李 琪 姜俊鹏
伴随现代互联网技术的日益发展,全信息时代随之诞生,独立虚拟空间拓宽维度,网络与现实的现代双层社会架构固化。谁能率先进一步升级到智能社会,就能够掌握开启未来时代的密钥。然而,网络社会高速发展的同时也遭遇了犯罪的阻击。犯罪交织网络迅速发展,将触角蔓延到人们生活的方方面面。
从天猫、京东、拼多多等购物平台,到饿了么、美团外卖等送餐平台,再到哈啰单车、摩拜单车等共享经济……网络已深入至我国民众生活的方方面面,形式从单一购物演变至全方位的衣食住行。可以说,网络实现了由“信息媒介”向“生活平台”的转换,成为人们日常活动的“第二空间”。当网络开始由“虚拟”向“现实”过渡,不断地将现实生活映照到网络社会,它所展现的行为就不再只是具备单纯的虚拟性质,而被赋予更丰富的社会意义。网络逐渐衍化出自身的社会结构,并对现实空间产生了巨大的辐射效应,网络与现实双空间并行的双层社会也在我国形成。在为人们提供诸多便利的同时,网络也无差别地将现实中的犯罪形态复刻到网络社会的各个角落。利用信息网络实施犯罪、泄露并贩卖公民个人信息、网络攻击、黑客攻击、网络谣言等充斥着网络空间。〔1〕赵秉志、袁彬:《我国网络犯罪立法的合理性及其展开》,载《南都学坛》2019 第3 期,第66 页。几乎每个人都成为网络主体。如何为自己的网络行为设立标尺,如何保护自己在网络社会的合法权益,这些都成为时代留下的命题。
网络本质是数据的交互和应用。当人们使用不同的电子设备完成社会事务时,即为运用数据的交互和转化,完成社会关系、法律关系的构建。可以说,数据已成为网络与计算机科学的核心要素,以数据为犯罪对象的行为和利用数据实施的侵害其他法益的行为层出不穷。〔2〕王倩云:《人工智能背景下数据安全犯罪的刑法规制思路》,载《法学论坛》2019年第2 期,第27 页。在双层社会固化的过程中,计算机系统与网络参与者的防御能力都不断增强,犯罪者所使用的方法也愈加纯熟。如果不能够对数据形成破坏或者改造,势难实现侵入或破坏计算机系统之目的。从这一角度而言,如何规制数据犯罪就嬗变为计算机犯罪、网络犯罪应对的核心问题,既关系到数据犯罪本身,也将震慑与预防相关犯罪。由于我国数据犯罪,乃至计算机犯罪和网络犯罪的刑事规制理论目前都没有实质性的突破和进展,此类犯罪所保护的价值究竟应如何界定、取舍,尚未进一步展开,这就导致理论研究不能向纵深发展。
近年来,有学者尝试研究数据犯罪的概念,并希望籍此进一步厘清数据犯罪的制裁思路,但均因认识过于局限而难以有效回应,在数量上更是过于孤零、冷清而未能引起学界共鸣。传统观点认为,数据犯罪应当以计算机为基础,对网络信息的收集、处理和使用为核心的侵犯为规制对象,这种侵犯体现在破坏网络的信息功能以及侵害网络信息,造成网络系统收集、处理、存储、传输、检索信息功能的破坏。〔3〕段威、李栩栩:《网络犯罪的新特征及应对策略》,载《中国社会科学报》2019年6月19日,第5 版。然而,随着社会的双层化裂变,数据的范围变得更加宽泛,对应的犯罪模式已经从以“计算机犯罪”为中心逐步转向与“传统犯罪”交织的方向,呈现犯罪目的异变、犯罪行为异变和犯罪危害异变等扩张特质,〔4〕参见文立彬:《涉数据网络犯罪的规制困境与优化路径》,载《重庆邮电大学学报(社会科学版)》2018年第5 期,第41 页。逐步渗入到侵财类犯罪、金融犯罪等不同领域。我国《民法典》第127 条明确将数据与网络虚拟财产并列,赋予数据相对独立的地位。以此为参照,刑法中的数据犯罪亦应独立探讨,形成以一切利用计算机、网络为逻辑起点,以数据为侵害对象,包含所有对数据进行增加、删除、修改等从而造成数据安全受到威胁的独立行为类别。
