您對“資料安全的獨立性保護”有何看法,歡迎在下方留言或者來稿參與讨論。對于在本微信平台發送的原創稿件,将結合閱讀量酌情給予獎勵,湖南省刑事法治研究會每年還将對原創文章進行評獎并予以不同等級的獎勵。還等什麼,快來投稿吧!
投稿郵箱:[email protected]。
摘要:社會進入資訊時代後,資料逐漸與資訊脫離,有了其存在的獨特價值,資料犯罪的社會危害性也與日俱增。以往的附屬于計算機資訊系統犯罪的立法模式已經滞後于社會發展,希冀于完善刑法保護體系,落實法秩序統一性理念,大陸刑法有必要獨立保護資料安全。為了調整立法理念,彌補立法漏洞,使獨立保護資料安全落地,首先要擴充資料保護的相關罪名,建構資料安全與計算機資訊系統并駕齊驅的罪名體系;其次,應當貫徹分類分級理念,對資料進行階梯式保護;最後,還應當強調監管體系的完整性與監管者的義務,全面保護資料安全。
關鍵詞:資料安全獨立保護;計算機資訊系統;資料安全獨立法益
一、問題的提出
時代瞬息萬變,整個社會已經從傳統的計算機時代過渡到資訊時代。資訊和資料密切相關,資訊是資料的内容,資料則作為載體承載成千上萬的資訊。借勢于網絡,資料的流動性大大增強,資訊也随之流動,資訊網絡犯罪滋生,于個人資訊安全乃至國家安全都是一大痛點。但是,大陸關于資訊犯罪的法律法規側重于計算機資訊系統安全,忽視了資料安全的重要性,僅将其置于次要地位進行附屬性保護。《資料安全法》頒布前,計算機系統的四類犯罪幾乎能夠囊括所有資料安全犯罪,甚至于一些無法用傳統犯罪解決涉及計算機的知識産權犯罪、個人資訊的多種行為方式都會被歸為計算機資訊系統犯罪。是以計算機犯罪的“口袋化”日益凸顯,資料犯罪罪名的定性也随着近年來新增的案件開始出現争議。“張某等提供侵入、非法控制計算機資訊系統程式、工具案”、“付宣豪、黃子超破壞計算機資訊系統案”中,皆由于涉及資料安全問題,引起了所涉罪名性質的争議。
2021年大陸出台了《資料安全法》,标志着将資料安全作為獨立法益保護,但是在司法實踐中,資料安全問題又被弱化為侵犯個人資訊情形,如敲詐勒索罪、詐騙罪中以侵犯個人資訊為手段犯罪時會将輕罪認定為侵犯公民個人資訊罪。由此可見,刑法對于資料安全保護存在滞後,僅依靠現有罪名體系調整資料安全問題是不樂觀的,這種保護方式已經難以應對資訊時代下紛繁複雜的新型場景。大陸刑法應當及時作出變革适應社會發展,獨立保護資料安全,為資料安全保駕護航、發揮資料應有的作用、促進資訊社會繼續蓬勃發展。
二、現行刑法資料安全保護之不足
(一) 立法理念落後
與資料安全相關的罪名包括破壞計算機資訊系統罪、非法侵入計算機系統罪、非法擷取計算機資訊系統資料罪等,這些罪名都是以計算機資訊系統為落腳點,展現資料犯罪實際上依附于計算機資訊系統。刑法對資料安全的保護主要通過擴大計算機資訊系統範圍的方式實作,即實際上沒有改變立法理念,依舊是計算機時代計算機犯罪的舊模式,并且潛意識裡将所謂對資料安全的保護目的歸結于保護計算機資訊系統。這種觀念存在時代局限性:前文提到計算機時代的資料是量級較小且結構化的資料集合,并且幾乎全都儲存在計算機中,即這些資料的外延範圍也基本上與計算機資訊系統一緻。現如今資料已經成為生産要素、成為移動終端的記錄載體,具備其獨特價值,是以立法觀念也應當與時俱進——将對資料的保護上升至所表征的權利内容。
(二)定罪上存在明顯缺陷
