顾伟 孙伟 陈朝铭|数字化时代数据犯罪的刑法回应
上海市徐汇区人民检察院四级高级检察官
孙伟
上海市徐汇区人民检察院四级检察官陈朝铭上海市徐汇区人民检察院检察官助理
要目
一、数据犯罪的缘起:数字化时代数据安全风险的治理焦点二、当前刑事立法对数据犯罪的规制路径及不足三、数据安全法参照下对数据犯罪立法的展望数据作为数字经济时代最核心的生产要素,随着数据的需求与服务日益广泛,无论是政府数据、公共数据的应用,还是个人数据、组织数据的流通,数据要素价值的释放路径更加多元,但同时也存在数据被窃取、篡改、破坏、滥用等数据犯罪问题,会给国家安全、公共安全以及个人和组织合法利益带来损害。数据安全法的落地实施,为刑事层面规制数据犯罪问题提供了更多依据。通过采用比较法探讨了数据犯罪的内涵,对数据安全法益进行了识别论述,并基于数据犯罪类型化的现状,对数据犯罪的分类和主要犯罪手法进行了阐述。随后由数据犯罪与计算机犯罪、信息犯罪的差异,引出现行刑法对数据犯罪的规制及困境。最后基于数据安全法的前置法规范,探究刑法回应处罚数据犯罪的原则、边界及立法展望,从而精准把握数据犯罪的入刑,切实护航数字经济发展。
随着5G互联、云计算、人工智能、数字孪生、泛在感知等技术发展,数据作为数字经济时代最核心的生产要素,正加速成为城市智慧构建、政府流程再造、经济创新驱动的新引擎,数据价值在实现由“量”到“质”根本性释放的同时,也进一步加剧了数据采集、传输、存储、使用等环节的犯罪风险,给刑事立法与刑法适用带来巨大挑战。
2021年5月,美国最大燃油运输管道商科洛尼尔公司遭受勒索软件攻击,黑客加密并劫持了近100GB的数据,提出大约500万美元的赎金要求,导致5500英里输油管系统被迫停运。无独有偶,近年来我国首例“爬虫入刑案”、首例“撞库打码案”、首例“制售微信外挂软件案”等相继发生,非法数据交易的黑灰产业链也呈现多元化、复杂化趋势。数据犯罪引发的罪与非罪、此罪与彼罪讨论日益为学界所关注,但已有研究缺乏数据安全法这一前置性法律规范的参照,对数据犯罪侵犯法益的刑法认定、罪质界定和罪量评价在实践中还存在一定分歧。如何在数字化时代基于我国数据犯罪现有的应对路径,精准、规范、系统地把握数据犯罪的入刑,以保障数据全流程和全场景运行、护航数字经济发展,是亟须探讨并达成共识的话题。
一、数据犯罪的缘起:数字化时代数据安全风险的治理焦点
数据安全法将数据定义为“任何以电子或者其他方式对信息的记录”,具体来看,数据的存在形态既包括计算机系统中高低电位0和1的数字表达,也包括各类存储介质中磁极的磁性表达,还包括如印刷、手抄、绘画、雕刻等物理形态的表达。在前大数据时代,人类创造的大量数据主要以书面形态存储而难以处理;在大数据时代,急剧膨胀的数据主要以电磁形态存在。本文探讨的数据即指依托计算机及网络信息系统以及相关存储介质传输、存储、处理的电磁数据。
在大数据时代,数据被用于违法犯罪带来的危害难以估量。当下,受数据利益驱动,在数据资源开放和开发利用过程中,数据超范围采集、超权限使用、超协定流转、超限度破坏的“数据危机”逐渐凸显,对个人、组织的合法权益甚至国家安全造成极大侵害。对此,数据安全法将数据安全上升为总体国家安全战略,并提出“建立健全数据安全治理体系,提高保障数据安全能力”的立法目标,可以看出从刑法层面打击数据犯罪是现实所需,也是大势所趋。
