点击蓝字,关注我们
数字经济环境下数据犯罪规制和认定模式的演变
作者:刘宪权
(华东政法大学 刑事法学研究院,上海 200042)
数字经济是由现代信息技术的快速发展催生出的经济形态,数据是数字经济发展的关键要素,数字经济的发展离不开数据的产生、处理、流通以及使用。在数字经济发展的背景下,社会生活的各个环节、流程逐步实现数据化,以数据为对象的数据犯罪成为新时代刑法规制的重点与难点。数据犯罪覆盖范围广,行为方式多样,且涉及多种信息技术,这无疑给数据犯罪的规制和认定带来了不小的挑战。特别是司法实践中因刑事立法的相对滞后而导致司法认定不统一的问题大量存在。例如,利用爬虫技术获取已公开信息的行为是否构成犯罪?非法获取游戏源代码、窃取虚拟财产的行为如何认定?这些问题,在司法实践中存在明显的争议。刑法因为重视稳定性而无可避免地带有滞后性,但这种滞后性应当体现在立法之中而不是萦绕于理念之上。[1]溯及根源,对这些数据犯罪规制和认定的障碍主要还在于数据犯罪认定的模式尚未及时调整。现有数据犯罪规制和认定的模式由早期计算机犯罪罪名设置所确立,面对数据犯罪层出不穷的变化,显得力有不逮。笔者认为,犯罪规制和认定的模式决定着立法方向与司法路径,是解决数据犯罪规制和认定疑难问题的根本。因此,有必要对数据犯罪规制和认定的模式进行专门研究。
一、数字经济发展对
数据犯罪规制和认定的影响
2022年,我国数字经济规模达到50.2万亿元,同比名义增长10.3%,已连续11年显著高于同期GDP名义增速,数字经济占GDP比重达41.5%,这一比重相当于第二产业占国民经济的比重。[2]数字经济已经成为我国经济发展的中坚力量,是构建信息时代国家竞争新优势的重要先导力量。[3]经济管理秩序是刑法保护的重要法益之一,刑法应当为数字经济的发展保驾护航。数字经济的发展催生了不同样态的数据犯罪,同时也为数据犯罪的规制和认定提出了不同层面的需求。
(一)数据安全的保证
一般认为,数字经济包含数字产业化和产业数字化两个方面。数字产业化关注的是数字信息技术所提供的各种产品和服务;产业数字化强调的是利用数字技术提升产业的生产效率和发展效益。[4]可见,数字产业化通过数据建构各类产品和服务的底层基础,产业数字化通过数据引领各项产业转型升级,而数据安全则是数字产业化和产业数字化发展的共同基础。
《中华人民共和国数据安全法》(简称《数据安全法》)第三条第三款规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”《数据安全法》的这一规定无疑展现了数据安全保障的应然状态。实际上,数据安全主要包含两方面的内容:一是静态数据安全,即处于存储状态的数据不能被删改,应受到有效保护;二是动态数据安全,即数据的流动应具有合法性、可控性,能够被有效利用。其中,对静态数据安全的保护是对数据承载的信息内容的保护。数据承载的信息内容可能涵盖不同刑法保护的法益,包括国家秘密、商业秘密、个人隐私等。对静态数据安全的破坏行为完全可能构成传统信息犯罪,如侵犯知识产权罪、侵犯财产罪等,刑法应当及时对此类行为予以规制。对动态数据安全的保护则以数据流通合法、合理为基本原则。首先,要保证数据主权不受侵犯。数据主权是国家主权在数据控制方面新的表现形式。[5]维护数据主权的基本要求是,跨国数据流通不得侵害国家安全,不得损害国家利益。其次,数据的不当流通可能危害社会安全。信息技术的革新加速了危害信息和虚假信息的传播效率,信息散布型犯罪属于较之于传统犯罪呈危害“量变”的网络犯罪。[6]生成式人工智能的出现,使数据的产生、流通有了新的方式和路径,也可能造成新的刑事风险。最后,数据流通不应对隐私和个人信息安全造成不当影响。随着人工智能等高科技产业的兴起,大数据的应用愈发受到企业和相关组织的重视,这些企业和相关组织在掌握海量数据后,若不当处理数据,将明显加剧数据泄露的风险,尤其是隐私和个人信息安全完全可能处于危险状态。因此,我们有理由认为,数字经济的发展,提升了数据安全的重要性,应当要求刑法为数据安全提供强有力的保障。
(二)数据共享活力的保障
