互聯(lián)網(wǎng)法治 | 數(shù)字經(jīng)濟時代數(shù)據(jù)犯罪規(guī)制的司法進路

本文為《中國審判》雜志原創(chuàng)稿件

文 | 黑龍江省寧安市人民法院 王志琨

吉林大學法學院 呂佳宣

隨著數(shù)字經(jīng)濟時代的到來，對于數(shù)據(jù)犯罪的規(guī)制和認定，應(yīng)同時滿足數(shù)據(jù)安全與數(shù)據(jù)共享兩方面的需求。當下我國對數(shù)據(jù)犯罪的規(guī)制模式是權(quán)利保護模式，體現(xiàn)為“刑法先行”的規(guī)制理念和“絕對權(quán)”的保護模式。這一規(guī)制模式在一定程度上實現(xiàn)了刑法對于數(shù)據(jù)安全的保護，但也導(dǎo)致在司法實踐中數(shù)據(jù)概念和數(shù)據(jù)安全法益的擴大化，難以適應(yīng)數(shù)字經(jīng)濟時代的要求。為解決這一問題，在司法層面可做以下嘗試：第一，應(yīng)當面向數(shù)字經(jīng)濟時代對于數(shù)據(jù)安全與流通的需要，重新限定數(shù)據(jù)安全法益的地位與內(nèi)涵；第二，應(yīng)當立足于數(shù)字經(jīng)濟時代數(shù)據(jù)治理的要求，明確刑法的保障法地位，以前置法的相應(yīng)規(guī)定為參考，進一步完善數(shù)據(jù)犯罪的罪質(zhì)、罪量認定標準。

01

現(xiàn)有數(shù)據(jù)犯罪規(guī)制模式考察

刑法關(guān)于數(shù)據(jù)安全的保護模式可分為數(shù)據(jù)控制安全保護模式和數(shù)據(jù)利用安全保護模式，我國采用的是前一模式。這一劃分的主要依據(jù)是數(shù)據(jù)安全的不同內(nèi)容。筆者將從立法和司法層面對數(shù)據(jù)犯罪規(guī)制模式進行考察。

從立法層面考察，數(shù)據(jù)犯罪的規(guī)范條文具有以下特點：第一，從罪名分布來看，《中華人民共和國刑法》（以下簡稱《刑法》）對于數(shù)據(jù)犯罪并未予以專章規(guī)定，數(shù)據(jù)犯罪的相關(guān)罪名散見于《刑法》的各個章節(jié)。第二，從立法沿革來看，數(shù)據(jù)犯罪的規(guī)制主體從個人擴展至企業(yè)，規(guī)制行為從單純的破壞行為擴展至獲取行為，刑事立法對數(shù)據(jù)犯罪的規(guī)制范圍呈擴張態(tài)勢。第三，從具體條文來看，《刑法》只有兩個罪名明確提及“數(shù)據(jù)”，其他罪名多采取“信息”的表述，或基于相關(guān)司法解釋構(gòu)建起與數(shù)據(jù)的關(guān)聯(lián)。

從司法層面考察，以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪為例，數(shù)據(jù)犯罪的司法認定具有以下特征：一是數(shù)據(jù)范圍寬泛化。司法判決中涉及的數(shù)據(jù)類型既包括虛擬貨幣、快遞運單、支付憑證等，也包括直播過程中產(chǎn)生的直播數(shù)據(jù)等新興數(shù)據(jù)類型。數(shù)據(jù)概念在司法實踐中被廣義適用，已經(jīng)遠遠超出了身份認證信息的范疇，并隨著直播經(jīng)濟等網(wǎng)絡(luò)經(jīng)濟新形態(tài)的出現(xiàn)而進一步呈現(xiàn)擴張態(tài)勢。二是行為類型復(fù)雜化。傳統(tǒng)模式是行為人直接獲取信息后轉(zhuǎn)賣牟利，近年來，則出現(xiàn)了對數(shù)據(jù)獲取后進行增加、刪除、修改以牟利的行為模式，其難以被《刑法》所規(guī)定的“獲取”行為有效涵蓋，從而產(chǎn)生規(guī)制漏洞。三是重視數(shù)據(jù)經(jīng)濟價值。在司法實踐中，違法所得數(shù)額是該罪定罪量刑的重要標準，“退賠”“賠償公司損失并取得公司諒解”“退還公司贓款”或向有關(guān)部門“退繳違法所得”是量刑的重要考量因素。據(jù)此，在司法實務(wù)中對于數(shù)據(jù)犯罪從單一規(guī)制轉(zhuǎn)向兼顧受害人損失填補，體現(xiàn)了從單純的權(quán)利保護到重視數(shù)據(jù)經(jīng)濟流通價值的轉(zhuǎn)變。