数据无处不在、无孔不入,正逐渐成为网络空间活跃跳动的“血液”和经济发展的“原油”,各类主体的身份、财产、活动等都以数据形态呈现,各个行业的生产、经营等都以数据资产驱动,数字政府、数字金融、工业互联、车联网等等数据应用场景,它们更具开放的API、更具广度的采集、更具价值的挖掘应用,不可避免地引来数据犯罪这一新型不法行为的觊觎。加上云端计算、边缘计算、数据和等技术的演进,比特币等增强网络匿名性技术的出现和发展,数据一方面创造着无限价值,另一方面却也正在成为超级黑客、网络不法组织、APT攻击的“标靶”。在此情况下,各国都对打击数据犯罪非常重视。例如德国最早通过明确立法对数据进行严格保护,在个人数据刑法保护的基础上,德国刑法典建构了对一般数据的刑法保护体系,设置的罪名主要有窥探数据罪、截获数据罪、数据窝赃罪、数据变更罪、破坏计算机罪等。欧盟各国在网络犯罪公约明确把故意实施计算机数据损毁、删除、破坏、变更、干扰等行为,视为数据类犯罪。
我国立法中没有对数据犯罪明确定义,仅在部分罪名的罪状条文中将数据规定为犯罪对象。狭义上看,数据犯罪是以数据为犯罪对象的犯罪,即刑法第285条规定的非法获取型数据犯罪和第286条第2款规定的破坏型数据犯罪,行为方式主要是非法获取、删除、修改、增加计算机信息系统数据。广义上看,数据犯罪是以数据为犯罪对象、以数据为犯罪载体、以数据为犯罪工具的与数据相关的犯罪,有的罪名将数据作为个人信息、商业秘密、国家秘密等加以保护,有的罪名将数据作为计算机信息系统内的运行载体加以保护。
从一体化规制角度看,笔者倾向于从广义上来确定数据犯罪的内涵,即“以大数据技术即数字化形式进行技术处理的一切数据为犯罪对象、犯罪工具、犯罪载体的行为,包括以账户、访问控制数据为核心,并发散至电子痕迹、生活行为、城市管理等各种非结构化数据和半结构化数据,以及从计算机数据延伸到物联网、智能手机、可穿戴设备等多终端数据的犯罪”;行为方式不仅仅体现为对计算机信息系统中存储、处理、传输数据的非法获取、删除、修改、增加,还体现在数据监听、数据伪造、数据投毒、数据勒索、数据滥用、过度挖掘等一系列行为;危害结果除了侵害计算机信息系统安全,还损害公民、组织合法权益,甚至危害国家安全和公共利益。
法益作为“人的生活利益”而成为刑法保护的客体,数据犯罪的刑法认定须以厘清立法者究竟保护的是何种法益为逻辑起点。在我国刑法中,数据犯罪以违反有关数据保护的“国家规定”为入罪前提,属于典型的法定犯。在法定犯领域,法益识别应以前置性法律规范为参照标准。随着数据被窃取、篡改、破坏等行为日益增多,数据主体对数据的使用权、处分权受到严重威胁,因而产生了针对数据自身安全的独立保护需求。数据安全法第1条指出“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”的立法目的,第4条提出了“维护数据安全”,可见“数据安全”作为一种与单纯的国家安全、社会安全及个人人身财产安全相独立的新型法益逐渐得到立法的认可。
在过去,学者一般认为我国刑法计算机犯罪罪名侵犯的法益主要是社会管理秩序中的计算机信息系统管理秩序,这种观点与大数据时代“数据为中心”的理念格格不入,导致在计算机犯罪和数据犯罪的罪名认定上存在刑法适用错位。有学者把数据安全法益解读为数据的保密性、完整性、可用性,即主体对数据控制状态、占有状态、利用状态的稳定以及数据不被其他主体窃取、篡改、使用、破坏状态的稳定,这种观点主要从数据“自身安全”考虑,但忽视了不同的数据处理行为对现实安全秩序的影响并不相同,比如删除脏数据、无用数据、虚假数据等。虽然有损数据的完整性,却没有刑法打击的必要。在数字化时代,随着数据从静态安全向动态流动、利用的转变,数据渗透在社会生活的多个领域,运行在数据生产、采集、存储、流通和开发的各个环节,数据的价值不再局限于数据本身,还承载着个人、组织、社会、国家多方利益,数据安全法益也更加多元化、层次化。
