1、数据安全新型法益的建构 基于数据与信息的交互关系陆一敏(上海政法学院 刑事司法学院上海)摘 要:数据具有与信息一体及共生的技术属性数据与信息是形式载体与实质内容的一体两面 数据代码与信息内容分属“代码层”与“内容层”在法律属性上数据安全法益与信息安全法益各有侧重 数据犯罪与具体信息犯罪在行为对象上可能具有同一性以数据(信息)作为犯罪对象的一次侵犯行为可能侵害多重法益成立想象竞合而非牵连关系 我国现行计算机信息系统犯罪体系对数据安全的保护力有不逮有必要弱化数据与“介质层”底层设施之间的关联性直接以“代码层”为中心建构数据安全刑法保护体系并以数据权利人所设置的“代码壁垒”为限作为评判其对数据的处分
2、权限是否遭受侵害的标准关键词:数据信息数据安全法益计算机信息系统犯罪二元治理作者简介:陆一敏上海政法学院刑事司法学院讲师主要从事刑法学研究基金项目:国家社会科学基金重大项目“网络时代的社会治理与刑法体系的理论创新”(项目编号:)和上海政法学院青年科研基金项目“涉数据犯罪的刑法分流治理模式研究”(项目编号:)的阶段性成果中图分类号:.文献标识码:文章编号:():./.在数字驱动型经济时代数据已成为继土地要素、劳动力要素、资本要素、技术要素之后的市场第五大新型生产要素无疑是数字化、网络化、智能化的基础数据的流动在全球经济贸易活动的促进下趋向常态化数据技术的迭代造就海量的数据规模和丰富的应用场景也因
3、此引发数据要素价值释放路径的多元化进而无可避免地催生出日益严峻的数据安全风险故需要刑法提供充分的规范供给一、初具雏形的涉数据犯罪二元治理结构(一)域外以个人数据与一般数据为范畴的二元数据保护路径域外刑法较早地建立了相对完整的数据刑法保护体系 年欧盟网络犯罪公约(以下简称公 参见 年 月 日中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见 参见 年 月 日中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见 李玉华、冯泳琦:数据合规的基本问题青少年犯罪问题 年第 期第 页约)是一部以信息网络带来的全球化深刻变革为背景制定的“标杆性”公约一方面强调了其立法目的之一在于防止对
4、计算机数据()保密性()、完整性()以及可用性()的侵害和滥用另一方面还明确了一系列以数据内容为核心的犯罪 年 月欧盟通过了通用数据保护条例()对 年旧条例进行了更新 该条例被称为史上最严格的个人数据保护法案充分维护数字正义、保障数字时代的数字人权重点强调对个人数据的保护对数据控制者、处理者等设置了多项个人数据保护原则德国作为前述公约的缔约国之一在数据犯罪的立法方面很大程度上继受了欧盟的相关条约规定与数据规范模式 为实现欧洲法律的协调化发展目标德国自欧盟通用数据保护条例出台以来对联邦数据保护法(以下简称)进行了多次更新与修正 现行联邦数据保护法中的附属刑法规范规定了多种以个人数据为侵害对象的犯
5、罪行为不同于 强调了对个人数据的刑法保护德国刑法典中的相关数据犯罪强调对一般数据的刑法保护其中第 条第 款明确了数据的定义即指以电子的、磁性的或其他无法直接提取的方法存储或传输的数据理论上通常认为德国 以附属刑法的立法模式实现对个人数据的保护维护公民的人格权和信息自决权德国刑法典中的数据犯罪则主要保护对一般数据的形式处分权限或形式保密利益两者的规制对象与保护法益不同形成了德国刑法分别以个人数据与一般数据为保护范畴的二元数据保护路径这一规范路径可以说是对欧盟通用数据保护条例与公约的承继(二)我国以信息系统与信息内容为核心的二元数据保护格局为规范针对和利用数据的违法犯罪活动我国自 年施行网络安全法
6、起相继出台数据安全法个人信息保护法以及多部行政法规与部门规章 年 月国家互联网信息办公室关于网络数据安全管理条例(征求意见稿)公开征求意见 上述法律文件与相关刑法规范合力形成了我国涉数据犯罪法制体系的基本框架网络安全法以提升网络安全保障能力为核心明确了网络安全包含对网络数据完整性、保密性与可用性的保障能力从网络安全法第三章“网络运行安全”与第四章“网络信息安全”的章节体系来看网络运行安全涵盖了有关网络数据安全的内容并与网络信息(主要是指个人信息)安全分列作为网络安全的属内容 数据安全法网络数据安全管理条例(征求意见稿)与个人信息保护法则在网络安全法的基础上分别强调数据安全的保护与个人信息权益的
