来源:《江海学刊》2022年第2期
转自:腾讯安全战略研究
作者:时延安
一、引言
数据安全已成为事关国家安全与经济社会发展的重大问题; 没有数据安全就没有国家安全。习近平总书记指出: “要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。”数据的重要性随着社会经济的发展日益凸显,从一定意义上讲,其已经具有生产资料的属性,已经成为国家重要的战略资源。比较其他安全类型,数据安全在国家安全体系中更为基础,对其保护所需要的法律制度也更为复杂,相应地也对刑法提出了更高的规范供给需求。
《数据安全法》第 3 条规定,数据是任何以电子或者其他方式对信息的记录。从这一定义看,数据安全也可以理解为信息安全,而信息安全又可以基于分类涉及不同领域、不同层面的安全问题。《数据安全法》在我国法治体系中属于行政法律,其总体上是给相关主体设定各类义务以实现对数据安全的保护。对数据安全的保护,不限于这部冠以“数据安全”的法律,实际上任何与信息相关的法律都可以归入广义的“数据安全保护法”。《数据安全法》是从“数据处理活动及其安全监管”的角度界定数据安全,而对于数据交易安全、数据权利等问题只是给予概括性规定或者没有明文规定。数据安全的复杂性,源于信息类型的复杂性。在信息网络时代之前,法律予以保护的信息只限于国家秘密、商业秘密和个人隐私信息; 进入信息网络时代之后,数字科技的快速发展极大地提升了信息处理能力,各类信息被数据化后就成为国家社会治理、产业发展乃至国防建设的基础,相应地数据也就成为重要的产业资源、公共管理资源。
安全目标的实现路径,首先要依靠政府的外部规制,其次是各类被规制主体依法履行相应的安全义务,再次则是其他主体的积极配合。数据安全目标的实现途径也是如此,不过,数据安全领域的被规制主体往往是数据处理者,其被动地履行法律规定的义务,只是其发挥应有作用的一个方面,更为重要的是,如何保障或者促使这类主体维护自身的数据利益,也就是说,维护数据安全,既要通过政府建立和维护数据保护的公共秩序,也要通过构建确认、维护数据权益人的利益、维护数据交易安全的法律制度予以实现。以财产安全的目标实现为例,固然需要政府通过治安秩序、经济秩序的构建和维护来保障各类主体的财产利益,同时也需要通过民事法律确认各类主体的物权、债权乃至知识产权来维护其财产利益,而这些制度强化了相关权利主体维护自身权益的能力。总体而言,数据安全目标的实现,需要各类主体相互支撑、相互配合进而形成合力。
构建数据安全保护的法律体系,作为保障法的刑法自然不能缺位,也正基于此,用于保护数据安全的刑法规范会对应不同的“前置法”规范,并以“前置法”所确定义务作为判断相应犯罪成立的刑事违法性的重要根据。从刑法已有“供 给”看,其提供了多个可用以保护数据安全的刑法规范,在一定范围内可以解决严重侵犯数据安全行为的定罪问题。不过,刑法规范的适用最终体现为确认某种利益并重申某种价值,当某一行为侵犯了多重利益时,仅适用一个刑法规范虽然可以解决定罪问题,但不足以形成充分的法律评价,对未被确认的利益、重申的价值的主体而言,会形成刑法保护的缺位或不足,如此也会影响刑罚的一般预防目的的实现。具体到数据安全的刑法保护问题,就需要考虑是否以及如何对数据权益人的利益进行刑法保护,进而从确认数据权益人利益的角度维护数据安全。本文的研究主题即在于此。本文的研究思路是,在对既有数据安全保护模式进行分析的基础上,归纳已有刑法规范提供保护的路径,进而分析目前保护路径存在的不足,并提出解决这一问题的基本思路。
二、数据安全保护模式及其特殊性
