時下,中國數據犯罪概念中「數據」的定義既無法透過刑法條文進行明確,也無法結合司法解釋進行推導,甚至無法透過前置法規定對其進行大致錨定,這對數據犯罪立法完善和司法適用均造成較大阻礙。數據犯罪概念中的「數據」在形式上應限於電子方式,在實質上應承載資訊內容。刑法應明確在一定範圍內對一般數據加以保護。虛擬財產是財產犯罪的侵害物件,不屬於數據犯罪的侵害物件。
在數碼時代背景下,「數據犯罪」的概念已被學界普遍接納,現行刑法已設立了一系列數據犯罪具體罪名對特定侵害數據行為進行規制,但有關數據犯罪的立法規定仍存在較多缺陷。根據現有研究進展,中國數據犯罪立法規定主要存在三類問題:數據犯罪概念中「數據」一詞的定義未得到明確;部份嚴重侵害數據行為尚未納入刑法規制範圍;部份數據犯罪的構罪門檻和量刑規定存在一定的不合理。在筆者看來,數據犯罪的立法規定之所以存在諸多爭議,其首要原因便是理論和實務均未能準確界定數據犯罪這一刑法概念中「數據」的定義,進而導致我們難以對刑法設立相關數據犯罪所欲保護的數據範圍以及數據法益的實質內涵進行準確、深刻的理解。基於上述考慮,本文重點針對中國數據犯罪概念中「數據」的定義進行系統學理廓清,為構建中國數據刑法保護體系提供理論支撐。
時下,數據犯罪的概念主要存在廣義和狹義之分。廣義的數據犯罪概念認為,數據犯罪是指以數據為犯罪工具和犯罪物件的犯罪,狹義的數據犯罪概念認為數據犯罪是指以數據為犯罪物件的犯罪行為。相比之下,狹義的數據犯罪概念能夠將視野集中在有關數據權利和數據法益的討論上,對數據犯罪概念中「數據」的討論也更具有針對性,是本文所持數據犯罪概念的立場。在中國刑法中,明文對「數據」進行保護的罪名主要指第285條非法獲取電腦資訊系統數據罪和第286條破壞電腦資訊系統罪,但應當看到,刑法分則規定的很多其他犯罪實際上都可能以數據為犯罪物件。例如,刑法透過對個人資訊、商業秘密、國家秘密以及軍事秘密等特殊資訊進行直接保護,實際上也能被解釋為對涉該類特殊資訊的數據進行間接保護。又如,虛擬財產同樣是以數碼化形式存在的數據,如果肯定虛擬財產屬於刑法保護的「財物」,則侵犯財產罪中的諸多犯罪當然也可以被視為以數據為犯罪物件的犯罪行為。由此看來,即便將數據犯罪限定為以數據為犯罪物件的犯罪,數據犯罪的罪名體系以及具體個罪的適用範圍仍然具有較大的模糊性。為此,有必要對數據犯罪概念中「數據」的定義進行厘清,進而明確數據犯罪這一刑法概念所保護的數據邊界。
刑法對數據進行直接保護的最主要兩個罪名是非法獲取電腦資訊系統數據罪和破壞電腦資訊系統罪。這兩個罪名條文中均出現「數據」一詞,對上述罪名條文中「數據」的概念進行界定,有助於理解數據犯罪概念中「數據」的定義。然而,上述兩個罪名同時也是刑法中典型的電腦犯罪,相關罪名條文表述存在將數據與電腦資訊系統進行繫結保護的立法傾向。換言之,刑法設立上述罪名並非基於對所有電腦資訊系統中的數據進行保護,而僅對可能威脅電腦資訊系統安全的數據進行保護。這種限縮保護的立法傾向使得數據犯罪概念中「數據」的定義難以透過刑法條文予以明確。
其一,刑法設立非法獲取電腦資訊系統數據罪旨在保護可能影響電腦資訊系統安全的數據。根據刑法規定,該罪犯罪客觀行為要件的完備需要同時滿足「行為人侵入電腦資訊系統或采用其他技術手段」和「非法獲取電腦資訊系統中的數據」兩個要件。換言之,行為人不透過技術手段非法獲取電腦資訊系統中的數據是不構成該罪的。然而,最高人民檢察院在其釋出的第36號指導性案例中卻認為,非法獲取電腦資訊系統數據罪中的「侵入」,是指違背被害人意願、非法進入電腦資訊系統的行為,其表現形式既包括采用技術手段破壞系統防護進入電腦資訊系統,也包括未取得被害人授權擅自進入電腦資訊系統,還包括超出被害人授權範圍進入電腦資訊系統。據此,即便行為人采用的是非技術手段,只要其非法獲取了電腦資訊系統中的數據,相關行為依然可能被認定為屬於侵入電腦資訊系統的行為範疇,進而被認定為犯罪。筆者認為,上述指導性案件對「侵入電腦資訊系統」的理解存在一定的問題。從文義上看,侵入電腦資訊系統行為通常是指透過不正當的技術手段強行突破電腦資訊系統的有關存取許可權和防禦措施的行為。