7、保护 两者的立法宗旨与规制对象各有侧重同前述网络安全法中的“网络数据安全”与“网络信息安全”有所对应:对数据安全的保护集中体现为保障数据权利人对数据的自主处分权限以确保网络数据的保密性、完整性与可用性对信息安全的保护则重点强调对信息内容的严格保密以防信息的泄露、篡改、毁损、丢失等 可以看到相关前置性法律规范组成了我国网络安全法律体系中网络数据安全与网络信息安全并行的数据要素治理结构在我国刑法实定法规定中一方面针对数据安全保护的规范主要是以计算机信息系统为依托而建立哲学社会科学版 (.)侵犯上述保密性(也称机密性)、完整性与可用性的犯罪通常被称为 犯罪主要针对网络黑客犯罪行为 参见乌尔里希齐白:
8、全球风险社会与信息社会中的刑法周遵友、江溯等译中国法制出版社 年版第 页 (.)、.张永忠、张宝山:构建数据要素市场背景下数据确权与制度回应上海政法学院学报(法治论丛)年第 期第 页 (/).如未经授权故意向第三人传输大量非公开个人数据或以其他方式营利的未经授权处理非公开个人数据的以谋利为目的骗取非公开个人数据的 ().转引自王华伟:数据刑法保护的比较考察与体系建构比较法研究 年第 期第 页 年 月 日中华人民共和国网络安全法第 条、第 条第 款的以刑法第 条第 款非法获取计算机信息系统数据罪与第 条第 款破坏计算机系统罪为典型:前者旨在保护数据的保密性防止计算机信息系统数据为数据权利人授权范
9、围以外的主体非法获取后者则意在保护数据的完整性与可用性以确保计算机信息系统数据不被破坏以及数据权利人可随时访问和使用数据另一方面由于数据承载着不同属性的实质信息内容涉数据犯罪可能内含多重法益侵害 对数据的侵害行为可能因数据所表达的不同信息内容分别具备国家秘密属性、知识产权属性或人格权属性等而侵害不同的法益类型成立如非法获取国家(军事)秘密罪、侵犯商业秘密罪或侵犯公民个人信息罪等由此可见有关数据的二元保护格局在我国刑事立法中也初具雏形分为以计算机信息系统数据为核心的计算机信息系统犯罪以及以数据所承载的信息内容为核心的多类信息犯罪 前者主要保障数据权利人对数据的自主处分权利相关规定集中于计算机信息
10、系统犯罪后者重点维护以国家秘密、商业秘密、公民个人信息等为典型的信息内容安全具体规定散见于法益侵害内容不同的各类信息犯罪 两者共同组成了我国涉数据犯罪的二元治理结构基于前述德国刑法与我国刑法的相关规定有学者主张德国继受了欧盟公约以数据为中心的网络犯罪规范模式我国则形成了以信息为中心的网络犯罪规范模式然而在笔者看来无论是作为各国数据犯罪立法蓝本的欧盟公约与通用数据保护条例还是继受了欧盟相关规范的德国刑法抑或是我国刑法均未采取单一的数据形式规制进路或信息内容规制进路而是均形成了初步的关于数据犯罪的分流治理结构之所以理论上关于涉数据犯罪刑法治理模式的争议层出不穷主要原因在于当前包括我国、欧盟、德国等
11、在内的各国、各地区的涉数据犯罪立法均存在滞后性的缺陷多依赖于计算机信息系统这一设备媒介与当下信息网络的发展现状不相适应同时有关数据概念与信息概念的交替使用、数据安全法益与信息安全法益的争鸣更使涉数据犯罪这一新型犯罪的内涵不清、与传统犯罪的边界不明 鉴于此有必要梳理我国刑法规范中数据与信息的归属关系据此确立以数据安全为核心的计算机信息系统犯罪与以信息内容为核心的信息犯罪的交互关系在此基础上明确数据安全新型法益刑法保护的建构方向以完善我国的涉数据犯罪分流治理体系二、技术属性:数据与信息的归属关系(一)数据和信息是形式载体与实质内容的一体两面过去农耕乃至工业社会的信息通常表现为实物载体上的消息以互联
12、网为代表的新技术的出现标志着信息时代的到来计算机信息技术的蓬勃发展下涌现大量以计算机信息系统为存储、传输载体用以记载信息的电子数据而在当下的大数据时代数据在社会活动各环节快速融入信息的承载者逐渐由有体实物向电子数据全面改革迁移关于数据与信息的关系在欧盟公约中并未严格区分个人数据与个人信息()通用数据保护条例则明确将个人数据界定为可以直接或间接识别自然人的任何信息()我国数据安全法的相关规定同样采用个人隐私、个人信息、商业秘密、保密商务信息等多种信息内容以定义数据概念简言之在制度规范上信息似乎常被用于定义数据概念并根据信息内容的不同属性界数据安全新型法益的建构 数据权利人包括数据来源者、数据处理
