学术 | 赵春玉:大数据时代数据犯罪的法益保护:技术悖论、功能回归与体系建构
作者:赵春玉(云南大学法学院 教授)
来源:《法律科学》2023年第1期
目次
一、问题的提出
二、数据犯罪法益的技术平移及悖论
三、数据犯罪法益的功能回归及内涵
四、数据犯罪法益的体系建构
关键词:数据犯罪;技术平移;法益功能;体系保护
一、问题的提出
网络科技在经历web1.0和web2.0时代后,当前已迈入以网络数据为中心的大数据时代。在大数据时代,海量数据在网络中被不停地生产、收集、存储、整理与使用,数据正在成为一个新的生产要素,几乎人们所有的活动都可以被数据化。数据蕴含着巨大的经济价值和战略价值,“引领着新一轮的科技创新和科技革命,成为新经济的智能引擎”。大数据环境下数据集中分布且数据量增大,给数据安全保护带来新的威胁;形成了数字化形式收集、处理和使用数据的数据犯罪,包括以账户、访问控制数据为核心,并扩展至电子痕迹、生活行为、城市管理等各种非结构化数据,以及计算机数据延伸至物联网、智能手机、可穿戴设备等多终端数据的犯罪。这是web1.0和web2.0时代的计算机犯罪、网络犯罪的迭代升级,不仅使传统犯罪的场所从物理空间部分转移至网络空间,而且也使数据犯罪的智能化、自动化成为可能。
虽然当前还处于大数据时代的初期,但围绕着数据处理而形成的数据犯罪已呈现出严重的社会危害性和前所未有的复杂性,“诸多前现代、现代和后现代的因素交互混杂并存。从刑事法治的角度而言,我们同时面临现代化维度的任务与后现代维度的任务,既要防止法外恣意,限制国家刑罚权,又要管理风险社会存在的不安全性,强化对安全的保护。这对刑法体系的构建提出了两方面的要求:一是必须将社会结构变迁的维度整合进来;二是体系本身必须兼具自主性与应变性。”然而,由于“刑法起源于没有网络的时代,近代刑事立法与刑法理论的形成时期也没有网络,刑法上的具体概念难以适用于网络犯罪,以保护法益为目的的刑法对新类型的网络犯罪不能无动于衷,而是需要积极应对”。在积极应对的过程中,最为根本的问题在于,围绕着数据处理形成的数据犯罪到底侵害了何种法益,我国现有刑法能否对其提供妥当的保护以及如何保护?围绕着这一问题,理论界已经逐渐形成一种共识:以计算机信息系统安全作为数据犯罪的保护法益已经滞后于打击数据犯罪的现实要求,数据犯罪的保护法益应符合大数据时代的要求并通过数据来建构。但通过数据来建构数据犯罪的保护法益,依然存在数据犯罪的保护法益到底是数据本身安全抑或数据所承载的信息安全之分歧。在以数据本身安全作为数据犯罪的法益的场合,其是将计算机信息系统安全替换为概念位阶更高、涵摄力更强的数据本身安全,虽然其能涵盖以数据为攻击对象的各种不同情形,但其实际上依然沿袭着计算机信息系统安全的技术逻辑,将数据犯罪的技术性特征直接平移为法益的内容,数据本身安全被视为一种独立于传统法益的新型法益,传统刑法并不能对其提供有效保护。在以信息安全作为数据犯罪的法益的场合,由于信息内容及其所指涉的具体法益存在多样性,因而,既需要考虑信息安全是否属于新型法益,也需要考虑信息安全如何与传统法益衔接,还需要考虑信息安全所指涉的不同法益之间的协调,以促进信息保护和数据经济发展的良性互动。
大数据时代数据的流动共享与数据保护具有同等重要的意义。在数据犯罪中,作为现代刑事法治基础的法益原则应将社会变迁及数据技术等后现代的维度整合进来,但这并不意味着可以将法律问题降维为技术问题。在数据犯罪法益的建构中,如果直接将中立性的数据技术平移为数据犯罪的法益;那么不仅抽空了法益赖以存在的价值属性和目的追求并使其沦为客观中立的事实,而且丧失了面向事实所应具有的开放功能,最终使法益原则丧失了所具有的本体论和方法论意义。数据犯罪的法益在本体上依然是作为接纳不同价值的容器而存在的“意义概念”或“功能性概念”,需要将外部环境的需求通过目的的调整传递到体系之内,使数据犯罪的法益符合其自身的运行逻辑且具有容纳和应对技术变革的开放性。数据犯罪法益的建构应以数据的本质属性即数据信息为中心,以实现数据犯罪法益的功能回归,并根据数据信息所指涉的具体法益对其进行体系保护,为数据犯罪的刑事司法和刑事立法确立实质根据。
二、数据犯罪法益的技术平移及悖论
在从计算机犯罪、网络犯罪向数据犯罪迭代升级的过程中,虽然数据犯罪的法益观念会随着技术的不断革新而发生变化,但如果将计算机、网络或数据技术平移为法益内容,其实质上是试图让数据本身从经验性事实向规范性评价跨越,以中立的技术来消解由技术引发的规范评价问题,对法益进行工具化解释并将其等同于犯罪对象,使法益丧失批判功能和解释功能,进而削弱现有刑法应对数据犯罪的能力。
(一)从计算机信息系统安全到数据本身安全
在我国刑法中,数据犯罪的最初形态是纯技术性的非法侵入计算机信息系统罪、破坏计算机信息系统罪以及《刑法修正案(七)》增设的非法获取计算机信息系统数据罪等计算机犯罪。我国刑法通说直接将计算机犯罪最主要的技术特征平移为法益的内容,认为计算机犯罪是危害计算机信息系统(包括内存数据和程序)安全的犯罪,其保护法益是“计算机信息系统安全”,具体表现为计算机信息系统的内存数据和应用程序的安全。随着网络或数据技术的发展,司法解释和司法实务基本上也是通过技术性扩张计算机信息系统范围的方式来扩容数据犯罪的保护法益。例如,2011年最高人民法院、最高人民检察院颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机信息系统安全解释》)第11条规定:“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。”计算机信息系统的安全也由内存数据、应用程序的安全扩张到系统功能的安全。