点击蓝字,关注我们
数据刑法保护路径的分歧与解决方案
作者:林雨佳
(上海大学 法学院,上海 200444)
在信息时代,数据肩负着社会生活中记录、沟通以及交换等各类功能,数据的法律保护问题也成为各部门法关注的重点,如何实现数据的刑法保护成为刑法理论和实务热议的话题。一方面,数据记载于计算机信息系统,可以看作是计算机信息系统的组成部分。刑法规定了系列罪名保护计算机信息系统,因而不少司法实践通过计算机犯罪罪名以实现数据的刑法保护。另一方面,数据可能记录和代表了多种类型的法益,例如个人信息、公私财产、商业秘密等,可以通过相应的罪名实现数据的刑法保护。前者对数据的保护属于形式保护,即保护数据的载体;而后者对数据的保护属于实质保护,即保护数据的内容。对数据采用不同的刑法保护模式容易造成司法不统一的情况。以虚拟货币的保护为例,最高人民法院研究室曾提出意见,认为窃取游戏币的行为应当认定为非法获取计算机信息系统数据罪,①[1]但是司法实践中存在不少案例认为虚拟性质的游戏币属于财物,将窃取游戏币的行为认定为盗窃罪,如“王登辉盗取快手币案”②等。可见,对于同一类型的案件,现有的数据形式保护和实质保护在罪名适用方面可能存在冲突与矛盾。因此,在以数据为核心发展动力的大数据时代,如何解决数据形式保护和实质保护的分歧,如何纾解数据犯罪的认定疑难,是值得深入研究的问题。
①参见:《最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》。
②参见吉林省白城市洮北区人民法院(2018)吉0802刑初379号刑事判决书。
一、数据形式保护和实质保护的比较
在刑法视角下,数据的形式保护围绕计算机信息系统进行,涉及的罪名主要是非法获取计算机信息系统数据罪和破坏计算机信息系统罪。数据形式保护的基本思路是根据数据和计算机信息系统形式上的依附关系,通过保护计算机信息系统安全实现数据保护。数据的实质保护涉及的罪名较为多元,包括侵犯公民个人信息罪、侵犯商业秘密罪、侵犯财产类犯罪等等。数据实质保护的基本思路是通过保护数据对应的法益实现数据保护。有观点认为,数据的刑法保护不包含实质保护,理由是数据的实质保护是对信息的保护,而刑法中的数据应取狭义概念,即“一方面仅指记录信息的数据,排除不记录任何信息的数据代码;另一方面,已读取信息内容且刑法有特别保护的数据不属于数据犯罪之‘数据’”。[2]78这种观点认为,记录信息的数据代码是数据的“符号层”,信息内容是数据的“内容层”,刑法保护的数据不包括数据中的信息内容,仅保护数据的“符号层”。“符号层”和“内容层”之区分类似于纸和纸上的文字之区别,故数据的“符号层”可以称为“数据文件”,“内容层”可以称为“信息内容”。[3]文件和信息内容的区分并不困难,但实际上,数据的“符号层”不是“纸”或者“书”,而是带有字的那部分纸;数据的“符号层”应该是文件或系统中的数据代码,而不是整体文件。因此,在判断行为对象方面,分离记录信息的数据和信息本身十分困难。以获取医疗系统数据的行为为例,我们很难判断行为侵犯的是医疗系统数据的“符号层”(医疗数据代码)还是“内容层”(医疗数据内容)。前述认为数据和信息可分、易分的观点,是将医疗系统数据的“符号层”理解成了“医疗数据系统”而不是“医疗数据代码”,“医疗数据代码”是“医疗数据系统”的组成部分。数据形式保护和实质保护的分歧之所以出现,正是因为实践中难以判断数据究竟是不是“刑法特别保护的数据”。持前述观点的论者所谓的数据犯罪和信息犯罪,其实对应的即为数据的形式保护和实质保护,不能因为对数据保护的方式存在差异,而人为地缩小刑法中“数据”的范围。因此,记录信息的数据和信息本身是一体的,数据的实质保护属于数据的刑法保护。数据的形式保护与实质保护在保护法益和保护范围方面存在区别。
(一)保护法益的比较
数据形式保护的法益具有唯一性,即计算机信息系统安全,而数据实质保护的法益具有多元性。
