夏伟 | 论数据犯罪的立法重塑
点击蓝字关注本公众号,欢迎分享本文
摘 要
关键词:数据犯罪;立法断层;司法瓶颈;数据法益;数据分类分级
刑法应当如何在平衡数据安全与数据共享中有效治理数据犯罪,这是推动以数据为关键要素的数字经济发展所难以回避的重要课题。在立法层面,随着《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)等重要法律的颁布实施以及相关行政法规、行业规范的出台,数据保护的规范体系初步成型,刑法作为前置法的保障法也进入了重塑数据犯罪的关键时期。在司法层面,侵害以数据为载体的财产法益、人格法益等私法益的刑事犯罪以及侵害国家安全、公共安全等公法益的刑事犯罪增长迅速且形态复杂多变。面对这种情况,最高人民法院与最高人民检察院积极发布指导性案例以明确类案裁判规则。但在刑事立法规则供给不足的情况下,发布指导性案例对于数据犯罪治理而言只是权宜之计。在理论层面,虽然围绕数据犯罪的治理方案、保护法益及罪名设计等已经积累了一定成果,但是在不少关键问题上理论研究仍未达成共识。比如,关于数据犯罪的罪名设计与规制对象,有学者认为应当设立危害计算机信息系统数据罪,将数据安全管理秩序确立为刑法所独立保护的法益,全面规制非法提供、利用、破坏数据的行为;也有学者主张增设规制非法使用数据行为的罪名,为“个人信息和企业或政府机构数据设置具有针对性的构成要件”;还有学者认为,应当“将违反合同协议的数据侵害行为出罪,同时将突破技术安全措施和违背事后撤销机制的数据侵害行为入罪”。此外,多数理论研究提供的方案没有充分考量不同类型的数据犯罪之间的复杂关系,这会导致新旧犯罪交织重叠,滋生竞合。同时,罪名设计也没有体现出法益指导下构成要件的犯罪个别化机能,多是概括性地以“数据法益”或“数据安全法益”模糊解释数据犯罪的保护法益,理论准备明显不足。科学的犯罪化立法需要刑法教义学为之提供充足的理论准备,“立法者事先就必须对有待规范的生活关系、对现存的规范可能性、对即将制定的规范所要加入的那个规范的整体、对即将制定的这一部分规范必然施加于其他规范领域的影响进行仔细的思考和权衡”。鉴于此,本文拟回顾数据犯罪的立法变迁,对数据犯罪的规范构造进行教义学分析,尝试为数据犯罪的立法重塑提供理论参考。
一、数据犯罪的立法断层与司法瓶颈
自1994年接入国际互联网,至今不到三十年,我国已经相继跨越了信息网络发展的三个时代,然而相伴而生的是网络犯罪的迭代共生及犯罪治理的新挑战。信息网络快速发展,已经迭代至数字经济时代,刑法却未能实现对数据法益的充分保护,这使得司法实践中法官不得不续造裁判规范。时至今日,数据犯罪的治理问题仍未得到解决,集中表现为数据犯罪的立法断层与解释瓶颈。
(一)立法代际断层与“规范空白”形成
当前,《中华人民共和国刑法》(以下简称《刑法》)中的数据犯罪主要源于前数字经济时代。相应地,对于立法未能及时跟进数字经济发展而产生的规范空缺,通常依赖传统犯罪在网络空间的更迭进化以及对犯罪构成要件的扩张性解释得以填补。在《刑法》没有增加新型数据犯罪的前提下,线下犯罪的线上转换实现了数据犯罪的范围扩张,既有规范不断被赋予数据犯罪的新内涵,数据犯罪藉由“数据”这一转换介质已经分散到财产犯罪、人身犯罪及社会秩序犯罪等各个领域。这决定了《刑法》中的数据犯罪呈现“散在分布”的特征,归纳起来主要有三种类型:
一是以数据为直接保护法益的核心犯罪(core crime)。就犯罪的规范配置而言,《刑法》中的犯罪有核心犯罪与外围犯罪之分,核心犯罪位于刑法法益及规范目的的聚焦之处,其保护的法益通常在构成要件中被直接描述。从体系化的视角审查数据犯罪,其中的核心犯罪系指法益之实体内容直接指向数据本身的犯罪。目前而言,仅有《刑法》第285条第2款规定的非法获取计算机信息系统数据罪保护的法益直接指向数据本身,其保护的数据类型为涉及计算机信息系统安全的“计算机信息系统数据”。该罪属于核心犯罪。
二是以数据为间接保护法益的关联犯罪(related crime)。关联犯罪对核心犯罪直接保护的法益进行间接保护,主要体现在规范适用层面,反映的是刑法内在的联结关系。在数字经济时代,由于数据可以广泛承载财产利益、人格利益以及公共利益等,因而不少传统犯罪通过与数据产生规范关联关系,附带保护了数据法益。这种规范关联关系表现为,数据与虚拟财产、个人信息等具体利益之间的关系是载体与内容、形式与实体的“一体两面”关系。在对数据进行利用时一定要考虑数据负载的具体利益,反过来,在保护具体利益时也要保护好作为载体的数据。刑法在制裁侵犯这些具体利益的犯罪行为时,间接保护了作为形式载体的数据。《刑法》中以数据为间接保护法益的关联犯罪,最初主要是共同维护计算机信息系统安全的非法侵入计算机信息系统罪、非法控制计算机信息系统罪、破坏计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序、工具罪,现如今已广泛存在于《刑法》第三章“破坏社会主义市场经济秩序罪”、第四章“侵犯人身权利、民主权利罪”和第五章“侵犯财产罪”等。
三是为数据提供保护屏障的外围犯罪(peripheral crime)。在某种意义上,外围犯罪是立法者基于相对不确定的理由创制的,比如风险预防、行政管制、司法效率等,因而与核心犯罪相比,“外围犯罪并没有为惩罚犯罪者的国家权力运作提供连贯合理的责任主义基础”。这也意味着,数据犯罪体系中的外围犯罪并不以数据为直接或间接保护法益,而是通过维护信息网络安全为数据提供更加宽泛的外在屏障。《中华人民共和国刑法修正案(九)》增设的拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪,均属于外围犯罪。
