李正源|论个人数据刑法保护的应然模式
原创 李正源 上海市法学会 东方法学 收录于合集 #新兴权利 7个
对于个人数据的刑法保护模式问题,当前存在以重点规制数据获取为特点的控制模式说,以侧重打击数据滥用为核心的利用模式说,以及根据数据或利用主体类型以决定规制模式的折中模式说三种观点。控制模式与折中模式无法契合个人数据具有公益属性的个人信息权客体这一刑法定位,并不符合我国当前司法实践宽缓打击数据获取行为的制裁样态且背离了数据共享的时代要求,因此应坚持利用模式说的基本观点。我国刑法针对个人数据保护的规范设计存在过度规制非法获取行为的问题,对此应通过解释的方法,限缩侵犯公民个人信息罪的入罪范围。此外对于非法滥用行为的制裁,应当认为刑法已经提供了充足的规制资源,要解决司法的打击不力,真正需要的是利用解释方法,将值得刑法规制的数据滥用行为与既有罪名相匹配,而非寻求立法论的解决方案。
一、问题的提出对于侵犯公民个人数据的行为,刑法应该遵循一条怎样的规制路径,以为个人数据安全提供充足保护的同时兼顾数据的共享与流通,实现安全、自由与科技发展之间的平衡这一问题,当前刑法学界存在控制模式说、利用模式说与折中说三种观点。其中控制模式说在私权至上、数据的排他性保护优先于数据共享流通这一基本理念的指导下,认为个人数据是具有完全私有属性的、包含积极控制权能的个人自决权的客体,因而刑法应当重点规制对个人数据的非法获取行为,以实现对潜在数据滥用行为的前置性事先预防,捍卫权利人对其个人数据所享有的排他性支配,并将权利人知情同意的具备作为核心出罪理由。当前我国刑法对个人数据的保护尚有不足,体现为:第一,对非法获取行为的规制范围有限;第二,未能为个人数据提供全面的前端保护。与之相对的,利用模式在公益至上、数据共享优先于数据的排他性保护基本理念的指导下,认为个人数据只是带有公共属性的、仅有消极防御权能的个人自决权的客体,故刑法应当重点规制的是对数据的非法滥用行为,以避免因对个人数据安全保护的过度前置,扼杀数据共享机遇,埋没数据对社会经济发展与治理能力提升的潜在价值,并将利益衡量原则下公益之于私益的优越性作为核心出罪理由。但同控制模式相似的一点是,利用模式的支持者也热衷于批判立法,只不过其认为我国刑法在个人数据保护领域存在的问题在于过度规制非法获取行为,然而却未能为非法滥用行为提供充足的制裁资源。除此以外,还有学者持控制与利用模式并存的折中说观点,具体来说或主张应根据数据的种类决定个人数据安全的刑法保护模式,对于普通的个人信息,可以采取利益衡量、利用模式的进路,而对于敏感信息特别是生物数据,应当考虑采纳法权、控制模式的进路,个人数据权利不应随意地被其他的利益所超越。或主张根据数据利用主体的类型,以决定个人数据安全的刑法保护模式。在面向公权力主体时,个人数据权利不具有绝对权性质,数据法益越来越多地呈现出社会公共性,国家法益具有优先的法益地位,但在面向非公权力主体时,个人数据权利不容侵犯,刑法应保护数据利益主体对数据的排他性复制。
笔者认为,无论是从个人数据的刑法定位出发,还是从当前司法实践的制裁生态、经济社会发展的现实需要、域外刑事治理模式的借鉴等角度,都应当坚持数据利用模式的观点,当前刑法已经为个人数据安全的刑法保护提供了充足乃至过剩的制度供给,需要通过解释的方法以限缩对于非法获取行为的制裁半径,而非需要通过新设立法的方式将不值得为刑法评价的犯罪对象、行为类型纳入。同时对于数据滥用的规制不足,只需通过对规范加以解释,明晰制裁范围并提供面向不同类型滥用行为的教义产品,以提升司法制裁的针对性、方向性即可,亦无须通过立法修改的方式加以解决。
二、利用模式是优越于控制与折中模式的个人数据刑法保护模式
(一)
契合个人数据的刑法定位
个人数据在刑法中是具有公益属性的个人信息权的客体,这要求采用利用模式的路径加以保护。具体来说,所谓的个人信息权,并非是一种排他性的权利,而是以社会公益作为价值内涵的“权利束”,它本质是对传统的公民人身与财产权利、社会与国家利益的汇总集合,基于社会与国家的公益保护的需要可以突破个人对数据的排他性占有。换言之,“个人信息权”本身只是对若干传统权益的集合性代称,而非可脱离这些权益存在的独立权利,因此判断针对数据的相关行为是否侵犯了个人信息权、是否需要刑法的介入,归根到底是要审查其内含的传统权益是否受到了侵犯。由于相比于对个人数据的非法滥用,单纯的获取或篡改行为在多数情况下并不对上述权益造成侵犯,或者仅造成抽象的侵害危险,故不宜作为刑法规制的重点,应坚持利用模式的保护路径。
与之相对,控制模式的支持者认为,个人数据是从属于权利人的纯粹的个人产品,以此为对象的刑法规范旨在保护个人的信息自决权,确证权利主体与其占有、控制的数据之间存在绝对排他性支配关系,由此来看,非法获取或篡改行为因破坏了权利人对数据的占有与控制,因而应作为个人数据刑法的规制重点。然而这一观点,首先,立足于以劳动为基础的古典占有观念,即认为付出了劳动,就应对相应成果享有排他性的占有,但这一观念并不能适应数据可复制性、非竞争性以及价值派生性的特点。即对于传统财产而言,占有的转移意味着权利主体用益机会的丧失,而对于数据却并非如此,其可复制性与非竞争性的特质,使其即使由他人获取,也未必导致权利人丧失占有,最终形成的往往是权利人与获取者共享用益机会的结局。并且数据也非像传统财产一样,占有即利益本身,且系其他利益繁殖派生的基础。对于数据而言,占有本身并不具有显著价值,数据的价值多在其向不同主体流动,并被分享及加工的过程中派生而出,因此坚持传统的绝对保护权利人占有的路径并不适宜。其次,从刑法规范条文推知的立法本意来看,立法者无意将数据作为具有排他属性的个人信息权的客体。一方面如果认可个人信息权的排他性与纯粹私权性,那么其被公认的积极权能,如信息内容探知权、安全维护请求权、信息纠正与清除权等也应当成为刑法保护的对象,但刑法保护实际仅限于信息控制权这一消极权能。另一方面立法者在设计侵犯公民个人信息罪时,核心的入罪考量是“相关的出售、提供或非法获取行为可能对公民的人身、财产安全和个人隐私构成严重威胁”,而非个人信息权的排他性权能值得独立保护。