当今时代安全问题的复杂性与科技迅猛发展高度相关,而数据安全问题即为典型。安全问题的复杂性,决定了安全目标的实现依靠多元主体共同参与,而政府的“全能”角色开始向居中运筹的角色转变。英国犯罪学学者特雷弗·琼斯将安全治理分为三个方面: 政府机构之内即由各类警察队伍和警务提供者进行安全治理; 国家治理之外即由私营警务公司提供商业化的安全服务; 国家治理之下即由地方性社区主导的安全授权与供应形式。在这样一个三重的安全治理结构中,政府就不再是“全能型选手”,私营公司、社区也在相当程度上发挥着安全治理作用。我国政治、社会基本制度明显区别于英美等西方国家,但如果从“公—私”这一维度看,我国的安全治理架构中,非政府组织体也发挥一定的作用。不过,总体而言,非政府组织体的安全治理角色是辅助于或者派生于政府的,主要表现就是,非政府组织体首先是受政府的行政规制和行政指导从事安全治理方面的活动。进言之,非政府组织体首先是作为义务主体出现,而后其可以行使一定的、针对一定范围的人或单位的督促权利。
在上述安全治理模式的归纳中,实际上忽视了一个重要环节,就是如何看待个人尤其是可能受到犯罪行为侵害的自然人在安全治理当中的地位和作用。自然人在安全治理中,往往被视为规制和保护的对象,而非参与治理的主体。规制的对象,是指法律禁止自然人从事一定的行为,或者规定自然人在从事一定活动时遵守相应的义务,此时自然人被确定的义务是具体的; 保护的对象,是指法律对所有私主体提供安全上的保护,此类规定多是原则性的,自然人的权益是抽象的。例如,《数据安全法》第 7 条规定: “国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”当法律确认自然人享有某种权利时,则一般不会将之与安全问题联系起来。然而,在整个安全治理框架中,自然人的自我保护对于确保安全目标实现具有重要意义。自然人的自我保护,一方面是通过建立有效的防范措施避免受到损害,另一方面是通过积极主张权利对抗他人的侵权行为。例如,《个人信息保护法》即确认个人在个人信息处理活动中的权利,这就有利于发挥个人的积极性,进而在一定程度上遏制个人信息滥用等影响个人信息安全的行为。如果将自然人纳入安全治理体系当中,那么就形成“政府—非政府组织体—个人”三个向度相结合的模式。
数据安全与网络安全、个人信息安全,是相关、重叠但不相同的安全领域。从法律调整类型的角度看,网络安全的维护主要依靠行政法律,其安全保护模式是“行政规制 + 主体合规”,在这一模式中,被规制主体的经营行为受到明确的法律规制,其民事权益并非保护重点。个人信息安全的保护模式,则表现出双轨性质: 一方面是法律对个人信息提供者等确定了保护个人信息的义务,另一方面则赋予个人对其个人信息的权利,后者的意义在于通过个人主张其权利实现,防止他人对其个人信息权利予以滥用,进而间接地维护个人信息安全。这一模式可以概括为“(行政规制+ 主体合规) + 个人权利保护”,也就是将政府、非政府组织体( 主要是个人信息处理者) 和个人三个向度结合起来。由于《个人信息保护法》立法目的在于“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”(该法第 1 条) ,其采取这种模式维护个人信息安全是完全可以理解的。不过,由此而形成的法律解释上的困惑就是,个人对其个人信息的权利属于公法意义上的权利还是民商法意义上的权利? 对此,可以从两个方面加以理解: 一是从确立个人信息使用的法律秩序来讲,个人的这种权利受到法律的限制,是一种不完全的权利,主要表现在,它向公权力部门主张这种权利会受到较大限制(例如该法第 13 条的规定) ; 二是在平等主体之间,个人有权依照民事程序维护自己的个人信息权利。从维护信息安全角度来讲,确认个人具有这种权利,会为个人主张权利、促进个人信息处理者保护个人权利、遵从法律规制,创造更为有利的社会环境。将这种权利仅仅限定为一种民事权利来理解,并不符合现行法律的设定,因为大量个人信息的生成源自政府职能部门行为,个人无从进行全面支配,因而即便将这种权利归类为人格权,也难以否定这一权利所具有的公法特征。
