其他
杨志琼:数字经济时代我国数据犯罪刑法规制的挑战与应对
The following article is from 中国法学 Author 杨志琼
数字经济时代我国数据犯罪刑法规制的挑战与应对
东南大学法学院副教授,法学博士
本文发表于《中国法学》2023年第1期,因篇幅限制,注释省略。作者身份信息为发文时信息。
数字经济时代我国数据犯罪的新趋势体现为大型场景下对企业公开数据的批量抓取、使用,由于当前我国缺乏成熟有效的数据访问规则,加之大数据反垄断的公共政策需求,使得我国数据犯罪的刑法规制面临新挑战。对此,应从数据犯罪保护法益着手,摒弃传统“计算机信息系统安全”法益,重视“数据利用安全”法益(可控性)对传统“数据安全”法益(数据保密性、完整性、可用性,CIA)的补强意义,确立以“消极防御+积极利用”为核心的全新“数据安全”法益。未来我国数据犯罪的刑法规制应建构“以权限为中心”的数据访问规则,并适时增加反垄断的公共政策考量,将获取企业公开数据的行为出罪化,以适应数字经济的发展需求。
关键词数据犯罪 数据安全法益 访问权限 公开数据 出罪化
目 次一、数字经济时代我国数据犯罪刑法规制的挑战
二、数据犯罪的法益重释:消极防御+ 积极利用
三、基于全新“数据安全”法益的犯罪构成要件重释
四、结语
数字经济时代,数据日益成为重要的生产要素,数据泄露、数据窃取、数据滥用、数据垄断等愈演愈烈,如何在维护数据安全的同时促进数据利用,成为当前各国数据犯罪刑法规制的新议题。不同于互联网早期数据犯罪的零星化、个体化、私密化特征,数字经济背景下的数据犯罪多表现为大型场景下对可公开获取企业数据的批量抓取、使用、破坏等,由于当前我国数据访问规则尚不成熟,加之大数据反垄断呼吁数据流通共享,使得数据犯罪的法益确定、构成要件解释面临巨大挑战。与此同时,我国司法机关对数字经济背景下的数据犯罪采取了不同裁判规则,如在“酷米客诉车来了案”中要求同时承担竞争法责任和刑事责任,在“新浪微博诉饭友案”中仅要求承担竞争法责任,在“晟品公司抓取今日头条视频案”中仅要求承担刑事责任,导致数据犯罪的法律规制更加扑朔迷离。随着《数据安全法》的颁布,我国正式确立了“数据安全与利用”并重的产业政策,这要求数据犯罪的刑法规制不能停留于互联网早期以“控制论”为核心的“静态安全”防护理念,而应以同时推动数据资源的“流通利用”为宗旨,建构“消极防御+积极利用”的数据犯罪法益理念和规制体系。
一、数字经济时代我国数据犯罪刑法规制的挑战
本文所称的“数据犯罪”是指以数据为对象、侵害数据安全法益的非法获取、删除、修改、增加数据的行为,主要包括《刑法》第285条第2款非法获取计算机信息系统数据罪、第286条第2款破坏计算机信息系统罪。近三十多年来,各国一直在寻求有效的数据犯罪责任理论,其中最为瞩目的是追究主要参与者的责任——恶意入侵者和数据窃取者。如美国联邦《电脑诈欺与滥用法》(Computer Fraud and Abuse Act, CFAA)第1030(a)(5)条禁止在未经授权或者超越授权的情况下访问受保护的计算机并获取数据。但随着数字技术更新和网络规范结构的演变,各国逐渐意识到数据犯罪的认定不应局限于传统侵入型黑客犯罪,因而不断修订立法以调整数据犯罪的处罚范围,这主要聚焦于如何解释作为行为要件的“授权”访问和作为对象要件的“数据”范畴。(一)行为要件判断难题:数据访问规则如何构建数据经济时代,为维护数据权利,数据主体对于数据的“排他性”可以通过两种方式实现:一是规范上的排他性,即通过法律规范创造排他性来保护数据主体对数据的权利;二是物理上的排他性,即通过技术手段阻碍他人侵入或使用数据,从而在事实上实现数据的排他性。从罪状描述来看,我国数据犯罪的违法性判断取决于对国家规定的违反和对技术措施的违背,但二者的具体标准都不明晰。在规范判断上,数据犯罪的成立要求“违反国家规定”。对此,作为前置法的《网络安全法》《电子商务法》《数据安全法》等都要求数据的收集、利用必须“合法”“正当”“必要”等,但“正当”“必要”的具体内容过于模糊而缺乏可操作性。这导致司法实务对数据犯罪的认定更多依赖于技术判断。遗憾的是,我国《刑法》和2011年8月1日最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机安全解释》)都未对数据犯罪中“获取”“破坏”等规范性构成要件要素进行全面阐述,仅在非法获取计算机信息系统数据罪中规定了“非法侵入或者采用其他技术手段”+“获取”的要件要素。此后,《计算机安全解释》第2条明确了“侵入”的要件,即“避开或者突破计算机信息系统安全保护措施”和“未经授权或者超越授权获取计算机信息系统数据”,且两者缺一不可。但最高人民检察院在2017年10月发布的第9批指导性案例第36号“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”中,却将“侵入”解释为违背被害人意愿、非法进入计算机信息系统,具体表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统,这反而扩大了数据犯罪的入罪边界。