数据形式保护通过《中华人民共和国刑法》第二百八十五条和二百八十六条实现。一般认为,这两个法条保护的法益为计算机信息系统安全。①[4]根据2011年国务院修订的《中华人民共和国计算机信息系统安全保护条例》第三条,计算机信息系统安全包括计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,信息的安全以及计算机功能的正常发挥。其中,数据形式保护主要保护的是计算机信息系统中的信息安全。关于数据和信息的关系,理论上存在等同说、不同说、包含说以及交叉说等观点。等同说认为,数据和信息仅仅是表述不同而已,[5]两者不可分离。[6]不同说认为,数据和信息分属网络系统不同层面,不可混淆。[7]包含说内部存在两种不同的观点,一种观点认为数据包含信息,即数据中承载着信息和非信息;[8]另一种观点认为数据是信息的记载方式之一,信息还可以通过其他载体被记录。[9]交叉说认为,数据和信息虽然在静态层面分属不同权利客体,但在动态层面存在转换的可能。[10]笔者认为,对数据、信息之概念和范围的理解需要建立在讨论目标和议题的基础之上。本文比较的是基于数据多元属性而产生的两种不同刑法保护路径,数据和信息应属交叉关系,即数据可能包含信息,信息可以被数据及其他载体记载。在电磁记录环境下,信息指的是数据内容。数据形式保护所保护的信息安全是一种宏观、宽泛意义的信息安全,而不是特定的某项信息安全。除此以外,信息安全和运行环境安全、网络安全等内容具有联动性,数据形式保护的内容不限于信息安全,而包含信息安全以外的其他计算机信息系统安全内容。
①也有观点对这两个法条保护的法益采用了不同的表述或认为其保护的是计算机信息系统安全的子概念,如计算机信息系统运行安全。参见刘明祥:《窃取网络虚拟财产行为定性探究》,载《法学》2016年第1期。本文在此不作区分。
数据的实质保护涉及多个不同的罪名及多元法益,包括集体法益和个人法益。涉及集体法益保护的场景主要包括:一是商业秘密保护。根据《中华人民共和国反不正当竞争法》第九条,商业秘密表现为技术信息、经营信息等商业信息。因为信息与数据的交叉关系,数据可能记录和代表了商业秘密,侵犯商业秘密的行为可能构成侵犯商业秘密罪,是对知识产权管理秩序的侵犯。二是网络安全保护。《中华人民共和国网络安全法》明确了网络经营者和网络产品、服务提供者的网络安全管理义务。《中华人民共和国刑法修正案(九)》增设拒不履行信息网络安全管理义务罪,网络安全管理义务包括防止违法信息大量传播、防止用户信息泄露和防止刑事案件证据灭失等,其中的违法信息、用户信息和刑事案件证据以数据的形式存录。涉及个人法益保护的场景主要包括:一是公民个人信息保护。在网络时代,公民个人信息以数据的形式被保存、记录以及处理。绝大多数理论认为侵犯公民个人信息罪保护的法益属于个人法益,包括个人信息权说(即个人信息不被不正当收集、采集、扩散和滥用的权利)、[11]个人人格尊严说(即个人的人格尊严与个人自由)[12]以及个人生活安宁说(即私人生活安宁不被威胁的权利) [13]等等。侵犯记录公民个人信息数据的行为可能构成侵犯公民个人信息罪。二是财产权保护。财产的记录形式随着时代的发展而发生改变。如今,不少财产关系以数据的形式被记录,如虚拟财产、数字货币等。因而,侵犯数据的行为可能直接影响财产关系的改变,进而成立侵财犯罪,包括盗窃、诈骗罪等。除此以外,数据实质保护还可能涉及其他类型的法益,主要判断依据是数据的实质内容。与数据形式保护相比,数据实质保护的法益更加多元。
(二)保护范围的比较
数据形式保护是对数据完整性和保密性的保护,而数据实质保护是对数据信息性的保护。
数据形式保护所涉犯罪行为方式主要有非法获取、删除、修改和增加,其中非法获取是对数据保密性的破坏,而删除、修改和增加是对数据完整性的破坏。数据形式保护之所以侧重数据完整性和保密性的保护,与数据在形式上依附于计算机信息系统的客观事实有紧密联系。计算机信息系统的正常运作保证了数据完整性和保密性不被破坏,形成数据完整性和保密性的“保护体”,因此,数据形式保护依靠计算机犯罪罪名实现。数据完整性是指数据不因载体的破坏而破坏。司法实践中出现的破坏数据完整性的案例有破坏网吧服务器中数据、①破坏票务系统数据、②破坏交警信息系统中违章数据③等等。数据保密性是指数据不能突破载体保护被获取。在“晟品爬虫案”中,上海晟品网络科技有限公司通过数据抓取技术获取了储存在其他公司服务器中的数据,最终被认定为非法获取计算机信息系统数据罪。④虽然该案所涉数据处于公开状态,但该案的主审法官认为数据公开并不意味着数据保密性的丧失,此时数据仍然“不为其他不应获得者获得”。[14]可见,在司法案例中,数据保密性和一般意义上的“保密”存在差异,数据是否公开并非基本的判断标准。
