商浩文 张 萌
随着信息网络技术的飞速发展,数据已经成为当今社会不可或缺的资源。2020年3月30日,中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,将“数据”作为与“土地、劳动力、资本、技术”并列的市场化配置要素,正式明确了“数据”在国家经济社会发展中的重要地位。[1]设立科学保护模式、防止数据滥用是加强数据资源整合和安全保护的重要环节。《中华人民共和国网络安全法》《中华人民共和国民法典》《中华人民共和国个人信息保护法》(以下分别简称《网络安全法》《民法典》《个人信息法》)等法律均涉及上述问题的相关规定。尤其是于2021年9月1日生效的《中华人民共和国数据安全法》(以下简称《数据安全法》),创新性地确立了数据分级保护制度、数据安全应急处置机制、数据安全审查制度等一系列举措,为规范数据处理活动、促进数据开发利用提供了专门的法律支撑。
近年来,数据处理违法现象愈发严重,有些行为具有严重的社会危害性,达到了有必要利用刑法进行规制的程度。例如,在2019年5月北京警方破获的“巧达科技”非法获取计算机信息系统数据案中,涉案公司通过利用代理IP地址等非法手段爬取并出售个人简历数据超过2亿条,涉及数据数量之大、牟利之巨令人瞠目。[2]但与实践情况形成鲜明对比的是,目前我国刑法对于数据的保护处于较为滞后的状态。2015年11月1日施行的《中华人民共和国刑法修正案(九)》通过扩大主体范围、增设量刑区间等方式加大了对侵犯公民个人信息行为的处理力度并对计算机犯罪增加单位主体。但此后颁布的其他修正案并未涉及与数据有关罪名的增设或修改。刑法是其他法律的保障法,数据违法处理行为会对个人合法权益乃至国家安全造成严重损害,有必要动用刑法予以制裁。但是,现行刑法中关于数据的刑法制裁体系难以因应社会经济现状,有必要结合《数据安全法》颁行的新契机,探寻刑法对于数据保护的有效路径。
数据具有跨计算机科学、传播学等多个学科的特点,因此其与计算机系统、信息等概念均有一定关联。目前法律领域对于数据的研究虽然数量很多,但这些研究对于数据基本概念的认识却存在较大差异,有必要厘清数据的法律意涵。
根据计算机科学的定义,在现代计算机系统中,数据的表现形式已不限于数字,文本、图形、图像、音频、视频等也逐渐成为数据的表现形式,但数据的本质仍然是一种“用于描述事物的符号记录”,只有经过解释,其含义才能获得说明。[3]赞同上述观点的学者经常将“数据”与“信息”进行区分。信息作为传播学的核心概念,是一种“作为传播内容的事实”[4],其包含着新的情况、新的知识、新的内容。[5]在此种认识下,数据应当被理解为在计算机及网络上流通的,在二进制基础上的0和1的比特形式[6],其本身并不具备表意性;而信息则应当被理解为“用来消除随机不确定性的东西”[7],具有特定的意思和内容。数据和信息呈现出一种载体和本体的关系。上述计算机科学和传播学关于数据和信息的定义具有学科专属性,但是其相关特征的描述可以为后续法律界定奠定基础。
作为法律术语的“数据”具有不同于其他场合和学科的特定内涵与适用范围。[8]从国内外近年来关于数据的立法来看,“数据”与“信息”呈现出越来越明显的同质性特征。例如,于2018年生效的欧盟《通用数据保护条例》第四条规定,“个人数据”是指任何指向一个已识别或可识别的自然人的“信息”;2018年美国加利福尼亚州议会通过的《2018加州消费者隐私法案》第1798.140 (q)条规定,对“消费者信息”的处理指对“个人数据”或“个人数据集”进行的任何操作或一组操作。