关键词: 网络犯罪,数据犯罪,刑事立法,刑事政策,大数据
内容提要: 大数据时代的数据犯罪需要进行法律框架内的具体化与规范层面的类型化。对于数据犯罪危险的类型化方法主要有宏观与微观、主观与客观、静态与动态三种路径,从各种不同侧面综合剖析。数据犯罪的危险体现为不确定性及复杂性。对于此种危险的规范化需要从以基本权利为基础的法益概念出发。应以信息论这一类型化途径为依托,分析网络数据的技术特征与数据的非物质性本质,从而实现向传统刑法体系的合理嵌入。数据犯罪的制裁思路是建立“基本行为特征类型化模式+动态链条模式”的纵横双向模式:横向制裁思路是建立以“基本行为特征类型化”为思路的数据犯罪双核心制裁体系;纵向制裁思路是按照数据犯罪链条的步骤分割与过程整合,实现对于数据犯罪链条的全环节刑法规制。
从信息安全角度看,大数据是指规模和格式前所未有而又相互关联的大量数据,搜集自企业的各个部分,技术人员可以对它们进行高速分析。[1]大数据时代的技术和现实变革是围绕着数据的“量”和“价值”展开的。大数据的价值实际上可以体现在各个法益层面,是一个贯穿个人、社会和国家法益的多层次体系。但是,数据的价值与传统法律保护对象的本质性差别、数据法益的价值衡量困难、大数据技术相关犯罪对法益侵害结果的相对间接性,都带来了不同于传统法律制度的新的时代挑战,最根本的挑战即向数据-信息法学研究范式的转变的现实必要。在这个意义上,可以将大数据对刑法体系提出的挑战归结于两方面:其一,大数据究竟带来了哪些可以具体化的特别危险;其二,这些具体化了的危险所侵害的法益应当如何评判并予以类型化,即数据法益侵害的本质特征如何与传统法益保护法律体系对应和衔接。这涉及一系列以数据为中心的利益衡量与制度构建。
一、大数据时代的法律制度和理论关注点——数据犯罪危险的具体化路径
针对大数据对于刑法的时代冲击,笔者于2013年关注了大数据时代数据犯罪的危险性和危害性,并从传统刑法罪名适用可行性的角度进行了检索和分析。[2] 2014年笔者正式提出了以数据犯罪为视角的刑法应对思路,主张充分重视大数据时代的数据法益的非物质性,针对现有刑法对数字数据法益保护思路的偏离与问题,从宏观思路上一方面要抛弃以“内部数据”和“外部数据”相配合的“二元化”数据解释思维,另一方面要抛弃“数据”必须附着于“信息系统功能”的“三点式”数据解释思维,进而提出大数据时代应对刑法危险应形成以“非法获取网络数据罪”和“非法获取数据罪”为双核心罪名的整体思路。[3] 2015年,针对《刑法修正案(九)》对我国《刑法》253条之一的修改,学界的研究逐渐更细致地集中于侵害公民个人信息犯罪的层面,确定了一系列大数据时代刑法个人数据保护的困难问题,包括网络数据危险具体化及数据制度下的原则、概念、路径等问题,同时尝试建立以认证和可识别性为特征的网络个人数据概念。有学者从刑事诉讼法方面以网络平台为视角提出了个人信息保护视野下的电子取证规则构建思路,从数据类型、公开范围、私密等级进行了数据分级,并提出了一些程序上的原则。[4]但是,这些研究都还未能形成一条由技术现实变革、危险危害确定、法律概念、法律规范实质内涵、法律体系性调整的完整研究推进轴线,笔者于本文中试图从这一完整轴线进一步深化刑法领域对大数据相关问题的研究。
(一)大数据基本法律危险具体化:多种路径的综合剖析
社会系统用生产力来使外部自然社会化,用规范结构来使内在自然社会化。面对内在自然,则用遵循有效规范的交往行为来捍卫自身,通过需要加以论证的规范完成对内在自然的整合,用行为规范以及估价规范所提出的正确性要求和恰当性要求,与外部自然的真实性要求保持一致,但在先验上不能保证生产力的发展和控制能力的增强能够引起符合社会系统控制命令的规范变化。[5]网络所带来的最大挑战是“社会需要保证秩序:内部秩序与外部秩序”。[6]大数据是一个内涵十分丰富、外延非常宏大的概念,它首先是一个技术、商业、社会管理范畴的变革。信息法受到关于技术的法律一样的自然科学与技术之变动本性与法律之相对静止本性之间紧张关系的支配,从法律政策的视角来看,法律应当置身于技术层面之外,并专注于创设轮廓分明的结构,以克服这种紧张关系。[7]
面对大数据时代的一系列法律制度视界下的审视,必须将通常的、宽泛的、生活和现实的危险进行具体化与类型化,才能进一步对大数据进行法律规范意义上的分析,实现信息技术向法律体系的融合,重整法律规范体系。这需要从基本权利和数据保护领域着手。隐私体现个人基本权利法益,亦对社会制度起到重要的保证作用。大数据的危险首先在隐私领域引起广泛感知,同时,数据犯罪也最先在侵犯公民个人信息领域显现出巨大危害。因此,检视基本权利,进而将大数据的危险从基本权利出发而进行具体化,从而进一步寻求各法律部门的法律规范构建,将严重的数据犯罪危险进行刑法规范的类型化,是一个合理且循序的分析思路。在计算机犯罪领域,德国最初也是于1960年起首先于针对隐私犯罪的领域展开研究的,这些研究以民法和宪法讨论为主,刑法次之。[8]可见,由隐私的基本权利开始,进而延伸至刑法领域的研究过程,符合对于信息技术犯罪的研究规律。至于数据保护法,是以基本权为基础,涉及民法、行政法、刑法的综合法律部门,其重心在于数据,意在探索一个以跨学科的横剖对象为解决方法的、应对现代信息科学技术“第二次工业革命”的实用路径。[9]对于大数据来说,落实到数据保护领域,寻求技术与部门法间的间接法律危险具体化和类型化,是必要而且必须的。大数据所带来的数据危险的具体化路径有三个主要方向,需要依据多种标尺进行全面的综合分析。
1.宏观与微观层面
大数据是整体性概念,大数据处理宏观层面上能在智能分析的基础上进行更大容量数据和非结构化数据的处理。[10]但是网络数据安全往往直接触及公民个人信息安全的领域,此即与个人相关的数据是大数据时代的“小数据”安全问题。其包括事前预测、被侧写的威胁,以及基于数据的虚拟真实性与现实真实性的错位,基于敏感信息挖掘而对个人生活领域形成深度侵犯,以及通过身份盗窃危害他人人身、财产安全的行为。[11]大数据处理在微观层面会提高如下风险:个人遭受刑事犯罪(如钓鱼、身份盗窃)侵害的危险;羞辱感和数据公开侵害(如性、健康和其他敏感信息);歧视和难堪;信息永久性;情景脱离(即使用理由改变)。[12]这两个层面存在着联系和互动。一方面,整体性的大数据危险可以透过宏观层面,渗透和影响到微观层面,进而威胁到个人数据相关权利的安全。另一方面,存在着贯穿两个层面的数据法益,如纯粹将个人作为客体的操作、数据侧写、减损对可信赖性的期待的危险。[13]
2.主观与客观维度
信息的主观价值不是主观的反应,而是在于信息自身没有限制,处于极不确定的状态,因此需要法律中确定一个点,来确定客观上无关联的范围,例如,“公开”就是一个可以绝对合法化的打断信息保密要求的点。这种值得保护的对信息的权利是重要的。[14]欧盟法律框架下,经过几十年的判例和立法发展,在2012年数据法律改革时,对个人数据的信息基本权利,[15]已经取代了隐私权的保护路径。[16]
关于信息自决权,认为科技导致数据超出计算机而广泛存在于日常生活中的普遍性概念主张将保护法益分为客观和主观两个维度,其中的客观维度表现为信息以通信方式实现的模式是客观价值秩序的一部分,其中的主观维度表现为个人的自我决定实现和发展,有对于信息泄露的控制权利,因此其界定各竞合性权利范围边界的那个“确定的点”,体现为“禁止数据处理,除非有许可的立法规范”。[17]允许对于大数据管理至关重要。[18]大数据应用中,同意、法定授权、是否公开可获得、数据是否加密,都是允许制度进行权衡和变革的。[19]例如,在域外,对于幼儿的同意权已经有了更为严格的立法,[20]法国刚通过一读的《国内数据保护法令》,规定父母未经允许擅自公开子女的私生活,最重可面临一年监禁并处罚金4.5万欧元。[21]这便是从幼儿网络隐私权角度进行的限制。对于具有附属关系、双方力量对比悬殊情形下的同意制度应作特别处理。[22]与此类似,对于如基本需求供应(交通、电力)、医疗健康行业(基因筛查、癌症生物信息数据库等)等商业领域的数据处理是否应特别关注,也是需要探讨的。
3.静态与动态视角
