王魏|人工智能时代下有限复合性数据法益的刑法阐释
生成式等人工智能的迭代升级往往伴随海量数据处理,大量关联数据的不法行为在数据权益保护与数字经济发展失衡中产生。在刑法与前置法衔接不畅的现实中,确定独立的数据法益保护已然达成共识,但在类型化的数据法益场域中仅关注本体性或功能性罪名的归责适配,又形成了规制口径过宽的新挑战。对此,在数字时代发展的加速期,有必要在刑行衔接基础上适当肯定数据要素的市场化,顺应发展趋势。有限复合性法益是在分类分级理念下对数据规制界限的厘清以及强调数据权益的动态保护转型。首先,在国家数据中进行二次分类,排除对一般性数据中的普通数据利用行为入罪,充分实现社会危害性的实质考察。其次,在企业数据中进一步强调数据财产权属的“有限性”,释放数据流动空间。最后,在个人数据中允许非冲突性的数据商品化,显现数据的社会性内涵。在数据治理前端与后端结合视阈下充分融入谦抑性理念,使法益有限肯定与归责路径限缩观念共同助力科技发展。
一、引言
在人工智能发展的趋势下,越来越多的行业和部门借助科技力量实现效益陡增。在ChatGPT等生成式人工智能的迭代升级中让人们感受到强大的数据收集和数据处理能力,强人工智能时代逐渐到来。而在人工智能发展背后甚至是其自身的形成都极其依赖数据内容,也因此滋生了各种数据权益上的不法问题。对此,数据安全法、网络安全法作出了积极回应。在看到不同类别数据的重要性及损害后果严重性各不相同的情况下,数据分类分级保护模式的设置能够实现数据违法治理的宽严相济。但在刑行衔接不当的现状下,该模式仍然无法发挥最大效用,无法实现数据权益和科技发展的双重保护。在刑事治理中,不管是本体性罪名的设立,还是功能性罪名的鉴定,由于数据法益具有自身特点,对数据不法行为的刑事归责都存在违反罪刑法定和罪责相适原则的嫌疑。过度的法律规制也会导致数据价值挖掘受阻,进而使法律设置与科技发展相背离。因此,有必要在数据治理前端与后端中寻找解决路径,进一步化解数据治理的内生矛盾问题。
在数据治理的前端,由于数据的种类及运用范围广度,以数据为侵害对象的不法行为中存在多种法益保护的主张,针对数据自身安全的本体性法益、体现数据表征功能的复合型法益以及强调社会性的国家管理秩序法益等。但在前置法分类分级模式以及刑法谦抑的要求下,各类法益似乎均无法完全适配数据侵害行为的治理要求,这就产生了一个重要问题,即数据法益保护如何实现数据权益与经济发展的双重平衡。在数据治理的后端,因为国家数据、企业数据和个人数据的保护范围过大,不进行违法的实质判断而固守数据的类型化区分,无差别保护,一律归罪、归责的做法会使得法律规制口径过大,限制数据的流动性,因此也就会产生另一个问题,即何种法益能够划清数据保护的刑行界限,进一步限制对数据利用行为的归责空间。综上,在计算机信息系统类法益难以适应具有自身特征的数据时,独立的数据法益设置必须回应上述问题。
二、数据不法行为的类型化区分
在刑法尚未全面有效应对数据不法行为时,作为前置法的数据安全法已经形成对数据“分类分级”保护的模式制定。针对数据不法行为的刑事治理无法适应人工智能时代的发展现状,仅停留于非互联网阶段设置的计算机信息系统类犯罪难以实现对数据法益的妥善保护。因此,在数据分类分级保护的理念中,有必要对人工智能时代下出现的数据不法行为进行区分,将不同的数据不法行为进行类型化整合,更好地界分数据不法行为与传统计算机信息系统犯罪,进而降低司法适用上的难度。
(一)以数据为工具型
以数据为工具或手段的不法行为是指行为开展是通过数据内容的运用或加工。由于以数据为工具型的行为最终侵害的主要是非典型数据法益,在尚无特定刑事立法约束下,惩治该类型的数据不法行为仍然是为了保护传统法益,在行为认定上也与传统犯罪具有一致性。在以数据为工具的行为类型追责中,学界主要观点认为追溯该类不法行为所实际造成的法益侵害,进而利用传统罪名实现对此类行为的规制。而此类犯罪行为与计算机信息系统类犯罪相关性较大,即刑法第285条非法侵入计算机信息系统罪和刑法第286条破坏计算机信息系统罪,例如制售游戏外挂案,行为人通过制售游戏外挂,利用计算机技术手段对存储于系统中的数据进行修改,以不法手段实现对游戏系统的侵入。因为其行为后果主要是对计算机信息系统的侵入或者破坏,司法实践也较为容易认定该类行为的性质。可见该类数据利用行为的惩治并未被实际归属到数据犯罪类型中,而是利用现有犯罪体系进行解决。在部分以数据为工具的手段行为中,由于其法益的实际侵害确实与传统计算机信息系统罪所要保护的法益具有一致性,在现有立法的基础上,司法实践往往能够通过法理展开,实现对该类行为的刑事惩治。但囿于计算机信息系统类罪名在数据行为中的可利用范围,并不是所有以数据为工具的行为构成均能囊括于计算机信息系统类罪名之中,如有学者指出以数据为手段的行为中,游戏外挂并非侵入、控制计算机信息系统,其最终的危害在于改变了数据的原本用途,进而对产品研发者设定的运行秩序进行了改变,在传统计算机信息系统类犯罪中并不能很好地将上述行为纳入。因此,针对以数据为工具的不法行为在无法与计算机信息系统以及其他犯罪相适应中,仍然有必要关注该类行为与传统犯罪体系的联系与区别,考虑该类行为所侵害的法益是其他犯罪所规制的内容还是行为具备刑事违法性却无法该当现有罪名构成要件的情形。不考虑该类行为的实际法益内涵,一味将其归入传统计算机信息系统类罪名系统之中或者一味主张设立新的数据犯罪罪名来惩治,均存在一定的缺漏。在以数据作为工具的犯罪行为中,不仅需要考虑设置专门的数据本体类犯罪罪名,也需要通过借助刑法解释学实现对该类数据不法行为功能性关联的传统罪名。
(二)以数据为对象型
以数据为对象的数据不法行为是典型的数据侵害行为,行为人最终目的是获取或者损害他人受保护的数据权益,因此,又可以将该类数据不法行为区分为获取型和侵害型。在该类数据不法行为的构成要件中,除主体和因果关系外,其中行为要素是指行为人未经法律、权益人的授权或许可,不当获取和侵害国家、企业或个人受保护的数据。结果要素是指造成相应主体的数据法益受损害。有学者在关于数据不法行为的分类中指出,以数据作为侵害对象的类型是指行为人以他人的动态数据为不法利用的对象,强调行为人获取和利用的数据是处于动态变化之中的数据。而以数据为结果型的行为则是指行为人获取和利用的是存储于计算机信息系统中的特定静态数据。本文认为该种分类并不能很好地区分两种类型的数据侵害行为,反而会增加司法适用上的难度。首先,在数字时代下,人工智能的更新和演进,很难准确厘清何种数据属于动态何种数据为静态,在一定条件下,两种数据的存在形式完全可能相互转化。其次,以动态和静态数据为对象来区分两种类型的行为,会进一步扩大对数据不法行为的专门罪名运用的依赖,阻碍司法实践以现有罪名体系来评价数据不法行为,造成设置数据本体罪名的需求和呼声不断加大。因为在数据为侵害结果的行为类型中,仍然存在进一步细分的可能性,即直接造成数据侵害结果和间接造成数据侵害结果的行为。在间接造成数据侵害结果的行为中,存在将行为法益侵害类型归入传统犯罪法益侵害体系中的可能。若直接以静态数据法益受侵害来区分以数据作为结果的行为,会加大数据本体罪名与其他传统罪名的认定难度,进而忽视现有罪名对数据不法行为的规制可能。
