文章来源:本文发表于《比较法研究》2021年第5期。
目次
一、导言
二、德国数据刑法保护模式之比较考察
三、我国数据刑法保护模式的体系建构
四、结语
摘要:德国通过附属刑法和核心刑法所建立的二元数据刑法保护模式,在体系架构、法益定位、构成要件设置等方面具有启发意义。个人数据犯罪虽具有现象层面的公共性和社会性,但保护法益仍然是作为个体法益的个人信息权。侵犯公民个人信息罪的行为类型不宜局限在数据流转过程中的非法获取和提供,而应有条件地将犯罪产业链下游的非法使用、处理行为纳入。一般数据犯罪的应然保护法益是数据主体对一般数据的形式支配权限,以及对一般数据的私密性、完整性和可用性利益。我国一般数据犯罪的罪名无法实现对上述法益的独立性、完整性、体系性保护,其存在结构错位、保护不周等问题,应从国际视角出发对相应构成要件进行完善与调整。
关键词:个人数据;一般数据;刑法保护;法益;构成要件
一、导言
当今时代,数据和信息的重要性在我们所处的社会达到了前所未有的程度。早在互联网还没有产生之前,麦克卢汉就曾指出,信息是关键的商品,而实物产品只不过是信息运动的偶然形态。其后,人们逐渐意识到,数据和信息不仅仅是像石油那样具有稀缺性,而是更像我们这个世界运行所仰赖的血液、食物和生命力。数据并非某种被动等待人类加工处理的资料,它已经成为构建当代人类生活方式和认知方式的基础。如学者所言,世间万物都可被数据化,而将世界看作信息,看作可以理解的数据的海洋,为我们提供了一个从未有过的审视现实的视角。在这样的社会背景下,数据的刑法保护自然成为了无法回避的重要命题。
在过去十余年间,我国刑法学界围绕侵犯公民个人信息罪的立法与司法展开了探讨。然而,一方面,对于个人数据刑法保护的基本模式和目标设定,仍然缺乏基本共识;另一方面,在更为宽阔的视野中,如何建构整体的数据刑法保护模式,学界的探讨更是有待深入。信息注重内涵,数据强调载体,二者乃一体两面的概念,因此,个人信息和个人数据大体可以在同等意义上使用。然而,伴随着大数据时代的来临,个人数据之外的其他一般数据同样具有重要价值,它可能涉及经济利益、保密利益、使用性能等多重维度。因此,在个人数据刑法保护的基础上,如何进一步建构起一般数据的刑法保护体系,并统筹好二者的关系,亟需在理论上作出回应。
数据的刑法保护是当下全球范围内普遍关注的重要议题。而且,由于数据具有全球流动性特征,数据刑法保护的规范标准也应当在国际范围内相互协调。在此意义上,对数据刑法保护的比较研究显得尤为重要。尽管目前学界已经对上述国外数据保护立法进行了较多介绍,但对相关的刑法规范仍然缺少细致考察。有鉴于此,本文将重点对欧洲法律一体化背景下的德国数据刑法保护规则进行梳理,总结其经验,在此基础上对我国数据刑法保护的体系建构提出基本思路与完善建议。
二、德国数据刑法保护模式之比较考察
在世界范围内,德国一直是数据保护方面的“模范生”。德国最早通过明确立法对数据进行严格保护,最先探索了数据法律保护的规则框架,并且在此领域内长期致力于欧洲法律一体化的协调发展,深深影响了欧洲乃至全球许多国家和地区的数据法律治理进程,值得作为样本重点加以比较分析。具体而言,德国的数据刑法保护可以概括为两条主线:其一,以《德国联邦数据保护法》中附属刑法规范为基础建立的对个人数据的全面保护;其二,以《德国刑法典》为依托设立的对一般数据的体系保护。二者共同构成了德国数据刑法保护的基本框架。在目前的一些文献中,往往将二者加以混淆,因此有必要加以系统介绍。
(一)对个人数据的刑法保护
早在1970年,德国率先通过了世界上第一部个人数据保护法,即《黑森州数据保护法》。1973年,瑞典紧跟其后通过了《瑞典数据保护法》。以前两者作为参考,1977年德国正式在联邦层面通过了《德国联邦数据保护法》,此后的几十年间经历了多次修正。2018年5月,欧盟《通用数据保护条例》正式生效。为了与该条例相适应,2019年11月德国议会对《德国联邦数据保护法》进行了距今为止的最后一次修订。这次立法活动对《德国联邦数据保护法》进行了相当大幅度的修改,在刑事犯罪条文部分也是如此。
1.立法目标与保护法益
旧版本的《德国联邦数据保护法》在第1条第(1)款就曾开宗明义地指出,该法的目的在于保护人格权(Persönlichkeitsrecht)在个人数据处理过程中不受侵害。但是,新版本的《德国联邦数据保护法》删除了法律目的这一款。理论上认为,这意味着在《德国联邦数据保护法》中目前更加优先处理欧洲法而非国内宪法。随着《通用数据保护条例》的生效以及法律欧洲化的进一步发展,一般人格权以外的其他保护利益也进入了考察范围,如该条例“导言”第2条中便提到自然人的“基本权利和基本自由”。当然,尽管《德国联邦数据保护法》对立法目标选择了开放式处理,但是不可否认,依照一直以来的理解,本法的主旨仍在于通过数据保护来实现一般人格权的保护。
由立法目标的设定所决定,《德国联邦数据保护法》所保护的直接客体并非一般意义上的数据,而是与个人具有关联性的个人数据(Die personenbezogenen Daten)。按照旧版《德国联邦数据保护法》第3条第(1)款的定义,所谓个人数据是指与一个已识别或可识别的自然人具有个人化或实质化关联的各种具体数据。虽然新版《德国联邦数据保护法》删除了对个人数据的定义条款,但是“个人数据”这一概念仍然是该法自始至终所使用的基本概念。
《德国联邦数据保护法》的立法目标和保护客体决定了该法保护法益的特殊性。早在20世纪70年代《德国联邦数据保护法》出台以前,立法材料中就已经明确提到,鉴于技术的进步,立法应当采取适当措施来保护数据处理过程中个体的私人领域(Privatsphäre)不受侵犯。此后相当长的一段时间内,德国联邦宪法法院也采取领域理论来认定一般人格权在私生活领域的具体化,对个人数据的保护也同样遵循此理。但是,在发生于1983年的人口普查案中,德国联邦宪法法院逐渐扬弃了领域理论,认为在自动化数据处理的现代条件下,人格的自由发展取决于个人有权对抗对其个人资料无限制的搜集、储存、使用与传送,就基本法上人格权的具体化来说,其内容必须包括个人自主决定何时以及在何种范围内公开其个人生活事实。这便是直到今天一直在德国占据主导地位的、作为一般人格权与基本权利组成部分的个人信息自决权理论,其也决定了《德国联邦数据保护法》附属刑法规范的保护法益内涵。
