查看原文
其他

王倩云:人工智能背景下数据安全犯罪的刑法规制思路 | 法宝推荐

【作者】王倩云(中国海洋大学法学院副教授,法学博士)

【来源】北大法宝法学期刊库《法学论坛》2019年第2期要目。因篇幅较长,已略去原文注释。

【声明】本文仅限学习交流使用,如遇侵权,我们会及时删除。

内容提要:人工智能以大数据技术为基础,随着人工智能的发展,数据已成为网络与计算机科学的核心要素,以数据为犯罪对象的行为和利用数据实施的侵害其它法益的行为层出不穷,数据安全的重要性也因而越来越为学者和立法者所认可。当前立法和司法实践中对数据的保护主要依赖于既有法益,即信息安全和计算机信息系统安全。然而,数据在本质上与信息和计算机信息系统具有极大区别,依靠保护二者实现保护数据的做法在实践中显现出局限性和滞后性。为此,本文将结合《欧洲网络犯罪公约》,就如何构建数据安全犯罪制裁体系进行探讨,以期为切实打击和控制数据安全犯罪提供可行借鉴。

关键词:数据安全;信息安全;计算机信息系统安全;《欧洲网络犯罪公约》


 










 

长期以来,网络犯罪主要包含两大类已经得到国际社会的广泛认可。第一类是以网络设施或计算机信息系统为犯罪对象实施的侵犯此类新型法益的犯罪行为,如非法控制计算机信息系统罪,第二类是利用网络设施或计算机信息系统实施的侵犯传统法益的犯罪行为,如利用计算机实施的网络诈骗行为。然而在立法层面,各国仍然不能就网络犯罪的内涵和外延达成一致意见。特别是进入大数据时代,数据越来越多的被窃取和滥用,已经成为了犯罪行为的目标,数据窃取或滥用行为逐渐演变成为了类型化的侵犯数据安全的行为,即数据安全犯罪。数据安全犯罪依托于网络设施和计算机信息系统实施的本质使其成为新生代网络犯罪。具体而言,数据安全犯罪指在人工智能高速发展的技术环境下,“以大数据技术即数字化形式进行技术处理的一切数据为犯罪对象或犯罪工具的行为,包括以账户、访问控制数据为核心,并发散至电子痕迹、生活行为、城市管理等各种非结构化数据和半结构化数据,以及从计算机数据延伸到物联网、智能手机、可穿戴设备等多终端数据的犯罪”。数据安全犯罪的行为方式一方面包括以数据为对象的行为,如对网络设施或计算机信息系统上存储、处理和传输的数据进行增删和干扰,一方面包括利用此间设施上的数据进行监听、过度挖掘、恶意盗用等行为,并通过这些行为危害个人、社会、国家多个层面的安全。

一、数据安全犯罪的类型化

(一)数据安全犯罪类型化的推力:人工智能带来的技术革新以及权利人对数据和信息管控力的下降

人工智能被普遍认为是基于大数据和云计算技术实现的,而大数据和云计算实际上均削弱了权利人对数据和信息的管控能力。

首先,大数据技术是人工智能的前提。随着算法和计算机运算能力日趋成熟,人工智能的发展主要依赖于数据增量。具体而言,人工智能的发展可以分为三个阶段:关键词阶段、算法阶段和大数据阶段。以国际象棋电脑“深蓝”和能够自主深度学习的人工智能围棋程序“阿尔法狗”的研发为例:深蓝是第一和第二阶段的集大成系统,其系统的运算能力和算法能够打败所有人类国际象棋好手。在关键词阶段,技术人员主要是向深蓝系统输入以数据作为形式的国际象棋规则和优秀棋手的对局。在这一阶段,囿于计算机运算水平,深蓝在接受了这些规则和对局后仅能够按照已有“记忆”(或者说既有数据)一步步下棋。在第二阶段算法阶段,由于计算机运算能力和算法的更新,深蓝能够在下棋时计算及预估随后的12步棋,这一能力高于人类象棋大师可预估的10步。在此阶段,深蓝依旧只是一个按照已有棋路进行搜索和估算的系统,并非完全意义上的人工智能。阿尔法狗最后一个阶段的主要代表,其依据大数据技术进行“深度学习”的能力即人工智能。具体而言,阿尔法狗的运算程序不再是线性的,而是大量矩阵数字形成的神经网络。如同生物的大脑神经一样,当“神经网络”接收到信号时,整个神经网络都会被激活,对于阿尔法狗来说,就是它会同时运算出多种可行的棋路,然后再根据预先输入的规则和对手下棋偏好选择合适的棋路。可以说,人工智能系统并非仅按照已有棋路进行简单的搜索和估算,而是可以通过学习对手的棋路分析对手的下棋偏好,选择能够最大可能获胜的棋路。这个系统将大量随机元素纳入运算范围,根据对手的每一步棋调整自己对对手的下棋偏好的评估以及自己与之对弈时的棋路,以此做到“深度学习”。可见,这种“深度学习”是以大量数据,也就是对手对弈棋局为基础的。简而言之,所谓人工智能,即是先通过输入数据得出一定规律,并通过不断搜索、联想、挖掘、并合数据而对规律进行修正的系统,也就是人脑的学习过程,即对数据和信息进行再创造的过程,是以大数据为基础和前提得以实现的。然而,技术革新随之而来的问题在于,数据和信息的权利人和管理者对其的掌控变得愈加薄弱,且由于人工智能系统对数据的搜索、联想、挖掘和并合在很多情况下是自主进行,存储于计算机系统和网络终端上的数据将更有可能被无权窃取、盗用,乃至修改、监听。可以说,人工智能技术的发展将对数据的需求急剧提升,数据将愈加有价值,同时愈加成为犯罪分子的目标。