在我国,已生效的《数据安全法》第三条是“数据”的定义,即“任何以电子或者其他方式对信息的记录”;2021年11月1日施行的《个人信息保护法》第四条规定“个人信息”指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”;2022年1月1日施行的《深圳经济特区数据条例》作出了与上述两部法律类似的规定。其中,“数据”指“任何以电子或者其他方式对信息的记录”,而“个人数据”指“载有可识别特定自然人信息的数据”。由此可见,目前的立法趋势不再将“数据”定义为无意义计算机符号的简单集合,而是逐步承认“数据”与“信息”的一体化特点。实际上,主张对“数据”和“信息”进行区分的学者也不得不承认,二者在网络环境下难以割裂,具有相互转化的较大可能。[9]可见,将“数据”与“信息”进行同质理解具有法律依据。
数据的分类方式影响法律对于数据保护模式的设置,因此数据的合理分类显得非常重要。根据数据定义及我国现行立法,对数据进行分类存在存储形式和主体身份两种标准。
1.以数据存储形式为标准
根据《数据安全法》第三条,数据对于信息的记录方式可分为“电子方式”和“其他方式”。相应的,数据也可以划分为“电子化数据”和“非电子化数据”。关于“电子化数据”的含义界定,最高人民法院、最高人民检察院(以下简称“两高”)和公安部于2016年印发的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》可以提供参考。其中第一条规定:“电子数据”是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。该条规定是就“电子数据”作为证据的种类之一而言的,如果仅仅讨论“电子化数据”的一般法律含义,可以将其理解为“以数字化形式存储、处理、传输的数据”,而“非电子化数据”可以理解为“以除数据化以外其他形式存储、处理传输的数据”,如纸质形式、录音机磁带形式等。[10]而电子化是以计算机和通信技术为基础,将信息转化为计算机可以识别和读取的二进制形式[11],最终实现信息使用和传播的目的。[12]因此,“电子化数据”与计算机系统存在较为紧密的关联,也可以将“电子化数据”简单理解为存储于计算机系统中的数据,而“非电子化数据”则是存储于计算机系统之外的其他一切数据形式。
2.以数据主体身份为标准
有观点认为,在互联网背景下,应将“数据”限定为计算机信息系统所记载的,能够识别特定用户信息的个人数据。[13]然而,这种将“数据”与“个人数据”进行等同理解的观点显然大大缩小了数据的应有范围,明显与当下数据规模迅速增长、数据种类日益增多的趋势不符。实际上,除了“个人数据”外,数据仍包含商务数据、政务数据等多种类型,这便涉及根据数据主体身份对数据进行分类。目前,学界对于“个人数据”的含义已基本达成一致,“个人数据”指“与已识别或者可识别的自然人有关的各种信息”,其初始数据主体是自然人。对于“政务数据”,《数据安全法》虽然没有对其进行具体定义,但通过第五章“政务数据安全与开放”的规定可以看出,“政务数据”可以理解为“国家机关为履行法定职责的需要而收集和使用的数据”,其数据主体是以行政机关为主的国家机关。对于商业数据,可以按照商务部在2008年发布的《网上商业数据保护指导办法(征求意见稿)》中对“网上商业数据”的定义,即“在电子商业活动中产生的、以数字格式存在于互联网的商业信息,如企业财务和经营决策信息、客户个人信息、市场竞争信息、交易记录等”。因此,商业数据包含个人数据和企业数据。[14]然而,一方面,认为商业数据包括个人数据容易导致数据主体的混乱,且商业数据借助大数据技术已被匿名化,不再具备个人数据“可识别性”的特征[15];另一方面,除企业外,商业活动主体还包括非法人组织等其他主体。因此,应当将商业数据理解为企业等商业主体在其生产经营活动中存储、整理的大量具有商业价值且不具有识别性的数据[16],其数据主体是个体工商户、企业、非企业组织等商业主体。
