个人数位足迹刑法规制的功能性偏误与修正

2019-03-14 03:56

杨 楠

随着互联网应用的普及和信息社会的加速到来,网络环境中的数位足迹也日益引发关注。理论和实务界关于该类数据的保护争议繁复,不仅对未经同意收集和处置个人数位足迹行为的违法性问题莫衷一是,而且在构成要件符合性判断上聚讼难休。关于数位足迹的数据属性,刑法对非法采集和使用个人数位足迹的规制畛域,以及借助被害人教义学的辅助性原则平衡数据安全与数据利用间关系的路径等重要问题,均未给予充分讨论。因此,在大数据应用催生信息保护的时代背景下,检视个人数位足迹的刑法规制问题显得尤为紧迫。

一、现实困境:数位足迹的刑法规制误区

一般的,数位足迹是指用数字技术记载的有关个人从事网络活动所产生的各种信息和资料。包括但不限于关键词检索记录、网页浏览记录、URL记录、session、cookies以及IP地址等具有网络社会属性的一系列信息数据资料。由于具有反映个人从事网络活动偏好的优长,数位足迹逐渐被应用在基于个人定制的营销服务中。当大数据应用技术对数位足迹的深度挖掘使自然人数字人格被刻画得愈发清晰具体时,精准营销对此类信息的需求愈加焦渴。但毋庸置疑,如果在实现数据价值的同时轻怠对其采集和使用的规制,则无疑招致对数位足迹的应用因危及信息网络安全而路径逼仄,甚至进退维谷。

(一)违法性的支离危及法秩序统一

上述隐忧早在司法实践中得以呈现。“朱烨诉北京百度网讯科技公司侵犯隐私权案”(案例一)中,被告人朱烨诉百度公司未经其知情和选择,利用网络技术,记录和跟踪其所搜索的关键词,并将兴趣爱好、生活学习工作特点等显露在相关网站上进行广告投放,这侵害了其隐私权。对此,百度公司以cookies不是个人信息、原告可启用选择退出机制为由抗辩。法院一审认定百度公司侵犯隐私权,百度公司败诉。一审宣判后,百度公司提起上诉。南京市中级人民法院认定,cookies不属于个人信息,百度公司也未侵害网络用户的选择权和知情权,浏览器用于提供个性化推荐服务并非侵权行为。二审遂撤销一审判决,驳回朱烨的全部诉讼请求[注]参见《江苏省南京市鼓楼区人民法院民事判决书》,(2013)鼓民初字第3031号;参见《江苏省南京市中级人民法院民事判决书》,(2014)宁民终字第5028号。。可见,本案一审法院和二审法院对作为数位足迹的cookies是否具有对特定自然人的可识别性、能否被认定为个人信息存在根本分歧。由此也进一步引起对cookies应予放任使用抑或规范保护的争议。

如果仅将上述异议视为二审对一审侵权之诉的纠偏,那随后的一系列刑事裁判似乎并不合于本案关于数位足迹不是个人信息的基本判断。在“朱某某非法获取公民个人信息案”(案例二)中,被告人在被害人电脑中私自安装截屏软件,非法获取包括网页浏览等所有记录并存档。对此,法院一审判处被告人构成非法获取公民个人信息罪[注]参见《上海市虹口区人民法院刑事判决书》,(2014)虹刑初字第540号。。本案中,网页浏览记录被认定为公民个人信息。审判人员还撰文指出,类似于网页浏览记录的动态信息与特定公民的隐私及人身安全关系密切,故应属于公民个人信息的范围并受刑法保护[注]参见叶琦《基于特定身份非法获取公民个人信息构成非法获取公民个人信息罪》,《人民司法(案例)》2014年第20期。。无独有偶,在“A公司等侵犯公民个人信息案”(案例三)中,A公司和史某某等通过购买有关计算机代码、搭建服务器并将代码植入公司网站等方法,获取访问该网站用户手机号、IP以及搜索关键词等信息,之后将其出售并获利。法院认定A公司及其责任人构成侵犯公民个人信息罪[注]参见《北京市海淀区人民法院刑事判决书》,(2018)京0108刑初1115号。。在本案中,作为数位足迹的“IP地址”和“搜索关键词”也被视为公民个人信息。此类案件不一而足,在此不做详述。