面对数据犯罪的规范判断过于抽象而技术判断混乱的局面,由平台协议、数字技术措施和行业规定等组成的数据访问规则成为数据犯罪入罪判断的关键。如数据网站可通过事前的网络服务协议、网页警告、弹窗等措施,或者密码认证、更改IP地址等技术手段,以及事后的函告、撤销通知等来限制数据抓取、使用。这类访问规则将数据犯罪的违法性判断聚焦于有无“授权”。对于“授权”的解释,历来存在“以目的为中心”的广义解释方法和“以权限为中心”的狭义解释方法的争论。其中,“以目的为中心”的解释方法认为“授权”的判断应重点考察数据网站的意图,以及数据访问、抓取行为是否符合数据网站的授权目的;“以权限为中心”的解释方法将数据抓取“授权”的判断重点集中于访问权限上,考察访问、使用数据行为是否规避或突破数据网站的技术保护措施。但此类依照数据网站的主观意愿、通过授权协议或技术措施表达出来的数据访问规则,由于缺乏立法保障和监管机构的指引,能否以及如何作为数据犯罪成立的判断标准,不无疑问。尤其是在大数据竞争背景下,企业之间的数据获取利用已成为数字经济发展的重要途径,如果将企业通过授权协议表达出来的授权规则作为数据犯罪入罪的判断标准,将导致网络不正当竞争行为被认定为数据犯罪,这对我国数据产业乃至数字经济发展都极为不利。因此,如何合理解释数据获取、使用的“授权”判断,已成为当前影响我国数据犯罪司法规制的关键。(二)对象要件判断难题:可公开获取企业数据的反垄断保护需求不同于互联网早期数据犯罪主要体现为对私密数据的侵害,数字经济背景下的数据纠纷更聚焦于对可公开获取企业数据的抓取、使用,如对商家点评数据、用户背景数据、实时交通数据等的批量抓取、使用。当前多数企业的App或小程序都对注册用户开放、使用,注册用户可以在权限范围内浏览、下载相关数据。虽然这类企业数据的获取、使用存在一定的形式条件,如需要快速注册账号、验证码验证等,但仍属于企业的公开数据。由此产生了数字经济背景下典型的司法难题:当数据企业采取技术措施限制竞争对手抓取其他注册用户可公开访问、获取的企业数据时,竞争对手执意抓取的行为是否构成数据犯罪。对此,我国司法判例的态度并不一致,在“酷米客诉车来了案”中要求同时承担竞争法责任和刑事责任,而在“新浪微博诉饭友案”中仅要求承担竞争法责任。随着社会对数据利用的需求日益加剧,各国越来越清楚地认识到,数据犯罪的认定不仅是一个执法问题,而且还具有重要的经济影响。因为数字经济的有效性越来越需要数据获取、流通和共享,关闭对公开数据的访问将使互联网的开放性和动态性大大降低,从而损害数字创新和消费者福利。因此,当前各国逐步进入数字经济强力反垄断时期,呼吁在数据犯罪的认定中增加大数据反垄断的公共政策考量。近年来,美国两起著名案例表明法院对公开数据抓取的认定趋势正发生改变,开始遵循数字经济的新需求和互联网技术的新变化来重新调整数据犯罪的刑事政策。首先是在HiQLabs,Inc. v. LinkedIn Corp.案中,双方当事人对《电脑诈欺与滥用法》(CFAA)是否适用于公开数据存在争议。地区法院认为,新生数据企业如果不能从LinkedIn抓取数据将会面临倒闭,这显然不利于数据竞争。为保护数据自由竞争秩序,数据竞争者即便违反了数据企业网站的使用通知,也可以抓取、使用数据企业的公开数据。其次是在Sandvig v. Sessions案中,针对科研人员抓取网站公开数据用于科研的行为,法院认为,个人可能出于对社会有益的目的而访问、获取公开数据,违反各类访问授权机制能否引发刑事责任,需要仔细权衡。由于《电脑诈欺与滥用法》(CFAA)仅适用于需要身份验证、密码限制等私权数据,因而研究人员不需要对收集公开网络数据的行为承担网络入侵的法律责任。上述判例为大规模获取网络公开数据扫清了法律障碍,意味着数据网站的单方授权意思和技术措施都不再发生禁止公开数据爬取的法律效果,而数据网站对公开数据的封闭将面临反不正当竞争法、开放互联网之公共利益的诘问。在当前我国发展数字经济的关键时期,对可公开获取企业数据的抓取、使用行为如何规制,不仅应在刑事政策层面予以考虑,更应放眼于我国数字产业发展和国际数字竞争的大环境中予以权衡。综上可见,数字经济时代我国数据犯罪的刑法规制面临数据访问规则的建构难题和可公开获取企业数据的出罪判断难题。这些问题难以从现有的刑法规范或者司法解释中得出妥当结论,必须依赖于数据犯罪保护法益的界定,即在数据流通利用需求的基础上,基于数据自身内容、使用价值和侵害风险进行独立的规范评价,才能得出妥当结论。二、数据犯罪的法益重释:消极防御+积极利用
