今天是2024年12月23日 周一
金融刑事
位置:
黎森予:《“数据犯罪”概念的否定与化归》

作者:黎森予

来源:《南大法学》2024年第4期

发布时间:2024-07-31 18:30:22

洪艳蓉
法学教授
北京大学法院院
【摘要】
面对数据时代出现的新型侵害行为,多数观点主张在立法论或解释论上新建“数据刑法”“数据犯罪”体系,但这未必是最有益的对策。数据安全难以成为独立的保护法益,数据只是行为对象或手段,实际上值得保护的法益依然是财产、文书、个人信息等传统法益,现行刑法不存在处罚漏洞,没有必要增设“数据犯罪”罪名。与数据相关的犯罪行为在刑法适用上不存在特殊之处,没有必要先将一类侵害行为归纳为“数据犯罪”、再分流为传统犯罪,构建“数据犯罪”这一犯罪类型缺乏实益。应当基于损害后果的法益种类,将涉及数据技术手段的侵害行为直接解释为针对财产等传统法益的犯罪。“数据犯罪”等概念在刑法适用中是多余的。
【关键词】
数据犯罪;传统犯罪;保护法益;处罚漏洞;实质解释

作者:黎森予,清华大学法学院博士研究生、东京大学大学院法学政治学研究科特别研究生。


目次


一、 问题的提出

二、 数据性侵害行为并非现行刑法的处罚漏洞

三、 “数据犯罪”并非解释论上的必要概念

四、 数据性侵害行为化归为传统犯罪

五、 结语





一、 问题的提出



数据时代已然到来。以人工智能、物联网、区块链和虚拟现实为代表的数据技术使国民生活的方方面面发生了翻天覆地的变容,面对这一系列颠覆性的影响,将数据技术的出现称为“第四次工业革命”也不为过。[1] 新的技术带来新的生活利益,新的生活利益又会产生新的侵犯利益的行为。刑事违法性的原点就是对国民利益的加害,刑法的处罚范围必须反映当代国民的规范意识。[2] 当国民随着数据技术发展享受越来越多的生活利益,刑法自然必须随之对数据时代新出现的利益提供保护,对值得处罚的侵害利益的行为发动制裁。刑法不能面对数据时代新出现的侵害利益的现象袖手旁观,这一点是不言自明的。

问题在于:刑法应当如何回应以数据为对象或手段实施的侵害行为?要回答这个问题,必须首先考虑数据时代的新型侵害行为与刑法既存的传统犯罪之间的关系。两者的逻辑关系大体上存在三种可能性:第一,某种数据性的侵害行为毫无疑问地处于传统自然犯罪的涵摄范围之内,对于这种场合,既不存在解释论上的困难,也不存在立法论上特别探讨的必要;第二,某种以数据技术手段实施的侵害行为能否被传统犯罪涵摄,这一点存在疑问和争议,这时可能可以通过解释论解决处罚的障碍;第三,新型的侵害行为完全不能被既有的犯罪涵摄,这种处罚漏洞就只能通过立法弥补。[3] 在我国对于“数据犯罪”“数据刑法”的研究热潮中,大部分观点的分歧都可以归结于对上述三种情形出现的频率的认识不同:如果认为上述第一种情形是最普遍的情形,那么所谓的“数据犯罪”与传统犯罪就没有实质的不同,应直接将与数据有关的侵害行为化归为传统犯罪;如果认为第二种情况是数据犯罪中最常见的情形,那么往往会主张将“数据犯罪”作为一种新的犯罪分类标准,并且被归属于“数据犯罪”项下的犯罪需要适用与非数据犯罪不同的刑法规则,以消除解释论上的疑问;反之,如果认为第三种情况最常出现,即不论如何解释现有罪名的犯罪构成,都无法涵摄数据时代下的新型侵害行为,那么自然就会得出需要修改或增设刑法条文,并重新构建“数据刑法体系”的结论。

不得不承认的是,目前我国关于“数据刑法”“数据犯罪”的研究大多围绕后两种路径进行。不论是通过立法论还是解释论,“研究者们都希望架构出一套周延的数据罪名体系,将全部数据犯罪网罗其中”。[4] 可是,这样的进路未必是刑法应对数据时代最有益的对策。面对数据时代出现的新型犯罪现象,如果现行刑法实际上并无处罚漏洞,那么以“数据刑法”为名增设新罪的做法就会沦为画蛇添足。如果基于传统自然犯罪得出的传统解释学理论面临新型犯罪时并不存在处罚的障碍,那么将“数据犯罪”提升为单独的犯罪分类就毫无实益,反而会给刑法学者和司法工作人员带来认知上的困惑。再者,如果一面将“数据犯罪”“数据法益”作为新鲜概念推出,另一面又无法说明针对这些法益的侵害行为在刑法适用上与传统犯罪有何区别,那么也只能说明上述概念大体上是多余的。基于上述原因,本文将依次讨论目前立法论和解释论上关于“数据刑法”“数据犯罪”概念的建构,最后基于将所谓的“数据犯罪”化归为传统犯罪的解释进路,提出一些粗浅的思考。



二、 数据性侵害行为并非现行刑法的处罚漏洞



我国部分观点认为,为了规制以数据为犯罪工具或对象的侵害行为,有必要在已有犯罪之外新增一系列“数据犯罪”罪名,而新增的犯罪将在原本的刑法条文之外构成新的“数据刑法”体系。例如,有的观点指出数据安全是独立于既有的信息安全和计算机信息系统安全的新法益,而“以过去的刑法条文规制侵犯了新法益的犯罪行为这一做法是行不通的”,需要在计算机犯罪、信息犯罪之外设立单独的“数据犯罪体系”。具体而言,包括两个基本罪名:其一是非法获取、持有、使用数据罪,其保护法益是数据的保密性;其二是非法破坏、删改、压缩数据罪,其保护法益是数据的权利人可获取性。[5] 类似的观点认为,应当强调数据法益的独立性而非使其依附于传统法益,为此,有必要将数据犯罪从保护传统法益的罪名中排除出去。具体而言,应当取消非法获取计算机信息系统数据罪、删除破坏计算机信息系统罪中关于数据内容处理的罪状,代之,应当设立不区分系统性质的非法侵入计算机信息系统罪,并增设独立的非法制造或传播非法数据罪。[6] 有的观点明确指出现行刑法中数据安全的保护方面存在诸多处罚漏洞,而且这些漏洞无法被解释弥补,因此有必要对数据加以独立保护并在刑法中增设“危害数据安全犯罪”专章,将非法获取计算机信息系统数据罪修改为非法获取、持有网络数据罪,将破坏计算机信息系统罪中的数据犯罪修改为非法破坏网络数据罪,增设非法使用网络数据罪。[7] 还有的观点认为,需要区别地建构针对个人数据的刑法保护体系和针对一般数据的刑法保护体系:对于个人数据而言,现有的侵犯公民个人信息罪主要包括了非法提供和非法获取个人信息两大行为类型,有必要在此基础上增设对非法使用、存储、加工、修改、删除个人信息的刑事处罚,使得针对个人信息权的保护不仅覆盖数据流转阶段,而且贯穿整个数据处理过程;对于一般数据而言,需要在计算机信息系统之外普遍保护一般数据的机密性、完整性和可用性这一新型法益,具体而言,应当在立法上取消特定领域与一般领域的计算机信息系统的划分,弱化非法获取计算机信息系统数据罪的手段条件,对未经授权删除、修改、增加、损坏、限制使用与访问一般数据的行为增设独立的构成要件,并将购买、出售、转移、储存、公开他人非法获取的一般数据的行为纳入刑事处罚。[8] 还有观点认为,应受保护的法益不是数据安全,而是国家数据管理秩序;应当增设非法获取、传输、分析一般数据的犯罪。[9] 


诚然,增设新罪的主张至少在形式上拓宽了处罚范围,似乎具有强化保护数据安全的作用。可是,这一点成立的前提是,所谓“危害数据安全”的行为在现行刑法之内确实存在处罚漏洞。如果“数据”本身不能作为独立的保护对象,拟增设新罪的行为在现行刑法之内原本就成立其他犯罪,那么增设新罪的做法实际上并不能拓宽处罚范围,反而引发无谓的想象竞合或法条竞合现象,最终也难有适用余地。


