查看新版>>
我的位置: 上观号 > 上海市法学会 > 文章详情

熊波|论数据法益独立性刑法模式

转自:上海市法学会 2023-10-12 08:14:53

既有的数据法益内容是一种典型的传统法益依附性模式,数据法益要么完全依附于个人信息法益、财产法益、社会秩序法益,要么折中依附于多元传统法益内容组合和数据性质法益。依附性模式存在数据犯罪和信息犯罪认定的界限模糊、无法准确区分数据犯罪的多个关联罪名等问题。数据法益应当是一种独立新型法益,其指向数据状态安全内容,而并非传统法益的信息本体内容安全。在立法层面上,数据法益的独立性理念可以通过改变法益类型的交叉性保护、融合一般数据系统保护,以及独立评价非法数据制造或传播行为等规则予以体现。在司法层面上,独立性理念可以通过调整法益保护的司法评价要素、精确区分不同法益类型的界限予以体现。数据法益的独立新型概念、体系要素和运用规则,组成数据法益独立性刑法模式。

数据法益决定了数据刑法的根本任务和基本目标其能够指导数据犯罪的立法规制和司法评价的顺利展开。当前我国学界和实务界形成的数据法益的完全依附性和折中依附性模式始终无法摆脱个人信息、数据财产、知识产权和国家安全等传统法益内容的根本影响。这严重混淆数据犯罪和信息犯罪等关联罪名之间的界限进而衍生数据犯罪规制的扩张化风险。2021年出台的《数据安全法》对“数据安全”的概念界定以及《数据安全法》和《个人信息保护法》并列立法模式为刑法确定独立新型的数据法益概念和规则奠定前置法的依据指引。为此本文将在反思既有数据法益依附性刑法模式的基础上构建数据法益独立性本体概念和体系要素并将独立新型的数据法益理念运用于立法和司法两个层面当中最终塑造数据法益独立性刑法模式。
一、数据法益依附性刑法模式及其反思

(一)
数据法益的完全依附性模式

1.完全依附于个人信息法益



数据在人类交往过程中最常见的形式便是个人数据数据法益完全依附于个人信息法益的模式认为刑法并不存在独立数据法益的概念无论是在形式表述还是实质内容层面数据法益就是个人信息法益。在我国刑法学界个人信息法益依附模式主要通过数据安全和信息安全的等同使用来展现的。在该模式看来因为数据和信息两类概念本身并无任何实质区别两者只是表达事物关系的方法和名称不同而已。信息法益依附模式在部分程度上受到国外传统观点的影响诸如在美国等国家数据安全仅局限于个人信息隐私安全其中信息隐私权指代个人控制自身数据的权利。信息法益依附模式基于数据无用论得以展开在该模式看来数据仅是一种0和1的数字符号其不具有法律意义数据只有以信息法益的形式和内容展现出来才具有法律价值。
个人信息法益依附模式在部分数据犯罪的相关罪名中得以体现。诸如对于《刑法》第285条第2款获取计算机信息系统数据罪相关司法解释通过将获取行为对象“系统数据”的概念范畴限制在网络金融服务等个人身份认证信息的范围之内使该罪保护的数据法益等同于个人信息法益。该模式在刑事司法裁判中同样得到体现。在最高人民检察院发布的典型案例——王哲非法获取计算机信息系统数据案中法院认为王哲利用网络黑客技术窃取公司企业用户通讯录这种获取个人通信信息的行为构成非法获取计算机信息系统数据罪。由此可见在部分刑事司法裁判看来侵入并获取数据行为侵犯的数据安全是一种个人信息安全。
但是个人信息法益依附模式弱化了数据法益的独立性价值。第一数据法益表现为个人信息法益的保护并不代表数据法益在形式和内容上均等同于信息法益。即使数据法益包含有个人信息安全的一方面内容其亦是可以表现为信息法益的保护。第二刑法立法并非完全通过数据系统保护信息安全。诸如《刑法》第285条第1款的非法侵入计算机信息系统罪、第2款的非法控制计算机信息系统罪以及第3款的提供侵入、非法控制计算机信息系统、工具罪第286条破坏计算机信息系统罪等罪名虽然此类罪名均指向数据系统或者系统数据但是该类罪名在立法罪状中并不要求附加信息内容安全的侵害性。换言之刑法并非想混淆数据法益和信息法益。第三《刑法》第253条之一的侵犯公民个人信息罪完全展现出个人信息内容安全的法益保护。如果数据犯罪也侵害个人信息法益那么两者的认定界限便模糊不清了。
2.完全依附于财产法益