数据共享是数字经济从起步到高速增长的关键因素。互联网的发展经历了从早期技术准备阶段到商业化阶段的过程。[7]在数字经济发展的起步阶段,计算机技术刚开始普及,信息开始以数据的形式被记录。当时由于数据的流通受制于技术障碍,数据的共享价值其实没有得到足够的重视。但是,经济社会中每个主体掌握的数据是有限的,数据只有通过不同主体之间的交换和流通,才能产生新的数据以创造新的生产力。在数字经济发展的高速增长阶段,数据共享是云计算、人工智能、区块链等产业发展的基础,是数字经济发展的驱动力量。因此,只有保障数据共享具有充足的活力,数字经济才能健康平稳发展。笔者认为,从刑法角度分析,要保障数据共享活力理应做好以下两个方面的工作。
其一,保障数据共享活力,应当让数据共享方的基本权利不受侵犯。从经济学角度分析,根据是否具有“争用”和“限用”两个特性,我们可以将生产要素分为私用品、公用品、共享品和共用品。理论上一般认为,知识、技术和数据具有“不争用”却“可限用”的特性,属于共享品。“可限用”说明数据的前期生产过程是有成本的,因此,通过收取专利费等方式适当“限用”是合理的。[8]如果数据共享方的基本权利没有得到保证,那么数据共享方很难积极主动地参与到数据流通过程之中。为数据共享方赋权,实际上是为数据共享创造一种激励机制,这如同知识产权制度之于知识创造的功能一样。数据共享方的基本权利具有多样性,包括个人信息权、知识产权、财产权等等。在刑法视野中,绝大部分数据共享方的基本权利都属于个人法益。笔者认为,针对数据犯罪的规制和认定,我们理应将保护个人法益不受侵犯作为一项重要内容加以对待。例如,在社会生活中,非法获取个人信息的行为侵犯了公民个人信息权,我们应当将其归入侵犯公民个人信息罪的刑法调整范围之中。
其二,保障数据共享活力,也需要保证数据需求方不受过多限制和束缚。数据共享既是一种数据财产的使用行为,也是一种数据开发与再利用行为。[9]数据价值的实现过程包括数据生产(采集)、数据集生产(汇集性处理)和数据分析(分析性处理)三种行为。[10]数据需求方作为数据价值的开发主体,其作出的获取数据、汇集数据和分析数据行为需要有制度支持。如果数据价值开发过程中的任何一环节被过度干预,那么数据的价值将难以得到充分体现。刑法是最严厉的部门法,对于数据价值开发而言,刑法介入的时点和力度将直接影响有关产业的发展。一旦某种产业或业态被贴上“犯罪”的标签,那么这一产业或业态将面临毁灭性的打击。刑法的过度干预无疑将对数据价值开发的动力和产业生态造成一定程度的破坏。
应当看到,数据共享方和数据需求方的连接点在于数据共享方“提供”数据与数据需求方“获取”数据,这也是数据共享的过程。这一过程是否具有非法性,往往和数据犯罪的认定存在直接关联。例如,在“晟品爬虫案”中,通过爬虫技术获取网络数据如果未经授权,则该数据“不为其他不应获得者获得”,而被认定为非法获取计算机信息系统数据罪。①这样的认定结果显然不利于数据需求方获取数据,相反有利于数据共享方形成优势地位。理论与实践通常认为,民法领域数据的权利化有利于数据共享,是对数据价值的承认和数据共享的激励。然而,民法中的数据权利化和刑法中的数据犯罪认定不能等同,两者关注的焦点不完全相同。所谓“刑事看行为,民事看关系”的实质含义是指,民法注重法律关系的调整,而刑法则注重对行为性质的认定。数据共享需要数据共享方和数据需求方的共同参与,面对两者之间可能存在的冲突,对“获取”数据行为性质的认定将直接影响数据共享的效率和数据共享各方分享数据份额的配置。这显然是数字经济发展对数据犯罪规制和认定提出的一大难题。
①参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。
二、数据犯罪规制和认定模式与
数字经济发展需求之间的偏差
由于社会中各种不确定因素不断增加, 国家与社会安全问题日益突出,所以防卫社会的需求也越来越大。[11]有观点认为,刑法关于数据安全的保护模式可以分为数据控制安全保护模式和数据利用安全保护模式,我国采用的是前一模式。[12]58-59这一划分的主要依据是数据安全的不同内容。笔者认为,从现有数据犯罪规制和认定的核心保护法益、重点规制行为和根本目的来看,现有数据犯罪规制和认定应该采用的是权利保护模式,即通过判断数据权利的归属、获取数据行为的合法性认定数据犯罪。