大数据时代的海量数据具有动态价值,对一系列的数据收集、存储、挖掘和应用能体现出巨大的政治、经济、军事、生活价值。这种数据处理过程中,可能侵害到宏观的整体数据环境与微观的个人数据权利,也可能侵害到主观与客观方面的个人法益。此外,从时间上看,使用数字传输设备使得远程通信失去了“消逝性”,具有“持续可追寻”,[23]从而会产生信息永久性的危险。
从法律制度层面衡量,数据保护制度中具体权利义务的构建,实际上是大数据的技术变革进步与公民个人信息保护之间的一种微妙的平衡,所寻求的保护点是大数据中个人对信息控制和支配权利的关节点。[24]欧盟2012年数据改革立法框架中提出了“被遗忘权”,[25]谷歌已在欧洲搜索中实施这种“被遗忘权”。[26]这些是欧洲数据保护在制度体系上的有益尝试。
(二)大数据危险的不确定性
衡量信息价值的复杂性提出了大数据危险的不特定性难题。数据危险主要体现在三个方面,所涉及的分析路径主要是数据的个体层面、主观维度和动态视角。
在数据监控方面,数据敏感度是衡量数据侵害强度的标准之一。Kennzeichenerfassung案的判决认为,从信息自决权的框架下应当可以引出前置保护特征,即对于行为自由和隐私的保护应当建立“个人危险的分级”。对于强度标准的确定,可以参照与个人的相关度、归属性和秘密性。[27]我国2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》中区分了个人信息在与主体关联度上的不同层次。该指南第3.2条规定,个人信息可以分为个人敏感信息和个人一般信息。该指南第3.7条规定,个人敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。德国《数据保护法》第3条规定了特殊种类的个人数据,是指有关民族和种族出身、政治主张、宗教或哲学信念、党派、健康或者性生活的说明。
除了敏感度以外,所收集数据的数量、时间,也都是称量数据侵害强度的标准。欧盟法院在2014年判决数据存储指令无效,[28]理由是它“包含了大范围的和尤其严重的,对尊重私人生活和保护个人数据的基本权利的侵犯,并且没有对此种干扰进行极其必要的限制”。[29]该判决采用的就是数量强度标准。强度标准是与个人数据(公民个人信息)概念中的“可识别性”以及数据应用中的“目标”紧密相关的。
在数据处理方面,数据处理过程是将数据整合,并从中挖掘信息的过程;从功能上看,这一过程在某些情形下可以等同于对数据的侵害。Kennzeichenerfassung案的判决认为,将个人信息放置在一起,同更多的信息联系起来,构成了一种对潜在的个人相关领域的侵害可能性,其强度与制作他人隐私照片相似。[30]同时,数据处理和数据挖掘的过程都依托于计算机信息系统、云计算架构等自动化处理设备。因此,数据处理过程的危险当然也包括对信息系统的攻击。
在数据应用方面,数据的使用是指个人数据在处理操作之外的应用,[31]经营者对采集到的个人数据,未经许可进行二次开发利用或者定向强制推销,也是个人信息滥用的方式之一。[32]此外,经营者还可能将经营活动中掌握的个人信息进行买卖而获取非法利益,或者利用非法收集到的消费者个人信息实施诈骗。[33]另外就是,以定位广告(retargeted advertising)的方式进行骚扰,而且暂时没有恶意利用的企业往后也可能会实施这种行为。目前,地下数据产业链已经渐渐形成,包括金融账号数据、电商订单数据、考试培训班数据、身份信息数据等,经过专门“数据掮客”的拼凑和再加工,被转售用于其他非法活动,或者直接用来进行诈骗。[34]从大的动态过程上看,数据危险包含数据收集—数据处理—数据使用三个阶段的总体危险。
(三)数据支配权限利益冲突:数据获取主体、持有主体、请求主体与数据对象的交错关系
从现实中数据的基本问题来看,数据支配权限利益冲突主要体现为操作上的数据对象和对数据有支配权限主体之间的分离和叠合,并由此导致数据权利的冲突。
在数据支配权利方面,公司对于用户数据的巨大利益通过版权、数据库所有权制度来保护。但是,公司数据资产产生于每个网络用户或产品用户的数据,公司对数据的支配权和个人对数据信息的决定权之间,有相当大的冲突。这种冲突如何权衡,实质涉及大数据“金矿”的经济利益分配原则。对于企业与雇员间的数据处理权限分配有数据存储载体性质理论和脚本文档理论两种.[35]前者认为凡是由雇主提供的数据存储载体上的所有数据都归雇主所有,而后者认为最原始的脚本文档归雇主所有,反之归雇员。[36]在大数据时代,数据加密、数据合同、数据存储与处理匿名化和数据内容的分离、数据与个人的关联度(敏感性、独特性)、数据作为公共物品的产权界定最优化制度选择等,都应当成为新的数据经济利益分配的考虑因素。版权和原有的数据支配权限界定应当考虑调整。
在数据披露制度方面,公司和运营商掌握的数据财产支配权利受到国家刑事侦查和调查取证制度的约束,因为涉及用户的个人数据,所以三方主体的不同诉求于此交织在一起。远程通信和网络调查中,确认行为人身份和对其进行追踪是首要的。在有关机关调查中,服务商提供合同数据的义务对于网络刑事追诉十分重要;[37]对接入数据(PIN,PUK,密码)的获取和解密应当与对密码数据的保护和数据终端密码的保护相平衡。[38]这里所体现的利益冲突,是作为数据持有主体的公司与作为数据请求主体的国家机关之间的交错关系;同时,因为数据根本上是从作为数据获取主体的个人(公司用户)处产生的,所以个人同样间接地被卷入此种复杂情景之中。美国苹果公司以“构成危险的权力”和对数字时代的个人隐私造成“灾难性影响”为理由,正式回应一名美国联邦法官所作的裁决,拒绝协助美国联邦调查局解除加州强奸杀人案中涉案智能手机的开机密码。[39]此案集中体现了这种三方关系通过制度予以规范的必要性。若再考虑到跨国性的数据披露制度问题,这种情况会更为复杂。
除了上述公司与个人、公司与国家机构的数据权利冲突之外,在“个人”层面上仍存在大数据的冲突关系。大数据隐私有公共产品特性,对个人私有信息不加关心有负外部性效果,因为大数据的碎片关联与发掘能力,会导致社会维度上隐私的集体协作困境。[40]这属于数据的公共物品属性难题。
二、网络刑法、传统刑法的体系契合与时代转型——数据犯罪特征的刑法类型化
刑法作为最为严厉的制裁手段,具有谦抑性、片段性。因此在大数据时代,数据相关法律制度与刑法体系的制度衔接中,立法者需要尤为谨慎,在危险与法益保护的权衡之间做精细把握。
(一)作为刑法规范的本质特征:“法益侵害危险+危险的规范化”
德国学者指出,网络犯罪的特有属性与传统法律的根本特征是“完全对立”的。[41]刑法学者需要考虑的是,如何在这种对立之下,尽可能地寻求法律体系的完整性、稳定性,以应对数据技术性和危险性所带来的冲击。
1.以宪法引导出的法益概念为基础
刑法的法益以宪法为基础,刑法所保护的法益是从宪法中引导而出的,其产生于宪法中所载明的建立在个人自由基础上的法治国家任务,这个任务为国家的刑罚权界定了边界。这种基于宪法的法益概念是,在以个人及其自由发展为目标进行建设的社会整体制度范围之内,有益于个人及其自由发展的,或者是有益于这个制度本身功能的一种现实或目标设定。[42]在网络时代,刑法规范的解释、修改或者新增,都应当以宪法基础上的法益保护为正当性基础和刑罚权边界。刑法规范的内容,应当在此目标的指引之下,针对信息的特征作出调整,确定具体的刑法规范。科技进步表明,具有社会危害可能性的新技术不能完全为现有刑法所规范。建立在合乎宪法的价值秩序基础之上的刑法目标是,通过对法益的保护来确保公共福利和法秩序和平,在新技术环境下依据报应和预防理论实现其保护目的。[43]
以德国为例,大数据危险的宪法法益基础,主要可以归于人的尊严,[44]人的自由和发展,[45]通信、邮政和电信秘密,[46]住宅不受侵犯几个条文。[47]这些对宪法法益的危险,构成了相关刑法法益保护的基础,确立了刑法规范的保护目标。因为目标是实定法的解释和合法化标准,而又不同于所属实定法的内容,所以教义学的任务是将刑法规范固定下来,以确保其形式规范同时也具备适当的责任基础。[48]
