时下,我国数据犯罪概念中「数据」的定义既无法通过刑法条文进行明确,也无法结合司法解释进行推导,甚至无法通过前置法规定对其进行大致锚定,这对数据犯罪立法完善和司法适用均造成较大阻碍。数据犯罪概念中的「数据」在形式上应限于电子方式,在实质上应承载信息内容。刑法应明确在一定范围内对一般数据加以保护。虚拟财产是财产犯罪的侵害对象,不属于数据犯罪的侵害对象。
在数字时代背景下,「数据犯罪」的概念已被学界普遍接纳,现行刑法已设立了一系列数据犯罪具体罪名对特定侵害数据行为进行规制,但有关数据犯罪的立法规定仍存在较多缺陷。根据现有研究进展,我国数据犯罪立法规定主要存在三类问题:数据犯罪概念中「数据」一词的定义未得到明确;部分严重侵害数据行为尚未纳入刑法规制范围;部分数据犯罪的构罪门槛和量刑规定存在一定的不合理。在笔者看来,数据犯罪的立法规定之所以存在诸多争议,其首要原因便是理论和实务均未能准确界定数据犯罪这一刑法概念中「数据」的定义,进而导致我们难以对刑法设立相关数据犯罪所欲保护的数据范围以及数据法益的实质内涵进行准确、深刻的理解。基于上述考虑,本文重点针对我国数据犯罪概念中「数据」的定义进行系统学理廓清,为构建我国数据刑法保护体系提供理论支撑。
时下,数据犯罪的概念主要存在广义和狭义之分。广义的数据犯罪概念认为,数据犯罪是指以数据为犯罪工具和犯罪对象的犯罪,狭义的数据犯罪概念认为数据犯罪是指以数据为犯罪对象的犯罪行为。相比之下,狭义的数据犯罪概念能够将视野集中在有关数据权利和数据法益的讨论上,对数据犯罪概念中「数据」的讨论也更具有针对性,是本文所持数据犯罪概念的立场。在我国刑法中,明文对「数据」进行保护的罪名主要指第285条非法获取计算机信息系统数据罪和第286条破坏计算机信息系统罪,但应当看到,刑法分则规定的很多其他犯罪实际上都可能以数据为犯罪对象。例如,刑法通过对个人信息、商业秘密、国家秘密以及军事秘密等特殊信息进行直接保护,实际上也能被解释为对涉该类特殊信息的数据进行间接保护。又如,虚拟财产同样是以数字化形式存在的数据,如果肯定虚拟财产属于刑法保护的「财物」,则侵犯财产罪中的诸多犯罪当然也可以被视为以数据为犯罪对象的犯罪行为。由此看来,即便将数据犯罪限定为以数据为犯罪对象的犯罪,数据犯罪的罪名体系以及具体个罪的适用范围仍然具有较大的模糊性。为此,有必要对数据犯罪概念中「数据」的定义进行厘清,进而明确数据犯罪这一刑法概念所保护的数据边界。
刑法对数据进行直接保护的最主要两个罪名是非法获取计算机信息系统数据罪和破坏计算机信息系统罪。这两个罪名条文中均出现「数据」一词,对上述罪名条文中「数据」的概念进行界定,有助于理解数据犯罪概念中「数据」的定义。然而,上述两个罪名同时也是刑法中典型的计算机犯罪,相关罪名条文表述存在将数据与计算机信息系统进行绑定保护的立法倾向。换言之,刑法设立上述罪名并非基于对所有计算机信息系统中的数据进行保护,而仅对可能威胁计算机信息系统安全的数据进行保护。这种限缩保护的立法倾向使得数据犯罪概念中「数据」的定义难以通过刑法条文予以明确。
其一,刑法设立非法获取计算机信息系统数据罪旨在保护可能影响计算机信息系统安全的数据。根据刑法规定,该罪犯罪客观行为要件的完备需要同时满足「行为人侵入计算机信息系统或采用其他技术手段」和「非法获取计算机信息系统中的数据」两个要件。换言之,行为人不通过技术手段非法获取计算机信息系统中的数据是不构成该罪的。然而,最高人民检察院在其发布的第36号指导性案例中却认为,非法获取计算机信息系统数据罪中的「侵入」,是指违背被害人意愿、非法进入计算机信息系统的行为,其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。据此,即便行为人采用的是非技术手段,只要其非法获取了计算机信息系统中的数据,相关行为依然可能被认定为属于侵入计算机信息系统的行为范畴,进而被认定为犯罪。笔者认为,上述指导性案件对「侵入计算机信息系统」的理解存在一定的问题。从文义上看,侵入计算机信息系统行为通常是指通过不正当的技术手段强行突破计算机信息系统的有关访问权限和防御措施的行为。