•  首頁 >> 讀刊·中國學派
    從控制到利用——刑法數據治理的模式轉換
    2022年08月12日 16:09 來源:《中國社會科學》2022年第7期 作者:于改之 字號
    2022年08月12日 16:09
    來源:《中國社會科學》2022年第7期 作者:于改之
    關鍵詞:數據安全;數據法益;刑法治理;控制模式;利用模式

    內容摘要:數據安全和數據共享是數據治理的基本目標。

    關鍵詞:數據安全;數據法益;刑法治理;控制模式;利用模式

    作者簡介:

      摘要:數據安全和數據共享是數據治理的基本目標。受數據賦權觀念的影響,現行刑法采用了控制模式,重在禁止“獲取”“泄漏”“竊取”數據的行為,并借此對濫用行為進行事前防范。控制模式忽視了數據的公共產品屬性,無法全面、有效保護數據法益,導致既無法有效維護數據安全,亦難以實現數據共享。旨在規制濫用行為的利用模式,是刑法數據治理模式調整的現實方向。利用模式可基于以下路徑實現:刑法總則中設置專門條款,指導分則數據法益的解釋;適當限制控制模式立法,發揮數據的獨立價值;增加濫用算法罪、非法提供算法服務罪,彌補現行刑法規范供給不足的缺憾;積極探索涉數據犯罪的違法阻卻事由,避免因刑法介入過度而抑制數據共享目標的實現。 

      關鍵詞:數據安全 數據法益 刑法治理 控制模式 利用模式 

      作者于改之,上海交通大學凱原法學院教授(上海 200030)。 

      來源:《中國社會科學》2022年第7期P56-P74 

      責任編輯:李樹民 

      數據,是指任何以電子或者其他方式對信息的記錄。隨著數據時代來臨,海量數據激發了全社會的創造力,極大增強了社會和市場活力,成為備受矚目的基礎性、戰略性資源。與此同時,大量非法獲取、披露、濫用數據的行為層出不窮,嚴重妨害了社會和經濟的健康發展。保障數據安全,促進數據共享,由此成為全球性數據治理的基本目標,也成為全球范圍內法律上對數據資源進行權利和義務分配的重要標準。基于現實需要,各個國家和地區無不持續更新立法,或通過專門的數據保護法案,或對已有相關法案增刪符合數據治理的法律規則,我國也不例外。 

      中共中央、國務院2020年3月出臺的《關于構建更加完善的要素市場化配置體制機制的意見》明確提出,要加快培育數據要素市場,加強數據資源整合,提升社會數據資源價值,培育數字經濟新產業、新業態和新模式,建立數據安全保護制度。國家互聯網信息辦公室等四部委2021年12月聯合發布的《互聯網信息服務算法推薦管理規定》,為規范互聯網信息服務算法推薦活動、促進互聯網健康發展提供了政策依據。然而,由于深受賦權理念影響,我國刑事立法與司法將數據主要看作個人權利的載體和個人自由的延伸,更偏重于維護權利主體對于數據的控制安全,而對數據的公共產品屬性重視不夠,導致相關刑法規范的設定脫離社會和經濟發展需求,出現了數據安全保護領域諸多問題,致使有關刑法規范既未能真正有效保護權利主體的合法權益,亦未能有效促進數據要素市場的培育。如何將國家的數據治理政策導向通過完善刑法立法及解釋工作,促成刑法數據治理模式的有效轉換,實現安全維護、自由保障與技術進步的協同、均衡發展,是亟待解決的重大刑法學問題。 

      一、刑法數據治理的現行模式 

      刑法的任務在于保護法益,法益是建構刑法分則罪刑規范體系的基石。然而,我國刑法中尚不存在以數據法益為核心的罪刑規范體系。現行刑法相關罪刑規范分散于分則不同章節,通過不同罪名體系與行為類型予以呈現。 

      (一)現行刑法數據治理體系 

      1.罪名體系:直接保護與間接保護 

      從罪名體系來看,刑法分則對數據主要采用直接和間接兩種保護方式。直接保護是直接將數據作為犯罪對象加以保護。在相當長時期,刑法對數據法益的保護僅限于計算機信息系統安全,直至《刑法修正案(十一)》增設了危險作業罪和妨害藥品管理罪,直接以數據為對象的刑法規制體系才開始擴張,由妨害社會管理秩序罪向危害公共安全罪和破壞社會主義市場經濟秩序罪延伸。間接保護是將表征數據內容的各種具體信息、秘密、證明或者證件等作為犯罪對象,以此間接規制數據侵害行為。其范圍涵蓋了政治、經濟、軍事等諸多領域,所保護的法益則囊括了國家安全、公共安全、市場經濟秩序、公民人身權利、財產權利、社會管理秩序等。 

      總體上,現行刑法罪名體系呈現以下特點:(1)在直接保護中,所涉數據范圍極其狹窄,僅限于“計算機信息系統數據”“公民個人信息”“直接關系生產安全的監控、報警、防護、救生設備、設施的相關數據”以及“與藥品注冊相關的數據”四類;(2)在間接保護中,立法目的明顯側重于對國家法益、社會法益的保護,體現出重點維護安全、秩序利益的立法偏向;(3)兩種保護方式均將數據作為犯罪對象,獨立的數據法益并不存在,數據的性質、層級、種類、功能定位亦不清晰。 

      2.行為類型:片斷性與不完整性 

      刑法現有罪名并未事無巨細地保護數據活動的所有階段,而是僅規定了以下不法行為類型:(1)編造或者傳播虛假數據的行為(如編造并傳播證券、期貨交易虛假信息罪);(2)刪除、篡改、隱瞞或者銷毀數據的行為(如危險作業罪);(3)非法獲取或者泄漏數據的行為(如侵犯公民個人信息罪);(4)非法利用信息或者數據的行為(如利用未公開信息交易罪)。其中,禁止編造、提供虛假數據的行為保護的是數據的真實性,而非現實存在的數據法益。真正與后者密切相關的,實為數據的完整性、數據的保密性以及數據的可利用性。以上不法類型表明,當前刑法治理的重心在于數據的非法獲取行為而非濫用行為。就此而言,現行刑法規定對數據法益的保護無疑具有片斷性,不法行為類型亦明顯呈現出不完整性特征。 

