1、2023 年第 3 期法治研究117网络数据安全独立性之提倡及其刑法展开王惠敏*摘 要:我国刑法应当对数据安全加以独立保护,这不仅是基于数据安全刑法保护法益的需要,也是落实法秩序统一性原理的要求。为转变现行立法理念,提升立法技术,弥补处罚漏洞,我国刑法需要推进对数据安全的独立保护。首先,应当在刑法中构建信息安全、数据安全和计算机信息系统安全并行的保护体系,专设“数据犯罪”专章或专节;其次,改变数据犯罪附属于信息犯罪、计算机信息系统犯罪的条款之立法模式,强化数据犯罪罪名与刑罚的主体性和独立性;再次,细化不同数据生存周期犯罪的罪状描述,贯彻数据分类分级保护理念;最后,通过刑事合规制度强化网络服务提
2、供者职责,激励企业对涉及重大法益的犯罪行为事前进行预警和防控。关键词:计算机信息系统安全 数据安全独立保护 数据安全保护法益*本文系司法部法治建设与法学理论研究专项任务课题“大数据背景下我国法治反腐的运行机制研究”(项目编号:20SFB4037)阶段性成果。*作者简介:王惠敏,江苏师范大学法学院讲师,中国法学会法治研究所与中国社会科学院法学研究所联合培养博士后研究人员,法学博士。关于数据的概念,计算机领域中的数据是指“输入到计算机信息系统中并能被计算机信息系统处理的数字、文字、符号、声音和图像等”。刑法中的计算机信息系统中存储、处理或传输的数据,是指“在计算机信息系统中实际处理的一切文字、符号
3、、声音、图像等内容有意义的组合”。2021 年 6 月 10 日 数据安全法 中将数据界定为“任何以电子或其他方法对信息的记录”。2016 年 11 月 7 日网络安全法 中明确网络数据是指“通过网络收集、存储、传输、处理和产生的各种电子数据”。参见黄良永、徐雨明:大学计算机基础教程,电子科技大学出版社 2008 年版,第 5 页。于冲主编:域外网络法律译丛刑事法卷,中国法制出版社 2015 年版,第 3 页。本文所称的数据犯罪,也指网络数据犯罪,网络数据犯罪包括狭义的网络数据犯罪和广义的网络数据犯罪,狭义的网络数据犯罪是直接以网络数据为对象,侵害数据安全法益的犯罪。广义的网络数据犯罪则既包括
4、直接以网络数据、网络终端、网络运行等为犯罪对象的情形,也包括传统的扰乱社会秩序的犯罪在网络空间的异化情形。本文所称的网络数据犯罪,是指直接以数据为侵害对象的非法获取计算机信息系统数据罪和破坏计算机信息系统罪以及以计算机信息系统为保护对象紧密相关的罪名,如非法侵入计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪等相关罪名。参见高铭暄、马克昌:刑法学,北京大学出版社 2011 年版,第 536 页;张勇:数据安全分类分级的刑法保护,载 法治研究 2021 年第 3 期。大数据时代背景下,数据成为新的生产要素,数据安全也日益引起社会的全面关注。正如德国刑法学者乌尔里希 齐白(Ulric
5、hSieber)所言:“正在兴起的信息社会正在创造新的经济、文化和政治集会,但它同时也引发了新的风险,这些新的机会和风险正在对我们的法律制度构成新的挑战。”然而,由于信息犯罪相关法律规范将保护的重点放在计算机信息系统安全方面,致使数据安全保护始终处于附属和次要地位,加剧了计算机犯罪的“口袋化”趋势。我国近年来不断爆出来的诸多案件,体现出数据犯罪与其他118网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究犯罪罪名定性上的争议,由此数据犯罪的独立刑法保护逐渐受到重视。例如,2016 年全国首起制售微信外挂软件“张某等提供侵入、非法控制计算机信息系统程序、工具案”中,公诉机关与法院
6、之间就非法经营罪与提供侵入、非法控制计算机信息系统程序、工具罪存在定性上的争议;再如,2018 年全国首起流量劫持“付宣豪、黄子超破坏计算机信息系统案”中,就流量劫持是否属于破坏计算机信息系统行为存在破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪三个罪名定性上的争议。检视我国刑法关于数据安全的罪名保护体系,不仅弱化数据犯罪法益独立保护,内部存在结构性的矛盾,而且对数据犯罪的规制不够周延。例如,无论是“破坏型”罪名还是“获取型”罪名,其不仅将数据犯罪依附于计算机信息系统保护之内,忽视了数据本身独立的价值,数据安全得不到充分的保护,而且均将重点放在对数据犯罪的前端治理