13、者等数据要素的参与方 参见 年 月 日中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见第二部分第(六)条 刘宪权、石雄:网络数据犯罪刑法规制体系的构建法治研究 年第 期第 页 王肃之:我国网络犯罪规范模式的理论形塑 基于信息中心与数据中心的范式比较政治与法律 年第 期第 页 (/)().年 月 日中华人民共和国数据安全法第 条分数据的具体种类如个人数据(信息)等正因为如此有学者主张数据与信息之间仅存在“读取”与否的差别亦有不少学者主张两者的范围与内涵大体一致数据与信息这种语义上的区分在宏观上并无实质意义或是仅具有极其有限的区分意义还有学者主张由于对数据、信息等舶来品的翻译存在差异
14、具体使用过程中的选择可能取决于语言习惯的约定俗成同时部分学者以及司法实践中的裁判文书采用“数据信息”这一概念这也加剧了数据与信息的交替使用的常态化 当然还有部分学者主张大数据时代下数据是信息的上位概念即“数据化意味着我们要从一切太阳底下的事物中汲取信息”“数据与信息是包含的关系”笔者认同数据与信息存在“读取”与否差别的观点 在“世间万物都可以被数据化”的大数据时代以网络空间为视域数据形式已经成为信息内容赖以生存的唯一载体尤其是具备分析意义的数据在含义上与信息甚至难以看出差异在笔者看来数据具有与信息一体以及共生的技术属性 数据表现为 和 二进制数组成的代码符号或代码符号序列组合这些代码符号是信息
15、内容的度量值也是承载实质信息内容的形式载体 反之信息以数据载体的形式在底层设备间生成、储存和传输信息通过数字代码进行表达信息内容的实现有赖于数据符号的读取 据此可以说在技术属性上数据与信息是形式载体与实质内容的关系通常指向同一对象的不同侧面是同一对象的一体两面 也正因为如此前述不少以个人数据(信息)为主要研究对象的学者主张数据与信息的区分并无实质意义主要原因之一即在于当数据符号被赋予了“个人”的限定时数据的形式载体身份被削弱相对应凸显的则是信息实质内容的意义和价值 此时的所谓“个人数据”侧重于实质的个人信息内容当然同“个人信息”的内涵保持高度的一致 总体而言数据和信息表现为形式载体与实质内容的
16、一体两面也因此电子化信息视域下的数据与信息在技术层面是趋同的(二)数据代码与信息内容的场域划分德国学者蔡希()借助符号学方法将信息区分为结构性的信息(也称实体信息)、符号层面的信息(也称句法信息)以及语义层面的信息具体而言结构性的信息是指存储信息的物质载体或直接蕴含信息的特定物质实体结构符号层面的信息则是指通过一定数量的符号及符号之间的逻辑关系而界定的信息独立于其可能承载的信息内容语义层面的信息则是指信息所包含的特定意义内容美哲学社会科学版 梅夏英:信息和数据概念区分的法律意义比较法研究 年第 期第 页 侯富强:我国个人信息保护立法模式研究深圳大学学报(人文社会科学版)年第 期第 页 谢永志:
17、个人数据保护法立法研究人民法院出版社 年版第 页 谢远扬:个人信息的私法保护中国法制出版社 年版第 页 参见郭明龙:个人信息权利的侵权法保护中国法制出版社 年版第 页 参见北京市知识产权法院()京 民终 号民事判决书天津市滨海新区人民法院()津 民初 号民事裁定书黄丽勤、宋骏男:未成年人数据权的二元保护研究载青少年犯罪问题 年第 期第 页 维克托迈尔舍恩伯格、肯尼斯库克耶:大数据时代:生活、工作与思维的大变革盛杨燕、周涛译浙江人民出版社 年版第 页 李爱君:数据权利属性与法律特征东方法学 年第 期第 页 相丽玲、张云芝:基于集合论的不同社会形态下信息、知识与数据关系新解情报科学 年第 期第 页
18、 有学者主张由于除电子数据外信息可以通过传统媒介如纸张、音像等进行传递因此信息可的外延大于数据参见唐思慧:大数据时代信息公平的保障研究:基于权利的视角中国政法大学出版社 年版第 页 本文对数据和信息的探讨位于网络空间的电子化视域下故此种以传统实体媒介作为信息载体的情况不在本文的探讨范围内即本文所称数据均为电子数据特此说明 韩旭至:信息权利范畴的模糊性使用及其后果 基于对信息、数据混用的分析华东政法大学学报 年第 期第 页 参见纪海龙:数据的私法定位与保护法学研究 年第 期第 页朱宣烨:数据分层与侵犯网络虚拟财产犯罪研究载法学杂志 年第 期第 页 转引自王镭:“拷问”数据财产权 以信息和数据的层
19、面划分为视角华中科技大学学报(社会科学版)年第 期第 页国学者本科勒()则将通信系统内部维度划分为最底层的“物理层”、中间层的“代码层”与最顶层的“内容层”大体上与前述结构性的信息、符号层面的信息以及语义层面的信息相对应 其中信息通过“物理层”进行传递该层主要包括计算机以及网络设备等“代码层”也称“逻辑层”该层主要是指代码还包括因特网基本协议以及基于协议运行的各式软件等“内容层”则是指经传输的、具有实质意义的信息内容通常以数字影像与电子文本的信息内容为典型代表略有差异的是蔡希主张符号层面的信息指向信息符号本身脱离代码符号蕴含的具体内容而本科勒所称的“代码”更多地指向网络协议规则是对信息符号的组