      (二)現行刑法數據控制模式 

      數據共享與數據安全是數據治理的基本目標。數據共享通過數據處理來實現,其包括數據的收集、存儲、使用、加工、運輸、提供、公開等;而數據安全是指通過采取必要措施,確保數據處于有效控制和合法利用的狀態,以及具備保障持續安全狀態的能力。可見,數據安全包括數據控制安全和數據利用安全。其中,數據控制安全體現的是一種賦權理念,其側重于保護數據主體對于數據的控制力。數據利用安全體現的則是自由利用理念,其側重于保護數據在各個處理階段的安全。據此,可將刑法關于數據安全的保護模式劃分為數據控制安全保護模式和數據利用安全保護模式。為行文便利,本文將這兩種模式分別簡稱為數據控制模式與數據利用模式。從數據控制模式的特征看,我國刑法正是采用了該模式。 

      首先,在規制理念上,力求通過對數據“靜態安全”的維護,實現對數據利用安全的前置性保護。以侵犯計算機信息系統的犯罪為例,很多通過篡改、刪除或者破壞數據等方式侵害計算機信息系統的行為,旨在實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密等犯罪。刑法通過保護數據的控制安全,可以對相關法益進行前置性保護。又如,公民個人信息通常與公民的人格利益或者財產利益密切相關。多數情況下,單純獲取或者泄漏此類數據,并不會直接對相關利益產生現實危害。但是,由于其可能成為數據濫用行為的源頭,通過禁止該類行為,可以提前保護公民的人身、財產安全以及正常的工作、生活不受侵害和干擾。可見,數據控制模式是一種事前防范機制,旨在防范因數據泄漏或非法獲取所可能導致的數據濫用危險。 

      其次,在規制重點上,通過抑制非法獲取或者泄漏數據等削弱數據主體對數據排他性控制程度的行為,強化數據主體對數據的控制。這在現行刑法規定及相關解釋中體現為三點。 

      一是通過積極禁止數據竊取、泄漏行為,直接保護數據主體對于數據的控制。依傳統觀念,強化數據主體對于數據的控制,被認為是嚴密保護數據主體利益的最有效方式。在我國涉數據保護的刑法規范體系中,禁止非法獲取或者泄漏數據的罪刑規范占涉數據罪刑規范的絕大多數。例如,在將國家、商業或者軍事等秘密作為保護對象的罪名中,規制的均是非法獲取或者泄漏秘密的行為。 

      二是通過禁止刪除、篡改(修改)、隱瞞、銷毀、增加、干擾數據的行為,間接強化數據主體對數據安全的控制。由于數據的分析價值在不斷組合、剝離、聚合中產生,而“在分析階段,處理也可能導致數據的變化。例如,通過組合創建新數據的數據集,或者通過剝離標識符號或聚合標識符,將它們轉換為‘匿名’數據”, 由此導致數據的完整性與可利用性之間始終存在內在張力。通過禁止刪除、修改數據的立法強化對數據完整性的保護,必然會導致數據可利用性的弱化。現有刑法罪名禁止對數據進行增加、刪除、修改、銷毀等處理,以此對數據的完整性提供保護,其實是從一般性地禁止數據利用的角度,間接強化了數據主體對于數據的控制。 

      三是在對涉數據犯罪的構成要件進行解釋時,同樣凸顯出數據控制模式的色彩。現行刑法并未規定保護數據法益的一般性條款,導致大量侵犯數據的行為難以受到懲處。為擺脫此困境,通過解釋擴張數據的內涵及其載體的范圍,已成為實務界的通行做法。一方面,相關司法解釋將計算機系統的內涵界定為具備自動處理數據功能的系統,使得數據載體的范圍得以擴張。另一方面,新近司法判例打破以往將保護對象限定為“身份”認證數據的傳統,將盜竊虛擬財產的行為認定為非法侵入計算機信息系統罪。對于難以評價為非法獲取公民個人信息罪的刪除公民個人信息的行為,則將其評價為破壞計算機信息系統罪。這些做法最終導致前述二罪淪為“兜底罪名”。在現行刑法旨在維護數據控制安全的前提下,這無疑進一步強化了數據控制模式的色彩。 

      最后,在規制范圍上,尊重數據主體的意愿,將“知情同意”作為數據獲取、利用行為違法性的阻卻事由。數據控制模式的立法實際上賦予數據主體對于數據的排他性支配權,除屬于國家機密(如關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據)而禁止或者限制法益擁有者進行特定轉讓的特殊種類數據外,如果征得數據主體同意,原則上任何獲取或者利用數據的行為均合法。這么處理的依據源于各個前置部門法的規定。例如,我國《消費者權益保護法》第29條、《網絡安全法》第41條即明確將消費者同意、被收集者同意作為收集、利用相關數據的合法條件。我國《數據安全法》第32條則從反面規定,任何組織和個人不得竊取或者以其他非法方式獲取數據。司法中,“新浪微博訴脈脈案” “朱燁訴百度案” 等案件的爭議焦點均圍繞數據獲取行為是否需要知情同意、是否存在知情同意以及知情同意的范圍而展開。 

      (三)數據控制模式的依據 

      現行刑法之所以采用控制模式,有著相應的理論、現實、法政策等依據。 

      1.理論依據:數據的權利屬性 

      將值得保護的數據限定為只能由相應主體加以控制,實為私法上數據賦權觀念在刑法中的投影。長期以來,私法中權利思想盛行,以致那些僅通過特定命令或禁令而受到保護的法律狀態,也被視作權利, 但準確而言,這種法律狀態僅是一種受到法律保護的權益,其更強調國家的保護義務。在確定數據的屬性時,對于其究竟是一種可以對抗不特定主體的權利,還是一種受國家保護的權益,學界存在明顯分歧,由此形成權利屬性模式與權益屬性模式之爭。其中,權利屬性模式肯定數據利益與特定主體之間的排他性歸屬關系,無論權利主體是政府、企業還是私人,只有特定主體可以實施存儲、處理、使用等數據行為,其他主體均不得實施。該模式將數據利益視為一種獨享權利,強調權利主體與其占有、控制的數據之間存在絕對排他性支配關系。這種理解反映在數據治理問題上,則表現為將數據保護的重心放在數據的控制安全上,即采用數據控制模式。由獨享權利的排他性所決定,數據的限定接觸屬性是該模式的邏輯起點。 