基于以上考察，筆者認為，根據(jù)我國現(xiàn)有數(shù)據(jù)犯罪規(guī)制的保護法益、規(guī)制行為和根本目的，當下數(shù)據(jù)犯罪的規(guī)制模式應(yīng)該采用權(quán)利保護模式，即通過判斷數(shù)據(jù)權(quán)利的歸屬、獲取數(shù)據(jù)行為的合法性認定數(shù)據(jù)犯罪。

02

現(xiàn)有數(shù)據(jù)犯罪規(guī)制模式存在的問題

（一）現(xiàn)有數(shù)據(jù)安全法益內(nèi)涵與數(shù)字經(jīng)濟發(fā)展需求不匹配

傳統(tǒng)數(shù)據(jù)安全法益確立了以安全邊界防護為核心的理論體系，其核心屬性是數(shù)據(jù)的“專有性”與“排他性”，以主體對數(shù)據(jù)的控制這一絕對權(quán)為基本內(nèi)涵。基于這一理念，對數(shù)據(jù)安全的保護應(yīng)立足于主體對數(shù)據(jù)的排他控制，并以數(shù)據(jù)權(quán)屬為依據(jù)，劃定數(shù)據(jù)安全的保護范圍。以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪為例，一方面，將數(shù)據(jù)類型限定為可識別的身份認證信息及計算機系統(tǒng)存儲的數(shù)據(jù)，以此來保證數(shù)據(jù)權(quán)益主體的可確定性。另一方面，以“侵入”作為入罪條件，“未授權(quán)”作為入罪前提，以數(shù)據(jù)權(quán)利主體的控制范圍為半徑來劃定數(shù)據(jù)的保護場域。對于數(shù)據(jù)類型和權(quán)利主體的劃定，體現(xiàn)了數(shù)據(jù)犯罪規(guī)制的邊界防護理念，符合權(quán)利保護模式的基本特征。

然而，隨著數(shù)字經(jīng)濟的發(fā)展，數(shù)據(jù)日益成為一種新型生產(chǎn)要素，在流通、交易的過程中體現(xiàn)價值。數(shù)字經(jīng)濟不同場景中的數(shù)據(jù)是高速流轉(zhuǎn)而非靜態(tài)的，尤其對于“區(qū)塊鏈”“云計算”“人工智能”等產(chǎn)業(yè)而言，數(shù)據(jù)共享更是其運行的底層邏輯與產(chǎn)業(yè)發(fā)展基礎(chǔ)。一方面，傳統(tǒng)“計算機信息系統(tǒng)”的載體限制被打破，數(shù)據(jù)的載體形式拓展至手機、傳感器甚至是“云存儲”端；另一方面，數(shù)據(jù)“存儲、處理或者傳輸”的狀態(tài)限定被打破，數(shù)字經(jīng)濟場景下的數(shù)據(jù)以人際共享、有償轉(zhuǎn)讓、跨境傳播等多元形式存在，而非局限于“存儲、處理或者傳輸”。基于此，側(cè)重于保護靜態(tài)數(shù)據(jù)安全的傳統(tǒng)數(shù)據(jù)安全法益理念已難以實現(xiàn)對數(shù)據(jù)利益的有效保護。

因此，越來越多的學者主張賦予數(shù)據(jù)安全法益新的內(nèi)涵，即對于數(shù)據(jù)安全的保護，應(yīng)從“控制安全”轉(zhuǎn)向“利用安全”，從而“兼顧數(shù)據(jù)主體的利益和數(shù)據(jù)利用者的利益，以盡可能釋放數(shù)據(jù)所蘊含的社會價值”，進而主張在《刑法》條文中設(shè)置系統(tǒng)、獨立的數(shù)據(jù)安全保護條文。不可否認的是，將“利用安全”納入數(shù)據(jù)安全的概念確實能在一定程度上緩解靜態(tài)數(shù)據(jù)安全觀帶來的問題，但仍存在疑問：首先，從可操作性來看，“利用安全”傾向于進行立法層面的修改，通過增設(shè)罪名及調(diào)整現(xiàn)有的構(gòu)成要件來實現(xiàn)對數(shù)據(jù)安全的周延保護。誠然，刑事立法因應(yīng)數(shù)字技術(shù)的發(fā)展作出適當調(diào)整存在合理性，但數(shù)字經(jīng)濟場景下的數(shù)據(jù)犯罪類型層出不窮，而刑事立法則具有滯后性，僅通過刑事立法上的不斷修改來實現(xiàn)對數(shù)據(jù)犯罪行為的周延規(guī)制是不現(xiàn)實的。其次，從邏輯層面來看，并不是以“利用安全”替換“控制安全”，而是試圖將“利用安全”與“控制安全”統(tǒng)合于數(shù)據(jù)安全的概念之下，但數(shù)據(jù)的共享與流通就是要打破數(shù)據(jù)擁有者的控制與壟斷，將在邏輯上相互對立的二者完美地融合，在具體操作層面是難以實現(xiàn)的。

