内容摘要:我国
刑法应当对数据安全加以独立保护,这不仅是基于数据安全
刑法保护法益的需要,也是落实法秩序统一性原理的要求。为转变现行立法理念,提升立法技术,弥补处罚漏洞,我国
刑法需要推进对数据安全的独立保护。首先,应当在
刑法中构建信息安全、数据安全和计算机信息系统安全并行的保护体系,专设“数据犯罪”专章或专节;其次,改变数据犯罪附属于信息犯罪、计算机信息系统犯罪的条款之立法模式,强化数据犯罪罪名与刑罚的主体性和独立性;再次,细化不同数据生存周期犯罪的罪状描述,贯彻数据分类分级保护理念;最后,通过刑事合规制度强化网络服务提供者职责,激励企业对涉及重大法益的犯罪行为事前进行预警和防控。
关键词:计算机信息系统安全;数据安全独立保护;数据安全保护法益
大数据时代背景下,数据
[1]成为新的生产要素,数据安全也日益引起社会的全面关注。正如德国刑法学者乌尔里希·齐白(Ulrich Sieber)所言:“正在兴起的信息社会正在创造新的经济、文化和政治集会,但它同时也引发了新的风险,这些新的机会和风险正在对我们的法律制度构成新的挑战。”
[2]然而,由于信息犯罪相关法律规范将保护的重点放在计算机信息系统安全方面,致使数据安全保护始终处于附属和次要地位,加剧了计算机犯罪的“口袋化”趋势。我国近年来不断爆出来的诸多案件,体现出数据犯罪
[3]与其他犯罪罪名定性上的争议,由此数据犯罪的独立
刑法保护逐渐受到重视。例如,2016年全国首起制售微信外挂软件“张某等提供侵入、非法控制计算机信息系统程序、工具案”中,公诉机关与法院之间就非法经营罪与提供侵入、非法控制计算机信息系统程序、工具罪存在定性上的争议;
[4]再如,2018年全国首起流量劫持“付宣豪、黄子超破坏计算机信息系统案”中,就流量劫持是否属于破坏计算机信息系统行为存在破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪三个罪名定性上的争议。
[5]
检视我国
刑法关于数据安全的罪名保护体系,不仅弱化数据犯罪法益独立保护,内部存在结构性的矛盾,而且对数据犯罪的规制不够周延。例如,无论是“破坏型”罪名还是“获取型”罪名,其不仅将数据犯罪依附于计算机信息系统保护之内,忽视了数据本身独立的价值,数据安全得不到充分的保护,而且均将重点放在对数据犯罪的前端治理,对危害性更大的数据泄露、数据滥用等末端犯罪的规制则有所欠缺。
本文立足数据安全独立的保护法益,论证数据安全犯罪刑法规制的必要性,针对目前数据犯罪立法依附于计算机信息系统犯罪存在的问题,并就如何在立法上实现对数据犯罪的有效规制提出完善方案。
一、数据安全独立刑法保护的必要性
(一)数据犯罪发案率高且具有严重的法益侵害性
受制于计算机技术水平的发展,立法者之前将数据等同于计算机信息系统是合理的。
[6]然而,随着信息技术的发展,计算机信息系统和数据的关系清晰为载体与内容,显然作为核心要素的数据更加具有经济效益和社会价值。这是在
刑法上要对数据安全给予独立保护的根本原因。也正是基于此,刑法学界在关于数据犯罪法益内涵的认识上,
数据安全法益逐渐取代了计算机信息系统安全法益,主张数据犯罪的保护法益在于使数据免于遭受不法侵害,
[7]认为基于数据本身的特点和属性,遭受侵害的数据与计算机信息系统之间存在本质差异,故应当对数据实施区别于计算机信息系统的专门保护。