      相反,如果將數據利益視為一種受國家保護的權益,即采用權益屬性模式,則除數據主體之外的第三方主體同樣也可以分享一定的數據利益,并在利益受損的情況下要求法律提供救濟。例如,我國立法就未賦予商業秘密以權利屬性,對于侵犯商業秘密的行為,商業秘密所有人、商業秘密使用人均可以作為商業秘密利益的享有者,以權利人的身份要求非法獲取、披露、使用商業秘密的人承擔侵權責任。 

      可見,不同的數據屬性模式會導致不同的社會效果:在權利屬性模式下,原則上禁止其他利益關聯者共享此利益;在權益屬性模式下,鑒于私法上強調“法不禁止皆自由”, 除法律有特殊規定外,原則上并不禁止數據共享。權益屬性模式反映在刑法的數據治理問題上,則意味著應將數據保護的重心置于對數據利用行為的規制上。 

      2.實踐動機:數據法益的獨立、補充保護 

      由于刑法并未設置獨立保護數據法益的一般性條款,數據能否得到保護,端賴其背后存在的具體法益,以及刑法是否設定了保護該法益的條款。隨著大數據技術的發展,針對數據本身的各種新型侵權行為層出不窮。如果繼續維持傳統保護模式,現行刑法規范無法滿足數據治理需求的狀況將難以得到根本性改善。在此背景下,承認數據法益的獨立性及其保護的必要性和正當性,逐漸成為刑法各界的共識。在立法尚未積極作出回應前,為避免處罰漏洞,理論界和實務界多主張侵害計算機信息系統安全類犯罪的保護法益是數據安全,進而基于保護法益的目的,對數據內涵及其載體范圍進行擴張解釋,即突破刑法規定的“計算機信息系統”“計算機系統”的用語限定,將作為此類犯罪對象的數據擴大到一切數據。此種基于回應社會生活需要的客觀目的論解釋立場,一方面使得數據利益不再依附于計算機信息系統安全,實現了對數據法益的獨立保護;另一方面通過擴張解釋,侵害計算機信息系統安全的犯罪成為兜底條款,實現了對數據法益的補充性保護。 

      3.政策訴求:數據濫用風險事先預防的強化 

      隨著風險社會的到來,風險預防的理念受到重視,“雖然沒有損害法益,但是只要通過危險行為威脅到了法益就可以肯定刑事不法的存在”,由此產生了“有法益侵害危險就有必要作為犯罪懲罰”的積極主義刑法立法觀。獲取或者泄漏數據等行為的犯罪化,同樣應置于該立法理念下理解。例如,對于非法獲取公民個人信息罪,盡管可以從個人信息自主決定權的角度解釋該罪的保護法益,但相關泄漏或者出售行為“對公民的人身、財產安全和個人隱私構成嚴重威脅” 才是立法者設定該罪的實質理由。換言之,該罪的規范保護目的在于,通過打擊出售、提供、非法獲取公民個人信息等侵犯公民個人信息的犯罪,切斷其與電信網絡詐騙等犯罪的鏈條,從源頭上預防和減少犯罪的發生。再如,《刑法修正案(十一)》增設了危險作業罪,將“篡改、隱瞞、銷毀”相關數據行為犯罪化,其目的在于對一些具有導致重大事故發生現實危險的重大隱患行為,刑法也應當提前介入,預防懲治這類犯罪。 

      二、刑法數據控制模式的內在缺陷 

      作為數據治理的基本目標,數據安全和數據共享分處數據保護的兩端。在利益衡量的天平上,控制模式將砝碼置于數據的靜態安全(數據控制安全)一端,這無疑對數據安全的保護發揮了重要作用。然而,由于其過度強化數據控制,該模式能否有助于達成數據安全與數據共享的基本治理目標,不無疑問。 

      (一)忽視了數據的公共產品屬性 

      隨著民法價值取向由純粹的個人本位邁向社會本位,權利概念的“社會建構屬性”日益凸顯,賦權理念需更多融入社會公共利益基因,這已經成為社會共識。在這種法律價值重心轉換的背景下,“社會個體之間除了持有各種異質的主觀目的之外,總是在不同內容、范圍和程度上分享著相同或者相似的主觀目的和利益”。 鑒于此,在承認數據私權屬性的同時,必須正視數據所具有的交互性、分享性、公共性等公共產品屬性,以釋放數據的公共價值。 然而,控制模式卻忽視了數據的公共屬性,導致諸多弊端。 

      1.無視多元主體的正當利益訴求 

      當前過度強調數據私密性或者數據控制的權利屬性做法,忽視了其他主體對同一數據存在多重正當利益關聯的現實。以與公民關系最為密切的個人信息為例,《民法典》的“民事權利”一章明確將個人信息作為權利加以保護。根據《民法典》第1034條的規定,“能夠單獨或者與其他信息結合識別特定自然人”的信息“可識別性”,是個人信息的本質屬性。但是,“可識別性”實際上屬于關系范疇而非數據、信息的本質屬性。這是因為:其一,“可識別性”體現著個人與他者的關系。對于信息“可識別性”的追求并非與生俱來,而是社會交往的需要。“一個人要進入社會或者參加社會活動,就需要向他人披露、公開身份。封閉個人信息就意味著與世隔絕。從社會的角度出發,社會也需要利用個人提供的個人信息和散落各處的、可被搜集掌握到的個人信息來了解、判斷某個人”。 既然“可識別性”是個人與他人或者社會之間的關聯性,在對個人信息進行保護時,必須考慮信息接受者的正當利益訴求。其二,“可識別性”體現著個人與信息之間的關系。“可識別性”意味著通過相關數據可以直接或者間接實現數據與個人的鎖定。但是,無論是直接鎖定還是間接鎖定,都無非表明數據所表征的相關信息與個人存在一種對應關系,卻并不意味著這些數據必然歸屬于個人。例如,不同的人完全可以使用同樣的名字。因此,作為“可識別性”的信息不是數據的固有特征,其表征的是自我與他者的一種關系范疇,僅簡單強調數據的私權屬性不足以揭示數據的本質特征。 

