人工智能与涉数据网络犯罪初探

孟 涵 陈 烨

(广西民族大学法学院， 广西南宁 530000)

一、问题的提出

1.网络犯罪及数据保护的现状

网络犯罪的范围涉猎较广，侵害性也逐渐增大。有调查表明，全世界近三分之二网民的个人信息曾被盗窃、泄露。相应的数据显示，网络欺诈行为大多通过移动设备进行，其中又有绝大多数源自移动应用程序。一旦网络犯罪分子通过获取到移动设备的访问权限进入到注册的移动银行应用程序，便会启动多级网络犯罪活动。截至2016年，我国各地公安已侦破网络犯罪七千多件，共抓捕网络犯罪嫌疑人1.8万余人。2017年1月份的政法会议上，相关部门领导人指出中国网络犯罪占犯罪总数的三分之一，并以每年30%的速度增长。

网络犯罪带来的危害是不容小觑的，大至侵犯国家安全，比如利用网络散布虚假、恐怖信息，煽动颠覆国家政权、煽动分裂国家等各种危害国家安全的违法犯罪行为，对国家安全以及政治稳定造成损害，以及对公共秩序造成了扰乱，消减了政府权威乃至司法公信；小至每一个在网络空间中活跃的行为人都受到侮辱诽谤、恶意攻击以及个人信息被侵犯。2017年，随着《中华人民共和国网络安全法》的正式实施，对如何保障个人信息的安全、隐私如何不被他人侵犯的问题、数据权属及应用的法律问题以及人工智能与区块链等新兴产业中的数据安全保护进行了规划。对于大数据领域的安全法治问题已经越来越受到关注，有多个省份成立大数据地方监管部。

2.人工智能与涉数据网络犯罪概述

人工智能是研究、开发用于模拟、发展和完善人的智能的理论方法、技术及应用系统的一门新的技术科学。在互联网、大数据、算法以及人脑芯片的催化下，人工智能模拟体现了人类的聪慧能源，并以高于人类的做事速度、优于人类的做事精度协助人类解决林林总总的难题，包含突破了人类生理与物理上的困扰，代替人类在极端恶劣的环境下从事工作，将人类的创造力优势与人工智能的操作性优势达成完美融合。

人工智能犯罪主要包括两种行为方式：一种方式表现为行为人直接利用人工智能的操作系统实施犯罪。由于操作系统中存储了大量数据和信息，涉及个人隐私、身份信息、商业秘密等重要数据，若被非法获取和利用，进而实施相关犯罪行为，就会触犯侵犯公民个人信息罪、诈骗罪、窃取国家秘密罪等[1]；另一种行为方式表现为利用人工智能技术实施犯罪。犯罪分子将人工智能当作手段和工具实施犯罪行为。人工智能会提高犯罪行为成功的可能性、消除犯罪障碍以及降低犯罪难度，从而扩大了它的社会危害性。

涉数据网络犯罪是指以网络为媒介，对数字化形式进行技术处理的以一切数据为侵害对象的行为，以个人信息犯罪为逻辑起点，以信息搜集、处理、使用和储存为产业链条，主要涉及的犯罪类别包括计算机犯罪、个人信息犯罪、著作权犯罪和电信诈骗犯罪，范围延伸至与信息数据相关的网络犯罪整体。

网络犯罪的演变表现为三个阶段：第一阶段是将网络当作对象的犯罪；第二阶段是行为人利用网络作为实施犯罪的工具；第三阶段是行为人直接在网络上实施与传统犯罪相当的行为，即将网络当作载体。在最后一个阶段中，虽然表现出不同于前两种的犯罪现象，但仍与传统犯罪无太大的区别，只是犯罪的地点空间发生了转变。网络犯罪的常见类型主要包括为：利用网络平台进行色情的传播牟利、诈骗与敲诈勒索、侵犯隐私权以及贩卖个人信息、网络赌博、网络洗钱以及知识产权侵权。在《大数据安全白皮书(2018年)》公布的数据泄露中主要攻击手段中，排在前三位的是黑客攻击、恶意软件、配置或操作错误。

