|
【202324116】非法获取计算机信息系统数据罪的司法判定
文/蔡士林;孙莉
作为打击数据犯罪的重要罪名,非法获取计算机信息系统数据罪在适用中存在保护法益定位不清、具有“口袋化”倾向以及犯罪对象较为片面等问题。这在一定程度上影响了该罪在实务中的功能发挥。有鉴于此,可以通过将数据安全作为独立法益予以保护、完善相关司法解释以及删除构成要件中有关限制性要素等方法予以化解。
一、非法获取计算机信息系统数据罪适用中存在的问题
一是保护法益定位不清。通说认为,非法获取计算机信息系统数据罪保护的法益是计算机信息系统的安全性。如有判例认为,尽管是对公开数据的爬取,但被告人行为侵害了被害单位计算机信息系统的安全。究其原因,一方面受到早期计算机技术发展现状的制约,立法者认为数据的价值只有依附于计算机信息系统才能显现出来。另一方面,受到本体论的深刻影响,立法者对于数据侵权带来的损害寄希望于通过规制实体予以表达和传递。在本体论的指导下,立法者倾向于将计算机信息系统视为数据犯罪的关键实体。换言之,这些系统不仅是被动的数据存储设备,还是积极参与数据处理和传输的主体,因此立法者希冀通过规制计算机信息系统来减少数据犯罪的发生。实际上,伴随数据应用场景增多以及存储设备多元化,数据的价值日益凸显,甚至超越了计算机信息系统本身的价值,网络数据自然成为犯罪分子的首选侵害对象。然而,此种转变并未成为对网络数据加以保护的原因,数据和计算机信息系统的关系反而绑定得更加牢固,形成了“保护计算机信息系统就是保护网络数据”的偏见。
二是具有“口袋化”倾向。其一,刑法及其相关司法解释并未澄清数据含义,同时前置法也未破解这一难题。一方面非法获取计算机信息系统数据罪入罪门槛低,且其中“情节严重”的具体参数易于把握;另一方面负责侦查此类案件的是专门的网络安全保卫部门(简称“网络警察”),囿于其职能定位,案件更容易被定性为非法获取计算机信息系统数据罪。2021年我国陆续颁布数据安全法和个人信息保护法,分别对“数据”和“个人信息”作出界定。从这两部法律的规定不难看出数据和信息的界定采用的是相互解释的方法,因此有学者认为二者的区别不存在法律意义。其二,司法逻辑重视技术性,忽视规范性判定,进而为该罪适用范围的无序扩张提供了条件。一般认为,数据是指计算机数据或网络数据,即通过计算机技术在互联网上收集、存储、传输、处理和产生的电子代码,囊括了系统中运行和处理的一切文字、符号、声音、图像等组合。从技术层面来看,数据的本质就是栖身于各种介质(计算机系统、电子设备、其他自动化设备)中的0/1的二进制代码,这也是最早对于数据的中立性解读。而后数据的聚合与还原技术使得数据表达内容更加丰富,因此我国才考虑信息与数据的分离。但就该罪而言,司法人员习惯于依赖技术判断,甚至以技术判断替代规范判断,直接将侵害对象定性为数据。详言之,二进制的技术判断作为数据的标准,在实践中可操作性强,因此受到青睐;而规范性判断通常涉及法益的实质性考察,适用难度大,故而司法机关往往将其束之高阁。司法机关对部分非法获取数据行为,可能跳过法益考察,直接认定为非法获取计算机信息系统数据罪。
三是犯罪对象的不当限制。根据刑法第285条第2款,非法获取计算机信息系统数据罪规制的行为可以分为:“侵入型”非法获取数据和“采用其他技术手段型”非法获取数据两类。以“侵入型”非法获取数据为例,它实际上是双重违法性的表现,不仅要求客观上存在非法访问计算机信息系统的行为,而且还要有获取数据的举动,这无形中增加了本罪的适用难度。从文义解释上看,非法获取计算机信息系统数据罪保护的对象是特定领域以外的计算机信息系统及其数据。于是,非法获取国防建设等特定计算机信息系统数据的行为仅构成非法侵犯计算机信息系统罪,不构成非法获取计算机信息系统数据罪。之所以出现这种局面,其一,早期对重要计算机信息系统的数据保护较为严格,因此非法获取关联性数据的情形较为罕见,大多数犯罪行为都止步于“侵入”阶段。其二,数据犯罪的防控成本高昂,而犯罪成本却较低,普通用户难以发现法益侵害事实。且被害人较为分散,不容易引起足够的重视。
