网络数据安全的刑法保护研究

陈 康

一、网络数据相关论述

(一)内涵

网络数据是在互联网上以电子形式存在和产生的各类电子数据的总称。“网络数据”从“数据”中衍生出来,相对于“数据”而言,“网络数据”的外延范围要窄得多。互联网数据产生的先决条件是“网络”传播,随着大数据时代的到来,包括数据交互传递在内的互联网平台已成为人、社会、国家等不同主体之间在多重空间下的主要交互手段[1]。在大数据时代的背景下,可以对互联网数据进行更深层次的挖掘,也可以对图像、声音和文件等各类非结构化内容进行处理,在存储不同类型的网络数据时,还可以对这些数据进行标签和可视化分析,进而创造出非同寻常的使用价值。

(二)特征

网络数据集可记录性、客观性、易获取(可利用)性为一体。可记录性特点表明其可对人物、事件、发生过程和个人的主观感受进行详细的描写,如网上聊天的内容、某人的电子日志、腾讯会议以及整个课堂教学过程的记录等。客观性特点表明网络数据不受人的主观影响,能够客观真实地展现其主要内容。例如一个创作者,他书中的故事情节光靠想象是不行的,他还得把故事写在文件(媒介)上,这样才能把故事的细节向别人展示出来,使其思想得以客观呈现。易获取性特点即表明网络数据具有一定的实用性,一般被用作处理各种事务的工具。其最终目的是服务于人,可使人们的各种工作会更方便,所以它具有重要的工具价值。

二、网络数据犯罪的主要界定

在一般的情形下,网络数据犯罪可分成两类。第一类是单纯地侵害了网络数据的安全性,即为了获得该数据而删除、增加或扰乱了诸如国家、商业机密以及个人资料之类的数据。对网络信息的保密性、完整性造成破坏的行为,应当按照单纯的网络信息罪定罪处罚。第二类是行为人利用电脑信息系统与网络数据为工具进行犯罪,即以此为媒介以达到犯罪目的而进行其他种类的犯罪。比如,进行网络诈骗,电子盗窃,通过数据组织赌博、实施色情和卖淫活动以及其他反社会邪教思想传播等[2]。这种犯罪都不是单纯地以网络数据为侵害客体的单纯的犯罪,而是以计算机信息系统为一般的犯罪手段和载体所进行的非单纯的犯罪行为。不管是哪种类型的犯罪,都会给网络数据的安全造成极大的威胁。

三、网络数据安全的刑法保护的必要性

(一)打击社会犯罪的需要

对网络数据安全进行破坏具有严重的社会危害性。侵害网络数据的行为极易导致国家情报、商业机密以及个人隐私的泄漏。它对国家、公众以及个人信息的合法权益造成了严重的损害。侵害网络信息安全的危害性作为一种犯罪构成要素,有其现实性和紧迫性。另外,以网络信息为手段、以网络信息为载体进行犯罪活动,对社会产生了巨大的危害性。比如,行为人利用刀具实施人身伤害、杀人等,对社会治安管理造成很大的危害。所以,在《中华人民共和国刑法》《中华人民共和国治安管理处罚法》中,都有对关于使用“刀具”这一犯罪工具实施犯罪的具体量刑的规定。因而,行为人以网络数据为手段、为媒介实施犯罪时具有严重的社会危害性。因此,在我国对网络数据进行刑法保护是一项十分重要的任务。

(二)法秩序统一原理的需要

法秩序统一性是刑法立法中的一项重要原则,它是指在不同的法律领域中,包括宪法、民法和刑法在内的各个领域中,法律秩序的统一性。虽然法与秩序的统一性在调整范围和调整手段上存在着一定的差别,但它们都与对正义、自由和人权等基本价值的追求密不可分,因此,从根本上讲,法与秩序的统一性是各部门法共同价值追求的结果。在法秩序统一原则下,刑法从属于前置法,但这并不意味着前置法上的违法行为就一定是违法的,这只是各个部门法在法秩序统一原则下得出的一个普遍结论。随着《中华人民共和国民法典》的颁布实施,法律秩序统一原则逐步适用于刑法等部门法律规范及理论体系,这已成为法学界的一种普遍认识。从这一点上,我们还可以得出一个结论,那就是刑法应该单独地保护信息安全。此外,基于法秩序一体原则,刑法必须对数据安全的前置法做出响应,即为了防止数据安全受到不适当的保护,刑法必须对数据安全进行单独的规制[3]。