但是相比于社会对侵害信息和计算机信息系统行为的严重性质和社会危害性较为普遍的认识,侵害数据安全的行为则长期以来被严重忽视了。由于侵犯数据的行为往往以获取相应的信息为目的,犯罪手段具有隐秘性和不确定性,加上现有的很多数据犯罪行为分别被归入信息安全犯罪、财产犯罪等原因,使得数据遭受侵害的严重性程度被低估。然而,侵犯网络数据安全犯罪的数量正以爆炸式的速度迅速增长,例如,在北大法宝网以非法获取计算机信息系统数据罪进行模糊检索,截止到2018年共发现2924起案件,至2019年发现4418起案件,至2020年发现6105起案件,至2021年发现7622起。
[8]虽然非法获取计算机信息系统数据罪仅仅是数据犯罪的其中一个罪名,却也表明侵害数据安全行为已经成为不可忽视的问题,无形中印证了“世界万维网之父”蒂姆·伯纳斯-李“下一代互联网的本质由计算网络转为数据网络”
[9]的论断。
从行为性质和社会危害性来看,侵害数据安全行为的危害性同样很大。首先,会对公民人格权造成严重侵害。就数据泄露而言,通过对数据的深层次挖掘,公民不仅可能会遭受身体伤害、人格损害或财产损失,以及因为数据算法和预测性分析评估等面临被刑事调查、逮捕等剥夺自由的法律后果,而且更有可能随着公民个人隐私被窥探、身份被盗用或遭遇歧视、诈骗或勒索等,致使受害人因此而产生难以言明的恐惧与焦虑等不良的精神或心理反应。简言之,数据泄露更多的是关乎人而非物,其所导致的损害呈现无形、分散以及风险导向等特征。
[10]此外,2016年Facebook向英国咨询机构剑桥分析泄露5000万用户数据事件表明,数据泄露还可能会被作为分析个体的工具,进而产生干预选举等地缘政治影响。
[11]其次,数据泄露会对企业造成致命性影响。数字经济背景下,数据成为企业的重要资产,企业之间围绕数据的争夺日趋激烈,如果数据遭到泄露,极有可能会给企业带来严重灾难。例如,在“酷米客诉车来了”一案中,
[12]虽然公交车以及运行路线、运行时间是客观事实,但是经过相应的收集、分析、编辑以及整合并配合GPS精确定位,其作为公交信息查询软件的数据,以其精确性可以使“酷米客”APP取得相较于其他同类软件的竞争优势和更大的市场利益。而“车来了”公司通过网络爬虫技术非法获取并无偿使用公交信息数据,是一种典型的侵权行为,不仅会对酷米客公司造成巨额财产损失,甚至会使“车来了”公交查询软件完全取代“酷米客”,获得垄断性市场地位。最后,侵犯数据安全的行为,特别是侵犯关系国家基础信息、国家安全、国计民生和重大公共利益等国家核心利益的数据,可能对国家安全造成威胁。在首例涉案数据鉴定为情报类案件中,
[13]上海某信息科技公司帮境外某公司采集中国铁路信号数据,其行为涉嫌为境外刺探、非法提供情报罪而被逮捕。
[14]因为此处的数据涉及铁路GSM-R敏感信号,用于高铁列车运行控制和行车调度指挥,一旦被国外别有用心的机构获取,将会对国家安全造成巨大隐患。此外,2021年,国家安全机关公布了三起数据泄露案例:“某航空公司数据被境外间谍情报机关网络攻击窃取案”“某境外咨询调查公司秘密搜集窃取航运数据案”“李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案”。
[15]由此表明国家安全机关高度重视数据安全,并将其作为国家安全的重要组成部分。
(二)法秩序统一原理的需要
法秩序统一性原理是
刑法立法的一个重要原则,主要是指
宪法、民法、
刑法等各个法域之间构成法秩序的整体统一。尽管不同的法律部门在规制范围、规制手段上有所差异,但是都离不开对正义、自由、人权等基本价值理念的追求,可以说,法秩序统一是部门法共同价值追求下的产物。法秩序统一性原理下
刑法从属于前置法,并不是前置法上的违法性行为在
刑法上必定具有违法性,而是法秩序统一性原理指导下各部门法所推导出的共同结论而已。
[16]随着
民法典的颁布施行,包括
刑法在内的各部门法规范和学理体系逐渐运用法秩序统一性原理来调整,已经成为所有法学学者的共识。
