田刚:数据安全刑法保护扩张的合理边界
摘要:《数据安全法(草案)》的发布是数据安全作为独立法益的立法宣示,基于数据安全对个体利益、公共安全和国家安全的重要价值,刑法有必要将其纳入保护范围。现行刑法对数据安全的保护是通过制裁信息犯罪间接实现的,由于刑法视阈下的信息和数据存在着本质性差异,未来刑法必然要建立新的数据犯罪罪名体系,实现数据安全领域刑法保护的大规模扩张。为了避免刑法扩张演化成违背谦抑性的公权力滥用,必须进行“合边界性审视”,确保其不会突破刑法自身的边界。由于数据安全法益自身无法通过“法益原则”实现刑法边界划定功能,有必要引入“广义危害性原则”,在数据安全领域的刑法保护扩张之前,划定扩张的合理边界。
关键词:数据安全;刑法保护;刑法扩张;刑法边界;危害性原则目次一、数据安全的立法宣示和刑法保护必要性共识二、数据安全刑法保护的扩张进路三、数据安全领域刑法扩张的合边界性审视四、数据安全刑法保护边界划定的合理标准
法治建立在现实世界的基础上,人类社会正在经历前所未有的高速发展,肉眼不可见的微观世界才向人类敞开原子时代的大门,不具有实体形态的大数据时代又接踵而来。从联合国2009年的“数据脉动计划”之后,世界各国普遍将大数据上升到国家战略层面。我国从2014年将大数据写入中央政府工作报告后,2018年更明确提出“全面实施国家大数据战略”。大数据时代的序幕已经拉开,大数据背景下的社会治理将面临全新的挑战,首当其冲的就是数据安全刑法保护领域。全新时代背景下,如何将技术模式下的数据安全,置于刑法的视角下进行合理保护,是刑法适应时代变迁自我更新的关键。
基于数据犯罪的汹涌态势和数据安全重大利益的保护需求,刑法及时介入到数据安全保护领域具有毫无疑问的必要性。然而,同传统社会拥有漫长理论调整期和实践缓冲期的刑法更新模式不同,信息社会发展的迅猛态势,使刑法更新缺乏足够的理论指导和实践积累。目前刑法的快速扩张,实际上具有一种“迫不得已”的实验性质,背后的法律风险不容小觑。数据安全具有数据有效保护和合法利用双重内涵,刑法对数据安全领域的过度介入,在加强数据保护的同时,也容易阻碍数据合法利用,难以实现数据安全的刑法保护功能。因此,为了防范数据时代的刑法更新风险,刑法应当保持其应有的谦抑性,明确数据安全的刑法保护边界。
一、数据安全的立法宣示和刑法保护必要性共识
数据安全早期仅是一个技术性概念,但随着世界各国普遍将其纳入到立法之中,数据安全的独立法益属性开始凸显,《数据安全法(草案)》的发布正式宣告了数据安全成为独立于信息安全的新型法益,基于数据安全自身利益的多元性,所有部门法都应将数据安全纳入自身的保护范围之中,而刑法更是其中关键的一环。
(一)数据安全的立法宣示:数据安全从技术概念向法律术语的转化
数据安全(Data Security)并不是一个传统的法律术语,其更多的时候是属于计算机信息系统技术层面和管理层面讨论的概念。最早的数据安全范畴可以追溯到20世纪60年代末期,是基于控制论而提出的一种可控制的“赛博空间”(Cyberspace)系统安全,其本身是一个纯技术概念。美国小说家威廉·吉布森(William Gibson)于20世纪80年代初期,在其科幻文学作品用以描述未来社会的虚拟电子信息场域时,提出了网络虚拟场域中的数据安全概念,数据安全被重新赋予社会秩序安全的全新内涵,并在20世纪90年代成为在社会学、政治学、新闻学等学科领域普遍接受和认可的专业词汇。我国也于20世纪90年代末引入了数据安全的概念,并同传统的隐私权进行结合性思考。