除此以外,上述观点亦忽视了大数据时代数据与其主体之间的分离态势。在大数据时代,个人数据与数据主体之间不再是紧密相连的关系,甚至许多个人数据自产生伊始便进入大数据系统,完全脱离其数据主体。数据主体对其个人数据的控制能力不断被削弱,数据正在加速脱离其派生主体,数据控制的社会化倾向愈显。因此赋予个人以排他性的数据权利,并不具有现实基础。同时由于这项排他性权利无法被充分运用,即指望个人对海量的数据进行实际控制、对数据进行全链条追踪与全方位监控,既不实际也无可能,故排他性权利的赋予也缺乏实际意义。最后,即便是在民法这一以私权利保护至上作为基本价值立场的法领域,学者们尚且无法就“未经许可获取或篡改他人数据的行为构成侵权”达成共识,刑法作为最后保障法,出于谦抑性、法益衡量至上的基本立场,显然不宜径直将非法获取或篡改数据的行为大面积入罪。具体而言,在民法研究领域,有大量的观点强调个人数据的公共属性,否定将其作为排他性个人信息权利的客体。更激进的观点认为,数据甚至都不应该作为权利客体而存在,认为将数据客体化和权利化难以契合数据价值的来源和运作方式,忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。考虑其无形性、可分享性以及公共性,应当视为公共用品,按互惠分享的原理来构想对数据的法律保护。从大数据技术下的社会可能超越私权利社会而形成合作共享的有机社会的角度,私权保护路径已丧失存在的社会基础,将数据作为公共物品并以公法来规范个人数据的使用更具有合理性和可行性。故若持上述观点,未经许可获取或篡改他人个人数据的行为在多数情况下甚至不宜认定为侵权,此时刑法应将规制的重点放置在民法典侵权编无力规制的可能会产生下游犯罪、社会分层、消费操控等衍生性、继发性新型损害的数据泄露、滥用行为。
(二)
符合当前司法实践的规制模式
即便从我国刑法的规范设计来看,对于个人数据安全的保护,总体走的是一种控制模式的路径,但在司法实践中,却更青睐重点打击数据非法滥用、宽缓处理数据非法获取的利用模式思路,坚持利用模式保护路径,更符合我国司法实践的规制样态。具体来说,之所以认为规范层面体现的是控制模式,是因为首先从相关罪名所对应的实行行为来看,是以非法获取或篡改行为为多数。伴随着网络化社会的迅猛发展,个人信息的大规模泄露时有发生,引发了公民对于个人信息被泄露以及被非法利用产生的不利后果的严重不安感。因此,刑法以修正案的方式逐渐形成以侵犯公民个人信息罪为核心(针对作为多数的可识别性个人数据),以非法获取计算机信息系统数据罪、破坏计算机信息系统数据罪、非法获取国家秘密罪、侵犯商业秘密罪、危险作业罪、盗窃罪/诈骗罪等罪名作为补充(为作为少数的不可识别性个人数据提供入罪空间)的规制体系,所涉罪名中最常见的手段行为即非法获取,其间也包括对于数据的非法篡改,而单独面向滥用行径的,唯有利用未公开信息交易罪、泄露国家秘密罪等。其次还通过司法解释,扩张非法获取行为的规制范围。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机信息系统司法解释》)第11条,将计算机信息系统扩大解释为具备自动处理数据功能的系统,使得面向网络设备、通信设备、自动化控制设备等的非法数据获取行为也成为刑法规制的对象。最后,将尊重数据主体的意愿,即“知情同意”作为数据获取、篡改及利用行为的违法阻却事由。这一点虽然刑法中未有明确规定,但却被广泛地作为民法、行政法的违法阻却事由,基于法秩序统一性原理的基本要求,其亦具有阻却刑事违法性的功能。然而即便我国刑法为遵循控制模式提供了丰富的规范资源,司法实践却并未积极地适用相关规范,而是通过利益衡量,有选择性地惩处对于个人数据的非法获取行为,尽可能地保持谦抑之姿态。这样一种规范价值立场与实务处理模式之间的差异与不协调,说明规范的供给模式难以为实务接受,我们需要做的,应是通过解释的方法使规范更贴合于司法实践的需要。
然而相较于“针对个人数据,刑法在规范层面所采取的是一种控制模式的保护路径”已经成为通说的现状,对于我国司法实践所采路径的判断,当前仍存在一定的分歧,笔者所持之观点未成为共识。如有学者认为,考虑到实践中,以侵犯公民个人信息罪为代表的数据刑法规制案件增速迅猛,其中不乏大量为了进行市场营销或者技术研发而获取、使用个人信息,进而构成犯罪的案件,因而司法实践中所采取的其实也是一种控制模式的保护路径。对此,基于通过澄清质疑从而实现充分论证的需要,同时考虑到上述相反观点容易被控制模式的支持者运用,进而从“我国刑法无论是在规范层面,还是在司法实践针对案件的办理上,都呈现出明显严惩数据获取行为的控制模式思路,控制模式作为立法者与司法者不约而同的选择,理应被坚持而非替换”这一方面论证其观点,因此对于我国司法实践针对侵犯个人数据问题的具体办案样态,有必要进一步揭示。