现有数据犯罪规制和认定适用的主要罪名包括非法获取计算机信息系统数据罪、侵犯公民个人信息罪、侵犯商业秘密罪、盗窃罪等。虽然部分罪名在刑法分则中被置于保护集体法益的章节,但这些罪名所保护的法益均属于特定主体的利益。例如,非法获取计算机信息系统数据罪虽然属于扰乱公共秩序罪中的一个罪名,但这一罪名保护的是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统安全,这些计算机信息系统归属于特定主体,包括公司、企业、社会组织等。集体法益和个人法益相互之间不是绝对割裂的关系,相反,两者之间存在密不可分的联系。现有数据犯罪罪名主要规制的是非法获取数据的行为,包括非法获取计算机信息系统中的数据、非法获取个人信息等。因犯罪对象的不同,“获取”行为的表现形式存在差异。现有数据犯罪规制和认定模式的根本目的在于保护数据权利主体的利益。然而,这一模式和数字经济发展的需求之间似乎存在着不小的偏差,主要表现为以下两个方面。
其一,以非法获取行为为规制重点的前置化保护不当可能导致数据流通受阻。如前文所述,数据流通包括获取数据、汇集数据和分析数据等过程。获取数据是数据流通过程的起点,也是汇集数据、分析数据等过程的基础。我们完全可以认为,没有获取到充足的数据,数据流通将成为无根之木、无源之水。现有数据犯罪采用的权利保护模式重点规制非法获取数据行为。获取数据的行为一旦被认定为数据犯罪,那么之后的数据流通就会被完全切断。可见,权利保护模式是一种对数据流通的前置化保护,保护不当则将导致数据流通受阻。
权利保护模式对获取数据行为性质的规制和认定可以分为两个步骤。一是判断数据的权利归属。在数据犯罪规制和认定中,判断数据的权利归属是对数据控制权的判断,即特定主体对数据具有存储、处理和使用的权利。例如,商业秘密的所有人、使用人对商业秘密具有控制权。二是判断获取数据的行为是否得到授权或同意。如果获取数据的行为得到授权或同意,那么该获取数据的行为当然地被认为具有合法性,即不存在被认定为数据犯罪的可能性。以企业对用户数据的获取为例,用户的知情同意是企业获取用户数据的重要原则,也是获取行为合法性的基础。如果企业在获取数据的过程中存在主动征询用户同意的行为,那么该行为就被认为具有合法性。与之相反的是,如果获取数据的行为未经授权或同意,则该行为几乎没有出罪的空间。在前述“晟品爬虫案”中,上海晟品网络科技有限公司(简称晟品公司)通过爬虫技术抓取了北京字节跳动网络技术有限公司(简称字节跳动公司)的视频数据,虽然这些视频数据处于公开状态,但是晟品公司获取视频数据是通过破解字节跳动公司的防抓取措施完成的,因而被认为爬取行为没有获得合法授权,构成非法获取计算机信息系统数据罪。
诚然,非法获取数据的行为侵害了数据权利主体的利益,大部分行为具有刑事违法性的特点。但是,在权利保护模式下,数据犯罪成立与否主要依据数据权利主体的“态度”,数据犯罪的认定和刑事制裁可能沦为企业垄断数据的“利器”。同时,数据权利主体的授权或同意随时可能发生变动,数据权利主体的“态度”不明确,将为数据需求方带来极大的风险。[13]32在美国的司法实践中,“未经授权访问”或“超越授权访问”是数据犯罪成立的基本行为要件,对这一行为要件的判断经历了从宽泛到限缩的过程。在宽泛的判断标准下,几乎所有数据网站表示不同意的抓取行为都足以被认定为“未经授权”或“超越授权”。[14]这一做法在理论上被认为不当扩大了数据犯罪的范围。在“HiQ Labs,Inc.v.LinkedIn Corp.”案中,法院认为,如果新生数据公司不能获取其他网站的公开数据,那么将面临倒闭,不利于数据公司之间的竞争,可能形成大公司的数据垄断地位。①根据不同场景,美国司法实践对“授权”的解释形成了不同的规则,数据权利主体是否采取措施防止数据获取已经不再是“授权”的唯一判断标准。我国数字经济发展初期的重点集中于电子商务、电子邮件、门户网站、即时通信等信息服务产业。[15]此时采用权利保护模式具有一定的优势,能够提升用户对此类新生信息服务产业的信赖,保证新生的信息服务产业得到有效发展。但随着数字经济进入高速发展阶段,数据流通的重要性愈发凸显,数据如果仅仅掌握在少数主体中,显然不利于数字经济的发展需求。从这一角度分析,我们不难看出,数据流通和数据权利保护之间可能存在天然的矛盾。采取前置化的数据刑法保护方式固然有其优势,能够从根源上遏制数据犯罪的发展,但是也可能不当地扩大数据刑法保护的范围,灭杀数据需求者的创业热情,给数据共享人为地制造不应出现的障碍。
①参见HiQ Labs,Inc. v. LinkedIn Corp. ,273 F. Supp. 3d 1099(N. D. Cal. 2017)。