通过上述案件可以发现,对数位足迹法律属性的认识尚存争议。这种争议不单体现在民事侵权案件中不同审级法院之间的龃龉,而且不同法律部门间也相互抵牾,其冲击法秩序的统一性的征兆可见一斑。首先,法律概念是法律体系的基石,一般而言,相同概念应作相同解释,这才符合法律体系无矛盾性的要求[注]杨铜铜:《论不确定法律概念的体系解释——以“北雁云依案”为素材》,《法学》2018年第6期。。上述民事判决对数位足迹作为个人信息保护的否定和刑事裁判对其作为个人信息保护的肯定,已经从一个侧面反映出不同法律部门对“公民个人信息”存在歧见。在案例一发生时,直接或间接规定“公民个人信息”概念的法律、司法解释和行政法规不但在定义“公民个人信息”的模式上存在较大差异,而且在对其外延的勾画上也不乏区分[注]2012年12月28日全国人大常委会《关于加强网络信息保护的决定》(以下简称“人大《决定》”)第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”2014年10月21日最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(以下简称“最高法《解释》”)第12条规定:“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”2013年6月28日工信部《电信和互联网用户个人信息保护规定》(以下简称“工信部《规定》”)第4条规定:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”可见,人大《决定》和最高法《解释》对个人信息做间接规定,而工信部《规定》对之予以直接规定;人大《决定》中采用归纳的定义模式,最高法《解释》采用演绎的定义模式,而工信部《规定》则采取“归纳+演绎”的混合型定义模式;从外延来看,最高法《解释》划定的公民个人信息犯罪较窄,因为按照同类解释原理,未完全列举的其他信息应与所列举的信息的敏感程度相似;虽然都以“可识别性”作为标准,工信部《规定》所划定的个人信息范围较人大《决定》更广,因为其中还包含一般人无法据此识别特定人的电信服务信息。,这使本应协同的规范之间罅隙丛生。可以想见,在同一法律部门中针对既定问题所需援引的规则都不尽相同,更遑论不同法律部门之间的合致了[注]2013年4月23日最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》第2条规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”上述的最高法《解释》并未对识别性做出规定,其外延显然小于本解释。。虽然,国家也陆续对相关法律规范进行调整[注]2017年12月29日国家质量监督检验检疫总局、国家标准化管理委员会《信息安全技术——个人信息安全规范》第三章第一节中规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”2017年3月20日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”2016年11月7日《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”前两部规范所界定的公民个人信息范围较第三部更广。因为在其定义中不但有可识别性信息,还包括关联性信息。可见,规范间的冲突仍未消弭。,但上述问题依然积重难返。其次,根据法秩序统一性原理,“刑法的相关规定(特别是行政犯)应有其他部门法的规定作为前置条件”[注]喻海松:《侵犯公民个人信息罪司法疑难之案解》,《人民司法(案例)》2018年第32期。。刑法学中违法性概念应置于所有法领域或者犯罪中统一理解,亦即“违法性在根本上,在法秩序的整体当中是统一的”[注][日]曾根威彦:《刑法学基础》,黎宏译,北京:法律出版社,2005年版,第214页。。为了充分发挥罪刑法定这一基础教义的人权保障机能,刑事违法性的来源应从民事和行政法规中找寻,并借此充实相应的构成要件[注]参见刘艳红《法定犯与罪刑法定原则的坚守》,《中国刑事法杂志》2018年第6期。。遗憾的是,我国对个人信息甚至其他数据资料的保护均由刑法率先垂范,这不但使刑法僭越了其保障法的地位,也招致了整体法秩序的紊乱。例如,对于案例三以及“张某非法获取公民个人信息案”[注]本案中,被告人张某通过以嵌入代码的方式非法获取访问wap网站的手机号码及搜索关键字段等信息,开发移动监控宝业务并对外推广并牟取非法利益。被告人以此获取了数百万条手机号码、手机属地、搜索关键字、访问时间等信息。广东省广州市番禺区人民法院认定张某甲构成非法获取公民个人信息罪。参见《广东省广州市番禺区人民法院刑事判决书》,(2015)穗番法刑初字第799号。(案例四),被告人均被判处非法获取公民个人信息罪,而案例一中的百度公司却被认为不存在侵权行为,也无须承担民事责任。经检索,我们也未发现被告人因上述行为而担负其他民事责任的案例。法秩序的统一要求排除法规范间的矛盾,排除法规范之间的矛盾要求违法判断的统一性。类似于上述案例中违法性的支离,不仅影响法律实施的效果,也有悖于公民的朴素正义观。

(二)构成要件错位冲击刑法教义学的体系性

法教义学体系必须首先满足“所有知识都在逻辑上一致”[注]王凌皞:《存在(理智上可辩护的)法律教义学么?》,《法制与社会发展》2018年第6期。的基本教义。法教义学体系的建构就是把法律教义学内容中的不同要素“错落有致”地组织和搭建起来[注]黄卉:《论法学通说(又名:法条主义者宣言)》,《北大法律评论》2011年第2期。。因此,对于刑法而言,保证宏观理论的逻辑自洽微观各罪的致密安排,方能实现教义学体系的融通。由此,倘若对数位足迹数据属性的理解发生偏误,则无疑导致构成要件该当性判断的错位、相关罪名间相互纠缠难于辨别。

在“陈某某等非法获取计算机信息系统数据案”(案例五)中,被告人悉知通过流量劫持可以从事推广业务,采用技术手段爬取中国移动湖南有限公司计算机信息系统中QQ用户的cookies数据,并编写程序在用户不知情的情况下被拉入指定的群或在其QQ空间发布淘宝商品链接等。被告人以此收集cookies数据三百万余条。法院认定被告人构成非法获取计算机信息系统数据罪[注]参见《重庆市沙坪坝区人民法院刑事判决书》,(2016)渝0106刑初1393号。。本案中,作为数位足迹的cookies记录并非公民个人信息,而被视为计算机信息系统数据,这使本案与上述案例二、案例三以及案例四的罪质区隔不啻天渊。同样的,在“黄某某非法获取计算机信息系统数据案”(案例六)中,被告人利用淘宝店铺源代码的漏洞,开发出网络爬虫程序获取淘宝用户的cookies以及交易订单数据,为淘宝卖家开发精准分析服务提供数据支持。被告人通过上述手段获取淘宝用户cookies两千万余条,交易订单数据1亿余条。对此,法院认定黄某某构成非法获取计算机信息系统数据罪[注]参见《杭州市余杭区人民法院刑事判决书》,(2014)杭余刑初字第1231号。。因此,刑事司法中对未经同意而采用技术手段获取数位足迹行为的认定,存在侵犯公民个人信息罪(非法获取公民个人信息罪)和非法获取计算机信息系统数据罪两种不同观点。一部分案件中,数位足迹属于公民人身权利的保护客体,而另一部分案件中却是社会管理秩序的保护对象,两种认定思路在司法实务中似乎难分轩轾。

对同一不法行为性质的认定存在不同的结论,要么是对构成要件要素的误读,要么是因罪名过度分立而存在竞合。但无论如何,问题的根结都归于构成要件。从构成要件上考察,当计算机信息系统数据中所含公民身份认证信息时,二者可能存在交叉关系。在交叉关系出现时,被告人的行为就具有数个不法内容,故“在判决宣告时,必须一一列出……进而有利于实现特殊预防与一般预防”[注]转引自张明楷《刑法学》,北京:法律出版社,2016年,第483页。。为实现上述明示机能,应将存在交叉关系的法条认定为想象竞合。2018年11月9日最高人民检察院《检察机关办理侵犯公民个人信息案件指引》中规定:“对于违反国家有关规定,采用技术手段非法侵入合法存储公民个人信息的单位数据库窃取公民个人信息的行为,也符合刑法第二百八十五条第二款非法获取计算机信息系统数据罪的客观特征,同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪的,应择一重罪论处。”但是,上述案件的裁判中既没有明示行为存在数个不法的说理,又未见对数个罪名据处断原则做出取舍的痕迹。可以断言,司法人员在裁判中并未考虑想象竞合问题。既然未论及竞合,则要么表明cookies、搜索关键词以及网页浏览记录等数位足迹并不属公民个人信息,要么意味其不能被计算机信息系统数据的外延所涵摄。或许有人质疑,在法条竞合时,只需适用一个法条,其他法条被排除[注]参见黄小飞《法条竞合之特别关系类型及其适用规则》,《中国刑事法杂志》2017年第3期。。但是,侵犯公民个人信息罪和非法获取计算机信息系统罪之间既不存在一般与特殊的关系,又不存在补充与被补充的关系,不具有成立法条竞合的前提。