数据实质保护所涉犯罪行为方式具有多样性,包括出售、提供、窃取、非法获取、披露、使用等。这些犯罪行为旨在取得或影响数据所记录和代表的信息及有关利益,即数据的信息性。数据的信息性和数据的保密性、完整性密切相关。一方面,数据的保密性、完整性保证了数据的信息性,一旦数据的保密性、完整性被破坏,数据的信息性也将受到影响;另一方面,数据的信息性是数据保密性、完整性实现的目的,即维护数据保密性、完整性是为了数据的信息性发挥作用。数据信息性的保护近年来开始受到司法实践的重视。例如,在“摩蝎数据爬虫案中”,杭州摩蝎数据科技有限公司获取的用户资信数据被认定为个人信息,擅自将用户资信数据在服务器上长期留存的行为被认定为侵犯公民个人信息罪。⑤此案实际上正是通过保护数据所代表的信息内容来实现数据的实质保护。与此类似,通过认定侵犯商业秘密罪、盗窃罪等罪名实现数据保护,均是保护数据记录和代表的信息内容。
①参见黑龙江省牡丹江市西安区人民法院(2017)黑1005刑初57号刑事判决书。
②参见广东省深圳市宝安区人民法院(2016)粤0306刑初7626号刑事判决书。
③参见江苏省灌云县人民法院(2016)苏0723刑初394号刑事判决书。
④参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。
⑤参见浙江省杭州市西湖区人民法院(2020)浙0106刑初437号刑事判决书。
二、数据形式保护和
实质保护分歧的产生原因
如前所述,在犯罪认定中,对数据进行形式保护和实质保护的定罪量刑结果不同,存在冲突。这一分歧的产生既有立法的原因,也有司法的原因。
(一)立法原因
现有刑法规定无法直接反映数据对应的法益,是造成数据形式保护和实质保护分歧的主要立法原因。我国刑法中对数据的直接规定仅出现在计算机信息系统犯罪罪名中。《中华人民共和国刑法》第二百八十五条第二款和第二百八十六条第二款中的犯罪对象包括计算机信息系统中存储、处理或者传输的数据,而在其他刑法条文中没有以数据为犯罪对象的直接规定。据此,有观点认为,数据犯罪仅指非法获取计算机信息系统数据罪和破坏计算机信息系统罪。[15]但是,现代社会中数据被赋予了更多的含义,计算机信息系统中的“数据”并不能反映数据的全貌。
刑法对数据保护的规定在一定程度上存在滞后和错位。这种滞后和错位产生的原因是早期的立法设置并没有因为时代的更迭而被彻底打破。1979年《中华人民共和国刑法》没有关于数据犯罪的设置,因为当时存储数据的计算机数量十分有限,缺乏数据犯罪立法的必要性。随着计算机在社会生活中的不断普及,计算机犯罪开始出现,对此,公安部向全国人民代表大会提交了《危害计算机信息系统安全罪方案(草案)》,其中包含窃取计算机信息系统程序、数据罪,破坏计算机信息系统程序、数据罪等罪名。[16]可以看出,彼时人们对数据的理解局限于计算机信息系统中的数据,认为程序和数据之间存在紧密关系。这一草案内容而后被吸收、修改成为1997年《中华人民共和国刑法》第二百八十六条规定,但在当时立法上没有专门的关于窃取计算机信息系统数据的规定。据此,公安部再次提醒立法部门,司法实践中不少行为人实施计算机犯罪的主要目的即为非法获取数据。[17]因此,《中华人民共和国刑法修正案(七)》增设了非法获取计算机信息系统数据罪。从这一立法过程可以看出,刑法关于数据保护的规定从立法伊始就是为了保护计算机信息系统安全,将数据理解为计算机信息系统的组成部分,后因计算机信息系统中数据被侵犯的多发性而出现了专门针对数据保护的规定。
但是,在信息时代的催化下,数据展现出越来越多的功能和属性,不再仅仅代表计算机信息系统的组成部分。在此情况下,立法没有及时予以回应。仅从文字上看,刑法对数据的保护仍然只存在于计算机犯罪罪名之中。在这样的立法规定下,关于数据犯罪范围的观点则出现了狭义说和广义说两种。前者认为,数据犯罪指《中华人民共和国刑法》第二百八十五条第二款和第二百八十六条第二款规定;后者认为,数据犯罪指一切以数据为对象或工具的犯罪。[18]在狭义说下,数据保护即为形式保护,而广义说涵盖了数据的实质保护。可见,现行刑法规定是引发数据形式保护和实质保护分歧的重要原因之一。
(二)司法原因
除了立法原因外,司法上对数据犯罪的法益识别路径不清也是造成数据形式保护和实质保护分歧的原因之一。
