摘 要:“数据”是数字经济时代的关键客体,数据刑法保护体系构建的前提是厘清数据的概念边界。刑法保护的应当是数据信息,数据信息与数据不同,数据信息有价值而数据本身无价值。数据信息是以数据作为载体的对人有价值、有意义的内容,具有法律意义。数据信息所指向的法益能够通过刑法规定的犯罪使其特定化、具体化,具有传统价值属性的数据信息可等价转换为传统保护法益,其他价值属性的数据信息则可等价转换为数据信息安全法益。应当构建以数据信息为中心的刑法保护体系,对于侵犯指向具体法益的数据信息的犯罪应依据传统罪名定罪量刑,对侵犯其他数据信息的犯罪应依《刑法》第285条、第286条第2款定罪量刑。
关键词:数据 数据信息 法的价值 等价转换
一、问题的提出
在人工智能、云计算和物联网等技术的推动下,人们从自然的生存方式迈向了数字化生存方式。社会生产力的数字化变革促使数字经济到来,数字经济刑法保护体系的构建需要应对一系列新的挑战与风险。“数据”作为数字经济时代关键的生产要素和运行中枢,已然成为构建数字经济刑法保护体系的重要客体。以数据客体为核心的数字经济刑法保护体系的构建,应秉持“发展”与“安全”并重的理念原则,“全面兼顾安全与发展是数字经济的终极追求与价值根基,也应当是数字经济刑法的基本理念与一般规律。” “三维世界”的数字法学是“以数为核心”的系统论,这里的“数”并不是形式上的计算单位,而是数字世界中的数据信息。
现阶段,学者们致力于数据刑法体系的构建,一元模式与多元模式都试图建立一种周延性的数据刑法体系。一元模式通过区分以网络数据为犯罪对象的犯罪和以网络数据为犯罪工具的犯罪,认为数据刑法的罪名体系应着眼于以网络数据为犯罪对象(即针对数据本体)的犯罪,以数据为犯罪工具的犯罪本质上是传统犯罪的规制对象。一元模式的问题在于,脱离了具体法益的数据在实质上并不存在被刑法保护的价值,因为如果数据不以指向现实生活中的法益为目的,那么其只是“0”与“1”组成的代码。多元模式则是通过将数据犯罪与我国刑法分则中各个类型的传统犯罪相关联,从而形成多罪群共治的模式来完善我国数据刑法保护的罪名群。可以说,多元模式的数据治理体系构建是合理的,但其同样没有证明将数据本身作为法益保护的正当性。
无论是数据犯罪的一元模式,还是多元模式建构,其本质都是从抽象的危险犯角度出发,将数据本体的“保密性、完整性和可用性”视为一种秩序法益加以保护,而这种立法论上的缺陷是抽象危险犯的应有之义。山口厚认为,“抽象危险犯实质上是立法者拟制的危险,拟制危险的这种想法其实就表现为,即便没有为犯罪具体的成立现实地(实质地)奠定基础的事态也要肯定成立犯罪,那就不得不说这是有问题的。”可见,抽象危险犯有着天然扩张刑法处罚范围的倾向,盲目增设、扩张抽象危险犯的做法很容易加剧刑法的工具主义倾向。将数据本身脱离信息作为抽象危险犯加以保护,实质上脱离了具体法益的特殊性,特别是在“数据”本身定义模糊的前提之下,可能导致刑法适用范围的不当扩大,增加法律的不确定性。
概念是一切研究的前提,概念作为认知的基本单元,是开展学术研究的逻辑起点。我国刑法并未界定数据的概念,司法实践中多是参照《数据安全法》《网络安全法》中的数据定义,但两部法律对数据概念的界定存在差异且均为描述性定义,使得实践中出现信息与数据、个人数据与个人隐私等概念的混同,数据的概念无法被当然地应用于刑法之中。“法律概念并不是描述性概念。法律概念的内涵与外延是由立法事实决定的,而立法事实与语言惯习事实是性质迥异的两种社会事实。”在当今的数据犯罪体系中,出现了如前所述直接以“数据”作为规制对象,忽略数据与信息的区别,将二者混同的现象。数据概念在立法上的不确定以及信息与数据一体两面的特性,导致司法实践对数据和信息概念的混淆,以及罪名适用的分歧。因此,在我国刑法尚未明确“数据”一词的法律概念以确定其内涵外延的情况下,从抽象危险犯的角度围绕“数据本体”进行数字经济刑法保护体系的构建,难以把握数据呈现的内容核心,脱离了法益保护的实质,不当地扩大了刑法处罚范围,治丝益棼,客观上阻碍了数字经济的发展,有违数字经济刑法保护的理念和原则。
