陈帅
上海市闵行区人民法院法官助理,上海互联网司法研究中心兼职研究员
温雅璐
上海铁路运输检察院三级检察官,上海互联网司法研究中心兼职研究员
要目
一、数据犯罪司法评价的现实挑战与实践困境
二、数据犯罪司法评价困境溯源分析:基于前置法衔接视角
三、数据安全刑法保护与前置性立法衔接之路径
数据犯罪司法评价面临对象多样、手段升级、法益重合的现实挑战,在定性量刑中出现逻辑混乱、标准不明等问题,根源在于刑法规范供给不足,与以数据安全法为代表的前置性法律衔接不畅。在数据安全立法快速发展的今天,刑法先行的保护思路难以适应数据前置性立法理念,刑法数据框架设计不足难以衔接分类分级管理制度,计算机信息系统犯罪依赖型立法模式亦难以嵌入数据治理体系。应当通过修订司法解释拓宽现有罪名适用空间,区分数据类型建构数据规模与犯罪后果相结合的入罪标准,对罪状中“后果严重”“情节严重”作规范阐释,并在罪名选择时运用实质解释方法,以全面评价取代“从一重”原则,对犯罪侵犯的法益作出规范识别。
加快推进数字化转型是我国“十四五”时期建设网络强国、数字中国的重要战略任务,以人工智能、区块链、云计算、大数据等技术为行业底层技术驱动的数字化发展趋势已不可阻挡。其中,对数据信息的处理和应用是数字化转型最为核心的要素,是数字化转型基础性、战略性资源。一些以数据为对象或媒介实施的犯罪行为屡屡发生,但是,由于刑法及相关司法解释对数据犯罪的规范供给不足,与以数据安全法为代表的数据安全前置性立法难以衔接。如何弥补规范衔接瑕疵,在促进数据流动与保护数据权利之间实现平衡,需要从司法实践现状出发加以研究。
一、数据犯罪司法评价的现实挑战与实践困境
数据与数据犯罪范畴之框定
1.数据的基本概念与特征
2017年6月施行的网络安全法规定,网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。2021年9月施行的数据安全法将数据定义为“任何以电子或者其他方式对信息的记录”。网络安全法要求维护网络数据的完整性、保密性和可用性,即与国际通用规则保持一致,将保密性(confidentiality)、完整性(integrity)和可用性(availability)作为数据的特征,数据安全的实现即是通过保护数据三个特征实现——通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
2.数据与信息的关系诠释
数据是信息的载体,在静态状态下,数据仅是对特定的符号的排列组合,只有经过数据处理行为,才能转化为有具体内容的信息,相同数据在不同的数据处理行为和目的下,能够得到的信息内容亦存在差异。“信息所包含内容及内容指向的具体法益是确定的,而数据通过处理获得的内容,以及内容指向的具体法益并不确定,而是一种抽象的法益可能性。”如何处理信息保护与数据保护的关系在法律上需要厘清。我国主要通过2021年11月施行的个人信息保护法保护个人信息权益。个人信息保护法将个人信息的范畴确定为“以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息”。从司法实践来看,数据与信息更近似于包容与被包容关系。常见的定罪思路是先通过技术手段对涉案数据进行提取,判断数据是否可识别为为个人信息,如含有个人信息则构成侵犯公民个人信息罪,否则再考虑以危害数据权益适用其他罪名。
3.数据犯罪的广义范畴认定
