田 刚
(中央民族大学 法学院,北京 100081)
法治建立在现实世界的基础上,人类社会正在经历前所未有的高速发展,肉眼不可见的微观世界才向人类敞开原子时代的大门,不具有实体形态的大数据时代又接踵而来。从联合国2009年的“数据脉动计划”之后,世界各国普遍将大数据上升到国家战略层面。(1)参见朱卫东、张超、吴勇:《大数据与“五位一体”的国家战略应用布局》,载《毛泽东邓小平理论研究》2017年第3期。我国从2014年将大数据写入中央政府工作报告后,2018年更明确提出“全面实施国家大数据战略”。大数据时代的序幕已经拉开,大数据背景下的社会治理将面临全新的挑战,首当其冲的就是数据安全刑法保护领域。全新时代背景下,如何将技术模式下的数据安全,置于刑法的视角下进行合理保护,是刑法适应时代变迁自我更新的关键。
基于数据犯罪的汹涌态势和数据安全重大利益的保护需求,刑法及时介入到数据安全保护领域具有毫无疑问的必要性。然而,同传统社会拥有漫长理论调整期和实践缓冲期的刑法更新模式不同,信息社会发展的迅猛态势,使刑法更新缺乏足够的理论指导和实践积累。目前刑法的快速扩张,实际上具有一种“迫不得已”的实验性质,背后的法律风险不容小觑。数据安全具有数据有效保护和合法利用双重内涵,(2)《数据安全法(草案)》第3条:“数据安全,是指通过采取必要措施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力”。刑法对数据安全领域的过度介入,在加强数据保护的同时,也容易阻碍数据合法利用,难以实现数据安全的刑法保护功能。因此,为了防范数据时代的刑法更新风险,刑法应当保持其应有的谦抑性,明确数据安全的刑法保护边界。
数据安全早期仅是一个技术性概念,但随着世界各国普遍将其纳入到立法之中,数据安全的独立法益属性开始凸显,《数据安全法(草案)》的发布正式宣告了数据安全成为独立于信息安全的新型法益,基于数据安全自身利益的多元性,所有部门法都应将数据安全纳入自身的保护范围之中,而刑法更是其中关键的一环。
数据安全(Data Security)并不是一个传统的法律术语,其更多的时候是属于计算机信息系统技术层面和管理层面讨论的概念。最早的数据安全范畴可以追溯到20世纪60年代末期,是基于控制论而提出的一种可控制的“赛博空间”(Cyberspace)系统安全,其本身是一个纯技术概念。(3)参见Jacob Lillemose,Mathias Kryger,The (Re)invention of Cyberspace,Kunstkritikk,24.08.2015,http://www.kunstkritikk.com/kommentar/the-reinvention-of-cyberspace/, last visited on 11.08.2020美国小说家威廉·吉布森(William Gibson)于20世纪80年代初期,在其科幻文学作品用以描述未来社会的虚拟电子信息场域时,提出了网络虚拟场域中的数据安全概念,(4)参见Gibson, William. Neuromancer.New York: Ace Books.1984, p.69.数据安全被重新赋予社会秩序安全的全新内涵,(5)参见Davidson James Dale,William Rees-Mogg.The Sovereign Individual. New York: Simon & Schuster. 1999, p.8.并在20世纪90年代成为在社会学、政治学、新闻学等学科领域普遍接受和认可的专业词汇。(6)参见Strate, Lance. The varieties of cyberspace: Problems in definition and delimitation. Western Journal of Communication.1999:63 (3), pp.382-383.我国也于20世纪90年代末引入了数据安全的概念,并同传统的隐私权进行结合性思考。(7)参见【美】阿兰德(N.W.Allard), 科斯(D.A. Kass):《网络空间的安全与隐私问题》,陶旭东、陈芳译,载《现代外国哲学社会科学文摘》1998年第2期。该文翻译节选自:Nicholas W. Allard, David A. Kass.Law and Order in Cyberspace.Hastings Communications and Entertainment Law Journal.1997:(563):19,pp.566-585.由此可见,数据安全一词被用于广泛的学科领域,而不同学科领域基于不同视角对其进行了多样化的阐释,根据国外学者的统计,关于数据安全在理论上有较大影响的定义近30种。(8)FD Kramer, S. Starr, L.K. Wentz (ed.). Cyberpower and National Security. Washington DC: National Defense University Press.2009, p.15.数据安全这一概念从诞生之初,就处在不断的异化和演进之中。整体来看,数据安全的外延在持续性地扩张,在物理基础层面,由早期的计算机网络向各类通讯网络、工业网络、服务网络扩张,甚至将小型局域网和单机网络也纳入自身物理网络体系;(9)参见Graham, Mark.Geography internet: ethereal alternate dimensions of cyberspace or grounded augmented realities?. The Geographical Journal. 2013:179(2), pp.177-182.在场域层面,从最早期的技术场域到基于数字化模拟的虚拟场域,当前已然由于同现实社会的高度融合实现了实体化发展。(10)参见Graham, Mark.Time machines and virtual portals: The spatialities of the digital divide. Progress in Development Studies.2011:11(3), pp.211-227.