[17]据此,也能得出
刑法应当对数据安全独立保护的结论。
前置法中关于数据安全的相关规定对于
刑法本身具有重要意义。无论是《
数据安全法》还是《
个人信息保护法》,这两部法律分别在第
1条就数据安全和信息安全的保护目的作了规定,表明数据和个人信息是两个完全不同的概念,我国实行的是信息和数据的二元保护机制。该条衍生出的一个重要要求是独立、平等保护数据和信息安全,不能将二者混为一谈。据此,也可以得出应当将数据安全置于独立的保护地位。此外,在信息和数据二元保护机制的背景下,《
数据安全法》就数据安全的独立保护作出了详细的制度设计,例如,第
21条分别从宏观上和微观上就数据分类分级保护制度作了相关规定;
[18]第
3条就数据处理的生存周期作了全覆盖规定;数据合规方面,第
29条和第
30条分别就一般数据和重要数据处理者的数据风险监测评估和报送义务作了规定;第
34条规定数据处理相关服务应当取得行政许可等。可见,在前置法的视野下,侵害数据安全是一种具有独立评价意义的行为。
法秩序统一性原理要求
刑法应当对前置法关于数据安全的规定作出回应,换言之,作为保障性法律而存在的
刑法也应当对侵害数据安全的行为加以独立规定,以防出现对数据安全的不周延保护。反观我国关于数据犯罪的刑法规制,一方面不断扩大公民个人信息的范围,使得
刑法中公民个人信息的概念大于《
个人信息保护法》中的信息概念,侵犯公民个人信息罪承担了部分数据犯罪的规制功能;另一方面,将数据犯罪依附于相关计算机信息系统犯罪中加以规制。如果说这种关于数据犯罪的刑法规制在《
数据安全法》《
个人信息保护法》颁布之前尚且说得过去,那么在当前数据犯罪法律关系基本构建的情况下,
刑法的现行规定就涉嫌违背法秩序统一原理精神。此外,可能有学者认为我国《
刑法》第
285条非法侵入计算机信息系统罪就相关国家领域的重点规制体现了分类分级保护要求,但该条款不仅因打击范围过窄,对于大多数常见的黑客侵入行为无法规制而饱受指责,而且与非法获取计算机信息系统数据罪相比较存在诸多结构性缺陷,事实上反而无法起到重点打击侵入上述国家领域的行为。就数据安全的生存周期而言,侧重于对数据犯罪的前端治理,对于数据滥用、数据窝藏等末端犯罪行为有所遗漏,尚未覆盖完整的数据生存周期。由此可见,构建侵犯数据安全独立的刑法规制模式是符合法秩序统一性原理内在要求的。
(三)与域外立法趋于一致
考察当今国际社会的刑事立法,各个法域无论是以附属
刑法的形式还是增设罪名的形式,尽管各国关于数据犯罪的具体罪名等方面不尽相同,但是却具有立法的共同趋向,那就是不约而同地去强化数据保护的独立地位。这种数据安全保护的立法趋向,特别是以德国为典型的分类保护模式和以美国为代表的集中式立法,对于我国现行
刑法具有参考和借鉴价值。
以德国为例,早在1970年德国就率先通过了世界上第一部个人数据保护法,即《黑森州数据保护法》,这为后来的《德国联邦数据保护法》奠定基础。德国将数据分为个人数据和一般数据,体现出对数据的差异保护。2019年新修订的《德国联邦数据保护法》为个人数据的保护作了细化和调整,
[19]例如,其将原法第44条第(1)款规定
[20]的行为分别设置为两个独立的犯罪构成要件:“(1)在未经授权的情形下,以营利的方式,故意将多人非开放数据传输给第三方或者通过其他方式开放……。(2)在未经授权的情况下,为了获取利润,或者为自己或他人谋取利润,或者为了给他人造成损失,处理未开放的个人数据,或者通过虚假的信息骗取未开放的个人数据……。”此次修订以个人信息自决权理论为基础,将数据安全上升为