不透過技術手段越權存取電腦資訊系統的行為至多屬於一種非法存取行為,而不是非法侵入行為。結合刑法體系來看,非法獲取電腦資訊系統數據罪明確將「侵入電腦資訊系統」與「采用其他技術手段」進行並列規定,實則是將侵入電腦資訊系統行為單獨列為一種較為嚴重且典型的利用技術手段非法獲取電腦資訊系統數據行為加以禁止。如果侵入電腦資訊系統的情形包括采用技術手段破壞系統防護進入電腦資訊系統、未取得被害人授權擅自進入電腦資訊系統和超出被害人授權範圍進入電腦資訊系統這三種情形,則該行為實際上也涵蓋了「采用其他技術手段」的所有具體情形。如此,一種行為囊括了另一種行為所有可能出現的情形,刑法便沒有將兩者進行並列規定的必要。同時,行為人進入系統的授權與獲取數據的授權並不相同。行為人不利用技術手段非法獲取數據的情形不僅包括未取得或超出授權範圍,進入系統後獲取數據的情形,還包括擁有進入系統的授權,但未取得獲取數據的授權而實施非法獲取數據的情形。即便對「侵入電腦資訊系統」的內涵進行看似擴張(實則是超出語意範圍的類推解釋)的解釋,仍不能有效規制行為人合法進入電腦資訊系統後超出獲取數據授權範圍非法獲取數據的行為。因此,對「侵入電腦資訊系統」進行「擴張解釋」的現實意義是非常有限的。可見,無論是根據文義解釋還是體系解釋,該罪的「侵入電腦資訊系統」應指透過非法技術手段入侵電腦資訊系統的行為。如果相關行為未能危及電腦資訊系統安全,單純非法獲取電腦資訊系統數據的行為並不構成犯罪。刑法設立該罪更多旨在對可能影響電腦資訊系統安全的數據進行保護。
其二,刑法設立破壞電腦資訊系統罪同樣旨在保護可能影響電腦資訊系統安全的數據。根據破壞電腦資訊系統罪第二款的規定,「違反國家規定,對電腦資訊系統中儲存、處理或者傳輸的數據和應用程式進行刪除、修改、增加的操作,後果嚴重的,相關行為構成破壞電腦資訊系統罪」。單純根據該條款分析,似乎只要行為人對電腦資訊系統中的數據進行刪除、修改、增加的,相關行為便可能構成破壞電腦資訊系統罪。正如有觀點認為,在破壞電腦資訊系統罪的認定上,破壞電腦資訊系統功能和破壞電腦資訊系統數據行為的入罪要件並不相同,前者要求「造成電腦資訊系統不能正常執行」,而後者不需要這一要件。但是,結合破壞電腦資訊系統罪第一款以及第三款的規定,行為人對電腦資訊系統功能進行刪除、修改、增加、幹擾,需要造成電腦資訊系統不能正常執行,後果嚴重的才構成該罪;行為人故意制作、傳播電腦病毒等破壞性程式,需要影響電腦系統正常執行,後果嚴重的才構成該罪。而破壞電腦資訊系統中關鍵數據並妨害系統正常執行的行為與破壞無關乎系統正常執行一般數據的行為在行為的社會危害性程度上顯然無法持平。事實上,任何在電腦上的操作(如隨機點選一處檔或修改一處檔名),均或多或少會改變電腦資訊系統中的數據。由此,我們不能簡單認為單純破壞電腦資訊系統中數據的行為便能構成犯罪。還需要說明的是,刑法將破壞電腦資訊系統數據的行為歸入破壞電腦資訊系統罪的適用範圍,而實際並未設立單獨的「破壞電腦資訊系統數據罪」,且最高人民法院第145號指導案例中也明確提出修改、增加電腦資訊系統數據,但未造成系統功能實質性破壞或者不能正常執行的,不應當認定為破壞電腦資訊系統罪。應當認為,破壞電腦資訊系統罪第二款中的「數據」不應當泛指一切電腦資訊系統中的數據,而應限於對其刪除、修改、增加將影響電腦資訊系統功能或正常執行的數據,即可能影響電腦資訊系統安全的數據。
由上可見,刑法中以「數據」為直接保護物件的核心罪名實際上均對條文中「數據」的範圍進行了部份限定。然而,數據與電腦資訊系統之間雖然屬於內容和載體的關系,但這並不意味著兩者的價值緊密繫結,導致我們不能根據刑法現有罪名條文對數據犯罪概念中「數據」的定義進行確立。
其一,該司法解釋未明確數據的定義。事實上,「數據」一詞在【危害電腦資訊系統解釋】中多次出現,該司法解釋所涉及的犯罪也均以數據為重要的犯罪物件。然而,該司法解釋僅在第11條對「電腦資訊系統」「電腦系統」「身份認證資訊」等概念進行明晰,唯獨未就更為重要的「數據」概念作定義。