如何定义数据犯罪,理论界一直存在多种不同观点。绝大多数观点认为广义的数据犯罪主要包括两种类型,一种是以数据为媒介、工具侵犯传统法益的犯罪,通过对数据载体的侵害来完成侵犯传统法益的犯罪行为,是传统犯罪的数字化异化;另一种是以数据为对象侵害数据安全新生法益的犯罪,是随着数字化技术发展而产生的应对全新法益保护需求的犯罪类型。持狭义说的观点认为,数据犯罪应当排除侵犯传统法益的犯罪,只包括以数据为对象侵犯数据安全的犯罪。笔者认为,研究数据犯罪无法将传统法益犯罪完全剥离,割裂数据安全法益与传统法益的关系,以数据为工具实施盗窃、诈骗行为的犯罪对数据安全同样造成危害,只是在对数据造成直接侵害的同时所要实现的犯罪目不同。因此,总体而言,数据犯罪应当包括以利用计算机、网络为逻辑起点,以数据为侵害对象,所有对数据进行增加、删除、修改等行为从而威胁数据安全的独立行为类别。
数据犯罪司法评价的现实挑战
通过梳理司法实践的案例,可以看到,近几年来,数据犯罪呈现如下几方面特点,为刑事审判工作带来全新挑战。
1.犯罪对象涉及广泛
近几年来数据犯罪中被侵害的数据包罗万象。在数据类型方面,个人信息数据占比最大,其他无法识别为个人信息的数据主要包括医院处方数据、快递运单中的非公民个人信息数据(如底单文件记录、网点用户账号密码)、苹果手机维修案例、用户sid登录数据、直播流量数据等。在数据公共性方面,企业内部管理数据占多数,也出现修改、删除住建委、市场监管局、公安机关等国家机关数据牟取利益的犯罪行为。在涉及行业方面,物流、地产领域已成为数据泄露、侵权行为的重灾区,已经囊括超过半数的数据犯罪行为。针对不同类型的数据造成犯罪结果差异巨大,行为人获利情况和造成经济损失情况呈现两级分化,从万元左右到数千万元不等。
2.犯罪手法不断升级
传统的数据犯罪手法集中在侵犯公民个人信息类案件,绝大多数行为人并不改变数据形态,只进行复制后转卖。随着犯罪技术的不断更新换代,行为人以数据为对象,通过对数据的增加、删除、修改实施犯罪——对网络设施或计算机信息系统上存储、处理和传输的数据进行增删和干扰,通过这些行为危害个人、社会、国家多个层面的安全。受制于信息网络犯罪专业知识的缺乏,部分司法工作人员在查明事实过程中缺乏精细化思维,难以准确还原数据法益被侵害的具体过程。例如,在非法获取计算机信息系统数据、侵犯公民个人信息等类型案件中,由于认定犯罪主要判断犯罪对象是否符合刑法构成要件,即是否属于个人信息或数据,部分裁判文书只写明行为人非法获取个人信息或数据的数量和大概内容,数据保存状态、侵入计算机信息系统的具体方式、获取数据后对数据的处理过程等方面内容均无法在经审理查明的事实中得到全面展现。经审理认定的事实的相对粗疏,将对后续司法评价产生不利影响。
3.侵犯法益交叉重合
司法实践中,行为人直接将未加工的数据信息进行倒卖牟取利益,或加工修改后侵犯传统财产法益行为人在获取数据后采取的处理行为各不相同。以非法获取快递单号行为为例,部分行为人从快递公司服务器非法获取回收后没有经过站点扫描、没有被使用的单号再打印成面单正常使用,以此套取快递公司运费;部分行为人将获取的快递单号用于刷单,或通过虚假交易骗取平台补贴款,或虚构交易从事洗钱活动,成为网络黑灰产业链条的重要环节。在行为人对数据实施同样的侵害行为时,如犯罪目不同,最终侵害的法益就会有所区别,呈现数据犯罪征表下传统法益与新型法益共存的状态。一些法益可以为刑法规定类型化涵盖,如财产法益、商业秘密法益、个人信息法益等,不为刑法所类型化数据安全法益的独立价值也愈发受到理论界和实务界的重视,同一犯罪行为下这些法益可能存在交叉与重合。“司法人员依据自身在社会生活中获取的经验,对数据的理解更多基于与现实生活的对照,而不仅仅将其看作计算机信息系统的运算和管理对象,所以与传统法益相互重合成为必然。”如何从纷繁复杂的事实中准确识别法益进而认定犯罪行为的性质,是实务部门需要面临的挑战。
数据犯罪司法评价的实践困境
1.定性混乱缺乏统一适用逻辑
