吴祈泫
(华东政法大学,上海 200333)
“当世界开始迈向大数据时代时,社会也将会经历类似的地壳运动。”[1]新兴技术革命推动数据产业蓬勃发展,数据的交互与应用是计算机网络平稳运行的基础,数据的挖掘和分析是各类信息碰撞融合服务于现实需求的前提。随着数字化社会的到来,数据的价值日益凸显。然而,机遇与挑战并存,近年来各种数据窃取事件层出不穷。不法分子利用网络爬虫技术非法收集数据资料,通过传播木马程序盗取身份认证数据,借助非法软件侵入系统获取用户数据,相关技术犯罪的门槛有所降低,数据遭受侵犯的风险与日俱增。关系个人人身财产权利、关乎企业竞争力与生产力、影响国家信息网络安全的数据,迫切呼唤制度层面的有效保护。“获取”是数据流通与资源共享的前提,也伴随着一系列的法律风险,在日益强调总体国家安全观的当下,数据犯罪不仅侵害数据本体,而且可能损害人身财产安全、知识产权安全、国家公共安全等法益,因此以主张风险预防的积极主义刑法理念为指导,通过刑事手段规制非法获取数据的行为具有必要性与合理性。但是,自由和安全如刑法之两翼,在打击窃取数据行为的同时,亦不可忽视数据高效流动的重要意义,故应在利益衡量的基础上进行法教义学阐释,既合理规制非法获取数据的行为,又鼓励和促进数字经济的健康发展。
我国《刑法》第285条第二款规定了非法获取计算机信息系统数据罪,对不正当获取数据的行为予以制裁。但是,随着数据的互联互通与广泛应用,其表征的权利客体愈加多样,新型数据犯罪的手段和方式不断演进,传统犯罪也以数据为载体发生网络异化,窃取数据行为侵害的法益更加多元,使得本罪的规制对象变得十分宽泛,并与其他犯罪交叉竞合,出现“口袋化”的兜底适用倾向。
笔者以“非法获取计算机信息系统数据罪”为关键词,在中国裁判文书网检索得到近3年裁判文书290篇,剔除部分重复案件,最后对其中256个判决进行整理分析。从规制的行为对象来看,获取QQ、APP、邮箱、支付宝、游戏软件等账号密码以及手机ID、摄像头IP、网站管理权限等身份认证信息的案件有100例,占39%;获取游戏币及道具的案件有68例,占27%;获取企业内部数据(该部分数据包括汽车维修记录、苹果手机“工厂码”、医院统方、产品订单、客户信息、商品防伪码、音像资料等具有重大价值的商业信息)的案件有44例,占17%;获取虚拟货币(含比特币)的案件有14例,占5.4%;获取公民个人信息的案件有11例,占4.3%;获取账户电子积分及卡券的案件有6例,占2.3%;获取支付凭证的案件有4例,占1.5%;获取手机靓号的案件有3例,占1.2%;获取二维码的案件有2例,占0.8%;获取广告、网址、流量等其他数据的案件有4例,占1.5%。可见实务部门对“数据”的涵义并未形成统一的认识。在实践中,数据的涵摄范围较广,行为人实施窃取个人信息、技术资料、虚拟货币、优惠券等行为,可能会同时落入侵犯公民个人信息罪、侵犯商业秘密罪、盗窃罪、破坏计算机信息系统罪等的评价范畴,导致新兴数据犯罪与保护其他法益的传统犯罪交叉杂糅。从对行为的定性来看,有20个案例将虚增平台游戏币、批量注册网站账号、植入广告脚本的行为认定为非法获取数据。在司法机关看来,行为人利用系统漏洞反复充值虚拟币进行获利、绕过验证机制虚假申领账号并出售、修改参数数据植入代码发布广告,其增加、修改数据的行为没有对计算机系统的运行造成严重干扰,不满足破坏计算机信息系统罪的犯罪构成;但此类行为与计算机数据存在关联,因此司法机关倾向于以非法获取计算机信息系统数据罪予以评价。然而行为人获取的数据不是既已存在的,而是其在权利人系统中创设的,该类数据是否为非法获取计算机信息系统数据罪的保护对象、此种行为是否符合“非法获取”的内涵,具有一定的争议。