其二,該司法解釋同樣存在將數據與電腦資訊系統進行繫結保護的意圖。該司法解釋第4條就破壞電腦資訊系統罪的構罪標準進行了規定。其中,第二種情形主要圍繞破壞電腦資訊系統數據的構罪標準進行設定。根據司法解釋規定,對二十台以上電腦資訊系統中儲存、處理或者傳輸的數據進行刪除、修改、增加操作的,相關行為構成破壞電腦資訊系統罪。該條規定同樣存在將數據與電腦資訊系統進行繫結保護的意圖,即不法行為人需要破壞特定數量電腦資訊系統中的數據才可能構成犯罪。
其三,該司法解釋甚至存在進一步限縮數據範圍的不當傾向。該司法解釋第1條就非法獲取電腦資訊系統數據罪的構罪標準進行了設定。然而,該條僅就非法獲取涉身份認證資訊數據行為的構罪標準進行重點說明,卻對非法獲取其他數據行為的構罪標準「泛泛而談」。結合非法獲取電腦資訊系統數據罪的設立背景,刑法設立該罪的初衷主要是防止不法行為人利用技術手段竊取國家事務、國防建設、尖端科學技術領域以外的電腦資訊系統中的賬號、密碼行為,這或特許以在一定程度上解釋為何該司法解釋在頒布之初僅對涉及身份認證資訊的數據進行特別關註,而對其他數據有所忽視。但時至今日,非法獲取數據的行為方式更加多樣,獲取數據範圍更加廣泛,相關行為的社會危害性與日俱增,對涉身份認證資訊數據的特別關註已不再必要。現階段,數據處理者完全有能力利用各種數據分析技術和資料探勘技術,從海量雜亂的一般數據中挖掘涉及個人資訊、商業秘密、國家秘密等特殊數據。例如,基於特定演算法,研究人員有99.98%的機率根據15項經過匿名化處理的人口統計資訊數據復原美國普通民眾的真實身份。在這種時代趨勢下,受刑法明確保護的特殊數據與尚未得到刑法全面保護一般數據之間轉化渠道更加便捷且多樣,兩者的邊界將愈發模糊,刑法僅僅透過將某些侵害特殊數據行為納入規制範圍已無法實作對數據的全面保護。因此,該司法解釋在頒布之初對數據範圍的限縮傾向已無法與社會發展現狀相適應。
值得關註的是,在司法解釋未就數據定義作明確規定的背景下,不同司法機關在認定數據犯罪過程中往往會圍繞數據犯罪的適用範圍產生分歧。部份司法機關將涉身份認證數據以外的個人資訊、網絡虛擬財產等視為數據犯罪的犯罪物件,還有部份司法機關將網絡知識產權(試題數據庫、遊戲原始碼)、其他網絡財產性利益(網絡積分、手機靚號資訊等)以及數據產品(醫院用藥數據、公司經營數據等)視為數據犯罪的犯罪物件。由於立法和司法解釋對數據犯罪概念中「數據」定義的忽視,司法機關在認定數據犯罪過程中被賦予了「過度」的自由裁量權,容易造成數據犯罪適用範圍不當擴張的困境。
隨著網絡安全法、數據安全法等法律和其他法規的相繼出台,中國基本形成對數據的法律保護體系。為實作與前置法的有效銜接,在刑法和司法解釋對數據定義不明確的前提下,數據犯罪概念中「數據」的定義或許還可以適當借鑒和參照前置法律、法規等對數據的定義內容。但是,前置法律、法規對數據的定義尚不統一,存在三種不同的定義標準。首先,網絡安全法(2017年出台)第76條將數據定義為「透過網絡收集、儲存、傳輸、處理和產生的各種電子數據」。該法將數據限定為一切電子數據,這似乎意味著一切電腦資訊系統中的電腦語言、文字、符號等均屬於該法保護的數據範疇。其次,數據安全法(2021年出台)第3條將數據定義為「任何以電子或者其他方式對資訊的記錄」。該法認為數據與資訊之間是一種載體和內容的關系。對比網絡安全法對數據的定義,數據安全法並未將數據的表現形式限定於電子方式。由於該法並未對「以其他方式對資訊的記錄」進行具體明確說明,這似乎意味著以紙質方式等對資訊的記錄也屬於該法保護的數據範疇。最後,國家互聯網資訊辦公室公布的【網絡數據安全管理條例(征求意見稿)】(2021年出台)第73條將數據定義為「是指任何以電子方式對資訊的記錄」,同年出台的【網絡安全標準實踐指南——網絡數據分類分級指引】對數據同樣作此定義。根據該條例規定,數據與資訊之間仍是一種載體和內容的關系,但數據的表現形式僅限於電子方式。