刑事立法所构建的“核心犯罪+关联犯罪+外围犯罪”的数据犯罪体系,总体上兼顾了数据的内核与外延,三种类型的数据犯罪具有法益保护的共通性与规范功能的互补性。在此逻辑下,依照犯罪类型与保护法益的远近关系,侵犯数据法益的行为原本应当优先适用的犯罪类型是核心犯罪,次之是关联犯罪,最后是外围犯罪。然而,由于核心犯罪及部分关联犯罪未能及时跟进数字经济发展,相关规范未得以修正完善,当下主要源于前数字经济时代的数据犯罪难以满足数字经济时代数据法益的保护需求,立法出现了明显的代际断层。
基于数据犯罪的体系性,在立法断层出现的早期,尚无增设新罪之必要,只需在既有犯罪中增添新的数据要素即可实现保护目的。换言之,此时核心犯罪的缺位可以由关联犯罪和外围犯罪补充。由此,出现了关联犯罪和外围犯罪被用于保护数据法益的阶段性现象。其中,关联犯罪因与数据所承载之具体利益存在规范关联,在规制侵犯数据法益的犯罪行为中得到了广泛适用。《刑法》中保护个人信息数据的侵犯公民个人信息罪、保护数据财产性利益的盗窃罪、保护平台商业秘密数据的侵犯商业秘密罪等,皆属此列。外围犯罪具有较为鲜明的预防性特征,能够适应数据法益保护前置化的时代趋势,在司法实践中适用频率较高。以帮助信息网络犯罪活动罪为例,2020年全国各级法院审理帮助信息网络犯罪活动罪案件的数量较上一年度激增34倍,2021年审理案件的数量再增17倍,其中大部分案件都涉及到数据财产法益的刑法保护。
不过,这种体系性补充只是权宜之计。无论是关联犯罪,还是外围犯罪,都不是直接保护数据法益本身的犯罪类型,不可能完全填补核心犯罪的缺位,同时随着数字经济发展,这种体系性补充可能会进一步演化为“规范空白”。刑法法益是历史性范畴,“随着社会的发展变化,原本不被认为是利益或者原本不会被侵害的利益,现在却是重要利益并且受到了严重侵害……越是受到普遍侵害的利益,当然越需要刑法保护”。进入数字经济时代,数据被赋予了关键生产要素的重要地位,一些具有重要价值的数据不仅关乎个人的人格和财产,而且涉及到国家安全和公共利益,若不加以妥善保护,势必影响数字经济的发展。因此,在立法层面,《中华人民共和国刑法修正案(十一)》在《刑法》第334条中增设了非法采集人类遗传资源、走私人类遗传资源材料罪,将种族基因数据等关乎生物安全的人类遗传资源纳入保护范围,同时修改了《刑法》第217条所规定的侵犯著作权罪,针对短视频、自媒体文章等作品强化了数字知识产权的刑法保护。然而,非法采集人类遗传资源、走私人类遗传资源材料罪和侵犯著作权罪在数据犯罪体系中仍属于关联犯罪,两者并非以数据作为独立的、直接的保护法益,因而此种增设新罪、扩容旧罪的方式只能无限缩小规范空白,不可能完全解决核心犯罪缺位所带来的规范空白问题。
当前数据犯罪的规范空白主要体现在两方面:一是由于刑事立法中核心犯罪缺位,一些应当被纳入刑法保护的重要数据类型不在被保护之列。例如,对于重要物资储备数据、宏观经济统计数据等属于公法益范畴的数据,《数据安全法》第21条将此类数据列为比个人信息数据具有更高受保护性的“重要数据”与“核心数据”,并予以着重保护,但《刑法》未将这些数据纳入核心犯罪所直接保护的法益范畴。从预防犯罪的角度看,尽管危害国家安全罪、危害公共安全罪和妨害社会秩序罪等内含着对上述重要数据的保护,但这些关联犯罪与外围犯罪的适用,往往要求侵害行为侵犯了数据所承载的具体利益,此时关乎国家安全、公共利益的重要数据已被泄露,刑法难以发挥对重要数据法益的预防性保护功能。二是在已经被刑法保护的数据类型中,原本应当由刑法规制的非法处理数据行为未被纳入全流程规制范围,存在处罚空隙。例如,《刑法》第253条之一就侵犯公民个人信息罪的行为类型仅规定了非法获取行为、非法提供行为、非法出售行为,其中,非法获取行为指向前端的个人信息数据流入行为,非法提供行为与非法出售行为指向末端的个人信息数据流出行为,而中端的个人信息使用行为不在被规制之列,对个人信息数据进行删、改、增等破坏数据完整性的行为不属于侵犯公民个人信息罪的行为类型。因此,《刑法》未实现对侵害个人信息数据的行为的全流程规制。规范空白削弱了刑法的实效性:如果行为人实施一个明显更具严重社会危害性的行为而没有被追究刑事责任,这会向公众释放错误信号,导致刑法因明显偏离公正性标准而失义,进一步引发法法衔接困境与司法适用障碍等问题。
(二)司法续造瓶颈与“规范内涵”耗尽
立法代际断层加深了司法实践中所面临的困惑,司法机关就案情高度相似的“类案”作出了不同的裁判。例如,同样是利用网络爬虫技术突破或绕开技术保护措施以非法获取数据的侵害行为,部分法院仅追究行为人的民事责任,部分法院仅追究行为人的刑事责任,部分法院同时追究行为人的民事责任和刑事责任,在适用的罪名上司法裁判也不尽相同。可见,有限的数据犯罪立法资源与不断增加的数据法益保护的司法需求之间的紧张关系被放大。为了缓和立法代际断层带来的负面影响,司法机关频繁对《刑法》中相关犯罪的构成要件进行扩张性续造。