出现上述现象的原因在于:一方面,现行刑法缺乏对“数据”这一概念的规范性阐释。“数据”与“信息”存在内容上的重叠,“数据”和“财产”呈现出价值上的趋同,非法获取计算机信息系统数据罪的规制对象模糊,导致该罪与其他犯罪之间界限不清;另一方面,非法获取计算机信息系统数据罪的保护法益尚不明晰。受相关司法解释的影响,实务中司法机关主要将目光聚焦于非法获取数据的违法所得或造成的经济损失而缺乏对不法行为本身的关注。行为人非法获取数据侵害的法益究竟为何、将对非法获取数据行为评价的落脚点放在财产利益的获取上是否妥当,这些有待于进一步的思考。
数据以数字化的形式存在于网络空间,具有技术属性与社会属性两方面的特征,既可以作为代码被计算机信息系统物理性地识别,也可以作为信息的载体被使用该系统的人社会化地识别[2]。数据这一一体两面的特征,导致非法获取计算机信息系统数据罪与侵犯公民个人信息罪、侵犯商业秘密罪等信息犯罪之间界限模糊。同时,数据作为一种符号,还具有一定的价值属性,新型数据犯罪与传统财产犯罪之间存在交叉竞合的现象。作为非法获取计算机信息系统数据罪的犯罪对象,数据的概念与特征的准确界定,是把握该罪规范性保护目的的起点,也是分析该罪所规制行为类型的前提,更是明确该罪与相关犯罪关系的基础。
我国《刑法》并未直接规定何谓“数据”,对其含义的理解需要参考司法解释及前置法的相关规定。2011年最高人民法院、最高人民检察院发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》认为,数据包括账号、口令、密码、数字证书等用于确认用户在计算机信息系统上操作权限的身份认证信息。《网络安全法》指出:“网络数据是通过网络收集、存储、传输、处理和产生的各种电子数据。”《数据安全法》规定:“数据是任何以电子或者其他方式对信息的记录。”上述规范从不同的角度对数据进行界定,均存在一定瑕疵。数据包括身份认证信息,并不意味着等同于身份认证信息,前述司法解释通过列举的方法说明了数据的一种表现形式,却没有规定数据的实质含义。《网络安全法》表明了数据的存在场合,突出全方位保护数据安全的理念,但其以电子数据解释网络数据,循环论证导致语义不清。《数据安全法》从数据与信息关系的角度对数据进行界定,但对于数据自身的内涵及特征缺乏充分的阐述,因此概念内涵仍具有抽象性。
厘清数据的本质特征需要回到计算机科学领域,在该领域中,数据是指能够输入到计算机信息系统并被程序处理的具有一定意义的数字、字母、符号等[3]。根据这一定义,数据是一种可以在计算机系统中运行的电子代码,遵循特定的程式规则,以运算的方式完成操作指令。作为计算机语言,数据的独特价值体现在其技术属性上,数据的编程与还原是计算机系统高效运转的前提,数据的流动和使用是互联网平台得以构建的基础。例如,网络平台的账号密码作为用户登录的身份验证码,可以让计算机系统通过对数据的认证确定操作者的权限,防止非权利人不法侵入,从而维护系统的运行安全。数据具有技术性,能够被相关计算机系统识别与处理,但其又不仅是由0/1组合而成的数位资料,数据在交互与流动的过程中记录并承载着一系列信息。数据的衍生特性体现在它与信息交织交融的关系上,即数据是信息的载体,通过数字化的手段存储和表达着信息;信息是数据的内容,与现实中的特定利益相联结。例如,体现人身权益的公民个人信息、涉及商业秘密的企业技术信息、对应财产性权利的虚拟信息等,都能以数据的形式呈现,数据成为现实社会与网络空间的连接点。由此观之,数据的价值也体现在其社会属性上,它能够反映一定的信息,指向具备现实意义的客观事物,具有表征人身、财产等权利的作用。