數據安全刑法保護的模式轉換:從管理安全到利用安全
2025-03-31 00:00:00梅傳強盛浩
重慶大學學報(社會科學版) 2025年1期
摘要:數據安全關乎國家安全和社會穩定,通過刑法保護數據安全既有必要性也有緊迫性。經過修正案的完善和司法解釋的補充,我國刑法形成了保護數據安全的“管理安全模式”,即以靜態數據的保密性、完整性、可用性為規范目的,以非法獲取計算機信息系統數據罪、破壞計算機信息系統罪為規范依托的數據安全保護標準樣式。“管理安全”保護模式的確立經歷了數據作為計算機信息系統的保護附帶內容、數據成為相對獨立的刑法保護對象,以及借助司法解釋擴大數據安全涵攝范圍三個發展階段。從規范上分析,“管理安全”保護模式具有封閉性、靜態性特征,這難以適應數字社會數據動態化、共享化發展的趨勢,未能實現與《中華人民共和國數據安全法》等前置法的有序銜接,并導致刑法中數據犯罪條款在司法適用出現“模糊化”的問題。數字社會的到來產生了新的數據安全風險類型,即分析數據所產生的風險,以及利用分析數據產生的知識和信息,作出決策而引發的風險。面對新的風險類型,數據安全保護亟需轉向以動態數據的保密性、完整性、可用性、可控性、正當性為核心的“利用安全”模式:在保護理念上,應當將數據作為獨立對象,從依附保護向專門保護、系統保護轉變;在規制重心上,從注重數據收集、儲存節點向其他節點拓展,從片面保護向全鏈條保護轉變;在保護策略上,從籠統保護向分類分級保護轉變。為此,應當在優化現有數據犯罪條款的基礎上,增設新的數據犯罪,并引入數據分級分類保護制度。具體而言:一是在立法上明確數據與信息、計算機信息系統的關系,并剝離出獨立的數據條款,實現數據安全的專門保護,同時,在《中華人民共和國刑法》分則中集中規定危害數據安全犯罪,實現系統化保護;二是增設非法公開、提供、出售、出境數據罪,非法分析數據罪、非法運用數據分析結果罪等犯罪,實現周延保護;三是構建數據安全分級分類保護制度,即在定罪層面,數據分級分類與數據犯罪的認定相結合,在量刑層面,數據分級分類與數據犯罪的刑罰裁量相對接,實現分級分類保護。
關鍵詞:數據安全;數字社會;刑法保護模式;數據分級分類;數據合規
中圖分類號:D914
文獻標志碼:A
文章編號:1008-5831(2025)01-0272-17
一、問題的提出
數據安全與國家經濟運行、社會治理、公共服務、國防安全等領域緊密聯系,事關國家安全和社會穩定,是一種極為重要的新興安全類型。尤其是隨著“滴滴事件”“領英數據泄露事件”“平臺大數據殺熟”等涉及重大數據安全事件的發生,數據安全問題不僅迅速成為當前社會關注的焦點問題,而且一躍成為國家治理的核心議題。加快構筑數據安全法律保障體系,提升國家數據治理效能,這既是我國法治建設的重點,也具有現實的必要性和緊迫性。刑法作為數據安全保護的重要手段,在數據安全法律保障體系中扮演著“最后法”和“保障法”的角色。從現有規范來看,《中華人民共和國刑法》(以下簡稱《刑法》)在第285條第2款“非法獲取計算機信息系統數據罪”、第286條“破壞計算機信息系統罪”及相關司法解釋的基礎上,形成了通過打擊破壞型數據犯罪和獲取型數據犯罪以保護靜態數據安全的數據安全保護模式。在該模式之下,數據安全由保密性(confidentiality)、完整性(integrity)、可用性(availability)三個核心要素構成,數據犯罪被定義為“以數據為對象的非法獲取、刪除、修改、增加等行為”,刑法中數據犯罪條款的理解與適用也應以此為中心展開[1]。該模式的一個顯著特征是,由于信息載體和計算機信息系統構成要素的雙重限制,數據被視為不具有流動性的靜態事物,數據安全也是一種旨在保持數據安寧狀態的靜態安全,因此,該模式也可稱為“管理安全”模式。
盡管管理安全模式下的規范體系對靜態數據的安全保護起到了積極的作用,但管理安全模式只是傳統信息網絡社會下數據安全保護需求的表達,并不能完全適用于正在到來的數字社會。數字社會的網絡化、數字化、智能化進程,改變了人類社會的單一物理屬性,帶來了“物理世界—數字世界”“現實生活—虛擬生活”“物理空間—電子空間”的雙重社會架構,且兩重架構之間相互影響、相互嵌入、相互塑造,共同形成了數字社會的基本形態[2]。在數字社會中,數據作為重要生產要素正改變以往相對靜止的狀態,大量數據的衍生、流動、聚集甚至被分析,深刻改變人們的日常生活,甚至影響了人們各方面的選擇和決策。在此過程中,“作為數據生產者和使用者參與‘大數據基本循環’的普通公民,對于這里所使用的信息技術基礎設施既無法把握又無法施加影響”[3],數據極易脫離監管被濫用甚至被不法分子惡意利用,產生新的數據安全風險。顯然,傳統的保密性、完整性、可用性三要素,已經無法精準和完整地概括數字社會的數據安全價值訴求,在管理安全模式下建構的刑法規范框架,也無法適應數字社會的治理思維,數據安全刑法保護面臨思維滯后、模式陳舊、規范供給不足等問題。本文將立足于數字社會數據發展的現狀及安全訴求,探討動態數據利用安全刑法保護的模式轉變方向及規范實現進路。
二、數據保護“管理安全”模式的形成
刑法中的數據犯罪可以被分為“狹義的數據犯罪”和“廣義的數據犯罪”,前者是指直接以數據為對象的犯罪,其被刑法中的數據犯罪條款專門規制;后者除了包括直接以數據為犯罪對象的犯罪之外,還包括將數據作為手段和工具的犯罪,其往往被刑法中的其他犯罪(如詐騙罪等)規制。從立法上看,我國刑法對于數據安全的保護,是隨著立法者對數據認識不斷深入而變化的,整體上可劃分為三個階段。
(一)雛形階段:數據作為計算機信息系統保護的附帶內容
數據安全的刑法保護,最早可以追溯到1997年《刑法》修訂,當時在第286條第2款增設了“破壞計算機信息系統罪”,即行為人違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,后果嚴重的,依照破壞計算機信息系統罪處罰。其中,“數據”是指計算機信息系統實際處理的一切有意義的文字、符號、聲音、圖像等內容[4],在客觀方面,只有刪除、修改、增加行為造成計算機信息系統不能正常運行時才能被評價為“后果嚴重”的情形[5]。這種將數據安全與計算機信息系統保護緊密關聯的思路源自1994年《計算機信息系統安全保護條例》第2條、第3條的規定【《計算機信息系統安全保護條例》第2條、第3條規定,“本條例所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統”;“計算機信息系統的安全保護,應當保障計算機及其相關的和配套的設備、設施(含網絡)的安全,運行環境的安全,保障信息的安全,保障計算機功能的正常發揮,以維護計算機信息系統的安全運行”。】,即借助維持內部數據的安定狀態以保障計算機(信息)系統的技術安全與運行安全的立法思維。
雖然數據概念在客觀上得到了規范表達,但以下幾個特征決定了該階段只是“自身保護”模式的雛形階段:(1)地位上的從屬性。雖然“數據”作為新興的概念被寫入刑法規范之內,但刑法禁止刪除、修改、增加數據行為的目的在于保證計算機信息系統的有效運行,數據自身的完整性、有效性、可用性只是計算機信息系統安全的附帶性內容之一。(2)狀態上的封閉性。受制于Web1.0時代的低互聯性所帶來的限制,當時的計算機信息系統之間處在相對隔離的狀態,彼此之間很難實現自由的信息交流,這使得計算機信息系統數據具有封閉性、限定性和靜態性。(3)概念上的含混性。雖然《刑法》第286條第2款明確規定“數據”,但其卻與“應用程序”同句并列,這導致司法適用中難以區分“數據”與“應用程序”,繼而引發數據實體內涵的空泛性和模糊性問題[6]。