7、,对危害性更大的数据泄露、数据滥用等末端犯罪的规制则有所欠缺。本文立足数据安全独立的保护法益,论证数据安全犯罪刑法规制的必要性,针对目前数据犯罪立法依附于计算机信息系统犯罪存在的问题,并就如何在立法上实现对数据犯罪的有效规制提出完善方案。一、数据安全独立刑法保护的必要性(一)数据犯罪发案率高且具有严重的法益侵害性受制于计算机技术水平的发展,立法者之前将数据等同于计算机信息系统是合理的。然而,随着信息技术的发展,计算机信息系统和数据的关系清晰为载体与内容,显然作为核心要素的数据更加具有经济效益和社会价值。这是在刑法上要对数据安全给予独立保护的根本原因。也正是基于此,刑法学界在关于数据犯罪法益内涵
8、的认识上,数据安全法益逐渐取代了计算机信息系统安全法益,主张数据犯罪的保护法益在于使数据免于遭受不法侵害,认为基于数据本身的特点和属性,遭受侵害的数据与计算机信息系统之间存在本质差异,故应当对数据实施区别于计算机信息系统的专门保护。但是相比于社会对侵害信息和计算机信息系统行为的严重性质和社会危害性较为普遍的认识,侵害数据安全的行为则长期以来被严重忽视了。由于侵犯数据的行为往往以获取相应的信息为目的,犯罪手段具有隐秘性和不确定性,加上现有的很多数据犯罪行为分别被归入信息安全犯罪、财产犯罪等原因,使得数据遭受侵害的严重性程度被低估。然而,侵犯网络数据安全犯罪的数量正以爆炸式的速度迅速增长,例如,在
9、北大法宝网以非法获取计算机信息系统数据罪进行模糊检索,截止到 2018 年共发现 2924 起案件,至 2019年发现 4418 起案件,至 2020 年发现 6105 起案件,至 2021 年发现 7622 起。虽然非法获取计算机信息系统数据罪仅仅是数据犯罪的其中一个罪名,却也表明侵害数据安全行为已经成为不可忽视的问题,无形中印证了“世界万维网之父”蒂姆 伯纳斯-李“下一代互联网的本质由计算网络转为数据网络”的论断。从行为性质和社会危害性来看,侵害数据安全行为的危害性同样很大。首先,会对公民人格权造成严重侵害。就数据泄露而言,通过对数据的深层次挖掘,公民不仅可能会遭受身体伤害、人格损害或财产
10、损 2015 年 1 月至 12 月期间,被告人张某、刘某旭未经授权或许可,相继通过他人编程,整合、包装、修改微信手机客户端,在开发出几款计算机软件后,租用服务器,设立计算机软件并向代理商以及消费者进行宣传、批发零售,前后共违法所得达 200 余万元。参见广东省广州市珠海区人民法院(2016)粤 0105 刑初 1040-1 号刑事判决书。2013 年至 2014 年期间,被告人付宣豪、黄子超等人通过租赁多台服务器,使用恶意代码修改互联网用户路由器的 DNS 设置的方式,迫使用户在登录“”等导航网站时被迫跳转至“”网站,并将其获取的用户流量出售给“”的网站所有者(杭州久尚科技有限公司),违法所
11、得人民币 75 万余元。参见上海市浦东区人民法院(2015)浦刑初第 1460 号刑事判决书。参见王倩云:人工智能背景下数据安全犯罪的刑法规制思路,载 法学论坛 2019 年第 2 期。参见杨志琼:我国数据犯罪的司法困境与出路:以数据安全法益为中心,载 环球法律评论 2019 年第 6 期。上述数据来源于北大法宝网,https:/www-pkulaw- 年 6 月 15 日访问。李源粒:网络数据安全与公民个人信息保护的刑法完善,载 中国政法大学学报 2015 年第 4 期。119网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究失,以及因为数据算法和预测性分析评估等面临被刑事调
12、查、逮捕等剥夺自由的法律后果,而且更有可能随着公民个人隐私被窥探、身份被盗用或遭遇歧视、诈骗或勒索等,致使受害人因此而产生难以言明的恐惧与焦虑等不良的精神或心理反应。简言之,数据泄露更多的是关乎人而非物,其所导致的损害呈现无形、分散以及风险导向等特征。此外,2016 年 Facebook 向英国咨询机构剑桥分析泄露 5000 万用户数据事件表明,数据泄露还可能会被作为分析个体的工具,进而产生干预选举等地缘政治影响。其次,数据泄露会对企业造成致命性影响。数字经济背景下,数据成为企业的重要资产,企业之间围绕数据的争夺日趋激烈,如果数据遭到泄露,极有可能会给企业带来严重灾难。例如,在“酷米客诉车来了
13、”一案中,虽然公交车以及运行路线、运行时间是客观事实,但是经过相应的收集、分析、编辑以及整合并配合 GPS 精确定位,其作为公交信息查询软件的数据,以其精确性可以使“酷米客”APP 取得相较于其他同类软件的竞争优势和更大的市场利益。而“车来了”公司通过网络爬虫技术非法获取并无偿使用公交信息数据,是一种典型的侵权行为,不仅会对酷米客公司造成巨额财产损失,甚至会使“车来了”公交查询软件完全取代“酷米客”,获得垄断性市场地位。最后,侵犯数据安全的行为,特别是侵犯关系国家基础信息、国家安全、国计民生和重大公共利益等国家核心利益的数据,可能对国家安全造成威胁。在首例涉案数据鉴定为情报类案件中,上海某信息
