张绍谦
上海市法学会刑法学研究会副会长,上海交通大学凯原法学院教授、博士生导师
(视频请关注上海市法学会视频号)
计算机的出现和互联网时代的到来,将数据的价值提升到前所未有的高度,成为一种具有巨大商业潜力价值的新型资源,数据安全的法律保护也成为国家层面面临的重大问题。我国《数据安全法》对数据安全的法律保护作出了原则性规定,但在刑法规范层面,对数据安全的保护还没有跟上数据安全法的步伐,因而很有必要对于如何加强数据安全的刑法保护进行专题研究。
一、刑法应当对数据安全法益进行独立保护
我国现行刑法虽然也有保护数据的条文,但并没有专门保护数据安全的规定,这样的刑法保护方式在人工智能时代已经表现出明显的不适应性。
最近全球火热的由美国OpenAI公司研发的chatGPT聊天机器人程序能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,真正像人类一样来聊天交流,甚至能完成撰写邮件、视频脚本、文案、翻译、代码,写论文等任务。可以想像,面对这样的人工智能程序,一旦它掌握了与一国安全相关联的大量数据,势必会对该国的国家安全形成重大隐患;如果它掌握了与一个特定个人生活信息相关的大量数据,这个人在公众面前也就可能再无隐私可言,甚至人身安全都难有保障。
因此,在人工智能时代,数据本身的独立价值已经凸显,数据安全已经事关社会利益或者国家安全,它体现的是一种集体法益。根据《数据安全法》,“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”显然数据安全的价值是独立于其所记录的信息价值的,因而已经成为一种独立的法益。《国家安全法》已明确将数据安全作为国家安全的组成部分加以保护,《数据安全法》更是将数据安全的法律规范保护体系化,我国国务院准备建立专门的国家数据安全局,这些措施都充分说明,国家层面已经将数据安全保护提到了相当高的重视程度。
与此相适应,刑法也需要改变对数据安全的规制态度,应当将数据安全作为一项独立的法益进行保护,在刑法中增设专门的危害数据安全犯罪,对于一切危害数据安全的行为,无论是否直接侵犯了某个特定主体的特定利益,只要社会危害性严重,都可纳入刑事惩罚范围,以更好地保护数据安全利益。
二、刑法应当对数据安全实行全面保护
数据安全涉及到从数据的产生、获取到数据的储存、传输、利用、提供等方方面面,因此,法律对数据安全的保护必须体现全方位保护的原则。我国刑法需要根据此一原则作相应的修改和补充。第一,扩大刑法所保护的数据类型,将电子数据以外的其他类型的数据也全面纳入刑法保护范围。第二,根据《数据安全法》对数据处理活动进行全方位法律规制的要求,刑法也要对数据的收集、存储、使用、加工、传输、提供、公开等数据形成、使用、公开过程进行全生命周期链条式规制。
具体来说,应考虑规定以下罪名:
一是非法收集、存储数据罪。即违反法律规定,采取法律禁止的方式对不特定公众收集数据,或者违法地存储、保留无权存储、保留的重要数据,严重危害社会的行为。
二是滥用数据罪。即以危害社会为目的,使用非法方法对所收集的数据进行加工、处理、使用的行为。对于人工智能领域可能出现的对数据的滥用,必须更加提高警惕,严肃规制。
三是非法提供、公开数据罪。指非法将所收集、存储、加工的数据提供给无权接受之人或单位,或者非法向社会进行公开的行为。
四是数据监管失察罪。即对数据依法具有保管义务的单位或个人,违反法律规定,由于监管失职或失察,导致大量数据或重要数据丢失、泄露,给社会造成严重危害或者造成重大数据安全风险的行为。
五是刺探、窃取、非法收买数据罪。即未经数据合法控制人许可,采取非法手段取得其所控制的数据。这种行为是对已经汇集的数据进行非法取得,其危害性比非法收集行为更大。
六是非法破坏数据罪。指采取各种非法手段,对他人所收集、存储、使用、加工、传输的数据进行删除、修改,破坏数据的真实性,使其无法正常使用。