本文认为在数据为对象的侵害行为类型中,只考虑行为人的侵害行为是否属于“获取”或“侵害”类型,并且该类数据应包含国家数据、企业数据和个人数据。其中各类数据因受保护程度、内涵价值以及损害后果危害性不同,行为人的行为也应宽严相济地区别对待。在以数据为对象的侵害行为类型中,不管是获取数据还是侵害数据,损害的均是典型数据法益内容,这一点应区别于传统计算机信息系统类罪名所保护的法益。因为在以计算机信息系统安全为主要保护法益的罪名体系下,该类罪名设立的初衷以及规制范围并不在于保护数据安全本身。因此,针对此类典型数据安全本身的犯罪行为应偏向于数据本体罪名的设立,避免违背罪刑法定和罪责不相适原则的理念。获取型数据侵害行为是指行为人非法获取国家、企业或他人未公开的数据,而侵害型数据不法行为是指行为人肆意破坏国家、企业或他人受保护的数据内容。由于数据来源不同,二行为最终侵害的法益内容也有所不同,不仅包括数据的本体法益,也涉及表征性和社会性法益。
(三)以数据为结果型
在以数据为结果型的不法行为类型中,为了有效与以数据为对象的侵害行为作区分,有必要对结果的内涵及形成过程进一步梳理。由于在数据受侵害的结果实现中包含了较多的因素,导致司法实践在认定中并不能因数据法益侵害为结果,而直接主张应由数据本体性罪名来规制,进而形成数据犯罪立法的观念。区别于以数据为侵害对象的典型数据不法行为,在数据受侵害结果的行为类型中,该结果往往具有多元性,或者说依据现有罪名体系已经能够较好地起到行为规制、实现刑法预防效果。
首先,在造成数据侵害结果的形式上,存在直接结果行为和间接结果行为。直接结果行为是指行为与数据法益侵害的结果相关联,即行为人一开始采取的行为就是为了侵害特定数据本身,最终该行为也实际造成其所预期的侵害效果,且无法运用现有罪名进行规制的,行为与结果之间具有直接相关性。间接结果行为是指行为与数据受侵害结果虽然也相关联,但关联程度较低,即行为人的数据侵害行为主要是通过其他典型的计算机信息系统类犯罪行为展开的,最终造成计算机信息系统和特定数据受到侵害。其次,在侵害结果的最终实现上,又可以分为单一法益侵害和复合法益侵害两种。单一法益侵害即典型数据侵害行为类型,即行为人的不法行为直接造成数据本体法益受到损害,且未造成类似于计算机信息系统安全的法益受到侵害。而复合性法益则是指行为人的侵害行为造成了包括计算机信息系统安全和数据法益的多重损害,且在一定程度下,数据法益的损害能够依附于计算机信息系统类罪名来实现行为惩治效果,并非仅能由数据的本体性罪名来规制。因此,可以发现在以数据为结果的侵害行为中,存在数据本体性罪名和传统计算机信息系统类罪名适用的可能性。与以数据为侵害对象的数据不法行为类型相比,其数据侵害典型性较为不足,这也是应将二者区分的主要原因。在该类型的数据行为中,有必要依据不法行为性质和构成要件特点来分析行为结果的法益侵害内容,在无法通过传统类法益保护规制行为时,再考虑通过数据本体罪名的设置实现行为规制。区别于以数据为对象型的强本体罪名依赖性,以数据为结果型的数据不法行为更具综合性,具有多种行为规制方式的可能性,例如“车来了”一案,行为人通过获取存储于他人信息系统中且会公开的公交车行驶线路、停站到站等信息,在实践中,很难准确界定行为人侵害数据权益本身的行为能否依赖现有计算机信息系统类罪名如非法获取计算机信息系统数据罪来规制。
三、对象型数据不法行为中的法益多重性溯清
在对数据行为类型化后可以发现,不同类型的行为其构成特征、法益侵害类型以及惩治依据上均存在较大的差异性。在以数据为工具和以数据为结果的行为类型中,因行为的构成要件及惩治依据与现有刑事立法存在较为直接的关联,在符合罪刑法定原则的基础上,能够依据现有罪名体系进行规制,仅在部分复合行为中存在罪名选择上的争议。而针对以数据为对象的典型数据不法行为,同样是出于罪刑法定的必然要求,以及在入罪口径不断扩大的司法现状下,由于刑事立法尚未与前置法数据安全法有效协调,该类型的数据行为对数据本体罪名依赖较强,并且规制争议较大。因此,本文在现有刑事立法模式下,通过对该类型数据不法行为所侵害法益进行梳理,以期通过法益的概念来代替社会危害性这种模糊性较大的行为判断,最终起到限制犯罪化效果,限缩数据行为的刑事入罪口径。
(一)本体性法益内涵
与计算机信息系统类犯罪所要保护的计算机信息系统安全相比,惩治数据犯罪的行为是为了保护数据安全法益,其内容并非计算机信息系统安全所能够包含,数据法益具有区别计算机信息系统类法益的独立法律地位和技术属性,有必要成为法益保护的对象和内容。数据的本体性法益是针对在以数据为特定对象的侵害行为中,行为人针对数据内容本身实施的侵害行为造成数据损害。关于数据的本体性法益内容,学界存在多种观点。数据的本体性法益更关注数据内容本身的价值,但在本身价值中因为数据内涵及数据侵害行为的广泛性,存在单一法益论和复合法益论的多重主张,在复合法益论中又存在二重性论和三元分立模式的观点。单一法益论的观点主要以数据安全内容进行展开,其中观点一认为数据的保密性、完整性和可用性为数据自身安全的内在要求,作为具体内容的三性应该受到独立保护。观点二在数据法益呈现出强社会公共性基础上提出数据安全法益包括个人安全、公共安全和国家安全三个层面,并且国家安全具有最重要和优先的法益保护地位。在复合性法益论中,二重性论观点认为数据犯罪的法益应同时包含数据安全和财产安全两方面内容,应通过对数据安全和财产利益二元保护路径来厘清数据法益内涵。而三元分立模式则主张通过对数据法益的内部结构和外部结构划分和对应来实现数据法益的全面保护。内部结构可以分为数据人格法益、数据财产法益和数据安全法益;外部结构则表现为个人数据、企业数据和国家数据。
