查看原文
其他

王惠敏 :网络数据安全独立性之提倡及其刑法展开

王惠敏 法治研究杂志社
2024-09-04



























王惠敏,江苏师范大学法学院讲师,法学博士,中国法学会法治研究所与中国社会科学院法学研究所联合培养博士后研究人员



文章导读

·摘要

我国刑法应当对数据安全加以独立保护,这不仅是基于数据安全刑法保护法益的需要,也是落实法秩序统一性原理的要求。为转变现行立法理念,提升立法技术,弥补处罚漏洞,我国刑法需要推进对数据安全的独立保护。首先,应当在刑法中构建信息安全、数据安全和计算机信息系统安全并行的保护体系,专设“数据犯罪”专章或专节;其次,改变数据犯罪附属于信息犯罪、计算机信息系统犯罪的条款之立法模式,强化数据犯罪罪名与刑罚的主体性和独立性;再次,细化不同数据生存周期犯罪的罪状描述,贯彻数据分类分级保护理念;最后,通过刑事合规制度强化网络服务提供者职责,激励企业对涉及重大法益的犯罪行为事前进行预警和防控。·目录
、数据安全独立刑法保护的必要性(一)数据犯罪发案率高且具有严重的法益侵害性(二)法秩序统一原理的需要(三)与域外立法趋于一致二、我国刑法数据安全独立保护之不足(一)立法理念落后于司法实践(二)现行立法存在诸多处罚漏洞(三)相关解释也无法弥补处罚漏洞三、我国数据安全独立保护的刑法对策(一)拓展数据犯罪的行为类型(二)贯彻数据的分类分级理念(三)构建数据刑事合规制度四、结语

文章来源:《法治研究》2023年第3期


大数据时代背景下,数据成为新的生产要素,数据安全也日益引起社会的全面关注。正如德国刑法学者乌尔里希·齐白(UlrichSieber)所言:“正在兴起的信息社会正在创造新的经济、文化和政治集会,但它同时也引发了新的风险,这些新的机会和风险正在对我们的法律制度构成新的挑战。”然而,由于信息犯罪相关法律规范将保护的重点放在计算机信息系统安全方面,致使数据安全保护始终处于附属和次要地位,加剧了计算机犯罪的“口袋化”趋势。我国近年来不断爆出来的诸多案件,体现出数据犯罪与其他犯罪罪名定性上的争议,由此数据犯罪的独立刑法保护逐渐受到重视。例如,2016年全国首起制售微信外挂软件“张某等提供侵入、非法控制计算机信息系统程序、工具案”中,公诉机关与法院之间就非法经营罪与提供侵入、非法控制计算机信息系统程序、工具罪存在定性上的争议;再如,2018年全国首起流量劫持“付宣豪、黄子超破坏计算机信息系统案”中,就流量劫持是否属于破坏计算机信息系统行为存在破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪三个罪名定性上的争议。

检视我国刑法关于数据安全的罪名保护体系,不仅弱化数据犯罪法益独立保护,内部存在结构性的矛盾,而且对数据犯罪的规制不够周延。例如,无论是“破坏型”罪名还是“获取型”罪名,其不仅将数据犯罪依附于计算机信息系统保护之内,忽视了数据本身独立的价值,数据安全得不到充分的保护,而且均将重点放在对数据犯罪的前端治理,对危害性更大的数据泄露、数据滥用等末端犯罪的规制则有所欠缺。

本文立足数据安全独立的保护法益,论证数据安全犯罪刑法规制的必要性,针对目前数据犯罪立法依附于计算机信息系统犯罪存在的问题,并就如何在立法上实现对数据犯罪的有效规制提出完善方案。


一、数据安全独立刑法保护的必要性


(一)数据犯罪发案率高且具有严重的法益侵害性

受制于计算机技术水平的发展,立法者之前将数据等同于计算机信息系统是合理的。然而,随着信息技术的发展,计算机信息系统和数据的关系清晰为载体与内容,显然作为核心要素的数据更加具有经济效益和社会价值。这是在刑法上要对数据安全给予独立保护的根本原因。也正是基于此,刑法学界在关于数据犯罪法益内涵的认识上,数据安全法益逐渐取代了计算机信息系统安全法益,主张数据犯罪的保护法益在于使数据免于遭受不法侵害,认为基于数据本身的特点和属性,遭受侵害的数据与计算机信息系统之间存在本质差异,故应当对数据实施区别于计算机信息系统的专门保护。

但是相比于社会对侵害信息和计算机信息系统行为的严重性质和社会危害性较为普遍的认识,侵害数据安全的行为则长期以来被严重忽视了。由于侵犯数据的行为往往以获取相应的信息为目的,犯罪手段具有隐秘性和不确定性,加上现有的很多数据犯罪行为分别被归入信息安全犯罪、财产犯罪等原因,使得数据遭受侵害的严重性程度被低估。然而,侵犯网络数据安全犯罪的数量正以爆炸式的速度迅速增长,例如,在北大法宝网以非法获取计算机信息系统数据罪进行模糊检索,截止到2018年共发现2924起案件,至2019年发现4418起案件,至2020年发现6105起案件,至2021年发现7622起。虽然非法获取计算机信息系统数据罪仅仅是数据犯罪的其中一个罪名,却也表明侵害数据安全行为已经成为不可忽视的问题,无形中印证了“世界万维网之父”蒂姆·伯纳斯-李“下一代互联网的本质由计算网络转为数据网络”的论断。