2013年最高人民法院、最高人民检察院颁布的《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》(以下简称《网络诽谤解释》)第10条规定:“本解释所称信息网络,包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。”通过技术性扩张的方式将计算机信息系统安全扩容为信息网络安全。司法实务也围绕着“计算机信息系统”这一技术性问题来确定侵害数据的行为是否成立犯罪。例如,2015年1月,张某、刘某未经授权或许可,对微信手机客户端安装文件进行修改,先后开发出“数据精灵”“果然叼”“玩得溜”等计算机软件并由赖某负责批发销售。经鉴定,消费者加载该软件后,并不影响微信功能的正常使用。在该案中,争论的焦点在于微信终端是否属于计算机信息系统。肯定的观点认为,微信终端属于计算机信息系统,“数据精灵”等微信外挂软件人为地增加了微信的功能,本质上干扰了微信软件原先的信息系统安全,构成破坏计算机信息系统罪。否定的观点认为,微信终端不属于计算机信息系统,上述行为没有侵害计算机信息系统安全,不成立破坏计算机信息系统罪。
随着大数据时代生产生活事实的数字化和数据化加速发展,纯粹以计算机信息系统中的内存数据或应用程序为攻击对象的数据犯罪骤降,随之大量出现的是以数字化形式收集、处理和使用数据的犯罪。有观点主张我国应引入德国学者提倡的“数据安全”概念。数据安全是信息社会中产生的新型法益,其保护的是数据本身的保密性、完整性和可用性,侵害数据安全这种新型法益的犯罪被称为“CIA”犯罪。以数据本身安全作为数据犯罪的保护法益,虽然弱化了数据与“计算机信息系统”的关系,但其依然沿袭着计算机信息系统的技术性路径,关注数据的类型、结构、粒度、生命周期并以此建构数据安全法益。认为以数据本身安全作为数据犯罪的保护法益,其不仅使数据犯罪的法益从技术性向本体性回归,而且是风险社会将法益保护前置的具体体现。事实上,“‘数据技术’本质上仍然是一种‘技术’,”是一种不具有任何目的的中立性物理事实。将数据犯罪的法益从计算机信息系统安全转向数据本身安全,只是在数据犯罪的法益中平移了一个概念位阶更高、涵摄力更强的技术性概念,并没有改变数据犯罪法益的技术性特征。因而,无论是以“计算机信息系统安全”抑或“数据本身安全”作为数据犯罪的法益,二者都遵循着相同的逻辑,将技术性特征平移至法律领域,依然无法消解由技术问题引发的规范评价问题。
(二)数据犯罪法益技术平移的悖论
将技术性特征平移为法益的内容,并非所谓的从技术性向本体性的回归,而是对法益本体性的背离,使法益丧失了立法批判功能和指导构成要件的解释功能,在刑事法治与网络技术之间形成难以调和的悖论。
1.技术性法益导致数据犯罪认定的概念化和碎片化。虽然对数据犯罪的理解和认定无法回避数据技术,但如果直接将数据技术平移为数据犯罪的法益,那么必然使数据犯罪的法益亦步亦趋于日新月异的数据技术且丧失本体功能。在计算机信息系统时代,数据犯罪基本上是以静态数据为攻击对象,且由于司法实务工作人员基本上不了解技术性较强的术语,司法解释和立法解释专注于定义和解释技术性用语或许是符合现实要求的。但随着数据由静态化向动态化和信息化的转变,通过扩张定义和解释技术用语的范围来扩容数据犯罪的法益,必然使得抽象化或类型化的法益概念化,并丧失应有的包容力和涵摄力。
例如,从《计算机信息系统安全解释》到《网络诽谤解释》,通过不断扩大计算机信息系统的定义范围来扩容计算机信息系统安全的涵摄力,将抽象化或类型化的法益概念化和碎片化,导致法益与构成要件的逻辑错位,即不是通过法益来指导构成要件中技术性概念的扩张解释,而是通过对技术性概念的扩张解释来实现法益内容的扩充。在大数据时代,司法解释和立法解释虽然没有通过定义数据的方法来扩容数据犯罪的法益,但直接以概念位阶更高的数据本身作为数据犯罪的法益内容,依然是技术平移方法的运用。通过技术平移方法确立数据犯罪的法益,实质上是试图用代码来实现对数据秩序的权利设计或利益分配,强调“代码就是法律”或者“法律就是代码”,进而实现以中立性的技术手段来解决因技术问题而引发的刑法评价问题。因而,以数据本身安全作为数据犯罪的法益依然沿袭着计算机信息系统时代的技术思维模式,是技术决定论在刑法规范中的延续,将本体论的法益问题降维为纯粹的技术问题,倡导对法益的工具性解释而非价值属性的反思和建构,难以应对因技术革新而产生的新型数据犯罪,使得对数据犯罪的刑法规制呈现碎片化态势。
2.技术性法益会导致对数据犯罪的解释丧失其应有的教义学功能。网络或数据技术的不断革新必然促成技术用语的膨胀以及数据犯罪内含和外延的变化。在数据犯罪的技术法益中,法益仅仅是技术的替代物和傀儡,无法承担起批判刑法立法和解释犯罪的教义学功能。例如,有学者主张以技术法益(数据本身安全)为核心,在传统刑法之外建构起一个自成一体的“网络刑法”。但是,一方面,“对于刑法教义学而言,没有理由去适应这种用语的膨胀,将教义学问题与肯定在短期之内被淘汰的技术细节挂钩,是一种难以接受的做法。不久以后,对数据网络的使用就会变得特别常见,以至于它的技术维度将被转向幕后,我们今天对电话或广播的使用就已经呈现出这种情形。对网络犯罪的刑法规制,并不在于创制一种具有独特语言、基础或规则的特殊教义学,而在于将已经被证明有效的教义学框架前后一致地、以满足法治国家(如明确性、事后可验证性)的方式充分适用到新的问题上。”另一方面,以技术的革新确定数据犯罪的法益原本就是自相矛盾的。数据本身是通过电信号以及对应的字节(0、1组合)组成的比特流,具有工具中立性的特点且没有任何目的,是一种价值中立的物理性事实。数据本身不服从任何脱离代码的人为干预,只服从于技术(代码)规则,但这并不意味着通过技术(代码)规则就可以规制数据犯罪。因为对数据犯罪行为的刑法规制须着眼于调控和规制人类的行为,以达到建立良性网络秩序的目的。故而,通过技术规则规制数据犯罪不仅会造成网络世界弱肉强食的混乱局面,而且忽视了国家和社会对数据犯罪行为的否定性评价,淡化了数据犯罪行为的违法性和应受谴责性。