认为我国司法实践采控制模式的学者,通过列举安徽某文化传播有限公司、王某某侵犯公民个人信息案以及上海锐某某软件技术有限公司侵犯公民个人信息案两个案例以证明其观点。然而这一论证,第一,仅限于对已决案件的分析,而缺乏对未进入刑事司法程序的相关案件的关注,而后者才是作为多数的情形而存在。例如某某打车行政处罚案,根据披露的相关案件事实,某某公司在运行某某打车App期间,过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条,除此以外,某某公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题,就此而言,无疑符合刑法第253条之一的侵犯公民个人信息罪的犯罪构成,甚至涉嫌第286条之一的拒不履行信息网络安全管理义务罪以及危害国家安全罪等相关罪名。然而相关部门最终却只是依据网络安全法、数据安全法、个人信息保护法、行政处罚法等法律法规,对某某公司处人民币80.26亿元罚款,对某某公司董事长兼CEO程某、总裁柳某各处人民币100万元罚金。再比如某知名房产中介公司未经消费者同意非法收集消费者住址、姓名、联系电话等个人信息2万余条,以便向消费者推销房地产中介业务,这一违法行为也仅被上海市青浦区市场监管局处以警告且罚款8万元的行政处罚;广东省某地7个住宅小区物管公司擅自安装并投入使用“人脸信息识别”门禁系统,收集大量业主的人脸信息、联系电话、住宅地址等个人信息用于安保门禁的违法事实,最终也是仅以行政处罚论处。同时考虑到当前蓬勃兴起的互联网企业或多或少都存在一定的非法获取用户数据的行为,某某公司的违法行为并非个例,然而最终因非法获取数据而被科以刑事处罚的仅占极少数,尤可证明当前刑事司法实践对于非法获取或篡改数据行为更倾向持宽缓处理之态度,呈现出利用模式的姿态。
第二,即使对于仅占少数的将非法获取个人数据者入罪的相关案例,其背后所体现的亦是基于利益衡量的入罪倾向,而非立足于对公民个人信息自决权的排他性保护,就此而言,所体现的也是一种利用模式的路径。具体而言,要揭示案例背后的核心入罪考量,仅通过对已定罪案例的分析是难以实现的,需要立足于比较的方法,同时观察有罪案例与无罪案例,在揭示其异同的过程中提炼结论。以上文列举的五个案例为样本,可以发现虽然均有未经权利人许可获取数据的违法事实,大体上能符合侵犯公民个人信息罪的犯罪构成,然而却形成了无罪论处、有罪判定这两个截然相反的处理结论,这是因为这些违法主体收集数据的用途存在差异。具体来说,被判处有罪的安徽某文化传播公司与上海某软件技术公司,其收集数据只是向他人提供,以在数据流转过程中获取数据的交换利益;而仅以行政处罚论处的某某公司、房产中介公司以及物业管理公司,其收集数据是向公众提供更好的产品与服务,例如基于个人数据,使得行程规划能够更好地提升使用者出行的便利性与安全性、推动中介推荐服务能够更加精准地迎合租房者的租赁需求、提升物业管理入户审查的效率与保安效能,并在提供产品或服务的过程中,实现企业规模的拓展与经济收益的获取。也就是说以有罪论处的案例中,对于数据的非法获取仅有助于促进获取者的私益,而仅以行政处罚论处则使数据获取显著增进了社会的公益,并在这一过程中附带性地实现了其自身的私益,由此看来,这里的入罪与否是由利益衡量思维所推动的价值判断,而非单纯地考虑数据主体的信息权利是否受到侵犯以及受侵犯的程度如何。
(三)
顺应数据共享的时代要求
当前的时代发展依赖于数据共享生态的形成,而要塑造共享生态、激发数据活力,需要刑法尽可能放松对于个人数据获取行为的规制,将打击的重心适当后移至对个人数据的滥用行为。但对此,数据控制模式的支持者提出了两点质疑:第一,要适应新时代数据产业发展的要求,充分发挥数据的社会价值,更应立足于为数据个体提供充分的私权保护,如此才能发挥个人在数据产业中的潜在活力、治理数据利用的无序状态、提升数据利用的效率。第二,在大数据时代,数据被数以万计甚至亿计地汇总到国家机关与企业的手中,同时考虑到因数据分析处理能力提升而伴随对数据背后个人信息高度挖掘的可能,意味着一旦个人数据被非法泄露、滥用,将导致极其严重的社会危害后果,对个人合法权益造成难以弥补的实害。而相比之下,在前大数据时代,数据的收集汇总以微量计,且由于数据处理能力所限,即便相关个人数据被泄漏滥用,也难以转化为大规模的实际损害。因此在风险社会背景下,出于预防的实际需要,刑法似乎更应积极介入,拓展处罚范围,强化对获取行为的规制力度,以实现对滥用行为的事先预防。
笔者认为上述观点,首先,误解了利用个人数据的核心主体。对数据利用发挥实质推动作用的并非个人,而是拥有海量收集能力与技术处理能力的组织体,即企业与政府。对于个人而言,他们对于挖掘其个人数据背后之积极价值一事既不感兴趣、也缺乏能力,其能够实现的缺乏汇聚效应的零散的数据处理对社会的推动作用极其有限。因此赋予个人充分的私权利保障,以让个人充当数据产业的活力主体,并不能有效推动数据产业的发展。