      2.無法有效實現“數據共享”的價值目標 

      數據可以作為私權客體,具有限制接觸性,但這僅為非功能性數據的特點,而非所有數據的共性。一方面,數據的限制接觸性是數據經過法律規范評價后的產物,而非信息或者數據本身的特性。另一方面,從法秩序的基本價值取向來看,信息公開是原則,限制數據的接觸和使用是例外。例如,《政府信息公開條例》規定,除涉及國家秘密或者可能危害國家安全,以及涉及商業秘密或者他人隱私的信息外,信息公開是原則。即使是國家秘密,也通過規定保密期限對其限制接觸性加以限制。在這方面,《保密法》第15條第2款即規定,國家秘密的保密期限,除另有規定外,絕密級不超過30年,機密級不超過20年,秘密級不超過10年。此外,促進數據流通是數據賦權的重要價值。除了傳統的隱私權的賦權模式將數據權的重心置于個人信息的消極防御功能外,無論是個人信息自我決定權的賦權模式,還是財產權的賦權模式,都強調通過賦予權利主體對于數據積極處分權能的方式,“激勵數據權利人積極地共享或者轉讓其合法占有的數據權利”。而在數據控制模式下,“數據共享”首先在理念上遇到了阻礙。 

      (二)在社會政策上不具有可行性 

      1.企業交易、創新成本以及刑事法律風險增高 

      國家要發展,社會要進步,數據和信息的有序流通是一個基礎性條件。而數據控制模式的基本理念則存在對沖這一基礎性條件達成的傾向。一方面,數據控制模式使企業、個人獲取數據的成本增高。在數據控制模式下,知情同意原則是數據收集和利用的基本原則,然而,面對海量數據,要求每一條數據都需要獲得事前同意,根本就不具有可行性,而只會遏制企業的創新與發展,因而有必要區分不同數據類型,針對其是否為可識別數據、衍生數據而采用不同處理規則。另一方面,數據控制模式使企業面臨更高的刑事法律風險。因為,真正有能力大規模收集并分析數據的主體是政府和企業,如果全面強化對于數據控制的保護,則所有未經數據權利人或者控制者同意的數據獲取、利用行為,都有構成非法獲取計算機信息系統數據罪或者非法獲取公民個人信息罪的可能性。 

      2.社會治理能力弱化 

      如果不對數據的性質、類型、層級進行區分,一律禁止數據流動與二次使用,勢必影響社會治理能力的強化。首先,如果不能有效利用大數據進行動態分析和回應,公共政策決策大概率會缺乏現實針對性,不利于實現社會治理的精準化。疫情防控中對個人信息的公共利用帶來的治理效能,對于控制模式的沖擊給予了非常有說服力的背書。其次,如果不能有效利用相關數據,便捷的公共服務將受到限制,勢必會增加公民的時間成本、經濟成本以及社會交往成本。最后,數據控制模式阻礙多元主體的數據共享,導致難以及時評估、修正相關治理決策,無法建構回應各類問題相應的模型,不利于推動國家治理現代化。 

      (三)難以有效保護數據法益 

      數據控制模式效能的發揮,受到特定前提條件的約束。一是在事實層面,數據主體有能力控制所有與其利益相關的數據,他人只能通過權利主體“知情同意”的方式獲得相關數據。二是在規范層面,通過抑制非法的數據獲取行為,可以有效評價數據濫用行為。但是,隨著科技變革的迭代升級,支持數據控制模式效能發揮的前提條件正逐步消失,單純依靠控制模式并不能真正實現對數據法益的有效保護。 

      1.數據主體權益保障不足 

      控制模式依托于數據賦權理念,大數據時代以“知情同意”原則為核心的數據控制模式,不但沒有強化對公民個人信息安全的維護,反而導致數據權利人面臨極大風險。一方面,數據權利主體與數據利用者在經濟、社會以及技術層面存在著顯著的不平等性,由此使得數據權利主體與利用者之間缺乏議價能力。另一方面,現實生活中強化權利主體數據控制的“知情同意”原則往往流于形式,因為告知用戶權利和義務的用戶協議不但過于復雜,而且“為使用相應的網絡產品或服務,用戶在點擊同意之外時常別無選擇,交易地位的不對等使得同意的真實性與對隱私聲明的知悉度都大打折扣”。 換言之,大數據背景下,由于數據主體欠缺議價能力,數據使用者濫用數據的行為反而可以借助數據收集階段一次性的“知情同意”原則而被正當化,并從而導致數據濫用風險的最終承擔者不當地由使用者轉向權利主體。 

      2.刑法評價不充分 

      刑法規定非法獲取公民個人信息罪和非法獲取計算機信息系統數據罪,并不能實現對數據濫用行為的充分評價。一方面,現實中大數據殺熟、誘導性消費等數據濫用行為越來越普遍,其危害并不亞于數據的非法獲取行為。另一方面,以數據為對象的非法獲取行為和以物為對象的非法獲取行為存在著明顯的不同。以盜竊財物并使用為例,刑法上一般只評價財物竊取行為,后續的使用行為屬于不可罰的事后行為。因為,犯罪人非法獲取財物之后,由于財物的不可復制性和占有的排他性,權利人的財產所有權因難以正常行使而在事實上被剝奪。與此不同,單純的數據獲取行為只是獲取了數據,而數據背后隱含信息的發掘和利用行為仍未實施,這些行為本身可能具有迥異于獲取行為的危害性,因而仍存在單獨進行刑法評價的必要。 

      3.罪責刑不均衡 

      較之于危險犯、預備犯、幫助犯,實害犯、實行犯、正犯在違法性程度與罪責程度上無疑更為嚴重。從罪刑均衡原則的要求來看,如果立法者將前類行為犯罪化,后類行為犯罪化的必要性理應更高,法定刑亦應更重。以此檢視刑法關于數據犯罪的現行規定,罪刑失衡可謂顯而易見。原因在于,數據獲取、泄漏等行為,充其量僅是招致數據濫用風險的前置性行為,而非實際侵害數據法益的實害性行為,其違法性程度與罪責程度明顯弱于實際濫用行為。然而,刑法卻輕重顛倒,將規制重心放在非法獲取行為而非濫用行為上,這無疑違反了罪刑均衡原則。退一步講,即使將非法獲取公民個人信息罪、非法獲取計算機信息系統數據罪作為涉數據犯罪的一般性條款,由于作為危險犯,其法定刑較輕,以其處罰作為實害犯的數據濫用行為,依然難以實現刑罰幅度與實害程度的對應性。 