从行为性质和社会危害性来看,侵害数据安全行为的危害性同样很大。首先,会对公民人格权造成严重侵害。就数据泄露而言,通过对数据的深层次挖掘,公民不仅可能会遭受身体伤害、人格损害或财产损失,以及因为数据算法和预测性分析评估等面临被刑事调查、逮捕等剥夺自由的法律后果,而且更有可能随着公民个人隐私被窥探、身份被盗用或遭遇歧视、诈骗或勒索等,致使受害人因此而产生难以言明的恐惧与焦虑等不良的精神或心理反应。简言之,数据泄露更多的是关乎人而非物,其所导致的损害呈现无形、分散以及风险导向等特征。此外,2016年Facebook向英国咨询机构剑桥分析泄露5000万用户数据事件表明,数据泄露还可能会被作为分析个体的工具,进而产生干预选举等地缘政治影响。其次,数据泄露会对企业造成致命性影响。数字经济背景下,数据成为企业的重要资产,企业之间围绕数据的争夺日趋激烈,如果数据遭到泄露,极有可能会给企业带来严重灾难。例如,在“酷米客诉车来了”一案中,虽然公交车以及运行路线、运行时间是客观事实,但是经过相应的收集、分析、编辑以及整合并配合GPS精确定位,其作为公交信息查询软件的数据,以其精确性可以使“酷米客”APP取得相较于其他同类软件的竞争优势和更大的市场利益。而“车来了”公司通过网络爬虫技术非法获取并无偿使用公交信息数据,是一种典型的侵权行为,不仅会对酷米客公司造成巨额财产损失,甚至会使“车来了”公交查询软件完全取代“酷米客”,获得垄断性市场地位。最后,侵犯数据安全的行为,特别是侵犯关系国家基础信息、国家安全、国计民生和重大公共利益等国家核心利益的数据,可能对国家安全造成威胁。在首例涉案数据鉴定为情报类案件中,上海某信息科技公司帮境外某公司采集中国铁路信号数据,其行为涉嫌为境外刺探、非法提供情报罪而被逮捕。因为此处的数据涉及铁路GSM-R敏感信号,用于高铁列车运行控制和行车调度指挥,一旦被国外别有用心的机构获取,将会对国家安全造成巨大隐患。此外,2021年,国家安全机关公布了三起数据泄露案例:“某航空公司数据被境外间谍情报机关网络攻击窃取案”“某境外咨询调查公司秘密搜集窃取航运数据案”“李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案”。由此表明国家安全机关高度重视数据安全,并将其作为国家安全的重要组成部分。

(二)法秩序统一原理的需要

法秩序统一性原理是刑法立法的一个重要原则,主要是指宪法、民法、刑法等各个法域之间构成法秩序的整体统一。尽管不同的法律部门在规制范围、规制手段上有所差异,但是都离不开对正义、自由、人权等基本价值理念的追求,可以说,法秩序统一是部门法共同价值追求下的产物。法秩序统一性原理下刑法从属于前置法,并不是前置法上的违法性行为在刑法上必定具有违法性,而是法秩序统一性原理指导下各部门法所推导出的共同结论而已。随着民法典的颁布施行,包括刑法在内的各部门法规范和学理体系逐渐运用法秩序统一性原理来调整,已经成为所有法学学者的共识。据此,也能得出刑法应当对数据安全独立保护的结论。

前置法中关于数据安全的相关规定对于刑法本身具有重要意义。无论是《数据安全法》还是《个人信息保护法》,这两部法律分别在第1条就数据安全和信息安全的保护目的作了规定,表明数据和个人信息是两个完全不同的概念,我国实行的是信息和数据的二元保护机制。该条衍生出的一个重要要求是独立、平等保护数据和信息安全,不能将二者混为一谈。据此,也可以得出应当将数据安全置于独立的保护地位。此外,在信息和数据二元保护机制的背景下,《数据安全法》就数据安全的独立保护作出了详细的制度设计,例如,第21条分别从宏观上和微观上就数据分类分级保护制度作了相关规定;第3条就数据处理的生存周期作了全覆盖规定;数据合规方面,第29条和第30条分别就一般数据和重要数据处理者的数据风险监测评估和报送义务作了规定;第34条规定数据处理相关服务应当取得行政许可等。可见,在前置法的视野下,侵害数据安全是一种具有独立评价意义的行为。

法秩序统一性原理要求刑法应当对前置法关于数据安全的规定作出回应,换言之,作为保障性法律而存在的刑法也应当对侵害数据安全的行为加以独立规定,以防出现对数据安全的不周延保护。反观我国关于数据犯罪的刑法规制,一方面不断扩大公民个人信息的范围,使得刑法中公民个人信息的概念大于《个人信息保护法》中的信息概念,侵犯公民个人信息罪承担了部分数据犯罪的规制功能;另一方面,将数据犯罪依附于相关计算机信息系统犯罪中加以规制。如果说这种关于数据犯罪的刑法规制在《数据安全法》《个人信息保护法》颁布之前尚且说得过去,那么在当前数据犯罪法律关系基本构建的情况下,刑法的现行规定就涉嫌违背法秩序统一原理精神。此外,可能有学者认为我国《刑法》第285条非法侵入计算机信息系统罪就相关国家领域的重点规制体现了分类分级保护要求,但该条款不仅因打击范围过窄,对于大多数常见的黑客侵入行为无法规制而饱受指责,而且与非法获取计算机信息系统数据罪相比较存在诸多结构性缺陷,事实上反而无法起到重点打击侵入上述国家领域的行为。就数据安全的生存周期而言,侧重于对数据犯罪的前端治理,对于数据滥用、数据窝藏等末端犯罪行为有所遗漏,尚未覆盖完整的数据生存周期。由此可见,构建侵犯数据安全独立的刑法规制模式是符合法秩序统一性原理内在要求的。

(三)与域外立法趋于一致

考察当今国际社会的刑事立法,各个法域无论是以附属刑法的形式还是增设罪名的形式,尽管各国关于数据犯罪的具体罪名等方面不尽相同,但是却具有立法的共同趋向,那就是不约而同地去强化数据保护的独立地位。这种数据安全保护的立法趋向,特别是以德国为典型的分类保护模式和以美国为代表的集中式立法,对于我国现行刑法具有参考和借鉴价值。