四、网络数据安全刑法保护中存在的不足

(一)数据的刑事界定和适用不规范

在立法活动以及司法实践等领域,数据常常与信息混为一谈,造成了立法、执法等环节对数据的处理不够严格。从以往的犯罪方式来看,网络数据和计算机信息系统之间既不会出现混淆,也不会出现包含关系,因为数据仅仅是存储在计算机信息系统中,并通过计算机信息系统进行计算和操作。在信息技术飞速发展的今天,人们已经能够在计算机与网络之间进行实时的信息交流与传递。目前,我国刑事立法对网络数据的界定存在着较大的模糊和不规范的现象。尽管可以利用最高法、最高检的有关规定来进行司法解释,但是在现有的法律中,网络数据与计算机信息系统内部数据的含义是类似的。从一定程度上来说,资料安全性是符合我国法律法规的,也是对网络安全进行刑法保护的一种明确界定。

另外,在我国的立法实践中,对“数据”与“信息”的概念有三种不同的认识,分别是信息和数据的结合、包括数据的信息和包括信息的数据。由于数据、信息和计算机信息系统之间存在着频繁的交换,因此,在不同的刑事判决中法律用语的表述也存在着较大的差别。即使是同一法律文书,其用语也有不同之处。在中国裁判文书网上,我们发现计算机信息系统与信息数据常常是在相同的句式和背景下同时出现的。综上所述,司法实践中存在着大量以计算机信息系统为载体,以数据、信息为载体的法律文书。所以在进行推理和论证时,必须对法律文件进行区分,这不但可以帮助我们区分数据、信息和计算机信息系统的概念,还可以帮助我们在司法实践中提高针对网络数据安全法律适用的准确度。

(二)数据安全保护立法不全

在大数据环境下,我国刑法对数据安全的“静态”保护方式较为落后,对数据全生命周期保障的相关内容缺乏系统性。当前我国刑事立法对计算机信息系统及数据资源的保护还停留在静态层面,而随着大数据技术的发展,数据资源利用已呈现出内容快速更新的动态化特点。在这样一种技术革新的大背景下,我国刑事数据保护的方式也应随之改变。大数据时代的到来,是基于数据价值的不断提升和数据的持续挖掘。但是,当前数据的价值在过去是不可比拟的,这是由于它们随时间推移而产生的巨大客观价值。海量的数据正在被不断地开发、挖掘和处理。从微观角度看,这些利益关系与个体利益关系紧密;从宏观角度看,这些利益关系对国家、社会的整体安全稳定构成了不利影响。相比之下,我国刑法对数据安全的保护还停留在被动的、静态防范的层次,实际上已经落后于时代发展的需要[4]。

另外,由于我国现有的刑事立法对数据生命周期的规定并不全面,因此,在面对不同类型的侵权行为时难免会出现一些缺陷。在现实生活中,以数据为对象的犯罪行为,不仅包括非法获取、删除、修改和添加计算机信息系统中存储、处理和传输的数据的行为,还包括数据监控、勒索、伪造、植入病毒以及数据滥用和过度挖掘等一系列行为。此外,《信息安全技术数据安全能力成熟度模型》作为一项国家标准,将数据的生命周期分为六个阶段,即数据采集、传输、存储、处理、交换、销毁,六个阶段分别对应着六个方面的数据安全要求。与此同时,《中华人民共和国数据安全法》从广义上界定了“数据处理”一词,并将其界定为数据的采集、存储、使用(也就是狭义的数据处理)、处理、传输、提供和公开等,这两个概念基本覆盖了数据生命周期的全过程。但是,目前《中华人民共和国刑法》所关注的主要是两种类型的犯罪,即“非法占有”和“破坏(增、删、改)”。这一规定既不符合我国对网络数据犯罪的立法要求,又不符合我国《中华人民共和国数据安全法》的相关规定,更不符合我国现行法律规定。

五、网络数据安全的刑法保护规制优化策略

(一)规范网络数据的刑事立法界定

首先,对网络数据的定义,在刑法立法以及司法实践上均须予以明确。在互联网技术和信息技术的发展过程中,信息技术的应用越来越受到人们的重视。所以,在保证网络数据信息安全的前提下,构建信息安全的保障体系是十分必要的。一旦脱离对网络数据安全的保障,无论是在瞬息万变的现实环境,还是在复杂的司法实践中,都极易引发争议,进而影响到司法实践中的法律适用。所以,对网络数据进行界定就显得非常重要。与计算机信息系统、信息与数据的中心观念相区分,电脑仅仅是携带与处理网络资料的系统装置。计算机信息系统着重于储存及处理网络资料的功能。网络数据是指在网络上采集、存储、传递、处理和产生的各类电子资料。所以,虽然计算机信息系统与网络数据有一些关联,但是两者是可以明确区分的。

