非法使用数据行为的刑法规制.pdf
《非法使用数据行为的刑法规制.pdf》由会员分享,可在线阅读,更多相关《非法使用数据行为的刑法规制.pdf(13页珍藏版)》请在文库网上搜索。
1、收稿日期:2023-07-18投稿网址 在线期刊:http:/ 法学院,江苏 徐州 221166;2.成都市双流区人民检察院,四川 成都 610200)摘要:相较于非法转移数据,非法使用数据具有根源性和直接性;非法使用数据行为不仅无法为现行刑法罪名所涵盖,也难以为其他法律有效规制。为了弥补刑法处罚漏洞,我国刑法需要推进对非法使用数据行为的入罪化进程。详言之,首先,非法使用数据犯罪应当与现有的侵犯数据安全犯罪入罪标准保持一致,符合法定性属性;其次,对于“非法使用”的理解,应当既包括未经数据主体许可使用数据的行为,也包括经数据主体同意合法收集其数据,却在收集之后违反前述规则、目的、方式及范围而使用
2、其数据的行为;再次,关于“情节严重”,应当在参照非法转移数据情节严重情形的同时,根据非法使用数据行为造成的损失、行为类型以及数量综合进行判断;最后,应当将符合公共利益和数据控制者正当利益的情形作为该罪的出罪事由。关键词:数据犯罪;非法使用数据;数据安全中图分类号:DF612文献标志码:A文章编号:2095-9915(2023)05-0014-12DOI:10.16387/ki.42-1867/c.2023.05.002一、问题的提出大数据时代背景下,数据已经从生活资料转变为生产要素,因此其安全自然成为国家和社会高度关注的焦点。为了加快数字经济结构的快速生成和发展,数据的共享和利用成为不可回避的
3、法律议题,故而2021年我国相继颁布了一系列专门性法律,力图构建不同层级的归责体系,保障数据安全。例如 数据安全法 和 个人信息保护法 都对非法使用数据的行为作出了禁止性规定,并对违反者处以包括民事、行政以及刑事在内不同类型的惩罚。显然,此举反映出立法者构建数据利用安全的宏愿,也为部门法衔接提供技术支撑。但是,反观我国刑法对数据犯罪的规定却并不周延,由于数据犯罪将保护重点放在获取型和破坏型两类行为,例如破坏计算机信息系统罪、非法获取计算机信息系统数据罪,致使非法使用数据行为游离于刑法规制之外。目前学界对于非法使用数据刑法规制的研究基本上呈现出两种态势:其一,将其纳入“非法使用个人信息的刑法规制
4、”问题之中,进而演变成有关侵犯公民个人信息罪的问题;其二,从数据犯罪的整体规制角度,附带论证此类行为的刑法规制问题。具体如下:第一,将非法使用数据行为并入“非法使用个人信息问题”之中。此种语境下,非法使用数据问题演变为非法使用个人信息问题。以此为逻辑起点,学界主要聚焦入罪路径和罪名设计第 40 卷第 5 期2023 年 10 月江汉大学学报(社会科学版)Journal of Jianghan University(Social Science Edition)Vol.40No.5Oct.2023142023 年第 5 期两个板块。就入罪路径而言,有学者认为,非法使用个人信息的规制问题应当通过增
5、补新罪形式予以解决,因为包括侵犯公民个人信息罪、妨害信用卡管理罪以及盗窃罪等并不能涵盖此种行为。1也有学者认为,对刑法现有规定的解释将非法使用个人信息扩张解释到侵犯公民个人信息罪中。2从罪名设计角度来看,有学者认为应当在侵犯公民个人信息罪之外增设独立的非法利用个人信息罪,倒逼其他关联性犯罪的终止。3也有学者认为,应当将此类行为置于侵犯公民个人信息罪之中,这样可以形成一个完整的闭环,实现对整个信息黑灰产业链的全面打击。4上述谈论,显然将“数据”与“个人信息”等同看待,忽视了二者的差异。第二,从数据犯罪的整体规制角度,附带论证此类行为的刑法规制问题。部分学者将数据非法使用问题作为数据生存周期全流程