      三、刑法數據利用模式的轉向 

      由于數據價值的實現以數據流通、數據共享為前提,而數據共享不僅是國家經濟、社會政策的取向,同時是民法、行政法等前置法兼顧數據流通、實現數據利益配置的客觀要求。正因如此,《數據安全法》第1條即開宗明義地將“促進數據開發利用”作為其核心任務之一。強化數據控制安全的立法模式不但在理念層面與前述要求相抵觸,事實上也會產生不當限制數據共享的消極后果。鑒于此,將數據濫用行為與數據獲取、泄漏、篡改、刪除等行為同置于刑法評價之下,并將治理模式由控制模式調整為利用模式,便具有理論、實踐與法政策上的正當性。 

      (一)數據利用模式的特征 

      數據利用模式原則上并不禁止他人實施獲取或者利用數據的行為,而是通過重點規制數據濫用行為的方式,兼顧數據主體的利益和數據利用者的利益,以盡可能釋放數據所蘊含的社會價值。其特征包括以下三點。 

      一是在規制理念上,數據利用模式旨在通過對數據“動的安全”的維護,釋放數據的社會價值。由于單個數據主體產生的零星數據通常欠缺分析價值,以數據的重新收集和利用為本質的數據共享,已成為實現數據經濟和社會治理的關鍵所在。 而對于數據“靜態安全”的維護,只是賦予了數據主體消極的防御權,并不能使其由此直接獲取數據所蘊含的積極價值。由此出發,數據利用模式重視的不是數據主體對于數據的靜態控制,而是數據分析、共享等動態利用行為和過程,從而釋放出數據所蘊含的社會價值。 

      二是在規制重心上,數據利用模式重點規制的是數據濫用行為。由于釋放數據蘊含的豐富信息離不開對數據的分析和共享,數據利用模式必然重視發揮數據的社會、經濟價值,弱化數據控制模式所強調的數據主體對數據的控制或排他性占有。這并不意味著該模式不再重視對數據主體利益的維護。毋寧說,其是通過將規制重點轉移至數據濫用行為的方式,引導數據利用者合理利用數據,從而實現對數據主體利益的更為全面的維護。因為,數據的價值在于數據的分析和利用,單純獲取數據而不加以利用或者利用行為屬于“合法利益豁免”的情形, 根本不會損害數據主體的利益。數據控制模式的立法本來就是通過限制數據獲取行為的方式,實現對數據濫用行為的前置性預防。既然如此,與其通過廣泛地禁止數據獲取行為而導致“不利他性”保護,不如通過禁止數據濫用行為的方式,實現多方主體的利益平衡。 

      三是在法政策訴求上,通過建立新的風險分配機制,數據利用模式能夠兼顧數據主體的利益和數據利用者的利益。在傳統的數據控制模式下,數據利用行為的正當性主要奠基于數據主體的知情同意之上。然而,知情同意原則很容易異化為數據利用者濫用數據的免責根據,導致數據主體被迫承擔數據被濫用的風險。與此相反,在數據利用模式下,由于數據治理的重心在于數據利用行為,數據利用者不能僅憑借獲得數據主體的“知情同意”而正當化其利用行為,存在于數據控制模式下的不利局面——數據主體承擔數據被濫用的風險而數據利用者坐享濫用數據的利益——將得到有效扭轉,原本即不應由數據主體承擔的風險將返還給數據利用方。這種風險責任承擔的轉換會促使數據利用者在利用數據時,盡可能地將其限制在合理范圍內,由此使得數據主體的利益和數據利用者的利益得以兼顧。 

      (二)數據利用模式的依據 

      1.理論依據:法秩序統一性與刑法謙抑性 

      數據的公共產品屬性是刑法數據治理模式轉向數據利用模式的基本原理。然而,從刑法上看,導致利用模式成為數據法益保護最佳模式的根本原因,并非數據所具有的公共產品屬性,而是法秩序統一性和刑法謙抑性的內在要求。一方面,法秩序應當具有統一性,以實現多元利益的協調共存,“使其各自的目的以及(所承載的)法律原則彼此之間處于一個適當的比例關系”。 由于控制模式的立法一味強調權利主體對于數據的控制,其他主體利用數據的利益必然難以得到有效保障。只有將數據法益的保護重點置于利用行為,才能既保障數據共享利益的實現,又能通過規制數據濫用行為維護數據主體的利益,以此契合法秩序統一性的要求。另一方面,刑法應當具有謙抑性,采取數據利用模式的立法更契合該要求。刑法的目的在于保護法益,但刑法并不處罰所有引起法益損害的行為,而是將處罰對象限制為達到可罰的違法性程度的行為。鑒于單純的數據泄漏行為并不會直接損害數據主體的利益,后續的數據濫用行為才有此可能,因而只有后者才具有處罰必要性。數據利用模式的立法更加符合刑法謙抑性的內在要求。 

      2.價值依據:安全、自由與科技發展之間的平衡 

      平衡安全與自由以促進社會發展,是刑法數據治理的重要目標。信息社會時代,數據已經成為“激發全社會創造力和市場活力,推動經濟發展質量變革、效率變革、動力變革”的重要生產力。“數據的大規模收集、處理、報告甚至交易,是數據活動的本質要求,不應該簡單站在用戶立場,為了保護個人信息而保護個人信息,而對數據活動進行簡單粗暴的限制。” 然而,現有刑法數據治理體系卻滯后于數據利用實踐,幾乎完全聚焦于數據主體的權利,而不充分考慮數據流動、數據共享及數據交易。這導致一方面對個人數據權利保護過度,另一方面對數字流動及以此為基礎的數字經濟發展保護不足,從而破壞了安全、自由與科技發展之間的平衡。相反,如果將保護重心置于數據利用行為上,則既可以避免傳統控制模式過于限制數據利用價值的弊端,又可以避免數據不法行為對數據主體權利的侵害。建立在憲法價值秩序基礎之上的刑法目標應當是,通過對法益的保護來確保公共福利和法秩序平衡,在新技術環境下依據報應和預防理論實現其保護目的。而將個人信息處理行為的規制目標定位于防止濫用,則有助于實現上述目的。 