首先,司法上对于侵犯数据能否被认定为侵犯计算机信息系统安全以外的法益存在争议。虽然刑法明文规定的以数据为犯罪对象的条文仅出现在计算机犯罪的罪名之中,但因数据可以记录和代表不同类型的信息,就出现了侵犯数据是否可以被认定为侵犯其他法益的问题。以侵犯虚拟财产的行为为例,虚拟财产以数据的形式存在,对于侵犯虚拟财产行为所侵害的法益类型,司法实践中存在争议。一种观点认为,虚拟财产属于计算机信息系统中的数据,侵犯虚拟财产是对计算机信息系统安全的破坏。[19]另一种观点认为,虚拟财产虽然不具有财产的实体外观,仅以数据的形式存储于计算机信息系统之中,但是虚拟财产可以认定为刑法中的财物,侵犯虚拟财产的本质是侵财。[20]可见,因为对数据所代表的法益理解不同,实践中就出现了形式保护和实质保护的分歧。若将侵犯数据理解为侵犯计算机信息系统安全,最终就形成数据的形式保护;若将侵犯数据理解为侵犯计算机信息系统安全以外的法益,最终就形成数据的实质保护。
其次,即便侵犯数据可以被认定为侵犯计算机信息系统安全以外的法益,如何定罪处罚仍存在争议。再以侵犯虚拟财产的行为为例,即使侵犯虚拟财产的行为可以被认定为侵财犯罪,也仍然存在不同观点。第一种观点认为,侵犯虚拟财产的行为同时构成非法获取计算机信息系统罪和侵财犯罪,属于想象竞合犯,应当择一重罪处罚。[21]第二种观点认为,对于侵犯虚拟财产的行为,非法获取计算机信息系统罪属于“兜底罪名”,也即一般条款,在虚拟财产可以被认定为刑法中的财物时,侵财犯罪的规定属于特殊条款,此时应当根据法条竞合的原理,适用特殊条款。[22]第三种观点认为,盗窃罪的构成要素包含了非法获取计算机信息系统数据罪的构成要素,非法获取计算机信息系统数据罪是特殊条款,盗窃罪是一般条款,应优先适用特殊条款。[23]第四种观点认为,侵犯虚拟财产的行为应当直接认定为侵财犯罪,原因在于财产犯罪保护范围更周延,评价更充分。[24]86第五种观点认为,虚拟财产虽然可以被认定为财物,但侵犯虚拟财产的行为不能被认定为侵财犯罪,理由是不符合对象以外的其他犯罪构成要件,“权宜之计”是将此类行为认定为非法获取计算机信息系统数据罪。[25]这些观点的出现,使司法实践对侵犯数据行为的最终定性结果更加难以预判。
最后,有权解释或司法指引意见的介入影响了司法裁判。有权解释是指国家有权机关依照法定授权作出的法律解释,即立法解释和司法解释。除了有权解释外,我国还存在不少虽然不属于司法解释,但在实践中能够对司法裁判起到指引作用的司法指引意见,如指导性案例、最高人民法院研究室出台的意见等。有权解释和司法指引意见对于司法实践有重要影响。有权解释或司法指引意见的介入有时会改变数据犯罪的认定结果。例如,2017年5月,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》发布,其中第一条规定明确了个人信息的范围:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”在这一司法解释生效后,侵犯符合规定身份信息的行为将被认定为侵犯公民个人信息罪,是对数据的实质保护。但在此之前,许多侵犯此类身份信息的行为被认定为非法获取计算机信息系统数据罪等计算机犯罪,即是对数据进行形式保护,原因之一在于2011年发布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中对数据的规定包含了“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”。这里的“身份认证信息”可能同时符合个人信息的要求。可见,司法解释的发布对于个人信息最终被形式保护还是被实质保护存在影响。类似的例子在侵犯虚拟财产行为的认定中也有体现。据有关司法人员介绍,早期不少侵犯虚拟财产的行为被认定为侵财犯罪。[26]但在《最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》发布之后,大量侵犯虚拟财产的行为被认定为非法获取计算机信息系统数据罪。这一司法倾向明显受到最高人民法院研究室意见的影响。
三、数据形式保护和
实质保护分歧的解决方案
(一)现有解决方案及其存在的问题
面对数据形式保护和实质保护的两种路径选择,现有刑法理论和实践已经提出了解决方案,主要包括优先选择形式保护或实质保护,进行专门化保护等。