实际上,数据与信息在本质上并非对立关系,而是交叉关系,片面强调二者的对立并不利于法益保护。实然层面,我国刑法是以“信息”为中心建立的规范体系。1997年《刑法》第285条“非法侵入计算机信息系统罪”规定“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役”。该罪的主要目的是防止国家信息中某些重要、敏感的信息被泄露,并防止可能造成的严重的政治、经济损失。2009年《刑法修正案(七)》增设“非法获取计算机信息系统罪”,打击非法控制计算机信息系统以及提供侵入、非法控制计算机信息系统程序、工具的犯罪行为,旨在保护用户计算机信息系统的硬盘或其他存储介质中保存的信息以及预防非法控制计算机信息系统行为进一步实施其他危害行为。2015年《刑法修正案(九)》规定了有关单位犯罪,与分则各章节规定的侵犯公民个人信息罪、侵犯商业秘密罪等共同构成了以保护信息安全为中心的犯罪群。可以认为,刑法设定数据犯罪的核心目的是保护以数据为载体的信息安全,换言之,“实际上值得刑法保护的法益依然是财产、文书、个人信息等传统法益”,而不加区分地在刑法中适用数据概念会遮蔽刑法的保护法益。因此,在刑法适用中有必要提出“数据信息”的概念进行等价转换及贯穿适用,在满足刑法基本原则的同时回应现实需求,从以“数据”保护为中心的话语体系向以“数据信息”为中心的话语体系进行转变。
二、数据无价值而数据信息有价值
我国目前的数据犯罪体系表面上是以“数据”为核心构建的,而实际上却并未直接对数据的技术属性进行评判,未取代对规范层面法益侵害性的实质判断。数据信息与数据不同,数据信息指向人们的现实生活因而是有价值的,而数据本体作为由“0,1”组成的序列代码是存在于一定载体之上的电磁记录,在没有经过技术性加工之前,其本身是无价值的。数据犯罪所侵害的法益并不取决于数据的技术属性本身,而在于承载信息的实质。
(一)何为数据?
模糊的数据概念界定导致难以把握犯罪的核心。目前,数据研究领域较多集中在数据确权、数字人权、数字法学等问题上,而忽略数据的概念与内涵这一重要前提。概念起着认识的渊源作用。哈佛大学教授莱斯格(Lawrence Lessig)认为网络只负责传输数据,而并不负责数据的解释工作,数据只是信息的中性载体。我国学者高富平将数据等同于资讯,国际标准化组织(ISO)和国际电工委员会(IEC)对数据所作的定义是“以适合于沟通、解释或处理的形式化方式重新解释信息的表达”。欧盟《一般数据保护条例》第4条第1款采用定义加列举的方式对个人数据进行界定,强调个人数据的识别性和相关性。《数据安全法》第3条规定,数据是指任何以电子或者其他方式对信息的记录。2011年8月1日《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条将“数据”限缩为“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”以及“其他身份认证信息”。我国刑法的实践立场多是将数据与信息进行等同,包括了一切能存储在计算机信息系统中有价值的信息,这使得数据与信息之间的关系“暧昧不清”,进而影响罪与非罪的判断、此罪与彼罪的认定。
应当认为,数据不等于信息,二者分属不同层次,有着根本的不同,在以保护法益为基本立场的刑法规范中有意义的只能是信息。在技术属性层面,数据以0或1的二进制代码组成并呈现,而信息则是人们通过观察等方式获取的内容。数据之上可以承载具有价值的信息,也可以不承载或承载具有其他价值的内容。当数据承载信息时,有学者形象地表达为“数据代码与信息内容分属‘代码层’与‘内容层’”。从法律属性层面考量,并非所有的数据都具备按照信息方式保护的可能性。信息的外延要大于数据,信息中包括数据信息和其他信息。数据是信息的载体,数据的价值被信息的价值取代,数据只是原始的技术属性,其本身不具有法律评价的意义,数据背后体现的信息内容才是人们能够利用的、法律关注的焦点,可通过保护信息实现对数据的保护。简而言之,数据侧重于技术层面,是信息的载体,而数据信息侧重于内容层面,是数据反映的内容,不可一概而论。
(二)数据本体无价值
关于数据是否有价值这一问题的回答依据数据概念界定的不同而有所不同。有学者主张,数据有独立的价值,“数据和信息是载体和内容、形式和实质的关系”,认为数据自身存在值得刑法保护的价值或利益。也有学者从法律保护权益的角度出发,认为数据本身并不具有独立价值。因为用0和1的二进制代码表示的数据本身这种中立性事实无法与宪法上所确定的利益产生直接关联,只有数据所表征的信息内容才能与宪法所确定的利益形成规范连接点。该观点将数据界定为二进制代码,认为数据本身无价值。总的来说,认为数据本身有价值的观点多是将数据与信息等有价值的内容相等同,或是从抽象危险犯的角度将数据运行的整体环境看作一种秩序法益而加以保护。而认为数据本身没有价值的观点则回归数据的原始形态,将数据界定为以0和1的组合表现的二进制代码。