以德国为例,早在1970年德国就率先通过了世界上第一部个人数据保护法,即《黑森州数据保护法》,这为后来的《德国联邦数据保护法》奠定基础。德国将数据分为个人数据和一般数据,体现出对数据的差异保护。2019年新修订的《德国联邦数据保护法》为个人数据的保护作了细化和调整,例如,其将原法第44条第(1)款规定的行为分别设置为两个独立的犯罪构成要件:“(1)在未经授权的情形下,以营利的方式,故意将多人非开放数据传输给第三方或者通过其他方式开放……。(2)在未经授权的情况下,为了获取利润,或者为自己或他人谋取利润,或者为了给他人造成损失,处理未开放的个人数据,或者通过虚假的信息骗取未开放的个人数据……。”此次修订以个人信息自决权理论为基础,将数据安全上升为宪法基本权利,并改变借助于行政处罚的规定,设置独立的犯罪构成要件。与此相对应,《德国刑法典》历经数次修订,形成关于一般数据的全面规定。如1986年德国联邦议会通过《第二部打击经济犯罪法》,新增第202条a窥探数据罪、第303条a数据变更罪等罪名。2007年《德国刑法典》不仅新增第202b条截获数据罪、第202c条截获数据的预备罪以及在303条a数据变更罪中增设预备行为处罚,而且将原有的第202条a规定的窥探数据罪中的“非法获取数据”修改为“非法获取数据访问路径”,以便将黑客入侵行为纳入刑法规制范围。2015年,德国《通信数据的存储义务与最长存储期限引入法》新增第202条d窝藏数据罪,以此来打击非法获取数据的交易,并避免前述犯罪行为的延续和深化。

再如美国,关于数据犯罪,1994年《暴力犯罪控制和执行法案》将1030条(a)(5)的范围扩大为所有意外甚至没有任何疏忽造成的计算机或存储数据的损坏行为。1996年《经济间谍法》将(a)(2)的适用对象由金融机构、发卡机构或消费者报告机构的金融记录扩大为任何类型的信息。进入21世纪,无论是2001通过的《爱国者法案》,还是2008年通过的《身份盗窃惩罚和赔偿法》,都进一步扩大了计算机犯罪保护范围。申言之,虽然名义上为计算机犯罪,但其始终将数据犯罪置于与计算机犯罪同等的保护地位,甚至数据犯罪的相关条款多于计算机犯罪,故也被学者称CFAA“名不副实”。其他如法国,2015年最新修订的《法国刑法典》将原先的“侵犯资料自动处理系统罪”改为“侵犯数据自动处理系统罪”,涵盖对非法增加、摘录、持有、复制、传递、删除以及更改等多种行为的规制。可见,无论是德国的分类保护模式还是美国的集中式立法,都不影响对数据安全的保护效果。综上,对数据安全进行独立的刑法保护,是一种经过各国检验的立法思路。


二、我国刑法数据安全独立保护之不足

(一)立法理念落后于司法实践

非法获取计算机信息系统数据罪、破坏计算机信息系统罪等体现了刑法对数据犯罪的关注,但更多的罪名表明我国刑法立法依然将数据安全保护依附于计算机信息系统范畴,这种立法模式隐含着一个不科学的立法理念,就是对于数据犯罪的理解过于滞后和狭隘。具体而言,主要表现在以下几个方面。

一是对数据犯罪的认识未摆脱古典占有主义理念的影响。洛克沿袭了格劳秀斯的所属概念,提出占有的个人主义,其将财产建立在劳动之上,认为劳动是获得财产的方式。受占有主义理念影响,传统的刑法并没有明确数据的财产地位,而是将其作为所属之物来界定。事实上,对数据和应用程序进行非法删除、修改、增加的操作,其本质上属于通过对行为对象的毁损而破坏他人对数据的合法占有,是一种“物化”数据思维的体现。例如,在余刚等四人盗窃案中,“被告人余刚等四人以非法占有为目的,编写、传播‘木马’病毒程序,利用‘木马’病毒程序截取他人网上银行账号、密码,然后秘密窃取他人网上银行的存款”,该案件被定性为盗窃罪,其本质上就是将银行账号、密码之类的数据视为稀缺性财物的表现,故以传统财产犯罪对其加以规制。

二是以秩序为本位的观念也在很大程度上影响着我国数据犯罪的立法。例如,我国刑法之所以对涉及个人数据的犯罪行为实施处罚,并非因为其侵犯了数据主体的合法权益,而是基于对经济秩序和网络空间秩序的保护考虑。这种立法模式是典型的秩序本位观思路,会不恰当地将数据犯罪限缩于计算机信息系统犯罪规制范围之内,未能体现出对数据犯罪本身的重视。实际上,随着信息社会的发展,大数据具有越来越重要的价值,逐渐形成与现实世界相对应的网络空间,而这种秩序本位观将造成诸多漏洞。例如,只要个人数据的控制者与处理者在收集环节履行了相关的告知义务,即使其后续的保管、处理与使用等环节造成对数据的侵害,在未涉及秩序利益的情况下也将不会受到刑法的规制。再如,对于司法实践中使用批量注册、恶意刷量等和平手段侵犯数据服务的行为,因其并没有影响到计算机信息系统的正常运行,则难以划入计算机信息系统犯罪的规制范围。

需要在此一并提出的是:其一,受中国计算机技术发展的影响,刑法立法的回应往往稍显滞后。比如计算机信息系统犯罪的基本入罪情节要求情节严重,事实上,这种模式已经难以适应大数据时代背景下保护数据的需要。其二,为了突出对数据安全的保护,当今越来越多的国家和地区都在刑法典中将数据犯罪及与之相关的犯罪独立成章节,但我国至今没有在刑法中设专章或专节来规定数据犯罪及与之相关的犯罪,而是将其散布规定在妨害社会管理秩序罪一章。即使将数据犯罪脱离出计算机信息系统犯罪,如果其所属章节的位置不加以调整,也会让人觉得计算机信息系统才是保护重点,同样不利于数据独立保护的实现。

(二)现行立法存在诸多处罚漏洞

我国刑法对于数据安全的保护主要通过将其依附于计算机信息系统的范畴内予以间接实现,使得有关数据犯罪的规定留下诸多处罚漏洞。这不仅表现在现有计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论,而且囿于无法突破计算机信息系统保护体系,致使其与覆盖整个数据生存周期的独立数据保护模式相差甚远。