刑法对大数据危险的规范确定,是将危险规范化的过程。刑法规范是受限于语词表述的思维的实体,有三种不同的效力条件,即规范的信息、规范的实际构造(即合法性)和规范的效用分析。其中,刑法规范的效用功能与规范目标是不同的,需要加以区分。刑法规范的效力并不是规范合法性的标准。[49]将现实的刑法法益以规范的形式确定下来,需要该规范既遵循法益保护的规范目标以满足合法性要求,又以恰当的语词形式确定规范的责任违反内容。这需要选择法益保护目标与刑法构成要件条文的恰当节点。对于大数据时代的数据犯罪危险来说,则是应当确定数据危险所造成的法益侵害与传统刑法体系之间在刑法规范层面的恰当的“嵌入点”。
从根本上看,需要将数据危险具体化到法益侵害实质特征上,再以此为基础寻求刑法体系中构成要件的类型化。例如,德国的Caroline案判决认同了依据自己对于图像权利的公开权限,将保证私人空间作为对整体性个人权利的具体化,认为保护需求来源于个人在特定情境中所产生的表现形象之可能性,并将此在个人空间以数据形式固定下来。其关注的是信息的构建性价值,是个人“公开性形式”。[50]这同数据犯罪中的非法获取行为所保护的“非公开数据”形成了实质上的契合点,通过将人的尊严、自由和发展等基本权利法益进一步细化和深化,确定侵害的实质特征,从而得以将侵害行为进一步规范化和类型化。因此,将整体性的大数据危险不断剖析和具体化,从而提炼出权利侵害本质特征,是寻求危险规范化的正确路径。
从主体上看,公司(如脸书等社交网络、百度等搜索平台、亚马逊等购物平台)已经成为相当重要的数据持有主体,在数据犯罪中,依宪法引出的法益保护必要,需要进一步考虑主体问题,因为宪法中的相关法益都具有特定的内涵,而私人数据处理的危险并不包括在内。就此,Hoffmann-Reim主张,现在来自私人领域的危险已经超过了对由国家管理产生危险的容忍,因此可以通过将数据保护的新领域与其他危险增加的社会领域相比较,从而使私人领域承担和国家相同的保护等级。信息自决权领域的基本法已经实现了由保护不受国家侵害转向了对多维度和多极化的信息社会通信发展保护的要素。[51]这些私人领域的公司已经形成了强大的独立力量和自治体系。[52]德国《数据保护法》第28条就商业性用途的个人数据处理和存储做了相应规范;根据该法第43条和第44条,违反商业性用途的具体规定而对数据的广告、市场调查等处理与使用行为,都应当承担刑事责任。
2.因违反数据保护制度所产生危险的规范化
大数据所产生的刑法危险较之于传统刑法的危险更为复杂,这些侵害刑法法益的危险都具有不确定的特征。需要先确定大数据危险的条件和特征,以寻求进一步的刑法规范化。
“不确定性”本来就是规范的危险概念的应有内涵。Horn在描述具体危险概念时,就将“法益侵害结果不发生的理由无法得到说明”作为危险的本质特征。[53]Kindh?user则认为具体危险是对于确定存在的震动(Erschütterung der Gewi?heit),是对于法益安全的无能力(Unf?higkeit),进而损害作为保证个人自由发展手段的法益价值。[54]危险之所以危险,往往是来自于对现实世界的难以掌握。[55]尽管传统刑法理论已涉及不确定性问题,但大数据技术还是为数据犯罪危险的规范化带来了特别的困难。大数据危险侵害中有相当大的部分属于行为对象(数据)与保护法益(从宪法中引导出的法益概念)相分离的情形。从本质上说,体现在规范中的“嵌入点”特征,在规范中是以数据形式确定的,然而,其法益基础则是与公民个人相关的基本权利。因此刑法规范的目的可能不是对数据自身效力的保证,对规范自身效力的保证可能仅仅是为了保护其他规范的目标。[56]这是一种间接的规范化路径。
同时,数字个人(e-person)的概念已被提出,[57]这需要以个人数据直接作为新的保护法益,从而采取一种直接的规范化路径。其所体现出的解决思路是试图直接以个人数据为出发点,发展出直接围绕数字个人的法益体系,将个人数据直接作为行为对象、将对个人数据的分割直接作为法益侵害实质,实现规范目标和规范效力的统一。对于身份盗窃的犯罪化就是这一直接路径的体现。
此外,数据内涵复杂,数据侵害行为建立在以信息权利为依据的数据保护制度之上,对于严重侵害个人数据的行为,应当以刑法进行处罚,此处则涉及刑法与数据保护法律制度的关系。
(二)作为犯罪对象的数据:“数字技术特征+非物质法益本质”
大数据时代的数据有两个方面的特征,一是依托于数字信息技术和网络通信技术等现代科技手段,即数字技术特征;二是其本质为信息,具有非物质性特征。分别从这两个侧面入手,可以提炼不同的规范化特征,得出电脑特质论和信息论两种不同的类型化途径。由此可见,建立在信息自决权之上的基本权利和建立在信息系统可靠性和完整性之上的基本权利之间(即IT-Grundrecht)是有重迭的,此处涉及刑法中数据法益概念构建的两种路径。
1.依电脑特质论的扩张
在计算机通信领域所强调的是通过具体的技术对信息进行作用,以技术对广义的信息做限定。信息技术是指在计算机和通信技术支持下,用以获取、加工、存储、变换、显示和传输电脑中各种形式的信息,包括提供设备和信息服务两大方面的方法与设备的总称,其概念本质是“技术”。[58]而数据就是可以输入到计算机并由计算机处理的对象,[59]信息时代的数据泛指一切保存在电脑中的信息,包括文本、图片、视频等,也是信息的代名词。[60]因此,计算机信息系统犯罪中的数据和信息,都是以技术性作为限定的,这里的数据和信息不但具有同质性,在形式上也都表现为计算机信息系统的技术处理对象。所以,刑法中所保护的法益是计算机信息系统安全,具体是指确保以电磁信号为主要形式的、在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容,在各个物理位置、逻辑区域、存储和传输介质中,都具备机密性、完整性、可用性、可审查性和不可否认性,这些信息内容与人、通信网络、环境有关的技术和管理规程形成有机集合。[61]在本质上,刑法中所应保护的虚拟法益,就是要通过信息系统安全的技术限定性,来保障该领域的信息安全,二者密切相关,但各自独立。
德国《刑法》将计算机犯罪分为三种,即第202a条、第202b条的电脑间谍,第303a条的电脑破坏,以及新增的针对严重的电脑破坏加重处罚的第303b条,此外还选取了诈骗和伪造两种传统犯罪,专门针对电脑操纵行为进行了类型化,来规范电脑操纵行为中类似传统上刑法规定所调整的行为却无法以传统的规定加以规范的新型法益侵害行为。至于所谓的使用盗窃则是“未经授权的电脑使用”,被置于对电脑硬件的侵害类型下。[62]这基本与欧盟2001年网络犯罪公约和欧盟框架决议的规定一致。[63]我国台湾地区学者从电脑特质的电脑犯罪基本原理出发,对上述分类进行分析,认为可以将电脑犯罪分为:(A)非法进入;(B)窥视、机能干扰、破坏软件或硬件机能、复制软件、不合理操作电脑等行径;(C)与脱离该电脑或电脑系统后所为泄露或贩卖咨询、获取财物或不法利益、宣传或散布咨询等。据此,电脑操纵包含(A)和(B),电脑间谍包含(A)、(B)和(C),电脑破坏指(A)和(B)。[64]笔者将此种观点称为电脑特质论,其重点在于将计算机自动化处理特征纳入传统刑法构成要件中。
由于大数据是传统方式所不能处理的海量数据,依附现有技术定义下的“数据”概念则有涵盖不足的困扰。例如物联网广泛采用的RFID电子标签,与应用系统间的数据传递本质上是一种有发送数据的信号发射,信号发射中有数据交换,但呼叫中接收方是不确定的,也不是非公开的。在刑法上的“传输数据”概念中,数据传输是有目的性的、非公开的、仅发送者和接受者有支配权利。[65]因此RFID系统中由物端产生的数据难以解释为“计算机信息系统中存储、处理和传输的数据”,这种可能包含重要数据内容的网络数据(如可嵌入设备和智能医疗设备所传输的人体健康数据、移动终端的地理位置数据等)形式无法通过对现有“计算机信息系统数据”的概念和对“计算机信息系统”的扩张解释纳入刑法保护之中。
其实,传统的网络犯罪的核心范畴仅包括对数据和系统的犯罪,考虑到电脑特质的犯罪学特征,在将其规范化纳入刑法体系之时,德国和欧盟的路径则是直接深入到“数据”和“系统”这两个嵌入点上,其犯罪化路径是将对数据、对系统的侵害行为的实质,与传统构成要件的规范目标和规范特征相对应,形成信息技术犯罪的新的规范。
