作者简介:赵子雄(1998-),男,汉族,河南南阳人,中国刑事警察学院硕士研究生,主要研究方向:公安学。
摘 要:数据作用的充分发挥为社会进步提供了新机遇,但也不可避免地带来了新问题、新挑战,如数据隐私、数据安全等问题。一些不法分子非法获取公民个人数据后或间接进行转卖牟利,或直接进行违法犯罪,危害人民群众的财产安全、隐私、人身人格安全。为了有效治理数据犯罪,首先是应当对数据犯罪进行准确的界定,完善法律法规,构建一套制裁手段多样的打击处理机制;其次是树立整体意识,基于数据流通共享的角度,构建科学有效的社会自我防范机制;同时不断加强舆论道德的影响作用等。通过不断推进司法进程,完善社会治理体系,切实有效地遏制数据犯罪。
关键词:数据犯罪;数据流通;大数据;治理对策
中图分类号:D9 文献标识码:A doi:10.19311/j.cnki.1672-3198.2022.12.056
根据《中国互联网发展报告(2020)》,2019年中国数字经济规模达到了35.8万亿元,占国内生产总值比重高达36.2%。数据已经逐渐成为与土地、劳动力、资本、技术等传统要素并列的市场化配置改革的基础生产要素。在数字经济迅猛发展的同时,也引发了公众对于大数据时代数据隐私和数据安全问题的担忧。中国消费者协会2018年发布的《APP个人信息泄漏情况调查报告》显示:超八成受访者曾遭遇个人信息泄露。侵犯公民个人信息已经逐渐成为犯罪分子获取非法利益渠道和规模庞大的地下黑色产业链,即“数据源—数据中介—非法使用(犯罪)等”。
1 数据犯罪概述
有学者认为数据犯罪是指以数据为对象的非法获取、删除、修改、增加等行为,主要包括我国《刑法》第285条第2款非法获取计算机信息系统数据罪(简称获取型数据犯罪)和第286条破坏计算机信息系统罪第2款删除、修改、增加数据之规定(简称破坏型数据犯罪)。笔者认为,这种认定具有一定的局限性。
1.1 危害性的局限
数据犯罪的危害性不仅仅体现在非法获取、破坏数据行为本身。大部分犯罪嫌疑人实施非法获取、破坏数据的目的,是为了获得不法利益,主要是为了获取财产性利益。因此,犯罪嫌疑人在之后环节往往会通过转卖
或者是直接利用数据实施其他违法犯罪,来实现获取不法利益的目的。据此,如果将数據犯罪概念局限于非法获取计算机信息系统罪和破坏计算机信息系统罪,不利于对于数据犯罪所侵犯的法益的完整保护。
1.2 客观行为的局限
数据犯罪中非法获取数据的手段,不局限于非法获取计算机信息系统数据罪的客观行为。基于数据流通共享的角度,犯罪嫌疑人非法获取数据的途径除了直接接触数据源或者数据接受者,通过互联网技术手段或者欺骗手段非法获取数据外,还可以通过非法购买等方式获取重要数据(如图1)。由此,也形成了一个闭合的“恶性循环”,最终会通过电信诈骗等新型犯罪活动作用到数据主体即公民个人。
1.3 整体性的局限
数据犯罪行为衔接的紧密性决定数据犯罪概念必须具有“整体性”。如图1所示,数据犯罪的每一步行为都具有极强的目的性,其最终落脚点仍在于获取不法利益,特别是财产性利益。以此目的为导向,数据犯罪行为之间结合较为紧密。如果单纯地将整个“数据犯罪闭环”中的上游犯罪视为数据犯罪,就忽视了数据犯罪向后延伸的危害性。因此应立足于整体意识,对于利用数据所实施的犯罪也应包含在数据犯罪的整体概念内。
基于以上观点,笔者认为,数据犯罪应是以数据为中心,围绕数据展开的犯罪。数据犯罪既包括以数据为对象,直接针对数据非法获取的犯罪(获取性数据犯罪);也包括以数据为工具,利用非法获取的数据进行的犯罪(工具性数据犯罪)。
2 数据犯罪的特征
2.1 存续的全周期性