由此可见,数据安全一词被用于广泛的学科领域,而不同学科领域基于不同视角对其进行了多样化的阐释,根据国外学者的统计,关于数据安全在理论上有较大影响的定义近30种。数据安全这一概念从诞生之初,就处在不断的异化和演进之中。整体来看,数据安全的外延在持续性地扩张,在物理基础层面,由早期的计算机网络向各类通讯网络、工业网络、服务网络扩张,甚至将小型局域网和单机网络也纳入自身物理网络体系;在场域层面,从最早期的技术场域到基于数字化模拟的虚拟场域,当前已然由于同现实社会的高度融合实现了实体化发展。
实际上,不只是理论层面,自2003年美国首次在《保护网络空间的国家安全战略》对数据安全进行界定后,各国政府机关和国际组织通过官方文件所阐释的数据安全概念也是内涵和外延各异。值得注意的是,同学术界运用数据安全来进行理论探讨不同,各国政府和国际组织在数据安全概念纳入到官方文件本身,就已然说明公权力开始介入到数据安全领域,换言之,数据安全在法律层面的概念本身就是公权力适用于数据安全的宣示。而我国最早规定数据安全的法律是1998年颁布的《证券法》,2015年的《网络安全法》中对数据安全亦进行了规定,而在2017年修订的《测绘法》中同样规定了数据安全的相关内容。但是整体来看,我国现行法律依然缺乏对数据安全的系统化表述,仅有的一些规定也都是从技术和管理保障的层面来讨论数据安全,未将其作为一个独立的重要权益予以保护。2020年7月《数据安全法(草案)》的发布,标志着我国开始将数据安全作为独立法益进行保护,而这也仅仅是我国围绕数据安全进行全面法律更新的一个起点,后续其他部门法的更新中,都需要考虑新兴的数据安全法益的保护需求,而刑法保护无疑是其中重要的一环。
(二)数据安全刑法保护的基本性共识:刑法有必要全面介入数据安全法律保护领域
《数据安全法(草案)》中对数据的界定为:“任何以电子或者非电子形式对信息的记录”,将数据分为了“电子形式”和“非电子形式”两种类型,但毫无疑问后者才是真正同信息通讯和网络技术充分相结合,开启了大数据时代的“主角”。在网络社会尚未成型时期,诸如德国社会学家弗勒希·特海姆(Os-siP Flechtheim)、加拿大传播学家马歇尔·麦克卢汉(Marshall Mcluhan)等一批敏锐的学者,已然认识到了数据价值的充分利用将会给人类传统社会规则带来的颠覆性变革,然而,彼时的研究并无应有的现实基础,因此也被视为一种未来学研究。而在网络社会初具雏形之时,新诞生的网络空间数据安全保护的“权力真空”由谁来填补,开始真正引起了关注。部分技术专家认为,认为虚拟数据可以享受不受现实法律约束的“自由”,特别是应当排除国家刑罚权的介入,该主张和期待网络空间中的“黑客”会自发形成正义且道德的共同“黑客伦理”一样,成为20世纪末兴起的“赛博自由主义”思潮(Cyber Libertari-anism)的重要内容。“网络自由主义”所主张的网络空间“数字化”“去中心化”“端口共享”等技术架构,在技术层面并无问题。但是基于技术天然的中立性,上述技术特性并不会自动转化成法律规则,其混淆了技术问题和法律问题。实际上,电子数据系统的技术架构特性,使其对传统现实社会空间的权益有高度开放性与极强的兼容性,随着数据和现实社会的充分融合,人类的行为本身就是一种实时的数据行为和现实行为的复合,“永远‘在线’和随时‘接入’已成为众多个体的生存状态,虚拟‘身份’、‘行为’和‘财产’和真实身份、行为和财产亦浑然一体。”当前,各类数据处理活动的存续和发展也高度依赖传统现实空间法律所建构的秩序,“赛博自由主义”排斥数据安全领域国家刑罚权的运用,已然被数据应用的迅速扩张自身所否定。