二、人工智能与涉数据网络犯罪密切相关

1.实施涉数据网络犯罪的便利性

人工智能技术是通过学习一定的算法与计算对大数据进行学习，在人类对网络以及智能系统深度利用之后，其智能系统本身也获得了不断升级与发展的潜能，逐渐获得主体资格，最终可能会对人类现有的制度进行一定的冲击。智能系统集中大量的数据于一体，数据作为信息的化身与载体，一旦形成数据库之后，不法分子若想要实行犯罪，只需攻破一次数据库即可获得全部信息，其犯罪成本的低廉以及利益的最大化，会强化行为人的犯罪故意[2]。由于AI操作系统本身存在了大量的信息数据，当该操作系统的掌握者或者使用人利用该信息进行不法活动，也为一系列下游犯罪的实行打开了阀门，如利用掌握的信息进行诈骗、进入金融系统窃取财物等，其便利性与可操作性可想而知。AI与网络的存在与发展的初衷是为了造福社会与公众，若被不法分子非法的利用，那么权利受到侵害的仍是社会公众。尤其是网络普及的当代，多数软件的使用都需要真实信息注册，以及手机电脑及大多数设备也存储了大量的隐私与信息。因此，为了防患于未然，进行前置性的构想与风险的预防、防控是出于对每个网络用户信息安全的基本尊重。

2.涉数据网络犯罪保护法益的转变

涉数据网络犯罪是指以网络为媒介，对数字化形式进行技术处理的、以一切数据为侵害对象的犯罪行为[3]。我国最传统的网络犯罪的对象是计算机犯罪，随着网络自身的技术性和虚拟性特征被网络犯罪所吸收，历经一代又一代的网络犯罪的转变，目前网络犯罪的中心已经转化为个人信息类型的犯罪。刑法的关注焦点已经从计算机系统的“数据”价值转向法律定位后的“信息”[4]。大数据时代下刑法的保护法益呈现从物质性向非物质性的转变，保护重心逐渐向个人权益倾斜[5]。

学界对于个人信息保护法益存在争论，主要包括三种学说：其一是隐私权说。个人信息保护法的立法根据在于公民个人隐私权的保护，其中包括精神性利益，在刑事立法上表现为以公民的精神性损害为要素的刑事非难基础[6]179-180；其二是人格权说。这种学说的观点体现在一般人格权是不容侵犯的，人格独立、自由与尊严同样值得保护，刑事立法上体现为公民人身权欲财产权的兼顾保护[7]45-46；其三为个人信息权说。主张该观点的学者认为应当确立个人信息法益，以保障个人信息所包含的人身权与财产权，在此基础上与第二种相类似，但扩充的部分是包括积极使用并许可他人使用的权利，并且消极防御他人侵害的权利也同样值得保护，在刑事追诉中体现为理念转变、体系革新与科学治理[8]。笔者赞成第三种学说，如今公民个人信息被侵害的手段越加繁多，其人身权与财产权都是应当予以保护，并且在一些积极权利与消极权利授予他人行使方面，个人信息的主体应当有赞成或者否认的意见，并决定是否赋予他人行使。

三、涉数据网络犯罪面临的规制困境

涉网络犯罪具有客观非物质性、隐匿性以及潜在性的特点，犯罪手段与传统犯罪存在差异。目前我国涉网犯罪形势严峻，在侵犯个人信息方面已经形成了相应的黑色产业链。上文已经指出由于目前的网络犯罪所保护的法益已经由个人信息犯罪代替了传统了计算机网络犯罪，因此，在法律评价上具有意义的相关数据与信息就有了区别，在刑事立法上则表现为涉数据网络越轨行为的否定性评价和行为人应当承担的刑罚[5]。