其二,行为方式局限导致数据安全保护不全面。应该看到,数据价值的实现依赖于数据获取、数据传输、数据处理、数据分析、数据使用等不同过程。在权利保护模式下,当前我国数据犯罪规制的主要行为方式集中在数据获取的过程,数据处理、数据分析、数据利用等数据价值实现核心过程中出现的危害行为,不属于数据犯罪规制的内容。因此,不少学者提出要对数据安全的完整生命周期进行全流程的刑法保护。[16]笔者认为,虽然这一观点中的一些内容存在值得商榷之处,即按此观点可能会出现刑法对数据流通干预过多的现象,但是,这一观点的提出似乎看到了我国数据犯罪规制的行为方式具有局限性,这也是现有数据犯罪规制的不足之一。数据价值的实现虽然源于数据获取,但在数字经济高速发展的背景下,数据处理、数据分析及数据利用等过程更能体现新时代数据的创造力和生命力,这意味着这些过程中出现的危害行为的危害性完全可能不低于数据获取阶段产生的危害性。例如,滴滴公司掌握着大量用户的出行数据,对其控制的用户数据的不当处理,会使国家关键信息基础设施安全和数据安全受到严重威胁。
在权利保护模式下,数据犯罪规制的力度和强度不小,却在广度上有所欠缺,导致司法实践在进行不同阶段数据刑法保护时遇到了障碍。笔者曾撰文指出,非法分析、处理数据的行为不同于非法获取数据的行为。[13]34但是,在司法实践中,囿于立法没有针对非法分析、处理数据行为的专门规定,存在将非法分析、处理数据的行为归入非法获取数据行为的案例。在“摩蝎数据爬虫案”中,杭州摩蝎数据科技有限公司通过爬虫技术获取贷款用户的个人信息,这一行为已经通过《数据采集服务协议》得到了用户的授权。但因杭州摩蝎数据科技有限公司在对数据处理的过程中,擅自将用户数据长期留存,最终被认定“以其他方式获取公民个人信息”,构成侵犯公民个人信息罪。①这一解释实际上是“立法空缺下的无奈之举”。[17]在“岳某某、谢某非法侵入计算机信息系统案中”,岳某某、谢某在代办审车、车辆违章处理业务时,在国家事务的计算机信息系统“交管12123”注册过程中,利用“轻松换脸”软件逃避实人认证,非法注册、绑定车辆进行车辆违章处理。这一行为最终被认定构成非法侵入计算机信息系统罪。②然而事实上,通过“换脸”软件进行车辆违章处理的行为本质上不是“侵入”,因为这一行为没有改变“交管12123”计算机信息系统的使用过程。这一行为的危害性主要体现在对人脸识别信息的滥用上。可见,这一案例体现了现有数据刑法保护在数据处理阶段中的缺位。
综上,笔者认为,现有数据犯罪规制和认定采用的权利保护模式虽然体现出了数据犯罪治理的积极信号,但是这一模式导致刑法的介入在数据获取阶段“用力过猛”,却在数据价值实现的其他阶段“力有不逮”。可见,数据犯罪规制和认定的权利保护模式不能完成数字经济发展下精准打击数据犯罪的需求,和数字经济发展的需求存在错位和偏差。
①参见杭州市西湖区人民法院(2020)浙0106刑初437号刑事判决书。
②参见河南省长垣县人民法院(2020)豫0728刑初245号刑事判决书。
三、数据犯罪规制和认定模式的应然选择:
秩序维护模式
数据控制的必要性主要表现为,在承认数据技术对于信息分享的积极意义上,抵销或纠正不正当的数据利用方式带来的冲击,而非通过控制数据流动去影响数据的分享。[18]数字经济发展既要求数据犯罪的规制和认定保证数据安全不受侵犯,也要求数据共享不受阻碍。面对这两方面的要求,笔者认为,数据犯罪的规制和认定模式应当从权利保护模式转变为秩序维护模式。与权利保护模式相比,秩序维护模式揭示了数据犯罪规制和认定的基本逻辑和目的。换言之,秩序维护模式在数据犯罪规制和认定的基本理念和规制重点上与权利保护模式存在明显的不同。
(一)秩序维护模式的基本理念
基本理念的指导对于刑法立法和司法都有重要的价值。在风险社会背景下,犯罪样态将发生重大改变,这也给传统刑法以及刑事政策带来了巨大的挑战。[19]秩序维护模式在数据犯罪规制和认定方面所秉持的基本理念包括立法理念和司法理念。秩序维护模式的立法理念是数据犯罪治理基本立场的体现。在立法理念方面,秩序维护模式通过构建秩序型集体法益以评价对数据的侵害行为。秩序维护模式的司法理念是数据犯罪司法认定的一般逻辑。在司法理念方面,秩序维护模式注重实现数据犯罪认定的核心目标。秩序维护模式的基本理念贯彻于数据犯罪的立法、司法全过程,具体表现为以下三个方面的内容。
