吳祈泫

（華東政法大學(xué)，上海 200333）

“當(dāng)世界開始邁向大數(shù)據(jù)時代時,社會也將會經(jīng)歷類似的地殼運(yùn)動?！盵1]新興技術(shù)革命推動數(shù)據(jù)產(chǎn)業(yè)蓬勃發(fā)展,數(shù)據(jù)的交互與應(yīng)用是計算機(jī)網(wǎng)絡(luò)平穩(wěn)運(yùn)行的基礎(chǔ),數(shù)據(jù)的挖掘和分析是各類信息碰撞融合服務(wù)于現(xiàn)實需求的前提。隨著數(shù)字化社會的到來,數(shù)據(jù)的價值日益凸顯。然而,機(jī)遇與挑戰(zhàn)并存,近年來各種數(shù)據(jù)竊取事件層出不窮。不法分子利用網(wǎng)絡(luò)爬蟲技術(shù)非法收集數(shù)據(jù)資料,通過傳播木馬程序盜取身份認(rèn)證數(shù)據(jù),借助非法軟件侵入系統(tǒng)獲取用戶數(shù)據(jù),相關(guān)技術(shù)犯罪的門檻有所降低,數(shù)據(jù)遭受侵犯的風(fēng)險與日俱增。關(guān)系個人人身財產(chǎn)權(quán)利、關(guān)乎企業(yè)競爭力與生產(chǎn)力、影響國家信息網(wǎng)絡(luò)安全的數(shù)據(jù),迫切呼喚制度層面的有效保護(hù)?！矮@取”是數(shù)據(jù)流通與資源共享的前提,也伴隨著一系列的法律風(fēng)險,在日益強(qiáng)調(diào)總體國家安全觀的當(dāng)下,數(shù)據(jù)犯罪不僅侵害數(shù)據(jù)本體,而且可能損害人身財產(chǎn)安全、知識產(chǎn)權(quán)安全、國家公共安全等法益,因此以主張風(fēng)險預(yù)防的積極主義刑法理念為指導(dǎo),通過刑事手段規(guī)制非法獲取數(shù)據(jù)的行為具有必要性與合理性。但是,自由和安全如刑法之兩翼,在打擊竊取數(shù)據(jù)行為的同時,亦不可忽視數(shù)據(jù)高效流動的重要意義,故應(yīng)在利益衡量的基礎(chǔ)上進(jìn)行法教義學(xué)闡釋,既合理規(guī)制非法獲取數(shù)據(jù)的行為,又鼓勵和促進(jìn)數(shù)字經(jīng)濟(jì)的健康發(fā)展。

一、實務(wù)樣本分析與問題提出

我國《刑法》第285條第二款規(guī)定了非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,對不正當(dāng)獲取數(shù)據(jù)的行為予以制裁。但是,隨著數(shù)據(jù)的互聯(lián)互通與廣泛應(yīng)用,其表征的權(quán)利客體愈加多樣,新型數(shù)據(jù)犯罪的手段和方式不斷演進(jìn),傳統(tǒng)犯罪也以數(shù)據(jù)為載體發(fā)生網(wǎng)絡(luò)異化,竊取數(shù)據(jù)行為侵害的法益更加多元,使得本罪的規(guī)制對象變得十分寬泛,并與其他犯罪交叉競合,出現(xiàn)“口袋化”的兜底適用傾向。

筆者以“非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪”為關(guān)鍵詞,在中國裁判文書網(wǎng)檢索得到近3年裁判文書290篇,剔除部分重復(fù)案件,最后對其中256個判決進(jìn)行整理分析。從規(guī)制的行為對象來看,獲取QQ、APP、郵箱、支付寶、游戲軟件等賬號密碼以及手機(jī)ID、攝像頭IP、網(wǎng)站管理權(quán)限等身份認(rèn)證信息的案件有100例,占39%;獲取游戲幣及道具的案件有68例,占27%;獲取企業(yè)內(nèi)部數(shù)據(jù)(該部分?jǐn)?shù)據(jù)包括汽車維修記錄、蘋果手機(jī)“工廠碼”、醫(yī)院統(tǒng)方、產(chǎn)品訂單、客戶信息、商品防偽碼、音像資料等具有重大價值的商業(yè)信息)的案件有44例,占17%;獲取虛擬貨幣(含比特幣)的案件有14例,占5.4%;獲取公民個人信息的案件有11例,占4.3%;獲取賬戶電子積分及卡券的案件有6例,占2.3%;獲取支付憑證的案件有4例,占1.5%;獲取手機(jī)靚號的案件有3例,占1.2%;獲取二維碼的案件有2例,占0.8%;獲取廣告、網(wǎng)址、流量等其他數(shù)據(jù)的案件有4例,占1.5%?？梢妼崉?wù)部門對“數(shù)據(jù)”的涵義并未形成統(tǒng)一的認(rèn)識。在實踐中,數(shù)據(jù)的涵攝范圍較廣,行為人實施竊取個人信息、技術(shù)資料、虛擬貨幣、優(yōu)惠券等行為,可能會同時落入侵犯公民個人信息罪、侵犯商業(yè)秘密罪、盜竊罪、破壞計算機(jī)信息系統(tǒng)罪等的評價范疇,導(dǎo)致新興數(shù)據(jù)犯罪與保護(hù)其他法益的傳統(tǒng)犯罪交叉雜糅。從對行為的定性來看,有20個案例將虛增平臺游戲幣、批量注冊網(wǎng)站賬號、植入廣告腳本的行為認(rèn)定為非法獲取數(shù)據(jù)。在司法機(jī)關(guān)看來,行為人利用系統(tǒng)漏洞反復(fù)充值虛擬幣進(jìn)行獲利、繞過驗證機(jī)制虛假申領(lǐng)賬號并出售、修改參數(shù)數(shù)據(jù)植入代碼發(fā)布廣告,其增加、修改數(shù)據(jù)的行為沒有對計算機(jī)系統(tǒng)的運(yùn)行造成嚴(yán)重干擾,不滿足破壞計算機(jī)信息系統(tǒng)罪的犯罪構(gòu)成;但此類行為與計算機(jī)數(shù)據(jù)存在關(guān)聯(lián),因此司法機(jī)關(guān)傾向于以非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪予以評價。然而行為人獲取的數(shù)據(jù)不是既已存在的,而是其在權(quán)利人系統(tǒng)中創(chuàng)設(shè)的,該類數(shù)據(jù)是否為非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的保護(hù)對象、此種行為是否符合“非法獲取”的內(nèi)涵,具有一定的爭議。