不通过技术手段越权访问计算机信息系统的行为至多属于一种非法访问行为,而不是非法侵入行为。结合刑法体系来看,非法获取计算机信息系统数据罪明确将「侵入计算机信息系统」与「采用其他技术手段」进行并列规定,实则是将侵入计算机信息系统行为单独列为一种较为严重且典型的利用技术手段非法获取计算机信息系统数据行为加以禁止。如果侵入计算机信息系统的情形包括采用技术手段破坏系统防护进入计算机信息系统、未取得被害人授权擅自进入计算机信息系统和超出被害人授权范围进入计算机信息系统这三种情形,则该行为实际上也涵盖了「采用其他技术手段」的所有具体情形。如此,一种行为囊括了另一种行为所有可能出现的情形,刑法便没有将两者进行并列规定的必要。同时,行为人进入系统的授权与获取数据的授权并不相同。行为人不利用技术手段非法获取数据的情形不仅包括未取得或超出授权范围,进入系统后获取数据的情形,还包括拥有进入系统的授权,但未取得获取数据的授权而实施非法获取数据的情形。即便对「侵入计算机信息系统」的内涵进行看似扩张(实则是超出语义范围的类推解释)的解释,仍不能有效规制行为人合法进入计算机信息系统后超出获取数据授权范围非法获取数据的行为。因此,对「侵入计算机信息系统」进行「扩张解释」的现实意义是非常有限的。可见,无论是根据文义解释还是体系解释,该罪的「侵入计算机信息系统」应指通过非法技术手段入侵计算机信息系统的行为。如果相关行为未能危及计算机信息系统安全,单纯非法获取计算机信息系统数据的行为并不构成犯罪。刑法设立该罪更多旨在对可能影响计算机信息系统安全的数据进行保护。
其二,刑法设立破坏计算机信息系统罪同样旨在保护可能影响计算机信息系统安全的数据。根据破坏计算机信息系统罪第二款的规定,「违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,相关行为构成破坏计算机信息系统罪」。单纯根据该条款分析,似乎只要行为人对计算机信息系统中的数据进行删除、修改、增加的,相关行为便可能构成破坏计算机信息系统罪。正如有观点认为,在破坏计算机信息系统罪的认定上,破坏计算机信息系统功能和破坏计算机信息系统数据行为的入罪要件并不相同,前者要求「造成计算机信息系统不能正常运行」,而后者不需要这一要件。但是,结合破坏计算机信息系统罪第一款以及第三款的规定,行为人对计算机信息系统功能进行删除、修改、增加、干扰,需要造成计算机信息系统不能正常运行,后果严重的才构成该罪;行为人故意制作、传播计算机病毒等破坏性程序,需要影响计算机系统正常运行,后果严重的才构成该罪。而破坏计算机信息系统中关键数据并妨害系统正常运行的行为与破坏无关乎系统正常运行一般数据的行为在行为的社会危害性程度上显然无法持平。事实上,任何在计算机上的操作(如随机点击一处文件或修改一处文件名),均或多或少会改变计算机信息系统中的数据。由此,我们不能简单认为单纯破坏计算机信息系统中数据的行为便能构成犯罪。还需要说明的是,刑法将破坏计算机信息系统数据的行为归入破坏计算机信息系统罪的适用范围,而实际并未设立单独的「破坏计算机信息系统数据罪」,且最高人民法院第145号指导案例中也明确提出修改、增加计算机信息系统数据,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。应当认为,破坏计算机信息系统罪第二款中的「数据」不应当泛指一切计算机信息系统中的数据,而应限于对其删除、修改、增加将影响计算机信息系统功能或正常运行的数据,即可能影响计算机信息系统安全的数据。
由上可见,刑法中以「数据」为直接保护对象的核心罪名实际上均对条文中「数据」的范围进行了部分限定。然而,数据与计算机信息系统之间虽然属于内容和载体的关系,但这并不意味着两者的价值紧密绑定,导致我们不能根据刑法现有罪名条文对数据犯罪概念中「数据」的定义进行确立。
其一,该司法解释未明确数据的定义。事实上,「数据」一词在【危害计算机信息系统解释】中多次出现,该司法解释所涉及的犯罪也均以数据为重要的犯罪对象。然而,该司法解释仅在第11条对「计算机信息系统」「计算机系统」「身份认证信息」等概念进行明晰,唯独未就更为重要的「数据」概念作定义。