面对网络社会形成所带来的冲击和挑战,我国立法者着力于围绕计算机犯罪不断调适、完善立法,以计算机犯罪的规制为治理抓手,意图创设出新的法益,实现对失范数据犯罪的管控。1997《刑法》制定时,尚不能预见网络的井喷式、爆炸式发展,围绕计算机犯罪也仅设立两个罪名,分别是第285 条的非法侵入计算机信息系统罪和第286 条的破坏计算机信息系统罪。其中,第285 条的适用范围极为狭小,在实践中几乎被废弃。伴随《刑法修正案(七)》出台,围绕第285 条又增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪。新增设罪名是对第285 条的补充、完善,实现扩张对应法条容量和规制范围的目的,其中也涉及数据概念。直至《刑法修正案(九)》颁布,主要围绕帮助行为设立四个罪名,立法的决心可见一斑。
通过编织更加严密的法网对新的犯罪类型进行规制,是我国严守罪刑法定原则的法治特色。从立法演进来看,面对双层社会形成所带来的挑战,仍囿于计算机犯罪内涵和外延进行修补,倾向于围绕计算机犯罪创设出新法益,未能发现数据在网络和现实之间的连接作用,无法延伸到更具实际意义的数据犯罪。至少从表面上看,这种立法模式仍不能反映和应对我国社会模式变迁所带来的改变。同时,立法者在立法时,又考虑到网络时代日新月异的变化,希望扩大法律的生命周期和适用范围,造成了罪名口袋化风险。所以,无论是计算机犯罪、网络犯罪的演进,还是数据犯罪的增设,不仅没有能够缓解理论和实务上的争议,反而出现了更多的分歧和争议。特别是法益的交织,不少案件究竟应当认定为传统犯罪,还是计算机、网络犯罪依旧争论不休。在走向实践的过程中,这些罪名与传统犯罪界限进一步模糊,显然与立法预期不符。
最高人民法院、最高人民检察院(以下简称“两高”)鉴于实践中遇到的问题,也陆续出台了不少司法解释,希望通过对数据含义的申明,激活计算机犯罪关联罪名。如在《刑法修正案(七)》增加了第285 条之二非法获取计算机信息系统数据罪的规定后,最高人民法院政策研究室针对一起盗窃虚拟财产的案件进行了批复,明确了“虚拟财产不是财物,本质上是电磁记录,是电子数据”。此后,2013年“两高”颁布了《关于办理盗窃刑事案件适用法律若干问题的解释》,进一步对虚拟财产的属性作出说明,认可这种数据不属于刑法中的财产,不可以按照侵财犯罪进行处断。如确需刑法规制,只能按照非法获取计算机信息系统数据等计算机犯罪定罪处罚。这种做法无疑支持了立法观点,昭示着数据犯罪在刑法中的独立价值。
实践中,司法人员依据自身在社会生活中获取的经验,对数据的理解更多基于与现实生活的对照,而不仅仅将其看作计算机信息系统的运算和管理对象,所以与传统法益相互重合成为必然。即使存在“两高”如此明确的态度,但司法实践仍很难将数据犯罪推向新的犯罪类型。而《刑法》第287 条的规定也为这种操作提供了法律基础,即只要利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,就应当依照《刑法》有关规定定罪处罚。这也说明数据犯罪的关联法益可以是一种传统法益。如不少盗窃犯罪中,利用软件修改了计算机内的数据,导致他人财产数额的直接变化,本质上就是侵犯了他人的财产利益。同时,部分计算机犯罪的法定刑较低,而部分数据犯罪所造成的经济损失巨大,不是目前立法能够容纳的,僵化适用就会造成罪刑失衡,如近期江苏警方破获盗窃“吃鸡”账号案件,涉案金额已达2000 余万元。所以,对于数据犯罪,实践中出现两种倾向,或者直接将其作为计算机犯罪而随意操作,或者是不敢轻易适用,尽量利用常用罪名解决问题。