法益是以目的为中心来确定刑法处罚范围的实质根据,是作为接纳不同价值的容器而存在的,有不断被重新解读的可能和空间。借助以目的为中心的法益“这一与评价主体的价值偏好紧密相关的因素,外部环境的需求得以通过目的的调整而完成沟通的过程。在目的的内容完成调适之后,外部的刑事政策诉求便被传递到体系之内。”在刑事立法上确保国家动用刑罚具有正当化的根据并划定刑罚处罚的界限,在刑事司法上指导着犯罪构成要件的解释并划定犯罪的边界。简言之,法益通过对事实的目的设定来保障个人自由的发展和基本权利的实现,以及建立在这种目的观念基础上的国家制度的功能运转所必要的现实存在或者目的设定。以中立性的技术标准来确定法益的内容,不仅立法上会将以数据为侵害对象的所有行为都认定为犯罪,使法益丧失了作为检验罪刑条文合法性的实质根据,而且会将具有决定性意义的法益(目的)完全等同于数据本身,使其无法与具体的法益发生直接关联,进而丧失了指导具体构成要件解释的方法论意义。因此,中立性的数据本身与评价性的数据犯罪的法益之间原本就是相互矛盾的,将技术问题完全等同于由技术引发的规范评价问题,最终难以发挥对数据犯罪的立法批判功能和解释功能。
3.技术性法益会导致数据犯罪中法益侵害判断的间接性和主观性。有学者认为,将数据本身安全作为保护法益实际上是将数据犯罪的法益保护阶段前置,形成对数据本身、数据信息的分级保护机制。在大数据时代确立数据犯罪法益的分级保护确实有利于形成完整的体系保护。然而,法益保护的前置并不意味着将法益从本体阶段提前至中立的事实性、技术性阶段。在刑法中法益保护的前置实际上是对法益侵害阶段的前置。例如,《刑法修正案(八)》将生产、销售假药罪中规定的“生产、销售假药,足以危害人体健康的”修正为“生产、销售假药的”,使生产、销售假药罪由具体危险犯变为抽象危险犯,以实现法益保护阶段的前置;再如,在刑法上将某些犯罪中的预备行为、帮助行为提升为实行行为并规定为独立的犯罪,以实现法益保护阶段的前置。因此,法益保护的前置依然是对同一保护法益的阶段性前置,并不意味着法益可以超越其本体阶段而直接前置至技术性、事实性阶段。将数据犯罪的法益前置至数据本体是一种逻辑混乱或错位的表现,会切断侵害法益的不法行为与不法结果之间的直接因果性。
一般而言,只有直接具有建构不法功能的因素才与法益侵害存在因果性。例如,在财产犯罪中,财产数额多少与侵害财产的程度具有客观的、直接的因果性。然而,在将数据本身安全作为法益保护的场合,只能用中立技术本身来评价是否侵害法益以及侵害法益的程度。如后所述,由于中立技术本身与侵害法益以及侵害法益的程度缺乏规范连接点,不具有直接建构不法的功能,因而,在针对中立技术本身实施的行为与法益侵害结果之间是无法建立起规范意义上的因果性的。例如,在涉枪类犯罪中,虽然枪支的口径等技术标准与是否侵害法益以及侵害法益的程度之间存在相关性,但之所以不能直接以枪支的技术标准(如枪支的口径)来判定刑法上的枪支,是因为枪支的技术本身不具有直接建构不法的功能,涉枪类犯罪是否会威胁或侵害他人生命或身体健康,取决于枪支本身是否具有致人死伤的杀伤力。然而,在数据犯罪中,是否侵害法益以及侵害法益的程度,通常直接以技术性的访问程度、数据处理模式等与技术有关的基础性材料作为判定标准。近年来的司法解释在传统犯罪定罪量刑标准的基础上植入许多技术性的内容,如“系统”“信息”的数量,“程序”“工具”的种数,“实际被点击次数”“下载量”“系统和信息”的时长等已逐渐成为判断数据犯罪法益是否遭受侵害及侵害程度的主要标准。例如,在《网络诽谤解释》中将网络诽谤信息的次数、浏览次数、转发次数等作为入罪的标准,实际上是将技术性标准直接作为具有建构不法功能的因素,并试图在技术性判断材料与法益侵害(人格权或名誉权)之间建立起直接的因果性。然而,事实上,信息的点击次数等技术性因素与人格权或名誉权遭受侵害之间只具有相关性而非直接的因果性,且这种相关性更多是通过评价者的主观评价所建立起来的主观联系。例如,在“快播案”中,法官认为,“快播公司建立自己的‘仓库’,即缓存服务器;它决定‘仓库’放什么‘货物’”;“决定‘仓库’向用户提供‘货物’的条件和方式”。事实上,这种隐喻的评价模式是建立在主观评价基础上的,只能说明在中立技术行为与法益侵害之间存在相关性,而无法说明存在直接的因果性。
4.以技术法益判断法益侵害存在滞后性和局限性。技术法益的初衷是为了确保数据犯罪的法益与技术的革新保持同步,但由于技术法益的核心要素是科学技术本身,使相对稳定的静态法益往往滞后于动态的技术进步,让“法律和公正被新科技远远地抛在后面”。例如,在以计算机信息系统为攻击对象的数据犯罪中,以“计算机信息系统安全”作为保护法益,关注的是计算机信息系统的技术代际特征,也即计算机信息系统内部静态的内存数据和应用程序的安全,难以解释和应对围绕着数据处理而形成的数据犯罪。同样,以数据本身安全作为数据犯罪的法益,“不仅表达了现代技术可以解决一切问题的信念,而且还表达了对人类未来生活样式、存在意义的理解”。其依然会落后于数字技术的革新与发展。在面临因技术的革新而产生的新型案件时,解释者就可能会超出技术法益所能涵摄的范围进行类推解释,并冠名“同时代解释”或“与时俱进解释”,导致对案件的认定偏离不法本质。例如,在前述的微信外挂软件案中,肯定的观点就是通过扩大计算机信息系统的范围并将微信终端纳入其中,进而达到扩大计算机信息系统安全的目的,认定微信外挂软件增加了微信的功能,本质上干扰了微信软件原先的信息系统,构成破坏计算机信息系统罪。然而,本案的核心并不在于微信终端是否属于计算机信息系统,而在于修改微信程序行为是否侵害了他人从知识产权中形成的商业利益。