数据作为一种市场交易要素其通常充当着数字资源的角色。数据法益完全依附于财产法益的模式认为数据资源在社会发展过程中具有价值性和交易性这是一种财产属性数据法益是一种财产法益。诸如游戏账号、武器装备、数字角色、网络账号等均是一种虚拟财产。并且侵犯数据安全的犯罪行为通常指向经济利益虽然侵犯数据法益不一定会导致个人信息的人格权受到侵害但往往个人财产权会极易受到侵害。甚至有部分学者认为故意毁坏系统数据的情形可以构成故意毁坏财物罪。在财产法益依附模式中刑法保护数据对象旨在保护数据的财产价值属性。在刑事司法裁判中部分案件认为游戏装备数据具有一定经济价值窃取此类数据行为属于对游戏者私人财产的侵犯其构成盗窃罪。
但是财产法益依附模式忽视了数据的社会价值和数据犯罪的法益体系定位。第一财产法益依附模式是一种个人数据赋权模式数据财产权表明个人对数据资源具有占有、使用、收益和处分的权能。换言之认可财产法益依附模式即强化个人对数据资源的独占和控制功能这显然不利于数据资源的社会共享功能的发挥违背了《数据安全法》的保障数据安全和促进数据开发利用的双重立法宗旨。第二如果认可数据资源属于数字财产资源那么为何非法获取计算机信息系统数据罪等数据犯罪的相关罪名会被置于妨害社会管理秩序罪当中而不属于侵犯财产罪或者破坏社会主义市场经济秩序罪?财产法益依附模式无法予以明确解释。
3.完全依附于社会秩序法益



数据存储、流通、使用等处理行为发生在社会网络空间侵害数据法益的犯罪行为直指网络社会管理秩序。数据法益完全依附于社会秩序法益的模式认为依据数据犯罪行为发生的空间特性其侵害的数据法益只有国家或者社会的数据安全管理秩序。这是我国刑法理论的通说观点并且该观点在当前学界和实务界也备受认可。有学者在此基础上进一步将社会数据管理秩序细分为数据流通管理秩序、数据分析管理秩序、数据存储秩序和数据使用秩序等再或者是数据的自由流动性和内容真实性的秩序。该种模式同样在部分刑事司法裁判中有所体现。在李健彬非法获取计算机信息系统数据案中法院认为行为人侵入计算机系统并获取数据的方式危害计算机信息系统数据管理秩序。
但是数据管理秩序法益属于社会秩序法益的内容之一其不具备法益精准指引定罪量刑的功能。第一无法精确界分数据犯罪之间的界限。非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪以及破坏计算机信息系统罪作为典型的数据犯罪罪名按照社会秩序法益依附模式对于彼此罪名之间的定罪量刑的界分如何实现该模式无法予以解答。第二无法精准界分数据犯罪与信息犯罪、纯正信息网络犯罪之间的界限。数据管理秩序法益容易将反映个人人身权利法益的信息内容安全涵盖其中并且纯正信息网络犯罪也属于侵害社会秩序法益的行为其与典型数据犯罪的关联罪名界限在何亦不清楚。上述两类问题本质源于秩序法益的抽象性和流变性的特点其不具备固定的内容要素。
综上所述不难发现数据法益完全依附性模式的“完全性”体现在两个方面第一数据法益外在形式的依附性。在该模式中数据法益根本就不是一项独立的法益类型虽然数据法益表面上具有独立的称谓但是其在形式上就是一种个人信息法益、财产法益、社会秩序法益等传统法益的“代名词”。第二数据法益实质内容的依附性。数据法益形式层面的依附性决定了实质内容的依附性数据安全就是个人信息、财产、社会秩序等内容安全。

(二)
数据法益的折中依附性模式

不同于数据法益的完全依附性模式折中依附性模式是指虽然数据法益在刑法体系中作为一项独立新型法益类型存在但是其本质内容仍是多元传统法益的结合或者掺杂着传统法益内容的一种法益。
1.折中依附于多元传统法益



