建立數據安全保護制度是國家政策和未來趨勢。然而,由于深受賦權理念影響,我國刑事立法與司法將數據主要看作個人權利的載體和個人自由的延伸,更偏重于維護權利主體對于數據的控制安全,而對數據的公共產品屬性重視不夠,導致相關刑法規范的設定脫離社會和經濟發展需求,出現了數據安全保護領域諸多問題。如何將國家的數據治理政策導向通過完善刑法立法及解釋工作,促成刑法數據治理模式的有效轉換,實現安全維護、自由保障與技術進步的協同、均衡發展,是亟待解決的重大刑法學問題。
一、刑法數據治理的現行模式
我國刑法中尚不存在以數據法益為核心的罪刑規范體系。現行刑法相關罪刑規范分散于分則不同章節,通過不同罪名體系與行為類型予以呈現。
(一)現行刑法數據治理體系
從罪名體系來看,刑法分則對數據主要采用直接和間接保護兩種保護方式。直接保護方式是直接將數據作為犯罪對象加以保護。間接保護方式是將表征數據內容的各種具體信息、秘密、證明或者證件等作為犯罪對象,以此間接規制數據侵害行為。
總體上,現行刑法罪名體系呈現以下特點:(1)在直接保護中,所涉數據范圍極其狹窄;(2)在間接保護中,立法目的明顯側重于對國家法益、社會法益的保護,體現出重點維護安全、秩序利益的立法偏向;(3)兩種保護方式均將數據作為犯罪對象,獨立的數據法益并不存在,數據的性質、層級、種類、功能定位亦不清晰。
刑法現有罪名并未事無巨細地保護數據活動的所有階段,而是僅規定了以下不法行為類型:(1)編造或者傳播虛假數據的行為;(2)刪除、篡改、隱瞞或者銷毀數據的行為;(3)非法獲取或者泄漏數據的行為;(4)非法利用信息或者數據的行為。其中,禁止編造、提供虛假數據的行為保護的是數據的真實性,而非現實存在的數據法益。真正與后者密切相關的,實為數據的完整性、保密性及可利用性。以上不法類型表明,當前刑法治理的重心在于數據的非法獲取行為而非濫用行為。就此而言,現行刑法規定對數據法益的保護無疑具有片斷性,不法行為類型亦呈現出不完整性特征。
(二)現行刑法數據控制模式
數據共享與數據安全是數據治理的基本目標。數據共享通過數據處理來實現,其包括數據的收集、存儲、使用、加工、運輸、提供、公開等;而數據安全包括數據控制安全和數據利用安全。其中,數據控制安全體現的是一種賦權理念,其側重于保護數據主體對數據的控制力。數據利用安全體現的是自由利用理念,其側重于保護數據在各個處理階段的安全。據此,可將刑法關于數據安全的保護模式劃分為數據控制安全保護模式和數據利用安全保護模式。為表述便利,我將這兩種模式分別簡稱為數據控制模式與數據利用模式。從數據控制模式的特征看,我國刑法正是采用了該模式。
第一,在規制理念上,力求通過對數據“靜態安全”的維護,實現對數據利用安全的前置性保護。第二,在規制重點上,通過抑制非法獲取或者泄露數據等削弱數據主體對數據排他性控制程度的行為,強化數據主體對數據的控制。這在現行刑法規定及相關解釋中體現為三點:(1)通過積極禁止數據竊取、泄漏行為,直接保護數據主體對于數據的控制。(2)通過禁止刪除、篡改(修改)、隱瞞、銷毀、增加、干擾數據的行為,間接強化數據主體對數據安全的控制(3)在對涉數據犯罪的構成要件進行解釋時,通過擴張數據的內涵及其載體的范圍,懲處大量侵犯數據的行為,凸顯出數據控制模式的色彩。第三,在規制范圍上,尊重數據主體的意愿,將“知情同意”作為數據獲取、利用行為違法性的阻卻事由。
二、刑法數據控制模式的內在缺陷
在利益衡量的天平上,控制模式將砝碼置于數據的靜態安全一端,這無疑對數據安全的保護發揮了重要作用。然而,由于其過度強化數據控制,該模式能否有助于達成數據安全與數據共享的基本治理目標,不無疑問。
(一)忽視數據的公共產品屬性
1.無視多元主體的正當利益訴求
當前過度強調數據私密性或數據控制的權利屬性做法,忽視了其他主體對同一數據存在多重正當利益關聯的現實。以與公民關系最為密切的個人信息為例,《民法典》“民事權利”一章明確將個人信息作為權利加以保護。根據《民法典》第1034條的規定,“可識別性”是個人信息的本質屬性。但是,“可識別性”實際上屬于關系范疇而非數據、信息的本質屬性。這是因為:其一,“可識別性”體現著個人與他者的關系。其二,“可識別性”體現著個人與信息之間的關系。“可識別性”意味著通過相關數據可以直接或者間接實現數據與個人的鎖定。但是,無論是直接鎖定還是間接鎖定,都無非表明數據所表征的相關信息與個人存在一種對應關系,卻并不意味著這些數據必然歸屬于個人。
2.無法有效實現“數據共享”的價值目標