同样,即使将数据本身安全作为数据犯罪的保护法益,依然会导致对该案的评价偏离不法本质。再如,在网络爬虫案中,2016年至2017年,张某、宋某、侯某作为被告单位上海晟品网络科技有限公司主管人员,共谋采用网络爬虫技术抓取被害单位北京字节跳动网络技术有限公司服务器中存储的公开视频数据,并由侯某指使被告人郭某破解北京字节跳动网络技术有限公司的反爬虫措施,实施视频数据抓取行为,造成被害单位损失技术服务费人民币2万元。法院认为,该案构成了非法获取计算机信息系统数据罪。审理本案的主审法官之所以认为本案构成非法获取计算机信息系统数据罪,是因为被爬取的数据虽然属于公开数据,但加工视频过程中冗余的计算机语言、代码却是保密的,因而被告单位侵害了数据本身安全中保密性这一法益。然而,如后所述,将数据本身的保密性平移为数据犯罪的保护法益,混淆了数据信息的载体(数据本身)与数据信息之间的关系,数据的价值不在于数据本身而在于数据所承载的个人信息、商业利益等。在本案中,被告单位的行为是否侵害法益在于被害单位的商业利益而非数据本身是否遭受侵害。在目前的罪名体系中,需要判断的是被害单位对公开的视频数据是否享有著作权或商业秘密等商业利益。就本案而言,虽然被害单位对存储在服务器中的公开视频数据是否存在著作权或商业秘密等知识产权还值得进一步讨论,但就被害单位的损失而言并未达到入罪的要求。因而,认定被告单位构成非法获取计算机信息系统数据罪偏离了不法本质。
三、数据犯罪法益的功能回归及内涵
尽管法律文字不变,但作为“意义概念”或“功能性概念”的法益既不是固定不变的,也不是单纯从抽象概念中得出的,“而是更多从其意义,从法律所拟规范的生活事实的‘本质’中得出”,并又向着拟规范的生活事实自我开放。大数据时代围绕着数据处理形成的数据犯罪,其法益应立足于刑法的社会功能并以数据为中心,将其定位于社会存在并以此为“桥梁”来实现刑法体系与外部环境的互动,不仅强调刑法体系应遵循自身的运行逻辑,而且还要强化刑法回应社会环境变迁的能力。故此,以数据为中心建构数据犯罪的法益,并不是以数据本身为中心,而是以数据的本质属性即信息为中心来建构,使其在面向拟规范生活事实开放的同时,又必须符合刑法规范自身的运行逻辑,有效避免技术法益与社会生活的疏离。
(一)数据犯罪法益的本质:数据所表征的信息
技术革新引发数据犯罪的迭代升级,并形成了以围绕着数据处理为中心的数据犯罪体系。数据犯罪的法益也应以数据为中心来建构。但如前所述,数据技术本质上仍然是一种技术,直接将以0和1表示的二进制数据技术平移为本体论意义上的法益,只是在数据犯罪的法益中平移了一个概念位阶更高、涵摄力更强的技术性概念,虽然其在一定程度上能够克服“计算机信息系统安全”适应性不足的弊端,但其并没有改变数据犯罪法益的技术性特征,不能克服技术法益存在的悖论和不足。因而,以数据为中心来建构数据犯罪的法益,并不意味着应当以数据本身为中心来建构,而是应当以数据本身所表征的数据信息为中心来建构。
在法律上“作为信息数字化的形式,电子数据通常与电子信息具有共同的意义,即信息通过数据形式生成、传输和储存,控制数据即掌握了相关信息,在这个意义上数据和信息具有天然的共生性和一致性”。因而在法律上意义上,无论是采用数据抑或信息的表述,其实质上都是指信息,以0和1的二进制单元定义的数据本身并不具有任何法律意义。例如,欧盟的《通用数据保护条例》以及德国的《联邦数据保护法》中所规定的“个人数据”,实际上都是指作为权利客体的信息。但近年来,由于受信息学和计算机科学等学科的影响,法学界也主张对数据和信息进行区分,认为数据本身具有独立的保护价值,应将数据犯罪的法益提前到数据本身的阶段予以保护。例如,有学者认为,德国2007年“为打击计算机犯罪的《刑法》第41修正案”中规定的窥探数据罪、拦截数据罪、预备窥探和拦截数据罪以及变更数据罪中的“数据”是指“数据本身”,而非信息。这些犯罪不仅危害了新的法益(数据本身安全),而且还是实施其他犯罪的基本技术手段或基本犯罪类型。晚近以来,我国刑法理论上也开始主张应将数据本身安全作为独立的新型法益加以保护,并得到部分司法实务者的认同,进而在数据犯罪中形成了数据本身安全和数据信息安全两种法益类型。然而,由于法益是一种功能性或意义性的概念,其是“对于个人自由的发展、基本权利的实现和建立在这种目标观念基础上的国家制度的功能运转所必要的现实存在或者目的设定”,有别于具体的行为客体。以数据为中心建构数据犯罪的法益仍应着眼于其应有功能的彰显,有必要对数据本身和数据信息进行明确区分。然而,这一区分目的并不是为了将数据本身安全也纳入数据犯罪法益的保护范围,而是为了实现数据犯罪法益的功能回归。
从技术属性角度而言,计算机信息系统时代的“数据”与日本和我国台湾地区的“电磁记录”一样,都是以电脑系统为操作载体、存储于计算机系统内部静态的、特定类型的数据库。在大数据时代,虽然数据的量已经进入“PB(拍字节)时代”,数据不需要传统的数据库表格来整齐排列,几乎可以无所不容地记录、存储、计算各种规则的结构化数据和不规则的非结构化数据,并形成了一个数据化的世界。但无论是计算机信息系统时代还是大数据时代的数据,其均是用0和1两个二进制代码来表示的网络世界的基础语言。这种数据化的数据技术将社会生活都转化为可量化的二进制代码(社会数据化),“所有决策活动对经验与直觉的依赖将逐渐减少,而对数据与分析的倚重将与日俱增”。由于这种数据化判断较为直观、简单,司法人员更容易接受以数据的技术属性作为入罪的标准,进而孵化出了犯罪治理的数据决定论或技术决定论,并以数据化的技术思维研判社会风险和解决规范评价问题。