数据安全的保护模式,从《数据安全法》的规定看,形式上采取前一种模式,并没有明确规定被规制主体的权利类型及内容,只是笼统地在第 7条中规定了国家保护“个人、组织与数据有关的权益”,而这种权益是否具有一种独立的权利及其性质,以及个人、组织如何维护这种权益,该法并没有予以明确。由于该法属于行政法律,因而可以理解该法如此规定的理由。不过,从实践来看,数据权益人对其数据的占有、使用、交易是具有独立性的,只不过相对于个人信息所有者、行政机关而言,这种数据权不具有绝对权性质。从这个角度看,如果结合实践中的做法,对数据安全的保护模式,也会呈现出“政府—数据处理者—数据权益人(包括组织、个人) ”三个向度的结合。
虽然实践中对数据权益人的权益予以承认,国家也相应地设立了数据交易平台,如贵阳大数据交易所,但数据权益究竟属于何种权利,在法律上尚未做出清晰定位,相应地,数据权益人维护其权益的方式也存在一定的模糊性,这也直接影响到刑事案件的认定与处理。例如,在一些地方,由于数据权益法律性质不清、边界不明,一些网络数据公司在处理数据、数据交易上出现了较大风险问题,也引发了较大的法律争议。从维护数据安全角度分析,如果数据权益人缺乏有效的维护其数据权益的法律手段,也会限制其维护权益的能力,就会形成数据安全保护体系的“短板”。
三、数据安全刑法保护的既有路径
对数据安全保护模式的结构分析,其讨论路径属于犯罪学,而非规范法学,如上分析意在进行法律关系层面的梳理和归纳,进而分析数据安全刑法保护的路径及方式。“犯罪学对于法学的意义在于,介绍事实知识和对事实知识的解释,以及与此相关,对持规范思维方式的刑法工作者开启社会现实之门。”对数据安全保护体系中每个链条的梳理,相应地就涉及法律关系以及法律规范的存在形式及其内容,从而就可以形成一个体系化的、对应式的思考模式: “安全保护体系→法律规范体系”。以这样的理论进路分析,可以比较清晰地看到两个体系的关系,也能比较清晰地看出制度和机制上的“短板”以及“错位”现象。
数据安全问题是随着信息网络技术发展而快速出现的,因而围绕数据安全而形成的法律关系具有明显的创设性,这类法律关系属于创设性的法律关系。如上所述,数据安全保护模式存在政府、数据处理者和数据权益人三个向度,相应地就会形成五种法律关系: (1) 政府不同层级、不同职能部门之间; (2) 政府与数据处理者; (3) 政府与数据权益人; (4) 数据处理者之间; (5) 数据处理者与数据权益人之间。实践中很多情况下,数据处理者和数据权益人是同一的; 当然,从法律关系角度看,处于不同法律关系中,其权利和义务是不同的,因而角色也是不同的。
在现有法律框架内,第一种法律关系由行政法律规范进行调整。刑法对这类关系一般不会予以介入。对第二种法律关系,政府是依据法律或者制定行政法规等来规制数据处理者的活动,例如,《数据安全法》就为政府提供了对数据处理者予以行政规制的法律手段; 当违反行政规制,造成重大危险或者实害的,就有可能触发刑事责任条款。第三种关系是一种保护性法律关系,由政府对数据权益人提供安全保护,其主要方式包括三种: 一是确认数据权益人的利益; 二是通过上述第二种法律关系间接地保护数据权益人; 三是对侵犯数据权益人利益的行为,予以法律制裁,包括行政制裁和刑事制裁。第四种法律关系首先通过民商事法律调整,对构成侵权且造成严重后果的,在刑法提供规范供给的情况下,也可能同时作为犯罪予以刑事追究。这与第三种法律关系的第三种情形是一致的。第五种法律关系首先通过民商事法律调整,当数据处理者侵犯数据权益人数据权益时,在构成民事侵权的同时,也可能构成犯罪。实践中很多情况下数据权益人也是数据处理者,这类情况与第四种法律关系中构成犯罪的情形在处理上是一致的; 当数据权益人为非数据处理者时,在刑事责任追究上会存在一定的差异,尤其数据权益者为个人的情形。