其次,云计算技术的出现使得处理海量数据成为可能。云计算是基于互联网的计算资源共享池,即对于网络、服务器、应用软件、存储和处理等资源进行多方共享的技术。基于这一技术,数十万台乃至数百万台计算机系统和服务器得以共享运算能力,实现对海量数据的快速处理。简而言之,云计算赋予了用户闻所未闻的强大数据处理能力,数十万台乃至数百万台计算机系统能够同时服务于同一个或几个数据处理目的。在这样的互联网上,每一台计算机系统都是互联网上的一环,都是传统意义上互联网的“中心”。当存在成万上亿个“中心”时,所谓的“中心”也将不复存在。这一发展的现实效果是每一个数据都具有了价值。从传统媒体时代开始,信息的流传形式是从传播节点到传播节点,这些节点就是“中心”,电视、广播、报纸、杂志等媒体都是信息的传播节点。传统的信息传播节点很明确,控制也比较方便。监管部门一声令下,不符合国家政策和法律、法规的信息就消失了。到了大数据时代,信息更多的依靠数据进行传播,而数据依靠计算机信息系统和网络设施进行传输。当同样的数据可能运算或存储于数十万台计算机系统上时,大到各新闻门户网站和数据处理中心,小到“自媒体”运营者乃至单个网民,都不再局限于单纯的信息接受方,而同时成为了信息提供方,也就是传统媒体中的信息传播节点。因此,信息对于媒体中所谓的传播节点的依赖性越来越弱。加上搜索引擎关键字的导入控制和关键词联想技术,监管部门对数据和信息传播节点的严格把控实质上已不复存在。监管的不到位使数据安全犯罪的类型化成为可能。

(二)数据安全犯罪类型化的动因:数据背后的利益

在人工智能技术下,数据不仅成为了智能机器人的“神经元细胞”,并以肉眼可见的速度成为个人、企业、国家据以预测和决策的基础和依据。大到国家制定外交策略、中到商场制定营销战略、小到公民使用网上银行进行网购,都需要数据及其承载的信息作支撑,数据的意义和价值不可谓不高。通过对数据的收集、分析和挖掘,个体、企业和国家甚至可以进行预测性分析。个体可以通过分析他人的网络购买记录获取他人的购买习惯和偏好,更以此预测他人的经济状况;企业可以通过分析其用户的数据预测其需求、偏好和使用习惯,并据此对决策作出调整;国家更可以通过对数据的整合和分析勘察舆情,并获取关键情报,摸清国家经济和社会动向。例如,洛杉矶警方运用大数据预测犯罪的发生并采取预防措施,多个城市规划设计院尝试利用手机定位数据和交通数据进行城市规划,淘宝通过用户浏览和购买记录分析用户的身份和性格特征。在此背景下,对数据进行深入挖掘和利用的大数据技术,更是被称为未来的“新石油”。麦肯锡咨询公司曾于2013年预测,在全球范围内,大数据每年将创造3万亿至5万亿美元的价值,Gartner公司更预测截至2020年,因特网数据的体量将在现有基础上翻三十倍,而对因特网数据的销售和使用将产生1.9万亿美元的利润。可见,通过对数据的收集和挖掘,大数据可以帮助人们获取未知信息,并据此带来巨大的经济效益。

不仅如此,看似不重要且离散的信息可能在搜索、联想、挖掘、并合后产生重要信息,他甚至可能与特定的国家政府部门或军事部门的信息有关。而涉及公民个人隐私方面的数据和信息也随时面临巨大风险,如某网商通过分析其用户数据和购买经历做出的各省/地区网民购物偏好和付款习惯推广视频,以及屡次发生的QQ用户名及密码大规模泄露事件。正如麦肯锡咨询公司在其2016年的报告中指出的,大数据正成为创新和竞争的新战线,同时,也正成为经济的巨大推动力量。

二、数据安全犯罪的刑法回应

数据安全犯罪已成规模化已基本成为一个共识,基于此,于2009年颁布的《刑法修正案(七)》中的9条将非法获取计算机信息系统数据的行为规定为了犯罪。随后,2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》)通过司法解释的方式对数据及数据安全予以了解释。总体来说,数据具有双重属性:一方面数据作为信息的载体出现,其本质是信息传输工具,故而具有信息的非物质性特征;一方面数据作为计算机系统的处理对象,是计算机系统的内容和必要部分。与数据的双重特征对应,我国《刑法》和司法解释中对于数据安全犯罪的处置规则也可概括为两种路径:一是基于数据的本质属性、将其作为信息以非无权形式加以保护;一是依据数据的技术特性、将其作为计算机系统的内在组成部分加以保护。