例如,《刑法》第285条第2款非法获取计算机信息系统数据罪将保护对象限定为国家事务、国防建设、尖端科学技术领域计算机信息系统之外的领域,致使非法获取这三类重要数据反而出现立法保护的空白。此外,对于采取非侵入手段,比如复制(“撞库”“打码”)等仅仅造成数据的部分形式处分权和支配权受害的侵犯,虽未必对计算机信息系统内部的数据造成损坏,却同样可以获取计算机信息系统中的数据。在谭房妹等非法获取计算机信息系统数据、提供侵入计算机信息系统程序案件中,谭房妹借助被告人张剑秋的“打码”,并通过下载使用被告人叶源星编写的“小黄伞”软件、购买验证码充值卡,成功获取淘宝账号、密码2万余组,并将其出售给他人,获取违法所得25万余元。将该案件定性为非法获取计算机信息系统数据罪是正确的,但是随着信息技术的发展,未来还会出现更多的不以侵入为前提的非法获取手段,问题的关键是明确此种行为的侵害实质是数据安全还是计算机信息系统安全。

比如非法侵入计算机信息系统罪,一方面,其将对象限定为国家重要领域的计算机信息系统,由此造成大量侵入经济建设等领域其他计算机信息系统的黑客行为无法规制,进而可能引发对相关帮助犯,比如提供侵入、非法控制计算机信息系统程序、工具罪正当性的质疑;另一方面,致使侵入国家事务、国防建设、尖端科学技术领域计算机信息系统并获取数据的行为(实践中定性为非法侵入计算机信息系统罪)与侵入其他领域计算机信息系统并获取数据的行为(非法获取计算机信息系统数据罪)二者定罪量刑上的不均衡。

再如破坏计算机信息系统罪,无论是理论界还是实务界,都认为只有造成计算机信息系统不能正常运行的才能构成破坏计算机信息系统罪,致使对于删除、修改、增加数据等侵害数据安全却没有造成计算机信息系统不能正常运行的行为的处罚漏洞。例如,在黄祥招、汪伟达、陈岩等破坏计算机信息系统案二审中,案件的争议焦点在于黄祥招等被告人的行为是否对计算机系统造成破坏或影响其正常运行造成其他直接危害后果,如果认为对计算机系统造成破坏或影响其正常运行造成其他直接危害后果的,应当定性为破坏计算机信息系统罪。与此相反,虽然对计算机信息系统数据予以修改、增加,却并未造成计算机信息系统不能正常运行的,则只能定性为非法控制计算机信息系统罪。此外,与第286条第1款中对计算机信息系统功能进行删除、修改、增加、干扰相比较,第2款仅规定了对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加三种行为,造成对干扰数据行为规制的遗漏。事实上,司法实践中已经出现不以侵入计算机信息系统为前提,对其功能加以干扰影响其正常运行的案例。例如,最高人民法院发布的指导性案例104号李森、何利民、张锋勃等人破坏计算机信息系统罪案件中,被告人采用棉纱等物品堵塞环境质量检测采样设备,干扰采样,致使监测数据严重失真。再比如被告人许某通过在IDC机房安装服务器、交换机的方式,最终达到屏蔽、改变数据传输路径,致使监测、预警对其失效的效果。两个案例存在诸多相似之处,比如都因为没有侵入计算机信息系统却影响到信息系统的功能,使其不能正常运行而被认定为破坏计算机信息系统罪中“删除、修改、增加以外的其他方法”,最终被定性为破坏计算机信息系统罪。然而,破坏计算机信息系统罪的保护客体是计算机信息系统安全,因此在被告没有直接侵入到计算机信息系统本身情况下被认定为破坏计算机信息系统罪的正当性值得进一步讨论。

我国目前关于数据犯罪的规制重点集中在“获取”型和“破坏”型等犯罪行为,对于数据存储、数据窝藏、数据滥用、数据泄露等行为则缺乏必要的规制,忽视了数据生存周期原理动态的刑法保护。例如,就数据存储而言,在周某某等侵犯公民个人信息案中魔蝎公司违背《数据采集服务协议》中“仅在用户每次单独授权的情况下采集信息时保存用户账号密码”的义务,未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。法院认定相关主管人员和其他直接责任人员周某、袁某均已构成侵犯公民个人信息罪。可见,非法存储数据和非法获取数据都具有法益侵害性,只是非法获取数据行为被非法获取计算机信息系统数据罪规制,而非法存储数据行为则构成侵犯公民个人信息罪。

再比如就数据滥用行为而言,在谢康、岳安安非法侵入计算机信息系统案中,被告人岳安安、谢康通过购买“e2eSoftVCam”摄像头辅助软件、下载“轻松换脸”软件,在“交管12123”系统上处理代办审车、车辆违章业务时,利用上述软件逃避实人认证,造成被害人郭某、邓某等人驾驶证分数被扣除。此处法院将“交管12123”作为国家事务的计算机信息系统,认定为非法侵入计算机信息系统罪。然而,该案的法益侵害本质是利用AI换脸等技术手段非法使用他人数据的行为,是违背法律规定对他人数据的滥用,故定性为非法侵入计算机信息系统罪无法实现对该侵害行为的全面界定。

就窝藏数据的行为来说,虽然2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第7条以掩饰、隐瞒犯罪所得罪定罪处罚。但掩饰、隐瞒犯罪所得罪位于我国《刑法》第六章第二节妨害司法罪中,具有妨碍司法秩序和财产追回权利的双重法益侵害性,与窝藏数据侵害数据安全法益二者之间存在本质上的差异。故以财产犯罪“违法所得”标准一刀切地适用数据犯罪,无法体现对数据保护的实际需要。

(三)相关解释也无法弥补处罚漏洞

解释论和立法论作为刑法学研究的重要方法,互为补充,如果司法实践中相关难题能够通过解释加以解决,尽可能予以解释;如果解释不通,只能通过立法加以完善。而我国刑法将数据犯罪附属于计算机信息系统犯罪的立法缺陷所造成的司法困惑和处罚漏洞,是无论如何解释都行不通的。

现代国家罪刑法定原则的基本要求是刑法的明确性。如上文所述,计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论,无法覆盖整个数据生存周期,相关罪名分散于不同的章节,问题的关键在于立法将数据犯罪附属于计算机信息系统犯罪刑法条款之后,致使其内在的逻辑性和明确性变得不清晰。数据犯罪的口袋化倾向愈益严重,造成司法实践的困惑和争议,不利于实现刑法规范的指引功能和裁判功能。

