返回上一页 文章阅读 登录

劳东燕:个人数据的刑法保护模式

更新时间:2020-09-12 23:33:22
作者: 劳东燕  
或者是对之进行删除、修改、增加的操作,可能会涉嫌成立非法获取计算机信息系统数据罪或破坏计算机信息系统罪。由于此时的个人数据,主要是作为与网络安全相关的公共秩序利益而获得刑法保护,故可称为公共秩序保护模式。对于盗取或骗取他人游戏账号、游戏装备与游戏币等虚拟财产的行为,晚近的我国实务似乎更倾向于以非法获取计算机信息系统数据罪来定罪处罚。最高人民法院相关人员对2013年“两高”所发布的关于盗窃罪司法解释的相关说明中,明确对于侵犯虚拟财产的案件可用非法获取计算机信息系统数据罪来处罚的立场。

  

   由上可知,我国刑法并非只是通过侵犯公民个人信息罪来保护个人数据,也不单单是将个人数据当作统一的人身性权利或是统一的财产性权益而给予笼统的保护。相反,根据个人数据在不同适用场景中可能侵害的权益的属性,而利用传统罪名与立法新设罪名,试图为个人数据的保护提供相对全面的刑法规制框架。就此而言,当前法学理论上试图为个人数据寻找统一的法律定位的做法,不仅因陷于传统概念思维的窠臼而显得落伍,也背离我国立法与司法的基本现实,故而并不可取。合理的做法应当是,总结现有立法与司法的得失利弊,在此基础上展开反思性的考察,看是否有必要作出结构性的调整,或是哪些地方有待补正。

  

   四、现行保护框架的反思性考察

  

   尽管数据的地位与性质,在我国当前的法律体系与法学理论中都尚不算十分清晰,但通过刑事手段来保护个人数据的安全,无疑已然成为我国立法与司法的选择。从刑法的相关规定来看,现有的四种保护模式为个人数据的刑法保护奠定了一个基本的框架。在这个保护框架中,既涉及传统罪名的更新适用,也涉及立法新设的罪名,彼此相互补充,试图为不同适用场景下的个人数据提供相对全面的刑法保护。那么,此种刑法保护框架对于个人数据的刑法保护是否合适与足够,是否能够满足大数据时代个人权利保障的需求,这是有必要进一步做探讨的问题。

  

   (一)三个观察性发现的得出

  

   在个人数据的保护方面,对我国的刑事立法与司法现实进行考察,可以得出三个发现。

  

   其一,我国对于个人数据的法律定位,并未摆脱古典时代占有主义观念的影响。

  

   洛克所主张的占有的个人主义(possessive individualism),在他的财产观中有明白的体现。洛克沿袭了格劳秀斯的所属(suum)概念,将财产建立在劳动之上;在其财产理论中,劳动的重要角色在于它是财产的获得方式。我国法律与法学理论对于个人数据性质的通行理解,明显受到这种以劳动理论为基础的占有主义观念的影响,将之作为所属之物来理解与界定。这意味着,对于个人数据,尽管在法律上并没有确认其作为财产的地位,却是按类似于所属财产的范畴来理解个人数据的性质的。这也是为什么当前我国的民事司法实务中,往往认为合法收集个人数据的企业,对相应的数据具有竞争性的财产权益,擅自使用其他企业合法收集的个人数据的行为构成不正当竞争,适用反不正当竞争法的相关规定。这样一种通过劳动而占有相应成果的观念,在1876年一位美国法官的判决中表达得相当清晰:“当一个人通过努力和花费收集材料,并将之转化成对公众有利的信息,这个人就对这些向全世界公开的材料施加了个人印记,因此可以对之享有财产权。”这位法官也正是据此认定,有关股票价格的市场信息在法律上具有财产的地位。

  

   其二,我国刑法对个人数据犯罪的规制,关注的重心放在非法获取而不是滥用的行为之上。

  