14、科技公司帮境外某公司采集中国铁路信号数据,其行为涉嫌为境外刺探、非法提供情报罪而被逮捕。因为此处的数据涉及铁路 GSM-R 敏感信号,用于高铁列车运行控制和行车调度指挥,一旦被国外别有用心的机构获取,将会对国家安全造成巨大隐患。此外,2021 年,国家安全机关公布了三起数据泄露案例:“某航空公司数据被境外间谍情报机关网络攻击窃取案”“某境外咨询调查公司秘密搜集窃取航运数据案”“李某等人私自架设气象观测设备,采集并向境外传送敏感气象数据案”。由此表明国家安全机关高度重视数据安全,并将其作为国家安全的重要组成部分。(二)法秩序统一原理的需要法秩序统一性原理是刑法立法的一个重要原则,主要是指宪法、民
15、法、刑法等各个法域之间构成法秩序的整体统一。尽管不同的法律部门在规制范围、规制手段上有所差异,但是都离不开对正义、自由、人权等基本价值理念的追求,可以说,法秩序统一是部门法共同价值追求下的产物。法秩序统一性原理下刑法从属于前置法,并不是前置法上的违法性行为在刑法上必定具有违法性,而是法秩序统一性原理指导下各部门法所推导出的共同结论而已。随着民法典的颁布施行,包括刑法在内的各部门法规范和学理体系逐渐运用法秩序统一性原理来调整,已经成为所有法学学者的共识。据此,也能得出刑法应当对数据安全独立保护的结论。前置法中关于数据安全的相关规定对于刑法本身具有重要意义。无论是 数据安全法 还是 个人信息保护法
16、,这两部法律分别在第 1 条就数据安全和信息安全的保护目的作了规定,表明数据和个人信息是两个完全不同的概念,我国实行的是信息和数据的二元保护机制。该条衍生出的一个重要要求是独立、参见解正山:数据泄露损害问题研究,载 清华法学 2020 年第 4 期。参见 https:/ 03 民初 822 号民事判决书。参见 http:/ https:/ https:/ 法治社会 2021 年第 4 期。比如关于侵犯著作权罪的规定,1997 年 刑法 仅仅规定了复制发行、出版、制作、出售假冒美术作品等四类侵犯著作权行为。而基于 2001 年 著作权法 将著作权扩展到十六项的修改,2021 年 刑法修正案(十一
17、)随之将侵犯与著作权有关的权利也规定构成侵犯著作权罪,且对信息网络传播权单独予以规定。刑法修正案(十一)增设的危险作业罪与 2021 年修改通过的 安全生产法 的联动,非法采集人类遗传资源、走私人类遗传资源材料罪等与 生物安全法 的联动。参见李怀胜:侵犯公民个人信息罪的刑法调适思路以 公民个人信息保护法 为背景,载 中国政法大学学报 2022 年第 1 期。120网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究平等保护数据和信息安全,不能将二者混为一谈。据此,也可以得出应当将数据安全置于独立的保护地位。此外,在信息和数据二元保护机制的背景下,数据安全法 就数据安全的独立保护作
18、出了详细的制度设计,例如,第 21 条分别从宏观上和微观上就数据分类分级保护制度作了相关规定;第 3 条就数据处理的生存周期作了全覆盖规定;数据合规方面,第 29 条和第 30 条分别就一般数据和重要数据处理者的数据风险监测评估和报送义务作了规定;第 34 条规定数据处理相关服务应当取得行政许可等。可见,在前置法的视野下,侵害数据安全是一种具有独立评价意义的行为。法秩序统一性原理要求刑法应当对前置法关于数据安全的规定作出回应,换言之,作为保障性法律而存在的刑法也应当对侵害数据安全的行为加以独立规定,以防出现对数据安全的不周延保护。反观我国关于数据犯罪的刑法规制,一方面不断扩大公民个人信息的范围
19、,使得刑法中公民个人信息的概念大于个人信息保护法 中的信息概念,侵犯公民个人信息罪承担了部分数据犯罪的规制功能;另一方面,将数据犯罪依附于相关计算机信息系统犯罪中加以规制。如果说这种关于数据犯罪的刑法规制在 数据安全法 个人信息保护法 颁布之前尚且说得过去,那么在当前数据犯罪法律关系基本构建的情况下,刑法的现行规定就涉嫌违背法秩序统一原理精神。此外,可能有学者认为我国 刑法 第 285 条非法侵入计算机信息系统罪就相关国家领域的重点规制体现了分类分级保护要求,但该条款不仅因打击范围过窄,对于大多数常见的黑客侵入行为无法规制而饱受指责,而且与非法获取计算机信息系统数据罪相比较存在诸多结构性缺陷,