首先,秩序维护模式兼顾数字经济发展下数据安全和数据共享的需求。如前所述,数据安全和数据共享对于数字经济健康平稳发展均有至关重要的作用。然而,如果过度偏向保证数据安全,尤其是静态数据安全,可能会影响数据共享的效率。在此情况下,数据安全和数据共享可能存在冲突和矛盾。面对这一冲突,权利保护模式选择数据安全优先,更偏向于对数据权利主体利益的维护,将数据共享的效率作为可以牺牲的次要利益。有学者认为,我国数据犯罪治理应当采用数据利用模式,即对数据“动的安全”的维护。[12]66但是这一模式只保护了数据安全中的动态数据安全。动态数据安全和数据共享不是相同的概念,动态数据安全是数据利用安全,强调的是利用数据中的“安全”,即数据在利用的过程中不受侵害;数据共享虽然也是动态的,但是关注的是“共享”,即数据处于流通状态,并且这一状态得到法秩序的认可与支持。数据利用模式没有关注到数据共享的独立价值,将其理解成数据安全的一部分内容,同时这一模式不顾静态数据安全的做法似有不妥之处。应该承认,从改变现有数据犯罪治理的角度而言,数据利用模式的提出有其价值。但是,这一模式可能存在从一个极端走向另一个极端的危险。笔者所提倡的秩序维护模式在立法设置上倾向于突出保护动态数据安全,以期实现数据安全和数据共享的平衡。秩序维护模式的选择是避免对静态数据安全的过度保护,并主张动态数据安全的保护优位于静态数据安全的保护,从而保证数据共享不受阻碍且鼓励数据共享。这里所称的对静态数据安全的过度保护,是指根据数据权利主体的“态度”实行的数据保护,即单方面地从数据权利主体的角度评价数据侵害行为。而作为数据刑法保护的内容,静态数据安全的保护应从宏观数据管理的角度进行全盘考虑,避免刑法成为部分数据权利主体维护私利的“利器”,合理的静态数据安全仍应是刑法数据保护的对象。
其次,秩序维护模式在立法设置上关注数据价值实现过程中各方主体的利益。在权利保护模式下,立法设置通过分散于刑法各个章节的不同罪名实现对数据权利主体的单向保护,缺乏对数据需求者、数据管理者等其他主体的利益考虑。事实上,在数据价值的实现过程中,既有横向关系的发生,也有纵向关系的发生。横向关系的发生以数据流通为基础,数据流通过程中不同主体之间的数据交换、传递,促成了横向关系链条的建立。单独对某类横向关系进行刑法保护历来是数据犯罪规制和认定的重点内容,例如对非法获取公民个人信息、商业秘密的行为被认定为犯罪几乎没有争议。但是,现有刑法保护并未涵盖全部的横向关系,如数据的处理行为似乎尚未列入刑法规制的范围。纵向关系的发生以数据安全监管为基础,包括政策导向、规范和标准的制定、行业指导等内容。纵向关系是个人、企业等个体和社会的关系。现有数据犯罪的认定鲜有对此类纵向关系的考量。多种不同领域、产业的横向关系和纵向关系共同形成了数据价值实现的关系网。保护这一数字经济发展下的关系网本质上是对数据秩序的维护,而不再是专门针对某类主体数据权利的保护,这也正是秩序维护模式下数据犯罪的立法出发点和最终落实点。
最后,秩序维护模式更加看重一般数据的公共产品属性。联合国教科文组织信息与信息学部主任菲利普·奎奥曾经指出:“知识的获取,乃是开放社会的重要原则之一。垄断信息,大大限制了对知识的获取。”[20]虽然人类设计出了知识产权制度用以保护知识的创新力,但数据作为信息内容的载体,本身不应具有排他性,否则对于人类社会的共同进步是有害无益的。现有理论对数据属性的讨论,常常遇到障碍的原因在于数据和信息相互之间产生了叠加的效应,造成数据属性具有多元化的表现形式。现有理论对数据属性的解决方案大致分为三种:赋予数据财产权方案、赋予数据人格权方案以及从竞争权益角度考虑数据属性。[21]这些方案的共同特点在于试图通过一种理论范式来说明数据所具有的多元利益,但是,有些方案则没有注意到数据本身具有的公共产品属性,进而难以达成一致意见。以企业数据保护为例,财产权保护方案赋予企业对数据排他性的权利,但不利于平台数据共享流通,将造成互联网企业的封闭与分裂。[22]笔者一贯主张将数据分为一般数据和特殊数据。特殊数据是指个人信息、商业秘密、国家秘密等需要刑法所特殊保护的数据;一般数据是特殊数据以外的其他数据。[13]29特殊数据之所以需要刑法特殊保护,原因在于特殊数据所承载的信息本身属于刑法保护的法益。而一般数据需要刑法保护,原因则在于其具备公共产品的属性。如果特殊数据所承载的信息尚未达到刑法特殊保护的标准,那么也应当属于公共产品。换言之,刑法对一般数据的保护模式应当区别于特殊数据,即应当从维护公共产品安全秩序的角度对侵害数据法益的行为进行刑法评价。
(二)秩序维护模式的规制重点
如前所述,权利保护模式重点保护数据权利主体的利益,重点规制各种类型的非法获取数据行为。在秩序维护模式下,数据犯罪重点保护的法益和规制的行为方式均发生了变化。