(二)成形階段:數據成為相對獨立的刑法保護對象
管理安全模式的成形標志是《中華人民共和國刑法修正案(七)》增設“非法獲取計算機信息系統數據罪”。根據《刑法》第285條第2款規定,行為人采取非法侵入或者其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,情節嚴重的,按照非法獲取計算機信息系統數據罪定罪處罰。進入Web2.0時代后,網絡世界的互聯性和開放性明顯增強,計算機網絡犯罪的形態也隨之變化:非法侵入或者利用其他技術侵入他人計算機系統的主要目的,是竊取計算機系統存儲、處理和傳輸的數據。其中,網上銀行的數據信息又是竊取的重點,包括個人在網上銀行的賬戶、密碼等,這給公民的金融財產安全帶來極大威脅[7]。因此,刑法才調整以往的規制內容,在破壞型數據犯罪的基礎上增加了獲取型數據犯罪。
歸納來看,該階段的數據安全刑法保護呈現以下特征:(1)地位上的相對獨立性。《刑法》第285條第2款的增設使得數據的從屬性地位得以改變,數據概念的輪廓感得以加強。一方面,刑法為獲取型數據犯罪設置獨立罪名,并把“數據”寫入罪名之中進行表述,這意味著數據概念的獨立規范意義得到進一步承認;另一方面,雖然該罪的罪名被概括為“非法獲取計算機信息系統數據罪”,但考查規范內容可以發現,該罪禁止非法獲取行為的直接目的并不是保證計算機信息系統安全,而是侵入計算機系統成為非法獲取數據的途徑之一,數據安全在某種程度上擺脫了原來相對于系統安全的輔助性、依附性地位。(2)價值上的重要性。數據概念的相對獨立性也征表了數據安全在價值上的重要性,有學者認為非法獲取計算機信息系統數據罪的犯罪客體是計算機信息系統及其中數據的安全[8],數據安全法益觀開始出現。(3)內容上的完全性。雖然破壞計算機信息系統罪禁止針對數據的刪除、修改、增加行為可以保證數據安全的完整性、有效性、可用性,但這在客觀上并不周延,正是由于非法獲取計算機信息系統數據罪的增設,才形成了“破壞型+獲取型”數據犯罪的格局,數據安全的核心內容被更全面地揭示出來。
(三)擴容階段:借助司法解釋擴大數據安全的涵攝范圍
在該階段,數據安全涵攝范圍通過司法解釋和司法適用的雙重疊加實現了擴張。為依法懲治危害計算機信息系統安全的犯罪活動,維護正常的計算機網絡運行秩序,最高人民法院、最高人民檢察院于2011年出臺《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)。根據《解釋》第1條規定,非法獲取計算機信息系統數據行為的情節嚴重程度可以通過其所涉及的“身份認證信息”數量進行判斷,并且《解釋》第10條規定,“身份認證信息”是指“用于確認用戶在計算機信息系統上操作權限的數據,包括賬號、口令、密碼、數字證書等”。可見,身份認證信息被定性為數據的下位概念,數據概念的外延也擴張至個人信息的范疇。同時,根據《解釋》第10條規定,《刑法》中的“計算機信息系統”和“計算機系統”,指的是“具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等”。在司法適用過程中,數據概念也出現了一定的擴張現象,司法人員在具體案件中的擴大化解釋使得作為犯罪對象的“數據”范圍極廣,其幾乎涵蓋了身份信息、網絡虛擬財產、網絡知識產權、數據產品等一切可在電腦系統中儲存、顯示、獲取的權利客體[9],數據安全的涵攝范圍也隨之擴容。
該階段形成了數據安全保護泛化的格局,緩解了相關條款以往被局限于特定場域而適用受限的局面。總體來看,該階段的數據安全刑法保護呈現以下特征:(1)概念上的模糊性。由于數據概念借助解釋的方式不斷擴張,承載于其上的數據安全的概念輪廓也不斷拓展并隨之虛化,數據安全在客觀上已難以與信息安全、網絡安全等概念區別開來。(2)地位上的兜底性。由于新型網絡犯罪的不斷更新發展,以及前述的數據概念的擴張,《刑法》中的數據條款也隨之開始迎合更多的刑法評價需求,出現了網絡犯罪認定的數據犯罪化。以盜竊網絡虛擬財產犯罪為例,雖然不少理論學者和實務專家主張該行為成立盜竊犯罪,但最高人民法院研究室的研究意見卻認為“虛擬財產不是財物,本質上是電磁記錄,是電子數據,這是虛擬財產的物理屬性”,所以對該行為應以非法獲取計算機信息系統數據罪定罪量刑[10]。
經過三個階段的修正案完善和司法解釋補充,數據安全刑法保護的管理安全模式得以形成。《刑法》中的兩條數據犯罪條款互為補充,基本滿足了獲取階段和存儲階段靜態數據的保密性、完整性、可用性的保障需求。其中,非法獲取計算機信息系統數據罪旨在保護數據的保密性,以確保數據利益主體對數據的排他性獲取、復制、使用與處分等權益;破壞計算機信息系統數據罪重在保護數據的完整性與可用性,以確保數據不被其他主體破壞以及數據權利主體可隨時訪問和使用數據[11]。
三、數據保護“管理安全”模式的問題檢視
“管理安全”保護模式所針對的數據安全風險,主要是利用計算機網絡系統環境的漏洞來侵害數據的保密性、完整性和可用性,其在客觀上主要表現為非法獲取、刪除、修改、增加等行為。通過回顧數據刑法規范的演變歷程可以發現,在信息網絡犯罪更新迭代以及人們安全訴求升級的推動下,刑法借助立法和解釋兩種方式不斷提升自身的包容性和延展性,這對完善數據安全刑法保障體系具有十分重要的意義。然而,刑法是隨著新興的社會風險、人們日益增長的安全需求,以及用刑法來調控社會風險的期待而變革的[12],根植于傳統信息網絡社會的規范樣式難以適應數字社會中的數據治理需求,以及數據安全法的修訂步伐,“管理安全”保護模式面臨時代性的拷問。同時,囿于“管理安全”刑法保護模式的內容模糊性等固有缺陷,刑法中的數據安全概念逐漸喪失自身的獨立性,相關刑法條款也顯現出“模糊化”的趨勢。
(一)難以滿足數字社會的數據治理需求
得益于物聯網、互聯網等技術的不斷驅動,萬物互聯化、數據泛在化成為社會進步的大趨勢,數字時代已經到來[13]。數字社會在本質上是信息革命的后現代性給其現代性帶來的挑戰,在客觀形態上,數字社會表現為社會本身的全面數字化,這與傳統信息網絡社會中數字技術的局部化運用存在明顯區別。所以,傳統的信息網絡社會到數字社會的發展過程是從特定行業向全社會擴張、從靜態連接向動態連接、從技術主導向內容主導、從以設備為中心向以人為中心的數字化過程[14];在技術語境上,數字社會的典型技術表達是人工智能、大數據分析、自動化決策等智慧化科技,它們在現實社會中的應用場景極為廣泛,在諸如自動駕駛、公共管理、司法等領域與場景中,發揮著舉足輕重甚至是決定性的作用[15]。總之,數據是數字社會的核心要素。但是,數字社會賦予數據全新意義的同時,也在治理上提出了優化數據歸集共享、提高數據供給質量、健全數據標準規范、完善數據管理職能等新的要求[16],原有的數據治理模式需要適時轉換。具體到刑法層面,傳統的“管理安全”保護模式具有封閉性、靜態性,這既無法滿足數字社會背景下數據安全的周延保護要求,也無法滿足數據治理的共享化、動態化、多元化等需求。
1.管理安全保護模式的封閉保護邏輯脫嵌于數據的共享化發展趨勢
