作者:時延安��,中國人民大學刑事法律科學研究中心主任�����、教授�����。
來源:《江海學刊》2022年第2期。
【摘 要】數(shù)據(jù)安全是一種重要且相對獨立的安全類型�,需要刑法提供充分的規(guī)范供給。刑法能夠提供保護的路徑��,可以概括為三種: 將嚴重違反國家數(shù)據(jù)安全規(guī)制的行為規(guī)定為犯罪; 將非政府組織體不遵守政府監(jiān)管��、造成一定危害后果的行為規(guī)定為犯罪; 將嚴重侵害數(shù)據(jù)權益人的數(shù)據(jù)權益的行為規(guī)定為犯罪�����。在多個路徑中���,制定以保護數(shù)據(jù)權益人為目的的刑法規(guī)范��,需要予以優(yōu)先考慮�����。數(shù)據(jù)已經(jīng)成為重要的產(chǎn)業(yè)資源�����、公共管理資源��,對數(shù)據(jù)權益的保護�,應等同于對物權的保護���,與侵犯財產(chǎn)罪的罪刑設計保持協(xié)調���,如此才能適應數(shù)據(jù)權益保障和數(shù)據(jù)安全保護的現(xiàn)實和未來需要。
【關 鍵 詞】數(shù)據(jù)安全 數(shù)據(jù)權益 安全保護體系 制裁性供給
數(shù)據(jù)安全已成為事關國家安全與經(jīng)濟社會發(fā)展的重大問題; 沒有數(shù)據(jù)安全就沒有國家安全�����。習近平總書記指出: “要切實保障國家數(shù)據(jù)安全����。要加強關鍵信息基礎設施安全保護,強化國家關鍵數(shù)據(jù)資源保護能力���,增強數(shù)據(jù)安全預警和溯源能力���。要加強政策、監(jiān)管���、法律的統(tǒng)籌協(xié)調�,加快法規(guī)制度建設。要制定數(shù)據(jù)資源確權��、開放�����、流通��、交易相關制度��,完善數(shù)據(jù)產(chǎn)權保護制度�。”數(shù)據(jù)的重要性隨著社會經(jīng)濟的發(fā)展日益凸顯���,從一定意義上講����,其已經(jīng)具有生產(chǎn)資料的屬性���,已經(jīng)成為國家重要的戰(zhàn)略資源��。比較其他安全類型���,數(shù)據(jù)安全在國家安全體系中更為基礎����,對其保護所需要的法律制度也更為復雜��,相應地也對刑法提出了更高的規(guī)范供給需求��。
《數(shù)據(jù)安全法》第 3 條規(guī)定�,數(shù)據(jù)是任何以電子或者其他方式對信息的記錄��。從這一定義看���,數(shù)據(jù)安全也可以理解為信息安全�����,而信息安全又可以基于分類涉及不同領域���、不同層面的安全問題?����!稊?shù)據(jù)安全法》在我國法治體系中屬于行政法律��,其總體上是給相關主體設定各類義務以實現(xiàn)對數(shù)據(jù)安全的保護。對數(shù)據(jù)安全的保護�����,不限于這部冠以“數(shù)據(jù)安全”的法律���,實際上任何與信息相關的法律都可以歸入廣義的“數(shù)據(jù)安全保護法”�����?!稊?shù)據(jù)安全法》是從“數(shù)據(jù)處理活動及其安全監(jiān)管”的角度界定數(shù)據(jù)安全��,而對于數(shù)據(jù)交易安全���、數(shù)據(jù)權利等問題只是給予概括性規(guī)定或者沒有明文規(guī)定���。數(shù)據(jù)安全的復雜性,源于信息類型的復雜性��。在信息網(wǎng)絡時代之前���,法律予以保護的信息只限于國家秘密����、商業(yè)秘密和個人隱私信息; 進入信息網(wǎng)絡時代之后,數(shù)字科技的快速發(fā)展極大地提升了信息處理能力���,各類信息被數(shù)據(jù)化后就成為國家社會治理���、產(chǎn)業(yè)發(fā)展乃至國防建設的基礎���,相應地數(shù)據(jù)也就成為重要的產(chǎn)業(yè)資源����、公共管理資源���。
安全目標的實現(xiàn)路徑����,首先要依靠政府的外部規(guī)制��,其次是各類被規(guī)制主體依法履行相應的安全義務�����,再次則是其他主體的積極配合。數(shù)據(jù)安全目標的實現(xiàn)途徑也是如此���,不過��,數(shù)據(jù)安全領域的被規(guī)制主體往往是數(shù)據(jù)處理者�,其被動地履行法律規(guī)定的義務���,只是其發(fā)揮應有作用的一個方面��,更為重要的是�����,如何保障或者促使這類主體維護自身的數(shù)據(jù)利益�,也就是說���,維護數(shù)據(jù)安全���,既要通過政府建立和維護數(shù)據(jù)保護的公共秩序,也要通過構建確認����、維護數(shù)據(jù)權益人的利益���、維護數(shù)據(jù)交易安全的法律制度予以實現(xiàn)。以財產(chǎn)安全的目標實現(xiàn)為例�����,固然需要政府通過治安秩序�、經(jīng)濟秩序的構建和維護來保障各類主體的財產(chǎn)利益,同時也需要通過民事法律確認各類主體的物權��、債權乃至知識產(chǎn)權來維護其財產(chǎn)利益�����,而這些制度強化了相關權利主體維護自身權益的能力����??傮w而言,數(shù)據(jù)安全目標的實現(xiàn)����,需要各類主體相互支撐、相互配合進而形成合力�����。