目前我国刑法对于数据没有设立独立的犯罪罪名,而是依靠计算机犯罪、个人信息犯罪、商业秘密犯罪等与数据有关的罪名所形成的保护体系对数据进行保护。经过立法及司法考察,可以看出这种保护模式逐渐暴露出保护力度不足、保护范围存在遗漏的困境。
1.以计算机犯罪保护电子化数据
我国与电子化数据有关的犯罪主要体现为计算机犯罪中的非法获取计算机信息系统数据、非法控制计算机信息系统罪和破坏计算机系统罪两个罪名。非法获取计算机信息系统数据、非法控制计算机信息系统罪规定于刑法第二百八十五条第二款,是《刑法修正案(七)》新增的罪名,对于违反国家规定获取计算机信息系统中存储、处理或者传输的数据,且情节严重的行为进行了入罪化处理。破坏计算机系统罪规定于刑法第二百八十六条,是1997年施行的《中华人民共和国刑法》确立的罪名,除2015年《刑法修正案(九)》为该罪增加了第四款,即单位犯罪的处罚标准外,该罪在历次刑法修正的过程中未被修改。对于数据犯罪而言,该罪所规制的是达到影响计算机系统正常运行程度且后果严重的,对计算机系统中所存储、处理或传输的数据进行删除、修改、增加的操作行为。
2.以侵犯公民个人信息罪保护个人数据
与民法和行政法相比,我国刑法是首先对于个人数据保护做出有效反应的部门法。[17]作为对个人数据进行保护的特定罪名,侵犯公民个人信息罪起源于《刑法修正案(七)》增设的出售、非法提供公民个人信息罪和非法获取公民个人信息罪。《刑法修正案(九)》将两罪进行整合,将罪名修改为侵犯公民个人信息罪。与此同时,将该罪的犯罪主体转变为一般主体,增加了“违反规定”的种类,通过设置不同的法定刑幅度提高了最高法定刑年限,从整体来看扩大了保护范围、加强了保护力度,体现了刑法在数据保护方面的法益扩容。[18]该罪的设立体现了我国刑法对于数据保护的积极尝试,对于多种数据类型中的“个人数据”保护发挥了重要作用。
3.以侵犯商业秘密罪保护商业数据
根据行为保护模式,对于可以认定为在生产经营活动中扰乱市场竞争秩序,损害其他经营者或消费者合法权益的行为,可以认定为不正当竞争行为,从而运用有关不正当竞争的法律规定进行规制。[19]我国刑法中没有专门针对不正当竞争行为的犯罪,而是将行为保护转化为法益保护,以行为所破坏的法益种类设立不同的罪名,如生产、销售伪劣产品罪,损害商业信誉、商品声誉罪,虚假广告罪等。其中,与商业数据有关的专门罪名是侵犯商业秘密罪。根据2019年修正的《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》),商业秘密指不为公众所知悉,具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。因此,如果商业信息具备秘密性、价值性与保密管理性的特征,即可适用商业秘密的保护规则[20],具有严重法益侵害性的行为即可构成侵犯商业秘密罪。
从我国有关数据犯罪的罪名设置来看,目前我国刑法尚不能形成对于数据的有效保护体系。面对发展迅速、日新月异的数据产业,数据的刑法保护稍显滞后和不足。
