首页 >> 专题 >> 热点专题 >> 改革开放40周年《中国社会科学》的理论视野专题 >> 法学
大数据时代数据犯罪的制裁思路
2018年12月17日 21:41 来源:中国社会科学网 作者:于志刚 李源粒 字号
关键词:刑法;计算机信息系统;非法获取;数据犯罪;制裁;解释;数据罪;窃取;立法;危害

内容摘要:大数据时代的数据犯罪,是指以大数据即以数字化形式进行技术处理的一切数据为犯罪对象的犯罪,包括以账户、访问控制数据为核心,并发散至电子痕迹、生活行为、城市管理等各种非结构化数据,以及从计算机数据延伸到物联网、智能手机、可穿戴设备等多终端数据的犯罪。

关键词:刑法;计算机信息系统;非法获取;数据犯罪;制裁;解释;数据罪;窃取;立法;危害

作者简介:

  数据的核心,是从存储和传输过渡为数据的挖掘和应用。大数据时代的数据犯罪,是指以大数据即以数字化形式进行技术处理的一切数据为犯罪对象的犯罪,包括以账户、访问控制数据为核心,并发散至电子痕迹、生活行为、城市管理等各种非结构化数据,以及从计算机数据延伸到物联网、智能手机、可穿戴设备等多终端数据的犯罪。犯罪的行为方式,不仅体现为技术破坏、非法获取的行为,也体现为大规模数据监听、监控、窃取、过度挖掘、恶意滥用等一系列行为;犯罪的危害后果,除了破坏计算机信息系统功能,还危害个人的财产安全、隐私、人身、人格安全,严重的则危害经济秩序、国防利益与国家安全。数据犯罪给现行刑事立法和司法提出了前所未有的挑战,面对日益猖獗和直接威胁国家安全、公共安全的数据犯罪,刑法的制裁能力和打击半径力有不逮,在国家整体安全战略和现实罪情需要面前已经滞后。

  刑法中“数据”概念的时代局限性和滞后性

  在现行刑法中,数据是指计算机信息系统数据,这一概念相对于大数据时代数据的量级与结构来说过于狭隘且滞后,导致许多现实中出现的具有现实危害的数据窃取行为无法纳入刑法评价范围之内。

  数据作为一个技术名词,在现行刑法和司法解释中没有明确解释。从直观上看,数据犯罪是《刑法》第286条规定的非法获取计算机信息系统数据罪,置于《刑法》分则第六章妨害社会管理秩序罪第一节,属于扰乱社会秩序犯罪,为2009年2月28日《刑法修正案(七)》第9条所增设。非法获取计算机信息系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理、传输的数据,情节严重的行为。作为此罪犯罪对象的数据,是作为计算机信息系统功能实现的载体,被限定在计算机信息系统范围之内,更多地是指信息系统容器内部的静态数据库安全。更广泛的数据来源和更多样杂乱的数据结构,只要未存储到系统内部,未按照系统的组织目标进行规整和排列,都被排除在刑法的保护范围之外。

  司法解释敏锐地观察到实践中技术迭代带来的新问题,对计算机信息系统等技术关键词进行了扩张解释;在审判环节,已经有判例扩张数据的范围,应对现实中的问题。目前,司法实践的解决思路是扩张解释“计算机信息系统”这一技术概念。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(《计算机安全解释》)第11条规定:本解释所称计算机信息系统和计算机系统,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。这里首次使用“计算机系统”的术语,以弱化“计算机信息系统”的性能特征。这一解释打破了对于传统计算机的固化解释,从技术上来说,这样的扩张没有问题,但是面临大数据的技术冲击,寻求更贴切的解决路径仍须从长计议。

  大数据时代数据犯罪制裁思路和罪名体系建构

  以现行刑法的固有框架为依据和背景,思考大数据时代数据犯罪的制裁思路,在此基础上建立有效制裁数据犯罪的罪名体系,是当务之急。

  (一)数据犯罪核心罪名体系构建

  在大数据时代,针对数据处理的动态系统,应当更加明确和精细地区分不同保护对象,针对不同数据处理阶段,各有侧重地实现恰当与必要的刑法条文设置。

  1. 明确以技术资源为保护对象的内容与边界。在大数据时代,信息系统的功能性体现为更动态化和个性化的以服务为导向的云端技术系统架构,计算机运算已经由信息系统转变到云资源池,这样的计算平台显然依托于网络,并以计算能力和计算资源为其价值。如果说在计算机信息系统时代,计算能力和数据还是一个依照功能、原则、目标紧密组织起来的整体,那么在大数据时代,纯粹的网络犯罪实质上必然是基于对网络资源的侵害,是对计算能力和服务能力的侵害,这种处理和运算能力本质上是一种能量。

  2. 增设以网络数据为独立犯罪对象的罪名。应当采取单独的保护思路以正确评价数据作为对象的法益价值,对于数据窃取行为作出正确的刑法评价。在现阶段,可以采取温和的过渡方式。长远来看,可以考虑彻底转向以数据为中心的罪名设置思路,并在分则罪名体系中体现;更进一步,也可制定保护数据资料的单行立法。对数据资料的保护,不适用以保护财产权利或者保护作为计算资源能量的物权保护模式,需要制定更系统和细致的、针对信息的行为规范。