20、织方式、传输权限、传输方式等起到了决定性作用的语言规则以载有文字信息的纸张为例纸张本身作为记载信息的物理介质系最底层“物理层”纸张上记载的文字符号系中间层“代码层”或是“符号层面的信息”前者关注文字规则如该文字符号以中文、外文抑或是古文形式记载后者则重点关注指向文字符号本身文字所蕴含的信息知识内容则系最顶层“内容层”在此基础上为便于从信息(数据)的不同维度剖析信息与数据的法律属性笔者拟将以计算机信息系统及其相关设备、数据代码和信息内容为核心划分的三个层次统一称为“介质层”“代码层”与“内容层”其中“介质层”是指数据生成、储存与传播的底层基础设施、设备在很大程度上对应我国刑法中规定的“计算机信息
21、系统”即指具备数据处理功能的交互系统除计算机、网络设备以及其他相关的配套设备、设施以外还包括移动终端在内的通信设备、自动化控制设备等一系列基础设备“代码层”则融合了前述蔡希所称的“符号层面的信息”与本科勒所称的“代码层”既包含以 和 二进制为表达方式的数字代码符号和符号序列组合同时涵盖相应的代码规则包含各种形式的存储文件、软件系统(程序)等对应作为信息形式载体的数据本身“内容层”则是指经读取代码符号所得的实质内涵对应数字代码所承载表达的具体信息内容三、法律属性:数据安全与信息安全的维度区分(一)数据安全与信息安全的法益侧重在明确了数据与信息具有形式与内容一体性的基础上有学者指出在部分判决中法院
22、一方面认为信息与数据是内容与形式的关系另一方面却主张“数据所具有的实用价值在于其所包含的网络用户信息内容而不在于其形式”存在对信息与数据不加区分的模糊性使用应当看到前文对数据与信息数据安全新型法益的建构 参见劳伦斯莱斯格:思想的未来 网络时代公共知识领域的警世喻言李旭译中信出版社 年版第 页 部分专家以及澳大利亚传播与媒体局采用四分法从规制目的出发将完整的网络运营分为“物理层”“逻辑层”“应用或服务层”和“内容层”四层前文提到的三分法则是将“逻辑层”与“应用或服务层”合并为“逻辑层”或“代码层”转引自张文锋:走向治理:媒介融合背景下西方传媒规制理性与实践西南交通大学出版社 年版第 页 蔡希所主
23、张的“符号层面的信息”与四分法中的“应用或服务层”大体相同本科勒所称的“代码层”则与四分法中的“逻辑层”具有一致性包含传输控制协议、网络或互联网协议等等 也有观点将“代码层”称为“符号层”“数据层”或“数字符号层”将“内容层”称为“信息内容层”或“应用层”笔者认为仅存在表述或称谓上的区别 参见朱宣烨:数据分层与侵犯网络虚拟财产犯罪研究法学杂志 年第 期第 页陈兴良:虚拟财产的刑法属性及其保护路径中国法学 年第 期第 页刘宪权:元宇宙空间非法获取虚拟财产行为定性的刑法分析东方法学 年第 期第 页 当下虚拟化技术与云计算推动了硬件后端基础设备的抽象化 一方面信息载体不再局限于有形的物质实体结构另一
24、方面电子数据(信息)的生成、储存、传播载体与空间系统同样不再依赖于计算机、硬盘、网线等有形的物理设备 如具有远程便携性与能耗经济性的云端存储以及传感器存储等有望逐步取代传统大型机等基础设备及相关软、硬件设施无疑将成为“介质层”的中坚力量 故笔者将该层面命名为“介质层”以求将自带指令和数据处理功能的硬、软件系统以及物理载体虚拟化的情形囊括其中进而有别于传统的以有形物理介质为核心的“物理层”特此说明 杭州铁路运输法院()浙 民初 号民事判决书 参见韩旭至:信息权利范畴的模糊性使用及其后果 基于对信息、数据混用的分析华东政法大学学报 年第 期第 页之交互关系的阐释是基于物理世界的存在形式表明数据与信
25、息的技术属性却不是从法律角度以侵害法益为视角出发的也因此在法律层面的意义有限 故尽管笔者对数据产品的价值仅在于信息内容的上述观点有所保留但不得不承认的是数据形式载体与信息实质内容在法律属性上蕴含不同的价值也显然内含不同的法益内容从法律层面上来看前述通信系统内部的不同维度分别具备不同的法益保护内容刑事法律也理应提供差异性的规范供给 对“介质层”的侵害行为是以数据生成、储存、传输等赖以生存的底层设备或基础设施系统为行为对象的具体表现为以违反或突破安全防御技术为手段对包括计算机、网络设备、通信设备等在内的数据处理系统的入侵、控制或破坏 如非法侵入计算机信息系统罪等旨在规制对计算信息系统安全的侵害以保