數據的重要資源地位并非一直受到重視,在數字社會到來之前,由于認識能力的局限性,數據往往被視為物理事物的電子形式,法律定性為數據權利保護的物權化思維,即將數據權看作是特定主體對特定數據的排他性支配權利,并針對性地制定規范予以保護。具言之,該思維將數據界定成存儲在特定載體上的數據文件,一旦行為人對數據文件進行侵犯,同時也就構成了對載體所有權的侵犯,數據文件“擁有者”即可“通過訴諸對數據載體所有權的侵權,來迂回地向侵犯數據文件者主張權利”[17]。物權保護思維具有明顯的滯后性,因為云存儲時代的數據文件常會存儲于云端,甚至分別儲存于不同地方的服務器上,這使得數據文件“擁有者”與云存儲供應商(或者是為云存儲供應商提供具體數據文件儲存服務的獨立第三方企業)并非同一主體,此時數據文件的“擁有者”便無法訴諸數據載體所有權來保護自己的數據。刑法層面的管理安全模式與物權化思維具有同質性,二者都強調了數據在封閉環境中的載體依附和私人所有特性:第一,正如前面所總結的那樣,無論是現行《刑法》第285條規定的獲取型的數據犯罪,還是第286條破壞型數據犯罪,其在發生領域上都強調了“計算機信息系統”條件,而脫離此場域的存儲于移動設備中的數據、流通中的數據等則不能被直接包括在刑法保護圈之中;第二,從《刑法》第285條和第286條的規范表述看,行為構成數據犯罪都要求其“違反國家規定”,以及使用了違背被害人意志的“侵入”“破壞”“獲取”行為,這旨在保證數據在特定主體排他支配下的安寧狀態,恰好是保護數據私人所有的規范體現。
但不同的是,數字社會基于物理時空又超越物理時空,既包容物理世界又是對物理空間的數字化重建[18],由物理世界衍生的物權保護思維不能完全適用于數字社會。數字社會中,數據價值的增長主要依靠流動、共享實現,其在法律層面的數權也不再表現為“一數一權”的客觀占有,而是一種排他性質的共享權,往往呈現出“一數多權”的現象[19]。共享權是數字社會中數權的本質,它的實現方式是公益數權與用益數權,數據的所有權和使用權的分離因此成為可能,形成一種“不求所有,但求所用”的共享格局[20],這決定了傳統的物權化保護思維難以把握住數據的共享化發展脈搏,不能回應新社會背景下數據安全保障的全部訴求。與之對應,刑法層面的“管理安全”保護模式強調數據安全保護的載體依附性和私人所有性,從理論上講,這極易導致規范內容的遲滯化問題,即“管理安全”保護模式下的數據犯罪條款仍困守于私人所有和空間封閉的桎梏之中,造成了非法提供等實質上值得處罰的行為脫離刑法規制范圍,刑法立法的遲滯化問題凸顯。
2.管理安全保護模式的靜態保護邏輯難以和數據的動態化發展趨勢兼容
傳統的信息網絡社會向數字社會的轉變不但推動了數據的共享化發展,還推動了數據的動態化發展。傳統的信息網絡社會是一個中心化的“有限型”社會,由于人們缺乏有效的傳播、獲取渠道,數據的獲取和運用活動往往具有不均衡性,所以數據常常處于《刑法》第285條和第286條所描述的“計算機信息系統中存儲、處理或者傳輸”的封閉狀態,無需法律制度的鏈條化、動態化保護。但性質迥異的是,數字社會的關系結構決定了其內在的機理是去中心、扁平化、無邊界,基本精神是開放、共享、合作、互利。進入數字化時代后,互聯網為人們構筑了蜂巢式的社會結構,任何個體之間在理論上都可以實現點對點的連接和溝通,隨著電信網絡技術的不斷迭代發展,數據流通更加便捷。數字化時代的大數據不再是一個靜態的狀態,而是處于實時高速流動之中,數據安全也相應地處于一個動態過程,其中涉及數據的收集、處理、存儲、共享、跨境等各個環節的安全以及數據處理平臺的安全等。
數據的動態化發展在兩個方面突破了管理安全模式:一是突破了“計算機信息系統”這種特殊載體。社會全面數字化所帶來的“萬物互聯”令數據的載體形式更加多樣化、普遍化,這使得傳統需以侵入或者破壞計算機信息系統為前提的數據犯罪如今卻不必以此為前提。行為人可能入侵的只是他人手機[21]、各種類型的傳感器,甚至是“云存儲”端;二是突破了“存儲、處理或者傳輸”這種特定的存在狀態。社會的全面數字化也帶來了數據存在形態的多元化,數據既可以被收集、聚攏,也可以人際共享、有償轉讓、跨境傳播,而不是僅僅局限于“存儲、處理或者傳輸”這三種狀態。無論是非法破壞計算機信息系統罪還是非法獲取計算機信息系統數據罪,其設置的構成要件內容都只足以對在計算機信息系統中存儲、處理或者傳輸的數據進行保護,現行刑法無法滿足數據動態化發展的安全保障需求。雖然《解釋》第10條規定將“計算機信息系統”和“計算機系統”的含義擴張為“具備自動處理數據功能的系統,包括計算機、網絡設備、通信設備、自動化控制設備等”,但該解釋結論是否違反罪刑法定原則,以及能否從長遠上解決刑法規范供應不足的問題,仍然存在疑問。
(二)難以實現刑法與前置法的有序銜接
數據安全法律保障體系中不僅包括刑法,還包括以《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)和《中華人民共和國數據安全法》(以下簡稱《數據安全法》)為代表的前置性法律。尤其是《數據安全法》的出臺,被定位為保護人民群眾數字權益、促進數字經濟健康發展的重要舉措【數據安全法:護航數據安全,助力數字經濟發展[EB/OL].(2021-06-10)[2023-05-06].http://www.npc.gov.cn/npc/c2/c30834/202106/t20210610_311894.html.】。從規范內容上看,《數據安全法》對數據分類分級管理、安全風險評估、安全審查等基本制度作了規定,明確了相關主體的數據安全保護義務,其在保護靜態數據的管理安全的同時,更加注重保護動態數據的利用安全:其一,在規制節點上,《數據安全法》涵蓋了數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀各個節點,實現了動態環節的全鏈條保護。其二,在規制行為上,《數據安全法》的規制范圍包括不履行安全保護義務、非法向境外提供、非法提供交易中介服務、拒不配合國家機關合法的數據調取要求、未經主管機關批準向外國司法或者執法機構提供數據,國家機關工作人員不履行法定的數據安全保護義務,數據安全監管人員玩忽職守、濫用職權、徇私舞弊、竊取或者以其他非法方式獲取數據等行為類型,實現了安全風險的全方位防護。其三,在規制主體上,《數據安全法》的規制范圍包括了開展數據處理活動的組織和個人,特別是對關鍵信息基礎設施的運營者、數據出境企業、涉及處理重要數據的企業、數據交易服務機構等主體的數據合規義務作了要求,落實了數據利用的主體責任。總之,《數據安全法》突破了以往局限于一般主體在數據采集、儲存節點實施的竊取、刪除、修改等行為的規制邏輯,在規制的節點、行為和主體上加以延展,提供了契合數據動態化、共享化發展趨勢的法律治理框架。
《數據安全法》是數據保護的基礎性規范,而刑法是《數據安全法》實施的重要保障。一方面,“法律是規范公民行為、調整社會生活最重要的手段,各個法領域之間各有分工,相互配合,形成了較為穩定的法律秩序”[22]。在法秩序統一的視角下,各部門法間是協調的有機體,如果某個部門法調整了處罰的范圍,其他法律針對某種行為的評價也會相應變化[23]。雖然規范目的差異性決定了刑法中的犯罪認定不能完全依賴前置法,但立法者應當保證刑法與前置法之間交叉或重合部分的協調性與有序銜接,以達到法秩序統一的要求。另一方面,社會保障機能要求,刑法作為其他法律的保障法,應當對逾越前置法防線且具有法益侵害或侵害危險的行為予以規制。因此,刑法與《數據安全法》應當保持在數據安全風險種類與范圍上的匹配關系,才能更好地實現數據保護法律體系的法秩序統一和刑法的社會保護機能。但正如前所述,當前刑法中的數據條款因受到管理安全保護模式的限制,在規制范圍上僅限于數據采集、儲存階段的非法獲取、刪除、修改、增加行為,對《數據安全法》規定的其他危害行為完全缺乏規制,這導致《數據安全法》中的宣示性刑事責任條款形同虛設,數據安全保護的刑法規范供給不足,《數據安全法》與刑法無法實現有序銜接。