实际上,不只是理论层面,自2003年美国首次在《保护网络空间的国家安全战略》对数据安全进行界定后,各国政府机关和国际组织通过官方文件所阐释的数据安全概念也是内涵和外延各异。值得注意的是,同学术界运用数据安全来进行理论探讨不同,各国政府和国际组织在数据安全概念纳入到官方文件本身,就已然说明公权力开始介入到数据安全领域,换言之,数据安全在法律层面的概念本身就是公权力适用于数据安全的宣示。而我国最早规定数据安全的法律是1998年颁布的《证券法》,(11)1998年《证券法》第152条:“证券登记结算机构应当采取下列措施保证业务的正常进行:(一)具有必备的服务设备和完善的数据安全保护措施……”。2015年的《网络安全法》中对数据安全亦进行了规定,(12)《网络安全法》第18条:“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。”而在2017年修订的《测绘法》中同样规定了数据安全的相关内容。(13)《测绘法》第14条第2款:“卫星导航定位基准站的建设和运行维护单位应当建立数据安全保障制度,并遵守保密法律、行政法规的规定。”;第18条第2款:“互联网地图服务提供者应当使用经依法审核批准的地图,建立地图数据安全管理制度,采取安全保障措施,加强对互联网地图新增内容的核校,提高服务质量。”但是整体来看,我国现行法律依然缺乏对数据安全的系统化表述,仅有的一些规定也都是从技术和管理保障的层面来讨论数据安全,未将其作为一个独立的重要权益予以保护。 2020年7月《数据安全法(草案)》的发布,标志着我国开始将数据安全作为独立法益进行保护,而这也仅仅是我国围绕数据安全进行全面法律更新的一个起点,后续其他部门法的更新中,都需要考虑新兴的数据安全法益的保护需求,而刑法保护无疑是其中重要的一环。(14)《数据安全法(草案)》第47条:“通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。”第48条:“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理处罚行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”
《数据安全法(草案)》中对数据的界定为:“任何以电子或者非电子形式对信息的记录”,将数据分为了“电子形式”和“非电子形式”两种类型,但毫无疑问后者才是真正同信息通讯和网络技术充分相结合,开启了大数据时代的“主角”。在网络社会尚未成型时期,诸如德国社会学家弗勒希·特海姆(OssiP Flechtheim)、加拿大传播学家马歇尔·麦克卢汉(Marshall Mcluhan)等一批敏锐的学者,已然认识到了数据价值的充分利用将会给人类传统社会规则带来的颠覆性变革,然而,彼时的研究并无应有的现实基础,因此也被视为一种未来学研究。(15)参见王强:《人类面临的新社会——20世纪未来学大观》,载《国外社会科学》1999年第6期。而在网络社会初具雏形之时,新诞生的网络空间数据安全保护的“权力真空”由谁来填补,开始真正引起了关注。部分技术专家认为,认为虚拟数据可以享受不受现实法律约束的“自由”,特别是应当排除国家刑罚权的介入,该主张和期待网络空间中的“黑客”会自发形成正义且道德的共同“黑客伦理”一样,(16)参见Steven Levy.Hackers: Heroes of the Computer Revolution, Massachusetts: O'Reilly Media Inc.2010, pp.29-34.成为20世纪末兴起的“赛博自由主义”思潮(Cyber Libertarianism)的重要内容。(17)参见Borsook, P.. Cyberselfish: Ravers, Guilders, Cyberpunks, And Other Silicon Valley Life-Forms. Yale Journal of Law and Technology.2001:3(1),pp.1-10.“网络自由主义”所主张的网络空间“数字化”“去中心化”“端口共享”等技术架构,在技术层面并无问题。但是基于技术天然的中立性,上述技术特性并不会自动转化成法律规则,其混淆了技术问题和法律问题。(18)参见David D.Clark,Marjory S.Blumenthal.Rethinking the Design of the Internet: The End to End Arguments VS.the Brave New World.ACM Transactions on Internet Technology.2001:1(1),p.72.实际上,电子数据系统的技术架构特性,使其对传统现实社会空间的权益有高度开放性与极强的兼容性,随着数据和现实社会的充分融合,人类的行为本身就是一种实时的数据行为和现实行为的复合,“永远‘在线’和随时‘接入’已成为众多个体的生存状态,虚拟‘身份’、‘行为’和‘财产’和真实身份、行为和财产亦浑然一体。”(19)张新宝、许可:《网络空间主权的治理模式及其制度构建》,载《中国社会科学》2016年第8期。当前,各类数据处理活动(20)《数据安全法(草案)》第3条:“数据活动,是指数据的收集、存储、加工、使用、提供、交易、公开等行为。”的存续和发展也高度依赖传统现实空间法律所建构的秩序,“赛博自由主义”排斥数据安全领域国家刑罚权的运用,已然被数据应用的迅速扩张自身所否定。(21)参见Dwight D. Murphey.Cyber Anarchism, Wiki Leaks and Computer Warfare: the Unprecedented Dangers Associated with Information Technology Today.Journal of Social Political and Economic Studies,2011:36(4),p.465.