20、事实上反而无法起到重点打击侵入上述国家领域的行为。就数据安全的生存周期而言,侧重于对数据犯罪的前端治理,对于数据滥用、数据窝藏等末端犯罪行为有所遗漏,尚未覆盖完整的数据生存周期。由此可见,构建侵犯数据安全独立的刑法规制模式是符合法秩序统一性原理内在要求的。(三)与域外立法趋于一致考察当今国际社会的刑事立法,各个法域无论是以附属刑法的形式还是增设罪名的形式,尽管各国关于数据犯罪的具体罪名等方面不尽相同,但是却具有立法的共同趋向,那就是不约而同地去强化数据保护的独立地位。这种数据安全保护的立法趋向,特别是以德国为典型的分类保护模式和以美国为代表的集中式立法,对于我国现行刑法具有参考和借鉴价值。以德
21、国为例,早在1970年德国就率先通过了世界上第一部个人数据保护法,即 黑森州数据保护法,这为后来的 德国联邦数据保护法 奠定基础。德国将数据分为个人数据和一般数据,体现出对数据的差异保护。2019 年新修订的 德国联邦数据保护法 为个人数据的保护作了细化和调整,例如,其将原法第 44 条第(1)款规定的行为分别设置为两个独立的犯罪构成要件:“(1)在未经授权的情形下,以营利的方式,故意将多人非开放数据传输给第三方或者通过其他方式开放。(2)在未经授权的情况下,为了获取利润,或者为自己或他人谋取利润,或者为了给他人造成损失,处理未开放的个人数据,或者通过虚假的信息骗取未开放的个人数据。”此次修订
22、以个人信息自决权理论为基础,将数据安全上升为宪法基本权利,并改变借助于行政处罚的规定,设置独立的犯罪构成要件。与此相对应,德国刑法典 历经数次修订,形成关于一般数据的全面规定。如 1986 年德国联邦议会通过 第二部打击经济犯罪法,新增 数据安全保护法 第 21 条规定国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益
23、等数据属于国家核心数据,实行更加严格的管理制度。参见王华伟:数据刑法保护的比较考察与体系建构,载 比较法研究 2021 年第 5 期。第 44 条第 1 款:为了获取报酬,或者为自己或他人谋取利益,或者为了给他人造成损失,故意实施本法第 43 条第 2 款所列举行为,处以 2 年以下自由刑或罚金刑。德国联邦数据保护法 第 43 条第 2 款列举了 9 种秩序违反(行政违法)行为,包括在未经授权的情况下处理、收集、持有、读取个人数据,骗取个人数据,违反相关规定的目的而处理、使用、结合个人数据等。第 44 条第 2 款指出,该类刑事犯罪告诉的才处理。有权提出告诉的主体包括数据主体、负责机构、联邦数
24、据保护和信息自由专员,以及监管机构。121网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究第 202 条 a 窥探数据罪、第 303 条 a 数据变更罪等罪名。2007 年 德国刑法典 不仅新增第 202b 条截获数据罪、第 202c 条截获数据的预备罪以及在 303 条 a 数据变更罪中增设预备行为处罚,而且将原有的第202 条 a 规定的窥探数据罪中的“非法获取数据”修改为“非法获取数据访问路径”,以便将黑客入侵行为纳入刑法规制范围。2015 年,德国 通信数据的存储义务与最长存储期限引入法 新增第 202 条 d 窝藏数据罪,以此来打击非法获取数据的交易,并避免前述犯罪
25、行为的延续和深化。21再如美国,关于数据犯罪,1994 年 暴力犯罪控制和执行法案 将 1030 条(a)(5)的范围扩大为所有意外甚至没有任何疏忽造成的计算机或存储数据的损坏行为。221996 年 经济间谍法 将(a)(2)的适用对象由金融机构、发卡机构或消费者报告机构的金融记录扩大为任何类型的信息。23进入 21 世纪,无论是2001 通过的 爱国者法案,还是 2008 年通过的 身份盗窃惩罚和赔偿法,都进一步扩大了计算机犯罪保护范围。24申言之,虽然名义上为计算机犯罪,但其始终将数据犯罪置于与计算机犯罪同等的保护地位,甚至数据犯罪的相关条款多于计算机犯罪,故也被学者称 CFAA“名不副实
26、”。25其他如法国,2015 年最新修订的 法国刑法典 将原先的“侵犯资料自动处理系统罪”改为“侵犯数据自动处理系统罪”,涵盖对非法增加、摘录、持有、复制、传递、删除以及更改等多种行为的规制。26可见,无论是德国的分类保护模式还是美国的集中式立法,都不影响对数据安全的保护效果。综上,对数据安全进行独立的刑法保护,是一种经过各国检验的立法思路。二、我国刑法数据安全独立保护之不足(一)立法理念落后于司法实践非法获取计算机信息系统数据罪、破坏计算机信息系统罪等体现了刑法对数据犯罪的关注,但更多的罪名表明我国刑法立法依然将数据安全保护依附于计算机信息系统范畴,这种立法模式隐含着一个不科学的立法理念,就