宪法基本权利,并改变借助于行政处罚的规定,设置独立的犯罪构成要件。与此相对应,《德国刑法典》历经数次修订,形成关于一般数据的全面规定。如1986年德国联邦议会通过《第二部打击经济犯罪法》,新增第202条a窥探数据罪、第303条a数据变更罪等罪名。2007年《德国刑法典》不仅新增第202b条截获数据罪、第202c条截获数据的预备罪以及在303条a数据变更罪中增设预备行为处罚,而且将原有的第202条a规定的窥探数据罪中的“非法获取数据”修改为“非法获取数据访问路径”,以便将黑客入侵行为纳入刑法规制范围。2015年,德国《通信数据的存储义务与最长存储期限引入法》新增第202条d窝藏数据罪,以此来打击非法获取数据的交易,并避免前述犯罪行为的延续和深化。
[21]
再如美国,关于数据犯罪,1994年《暴力犯罪控制和执行法案》将1030条(a)(5)的范围扩大为所有意外甚至没有任何疏忽造成的计算机或存储数据的损坏行为。
[22]1996年《经济间谍法》将(a)(2)的适用对象由金融机构、发卡机构或消费者报告机构的金融记录扩大为任何类型的信息。
[23]进入21世纪,无论是2001通过的《爱国者法案》,还是2008年通过的《身份盗窃惩罚和赔偿法》,都进一步扩大了计算机犯罪保护范围。
[24]申言之,虽然名义上为计算机犯罪,但其始终将数据犯罪置于与计算机犯罪同等的保护地位,甚至数据犯罪的相关条款多于计算机犯罪,故也被学者称CFAA“名不副实”。
[25]其他如法国,2015年最新修订的《法国刑法典》将原先的“侵犯资料自动处理系统罪”改为“侵犯数据自动处理系统罪”,涵盖对非法增加、摘录、持有、复制、传递、删除以及更改等多种行为的规制。
[26]可见,无论是德国的分类保护模式还是美国的集中式立法,都不影响对数据安全的保护效果。综上,对数据安全进行独立的
刑法保护,是一种经过各国检验的立法思路。
二、我国刑法数据安全独立保护之不足
(一)立法理念落后于司法实践
非法获取计算机信息系统数据罪、破坏计算机信息系统罪等体现了
刑法对数据犯罪的关注,但更多的罪名表明我国
刑法立法依然将数据安全保护依附于计算机信息系统范畴,这种立法模式隐含着一个不科学的立法理念,就是对于数据犯罪的理解过于滞后和狭隘。具体而言,主要表现在以下几个方面。
一是对数据犯罪的认识未摆脱古典占有主义理念的影响。洛克沿袭了格劳秀斯的所属概念,提出占有的个人主义,其将财产建立在劳动之上,认为劳动是获得财产的方式。
[27]受占有主义理念影响,传统的
刑法并没有明确数据的财产地位,而是将其作为所属之物来界定。事实上,对数据和应用程序进行非法删除、修改、增加的操作,其本质上属于通过对行为对象的毁损而破坏他人对数据的合法占有,是一种“物化”数据思维的体现。例如,在XXX等四人盗窃案中,“被告人XXX等四人以非法占有为目的,编写、传播‘木马’病毒程序,利用‘木马’病毒程序截取他人网上银行账号、密码,然后秘密窃取他人网上银行的存款”,该案件被定性为盗窃罪,
[28]其本质上就是将银行账号、密码之类的数据视为稀缺性财物的表现,故以传统财产犯罪对其加以规制。
二是以秩序为本位的观念也在很大程度上影响着我国数据犯罪的立法。例如,我国
刑法之所以对涉及个人数据的犯罪行为实施处罚,并非因为其侵犯了数据主体的合法权益,而是基于对经济秩序和网络空间秩序的保护考虑。这种立法模式是典型的秩序本位观思路,会不恰当地将数据犯罪限缩于计算机信息系统犯罪规制范围之内,未能体现出对数据犯罪本身的重视。
[29]实际上,随着信息社会的发展,大数据具有越来越重要的价值,逐渐形成与现实世界相对应的网络空间,而这种秩序本位观将造成诸多漏洞。例如,只要个人数据的控制者与处理者在收集环节履行了相关的告知义务,即使其后续的保管、处理与使用等环节造成对数据的侵害,在未涉及秩序利益的情况下也将不会受到