从领域理论转向个人信息自决权理论,意味着德国联邦宪法法院不愿再仅仅通过隐私权保护的传统路径来维护个人数据安全,而是将其上升到一种更为上位的宪法基本权利加以确证。之所以发生这种转变,主要是考虑到新的信息技术对个人数据保护所造成的冲击,因此通过更宽泛的法益定位来拓展保护范围。如齐白(Sieber)教授所言,由于现代信息技术可能被滥用,仅仅保护隐私领域尚不足以确保人格的自由发展,在当今信息技术条件下,对非隐秘的、公开的数据进行挑选并保存都可能导致对公民自由的威胁,因此,德国联邦宪法法院完成了向个人信息自决权的转变。
2.构成要件与行为类型
在上述立法目标、保护对象、保护法益的指引下,作为公民个人数据法律保护的最后手段,《德国联邦数据保护法》对严重侵犯公民个人信息自决权的行为规定了刑罚条款和相应的犯罪构成要件。显然,这类条文的基本性质属于附属刑法规范。随着《通用数据保护条例》的生效以及欧洲法律一体化的发展,《德国联邦数据保护法》中的附属刑法规范存在较大变动,在此,本文以2019年的最后一次立法修订作为分界线加以简要介绍。在《通用数据保护条例》生效以前,《德国联邦数据保护法》的个人数据刑法保护规范在结构和类型上颇为复杂。该法第43条第(2)款列举了9种秩序违反(行政违法)行为,包括在未经授权的情况下处理、收集、持有、读取个人数据,骗取个人数据,违反相关规定的目的而处理、使用、结合个人数据等。该法第44条第(1)款又规定,为了获取报酬,或者为自己或他人谋取利益,或者为了给他人造成损失,故意实施本法第43条第(2)款所列举行为,处以2年以下自由刑或罚金刑。该条第(2)款还指出,该类刑事犯罪告诉的才处理。有权提出告诉的主体包括数据主体、负责机构、联邦数据保护和信息自由专员,以及监管机构。
显然,上述附属刑法规范的规制范围相当宽泛,是否有必要为如此多元的行为类型设置刑罚条款,值得斟酌。此外,《德国联邦数据保护法》中的附属刑法规范基本全盘借用了行政违法行为的构成要件,这种复杂的套用式规范结构,也引发了德国刑法学界的批评。如齐白教授指出,一方面,由于指示引用民法和行政法上的规则,形成了具有多重从属性的复杂的规范体系;另一方面,所援引的规范中又有一些含义不明确的术语,这进一步加剧了法的不确定性。
在《通用数据保护条例》生效以后,为了实现欧洲法律的协调化发展目标,同时也为了回应上述立法不足的问题,《德国联邦数据保护法》中的罪刑条款得以大幅度修正。修订后的该法第42条规定:
(1)在未经授权的情况下,以营利的方式(gewerbsmäßig),故意将许多人的非开放个人数据传输给第三方或者通过其他方式使其开放,处3年以下自由刑或罚金刑。
(2)在未经授权的情况下,为了获取报酬,或者为自己或他人谋取利益,或者为了给他人造成损失,①处理未开放的个人数据,或者②通过虚假的信息骗取未开放的个人数据,处2年以下自由刑或者罚金刑。
(3)本条刑事犯罪告诉的才处理。有权提出告诉的主体包括数据主体、负责机构、联邦数据保护专员,以及监管机构。
新法修订后,德国个人数据刑法保护的框架发生了显著的变化。其一,在规制范围上,新法限缩、简化了刑事可罚行为类型,仅保留了传输、公开、处理、骗取(erschleichen)四种行为形态。尽管理论上有学者批判性地认为该附属刑法条文具有预防性特征,但是,较之于旧法,其改进之处还是不容置疑的。其二,在规范结构上,附属刑法条文不再借用行政处罚的规定,而是设置了独立的犯罪构成要件,无需再预先梳理繁琐的行政法前置规定,刑法适用更为清晰明确。其三,该条附属刑法规范,形成了一定的内部逻辑结构。例如有观点认为,该法第42条第(1)款所规定的以营利方式故意将许多人的个人数据进行散布的行为,实际上构成了第(2)款所规定的未经授权处理个人数据的加重犯。
(二)对一般数据的刑法保护
与通过《德国联邦数据保护法》的附属规范对个人数据进行刑法保护相对,《德国刑法典》对更为广阔的一般数据的刑法保护作出了体系化的规定。
1.立法目标与保护法益
《德国刑法典》第202a条第(2)款规定,该条所称数据,是指以电子的、磁性的或者以其他非直接感知方式进行存储或传输的数据。这一款规定对数据所作的广泛定义,被《德国刑法典》中其他数据和计算机犯罪条文所通用。与《德国联邦数据保护法》的首要不同之处在于,《德国刑法典》所保护的客体是一般的数据,其无需具有与公民个人及其人格的关联性。两种数据的刑法保护路径所对应的法益也有明显区别。理论上认为,《德国刑法典》的一般数据犯罪被概括为针对数据私密性(Confidentiality/Vertraulichkeit)、完整性(Integrity/Unversehrtheit)、可用性(Availability/Verfügbarkeit)的犯罪(英语简称为“CIA”犯罪)。更具体地说,《德国刑法典》第202a条以下的数据犯罪罪名保护的法益是对一般数据的形式处分权限或形式的保密利益,而不论数据的内容或权利人为何,这与通过个人数据保护来维护一般人格权和信息自决权的路径截然不同。而《德国刑法典》第303a条数据变更罪则被类比为一种“虚拟的损坏财物罪”,保护的是权利人对数据的完整可用性利益,作为行为客体的一般数据也无需一定具有经济价值。
2.构成要件与行为类型
围绕上述保护法益,《德国刑法典》对一般数据的刑法保护主要设置了以下几项罪名:
第一,第202a条窥探数据罪。该条规定,未经授权突破访问安全措施,为自己或他人获取数据访问路径,而对这些数据行为人无权支配且针对无权访问行为进行了特别安全防护,处以3年以下自由刑或罚金刑。
第二,第202b条截获数据罪。该条规定,未经授权利用技术手段,为自己或他人,从不公开的数据传输或从数据处理装置的电磁传送中,获取自己无权支配的数据,处2年以下自由刑或罚金刑。
第三,第202c条窥探和截获数据的预备罪。该条规定,为实施第202a和第202b规定的犯罪进行预备,对下列对象加以制作,为自己或他人获取、出售、转让他人、散布或以其他方式公开,处2年以下自由刑或罚金刑:(1)密码或其他允许数据访问的安全码;(2)用于实施这类犯罪的计算机程序。
第四,第202d条数据窝赃罪。该条规定,为自己或他人谋取利益,或者为了给他人造成损失,对于他人通过违法行为取得的非开放数据,为自己或他人进行获取、出售、转让他人、散布,或以其他方式公开,处3年以下自由刑或罚金刑。