综上,辨识数位足迹的法律属性是对其进行有效规制的先决条件。意欲匡正司法实践中对未经同意而采集和使用数位足迹行为既不认定为民事侵权却又构成刑事犯罪、既可能构成侵犯公民个人信息罪又恐涉非法获取计算机信息系统数据罪的乱象,就必须先从数位足迹的技术构造着手,小心求证其规范属性。

二、端本正源:数位足迹技术特性与法律属性的双重清理

对数据资料的法律规制,不仅应理清保护法益及规范体系,还必须对其技术属性和法律属性做区分[注]参见杨志琼《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,《法学评论》2018年第6期。。在技术上,只要以二进制为基础且以0/1组合而成比特形式的电子代码均可被视为数据。但法律不可能纤悉无遗地对所有形式的数据加以规制,必须根据规范目的做取舍,从而避免过分倚重数据保护而怠忽数据利用。

(一) 技术特性——数位足迹的本质属性

常见的数位足迹主要有关键词检索信息、网页访问记录、cookies及URL记录等。虽然上述数据均可反映特定自然人的网络活动偏好,在数据内容上也存在交叉或重叠,但却不尽相同。

cookies是由web服务器生成后存储在用户本地计算机中的一段数据。当用户在浏览一个含有cookies功能的web服务器时,由服务器端写入用户的硬盘。在下次登录服务器时,由服务器取回这些信息[注]参见沈洁、薛贵荣《COOKIES的安全及其解决方案》,《计算机工程与应用》2002年第14期。。其最重要的用途是存储用户在特定网站上的ID和密码并判定注册用户是否已经登录网站[注]参见杨程《cookie 应用中的消费者个人信息保护初探》,《中国工商报》2014年11月5日,第3版。。其次,cookies跟踪并统计用户访问该网站事项,如搜索信息、访问时间和访问页面等[注]参见吕云翔、李沛伦编著《计算机导论》,北京:电子工业出版社,2016年,第102页。。因此,每一组cookies至少包含该网页的具体访问情况数据,在需要登录访问且用户选择特定期限内免认登录时,cookies中还包含身份认证信息。统一资源定位符(URL)是完整描述web上资源位置和访问途径的标识方法。基本URL包含协议、服务器名称(或IP地址)、路径和文件名[注]参见李军等主编《计算机网络技术》,北京:科学出版社,2017年,第206页。。其中,协议告诉浏览器如何处理将要打开的文件[注]参见祝群喜等编著《计算机基础教程》,北京:清华大学出版社,2014年,第345页。;IP地址为互联网上的每台主机的逻辑地址[注]参见郑逢斌主编《计算机科学导论》,郑州:河南大学出版社,2016年,第219页。;到达特定文件的路径和文件本身名称一般处于文件所在的服务器的名称或IP地址之后[注]参见李军等主编《计算机网络技术》,第206页。,其中也可以包含接触服务器必需的用户名称和密码。因此,URL中至少包含特定文件在互联网上的唯一位置以及所访问的IP(或包含端口号);在接触服务器必须进行身份认证时,URL中还包含特定用户的ID和密码。正因为URL可显示资源的具体地址,其往往被收集用于实施对网站的非法入侵或恶意攻击。例如,在“赵某等非法控制计算机信息系统案”(案例七)中,被告人赵某为提高自己网站上广告的点击率,指使同案被告刘某用“URL采集器”“挖掘鸡”等软件非法侵入他人网站,并私自在他人网站网页上设置被告人赵某网站的跳转链接,帮助被告人赵某提高网站的访问量。直至案发,被告人共入侵了80余个网站并从中获利。对此,法院认定被告人构成非法控制计算机信息系统罪[注]参见《南通市通州区人民法院刑事判决书》,(2017)苏0612刑初506号。。

解构上述数位足迹并结合案例发现,能直接反映特定自然人行为偏好的数位足迹类型主要是网页浏览记录和关键词检索记录,无法对之直接反映但同样记录自然人网络活动轨迹的,还包括服务器逻辑地址和特定条件下的用户身份认证信息。网页浏览记录和关键词检索记录既可单独存在,也可包含在cookies记录中;身份认证信息和IP地址可通过解析cookies或URL取得;一个网址内包含多个URL请求,故通过对URL记录的分析亦可推知用户行为习惯(例如,获取某电商网站上的商品浏览记录)。可以说,技术特性是数位足迹的本质属性,是其质的规定性。对数位足迹数据技术架构的厘清是进一步研究的前提。

(二) 法律属性——数位足迹的规范面相

生成和发挥效用场域的不同决定了对数位足迹规制的手段和目的各异,在规范层面也呈现出多重面相。对此,有学者曾一针见血地指出“数据的法律属性是表征多重法益”[注]参见杨志琼《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,《法学评论》2018年第6期。。因此,从数位足迹的技术属性出发并结合相关法律规范进一步理清其规范意涵,才是务本之举。

1.数位足迹与计算机信息系统数据

根据《治安管理处罚法》第29条和《刑法》第285条第2款之规定,计算机信息系统数据是在计算机信息系统中存储、处理或传输的数据。2011年1月8日修订的国务院《计算机信息系统安全保护条例》第2条规定,计算机信息系统是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。据此可知,计算机信息系统数据具备如下要素:其一,数据状态。存储的数据、处理过程中的数据以及传输时的数据均属之。其二,数据载体。数据的载体不限于计算机,还包含相关配套设施设备。其三,交互情况。不单包含计算机中相对封闭的数据,还包括网络环境中的数据。