2.向信息论的转向
在大数据时代,信息技术犯罪与传统刑法的体系性契合尤为困难,因为传统的法律体系多是以物质、能量为基本概念建立起来的,例如刑法中对于财产的保护,盗窃、抢夺、侵占等行为方式都不适用于信息。对于数据,应当针对其信息本质,设定直接针对数据特征、以信息基本原理为依据(笔者于本文中称之为信息论)的数据犯罪基本行为规范。
计算机和网络安全是新增的抽象法益保护类型,其对应的传统法益是对其进行刑事处罚的根本依据,因此限定刑法规范的虚拟法益的法益保护本质就是至关重要的。从信息系统安全的专业领域来看,就其信息系统安全的内涵而言,保证信息内容的机密性是基本和首要目标之一。同时,动态的计算机安全指计算机的硬件、软件和数据受到保护,系统连续正常运行;通信网络安全的主要内容包括网络系统中的硬件、软件及其数据和数据的传输不受破坏、更改、泄露,系统连续可靠地正常运行,网络服务不中断。[66]由此可见,信息系统安全是一个多维度、多层次、多因素、多目标的体系,计算机和网络虚拟法益应当包括三个方面:信息内容安全(数据)、信息技术处理安全(计算机信息系统功能)和作为计算机网络中信息传输子系统的通信网络安全(网络安全)。我国的计算机犯罪则是以技术限定性为中心而不是以信息内容安全为中心的立法,甚至某种程度上,技术限定性被继续限定在特定系统的应用目标和应用主体上,信息内容安全则更很大程度上被忽略了,由此,在虚拟法益的类型化以及与传统刑法的嵌入上存在一定的偏离和断裂,立法者应当做出思路上的调整。
我国刑法对信息内容安全欠缺类型化,即对于数据犯罪缺少基本行为规范的类型化。将刑法保护的重点法益放在计算机信息系统功能和通信安全上,使数据法益的类型化缺少一个重要的维度。
围绕信息概念,计算机信息系统安全可以从如下维度来理解。信息是指信号的传达,是通过编码实现的物理世界到信号的逻辑转换。信息的应用性含义包括三方面,即作为进程的信息(Information als Vorgang)、作为内容的信息(Information als Inhalte)、作为状态的信息(Information als Zustand)。[67]具体到计算机犯罪中的数据,其是指通过符号或者连续函数表达的信息,经过编码作为数据处理设备的对象或工具,或数据处理进程的结果,[68]这一概念适用于各种计算机犯罪刑法条款规定的数据。[69]对于大数据时代的数据犯罪体系,应当独立以信息论为基础建立数据犯罪体系,实现由电脑特质论向信息论的转向。
计算机数据犯罪在数据应用性层面主要应设立两种类型的行为规范,以直接保护非物质和非能量的、本质为信息的计算机数据。我国《刑法》285条规定的非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪,即确定了这两种基本行为方式:非法侵入(非法数据访问)、非法获取数据。这两种基本行为方式分别对应于数据支配权限、数据知悉状态的本质特征。对于数据的保护,实际上应当是对于这里所体现的信息安全基本特征的保护。保护数据安全应当着眼于其自身的本质特征,而不应当为一时的技术条件所限定。这样,在面临大数据的冲击时,才能从作为数据本质的信息论出发,适应于新的数据保护现实需求,而不因技术更新换代而滞后。
(1)非法侵入
非法侵入破坏了访问控制的信息安全技术,其侵害的是数据的支配权限。数据是指在计算机信息系统中实际处理的一切文字、符号、声音、图像等内容有意义的组合,应用程序是指用户使用数据库的一种方式,是用户按数据库授予的子模式的逻辑结构,书写对数据库操作和运算的程序。[70]德国《刑法》第202a条规定了数据探窃罪。主流观点认为,该条系保护数据内容的支配权限,通过保护文档秘密来保护数据安全。[71]这种数据的思维性内容与数据载体的财产所有关系是不相关的,而是仅凭对数据的支配权限来确定谁有权访问数据。[72]该条处罚行为人违反对非法访问进行控制的特别安全措施,访问不属于其的数据的行为。德国法所设的该罪名是德国首次对数据网络犯罪进行规范,保护的法益是数据的处理权限。[73]
我国《刑法》285条虽然规定了非法侵入(非法数据访问)的基本行为,但是又进一步将对数据的侵害行为限定在对数据进行处理的信息系统之内,并且将这种过程视为一种刑罚前置化的手段,所以又再进一步对信息系统做了限定,即仅限于“国家事务、国防建设、尖端科学技术领域”的信息系统。实际上,这是没有单独以数据、信息系统的应用层面信息安全作为保护法益对象,甚至也没有以信息系统的网络安全作为单独的虚拟法益保护对象,而是层层嵌套、层层限定。这种不正确的嵌入思路看似重点保护了重要的计算机信息系统,但实际上会因错误的嵌入点选择形成对数据和国家法益两方面保护的缺憾。一方面,从数据保护缺漏来说,计算机数据犯罪已经成为全球共同面对的新型犯罪,不以数据法益、虚拟技术法益为保护目标而构建的计算机数据刑法体系,难免存在法益保护遗漏。另一方面,对数据的非法访问可能造成的其他个人隐私、商业秘密泄露,刑法并没有如对国家法益一般,分别以列举式的条文一一犯罪化,那么这些领域的计算机数据犯罪都在刑法调整范围之外。数据已经成为极其重要的商业资源,具有巨大的潜在经济价值,[74]同时网络数据的收集和处理都可能导致个人隐私侵害,网络数据与个人身份密切相关,[75]数据在计算机刑法保护体系中被选择性忽略,实属不应。如果认为是特意突出对国家法益的保护,那么,因为我国《刑法》285条和第286条中,并没有再对“国家事务、国防建设、尖端科学技术领域”的信息系统有进一步的特别规范,只单单列举了“侵入”这一种基本行为,对这些重要领域的保护则又因为欠缺其他计算机犯罪基本行为模式,反倒过于单薄。所以,我国对计算机数据,从非法访问的侵入基本行为所规定的刑法条文,因为嵌入点没有选在数据访问权限上,所以在类型化上出现了偏差,导致保护体系不够周延。也就是说,非法侵入行为所侵害的是特定计算机信息系统中的数据,对其应当予以入罪化的技术与刑法条文的嵌入点应当是对数据的侵害,而不是对储存有特定数据的对应计算机系统的侵害。
我国《刑法》285条第2款的罪状表述中,明确规定了“侵入……或采取其他技术手段,获取……数据”。我国刑法非法获取计算机信息系统数据罪的罪状表述,采取的是“侵入+非法获取数据”的行为规范,将两种不同的法益侵害行为混合。2011年最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称:2011年司法解释)1条规定,该款“情节严重”的情形中,针对非法获取计算机信息系统数据罪的是指“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上”或“以外的身份认证信息500组以上”。这表明,我国《刑法》285条第2款实际上确实是针对属于个人身份验证信息的数据,而这种数据“非法访问”或者“非法知悉”的特征,却没有对应于“非法侵入”或者“非法获取”的数据犯罪基本行为规范。从2011年司法解释看,该构成要件应当是针对公民重要数据即身份验证信息的保护,因此其实应当是针对作为内容的数据的保护,而不是对通信数据的非公开性的主观意愿侵害。尤其是金融网络服务的身份验证数据,多存储于金融商业公司的服务器上,应当以非法侵入、非法访问数据作为构成要件中的基本行为。同时,此种侵害数据权限的数据犯罪,其侵害对象为“身份验证数据”,这显然也属于我国《刑法》253条之一中的对于“公民个人信息”的保护。在两种保护的不同侧重点之间应当如何协调,还需要以数据的特征为出发点,进行更为细致的研究。
(2)非法获取
非法获取数据侵害的是作为状态的数据,即数据到信息再到知识,它们是同质的,但存在具体的不同表现形式,其关注点是“是否知悉”。[76]换句话说,对数据而言,是无所谓所有或者占有的,因为其是与物质不同的、非有形的存在;对数据的权利体现为特定主体知悉数据及数据所代表的讯息的权利,实际上是一种应当“知悉”或者应当“不知悉”的状态;所谓的“非法获取”,是非法改变对数据享有权利的主体所设定的数据“不知悉”状态,即非法获取了本应“保密”的以计算机信息系统数据形式表现的信息。这是与侵入基本行为不同的另一种侵害数据法益的行为方式,二者对“非法”的内涵有不同的要求,应当区别规范。获取数据不需要以突破安全措施为必要前提,即便是欠缺突破安全控制措施、违反数据访问权限的“侵入行为”,也同样能够截取数据;反之,即便强行侵入也未必能够非法获取数据。因此,应进一步明确构成要件所意欲保护的数据的根本特征,以设置更有针对性和区分更为细致的数据犯罪构成要件。