其次,就是信息和数据。正如前面所说,数据是信息的载体,信息是数据的外显。数据未必能传递信息,信息也未必能透过数据来表达。这两个概念分别为“内”与“外”两种呈现方式,而不能用于“数据信息”,也不能用于“信息数据”,否则极易造成“数据”与“信息”的混淆[5]。把这三个概念联系在一起进行阐释,我们可以发现,计算机信息系统是数据和信息表达的前提,而数据和信息是计算机信息系统的核心内容。将“网络数据”单独用作侵权客体是司法实践中较为妥当的做法。其首要目标是要把计算机信息系统及信息从数据中分离出来,强调网络数据的独立性。此外,还应明确,动态计算机信息系统与静态网络数据是两个不同的东西,外部基于内容的信息与内部存储的数据也是两个不同的概念。故,如“计算机系统数据”或“计算机数据信息”等相似的表达方式不宜用于司法判决。所以,“在线数据”这一术语,无论在立法条文中,还是在正式的法律文书中,都应当被单独使用,不能混为一谈。

(二)完善网络数据安全刑法规制

在大数据时代背景下,数据毫无疑问是最有价值的东西,一旦出现数据泄漏,其机密性价值就会受到不可估量的损害,因而,数据在其生存过程中都会产生机密性的法益需求。可以说,任何与数据的动态变化有关的处理都会对数据的保密性提出客观要求。我国现行刑法中已有规制以非法获取方式侵害网络数据保密性的罪名,但并没有对非法占有、非法提供以及擅自公开的行为作出明确规定。针对这一问题,有学者提出,在数据的存储和销毁环节,可以将持有行为和原始的非法获取行为一起,对数据的隐私进行保护;对于在数据传输和提供环节中出现的侵犯数据保密的情况,可增加一项非法提供网络数据罪;但是由于传统类型的犯罪所侵犯的法益是相同的,因此,在数据利用过程中发生的危害数据安全的犯罪可以采用刑法解释的方式来解决。

为此,有必要通过增设新的犯罪罪名,对侵犯数据机密罪进行补充。但是,数据违法利用与传统犯罪具有相同的法益,因而不能单纯以解释的方式加以处理。在违法行为中,信息被滥用的现象屡见不鲜,特别是在第三方支付平台的兴起下,信息被滥用的现象愈加普遍。尽管将这类犯罪以“侵害财物”的方式加以规制是合情合理的,但是,对于“侵害财物”的界定,在今后的学理与司法实践中难免会出现一些争议。举例来说,从某个角度来看,互联网上所产生的虚拟资产,其实就是一堆0和1的二进制码所构成的资料[6]。使用者无法取得实体物那样的所有权和控制权,也无法取得电子货币那样的财产权。而且,网络的使用也被框架协议所严格限制。因而,即使以“财产”为名的网络虚拟物,从本质上讲,其自身也不具备物质性。另外,随着电子货币越来越多的出现,虚拟货币也有了比较成熟的市场和发展的环境。从对新事物的认识出发,对与数据有关的财产权的监管不能过于拘泥于传统财产权犯罪的范畴。为此,刑法需要对部分典型的数据违法利用行为加以规制,这样既能为其与传统罪名的竞争创造条件,也能为将来新型合法利益的保护预留空间,从而更好地对相关犯罪行为进行打击。

六、结语

对数据犯罪的刑法规制的提高,不仅表现在它与计算机信息系统犯罪之间的相互独立性,更重要的是,如果能够掌握数据犯罪规制的独立视角,就能更好地推动对网络数据安全整体的刑法保护。从表面上来看,强调数据安全的独立保护看似与信息安全和计算机信息系统安全保护发生了冲突,但这并不是因为这三个要素一起组成了网络安全保护的内容,而是贯彻总体国家安全观的必然要求。实际上,从立法角度对数据犯罪罪名进行探讨并不会阻碍数字经济的健康、有序发展,也不会与刑法中的克制精神相悖,还能体现出对合法利益保护的克制原则。在此基础上,结合类型化的思想,提出数据安全独立性保障的思想具有实践意义。