(一)依据数据的本质特征,将数据作为信息以非物权形式加以保护

非法获取计算机信息系统数据罪,是指“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重”的行为。这一罪名直接规制以数据为犯罪对象的行为,在范围上涵盖将数据作为犯罪对象的行为。在计算机技术领域,数据是指“输入到计算机信息系统并能被计算机信息系统处理的数字、文字、符号、声音和图像等”。而刑法中所称的计算机信息系统中存储、处理或传输的数据,是指“在计算机信息系统中实际处理的一切文字、符号、声音、图像等内容有意义的组合”。因此,与其说这一罪名保护的是计算机系统上处理、存储、传输的数据,不如说保护的是数据所承载的信息,也就是一系列内容有意义的信息。诚然,数据是信息的表现形式和载体,信息是数据的内涵。数据记载着文字、符号、声音等众多信息,其本身并没有实质意义,“只有被转换为信息后才具有意义”。特别是随着大数据技术的出现和应用,对于数据所承载的信息的保护也越来越受到关注。全国人大常委会于2012年出台的《关于加强网络信息保护的决定》等法律文件更是昭示着信息安全是数据安全的内涵,保护数据安全的最终目的就是保护信息安全。正如学者指出的,我国目前“正经历着从‘计算机信息系统’保护到‘公民网络个人信息’保护再到‘人与数据’保护的转变,即‘信息系统防护—个人信息安全防护—大数据的整体性防护’”。由此可见,在我国《刑法》的语境下,保护数据即保护信息。数据是信息的载体,其承载的文字、声音、图像等都是信息,而涉及个人隐私、商业秘密以及国家机密的信息应当保密,故而承载这些信息的数据亦应当保密,即免被他人获取。

司法实践中的部分做法亦暗合了对数据和信息的此种理解。如两高发布的《解释》中将《刑法》第条第2款非法获取计算机信息系统罪中的“情节严重”规定为包含“(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”和“(二)获取第(一)项以外的身份认证信息五百组以上的”两项情节的行为说明,非法获取计算机信息系统数据罪的对象并非计算机信息系统上存储、处理和传输的全部数据,而仅指涉及“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”。同时,《解释》第11条将“身份认证信息”解释为“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等”。可见,在司法机关的解释中,被刑法所保护的数据指的是信息,而且仅指能够用于确认用户在计算机信息系统上操作权限的信息。其它存储于计算机信息系统上的数据,以及其上处理的数据,无论是结构化数据、非结构化数据还是半结构化数据,只要不涉及用户在计算机系统上的操作权限信息,并不能作为《刑法》意义上的“数据”予以保护。

根据保护数据即保护信息这一路径,即便与计算机系统操作权限信息无关的数据,虽不能作为“数据”通过刑法加以保护,却可以作为“信息”为刑法所涵盖。正如《刑法修正案(七)》除增设非法获取计算机信息系统数据罪外还同时增设了出售、非法提供公民个人信息罪这一事实所暗含的,当被获取且出售的数据所包含的内容属于公民的个人信息时,该行为涉嫌出售公民个人信息罪。而当被获取的信息涉及商业秘密或国家机密时,该行为便以侵犯商业秘密罪或非法获取国家秘密罪等罪名论处。此亦为我国《刑法》将“数据”依托于信息这一非无权形式进行保护之佐证,而对于获取数据行为的定性,主要取决于所获取的数据承载的信息的性质。

(二)依据数据的技术特性,将其作为计算机信息系统的内在组成部分加以保护

数据是计算机的处理对象,且其存在和处理必须依托计算机信息系统进行。故而,我国《刑法》还存在另外一个处置数据安全犯罪的路径,即将数据视作计算机系统的一个组成部分加以保护,因而,我国刑法语境下的数据是计算机系统处理的一切有意义的电子脉冲信号的集合。这里的“数据”是以其技术特性进行限定的。

在增设非法获取计算机信息系统数据罪之初,由于技术水平的发展,绝大多数真正有价值的数据仅能存在于计算机系统上,故其范围与计算机信息系统的边界基本一致。但是,随着数据传输、存储、挖掘、并合等技术的发展,无论是数据的存储设备还是数据的处理和传输设备都发生了巨大的变化,一方面使得数据在技术层面的存在设备越来越多样,一方面使得越来越多的数据具有了价值,这两方面使得数据逐渐成为犯罪行为侵害的对象。为了应对这一技术发展及其对数据安全造成的隐患,司法机关对“计算机信息系统”这一概念进行了扩大解释。《解释》第11条将“计算机信息系统”(以及“计算机系统”)定义为“具备自动数据处理功能的系统,包括计算机、网络设备、通信设备自动化控制设备等”。这一定义的核心语词是“自动数据处理”,即,是否具备自动数据处理功能是界定计算机(信息)系统的重点之所在。这一定义虽然没有明确界定“数据”的概念和外延,但是其通过将数据与计算机(信息)系统在技术层面等同,在实质上确认了便携式网络终端,包括计算机、手机、平板电脑、家用智能电器等能够自动处理数据的机器被非法获取计算机信息系统数据罪所保护,这从另一个侧面反映出凡是这些终端上存储、处理和传输的有意义的内容即可能被认定为“数据”,从而受到刑法保护。也就是说,根据这一司法解释,最高人民法院和最高检通过扩张“计算机(信息)系统”的范围来扩张“数据”的范围。换句话说,通过保护计算机(信息)系统以保护数据。