数据犯罪是伴随科技进步而出现的,蕴含了较强的技术特征,很难被已有的刑法规范所容纳。各国或地区基本针对数据犯罪设立了新的、完全独立的犯罪类型,甚至与计算机犯罪等相互剥离。不少立法将数据界定为“电磁记录”,认为其所代表的特有技术属性与传统法律的保护价值不一致。如日本《刑法》第7 条之二也有类似情况,将“电磁记录”规定为利用电子方式、磁气方式及其他不能通过人的知觉认识的方式制作的供电子计算机进行信息处理所用的记录。〔5〕《日本刑法典》,张明楷译,法律出版社1998年版,第8 页。我国台湾地区的“刑法”第10 条将“电磁记录”规定为以电子、磁性、光学或者其他相类似之方式所制成,而供电脑处理之记录。〔6〕林山田:《刑法各罪论》,北京大学出版社2012年版,第392 页。这些规定,都是从技术意义上来理解数据的生成、传输和信息显现,更接近数据出现时所附带的技术属性。
无论是立法还是司法遇到的问题,其根源还是如何认识进入双层社会法律保护利益的改变。数据是计算机及网络上流通的在二进制基础上组合而成的比特形式,技术属性是其本质特征。数据具有两个技术特征:一是依附特征。数据需要与一定载体共存,如计算机、网络通讯设备等,离开载体数据也无从谈起,所以《刑法》规定计算机犯罪在广义上应当和数据犯罪之间具有一定包容关系,目前我国数据犯罪的技术属性多体现在计算机犯罪中。二是交互特征。数据是通过对应代码或者程序而自然显露,只有载体完成诸多步骤后,才能在交互过程中完成。如果缺乏交互过程,数据只是一个个比特流形式存在的二进制代码,始终缺乏法律意义上的评判价值。通过数据的组合和转化,计算机以及互联网等才能顺利地运转,网络和现实社会才得以连接,因而数据安全更具独立的保护价值和天然的中立性。
数据安全法益所依据的就是数据所具有的技术属性。一旦行为人对数据进行了增加、删除或者修改等,就是破坏数据安全,侵犯了刑法所保护数据的技术价值,应当受到否定评价。相反,若是没有对数据进行上述操作或者改变,即使利用了网络或者计算机,也至少不能称之为数据犯罪。所以,只要是数据犯罪,就必须要面对数据安全这个法益。随着双层社会的形成,更多权利形式在数据的交互过程中显现。数据的种类和数量也不断累加,对各类权利客体愈包容,背后所对应的内容也愈加丰富。然而,无论如何,数据犯罪都不能跳开刑法所保护的技术属性,都会对数据安全造成损害。实践中,只要能够依据数据的技术属性展开,将数据安全作为导向,就能够较为直观、简单地区分数据犯罪。
在30年前,甚至在1997《刑法》制定时,要求人们认识到数据和现实社会物品之间,如财产、知识产权等具有对应关系是非常困难的。这是因为当时数据并无明显的社会属性。随着双层社会的形成,数字化技术在工作、生活中推广、普及,网络社会对现实生活的映射逐渐增强。以互联网、大数据、人工智能为代表的信息技术革命,彻底改变了人与物的关系,人和物都不必以实体方式呈现,而以账号、信息、数据的方式发生关系。〔7〕高艳东:《网络犯罪定量证明标准的优化路径:从印证论到综合认定》,载《中国刑事法杂志》2019年第1 期,第144 页。人们在社会生活中,不知不觉接触到的各种数据,可能是一次支付、一次扫码、一次阅读……这背后都是数据的运用和变化,带来的却是财产、知识产权等的变化或者转移,人们开始认识到数据所具有的现实价值。作为这些现实物的网络体现,数据具备了更多的表征功能性作用,如隐含经济价值的数据体现了财产权、识别出公民个人信息的数据体现了信息权、记载各种创造性智力成果的数据体现了知识产权等。数据犯罪已不再局限于计算机犯罪、网络犯罪的表现形式,逐步成为从现实社会走向网络社会的独立连接点。