構建數(shù)據(jù)安全保護的法律體系,作為保障法的刑法自然不能缺位���,也正基于此�����,用于保護數(shù)據(jù)安全的刑法規(guī)范會對應不同的“前置法”規(guī)范����,并以“前置法”所確定義務作為判斷相應犯罪成立的刑事違法性的重要根據(jù)���。從刑法已有“供 給”看����,其提供了多個可用以保護數(shù)據(jù)安全的刑法規(guī)范�����,在一定范圍內可以解決嚴重侵犯數(shù)據(jù)安全行為的定罪問題�����。不過,刑法規(guī)范的適用最終體現(xiàn)為確認某種利益并重申某種價值�����,當某一行為侵犯了多重利益時����,僅適用一個刑法規(guī)范雖然可以解決定罪問題,但不足以形成充分的法律評價����,對未被確認的利益、重申的價值的主體而言����,會形成刑法保護的缺位或不足����,如此也會影響刑罰的一般預防目的的實現(xiàn)。具體到數(shù)據(jù)安全的刑法保護問題���,就需要考慮是否以及如何對數(shù)據(jù)權益人的利益進行刑法保護����,進而從確認數(shù)據(jù)權益人利益的角度維護數(shù)據(jù)安全。本文的研究主題即在于此���。本文的研究思路是��,在對既有數(shù)據(jù)安全保護模式進行分析的基礎上��,歸納已有刑法規(guī)范提供保護的路徑����,進而分析目前保護路徑存在的不足��,并提出解決這一問題的基本思路���。
當今時代安全問題的復雜性與科技迅猛發(fā)展高度相關��,而數(shù)據(jù)安全問題即為典型�。安全問題的復雜性�����,決定了安全目標的實現(xiàn)依靠多元主體共同參與���,而政府的“全能”角色開始向居中運籌的角色轉變���。英國犯罪學學者特雷弗·瓊斯將安全治理分為三個方面: 政府機構之內即由各類警察隊伍和警務提供者進行安全治理; 國家治理之外即由私營警務公司提供商業(yè)化的安全服務; 國家治理之下即由地方性社區(qū)主導的安全授權與供應形式�����。在這樣一個三重的安全治理結構中����,政府就不再是“全能型選手”����,私營公司、社區(qū)也在相當程度上發(fā)揮著安全治理作用��。我國政治�����、社會基本制度明顯區(qū)別于英美等西方國家���,但如果從“公—私”這一維度看,我國的安全治理架構中����,非政府組織體也發(fā)揮一定的作用��。不過�����,總體而言��,非政府組織體的安全治理角色是輔助于或者派生于政府的�����,主要表現(xiàn)就是�����,非政府組織體首先是受政府的行政規(guī)制和行政指導從事安全治理方面的活動����。進言之�,非政府組織體首先是作為義務主體出現(xiàn),而后其可以行使一定的����、針對一定范圍的人或單位的督促權利����。
在上述安全治理模式的歸納中���,實際上忽視了一個重要環(huán)節(jié)���,就是如何看待個人尤其是可能受到犯罪行為侵害的自然人在安全治理當中的地位和作用。自然人在安全治理中�����,往往被視為規(guī)制和保護的對象����,而非參與治理的主體。規(guī)制的對象����,是指法律禁止自然人從事一定的行為,或者規(guī)定自然人在從事一定活動時遵守相應的義務�,此時自然人被確定的義務是具體的; 保護的對象,是指法律對所有私主體提供安全上的保護�����,此類規(guī)定多是原則性的���,自然人的權益是抽象的�����。例如�,《數(shù)據(jù)安全法》第 7 條規(guī)定: “國家保護個人�、組織與數(shù)據(jù)有關的權益,鼓勵數(shù)據(jù)依法合理有效利用�����,保障數(shù)據(jù)依法有序自由流動��,促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟發(fā)展��?����!碑敺纱_認自然人享有某種權利時�����,則一般不會將之與安全問題聯(lián)系起來。然而���,在整個安全治理框架中�,自然人的自我保護對于確保安全目標實現(xiàn)具有重要意義���。自然人的自我保護����,一方面是通過建立有效的防范措施避免受到損害�,另一方面是通過積極主張權利對抗他人的侵權行為。例如��,《個人信息保護法》即確認個人在個人信息處理活動中的權利��,這就有利于發(fā)揮個人的積極性����,進而在一定程度上遏制個人信息濫用等影響個人信息安全的行為。如果將自然人納入安全治理體系當中�,那么就形成“政府—非政府組織體—個人”三個向度相結合的模式。
數(shù)據(jù)安全與網(wǎng)絡安全�����、個人信息安全,是相關���、重疊但不相同的安全領域�。從法律調整類型的角度看��,網(wǎng)絡安全的維護主要依靠行政法律��,其安全保護模式是“行政規(guī)制 + 主體合規(guī)”�,在這一模式中���,被規(guī)制主體的經(jīng)營行為受到明確的法律規(guī)制�,其民事權益并非保護重點����。個人信息安全的保護模式,則表現(xiàn)出雙軌性質: 一方面是法律對個人信息提供者等確定了保護個人信息的義務�,另一方面則賦予個人對其個人信息的權利,后者的意義在于通過個人主張其權利實現(xiàn)�����,防止他人對其個人信息權利予以濫用,進而間接地維護個人信息安全�����。這一模式可以概括為“(行政規(guī)制+ 主體合規(guī)) + 個人權利保護”���,也就是將政府�����、非政府組織體( 主要是個人信息處理者) 和個人三個向度結合起來�。