当然,从数据安全法中关于“国家核心数据”“重要数据”“分类分级”等制度安排来看,立法者并没有把所有的数据利益都纳入刑法保护的范畴,只有当某种数据承载的利益足够重要可上升为刑法法益,刑法才有打击的必要。因此,本文认为数据犯罪侵犯的数据安全法益是事关国家安全、公共利益、个人数据利益以及信息安全等重要数据的保密性、完整性、可用性。
分析近年来数据犯罪的实务案例及发展形势,各类新型数据窃取、篡改、滥用等手段推陈出新,大体可分为:非法获取型数据犯罪、攻击破坏型数据犯罪、虚构造假型数据犯罪和其他关联型数据犯罪。
表现为非法获取自己无权支配的数据,侵害的是数据保密性。主要涉及:植入木马程序窃取数据,数据盗窃团伙发布大量已植入木马的盗版应用软件和手机App,诱骗用户下载安装并批量盗取个人隐私数据;利用网络爬虫爬取分析数据,犯罪团队利用爬虫批量访问企业或组织向用户提供的正常服务接口大量抓取数据,通过海量数据进行身份、财产信息关联,并分析出具有高风险的敏感数据;利用已获取数据发起撞库攻击,数据盗窃团伙相互交换已经泄露的用户名和密码数据,逐一尝试登录网络服务平台进行撞库攻击,撞库成功后再爬取相关数据用于开展数据黑灰产活动;还有通过数据抓包监听、智能破解验证、内部员工超权限访问等方式窃取数据。
表现为对数据进行删除、修改、增加的行为,致使数据发生意外毁损或灭失,损害的是数据的完整性、可用性。比如,内部人员为谋取私利,利用岗位职权对交通违章记录、考试成绩等重要数据采取篡改、删除等行为;攻击者基于报复、泄愤或打压竞争对手等目的,利用黑客技术侵入他人计算机信息系统或植入后门,并对系统数据、存储介质数据进行恶意删除、修改等行为;随着未来人工智能技术发展,数据投毒也可能成为破坏数据的帮凶,犯罪团伙在基础数据集中加入伪装数据或恶意样本破坏数据完整性,导致算法输出错误结果;还有利用Fiddler抓包篡改数据非法取财、登录网络游戏公司服务器以修改数据的方式提升账号等级或盗取游戏装备等破坏数据的行为。
表现为通过人工智能、自动化机器、群控软件等手段制造虚假数据,破坏的是数据的真实性,此类数据犯罪涉及最多的就是流量造假、刷单炒信的行为。在“流量为王”的时代,虚假流量的黑灰产业链不断扩大,一些公司根据个人或平台需求向外围的网络水军、雇佣媒体购买流量,或者租赁大量账号通过刷量平台自动进行刷粉、转发以及点赞,以制造热推、编造谣言、渲染关注,并从中谋取不法利益。从各种网站、电商平台,再到社交媒体,虚假的评论点赞量、店铺销售量等,与算法推荐结合起来,不仅威胁着网络空间安全,更与下游网络黑产中的多种违法犯罪、侵犯权益等行为关联紧密,对社会公共秩序也产生巨大危害。此外,深度伪造技术在将来如果被用于生成虚假面容、音视频数据,还可能冲击个人隐私、财产安全和公共安全。