对计算机信息系统数据的界定,理论争议颇多。有学者认为,计算机信息系统数据是“内部信息系统资料”,其数据内容具有“封闭性、静态性和限定性”[注]参见孙道萃《大数据法益刑法保护的检视与展望》,《中南大学学报(社会科学版)》2017年第1期。。据此观点,网络数据无法通过对现有“计算机信息系统数据”和“计算机信息系统”的扩张解释纳入刑法保护之中[注]参见于志刚、李源粒《大数据时代数据犯罪的类型化与制裁思路》,《政治与法律》2016年第9期。。但是,对计算机信息系统数据的界定不能阈于刑法之内,还应结合行政法规探求其规范意涵。特别是对此类法定犯,“为充分发挥罪刑法定原则的人权保障机能……从法秩序统一性原理出发,强调法定犯构成要件符合性判断应结合行政管理法规而进行,才能全面而充分地判断法定犯构成要件符合性,而这正是法定犯坚持罪刑法定原则的前提”[注]刘艳红:《法定犯与罪刑法定原则的坚守》,《中国刑事法杂志》2018年第6期。。因此,在刑法未对这一概念做规定的前提下,参见专门的行政法规进行司法适用并无不当。既然《计算机信息系统安全保护条例》中明确规定计算机信息系统不仅指计算机本身,还包含配套设备,并特别注明涵盖网络设施,这表明计算机信息系统具备交互性和开放性。据此解释,不仅在一定程度上克服了计算机代际跃升对既定法规范的冲击,还充实了《刑法》第285、第286条相关罪名的构成要件。具体看来,网页浏览记录、URL记录和cookies一般存储在用户本地计算机中,无疑可作为计算机信息系统数据;关键词检索记录既能保存于用户设备,又可留痕于网络服务器,当然可被前述计算机信息系统的外延涵摄;IP地址,特别是浮动IP地址,一般不存储于用户计算机中,而由网络运营商分配并记录,原则上也可作为计算机信息系统数据。由此,各项数位足迹均满足计算机信息系统数据的基本特征,存在被作为计算机信息系统数据加以保护的可能。

需要注意的是,2011年7月11日“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条中明确规定的数据类型为“身份认证信息”。这是否意味着只有具备身份认证功能的“支付结算”“期货交易”以及“证券交易”等信息才属于计算机信息系统数据?答案是否定的。首先,作为最后保障法,刑法只对违法性较为严重的行为加以规制。司法解释中列明的“身份认证信息”属于敏感信息,对其进行非法收集和使用的违法程度较其他信息更高。刑法未将其他类型的信息纳入规制范围正是为民事、行政法律部门的规制留足了空间。所以,未被刑法保护的信息并不意味着被排除在计算机信息系统数据之外。反之,即使是司法解释明确规定的数据类型,也不必然被刑法保护。正如学者所言,解释看似将公民个人“身份认证信息”纳入刑法保护的同时,实质却是在对公共秩序、社会管理秩序进行保护,被纳入刑法保护范围内的“身份认证信息”也只是影响到计算机信息系统安全的信息[注]于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》2018年第4期。。其次,司法解释中还存在“其他严重情形”这一兜底条款。根据同类解释原理,如果获取其他类型的数据且严重危害计算机信息系统且不法情节与前述相当的[注]参见冀洋《谨防网络时代破坏生产经营罪“口袋化”》,《检察日报》2018年8月15日第3版。,也无疑被作为规制的对象。至此可以认为,数位足迹作为非法获取计算机信息系统数据罪的保护客体并无障碍。

2.数位足迹与公民个人信息

公民个人信息在不同的规范中存在不同界定。根据《网络安全法》第76条第5项的规定,判断公民个人信息的标准是“可识别性”。在2017年3月20日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定中,公民个人信息不仅包含识别性信息,还包括“反映特定自然人活动情况的各种信息”。至此,“关联性”信息也被纳入其中。“识别”是由信息出发锁定自然人的过程,而“关联”则是由人出发捕捉信息的过程,这种路径上的增加已经从形式上证实个人信息范围的扩张。同时,具有识别性的信息必定是与特定自然人发生关联,但有关特定人的信息却不一定具有识别功能。司法解释明显逾越了上位法对个人信息划定的畛域。对此,有关人员指出:“如果认为网络安全法将此类信息(指‘活动情况信息’,论者注)排除在个人信息的范围外,恐难为一般人所认同,也不符合保护公民个人信息的立法精神。合理的解释应当是,网络安全法是广义上使用身份识别信息这一概念,亦即也包括个人活动情况信息在内。”[注]周加海、邹涛、喻海松:《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》,《人民司法(应用)》2017年第19期。这一解释难称不刊之论。首先,信息的“识别性”与“关联性”判断遵循两条逆反的思路,况且“关联性”信息的范围明显广于“可识别性”信息,即便使用所谓“广义上的概念”,前者同样无法为后者所涵括。其次,早在2011年12月29日工信部《规范互联网信息服务市场秩序若干规定》中,已存在将“相关性”信息和“识别性”信息并列作为个人信息的实例,但《网络安全法》并未采取这一定义模式。可以认为,这是立法机关为避免个人信息范围过分扩张而有意为之。据此,司法解释对公民个人信息的规定因与上位法背驰而欠缺形式合理性,对公民个人信息的判断坚守“可识别性”的标准才是法治思维[注]刘作翔:《法治思维如何形成?——以几个典型案例为分析对象》,《甘肃政法学院学报》2018年第1期。。