然而,作为网络世界基础语言的数据,虽然与其他语言的表现形式不同,但与其他语言一样,都需要回溯到某个内在之物来说明其表达的意义和本质。在事物与语言之间,只有事物进入到语言中,事物的意义和本质才能得到规定和表现,因而,语言把我们带向事物的本质。伽达默尔指出,虽然对“事物的本质”的理解是通过“事物的语言”得以保证的,二者在某种意义上说的是同一件事,但语言只是事物本质(原型)的载体(摹本),原型是第一性的东西,摹本是第二性的东西,原型优于摹本。故而,事物的本质才是“一种界限,用来限制那些颁布法律的立法者的专横意志和对法律所作的解释。求助于事物本质就是转向与人的意志无关的秩序。它企图确保生动的司法精神优于法律文字。”同样,作为网络世界语言的数据本身(载体)并不具有独立价值,数据的意义和本质需要回溯到数据本身所承载的信息来予以说明。因而,以数据为中心建构作为数据犯罪本质的法益就不应着眼于数据本身而应着眼于数据所承载的信息。例如,源于欧洲《网络犯罪公约》,在德国刑法上规定的数据犯罪(CIA犯罪)中,其保护的并非数据本身,而是数据可能涉及私生活之秘密、知识产权之秘密等各种具体的利益。在大多数情况下数据犯罪所侵害的依然是传统法益(如个人权利、知识产权等不同内容),只是侵害的手段和方法是新的而已。对数据本身的风险采用刑法评价会面临着刑法过度规制的危险,对其采取技术规制可能会比采用刑法制裁更好。又如,我国《刑法》第258条规定的非法侵入计算机信息系统罪,虽然其基本的行为手段是对数据的支配权限的非法侵入(非法访问),但立法上将处理数据的信息系统限制为“国家事务、国防建设、尖端科学技术领域”,这也说明非法侵入计算机信息系统罪的保护法益并非技术层面的数据、网络信息系统安全,而是具有重要价值且事关国家利益的数据信息安全。
事实上,“什么样的利益上升为刑法所保护的法益,取决于刑事立法者的选择,但刑事立法者不能随心所欲地决定。从法律上来说,刑事立法者的选择必须具有宪法上的根据。”因为,刑法上的法益并非先于宪法而存在的,“除了宪法规范外,法律体系中也不再存在对刑事立法的实质内容加以限制的实定法规范”。故而,真正刑法上所保护的数据犯罪的法益不可能脱离宪法而独立存在,须以宪法上所明确保护的利益为归宿,并以此确定刑法保护法益范围的合法性,明确刑事可罚性和刑事需罚性的标准。在法律上,数据的价值并不在于数据本身,而在于数据所承载的信息内容。因为,用0和1的二进制代码表示的数据本身这种中立性事实无法与宪法上所确定的利益产生直接关联,只有数据所表征的信息内容才能与宪法所确定的利益形成规范连接点,其不仅与人身安全、人格尊严等人的基本权利直接关联,而且与公共利益、公共安全、国家安全等重大利益直接关联。因而,只有数据所表征的信息内容遭受侵害才可能具有用刑法加以规制的合法性和必要性。而作为信息学和计算机科学意义上的二进制代码的数据本身,其能否被规制则取决于网络空间中数据本身能否被改变,其只能遵循代码空间的生成逻辑和自身的运行规律。例如,在区块链系统中的数据保护是由网络中的数据节点共同维护的,采用加密技术来保护数据就需要通过多方计算、盲签名、环签名及零知识证明等密码学技术构造去中心化的匿名系统。刑法作为保护法益的最后手段,其只保护那些遭受严重侵害且值得用刑法加以保护的法益。如果数据本身需要用刑法加以保护,那么也只能通过数据本身所表征的数据信息并具体化为刑法上的具体法益后方能得到保护。
在数据犯罪中,如果将中立的数据本身直接平移为数据犯罪的保护法益,那么还会在方法论和本体论上遭遇危机。在方法论上,数据本身实际上仅是对数据犯罪实然状况的描述,其从数据犯罪的实然状况出发后又回到数据犯罪的实然状况,必然陷入循环论证的窠臼中,不可能在数据犯罪的实然状况与规范评价之间搭建起沟通的“桥梁”,因而也就无法为数据犯罪的立法和解释提供一个规范的标准。在本体论上,将中立性的数据本身平移为数据犯罪的法益,必然抽空了数据犯罪法益赖以存在的价值属性和目的追求,将行为对象等同于保护客体,使法益变成了客观具体化的事实,丧失了面向事实所应具有的开放功能,进而也就丧失了法益原则的本体论价值。因此,数据犯罪的法益只能是数据所表征的信息,在数据犯罪法益的建构中区分数据本身和数据信息,明确数据犯罪法益保护的是数据信息而非数据本身,不仅是社会治理系统功能分化的使然,而且是为了在大数据时代通过数据风险的治理举措实现“让法律的归法律,让科学的归科学”的必然。
(二)数据犯罪法益的具体化:以个人信息为例
如前所述,数据本身并不能承担起建构数据犯罪法益的功能,数据犯罪的法益应以数据所表征的信息为中心来建构。然而,在刑法中对数据信息是专门保护抑或还原到具体法益中加以保护,人们的认识存在分歧。有观点认为数据犯罪的法益是一种新型法益,有必要专门制定一部统一的“信息刑法”,或者在刑法中采用专章的立法来规制数据犯罪,以专门保护数据信息安全。笔者认为,我国没有必要通过制定单行刑法或者采用专章的方式来规制数据犯罪。在刑法体系中,数据所表征的信息并不是一种独立存在的法益类型,只是对数据犯罪法益的抽象性或者一般性规定,在经验上难以成为一种可具体把握的实体。事实上,数据犯罪所侵害的法益不仅涉及个人法益,也涉及社会法益、国家法益等公共法益,并不具有制定单行刑法或专章的基础,因为单行刑法或专章是为专门保护某类特殊法益而制定的,然而数据信息由于其流动和分享的特点,其涉及的法益并不属于某类特殊法益类型,而是各种不同具体法益的集合体。如果直接将抽象性的信息安全作为数据犯罪的法益,那么也难以以此确定数据犯罪的具体处罚范围。例如,《刑法》第287条第1款规定的非法利用信息网络罪,如果将其法益抽象为信息安全,那么就会导致发布如销售毒品、枪支等犯罪信息与销售其他管制物品等一般违法信息的行为,受到相同的处罚。因而,在以数据所表征的信息为数据犯罪的法益时,只有将信息安全这一抽象法益还原为可以具体把握的公民个人的利益、公共利益、公共安全和国家安全等具体利益,才能使数据犯罪法益的立法批判功能和解释功能得以彰显。