实际上,数据本身是不具有价值的。并不是所有数据都值得刑法保护。数据是以0和1的组合表现出来的比特形式,“原始数据未经有目的的活劳动开垦过,因而不具有价值属性”“不能说以数据形式记录现实世界就赋予了原始数据价值”,可以说,单纯的数据本身只是一种存储信息的形式,不具有价值性,人们无法直接读取并与之产生连接,附随在其上有价值的信息才具有价值。例如,存储在计算机信息系统中表现为0和1组合形式的数据并不具有价值,其只是人们存储内容所产生的在技术层面上的结果,如果不加转化,人们仅从0和1的代码组合中并不能读出有价值的内容,只有经过数据处理者的分析、加工,对二进制0和1进行转化、提炼,才能得到对人有意义、有价值的内容。同理,有价值的是数据承载的能被人利用的具体内容。因此,以二进制代码呈现的数据本身是不具有价值的,或者说“数据的价值”这一提法并不是对数据本身具有价值的默认。也有学者从国家数据管理秩序法益观的角度将数据的价值解释为社会管理的便利,数据虽然并不一定具备个人权益属性,但一定具备社会属性,“数据的使用过程使得数据成为财产,表征了数据对于其使用者的使用价值。”本文并不否认数据本身的使用、利用及流通秩序的价值,但在构建数据犯罪保护体系之前需要厘清并明确数据的内涵和外延。数据只是原始的技术属性,电子代码对人们并无直接意义,人们利用数据最终是通过其承载的数据信息进行的。
目前以“数据”为核心的刑法的数据犯罪保护体系是存疑的,其误读了数据在法律上的意义,忽视了数据背后真正有价值的信息,以数据代替内容的判断,不当认定犯罪的成立范围,难免使计算机信息系统数据犯罪落入“口袋化”的窠臼。
(三)数据信息有价值
法益之所以值得保护,在于其能与现实生活产生连接。如前所述,数据本身并无意义,只有人们赋予在数据之上有价值的内容才有意义。数字时代,价值如同权利,需要“授权”,需要实实在在的人进行“价值赋予”。“信息=数据+意义”,这是西方信息哲学的代表人物弗洛里迪(Luciano Floridi)提出的有关信息本质的定义,只有被赋予了意义的数据才是信息。实际上,在数据上被赋予的意义就是数据信息,数据信息是数据体现的对人有意义、有价值的内容。数据信息也不完全等同于信息,数据、信息不是相互对立的,而是交叉存在的关系,数据信息是数据所体现的有价内容。以0和1的二进制代码定义且无法识别出信息的数据不具有任何法律意义,在立法上无论是采用数据抑或信息的表述,其实质上指的都是与现实生活利益相关的信息。
数据作为技术本质,是一种电磁记录,是对客观事物感知的原始记录,并用0和1的二进制代码来表示的网络世界的基础语言。数据是相同的、有待进一步提炼的,无法体现与人的行为的直接联系,而真正有价值的是数据信息。数据信息直接体现内容,可以直接与人的行为产生连接,根据内容的不同,其对人的意义也发生区别。决定是否要被保护以及保护的程度,均是以承载的数据信息为依据的,只有侵犯了值得刑法保护的“信息”,才能进行定罪处罚。以个人信息这一具体的数据信息为例,在个人信息这一特殊具体的数据信息范畴中,数据的价值即来源于个人信息内容本身,而非作为载体的底层数据技术。因此,在数据犯罪保护体系中,应当明确数据信息的范畴,进行数据“信息”犯罪的体系构建。
三、数据本体犯罪刑法体系的潜在矛盾
自《刑法修正案(七)》增设非法获取计算机信息系统数据、非法控制计算机信息系统罪以来,数据犯罪开始成为刑法中的独立犯罪类型。当前刑法理论对数据犯罪的界定大致包括以下两种观点。广义说认为,一切以数据为对象或工具的犯罪都属于数据犯罪。狭义说认为,数据犯罪是以数据为犯罪对象的局限于侵犯计算机和数据安全的犯罪,仅指《刑法》第285条和第286条调整的对象。狭义说将数据的多元属性变成了单一的形式属性,不利于数据安全的刑法保护,广义说更符合数据犯罪的客观事实。围绕数据本体这一模糊概念所构建的数据犯罪体系看似周延,实则存在诸多漏洞。为突出当前数据犯罪在刑法体系中的特点,以下称为“数据本体犯罪”。
(一)数据本体刑法保护的结果导向不清晰