双层社会中,刑法的目光必须开始转向对网络资源的全方位保护,除了数据本身所蕴含的法益外,传统犯罪被移入网络所带来的法益也被附加到了数据上,其更应当受到重视。无论是个人信息权、财产权还是知识产权,只要是以数据的改变作为手段、方式,其本质上就是对传统法益的侵犯。换言之,对数据的来源广泛、数量庞大和现实控制力所带来的刑法问题,无法以技术层面的扩张解释予以解决,必须回到其被赋予价值的社会属性中进行探索。只要是以数据为媒介、工具,无论表现为网络犯罪还是计算机犯罪,都能轻易涉足到传统犯罪。数据犯罪中,无论从行为人的目的,还是犯罪造成的危害后果来看,都侵犯了传统法益,直接造成现实社会的改变。若仍一味强调不能随意让传统罪名进入,对数据进行限缩解释,必然会造成惩治犯罪的张力不足,无法为社会发展提供支撑。
从我国立法轨迹来看,立法者希望围绕计算机犯罪编织更为严密的法网,形成规模性的计算机刑法条文,创设出新的法益类型。与此同时,具有一定共生关系的数据犯罪也籍此实现法益的更新。在双层社会背景下,数据犯罪已经从单纯的技术层面转化为整体数据风险,包含了窃取、增加、删除、破坏等诸多对数据安全形成威胁的行为,这些行为将会直接影响数据主体的独占性使用、收益以及处分的权限。除了对计算机犯罪产生关联影响外,也迫使法律防范和保护阵线不断前移。所以,作为新出现的社会现象,数据的安全应当被规制在独立的框架下,突出其独特的技术属性和法律意义。具体而言,数据安全的内涵应当包含数据利用的三个面向:数据的保密性,即免受未授权人获悉;数据的完整性,即免受无权篡改;数据的可用性,即权利人可随时无障碍地利用。
在国外,以保护数据安全为主轴的立法趋势,重视创设独立的法益,并以此为规范基础集中建构数据、计算机犯罪体系,综合考虑融合新兴技术的特有属性,继而改造刑法立法规则。〔8〕熊波:《信息网络刑法立法类型化的症结与化解——基于信息网络犯罪技术性差异的考量》,载《学习论坛》2019年第6 期,第89 页。例如,美国联邦《电脑诈欺与滥用法》规定了对侵入、取得、删除、变更电脑数据等行为的规制。《德国刑法典》第202a 条规定了“探知数据”行为,即未经授权非法为自己或他人窃探经特别保护的数据的行为,也是针对数据的立法。这里所谓的数据就是以电子或其他不能直接提取的方法储存或传送的数据。〔9〕《德国刑法典》,徐久生、庄敬华译,中国法制出版社2000年版,第157 页。我国《刑法》分则以数据为对象的罪名,如非法获取计算机信息系统数据罪,在增设时已考虑到数据的重要性,甚至对针对系统资源进行侵害的侵入、非法控制和破坏等行为方式进行了更为细致的区分。此类犯罪,特别是以数据作为保护对象,仅仅体现了数据内在的技术属性,并未包含双层社会带来的新特征。今后,对于数据犯罪、计算机犯罪仍应当进一步完善,并以技术属性和数据安全为核心,构建出协调互补的规范体系。
伴随着电脑技术的应用和网络社会的发展,数据的种类也不断增多。特别是在双层社会形成的过程中,数据又与网络社会、现实生活密切联系,刑法保护法益所具有的物质性特征不断减弱,重点也从解决技术性问题转向为社会生活问题。部分大陆法系国家对于侵犯传统法益的数据犯罪立法时,都会尽量不破坏原有立法框架,仅在现有体系中进行修改或解释。鉴于数据的现实意义,现行刑法必须转变传统思维,重视数据犯罪对原有信息保护体系的全面切入,以开放性的姿态为实现现有刑法罪名体系与数据犯罪罪名体系之间的协调提供可能。〔10〕于志刚、李源粒:《大数据时代数据犯罪的制裁思路》,载《中国社会科学》2014年第10 期,第119 页。在立法进一步回应之前,刑法教义学的任务就是在双层社会形成过程中,将既有刑法规范在网络社会固定下来,以确保其形式规范的同时,也兼具伦理责任基础。
