大數據是人工智能技術的基礎,目前我國很多行業都采取了數據化信息采集方式,但不同行業的數據匯聚可能引發數據泄露、數據失真、非法利用等犯罪。具體而言,大數據收集中的不當行為可能侵害公司、企業管理秩序,金融管理秩序,公民的人身、民主權利,以及社會管理秩序等法益,刑法如何對非法收集大數據的行為準確定罪,是理論和實踐中亟須明確的問題。
一、刑法規制大數據收集行為的困境
大數據非法收集行為的刑事違法性判斷包括行為對象屬性認定和違法行為評價兩方面,而刑法理論對二者的判斷存在不同觀點。
首先,作為行為對象的大數據在刑法上可能評價為財產、人身權利或社會秩序。隨著人工智能技術的發展,大數據交易已經成為如火如荼的產業,2008年國際上“數據市場”“數據銀行”興起,數據交易本身即體現了數據的財產價值,這種實然上的經濟利益、可交易、可轉移的特性是數據財產權屬性的基礎。此外,侵犯公民個人信息罪中作為行為客體的個人信息具有明顯的人身屬性。身份證號、家庭住址、消費習慣、興趣喜好、信用狀況、運動軌跡等體現個人的人格尊嚴和自由意志,個人數據匯集后描繪出“數字人格”,所以這些與個人相關的數據不可避免地帶有著人格權屬性。而非法使用竊聽、竊照專用器材罪,非法獲取軍事秘密罪等行為中,非法收集電子數據的行為會引發公共秩序領域、國防軍事領域的秩序混亂,進而危及到個人的人身安全等基本權利。因此,刑法在非法收集數據行為表現出抽象危險的時候就予以規制,避免數據大范圍傳播對社會秩序或軍事秩序的危害。
其次,我國刑法不斷增設打擊網絡犯罪的新罪名,但對大數據收集行為的規制仍有不足。刑法并未直接規定對個人數據進行全方位保護,而是通過保護個人信息、計算機信息系統、防止發布違法犯罪信息等方式對部分電子數據進行保護。非法收集個人教育、職業、消費習慣等大數據的行為并非上述罪名的保護對象,而這些分散的信息形成“個人畫像”后很容易成為電信詐騙、敲詐勒索的目標。另一方面,個人數據應用于公共服務領域時,將不可避免地帶上公共屬性的色彩,此時大數據收集行為能否排除刑事違法性?例如,疫情防控時期公布確診者行蹤軌跡的行為當然侵犯了個人隱私權,但這是消除廣大公眾心理恐慌、避免出現群體性事件的必要之舉,那么人肉搜索確診者個人信息的行為是否構成犯罪,仍然存在爭議。
二、大數據收集行為侵犯個人法益之認定
大數據非法收集行為侵犯個人法益和集體法益,司法機關進行犯罪認定時應區分個人信息與個人數據的差異,以及數據的社會屬性對集體法益侵害的判斷,避免擴大處罰。
首先,個人信息屬于個人數據的子集,不具個人專屬性和信息重要性的大數據難以構成侵犯公民個人信息罪。個人數據記錄的內容可能是不具有信息重要性的姓名、職業等社會交往中公開的信息,并不屬于侵犯公民個人信息罪的保護范圍。最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確要求個人信息的“識別性”,實際是將這些信息作為個人財產權和人身權的“側防法益”加以保護的,即與某特定主體相關聯的、可以直接或間接地識別本人身份信息的內容,具有典型的身份屬性。正是由于這些信息泄露直接導致公民的財產、人身安全陷入危險,因此刑法將其納入保護范圍。所以,收集個人的游戲裝備、關鍵詞搜索等大數據的行為可能屬于電信詐騙、非法利用信息網絡罪等罪名的預備行為,并不具有嚴重的法益侵害性。
