原创李昱上海市法学会东方法学
李昱
清华大学法学院博士研究生
要目
一、对数据犯罪既有立场的反思与批判
二、数据安全信任:网络时代数据犯罪法益的应然定位
三、争议性构成要件解释:以“数据”为例
结语
大数据与网络时代的到来将数据犯罪罪名体系之保护范围的问题推到前台。在此问题上,立法与司法的实践立场使数据安全在刑法中欠缺自主性价值,无法摆脱缚匛于系统安全、人身财产安全等传统法益安全的局面;学界诸种观点或流于宽泛而无法指导构成要件解释,或无法阐释数据犯罪的体系地位。基于社会信任的视角,数据犯罪的保护法益应被界为数据安全信任,即社会公众对网络系统中基于数据而展开的沟通安全性之信任。数据安全信任法益具备公共秩序属性,并以数据安全作为前提。在数据安全信任法益下,数据不以关联系统安全为条件;数据犯罪的保护客体亦仅限于具备“质的公共性”与“量的公共性”的数据种类。
网络时代,数据日渐取得与土地、资本、技术、劳动力等传统生产要素同等的重要地位。年《中共中央、国务院关于构建更加完善的要素市场化配置机制的意见》便已提出加快培育数据要素市场的战略计划,要求加强数据资源整合和安全保护。年中央全面深化改革委员会第二十六次会议审议通过的《关于构建数据基础制度更好发挥数据要素作用的意见》也明确指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。数据在事实层面日益增长的重要性不断吸引着包括刑法在内的法律规范体系的目光。在刑法领域,以非法获取计算机信息系统数据罪与破坏计算机信息系统数据罪逐渐成为炙手可热的学术增长点。而既有研究中,数据犯罪保护法益可谓“兵家必争之地”。事实上,数据犯罪法益的界定与当今大数据发展环境与大数据技术研发勃兴的时代背景息息相关。毕竟,“生活的需要产生了法律保护,而且由于生活利益的不断变化,法益的数量和种类也随之发生变化”;“作为治理机制中重要的一环,刑法被要求对敏感的社会问题做出积极回应。”晚近以来学界关于数据犯罪法益的研究,均基于这一背景展开。学者们意图通过重塑数据犯罪的法益,赋予刑法以参与大数据时代社会治理的重要使命与功能。然而整体来看,刑法学界的努力到目前为止并未达致与司法实践的有效沟通。司法实践对于数据犯罪保护范围的认定,与刑法学界的主张存在相当明显的差异。数据犯罪理论与实践的不可通约性,一方面导致数据犯罪的朦胧面纱无从刺破;另一方面也使得数据犯罪在司法实践中的平等适用面临严峻挑战。基于此,下文希冀在分析与解构立法与司法实践关于数据犯罪的法益观的基础上,指出当下司法实践中存在的问题以及既有刑法理论在数据犯罪保护范围问题上的缺憾,并尝试在现代社会日益数字化、数据化、智能化的时代背景下提出数据安全信任法益观,并以此为根据对数据犯罪行为客体即“数据”的内涵与边界进行教义学解释,以求达致数据犯罪的刑法解释与司法适用之间的体系性与融惯性。
一、对数据犯罪既有立场的反思与批判
立法与司法立场之分析与解构
从立法机关对于数据犯罪的说明来看,我国数据犯罪的保护范围有其局限性。立法机关指出,“存储”“处理”“传输”三种数据形态,涵盖了计算机信息系统中的所有数据形态,不论行为人非法获取处于哪种形态的数据,均符合法律规定。同时,立法机关援引《中华人民共和国计算机信息系统安全保护条例》的规定,认为计算机信息系统中存储、处理、传输的数据,是指在计算机信息系统中实际处理的一切文字、符号、声音、图像等内容的有意义的组合。以上解释意味着立法机关几乎将计算机信息系统中的所有数据均纳入了数据犯罪的处罚范围,但同时也将保护范围严格限缩在了计算机信息系统之中。通过保护计算机信息系统中的数据来打击数据犯罪现象的做法,在刑法修正案(七)初创之时没有太大疑问。因为在数据技术并不成熟的当时,数据的范围与计算机信息系统的边界是基本上相当的,“计算机信息系统内存储、处理、传输的数据”这一概念已经足以涵括所有需要受到保护的数据。
随着数据技术的快速发展与数据量级的爆发式增长,立法机关所设想的传统的“计算机信息系统”概念已经过于狭窄以至于无法涵盖所有的数据内容。根据《中华人民共和国计算机信息系统安全保护条例》以及《计算机信息系统安全保护等级划分准则》的定义,“计算机信息系统”意指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。可见,刑法修正案(七)对“计算机信息系统”的定义较为狭隘,仅仅能够指涉具备信息采集、加工、存储、传输、检索等功能的人机系统,这与社会公众对“计算机”的日常性经验式理解相吻合,却早已落后于当代信息技术的发展。晚近以来,计算机越来越多地被嵌入到各种产品中,并连接到互联网上。这一趋势催生了许多仅仅具有数据采集、传输功能而不具备加工、存储、检索等数据处理功能的智能产品的出现。这无疑意味着,传统的计算机信息系统概念注定无法应对新兴数据科技的发展,从而产生了数据保护的漏洞:首先,仅具有部分数据处理功能的数据产品中的数据,是否需要刑法保护?其次,侵犯此类产品中存储、处理、传输的数据的行为,是否具备刑事可罚性?