27、是对于数据犯罪的理解过于滞后和狭隘。具体而言,主要表现在以下几个方面。一是对数据犯罪的认识未摆脱古典占有主义理念的影响。洛克沿袭了格劳秀斯的所属概念,提出占有的个人主义,其将财产建立在劳动之上,认为劳动是获得财产的方式。27受占有主义理念影响,传统的刑法并没有明确数据的财产地位,而是将其作为所属之物来界定。事实上,对数据和应用程序进行非法删除、修改、增加的操作,其本质上属于通过对行为对象的毁损而破坏他人对数据的合法占有,是一种“物化”数据思维的体现。例如,在余刚等四人盗窃案中,“被告人余刚等四人以非法占有为目的,编写、传播 木马 病毒程序,利用 木马 病毒程序截取他人网上银行账号、密码,然后秘
28、密窃取他人网上银行的存款”,该案件被定性为盗窃罪,28其本质上就是将银行账号、密码之类的数据视为稀缺性财物的表现,故以传统财产犯罪对其加以规制。二是以秩序为本位的观念也在很大程度上影响着我国数据犯罪的立法。例如,我国刑法之所以对涉及个人数据的犯罪行为实施处罚,并非因为其侵犯了数据主体的合法权益,而是基于对经济秩序和网络 同前注。290001(b),108Stat.at2097-98.See18U.S.C.1030(a)(2)(Supp.II1996).如 身份盗窃惩罚和赔偿法 对 1030 条(a)(2)进行了修改,将保护范围扩大到任何未经授权的访问任何受保护的计算机,检索任何类型的信息,不管
29、是州级之间或州内。FormerVicePresidentProtectionActof2008,Pub.L.No.110-326,122Stat.3560.SeeRayFisman&MichaelLuca,FixingDiscriminationinOnlineMarketplaces,94HARV.BUS.REV.88,88(Dec.2016).参见朱琳译:最新法国刑法典,法律出版社 2016 年版,第 179 页。转引自 英 博温托 迪 苏萨 桑托斯:迈向新法律常识:法律、全球化和解放,刘坤轮、叶传星译,中国人民大学出版社 2009年版,第 43-45 页。南京市玄武区人民检察院诉余刚等四
30、人盗窃案公报案例,2005 年 3 月 18 日。122网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究空间秩序的保护考虑。这种立法模式是典型的秩序本位观思路,会不恰当地将数据犯罪限缩于计算机信息系统犯罪规制范围之内,未能体现出对数据犯罪本身的重视。29实际上,随着信息社会的发展,大数据具有越来越重要的价值,逐渐形成与现实世界相对应的网络空间,而这种秩序本位观将造成诸多漏洞。例如,只要个人数据的控制者与处理者在收集环节履行了相关的告知义务,即使其后续的保管、处理与使用等环节造成对数据的侵害,在未涉及秩序利益的情况下也将不会受到刑法的规制。再如,对于司法实践中使用批量注册、恶意
31、刷量等和平手段侵犯数据服务的行为,因其并没有影响到计算机信息系统的正常运行,则难以划入计算机信息系统犯罪的规制范围。需要在此一并提出的是:其一,受中国计算机技术发展的影响,刑法立法的回应往往稍显滞后。比如计算机信息系统犯罪的基本入罪情节要求情节严重,事实上,这种模式已经难以适应大数据时代背景下保护数据的需要。其二,为了突出对数据安全的保护,当今越来越多的国家和地区都在刑法典中将数据犯罪及与之相关的犯罪独立成章节,但我国至今没有在刑法中设专章或专节来规定数据犯罪及与之相关的犯罪,而是将其散布规定在妨害社会管理秩序罪一章。即使将数据犯罪脱离出计算机信息系统犯罪,如果其所属章节的位置不加以调整,也会
32、让人觉得计算机信息系统才是保护重点,同样不利于数据独立保护的实现。(二)现行立法存在诸多处罚漏洞我国刑法对于数据安全的保护主要通过将其依附于计算机信息系统的范畴内予以间接实现,使得有关数据犯罪的规定留下诸多处罚漏洞。这不仅表现在现有计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论,而且囿于无法突破计算机信息系统保护体系,致使其与覆盖整个数据生存周期的独立数据保护模式相差甚远。例如,刑法 第 285 条第 2 款非法获取计算机信息系统数据罪将保护对象限定为国家事务、国防建设、尖端科学技术领域计算机信息系统之外的领域,致使非法获取这三类重要数据反而出现立法保护的空白。此外,对于采取非侵入手