数据安全能够形成封闭性全新秩序的客观前提,是其同传统社会安全存在足够的隔离性和独立性,但实际上,数据安全从未具有过这种隔离性和独立性。在网络空间初创时期,网络空间中固有的虚拟性与技术性特征,在一定程度上使人产生了网络空间中的电子数据具有虚拟性,同现实空间的现实权益是独立而平行的错觉,而随着网络社会的扩张,其同传统社会的高度融合,并同现实社会的各种利益复杂交织。当前的社会背景下,任何一类传统社会权益都可以通过数字化的方式以特定的数据方式呈现出来。因此,数据处理活动同传统社会的各项活动一样,除了技术规则以外还需要符合社会规则,以满足不同主体的合理利益诉求。而为了维护增进数据处理活动中的公共权益和保障实现数据处理活动中的个人权利,刑法公权力都有必要充分地介入到数据安全保护领域,而且是一种全面性介入,不是单纯地局限于特定的“网络刑法”。(22)参见孙道萃:《网络刑法知识转型与立法回应》,载《现代法学》2017年第1期。刑法作为所有重要法益的最后保障法,全面介入数据安全的法律保护,具有时代的必要性。
我国现行《刑法》对数据安全保护的扩张,是通过不断拓展信息犯罪外延的方式实现的,而当数据被赋予国家基础生产要素地位之后,刑法无法再继续通过信息犯罪对数据安全进行全面性的有效保护,未来刑法必然要将数据安全作为独立的法益,建构新的数据犯罪罪名体系,实现数据安全领域刑法保护的大规模扩张。
数据是记录信息的载体,因此数据和信息是一对紧密联系的概念,我国刑法早期对数据的保护,实际上是通过对数据所记录特定信息的保护来实现的。
我国1997年《刑法》立法之初,被作为犯罪对象的信息仅限定为“秘密情报”类信息和“证券交易类”信息两类,前者具体通过为境外窃取、刺探、收买、非法提供国家秘密、情报罪,非法获取国家秘密罪,故意泄露国家秘密罪,过失泄露国家秘密罪,非法获取军事秘密罪,为境外窃取、刺探、收买、非法提供军事秘密罪,故意泄露军事秘密罪,过失泄露军事秘密罪和侵犯商业秘密罪来实现;后者则通过内幕交易、泄露内幕信息罪和编造并传播证券交易虚假信息罪来实现。(23)“编造并传播证券交易虚假信息罪”被《刑法修正案》修正后,现行《刑法》中的罪名为“编造并传播证券、期货交易虚假信息罪”。
1999年颁布的《刑法修正案》通过修正内幕交易、泄露内幕信息罪和编造并传播证券交易虚假信息罪的方式,将“期货内幕信息”和“期货交易虚假信息”纳入到刑法的规范范围; 2001年颁布的《刑法修正案(三)》通过增设编造、故意传播虚假恐怖信息罪的方式,将“虚假恐怖信息”纳入到刑法的规范范围;2005年颁布的《刑法修正案(五)》通过增设窃取、收买、非法提供信用卡信息罪的方式,将“信用卡信息”纳入到刑法的规范范围;2006年颁布的《刑法修正案(六)》通过修正提供虚假财会报告罪的方式,(24)“提供虚假财会报告罪”被《刑法修正案(六)》修正后,现行《刑法》中的罪名为“违规披露、不披露重要信息罪”。将“公司、企业依法应当披露的信息”纳入到刑法的规范范围;2009年颁布的《刑法修正案(七)》通过增设利用未公开信息罪,出售、非法提供公民个人信息罪,非法获取公民个人信息罪,(25)“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”被《刑法修正案(九)》修正后,现行《刑法》中的罪名为“侵犯公民个人信息罪”。将“内幕信息以外的其他未公开信息”“公民个人信息”纳入到刑法的规范范围;2015年颁布的《刑法修正案(九)》通过增设宣扬恐怖主义、极端主义、煽动实施恐怖活动罪,拒不履行信息网络安全管理义务罪,编造、故意传播虚假信息罪,泄露不应公开的案件信息罪,披露、报道不应公开的案件信息罪的方式,将“恐怖主义、极端主义信息”“违法信息、用户信息、刑事案件证据信息”“虚假的险情、疫情、灾情、警情信息”“不公开审理的案件中不应当公开的信息”纳入到刑法的规范范围。
综上,随着信息社会的不断发展,我国刑法通过修正案的方式,不断扩展纳入刑法制裁的信息犯罪范围,使数据安全的保护也得到了同步的扩张。
虽然刑法通过对特定信息的保护,可以间接地实现对数据安全的保护,但数据和信息在刑法视阈下存在本质上差异,刑法对信息安全的保护无法对数据安全实现全面、完整的保护。信息和数据是经常联系在一起的一对概念,经常被司法解释用来进行互为解释,(26)《危害计算机信息系统安全刑事案件解释》第11条规定:“本解释所称‘身份认证信息’,是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。”但仔细考察信息和数据在我国刑法中的具体表达场景,二者仍然存在明显差异。“信息”是具备特定含义的内容,泛指“现代科学指事物发出的符号系列(语言、文字、数据、状态等)所包含的内容,包括人和人、人和自动机以及自动机和自动机之间的消息交流,动、植物界的信号交流,细胞间和机体间的特征传输等。”(27)董大年:《现代汉语分类大词典》,上海辞书出版社2007年版,第578页。刑法中的信息关注的是内容属性,其普遍同特定的利益相联结,例如,“内幕信息”“信息卡信息”“公民个人信息”。“数据”是信息的记录载体,本身并不指向特定的内容,需要对数据进行特定目的化的处理后,才能形成特定内容的信息。刑法中数据,关注的也是形式属性,例如“计算机信息系统中存储、处理或者传输的数据”。