法律关系差异,意味着法律关系主体中义务内容存在差异; 由于法律关系受法律规范调整,相应的,不同法律关系主体中义务来源就存在差异。一般而言,刑法并不提供带有调整性质的权利和义务规范,因而在进行违法性判断方面,就需要探讨行为人违反义务的类型及内容。对于行政犯罪而言,行为人违反何种义务及其法律渊源为何,对定罪具有重要意义。就数据安全而言,法律所创设的义务,可以区分为积极义务和消极义务。(1) 积极义务,就是要求义务主体主动做出一定行为的义务,对应着法律规范中的命令性规范。这类义务主要为数据处理者设立,而数据处理者履行这样的义务,对内要进行相应合规建设,对外则要向政府进行报告等活动。积极义务的设定,一般针对从事特定行业或者需要法律授权的领域的主体。(2) 消极义务,就是要求义务主体不作出一定行为的义务,对应着法律规范中的禁止性规范。这类义务主要为社会一般主体设定,有时也会特别强调禁止数据处理者滥用数据的行为。《数据安全法》为数据处理者设定的义务主要是积极义务,即要求数据处理者设立一定的制度、机 制,并按照规定进行报告等,而违反这类义务就会受到一定的制裁(如第 45 条) 。明晰处于不同法律关系中主体的法律义务来源及其内容,对理解和判断相关犯罪成立的刑事违法性具有积极意义。
从法律关系类型上的差异,既可以看出相应法律及其规范类型的不同,也能看出国家在维护数据安全方面采取的保护路径上的差异。就刑法而言,在数据安全保护方面,在刑法规范供给上,也对应着不同的法律关系,因而无论在规范目的设定还是罪状设计方面,都会采取不同的路径和方式。虽然刑法中目前还没有直接呼应数据安全的条款,但现有刑法条款中基本上可以解决破坏数据安全行为的刑事责任追究问题,换言之,就是现有刑法规范基本上可以解决各种类型破坏数据安全严重违法行为的刑事可罚问题。当然,对于现有刑法规范和《数据安全法》等行政法律所确定的行政规制而言,会形成的一定的“错位”,简单地说,不会形成一一对应关系; 对数据安全的保护,会从其他角度如信息安全、计算机信息系统安全乃至国家安全、经济安全等予以保护。
运用现行刑法规范保护数据安全,结合以上有关法律关系的论述,可以运用的刑法规范包括五种类型。
一是保护计算机管理秩序和网络秩序的刑法规范,涉及计算机信息系统安全和网络安全的规制方面的犯罪类型。前者包括非法侵入计算机信息系统罪(第 285 条第 1 款) ,非法获取计算机信息系统数据、非法控制计算机信息系统罪(第 285条第 2 款) ,提供侵入、非法控制计算机信息系统程序、工具罪( 第285 条第3 款) ,破坏计算机信息系统罪(第 286 条之一) ; 后者包括帮助信息网络犯罪活动罪(第 287 条之二) 。刑法规定的这些犯罪,可以用来惩治破坏数据安全的手段行为,因为数据的存储、处理等都依赖于计算机信息系统,非法取得、篡改、销毁数据等行为直接表现为计算机信息系统的非法侵入、非法控制或者侵入后获取数据。同样,数据的传输、远程进入等,都可以通过网络来实现,因而为他人实施信息网络犯罪活动提供数据处理服务的,就可以根据帮助信息网络犯罪活动罪定罪处罚。以这类刑法规范应对破坏数据安全的犯罪,存在三点不足。(1) 这类刑法规范只能对数据安全提供间接的保护,因为这类犯罪的行政违法性主要涉及对计算机信息系统安全进行规制的法律和行政法规,如《中华人民共和国计算机信息系统安全保护条例》,而不是对数据安全进行规制的法律(包括《数据安全法》) 和行政法规。