数据既可以在社会网络空间中运行也可以通过系统功能转化为具体内容信息供用户学习知识和获取资讯。折中依附于多元传统法益模式认为数据的空间运行和内容转化就表明数据既可以是社会秩序利益的一种载体又可以是国家秘密、个人信息、财产资源、独创性知识的载体。据此有部分学者提出数据法益不同于传统法益单一类型其集合国家安全、经济秩序、社会秩序、人格权利和财产权利的多元法益内容是一项独立法益类型。换言之在该类模式看来数据法益的独立性类型体现在多元法益的重组性和交叉性这是完全依附性模式的单一法益内容所不具备的特性。因而数据法益具有新型独立性价值。
但是多元依附模式反而弱化数据法益的新型独立性价值。第一多元法益类型仍是一种传统法益的组合。无论是数据法益包含的国家安全、经济秩序、社会秩序还是人格权利、财产权利的多元内容其均是一种传统法益内容。既然如此其仍存在上述完全依附性模式的种种问题。在此笔者不再赘述。第二仅凭传统法益的多元组合数据法益无法发挥类型和内容的新型价值。既然数据法益可以在不同场合解读为刑法体系中的不同法益类型那么数据法益就无须独立为一项新型法益。数据法益完全可以在不同数据犯罪关联罪名适用时被解读为不同传统法益类型。反而假借“数据法益”的徒有虚名不利于司法裁判者进一步的精准定罪量刑。
2.折中依附于数据性质法益



既不同于完全依附性模式也不同于多元依附模式折中依附于数据性质法益模式认为数据法益之所以具有独立新型的价值特性不仅在于外在形式存在的必要性更在于实质内容完全不同于传统法益内容。数据法益独立性内容体现在数据保密性、完整性和可用性的“数据三性安全”。“数据三性安全”最早由德国学者乌尔里希·齐白引入刑法理论当中其中保密性指向数据内容不被获取完整性指向数据内容不被修改可用性指向数据能够被使用和获取。我国学者在此基础上认为计算机系统犯罪侵害的数据法益便是如此。其中非法获取计算机信息系统数据罪侵害的是数据的保密性安全破坏计算机信息系统罪侵害的是数据的完整性与可用性安全。由此可见数据性质依附模式强调的实质内容的独立新型性在于“数据三性安全”在该模式看来“数据三性安全”指向数据性质本身并不指向传统法益内容。
但是数据性质依附模式存在内容含糊不清的显著问题。第一容易受到传统法益的问题影响。虽然相较于前面几类数据法益模式数据性质依附模式直接根据数据性质来确立数据法益内容而更具有针对性。但是即使是“数据三性安全”提出的数据保密性、完整性和可用性其也可以指向个人信息权益、财产数据等传统法益内容。因为保密性、完整性和可用性均指向数据的不被获取或者修改这显然指向的是信息内容安全而个人信息权益、财产数据安全等传统法益内容就是一种信息内容安全。因此数据性质依附模式也无法彻底摆脱传统法益类型的影响。第二存在入罪扩张化趋势。数据性质依附模式均指向信息内容特性这容易将一般无价值的无用数据或者无需刑法保护的一般系统功能数据作为刑法保护对象违反刑法谦抑性原则。
综上所述不难发现数据法益折中依附性模式的“折中性”体现在数据法益形式的独立性和数据法益内容的依附性。在折中依附性模式中数据法益虽然不同于完全依附性模式其因为多元传统法益的内容组合和数据性质的特殊内容确实具备形式存在的必要性。但是这种形式独立性仅是一种表面的“独立性”其仍无法改变数据法益依附于传统法益内容的固有事实。综合来看无论是完全依附性模式还是折中依附性模式数据法益的概念界定和内容涵摄均无法发挥出《数据安全法》赋予“数据安全”法益的真正职能和积极效果。
二、数据法益独立性刑法模式的理念确立