刑法的规制。再如,对于司法实践中使用批量注册、恶意刷量等和平手段侵犯数据服务的行为,因其并没有影响到计算机信息系统的正常运行,则难以划入计算机信息系统犯罪的规制范围。
需要在此一并提出的是:其一,受中国计算机技术发展的影响,
刑法立法的回应往往稍显滞后。比如计算机信息系统犯罪的基本入罪情节要求情节严重,事实上,这种模式已经难以适应大数据时代背景下保护数据的需要。其二,为了突出对数据安全的保护,当今越来越多的国家和地区都在
刑法典中将数据犯罪及与之相关的犯罪独立成章节,但我国至今没有在
刑法中设专章或专节来规定数据犯罪及与之相关的犯罪,而是将其散布规定在妨害社会管理秩序罪一章。即使将数据犯罪脱离出计算机信息系统犯罪,如果其所属章节的位置不加以调整,也会让人觉得计算机信息系统才是保护重点,同样不利于数据独立保护的实现。
(二)现行立法存在诸多处罚漏洞
我国
刑法对于数据安全的保护主要通过将其依附于计算机信息系统的范畴内予以间接实现,使得有关数据犯罪的规定留下诸多处罚漏洞。这不仅表现在现有计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论,而且囿于无法突破计算机信息系统保护体系,致使其与覆盖整个数据生存周期的独立数据保护模式相差甚远。
例如,《
刑法》第
285条第2款非法获取计算机信息系统数据罪将保护对象限定为国家事务、国防建设、尖端科学技术领域计算机信息系统之外的领域,致使非法获取这三类重要数据反而出现立法保护的空白。此外,对于采取非侵入手段,比如复制(“撞库”“打码”)等仅仅造成数据的部分形式处分权和支配权受害的侵犯,虽未必对计算机信息系统内部的数据造成损坏,却同样可以获取计算机信息系统中的数据。在谭房妹等非法获取计算机信息系统数据、提供侵入计算机信息系统程序案件中,谭房妹借助被告人张剑秋的“打码”,并通过下载使用被告人叶源星编写的“小黄伞”软件、购买验证码充值卡,成功获取淘宝账号、密码2万余组,并将其出售给他人,获取违法所得25万余元。将该案件定性为非法获取计算机信息系统数据罪是正确的,但是随着信息技术的发展,未来还会出现更多的不以侵入为前提的非法获取手段,
[30]问题的关键是明确此种行为的侵害实质是数据安全还是计算机信息系统安全。
比如非法侵入计算机信息系统罪,一方面,其将对象限定为国家重要领域的计算机信息系统,由此造成大量侵入经济建设等领域其他计算机信息系统的黑客行为无法规制,进而可能引发对相关帮助犯,比如提供侵入、非法控制计算机信息系统程序、工具罪正当性的质疑;
[31]另一方面,致使侵入国家事务、国防建设、尖端科学技术领域计算机信息系统并获取数据的行为(实践中定性为非法侵入计算机信息系统罪)与侵入其他领域计算机信息系统并获取数据的行为(非法获取计算机信息系统数据罪)二者定罪量刑上的不均衡。
[32]
再如破坏计算机信息系统罪,无论是理论界还是实务界,都认为只有造成计算机信息系统不能正常运行的才能构成破坏计算机信息系统罪,
[33]致使对于删除、修改、增加数据等侵害数据安全却没有造成计算机信息系统不能正常运行的行为的处罚漏洞。例如,在黄祥招、汪伟达、陈岩等破坏计算机信息系统案二审中,案件的争议焦点在于黄祥招等被告人的行为是否对计算机系统造成破坏或影响其正常运行造成其他直接危害后果,如果认为对计算机系统造成破坏或影响其正常运行造成其他直接危害后果的,应当定性为破坏计算机信息系统罪。与此相反,虽然对计算机信息系统数据予以修改、增加,却并未造成计算机信息系统不能正常运行的,则只能定性为非法控制计算机信息系统罪。