涉及数据网络犯罪的困境是取证难，证据的获取、保持以及效力的认定均存在问题。目前，行为人的防范意识较强，为了避免追查跟踪经常采用身份的多重转变，进行诈骗活动所在的网站域名也时常更换，并对涉案账号进行快速注销等。网络犯罪多发生在以网络软件、硬件为物理和技术基础的虚拟空间，导致追查行为人身份的难度提升。并且相关违法犯罪行为的痕迹或多或少表现为电子数据的形式，销毁之后提取需要较高的技术支持。证据本身的真实性和关联性也难以得到证实。

学者文立彬指出，从最初的互联网时代到信息网络时代，直至最终的三网融合，出现了异化的现象，其一是传统犯罪行为本身，由侧重于结果转变至对法益的保护为中心；其二是犯罪的主观方面，主要表现为故意或是过失；其三是客观方面，如犯罪的最终目的、犯罪针对的对象、以及危险结果等。就其犯罪对象而言，由单纯以牟利为目的扩大为营销号、公众号等点击量的扩大、转发评论的数量多少，流量博主以其自身的影响传播的能力也成为衡量价值的一种方式。从最初具体有型的、可以估价的金钱利益转化为更无形、价值更难以衡量的无形资产。在涉数据网络犯罪行为方面也呈现了多样化的形态，在非法获取个人信息之后，引发了大多数的下游犯罪，如获取信息之后实行的诈骗、敲诈勒索行为；行为人非法买卖或者盗窃个人信息之后办理信用卡，进行恶意透支等。我国对于治理涉数据网络犯罪的框架治理与预防并不完善，缺乏相应的法益保护对策，对于当下网络犯罪的一些概念性的解释以及犯罪行为与结果的认定存在模糊。网络犯罪的跨区域性强，不少学者已经提出跨区域跨国界的管辖权的问题。为了更好地惩治网络犯罪，可以建立区域性涉数据网络犯罪追惩机制，在一些特定区域设立试点进行治理。

四、预防人工智能实行网络犯罪之建议

习近平总书记在主持学习国家大数据战略时强调，“要切实保障国家数据安全”“要加强政策、监管、法律的统筹协调，加快法规制度建设”。笔者认为为了预防人工智能实行网络犯罪，可以从以下几方面着手：

1.对现有涉数据网络犯罪的规定进行规制与梳理

在人工智能高速发展与网络犯罪急剧增多的大环境下，在对信息安全的规制与保护方面，应当做到事先预防与事后打击相结合，把涉数据网络犯罪遏制在摇篮里。刑法是社会的最后一道防线，应当同时完善民事与行政的手段，多部门结合，更有效地防治犯罪的产生。在刑事立法方面，对法益保护的范围应当适当拓宽，以更有利于权益的保护。对刑事规制的节点相应增加，一些预防性的惩罚措施应当设立与完善。

在涉数据网络犯罪的规制范围上，应当对刑法的传统规则方式进行反思，社会防卫与安全保障价值方面也应当予以重视，从而对行为无价值的社会意义进行审视思考，实现责任注意功能化的适用。因此在涉数据网络犯罪的刑法保护法益上，不仅应当关注权利人的权利保障，对当下网络环境相关的法律专业词语概念的解释、犯罪行为模式的转变以及惩罚机制的完善，都应当给予相应的重视[5]。

随着网络舆论与人肉搜索带来的危害增加，网络媒体空前发展，其参与的主体也更加多元化，对网络环境进行合理合法的整治是切实有效的，毕竟网络空间仍是处于法律治理的范围之内，进行法治网络建设，每一个用户都应当遵纪守法，言论自由也应当在合理范围内，而不是利用其虚拟的空间为所欲为。维护规范、法制和有序的网络环境，是每一个用户都应当履行的基本义务，保护他人的合法权益同时意味着自我权利得到保护。