其次,未能全面理解数据2.0时代背景下的数据利用模式变异。对于数据的收集获取,归根到底是希望通过下一步的数据利用以将被收集的数据转化为经济利益。但在大数据时代之前的数据1.0时代,数据的主要价值在于信息互联与传递,其缺乏独立的价值功能,难以通过技术处理为合法网络产品的诞生与发展提供“燃料”。也就是说,将被收集的数据兑换为经济利益的合法利用途径是较为匮乏的。在这一阶段,收集者若想将数据转化为经济利益,多只能通过挖掘其背后的个人信息,向意图通过该信息以便利其违法犯罪的行为人提供,或者直接用以“服务”于自己的违法犯罪这样的一些非法利用手段。简言之,个人数据多是以非法的方式被利用,因此作为手段行为的单纯数据获取,就足以对数据权利人的人身与财产权利造成具体的侵害危险。而在数字2.0时代,数据的独立价值彰显,收集数据后,将其兑换经济收益的合法利用途径被开拓,多数的收集者不再抱有收集数据以侵犯他人进而获取非法经济利益的目的,而是通过单纯的自我利用,把握数据在社会生活中被全方位应用的可能,通过合法的方式实现权利人利益与自身利益的双赢。故即便是数据被海量泄露、滥用的情形成为可能,使新的风险类型成为现实,但在总体的数据收集、利用趋于合法化、正当化的新时代特征下,数据获取行为总体的危险性并没有被提升,甚至有所降低,故没有加以前置化预防的必要。
再次,如果坚持控制模式的观点,将使国家、企业以及个人在很大程度上错失通过发展数字产业所应收获的利益。具体来说,对于国家,通过对个人数据的动态分析与回应,可以使国家政策的制定更具有针对性、科学性与合理性,同时也能为不适应时代发展之政策的修订提供论证资源。如果过度限制对个人数据的获取,将使国家行政管理的效率降低,难以迅速对集体性社会舆论事件、治安事件、突发疫情事件形成有效的引导、平息与防控,不利于推动国家治理体系与治理能力现代化。对于企业,尤其是以对个人数据的提取、分析、转化,进而提供个性化网络产品为主要收益手段的互联网企业,其成本高低乃至生存与否取决于对数据的获取难度。面临海量的个人数据,如果认为对每一条数据的获取都需要取得数据权利人的知情同意,否则企业将面临以犯罪论处的刑事风险,则将导致企业在此处投入过高的运行成本,削弱数据收集转化的效率与积极性。对于个人,公民期望有科学的政策以指导生活的方方面面,同时渴望有个性化的网络定制产品以满足自身工作娱乐的需要,如果过度限制数据的收集,将导致便捷的公共与网络服务受到限制,增加公民的时间、经济与社会交往成本。此外,与其说获得对一个抽象缥缈的“个人信息自决权”的排他性保护是每一位社会公民基于自由和尊严的共同呼吁,倒不如说他们更愿意通过对该权利做出一定程度的牺牲与让步,以换取更为优越、便捷且多彩的生活改善机会。
最后,在刑法的个人数据保护领域坚持利用模式,是经济发展之急需,也是落实国家相关法律法规的必然要求。《中国数字经济发展研究报告(2023年)》显示,2022年,我国数字经济规模达到50.2万亿元,同比增长10.3%,是同期GDP增速的3.4倍,占GDP比重高达41.5%。在当下,数据产业作为稳定经济增长的关键动力,其发展关系到国计民生,而要确保数据产业的持续繁荣,数据资源的社会化和市场化利用制度是不可或缺的,即个人数据必须且应当在全社会范围内加以共享,从而充分发挥数据在经济发展与社会治理层面的积极价值。尤其在当下,保障数据安全、促进数据共享已成为全球性数据治理的基本目标,我国数据安全法第7条已明确规定:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”进一步地为数据共享的重要性背书。而要实现最大程度的数据共享,必须要坚持利用模式的刑法规制路径。在这里需要再强调的是,通过上文的分析可知,企业是推动数字经济发展的核心力量,同时也是国家法律法规认可的需要充分发挥活力的数字产业主体,其通过对数据的收集利用所能实现的收益在某些方面并不亚于公权力主体,因此所谓的区分公权力主体、非公权力主体以分别采利用模式、控制模式的折中论观点,将导致无法在数据产业的发展上实现“两条腿走路”,使数据所能产生的经济效益大打折扣,因而亦无法成立。
(四)
不存立法扩张的现实需要
对于个人数据,刑法将其作为相关罪名的犯罪对象时虽有所限制,但这些限制不宜被删除,没有必要通过立法修改,拓展可作为刑法中构成要件要素的“个人数据”的范围,进而实现对非法获取、篡改行为的扩张规制,以巩固强化规范的控制模式立场进而引导司法实践。具体来说,上文已述,针对个人数据,我国刑法形成了以侵犯公民个人信息罪为核心的,涵摄人格权、财产权、经济管理秩序、社会管理秩序、国家安全、公共安全等法益的全方位保护体系,并不存在所谓的规制漏洞。无论是直接以数据作为对象的直接保护模式,还是以信息作为对象的间接保护模式,并未不加筛选地将“数据”“信息”一律作为保护对象,而是附加限定属性,是立法者在刑法谦抑精神指导下,经深思熟虑后的入罪选择,取消相关限定,只会导致刑法在个人数据领域既有的过严规制问题进一步恶化,且有悖于立法者的本意。
如果将控制模式支持者在该部分的论证理由具体展开,可以归纳为:第一,在个人数据的刑法保护上,刑法为作为犯罪对象的“数据”所设定的条件限制过多,如成立侵犯公民个人信息罪,要求个人数据具有可识别性,而在适用非法获取计算机信息系统数据罪时,则需要个人数据属于计算机信息系统内部的、侧重于信息系统自身功能维护的、以访问控制为主要考虑的数据,其出发点是为了维护作为“容器”信息系统内部的静态数据库安全而非保护作为“内核”的数据本身。即便司法解释扩张了“计算机信息系统”这一技术概念,也仅停留于数据外延扩张的表层,没有探求数据的内涵本质,具有修改立法,以动态的、独立的、开放的数据概念取代静态的、附属的、封闭的“计算机信息系统数据”概念,以巩固强化控制模式特色的必要。第二,上述动态数据概念对静态数据概念的取代,在具体案件的裁判中已有所反映,具体来说,在判处非法获取计算机信息系统数据罪以及破坏计算机信息系统罪的一些司法案例中,已认定作为犯罪对象的“数据”既可不属于身份认证信息,也无需关涉计算机信息系统的正常运行或功能实现,使这两个罪名的部分构成要件要素被虚置,呈现出明显的口袋化倾向。