刑法应当如何在平衡数据安全与数据共享中有效治理数据犯罪,这是推动以数据为关键要素的数字经济发展所难以回避的重要课题。在立法层面,随着《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)等重要法律的颁布实施以及相关行政法规、行业规范的出台,数据保护的规范体系初步成型,刑法作为前置法的保障法也进入了重塑数据犯罪的关键时期。在司法层面,侵害以数据为载体的财产法益、人格法益等私法益的刑事犯罪以及侵害国家安全、公共安全等公法益的刑事犯罪增长迅速且形态复杂多变。面对这种情况,最高人民法院与最高人民检察院积极发布指导性案例以明确类案裁判规则。
一、数据犯罪的立法断层与司法瓶颈
自1994年接入国际互联网,至今不到三十年,我国已经相继跨越了信息网络发展的三个时代,然而相伴而生的是网络犯罪的迭代共生及犯罪治理的新挑战。
(一)立法代际断层与“规范空白”形成
当前,《中华人民共和国刑法》(以下简称《刑法》)中的数据犯罪主要源于前数字经济时代。相应地,对于立法未能及时跟进数字经济发展而产生的规范空缺,通常依赖传统犯罪在网络空间的更迭进化以及对犯罪构成要件的扩张性解释得以填补。在《刑法》没有增加新型数据犯罪的前提下,线下犯罪的线上转换实现了数据犯罪的范围扩张,既有规范不断被赋予数据犯罪的新内涵,数据犯罪藉由“数据”这一转换介质已经分散到财产犯罪、人身犯罪及社会秩序犯罪等各个领域。这决定了《刑法》中的数据犯罪呈现“散在分布”的特征,归纳起来主要有三种类型:
一是以数据为直接保护法益的核心犯罪(core crime)。就犯罪的规范配置而言,《刑法》中的犯罪有核心犯罪与外围犯罪之分,核心犯罪位于刑法法益及规范目的的聚焦之处,其保护的法益通常在构成要件中被直接描述。
二是以数据为间接保护法益的关联犯罪(related crime)。关联犯罪对核心犯罪直接保护的法益进行间接保护,主要体现在规范适用层面,反映的是刑法内在的联结关系。
三是为数据提供保护屏障的外围犯罪(peripheral crime)。在某种意义上,外围犯罪是立法者基于相对不确定的理由创制的,比如风险预防、行政管制、司法效率等,
刑事立法所构建的“核心犯罪+关联犯罪+外围犯罪”的数据犯罪体系,总体上兼顾了数据的内核与外延,三种类型的数据犯罪具有法益保护的共通性与规范功能的互补性。在此逻辑下,依照犯罪类型与保护法益的远近关系,侵犯数据法益的行为原本应当优先适用的犯罪类型是核心犯罪,次之是关联犯罪,最后是外围犯罪。然而,由于核心犯罪及部分关联犯罪未能及时跟进数字经济发展,相关规范未得以修正完善,当下主要源于前数字经济时代的数据犯罪难以满足数字经济时代数据法益的保护需求,立法出现了明显的代际断层。
基于数据犯罪的体系性,在立法断层出现的早期,尚无增设新罪之必要,只需在既有犯罪中增添新的数据要素即可实现保护目的。换言之,此时核心犯罪的缺位可以由关联犯罪和外围犯罪补充。由此,出现了关联犯罪和外围犯罪被用于保护数据法益的阶段性现象。其中,关联犯罪因与数据所承载之具体利益存在规范关联,在规制侵犯数据法益的犯罪行为中得到了广泛适用。《刑法》中保护个人信息数据的侵犯公民个人信息罪、保护数据财产性利益的盗窃罪、保护平台商业秘密数据的侵犯商业秘密罪等,皆属此列。外围犯罪具有较为鲜明的预防性特征,能够适应数据法益保护前置化的时代趋势,在司法实践中适用频率较高。以帮助信息网络犯罪活动罪为例,2020年全国各级法院审理帮助信息网络犯罪活动罪案件的数量较上一年度激增34倍,2021年审理案件的数量再增17倍,其中大部分案件都涉及到数据财产法益的刑法保护。
不过,这种体系性补充只是权宜之计。无论是关联犯罪,还是外围犯罪,都不是直接保护数据法益本身的犯罪类型,不可能完全填补核心犯罪的缺位,同时随着数字经济发展,这种体系性补充可能会进一步演化为“规范空白”。
当前数据犯罪的规范空白主要体现在两方面:一是由于刑事立法中核心犯罪缺位,一些应当被纳入刑法保护的重要数据类型不在被保护之列。例如,对于重要物资储备数据、宏观经济统计数据等属于公法益范畴的数据,《数据安全法》第21条将此类数据列为比个人信息数据具有更高受保护性的“重要数据”与“核心数据”,并予以着重保护,但《刑法》未将这些数据纳入核心犯罪所直接保护的法益范畴。从预防犯罪的角度看,尽管危害国家安全罪、危害公共安全罪和妨害社会秩序罪等内含着对上述重要数据的保护,但这些关联犯罪与外围犯罪的适用,往往要求侵害行为侵犯了数据所承载的具体利益,此时关乎国家安全、公共利益的重要数据已被泄露,刑法难以发挥对重要数据法益的预防性保护功能。二是在已经被刑法保护的数据类型中,原本应当由刑法规制的非法处理数据行为未被纳入全流程规制范围,存在处罚空隙。例如,《刑法》第253条之一就侵犯公民个人信息罪的行为类型仅规定了非法获取行为、非法提供行为、非法出售行为,其中,非法获取行为指向前端的个人信息数据流入行为,非法提供行为与非法出售行为指向末端的个人信息数据流出行为,而中端的个人信息使用行为不在被规制之列,对个人信息数据进行删、改、增等破坏数据完整性的行为不属于侵犯公民个人信息罪的行为类型。因此,《刑法》未实现对侵害个人信息数据的行为的全流程规制。规范空白削弱了刑法的实效性:如果行为人实施一个明显更具严重社会危害性的行为而没有被追究刑事责任,这会向公众释放错误信号,导致刑法因明显偏离公正性标准而失义,