我国刑法目前关于数据保护的刑法专门罪名主要包括非法获取计算机信息系统数据、非法控制计算机信息系统罪;破坏计算机信息系统罪;侵犯公民个人信息罪;侵犯商业秘密罪。上述罪名虽然能够从不同方面对数种数据滥用行为进行打击,但从整体来看,其对于数据的保护思路并不统一,各罪名的界限难以厘清,所保护的数据范围存在重合之处。具体而言,计算机犯罪是以数据存储形式为标准构建的罪名,侧重对于电子化数据的保护。侵犯公民个人信息罪和侵犯商业秘密罪是从数据主体身份标准设置的罪名,对于个人数据和一部分商业数据进行保护。随着信息网络的发展,以电子化方式存储的个人信息和商业秘密逐步增多,侵犯公民个人信息罪和侵犯商业秘密罪所涉及的数据形式也主要体现为电子化数据[21],这便造成计算机犯罪和其他数据犯罪保护范围的重合。
在司法实践中,也存在侵犯公民个人信息罪和计算机犯罪认定困难的现象。例如,在樊禹琪侵犯公民个人信息罪案中,被告人在明知他人通过苹果账号和密码锁定他人苹果设备从而勒索钱财的情况下,仍然非法获取并向他人出售苹果账号和密码。公诉机关指控被告人同时构成侵犯公民个人信息罪和破坏计算机信息系统罪,应当数罪并罚。但辩护人辩称被告人仅构成破坏计算机信息系统罪而不构成侵犯公民个人信息罪。最终法院认定被告人仅构成侵犯公民个人信息罪而不构成破坏计算机信息系统罪。①从该案控辩审三方对于被告人行为性质观点迥异的现象可以看出,对数据同时按照不同分类标准进行保护的做法容易导致范围的重合和保护的混乱。
2.数据保护依附其他法益
目前,我国刑法对于电子化数据的保护主要依靠非法获取计算机信息系统数据、非法控制计算机信息系统罪和破坏计算机信息系统罪。上述两个计算机犯罪看似可以将所有的电子化信息涵盖在内,但实际上,数据只能依附于计算机信息系统而得到保护。数据犯罪保护法益及其规范体系被计算机犯罪体系所遮蔽。[22]在司法实践中,也产生了以此为争议焦点的案件。例如,在杨运辉破坏计算机信息系统案中,被告人利用游戏内部邮件系统的漏洞,使用两个不同的游戏账号以退信的方式复制游戏道具。辩护人认为,被告人复制道具的行为不属于对数据的删除、修改或增加,也没有导致该游戏系统无法正常工作,因此不构成犯罪。法院认定,被告人的行为使得大量道具流入游戏系统,改变了系统内的数据信息,而该种改变破坏了游戏系统内的正常秩序,破坏了游戏的生态系统,因此构成犯罪。②可以看出,当被告人的行为对计算机信息系统的正常运行影响较小甚至没有影响时,只有对数据操作违法行为的类型和计算机信息系统正常运行的概念进行一定程度的扩大解释,才能使被告人行为与破坏计算机信息系统罪的构成要件准确对应。而扩大解释界限的判断,无疑为司法实践中该类案件的处理带来了挑战。
另外,计算机信息系统安全法益和数据安全法益保护侧重点的不同也造成了构成要件解释上的困难。例如,在非法获取计算机信息系统数据、非法控制计算机信息系统罪设立时,信息网络技术尚未如此发达,对计算机信息系统安全造成破坏的数据范围有限。因此,“两高”于2011年发布《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,其中第二条将该罪中的数据限于“身份认证信息”,如支付结算、证券交易、期货交易等网络金融服务的身份认证信息等。然而,该解释所规定的范围已远远无法适应数据安全法益的保护需求。经过司法案例检索也可以发现,如今以该罪判处的案件所涉及的数据类型已远远超过“身份认证信息”的范围。被告人非法侵入交管12123平台所查询和选择的车牌号数据③,被告人非法侵入医疗单位门诊软件系统所下载的医院统方数据④,被告人利用网络爬虫程序非法获取北京某信息技术有限公司经营的某网站房产数据⑤等各种数据均被认定为该罪所保护的数据类别。司法实践的上述做法对于实现数据保护目标是必要的,但对于非法获取计算机信息系统数据、非法控制计算机信息系统罪而言,却有突破该罪司法解释效力之嫌。
3.数据类型行为范围有限