資料的完整生存周期包括采集、存儲、處理、傳輸、交換、銷毀六個過程,但是大陸刑法對資料安全的忽視使得僅采集和銷毀兩個過程得到刑法重點關注,資料的其他生命程序則幾乎不受保護。以資料存儲為例,周某某等侵犯公民個人資訊案中,魔蠍公司違背《資料采集服務協定》中“僅在使用者每次單獨授權的情況下采集資訊時儲存使用者賬号密碼”的義務,未經使用者許可仍采用技術手段長期儲存使用者各類賬号和密碼在自己租用的阿裡雲伺服器上。法院認定相關主管人員和其他直接責任人員周某、袁某均已構成侵犯公民個人資訊罪。由此可見,非法存儲資料行為并未被作為資料安全犯罪規制,僅非法擷取行為則被歸于非法擷取計算機資訊系統資料罪。在這種有傾向性的規制下,資料在後續過程中因洩露傳播、處理濫用而産生的直接或間接危害往往更為嚴重。
三、資料安全獨立保護之必要性
第一,資料具有獨特的法益價值,并且計算機資訊系統犯罪無法完全涵蓋資料犯罪。在計算機時代,資料是單條或數條明确資訊的載體,是量級較小且結構化的資料集合。在這種情況下,資料與資訊有着更為明确的對應關系:資料是資訊的載體,資料作為形式無法脫離于資訊存在,是以不存在被獨立保護的可能。進入資訊時代後,資料開始具備獨特意義,與資訊實作分離。大資料背景下,資料的可分析性、可挖掘性等大大提升,資料作為網絡空間的核心要素,已經超越了作為載體的計算機系統,發揮着其獨特的價值。此外,資料犯罪的手段有别于傳統的計算機犯罪。資料犯罪重視實質侵害,計算機資訊系統犯罪則強調形式上的入侵,當資料犯罪僅采取非法通路手段時,後者将無法涵蓋前者。
第二,法益侵害性較為嚴重。首先,資料洩露可能導緻公民隐私權等人格權受侵犯,進而造成身體傷害、财産損失甚至嚴重精神損害。若其個人資訊被不法分子用于詐騙、敲詐勒索等犯罪行為則還會給其他人乃至社會造成威脅,并且資訊被洩漏的公衆還可能被相關機構展開刑事調查、逮捕等,這于公民于社會于司法公信力都将造成難以彌補的傷害。其次,資料洩露于企業也是一大重創。以數字經濟為發展背景,資料無疑是企業的核心資産。任何成功企業一旦面臨資料洩露就是滅頂之災,既給競争對手可乘之機,也将喪失客戶信任。最重要的是,資料安全被侵犯也會給國家安全造成嚴重威脅。間諜罪、情報類犯罪都是大陸刑法分則第一章的罪名,其社會危害性可見一斑。國家重要資料一旦被竊取,随之而來的安全隐患顯而易見。
第三,貫徹法秩序統一原理的需要。該原理是指各個部門法之間的法秩序具有整體性、統一性,即社會主義法律體系是一個有機整體。2021年《資料安全法》将資料作為獨立法益保護,資訊則由《個人資訊保護法》保護,這兩部法律充分說明資訊與資料的保護不能混為一談。這就要求刑法對獨立保護資料安全作出回應,獨立規定侵犯資料安全的犯罪。但是大陸刑法更加重視對個人資訊的保護,持續擴大個人資訊的内涵,使得侵犯公民個人資訊罪甚而能夠規制資料安全犯罪,這便有悖于法秩序統一原理。
四、大陸資料安全獨立保護之完善路徑
(一)拓展資料犯罪的行為類型
目前,大陸刑法對資料安全的保護集中在“擷取型”和“破壞型”犯罪,事實上,這兩種類型之外的犯罪行為同樣具有嚴重的法益侵害性。是以,應當加強對其他資料周期的保護。
在資料存儲、破壞階段,若行為人非法存儲不應該存儲的資料或者非法銷毀不應該銷毀的資料,則可被視為現實世界的“非法持有”,這是對資料三性中保密性的侵犯,保密性是指任何人不得在未經權利人同意時使用資料。這種對保密性的侵犯實質上在侵害資料安全的過程中具有紐帶作用,存儲行為使得資料有被處理、傳輸、交換、銷毀的可能性,而銷毀行為則直接使資料滅失。對此,建議将資料犯罪獨立出非法擷取計算機資訊系統資料罪,并将該條款中的兩個限定條件去除,修改為非法擷取、持有網絡資料罪。至于銷毀之外的“破壞”行為,則與破壞計算機資訊系統罪關聯性最強。但正如前文所述,由于大陸刑法對資料安全法益獨立性的忽視,實踐中對此類行為存在定性困難的問題。是以,完全可以将破壞資料安全的行為從破壞計算機資訊系統罪中剝落,以獨立的非法破壞網絡資料罪加以規制。