   在前述占有主义观念的影响之下,由于我国法律对个人数据的理解,本质上没有摆脱以劳动为基础的财产范畴的制约,故而,刑法中的相关罪名,除侵犯商业秘密罪之外,惩罚的都是破坏他人对个人数据的合法占有的行为。此类破坏行为中,刑法规制的重点又放在非法获得或帮助获得对个人数据的占有的行为之上。无论是归入物权保护模式的盗窃罪与诈骗罪,还是归入经济秩序保护模式的窃取、收买、非法提供信用卡信息罪,抑或是属于人格权保护模式的侵犯公民个人信息罪与侵犯通信自由罪,又或者是属于公共秩序保护模式的非法获取计算机信息系统数据罪,无不针对的是侵犯他人合法占有的行为。破坏计算机信息系统罪中涉及数据的行为类型,针对的是非法对数据和应用程序进行删除、修改、增加的操作,仍属于破坏他人对个人数据的合法占有。此类行为与前类行为的不同之处仅在于,它是通过对行为对象的毁损而破坏他人对个人数据的合法占有。即便是侵犯商业秘密罪,虽然将未经许可使用与允许他人使用商业秘密的行为也纳入处罚的范围,但其本质上关注的仍是由此而对权利人的占有权能带来的破坏性影响,也即最终的财产损失。

  

   其三,我国刑法对涉及个人数据的犯罪的惩罚,偏向于对秩序利益的维护。

  

   个人数据虽产生于个人的活动,但我国刑法主要不是立足于数据主体的权益提供相应的保护,而是着眼于对经济秩序与网络空间中管理秩序的考量。除了在非法获取或提供个人数据的场合,其他大量的对个人数据的侵犯行为,都并非因为侵犯数据主体的合法权益本身,而是因为其涉及对经济秩序或网络空间秩序的扰乱,从而被认为需要予以处罚。此外,只要在收集环节履行基本的告知义务并征得数据主体的同意,个人数据的控制者与处理者,但凡不违反国家规定出售或提供给第三方,其后所有环节的行为,包括如何保管、处理与使用相应的个人数据,只要不危及秩序利益,便不再受刑法的规制。这不仅意味着,在国家、数据控制与处理企业、数据主体的三方关系中,国家的秩序利益受到最为优先的保护,也意味着在控制处理者与数据主体之间,数据主体也处于弱势的地位。归结而言,我国刑法对个人数据的保护,呈现出秩序利益至上,产业发展利益次之,个体权利再次之的格局。法律框架中三方的地位,正好与他们各自在信息社会中的实际处境相对应。

  

   (二)我国刑法保护框架的不足之处

  

   前述三个发现,也可谓是我国刑法保护框架的三个结构性特点。以此审视现有的四种保护模式,有助于洞察我国刑法保护框架所存在的不足之处。

  

   首先,当前的刑法保护框架对于数据滥用的行为缺乏必要的规制。数据的基本特点在于共享性,个人数据之上凝结着各种相互冲突的权益。与非法破坏他人对数据的占有相比,在数据流动化与商业化不可避免的背景下,对个人数据的滥用行为更需要包括刑法在内的法律进行规制。因而,非法获取个人数据的行为固然值得处罚,滥用数据的行为同样需要刑法来给予处罚。可以预见,后者将成为侵害数据权益的首要的不法行为类型。我国现行刑法却根本没有罪名来对付严重的数据滥用行为,由此而导致处罚上的重大漏洞。

  

   其次,当前的刑法保护框架虽也能运用相应罪名来处罚某些侵犯数据权益的行为,但这样的处罚无法准确揭示相应行为的不法本质。对于盗取或骗取个人的游戏账号、游戏币或游戏装备等虚拟财产的行为,我国司法实务中较多地运用非法获取计算机信息系统数据罪来定罪处罚。然而,此类行为的不法本质在于被害人的经济利益受到侵害,以公共秩序保护模式来进行保护,并未能准确揭示相应行为的不法本质,即不法获利而使被害人受到经济损失。这样的问题不仅存在于侵犯个人虚拟财产的场合,也存在于对企业虚拟财产的刑法保护之中。从我国实务处理来看,利用技术手段侵入运营商的计算机系统,并生成虚拟财产予以出售的行为,往往也是按非法获取计算机信息系统数据罪来处罚。实际上,对于运营商来说,其真正关心的根本不是网络空间的秩序,而是企业由此而遭受的经济损失。此外,在行为人非法获取由企业所占有的个人数据时,该行为往往以旨在保护个人信息自决权的侵犯公民个人信息罪来进行处罚,而作为数据控制者与处理者的企业,明明在其中拥有至少同样重要的利益,但相应的利益根本不为刑法所承认。对于报案的企业而言,更为关心的显然是其自身对数据的控制权益受到侵害,而不是数据所涉个体的信息自决权的问题。