在数据犯罪保护法益中,社会属性更加关注对权利人的保障,要求及时转变对法益保护的措施,实现数据网络犯罪的多元化惩治。只有在网络中将现实法益确定下来,才能既满足网络社会的伦理责任构筑,又能够遵循法益保护的规范目标以满足合法性要求。对于双层社会下数据犯罪来说,应当在数据安全与传统刑法体系之间寻求恰当的平衡点。如何使现代网络社会中受危险侵害的法益,回归传统刑法规制体系,需在刑法规范层面探索数据犯罪这个“嵌入点”与“中和点”。所以,确定受侵害法益背后的实质特征,将产生的数据安全危险明晰,从而将侵害行为进一步现实化,才能以此为基础寻求刑法体系中构成要件的类型化,真正做到罪刑相适应。
司法实践中,不少观点都忽略了社会属性,导致将数据作为媒介、工具,而无视其背后隐含的现实价值。应该说,数据犯罪与传统犯罪绝非完全对立的关系,其可能在侵犯数据安全新型法益的同时,也对传统法益造成损害。在双层社会下,这种倾向只能愈演愈烈,必须及早认识并做好理论应对。所以,不能将计算机犯罪与传统犯罪完全割裂,忽视了两者之间的竞合关系,而是将创设新法益与沿用传统法益调和、应用。例如德国将数据犯罪分别置于欺诈罪章、妨害秘密罪章、伪造文书罪章与毁损罪章之中。〔11〕杨志琼:《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》,载《法学评论》2018年第6 期,第167 页。我国刑法中虽然没有类似规定,但是依据客观解释论,完全可以指引司法实践将数据犯罪与传统犯罪进行链接。
随着我国经济高速发展,双层社会逐渐形成,立法者来不及逐步实现自己的目的,司法实践就已经完成自我探索。司法实践中,以客观解释论为核心,相关的数据犯罪被梳理到对应的传统犯罪中。然而,立法者在《刑法修正案(九)》制定过程中,按照原定计划进一步扩张了计算机犯罪的规模和容量,并未注意到司法实践中的进度,导致司法和立法的冲突,数据所承载的法益也变得飘忽不定。数据犯罪的法益主要是对应数据的技术属性,而传统犯罪则变现为社会属性。明确界定数据犯罪的关联法益时,必须慎重考虑法律稳定性,既不得影响与动摇现有刑法体系,又需要缓解双层社会带来的冲击。
数据法益之内涵已趋向多元化、多样性。随着数字化技术在工作、生活中的推广、普及,越来越多的传统法益以数据为媒介、载体来储存、分享、利用,因而必须承认数据安全和表征传统法益二重功能在双层社会的实现,如识别个人身份的数据体现了个人信息权、承载了经济价值的数据体现了财产权、记载了创造性智力成果的数据体现了知识产权等。这些犯罪形态,既能够适用传统犯罪的定罪量刑标准,如侵犯公民个人信息的犯罪、财产犯罪、侵犯知识产权犯罪等,也可能对应网络犯罪、计算机犯罪的特殊条款,如我国刑法中的非法获取计算机信息系统数据罪、破坏计算机信息系统罪等。可见,数据犯罪与传统法益之间并不冲突,特别是在双层社会中,数据是链接点,既可以延伸到现实社会,也可以回归到网络或者计算机犯罪。只要数据安全,就能够在网络社会保护传统法益。相反,数据不安全,也可能直接侵犯到传统法益。