在以数据本体作为刑法保护对象的框架下,容易出现刑法规制范围扩大、不当干预数据流通与利用的情况,违背刑法谦抑性原则的基本要求,刑法介入起点的前置忽视了其他民事、行政法律手段的优先适用,导致对以刑法解决纠纷的过度依赖。
将数据本体作为刑法保护对象,倾向于将任何未经授权获取、复制、传输或处理数据的行为一律视为侵犯数据安全的行为,从而触发刑法规制。这种逻辑忽略了行为的社会危害性。以网络爬虫技术为例,爬虫技术作为一种数据收集工具,原是一项中立性技术措施,并被广泛用于搜索引擎优化和市场数据分析等正当用途,但在数据本体犯罪的考量下,增加了将其作为犯罪认定的可能性。例如,在丁某提供侵入计算机信息系统程序案中,被告人采用爬虫技术获取的是短视频平台服务器的数据,其行为只是侵犯了数据本体,且被告人后续也未对数据本体上所承载的信息内容进行滥用。该案以行为系获取数据就被认定为犯罪成立,缺乏法益侵害的实质判断。这种做法欠缺刑事违法性的实质判断,容易误将无害甚至促进数字经济发展的技术行为归入刑法规制范围。同时,数据本体保护体系天然地具有“零容忍”倾向,导致轻微违法行为的危害性被放大。在数据本体犯罪的框架中,由于数据本身被绝对化为刑法的保护客体,任何涉及数据的行为(即便危害极小)也有可能被视为犯罪。例如“白帽黑客”为帮助企业识别系统漏洞进行未经授权的模拟入侵测试。在数据本体保护的逻辑下,这种行为符合非法侵入的定义,即便其实际目的是为了提升系统安全,也会提高其行为被认定为侵犯计算机信息系统罪的可能性。这种忽视刑法保护法益实质的形式判断不当地扩大了刑法的适用范围,打击了善意的技术创新。
以数据本体作为刑法保护对象,其核心标准是数据本身是否被非法获取、持有或使用,而非行为是否对公共利益、数据权利人或社会秩序造成了实质性危害。这种结果导向的不清晰性容易导致数据利用行为的刑法边界模糊,形成执法和司法尺度的不统一,造成部分案件中对轻微违法行为的反应过度。比如某些因未取得授权而复制公共数据的行为,可能被解释为数据盗窃。这种不清晰性还使得刑法规制过度扩大,不利于企业和个人对行为合法性的预期,阻碍了数据流通和利用的创新生态。
(二)数据动态价值观的内在冲突
数据本体犯罪体系关注的核心是数据的静态保护,忽略了数据在动态流通、共享、分析中对经济和社会的实际贡献。在大数据分析中,数据的多次处理和交叉使用难以避免出现瑕疵,如数据来源不明以及权属界定不清等,但若刑法对其“一刀切”地进行处罚,则可能阻碍整个数据链条的运作。数据本体犯罪体系的保护逻辑强调数据作为一种技术属性的客观存在,无论其用途、场景或动态变化,一旦遭到侵害即可能触发刑法介入。这种静态化认知难以反映数据在实际应用中的多样价值,导致法律适用的僵化。数据的动态价值主要表现在时间敏感性(数据价值随着时效变化)、场景依赖性(数据的价值取决于应用的环境)以及技术推动性(数据需要技术进行编译处理后才有价值)这三个方面。而场景依赖性这一特点也就决定了数据需要与具体信息相结合,也是数据信息具体化的关键。数据动态价值的快速变化往往超过法律调整的速度,导致刑法在面对新型数据应用和侵害时难以快速适应,如果刑法过于强调数据本体的保护,可能造成对行为的误判,而“数据信息”能够涵盖数据在不同场景下的动态价值,则是一种更加灵活且具体的概念。
2022年1月12日《国务院关于发布“十四五”数字经济发展规划的通知》指出,要在保证数字经济安全的前提下进一步释放数字经济的市场主体创新活力和内生动力,明确将数字经济作为未来经济增长的重要引擎,着重强调了“数据要素市场化配置”,推进数据的开放共享、价值化利用,提升数据作为生产要素的潜力。如前所述,数据本体其实并无价值,不论是一元模式还是多元模式的数据保护体系构建,本质上并没有厘清数据的技术属性的边界,在此前提下所构建的数据保护体系实质上是不当扩大了数据处理行为刑法意义上的危害性。若刑法过度强调“数据本体”的保护,将数据处理行为笼统地纳入犯罪范畴,可能打击企业对数据资源利用的积极性,减缓技术迭代速度,有碍提升数字经济的国际竞争力。中国正积极参与全球数字经济治理规则的制定,若国内刑法对数据的规制过严,可能与国际规则不符,削弱中国企业在全球市场的竞争地位,阻碍数据跨区域流通和数据共享。将数据信息定义为以数据作为载体的价值表达,与刑法中的具体法益进行等价转换,可以区分具有刑法保护必要性的信息与无价值的信息,从而减少对正常经济活动的干预。
(三)数据本体与数据信息法益的混淆