其二,该司法解释同样存在将数据与计算机信息系统进行绑定保护的意图。该司法解释第4条就破坏计算机信息系统罪的构罪标准进行了规定。其中,第二种情形主要围绕破坏计算机信息系统数据的构罪标准进行设置。根据司法解释规定,对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的,相关行为构成破坏计算机信息系统罪。该条规定同样存在将数据与计算机信息系统进行绑定保护的意图,即不法行为人需要破坏特定数量计算机信息系统中的数据才可能构成犯罪。
其三,该司法解释甚至存在进一步限缩数据范围的不当倾向。该司法解释第1条就非法获取计算机信息系统数据罪的构罪标准进行了设置。然而,该条仅就非法获取涉身份认证信息数据行为的构罪标准进行重点说明,却对非法获取其他数据行为的构罪标准「泛泛而谈」。结合非法获取计算机信息系统数据罪的设立背景,刑法设立该罪的初衷主要是防止不法行为人利用技术手段窃取国家事务、国防建设、尖端科学技术领域以外的计算机信息系统中的账号、密码行为,这或许可以在一定程度上解释为何该司法解释在颁布之初仅对涉及身份认证信息的数据进行特别关注,而对其他数据有所忽视。但时至今日,非法获取数据的行为方式更加多样,获取数据范围更加广泛,相关行为的社会危害性与日俱增,对涉身份认证信息数据的特别关注已不再必要。现阶段,数据处理者完全有能力利用各种数据分析技术和数据挖掘技术,从海量杂乱的一般数据中挖掘涉及个人信息、商业秘密、国家秘密等特殊数据。例如,基于特定算法,研究人员有99.98%的几率根据15项经过匿名化处理的人口统计信息数据复原美国普通民众的真实身份。在这种时代趋势下,受刑法明确保护的特殊数据与尚未得到刑法全面保护一般数据之间转化渠道更加便捷且多样,两者的边界将愈发模糊,刑法仅仅通过将某些侵害特殊数据行为纳入规制范围已无法实现对数据的全面保护。因此,该司法解释在颁布之初对数据范围的限缩倾向已无法与社会发展现状相适应。
值得关注的是,在司法解释未就数据定义作明确规定的背景下,不同司法机关在认定数据犯罪过程中往往会围绕数据犯罪的适用范围产生分歧。部分司法机关将涉身份认证数据以外的个人信息、网络虚拟财产等视为数据犯罪的犯罪对象,还有部分司法机关将网络知识产权(试题数据库、游戏源代码)、其他网络财产性利益(网络积分、手机靓号信息等)以及数据产品(医院用药数据、公司经营数据等)视为数据犯罪的犯罪对象。由于立法和司法解释对数据犯罪概念中「数据」定义的忽视,司法机关在认定数据犯罪过程中被赋予了「过度」的自由裁量权,容易造成数据犯罪适用范围不当扩张的困境。
随着网络安全法、数据安全法等法律和其他法规的相继出台,我国基本形成对数据的法律保护体系。为实现与前置法的有效衔接,在刑法和司法解释对数据定义不明确的前提下,数据犯罪概念中「数据」的定义或许还可以适当借鉴和参照前置法律、法规等对数据的定义内容。但是,前置法律、法规对数据的定义尚不统一,存在三种不同的定义标准。首先,网络安全法(2017年出台)第76条将数据定义为「通过网络收集、存储、传输、处理和产生的各种电子数据」。该法将数据限定为一切电子数据,这似乎意味着一切计算机信息系统中的计算机语言、文字、符号等均属于该法保护的数据范畴。其次,数据安全法(2021年出台)第3条将数据定义为「任何以电子或者其他方式对信息的记录」。该法认为数据与信息之间是一种载体和内容的关系。对比网络安全法对数据的定义,数据安全法并未将数据的表现形式限定于电子方式。由于该法并未对「以其他方式对信息的记录」进行具体明确说明,这似乎意味着以纸质方式等对信息的记录也属于该法保护的数据范畴。最后,国家互联网信息办公室公布的【网络数据安全管理条例(征求意见稿)】(2021年出台)第73条将数据定义为「是指任何以电子方式对信息的记录」,同年出台的【网络安全标准实践指南——网络数据分类分级指引】对数据同样作此定义。根据该条例规定,数据与信息之间仍是一种载体和内容的关系,但数据的表现形式仅限于电子方式。