司法实践中,数据犯罪因侵害的法益存在交叉和重合,使得法律适用过程中的罪名选择较为混乱。计算机信息系统犯罪是惩治危害数据安全行为的重要罪名,在罪状中规定了删除、修改、增加数据的破坏计算机信息系统罪逐步沦为惩治数据犯罪的“口袋罪”。因破坏计算机信息系统罪加重情节的法定刑为五年以上有期徒刑,一般侵犯财产法益犯罪的量刑档次以三年为划分,在同样第二档次量刑时,破坏计算机信息系统犯罪的法定刑就高于侵犯财产类犯罪,导致大量案件依照“牵连犯从一重”原则被认定为破坏计算机信息系统罪。而在部分法院的判决中,在无法查明行为人侵害的类型化法益的具体数额,或行为人犯罪目的无法实现时,如行为已经达到计算机信息系统犯罪行为的入罪标准,则直接以手段行为定罪。
定性混乱还表现在非法获取计算机信息系统数据罪与侵犯传统法益罪名适用混乱。2012年《最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》要求将利用计算机窃取他人游戏币非法销售获利行为以非法获取计算机信息系统数据罪定罪处罚。很多法院适用该条规定将非法获取计算机信息系统罪作为盗窃虚拟财产行为的首选罪名。随着信息技术的发展,犯罪分子技术手段也在花样翻新,盗窃虚拟财产的范围已经远不限于游戏币,而扩展至虚拟货币、游戏装备等。近几年来,对该类型案件行为人判处盗窃罪、诈骗罪侵犯财产犯罪的判决逐渐增多。但是,侦、检、审三方仍未达成统一意见,相当数量的案件侦查机关以非法获取计算机信息系统罪刑事拘留后,被公诉机关改为盗窃罪或诈骗罪逮捕并审查起诉,或公诉机关以非法获取计算机信息系统罪提起公诉后,最终被法院改为盗窃罪或诈骗罪。法院判决时根据手段不同,将部分案件认定为非法获取计算机信息系统数据罪、破坏计算机信息系统罪等计算机信息系统罪名。
2.罪量标准不当导致罪刑罚不相适应
一方面,罪刑不相适应的情况的根源在于对同一行为的定性差异巨大,计算机信息系统犯罪和侵犯公民个人信息犯罪的量刑标准普遍低于侵犯财产法益犯罪,行为性质的不同直接决定所在量刑档次。例如对于同样通过修改、增加数据实现侵犯他人财产权益目的的犯罪行为,如认定为非法获取计算机信息系统数据罪,则最高档次仅为三年至十年有期徒刑,司法实践中绝大多数量刑均在三年至四年有期徒刑;而如认定为盗窃罪或诈骗罪,则最高可能判处十年以上有期徒刑或者无期徒刑。另一方面,量刑不当则体现在罪量评价标准混乱。以非法获取计算机信息系统数据罪为例,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机解释》)规定的非法获取计算机信息系统数据罪入罪考量因素包括身份认证信息、计算机信息系统台数、违法所得数额、造成经济损失数额等。在同一量刑档次下,如何处理各评价标准的顺位关系缺乏判断依据。还需要注意的是,数据犯罪总体缓刑适用率远高于传统法益犯罪,不同量刑档次缓刑适用差异较大,三年以上有期徒刑案件缓刑适用率较高,三年以下有期徒刑案件因刑期较短,缓刑适用较少。从本质来看,法官内心认为计算信息系统犯罪行为社会危害性相对较低,行为人中初犯、偶犯、有正规职业的人员居多,如径行判处三年以上有期徒刑实刑量刑过重,通过适用缓刑实现罪刑相适用。
二、数据犯罪司法评价困境溯源分析:基于前置法衔接视角
刑法先行的保护思路难以适应数据前置性立法理念
1.刑法保护先行的立法思路回溯
我国刑法和司法解释中数据安全犯罪的处置规则可概括为两种路径:一是基于数据的本质属性、将其作为信息以非物权形式加以保护;一是依据数据的技术特性、将其作为计算机系统的内在组成部分加以保护。1997年刑法设置了非法侵入计算机信息系统罪和破坏计算机信息系统罪两罪名,采取了设备、计算、数据三位一体模式,以计算能力为主要视角、兼有物理设备隐形视角、不彻底数据视角的混合模式,数据犯罪及其保护法益的独立地位并不显见。刑法修正案(七)增设了非法获取计算机信息系统数据等四个罪名,成为首个单独以数据为对象的罪名。在司法解释方面,《计算机解释》是认定计算机信息系统犯罪的重要法律渊源,但是因该解释颁布时间为2011年9月,距今也已有11年之久总体而言,数据犯罪相关立法整体立法时间较早,且缺乏较为统一的立法理念和框架,当今社会环境与网络环境与罪名设置、司法解释颁布当时已经发生了巨大变化,在指导司法实践中出现诸多问题。
