|
法学院
|
|
□ 徐立 谭卜铭
为应对大量出现的数据犯罪,我国业已通过立法和司法两条路线进行规制。但囿于法律的滞后性特征,数据犯罪治理挑战仍在加剧。
第一,我国司法实践对于数据犯罪的罪名适用存在口袋化趋势。以往观点认为,数据犯罪侵犯的是“计算机信息系统安全”法益。但随着数据的价值与功能的大幅呈现,如果刑法仍以保护计算机信息系统安全的方式间接保护数据安全,显然不合时宜。一方面,这种方式容易混淆计算机犯罪与数据犯罪之间的边界。例如,将计算机信息系统安全视为破坏计算机信息系统罪的保护法益时,除了考量对数据所采取的删除、修改、增加等行为,还需要判断该行为是否对计算机信息系统功能的正常运转产生了负面影响,这就容易将对数据的“破坏”行为与对计算机信息系统功能的“干扰”“控制”等行为进行混淆。另一方面,刑法对于“数据”概念的认定失之偏颇。例如,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对非法获取计算机信息系统数据罪中的“情节严重”作出了说明,将该罪中的数据类型基本限定为“身份认证信息”,但却未能彰显出数据的独立色彩。虽然数据法益与个人信息权益关系密切,但并不意味着数据在内涵上等同于个人信息。这种做法显然容易将该罪名的适用范围扩大,从而使司法实践趋向口袋化。
第二,我国司法实践对于数据犯罪的罪数处断问题缺少科学标准。在全国首起“DNS流量劫持”案中,付某豪等人使用恶意代码修改互联网用户路由器的DNS设置,致使用户被强制访问某些网站,从而造成用户流量损失。其行为最终被法院认定为破坏计算机信息系统罪。但事实上,该案行为人所实施的流量劫持行为既符合破坏计算机信息系统罪规制的行为类型,也侵害了被引流网络服务商的财产权益,理应构成财产犯罪。如何确定数据犯罪的罪数判断标准,至关重要。
数据法益的内容解读
数据法益的准确厘定,是刑法规制数据犯罪的关键所在。在刑法领域,数据法益的内涵界定基于依附性立场和独立性立场分为诸多不同观点。在依附性立场内部,大致存在数据信息法益论、数据财产法益论、数据秩序法益论,而坚持数据法益独立性立场的学者则主要采取数据安全法益论。但就目前而言,这些观点尚未达成一个统一的定论。
仅坚持“数据法益是否完全依赖于传统法益而存在”的判断标准,难以全面、准确地认识数据法益内容。在前置法领域,围绕数据权益的属性认定大抵形成了人格权说、财产权说、数据不可赋权说等不同观点。根据“权利束”理论可以发现,数据权益并不单单具有人格属性或财产属性,而是由信息权益和财产权益所组成的权益集合体。基于缓和的违法多元性立场下的法秩序统一性原理,刑法应当保护前置法所保护的权益;对于前置法尚未提及权益,刑法也可以选择是否进行保护。据此,数据权益包含的人格性权益和财产性权益均应当为刑法所保护,而对于数据权益未能涵括的对象,刑法也可以基于自身判断选择是否进行保护,如数据本身的安全。
数据法益应当包含数据本体的安全,即本体法益。同时,数据的功能决定了其现实价值是否得以实现,这种现实价值所指代的便是人格、财产等传统法益。其中,在数据生成的源头阶段,由于数据承载个人、企业以及国家等层面的信息,因而可能涉及个人信息、商业秘密、国家秘密等法益;在数据的处理、流通等阶段,数据因其功能展现而产生各种价值,可能涉及个人信息、财产、知识产权、著作权等法益。由于这些法益内容与数据及其活动密切相关,因而又可被视为数据法益中的关联法益。
数据犯罪的罪名适用路径
数据法益内部可以划分为本体法益与关联法益,本体法益对应非法获取计算机信息系统数据罪和破坏计算机信息系统罪两个本体罪名,关联法益则对应个人信息犯罪、财产犯罪等关联罪名。为解决前述难题,需要基于数据法益的双重结构来完善数据犯罪的罪名适用路径。