33、段,比如复制(“撞库”“打码”)等仅仅造成数据的部分形式处分权和支配权受害的侵犯,虽未必对计算机信息系统内部的数据造成损坏,却同样可以获取计算机信息系统中的数据。在谭房妹等非法获取计算机信息系统数据、提供侵入计算机信息系统程序案件中,谭房妹借助被告人张剑秋的“打码”,并通过下载使用被告人叶源星编写的“小黄伞”软件、购买验证码充值卡,成功获取淘宝账号、密码 2 万余组,并将其出售给他人,获取违法所得 25 万余元。将该案件定性为非法获取计算机信息系统数据罪是正确的,但是随着信息技术的发展,未来还会出现更多的不以侵入为前提的非法获取手段,30问题的关键是明确此种行为的侵害实质是数据安全还是计算机信
34、息系统安全。比如非法侵入计算机信息系统罪,一方面,其将对象限定为国家重要领域的计算机信息系统,由此造成大量侵入经济建设等领域其他计算机信息系统的黑客行为无法规制,进而可能引发对相关帮助犯,比如提供侵入、非法控制计算机信息系统程序、工具罪正当性的质疑;31另一方面,致使侵入国家事务、国防建设、尖端科学技术领域计算机信息系统并获取数据的行为(实践中定性为非法侵入计算机信息系统罪)与侵入其他领域计算机信息系统并获取数据的行为(非法获取计算机信息系统数据罪)二者定罪量刑上的不均衡。32再如破坏计算机信息系统罪,无论是理论界还是实务界,都认为只有造成计算机信息系统不能正常 参见劳东燕:个人数据的刑法保护
35、模式,载 社会科学文摘 2020 年第 12 期。参见浙江省杭州市余杭区(市)人民法院(2017)浙 0110 刑初 664 号刑事判决书;王华伟:数据刑法保护的比较考察与体系建构,载 比较法研究 2021 年第 5 期。因为在实质正犯行为都不构成犯罪的情况下,提供工具的帮助行为更不应当作为犯罪处理。非法侵入计算机信息系统罪只有3年以下有期徒刑或者拘役,而非法获取计算机信息系统数据罪的量刑有两档:情节严重的,处 3 年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,则可以处 3 年以上 7 年以下有期徒刑,并处罚金。123网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研
36、究运行的才能构成破坏计算机信息系统罪,33致使对于删除、修改、增加数据等侵害数据安全却没有造成计算机信息系统不能正常运行的行为的处罚漏洞。例如,在黄祥招、汪伟达、陈岩等破坏计算机信息系统案二审中,案件的争议焦点在于黄祥招等被告人的行为是否对计算机系统造成破坏或影响其正常运行造成其他直接危害后果,如果认为对计算机系统造成破坏或影响其正常运行造成其他直接危害后果的,应当定性为破坏计算机信息系统罪。与此相反,虽然对计算机信息系统数据予以修改、增加,却并未造成计算机信息系统不能正常运行的,则只能定性为非法控制计算机信息系统罪。34此外,与第 286 条第 1 款中对计算机信息系统功能进行删除、修改、增
37、加、干扰相比较,第 2 款仅规定了对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加三种行为,造成对干扰数据行为规制的遗漏。事实上,司法实践中已经出现不以侵入计算机信息系统为前提,对其功能加以干扰影响其正常运行的案例。例如,最高人民法院发布的指导性案例 104 号李森、何利民、张锋勃等人破坏计算机信息系统罪案件中,被告人采用棉纱等物品堵塞环境质量检测采样设备,干扰采样,致使监测数据严重失真。35再比如被告人许某通过在 IDC 机房安装服务器、交换机的方式,最终达到屏蔽、改变数据传输路径,致使监测、预警对其失效的效果。36两个案例存在诸多相似之处,比如都因为没有侵入计算机信
38、息系统却影响到信息系统的功能,使其不能正常运行而被认定为破坏计算机信息系统罪中“删除、修改、增加以外的其他方法”,最终被定性为破坏计算机信息系统罪。然而,破坏计算机信息系统罪的保护客体是计算机信息系统安全,因此在被告没有直接侵入到计算机信息系统本身情况下被认定为破坏计算机信息系统罪的正当性值得进一步讨论。我国目前关于数据犯罪的规制重点集中在“获取”型和“破坏”型等犯罪行为,对于数据存储、数据窝藏、数据滥用、数据泄露等行为则缺乏必要的规制,忽视了数据生存周期原理动态的刑法保护。例如,就数据存储而言,在周某某等侵犯公民个人信息案中魔蝎公司违背 数据采集服务协议 中“仅在用户每次单独授权的情况下采集