以非法获取计算机信息系统数据罪中的“计算机信息系统数据”为例,根据2011年8月1日最高人民法院、最高人民检察院出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条第1款的规定,非法获取“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”和其他“身份认证信息五百组以上的”,构成非法获取计算机信息系统数据罪。“计算机信息系统数据”在此被解释为“身份认证信息”。关于何谓“身份认证信息”,第11条规定:“本解释所称‘身份认证信息’,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。”然而,为了满足入罪需要,司法机关对非法获取计算机信息系统数据罪中的“计算机信息系统数据”先后进行了多次司法续造,对计算机信息系统数据的解读已经远远超出了身份认证信息的语义范围。例如,2012年最高人民法院研究室在《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》中指出:“对盗窃网络游戏虚拟货币的行为应以非法获取计算机信息系统数据罪定罪量刑。”由此,网络游戏虚拟货币被解释为非法获取计算机信息系统数据罪中的计算机信息系统数据,这显然突破了身份认证信息的语义范围。最高人民法院研究室作出该解释有特定的时代背景。当时盗窃“财产性利益”尚未成为刑法理论的确定性结论,“财产性利益”被认为不属于盗窃罪中的“公私财物”,同时刑法理论与司法实践主要参照德国刑法理论及我国台湾地区学说,将网络游戏虚拟货币解释为“电磁记录”。在实践中,不断增加的盗窃网络游戏虚拟货币案件使得司法机关必须作出积极应对,因此,司法机关选择关联性较强的非法获取计算机信息系统数据罪以规制网络游戏虚拟货币盗窃行为。在当前的刑法理论中,盗窃网络游戏虚拟货币应当被认定为盗窃罪而不是非法获取计算机信息系统数据罪,网络游戏虚拟货币不是“计算机信息系统数据”。
当刑法存在过大的规范空白时,刑法“给予法官的自由裁量余地太多了,因为法官可能发现在许许多多场合下适用立法者创造的规范是不够的”。囿于核心犯罪的缺位,司法机关陷入了既不愿放纵“犯罪”行为又担忧刑事制裁缺乏法律依据的两难境地,即“若不将相关行为定罪,刑法的功能就难以发挥;若将它们认定为犯罪,则需要采用某种解释立场和方法帮助说理,否则就面临来自罪刑法定的压力”。在这两者之间,司法机关显然选择了前者,对既有犯罪的构成要件进行“灵活解释”以扩大处罚范围,这种“错判无罪”的司法感性使得刑法解释愈发远离合法性标准。为了有效规制相关行为,司法机关不断扩张计算机信息系统数据的规范语义,计算机信息系统数据已经囊括了车辆交通违法记录数据、外国公民信用卡信息数据、网络平台积分数据等非身份认证信息。甚至有的法院明确指出,行为人只要采用技术手段非法获取他人计算机信息系统中存储、处理或者传输的数据,情节严重,即构成非法获取计算机信息系统数据罪。“为了保护计算机信息系统的安全,1997年修订刑法时,全国人大常委会即对危害计算机信息系统安全的犯罪作了规定”。可见,《刑法》设立非法获取计算机信息系统数据罪,本意是为了保护“计算机信息系统安全”。因此,行为人非法获取关系到计算机信息系统安全的身份认证信息,才能构成本罪。然而,经过持续扩张数据语义的司法续造活动,计算机信息系统安全这一本罪的核心法益已被实质放弃。时至今日,“似乎所有能储存于电脑系统中的权利客体都可以称为‘数据’,对其非法获取行为都可能构成非法获取计算机信息系统数据罪,使得该罪成为名副其实的‘口袋罪’”。当前,非法获取计算机信息系统数据罪陷入难以扩张的司法续造瓶颈,计算机信息系统数据乃至数据本身的规范内涵被耗尽。这种以突破法律规定为代价的入罪倾向,存在着背离罪刑法定主义的法治风险。
综上所述,当前数据犯罪立法的规范空白已然形成,并且随着数字经济的发展还将进一步扩大,这种规范空白已经无力通过关联犯罪和外围犯罪被填补,当前的司法续造也耗尽了既有规范内涵。基于立、改、释三者的顺位关系,当既有规范及其刑法解释无法规制具有严重法益侵害性的新行为类型时,可以着重考虑立新法、扩旧法。在此意义上,重塑数据犯罪立法正当其时。
二、从保护法益到介入限度:数据犯罪立法的逻辑基础
犯罪化实质上是国家刑罚权扩张与公民自由权利限缩的双向过程,但刑罚权与其他公权力一样具有本能的扩张倾向,立法者的每种突发奇想都有形成制定法的机会。因此,为了保障公民自由权利不受国家权力侵越,必须对犯罪化进行必要限制。基于数据犯罪立法的正当性考量,应当在立法之前划定一条相对清晰的入罪标准,明确受刑法保护的数据范围及受刑法规制的行为类型。
(一)法益论方案无法确立数据犯罪的立法基础
刑法学界在研究数据犯罪立法时,习惯于将数据犯罪的保护法益作为逻辑基础,并以此指导设计立法方案。由此,关于数据犯罪立法大体形成了四种法益论方案:
第一种方案着眼于数据安全的内容,认为数据犯罪的保护法益系数据的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),即CIA。这种方案主要参考欧盟模式,借鉴了欧洲理事会《网络犯罪公约》、欧盟理事会《关于国际信息系统的理事会框架决议》。我国《网络安全法》第10条也作了类似规定,规定“建设、运营网络或者通过网络提供服务,应当……维护网络数据的完整性、保密性和可用性”。
第二种方案着眼于数据安全的类型,认为数据犯罪的保护法益包括“数据流通安全法益”和“数据安全状态法益”两种类型。这种方案主要以《数据安全法》第3条第3款关于数据安全的定义为依据。第3条第3款规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”
第三种方案着眼于数据的主体,认为数据犯罪的保护法益分为个人数据法益、企业数据法益和公共数据法益,在此基础上应当建立三元保护模式,具体做法是扩容侵犯公民个人信息罪,增设侵犯数据专有权罪和破坏公共数据罪。这种方案主要基于《数据安全法》第7条、第8条、第9条关于数据主体权益保护的规定。
第四种方案着眼于数据所承载的具体利益,认为不能将数据本身安全作为数据犯罪的法益,而应当“以数据本身所征表的数据信息为中心来建构法益,确保其与具体数据犯罪的法益发生直接关联”,据此将数据犯罪的保护法益分为数据财产法益、数据人格法益与数据公共法益等。这种方案贯彻了数据载体与数据价值二分的逻辑,可以说是前数字经济时代关联犯罪制裁思路的延伸。