对数位足迹是否属于公民个人信息,支持和反对的观点皆有之。有学者主张,cookies中包含可以识别用户的信息(如IP地址),属于个人信息[注]See Maarten Truyens, No More Cookies for Unregistered Facebook Users in Belgium: Belgian Data Protection Legislation Applies to Facebook, Eur.Data Prot.L.Rev., vol.1, 2016, p.138.;还有学者将个人信息划分为三类,其中,“自然人以实名或匿名的身份所进行的网络行为而产生的活动轨迹与信息痕迹等数据资料”就涵括“网页浏览记录”“网上购物记录”等数位足迹[注]三类分别为:“能够直接反映个人的自然情况和日常生活等情况的个人数据资料”“自然人以实名或匿名的身份所进行的网络行为而产生的活动轨迹与信息痕迹等数据资料”和“网络服务商通过收集、挖掘、处理与分析而得的个人信息资料”。参见陈奇伟、刘倩阳《大数据时代的个人信息权及其法律保护》,《江西社会科学》2017年第9期。。但也有学者持不同意见,认为“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体”[注]孟兆平:《互联网精准营销中Cookie技术的性质认定》,《人民法院报》2015年7月15日,第7版。,故关键词检索信息、cookies等数位足迹是网络行为信息,不属于个人信息范畴。可以说,上述观点都存在一定道理,但却不周全。在支持论中,以cookies 能解析IP地址就认定其为个人信息的论断在逻辑上不周延,其欠缺对IP可识别自然人这一大前提的外部证成;关于个人信息的分类似乎也不免疏漏,而外延上的杂错也恰恰反映出对公民个人信息内涵认知上的含混。在反对论中,不关照“去身份化”信息的间接识别性的可能,仍无法排除数位足迹的个人信息属性。

数位足迹作为公民个人信息的前提是其顺利通过“可识别性”的校验。首先可以肯定的是,任何一项数位足迹都难以直接识别出特定自然人。关键词搜索记录只指向所检索的信息内容,即使“虚荣搜索”,在不结合其他信息的情况下也难以将个人特定化[注]虚荣搜索是指在搜索引擎中检索有关自己的信息。首先,识别是从信息到人认识过程,虚荣搜索意味着信息主体业已特定,故不存在识别的空间。其次,仅凭某一项信息无法勾画出特定人的数字人格。即使检索后可以将个人特定化,那也是各项信息结合识别的效果。直接识别信息是否存在,论者暂持怀疑态度。。网页浏览记录和URL指向所访问的网页及其内容,在网页内容非个人信息时也难以据此做识别,而即使网页内容可识别特定主体,也只能认为其可具有间接识别性。IP地址所直接识别的客体是计算机而非自然人,一般人无法通过合理手段获得IP用户的个人信息。同样的,访问认证的账号和密码也只能对应虚拟个人。在上述信息要素均不具有直接识别性时,cookies和URL记录也仅能反映用户的网络行为偏好。判断数位足迹的间接识别性较为困难。一方面因为很难详尽预设信息结合识别特定自然人的各种情况,宏观讨论并无实益;另一方面,“司法场域中新增了一组与不同知识紧密结合的话语”[注]王禄生:《大数据与人工智能司法应用的话语冲突及其理论解读》,《法学论坛》2018年第5期。,在信息科技和大数据深度挖掘的场域中,似乎一切信息都有结合其他信息识别特定自然人的可能。但仍需直面的诘问是,可识别性的主体该如何判断,识别的手段如何采取。若采用特殊标准,不但会大肆扩张公民个人信息范围,而且使“直接识别”与“间接识别”的分类丧失必要。更有甚者,行为人收集和使用一般人无法据以识别的信息或数据也被认定为侵犯公民个人信息罪,这有悖于责任原则。对于关键词检索信息、网页浏览数据甚至cookies等数位足迹,在不进行深度挖掘或结合其他关联性信息的情况下,无法识别特定人,但数据挖掘和应用技术一般人显然不具备。通过URL虽能在互联网上查找到计算机,但IP地址是通过域名系统(DNS)解析而来的,一般人并不掌握。纵使个人身份认证信息、IP地址等存在识别特定自然人的可能性,一般人同样无法阅取相关注册信息。综上,数位足迹不具有直接可识别性;而间接识别的可能性仅对特殊主体采取特殊手段而言,并非一般人采取合理手段时的盖然性。据此,数位足迹无法通过可识别性标准的校验,其不属于公民个人信息之列。

结合数位足迹技术架构得知,其更当为计算机信息系统数据。数位足迹既可存储于用户设备中,又能记录在网络运营商或互联网服务提供者的平台上,其符合行政法规对计算机信息系统的定义。同时,将网络数据纳入计算机信息系统数据中,既保证了法秩序的统一性,又充实了刑法中相关罪名的构成要件。因此,计算机信息系统数据应是数位足迹的应然规范面相。

三、求解路径:个人数位足迹刑法规制之因应

通过前述探讨,个人数位足迹的技术特性和法律属性已被廓清。但理论上的商研能否消弭现实困境,还须接受实践理性检验。

(一)作为计算机信息系统数据的数位足迹之解释进路

既然数位足迹不属于公民个人信息,则不符合《刑法》第253条关于侵犯公民个人信息罪的构成要件。案例二中,被告人不能构成侵犯公民个人信息罪。关于审判人员指出的“网页浏览记录的动态信息与特定公民的隐私及人身安全关系密切”故应由刑法保护的论断虽不无道理,但通常情况下无法将网络数位足迹与特定自然人对应起来。若采用特殊标准则会极大扩张侵犯公民个人信息罪的适用范围,以致动辄得咎。“自由只能为了自由本身的缘故而被限制”[注][美]约翰·罗尔斯:《正义论》,何怀宏等译,北京:中国社会科学出版社,1988年,第10页。,“法律的目的并不是废除或限制自由,而是保护和扩大自由”[注][美]E·博登海默:《法理学:法哲学与法律方法》,邓正来译,北京:中国政法大学出版社,2004年,第299页。,否则有悖于法的精神。在案例三中的“IP地址”和“搜索关键词”同样不能计入公民个人信息中。此外,从侵犯公民个人信息罪归属于侵犯公民人身权利和民主权利一章不难发现,其保护的是自然人人格。有关本罪法益是隐私权还是信息自我决定权的争议,均是在宪法意义上的人格权项下展开的讨论[注]参见张勇《个人信用信息法益及刑法保护:以互联网征信为视角》,《东方法学》2019年第1期;李建良《资料流向与管控环节》,《月旦法学杂志》2018年第1期;杨立新《个人信息:法益抑或民事权利——对〈民法总则〉第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期;冯源《〈民法总则〉中新兴权利客体“个人信息”与“数据”的区分》,《华中科技大学学报(社会科学版)》2018年第3期。。据此,侵犯公民信息罪至少是对公民人格权的侵害。虽然上述案件中的数位足迹可反映自然人的网络行为偏好,或许其中还涉及较为隐私的信息资料,但这些信息大都是去身份化的匿名信息,难以在现实中与具体自然人对应。正如案例一中法院指出的:“网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。”本文认为,这种身份上的分离不仅使数位足迹欠缺侵犯公民具体人格权之可能,还是积极维护公民个人信息安全的应时之策。