6、保护的一个环节,在检视我国数据安全保护体系时,间接论述此类行为的刑法规制问题。学界相关研究主要集中在是否需要刑法规制上。有学者认为,我国刑法目前并不存在对一般数据进行全流程保护的客观条件,无须对所有的一般数据进行全流程保护,亦无须对非法存储和非法使用一般数据行为加以规制。5也有学者认为,利用环节不仅是数据生存周期重要部分,而且是发挥数据价值的关键步骤,蕴含着重要的利益,应当成为刑法保护的重点。6尽管意识到数据非法利用问题的独立性和特殊性,但仅从宏观叙事角度抽象阐述,并未深入分析。有鉴于此,本文立足数据安全独立地保护法益,论证非法使用数据行为刑法规制的必要性,针对目前刑法规制的缺位,并就如何在立
7、法上实现数据的全流程保护提出完善方案。二、非法使用数据行为刑法规制的必要性刑法的谦抑性是立法者和司法者坚守的基本原则,但这并不意味着增设新罪或扩大处罚范围就是对该原则的背离。实际上谦抑性要求刑法中的罪与罚应当与所处时代背景相匹配。因此对于非法使用数据行为的刑法规制问题需要从法益保护、前置法考察以及域外经验等多个角度审视。(一)非法使用数据行为具有严重的法益侵害性法益是指个人或公众的生活利益、社会价值和法律认可上的利益,其由于具有特殊的社会意义因而予以法律保护。大数据时代,数据愈发具有经济效用和社会价值,因此主张保护数据安全法益理念也逐渐成为学界主流思想。7具体到非法使用数据行为,笔者认为可以从
8、以下两个方面佐证其刑法保护的必要性。第一,非法使用数据行为侵犯了数据权利人的数据使用决定权。一方面,该行为侵害的法益内容为数据使用决定权。有学者认为,非法使用数据或个人信息侵害了个人信息自决权,也有学者认为包括非法使用数据在内的所有数据犯罪侵害的都是国家对数据的管理秩序。应当说,这两种观点都存在不合理之处。就个人信息自决权而言,此种法益保护的内容是从侵犯公民个人信息罪和 民法典 的内容推导出来的。实际上这是一种本末倒置之举,提出“个人信息自决权”的前提是默认非法使用数据行为应当纳入该罪进行调整,因此逻辑上站不住脚。“数据管理秩序”是指一般数据所蕴含的值得刑法保护的利益,重点突出一般数据的社会利
9、益。该观点将所有数据犯罪保护内容抽象出来,仅适用于宏观理论建构,并不能解决实际的具体争议,而且按照此种逻辑对数据的保护重在控制安全,显然弱化了利用安全重要性。当前,无论是公法抑或私法都强调激发数据的活力,促进数据的流通和利用,这不仅符合经济学原理,而且也体现出它特殊财产的特质。非法使用数据本质上剥夺或削弱了数据权利人利用数据进行数字王惠敏,左大鹏:非法使用数据行为的刑法规制15江汉大学学报(社会科学版)总第 40 卷生成、处分和收益的权利,它不同于非法获取数据的流转决定权,也不同于后续利用数据进行诈骗或盗窃下游犯罪行为。另一方面,非法使用数据行为侵犯的主体具有多重性。众所周知,所有数据犯罪几乎
10、毫无例外都侵害了数据权利的利益,但这里的“权利人”具体指谁,学界尚未达成共识。本文认为,应当根据授权情况具体分析。其一,当数据的权利人仅有数据生产者本人时,侵害的主体较为单一,此时受害者和权利人一一对应。其二,当数据权利人包括数据生产者和合法数据持有者时,侵害主体应包括二者。主要原因在于,数据的可复制性是它与传统财产最大的差异,一旦将其定性为新型财产,则数据的生产者和后续的持有者也都顺理成章地享有数据收益权,具备法律上被害人的适格性。需要说明的是,随着数据流转次数的增加,数据本身的价值逐渐递减,但这并不能成为否定数据持有者权益的理由。第二,非法使用数据行为反映的客观事实造成严重的经济损失。任何