(一)
数据法益独立性的本体要素

1.数据法益概念的外在形式独立性



数据法益是指法律所保护的以数据形式展现出来的一种安全利益。基于刑法谦抑性原则数据法益并非刑法所保护的独特概念其来源于前置性数据法律法规的系列规定。《数据安全法》第3条第3款规定“数据安全是指通过采取必要措施确保数据处于有效保护和合法利用的状态以及具备保障持续安全状态的能力。”由此可知《数据安全法》已经明确提出数据法益的概念其包含了三大关键要素必要措施、数据有效保护和合法利用的状态、保障数据持续安全状态的能力。但是问题在于这三大要素是否包含传统法益的内容我们无从得知。这还需要依靠数据的技术概念予以分析。
在网络学和数据学原理中数据生成在于两个过程第一计算机等网络设备中的数据资源的产生、运作、编辑、输入和输出的“前过程”相对于可识别信息内容的产生而言),其依靠源数据编成予以实现。具言之计算机等网络设备通过底层数据或者系统功能数据源数据的运算模式将接受的文件、图片、文字等信息内容转化为0和1的数位和序列以供系统数据和代码识别进而将信息储存于网络环境和系统设备当中。第二计算机等网络设备中的数据资源转化为可识别信息内容的“后过程”其依靠数据还原予以实现。系统功能所识别的0和1的数位和序列是由离散数字0、1序列组合而成的二进制和代码的数字表示人类无法具体识别。因此计算机需要将原先储存于系统设备或者网络环境中的0和1的数位和序列进行重组按照不同数据目标设定还原展现出具体信息内容。其中还原展现过程是一种离散数据的信息化过程这一过程旨在提供人类可操作、识别、解读的具体信息内容。
结合数据技术概念和数据安全的法律概念不难发现数据法益是指网络环境中的数字序列能够被有效保护、合法利用以及具备持续安全状态能力的一种利益类型。数据安全其实就是一种数据编成和还原的过程性安全数据法益保护的就是这种过程性安全。将其对接到《数据安全法》数据法益概念的三大关键要素进行解读第一数据有效保护和合法利用的状态是指法律需要确保数据编成和还原过程的有效性和合法性。第二保障数据持续安全状态的能力是指为了促使源数据、离散数字和代码等数据的顺利编成和还原我们需要确保数据本身处于为网络设备所识别的安全状态。这是数据编成和还原过程的基本前提。第三必要手段指的是采取相应技术措施确保编成还原过程的有效性和合法性、源数据本身系统的可识别性等安全。这是数据编成和还原过程、数据系统功能可识别性过程的配套技术措施。
由此可见《数据安全法》的数据法益概念蕴含的过程性安全和数据本身安全在外在形式要件上并非如同数据法益完全依附性模式的传统法益类型。数据法益概念在外在形式上具有独立性。
2.数据法益概念的实质内容独立性



从数据技术概念和数据法益概念的三大要素分类来看数据法益概念不仅在外在形式上具有独立性其在实质内容上也具有独立性。
第一数据法益的独立性内容并非属于单一传统法益或者多元传统法益的组合。从数据法益独立性概念的三大要素分析来看必要措施是一种技术措施数据有效保护和合法利用的状态强调数据编成和还原过程保障数据持续安全状态的能力强调源数据代码的系统可识别性这三类概念并非反映人格利益、财产利益和国家安全利益或者社会秩序利益等单一内容其更为强调一种数据运作状态和数据系统防御状态。数据犯罪侵害这种状态安全并不意味着人格利益、财产利益和国家安全利益受到侵害。否则数据犯罪关联罪名便不存在立法的必要性。而对于社会秩序法益而言虽然扰乱数据状态安全的行为发生在社会网络空间秩序环境中但是这种法益界定不具有针对性。因为传统法益的侵害也可以通过数据犯罪的发生予以实现例如转移支付宝账号中的虚拟财产可以构成盗窃罪。因此这种包容性极大的秩序法益概念并不能精准评价新型数据犯罪的独立类型。正是如此多元传统法益组合的数据法益仍是一种传统法益概念其无法契合《数据安全法》中的数据安全概念和要素。
第二数据法益独立性概念内容并非属于“数据三性安全”。从数据保密性、完整性和可用性的具体内容来看其实“数据三性安全”的部分要素可以涵盖数据编成和还原过程的有效性和合法性、必要技术措施可用性以及源数据本身系统可识别性等安全内容。例如数据可用性就完全可以解读为数据编成和还原过程的可用性必要数据技术措施的可用性以及系统源数据可识别性。但是由于“数据三性安全”重点指向数据还原的后过程的信息内容安全评价却忽视对前过程的源数据本身安全的评价。这才是“数据三性安全”无法彻底摆脱传统法益的个人信息内容、财产内容、国家秘密内容等要素安全的问题根源所在。不同于“数据三性安全”《数据安全法》界定的数据法益并不重点评价数据转化后的信息内容安全。因为在其看来源数据编成和还原后的具体信息内容安全的法益完全可以依照《个人信息保护法》《国家安全法》《著作权法》等法律法规予以保护同样的刑法也可以利用侵犯公民个人信息罪、侵犯财产罪、侵犯知识产权罪、非法获取国家秘密罪等罪名予以保护。
3.数据法益要素的体系独立性