对于上述问题,我国司法机关给出了肯定性的回答。《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下文简称《计算机解释》)认为,只要具备自动处理数据功能,无论是计算机、网络设备、通信设备还是自动化控制设备,均可以被认定为“计算机信息系统”和“计算机系统”。如此,《计算机解释》便对刑法中的“计算机信息系统”与日常生活中的“计算机”概念进行了脱钩化处理。应当认为,司法机关的扩张具有正当性。理由在于,“刑法解释的目标是刑法文的真实含义,而不是立法机关制定刑法时的本意;对于刑法文字表述的缺陷,应当通过解释予以补正。”在对相应概念进行扩张解释之后,我国数据犯罪的规制范围和规制能力得到了显著提升。然而,为了让数据犯罪在实务中的适用更具针对性与可操作性,《计算机解释》申明“身份认证信息”的特殊性,并规定了“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改增加操作”以及“违法所得五千元以上或者造成经济损失一万元以上”的具体化的入罪情节。基于此,我国数据犯罪的司法现状可以被概括为“特殊规制”+“基于后果的普遍性规制”的独特模式。具言之,“特殊规制”是指对“身份认证信息”(尤其是涉及支付结算、证券交易、期货交易等网络金融服务的身份认证信息)进行特殊保护,对该部分数据以数量定罪;“基于后果的普遍性规制”则意指对于身份认证信息之外的数据不以数量定罪,而是以行为人的违法所得、造成的经济损失以及行为人所破坏的计算机信息系统的台数等作为入罪指标进行规制。然而,上述规制方式虽易于实务人员操作,却在数据保护的基本方向上存在重大偏异,难以针对当下的数据犯罪情势给出足够有力的回应。在本文看来,虽然立法机关与司法机关试图扩张数据罪的处罚范围,仍造成了下述局面。
一则,无力改变数据安全依附于计算机信息系统安全的局面。从上述分析中可以看出,在数据犯罪的问题上立法机关和司法机关均未能放弃数据的“计算机信息系统属性”。也即,数据要么内涵于计算机信息系统之中,要么对计算机系统的正常运行发挥作用。正如学者所言,如若结合刑法第条的规范目标加以实质认定,则会认为条第2款并非保护一般数据的完整性与可用性,而只是保护计算机系统安全的一种形式。在此种见解下,数据安全并不具有独立于系统安全的地位,二者之间属于“手段-目的”关系。最高人民法院所发布的第号指导性案例便认为,虽然行为人通过修改、增加计算机系统数据实施非法控制,但并未造成系统功能实质性破坏的,不构成破坏型数据犯罪,而是构成非法控制计算机信息系统罪。然而,此种做法无疑导致数据的独立价值长期被忽视,与数据日益增长的重要性并不相符。
二则,在认定数据犯罪成立的标准上过于注重数据所反映出的人身安全、财产安全或公共安全等传统价值而非新兴的数据价值。通过《计算机解释》中对于数据犯罪入罪条件的限定可以看出,在当下的司法背景下,只有在两种情况下方可成立数据犯罪。一是行为人侵犯的是足以影响计算机信息系统正常运行的数据;二是行为人侵犯数据的行为产生了数额较大的违法所得或者经济损失。只要不直接体现上述法益,无论被侵犯的数据在数量上达到何种程度,均不在数据犯罪的保护范围之内。实务中更有法院指出,非法获取计算机信息系统罪的保护法益是“公私财物所有权不受侵犯”“计算机信息系统安全”“社会管理秩序”等法益的综合体。也正因此,有学者对我国刑法保护数据的局面进行了精到的总结:
“现有的刑事法律体系,保护传统法益是保护计算机数据的出发点,计算机数据实际上并未被作为有独立性价值的法益进行保护。计算机数据具有从属性,只有计算机数据中包含的信息明确具有人身财产价值或公共利益价值时,计算机数据才会作为特定法益的载体受到保护。”
产生上述现象的原因之一在于,数据具备指向刑法中几乎所有重要法益的载体功能。结合数据被侵犯的“不可见性”和“难以感知性”的特点,司法实务中忽略数据自身价值并过于注重数据所呈现出的其他价值的做法便易于理解。然而,《计算机解释》在数据所承载的诸种价值中“择其要者”而予以规制的做法,无疑直接催生如下问题:首先,单纯造成数据流失与破坏的行为,不借助于公民个人信息安全、经济财产安全、网络安全等法益便无法进行认定;其次是由于数据独特的载体功能,许多侵犯传统法益的行为往往具有数据犯罪的面向,这导致数据犯罪与非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪之间以及数据犯罪与侵犯公民个人信息罪、侵犯知识产权犯罪、侵犯财产罪等罪名之间产生复杂的竞合关系,导致司法实践中不同主体之间无法达成统一性的认知,难以对相应犯罪进行准确定性。相关实证研究便指出,在破坏计算机信息系统数据罪的案件办理过程中,公安机关、检察机关、辩护人意见和法院最终认定罪名之间不一致的情况达到了44%的比例。
学界既有观点之阐述与不足