(三)導致刑法中數據犯罪條款的“模糊化”異變
如果僅從規范和學理的角度分析,管理安全模式下的數據條款存在規制行為類型不全面、規制節點不完整、數據安全保護不周延的缺陷。但在實踐中,由于“數據”概念的含混性和案件事實的錯綜復雜,刑法中的數據條款的適用領域開始由數據犯罪領域向其他領域延展,出現了規范適用“模糊化”的趨勢,造成立法意蘊與司法實踐的脫節。對此,本文檢索、分析了中國裁判文書網上非法獲取計算機信息系統數據罪的判決書加以驗證【數據檢索過程如下:進入高級檢索,案由選擇“刑事案件——非法獲取計算機信息系統數據、非法控制計算機信息系統罪”,文書類型選擇“判決書”,審理程序選擇“一審”,裁判時間選擇2020年5月6日至本文寫作之時即2023年5月6日(共計3年),共獲得樣本223份,排除僅以非法控制計算機信息系統罪定罪的樣本18例,共獲得有效判決書205份。】(見表1)。
通過表1的數據可知,在司法實踐中,非法獲取計算機信息系統數據罪中“數據”的指涉范圍廣泛,幾乎涵蓋了賬號密碼、虛擬財產、知識產權、個人信息等一切可在電腦系統中儲存、顯示、獲取的電子內容。在205份判決書中,行為對象為賬號密碼、特定數據的判決書共107份,占比52%;犯罪對象為個人信息、虛擬財產、知識產權的案件共98份,占比48%。就前一類案件而言,賬號密碼和特定數據是典型的數據類型,以非法獲取計算機信息系統數據罪定性沒有爭議,但就后一類案件而言,由于個人信息、虛擬財產以及知識產權不符合嚴格的數據定義,以非法獲取計算機信息系統數據罪定性不甚恰當。第一,數據和信息存在巨大差別,這不僅體現為數據和信息的含義不同,“數據”側重于突出載體或媒介本身,而“信息”強調的則是所要傳達的內容與本質[24],還在屬性、狀態上體現為數據兼具信息本體和信息媒介的雙重屬性,而信息必須與傳送媒介相分離[25]。因此,表中26份判決書將能夠“識別特定自然人身份或者反映特定自然人活動情況”的個人信息定義為數據【最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規定,刑法第253條之一侵犯公民個人信息罪中的“公民個人信息”,是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等”。】,并將非法獲取的行為定性為非法獲取計算機信息系統數據罪實屬不當,應將此行為定性為侵犯公民個人信息的行為。第二,數據往往作為其他權利客體的載體形式,如果承載于數據之上的游戲裝備、比特幣、網課視頻、網站代碼、軟件源代碼等具體內容,能夠被評價為法律意義上的財產、知識產權等,則應當優先考慮適用相應的財產犯罪、侵犯知識產權犯罪進行規制,更好地實現法律適用的針對性和精準性。因此,表中涉及虛擬財產和知識產權的72份判決書的定性結果也不盡合理。
通過以上的分析論證可知,雖然《刑法》第285條第2款對非法獲取計算機信息系統數據罪的構成要件作了明確規定,但在司法實踐中構成要件卻囊括了不該囊括的行為類型,該罪名被不恰當地“模糊化”適用了。究其原因,一方面,是由于《解釋》將數據擴大解釋為“用于確認用戶在計算機信息系統上操作權限的數據”的“身份認證信息”;另一方面,是由于實踐中未對數據的技術屬性(0/1二進制代碼)和法律屬性(權利客體)加以區分,導致案件裁判者極易在“避繁就簡”的思維定式下,以技術屬性判斷取代法律屬性判斷,將凡是以0/1二進制代碼為基礎的電子信息內容都簡單地評價為數據,而不再去深入考察其包含的法益內容。此外,這與管理安全模式下的立法邏輯還存在極大的關聯:管理安全模式下的刑法規范更加注重計算機信息系統中靜態數據的保護,這使得數據難以擺脫作為計算機信息系統構成要素和電子信息形成基礎的角色,數據作為一種權利客體也難以與信息、財產、知識產權等其他權利客體區分開來。換言之,正是囿于管理安全模式的范圍限制,導致原本有更廣適用場域的刑法數據條款被逼仄于“計算機信息系統”具體場景中,從而與侵犯公民個人信息罪、侵犯財產犯罪、侵犯知識產權犯罪等在行為規制層面產生更大的重合。再加上數據犯罪“以技術屬性判斷取代法律屬性判斷”的思維定式影響,以及數據與信息的模糊界分,非法獲取計算機信息系統數據罪的模糊化適用才得以發生。
四、數據保護“利用安全”模式的提出及其實現
數據安全刑法保護模式的選擇,不是立法者的隨意決策,其背后隱含著深刻的背景因素和規范邏輯。在傳統的信息網絡社會背景下,數據只被簡單地視為記錄載體和初級生產要素,數據權利也被視為物權加以保護,所以保密性、完整性、可用性必然成為該階段數據安全的核心要素。但是,數字社會的技術架構決定了其核心價值是去中心化、去邊界化,即開放、協作、共享。這使得傳統以保密性、完整性、可用性為核心要素的模式不再契合時代需求,數據安全的核心要素應當因應數字時代的數據安全保護訴求及時擴張和轉變。在此基礎上,數據安全的刑法保護也應當實現從管理安全模式向利用安全模式的轉換,實現數據安全的專門保護、系統保護、周延保護、分級分類保護。
(一)數字社會下的數據安全核心要素轉變
保護數據安全的前提是明確數據安全的構成要素。20世紀末,人類進入信息網絡世界之后,數據就作為一種基礎性的工具和材料被運用于信息記錄、傳輸等領域。在傳統信息網絡社會階段,人們更加重視數據中所包含的信息材料以及數據所依托的計算機信息系統的完整性和私密性,因此,數據自身的安寧狀態成為數據安全的核心指向。例如,美國克林頓政府在1998年5月頒布了《第63號總統決策指令》,明確規定了計算機系統保護機制和“信息的準確、保密和可靠處理”【The Clinton Administration’s Policy on Critical Infrastructure Protection:Presidential Decision Directive 63,May 22,1998.】。2002年10月,美國《聯邦信息安全管理法案》進一步將“信息安全”定義為“保護信息和計算機系統不被未經授權的獲取、使用、披露、破壞、修改或者銷毀”,以確保信息的保密性、完整性和可用性【Federal Information Security Management Act of 2002,44 U.S.C.§3542(b)(1).】。自此,傳統信息網絡社會下數據安全的三要素被正式提出。根據當時我國相關國家標準,保密性是指信息數據不泄露給未授權的個人、實體、進程,或不被其利用的特性;可用性是指已授權實體一旦需要就可訪問和使用的數據和資源的特性;完整性是指數據沒有遭受以未授權方式所作的更改或破壞的特性【參見:中華人民共和國國家質量監督檢驗檢疫總局、中國國家標準化管理委員會:《GB/T 17532—2005術語工作 計算機應用 詞匯》2.1.1保密性、2.1.42完整性、2.1.20可用性。】。因此,以傳統三要素為背景的數據安全規范保護體系,主要著眼于數據自身的內容安全和數據所依托的載體、平臺的安全,并禁止非法獲取、刪除、修改、增加等行為。