因此,信息和数据最大的差异在于,信息所包含内容及内容指向的具体法益是确定的,而数据通过处理获得的内容,以及内容指向的具体法益并不确定,而是一种抽象的法益可能性。例如,公民个人信息的内容是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”(28)最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条。而公民个人信息特定内容所指向的具体法益则是公民个人信息权。然而,数据在静态状态下仅是特定的符号排列,必须经过特定目的的数据处理后,才能转化为有具体内容的信息,而根据数据处理目的的不同,相同数据能够得到的信息内容亦存在差异。例如,某医院近10年的病例数据,通过数据处理可以获得公民个人信息和商业秘密、也可以获得公共卫生信息,在特定情况下可能还可以获得国家秘密、军事秘密。(29)例如,该医院有国家领导人的就诊数据,或者该医院同军事机构合作,开展具有军事用途的保密性试验数据等。实际上,如图一所示,在一定意义上,任何数据都可能同时关系到个体利益、公共利益和国家利益,(30)《数据安全法(草案)》第47条:“通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。”几乎可以抽象涵盖到现有刑法保护的所有法益。(31)参见田刚:《网络信息安全犯罪的定量评价困境和突围路径——大数据背景下网络信息量化标准的反思和重构》,载《浙江工商大学学报》2020年第3期。
图一 数据安全的内部分层模型图
我国刑法更加倾向对包含明确具体法益的信息进行保护,而对数据安全这种抽象的独立法益属性关注不足,最为典型的就是《刑法修正案(七)》增设非法获取计算机信息系统数据、非法控制计算机信息系统罪。在立法层面“非法获取计算机系统数据”的行为,犯罪对象是可能蕴含各类信息的数据,但是相关司法解释的方式,将其限定为包含“身份认证信息的计算机信息系统数据”。(32)《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条:“非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的‘情节严重’:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的”。然而,随着大数据技术的广泛应用,数据的独立价值日益凸显,特别是我国《数据安全法》施行后,数据安全将成为法定的独立法益,现有刑法通过信息对数据进行间接保护的方式,将面临保护严重不足的挑战。例如,非法获取上文所说的医院数据的行为,现有刑法必须要依赖行为人主观想获取的信息类别来确定行为性质,然而,行为人可能主观上并未有获取特定种类信息的目的,而是由于认识到该规模数据的价值,想非法获取后出售获利,此时如何进行准确的刑法评价将是难题。无论是按照侵犯公民个人信息罪、侵犯商业秘密罪抑或非法获取国家秘密罪都无法完整评价该规模数据的价值。因此,面临新的数据犯罪,传统立法独立性存在“先天不足”,学界开始提出未来刑法应当将数据安全法益作为独立保护法益,通过增设新的数据犯罪罪名,对数据犯罪进行独立规范评价。(33)参见杨志琼:《我国数据犯罪的司法困境与出路: 以数据安全法益为中心》,载《环球法律评论》2019年第6期。
“合边界审视”是指判定刑法扩张是否超出了基于刑法公权力谦抑性而限定的边界,是每一次刑法扩张前都应当被反复衡量的问题。同现在刑法所保护的信息安全相比,数据安全的内涵和外延上有了明显的扩展,但数据活动本质上依然是人类的活动领域。当前,数据安全中公权力的存在已经被立法所正式宣示,一旦数据活动关联到了足够重要的利益,刑法就应当考虑介入。而刑法介入不能只考虑必要性,更需要考虑“合边界性”,缺乏任何一个要素,刑法的介入都将出现“不稳定”乃至“坍塌”的制度风险。然而,尽管我国刑法从1979年开始,就整体上呈现出扩张趋势,但“刑法边界合理划定”问题长期以来却并未引发理论界的太多关注,这一方面固然是受到刑法学界对规范刑法学或法教义学研究偏爱的影响,(34)参见[西]里卡多·罗伯斯·普拉纳斯:《刑法教义学的本质》,张志钢译,载《中国政法大学学报》2020年6期。但更为关键的是,过去刑法扩张步履较为平缓,学界普遍能够接受而未提出太多质疑。近年来刑法扩张明显加速,尤其是《刑法修正案(九)》颁布后,我国刑法全面介入信息数据领域,(35)参见齐文远:《修订刑法应避免过度犯罪化倾向》,载《法商研究》2016年第3期。学界才开始集体反思是否存在刑法过度扩张的问题。
