黄 鹏
(广东外语外贸大学 法学院,广东 广州 510006)
进入网络时代以来,特别是在大数据时代背景下,世界多数国家或地区根据现实的需求,在立法上纷纷制定相应的数据保护法案,或者在已有相关法案的基础上增删符合大数据时代特征的法律规则。比如,新加坡2012年实施的《个人数据保护法》、欧盟2018年5月25日实施的《一般数据保护条例》(GDPR)、印度2019年12月19日公布的《个人数据保护法》、泰国2020年5月27日实施的《个人数据保护法》等就是典型代表。再如,新加坡个人数据保护委员会(Personal Data Protection Commission)2019年8月6日对5家机构未遵守《个人信息保护法》而泄露数据的行为予以罚款。英国信息专员办公室(Information Commissioner’s Office)2019年7月8日对英航因数据泄露罚款1.833 9亿英镑。我国2015年提出了实施国家大数据战略,出台了《促进大数据发展行动纲要》,全面推进大数据发展,加快建设“数据强国”;2021年6月通过,9月正式实施《数据安全法》。但是,依然有很多重要问题存有争论、有待解决,数据能否作为一种新兴的法益获得法律保护便是问题之一。
在网络新时代,“新兴法益”(1)新兴法益在理论上也称新型法益,后文统一称为新兴法益。主张的涌现,一方面,反映了社会生活的变化发展,体现了刑法理论体系对未来新事物的开放立场,呈现了理论与实践在互动关系中的繁荣景象;另一方面,也蕴藏了法益泛化的风险,从而动摇法益概念本身之于刑法的作用。反对的观点认为,层出不穷的“新兴法益”的主张,被浅层“创新”或权利意识张扬的洪流裹挟,只是在表演性地关注和陈述有关权利或利益的行为,而未顾及刑法保护法益的界限,以及演化出来的更深层次的法律与价值的问题。片段性的刺激内容在挑逗人们的安全感后戛然而止,不再负责引导人们去思考“法益主张”成为刑法“法益”的合理性、合法性与正当性。抓住事物的本质和主要矛盾,是法学研究应当遵循的理性立场,如此,才能探索真正的、合理的解决方案。而流于表面的张扬主张,要么只能沦为无效抒发,要么引发更多的问题。新兴法益的提出,也同此理。
到底什么是“数据法益”,以及数据为何是新兴法益?对于数据作为新兴刑法法益的议题而言,在首倡的话语权维度上,理论界早已“星星之火”,方兴未艾,赞同或否定的皆有。从现有文献看,主要是通过现象的描述提出此种理论诉求,但少有论证数据为何可以或者不可以构成新兴法益。本文试图在理论论证的维度上,明确法益的产生与判断标准,揭示大数据时代的数据安全,构建数据法益的法理基础、证成标准。
在论证新兴法益时,必须注意区分法益主张与法益本身。“声称或主张某项权利可能只是一种现象、修辞或策略性行为,而判断某项权利的存在则属于理论论证的任务”[1]。同理,对于刑法法益而言,必须区分“新兴法益主张”与“新兴法益本身”。前者是一种学术诉求,后者是一种理性的规范化。因此,有必要找寻合适的标准,筛除虚假的新兴法益主张,辨明、判定真正的新兴法益主张,并通过法定程序予以合法性确认。
从法益学术史看,法益理论可追溯至权利侵害理论,现今遭受规范理论的挑战。费尔巴哈(Feuerbach)倡导权利侵害说,以启蒙思想中的契约论为思想基础,以罪刑法定主义为论述框架,以古典自由主义为理论基调。尔后,毕尔巴姆(Birnbaum)认为,在社会发展目的上,伦理、宗教等不具有典型权利的利益,也有保护的必要性,并将法律保护的内容称为“法益”(Rechtsgut),从而提出了法益理论。即,从概念史来看,法益中的“益”在权利侵害说中指的是权利,在法益侵害说中指的是财(Güt具体的对象事物)。宾丁(Binding)和李斯特(Liszt)继承和发展了法益侵害说,将法益中的“益”分别理解为情状和利益。此外,宾丁在《规范及其违反》中首倡规范论,阿明·考夫曼(Armin Kaufmann)和京特·雅各布斯(Günther Jakobs)使规范理论再次进入新的发展阶段,将刑法关注重点,从法益理论侧重的结果不法提前到了行为不法。笔者认为,法益概念本身作为观念形态,必然具有一定程度的抽象性、精神化,因此重要的不是去否定,而是提出界定(限制)的方案与标准[2]。申言之,在法益不断发展变化的过程中,有必要厘清法益的判断标准,才能为新兴事物能否成为新兴法益提供证明标准。因此,在把握法益发展史和刑法理论对新兴法益的立场的基础上,提出法益的具体判断规则。
1.保守法益观与开放法益观之争
第一,保守法益观。哈塞默(Hassemer)认为,当刑法通过设立危险犯的方式,广泛介入新领域的治理时,就舍弃了法治国原则限制刑法效力的初始假定,而沦为一种单纯的社会管制工具。因此,过度扩张刑法管制领域与管制纵深的方案,将使刑法无法贯彻法治国原则的基本旨趣。故而,应该重返“核心刑法”的原始框架,并限制刑罚的适用范围(2)Hassemer, Kennzeichnen und Krisen des modernen Strafrecht, in: ders., Freiheitliches Strafrecht, 2001, S.217 ff.。保守立场采取严格的结果归责刑法结构,要求行为必须造成实际损害。即,保守立场以自由主义为思想基础,以刑法谦抑性原则为论述支点,采取古典的个人法益观,主张节制刑罚,严格遵循自由刑法的理论路径。申言之,保守立场在是否承认新兴法益方面,往往采取否定的态度。其认为那些泛化的新兴法益,是在防卫社会的思想冲动下对自由的侵蚀,使刑法挣脱谦抑精神的限制,成为社会管制工具的结果。