      3.政策依據:數據價值、利用者權益與刑法任務 

      數據的生產、流通和分析利用已經成為數據經濟的核心,數據資源的社會化和市場化利用制度是數據經濟發展的基礎。就此而言,數據利用模式在治理政策上同樣具有其正當性。 

      首先,由于數字經濟已經成為推動國民經濟高質量發展的重要引擎,數據的利用價值日益受到重視,出現了由重視數據控制到重視數據利用的轉變趨勢。從國外立法來看,一方面,立法者更加注重數據權利的積極價值。近年來,無論是歐洲還是美國,都從實現數據積極價值的角度,允許用戶與數據經營者簽訂收集、利用協議。另一方面,在數據的保護問題上,出現了數據保護相對化的趨勢。歐洲并未將個人對數據的信息自主決定權視為具有排他性的絕對權,而美國對數據犯罪的刑法規制呈現出逐步緩和的趨勢。例如,對于數據抓取、使用行為是否被“授權”的判斷,相當數量的判例采取了較為寬松的認定標準。 

      其次,將數據保護模式調整為數據利用模式,契合前置法的內在價值訴求。在整體法秩序中,刑法是實現法益保護的一種手段,且僅處于保障法或者補充法的地位。由刑法的這種功能定位所決定,對于何種利益屬于法益、如何在不同主體之間進行法益分配等一系列問題,原則上交由民法、行政法等前置法決定。雖然《民法典》只是規定“法律對數據、網絡虛擬財產的保護有規定的,依照其規定”,并沒有正面明確數據的屬性,但無論是采用權利屬性模式還是采用權益屬性模式,均無一例外地強調應當賦予數據利用者以相應的權益。 這表明,在承認數據之上復數權利的并存具有可能性和必要性情況下,應當將數據治理的重點由控制數據流通轉向避免數據濫用,通過合理規制數據濫用行為的方式,協調不同權利主張之間的沖突。 

      最后,將數據安全的規制重心轉向數據利用行為,符合刑法的任務定位。刑法的任務在于保護法益,只有對法益造成急迫危險的行為,才具有通過刑法加以規制的必要。通常而言,數據泄漏或者數據獲取行為并不會直接導致數據之上的法益面臨急迫的危險。只有在數據被利用的情況下,才有可能對數據之上的人格利益或者財產利益產生影響。因此,對于數據安全的維護而言,由控制模式轉向利用模式,可以充分評價不同性質、類型的數據侵權行為,這符合刑法作為補充性法益保護工具的功能定位。 

      上述分析表明,適當限制控制模式立法,加強利用模式立法,是刑法數據治理的正確方向。當然,數據利用模式并不排斥控制模式立法,只是認為應當將其限制于特定范圍內,作為一種例外模式而存在。作為一種制度安排,數據利用模式在承認數據主體對數據享有權利的前提下,通過將數據轉化為公共產品,促使數據充分流通,從而最大化地發揮其社會價值。 

      四、刑法數據利用模式實現路徑 

      數據利用模式的構建屬于一項系統工程,應當兼顧不同需求。在治理原則上,應當遵循比例原則與平衡原則的要求,確保數據安全的治理目標與擬采用的治理手段之間存在合比例性,實現個人數據權利保護與數據流動、數字經濟發展之間的動態平衡。在治理模式上,應當明確控制模式立法的適用限度以及利用模式立法的規模結構。在實現方式上,應堅持立法論與解釋論并行,充分發揮刑法規范的體系效應。在治理重點上,既要通過犯罪化的方式,保障刑法規范供給的充足性,又要積極探索違法阻卻事由,避免罪刑規范供給過度。 

      (一)在刑法總則中增設指導數據法益解釋的專門條款 

      數據的價值在于其所蘊含的信息。信息不同,數據所承載的法益自然不同。根據法益屬性的不同,刑法分則規定了不同的罪刑規范。然而,遍覽現有規范不難發現,任何一個或者一類罪刑規范均無法窮盡數據所承載的法益,事實上也不能指望立法者針對數據再設置一個個與傳統犯罪相對應的具體罪名。基于此,對數據法益的保護,仍應立足于刑法解釋,將值得刑罰處罰的行為解釋為犯罪,以確保罪刑規范的供給充足。為此,有必要在刑法總則中設置一個專門條款,用于指導分則數據法益的解釋。該條款應有助于實現以下兩大功能。 

      一是根據數據蘊含信息的法益屬性,確定數據侵害行為的犯罪性質。在刑法并未對某種侵害數據法益行為設置構成要件,但此類行為卻造成嚴重后果時,確定受損法益的性質以及相關刑法規定,是通過擴大解釋懲處數據濫用行為的關鍵。因為,“數據包含著數據主體的人格尊嚴、自由價值、商業價值和公共管理價值”, 這種多重利益關聯的狀態,決定了數據承載的某種法益并不能排除其他性質法益的存在。例如,就QQ賬號及其密碼或者支付寶賬號及其密碼而言,雖然它們都屬于非法獲取計算機信息系統數據罪所保護的“身份認證”數據,但這并不妨礙其屬于“能夠單獨或者與其他信息結合識別特定自然人”的個人信息,如果賬戶內有存款,前述信息還可以被評價為財產法益的載體。 

      二是在相關數據具有多重法益屬性時,根據主要法益屬性確定可資適用的刑法規范。例如,對于非法竊取虛擬財產行為的定性,一直存在著非法獲取計算機信息系統數據罪與財產犯罪之爭,爭議焦點即在于虛擬財產的性質。由于虛擬財產的本體是數據,如果將非法獲取計算機信息系統數據罪的保護法益擴張解釋為數據安全法益,當然可以適用非法獲取計算機信息系統數據罪。但是,該處理方案存在問題:一方面,將具備財產屬性的虛擬財產僅僅視為數據,忽視了數據所承載的財產利益;另一方面,非法獲取計算機信息系統數據罪作為保護數據法益的一般條款,在法定刑配置上無法兼顧各種不同屬性的數據,可能導致罪刑失衡。竊取他人虛擬財產的,應當通過擴張解釋財物外延的方式,適用財產犯罪的規定。與此不同,由企業收集的數據庫中的數據雖然同樣具有經濟價值,但對于竊取或者刪除此類數據的,卻不應當僅從財產法益的角度出發,將其評價為盜竊罪或者故意毀壞財物罪。因為,企業收集的相關數據雖然具有一定經濟價值,但這些數據在功能上主要服務于企業的生產經營活動;并且,企業收集、分析相關數據的行為更在于增強市場競爭力。因此,應當將竊取企業相關數據的行為評價為非法獲取商業秘密罪而非盜竊罪,將刪除企業相關數據的行為評價為破壞生產經營罪而非故意毀壞財物罪。 