一方面,刑法需要基于数据类型区分本体罪名与关联罪名的适用。从相关罪名所保护的数据类型来看,数据犯罪本体罪名所保护的是那些具有非识别性、非财产性和非创造性的数据,而关联罪名所保护的数据类型则基本与之相对。其一,在侵犯公民个人信息的犯罪类型当中,犯罪行为所指向的是具有识别性的个人信息数据。当行为人非法获取、出售、提供具有可识别性数据时,其行为应当被认定为侵犯公民个人信息罪,而不是非法获取计算机信息系统数据罪。其二,在侵犯财产的犯罪类型当中,其行为针对的是具有财产属性的数据。在大数据时代,有体物不再是判断财产的形式前提,有形损害也不能成为判断财产损害的唯一标准,将具有经济价值和权利可转移性的虚拟数据认定为财产,具有必然意义。将带有经济价值的数据认定为财产,不仅可以有效区分数据犯罪本体罪名与关联罪名,还能够防止本体罪名的口袋化趋势。其三,在侵犯著作权、商业秘密等犯罪类型当中,其针对的是具有创造性的数据。如果行为人侵害的对象并非数据的简单集合,而是著作权法所保护的作品,那么该行为自然应当构成侵犯著作权罪,而不是非法获取计算机信息系统数据罪。
另一方面,刑法需要审慎处理数据犯罪当中的罪数处断问题。在一个犯罪行为触犯数个罪名的情形中,如果一个犯罪行为触犯的数个罪名所保护的法益是同一类型时,该行为属于法条竞合的情形,应当按照特别法条优先于普通法条的原则进行处理;但当一个犯罪行为同时侵犯了数据的本体法益和关联法益时,刑法应当坚持个人法益保护优先于集体法益保护,人格权益保护优先于财产权益保护的规则。在数个犯罪行为触犯数个罪名的情形中,应当根据侵害法益的类型进行具体判断。具体来说,当数个行为侵犯的数个法益均为同类型时,该行为基于禁止重复评价原则,成立吸收犯,应择一重罪处罚;当数个行为侵犯的数个法益为不同类型时,则应当数罪并罚。毕竟,本体罪名基于数据本体安全的重要意义得以设立,关联罪名则因数据法益的内部复杂性必须得到刑法的同等重视,因而两者虽然都归属于数据犯罪的范畴,但均应得到刑法上的独立评价。
|
|
|
| 数据犯罪刑事司法实践现状与主要问题
|
|
|
|
|
|
| ( 2024-07-17 ) 稿件来源: 法治日报法学院 |
|
|
□ 徐立 谭卜铭
为应对大量出现的数据犯罪,我国业已通过立法和司法两条路线进行规制。但囿于法律的滞后性特征,数据犯罪治理挑战仍在加剧。
第一,我国司法实践对于数据犯罪的罪名适用存在口袋化趋势。以往观点认为,数据犯罪侵犯的是“计算机信息系统安全”法益。但随着数据的价值与功能的大幅呈现,如果刑法仍以保护计算机信息系统安全的方式间接保护数据安全,显然不合时宜。一方面,这种方式容易混淆计算机犯罪与数据犯罪之间的边界。例如,将计算机信息系统安全视为破坏计算机信息系统罪的保护法益时,除了考量对数据所采取的删除、修改、增加等行为,还需要判断该行为是否对计算机信息系统功能的正常运转产生了负面影响,这就容易将对数据的“破坏”行为与对计算机信息系统功能的“干扰”“控制”等行为进行混淆。另一方面,刑法对于“数据”概念的认定失之偏颇。例如,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对非法获取计算机信息系统数据罪中的“情节严重”作出了说明,将该罪中的数据类型基本限定为“身份认证信息”,但却未能彰显出数据的独立色彩。虽然数据法益与个人信息权益关系密切,但并不意味着数据在内涵上等同于个人信息。这种做法显然容易将该罪名的适用范围扩大,从而使司法实践趋向口袋化。
第二,我国司法实践对于数据犯罪的罪数处断问题缺少科学标准。在全国首起“DNS流量劫持”案中,付某豪等人使用恶意代码修改互联网用户路由器的DNS设置,致使用户被强制访问某些网站,从而造成用户流量损失。其行为最终被法院认定为破坏计算机信息系统罪。但事实上,该案行为人所实施的流量劫持行为既符合破坏计算机信息系统罪规制的行为类型,也侵害了被引流网络服务商的财产权益,理应构成财产犯罪。如何确定数据犯罪的罪数判断标准,至关重要。
数据法益的内容解读