(一) “数据安全性”难以成为前实定法益



“法益是被承认的构成要件结构和解释的基础。”[10] 要说明必须独立地处罚危害数据安全的行为,其必要条件是说明“数据”本身(而不是载于数据之上的内容)属于应当被立法保护的利益,即前实定的法益。一般而言,主张“数据”作为独立保护对象的观点承认数据的保密性(confidentiality)、完整性(integrity)和可用性(availability)构成数据安全的三个要素(数据保护的“CIA标准”),而由上述三个要素构成的“数据安全性”得以成为不依附于任何其他法益、值得受到刑法独立保护的利益。[11] 可是,这一点似乎难以成立。

第一,数据本身不属于人的利益,唯有数据承载的具体内容才具有价值。“所有的法律,没有不为着社会上某种利益而生,离开利益,即不能有法的观念的存在。”[12] 利益的本质在于满足人的需求,而侵害利益的行为则使得人的需求得不到满足。就数据而言,几乎没有人会因为“0”和“1”组成的比特阵列而感到欣喜和满足,也不会有人因为比特阵列的变化、电路的通断而感到恐惧或不安。这是因为,“所谓的电磁记录,基本上就是二进制的电子信号,其自身并不具有‘意义’。”[13] 对人而言真正有意义的,是按特定规律排布的数据所蕴含的内容,如存储于数字载体上的姓名、身份证号、账户的账号和密码。如果变更、获取数据的行为并不能改变或泄露数据所蕴含的内容,那么这种在外观上破坏数据完整性、保密性的行为对人的利益就不会产生任何影响。数据承载的内容不同,对应的利益种类也不相同:当存储的内容是公民身份信息时,对应的利益是个人信息;当存储的内容是银行账户的账号和密码时,对应的利益是财产;当存储的内容是国家秘密时,对应的利益是国家秘密的保密性。由此可见,数据不是人的利益,不可能脱离承载于数据的内容讨论利益的有无和种类。

第二,数据安全性并非无条件地值得保护。如果数据本身就是具有独立价值的利益,那么所有数据应当不分种类、内容地受到普遍保护,不应存在例外,任何种类和内容的数据都具有安全性。可是,并非对所有数据的保密性、完整性和可用性的侵害都具有值得刑法处罚的危害性。在数据时代,国民的生活交往无时无刻不产生海量的数据,这些数据中固然包含重要、敏感的部分,但也包含碎片化的、无价值的部分。[14] 例如,分布式(distributive)文件存储是当下常用的数据存储和管理方式,它将一个文件切割为多个块(block)进行存储,同一个文件的不同块通常并不连续存放,甚至不同的块被存放于不同的服务器内;如果不能掌握块的标签及块之间的逻辑关系等上下文信息,则一般无法通过单个块还原整个文件。[15] 在这样的技术背景下,分布式存储中的单个数据块恐怕就难以成为值得刑法保护的数据,难以认为擅自取得单个或多个无法还原为完整文件的数据碎片的行为具有严重的社会危害性(《刑法》第13条)。又如,用户使用HTTPS(Hypertext Transfer Protocol Secure)传输协议浏览网页时,即使行为人擅自截取传输中的数据,也无法破解其原始内容,因为在HTTPS通信过程中客户端和服务器会进行密钥交换,且密钥是随机生成的,中途截取数据的行为人难以还原出被加密的内容。[16] 因此,擅自取得这类基本上无法还原为具体内容的数据,便不具有值得处罚的危害性。还如,系统和应用程序在运行过程中通常会产生许多日志文件和缓存数据,这些数据可能在短期内被用作记录运行错误、提高访问速度,但在长期上没有实质意义,反而可能白白占据存储空间、降低运行速度。破坏或擅自修改这类数据,在外观上似乎也侵害了他人部分数据的“完整性”和“可用性”,但从这些数据的实际用途来看,并不会对他人生活产生任何妨害,甚至用户在使用系统和应用程序的过程中原本就会自行定期清理上述文件。

诚然,反对的观点可能认为,虽然单独的、碎片化的数据是无意义的,但是将碎片化的数据组合起来进行加工、整理和分析,就可能获得有意义的内容;虽然系统日志、缓存文件对大多数普通用户而言没有意义,但对于具有特殊需求的开发者(或破坏者)而言就或许具有特殊的价值。[17] 然而,这一事实恰恰表明,数据及其安全性并非无条件地值得保护,刑法是否需要保护特定范围的数据,这一点正取决于数据的内容和用途。不能武断地认为,因为我国社会已经进入“数据时代”,所以所有数据都必须无条件地受保护。相反,正是因为数据时代下种类、内容、价值各不相同的数据不断产生,所以更有必要根据实质标准确定值得刑法保护的数据的范围。具体而言,决定数据的要保护性的标准,恰恰在于数据的内容和用途是否与国民的个人信息、财产等更具体的生活利益相关。[18] 法益作为刑罚权设定的界限,必须对个人发展或社会系统的运行有用,而不应容许对个人的自由发展或社会机能的发挥完全无益的恣意的处罚存在。[19] 事实上,在“数据刑法”的理论中被举例的侵害数据安全性的现象,所涉及的无不是与个人信息、财产等具体利益密切相关的数据。例如,人们之所以会因为“撞库”案件的出现对数据安全感到焦虑,是因为行为人可以通过“撞库”取得他人网购平台的账号、密码和身份认证信息,[20] 而这些信息可能进一步造成隐私泄漏、财产损失,因而具有一定程度的人格意义和财产性价值;反之,如果行为人获取的是毫无意义的数据碎片,则不大可能引起人们的处罚情绪。否认数据的独立价值并不意味着与数据时代脱节。“刑法相关规范所要保障者,并非单纯的‘电磁记录’本然意义的形式,而是在其具有此种功能时,方属于刑法所要规范的对象。”[21] 在这样的语境下,与其说应把数据这一载体本身作为保护对象,毋宁说只有内容和用途与国民的个人信息、财产、秘密等现实生活利益有关的数据才值得受保护;与其强调“数据”的独立价值,毋宁承认真正受保护的就是国民的隐私安全、财产安全等传统利益。既然不能得出数据应受无条件的、普遍性的保护的结论,就不宜把数据本身认定为独立的保护法益。

第三,将数据作为独立的保护法益,不利于发挥法益的违法性评价机能。法益概念应当具备违法性评价的机能,进而得以通过法益受损的程度评价不法的程度。[22] 例如,存款人擅自修改银行系统的结算数据、从而使自己的存款余额凭空增加数百万元的行为,与债务人擅自删除债权人手机上的聊天记录和转账记录、从而使债权人丧失追讨一千元借款的证据的行为,两者同等程度地破坏了数据的完整性、可用性,可是两者的违法性显然不同,恐怕不会有人认为应当对两者判处相同的刑罚。究其根本,两者不法程度的差异来自所造成的财产损失的数额不同,只有将保护法益归纳为财产,才能说明这一点。反之,如果强调“数据”作为独立的保护法益,则无法说明两种情形的违法性的高低之别。


第四,还有观点指出,可以根据数据的本质、属性、权属及其相关关系对数据法益进行分类和分级,进而对不同种类的数据加以不同程度的保护。[23] 可是,不论如何设定分级与分类的标准,最终似乎只能通过数据是否与传统法益相关这一点决定数据的要保护性,并且基于其他法益受侵害的程度决定对“数据法益”的保护程度。既然如此,“数据法益”就是一个多余的中间概念。或者说,这种观点实际上否认了无条件的、一般性的“数据安全法益”。与其强调个人权利与数据个人权利的区别、社会秩序与数据社会秩序的差异,毋宁说基于数据手段的侵害行为或以数据为行为对象的侵害行为,实际上侵犯的就是财产、隐私、国家秘密等传统自然法益。