我们虽不赞同用侵犯公民个人信息罪加以规制,但这并不代表上述行为不存在刑法处罚的可能。既然数位足迹可被计算机信息系统数据的外延所涵摄,那么在针对计算机信息系统的犯罪中仍存在解释空间。如果行为人违反国家规定,采取技术手段获取计算机信息系统(国家事务、国防建设、尖端科技以外的计算机系统)中存储、处理或传输的数位足迹且情节严重的,可构成非法获取计算机信息系统数据罪。同时,对计算机信息系统中存储、处理或传输的数位足迹进行删除、修改和增加且后果严重的,也可构成破坏计算机信息系统罪。反观案例三,被告人的技术入侵行为妨害了计算机信息系统的运行,存在构成非法获取计算机信息系统数据罪的可能。但裁判文书中对相关情节和危害结果的描述并不明确,我们尚无法判断其是否达到“情节严重”的标准。对于案例二,被告人在他人计算机上擅自安装插件,使其计算机在行为人的操作下记录历次网页访问数据,亦存在构成非法获取计算机信息系统数据罪的可能。同样受制于裁判文书内容的简约,我们无法对其是否具备可罚的违法性做最终判断。当然,司法实践中也不乏准确定性的适例,在案例六中,被告人开发出爬虫程序并以此获取淘宝用户cookies和交易订单数据,将其打包提供给淘宝卖家用于市场分析。对此法院遂以非法获取计算机信息系统数据罪对被告人定罪处刑。

需要注意的是,案例五的情况略有不同。在本案中,对行为人侵入服务器中爬取cookies数据构成非法获取计算机信息系统数据罪并无争议。但是,被告人还利用腾讯公司的技术漏洞嵌入自己开发的程序,进行商品推广。这种对计算机信息系统功能违法修改、增加的行为,还符合破坏计算机信息系统罪的构成要件。或许有人质疑,行为人利用系统漏洞进行营销的行为并未妨碍原有系统的基本功能,不会导致计算机信息系统失灵,不存在对计算机信息系统的破坏。但是,计算机信息系统不能正常运行不仅包括计算机信息系统不能运作,还包含其不能按原有设计要求运行[注]张明楷:《刑法学》,北京:法律出版社,2016年,第1048页。。本案中,对cookies的收集并非目的,嵌入程序实现营销才是目的,这两个行为之间还存在手段与目的的牵连关系。不过,无论依照“从重原则”抑或“择一重从重原则”,都应以破坏计算机信息系统罪定罪处刑。在案例七中,法院既未像案例五一样认定其为非法获取计算机信息系统数据罪,也未以破坏计算机信息系统罪定罪处刑,而是判处被告人非法控制计算机信息系统罪。这一裁判是否合理,也值得商榷。对于非法控制计算机信息系统罪中的“非法控制”,刑法并未规定,相关司法解释亦未阐明;破坏计算机信息系统罪中的“破坏”,外延也相当宽泛。由此导致二者在文意上存在一定程度的重合。但是,非法控制计算机信息系统罪侵犯的法益是计算机信息系统的保密性和控制性,保护主体对计算机信息系统的使用权或控制权[注]参见孙艳丽《侵入网站后台改变搜索结果的行为应否定罪》,《人民检察》2013年第8期。;而破坏计算机信息系统罪侵犯的法益却是计算机信息系统的运行安全,保护计算机信息系统、应用程序的功能和各类数据的完整性[注]参见姜灜《“口袋思维”入侵网络犯罪的不当倾向及其应对进路》,《苏州大学学报(法学版)》2017 年第2期。。由此可进一步认为,非法控制计算机信息系统是对计算机信息系统使用人控制权的剥夺,而破坏计算机信息系统则是对计算机信息系统功能造成了实质性损坏。在案例五和案例七中,行为人侵入他人计算机系统擅自安装插件,使其计算机不按以前的程序运行,并启动该插件为自己的营销或服务其他网络活动,这显然损害了计算机系统的功能,应构成破坏计算机信息系统罪。最高人民法院指导性案例第102号[注]参见《上海市浦东新区人民法院刑事判决书》,(2015)浦刑初字第1460号。和最高人民检察院指导性案例第33号[注]参见《上海市第一中级人民法院刑事裁定书》,(2015)沪一中刑终字第2349号。也支持上述观点。

通过上述分析可知,数位足迹不属公民个人信息,故难以符合侵犯公民个人信息罪的构成要件;数位足迹也通常被去身份化,缺失对特定自然人的具体人格造成损害的可能。以侵犯公民个人信息罪规制未经同意收集个人数位足迹的路径既不存在形式合法性,也不存在实质合理性。未经用户同意而采用技术手段爬取他人数位足迹、严重危害计算机信息系统安全性时,可构成非法获取计算机信息系统数据罪;行为人通过技术手段既危害了数据存储的安全性,又破坏了数据完整性或计算机信息系统的正常运行时,还可构成破坏计算机信息系统罪。