可见,即使针对数据法益本身的数据类犯罪,在数据法益本体性论中,仍然存在多种观点主张。单一性法益论主要从数据安全的角度来考虑数据法益的内涵,并从根本上将数据安全与计算机信息系统安全相区分,使以数据为对象的典型犯罪独立于传统计算机信息系统类罪名的认定,避免数据犯罪杂糅于计算机信息系统类犯罪体系中,进而违背罪刑法定原则。与此同时,数据的安全性法益设立是建立在排除其他内涵的基础上的,势必会有所缺陷。对数据法益作独立判断和保护就必须建立特有的数据犯罪规制体系,才能更妥善地实现数据犯罪与数据安全法相衔接。但由于现行刑事立法尚未更新和应对数据犯罪的独立处置,司法实践仍然对传统计算机信息系统类罪名具有强依附性。在复合性法益论要求从数据安全和数据财产权益等方面来考虑法益内涵的主张中,通过将国家数据、企业数据和个人数据的内容不断细化的方式,从而借助数据本体罪名的设置和现有罪名体系的功能性罪名来惩治数据犯罪行为,能够在一定程度上依赖现有罪名对法益内容的保护,进而弥补数据犯罪的刑法空缺。但在数据犯罪本体性罪名尚未单独立法的现状下,复合性法益治理体系仍然有所欠缺,无法完全实现刑法的功能效果。
(二)表征性法益内涵
数据的表征性法益并不指代数据本体性内容,而是表征其他非数据权益本身的内容。国家数据中涉及国家安全相关的秘密和信息,企业数据存在商业秘密和财产性信息以及个人数据中包含了人格权内容等等。也即数据法益的内容是它表征权利人在现实世界中的某种特定利益与数据自身的关联。因此,数据内容本身并不存在足以引起法律全面保护的充分条件,而是特定数据背后与权利人的特定权益相关联,并且该特定权益受到法律保护。
数据安全法作为数据犯罪行为规制的前置法,其提出了对数据的分类分级保护模式,因此,有必要从数据的外部形态来区分数据,进而深度解析各类型数据背后所代表的含义以及其所体现值得法律保护的法益。首先是国家数据,在国家数据的内容中往往包含着国家秘密和重要信息,直接涉及国防安全和公共管理秩序等方面。数据作为内容载体的同时,其或直接或间接地关联上述权益,并且由于此类表征性法益内容的重大价值,理应受到数据权益中的最高级别保护。在国家数据的内容中,数据法益表征的是一种超个人属性的安全法益,其内容直接与国家利益相挂钩,表征性含义往往大于数据本身的价值。国家数据涉及的重要内容以及侵害该部分内容后的结果,在现有罪名体系上能够找到路径,因此,不存在对数据本体性罪名设置的过度依赖。其次是企业数据,该类数据的内容中包含了企业现有及将来可转化为财产性利益的重要数据,区别于国家数据的强管控性和个人数据的强人格属性,企业数据更多地体现着一种财产性利益,“企业数据犯罪侵害的法益是数据财产法益,即企业数据财产权,包含数据控制权、数据开发权、数据许可使用权、数据转让权等积极权能和排除他人干涉或侵害的消极权能”。在企业数据的内容中,其表征的财产性利益较为明显,因此,涉及企业数据的犯罪,其本质上可能代表着对企业财产性利益的侵害,只是这些财产性利益与一般的有形财产存在区别,它的财产性价值是通过电子数据的形式所表征出来的。在大数据背景下,物不再是桎梏财产规则适用的必要前提,有形的损害也并非判定财产权益受侵害的唯一标准,价值的增减逐渐成为界定财产的出发点。对于该类型的数据犯罪同样能够借助因保护财产性利益免受侵害而设置的罪名起到较好的规制效果。最后是个人数据,其表征性的功能更为明显,因为在个人数据的内容中其价值往往体现在该类数据直接涉及权益人的人格权内容,即绝对排他性支配的个人信息自决权。该项表征性权益的内容主要包括个人信息不被非法获取、个人信息不被泄漏和个人信息不被滥用三个方面权利。虽然在全面保护个人信息自决权的法律规制中存在一定的争议问题,但通过现有侵犯公民个人信息罪以及个人信息保护法的设置,能够在一定程度上解决针对个人数据类法益的不法行为。
综上,在刑法尚未针对数据犯罪设立本体性罪名的情况下,表征性法益通过厘清各类数据背后所侵害的被表征权益,能够在一定程度上化解数据刑事规制所表现的罪行不相适矛盾。该观点不是在数据特定法益基础上要求形成数据本体性罪名而提出的,是依据现有刑事法律保护模式,通过法益关联找到不同种类数据的刑事归责路径,具有一定的可行性和司法经济性。
(三)社会性法益内涵
在我国数据安全法及与数据内容相关联的前置法中,几乎确定了法律保护的是数据保密性、完整性和可用性。因此,多数观点认为数据安全主要是保密性、完整性和可用性的内容安全,刑法设立数据犯罪的核心目标也在于保护数据的上述三方面内容,进而得出数据安全法益的内容。但也有学者认为虽然法律对数据的保密性、完整性和可用性进行保护,却并不意味着对数据的保密性、完整性和可用性的保护一定要提高到刑事法律规制的高度。进而提出数据犯罪侵害的法益是国家数据管理秩序,即包含着数据流通、数据分析、数据存储和数据使用秩序等一般数据中所有值得刑法保护的利益,并且国家数据管理秩序法益是不同于数据安全法益的存在。数据安全法第3条规定了数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。在数据的收集、存储、使用、加工、传输、提供、公开等生存周期中均有国家对数据本体内容的管理,促进在数据处理活动规范化、数据安全受保障的条件下进行数据开发利用。因此,在数据的刑事法保护中强调国家对数据管理秩序的维护具有重要意义。
其次,由于国家数据、企业数据和个人数据的内容中并不是均涉及国家安全、财产利益以及人格权益等内容。并且在数据的外部区分中,各类数据的保护面向并不相同,受保护的范围和程度也存在较大差异,数据安全并无法妥善地作为各类数据法益内涵的上位概念来囊括所有数据法益含义。数据安全是为了保护各类数据中所值得刑法保护权益,数据保护的是行为人的私益,其重点当然关注的是主体权益内容。而在相关数据类别中,并非所有数据均涉及主体权益的内容,例如学者指出的环境数据、野生动物数据并不是因为某个自然人或法人而产生的,也不是因为该主体而存在的,该类数据并不存在个人权益的属性。基于主体权益而生成的数据安全法益观并不能全面地形成数据法益的总结,而国家数据管理秩序的观点则从社会管理秩序出发,认为所有数据均是为了社会管理的便利而存在的。因此,部分数据虽不具备私益,但一定具备社会管理属性的公法益,这种公法益实际指向的是国家数据管理秩序。综上,以公益属性为基础的国家数据管理秩序相较于以私益为基础的数据安全,其在内涵和外延上覆盖面更广,更能妥当保护数据权益。
四、人工智能时代视阈下的必要考量