主要指以数据为工具进行的犯罪,包括数据犯罪衍生的新型传统犯罪,比如,文章开头提到的数据勒索行为,勒索病毒会利用各种加密算法加密感染者的数据文件,感染者若想拿到恢复数据的解密私钥,需要按照病毒的敲诈提示支付高额赎金,特别是关键医疗数据被勒索加密,如果不能及时恢复数据,将严重威胁患者的生命健康数据管理以及下步治疗。可以预见,未来数据将被赋予更多的价值与功能,数字化货币、数字资产可交易的出现,不法行为仅仅只需要通过删除或修改数据就能实现传统盗窃、侵占等犯罪目的。此外,为他人非法获取数据提供应用程序、工具的行为,加剧了数据犯罪的泛滥,同时为他人违法犯罪活动提供数据挖掘支持,也将带来精准诈骗、商业秘密泄露等一系列问题。
二、当前刑事立法对数据犯罪的规制路径及不足
每一次时代发展和科技变革,都毫无例外带来了新型犯罪的滋生蔓延,同时也必然促使刑法规范的不断进步重构。最初的计算机单机应用时代,面对DNS劫持、DDoS攻击、病毒植入等一系列危害计算机信息系统安全的犯罪,刑法通过设立非法侵入计算机信息系统罪、非法控制计算机信息系统罪、破坏计算机信息系统罪等以打击纷繁复杂的犯罪问题;随着“互联网+”成为新的范式,信息网络的更新迭代让犯罪有了新的温床和载体,此时的刑法增设了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪等以适应网络异化的犯罪现象;进入数字化时代,数据从描述记录现实的载体成为驱动改变现实的主体,数据犯罪区别于计算机信息网络犯罪成为一种新型犯罪问题,数据安全也成为一种新型法益得到普遍关注。纵观我国现有刑法体系,在应对数据犯罪上存在立法不足,虽然部分问题已经有刑法规制,但是现有条文已难以适应打击数据犯罪的需要。
准确界定数据犯罪、信息犯罪与计算机犯罪的差异,有助于认清我国刑法对数据犯罪的规制现状。一方面,数据犯罪和信息犯罪密切相关,数据作为一个技术性名词,与信息的概念有交叉却又有本质区别。数据是记录事物的电磁符号排列,需要经过加工合成才能形成特定内容的信息。简言之,“数据是信息的载体,信息是数据的反映”。两者最大的差异在于一个强调形式一个注重内容,刑法中信息所指向的内容是具体确定的,比如“公民个人信息”“商业秘密”“国家秘密”“内幕信息”等,而数据通过处理后得到的内容是抽象不确定的,比如滴滴网约车数据被数据处理后可以获得公民个人信息也可以获得商业秘密,特定情况下甚至可以分析获得国家秘密。可以说,数据的内涵外延比信息要大,刑法通过打击信息犯罪(如侵犯公民个人信息罪、非法获取国家秘密罪、侵犯商业秘密罪等)来间接保护数据,带来数据保护不到位的问题。例如,非法获取滴滴网约车数据,现有刑法必须要依赖行为人主观想获取的信息类别来确定行为性质,然而行为人可能主观上并未有获取特定种类信息的目的,而是由于认识到海量数据的价值,想非法获取后出售获利,此时很难用信息犯罪来进行准确的刑法评价。
另一方面,数据犯罪和计算机犯罪也并非包含与被包含关系,而是特定场景下的交叉关系,前者侵害的是数据安全,而后者侵害的是计算机信息系统安全。在早期的计算机网络时代,数据在多数情况下作为计算机信息系统运行的载体、操作权限的认证、静态的数据库等,栖身于计算机系统之中,并依靠计算机系统传输、运算、存储,此时的数据安全可以约等于计算机信息系统安全,即“保护计算机软硬件信息基础设施能够持续正常运行,防范外部攻击者对信息系统及其中存储的数据进行破坏和篡改,或者对秘密数据进行窃取”。数据安全便被理解为对信息系统中重要数据(如身份认证信息)进行保护的必要性。大数据时代的到来,数据的范畴不仅包含了维持计算机信息系统正常运转的数据(如操作系统数据、计算机程序运行数据等),还包含存储在计算机信息系统中、或者计算机信息系统之外的具备独立价值数据(如企业生产数据、政府数据、个人数据等),特定情况下对这些价值数据的侵害并不需要影响计算机信息系统安全,比如,对离线的存储介质、RFID射频识别技术系统等终端数据的窃取破坏。因此,刑法通过保护计算机信息系统安全来保护存储在其中的数据安全,也同样带来数据保护严重缺位的问题。