數據可以作為私權客體,具有限制接觸性,但這非所有數據的共性。一方面,數據的限制接觸性是數據經過法律規范評價后的產物,而非信息或者數據本身的特性。另一方面,從法秩序的基本價值取向來看,信息公開是原則,限制數據的接觸和使用是例外。此外,促進數據流通是數據賦權的重要價值。無論是個人信息自我決定權的賦權模式,還是財產權的賦權模式,都強調通過賦予權利主體對于數據積極處分權能的方式,“激勵數據權利人積極地共享或者轉讓其合法占有的數據”。而在數據控制模式下,“數據共享”首先在理念上遇到了阻礙。
(二)在社會政策上不具有可行性
1.企業交易、創新成本及刑事法律風險增高
一方面,數據控制模式使企業、個人獲取數據的成本增高。在數據控制模式下,知情同意原則是數據收集和利用的基本原則,然而,面對海量數據,要求每一條數據都需要獲得事前同意,只會遏制企業的創新與發展。另一方面,數據控制模式使企業面臨更高的刑事法律風險。如果全面強化對于數據控制的保護,則所有未經數據權利人或者控制者同意的數據獲取、利用行為,都有構成非法獲取計算機信息系統數據罪或者非法獲取公民個人信息罪的可能性。
2.社會治理能力弱化
首先,如果不能有效利用大數據進行動態分析和回應,公共政策決策大概率會缺乏現實針對性,不利于實現社會治理的精準化。其次,如果不能有效利用相關數據,便捷的公共服務將受到限制,勢必會增加公民的時間成本、經濟成本及社會交往成本。最后,數據控制模式阻礙多元主體的數據共享,導致難以及時評估、修正相關治理決策,無法建構回應各類問題相應的模型,不利于推動國家治理現代化。
(三)難以有效保護數據法益
1.數據主體權益保障不足
大數據時代以“知情同意”原則為核心的數據控制模式,不但沒有強化對公民個人信息安全的維護,反而導致數據權利人面臨極大風險。一方面,數據權利主體與數據利用者在經濟、社會及技術層面存在著顯著的不平等性,由此使得數據權利主體與利用者之間缺乏議價能力。另一方面,現實生活中強化權利主體數據控制的“知情同意”原則往往流于形式。換言之,大數據背景下,由于數據主體欠缺議價能力,數據使用者濫用數據的行為反而可以借助數據收集階段一次性的“知情同意”原則而被正當化,并從而導致數據濫用風險的最終承擔者不當地由使用者轉向權利主體。
2.刑法評價不充分
刑法規定非法獲取公民個人信息罪和非法獲取計算機信息系統數據罪,并不能實現對數據濫用行為的充分評價。一方面,現實中大數據殺熟、誘導性消費等數據濫用行為越來越普遍,其危害并不亞于數據的非法獲取行為。另一方面,以數據為對象的非法獲取行為和以物為對象的非法獲取行為存在著明顯的不同。單純的數據獲取行為只是獲取了數據,而數據背后隱含信息的發掘和利用行為仍未實施,這些行為本身可能具有迥異于獲取行為的危害性,因而仍存在單獨進行刑法評價的必要。
3.罪責刑不均衡
較之于危險犯、預備犯、幫助犯,實害犯、實行犯、正犯在違法性、罪責程度上無疑更為嚴重。如果立法者將前類行為犯罪化,后類行為犯罪化的必要性理應更高,法定刑亦應更重。以此檢視刑法關于數據犯罪的現行規定,罪刑失衡可謂顯而易見。獲取、泄漏數據等行為,充其量僅是招致數據濫用風險的前置性行為,其違法性、罪責程度明顯弱于實際濫用行為。然而,刑法卻將規制重心放在非法獲取行為而非濫用行為上。退一步講,即使將非法獲取公民個人信息罪、非法獲取計算機信息系統數據罪作為涉數據犯罪的一般性條款,由于作為危險犯,其法定刑較輕,以其處罰作為實害犯的數據濫用行為,依然難以實現刑罰幅度與實害程度的對應性。
三、結語
數據共享不僅是國家經濟、社會政策的取向,同時是民法、行政法等前置法兼顧數據流通、實現數據利益配置的客觀要求。強化數據控制安全的立法模式不但在理念層面與前述要求相抵觸,事實上也會產生不當限制數據共享的消極后果。鑒于此,將數據濫用行為與數據獲取、泄露、篡改、刪除等行為同置于刑法評價之下,并將治理模式由控制模式調整為利用模式,便具有理論、實踐與法政策上的正當性。
于改之,上海交通大學凱原法學院教授、博士生導師,職務犯罪檢察研究基地負責人,兼任中國刑法學研究會副會長、上海市法學會刑法學研究會副會長、上海市司法智庫刑事研究專家顧問,最高人民檢察院、上海交通大學共建職務犯罪檢察研究基地負責人
代表作:《從控制到利用:刑法數據治理模式的轉換》(《中國社會科學》2022年第7期)、《法域協調視角下規范保護目的理論之重構》(《中國法學》2021年第2期)、《法域沖突的排除:立場、規則與適用》(《中國法學》2018年第4期)、《刑法與民法的對話》(北京大學出版社2012年1月版)、《刑民分界論》(中國人民公安大學出版社2007年8月版)。