德国公法语境下的“刑法边界”,最初起源于契约理论对国家权力合法性的论证,契约理论模型中,国家刑事处罚权来自人民的权利让渡,因此,国家刑事处罚权必须限定在人民授权的界限内,否则应当视为一种越权行为。(36)参见[德]洛塔尔·库伦(Lothar Kuhlen):《论刑法与宪法的关系》,蔡桂生译,载《交大法学》2015年第2期。然而,由于契约理论是假设性的理论推演,缺乏真实契约内容基础,国家刑罚权从理论到实践需要更为具体的标准来界定,针对什么样的行为,国家才能运用刑罚权。(37)参见[德]克劳斯·罗克辛 (Claus Roxin):《德国刑法学总论》,王世洲译,法律出版社2005年版,第12页。因此,“刑法边界”问题在德国刑法学界,主要是围绕着合理限制国家刑事处罚权的标准如何确定展开。而在英美法系中,同样存在对刑事处罚权正当性追问的研究传统,英美法系中国家刑罚权设定界限的理论,受到19世纪自由主义政治哲学的直接影响,(38)参见[德]埃里克·希尔根多夫 (Eric Hilgendorf):《德国刑法学从传统到现代》,江溯、黄笑岩等译,北京大学出版社2015年版,第246页—251页。而在一定程度上,英美法系对于该问题的研究比以德国为代表的大陆法系更为深刻。(39)参见[英]安德鲁·冯·赫尔希:《法益概念与损害原则》,樊文译,载陈兴良主编:《刑事法评论》(2009年第1卷,总第24卷),北京大学出版社 2009年版,第187页。
我国刑法学界则长期缺乏对刑法边界这一问题的专门探讨,(40)国内曾有学者出版过以刑法边界为主题的专著,对同刑法边界相关的理论进行了梳理,然而对“刑法边界”概念本身却一笔带过,仅以“刑法的边界与犯罪化的含义相差不大”一笔带过,详见杨春然:《刑法的边界研究》,中国人民公安大学出版社2013年版,引言部分第1页。在很多情形下刑法边界一词被随意性使用,由此也导致了对刑法边界内涵的几种误读:其一,将刑法边界视为刑法条文的范围。因此,随着刑法条文的增加,刑法边界就会不断“延伸”,例如有学者提出,当前立法增设了较多保护“集体法益”的罪名,“这形象地反映了传统刑法边界在现代社会不断延伸的现实”。(41)参见孙国祥:《集体法益的刑法保护及其边界》,载《法学研究》2018年第6期。这种误读下,刑法边界不再具有在刑法条文之上限定国家刑罚权的功能,而是简单等同于刑法条文范围,可以被立法机构所随意突破;其二,将刑法边界视为罪名的适用范围。因此,扩大司法解释的存在本身就是刑法边界的“扩张”,例如,有学者提出当前司法解释中“应当知道”的运用是“对刑法边界的一次扩张”。(42)皮勇、黄琰:《论刑法中的“应当知道”——兼论刑法边界的扩张》,载《法学评论》2012年第1期。此种误读下,刑法边界也显然不是国家刑事处罚权的正当性界限,而是可以在刑法理论内部自冾的前提下,被司法机关“合理”打破的罪名适用范围;其三,将刑法边界视为正当程序原则。因此,刑法边界是需要通过正当程序来限定的,程序正义成为国家行使刑事处罚权的合理性依据,例如有学者提出,为了应对恐怖主义犯罪的新风险,国家刑事处罚权边界可以延伸,但是应当通过正当程序予以限制。(43)参见康均心、李迎春:《我国恐怖主义犯罪立法扩张及其边界——兼议“安全刑法观”之提倡》,载《刑法论丛》2018年第1期。这种误读下,刑法边界从实体法问题变成了程序法问题。正当程序固然也是对国家刑事处罚权进行限定的重要途径,但正当程序显然无法解决“何种行为不能被视为是犯罪予以刑事处罚”这一刑法边界核心问题。明确刑法边界的内涵,是讨论刑法当前网络空间扩张合理性边界的前提。笔者认为,刑法边界是基于公权和私权平衡而设定的国家行使刑事处罚权正当性界限。
具体来看,数据安全领域刑法扩张的合边界性审视,必须要明确以下几个前提:第一,数据安全领域的刑法保护必须符合国家行使刑罚权的正当性,不能突破刑法既定边界。刑法边界应是国家运用刑罚权时禁止逾越的“红线”,对刑法边界的“延伸”“扩大”“突破”本身都将造成国家刑罚权的滥用。在这个层面,数据安全同其他传统法益应当具有一致性,不能因为数据安全是新兴法益或是重要法益,就可以突破刑法权力边界。第二,数据安全的刑法保护应当是基于公权和私权平衡而设置的国家刑罚权。数据安全同时蕴含着公权和私权,而公权和私权必须处于一种动态的平衡当中,整个社会才能有序运行和持续发展。因此,当私权扩张的同时公权也需要同步扩张,但公权的扩张应当是基于对私权保护的合理扩张,数据安全的刑法保护作为一种公权力介入,不能损害数据安全领域的私权。第三,数据安全刑法保护不排斥刑法适用范围的扩张。刑法边界并非是对刑法适用范围的“画地为牢”,基于公权和私权的动态平衡,刑法边界允许刑事处罚权的合理扩张。在实践中表现为通过刑法条文和司法解释,实现罪名增设、可罚性前移等刑法适用范围的扩张,但是,数据安全领域刑法适用范围的扩张应当始终坚持“边界意识”,不能突破刑法边界。