第二,开放法益观。开放立场则对刑法与社会实践之间的互动关系保持一种理性的开放观念,认为“刑法不应该忽视世界变迁,而必须应该整合这些变迁及其理念”[3]。随着社会高速发展和日益复杂化,同时也产生了大量需要管制的社会情状,也即乌尔里希·贝克(Ulrich Beck)所言的“风险社会”[4]。即使是在谦抑主义和保障法的节制下,也必须承认刑法依然是应对这类社会情状不可或缺的、重要的法治资源。然而,若维持严格的结果归责的保守立场,那么刑法将无力应对这类有正当管制需求的社会情状。此外,在这一变迁过程中,社会也产生了风险调控与安全需求的政策思潮,推动了社会防卫论的形成(3)Kindhäuser,Sicherheitsstrafrecht,Gefahren des Strafrechts in der Risikogesellschaft,Universitas,3/1992,S.227 ff Stratenwerth, Zukunftssicherung mit den Mitteln des Strafrechts, ZStW 105 (1993), S. 685 ff.。
2.附条件的开放法益观
无论是保守立场还是开放立场,都是在“刑法保护法益”的基本框架内,针对法益内涵的范围大小所做的争辩罢了。保守立场认为,应回归古典法益的固有保护范围,不应泛化为稳定社会的制度。开放立场则认为,应顺应时代扩张法益的内涵,将环境等新兴制度性情状,通过法益概念的整合,纳入法益保护体系之中,以获取并理顺刑罚的正当性。申言之,这种使法益概念保持必要程度的模糊性与开放的立场,具有巨大的理论生命力。因此,笔者主张附条件的开放法益观。
其一,社会生活实践是产生法益的根本标准。所有的法益都是生活利益,而生活利益是由社会生活实践产生的。社会生活实践是不断发展变化的,因此法益的种类,乃至法益概念本身的范围,都要随着社会生活实践发展变化而变化。新兴法益的产生,陈旧法益的消亡,都是社会实践的产物。申言之,法益的确立由社会生活实践决定,是一种实证的法益观。问题在于,哪些情况可以纳入社会生活实践作为判断法益的标准之一?有学者认为“保护法益在明确划定刑事处罚的范围(对象与界限)方面,需要认识到,通过发动刑事处罚来保护的利益,应基于社会状况的变化和国民意识来进行具体的实质的思考(实证的保护法益论)”(4)参见:上田正和《保护法益论(Rechtsgutstheorie)的前途与展望》(《大宫法学评论》,2011年第7期)。。即“法益的确立离不开对每个时期社会状况、犯罪动态、国民意识等因素的考察”[5]96。
其二,法益的扩张与增生是不可否认的客观现象和不可逆转的发展趋势。从结果主义看,无论如何都无法否定这样一种客观事实:刑法发展的每一阶段都比前一阶段的处罚范围更广,而法益概念在其中都起到了重要作用,且越来越被广泛地接受。详言之,刑法立法的扩张,主要表现为犯罪圈的扩张和刑罚处罚的扩张。这种扩张从形式看,表现为纵向的前置化、提前化和横向的扩大化、延展化;从实质看,表现为已有法益的前倾和新兴法益的增生。已有法益的前倾,是指从现实侵害阶段提前到侵害危险性阶段,将刑法的关注点从结果不法提前到了行为不法。新兴法益的增生,是指由于社会生活的复杂变化,产生了值得刑法保护的新兴法益种类。在现代社会,为了应对各类社会风险,扩张可罚性范围,已成为不可否认的客观现象和不可逆转的发展趋势。具体到法益理论,则表现为古典法益的固有保护范围与方式发生了重大变革。不仅法益侵害从实际损害阶段提前到了可能损害阶段,而且法益侵害的范围通过“不特定多数人共通利益”概念不断扩大,创设许多新兴法益种类。在这一刑罚扩张叙事中,立法上的典型表现就是大量增设抽象危险犯;理论上的典型表现就是风险刑法理论(5)Prittwitz, Strafrecht and Risiko,1993,S.172 ff.大行其道。
其三,谦抑主义在刑法保护法益结构上的真正意涵在于“谨慎”而非“否定”。刑法立法和理论,必须随着时代的变化而相应调整,是毋庸置疑的共识。张明楷教授以刑法的谦抑性为中心,认为谦抑性的具体内容会随着时代的发展而变化,网络时代不可避免地产生通过扩大刑罚处罚范围以保护法益的倾向;刑法应当由“限定的处罚”转向“妥当的处罚”[6]。换言之,谦抑主义蕴含的最后手段性,并不是指只有在其他手段全部失效后刑法才能介入,而是指刑法已经是最严厉的制裁措施。因此最后手段性的含义,并未要求排斥(事实上也没有排斥)刑法在民法或行政法有效处理时介入。民法、行政法和刑法各有不同的法律目的,不能互相替代。因此,在承认解决现代风险的最好手段并不是刑法时,应同时强调,在保护数据安全等现代风险方面,刑法也是不可或缺的法治资源。