11、法益需要得到立法上的承认和接纳,都必须可以将其还原成为重要的生活利益和社会事实。相比社会对数据转移行为的普遍认知,数据的非法使用行为则长期以来被严重忽视和低估。究其原因,非法使用数据行为具有犯罪黑数大、犯罪手段隐蔽、潜伏期较长等特征,不仅使得犯罪事实难以被发掘,而且作为被害人也很难意识到相关权利被侵害。8这种迟钝进一步传导至立法和司法环节,则表现为立法上的不周延和司法上的处罚漏洞。事实上,由于互联网上资源数据的不断开放,行为人轻易便可获取所需要的信息,因此侵害数据的主体呈现多元化,侵害方式也日益专业化和复杂化。9据统计,2020年12月,61.7%的网民表示过去上半年在上网过程中遭受个人数据安
12、全问题,较之2020年3月上升5.4个百分点。其中,个人数据滥用占23.3%;网络诈骗21.2%;设备中病毒或木马12.0%;账号或密码被盗12.5%,其他56.4%。10是故,非法使用数据行为不仅成为危害个人数据安全的最大威胁,而且给社会造成严重经济损失。例如,在每年电子商务销售额800亿美元总额中,由于非法使用数据造成的经济损失高达100亿美元。11(二)其他部门法难以实现对非法使用数据行为的有效规制刑法的谦抑性要求并非所有具有规范保护价值的法益都要通过施加刑事责任的方式予以刑事规制,而是只有当诸如民法、行政法等法律规范无法发挥作用时,才能够考虑将其纳入刑事规范的范畴。因此,论证现有的民法
13、、行政法手段难以实现对非法使用数据行为的有效规制是刑法介入的前提和基础。第一,前置法提供了数据使用的基本规则,但对于更为严重的犯罪行为却束手无策,需要刑法提供规范上的供给。一方面,我国前置法中均有“禁止非法使用数据”的相关规定,并将其作为一种独立的行为类型。例如,数据安全法 第三条将数据使用与数据收集、存储、加工、传输等其他数据生命周期并列作为数据处理的内容,第二十一条对于非法利用的数据实行分类分级保护。又如 民法典 第九百九十九条规定了合理使用他人人格要素的原则,第六章“隐私权和个人信息保护”中更是将信息使用与收集、存储等并列纳入处理环节。另一方面,鉴于数据犯罪具有网络犯罪的匿名性、隐蔽性、
14、远程性等特征,涉及人数众多,行政机关缺乏调查的强制措施和技术手段,加之与数据犯罪相关的行政法规范极少12,故而数据使用环节行政法保护的力度有限,难以有效遏制滥用数据的犯罪行为。因网络犯罪被告人身份的复杂化,对于适格被告的难以确定以及小额多笔侵权案诉讼成本极高,信息不对称背景下电子证据难以取证等障碍都降低了原告的诉讼意愿。以实际损失作为评判标准的民事责任救济难以保障数据使用安全的正常流转。12第二,将非法使用数据行为纳入刑法评价范畴也符合刑法内部逻辑。其一,数据的安全与共享是数字经济发展必须考虑的两个要素,而数据使用作为数据共享的核心,自然需要得到不162023 年第 5 期同位阶法律的梯度保护
15、。但事实恰恰相反,这一点在刑法中表现得尤为突出。具体而言,数据的非法获取、破坏甚至前端帮助行为也已经通过正犯化的形式予以立法,根据“举轻以明重”的立法哲学应当需要将非法使用数据的严重行为纳入刑法评价范围。其二,既存的犯罪体系承认“非法使用”属于独立的犯罪类型。目前我国有关非法使用的罪名共计37个,保护的法益主要涉及商业秘密和社会公共秩序。相较之而言,数据关系国民的财产、企业的商业秘密甚至与国家安全相关,因此刑法予以特殊保护。第三,对非法使用数据行为范围进行必要的限定,防止出现新“口袋罪”现象。本文认为对此类不法行为的限定,可以从三个方面予以考量。其一,“非法使用”行为的基本框定。“非法”从形式