第五,第303a条数据变更罪。该条规定,非法对数据进行删除、限制访问,使其不可用或者变更,处2年以下自由刑或罚金刑。
第六,第303b条破坏计算机罪。该条规定,对他人具有重要意义的数据处理,通过以下方式进行严重干扰,处3年以下自由刑或罚金刑:(1)实施第303a条第1款行为;(2)以使他人遭受不利后果为目的,输入或传输数据;(3)对数据处理装置或数据载体进行毁坏、损坏,使其不可用、清除或变更。
上述《德国刑法典》的条文,形成了完整的一般数据刑法保护规则体系。这一数据刑法保护框架是在内部和外部多重因素的影响下,经过数次修法逐渐得以构建。早在1986年,德国联邦议会通过了《第二部打击经济犯罪法》,新增设了第202a条窥探数据罪、第303a条数据变更罪和第303b条破坏计算机罪,其目的在于弥补传统罪名如侵犯通信秘密罪、损坏财物罪在网络空间中面临的适用难题和处罚漏洞。
2007年,为了贯彻2001年欧洲理事会通过的《网络犯罪公约》的规定以及2005年欧盟理事会通过的《关于攻击信息系统的框架决议》,《德国刑法典》一方面新增了第202b条截获数据罪、第202c条窥探和截获数据的预备罪,另一方面修订了原有的第202a条窥探数据罪、第303a条数据变更罪和第303b条破坏计算机罪。窥探数据罪中的“非法获取数据”被修改为“非法获取数据访问路径”,由此,黑客入侵行为正式被纳入刑法规制的范围;数据变更罪新增了第3款关于准用第202c条预备犯的规定;破坏计算机罪则增加了行为类型、加重构成要件、加重量刑事由以及准用第202c条预备犯的规定。
2015年,为了进一步打击对非法获取数据的交易,德国通过《通信数据的存储义务与最长存储期限引入法》新增了第202d条数据窝赃罪,以保护形式的数据保密利益免于受到前述犯罪侵害(即第202a—202c条犯罪)进一步延续和深化的不利影响。不过,这一条文在理论上备受质疑。在罪名设置上,有学者认为数据可以被复制和多重使用,原权利人仍可能继续处分数据,因而本罪行为与实体财物发生转移的窝赃罪无法类比。在保护法益上,则有观点认为缺乏相应的民法或其他规则确定数据的权属问题,因而本罪的设置是错误的。
(三)对德国数据刑法保护模式的基本评价
从以上梳理可以看出,德国数据刑法保护模式形成与发展的如下特点与经验可供参考:
第一,区分个人数据与一般数据刑法保护的两种基本路径,分别按照各自的内在逻辑加以体系化建构。在保护法益上,个人数据的刑法保护路径紧紧围绕公民个人信息自决权展开,以人格权和公民基本权利作为标准,保护范围相对限定;一般数据的刑法保护路径则以权利人对一般数据的私密性、完整性、可用性利益为中心来建构,保护领域相对较宽。个人数据犯罪的设置本质上是在信息网络语境下保护传统法益的一种特殊形态,而一般数据犯罪的设立与发展则体现了新型数据权利的形成。在规范结构上,个人数据的刑法保护主要采取附属刑法的方式来实现,与通用的个人数据保护法和其他部门法紧密关联,而一般数据的刑法保护则直接通过刑法典来完成,前置法的确权规则尚不完全明确。在罪名关系上,个人数据犯罪与一般数据犯罪各有侧重,但又并行不悖,两种路径的刑法保护各有侧重,在某些场合也完全可能发生竞合。过去我国的理论研究没有注意对德国附属刑法规范的梳理,因而常常将德国的个人数据犯罪与一般数据犯罪相混淆。同时,尤为值得注意的是,德国的一般数据犯罪罪名体系包含了传统的网络犯罪,而我国的立法与司法仍然主要围绕网络犯罪和计算机犯罪来建构,尚未树立起体系化的一般数据犯罪规制理念。
第二,关于数据的刑法保护,可罚行为类型逐渐拓宽、刑事处罚整体前置、法网日趋严密、刑罚幅度适度提升是基本趋势。就个人数据的刑法保护而言,直到《通用数据保护条例》生效以前,经过屡次修订的《德国联邦数据保护法》中的犯罪类型处在不断扩张的过程中。1977年该法首次通过时,仅规定了未经授权对个人数据进行非法传输、变更、读取和获取四种行为类型,而此后新的行为方式不断补充进来。当然,在《通用数据保护条例》生效以后,《德国联邦数据保护法》又再次回归相对简洁的行为模式,但附属刑法条款构成要件的涵盖面并不狭窄,而且处罚幅度也有所提升,最高刑首次达到了3年以下自由刑。就一般数据的刑法保护来说,处罚范围的扩张与前置更为明显,体现出了较强的预防刑法的特征。在行为链条的纵向维度上,对数据的非法访问、获取、变更(破坏)、窝藏逐渐形成体系,对侵犯数据权益的行为实现了从前端到后端、事前到事后的完整规制。在行为类型的横向维度上,经过立法修订,窥探数据罪、截获数据罪、变更数据罪、破坏计算机罪的预备行为都被纳入了刑事处罚范围,可谓采取了一种相当宽泛的“预备行为实行化”模式。而且,上述可罚预备犯罪的行为对象和具体行为形态也较为全面:行为对象包括密码、安全码以及各种计算机程序;行为形态则包括非法获取、出售、转让、散布和公开。德国数据刑法保护立法之所以采取相对积极的扩张性态度,一方面在于对数据权利的重视不断提升,另一方面则在于更为主动地应对信息社会语境下越发泛滥的数据犯罪。而与之形成鲜明对比,我国近年来虽然逐渐强调对数据的法律保护,但是在相关数据犯罪构成要件的设置上实际上仍然相当保守。
第三,两种数据刑法保护模式都体现了对刑法欧洲一体化、国际化趋势的及时回应。《德国联邦数据保护法》受到了欧盟层面一系列指令的影响,包括1995年《关于涉及个人数据处理中的个人保护以及此类数据自由流动的第95/46/EC号指令》、2002年《关于隐私与电子通信的指令》以及《数据留存指令》等,关于个人数据保护的附属刑法条文也相应得到修改。而2018年生效的《通用数据保护条例》则更是推动了《德国联邦数据保护法》中的个人数据刑法保护条款的体系性变革。与此相对应,《德国刑法典》所规定的一般数据刑法保护模式,则受到了2001年欧洲理事会《网络犯罪公约》以及2005年欧盟理事会《关于攻击信息系统的框架决议》的系统形塑。由此可见,德国数据刑法保护模式的架构,始终对刑法欧洲化、国际化给予了充分关照,因而也能够在打击信息网络犯罪的国际合作中享有一定的话语权。过去一些年来,我国的整体性数据保护立法(如《个人信息保护法》)对国际层面的数据保护规则(如《通用数据保护条例》)予以了充分重视,但刑事领域的规则设置仍然与国际性的公约和立法理念存在较大差异,值得对此加以深入考察和研判。
三、我国数据刑法保护模式的体系建构