(二)“用户同意”的被害人教义

虽然对数位足迹法律属性的厘定使法规范间的冲突被缓和,刑法教义学体系中的矛盾也得以消弭,但不法层面的被害人的同意问题仍值得探讨。同意为基础的个人信息保护体制亦可定性为“个人选择模式”,据此,个人可以自行对资讯内涵加以界定而选择所欲享有的个人资料保护程度,以落实个人自主[注]参见翁清坤《告知后同意与消费者个人资料之保护》,《台北大学法学论丛》第87期。。在比较法上,“用户同意”向来被视为保障数据隐私,解决信息时代个人资料被广泛收集、处理、利用而产生诸多问题的方式之一[注]参见刘定基《析论个人资料保护法上“当事人同意”的概念》,《月旦法学杂志》2013年第7期。。在诸多案件中,这一问题往往被被告人作为免责事由提出,并以加害人同意对数据进行存储、收集或利用而主张阻却违法。特别对于一些“捆绑式”同意的案件,此类情况尤为突出[注]参见李婉萍《个人资料保护脉络下的“捆绑式”同意》,《科技法律透析》2012年第1期。。

在“邓某某等侵犯公民个人信息案”中(案例八),公诉机关指控被告人向他人出售公民个人信息,而辩护人认为被告人出卖的是淘宝店铺并非公民个人信息,且被告人所出卖的店铺均是所有人自愿出售的,本案中无刑事被害人,被告人无罪。对此,法院指出,侵犯公民个人信息罪的保护法益不仅仅是公民个人的人身权利和民主自由权利,还包括社会管理秩序。即使被非法获取的信息是注册人同意的、且获得了对价,这仍侵犯了本罪的客体,法院遂判处被告人侵犯公民个人信息罪[注]参见《广东省开平市人民法院刑事判决书》,(2018)粤0783刑初215号。。本案中,被害人同意能否排除不法就成为焦点。法院却对此语焉不详。前述案例一中存在同样的问题。百度公司以网站首页《使用百度前必读》中的“隐私权保护声明”已经明确告知用户cookies服务相关事项保障了用户的知情权为由提出抗辩,还指出,网站提供了选择退出机制,用户既能通过关闭设置非常容易地阻止推广结果的展现,又可以对浏览器进行设置。二审法院支持了抗辩理由,认为百度公司尊重了网络用户的选择权,网络服务提供者对个性化推荐服务依法明示告知即可。类似案件为数不少,但司法实践中均未予出罪[注]类似案例还如:“林某某侵公民个人信息案”,参见《福建省龙岩市中级人民法院刑事裁定书》,(2018)闽08刑终29号;“郑某等侵公民个人信息案”,参见《甘肃省兰州市城关区人民法院刑事判决书》,(2016)甘0102刑初605号;“陶某等侵犯公民个人信息案”,参见《云南省保山市中级人民法院刑事裁定书》,(2017)云05刑终105号,等等。。对数位足迹的采集大都通过技术手段在互联网上进行,而接受在线服务或进行网络交易时又往往遭遇“捆绑式”同意,用户要么疏于阅读相关协议,要么被迫接受制式合同的约定。在互联网深度应用场域中,因数据收集和使用引发的矛盾尤甚。

被害人同意问题在以行为人为中心的刑法教义学中占据重要地位。虽然,对其体系性位置存在“违法性事由说”与“构成要件说”等诸多争论[注]参见[德]乌尔斯·金德霍伊泽尔《刑法总论教科书》,蔡桂生译,北京:北京大学出版社,2015年,第117页。,但其作为出罪事由“并不会带来解释论上的差异”[注][日]佐伯仁志:《刑法总论的思之道·乐之道》,于佳佳译,北京:中国政法大学出版社,2017年,第171页。,法益主体的同意能直接消解行为的法益侵害性[注][日]松原芳博:《刑法总论重要问题》,王昭武译,北京:中国政法大学出版社,2014年,第97页。。反观案例八,法官将侵犯公民个人信息罪解释为复法益犯正是为了规避被害人同意对违法性的遮断。据其逻辑,个人并不是国家法益和社会法益的法益主体,当然不能对其处分。当侵犯公民个人信息的行为不但危害人身权利而且妨害“社会管理秩序”时,个人对信息的处分自始无效,故应负刑事责任。但其裁判逻辑却捉襟见肘。首先,侵犯公民个人信息犯是否为复法益犯值得探讨;其次,此类裁判结果会严重限缩个人信息的合法使用,造成公民对自己的个人信息不享有处分权的恶性规制效果;再次,照此思路可推及,对于国家和社会法益为主要法益、个人法益为次要法益的犯罪,行为人对主要法益的侵犯存在违法阻却事由、对个人法益的侵犯并不充分时仍构成犯罪,这显然很荒谬。虽然本案的裁判结果值得推敲,但是至少可以肯定的是,法官虽未肯认但亦并未否认被害人同意可在一定范围内阻却法益侵害性。