綜上所述，現(xiàn)有數(shù)據(jù)安全法益內(nèi)涵難以有效匹配數(shù)字經(jīng)濟發(fā)展需求。或失之過窄，無法實現(xiàn)對數(shù)據(jù)安全的周延保護；或失之過寬，無法滿足數(shù)字技術(shù)的發(fā)展要求。

（二）《刑法》對數(shù)據(jù)犯罪的規(guī)制與前置法未實現(xiàn)有效銜接

在社會治理中，《刑法》更多是扮演“壓艙石”的角色，為行政規(guī)制、公民自治等其他社會治理方式提供兜底補充。同樣的，在數(shù)據(jù)治理中，《刑法》也應(yīng)當處理好與前置法之間的關(guān)系。然而，從我國數(shù)據(jù)犯罪的規(guī)制實踐來看，并未實現(xiàn)《刑法》與前置法之間的有效銜接。

一方面，立法層面存在“刑法先行”傾向。比如，從罪狀描述來看，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的違法性判斷要求“違反國家規(guī)定”，而作為前置法的《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國電子商務(wù)法》《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）對數(shù)據(jù)的收集、利用行為的要求過于模糊而缺乏可操作性，與之配套的平臺協(xié)議、數(shù)字技術(shù)措施和行業(yè)規(guī)定等數(shù)據(jù)訪問規(guī)則將違法性判斷聚焦于有無“授權(quán)”，但此類依照數(shù)據(jù)網(wǎng)站的主觀意愿、通過授權(quán)協(xié)議或技術(shù)措施表達出來的數(shù)據(jù)訪問規(guī)則，缺乏立法保障和監(jiān)管機構(gòu)的指引，能否作為及如何作為數(shù)據(jù)犯罪成立的判斷是值得商榷的，導(dǎo)致我國司法實踐對于“獲取”行為的認定存在分歧。

另一方面，司法層面未充分考慮前置法作用。比如，對于已公開個人信息是否屬于侵犯公民個人信息罪的行為對象，在司法實踐中存在較大爭議。有觀點認為，需要根據(jù)個人信息公開的原因進行區(qū)分，對于權(quán)利人自愿公開的個人信息，經(jīng)收集、整理后向他人出售的行為并不構(gòu)成侵犯公民個人信息罪。但實際上，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第十三條已經(jīng)將依法公開的個人信息數(shù)據(jù)作為“知情—同意”原則的例外予以規(guī)定。基于促進信息數(shù)據(jù)的合理流動和高效利用的立法目的，對已公開個人信息的處理行為原則上無須取得個人同意。因此，對于合法公開的個人信息，雖然在《刑法》中也屬于個人信息，但對此類信息的收集、獲取通常不具有違法性，因此，在司法認定中無須將其作為侵犯公民個人信息罪的對象。

03

數(shù)字經(jīng)濟時代數(shù)據(jù)犯罪規(guī)制的司法進路探索

（一）重新限定“數(shù)據(jù)安全”法益

數(shù)字經(jīng)濟發(fā)展既要求保證數(shù)據(jù)安全不受侵犯，也要求數(shù)據(jù)的共享流通不受阻礙。基于這兩方面的要求，有必要重新對數(shù)據(jù)安全法益進行限定。

首先，《刑法》應(yīng)當因應(yīng)數(shù)字經(jīng)濟時代的數(shù)據(jù)安全保護要求，將數(shù)據(jù)安全作為獨立的保護價值予以評價。這在立法層面體現(xiàn)為，在前置法確權(quán)完成的情況下，《刑法》應(yīng)當針對數(shù)據(jù)犯罪構(gòu)建獨立的罪名體系，以增強《刑法》對數(shù)據(jù)的保護范圍和深度。在司法層面則體現(xiàn)為，在數(shù)據(jù)犯罪的規(guī)制和認定中，采取主觀解釋兼客觀解釋的解釋方法。具體而言，對于數(shù)據(jù)犯罪構(gòu)成要件的解釋，應(yīng)當以《刑法》文義為基本出發(fā)點，在此基礎(chǔ)上考慮行為對數(shù)據(jù)安全法益的實際侵害。以非法獲取計算機信息系統(tǒng)罪為例，若將認定的重點放在對數(shù)據(jù)安全的損害上，能夠?qū)⒄J定重點更好聚焦于侵入行為本身，基于侵入行為對數(shù)據(jù)管理所蘊含的數(shù)據(jù)管理秩序之損害，來實現(xiàn)對不法行為的有效規(guī)制。