2.数据法治体系的立法进程追踪
网络安全法开启了网络安全立法进程,要求维护网络数据的完整性、保密性和可用性,将数据安全写入法律。数据安全法赋予了数据独立的法律保护地位,对数据安全制度、保护义务、法律责任等方面作出具体规定。各省市也随之出台具体实施细则,上海市数据条例、深圳经济特区就是其中的典型代表。与此同时,数据权益竞争纠纷与日俱增,逐渐成为数据法益救济的重要路径。同世界各国对数据的法律规定一样,我国尚未对数据的权利归属与利益分配作出明确规定。民法典第127条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。该规定属于宣示性规定,无法直接指引法律适用,数据权利如何定义、数据权益如何划分尚无具体规定。数据安全法第51条对危害数据权益行为的法律责任作出规定,但属于转介规定,并未明确处罚依据的是哪些法律和行政法规,司法实践中,法官一般通过反不正当竞争法第2条经营者义务的原则性规定来判断数据不当获取、使用等行为是否属于不正当竞争。总体来看,数据安全前置性立法进程不断加速,数据安全法治体系尚在构建,数据安全法承载的立法理念既要求对数据权益的保护,也包含对数据合理流通的促进,需要法治安全与发展价值之间寻找平衡点。
3.先刑后行的立法模式违反“二次违法”理念
二次违法理论是我国刑法与其他部门法关系的重要理论,对于法定犯来说,构成犯罪应当以行为具有前置性法律违法性为前提。在整个法律体系中,前置法和刑法分兵把守,前置法处于第一道防线,因术业专攻,成为违法性行为检测的先遣队;刑法处在第二道防线上,因其触角广泛、惩罚严酷、发动成本高昂,成为处置违法行为的“战略预备队”。数据犯罪是典型的法定犯,刑法中计算机信息系统犯罪均以“违反国家规定”为前提,刑法与前置性法律的衔接尤为重要。在立法理念上,数据安全法从法秩序统一性角度看,在对某种数据(信息)处理活动所涉及的法益识别过程中,应当将不同的立法参照系都纳入视野范围,加以对比和衡量,根据法益保护内容的重要性程度,选择其中一部法律法规作为主要参照系,其他相关法律法规及行业规范则作为补充。遗憾的是,“数字法治理论统筹的缺失使得现有规则在多重价值均衡上存在缺陷,早先各个部门法的立法探索在先后顺序与规制重点上存在差异,导致彼此之间存在规则冲突。”
刑法数据框架设计不足难以衔接分类分级管理制度
1.数据范围界定过于狭窄
根据《计算机解释》规定,非法获取计算机信息系统数据中“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上”“获取第(一)项以外的身份认证信息五百组以上的”认定为情节严重。也就是说,该解释将非法获取计算机信息系统数据中的“数据”的范围限制为身份认证信息,但也作了“其他情节严重的情形”的兜底规定。实践中,被侵害的数据已经远远超出身份认证信息的范围,但是对于非身份认证信息的数据入罪及情节严重标准如何确定,还需要作进一步的规定。数据的内涵是否具有限制,是否要求数额如何确定,均需要作出进一步明确规定。
2.数据类型缺乏梯度划分
立法者并未根据数据的类型不同规定不同罪名或不同起刑标准,这就与数据安全法及相关指引建立的数据分级分类管理制度难以衔接。数据安全法最早作出我国建立数据分级分类保护制度的总体要求。全国信息安全标准化技术委员会2021年12月发布了《网络安全标准实践指南——网络数据分类分级指引》(vl.0-202112)(以下简称《分类分级指引》),规定数据分类分级的对象通常是数据项、数据集,将数据分为核心、重要、一般三种类型,并根据对个人合法权益和组织合法权益的影响程度将一级数据规定了四种安全级别。因数据特有的地域性和行业性特征,数据分类分级管理依托于各行业制定具体指引规范,重要数据的识别必须根据行业划分不同标准。目前金融、电信等数据保护的重点领域已经制定相关标准,数据分类分级工作成为大型企业建立数据合规制度的重要基础。数据安全法之所以区分类别,因侵害这三类数据造成的危害后果是远不相同。“根据数据类型特点、数据级别高低确定对数据应当采取的技术手段和管理措施,能够很好地实现数据安全与充分利用的有效平衡。”法律对三种数据不同的保护力度应当在刑法或者司法解释中予以体现。