数据犯罪的刑法规制有赖于合理的保护法益界定,这种保护法益以数据对于个人、企业、国家的有用性与有益性为基础,对之进行法律识别、确认所产生的数据利益,因而必须说明“它保护的应该是什么?它保护的应该是谁,以及它所抵御的又应该是什么”。从理论研究来看,我国数据犯罪的保护法益历经“计算机信息系统安全”法益和传统“数据安全”法益(数据保密性、完整性和有用性,CIA)的争议,但仍难以跟进数字经济时代的发展需求而亟需重释。(一)传统“计算机信息系统安全”法益难以精准描述数据安全需求由于我国数据犯罪寄居于《刑法》第285条和第286条规定的计算机犯罪之中,传统观念认为计算机犯罪的保护法益是“计算机信息系统安全”。有学者从体系解释的角度出发,将“计算机信息系统安全”法益视为数据犯罪的保护法益,并据此解释数据犯罪的构成要件。但从网络技术逻辑而言,“计算机信息系统安全”法益难以精准描述数据犯罪的法益侵害。1.“计算机信息系统安全”法益不同于“数据安全”的保护需求“网络空间安全”可分为设备层安全、系统层安全、数据层安全、应用层安全。其中,设备层安全和系统层安全指向信息系统安全,旨在确保信息系统的数据处理功能能“稳定可靠运行”和“持续提供服务”,即具有可靠性(Reliability)和坚韧性(Resilience);而数据层安全和应用层安全则指向数据安全,力求数据本身的保密性、完整性和可用性。正是基于技术特质以及风险源的不同,域外网络立法都明确将计算机信息系统与数据分别予以保护,对相关的侵害行为规定不同的罪名和构成要件。如欧洲理事会《网络犯罪公约》、欧盟理事会《关于国际信息系统的理事会框架决议》、德国刑法以及我国台湾地区刑法等,都基于法益侵害实质的不同,将计算机犯罪与数据犯罪在立法体系上“分而治之”。近年来我国网络立法也将二者区别对待。如《网络安全法》第76条将“网络安全”定义为包含保障网络稳定可靠的运行状态和网络数据的完整性、保密性和可用性,即确保网络信息系统安全与数据安全。对此,刑法作为保障法,也应将“数据安全”与“计算机信息系统安全”分别予以保护,并对相关侵害行为分别予以规制。2.“计算机信息系统安全”法益不符合数据犯罪的教义学法则特定犯罪保护法益的界定必须从当前实定规范出发,兼顾融贯性与合目的性的双重考量,确保由特定法益观所致的构成要件解释及处罚范围的划定,在法教义学逻辑上和刑事政策上都是合理的。但从当前实定规范出发将“计算机信息系统安全”法益视为数据犯罪的保护法益,既难以合理解释数据犯罪的构成要件并限定处罚范围,也难以兼顾数据犯罪体系的融贯性。(1)“计算机信息系统安全”法益难以合理解释数据犯罪的构成要件。依照“计算机信息系统安全”法益进行解释,将导致数据犯罪中“数据”的认定依附于计算机信息系统等物质设备,形成“数据”与“计算机信息系统”之间循环解释而无法说明“数据”的实质内容;将数据犯罪结果的认定依附于计算机信息系统是否受损,不恰当地缩小了数据犯罪的处罚范围。(2)“计算机信息系统安全”法益难以兼顾数据犯罪与其他计算机犯罪的体系协调性。随着数字技术快速更新与突破,数据犯罪与其他计算机犯罪之间的定性争议日益激烈。依据“计算机信息系统安全”法益来解释数据犯罪,易导致在流量劫持、撞库打码等案件中将对数据的侵害与对计算机信息系统的侵害相混淆,无法有效区分数据犯罪与非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪。显然,我国数据犯罪立法独立性上的“先天不足”源于其保护法益定位不清,导致数据犯罪的解释适用未能跳脱“计算机信息系统安全”法益,无法实现对数据的完整性、体系性保护,并导致数据犯罪结构错位、保护不周等问题。虽然近年来我国《网络安全法》《数据安全法》等逐渐明确了数字经济时代与数据相关的保护法益和产业政策,但在数据犯罪刑事立法(《刑法》第285条和第286条)和司法解释(《计算机安全解释》)均未作出修正的情况下,数据犯罪的保护法益实际上并未能与前置法同步更新和有效衔接,难以适应数字经济的发展需求。因此,如何将《网络安全法》《数据安全法》等前置法确立的保护法益和产业政策导入数据犯罪的解释适用中,并从国际视角出发对数据犯罪的保护法益和构成要件进行调整,是今后我国数据犯罪规制的关键。(二)传统“数据安全”法益(CIA)难以适应数字经济发展近年来,随着各国网络风险逐渐从计算机信息系统被攻击演变至数据被侵害,各国网络安全观念也从传统计算机系统安全观逐渐发展到数据安全观。我国学者在批判传统“计算机信息系统安全”法益的基础上,建议借鉴欧洲理事会《网络犯罪公约》、欧盟理事会《关于国际信息系统的理事会框架决议》、德国刑法等域外立法,将“数据安全”法益(数据保密性、完整性和有用性,CIA)视为我国数据犯罪的保护法益。2017年施行的《网络安全法》也明确保护“网络数据的完整性、保密性和可用性”。传统“数据安全”法益是1975年学者Saltzer和Schroeder在总结当时未经授权访问、修改、使用数据等风险时提出的法益概念,包括数据的保密性(confidentiality)、完整性(integrity)、可用性(availability),统称为 “数据安全”三要素(CIA-triad)。其中:(1)数据的“保密性”是指确保数据免受未授权人探知、获悉、使用。对“保密性”的侵害意味着对数据的非法访问、获取、泄露,导致其陷入随时被扩散、公布的风险之中。(2)数据的“完整性”是指确保数据不被修改或破坏,以实现数据的准确和完备。对“完整性”的侵害意味着数据丢失、被删除、破坏、销毁等,导致数据蕴含的内容无法被完整地读取和使用,进而侵害数据的真实性、可靠性。(3)数据的“可用性”是指确保权利人能在不受干扰或阻碍的情况下及时、有效地获取、使用数据。对“可用性”的侵害将导致授权用户无法及时、可靠地访问数据。