39、信息时保存用户账号密码”的义务,未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。法院认定相关主管人员和其他直接责任人员周某、袁某均已构成侵犯公民个人信息罪。37可见,非法存储数据和非法获取数据都具有法益侵害性,只是非法获取数据行为被非法获取计算机信息系统数据罪规制,而非法存储数据行为则构成侵犯公民个人信息罪。再比如就数据滥用行为而言,在谢康、岳安安非法侵入计算机信息系统案中,被告人岳安安、谢康通过购买“e2eSoftVCam”摄像头辅助软件、下载“轻松换脸”软件,在“交管 12123”系统上处理代办审车、车辆违章业务时,利用上述软件逃避实人认证,造成被害人郭某、
40、邓某等人驾驶证分数被扣除。此处法院将“交管 12123”作为国家事务的计算机信息系统,认定为非法侵入计算机信息系统罪。38然而,该案的法益侵害本质是利用 AI 换脸等技术手段非法使用他人数据的行为,是违背法律规定对他人数据的滥用,故定性为非法侵入计算机信息系统罪无法实现对该侵害行为的全面界定。就窝藏数据的行为来说,虽然 2011 年 关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释 第 7 条以掩饰、隐瞒犯罪所得罪定罪处罚。39但掩饰、隐瞒犯罪所得罪位于我国 刑法 第六章 参见皮勇:论中国网络空间犯罪立法的本土化与国际化,载 比较法研究 2020 年第 1 期。最高人民法院指导性案
41、例 145 号裁判要旨中指出,通过修改、增加计算机系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的不应当认定为破坏计算机信息系统罪。参见福建省福州市中级人民法院(2019)闽 01 刑终 402 号刑事判决书。参见陕西省西安市中级人民法院(2016)陕 01 刑初 233 号刑事判决书。参见陈兴良:网络犯罪的类型及其司法认定,载 法治研究 2021 年第 3 期。参见杭州市西湖区人民法院(2020)浙 0106 刑初 437 号刑事判决书。参见河南省长垣县人民法院(2020)豫 0728 刑初 245 号刑事判决书。该解释第 7 条规定,明知是非法获取计算
42、机信息系统数据犯罪所获得的数据,而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得 5 千元以上的,应当以掩饰、隐瞒犯罪所得罪定罪处罚。124网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究第二节妨害司法罪中,具有妨碍司法秩序和财产追回权利的双重法益侵害性,与窝藏数据侵害数据安全法益二者之间存在本质上的差异。故以财产犯罪“违法所得”标准一刀切地适用数据犯罪,无法体现对数据保护的实际需要。(三)相关解释也无法弥补处罚漏洞解释论和立法论作为刑法学研究的重要方法,互为补充,如果司法实践中相关难题能够通过解释加以解决,尽可能予以解释;如果解释不通,只能通过立法加以完善。而我
43、国刑法将数据犯罪附属于计算机信息系统犯罪的立法缺陷所造成的司法困惑和处罚漏洞,是无论如何解释都行不通的。现代国家罪刑法定原则的基本要求是刑法的明确性。如上文所述,计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论,无法覆盖整个数据生存周期,相关罪名分散于不同的章节,问题的关键在于立法将数据犯罪附属于计算机信息系统犯罪刑法条款之后,致使其内在的逻辑性和明确性变得不清晰。数据犯罪的口袋化倾向愈益严重,造成司法实践的困惑和争议,不利于实现刑法规范的指引功能和裁判功能。对于数据犯罪适用的口袋化问题,现行司法解释不仅无济于事,而且一定程度上造成其口袋化倾向的进一步扩大。比如 2011 年 关于办理
44、危害计算机信息系统安全刑事案件应用法律若干问题的解释(以下简称 解释),明确非法获取计算机信息系统数据罪中的数据被限缩为支付结算、证券交易、期货交易等网络金融服务的身份认证信息以及其他身份认证信息,强调的是依附于计算机信息系统内部的数据,范围较为狭窄。40与此同时,第 11 条将计算机信息系统定位为具备自动数据处理功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。其从技术层面上将数据等同于计算机信息系统,将所有与计算机相关联的网络终端设备,如计算机、手机、平板电脑、家用智能电器等都纳入计算机犯罪的保护范畴内,数据的概念与计算机信息系统概念界定不清,数据犯罪为传统的计算机犯罪所遮蔽。