二、应对上述问题的路径设想
一是明确数据安全应当为刑法独立保护的法益。数据安全旨在保护数据利用的三个面向,即数据安全的三个核心要素,数据的保密性、完整性和可用性。将数据安全作为刑法保护的法益具有科学性与实践意义。首先,充分考虑了数据安全背后原有的技术样貌。数据安全的核心在于保护用户的数据免受未授权访问、滥用、泄露、破坏或修改。这不仅可以保护传统的个人信息,还扩展到更广泛的数据类型,如金融、医疗和商业数据,以及由智能设备产生的大量数据。在技术层面,随着技术的发展及其集成应用使得数据安全风险增加,传统的数据保护方法难以应对新型的数据侵害形式。因此,将数据安全纳入刑法独立保护的范畴,充分体现了对现代技术环境的认识和适应。其次,数据安全法益也可作为划清犯罪边界的工具,对于“删除、增加或修改”数据但并未侵犯数据安全核心要素的行为不宜定罪处罚。再次,数据安全法益可以促进对行为性质的整体评估。通常数据犯罪行为的法益侵害程度表现为“违法所得”“经济损失”等量化指标。数据安全法益的引入,特别是其对数据的完整性、保密性和可用性的考察,为数据犯罪的评估提供了更为全面的框架。该评估体系不仅包括经济损失的量化评估,还包括对个人隐私的侵犯、社会信任的破坏以及对数据系统的长期影响等方面的考虑。如,一个造成有限经济损失的数据侵权行为,可能对个人隐私造成重大影响,甚至破坏公众对数据系统的信任。因此,通过对数据安全法益的深入理解和运用,司法机关可以更准确地评估数据犯罪的性质和影响。
二是借助司法解释实现去“口袋化”之目标。一方面,廓清非法获取计算机信息系统数据罪中数据的含义和边界。应当根据应用场景确定数据属于何种类别,进而采用不同的保护方法。以医疗健康数据为例,当这些数据用于提供个人医疗服务时,它们属于个人信息范畴,需要保护患者的隐私和信息安全。而当它们用于医疗研究,可能构成某医药公司的商业秘密,这时保护的焦点是防止商业信息泄露,保障公司的商业利益。若这些数据以某种形式被个人或机构拥有,作为数据资产进行交易,则它们又可被视为虚拟财产,此时需要保护数据资产的完整性和所有权。另一方面,明确该罪实行行为的认定标准。除了上文中提及的“侵入”以外,对作为该罪实行行为的“获取”进行合理限缩也是该罪去“口袋化”的重要途径。其一,立足体系解释的立场对“获取”进行界定。如该罪可与非法控制计算机信息系统罪并合成为选择性罪名。同类解释的原则要求“获取”行为对计算机信息系统的侵害程度与“控制”相当方可构成犯罪。其二,对数据犯罪的认定需要兼顾技术性和规范性的双重原则。为此,对“获取”的含义界定可由相应的专门技术委员会提供指引。
三是重新梳理非法获取计算机信息系统数据罪的构成要素。其一,该罪中的“侵入”与非法侵入计算机信息系统罪中的“侵入”如何区分不无疑义。其二,“其他技术手段”这种带有兜底色彩的规定容易使该罪的实行行为泛化为囊括所有数据侵害行为。为此,未来可通过立法修改将不同类别数据都纳入该罪的保护对象范围,同时结合数据的性质和数量等因素综合考虑该罪的行为类型、入罪门槛及量刑情节。
[编辑:王小飞]
【注释】
*本文系2023年度教育部人文社会科学青年基金资助项目《总体国家安全观视域下网络犯罪协同治理模式研究》(23YJC820002)的阶段性成果。蔡士林,中国矿业大学经济法研究所研究员;孙莉,江苏省新沂市人民检察院代检察长。
|