(二)司法续造瓶颈与“规范内涵”耗尽
立法代际断层加深了司法实践中所面临的困惑,司法机关就案情高度相似的“类案”作出了不同的裁判。
以非法获取计算机信息系统数据罪中的“计算机信息系统数据”为例,根据2011年8月1日最高人民法院、最高人民检察院出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条第1款的规定,非法获取“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”和其他“身份认证信息五百组以上的”,构成非法获取计算机信息系统数据罪。“计算机信息系统数据”在此被解释为“身份认证信息”。关于何谓“身份认证信息”,第11条规定:“本解释所称‘身份认证信息’,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。”然而,为了满足入罪需要,司法机关对非法获取计算机信息系统数据罪中的“计算机信息系统数据”先后进行了多次司法续造,对计算机信息系统数据的解读已经远远超出了身份认证信息的语义范围。例如,2012年最高人民法院研究室在《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》中指出:“对盗窃网络游戏虚拟货币的行为应以非法获取计算机信息系统数据罪定罪量刑。”由此,网络游戏虚拟货币被解释为非法获取计算机信息系统数据罪中的计算机信息系统数据,这显然突破了身份认证信息的语义范围。最高人民法院研究室作出该解释有特定的时代背景。当时盗窃“财产性利益”尚未成为刑法理论的确定性结论,“财产性利益”被认为不属于盗窃罪中的“公私财物”,同时刑法理论与司法实践主要参照德国刑法理论及我国台湾地区学说,将网络游戏虚拟货币解释为“电磁记录”。
当刑法存在过大的规范空白时,刑法“给予法官的自由裁量余地太多了,因为法官可能发现在许许多多场合下适用立法者创造的规范是不够的”。
综上所述,当前数据犯罪立法的规范空白已然形成,并且随着数字经济的发展还将进一步扩大,这种规范空白已经无力通过关联犯罪和外围犯罪被填补,当前的司法续造也耗尽了既有规范内涵。基于立、改、释三者的顺位关系,当既有规范及其刑法解释无法规制具有严重法益侵害性的新行为类型时,可以着重考虑立新法、扩旧法。
二、从保护法益到介入限度:数据犯罪立法的逻辑基础
犯罪化实质上是国家刑罚权扩张与公民自由权利限缩的双向过程,但刑罚权与其他公权力一样具有本能的扩张倾向,立法者的每种突发奇想都有形成制定法的机会。
(一)法益论方案无法确立数据犯罪的立法基础
刑法学界在研究数据犯罪立法时,习惯于将数据犯罪的保护法益作为逻辑基础,并以此指导设计立法方案。由此,关于数据犯罪立法大体形成了四种法益论方案:
第一种方案着眼于数据安全的内容,认为数据犯罪的保护法益系数据的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),即CIA。
第二种方案着眼于数据安全的类型,认为数据犯罪的保护法益包括“数据流通安全法益”和“数据安全状态法益”两种类型。
第三种方案着眼于数据的主体,认为数据犯罪的保护法益分为个人数据法益、企业数据法益和公共数据法益,在此基础上应当建立三元保护模式,具体做法是扩容侵犯公民个人信息罪,增设侵犯数据专有权罪和破坏公共数据罪。
第四种方案着眼于数据所承载的具体利益,认为不能将数据本身安全作为数据犯罪的法益,而应当“以数据本身所征表的数据信息为中心来建构法益,确保其与具体数据犯罪的法益发生直接关联”,
在以上法益论方案中,第四种方案试图以关联犯罪规制数据犯罪。这种思路如前文分析无法完全填补数据犯罪的规范空白,因而并不可取。至于前三种方案,逻辑思路皆为借鉴域外规定或根据我国《数据安全法》《网络安全法》等法律,确立数据犯罪的保护法益,因此前三种方案均有混淆刑法的保护法益与前置法的保护法益之嫌。从更深层次分析,以上四种方案共通的逻辑基础是前实定法的法益概念具备对犯罪化立法的先验指导功能,这是方案失败的根本原因之所在。