由于《個人信息保護法》立法目的在于“保護個人信息權益�����,規(guī)范個人信息處理活動�����,促進個人信息合理利用”(該法第 1 條) ��,其采取這種模式維護個人信息安全是完全可以理解的���。不過�����,由此而形成的法律解釋上的困惑就是����,個人對其個人信息的權利屬于公法意義上的權利還是民商法意義上的權利? 對此,可以從兩個方面加以理解: 一是從確立個人信息使用的法律秩序來講���,個人的這種權利受到法律的限制���,是一種不完全的權利�,主要表現(xiàn)在,它向公權力部門主張這種權利會受到較大限制(例如該法第 13 條的規(guī)定) ; 二是在平等主體之間���,個人有權依照民事程序維護自己的個人信息權利��。從維護信息安全角度來講�,確認個人具有這種權利��,會為個人主張權利�、促進個人信息處理者保護個人權利、遵從法律規(guī)制��,創(chuàng)造更為有利的社會環(huán)境。將這種權利僅僅限定為一種民事權利來理解�,并不符合現(xiàn)行法律的設定,因為大量個人信息的生成源自政府職能部門行為�,個人無從進行全面支配,因而即便將這種權利歸類為人格權����,也難以否定這一權利所具有的公法特征。
數(shù)據(jù)安全的保護模式��,從《數(shù)據(jù)安全法》的規(guī)定看����,形式上采取前一種模式,并沒有明確規(guī)定被規(guī)制主體的權利類型及內容���,只是籠統(tǒng)地在第 7條中規(guī)定了國家保護“個人�����、組織與數(shù)據(jù)有關的權益”���,而這種權益是否具有一種獨立的權利及其性質,以及個人���、組織如何維護這種權益�����,該法并沒有予以明確����。由于該法屬于行政法律,因而可以理解該法如此規(guī)定的理由���。不過�����,從實踐來看,數(shù)據(jù)權益人對其數(shù)據(jù)的占有�����、使用����、交易是具有獨立性的,只不過相對于個人信息所有者����、行政機關而言��,這種數(shù)據(jù)權不具有絕對權性質�����。從這個角度看�����,如果結合實踐中的做法��,對數(shù)據(jù)安全的保護模式���,也會呈現(xiàn)出“政府—數(shù)據(jù)處理者—數(shù)據(jù)權益人(包括組織、個人) ”三個向度的結合�。
雖然實踐中對數(shù)據(jù)權益人的權益予以承認,國家也相應地設立了數(shù)據(jù)交易平臺����,如貴陽大數(shù)據(jù)交易所,但數(shù)據(jù)權益究竟屬于何種權利��,在法律上尚未做出清晰定位���,相應地��,數(shù)據(jù)權益人維護其權益的方式也存在一定的模糊性���,這也直接影響到刑事案件的認定與處理���。例如,在一些地方���,由于數(shù)據(jù)權益法律性質不清��、邊界不明�,一些網(wǎng)絡數(shù)據(jù)公司在處理數(shù)據(jù)����、數(shù)據(jù)交易上出現(xiàn)了較大風險問題,也引發(fā)了較大的法律爭議���。從維護數(shù)據(jù)安全角度分析,如果數(shù)據(jù)權益人缺乏有效的維護其數(shù)據(jù)權益的法律手段���,也會限制其維護權益的能力���,就會形成數(shù)據(jù)安全保護體系的“短板”�。
對數(shù)據(jù)安全保護模式的結構分析���,其討論路徑屬于犯罪學����,而非規(guī)范法學����,如上分析意在進行法律關系層面的梳理和歸納,進而分析數(shù)據(jù)安全刑法保護的路徑及方式����。“犯罪學對于法學的意義在于�,介紹事實知識和對事實知識的解釋,以及與此相關��,對持規(guī)范思維方式的刑法工作者開啟社會現(xiàn)實之門�。”對數(shù)據(jù)安全保護體系中每個鏈條的梳理�����,相應地就涉及法律關系以及法律規(guī)范的存在形式及其內容,從而就可以形成一個體系化的�����、對應式的思考模式: “安全保護體系→法律規(guī)范體系”�。以這樣的理論進路分析,可以比較清晰地看到兩個體系的關系���,也能比較清晰地看出制度和機制上的“短板”以及“錯位”現(xiàn)象���。
數(shù)據(jù)安全問題是隨著信息網(wǎng)絡技術發(fā)展而快速出現(xiàn)的,因而圍繞數(shù)據(jù)安全而形成的法律關系具有明顯的創(chuàng)設性����,這類法律關系屬于創(chuàng)設性的法律關系。如上所述�����,數(shù)據(jù)安全保護模式存在政府�、數(shù)據(jù)處理者和數(shù)據(jù)權益人三個向度,相應地就會形成五種法律關系: (1) 政府不同層級�、不同職能部門之間; (2) 政府與數(shù)據(jù)處理者; (3) 政府與數(shù)據(jù)權益人; (4) 數(shù)據(jù)處理者之間; (5) 數(shù)據(jù)處理者與數(shù)據(jù)權益人之間��。實踐中很多情況下,數(shù)據(jù)處理者和數(shù)據(jù)權益人是同一的; 當然���,從法律關系角度看�����,處于不同法律關系中�����,其權利和義務是不同的����,因而角色也是不同的����。