(2) 这类犯罪被归类为扰乱公共秩序的犯罪,因而其保护客体并不包括数据权益人的财产权利或者其他商业利益。以这类犯罪追究行为人的刑事责任,对被害人的利益并未给予确认,被害人也无法依照附带民事诉讼主张其权益并求得赔偿。(3) 这类犯罪的法定刑总体上较低。当行为人以非法获取计算机信息系统数据等方式取得数据或者利用、销毁数据,造成破坏数据安全严重后果的,以这类犯罪定罪量刑,而从行为人所造成的损失等危害后果看,以这类犯罪定罪处罚,会存在一定的不均衡现象。
二是保护政府对网络服务提供者进行监管的秩序的刑法规范。涉及的罪名就是拒不履行信息网络安全管理义务罪(第 286 条) 。该罪的定罪结构,比较典型地体现了上述第二种法律关系, 即: 行政性法律法规为网络服务提供者规定了规制性义务,且是以积极义务的形式出现的; 当网络服务提供者违反这类义务时,政府职能部门(即监管部门) 责令整改; 网络服务提供者拒不整改,造成严重的法定后果时,其行为即构成犯罪。在这样的定罪结构中,网络服务提供者违反了两层义务,即法律为其设定的一般性的、当为的义务和监管部门依法为其设定的整改义务。由于该罪的定罪情节主要是信息的传播、泄露、灭失等情形,而数据就是信息的记录(《数据安全法》第 3 条第1 款) ,网络服务提供者同时也是数据处理者,因而该罪可以直接用来解决这类主体实施破坏数据安全的行为。该罪的立法,体现了犯罪治理思路的一种转变,就是为关键主体即网络平台创设积极的风险防控义务,通过“规制—违反规制—制 裁”这一路径来实现安全治理目标。不过,通过这一路径维护数据安全,也存在两点不足。(1)该罪的设立意在维护网络安全,而网络安全与数据安全在保护范围上虽然存在相当大的重叠部分,但两者毕竟存在一定的差异,主要表现在相应的“前置法”所设定义务的内容上存在差异。这在具体案件的违法性判断上会有所体现。(2) 网络服务提供者肯定是数据处理者,但数据处理者的范围也包括非网络服务提供者,当这类主体违反有关数据保护的积极义务时,是无法适用该罪的。该罪主体只限于非政府组织体和个人,而数据处理者中包含政府职能部门,对政府职能部门中的自然人是无法适用该罪的。
三是保护个人信息的刑法规范。涉及的罪名就是侵犯公民个人信息罪(第253条之一) 。从信息和数据的关系看,个人信息也就是个人数据,因而非法向他人出售或者提供的数据,如果记录的是“与已识别或者可识别的自然人有关的各种信息”(《个人信息保护法》第4条第1款) ,就可以根据该罪追究刑事责任。由于《个人信息保护法》已经明确将“个人对个人信息处理活动的权利”规定为一种独立的权利,因而将该罪理解为侵犯个人权利的犯罪并无不妥,而这种权利兼有公法和私法性质。如此理解,也可以和《数据安全法》第7条相联系。不过,依循该路径处理也存在两点不足: (1) 这里的个人信息,不包括匿名化处理后的信息,因而如果行为人非法出售、提供匿名化处理的信息,就不能以该罪处理。在实践中,一些地方司法机关曾将提供、出售匿名化处理的信息作为侵犯公民个人信息罪追究刑事责任的情况,这种做法显然是错误的。(2) 以该罪处理,个人信息权利人也无法提起附带民事诉讼。刑事诉讼法有关附带民事诉讼提起的实体条件是,“被害人由于被告人的犯罪行为而遭受物质损失” (第 101 条) ,而自然人以侵犯个人信息为由主张权利,只能提出类似于民法中停止损害之类的请求,而个人提出损害赔偿的诉讼则难以得到认可,理由在于: 如果将这类权利视为民法中的非人身性的人格权,个人信息权利人请求赔偿是以精神损害赔偿形式来进行,而不能以造成“物质损失”要求赔偿,这显然不符合现行刑事诉讼法规定的附带民事诉讼的实体条件,因而无法提起附带民事诉讼。