在法益保护方面,秩序维护模式注重集体法益的保护。一般认为,法益是在以个人及其自由发展为目标进行建设的社会整体制度范围之内,有益于个人及其自由发展的,或者是有益于这个制度本身功能的一种现实或目标设定。[23]这一概念以实现个人自由为法益保护的根本目标,但也承认为了个人自由的实现,刑法应当保护集体法益,即国家制度、管理秩序等作用于全体社会成员的共同利益。近年来,不少学者对集体法益的刑法保护质疑或持有审慎的态度,认为对集体法益的保护可能会减损对个人法益的保护。[24]然而,集体法益又确实具有刑法保护的必要性。面对社会生活中存在的各类风险,如果不将集体法益作为刑法前置化保护的根据,个人法益事实上也无法得到有效的保护。例如,国家安全的保护对于个人的生命权、健康权以及财产权等权利的实现具有重要的意义。科技的发展在促进社会发展的同时也使社会生活面临新的风险,诸如克隆技术、人工智能技术等新兴技术的出现使刑法保护集体法益的必要性更加明显。数据安全和数据共享只有依靠健康长效的管理制度和秩序才能实现。因此,对集体法益进行刑法保护正契合数字经济的发展需求。
在权利保护模式下,数据犯罪保护的核心法益究竟是个人法益还是集体法益,态度尚不明确。但从司法实践来看,权利保护模式更加偏向于个人法益的保护,因为数据犯罪的案件主要保护的是特定主体的利益。如果按照有学者提出的,存在直接被害人的犯罪不是侵害集体法益的犯罪,只有累积犯才是侵害集体法益的犯罪,[25]那么权利保护模式保护的核心法益即为个人法益。笔者认为,集体法益应前置于个人法益,即刑法通过保护集体法益,来巩固个人法益保护的根基,降低个人法益被直接侵犯的可能性。就此而言,个人法益和集体法益的刑法保护存在紧密的联系,因而在法益保护方面,秩序维护模式和权利保护模式在某种程度上相辅相成而不存在绝对的矛盾。但是,秩序维护模式和权利保护模式的区别在于两者保护的直接法益不同,秩序维护模式对个人法益的保护具有间接性。
在规制的行为方式方面,秩序维护模式不仅规制非法获取数据的行为,同时重点规制非法处理、利用数据的行为。非法处理、利用数据的行为可能发生在前述数据价值实现横向过程中的所有阶段,其表现方式因科学技术的不断革新而具有多样性。秩序维护模式不同于前述有学者提出的数据利用模式,其兼顾数字经济发展中数据安全和数据共享的双重需求,认可数据共享的独立价值。同时,秩序维护模式在保护数据安全方面,认为动态数据安全具有优位性。保护动态数据安全要求刑法对于非法处理、利用数据的行为加以干预,但是,这种干预不应当造成数据共享的障碍。如果刑法对于非法处理、利用数据的行为予以漠视,那么数据共享将不受管理和控制,数据的流向将趋于集中,掌握在少数主体之中,最终形成数据垄断。因此,对数据流通必要的刑法干预,理应是对数据共享最好的鼓励。正如知识产权制度的出现,看似通过赋权阻挠了知识共享,但是激励机制的诞生长久地保护了知识的产出活力,最终还是有利于知识共享。数据共享也是如此,只有通过刑法的介入和规制,才能在数据流通过程中驱逐非法处理、利用数据的行为,并充分保证数据流通处于健康、有序的环境之中,进而真正促进数据共享和实现数据安全。
四、规制和认定数据犯罪秩序
维护模式的实现路径
数据犯罪规制和认定秩序维护模式的实现需要立法和司法的共同配合。一方面,模式的转向涉及犯罪认定依据、逻辑、思路等各方面的改变,仅靠司法适用的加强和司法方式的改变几乎不能完成犯罪认定模式的转向。即对数据犯罪的规制和认定如果要从权利保护模式转变为秩序维护模式,需要立法者对现有刑法有关数据犯罪的规定重新加以审视,并适时作出相应的修正。另一方面,立法提供了数据犯罪规制和认定的规范依据,能否最终达成模式转向的实际效果还需要司法予以配合。在数据犯罪的司法认定过程中,进行必要的思路切换对于秩序维护模式的实现同样具有重要的作用。
(一)立法实现路径
现有数据犯罪规制和认定与数字经济发展需求之间的落差,仅靠刑法解释无法填补。刑法解释不能与刑法立法原意相悖,即不能改变刑法规制犯罪所要保护的法益和相关罪名的基本行为方式。换言之,在罪刑法定原则的制约下,我们无论对现有数据犯罪罪名进行何种刑法解释,其实均不能跳出刑法对数据犯罪权利保护模式的窠臼。因此,想要确立数据犯罪规制和认定秩序维护模式,首先要改变现有数据犯罪的罪名体系,即新增专门的维护数据管理秩序的罪名,理由如下。