在计算机网络中,数据与各类信息相互关联,信息的流通离不开作为传播媒介的数据,对信息内容的侵害也是借助操纵数据的行为来实现的,窃取数据的最终目的在于获取相应的社会性利益。因此,有学者根据符号层(代码层)与内容层(语义层)对数据进行划分,符号层指向以计算机编程技术为依托的二进制符号,内容层则为代码承载的信息内容,前者纯粹隶属于网络空间,后者同现实社会产生联系[4]。该观点阐明了数据的双重属性:其一,作为网络空间的代码,数据的生成、传输与处理关系计算机信息系统的有效运转,这一技术性特征是数据的本质属性,也是其核心价值所在;其二,作为现实物的网络表现形式,数据记载着特定的内容,表征着社会性的权利,这一社会化特征是数据的衍生属性,体现了数据与传统法益相融合而被赋予的社会价值。
基于以上分析,可以发现非法获取计算机信息系统数据罪保护的是数据本身的价值,指向数据能够为权利人排他性占有、使用、收益、处分,能够为计算机信息系统识别、存储、传输、处理的特征。该罪通过对非法获取数据行为的规制,保障相关数据免受非权利人的不法侵犯,使之处于稳定、安全、可持续利用的状态,以有效发挥其技术功能,保障计算机系统的平稳高效运行。此处的数据与其社会属性无关,即无须对数据承载的信息进行人为识别,也不关注数据在内容层面的价值,即便是业已公开的信息,只要数据具有一定的技术价值就仍有可能落入本罪的评价范畴。
在全国首例爬虫案中,行为人通过伪造身份及IP地址的方式,绕过服务器校验及访问频率的限制,获取网站中已公开视频涉及的数据,造成被害人技术服务费的损失。法院认为该行为构成非法获取计算机信息系统数据罪①参见北京市海淀区人民法院刑事判决书(2017)京0108刑初2384号。。此案一石激起千层浪,持否定观点的学者表示,非法获取计算机信息系统数据罪保护的是数据信息内容的秘密性,而在本案中法院采用“保护作为载体的数据”的认定思路,会加大该罪的“口袋化”倾向[5]。笔者的观点与之相反。数据与信息在内涵上有所差异,信息公开不意味着数据共享,把本罪定位为对数据技术属性的保护,更能体现出保护数据自身价值的理念。在本案中,尽管视频内容对外公开,但存储、处理、传输视频的数据具有独立的价值,权利人通过技术措施保护相关数据不被他人获取与知悉,是维护其享有的数据权益的重要手段。即使特定的信息内容被公开,作为信息载体的数据也仍具有秘密性,存在依据权利人意愿进行保护的必要。因此,明确非法获取计算机信息系统数据罪的犯罪对象,根据数据与信息的不同属性采取分而治之的思路,能够在信息公开传播的同时保障数据的秘密性不受侵犯。
当前数据风险的防控受到社会的广泛关注,相关立法不断完善,法律保护的重点也从计算机系统、信息内容逐步转移到数据本身,从静态的计算机安全转移至动态的网络运行安全[6]。2021年6月《数据安全法》的出台,更是将数据安全正式提升到国家安全的战略高度。根据《数据安全法》的规定,数据安全是指数据处于有效保护和合法利用的持续安全状态,为此立法通过对非法获取、不当使用数据等行为的否定性评价,保障数据的秘密性、完整性及可利用性。可见,数据安全具有“有效保护”与“合法利用”的双重意蕴,在处理涉数据案件时,需要思考如何协调平衡二者的关系,划定法律规制危害数据安全行为的合理边界。