3.数据犯罪入罪门槛设置过低
相比于现如今计算机信息系统犯罪的普遍化和多样化,《计算机解释》颁布之时,计算机信息系统犯罪还处于初步发展阶段,无论是犯罪涉及范围、造成损失情况、违法所得数额等方面都相对较小。这就导致了《计算机解释》中所有计算机信息系统犯罪的入罪门槛都相当低。以非法获取计算机信息系统数据罪的入罪标准为例,在信息数据数量上,《计算机解释》要求获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上或其他身份认证信息五百组以上。然而司法实践中,几乎各类载体记载的数据条数都不可能仅为数十条,案件中行为人非法获取的数据少则数千条、多则数十万、百万条,远远超出入罪标准。
而对于另一个惩治数据犯罪的重要罪名——破坏计算机信息系统罪,《计算机解释》完全回避了行为人删除、修改、增加数据的数量规定,仅规定“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”,将行为危害程度直接与涉及的计算机信息系统数量相挂钩。然而司法实践中,行为人对数据进行删除、修改、增加时只会针对一台计算机信息系统中存储、处理或运输的数据实施,行为人针对的对象并非是计算机信息系统,而是数据本身。司法机关在认定破坏计算机信息罪时,实际上均是以第3项中违法所得或造成经济损失数额作为入罪标准,其他规定均已属于虚置条款。
计算机信息系统犯罪依赖型立法难以嵌入数据治理体系
1.计算机信息系统依赖型立法惩治范围受限
从现实需求来看,数据保护已经不能仅依托于计算机信息系统犯罪进行,行为人目标数据广泛存储于数据库、大数据平台、组件、云、网络流量源等。数据安全法及相关规范也均从数据本身出发,直接对数据处理活动作出规制。与之相对的是,我国的计算机信息系统犯罪则立法不是以信息内容安全为中心,是以技术限定性为中心,甚至某种程度上,技术限定性被继续限定在特定系统的应用目标和应用主体上,信息内容安全价值就难以得到体现。计算机信息系统依赖型的立法模式,也使得侵犯计算机信息系统安全法益与传统法益交叉时,分别以手段行为和目的行为定罪会出现量刑倒挂情况,破坏计算机信息系统罪适用泛化。
部分手段行为与目的行为的社会危害性判断之所以存在手段行为大于目的行为的情况,在于刑事立法过程中难以避免的立法“原罪”。首先,手段行为与目的行为一般规定在刑法不同章节,分别以所在章节规定的法益评价具体行为的社会危害性时难以衡量两罪名的孰轻孰重。其次,无论是1997年刑法直接规定的罪名,还是刑法修正案增设、修改的罪名,单一罪名在立法过程中,考虑法定刑设置的参照系往往是侵犯同一法益类型的罪名,以法定刑设置拉开罪名之间的梯度。如破坏计算机信息系统罪第二档次量刑在五年以上,其原因在于破坏计算机信息系统犯罪将造成计算机信息系统不能正常运行,行为危害性大于同章节其他罪名如非法控制计算机信息系统罪。最后,司法解释及各地区法院内部规定存在不合理之处。根据立法原理,为了保持立法的稳定性,罪名的罪量因素如犯罪金额、侵犯对象的个数应当尽可能的规定在司法解释当中,对于没有司法解释的,各地区可以用内部指导性意见统一量刑,这就导致各个罪名入罪门槛分开规定无法形成参照,有些司法解释或内部规定年代久远,与实践已经不相适应。
2.计算机信息系统犯罪罪名层次不清
