构建网络数据流动犯罪刑事规制体系
为促进网络数据的有序流动,强化网络数据安全的法治保障,需要充分发挥刑事规制的综合效能,着力构建科学的网络数据流动犯罪刑事规制体系。
彭新林
在数字经济时代,网络数据成为重要的社会资源。网络数据的价值在于在其产生、收集、存储、利用等各环节间的流动,所涉法益也因之涉及个人、企业、社会、国家等各个层面。当前,网络数据安全面临的风险与日俱增,相伴而生的网络数据流动犯罪层出不穷,严重影响网络数据安全和利用,对数字经济的健康发展带来负面影响,亟需在刑事治理层面优化应对策略。
网络数据流动犯罪的特点及原因
通过对中国裁判文书网收录的某法院系统近五年350余份涉网络数据流动犯罪案件裁判文书进行实证分析,发现网络数据流动犯罪呈现如下特点:一是罪名分散化。我国刑法规制网络数据流动犯罪的罪名,主要是非法获取计算机信息系统数据罪,但实践中相关网络数据流动犯罪所辐射的罪名有10余个,如包括“违规披露、不披露重要信息罪”“侵犯商业秘密罪”等。二是外延模糊化。作为信息的主要载体,网络数据在流动过程中与各类信息不断结合,使得外延不断扩大,并最终涵盖了个人信息、商业秘密、国家安全等其他构成要件要素,导致实践中对此类犯罪司法认定较为模糊,同案不同判现象时有发生。三是客体集中化。实践中,网络数据流动犯罪所涉罪名较为分散,但以侵犯公民个人信息罪追究刑事责任的案件占主体地位,其客体高度集中,主要表现为公民个人信息的受保护权受到侵犯。究其原因,当前惩治侵犯公民个人信息犯罪的刑事法网较为严密,而对侵犯企业、组织、机构等主体的公共数据行为刑事规制明显滞后。
应当说,网络数据流动犯罪的实质就是网络数据的无序或非法流动,危及网络数据安全。实践中出现以上现象,主要存在以下两个方面原因:
一是网络数据与个人信息概念的混同。数据时代所使用的“数据”往往同时指向作为内容的信息,网络数据与个人信息等各类信息的交融深度前所未有。实际上,即使在纯技术语境下,网络数据与个人信息也是不同的,两者属于载体与内容的关系,正如数据安全法将数据界定为“任何以电子或者其他方式对信息的记录”。在非技术语境下,网络数据与个人信息的根本区别就在于是否具有可识别性,个人信息以可识别性为重要特征,而网络数据恰恰相反,如大量脱敏后无法识别至具体个人的购物信息、浏览器记录等同样属于网络数据。值得指出的是,我国虽然进一步严密了危害网络数据安全行为的刑事法网,但相关新罪名设置的逻辑基点仍停留在“信息保护”而非“数据保护”上,未对网络数据与个人信息进行实质区分,进而影响了对网络数据流动犯罪的刑事规制。
二是未确立网络数据安全法益的独立地位。对于危害网络数据安全的犯罪行为,过去一直是通过不断拓展危害计算机信息系统安全犯罪的外延进行规制,将侵犯的法益定位为计算机信息系统安全,着眼于静态意义上的数据储存环节的网络数据安全,而未将网络数据安全确立为独立的同类法益。其实,从数据的流动过程看,网络数据安全风险存在于“收集—存储—处理—使用—销毁”等全生命周期,不局限于数据存储环节,而传统意义上的计算机信息系统安全法益对应的主要就是数据存储环节,故无法实现对网络数据安全的全流程保护。
网络数据流动犯罪的刑事规制路径
为促进网络数据的有序流动,强化网络数据安全的法治保障,需要充分发挥刑事规制的综合效能,着力构建科学的网络数据流动犯罪刑事规制体系。
一是在刑法分则第六章设置危害网络数据安全罪(类罪)。鉴于通过拓展危害计算机信息系统安全犯罪外延来规制危害网络数据安全犯罪的传统刑事规制模式的局限性,建议在刑法第六章“妨害社会管理秩序罪”下单设一节“危害网络数据安全罪”,集中规定相关的网络数据流动犯罪,这样既可以聚焦于网络数据安全独立的法益价值,改变当前罪名碎片化的现状,也可以提高惩治网络数据流动犯罪的针对性、规范性和有效性。