比较当前立法和司法中对“数据”以及“计算机信息系统”的定义和解释可以发现,二者是互为定义的关系。“数据”依托于“计算机信息系统”而得以存储、传输和处理;另一方面,“计算机信息系统”的界定取决于是否具备自动数据处理功能。鉴于此,中国刑法语境下的计算机(信息)系统与数据似乎是同一物事的不同侧面:二者为内容和载体的关系,数据是计算机系统的内容,而计算机系统是数据的载体。同时,二者又是不同语词的不同阶段:在技术发展的前期阶段,犯罪行为多针对计算机系统,即“容器”。而随着技术的发展,“内容物”,也就是数据,逐渐具备了价值,并且其价值甚至超过了计算机系统自身,并进而成为了犯罪行为的对象。故而,“数据”是信息技术发展所带来的产物,其实质上是“计算机(信息)系统”的高阶表现形式,二者指代的其实是同一物品,具有相同本质。无疑,这种思路在客观上造成了数据概念与计算机(信息)系统概念的重叠和混淆。

三、当前刑法回应中“数据”概念与信息和计算机信息系统的重叠和混淆

在现行刑法和司法解释中,“数据”这一技术性名词的定位与含义不甚明确,与“信息”和“计算机信息系统”二名词之关系模糊不清。上文指出,为应对不断增多的数据安全犯罪以及保护数据安全,立法和司法机关在部分法条中将“数据”与“信息”等同,又在另一部分法条中将“数据”与“计算机(信息)系统”等同。这两种回应之间的不一致使得数据在刑法语境下的定位愈加模糊。究其原因,两种路径都是对数据某种特性的回应,而完整的、体系化的思考“数据”及“数据安全”在刑法中应当具备的地位以及应当处于刑法体系中的哪一环节仍然缺失。这一缺失造成理论和实践层面的应对失序,以及法条与侵犯数据安全的不同行为之间的应对失序。

(一)数据、信息与计算机(信息)系统

一方面,固然,数据是信息的载体,信息是数据的内涵。然而,二者无论是在范畴上还是在本质上均有区别。《刑法》意义上的数据主要是指非法获取计算机信息系统数据罪的对象,仅指用于确认用户在计算机信息系统上操作权限的身份认证信息,其它保护信息免被非法获取或公布的刑法条文虽然能间接对承载相关信息的数据提供保护,其范畴仍然有限。在大数据时代下,数据在范围、种类和数量上都发生了根本性的变革,不仅数据的存储和处理设备发生了根本性的变革,数据所承载的信息的内容也发生了根本变化。数据已经在范畴上与信息,特别是当前《刑法》所保护的信息,区别了开来。例如,随着数据存储和处理技术的发展,云存储和云计算已经深入日常生产生活。对企业来说,上级用企业统一分配的邮箱传达工作内容和事务,日常处理的文件、报表等也需要存储于企业使用的存储器和网络终端以备查看。对个人来说,为免于携带存储设备以及防止存储于私人电脑或存储设备上的文件丢失,很多网民已习惯于将重要文件存储于网络云端硬盘。数据显示,仅2015年12月一个月中网络云盘的活跃用户数就超过5亿,而能够多网络终端同步保存数据的Evernote系列软件用户量早已过1亿。而这些数据并非刑法意义上被保护的数据,其不仅有以文档、音频等形式保存下来的半结构化数据,更有相对混乱无序、难以用数据库存储的非结构化数据。这些数据可能并不关涉用户的个人身份认证信息,可能仅仅指向某类信息的描述性文档,甚至可能是运行这些文档所需要的宏文件。离散的此类数据并不能恢复成有意义的信息,因而价值较小。然而,这些看似简单且杂乱的数据经过成规模的收集和处理后,可能展示出重要的信息。例如,近些年流行的运动手环和运动App,其上记录的运动信息和运动路径等数据可用于分析使用人的日常活动范围和路径,为后续实施侵犯人身或财产安全的犯罪行为提供重要信息。保存于手机、平板电脑等便携网络终端设备中的数据亦能够用于获取工作和家庭地址、通讯信息、网上购物消费情况、出行信息等。而这些数据都未被我国《刑法》所涵盖。