德国区分个人数据与一般数据分别加以保护的二元结构,为我国数据刑法保护模式的体系化建构带来了重要启示。德国数据刑事立法的立体化(横向与纵向)扩张趋势,虽然不宜简单全盘认可,但是在如何严密刑事法网、完善处罚链条、全方位保护数据权利的问题上,提供了诸多可供参考的视角。德国通过吸收、兼容《网络犯罪公约》、《通用数据保护条例》等规范,在立足于本国国情的基础上,进一步在区域一体化、国际化的框架下完善刑事立法,也值得借鉴。因此,以德国数据刑法保护模式作为参照,可以以一种体系化的方式,在宏观和微观的不同层面重新审视和完善我国的数据刑法保护模式。
(一)我国数据刑法保护模式现状
首先,在规范结构方面,与德国附属刑法和刑法典齐头并进的模式不同,我国依赖核心刑法来实现对数据的一体化保护。从立法进程上看,我国的统一数据保护立法明显滞后。对数据和个人信息的保护,一直呈现一种所谓“先刑后民”的状态。在我国,早在2009年,《刑法修正案(七)》就已经增设了出售、非法提供公民个人信息罪,非法获取公民个人信息罪,以及非法获取计算机信息系统数据罪。这种立法进程的时间差,以及多年以来我国习惯性采取的刑法单轨立法模式,使得数据刑法保护的任务及其立法实现在我国目前只能通过“刑法修正案”的方式来不断完善。目前《个人信息保护法》第71条和《数据安全法》第52条都只是笼统规定“构成犯罪的,依法追究刑事责任”。随着《数据保护法》和《个人信息保护法》的陆续出台,今后应当协调好刑法与前置法在数据保护问题上的位阶关系。
其次,在体系建构层面,关于数据刑法保护模式的探讨仍然亟待深化。目前刑法学界的研究更多聚焦在个人数据(或个人信息)领域,但是对一般数据刑法保护的研究明显不够充分。事实上,个人数据的刑法保护只是整体数据刑法保护体系中的一环。个人数据以外的一般数据,在信息网络社会的语境下同样扮演着极为重要的角色。当今社会,数据绝不仅仅只是关乎个体公民的人格、尊严或隐私,而是已经成为了一种新型生活方式的基本载体。在商业领域,数据已经成为许多互联网企业最核心的资产。尤其是在物联网的语境下,万物互联的实现需要以数据安全作为基本前提。以自动驾驶为例,如果没有可靠和安全的数据作为“燃料”,显然无法真正得到普及。过去人们习惯于从企业经营业务、知识产权、个人信息等狭窄类别来理解数据的价值,而在大数据时代,随着信息处理技术的飞速发展,数据具有了无限潜能,所有数据都被认为是有价值的。通过对上述德国模式的梳理可以发现,对个人数据与一般数据的刑法保护路径,其底层逻辑和具体侧重并不相同,应当分别予以体系建构。
最后,在立法设置的合理性上,仍然存在较大的提升空间。就数据犯罪的立法设置而言,构成要件本身存在诸多不完善之处,而且这种不足很多时候难以完全通过法教义学的阐述来弥补。对于个人数据的刑法保护,我国目前主要依赖侵犯公民个人信息罪来进行,但是本罪行为类型的涵盖力仍然相当有限,无法提供一种体系化的个人数据刑法保护框架。对于一般数据的刑法保护,我国目前主要依托于非法获取计算机信息系统数据罪,但该罪的构成要件颇为简略,且存在一定的结构性缺陷,难以对一般数据的各项权利形成完整的保护链条。将上述罪名与德国的相关立法进行比较,我国刑事法网的严密性明显不足。
有鉴于此,笔者将分别从个人数据的刑法保护和一般数据的刑法保护两条路径,结合上述比较法考察得出的启示,以及相关法律原理、刑法规范和司法判例,阐述建构我国数据刑法保护体系的可能方案。
(二)个人数据刑法保护模式
我国个人数据的刑法保护模式,主要围绕《刑法》第253条之一侵犯公民个人信息罪来建构。广义的个人数据涉及到经济秩序保护、人格权保护、物权保护以及公共秩序保护,但是,如果仅仅围绕人格权以及个人可识别性特征来进行相对狭义理解,侵犯公民个人信息罪仍然是个人数据刑法保护模式的主要载体。
1.保护法益定位
侵犯公民个人信息罪的保护法益,直接决定了个人数据刑法保护模式的基本方向。近年来,对此问题的研究颇为丰富。主要的立场分歧之一在于,该罪到底保护的是个人法益还是超个人法益。在前一阵营中,理论上又可细分为隐私权说、个人信息自决权说、个人信息权说等;在后一阵营中,有集体法益说、公共信息安全说、社会信息管理秩序说等观点。总的来说,笔者认为,主张本罪的保护法益属于超个人法益的观点并不妥当。
其一,强调个人信息的公共性,并不能否定个人信息权利来源的个体性。学界有一种典型的观点认为,数据或信息具有公共性和可共享性,如果赋予个人对个人数据的排他控制权,会与人类社会进步发展的制度基础相悖。个人信息一旦进入社会流通领域,在实然层面当然具有一定的公共性。但是,这种公共性并非凭空产生的。本质上,个人信息的公共性,仍然是在多数公民以同意为基本原则进行一定授权的基础上汇聚而成。以实然存在状况代替应然的权利逻辑,实属一种倒果为因的思考方式。
其二,个人信息自决权的现实困难,也不是跳过个体法益转向公共法益或集体法益的理由。一方面,个人信息自决权和同意原则的落实在实践中并非不可能得到优化,而这种改善恰恰以普遍承认公民个体信息法益作为基本前提。另一方面,侵犯公民个人信息行为的群体性、规模化特征,也只是信息网络技术的运用放大、扩展了行为对个体法益侵害的普遍现象而已。例如,电信诈骗同样指向成千上万的被害人,但显然诈骗仍然是侵害个体财产法益的犯罪。2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯个人信息解释》)第5条对侵犯公民个人信息罪“情节严重”的认定设置了一定的数量标准,如非法获取财产信息应达到50条以上,非法获取住宿信息应达到500条以上。这些具体的量化标准,只是对我国刑法中罪量要素的细化规定,指明犯罪行为应当达到的不法程度,与侵犯公民个人信息行为的公共性、社会性并没有必然关联。反之,该司法解释的第5条实际上同时也规定了无需数量要件的入罪情形,如出售或提供行踪轨迹信息被他人用于犯罪,或知道他人利用公民个人信息实施犯罪而向其出售或者提供等。
在实践中,如果认为本罪保护的是抽象的超个人法益,如某种行政管理秩序,那么以个体为基础的信息权利将在司法实践中被彻底边缘化,刑事处罚边界将难以限定。例如,在公民自愿出售个人信息的“淘宝商铺转让案”中,判决绕过了个体法益的“要保护性”,将刑事可罚性完全建立在一种抽象的社会管理秩序之上。再如,上游公司没有违反信息被收集者的同意,也尽到了审查义务,但因下游公司存在侵犯公民个人信息行为,上游公司也被按照本罪不当定罪处刑。又如,在侵犯公民个人信息罪的司法适用中,死者的个人信息也常常被包括在内,这一点是否妥当仍有待深入研究。