歸結來說,網絡安全法將數據定義為電子數據;數據安全法將數據定義為以電子或者其他方式對資訊的記錄;【網絡數據安全管理條例(征求意見稿)】將數據定義為以電子方式對資訊的記錄。上述三種對數據定義的不同規定實際上反映出社會上對待數據的三種不同認知。其中,網絡安全法更偏向確立數據的形式特征(數據必須是以電子方式存在),至於數據是否必須承載資訊內容不是其關註重點;數據安全法更偏向確立數據的實質特征(數據必須承載資訊內容),至於數據是否必須是以電子方式存在不是其關註重點;【網絡數據安全管理條例(征求意見稿)】則同時兼顧數據的形式和實質特征(數據在形式上應限於電子方式,在實質上應承載資訊內容)。在前置法對數據定義產生嚴重分歧的背景下,數據犯罪概念中「數據」的定義亦難以直接借鑒或照搬前置法對數據的有關定義。
綜上所述,關於數據犯罪的侵害物件——「數據」的具體定義,既無法直接透過現行刑法條文、刑法司法解釋進行明確或推導,也無法簡單借鑒或照搬某一前置法律或法規對數據的定義內容。
對數據犯罪概念中「數據」進行界定首先需要解決兩個方面的問題,一是在形式上,數據犯罪概念中的「數據」是否應限於電子方式;二是在實質上,數據犯罪概念中的「數據」是否必須承載資訊。
筆者認為,在形式上,數據犯罪概念中的「數據」應限於以電子方式存在的數據(電子數據)。
首先,從日常用語角度分析,數據犯罪概念中的「數據」應限於電子數據。除了表示數碼、數值外,人們在日常用語中通常將數據一詞與電子數據作相同理解。例如,我們往往難以將紙張記錄的內容、廣播傳播的內容或是電報傳遞的內容稱為數據,而更多的是將電腦資訊系統中存在的資訊內容稱為數據。
其次,從刑法體系角度分析,數據犯罪概念中的「數據」應限於電子數據。雖然學界仍有部份學者認為數據與資訊在詞義上並不存在差異,兩者均可以透過多種方式(如紙張、巖壁、音像等)進行展現,甚至部份前置法也並未對兩者進行明顯區分,但我們至少應當承認刑法中數據與資訊的詞義並不相同。否則,【刑法修正案(七)】沒有必要刻意將「數據」與「資訊」加以區分,分別設立「非法獲取電腦資訊系統數據罪」以及「侵犯公民個人資訊罪」,而沒有設立「非法獲取電腦資訊系統資訊罪」或「侵犯公民個人數據罪」。同時,現行刑法中對數據進行直接保護的核心罪名是非法獲取電腦資訊系統數據罪和破壞電腦資訊系統罪,相關罪名的條文規定均將「數據」限定為「電腦資訊系統中儲存、處理或者傳輸中的數據」。而電腦資訊系統中的一切數據顯然僅指電子數據,並不包含以其他方式存在的數據。
最後,從刑法保護必要性角度分析,數據犯罪概念中的「數據」應限於電子數據。相較於以其他方式存在的資訊而言,電子數據具有易儲存性、易傳播性和易處理性等特性。相關特性使得電子數據可以大量匯聚於互聯網或電腦資訊系統之中形成「大數據」,且便於人們利用電腦技術對數據蘊含的資訊內容進行全面分析和挖掘,進而衍生新的資訊內容。只有依托資訊科技的發展,才能從數據中提煉多重資訊,進而實作知識的積累和智能的不斷提升。可見,電子數據的出現提高了人們對資訊的收集、儲存、分析、使用能力,極大縮減了人工的勞動時間和成本。這意味著,不法行為人更容易利用電腦技術在短時間內對電子數據蘊含的個人權益、社會權益乃至國家安全利益等造成危害。在同等條件下,非法獲取、泄露、分析、使用電子數據行為的法益侵害性要明顯勝於非法獲取、泄露、分析、使用其他資訊行為。因此,刑法理應對電子數據實行更高標準的保護。事實上,現行刑法已經存在這種區別保護的傾向,即刑法設立了非法獲取電腦資訊系統數據罪和破壞電腦資訊系統罪對一般數據進行保護,而沒有設立任何罪名對一般資訊進行保護。需要特別說明的是,筆者定義數據犯罪概念中「數據」的形式特征是為了區別數據犯罪與資訊犯罪、電腦犯罪等其他犯罪類別,即明確數據犯罪這一概念的核心要義是以電子數據為犯罪物件的犯罪。但是,筆者並不否認數據犯罪確實可能與資訊犯罪存在一定的交叉,因為資訊也可能以電子方式存在,大部份資訊犯罪當然也可能轉化為數據犯罪。