归结来说,网络安全法将数据定义为电子数据;数据安全法将数据定义为以电子或者其他方式对信息的记录;【网络数据安全管理条例(征求意见稿)】将数据定义为以电子方式对信息的记录。上述三种对数据定义的不同规定实际上反映出社会上对待数据的三种不同认知。其中,网络安全法更偏向确立数据的形式特征(数据必须是以电子方式存在),至于数据是否必须承载信息内容不是其关注重点;数据安全法更偏向确立数据的实质特征(数据必须承载信息内容),至于数据是否必须是以电子方式存在不是其关注重点;【网络数据安全管理条例(征求意见稿)】则同时兼顾数据的形式和实质特征(数据在形式上应限于电子方式,在实质上应承载信息内容)。在前置法对数据定义产生严重分歧的背景下,数据犯罪概念中「数据」的定义亦难以直接借鉴或照搬前置法对数据的有关定义。
综上所述,关于数据犯罪的侵害对象——「数据」的具体定义,既无法直接通过现行刑法条文、刑法司法解释进行明确或推导,也无法简单借鉴或照搬某一前置法律或法规对数据的定义内容。
对数据犯罪概念中「数据」进行界定首先需要解决两个方面的问题,一是在形式上,数据犯罪概念中的「数据」是否应限于电子方式;二是在实质上,数据犯罪概念中的「数据」是否必须承载信息。
笔者认为,在形式上,数据犯罪概念中的「数据」应限于以电子方式存在的数据(电子数据)。
首先,从日常用语角度分析,数据犯罪概念中的「数据」应限于电子数据。除了表示数字、数值外,人们在日常用语中通常将数据一词与电子数据作相同理解。例如,我们往往难以将纸张记录的内容、广播传播的内容或是电报传递的内容称为数据,而更多的是将计算机信息系统中存在的信息内容称为数据。
其次,从刑法体系角度分析,数据犯罪概念中的「数据」应限于电子数据。虽然学界仍有部分学者认为数据与信息在词义上并不存在差异,两者均可以通过多种方式(如纸张、岩壁、音像等)进行展现,甚至部分前置法也并未对两者进行明显区分,但我们至少应当承认刑法中数据与信息的词义并不相同。否则,【刑法修正案(七)】没有必要刻意将「数据」与「信息」加以区分,分别设立「非法获取计算机信息系统数据罪」以及「侵犯公民个人信息罪」,而没有设立「非法获取计算机信息系统信息罪」或「侵犯公民个人数据罪」。同时,现行刑法中对数据进行直接保护的核心罪名是非法获取计算机信息系统数据罪和破坏计算机信息系统罪,相关罪名的条文规定均将「数据」限定为「计算机信息系统中存储、处理或者传输中的数据」。而计算机信息系统中的一切数据显然仅指电子数据,并不包含以其他方式存在的数据。
最后,从刑法保护必要性角度分析,数据犯罪概念中的「数据」应限于电子数据。相较于以其他方式存在的信息而言,电子数据具有易存储性、易传播性和易处理性等特性。相关特性使得电子数据可以大量汇聚于互联网或计算机信息系统之中形成「大数据」,且便于人们利用计算机技术对数据蕴含的信息内容进行全面分析和挖掘,进而衍生新的信息内容。只有依托信息技术的发展,才能从数据中提炼多重信息,进而实现知识的积累和智能的不断提升。可见,电子数据的出现提高了人们对信息的收集、存储、分析、使用能力,极大缩减了人工的劳动时间和成本。这意味着,不法行为人更容易利用计算机技术在短时间内对电子数据蕴含的个人权益、社会权益乃至国家安全利益等造成危害。在同等条件下,非法获取、泄露、分析、使用电子数据行为的法益侵害性要明显胜于非法获取、泄露、分析、使用其他信息行为。因此,刑法理应对电子数据实行更高标准的保护。事实上,现行刑法已经存在这种区别保护的倾向,即刑法设立了非法获取计算机信息系统数据罪和破坏计算机信息系统罪对一般数据进行保护,而没有设立任何罪名对一般信息进行保护。需要特别说明的是,笔者定义数据犯罪概念中「数据」的形式特征是为了区别数据犯罪与信息犯罪、计算机犯罪等其他犯罪类型,即明确数据犯罪这一概念的核心要义是以电子数据为犯罪对象的犯罪。但是,笔者并不否认数据犯罪确实可能与信息犯罪存在一定的交叉,因为信息也可能以电子方式存在,大部分信息犯罪当然也可能转化为数据犯罪。