數字社會的到來,意味著“真實社會與虛擬社會相互交織、緊密互動,甚至互為因果”[26]。數字社會的網絡化、數字化、智能化進程突破了物理的“時空體制”,促進了世界“虛擬化”,造成了時間和空間的“脫嵌”[27],這使得數據擺脫了以往信息載體的地位,成為一種流動的、擁有巨大價值的生產要素,成就了數據資源到數據資本的轉變。一方面,人們可以運用現代技術手段對收集、聚合而來的數據進行大數據分析,為反映現實、優化管理、科學決策提供主要依據;另一方面,一些制造商和平臺可以通過數據的計算挖掘,形成數據用戶畫像,通過“精準投放”和“個性化定制”來影響用戶的價值和偏好,從而創造更大的商業價值,實現數據增值。但是,數據在不斷凸顯價值的同時,其招致的風險也在不斷增加。與傳統的利用數據環境漏洞來侵害數據保密性、完整性、可用性的風險不同,數字社會背景下的數據安全風險是動態的、貫穿數據周期始終的、危害更為巨大的風險。其典型類型有:(1)分析數據所產生的風險。即采用因子分析、回歸分析、相關分析、聚類分析等方法對掌握的數據進行分析,可挖掘出數據背后所隱藏的安全情報和涉密信息。即使這些數據在被分析之前無關緊要、平平無奇,但在被分析之后卻能得出危害個人隱私、商業利益、社會發展甚至是國家安全的信息內容。例如,2017年,美國一科技公司研發了一款可以記錄運動路線的“斯特拉瓦”健身軟件,由于其用戶中有大量美軍士兵,因此,無意中暴露了美國海外的軍事基地位置,而這些信息內容可能被恐怖分子用來制造襲擊【跑步APP泄露美軍事基地位置?五角大樓著手調查[EB/OL].(2018-01-31)[2023-05-06].http://world.people.com.cn/n1/2018/0131/c1002-29797384.html.】。(2)利用分析數據產生的知識和信息,作出決策而引發的風險。其不但表現為競價排名、大數據殺熟、算法共謀、算法歧視等行為,還表現為一些嚴重危害公共安全和國家安全的行為。例如,2018年發生的“劍橋分析公司事件”中,約8 700萬名Facebook用戶的數據被不當泄露給政治咨詢公司劍橋,以此分析用戶偏好,用以準確投放政治廣告,從而影響了美國的政治安全【馬克·扎克伯格因數據泄露事件被起訴[EB/OL].(2022-05-24)[2023-05-06].http://www.chinanews.com.cn/gj/2022/05-24/9762313.shtml.】。該事件說明,即使數據分析結果本身不具有危害性,但濫用分析結果完全可能帶來危害。顯然,前述的數據分析風險和數據利用風險既不針對保密性,也不針對完整性,更不針對可用性。總之,雖然傳統的數據安全三要素對于某一節點的數據管理安全依然適用,但其卻無法涵蓋數據安全在數字社會中的價值意蘊,應該提煉出一種以動態數據為中心的新的數據安全核心要素。
前述新型風險所對應的數據安全要素可以用“可控性”(Controllability)和“正當性”(Legitimacy)來加以概括。其中,可控性是指“在數據大規模流動聚合、分析的過程中,將安全風險維持在一種可接受水平的能力”[28];正當性是指在利用和處理數據時,要保持目的的正當性,不得損害國家安全、公共利益或者公民、組織合法權益[29]。數據利用的可控性要求刑法規制促使風險、敏感數據的流動和聚合的行為,避免這些數據被不當披露和聚合分析;數據利用的正當性要求刑法規制不當利用數據分析及分析結果的行為,避免數據分析濫用帶來的危害。事實上,這種以動態數據的利用安全為中心要素的概括在相關規定中已經有所體現。例如,2015年1月,我國與俄羅斯等國向聯合國提交的新版《信息安全國際行為準則》中就強調,不得利用信息通信技術和信息通信網絡“實施有悖于維護國際和平與安全目標的活動”,“干涉他國內政,破壞他國政治、經濟和社會穩定”【信息安全國際行為準則[EB/OL].(2011-09-12)[2023-05-06].https://www.fmprc.gov.cn/web/wjb_673085/zzjg_673183/jks_674633/fywj_674643/201109/t20110913_7668314.shtml.】,這體現了數據利用的正當性;我國《數據安全法》第3條第3款也規定,數據安全是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。總之,數據安全的核心要素應當實現從保密性、完整性、可用性的傳統三要素,向保密性、完整性、可用性、可控性、正當性五要素轉變。
(二)“利用安全”保護模式的提出
數據安全核心要素的轉變,必然要求數據安全保護模式發生轉變。如前所述,建立在保密性、完整性、可用性三要素上的管理安全保護模式,難以滿足數字社會的治理需求,不能實現刑法與《數據安全法》的有序銜接,易造成刑法中數據條款的模糊化,亟需轉向一種包含可控性、正當性要素的新的數據安全保護模式。本文將涵蓋了保密性、完整性、可用性、可控性、正當性五要素的數據安全保護模式稱為“利用安全”保護模式。從二者關系看,利用安全模式和管理安全模式之間并不排斥,后者是前者的進化形態,前者是后者的前期基礎。管理安全模式向利用安全模式的轉變主要體現在三個方面:(1)在保護理念上,從依附保護向專門保護、系統保護轉變。即在利用安全模式下,刑法中涉及數據安全保護條文規范應當是系統的、獨立的。這主要取決于兩方面的因素,一方面,在數據的利用價值不斷凸顯的同時,危害數據安全行為的復雜性也在不斷增強,從系統論的角度看,這決定了刑法應對的系統性,否則,數據安全法益內涵無法在分則條文中進行集中的、類型化的規范表達,更無法得到周延的保護;另一方面,可控性和正當性要素的加入使得數據安全的獨立特性被釋放出來,數據的地位不再僅是計算機信息系統構成要素和電子信息的形成基礎,而是數字社會的生產資料和生產資本,這就要求刑法規范擺脫以往的依附保護思維,對數據安全加以專門保護。(2)在規制重心上,從注重數據收集、儲存節點向其他節點拓展。即在利用安全模式下,刑法中數據條款的規制重心應當從針對保密性、完整性、可用性的收集以及儲存行為節點,向針對可控性、正當性的其他數據處理節點拓展。這不僅是回應數字時代數據犯罪治理需要的必要性調整,也是滿足刑法規范與以《數據安全法》為代表的前置法有序銜接的要求。根據《數據安全法》第3條第2款規定,數據處理包括收集、存儲、使用、加工、傳輸、提供、公開等環節。因此,在利用安全模式下,刑法的行為規制范圍應在非法獲取、刪除、修改、增加等行為的基礎上,增加規范規制非法分析、提供、公開、出售、出境等行為。(3)在保護策略上,從籠統保護到分類分級保護轉變。即在利用安全模式下,刑法中的數據保護條款應當是相對精細的、具體的,并針對不同種類和不同重要程度的數據提供不同的保護方案。與處于相對封閉狀態的數據不同,數字時代的數據處于不斷流動和被分析處理中,其表現形態更加豐富、多元,刑法應當結合不同種類、不同等級數據的可控性、正當性保護需求,設置不同的規范,否則,數據安全的刑法保護僅是泛泛而談。同時,從規范完善的角度看,分類分級還有助于發揮數據安全法益識別功能,為認定數據犯罪提供罪質和罪量依據,有助于實現規范的銜接協調,完善數據安全保護法律體系。
(三)“利用安全”保護模式的實現進路
1.優化現有規范以實現專門保護和系統保護
從管理安全模式到利用安全模式的轉變,是刑法規制危害數據安全犯罪基本邏輯的轉變,首先涉及既有規范的調整問題。現行《刑法》第285條第2款非法獲取計算機信息系統數據罪,第286條破壞計算機信息系統罪,以及《解釋》的相關規定,是基于管理安全模式制定的,不能滿足動態數據安全保護的需要,亟需根據動態數據安全系統保護和專門保護的需要作出優化。
一是在立法上明確數據與信息、計算機信息系統的關系,并剝離出獨立的數據條款,實現數據安全的專門保護。在利用安全模式下,數據處于共享和流動的狀態,只有明確了數據在刑法中的獨立地位,才能有針對性地設計具體的刑法保護規范。然而,管理安全模式將數據定位為計算機信息系統的內容和信息的載體,模糊了數據自身的特征,導致刑法中的數據條款依附于其他罪刑規范,無法實現數據安全的專門保護。因此,應當在界分數據與相關概念的基礎上,從非法獲取計算機信息系統數據罪、破壞計算機信息系統罪中剝離出破壞型數據犯罪的和獲取型數據犯罪。