二是完善危害计算机信息系统安全犯罪构成要件要素。我国刑法规定的危害计算机信息系统安全犯罪,大都要求采取“侵入”的方式实施。然而,在云储存技术发展背景下,不法分子完全可以不依赖计算机信息系统,直接通过云端保存等“非接触式”、非侵入式方法非法获取网络数据,此类行为的严重社会危害性不容小觑。实际上,对于危害计算机信息系统安全犯罪而言,无论行为人采取何种手段实施,主要目的均在于获取网络数据,其采用的手段对法益侵害的规范评价并无实质性影响,故将危害计算机信息系统安全犯罪的行为方式限定为“侵入”明显不合时宜,会严重掣肘对网络数据安全法益的有效保护,因此,建议完善相关危害计算机信息系统安全犯罪的构成要件要素,将非侵入式方法增补规定为行为方式之一,以最大程度强化对网络数据安全的刑法保护。
三是增设新罪进一步严密网络数据安全保护的刑事法网。相比于侵害个人数据安全的刑法规制体系,当前我国对公共数据安全的刑法保护严重缺位,这与公共数据的特殊性以及法益的重要性明显不相适应。鉴于此,建议结合公共数据与国家安全、社会公共利益、重大民生的关联性,在刑法中增设非法收集、使用、删除、修改、增加公共数据罪,并确立为选择性罪名,用于惩治严重危害公共数据安全的犯罪活动,从而更好保障公共数据安全,助力实现对公共数据背后的公共利益、国家安全的有效保护。
四是强化网络数据安全保护的民刑衔接与协同。网络数据流动中的各类行为复杂多样且快速变化,往往处于刑民交叉的灰色地带,以致侵权与合法、违法与犯罪的界限相对模糊。因此,强化网络数据安全保护的民刑衔接与协同十分重要。具体来说:其一,要积极推进网络数据领域合规不起诉改革。在网络数据流动领域,刑法的介入应当保持在合理限度,企业对数据的利用只要遵循了正当、必要、合规的原则,就不应动辄得咎,更不能动辄入刑,以免影响数据的合理流动和企业数据创新的积极性。为此,应深化数据合规不起诉改革实践,针对涉案企业的数据合规漏洞,司法机关应积极引导涉案企业开展数据合规整改,并依法作出处置,促进涉案企业建立健全数据合规经营体系。其二,要探索推行网络数据流动犯罪刑事附带民事公益诉讼。网络数据流动犯罪具有侵犯众多不特定被害人的高度可能性,可能会直接损害社会公共利益。网络数据流动犯罪若严重损害社会公共利益的,应当将其解释进“两高”发布的《关于检察公益诉讼案件适用法律若干问题的解释》第20条规定的“等损害社会公共利益的犯罪行为”范围之内,检察机关在提起刑事公诉时,可以向法院一并提起附带民事公益诉讼,让被告人同时承担刑事责任和民事责任,从而以刑民联动的方式加强对不特定被害人权益的保护,最大化地促使受侵害公益得到及时、有效救济。当然,为确保司法资源不被滥用,在网络数据流动犯罪刑事附带民事公益诉讼的启动上,有必要从被害人人数或网络数据条目、违法所得数额等角度设置一定的限制条件。此外,鉴于互联网的匿名性与虚拟性,以及平台企业的科技优势,建议在网络数据流动犯罪刑事附带民事公益诉讼中,对民事责任部分实行举证责任倒置,通过程序正义倒逼实体公正。
数字经济视野下网络数据安全的维护和合理利用,其必要前提是确保网络数据的有序流动。唯有有序流动,网络数据之价值方得以彰显。准确把握网络数据与个人信息的界限标准,确立网络数据安全的独立法益地位,并以此为基础构建网络数据流动犯罪刑事规制体系,应成为新时代网络数据安全刑法保护的理性选择。既需要积极完善危害计算机信息系统安全犯罪的构成要件要素,也要对公共数据刑法规制的空白地带进行针对性的补充,还需强化网络数据安全保护的民刑衔接与协同,从而有效应对数字化时代网络数据流动犯罪的风险和隐患。
(作者分别为北京师范大学法学院教授、北京市东城区人民法院法官)
原文链接:https://www.spp.gov.cn/spp/llyj/202405/t20240518_654403.shtml
[免责声明] 本文来源于网络转载,仅供学习交流使用,不构成商业目的。版权归原作者所有,如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间处理。