在現(xiàn)有法律框架內,第一種法律關系由行政法律規(guī)范進行調整����。刑法對這類關系一般不會予以介入。對第二種法律關系��,政府是依據(jù)法律或者制定行政法規(guī)等來規(guī)制數(shù)據(jù)處理者的活動,例如�,《數(shù)據(jù)安全法》就為政府提供了對數(shù)據(jù)處理者予以行政規(guī)制的法律手段; 當違反行政規(guī)制,造成重大危險或者實害的�,就有可能觸發(fā)刑事責任條款。第三種關系是一種保護性法律關系����,由政府對數(shù)據(jù)權益人提供安全保護,其主要方式包括三種: 一是確認數(shù)據(jù)權益人的利益; 二是通過上述第二種法律關系間接地保護數(shù)據(jù)權益人; 三是對侵犯數(shù)據(jù)權益人利益的行為��,予以法律制裁�,包括行政制裁和刑事制裁。第四種法律關系首先通過民商事法律調整��,對構成侵權且造成嚴重后果的�,在刑法提供規(guī)范供給的情況下,也可能同時作為犯罪予以刑事追究����。這與第三種法律關系的第三種情形是一致的。第五種法律關系首先通過民商事法律調整����,當數(shù)據(jù)處理者侵犯數(shù)據(jù)權益人數(shù)據(jù)權益時,在構成民事侵權的同時�,也可能構成犯罪�����。實踐中很多情況下數(shù)據(jù)權益人也是數(shù)據(jù)處理者,這類情況與第四種法律關系中構成犯罪的情形在處理上是一致的; 當數(shù)據(jù)權益人為非數(shù)據(jù)處理者時�,在刑事責任追究上會存在一定的差異,尤其數(shù)據(jù)權益者為個人的情形�。
法律關系差異,意味著法律關系主體中義務內容存在差異; 由于法律關系受法律規(guī)范調整����,相應的,不同法律關系主體中義務來源就存在差異��。一般而言���,刑法并不提供帶有調整性質的權利和義務規(guī)范����,因而在進行違法性判斷方面����,就需要探討行為人違反義務的類型及內容。對于行政犯罪而言�����,行為人違反何種義務及其法律淵源為何,對定罪具有重要意義��。就數(shù)據(jù)安全而言�,法律所創(chuàng)設的義務,可以區(qū)分為積極義務和消極義務���。(1) 積極義務���,就是要求義務主體主動做出一定行為的義務,對應著法律規(guī)范中的命令性規(guī)范�����。這類義務主要為數(shù)據(jù)處理者設立�����,而數(shù)據(jù)處理者履行這樣的義務���,對內要進行相應合規(guī)建設�,對外則要向政府進行報告等活動��。積極義務的設定,一般針對從事特定行業(yè)或者需要法律授權的領域的主體����。(2) 消極義務,就是要求義務主體不作出一定行為的義務��,對應著法律規(guī)范中的禁止性規(guī)范�。這類義務主要為社會一般主體設定��,有時也會特別強調禁止數(shù)據(jù)處理者濫用數(shù)據(jù)的行為�����?����!稊?shù)據(jù)安全法》為數(shù)據(jù)處理者設定的義務主要是積極義務��,即要求數(shù)據(jù)處理者設立一定的制度�����、機 制����,并按照規(guī)定進行報告等�����,而違反這類義務就會受到一定的制裁(如第 45 條) �����。明晰處于不同法律關系中主體的法律義務來源及其內容�,對理解和判斷相關犯罪成立的刑事違法性具有積極意義���。
從法律關系類型上的差異���,既可以看出相應法律及其規(guī)范類型的不同,也能看出國家在維護數(shù)據(jù)安全方面采取的保護路徑上的差異��。就刑法而言����,在數(shù)據(jù)安全保護方面,在刑法規(guī)范供給上��,也對應著不同的法律關系�����,因而無論在規(guī)范目的設定還是罪狀設計方面,都會采取不同的路徑和方式���。雖然刑法中目前還沒有直接呼應數(shù)據(jù)安全的條款����,但現(xiàn)有刑法條款中基本上可以解決破壞數(shù)據(jù)安全行為的刑事責任追究問題�,換言之,就是現(xiàn)有刑法規(guī)范基本上可以解決各種類型破壞數(shù)據(jù)安全嚴重違法行為的刑事可罰問題��。當然����,對于現(xiàn)有刑法規(guī)范和《數(shù)據(jù)安全法》等行政法律所確定的行政規(guī)制而言�,會形成的一定的“錯位”,簡單地說����,不會形成一一對應關系; 對數(shù)據(jù)安全的保護,會從其他角度如信息安全�����、計算機信息系統(tǒng)安全乃至國家安全、經(jīng)濟安全等予以保護��。
運用現(xiàn)行刑法規(guī)范保護數(shù)據(jù)安全���,結合以上有關法律關系的論述�����,可以運用的刑法規(guī)范包括五種類型����。
一是保護計算機管理秩序和網(wǎng)絡秩序的刑法規(guī)范�,涉及計算機信息系統(tǒng)安全和網(wǎng)絡安全的規(guī)制方面的犯罪類型。前者包括非法侵入計算機信息系統(tǒng)罪(第 285 條第 1 款) ���,非法獲取計算機信息系統(tǒng)數(shù)據(jù)�����、非法控制計算機信息系統(tǒng)罪(第 285條第 2 款) ����,提供侵入����、非法控制計算機信息系統(tǒng)程序�����、工具罪( 第285 條第3 款) ���,破壞計算機信息系統(tǒng)罪(第 286 條之一) ; 后者包括幫助信息網(wǎng)絡犯罪活動罪(第 287 條之二) 。刑法規(guī)定的這些犯罪��,可以用來懲治破壞數(shù)據(jù)安全的手段行為�����,因為數(shù)據(jù)的存儲��、處理等都依賴于計算機信息系統(tǒng)����,非法取得�、篡改、銷毀數(shù)據(jù)等行為直接表現(xiàn)為計算機信息系統(tǒng)的非法侵入�����、非法控制或者侵入后獲取數(shù)據(jù)。