对于数据犯罪适用的口袋化问题,现行司法解释不仅无济于事,而且一定程度上造成其口袋化倾向的进一步扩大。比如2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),明确非法获取计算机信息系统数据罪中的数据被限缩为支付结算、证券交易、期货交易等网络金融服务的身份认证信息以及其他身份认证信息,强调的是依附于计算机信息系统内部的数据,范围较为狭窄。与此同时,第11条将计算机信息系统定位为具备自动数据处理功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。其从技术层面上将数据等同于计算机信息系统,将所有与计算机相关联的网络终端设备,如计算机、手机、平板电脑、家用智能电器等都纳入计算机犯罪的保护范畴内,数据的概念与计算机信息系统概念界定不清,数据犯罪为传统的计算机犯罪所遮蔽。同理,破坏计算机信息系统罪也存在上述问题。

此外,非法获取计算机信息系统数据罪不是行为犯或危险犯,而是结果犯或情节犯,需要达到“情节严重”,《解释》第1条关于“情节严重”的认定主要从非法控制计算机信息系统的台数以及违法所得和经济损失等要素加以评价衡量。其以诸如违法所得和经济损失这种适用于财产类犯罪的评价因素评价非法获取计算机信息系统数据罪这类扰乱社会秩序类犯罪,加之违法所得5000元以上或者造成经济损失1万元以上极低的入罪门槛,使得非法获取计算机信息系统数据罪与因非法占有具有经济价值的计算机信息系统数据定性为的盗窃罪之间模糊不清,造成口袋罪的进一步扩大。例如,在指导性案例检例第36号中,被告人卫梦龙利用龚旭因工作便利掌握的某网络公司内部账号、密码,多次违规登录该公司的内部系统,查询、下载其系统内部的数据,并交由薛东东出售给他人,违法所得共计3.7万元,法院认定卫梦龙、龚旭、薛东东为非法获取计算机信息系统数据罪。这里存在的问题是非法获取数据的前提是违反国家规定,侵入第285条第1款规定以外的计算机信息系统或采用其他技术手段,因此,单纯地非法获取数据的行为不足以构成犯罪。而指导性案例检例第36号根据《解释》5千元以上的追诉标准将其定性为非法获取计算机信息系统数据罪扭曲了非法获取计算机信息系统数据实行行为的独立性,是一种入罪化思维的体现。

数据犯罪口袋化必然伴随着数据犯罪与相关犯罪罪名适用的争议。例如在肖颖破坏计算机信息系统一案中,被告人肖颖原系福建某信息网络公司运维部工作人员,在未获授权情况下利用之前管理维护指令,擅自进入公司某版游戏系统后台数据库,编辑程序指令,给自己的游戏账户充入需要付费购买的游戏币并领取,先后非法获得具有对等价值的金币、礼包等若干。一审法院判决认为被告人的行为已构成破坏计算机信息系统罪,而辩护人则认为“破坏计算机信息系统”的本质特征应是对计算机信息系统功能造成实质性损坏,使计算机信息系统不能正常运行,故肖颖的行为不构成破坏计算机信息系统罪,应构成非法获取计算机信息系统数据罪。二审法院最终采纳辩护人的观点,认定被告人为非法获取计算机信息系统数据罪。又如在“流量劫持案”中,关于“破坏”和“控制”的规范评价不一,造成破坏型数据犯罪和非法控制计算机信息系统罪之间的争议。

此外,数据犯罪与传统犯罪之间的适用也存在争议。例如最高人民法院指导性案例第35号曾兴亮、王玉生破坏计算机信息系统罪一案中,被告人曾兴亮、王玉生诱骗被害人注销其苹果手机上的icloudID,给被害人提供新的ID及登录密码,利用该ID及密码远程锁定被害人手机,并以解锁为由索要钱财。该案的理论逻辑在于被告人通过远程修改、锁定被害人手机的方式,使其成为无法使用的僵尸机,造成了对计算机信息系统的修改、干扰,故法院定性为破坏计算机信息系统罪。不可否认,该指导性案例将以移动手机为代表的移动互联网终端都解释为“计算机信息系统”,符合互联网时代发展规律,然而也存在让人质疑之处,表现在被告人通过远程修改密码锁定手机的行为虽然造成被害人无法使用手机,但是其只是影响到被害人对财物的使用效用,计算机信息系统本身及其功能并没有受到影响。对此,该案定性为破坏计算机信息系统罪不仅扩大了该罪的适用范畴,也引发破坏计算机信息系统罪、敲诈勒索罪以及故意毁坏财物罪等罪名定性的争议。

再比如,在易某非法获取计算机信息系统数据、非法控制计算机信息系统一案中,被告人易某系华为公司线缆物控部的原职工,调任后违反规定获取线缆物料价格信息,并将其转告给该公司供应商深圳某公司,帮助其提高在华为公司招标项目中的中标率,并收受价值1.6万余元的购物卡以及篮球鞋若干。该案定性在非法获取计算机信息系统数据罪和侵犯商业秘密罪之间存在争议。法院以被告人超出授权范围登录该系统,并利用程序漏洞获取物料价格信息为由,定性为非法获取计算机信息系统数据罪。

在向某等破坏计算机信息系统、非法侵入计算机信息系统一案中,向某、王某以及潘某某共谋,由向某提供某东商城ERP账号及密码,易某、潘某某联系意图删改差评的某东商城商家,帮助其删改差评1000余条,其中,易某获取违法所得2.9万余元,向某、王某某、潘某某分别从易某处获取违法所得5.15万元、2.19万元、0.2万元。原审人民法院认为向某等违反国家规定,非法处理计算机信息系统中存储的数据,其行为已经构成破坏计算机信息系统罪,二审法院维持原判。由上文所述,破坏计算机信息系统罪的保护法益是计算机信息系统安全,被告人删除商家差评、修改数据的行为并没有影响计算机信息系统以及其功能的正常运行。对此行为除了将其定性为破坏计算机信息系统罪之外,还存在与非法经营罪、破坏生产经营罪以及侵犯公民个人信息罪的适用争议。与此相类似的还有非法删除交警支队计算机信息系统中的交通违章数据,修改教务管理系统中学生的分数数据信息等案例。这些本质上都是对数据安全法益的侵犯,而实践中将其定性为破坏计算机信息系统罪等其他罪名不具有合理性。

