文/劳东燕
网络与信息技术的运用,正在深刻地撼动与改变我们所处的世界,也使得数据变得前所未有地重要。法律需要跟上科技的步伐,对数据的流动与利用进行必要的监管。数字科技不只是带来隐私与安全的问题,也正在对民主与自由的体制形成重大的冲击。如何根据个人数据的特殊性质,发展出适应于大数据时代需要的包括刑法在内的法律规制框架,构成当前各国所面临的共同难题。我国现有的刑法规制框架,能否为个人数据提供适当的刑法保护,无疑值得作必要的探究。基于此,梳理与归纳中国现有刑法规制框架的基本特点,考察其中的得与失,便有着重要的现实意义。这构成本文的问题意识。
个人数据作为一种资源,具有再生性与非竞争性的特点。它经常汇集多方主体的不同性质的权益。数据这样的特性,使得对其进行准确的法律定位变得困难,也难以将其纳入特定的部门法中来解决。思考与探讨对个人数据的刑法保护,应当将其置于整体的法律框架之中,从数据治理的角度来进行。数据法作为一个典型的领域法,聚焦各部门法在数据领域衍生的共性问题,有必要在横向上整合传统法律部门要素,在纵向上突破部门法的壁垒。刑法对个人数据的保护,需有意识地摆脱部门法的狭隘,通过往返观照数据法的整体框架来作调整。
由于个人数据在权益结构上的复杂性,采取传统的私权主义保护进路能否兼顾各种权益之间的平衡,便不可避免地引发相应的争议:第一,个人数据是作为私权意义上的物品来对待,还是应视为公共用品?第二,对个人数据的保护,是主要采取私法保护模式还是公法保护模式?第三,对各类主体而言,其对个人数据所享有的究竟是一种权利,还是只是单纯的利益?第四,对于数据主体而言,其对个人信息所享有的权利,是作为不容剥夺的绝对权利还是可予相对化处理的一般权利?第五,数据主体对于个人数据的权益,主要涉及的是积极的控制权能还是消极的防御权能?
前述争议中关键在于对第一个问题的回答。如果认为个人数据是作为公共用品而存在,则对其便不可能采取以私法为主的保护模式,而必然倾向于动用包括行政法与刑法在内的公法来进行保护。对各类主体而言,包括数据主体在内,对个人数据所享有的便不可能是排他性较强的权利,而只能是单纯的利益。相应地,由于个人数据属于公共用品,数据主体自然只能行使消极意义上的防御权能。如果坚持个人数据仍属于私权意义上的物品,则必然优先考虑用私法来对其进行保护。在此种构想框架中,数据主体对个人数据所享有的必定属于一种权利。
我国法学界多数观点倾向于从私权意义上看待个人数据。由于隐私权在我国法律语境中指涉的范围较窄,难以将所有具有可识别性的个人信息涵盖在其中,故而,数据主体对于个人数据的权利被认为是独立的个人信息权。信息的自决权是否具有宪法上的基本权利性质,这一点还尚未得到应有讨论。至于合法控制与处理个人数据的公司等组织,从实务的做法来看,其对所控制的个人数据没有被承认为是权利,而是作为一种应保护的经济性利益受到确认。从我国现行法律规定来看,也大体上能得出是持个人数据作为私权之物的立场。归结而言,个人数据之上的权益并不是一项简单的权利,而是一种权利集合,它囊括了不同主体在相同客体上的涉及人格、隐私、财产、主权等多方面的权利。
汇聚于个人数据之上的权益的集合性与多维性,自然会在我国刑法的保护框架中有所体现。本部分先对我国现行法律在个人数据保护方面的基本立场作出交待,在此基础上对现有的刑法保护模式进行梳理与归纳。
我国现行法律对个人数据的保护,与美国的“隐私权保护+行业自律”的保护模式差异较大,从相应表述来看,似乎与欧盟的《通用数据保护条例》的立场较为接近。不过,我国对个人数据的法律保护,至少在两个方面上明显不同于《通用数据保护条例》。一方面,我国的个人信息权基本上是在自我决定的意义上来理解与界定,而这种自我决定主要体现在收集环节的征求同意与信息告知上,并且主要限于直接从数据主体处收集个人数据信息的场合。另一方面,政府在其中扮演的不仅是强监管者的角色,更发挥着主导者的作用。它不只是以数据主体的保护者或利益冲突的调解者的面目出现,同时也作为重要的个人数据的控制主体与处理主体而存在。
前述不同,可能源于《通用数据保护条例》与我国现行法律在基本价值取向上的差异。前者有条明显的主线,那就是强化数据主体对于数据的控制权,并通过兼顾人格权与财产权的方式予以保护。基本上,它采取的是法权保护进路,表现出优先保护个人数据权利的倾向,据此而对数据的控制者与处理者设定了相当高的合规义务。我国现有的法律则采取的是利益衡量的进路,更为强调对数据科技产业及数据经济的保护与对社会秩序的控制。利益衡量进路也为法学界所广泛支持。数据主体对个人数据所享有的权益名为权利,实质上只是作为单纯的利益而存在,它往往很容易被其他利益所超越。由此而言,我国现行的法律框架显然采取的是优先保护国家与社会利益的价值立场。对于数据主体的个人信息权,只有在不影响科技产业与数据经济的发展,不危及社会秩序稳定的前提下,才有可能得到有限度的法律保护。