另一方面,与数据与信息的关系相类似,计算机系统是数据的载体,而数据是计算机系统的内容,但是,二者之间也存在本质区别。首先,计算机(信息)系统是指“具备自动数据处理功能的系统”。由这一定义可以得出,计算机(信息)系统的本质在于其数据处理功能,即动态的对数据的运算、传输、存储等处理过程,而数据则是静态的被计算机处理的对象。结合我国《刑法》中关于非法控制计算机信息系统罪与关于非法破坏计算机信息系统罪的规定,《刑法》保护的并非计算机(信息)系统这个物,或者说,并非是静态的作为数据载体的计算机(信息)系统,而在于其动态的处理数据的能力:若其处理数据的能力被“盗用”或者非法破坏,则成立上述两个罪名,与其上存储的数据是否被破坏没有关系。换句话说,数据之于计算机(信息)系统如同珠和椟,无论是珠还是椟均有其价值,因而都可能单独成为犯罪分子的对象。例如,行为人可以在不影响计算机(信息)系统运行的情况下偷取其上存储、处理的数据,亦可以通过逻辑病毒等形式破坏计算机(信息)系统的运行,而即便计算机因为其系统功能被破坏而不能够继续运行,保存在硬盘上的数据是可以不受影响的,只要连接到另一台计算机即可读取。只不过不同之处在于,无论是偷珠还是偷椟都成立盗窃罪,而偷取数据或破坏计算机(信息)系统成立不同罪名,前者涉嫌非法获取计算机信息系统数据罪,后者则涉嫌非法控制或者破坏计算机信息系统罪。

再者,行为人对于数据的权限可能区别于对于计算机(信息)系统的权限。例如,公司雇员可以使用企业配发的计算机(信息)系统,但是其只对自己账号上存储的数据享有权限,对于计算机(信息)系统上存储的其它账户数据并不享有权限。在这种情况下,若公司雇员甲通过非法手段获取了公司雇员乙存储在该公司系统上的数据,亦具有非法获取计算机信息系统数据的性质。这就相当于公司的保洁人员可以进入员工的办公室打扫卫生,但是将员工放在办公室的物品拿走的行为则涉嫌盗窃。与这一情形对应,行为人可能对某一些存储于云端的数据有权限,但不对某台计算机(信息)系统有权限。如,行为人通过借用的计算机在其云盘上下载了一些数据,而这些数据包含计算机监听软件。在行为人归还计算机后,其通过软件秘密获取了存储于该计算机(信息)系统上的全部数据。

由上述分析可以看出,在大数据时代,信息很大程度上依赖数据得以传播,且数据依托于计算机(信息)系统得以传输、运算和存储,因而数据的概念无法完全脱离“信息”或“计算机(信息)系统”,三者密切相关,但又相互独立。因此,数据安全、信息安全与计算机(信息)系统安全三者也密切相关,却又相互独立。

(二)数据安全、信息安全与计算机(信息)系统安全

前文指出,当前《刑法》对数据的保护主要有两种路径,一为将数据安全类比为信息安全的非物权保护模式,一为将数据安全视作计算机(信息)系统安全的物权保护模式。二种路径均看似合理实则存在问题。

首先,将数据安全类比为信息安全这一路径的根源在于,数据同信息一样,权限人对其的权限并不排他,即同一段数据或信息可以同时为多人所享有和使用,且这种享有和使用并不以削减他人对该段数据或信息的享有或使用为前提。具言之,无论是数据还是信息,都不是有形的、可以看到或触摸到的存在,行为人可以将数据或信息无限制的复制并传播而不损害本源数据或信息存在的状态。一段数据或信息被一人所享有与被100人所享有,该数据仍然是该数据,该信息也仍然是该信息,除非在复制传播的过程中出现错误,否则第100条数据或信息的价值与本源数据或信息的价值不存在区别。本源数据或信息的权利人也不能因其持有本源数据或信息而要求其它99位删除其享有的内容。这就是数据权限和信息权限的非排他性。如果不能排除“占有”,那么数据权限和信息权限对应的权利是什么呢?其体现为权利主体知悉数据或信息内容的权利,这实际上是一种“能够知悉的状态”,而无权利的人则实际上处于权利人对数据或信息设置的“保密状态”中。我国《刑法》中关于获取数据或信息规定中的“非法”,实际上就是指没有知悉权利的人获得了本应对其保密的数据或者信息,即破坏了数据或信息权利人对其设置的保密状态。我国《刑法》对数据和信息予以的保护也正是权利人“能够知悉的状态”和因而设置的“保密状态”。

然而,数据安全与信息安全的不同之处在于,为了保护权利人对数据和信息的“能够知悉的状态”,信息作为彻底的无形物只须要处于“保密状态”,即不被他人知悉。但是对于虽然看不见却可通过技术手段进行处理的数据来说,行为人除了可以通过拷贝、散播等行为破坏其保密状态外,还可以通过删除、压缩等行为破坏数据能够被知悉的状态。换言之,信息类犯罪的行为方式是超出行为人权限的获取、披露、使用或允许他人使用信息,侵犯的是信息的保密性,而数据,虽然其本质是信息,或者说是有意义的内容,其对应的权益却并非仅为保密性。除不被非权限人获取或使用外,为了保护数据权限人对数据的权利,数据还应当是完整的和能够被权限人获取的,也即应当保护数据免于被无权获取、删改、压缩或者使用。