刑法修正案(七)和《计算机解释》颁布伊始,我国部分刑法学者便已经开始探索对于数据的独立化、专门化保护路径。综观既有论述,易于发现学者对于数据犯罪的法益属性,主要存在“公共安全说”“网络安全说”“个人数据权利说”“承载着具体用户合法权益的计算机网络安全管理秩序说”以及“数据安全法益说”等立场。持公共安全说的学者一般着眼于计算机信息系统作为当今社会正常运行与发展的重要基础设施,一旦遭受破坏便会对公共安全产生重大冲击的角度,主张我国刑法第六章第一节中与计算机相关的扰乱公共秩序的犯罪,应当在公共安全犯罪中有所体现。因此,刑法将非法获取计算机信息系统数据罪、破坏计算机信息系统罪等罪名笼统置于妨害社会管理秩序一章的做法实际上是犯罪客体错位,应当将其置于危害公共安全罪一章之中。“网络安全说”则认为应当以网络安全法益统领“网络和系统”“网络数据”两大环节,主张将数据安全置于整体性的网络安全中进行理解,并认为应当在我国刑法第六章设立“危害网络安全犯罪”一节。个人数据权利说并不主张将数据犯罪定位于扰乱公共秩序犯罪、危害公共安全犯罪或者单独的数据罪名体系之中,而是认为在信息网络时代,计算机信息系统与社会管理秩序和公共安全之间并没有必然性的关联,其应当保护个体性的法益,即个人所享有的数据权利。
无论是公共安全说、网络安全说还是数据权利说,都反映了论者对于眼下多发的数据犯罪现象的重视和扩张数据犯罪处罚范围的意愿。但综合来看,前述几种法益观失之具体、流于宽泛,未能对数据犯罪的法益进行精准定义,只是在批判刑事立法方面有所建树,难以在司法实践中产生实质影响。
相比之下,“承载着具体用户合法权益的计算机网络安全管理秩序说”对于数据犯罪之法益的讨论颇为翔实。该观点认为,破坏计算机信息系统的类行为体现为对计算机信息系统的可用性、完整性的破坏。可用性与完整性的背后,体现着计算机信息系统安全运行管理秩序之利益。因应地,应当将计算机信息系统安全运行管理秩序作为具体用户合法权益集合的载体进行保护。论者主张,行为人针对特定计算机信息系统实施破坏行为尽管体现为对个人法益的侵犯,但网络所特有的连接性依然使得计算机信息系统的运行自发形成独立于用户个人财产范围之外的空间秩序。容易发现,秉持此立场的学者立足于法益二元论的立场,认为在当下已然形成的整体网络环境之下,只有针对计算机信息系统安全运行秩序进行保护,才能防止不特定用户成为潜在的受害人。问题在于,此种观点尽管准确地洞察到计算机信息系统以及其内含之数据所遭受攻击的面向(即可用性与完整性),但计算机信息系统运行安全管理秩序这一法益的文义可延展性显然过强,在实务中计算机犯罪与数据犯罪的适用范围并不清晰的现实背景下,容易产生随意解释与刑法滥用之风险。此外,将法益界定为“系统运行安全管理秩序”,同样具有忽视数据安全之弊端,这一问题的存在也使得该观点在解释破坏计算机信息系统罪第二款之规定时无可避免地产生矛盾。
上述见解外,“数据安全法益说”是近年来逐渐兴起的有力说。该观点认为,界定数据安全法益的目的,在于为数据的保密性、完整性和可用性提供独立于计算机信息系统安全或者其他种类的传统法益安全的特殊保护。其中,数据的保密性是为了确保数据不受到未授权主体的探知、获悉或者使用;对数据完整性的保护则是为了确保数据不被删除、修改或者损害;数据的可用性则意在保障数据权利人能够及时、有效地获取和使用数据。事实上,数据安全是一种在国际社会中得到普遍认可的新的价值观。由欧盟主导制定的《网络犯罪公约》在序言中便肯定了缔约国对于数据的保密性、完整性和可用性的侵犯应当以犯罪化的形式进行对待,其第3条和第4条也分别规定了对于“数据拦截”和“数据干扰”行为的规制,此种规定表明公约希望对数据的保密性、完整性和可用性的保护来打击网络犯罪的目的。德国刑法因应《网络犯罪公约》于年通过了《为打击计算机犯罪的〈德国刑法典〉第41修正案》,在刑法中设定了a条“获取数据罪”、b条“拦截数据罪”、c条“准备守候并拦截数据罪”以及a条“变更数据罪”。由此,德国刑法实现了对于数据不被他人获取的权利、数据的保密权、数据的完整性以及可用性等CIA法益集合子项的实证化保护。值得一提的是,德国刑法不仅保护计算机信息系统中的数据,也将信息系统之外存储、传输的数据进行拦截和变更的行为纳入处罚范围。德国之外的其他国家也纷纷将数据安全作为独立的法益以刑法的方式加以保护,如奥地利刑法在第a条、a条和c条分别规定了滥用性的数据截留罪、破坏数据罪和滥用计算机程序或者登录数据罪。我国网络安全法第10条亦规定,应当维护网络数据的完整性、保密性和可用性,也间接表明CIA法益已成为我国网络安全与数据安全保护体系中的重要目标。
然而,尽管数据安全法益看似可以与我国数据犯罪体系“无缝对接”,但却并非可以毫无障碍地入驻数据犯罪具体罪名之中并指导相关构成要件解释。正如法社会学家托依布纳所言,当一种外在规则加诸本土文化时,必然会产生刺激、重构与进化之效果,两者之间往往存在一定偏差。相应地,只有结合我国刑法关于数据犯罪的体系定位从而对数据安全法益进行整全性的思考与建构,方能使得数据安全法益与我国数据犯罪的具体构造之间达致融贯性的要求。数据安全法益说认为,只要行为侵犯了数据的保密性、完整性与可用性便具有刑事可罚性。这固然扩张了数据犯罪的处罚范围,有利于遏制数据犯罪现象,但其未能回答的是:首先,为何我国立法机关将数据犯罪置于“扰乱社会公共秩序罪”之中?换言之,对数据的非法获取、删除、修改与增加,在何种意义上与公共秩序具备关联?其次,为何司法实践中关于数据犯罪的判决,绝大部分均认为其适用范围并不包含对单纯私人数据的侵犯行为?由此看来,数据安全法益尽管作为一种价值目标是可欲的,却也并非毫无瑕疵,而是在一定程度上具有形式化的特点,没有阐明使相应数据侵犯行为入罪化的实质根据。申言之,数据安全法益性形式化地将所有数据做等同看待,并未针对数据的不同属性(如公共数据与私人数据)做出相应区分。因此,即使在数据犯罪的问题上继受数据安全法益观,也应当注意到我国数据犯罪之体系地位的特殊性。因为刑法保护法益的界定不仅应当考虑其构成要件行为所危害的对象,还应当考虑条文所处的体系地位。