首先,新罪名应当是针对一般数据的刑法保护。需要指出的是,现有一般数据的刑法保护依赖于计算机信息系统的保护。事实上,在数字经济快速发展的今天,数据具有独立的价值,将数据仅仅理解成计算机信息系统的一部分,显然已经不合时宜。因此,在数字经济发展时代,专门增设针对一般数据保护的新罪名尤为重要。新增罪名应当体现对数据管理秩序的保护。笔者曾多次提倡新增单独的数据犯罪罪名,目的就在于将数据管理秩序作为专门的法益予以保护,体现数据犯罪规制和认定秩序维护模式的基本思想。数据管理秩序属于集体法益,不同于个人法益,对集体法益的保护当然需要立法者进行专门创设。对数据管理秩序进行刑法专门保护不能依靠发现和解释,只能通过新增罪名的方式。在数字经济的发展背景下,数据管理秩序属于经济管理秩序的组成部分。数据管理秩序包括保护静态数据和动态数据均处于安全状态,同时数据能够有序、有效地流通。因此,保护数据管理秩序,对于保护数据安全和促进数据共享都有助力。不同于特殊数据的刑法保护,一般数据本身不能体现刑法保护的特定法益,如个人信息权、财产权等。一般数据的价值主要是数据汇聚和流通形成大数据价值。因而对于一般数据的保护应当通过保护数据管理秩序的新罪名才能实现。通过计算机犯罪罪名保护一般数据显然过分依赖于计算机信息系统安全状态的认定,因而不能实现对侵害一般数据行为的精准认定。
其次,新罪名应当包含对非法处理、利用数据等滥用数据行为的规制内容。如前所述,秩序维护模式下,非法处理、利用数据的行为同样应当成为数据犯罪的行为方式类型。但是,如果刑法过多地介入数据的流通过程,可能无法实现秩序维护模式所希冀的数据共享的效果。因此,并非所有非法处理、利用数据的行为都需要刑法的规制。“处理”“利用”“滥用”等对行为的表达本身具有模糊性,如果将这样的语言表达作为新罪名关于行为规定的唯一内容,很难达到罪刑法定对立法提出的明确性要求。诚然,任何语言本身都具有模糊性。“清除一个给定术语的所有含糊性,这是一个不切实际的目标。我们所能希望做到的,至多是渐渐地接近于清除含糊性。”[26]就立法而言,消减模糊性需要依靠立法技术。笔者认为,新罪名的内容宜通过列举或列举加兜底的方式对严重的非法处理、利用数据等滥用数据的行为方式作出明确的规定,例如,刑法可以将利用算法技术对数据进行非法分析衍生大量特殊数据、泄露一般数据、非法留存或持有数据等行为纳入规制的范围之中。
最后,新罪名对于侵害数据行为构成犯罪应当有具体的“量”的要求。在我国,犯罪的成立既需要满足“质”的要求,即符合罪质,也需要满足“量”的要求,即符合罪量。我国刑法分则中大量出现的“情节严重”“数额较大”“造成严重后果”被看作是罪量要求的具体表达。有学者对我国刑法分则罪量的立法模式进行了总结,认为其可以分为八种类型:仅表述行为型、数额型、数额行为选择型、数额情节选择型、情节型、严重后果型、后果情节选择型、危险描述型。[27]采用何种立法模式取决于犯罪侵害的法益以及犯罪的其他特点。如前所述,对数据犯罪规制和认定的覆盖范围不足,不利于保护数据安全和实现数据共享;同时,对数据犯罪的规制和认定如果“用力过猛”,也会影响数字经济的发展。数据犯罪的罪量判断涉及较多方面的考量。因此,笔者认为,将“情节严重”作为新罪名认定“量”的要求较为合适。秩序维护模式下,新罪名的罪量标准应当反映对数据管理秩序的破坏程度,“情节严重”作为刑法分则规定中的常用罪量表达,应该更能体现数据管理秩序被侵害程度的应然之义。
具体而言,刑法应当增设妨害数据流通罪、非法分析数据罪等新罪名。[13]33-35这些新罪名应当将“作为”规定为主要的行为方式。如果行为人未能采取有效措施导致数据泄露,可以通过已有的拒不履行网络安全管理义务罪予以规制。同时,这些新罪名应当将“情节严重”作为罪量规定,防止新罪名的出现不当扩大数据犯罪圈的范围,进而对数据共享活力产生不当影响。
(二)司法实现路径
当传统的犯罪行为方式融入了科学技术的元素,往往会使刑法解释的过程变得更加复杂,数据犯罪的司法认定概莫能外。秩序维护模式不仅对立法提出了新增罪名的要求,同时要求数据犯罪的司法认定应该及时调整思路。笔者认为,具体应该注意以下几个方面。