[34]此外,与第286条第1款中对计算机信息系统功能进行删除、修改、增加、干扰相比较,第2款仅规定了对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加三种行为,造成对干扰数据行为规制的遗漏。事实上,司法实践中已经出现不以侵入计算机信息系统为前提,对其功能加以干扰影响其正常运行的案例。例如,最高人民法院发布的指导性案例104号李森、何利民、张锋勃等人破坏计算机信息系统罪案件中,被告人采用棉纱等物品堵塞环境质量检测采样设备,干扰采样,致使监测数据严重失真。
[35]再比如被告人许某通过在IDC机房安装服务器、交换机的方式,最终达到屏蔽、改变数据传输路径,致使监测、预警对其失效的效果。
[36]两个案例存在诸多相似之处,比如都因为没有侵入计算机信息系统却影响到信息系统的功能,使其不能正常运行而被认定为破坏计算机信息系统罪中“删除、修改、增加以外的其他方法”,最终被定性为破坏计算机信息系统罪。然而,破坏计算机信息系统罪的保护客体是计算机信息系统安全,因此在被告没有直接侵入到计算机信息系统本身情况下被认定为破坏计算机信息系统罪的正当性值得进一步讨论。
我国目前关于数据犯罪的规制重点集中在“获取”型和“破坏”型等犯罪行为,对于数据存储、数据窝藏、数据滥用、数据泄露等行为则缺乏必要的规制,忽视了数据生存周期原理动态的
刑法保护。例如,就数据存储而言,在周某某等侵犯公民个人信息案中魔蝎公司违背《数据采集服务协议》中“仅在用户每次单独授权的情况下采集信息时保存用户账号密码”的义务,未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。法院认定相关主管人员和其他直接责任人员周某、袁某均已构成侵犯公民个人信息罪。
[37]可见,非法存储数据和非法获取数据都具有法益侵害性,只是非法获取数据行为被非法获取计算机信息系统数据罪规制,而非法存储数据行为则构成侵犯公民个人信息罪。
再比如就数据滥用行为而言,在谢康、岳安安非法侵入计算机信息系统案中,被告人岳安安、谢康通过购买“e2eSoftVCam”摄像头辅助软件、下载“轻松换脸”软件,在“交管12123”系统上处理代办审车、车辆违章业务时,利用上述软件逃避实人认证,造成被害人郭某、邓某等人驾驶证分数被扣除。此处法院将“交管12123”作为国家事务的计算机信息系统,认定为非法侵入计算机信息系统罪。
[38]然而,该案的法益侵害本质是利用AI换脸等技术手段非法使用他人数据的行为,是违背法律规定对他人数据的滥用,故定性为非法侵入计算机信息系统罪无法实现对该侵害行为的全面界定。
就窝藏数据的行为来说,虽然2011年《
关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第
1条以掩饰、隐瞒犯罪所得罪定罪处罚。
[39]但掩饰、隐瞒犯罪所得罪位于我国《
刑法》第六章第二节妨害司法罪中,具有妨碍司法秩序和财产追回权利的双重法益侵害性,与窝藏数据侵害
数据安全法益二者之间存在本质上的差异。故以财产犯罪“违法所得”标准一刀切地适用数据犯罪,无法体现对数据保护的实际需要。
(三)相关解释也无法弥补处罚漏洞
解释论和立法论作为刑法学研究的重要方法,互为补充,如果司法实践中相关难题能够通过解释加以解决,尽可能予以解释;如果解释不通,只能通过立法加以完善。而我国
刑法将数据犯罪附属于计算机信息系统犯罪的立法缺陷所造成的司法困惑和处罚漏洞,是无论如何解释都行不通的。
现代国家罪刑法定原则的基本要求是
刑法