在以上法益论方案中,第四种方案试图以关联犯罪规制数据犯罪。这种思路如前文分析无法完全填补数据犯罪的规范空白,因而并不可取。至于前三种方案,逻辑思路皆为借鉴域外规定或根据我国《数据安全法》《网络安全法》等法律,确立数据犯罪的保护法益,因此前三种方案均有混淆刑法的保护法益与前置法的保护法益之嫌。从更深层次分析,以上四种方案共通的逻辑基础是前实定法的法益概念具备对犯罪化立法的先验指导功能,这是方案失败的根本原因之所在。
首先,前实定法的法益概念无力为数据犯罪立法提供有效指导。理论上言犯罪必谈法益的惯性思维,主要受刑法理论“德日化”的影响。这种惯性思维容易影响研究者的理性判断,研究者可能没有深入思考法益论的适用语境及其能否为我国数据犯罪立法提供理论支撑。法益论方案中的“数据法益”或“数据安全法益”实质是立法之前的前实定法的法益。此种前实定法法益具有立法批判功能,是指根据启蒙时代以来的自由主义思想,法益在刑事立法之前具有限定国家权力恣意性、保障公民个人自由的立法指导功能,能够“为刑事立法提供正当性判断基准”。然而,在新罪未立之际,前实定法法益不过是研究者想象的概念,缺乏规范基础。换言之,当前所谓的“数据法益”或“数据安全法益”可能只是“‘乔装改扮的个人观点’或者‘人们自封为立法机关的纯粹意见’”。此种充满了个人主义倾向的数据法益论,容易随着解释者的主观意向变动而变化,因此,也就不难理解法益论方案内部分歧不断的现状。因此,即使承认前实定法的法益概念,也应当意识到解释者预设的法益“对于划定刑事立法正当边界所能发挥的作用是极为有限的”。
其次,由于前实定法的法益概念欠缺牢固的法益根基,因而无法确定值得刑法保护的数据范围。刑法在整体法秩序中具有“最后手段性”,对于其他法律的规定刑法没有必要也不应该不折不扣地加以反映。基于科学立法的比例原则,刑法应当建立法益筛选机制,对前置法所保护的数据范围有所取舍。事实上,在数字社会,人们能够自行在数字社会交往中更为有效地建立和维持秩序,“法律规则也许没有意义”,当然也没有必要由刑法介入,不涉及重要利益的一般数据应当处于开放共享的状态。然而,上述四种法益论方案均缺乏筛选机制。按照第一种方案,价值较低的一般数据也存在保密性、完整性、可用性,需要刑法加以保护。后三种方案共同的问题在于只对数据进行分类,缺少对数据的分级,无法过滤不应由刑法保护的一般数据。
最后,前实定法的法益概念难以解释法益处罚前置化的刑事立法变迁,也就无法甄别值得刑法规制的数据侵害行为类型。《数据安全法》《个人信息保护法》《网络安全法》等虽然以“安全”“保护”为名,但实质上兼具“保护法”和“规制法”特征,甚至后者的色彩更加浓烈,比如《数据安全法》的实质是“数据处理行为规范法”,《个人信息保护法》的实质是“个人信息处理行为规范法”。仅基于法益保护逻辑而疏漏行为规制逻辑,在很大程度上影响立法方案设计的合理性。按照数据流通的过程,可以将数据处理行为分为前端的数据获取行为、中端的数据使用行为以及后端的数据泄露行为。然而,是否所有环节的数据处理行为都构成犯罪?这是法益论方案所无法回答的。在一些特别情况下,根据法益论逻辑所得出的结论可能与大众正义直觉相去甚远。
(二)数据犯罪立法的“元问题”是刑法的介入限度
为了合理限制犯罪化立法,早期理论主要基于“伤害原则”(Harm Principle)提出“当且仅当一个行为是有害的,才能将其定为刑事犯罪”;现代刑法理论基于风险预防的需要发展出了“预防原则”,认为犯罪化立法必须具有预防犯罪的作用。为了有效发挥刑法在数字经济发展中的规范作用,无论是基于何种限制立场,根本逻辑都是合理划定刑法介入数据保护的限度。这是数据犯罪立法必须认真思考的“元问题”。
所谓刑法介入数据保护的限度问题,核心在于厘清整体法秩序中《刑法》与《数据安全法》《个人信息保护法》《网络安全法》等前置法的关系。法秩序作为动态的规范体系,在同级规范之间建立了联结关系和序位关系。在联结关系下,刑法所保护的数据法益的范围和程度随前置法变动而变动;在序位关系下,刑法作为最后序位的法,对数据的保护应当限制在最小必要限度内。
基于法秩序内刑法与前置法的联结关系,刑法所保护的数据法益需要参酌前置法确定。从法律属性来看,数据犯罪应当为法定犯或有明显法定犯成分的混合犯,具有较强的“禁止恶”。由此数据犯罪的构成要件必然以成文或不成文形式包含着对前置法规定的参酌和援引,前置法的规定影响刑法中数据犯罪的犯罪圈设定。在既往的立法中,存在“刑法先行”所引发的刑法与前置法保护不协调的问题,这种情况值得反思。以个人信息保护为例,我国个人信息保护立法具有明显的“刑法先行”特点。在《个人信息保护法》颁布实施之前,《刑法》率先规定了个人信息犯罪,以规制严重侵害个人信息的行为。这种规制固然有其必要性,然而,“刑法先行”使个人信息犯罪的认定长期处于无前置法可依的尴尬境地。对此,法官在个案中不得不频繁续造裁判规范,这种规范续造多基于经验理性而欠缺牢固的教义学基础。因此,随着《个人信息保护法》颁行,许多裁判结论与《个人信息保护法》相左,在基本概念与保护程度等方面均存在“刑民割裂”的情况。例如,依照《个人信息保护法》的规定,电话号码属于“个人信息”,但在刑事司法实践中被认为不属于“公民个人信息”。又如,生物识别数据、宗教信仰数据在《个人信息保护法》中属于敏感个人信息,需要得到特别保护,而在《刑法》中仅属于受保护性最低的“其他可能影响人身、财产安全的公民个人信息”。随着《数据安全法》《个人信息保护法》颁行,《刑法》宜通过修法重新建立与前置法之间的联结关系,对数据的保护范围和程度需要与前置法协调一致。具体而言,对于前置法不保护的无主体数据,刑法没有必要予以保护;对于前置法特别保护的重要价值数据,刑法也不宜降格保护。