出現(xiàn)上述現(xiàn)象的原因在于:一方面,現(xiàn)行刑法缺乏對“數(shù)據(jù)”這一概念的規(guī)范性闡釋?！皵?shù)據(jù)”與“信息”存在內(nèi)容上的重疊,“數(shù)據(jù)”和“財產(chǎn)”呈現(xiàn)出價值上的趨同,非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的規(guī)制對象模糊,導(dǎo)致該罪與其他犯罪之間界限不清;另一方面,非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的保護(hù)法益尚不明晰。受相關(guān)司法解釋的影響,實務(wù)中司法機(jī)關(guān)主要將目光聚焦于非法獲取數(shù)據(jù)的違法所得或造成的經(jīng)濟(jì)損失而缺乏對不法行為本身的關(guān)注。行為人非法獲取數(shù)據(jù)侵害的法益究竟為何、將對非法獲取數(shù)據(jù)行為評價的落腳點放在財產(chǎn)利益的獲取上是否妥當(dāng),這些有待于進(jìn)一步的思考。

二、數(shù)據(jù)與數(shù)據(jù)安全法益之審思

數(shù)據(jù)以數(shù)字化的形式存在于網(wǎng)絡(luò)空間,具有技術(shù)屬性與社會屬性兩方面的特征,既可以作為代碼被計算機(jī)信息系統(tǒng)物理性地識別,也可以作為信息的載體被使用該系統(tǒng)的人社會化地識別[2]。數(shù)據(jù)這一一體兩面的特征,導(dǎo)致非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪與侵犯公民個人信息罪、侵犯商業(yè)秘密罪等信息犯罪之間界限模糊。同時,數(shù)據(jù)作為一種符號,還具有一定的價值屬性,新型數(shù)據(jù)犯罪與傳統(tǒng)財產(chǎn)犯罪之間存在交叉競合的現(xiàn)象。作為非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的犯罪對象,數(shù)據(jù)的概念與特征的準(zhǔn)確界定,是把握該罪規(guī)范性保護(hù)目的的起點,也是分析該罪所規(guī)制行為類型的前提,更是明確該罪與相關(guān)犯罪關(guān)系的基礎(chǔ)。

(一)數(shù)據(jù)的內(nèi)涵與外延

我國《刑法》并未直接規(guī)定何謂“數(shù)據(jù)”,對其含義的理解需要參考司法解釋及前置法的相關(guān)規(guī)定。2011年最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》認(rèn)為,數(shù)據(jù)包括賬號、口令、密碼、數(shù)字證書等用于確認(rèn)用戶在計算機(jī)信息系統(tǒng)上操作權(quán)限的身份認(rèn)證信息?！毒W(wǎng)絡(luò)安全法》指出:“網(wǎng)絡(luò)數(shù)據(jù)是通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)?！薄稊?shù)據(jù)安全法》規(guī)定:“數(shù)據(jù)是任何以電子或者其他方式對信息的記錄?！鄙鲜鲆?guī)范從不同的角度對數(shù)據(jù)進(jìn)行界定,均存在一定瑕疵。數(shù)據(jù)包括身份認(rèn)證信息,并不意味著等同于身份認(rèn)證信息,前述司法解釋通過列舉的方法說明了數(shù)據(jù)的一種表現(xiàn)形式,卻沒有規(guī)定數(shù)據(jù)的實質(zhì)含義?！毒W(wǎng)絡(luò)安全法》表明了數(shù)據(jù)的存在場合,突出全方位保護(hù)數(shù)據(jù)安全的理念,但其以電子數(shù)據(jù)解釋網(wǎng)絡(luò)數(shù)據(jù),循環(huán)論證導(dǎo)致語義不清?！稊?shù)據(jù)安全法》從數(shù)據(jù)與信息關(guān)系的角度對數(shù)據(jù)進(jìn)行界定,但對于數(shù)據(jù)自身的內(nèi)涵及特征缺乏充分的闡述,因此概念內(nèi)涵仍具有抽象性。