从上述分析可以看出,对应用层面数据的访问控制和保密状态的侵害,实际上就是“电脑间谍”这种电脑犯罪类型,属于侵害数据应用状态的犯罪。其主观层面上是侵犯了特定主体对数据的支配权限,非法侵入行为更多地是侧重于对这方面的侵害。其客观层面上表现为破坏了数据的保密性,非法获取行为则更多关注于此。对于“电脑间谍”,一般可类比于传统刑法中侵犯隐私权、侵害通信自由和秘密的犯罪类型,以明确数据犯罪的实质特征,并选取相应的制裁模式。对传输数据的窃听(Anzapfen)和窃取(Abh?ren),是数据远程通信系统领域的“电脑间谍”行为,是对于信息的通讯形式(Kommunikationsform)没有权限(unbefugt)的窃听和窃取。[77]此外,对于故意突破安全措施对数据处理和存储系统未经授权的动用(Zugirff),也有刑法处罚必要,因为对数据载体和计算机系统的逻辑安全措施(如加密或以密码验证为方式的控制措施)与非法获取行为所表征的违法本质有相通之处。[78]
数据截获是传统远程通信方式向现代通信技术扩张中出现的行为,其保护的法益是对传输数据的处理有权限者的保密利益。[79]与欧盟网络犯罪公约一样,所有非公开的电子数据传输都包括在内,[80]决定是否属于“非公开”的关键在于传输过程,与数据传输的形式和内容无关,即数据传输是有特定目标的,比如电子邮件和P2P形式的数据传输。[81]电子邮件地址可能涉及“关于私人生活,可认别个人身份”的资料,保护电子邮件地址可以适用“以信息的方法侵害私人数据的所有权以及使用权之一切行为”的刑法规范,属于公民隐私保护的范围。[82]
大数据时代的数据范围和内涵扩张,更加明显地体现了对数据的“非法获取”行为单独规范的必要性。非法获取数据的犯罪可以与侵入行为相分离。网络安全面临的最大威胁是人为攻击,包括以各种方式有选择地破坏信息的有效性和完整性的主动攻击,以及在不影响网络正常工作的情况下进行截获、窃取、破译以获得重要机密信息的被动攻击。[83]比如,RFID标签是物联网信息系统的重要部分,它们储存了大量有价值的商业信息,对其主要攻击方法包括数据窃取与跟踪以及中间人攻击。[84]非法用户很可能采用窃听读写器等设备来获得标签的数据信息以及系统的商业信息,这种数据窃取与跟踪攻击方法不需要直接访问标签,就可以获取系统的商业信息。[85]因此,针对计算机数据的犯罪中,违反访问权限的非法侵入和损害不公开知悉状态的非法获取,是不同的侵害行为类型,具有不同的违法性,应当以不同的构成要件予以规制。
此外,不仅是非法获取的基本行为规范应与“侵入”相分离,就非法访问的罪状中的“侵入”的必要性反思在德国也越来越深入。“侵入”是指突破安全保护措施,以便进一步侵害对数据的相关权益。对“侵入”的规范所保护的其实本质上是数据的访问权限(特定主体对数据的权利)和数据的非公开性(特定主体对数据不被截取的意愿)。后者与侵入并没有必然联系,其侧重点是“非公开”的数据传输,是数据“不被知悉的状态”;而前者更多地与侵入行为相关,因为侵入往往作为突破访问权限的一种最强硬也最经济有效的手段,但这种联系也同样不是必然的。因为归根结底,作为“非法访问”构成要件要素的“没有权限(unberechtigt)”是与“非限定为其所有(nicht für die T?ter bestimmt)”相联系的,有权限访问者当然就是数据所有者,因此在一定程度上,有关访问安全措施(eine Zugangssicherung)的罪状设置应当取消。[86]
其实这种反思所反映的,是更集中于数据本身的思路,从而从最本质上理解构成要件,以解释既有构成要件是否可以适用于大数据、云计算等新技术带来的新生问题,避免非体现实质不法内涵的构成要件形式限制或阻碍刑法对法益保护的周延。这也是对构成要件边界的限定,防止为应对新生问题而做过度扩张解释。总之,细致、明确地界定数据犯罪中构成要件本质的违法性内涵,是应当且必要的;反之,将侵入、违反权限、非法获取截取、特定领域信息系统的重要性等违法性要素内涵都笼统规定,才会出现现有保护缺漏以及进行过度扩张解释的危险性。
从路径上说,在以“数据网络”为本质的大数据时代,可以将电脑特质论中的“数据”从“系统”中剥离出来进行细化构建,也可以直接采取信息论路径(这更为妥当)。由于大数据时代的冲击,数据应用意义与计算机数据的形式之间的断裂越来越明显,各个层面的数据犯罪与计算机数据犯罪的脱节越来越明显,尤其是个人数据层面上,以公民个人信息保护为核心的体系独立性逐渐增强。数据犯罪体系的逐步扩充,需要更为细致的体系构建。
三、数据犯罪的制裁思路:“基本行为特征类型化模式+动态链条模式”
对于数据犯罪的基本行为予以类型化分析,是解决数据犯罪的根本思路。同时,按照动态犯罪链条模式思索立法的路径,是应然的选择。
(一)横向制裁思路:以“基本行为特征类型化”为思路的数据犯罪双核心制裁体系
数据犯罪制裁的双核心体系,指的是以制裁“个人数据”犯罪和制裁“网络重要数据”即“国家秘密、情报”犯罪为核心的双轨并行式制裁思路。
1.核心体系之一:以我国《刑法》253条之一为核心的个人数据犯罪制裁体系
《刑法修正案(七)》在我国《刑法》253条之一增加规定了出售、非法提供公民个人信息罪和非法窃取公民个人信息罪。这是我国刑法保护公民个人信息的核心罪名。一方面,对于涉及个人数据权利的计算机数据、远程通信数据等数据犯罪,我国刑法分则没有在计算机犯罪条文部分清晰、明确地规定,没有确定针对个人数据侵害的基本行为。另一方面,我国没有制定《个人数据保护法》,对于个人数据的保护制度不够完善。因此,权宜办法是可以考虑以我国《刑法》第253条之一为核心条文,以信息论为主要理论基础,并结合数字化处理和通信技术的特征,完善大数据时代对于个人层面数据犯罪的刑法规范和制裁。这实际上是对信息自决这一公民权利的类型化。
公民个人信息的概念从客观上看,基本的特征为“可识别性”。我国《刑法》第253条之一“公民个人信息”的具体含义,学理上一般认为,是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息。[87]德国《数据保护法》第3条规定,个人数据是指关于私人的或者与特定或可特定自然人事实上关系的个人说明。例如,Cookies是通过与服务器建立网络连接产生的,浏览器可以在访问网络页面时进行存储,Cookies是包含相关信息的字符串,利用Cookies可以获取用户的行为数据,通过收集用户访问的网站进行精准广告投放。因为包含可以直接识别用户的信息(如电子邮件),Cookies属于个人数据;而动态IP地址是由服务器分配的,则不属于个人数据。[88]
此外,数据的使用目标也是衡量数据侵害的重要因素。对于强制性信息收集的合法性要求来说,私密性只能作为一种“程度衡量”。应用目标则起着决定性作用。信息敏感性并不单独决定是否涉及私密性,而是作为肯定个人权利意义所需、用以确定应用关联的。[89]德国《数据保护法》第28条(3)3(3a)规定了同意制度。同时,公民个人信息的概念具有主观维度。Caroline案就从个人自我表现的决定上体现了数据保护的主观方面。内容上除了主题上的划界外仍然有对于空间领域的延伸保护,其所保护的是面向自我、自我放松的领域,对于地理性界分须有必要标准,因为个人有权限不受持续观察、间断观察所致之行为控制。[90]