我国学界普遍以“法益原则”作为划定刑法边界的理论模型,但其早已饱受理论质疑和实践否定,实际上已经难以承担评价刑法是否过度扩张的理论工具功能。因此,数据安全法益自身不具备限制刑罚权过度扩张,划定刑法边界的功能。引入英美法系的刑法边界划定模式,基于危害性原则对数据安全刑法保护边界进行划定,是确保数据安全领域刑法扩张能够坚守自身谦抑性的合理路径。
我国早期对刑法边界划定的理论通说,是源于前苏联刑法理论对犯罪实质定义而建构的社会危害性理论,(44)参见薛双喜:《苏俄刑法学关于社会危害性理论的论争》,载《中国刑事法杂志》2010年第3期。但随着“法益原则”和“危害原则”逐步被引入国内之后,“社会危害性原则”的理论定位问题开始引发学界的广泛思考,主要产生了以下两种代表性观点:(45)我国有学者提出了我国社会危害性原则实质上是英美法系的危害原则,该主张可以视为一种“社会危害性原则和危害原则同一说”,但该观点基本上未得到学界的认可,故本文未将其列为我国学界当前的主流观点之一。参见陈雨禾:《论犯罪化过程的阶层化构造——从社会危害性到法益侵害性的进阶》,载《犯罪研究》2014年第6期。其一,社会危害性原则和法益危害原则同一说。该观点认为,我国的社会危害性原则实质上就是大陆法系的法益原则。例如,有学者通过理论推演得出:“法益侵害性和社会危害性是本质上相同的概念”,(46)赵秉志、陈志军:《社会危害性理论之当代中国命运》,载《法学家》2011年第6期。有学者则直接从法律解释中提出:“我国刑法第2条与第13条的规定也清楚地表明,刑法的目的是保护法益,犯罪的本质是侵害法益。”(47)张明楷:《法益保护与比例原则》,载《中国社会科学》2017年第7期。其二,社会危害性原则独立说。该观点认为我国的社会危害性原则是同大陆法系的“法益原则”和英美法系“危害原则”相并列的独立理论体系,(48)参见姜敏:《英美刑法中的“危害原则”研究兼与“社会危害性”比较》,载《比较法研究》2016年第4期。然而,持该观点的学者也普遍提出,我国应放弃“社会危害性原则”向“法益原则”发展,“应当把犯罪客体还原为刑法法益,然后将刑法法益纳入犯罪概念,以法益侵害作为犯罪的本质特征,由此取代社会危害性概念。”(49)陈兴良:《社会危害性——一个反思性思考》,载《法学研究》2000年第1期。因此,整体来看,无论对社会危害性原则持何种解读,我国刑法学界从21世纪以来,实质上已经集体向“法益原则”转向,这也被视为我国刑法理论摆脱传统苏俄刑法理论束缚的重大突破,(50)参见张明楷:《新刑法与法益侵害说》,载《法学研究》2000年第1期。从此,我国理论界开始普遍期待法益原则可以承担限制国家刑罚权、刑法正当性证成的功能。(51)参见苏永生:《法益保护理论中国化之反思与重构》,载《政法论坛》2019年第1期。
“法益原则”主张法益是刑法的基本指导理念,而只有刑法规范的目的是为了保护法益时,才具有正当性,(52)参见Sehen Eric Hilgendorf.Punitivität und Rechtsgutslehre: Skeptische Anmerkungen zu einigen Leitbegriffen der heutigen Strafrechtstheorie.Neue Kriminalpolitik, 2010:22(4), p.127.德国学者克劳斯·罗克辛 (Claus Roxin)是坚持“法益原则”的代表性人物,其提出法益概念本身就是为限缩刑罚权建构的,刑法仅仅应当保护预先规定的利益,因此排斥单存违反道德的行为和单存违反秩序的行为。(53)参见[德]克劳斯·罗克辛 (Claus Roxin):《德国刑法学总论》,王世洲译,法律出版社2005年版,第12-14页。换言之,在数据安全刑法保护领域,只要数据安全被确立为值得保护的独立法益,相应的刑法合理性边界就已然确定。
毫无疑问,“法益原则”在当前我国学界具有较大的影响力,然而“法益原则在理论层面一直存在两个问题难以解决。第一,法益究竟是什么?法益概念在德国学界依然是众说纷纭,未有一致性的界定,甚至可以认为德国学界关于法益唯一的“共同立场”就是——法益概念始终处于争论和模糊之中。(54)参见[德]汉斯·海因里希·耶塞克、[德]托马斯·魏根特:《德国刑法教科书(上)》,徐久生译,中国法制出版社,第10-12页;[德]克劳斯·罗克辛 (Claus Roxin):《德国刑法学总论》,王世洲译,法律出版社2005年版,第14-16页;[德]埃里克·希尔根多夫 (Eric Hilgendorf):《德国刑法学从传统到现代》,江溯、黄笑岩等译,北京大学出版社2015年版,第231页。《草案》中关于数据安全是数据得到有效保护和合法利用,并持续处于安全状态的能力的界定,是否可以直接作为刑法中“数据安全法益”的内涵?