同樣�,數(shù)據(jù)的傳輸、遠程進入等���,都可以通過網(wǎng)絡來實現(xiàn)�,因而為他人實施信息網(wǎng)絡犯罪活動提供數(shù)據(jù)處理服務的�����,就可以根據(jù)幫助信息網(wǎng)絡犯罪活動罪定罪處罰����。以這類刑法規(guī)范應對破壞數(shù)據(jù)安全的犯罪,存在三點不足�。(1) 這類刑法規(guī)范只能對數(shù)據(jù)安全提供間接的保護,因為這類犯罪的行政違法性主要涉及對計算機信息系統(tǒng)安全進行規(guī)制的法律和行政法規(guī)����,如《中華人民共和國計算機信息系統(tǒng)安全保護條例》,而不是對數(shù)據(jù)安全進行規(guī)制的法律(包括《數(shù)據(jù)安全法》) 和行政法規(guī)�。(2) 這類犯罪被歸類為擾亂公共秩序的犯罪,因而其保護客體并不包括數(shù)據(jù)權益人的財產(chǎn)權利或者其他商業(yè)利益���。以這類犯罪追究行為人的刑事責任��,對被害人的利益并未給予確認�����,被害人也無法依照附帶民事訴訟主張其權益并求得賠償�。(3) 這類犯罪的法定刑總體上較低。當行為人以非法獲取計算機信息系統(tǒng)數(shù)據(jù)等方式取得數(shù)據(jù)或者利用�����、銷毀數(shù)據(jù)���,造成破壞數(shù)據(jù)安全嚴重后果的�����,以這類犯罪定罪量刑��,而從行為人所造成的損失等危害后果看,以這類犯罪定罪處罰�,會存在一定的不均衡現(xiàn)象。
二是保護政府對網(wǎng)絡服務提供者進行監(jiān)管的秩序的刑法規(guī)范��。涉及的罪名就是拒不履行信息網(wǎng)絡安全管理義務罪(第 286 條) 。該罪的定罪結構����,比較典型地體現(xiàn)了上述第二種法律關系, 即: 行政性法律法規(guī)為網(wǎng)絡服務提供者規(guī)定了規(guī)制性義務�����,且是以積極義務的形式出現(xiàn)的; 當網(wǎng)絡服務提供者違反這類義務時�,政府職能部門(即監(jiān)管部門) 責令整改; 網(wǎng)絡服務提供者拒不整改,造成嚴重的法定后果時�����,其行為即構成犯罪����。在這樣的定罪結構中,網(wǎng)絡服務提供者違反了兩層義務����,即法律為其設定的一般性的、當為的義務和監(jiān)管部門依法為其設定的整改義務����。由于該罪的定罪情節(jié)主要是信息的傳播����、泄露����、滅失等情形,而數(shù)據(jù)就是信息的記錄(《數(shù)據(jù)安全法》第 3 條第1 款) �����,網(wǎng)絡服務提供者同時也是數(shù)據(jù)處理者���,因而該罪可以直接用來解決這類主體實施破壞數(shù)據(jù)安全的行為��。該罪的立法�����,體現(xiàn)了犯罪治理思路的一種轉變���,就是為關鍵主體即網(wǎng)絡平臺創(chuàng)設積極的風險防控義務,通過“規(guī)制—違反規(guī)制—制 裁”這一路徑來實現(xiàn)安全治理目標��。不過�����,通過這一路徑維護數(shù)據(jù)安全�,也存在兩點不足。(1)該罪的設立意在維護網(wǎng)絡安全��,而網(wǎng)絡安全與數(shù)據(jù)安全在保護范圍上雖然存在相當大的重疊部分�,但兩者畢竟存在一定的差異,主要表現(xiàn)在相應的“前置法”所設定義務的內容上存在差異��。這在具體案件的違法性判斷上會有所體現(xiàn)����。(2) 網(wǎng)絡服務提供者肯定是數(shù)據(jù)處理者,但數(shù)據(jù)處理者的范圍也包括非網(wǎng)絡服務提供者�����,當這類主體違反有關數(shù)據(jù)保護的積極義務時����,是無法適用該罪的。該罪主體只限于非政府組織體和個人�����,而數(shù)據(jù)處理者中包含政府職能部門,對政府職能部門中的自然人是無法適用該罪的���。
三是保護個人信息的刑法規(guī)范����。涉及的罪名就是侵犯公民個人信息罪(第 253 條之一) ��。從信息和數(shù)據(jù)的關系看����,個人信息也就是個人數(shù)據(jù),因而非法向他人出售或者提供的數(shù)據(jù)����,如果記錄的是“與已識別或者可識別的自然人有關的各種信息”(《個人信息保護法》第 4 條第 1 款) ,就可以根據(jù)該罪追究刑事責任����。由于《個人信息保護法》已經(jīng)明確將“個人對個人信息處理活動的權利”規(guī)定為一種獨立的權利,因而將該罪理解為侵犯個人權利的犯罪并無不妥����,而這種權利兼有公法和私法性質。如此理解�,也可以和《數(shù)據(jù)安全法》第 7 條相聯(lián)系�����。不過,依循該路徑處理也存在兩點不足: (1) 這里的個人信息�,不包括匿名化處理后的信息,因而如果行為人非法出售���、提供匿名化處理的信息����,就不能以該罪處理��。在實踐中����,一些地方司法機關曾將提供、出售匿名化處理的信息作為侵犯公民個人信息罪追究刑事責任的情況�,這種做法顯然是錯誤的。(2) 以該罪處理�����,個人信息權利人也無法提起附帶民事訴訟���。刑事訴訟法有關附帶民事訴訟提起的實體條件是����,“被害人由于被告人的犯罪行為而遭受物質損失” (第 101 條) ,而自然人以侵犯個人信息為由主張權利�����,只能提出類似于民法中停止損害之類的請求��,而個人提出損害賠償?shù)脑V訟則難以得到認可���,理由在于: 如果將這類權利視為民法中的非人身性的人格權����,個人信息權利人請求賠償是以精神損害賠償形式來進行���,而不能以造成“物質損失”要求賠償����,這顯然不符合現(xiàn)行刑事訴訟法規(guī)定的附帶民事訴訟的實體條件�,因而無法提起附帶民事訴訟。