其三,现有的立法、司法解释都已经将个人同意原则作为实现个人信息法律保护的基本路径,这也进一步证成了侵犯公民个人信息罪的个体法益属性。在前置法领域,《民法典》人格权编在隐私权规定之外,于第1034条独立规定自然人的个人信息受法律保护;第1035条则进一步明确,自然人或其监护人同意是处理个人信息的基本前提条件之一。《网络安全法》第41—42条也要求,网络运营者收集、使用个人信息,应当经被收集者同意。同样,《个人信息保护法》第13条也将个人同意列为处理个人信息的首要条件。而在刑法领域,《侵犯个人信息解释》第3条第2款的规定也间接确认了个人同意原则在该罪适用中的重要地位。
综上,侵犯公民个人信息行为虽然具有一定的事实现象层面的公共性、社会性特征,但该罪的保护法益仍然是个体法益。此外,在很多场景下,通过传统的个体隐私权路径,已经无法充分、全面保护公民个人信息相关权益。例如,在个人信息已经公开的场合,隐私权已经很难为个人信息保护再提供充分的依据,而简单地认为已公开个人信息完全不再受刑法保护并不妥当。在涉及隐私范围之外的一些个人信息,也不能一概排除其需保护性。理论上,学者已经对个人信息权与隐私权在权利属性、权利客体、权利内容、保护方式上的差异进行了系统阐述。而《民法典》人格权编更是明确将隐私权与个人信息保护加以分别规定。鉴于我国最新的民事立法规定,也考虑到一般人格权所具有的抽象概括性特征不利于真正落实法律保护,将侵犯公民个人信息罪的法益理解成作为新型具体人格权类型的个人信息权较为妥当,有利于刑法规范目标的实现和整体法秩序的协调并存。
2.构成要件与行为类型
在《刑法修正案(九)》通过后,过去的出售、非法提供公民个人信息罪和非法获取公民个人信息罪被合并为统一的侵犯公民个人信息罪,特殊主体身份的限制被取消,刑罚幅度有所提升,刑法规制范围更为合理。然而,整体而言,侵犯公民个人信息罪对公民个人信息仍然采取一种选择性保护的方案,这种保守的立场值得审慎反思。该罪目前的实行行为仅包括非法出售、非法提供、窃取和(以其他方法)非法获取四种类型。
2017年《侵犯个人信息解释》在一定程度上阐发、充实、扩展了上述行为类型。该解释第3条将非法“提供”分为“向特定人提供”与“通过信息网络或其他途径发布”两种情形,而且明确指出未经同意将合法收集的个人信息向他人提供,也属于这里的非法“提供”。该解释第4条则罗列了“窃取”以外的一些其他非法获取行为,包括购买、收受、交换、(在履行职责或提供服务过程中)收集等。此外,2018年最高人民检察院颁布的《检察机关办理侵犯公民个人信息案件指引》第2条第(三)项也作出了基本类似的规定。
尽管上述司法解释能够在一定程度上补强侵犯公民个人信息罪的涵盖范围和规制效力,但是该罪整体行为结构仍然存在诸多漏洞。按照《个人信息保护法》第4条的规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。个人信息的处理及其保护,是一项系统化的工程,各个环节共同构成一个完整链条。如果其中若干部分没有得到有效规制,就像木桶原理所描述的那样,会导致个人信息保护的有效性整体被拉低。
以上述《德国联邦数据保护法》第42条附属刑法条文为例,其第(2)款第(1)项规定了“未经授权处理”这一侵犯个人数据的概括行为类型。按照德国学界的理解,原则上这一行为内涵非常宽泛,对个人数据进行的各种操作都可涵盖。但是出于目的性限缩解释的考虑,这里的“未经授权处分”被相对狭义地理解为对个人数据私密性的侵害,主要包括收集、调出、获取、存储、联结、传输、散布以及使用等,而限制、删除、破坏则被排除在外。这样的一种立法表述,可以将包括使用、存储在内的数据处理的主要环节纳入刑法保护范围,避免某些重要环节被遗漏而影响个人数据保护的实效。
根据我国刑法第253条之一以及相关司法解释的规定,侵犯公民个人信息行为主要包括非法提供和非法获取两大类型,出售、窃取、购买、收受、交换、收集都是这两种基本类型的具体表现样态。本质上,上述行为只是涉及了数据转移和流动过程中的个人数据保护。个人数据的流动和转移往往发生在个人数据违法犯罪的上游和中游,而将个人数据加以非法利用、处理,并从中获取非法利益,才是整个数据犯罪灰黑产业链的最终落脚点。正因如此,刑法学界已有很多学者提议,应当加强对个人信息进行非法使用的刑法规制。理论上也有观点认为,从合法途径获取公民个人信息以后,在法律允许的范围内如何利用这些得到同意后流通的信息,无需刑法关注。然而,参照以《通用数据保护条例》和《德国联邦数据保护法》为代表的立法可知,个人信息自决权(或个人信息权)并非仅存在于数据流转阶段,而是贯通于整个数据处理过程。相应地,个人同意的效力也并非“一锤子买卖”,在获取个人数据之后,该原则对数据处理的合法性始终发挥着基本的决定性作用。
为了充分保护个人信息权,我国刑法有必要完善侵犯公民个人信息罪的规制范围。一方面,出于明确性的要求,将来立法应当将《侵犯个人信息解释》补充的几种行为类型纳入刑法条文之中。另一方面,除了非法使用个人信息之外,非法存储、非法加工、非法修改甚至非法删除个人信息等行为的刑事应罚性也值得认真考察。总体而言,侵犯公民个人信息罪的立法设置,应当充分考虑我国刚颁布的《个人信息保护法》对个人信息的链条化、体系化保护结构,并与之妥善衔接。
当然,这并不意味着无节制地扩张侵犯公民个人信息罪的处罚力度。以《德国联邦数据保护法》第42条的附属刑法规范为例,尽管其规制的行为类型较为全面和完整,但是处罚范围和强度却较为谦抑。其一,该条设置了一定的主观目的要素,如第(2)款中“为自己或他人谋取利益,或者为了给他人造成损失”这一要件。其二,该条设置了若干客观行为条件,如第(1)款中“以营利的方式”、“许多人的非开放个人数据”。其三,刑罚幅度最高没有超过3年自由刑。其四,不论是旧版还是新版的《德国联邦数据保护法》,始终将刑事可罚行为设置为告诉才处理的犯罪。
