”结合非法获取计算机信息系统数据罪法条表述的行为方式“侵入前款规定(14)指《刑法》第285条第1款:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”以外的计算机信息系统或者采用其他技术手段,获取了该计算机信息系统中存储、处理或者传输的数据”,可知本罪的“违反国家规定”在构成要件判断中的作用有两方面。一方面,当行为人实施侵入计算机信息系统,也即在不具有访问权限的情况下进入计算机信息系统,要考察“违反国家规定”是否具有违法阻却事由的作用,也就是虽然进入了对方的计算机信息系统,但是在有法律允许的正当化事由的情况下,可免责。《数据安全法》第32条第2款是对违法阻却事由的提示,如果未经允许进入对方计算机信息系统,但符合其他法律、行政法规的规定,例如公安机关、国家安全机关为维护国家安全或侦查犯罪的需要,在符合法律规定的程序、范围的条件下调取数据,那么该进入系统获取数据的行为就是正当化的。另一方面,当行为方式属于“其他技术手段”之时,要看该技术手段是否具有“违反国家规定”的非法性。《数据安全法》第32条第1款可看作是对“其他技术手段”非法性的说明,当技术手段以窃取或其他非法方式获取数据时,该技术手段就可评价为非法手段。
(二)“情节严重”的规范意旨
“情节严重”在我国刑法分则条文中作为对行为后果的整体评价,放于条文对构成要件行为的描述之后。如何理解“情节严重”中的“情节”是判断具体情形能否认定为“情节严重”首要厘清的问题。张明楷教授认为,如果采取以违法与责任为支柱的阶层犯罪论体系,那么作为整体评价要素的“情节严重”中的情节,就只能是指客观方面表明法益侵害程度的情节[35]。也有对此质疑的观点提出,主观情节在行为不法与法益侵害方式的判断中无法撇开不论,既然是考虑法益侵害程度,就不能把法益侵害方式的评价排除在外[36]。该观点立足于犯罪情节,无论是情节严重的“情节”还是区分罪与非罪的“情节”,都是一个涉及一系列主客观情状的综合性概念,系反映行为社会危害性及行为人人身危险性的各种主客观要素的总和[37]。笔者赞成从客观违法论的立场出发,“情节严重”中的“情节”应限定于客观方面表明法益侵害程度的情节[38]。
第一,犯罪主观层面不能用于决定法定刑的轻重。犯罪主观动机再恶劣,如果不去实施,就无法对法益构成侵害或威胁。犯罪主观方面可以决定犯罪性质的差异,以及一些情形下犯罪的成立,但都必须依托于法益侵害事实的存在(15)犯罪主观方面决定犯罪性质,如对被害人重伤的事实,行为人持杀人故意或伤害故意可导致案件性质的差异;犯罪主观方面决定犯罪的成立的情形,如故意和过失毁坏财物。。针对决定法定刑轻重的情节,如认为可以包括犯罪主观因素,就意味着主观恶性的轻重可独立决定法定刑的轻重,这与现代刑法的基本价值立场相悖。例如,对同一被害人重伤的事实,行为人持杀人故意并不会比伤害故意承担更重的法定刑,决定法定刑轻重的仍是被害人重伤这一事实。
第二,我国刑法分则的各罪名多与非法获取计算机信息系统数据罪相类似,使用“定性加定量”的构建模式。所谓“定量”因素,就是由犯罪“情节”的积聚来决定构成要件行为的结果达到值得刑事处罚与升格法定刑的程度,而这一“定量”因素必是源于客观事实。如《关于办理危害药品安全刑事案件适用法律若干问题的解释》第3条将“生产、销售金额二十万元以上不满五十万元”,“生产、销售金额五十万元以上”分别确定为生产、销售假药罪“其他严重情节”及“其他特别严重情节”的情形之一。此处犯罪情节从无到特别严重,即犯罪金额由零到一定规模的过程,正是由客观方面实行行为的规模扩大终致构成犯罪与加重法定刑。
基于此,非法获取计算机信息系统数据罪条文中“情节严重”的“情节”,也一定是客观方面反映数据安全法益被侵害程度的情节。
(三)重释数据爬取行为刑事不法性的条文体系关联