对于非法获取型数据犯罪,司法实践中除了根据数据的表征内容以具体信息类犯罪定罪处罚,还通过刑法第285条第2款非法获取计算机信息系统数据罪来进行规制。从主流观点和司法判例来看,该罪名重点保护数据的保密性不受非法侵犯,认定时主要从“行为不法”和“对象不法”两个维度来考虑入罪情形。“行为不法”重点审查获取手段的非法性,即不法行为是否未经授权或超越授权访问、取得数据,包括外部网络黑客故意避开、绕过、强行突破技术访问认证,比如在上海晟名网络科技有限公司利用爬虫非法获取计算机信息系统数据案中,被告人在抓取视频数据中使用伪造的Device_id、代理IP等技术手段绕过服务器的身份验证和访问频率限制,从而进入被害单位计算机信息系统获取数据;也包括内部技术人员超越权限查询、获取数据,比如在卫梦龙等人非法获取计算机信息系统数据案中,行为人内外勾结、超出授权范围擅自登录某大型网络公司内部管理开发系统,查询、下载该计算机信息系统中储存的电子数据。“对象不法”重点审查获取数据的公开性,即获取的数据是否处于开放共享的状态,对于获取账号、口令、数字签名等“身份认证信息”的行为,因具有保密性而被刑法所保护;对于获取公开数据的行为由于未侵害数据权利人保密意思和安全控制措施,在当下推动数据共享、防止数据垄断的背景下,越来越多的专家认定该行为构成不正当竞争而非数据犯罪,如“新浪微博诉脉脉不正当竞争案”、国外“HiQ诉LinkedIn案”,有学者认为在首例“爬虫入刑案”中,上海晟名网络科技有限公司尽管未经授权爬取被害单位的视频数据,但由于视频数据的信息内容已经公开,未侵害数据信息的保密性,不构成非法获取计算机信息系统数据罪。
关于攻击破坏型数据犯罪,刑法286条第2款对“违反国家规定,对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加,后果严重的”行为,以破坏计算信息系统罪予以打击,一般认为该罪名应围绕数据的完整性、可用性需求来展开,且要求“造成计算机信息系统不能正常运行”或者“影响计算机信息系统正常运行”。但在实践中,“破坏”数据侵犯的往往是数据安全而非计算机信息系统的安全。例如,被告人张某登陆法制晚报官方微博账号“法晚壹现场”,删除约3000条微博,既没有造成计算机信息系统不能正常运行,也没有非法获利或造成经济损失,但却减损了公众对数据安全的信赖,扰乱了社会公共秩序,产生恶劣的社会影响。
关于虚构造假型数据犯罪,因其损害了互联网信用体系和平台相关者利益,并进一步引发“数据黑灰产”,破坏了数字经济的基础秩序,形成了大量数据经济泡沫,而极具社会危害性。由于其他部门法在对其进行惩处时出现了治理失灵的状况,因此需要诉诸刑法这一最后保护手段。而目前我国刑法对恶意制造传播虚假数据行为尚无明文规定,实务中该行为往往会对社会竞争秩序、计算机信息系统的安全造成破坏,涉及到的罪名有非法经营罪、虚假广告罪、破坏计算机信息系统罪、寻衅滋事罪等。