  

   再次,当前的刑法保护框架同时存在犯罪化不足与犯罪化过度的问题。一方面,在个人数据的保护上,犯罪化不足不仅体现在未将滥用行为纳入刑法的处罚范围,也表现在对于数据泄露的行为缺乏刑法层面的规制。这样的犯罪化不足还表现在,对于个人生物数据与能显示种族、宗教与政治观点等敏感数据并没有给予特别的保护。“两高”在2017年的相关司法解释中,只是对行踪轨迹信息、通信内容、征信信息与财产信息这四类信息的定罪情节作了不同于一般个人信息的从严要求,却没有对生物数据等更为敏感的数据给予更高的刑法保护。另一方面,对个人数据的刑法保护又存在过度犯罪化的倾向。犯罪化过度主要表现为:一是利用旨在保护具有稀缺性与排他性的财物的传统财产犯罪,来对付侵犯虚拟财产的行为。对侵犯个人的虚拟财产的行为,我国实务时常用盗窃罪与诈骗罪等罪名严加惩罚;对于内部职员利用职务便利侵犯运营商的虚拟财产的行为,则运用职务侵占罪来予以打击。二是对于合法控制者与处理者而言,即便是在数据主体的合理预期范围之内,出售或者向第三方提供个人数据的行为也可能被定罪。按现行刑法的规定,个人数据为合法的控制者与处理者所专有,任何让数据流动或二次使用的行为都可能面临刑事追究的风险。鉴于数据的价值很大部分体现在二级用途上,这样的规定势必不当妨碍数据的合理流动与商业化利用。

  

   最后,当前的刑法保护框架对数据主体的权益保障显得不足。我国有论者批评以个人信息自决权为代表的个人信息自主控制,忽视了现实生活中个人信息的商业实践与数据价值,存在过于强调个人利益而忽视社会公共利益,从而造成利益失衡的问题。27相应论者显然没有意识到,我国法律对于个人权益的保护,首要问题并非保护过度而是保护不足。现实的状况是,个人不仅经常是在不知情的情况下被收集众多数据,而且在数据被收集后完全对之失去控制的权限与可能。与之相应,旨在保障个人信息自决权的侵犯公民个人信息罪,其对信息自决权的保护范围相当之窄,基本上局限于数据收集环节的权利,当前的保护框架并没有对数据主体在数据被收集之后的后续权利提供任何刑法上的保护。在这样的背景下,一味强调对商业利益与其他社会公共利益的优先保护,势必使得对个体权益保障不足的问题变得雪上加霜。如学者所指出的,被滥用的信息技术,一方面,使得少数社会主体从异化的信息社会结构中获益,包括互联网企业得到商业利润与公权力机构得以提升支配能力;另一方面,在信息社会发生结构异化的情况下,较之企业、政府和特定人群,普通公民的权利,特别是言论自由与人格尊严等基本权利正受到严重侵害。

  

   五、刑法保护框架的应然性方向

  

大数据时代的到来,使得对个人数据的法律保护面临重大的冲击。无论是作为整体的法律体系还是作为部门法的刑法,都莫不如此。从前述对我国当前的刑法保护框架的反思性考察来看,由于存在一些固有的不足,该框架正面临作出应然性调整的问题。刑法保护框架应当往什么方向努力,这个问题不能仅立足于刑法内部来考虑,而需要着眼于整个法律体系的走向。(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/122856.html
文章来源:《比较法研究》2020年第5期
收藏