此后几十年CIA-triad一直是“数据安全”的基础概念模型。传统“数据安全”法益(CIA)是一种典型的消极防御的法益理念,精准描述了早期计算机犯罪中系统漏洞导致的数据泄露、篡改、灭失等静态数据安全风险,并确立以安全边界防护为核心的理论体系。这是从绝对权观念出发,认为数据主体对数据具有支配权以及排他保护的绝对性,因而“数据安全”的实质是“专有”和“排他”,以实现数据的安全控制。如获取数据行为侵犯了数据排他性重制与用益权;删除数据行为侵犯了数据的排他性处分权;修改、增加数据行为侵犯了数据内容的正确性保护需求。在这种“绝对权化”理念下,传统数据安全法益观采取安全边界防护理念来构建防御性的数据保护体系,在技术手段上采取身份认证、授权、访问控制、可追溯性等来设计数据保护的安全架构。受此影响,我国数据犯罪立法和司法解释也采取边界防护理念来确定犯罪构成要件:(1)将作为犯罪对象的“数据”主要限定为身份认证信息,以明确用户主体身份的真实性。如《计算机安全解释》第1条将非法获取计算机信息系统数据罪中的“数据”主要限定为网络金融服务领域以及其他领域的身份认证信息。(2)对数据犯罪的行为要件设置了“授权”“访问控制”等入罪标准,以强化对数据的访问控制。如对非法获取计算机信息系统数据罪设置了“侵入”或“采用其他技术手段”等入罪条件。但数字经济时代,数据动态利用逐渐走向常态化和多元化,这导致传统仅保护静态数据安全的法益理念难以适用。从数字经济的发展历程来看,数据价值的发展经历了三个阶段:第一阶段是数据资源阶段,数据只是记录、反映现实世界的一种重要载体;第二阶段是数字资产阶段,数据成为个人或企业资产的重要组成部分,是创造数字经济财富的基础;第三阶段是数据资本阶段,数据通过交易等各种流动方式衍化为资本。无论将数据作为资源、资产还是资本,数据价值的最大发挥和释放都在于数据的汇聚、打通及利用,数据“活”于流动之中。相应地,数据安全风险也逐渐从窃取数据、瘫痪系统转向干预、操纵、利用数据分析结果。如数据集中汇聚、管运分离、碰撞关联等带来了算法霸权、脏数据决策、数学式杀伤性武器、大数据杀熟等。但传统数据安全法益观是对数据安全的静态保护,刑法对数据犯罪采取的是被动应对模式,“无法积极主动地促进数据要素市场发展,也无法满足数据流转的独立权利机能之需要”。因而必须通过动态变化的视角分析和判断数据安全风险,构建以数据为中心的动态、连续的数据安全防护体系。这就要求数据犯罪的法益保护,不能仅停留于数据资源阶段的数据安全消极防御需求,而应同时关注数据资产阶段和资本阶段的积极利用需求。因此,“数据安全”法益必然要突破传统静态的消极防御性质,走向积极利用性质。(三)新型“数据利用安全”法益的提出与证立在意识到将传统数据安全法益(CIA)作为数据安全目标存在诸多不足之后,各国决策层和产业界开始尝试提出更系统、完整的“数据安全”概念以应对一系列不断演变的数字风险。经济合作与发展组织(OECD)2015年发布的《理事会关于为了经济和社会繁荣的数字安全风险管理的建议》指出,数字安全风险是“在任何活动过程中与数字环境的使用、开发和管理相关的风险”。数字经济背景下,数据价值释放过程正是其流动、分享、交易和使用的过程。数据已经在商业活动、公共卫生和安全、个人消费升级等领域创造了许多价值,其更多潜在用途被社会期许。对于数据企业而言,大数据利用能促使其创造更好的数字产品服务,针对消费者进行精准广告推送和营销,或根据消费者偏好进行价格区分,乃至借助数据获得竞争优势和垄断地位;对于政府而言,大数据利用有利于政府锁定恐怖组织,预测并减少疾病爆发、气候影响、经济失序甚至政府腐败等有害影响;对于用户个人而言,可以借助大数据利用更好地享受产品、服务等。但海量数据的生产、汇聚、存储、提炼、挖掘、应用等数据流转处理环节和流程大大增加,导致数据利用的不可控风险日益增大,并形成不同于传统数据安全风险的诸多特征。如巨大的数据需求量缺乏有效的交易机制,部分需求被迫诉诸非法交易;数据交易的隐蔽性较强,甚至出现在“暗网”中交易,造成了违法交易的追查困难;越来越普及的云计算导致数据所有权和控制权分离,对于被存储在云端的数据的泄露、滥用等侵害风险大大增加。如何在促进数据利用以充分释放数据经济价值的同时,将潜在不利影响降至最低,并将数据安全风险维持在一种可接受水平,是当前亟需解决的难题。由此衍生出数字经济时代“数据安全”的另一个侧面——“数据利用安全”,即确保数据大规模流动、处理、使用过程中风险的“可控性”。与传统数据安全法益关注静态安全的边界防护不同,数字经济时代数据利用安全的“可控性”是在承认数据分享社会效应的基础上,抵消或纠正不正当数据利用方式带来的冲击,排除外界的破坏和干涉。从数据产业逻辑而言,“数据利用安全”要求确保数据利用方基于特定目的通过数据分析创造价值、实现价值,其核心环节包括数据收集、处理和使用三个环节。其中,数据收集安全是指确保数据利用方能获取数据主体的数据资料;数据处理安全是指确保以使用数据为目标正常展开数据录入、存储、编辑、更正、搜索、传输、删除等行为;数据使用安全是指确保数据利用方将收集、处理过的数据投入实际使用、实现利用效能。