其四,概念本身的问题导向与社会实践性。任何一个概念的产生都有其时代背景和问题导向。换言之,概念的原始定义,对应着概念原本要解决的实践问题。当社会实践问题发生了变化,概念就面临合理性危机。概念必须随之更新其定义,才能解决变化后的实践问题。当概念与社会实践之间产生落差时,就会造成概念的不准确。理由在于概念是静态的,是形式的;而社会实践是动态的,是发展变化的,且这种发展变化是必然的。因此,当社会实践出现了较大变化,必然产生与概念脱节的现象,即,概念必须随着社会实践的发展变化而更新。回到主题,法益概念也必须保持与社会实践相适应。
总之,“法益的内容总是随着社会的发展而不断变化”[7]。法益理论从来都不是自身的孤芳独白,而是与时代、与社会实践的互动合作。因此,附条件的开放法益观促使法益概念具有非常强的开放性、适应性和再生产性。一方面,让法益概念具有强大的逻辑延展力和自我更新能力,在面对复杂多变的社会实践时,能够发挥丰富的内在涵摄作用。在法益开放立场下,法益概念不仅未与新兴制度性情状产生排斥,而且通过概念上的解释整合,获得保护的必要性与正当性。另一方面,也巩固了刑法以法益为中心的规范保护目的,从而维护了法益概念本身的理论重要性。
1.主体:保护谁的利益
主体制约维度是以人的主体本位作为思想基础,以主体需要为中心进行法益范围的合理控制。利益是能够满足人需要的东西。因此,从本质上讲,要想成为法所保护的对象,必然要遵循“与人相关、对人有用、为不特定多数人享有”的人本法益观。
其一,保护人的利益:对人有用性的标准(规则一)。人作为法律制度的主体,是法律活动的中心体与依存体。因此任何法律活动作为人的法律活动,必然要受作为主体的人的影响。当以人的需要为依据支配法律活动时,就是在人的主体本位观下进行的活动,其特点是以人的需要为中心作为活动的出发点与归宿点。换言之,任何社会体制由人类建立,以人类福祉为目的,围绕人类运行,为人类服务。这是利益的主体需求性的本质要求。即社会体制的存在、目的、变更和消亡,都离不开一定社会范围内的公众的需求。如有学者指出“人类自身所创造出的体制不可能将人类排除在外,将个人淹没在这种体制之内是对近代人权、民主理念的背叛”[4]93。因此,刑法作为重要法律制度之一,其所保护的法益必然是人的利益,保护对人有用的事物。
其二,保护不特定多数人的利益:不特定多数人享有的标准(规则二)。由于人既是个体的存在,又是集体的存在。因此,当法律以主体为中心进行活动时,其主体既可能是单个的自我,也可能是代表集体的群我。当以自我的需要为出发点和归宿点时,就属于个体评价方式。即,当以单个的自我为出发点和归宿点对事物进行评价时,其评价的标准就是单个自我的需要。在这种情况下,思维方式是个体性的,思维过程中的权衡准则和最后结果也是有利于单个的自我,而对于是否有利于他人则在所不问。当以群我的需要为出发点和归宿点时,就属于集体评价方式。即,当以不特定的群我为出发点和归宿点对事物进行评价时,其评价的标准就是集体的需要。在这种情况下,思维方式是集体性的,思维过程中的权衡准则和最后结果,不只有利于单个的自我,也有利于不特定的多数人。刑法所保护的利益必然不能只专属于某一特定的个体,而应该是不特定多数人享有的利益。亦即,对于只专属于特定个人的利益,不能提升为刑法上的法益进行保护。这是利益需求普遍性的本质要求。简言之,“新兴法益的生成,是基于普遍需求而非纯个体需求”[8]。
2.客体:保护什么利益
其一,保护生活利益:经验实在性的标准(规则三)。“法益论有两个思考方向:一是往理念、价值性方向思考,二是往事实性、因果性方向把握”[9]。然而,利益的实质是满足人生存与发展需要的资源和条件。即,不特定多数人享有的利益的最大公约数,是生存与发展的生活利益。纯粹精神化的、情感的利益,由于主体价值观的多元多样性而无法取得共识,故此无法为不特定多数人共同享有而无法成为法益。生存与发展的生活利益必须是在经验上可把握的事物,因为“任何无法被经验的对象都是主观上的恣意”[10]。现象或感性的对象,是我们经验的对象,在这种意义下,法益有了客观的与实在的校准。这种客观性体现在主体经验范围内的普遍有效性;这种实在性的最低限度可以建立在主体习惯基础上的普遍的主观联系。换言之,无论法益概念如何脱离物质主义进行精神化建构,都必须能接上经验现实性的地气,成为经验上可以把握的事物,否则不属于法益。
其二,保护可被管理的生活利益:管理可能性的标准(规则四)。有学者认为,“像表达自由等基本权利、司法机构等国家制度,虽然是无形的事物,但确实是现实生活所必要的组成部分。对这些权利的克扣、制度的损害,会现实地危害公民的生活和社会整体的效能”[11]。换言之,不特定多数人享有的生活利益,在经验实在的框架下,可以表现为无形无体的权利内容、社会制度、管理秩序[12]等抽象事物。只是这类抽象事物必须具备管理可能性,即人们可以对之进行经验把握、分类管理与现实利用。