数据安全能够形成封闭性全新秩序的客观前提,是其同传统社会安全存在足够的隔离性和独立性,但实际上,数据安全从未具有过这种隔离性和独立性。在网络空间初创时期,网络空间中固有的虚拟性与技术性特征,在一定程度上使人产生了网络空间中的电子数据具有虚拟性,同现实空间的现实权益是独立而平行的错觉,而随着网络社会的扩张,其同传统社会的高度融合,并同现实社会的各种利益复杂交织。当前的社会背景下,任何一类传统社会权益都可以通过数字化的方式以特定的数据方式呈现出来。因此,数据处理活动同传统社会的各项活动一样,除了技术规则以外还需要符合社会规则,以满足不同主体的合理利益诉求。而为了维护增进数据处理活动中的公共权益和保障实现数据处理活动中的个人权利,刑法公权力都有必要充分地介入到数据安全保护领域,而且是一种全面性介入,不是单纯地局限于特定的“网络刑法”。刑法作为所有重要法益的最后保障法,全面介入数据安全的法律保护,具有时代的必要性。
二、数据安全刑法保护的扩张进路
我国现行《刑法》对数据安全保护的扩张,是通过不断拓展信息犯罪外延的方式实现的,而当数据被赋予国家基础生产要素地位之后,刑法无法再继续通过信息犯罪对数据安全进行全面性的有效保护,未来刑法必然要将数据安全作为独立的法益,建构新的数据犯罪罪名体系,实现数据安全领域刑法保护的大规模扩张。
(一)信息犯罪类别的不断扩展——刑法数据安全保护的早期扩张模式
数据是记录信息的载体,因此数据和信息是一对紧密联系的概念,我国刑法早期对数据的保护,实际上是通过对数据所记录特定信息的保护来实现的。
我国1997年《刑法》立法之初,被作为犯罪对象的信息仅限定为“秘密情报”类信息和“证券交易类”信息两类,前者具体通过为境外窃取、刺探、收买、非法提供国家秘密、情报罪,非法获取国家秘密罪,故意泄露国家秘密罪,过失泄露国家秘密罪,非法获取军事秘密罪,为境外窃取、刺探、收买、非法提供军事秘密罪,故意泄露军事秘密罪,过失泄露军事秘密罪和侵犯商业秘密罪来实现;后者则通过内幕交易、泄露内幕信息罪和编造并传播证券交易虚假信息罪来实现。
1999年颁布的《刑法修正案》通过修正内幕交易、泄露内幕信息罪和编造并传播证券交易虚假信息罪的方式,将“期货内幕信息”和“期货交易虚假信息”纳入到刑法的规范范围;2001年颁布的《刑法修正案(三)》通过增设编造、故意传播虚假恐怖信息罪的方式,将“虚假恐怖信息”纳入到刑法的规范范围;2005年颁布的《刑法修正案(五)》通过增设窃取、收买、非法提供信用卡信息罪的方式,将“信用卡信息”纳入到刑法的规范范围;2006年颁布的《刑法修正案(六)》通过修正提供虚假财会报告罪的方式,将“公司、企业依法应当披露的信息”纳入到刑法的规范范围;2009年颁布的《刑法修正案(七)》通过增设利用未公开信息罪,出售、非法提供公民个人信息罪,非法获取公民个人信息罪,将“内幕信息以外的其他未公开信息”“公民个人信息”纳入到刑法的规范范围;2015年颁布的《刑法修正案(九)》通过增设宣扬恐怖主义、极端主义、煽动实施恐怖活动罪,拒不履行信息网络安全管理义务罪,编造、故意传播虚假信息罪,泄露不应公开的案件信息罪,披露、报道不应公开的案件信息罪的方式,将“恐怖主义、极端主义信息”“违法信息、用户信息、刑事案件证据信息”“虚假的险情、疫情、灾情、警情信息”“不公开审理的案件中不应当公开的信息”纳入到刑法的规范范围。