二、数据安全信任:网络时代数据犯罪法益的应然定位
数据安全信任法益的基本内涵
随着互联网技术从Web1.0时代跨越到Web2.0再到Web3.0,互联网已经成为生活的主要方式甚至等同于生活本身。中国互联网络信息中心(CNNIC)发布的第49次《中国互联网发展状况统计报告》显示,截至1年12月,我国网民规模达10.32亿,手机网民规模达10.29亿,农村网民规模达2.84亿,即时通信用户规模达10.07亿,网络新闻用户规模达7.71亿,网络购物用户规模达8.42亿,网络支付用户规模达9.04亿,在线办公用户规模达4.69亿……隐藏在上述数字背后的图景是,中国社会早已进入了互联网时代,中国社会也已经成为高度仰赖网络技术的网络社会,计算机和网络技术的发展,已经在悄然之中翻转了社会的结构,改变了社会沟通的模式。网络空间与现实空间彼此并非分离而是相互融合,共同熔铸成一个与过去大相径庭的生活世界。在网络空间中社会成员利用网络技术开展的沟通与交往行为,是隐匿了物理身体存在的“缺场”交往,这种缺场交往的形式尽管也存在于传统社会之中,但只有依靠功能强大的互联网技术才能得以无限制地普遍化。在缺场交往模式中,由于缺乏面对面的沟通手段,社会成员得以仰赖的沟通手段与交往工具只能是计算机系统和存储、处理、传输于其中的数据。无论是言论的表达、货款的支付还是人际关系的建立与变换,都需要社会成员操作计算机系统以数据化的方式进行。简言之,计算机系统与数据,犹如社会成员在网络空间中的喉舌与肌体,二者的有机结合方能促成沟通与交往的维系。正如乌尔里希齐白教授所言,在现代社会,计算机系统是为商业和公众服务的有力工具,计算机数据则代表着当今信息社会中某些最重要的利益(goods)和价值观。
可是,尽管社会成员在日常生活中都会频繁运用计算机系统与数据从事各种类型的社会沟通(如在线聊天、网络购物、线上办公等),但在计算机网络体系中,个体只能构成其中的亿分之一,整个计算机网络体系对于普通社会成员显得过于高度复杂与难以理解。也正因此,很少有人能够懂得网络空间的运作模式。由计算机系统和数据组成的网络空间对于社会中的绝大部分成员而言类似一个黑箱,社会成员无比依赖它进行网络化、电子化、社会化的沟通,但却对其原理知之甚少。吉登斯将此种类似的复杂系统称为“专家系统”。即由技术成就和专业队伍所组成的体系,正是这些体系编织着我们生活于其中的物质和社会环境的博大范围。除了计算机和数据组成的网络系统外,社会中的专家系统还如由汽车的设计与制造、高速公路、交通信号等组成的交通系统;由建筑师、建筑工人、房屋建筑的知识法规等组成的建筑系统;由货币、银行、金融监管机构以及金融学家组成的货币金融系统;以及通信系统、水和电力系统等。专家系统由于其专业性和复杂性而极大地提高了社会生活的品质,同时也因此形成了作为外行人的普罗大众难以进入的知识壁垒。
在经验层面上,人们只有在熟悉的环境中,才会对他人或者系统的运作与社会的运行抱有相当可靠的期望。因为人们总是假定,熟悉的事物将一如既往地按照过去的方式延续到未来。而对于陌生而难以洞察其机理的事物,人类的天性与本能反应则是畏惧与退缩。但此种心理秉性与现代社会的发展背道而驰。专家系统意味着社会行动可能性的拓展与社会成员行动自由的扩张,只有借助上述专家系统,现代社会的复杂性才能得以分化和降解,社会生活才能平稳、有序地向前发展。试想,没有现代化的建筑系统,大多数人只能居住在低矮陋室之中;没有现代交通系统,汽车、高铁、飞机等快速交通工具不可能有突破式的发展,时间效率不可能因此大幅提升;缺少现代货币系统,跨越时空的支付无异于空想,全球市场的形成也几乎只是奢望。因此,人们可以不了解建筑师和建筑工人设计和建筑房屋时使用的知识法规,不了解汽车的设计、制造与运行原理,不了解货币如何在全球范围内流通,不了解计算机系统的了解方式与数据在传递信息时的转译功能,但却阻挡不了种类繁多的专家系统出于降解环境复杂性的需要而日益“嵌入”社会公众的现实生活。
只有通过信任机制的建立,才能克服人类内心深处对包括专家系统在内的自身不了解之事物的固有恐惧的能力。如卢曼所言,熟悉与信任是吸收复杂性的互补方式,它们相互联系,熟悉是“过去指向”的,只有过去的、经过的事物才并不会包含“其他的可能性”,而信任则是“未来指向”的,是对未来的一种尝试。信任总是与人的未来的外在行动相关。什托姆普卡指出,信任就是“相信他人未来的可能行动的赌博”。只有在具备信任的情况下,我们才能在不确定和不可控制的条件下行动,在拿未来的不确定性和他人的自由行动来赌博;古德提出,信任建立在对他人在未来的场合将会如何表现与行动进行推测的基础上,无论是以默示还是明示的形式;展示信任是为了预期与参与未来,给予信任,我们就会像“好像”我们知道未来一样行动。简言之,只有社会成员对专家系统抱持一种普遍的信任与稳定的预期,社会中各种形式的沟通与交往才能得以维系和发展。以货币系统为例,有学者指出,随着商品、服务交易结构的复杂性与多样性逐步增加,人类社会开始使用货币制度取代早期的互易制度。货币制度能够兑换商品与服务,货币的存在,代表社会成员对于支撑货币背后的经济体系具有信赖。正是因为社会成员对于货币系统和货币制度的信任如此重要,世界各国刑法才纷纷通过规定伪造货币罪、变造货币罪、使用假币罪等罪名,以保障交易安全和金融秩序,促进商品交换和经济交易的发展。