厘清數(shù)據(jù)的本質(zhì)特征需要回到計算機(jī)科學(xué)領(lǐng)域,在該領(lǐng)域中,數(shù)據(jù)是指能夠輸入到計算機(jī)信息系統(tǒng)并被程序處理的具有一定意義的數(shù)字、字母、符號等[3]。根據(jù)這一定義,數(shù)據(jù)是一種可以在計算機(jī)系統(tǒng)中運(yùn)行的電子代碼,遵循特定的程式規(guī)則,以運(yùn)算的方式完成操作指令。作為計算機(jī)語言,數(shù)據(jù)的獨特價值體現(xiàn)在其技術(shù)屬性上,數(shù)據(jù)的編程與還原是計算機(jī)系統(tǒng)高效運(yùn)轉(zhuǎn)的前提,數(shù)據(jù)的流動和使用是互聯(lián)網(wǎng)平臺得以構(gòu)建的基礎(chǔ)。例如,網(wǎng)絡(luò)平臺的賬號密碼作為用戶登錄的身份驗證碼,可以讓計算機(jī)系統(tǒng)通過對數(shù)據(jù)的認(rèn)證確定操作者的權(quán)限,防止非權(quán)利人不法侵入,從而維護(hù)系統(tǒng)的運(yùn)行安全。數(shù)據(jù)具有技術(shù)性,能夠被相關(guān)計算機(jī)系統(tǒng)識別與處理,但其又不僅是由0/1組合而成的數(shù)位資料,數(shù)據(jù)在交互與流動的過程中記錄并承載著一系列信息。數(shù)據(jù)的衍生特性體現(xiàn)在它與信息交織交融的關(guān)系上,即數(shù)據(jù)是信息的載體,通過數(shù)字化的手段存儲和表達(dá)著信息;信息是數(shù)據(jù)的內(nèi)容,與現(xiàn)實中的特定利益相聯(lián)結(jié)。例如,體現(xiàn)人身權(quán)益的公民個人信息、涉及商業(yè)秘密的企業(yè)技術(shù)信息、對應(yīng)財產(chǎn)性權(quán)利的虛擬信息等,都能以數(shù)據(jù)的形式呈現(xiàn),數(shù)據(jù)成為現(xiàn)實社會與網(wǎng)絡(luò)空間的連接點。由此觀之,數(shù)據(jù)的價值也體現(xiàn)在其社會屬性上,它能夠反映一定的信息,指向具備現(xiàn)實意義的客觀事物,具有表征人身、財產(chǎn)等權(quán)利的作用。在計算機(jī)網(wǎng)絡(luò)中,數(shù)據(jù)與各類信息相互關(guān)聯(lián),信息的流通離不開作為傳播媒介的數(shù)據(jù),對信息內(nèi)容的侵害也是借助操縱數(shù)據(jù)的行為來實現(xiàn)的,竊取數(shù)據(jù)的最終目的在于獲取相應(yīng)的社會性利益。因此,有學(xué)者根據(jù)符號層(代碼層)與內(nèi)容層(語義層)對數(shù)據(jù)進(jìn)行劃分,符號層指向以計算機(jī)編程技術(shù)為依托的二進(jìn)制符號,內(nèi)容層則為代碼承載的信息內(nèi)容,前者純粹隸屬于網(wǎng)絡(luò)空間,后者同現(xiàn)實社會產(chǎn)生聯(lián)系[4]。該觀點闡明了數(shù)據(jù)的雙重屬性:其一,作為網(wǎng)絡(luò)空間的代碼,數(shù)據(jù)的生成、傳輸與處理關(guān)系計算機(jī)信息系統(tǒng)的有效運(yùn)轉(zhuǎn),這一技術(shù)性特征是數(shù)據(jù)的本質(zhì)屬性,也是其核心價值所在;其二,作為現(xiàn)實物的網(wǎng)絡(luò)表現(xiàn)形式,數(shù)據(jù)記載著特定的內(nèi)容,表征著社會性的權(quán)利,這一社會化特征是數(shù)據(jù)的衍生屬性,體現(xiàn)了數(shù)據(jù)與傳統(tǒng)法益相融合而被賦予的社會價值。