正如前文所述,在數字技術廣泛運用的當下,計算機信息系統并非數據活動進行的唯一載體,數據可以借助云儲存、云分享等形式存在于各式各樣的載體之中,甚至實現物與物、物與人泛在連接的“物聯網”世界。因此,數據與計算機信息系統之間并不存在必然的承載與被承載關系,刑法中的“數據”也不該被冠以“計算機信息系統”的前綴,而應在刑法中直接表述為“數據”,這樣才能保證刑法數據條款的適用空間。同時,無論是在功能、作用上,還是在屬性、狀態上,數據和信息存在巨大差別,如果不加區分地表達在立法中會導致相關規范的適用混亂,這既不利于保護數據安全,也不利于保護信息安全。因此,《解釋》對于非法獲取計算機信息系統數據司法適用的規定也應相應地修改,刪除第1條第1款第(一)項與第(二)項中與“身份認證信息”有關的表述,解決實踐中數據與信息混淆認定的問題。
在明確數據與信息、計算機信息系統關系的基礎上,刑法中的數據條款還應當實現“去雜糅化”,即將其從危害計算機信息系統犯罪中剝離出來,進行獨立規定。數據犯罪的雜糅化體現為獲取型的數據犯罪與非法控制計算機信息系統罪被規定在同一條文之中,破壞型數據犯罪被規定在破壞計算機信息系統罪當中。一方面,應當拆分《刑法》第285條第2款非法獲取計算機信息系統數據、非法控制計算機信息系統罪,規定“非法獲取數據罪”。正是由于數據和計算機信息系統之間并不存在必然的承載與被承載關系,非法侵入計算機信息系統也不再是獲取數據的必然手段。因此,數據的保密性并不依賴于計算機系統環境的封閉性,獲取型數據犯罪從現行《刑法》第285條第2款中剝離出非法獲取數據罪十分必要。另一方面,應當從《刑法》第286條破壞計算機信息系統罪中剝離出“非法破壞數據罪”(對委托管理的數據進行破壞的也可以成立該罪)。從立法本意上看,《刑法》第286條禁止刪除、修改、增加數據行為的目的在于保證計算機信息系統的有效運行[30]。但這既不契合當前數據與計算機信息系統的相互關系,也可能導致數據完整性、有效性、可用性淪為計算機信息系統安全的附帶性內容之一,無法凸顯數據安全的獨有價值。事實上,即使是行為人非法侵入計算機系統之后刪除其中存儲、處理或者傳輸的數據,也不必然會造成“計算機信息系統不能正常運行”或“影響計算機系統正常運行”的結果,只是對數據的完整性和可用性造成了侵害。因此,破壞型的數據犯罪也沒有必要規定在破壞計算機信息系統罪之中。
二是在《刑法》分則中集中規定危害數據安全犯罪,實現系統化保護。數據安全核心要素的擴充即可控性和正當性要素的加入,意味著刑法會通過增設新罪的方式來規制新的危害數據安全的行為類型,而如何明確新增犯罪的體系定位,則成為利用安全模式需要面對的問題。同時,實現利用安全模式要求從計算機信息系統犯罪中獨立“非法獲取數據罪”“非法破壞數據罪”,而剝離出的新罪也將面臨在刑法分則中重新定位的問題。因此,從系統性和類型性的角度看,在《刑法》分則中集中規定危害數據安全犯罪是實現利用安全模式的必然延伸問題。刑法分則對某類犯罪進行集中規定有設置專章、設置專節、設置集中條款三種形式。就設置專章而言,雖然其是實現規范體系性、獨立性的最有效途徑,但當前危害數據安全犯罪無論在行為類型的豐富程度上還是在侵害法益的層次結構上,都未達到增設專章規制的程度;就設置集中條款而言,通過重新組合的方式將《刑法》分則中的數據條款調整為前后連續的罪刑規范集合體,并形成系列罪名,其最終效果則與現有的第285條第2款、第286條并列的格局無異,很難達到系統保護和專門保護的需求。因此,在《刑法》分則中設置危害數據安全犯罪專章和集中條款,都不是實現利用安全模式專門、系統保護的最佳路徑。筆者認為,當前可以考慮在妨害社會管理秩序罪的第一節擾亂公共秩序罪后增設“危害網絡和數據安全犯罪”專節,集中規定危害數據安全犯罪和危害信息安全、計算機信息系統安全的犯罪。這樣既能體現危害數據安全犯罪的系統性,又能兼顧危害數據安全犯罪與其他信息網絡犯罪的共同性,進一步貫徹類型化原則。同時,在該節設專條,明確規定“通過危害信息網絡和數據安全的手段實施其他犯罪的,依照處罰較重的規定定罪處罰”,從而理順危害網絡和數據安全犯罪與其他犯罪的關系,并在其他犯罪認定存在疑問時提供合適的兜底方案。
2.新增覆蓋數據生存周期的罪名以實現全鏈條保護
數據安全核心要素的拓展必然要求刑法規制行為類型的增加。管理安全模式下的數據條款只能涵蓋數據收集、儲存節點的非法獲取、刪除、修改、增加等行為,這既不符合數字時代數據犯罪治理需求,也無法滿足法律銜接的需要,刑法亟需結合動態數據的可控性、正當性需求新增罪名以滿足規范供給。根據2020年3月1日實施的國家標準《信息安全技術數據安全能力成熟度模型》規定,完整的數據周期包括數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀6個節點,每個節點都對應了不同的數據安全要求[31]。有必要參考相關標準和規范,在立法上補充后續節點的數據犯罪立法,覆蓋數據的生存周期,形成數據安全刑法全鏈條保護格局。
(1)增設非法公開、提供、出售、出境數據罪。數據交換階段利用的可控性和正當性極易受到非法提供、非法出售、非法出境等行為的威脅,對此,可以考慮在刑法中增設新罪以實現數據安全的全鏈條保護。從必要性上講,一方面,數據的公開、提供、出售、出境意味著數據的流動和聚合過程,這本身就蘊含著數據利用活動脫離人的既有規則設計和發展預期,超出了數據利用的可控性。同時,公開數據,向他人提供、出售數據,以及將數據傳輸出境的行為,是對數據利用正當性的巨大威脅,極易導致危害公民權利,危害組織合法權益及公共利益,甚至是國家安全的嚴重結果,具有極強的法益危害性。另一方面,從我國現有立法看,《數據安全法》和《網絡安全法》規定了非法提供、出境等違法行為類型及對應的處罰,而刑法卻沒有直接涉及這些行為。雖然基于謙抑性理念和規范性質的差異,刑法的行為規制范圍不應與行政法保持一致,但就數據安全這一特殊領域而言,數據安全立法的發展變化影響著刑事立法,前置法規范具有刑事立法的參照系功能[32]。所以從法律銜接層面上講,刑法積極回應前置法的立法動向并不完全是恣意性的體現,反而可能是保持立法前瞻性的手段[33]。只有刑法與前置法的有效配合,才能保證數據安全得到系統和周延的保護。
因此,基于數據安全保護現實需求和罪刑規范供給不足的現狀,可以考慮適時在《刑法》增設非法公開、提供、出售、出境數據罪。在行為要件設置上,該罪有公開、提供、出售、出境四種行為類型:其中,“公開”是指將數據向多數或者不特定主體傳播的行為;“提供”是指以復制、共享等方式向他人無償傳輸數據的行為;“出售”是指以復制、共享等方式向他人有償傳輸數據的行為;“出境”是指通過網絡傳輸、存儲介質、開展業務、提供服務與產品銷售等方式實現數據跨境流動的行為。在犯罪性質上,該罪應當被定位為法定犯,即公開、提供、出售、出境構成犯罪要以“違反國家規定”為前提,具體應當根據《數據安全法》《網絡安全法》等前置法來判斷。例如,未經數據權利人(數據委托處理者、互聯網平臺用戶、政府主管單位)同意或超出同意范圍,將數據提供、出售給他人的,或向不特定多數人公開的;將履行職責中獲取的數據泄露或者非法提供給他人的;未經國家主管部門批準,向他人提供、出售重要數據的;或者未經主管機關批準,向境外提供重要數據或者向外國司法或者執法機構提供數據的;等等。在入罪條件上,該罪可將是否“情節嚴重”作為衡量標準,具體可以結合非法公開、提供、出售、出境數據的體量、類別、范圍以及行為的次數等因素綜合判斷。