此外,将数据犯罪概念中的「数据」限于电子数据虽然与数据安全法对数据的定义有所冲突,但这种「冲突」并非不可调和。作为刑法的前置法,数据安全法面向的是复杂多样的数据流通和管理领域的新问题,加之理论和实务均未厘清数据与信息的区别,数据安全法从宏观统筹的角度对数据的形式特征进行一定程度的模糊化规定或许是一种权宜之计,但这种权宜之计显然不能适用在对数据犯罪概念的界定上。刑法具有片段性,并非所有侵害数据的行政违法行为均应当受到刑法的规制。因此,数据犯罪概念中「数据」的表现方式,完全可以小于数据安全法所定义的数据表现方式范围,将数据犯罪概念中的「数据」的表现方式限定为电子方式并不会与数据安全法的有关规定相冲突。
一般而言,大部分数据都承载着一定的信息内容,但仍存在部分数据并不承载任何信息内容,这些不承载信息内容的数据包括计算机信息系统中单纯的计算机语言、文字、符号等。进一步而言,不承载信息内容的数据又可以细分为表征数据处理规则的数据以及其他数据。其中,表征数据处理规则的数据与计算机信息系统具有天然的紧密关联性,针对这类数据实施的不法行为可能对计算机信息系统安全造成危害,该类数据具有刑法保护的必要性;其他数据则无涉系统安全,相关数据仅为系统的运行提供辅助作用,因而并不值得刑法的单独保护。例如,视频数据的组成除了承载信息内容的数据外,还包括在处理、加工、运行相关视频过程中起到关键性作用的计算机指令、代码规范等数据处理规则(这些计算机指令、代码规范仅具有支撑系统运行的功效,并不承载任何信息),以及其他并不具有实际意义的冗余数据。对数据犯罪概念中「数据」进行定义,便不可避免要讨论是否应将表征数据处理规则的数据视为数据犯罪概念中「数据」的范围,即讨论数据犯罪侵犯的数据是否必须承载一定信息内容。笔者认为,数据犯罪概念中的「数据」不应包括表征数据处理规则的数据,应仅限于承载信息内容的数据。
首先,表征数据处理规则的数据与承载信息内容的数据在蕴含的法益内容上存在本质差异。应当看到,表征数据处理规则的数据实际上属于计算机信息系统的组成部分。【危害计算机信息系统解释】已明确将所有计算机硬件设备和软件程序纳入计算机信息系统的范畴,而表征数据处理规则的数据(计算机指令、代码规范等)本质上是各类计算机硬件设备(服务器、计算机、U盘等)和软件程序的重要组成部分,这意味着表征数据处理规则的数据实际上也属于计算机信息系统的重要组成部分,该类数据蕴含的法益是计算机信息系统安全。而承载信息内容的数据并不必然依附于计算机信息系统,其蕴含独立的法益内容,该类数据蕴含的法益与数据承载信息内容所涉及的权益密切相关。据此,侵害表征数据处理规则的数据行为侵害的法益是计算机信息系统安全,而不是数据承载信息内容所涉及的法益,相关行为可能构成计算机犯罪而不是数据犯罪。值得说明的是,就现阶段而言,我国刑法中计算机犯罪和数据犯罪的罪名范围存在一定的重合部分,如非法获取计算机信息系统数据罪既属于计算机犯罪的范畴,也属于数据犯罪的范畴。从这种意义上看,侵害表征数据处理规则数据的行为所构成的犯罪既可能成立计算机犯罪,也可能成立数据犯罪。但应当看到,数据犯罪与计算机犯罪的部分重叠源于相关罪名规定存在将数据与计算机信息系统进行混淆规定的弊端,即现行刑法未能正视承载信息内容的数据具有值得单独保护的价值。在未来立法完善过程中,将数据(承载信息内容的数据)与计算机信息系统进行区别保护,即对数据犯罪与计算机犯罪进行明确界分,已被诸多学者所倡导。据此,理应将表征数据处理规则的数据与承载信息内容的数据进行刑法层面的区别保护。
其次,不法行为人对表征数据处理规则的数据与承载信息内容的数据在侵害方式上存在重要差异。由于表征数据处理规则的数据属于计算机信息系统组成部分,其并不承载具体信息内容,相关数据的核心功能价值在于支撑计算机信息系统的正常运行,不法行为人通常仅会利用技术手段针对该类数据实施破坏、删除行为,一般不会针对该类数据实施非法获取、分析、使用行为。承载信息内容数据的核心功能价值则在于该类数据记录的信息内容能为政府社会管理、企业市场运营、个人生产生活等提供各种便利,不法行为人可能针对该类数据实施非法获取、分析、篡改、删除、使用等各类行为。由此可见,不法行为人针对两种数据存在明显不同的侵害模式,两种数据的刑法保护模式也应有所不同。