数据法益的准确厘定,是刑法规制数据犯罪的关键所在。在刑法领域,数据法益的内涵界定基于依附性立场和独立性立场分为诸多不同观点。在依附性立场内部,大致存在数据信息法益论、数据财产法益论、数据秩序法益论,而坚持数据法益独立性立场的学者则主要采取数据安全法益论。但就目前而言,这些观点尚未达成一个统一的定论。
仅坚持“数据法益是否完全依赖于传统法益而存在”的判断标准,难以全面、准确地认识数据法益内容。在前置法领域,围绕数据权益的属性认定大抵形成了人格权说、财产权说、数据不可赋权说等不同观点。根据“权利束”理论可以发现,数据权益并不单单具有人格属性或财产属性,而是由信息权益和财产权益所组成的权益集合体。基于缓和的违法多元性立场下的法秩序统一性原理,刑法应当保护前置法所保护的权益;对于前置法尚未提及权益,刑法也可以选择是否进行保护。据此,数据权益包含的人格性权益和财产性权益均应当为刑法所保护,而对于数据权益未能涵括的对象,刑法也可以基于自身判断选择是否进行保护,如数据本身的安全。
数据法益应当包含数据本体的安全,即本体法益。同时,数据的功能决定了其现实价值是否得以实现,这种现实价值所指代的便是人格、财产等传统法益。其中,在数据生成的源头阶段,由于数据承载个人、企业以及国家等层面的信息,因而可能涉及个人信息、商业秘密、国家秘密等法益;在数据的处理、流通等阶段,数据因其功能展现而产生各种价值,可能涉及个人信息、财产、知识产权、著作权等法益。由于这些法益内容与数据及其活动密切相关,因而又可被视为数据法益中的关联法益。
数据犯罪的罪名适用路径
数据法益内部可以划分为本体法益与关联法益,本体法益对应非法获取计算机信息系统数据罪和破坏计算机信息系统罪两个本体罪名,关联法益则对应个人信息犯罪、财产犯罪等关联罪名。为解决前述难题,需要基于数据法益的双重结构来完善数据犯罪的罪名适用路径。
一方面,刑法需要基于数据类型区分本体罪名与关联罪名的适用。从相关罪名所保护的数据类型来看,数据犯罪本体罪名所保护的是那些具有非识别性、非财产性和非创造性的数据,而关联罪名所保护的数据类型则基本与之相对。其一,在侵犯公民个人信息的犯罪类型当中,犯罪行为所指向的是具有识别性的个人信息数据。当行为人非法获取、出售、提供具有可识别性数据时,其行为应当被认定为侵犯公民个人信息罪,而不是非法获取计算机信息系统数据罪。其二,在侵犯财产的犯罪类型当中,其行为针对的是具有财产属性的数据。在大数据时代,有体物不再是判断财产的形式前提,有形损害也不能成为判断财产损害的唯一标准,将具有经济价值和权利可转移性的虚拟数据认定为财产,具有必然意义。将带有经济价值的数据认定为财产,不仅可以有效区分数据犯罪本体罪名与关联罪名,还能够防止本体罪名的口袋化趋势。其三,在侵犯著作权、商业秘密等犯罪类型当中,其针对的是具有创造性的数据。如果行为人侵害的对象并非数据的简单集合,而是著作权法所保护的作品,那么该行为自然应当构成侵犯著作权罪,而不是非法获取计算机信息系统数据罪。
另一方面,刑法需要审慎处理数据犯罪当中的罪数处断问题。在一个犯罪行为触犯数个罪名的情形中,如果一个犯罪行为触犯的数个罪名所保护的法益是同一类型时,该行为属于法条竞合的情形,应当按照特别法条优先于普通法条的原则进行处理;但当一个犯罪行为同时侵犯了数据的本体法益和关联法益时,刑法应当坚持个人法益保护优先于集体法益保护,人格权益保护优先于财产权益保护的规则。在数个犯罪行为触犯数个罪名的情形中,应当根据侵害法益的类型进行具体判断。具体来说,当数个行为侵犯的数个法益均为同类型时,该行为基于禁止重复评价原则,成立吸收犯,应择一重罪处罚;当数个行为侵犯的数个法益为不同类型时,则应当数罪并罚。毕竟,本体罪名基于数据本体安全的重要意义得以设立,关联罪名则因数据法益的内部复杂性必须得到刑法的同等重视,因而两者虽然都归属于数据犯罪的范畴,但均应得到刑法上的独立评价。
|
|
|