由于我国刑法基本上是按所侵害的法益类型来安排相应罪名的位置,可将我国刑法对于个人数据的保护归纳为四种模式。(1)经济秩序保护模式。无论是窃取、收买、非法提供信用卡信息罪还是侵犯商业秘密罪,都是作为侵犯经济秩序利益的犯罪而存在,这样一种为个人数据所提供的刑法保护,可称为经济秩序保护模式。(2)人格权保护模式。由于通信自由与个人信息权都被归于个体的人格权之下,故侵犯通信自由罪与侵犯公民个人信息罪所提供的刑法保护,可称为人格权保护模式。(3)物权保护模式。以传统财产犯罪为个人的电子财产数据提供刑法保护的模式,不妨称为物权保护模式。(4)公共秩序保护模式。非法获取计算机信息系统数据罪与破坏计算机信息系统罪均作为保护数据安全的犯罪而存在。此时的个人数据,主要是作为与网络安全相关的公共秩序利益而获得刑法保护,故可称为公共秩序保护模式。
从刑法的相关规定来看,现有的四种保护模式为个人数据的刑法保护奠定了一个基本的框架。此种刑法保护框架对于个人数据的刑法保护是否合适与足够,能否满足大数据时代个人权利保障的需求,有必要作进一步探讨。
在个人数据的保护方面,对我国的刑事立法与司法现实进行考察,可得出三个发现。其一,我国对于个人数据的法律定位,并未摆脱古典时代占有主义观念的影响。我国法律与法学理论对于个人数据性质的通行理解,明显受到这种以劳动理论为基础的占有主义观念的影响,将之作为所属之物来理解与界定。其二,我国刑法对个人数据犯罪的规制,关注的重心放在非法获取而不是滥用的行为之上。就现有适用的罪名来看,刑法规制的重点放在非法获得或帮助获得对个人数据的占有的行为之上。其三,我国刑法对涉及个人数据的犯罪的惩罚,偏向于对秩序利益的维护。我国刑法对个人数据的保护,呈现出秩序利益至上、产业发展利益次之、个体权利再次之的格局。法律框架中三方的地位,正好与他们各自在信息社会中的实际处境相对应。
以此审视现有保护模式,有助于洞察我国刑法保护框架所存在的不足之处。首先,当前的刑法保护框架对于数据滥用的行为缺乏必要的规制。在数据流动化与商业化不可避免的背景下,滥用行为将成为侵害数据权益的首要的不法行为类型,我国现行刑法却没有罪名来对付严重的数据滥用行为。其次,当前的刑法保护框架虽也能运用相应罪名来处罚某些侵犯数据权益的行为,但这样的处罚无法准确揭示相应行为的不法本质。对于盗取或骗取个人的游戏账号、游戏装备等虚拟财产的行为,我国司法实务中正较多地运用非法获取计算机信息系统数据罪来定罪处罚。但此类行为的不法本质在于被害人的经济利益受到侵害,以公共秩序保护模式来进行保护并未准确揭示相应行为的不法本质。再次,当前的刑法保护框架同时存在犯罪化不足与犯罪化过度的问题。犯罪化不足不仅体现在未将滥用行为纳入刑法的处罚范围,也表现在对数据泄露的行为缺乏刑法层面的规制,以及对敏感数据没有给予特别保护。过度犯罪化则主要表现为:利用旨在保护具有稀缺性与排他性的财物的传统财产犯罪,来对付侵犯虚拟财产的行为;即便是在数据主体的合理预期范围之内,出售或者向第三方提供个人数据的行为也可能被定罪。最后,当前的刑法保护框架对数据主体的权益保障显得不足。个人经常是在不知情的情况下被收集众多数据,且在数据被收集后完全对之失去控制的权限与可能。侵犯公民个人信息罪对信息自决权的保护局限于数据收集环节的权利。
我国当前对个体在数据权益面向的法律保护,存在保护严重不足的问题。权利主导的进路对于如何推进我国的个人数据保护具有重要的参考价值。
信息社会的治理需要实现规制与自治的功能互补。有必要倡导一种反思性的法发展范式,法律在尊重各功能领域的规范自我生产的同时,推进各领域进行反思性的自我控制,使得相应的规范生产机制合乎法治框架的要求。法律需要采取间接调控的方式,不宜直接介入对信息技术的计划和控制。在确定法发展的基本范式之后,需要进而探讨在个人数据的保护上,现有的刑法框架应当在观念上实现什么样的转变的问题。
首先,需要摆脱占有主义的所有权观念的影响,避免对个人数据的法律性质下统一的定义;应当根据个人数据的具体类型及其在不同场景中所牵涉的权益,作出有针对性的界定。我国有论者依据是涉及个人私密领域、人际交往领域还是社会公共领域,按照涉及人的尊严、人的自由还是社会价值,来对个人数据进行分类。前述观点在思路上给人以启发。同时,相同数据在不同场景中可能涉及不同的权益,故单一的界定路径并不可取,以语境化的消费者预期和风险规制的视角来看待数据隐私的保护较为合理。