这些源于公民个人信息概念的多种角度切入路径体现了这一概念的复杂性,在对实质的公民个人信息法益进行规范化的过程中,需要准确而精致地界定行为。德国《数据保护法》第44条规定,以故意违反规范方式(该法第43条第2款所列形式),以牟利或损害他人为目的,侵害个人数据的,处2年以下自由刑或罚金。其所针对的行为方式有7个款项之多,处罚了从各角度侵害个人数据权利的行为。这些具体行为方式包括以下几种:(故意或过失)对无支配权限的数据的收集(erhebt);处理(verarbeitet);借助自动化程序提供(zum Abruf vereith?lt);调取(abruft)或者为自己或他人获取自动处理数据抑或是非自动化数据(verschaft);以不实陈述骗取(erschleicht)传输的个人数据;违反其他条文将传输的数据另做他途使用(nutzt),包括违反同意制度将(abh?ngig macht)违反其他条文将数据用于广告、或市场或意见调查进行处理和使用(verarbeitet oder nutzt);[91]违反其他条文将个人特征聚合(zusammenführt);违反其他条文不通知、不正确、不全面或者不及时地作为(macht)。仔细审视就可以发现,这些规定是从数据的支配权限、数据的处理步骤、使用意图、同意、应用、数据的整体聚合、错误的数据作为义务这些方面,将数据犯罪风险具体化,以不同条文将数据犯罪的行为方式加以规范化和类型化。不可否认,数据犯罪将需要细致的规范构造。既然我国刑法是将个人信息保护直接以刑法分则条文的方式加以规定,就应当对此条文进行细致规范。
在违反个人数据保护制度的数据犯罪条款之外,还应当依据从宪法中引导出的刑法法益概念对个人数据犯罪风险进行规范化和类型化。涉及计算机系统和通信网络的个人数据犯罪则应以信息论为基础,明确非法获取和非法探知两种数据犯罪的基本行为,将“对数据的权限”和“对数据非知悉状态”这两个特征作为刑法类型化的嵌入点,实现以数据为对象的数据犯罪的刑法规范化。这两种基本行为可以作为与违反个人数据保护制度犯罪化的条款,共同规定于我国《刑法》第253条之一之中。从长远来看,“数字身份”犯罪应当成为大数据时代刑法对个人数据犯罪的研究重点。
2.核心体系之二:以“国家秘密、情报”为核心的数据犯罪制裁体系
大数据时代,个人信息等个体信息的汇总和集聚,在整体上形成的大数据,实际上在某种程度上可以等同一种关涉国家安全、经济安全等的“情报”甚至是“秘密”。从犯罪对象即数据出发来思考刑法规范即可发现,在微观层面可以形成以公民个人信息为核心的数据犯罪体系;但对于整体性的数据危险,以及同时贯穿宏观和微观两个层面的数据危险,在宏观层面如何形成相应的规范,是一个有必要研究却棘手的现实问题。大数据时代网络数据安全从宏观层面直接关系到国家的稳定。所谓的“震动效果(Erschütterungseffekt)”指的是,对个人基本权利的侵害会导致对其他基本权利侵害的扩张,侵害整体利益,因为信息自决权是建立在行为和合作能力之上的自由民主的国家的一个基本的功能条件。[92]
我国《刑法》第285条非法侵入计算机信息系统罪实际上体现了对于重点领域信息安全的保护必要。我国《国家安全法》第25条规定,国家实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。对于国家安全的重要领域(如网络和信息安全领域),该法在国家安全任务中增加了相关的条文,例如,“建设网络与信息安全保障体系,提升网络与信息安全保护能力”,[93]表明网络和信息的关键基础设施安全、重要领域信息系统和数据安全,都是国家安全的重要内容。
2015年的我国《网络安全法(草案)》在“网络运行安全”章中用专门一节规定了“关键信息基础设施安全”。笔者认为,有必要单独以关键信息基础设施保护、信息网络基础设施保护为独立体系进行研究。从长远来看,应当专门就关键信息基础设施安全设立单独条文。其中,《网络安全法(草案)》第31条规定,关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。关键信息基础设施是国家安全的应有之意,关键信息基础设施在运营中收集和产生的重要数据,也涉及国家安全。这是大数据在国家法益层面的重要意义。因此,应当将这一部分“网络数据”更具体地细化为“国家秘密、情报”,实现更到位的刑法保护。
对于商业数据,我国《刑法》第285条非法获取计算机信息系统数据罪虽然主要是针对商业领域的计算机犯罪设立的,但是根据2011年司法解释第1条,获取的信息类型仅限于“支付结算、证券交易、期货交易等网络金融服务的身份验证信息”或其他身份验证信息。我国《刑法》第219条侵犯商业秘密罪中的商业秘密,也仅限于不为公众知悉、具有经济利益和实用性、采取保密措施的技术信息和经营信息。这都不足以涵盖具有商业价值的网络数据。例如利用cookie收集用户的网络浏览数据可以进行用户行为分析,并实现广告精准实时投放,获取经济利益,这样的网络数据就具有商业价值。然而,因为公司对大数据的商业性权利本质上属于我国《刑法》分则第三章“侵犯社会主义市场经济秩序罪”关注的范畴,涉及复杂的数据利益分配以及数据主体间的利益冲突,所以,应当先在民法上形成数据权利界分的完整制度,以及在数据保护领域形成个人数据保护的完整制度,再针对侵犯商业数据犯罪做出回应;而不应当过于超前地采取刑事制裁手段,以坚守刑法的谦抑性。换言之,此种以商业秘密为核心的数据犯罪体系应当暂时仍限制于我国刑法分则既有的核心数据保护范围之内。
(二)纵向制裁思路:数据犯罪链条的步骤分割与过程整合
从数据犯罪的行为角度看,对于数据对象的基本侵害方式就是非法侵入(访问)、非法获取,但仅以此为行为方式实现对数据犯罪的制裁是远远不够的。从一个完整的数据犯罪链条来看,对于基本数据犯罪的预备阶段,以及之后对于数据的非法出售、非法应用阶段,同样需要制裁。而在大数据时代,数据处理的危险也应当成为一个行为阶段,从而实现纵向上的完整制裁体系。
1.制裁的重点之一:犯罪预备行为的实行化
在大数据时代,数据非法收集获取的行为途径大大增加,在对侵害计算机信息系统的相关犯罪的预备行为进行打击之时,不应忽略通过互联网、WLAN网络、移动网络等多种渠道实施的数据窃取行为的预备行为。我国《刑法》第285条第3款规定了提供侵入、非法控制计算机信息系统程序、工具罪;该法第286条(破坏计算机信息系统罪)第3款规定了通过故意制作、传播计算机病毒等破坏性程序影响计算机系统正常运行的行为方式。实际上,这两个条款都是“预备行为实行化”的立法实例,以提前刑法对计算机犯罪的打击时点。然而,这仍然体现出我国刑法分则数据犯罪缺乏信息论路径的立法模式,也就是说,预备行为是针对信息系统的非法侵入、非法控制、破坏等犯罪行为的,却不是针对数据的非法获取、非法访问等基本行为方式的。根据2011年司法解释第2条,我国《刑法》第285条第3款的程序、工具,都是专门用于侵入、非法控制的程序、工具,一方面将避开或突破计算机信息系统安全措施作为前提,另一方面将未经授权或超越授权的对象作为计算机信息系统数据的技术限定。对于原有侧重于信息系统的思路所存在的问题,就数据犯罪预备行为而言仍然存在。因此,我国刑法上应当对于数据犯罪的预备行为单独规定相应条文,弱化技术限定特征而强化数据的支配权限与知悉状态特征。
2.制裁的重点之二:整体数据处理过程即数据窝藏
在大数据时代,个人数据被用于后续犯罪的危险大大增加,从更大的纵向数据犯罪产业链的框架来看,围绕个人数据的非法获取、处理、出售和用于后续如诈骗等犯罪,是一个大的动态体系。德国《个人数据保护法》第3条将对数据的“自动化处理”定义为通过使用数据处理设备对个人数据的收集、处理或者使用。非自动化处理的数据是指没有被自动收集,而是以类似方式形成的、根据特定特征可以获得并且利用的个人数据。再放大一层,数据的处理只是数据周期中的一个环节,一个完整的数据动态过程大体上可以分为三个阶段:数据收集、数据处理、数据使用。其中数据的处理行为可以分为存储、变更、传输、阻隔、删除等具体操作行为。[94]