数据法益的概念表达在于构建数据法益的独立体系要素。目前由于存在数据法益的完全依附性模式和折中依附性模式所以数据法益的概念表达在外在形式层面上并不能较好突显数据法益的独立性内容。因为在数据法益的理论运用中数据法益还被作为传统数据犯罪的侵害利益类型。其实从数据法益概念的外在形式独立性和实质内容独立性的分析来看数据法益的独立概念包含的三大关键要素均指向数据状态安全。依据数据状态的不同功能划分“数据有效保护和合法利用的状态”强调数据有效性和合法性运行状态安全“保障数据持续安全状态的能力”强调数据防御状态安全“必要措施”强调确保数据运作状态和数据防御状态的必要技术保障安全。因此有别于以传统法益为内容的既有数据法益模式数据法益概念独立性内容在于数据状态安全而前者是一种信息内容安全。两者在本质上是一种转化前后的过程关系两者均属于刑法独立保护的法益类型。
按照信息学的数据状态理论系统设备或者网络环境中的数据内容部分处于相对静态部分处于流动状态。对接到数据法益的独立性概念数据状态法益也存在动静态之分。其中相对于数据防御状态安全而言数据有效性和合法性运行状态安全是一种动态安全数据防御状态安全属于静态安全。并且三类数据状态法益类型在刑法体系中也存在相应罪名与其对应。具言之第一破坏计算机信息系统罪非法控制计算机信息系统罪提供侵入、非法控制计算机信息系统程序、工具罪等罪名属于数据有效性运行状态法益保护。第二非法利用信息网络罪编造、传播虚假恐怖信息罪扰乱无线电通讯管理秩序罪等罪名属于数据合法性运行状态法益保护。第三非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、拒不履行信息网络安全管理义务罪等罪名属于数据防御状态法益保护。
综上所述无论是在外在形式还是实质内容的层面上数据法益均是一种独立性概念和类型。独立性法益概念强调数据状态安全而代表传统法益的数据犯罪等相关罪名保护的数据法益是一种信息内容安全两者存在本质区别。依据数据状态的不同功能数据状态安全存在数据有效性运行状态、合法性运作状态和数据防御状态的安全利益类型这三种数据法益类型及其相对应的罪名组合成独立体系。

(二)
数据法益独立性的现实基础
在数据技术概念和数据法益概念中数据法益不仅具有独立性体系和要素并且在数据运行的现实生活中其还具有运作关系、权属性质和价值功能等现实基础。
1.关系区分依据



在数据法益的独立性概念中数据法益强调数据状态安全。但是在传统法益的多元要素和内容中无论是个人信息权、数据财产权、数据知识产权还是国家秘密关联的国家和国防安全其强调的均是信息内容安全。在计算机学理论中数据状态安全是源数据或者离散数据信息化或者信息转化的过程性安全。换言之数据状态安全是具体信息内容的前过程性安全。但是信息转化后的过程保护属于信息内容的保护。因此数据法益独立性模式在于强调数据外在状态的安全传统数据法益的依附模式在于强调信息本体内容的安全。目前多数学者认为数据外在状态安全是数据载体安全信息本体内容安全是数据内容安全。但实质上数据和信息本身就分属两个不同技术概念。按照两者的关系区分只能说立足于数据运作的整体发展过程广义数据概念涵盖了源数据的载体状态安全和数据转化后的本体内容安全。
2.权属区分依据



独立性数据法益是一种数据状态安全表明刑法保护独立性数据法益旨在对数据转化外在条件和网络空间环境的保护其本身并不属于权利或者权益的法益属性保护。但是信息法益体现出个人信息权、国家安全、财产权利、知识产权等内容具有国家和个体的直接性权利或者权益属性。虽然在数据法益和信息法益的关系区分依据中数据外在状态安全可以确保信息本体内容安全的实现《数据安全法》对数据的概念界定也强化数据对信息的记录和呈现作用关系这足以表明独立性数据法益具有权利或者权益保护的间接保护属性。但是从法律界定的概念关系来看数据记录始终无法成为信息内容。这也决定了独立性数据法益的相关罪名始终无法在危害国家安全罪、侵犯公民人身权利罪和侵犯财产罪等保护实质权利类型的罪名中呈现。
3.功能区分依据



数据法益包含的数据外在状态安全可以与信息本体内容安全相提并论并非仅体现于独立的技术概念和周全的体系要素更在于数据外在状态安全发挥的价值和功能与信息本体内容安全存在巨大差异。第一独立性数据法益具有工具功能。无论是数据的有效性和合法性运作还是数据的持续防御状态安全能力均强调数据的工具价值属性。根据数据的技术概念表达数据工具价值属性在于编成和还原过程刑法保护该过程是确保数据技术正常和正确表达的功能。在部分学者看来这是宪法保护的重要利益。正是因为独立性数据法益尤为注重工具功能所以数据安全需要依靠数字技术的升级和进化《数据安全法》才会在数据安全的概念界定中补充必要技术手段和措施的概念要素。第二信息法益具有识别和决策功能。不同于系统数据的可识别性信息本体内容的可识别性在于人类的可读取性。只有信息内容可为人类读取和理解其才会出现在沟通、交流、流转等过程中信息内容才会在流转和获取过程中增加人类知识和智慧进而为社会发展和进步提供信息决策和咨询。因为信息法益尤为注重识别和决策功能所以信息安全需要依靠人类的合理使用和社会共享《个人信息保护法》才会设定“规范个人信息处理活动、促进个人信息合理利用”的立法宗旨。
三、数据法益独立性刑法模式的运行规则
数据法益的独立性刑法模式不仅在于其独立性概念和体系要素更在于其立法和司法两个层面的独立性运行规则。