16、层面看是指违反 民法典 数据安全法 以及 个人信息保护法 等前置法使用数据的行为;实质意义上是指不存在违反公共利益或国家利益,但侵犯数据权利人数据使用决定权的行为。此外,数据权利人的知情同意规则也是评价“非法”的应有之义,故而当行为人合目的使用公开数据,一般推定为合法行为。“使用”的界定可依托前置法的规定,将其理解为数据的分析和利用。其二,非法使用对象的限定。借助数据分类分级理论,将其作为不法评价的重要参数。不同的数据种类以及数据级别反映出数据价值,因此可以作为定罪和量刑的基本要素。目前学界关于数据分类分级的理论可以分为两类,一类主张,数据分类决定分级,因此进行数据分类即可,另一类主张数据分类
17、和数据分级代表数据两个不同方向,应当予以区别性保护。笔者赞成前者,因此可以根据数据的属性和作用进行分类。本文认为,可以分为核心数据、重要数据、一般数据三类。其中核心数据是指,涉及国家利益的数据,包括国防数据、国家金融数据等;重要数据是指涉及公共利益的数据,譬如交通数据等;一般数据则主要包括普通商业数据和个人数据。需要说明的是,数据分类分级本身是动态分类法,因为数据的集合性和场景化应用会改变数据的属性,因此需要综合考量。例如个人出行数据如果被大量非法采集后并使用,那么数据的性质便从一般数据升级为核心数据。其三,其他严重情节的界定。除了上述两种类型外,数据的价值、数量以及获取数据的手段等行为,可以
18、作为犯罪情节的重要考量因素。与其他数据犯罪相同,数据直接的经济价值、数量、时间、违法所得以及前端获取数据行为(获取和使用数据是同一主体)的方式在一定程度上都反映出行为对法益侵害的程度,故而可以作为可罚性的依据。例如合法获取数据,超越授权使用,但使用数据数量较少,则不构成犯罪。(三)域外立法和国际公约的启示考察当今国际社会的刑事立法不难发现,尽管各国关于非法使用数据行为的立法在文字表述、规制方法等方面有所差异,但是却具有共同的趋向,那就是不约而同地强化非法使用数据行为的独立地位,并趋向于将其进行犯罪化处理。欧盟成员国中诸多国家就有关于数据使用行为的规定。例如,2003年意大利 个人数据保护法 第
19、一百六十七条规定以牟利或者损害他人为目的的“非法数据处理”行为属于犯罪,处六至十八个月的监禁刑。1法国刑法典 第三百二十三条第三款第一项规定:“无正当理由特别是无科研和信息安全理由,引进、持有、提供、让与或使用某设备、工具、程序或其他任何设计用于或专门适用于实施第3231条至3233条规定之一项或多项犯罪之数据的,分别处所实施之罪对应的法定刑或者所实施最严重之罪对应的法定刑。”13总之,这些国家力图以“正当性”为前提,实现数据利用与数据控制的自由流通和平衡。2016年通过的 通用数据保护条例 虽然第六条仅就数据处理的合法性原则进行了笼统说明,但第四条对“处理”一词予以了细化,明确其包括对个人数
20、据使用在内的一系列操作行为。1王惠敏,左大鹏:非法使用数据行为的刑法规制17江汉大学学报(社会科学版)总第 40 卷该法还体现将非法使用数据行为入罪化的观点。14此后,欧盟各国立法吸收了 通用数据保护条例 的精神,通过国内法的修订予以贯彻。例如,2017年修订后的德国 联邦数据保护法 第四十二条对以牟利或损害他人为目的处理未经授权的个人数据作了规定。其中,该法的最大特点是对私人领域做出严格于公共领域的数据使用规定。例如,对于公共领域的数据,公权力机构只要在符合法定程序情况下即可对相关数据加以存储和修改。而对于非公开的私人领域数据,则需要同时满足必要且无害性原则,特别是公司只有在相信存储数据不会