总而言之,对于数据概念的界定不清以及计算机信息系统范畴的扩张造成了数据犯罪在司法实践中的适用混乱。


三、我国数据安全独立保护的刑法对策

我国刑法在规制数据安全犯罪方面存在的前述结构性缺陷,决定了必须实行将数据加以独立保护这一对策。总体而言,未来我国应在刑法中增设“危害数据安全犯罪”专章,并针对信息安全、数据安全、计算机信息系统安全分别予以规定。应当改变数据犯罪条款附属于计算机信息系统犯罪条款之立法模式,强化数据犯罪罪名和刑罚的主体性和独立性;细化不同数据生存周期犯罪的罪状描述和不同数据类型的分类分级体系;通过刑事合规制度强化网络服务提供者职责的同时激励企业对涉及重大法益的犯罪行为事前进行预警和防控。

(一)拓展数据犯罪的行为类型

我国数据安全保护的国家标准明确将数据生存周期分为数据采集、数据传输、数据存储、数据处理、数据交换以及数据销毁六个阶段。反观我国现行刑法,将规制重点放在“获取型”和“破坏型”侵犯数据安全行为,造成对侵犯数据安全其它生存周期的行为力有未逮。事实上,“获取型”“破坏型”之外的数据侵犯行为可能会造成更大的社会危害性,比如数据采集、存储以及销毁环节的非法获取、持有行为,数据使用环节的非法滥用问题等,因此,应当在综合参考、对比前述数据生存周期划分的基础之上,重点加强对其他数据周期环节保护的完善。

比如,在数据采集阶段,数据侵犯表现之一是无权主体或有权主体超越权限对数据的非法知悉或非法持有行为。具体到非法获取计算机信息系统数据罪,构成本罪的两个前行行为遗漏了采用其他手段获取数据以及获取大部分计算机信息系统之外的云端数据行为。除了非法获取、知悉网络数据之外,还包括不应当存储而存储的行为以及数据销毁阶段应当销毁而未销毁的行为,即非法持有行为。对此,建议将数据犯罪独立出非法获取计算机信息系统数据罪,并将该条款中的两个限定条件去除,修改为非法获取、持有网络数据罪。这里需要说明的是,之所以将“非法持有”与“非法获取”并列作为侵犯数据安全的行为,原因在于“非法持有”是一种对数据的“非法占有”状态,是对数据安全保密性的侵犯,在整个数据生存周期的过程中具有纽带性的作用,和其他侵害数据安全的行为一样具有法益侵害性,需要刑法加以规制。

关于使用数据过程中对数据的破坏行为,主要涉及到破坏计算机信息系统罪,如上文所述,在破坏计算机信息系统罪这一大的罪名下,因法益不明经常造成实践中的定性困难。而且数据保护条款关于侵害行为仅仅规定了删除、修改、增加三种行为,相对于该条中其它条款遗漏了与“删除、修改、增加”危害相同的“干扰”行为。事实上,与“修改、删除、增加”行为相类似,对数据的“干扰”行为同样可能因为对核心数据的修改而威胁到数据的安全,故基于保护数据安全独立法益的需要,应当将数据犯罪从破坏计算机信息系统罪中脱离出来,增设非法破坏网络数据罪,同时在“删除、修改、增加”数据行为的基础上,将“干扰”数据的行为也纳入刑法规制范畴。

此外,实践中经常将非法使用网络数据行为等同于传统的犯罪行为,非法使用数据行为具有法益侵害的根源性,对网络数据的使用逐渐成为当前非法存储、获取以及提供网络数据等行为的诱因。同时,非法使用网络数据行为相较于侵害其他生存周期的数据安全行为而言,具有法益侵害的直接性。无论是非法获取网络数据还是存储网络数据,这些行为属于数据自身的物理流转和空间转换,是对数据安全法益的间接侵害,而非法使用网络数据对于数据安全法益的侵害是直接性的、具体化的。因此,非法使用网络数据行为的危害与上述侵害数据其他生存周期的行为相比有过之而无不及,如果不从源头上打击非法使用数据行为,单纯打击非法获取数据行为只能是治标不治本。事实上,非法使用数据行为在日常生活中广泛存在,主要表现为相关单位主体或单位内部人员违反规定,访问以及使用数据的行为。例如,2016年,根据美国明尼苏达州的审计调查数据显示,近3年内该州警察基于个人原因私自访问州驾驶执照数据库中的公民数据累计300余次。提到非法使用数据行为,最为典型的案例应当是“深度伪造”技术,该技术是通过数据的训练,进而实现以假乱真的效果。比如APPStore中“ZAO”“AI换脸”“FaceApp”都是非法使用公民个人数据信息,“深度伪造”数据的例子。因此,建议增设非法使用网络数据罪,主要表现为违反国家规定,采取违反授权或者超越授权等方式,使用他人数据,情节严重的行为。

需要注意的是,网络时代背景下积极的预防刑法观逐渐为更多学者所认可。面对当前数字经济发展过程中过于强调经济发展忽视弱化数据安全保护的不均衡现实,应当与提供侵入、非法控制计算机信息系统程序、工具罪等帮助行为正犯化相类似,侵犯数据的相关帮助行为也应当加以正犯化。因此,可以增设非法提供网络数据罪。

(二)贯彻数据的分类分级理念

风险识别是国家政府和社会组织有效提升治理效率并规制和防范风险的基础,刑法作为《数据安全法》的保障法,并不是所有的数据安全法益都需要刑法保护,只有经过风险识别,即判断某种数据所承载的利益为何种法益,是否能够上升为刑法法益,才能够真正成为刑法保护的对象。对此,借助于分类分级标准,认识不同层级的数据安全法益侵害风险和保护需求,形成数据犯罪罪质和罪量的评价依据,是实现数据安全独立保护的目的。