其三,保护重要的生活利益:重要利益的标准(规则五)。生活利益须重要才值得上升为刑法保护的法益,亦即法益在性质方面采取的是重要性标准。那么什么样的生活利益才具有重要价值呢?重要,是一个比较概念。笔者认为,应以某一事物对人的基本生活需求的满足度与紧密度为标准。即,满足度和紧密度需要达到对人的基本生活产生实质影响为界限。这种实质影响的效果体现在积极和消极两方面。从积极方面看,一个事物,若正确、顺畅地使用,会比较明显地满足、增进使用人的生活需要,那么这个事物就具有重要价值。从消极方面看,若因未能得到使用,同样会比较明显地妨碍人的生活状况,那么这个事物同样具有重要价值。换言之,某种利益即便被侵害,但国民能够容忍或认可,就不属于重要利益。此外,关于重要的判断主体,理论上也存在几种学说。其中,主观说主张,生活利益是否重要应由个人判断。客观说主张,法益是由不特定多数人享有的生活利益,那么该项生活利益是否具有重要价值,就应该由多数人判断。立法说主张,生活利益是否重要应由立法者进行内心确信的判断。
3.根据:利益为什么要保护
体系权衡维度是以法治作为思想基础,以普遍意义为边界进行法益保护的法治控制。具体说,又可以根据不同路径,分为保护原因上的可侵害性和保护方式上的必要性。
利益发生现实侵害(危险):侵害可能性的标准(规则六)。作为历史上第一部正式的人权宣言,《人权与公民权宣言》第5条前半段明确规定,法律仅有权禁止有害于社会的行为(6)Déclaration des Droits de l’Homme et du Citoyen,Art. 5. La Loi n’a le droit de défendre que les actions nuisibles à la Société.。对刑法而言,只能干预侵犯刑法的任务与目的——即侵犯法益——的行为[13]。因此,法益作为刑法保护的利益,必须具有可侵害性。所谓侵害或侵害的危险,是指此种重要的生活利益可被侵及而产生损害结果,必然是一种事实的或因果的现象。“犯罪必须具有客观的侵害性,造成客观侵害性的原因必须是人类的行为,而刑罚与赔偿也都必须以侵害的程度作为判断基准”[14]。法益具有客观侵害可能性,是客观刑法基本立场的支柱之一。
4.方式:利益怎么保护
刑法保护必要性:法益主体及其他法律难以充分保护的标准(规则七)。法益的内容(即利益)是前实定法的事物,法确认这种利益并加以保护,才成为法益;若这种利益不受法保护,就不是法益。从目的导向看,刑法保护具有妥当性和有效性。一方面,采取刑法保护的方式能够或至少有助于实现保护法益的目的,且不会导致禁止对社会有利的行为,不会使国民的自由受到不合理的限制;另一方面,法益主体及其他法律难以充分实现保护法益的目的,适用其他保护方法不足以抑制侵犯法益的行为。从价值导向看,刑法保护具有必要性和均衡性。即,采取刑法保护的方式是在达成目的的要求下所采取的必要措施,在手段与目的的关系上是相称的,且大多数人主张以刑法进行保护。
1.新兴法益的具体判断标准
从语义结构看,新兴法益分为“新兴”和“法益”两部分。其中,“新兴”是定语,“法益”是中心语,前者修饰、限定后者。因此,新兴法益首先必然要符合法益的认定条件,即通过前述的三维度四路径七规则的审查才能够成为刑法保护的法益。在此基础之上,新兴法益还必须符合“新兴”的认定条件。
那么新兴的定义是什么?什么是新兴事物呢?如何判断新旧事物,理论上有时间说、速度说、形式说、权威说等观点[15]。从哲学上说,一般是考虑事物是否符合发展的客观规律。比如“新事物是指合乎历史发展趋势的、具有远大前途的东西……新旧事物区别的根本标志在于,是否同历史发展的必然趋势相符合”[16]。概言之,哲学是从本质上对新兴事物的界定,具有高度的抽象性,但并不能直接作为判断“新兴”法益的具体标准。
那么“新兴”法益的具体判断规则如何确定呢?笔者认为“新兴”一词表明了被描述对象在生成时间上、存在形式上的特点,与“传统”相对呼应。其一,时间条件。如前所论,新旧事物相区别的根本标志不在于时间,因此时间条件只是表象特点,不能作为认定新兴法益的充分条件。换言之,某种事物具备时间特点,并不意味着就能成为新兴法益;但成为新兴法益的某种事物必然具备时间特点。其二,形式条件。在存在形式上,许多学者往往刻意强调新兴法益与传统法益之间的区别,闭口不谈或简略带过两者之间的共同基础,从而突出“转型”的标志。比如信息网络法学派将现今如火如荼的信息网络时代、大数据时代作为话语权新秩序的筹码,提出完全有别于传统刑法理论体系的学术主张,大有一番另立门户的架势。又比如风险刑法流派,希望推动法益理论朝着规范理论方向前进,从而强调法益的关注重点应当从结果不法转移到行为不法。
然而,生成时间、存在形式等条件,与其说是事前判断构成“新兴”的规则,毋宁说是构成“新兴”的事后表现特点。要判断某项利益是否构成新兴法益,需要首先通过前述七项规则的审查,成立刑法上的法益,再与传统法益进行比较,判断其是否在根本性质、社会状况变化、法益内容等方面具备实质上的不同。若存在实质上的新情况,才构成新兴法益。
2.新兴法益的类型表现
张明楷教授认为新兴法益可以表现为“有些以前未受保护而现在需要保护的利益;有些已受保护而在网络时代增加了新内容且受到新侵害的利益;有些我国现行刑法未保护而又在网络时代受到新侵害的传统法益”[7]。本文予以赞同,认为新兴法益在新兴方面可以从以下几方面考虑。
其一,纯正的新兴法益。某种事物在满足法益的构成条件后,即满足利益和法的要保护性后,与传统法益相比,完全是一种新兴法益。比如在环境犯罪中,多数国家的立法逐渐承认生态环境本身和其他环境利益可以成为独立的法益,就是一种纯正的新兴法益。这类事物符合新时代中新实践的客观规律与发展趋势,在本质上是一种纯正的新兴法益。