      (二)適當限制控制模式立法 

      鑒于數據的公共產品屬性,刑法不應當禁止一切數據獲取行為,只有在滿足特定條件時,才可以采取控制模式立法。在具體立法過程中,應著重參考以下要素。 

      1.法益的價值重大性 

      由數據的公共產品屬性所決定,除非數據共享行為滿足了侵害原理的要求,否則不應限制數據的獲取和利用。因此,控制模式立法下的數據利益,應當限制在具有重大價值的法益上。《保密法》第9條規定,“泄漏后可能損害國家在政治、經濟、國防、外交等領域的安全和利益”的數據不予公開。《政府信息公開條例》第15條亦規定,“涉及商業秘密、個人隱私等公開會對第三方合法權益造成損害的政府信息”應當限制公開。作為對前置部門法規范的回應,對于國家秘密、商業秘密、個人信息、影響計算機信息系統安全的信息、其他影響市場經濟秩序和生產作業安全的數據,刑法可以采用控制模式立法。 

      2.泄漏行為的具體危險性 

      毫無疑問,數據處理行為會給法益主體造成一定的風險,如“個人遭受刑事犯罪(如釣魚執法、身份盜竊)侵害的危險;羞辱感和數據公開侵害(如性、健康和其他敏感信息);歧視和難堪;信息永久性;情景脫離(即使用理由改變)”。控制模式的立法是預防性立法,旨在通過限制數據獲取的方式,避免數據濫用行為,從而實現對下游關聯法益的前置性保護。因此,數據獲取、泄漏行為足以使相關法益陷入危險狀態時,才可以采取控制模式立法。關于數據被濫用風險的判斷,其標準在于獲取相應數據的通常用途、用于其他例外用途的可能性和必要性。例如,由于公民個人信息被獲取、泄漏后,通常被用于網絡詐騙、網絡盜竊等行為,通過控制模式限制相關數據的獲取行為就具有正當性。反之,像網絡店鋪的買賣、轉讓行為,雖然同時伴隨著相關消費者個人信息的轉讓,但轉讓后的店鋪主要被用于正常經營活動, 一般不會產生濫用數據的危害后果。此時即使數據轉讓并未征得相關信息主體的同意,也不應當加以限制。 

      3.重大法益侵害的可能性 

      后續數據濫用行為造成重大損害的可能性,是設置控制模式立法的重要參考。如果后續數據濫用行為不會對數據權利主體的利益造成重大損害,則應當放棄控制模式立法,賦予數據共享以更大的空間,以實現數據利益最大化。因為,“當私人成本與社會成本發生沖突的時候,法律決策者會優先考慮控制社會成本,必要時還會以放縱私人成本為代價;畢竟社會成本是社會財富的實際減少,而私人成本只是社會財富的轉移”。 

      參考上述要素可知,將危害計算機信息系統安全的犯罪直接改造為保護數據安全的犯罪并不可行,因為其完全忽視了對數據共享利益的考量,而一邊倒地對數據控制安全采取了絕對保護的立場。當然,考慮到公民個人信息對于實現經濟發展、改善社會治理的重要性,仍有必要增設兩個罪名,以完善相關保護。 

      一是增設過失泄漏公民個人信息罪。雖然我國刑法立法以及司法解釋對公民個人信息的保護日臻完備,然而,目前仍缺乏針對過失泄漏公民個人信息行為的罪刑規范,由此導致的問題是:(1)數據收集者的刑事風險防控義務缺失。數據的價值來源于對于數據集合的分析和利用,而真正掌控數據并享受利益的實際上是相關企業和平臺,其理應承擔防止數據泄漏的安全管理義務,但當前刑法相關規定缺失。(2)刑法處罰漏洞難以避免。網絡社會時代,數據泄漏往往基于簡單的鍵盤、系統操作,此類行為究竟是故意為之還是無心之失,不乏存在證明困難情形。如果不處罰過失泄漏行為,必將留下處罰漏洞。(3)信息泄漏風險由公民個人承擔。現實生活中,公民要想獲得相關服務,除了同意企業或者平臺收集或者分析相關數據外,別無他途。如果不處罰相關數據泄漏行為,則享受數據利益且實際控制數據的企業或者平臺將不承擔任何數據泄漏的風險,而不現實掌控數據集合的個人反而被迫承擔,這顯然有失公平。通過設立過失泄漏公民個人信息罪,不但可以彌補處罰漏洞,還可以強化企業或者平臺的風險防控意識。當然,為了避免過度增加企業或者平臺的風險管理負擔,罪狀設置上應當堅持過失實害犯的立法傳統。 

      二是增設刪除、篡改公民個人信息罪。現行刑法尚未規定刪除、篡改公民個人信息的行為類型,要對此類行為加以懲治,目前只能通過擴大解釋破壞計算機信息系統罪的方式來實現。 然而,此種做法不但導致破壞計算機信息系統罪的一般條款化,使其淪為兜底罪名,同時,由于該罪與侵犯公民個人信息罪的法定刑存在顯著差異,容易產生處罰失衡。雖然有觀點主張,對于電子照片、郵件等具有使用價值的數據,可以作為財產加以保護,刪除或者篡改此類數據的,可以按照故意毀壞財物罪論處。 實踐中也有將刪除數據的行為定性為破壞生產經營罪的案例。 但是,相關數據的價值并不完全體現為財產價值,且財產犯罪一般要求滿足特定數額作為入罪門檻,對于那些與財產無直接關系的個人信息,顯然無法通過財產犯罪予以保護。鑒于此,有必要在侵犯公民個人信息罪中增設新的條款,將刪除或者篡改公民個人信息的行為犯罪化。 