2.对人工智能实施涉数据网络犯罪时主体地位及权利边界进行明确

首先人工智能技术是通过学习一定的算法，依赖于云计算、大数据与算法的适用，在人类对网络以及智能系统深度利用之后，在庞大数据集下做出科学决断，其智能系统本身也获得了不断升级与发展的能力，更是网络逐渐获得主体资格的过程，最终可能会对人类现有的制度产生一定的冲击。集中大量的数据于一体本身就隐藏了潜在的风险，因为数据就是信息的化身与载体，一旦形成数据库之后，不法分子若想要实行犯罪，只需要攻破一次数据库即可获得全部信息，其犯罪成本的低廉以及利益的最大化，使行为人可能会控制不了犯罪的意念[2]。

于是在未来AI可能利用掌握的大量数据造成犯罪的情况下，也应当考虑两种情况：一种是行为人利用人工智能的操作系统，将其作为工具进行侵犯数据利益的网络犯罪的，应当由实施网络犯罪的行为人承担责任。德国学者费尔巴哈的“无行为则无刑罚”很好地阐释了这一点。在日后强人工智能时代，AI机器人有朝一日会具有自主认识与意志，逐渐享有了能够独立控制自己的意识与行为的能力，并且根据自我意识进行涉数据网络犯罪的行为之时，应当赋予其作为刑事主体的资格，由其独立承担责任。人工智能纳入刑罚处罚范围的设想存在着实现建构的可能，刑罚的一个重要功能在于“给予受到刑罚处罚的行为人做出反应的权利”[9]144-145。在人工智能具备辨认能力和控制能力，具备主体资格时，自动地受到刑法规制，而刑罚有预防犯罪和惩治犯罪的功能，实施了严重网络犯罪的行为，必然应当受到刑法的处罚。另一种是对AI数据共享的权利应当予以保障，其中包括数据使用权和知情权的一种数据使用模式。当不同权利主体的权利出现矛盾或冲突时，应当进行价值与利益的衡量，不能全权否定日后AI作为刑事主体所享有的权利与义务一体化的资格。归因于AI掌握大量数据的前提，其研发者、制造者、使用者有保证AI及涉及信息与数据的安全，从源头进行风险防控，确定严格责任。刑法对不当利用AI的行为加以规制，以维持秩序稳定与网络数据的安全，防止网络犯罪的发生。值得一提的是，防治犯罪的发生并不等同于禁止对AI智能的研发，虽然AI带来的刑事风险确实存在，但为了社会的发展，科技治国的理念并不能因此而摒弃。目前处于弱人工智能阶段，一切尚在掌握之中，对其发展的方向可以进行必要的限制，在可控范围内将人工智能带来的投产比最大化，对其进行前瞻性分析，减少法律的滞后性。

3.风险社会下同时秉持谦抑主义

人工智能所带来的技术风险是真实存在的，社会的发展难免同时存在着风险，现代社会的发展总是要进入一个风险社会的阶段，人类进行创造力与研究开发自然的活动，同样会带来社会风险，对人类生存和发展造成相应的威胁[10]344-346。在人工智能将会带来风险的情况下，我们应当正视一切所带来的风险的可能，并在刑法理论上坚定不移地坚持刑法的谦抑主义[11]。所谓谦抑，即倡导进行轻罪治理，轻刑处置。在刑法以责任主义为前提进行规范下，应当以预防主义来进行特别处理，使保护社会安全与教导行为人向善两方面相结合，而不随意侵犯个人的利益甚至是犯人的利益，以至阻碍社会经济的发展，所以刑罚的设置应当在合理适当的限度之内，此为谦抑之意。刑法是为了保护社会利益的“最后手段”。为了防止“刑事膨胀”现象的出现，只有在确有必要的前提下，才借以刑法的辅助，要理性防止在刑法方面的立法权滥用。

因此，尽管如今人工智能带来的风险势不可挡，涉数据网络犯罪的犯罪率逐年升高，但设置合理的刑罚即可，并无必要升格为更严厉更苛酷的法定刑，重刑化治理未必能起到足够的警慑作用。应当更全面地完善当下刑事方面的法律法规，尽快出台相关具体的司法解释，贯彻罪刑法定主义以弥补法律法规的滞后性，在机遇与风险同在的情况下，将犯罪的风险降到最低。