(二) “处罚漏洞”源于解释不当



由于数据或者数据的安全性并不是值得普遍保护的法益,所以现实生活中令人感觉到有必要处罚的、利用数据技术手段实施的侵害行为,本质上其实是针对其他传统法益的侵害或威胁行为。刑法解释的容许范围需要结合保护法益和处罚的必要性加以确定,某种行为越是严重地侵犯了条文的保护法益、处罚的必要性越高,就越可能被解释为具备构成要件该当性。[24] 因此,既然值得处罚的“数据犯罪”行为侵害或威胁了传统自然犯罪的保护法益,那么基于妥当的刑法解释,这种行为往往也将符合传统犯罪的构成要件,进而可以作为传统犯罪处罚,而不会成为处罚漏洞。(详见后文第四部分)

逆言之,之所以得出“数据犯罪”无法在既有刑法条文中受到处罚的结论,大多是因为采取了不妥当的刑法解释方法。以计算机犯罪为例,之所以部分观点认为数据犯罪必须与计算机犯罪区分,且计算机犯罪无法规制数据犯罪中的处罚漏洞,是因为在一开始就对计算机犯罪的处罚范围做了过于限缩的解释,而这些限缩性的要求在刑法上未必是有意义的。例如,有的观点认为,对于非法获取数据的行为,我国《刑法》第285条第2款虽然规定了非法获取计算机信息系统数据罪,但是仅处罚获取国家事务、国防建设、尖端科学技术领域“以外的”计算机信息系统数据的行为,而没有全面地处罚一切非法获取数据的行为,所以针对“非法获取这三类重要数据反而出现立法保护的空白”。[25] 可是,完全可以认为,本款规定的“以外”属于不征表不法的表面的构成要件要素,所以本款的“以外”不是成立非法获取计算机信息系统数据罪的必要条件。[26] 易言之,由于被侵犯的计算机信息系统属于“国家事务、国防建设、尖端科学技术领域”的事实是征表不法的要素,所以计算机信息系统不属于上述范围的事实,则是不征表不法的虚假要素,这种要素无论是否具备,都不影响犯罪的成立。刑法之所以作此规定,是为了提醒司法工作人员注意,对于“国家事务、国防建设、尖端科学技术领域的计算机信息系统”,只要侵入就构成非法侵入计算机信息系统罪的既遂(第1款);但是对于上述范围以外的计算机信息系统,必须获取数据或非法控制才成立既遂(第2款)。显然,这并不是说非法获取上述三类重要数据的行为不能构成非法获取计算机信息系统数据罪,恰恰相反,上述规定是为了加强对三类重要数据的保护。

又如,部分观点认为,虽然《刑法》第286条第2款规定了删除、修改、增加数据的犯罪(作为破坏计算机信息系统罪的一种情形),但本罪作为针对计算机信息系统的犯罪,必须造成计算机信息系统不能运行才符合犯罪的构成要件,[27] 或者说,“删除或者篡改数据,只有采用非法侵入计算机信息系统的方法,才能构成破坏计算机信息系统罪”。[28] 于是,对于删除、修改、增加了数据但没有造成计算机信息系统不能运行的情形,就存在处罚漏洞。诚然,如果认为数据本身不是值得保护的法益,删除、修改、增加数据的行为就必须侵害计算机正常运行的机能这一更具体的利益,才具有值得处罚的违法性。可是,没有理由对“计算机信息系统不能运行”作出过于严苛的解释,不能认为虽然计算机对于当前数据的处理给出了错误的结果,但只要将来可以正确计算数据,其正常运行的机能就没有遭到破坏。“破坏包括损害财物的效用的一切行为。”[29] 计算机的效用体现为满足人的某种需要,而非仅仅止于依照物理规律控制电路通断的这一自然属性。所以,对于计算机信息系统而言,不能认为其效用或正常运行的机能体现于计算结果在数学上的准确性,而是表现于计算机输出的结果是否符合使用计算机处理事务者原本预设的目的。[30] 如果计算机输出的内容违背了设立计算机以处理事务的目的,那么就应当认为其正常运行的机能或效用遭到破坏。例如,行为人违规将中国移动、中国电信的大宽带流量资源外拉转售,运营商为了制止这种行为,配置了流量监测平台并使用“探针流量”的方法探测是否存在违规外拉,行为人为了避免被运营商发现,自行配置了服务器、交换机以干扰、屏蔽探针流量,使得运营商监测平台中的计算机无法获得探针数据,无法发现违规行为。对此,部分观点认为行为人虽然屏蔽了运营商设置的探针,但没有侵入运营商的计算机信息系统本身,因此不构成破坏计算机信息系统数据罪。[31] 可是,探针流量作为一种数据,确实遭到了删除或修改;行为人诚然不能接触运营商控制的计算机信息系统本身,但是计算机用于监测违规外拉行为的效用已经受到破坏,这违背了计算机管理者设置该计算机所欲实现的目的,因此计算机正常运行的机能确实遭到破坏。从这个角度来看,并不存在否认破坏计算机信息系统罪的理由。


还如,有的观点指出,现行《刑法》缺乏处罚非法使用(滥用)数据的规定,因而存在处罚漏洞。[32] 可是,如果对计算机信息系统的效用进行实质的理解,那么基本上不可能在不破坏计算机信息系统正常运行的机能的前提下滥用数据,因而这种行为大多仍可被破坏计算机信息系统罪涵摄。例如,行为人在代办车辆违章业务时,使用换脸软件向系统提供他人脸部图像,使系统将行为人实名认证为他人身份,并最终导致他人的驾驶分数被扣除。[33] 原案认定为非法侵入计算机信息系统罪。对此,行为人将他人的人脸图像提供给交管系统的行为显然增加了计算机信息系统存储、处理的数据;在此基础上,计算机使用者(交管工作人员)设置计算机所预设的目的实质上已被违反,因为系统本应设置给交通违章者本人处理自己的交通违章,但在上述案件中,行为人增加的数据导致计算机信息系统不能正确识别违章者的真实身份,不能认为计算机仍在“正常”运行。因此,诸如此类的滥用数据行为大体上仍能被破坏计算机信息系统罪所规制。


(三) 增设新罪可能造成法律适用障碍



由于以数据为工具或对象的侵害行为往往原本就构成其他犯罪(除了前文指出的计算机犯罪以外,还包括财产、文书等犯罪,详见后文第四部分),所以即便增设新罪,也会因为竞合等原因而难以适用。所谓干扰、篡改数据的行为,往往也构成破坏生产经营、故意毁坏财物等罪。例如,行为人制售游戏外挂,使玩家得以关闭游戏客户端的保护程序、修改游戏数据并将虚假的数据发送至服务器,从而在游戏中获取不正当的优势。[34] 如果将“数据”作为独立的保护法益,这种行为固然破坏了数据的真实性、完整性;可是,从结果来看,这种行为更直观的侵害体现为破坏网络服务商的网络产品和经营活动,应当构成破坏生产经营罪。[35] 因此,即便将数据的安全性视作独立的保护法益,针对数据的侵害行为也往往离不开针对数据所承载的个人信息、财产、秘密等其他法益的侵害,由于只有一个行为,所以根据想象竞合的原理只能择一重罪处罚。[36] 即便可以将对数据的侵害和对其他法益的侵害区分为多个行为,行为之间也因存在手段·目的关系而构成牵连犯,只能择一重罪处罚。“对电磁记录的侵害行为,其真正所侵害者,已经不是电磁记录本身而已,而是对于其功能的侵害,或许是一种具有文书属性的功能侵害,也可以是对于财产利益的侵害,此时电磁记录仅是行为侵害目的的一种媒介而已”。[37] 如果传统自然犯罪的情节更严重,根据传统犯罪所量定的刑罚更重,那么择一重罪处罚的结果当然是只处罚传统犯罪的部分;如果增设的“数据犯罪”与传统犯罪所量定的刑罚相当,那么结局上的处罚与仅适用传统犯罪的处罚是相同的,增设“数据犯罪”就成了多余的举措;如果为新设的“数据犯罪”配置高于对应的传统犯罪的法定刑,从而使其有适用余地,那么这一刑罚配置本身就不妥当,因为对“数据安全性”的保护只是对数据所承载的个人信息、财产、秘密等传统法益保护的媒介和手段,侵害“数据安全性”所具有的不法和责任不可能超过对个人信息、财产、秘密等传统法益的侵害所具备的不法和责任,自然不应当对前者规定高于后者的法定刑。