大数据时代的数据信息越来越个人化和个性化,在个人数据信息被收集、存储和处理后,根据人的行为模式并利用数据挖掘技术可以预测、量化和配送个性化的信息,进而能产生巨大经济利益。在巨大经济利益的驱使下,围绕着个人信息收集、存储和处理已经形成了分工合作、彼此依赖、利益共享的黑色产业链。因而大数据处理经常被等同于对个人数据信息的处理,由大数据引发的法律问题也主要是围绕着对个人基本权利和自由的侵害以及保护的问题展开。进入大数据时代以来,之所以全球范围内将个人信息的保护作为数据立法的核心,是因为在大数据时代个人信息直接事关公民切身利益的“小数据”安全问题,以及由此衍生出来的其他安全问题。例如,随着大数据技术的运用,大量的个人信息被泄露、非法获取和滥用,不仅使信息主体丧失了对信息的自我控制能力,而且也可能导致公民的个人隐私、人格尊严、自由等遭受严重侵害,还可能导致对个人信息的侵害延伸至知识产权乃至公共安全和国家安全等领域。故而,侵犯公民个人信息行为所侵害的法益具有集合性和多样性的特点。
以侵害个人信息安全的实践样态为例,我国相关法律、司法解释并未将个人信息确定为某一种具体的利益,而是根据具体信息内容来确定具体的保护法益,以此判定侵犯个人信息行为是否具有不法属性。故此,立法上才需要将侵犯个人信息行为分别规定为不同的犯罪并给予不同的刑罚处罚。例如,2000年12月28日全国人大常委会《关于维护互联网安全的决定》首次将个人信息安全纳入刑法保护的范围,其中第4条规定:“非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密”可构成侵犯通讯自由罪,个人信息所指向的具体法益是公民的通讯自由;2005年《刑法修正案(五)》增设的“窃取、收买、非法提供信用卡信息罪”,个人信息所指向的具体法益是金融管理秩序;2009年《刑法修正案(七)》增设的“侵犯公民个人信息罪”,个人信息所指向的具体法益是公民个人的人格尊严。再如,2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息解释》)将“公民个人信息”具体化为公民的通讯信息、征信信息、财产信息、健康生理信息、基因信息、交易信息等影响人身安全、财产安全的具体信息。
从立法设置上来看,尽管我国立法和相关司法解释已经将个人信息安全具体化为各种不同的具体利益,比较全面地保护了个人信息安全,却依然存在值得商榷之处。其一,目前对个人信息的保护往往被国家法益和社会法益所超越,对个人信息的保护“只有在不影响科技产业与数据经济的发展,不危及社会秩序稳定的前提下,才有可能得到有限度的法律保护”。例如,在窃取、收买、非法提供信用卡信息罪中,他人的信用卡信息当然属于个人信息,但该罪却被置于破坏金融管理秩序的犯罪之中,金融管理秩序成为该罪的主要法益,个人信息(财产信息)成为次要法益。在金融管理秩序未遭受侵害的情况下,个人信息未必能得到保护。再如,非法侵入计算机信息系统罪仅对国家安全等公共法益进行保护,直接将个人信息排除在保护范围之外。非法获取计算机信息系统数据罪与破坏计算机信息系统罪,其侵害的主要法益是公共秩序,个人信息(身份认证信息)只是判断公共秩序遭受侵害程度的资料,其只有在公共秩序得到保护的前提下才可能获得保护。其二,对个人信息的保护基本停留在对个人数据信息的收集、处理阶段(初始阶段),在侵害个人信息已经形成黑色产业链的背景下,忽视了在数据二次利用或滥用阶段(衍生阶段)对个人信息的保护。例如,在侵犯公民个人信息罪,窃取、收买、非法提供信用卡信息罪以及非法获取计算机信息系统数据罪,非法控制计算机信息系统罪中,只对“违反国家规定”非法获取(窃取)、出售、提供等方式侵害个人信息的行为加以规制,对个人信息的保护取决于公共利益与个人信息的法益衡量或信息主体的授权、许可或同意,忽视了数据犯罪黑色产业链中对滥用个人信息所造成严重侵害行为的规制。
四、数据犯罪法益的体系建构
数据的本质属性是数据信息,大数据时代围绕着数据处理形成的数据犯罪,应以数据信息为中心来建构法益,包含数据信息的保密性、可用性和完整性。然而,数据信息的保密性、可用性和完整性只是明确了数据信息保护的方向,不区分数据信息所体现的不同具体权益内容而将其作为独立的法益(如信息安全)予以笼统的保护,不仅会使其涵摄的内容包罗万象,而且也会使其丧失了对刑事立法的批判功能以及对构成要件解释的指导功能,还可能会切断其与具体的侵害结果之间的规范连接。在大数据时代,数据信息既是个人的生活资源,也是国家和商业的战略资源,立法者既要考虑公民的基本权利和基本自由的发展,也需要考虑数据技术和商业进步以及国家利益和社会利益的需要。因此,一方面以数据信息为中心建构数据犯罪的法益,其只是大数据时代的技术性变革所引发的思维和方法论的变革,而非作为事物本质存在的法益本体的转变,具体权益的内容仍需回归到法律框架中予以明确或证成;另一方面,以数据信息为中心建构数据犯罪的法益,其实际上是以动态的数据信息为思考的出发点,进而对数据信息形成一个完整的保护体系,避免产生不必要的处罚漏洞。
(一)数据信息的纵向保护及调整
如前所述,以数据信息为中心建构数据犯罪的法益,并不意味着数据信息是一种独立存在的法益类型,而是需要将其还原为可以具体把握的公民个人的利益、公共利益、公共安全和国家安全等具体利益,才能彰显其立法批判功能和解释功能。例如,以数据信息的保密性为主线,目前我国刑法已形成了以侵犯公民个人信息罪,侵犯商业秘密罪,非法获取计算机信息系统数据罪,非法获取国家秘密罪,为境外窃取、刺探、收买、非法提供国家秘密、情报罪,故意泄露国家秘密罪,过失泄露国家秘密罪,非法获取军事秘密罪等罪名体系,基本上涵盖了个人法益、市场经济秩序、社会管理秩序以及国家利益等各种不同层次的重要法益,形成了一个以数据信息的保密性为主线且涵盖各种不同层次法益的纵向保护体系。在这种纵向保护体系中,《刑法修正案(七)》增设侵犯公民个人信息罪、《刑法修正案(九)》提升法定刑,使个人法益(人格权)、市场经济秩序、社会管理秩序获得了同等重要的保护地位。