立法者根据行为人对计算机信息系统实施行为和对象不同,分别规定了非法侵入计算机信息系统罪、非法控制计算机信息系统罪和破坏计算机信息系统罪。从对象来看,对于国家事务、国防建设、尖端科学技术领域的计算机信息系统保护力度最大,只要是非法侵入行为即构成犯罪。在犯罪手段方面,刑法规定,对于非法获取计算机信息系统中存储、处理或者运输的数据的行为,认定为非法获取计算机信息系统数据罪,违反国家规定,对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作,后果严重的,认定为破坏计算机信息系统犯罪。一直以来,对于第286条第2款中删、修、增数据和应用程序的操作,是否要求达到第1款规定的“造成计算机信息系统不能正常运行”的严重后果后果,理论界和实务界一直存在不同意见,多数意见认为从体系解释出发,删、修、增计算机信息系统功能的行为的危害性并不低于针对数据和应用程序的危害行为,应当与第1款保持一致,达到造成计算机信息系统不能正常运行的程度。但是这也就带来一个问题,如果未造成计算机信息系统不能正常运行,行为是否构成犯罪。如果单纯获取数据就构成犯罪,那么对数据的增加、删除、修改的行为显然对计算机信息系统造成的危害程度更大,如果此时不构成犯罪,就会明显出现罪刑失衡。针对计算机信息系统犯罪中构成要件,“数字化犯罪技术的快速更新增加了‘删除、修改、增加’的认定难度,导致其范围一再扩大而逐渐丧失构成要件的定型性。”
三、数据安全刑法保护与前置性立法衔接之路径
立法规范调整:数据分类保护的立法模式探索
1.通过修订司法解释拓宽现有罪名适用空间
针对数据犯罪在定性过程遭遇的困境,有相当一部分学者主张修订刑法,保护数据的独立法益,单独设立以数据为犯罪对象的罪名。当前刑法典中对数据犯罪集中规定在非法获取计算机信息系统数据罪和破坏计算机信息系统罪两罪名中,因两罪名均以“违法国家规定”为前提要件,在数据安全法及相关规定尚未明确列举侵犯数据权益行为、规定数据侵权行为的法律责任时,不宜对刑法条文作出根本性修改。更为重要的是,上述法条中涉及到的非法获取、删除、修改、增加数据的犯罪手段,已经可以基本囊括司法实践中常见的犯罪手法。计算机信息系统犯罪内部罪名之间之所以出现层次不清、逻辑混乱、标准不明的情况,其根源在于入罪标准和法定刑升级标准的规定较为混乱,出于维护刑法典的稳定性,应当运用实质解释方法,通过修订司法解释,确定刑法中的“数据”内涵和数额标准,对破坏计算机信息系统罪罪状中“后果严重”和非法获取计算机信息系统犯罪罪状中的“情节严重”作规范阐释。
2.建构数据规模与犯罪后果相结合的入罪标准
在破坏计算机信息系统罪的认定方面,对于第286条第2款规定的“后果严重”的标准,应当根据体系解释原则,要求与第1款规定的“造成计算机信息系统不能正常运行”的社会危害性具有同等性。具体而言,可以修改《计算机解释》第4条第2项中“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”的规定,对删除、修改、增加的数据数量进行规定,以“组信息”为单位,确定网络信息安全犯罪行为所作用的犯罪对象信息中,蕴含的有价值数据的规模。与此同时,应当要求删除、修改、增加数据的行为应当达到一定犯罪后果。这些犯罪后果包括如下三方面:第一,犯罪行为对网络安全造成的直接后果,如影响数据库使用、造成计算机信息系统不能正常运行的涉及服务对象人次、影响时间;第二,犯罪行为对被害人或被害单位造成的经济损失,包括恢复数据服务费、受影响客户的赔付等;第三,删除、增加、修改数据后用于其他违法犯罪行为使用。还需注意的是,对于是否属于破坏计算机信息系统罪中的“数据”的判断不应停留在是否存储于计算机信息系统之中这样形式化的判断标准,而应从功能上进行判断。