其次，立法者對于不同類型之數(shù)據(jù)保護的側(cè)重點并不相同。《數(shù)據(jù)安全法》第三條對數(shù)據(jù)安全的定義，主要強調(diào)數(shù)據(jù)需要處于有效保護和合法利用的狀態(tài)，并要求這種狀態(tài)具有持續(xù)性，這對于數(shù)據(jù)安全法益的內(nèi)涵理解具有一定的參考意義。在《刑法》中，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪位于“擾亂公共秩序罪”一節(jié)之中，這表明其保護的主要法益是公共社會秩序，即國家對于計算機信息系統(tǒng)數(shù)據(jù)安全的管理秩序。因此，對于該罪名而言，數(shù)據(jù)安全的法益內(nèi)涵應(yīng)蘊含對數(shù)據(jù)保密性、完整性、可用性的保護，側(cè)重于對數(shù)據(jù)動態(tài)秩序破壞行為的規(guī)制。而對于個人信息數(shù)據(jù)保護而言，其位于“侵犯公民個人權(quán)利”章節(jié)，其保護的主要法益是公民的信息自決權(quán)，強調(diào)權(quán)利主體自身對數(shù)據(jù)的控制和支配，側(cè)重于對靜態(tài)權(quán)屬關(guān)系的破壞。此外，數(shù)據(jù)安全法益還需排除數(shù)據(jù)化的財產(chǎn)利益、個人信息、知識產(chǎn)權(quán)等法益。《刑法》規(guī)定的罪名體系已經(jīng)區(qū)分了財產(chǎn)法益、個人信息法益、知識產(chǎn)權(quán)法益等，數(shù)據(jù)化的形式不會使其法律性質(zhì)發(fā)生改變。因此，對于侵犯上述法益的數(shù)據(jù)化犯罪行為，可以根據(jù)已有的相關(guān)罪名予以規(guī)制。

（二）以前置法為參考完善認定標準

在數(shù)字經(jīng)濟時代，數(shù)據(jù)治理涉及多元領(lǐng)域、主體、環(huán)節(jié)，需要各領(lǐng)域、各部門協(xié)作治理。因此，《刑法》應(yīng)當明確自己保障法的地位，其內(nèi)容應(yīng)當與其他前置法律規(guī)定相協(xié)調(diào)。從司法角度而言應(yīng)當從以下兩方面展開：

一方面，應(yīng)當明確《刑法》保障法定位，在司法認定過程中秉持謙抑性原則。數(shù)據(jù)犯罪的認定應(yīng)以前置法的規(guī)定為依據(jù)，摒棄“刑法先行”理念。數(shù)據(jù)類別對于劃定罪名界限而言具有重要意義，《刑法》所保護的數(shù)據(jù)類別不應(yīng)超過前置法確定的范圍。例如，在《個人信息保護法》《中華人民共和國民法典》已經(jīng)明確了公民個人信息認定的“可識別性”標準，因此對于侵犯公民個人信息罪中的“個人信息”也應(yīng)當具有“可識別性”。又如，《個人信息保護法》第十三條將依法公開的個人信息數(shù)據(jù)規(guī)定為“知情—同意”原則的例外，在《刑法》中對于依法公開的個人信息不應(yīng)作為侵犯公民個人信息罪的對象，對于依法公開個人信息的收集、獲取行為也不具有違法性。

另一方面，對于數(shù)據(jù)犯罪的罪量判斷，前置法的相關(guān)規(guī)定可供借鑒。例如，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》根據(jù)個人信息的重要程度將其區(qū)分為敏感信息、一般個人信息、其他個人信息，針對不同的個人信息類別分別設(shè)置了不同的定罪量刑標準。這對于非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪等罪名的認定也具有借鑒意義。《數(shù)據(jù)安全法》將數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)三類，非法獲取計算機信息系統(tǒng)罪可以借鑒前置法對于數(shù)據(jù)類型的劃分，出臺相關(guān)司法解釋，參照上述司法解釋的規(guī)定設(shè)置罪量標準。具體而言，可以參考《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》的規(guī)定，該規(guī)章根據(jù)數(shù)據(jù)的影響程度，將數(shù)據(jù)進一步劃分為：嚴重危害、一般危害、輕微危害、無危害性四種危害等級，并對各等級下涉及的典型數(shù)據(jù)類型進行列舉。同時，將數(shù)據(jù)的影響對象劃定為國家安全、公共利益、個人合法權(quán)益、組織合法權(quán)益。繼而基于一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的基本框架，構(gòu)建起各級別數(shù)據(jù)與影響對象、影響程度的對應(yīng)關(guān)系。

本期封面及目錄

<< 滑動查看下一張圖片 >>

《中國審判》雜志2025年第19期

中國審判新聞半月刊·總第377期

編輯/孫敏