为了兼顾刑事处罚的体系性和刑法介入社会治理的谦抑性,侵犯公民个人信息罪的立法设置应当贯彻“严而不厉”的基本思想。首先,在拓宽可罚行为类型的同时,仍然应当设置相应的罪量标准和不法程度门槛,只处罚情节严重或情节特别严重的行为。不法程度较轻的侵犯个人信息行为,应当主要通过行政处罚和民事侵权来予以规制。其次,对敏感程度不同的个人信息和侵害程度不同的实行行为,具体的罪量认定标准也宜作出区分规定。再次,对不同类型的侵犯公民个人信息行为,可以考虑设置不同的刑罚幅度。例如,对于非法使用个人信息的行为,在处罚上可以相对轻于非法获取或非法提供个人信息的行为。最后,尽管我国刑法不宜效仿德国模式将侵犯公民个人信息罪设置为告诉才处理的犯罪,但是有必要在传统刑事规制路径之外,探索预防性治理机制,尤其是互联网公司和大数据公司应当积极开展个人信息保护的刑事合规计划。
(三)一般数据刑法保护模式
1.一般数据刑法保护模式与个人数据刑法保护模式的关系
如何处理一般数据刑法保护模式与个人数据刑法保护模式之间的关系,在理论上没有得到充分的关注,文献中不乏将二者混同的观点。例如,有学者认为,应当将侵犯公民个人信息罪的保护对象由“公民个人信息”拓展到“全部的信息数据”。然而,由于侵犯公民个人信息罪的保护法益属于人格权的具体形态,该罪的行为对象自然不可能泛化为与人格没有关联的一般信息数据。个人数据的刑法保护与一般数据的刑法保护本就属于两种不同的路径,二者在保护法益、行为对象、行为类型等方面都存在明显差异。一言以蔽之,个人数据的刑法保护关注数据作为载体所反映出来的人格利益,而一般数据的刑法保护注重数据本身作为行为客体的支配权限。有时即使信息已经公开,也不意味着数据已被获取或失去了保护的价值。
当然,在一定场景下,信息与数据问题可能发生混合,因而两种数据刑法保护方式也将产生竞合问题。例如,德国刑法学界普遍认为,侵犯个人数据的犯罪可能与侵犯一般数据的犯罪发生一罪意义上的想象竞合。个人信息常常以一定的数据形式表现出来,而一般数据又比个人数据在外延上更为宽广,采取的安全保护措施也经常有所不同,对二者的刑法保护自然处在一种交叉竞合的状态之中。这种交错的关系实属正常,可以从不同的维度保护数据背后的不同法益,防止出现处罚漏洞。有学者认为,应当将侵犯可识别性个人信息的行为从一般数据犯罪(即非法获取计算机信息系统数据罪)中剥离出来,主张该罪去识别性,乃至去财产性、去创造性。然而,数据在不同情境中体现出不同的属性,在适用保护个人数据的罪名时,无需排斥对一般数据及其相关法益的保护。将一般数据犯罪(即非法获取计算机信息系统数据罪)予以切分式限缩,不仅使本罪适用范围过于狭窄,而且徒增在罪名之间进行区分的难题。
将个人数据与一般数据予以区分的二元刑法保护路径,已经在多国立法中被广泛采纳。例如,在美国,接近于侵犯个人数据行为的身份盗窃,被视为一种传统犯罪类型,而针对一般数据的非法访问、获取行为,则通过《计算机欺诈和滥用法》予以特别规定。在英国,针对侵犯个人数据的行为,《数据保护法案》作出了专门规定,而针对无授权非法访问一般数据的行为,则主要由《计算机滥用法案》进行规制。事实上,这种二元保护格局也已经在我国现有的立法中呈现基本雏形。《个人信息保护法》第1条明确规定,该法的立法目的是保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用;而《数据安全法》第1条规定,该法的立法目的是规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。此外,《个人信息保护法》第4条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息;而《数据安全法》第3条规定,数据是指任何以电子或者其他方式对信息的记录。从上述立法目的和保护对象的差异可知,立法者试图对个人数据与一般数据分别进行保护。具体到刑事领域,同样也应当分别从个人数据与一般数据的刑法保护予以体系建构。
2.保护法益定位
尽管我国也存在一系列数据相关的罪名,但是目前直接针对一般数据设置的罪名是《刑法》第285条第2款非法获取计算机信息系统数据罪。关于非法获取计算机信息系统数据罪的保护法益,过去的理论常常根据本罪在刑法分则中的体系位置认定其具有破坏国家计算机信息安全管理秩序的性质,或者笼统地认为该罪侵犯的客体是计算机信息系统安全。但是,这种观点并不契合数据刑法保护的时代特征,也无法为本罪构成要件的解释提供切实有益的指引。一方面,该罪的保护法益与一定的社会秩序或公共秩序并没有必然的联系,公民个体的计算机信息系统(包括笔记本电脑、智能手机等)中的数据同样值得刑法予以保护。另一方面,计算机信息系统安全的概念相当宽泛,将其作为保护法益加以确立不够具体和明确,无法对确定构成要件不法内涵给予助力。更重要的是,尽管本罪构成要件采用了“侵入……计算机信息系统”、“计算机信息系统中存储、处理或者传输的数据”这样的表述,但计算机信息系统只是发生侵害数据行为的空间要素,一般数据及相关权利本身才是刑法保护的重点。
与上述传统立场不同,近年来,学者们开始从比较法的角度重新审视数据犯罪的保护法益。较为典型的一类观点认为,应当借鉴《网络犯罪公约》以及《德国刑法典》的相关立法,相应将我国数据犯罪的保护法益定位为数据的私密性、完整性和可用性。总的来说,这种观点把握住了国际层面对一般数据刑法保护的基本目标。对数据和计算机系统的私密性、完整性和可用性的完整保护理念,早在2001年就已被《网络犯罪公约》所采用,其对应于该公约所规定的第2条非法访问、第3条非法截获、第4条数据干涉、第5条系统干涉、第6条设备滥用共5款罪名。上述利益被视为一种需要刑法保护的新的价值形式,在《德国刑法典》中通过立法得到转化。
然而,上述法益定位属于较为理想的状态,却并不反映我国目前数据犯罪刑事立法的实际情况。一般数据的私密性,是指一般数据不被任意访问和读取的保密利益,例如《网络犯罪公约》第2条非法访问和《德国刑法典》第202a条窥探数据罪对此予以了保护。这里尤其关键的问题在于,单纯的黑客入侵计算机信息系统而不获取数据的行为应否被犯罪化。经反复讨论,最终《网络犯罪公约》和《德国刑法典》在法律条文中肯定了这一点,由此一般数据的私密性才得以确立。但我国刑法第285条第1款非法侵入计算机信息系统罪仅仅只是在非常狭窄的范围内(即国家事务、国防建设、尖端科学技术领域的计算机信息系统内)保护了一般数据的私密性。在更为常见的计算机信息系统中,单纯的黑客侵入行为并不构成犯罪。这意味着,在我国刑法中,一般数据的机密性并没有在普遍意义上得到保护。