26、障计算机信息系统功能的正常发挥维护计算机信息系统的安全运行对“代码层”的侵害行为通常是以 和 二进制为表达的数字代码符号即数据作为对象的具体表现为以相关技术手段违反或突破数据权利人设置的安全保护措施对数据进行非法获取或删除毁损等如非法获取计算机信息系统数据罪等用以规制对计算机信息系统数据的非法获取行为以及删除、修改、增加等破坏性操作行为 尽管该类以数据为对象的犯罪行为在当前我国刑法规定中尚未摆脱计算机信息系统设备的桎梏但显然同以计算机信息系统安全为核心的“介质层”犯罪行为具有明显的不同 其意在保障数据权利人对数据的占有、控制和利用的排他性(或非排他性)权限与状态以确保数据不被其他主体随意获取的
27、保密性、数据权利人可随时访问数据的可用性以及数据不被破坏的完整性对“内容层”的侵害行为则是以“代码层”中代码符号所提取的实质内容即具体信息内容为对象的可以表现为未经授权或超越授权对不同性质信息内容的非法获取、出售使用、公开披露等滥用行为如刑法第 条侵犯商业秘密罪规定了以电子侵入等不正当手段获取商业秘密或披露、使用或允许他人使用商业秘密等犯罪行为 相关行为的侵害法益主要指向承载了创造性智力成果的、具有知识产权属性的商业信息 由于商业秘密所具有的内容机密性与内容经济性特征该罪旨在保护具有商业价值的商业秘密信息不为公众知悉防止商业秘密权利人因商业秘密被泄露所造成经济损失 再如刑法第 条之一侵犯公民个
28、人信息罪是典型的以个人信息内容为行为对象的犯罪用以规制非法获取、向他人出售或提供公民个人信息的行为 相关行为的侵害法益主要指向能够识别自然人身份、具有人格权属性的个人信息内容该罪旨在实现对公民个人信息权的保护在保障公民个人隐私不受侵犯的同时防止个人信息被非法收集、扩散与滥用 应当看到实践中以“内容层”即信息内容为对象的侵害行为因不同信息内容所具有的信息特征与属性而构成对不同种类法益的侵害分析可知数据安全犯罪与信息安全犯罪的保护法益各有侧重 数据安全犯罪这一新型权利犯罪的行为对象以“代码层”的形式数据为限 对数据安全法益的保护旨在保障数据权利人对数据的处分权和支配权 其中对该类数据保密性的保护侧
29、重于数据的形式层面是指保障形式数据不为数据权利人未经授权的主体所收集与破坏通常与数据的信息内容、信息性质等无关与之不同的是信息安全犯罪是以“内容层”即数据所承载的实质信息内容为行为对象的本质上是利用网络电子化工具针对传统信息内容的侵害进而造成对信息来源主体的权益侵害在一定程度上体现了传统信息犯罪的网络化、电子化 因此对此类侵害信息安全行为的规制应当回归传统犯罪的框架根据信息内容所指涉的具体法益通过保护知识产权、个人信息权等传统权利以实现对信息内容的机哲学社会科学版 高铭暄:中华人民共和国刑法的孕育诞生和发展完善北京大学出版社 年版第 页 中华人民共和国反不正当竞争法第 条第 款:“本法所称的商
30、业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息”关于侵犯公民个人信息罪的保护法益理论上多有争议本文主张该罪的保护法益是公民的个人信息权(包括个人隐私权等人格权以及信息自决权等)该问题并非本文的讨论重点此处不赘密性保护以及对信息来源主体权益的保障 如前所述对信息安全法益的保护路径应当重点关注信息内容所反映的各项权益具备不同权利属性的信息内容分属不同种类信息犯罪的法益保护对象 在此基础上信息安全法益本质上可以说是与信息内容有关的多种传统信息法益的网络特殊形态信息安全犯罪则是一项整合了不同信息来源主体类型、不同信息权利属性的跨法益、跨罪名的犯罪合集(二
31、)数据安全法益与信息安全法益的竞合关系有学者主张数据安全法益和传统(信息安全)法益之间是非此即彼的中立关系:前者指以数据为对象侵害数据安全后者以数据为工具、媒介侵害传统法益 因此作为犯罪对象的“数据”具有单一性对数据的侵犯行为只能评价为数据犯罪或传统信息犯罪一罪而不可能同时认定为多种罪名而产生竞合亦有学者基于数据与特定信息的界分关系主张“刑法因数据所承载的信息内容而有特别规定的性质上属于信息犯罪而非数据犯罪”“不能以作为特别法的信息犯罪处理的则以数据犯罪予以规制”而在笔者看来这种将侵害信息安全法益的传统犯罪限定为以数据作为媒介与工具进而认为其与侵犯数据安全法益的新型犯罪之间无法成立竞合关系的观