数据作为由“0”和“1”组成的代码,其本身并没有任何目的,是一种价值中立的物理性事实,在法益上没有性质和程度的区别,在法律上欠缺区分保护的意义。以数据作为保护对象,着眼点在于对技术本身而非对人类行为的调控,容易不当扩大入罪范围,使数据犯罪与人的行为丧失连接点,实则是以技术属性判断取代了法律属性的判断,忽视了数据背后法益实质的深入考察。现代“法益”理论的基本逻辑是,只有针对作为保护对象之“法益”直接造成侵害或危险的行为的处罚,才能基于法益论提供正当化根据。数据只是信息的载体,在法益上并不存在具体价值。数据的价值体现在数据反映的信息内容上,认为数据犯罪保护的实际上是数据信息,才能够明确各种具体数据犯罪的性质,确保其与具体数据犯罪的法益发生直接关联。
数据在本质上是无价值的二进制代码,刑法不应当对无价值的数据进行保护,需保护的应是数据信息。例如,在“张某某等28人侵犯公民个人信息罪案”中,被告人通过购买等非法方式获取、收集各类证书持有人的个人信息并存储在自己的腾讯微云上,整合后将数据信息售卖牟利。该案应当区分作为载体的数据和数据所反映的信息内容,将保护的依据定位为数据信息。针对获取具有个人信息属性的数据信息,应认定该行为构成侵犯公民个人信息罪而非简单地根据信息呈现的“数据形式”认定构成侵犯计算机信息系统数据罪等罪名。可以认为,这样依据数据信息法益保护所得出的结论是妥当的。刑法对数据的保护依附于数据的内容,而数据的内容则是基于对数据信息的使用,数据犯罪的目的不在于对数据本身的占有,而在于对数据信息价值的侵犯,合理的解释是数据犯罪的规范目的是对有价值的数据信息的保护而非对数据本身的保护,其底层逻辑便是数据无价值而数据信息有价值。
现有刑法理论似乎并未过多在意数据上的利益纠葛,而是简单地将数据犯罪区分为侵犯传统法益与侵犯数据法益。这种区分显然无法匹配技术更新迭代的前沿性,更不利于对数据信息的保护。刑法判断标准应依据数据的特性,落脚在数据信息的价值上。数据无价值而数据信息有价值,数据犯罪的认定需向以人为中心的现代刑事法治回归,应当将属于技术问题的数据本身排除在刑法规制的范围之外,减少刑法规制犯罪的不确定性,以数据本体所涵摄的数据信息为中心来建构法益。“通过对数据处理后得到的信息的法益属性进行判断,就可以判断出具体的法益侵害内容”,实现“让法律的归法律,让科学的归科学”。
(四)数据本体犯罪体系中竞合关系的误认
有学者将非法获取计算机信息系统罪认定为数据本体犯罪,并且认为其与侵犯公民个人信息罪之间是一般法与特别法的关系。但是个人数据表征的两种权益在发生原因、法益主体、权益性质等方面均不相同,非法获取的侵犯行为并非仅侵犯了一种法益,而是造成两种法益侵害事实,并不能成立法条竞合关系。另有学者认为,非法获取计算机信息系统数据罪和侵犯公民个人信息罪均是刑法对个人数据在“不被他人非法获取”意义上的保护,应根据在先权利限制原则和法益保护位阶法则,优先适用保护数据人格法益的罪名。但是,数据所表征的数据法益和个人信息法益是不同的,二者之间不存在法益的重合或是交叉,是非此即彼的关系,而非包容关系。这也决定了数据犯罪与个人信息犯罪在法条关系上呈现出对立关系,而非竞合关系。
围绕数据本体构建的保护体系可能会导致对法益的重复评价。例如,犯罪人张三通过网络技术手段收集大量承载着个人信息的数据,进而将其违法出售。如果认为张三的行为构成非法获取计算机信息系统数据罪与侵犯公民个人信息罪的想象竞合,会造成对公民个人信息法益的重复评价。这是因为承载着具体内容的数据天然就带有着与其内容相关的属性,承载着公民个人信息的数据自然包含公民个人信息的法益属性。
我国刑法对于不同内容的数据信息给予不同程度的保护。数据表征的信息不可能既是具体的、特殊的个人信息,又是尚未形成具体分类的、兜底的计算机信息系统数据。由于作为犯罪对象的“数据信息”具有单一性,而表现的数据内容也具有单一性,所以对于一个侵犯数据信息的行为,只能评价为一罪,不存在竞合的情形。犯罪行为要么侵害了数据表征的数据安全法益而构成数据犯罪,要么侵犯了数据表征的个人信息法益而构成侵犯公民个人信息犯罪等,而不可能同时对“数据信息”进行多次法益评价,认定为数据犯罪、信息犯罪等不同罪名进而适用法条竞合或想象竞合。数据犯罪之间是中立关系。这样理解犯罪体系能够较全面地规制数据犯罪。
四、以“数据信息”为中心的刑法保护模式构建