21、损害所涉个人权益的前提下,才能基于商业目的而对个人数据加以处理。15此外,德国刑法典 第202d条将非法使用数据的形式概括为非公开以违法行为使得他人得到、为自己或他人设法获取、转让给他人、传播或以其他方式使他人得到。16这表明德国明确将非法使用数据行为进行犯罪化处理。以美国为例,关于非法使用数据的规制主要体现在对深度伪造技术的专门性立法,表现为以“特别领域立法+一般领域普通法”和以联邦和州两个层面的立法的形式。例如,在联邦层面,为了防止网络虚假信息影响2020年美国大选,对深度伪造技术行为予以有效规制,2019年众议员 Clarke提出 深度伪造责任法案(Deep Fakes Accounta
22、bility Act),要求合成视频创制者在视频中添加水印及个人声明。17特别是对于违反标识义务,意图羞辱他人或者干扰政治运作、引发武力或外交冲突而发布合成视频的行为做了特殊规定。18与该法案相类似,参众两院还相继通过了 2018年恶意伪造禁令法案(Malicious Forgery Prohibition Act of 2018)以及 2020年财年情报授权法案(Intelligence Authorization Act for Fiscal year 2020)。除了联邦层面,美国各州立法也积极对深度伪造技术予以规制。例如,2019年弗吉尼亚州对 非同意色情法(Nonconsensual
23、 Pornography Law)予以修正,将原先禁止传播裸体图片或视频的行为扩大为任何虚假性视频或图像和电脑制作的深度伪造。19这表明对于非法使用数据行为,美国已经建立了相对成熟的刑事法体系。综上,对数据安全的使用进行独立刑法保护,已经成为世界各国普遍流行的趋势。三、我国刑法关于非法使用数据规定的现状及不足我国刑法对于非法使用数据的规制主要通过依附于其他犯罪予以间接实现,使得有关数据犯罪的规定留下诸多处罚漏洞。这不仅表现在侧重于对非法转移数据的规制,而且以实害结果为规制导向的事后保护模式难以充分保护网络数据安全法益。(一)我国刑法关于非法使用数据规定现状1.罪名体系:外围保护与间接保护梳理我
24、国刑法关于数据安全的保护,可以将其归纳为直接和间接两种保护方式。20尽管刑法修正案(十一)增设危险作业罪和妨害药品管理罪两个罪名,直接以数据为对象的刑法规制体系得以扩张,然而,从整体上看,这种数据安全刑法保护体系依然表现为以他罪为媒介的外围保护和间接保护。总体上来说,上述刑法关于数据安全的罪名保护体系具有以下特征:其一,在外围保护中,不仅体现在通过维护外在的计算机信息系统安全试图实现对数据安全的保护,而且主要通过保护前者的控制安全实现对相关法益的前置性保护;其二,在间接保护中,立法的目的在于借助计算机信息系统犯罪以及根据数据所承载的具体内容,尽可能地实现对包括非法使用数据行为在内的各个生命周期
25、的全过程保护;其三,无论是外围保护还是间接保护,两种保护方式均未触及非法使用数据行为的核心,难以实现对非法使用数据行为的有效规制。182023 年第 5 期2.介入特征:事后性与结果导向刑法关于数据除了通过保护计算机信息系统的控制安全实现对相关法益的前置性保护之外,还可以根据对网络数据所承载的具体内容造成的不同危害予以区别规制。根据非法使用数据行为造成的结果所涉及法益的不同,我国现行刑法关于数据的罪名保护主要包括经济秩序保护模式(以窃取、收买、非法提供信用卡信息罪、侵犯商业秘密罪为代表)、人格权保护模式(侵犯通信自由罪、侵犯公民个人信息罪为代表)、物权保护模式(盗窃罪和诈骗罪)、公共秩序保护模
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 非法 使用 数据 行为 刑法 规制