另外,增设“数据犯罪”会在共犯等场合造成法律适用障碍。例如,甲设置钓鱼网站获取被害人银行账户的账号和密码,并提供给乙使其得以登陆被害人网银划转被害人账上的存款;如果仅考虑财产犯罪,那么很容易得出乙构成盗窃罪的正犯,[38] 而甲构成盗窃罪的共犯或共同正犯的结论。可是,如果增设所谓“数据犯罪”并认定甲同时构成非法获取数据的罪名,那么对甲的处理就产生了疑问:如前所述,由于需要增设的“数据犯罪”属于前置性的保护,针对数据犯罪量定的刑罚通常轻于后续的财产犯罪,如果在上述场合优先适用数据犯罪的规定,那么处罚的结局便轻于通常的盗窃罪共犯,这反而放纵了使用数据技术手段实施的参与盗窃行为;[39] 如果不适用数据犯罪的规定,而适用处罚更重的盗窃罪的规定,那么增设数据犯罪就成了多余的举措;如果两罪处罚相当,并优先适用数据犯罪的话,那么针对这种情形的处理与按盗窃罪处理在结局上没有任何不同,增设数据犯罪依然是多余的举措。因此,对于传统犯罪可以处理的情形,增设新的数据犯罪不但不能扩张处罚范围,反而可能造成重罪轻判的局面,并不妥当。



三、 “数据犯罪”并非解释论上的必要概念

除了增设新罪的主张以外,当前还有相当的观点主张将“数据”或“数据安全性”作为实定法益,并将现行刑法中保护数据法益的特定罪名(或部分罪名中的特定情形)归纳为“数据犯罪”。有的观点认为,有必要将数据犯罪的保护法益与“计算机信息系统安全”区别开,数据安全法益是基于数据自身内容、使用价值和侵害风险所进行的独立规范评价;由于非法获取计算机信息系统数据罪以及破坏计算机信息系统罪的第2款罪属于数据犯罪,因此应当根据数据安全法益重释其构成要件,并且将数据本身的数量、类型、性质作为量刑情节。[40] 也有观点指出,数据法益是多种利益的集合体,既可以分为数据人格法益、数据财产法益和数据安全法益,也可以分为个人数据法益、企业数据法益和公共数据法益,因此侵犯公民个人信息罪、侵犯数据财产的财产犯罪以及破坏计算机信息系统罪中非法删除、修改、增加数据的情形都属于数据犯罪,但有必要将非法删除、修改、增加数据的行为单独分离出来,设置为破坏公共数据罪。[41] 还有观点指出,数据刑法体系中存在数据的本体法益和功能法益,其本体法益就是对数据本身的保密、完整、使用上的权利,包括非法侵入计算机信息系统罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪等;其功能法益是数据所承载的个人信息权、财产权、商业秘密等利益,包括盗窃罪、侵犯商业秘密罪、侵犯公民个人信息罪等传统罪名中与数据有联系的情形;同时触犯本体法益和功能法益罪名的,应根据行为数量认定为想象竞合或数罪并罚。[42] 


(一) “数据安全法益”缺乏刑法根据



法益“体现了刑法立法目的,这一目的内涵于构成要件中,通过构成要件得以体现”。[43] 从现行刑法规定的各种构成要件来看,独立于数据载体承载的具体内容的“数据安全”并非受现行刑法保护的实定法益。因此,所谓的“数据安全法益”难以成为解释论上的分类根据。

第一,盗窃、诈骗、侵犯公民个人信息等传统犯罪的保护法益显然不是“数据安全”。诚然,在当下的信息时代,盗窃等犯罪有可能利用信息技术手段实施。但是,保护法益应当“与具体犯罪的构成要件、不法程度相融洽,从而使保护法益与构成要件保持协调一致,而不存在任何例外”。[44] 既然存在很大一部分与数据技术、数据安全完全没有关系的盗窃、诈骗等行为,就不能将“数据安全”加入传统犯罪的保护法益之中。否则,保护法益的归纳就显得不融洽,且无法解释为何仅侵犯财产法益的行为与既侵犯财产又侵犯数据安全的行为可以适用完全相同的罪名和法定刑。此外,由于现行刑法没有区分盗窃与数据性盗窃、诈骗与数据性诈骗,没有分别规定不同的罪名、构成要件和法定刑,所以不宜在传统犯罪内部区分数据型与非数据型的情形,并分别归纳保护法益和构成要件。

第二,计算机犯罪的保护法益不是“数据安全”。大多数与计算机有关的罪名,规定了计算机运行机能的损害作为构成要件结果,或者规定了人身、财产、社会秩序的损害作为构成要件结果。例如,破坏计算机信息系统罪的第1款规定了“计算机信息系统不能正常运行”的结果,第3款规定了“影响计算机系统正常运行”的结果。又如,拒不履行信息网络安全管理义务罪规定了违法信息大量传播、个人信息泄露、刑事案件证据灭失等结果。非法利用信息网络罪、帮助信息网络犯罪活动罪,也与此类似。显然,如果“数据安全”是受现行刑法保护的独立法益,那么只要行为危害数据安全,就应当作为犯罪处罚,不需要加入其他法益侵害作为处罚根据,也不应当规定数据侵害以外的构成要件结果。然而,数据安全法益的视角无法解释现行刑法对大部分计算机犯罪规定的构成要件结果。


第三,对于非法获取计算机信息系统数据罪,以及破坏计算机信息系统罪的第2款行为(对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作),不宜认为其保护法益是数据安全。事实上,主张现行刑法内规定了数据犯罪的观点,大多认为上述两类行为属于侵害“数据安全法益”的数据犯罪。[45] 问题是,这些犯罪并非无条件地、普遍地保护所有数据,而是限于保护计算机内的数据。从“数据安全法益”的视角来看,这样的限制并不公平。数据完全可能在计算机信息系统以外的载体内存在,例如,数据可能位于U盘、磁卡等独立的载体中,行为人擅自破坏、修改、增加U盘、磁卡等不与计算机连接的数据的行为,同等程度地侵害了数据的完整性、可用性。假如“数据安全法益”果真是现行刑法希望保护的实定法益的话,刑法就应当将获取、删除、修改、增加计算机以外的载体的数据的行为也规定为犯罪,但这一推论与我国现实的立法并不相符。由此可见,对于非法获取计算机信息系统数据罪以及破坏计算机信息系统罪的第2款,它们之所以处罚非法获取、删除、修改、增加计算机信息系统数据的行为,不是为了保护独立的数据安全性,而是为了保护计算机信息系统的正常运行。


(二) “数据犯罪”概念缺乏解释论意义



不将保护法益作为根据,而是根据犯罪对象和手段是否涉及数据技术这一标准,将部分犯罪归纳为“数据犯罪”或许是可行的。但是,这种归纳在刑法解释论上缺乏意义,“数据犯罪”这一行为的集合不利于指导刑法解释。

如同犯罪构成体系一样,如果单纯基于自然事实上的分类观察,简单地从大量犯罪的自然特征中步步抽象形成犯罪的概念,就可能阻塞教义学与刑事政策价值选择之间的联系,并阻塞了与社会现实的联系,一个有效益的体系应当与现实相联系并以刑事政策上的目标设定作为指导。[46] “在这个世界上,人们就是用概念对世界上的各种现象进行分类,然后按照这种分类进行管理。”[47] 如果“数据犯罪”“数据法益”有必要作为一个独立的刑法学概念,或者有必要成为一类犯罪的集合,那么属于这一概念之下或位于这一类别之内的行为必定在犯罪的成立条件和法律后果上与其他行为有所不同,从而这一概念或分类在刑法适用上具有指导作用。可是,“数据犯罪”“数据法益”之类的说法并不能实现这一点,被归属于“数据犯罪”之内的行为并不具有某种影响刑法适用的共性。