(一)
数据法益独立性的刑法立法模式

1.改变数据法益和传统法益交叉性保护的立法现状



数据法益和传统法益的交叉性立法保护是指数据犯罪的关联罪名立法将传统法益涵盖的个人信息、数据财产、知识产权、一般公开信息等信息本体内容安全的侵害视为数据法益指涉的数据外在状态安全侵害的一种数据保护现状。例如《刑法》第285条第2款非法获取计算机信息系统数据罪的立法设置就重点评价获取计算机信息系统中存储、处理或者传输的数据内容行为而并非重点评价数据获取前的技术侵入行为。再如第286条破坏计算机信息系统罪的立法设置不仅重点评价处理计算机系统功能数据导致系统无法正常运行的行为还将计算机系统和程序中存储、处理或者传输的数据内容的删除、修改、增加行为视为一种数据犯罪的法益侵害。对此有学者认为破坏计算机信息系统数据罪第2款的立法设置并不要求计算机系统的功能破坏其指向的是数据内容本身安全的破坏。
交叉性立法保护体现的是数据法益对于传统法益的依附性模式按照数据法益独立性模式的价值指引刑法立法需要将体现传统法益的信息本体内容安全保护的立法罪状从数据犯罪关联罪名中排除出去。
第一取消非法获取计算机信息系统数据罪的立法设置。非法获取计算机信息系统罪对传统法益保护的问题根源在于该罪为了体现国家事务、国防建设、尖端科学技术领域三类特殊计算机系统与其他一般领域的计算机系统的保护差异性而将数据内容获取的情节严重作为侵入一般领域计算机系统的保护条件。由此可见刑法将获取数据内容的结果要件置于立法当中是为了杜绝非法技术侵入一般计算机系统的获取数据内容的危害结果。因此该立法罪状实质是需要重点评价危害数据防御状态安全的技术侵入行为而并非如同“非法获取计算机信息系统数据罪”的称谓表述是为了规制数据内容获取行为。既然如此在我国《刑法》第285条已经规定有数据系统侵入性犯罪的直接关联的罪名下我们完全可以取消非法获取计算机信息系统数据罪的立法设置防止数据法益和传统法益交叉性保护的立法现状凸显数据法益的独立性立法模式。
第二删除破坏计算机信息系统罪的数据内容处理的立法罪状。根据《数据安全法》第3条和《个人信息保护法》第4条的相关规定删除、修改、增加等处理行为既可以指向以数据状态安全为内容的数据法益又可以指向以信息本体内容安全为主体的信息法益。但是正如前述破坏计算机信息系统罪的立法设置在于保护数据有效性运行状态安全这才能突显该罪名的数据法益独立性立法特点。而在《刑法》第286条第1款已经设置有关联数据法益独立性的“系统不能正常运行”的立法规则后破坏计算机信息系统罪便无需再另行保护与数据系统和程序的运行和防御功能无关的信息本体内容其完全可以交于信息法益予以保护。因此对于《刑法》第286条第2款破坏计算机信息系统罪的数据内容处理的立法罪状刑法应当及时删除。
2.融合侵入一般数据系统关联的数据法益的立法设置