“法益是刑法建立刑罚正当性的前提和特定行为入罪化的实质标准。”[7]探寻非法获取计算机信息系统数据罪的应然面相,首先需要厘清本罪保护的法益。学界对此存在不同的认识。有学者指出,窃取数据的行为侵犯了数据信息内容的秘密性,非法获取计算机信息系统数据罪旨在维护未公开信息非经授权不得任意获取的公共秩序[8]。亦有学者认为,该罪的法益具有复合性,包括计算机信息系统的管理秩序与系统内数据的运行安全[9]。非法获取计算机信息系统数据罪以违反相关前置性行政法律规范为前提,而《数据安全法》作为数据安全领域的基本法,其所确立的数据安全法益为理解与适用这一罪名提供了方向。
“数据安全”的概念是针对未经授权泄露、修改、删除、使用数据等行为的法律风险提出的,旨在维护数据的秘密性、完整性和可利用性[10]。数据的秘密性要求采取一定的技术措施,确保数据免遭非法访问、探知获悉、不当使用、扩散公布等安全风险。数据的完整性要求通过禁止删增改等不法行为,使之能够被完整地读取并运行,保持数据的真实性与可靠性,保障权利人对数据的控制与支配权。数据的可利用性强调数据能够被及时有效地获取并使用,完成特定指令,发挥应有功能,以保障计算机系统的持续平稳运转。由此观之,秘密性是数据安全法益的基础和前提,数据主体对其所有的数据享有排他性的权利,未经授权之人不得获取相应数据;而可利用性则为数据安全法益的目标和归宿,保护数据安全究根到底是为了促进数据的高效利用,实现数据的特有价值。
非法获取数据的行为侵犯了数据安全法益之数据的秘密性与可利用性。其一,行为人未经权利人许可,利用系统漏洞或是绕过保护权限非法访问与秘密读取数据,是对数据的秘密性、排除他人非法干扰的安全与秩序价值的侵犯。例如,被告人反向编译被害单位的“WiFi万能钥匙”手机APP软件,利用其开发的模拟伪装软件,向该公司数据库服务器发送请求信息,非法获取从中返回的共享WiFi热点密码数据241万组,供自己的软件客户使用①参见上海市长宁区人民法院刑事判决书(2016)沪0105刑初1027号。。热点密码等身份认证数据具有确认用户操作权限的功能,被告人利用非法技术手段获取上述数据的行为,破坏了数据的秘密性,导致权利人不再排他地支配相关数据,任何持有这一账号密码的人皆可进入特定系统,原有的识别验证功能不能得到有效发挥。被告人泄露归属于特定主体的秘密数据,侵犯被害人的数据权益,造成了财产损失,应当构成非法获取计算机信息系统数据罪。其二,行为人使用黑客技术入侵数字货币交易网站,或者运行木马程序干扰网络游戏后台数据库,盗取用户虚拟货币、游戏道具等数据的,其行为将导致权利人无法继续使用相关数据,侵犯了数据的可利用性。这类数据具有特定的财产权属性,非法获取数据的行为侵害了权利人对数据排他性占有、使用、收益、处分的权利,导致权利人财产利益的减损,因此立法通过非法获取计算机信息系统数据罪对此类不法行为进行规制,借助保护数据的可利用性实现对数据主体的财产性权益的保障。由此,以秘密性与可用性为核心的网络数据安全与现实社会中的多元法益形成呼应与联动。
有学者将涉及数据的犯罪分为两类,一是以数据为对象,侵犯数据安全法益的犯罪;二是以数据为媒介,侵犯人身财产法益的犯罪[11]。探索对窃取网络数据行为的规制路径,首先应当根据受损法益的性质,确定行为是否构成非法获取计算机信息系统数据罪,其次需要甄别该数据有无表征其他权利,是否对应信息类犯罪或财产类犯罪,最后再对罪数问题进行判断,以实现对行为的周延评价。
基于法秩序统一原理,对于非法获取计算机信息系统数据罪之“非法”的理解,应当以相关前置法为依据。《数据安全法》第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”以数据安全法益为立足点,明确此处“以合法、正当的方式获取数据”的涵义是准确适用本罪的基础。