第一,“数据犯罪”的概念包含了大量性质各不相同的行为,“数据犯罪”“数据法益”不但不能解释这些行为在刑法适用中的共性,而且淹没了它们在刑法上的性质差异。以非法获取数据的行为为例,取得国家机关存储的载有国家秘密的数据与取得私人存储的载有个人信息的数据的行为都破坏了数据的安全性,可是前一行为破坏的是公的利益,不可能被任何人的承诺阻却违法性;而后一行为侵害的是私的利益,如果个人信息权的享有者做出了有效的承诺,则取得数据的行为不具有违法性。但是,如果把行为侵害的利益表述为“数据”或“数据安全性”,则无法反映上述两类行为的区别,无法解释为何有些取得数据的行为可以被个人的承诺阻却违法性,而有些则不可能由被害人承诺阻却违法。唯有将保护法益更具体地归纳为国家秘密(公法益)与个人信息(私法益),才能说明两种行为在刑法上的性质差异。此外,“数据法益”的概念也无法反映不同类型的犯罪在罪数上的不同性质。由于法益侵害结果是发动处罚的根据,所以法益侵害的个数决定了罪数论上应当对行为人做出评价的次数。[48] 如果行为人非法获取某企业数据库中的同一批数据,其中既包括公民个人信息、又包括商业秘密,那么从“数据法益”的角度来看,行为人似乎只造成了一次数据法益受侵害的结果,因而只能认定为一个犯罪。可是,从传统法益的视角来看,行为人分明造成了两个法益侵害结果,其中一个针对作为人身法益的个人信息,另一个针对作为财产法益的商业秘密;因此,如果两个法益侵害结果是同一行为造成的,则应认定为想象竞合,如果是多个行为造成的,则应实行数罪并罚。归根到底,上述情形中的数据不过是行为对象,其蕴含的法益在不同场合是不一样的,因此不能仅基于行为对象的相似归纳犯罪类型。

第二,上述观点鲜少说明“数据犯罪”在因果关系的认定、故意的认定以及共犯关系的认定等问题上与传统犯罪有何区别。事实上,难以想象对数据犯罪在因果关系和结果归属上提出更宽松(或更严格)的要求,也不可能主张在数据犯罪中对行为人完全没有认识的结果成立故意。所以,“数据犯罪”并不是需要适用与普通犯罪不同的刑法规则的犯罪类型。或许,强调数据法益的独立性,是为了说明对数据的侵害区别于对信息、计算机的侵害,从而说明在认定非法获取计算机信息系统数据罪、破坏计算机信息系统罪时不应将“影响计算机信息系统功能的正常运行”作为必要条件,而应围绕数据的保密性、完整性、可用性理解获取、删除、修改、增加数据的行为。[49] 但是,如前所述,只要对“计算机信息系统的正常运行”做实质的理解,即计算机运行的正常性表现为设置计算机处理事务者原本预设的目的照常实现,[50] 那么即便将“计算机信息系统的功能”作为保护法益,也不至于形成处罚漏洞。亦即,成立破坏计算机信息系统等罪并不要求造成计算机信息系统对所有数据都不能正确处理的结果,只需要在其中一笔数据的处理中使管理者设置计算机的目的不能实现。加之,强调“计算机信息系统功能的正常运行”而非数据独立的保密性、完整性和可用性,有利于在相关犯罪中重视对被害人意志的判断,从而合理界定处罚范围。以利用爬虫程序爬取竞争对手提供的公开数据的行为为例,对于正常使用竞争对手开发的应用的普通客户而言,其使用该应用时手机、电脑等计算机系统也将自动访问、请求、获取应用开发者设置的服务器上的数据,从而运行该运用;因此,在获取数据这一点上,利用爬虫程序爬取对手的数据与正常使用的过程中访问、取得服务器上的数据,似乎没有本质的区别,既然正常使用的情形不属于侵害数据的保密性、完整性和可用性,那么使用爬虫程序批量、快速地获取相同范围内的公开数据的行为,恐怕也难以认定其侵害了数据的安全性。事实上,两种行为的区别正在于是否违反竞争对手设置计算机处理事务的目的。应用的开发者设置服务器并向访问服务器的客户端提供数据,其预设的目的当然是向正常使用应用的客户提供相关服务,而不是供自己的竞争对手批量下载数据并上传于自己的产品之上。因此,从使用者预设的目的来看,前者不影响计算机信息系统的正常运行,但后者破坏了其正常运行。可是,如果以数据本身的保密性、完整性作为判断的基点,则难以说明上述两种情形的差别。

第三,提出“数据犯罪”“数据法益”的概念,还可能是为了提请注意传统犯罪中涉及数据的对象依然具有要保护性,不能因为对象不属于有体物就否认犯罪的成立。例如,承认数据财产法益,是为了说明数据的控制权、开发权、许可使用权等仍属于财产性利益,因而得以成为盗窃、诈骗、故意毁坏财物等罪的对象。[51] 诚然,“由于生活利益的不断变化,法益的数量和种类也随之发生变化。”[52] 因此,将虚拟财产和有价值的数据记录作为财产犯罪的对象,进而将其纳入刑法保护范围,在结论上当然值得赞同。但是,这并不代表“数据财产犯罪”需要作为独立于财产犯罪的一个犯罪类型,也不能说明“数据财产法益”需要独立于财产法益本身。事实上,要强调虚拟财产等对象的要保护性,就应当直接说明虚拟财产符合财产犯罪中“财产”的定义,例如说明虚拟财产具有价值性、转移可能性和管理可能性;[53] 相反,在传统的财物和财产性利益的概念之外建立“数据法益”的概念,先说明窃取、骗取、毁坏虚拟财产的行为构成“数据犯罪”或侵害“数据法益”,再说明“数据犯罪”中包含了一部分应当作为财产犯罪处理的情形,最后得出侵害虚拟财产的行为构成盗窃、诈骗、故意毁坏财物等罪,这样的说明路径存在迂回、多余之处。

总之,依据案件的自然事实,将涉及数据技术手段的犯罪行为作为一种犯罪的类型归纳起来,在犯罪学或社会学上或许是可行的。但是,犯罪学与刑法学的目的不同,不能直接把犯罪学概念作为刑法适用中的大前提或小前提。[54] 至少从目前被归纳为“数据犯罪”的行为类型来看,这类案件在适用现行刑法的过程中,其刑法适用规则与普通犯罪相比没有明显的不同。只要实质解释既有罪名的构成要件,就能直接说明涉及数据技术手段的侵害行为该当构成要件,而不需要先说明某行为属于“数据犯罪”,再论证该行为该当刑法规定的特定罪名。



四、 数据性侵害行为化归为传统犯罪



基于上述讨论,数据和数据的安全性本身不足以成为无条件受保护的利益,对于值得处罚的侵害数据的行为或者以数据技术为手段的侵害行为,实际上受到损害的、值得保护的法益依然是个人信息、财产等传统自然法益;在这些犯罪中,数据(技术)不过是行为对象或手段而已。因此,既不需要先限制解释既有犯罪的成立范围、再主张制定新的“数据犯罪”罪名,也不需要将既有罪名的保护法益解释为数据安全性或数据管理秩序,更不需要先将一类侵害行为归纳为“数据犯罪”、再分流为破坏计算机信息系统或盗窃等罪。相反,应当根据行为造成的实害或危险的法益种类,通过实质解释传统自然犯罪的构成要件,直接在传统犯罪的构造内处理。在这个意义上,涉及数据技术的犯罪行为完全可以化归为传统犯罪。

诚然,不论是引入数据犯罪、数据法益概念的做法,还是直接化归为传统犯罪的做法,犯罪判断的结论在很多场合往往是一样的。尽管如此,不能认为两种思路只有表述上的差异,两种论证方法的区别不只是用语的不同。一方面,“数据犯罪”与传统犯罪一体化解释的路径更明确地反映了行为侵害的法益种类,更明快地揭示了实质违法性。例如,将某些数据性的侵害行为直接解释为财产犯罪,就可以明白地揭示行为侵害的法益是财产,进而通过财物数额反映违法性的程度。相反,如前文所述,由于独立的“数据安全性”既不是前实定的法益,也不是实定法益,因而通过基于犯罪对象、手段等特征归纳出的“数据犯罪”概念,无法直接明了地发现其真正侵害的法益种类和程度。此外,就像前文指出的那样,如果不能揭示行为真正侵害的法益种类,而是止于“数据法益”的概念之前,就难以在共犯、罪数等问题上得出妥当的结论。另一方面,将“数据犯罪”行为直接在传统犯罪的框架内解释的做法更简洁、更经济。不同的分析思路都仅是刑法理论的一部分,而不是现实世界里的物,它们不存在绝对的正确与否,衡量它们优劣的标准无非就是这些思路是否好用。[55] 在现行刑法下,将某种行为认定为“数据犯罪”以后,最终依然需要根据传统犯罪的构成要件,决定将其涵摄为哪个罪名。既然如此,比起多建立一道“数据犯罪”的中间判断步骤,直接进行传统犯罪的涵摄显然是更便捷的做法。