比如,2016年全国“刷单炒信入刑第一案”,李某建立“零距网商联盟”平台,吸收淘宝卖家会员并通过该平台发布虚假交易任务,互相炒作实现信用等级或销量的提升,其行为违反了市场准入制度,在没有取得相关许可的情况下有偿组织刷量等信息任务,实质侵害了市场竞争秩序,将其定性为非法经营罪在规范和原理上并无不妥。在全国首例“社交媒体流量造假”案中,蔡某通过破解微博加密算法开发出批量转发微博内容的“星援App”,不法分子若使用该App进行数据造假,不仅对网络平台预先设置的采集、存储、检索信息的规则和功能进行修改和干扰,还破坏了互联网平台本身系统的正常运行,该类行为可能被认定为法律意义上的破坏行为而构成破坏计算机信息系统罪。此外,利用深度伪造技术生成虚假面容、音视频数据,并用于盗窃、诈骗等传统犯罪也成为现实。然而此类犯罪究竟是以信息网络犯罪的帮助犯或是帮助信息网络犯罪活动罪定罪还是立法设立单独罪名规制存在很大争议。
关于其他关联型数据犯罪,此类行为大多表现为利用数据进行违法犯罪活动,包括为犯罪活动提供获取数据的工具、提供大数据精准挖掘支持、劫持数据进行敲诈勒索等,而现有刑法体系尚无应对的具体规定,通常把数据犯罪与计算机犯罪绑定以非法利用信息网络罪、帮助信息网络罪等罪名寻求规制路径,或者以传统犯罪的帮助犯予以规制。
现行刑法主要是围绕计算机信息系统和存储在其中的少量重要数据进行静态保护,在面对大数据动态处理技术的革新以及数据犯罪的蓬发时,刑法具有明显的局限性和滞后性。第一,由于没有特定数据犯罪规定,在适用罪名时存在扩大化倾向。以非法获取计算机信息系统数据罪为例,我国刑法把“数据”限定为“计算机信息系统中存储、处理或者传输的数据”,而实务中“数据”范围几乎包含了所有能以代码的形式运行在电脑系统的“存储物”,具体包括身份认证信息、虚拟财产、医院统方数据、公司经营数据等其他数据。这会将已经公开甚至不具有价值的一般数据纳入刑法的保护范围,无疑加重非法获取计算机信息系统数据罪的“口袋化”趋势。第二,数据概念影响其他罪名的成立。数字化时代,公民个人信息多数以数据的形式存在,许多有关数据犯罪的讨论集中在个人信息的刑法保护领域。个人信息保护法第四条对“个人信息”作出了定义,即“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。其中,“可识别性”是判断数据是否为个人信息的关键,如果数据属于公民个人信息,则滥用数据的行为可能涉及侵犯公民个人信息罪。然而,在数据价值突破和转化的当下,很多数据行为都处于罪与非罪的灰色地带,给司法实践造成一定困难,就拿cookie数据举例,有些法院认为侵犯cookie信息就是侵犯了公民个人信息,但有些法院在判决中就写出因cookie信息不具备可识别性,不是个人信息。此外,个人的信息数据即便被匿名化处理,但经过大数挖掘技术,同样可以为后续实施侵犯人身或财产安全的犯罪行为提供重要信息。第三,不同犯罪间的界分不明确。一方面,数据犯罪与计算机犯罪之间适用有争议。如在“流量劫持案”中,由于对“破坏”“控制”的规范评价不同,引发了破坏型数据犯罪与非法控制计算机信息系统罪的争议。在撞库打码案中,由于立法对数据犯罪帮助行为正犯化规定的不明晰,引发了获取型数据犯罪与提供侵入、非法控制计算机信息系统程序、工具罪之间的适用争议。另一方面,数据犯罪与财产犯罪也存在争议,突出表现在侵犯虚拟财产和侵犯公民个人信息两个层面,如盗窃网络虚拟财产,都是通过获取、修改数据来侵犯财产权,引发了数据犯罪与财产犯罪的法律适用争议;又如非法获取考生信息、修改驾驶证记分信息、修改购房个人户口信息等,都是通过干扰数据来侵犯公民个人信息权,因而引发了数据犯罪与侵犯公民个人信息罪的适用争议。