其次,刑法保护框架有必要实现三个转换。(1)在价值取向上,实现从社会秩序导向到个体权益导向的转换。在法律上应赋予数据主体充分的控制权限,对于严重侵犯数据主体控制权限的行为,可考虑运用刑法的手段来打击。(2)在规制的重心上,实现从非法获取数据的行为到滥用数据行为的转换。法律必须建立以保护合理使用为核心的规范体系,相应地,刑法规制的重点,也理应放在对数据的非法滥用行为的打击上。就像对财产的使用会受到限制那样,对于个人数据的使用,理应遵循类似的原理。(3)在数据主体的权益内容上,实现由单一的消极防御权能到以二者并举且以积极控制权能为主导的转换。传统的隐私权保护偏重于事后的消极防御。若是不赋予数据主体对于个人数据的积极控制权能,个人将难以扭转自身在异化的信息社会结构中所处的绝对弱势地位,也无法有效地避免因信息技术的滥用而可能遭受的各种侵害。
再次,从方法论而言,对于个人数据之上所汇集的各种权益,采取单一的法权进路或是利益衡量进路均不可取。应当根据个人数据的类型来采取不同的进路,对普通的个人信息,可以采取利益衡量的进路;对敏感信息特别是生物数据,应当考虑采纳法权进路。统一的法权进路或是利益衡量的进路,可能都存在一定的缺陷,难以在分享与控制之间达成必要平衡。原则上,与个人生理或精神的关系越密切的个人数据,越应归入人格权的范围中予以保护,且不容许随意为其他的利益考虑所超越;与个人的人格尊严在关联性上越是疏松的数据,越可作为利益来对待,也越容许考虑数据商业性流动的需要。
最后,从风险分配的合理化考虑,在个人数据的刑法保护中,应当适用主要由控制者与处理者来对相应风险及结果负责的归责原理。以同意机制为基础的法律保护框架,显然是将对个人数据的保护责任主要放在数据主体之上,一旦表达同意,后续的风险及其结果便要由数据主体来承担。这样的归责方式既有失公平,也难以起到威慑与预防的效果。根据刑法归责中的管辖原理,由个人数据收集、保管与使用而产生的风险,理应主要由控制者与处理者来承担。对个人数据的法律保护,其重心应当在于强化控制者与处理者的合规义务。
我国刑法对个人数据的保护尚未形成周全的框架,无论在立法论还是解释论上均存在调整的空间。基本的调整原则应当是,根据不同的风险种类和行为所侵犯法益的不同性质,有针对性地采取不同的保护模式。
数据无疑具有一定的财产或经济的属性,但仅此不能认为它可归入传统的财物。传统财物具有稀缺性,不仅不可再生,在占有与使用上也具有排他性,数据则缺乏这样的特点。个人数据虽有共享性的一面,但缺乏权利上的专属特性,也难以纳入知识产权的范畴。个人数据在将来成为一种新的财产类型也未可知。但虚拟财产不宜在一般意义上被认为构成财产犯罪中的财物。它既不是民法上的物,也不属于民事权利,实质上是用户的账户操作权限。更何况,我国刑法对于知识产权并未采取物权保护的模式,对于财产属性较知识产权更为稀薄的个人数据,更不应运用传统的财产犯罪来惩罚。
依据个人数据的具体类型与不同场景中所涉及的权益性质,可对现有的四种刑法保护模式进行审视。(1)关于经济秩序保护模式。盗取或以其他方法非法获取虚拟财产的行为,在未来的立法规划中,应考虑放在破坏社会主义市场经济秩序罪中加以规定,对相应犯罪的法定型配置,理应比传统财产犯罪要轻。至于企业对于个人数据的控制与处理方面的利益,就目前的情况来看,以反不正当竞争法来处理较为合理,没有必要将之纳入刑法处罚的范围。(2)关于物权保护模式。如果作为行为对象的个人数据,最终指向的是物权意义上的财物,就可运用传统的财产犯罪来追究。为防止对其盗窃罪与诈骗罪构成要件的定型性造成重大冲击,使得二者之间的界分变得困难,理想的解决方式或许是,未来在立法上新增关于计算机诈骗的犯罪。(3)关于人格权保护模式。在未来的立法中,应考虑设立独立的滥用个人信息类的犯罪。就解释论来说,对侵犯公民个人信息罪的法益宜采取内涵丰富的个人信息权的概念,对包括生物数据在内的敏感数据进行特殊保护;在不违反罪刑法定原则的前提下,可将一些滥用行为纳入“提供”或“非法获取”之中来处罚。(4)关于公共秩序保护模式。对于非法获取、删除、修改他人手机或个人电脑等信息系统中的个人数据,应考虑按非法获取公民个人信息罪来定罪。侵入他人电子账户而盗取虚拟财产之类的行为,作为权宜之计,按非法获取计算机信息系统数据罪来处罚要显得合适一些。