32、点有失偏颇 笔者认为从行为对象的角度来看数据与信息具有物理层面的一体性而从侵害法益的角度来看针对同一物理对象的侵害行为可能同时侵害数据安全法益与信息安全法益 例如在以电子侵入方式非法获取公民个人信息、网络知识产权等数据承载的信息内容的情境下由于在物理层面数据与信息本质上是形式载体与实体内容的一体两面因此从行为对象的角度来看行为人非法获取的既是承载了公民个人信息、知识产权信息的数据也是数据所表征的实质信息内容 换言之网络视域下在该类以信息安全为核心的传统具体信息犯罪中数据并非仅仅是侵害传统信息安全法益的工具与媒介而在物理层面同样表现为侵害行为的对象 这正是因为数据和信息在技术属性与物理层面实际指
33、向同一物体两者是几近趋同的 因此以行为对象所指向的“物”界分数据安全犯罪与信息安全犯罪显然是难以实现的事实上两者的区别体现在针对同一行为对象的不同侧面的侵害表现为法益侵害的显著性差异台湾学者柯耀程提出应当区分电磁记录(数据)具有双重属性存在:对其本质加以侵害时适用妨害电脑使用犯罪等数据犯罪对其表征性功能加以侵害时应依其表征的法益属性回归应然的犯罪类型中加以处理这一观点区分了数据本质与数据的功能性并将其作为数据安全犯罪与传统信息犯罪的区分标准 笔者对该观点表示支持事实上所谓的数据本质是指数据的形式侧面也即代码符号数据的功能性则是指数据的实质侧面也即信息内容 之所以主张数据(信息)具有双重法律属性
34、正是因为物理层面的数据与信息是形式载体与实质内容的一体两面而数据安全与信息安全又同时在法律层面表现为不同的法益保护内容 概言之作为行为对象的数据(信息)在物理层面仅具有单一性但可能具备法律属性上的多面性 在此基础上针对数据(信息)这同一物理对象的危害行为亦可能造成不同的法益侵害实践中对数据代码保密性的侵害常伴生着对信息内容机密性以及其他以信息实质内容为核心的法益侵害因此可能表现为一次侵犯行为对数据安全法益与信息安全法益的多重法益侵害 换言之以数据(信息)作为犯罪对象的一次侵害行为可以同时成立数据安全犯罪与具体信息犯罪的竞合 具体而言大数据时代形式载体逐渐成为信息内容的主要媒介对于刑法分则中以保
35、护信息内容机密性为核心的犯罪而言其手段行为极有可能表现为网络空间内的电子侵入或其他技术手段 此时非法获取计算机信息系统数据的行为可能同时成立侵犯公民个人信息罪中的“以其他方法非法获取公民个人信息”或成立侵犯商业秘密罪中的“以电子侵入手段获取权利人的商业秘密”等即一行为符合数个犯罪构成、造成对数个法益的侵害进而成立想象竞合数据安全新型法益的建构 参见杨志琼:我国数据犯罪的司法困境与出路:以数据安全法益为中心环球法律评论 年第 期第 页 苏青:数据犯罪的规制困境及其对策完善 基于非法获取计算机信息系统数据罪的展开法学 年第 期第、页 参见柯耀程:“电磁记录”规范变动之检讨月旦法学教室 年第 期第
36、页也许有观点会认为以数据代码保密性为侵害法益的获取数据行为与以信息内容机密性为侵害法益的获取信息行为在通常意义上具有手段行为与目的行为的牵连关系因此可能成立牵连犯 从刑法理论上来看牵连犯与想象竞合犯均符合数个犯罪构成侵害了数个不同的法益而其间的关键性区别在于行为的多寡:牵连犯具有手段行为与目的行为等多个行为想象竞合犯则以同一个侵害行为为前提基础 因此两者界分的焦点在于侵害行为的数目究竟是一行为抑或是多行为 在笔者看来行为多寡的认定应当基于自然的判断以社会的一般观念予以考察 具体而言在行为对象、行为手段均同一时通常应当认定为一行为而非多行为 正如前述由于数据代码和信息内容是形式与实质的一体两面因
37、此非法获取计算机信息系统数据罪等数据安全犯罪与侵犯公民个人信息罪、侵犯商业秘密罪等具体信息犯罪在犯罪行为对象方面具有单一性即侵害行为在物理层面指向同一“物”两者行为手段则均可能表现为电子侵入或其他技术手段 正因为如此从自然行为模式层面来看上述非法获取计算机信息系统数据行为与侵犯具体信息内容的信息犯罪行为在行为对象与行为手段两方面均具有同一性两者应当属同一行为故具备了想象竞合成立的可能性 而当一侵害行为同时侵害数据安全法益与信息安全法益在犯罪构成评价上符合数个犯罪构成同时触犯非法获取计算机信息系统数据罪与具体的信息犯罪时应当成立两罪的想象竞合从一重罪论处与之不同的是在部分情形下非法侵入计算机信息
38、系统罪的手段行为与非法获取具体信息内容的目的行为可能成立牵连犯 如行为人违反国家规定侵入国家事务等特殊领域的计算机信息系统非法获取国家秘密的可以成立非法侵入计算机信息系统罪与非法获取国家秘密罪的牵连犯 这与前述以数据(信息)为犯罪行为对象的多重法益一次侵犯行为的本质区别在于该情形下犯罪手段行为的对象系特殊领域的计算机信息系统目的行为的对象系数据形式所承载的国家秘密内容 显然手段行为与目的行为的对象分别指向“介质层”的底层设备与“内容层”的信息内容不具有类似数据与信息的一体两面关系 因此非法侵入计算机信息系统的手段行为与非法获取国家秘密的目的行为显然是不同的行为而非一个行为成立牵连犯而非想象竞合