在以联结关系确定刑法需要跟随前置法调整而修正后,还要明确如何在数据保护中定位刑法,或者说,如何配置数据犯罪才能够使刑法成为最后序列的保障法而不是在先的社会管理法。基于刑法的体系性及其与前置法的联结关系,可以从保护的数据类型和规制的行为类型两个层面确立刑法介入数据保护的最小必要限度。
第一,基于数据分类分级保护制度,刑法所保护的数据类型应当限于前置法特别保护的数据,即前置法是否对特定数据类型设置了较高等级并给予特别保护构成了刑法介入的基本条件。
从数据价值的角度来看,《数据安全法》之所以对数据进行分类分级保护,是由于不同的数据所承载的利益类型及价值大小不同,立法分别给予不同程度保护,是为了在数据要素共享与法律对利益的保护之间寻求平衡。据此,承载较低价值或较少利益的数据本就不应该受到过多的法律保护,更不应当由刑法介入保护。例如,个人上网所产生的不含密码等重要内容的cookies数据,属于个人网络行为轨迹数据。然而,单个的个人网络行为轨迹数据因承载的价值较低,没有必要纳入刑法的保护范畴。因此,数据分类分级可以帮助刑法剔除前置法中不受保护以及受保护程度极低的数据。
从数据犯罪的属性来看,无论是核心犯罪还是关联犯罪、外围犯罪,都具有鲜明的法定犯色彩,因而可以说数据犯罪是“时代产物”,是国家为了“维护社会秩序的需要而为法律所禁止的行为”,天然存在法益抽象化的问题。更何况,因为数据犯罪“并不禁止损害本身,而是禁止损害的可能性——当实施这种犯罪时,这种损害可能性并没有(通常情况下也并没有)转变为现实危害”,“它给人一个理由将无害的东西定为犯罪,只要将其定为犯罪会减少危害”,所以基于数据犯罪所具有的此种预防主义倾向,在犯罪化时需要慎之又慎。为了防止犯罪化的偶然性与随意性,必须选择相对较高和确定的入罪标准。前置法的特别保护赋予了刑法以入罪的高标准和确定性,将刑法所保护的数据类型限定在最小必要限度,也为将来根据需要适时调整数据犯罪的犯罪圈预留了必要的缓冲空间。
第二,基于数据要素有序共享理念,刑法既要对非法数据处理行为进行全流程规制,也要考虑到在数字社会特定交往场景下无需赋予数据主体“真实”话语权,科学设定排除犯罪成立的出罪事由。
共享是数据的第一主题。刑法规制不是阻止共享,而是为了使共享从无序变得有序,从失范到规范。数据是数字社会新技术新业态的基本要素。在新技术新业态出现的早期,由于法律调控的缺位,新技术新业态的发展必然会经历一段时间的“野蛮生长期”,大量失范行为出现。面对日渐无序的数据侵害现象,公共部门寄希望于最严厉的刑法来调控,以求快速有效地规制失范行为。这种高压的刑事政策思维,在特定时期是有益的,但会误导立法形成“既严又厉”的格局,科学性欠佳。
回归理性,立法者敏锐地察觉到,有序共享是刑法介入数据保护的重要前提。为了保障数据有序共享,刑法当然有必要对非法处理数据的行为进行全流程规制,包括前端的非法获取行为、中端的非法使用行为以及后端的非法泄露行为。同时,为了促进数据共享,刑法对失范行为的规制也应当有其限度。在数字社会中,特定场景下数据主体“真实”的话语权已经被社会交往规则所淡化,比如互联网平台用户通常不会认真审查“数据授权条款”就轻易地给予同意,一些未经数据主体同意的处理行为虽然涉及到有重要价值的数据,但也没有必要通过刑法加以规制。又如,为了科学研究而处理个人信息数据、企业知识产权数据及公共数据,即使没有经过特定主体授权,也不宜被认定为犯罪。再如,为了合法经营而非法获取一般数据,数量较少的,通常只需要通过竞争法调整即可,无需作为犯罪处理。
总之,刑法介入数据保护的限度,即犯罪化限制,有两个维度:一是考量对数据类型的保护限度,将不重要的数据类型从刑事犯罪圈排除出去;二是考察对行为类型的规制限度,根据数字社会交往关系设置限制入罪的例外情形。两相结合,不仅实现了数据犯罪立法的科学性、合比例性与确定性,而且使数据犯罪更能契合数字经济时代发展,实现特定场景中不值得刑法处罚的数据处理行为的非犯罪化。
三、数据犯罪的立法重塑路径及体系化调适
立良法方能保善治。所谓良法,必须形体完备与实质良善。“法律若实质善良,而其形体不完美,则就会产生法律疑义百出……法律的形体虽完备,而其实质若不善良,则成峻法严律,其逞荼毒之害。”立法者重塑数据犯罪立法,一方面要保障“形体完备”,即体系协调,避免重复立法和规范矛盾;另一方面要关注“实质善良”,即处罚合理,避免刑法与大众的正义直觉产生不可调和的冲突。
(一)重要数据的刑法保护与规范构造
通过体系性地考察《刑法》,可以发现立法者没有必要针对个人数据、企业数据单独增设新罪,而应基于重大风险预防思维,重点关注《刑法》缺失的公共利益数据保护与国家安全数据保护。一方面,个人数据和企业数据主要承载私法益,此处的私法益主要指向数据的人格与财产向度,两者相应形成人身法益与财产法益。人身法益与《刑法》第四章“侵犯人身权利、民主权利罪”关联,财产法益与《刑法》第五章“侵犯财产罪”关联。两者通过解构个人数据和企业数据所承载的具体利益,即可实现妥善保护。因此,《刑法》针对个人数据、企业数据单独增设新罪,必然属于重复性立法,这样不仅无法填补“规范空白”,而且在数据犯罪中制造了法条竞合乃至规范冲突,实为立法之失败。另一方面,相较于《刑法》已经将个人信息数据、知识产权数据等私法益数据全面纳入保护范围,公共利益数据、国家安全数据等关乎重大利益且非法处理行为容易产生重大风险的公法益数据,未受到更高的保护。