第二,法益如何限定刑罚权?基础概念的争议在法学理论界可谓是一种“常态”,因此,上述法益概念之争并非不可接受,但是对法益功能的普遍质疑,则直接动摇了“法益原则”划定刑法边界的理论基础。“法益原则”能够限制刑罚权的前提是法益凌驾于刑法立法者之上,换言之,法益应当是先于刑事立法而存在,刑事立法者不能修正法益的内涵,更不能随意扩张法益的外延。然而,法益本身的生成机制却排斥上述理论前提判断。刑事立法者对社会中各种利益进行判断,将其中特定利益通过刑法进行保护,特定利益也就成为了法益,这也成为法益原则备受质疑的根源。(55)为了解决这一问题,部分坚持法益原则的学者试图从宪法中确定超越刑事立法者的法益,然而,宪法中高度抽象的价值内涵,反而给了刑事立法者肆意扩张刑法的便利。Sehen Eric Hilgendorf.Punitivität und Rechtsgutslehre: Skeptische Anmerkungen zu einigen Leitbegriffen der heutigen Strafrechtstheorie.Neue Kriminalpolitik, 2010:22(4), p.127..
因此,数据安全领域的具体法益由刑事立法者创制的这一模式,直接导致了数据安全法益无法超然于刑事立法行为。而从我国刑法在信息安全领域的扩张来看,一直存在着“刑法先行”的情况,既在私法尚未明确特定种类信息安全权利,但刑法却已然将其列为法益,最为明显就是刑法在2009年就将“公民个人信息”纳入保护范围,但作为行政法领域的《国家安全法》和民法领域的《民法总则》,在2017年才规定了公民个人信息的保护,而且至今刑法对公民个人信息外延的认定依然明显大于行政法和民法的规定。(56)刑法视阈下的个人信息,除了《网络安全法》和《民法典》中规定的身份识别信息外,还包括“特定自然人的活动情况”。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《网络安全法》第76条:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法典》第1034条:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”所以,显然很难期待数据安全法益本身可以实现限制国家刑罚权过度扩张,明确数据安全刑法保护边界的功能。
“危害原则”于19世纪中期随着自由主义理念的兴起,由美国学者约书亚·沃伦(Josiah Warren),英国学者约翰·密尔(John Mill)所先后提出,(57)参见Harvey Wish, Stephen Pearl Andrews.American Pioneer Sociologist.Social Forces.1941(19):4, p.481.并以1859年《论自由》为哲学基础,衍生了一系列法学理论主张,成为当前英美法系对刑法公权力合理性追问的首要归因和基础性原则。(58)参见[英]安德鲁·冯·赫尔希:《法益概念与损害原则》,樊文译,载陈兴良主编:《刑事法评论》(2009年第1卷,总第24卷),北京大学出版社 2009年版,第187页。“危害原则”主张,只有特定个体的行为给他人的正当利益造成损害时,才能接受来自社会的强制性惩罚,换言之,刑法公权力只能在出现“危害他人”("harm to others")时才能运用。(59)Mill John Stuart.On Liberty. London:Penguin Classics, 2006,p.13。值得注意的是,根据对“harm to others”一词的翻译不同,对于本文中的“危害原则”,我国学界中还存着诸如“危害性原则”、“损害原则”等其他描述(参见姜敏:《英美刑法中的“危害原则”研究——兼与“社会危害性”比较》,载《比较法研究》2016年第4期)。而笔者认为,从词源和我国刑法的一般用语习惯来看,“危害原则”更为恰当。近年来,危害原则开始被我国学者引入作为划定刑法边界的新视角。(60)国内也有学者提出,美国学者对危害原则的发展,应当视为独立于“危害原则”的全新刑事立法正当性理论(参见刘艳红:《当下中国刑事立法应当如何谦抑——以恶意欠薪行为入罪为例之批判性分析》,载《环球法律评论》2012年第2期)。笔者认为,尽管美国许多学者都批判了约翰·密尔在《论自由》中提出的“危害原则”过于模糊,但是这是一种技术细节的批判而非基础理念的不认可,实际上美国学者后续提出的各种刑事制裁界限模型都是在早期危害原则基础上的细化,尽管不同学者对“危害原则”细化存在差异,但都承认“危害”的存在是刑事制裁的前提,因此,笔者认为依然应将其归为“危害原则”的范畴。笔者认为,相比较抽象的“法益原则”,“危害原则”提供了一个更具有可操作性的方案,更适合为即将开始的新一轮数据安全领域刑法扩张,划定合理性边界。
然而,“危害原则”的标准虽然从价值层面揭示了数据安全犯罪对他人的危害性,但如何限定这种危害的范围,还需要提出更为具体的模型,整体上可以分为两种类型。