(二)對資料進行分類分級
資料分類,顧名思義,是指對資料分類,分類标準是資料的本質、屬性。适當的分類有助于明确特定資料的權屬、類别及互相間的關系,進而便于使用。資料分級,則是指依據分級原則對分類完畢的資料核定等級。被分類分級之後,資料的價值程度更加明晰,可以比對相應的政策保護資料安全。關于資料分類與分級的關系,二者首先存在邏輯上的先後順序,分類在先分級在後。兩種判斷标準相結合進而識别、判斷資料法益。大陸依照資料的重要性将其分成三大類:“重要資料”、“受控資料”和“一般資料”。“重要資料”是與國家安全相關的資料,“受控資料”與國家安全的相關性略小,是指可能影響國家安全與社會公共利益的資料,二者受《資料安全法》重點規制與保護。
資料的分類分級可以作為犯罪罪質罪量的評價标尺,大陸刑法目前在這一方面還存在缺陷。例如,破壞計算機資訊系統罪、非法擷取計算機資訊系統資料罪、侵犯公民個人資訊罪等罪名在司法實踐中認定困難,主要是由于計算機犯罪的設定目的是保護電子資料,即此類罪名的設定标準是資料的存儲形式。諸如侵犯公民個人資訊、侵犯商業秘密罪則以資料權利主體為設定标準。事實上,随着資訊時代的到來,這些權利主體的資訊也逐漸轉向電子資料,與計算機資訊系統犯罪大類下的罪名出現交叉。在這種情況下,資料分類分級以及由此延展開的保護政策亟需落實到位。
首先,對于一級梯隊的“重要資料”應當規定足夠嚴重的懲處措施。就非法侵入計算機系統罪來說,非法入侵行為是對資料支配權限的侵害,實質上與“系統”沒有直接關系,是以建議以“非法通路網絡資料罪”規制侵入型犯罪,進而脫離“系統”的囿制;為了更好地保護重要資料,可以将侵犯重要資料作為加重情節處理。同理,在侵入型犯罪之外的涉及資料的其他生存周期的罪名中,也應當就資料的分類分級情況設定加重情節,以此表明刑法罪名的階梯性、邏輯性以及對分類分級理論的落地實施。其次,随着時代的發展,作案手段、方式方法以及作案動機、目的愈加多樣、複雜、精細,相應地,對犯罪情節的判斷難度以及重要性逐漸超過犯罪數額,以至于“數額為主、情節為輔”的量刑模式開始向“情節為主”傾斜。以此種變化為基準,對資料分類分級之後确定罪量因素的重要性就更加突出。以非法擷取計算機資訊系統資料罪為例,《最高人民法院最高人民檢察院關于辦理危害計算機資訊系統安全刑事案件應用法律若幹問題的解釋》第 1 條規定了身份認罪資訊組數、非法控制計算機數量、違法所得數額等為“情節嚴重”情形,顯而易見,這些情節或者說後果與我們認知中的資料安全法益并無強烈聯系,是以建議資料犯罪方面的罪名在考慮情節問題時納入浏覽量、使用者量等資料相關形式,這些才是資料犯罪影響公民個人、社會公衆乃至國家安全的重要基礎。
(三)明确網絡資料服務商的刑事責任主體地位
關于資料犯罪的監督與管理,《資料安全法》及相關法規規定了網絡資料服務商在管理方面的義務,但在大陸目前不斷探索刑事合規制度的背景下,網絡資料服務商刑事義務的明确性有所欠缺。首要的是給服務商的監管義務加碼。大陸适用“避風港”原則,給服務商減輕甚至移除了預先審查資料資訊、即時監控資料動态的義務,這種處理有其時代局限性。資料經濟發展初期,網際網路層面的法律風險、犯罪現象還比較少,對服務商義務的減輕的确有利于資料企業繁榮發展,不少企業也的确借勢于“避風港”原則迅速成長起來。但是進入資訊時代後,資料産業必然性地拓展業務範圍、更新業務形式,輕而易舉就能從國内延伸到域外。此時,由于國外刑事合規制度更加完善,大陸企業欠缺的義務觀念便使其面臨巨大的法律風險。