1.“实质保护优先,形式保护兜底”方案
这种解决方案认为实质保护能够反映数据犯罪的真正罪质,在不能进行实质保护的时候,因为形式保护的范围更加广泛,可以用形式保护进行兜底。这种解决方案的优势在于在一定程度上避免了形式保护无法体现数据犯罪罪质等缺陷。然而,这种解决方案存在以下几个缺点:第一,在无法对数据进行实质保护的情况下,利用形式保护进行兜底性质的保护,将使非法获取计算机信息系统数据罪等罪名成为“口袋罪”。实际上,无法对数据进行实质保护在一定程度上表明行为的不法程度并不高,但因非法获取计算机信息系统数据罪等罪名中对犯罪对象没有明确、严格的限制,使未被实质保护条款认定为侵犯数据的行为也能被认定为非法获取计算机信息系统数据罪等罪名,加剧了非法获取计算机信息系统数据罪等罪名的“口袋化”程度。“口袋罪”因抽象、含糊、泛化而被认为和罪刑法定原则存在冲突。罪名“去口袋化”应当是现代立法和司法努力的方向和目标,新时代不应当出现新的“口袋罪”。第二,实质保护条款和形式保护条款不是特殊条款和一般条款的关系,这种解决方案不符合罪名适用的基本理论。优先适用特殊条款的原因是特殊条款更加具体,更具有针对性,能够更好地实现罪刑相适应原则。特殊条款和一般条款之间是具体和抽象的关系。但是数据的实质保护条款和形式保护条款之间不是具体和抽象的关系,而是以不同的方式进行数据保护,保护的法益类型也存在明显的差异。从罪名适用的角度而言,数据的实质保护条款和形式保护条款不存在适用的先后顺序,因而形式保护条款不应被视作数据刑法保护的兜底条款。
2.“形式保护优先,避免实质保护争议”方案
这种解决方案认为侵犯数据的行为能否适用实质保护条款理论和实践存在争议,在这种情况下,应当优先适用更加“安全”的形式保护条款以实现数据的刑法保护。有观点指出,保护了网络数据就是保护了数据的财产性权益,但保护财产法益并不必然保护数据法益,因此,形式保护条款具有优位性。[27]这种解决方案的目的是为了避免实质保护所带来的争议,但是这一方案最明显的缺陷在于,对不同类型侵犯数据的行为进行统一的形式保护,无法反映犯罪行为的真正罪质,和罪刑相适应的基本原则存在冲突。形象地说,这一方案试图将所有侵犯数据的行为统一装进形式保护的“大口袋”之中,同样会使形式保护条款成为愈发明显的“口袋罪”。应当看到,已经有学者意识到现有形式保护条款的“口袋化”倾向,试图通过改造形式保护条款来改善这一解决方案的明显不足。[28]也有学者提出要增加危害计算机信息系统数据罪等形式保护条款,并将非法提供、利用、破坏数据的行为认定为犯罪。这些观点都属于在现有形式保护条款的基础上完善数据犯罪的形式保护。[2]81-83但是,无论是扩大还是缩小形式保护的范围,都无法彻底解决形式保护和实质保护的分歧。
3.专门化保护方案
专门化保护方案是指将形式保护和实质保护相结合。这种解决方案认为,数据的形式保护和实质保护都有其片面性,形式保护过度依赖维护计算机信息系统运行安全,而现有的实质保护条款没有直接回应法益数据化,存在认定争议。在此情况下,解决数据形式保护与实质保护分歧的方法是根据专门化保护条款进行犯罪认定。进行专门化保护有两条路径:一是改造现有条款,使非法获取计算机信息系统数据罪等罪名脱离出现有的计算机犯罪体系,成为独立、专门的数据犯罪条款;二是新增罪名以实现数据安全的专门化保护。这一方案的优势在于能够精准认定数据犯罪,即可以通过立法对数据安全保护“量身定做”罪名体系。德国刑法中就有专门针对数据犯罪的罪名,如探知数据罪、变更数据罪、截获数据罪和窝藏数据罪。不少学者认为,随着《中华人民共和国数据安全法》《中华人民共和国网络安全法》等的颁布,数据安全的内涵得以建构,数据安全有被专门化保护的需求,需要设置有针对性的罪名。[29]但是这一方案可能带来新的问题,比如如何处理专门化保护罪名和现有非专门化保护的罪名之间的关系。新增罪名存在使司法认定更加混乱的风险,如何合理增设有关罪名成为难点。在此情况下,对数据进行专门化刑法保护的方案需要配套机制的支撑,才能发挥其应有的效用。
(二)立法与司法的联动解决方案
数据形式保护和实质保护分歧的根源在于两条路径皆无法满足数据刑法保护的现实需求:实质保护的认定结果不一,形式保护无法反映数据犯罪的罪质,却又不能对形式保护条款“视而不见”。因此,对形式保护和实质保护进行排序无法真正解决两者冲突,应当通过立法和司法联动改造形式保护和实质保护,从而实现对数据的精准刑法保护。