四是保护国家秘密、国有档案的刑法规范。前者涉及的罪名包括为境外窃取、刺探、收买、非法提供国家秘密、情报罪(第 111 条) ,非法获取国家秘密罪和非法持有国家绝密、机密文件、资 料、物品罪(第 282 条) ,故意泄露国家秘密罪、过失泄露国家秘密罪(第 398 条) ; 后者刑法规范涉及的罪名包括抢夺、窃取国有档案罪和擅自出卖、转让国有档案罪(刑法第 329 条) ; 国家秘密、国有档案,都可能以数据形式存在,当行为人非法处理属于这两类对象的数据时,相应地就可以根据上述两种刑法规范追究刑事责任。这两种数据对应不同的安全类型: 国家秘密对应国家安全,国有档案对应国家信息安全。这也再次说明,数据安全与其他安全类型在保护范围上存在明显的交叉和重叠。以上述刑法规范保护数据安全也存在不足,主要表现在对涉及非法擅自收集、买卖公共领域大数据的行为,无法适用这些刑法规范。例如,未经许可收集城市地理数据、公共交通数据、医疗数据等行为,即无法适用这类刑法规范。
五是保护商业秘密的刑法规范。涉及的罪名包括侵犯商业秘密罪(第 219 条) ,为境外窃取、刺探、收买、非法提供商业秘密罪(第 219 条之一) 。商业秘密对应经济安全和企业经营安全。与个人信息相比较,商业秘密是组织体的信息,属 于“不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”(《反不正当竞争法》第 9 条第 4 款) 。从现实情况看,商业秘密数据已经成为市场主体的重要资源,对于从事信息网络服务的企业而言,数据安全是其生命线。可以说,维护经济领域的数据安全,主要是维护市场主体的经营安全。从这个角度看,这类刑法规范是惩治侵犯企业数据权益以及经营安全的一个较为有力的法律武器。不过,这类刑法规范在保护市场主体数据权益和经济安全方面也存在“短板”,主要表现在,刑法将这类规范置于“侵犯知识产权罪”一节中,而商业数据的财产属性要远高于人身属性,或者也可以说,从目前经济活动看商业数据的价值属性更接近于物权,而且其商业价值会随着信息网络技术的发展和应用而不断上升。将侵犯商业数据的犯罪与侵犯知识产权罪进行同等保护,并不能妥当地评价其危害程度。
以上对现行刑法中可以用于保护数据安全的刑法规范进行梳理、分类,意在说明刑法规范可能提供的保护路径。由于数据安全的保护范围与国家安全、经济安全、信息安全等保护范围存在较大重叠、交叉,因而上述列举刑法规范基本上可以为维护数据安全提供刑事制裁工具。当然,已有刑法规范受其规范目的限制,依照这些刑法规范,对破坏数据安全的行为进行处理,会存在一定的错位和不协调的问题。由立法者通过对上述刑法规范的构成要件进行必要调整,就可以解决大部分的错位问题。通过上述梳理,也会发现,已有刑法规范多侧重于保护国家法益和社会法益,而对个体法益的保护相对较弱,提供的规范供给较为单一。
四、数据安全的个体法益保护路径
既然数据安全是一种重要且相对独立的安全类型,就需要刑法提供较为充分的规范供给,以适应数据安全保护的需要。刑法能够提供保护的路径,可以概括为三种: 将严重违反国家数据安全规制的行为规定为犯罪; 将非政府组织体不遵守政府监管、造成一定危害后果的行为规定为犯罪; 将严重侵害数据权益人的数据权益的行为规定为犯罪。上文归纳的五类刑法规范就可以分别归入这三条路径当中。如果依照《数据安全法》的思路调整刑法规范,就倾向于用前两条路径; 而从建立持久、有效的数据安全保护体系的需要看,第三条路径即确认和维护个人法益保护路径则是更为重要的选项。考虑到现有刑法规范在一定范围内能够提供依循前两条路径而制定刑法规范,在第三条路径上积极作为,是更为迫切需要解决的问题。