综上,随着信息社会的不断发展,我国刑法通过修正案的方式,不断扩展纳入刑法制裁的信息犯罪范围,使数据安全的保护也得到了同步的扩张。
(二)独立的完整法益——刑法数据安全保护的未来方向
虽然刑法通过对特定信息的保护,可以间接地实现对数据安全的保护,但数据和信息在刑法视阈下存在本质上差异,刑法对信息安全的保护无法对数据安全实现全面、完整的保护。信息和数据是经常联系在一起的一对概念,经常被司法解释用来进行互为解释,但仔细考察信息和数据在我国刑法中的具体表达场景,二者仍然存在明显差异。“信息”是具备特定含义的内容,泛指“现代科学指事物发出的符号系列(语言、文字、数据、状态等)所包含的内容,包括人和人、人和自动机以及自动机和自动机之间的消息交流,动、植物界的信号交流,细胞间和机体间的特征传输等。”刑法中的信息关注的是内容属性,其普遍同特定的利益相联结,例如,“内幕信息”“信息卡信息”“公民个人信息”。“数据”是信息的记录载体,本身并不指向特定的内容,需要对数据进行特定目的化的处理后,才能形成特定内容的信息。刑法中数据,关注的也是形式属性,例如“计算机信息系统中存储、处理或者传输的数据”。
因此,信息和数据最大的差异在于,信息所包含内容及内容指向的具体法益是确定的,而数据通过处理获得的内容,以及内容指向的具体法益并不确定,而是一种抽象的法益可能性。例如,公民个人信息的内容是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”而公民个人信息特定内容所指向的具体法益则是公民个人信息权。然而,数据在静态状态下仅是特定的符号排列,必须经过特定目的的数据处理后,才能转化为有具体内容的信息,而根据数据处理目的的不同,相同数据能够得到的信息内容亦存在差异。例如,某医院近10年的病例数据,通过数据处理可以获得公民个人信息和商业秘密、也可以获得公共卫生信息,在特定情况下可能还可以获得国家秘密、军事秘密。实际上,如图一所示,在一定意义上,任何数据都可能同时关系到个体利益、公共利益和国家利益,几乎可以抽象涵盖到现有刑法保护的所有法益。
我国刑法更加倾向对包含明确具体法益的信息进行保护,而对数据安全这种抽象的独立法益属性关注不足,最为典型的就是《刑法修正案(七)》增设非法获取计算机信息系统数据、非法控制计算机信息系统罪。在立法层面“非法获取计算机系统数据”的行为,犯罪对象是可能蕴含各类信息的数据,但是相关司法解释的方式,将其限定为包含“身份认证信息的计算机信息系统数据”。然而,随着大数据技术的广泛应用,数据的独立价值日益凸显,特别是我国《数据安全法》施行后,数据安全将成为法定的独立法益,现有刑法通过信息对数据进行间接保护的方式,将面临保护严重不足的挑战。例如,非法获取上文所说的医院数据的行为,现有刑法必须要依赖行为人主观想获取的信息类别来确定行为性质,然而,行为人可能主观上并未有获取特定种类信息的目的,而是由于认识到该规模数据的价值,想非法获取后出售获利,此时如何进行准确的刑法评价将是难题。无论是按照侵犯公民个人信息罪、侵犯商业秘密罪抑或非法获取国家秘密罪都无法完整评价该规模数据的价值。因此,面临新的数据犯罪,传统立法独立性存在“先天不足”,学界开始提出未来刑法应当将数据安全法益作为独立保护法益,通过增设新的数据犯罪罪名,对数据犯罪进行独立规范评价。
三、数据安全领域刑法扩张的合边界性审视