三、数据安全法参照下对数据犯罪立法的展望
当前,数据安全法、网络安全法、个人信息保护法“三驾马车”,一起构筑了中国信息安全领域的法律框架。我国正经历着从计算机信息系统和个人信息安全防护并举向大数据整体性防护的转变,对此刑法既有依据数据的技术属性以计算机信息系统的组成部分间接保护,也有依据数据的表征内容以具体信息分类保护,但无论采取哪种方式都会面临数据犯罪的打击漏洞。应当承认,刑法在判断和衡量新兴事物时总是在探索和过渡,也总是在不断地修正和完善,这就要求我们必须充分认清数据犯罪类型化的行为方式和多元化的法益侵害,以数据安全法为参照探索数据犯罪的刑法规制之路。
数据安全法把“数据安全”定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,通俗地讲就是将数据安全解读为以数据为中心,保护数据在其生存周期内的安全性,既不要限制数据的自由流动,又要确保数据走到哪儿,安全措施就覆盖到哪。数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段,每个阶段面临的数据安全风险各有差异,规制数据犯罪的思路也不尽相同。首先,对于数据采集和传输阶段,涉及犯罪主要是非法获取数据、非法侵入数据库等行为,由于数据的收集和流通是数据价值释放的“初始阶段”,一旦刑法过度介入该阶段的数据行为,在加强数据保护的同时,也容易阻碍数据的创新与发展,引发“数据孤岛”,因此笔者认为应秉持刑法的谦抑性谨慎认定这一阶段的数据犯罪,对于合法、正当的方式收集已经公开的数据,不宜作严厉的刑事评价。其次,对于数据存储阶段,涉及犯罪主要是对数据的删除、修改、增加等破坏行为,随着计算机信息系统和云存储数据技术的发展,现实中对数据的破坏行为,特别是对冗余、公开、低价值等数据的破坏,往往不足以使计算机信息系统功能紊乱或者数据功能损害,因此对该阶段数据犯罪应当综合分析犯罪行为的主观恶性和社会影响作出区别对待。最后,对于数据的处理和交换阶段,当前数据采购、数据交易、数据服务已探索成为一种新的市场行为,数据犯罪的盲目逐利性和法益侵害多元性,使得数据利用过程中的犯罪行为极易侵害重要的法益,威胁到国家安全和公共秩序,造成的社会危险不容忽视,因此对该阶段的数据犯罪行为应当从严处理,尤其是对于能够接触到重要数据的特定身份人员,其利用数据进行不法活动更应从重处罚。
数据安全法最核心的内容就是提出了“数据分类分级保护制度”。《网络安全标准实践指南——数据分类分级指引(征求意见稿)》,从数据主体角度将数据分为公共数据、个人信息、法人数据三个类别,从数据一旦遭到篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成公开级、内部级、敏感级、重要级、核心级五个级别,这样的制度安排对于防止数据犯罪出现司法适用“一刀切”“口袋化”,特别是确定数据犯罪的入罪门槛、区分相关罪名的边界有着重要意义。