其二,不纯正的新兴法益。某种事物原本就属于传统法益射程范畴,由于信息网络时代大变革产生的网络空间[17],对社会生活实践的重新塑造,增生了新的利益内容或形式,从而对刑法保护提出了新的要求。比如,大量产生的各种形式的虚拟财产,可以被纳入财产法益范围进行保护。此外,还有些事物原本也属于传统法益射程范畴,但由于立法技术或者受侵害极为稀罕而未被刑法纳入保护范围,却在信息网络时代频繁受到严重侵害,故而对刑法保护提出了正当的新要求。概言之,这两类新事物可以被传统法益涵盖,又因符合新时代中新实践的客观规律与发展趋势,因此是一种不纯正的新兴法益。
数据与信息的关系,在小数据时代类似于媒介与内容,前者服从物理技术规律,后者服从社会传播规律。在大数据时代,技术使得数据与信息之间的对应和转换变得及时和直接,导致两者在“工具与本体”之外的场合可以互换使用[18]。正如国外现有的立法(7)欧盟议会95/46/EC号《数据保护指令》(Data Protection Directive);英国《数据保护法》(Data Protection Act);我国香港地区《个人数据条例》(Personal Data Ordinance);我国台湾地区“计算机处理个人数据保护相关规定”。,虽冠有数据之名,却仍以信息为实。现今,绝大多数文献在使用数据与信息时,多是认为在大数据时代只是观察和表述的角度不同(8)本文赞同这种观点,后文也互换使用数据与信息,也即个人信息与个人数据同义。。
1.主体制约维度的审查
其一,对人有用性的标准(规则一)。在大数据时代,数据是指人们对人类本身以及其他生物或非生物产生的,在某种目的下,以数字化形式进行技术处理的一切海量信息(9)数据的定义有数值说(数量化资料)、电磁说(以01电磁编码传输信息的方式)、信息说、方法说(大数据背景下万事万物皆可数据)等多种观点。。大数据是指数据量巨大,通常认为数据量在10TB~1PB以上,数量级应是“太字节”的,并且是高速、实时数据流。简言之,大数据具有数据量大、多样、快速、价值密度低,以及复杂度等特征[19]。数据从采集到应用都是为了实现人的某种目的,深刻影响着国家与社会各方面大小的运转模式与状况(10)参见:工业和信息化部电信研究院《大数据白皮书(2014)》;中国信息通信研究院《大数据白皮书(2016)》《大数据白皮书(2018)》。。此外,大数据具有技术、应用、资源、理念等多种层次,是一种新技术、新应用、新资源、新理念。但无论何种层次,都是在人的主体本位观指引下,以人的需要为中心,进行各类数据活动。因此,数据必然符合对人有用性的规则。
其二,不特定多数人享有的标准(规则二)。社会公众是元数据的主要提供者之一,因此这类元数据在性质上表现为个人信息,具有人身权属性。任何个人或数据企业,遵循合法、正当、必要的原则,在法律规定的范围内,符合一定的条件与程序,就可以收集、使用公民个人所产生的数据信息。换言之,大数据从产生到使用都可以由不特定多数人享有。在互联网企业,大数据应用随处可见,通过收集并分析社会公众的行为轨迹、消费记录,生产的大数据产品,就能为不特定多数人使用。比如埃齐奥尼(Oren Etzioni)利用大数据理念和技术,开发了一个网购机票价格预测系统(Farecast),至2012年,用了将近十万亿条价格记录帮助消费者在预测的票价最低时购买机票,准确率达75%,平均每张机票可节省50美元[20]3-6。
2.利益规范维度的审查
其一,经验实在性的标准(规则三)。虽然大数据是以数字化形式进行技术处理的海量信息,具有无形性等特征;但是大数据是在经验上可把握的实在事物。在资源层次上,大数据作为一种新资源,表现为海量的数据信息。比如公民个人信息作为主要元数据之一,是指以QQ、微信等即时通信工具聊天记录、论坛、贴吧、电子邮件、手机短信记录等电子或者其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。这类公民个人信息并非主观上恣意的内容,对于本人或者他人、社会团体等主体来说,是一种可以直观认识、把握的事物,具有普遍性、客观性和实在性。简言之,此类元数据虽然以无形的电子数字形式存在,但却丝毫不影响其经验的实在性。
其二,管理可能性的标准(规则四)。在法益框架下,主要涉及大数据的资源层次、技术层次和应用层次,可以根据不同标准分为不同类型。比如,大数据根据不同归属主体的标准,可以分为个人数据、企业数据和公共数据、政府数据等。个人数据包括具有人身权属性的自身生物特征信息和其他非人身特征信息。企业数据主要指在法律的范围内,符合一定的条件和程序采集、整理的,用于营利目的的各类数据信息。公共数据主要是指无主体指向的可以公开的数据,一般指经过“脱敏”处理的公开数据。政府数据则一般是指政府部门在执法过程中形成的数据,涉及社会公共和公民的利益。政府数据根据能否公开的标准又可以分为免费公开、惠及民生的普通政务数据;有偿公开的政府数据;关乎国家安全而不能公开的国家数据。在我国,绝大多数的公共数据都掌握在政府手中。大数据可以从资源、技术和应用等不同层次进行管理。比如个人数据权利包括知情同意权、访问权、可携带权、更正权、反对处理权、删除权(被遗忘权)、收益权等,已经随着信息化而发展出庞大而成熟的权能体系和规则体系[21]。国家数据包括数据管理权和数据控制权,主要功能是在新技术环境中巩固国家主权的地位。