首先,對服務商義務的加強可以借鑒拒不履行資訊網絡安全管理義務罪,增設“拒不履行資料安全保護義務罪”,隻需将“資訊網絡安全”修改為“資料安全”,犯罪主體是一般主體,包括16周歲以上的自然人和機關。主觀方面至少應該确定為間接故意,即明知其行為可能造成危害仍放任危害結果發生,表現形式具有多樣性,應當綜合判定。客觀方面同拒不履行資訊網絡安全管理義務罪一樣,是不作為,這種典型的不作為犯罪在認定時需要重點關注行為主體的作為義務、作為能力、不作為後果,刑事合規制度的完善對此具有重要參考價值。其次,除了直接增設罪名,還可以擴大通知主體範圍,将網絡使用者也納入通知者,網絡使用者時間更加靈活,相對于監管部門更清楚自己的被侵害情況,也會對資料安全修複的進度更加關注。加強服務商義務的目的與刑事合規一樣,是為了強化機關義務而引導平台乃至于整個社會實作刑事合規規範化,進而限縮服務商的刑事責任,實作共赢。此外,于網絡平台的監管機關而言,網絡服務商與實時網絡資料都是其監管對象,承擔更多責任就意味着失職将會造成更嚴重的後果。是以,有必要針對監管機關的失職行為設立新罪名“網絡資料監管渎職罪”,雙管齊下,更好地防範資料安全犯罪。增設的新罪名之間很可能存在競合情形,這種情況下,從資料生存周期的關聯性出發,可以參照牽連犯的“擇一重罪”定罪模式。當這些罪名與其他大類下的罪名如危害國家安全罪競合時,則根據一個行為侵害兩個或兩個以上獨立法益以想象競合犯論處。
五、結語
刑法作為部門法,既需要穩定性也需要前瞻性,法律的穩定與變動應當順應時代潮流、因時代制宜。是以,于資料安全犯罪而言,罪名的轉化和更新有其必要性。資料犯罪的獨立性就是完善資料保護的核心關鍵,将資料保護獨立出計算機資訊系統,有利于推進網絡資訊安全保護的一體化,應當關注資料的整個生存周期,彌補先前關注不足的部分,更好地發揮刑法作為社會保障者的職責,承擔起保護資料安全、促進社會發展、維護社會穩定的職責。
參考文獻
[1] 張勇.資料安全法益的參照系與刑法保護模式[J].河南社會科學, 2019(05).
[2] 楊志瓊.大陸資料犯罪的司法困境與出路:以資料安全法益為中心[J].環球法律評論,2019(06).
[3] 田剛.資料安全刑法保護擴張的合理邊界[J].法學論壇,2021(02).
[4] 種政.從附屬到獨立:資料的刑法保護模式建構[J].公安學研究,2023(02).
[5] 張貴紅.論資料的本質及其與資訊的關系[J].哲學分析,2018(02).
[6] 時延安.資料安全的刑法保護路徑及方案[J].江海學刊,2022(02).
[7] 童德華.資料犯罪的保護法益新論——“資料内容的保密性和效用性”的證成與展開[J].大連理工大學學報(社會科學版),2023(05).
[8] 楊志瓊.非法擷取計算機資訊系統資料罪“口袋化”的實證分析及其處理路徑[J].法學評論,2018(6).
[9] 王惠敏.網絡資料安全獨立性之提倡及其刑法展開[J].法治研究,2023(03).
[10] 張勇.資料安全分類分級的刑法保護[J].法治研究,2021(03).
[11] 蔡士林.大陸資料安全法益保護:域外經驗與立法路徑[J].深圳大學學報(人文社會科學版),2023(6).
監制:張永江
作者:唐莎,湘潭大學法學院2023級法律(法學)碩士研究所學生
編輯:唐莎
責編:周詩祺
稽核:李蘭
微信公衆号|湖南省刑事法治研究會
新浪微網誌|@湖南省刑事法治研究會
今日頭條|湖南省刑事法治研究會