“数据利用安全”法益是一种典型的积极利用的法益理念,以充分挖掘数据的利用价值为目标,这是数字经济背景下数据被视为“生产要素”后的必然趋势。基于大数据的非独占性和非排他性所引发的数据确权困难,“数据利用安全”法益通过把握数据主体对数据控制的真正利益所在,以维护数据主体对所控制数据的自我利用状态,以及利用数据服务和交易获利的可能性。“数据利用安全”法益的教义学意义在于为数字经济时代我国数据犯罪的解释适用指明方向:(1)合理解释数据利用行为的入罪边界。数字经济背景下数据利用纠纷主要涉及下游数据企业、后进入数据企业对上游数据企业、先进入数据企业的数据获取、使用,只有全面考虑大数据反垄断背景下企业数据流通、利用的社会需求和法益侵害,才能合理限定数据犯罪的处罚范围。(2)适当限定数据犯罪的对象范畴。可公开获取的企业数据虽然由企业暂时控制,却关涉到公共利益和信息自由,因而其法律保护具有相当的复杂性和微妙性。而当前我国一概禁止可公开获取企业数据爬取的刑事执法和司法,忽略了蕴含其中的数据流通价值,并不可取。(四)小结:“消极预防+积极利用”的数据安全法益观确立数字经济时代,“数据安全”法益的界定除受数据自身特征影响外,还受技术创新、应用场景和价值选择的驱动。大规模数据流动、聚合和分析要求对数据风险进行多元、多维的识别和预防,由此产生了数据自身安全风险保护需求和数据利用安全保护需求。相应地,我国“数据安全”法益应包括数据自身安全法益和数据利用安全法益。其中,数据自身安全法益的基本要素是数据的保密性、完整性、可用性,适用于数据内容层,确保数据静态安全。这是以数据排他性为基础,构建数据的静态安全边界保护,是一种消极防御权能。数据利用安全法益的基本要素是数据利用的可控性,适用于数据应用层,确保数据的流通共享。这是以数据的公共属性为基础,以充分挖掘数据的经济价值为目标,构建数据的动态流通利用框架,是一种积极利用权能。事实上,这种全新的“数据安全”法益已得到我国立法的确认,如《数据安全法》第3条将“数据安全”定义为“数据处于有效保护和合法利用的状态以及具备保障持续处于安全状态的能力”,以明确数据安全保障与数据利用并重的价值目标。各省市也相继出台了数据保护与利用的地方性法规,如《贵州省大数据安全保障条例》明确要求数据处理者确保数据的真实性、完整性、有效性、保密性、可控性等。上述前置法确立的数据保护法益和产业政策奠定了今后我国数据犯罪治理中“安全与利用”并重的刑事政策目标。三、基于全新“数据安全”法益的犯罪构成要件重释
当前我国数据犯罪立法及司法解释对数据犯罪构成要件的规定并不明晰,针对这种“非意图性的法律空白”所导致的争议,应充分发挥全新“数据安全”法益(保密性、完整性、可用性、可控性)的解释机能来予以应对,实现数据犯罪规范体系与技术规则、大数据反垄断政策的深度融合,在维护数据安全的同时尽可能促进数据流通利用。详言之,通过重释作为行为要件的“授权”访问和作为对象要件的数据属性,来合理限定数据犯罪的规制范畴。(一)行为要件重释:“以权限为中心”的数据访问规则建构当前各国对数据犯罪中“授权”的访问规则形成了“以目的为中心”的广义解释方法和“以权限为中心”的狭义解释方法的争论,并逐渐从“以目的为中心”的解释方法转向“以权限为中心”的解释方法。以“保密性、完整性、有用性、可控性”为核心的“数据安全”法益要求数据访问规则聚焦于建构一套科学的数据控制和操作规则体系,这类规则体系是在考虑数据主体、数据控制者和社会利益的基础上进行利益平衡的结果,通过确保数据收集、处理、利用安全来促进数据流通利用。这既涉及数字经济的发展需求,也与数字产业链条中数据网站、用户、雇员等多方利益紧密相关。1.“以目的为中心”广义解释方法的批判 在数字产业十分发达的美国,联邦第一、五、七、十一巡回法院采取了“以目的为中心”的广义解释方法,对数据访问规则中“授权”效力的判断主要关注访问行为是否符合数据网站的授权目的。由于数据企业的授权目的主要通过合同约定或代理协议来表达,因而实务中存在违反合同理论的判断规则和违反代理理论的判断规则。(1)违反合同理论的入罪判断方法。美国部分法院基于数据纠纷当事人之间的合同关系,通过判断数据抓取、使用行为是否违反数据网站明确或隐含的合同约定来确定“授权”,这被称为违反合同理论的入罪判断方法。因此,只要数据网站在其服务条款或使用政策中明确禁止“抓取”或“收集”数据,而抓取者以违反“合同”内容的方式抓取、使用数据时,便属于“未经授权”或者“超越授权”,可能构成数据犯罪。这里的“合同”不仅包括传统的合同,如网络服务协议,还包括一些非正式的合同,如数据企业的电脑使用政策或操作手册等。美国联邦第一巡回法院在EF Cultural Travel BV v. Explorica,Inc.案中,认为被告违反保密协议并访问被害企业数据的行为属于“超越授权”,进而违反了《电脑诈欺与滥用法》(CFAA)。但违反合同理论的判断规则一直备受批判的是,依据合同内容来判断授权意味着赋予数据网站依据自身利益来设定违法犯罪的边界,从而将数据犯罪立法变成打击网络不端行为的通用许可证,实质是将数据犯罪的违法性判断授权给数据企业,使得网络用户普遍面临入罪风险。