(2)增設非法分析數據罪、非法運用數據分析結果罪。所謂非法分析數據行為,是指以違法犯罪為目的,利用歧視性算法或其他非正當方式,對數據進行非法分析、處理的行為[34];非法運用數據分析結果行為,是指將非法分析的數據結果及合法分析數據的結果運用于違法犯罪領域的行為。在實踐中,行為人實施數據犯罪往往是為后續的竊取國家機密、恐怖主義活動、電信網絡詐騙、竊取商業機密等違法犯罪行為做準備。例如,在電信網絡詐騙犯罪案件中,犯罪分子往往先是利用互聯網的數據爬蟲技術獲取數據,分析出詐騙對象的詳細身份信息和特征,并據此針對詐騙對象設計特定騙局,實施“精準詐騙”,提高詐騙犯罪的成功率[35]。倘若將后續犯罪的實施視為一個連貫的過程,那么非法獲取、出售、提供、出境數據等行為只能是條件準備階段,只有非法分析數據、非法運用數據分析結果才真正地打開了數據利用的“潘多拉魔盒”,對后續的國家安全、公共安全、公民財產安全等重要法益造成巨大的威脅。因此,有必要設立新的犯罪規制非法分析數據、非法運用數據分析結果的行為,以實現對數據利用安全正當性的周延保護,以及對國家安全、公共安全、經濟安全等重要法益的前置保護。
在具體的構成要件設計上,首先,成立非法分析數據罪、非法運用數據分析結果罪仍應以“違反國家規定”為前提,即分析數據行為和運用數據分析結果的行為應當違反《數據安全法》等前置性法律。其次,在數據類型上,非法分析的數據應限于重要數據和核心數據,而非法運用的數據分析結果應限于對重要數據和核心數據分析的結果,因為數據分析是大數據價值鏈中的關鍵環節,正是它的存在才使得數據成為反映現實、優化管理、科學決策的主要依據[36]。刑法應當合理把握分析數據、運用數據分析結果行為的“雙刃劍”特性,嚴格限制“非法”成立的范圍和行為對象范圍,在充分保障數據利用安全的同時,為數據行業和數字經濟的健康發展留下充足的空間。再次,非法分析數據的行為和非法運用數據分析結果的行為應具有以違法犯罪活動為目的的主觀心態,如果行為人以科學研究等正當使用用途為目的分析數據、運用數據分析結果的,即使其手段“違反國家規定”也不宜認定為犯罪,以免刑法過度介入社會生活,突破刑法的“最后手段性”界限。最后,在入罪條件上,仍應當以是否“情節嚴重”作為衡量標準,具體可以從行為涉及的數據體量、類別、造成的后果等因素等方面進行綜合判斷。
3.建立數據安全刑法分級分類保護機制
類型化是人類認識和處理復雜事物的一種便捷、直觀、有效的方法。在數據安全立法領域,數據利用具有廣泛性和多樣性,并非所有數據的安全狀態都值同等保護,只有根據數據的屬性進行區分和歸類才能準確識別數據安全法益、合理配置立法司法資源。同時,與多樣化的數據種類不同,刑罰作為一種嚴厲的法律后果,具有單一化和階梯化的特征,這決定了數據安全既要保護分類,也要根據重要性程度的不同進行分級保護。在二者關系上,數據分類是數據分級的邏輯前提,只有在準確定位數據性質的前提下,才能對數據重要性程度進行判斷[37],考慮到當前我國數據安全立法模式,刑法中的數據分級分類可以參考前置法和相關指南中的規定。根據全國信息安全標準化技術委員會2021年發布的《網絡安全標準實踐指南——網絡數據分類分級指引》第4.1d)條的內容,網絡數據可以根據行業領域維度標準,分為工業數據、電信數據、金融數據、交通數據、自然資源數據、衛生健康數據、教育數據、科技數據等。根據《數據安全法》第21條規定,我國根據數據的重要程度和濫用后的危害程度將數據分為一般數據、重要數據、核心數據,并在此基礎上實行數據分類分級保護制度。在后續的規范完善中,刑法應當以此為基礎,建立數據安全刑法分級分類保護機制。
(1)在定罪層面,數據分級分類與數據犯罪的認定相結合。即數據的分級分類的結果應當充分發揮罪質評價功能,與是否適用數據犯罪以及如何適用數據犯罪相關聯。具體而言:一方面,將數據的類別和等級嵌入數據犯罪的入罪評價標準中。數據犯罪是嚴重侵害數據安全法益的行為,這種嚴重程度在不同類型和不同重要程度數據上應該有不同的征表。例如,同樣的非法獲取行為,在針對重要性程度不同的一般工業數據和核心公共衛生健康數據時,所造成的危害性大小不同。因此,為保證罪刑相適應原則在定罪階段的貫徹,刑法應當借鑒《數據安全法》的分級分類保護制度,在同一個犯罪行為之下,為涉及一般數據、重要數據、核心數據的不同情形設置高低不同的入罪門檻。對此,需要立法和司法機關后續出臺司法解釋對相關的追訴標準進行細化。另一方面,將數據的類別和等級與數據犯罪成立范圍大小相關聯。刑罰的有限性決定了其運用應當有所側重,這種側重不但可以通過調整入罪標準來實現,也可以借助調整入罪對象范圍來達成。具體到數據安全領域,刑法可以根據數據分級分類制度,區分一般數據、重要數據、核心數據三種行為對象,并通過保護對象的選擇來合理劃定數據犯罪的打擊范圍。以拒不履行數據安全義務罪為例,雖然保護數據安全是《數據安全法》明文規定的法定義務,但刑法不能不加甄別地將其吸納進刑法義務的來源中,否則會對數據處理者苛加過重的義務,反而不利于數字經濟和數據行業的發展。因此,建議后續的立法中,拒不履行數據安全罪的行為對象應當限制為“重要數據”“核心數據”。
(2)在量刑層面,數據分級分類與數據犯罪的刑罰裁量相對接。即數據分級分類的結果應當充分發揮罪量評價功能,在分級分類的基礎上,根據數據安全法益的重要性程度,明確數據犯罪量刑的數額、數量標準和綜合性情節等要素。應當注意的是,隨著數字技術的廣泛運用,數據犯罪的行為類型也會日趨復雜,《解釋》中以數據數量(組)、數據違法所得數額、造成損失數額等要素衡量數據犯罪行為“情節嚴重”“情節特別嚴重”的思路已經滯后,難以滿足數據犯罪行為法益侵害量化標準多元化的需求。本文建議,立法和司法機關在后續出臺相關司法解釋時,將更多能夠反映數據安全法益侵害的因素,例如,數據流量、安全漏洞數,注冊會員數、點擊瀏覽或下載數量、系統正常運行時長、網絡中斷時長及影響用戶數、網絡故障導致的事故損害后果等因素,納入數據犯罪“情節嚴重”“情節特別嚴重”的量化因素之中[38]。在確定量化因素的前提下,再根據一般數據、重要數據、核心數據安全的保護需要,為相應的數據犯罪行為設置“情節嚴重”“情節特別嚴重”的具體標準,以達到罪刑相適應原則的要求。
結語
刑法作為數據安全保護的重要手段,面對數字社會所蘊含的多元的、動態的數據安全威脅,應當及時完善規范,回應數據安全保護的最新訴求。由我國現行《刑法》中第285條第2款“非法獲取計算機信息系統數據罪”、第286條“破壞計算機信息系統罪”及相關司法解釋組成的規范體系是打擊數據犯罪的直接依據,但其面對數字社會蘊含的新型數據風險,仍存在思維滯后、模式陳舊、規范供給不足等問題。究其原因,在于刑法未能準確把握數據安全核心要素的轉變,相應地調整既有的規范保護模式。本文在分析管理安全模式缺陷的基礎上,提出應當根據數據可控性、正當性保障的需要,構建數據安全刑法保護的利用安全模式,并設想了實現該模式的具體措施。當然,數據安全保護是一個系統性工程,其不但需要在規范及制度完善的層面作出努力,還需要在具體落實的層面繼續探索,對于這些問題,筆者將進一步研究和思考。
參考文獻:
[1]郭旨龍.非法獲取計算機信息系統數據罪的規范結構與罪名功能:基于案例與比較法的反思[J].政治與法律,2021(1):64-76,63.