基于以上分析,可以發(fā)現(xiàn)非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪保護(hù)的是數(shù)據(jù)本身的價值,指向數(shù)據(jù)能夠為權(quán)利人排他性占有、使用、收益、處分,能夠為計算機(jī)信息系統(tǒng)識別、存儲、傳輸、處理的特征。該罪通過對非法獲取數(shù)據(jù)行為的規(guī)制,保障相關(guān)數(shù)據(jù)免受非權(quán)利人的不法侵犯,使之處于穩(wěn)定、安全、可持續(xù)利用的狀態(tài),以有效發(fā)揮其技術(shù)功能,保障計算機(jī)系統(tǒng)的平穩(wěn)高效運(yùn)行。此處的數(shù)據(jù)與其社會屬性無關(guān),即無須對數(shù)據(jù)承載的信息進(jìn)行人為識別,也不關(guān)注數(shù)據(jù)在內(nèi)容層面的價值,即便是業(yè)已公開的信息,只要數(shù)據(jù)具有一定的技術(shù)價值就仍有可能落入本罪的評價范疇。

在全國首例爬蟲案中,行為人通過偽造身份及IP地址的方式,繞過服務(wù)器校驗及訪問頻率的限制,獲取網(wǎng)站中已公開視頻涉及的數(shù)據(jù),造成被害人技術(shù)服務(wù)費(fèi)的損失。法院認(rèn)為該行為構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪①參見北京市海淀區(qū)人民法院刑事判決書(2017)京0108刑初2384號。。此案一石激起千層浪,持否定觀點的學(xué)者表示,非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪保護(hù)的是數(shù)據(jù)信息內(nèi)容的秘密性,而在本案中法院采用“保護(hù)作為載體的數(shù)據(jù)”的認(rèn)定思路,會加大該罪的“口袋化”傾向[5]。筆者的觀點與之相反。數(shù)據(jù)與信息在內(nèi)涵上有所差異,信息公開不意味著數(shù)據(jù)共享,把本罪定位為對數(shù)據(jù)技術(shù)屬性的保護(hù),更能體現(xiàn)出保護(hù)數(shù)據(jù)自身價值的理念。在本案中,盡管視頻內(nèi)容對外公開,但存儲、處理、傳輸視頻的數(shù)據(jù)具有獨立的價值,權(quán)利人通過技術(shù)措施保護(hù)相關(guān)數(shù)據(jù)不被他人獲取與知悉,是維護(hù)其享有的數(shù)據(jù)權(quán)益的重要手段。即使特定的信息內(nèi)容被公開,作為信息載體的數(shù)據(jù)也仍具有秘密性,存在依據(jù)權(quán)利人意愿進(jìn)行保護(hù)的必要。因此,明確非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的犯罪對象,根據(jù)數(shù)據(jù)與信息的不同屬性采取分而治之的思路,能夠在信息公開傳播的同時保障數(shù)據(jù)的秘密性不受侵犯。

(二)數(shù)據(jù)安全法益的權(quán)利內(nèi)核

當(dāng)前數(shù)據(jù)風(fēng)險的防控受到社會的廣泛關(guān)注,相關(guān)立法不斷完善,法律保護(hù)的重點也從計算機(jī)系統(tǒng)、信息內(nèi)容逐步轉(zhuǎn)移到數(shù)據(jù)本身,從靜態(tài)的計算機(jī)安全轉(zhuǎn)移至動態(tài)的網(wǎng)絡(luò)運(yùn)行安全[6]。2021年6月《數(shù)據(jù)安全法》的出臺,更是將數(shù)據(jù)安全正式提升到國家安全的戰(zhàn)略高度。根據(jù)《數(shù)據(jù)安全法》的規(guī)定,數(shù)據(jù)安全是指數(shù)據(jù)處于有效保護(hù)和合法利用的持續(xù)安全狀態(tài),為此立法通過對非法獲取、不當(dāng)使用數(shù)據(jù)等行為的否定性評價,保障數(shù)據(jù)的秘密性、完整性及可利用性?？梢?數(shù)據(jù)安全具有“有效保護(hù)”與“合法利用”的雙重意蘊(yùn),在處理涉數(shù)據(jù)案件時,需要思考如何協(xié)調(diào)平衡二者的關(guān)系,劃定法律規(guī)制危害數(shù)據(jù)安全行為的合理邊界。

“法益是刑法建立刑罰正當(dāng)性的前提和特定行為入罪化的實質(zhì)標(biāo)準(zhǔn)。”[7]探尋非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的應(yīng)然面相,首先需要厘清本罪保護(hù)的法益。學(xué)界對此存在不同的認(rèn)識。有學(xué)者指出,竊取數(shù)據(jù)的行為侵犯了數(shù)據(jù)信息內(nèi)容的秘密性,非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪旨在維護(hù)未公開信息非經(jīng)授權(quán)不得任意獲取的公共秩序[8]。亦有學(xué)者認(rèn)為,該罪的法益具有復(fù)合性,包括計算機(jī)信息系統(tǒng)的管理秩序與系統(tǒng)內(nèi)數(shù)據(jù)的運(yùn)行安全[9]。非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪以違反相關(guān)前置性行政法律規(guī)范為前提,而《數(shù)據(jù)安全法》作為數(shù)據(jù)安全領(lǐng)域的基本法,其所確立的數(shù)據(jù)安全法益為理解與適用這一罪名提供了方向。

