【2021010706】人工智能时代大数据收集行为的刑法规制
文/李婕鲁 鑫宇
大数据是人工智能技术的基础,目前我国很多行业都采取了数据化信息采集方式,但不同行业的数据汇聚可能引发数据泄露、数据失真、非法利用等犯罪。具体而言,大数据收集中的不当行为可能侵害公司、企业管理秩序,金融管理秩序,公民的人身、民主权利,以及社会管理秩序等法益,刑法如何对非法收集大数据的行为准确定罪,是理论和实践中亟须明确的问题。
一、刑法规制大数据收集行为的困境
大数据非法收集行为的刑事违法性判断包括行为对象属性认定和违法行为评价两方面,而刑法理论对二者的判断存在不同观点。
首先,作为行为对象的大数据在刑法上可能评价为财产、人身权利或社会秩序。随着人工智能技术的发展,大数据交易已经成为如火如荼的产业,2008年国际上“数据市场”“数据银行”兴起,数据交易本身即体现了数据的财产价值,这种实然上的经济利益、可交易、可转移的特性是数据财产权属性的基础。此外,侵犯公民个人信息罪中作为行为客体的个人信息具有明显的人身属性。身份证号、家庭住址、消费习惯、兴趣喜好、信用状况、运动轨迹等体现个人的人格尊严和自由意志,个人数据汇集后描绘出“数字人格”,所以这些与个人相关的数据不可避免地带有着人格权属性。而非法使用窃听、窃照专用器材罪,非法获取军事秘密罪等行为中,非法收集电子数据的行为会引发公共秩序领域、国防军事领域的秩序混乱,进而危及到个人的人身安全等基本权利。因此,刑法在非法收集数据行为表现出抽象危险的时候就予以规制,避免数据大范围传播对社会秩序或军事秩序的危害。
其次,我国刑法不断增设打击网络犯罪的新罪名,但对大数据收集行为的规制仍有不足。刑法并未直接规定对个人数据进行全方位保护,而是通过保护个人信息、计算机信息系统、防止发布违法犯罪信息等方式对部分电子数据进行保护。非法收集个人教育、职业、消费习惯等大数据的行为并非上述罪名的保护对象,而这些分散的信息形成“个人画像”后很容易成为电信诈骗、敲诈勒索的目标。另一方面,个人数据应用于公共服务领域时,将不可避免地带上公共属性的色彩,此时大数据收集行为能否排除刑事违法性?例如,疫情防控时期公布确诊者行踪轨迹的行为当然侵犯了个人隐私权,但这是消除广大公众心理恐慌、避免出现群体性事件的必要之举,那么人肉搜索确诊者个人信息的行为是否构成犯罪,仍然存在争议。
二、大数据收集行为侵犯个人法益之认定
大数据非法收集行为侵犯个人法益和集体法益,司法机关进行犯罪认定时应区分个人信息与个人数据的差异,以及数据的社会属性对集体法益侵害的判断,避免扩大处罚。
首先,个人信息属于个人数据的子集,不具个人专属性和信息重要性的大数据难以构成侵犯公民个人信息罪。个人数据记录的内容可能是不具有信息重要性的姓名、职业等社会交往中公开的信息,并不属于侵犯公民个人信息罪的保护范围。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》明确要求个人信息的“识别性”,实际是将这些信息作为个人财产权和人身权的“侧防法益”加以保护的,即与某特定主体相关联的、可以直接或间接地识别本人身份信息的内容,具有典型的身份属性。正是由于这些信息泄露直接导致公民的财产、人身安全陷入危险,因此刑法将其纳入保护范围。所以,收集个人的游戏装备、关键词搜索等大数据的行为可能属于电信诈骗、非法利用信息网络罪等罪名的预备行为,并不具有严重的法益侵害性。
其次,非法侵入他人计算机信息系统盗窃虚拟货币的行为,部分司法判决认定为侵犯财产犯罪,部分司法判决认定为破坏计算机信息系统罪。根据刑法第九十二条,私人所有财产包括依法归个人所有的股份、股票、债券和其他财产。据此,表现为电子数据形式的债权、虚拟货币也属于私人财产。民法总则第一百二十七条规定将“数据”与“虚拟财产”并列,也是对数据作为新型财产属性的认可。那么虚拟货币是否属于刑法上的财产?行为人非法收集、出售大数据行为往往出于牟利目的,但虚拟货币并非一律认定为财产,理论界对此也有不同观点。如张明楷教授指出,“虚拟财产仅是一种事实上的表述,只要个案中行为人侵害的虚拟财产具有管理可能性、转移可能性与价值性即属于刑法上的财物。”陈兴良教授则认为,“我国刑法中的财物完全能够涵盖虚拟财产;对于具有财产价值的虚拟财产应当按照财物予以刑事保护。”实际上,刑法上财产的价值性是指稳定的、客观的价值,而比特币价格大涨大跌、难以像债权等财产性利益那样具有稳定的价值,这也是我国的司法判决并非一律将盗窃、出售虚拟货币的行为认定为财产犯罪的原因。因此,非法收集虚拟货币的行为不能一律认定侵犯财产犯罪。
三、大数据收集行为侵犯集体法益之认定
大数据收集行为侵害的集体法益需进行实质违法性认定,不能将人工智能技术领域的职业行为认定为犯罪。首先,从技术的角度看,自动收集数据是人工智能算法技术的重要特征,互联网职业相当性的行为不具有刑事违法性。根据《国务院新一代人工智能发展规划》,国家支持、培养、促进人工智能技术研发、推广、应用,符合人工智能技术职业规范的大数据收集行为具有职业相当性。在判断大数据收集行为是否超越可容许风险时,应以“行为人所属阶层的一般人”为标准,即以人工智能职业一般(平均)从业者的行为方式和思维方式进行判断。在职业行为社会相当性的判断上分两个步骤:一是某一行为应当符合本行业的职业规范的要求;二是具体职业领域内的职业行为必须与法律保持一致,才能最终被认定为具有社会相当性。具体而言,大数据收集行为中可容许风险应根据不同的职业领域特点进行职业相当性判断。例如,算法自动收集数据行为的职业相当性需根据个人信息保护法(草案)审查收集者是否履行告知义务、个人信息处理者向第三方提供个人信息的是否进行了匿名化处理。如果大数据收集行为符合互联网行业的职业相当性要求,则排除刑事违法性。
其次,犯罪构成中“违反国家规定”需进行实质审查。侵犯集体法益的很多罪名要求“违反国家规定”,应根据刑法第九十六条确定“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”司法实践中,单个数据收集行为可能侵犯个人法益较小,但“海量行为×微量损失”样态的公共秩序侵害的情形,需从总体上判断“违反国家规定”的行为的实质违法性程度。例如,帮助信息网络犯罪活动罪的成立需要“情节严重”,“情节严重”的认定可从行为人发布的违法信息实际被点击、浏览、转发次数累计方面进行认定。
最后,通过法益衡量进行实质违法性判断。如果大数据收集行为虽然对社会法益造成侵害,但却是特定情况下维护公共利益必须,那么行为的实质违法性须根据比例原则进行法益衡量,即采取最小限制个人权利的手段以实现最大的公共利益。例如,新冠肺炎疫情防控期间,使用隐蔽拍摄器材监控疑似患病的入境外国人的行踪轨迹的行为虽然符合非法使用窃照专用器材罪的犯罪构成,但该行为是维护公共安全和社会秩序的需要,此时社会秩序应让位于公共利益,非法使用窃照行为排除刑事违法性而不构成犯罪。
(作者单位:安徽大学法学院)
|