最后,我国最新立法和政策文件均指向对承载信息内容数据的保护。【数据安全法】在第3条虽然对数据的形式特征采纳了更为宽泛的定义,但仍明确数据具有「对信息的记录」这一实质特征。据此,该法所欲规范「数据处理活动」和保障「数据安全」中的「数据」,均指向承载信息内容的数据,不包括不承载信息内容的数据。同时,【数据二十条】提出「作为新型生产要素」的「数据」,实际上也指承载信息内容的数据。例如,该意见提出「维护国家数据安全」「促进数据合规高效流通使用」「以数据产权、流通交易、收益分配、安全治理为重点,深入参与国际高标准数字规则制定」等一系列指导思想,均旨在进一步明确承载信息内容的数据在数字经济发展中所起的主导作用,并要求构建有关承载信息内容数据流通、交易、使用、分配等各环节的社会规范和市场秩序。表征数据处理规则的数据既不存在数据合规问题,也不蕴含数据产权,并非【数据二十条】所关注的对象,与我国数字经济发展战略实则关系不大。
根据前述分析,将数据犯罪概念中的「数据」限定为承载信息内容的数据既能实现我国刑法体系的自洽性、精准性,也顺应国家发展战略,因而是较为妥当的。综上所述,数据犯罪概念中的「数据」在形式上应限于电子方式,在实质上应承载信息内容,即数据是由电子化载体(比特)和具体承载内容(信息)组成的。数据犯罪概念中「数据」的定义应更多参照【网络数据安全管理条例(征求意见稿)】对数据定义的有关立场(以电子方式对信息的记录)。
在前文明确数据犯罪概念中「数据」应限于「以电子方式对信息记录」这一结论的基础上,有必要对数据所记录信息内容的范围加以进一步的明确。其中,最值得关注的两个问题是,是否有必要将承载非特殊信息内容的数据(一般数据)纳入刑法保护范围,以及是否有必要将虚拟财产解释为数据犯罪的对象,进而对侵犯虚拟财产行为适用数据犯罪有关规定进行定罪处罚。
笔者认为,随着一般数据应用面向和市场价值的逐步提升,刑法确有必要明确将一般数据纳入保护范围。
其一,将一般数据纳入刑法保护范围具备一定的法定基础和依据。刑法设立非法获取计算机信息系统数据罪和破坏计算机信息系统罪虽然存在将数据与计算机信息系统进行绑定保护的倾向,但相关罪名确实在单纯的条文表述上将包括一般数据在内的一切计算机信息系统中的数据纳入刑法保护范围。【危害计算机信息系统解释】第1条也同样明确,即便行为人对涉身份认证信息数据之外的其他一般数据实施非法获取行为,只要相关行为的违法所得或造成的经济损失达到特定数额标准,该行为仍成立犯罪。加之,在对新型侵犯数据行为的认定上,司法机关工作人员也有责任灵活运用司法解释的规定,适时、适度调整对相关犯罪行为的认定思路,以保障新型科技产业的健康发展。因此,将一般数据纳入刑法保护范围,已具有刑法条文和司法解释等的法律依据。
其二,将一般数据纳入刑法保护范围有利于形成对数据的体系性保护格局。随着数据分析技术的成熟和普及,一般数据与特殊数据之间的转化变得愈发便捷,两者的边界愈发模糊,各类一般数据已频繁成为不法行为的侵犯对象。如果刑法不对一般数据进行独立保护,则任何人均有可能通过对一般数据的收集和分析,衍化特定的特殊数据,进而利用特殊数据所记录的信息内容对个人法益、社会法益和国家安全等造成威胁。仅对特殊信息内容进行刑法保护的传统模式已逐渐失去其应有的功效,有必要将一般数据纳入刑法保护的数据范围。
其三,将一般数据纳入刑法保护范围符合社会发展的现实需求。在数字经济时代背景下,数据的开放和共享已成为人类社会不可逆转、不断加速的社会思潮。随着数据共享、交易市场和社会秩序的逐步建立,过去通常被认为价值较低的各类一般数据,其应用场景和模式都获得了新的诠释,一般数据的价值逐步提升。然而,现阶段我国有关数据确权、数据安全等的制度构建尚不完善,很多企业甚至部分政府机关对数据开放共享望而却步。刑法及时并适当地介入对一般数据的保护,一方面能够通过给企业施加一定的刑罚威慑力,将企业对个人数据的收集、分析、使用限定在合法和合理的范围内;另一方面也能够通过明确政府对数据收集、分析、共享、使用的边界,防止政府滥用权力现象的发生。如此,可以进一步消除数据权利人不愿、不敢和不能共享、交易数据资源的顾虑,从而有利于数字经济的健康有序发展。