“數(shù)據(jù)安全”的概念是針對未經(jīng)授權(quán)泄露、修改、刪除、使用數(shù)據(jù)等行為的法律風(fēng)險提出的,旨在維護(hù)數(shù)據(jù)的秘密性、完整性和可利用性[10]。數(shù)據(jù)的秘密性要求采取一定的技術(shù)措施,確保數(shù)據(jù)免遭非法訪問、探知獲悉、不當(dāng)使用、擴(kuò)散公布等安全風(fēng)險。數(shù)據(jù)的完整性要求通過禁止刪增改等不法行為,使之能夠被完整地讀取并運(yùn)行,保持?jǐn)?shù)據(jù)的真實性與可靠性,保障權(quán)利人對數(shù)據(jù)的控制與支配權(quán)。數(shù)據(jù)的可利用性強(qiáng)調(diào)數(shù)據(jù)能夠被及時有效地獲取并使用,完成特定指令,發(fā)揮應(yīng)有功能,以保障計算機(jī)系統(tǒng)的持續(xù)平穩(wěn)運(yùn)轉(zhuǎn)。由此觀之,秘密性是數(shù)據(jù)安全法益的基礎(chǔ)和前提,數(shù)據(jù)主體對其所有的數(shù)據(jù)享有排他性的權(quán)利,未經(jīng)授權(quán)之人不得獲取相應(yīng)數(shù)據(jù);而可利用性則為數(shù)據(jù)安全法益的目標(biāo)和歸宿,保護(hù)數(shù)據(jù)安全究根到底是為了促進(jìn)數(shù)據(jù)的高效利用,實現(xiàn)數(shù)據(jù)的特有價值。

非法獲取數(shù)據(jù)的行為侵犯了數(shù)據(jù)安全法益之?dāng)?shù)據(jù)的秘密性與可利用性。其一,行為人未經(jīng)權(quán)利人許可,利用系統(tǒng)漏洞或是繞過保護(hù)權(quán)限非法訪問與秘密讀取數(shù)據(jù),是對數(shù)據(jù)的秘密性、排除他人非法干擾的安全與秩序價值的侵犯。例如,被告人反向編譯被害單位的“WiFi萬能鑰匙”手機(jī)APP軟件,利用其開發(fā)的模擬偽裝軟件,向該公司數(shù)據(jù)庫服務(wù)器發(fā)送請求信息,非法獲取從中返回的共享WiFi熱點密碼數(shù)據(jù)241萬組,供自己的軟件客戶使用①參見上海市長寧區(qū)人民法院刑事判決書(2016)滬0105刑初1027號。。熱點密碼等身份認(rèn)證數(shù)據(jù)具有確認(rèn)用戶操作權(quán)限的功能,被告人利用非法技術(shù)手段獲取上述數(shù)據(jù)的行為,破壞了數(shù)據(jù)的秘密性,導(dǎo)致權(quán)利人不再排他地支配相關(guān)數(shù)據(jù),任何持有這一賬號密碼的人皆可進(jìn)入特定系統(tǒng),原有的識別驗證功能不能得到有效發(fā)揮。被告人泄露歸屬于特定主體的秘密數(shù)據(jù),侵犯被害人的數(shù)據(jù)權(quán)益,造成了財產(chǎn)損失,應(yīng)當(dāng)構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。其二,行為人使用黑客技術(shù)入侵?jǐn)?shù)字貨幣交易網(wǎng)站,或者運(yùn)行木馬程序干擾網(wǎng)絡(luò)游戲后臺數(shù)據(jù)庫,盜取用戶虛擬貨幣、游戲道具等數(shù)據(jù)的,其行為將導(dǎo)致權(quán)利人無法繼續(xù)使用相關(guān)數(shù)據(jù),侵犯了數(shù)據(jù)的可利用性。這類數(shù)據(jù)具有特定的財產(chǎn)權(quán)屬性,非法獲取數(shù)據(jù)的行為侵害了權(quán)利人對數(shù)據(jù)排他性占有、使用、收益、處分的權(quán)利,導(dǎo)致權(quán)利人財產(chǎn)利益的減損,因此立法通過非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪對此類不法行為進(jìn)行規(guī)制,借助保護(hù)數(shù)據(jù)的可利用性實現(xiàn)對數(shù)據(jù)主體的財產(chǎn)性權(quán)益的保障。由此,以秘密性與可用性為核心的網(wǎng)絡(luò)數(shù)據(jù)安全與現(xiàn)實社會中的多元法益形成呼應(yīng)與聯(lián)動。