[2]馬長山.智能互聯網時代的法律變革[J].法學研究,2018(4):20-38.
[3]羅納德·巴赫曼,吉多·肯珀,托馬斯·格爾策.大數據時代下半場:數據治理、驅動與變現[M].劉志則,譯.北京:北京聯合出版公司,2017:20.
[4]趙秉志.新刑法教程[M].北京:中國人民大學出版社,1997:672.
[5]劉家琛.新刑法新問題新罪名通釋:根據最高人民法院最新司法解釋修訂[M].北京:人民法院出版社,1998:827.
[6]孫道萃.大數據法益刑法保護的檢視與展望[J].中南大學學報(社會科學版),2017(1):58-64.
[7]黃太云.《刑法修正案(七)》解讀[J].人民檢察,2009(6):5-21.
[8]皮勇.論我國刑法修正案(七)中的網絡犯罪立法[J].山東警察學院學報,2009(2):15-20.
[9]楊志瓊.非法獲取計算機信息系統數據罪“口袋化”的實證分析及其處理路徑[J].法學評論,2018(6):163-174.
[10]喻海松.最高人民法院研究室關于利用計算機竊取他人游戲幣非法銷售獲利如何定性問題的研究意見[M]//張軍.司法研究與指導.北京:最高人民法院出版社,2012:135.
[11]劉憲權,石雄.網絡數據犯罪刑法規制體系的構建[J].法治研究,2021(6):44-55.
[12]BEATRICE BRUNHBER,冀洋.安全社會中刑法的功能變遷[J].刑法論叢,2020(1):80-103.
[13]于施洋,王建冬,郭鑫.數字中國:重塑新時代全球競爭力[M].北京:社會科學文獻出版社,2019:1-2.
[14]王文,劉玉書.論數字中國社會:發展演進、現狀評價與未來治理[J].學術探索,2020(7):48-61.
[15]丁曉東.論算法的法律規制[J].中國社會科學,2020(12):138-159,203.
[16]邱幼云,陶俊.建設數字社會亟須加強數據治理[N].中國社會科學報,2021-09-07(08).
[17]紀海龍.數據的私法定位與保護[J].法學研究,2018(6):72-91.
[18]馬長山.數字時代的法律變革[J].浙江社會科學,2019(12):4.
[19]連玉明.數權法2.0:數權的制度建構[M].北京:社會科學文獻出版社,2020:149-153.
[20]龍榮遠,楊官華.數權、數權制度與數權法研究[J].科技與法律,2018(5):19-30,81.
[21]姜濤.構建數字經濟安全刑事規范新形態[N].檢察日報,2021-08-23(003).
[22]凱爾森.法與國家的一般理論[M].沈宗靈,譯,北京:中國大百科全書出版社,1996:203.
[23]王勇.法秩序統一視野下行政法對刑法適用的制約[J].中國刑事法雜志,2022(1):124-138.
[24]勞東燕.個人數據的刑法保護模式[J].比較法研究,2020(5):35-50.
[25]梅夏英.數據的法律屬性及其民法定位[J].中國社會科學,2016(9):164-183,209.
[26]王天夫.數字時代的社會變遷與社會研究[J].中國社會科學,2021(12):73-88,200-201.
[27]馬長山.數字社會的治理邏輯及其法治化展開[J].法律科學(西北政法大學學報),2020(5):3-16.
[28]何波.中國參與數據跨境流動國際規則的挑戰與因應[J].行政法學研究,2022(4):89-103.
[29]劉金瑞.數據安全范式革新及其立法展開[J].環球法律評論,2021(1):5-21.
[30]全國人大常委會法制工作委員會刑法室.中華人民共和國刑法條文說明、立法理由及相關規定[M].北京:北京大學出版社,2009:287.
[31]國家市場監督管理總局,中國國家標準化管理委員會.信息安全技術 數據安全能力成熟度模:GB/T 37988—2019[S].北京:中國標準出版社,2019:6-7.
[32]張勇.數據安全法益的參照系與刑法保護模式[J].河南社會科學,2021(5):42-52.
[33]梅傳強,盛浩.新時代我國刑法典全面纂修的基本理念與建構路徑[J].南京社會科學,2023(3):52-63.
[34]劉憲權.數據犯罪刑法規制完善研究[J].中國刑事法雜志,2022(5):20-35.
[35]呂中偉.怎樣治理大數據時代的精準詐騙[J].人民論壇,2018(11):68-69.
[36]梅宏.數據治理之論[M].北京:中國人民大學出版社,2020:11.
[37]熊波.數據分類分級的刑法保護[J].政法論壇,2023(3):155-167.
[38]張勇.數據安全分類分級的刑法保護[J].法治研究,2021(3):17-27.
Mode transformation of criminal law protection of data security:
From management security to utilization security
MEI Chuanqiang1,SHENG Hao2
(1.School of Law,Southwest University of Political Science and Law,Chongqing 401120,P.R.China;
2.Department of Investigation, Sichuan Police College,Luzhou 646099,P.R.China)
Abstract:Data security is related to national security and social stability,and it is both necessary and urgent to protect data security through criminal law.After the improvement of the amendments and the supplementation of judicial interpretations,China’s criminal law has formed a management security model to protect data security,which aims to regulate the confidentiality,integrity,and availability of static data,and relies on the crime of illegally obtaining computer information system data and the crime of damaging computer information systems as normative standards for data security protection.The establishment of the management security protection model has gone through three stages of development:data as an incidental part of computer information system protection,data becoming a relatively independent object of criminal law protection,and expanding the scope of data security coverage through judicial interpretation.The management security protection model has closed and static characteristics,which is difficult to adapt to the trend of dynamic and shared development of data in the digital society.It has failed to achieve orderly connection with pre-existing laws such as the Data Security Law,and has led to the problem of ambiguity in the judicial application of data crime clauses in the criminal law.The arrival of the digital society has created new types of data security risks,namely the risks generated by analyzing data,as well as the risks caused by using the knowledge and information generated by analyzing data to make decisions.Faced with new types of risks,data security protection urgently needs to shift towards a utilization security model centered on the confidentiality,integrity,availability,controllability,and legitimacy of dynamic data.In terms of protection philosophy,data should be treated as an independent object,shifting from dependent protection to specialized and systematic protection; In terms of regulatory focus,expand from focusing on data collection and storage nodes to other nodes,and shift from one-sided protection to full chain protection; In terms of protection strategy,there is a shift from general protection to classification and protection.Therefore,on the basis of optimizing existing data crime clauses,new data crimes should be added and a data classification and protection system should be introduced.Specifically,firstly,the relationship between data,information,and computer information systems should be clearly defined in legislation,and independent data clauses should be separated to achieve specialized protection of data security.At the same time,criminal offenses that endanger data security should be stipulated in the specific provisions of the Criminal Law for systematic protection.Secondly,crimes such as illegal disclosure,provision,sale,and export of data,illegal analysis of data,and illegal use of data analysis results should be added for comprehensive protection.Thirdly,a data security classification and protection system should be established,which combines data classification with the identification of data crimes at the conviction level,and connects data classification with the punishment discretion of data crimes at the sentencing level.
Key words: data security; digital society; criminal law protection mode; data classification; data compliance
(責任編輯 劉 琦)