(2)违反代理义务的入罪判断方法。美国部分法院在涉及雇佣关系的数据盗用案件中运用民商法的代理理论来解释“授权”。代理理论认为雇员对雇主负有忠诚义务,必须将雇主利益置于自身利益之上,不得为自己或者雇主竞争对手的利益获取、使用雇主的保密数据、损害雇主的利益,否则违反了忠诚义务,代理关系随即终止,雇员对企业数据访问的授权也被终止。美国法院曾在Shurgard Inc. v. Safeguard Inc.案中将不忠雇员的窃取数据行为认定为数据犯罪。代理理论以雇主的利益为认定依据,被评价为最有利于数据企业的“授权”认定方案。尤其是当前大型数字平台企业日益依赖复杂的数字技术基础设施,“内部黑客”将是一个突出的数据安全威胁,代理理论能为创建和终止雇员访问、获取企业数据的“授权”提供依据,因而数据企业更愿意使用代理理论来惩治内部员工的数据盗用行为。但和前述合同理论一样,代理理论被批判为赋予数据企业过多权限来认定违法犯罪,因为代理理论难以阐明雇佣背景下哪些行为超出了“忠诚义务”,尤其是代理关系的回溯性会不恰当地扩大数据犯罪的规制范畴。“以目的为中心”的广义解释方法是基于数据企业的利益需求进行的主观违法判断,即允许数据网站基于自身利益需求和价值偏好来设置数据访问规则,如利用保密协议、服务条款、雇佣合同、停止抓取通知等来明确“授权”访问。这被批判为将客观的网络侵入法规变成一系列模糊的主观调查,难以保证授权内容的客观公正以及授权通知的明确无误,导致数据犯罪的认定具有极大的不明确性和不可预测性。有学者认为,法院如果采取“以目的为中心”的广义解释,其实是将制定和执行数据访问规则的决策权拱手让给了数据企业。这实质上赋予了数据企业“数字守门人”的角色,使其能任意性、歧视性地建立和执行数据访问规则,并决定谁可以访问、获取其数据,最终使数据企业成为公共政策的制定者和违法犯罪的裁定者。这会阻碍数据的合理流通利用,引发一系列影响数字经济发展的负面效应:第一,数据企业可以随意使用数据访问规则来打压竞争对手,进而影响数据竞争,如在Southwest Airlines Co. v. Farechase,Inc.案中,Southwest航空公司利用《电脑诈欺与滥用法》(CFAA)认可的停止抓取通知将竞争对手送上法庭,成功阻止其获取数据。第二,数据企业可以通过访问授权同意机制来单方面拒绝数字补充服务,阻碍竞争企业间有意义的“对抗性互操作”,最终抑制数字创新。如在Facebook, Inc. v. Power Ventures, Inc.案中,Facebook利用《电脑诈欺与滥用法》(CFAA)认可的撤销访问权限成功阻止了Power Ventures获取其数据来开展数字补充服务。2.“以权限为中心”狭义解释方法的确立“以权限为中心”的狭义解释方法将数据犯罪“授权”的判断重点集中于访问权限上,考察数据网站是否通过明确技术措施来表达“授权”范围,以及行为人是否通过破坏或者规避技术措施来访问、获取数据。美国联邦第二、四、九巡回法院采用了这种狭义解释方法,认为仅当抓取者访问、抓取了无权访问的计算机数据时,才是“未经授权”的行为。“以权限为中心”解释方法的典型是代码理论。美国学界在批判前述合同理论和代理理论导致数据犯罪入罪过宽时,提出了代码理论,认为只有回避或突破计算机信息系统中代码屏障的访问才是“未经授权”的。早先的代码理论认为,用户的访问只有在“规避基于代码的限制”或“违反基于代码的访问控制”的情况下才是“未经授权”的。这通常包括两种行为方式:一是假借身份,即用户借用其他有权限用户的账户密码来访问数据网站;二是利用程序中的设计缺陷,导致软件授予用户更大的权限。此后,代码理论进一步将代码类型限制为密码登录或数据网站用来验证用户身份的其他技术方法,考察行为人是否绕过技术保护措施来确定授权行为与未授权行为之间的界限。如在HiQLabs,Inc. v. LinkedIn Corp.案中,法院认为当HiQ没有绕过验证身份的技术障碍(如密码登录)时,其访问、获取数据行为并不违反《电脑诈欺与滥用法》(CFAA),因为这些数据没有受到密码登录或其他认证机制的保护。近年来,“以权限为中心”解释方法要求数据企业网站必须设置针对用户访问的实质障碍且能“有效地控制对计算机、文件或数据的访问”。这要求数据企业网站的“技术保护措施”以保护特定数据安全为宗旨,且具备阻止未经授权访问、获取企业数据的功能。当前典型的数字技术保护措施包括控制访问类技术措施和控制使用类技术措施。前者旨在防止他人访问、浏览、查看企业数据;后者旨在防止他人擅自复制、传播、使用企业数据。“以权限为中心”解释方法最大的优势在于通过网络基础设施配置或计算机软件等来明确无误地表达数据网站的“授权”边界,从而解决了合同理论和代理理论中模糊不清的通知难题,能在公开数据和私权数据之间建立相对清晰、稳定的技术标准。这种解释方法是以计算机访问技术为基础展开的客观违法判断,能更明确无误地传达数据网站允许抓取的数据范围,合理限定数据犯罪的处罚边界。这其实采取了与商业秘密法相同的逻辑,即对于不向公众开放的数据而言,如果没有相应技术措施的支持,单纯的合同条款不能成为“未经授权”的判断标准,因而“以权限为中心”解释方法能督促数据网站采取更有效的技术措施来维护数据安全。