三、非法獲取數(shù)據(jù)行為的規(guī)制進(jìn)路

有學(xué)者將涉及數(shù)據(jù)的犯罪分為兩類,一是以數(shù)據(jù)為對象,侵犯數(shù)據(jù)安全法益的犯罪;二是以數(shù)據(jù)為媒介,侵犯人身財產(chǎn)法益的犯罪[11]。探索對竊取網(wǎng)絡(luò)數(shù)據(jù)行為的規(guī)制路徑,首先應(yīng)當(dāng)根據(jù)受損法益的性質(zhì),確定行為是否構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,其次需要甄別該數(shù)據(jù)有無表征其他權(quán)利,是否對應(yīng)信息類犯罪或財產(chǎn)類犯罪,最后再對罪數(shù)問題進(jìn)行判斷,以實現(xiàn)對行為的周延評價。

(一)數(shù)據(jù)安全法益下非法獲取數(shù)據(jù)行為的內(nèi)涵

基于法秩序統(tǒng)一原理,對于非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪之“非法”的理解,應(yīng)當(dāng)以相關(guān)前置法為依據(jù)?！稊?shù)據(jù)安全法》第32條規(guī)定:“任何組織、個人收集數(shù)據(jù),應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?不得竊取或者以其他非法方式獲取數(shù)據(jù)?！币詳?shù)據(jù)安全法益為立足點,明確此處“以合法、正當(dāng)?shù)姆绞将@取數(shù)據(jù)”的涵義是準(zhǔn)確適用本罪的基礎(chǔ)。

第一,行為之不法性體現(xiàn)在使用非法程序規(guī)避防御性技術(shù)手段以獲取保密數(shù)據(jù)的方式上。《網(wǎng)絡(luò)安全法》第27條指出:“任何個人和組織不得從事非法侵入他人網(wǎng)絡(luò)、干擾他人網(wǎng)絡(luò)正常功能、竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全的活動;不得提供專用于從事侵入、干擾網(wǎng)絡(luò)正常功能及防護(hù)措施、竊取網(wǎng)絡(luò)數(shù)據(jù)功能的程序、工具?！睘榫S護(hù)數(shù)據(jù)安全,權(quán)利主體通常會采取身份驗證、流量監(jiān)控、IP限制等技術(shù)措施,阻止數(shù)據(jù)爬取行為。而行為人明知特定的程序、工具具有明顯的違法性特征,仍利用其故意避開或者強(qiáng)行突破技術(shù)防護(hù)措施,違背了權(quán)利主體對相關(guān)數(shù)據(jù)的保護(hù)意愿,例如,利用“后門軟件”繞過權(quán)利人設(shè)置的安全防控措施,對系統(tǒng)數(shù)據(jù)進(jìn)行大規(guī)模抓取,或是借助“黑客軟件”破解平臺的身份驗證指令,登錄目標(biāo)系統(tǒng)以批量獲取數(shù)據(jù),抑或通過“釣魚鏈接”實現(xiàn)自動跳轉(zhuǎn),引誘計算機(jī)系統(tǒng)共享數(shù)據(jù)等。行為人主觀上存在利用非法技術(shù)實施不法行為的認(rèn)識,具備竊取限制他人訪問的機(jī)密數(shù)據(jù)的故意,客觀上采用技術(shù)手段規(guī)避計算機(jī)系統(tǒng)的反爬措施,僭入權(quán)利主體管理與控制的領(lǐng)域,其數(shù)據(jù)獲取行為違背權(quán)利人的意志,造成數(shù)據(jù)秘密性的喪失,侵犯了數(shù)據(jù)安全法益。

反之,若行為人利用系統(tǒng)本身的漏洞虛增數(shù)據(jù)并予以獲取的,則不宜納入本罪的評價范圍。例如,被告人發(fā)現(xiàn)某虛擬貨幣平臺存在系統(tǒng)漏洞,在輸入的轉(zhuǎn)賬數(shù)額前添加負(fù)號,賬戶即可增加相應(yīng)數(shù)額的虛擬貨幣,后其采用上述方法虛增虛擬貨幣并出售獲利①參見江蘇省靖江市人民法院刑事判決書(2018)蘇1282刑初663號。。法院認(rèn)為本案構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,但在筆者看來,該觀點有待商榷。行為人獲取的數(shù)據(jù)并非系統(tǒng)中業(yè)已存在的,而是其利用平臺漏洞創(chuàng)設(shè)的,這一新增數(shù)據(jù)的行為沒有破壞原始數(shù)據(jù)的秘密性與可用性,并未侵害該罪保護(hù)的數(shù)據(jù)安全法益。同時,計算機(jī)系統(tǒng)的程序漏洞并非由行為人制造,權(quán)利人沒有充分履行數(shù)據(jù)安全保障義務(wù),具有一定的過錯,因此對此類案件的定性應(yīng)當(dāng)審慎。