数据分类分级理念是贯彻落实总体国家安全观要求下,数据安全保护义务和责任由企业向国家的逐渐转移。数据分类分级虽然经常被合在一起统一讨论,但是实际上二者是相互区别的概念。数据分类是以“属性”为标准,根据数据的内容、来源、特征、作用等进行划分和归类。如根据数据的来源,可以将数据分为政府数据、商业数据和个人数据;根据数据的所属行业与领域,则可以划分为金融、交通、能源、医疗健康、电子政务等数据。美国的数据分类最为典型,以行业为标准,将受控非密数据分为隐私、专利、移民、金融、商业信息、税收、交通等20种,其中每一类下面可以再进行细化,如隐私数据又可以再分为合同使用、死亡记录、一般隐私数据、遗传数据、健康数据等。我国《数据安全法》关于数据分类的规定,主要存在存储形式和主体身份两种标准,以存储形式为标准,可以分为电子化数据和非电子化数据;以数据主体身份为标准,可以分为个人数据、商务数据和政务数据。对此,司法机关可以根据不同的罪名设定不同的定罪标准,以为司法人员认定数据犯罪时适用。

数据分级则是以“后果”为划分标准,根据《数据安全法》第21条数据被非法处理造成的法益损害后果的大小,划分为国家核心数据、重要数据和一般数据。其中,国家核心数据是关系着国家安全的数据,理应实行最高等级的保护;重要数据仅次于国家核心数据,可能关系国家安全和社会公共利益,实行仅次于国家核心数据等级的保护。因此,与前置法相对应,并非所有侵犯数据安全的行为都要受到刑法同等规制,数据分类与数据分级属于不同的维度,共同用于对数据法益的识别和判断。其中,因受侵害的客体以及其受侵害程度变量因素的差异,可能会出现不同的情形:同一种类的数据由于定级要素的不同,可能处于不同的保护等级;比如同样是侵犯公民个人数据的行为,由于造成损害的程度不同应当予以不同程度的规制。同理,不同种类的数据,因其受侵害程度相同,也可能最终处于同等的保护级别。即使受侵害的客体分别为公民个人数据和公共数据,可能由于遭受损害程度相同而最终给予相同级别的保护。因此,数据分类和数据分级密不可分,共同助于实现法益的梯度保护。

我国刑法罪名与罪名之间存在诸多结构性缺陷,根本原因在于尚未确立数据分类分级的保护理念。例如,非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪、侵犯公民个人信息罪和侵犯商业秘密罪等,这些罪名之所以在司法实践中存在认定上的困难,原因在于前三类计算机犯罪是以数据存储形式为标准设置的罪名,主要体现在对电子化数据的保护;后两类罪名则是以数据主体身份为标准构建的罪名。看似泾渭分明,然而随着信息网络的发展,公民个人信息和商业秘密也更多地表现为电子化数据,由此造成这些罪名保护范围上的交叉,进而造成认定上的困难。

对此,为了与《数据安全法》数据分类分级保护制度相协调,刑法中相关罪名应当对侵害关系国家重大利益的核心数据行为进行更严厉的惩处。具体可以从以下方面着手:

例如,对于非法侵入计算机信息系统罪,非法侵入本质上破坏了控制访问的信息安全技术,其侵害的是数据的支配权限。因此,应当“去系统化”,通过增设“非法访问网络数据罪”实现对所有侵入型网络数据犯罪的刑法规制,即违反国家规定,未经授权或超越授权访问经过他人特殊安全处理的网络数据,情节严重的行为。同时在“非法访问网络数据罪”中设置关于国家重要核心数据的加重情节。

那么,这里主要讨论一个问题,国家重要核心数据是否仅仅局限于国家事务、国防建设、尖端科学技术领域呢?答案是否定的。国家事务、国防建设、尖端科学技术这些领域的数据属于国家重要核心数据,应当对其实施更加严格的保护,体现出对数据安全的分类分级保护。然而我国《计算机信息系统安全保护条例》在前面三个国家重要核心数据基础之上,还对经济建设领域数据加以重点保护。事实证明,数字化经济背景下,经济建设领域尤其是金融领域的网络数据遭受侵害的社会危害性未必小于其他领域。因此,以金融领域为核心的经济建设相关数据应当与国家事务、国防建设、尖端科学技术相关数据并列纳入非法访问网络数据犯罪加重情节的规制范围。

同理,对于上述危害其他数据生存周期的相关罪名,如“非法获取、持有网络数据罪”“非法破坏网络数据罪”“非法使用网络数据罪”以及“非法提供网络数据罪”等,均应当贯彻数据分类分级的保护理念。例如,就非法获取、持有网络数据罪而言,建议将非法获取、持有关系国家事务、国防建设、尖端科学技术领域、经济领域等国家核心数据的行为作为该罪的加重情形,设置更加严厉的法定刑。其他罪名以此类推,在此不再赘述。

值得一提的是,随着数字经济的发展,传统的“数额为主、情节为辅”的罪量模式逐渐转向“数额与情节并重”甚至“以情节为主”的模式。这种情形下,在数据分类分级的基础上明确数据犯罪的罪量要素则十分必要。比如,《计算机安全刑案解释》第1条关于计算机信息系统数据罪的“情节严重”内容主要包括经济损失、违法所得、计算机台数、身份认罪信息组数等,然而,这些“后果”与数据安全法益之间并不具有很强的关联性,因为数据犯罪的评价要素表现出诸如数据流量、浏览次数、影响用户数等新的形式。因此,不能仅仅局限于实际的损失来评价数据犯罪,应更多地考虑行为对社会秩序、公共利益乃至对国家安全带来的影响。当然,对于侵害数据安全法益确实无法加以分类分级量化的,则依然以“情节严重”加以考量。

(三)构建数据刑事合规制度

风险社会背景下,预防主义的刑法观得到进一步发展,这不仅体现在刑法处罚范围的扩大化,也体现在刑罚处罚的早期化,对于数据安全的保护也不应有例外。大数据时代,海量、多源异构的数据对数据采集、存储、传输以及使用等环节带来挑战,数据业务运营者主动或被动、故意或过失地使数据遭受威胁,个人的许可逐渐让位于数据使用者责任的承担,这种保护模式将重点集中于对个人数据再利用的行为进行正规评测,而非收集数据时是否取得个人的同意。例如,2019年“ZAO”App因存在用户隐私协议不规范、数据泄露风险等问题,被工业和信息化部网络安全管理局要求自我整改,并采取有效措施防范被利用实施电信诈骗等风险。此外,数据刑事合规也体现在诸多立法中,比如,根据美国国会研究局2019年颁布的《数据保护法:概述》统计,共有《电子通信隐私法》在内的12部联邦个人信息保护法出台了数据保护法规。虽然我国《数据安全法》以及相应法律法规都明确确立了网络数据服务商的数据安全管理义务,但是网络数据安全服务商在刑法中的数据安全管理义务尚未明确,成为数据刑事合规面临的重要问题。