一般数据的完整性和可用性,是指一般数据不被非法损坏、删除、变更、限制的权利,例如《网络犯罪公约》第4条数据干涉和《德国刑法典》第303a条数据变更罪对此进行了保护。然而,我国刑法并没有为保护一般数据的完整性、可用性利益设置独立的构成要件。我国刑法第286条第2款规定,对计算机信息系统中存储、处理或传输的数据进行删除、修改、增加的操作,后果严重的,构成破坏计算机信息系统罪。从形式上判断,似乎该条款规制了删除、修改、增加一般数据的行为,保护了一般数据的完整性和可用性法益。但是,如果结合《刑法》第286条破坏计算机信息系统罪的规范目标加以实质认定,则会对这一判断得出否定性的结论。理论上有力的观点认为,与《刑法》第286条第1款破坏系统功能行为相对应,《刑法》第286条第2款对数据删除、修改、增加的行为同样是隶属于破坏计算机信息系统罪的一种下位类型,因而这类行为同样只有造成计算机信息系统不能正常运行才能构成犯罪。换言之,《刑法》第286条第2款并非对数据安全的独立保护,其仍然是保护计算机系统安全的一种表现形式。近年来,部分司法判例已经开始采取这种理解。而最高人民法院指导性案例145号则更是通过裁判要旨明确指出,通过修改、增加计算机系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪。之所以存在上述争议,归根结底,其原因在于,我国刑法并没有针对保护一般数据的完整性和可用性利益设置独立的构成要件。
从实然层面来看,我国刑法第285条第2款非法获取计算机信息系统数据罪的构成要件类似于《德国刑法典》第202b条截获数据罪,其可以在一定范围内保护对一般数据的形式处分权限和支配权限,即特定计算机信息系统中的数据不能在未经授权的情况下被任意获取。值得注意的是,不法行为即使构成非法获取计算机信息系统数据罪,也未必侵犯一般数据的完整性和可用性,因为非法获取数据的行为完全可以通过复制等方式来实施,从而并不必然导致计算机信息系统内数据的缺损或失效。可见,目前我国的数据犯罪罪名只是保护了一般数据的部分形式处分权和支配权,狭窄范围内的私密性,以及附条件的完整性和可用性。在应然层面,更为完整和系统地保护一般数据的私密性、完整性、可用性是立法完善的方向,仍然有待通过调整相关罪名的构成要件来实现。
3.构成要件与行为类型
在非法获取计算机信息系统数据罪之外,非法侵入计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统数据罪与之协作,共同构成了广义的一般数据刑法保护规则的框架。尽管上述罪名形成了一定的内部逻辑结构,且对一般数据权利的保护通过立法修订得到不断增强,但在刑法规制层面仍然明显存在体系性、完整性上的不足。
其一,上述罪名的内部结构存在不合理之处,亟待调整。最典型的问题在于,《刑法》第285条第1款非法侵入计算机信息系统罪和第285条第2款非法获取计算机信息系统数据罪之间的错综关系。这两项罪名分别设定在不同的领域,以是否属于国家事务、国防建设、尖端科学技术领域的计算机信息系统作为界分要素,不仅在处罚的合理性、正当性上留下缺口,而且也造成法教义学适用上的罪刑失衡。一方面,非法侵入计算机信息系统罪仅仅保护国家事务、国防建设、尖端科学技术领域计算机信息系统中数据的私密性,对侵入其他计算机信息系统中的黑客行为完全放任,这种模式早已落后于时代的发展需要和国际立法潮流。而且,如果针对一般计算机信息系统的非法侵入行为不被犯罪化,那么《刑法》第285条第3款提供侵入、非法控制计算机信息系统程序、工具罪的正当性就会遭受质疑。因为,作为实质正犯的侵入行为尚且不构成犯罪,为其提供工具的实质帮助行为似乎也不值得作为犯罪处理。另一方面,针对特殊领域和一般领域的计算机信息系统割裂式地分别设置非法侵入计算机信息系统罪和非法获取计算机信息系统数据罪,在法律适用逻辑上意味着,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统并获取数据的行为,仍然只能按照非法侵入计算机信息系统罪定罪处罚,仅处三年以下有期徒刑或拘役。而侵入其他敏感性较低领域的计算机信息系统并获取数据的行为,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。这种罪刑不均衡的现象,在根本上源自于两罪立法关系的内部错位。如果要想彻底理清上述两项罪名的关系,应当在立法上取消特定领域与一般领域的计算机信息系统的划分,针对所有的计算机信息系统,分别规定非法侵入计算机信息系统罪和非法获取计算机信息系统数据罪。
其二,随着信息技术的不断发展及其具体运用的日益复杂化,非法获取计算机信息系统数据罪的手段条件应当逐渐弱化。对于非法获取一般数据犯罪的立法设置模式,尤其是手段行为的必要性,世界范围内的立法差异性较大。例如,美国《计算机欺诈和滥用法》所规定的非法获取数据的行为便建立在非法侵入(接入)计算机的基础之上。而欧洲理事会《网络犯罪公约》第3条“非法截获”只是概括规定了“采用技术手段”,《德国刑法典》第202b条数据截获罪也采用了类似的简要表述。近年来,德国学界开始意识到,由于《德国刑法典》第202a条窥探数据罪设置了突破访问安全措施的构成要件,这可能导致实践中一些非法读取、窥探数据的行为由于不符合该技术条件而得不到有效规制。因此,理论上也有观点主张增设第202e条未经授权使用信息系统罪。此外,我国台湾地区“刑法”第359条无故取得电磁记录罪,则完全没有规定任何手段行为构成要件。
显然,我国刑法中非法获取计算机信息系统数据罪在构成要件的表述上更接近于美国的立法;其强调采用一定手段的行为,是对过去数据犯罪实践经验的立法总结,也能够凸显不法行为对一般数据形式处分权和支配权的侵害性质。在目前绝大多数的案例中,非法侵入计算机信息系统仍然是非法获取计算机信息系统数据的基本手段,如通过网络爬虫技术突破对方安全措施获取数据,又如通过“恶意插件”非法获取用户手机中的相关数据等。然而,信息技术的多样化使用场景赋予了实施非法获取数据行为更多可能的方式。行为人即使不侵入计算机信息系统,也仍然有可能获取计算机信息系统中的数据。例如,在通过“打码”、“撞库”的方式获取数据的案件中,行为人只是借助一定的技术手段进行不断的批量登录,借此对非法购买的数据进行筛选、测试、配对,该行为是否符合非法获取计算机信息系统数据罪的手段行为要件不无疑问。司法判决通常认为,尽管该行为并未侵入计算机信息系统,但是属于“采用其他技术手段”,仍可构成本罪。除了“打码”、“撞库”等方式,未来还有可能出现更多并不以非法侵入为前提的技术手段。因此,在立法论层面,为该罪设置繁琐手段行为的必要性逐渐降低。