其次,非法侵入他人計算機信息系統盜竊虛擬貨幣的行為,部分司法判決認定為侵犯財產犯罪,部分司法判決認定為破壞計算機信息系統罪。根據刑法第九十二條,私人所有財產包括依法歸個人所有的股份、股票、債券和其他財產。據此,表現為電子數據形式的債權、虛擬貨幣也屬于私人財產。民法總則第一百二十七條規定將“數據”與“虛擬財產”并列,也是對數據作為新型財產屬性的認可。那么虛擬貨幣是否屬于刑法上的財產?行為人非法收集、出售大數據行為往往出于牟利目的,但虛擬貨幣并非一律認定為財產,理論界對此也有不同觀點。如張明楷教授指出,“虛擬財產僅是一種事實上的表述,只要個案中行為人侵害的虛擬財產具有管理可能性、轉移可能性與價值性即屬于刑法上的財物。”陳興良教授則認為,“我國刑法中的財物完全能夠涵蓋虛擬財產;對于具有財產價值的虛擬財產應當按照財物予以刑事保護。”實際上,刑法上財產的價值性是指穩定的、客觀的價值,而比特幣價格大漲大跌、難以像債權等財產性利益那樣具有穩定的價值,這也是我國的司法判決并非一律將盜竊、出售虛擬貨幣的行為認定為財產犯罪的原因。因此,非法收集虛擬貨幣的行為不能一律認定侵犯財產犯罪。
三、大數據收集行為侵犯集體法益之認定
大數據收集行為侵害的集體法益需進行實質違法性認定,不能將人工智能技術領域的職業行為認定為犯罪。首先,從技術的角度看,自動收集數據是人工智能算法技術的重要特征,互聯網職業相當性的行為不具有刑事違法性。根據《國務院新一代人工智能發展規劃》,國家支持、培養、促進人工智能技術研發、推廣、應用,符合人工智能技術職業規范的大數據收集行為具有職業相當性。在判斷大數據收集行為是否超越可容許風險時,應以“行為人所屬階層的一般人”為標準,即以人工智能職業一般(平均)從業者的行為方式和思維方式進行判斷。在職業行為社會相當性的判斷上分兩個步驟:一是某一行為應當符合本行業的職業規范的要求;二是具體職業領域內的職業行為必須與法律保持一致,才能最終被認定為具有社會相當性。具體而言,大數據收集行為中可容許風險應根據不同的職業領域特點進行職業相當性判斷。例如,算法自動收集數據行為的職業相當性需根據個人信息保護法(草案)審查收集者是否履行告知義務、個人信息處理者向第三方提供個人信息的是否進行了匿名化處理。如果大數據收集行為符合互聯網行業的職業相當性要求,則排除刑事違法性。
其次,犯罪構成中“違反國家規定”需進行實質審查。侵犯集體法益的很多罪名要求“違反國家規定”,應根據刑法第九十六條確定“本法所稱違反國家規定,是指違反全國人民代表大會及其常務委員會制定的法律和決定,國務院制定的行政法規、規定的行政措施、發布的決定和命令。”司法實踐中,單個數據收集行為可能侵犯個人法益較小,但“海量行為×微量損失”樣態的公共秩序侵害的情形,需從總體上判斷“違反國家規定”的行為的實質違法性程度。例如,幫助信息網絡犯罪活動罪的成立需要“情節嚴重”,“情節嚴重”的認定可從行為人發布的違法信息實際被點擊、瀏覽、轉發次數累計方面進行認定。
最后,通過法益衡量進行實質違法性判斷。如果大數據收集行為雖然對社會法益造成侵害,但卻是特定情況下維護公共利益必須,那么行為的實質違法性須根據比例原則進行法益衡量,即采取最小限制個人權利的手段以實現最大的公共利益。例如,新冠肺炎疫情防控期間,使用隱蔽拍攝器材監控疑似患病的入境外國人的行蹤軌跡的行為雖然符合非法使用竊照專用器材罪的犯罪構成,但該行為是維護公共安全和社會秩序的需要,此時社會秩序應讓位于公共利益,非法使用竊照行為排除刑事違法性而不構成犯罪。
(作者單位:安徽大學法學院)