其次,根据计算机(信息)系统的定义可知,计算机(信息)系统安全实际上是指计算机信息系统的自动处理数据的功能能够安全运行。又根据非法获取计算机信息系统数据罪的法条,处理数据的功能包括存储、处理和传输数据三项功能。因此,计算机信息系统安全指计算机信息系统能够正常的、符合计算机信息系统操作人预期的存储、处理和传输数据。即,计算机信息系统安全实质上包括三方面:存储数据安全、处理数据安全和传输数据安全。换句话说,我国《刑法》中计算机类犯罪条文保护的是计算机信息系统存储、处理和传输数据的能力,保护的是计算机信息系统的运行过程安全,这一过程是动态的。关于数据安全,工信部曾在其于2014年发布的一篇报告中将数据安全区分为三类,分别是存储数据安全、剩余数据安全和传输数据安全。其中,存储数据安全是指在数据的存储过程中,存储时间的先后以及存储位置等的分配遵守规范,未发生存储过程中数据丢失等后果。剩余数据安全是指当云计算或云存储服务终止时,仍然存储于云端服务器上的数据应当被彻底清除,后续租户不能利用数据恢复软件非法获取前用户的数据并造成数据泄露等问题。数据传输安全是指数据在传输的过程中不能被非法获取、增改、删除或压缩,造成数据泄露或无法使用。然而,工信部的这一理解并非数据安全的应有之意。这三类安全,特别是存储数据安全和传输数据安全的落脚点是存储和处理过程的安全,是动态的计算机信息系统存储和处理数据的功能安全,而非被存储和处理的数据本身安全。工信部的这一理解实际上暗合了司法机关在实践中通过扩张解释计算机信息系统以规制数据安全犯罪的做法,即将计算机信息系统安全等同于数据安全,而并不仅将数据看作是计算机信息系统的存储和处理对象。然而,这样做将导致作为动态的计算机信息系统运行过程与被计算机信息系统存储、处理和传输的数据之间的混淆不清,并最终导致破坏计算机信息系统功能的行为与破坏数据保密性、完整性与数据权利人可获取性的行为的混淆不清。

事实上,由于数据依赖计算机得以运算和存储,诚然在很多情况下一旦计算机(信息)系统被破坏了其上处理的数据也同样会被破坏,或者破坏了计算机(信息)系统上处理的数据,其功能也将被破坏。但是随着数据运算和存储技术的发展,数据已经在技术层面与计算机(信息)系统区分开来。第一,如前所述,数据的损害与计算机(信息)系统的损害并不一定同时发生,因而,数据安全与计算机(信息)系统安全并不一定同时被侵犯。以《刑法》285条第1款非法侵入计算机信息系统罪为例,这一罪名规制的实际上是“电脑间谍”行为,即行为人侵入计算机进(信息)系统后不对其做任何修改,仅为获取其上存储的保密性数据。根据《计算机解释》对于计算机信息系统的定义,这种电脑间谍行为很难被认定为侵害了计算机信息系统处理数据的功能。事实上,类似行为以不侵害功能为特点,因为若影响乃至破坏了计算机信息系统的功能,该侵入行为马上会被发现,系统将马上启动相应程序以防止其上处理的数据被非法获取。因此,在类似情形下,被侵害的并非计算机(信息)系统的安全,而是数据安全,具言之,是数据的保密性。

第二,我国《刑法》对计算机(信息)系统的保护是以物权为基础的,即权利主体对计算机(信息)系统享有占有、使用、收益、处分等权利,且这些权利是排他的。而如上文所述,数据的权利人对数据不存在“所有”或“占有”的状态,不存在排他性的使用权,仅存在“能够知悉”的权利。二者相比,对于数据权利的侵犯必然是永久的、完全的;但对于所有权的侵犯可以是暂时的,也可以是永久的,可以是完全的破坏,也可以是“使用盗窃”。简言之,对于数据的支配权利而言,仅存在破坏与否的区别,不存在程度的区分。但对计算机(信息)系统安全而言,既存在破坏与否的区别,又存在程度的区分。例如,针对数据所实施的行为,无论是非法获取、使用还是删改、压缩,也无论获取、删改、压缩、使用了全部数据或者部分数据,数据的保密性、完整性、与权利人可获取性被永久的、完全的破坏了,无法恢复为破坏之前的状态;而针对计算机(信息)系统安全而言,刑法针对影响计算机运行的行为和彻底破坏计算机运行的行为分别规定了非法控制计算机(信息)系统罪和破坏计算机(信息)系统罪,二个罪名的区别即在于对计算机实施了非法控制还是使计算机不能正常运行,对计算机(信息)系统安全的侵犯可能只是延缓了计算机系统的响应时间而未彻底破坏其响应能力,待侵害停止计算机(信息)系统的运行就可恢复正常,其安全也可恢复为未被侵害的状态。

纵观我国当前对于数据安全犯罪的规制路径,无论是以信息为主的非物权模式还是以计算机(信息)系统为主的物权模式,其根本都在于对现有规制路径的扩张和突破。若继续坚持此种扩张思路规制数据安全犯罪,乃至以后出现的所有科技类犯罪,在立法和司法层面都将面临“网络犯罪”范围过广从而在实质上已不必要存在的境况。例如,当前计算机犯罪的类型大体可分为三类,第一类是以计算机的运算处理能力和技术资源为对象的犯罪,第二类是以计算机上存储的数据为对象的犯罪,第三类是非法利用计算机和数据实施的侵害其它法益的行为。考虑到当前几乎所有的计算机犯罪都需要通过网络实施,计算机犯罪已经在实质上成为网络犯罪。若继续扩张“计算机”和“数据”这二概念的外延以应对司法实践中遇到的刑法罪名不足问题,那么几乎所有的犯罪都可以成为网络犯罪,或者至少,几乎所有的犯罪都能够借助网络获得更多的犯罪目标和犯罪机会,从而,几乎所有的犯罪都可以被认为是网络犯罪。届时,网络犯罪这一概念将失去应有之意,而对于网络犯罪的讨论又将回归原始,即,是否真正存在网络犯罪这一概念,抑或所谓的网络犯罪只是传统犯罪的新方法或新平台而已。