此外,將數據犯罪概念中的「數據」限於電子數據雖然與數據安全法對數據的定義有所沖突,但這種「沖突」並非不可調和。作為刑法的前置法,數據安全法面向的是復雜多樣的數據流通和管理領域的新問題,加之理論和實務均未厘清數據與資訊的區別,數據安全法從宏觀統籌的角度對數據的形式特征進行一定程度的模糊化規定或許是一種權宜之計,但這種權宜之計顯然不能適用在對數據犯罪概念的界定上。刑法具有片段性,並非所有侵害數據的行政違法行為均應當受到刑法的規制。因此,數據犯罪概念中「數據」的表現方式,完全可以小於數據安全法所定義的數據表現方式範圍,將數據犯罪概念中的「數據」的表現方式限定為電子方式並不會與數據安全法的有關規定相沖突。
一般而言,大部份數據都承載著一定的資訊內容,但仍存在部份數據並不承載任何資訊內容,這些不承載資訊內容的封包括電腦資訊系統中單純的電腦語言、文字、符號等。進一步而言,不承載資訊內容的數據又可以細分為表征數據處理規則的數據以及其他數據。其中,表征數據處理規則的數據與電腦資訊系統具有天然的緊密關聯性,針對這類數據實施的不法行為可能對電腦資訊系統安全造成危害,該類數據具有刑法保護的必要性;其他數據則無涉系統安全,相關數據僅為系統的執行提供輔助作用,因而並不值得刑法的單獨保護。例如,影片數據的組成除了承載資訊內容的數據外,還包括在處理、加工、執行相關影片過程中起到關鍵性作用的電腦指令、程式碼規範等數據處理規則(這些電腦指令、程式碼規範僅具有支撐系統執行的功效,並不承載任何資訊),以及其他並不具有實際意義的冗余數據。對數據犯罪概念中「數據」進行定義,便不可避免要討論是否應將表征數據處理規則的數據視為數據犯罪概念中「數據」的範圍,即討論數據犯罪侵犯的數據是否必須承載一定資訊內容。筆者認為,數據犯罪概念中的「數據」不應包括表征數據處理規則的數據,應僅限於承載資訊內容的數據。
首先,表征數據處理規則的數據與承載資訊內容的數據在蘊含的法益內容上存在本質差異。應當看到,表征數據處理規則的數據實際上屬於電腦資訊系統的組成部份。【危害電腦資訊系統解釋】已明確將所有電腦硬件器材和軟件程式納入電腦資訊系統的範疇,而表征數據處理規則的數據(電腦指令、程式碼規範等)本質上是各類電腦硬件器材(伺服器、電腦、U槽等)和軟件程式的重要組成部份,這意味著表征數據處理規則的數據實際上也屬於電腦資訊系統的重要組成部份,該類數據蘊含的法益是電腦資訊系統安全。而承載資訊內容的數據並不必然依附於電腦資訊系統,其蘊含獨立的法益內容,該類數據蘊含的法益與數據承載資訊內容所涉及的權益密切相關。據此,侵害表征數據處理規則的數據行為侵害的法益是電腦資訊系統安全,而不是數據承載資訊內容所涉及的法益,相關行為可能構成電腦犯罪而不是數據犯罪。值得說明的是,就現階段而言,中國刑法中電腦犯罪和數據犯罪的罪名範圍存在一定的重合部份,如非法獲取電腦資訊系統數據罪既屬於電腦犯罪的範疇,也屬於數據犯罪的範疇。從這種意義上看,侵害表征數據處理規則數據的行為所構成的犯罪既可能成立電腦犯罪,也可能成立數據犯罪。但應當看到,數據犯罪與電腦犯罪的部份重疊源於相關罪名規定存在將數據與電腦資訊系統進行混淆規定的弊端,即現行刑法未能正視承載資訊內容的數據具有值得單獨保護的價值。在未來立法完善過程中,將數據(承載資訊內容的數據)與電腦資訊系統進行區別保護,即對數據犯罪與電腦犯罪進行明確界分,已被諸多學者所倡導。據此,理應將表征數據處理規則的數據與承載資訊內容的數據進行刑法層面的區別保護。
其次,不法行為人對表征數據處理規則的數據與承載資訊內容的數據在侵害方式上存在重要差異。由於表征數據處理規則的數據屬於電腦資訊系統組成部份,其並不承載具體資訊內容,相關數據的核心功能價值在於支撐電腦資訊系統的正常執行,不法行為人通常僅會利用技術手段針對該類數據實施破壞、刪除行為,一般不會針對該類數據實施非法獲取、分析、使用行為。承載資訊內容數據的核心功能價值則在於該類數據記錄的資訊內容能為政府社會管理、企業市場營運、個人生產生活等提供各種便利,不法行為人可能針對該類數據實施非法獲取、分析、篡改、刪除、使用等各類行為。由此可見,不法行為人針對兩種數據存在明顯不同的侵害模式,兩種數據的刑法保護模式也應有所不同。