融合侵入一般数据系统关联的数据法益的立法设置是指刑法将一般数据系统和特殊数据系统的数据法益融合放置在同一立法罪状中。独立性数据法益保护数据防御状态安全并非保护特殊数据系统的防御状态其强调保护数据系统本身的防御状态和能力并不要求系统性质的区分。在《刑法》第285条的三款立法罪状中侵入行为侵害的数据防御状态安全是立法保护的最终目的。即使是非法控制计算机信息系统罪因为控制行为依附于“侵入前款规定以外的计算机信息系统或者采用其他技术手段”的立法罪状所以该罪也是在保护侵入后控制行为侵害的数据法益。
但是目前《刑法》第285条的第1款和第2款却将国家事务、国防建设、尖端科学技术领域三类特殊计算机信息系统与其他一般计算机信息系统的保护予以区分立法并分别设置非法侵入计算机信息系统罪和非法获取计算机信息系统数据罪。为改变数据法益和传统法益交叉性保护的立法现状在取消非法获取计算机信息系统数据罪的立法设置后立法者完全可以将一般数据系统关联的数据法益保护融合于《刑法》第285条的第1款之中并设置“情节严重”或者“后果严重”的入罪标准。具体理由如下
第一避开特殊数据系统性质认定的开放性和模糊性问题。虽然《刑法》第285条的第1款和第2款的区分性立法契合了《数据安全法》第21条数据分类分级保护理念和规定。但是特殊和一般数据系统的性质认定并非具有显著的分类分级保护的界限区分特点。其一“国家事务、国防建设、尖端科学技术领域”的三者特殊数据系统性质之间存在交叉关系。一般而言国防建设和服务于国家发展的尖端科学技术领域均属于一种国家事务三者彼此之间无法清晰界分存在一定模糊性。其二按照《计算机信息系统安全保护条例》第4条的规定重点保护的数据系统的性质也并非仅局限于上述三类特定领域其还包括“经济建设等”重要领域的数据系统。由此可知特殊数据系统性质认定还具有开放性。其三目前基于国家政务一体化建设的要求和政务数据平台共享共建的特点特殊数据系统关涉的事务在一般数据系统中也可以存在。因此立法也难以完全区分特殊数据系统和一般数据系统关联的数据法益。融合侵入一般数据系统关联的数据法益的立法设置则可以完美避开数据系统性质区分认定的开放性和模糊性等问题。
第二限制特殊数据系统的抽象危险犯立法的入罪扩张化风险。《刑法》第285条的第1款对于特殊数据系统性质采取的是抽象危险犯立法模式在特殊数据系统性质认定具有开放性和模糊性问题情形下抽象危险犯立法存在入罪扩张化风险。融合侵入一般数据系统关联的数据法益的立法设置并设置“情节严重”或者“后果严重”的入罪标准可以使刑法与行政法做好区分衔接保护促使刑法重点规制严重侵害数据法益的行为。
第三融合侵入一般数据系统“情节严重”的立法罪状可以保护一般数据系统中一般数据软件和程序运行功能干扰和破坏等行为所侵害的数据法益。如此其还可以为非法侵入计算机信息系统罪、非法控制计算机信息系统罪和破坏计算机信息系统罪的规制程度区分提供参考标准。
3.增设制造或传播非法数据行为的独立立法评价



数据法益独立性立法模式的基本要求之一在于网络环境中的数字序列能够被合法利用这是数据系统具有防御状态能力和数据有效性运行状态的基本前提。虽然《刑法》第285条第3款设置有提供侵入和非法控制计算机信息系统程序、工具的行为类型并且第286条第3款也对制造或传播病毒数据行为进行了立法评价但是提供侵入、非法控制计算机信息系统程序、工具罪并非在于规制非法程序运行现象的产生和传播行为这一基础前提。另外制造、传播病毒数据也明确指向数据系统功能的破坏性并不包含数据系统功能控制和一般数据软件和程序运行功能的非法数据干扰。
数据系统功能控制和一般数据软件和程序运行功能的非法数据干扰是对数据合法运行状态安全的侵害。对此《网络犯罪公约》第6条将生产、销售、采购非法干扰系统数据的行为认定为滥用计算机设备罪。同样《德国刑法典》第202条C款预备探知、拦截数据罪也将制造并获取、出售、转让和散布传播非法数据和程序的行为规定为犯罪。对照类似规定我国并不存在立法评价的特殊除外情形而我国刑法立法却未设置有制造或传播非法数据和程序的数据法益保护规定。基于此我国刑法可以单列非法制造或传播非法数据罪或者将制造或传播病毒等非法数据的行为规制作为《刑法》第287条之一非法利用信息网络罪的第4款立法罪状并在此基础上删除286条第3款的制造传播病毒数据行为的立法规定。
需要注意的是制造和传播两类行为需要立法单独评价。虽然数据代码具有技术中立性数据本身并不具有任何“非法性”但是在带有攻击性、破坏性和干扰性目的时数据制造行为便具有非法性。因为一旦攻击性、破坏性和干扰性非法数据制造完成之后虚拟空间的数据传播和散布将导致不可弥补的损失。对此在行为人作为非法制造攻击性、破坏性和干扰性数据的惯犯时或者在行为人作为网络犯罪团伙的技术人员时非法制造带有攻击性、破坏性和干扰性数据的情形就需要立法予以单独评价。