1.对实质保护条款进行必要的改造
实质保护认定存在争议,主要原因在于现有的实质保护条款没有对法益数据化作出直接的回应。以侵财犯罪为例,现有刑法规定中侵财犯罪的对象为“财物”,以数据形式存在的虚拟财产能否纳入“财物”范围需要刑法予以解释,不同的解释路径可能得到不一样的结果。如果刑法立法能够在总则部分对部分法益的数据化作出明确规定,如财物包括以电磁数据记录的虚拟财产,那么实质保护的认定争议就能得到解决。有学者提出,侵犯虚拟财产的行为按照侵财犯罪进行认定,将导致价值认定困难等系列问题。笔者认为,价值认定困难等问题不应成为影响罪质认定的因素。价值认定的困难可以通过司法手段予以解决,如根据交易主体和交易环节区分认定等方法。[24]87只要法益的数据化没有改变行为的性质,就应当根据同一罪名进行认定。
那么,如何考察法益数据化是否改变了行为的性质?一是考察法益数据化的等价性,即经过数据化的法益是否和非数据化的法益具有等价性。等价性的考察是对法益数据化前后进行直接对比。例如,商业秘密是否以数据化的形式被存储或记录不影响商业秘密的性质,因而商业秘密数据化具有等价性。一般情况下,法益的记录和存储方式不是法益结构的组成部分,法益数据化通常具有等价性。二是考察法益数据化对法益恢复的改变,即数据化的法益恢复的方式和难度是否发生改变。例如,不少虚拟财产可以通过简单的数据还原实现恢复,那么此时法益数据化降低了法益恢复的难度,侵犯此类虚拟财产行为的性质和侵犯实体财产行为的性质则存在区别。因为此时侵犯此类虚拟财产的行为不会直接导致对他人财产权的侵犯。三是考察社会生活和民众对法益数据化的接受程度。立法为民,让立法获得社会认同是法治实现的应然之路。因此,改造实质保护条款,明确法益数据化纳入实质保护范围,需要考虑社会生活和民众的接受程度。例如,随着财物逐渐摆脱实体性的束缚,人们在社会交往中已经大量使用数字化财产,此时将数字货币等虚拟财产纳入侵财犯罪的对象能够获得一般的社会认同。通过以上三方面的考察,可以基本判断法益数据化是否改变行为的性质。在法益数据化不改变行为性质的基础上,应当考虑将数据化的法益明确纳入实质保护条款的对象之中。
2.取消对数据单独的形式保护
目前,数据形式保护与实质保护分歧的症结在于形式保护条款不能满足数据保护的需求。数据不只是计算机信息系统中的电磁符号,但目前形式保护条款认定数据等同于计算机信息系统中的电磁符号。事实上,所有的犯罪均应当根据犯罪行为的本质进行认定。如果没有这一形式保护条款,那么数据形式保护与实质保护的分歧就不复存在。如前所述,形式保护条款的产生依托于计算机犯罪,是在计算机犯罪罪名体系中增加的规定。形式保护条款的立法目的本身是为了打击计算机犯罪中的常见行为。如今,这一立法设计使数据保护出现了单独的形式保护,影响了司法中对数据犯罪的认定。当时的立法目的和必要性不再适应社会生活和环境的变化。
近年来,域外的数据刑法保护已经逐渐弱化了单纯的形式保护。在美国,数据犯罪主要是指未经授权访问或者超越授权访问计算机并获取数据的行为。对于何为“未经授权访问或者超越授权访问”,存在语义模糊不清的问题。[30]在司法判例中,法官对于“未经授权访问或者超越授权访问”的解释经历了从宽松适用到缩小适用的过程。缩小适用范围的路径包括限制对公开数据的保护,理由是过度保护公开数据会导致数据垄断,不利于数据公司和数字经济的发展。①如果将“未经授权访问或者超越授权访问”定义为非法侵入计算机信息系统,可能导致数据犯罪罪名不当地沦为公司反竞争的工具。[31]因此,美国对数据的刑法保护看似是一种形式保护,但在实际审判中蕴含的是实质保护的思想,即在进行数据刑法保护时需要考察实质保护的必要性。在德国,数据的刑法保护并不依赖于计算机信息系统,窥探、拦截、窝藏以及变更数据的行为都有专门的数据犯罪罪名予以规制,①而德国刑法中设置的破坏计算机罪,实则是为了保护数据的实际使用可能性,[32]其最终目的仍是实现数据的实质保护。值得注意的是,德国对于数据的刑法保护存在一般数据保护和个人数据保护之分。[33]虽然这一保护机制同样存在二元结构,但是一般数据刑法保护的对象不是计算机信息系统这一数据载体,所以一般数据保护和个人数据保护都属于实质保护,不存在形式保护和实质保护之分。