2019年4月,由公安部网络安全保卫局、公安部第三研究所和北京市网络行业协会等联合制定的《互联网个人信息安全保护指南》(以下简称《指南》)正式发布。《指南》首次提出“个人信息生命周期”,即包括个人信息持有者收集、保存、应用、委托处理、共享、转让和公开披露、删除个人信息在内的全部生命历程。从理论上讲,在数据整个生命周期内,都可能会发生相关的数据犯罪。例如,在数据的收集阶段,犯罪嫌疑人通过设置钓鱼网站或“钓鱼APP”,直接诱骗消费者,获取消费者个人信息甚至直接进行犯罪;在数据共享、转让阶段,犯罪嫌疑人往往通过在移动终端植入木马病毒或者利用开放的虚假WiFi,在数据传输过程中窃取用户信息;在数据保存阶段,利用数据接受者,往往是网络平台或者互联网服务提供者,数据库或者Web漏洞,直接侵入数据库或者取得数据库管理权限,进行拖库,获取相关数据等。由此可见,在数据尤其是个人信息的整个生命周期内,都有可能存在数据犯罪行为。
2.2 威胁的长周期性
在合规语境下,数据并非永无止境地流通,而是有生命周期的。根据2013年工业和信息化部公布的《电信和互联网用户个人信息保护规定》规定:电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。但相比较而言,不管是欧盟的《通用数据保护条例》,还是美国的《加州消费者隐私法》,对于数据生命周期的“终结”——也是数据主体的“被遗忘权”都在法律层面予以认可。而我国在法律层面缺乏对“被遗忘权”高效力的认定。公民的个人信息可能长时间甚至无限期的流通、共享,这也客观造成了诱发数据犯罪的“隐形风险”存在。
除此之外,即使在合规语境下,也隐含着诱发长周期数据犯罪的“隐形风险”。那么在违法违规条件下,不仅不可能存在数据的“生命周期”,而且数据、特别是公民个人信息流通、共享频率会更高、传播范围也会更大,存在诱发长周期数据犯罪的“显形威胁”。在数据犯罪中,基于最大程度获取不法利益的犯罪目的。一方面,“数据中介”会面向不特定群体,贩卖同一批公民数据信息以取得利益最大化;另一方面,以数据为工具、侵犯传统财产法益的犯罪嫌疑人,基于同样的目的,在利用数据进行诈骗、盗窃等犯罪的同时,也会将其再次出售。
2.3 损害的不可逆性
首先,是可能对信息主体隐私权的不可逆损害。根据我国《民法典》规定:“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。由此,可以将个人信息划分为私密信息和非私密信息。其中,私密信息属于隐私的范畴,是建立在信息封锁之上的。私密信息相对于非私密信息来说敏感度更高、对信息主体造成不良影响的可能性更大。而犯罪嫌疑人在进行非法获取数据的过程中,不可避免地会获取到相关的私密信息。当犯罪嫌疑人在利用这些私密信息进行犯罪或者非法交易时,对信息主体的隐私权就已经造成了不可恢复的侵犯。
其次,是在以数据为工具、侵犯财产法益的犯罪中,对被害人财产所造成的不可逆损害。主要原因是:第一,案发时间晚。大部分数据犯罪的隐蔽性强,相当一部分犯罪所得已被嫌疑人肆意挥霍,难以追回;第二,财产转移多样化。犯罪嫌疑人通过从第三人手中购得的大量银行卡,或者借用他人身份信息办理POS机违法套现等手段,实现快速转移财产,达到洗钱的目的。在司法实践中,针对此类犯罪,追赃较为困难。
最后,非法买卖、交易数据犯罪行为对于数据市场秩序可能造成不可逆的损害。目前国内共有数十家数据交易中心,形成了以上海数据交易中心为代表的数据中介模式(只提供交易平台,收取佣金)和以贵阳大数据交易所为代表的投资型交易模式(买进卖出,赚取差价)两种数据交易模式。然而,近乎于“零成本”的地下黑色数据交易产业链,挤压了数据交易所的生存空间,严重破坏了数据市场秩序,造成了“劣币驱除良币”的现象。长此以往,数据市场合法、有序地开发、利用的美好愿景,将不可能实现。
3 诱发数据犯罪因素分析
3.1 不法利益的驱动
3.1.1 数据犯罪的高收益