其三,重要利益的标准(规则五)。数据在小数据时代,其重要性并未突显;在大数据时代,随着数据技术迭代引发的数据规模的爆炸式剧增,其重要性也随之突显。理论上认为“数据的生成具有动态开放性,蕴涵无限潜在的经济效益,是网络时代的新富矿”[22]。《促进大数据发展行动纲要》指出,数据已成为国家基础性战略资源,大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响(11)参见:国务院2015年8月31日印发《促进大数据发展行动纲要》(国发〔2015〕50号)。。大数据作为革命性的信息技术,不仅可以辅助、取代人类的体力劳动和智力劳动,而且在效率和质量上远胜人类,具有重塑社会生产生活的巨大力量,使数据在法律上具有不容忽视的意义。正因如此,“富矿”“财富池”“新能源”等美誉纷至沓来,明示大数据对于未来人类生产生活的重要价值。
3.法律权衡维度的审查
其一,侵害可能性的标准(规则六)。数据安全的脆弱性与易受攻击性越发凸显,大数据犯罪渐成气候[22]。详言之,大数据的最大优点就是其无形性与流动性,使之在收集、复制、存储、传输和处理等方面存在极其便利的特点,然而最大优点也是最大缺点。大数据的无形性与流动性,导致大数据极易遭受信息技术的攻击,从而在内容的真实性、可靠性以及隐私性等方面令人担忧。2019年2月,人脸识别公司深网视界曝出数据泄露事件,超过250万人数据、680万条记录被泄露[23]7。根据公安司法机关和腾讯、阿里巴巴、京东、360等各大网络企业的业务报告,我国近几年网络数据黑产犯罪呈现井喷的恶劣态势,已经形成上游提供技术工具、中游获取数据资料、下游侵害数据变现的产业结构(12)参见:《北京市海淀区人民检察院网络安全刑事司法保护白皮书》《腾讯2017年度网络黑产威胁源研究报告》《腾讯2018上半年互联网黑产研究报告》《京东2018年数字金融反欺诈白皮书》《360互联网2018年上半年中国互联网安全报告》等。。据测算,仅中国“网络黑产”从业人员就已超过150万,市场规模也已高达千亿级别[24]。此外,除了侵犯个人数据违法犯罪现象愈演愈烈外,互联网企业之间的数据争夺大战以及重要数据违规出境问题也此起彼伏。比如,众所周知的快递行业顺丰与菜鸟之争、互联网企业华为与腾讯之战,其纷争的核心既不是产品,也不是市场,而是用户数据。为应对滴滴公司重要数据和公民个人信息的出境安全风险,2021年7月国家网信办会同公安部等七部门,以防范国家数据安全风险,维护国家安全为由,联合进驻滴滴公司进行审查,并下架滴滴出行APP。
其二,法益主体及其他法律难以充分保护的标准(规则七)。信息网络技术的迭代升级发展,大数据时代重塑了社会生产生活方式,也孕育了新的社会安全风险。在新的大数据安全风险的现实压迫下,大数据安全和秩序的价值必然成为社会治理着重考量的要素。毋庸置疑,单个的公民虽可以凭借信息网络技术侵害大数据的安全和秩序,但却无力维护大数据的安全和秩序。换言之,大数据的安全和秩序,依赖社会集体的共同协作才能得以维护。为了迎接大数据时代,规范大数据时代的秩序,保护数据安全、信息安全就成为法治的必然课题。在依法治国原则下,建立相应的法律制度和规则,就成为社会集体在应对大数据安全风险时必然的路径。有学者指出,“信息隐私兼具私法益与共同体利益的性质,对其保护也不能仅依赖个人,还要反应与整体利益的联系”[25]。总之,刑法作为最后的保障法,在承担这种集体行动的安全风险控制任务中,同样也责无旁贷。
1.新兴比较维度审查
蒸汽技术、电力技术分别是第一次、第二次工业革命的主要标志,促使人类社会发生深刻变革。大数据作为计算机信息技术在第三次工业革命新阶段的延展与深化的主要标志之一,也正在引领新一轮科技创新和产业变革。蒸汽、电力本身是早已客观存在的事物,但蒸汽机和电能的广泛应用,分别成为补充和取代人力、蒸汽机为动力的新能源,构成推动科技革命与社会变革的新事物。大数据也同此理,即数据信息本身也是先验存在的客观事物,但随着社会数据化程度的加深,完成量变到质变的过程,通过规模剧增改变现状效应,成为科技革命与社会变革的新动能,因此也是一种符合新时代新实践的客观规律与发展趋势的新事物。如有学者指出,数据法益“表现为对于新技术产品及其功用专有的享用和控制利益,无法得到固有的保护手段的充分戍卫”[25]。“大数据的内在属性,是数据作为新型法益的基础,使数据拥有法律意义与规范价值”[22]。
2.数据法益的类型结构
那么数据法益是一种纯正的新兴法益还是不纯正的新兴法益呢?要回答这个问题,首先要明确的问题是,数据法益是单个法益还是一个法益群(法益丛、法益束)?笔者认为,大数据的核心思想是用规模剧增来改变现状,应当区分大数据本身与大数据内容。在大数据时代,大数据的低价值密度特征,表现为大数据本身的价值远超大数据内容的价值,大数据本身可以独立于数据内容。此外,数据法益是一个根据案件涉及数据信息特征的类型化统称,因此是一个法益群。