由此,凸显了司法实践对于立法修改的迫切需求,进一步说明修改立法以全面适用控制模式的必要性。第三,从借鉴域外刑法规范的视角来看,也确有必要修改当前刑事立法以强化控制模式色彩。详言之,从德国联邦数据保护法针对个人数据犯罪,规定传输、公开、处理、骗取四类实行行为,以及德意志刑法典第202a-202d,为侵犯一般数据行为设计窥探数据罪、截获数据罪、窥探和截获数据的预备罪,第303a-303b条规定数据变更罪、破坏计算机罪等多项独立罪名来看,均未对作为犯罪对象的数据进行复杂的条件限定,规制的范围从获取之前的突破访问安全措施进而获得数据访问路径的“探知”,到非法获取或篡改,再到获取数据后向他人泄露公开,实现了数据全生命周期的周全保护,彰显了可罚行为类型逐渐拓宽、刑事处罚整体前置、法网日趋严密、刑罚幅度适度提升的数据刑法保护应有趋势,相比之下我国刑法在个人数据的保护上,不仅规制的行为类型有限、处罚时间点不够前置,并且对作为犯罪对象的数据的界定范围过于狭隘,需要通过新设立法的方式以修正。应当使数据脱离与计算机信息系统的相互勾连,作为独立的保护对象而存在,将窥探作为新的手段行为加以规定,使对个人数据保密性、完整性与可用性的保护从“附条件”的桎梏中摆脱,实现对个人数据的全面且系统保护。
对于数据控制模式支持论者的立法扩张论观点,笔者认为存在如下问题:首先,立法扩张论的观点多只从侵犯公民个人信息罪以及非法获取计算机信息系统数据罪两个罪名出发,认为由于这两个罪名对数据施加了诸多的限定条件,导致大量的个人数据类型无法成为刑法保护的对象,进而就得出我国刑法对于个人数据的保护并不周延,需要取消限定、扩张刑法保护范围的结论。但上文已述,刑法对于个人数据的保护是由若干罪名组成的全面体系,对于这两个罪名无力调整的个人数据类型,如果涉及公民财产权、国家安全、公共安全、经济管理秩序、社会管理秩序等法益,仍可通过其他相关罪名加以刑法规制,并不存在所谓的规制漏洞,立法扩张论的观点未能立足于刑法规范的整体进行观察,只见树叶不见树林,因而得出了错误的判断结论。
其次,立法扩张论的观点对我国刑法第285条非法获取计算机信息系统数据罪,以及第286条第2款破坏计算机信息系统罪的解读存在问题,导致错误地认为司法实践对特定案件的处理结论,是对既有构成要件要素的突破,使相关罪名呈现出“口袋化”倾向。具体来说,“影响计算机信息系统的正常运行”并非是相关罪名成立的必要条件,这一点从《计算机信息系统司法解释》第1条与第4条,将“违法所得五千元以上或者造成经济损失一万元以上的”作为足以使犯罪成立的结果要素之一,便可得到印证。此外对于非法获取计算机信息系统数据罪,《计算机信息系统司法解释》第1条第1款的前两项虽然只明确了针对“身份认证信息”非法获取的入罪数量标准,但对“非身份认证信息”的非法获取尤可通过第3款的非法控制标准与第4款的违法所得或造成损失标准以入罪,甚至可通过明确其相较于身份认证信息在法益层面的重要性,以自由裁量方式界定入罪的合理数量标准,进而适用“其他情节严重的情形”这一兜底条款入罪。因此司法实践在定罪时即便未顾及“身份认证信息”与“影响计算机信息系统正常运行”之要求,也不是虚置相关罪名的构成要件要素而径直入罪,因而并未使之沦为所谓的“口袋化罪名”。
再次,立法扩张论者在倡导借鉴甚至移植域外刑法规范时,只关注相关法律文本的具体设计,而未能将目光置于通过司法实践折射的相关规范的适用状况,忽视了相关规范在适用过程中出现的各种问题,因而没能意识到法律借鉴或移植的潜在风险。具体来说,国外在数据犯罪治理过程中,亦出现了司法制裁模式与规范价值立场的脱节问题。根据相关学者的研究,尽管德国与日本都在立法层面树立起严格保护公民个人数据的价值立场,但是在司法实践中,近年来两国都立足于刑法谦抑性的要求,未将数据的高价值性和刑法的保护强化之间直接建立联系,即对侵害个人数据的行为,实际上科处刑罚的案件很少。尤其是日本,虽然与德国具有近似的刑法规范设计,但在“警察在恐怖主义活动预防中收集、泄露个人数据案”中,最高裁判所判决指出,作为反恐对策的警察活动,只要能够判断国际恐怖活动发生的危险“充分存在”,出于预防的需要,即便广泛地对以宗教为对象的个人数据加以收集,亦不因此而丧失合宪性。此外,日本为推动医疗领域研究开发的匿名加工医疗信息相关法律,也逐渐明确不再以个人的明示同意作为个人信息收集、利用的唯一正当化要件,不再将经过妥当匿名化处理的信息视为泄露秘密罪中的个人信息,可见即便是在规范层面,也已逐渐由控制模式步入利用模式。在美国,尽管计算机诈欺及滥用法案为未经权利人许可非法收集其数据的行为赋予了入罪可能,彰显出与德日刑法近似的重视前置型规制的控制模式特色,但实践中,受鼓励数据再利用和促进数字技术发展理念的影响,在适用相关条款时出现了明显反思与犹豫,逐渐以技术责任观取代合同责任观,即行为违法性的判断并不取决于规范中所言的未经权利人许可,而是看行为人是否通过一定的技术手段破坏或绕开权利人对于数据加设的保护措施,并赋予获取公开数据的行为以“所抓取的数据被用于创建变革性产品,而非以类似产品来窃取数据网站的市场份额”为由的出罪路径,以利益衡量取代狭隘的知情同意,以作为核心出罪事由。基于此,域外的相关立法甚至无法为其本国的司法实践所接受,并且尚处于不断地进行立法调整、修改以走向利用模式的转型过程中,不宜被直接“拿来”,成为当前我国刑法借鉴乃至移植的对象。若忽视这一点,将导致我国在个人数据刑法保护领域既有的立法与司法衔接不畅之矛盾被加深。