(二)
数据法益独立性的刑法司法模式

1.调整数据法益保护的司法评价要素



数据法益的独立性保护模式需要刑法细化或塑造能够反映数据法益的入罪标准。由于受到传统法益的影响目前部分数据犯罪关联的罪名将反映信息本体内容安全的信息法益的评价要素作为细化入罪标准的具体情形并且由于数据法益独立性模式的欠缺典型的数据犯罪的关联罪名缺少数据法益保护的入罪司法评价标准。为此刑法司法应当及时调整数据法益保护的独立司法评价要素补充必要或删除非必要的入罪标准。
第一增补非法控制计算机信息系统罪的控制运行时长。正如前述非法控制计算机信息系统罪作为典型的数据犯罪其保护的是数据运行状态安全。按照《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条的规定反映非法控制计算机信息系统罪的数据法益保护的评价要素只有数据系统台数、经济损失和违法所得。其中真正评价数据法益侵害程度的要素只有数据系统台数。但是数据运行状态安全的侵害程度不仅可以通过系统台数表现出来还可以通过系统被控制运行的时长反映出来。对比同样保护数据运行状态安全的破坏计算机信息系统罪可见该司法解释就将无法正常运行的时长作为了数据法益保护的独立司法评价要素。
第二删除转发次数、浏览次数、评论次数等传播次数。在编造、传播虚假恐怖信息罪、拒不履行信息网络安全管理义务罪等数据犯罪当中部分司法解释和司法案件将转发次数、浏览次数、评论次数等传播次数作为数据法益保护的独立司法评价要素。但是此类传播次数反映的是信息法益的要素是同信息本体内容一起展现于外的在部分场合其可以作为数据财产资源或者知识产权对象的信息内容予以保护。但是转发次数、浏览次数、评论次数等传播次数越多并不直接反映数据法益侵害越严重。在外在形式上其仅是一种文字表达内容。因此刑事司法应当及时删除数据犯罪关联罪名的传播次数的评价要素。
第三增加拒不履行信息网络安全管理义务罪的漏洞个数和持续时长。拒不履行信息网络安全管理义务罪作为数据防御状态安全保护的典型数据犯罪罪名相关司法解释忽略了反映数据防御状态安全的侵害程度的独立司法评价要素诸如数据系统平台的漏洞个数和平台信息泄露的持续时长等入罪标准。对此相关司法解释可以通过对拒不履行信息网络安全管理义务罪“其他严重情节”的补充认定将此纳入其中。
2.精确区分不同数据法益类型的保护界限



在典型数据犯罪关联罪名的区分方面非法获取计算机信息系统罪、非法控制计算机信息系统罪和破坏计算机信息系统罪三者之间界限的司法区分是刑法学界和实务界面临的一大疑难问题。例如有学者认为破坏计算机信息系统罪的“不能正常运行”“是指计算机信息系统失去功能不能运行或者计算机信息系统功能不能按原来设计的要求运行”。但是非法控制计算机信息系统的行为也可以导致数据系统功能无法按原来设计的要求运行。
其实按照数据法益独立性的体系要素分类数据运行状态安全可以分为数据有效性和合法性运行状态安全。其中上述三类典型数据犯罪的罪名均指向数据有效性运行状态安全。而根据数据运行状态安全的侵害程度有效性运行状态的损害结果可以依次划分为数据系统功能完全无法运行、数据系统功能无法按照自己目标设定运行、数据系统功能以外的一般软件和程序的数据无法正常运行等三种情形。其中这三类情形分别对应着破坏计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪。
首先电脑黑屏、频繁被强制关机、无法播放视频和编辑文字、数据无法传输和接收等情形属于数据系统功能完全无法运行。其次用户被强制牵引访问其他网站或者自动多次弹窗、DNS流量劫持、强制性共享屏幕和操作的情形属于数据系统功能无法按照自己目标设定运行。最后数据系统以外的主要应用软件、程序和网站无法正常显示文字或者显示错误等情形属于数据系统功能以外的一般数据无法正常运行。其中最后一类情形可以归为侵入型数据犯罪的“情节严重”的评价要素。因此通过精确区分不同数据法益类型的保护界限刑法可以确立部分典型数据犯罪罪名对数据法益实现不同程度的保护。
原文链接

论数据法益独立性刑法模式

安徽大学学报(哲学社会科学版)简介
《安徽大学学报》(哲学社会科学版)创刊于1960年,是中文核心期刊、CSSCI来源期刊,全国高校社科名刊、华东地区优秀期刊、安徽省高校优秀学报。

往期精彩回顾

冯明昱  张勇|侵犯商业秘密罪评价标准的修正与规范解读

吴思远|非正式制度如何转向正式制度——由职权主义认罪协商的变革经验展开

庄绪龙|司法公信力遭遇的“柔性侵蚀”困境及破解思路——以系统思维为视角

熊波|数据分类分级的刑法保护

崔志伟|刑法合政策解释的学理表达与规范化路径

张勇 李芬静|数据安全刑事治理的冗余机制


上海市法学会官网

http://www.sls.org.cn