由于人工智能时代和web3.0的到来,现有刑法规制体系无法再忽视数据权益保护和数据犯罪行为的规制问题。因为数据内涵上的特殊性,司法实践和学界也逐渐回应数据权益独立保护的应然需求,作为前置法存在的数据安全法也已经设立出分类分级保护的模式。考虑到数据的内部和外部区分,因为不同法律面向又存在不同种类的数据侵害行为以及不同法益的保护主张。本体性法益是面向数据权益自身的保护,但囿于本体性罪名的立法现状,无法较好地起到数据不法行为的规制效果;表征性法益面向各类数据的实际表征权益,但过于依赖传统罪名体系的设置,容易出现罪责不相适的矛盾;社会性法益则面向数据的社会性,主张国家对数据管理秩序的保护,但过度将数据安全与管理秩序相区分的做法似乎也存在不妥。纵观现有数据法益保护主张,在结合了刑事立法现状的情况下,均有一定的合理性与缺陷。在数据安全法同样鼓励数据的开发与利用逻辑下,过于全面的数据法益保护,反而与以数据利用为基础的科技发展趋势相背离。在人工智能不断迭代升级中,数据法益的严格设置,不仅有违背罪刑法定原则的嫌疑,还会导致数据权益保护成为科技发展的掣肘。因此,有必要结合人工智能时代的特点,使数据法益的刑法保护与数据发展理念相协调,使数据设置更好地助力科技发展。
(一)数据权益与经济发展的双重平衡
在单一性法益论和复合性法益论的梳理下,不管是数据安全、数据表征的财产性权益和数据社会性所形成的国家管理秩序都试图找到能够容纳三类数据法益内涵的法益表达,使刑事法律能够顺利和正确地介入到数据犯罪的治理中,改善司法治理现状,最终目的是促进以数据为依托的行业发展。数据安全法第一条明确表达了制定该法的目的是保障数据安全,促进数据的开发利用和保护有关主体权益。在《上海市数据条例》中同样规定了促进数据依法有序自由流通,保障数据安全,加快数据要素市场培养等内容。由此可见,在保护数据权益的同时促进与数据要素相关的经济发展同样重要,并且二者应相辅相成,和谐共生。
在厘清数据法益内容后,不仅要承认数据法益受保护的重要性,还需要找到各类数据中法益保护的重点,才能更好地实现分类分级保护模式的效果。在部分国家数据或社会数据中,因其具备的社会属性特征,所以本质上为非排他性与非竞争性的公共产品。但同时在国家数据中存在涉及国家秘密、网络安全或其他保密性信息的内容。因此,在促进数据共享流通中需要重点关注和保护该部分数据,避免因敏感数据公开威胁到国防和公共安全。在企业数据中,数字经济时代下数据已然成为社会中的重要商业资源,能够产生经济利益,将数据作为财产性资源具有合理性。企业数据的财产性利益转化使得商品化或财产化成为企业数据的重要特征。同时,也有学者认为企业数据利益本质上是一种支配性的控制权,并且该控制权的排他性效力是一种弱于所有权但强于相对权的支配权。因此,在企业数据中强调权益人可支配的财产权益具有重要意义,并且财产性价值也是保护的重点和核心。在个人数据中,因其涉及大量个人信息内容,而这些个人信息权益又是一种具体的民事权益,属于一种精神性的人格权益,所以个人数据表征的是人格自由和人格尊严等人格权益的内容。虽然在个人数据的内容中具备人格权属性和财产权属性,但人格权属性内容仍然是个人数据中的保护重点。
数据作为数字经济中的关键性要素,随着数据生产和利用的规模增长,大数据逐渐成为人工智能时代重要的基础资源,其价值属性不断受到关注和重视。在作为国家标准的《信息技术安全数据安全能力成熟度模型》中划分了数据采集、传输、存储、处理、交换和销毁的数据生存周期六大阶段,而在各个阶段中,均会产生数据可利用价值。在范围上,以数据作为核心要素的技术或者关联行业越来越多,随着人工智能的深入发展,对数据的依赖会呈现出数量级的增长。在国家和社会层面,越来越依靠数据收集、处理来实现国家安全维护和风险排查,政务部门也能通过数据手段实现政务处理高效化,进而提高公众满意度。在企业层面,互联网企业需要对数据内容进行收集、处理和成果转化,通过各种方式使数据要素本身产生价值,是一种直接的数据利用行为。《上海市数据条例》第49条规定了要培育数据要素市场主体,通过实质性加工和创新性劳动形成数据产品和服务。在各省市逐渐建立的数据交易中心也能体现数据要素流通的价值。越来越多的非互联网企业也逐渐意识到数据利用的重要性,通过对大数据产品的购买或者自行收集和处理数据,例如用户偏好、满意度评价以及对产品的建议等等内容,借助数据分析的结果提高产品质量、完善服务方式和提高用户满意度,进而拉动企业的经济效应,此种数据利用行为同样是一种企业和消费者双向受益的结果。
可是在刑法尚未回应数据不法治理问题时,对数据权益利用过度谨慎或是过度扩张均不利于数据要素有效融入时代和经济发展的浪潮中。过度忽视数据权益的保护会造成数据安全和数据类财产性利益的损害;而过度强化数据权益的保护又会扩大数据行为的法律规制口径,阻碍数据利用行为和数据要素市场化进程,甚至出现在前置法允许数据利用行为而刑事法却对这样的行为加以打击的背离法秩序统一性原理矛盾。近年来,随着数据法益的独立和扩张,在数据保护上难以避免地出现了制度异化现象。仍然以企业数据开发利用为例,一些企业为了跟上时代发展、提高经营效率,开始设置和运用网上点单和评价返券等功能,形成针对企业自身经营的用户评价数据。通过这些数据能够直观地看到用户点单次数、浏览记录以及用户评价等,而这些数据的背后也反映了企业核心竞争力以及来自不同群体对产品或服务的第一手评价,企业自身能够通过分析数据达到优化产品和提高服务,还能有比例地预备和输出产品,改善经营结构,降低亏损。而顾客也能通过该类数据,快速预判产品,作出性价比最高的选择,避免“踩雷”和试错发生。该做法的初衷能够促进多方主体间的互利,虽然这些数据存储于特定主体的平台之中,但它仍然属于公开的数据,即向顾客公开也向相关企业公开。但随着算法共谋、大数据杀熟等行为的出现以及数据财产权益的过度保护,类似数据利用行为极容易存在违法甚至犯罪的可能性。不断扩大数据财产权益的保护同样会背离制度设置的初衷,阻碍数据的开发共享。例如针对“爬虫”技术的规制,有学者就提出对于利用“爬虫”技术绕开技术障碍获取非公开数据的行为,因侵犯了数据的保密性要求可以被认定为触犯相关犯罪,但对于爬取已经公开数据的行为,由于不存在侵害权利人数据的保密性,不能仅根据数据存储于特定空间而被评价为犯罪。又如全国首例制售微信外挂案,被告人未经许可制作了依附于微信的外挂软件,这些软件能够在不影响微信正常使用的情况下实现一键转发、无限消息提醒等功能,虽然表面上外挂软件可能会对微信界面作出修改,转变微信服务平台的预设功能等,但在实质上并未构成对他方数据的删除、修改、增加进而影响数据价值或正常运行的实质危害出现。因此,有学者指出在微信外挂案中,该制售外挂的行为并未影响其他软件的正常运行,并未造成他方数据权益的损害,该类数据行为因不具有刑事违法性,不应成为刑法的规制对象。
综上,不管是国家数据、企业数据还是个人数据,其中均涉及社会属性。在未阻碍权益人行权自由的情况下,不管是社会发展的现实需要还是数据立法上的鼓励,都希望数据在共建共享的流通中发挥出最大价值。因此,为了平衡数据权益与经济效益,必须有效厘清二者的边界,在协调中谋求双方的发展。