既然现实空间中的沟通与交往已然不断朝向网络空间转移,如何通过法律在网络空间中建立起信任机制便亟待探讨。由计算机系统和数据这两大支柱构筑而成的网络空间有着不低于货币系统的复杂性,这一点通过货币系统与网络空间结合的产物——电子支付机制——的复杂性及其在社会公众中曾引发的诸种质疑便可得到说明。淘宝网面临的互不相识的交易双方如何有效解决互信的难题正反映了互联网是一个缺乏信任的空间。在网络空间中,沟通和交易的匿名性达到了它的最高点,……赛博空间的无边的匿名性、不在场性和不可见性使得通过网络的交易比在当地办公室中签订的合同或者在主要商业街道中心的购买与支付更加令人怀疑。这是因为,在现实空间中即使人们对通过货币的支付和交易有所怀疑,也可以有更多办法防止自身受损。而在网络空间中,一切均表现为数据化的形式,因此必须保证社会公众对于网络空间中的沟通与交往具有较之现实空间更强的信任。基于此,社会公众对于网络空间中基于计算机系统与数据而得以进行之沟通的信任,同样应当作为刑法的保护法益。实际上,只有刑法明确保护对于网络空间中沟通安全性的信任,社会公众方才敢于将自身重要资产置于网络空间,网络空间的有序沟通才能得到健康发展。
如前所述,网络空间中的社会沟通在技术层面的实现,基本的落脚点在于计算机系统与数据。而我国刑法中相应的罪名体系,亦以计算机系统与数据为支柱。保护计算机系统的罪名包括非法侵入计算机信息系统罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、第二百八十六条第一款破坏计算机信息系统罪和第三款故意制作、传播计算机病毒等破坏性程序罪;保护数据之罪名则包括非法获取计算机信息系统数据罪与破坏计算机信息系统数据罪。据此,我国刑法应当通过计算机系统安全性和数据安全性的保护,达致社会公众信任网络空间中沟通安全性的最终目标。仅就数据犯罪而言,其保护法益因应地应当被界定为社会公众对于基于数据而展开的沟通安全性的信任,侵犯特定数据安全(即保密性、可用性与完整性)的行为,破坏的是社会公众对数据安全的信任,此种破坏会阻遏网络系统中的沟通,致使社会成员参与网络系统的意愿不断萎缩,其普遍化的后果是整个网络系统的坍缩与崩溃。为方便行文,本文将其简称为数据安全信任法益。
数据安全信任法益观的基本特征
数据安全信任法益的具体内涵是社会公众对网络系统中基于数据而展开的沟通安全性的信任,这一法益观适切于网络空间中的沟通与交往所具备的不确定性、匿名性与风险性。只有保障承载着社会公众的各种价值与利益的电子数据的安全,网络中的沟通与各种社会活动才能正常开展。不过,单纯指出数据安全信任法益在刑法中的重要性尚不足够,为准确适用罪名,发挥法益对构成要件解释的指导机能,还需对数据安全信任法益的基本特征与判定方式进行说明。
1.数据安全信任法益具备公共秩序属性
首先,社会公众对网络空间中基于数据而展开的沟通安全性的信任,具备集体法益/超个人法益的客观属性,契合集体法益的特征,并因此能够对数据犯罪的体系地位做出解释。Hefendehl教授提出,“服务于多人或者社会的法益,是集体法益或普遍法益。”集体法益的特征在于:非排他性即无法排除他人享有);非相对性(即可以同时享有);不可分割性。因此,Hefendehl教授认为,集体法益是指一切潜在的社会成员均可以对其加以利用的法益,不可能将它的特定部分分配给社会中的特定成员。以此为遵照检视本文提出的信任法益,可以很明确地发现其属于集体法益的子项。这是因为,社会公众的信任本身便源起于参与网络空间中沟通与交往的公众,具有使用上的包容性,任何参与网络空间中的沟通的个人或群体均能从中受益;数据安全信任法益具有消耗上的非竞争性,某一个公民对此种利益的享有并不会减损提其他公民的享有,不同个体之间不会形成冲突关系。相反,社会公众的共同信任反而具备相互促进之功效;最后,数据安全信任法益具有不可分配性,任何个人都不能将此种利益占为己有。也即,数据安全信任法益并非主体性法益,而是形成与存在于主体之间。基于此,数据安全信任法益观是一种不可还原的个人法益,亦非个人法益之简单加总,而是享有独立的保护价值。