在规定以上全方位保护条文的同时,对目前刑法中已有的相关条文也要作相应调整,协调好这些新罪名和刑法中现有其他相关罪名的关系。
目前刑法急需增设的罪名是有关数据监管失察罪。因为诸如大型宾馆、连锁酒店、旅游服务机构等单位,在给客户提供服务过程中依法收集了大量的客户信息,形成庞大的客户信息数据库。如果缺乏有效的制度和监管,很容易导致数据泄露,而一旦发生泄露事件,就可能使广大客户面临风险。这几年此类泄露事件不绝于耳,动辄就是数亿条客户信息外泄,后果非常严重。如果此泄露发生在国家机关,相关管理人员就可以构成玩忽职守罪。然而导致大量数据外泄的常常不是国家机关,而刑法对于此类行为又无相关规定,因而会造成处罚非常不力的困局,无法有效地对相关单位管理人员形成压力。有鉴于此,建议立法机关尽快考虑完善刑法,增设数据监管失察罪。而且,单位和自然人都也可以构成。
三、刑法应当对数据安全进行分级分类保护
虽然数据安全关涉集体法益,总体而言对于危害数据安全的行为都需要刑法介入治理,但是也得承认,记录不同性质、内容信息的数据,其社会意义差别还是很大的,因此,不同类型数据本身的社会价值也会有很大差别,侵犯同一数量但不同类型数据行为的危害性当然也会存在相当大差别。数据安全都需要刑法保护,并不意味着刑法都要给予同等力度的保护。在这方面,数据安全法已经明确规定了“分级分类”的法律保护原则。所谓分类,就是针对数据所涉及的领域或行业部门,或者针对数据所关联的信息内容,将数据进行类型划分。所谓分级,则是根据数据涉及法益的价值重大性程度,在分类的基础上,再将同类数据进行级别划分,对不同等级的数据给予不同程度的法律保护。《数据安全法》将数据区分为国家核心数据、重要数据和一般数据,分别采用严格保护、重点保护和一般保护的原则。刑法在对数据进行保护时,当然也得遵循这种分类分级保护原则,这是罪责刑相适应原则的当然要求。
根据分类分级保护的要求,刑法首先必须重点保护国家重要领域的核心数据不受侵犯,严厉惩罚这方面的危害行为,对此实行零容忍;其次严惩侵犯重点数据的危害行为;而对于侵犯一般数据的,重点惩处涉案数量大、造成负面影响广、社会影响恶劣的危害行为。刑法可以针对特殊类型或者特殊级别的数据保护需要规定特殊的罪名,也可以考虑在同一罪名下,根据不同类别、不同级别数据的意义,对侵犯行为规定不同的入罪门槛和量刑标准。
四、刑法应当对数据安全进行协调性保护
在当代社会中,数据的存在对于社会的意义也具有双重性,它既能促进社会的快速发展,同时又可能给社会造成重大风险。这种情况下,我们需要做的,就不是一味通过法律限制数据的收集、流动和使用,而是要对数据的产生、汇集、流动、加工、使用、公开、提供等各个环节进行严密的法律规制,尽量提前识别、防范可能出现的风险,但也要防止不当地干预正常的数据应用行为。刑法作为国家规制社会行为的最后手段,在全面介入保护数据安全的前提下,也必须坚守刑法的谦抑精神,协调好保护和发展的关系,协调好刑法与其他法律的关系。
这里有几点考虑:一是在国家保护数据安全方面已经建立起比较完备的行政法保护体系的前提下,刑法介入干预危害数据安全的行为,必须以行为明确违反相关的前置行政法规为前提,避免再出现行政法规制缺失,刑法冲在前面的反常现象。
二是对于侵犯数据安全的行为设置合理的入刑起点,恰当区别违法与犯罪行为,对于侵犯一般性数据的行为,可以适当提高入罪标准,收缩打击面。
三是在司法中,对于利害交融,危害不是十分严重的侵犯数据行为,介于罪与非罪之间的行为,刑法不要轻易介入,要设立相应的出罪机制。
同时,也要防止一些机关、单位不合理地限制数据资源的社会共享,因此,在审查一些行为是否危害数据安全时,还要具体分析数据拥有主体限制数据使用的做法是否具有合法性、正当性。
《东方法学大讲堂》由上海市法学会特约供稿,专题统筹:秦前松。
责任编辑:秦前松