大数据时代,人、事、物等均可被数据化,数据的价值被无限放大。获取公民的个人数据,在一定程度上就意味着可能直接或者间接获取利益。
首先,获取性数据犯罪能取得高收益。一方面,大数据时代,市场经营主体已经从过去的“被动性”经营升级为“主动性”经营,为了通过业务推广、商品推销等手段获得营利,往往需要获得目标客户的数据。另一方面,通过正规渠道获取数据成本较高且信息精准度较低,“数据黑市”提供的数据没有經过“数据脱敏”,精准性高。因此,犯罪分子非法获取数据后,“市场刚需”使得犯罪分子可以获得较高收益。
其次,工具性数据犯罪也可以获得较高收益。以电信网络新型诈骗犯罪为例,早期电信网络诈骗犯罪对于他人个人信息依赖程度不高,但随着电信网络诈骗犯罪由“粗放式”向“精准式”的转变,事先准确、全面地获取目标对象的个人信息是犯罪分子实施电信网络诈骗犯罪的先决条件和重要基础。数据信息精准度越高,诈骗成功可能性就越大、犯罪收益也就越多。
3.1.2 获取数据的低成本
(1)非法获取数据的技术成本相对较低。司法实践中,犯罪分子获取数据主要有以下几种方式:一是通过“数据中介”非法获取。通常而言,国家机关,企事业单位是公民数据的“聚集地”,犯罪分子一方面可以勾结内部人员获取相关数据,另一方面也可以在“数据黑市”,获取流入“数据黑市”的相关数据。二是通过非法窃取,获取数据。犯罪分子可以通过雇佣黑客或购买非法软件,利用网络漏洞,通过网络爬虫或者植入木马病毒等方式,窃取相关数据库中的公民数据。三是直接接触群众骗取数据,通过购买源代码等,创建APP,利用APP从后台窃取公民数据等。
(2)非法获取数据的风险成本相对较低。一方面,大多数情况下,数据主体并不会知晓其个人信息及相关数据被窃取或者泄露。同时,相关的数据收集者基于自身利益考量,即使发生数据泄露事故,更倾向于内部解决,不愿报案。另一方面,犯罪收益与刑罚不匹配。根据我国《刑法》的规定,对于因利用职业便利实施犯罪,或者实施违背职业要求特定义务的犯罪被判处刑罚的,人民法院可以对其适用“从业限制”,加大犯罪人刑罚负担。然而司法实践中尚未有一起数据犯罪案例适用“从业禁止”。由此,即使抓获犯罪嫌疑人,其受到的处罚也不足以达到罪责刑相适应的程度。
3.2 社会监管的漏洞
(1)数据收集者主体责任严重缺失。在大数据时代,数据收集主体基于数据收集过程中的“信托”理论收集数据,即数据主体出于信任,允许数据收集主体收集或向其提供自身数据,数据收集主体在提供服务获取收益的同时,就有义务妥善保管和处理相关数据,承担相应的安全保护义务和社会责任。但是在实践中,相当数量的数据收集者不仅没有履行数据安全的保护义务,导致公民个人信息泄露,甚至参与到贩卖公民个人信息的“产业链”中,非法牟利。
(2)关于数据收集的法律法规不够完善。我国当前关于数据收集的法律法规主要见于《民法典》《刑法》《网络安全法》等相关法律法规,在系统性、完整性、操作性和保护力等方面尚有较大提升空间。首先是体系性不强,在法律层面尚未有规范数据收集行为的专项法律,诸多规定散见于各种法律条文中,不利于法律法规的使用;其次是可操作性不强,多数规范性条文为原则性规定,缺乏执行刚性;最后是保护力不强,现有数据收集法律体系重“刑事惩罚”“行政处罚”,轻“民事归责”,对于违反数据收集相关法律法规,导致收集的数据,特别是个人信息泄露的,即使数据收集主体受到刑事处罚或行政处罚,但数据主体的财产及非财产性损失仍难以得到补偿。
(3)行业准入“门槛”较低。我国现阶段数据收集法律法规所提到的数据收集主体有很多。根据法律规范的重点进行区分:一是基于“提供服务收集数据”的视角,称呼为关键信息基础设施的运营者、电子信息发送服务提供者、互联网信息服务提供者、网络产品与服务提供者等;二是站在“直接收集数据”的角度,称为个人信息获得者、大数据企业等。由此可见,数据收集主体的法律规制具有开放性,法律没有作出明确的限定,任何组织和个人都可以成为数据收集的主体。这就加大了规制数据收集行为的难度,也给犯罪分子留下可乘之机。