(二)刑行法律有效衔接的应然要求
因各类数据不仅在内容上存在差异,在形态上同样具有异质性,统一数据安全保护模式无法适应数据的异质性特征以及人工智能时代经济发展的新形势。也有学者指出:“重静态而轻动态的数据安全保护模式无法应对日益凸显的数据流通需求所产生的新型数据安全风险。”为了回应问题,数据安全法设置的分类分级保护模式能够根据数据的性质和种类,在数据权益保护和社会发展需要双重维度下使二者保持平衡。在不侵害数据特定权益的情况下,促进数据的流通共享,进而发挥出数据的价值。分类分级保护模式要求根据数据在经济社会发展中的重要程度以及遭受不法行为后的危害程度实行数据上区别保护。因此,在对数据外部区分上可以形成国家数据、企业数据和个人数据的简单分类,并且由于国家数据关涉到国防安全和重大公共利益等,应受到更加严格的保护。
首先,分类分级保护的模式是在重要性和危害风险性的区分下,针对不同种类和动态性质作出的差异化保护。在国家数据中重点关注涉及国家利益的重大安全,并且给予相关侵害行为严厉惩处,以此达到预防国家数据受到危害的目的。在企业数据中重点关注涉及企业重大利益的数据安全,因存在企业专属的财产性利益,所以该类数据也应成为法律保护的对象。而在个人数据分类中,重点关注的则是涉及强人格权属性的数据保护,其他人不能随意处理该部分数据。其次,对于已经在市场中流通的数据要素,分类分级保护模式的针对性措施能够在关键环节进行持续的动态监管,确保各类数据安全的可控性,从而实现数据流动性控制和降低因流动性而产生的新型数据风险。最后,有针对性的分类分级模式能够真正地关注到人工智能时代下数据开发、流动、共享的科技需求,确保数据要素在市场中的流动性管控,不至于出现过严或过宽的数据保护而造成数字经济发展受阻。静态性的数据保护模式已经无法有效适应人工智能时代的发展,也无法应对数据要素在市场流动中产生的价值和风险。
谦抑性要求刑罚手段必须在其他规制不充分时才能发动,以及体现刑法理念中包含的责刑相适和罚当其罪的内在要求,即“犯罪对公共利益的危害越大,促使人们犯罪的力量越强,制止人们犯罪的手段就应该越强有力。这就需要刑罚与犯罪相对称”。因此,针对数据法益的刑事法保护,同样需要贯彻分类分级和刑罚阶梯化的理念要求。有学者认为,在我国数据问题治理的过程中,刑法早已实现分类分级保护的模式,比如在侵犯公民个人信息和计算机信息系统类犯罪中,刑法就将数据进行了分类保护,而在计算机信息系统类犯罪设置内部,又将系统数据、独立运行数据和一般应用程序数据分类,从而实现数据的精确化保护。但纵观数据权益问题和人工智能时代的发展,基于静态数据、信息和计算机信息系统的保护已经无法适应新模式的发展,甚至出现阻碍发展的情况。在数据犯罪治理的问题上,同样需要保持刑法治理一贯性的问题。在数据犯罪设置上实现梯度化的惩治效果同样有利于关于数据法益的刑事法保护衔接数据安全法中的分类分级保护模式。因此,不管是站在数据本体性罪名的立场还是依附于传统罪名治理的立场,都需要回应数据犯罪刑事治理内部对分类分级模式的需求。如有学者指出的刑法数据类别区分理论,即依据数据内容属性和技术运作状态,对不同种类数据以及同种类但内容有差别的数据予以区分保护。
在应对数据不法问题进程中,就需要回应三层问题。首先,在尚未达到刑法适用程度的数据不法行为中,要求根据数据安全法第21条设置的分类分级保护模式,在不同类别的数据下有差别地对待数据不法问题。其次,在涉及不法程度已经达到刑事治理要求时,需要关注前置法与刑法适用的边界问题,即刑行交叉理念在数据不法行为治理中的应然介入。最后,在刑事治理措施的内部又需要考虑定罪和量刑的准确性。在定罪上,基于数据治理的刑法现状,存在本体性罪名和功能性罪名运用模式的主张,而在量刑上同样需要体现责刑相适应的要求。
在数据不法问题的治理中,由于范围和危害跨度较大,涉及民行法律规范和刑事法律规范。其中不免会产生民行交叉、刑行交叉和刑民交叉的复杂问题,应当实现在规范一体化治理下,把刑法、民法、行政法作为法律整体进行解释和适用,而在分类分级保护中也直接体现了规范一体化的理念。因此,受到法秩序统一性原理的内在要求,规范一体化的法律整体不应该是一种自我矛盾的整体,需要排除诸规范之间的矛盾,在违法性判断上保持统一性。在数据法益的保护中需要使刑法与民行法律保持一致,不能使刑法介入到不具有民事违法性或行政违法性的行为当中,例如在一些尚未达到规范所禁止程度的数据利用行为中,刑法就不能因为该类数据利用行为在构成要件上类似传统侵入计算机信息系统犯罪,进而在尚未刑事立法的情况下,仅依据行为危险性的主观判断,将数据利用行为纳入刑法治理的范围中。这样做的后果不仅存在过度扩大入罪口径,出现违反罪刑法定原则的嫌疑,还会导致刑事治理破坏法秩序统一性原理。综上,不管是在数据安全法、个人信息保护法还是刑法中,都不应超越数据法益受保护的目的,仅站在数据行为规制的立场对数据利用行为予以打击,而忽视对行为实质不法性判断。针对数据犯罪的问题,不管是站在本体性罪名还是功能性罪名治理的立场,都必须考虑数据利用行为的社会危害性和刑事违法性,将不符合刑法适用条件的行为严格在刑罚圈中排除,使数据的刑事治理适应数据利用上的开放共享理念。
(三)生成式人工智能的建设趋势
首先,当下人们越来越多的社会活动需要依赖数字处理技术,大数据、物联网、ChatGPT等前沿技术的投入和使用,使数据利用发挥出巨大的经济价值。同时,依托数据处理的人工智能产业也迅速发展,并逐渐与各个行业相结合,甚至形成共生关系。如有学者指出生成式人工智能的出现意味着人工智能的“技术奇点”逐渐到来,ChatGPT已经触及强人工智能的边缘,体现出了人工智能技术发展迅猛及功能技术的强大。在人工智能的运行过程中需要依托海量承载有关信息的数据,以生成式人工智能为例,在用户输入内容后,ChatGPT需要借助互联网技术在被授权许可访问的空间中抓取大量信息数据,并按照一定程式对所获取数据进行处理,最后向该用户输出内容。可见“作为一种多模态预测训练模型,ChatGPT等生成式人工智能的各个运行环节都离不开数据的支撑”。因此,在人工智能产业飞速发展的现状下就会出现以下问题:第一,数据权益的维护与人工智能技术应用之间的矛盾。一方面对数据权益的过分保护,全面强调原始数据以及数据静态下的安全,进而过度禁止非权益人对现有数据的共建共享,会直接阻碍生成式人工智能以及其他需要依赖大量数据处理的人工智能技术发展与进步。“数据之于人工智能技术应用的重要性堪比水之于生命,如果过分限制人工智能技术应用的开发者获取、使用或处理数据,就一定会影响有关产业的发展。”另一方面,在人工智能开发和利用的过程中,涉及相关主体权益的利用,在未准确厘清各自权利边界以及未对数据利用行为进行合规化考量的情况下,很容易出现非法进入他人计算机信息系统、非法获取他人数据以及泄漏他人数据等问题。为了有效化解二者之间的矛盾,必须准确协调之中的利益关系,在数据权益保护的基础上使科技发展效益最大化。