关于数据网络服务提供者的数据刑事合规义务,有观点认为为了形成对数据服务提供者更好地履行数据安全管理的强制力,推动数据合规计划成为一项刑法义务,应当增设怠于履行合规计划罪,数据安全领域则为预防数据安全失职罪。笔者认为,鉴于短期内增设怠于履行合规计划罪等相关罪名难度较大,立足于现有的刑法框架内完善现有罪名不失为一种选择。这里可以借鉴拒不履行信息网络安全管理义务罪中关于网络服务提供者的规定,增设“拒不履行数据安全保护义务罪”,将罪状中“信息网络安全”修改为“数据安全”。其中,拒不履行数据安全保护义务罪主体既包括自然人,也包括单位。关于网络服务提供者间接故意的主观罪过认定,我们认为,如果数据网络服务提供者已经预见到不履行数据安全保护义务将会造成数据安全隐患的严重后果,此时可以认为其对于数据安全犯罪行为的发生主观心态上至少为间接故意。并且这种主观的心态可以通过多种形式表现出来,需要我们结合各种因素进行综合判定。

此外,拒不履行数据安全保护义务罪作为典型的不作为犯罪,离不开对网络服务提供者不作为义务、作为可能性、结果避免可能性等层面的认定。此时,数据合规对于网络服务提供者的作为可能性、结果回避可能性的认定将具有重要参考意义,对于遵守法律、行政法规规定的数据安全保护义务,积极履行数据合规义务,则可以使其出罪或者免责。拒不履行数据安全保护义务罪实际上暗含了刑事合规的理念,增设该罪的目的并非增加网络服务提供者的刑罚负担,而是达到使用刑法的手段引导网络平台开展刑事合规的规范效果,限缩网络服务提供者的刑事责任。比如,如果网络服务提供者根据已有审查结果的判断,采取了具有可期待性的规避措施,并建立了有效的刑事合规制度,则可以对其进行责任的减免。反之,如果没有建立有效的合规或者只是形式的合规,则不能进行减免。

值得注意的是,拒不履行数据安全保护义务罪的增设可能会出现与相关罪名的竞合问题,比如与危害国家安全类犯罪和侵犯公民个人信息罪的竞合。然而,拒不履行数据安全保护义务罪与其它罪名之间的保护法益是相互独立的,如果一个行为同时触犯了两个罪名,则应当按照想象竞合犯加以处理。


四、结语

2020年,党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出要“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用。”2021年《数据安全法》等相关法律对此作出了积极回应,为网络数据的治理提供了依据。遗憾的是,虽然历经多次刑法修正案的出台,我国刑法却依然没有关于数据犯罪独立的罪名,而是依附于计算机犯罪、个人信息犯罪、商业秘密犯罪等相关罪名体系下,处罚范围有限,保护力度不足。既存《刑法》出现了犯罪化不足和口袋化倾向严重的尴尬局面,主要原因在于计算机信息系统犯罪和网络数据犯罪的杂糅,使得既存罪名力有未逮。本文同时指出,基于数据安全法益与计算机信息系统安全法益的不同,对数据安全独立刑法保护就有研究的必要。更何况当今无论是国内还是国外,数据安全的保护有着与信息安全完全不同的进路:国内方面,2021年《数据安全法》等相关法律的出台都为网络数据的治理提供了依据,体现出对数据安全的重视和关注。国际方面,正如前文所展示的,各个法域几乎都对侵害数据安全的犯罪加大了刑法规制力度,表现为制定更为严密的刑事法网。这些都表明对侵犯数据安全的行为予以独立化刑法保护有其存在的价值。

尽管对网络信息犯罪的刑法规制尚有可完善之处,同时对数据犯罪的刑法规制之完善不只是体现在与计算机信息系统犯罪的相互独立上,但抓住数据犯罪的独立视角这个“牛鼻子”,就能更好地一体推进对网络信息安全的刑法保护。实际上,从立法论上讨论新增数据犯罪罪名不仅不会阻碍数字经济的健康有序发展、违背刑法谦抑精神,反而正是谦抑法益保护原则的体现。本文立足于数据安全独立保护的逻辑,借助于类型化思维,横向方面围绕数据生命周期构建全过程的保护,纵向方面贯彻数据分类分级的保护理念,并就数据合规制度提出建议。如上文所述,自《数据安全法》实施以来,首例涉及高铁运行危害国家安全的案件出现,使得数据安全再次成为全社会关注的话题。之所以将其界定为危害国家安全类犯罪,是因为国家基础信息、国家核心数据事关国家安全、国计民生和重大公共利益,是数据安全保护工作的重中之重。表面上看,强调数据安全的独立保护似乎与信息安全、计算机信息系统安全保护相冲突,其实不然,因为三者共同构成网络安全保护的内容,是落实总体国家安全观的必然要求。保护数据安全就是保护网络安全,刑法作为社会治理的重要参与者和保障者,理应承担起独立保护数据安全的职责。这些理念和构想,在当前《数据安全法》颁行引起刑法学界热议、刑法法典化再次受到高度重视的契机下兼具有理论研究价值和现实意义。










本刊实行双向匿名评审。来稿经专家评审后,编辑部将及时通知作者。自收到稿件之日起,30日内没有收到修改意见或录用通知,作者可另行处理。







·官方网址:

fzyt.cbpt.cnki.net

·投稿邮箱:

fazhiyanjiu @vip.163.com

·联系电话:

0571-87059288

相关文章·刘宪权 石 雄:网络数据犯罪刑法规制体系的构建
·大数据时代的公民数据信息安全规制问题研究
继续滑动看下一个
法治研究杂志社
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存