以数据安全前置法为法益参照系认定数据犯罪

　　将数据违法犯罪行为置于整个法律体系之中加以考量,综合运用刑事、民事和行政法律手段予以规制,形成刑民行关系的衔接协调

　　以数据安全前置法为法益参照系认定数据犯罪

　　目前,我国有关数据犯罪刑事立法及司法解释仍偏重于对信息网络安全的保护,实践中易导致狭义的数据犯罪与其他计算机犯罪、侵犯公民个人信息罪、侵犯商业秘密罪等罪名难以界分或陷入误区。因此,准确界定某种数据行为所侵犯的重点法益,找到与之相应的前置性法律规范,作为评价该行为是否定罪、应定何罪的参照系,显得尤为必要和重要。

　　我国先后颁布实施的网络安全法、数据安全法和个人信息保护法,分别发挥着保护网络安全、数据安全、个人信息安全的重要功能。从1997年刑法、刑法修正案(七)、刑法修正案(九)到“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》),数据安全刑法保护经历了从附属保护到间接保护,最终趋向独立保护的发展过程。但从整体上看,数据安全的法益保护尚缺乏系统规划,各法律法规之间未实现有效衔接与协调,有必要运用参照系理论及方法,从体系化视角予以探索。

　　数据安全法益具有多元属性

　　首先,数据是对信息的记录,两者是形式与内容的关系,其本质属性即数据信息的完整性、保密性、可用性。信息的概念较为宽泛,可识别性是区分个人信息与一般数据的本质特征。根据网络安全法、数据安全法、个人信息保护法的相关规定,数据安全与信息安全的内涵存在交叉,前者除了包含个人数据信息权益的安全保障之外,还包含有关数据信息的公共安全和国家安全;数据安全与网络安全也存在交叉重合之处,前者指有效保护和合法利用数据并使之持续处于安全状态,后者主要是指保障网络稳定可靠的运行状态。从广义角度来看,数据安全是一个内涵丰富的概念,在不同立法中具有不同的法律属性。而且,同一种数据行为所涉及的数据安全往往是多层次的,数据安全的法益保护也具有多元性,由此决定了数据安全法益识别判断的复杂性。

　　其次,某种数据对象或数据处理行为所蕴含的法益可分为集体法益和个人法益。集体法益包括社会秩序、公共利益和国家安全,法益保护的重心在于安全价值。个人法益则包括公民个人和社会组织的权利自由,法益保护的重心在于自由价值。数据安全属于抽象的集体法益,具有脆弱性、易受攻击性和不可控制性,存在认定上的困难,需要通过客观、具体的个人法益予以衡量。实践中,集体法益可以被还原为个体的人格或财产权益,因而也是可感知、可评价、可衡量的。当然,评价和衡量集体法益并非一定要采取“法益还原”的方式。从法益内容来看,刑法首要保护的是数据利益主体对数据的排他性复制、使用与处分权益,即数据利益主体对数据控制状态、占有状态、使用状态的稳定性以及数据不被其他主体窃取、篡改、使用、破坏状态的稳定性。同时,在数据的流动和使用过程中,初始权利主体逐渐丧失对个人数据的完全控制,数据利益主体从数据权利主体扩展至数据的收集者、使用者及处理者。数据安全法益越来越多地呈现多元化趋势,对数据的非法获取、破坏和滥用行为不但会对个体权益造成严重侵害,还会对公共利益、社会秩序和国家安全造成实际侵害或危险。

　　法益识别参照系与数据犯罪前置法

　　数据安全法益识别的立法参照系。从刑法角度来看,某种数据只有经过以数据安全为核心的法益识别之后,才被视为刑法所必须保护的法益。对于数据安全的法益识别,有必要运用物理学中“参照系”理论及论证方法进行认识判断。“参照系”属于物理学概念,即为确定研究对象的位置和描述其运动而被选作标准的另一物体。从不同的参照系来看,同一物体的运动状态是不同的。同理,研究某一种法律,需要以其为质点,选取另一种法律作为参照系,将其固定下来进行对比;或者选择不同的法律作为参照系,从不同角度进行对比。同时,还需要参照该法律在其产生发展不同阶段的立法变化,从而更准确、深刻地把握作为质点的法律规范内容。

　　基于数据安全集体法益的抽象性、模糊性,对其进行法益识别宜以相关法规范为参照。具体而言,对某种数据对象或数据处理行为进行法益识别,首先要选择其所对应的法律规范作为参照系,在此基础上,再确定法律所要重点保护的法益内容和层次。如前所述,网络安全法、数据安全法、个人信息保护法三者之间存在交叉重合关系,作为数据安全法益识别的参照系,既存在功能的差异性,同时也有一定的互补性。在不同的立法参照系下,法益保护的重点并不相同,对于数据安全保护重要性的认识也存在差别。因此,对数据安全法益识别可选择多种参照系。司法机关应将不同的立法参照系都纳入考察范围,加以对比和衡量,从中选择某种法律法规作为主要参照系,其他相关法律法规及行业规范则作为补充。不同的立法参照系之间也可以相互援引,加以体系解释,以使数据安全法益识别和判断的结论得到更好的印证。