“合边界审视”是指判定刑法扩张是否超出了基于刑法公权力谦抑性而限定的边界,是每一次刑法扩张前都应当被反复衡量的问题。同现在刑法所保护的信息安全相比,数据安全的内涵和外延上有了明显的扩展,但数据活动本质上依然是人类的活动领域。当前,数据安全中公权力的存在已经被立法所正式宣示,一旦数据活动关联到了足够重要的利益,刑法就应当考虑介入。而刑法介入不能只考虑必要性,更需要考虑“合边界性”,缺乏任何一个要素,刑法的介入都将出现“不稳定”乃至“坍塌”的制度风险。然而,尽管我国刑法从1979年开始,就整体上呈现出扩张趋势,但“刑法边界合理划定”问题长期以来却并未引发理论界的太多关注,这一方面固然是受到刑法学界对规范刑法学或法教义学研究偏爱的影响,但更为关键的是,过去刑法扩张步履较为平缓,学界普遍能够接受而未提出太多质疑。近年来刑法扩张明显加速,尤其是《刑法修正案(九)》颁布后,我国刑法全面介入信息数据领域,学界才开始集体反思是否存在刑法过度扩张的问题。
德国公法语境下的“刑法边界”,最初起源于契约理论对国家权力合法性的论证,契约理论模型中,国家刑事处罚权来自人民的权利让渡,因此,国家刑事处罚权必须限定在人民授权的界限内,否则应当视为一种越权行为。然而,由于契约理论是假设性的理论推演,缺乏真实契约内容基础,国家刑罚权从理论到实践需要更为具体的标准来界定,针对什么样的行为,国家才能运用刑罚权。因此,“刑法边界”问题在德国刑法学界,主要是围绕着合理限制国家刑事处罚权的标准如何确定展开。而在英美法系中,同样存在对刑事处罚权正当性追问的研究传统,英美法系中国家刑罚权设定界限的理论,受到19世纪自由主义政治哲学的直接影响,而在一定程度上,英美法系对于该问题的研究比以德国为代表的大陆法系更为深刻。
我国刑法学界则长期缺乏对刑法边界这一问题的专门探讨,在很多情形下刑法边界一词被随意性使用,由此也导致了对刑法边界内涵的几种误读:其一,将刑法边界视为刑法条文的范围。因此,随着刑法条文的增加,刑法边界就会不断“延伸”,例如有学者提出,当前立法增设了较多保护“集体法益”的罪名,“这形象地反映了传统刑法边界在现代社会不断延伸的现实”。这种误读下,刑法边界不再具有在刑法条文之上限定国家刑罚权的功能,而是简单等同于刑法条文范围,可以被立法机构所随意突破;其二,将刑法边界视为罪名的适用范围。因此,扩大司法解释的存在本身就是刑法边界的“扩张”,例如,有学者提出当前司法解释中“应当知道”的运用是“对刑法边界的一次扩张”。此种误读下,刑法边界也显然不是国家刑事处罚权的正当性界限,而是可以在刑法理论内部自冾的前提下,被司法机关“合理”打破的罪名适用范围;其三,将刑法边界视为正当程序原则。因此,刑法边界是需要通过正当程序来限定的,程序正义成为国家行使刑事处罚权的合理性依据,例如有学者提出,为了应对恐怖主义犯罪的新风险,国家刑事处罚权边界可以延伸,但是应当通过正当程序予以限制。这种误读下,刑法边界从实体法问题变成了程序法问题。正当程序固然也是对国家刑事处罚权进行限定的重要途径,但正当程序显然无法解决“何种行为不能被视为是犯罪予以刑事处罚”这一刑法边界核心问题。明确刑法边界的内涵,是讨论刑法当前网络空间扩张合理性边界的前提。笔者认为,刑法边界是基于公权和私权平衡而设定的国家行使刑事处罚权正当性界限。