除了前文讨论的损害计算机信息系统正常运行机能的情形以外,目前利用数据技术手段侵犯的法益大多涉及财产、文书信用、个人信息与秘密。因此,基于实质解释的立场,应当直接将所谓的“数据犯罪”行为与传统自然犯罪的构成要件相对照,考虑新型侵害行为是否位于构成要件可能的语义范围之内。本文将以上述三类犯罪为例,讨论涉及数据技术的侵害行为化归为传统犯罪的解释方法。


(一) 财产



我国《刑法》分则第五章规定的财产犯罪大多以“公私财物”为对象,并不区分有体物与财产性利益。而现代社会广泛存在大量值得保护的财产性利益,如存款债权、微信/支付宝内的余额,在很多场合财产性利益甚至比有体财物更有价值、流通性更广,更具有受刑法保护的必要,所以不可能将第五章所规定的“公私财物”限制解释为有体物,并得出侵犯财产性利益不构成财产犯罪的结论。相反,只能认为“公私财物”包括财产性利益在内。又因为我国《刑法》规定的盗窃、(职务)侵占、故意毁坏财物等罪的行为对象均为“公私财物”,所以,不同于德国、日本对财产罪对象的限制,在我国盗窃利益、(职务)侵占利益、毁坏利益的行为都是可罚的。[56] 

如果征表特定内容的数据具有财产价值,那么只要侵害数据的行为符合财产犯罪的构造,就可以作为财产性利益受保护。诚然,数据与传统的有体财物并不完全相同,数据可以被非排他性、非消耗性地使用,行为人非法获取他人数据的行为通常并不耗损他人对数据的占有和支配,行为人非法使用他人数据时通常也并不妨碍权利人对同一数据的使用。[57] 在这个意义上,侵害数据的行为似乎难以构成移转罪或毁坏罪。但是,对于数据上附着的更抽象的财产性利益,则有认定其占有、支配地位发生转移的可能。以利用爬虫软件爬取竞争对手数据的情形为例,被告人与被害人经营同类公交软件,软件的用途是为乘坐公交者提供公交到站信息,由于被告人开发的软件所提供的信息的准确度不高、软件使用率不佳,于是被告人直接利用爬虫技术获取被害人软件服务器提供的公交到站信息,并无偿发布于自己开发的公交软件上,以提高自己软件的市场占有率。[58] 原判认定为非法获取计算机信息系统数据罪。承载于数据之上的、经搜集整理的公交到站信息诚然是一种财产性利益,但是被告人利用爬虫软件取得他人搜集整理的公交信息的行为并不能构成对公交信息(数据)本身的盗窃罪,因为取得他人数据的行为并不剥夺他人对数据的占有,被告人在自己开发的软件上发布数据的行为并不妨碍被害人继续利用数据。但是,如果不着眼于数据本身,而是考虑“所提供的公交到站信息在相关市场内的唯一性”这一更抽象的财产性利益,则有认定占有转移的余地。众所周知,产品和服务的价值不仅体现于自身的效用,而且体现于它在相关市场内的稀缺性,因此财产性利益在相关市场的唯一性(或稀少性)可以成为独立于本身效用之外的另一种财产性利益。被告人利用爬虫软件获取他人数据的行为,当然破坏了他人提供的公交信息在相关市场中的唯一性(或稀少性),进而自己发布上述信息的行为为自己的软件增加了竞争优势;财产性利益的素材同一性表现为损失与利得之间的对应关系,[59] 上述情形中,被害人的稀缺性的损失与被告人市场优势的利得之间显然是对应的,被害人提供的服务之所以不再稀缺正是因为被告人免费发布了完全相同的公交信息。因此,即便不考虑数据犯罪和数据法益,这类情形原本就可以在盗窃罪的构造内解决。[60] 


此外,由于我国《刑法》在原则上全面处罚预备犯,所以所谓的“数据犯罪”行为还可能构成财产犯罪的预备犯。例如,行为人通过“撞库”获取他人姓名、身份证号、住址、银行卡或其他支付账户的账号密码,但行为人的目的通常并不止于获取这些信息本身,而是利用被害人的账号密码划转被害人账户内的资金,或者利用被害人的身份证号、住址等个人信息实施诈骗。如果得以查明行为人具有进一步实施其他犯罪行为的目的,那么通过“撞库”获取载有上述信息的数据的行为就属于为盗窃、诈骗等罪准备工具、制造条件,可以按盗窃、诈骗等罪的预备犯处理。不过,现实的“撞库”案件中,行为人通常并不计划自己进一步实施盗窃或诈骗行为,而是将“撞库”所得的数据提供给他人实施上述行为,但这一点并不阻却预备犯的成立。这是因为,预备犯既包括自己预备罪,还包括为他人将来实施犯罪而实施的他人预备罪。[61] 如果得以查明行为人明知他人可能要实施盗窃、诈骗等行为,依然通过“撞库”取得上述数据提供给该他人,则可按盗窃、诈骗等罪的预备犯处罚;在被预备的他人实际着手实行盗窃、诈骗的场合,对于“撞库”提供数据者应按盗窃、诈骗或者其未遂犯的共犯处罚。


(二) 文书



通常认为,“文书是通过文字和其他可视、可读的符号在一定的物体上表达意思或观点,并在一定期间内维持存续状态的东西”。国民正是因为信赖文书的真实性,相信文书反映的权利义务关系,所以才能开展相互的交往;如果国民不得不对文书记载的内容事事调查,社会生活就会陷入停滞。[62] 所以,保障文书所记载的内容的真实性,很有必要。传统观点普遍认为数据(电磁记录)无法用视觉直接感知,因此不属于文书。[63] 我国台湾地区将电磁记录规定为“准文书”。[64] 德国、日本刑法则在文书相关的犯罪之外规定与电磁记录相关的罪名。[65] 可是,在数据时代,完全可能认为存储、固定于载体之上的数据是文书的一种:一方面,虽然浏览数据所依托的显示器上的影像、音箱中的声音不是固定的实体,并非持续存在,但存储数据的载体(硬盘等)确实是固定且具有实体的、稳定存在的,所以数据载体符合文书的存续性要求;另一方面,虽然固定于存储载体上的数据无法被直接感知,但在计算机、手机、平板等读取设备普及的今天,利用随手可得的电子设备读取载体中的数据与直接用视觉感知纸面上的数据,似乎没有什么本质的区别。亦即,读取数据内容的过程需要利用普及、便捷的工具设备这一点,不应阻却数据的可视、可读性,仍然应当认为数据符合文书中的可视、可读的要求。[66] 

因此,对于其内容足以构成国家机关公文的数据,对其加以篡改的,构成伪造、变造国家机关公文罪;对其本质性内容加以删除的,构成毁灭国家机关公文罪。我国暂时不存在普遍处罚伪造、变造国家机关公文以外的私文书的罪名,但存在保护部分私文书真实性的规定。[67] 例如,篡改、删除生产、作业中有关违反安全管理规定的数据的,构成危险作业罪;伪造、篡改有关资产评估、验资等方面的数据并提供虚假证明文件,情节严重的,可能构成提供虚假证明文件罪(对特定私文书的无形伪造)。


此外,虽然行为人自己增加、删除、修改的数据不构成文书,但是最终使得有权制作文书的人错误地作出内容虚假的文书的,构成(无形)伪造文书犯罪的间接正犯。例如前述在处理交通违章时利用换脸软件将他人的人脸信息上传于系统,并最终使他人被按交通违章处理的情形,由于被盗用人脸信息的人实际上没有交通违章,所以交警作出的交通违章处理决定的内容实际上是虚假的,行为人通过上传他人的人脸信息使作出决定的交警对违章者的身份产生错误认识,并基于错误无形伪造了国家机关公文,行为人利用、支配了交警的行为,因而构成伪造国家机关公文罪的间接正犯。[68] 