在数字经济时代,私营企业的公共性已是不争的事实,教育、医疗、交通等领域的公共数据在公私合作中被大型私营企业所掌握和利用,进一步增加了公共利益数据、国家安全数据泄露的风险。虽然《个人信息保护法》《数据安全法》等前置法对公共利益数据、国家安全数据的保护作出了较为详细的规定,但是所规定的制裁方式几乎都是要求行为人承担民事责任或行政责任,少数规范会以转致性规范的形式规定“构成犯罪的,应当追究刑事责任”。然而,囿于《刑法》欠缺保护公共利益数据、国家安全数据的专门罪名,不可避免地会出现无转致对象的尴尬现象,此时,对有关行为人的追责只能停留在民事责任与行政责任层面。由此,一些轻微的侵害个人数据、企业数据的行为构成犯罪,而更为严重的侵害公共利益数据、国家安全数据的行为却不构成犯罪。这种不均衡的制裁方案会削弱法规范的实效性。同时,由于非法获取计算机信息系统数据罪已经无法适应保护这些数据的客观需要,也不存在司法续造空间,因此有必要针对公共利益数据、国家安全数据增设新罪。
为了填补“规范空白”,实现《刑法》与《数据安全法》对公共利益数据、国家安全数据等公法益数据保护的有效衔接,宜增设非法处理重要数据罪。该罪的设立还需要明确以下问题:
第一是立法正当性的澄清。正当性是构建良法规范的基础要求。“为了使规范性观念日常化,为了使惯例性的观念变成实践的一部分,它们必须竭力证明自己的正当性。”正当的法需具备两大要素:一是“强化性效力”,即规范必须具备规范性力量或有效性,能够有效指引和约束公众的行为;二是“规范必要性”,即规范对于增益社会秩序良性发展而言是必要的。以预防原则为指导原则所增设的新型数据犯罪,具有处罚扩张化和法益抽象化的先天特性。“刑事处罚早期化、扩张化的初衷在于防控数字经济所带来的巨大而难以估量的犯罪风险。然而,一些新增罪名的司法适用效果未必理想,有的罪名如帮助信息网络犯罪活动罪容易被滥用,有沦为口袋罪的危险。”为确保非法处理重要数据罪的立法正当性,需要从两个层面进行立法调适:一是为了防止非法处理重要数据罪成为宣示性大于实效性、“立而不用”的象征性立法,需要对本罪中的“属于重要数据”等构成要件进行准确识别和明确;二是为了避免非法处理重要数据罪沦为“口袋性罪名”,需要基于犯罪化立法的比例原则对本罪进行必要限制,将其适用场域限定为预防数据受到重大、紧迫风险的情况,这就要求本罪宜设置“情节严重”等罪量要素以适度提高入罪标准。
第二是重要数据的识别。本罪中的重要数据应限于与国家安全、公共利益密切相关的数据,一般不包括企业数据、个人数据。这样设定既符合《数据安全法》等关于重要数据特别保护的规定,也排除了对个人数据、企业数据的重复保护,避免了竞合型犯罪化。
重要数据是《数据安全法》中的专有概念。基于法秩序统一性原理,前置法即《数据安全法》中的重要数据概念及其特别保护规则,宜作为设置数据犯罪的重要参考。《数据安全法》第21条规定:“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”该条规定了重要数据特别保护制度,还规定对核心数据实施更加严格的管理制度。核心数据实质上是重要数据中受保护性更高的一类数据,仍然属于重要数据范畴。此外,第30条、第31条、第46条对重要数据处理的风险评估、出境安全管理、法律责任等作出了详细规定。《数据安全法》对关乎重大利益的重要数据予以特别保护,乃基于数据分类分级保护的制度安排,在必要时由刑法基于预防原则和比例原则介入保护重要数据具有实质合理性。
《数据安全法》并没有对重要数据作出直接定义。追溯有关规范文件的演变历程,可以将重要数据确定为关乎国家安全、公共利益的数据,并且在一般情况下排除个人数据、企业数据。2016年11月7日,《网络安全法》出台,其第37条首次提出了重要数据概念。2017年4月11日,国家互联网信息办公室发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,其第17条首次对重要数据作出定义:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”可见,重要数据最初仅限于和国家安全、经济发展及公共利益密切关联的数据。2019年5月28日国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》进一步明确了重要数据的范围,将个人数据、企业数据排除在重要数据之外。其第38条规定:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据……重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”2022年1月7日,国家市场监督管理总局、国家标准化管理委员会发布《信息安全技术 重要数据识别指南(征求意见稿)》。其第3.1条规定,重要数据(critical data)是“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可危害国家安全、公共利益的数据”。以上规定没有以“等”结尾,表明重要数据只包括与国家安全、公共利益密切相关的数据,一般不包括个人数据与企业数据。
问题在于,公共利益、国家安全可谓个体利益、个体安全之集合,个人数据、企业数据是否完全不可能成为重要数据而不受非法处理重要数据罪保护?若一概否定,重要数据的概念可能存在瑕疵。事实上,《信息安全技术 重要数据识别指南(征求意见稿)》第3.1条对此作出了注释,即“重要数据不包括国家秘密和个人信息,但是基于海量个人信息形成的统计数据、衍生数据可能属于重要数据”。参酌第3.1条,基于海量个人数据而形成的统计数据、衍生数据也可以被评价为非法处理重要数据罪中的重要数据。关于何谓海量数据,2021年11月14日国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》第26条规定:“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。”由此得出初步结论:一百万人以上的个人数据属于海量数据。至于如何界定属于重要数据的企业数据,则有待相关规范文件予以明确。