大数据时代既要强化对数据信息的保护,也要注重数据信息的流动与分享,以促进数据产业和数据经济的发展。例如,对个人数据信息的人格权保护的强度和范围就直接关系着对数据信息所涉及其他不同层次法益的保护强度和范围,进而直接影响着数据信息的流动与分享。然而,虽然目前我国刑法强化了对个人数据信息的保护,但要实现“促进个人信息的合理利用与保护个人信息是同等重要的立法追求”,我国刑法依然存在较大的调整空间。笔者认为,数据信息应作为何种法益予以保护,需要以数据信息是否具有建构相关的不法功能为根据进行调整,明确侵害数据信息的不法行为与不法结果之间的因果性而非相关性,以实现对数据信息保护的功能回归。
侵犯公民个人数据信息之所以能以侵犯公民个人信息罪论处,其核心在于个人对数据信息享有人格权。然而,公民对哪些数据信息享有人格权,在我国刑法及相关法律中往往以“可识别性”作为确定个人数据信息人格权保护的范围。其中,“可识别性”包括能够直接确定特定个人信息的“直接识别”和与个人相关信息的“间接识别”。在大数据背景下,通过数据挖掘、分析和重组等技术,利用与个人相关的信息仍然可以识别到特定的个人。因而,以“可识别性”确定个人数据信息的人格权保护范围,会将几乎所有与公民存在关联性或相关性的个人信息都纳入人格权范围予以保护,导致其外延极其宽泛,并不足以说明个人对数据信息享有人格权等基本权利或支配利益。笔者认为,只有对个人数据信息的收集、处理和使用的行为具有直接侵害人格权的不法功能时,才能将其作为侵犯公民个人信息罪的对象予以规制,如非法收集、处理和使用个人私生活信息、通讯信息、财务信息、健康生理信息、医疗信息、基因信息、生物信息等敏感信息,会直接导致人格权遭受侵害,因而其具有建构侵害人格权的不法功能。例如,2017年最高人民法院、最高人民检察院颁布的《侵犯公民个人信息解释》虽然是以个人数据信息的“可识别性(包括直接识别和间接识别)”来确定侵犯公民个人信息罪的保护范围,但在确定具体入罪标准的“情节严重”时,其具体列举却是征信信息、财产信息等“敏感信息”。近年来,域外国家在确定个人数据信息的人格权保护范围时,将个人数据信息分为敏感信息和一般信息已成为共识。只有敏感信息才与人格权遭受侵害直接相关,对其应采取更为严格的保护措施,并赋予信息主体控制权,对其收集、处理和使用必须征得信息主体的同意。之所以如此,是因为“敏感信息”具有高度的私密性,对其公开或非法利用会直接对个人的名誉或尊严等人格权造成重大影响,对其非法收集、处理和使用具有直接建构不法的功能,会直接导致人格权遭受侵害。因此,在立法或司法解释确定个人数据信息的人格权保护时,应以敏感信息为中心予以建构或类型化,确保不法行为与不法结果之间具有直接的因果性。
敏感信息以外的一般信息,由于敏感度低、价值密度低,对其进行收集、处理、使用的行为并不会直接侵害人格权。换言之,一般信息并不具有直接建构侵害人格权的不法功能,不应由信息主体控制,而应当允许数据企业或经营者对其收集和利用。在大数据背景下,数据企业或经营者收集或利用数据信息的内在驱动力在于利用数据信息所能产生的利益;但由于这种数据信息敏感度和价值密度低,数据企业或经营者必须通过利用数据技术挖掘、分析和重组后才可能形成真正的利益或价值。因而,敏感信息以外的一般信息的价值虽然源于初始数据,但其最终价值的形成却是数据企业或经营者通过技术投入再发现或再创造的价值。这种数据信息应由数据企业或数据经营者控制,一旦由他人通过某种途径获取,便丧失了商业价值,并直接导致数据企业或数据经营者的经济损失。在这种情况下,数据企业或经营者也就成为控制数据信息的重要利益主体,其在动态的利益配置中获得能产生商业利益的数据信息的经营权和资产权,并成为数据企业或经营者参与市场经济活动运行和发展的关键要素。事实上,我国刑法对侵犯公民个人信息罪与侵犯商业秘密罪设置相同的入罪情节(情节严重和情节特别严重)和法定刑(3年以下有期徒刑或者拘役,并处或者单处罚金;3年以上7年以下有期徒刑,并处罚金),将具有人格权的数据信息和具有商业价值但不为公众所知悉的数据信息置于同等重要的保护地位,实际上也说明数据企业或经营者在数据信息的收集、处理和利用的过程中所获得的不为公众所知悉的商业秘密不能纳入人格权的范围内予以保护,而应当独立保护。不过,在以数据信息的保密性为主线的罪名体系中,侵犯商业秘密罪所保护的商业利益仅限于不为公众所知悉的商业秘密,导致为公众所知悉且具有商业价值的数据信息可能得不到刑法保护。例如,在前述的网络爬虫案中,公开的视频数据信息是为公众所知悉的,认定为以数据信息保密性为主线的侵犯商业秘密罪抑或非法获取计算机信息系统罪,均可能偏离其不法本质。对于为公众所知悉且具有商业价值的数据信息,如果需要通过刑法予以保护,那么其关键就不在于数据信息的秘密性,而在于数据信息的可用性。鉴于此,就需要考虑被害单位对公开的数据信息是否具有如著作权一样的知识产权。笔者认为,公开的视频数据信息虽然其信息内容为公众所知悉,但其属于无形的信息,具有无形性、可复制性和排他性等特征,被害单位所享有的不是对数据信息本身的控制权,而是对公开视频数据信息的经济利用或流通中所享有的独占或垄断权。因而,对于侵害公开数据信息的行为,如果其符合侵犯著作权罪的构成要件,那么应将其认定为侵犯著作权罪。