其一,基于“狭义危害原则”的数据安全刑法保护边界限定。“狭义危害原则”将“危害”仅限定为着现实的、确定的他人利益损害。该观点受到早期自主主义观点的影响,坚持明确的利益危害事实和危害对象时才可以运用公权力,(61)参见Willrich, Michael.Pox-An american history. New York: Penguin.2012,p.301-302.这一主张,在赫伯特·哈特(Herbert Hart)同帕特里克·德夫林(Patrick Devlin)关于同性恋、卖淫等违法性道德的行为是否应当犯罪化的著名论战中,得到了充分的体现。(62)参见Sugarman David, Hart H. L. A..Hart Interviewed: H.L.A. Hart in Conversation with David Sugarman. Journal of Law and Society.2005:32 (2),pp.267-293.“狭义危害原则”视角下,数据安全刑法保护道德性完全建构于对个体数据安全的保障之上,因此,对刑法边界将进行严格的限定,一方面,将“危害”的内容,限定为现实的数据安全利益损害或现实的利益损害风险,因此仅造成抽象数据安全损害危险的行为,不应当使用刑法公权力,换言之,数据安全未来的刑法保护不宜设置抽象危险犯,而是仅限定为实害犯和具体危险犯;另一方面,将“危害”的对象,限定数据活动对其他个体的侵害,“个体行为即便给社会秩序带来破坏,但如果无法确定这种实质性损害,依然不能收到强制性处罚。”(63)George Roger Z., Kline, Robert D..Intelligence and the national security strategist: enduring issues and challenges.Washington DC:Rowman & Littlefield.2006,p.410.因此,以机构、组织和公共秩序为对象的数据处理行为,如果没有直接危害到其他个体,同样不能运用刑事处罚的手段。因此,刑法对于公共数据安全和国家数据安全的保护,必须先进行预判特定公共数据安全或国家数据安全的危害行为,是否也包含了对个体数据安全的危害,当数据活动是针对大规模的去标识化数据或匿名化数据时,(64)2020年10月21日公布的《中华人民共和国个人信息保护法(草案)》第69条规定:“(三)去标识化,是指个人信息经过处理,使其在不借助额外信息的情况下无法识别特定自然人的过程。(四)匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。”该条件则很难满足。
其二,基于“广义危害原则”的数据安全刑法保护边界限定。“广义危害原则”源于以乔尔·范伯格(Joel Feinberg)、哈伯特·帕克(Herbert L.Packer)为代表的美国学者,对“狭义危害原则”进行了体系化的全新发展与解释。一方面,将“抽象利益损害的危险”纳入到危害的内容之中,只要该特定的抽象危险具有引发直接损害的现实性。(65)参见Alex Steel.The Harms and Wrongs of Stealing: The Harm Principle and Dishonesty in Thef.University of New South Wales Law Journal,2008:31(3),pp.713-717.因此,仅引起抽象风险的数据活动行为,也可以被纳入到刑法的制裁范围;另一方面,将公共秩序和组织机构纳入“危害”的对象范畴,“预防对行为人以外 (个人的或公共的)各方造成损害或损害风险,永远都是法律强制的适当理由。”(66)[美]乔尔·范伯格: 《刑法的道德界限 (第一卷)对他人的损害》,方泉译,商务印书馆2013年版, 第11页 。因此,刑法对数据安全的保护,自然也就可以扩展到公共数据安全和国家数据安全领域,无需再以个体数据安全损害为基础。
笔者认为,我国未来的数据安全刑法保护的刑法边界限定,不宜采用“狭义危害原则”,其是一种基于宏大叙事的限权理念,并不能满足复杂刑法实践中的全部场景运用,并同我国现有的刑法罪名体系有着严重冲突。“广义危害原则”更符合数据安全自身具体利益指向不确定性和主体多元性的特征,更适合作为我国数据安全刑法保护的边界限定原则。值得注意的是,“广义危害原则”还修正了将危害原则作为刑法介入合理性唯一标准的立场,而是承认危害原则是划定刑法公权力边界的基础标准之一,例如,乔尔·范伯格(Joel Feinberg)刑法的介入还应当受到其他原则的制约,例如,禁止骚扰原则、界分原则等。(67)参见[英]安德鲁·冯·赫尔希:《法益概念与损害原则》,樊文译,载陈兴良主编:《刑事法评论》(2009年第1卷,总第24卷),北京大学出版社 2009年版,第192页。哈伯特·帕克(Herbert L.Packer)提出刑事制裁的使用除了行为的危害性之外,还要考量刑罚目的、是否约束公众合理社会需求、刑事制裁的可替代性、刑事程序的正当性和可行性等。(68)参见[美]哈伯特L.帕克(Herbert L.Packer):《刑事制裁的界限》,梁根林等译,法律出版社2008年版,第293-298页。未来我国数据安全刑法保护,也应当充分考虑上诉原则,例如,数据安全保护不应当限制合理的数据产业发展需求,对数据安全保护首先应当考虑行政责任和民事责任等。