第一,行为之不法性体现在使用非法程序规避防御性技术手段以获取保密数据的方式上。《网络安全法》第27条指出:“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专用于从事侵入、干扰网络正常功能及防护措施、窃取网络数据功能的程序、工具。”为维护数据安全,权利主体通常会采取身份验证、流量监控、IP限制等技术措施,阻止数据爬取行为。而行为人明知特定的程序、工具具有明显的违法性特征,仍利用其故意避开或者强行突破技术防护措施,违背了权利主体对相关数据的保护意愿,例如,利用“后门软件”绕过权利人设置的安全防控措施,对系统数据进行大规模抓取,或是借助“黑客软件”破解平台的身份验证指令,登录目标系统以批量获取数据,抑或通过“钓鱼链接”实现自动跳转,引诱计算机系统共享数据等。行为人主观上存在利用非法技术实施不法行为的认识,具备窃取限制他人访问的机密数据的故意,客观上采用技术手段规避计算机系统的反爬措施,僭入权利主体管理与控制的领域,其数据获取行为违背权利人的意志,造成数据秘密性的丧失,侵犯了数据安全法益。
反之,若行为人利用系统本身的漏洞虚增数据并予以获取的,则不宜纳入本罪的评价范围。例如,被告人发现某虚拟货币平台存在系统漏洞,在输入的转账数额前添加负号,账户即可增加相应数额的虚拟货币,后其采用上述方法虚增虚拟货币并出售获利①参见江苏省靖江市人民法院刑事判决书(2018)苏1282刑初663号。。法院认为本案构成非法获取计算机信息系统数据罪,但在笔者看来,该观点有待商榷。行为人获取的数据并非系统中业已存在的,而是其利用平台漏洞创设的,这一新增数据的行为没有破坏原始数据的秘密性与可用性,并未侵害该罪保护的数据安全法益。同时,计算机系统的程序漏洞并非由行为人制造,权利人没有充分履行数据安全保障义务,具有一定的过错,因此对此类案件的定性应当审慎。
第二,数据获取行为仅仅违反爬虫协议等数据行业秩序规则的,不应纳入非法获取计算机信息系统数据罪的评价范围。爬虫协议是国内外互联网行业普遍认可与遵循的防控数据窃取行为的技术性规范,数据所有者通过设置Robots.txt文本文件,提示网络机器人哪些网页不应被抓取,而未被该协议排除的数据即为可以公开获取的网络数据[12]。诚然,爬虫协议反映了权利人对于数据获取范围以及数据能否流动的设定,可以作为判定不正当获取行为的参照。但是,如果权利主体对相关数据爬取行为仅做出宣示性反对,并未采取合理有效的防范措施,则此类爬虫协议在性质上属于被访问网站或平台的单方面声明,不宜将其作为判断非法获取行为的标准,否则将过度扩张本罪的边界。
刑事规范具有保障法的性质,应当充分体现谦抑性思想,违背或超越数据主体单方意思表示的数据抓取行为,违反了诚实守信原则和公认的商业道德,与违约行为具有相当性,可以通过民事手段加以规制。网站平台通过数据使用条款告知访问者允许或者禁止获取的数据范围,是披着契约外衣的“私立性规则”,不具有技术上的强制作用[13]。未经权利人授权许可的数据爬取行为,具有明显的悖德属性,数据主体可以通过违约诉讼等方式维护其自身权利。因此,对于非法获取计算机信息系统数据罪中“非法”的判断应采用相对严格的标准。倘若以平台依据自身意愿设定的数据抓取权限来确定某一行为是否属于刑事违法,则实际上是将数据犯罪入罪标准的界定权限授予数据主体,这无疑会使网络用户面临较大的自由侵犯风险,同时也会阻碍数据流通,加剧数据垄断,于数字经济的发展不利。
