在数智社会环境下,数据的价值得到充分体现,社会运行深度依赖数据,社会发展需要保护数据安全①与保障数据合法利用。2021年《中华人民共和国数据安全法》(以下简称《数据安全法》)通过后,我国持续加强数据安全立法,数据安全法律保护体系逐渐完善。《网络数据安全管理条例》和《数据出境安全评估办法》等法规、规章的施行,完成了数据安全保护的一般立法与特定领域立法、框架立法与实施规则的制度配套,实现了数据安全立法与《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》的紧密衔接。《数据安全法》等法律确认数据安全直接关系国家安全、经济社会发展、公共利益、个人和组织的权益,规定数据安全管理制度,要求为数据安全提供刑法保护。《中华人民共和国刑法》(以下简称《刑法》)中有关保护数据的规定具有附属性、有限性和不完全性,其保护的主要不是数据安全。因此,有必要分析我国数据安全刑法保护存在的问题,研究数据犯罪立法体系,从而为数据安全提供独立、充分的刑法保护。 一、我国数据安全刑法保护存在的问题 研究我国数据安全的刑法保护,首先应当明确数据安全的内涵,并检视《刑法》对数据安全的保护现状。根据《数据安全法》第3条的规定,数据安全是指“数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”,数据安全的刑法保护应当是对数据安全状态及其能力的刑法保护,使其免受危害数据安全犯罪行为的侵害。《刑法》中直接规定“数据”的犯罪,只有危险作业罪、妨害药品管理罪、非法获取计算机信息系统数据罪和破坏计算机信息系统罪,这显然不能为数据安全提供充分的刑法保护。为了扩大数据安全的刑法保护,刑法学界提出了多种关于危害数据安全犯罪(以下简称“数据犯罪”)的观点。持第一种观点的学者认为,以上犯罪对象包括数据,是直接保护数据安全的数据犯罪,因为数据是以电子或者其他方式对信息的记录,以“信息、秘密、证明或者证件等”为犯罪对象的犯罪立法规制的是间接保护数据安全的数据犯罪。②有相似观点是,《刑法》中保护公共数据的犯罪立法有4类,分别为罪状表述中包括“数据”的4种犯罪,包含“信息”的4种犯罪,包含“信息网络”的3种犯罪,以及包含“计算机(信息)系统”的2种犯罪。③持第二种观点的学者认为,数据犯罪包括保护个人信息(个人数据)和一般数据的刑法规定。④持第三种观点的学者认为,数据犯罪是指以“数据为犯罪对象、严重侵害国家数据管理秩序”的犯罪行为。⑤持第四种观点的学者认为,数据犯罪是指“以数据为对象、侵害数据安全法益的非法获取、删除、修改、增加数据的行为”。⑥持第五种观点的学者认为,需要刑法保护的数据安全是“重要且相对独立的安全类型”,其中包括个体数据权益。⑦以上观点在数据犯罪的范围、侵犯的法益以及数据安全的内涵等方面存在分歧。笔者认为,即使是以上观点认可的数据犯罪立法,也没有为数据安全提供全面、充分的刑法保护,理由如下。 第一,不应将制作、提供、使用数据、证明、证件或其他材料的犯罪行为归为数据犯罪。第一种观点不符合《数据安全法》的规定。《数据安全法》确立了“数据安全”的内涵,受数据犯罪立法保护的对象应当是合法形成的数据。例如,妨害药品管理罪中的虚假数据、证明、资料等由行为人编造、提供,不受法律保护,也不存在合法利用的可能,该罪行为侵犯的是药品管理制度而非数据安全。以数据、证件、证明或其他承载数据的材料为对象的犯罪远远不止于《刑法》已规定的罪名,其侵犯的主要法益不是数据安全,其他危害公共数据并损害国家安全或公共利益的犯罪同样如此,不宜将其归类为数据犯罪。 第二,非法获取、提供或泄露国家秘密或情报、军事秘密、商业秘密、个人信息的犯罪立法不能全面保护数据安全。国家秘密或情报、军事秘密、商业秘密和个人信息的本质是信息,信息与数据既有关联也有区别。《数据安全法》将数据定义为“任何以电子或者其他方式对信息的记录”,数据的本质是记录,具有以下特性:(1)依附于介质的相对性与绝对性。数据必须由介质承载,同一数据可以由不同介质承载并能在多种介质之间转移;(2)物质与信息的二重性。数据是介质与符号的结合体,其特定的介质载体表明其物质性,其信息性则来源于符号所记录的信息。但是,数据不是信息本身,记录信息的符号才是数据;⑧(3)人造物属性和价值性。数据不是天然形成的,人类创造出符号并用来记录信息才产生数据,数据凝聚了人类劳动从而具有价值性,人类劳动的多少、质量以及其社会需求决定数据价值的大小。而信息是对客观世界中各种事物的运动状态和变化的反映,一般认为,信息是用来消除随机不确定性的东西,其与数据的区别至少有两点:(1)信息可以不依附于符号或介质。信息可以被记录下来形成数据,也可以被人类直接认识,不依赖于符号或介质载体;(2)信息具有非物质性和非人造性。信息不是物质,反映物质状态和变化的信息不是物质的组成部分。信息属于知识的范畴,无论是否被认识或记录,信息都客观存在,不依赖于人的认识和记录。总之,信息与数据分别属于知识与物质的范畴,二者并不相同。 保护特定信息的现行刑法规定不能全面保护数据安全。(1)刑罚保护的是前述数据的保密性,没有保护数据的完整性和可用性,不能处罚破坏数据等行为。(2)刑罚只保护前述特殊数据。国家秘密、军事秘密、商业秘密和个人信息是满足特定条件的信息,其他数据即使关联国家安全与利益、国防利益、商业利益或个人权益,或者属于《数据安全法》规定的国家核心数据或其他重要数据,也不受前述规定的保护。(3)刑罚保护的不是数据安全。前述刑法规定只保护国家安全、国防利益、社会主义市场经济秩序和商业秘密专有权、个人信息安全管理秩序和个人信息权益,⑨而数据安全不在前述规定的保护范围内。