在数字经济蓬勃发展的背景下,数据本体犯罪认定存在误区,未能把握法益本质,刑法有必要作出回应。在厘清数据与数据信息的不同、明确刑法保护指向数据信息的基础上,建立系统化的刑法保护体系迫在眉睫。然而对数据信息这种新事物的刑法保护,并非要创设新的法益类型。在明确了数据犯罪的实质意义后,本文将以“数据信息”这一明确的概念代替“数据”这一模糊的概念,并进行数据信息犯罪的探讨以及数据信息刑法体系的构建。
(一)数据信息的类型化
以往的数据保护模式是根据数据的分类展开,然而,在明确数据只是信息的技术属性的前提下,这一标准并不具备法律保护上的实际意义。妥当的做法应该是根据数据信息内容的不同确定法益,以实现刑法保护与数据的连接。
1.数据类型化缺乏可行性
当前,对于数据分类分级的研究呈现出较强的部门法区分态势,私法领域学者重点讨论数据在私法上的法律定位、权属关系、保护路径,公法领域学者则重点讨论政府数据的开放及治理等问题。在数据的分类上,学者们多是根据数据来源的不同,将数据分为个人数据、企业数据、公共数据。但在大数据时代,此种基础分类方法会导致三者之间存在交叉重合。欧盟GDPR采用二分法的形式,将数据分为一般数据与敏感数据。二分法分类方式也不可避免地导致实践中个人数据与非个人数据相混淆。同时该分类也未说明数据保护不同的原因,无法揭示数据信息的本质。当前的分类方式在具体的司法实践应用中大都面临着分类无法周延且交叉重合的困境。
事实上,数据本质上是以0或1的形式呈现的代码,各类数据具有技术属性上的一致性,很难产生类型化,且技术上的分类也不同于法律规范上的分类,不能直接转化使用。法律是规制行为的规范,不能以技术属性代替法律评价。对于刑法而言,数据承载的信息是多样的,法益指向是不确定的,以数据为评价中心难以在刑法规范与人的行为之间产生直接连接,不具有可操作性。而数据信息作为信息的数据形式,决定了其内在具有价值属性。根据数据信息所承载的不同价值对数据信息进行类型化,可以避免数据类型化的弊端,实现对数据信息的保护。
2.数据信息类型化的应然转向
主张刑法要依据前置法实现对数据的分类分级保护,无论从法秩序统一的角度还是从数据保护的角度,当然都无可厚非。而现实的情况却是前置法所确定的“分类保护”同刑法保护的指向性是不同的,因为非严重危害社会的行为无须刑法规制,所以刑法基于自身法益保护下的价值衡量也无法做到与前置法一一匹配。刑法具有保护法益的特殊功能,在刑事领域,刑事违法性的判断应当具有相对独立性,我国刑法中“空白刑法规范”对行政法规的“依附”并不意味刑事违法性的判断从属于行政法。在刑法同前置法规制范围不重合的情况下,刑事违法性的判断当然独立。刑法规制的是具有严重社会危害性的行为,具体到数据犯罪领域也是如此,刑法对数据信息的认定应该具有相对独立性,不是所有的“数据”都是有价值且值得刑法保护的。前置法对数据的分类分级,不能直接适用于刑法领域,应该有其自身的判断。数据只是信息的载体,具有技术属性,本身不能实现类型化,而其承载的信息才具有研究意义,应当由数据类型化向数据信息类型化转变。刑法要保护的法益是数据信息的价值,不同的数据信息有不同的价值,数据信息不是单一确定的而是具有多面性,对数据信息类型化具有现实可能性。数据信息是多样的,根据体现的内容不同而具有多种分类,也可以对应刑法的具体规定,实现法益保护的需要。
3.数据信息类型化的具体展开
打击数据犯罪是现实所需,以“数据信息”为中心构建数据信息的刑法保护体系具有可行性。从立法上看,直接使用“数据信息”表述的罪名似乎仅仅直接指向《刑法》第285条、第286条。但实际上,建立在底层数据技术基础之上的数据信息“大有可为”,可以表现为不同法益,与刑法罪名相对应。刑法的法益表现并非一成不变,现阶段,根据数据信息犯罪类型化对应传统罪名,能够形成对数据信息安全法益的体系化保护。本文将数据信息可分为具体数据信息和其他数据信息,具体数据信息与数据信息是种属关系,但具体数据信息可以用具体代词指代,主要包括已经被刑法特定化了的数据信息。而其他数据信息是指与数据信息是种属关系,但在当前的刑法体系中不应用某一既有的概念进行指代的数据信息。二者是共同种属于数据信息之下的并列关系。它们在技术本质上并没有不同,只是表现的内容不同,在是否被刑法特定化上存在差异,因而不应将数据犯罪的内容限定为计算机信息系统数据犯罪(见图1)。