按照本文对数据爬取行为刑事不法性的认定标准,对非法获取计算机信息系统数据罪的前后端成立条件“违反国家规定”与“情节严重”会产生的影响,以及如何进行融贯性的解释,笔者认为可以从两方面进行阐述。
一是从罪状前端的“违反国家规定”到后端的“情节严重”,需要以适格的构成要件行为作为过渡。如前所述,“违反国家规定”在本罪中的作用之一是为“其他技术手段”明确非法性的依据,但从现有的相关法律规定来看,效果并不理想。与之关联性最强的法条即为《数据安全法》第32条,该条以“窃取或以其他非法方式”作为对获取数据行为非法性的描述,但是窃取数据,相较于罪状描述的侵入系统或采用其他技术手段获取数据,行为方式的增加仅体现为在非侵入的情形下,即超越协议授权,也可使用爬虫等技术手段窃取数据。至于“其他非法方式”,并无明确的依据来指明此类非法方式的特征或具体行为手段。因此,根据法益对构成要件的指导作用,可以行为对数据安全法益构成了实质性的威胁或侵害来证立行为的刑事非法性。以这种逻辑来确立数据爬取行为的刑事非法性并不与“违反国家规定”相矛盾,因为《数据安全法》的宗旨就是保护数据在流通和利用中的安全,刑法作为社会治理的最后手段,既然已触犯到刑法法益,必然为《数据安全法》所不容许。侵犯数据安全法益的行为特征一旦确定,“情节严重”就要以该类行为作为判断基础,尤其是以获取数据的数量作为“情节严重”的标准时,如果忽视数据本身的重要性或影响力,那么就会出现爬取对数据主体权益毫无影响或仅有轻微影响的数据,也会因数量多而入罪。所以,通过重塑数据爬取行为的刑事不法性,对前可确立实质上“违反国家规定”的行为标准,对后可为“情节严重”提供客观恰适的判断基础。
二是为非法获取数据行为确定值得刑法规制的罪质。非法获取计算机信息系统数据罪的保护法益,由过去的计算机信息系统安全改变为当前的数据安全。但是,如果把数据安全给泛化,认为数据安全法益的保护对象是计算机信息系统内的一切数据,任何妨碍到主体对数据绝对控制状态的行为都是对数据安全的侵犯,那就相当于掏空了数据安全的内容,导致不存在真正的数据安全。刑法中数据安全法益的目标就是为数据的刑法保护确立客观标准,以真正值得保护的数据安全构建法益内容,进而对该法益保护内容的侵犯就是该当构成要件的数据犯罪行为。在此意义上,重塑数据爬取行为刑事不法性的标准,对前可将“违反国家规定”的行为提至刑事不法的层面;对后可以“情节严重”来划清数据爬取行为刑事责任、侵权法责任、竞争法责任的界限。当行为结果未达到“情节严重”程度时,应以《民法》《反不正当竞争法》等前置法作为主要防范手段,这对构建各部门法联动保护数据安全的机制具有积极意义。
五、结语
数据爬取行为是否触犯《刑法》,应进行判断思路上的转向。行为方式上的避开、突破系统内设置的技术保护措施,不应成为刑事不法性判断的根据,应当先考察行为整体上有无触犯数据安全法益,再结合主观层面来决定该数据爬取行为是否具备刑事不法性。数据安全法益,应当发挥对数据犯罪的指导意义。目前理论界大都认可数据安全法益是一项新兴法益,且对法益内容,即数据的保密性、完整性、可用性无异议,但对数据安全法益的指向客体,以及侵犯数据安全法益的行为模式,尚欠缺深入研究。本文以《数据安全法》倡导的数据分类分级保护作为构建数据安全法益的基础,再结合司法解释规定的三种获取数据的行为结果,即数量、违法所得、对主体造成的经济损失,类型化地判断数据爬取行为有无侵犯数据安全法益。合理认定数据爬取行为的刑事不法性,一方面,可以填补非法获取计算机信息系统数据罪条文中“违反国家规定”对行为手段的非法性要求,以及为“情节严重”提供更加适格的客观判断基础;另一方面,能够确立数据爬取行为值得刑事处罚的罪质,划分行为人承担刑事责任、侵权法责任、竞争法责任的边界,进而保障数据资源的合规高效流动,推动数据资源红利的激活与释放。