首先,前实定法的法益概念无力为数据犯罪立法提供有效指导。理论上言犯罪必谈法益的惯性思维,主要受刑法理论“德日化”的影响。这种惯性思维容易影响研究者的理性判断,研究者可能没有深入思考法益论的适用语境及其能否为我国数据犯罪立法提供理论支撑。法益论方案中的“数据法益”或“数据安全法益”实质是立法之前的前实定法的法益。此种前实定法法益具有立法批判功能,是指根据启蒙时代以来的自由主义思想,法益在刑事立法之前具有限定国家权力恣意性、保障公民个人自由的立法指导功能,能够“为刑事立法提供正当性判断基准”。
其次,由于前实定法的法益概念欠缺牢固的法益根基,因而无法确定值得刑法保护的数据范围。刑法在整体法秩序中具有“最后手段性”,对于其他法律的规定刑法没有必要也不应该不折不扣地加以反映。基于科学立法的比例原则,刑法应当建立法益筛选机制,对前置法所保护的数据范围有所取舍。事实上,在数字社会,人们能够自行在数字社会交往中更为有效地建立和维持秩序,“法律规则也许没有意义”,
最后,前实定法的法益概念难以解释法益处罚前置化的刑事立法变迁,
(二)数据犯罪立法的“元问题”是刑法的介入限度
为了合理限制犯罪化立法,早期理论主要基于“伤害原则”(Harm Principle)提出“当且仅当一个行为是有害的,才能将其定为刑事犯罪”;
所谓刑法介入数据保护的限度问题,核心在于厘清整体法秩序中《刑法》与《数据安全法》《个人信息保护法》《网络安全法》等前置法的关系。法秩序作为动态的规范体系,在同级规范之间建立了联结关系和序位关系。
基于法秩序内刑法与前置法的联结关系,刑法所保护的数据法益需要参酌前置法确定。从法律属性来看,数据犯罪应当为法定犯或有明显法定犯成分的混合犯,具有较强的“禁止恶”。
在以联结关系确定刑法需要跟随前置法调整而修正后,还要明确如何在数据保护中定位刑法,或者说,如何配置数据犯罪才能够使刑法成为最后序列的保障法而不是在先的社会管理法。
第一,基于数据分类分级保护制度,刑法所保护的数据类型应当限于前置法特别保护的数据,即前置法是否对特定数据类型设置了较高等级并给予特别保护构成了刑法介入的基本条件。
从数据价值的角度来看,《数据安全法》之所以对数据进行分类分级保护,是由于不同的数据所承载的利益类型及价值大小不同,立法分别给予不同程度保护,是为了在数据要素共享与法律对利益的保护之间寻求平衡。据此,承载较低价值或较少利益的数据本就不应该受到过多的法律保护,更不应当由刑法介入保护。例如,个人上网所产生的不含密码等重要内容的cookies数据,属于个人网络行为轨迹数据。然而,单个的个人网络行为轨迹数据因承载的价值较低,没有必要纳入刑法的保护范畴。因此,数据分类分级可以帮助刑法剔除前置法中不受保护以及受保护程度极低的数据。
从数据犯罪的属性来看,无论是核心犯罪还是关联犯罪、外围犯罪,都具有鲜明的法定犯色彩,因而可以说数据犯罪是“时代产物”,是国家为了“维护社会秩序的需要而为法律所禁止的行为”,
第二,基于数据要素有序共享理念,刑法既要对非法数据处理行为进行全流程规制,也要考虑到在数字社会特定交往场景下无需赋予数据主体“真实”话语权,科学设定排除犯罪成立的出罪事由。
共享是数据的第一主题。刑法规制不是阻止共享,而是为了使共享从无序变得有序,从失范到规范。数据是数字社会新技术新业态的基本要素。在新技术新业态出现的早期,由于法律调控的缺位,新技术新业态的发展必然会经历一段时间的“野蛮生长期”,大量失范行为出现。面对日渐无序的数据侵害现象,公共部门寄希望于最严厉的刑法来调控,以求快速有效地规制失范行为。这种高压的刑事政策思维,在特定时期是有益的,但会误导立法形成“既严又厉”的格局,科学性欠佳。
回归理性,立法者敏锐地察觉到,有序共享是刑法介入数据保护的重要前提。为了保障数据有序共享,刑法当然有必要对非法处理数据的行为进行全流程规制,包括前端的非法获取行为、中端的非法使用行为以及后端的非法泄露行为。同时,为了促进数据共享,刑法对失范行为的规制也应当有其限度。在数字社会中,特定场景下数据主体“真实”的话语权已经被社会交往规则所淡化,比如互联网平台用户通常不会认真审查“数据授权条款”就轻易地给予同意,
总之,刑法介入数据保护的限度,即犯罪化限制,有两个维度:一是考量对数据类型的保护限度,将不重要的数据类型从刑事犯罪圈排除出去;二是考察对行为类型的规制限度,根据数字社会交往关系设置限制入罪的例外情形。两相结合,不仅实现了数据犯罪立法的科学性、合比例性与确定性,而且使数据犯罪更能契合数字经济时代发展,实现特定场景中不值得刑法处罚的数据处理行为的非犯罪化。
来源:《法制与社会发展》(本文为文章摘录版,如需引用,参阅原文)