此外,相关观点对于德国刑法规范也存在一定的片面解读问题。即德国刑法围绕个人数据的相关规定虽然在总体上呈现出控制模式的特点,但也存在一定的限制性规定,以控制处罚范围、避免对数据获取行为的过度规制。详言之,无论是德国联邦数据保护法还是德国刑法典,除数据变更罪与破坏计算机罪外,所针对的都是“不公开的数据”,且其中部分罪名进一步地将“以营利的方式”“为了获取报酬,或者为自己或他人谋取利益,或者为了给他人造成损失”作为限定条件,而相比之下我国刑法并没有此类限定,尤其是对作为犯罪对象的数据缺乏“非公开性”的要求,导致针对公开数据的非法获取也可能以犯罪论处,从这一点来看德国刑法的相关规定更具谦抑性。然而立法扩张论者却未提及对此类具有利用模式、谦抑性特点之条文内容的借鉴,而只关注具有控制模式、扩张性色彩的规范内容,是通过对域外规范的不当剪辑的方式以论证其观点,显然无法确保结论的客观性。
最后,如果遵循立法扩张论的观点,将导致刑法通过限制数据类型进而控制非法获取行为入罪的过滤机制丧失,使无法指向具体的法益内容的低价值乃至无价值元数据成为刑法的保护对象。考虑到对此类未经编排而随意堆积的初始数据的非法获取,无法对任何值得刑法保护的法益造成侵害甚至是抽象危险,因而如果通过立法修改的方式将其纳入刑法的规制范围,将有悖于“仅将严重侵害法益或侵害重大法益之行为规定为犯罪”法益保护原则的基本要求。
三、利用模式下对侵犯公民个人信息罪入罪标准的限缩解释
上文已述,以侵犯公民个人信息罪的犯罪构成为典型,当前我国刑法的规范呈现明显的控制模式特色,犹如达摩克利斯之剑一般高悬于数据利用者的头顶,作为司法工作者大规模地制裁个人数据非法获取行为可资适用的资源而存在,国家、企业以及个人或将在很大程度上错失通过发展数字产业所应收获之利益,存在极易转化为现实困境的风险,需通过解释的方法,重构侵犯公民个人信息罪中对个人数据非法出售、提供及获取行为的入罪标准,将规范的制裁立场转换为利用模式,以便在与司法实践处理模式保持一致的同时,避免使数据利用者因刑法制裁不时会来到的恐惧,从而过度地自我约束其行为半径,最终导致数据产业的发展活力被扼杀。
(一)
将以“知情同意”为出罪事由转向以“知情不同意”为入罪要求
对于侵犯公民个人信息罪,现有的共识是将数据权利人的“知情同意”作为本罪的违法阻却事由,以发挥出罪的消极功能,对此应加以否定,取而代之的,是将“知情不同意”作为本罪的构成要件要素之一,使其发挥入罪的积极作用。理由在于:第一,将“知情同意”作为本罪的违法阻却事由,其背后是一种广泛入罪的控制模式思维,即它意图传达的是“出售、提供、获取他人数据原则上构成犯罪,但权利人知情同意的除外”,换言之,只要未有权利人的知情同意,行为人原则上就将构成犯罪,而这一情形显然要占到提供、出售、获取个人数据案的绝大多数。但如果将作为其反面的“知情不同意”作为本罪的构成要件要素之一,传递的信号则是“出售、提供、获取他人数据原则上不构成犯罪,除非权利人知情不同意”,相比于前者,其亦认可在权利人知情且明确表达同意时的出罪处理,但在对未有权利人知情同意这一情形的处理上,后者可以为其中权利人不知情或者权利人知情未表态这两类情形提供出罪路径,仅对权利人知情却明确表达不同意的场合以本罪论,极大限缩了本罪的规制范围,这一追求出罪的处理模式,与作为本文立场的数据利用模式相契合。第二,上文已述,在未获权利人知情同意就将面临刑事风险的压力下,数据利用者会投入大量成本以向数据权利人提供相应的免责协议并要求其签署,影响数据利用的效率。并且考虑到在相关条款的签署过程中,一方面数据权利主体与利用者之间缺乏议价能力,另一方面,相关协议的内容往往过于复杂,且对于数据权利人而言,多数情况下为使用相应的产品或服务,除做出同意承诺外别无选择,导致数据权利人对承诺内容的知悉度与承诺本身的真实性大打折扣。因此基于被害人承诺的基本原理,这一承诺事后也可能被视为无效,导致数据利用者即便消耗了成本也无法彻底根除入罪风险。既然如此,为了促进数据的利用共享,倒不如尽可能消解不具有知情同意的入罪风险,仅将明显存在知情不同意的情形纳入侵犯公民个人信息罪的规制范围。综上所述,对于出售、提供、获取他人数据的行为,若要构成侵犯公民个人信息罪,原则上仅限于数据权利人知情不承诺,即其知晓且明确表示拒绝他人出售、提供、获取自己的数据时。承诺的形式不仅包括明示,也包括通过为数据加设禁止访问等限制措施的默示方式。对于数据权利人未知情、知情未承诺、知情承诺这三类情形,原则上不应纳入本罪规制范围。
(二)
通过法益衡量与适当性原理进一步调整规制范围
进一步讲,将未知情、知情未承诺这两类情形下的个人数据完全排除出侵犯公民个人信息罪的保护范围,仅对知情不承诺情形下的个人数据加以保护,实际上也并非完全恰当,过度偏向了数据利用者的利益而未兼顾自由、安全与科技发展的平衡。数据利用模式并非不再重视对数据权利人利益的维护,只是强调应当将规制重点转移至数据滥用行为,从而引导数据利用者合理利用数据,实现对数据主体利益得到更为全面的维护。故对这两类情形,虽然原则上应当出罪,但仍有必要基于法益衡量与适当性原理进一步筛选出值得刑法规制的具体案件类型,即将出售、提供、获取数据对于公民个人合法权益所造成的侵犯大于或等于其带来的社会利益且背离了适当性要求的情形,推定为“行为人明确表示拒绝的知情不同意”,纳入侵犯公民个人信息罪的惩罚范围。