最後,中國最新立法和政策檔均指向對承載資訊內容數據的保護。【數據安全法】在第3條雖然對數據的形式特征采納了更為寬泛的定義,但仍明確數據具有「對資訊的記錄」這一實質特征。據此,該法所欲規範「數據處理活動」和保障「數據安全」中的「數據」,均指向承載資訊內容的數據,不包括不承載資訊內容的數據。同時,【數據二十條】提出「作為新型生產要素」的「數據」,實際上也指承載資訊內容的數據。例如,該意見提出「維護國家數據安全」「促進數據合規高效流通使用」「以數據產權、流通交易、收益分配、安全治理為重點,深入參與國際高標準數碼規則制定」等一系列指導思想,均旨在進一步明確承載資訊內容的數據在數碼經濟發展中所起的主導作用,並要求構建有關承載資訊內容數據流通、交易、使用、分配等各環節的社會規範和市場秩序。表征數據處理規則的數據既不存在數據合規問題,也不蘊含數據產權,並非【數據二十條】所關註的物件,與中國數碼經濟發展戰略實則關系不大。
根據前述分析,將數據犯罪概念中的「數據」限定為承載資訊內容的數據既能實作中國刑法體系的自洽性、精準性,也順應國家發展戰略,因而是較為妥當的。綜上所述,數據犯罪概念中的「數據」在形式上應限於電子方式,在實質上應承載資訊內容,即數據是由電子化載體(位元)和具體承載內容(資訊)組成的。數據犯罪概念中「數據」的定義應更多參照【網絡數據安全管理條例(征求意見稿)】對數據定義的有關立場(以電子方式對資訊的記錄)。
在前文明確數據犯罪概念中「數據」應限於「以電子方式對資訊記錄」這一結論的基礎上,有必要對數據所記錄資訊內容的範圍加以進一步的明確。其中,最值得關註的兩個問題是,是否有必要將承載非特殊資訊內容的數據(一般數據)納入刑法保護範圍,以及是否有必要將虛擬財產解釋為數據犯罪的物件,進而對侵犯虛擬財產行為適用數據犯罪有關規定進行定罪處罰。
筆者認為,隨著一般數據套用面向和市場價值的逐步提升,刑法確有必要明確將一般數據納入保護範圍。
其一,將一般數據納入刑法保護範圍具備一定的法定基礎和依據。刑法設立非法獲取電腦資訊系統數據罪和破壞電腦資訊系統罪雖然存在將數據與電腦資訊系統進行繫結保護的傾向,但相關罪名確實在單純的條文表述上將包括一般數據在內的一切電腦資訊系統中的數據納入刑法保護範圍。【危害電腦資訊系統解釋】第1條也同樣明確,即便行為人對涉身份認證資訊數據之外的其他一般數據實施非法獲取行為,只要相關行為的違法所得或造成的經濟損失達到特定數額標準,該行為仍成立犯罪。加之,在對新型侵犯數據行為的認定上,司法機關工作人員也有責任靈活運用司法解釋的規定,適時、適度調整對相關犯罪行為的認定思路,以保障新型科技產業的健康發展。因此,將一般數據納入刑法保護範圍,已具有刑法條文和司法解釋等的法律依據。
其二,將一般數據納入刑法保護範圍有利於形成對數據的體系性保護格局。隨著數據分析技術的成熟和普及,一般數據與特殊數據之間的轉化變得愈發便捷,兩者的邊界愈發模糊,各類一般數據已頻繁成為不法行為的侵犯物件。如果刑法不對一般數據進行獨立保護,則任何人均有可能透過對一般數據的收集和分析,衍化特定的特殊數據,進而利用特殊數據所記錄的資訊內容對個人法益、社會法益和國家安全等造成威脅。僅對特殊資訊內容進行刑法保護的傳統模式已逐漸失去其應有的功效,有必要將一般數據納入刑法保護的數據範圍。
其三,將一般數據納入刑法保護範圍符合社會發展的現實需求。在數碼經濟時代背景下,數據的開放和共享已成為人類社會不可逆轉、不斷加速的社會思潮。隨著數據共享、交易市場和社會秩序的逐步建立,過去通常被認為價值較低的各類一般數據,其套用場景和模式都獲得了新的詮釋,一般數據的價值逐步提升。然而,現階段中國有關數據確權、數據安全等的制度構建尚不完善,很多企業甚至部份政府機關對數據開放共享望而卻步。刑法及時並適當地介入對一般數據的保護,一方面能夠透過給企業施加一定的刑罰威懾力,將企業對個人數據的收集、分析、使用限定在合法和合理的範圍內;另一方面也能夠透過明確政府對數據收集、分析、共享、使用的邊界,防止政府濫用權力現象的發生。如此,可以進一步消除數據權利人不願、不敢和不能共享、交易數據資源的顧慮,從而有利於數碼經濟的健康有序發展。