我国刑法重视打击纵向数据犯罪链条,但仍需进一步完善在“数据存储和处理”阶段的刑法制裁。《刑法修正案(七)》增设我国《刑法》第253条之一的动因在于规制不法分子利用技术手段非法侵入计算机系统窃取他人账号、密码等信息,严重危害社会秩序的现象,目的是为了有效应对越来越严重的非法泄漏、非法获取、非法利用公民私人信息的社会现实,严厉打击日趋猖獗的个人信息犯罪行为,切断身份信息犯罪的产业链。[95]构成出售、非法提供公民个人信息罪的客观要件是“将履行职责或提供服务过程中获得的公民个人信息,出售或非法提供给他人,情节严重”,非法窃取公民个人信息罪的客观要件是“窃取或以其他方式非法获取,情节严重”。《刑法修正案(九)》第17条修改了原先的我国《刑法》第253条之一,一方面,通过删去“情节严重”降低入罪门槛,以及删除“国家机关或其他单位”的限定,对于履行职务中的犯罪行为从重处罚,并且增加了“情节特别严重”的量刑幅度,体现了国家打击侵犯公民个人信息犯罪的力度和决心,并且重点打击履行职务过程中的数据犯罪;另一方面,原先的“向他人出售或者提供”以及“窃取或者以其他方式非法获取”这两种行为方式并没有被修改。也就是说,对公民个人信息的保护是针对“出售或非法提供给他人”和“窃取或以其他方式获取”两个端点阶段的行为。先是信息被出售或非法提供的个人信息被用于下游身份信息犯罪的“外流”端点阶段,再是信息被窃取或以其他方式获取的个人信息被用于进行信息非法交易犯罪的“内入”端点阶段。对于“外流”端点的数据使用阶段,《刑法修正案(九)》通过增加加重量刑幅度提高了刑法制裁力度,实现了对数据犯罪链下游的侧重打击;对于“内入”的数据收集阶段,《刑法修正案(九)》通过降低入罪门槛而实现扩张刑法打击范围。然而,对于数据处理阶段,数据存储、传输和自动化处理过程中的危险也直接侵害到应受刑法保护的法益,《刑法修正案(九)》却并没有增加对应的条款。在数据处理阶段,主要存在数据处理危险,包括非法存储(数据持有危险)和非法处理(数据挖掘危险)。应当说,增加涉及这一阶段的数据犯罪立法,就能形成对数据犯罪的“非法获取—窝藏—非法提供”这一整条犯罪链条的完整制裁。
本质上,对大数据处理阶段的动态危险,只能通过“窝藏”行为(实质为数据的非法持有)进行刑法的规范化。德国就此在2015年的刑法修正案中,于原有的保护个人隐私的法条即德国《刑法》第202条之后,增加了德国《刑法》第202d条(德国《刑法》第202a-c条是1986年和2007年为应对计算机犯罪侵犯隐私行为而增加的法条)。德国联邦参议院最初提出的立法草案中指出,“数据窝藏”是犯罪链条中的一个中间环节,整个链条包括:(A)非法获取数据,如通过黑客攻击或者钓鱼行为;(B)对违法获得的数据进行处理;(C)运用数据进行后续犯罪行为,如抵押贷款诈骗。而在(A)或(C)的数据非法获取以及非法运用环节,犯罪行为人其实都是难以抓获的。由于受害者根本无法知晓他们的计算机被感染,其数字身份(digitalen Identit?t)的多个方面信息遭到窃取,这形成了一个巨大的黑色地带。[96]那么,很明显,无论是从现实中对公民的危害,还是从刑罚设定的可行性与可操作性上来说,选取“数据窝藏”这一中间环节进行有针对性的刑事立法,无疑都是一条可行之路,这对我国是有启发和借鉴意义的。
(责任编辑:杜小丽)
【注释】 作者简介:于志刚,中国政法大学司法文明协同创新中心教授、网络法研究中心主任,教育部长江学者特聘教授;李源粒,德国马克斯普朗克外国刑法与国际刑法研究所博士研究生。
*本文系中国政法大学优秀中青年教师培养支持计划资助项目和2012年教育部哲学社会科学重大课题攻关项目“信息时代网络法律体系的整体建构研究”(项目编号:12JZD039)的阶段性成果。本文由于志刚确定主题框架、撰写第三部分、审定全文,李源粒撰写第一、第二部分。
[1] 参见王倩、朱宏峰、刘天华:《大数据的安全现状与发展》,《计算机与网络》2013年第16期。
[2] 于志刚:《大数据时代计算机数据的财产化与刑法保护》,《青海社会科学》2013年第3期。
[3] 于志刚、李源粒:《大数据时代数据犯罪的制裁思路》,《中国社会科学》2014年第10期。
[4] 王燃:《大数据时代个人信息保护视野下的电子取证》,《山东警察学院学报》2015年第5期。
[5] 参见[德]尤尔根·哈贝马斯:《合法化危机》,刘北成、曹卫东译,上海世纪出版集团2009年版,第11-16页。
[6] Brenne, Susan W.,Cybercrime and the Law. Challenges, Issues, and Outcomes. Northeastern University Press. Boston 2012. P.189.
[7] 参见[德]乌尔里希·齐白:《全球风险社会与信息社会中的刑法》,周遵友、江溯等译,中国法制出版社2012年版,第289页。
[8] 参见前注[7],乌尔里希·齐白书,第300页。
[9] 同前注[7],乌尔里希·齐白书,第291页。
[10] 同前注[1],王倩、朱宏峰、刘天华文。
[11] 参见李源粒:《网络数据安全与公民个人信息保护的刑法完善》,《中国政法大学学报》2015年第4期。
[12] Drackert, Stefan, Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH. Berlin 2015. S.291-304.
“Erh?hung individueller Verletzlichkeit durch Straftaten,Schamgefühl und Publizit?tssch?den,Diskriminierung,Stigmatisierung,Informationspermanenz,Entkontextualisierung”.
[13] Drackert, Stefan, Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH. Berlin 2015. S.306-311.
[14] Druey, Jean Nicolas, Infotmation Als Gegenstand DesRechts.Schultes Polygraphischer Verlag AG. Zürich 1995. S.59-61.
[15] recitals 2、7、129,General Data Protection Proposal, COM(2012) 11 final(GDPR).
[16] Fuster, Gloria Gonzalez, The Emergence of Personal Data Protection as a Fundamental Right to the EU. Springer International Publishing. Switerland 2014. P. 243.
[17] Drackert, Stefan, Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH. Berlin 2015. S.264.
[18] Weichert, Thilo, Big Data und Datenschutz. ZD 2013, 251(255).
[19] Hoeren, Thomas (Hrsg.),Big Data und Recht. Verlag C.H.Beck oHG. Berlin 2014. S.72-81.
[20] Article 8, GDPR.
[21] 参见陈丹:《法国禁家长网上“晒娃”违者要被罚款坐牢》,http://news.xinhuanet.com/world/2016-03/04/c_128772107.htm,2016年3月8日访问。
[22] Hoeren, Thomas (Hrsg.),Big Data und Recht. Verlag C.H.Beck oHG. Berlin 2014. S.74.
[23] BVerfG Urteil vom 2.3.2006,2 BvR 2099/04=BVerfG 115,166.
[24] 同前注[11],李源粒文。
[25] Article 17,GDPR.
[26] 参见佚名:《谷歌下周在所有欧洲搜索结果中实施“被遗忘权”》,http://tech.163.com/16/0305/14/BHDD1C5300094OE0.html,2016年3月8日访问。
[27] BVerfG Urteil vom 11.3.2008, 1 BvR 2074/05, 2074/07, BVerfGE 120,378.