具体来看,数据安全领域刑法扩张的合边界性审视,必须要明确以下几个前提:第一,数据安全领域的刑法保护必须符合国家行使刑罚权的正当性,不能突破刑法既定边界。刑法边界应是国家运用刑罚权时禁止逾越的“红线”,对刑法边界的“延伸”“扩大”“突破”本身都将造成国家刑罚权的滥用。在这个层面,数据安全同其他传统法益应当具有一致性,不能因为数据安全是新兴法益或是重要法益,就可以突破刑法权力边界。第二,数据安全的刑法保护应当是基于公权和私权平衡而设置的国家刑罚权。数据安全同时蕴含着公权和私权,而公权和私权必须处于一种动态的平衡当中,整个社会才能有序运行和持续发展。因此,当私权扩张的同时公权也需要同步扩张,但公权的扩张应当是基于对私权保护的合理扩张,数据安全的刑法保护作为一种公权力介入,不能损害数据安全领域的私权。第三,数据安全刑法保护不排斥刑法适用范围的扩张。刑法边界并非是对刑法适用范围的“画地为牢”,基于公权和私权的动态平衡,刑法边界允许刑事处罚权的合理扩张。在实践中表现为通过刑法条文和司法解释,实现罪名增设、可罚性前移等刑法适用范围的扩张,但是,数据安全领域刑法适用范围的扩张应当始终坚持“边界意识”,不能突破刑法边界。
四、数据安全刑法保护边界划定的合理标准
我国学界普遍以“法益原则”作为划定刑法边界的理论模型,但其早已饱受理论质疑和实践否定,实际上已经难以承担评价刑法是否过度扩张的理论工具功能。因此,数据安全法益自身不具备限制刑罚权过度扩张,划定刑法边界的功能。引入英美法系的刑法边界划定模式,基于危害性原则对数据安全刑法保护边界进行划定,是确保数据安全领域刑法扩张能够坚守自身谦抑性的合理路径。
(一)数据安全法益无法划定明确的刑法边界
我国早期对刑法边界划定的理论通说,是源于前苏联刑法理论对犯罪实质定义而建构的社会危害性理论,但随着“法益原则”和“危害原则”逐步被引入国内之后,“社会危害性原则”的理论定位问题开始引发学界的广泛思考,主要产生了以下两种代表性观点:其一,社会危害性原则和法益危害原则同一说。该观点认为,我国的社会危害性原则实质上就是大陆法系的法益原则。例如,有学者通过理论推演得出:“法益侵害性和社会危害性是本质上相同的概念”,有学者则直接从法律解释中提出:“我国刑法第2条与第13条的规定也清楚地表明,刑法的目的是保护法益,犯罪的本质是侵害法益。”其二,社会危害性原则独立说。该观点认为我国的社会危害性原则是同大陆法系的“法益原则”和英美法系“危害原则”相并列的独立理论体系,然而,持该观点的学者也普遍提出,我国应放弃“社会危害性原则”向“法益原则”发展,“应当把犯罪客体还原为刑法法益,然后将刑法法益纳入犯罪概念,以法益侵害作为犯罪的本质特征,由此取代社会危害性概念。”因此,整体来看,无论对社会危害性原则持何种解读,我国刑法学界从21世纪以来,实质上已经集体向“法益原则”转向,这也被视为我国刑法理论摆脱传统苏俄刑法理论束缚的重大突破,从此,我国理论界开始普遍期待法益原则可以承担限制国家刑罚权、刑法正当性证成的功能。
“法益原则”主张法益是刑法的基本指导理念,而只有刑法规范的目的是为了保护法益时,才具有正当性,德国学者克劳斯·罗克辛(Claus Roxin)是坚持“法益原则”的代表性人物,其提出法益概念本身就是为限缩刑罚权建构的,刑法仅仅应当保护预先规定的利益,因此排斥单存违反道德的行为和单存违反秩序的行为。换言之,在数据安全刑法保护领域,只要数据安全被确立为值得保护的独立法益,相应的刑法合理性边界就已然确定。
毫无疑问,“法益原则”在当前我国学界具有较大的影响力,然而“法益原则在理论层面一直存在两个问题难以解决。第一,法益究竟是什么?法益概念在德国学界依然是众说纷纭,未有一致性的界定,甚至可以认为德国学界关于法益唯一的“共同立场”就是——法益概念始终处于争论和模糊之中。《草案》中关于数据安全是数据得到有效保护和合法利用,并持续处于安全状态的能力的界定,是否可以直接作为刑法中“数据安全法益”的内涵?