第二,數(shù)據(jù)獲取行為僅僅違反爬蟲協(xié)議等數(shù)據(jù)行業(yè)秩序規(guī)則的,不應(yīng)納入非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的評價范圍。爬蟲協(xié)議是國內(nèi)外互聯(lián)網(wǎng)行業(yè)普遍認(rèn)可與遵循的防控數(shù)據(jù)竊取行為的技術(shù)性規(guī)范,數(shù)據(jù)所有者通過設(shè)置Robots.txt文本文件,提示網(wǎng)絡(luò)機(jī)器人哪些網(wǎng)頁不應(yīng)被抓取,而未被該協(xié)議排除的數(shù)據(jù)即為可以公開獲取的網(wǎng)絡(luò)數(shù)據(jù)[12]。誠然,爬蟲協(xié)議反映了權(quán)利人對于數(shù)據(jù)獲取范圍以及數(shù)據(jù)能否流動的設(shè)定,可以作為判定不正當(dāng)獲取行為的參照。但是,如果權(quán)利主體對相關(guān)數(shù)據(jù)爬取行為僅做出宣示性反對,并未采取合理有效的防范措施,則此類爬蟲協(xié)議在性質(zhì)上屬于被訪問網(wǎng)站或平臺的單方面聲明,不宜將其作為判斷非法獲取行為的標(biāo)準(zhǔn),否則將過度擴(kuò)張本罪的邊界。

刑事規(guī)范具有保障法的性質(zhì),應(yīng)當(dāng)充分體現(xiàn)謙抑性思想,違背或超越數(shù)據(jù)主體單方意思表示的數(shù)據(jù)抓取行為,違反了誠實守信原則和公認(rèn)的商業(yè)道德,與違約行為具有相當(dāng)性,可以通過民事手段加以規(guī)制。網(wǎng)站平臺通過數(shù)據(jù)使用條款告知訪問者允許或者禁止獲取的數(shù)據(jù)范圍,是披著契約外衣的“私立性規(guī)則”,不具有技術(shù)上的強(qiáng)制作用[13]。未經(jīng)權(quán)利人授權(quán)許可的數(shù)據(jù)爬取行為,具有明顯的悖德屬性,數(shù)據(jù)主體可以通過違約訴訟等方式維護(hù)其自身權(quán)利。因此,對于非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪中“非法”的判斷應(yīng)采用相對嚴(yán)格的標(biāo)準(zhǔn)。倘若以平臺依據(jù)自身意愿設(shè)定的數(shù)據(jù)抓取權(quán)限來確定某一行為是否屬于刑事違法,則實際上是將數(shù)據(jù)犯罪入罪標(biāo)準(zhǔn)的界定權(quán)限授予數(shù)據(jù)主體,這無疑會使網(wǎng)絡(luò)用戶面臨較大的自由侵犯風(fēng)險,同時也會阻礙數(shù)據(jù)流通,加劇數(shù)據(jù)壟斷,于數(shù)字經(jīng)濟(jì)的發(fā)展不利。

(二)以數(shù)據(jù)為媒介侵犯其他法益行為的規(guī)制

數(shù)據(jù)不僅可以以數(shù)字化的形式存在于計算機(jī)信息系統(tǒng)中,為該系統(tǒng)所物理性地識別[1],還可以記錄一定的信息,指向特定的內(nèi)容,與各種社會利益相聯(lián)結(jié)。數(shù)據(jù)與其背后社會化權(quán)利的交織交融,導(dǎo)致純正的數(shù)據(jù)犯罪與侵犯傳統(tǒng)法益的犯罪之間的關(guān)系錯綜復(fù)雜。竊取網(wǎng)絡(luò)數(shù)據(jù)的行為不僅觸犯非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪,還可能觸犯相關(guān)信息犯罪。數(shù)據(jù)作為信息的載體,其承載的內(nèi)容不同,表征的法益也就存在差異,在實踐中應(yīng)當(dāng)根據(jù)數(shù)據(jù)的內(nèi)容進(jìn)行法益識別,從而準(zhǔn)確確定行為的性質(zhì):當(dāng)數(shù)據(jù)承載的信息能夠識別特定自然人身份、與公民人格權(quán)直接關(guān)聯(lián)時,可能成立侵犯公民個人信息罪;當(dāng)數(shù)據(jù)承載的是具有秘密性與價值性的企業(yè)技術(shù)信息或經(jīng)營信息時,可能構(gòu)成侵犯商業(yè)秘密罪;當(dāng)數(shù)據(jù)承載的是國家秘密、軍事秘密等涉及國家安全、國防利益的信息時,則可能成立非法獲取國家秘密罪或非法獲取軍事秘密罪?？梢?根據(jù)信息表征的利益的不同,我國刑法設(shè)立了不同的罪名,對不同的信息予以差別化的保護(hù)。