[28] 2006/24/EC, OJ L 105, 13.4.2006, p.54-63.
[29] Court of Justice of the European Union, Judgment in Joined Cases C-293/12 and C-594/12.
[30] BVerfG Urteil vom 11.3.2008, 1 BvR 2074/05, 2074/07=BVerfGE 120,378.
[31] Art. 3, Bundesdatenschutzgesetz (BDSG).
[32] 参见胡其峰:《大数据时代更要保护个人信息》,《光明日报》2014年3月7日第7版。
[33] 参见邓杰:《大数据时代更要保护个人信息》,《光明日报》2014 年3月7日第7版。
[34] 参见佚名:《探秘国内地下数据交易内幕》,http://www.duoyun.io/news/6838,2016年5月3日访问。
[35] Eisele, J?rg,Computer-und Medienstrafrecht. Verlag C.K.Beck oHG. 2013. S. 55-56.
[36] Wegener, Christoph / Heidrich, Joerg, Sichere Datenwolken Cloud Computing und Datenschutz.MMR 2010, 803.
[37] Art. 17,Art. 18, Convention on Cybercrime, CETS No.185.
[38] Sieber, Ulrich, Straftaten und Strafverfolgung im Internet. Verlag C.K.Beck München. 2012. S.117-119.
[39] 参见徐勇:《苹果正式回应法官拒绝“解锁”涉案手机》,http://www.hxnews.com/news/gj/gjxw/201602/26/828508.shtml,2016年3月8日访问。
[40] Fairfield, Hoshua A.T./ Engel, Christoph, Privacy as a Public Good. 2014 Conference “transatlantic diglogue on surveillance methods”.
[41] 同前注[7],乌尔里希·齐白书,第305页。
[42] [德]克劳斯·罗克辛:《德国刑法总论(第1卷)》,王世洲译,法律出版社2005年版,第15页。
[43] Jones, Chiristopher, Mobile internetf?hige Ger?te im Strafrecht. Logos Verlag. Berlin 2014. S. 62-63.
[44] Art 1,Grundgesetz für die Bundesrepublik Deutschland(GG).
[45] Art 2,GG.
[46] Art 10,GG.
[47] Art 13,GG.
[48] Kindh?user, Urs, Gef?hrdung als Strafrecht. Vittotio Klostermann GmbH. Frankfurt am Main 1989. S.14.
[49] Kindh?user, Urs, Gef?hrdung als Strafrecht. Vittotio Klostermann GmbH. Frankfurt am Main 1989. S.133-135.
[50] BVerfG Urteil vom 15.12.1999,1 BvR 653/96=BVerfG 101,361.
[51] Drackert,Stefan, Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH. Berlin 2015. S.176-177.
[52] Jones, Chiristopher, Mobile internetf?hige Ger?te im Strafrecht. Logos Verlag. Berlin 2014. S. 67.
[53] Horn, Eckhard, Konkrete Gef?hrdungsdelikte.Verlag Dr. Otto Schmidt KG. K?ln 1973.S. 115.
[54] Kindh?user, Urs, Gef?hrdung als Strafrecht. Vittotio Klostermann GmbH. Frankfurt am Main 1989. S.132.
[55] 黄荣坚:《刑罚的极限》,元照出版社1999年版(台北),第231页。
[56] Kindh?user, Urs, Gef?hrdung als Strafrecht. Vittotio Klostermann GmbH. Frankfurt am Main 1989. S.132.
[57] Leary, Mary Graw,The Third Dimension of Victimization. State-Journal of Criminal Law 2016, Vol.13: 1(2016).
[58] 王景中、徐小青编:《计算机通信信息安全技术》,清华大学出版社2006年版,第3-4页。
[59] 许洪杰、李志玲、郑敏编:《计算机应用基础教程》,清华大学出版社2006年,第4页。
[60] 参见涂子沛:《数据之巅》,中信出版社2014年版,第256-257页。
[61] 同前注[58],王景中、徐小青编书,第5-6页。
[62] see Sieber, Ulrich, Informationstechnologie und Strafrechtsreform. Carl Hermanns Verlag KG. K?ln Berlin Bonn München 1985.
[63] OJC 203E, 27.8.2002, p.109-113.
[64] 李茂生:《权力、主体与刑事法——法边缘的论述》,翰芦图书出版有限公司1998年版,第183页。
[65] Jones, Chrisropher, Mobile internetf?hige Ger?te im Strafrecht. Logos Verlag Berlin 2014. S.113-114.
[66] 参见王景中、徐小青:《计算机通信信息安全技术》,清华大学出版社2006年版,第4-6页。
[67] Druey, Jean Nicolas, Information als Gegenstand des Rechts. Schultes Polygraphischer Verlag AG. Zürich 1995. S.6-9; Kloepfer, Michael, Informationsrecht. Verlag C.H.Beck oHG. 2002. S.25.
[68] Lenckner/Eisele in Sch?nke-Schr?der §202a Rn.3.因此在这一部分,信息的概念主要是以二进制的信息系统数据为形式的,这一部分的信息更多是强调其作为第三种存在形式的本质,具体的对象则用数据概念表达。
[69] 例如,德国《刑法》第202b条、第202d条、第303a条、第303b条等几个条文中都明确,其中数据的概念与该法第202a条中所使用的数据概念是相同的,由此形成一个统一的以基本数据概念为核心的体系。
[70] 陈兴良:《规范刑法学》,中国人民大学出版社2008年版,第814页。
[71] Eisele, J?rg, Computer-und Medienstrafrecht. Verlag C.H.Beck oHG. 2013. S.33.
[72] Lackner/Kühl 202a Rn.1;Lenckner/Eisele in Sch?nke/Schr?der 202a Rn 1.
[73] Hilgendorf, Eric/ Valerius, Brian, Computer- und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 161.
[74] 参见前注[2],于志刚文。
[75] 参见前注[11],李源粒文。
[76] Kloepfer, Michael, Informationsrecht. Verlag C.H.Beck oHG. 2002. S.27-28.
[77] Sieber, Ulrich, Informationstechnologie und Strafrechtsreform. Carl Hermanns Verlag KG. K?ln Berlin Bonn München 1985. S.51.
[78] Sieber, Ulrich, Informationstechnologie und Strafrechtsreform. Carl Hermanns Verlag KG. K?ln Berlin Bonn München 1985. S.53.
[79] Hilgendorf, Eric/ Valerius, Brian, Computer-und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 170.
[80] Eisele, J?rg, Computer- und Medienstrafrecht. Verlag C.H.Beck oHG. 2013. S.44.
[81] Eisele, J?rg, Computer- und Medienstrafrecht. Verlag C.H.Beck oHG. 2013. S.45.
[82] 参见于志刚,《论电子邮件的刑法定位》,《法学家》2003年第6期。
[83] 彭珺、高珺:《计算机网络信息安全及防护策略研究》,《计算机与数字工程》2011年第1期。
[84] 金山:《物联网信息安全与隐私保护研究》,《计算机光盘软件》2013年第16期。
[85] 同前注[84],金山文。
[86] Hilgendorf, Eric/ Valerius, Brian, Computer- und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 166.
[87] 高铭暄、马克昌主编:《刑法学》,北京大学出版社2011年第5版,第488页。
[88] Hilgendorf, Eric/ Valerius, Brian, Computer-und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 217;Eisele, J?rg, Computer- und Medienstrafrecht. Verlag C.H.Beck oHG. 2013. S. 87.
[89] Drackert ,Stefan, Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH.Berlin 2015. S.190.
[90] BVerfG Urteil vom 15.12.1999,1 BvR 653/96=BVerfG 101,361.
[91] 该法第28条(3)3(3b)规定,若合同缔结将当事人同意作为条件,如当事人不可能以其他方式或者合理方式获得同等合同给付,则此等境况下的同意无效。
[92] BVerfG Beschluss vom 12.4.2005, 2 BvR 1027/02=BVerfGE 113, 46.
[93] 李适时:《全国人民代表大会法律委员会关于〈中华人民共和国国家安全法(草案)〉修改情况的汇报》,《全国人民代表大会常务委员会公报》2015年第4期。
[94] Art. 3,Bundesdatenschutzgesetz (BDSG).
[95] 李适时:《关于〈中华人民共和国刑法修正案〉(七)(草案)审议结果的报告》,《全国人民代表大会常务委员会公报》2009年第2期。
[96] Gesetzentwurf des Bundesrats vom 10.07.2013,BT-Drs 17/14362.