当前各国对数据犯罪的“授权”判断已逐渐从目的责任理论转向技术责任理论,通过考察数据企业网站的数字技术保护措施来认定数据侵害行为的刑事责任。即对于单纯违背数据网站服务协议、使用政策等数据抓取行为不应入罪,而应交由前置法规制;对于规避或突破数据网站技术措施的数据侵害行为,则应由刑法予以规制,以合理区分数据侵害行为的侵权法责任、竞争法责任和刑事责任。 从数据犯罪的发展历史来看,规避或突破的技术措施与保护数据安全的技术措施总是相伴而生。可据此将破坏、规避技术措施的行为分为三类:第一类是避开或者破坏技术措施的行为。这里的“避开”是指绕过技术措施,使得技术措施对自己失去效用,但是对他人仍然能够发生效用;“破坏”是指毁损、移除、关闭、破坏技术措施,使得技术措施对任何人都失去效用。如我国《刑法》第285条第2款规定了侵入计算机信息系统或者采用其他技术手段获取数据的行为可构成非法获取计算机信息系统数据罪。第二类是制造、进口或者向公众提供主要用于避开或者破坏技术措施的装置或者部件的行为。第三类是为他人避开或者破坏技术措施提供技术服务的行为,主要是指为他人避开或者破坏技术措施提供技术或者设备的支持。如我国《刑法》第285条第3款规定了提供侵入、非法控制计算机信息系统程序、工具罪,该罪实质是通过将第285条非法获取计算机信息系统数据罪的帮助行为正犯化来加大对数据犯罪帮助犯的制裁力度。(二)对象要件重释:不包括可公开获取的企业数据近年来各国对抓取企业公开数据的司法裁判从早期的入罪趋势逐渐向当前的出罪趋势转变。如美国早期的司法判例认为,任何企业都可因竞争对手抓取其网站上可公开获取的数据而使其承担《电脑诈欺与滥用法》(CFAA)中的民事责任或刑事责任。在著名的Register.com,Inc. v. Verio, Inc.案中,法院曾将抓取企业公开数据的行为认定为数据犯罪。Register.com是一个域名注册商,为客户提供域名注册、网站创建、网站托管等服务。被告Verio是在网站托管和开发等方面与Register.com存在竞争的互联网服务提供商。为了获取更多客户以提高市场销售,Verio利用软件机器人抓取Register.com网站上公开提供的授权注册商的联系信息数据库。Register.com向Verio发送了要求停止抓取的信函。被Verio拒绝后,Register.com提起诉讼称Verio的行为违反了《电脑诈欺与滥用法》(a)(2)(C)节,导致其遭受了不可弥补的损害,包括失去了向其域名注册人出售其他竞争性服务的机会,并提出初步禁令。法院在批准原告的提议时没有分析争议数据的性质,即Verio获得的数据是Register.com发布在其网站上可公开访问的数据,而是重点关注Verio抓取Register.com网站上公开数据的行为违反了Register.com网站的使用条款和禁止竞业要求,因而违反了《电脑诈欺与滥用法》(CFAA)非法访问并获取数据之规定。受此影响,数据企业普遍利用《电脑诈欺与滥用法》(CFAA)来限制、打击其他竞争对手获取数据,成功地将公开数据“封装”起来。但随着数字经济的快速发展,居于垄断地位的数据企业倾向于禁止抓取以压制竞争对手,并从网络效应、先发优势和对数据的存储控制中受益,这对数字经济构成了新的威胁。各国逐渐认识到对“数据利用安全”法益的保护政策必须考量社会激励和经济后果,为促进数据流通、共享,数据犯罪的认定应让位于数据反垄断的公共政策需求,即对可公开获取企业数据的抓取、使用行为应谨慎入罪。1.可公开获取的企业数据不具有法益侵害的可能性对于可公开获取的企业数据而言,既然数据企业并不限定访问权限,任何用户只要注册、登录即可访问数据,那么从刑法的角度而言,作为本罪保护法益的“数据的保密性、完整性、可用性、可控性”并未受到侵害。这种刑法保护法益阙如具有阻却数据犯罪违法性功能,进而排除了国家刑罚干涉。即缺乏“数据安全”法益侵害的可能性应否定数据犯罪的成立,再次利用数据的行为仅需承担竞争法责任或者知识产权侵权责任。其实,可公开获取的企业数据的技术特质在于任何网络用户都能注册、访问,这种场景下数据网站所要求的身份验证等技术措施只是基于网络法的要求将验证程序限定为用户手动而非自动选择,规避这类技术措施的行为并没有在实质上触犯网络禁止侵入规范,因而不属于违反技术保护措施的数据犯罪情形。如在“酷米客诉车来了案”中,虽然被告抓取企业数据的手段“未经授权”,但所抓取的视频数据是所有注册用户可公开访问的,存储这些数据的计算机信息系统的访问权限也默认开放。此时,刑法应持谦抑态度,对可公开获取数据的抓取行为,应基于实质可罚性的立场通过实质标准予以出罪。域外也有类似观点,如美国众多学者都呼吁对私权数据和可公开获取企业数据进行二分法处理,考虑二者的不同权益属性和保护需求。在HiQLabs,Inc. v. LinkedIn Corp.案中,法院认为,即使是在收到LinkedIn的勒令停止函之后,HiQ抓取LinkedIn公开数据也不构成“未经授权”的访问。其关键在于 LinkedIn网站上的公开数据具有公众可访问性,LinkedIn也没有通过用户名和密码等技术措施将其界定为私有数据。