其次,社会公众对网络空间中沟通安全性的信任,与“公共秩序”的核心内涵相吻合,是网络空间中公共秩序之形成与维持的前提条件之一。从学术界对于公共秩序的研讨来看,既有观点或者认为公共秩序是社会公共生活依照共同的生活规则所形成的有条不紊之状态;或者认为社会公共秩序是人类社会共同体存在、运动、变化过程中,社会结构和社会活动的相对稳定、协调的一种状态。晚近以来也有学者提出所谓公共秩序应当被界定为“公众生活的平稳与安宁”,扰乱公共秩序便是平稳与安宁的破坏。对上述观点“提取公因式”可以发现,它们都有着共同的内核,即社会公众在共同生活中形成的稳定、和谐状态。这恰好与本文主张的社会公众对于网络空间中沟通安全性的信任相得益彰。只有怀有对数据安全的信任,社会公众才会主动参与网络空间中各种类型的沟通,反之则会导致行动的萎缩与网络系统的停滞。事实上,也只有确保社会公众能够信任网络空间中沟通的安全性,才会产生网络生活中的交往秩序。本文主张的信任法益,正是网络空间中形成稳定、和谐之状态的前提与基础。因此,刑法将计算机犯罪与数据犯罪置于“扰乱公共秩序罪”一节,具备充分的理论根据。学界主张的数据安全法益,仅把握住了数据犯罪的手段性目标,忽视了保障数据安全的最终目的,也即维持社会公众对网络系统中沟通安全性之信任。
2.数据安全信任法益以数据安全为前提条件
数据安全信任法益与数据自身安全(即数据保密性、完整性与可用性)之间并非对立或排斥关系。依本文建构,数据安全遭受侵害,是认定社会公众对网络空间中沟通安全性的信任遭受破坏的前提与基础。社会公众把自身对于网络空间中沟通安全性的信任,投射到数据安全之上,从而形成了保密性、可用性与完整性三大基本价值诉求。毋庸置疑的是,数据的保密性、完整性和可用性中的任意一项受到侵犯(例如由网络黑客所实施的数据泄露、数据毁损和数据封锁),都可能在网络空间中引发人们对于自身所拥有的数据的安全属性的质疑与不信任,进而导致网络社会中交往与沟通的停转,甚至在全社会范围内形成吉登斯所言的“存在性焦虑或者忧虑”局面。而本文之所以将数据安全作为数据安全信任法益遭受侵害的前置性要件,与信任/信任法益不可避免的主观性密切相关。
《牛津英语辞典》对“信任”的定义是“对某人或某物之品质或属性,或对某一陈述之真实性,持有信心或依赖的态度。”吉登斯区分了个人信任与系统信任,认为信任应当被定义为“对一个人或一个系统之可以信赖性所持有的信心,在一系列给定的后果或事件中,这种信息表达了对诚实或他人的爱的信念,或者,对抽象原则(技术性知识)之正确性的信念。”卢曼通过区分“信心”与“信任”的方式,对信任做了相对客观化的处理。其认为,一个不考虑其他可能性的人所怀有的是信心,而那意识到种种可能性又力图避开风险的人所怀有的则是信任。信心具有更大的主观性,信任则具有明显的互动性和实践性。但卢曼同时也不否认,信任是人与社会复杂性遭遇时所出现的一种心理状态,“构成了复杂性简化的比较有效的形式。”我国也有学者立足于本国语境,将信任理解为主体对于事物品质的真实性或他人行为的无害性、可靠性不怀疑的态度。由此可见,信任作为一种基本性和经验性的社会事实而值得刑法保护,但其毕竟具有一定的主观性和不可见性。信任的主观性和不可见性意味着,直接将其作为一种刑法保护法益的做法,易于导致法益的解释论机能难以发挥,也容易导致司法机关在认定法益是否受到实质性侵犯时拥有过于宽泛和灵活的自由裁量权,从而侵蚀与破坏罪刑法定原则。相比之下,数据的保密性、完整性与可用性则属于数据安全的客观属性,可以从数据本身的存在状态进行判断。因此,社会公众对网络空间沟通安全性的信任这一颇具主观性的法益,应当与数据保密性、完整性、可用性等属性相结合,以后者遭受侵犯作为前者遭受侵害的判断基础与前提条件。
三、争议性构成要件解释:以“数据”为例
针对刑法分则具体罪名的研究最终要落脚到构成要件解释中,也即罪与非罪的判定中。为了探明数据犯罪的内涵与外延,在准确界定了数据犯罪的保护法益后,还需要结合保护法益进一步对数据犯罪中争议性的构成要件要素进行准确界定与明确解释。这一做法的实质理由在于,法益概念对于具体的犯罪构成要件要素具有解释机能,对于不同的构成要件的界分具有指导意义。在数据犯罪的构成要件要素中,行为客体(数据)、实行行为(获取、删除、修改、增加)与构成要件结果(情节严重、后果严重)无疑需要进行具体解释。但一方面,由于篇幅所限,本文无法对上述所有构成要件要素做出详尽阐释,只能选取较具代表性之构成要件要素进行说明;另一方面,数据犯罪以数据为行为客体/对象,是否存在受刑法保护之数据,很大程度上决定了行为不法与结果不法的有无。作为数据犯罪的行为客体/对象,数据“能够为认定某种行为是否具备构成要件该当性以及区分此罪、彼罪提供依据。”因此下文将主要精力聚焦于数据犯罪的行为客体即“数据”之上,至于实行行为与构成要件结果则有待另撰文探讨。
就数据犯罪中的“数据”而言,成为问题的并非其在存在论上的物理属性,而在于对何种类型的数据非法获取、删除、修改、增加会导致社会公众对于网络系统中基于数据而展开的沟通安全性之信任的减损或丧失;以及数据安全信任法益的受害是否以计算机信息系统安全遭受侵害作为前置性要件。前者涉及数据的公/私属性,后者则与数据的本体安全属性密切相关。
非依附性:数据应具备不同于系统安全的独立性
如前所述,司法实践和学界部分观点认为,数据安全与计算机信息系统安全之间具有同一性,非法获取、删除、增加、修改数据的行为必须与计算机信息系统安全之间存在关联,对数据的解释必须回归计算机信息系统安全这一本体。非法获取、破坏数据的行为必须具有导致计算机信息系统安全遭受侵害的危险或直接危害了计算机信息系统安全。也有观点认为,非法获取计算机信息系统数据罪不需要以“危及计算机信息系统安全”作为构成要件要素,但破坏计算机信息系统数据罪中对于数据安全的侵犯行为入罪化,则必须以系统安全要素作为判断基础。做出这一区分的理由在于,首先,破坏计算机信息系统数据罪的法定刑相较于非法获取计算机信息系统数据罪更为严厉;其次是因为破坏计算机信息系统数据罪中规定了“后果严重”的要素,意味着并非简单地“增加、删除、修改”便会构成该罪。