由于篇幅所限,本文讨论的数据法益的范围,暂不包括大数据本身,仅指大数据内容,并且根据数据权利的归属进行论证。“数据已拓展为包含经济价值属性、身份信息属性、数据安全属性的复合型法益形态”[26],因此应该分别予以保护。概览数据权利化问题研究现状,主要分为否定说[18,27]和肯定说两大流派。其中肯定说是多数说,并逐渐明确为数据公权与数据私权两大类的基本趋势。数据私权又以个人数据权利和企业数据权利为双核心,主要应对国内数据应用安全风险,以在新时代环境中维护公民自由与财产安全为逻辑起点与研究重心。数据公权以数据主权为核心,主要应对数据跨境流动对国家安全的影响,以在新技术环境中巩固和维护国家安全为逻辑起点与研究重心。
其一,个人数据是一种纯正的新兴法益。个人数据的法律属性,在理论上有个人信息权说、基本权利和自由说[28]、物权说或所有权说、隐私权说、一般人格权说、人格权兼财产权说、框架权说[29]、具体人格权说等八种理论观点[21]。梅夏英教授则将之归为人格利益说、个人信息权说、人格兼财产权说三类[18]。进入新千年,特别是大数据时代以来,个人信息的范围远远超过了隐私的范畴,导致个人信息与隐私在“控制与合理利用”的策略结构中发生了质的变化。我国《民法典》第111条的立法,引发了个人信息是人格权的新内容还是新型民事权利的争论。前者将个人信息作为人格权的一种类型,主张权利化[30]。后者则脱胎于隐私保护的范式,将个人对于数据的支配权作为核心内容,从而构成一种有别于人格权的新型权利——个人信息自决权[31]。此外,还有学者指出,个人数据表现为个人信息时,不等于个人私有信息,应从私法视角的个人信息自决权转向公法视角个人信息受保护权予以保护[32]。笔者认为,个人数据法益“不适用以保护财产权利或者保护作为计算资源能量的物权保护模式”[19],可以寻求独立的个人信息保护模式予以规制。此外,从体系解释方法看,侵犯公民个人信息罪被规定在刑法分则“人身犯罪”之中,因此是将公民个人信息作为新兴的人身法益进行保护。
其二,企业数据是一种不纯正的新兴法益。企业数据的法律属性可以分为知识产权说和财产权说。知识产权说又可以分为著作权或商业秘密两种保护方式。比如,德国等部分国家意图通过以著作权法上的汇编作品来保护数据库的方式间接保护数据。然而,保护数据库与保护大数据是两件不同的事。因为大数据的核心思想是用规模剧增来改变现状,其核心价值在于数据的超大规模,而不在于数据的结构及其编排方式。还有些国家将企业数据作为商业秘密结合反不正当竞争法进行保护。程啸教授认为“企业数据权利是一种新型的财产权,不能仅仅通过反不正当竞争法给予保护,而应同时作为绝对权给予更系统的保护”[33]。但不管何种具体的保护方式,都没有超出传统法益射程范畴,是一种不纯正的新兴法益。此外,大数据时代的个人数据权利与企业数据权利活动之间的关系,也是一个仍待解决的重要问题。
其三,国家数据是一种不纯正的新兴法益。《数据安全法》等法律虽尚未明确数据主权,但在网络空间主权概念下获得理论生命力。《促进大数据发展行动纲要》明确提出“数据主权”的概念(13)《促进大数据发展行动纲要》规定……充分利用我国的数据规模优势……增强网络空间数据主权保护能力,维护国家安全……,并将其置于“网络空间”。《国家安全法》第25条明确规定了“维护国家网络空间主权、安全和发展利益”的立法目标。《网络安全法》第1条也再次确立了“维护网络空间主权和国家安全”的立法目的。即国家主权扩及于网络空间而形成网络空间主权(14)国家互联网信息办公室2016年12月27日发布的《国家网络空间安全战略》明确指出:国家主权拓展延伸到网络空间,网络空间主权成为国家主权的重要组成部分。。此外,《数据安全法》第2条规定,在中国境内外开展数据处理活动,损害中国国家安全、公共利益或公民、组织合法权益的,依法追究法律责任。第31条还对在境内运营中收集和产生的重要数据的出境安全问题,区分不同的管理办法:对于关键信息基础设施的运营者适用《网络安全法》的规定;对其他数据处理者由国家网信部门会同国务院有关部门制定。第36条规定,非经中国主管机关批准,境内的组织、个人不得向外国司法或执法机构提供存储于中国境内的数据。因此,依托网络空间的网络数据,自然在网络空间主权概念之下发展出数据主权的概念,并成为国家主权的重要组成部分。同理,数据主权是大数据时代对社会生活实践的重新塑造所产生的新的利益内容或形式,因此属于不纯正的新兴法益。
1.数据法益的性质内容
其一,价值性利益。拉德布鲁赫说,“法律只有在涉及价值的立场框架中才可能被理解”[34]。若从价值论来关照刑法,就会获得“刑法是一种由特殊符号负载的综合性价值系统”的新认识[35]。在法益理论框架下,“法益的本源性价值在于保护个人自由”[36],并且“在价值取向上,现代刑法偏向于对个体权利的保障,法益概念也主要围绕个体而加以构建”[37]。概言之,“法益概念接受了自由主义刑法界限的任务”(15)Roxin, Lehrbuch zum Allgemeinen Teil,§2 Rn. 6.。在本文主题框架下,数据法益虽然作为抽象价值层面的利益形态,但当投射到现实案件中,某种危害行为与具体利益载体或利益关系发生可归责的法律关系时,数据法益的存在和表现形式都是具体的。总之,保护数据法益,特别是保护公民个人数据,有着来自自由主义刑法的使命要求。