然而,“用户同意”不仅在传统的以行为人为中心的教义学体系中实现出罪机能,还在被害人教义学中具有更大的价值。被害人教义学是刑法教义学的理论分支,是在犯罪学和被害人学基础上将被害人纳入犯罪论中进行规范分析的刑法体系。通过对“受害者对事件的共同责任是如何影响不法的……这种共同责任是否能够导致一种行为构成或者违法性的排除”[注][德]克劳斯·罗克辛:《德国刑法学总论》(第1卷),王世洲译,北京:法律出版社,2005年,第392页。等一系列问题的研究,能在一定程度上排除行为人的可罚性。根据被害人教义学的解释原则,法律适用者在解释某罪刑规范的构成要件要素时,“如果能够确定,一旦被害人采取了于他而言可能和可期待的自保措施,就可以防止构成要件要素得以实现,那便认为该构成要件未获满足”[注][德]托马斯·希伦坎普:《被害人教义学今何在?——对于作为立法、解释、归责和量刑原则之“被害人学准则”的一个小结》,陈璇译,《比较法研究》2018年第5期。。此后,被害人教义学被应用到其他一系列“关系犯”之中。例如对于德国《刑法》第203条规定的侵犯他人秘密罪,许乃曼教授认为,泄密行为人应限定在负有特定保密义务的人之内,第三人可因他人泄露秘密而免于处罚。因为只有针对那些秘密所有人必须吐露个人秘密且对于必须信赖的特定人而言,秘密所有人才是需要保护的。只有个人无法也没有能力进行自我保护的秘密,才受刑法保护,泄密行为才能犯罪化[注]转引自车浩:《被害人教义学在德国:源流、发展与局限》,《政治与法律》2017年第10期。。被害人教义学在将受害者一方引入刑法规范体系、强调其自我保护的同时,进一步实现了与刑法辅助性原则和最后手段原则的完美勾连。虽然有关数位足迹的犯罪大都不属于“关系犯”,但被害人教义学的基本理念却在信息网络时代具有重要的借鉴意义。首先,在网络服务使用者明示同意可收集、使用数位足迹且无事实上的被害人时,对该类信息的收集和处理不存在法益侵害性。无论是重新划归信息的法律属性以期用其他罪名规制,抑或以行为人对次要法益自始无处分权为由入罪的做法均不可取。其次,在网络服务提供者业已尽到相关告知义务时,应视为网络服务接受者对数位足迹收集或使用的默示同意。网络服务接受者未充分了解要约内容而享受服务,或以所谓“制式合同”或“捆绑式”同意主张网络服务提供者未经同意而采集、使用数位足迹的,因自我答责而应将法益“悬置”[注]参见魏超《法确证利益说之否定与法益悬置说之提倡——正当防卫正当化依据的重新划定》,《比较法研究》2018年第3期。,网络服务提供者无须承担法律责任。正如案例一的裁判理由指出的:“网络用户亦应努力掌握所需网络服务的知识和使用技能,提高自我适应能力。”被害人教义学的核心原则之一是“被害人自我保护可能性”,即当被害人具有自我保护可能时,法益保护享有比刑法保护更和缓的手段,此时动用刑法则违背最后手段原则和辅助性原则[注]参见申柳华《德国刑法被害人信条学研究》,北京:北京大学出版社,2011年,第225页。。而对于被害人应该在多大程度上进行自我保护,通过何种标准考察自我保护措施的采取是否在合理限度之内,仍无定论。至少可以认为,在数位足迹的采集和使用中,采用一般人无法理解的专业话语体系做出的约定或需要借助一般人难以完成的操作所进行的限权,应视为没有自我保护的可能。同时,为了在数据利用与数据保护间实现平衡,许乃曼教授在侵犯秘密罪中所主张的严格限缩义务对象的示例似乎也值得省思。

综上,将数位足迹作为计算机信息系统数据予以规制的求解思路可以顺利通过实践理性检验。否定数位足迹作为公民个人信息不仅在一定程度上规避了法规范的冲突,还为限制公民个人信息外延的恣意扩张进行了卓有成效的探索。未经同意利用技术手段爬取他人数位足迹可能构成非法获取计算机信息系统数据罪;在获取数位足迹中对他人计算机信息系统造成严重损害,或为破坏他人计算机信息系统而采集数位足迹的,也可能构成破坏计算机信息系统罪。同时,用户明示或默示对相关数位足迹进行收集的,因欠缺法益侵害性而不构成犯罪。在互联网深度应用场域中,网络服务接受者理应在合理限度内实现对信息资料的自我保护。面对同样有效但又不那么凌厉的自我保护对策,刑法应恪守其补充性的善良品格。

四、结 论

如果正义有一张普罗透斯的脸,捉摸不定,变幻无常,那本文论及的数位足迹又何尝不是如此。实然层面的多重法益征表虽然既能达致规范保护的全面性和多维性,又可满足其在不同规范中的适应性,但构成要件的过度分立实难确保对规范的准确适用。关于数位足迹法律属性的误读,在微观上导致相关案件裁判错漏,在介观层面引发刑法教义学体系杂沓,还在宏观层面招致整体法秩序的混乱!因此,以数位足迹的技术特性为基础,从应然层面修正其法律属性就显得尤为关键。数位足迹在通常情况下无法识别特定个人,不能与特定自然人的具体人格相对应,因而不属于公民个人信息。面对间接可识别性标准的大而无言,刑事司法对侵犯公民个人信息行为的深文周纳,数位足迹毋宁是一种计算机系统数据,由此摆脱类似“莫比乌斯环”的桎梏。对数位足迹的非法采集和使用会打破所有人对计算机系统的控制、危害其数据安全性,情节严重的可构成非法获取计算机信息系统数据罪;如若对数位足迹的采集还危害计算机系统的正常运行,后果严重时还可构成破坏计算机信息系统罪。面对科技变迁,“当创新不被法律扼杀时,经济最能蓬勃发展”[注]Richard Warner, Surveillance and the Self: Privacy, Identity, and Technology, Depaul Law Review, vol.54, 2005, p.847.,“大凡尖端技术都会蕴含有不确定的要素,如果都通过刑法的介入来勉强进行解决的话,那么就会使得尖端技术可能给人类社会带来的利益也被消解掉了”[注]储陈城:《人工智能时代刑法归责的走向——以过失的归责间隙为中心的讨论》,《东方法学》2018年第3期。;同样的,“刑法的进步意味着刑罚逐步做到非感情用事、做到冷静和非理性化”[注][德]古斯塔夫·拉德布鲁赫:《法律智慧警句集》,舒国滢译,北京:中国法制出版社,2016年,第47页。。被害人教义学从受害人有限度地进行自我保护出发,将未尽合理保护义务而造成实害的行为也排除在刑法处罚之外,不失为更加理性的选择。据此,同意采集数位足迹的因不具有法益侵害性而不构成犯罪,网络服务使用者未在合理限度内管控自己的数位足迹而造成损害的也应自我答责。纵使“形式法治是法治的阿喀琉斯之踵,突破形式法治就是反法治”[注]刘艳红:《“规范隐退论”与“反教义学化”——以法无明文规定的单位犯罪有罪论为例的批判》,《法制与社会发展》2018年第6期。,但在扎紧维护信息安全藩篱的同时轻怠“出罪注重合理与入罪注重合法同等重要”[注]储槐植:《出罪应注重合理性》,《检察日报》2013年9月24日,第3版。的教义,也无异于打开了潘多拉魔盒。