第三是罪刑规范的设置。从构成要件分析,由于重要数据与国家安全、公共利益密切相关,数据处理的任何一个环节出现问题都可能产生危害重大利益的风险。为了发挥数据犯罪的预防功能,应当对重要数据的非法处理行为进行全流程规制。据此,非法处理重要数据罪的行为类型应当包含涉及数据处理前、中、后三个环节的非法获取行为、非法使用行为与非法泄露行为。其中,非法使用行为是对数据进行删、改、增等破坏数据完整性的行为。为了避免风险预防的过度化而导致入罪标准过低,宜在构成要件中增加“情节严重”,至于“情节严重”的内容则由司法解释根据重要数据的数量、重要程度等具体确定。
从法定刑配置的角度分析,重要数据中的核心数据与国家安全、公共利益关系最紧密,《数据安全法》也对核心数据设置了较其他重要数据更高等级的保护制度。故在立法中可以考虑对重要数据与核心数据进行差异化保护,分别设置不同的法定刑。据此,本罪的法条可以设置为:
第四是法条关系的厘清。在设立非法处理重要数据罪后,需要厘清非法处理重要数据罪与现有数据犯罪体系中核心犯罪、关联犯罪及外围犯罪之间的关系。
首先,非法处理重要数据罪以数据为直接保护法益,属于核心犯罪,与之前的核心犯罪即非法获取计算机信息系统数据罪具有形式上的交叉关系,但两者的不法结构欠缺实质的包容关系,因而两者不构成法条竞合的关系。法条竞合必须同时具备两个标准:一是形式上两个法条有包容或交叉关系;二是实质上两个犯罪行为的不法有包容性。“倘若适用任何一个法条都不能充分、全面评价行为的不法内容,即使符合形式标准与法益的同一性标准,也只能认定为想象竞合。”具体而言,非法获取计算机信息系统数据罪所保护的数据是“身份认证信息”,而身份认证信息与国家安全、公共利益并无直接关联,因此在一般情况下非法获取计算机信息系统数据罪与非法处理重要数据罪之间不存在形式交叉。然而,在一些特殊情况下,如行为人获取的是政府部门计算机系统中的身份认证信息,非法获取计算机信息系统数据的行为可能危害国家安全、公共利益,此时非法处理重要数据罪与非法获取计算机信息系统数据罪存在形式交叉,但这两个犯罪之间并不具有不法的包容性。换言之,在以上情形中,无论是定非法处理重要数据罪还是定非法获取计算机信息系统数据罪,都无法完全评价非法获取关乎国家安全、公共利益的身份认证信息这一行为的不法侵害性。由于欠缺不法的包容性,这种情形属于想象竞合而非法条竞合,应当从一重处断。
其次,非法处理重要数据罪与关联犯罪之间原则上是择一关系,原因在于一般情况下重要数据在概念上排斥个人数据、企业数据等。当然,由于海量个人数据、企业数据能够成为重要数据,此种特殊情况下非法处理重要数据罪与个人信息犯罪、财产犯罪等将产生法条竞合。具体的解释适用逻辑是,在通常情况下,个人信息数据、企业数据仅作为个人信息、财产性利益等私法益加以保护;但在符合重要数据的特殊情形下,个人信息数据、企业数据具有公法益性质,相关行为同时触犯非法处理重要数据罪,这属于法条竞合。因此,根据特别法优于一般法原则,应当适用特别法,即按照非法处理重要数据罪定罪量刑。
最后,非法处理重要数据罪与帮助信息网络犯罪活动罪、非法利用信息网络罪、拒不履行网络安全管理义务罪这三大外围犯罪之间是补充关系,外围犯罪作为补充性罪名应当在无法适用非法处理重要数据罪时才介入。当然,从竞合论的角度来说,由于非法处理重要数据罪是特别法且法定刑更重,因而无论是根据法条竞合还是想象竞合,都能够得出优先适用非法处理重要数据罪的结论。
(二)个人信息数据犯罪的刑法扩容与场景限制
个人信息数据兼具人格和财产双重属性。《个人信息保护法》独立保护个人信息数据的人格属性,表明了个人信息数据双重属性中人格属性具有相对优位性,“在数据处理者实现这些数据财产权权能的过程中,应以其个人信息数据处理行为的合法性为前提,确保个人信息主体的合法权益不受损害”。从法法衔接角度分析,《刑法》中个人信息犯罪的设立明显先于私法中个人信息保护规则的形成,在《个人信息保护法》颁布实施之后,《刑法》也没有及时作出调整,这导致两法仍然存在衔接错位。基于个人信息数据之保护与共享平衡的理念,宜对《刑法》第253条之一侵犯公民个人信息罪作出如下调整:
第一,将非法使用个人信息的行为入罪。尽管《个人信息保护法》第4条第2款对个人信息处理行为进行了全流程规制,但是《刑法》第253条之一规定的三种行为即非法获取、非法出售与非法提供公民个人信息,不包括中间环节的非法使用行为,存在一定的处罚漏洞。因此,理论上有观点认为,应当将非法使用个人信息的行为纳入规制范围。实践中也致力于续造既有规范,试图规制非法使用个人信息行为。比如在司法实践中,行为人非法使用个人信息的,同时被追究民事责任与刑事责任。非法使用个人信息行为与非法获取、非法泄露个人信息行为具备等质的法益侵害性,且在多数情况下,个人信息的使用过程正是个人信息数据财产价值的实现过程。如果刑法对非法使用个人信息的行为不予以规制,则个人信息使用环节的刑法漏洞容易被不法分子利用,形成过于宽泛的个人信息数据流通自由并造成“劣币驱逐良币”的不良后果,这显然与数字经济发展目标相悖。在此意义上,刑法适度扩容,增加对非法使用个人信息行为的规制具有必要性。