第一,从数据的分类来看,公共数据包括公共交通、医疗健康、网络空间等涉及或影响公共利益的数据,个人信息包括个人身份信息、生物识别信息、行动轨迹等,法人数据包括企业经营管理数据、生产系统运行数据、业务数据等,准确界定数据的分类有助于把握数据犯罪侵害的法益,以此判断以何种罪名予以规制,比如窃取了公民身份信息,优先考虑是否触犯了侵犯公民个人信息罪;盗取了企业的业务数据,优先考虑是否触犯了侵犯商业秘密罪;损害了公共网络秩序,优先考虑是否归类为计算机犯罪等等。第二,从数据的分级来看,核心级和重要级数据可能对国家安全、重大公共利益、重要民生或者国民经济命脉产生严重的影响;敏感级数据可能对公共利益造成一般危害,对个人、组织合法权益造成严重危害,但不会危害国家安全;内部级可能对公共利益产生轻微影响,对个人、组织合法权益造成一般危害。通过数据分级的参照,可以权衡数据犯罪行为对社会秩序、公共利益、国家安全的侵害程度,从而确定哪些数据犯罪行为应当入刑,比如针对核心级、重要级数据的不法行为,理应诉诸刑法这一手段严厉打击;针对敏感级数据的不法行为,可以视损害结果以行政手段为主、刑事手段为辅的规制策略;针对内部级数据的不法行为,优先以民事侵权和行政处罚进行调整。
2021年9月30日,《上海市数据条例(草案)》公开征求意见,数据可交易、数据资产可评估等正式进入大众视野,数字经济浪潮迎面而来的同时,也呼吁着法治的有力保障。然而在当下数据大发展的时代,数据的触角延伸到社会生活的方方面面,笔者认为需要树立“大数据观”“大安全观”,在立足现有计算机犯罪、信息犯罪相关罪名的基础上,进一步重构数据犯罪的罪名体系,实现三者相互补充、协调配合推动刑事立法体系的完善。第一,探索建立以数据为中心的罪名设置,把数据犯罪与计算机犯罪区别开来,对于刑法第286条第2款破坏型数据犯罪行为有必要与计算机功能破坏进行分割,以准确界分侵犯数据犯罪与危害计算机安全犯罪。长远来看,需要制定更系统和细致的、针对数据本体的行为规范,并在分则罪名体系中体现,比如有的专家提出参照国外立法经验,设立“非法获取、持有、处理数据罪”“非法破坏、篡改、压缩数据罪”“妨害数据信用罪”等等。第二,建议对数据犯罪与其他犯罪之间的竞合关系进行调整,以破坏型数据犯罪为例,破坏计算机信息系统罪第二档次刑罚更重而按照违法所得计算的跳挡标准更低,在涉及侵犯虚拟财产类犯罪时,往往出现同一增删数据行为以财产犯罪论在三年以下判刑,而以破坏计算机信息系统罪论则在五年以上的情况,如果按照想象竞合从一重罪论处,则难以解释破坏计算机信息系统罪的跳挡标准为何比抢夺罪、敲诈勒索罪等社会危害性较为强烈的罪名更低而法定刑更高。因此,有必要对入罪和跳挡标准进行修改,以避免入罪条件差异过大。三是建议对数据犯罪的入罪标准进一步细化,目前非法获取计算机信息系统数据罪和破坏计算机信息系统罪的入罪标准不尽合理,实践中,出于查证数据犯罪行为对应的危害结果及确认因果关系具有很大的证明难度,司法实务普遍采用“违法所得”“经济损失”等数额标准来判断是否达到“后果严重”标准,弱化了行为后果与数据安全法益的关联性,而更能体现数据安全法益侵害程度的数据性质、数据种类等情节标准却被忽略,因此建议在认定标准中引入情节要素,使数额标准和情节标准并重。比如,以非法获取、删除、修改或增加的数据文件的数量为判断依据,同时也以反映被破坏数据重要性与行为社会危害性的情节为判断依据,从而解决数据犯罪的精准入刑问题。
往期精彩回顾
王亚萍|平台经济领域的温和性反垄断规制:以父爱主义和母爱主义为指引
刘欣睿 蔡元臻|利益平衡视角下网络游戏直播画面的邻接权保护模式
上海市法学会官网
http://www.sls.org.cn