四是保護國家秘密、國有檔案的刑法規(guī)范�。前者涉及的罪名包括為境外竊取、刺探�、收買、非法提供國家秘密��、情報罪(第 111 條) ���,非法獲取國家秘密罪和非法持有國家絕密、機密文件����、資 料、物品罪(第 282 條) �����,故意泄露國家秘密罪�、過失泄露國家秘密罪(第 398 條) ; 后者刑法規(guī)范涉及的罪名包括搶奪、竊取國有檔案罪和擅自出賣�����、轉讓國有檔案罪(刑法第 329 條) ; 國家秘密�、國有檔案,都可能以數(shù)據(jù)形式存在,當行為人非法處理屬于這兩類對象的數(shù)據(jù)時�����,相應地就可以根據(jù)上述兩種刑法規(guī)范追究刑事責任�。這兩種數(shù)據(jù)對應不同的安全類型: 國家秘密對應國家安全,國有檔案對應國家信息安全���。這也再次說明��,數(shù)據(jù)安全與其他安全類型在保護范圍上存在明顯的交叉和重疊��。以上述刑法規(guī)范保護數(shù)據(jù)安全也存在不足����,主要表現(xiàn)在對涉及非法擅自收集�����、買賣公共領域大數(shù)據(jù)的行為���,無法適用這些刑法規(guī)范����。例如,未經(jīng)許可收集城市地理數(shù)據(jù)���、公共交通數(shù)據(jù)����、醫(yī)療數(shù)據(jù)等行為���,即無法適用這類刑法規(guī)范����。
五是保護商業(yè)秘密的刑法規(guī)范��。涉及的罪名包括侵犯商業(yè)秘密罪(第 219 條) ����,為境外竊取�、刺探、收買�����、非法提供商業(yè)秘密罪(第 219 條之一) ����。商業(yè)秘密對應經(jīng)濟安全和企業(yè)經(jīng)營安全��。與個人信息相比較�����,商業(yè)秘密是組織體的信息�����,屬 于“不為公眾所知悉�、具有商業(yè)價值并經(jīng)權利人采取相應保密措施的技術信息���、經(jīng)營信息等商業(yè)信息”(《反不正當競爭法》第 9 條第 4 款) ����。從現(xiàn)實情況看�����,商業(yè)秘密數(shù)據(jù)已經(jīng)成為市場主體的重要資源���,對于從事信息網(wǎng)絡服務的企業(yè)而言���,數(shù)據(jù)安全是其生命線�����?����?梢哉f�����,維護經(jīng)濟領域的數(shù)據(jù)安全���,主要是維護市場主體的經(jīng)營安全。從這個角度看�,這類刑法規(guī)范是懲治侵犯企業(yè)數(shù)據(jù)權益以及經(jīng)營安全的一個較為有力的法律武器����。不過,這類刑法規(guī)范在保護市場主體數(shù)據(jù)權益和經(jīng)濟安全方面也存在“短板”�,主要表現(xiàn)在,刑法將這類規(guī)范置于“侵犯知識產(chǎn)權罪”一節(jié)中���,而商業(yè)數(shù)據(jù)的財產(chǎn)屬性要遠高于人身屬性��,或者也可以說�,從目前經(jīng)濟活動看商業(yè)數(shù)據(jù)的價值屬性更接近于物權,而且其商業(yè)價值會隨著信息網(wǎng)絡技術的發(fā)展和應用而不斷上升���。將侵犯商業(yè)數(shù)據(jù)的犯罪與侵犯知識產(chǎn)權罪進行同等保護���,并不能妥當?shù)卦u價其危害程度。
以上對現(xiàn)行刑法中可以用于保護數(shù)據(jù)安全的刑法規(guī)范進行梳理�、分類,意在說明刑法規(guī)范可能提供的保護路徑��。由于數(shù)據(jù)安全的保護范圍與國家安全�����、經(jīng)濟安全���、信息安全等保護范圍存在較大重疊����、交叉��,因而上述列舉刑法規(guī)范基本上可以為維護數(shù)據(jù)安全提供刑事制裁工具。當然���,已有刑法規(guī)范受其規(guī)范目的限制�,依照這些刑法規(guī)范����,對破壞數(shù)據(jù)安全的行為進行處理,會存在一定的錯位和不協(xié)調的問題��。由立法者通過對上述刑法規(guī)范的構成要件進行必要調整���,就可以解決大部分的錯位問題�。通過上述梳理���,也會發(fā)現(xiàn)��,已有刑法規(guī)范多側重于保護國家法益和社會法益�,而對個體法益的保護相對較弱�,提供的規(guī)范供給較為單一�。
既然數(shù)據(jù)安全是一種重要且相對獨立的安全類型,就需要刑法提供較為充分的規(guī)范供給����,以適應數(shù)據(jù)安全保護的需要����。刑法能夠提供保護的路徑��,可以概括為三種: 將嚴重違反國家數(shù)據(jù)安全規(guī)制的行為規(guī)定為犯罪; 將非政府組織體不遵守政府監(jiān)管�、造成一定危害后果的行為規(guī)定為犯罪; 將嚴重侵害數(shù)據(jù)權益人的數(shù)據(jù)權益的行為規(guī)定為犯罪。上文歸納的五類刑法規(guī)范就可以分別歸入這三條路徑當中��。如果依照《數(shù)據(jù)安全法》的思路調整刑法規(guī)范����,就傾向于用前兩條路徑; 而從建立持久、有效的數(shù)據(jù)安全保護體系的需要看����,第三條路徑即確認和維護個人法益保護路徑則是更為重要的選項?��?紤]到現(xiàn)有刑法規(guī)范在一定范圍內能夠提供依循前兩條路徑而制定刑法規(guī)范��,在第三條路徑上積極作為�����,是更為迫切需要解決的問題���。