39、犯四、数据安全法益刑法保护路径的反思与重塑在明确数据代码与信息内容分属“代码层”与“内容层”且数据安全新型法益与传统信息安全法益兼具独立性与相关性的基础上有必要对我国现行刑法以计算机信息系统为中心的数据安全保护模式进行反思确立数据安全新型法益独立性保护地位进一步探索相关法益侵害行为构罪的具体标准(一)计算机信息系统犯罪对数据安全保护的力有不逮囿于立法初衷的局限与体系化数据保护观念的缺失随着数据技术的迭代更新计算机信息系统犯罪对于数据安全的保护不可避免地显出力有不逮之势 事实上我国刑法围绕计算机信息系统安全规制涉数据犯罪的立法模式已经受到相当一部分学者的质疑不少学者均主张计算机信息系统数据具有明
40、显的依附性与间接性有必要在刑法层面承认数据法益的专门化、独立性保护地位自 年刑法建立计算机信息系统犯罪体系以来对“计算机信息系统数据”概念的沿用无法改变数据对计算机信息系统的依附性与局限性相关犯罪的对象难以涵摄超出了计算机信息系统运行范畴的数据 也正因为如此无论是相关前置法规还是相关司法解释均不得不对“计算机信息系统”的概念进行扩张解释以“具备自动处理数据功能的系统”定义“计算机信息系统”进而将计算机以外的包括网络设备、通信设备、自动化控制设备等一系列具备数据处理功能的硬件、软件系统均纳入“计算机信哲学社会科学版 参见孙道萃:大数据法益刑法保护的检视与展望中南大学学报(社会科学版)年第 期第
41、页李晓明:论人工智能刑法规制中的技术规范东方法学 年第 期第 页 参见张勇:数据安全分类分级的刑法保护法治研究 年第 期第 页息系统”的范畴然而此时刑法中的数据被定义为“具备自动处理数据功能的系统”中存储、处理或传输的数据不仅与前置法数据安全法网络安全法中对“数据”或“网络数据”概念的定义方式相差甚远更陷入以“数据”本身定义“数据”的循环定义与同语反复“数据”这一技术性语义的内涵随着信息网络技术的迭代不断被更新若仍将“代码层”的数据概念禁锢在“介质层”中的某一项设备媒介之上显然既无法全面覆盖逐渐脱离物质终端设备绑定的数据也无法适应数据在物理性状、生成过程、利用方式上多样化的特点除此之外我国现行
42、刑法中的破坏计算机信息系统罪所保护的数据完整性与可用性并非全面的、独立的而是附条件的 刑法第 条破坏计算机信息系统罪第 款与第 款规定的侵害行为均以“造成计算机信息系统不能正常运行”或“影响计算机系统正常运行”为必要构成要件可见该罪的立法目的旨在加强对计算机信息系统的管理和保护保障计算机信息系统功能正常发挥维护计算机信息系统安全运行而该罪第 款则仅规定了删改计算机信息系统数据和应用程序“后果严重的”并不强调相关数据对计算机信息系统完整性的影响 然而从规范的体系协调性的角度出发结合该罪的立法目的显然应当对该罪第 款中的“数据”进行性质上的限缩即删改有损于计算机信息系统完整性和系统本身正常运行状态
43、的数据方可能成立破坏计算机信息系统数据罪概言之在有关数据保密性的保护上现行的计算机信息系统犯罪体系仅能保护狭窄范围内的一部分数据而破坏计算机信息系统数据罪对破坏数据完整性与可用性危害行为的规制则是附条件的以相关行为足以破坏计算机信息系统的正常运行功能为前提 为补强以上计算机信息系统犯罪对数据安全保护力有不逮的立法现状一方面相关司法解释与时俱进地对“计算机信息系统”概念予以扩容以此扩大“计算机信息系统数据”的涵盖范围另一方面相关司法解释以数据所依附的计算机信息系统的台数认定该款中破坏数据行为的社会危害性程度实践中也不乏以破坏计算机信息系统罪论处单纯删改数据行为的裁判妄图通过牺牲相关规范的体系协调
44、性以实现对删改破坏数据行为的全面保护然而应当看到新兴技术与新型权利的变幻与发展难以预料依赖扩张“介质层”的“计算机信息系统”概念并非长久之计 随着信息技术的不断推陈出新任何内置有自动处理数据功能的智能化设备都可能成为被攻击的对象更有甚者“介质层”的涵盖范围可能完全独立于计算机设备而表现为采用了应用程序虚拟化技术()的平台空间如云服务器等 可以想见以动态的、开放的“代码层”数据概念替换依附于静态的、封闭的“介质层”计算机信息系统数据概念是信息网络时代发展的必然要求若在立法上固守以“介质层”为中心建立数据保护体系不仅将导致对“计算机信息系统”概念的列举式技术性扩张直至将计算机信息系统安全扩容为上位