3.3 数据主体的问题
(1)数据主体防范意识缺失。在日常生活中,尽管大多数公民都不同程度接受过个人信息保护的宣传教育,但并没有具体了解相关的内容。甚至大部分民众并没有认识到,个人信息泄露会造成诱发数据犯罪的“隐形风险”。因此往往疏于戒备,加大了个人信息泄露的风险。中国消费者协会《APP个人信息泄漏情况调查报告》显示,64.0%的受访者表示,个人信息的安全保护意识淡薄是受访者认为手机APP出现个人信息安全问题最主要的原因。
(2)数据主体防范能力较低。数据主体在日常生活中,往往并不知晓自己的个人信息等相关数据是如何被窃取或者泄露,所以并不知道如何具体去采取措施,保护自身的数据安全。同时,现阶段法律法规赋予数据主体维权手段较少,主要还是以向消费者协会和有关行政部门投诉、选择与服务商协商和解、向有关行业组织进行反馈等传统救济手段为主。结果导致数据主体面对自身数据安全问题“无能为力”。
4 数据犯罪治理对策
数据流通与共享视角下,数据发挥着连接点的作用,将虚拟网络空间和现实空间紧密结合在一起。也正因为如此,犯罪分子才可以利用数据侵犯现实空间的法益。所以在数据犯罪治理过程中,如果想要在网络空间保护传统法益,就必须确保数据安全。基于这一思路,数据犯罪治理需从如下三个方面着手。
4.1 法律控制:铲除数据犯罪的生存土壤
4.1.1 推进立法进程
为了更好地规范数据收集行为,从源头上遏制数据犯罪。可以将有关数据收集的行业标准、指导性文件等不具有法律效力的规范文件升级为法律法规,同时可以鼓励地方积极探索数据收集立法经验。同时,针对法律法规比较抽象的规定,可以通过行业规范、指导性文件进行具体补充,增强法律条款的可操作性。
4.1.2 加快修法进程
(1)扩大犯罪行为方式认定范围。根据我国《民法典》第1037条的规定,自然人发现信息处理者违反法律、行政法规的规定,或者双方的约定处理其个人信息的,有权请求信息处理者及时删除。由此确定自然人的信息删除请求权,相关行业准则也作出了类似规定。如此一来,通过完善侵犯个人信息罪,将拒不删除个人信息的行为纳入侵犯公民个人信息罪的条件已经具备。将拒不删除个人信息行为进行刑事规制,提高违法者的犯罪成本,更有利于惩治数据犯罪。
(2)确定适用“从业禁止” 。2019年4月1日,人力资源社会保障部、市场监管总局、统计局正式向社会发布了13种新职业信息,其中就包括大数据工程技术人员、云计算工程技术人员、数字化管理师三种与数据收集管理密切相关的新职业。以大数据工程人员为例,根据相关规定,其主要任务之一就是大数据采集、清洗、建模与分析,同时承担着监控、管理和保障大数据安全的责任。实践中,相当数量的数据犯罪主体,就是大数据行业的从业人员所为,也就是俗称的“内鬼”。但笔者登录某求职网站,输入关键词“大数据工程技术”“北京”,共检索到200余条职位信息,涉及数据的收集、管理、分析等各个技术环节,但在职位要求上除了学历、技术等要求外,均无相关从业标准要求。
根据我国《刑法》的规定,对于因利用职业便利实施犯罪,或者实施违背职业要求特定义务的犯罪被判处刑罚的,人民法院可以对其适用“从业限制”。数据收集管理相关职业的敏感性,决定了对其相关从业人员的“高质量”要求。基于此,可以对侵犯个人信息罪进行适当修改,引入“从业禁止”,这样既可以提升数据犯罪成本,起到遏制犯罪的作用,也能引导易大数据行业从业人员恪守职业操守。
4.2 管理创新:构建数据信息综合管理体系
4.2.1 设定数据收集准入门槛