①参见HiQ Labs, Inc. v. LinkedIn Corp. , 273 F. Supp. 3d 1099 (N. D. Cal. 2017)。
①参见《德国刑法典》第202条、第303条a。
那么,为什么选择取消对数据单独的形式保护而不是将形式保护作为数据的兜底性保护?理由有三:一是刑法对数据进行兜底性保护将使数据的刑法保护范围过大,不符合刑法的谦抑性原则。将形式保护作为数据的兜底性保护,意味着形式保护发生在行为尚未达到实质保护要求的情况之下。对数据单独的形式保护并不是在保护数据本身,而是在保护数据所在的计算机信息系统。单独的数据被获取或破坏,一般情况下不会直接造成对计算机信息系统的严重侵害。因为单独的数据被获取或破坏而保护其所在的计算机信息系统安全,是一种对计算机信息系统的过度保护。此时,利用刑事制裁的手段严惩侵犯数据记录形式的行为是一种对数据管理的过度干预,不利于信息时代的数据流通。二是形式保护和实质保护不是兜底与被兜底的关系,在立法和司法层面都无法实现这种兜底性保护。将形式保护作为数据的兜底性保护目前只是一种理论设想,现有的形式保护条款和实质保护条款在刑法适用中不存在兜底与被兜底的关系。这种理论设想的产生说明形式保护的立法设置本身存在缺陷,不能相融于整个数据刑法保护的立法体系。在立法未改变的情况下,司法不能擅自将形式保护条款和实质保护条款理解为兜底与被兜底的关系。三是防止形式保护条款沦为“口袋罪”。形式保护条款被看作信息时代的新“口袋罪”,原因之一在于在司法实践中,形式保护条款不仅保护计算机信息系统安全,还同时保护数据安全。但是,形式保护条款作为计算机犯罪罪名之一,不应承担保护数据安全的功能。取消对数据单独的形式保护将使计算机犯罪成为纯粹保护计算机信息系统的罪名体系,数据安全法益不再是计算机信息系统安全的附属。计算机犯罪条款的适用范围将被缩限,成为“口袋罪”的可能性大大降低。应当注意的是,取消对数据单独的形式保护不是删除计算机犯罪条款,而是将以数据为犯罪对象的行为排除在计算机犯罪的范围之外,例如,删除“获取该计算机信息系统中存储、处理或者传输的数据”等规定。
3.设置专门的数据安全保护规定
在取消对数据单独形式保护的基础上,仅仅依靠现有的数据实质保护条款尚不能实现对数据安全的完整保护。现有对数据的实质保护条款是对数据所记录信息内容的保护,在大数据时代到来以前,现有的数据实质保护可以基本实现对数据安全的完整保护。但是,在大数据时代到来之后,现有的数据实质保护只能实现对数据分散的单独保护,不能维护数据汇聚所形成的新的价值和意义。在大数据时代,数据安全的重要性之所以受到高度重视不仅仅是因为数据本身所代表的信息内容,更是因为数据汇聚可以产生新的动态价值。“数据控制的必要性在于,在承认数据技术对于信息分享的积极意义上,抵销或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。” [34]在此情况下,从数据综合治理的角度对侵犯数据安全的行为进行刑法评价,能够实现对数据安全的精准保护。现有的数据实质保护条款并非专门在大数据时代中应运而生的,不能体现对数据流动价值和管理秩序的保护,通过数据实质保护条款对侵犯数据行为进行犯罪认定难免存在偏差。与此同时,数据的实质保护范围有限,在数字经济的发展背景下,数据权利具有独立性,实质保护不能完全实现数据的刑法保护。因此,现有的数据形式保护和实质保护都不能准确实现数据安全保护,在取消数据单独形式保护的基础上,应当通过新增罪名实现数据安全的精准保护。
至于如何新增专门的数据安全刑法保护规定,实际上需要讨论数据安全刑法保护的应然法益。实质保护将数据理解为其信息内容所对应的法益,只能实现对数据信息内容性的保护。然而,数据的共享价值已经在大数据时代得到体现,这一价值对应的法益应是独立的数据安全法益。数据共享机制不属于某个特定的主体,而应当从宏观上进行综合控制。就此而言,数据安全法益的本质是数据管理秩序,而非个人法益或某个特定主体所具有的利益。与此相对应,新增数据安全刑法保护规定打击的应当是对抗数据共享机制的数据滥用行为。数据管理是数字经济发展的重要组成和支撑。为保障数字经济发展,维护数据安全,应当在《中华人民共和国刑法》第三章“破坏社会主义市场经济秩序罪”中增设诸如滥用数据罪等新罪名,形成数据安全刑法保护的专门体系。