为避免这一现象,需要以立法方式对数据作为信息载体这一本质特性和依赖计算机系统得以处理这一技术特性的双重性进行规制,构建更为精细合理的网络犯罪罪名体系。

四、数据安全犯罪的规制思路:计算机犯罪、数据犯罪、信息犯罪三线并举

探究当前中国对数据安全犯罪刑法回应的缺陷及其原因,盖因我国对数据安全这一新法益的保护不够周延,仅依托于既有的信息安全和计算机信息系统安全二法益对数据安全这一新法益进行保护。这无异于在计算机犯罪诞生之初借助传统法益保护计算机信息系统安全。实践证明,以过去的刑法条文规制侵犯了新法益的犯罪行为这一做法是行不通的。因而,须要厘清数据、信息与计算机(信息)系统三者之间的关系以及对应法益之间的相互关系,以此确定数据安全在刑事罪名体系之中的位置,设立合适的数据犯罪罪名,细化计算机犯罪、数据犯罪与信息犯罪罪名体系,实现三体系间的相互补充,完善我国刑事立法体系。

数据安全犯罪的常见样态为,行为人先通过破坏计算机A防护软件为手段侵入计算机系统,随后或向系统发送一段可以自动将计算机A上处理的数据传输到预设的计算机B上,以实现非法获取计算机A上处理的数据的目的,并在实现这一目的之后,将所获取的数据经过破解、联想、挖掘、并合数据等方式还原为信息并利用信息实施违法行为;或通过远程操控对计算机A上处理的数据进行删改、压缩等行为。在这一动态的犯罪链条中,破坏计算机A防护软件的行为侵害的是计算机(信息)系统安全,获取、挖掘等将数据还原为信息以及删改、压缩数据等的行为侵害的是数据安全,而对信息进行非法使用的行为侵害的是信息安全。通过这一常见样态可以看出,行为人对计算机安全与数据安全的侵害虽然存在先后关系,但二者实际处于同等地位的,即对于计算机(信息)系统安全的侵犯与对数据安全的侵犯是具有同等严重性、不能相互吸收的;对于信息安全的侵害实质上发生在侵害计算机(信息)系统安全和/或数据安全之后,且删改、压缩计算机上处理的数据的行为并未侵害信息安全。根据一行为对计算机(信息)系统安全、数据安全与信息安全三者施加侵害的本质特征与动态步骤分割,计算机罪名体系、数据安全罪名体系与信息安全罪名体系三者间的关系,可以计算机犯罪与数据犯罪的双切入点体系为基础,以信息安全罪名体系对后续信息使用行为加以规制。

(一)计算机犯罪与数据犯罪的双切入点体系

前文大量论述和事实已经表明,数据并非是计算机(信息)系统在大数据时代的高阶表现形式,二者也并不是一体两面的关系;相反,二者实乃具有不同本质的不同物品,分别具有各自的法益,而随着数据价值的增加,数据安全犯罪与计算机犯罪的错位越来越明显,《刑法》规制与数据安全犯罪样态之间的脱节也越来越明显。因此,我国当前规制计算机犯罪与数据安全犯罪的路径不在于继续扩张计算机(信息)系统或数据的概念,而在于以立法方式确认计算机(信息)系统和数据的双切入点模式,将静态的数据安全从动态的计算机(信息)系统功能安全中独立出来,正如在20世纪90年代计算机犯罪出现之初将计算机安全从传统法益中独立出来。

我国自1997年《刑法》即开始对计算机安全加以保护,历经多次修正与解释,至今已经形成了成梯度、成网状的计算机罪名体系,用以保护计算机(信息)系统自动处理数据的功能能够按照计算机所有人的预期正常运行,在此不再多加赘述。本部分将主要讨论数据安全罪名体系的设立。

在分析数据安全与信息安全、计算机(信息)系统安全时本文提到,数据一方面是信息的载体,其法益呈现出信息安全的特征,一方面依赖计算机系统得以处理,其法益应当具有技术性的色彩。因此,多国刑法体系将数据安全的含义规定为保密性(confidentiality)、完整性(integrity)和权利人可获取性(availability)。保密性对应的是数据的信息特性,即数据权利人享有的“知悉状态”和据此而设立的排除他人知悉的“保密状态”;完整性和权利人可获取性则对应数据的技术特性,完整性是指数据应当保持原样、不被删改,即数据没有被非法删除或改动;数据权利人可获取性是指数据不能被非法压缩或粉碎,即不能侵害数据权利人获取或使用该数据的权利。由数据的双重特性引出了数据安全罪名体系的两个基本罪名:以数据保密性为法益的非法获取、持有、使用数据罪和以数据完整性、权利人可获取性为法益的非法破坏、删改、压缩数据罪。