其四,將一般數據納入刑法保護範圍已得到世界各國的廣泛響應。應當看到,將一般數據加以刑法保護已逐漸成為一種世界範圍內的趨勢。例如,法國刑法典第323-1條規定,非法入侵或拒不結束整體或部份數據自動處理系統的,如果造成該系統儲存之數據被刪除或更改,或者導致該系統執行受到損害的,處3年監禁並科以100000歐元罰金。第323-3條規定,非法增加、摘錄、持有、復制、傳遞、刪除或更改數據處理自動處理系統之數據的,處5年監禁並科以150000歐元罰金。德國刑法典透過設立第202條a窺探數據罪、第202條b截獲數據罪、第202條c窺探和截獲數據的預備罪、第202d條數據窩藏罪、第303條a數據變更罪以及第303條b破壞電腦罪等數據犯罪罪名,對非法探知、獲取、儲存、篡改、流通、限制存取一般數據行為進行全方位的刑法規制。意大利刑法典同樣透過設立第615-4條非法持有和傳播進入資訊或通訊系統的密碼罪和第615-5條傳播旨在損壞或者中斷資訊系統的程式罪,對非法持有、傳播、損害一般數據行為予以刑法規制。
其五,將一般數據納入刑法保護範圍並不違背刑法的最後手段性。可能會有觀點認為,刑法具有最後手段性,如果其他法律足以實作對一般數據的充分保護,刑法便沒有介入的必要。對此,筆者並不贊同。首先,透過民法和行政法難以實作對各階段數據處理行為的全面規範。其次,理論上並沒有固定的判斷標準來確定前置法是否足以對不法行為進行充分有效的約束,刑法的最後手段性更多是一種刑法理念的倡導。最後,對一般數據進行刑法保護並不意味將一切侵犯一般數據的違法行為均規定為犯罪。中國刑法第13條明確規定「情節顯著輕微危害不大的,不認為是犯罪」,該條實際上已然說明犯罪和一般違法行為雖然都具有社會危害性,但兩者的社會危害性存在量的差異,因而所獲得的國家評價有所不同。據此,我們完全能夠透過設定相關構罪標準,將侵犯一般數據且「情節嚴重」的行為交由刑法規制,將其他情節不嚴重的侵犯一般數據違法行為交由行政法規制。具體來說,可以從一般數據的類別和不法行為方式兩個方面對侵犯一般數據犯罪行為與違法行為進行區分。一方面,並非所有的一般數據均值得刑法保護,虛假的一般數據和過時效的一般數據便無須受刑法保護。但因為人為的失誤、機器的誤差以及行為人有意識的造假等因素,部份數據所承載的資訊內容也可能「失真」。虛假的數據不但不能為人們生產生活中的各項決策提供正確的指引和準確的參考,反而會使決策者受到誤導從而作出不恰當的決策。過時效的一般數據也不屬於刑法保護的一般數據。雖然理論上數據可以永存,但實際上數據的價值是具有時效性的。其中,部份一般數據所記錄的事物在客觀上可能發生變化。例如,經過脫敏技術處理的個人職業、收入、住址等一般數據所記錄的資訊內容可能隨著時間的推移而發生改變。再如,部份一般數據的價值會隨著時間的推移而不斷降低。雖然數據記錄的資訊內容並沒有發生變化,但相關資訊內容卻可能隨著時間流逝而不再具有很強的現實意義,該類數據的價值也會隨著時間的推移呈現遞減之勢。事實上,社會上每年所產生的數據總量都要遠超過上一年產出的數據總量。另一方面,並非一切侵犯一般數據的違法行為均應被規定為犯罪。相比涉個人資訊數據等特殊數據而言,一般數據的價值更低,侵犯一般數據行為的法益侵害性也當然更輕。考慮到現行刑法尚未將法益侵害性更為嚴重的非法儲存、使用個人資訊行為納入規制範圍,尚沒有必要將非法儲存、使用一般數據行為納入犯罪圈。
隨著網絡遊戲行業和社交平台的發展,網絡空間中出現了一種新型承載資訊內容的數據——虛擬物品。虛擬物品的範圍較為廣泛,包括虛擬社交空間、虛擬飾品、虛擬裝備、虛擬貨幣等。其中,我們通常將具有財產內容特征的虛擬物品稱為「虛擬財產」。由於虛擬財產既是以數碼化的表現方式存於網絡空間中,同時也承載一定的資訊內容(任何虛擬財產都或多或少承載著對該物品名稱、影像、內容等基本介紹資訊內容),根據前文對數據犯罪概念中「數據」的特征定義,虛擬財產似乎也屬於數據犯罪的一種犯罪物件。如此,侵犯虛擬財產的行為似乎也可能構成數據犯罪。根據這一結論,學界有不少學者認為,由於虛擬財產本質上仍然是數據,非法獲取他人虛擬貨幣、虛擬遊戲裝備等虛擬財產的行為,無論是否構成財產犯罪,至少符合非法獲取電腦資訊系統數據罪或破壞電腦資訊系統罪的客觀行為要件。事實上,已有不少司法判例同樣將非法獲取虛擬財產的行為認定為非法獲取電腦資訊系統數據罪、破壞電腦資訊系統罪等數據犯罪。為實作刑法體系的精準性、自洽性,應將虛擬財產排除出數據犯罪概念中「數據」的範圍。