4.妥善处理不同法条之间的关系
通过前述立法调整,数据犯罪的罪名体系将形成“一主线多支线”的基本结构。其中,“主线”是指新增的数据安全刑法保护专门罪名,即滥用数据罪等新罪名;“支线”是指对数据所含信息内容的实质保护罪名。在取消对数据单独的形式保护之后,计算机犯罪罪名体系将纯粹保护计算机信息系统安全,也属于“支线”之一。对于侵犯数据的行为,究竟是适用“主线”罪名还是“支线”罪名应当遵循以下规则。
一是根据行为侵犯的直接法益适用罪名。“主线”罪名保护的法益是数据管理秩序,属于集体法益;“支线”保护的法益因罪名的不同而不同,主要保护数据权利主体的利益,大部分属于个人法益。应当注意的是,并非所有被侵犯的法益都是直接法益。因为数据具有丰富的内涵和信息,侵犯数据的行为往往侵犯了多重法益,此时适用罪名应当根据行为人的主观目的和行为直接侵犯的对象判断行为所侵犯的直接法益。“集体法益是保护个人法益的必要前置。” [35]集体法益保护和个人法益保护没有绝对的冲突,集体法益保护的终极目标是为了实现个人自由,集体法益保护具有前置性和直接性。在集体法益和个人法益同时受到侵犯的情况下,集体法益是被侵犯的直接法益,个人法益是被侵犯的间接法益,应适用保护集体法益的罪名。例如,生产、销售、提供假药的行为同时侵犯了药品管理秩序和公民身体健康,药品管理秩序属于前置性的集体法益,同时是生产、销售、提供假药行为侵犯的直接法益,适用生产、销售、提供假药罪。在新增“主线”罪名后,如果行为侵犯的直接法益是数据管理秩序,应适用“主线”罪名。
二是根据行为违反的前置法规范的性质确定罪名。不少数据犯罪属于法定犯,前置法规范对行为性质的判断有直接影响。现有数据保护的前置法规范包括《中华人民共和国数据保护法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》等。若侵犯数据的行为违反的是《中华人民共和国数据保护法》,应当考虑对行为适用“主线”罪名;若侵犯数据的行为违反的是《中华人民共和国个人信息保护法》中的罪名,应当考虑对行为适用侵犯公民个人信息数据罪等罪名。
三是在行为侵犯的直接法益确有多个的情况下,应当考虑认定为想象竞合犯。以数据为犯罪对象的一次侵害行为可能同时成立“主线”罪名和其他“支线”罪名的竞合。[36]84例如,个人信息作为重要的数据,是数据管理秩序中的重要内容,行为人在掌控公民个人信息的情况下,滥用公民个人信息,破坏数据管理秩序,可能同时构成“主线”数据犯罪罪名和侵犯公民个人信息罪,成立想象竞合,应择一重罪处罚。在对数据单独的形式保护没有取消的情况下,有观点可能认为,通过侵犯计算机信息系统实现特定法益侵犯的行为具有手段行为和目的行为的牵连关系,成立牵连犯。[36]84但此类案件中行为往往是单数,难以被认为存在牵连犯所要求的多行为。同时,在弱化对数据单独的形式保护后,这一问题也随之被纾解。
四、结语
数据形式保护与实质保护的分歧是现有数据犯罪治理亟须解决的难点,也是司法实践中数据犯罪认定困难的根源。在现有立法基础上,仅仅通过不同司法路径或司法技术解决这一分歧并不可行。换言之,数据形式保护与实质保护的分歧并不能依靠对两者进行排序或融合得以解决。解决这一分歧,需要立法先行,也即调整现有数据犯罪的罪名体系,将分散式的罪名体系修改为“一主线多支线”的罪名体系。其中,“主线”反映的是数据刑法保护的时代需求,即数据的共享、流动价值需要在刑法保护中得到特殊体现。“支线”是数据多元属性造成的刑法保护辐射空间,主要由现有实质保护条款组成。在立法完善的基础上,司法手段与技术也不能缺位,即司法过程中应准确识别数据犯罪的罪质。数据犯罪的认定应当以“主线”罪名为核心,从宏观层面衡量数据的刑法保护价值,以“支线”罪名辅助数据犯罪的认定,从而形成全面的数据刑法保护。总体而言,仅靠立法或仅靠司法都不能从根本上解决数据形式保护与实质保护的分歧。解决这一分歧需要立法和司法的联动,以适应数据在这一时代新的特点和法律意义。
参考文献
2024·第2期第2篇
特别说明:
(1)本公众号仅用于学术信息的发布与交流,不存在任何营利行为;
(2)本公众号推文使用图片除特别说明外,均来自于网络。
往期推荐
编辑:康仪欣
校对:李 想
终校:杨丽雯