　　数据犯罪中前置法的参照系功能。在我国刑法中,数据犯罪有广义和狭义之分。狭义的数据犯罪,即以数据为对象危害数据安全的犯罪行为,具体包括刑法第285条第2款、第286条规定的非法获取计算机信息系统数据罪和破坏计算机信息系统罪。两罪名以计算机信息系统中的数据安全为核心,即以数据的保密性、完整性和可用性为法益保护内容。该类犯罪属于典型的法定犯,上述条款中“违反国家规定”的前置性行政法,是确定数据安全法益识别参照系的法律依据。从广义角度分析,数据犯罪包括所有以数据为对象、载体或工具,侵犯公民个人权益、社会秩序或公共利益、国家安全的犯罪。所涉罪名不限于上述狭义的数据犯罪,有的罪名是将数据作为个人信息加以保护,如侵犯公民个人信息罪;有的罪名则是将数据作为计算机信息系统的内在组成部分加以保护,如非法控制计算机信息系统罪。在涉及数据犯罪的不同罪名中,数据安全法益往往属于复杂客体,对计算机信息系统安全、公民个人信息安全及数据自身安全的保护重点也存在差别。目前,我国有关数据犯罪刑事立法及司法解释仍偏重于对信息网络安全的保护,实践中易导致狭义的数据犯罪与其他计算机犯罪、侵犯公民个人信息罪、侵犯商业秘密罪等罪名难以界分或陷入误区。因此,准确界定某种数据行为所侵犯的重点法益,找到与之相应的前置性法律规范,作为评价该行为是否定罪、应定何罪的参照系,显得尤为必要和重要。

　　基于法益参照系的数据犯罪司法认定

　　数据犯罪的罪质与罪量认定之参照系。其一,在罪质界定方面,司法机关需要对数据犯罪中数据本身的性质和内容、数据使用价值的大小、数据可能遭受的侵害风险进行规范评价,准确合理地解释数据犯罪的构成要件。如,最高人民法院于2020年发布的指导案例145号“张竣杰等非法控制计算机信息系统案”。法院裁判理由认为,被告人为了赚取赌博网站广告费,提高搜索引擎命中率,通过植入木马程序的方式,非法获取存在防护漏洞的网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,上传网页链接代码。但这种行为未造成网络系统功能实质性破坏或者不能正常运行,因此不应认定为破坏计算机信息系统罪,而应认定为非法控制计算机信息系统罪。可见,将数据安全法、网络安全法等前置法作为法益识别参照系,判断行为所侵害的法益是数据安全还是计算机信息系统安全,是区分两罪的关键。其二,在罪量界定方面,根据刑法第285条第2款和第286条所规定罪名的罪量要件分别是“情节严重”和“后果严重”。司法机关应立足前置法的相关规定,以数据安全法益保护为重心,明确犯罪数额或数量标准、综合性情节的罪量评价要素。《解释》第1条、第4条作了列举规定,包括经济损失、违法所得、计算机台数、身份认证信息组数等,在一定程度上反映了该罪对具体个人法益所造成的危害,但未能充分评价其对数据安全集体法益所遭受的侵害程度。建议未来刑事立法或司法解释应依据相关前置法规定,设定更为科学合理的罪量评价标准,如数据流量、安全漏洞数量,注册会员数量、点击浏览或下载数量、系统正常运行时长、网络中断时长及影响用户数、网络故障导致的事故损害后果等。另外,数据安全法益本身是抽象的,在明确数据犯罪的罪量标准时,可设置一定的柔性规范或兜底规定,使司法人员在个案认定中保留一定的裁量空间,这样更有助于实现定罪量刑的实质公正。

　　不同参照系下关联性罪名之竞合适用。我国民法典、个人信息保护法、反不正当竞争法、保守国家秘密法等现行法律法规分别对个人信息、商业秘密、内幕信息、国家秘密、国家情报、军事秘密等予以保护,与数据安全法益保护的对象存在重合。在非法获取信息数据的行为可能触犯的侵犯公民个人信息罪、侵犯商业秘密罪、非法获取国家秘密罪以及非法获取军事秘密罪等罪名之间,也存在竞合关系。例如,如果行为人非法获取计算机信息系统中的数据,其行为触犯了非法获取计算机信息系统数据罪或侵犯公民个人信息罪,属于法条竞合,应按照“特别法优于普通法”的原则处理。但究竟何种罪名属于“特别法”的规定,离不开前置法的参照系作用。如果以着重保护个人信息权益的个人信息保护法为参照,非法获取计算机信息系统数据罪属于“特别法”规定的罪名;如果以重在保护计算机信息系统安全的网络安全法、数据安全法为参照,侵犯公民个人信息罪则为“特别法”规定的罪名。

　　最后须强调,数据安全法益识别需要运用多种立法参照系加以对比,从而选择适用合适的法律规范予以保护,尽量避免法律规范之间的重复和冲突。从法秩序统一性角度,司法机关应将某种数据违法犯罪行为置于整个法律体系之中加以考量,综合运用刑事、民事和行政法律手段予以规制,形成刑民行关系的衔接协调。

　　(作者为华东政法大学教授)

原创文章，作者：lishengli，如若转载，请注明出处：http://www.lishengli.com/lee/407.html