其四,将一般数据纳入刑法保护范围已得到世界各国的广泛响应。应当看到,将一般数据加以刑法保护已逐渐成为一种世界范围内的趋势。例如,法国刑法典第323-1条规定,非法入侵或拒不退出整体或部分数据自动处理系统的,如果造成该系统存储之数据被删除或更改,或者导致该系统运行受到损害的,处3年监禁并科以100000欧元罚金。第323-3条规定,非法增加、摘录、持有、复制、传递、删除或更改数据处理自动处理系统之数据的,处5年监禁并科以150000欧元罚金。德国刑法典通过设立第202条a窥探数据罪、第202条b截获数据罪、第202条c窥探和截获数据的预备罪、第202d条数据窝藏罪、第303条a数据变更罪以及第303条b破坏计算机罪等数据犯罪罪名,对非法探知、获取、存储、篡改、流通、限制访问一般数据行为进行全方位的刑法规制。意大利刑法典同样通过设立第615-4条非法持有和传播进入信息或通信系统的密码罪和第615-5条传播旨在损坏或者中断信息系统的程序罪,对非法持有、传播、损害一般数据行为予以刑法规制。
其五,将一般数据纳入刑法保护范围并不违背刑法的最后手段性。可能会有观点认为,刑法具有最后手段性,如果其他法律足以实现对一般数据的充分保护,刑法便没有介入的必要。对此,笔者并不赞同。首先,通过民法和行政法难以实现对各阶段数据处理行为的全面规范。其次,理论上并没有固定的判断标准来确定前置法是否足以对不法行为进行充分有效的约束,刑法的最后手段性更多是一种刑法理念的倡导。最后,对一般数据进行刑法保护并不意味将一切侵犯一般数据的违法行为均规定为犯罪。我国刑法第13条明确规定「情节显著轻微危害不大的,不认为是犯罪」,该条实际上已然说明犯罪和一般违法行为虽然都具有社会危害性,但两者的社会危害性存在量的差异,因而所获得的国家评价有所不同。据此,我们完全能够通过设置相关构罪标准,将侵犯一般数据且「情节严重」的行为交由刑法规制,将其他情节不严重的侵犯一般数据违法行为交由行政法规制。具体来说,可以从一般数据的类型和不法行为方式两个方面对侵犯一般数据犯罪行为与违法行为进行区分。一方面,并非所有的一般数据均值得刑法保护,虚假的一般数据和过时效的一般数据便无须受刑法保护。但因为人为的失误、机器的误差以及行为人有意识的造假等因素,部分数据所承载的信息内容也可能「失真」。虚假的数据不但不能为人们生产生活中的各项决策提供正确的指引和准确的参考,反而会使决策者受到误导从而作出不恰当的决策。过时效的一般数据也不属于刑法保护的一般数据。虽然理论上数据可以永存,但实际上数据的价值是具有时效性的。其中,部分一般数据所记录的事物在客观上可能发生变化。例如,经过脱敏技术处理的个人职业、收入、住址等一般数据所记录的信息内容可能随着时间的推移而发生改变。再如,部分一般数据的价值会随着时间的推移而不断降低。虽然数据记录的信息内容并没有发生变化,但相关信息内容却可能随着时间流逝而不再具有很强的现实意义,该类数据的价值也会随着时间的推移呈现递减之势。事实上,社会上每年所产生的数据总量都要远超过上一年产出的数据总量。另一方面,并非一切侵犯一般数据的违法行为均应被规定为犯罪。相比涉个人信息数据等特殊数据而言,一般数据的价值更低,侵犯一般数据行为的法益侵害性也当然更轻。考虑到现行刑法尚未将法益侵害性更为严重的非法存储、使用个人信息行为纳入规制范围,尚没有必要将非法存储、使用一般数据行为纳入犯罪圈。
随着网络游戏行业和社交平台的发展,网络空间中出现了一种新型承载信息内容的数据——虚拟物品。虚拟物品的范围较为广泛,包括虚拟社交空间、虚拟饰品、虚拟装备、虚拟货币等。其中,我们通常将具有财产属性特征的虚拟物品称为「虚拟财产」。由于虚拟财产既是以数字化的表现方式存于网络空间中,同时也承载一定的信息内容(任何虚拟财产都或多或少承载着对该物品名称、图像、属性等基本介绍信息内容),根据前文对数据犯罪概念中「数据」的特征定义,虚拟财产似乎也属于数据犯罪的一种犯罪对象。如此,侵犯虚拟财产的行为似乎也可能构成数据犯罪。根据这一结论,学界有不少学者认为,由于虚拟财产本质上仍然是数据,非法获取他人虚拟货币、虚拟游戏装备等虚拟财产的行为,无论是否构成财产犯罪,至少符合非法获取计算机信息系统数据罪或破坏计算机信息系统罪的客观行为要件。事实上,已有不少司法判例同样将非法获取虚拟财产的行为认定为非法获取计算机信息系统数据罪、破坏计算机信息系统罪等数据犯罪。为实现刑法体系的精准性、自洽性,应将虚拟财产排除出数据犯罪概念中「数据」的范围。