国家秘密、军事秘密、商业秘密、个人信息等作为刑法保护的对象,是具有价值属性的数据信息,本文将这些能成为具体犯罪罪名保护对象的“数据信息”称为具体数据信息。它们之所以也被称为“数据信息”,是因为利用数据技术而表现出具体信息的内容。但实际上,与传统不法行为方式侵犯的法益没有本质不同,因而可以适用传统罪名。
多数情况下,法律利用“类型”而不是概念来描绘案件事实的特征。除了这些能够对应刑法罪名的具体数据信息,其余可称为其他数据信息。虽然目前我国并未对国家秘密、商业秘密、个人信息等之外由公共机构或企业持有的数据予以统一界定,但根据现有刑法体系以及刑法基础理论足以指导司法实践对数据重要性的判断。在形成类型和进行相应的类型归属时,经验要素和规范要素的结合构成这种类型的本质。结合我国刑法规范以及司法实践,对于不属于商业秘密的企业数据,不属于国家秘密、个人信息的公共数据,等等,若其数据之上存在值得刑法保护但又不能归入某一具体数据信息范畴的,则需称为“其他数据信息”。综上,对当前刑法罪名,可将数据信息类型化为具体数据信息以及其他数据信息两大类。
(二)以“数据信息”为中心刑法保护模式的具体展开
如前所述,数据犯罪和传统犯罪在法益侵害上没有区别。既然如此,如果没有“数据信息”这一概念,也会得出同样结论,那么构建数据信息犯罪的意义是什么?答案是:提示作用。如果没有“数据信息”这一概念,传统理论和司法实务鲜有关注数据信息的内容本质,更难以考虑适用传统罪名,多是以技术属性代替内容本质,从而当然地适用计算机信息系统数据犯罪。这样一来,数据犯罪内涵被不当限缩,传统罪名难以适用,而个别罪名的“口袋罪”趋势愈演愈烈,长此以往将阻碍数字经济的发展。因此,构建以“数据信息”为中心的保护模式不仅能够使刑法更加注重数据信息在特定场景中所指向的具体保护法益,划定国家刑罚权介入的合理边界,也可对司法实践起到指引、提示作用。
1.应然的数据信息犯罪的保护法益
具体数据信息犯罪侵犯的是传统法益。以侵犯个人信息数据信息为例,我国刑法规定了侵犯公民个人信息罪,根据当前的主流观点,侵犯公民个人信息罪的法益是个人信息自决权。刑法对数据形式呈现的个人信息,既不能绝对保护也不应不保护,只有在危害行为侵犯了个人信息自决权这一法益时,才具有适用侵犯公民个人信息罪定罪量刑的可能性。因此,以具体数据信息为犯罪对象的行为,是对传统法益的侵犯,其区别于数据信息安全法益,应当按照传统法益的不同性质对应传统罪名。
而对于刑法没有规定具体种类的其他数据信息犯罪,侵犯的则是对数据信息安全法益。既然属于其他数据信息的范畴,就排除了将其归入个人信息属性、财产属性等具体数据信息的可能,从而无法适用传统犯罪罪名进行规制。合理的解决方案是在其侵犯计算机信息系统安全的前提下,通过《刑法》第285条第2款非法获取计算机信息系统数据罪、第286条第2款破坏计算机信息系统罪进行保护。以往的研究多是主张非法获取计算机信息系统数据罪与传统犯罪罪名共同对侵犯数据安全的行为进行保护,而在数据无价值而数据信息有价值的结论下,传统罪名依然可以用来规制数据信息犯罪。此外,两罪具有不同的法益保护重点且互为补充,基本上能够覆盖刑法对其他数据信息的保护。
2.实然的数据信息犯罪适用罪名特定化
数据信息犯罪侵犯的传统法益与数据信息安全法益之间是对立关系,是非此即彼的。这也就决定了以具体数据信息为对象的犯罪与以其他数据信息为对象的犯罪之间在认定上并非竞合关系。数据承载的信息具有复杂性,种类多样,有些信息已经被刑法特定化,如国家秘密、个人信息等,侵犯这些特定信息的行为与传统犯罪无本质区别,在刑法上对应的法益是一致的,只是载体不同,刑法规制不应产生分别,即应当适用传统罪名规制,以最大限度保证刑法的稳定性。侵犯上述具体数据信息的行为,不应概括性地适用计算机犯罪罪名,而应进行必要的转化、对应,通过传统犯罪罪名实现对相应数据信息的保护,从而实现构成要件的类型化和法益保护的精确性。对于不属于上述已经具体化了的数据信息,无法按照传统罪名定罪处罚,在满足《刑法》第285条非法获取计算机信息系统数据罪、第286条破坏计算机信息系统罪的构成要件时,可进行相应地认定。