如上所述,一个完善的安全保护体系,仅仅靠政府是远远不够的,当代的安全保护体系建设,更应发挥非政府组织体、个人的作用。就数据安全保护体系而言,如何发挥数据权益人自我保护的积极性,关键是要确认其权益的属性并赋予其自我保护的能力和寻求救济的渠道。以个人信息安全为例,在《个人信息保护法》出台之前,无论是《网络安全法》还是《民法典》,都没有明确个人对个人信息享有的权利内容,后者也只是规定个人信息决定权项(《民法典》第 1037 条) ,因而当其权益受到损害时,其通过民事诉讼方式寻求救济的可能性较小,只能寻求公安等机关、网络服务提供者给予帮助; 在《个人信息保护法》施行后,由于法律明文确认其权利及其权能,因而个人就可以依法主张其权益,当个人信息处理者损害个人信息权利时,个人可以通过提起诉讼的方式予以解决。比喻而言,确认个人权利,就为个人维护其利益提供了“盔甲”和“武器”,而个人对其利益维护的能力和积极性得以提升,就将个人信息安全体系建设中最大规模的个体性力量的积极性调动起来。同理,对于数据安全保护体系的建设,确认和维护数据权益人(包括自然人和组织体) 的权益,并赋予其维护自身权益的“盔甲”和“武器”,也会促使整个数据安全保护体系得以完善。
本文第三部分提到,现行法律对数据权益人的权益确认和维护,主要体现在两个方面,即个人对个人信息处理活动的权利和商业秘密,前者可以用来保护个人数据权益,后者可以用来保护公司企业等组织体的数据权益。迄今为止,法律并没有将对数据的合法占有、使用等权益确认为一项独立的权利。就刑法来讲,目前能够提供的“制裁性供给”限于侵犯公民个人信息罪、侵犯商业秘密罪和为境外窃取、刺探、收买、非法提供商业秘密罪。可以说,这三个罪在一定范围上可以解决严重侵犯数据权益人权益行为的定罪问题。不过,这三个罪提供的“供给”是不充分的,主要表现在两个方面。(1) 从现实看,数据具有明显的财产属性,而个人对其信息的权利,无论从人格权来理解,还是从公法权利来理解,都不具有财产性。以侵犯公民个人信息罪处理严重侵犯个人数据的行为,无法评价该行为对权利人财产权益的损害。(2) 商业秘密具有一定的财产属性,但从刑法提供保护的等级看,对知识产权的保护要弱于对物权的保护,因而对组织体的数据权益,按照商业秘密予以保护,不能充分评价商业数据的财产价值,也不能合理地体现商业数据在市场经济活动中的重要性。
认识到现行刑法规范保护个体数据权益方面存在的不足,刑法立法有必要因势而动,为数据安全刑法保护体系补齐短板。实现数据安全保护目标,完善刑法的重点在于,如何理解数据权益的法律属性。对于数据权益的法律属性,民法学界存在不同认识,民事立法如何选择,对刑法立法和解释确实会产生一定的影响。在数据的法律定性上,存在着自然属性和价值属性的协调问题,从自然属性分析,数据确实不同于传统意义上“物”或者“财物”,因为其产生、使用和灭失的方式不同于后者,而且其具有可复制性; 从价值属性看,其作为重要的商业资源,已经具有不亚于其他资源的价值,且可以进行交换。如果从可复制性和财产性的角度分析,数据的属性更接近于工业产权。不过,从刑法保护程度来看,对物权的保护要比知识产权的保护更为充分,主要表现在两个方面: 一是对侵犯以物权为主的财产权的犯罪,刑事制裁要更为严厉; 而对侵犯知识产权犯罪,虽然最近的一次刑法修正,即《刑法修正案(十一) 》,提高了多个侵犯知识产权犯罪的法定刑,但总体上仍比侵犯财产罪的法定刑要低很多。由此产生的问题就是,侵犯知识产权犯罪的一般威慑效果要弱于侵犯财产罪,这在一定程度上会影响到犯罪预防的效果。二是侵犯财产罪的罪名体系更为完善,其主要是以侵犯财产权的行为不同进行分类的; 而侵犯知识产权罪则是以侵犯知识产权的权利类型进行分类的。后者所产生的问题就是,对以不同手段实施的侵犯知识产权行为,在法律评价上并无差异。以侵犯商业秘密罪为例,《刑法》 第 219 条第 1 款第 1 项规定的以盗窃、贿赂、欺诈、胁迫、电子侵入侵犯商业秘密的,其可谴责程度要高于违反保密义务使用商业秘密的行为,但二者在刑事制裁上并没有明显区分。具体到侵犯公司企业数据权益的行为来讲,在大数据已经成为公司企业的主要资源的情况下,运用现行刑法规定的侵犯商业秘密罪追究刑事责任,既存在实质上的罪刑不均衡问题,也不易形成一般威慑效果,更不利于形成良好的社会效果,即积极的一般预防效果。