其次,在数据处理技术和人工智能时代飞速发展的前期,如果在技术开发创新的过程中不当限制尤其是在法律规制上严格适用会过度阻碍其发展。因此,在基本不违背上位法对数据权益保护的情况下,应适当允许各类主体对具有开放性和流通性的数据进行利用,在数据权益保护与人工智能技术发展的矛盾中,适当向后者倾斜。或者随着科技的发展逐渐加重对数据权益的保护,而不能一蹴而就,在前期对数据利用设置过严过高的合规门槛。在数据安全法以及其他省市如《上海市数据条例》规范中,均在一定条件下鼓励各方主体对数据进行深度加工和增值使用,进一步促进数据要素的市场化,使数据在流通中发挥更大的价值。以及在《关于构建更加完善的要素市场化配置体制机制的意见》中,也明确提出要依据市场条件实现效益最大化和效率最优化,允许和鼓励包括数据在内的各生产要素通过市场化方式进行流通和配置。因此,又会出现第二个问题,即数据权益的静态保护与数据流通价值之间的矛盾。有学者指出,从数据的内在属性看,其自身价值并不会因为市场流动而减损,反而会在结合汇集和演算分析中增值并不断优化演进,所以流通是数据价值的天然属性。因此,在应对第二个问题时,有必要在保护数据基本权益的同时,发挥数据的流通价值,有条件地转变数据静态安全绝对重要的思维,看到数据在市场流通中诱发的价值潜力。因为数据流通不仅会给数据权益主体带来额外的经济价值,还能进一步促进数据的开发共享和人工智能产业的发展。
由于人工智能对数据的利用方式和利用规模不同于传统犯罪,涉及的不法行为规制也应有所区分。通过前文对数据法益的论述可知,在不考虑主体的情况下,数据法益的主张存在多样性,在数据的受保护范围和罪名适用选择上存在多种观点。而在权益主体涉及人工智能甚至强人工智能时,其中数据不法行为的规制问题就更为复杂。在现有刑事立法尚未针对数据犯罪设置本体性罪名时,司法实践在应对数据犯罪时同样会产生不同面向和选择,例如依据计算机信息系统类或个人信息类罪名。由于数据对计算机信息系统的存储依赖,不少司法人员倾向于数据安全法益的选择,以计算机信息系统类罪名来认定数据犯罪。但即使在不同的数据法益与罪名上存在众多选择项,仍然无法完全应对人工智能产生的数据不法问题。例如在生成式人工智能对数据获取和处理过程中导致的数据权益侵害行为,针对这一侵害行为,基于不同数据法益观点会产生不同的罪名适用,进而违背同一刑法体系下,相似行为应得到相似刑法评价的统一性要求。因此,在现有数据立法条件下,对数据不法行为的不当规制极有可能产生刑法评价不统一甚至违背罪刑法定原则,不如顺应人工智能技术发展趋势和数据要素市场化、流通化的理念。在数据利用行为未侵犯明确受法律保护的内容或者该数据利用行为尚不具备刑事违法性和刑事可罚性时适当肯定行为人的利用行为,以促进数据内容的开放共享。
五、数据保护的刑法矫正
(一)数据分类分级保护的界限划清
虽然数据安全法明确了对数据实行分类分级保护的要求,但其仅从数据的重要性及破坏后的危害程度来泛化表达数据的保护模式,仍然不利于保护行为的司法开展。数据分类分级是根据数据的本质、属性、归属及相互关系进行的区分和归类,数据分级是指按照一定的原则对各类数据进行的定级。在《GB/T22240-2020信息安全技术网络安全等级保护定级指南》中,规定了一般损害、严重损害及特别严重损害的程度划分,对应着不同侵害的客体在相应程度下的级别。而数据安全作为网络安全中的重要组成部分,同样可以参考该规定的理念进行保护。纵观数据分类分级的要求,虽然各类规范关于数据内容保护规定的详略不同,但均能体现出一种理念,即保护涉及较重大安全的数据内容,尚未规定一般数据的保护或者说允许一般数据的流转利用。在各类数据中,即使是涉及国家利益的国家数据也同样存在一般性的数据内容,而这些数据因其自身的重要性和价值,暂时应排除在法律规制的范围中。作为最后法的刑事法律适用更要谨慎,在数据保护上体现宽严相济理念。因此,在数据安全法尚未进一步明确数据分类后的保护要求时,有必要在国家数据、企业数据和个人数据三类中将一般性的数据予以排除,避免因数据保护而过度加大司法成本。
关于国家数据的内容,数据安全法并未明确界定,导致国家数据的范围以及对应的级别均存在一定疑问。网络安全法中规定了国家对重要行业和领域,以及其他一旦遭到破坏、丧失功能或数据泄漏,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,重点保护。可知国家数据应涉及国家安全、国计民生和公共利益等内容。而数据安全法提出了保护国家核心数据的内容,即关系国家安全、国民经济命脉、重大民生、重大公共利益等数据。因此,在现有数据立法的基础上,有关国家数据的内容存在一般性国家数据和核心类国家数据。
在国家数据的保护中,由于核心类数据关切到国家和社会的重大利益,其一旦遭到损害将会带来极其严重的后果。在法律上展开最严格的保护具有合理性。而在一般性国家数据中就会涉及保护级别的问题,如果一律因该数据属于国家级别分类而实行不加区分的保护,势必会因数据受保护范围太大而产生矛盾。本文认为在国家数据的分类中,针对一般性国家数据仍然需要继续区分,即普通数据和重要数据。重要数据是指相较于国家核心数据仍然关系到国家安全、国民经济、公共利益的其他非重大核心数据;而普通数据则是指涉及国家利益但属于公开的、脱敏的非重大数据。进而有利于从数据被泄漏或被损害后的结果严重性上将国家数据再分类。针对一般性国家数据中的重要数据,在分类分级模式下应采取低于核心数据的保护和惩治程度。而针对其中的普通数据,因其自身开放属性,在数据处理行为不涉及其他权益侵害时,应尽量肯定普通数据的可利用性。进而使国家数据内部分类体现出数据安全法的立法内涵,衔接分类分级模式,同时体现出学者所主张的各类数据均有社会性特征的含义。在刑法适用的严厉性以及谦抑性原则的要求下,将国家数据内容实行二次分类,使核心数据、重要数据和普通数据对应不同种类和程度的法律保护。在侵害国家数据的行为具备刑事违法性和可罚性时,同样能够依据国家数据的种类划分实现刑罚适用梯度化要求,更好地满足罪责刑相适的原则。而不是无条件地对国家数据处理行为采取一律化、同等化的刑事规制,扩大刑法适用范围。