1.数据犯罪体系罪名之一:非法获取、持有、使用数据罪。通过数据安全犯罪的典型样态可以看出,数据安全犯罪的整个过程可以分为三步:(1)获取数据,如通过软件将被感染的计算机上处理的数据传输至目标计算机上;(2)持有数据,如通过正常业务行为获得的数据,应当删除而未予删除;(3)使用数据进行后续活动,如通过对数据的联想搜索、挖掘、并合,从一组无法被还原为信息的非结构化数据发展为能够还原出信息的数据。简单来说,此三步可以概括为对数据的非法获取、持有和使用。其中,非法获取数据即所谓通过技术手段获取存储、处理、传输于电子设备上的数据的行为;非法持有数据指行为人通过正常经营活动获得数据,法律规定应当删除而未予删除或应对数据进行加密以保证不被他人知悉而未加密的行为;非法使用数据则指将通过多种渠道获得的非结构化数据进行比对和挖掘,或提供给他人进行比对和挖掘,将大量数据进行整合并还原为有意义的信息的行为。很明显,从现实中三类行为对公民的侵害和刑法规制的可行性上来说,这三类行为均应当被纳入《刑法》的规制范畴。

2.数据犯罪体系罪名之二:非法破坏、删改、压缩数据罪。我国《刑法》286条第2款将“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的”行为作为非法破坏计算机信息系统罪进行规制。实际上,这一条款规制的行为即为非法破坏、删改、压缩数据的行为,然而由于我国《刑法》并未将数据安全作为独立法益加以保护,故当前286条第2款仅作为破坏计算机信息系统罪的一种表现方式而存在,仍然体现出我国刑法分则将静态的数据安全与动态的计算机系统功能安全混淆的现状。在这一方面,欧洲委员会的《网络犯罪公约》(以下简称《公约》)可以提供部分借鉴。具体而言,第4条将无权破坏、删除、修改或压缩计算机信息系统上存储的数据的行为规定为了犯罪,第5条则规定缔约国应当将在无权情况下故意影响计算机信息系统正常功能的行为作为犯罪处理,影响计算机信息系统的方式可以是大量输入、传输、修改、删除或压缩数据。比较这两条可以看出,《公约》第4条保护的是静态的数据库,而第5条虽然规定了犯罪的实施方式可以是破坏计算机上的数据,但其保护的则是动态的计算机信息系统功能。[27]换句话说,基于《公约》的规定,行为人可以通过破坏静态的数据库安全侵害动态的计算机信息系统安全,也可以通过破坏动态的计算机信息系统安全破坏静态的数据库安全,但二种行为的本质并不相同,也触犯了不同的法律条文。这一做法表明《公约》在计算机信息系统运行过程的动态性和数据安全的静态性这一区别上的支持立场。根据当前数据安全犯罪的高发案量,《公约》的此种立法无疑对我国有借鉴意义,是一条可行路径。

(二)以信息安全罪名体系保护信息的合法使用

鉴于保护的法益不同,当前我国《刑法》对于信息犯罪的制裁罪名分别位于不同章节,主要包括第条为境外窃取、刺探、收买、非法提供国家秘密、情报罪,第219条侵犯商业秘密罪,第253条之一侵犯公民个人信息,第282条第1款非法获取国家秘密罪,第389条故意泄露国家秘密罪、过失泄露国家秘密罪,第431条第1款非法获取军事秘密罪,第432条故意泄露军事秘密罪、过失泄露军事秘密罪等。虽然这些罪名涉及的犯罪对象包括国家秘密、商业秘密、公民个人信息、军事秘密等,但这些对象的法益都是信息的“知悉状态”,或者说由“知悉状态”所设置的“保密状态”。换句话说,这些条文都是保障其所规定的信息不被没有知悉权利的人知悉,这就是信息安全罪名体系的根本法益。而信息安全罪名体系与数据安全罪名体系的衔接之处也在于此。前文说过,侵犯数据信息特性的犯罪行为可以分为三步:非法获取-非法持有-非法使用,而在非法使用阶段行为人将难以还原成有效信息的非结构化数据通过联想搜索、挖掘、并合等方式整合成为能还原成有效信息的数据。随后,若还原出的信息为上述信息安全罪名所保护的对象,则行为人同时涉嫌相对应的信息安全罪名,若在获取信息后又故意公开或泄露了该信息,亦应当为其故意公开或泄露的行为承担相应的刑事责任。如,行为人通过非法手段获取了多个网站的大量用户信息,并通过联想比对,将不同网站的用户信息进行配对,最终获得5000 名用户的信息,其中包括5000名用户在不同网站的用户名、密码、手机号、工作、住址乃至身份证号、驾驶证号等内容。之后,行为人将获得的用户信息出售给了他人。此时,行为人前期获取、并合数据的行为侵犯了数据安全,而之后将并合得出的信息出售的行为侵害了信息安全,应当数罪并罚。


往期精彩回顾

百万法律人都在用的北大法宝详细介绍!

张守文:人工智能产业发展的经济法规制

陈金钊:“法律解释权”行使中的“尊重和保障人权”

雷磊:新兴(新型)权利的证成标准 

欢迎扫码获取法宝介绍和试用


更多内容


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存