考虑到现有刑法规范存在“供给不充分”的问题,刑法应当适时进行调整。比较妥当的方式,就是在刑法分则侵犯财产罪中规定侵犯数据权益犯罪,根据行为方式设计多个构成要件并配置存在区分且具有比例关系的法定刑。如此修改会形成四个法律上的变化,当然也会出现一定的争议。(1)将数据权作为“类物权”、等同于物权予以保护。“类物权”,这里指不具有物权的全部特征,但其权利客体具有明显的财产性,其价值重要性不弱于物权。刑法作为保护法,在保护“类物权”方面,不需要与民法对这类权益所确定的法律属性完全一致。而考虑到刑法对数据权保护的重要意义,将其与物权予以同等保护确实十分必要,符合刑法第 5 条罪责刑相适应原则的要求。(2) 对侵犯商业秘密罪的规定不做调整,如此会与新罪存在一定法条竞合的现象。虽然从刑法立法来讲,应尽可能避免法条竞合现象的出现,但考虑到维护数据安全的特殊性和维护数据权益人的财产利益的需要,规定新的犯罪类型并无不妥。(3)侵犯数据权益的犯罪是一个“罪群”,在立法表达上应包括多个构成要件,形成多个罪名。其理由在于,以不同手段实施侵犯数据权益的行为,其危害程度和可谴责程度是不一样的,因而同样基于罪责刑相适应原则的考量,应规定具有不同法定刑的多个犯罪。(4) 在法律没有明确规定数据权的情况下,如果在刑法中先行规定以保护数据权益为目的的犯罪类型,是否“僭越”了“前置法”?这种担心是有道理的。不过,从以往刑法立法实践看,有些刑法条文已出台,但其前置法出台相对滞后。例如,侵犯公民个人信息的犯罪,早在2009 年《刑法修正案(七) 》就作出了相应的规定,无论是《网络安全法》(2016年) ,还是《民法典》(2020 年) 、《个人信息保护法》(2021年) 对公民个人信息的法律规定都明显滞后。“前置法”规定相对滞后,对理解法律规范目的及犯罪客体产生一定影响,但是总体上看并不会影响法律的实施效果。从维护数据安全的必要性考虑,在“前置法”没有明确数据权益法律属性的情况下,在刑法中先行规定侵犯数据权益的犯罪并无不妥。
五、结语
当代安全体系的建立与完善,应充分发挥各类主体的作用和积极性,通过明晰不同主体的权力(或权利) 和义务,进而形成完备的法律规范体系。刑法在安全体系构建中提供不可或缺的“制裁性供给”,当这类供给不足或者错位时,会在一定程度上影响整个安全体系的功效。数据安全是新的安全类型,构建数据安全保护体系,同样要充分认识刑法的地位和作用; 从维护数据安全的目标出发,要在充分发挥现有刑法规范的效能的基础上,根据需要调整刑法立法。从构建完善的数据安全保护体系的角度看,在刑法能够提供保护的多个路径中,优先解决个体性数据权益保护问题至关重要,从政策上讲,也是调动数据权益人主动维护数据安全积极性的一个应有选项。
数字时代的到来,要求我们不断转化、更新已有认知,因时因势地理解和应对数字时代的犯罪样态及其危害方面的变化。数据正在成为这个时代最为重要的经济资源、社会资源和治理资源。保护数据安全,就要重新审视其价值和重要性,在刑法保护的设计中既要考虑路径的多样性,也要考虑保护路径的匹配性。在这个意义上讲,刑法将数据权益等同于物权予以保护,就显得尤为必要和紧迫,如此才能适应数据权益保障和数据安全保护的现实和未来需要。