在将基于法益衡量与适当性原理的价值判断进一步展开之前,首先应当明确,以下两类个人数据无法被纳入侵犯公民个人信息罪的保护范围。第一,不具有可识别性的匿名化数据。这是因为《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息司法解释》)第3条的但书条款,已经将“经过处理无法识别特定个人且不能复原”的个人数据排除出侵犯公民个人信息罪的保护范围。但需要特别注意的是,考虑到在大数据时代下,伴随着数据处理技术能力的提升,当前已基本不存在能够实现绝对匿名化的个人数据,这意味着即使是表面上已经排除了可识别性和关联性的个人数据,通过与其他大量数据进行结合、比对、分析,也大概率能够实现再识别化,对应出特定的个人。因此,此处匿名化要求仅达到“相对匿名化”即可,即司法解释所言的“经过处理”,并不意味着“穷尽所有的技术处理手段”,而是经过“合理且无需耗费极大努力的技术手段”处理。
第二,已公开的个人数据。即对已公开个人数据的出售、提供、获取,应当视为已有数据权利人的知情承诺,换言之,可能被纳入侵犯公民个人信息罪规制范围的数据类型,仅限于作为隐私的个人数据。因为数据公开后,意味着数据主体放弃了对数据的控制权和对价获取机会,不再排除任何人利用。此时数据被完全置于可由社会公众自由获取、利用的状态,成为公共物品,故在法律层面,探讨赋予数据权利人对数据的支配力,以使其排他性地控制数据的传播范围、独占数据蕴含的各项价值,显然已不再适宜。最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款第4项更是直接明确了对“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”的公开行为甚至不属于侵权,此时刑法显然不具有介入的空间。当然不排除非数据主体自愿公开而是由其他违法犯罪者泄露的情形,此时对于泄露者当然有借助刑法进行规制的必要,但对于非泄露的获取者,既然此时数据已经成为事实上的公共资源,在没有通过滥用对权利人利益造成侵损的具体危险乃至实害的情况下,自无需将其纳入刑法的规制范围。
最后,回归到基于法益衡量与适当性原理之价值判断的具体操作标准。应当明确,首先,在法益衡量过程中,一方面对数据法益的衡量应着重识别通过生物识别数据(如人脸、虹膜特征、指纹、基因序列、染色体信息等),敏感数据(如种族出身、宗教哲学信仰、政治立场及其他极易诱发不安情绪的重要个人隐私),关涉人身与财产自由的数据(如《个人信息司法解释》第5条第1款前3款所列举的行踪轨迹、征信信息、财产状况、通信记录、健康生理状况、交易信息等),社交数据(如真实姓名、聊天记录、网页浏览痕迹等)等数据分类所反映的数据敏感程度。同时也要考虑到数据的规模,以及与其他个人数据的结合程度等方面,对其法益价值加以程度预测,明确对该类数据加以分享让渡后,可能对数据权利人造成的损失。另一方面对作为对立面的公共利益的衡量应关注其可能产生的经济价值与社会治理价值,在评估过程中考虑受众区域、范围及受众成分等因素,综合评估因个人数据利用受阻可能产生的损失。这样一种在个人数据保护领域通过法益衡量进而判断违法性有无的方法,早已被民法所认可接受,最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条第1款第2项规定,公开他人个人信息,如果是为促进社会公共利益且在必要范围内,则不以侵权论处,对此刑法也应当予以接受,以准确界定入罪范围,兼顾数据权利保护与数据共享利用的平衡。例如对于敏感性较强的生物识别信息,如果是为被收集者提供个性化医疗方案,或为有助于国民整体健康水平提高的医药研发、疫情防控而收集利用,与仅出于为研发运动设备、提供运动定制方案或推销医疗服务的目的而收集使用相比,显然前者更应出罪,而后者需考虑入罪可能。其次,对于适当性的考察,个人数据保护与流通其实是一个高度场景化或语境化的问题,需要将权利还原到具体的语境与社群中,来判断人们的预期与权利的边界,因此应当基于情景完整性理论,针对在法益衡量中对个人数据权利的侵犯大于或等于对公益之促进的个人数据出售、提供或获取行为,应当还原数据出售、提供、获取当时的具体情境,结合一般人的判断标准,看相关行为是否具有社会通常意义的可接受性、适当性,若具备适当性,则仍应出罪,为数据转化率低、数据变现周期长进而使出售、提供、获取数据的行为所能带来的公共收益在短期来看相当有限的情形,提供进一步的出罪途径。这种基于法益衡量与适当性原理双重出罪的过滤路径,类似于正当防卫中在认定是否满足限度条件时对于是否超过必要限度与是否造成重大损害的双重考察。
四、利用模式内部应当通过解释论的方法以实现对个人数据非法滥用的充分规制
针对个人数据的非法滥用行为,我国刑法规范已提供了充足的规制资源,所谓针对特定滥用行为的司法规制不力,要么因该行为根本就无需被纳入刑法规制范围而成为伪命题,要么导致问题产生的原因是未能充分利用解释方法、发动既有规范资源,无需通过修改立法的方式以解决。上文已述,对于利用模式的支持者,虽然认为应当尽可能放宽刑法对个人数据非法获取或篡改行为的规制,但同时也认为针对个人数据的非法滥用,应当强化规制力度,通过修改立法的方式以为当前司法实践难以处理的数据滥用问题提供规范资源。如有学者认为,考虑到当前刑法针对“大数据杀熟”以及严重侵扰公民生活安宁的个性化推荐现象的规制有所不足,应当增设以严重影响交易公平、公民生活安宁或者公民自主选择权为构成要件结果的滥用算法罪。此外,部分控制模式的支持者及对于个人数据刑法保护之应然模式未作明确表态者,也多对非法滥用个人数据行为的刑法规制这一问题,提出了立法修正论观点。