因而“任何人都不应该因为获得了公众都可以通过互联网访问的数据而承担刑事责任”。值得关注的是,可公开获取的企业数据中部分包含了个人公开信息。这类个人公开信息包括个人自行公开的信息和其他合法公开的个人信息。由于我国《民法典》和《个人信息保护法》都未将个人公开信息排除在个人信息之外,而个人信息的法益实质是个人信息权,因此获取已公开个人信息的刑事可罚性判断的关键仍在于有无侵害公民的个人信息权。仔细考察可以发现,无论是个人自愿公开其信息还是依照法律或相关规范强制公开个人信息,实际上都获得了基于个人同意或法律法规推定的概括授权,原则上符合《民法典》第1036条第2项和《个人信息保护法》第27条的免责条件,相关处理行为只要是在合理范围内且未“侵害其重大利益”或“对个人权益有重大影响”,通常不会侵犯个人信息权,无需刑法干预。德国刑法也认为,在未对已公开个人信息设有实质访问条件限制时,则排除相关处理行为的刑事可罚性。这种将已公开个人信息规定为获取同意的例外情形,体现了对其中公共利益和信息流通价值的重视。因为此类已公开的个人信息不具有保密性需求,因而从价值权衡来说,对其进行处理的利用需求价值更具有满足上的优先性。2.从法秩序统一性原理来看,刑法不应制裁反垄断法认可的抓取、使用企业公开数据的行为从现实来看,数据一定程度的排他性、质量差异性、高昂的收集成本、锁定效应和转换成本等都会提高大数据市场的进入壁垒,强化“数据寡头”的优势市场地位,进而实施违法垄断行为。多个数据竞争判例表明,居于垄断地位的数据企业援引数据犯罪立法的目的并非为了防止黑客入侵,而是通过将竞争性的数据获取、使用活动解释为“未经授权”,来限制竞争对手获取已向其他访问者公开的数据,从而抑制数字竞争。这主要体现为:(1)利用数据犯罪诉讼阻碍直接竞争对手。如美国大量网络爬虫诉讼涉及直接商业竞争对手或彼此相邻公司的数据抓取纠纷,eBay、LinkedIn、Craigslist、Ticketmaster都曾对经营模式上具有数据依赖性的竞争对手提出《电脑诈欺与滥用法》(CFAA)诉讼。(2)利用数据犯罪诉讼关闭新创企业的平台业务。垄断数据企业倾向于利用《电脑诈欺与滥用法》(CFAA)击败新创公司,甚至将其业务纳入自己的平台。在HiQ Labs,Inc. v. LinkedIn Corp案中,LinkedIn的目标是吸收HiQ的业务,同时利用《电脑诈欺与滥用法》(CFAA)诉讼打击HiQ,因而第九巡回法院表示LinkedIn的行为很可能不属于“公平竞争的范畴”。(3)通过数据犯罪诉讼增加交易成本来损害消费者利益。典型的是垄断数据企业通过援引《电脑诈欺与滥用法》(CFAA)来阻止价格比较服务,通过增加消费者寻找最佳产品的成本来限制消费者的选择,损害消费者福利。在Southwest Airlines Co. v. Farechase, Inc.案中, Southwest Airlines利用《电脑诈欺与滥用法》(CFAA)阻止被告收集其公共网站上的票价数据供消费者选择,从而伺机提高机票价格。对此,当前各国大数据反垄断政策都要求对企业滥用数据控制权并通过技术性、排他性措施阻碍数据共享的行为进行适度控制。此时,获取企业公开数据并进行变革性使用的行为具有促进数据竞争的社会效应,应受到竞争法的鼓励。根据法秩序统一性原理,刑法解释依赖于前置法的指引,因而对于民法、经济法、行政法上不违法的行为,刑法不应当作犯罪处理。因此,对于反垄断法认可的对企业公开数据的抓取、使用行为,刑法必须考量反垄断法的基本价值取向,在数据犯罪入罪判断中增加反垄断的公共政策考量,考虑将此类行为适时予以出罪。四、结 语
在数字社会,数字技术不断进步的同时,数字风险并未降低,反而日益升高,且更难以察觉与防范。其原因在于:一方面突破数字漏洞的技术不断演进,而另一方面,数字技术的价值及其存在条件恰恰在于其不曾停歇的创新与运用。这正是数字风险的根源,新技术与新运用总是在其中隐藏了过去未曾发觉的瑕疵与漏洞。当前企业公开数据的获取、使用所引发的纠纷已成为大数据竞争的主要法律战场,并随着数据共享的新兴趋势在法律格局上发生改变。《数据安全法》确立的“数据保护与利用”并重的产业政策要求重释“数据安全”法益,确定消极防御性质的“保密性、完整性、可用性”内涵和积极利用性质的“可控性”内涵。针对当前司法实务中普遍存在的企业间获取、使用公开数据的纠纷,未来我国应依据全新“数据安全”法益积极建构数据犯罪的访问规则,并适时增加反垄断的公共政策考量,通过访问权限和数据类型的分析框架来限定数据犯罪的适用边界。具体而言:(1)在访问权限的判断上,将仅违背数据网站授权目的的抓取行为出罪,而将突破技术保护措施的抓取行为入罪;(2)在数据类型上,将抓取可公开获取企业数据的行为适时予以出罪,以促进数据流通共享和数字经济的发展。相关阅读
2. 刘宪权:“互联网3.0”时代计算机系统犯罪刑法规制的重构
4. 张婷:数字经济时代数据犯罪的风险挑战与理念更新——以数据威胁型网络黑灰产为观察对象
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所