在数据表征性法益和数据财产性法益的主张下,企业数据的保护重点主要集中于企业数据承载的经济价值。数据要素市场能够将分散的单个数据汇集成数据集合,形成数据资源,从分散到集中、从人格利益到财产价值的转变。或者基于自身业务生成的数据或合法收集的个人数据,在此基础上加工形成的数据集合与数据产品具有财产价值。因此,规范应对数据收集、处理而形成的数据产品予以肯定,并赋予企业主体对该产品的财产权。但企业数据财产权又与传统意义上的财产权存在较大区别,数据要素不同于其他市场要素,基于数据的流通、共享属性,其不能完全专属于某一企业或某一主体,不然不利于数据要素的市场化以及流动性价值的产生。有学者提出:“在设计企业数据财产权时应当对数据排他性限制适中的保护强度,对其权利内容、保护期限等进行规制,在权能构造上体现企业数据财产权的有限排他性。”本文基于数据法益有限保护的主张,认为该观点具有较强的合理性,并且下文将根据企业数据财产权的有限排他性进行展开。
在因单个数据而形成的数据集合和数据产品上,虽然企业能够通过对数据的选择、整理等手段形成独创性贡献,进而在数据集合和数据产品上获得相关法律的保护,但是在对数据产品或集合的控制和占有上并不应该获得同传统所有权中占有内容相同程度的保护。在数据集合或数据产品形成的基础上,单个数据仍然是公开且流动的,即允许其他主体基于该数据形成同样或者相似的数据集合和产品。甚至有学者直接指出,将任何人都可以从公有领域直接获取的数据信息,在有关主体将其汇编后形成的成果认定为具有秘密性而保护是不妥当的。因此,在企业数据财产权的内部,有必要注重“有限性”的设置。不能过于严格地保护企业数据集合和数据产品的财产性,适当肯定其他主体在不过度影响企业数据权属的情况下对相同数据进行利用。例如在有限性上可以设置“企业数据财产权保护权利例外条款”,即允许其他主体小规模的数据收集或者以学习科研为目的的使用。
在个人数据的强人格属性特点上,个人信息权与个人数据往往具有较强的联系。而在个人数据内涵中,由于数据的自身特征,使得个人数据不仅具备信息人格权还同时具备数据财产权的双重属性,即人格权指向的利益不限于人格利益,还包括财产利益。但因为信息人格权与数据财产权的不同法律面向,二者的规制范围和程度也会有所区分。虽然在个人数据内容中,由于该数据的自身特性,不能将其等同于企业数据进行处理,进而使个人数据表现出强财产权属性,而忽视个人数据的人格权属性。当然也不能因为过度保护个人数据人格权属性而全面否定个人数据的利用行为。在个人数据财产权属性的问题上,目前还存在争议,观点一认为我国法律尚未承认个人数据产权,因此在个人信息侵权案件中加害人通常只承担人格侵权责任。观点二认为自然人对个人信息享有的财产性利益包含在个人信息自决权中,可以通过人格要素商品化来实现。在数据安全法第7条中规定了鼓励数据依法治理有效利用,保障数据有序流动,促进以数据为关键要素的数字经济发展。而条文内容并没有明确否定个人数据的可流动性,因此,本文更倾向于个人数据应同时具备人格权属性和财产权属性,但人格权属性仍然是个人数据保护的重点。
综上,在个人数据利用问题上,需要进行两个层面的判断。首先,针对未经他人许可和未完成数据要素商品化的个人数据处理,仍然属于数据侵害行为,在具备刑事违法性和可罚性的条件下,应当对侵害人格权益的数据侵害行为进行归责。其次,在保护个人数据权益的同时,也要适当看到个人数据权益的财产权属性,肯定部分数据要素商品化的利用行为,避免将数据利用行为一律规制,阻碍数据要素的市场化进程。
(二)有限复合性法益提倡:分类与基于数据安全的财产权
针对不同类别数据侵害行为,不管是在防治重点还是受保护程度上均存在较大差异,究其原因是数据犯罪治理背后所保护的法益仍不够明确,数据法益的内涵及外延无法在现有刑事立法框架下厘定。起源于非网络时代的近代刑事立法难以适应网络时代出现的新问题,以保护法益为目的的刑法也尚未积极回应新类型网络犯罪。因此,在积极回应数据犯罪新问题的过程中必须直面的问题就是数据犯罪侵犯的是何种法益以及刑法如何对其进行保护。关于数据法益的内容虽然存在多种主张,但可以肯定的是学界已逐渐达成共识,即“以计算机信息系统安全作为数据犯罪的保护法益已经滞后于打击数据犯罪的现实要求,数据犯罪的保护法益应符合大数据时代的要求并通过数据来建构”。基于上文的梳理,目前主要存在以数据安全、数据财产属性或国家数据管理秩序等内容来建构数据法益的观点。但由此又引发了独立的新型数据法益无法与以传统法益保护为目的的犯罪体系相衔接,因此,如何恰当地将现有罪名适用于数据犯罪,以及是否有必要设立针对数据犯罪的新型罪名,亟待解决。
以数据为中心来建构数据法益,并不意味着以数据本身为中心,而应当以数据所表征的数据信息为中心。由于数据内容本身存在不同属性,各类数据的差异性较大,有必要在分类分级保护思想下展开数据所表征的数据信息,进而找到更有针对性的法益设置。
在国家数据中,由于核心数据和重大数据所表征着国防安全、重大国家和社会利益,对于这部分数据应由国家重点管理和把控。区别于财产权属性和人格权属性,在国家数据中更强调数据的保密性和完整性,国家数据法益属于一种国家数据管理秩序的保护。在企业数据中,由于企业以自身数据或收集的其他合法数据形成了具有经济价值的数据集合或数据产品,该结果往往能够给企业带来经济效益,可以通过数据的流动共享而附加财产权属性。因此,针对企业数据的内容,其重点表征的应是企业的财产权属性。在个人数据中,有人格权属性和财产权属性两部分,但由于个人数据商品化无法与个人信息权等内容有效协调,在现有法律对人格权益形成保护的情况下,表征着重大人格权内容的个人数据无法也不能大面积商品化进而产生财产属性,因此,个人数据重点表征的内容应该是人格权属性。在厘清了各类数据表征信息后,本文认为单一数据法益设置主张在应对某一类别的数据犯罪问题时具有较强的针对性和有效性,但在应对其他类别或者综合性数据犯罪问题时,却会显得捉襟见肘。本文基于数据法益保护的整体性认为复合性法益具有较强的适配度,即在数据法益内容中有条件有区分地肯定数据保密性、完整性和可用性,进而厘定该类数据犯罪所侵害的是数据财产权益、数据人格权益又或是国家数据管理秩序。
具体权益的侵害均可在复合性法益的内容中进行区分,但同时数据安全和数据财产权益又存在内部的位阶关系。对数据财产权益的保护必须是基于数据安全的保护,形成基于数据安全的数据财产权属性,以此达到抑制刑法频繁介入数据不法行为中。以数据安全法益为基础是因为“数据安全法益既是检验数据犯罪立法科学性的基本准则,也是解释数据犯罪构成要件的实质判断标准”。若行为侵犯了数据安全本身,在达到入罪标准后,可以利用数据相关罪名直接规制,但若行为仅仅侵犯了数据的部分财产权益,在刑事违法性的判断上就必须慎重或者适当提高对该类行为刑事归罪的标准,尽量适用针对财产权益设置的非刑法保护措施,达到与数据法益有限性保护理念的协调。