首先,在数据权利主体态度不明确之时,应当作出有利于行为人的解释。如前所述,在权利保护模式下,非法获取数据的行为是否构成数据犯罪主要取决于数据权利主体授权与否。据此而言,数据权利主体完全可能利用数据犯罪的规制和认定达到自己垄断数据的目的,这从根本上说是不利于数据流通的。在秩序维护模式下,数据犯罪的规制和认定不再以保护数据权利主体的利益为核心,而更加注重数字经济发展中各方主体的利益平衡。由此分析,当数据权利主体态度不明确时,应当尽可能地对获取数据行为予以出罪处理。例如,当授权状态随时可以改变时,获取行为的非法性存疑,此时不宜将获取数据的行为认定为犯罪。同时,数字经济的发展将带动更多主体参与到数据流通的过程之中。应当承认,现有理论对于数据的权利属性以及权利归属的判断标准尚存在不小的争议。如果数据权利主体本身不明确,或数据本身可能同时属于多个主体,此时对数据犯罪的规制和认定,我们应当尽可能保持谨慎的态度,不能让刑法规制的手段轻易地介入数据的权属之争中。
其次,在数据犯罪规制和认定中,宜采用主观解释兼客观解释。刑法解释理论中历来存在主观解释和客观解释之争。立法作为一项有意识、有目的的活动,立法原意是客观存在的。只是立法原意并不存在一个固定的判断依据,也不存在相应的规范文件,立法原意的有无才可能成为理论争议的焦点。在立法原意可以探寻的情况下,采用主观解释能够最大程度地实现立法目的。但是,科学技术的发展日新月异,根据立法原意进行刑法解释的主观解释可能在对科技犯罪解释时捉襟见肘。此时,客观解释可以在一定程度上解决数据犯罪规制和认定的解释疑难或困境。秩序维护模式下,针对数据犯罪的刑法解释应当以刑法文义为基本出发点,在此基础上考虑行为对数据管理秩序的实际侵害。就此而言,前述“摩蝎数据爬虫案”中,法官将不当“留存”数据的行为解释成“获取”的行为,这一认定似乎存在不妥之处。“留存”和“获取”在文义上存在明显的差异,很难认为这一解释符合文义解释的基本要求。但是,在新增罪名之后,我们完全可将不当“留存”数据的行为包括在非法处理、利用数据的行为方式之中,并将其列为数据犯罪刑法规制的对象。
最后,当侵害数据法益的行为同时构成新罪名和现有罪名时,应当根据想象竞合的原理定罪处罚。数据管理秩序作为集体法益,与诸多特定类型法益存在关联,加上一般数据和特殊数据之间存在重叠关系,导致在秩序维护模式下,侵害数据法益的行为可能同时涉及新罪名和现有数据犯罪罪名。有学者认为,刑法因数据所承载的信息内容而有特别规定的,应当按照信息犯罪认定,只有在不能以特别法的信息犯罪处理的情况下,才能按照数据犯罪认定。[28]这一观点中的信息犯罪实际上指的是刑法对于特殊数据的保护规定,其分析路径实际上是遵循刑法中法条竞合原理进行的。笔者认为,虽然数据存在特殊数据和一般数据之分,但刑法对于特殊数据保护的规定和对于一般数据保护的规定不是特别法和一般法的关系。理论上一般认为,刑法中特别法和一般法要求法条之间存在交叉或包容关系。例如,金融诈骗罪将金融领域中的诈骗从传统诈骗罪中划分出来,金融诈骗罪和诈骗罪属于特别法和一般法的关系,应当优先适用金融诈骗罪。对于特别法和一般法关系的判断应当从刑法规定本身入手。一般数据和特殊数据之间虽然存在交叉、重叠关系,但是,侵害一般数据和特殊数据所涉及的刑法规定本身并不交叉、重叠。例如,侵犯公民个人信息罪和新罪名之间没有直接关系,即便认为实际存在一定联系,也不能因为小部分的交叉关系,就简单认定两者是特殊法和一般法的关系。如果侵害数据的行为同时触犯新罪名和现有罪名时,实质上是一行为触犯数个犯罪构成,造成不同法益侵害的后果,属于想象竞合,而并非是法条竞合。当然,在特殊情况下,如果非法获取或非法处理、利用数据的行为,是为了实现其他违法犯罪行为,此时侵害数据的行为和其他违法犯罪行为分别属于手段行为和目的行为,且在构成要件上存在重合内容的,不排除构成牵连犯的可能。
综上所述,笔者认为,数字经济的发展催生或引发出了数据犯罪,同时也对数据犯罪提出了新的规制和认定要求。现行刑法有关数据犯罪的规定以及司法实践的认定采用的权利保护模式已经不能适应数字经济的高速发展。对此,刑法应当重新调整数据犯罪规制和认定的模式,从权利保护模式转变为秩序维护模式。秩序维护模式要求立法先行,在现有数据犯罪罪名体系之中新增保护集体法益的罪名,以实现对数据管理秩序的保护。在立法调整的基础上,司法认定应当尽可能平衡保护数据安全和促进数据共享各方的需求,对可能影响数据流通、造成数据垄断的行为,刑法应审慎加以规制。
参考文献
2024·第2期第1篇
特别说明:
(1)本公众号仅用于学术信息的发布与交流,不存在任何营利行为;
(2)本公众号推文使用图片除特别说明外,均来自于网络。
往期推荐
编辑:张雪怡
校对:康仪欣
终校:杨丽雯