第二,敏感个人信息的刑法保护宜对应《个人信息保护法》作出调整。数字经济时代个人信息保护需求日益增长、保护范围日新月异。在后的《个人信息保护法》较之在先的《刑法》具备更强的时代适应性,两法在敏感个人信息的识别与保护上存在较大分歧,《刑法》中敏感个人信息的范围狭窄、识别标准单一。2017年5月8日最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯个人信息刑事解释》)的第5条将个人信息分为三个级别,分别是“行踪轨迹信息、通信内容、征信信息、财产信息”“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”以及除以上个人信息之外的“其他公民个人信息”。但根据《个人信息保护法》第28条规定,生物识别信息、宗教信仰信息以及不满十四周岁的未成年人的个人信息都属于敏感个人信息。由此,根据《侵犯个人信息刑事解释》的规定,这些信息可能被认定为其他公民个人信息而降格保护。笔者认为,《个人信息保护法》通过后,《刑法》宜将生物识别信息、宗教信仰信息以及不满十四周岁的未成年人的个人信息作为第一档或第二档个人信息升格保护,避免形成《刑法》与《个人信息保护法》对同种个人信息保护强度截然不同的法律冲突。
同时,由于《刑法》扩容侵犯公民个人信息罪,体现了较为明显的公权扩张色彩,容易陷入过度犯罪化的法治困境,因此,为了避免《刑法》对个人处理行为的处罚过宽过广,需要配合其他法律调控,实现犯罪治理现代化。在司法实践中,法院在特定情形下会认可个人信息处理行为,即便行为人未取得个人信息主体同意,也不会直接适用《刑法》进行规制,而是通过民法、竞争法等诸多前置法的协同治理实现对数据的妥当规范保护。因此,侵犯公民个人信息罪立法扩张之后,需要从数字社会生活中总结司法排除犯罪之规则,寻求以司法之“宽”济立法之“严”的宽严相济平衡之道。总体而言,主要有以下四种场景:
场景一:符合由前置法转化而来的犯罪排除事由。《个人信息保护法》第13条规定了未经个人信息主体同意合理处理个人信息的四种情形,分别是订立合同所必需、履行法定职责或者法定义务所必需、为维护公共利益所需要、在合理范围内处理已公开个人信息。基于法秩序统一性原理,符合以上情形的行为根据《个人信息保护法》的规定不属于违法行为,作为保障法的刑法也没有必要介入,故相关行为不构成侵犯公民个人信息罪。
场景二:个人信息主体作出了概括自决。数字经济时代个人信息之保护与共享构成辩证关系:越是强调个人信息共享,越会增加个人信息保护难度;反之,越是强调个人信息保护,越会压缩个人信息共享空间。为了促进个人信息的有序共享,立法可以预设在特定场景下个人信息主体已经作出了概括自决。这种概括自决并未剥夺个人信息主体的自决权,个人信息主体仍有权就具体事项作出不授权的保留性决策。例如,个人信息主体在互联网平台注册时,一般需要授权平台处理个人信息数据,从而获得平台提供的实时定位、信息推送等功能,这实质上是一种概括自决,平台在概括自决的范围内取得了个人信息处理权限。因此,平台在此情况下处理个人信息数据,不构成犯罪。
场景三:个人信息处理行为符合数字社会交往规则。个人信息是数字社会交往的基本要素,人们的每个社会生活场景都需要个人信息,如网络购物、账号注册等,没有个人信息就没有现代化的社会生活方式。因此,司法机关在特别情况下需要对个人信息处理行为进行二次价值判断,审慎认定相关行为是否构成犯罪。以人脸识别数据为例,在最高人民法院发布的第192号指导性案例中,裁判要点明确“使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性”,故人脸识别数据属于刑法中的个人信息数据,非法处理人脸识别数据的行为构成犯罪。然而,现实生活中存在大量未经主体同意处理人脸识别数据的行为,已经为数字社会交往规则所确认,一般不宜作为犯罪处理。例如,短视频博主在平台上传的视频中包含着大量陌生人的人脸识别数据,这些数据经个人信息主体上传至特定网络平台后在整个网络空间广泛传播。这些个人信息数据的获取和传播不可能取得主体同意,属于“非法”处理,若按此逻辑相关视频制作者及网络平台构成侵犯公民个人信息罪的共同犯罪。如果这一结论取得立法支持,势必制造大规模的犯罪化,累及裁判公正。可以认为,在这种符合数字社会交往规则的场景下,相关个人信息数据处理者的行为因具有社会相当性而不构成犯罪。
场景四:非法处理个人信息行为的危害性轻微。《侵犯个人信息刑事解释》第6条规定,为合法经营活动而非法购买、收受其他公民个人信息,获利在5万元以下,且之前没有因犯侵犯公民个人信息罪而受刑事处罚或者二年内受行政处罚的,不属于情节严重,不构成侵犯公民个人信息罪。据此,可以认为合法经营活动构成了可适当宽恕的调节事由,相关行为的危害性较为轻微。司法机关可以结合《刑法》第13条的出罪规定,进一步总结“情节显著轻微危害不大”的情形,避免刑法的过度干预影响新技术新业态的健康发展。
结语
党的二十大报告强调,要强化数据安全保障体系建设,“统筹立改废释纂,增强立法系统性、整体性、协同性、时效性”。因此,数据犯罪立法应当保障立法的系统性、整体性、协同性、时效性。《刑法》根据《数据安全法》《个人信息保护法》等法律增设新罪、扩容旧罪,可谓立法的整体性;《刑法》调整数据犯罪,兼顾数据犯罪与人身犯罪、财产犯罪等规范关联,可谓立法的系统性;数据犯罪构成要件设计大规模参酌援引前置法规定以避免法律冲突,可谓立法的协同性;数据犯罪立法随数字经济时代变革而更新进化,可谓立法的时效性。科学立法将有助于刑事法治的效能在数字经济发展中得到充分释放,使数据共享从无序变得有序、从失范走向规范,实现良法善治。
点击二维码关注法制与社会发展微信公众平台