在數(shù)字信息時代,越來越多的信息以數(shù)據(jù)的形式被存儲、使用、傳遞與共享,數(shù)據(jù)對各類法益的包容性愈加明顯[14],對于竊取數(shù)據(jù)的行為,需要根據(jù)犯罪對象的法益屬性來確定應(yīng)當(dāng)適用的具體罪名。非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪旨在維護(hù)數(shù)據(jù)本身的秘密性與可用性,使數(shù)據(jù)能夠為計算機(jī)系統(tǒng)有效識別與穩(wěn)定存儲,持續(xù)發(fā)揮其在傳輸、處理信息方面的功能,故本罪的保護(hù)對象僅為數(shù)據(jù)之本體,與數(shù)據(jù)承載的信息內(nèi)容無關(guān)。不過,數(shù)據(jù)犯罪與信息犯罪并不是非此即彼的排斥關(guān)系,當(dāng)竊取行為在侵犯以秘密性、完整性及可利用性為核心的數(shù)據(jù)本體之安全的同時也破壞了受刑法保護(hù)的、作為數(shù)據(jù)內(nèi)容的信息之秘密性時,則宜通過想象競合、牽連犯、數(shù)罪并罰等方式加以歸責(zé),以避免對不法行為的評價遺漏。

四、余論

人類已經(jīng)進(jìn)入以網(wǎng)絡(luò)化、智能化為特征的數(shù)字社會,各種各樣的信息通過數(shù)字化的形式被收集、記錄、存儲與處理,網(wǎng)絡(luò)數(shù)據(jù)的使用價值與商業(yè)價值日益顯現(xiàn),與此同時網(wǎng)絡(luò)數(shù)據(jù)受到侵害的風(fēng)險也急劇上升,借助新興技術(shù)大規(guī)模挖掘與獲取數(shù)據(jù)的行為屢見不鮮,數(shù)據(jù)主體的相關(guān)權(quán)利屢遭侵犯,數(shù)據(jù)安全的重要性與日俱增。伴隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》的相繼亮相,我國建立了保護(hù)網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)本體和信息內(nèi)容的法律體系,體現(xiàn)出維護(hù)靜態(tài)的計算機(jī)網(wǎng)絡(luò)安全與保障動態(tài)的數(shù)據(jù)運(yùn)行安全并舉的傾向。結(jié)合前置法的規(guī)范作用,刑法應(yīng)將維護(hù)權(quán)利人的數(shù)據(jù)權(quán)益放在重要位置,通過禁止非法的數(shù)據(jù)收集與使用行為,保證數(shù)據(jù)的秘密性與可用性。然而,在當(dāng)下司法實踐中,仍存在將數(shù)據(jù)犯罪與信息犯罪混同、把非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪視作信息犯罪的兜底罪名加以適用的現(xiàn)象,這一做法模糊了數(shù)據(jù)與信息的邊界,忽視了數(shù)據(jù)法益的獨立價值,不能滿足數(shù)字經(jīng)濟(jì)的發(fā)展需求。

因此,對于非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的理解,應(yīng)根據(jù)網(wǎng)絡(luò)社會的新特征,以數(shù)據(jù)的本質(zhì)屬性為支點,以數(shù)據(jù)安全法益為核心,加強(qiáng)對數(shù)據(jù)主體的合法權(quán)利的保護(hù)。當(dāng)竊取數(shù)據(jù)的行為侵犯數(shù)據(jù)背后的社會性利益時,則應(yīng)適用刑法規(guī)定的其他信息犯罪罪名加以懲處。數(shù)據(jù)犯罪與信息犯罪并存的規(guī)制思路能夠有效避免刑法評價的遺漏,更加周延地防范非法獲取行為的社會危害。同時,在劃定自由與安全的邊界時,刑法亦應(yīng)保持其謙抑性。為了促進(jìn)數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展,需要將風(fēng)險防控與開發(fā)利用相協(xié)調(diào),守好刑法作為保障法的底線,警惕一味擴(kuò)大數(shù)據(jù)犯罪包圍圈的傾向。在數(shù)據(jù)犯罪的治理過程中,可以積極引入刑事合規(guī)制度:一方面發(fā)揮數(shù)據(jù)合規(guī)的激勵作用,提示企業(yè)數(shù)據(jù)犯罪的風(fēng)險,明確正當(dāng)獲取與合理使用行為的邊界,促使其依法依規(guī)開展數(shù)據(jù)收集與處理活動,推動企業(yè)持續(xù)健康發(fā)展;另一方面擴(kuò)大數(shù)據(jù)合規(guī)對企業(yè)數(shù)據(jù)安全保障工作的制度支撐,在數(shù)據(jù)運(yùn)行的各階段采取全方位的風(fēng)險預(yù)防與隱患排除措施,以完善的體制機(jī)制作為“防火墻”,降低企業(yè)內(nèi)部數(shù)據(jù)遭受侵害的風(fēng)險,進(jìn)而增強(qiáng)其市場競爭力。因此,有效的數(shù)據(jù)合規(guī)計劃可以將企業(yè)內(nèi)部預(yù)防與國家外部監(jiān)管結(jié)合起來,激活企業(yè)的自我監(jiān)管機(jī)制,提升其識別、防范、應(yīng)對數(shù)據(jù)犯罪的水平,實現(xiàn)對數(shù)據(jù)的體系性、全方位、統(tǒng)籌化保護(hù)。