45、的信息网络安全更在很大程度上超出了“计算机信息系统”的语义范畴有违反罪刑法定原则之嫌 与此同时为摆脱破坏计算机信息数据安全新型法益的建构 中华人民共和国计算机信息系统安全保护条例(年修订)第 条 年 月 日最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释第 条第 款 全国人大常委会法制工作委员会刑法室:中华人民共和国刑法条文说明、立法理由及相关规定北京大学出版社 年版第 页 详细论述见陆一敏:网络时代刑法客观解释路径国家检察官学院学报 年第 期第 页 年 月 日最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释第 条
46、第 款第 项 参见四川省崇州市人民法院()川 刑初 号刑事判决书 陈国庆、韩耀元、吴峤滨:关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释理解与适用人民检察年第 期第 页 参见刘一帆、刘双阳、李川:复合法益视野下网络数据的刑法保护问题研究法律适用 年第 期第 页 赵春玉:大数据时代数据犯罪的法益保护:技术悖论、功能回归与体系建构法律科学(西北政法大学学报)年第 期第 页系统罪以规制破坏数据行为的前提性条件实践中对刑法第 条第 款产生了误读乃至最高人民法院与最高人民检察院的相关指导案例亦有所分歧加剧了司法实务中该罪名适用上的混乱 而这也实属当前刑法缺乏以保护数据安全为核心之犯罪的无奈
47、之举(二)“介质层”向“代码层”的规制转向在通信系统理论与计算机信息系统发展之初相关的计算机犯罪形式集中表现为以计算机病毒等破坏性程序为工具的入侵计算机信息系统行为 正因为如此我国现行的计算机信息系统犯罪体系完全是围绕底层设备或基础设施即物理形式的“介质层”为基础而构建的 即使是第 条第 款非法获取计算机信息系统数据这一典型的甚至是唯一的以“代码层”的形式数据为对象的犯罪在立法上同样强调对相关系统设备的“侵入”然而随着计算机信息系统防火墙的不断更新加固与计算机病毒程序的颓败乃至消退当前大量的犯罪形式更倾向于直接表现为以“代码层”的数据代码为对象的非法收集、处理和使用的滥用数据犯罪而不以对计算机
48、信息系统的侵害与破坏为必然鉴于此有必要在立法上补充独立的数据视角弱化数据与计算机信息系统等媒介设备之间的关联性确立数据安全的独立法益地位即调整当前我国刑法以侵害最底层“介质层”的基础设施为条件的数据安全规制模式将数据安全犯罪独立于计算机信息系统犯罪的基本范畴转而直接以中间层“代码层”的数据代码作为保护的重点其一在数据安全犯罪的对象概念与行为手段等方面将数据从计算机信息系统彻底剥离 如前所述数据的场景全面覆盖进程赋予了实施危害数据安全更多可能的行为方式因此在相关罪名构成要件的设置上不仅应当将犯罪对象之数据概念独立于计算机信息系统直接表述为“网络数据”“电子数据”或“数据”本身侵害数据安全法益的手
49、段条件同样应当予以适当的弱化 例如当前刑法第 条第 款非法获取计算机信息系统数据罪明确将“侵入计算机信息系统”作为获取数据的手段行为 对此笔者认为应当适时摒弃该罪中“侵入”等带有明显“介质层”色彩的行为模式以违反或突破数据权利人为数据访问权限所设置的“技术手段”作为侵害数据安全的手段行为由于网络固有的开放性特征对于公开数据通常认为数据获取者已经取得了数据权利人允许所有网络用户自由访问数据的默认 为防止对数据安全法益保护的过度泛化造成对数据访问者的动辄得咎有必要以数据权利人所设置的防止数据泄露或者被窃取的技术手段为限作为评判数据权利人对数据的自主处分权和支配权是否遭受侵害的核心标准 笔者拟将该种
50、认定标准称为“代码壁垒”这是数据权利人通过技术手段为数据安全所设置的“门槛”或“边界”以防止未经授权的数据访问确保数据为适格主体访问、控制和利用 数据权利人可以通过设置“代码壁垒”保持数据的绝对排他性而完全不对外开放或可以通过设置权限密钥等向特定主体进行有限开放或可以通过实施 阻止措施撤销对有权访问用户的授权许可还可以完全开放数据但通过一定的技术措施限制数据访问者的数据爬取等“代码壁垒”表明数据权利人释放了“拒绝访问”或“限制访问”的信号向网络用户明示了关于数据的访问规则 若网络用户通过突破或避开该“代码壁垒”以获取数据则成立对数据保密性的侵犯反之若数据权利人仅通过标注或发函等非技术手段表明访