由于刑法关于数据的专门罪名有限,因此难以涵盖值得保护的全部数据范围。不仅受到保护的数据范围有限,且受到刑法规制的数据滥用行为也不足以应对现实数据发展情况。一方面,无论是电子化数据,还是个人数据或商业秘密,均只构成数据的一部分,对于不属于个人数据或商业秘密的其他数据,这些处于空白领域的数据也具有保护的必要性,然而并未受到法律的明确保护。以商业数据为例,除了商业秘密之外,还包括大量值得保护的公开数据,例如某美食平台的用户评价、法律数据库中的案例整合等。在民事纠纷中,涉及该类数据的案件尚可通过被称为《反不正当竞争法》兜底条款的第二条,利用诚信原则和商业道德进行规制[23],如“大众点评诉爱帮案”。⑥但在刑事案件中,囿于罪刑法定原则的限制,对于刑法没有明确规定为犯罪的行为,难以进行定罪处罚。因此,目前刑法列举式、分散化的罪名设置方式难以实现对于数据的全范围、全方位保护。再以政务数据为例,如果涉及国家安全的政务数据被非法收集和传输至境外,则可能对国家安全构成威胁[24],在理论上存在利用危害国家安全罪进行规制的可能性。但在司法实践中,由于危害国家安全罪的罪行一般较为严重,且没有明确的滥用数据行为可能构成该类犯罪的法律参照指引,因此实践中尚未出现此类判决。
巴兰把它比作一场“烫手山芋”的游戏。每个节点会尽可能快地将消息块抛到下一个可用节点。即使几个节点被毁坏,消息块也可以轻松地弹跳至其他节点,并绕着断裂的链路传递。
另一方面,我国刑法目前对于数据滥用行为的规制范围也不全面。例如,对于非法获取计算机信息系统数据、非法控制计算机信息系统罪而言,其关注的是非法获取数据的行为,而对于诸如非法出售非法获取的数据、掩饰和隐瞒计算机数据及其控制权等行为,却无法得出是否处罚的明确结论。[25]再例如破坏计算机信息系统罪,该罪仅规制删除、修改和增加数据的行为,而不包括非法使用等对于数据本身的滥用行为。[26]数据的使用方式还将随着信息网络技术的发展而不断增加,对数据滥用行为的判定也将愈发细化和复杂,以我国刑法目前对于数据滥用行为的宽泛规定,难以应对不断提高的数据保护要求。
面对刑法对于数据保护的上述不足,应当尝试突破刑法目前松散式、碎片化的数据立法藩篱,将数据作为刑法独立的保护对象和主要的客体内容。[27]《数据安全法》的颁行为数据安全的刑法独立保护提供了契机。未来刑法可以将数据安全保护义务作为独立法益,利用《数据安全法》创设的数据分级分类制度框架,构建以“拒不履行数据安全保护义务罪”为核心的数据安全罪名体系。
虽然在《数据安全法》颁布前,已经有较多观点主张加强刑法关于数据的专门保护[28],单独增设以网络数据为独立犯罪对象的罪名。[29]但纵观近年来的刑法修正,并未采纳上述数据保护单独立法的建议。究其原因,主要为民法等前置法对于数据的法律性质存在较大争议,导致刑法数据法益内容难以确定。
关于数据的民法属性,有观点认为由于《民法典》关于数据的规定位于“第五章民事权利”,因此数据权已经上升为一种民事权利。[30]在此基础上,既有建立“数据财产权”的主张[31],又有建立“数据访问权”“数据用益权”“数据公开权”等主张[32];但也有观点认为数据的作用主要体现为其价值性,可以直接对其进行财产化保护而没有必要设立新型权利。[33]再具体至“商业数据”问题,有观点认为其可以纳入知识产权保护[34];但也有观点认为部分商业数据不具有独创性,明确反对将其纳入知识产权保护。[35]可见,目前我国民法对于数据的权属和保护模式存在较大分歧,数据的民事法律权益性质难以确定。在上述情况下,如果刑法贸然演化新型数据法益并增设新罪,不仅会导致刑法与前置法之间无法协调,还会导致刑法自身数据保护体系的混乱。作为专门对数据安全给予保护的行政法规范,《数据安全法》的颁行解决了刑法数据法益的确定难题。《数据安全法》不仅明确了数据安全保护义务是数据处理者应当履行的基本义务,还于第四章规定了安全保护义务的具体内容,这便为刑法的数据法益内容的确定奠定了前置法基础。刑法可以在此基础上将数据安全保护义务作为数据保护的法益,突破刑法数据保护的前述困境。