如上所述��,一個完善的安全保護體系�,僅僅靠政府是遠遠不夠的����,當代的安全保護體系建設,更應發(fā)揮非政府組織體�、個人的作用。就數(shù)據(jù)安全保護體系而言��,如何發(fā)揮數(shù)據(jù)權益人自我保護的積極性�����,關鍵是要確認其權益的屬性并賦予其自我保護的能力和尋求救濟的渠道���。以個人信息安全為例���,在《個人信息保護法》出臺之前,無論是《網(wǎng)絡安全法》還是《民法典》,都沒有明確個人對個人信息享有的權利內容��,后者也只是規(guī)定個人信息決定權項(《民法典》第 1037 條) ����,因而當其權益受到損害時����,其通過民事訴訟方式尋求救濟的可能性較小,只能尋求公安等機關�、網(wǎng)絡服務提供者給予幫助; 在《個人信息保護法》施行后,由于法律明文確認其權利及其權能��,因而個人就可以依法主張其權益�,當個人信息處理者損害個人信息權利時,個人可以通過提起訴訟的方式予以解決�。比喻而言,確認個人權利����,就為個人維護其利益提供了“盔甲”和“武器”,而個人對其利益維護的能力和積極性得以提升����,就將個人信息安全體系建設中最大規(guī)模的個體性力量的積極性調動起來。同理,對于數(shù)據(jù)安全保護體系的建設��,確認和維護數(shù)據(jù)權益人(包括自然人和組織體) 的權益����,并賦予其維護自身權益的“盔甲”和“武器”,也會促使整個數(shù)據(jù)安全保護體系得以完善����。
本文第三部分提到,現(xiàn)行法律對數(shù)據(jù)權益人的權益確認和維護����,主要體現(xiàn)在兩個方面,即個人對個人信息處理活動的權利和商業(yè)秘密����,前者可以用來保護個人數(shù)據(jù)權益,后者可以用來保護公司企業(yè)等組織體的數(shù)據(jù)權益����。迄今為止,法律并沒有將對數(shù)據(jù)的合法占有�、使用等權益確認為一項獨立的權利。就刑法來講����,目前能夠提供的“制裁性供給”限于侵犯公民個人信息罪��、侵犯商業(yè)秘密罪和為境外竊取�����、刺探、收買��、非法提供商業(yè)秘密罪�。可以說���,這三個罪在一定范圍上可以解決嚴重侵犯數(shù)據(jù)權益人權益行為的定罪問題�。不過��,這三個罪提供的“供給”是不充分的��,主要表現(xiàn)在兩個方面�。(1) 從現(xiàn)實看,數(shù)據(jù)具有明顯的財產(chǎn)屬性���,而個人對其信息的權利���,無論從人格權來理解�����,還是從公法權利來理解����,都不具有財產(chǎn)性����。以侵犯公民個人信息罪處理嚴重侵犯個人數(shù)據(jù)的行為,無法評價該行為對權利人財產(chǎn)權益的損害�。(2) 商業(yè)秘密具有一定的財產(chǎn)屬性,但從刑法提供保護的等級看�,對知識產(chǎn)權的保護要弱于對物權的保護,因而對組織體的數(shù)據(jù)權益���,按照商業(yè)秘密予以保護�,不能充分評價商業(yè)數(shù)據(jù)的財產(chǎn)價值�,也不能合理地體現(xiàn)商業(yè)數(shù)據(jù)在市場經(jīng)濟活動中的重要性。
認識到現(xiàn)行刑法規(guī)范保護個體數(shù)據(jù)權益方面存在的不足�,刑法立法有必要因勢而動,為數(shù)據(jù)安全刑法保護體系補齊短板�����。實現(xiàn)數(shù)據(jù)安全保護目標,完善刑法的重點在于�����,如何理解數(shù)據(jù)權益的法律屬性�。對于數(shù)據(jù)權益的法律屬性,民法學界存在不同認識��,民事立法如何選擇���,對刑法立法和解釋確實會產(chǎn)生一定的影響。在數(shù)據(jù)的法律定性上��,存在著自然屬性和價值屬性的協(xié)調問題��,從自然屬性分析����,數(shù)據(jù)確實不同于傳統(tǒng)意義上“物”或者“財物”,因為其產(chǎn)生�����、使用和滅失的方式不同于后者,而且其具有可復制性; 從價值屬性看����,其作為重要的商業(yè)資源,已經(jīng)具有不亞于其他資源的價值��,且可以進行交換���。如果從可復制性和財產(chǎn)性的角度分析�����,數(shù)據(jù)的屬性更接近于工業(yè)產(chǎn)權����。不過����,從刑法保護程度來看,對物權的保護要比知識產(chǎn)權的保護更為充分�,主要表現(xiàn)在兩個方面: 一是對侵犯以物權為主的財產(chǎn)權的犯罪,刑事制裁要更為嚴厲; 而對侵犯知識產(chǎn)權犯罪����,雖然最近的一次刑法修正����,即《刑法修正案(十一) 》�,提高了多個侵犯知識產(chǎn)權犯罪的法定刑,但總體上仍比侵犯財產(chǎn)罪的法定刑要低很多��。由此產(chǎn)生的問題就是����,侵犯知識產(chǎn)權犯罪的一般威懾效果要弱于侵犯財產(chǎn)罪,這在一定程度上會影響到犯罪預防的效果�����。二是侵犯財產(chǎn)罪的罪名體系更為完善�,其主要是以侵犯財產(chǎn)權的行為不同進行分類的; 而侵犯知識產(chǎn)權罪則是以侵犯知識產(chǎn)權的權利類型進行分類的�����。后者所產(chǎn)生的問題就是�,對以不同手段實施的侵犯知識產(chǎn)權行為,在法律評價上并無差異�。以侵犯商業(yè)秘密罪為例,《刑法》 第 219 條第 1 款第 1 項規(guī)定的以盜竊�����、賄賂、欺詐�、脅迫、電子侵入侵犯商業(yè)秘密的�,其可譴責程度要高于違反保密義務使用商業(yè)秘密的行為,但二者在刑事制裁上并沒有明顯區(qū)分���。具體到侵犯公司企業(yè)數(shù)據(jù)權益的行為來講�����,在大數(shù)據(jù)已經(jīng)成為公司企業(yè)的主要資源的情況下���,運用現(xiàn)行刑法規(guī)定的侵犯商業(yè)秘密罪追究刑事責任,既存在實質上的罪刑不均衡問題���,也不易形成一般威懾效果�����,更不利于形成良好的社會效果����,即積極的一般預防效果。