与此同时,考虑刑事立法现状,以及刑法谦抑性要求,为了保护数据权益的同时促进数字经济发展,有必要对各类数据的保护范围进行限缩,避免因为数据法益的广阔性而造成大量数据侵权甚至犯罪行为出现。根据上文对各类数据保护界限的划清,本文认为在国家数据保护中应排除一般性数据中的普通数据,将国家数据管理秩序被侵犯的对象限制在核心数据和重要数据中,适当允许普通数据的可流动和可利用,进而降低数据违法和犯罪成立率。在企业数据中,针对企业形成的数据集合和数据产品保护,应关注到数据来源的公开性和可利用性,在数据的财产权属保护中设置“有限性”条件,适当允许部分主体对该内容进行使用。而在个人数据中,同样需要适当肯定数据的有限商品化,在不违背前置法要求和法律伦理的情况下,承认个人数据的可流转性。综上,在数据犯罪本体罪名和功能罪名适用困境的现状下,结合刑法谦抑的理念,本文认为在复合性法益中,根据各类数据的特征,进一步强调法益保护的有限性,能够使数据犯罪治理更具有实质合理性。
(三)刑法被动介入的维持
在罪刑法定原则的要求下,基于数据刑事立法的不充分,针对数据不法行为的刑事治理必然要更加注重维持谦抑性理念。不仅要在法益保护的可归责范围上,还要在数据利用行为的出罪机制上体现刑罚适用的谦抑要求。而企业合规机制的原理在一定程度上能够适应谦抑要求,通过合规计划的开展,将刑事治理内化为企业内部机制,在内部自律与外部监督结合的情况下,发挥出预防犯罪和明确企业责任的双重效果。不同主体和不同的数据利用阶段,其合规工作也会有所不同。以企业数据不法行为为例,在规模和利用条件上,企业占有绝对的优势地位,企业未经许可非法获取相关数据带来的危害性远大于个人未经许可非法获取他人数据,当然其涉及违法犯罪的可能性也越大。因此,为了维护数据法益安全,降低企业数据利用行为的刑事违法性,有必要结合数据的生存阶段,有重点地提前设置合规监管,在企业数据利用行为的前端尽可能排除非法获取、侵入等行为。
纵观数据的生存周期,最容易发生不法行为的应该是数据采集、数据传输和数据处理阶段,因为该阶段直接涉及数据的首次处理,在这些阶段中引入合规机制更容易从源头上把握数据不法行为产生。首先,针对企业自身数据利用行为,为避免违法成本过大,企业可有条件地设立合规部门。明确企业的合规责任,并且分别以风险识别、风险评估、风险消除等措施,尽可能地避免企业在数据利用行为上产生的违法风险。在数据的采集阶段,数据安全法规定了应当在法律、行政法规规定的目的和范围内收集数据。所以在合规计划中就需要划定企业可采集的数据范围,避免因数据采集发生侵犯国家安全、数据财产权益或个人信息权益等行为。在数据的传输中,需要把握数据的可利用范围,避免将他人已受法律保护的数据集合或数据产品在未经合规处理的情况下进行传播。同时还需要防止因数据的传输行为而非法进入他人的计算机信息系统中,尤其是受法律严格保护的计算机信息系统,进而因相关数据的传输影响到计算机信息系统的正常运行及安全。在数据的处理中,即使是在有限的复合性法益下,不当的数据处理也会造成数据自身安全、数据集合和数据产品的财产权益甚至国家数据管理秩序的损害,有必要在数据动态保护的视角下,制定有效可行的合规计划。而在合规计划的具体开展中,企业在获取数据时,要将知情同意、目的合理、最小化三项基本原则作为合规审查的重点。其次,关于合规部门的具体工作内容,可以参照网络安全法第42、43和44条的要求展开,及时发现、及时纠正和及时补救,最终通过事前预防和事后弥补的组合措施,进一步限缩刑法介入的可能。
数据权益值得法律保护,但并不意味着在现有司法条件下,所有阶段的数据权益均有必要进行保护。因为全流程的数据保护“不仅会过度增加司法适用成本,还会导致数据可利用空间的进一步限缩,阻碍数字经济的发展”。在数据的部分生存周期中,可以适当允许市场主体对数据进行利用,深入挖掘流通中的数据价值。例如刘宪权教授指出的在现阶段下我国刑法无须对所有的一般数据实行无差别保护,也不必将非法存储、使用一般数据的行为纳入规制范围。其中原因主要是考虑到一般数据的公开性和脱敏性,即使在针对数据内容本身而制定的数据安全法中,其保护范围也主要集中于重要数据部分。在一般数据的保护上,不具有值得法律保护的必要性和紧迫性。因此,基于一般数据内容而产生的非法存储、使用的行为,因其较小的社会危害性更不应被纳入刑法规制范围之中。其次,在尚未达到刑事违法性要求但有必要进行约束和惩治的行为中,不对该类行为采取刑罚措施或者不实行与数据侵害行为无差别保护,并非意味着放纵该类行为。因为在针对数据不法行为问题上,我国已有较为完整的数据前置法规制体系,数据安全法、网络安全法以及个人信息保护法等相继出台,能够有效应对数据违法治理问题。所以针对某一数据犯罪的规制问题,即使有本体性罪名和功能性罪名的争论和选择,仍必须对有关数据治理的民行法律充分考量,确保刑法介入的被动性和最后性。
结语
在人工智能发展的趋势下,数据法益保护必须注意到科技进步的因素,在数据权益与经济发展的平衡下使刑事法律与前置法有效衔接。在人工智能和数字经济的发展和运用阶段,法律应有条件地向鼓励数据利用行为上倾斜。基于数据流通性和脱敏性,适当肯定非重大数据的利用行为,避免对该类行为进行归责甚至刑事归罪。首先,在数据治理的前端,基于复合性法益的观点,需要进一步强调“有限性”的要求。在国家数据中进行二次分类;在企业数据中厘清数据财产权与一般财产权的区别;在个人数据中,避免与个人信息保护法等前置法直接衔接。有条件地肯定数据处理和利用行为,进而在数据权益保护上实现刑事法限缩。其次,在数据治理的后端,为了助力合法数据要素市场化和数字经济发展,不管是刑事法还是民行法律,在适用上都要保持必要的谦抑,为数据资源的可利用留足空间。在刑事治理上,要对数据利用行为的违法性进行实质判断,同时可以设置和引入数据合规机制,在数据利用上实现事前预防和事后弥补的双重效果,进而保持刑法的被动性和最后性。总之,在人工智能时代背景和数据立法的现状下,针对数据不法行为的刑法治理,在行为鉴定的全过程中必须坚守谦抑理念,避免在前置法鼓励部分数据利用行为的情况下出现违背法秩序统一性问题。
往期精彩回顾
刘玉林 刘昱|认罪认罚的自愿性及其程序保障——基于协商性的尝试与突破
耿妆群|论执行过程中失信惩戒滥用问题的应对——以构建信用修复制度为路径
邵文龙 夏晓明|劳动者的辞职权问题研究——以裁判文书网200篇判决书为样本
上海市法学会官网
http://www.sls.org.cn