对于其他数据信息的归类也具有合理性。例如,我国《刑法》第285条规定将处理数据的信息系统限制为“国家事务、国防建设、尖端科学技术领域”,并没有以数据、网络信息系统等技术层面的安全作为保护法益,而是注重其征表的数据信息。因此,数据犯罪法益的建构应以数据所涵摄的数据信息为中心,才能确保其能容纳不同的价值,增强其自主性和应变性。同时,以数据信息作为规制对象,能够限缩入罪范围,避免成为“口袋罪”,即侵犯了具体数据信息所涵摄的传统法益的,应按照传统法益的不同性质认定为传统犯罪,侵犯了其他数据信息的,可能构成《刑法》第285条、第286条所规定的罪名(见图2)。
如此,刑法形成了一套以数据信息内容为核心的数字经济保护体系,对承载着包括国家安全、国防利益、市场经济秩序、公民个人权利等在内的重要数据信息予以不同程度的类型化保护。法益保护具有国家安全、公民个人权利等多重维度,以数据信息为中心的刑法保护体系构建,能够契合刑法内部的罪名体系,根据数据信息犯罪行为在罪名的适用上的特定性,能够改变以往以数据为中心模式下的重复保护问题。
3.数据信息犯罪的实践意义
本文已经明确,应当构建以数据信息为中心的刑法保护体系,面向实际,这一模式具有可操作性,能够避免个别罪名泛化、实现刑法认定的精确化。具体的认定步骤包括以下几个方面。
首先,应当识别行为指向的是数据本体还是数据信息,区分罪与非罪。并非所有数据都具有价值。大部分元数据不具有可理解性,并不必然反映特定信息,属于不具有信息内容的冗余数据。数据的价值表现在数据汇集处理之后的信息内容上。数据价值的实现需要经过处理成为信息,才具有意义和价值。同时,刑法保护具有选择性,仅针对受到严重侵害且具有刑法保护必要性的法益予以规制。数据安全法益的本位在于对有价值的数据信息内容的保护。因此,只有具有内容、利用价值的数据信息才可纳入刑法规制,未侵害数据信息的行为不构成数据犯罪。单纯的电子数据无价值也无意义,难以与人的行为规范产生连接。而只有侵犯了有价值的数据信息的行为,才会产生法益侵害,被纳入刑法评价。从实践上看,这种转变能够更有效适应数字经济时代的数据动态价值观,缓解刑法适用中的滞后性与僵化性。
其次,若行为侵犯了数据信息,则要根据数据信息的分类进行具体罪名的认定。不同信息类型对应不同犯罪罪名,对数据信息类型的识别是重要一环。应当优先考虑是否能够适用指向具体数据信息的罪名,使得犯罪认定具体明确。例如,侵犯具有“个人信息”属性数据信息的行为应构成侵犯公民个人信息罪,侵犯具有财产属性数据信息的行为应构成财产犯罪,此时应避免按照侵犯计算机信息系统类犯罪适用《刑法》第285条或第286条。这是因为具有财产属性的数据信息具有一定的经济价值。以网络虚拟财产为例,网络虚拟财产可以以金钱出让或者转变为金钱,应当视为财产性利益进行保护。侵犯具有“知识产权”属性的数据信息的行为应构成知识产权犯罪。在数字经济时代,具有知识产权属性的各种具体内容往往以二进制码的形式存储,这些信息呈现的内容、背后的法益是截然不同的,应突出各自保护的必要性,而非混为一谈,避免与《刑法》第285条或第286条罪名的混淆适用。
最后,对于未侵害具体数据信息,如果行为达到了侵犯计算机信息系统的安全性或者保密性的程度,可以按照《刑法》第285条或第286条进行刑法规制。具体而言,若数据的信息内容并未公开,非法获取数据行为侵害了计算机信息系统内数据信息内容的保密性,则考虑认定为非法获取计算机信息系统数据罪;若侵害计算机信息系统内数据信息的可用性和完整性之行为,则认定为破坏计算机信息系统罪。需要注意的是,以数据信息内容为中心,根据传统理论,意味着刑法保护的是数据信息的保密性、完整性和可用性,而不是数据本身。没有侵害数据信息保密性、完整性和可用性的行为,不应被认定为数据犯罪,从而能够避免犯罪的口袋化,实现刑法保护法益的具体化。
经过三步走的具体认定,在构建“数据信息”为中心的基础上,能够明确数据犯罪的范围,将数据信息犯罪与传统犯罪进行关联,实现既不重复评价,又做到不遗不漏,实现刑法的适时因应。
五、结 语
从信息法治、智慧法治到数字法治,数字法治时代需要构建相应的数字规则体系,其中就包含法律规则体系。在数据无价值而数据信息有价值的语境下,数据信息能够与具体数据犯罪的法益发生直接关联。以数据信息为中心的刑法保护体系相较于以数据为中心的刑法保护体系,可以避免重复保护,同时实现刑法的全面保护。随着经济社会的不断发展,科技的代际更新,被刑法所保护的法益发生改变,法律所需保护的价值也在相应地发生变化,未来随着数字经济的进一步发展,希冀数据信息概念的确立有助于明确目标,应对新型数据信息犯罪。
本文载于《华东政法大学学报》2025年第3期。
评论(0)
请先 后发表评论~