我国对数据安全风险的预防推动了刑法的扩张。在理论上,该风险通常被认为是技术风险,即破坏数据安全及数据滥用本身给“权利主体”带来的威胁,①如数据泄露、算法偏见、模型攻击。有论者主张,该风险可在应用层理解,其内涵是对数据信息安全的破坏,危及个人利益、公共利益及国家安全,如侵犯隐私、传播虚假信息、跨境数据风险。②还有学者提出系统性风险概念,如“数据要素全生命周期安全风险”,认为应从产业链协同、技术依赖意义上理解数据安全风险,其内涵包括对数据供给、流通和使用安全的威胁。③随着数字技术的迭代、应用及系统性融合,数据安全风险也在扩张。其中应讨论的是,哪些价值是刑法应予保护的?对这些复杂的风险问题,又该建立何种罪名体系予以保护?这些讨论是以刑法预防为指向的,只有基于罪名体系展开,用以指导对相关问题的解释,才能避免其因应之策东鳞西爪、舍本逐末。 一、预防数据安全风险的刑法体系问题 刑法预防是“设置以预防为主要目的的刑法和刑罚”,实现其“法益保护的早期化、处罚阶段的提前或者刑法介入的前倾化”。④2021年1月8日发布的最高人民法院《关于人民法院为海南自由贸易港建设提供司法服务和保障的意见》(法发〔2021〕1号)提出,为了充分发挥审判职能,促进数据安全有序流动,要求“加强数据安全风险防控,打击数据犯罪、网络犯罪,加强对数据确权、数据交易、数据安全和区块链金融等新类型案件的前沿法律问题研究”。刑法中的数据确权、交易等都涉及其应用层、系统性风险问题,值得深究的是,如何在体系上得以兼顾并服务于预防目的?“以刑法惩罚为手段”,试图“达到预防未然的危害”是“缺乏坚实的根据”的,在“刑法体系的内部”也存有危机,⑤难以在价值和意义上达成一致。 数据犯罪并非刑法规定的概念,通常是指引发数据安全风险的犯罪,与网络犯罪概念相近。⑥数据安全风险即网络上对数据安全的威胁,按照正式的解释,是指“数据安全事件的发生可能性及其对国家安全、公共利益或者组织、个人合法权益造成的影响”。⑦在《网络安全法》第76条及《数据安全法》第3条的意义上,该风险应为在数据的全生命周期,因破坏其保密性、完整性、可用性而对现实社会构成的威胁。引发该风险的犯罪,如《联合国网络犯罪公约》所规定的“非法访问”“非法拦截”“干扰电子数据”等犯罪,在我国《刑法》中被规定为扰乱公共秩序罪。作为扰乱公共秩序罪,数据犯罪体系缺乏类型明确、层级清晰、功能齐备、排列有序的构造,在刑法扩张的拉扯中尚无法巩固其惩罚的基础,更遑论实现预防目的。也许有人认为,建构目的导向体系,会使刑法的“体系性等于合目的性”。事实上,该体系已被扁平化,缺乏必要的张力,在两个维度上都对数据安全保护不利: 其一,是体系性的。我国数据犯罪体系架构在公共秩序之上,因基础太过笼统、单一,而显得并不稳固。例如,盗窃比特币的密钥被解释为非法获取计算机信息系统数据,⑧伪造数据被认定为破坏计算机信息系统,⑨在涉及数据全生命周期的价值问题时,仅有技术上的解释,而没能深入数据功能、信息内容的层面进行诠释。我国《刑法》第285条至第287条之二规定了非法获取、破坏、泄露数据及非法发布数据信息等犯罪,结合现实场景评价,包括对不同利益的侵害。例如,对泄露数据行为,适用《刑法》第286条之一拒不履行信息网络安全管理义务罪,就应考虑对用户信息权利的威胁。对此不同利益,应兼顾不同的数据功能,包括“促进数据安全有序流动”“大数据与其他新技术、新领域、新业态深度融合”“数据要素市场创新发展”以及“科技创新和数字经济发展”。⑩这对于扁平的罪名体系而言,无法拓展的刑法保护纵深。 其二,是目的性的。对数据安全风险的刑法预防是积极、动态的过程,以风险防控为目的。例如,根据奇安信Xlab实验室的监测报告,对深度求索(Deepseek)线上服务的网络攻击已升级为部署僵尸网络。(11)通常这种攻击引发的数据安全风险并不限于非法访问,还包括通过Windows计划任务部署挖矿软件,利用显卡算力进行挖矿操作。对此,刑法预防应着眼于保护区块链金融尤其是数字货币权益,而不限于数据技术的安全。这为罪名体系指明方向,即以预防该金融安全风险为评价目的。当然,目的解释只是“补充性的解释方法”,(12)是体系解释的补充。对于扁平的罪名体系而言,这一评价目的被消解于“公共秩序”之中,并无张力可言。 对数据安全风险的刑法预防,本质上是对数据安全的保护,也应兼顾数据确权、交易、安全管理等,不能笼统地汇聚于对公共秩序的保护。 现代刑法对风险的预防,是淡化“有形的个人法益”,“支持保护更多其他法益”,而实现“保护的提前”。(13)美国《电脑诈欺与滥用法》、英国《滥用电脑法》、日本《禁止未经授权的计算机访问法》《网络服务商责任限制法》等,通过附属刑法的形式对数据、网络犯罪进行规定,通过情境知识表明对相关利益的保护。而德国采用刑法典的形式,与我国刑法最为接近,其罪名体系也最具可借鉴性。该刑法分则“基本上保留了自19世纪立法时的结构”,“根据对利益保护位阶的评定”,确定保护的顺序,形成传统的罪名体系。(14)其中,对数据安全的保护被分散规定在不同章节:窥探数据罪、窝藏数据罪等作为对侵犯通信自由罪的补充,属第15章“侵害个人生活及私密空间犯罪”;计算机诈骗罪依于诈骗罪,在第22章“诈骗与背信犯罪”中;伪造证明数据罪则紧随伪造文书罪,是第23章“伪造文书犯罪”的罪名;而篡改数据罪、破坏计算机罪则是对毁坏财物罪的补充,被归于第27章“毁坏财物犯罪”。1986年5月15日德国《第2版反经济犯罪法(2.WiKG)》在立法之初,将这些犯罪都规定为经济犯罪,“旨在保护法律和经济活动”,(15)不同于刑法分则体系的保护目的。