其二,工具性利益。利益是指满足人的需要的事物,这种满足是由事物内部要素的结构所形成的属性和功能决定的。因此,任何一个能够满足主体需要的具体事物,作为一种利益形式,都是工具性和目的性的统一。如前所述,大数据在技术层次是一种新技术,具有工具性价值。大数据技术主要包括分析类、事务处理类和流通类等新一代技术,以多源头、非结构化、超大规模的数据为对象,成百倍地降低数据应用成本和提升经济效应。《中国数字经济发展与就业白皮书(2018年)》数据显示,2017年我国数字经济总量达到27.2万亿元,同比名义增长超过20.3%,占GDP比重达到32.9%[38]。《全球数字经济新图景(2019)》指出,2018年测算的47个国家数字经济总规模超过30.2万亿美元,占GDP比重高达40.3%[39]。其中,以大数据为代表的新一代信息技术对于数字经济的贡献功不可没。
2.数据法益的对象内容
《网络安全法》第76条第2款对网络安全进行了法律界定,第4款明确了网络数据的含义。即,网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
其一,有用性。比如,在经济领域,数据将引领资金、人才等资源,深刻影响社会生产要素、生产方式、商业模式等高效整合和创新运行,成为推动经济转型与升级发展的新动力。在政府治理领域,数据作为原始材料,可以揭示传统方式难以展现的关联关系,为政府科学决策、有效管理提供坚实的理性支持,推动政府治理理念、治理模式和治理能力的现代化、科学化。在国家竞争领域,数据正在引领新一轮科技创新和产业变革,成为重要的基础性战略资源,为国家竞争提供了弯道超车的新机遇。
其二,完整性。对于数据完整性利益而言,其实质是对数据的真实性和相容性进行检查,这关系到数据能否真实地反映客观对象。此外,大数据的价值,既不在于单一数据的价值有多大,也不在于单一数据的简单相加,而在于规模剧增导致量变引起质变后产生的新的整体价值。再者,伪造特定领域、行业或机构具有威信的大数据,表明意图使非真实的数据产生真实数据所具有的威信力,从而获取法律上的公信力。这种特定大数据的证明意义,不同于传统意义上文书的证明力,但却在信息网络时代极具现实性。因此,侵犯大数据真实性、完整性的行为,也就具有法律上的要保护性。
其三,保密性。数据的保密性是指,只有有权限的主体才能访问、获取、存储、删除、使用以及处分数据。保密性要求对主体的身份进行识别和验证,并采取相应的行为策略和技术措施保证有权主体采取访问、获取等方式接触数据,并禁止或限制未经授权的主体实施相关行为。此外,数据的保密性要求,一方面源自数据的人身属性、情报属性、财产属性等价值性质要求;另一方面也源自数据的生成、存储、流通的轻易性与脆弱性等安全性质要求。比如有学者指出,“数据在复制、流通和应用等方面的特征,使得信息隐私成为新的法益,值得并需要特殊的刑事保护”[25]。
其四,安全性。数据的安全性特征,与数据的完整性和保密性而言,既相对独立,又扮演着保护完整性和保密性的工具性角色。在个人数据领域,数据泄露严重侵犯公民个人隐私、名誉、财产安全、人身安全等。比如造成全国重大影响的徐玉玉事件,就是因个人信息泄露遭遇电信诈骗而衍生的个人数据泄露悲剧缩影[40]。在企业数据领域,数据产品因数据偏差或污染而影响财产价值,甚或危害社会公共安全。详言之,海量优质数据是人工智能发展与优化的关键要素,数据的质量和安全直接影响算法模型的准确性,进而威胁应用安全[23]2-3。比如,自动驾驶系统一旦遭遇“数据投毒”,就可操作车辆违反交通规则,从而影响交通运输安全。在国家数据领域,数据攻击将会影响社会稳定、国防或军事利益乃至国家安全。比如2018年曝光的“Facebook数据泄露”事件,就被认为影响了美国大选、英国脱欧等政治事件的走向[23]9。
人类文明迄今发生了三次信息载体革命:第一次是标志文明开端的语言觉醒;第二次是促使文明得以保存与传承的文字形成;第三次则是推动现代文明进入一种“内爆式”进步的数据凸显。当下,人类正处在数据作为新能源推动文明加速演化的大数据时代。而“大数据发展的核心动力来源于人类测量、记录和分析世界的渴望”[20]100。随着信息技术迭代升级,特别是移动智能终端的出现,万事万物都成为了可记录、可分析的数据。在刑事法治领域,对新兴法益的研究,就是对法益理论在广度上的拓展和深度上的挖掘。而数据能否成为新兴法益的课题,既可以考验现代法益理论的解释力,也可以发掘刑法理论的新的知识增量点。《数据安全法》的出台,就是基于数据对个体、社会和国家的重要价值而作为法益保护的立法宣示。对此,有观点主张“数据法益应依据相应的立法参照系予以定罪量刑,形成多层次的数据安全刑法保护体系”[41]。还有观点认为,“我国一般数据犯罪的罪名存在结构错位、保护不周等问题,无法实现对数据法益的独立性、完整性、体系性保护,应从国际视角出发对相应构成要件进行完善与调整”[42],或“刑法必然要建立新的数据犯罪罪名体系”[43]。综上所论,数据可以成为新兴法益,具有刑法保护的正当性。