如有学者从数据威胁型黑灰产问题出发,指出面对新型的CDN型流量劫持,由于它并非像传统的DNS流量劫持一般以植入插件或使用恶意代码为手段,不会破坏计算机信息系统正常运行,因此无法以破坏计算机信息系统罪定性,此外对于通过伪造流量假象以谋取不正当利益的恶意点击,以及通过在社交网络平台引流以实现舆论控制的网络水军等流量作弊问题,现有刑法也无法提供合适的规制资源,均需要通过修改立法的方式以弥补处罚漏洞。有学者则针对“深度伪造”这类利用人工智能技术的个人数据非法滥用行为,指出当前我国刑法基于目的性行为的结果归责思路与基于公民个人信息保护的前端规制思路均无法回应对个人生物信息的保护需求,因而应当考虑设定单独的身份盗窃罪。另有学者认为考虑到非法使用他人信息或数据的行为具有严重的法益侵害性,刑法现有的罪名体系无法全面保护数据主体的个人利益,故应当修改侵犯公民个人信息罪,将“非法使用公民个人信息”这一类型规定在内。
对于上述观点,首先,其所列举的部分行为的法益侵犯程度无法达到刑法规制的门槛,因此对于这类行为刑法不必规制,也就无需为其修改立法。具体来说,对于所谓严重侵扰公民生活安宁的个性化推荐,由于面临个性化推荐,不同主体的评价结论往往是不同的,即相同的推荐内容在面对不同用户时,既可能会收获否定评价,同时也可能会获得认为其改善了用户体验、提升了内容精度的积极评价,故由个性化推荐导致的“严重侵扰公民生活安宁”是一个需要回归个人性格喜好的主观化判断结论,将这样一种难以被客观量化的结果作为刑法中犯罪的成立条件是不合理的。同时通过与非法侵入住宅罪这一同样因侵犯公民生活安宁而入罪的罪名相比,恶化使用体验,使用户不胜其烦、不厌其扰这一对公民生活安宁的侵犯结果也难以与侵犯公民生活与居住安宁这一结果具有程度上的相当性,而对后者的侵犯也只是勉强达到足以为刑法规制的高度。对于CDN型流量劫持、恶意点击、网络水军,这三类行为只是造成了对用户流量选择自由的干扰,以及对网络舆论的不当诱导,这两类利益并非是刑法所保护的法益,并且对此类行为,通过适用网络服务平台内生的社区性规范甚至行政处罚的方式便能够实现有效规制,无需通过刑罚手段加以制止、预防。对于深度伪造,如果伴随着使伪造作品流出的行为,那么根据其所侵犯的具体法益,自可通过侵犯公民个人信息罪、侮辱罪、诽谤罪、诬告陷害罪、诈骗罪、招摇撞骗罪等罪名加以规制,而对于未有流出行为的单纯供自我娱乐的深度伪造,对于被伪造者的法益,或并未造成侵犯,或仅有侵犯的抽象危险,难以认为有使刑罚手段介入的必要,且对于深度伪造,相关论者也多不赞同一律入罪的思路,而是认为应该进行类型化划分。但对于如何界分“合法”的深度伪造与“非法”的深度伪造,相关研究始终未能提出明晰的判断标准。
其次,所讨论的其他行为,通过刑法的现有规范自可实现规制,而无需修改立法甚至单独为“数据”这一对象设立一套罪名体系。上文已述,刑法对于个人数据的保护是一个以侵犯公民个人信息罪为核心,涵摄了若干罪名,涉及公民人身与财产权利、国家安全、公共安全、社会管理秩序、经济管理秩序等法益的全面体系,立法论者所提出的刑法无力规制的具体行为,通过剖析相关行为的危害本质、解读刑法既有罪名的保护法益,就可以实现构成要件与案件事实的匹配,进而使相关行为与既有罪名相对应,形成指导司法适用的“教义产品”。如所谓的“大数据杀熟”,本质上是通过隐匿商品或服务真实价格的方式,使被害人形成对商品或服务价格的错误认识,因而错误地过度处分其财产,遭受超越商品或服务真实价格部分的损失,完全可以通过诈骗罪加以规制。冒用他人身份办理网贷使其负担债务、从事违法犯罪、篡改高考志愿、顶替他人取得大学入学资格,本质是通过隐秘手段使他人遭受财产损失、采用虚构事实的方式使他人面临受到刑事追诉进而自由受限的危险、凭借秘密手段篡改计算机信息系统中的数据以及劫夺他人本应有的受教育机会,完全可通过盗窃罪、诬告陷害罪、破坏计算机信息系统罪、冒名顶替罪等加以规制。综上所述,在大数据时代的今天,永远“在线”和随时“接入”已成为众多个体的生存状态,虚拟“身份”“行为”和“财产”实际早已与真实身份、行为和财产融为一体,这也就意味着任何数据滥用行为,到最后均能够被还原为对传统法益的侵犯,数据犯罪所侵犯的法益,归根到底是传统法益的网络化、数据化,因而仍可以通过借助解释以强化对传统刑法罪名之适用的方法来应对。
结语
“当私人成本与社会成本发生冲突的时候,法律决策者会优先考虑控制社会成本,必要时还会以放纵私人成本为代价;毕竟社会成本是社会财富的实际减少,而私人成本只是社会财富的转移。”个人数据刑法保护的路径抉择问题,本质上是个人利益与社会集体利益间的冲突选择,显然步向后者,才更可能获得立法者以及司法者的青睐。尤其是在大数据时代,数据的价值是被隐藏的,唯有通过规模化收集与技术处理的方式才能使其真正具有满足权利主体之需要的价值,而这超越了作为个体的数据权利人的能力范畴,它并不像传统的作为物权客体的财产一般,在占有的基础上,通过权利人的自行处理便可迅速转化为切实的收益。故如果将个人数据视为权利主体的“绝对财富”,进而采取一种物权或准物权的控制模式保护路径,以通过刑法手段限制未经权利人许可的数据自由流动,不仅对权利主体而言意义不大,而且对于社会这一整体而言,将导致其应获得的治理与财富收益被显著减少。若要避免“双输”局面而实现权利人私益与社会公益的“双赢”,必须要坚持利用模式的刑法保护路径,通过解释的方法将刑法规制的重点转移至对个人数据的非法滥用,在这个过程中尽可能使不同主体之间的利益达到平衡。
原标题:《李正源|论个人数据刑法保护的应然模式》