第二,法益如何限定刑罚权?基础概念的争议在法学理论界可谓是一种“常态”,因此,上述法益概念之争并非不可接受,但是对法益功能的普遍质疑,则直接动摇了“法益原则”划定刑法边界的理论基础。“法益原则”能够限制刑罚权的前提是法益凌驾于刑法立法者之上,换言之,法益应当是先于刑事立法而存在,刑事立法者不能修正法益的内涵,更不能随意扩张法益的外延。然而,法益本身的生成机制却排斥上述理论前提判断。刑事立法者对社会中各种利益进行判断,将其中特定利益通过刑法进行保护,特定利益也就成为了法益,这也成为法益原则备受质疑的根源。
因此,数据安全领域的具体法益由刑事立法者创制的这一模式,直接导致了数据安全法益无法超然于刑事立法行为。而从我国刑法在信息安全领域的扩张来看,一直存在着“刑法先行”的情况,既在私法尚未明确特定种类信息安全权利,但刑法却已然将其列为法益,最为明显就是刑法在2009年就将“公民个人信息”纳入保护范围,但作为行政法领域的《国家安全法》和民法领域的《民法总则》,在2017年才规定了公民个人信息的保护,而且至今刑法对公民个人信息外延的认定依然明显大于行政法和民法的规定。所以,显然很难期待数据安全法益本身可以实现限制国家刑罚权过度扩张,明确数据安全刑法保护边界的功能。
(二)基于危害性原则的数据安全刑法保护边界划定
“危害原则”于19世纪中期随着自由主义理念的兴起,由美国学者约书亚·沃伦(Josiah Warren),英国学者约翰·密尔(John Mill)所先后提出,并以1859年《论自由》为哲学基础,衍生了一系列法学理论主张,成为当前英美法系对刑法公权力合理性追问的首要归因和基础性原则。“危害原则”主张,只有特定个体的行为给他人的正当利益造成损害时,才能接受来自社会的强制性惩罚,换言之,刑法公权力只能在出现“危害他人”(" harm to others")时才能运用。近年来,危害原则开始被我国学者引入作为划定刑法边界的新视角。笔者认为,相比较抽象的“法益原则”,“危害原则”提供了一个更具有可操作性的方案,更适合为即将开始的新一轮数据安全领域刑法扩张,划定合理性边界。
然而,“危害原则”的标准虽然从价值层面揭示了数据安全犯罪对他人的危害性,但如何限定这种危害的范围,还需要提出更为具体的模型,整体上可以分为两种类型。
其一,基于“狭义危害原则”的数据安全刑法保护边界限定。“狭义危害原则”将“危害”仅限定为着现实的、确定的他人利益损害。该观点受到早期自主主义观点的影响,坚持明确的利益危害事实和危害对象时才可以运用公权力,这一主张,在赫伯特·哈特(Herbert Hart)同帕特里克·德夫林(PatrickDevlin)关于同性恋、卖淫等违法性道德的行为是否应当犯罪化的著名论战中,得到了充分的体现。“狭义危害原则”视角下,数据安全刑法保护道德性完全建构于对个体数据安全的保障之上,因此,对刑法边界将进行严格的限定,一方面,将“危害”的内容,限定为现实的数据安全利益损害或现实的利益损害风险,因此仅造成抽象数据安全损害危险的行为,不应当使用刑法公权力,换言之,数据安全未来的刑法保护不宜设置抽象危险犯,而是仅限定为实害犯和具体危险犯;另一方面,将“危害”的对象,限定数据活动对其他个体的侵害,“个体行为即便给社会秩序带来破坏,但如果无法确定这种实质性损害,依然不能收到强制性处罚。”因此,以机构、组织和公共秩序为对象的数据处理行为,如果没有直接危害到其他个体,同样不能运用刑事处罚的手段。因此,刑法对于公共数据安全和国家数据安全的保护,必须先进行预判特定公共数据安全或国家数据安全的危害行为,是否也包含了对个体数据安全的危害,当数据活动是针对大规模的去标识化数据或匿名化数据时,该条件则很难满足。
其二,基于“广义危害原则”的数据安全刑法保护边界限定。“广义危害原则”源于以乔尔·范伯格(Joel Feinberg)、哈伯特·帕克(Herbert L. Packer)为代表的美国学者,对“狭义危害原则”进行了体系化的全新发展与解释。一方面,将“抽象利益损害的危险”纳入到危害的内容之中,只要该特定的抽象危险具有引发直接损害的现实性。因此,仅引起抽象风险的数据活动行为,也可以被纳入到刑法的制裁范围;另一方面,将公共秩序和组织机构纳入“危害”的对象范畴,“预防对行为人以外(个人的或公共的)各方造成损害或损害风险,永远都是法律强制的适当理由。”因此,刑法对数据安全的保护,自然也就可以扩展到公共数据安全和国家数据安全领域,无需再以个体数据安全损害为基础。
END