  3. 重视对多端点的数据来源和聚合性数据应用的保护。从大数据发展状况和数据犯罪的宏观趋势看,未来数据保护立法应侧重于对个人数据和企业数据中心的保护。

  (二)由数据到具体法益的“着陆”

  数据与信息有多种表现形式,但核心内容是同构的。对刑法所保护的重要法益价值,信息的重要性体现在其内容上,数据的意义则体现在对数据对象的反映上,当数据的反映同质于信息的内容时,单纯技术角度定义的数据便具有了现实意义。从信息的角度分析和理解数据,实际上是对具有刑法意义的法益予以更充分和全面的保护,而对刑法分则中原有的信息类语词,也应作相应扩大和动态的解释。

  对于信息的保护模式是不同于传统的物权保护模式的。对信息的保护是从获取途径上进行限制,只有有权主体才能接触并获知某一内容特定的资讯。由此路径,从刑法层面制定针对数据窃取的行为规范,是确立禁止违反信息获取正当权限而非法获取信息的行为类型,进而对导致具有刑法意义危害后果的行为进行刑罚制裁。

  区分数据与信息的差异,利用刑法分则现有罪名群建构一个合理的制裁数据犯罪的罪名体系,需要立足于立法和司法两个层面的思维转变。

  从刑事立法的解释看,应修正两个罪名,才能构建起制裁数据犯罪的基本罪名或者核心罪名。这一双轨并行的“双核心罪名”,意在制裁一般的非法获取数据行为和利用职务实施的数据犯罪行为。其一,将“非法获取计算机信息系统数据罪”修正为“非法获取网络数据罪”。具体而言,修正《刑法》第285条第2款“非法获取计算机信息系统数据罪”,去除前提性的技术行为限定。将这一罪名直接修正为“非法获取网络数据罪”,规定为“非法获取网络数据,情节严重的,处三年以下有期徒刑;情节特别严重的,处二年以上七年以下有期徒刑”。其二,修正制裁履职过程中的数据犯罪的罪名。《刑法》第253条之一的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,制裁的是履行职务过程中的数据犯罪行为。通过修正《刑法》第253条之一的两个罪名,形成打击半径更大的罪名,是制裁发生在履行职务过程中的数据犯罪的根本。具体而言,建议将罪状中的“将本单位在履行职责或者提供服务过程中获得的公民个人信息”中的“公民个人信息”,修正为“数据”。为激发固有罪名的实践潜力,司法解释对数据的解释应当抛弃两个传统思维和实现两个根本突破:其一,抛弃以内部数据和外部数据相配合的二元化数据解释思维。即抛弃以身份认证信息和计算机系统内存数据相配合的二元化数据解释思维。其二,抛弃数据必须附着于信息系统功能的“三点式”数据解释思维。具体而言,要突破“限于计算机信息系统内部的、侧重于信息系统自身功能维护的、以访问控制为主要考虑的数据”的“三点式”传统技术思维和认识,不能过于强调数据必须附着于信息系统功能的技术要求,应当放弃系统思维,完全以网络思维关注和保护数据自身在内容属性上的价值和保护必要性。

  在完成立法和司法两个层面的修正或者转变后,以数据和信息的实质差异为其他相关罪名的解释思路和适用思路,就可以构成一个以“非法获取网络数据罪”和“非法获取数据罪”为双核心罪名,以侵犯商业秘密罪,为境外窃取、刺探、收买、非法提供国家秘密、情报罪,非法获取国家秘密罪,非法持有国家绝密、机密文件、资料、物品罪,故意泄露国家秘密罪,过失泄露国家秘密罪,非法获取军事秘密罪,为境外窃取、刺探、收买、非法提供军事秘密罪,故意泄露军事秘密罪,过失泄露军事秘密罪等10余个罪名为支撑的罪名体系,实现大数据时代对数据的完整、有效的刑法保护。

  (作者单位:中国政法大学司法文明协同创新中心;德国马普外国刑法与国际刑法研究所。原文发表于《中国社会科学》2014年第10期,刘鹏 摘)

  

作者简介

姓名:于志刚 李源粒 工作单位:中国政法大学司法文明协同创新中心;德国马普外国刑法与国际刑法研究所

转载请注明来源:中国社会科学网 (责编:颜兵)
W020180116412817190956.jpg
用户昵称:  (您填写的昵称将出现在评论列表中)  匿名
 验证码 
所有评论仅代表网友意见
最新发表的评论0条,总共0 查看全部评论

回到频道首页
QQ图片20180105134100.jpg
jrtt.jpg
wxgzh.jpg
777.jpg
内文页广告3(手机版).jpg
中国社会科学院概况|中国社会科学杂志社简介|关于我们|法律顾问|广告服务|网站声明|联系我们