首先,上述做法有利于刑法后置法作用的发挥。《数据安全法》第五十二条第二款规定,违反本法规定构成犯罪的,依法追究刑事责任。但该条对刑法内容概括性的重申不属于真正意义上的附属刑法[36],存在一定处罚实质内容泛化的问题。[37]现有刑法规范对于数据类型和行为范围的保护均有限,无法对应《数据安全法》对于严重数据违法行为设置的法律后果要求。因此,将数据安全保护义务作为刑法法益有助于细化《数据安全法》所规定的法律责任,实现法益的梯度性保护。其次,上述做法有利于实现数据的独立保护。目前我国刑法中的计算机犯罪主要关注数据安全法益[38],侵犯商业秘密罪等犯罪主要关注市场利益法益。[39]这种做法在一定程度上是与私法保护模式保持一致的结果,但私法本身对于问题的争议导致了刑法的进退两难。《数据安全法》具有公法的属性[40],将数据安全保护义务的违反作为规制对象,可以将所有的数据类型纳入保护范围,使得数据保护不再附属于计算机系统安全等其他罪名。最后,上述做法具有可操作性。例如,《数据安全法》第二十九条规定了数据风险监测与处置报告义务,第三十三条规定了数据交易中介服务机构核实数据来源的义务,可以为刑法个罪构成要件的明确性提供参考。刑法已经设立过“拒不履行信息网络安全管理义务罪”等以行政义务违反为前提的罪名,具备了类似行政义务型法益设置的立法经验。
刑法的谦抑性决定了刑法制裁的范围不能过于宽泛,刑法只保护值得保护的法益。在我国法律制裁体系中,刑法是其他法律的保障法。因此,无论是在刑事立法,还是在刑事司法中,均强调犯罪定量的作用。对数据安全的保护也应当坚持刑法定量的作用。因此,在数据安全刑法保护的立法罪量要素的设置中,并非所有拒不履行数据安全保护义务的行为均需要受到刑法处罚,而应当发挥前置法的作用。只有在前置法无法有效解决相关法律规制问题时,才能动用刑法予以制裁。根据《数据安全法》第五十二条,违反本法规定的行为应当按照违法行为的严重程度分别承担民事责任、行政责任和刑事责任。因此,刑法应当与行政法形成梯度性的处罚衔接模式,只有不履行数据安全保护义务且具有一定严重情形,才能构成犯罪。在立法设计上,可以从《数据安全法》数据分类分级保护制度中获得启示。《数据安全法》第二十一条规定国家根据数据的重要程度和被破坏的危害程度对数据实行分类分级保护,并提出了国家核心数据、重要数据等不同类型的数据概念。其中,国家核心数据直接关系国家安全,应当采取最为严格的管理制度;重要数据被破坏可能造成危害国家安全和社会公共利益等严重后果[41],也是《数据安全法》的重要保护对象,《数据安全法》第四十六条设置了违法向境外提供重要数据的法律责任。因此,参考《数据安全法》的相关规定,可以将构成犯罪的情形规定如下:“(一)致使国家核心数据泄露的;(二)向境外提供重要数据,情节严重的;(三)致使数据泄露,造成严重后果的。”当然,对于重要数据的概念、数据分类分级的具体方法还有进一步探讨的空间。例如,有观点认为,应当将数据分为“重要数据”“受控数据”和“一般数据”,其中前两者是《数据安全法》规制和保护的重点。[42]未来如果有司法解释对于数据的分类分级方式及各类数据的定义有更为明确的规定,则刑法可以据此对构成犯罪的情形进行更为细化的设置。但就目前来看,参考《数据安全法》数据分类分级制度的规定设置上述罪刑规范是较为合理的做法。