然而,根据本文提出的数据安全信任法益观,数据本身便具有应受刑法保护的独立价值,不以数据是否存储、处理、传输于计算机信息系统之内为前提,更不以是否关涉系统运行安全为条件。相反,无论是在非法获取计算机信息系统数据罪还是破坏计算机信息系统数据罪的判断中,都应当以“对数据安全的侵犯是否造成了社会公众对网络系统中沟通安全性之信任的部分丧失”为标准。
事实上,司法实务中一些关于数据犯罪的判决近来也逐渐展露出对单纯侵害计算机信息系统数据而不涉及系统安全的行为认定为相应数据犯罪的趋势。例如有法院认为行为人所实施的行为并非侵犯了计算机信息系统安全和正常运行,而是侵犯了计算机信息系统的数据安全,因此构成非法获取计算机信息系统数据罪。再如,有法院明确指出:计算机信息系统中存储、处理或者传输的数据是指在计算机系统中实际处理的一切文字、符号、声音、图像等内容。被告人陈某对计算机信息系统中存储、处理的有关补贴项目数据进行修改,扰乱了财政部门正常发放补贴的管理秩序,影响了数据安全,构成破坏计算机信息系统罪。
司法实务对于数据安全与计算机信息系统安全之间的“去关联化”处理,实际上反映了司法在面对具有前沿性质的数据安全的刑法应保护性问题时所表露出的实践理性。部分司法工作人员已经逐渐认识到,大数据技术的发展为数据本身赋予了独立的价值意义。而数据世界事实上的发展进程的确如此,数据搜集技术的突飞猛进已经将我们生活的世界从较为初级的“物联网”时代转变为更为数字化的“万物联网”时代。在万物联网与万物数据化的趋势下,数据流和信息流的重要性早已独立于作为数据存储、处理、传输之工具、手段和载体的计算机信息系统。希望以计算机信息系统安全统摄并概括数据安全的做法已然无法有效契合技术与时代的发展进程,应当被认为具有特定的时代局限性。因应地,既然数据安全不应当依附于计算机信息系统安全,那么自然更不应该成为传统法益(如财产法益)的附庸,刑法保护数据安全的目的并非保护传统法益安全,而是为了维持社会公众针对网络系统中基于数据而展开的沟通安全性的信任。
至于从罪刑均衡的角度认为非法获取计算机信息系统数据罪与破坏计算机信息系统数据罪的行为客体应作不同解释的观点,其尽管注意到了刑法条文中罪状解释与法定刑设定之间存在着互动关系并主张量刑对定罪具有反向的制约作用,但说服力同样不强。因为相比于非法获取数据之行为,破坏数据行为的不法程度显然更高。这一点从国外数据刑法的规定中亦有所体现:德国刑法并未规定处罚非法探知数据罪、拦截数据罪的未遂,却明确规定了变更数据罪的未遂同样应当处罚。并且,单纯以法定刑的设定说明不同行为不法程度的差异并不充分,因为法定刑的设置不仅考虑到了有责的不法,还会考虑预防犯罪的功能。也即,法律后果体系的制定不仅根据行为罪责的程度划分层次,同时还应当能够避免进一步的犯罪行为。正如相比于盗窃罪,故意毁坏财物罪对于财物的侵犯程度更加严重而其法定刑设置却更为缓和。
需要进一步指出的是,本文所坚持的“数据安全不以系统安全为条件”的观点不应招致“无论多么简单的操作行为都会影响数据安全”之类的诘难。理由在于,数据安全信任法益观从两个方面限制了随意扩张处罚范围的情况的出现:其一,数据安全信任法益以数据安全遭受侵犯为前提,只有侵犯了数据的保密性、完整性与可用性的行为才会被纳入考量范围。单纯的打开计算机信息系统并导致系统后台操作记录数据增加的情况,由于并未对数据安全信任法益造成实质侵犯而不构成数据犯罪;其二,如下文所述,数据安全信任法益要求数据具备“质的公共性”和“量的公共性”,只有实质上影响到涉及不特定多数人的数据侵犯行为才应当构成数据犯罪。
非私人性:数据应能反映“公共秩序”
将数据犯罪的保护法益定位为社会公众对网络系统中基于数据而展开的沟通安全性的信任,意味着侵犯数据安全的行为必须存在危及公共秩序并进而破坏公众信任的现实性或可能性。如前文所述,公共秩序属性本身便是数据安全信任法益的本质特征之一。成为问题的只是,针对何种数据类型的侵犯能够波及与影响到社会公众在网络空间中基于数据而展开的沟通秩序。
毋庸置疑,“秩序”概念先天性地被赋予了社会性与公共性的内涵,网络系统中的沟通秩序亦不例外。鉴于沟通发生于主体之间,不可能仅存在于单一主体之内,网络系统中用以沟通的数据自然应当脱离单纯的私有属性,而从公共性的角度进行诠释。社会是由人组成的共同体,相应地,秩序的公共性只能从人的角度被理解。在刑法理论中,关于“公共”的认定存在着“不特定人说”“多人说”“不特定且多人说”以及“不特定或多人说”等四种观点。尽管在学界尚未形成定论,但都表明公共秩序的内涵应当从行为所影响的社会中的人的(现实的或可能的)数量来建构。基于此,本文认为数据的公共秩序属性在以下两种情形中方能得以体现:①数据具有“质的公共性”,单一数据便具有指涉社会中不特定人或者多数人的生活和利益;②数据具有“量的公共性”,单一数据仅仅涉及个人,但行为人一次性的行为所侵犯的作为集合化的数据,已然涉及社会中的不特定人或者多数人的生活和利益。