其三,一般数据的完整可用性应当得到更加独立、全面的保护。在《德国刑法典》中,第303a条数据变更罪和第303b条破坏计算机罪是两项相互独立又彼此关联的罪名。数据变更罪独立地保护了权利人对一般数据的完整可用性利益,而数据变更罪所规定的行为,则可以构成破坏计算机罪的手段行为类型之一。换言之,单纯对一般数据实施删除、限制访问、使其不可用、变更行为,即可构成数据变更罪;如果该类行为进一步严重干扰了计算机的数据处理,则可另行构成作为加重犯的破坏计算机罪。而反观我国刑法第286条破坏计算机信息系统罪的规定,破坏数据的行为和破坏计算机信息系统的行为捆绑在一起,事实上为独立处罚破坏数据的行为设置了障碍。仅仅对数据进行删除、修改、增加但没有造成计算机信息系统不能正常运行的行为如何处理,已经在司法实务中陷入混乱,这种局面亟需立法者或最高司法机关给予回应。如果完全通过破坏计算机信息系统罪来实现对一般数据完整可用性权利的保护,一方面,将使得破坏计算机信息系统罪偏离其原来的规范保护目的;另一方面,对两种法益侵害类型与程度均有不同的行为适用相同的刑罚条款,也难以做到罪刑均衡。因此,为了明确、有效地保护一般数据的完整可用性,在立法论上为破坏一般数据行为设置独立的构成要件是更为妥当的做法。此外,除了未经授权删除、修改、增加行为之外,对一般数据进行损坏、限制使用与访问的行为,也可以考虑有条件地纳入刑事处罚范围。
其四,对他人非法获取的一般数据进行购买、出售、转移、储存、公开的行为,也可以在未来的立法中进一步考察其刑事应罚性。在我国迅速膨胀的互联网犯罪灰黑产业链中,针对数据的不法行为并非只有较为敏感的公民个人信息,而是也包括大量的一般数据。而且,在个人信息(数据)被匿名化处理以后,即难以被《个人信息保护法》以及侵犯公民个人信息罪所保护。伴随着大数据技术的发展,一般数据具有了越来越大的经济价值,数据的资产化和市场化成为重要议题。在这样的社会背景下,针对非法侵犯一般数据权利的现象,如果仅仅只对上游非法获取行为加以规制而放任下游对非法数据的交易、转让、扩散等行为,则难以真正实现对一般数据权利的完整和有效保护。尽管德国刑法学界对数据窝赃罪存在较多批判,认为对非法获取数据的窝赃与非法获取实体财物的窝赃不可相提并论,但是这样的理解实际上仍然是在套用传统实体犯罪的行为结构去评价信息网络犯罪。在非法获取、出售、转让、散布违法获得的数据的场合,由于复制等技术原因,虽然原权利人仍可能继续占有数据,但上述行为无疑还是会大大增加权利人追查数据的进一步传播,重新取得数据独占性支配权限的难度。换言之,尽管这类行为与传统的窝赃犯罪的确存在明显差异,但是其刑事应罚性在一定条件下仍然可以成立。
我国刑法条文中虽然没有明确对此作出规定,但实际上相关司法解释已经有所回应。2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《危害计算机解释》)第7条规定,明知是非法获取计算机信息系统数据犯罪所获取的数据,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得5千元以上的,应当以掩饰、隐瞒犯罪所得罪定罪处罚。过去通常认为,掩饰、隐瞒犯罪所得罪的行为对象是有形的财物,而该司法解释则直接将权利属性尚不明确的非法数据囊括进来,重要的理由便在于严厉打击掩饰、隐瞒计算机信息系统数据的行为,切断危害计算机信息系统安全犯罪的利益链条。从这个角度观察,我国实际上早就已经存在了某种意义上的“数据窝赃罪”。但是,在立法论层面,鉴于数据窝赃行为与传统掩饰、隐瞒犯罪所得罪存在的重大差异,为该类行为设置独立的构成要件更为妥当。我国掩饰、隐瞒犯罪所得罪规定于《刑法》分则第六章第二节妨害司法罪,兼具直接侵害司法秩序和间接侵害财产追回权利的性质,而数据窝赃行为属于间接侵害数据支配权的行为,二者在性质上存在显著差异。例如,目前《危害计算机解释》对数据窝赃行为的罪量仅仅设置了财产犯罪常常采用的“违法所得”标准,而没有考虑数据类型、数据数量等维度,这显然并不契合治理数据犯罪的现实需求。
四、结语
伴随信息时代的来临,数据权利的刑法保护成为网络空间规则之治的重要组成部分。数据在不同的语境下,体现出多样化的表现形式,承载了侧重各异的刑法保护法益。由于德国在数据法律保护领域具有开创性的地位,对其相关刑事法律规范进行比较研究,在理论体系建构、法益属性定位、构成要件设置等方面都具有重要的启发意义。数据刑法保护的规范体系与理论模式,应当按照个人数据和一般数据的二元路径予以建构,二者虽然都属于数据犯罪问题,但在不同的社会场景下服务于不同的法益保护目标。个人数据犯罪行为所侵犯的法益,虽然具有现象上的公共性或社会性特征,但侵犯公民个人信息罪的基本法益定位仍然是作为个人法益的个人信息权,由此才能在法秩序统一性原理的背景下避免个人数据犯罪的不当扩张。个人数据犯罪的行为类型,不应仅仅局限于数据流转过程中的非法获取和非法提供,而应将个人数据犯罪产业链下游的非法使用、存储、加工、修改等行为有条件、有节制地犯罪化。在个人数据犯罪之外,一般数据的刑法保护如何完善应当引起学界的更多重视。一般数据犯罪与个人数据犯罪在罪名体系上存在交叉竞合,二者并非相互对立的关系,没必要过度限缩一般数据犯罪的涵盖范围。一般数据犯罪罪名的应然保护法益,是数据主体对一般数据的形式支配权限,以及对一般数据的私密性、完整性和可用性利益。但是,我国目前的一般数据犯罪罪名并没有实现对上述法益的独立性、完整性、体系性保护;一般数据犯罪的内部结构存在错位,与国际范围内的法律规范相比,构成要件的涵盖范围过窄,行为类型的设置存在处罚漏洞,难以对一般数据犯罪进行链条化规制。在进入深度发展的法教义学研究之前,我国的数据犯罪在立法论层面仍然有很大的提升空间,个人数据和一般数据的二元刑法保护路径可以为此提供基本的思考框架。