《数据安全法》第四章专门规定了各数据处理主体的数据安全保护义务,主要体现为一般数据处理者的数据安全保护制度及相应的风险监测和报告义务;一般数据处理者获取数据需以合法方式的义务;重要数据处理者有数据处理风险评估和报送义务;从事数据交易总结服务机构有明确数据来源的义务;数据处理相关服务应当取得行政许可等。[43]对于上述义务的违反可以采用行政手段进行处罚,但如果违法行为具有严重的社会危害性,则有利用刑法进行规制的必要。因此,刑法可以将罪名确立为“拒不履行数据安全保护义务罪”,将“违反义务且拒不改正的行为”设置为“拒不履行数据安全保护义务罪”的构成要件的主要部分,具体表述为“开展数据处理活动的组织、个人不履行法律、行政法规规定的数据安全保护义务,经监管部门责令采取改正措施而拒不改正”。并且,数据处理者既可能包括自然人,也可能包括单位。因此刑法应当将单位犯罪设置于该罪第二款,具体表述为“单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚”。
新罪设立还可能产生与刑法原有罪名甚至未来预设罪名产生竞合的情况。例如,《数据安全法》第四十五条第二款规定,违反国家核心数据管理制度,危害国家主权、安全和发展利益从而构成犯罪的,依法追究刑事责任。从该规定可以推知,严重违反国家核心数据管理制度的行为有可能构成危害国家安全类犯罪,此时便可能涉及该罪与危害国家安全犯罪的竞合。再例如,某数据处理人违法处理个人数据,可能构成该罪与侵犯公民个人信息罪的竞合。但“拒不履行数据安全保护义务罪”的保护法益是数据安全保护义务的履行,与其他罪的保护法益是相互独立的,若某一行为同时触犯两种罪名,应当善于利用想象竞合原理进行处理。[44]因此,对于该罪,刑法可以于第三款规定“有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚”。这种做法不仅可以实现现行数据犯罪的体系协调,还可以为未来其他数据犯罪的设置预留空间。
为数据处理设立规则、完善数据滥用的法律规制,是加强数据保护、促进数据流动的必然举措。鉴于目前刑法对于数据保护的不足,应当增设新的数据犯罪,实现立法改革。然而,由于数据的属性及保护模式在民法中尚未厘清,刑法如果贸然设立以数据利益与安全为法益的犯罪,不仅会影响刑法内部罪名的协调,还会导致刑法与前置法产生冲突的可能。目前,基于《数据安全法》颁行的新形势,刑法可以以此为契机设立以信息安全保护义务的履行为法益的犯罪,对拒不履行数据安全保护义务的行为进行惩治,维护数据流动与数据保护之间的平衡。未来待数据相关民法等其他前置法地位更为清晰时,刑法再根据相关法益的保护需求对数据犯罪进行进一步完善也为期不迟。最终,通过数据相关民法、行政法、刑法、国际条约等规范的同频共振,共同实现数据保护法律体系的构建。
注释
①参见樊禹琪侵犯公民个人信息罪案,浙江省温州市龙湾区人民法院(2017)浙0303刑初337号刑事判决书。
②参见杨运辉破坏计算机信息系统案,广东省珠海市香洲区人民法院(2015)珠香法刑初字第2040号刑事判决书。
③参见尚帝、李含彬非法获取计算机信息系统数据、非法控制计算机信息系统案,河南省唐河县人民法院(2021)豫1328刑初353号刑事判决书。
④参见张某、陈某非法获取计算机信息系统数据、非法控制计算机信息系统案,上海市黄浦区人民法院(2021)沪0101刑初108号刑事判决书。
⑤参见林镇平等非法获取计算机信息系统数据、非法控制计算机信息系统案,北京市朝阳区人民法院(2020)京0105刑初2594号刑事判决书。
⑥参见上海汉涛信息咨询有限公司与爱帮聚信(北京)科技有限公司不正当竞争纠纷案,北京市第一中级人民法院(2011)一中民终字第7512号民事判决书。