(三) 个人信息与秘密


数据的内容除了具备财产性价值和具有证明作用以外,还有可能构成个人信息、国家秘密或商业秘密。对个人信息及秘密的侵害主要体现为破坏其保密性、不可知性。因此,非法获取、提供上述内容的数据的,可能构成侵犯公民个人信息罪、非法获取国家秘密罪和侵犯商业秘密罪。



有的观点认为,《刑法》第二百五十三条之一对于公民个人信息的保护仅着重于获取和提供信息的行为,因此对非法使用、非法分析公民个人信息的行为存在处罚漏洞。[69] 可是,所谓的处罚漏洞完全可以通过实质解释本罪的构成要件抹除。一方面,所谓“非法使用”的情形,大体上是指行为人先以特定范围内的用途为名取得被害人授权,从而获取其个人信息,然后超出承诺的范围使用其个人信息;正是因为存在形式上的获取信息的授权,行为人又未将上述信息提供给他人,所以部分观点才得出这种行为既不属于“非法获取公民个人信息”、又不属于“向他人出售或者提供公民个人信息”的结论。可是,被害人承诺(授权)有效的前提是承诺反映被害人的真实意志,而不是基于错误、无知做出的;如果个人信息的真实用途对被害人授权的动机有重大的影响,如果被害人知道真相的话就不会同意行为人获取其个人信息,那么被害人基于错误做出的承诺(授权)就是无效的,[70] 行为人获取其个人信息的行为依然具有违法性(或者说,依然符合“非法”获取公民个人信息这一构成要件)。可见,所谓的“非法使用”行为可以作为阻却被害人承诺(授权)效力的因素,从而按非法获取公民个人信息的情形处罚。另一方面,所谓的“非法分析”实质上也符合非法获取公民个人信息的构造。例如,行为人基于有效授权获取被害人的行动轨迹信息,然后在缺乏授权的情况下擅自分析其行动轨迹,进而推测出被害人的家庭住址、工作单位等信息。在这种情形中,家庭住址、工作单位方面的信息与行动轨迹方面的信息不具有同一性,行为人原本并不掌握被害人的住址、单位情况,推测得出上述个人信息的过程也属于“获取”的一种,显然获取这些信息并没有得到被害人的授权,因而可以按非法获取公民个人信息的情形处罚。



五、 结语

现代科学研究遵循“奥卡姆剃刀”法则,亦即应当祛除一切认识事物冗杂的预设,“切勿浪费较多东西去做用较少的东西可以同样做好的事情”,如果两个理论可以得出相同的结论,那么简单的那个更好。[71] 对于法学研究而言也是如此。如果提出一个新概念无益于更妥当地适用刑法,无论有无这一概念,犯罪认定的结论都没有明显改变,那么就不应当引入、使用这一概念,徒增刑法体系的繁琐。数据时代的到来伴随着对象、手段新颖的利益侵害行为,但这并不必然代表刑法出现了处罚漏洞或处罚障碍。“为了实现刑法的正义,我们必须尽可能地在不违反罪刑法定原则的前提下,减少和避免刑法的漏洞。不要以为,能够‘证明’应当作为犯罪处理而实际上不能被作为犯罪处理的现象越多,罪刑法定原则的胜利就越辉煌。”[72] 对于以数据为对象或者利用数据技术手段实施的侵害行为,应当首先考虑在传统刑法解释学的框架内实现妥当的处罚;不论是立足立法论还是解释论,都不应首先考虑脱离传统自然犯罪的构造并建立一套全新的“数据刑法”“数据犯罪”的体系和术语。基于讨论,难以认为数据本身足以成为值得被独立保护的法益,因此,令人感觉有处罚必要的“数据犯罪”行为,实质上都是针对个人信息、财产、文书信用、秘密、计算机正常运行机能等传统自然法益的犯罪,而数据(技术)本身只是传统犯罪中的一种对象或手段。只要实质、扩大地解释传统犯罪的构成要件,就能实现对新型侵害行为的合理处罚。在这个意义上,所谓的“数据犯罪”与传统犯罪得以一体化地适用刑法,除了新颖的外观与形式外,从其侵害结果来看,两者没有本质的差别。所谓的“数据犯罪”行为并不存在特殊的刑法适用规则,也没有必要先将上述行为归纳为“数据犯罪”再分流到各个传统罪名当中。因此,不得不承认“数据法益”“数据刑法”“数据犯罪”等概念对于刑法适用而言恐怕都是多余的。

注释:

[1] 参见高奇琦:《人工智能、四次工业革命与国际政治经济格局》,载《当代世界与社会主义》2019年第6期,第16页。

[2] 前田雅英『刑法総論講義』(東京大学出版会,2015年)30頁参照。

[3] 渡辺卓也『ネットワーク犯罪と刑法理論』(成文堂,2018年)2頁参照。

[4] 庄劲:《开放的中国数据刑法体系之建构——基于本体法益与功能法益的区分》,载《中国刑事法杂志》2023年第2期,第37页。

[5] 参见王倩云:《人工智能背景下数据安全犯罪的刑法规制思路》,载《法学论坛》2019年第2期,第34—36页。

[6] 参见熊波:《论数据法益独立性刑法模式》,载《安徽大学学报(哲学社会科学版)》2023年第2期,第73—75页。

[7] 参见王惠敏:《网络数据安全独立性之提倡及其刑法展开》,载《法治研究》2023年第3期,第122—127页。

[8] 参见王华伟:《数据刑法保护的比较考察与体系建构》,载《比较法研究》2021年第5期,第135—151页。另参见刘仁文:《论非法使用公民个人信息行为的入罪》,载《法学论坛》2019年第6期,第118页。

[9] 参见刘宪权:《数据犯罪刑法规制完善研究》,载《中国刑事法杂志》2022年第5期,第20—35页。

[10][德]汉斯·海因里希·耶赛克、[德]托马斯·魏根特:《德国刑法教科书(上)》,徐久生译,中国法制出版社2017年版,第350页。

[11] 参见[德]乌尔里希·齐白:《全球风险社会与信息社会中的刑法》,周遵友、江溯等译,中国法制出版社2012年版,第308页。

[12][日]美浓部达吉:《法之本质》,林纪东译,台湾商务印书馆1993年版,第37页。

[13] 和田俊憲「キセル乗車」法学教室392号(2013年)99頁。

[14] 参见李爱君:《数据权利属性与法律特征》,载《东方法学》2018年第3期,第66页。

[15] For example, Sanjay Ghemawat et al., The Google File System, 37 ACM SIGOPS Operating Systems Review 29 (2003).

[16] For example, Chwan-Hwa (John) Wu & J. David Irwin, Introduction to Computer Networks and Cybersecurity, CRC Press, 2016, p. 1009-1052.

[17] See Daniel L. Rubinfeld & Michal S. Gal, Access Barriers to Big Data, 59 Arizona Law Review 339 (2017).

[18] 类似的结论,参见前注[9],刘宪权文,第30页;任颖:《数据立法转向:从数据权利入法到数据法益保护》,载《政治与法律》2020年第6期,第139页。

[19] クラウス·ロクシン(平野龍一監修)『ロクシン刑法総論 第一巻』(信山社,2003年)20頁参照。

[20] 参见浙江省嘉兴市中级人民法院(2017)浙04刑终172号刑事裁定书。

[21] 柯耀程:《“电磁记录”规范变动之检讨》,载《月旦法学教室》第72期(2008年),第120—121页。

[22] 参见张明楷:《法益初论(上册)》(增订本),商务印书馆2021年版,第261页。

[23] 参见张勇:《数据安全分类分级的刑法保护》,载《法治研究》2021年第3期,第20—22页。

[24] 前揭注[2],前田雅英书,60—61頁参照。

[25] 参见前注[7],王惠敏文,第122页。

[26] 参见张明楷:《刑法学(下)》,法律出版社2021年版,第1372页。

[27] 参见皮勇:《论中国网络空间犯罪立法的本土化与国际化》,载《比较法研究》2020年第1期,第135—154页;喻海松:《网络犯罪二十讲》,法律出版社2018年版,第48页。

[28] 陈兴良:《网络犯罪的类型及其司法认定》,载《法治研究》2021年第3期,第8—9页。

[29] 山中敬一『刑法各論』(成文堂,2015年)485頁。

[30] 前揭注[3],渡辺卓也书,170—184頁参照。不仅如此,重视被害人目的和意志的解释立场还与最高人民检察院发布的指导性案例(检例第36号,载《最高人民检察院公报》2017年第6号)相符:“非法获取计算机信息系统数据罪中的‘侵入’,是指违背被害人意愿、非法进入计算机信息系统的行为。”英美类似的观点,See Samuel Kane, Available, Granted, Revoked: A New Framework for Assessing Unauthorized Access under the Computer Fraud and Abuse Act, 87 University of Chicago Law Review 1437, 1446 (2020).