45、41同理,破坏计算机信息系统罪也存在上述问题。此外,非法获取计算机信息系统数据罪不是行为犯或危险犯,而是结果犯或情节犯,需要达到“情节严重”,42解释 第 1 条关于“情节严重”的认定主要从非法控制计算机信息系统的台数以及违法所得和经济损失等要素加以评价衡量。其以诸如违法所得和经济损失这种适用于财产类犯罪的评价因素评价非法获取计算机信息系统数据罪这类扰乱社会秩序类犯罪,加之违法所得 5000 元以上或者造成经济损失 1万元以上极低的入罪门槛,使得非法获取计算机信息系统数据罪与因非法占有具有经济价值的计算机信息系统数据定性为的盗窃罪之间模糊不清,造成口袋罪的进一步扩大。例如,在指导性案例检例第
46、36 号中,被告人卫梦龙利用龚旭因工作便利掌握的某网络公司内部账号、密码,多次违规登录该公司的内部系统,查询、下载其系统内部的数据,并交由薛东东出售给他人,违法所得共计 3.7 万元,法院认定卫梦龙、龚旭、薛东东为非法获取计算机信息系统数据罪。这里存在的问题是非法获取数据的前提是违反国家规定,侵入第 285 条第 1 款规定以外的计算机信息系统或采用其他技术手段,因此,单纯地非法获取数据的行为不足以构成犯罪。而指导性案例检例第 36 号根据 解释 5 千元以上的追诉标准将其定性为非法获取计算机信息系统数据罪扭曲了非法获取计算机信息系统数据实行行为的独立性,是一种入罪化思维的 非法获取计算机信息
47、系统数据情节严重的情形包括:其一,获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息 10 组以上的;其二,获取第 1 项以外的身份认证信息 500 组以上的。该解释第 11 条第 2 款更明确指出,其所称“身份认证信息”,是指用于确认用户在计算机信息系统操作权限的数据,包括账号、口令、密码、数字证书等。司法实践并未完全遵循该解释关于非法获取计算机信息系统数据罪中数据的限定,局限于身份认证信息类的数据内容,而是将数据的界定扩大到身份认证信息以外的具有价值的所有电子数据。淘宝用户的交易订单数据、具有财产权益的信用卡信息资料,还包括苹果手机 ID 与密码、医院数据库中的药品用药量统计数据
48、等。参见杨志琼:我国数据犯罪的司法困境与出路:以数据安全法益为中心,载 环球法律评论 2019 年第 6 期。参见高铭暄、孙道萃:网络时代刑法解释的理论置评与体系进阶,载 法治研究 2021 年第 1 期。125网络数据安全独立性之提倡及其刑法展开2023 年第 3 期法治研究体现。数据犯罪口袋化必然伴随着数据犯罪与相关犯罪罪名适用的争议。例如在肖颖破坏计算机信息系统一案中,被告人肖颖原系福建某信息网络公司运维部工作人员,在未获授权情况下利用之前管理维护指令,擅自进入公司某版游戏系统后台数据库,编辑程序指令,给自己的游戏账户充入需要付费购买的游戏币并领取,先后非法获得具有对等价值的金币、礼包等
49、若干。一审法院判决认为被告人的行为已构成破坏计算机信息系统罪,而辩护人则认为“破坏计算机信息系统”的本质特征应是对计算机信息系统功能造成实质性损坏,使计算机信息系统不能正常运行,故肖颖的行为不构成破坏计算机信息系统罪,应构成非法获取计算机信息系统数据罪。二审法院最终采纳辩护人的观点,认定被告人为非法获取计算机信息系统数据罪。43又如在“流量劫持案”中,关于“破坏”和“控制”的规范评价不一,造成破坏型数据犯罪和非法控制计算机信息系统罪之间的争议。44此外,数据犯罪与传统犯罪之间的适用也存在争议。例如最高人民法院指导性案例第 35 号曾兴亮、王玉生破坏计算机信息系统罪一案中,被告人曾兴亮、王玉生诱
50、骗被害人注销其苹果手机上的 icloudID,给被害人提供新的 ID 及登录密码,利用该 ID 及密码远程锁定被害人手机,并以解锁为由索要钱财。45该案的理论逻辑在于被告人通过远程修改、锁定被害人手机的方式,使其成为无法使用的僵尸机,造成了对计算机信息系统的修改、干扰,故法院定性为破坏计算机信息系统罪。不可否认,该指导性案例将以移动手机为代表的移动互联网终端都解释为“计算机信息系统”,符合互联网时代发展规律,然而也存在让人质疑之处,表现在被告人通过远程修改密码锁定手机的行为虽然造成被害人无法使用手机,但是其只是影响到被害人对财物的使用效用,计算机信息系统本身及其功能并没有受到影响。对此,该案定
浙ICP备2021020529号-1 | 浙B2-20240490 