首先,虛擬財產蘊含的法益與承載具有實質意義資訊內容的數據蘊含的法益內容不一致。根據通說觀點,一切犯罪行為都勢必對受刑法保護的法益造成侵害。而所謂受刑法保護的法益,是指個人的或者集體的因為對社會有著特別意義而值得刑法予以保護的正當利益。對於數據這一「人造物」而言,其被創造的意義便是為人類社會的生產生活提供特定的便利,正是基於這種便利,數據對社會而言具有一定的價值,並值得法律對其進行保護。應當看到,數據所蘊含的法益內容與數據為人類社會所提供的便利密切相關。進一步分析不難發現,虛擬財產與承載實質意義資訊的數據能為人類社會提供的便利內容並不相同,而不同的便利內容所指向的值得刑法保護的正當利益並不一致,兩者所蘊含的法益內容當然不盡相同。根據學界目前的主流觀點,如果虛擬財產具備市場經濟價值、交易可能性、管理可能性,將其解釋為刑法中的「財物」並不存在障礙。因此,就現階段而言,虛擬財產蘊含的法益更多指向財產法益,至於虛擬財產所承載的資訊內容,實則是對相關軟件功效或服務內容的描述性資訊,這類資訊通常無法為人類社會生產生活提供任何有價值的參考,其並不具有任何現實意義,不具有使用價值,因而不可能蘊含值得刑法保護的法益。據此,現階段侵犯虛擬財產行為只可能構成財產犯罪,「如果虛擬財產不具有經濟價值、交易可能性、稀缺性等特性,非法獲取虛擬財產的行為便當然構成非法獲取電腦資訊系統數據罪等數據犯罪」的結論是不能成立的。
相較而言,承載具有實質意義資訊內容的數據為人類社會提供的便利內容在於其所承載的資訊內容蘊含了特定的「知識」,而相關「知識」能夠為人類生產生活中某些領域的決策提供參考,該類數據才具有價值。據此,承載具有實質意義資訊內容的數據蘊含的法益實際上指向相關「知識」所涉及的值得刑法保護的正當利益。學界很多學者將數據法益定義為一種綜合了財產權、人格權和國家主權內容的新型法益,實際上便是指相關數據承載的資訊內容所隱含的知識可能與財產、人身、國家安全等相關。與虛擬財產所承載的描述性資訊不同,知識具有極強的互聯性。根據上述分析,虛擬財產與承載具有實質意義資訊內容的數據所蘊含的法益具有較大差異。虛擬財產所蘊含的法益根源於被數碼化的電腦軟件功效或服務具有市場經濟價值,法益內容主要指向財產法益;而承載實質資訊的數據所蘊含的法益根源於被數碼化的特定資訊內容或知識具有一定的價值,法益內容則包括個人法益、社會法益、國家安全等。據此,如果數據犯罪這一犯罪類別中存在兩個不同具體犯罪行為分別對不同的法益造成侵犯的情況,則數據犯罪在刑法體系中的定位便會愈發模糊,導致我們難以準確把握數據法益的核心內涵。
其次,不法行為人侵害數據行為的主要客觀行為方式不同。由於行為人實施侵害數據行為的主觀目的不同,其針對虛擬財產和承載具有實質意義資訊內容數據所實施的客觀不法行為方式便有所不同。不法行為人在實施侵害虛擬財產行為過程中,其主觀目的更多是為非法享有(占有)特定的電腦軟件功效或服務,或破壞他人合法享有(占有)的電腦軟件功效或服務。因此,行為人主要透過非法獲取、破壞的方式對虛擬財產加以侵犯。考慮到虛擬財產所承載的有關軟件功效或服務的描述性資訊內容對不法行為人而言沒有任何意義,行為人不太可能針對該虛擬財產承載的資訊內容實施非法操縱、分析和後續的非法使用行為。而在侵害承載具有實質意義資訊內容數據行為過程中,不法行為人的主觀目的則更為多樣,行為人既可能以單純知悉或毀壞數據所承載的資訊內容為目的,實施非法獲取、破壞數據行為,還可能為實作其他非法目的,實施非法操縱、分析、使用數據等行為。可見,行為人侵犯虛擬財產與侵犯承載具有實質意義資訊內容數據在客觀行為方式上存在較大差異。
綜上所述,為實作刑法的精細化、體系化和合理化,應對數據犯罪概念中的「數據」範圍進行限定,將虛擬財產等不承載具有實質意義資訊內容的數據排除出數據犯罪概念中「數據」的範圍。
上海市法學會官網
http://www.sls.org.cn