数据不仅可以以数字化的形式存在于计算机信息系统中,为该系统所物理性地识别[1],还可以记录一定的信息,指向特定的内容,与各种社会利益相联结。数据与其背后社会化权利的交织交融,导致纯正的数据犯罪与侵犯传统法益的犯罪之间的关系错综复杂。窃取网络数据的行为不仅触犯非法获取计算机信息系统数据罪,还可能触犯相关信息犯罪。数据作为信息的载体,其承载的内容不同,表征的法益也就存在差异,在实践中应当根据数据的内容进行法益识别,从而准确确定行为的性质:当数据承载的信息能够识别特定自然人身份、与公民人格权直接关联时,可能成立侵犯公民个人信息罪;当数据承载的是具有秘密性与价值性的企业技术信息或经营信息时,可能构成侵犯商业秘密罪;当数据承载的是国家秘密、军事秘密等涉及国家安全、国防利益的信息时,则可能成立非法获取国家秘密罪或非法获取军事秘密罪。可见,根据信息表征的利益的不同,我国刑法设立了不同的罪名,对不同的信息予以差别化的保护。
在数字信息时代,越来越多的信息以数据的形式被存储、使用、传递与共享,数据对各类法益的包容性愈加明显[14],对于窃取数据的行为,需要根据犯罪对象的法益属性来确定应当适用的具体罪名。非法获取计算机信息系统数据罪旨在维护数据本身的秘密性与可用性,使数据能够为计算机系统有效识别与稳定存储,持续发挥其在传输、处理信息方面的功能,故本罪的保护对象仅为数据之本体,与数据承载的信息内容无关。不过,数据犯罪与信息犯罪并不是非此即彼的排斥关系,当窃取行为在侵犯以秘密性、完整性及可利用性为核心的数据本体之安全的同时也破坏了受刑法保护的、作为数据内容的信息之秘密性时,则宜通过想象竞合、牵连犯、数罪并罚等方式加以归责,以避免对不法行为的评价遗漏。
人类已经进入以网络化、智能化为特征的数字社会,各种各样的信息通过数字化的形式被收集、记录、存储与处理,网络数据的使用价值与商业价值日益显现,与此同时网络数据受到侵害的风险也急剧上升,借助新兴技术大规模挖掘与获取数据的行为屡见不鲜,数据主体的相关权利屡遭侵犯,数据安全的重要性与日俱增。伴随着《网络安全法》《数据安全法》《个人信息保护法》的相继亮相,我国建立了保护网络系统、数据本体和信息内容的法律体系,体现出维护静态的计算机网络安全与保障动态的数据运行安全并举的倾向。结合前置法的规范作用,刑法应将维护权利人的数据权益放在重要位置,通过禁止非法的数据收集与使用行为,保证数据的秘密性与可用性。然而,在当下司法实践中,仍存在将数据犯罪与信息犯罪混同、把非法获取计算机信息系统数据罪视作信息犯罪的兜底罪名加以适用的现象,这一做法模糊了数据与信息的边界,忽视了数据法益的独立价值,不能满足数字经济的发展需求。
因此,对于非法获取计算机信息系统数据罪的理解,应根据网络社会的新特征,以数据的本质属性为支点,以数据安全法益为核心,加强对数据主体的合法权利的保护。当窃取数据的行为侵犯数据背后的社会性利益时,则应适用刑法规定的其他信息犯罪罪名加以惩处。数据犯罪与信息犯罪并存的规制思路能够有效避免刑法评价的遗漏,更加周延地防范非法获取行为的社会危害。同时,在划定自由与安全的边界时,刑法亦应保持其谦抑性。为了促进数据产业的健康发展,需要将风险防控与开发利用相协调,守好刑法作为保障法的底线,警惕一味扩大数据犯罪包围圈的倾向。在数据犯罪的治理过程中,可以积极引入刑事合规制度:一方面发挥数据合规的激励作用,提示企业数据犯罪的风险,明确正当获取与合理使用行为的边界,促使其依法依规开展数据收集与处理活动,推动企业持续健康发展;另一方面扩大数据合规对企业数据安全保障工作的制度支撑,在数据运行的各阶段采取全方位的风险预防与隐患排除措施,以完善的体制机制作为“防火墙”,降低企业内部数据遭受侵害的风险,进而增强其市场竞争力。因此,有效的数据合规计划可以将企业内部预防与国家外部监管结合起来,激活企业的自我监管机制,提升其识别、防范、应对数据犯罪的水平,实现对数据的体系性、全方位、统筹化保护。