首先,虚拟财产蕴含的法益与承载具有实质意义信息内容的数据蕴含的法益内容不一致。根据通说观点,一切犯罪行为都势必对受刑法保护的法益造成侵害。而所谓受刑法保护的法益,是指个人的或者集体的因为对社会有着特别意义而值得刑法予以保护的正当利益。对于数据这一「人造物」而言,其被创造的意义便是为人类社会的生产生活提供特定的便利,正是基于这种便利,数据对社会而言具有一定的价值,并值得法律对其进行保护。应当看到,数据所蕴含的法益内容与数据为人类社会所提供的便利密切相关。进一步分析不难发现,虚拟财产与承载实质意义信息的数据能为人类社会提供的便利内容并不相同,而不同的便利内容所指向的值得刑法保护的正当利益并不一致,两者所蕴含的法益内容当然不尽相同。根据学界目前的主流观点,如果虚拟财产具备市场经济价值、交易可能性、管理可能性,将其解释为刑法中的「财物」并不存在障碍。因此,就现阶段而言,虚拟财产蕴含的法益更多指向财产法益,至于虚拟财产所承载的信息内容,实则是对相关软件功效或服务内容的描述性信息,这类信息通常无法为人类社会生产生活提供任何有价值的参考,其并不具有任何现实意义,不具有使用价值,因而不可能蕴含值得刑法保护的法益。据此,现阶段侵犯虚拟财产行为只可能构成财产犯罪,「如果虚拟财产不具有经济价值、交易可能性、稀缺性等特性,非法获取虚拟财产的行为便当然构成非法获取计算机信息系统数据罪等数据犯罪」的结论是不能成立的。
相较而言,承载具有实质意义信息内容的数据为人类社会提供的便利内容在于其所承载的信息内容蕴含了特定的「知识」,而相关「知识」能够为人类生产生活中某些领域的决策提供参考,该类数据才具有价值。据此,承载具有实质意义信息内容的数据蕴含的法益实际上指向相关「知识」所涉及的值得刑法保护的正当利益。学界很多学者将数据法益定义为一种综合了财产权、人格权和国家主权属性的新型法益,实际上便是指相关数据承载的信息内容所隐含的知识可能与财产、人身、国家安全等相关。与虚拟财产所承载的描述性信息不同,知识具有极强的互联性。根据上述分析,虚拟财产与承载具有实质意义信息内容的数据所蕴含的法益具有较大差异。虚拟财产所蕴含的法益根源于被数字化的计算机软件功效或服务具有市场经济价值,法益内容主要指向财产法益;而承载实质信息的数据所蕴含的法益根源于被数字化的特定信息内容或知识具有一定的价值,法益内容则包括个人法益、社会法益、国家安全等。据此,如果数据犯罪这一犯罪类型中存在两个不同具体犯罪行为分别对不同的法益造成侵犯的情况,则数据犯罪在刑法体系中的定位便会愈发模糊,导致我们难以准确把握数据法益的核心内涵。
其次,不法行为人侵害数据行为的主要客观行为方式不同。由于行为人实施侵害数据行为的主观目的不同,其针对虚拟财产和承载具有实质意义信息内容数据所实施的客观不法行为方式便有所不同。不法行为人在实施侵害虚拟财产行为过程中,其主观目的更多是为非法享有(占有)特定的计算机软件功效或服务,或破坏他人合法享有(占有)的计算机软件功效或服务。因此,行为人主要通过非法获取、破坏的方式对虚拟财产加以侵犯。考虑到虚拟财产所承载的有关软件功效或服务的描述性信息内容对不法行为人而言没有任何意义,行为人不太可能针对该虚拟财产承载的信息内容实施非法操纵、分析和后续的非法使用行为。而在侵害承载具有实质意义信息内容数据行为过程中,不法行为人的主观目的则更为多样,行为人既可能以单纯知悉或毁坏数据所承载的信息内容为目的,实施非法获取、破坏数据行为,还可能为实现其他非法目的,实施非法操纵、分析、使用数据等行为。可见,行为人侵犯虚拟财产与侵犯承载具有实质意义信息内容数据在客观行为方式上存在较大差异。
综上所述,为实现刑法的精细化、体系化和合理化,应对数据犯罪概念中的「数据」范围进行限定,将虚拟财产等不承载具有实质意义信息内容的数据排除出数据犯罪概念中「数据」的范围。
上海市法学会官网
http://www.sls.org.cn