[31] 参见前注[28],陈兴良文,第9页。

[32] 参见前注[8],王华伟文,第144—145页。

[33] 参见河南省长垣县人民法院(2020)豫0728刑初245号刑事判决书。

[34] 主张认定为提供侵入、非法控制计算机信息系统程序、工具罪的,参见刘艳红:《人工智能时代网络游戏外挂的刑法规制》,载《华东政法大学学报》2022年第1期,第75—77页;另参见河南省许昌市中级人民法院(2020)豫10刑终318号刑事裁定书。

[35] 参见前注[4],庄劲文,第44—45页。

[36] 在当下司法实践中,不乏计算机犯罪与人身犯罪、财产犯罪等传统自然犯罪之间的法律适用争议。不论将两种犯罪理解为对立关系还是交叉关系,都会进一步产生罪名之间的区分或竞合方面的疑问。可是,在传统犯罪完全可能涵摄相关行为的前提下,只要不对所谓的计算机或数据犯罪增设新的罪名,这类争议和疑问完全是可避免的。相关的统计和说明,参见周立波:《破坏计算机信息系统罪司法实践分析与刑法规范调适——基于100个司法判例的实证考察》,载《法治研究》2018年第4期,第68页。

[37] 前注[21],柯耀程文,第126页。

[38] 如果对诈骗罪采取处分意识不要说,也可能认为甲、乙构成诈骗罪的共同犯罪,不过这可能还牵涉账号、密码是否构成财产性利益。本文不讨论这个问题。

[39] 事实上,这类问题在计算机犯罪中已经出现并给司法实践造成困扰。《刑法》第二百八十七条之二规定了帮助信息网络犯罪活动罪,以帮助网络诈骗为例,如果不存在本条规定,那么为网络诈骗提供技术支持等帮助的当然构成诈骗罪的共犯或共同正犯;在事前无通谋的场合,为网络诈骗所得资金提供支付结算等服务的,当然构成掩饰、隐瞒犯罪所得罪。可是,第二百八十七条之二规定的帮助信息网络犯罪活动罪的法定刑既低于诈骗罪,又低于掩饰、隐瞒犯罪所得罪,此时,究竟应依旧适用传统自然犯罪的规定,还是适用帮助信息网络犯罪活动罪的规定,就成了问题:如果适用刑罚更重的传统犯罪,那么帮助信息网络犯罪活动罪就几乎没有可适用的场合;如果适用形似“特别规定”的帮助信息网络犯罪活动罪,那么与传统诈骗相比,在结局上反而轻纵了帮助网络诈骗的行为。恐怕只能承认,增设本条的做法从一开始就是多余的,甚至是有害的。相关的讨论,参见张明楷:《论帮助信息网络犯罪活动罪》,载《政治与法律》2016年第2期,第2—16页。

[40] 参见杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》,载《环球法律评论》2019年第6期,第151—171页。

[41] 参见刘双阳:《数据法益的类型化及其刑法保护体系建构》,载《中国刑事法杂志》2022年第6期,第37—52页。

[42] 参见前注[4],庄劲文,第37—53页。

[43] 孙国祥:《受贿罪的保护法益及其实践意义》,载《法律科学(西北政法大学学报)》2018年第2期,第136页。

[44] 张明楷:《具体犯罪保护法益的确定标准》,载《法学》2023年第12期,第79页。

[45] 参见杨志琼:《数字经济时代我国数据犯罪刑法规制的挑战与应对》,载《中国法学》2023年第1期,第125页。

[46] 参见[德]克劳斯·罗克辛:《刑事政策与刑法体系》(第二版),蔡桂生译,中国人民大学出版社2011年版,第16—20页。

[47] 王晓升:《让概念指称非概念——阿多诺的哲学观及其启示》,载《吉林大学社会科学学报》2015年第3期,第107—117页。

[48] 山口厚『刑法総論』(有斐閣,2016年)392頁参照。

[49] 参见前注[40],杨志琼文,第161—164页。

[50] 前揭注[3],渡辺卓也书,170—184頁参照。

[51] 参见前注[41],刘双阳文,第48—49页。

[52][德]弗兰茨·冯·李斯特:《李斯特德国刑法教科书》,徐久生译,法律出版社2021年版,第6页。

[53] 参见前注[26],张明楷书,第1212页。

[54] 参见张明楷:《刑法学中的概念使用与创制》,载《法商研究》2021年第1期,第11页。

[55] 佐伯仁志『刑法総論の考え方·楽しみ方』(有斐閣,2013年)32頁参照。

[56] 参见黎宏:《论盗窃财产性利益》,载《清华法学》2013年第6期,第122—137页;陈兴良:《虚拟财产的刑法属性及其保护路径》,载《中国法学》2017第2期,第146—172页;前注[26],张明楷书,第1213—1214页。

[57] 参见前注[21],柯耀程文,第122页;欧阳本祺:《论网络时代刑法解释的限度》,载《中国法学》2017年第3期,第169页。

[58] 参见广东省深圳市南山区人民法院(2017)粤0305刑初153号刑事判决书。

[59] 参见张明楷:《三角诈骗的类型》,载《法学评论》2017年第1期,第25页。

[60] 由于获取数据的行为也违反了被害人设置计算机的目的,所以同时构成非法获取计算机信息系统数据罪,本罪与盗窃罪想象竞合。

[61] 参见张明楷:《刑法学(上)》,法律出版社2021年版,第432页。

[62] 西田典之=橋爪隆『刑法各論』(弘文堂,2018年)375—376頁参照。

[63] 同上注,376頁参照;井田良『講義刑法学·各論』(有斐閣,2016年)427頁参照;山口厚『刑法各論』(有斐閣,2010年)430頁参照。

[64] 参见我国台湾地区所谓“刑法”第220条第2款。

[65] 参见德国《刑法》269条、日本《刑法》第161条之二以下。

[66] 例如,对于患有弱视或其他眼部疾病的患者而言,读取纸面上的文字也需要借助眼镜、放大镜等设备,可是不可能认为对一般人而言构成文书的纸张对弱视患者而言不构成文书。既然如此,读取过程需要借助日常工具这一点就不足以阻却文书的可读性。那么,存有数据的载体也不过是对一般人而言需要用到电子设备这种“放大镜”才能读取的文书而已。

[67] 参见房慧颖:《数据犯罪刑法规制的具象考察与策略优化》,载《宁夏社会科学》2023年第3期,第75页。

[68] 如前所述,本文认为这种行为也构成破坏计算机信息系统罪,因此两罪想象竞合。

[69] 参见前注[8],刘仁文文,第118页;前注[9],刘宪权文,第34—35页。

[70] 井田良『講義刑法学·総論』(有斐閣,2018年)353頁参照。

[71] 任剑涛:《国家治理的简约主义》,载《开放时代》2010年第7期,第74页。张明楷:《刑法分则的解释原理(上册)》,高等教育出版社2024年版,第225页。



【声明】
本文来源于网络,旨在克服金融法学研究力量分散化、研究成果碎片化、研究体系零星化的问题,以便学习者集中学习及研究者有效交流,我们对于每一篇文章的专业性、学术性、深入度进行了审慎考量,感谢原作者及原刊物对于金融法学所作出的重要贡献,如本文在本网站展示有所不妥,请联系小编予以及时删除或协商授权(联系邮箱:540871895@qq.com)。本网站仅用于学习、研究、交流,不进行任何商业合作,不作任何商业用途。
0人赞 +1
今天是2024年12月23日 周一
导航