非法获取计算机信息系统数据罪的入罪思路应当与破坏计算机信息系统罪保持一致,单纯获取数据,未造成任何危害后果的行为出于保护数据流动的立法价值出发,不应当作为犯罪处理,应当通过修改《计算机解释》中对刑法第285条第2款中“情节严重”的规定,从数据数量和犯罪后果两个维度综合评价行为的违法性。
3.区别数据类型确定入罪和法定刑升格门槛
为衔接数据安全法及相关法律法规设计的分类分级制度,可以通过修改司法解释对非法获取计算机信息系统数据罪、破坏计算机信息系统罪等涉数据的罪名的入罪标准及法定刑升格门槛作出规定,根据数据类型作出层级划分。对侵害核心数据安全的行为设定最低的入罪门槛,重要数据设定中档入罪门槛,一般数据设定最高的入罪门槛。同时,数据分级分类要求符合动态调整规则,数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。侦查机关办理案件时,应当及时取证,确保数据分类的准确、恰当。也保留适当的裁量空间,以便在数据的定级要素出现复杂变化情况时作出灵活应对。需要注意的是,在制定入罪门槛时,可以参照侵犯公民个人信息犯罪的司法解释,探求与信息犯罪的量刑平衡。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,行踪轨迹信息、通信内容、征信信息、财产信息的入罪标准是五十条,住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的个人信息入罪标准是五百条,其他个人信息五千条。数据犯罪的数量认定标准可以参照上述规定,以十倍为差额分别对核心数据、重要数据和个人数据作出规定。
司法理念纠偏:以全面评价取代“从一重”原则
1.以全面评价原则为定罪思路
数据犯罪的司法评价需要综合考量如下要素:获取手段(是否侵入计算机信息系统)——数据类型(是否属于个人信息/公共数据/核心数据)——处理方法(不处理/增/减/删)——用途(倒卖/获取其他利益)——造成的危害后果(是否影响计算机信息系统运行)。在罪名选择时,应当映射前置法律法规建构类型化模型,以链条化、全景化思维评价对数据安全造成的危害,不宜盲目将侵害数据安全行为均作为计算机信息系统犯罪处理。对于以获取、删除、修改、增加数据为手段的犯罪行为,在选择罪名时,既要评价手段行为,也要评价目的行为,单纯以手段行为评价就会造成评价不完整。一般情况下,应当优先以目的行为作为识别法益的依据,充分评价行为性质,不能盲目适用“从一重”原则对案件简单处理。例如,在盗窃虚拟财物罪中,尽管行为人实施的手段行为是对数据进行修改的行为,但是如果仅以手段行为定罪,就难以评价目的行为——取财行为的非法性,而以财产犯罪处罚就能对两种行为同时作出违法性评价。
2.以是否属于类型化法益为定罪顺序
在具体定罪顺序上,在行为人实施同种手段行为时,应当先考察目的行为所侵犯的法益是否属于刑法已经类型化规范的法益,即以数据为工具、媒介侵害类型化法益的行为应认定为该类型化法益犯罪。例如,犯罪行为以被害人的财产为直接目标,则侵犯的是传统财产法益,应当以盗窃罪、诈骗罪等定罪;如所侵犯的数据可以被识别为个人信息,则应当构成侵犯公民个人信息罪;如该数据符合商业秘密的认定要件,则可能构成侵犯商业秘密罪。需要注意的是,如行为人属于被害单位工作人员,系利用职务便利实施数据犯罪,谋取单位财物的,还需对行为人的身份要素进行评价,以职务侵占罪定罪量刑。
如果犯罪行为侵犯的数据不能为刑法类型化,属于以数据为对象侵犯数据安全的行为,这种非类型化的数据安全法益,限定在通过一般性地保护计算机信息系统内的数据不受非法查看、复制和下载或以其他方式为他人所知,来保护商业、工业、管理、金融、生活等各种社会活动中通过数据操作得以实现的各种利益,以及人们对于这种利益的信心和信任。犯罪行为一旦符合司法解释规定的“数据数量+犯罪后果”的定量因素,可以以非法获取计算机信息系统数据罪或破坏计算机信息系统罪等定罪量刑。