享有什么样的权利,就要承担什么样的义务。数据收集者通过收集、分析数据,获取利益。除了为数据主体提供优质的服务,另一方面也应承担数据安全的责任和义务。但并非每个数据收集者都有能力来承担数据安全的责任和义务。因此可以建立数据收集准入制度,明确数据收集者的责任和义务。对数据收集者进行资质审查,确保数据收集、保管的可靠性和安全性。例如,APP上架审查时,就可以针对运营者是否能够承担数据安全责任,进行相关的资质审查。
4.2.2 数据收集技术创新应用
(1)数据收集时的匿名化处理。我国《网络安全法》第42条规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。因此,经过匿名化处理的个人信息数据,不再属于个人信息,不受个人信息法律法规的约束。个人信息经过不可逆匿名化处理,可以降低信息流通过程中泄露的风险,从而实现数据开发与保护并重的“双赢”局面。
(2)数据收集后的“假名化”技术。“假名化”技术其本质,就是通过特殊符号或代称替代原始数据中的敏感标识信息,从而达到无法通过数据识别特定主体即自然人的效果。2020年11月召开的第十届中国国际警用装备博览会上,公安部第一研究所展示了名为CTID的国家“互联网+”可信身份认证平台,CTID具有“前台匿名,后台实名”的特性,可以将公民个人信息转化为电子证件,常表现为带有时间戳的二维码或条形码。公民在日常生活中,例如注册APP时,就可以通过电子证件代替个人信息,减少信息泄露的风险。
4.3 增强公民个人防范意识和能力
增强公民个人防犯意识和能力主要从两方面切入,一是通过宣传教育,增强个人的防范意识,避免因公民个人的疏忽大意,间接“助力”不法分子获取公民个人信息;二是探索通过公益诉讼等形式,扩宽数据主体的救济渠道,提升公民个人的防范能力。
4.3.1 增强个人防范意识
公民作为数据的主体,应认识到个人数据的重要性,确立数据的防护意识。积极了解最新的信息安全讯息,培养安全的上网行为模式:面对第三方平台的信息获取权限请求审慎同意;及时清理网上浏览记录,及时更新防护软件;面对不明的网络问卷调查时,避免个人敏感信息的填寫。同时,通过微博、微信等社交平台和传统媒体,普及个人信息安全知识,解读日常生活中经常遇到的“晦涩难懂”的专业条款,让社会公众知晓每一项授权以及不良习惯可能诱发的“风险”,自觉养成安全防范意识。
4.3.2 提高个人救济能力
公民面对数据泄露问题,在知情的情况下,往往也措手无策,不知如何应对,保护自己的合法权益。现阶段,传统救济手段难以起到对数据主体合法权益的有效保护。因此需要拓宽数据主体的救济渠道,增加便捷通道。当前个人信息权利已不再仅仅呈现私权属性,更多地表现出社会属性和公共属性,将涉众型个人信息保护纳入检察公益诉讼范围,显现出极大的制度优势和现实有效性。可以通过探索公民个人信息公益诉讼,更好地提升数据主体的救济能力,保护数据主体的合法权益,同时更好地维护社会公共安全。
5 结语
大数据时代的浪潮波澜壮阔,加固“防护堤岸”势在必行。国家“十四五”规划纲要中已明确提出实施国家大数据战略的背景下,个人信息保护与社会公共利益关系如何平衡至关重要,而强化数据犯罪的社会治理就是最有效手段,因此,建立和完善以法律控制为核心、社会管理和舆论道德共同发挥作用的完整有效的治理体系,是应对大数据时代公共安全与个人权益面临挑战的当务之急。
参考文献
[1]杨志琼.我国数据犯罪的司法困境与出路:以数据安全法益为中心[J].环球法律评论,2019,41(06):151-171.
[2]孙晓冬.网络犯罪侦查[J].北京:清华大学出版社,2014:5-6.
[3]李永涛.电信网络新型诈骗犯罪侦查与治理研究[J].北京:中国人民公安大学出版社,2018:71.
[4]李琪,姜俊鹏.双层社会视阈下数据犯罪的法益规制思路[J].犯罪研究,2021,(01):95-102.
[5]李蕾.涉公民个人信息公益诉讼检察的几点浅见[N].检察日报,2021-05-06(07).