以数据信息所具有的不法功能为根据,还可以进一步明确不同犯罪中哪些数据信息可以作为判断法益侵害程度(情节严重或情节特别严重)的资料。在我国目前保护数据信息的罪名体系中,判断法益侵害程度的材料存在大量的交叉与重叠,也导致对侵害数据信息行为的不法性质认定出现偏差。例如,在侵犯公民个人信息罪和非法获取计算机信息系统数据罪中,一方面由于二者的保护法益分别为人格权和公共管理秩序,并不存在法条竞合关系;另一方面又由于立法上对二者设置了相同的入罪门槛(情节严重)和法定刑,认定二者是想象竞合也没有任何实际意义。由此可见,侵犯公民个人信息罪与非法获取计算机信息系统数据罪是同等重要且互不交叉的独立犯罪类型。但由于司法解释将个人的敏感信息同时作为认定两罪“情节严重”的标准之一,因而,在侵害敏感信息的场合,就可能会导致裁判者随意认定犯罪并最终导致犯罪定性的不准确。因此,为了避免犯罪认定的偏差,司法解释应当将具有建构侵害人格权不法功能的敏感信息统一纳入侵犯公民个人信息罪的范围予以保护。
(二)数据信息的横向保护及重心的调整
大数据时代数据信息的流动和共享特点,不仅决定了在数据信息流动的各环节和各阶段都产生法益保护的需求,而且也会使得法益保护的重心发生阶段性转移。在数据发展的初期,由于数据信息的静态性和内容的单一性,国内外的立法均将数据信息尤其是个人数据信息赋予人格权或财产权(对世权),进而赋予信息主体对数据信息的控制权。在刑法立法上将对数据信息的保护重心集中于收集、处理数据信息的获取(初始)阶段。例如,在侵犯公民个人信息罪、非法获取计算机信息系统数据罪、非法获取国家秘密罪和非法获取军事秘密罪等犯罪中,虽然这些犯罪在纵向上完整覆盖了各种不同层级的法益,但其对法益保护的阶段重心依然在数据信息的非法获取、非法提供、非法处理等使用前的初始阶段。然而,在大数据时代将数据犯罪法益的保护重心放在数据信息的非法获取阶段,是一种忽视数据信息流动性和共享性特点的静态思维模式,不仅使对数据信息的保护发生阶段性的错位,而且还必然会产生法益保护的漏洞。
大数据时代的利益驱动力是通过收集有价值的信息并通过数据分析、挖掘等技术,使大数据的应用效应激增形成的。数据信息的获取、处理只是整个大数据运行的初始环节,数据的挖掘与利用成为其产生利益驱动力的关键环节,在这个意义上大数据环境也就是一种数据利用环境,利用数据信息形成的利益驱动力,决定了对数据信息保护的重心应转移至对数据信息的非法利用阶段。以侵犯公民个人信息为例,当前的理论和实务中只是将对个人信息的保护作为非法利用数据信息的前置化手段,认为非法利用个人数据信息造成的侵害是可以通过传统罪名实现全面评价的。例如,窃取他人数据信息后提供给他人用于盗窃、诈骗、敲诈勒索等行为,非法获取他人数据信息后恶意注册用于“刷单炒信”的行为,在理论和实务上往往采用传统的罪名如盗窃罪、诈骗罪、敲诈勒索罪、破坏生产经营罪以对非法利用数据信息的行为予以评价。在以网络为工具实施传统犯罪的场合,刑法未专门将非法利用数据信息侵害法益的行为予以独立规制并不会产生处罚的悖论和漏洞(更为严重的侵害行为反而不处罚)。然而,一方面,在虚拟性的网络犯罪行为中,对非法利用数据信息的行为采用传统罪名予以规制可能产生评价上的偏差。例如,在理论和实务中将窃取网络虚拟财产获利的行为按照盗窃罪论处,得出该结论的最为核心之处在于将虚拟财产解释为财产。然而这一解释路径并不是围绕着“财产”属性赖以存在的固有语境来解释的,而是以虚拟财产遭受侵害后会产生的相应经济后果或者财产损失,将虚拟财产评价为财产。如果将经济利益或财产损失作为评价财产的规范连接点,那么则意味着可能产生经济后果的行为对象都有可能被评价为财产,无疑会造成财产犯罪处罚范围的泛化。另一方面,以传统犯罪规制所有非法利用数据信息的行为,在那些具有严重法益侵害性而刑法又没有规制的场合则必然产生处罚的漏洞,反而进一步加剧了对数据信息的侵害。例如,以侵犯个人信息为起点的数据犯罪的黑色产业链中,下游行为未必都是犯罪,如非法索要债务、信息专卖等。在大数据时代这些非法利用数据信息的行为所侵害的对象往往不止一人,而是使不特定或多数人的利益遭受侵害。因而,在数据犯罪已经形成黑色产业链的背景下,不同的数据信息主体基于不同的目的实施的侵害数据信息的行为与初始的非法获取数据的行为日益分离,仅仅通过规制非法获取数据信息的行为已经难以全面有效地评价侵害数据信息的行为,甚至会将更为严重的侵害数据信息的行为从刑法规制范围中排除。为了适应大数据时代数据信息流动性和共享性的特点,在刑法上有必要增设滥用数据信息的行为,以实现对数据信息横向上的完整保护。
在刑法上只有将滥用(非法利用)数据信息的行为作为侵犯数据信息犯罪的重心,才能确保对侵犯数据信息行为的不法评价回归客观和规范的立场。一方面,只有将滥用数据信息的行为作为大数据时代数据犯罪的重心,才能在侵害行为与不法结果之间建立起直接的因果性。例如,司法解释在非法获取计算机信息系统罪中将“违法所得5000元以上或者造成经济损失1万元以上”作为“情节严重”的情形之一,则意味着非法获取数据信息的行为与经济后果(不法结果)之间具有直接的因果性。但事实上,非法获取数据信息的行为与不法结果(经济后果)之间并不存在直接的因果性,至多存在间接的相关性,或者说非法获取数据信息的行为创设了造成经济后果的风险,但经济后果(不法结果)并不是非法获取行为的现实化,而是滥用数据信息行为的现实化。因此,将经济后果作为“情节严重”的情形,其对行为评价的重心就不在于非法获取行为而在于滥用行为。另一方面,只有将滥用数据信息的行为作为评价的重心,才能实现罪责自负。在大数据时代如果将数据信息仅限于获取阶段,就需要将同意或许可作为数据流动和共享的前提条件,在责任方面,就会将责任的重心放在信息主体的自我答责上,信息从业者或信息平台的责任被弱化,反而可能加剧了对数据信息的滥用。因此,只有将滥用数据信息的行为作为评价的重心,才能让滥用数据信息的行为主体承担其应有的责任。
(本文责任编辑 何柏生 付玉明)
因篇幅限制,略去原文注释及参考文献。
编辑:寇 蓉 刘晨曦 孙禹杰
审核:马治选
签发:杨建军