所谓性质层面的公共属性,意指行为人所非法获取、删除、修改、增加的数据,必须在性质上具有公共属性,也即该种数据的保密性、完整性与可用性一旦遭受破坏,便会对涉及不特定多数人的社会秩序和公共利益带来危害。例如我国数据安全法中的“重要数据”——一旦泄露便可能直接影响到国家安全、经济安全、社会稳定、公共健康和安全的数据——便是具备质的公共属性的数据样例;再如我国《科学数据管理办法》中规定的通过基础研究、应用研究、试验开发等产生的原始数据及其衍生数据,由于其是为公共利益而服务的,同样是具有质的公共性的数据适例。实际上,具备质的公共性的数据不只在法律法规等规范性文件中有所体现,司法实务中也已经出现了多种类型。譬如,《最高人民法院关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》以及《最高人民法院关于审理破坏广播电视设施等刑事案件应用法律若干问题的解释》中所规制的电信网系统中的数据和广播电视设备系统中的数据。根据最高人民法院等部门联合发布的《关于依法办理非法生产销售使用“伪基站”设备案件的意见》第一条第二项之规定,当行为人删除、修改、增加上述系统中的数据的行为并未导致危害公共安全的后果时,完全可以破坏计算机信息系统罪这一数据犯罪予以规制。对于此种具备质的公共性的数据而言,由于其本身蕴含着公共秩序和公共利益之属性,被赋予了特定的秩序性内涵,对其中任何一条数据的非法获取与破坏均会使得相应的公共秩序与公共利益遭受破坏与减损,进而导致网络系统中的沟通失信,故而应当受到特殊保护。因此,对于此种类型的数据侵犯行为的入罪化,无须设置具体的入罪情节,只要行为人存在影响数据保密性、完整性和可用性的行为并导致数据安全信任法益被侵犯的现实化结果,便应当通过相应的数据犯罪罪名予以规制。相比之下,仅波及单一主体所支配之数据的行为,则并不构成数据犯罪。
至于数量层面的公共属性,则是指行为人所侵犯的数据本身在性质上单独来看并不具备公共属性,但总体看来行为人侵犯的数据在数量上已经达到了入罪化的门槛。与具有质的公共性的数据不同,部分数据如公民个人在计算机信息系统中所存储的文档、图片、视频等并不具有公共属性,即使被泄露或者破坏也不会对公共秩序和公共利益造成影响,受到侵犯的只是公民个体自身的相应数据权利。然而,当行为人通过技术手段所侵犯的此种数据在数量上达到一定程度,便可能造成社会公众对于网络系统中沟通安全性之信任的减损。实际上,《计算机解释》在界定身份认证信息的条数和破坏计算机信息系统的台数时,所采取的便是数量上的公共性的思维。只不过囿于对计算机信息系统安全的依赖,《计算机解释》并未能将这一思维贯彻到所有的数据侵犯行为的认定之中。学界也有观点提出应当以数据的体量(1GB)作为入罪标准。本文认为,在行为人非法获取、破坏的数据单独来看并不具有公共属性的情况下,应当以数据数量的累积作为入罪的前提条件。质言之,只有当被行为人侵犯的数据已经能够指涉到社会中的不同成员之时,方才构成数据犯罪。如果一次非法获取、破坏的行为仅仅是侵犯了一位公民的数据,即使数据的体量很大,也会因为仅仅涉及个体性缺乏公共秩序属性,与社会公众的信赖之间无法产生关联,因而不应当构成相应的数据犯罪,只能以其他类型的犯罪如侵犯公民个人信息罪、盗窃罪等处理。由此看来,《计算机解释》中以计算机信息系统受到破坏的台数来认定犯罪成立与否可谓有失偏颇,因为计算机信息系统的台数标准并不能与公共性之间画上等号。
在数据的“量的公共性”的具体认定问题上,本文借鉴《计算机解释》中的“二十台以上计算机信息系统”的标准,认为当被侵犯的数据涉及到社会中二十位不同公民时,便存在成立数据犯罪的可能性。但这一标准仅仅具有参考意义,目的是为了实现从目前的“台数标准”向“人数标准”的过渡。实务中也需要依赖法官结合数据的重要程度、被侵犯的数据条数、涉及的公众人数、对数据安全信任的侵害程度等具体要素进行场景式和情境化的裁量。
仍需说明的是,就数据企业所收集、存储、处理、传输的数据的属性而言,或许存在一些争议。因为企业在法律中一般属于私主体,但数据企业所控制的数据与信息却可能关涉社会中的公众。在这个意义上,数据企业中存储的数据兼具公共性与私人性两种面向。但本文认为,通过数据犯罪的方式对企业数据进行保护,仍然应当结合数据是否具有“质的公共性”和“量的公共性”进行具体判断。例如,当企业属于网络安全法所规定的负责公共通信、信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业的“关键基础设施运营者”时,由于其控制的数据构成了国家安全、稳定的基础,影响到国家安全、国计民生和公共利益,自然应当被认为具备“质的公共性”。而当企业性质属于一般性的网络服务提供者时,倘若被侵犯的数据关系到不同社会成员,便可以认为符合了“量的公共性”的要求。例如“全国首例撞库打码案”中,行为人通过撞库打码技术获取涉及到众多消费者的数据,侵犯了社会公众对网络系统中沟通安全性之信任,应当认为构成非法获取计算机信息系统数据罪。至于类似的行为是否侵犯了企业数据化财产,则不属于数据犯罪主要探讨的问题。需要说明的是,无论是
转载请注明:http://www.baoshijiec.com/yljg/14978.html