考慮到現(xiàn)有刑法規(guī)范存在“供給不充分”的問題���,刑法應當適時進行調整�。比較妥當?shù)姆绞?����,就是在刑法分則侵犯財產(chǎn)罪中規(guī)定侵犯數(shù)據(jù)權益犯罪����,根據(jù)行為方式設計多個構成要件并配置存在區(qū)分且具有比例關系的法定刑。如此修改會形成四個法律上的變化�����,當然也會出現(xiàn)一定的爭議����。(1)將數(shù)據(jù)權作為“類物權”����、等同于物權予以保護?�!邦愇餀唷保@里指不具有物權的全部特征���,但其權利客體具有明顯的財產(chǎn)性����,其價值重要性不弱于物權�。刑法作為保護法,在保護“類物權”方面�,不需要與民法對這類權益所確定的法律屬性完全一致。而考慮到刑法對數(shù)據(jù)權保護的重要意義���,將其與物權予以同等保護確實十分必要��,符合刑法第 5 條罪責刑相適應原則的要求��。(2) 對侵犯商業(yè)秘密罪的規(guī)定不做調整�����,如此會與新罪存在一定法條競合的現(xiàn)象�。雖然從刑法立法來講�,應盡可能避免法條競合現(xiàn)象的出現(xiàn),但考慮到維護數(shù)據(jù)安全的特殊性和維護數(shù)據(jù)權益人的財產(chǎn)利益的需要,規(guī)定新的犯罪類型并無不妥�。(3)侵犯數(shù)據(jù)權益的犯罪是一個“罪群”,在立法表達上應包括多個構成要件��,形成多個罪名�����。其理由在于��,以不同手段實施侵犯數(shù)據(jù)權益的行為���,其危害程度和可譴責程度是不一樣的��,因而同樣基于罪責刑相適應原則的考量���,應規(guī)定具有不同法定刑的多個犯罪。(4) 在法律沒有明確規(guī)定數(shù)據(jù)權的情況下�����,如果在刑法中先行規(guī)定以保護數(shù)據(jù)權益為目的的犯罪類型���,是否“僭越”了“前置法”?這種擔心是有道理的。不過,從以往刑法立法實踐看����,有些刑法條文已出臺,但其前置法出臺相對滯后�。例如,侵犯公民個人信息的犯罪��,早在2009 年《刑法修正案(七) 》就作出了相應的規(guī)定�,無論是《網(wǎng)絡安全法》(2016年) ,還是《民法典》(2020 年) �����、《個人信息保護法》(2021年) 對公民個人信息的法律規(guī)定都明顯滯后�����?��!扒爸梅ā币?guī)定相對滯后���,對理解法律規(guī)范目的及犯罪客體產(chǎn)生一定影響,但是總體上看并不會影響法律的實施效果���。從維護數(shù)據(jù)安全的必要性考慮����,在“前置法”沒有明確數(shù)據(jù)權益法律屬性的情況下,在刑法中先行規(guī)定侵犯數(shù)據(jù)權益的犯罪并無不妥�����。
當代安全體系的建立與完善��,應充分發(fā)揮各類主體的作用和積極性�,通過明晰不同主體的權力(或權利) 和義務,進而形成完備的法律規(guī)范體系�。刑法在安全體系構建中提供不可或缺的“制裁性供給”,當這類供給不足或者錯位時�,會在一定程度上影響整個安全體系的功效。數(shù)據(jù)安全是新的安全類型����,構建數(shù)據(jù)安全保護體系,同樣要充分認識刑法的地位和作用; 從維護數(shù)據(jù)安全的目標出發(fā)�,要在充分發(fā)揮現(xiàn)有刑法規(guī)范的效能的基礎上,根據(jù)需要調整刑法立法�����。從構建完善的數(shù)據(jù)安全保護體系的角度看,在刑法能夠提供保護的多個路徑中����,優(yōu)先解決個體性數(shù)據(jù)權益保護問題至關重要�,從政策上講,也是調動數(shù)據(jù)權益人主動維護數(shù)據(jù)安全積極性的一個應有選項�。
數(shù)字時代的到來,要求我們不斷轉化����、更新已有認知,因時因勢地理解和應對數(shù)字時代的犯罪樣態(tài)及其危害方面的變化���。數(shù)據(jù)正在成為這個時代最為重要的經(jīng)濟資源���、社會資源和治理資源。保護數(shù)據(jù)安全����,就要重新審視其價值和重要性,在刑法保護的設計中既要考慮路徑的多樣性�����,也要考慮保護路徑的匹配性。在這個意義上講��,刑法將數(shù)據(jù)權益等同于物權予以保護���,就顯得尤為必要和緊迫�����,如此才能適應數(shù)據(jù)權益保障和數(shù)據(jù)安全保護的現(xiàn)實和未來需要�����。
分享到:
免責聲明:本網(wǎng)部分文章和信息來源于國際互聯(lián)網(wǎng)���,本網(wǎng)轉載出于傳遞更多信息和學習之目的。如轉載稿涉及版權等問題���,請立即聯(lián)系網(wǎng)站所有人��,我們會予以更改或刪除相關文章��,保證您的權利����。