      (三)適度強化利用模式立法 

      通過立法規制數據濫用行為是一種補充性規制措施,只有在既有刑法規范供給不足的情形下才可以適用。此種情形包括:(1)刑法分則中不存在規制相關數據濫用行為的條文;(2)刑法分則中雖有可資適用的法條,但適用相關法條不能實現罪刑均衡。考慮到數據濫用行為的現狀,有必要增設以下兩個罪名,以實現有效治理。 

      一是增設濫用算法罪。大數據時代,生產者、經營者通過收集和分析用戶數據形成用戶畫像并以此為基礎形成個性化推薦,為消費者提供更加精確有效的信息。與此同時,同一時間不同消費者購買相同商品和服務,被經營者收取不同價款的“大數據殺熟”現象,以及嚴重侵擾個人生活安寧的個性化推薦現象,亦廣泛存在。這無疑加大了用戶的使用成本,導致其財產、時間的無謂消耗,影響甚至剝奪了其自主選擇、安排個人生活的權利。對此,現有刑法規范并未提供有效治理方案,有必要通過創設濫用算法罪,對此類行為加以懲治。具體到構成要件的設計,應當考慮以下幾點:(1)將“違反國家規定”作為構成濫用算法罪的前置條件;(2)濫用算法的行為必須產生嚴重影響交易公平、公民生活安寧或者公民自主選擇權的后果;(3)可以仿效逃稅罪、拒不履行信息網絡安全管理義務罪的規定,通過設置相關客觀處罰條件,避免刑事處罰過度。 

      二是增設非法提供算法服務罪。除直接規制濫用算法的行為外,還應當規制提供非法算法服務的行為。數據經營者的逐利本性,決定著其對算法服務的需求旺盛,與此相適應,未來專門提供算法服務的企業必然會大量增加。通過規制提供非法算法服務的企業,有利于從源頭上抑制算法濫用行為。此類行為無法通過非法經營罪加以懲治,因為非法經營罪保護的法益是市場準入秩序,而非法提供算法服務的行為并不涉及該法益。增設非法提供算法服務罪規制此類行為更為可取。 

      (四)加強數據獲取、利用行為的除罪化研究 

      數據控制模式限制了數據的自由、高效流動,不利于實現數據共享的基本目標,如何將正當的數據利用行為除罪化,意義重大。在此方面,知情同意原則的作用有限。 

      首先,知情同意并不必然阻卻數據收集和利用行為的違法性。通過知情同意阻卻數據獲取、數據利用行為的違法性,是建立在相關同意是數據主體自主決定的基礎上的。問題是,信息社會時代的數據主體大多處于弱勢地位,事實上欠缺議價能力,如果只是形式地適用“知情同意”原則,很容易犧牲數據主體的合法利益。因此,“如果數據共享的格式條款明顯不利于保護用戶的隱私、個人信息等權利,則信息權利人應當有權否定該條款的效力,該條款也不能成為互聯網企業共享用戶個人信息的正當性基礎和侵權的免責事由”。 

      其次,知情同意只是排除行為違法性的正當化事由,而非構成要件要素。我國相關法律法規均將數據主體的知情同意作為判斷收集、利用行為是否合法的必要條件,從而導致未征得數據主體同意的信息收集、利用行為均屬違法。然而,考慮到數據的公共產品屬性,如果完全將數據主體的知情同意作為數據共享正當化的根據,則可能過度犧牲其他主體的利益。因此,知情同意原則至多僅是認定數據共享行為具有正當性的事由,卻并非決定數據共享行為是否違法的充分必要條件。 

      最后,在以下情形中,即使未經數據權利主體同意而獲取或者利用數據的,也仍然應當阻卻行為的刑事違法性:(1)數據權利主體已經授權相關平臺使用該數據,平臺后續實施的轉讓等行為并未超出授權使用的范圍。例如,在相關網絡平臺或者網絡店鋪進行轉讓時,如果轉讓前后的經營活動具有實質的同一性,對于轉讓的相關公民個人信息,即使未經相應數據主體的同意,原則上也不應當認為存在實質侵害。(2)數據獲取或利用行為合理,且不存在利益侵害。原則上,除了國家秘密、商業秘密和個人信息等適用控制模式的數據外,只有在相關數據被限制訪問且同時被限制使用的情況下,未經同意而使用數據的行為才具有刑事違法性,否則不應當認定為犯罪。如果數據獲取或者利用行為在合理限度內,且未非法侵害他人利益,則基于合理使用原則,應當肯定此類行為的正當性。 

      結語 

      隨著網絡與信息技術的迅猛發展,數據擁有了前所未有的重要性。借助技術變革,數據已經與我們的生產、生活實現了無縫對接,保護數據法益已經成為一個極具現實性、急迫性的課題。對于數據法益的刑法保護,除了考慮其技術屬性,還必須契合數據的社會功能,體現數據的社會價值。鑒于數據利用涵蓋了收集、存儲、傳輸、處理、使用、共享、交易等一系列活動,確保其間的數據安全、實現數據共享,成為數據治理的基本目標。作為歷來被寄予厚望的社會治理手段,刑法在數據治理模式的選擇上也必須圍繞著安全與共享而展開。只有同時兼顧數據安全和數據共享的刑法保護模式,才是值得倡導的治理模式。由于本文旨在探討刑法數據治理的模型建構,諸如數據的法律屬性、數據法益的界定、個罪構成要件的設計及法定刑配置等法律問題,均有待專題展開。就此而言,未來如何以數據的控制安全為底線,以數據的利用安全為導向,建構符合我國國情的刑法數據治理模式,將是長期擺在立法者、司法者以及研究者面前的一道共同課題。 

      

    作者簡介

    姓名:于改之 工作單位:

    轉載請注明來源:中國社會科學網 (責編:陳靜)
    內容頁廣告位-中國與世界.jpg

    回到頻道首頁
    read_image.gif1.gif
    中國社會科學院概況|中國社會科學雜志社簡介|關于我們|法律顧問|廣告服務|網站聲明|聯系我們
    中國社會科學院概況|中國社會科學雜志社簡介|關于我們|法律顧問|廣告服務|網站聲明|聯系我們
    国家税务总局新疆维吾尔自治区税务局