对数据安全的保护,应制定更加系统、细致、有针对性的行为规范,较为系统地规定某种新型不法行为的法律评价,形成梯度化的规制框架,更好地实现法的诸多作用。〔12〕文立彬:《涉数据网络犯罪的规制困境与优化路径》,载《重庆邮电大学学报(社会科学版)》2018年第5 期,第45 页。立法者应当以独立的 “数据”为对象,将其作为独立于计算机信息系统和网络系统的表征。针对数据处理的动态系统,可以明确和精细地区分不同保护对象。针对不同的数据处理阶段,各有侧重地实现恰当与必要的刑法条文设置,明确以技术资源为保护对象的内容与边界。
与此同时,立法者需要在对象上扩展包容性,不能完全依照其自身的信息价值进行割裂的、单独的价值评判,而是由独立层面扩展到数据所能包容的所有层面,涵盖需要保护的各层次、各方面的法益。能够由传统罪名予以弥补的,可以暂时不进行立法,最终实现延长刑法打击半径,突出刑法的保护机能,避免体系性缺漏,真正搭建起双层社会中数据犯罪的刑事保障体系,编织疏而不漏的数据犯罪法网。
对于传统罪名的探索,应当以客观解释论为轴心,对更具刑法意义的传统法益予以充分和全面的保护。以虚拟财产为例,到底应该如何进行界定,目前看来至少不能僵化地解读司法解释,而应进行扩大和动态理解。实践中,不少案例都是利用软件破坏了计算机内部数据,然后成功获取了虚拟财产,这些案件一般都会被认定为盗窃罪。这是因为这些数据的改变背后带来的是价值变化,不仅表现为数据安全受到威胁,更重要的是财产价值受到损害。所以,从更准确定性行为和确定刑罚的意义上说,必须以刑法分则中涉及信息犯罪的相关罪名作为支撑,对数据犯罪进行规制,否则很难实现对法益的全方位保护。
通过解释刑事违法性构成要件而得出结论,必须先肯定符合违法性构成要件的该行为已侵犯刑法范畴中对应的保护法益。在双层社会下,刑法分则的用语难免存在内容价值对等、反映形式非结构化等新问题。对应刑法所保护的重要传统法益价值,数据的意义则体现在对数据对象的反映上。当数据的反映同质于现实物的内容时,单纯技术角度定义的数据便具有了现实意义。而若不能与传统法益的核心内容相吻合,必然造成法益无法对应的问题。所以,有必要对刑法分则的关键词进行调整,认可其词义射程应当包含到数据背后所代表的各种虚拟物品,使刑法所关注的重要法益在网络时代能够直接被容纳。
在司法实践中,如何对两种法益进行判断,借此进一步明确受损法益性质,以此作为司法的参考根据、检验标准和研判逻辑,是保障数据犯罪司法贴合刑法理性的有效方式。
第一步,对是否涉及数据安全进行判断。若是已经对数据安全形成侵犯,则其构成对应的计算机犯罪或者数据犯罪,并需要进入第二步判断是否侵犯传统法益。反之,若没有对数据安全形成侵犯,则直接排除数据犯罪,按照刑法对应罪名予以处断。如实践中,用不同人的身份申请会员卡,然后操作计算机网络将点数汇集到同一卡内,并不涉及数据犯罪。
第二步,对是否涉及传统法益进行判断。若是对传统法益造成威胁,则依照其所表征的财产权利、个人信息权等回归到不同的犯罪类型中,按照对应的传统罪名进行认定,并需要进入第三步对罪数问题进行判断。若没有对传统法益造成侵害,则回到第一步仅成立计算机犯罪或者数据犯罪。
第三步,对罪数问题进行判断。进入第三步的行为均侵犯了两种法益,可以认为分别构成数据犯罪、计算机犯罪和传统犯罪,按照想象竞合犯、牵连犯等理论进行处断。如利用软件对数据进行修改,获取点数,最终变现点数兑换钱款。
双层社会的形成,在给人们的生活带来巨大变革的同时,也给社会秩序特别是法治秩序带来了新的挑战,引发一系列社会问题。对此,在刑法的框架内构建合乎法治精神和民众合理预期的解决机制至关重要。依托刑法学的基本原理,深入探讨在变化的社会中保持社会秩序稳定以及保护公民自由和权利的方式,将成为现代刑法学亟待研究的重要课题。