【中文摘要】个人数据上汇集多方主体的不同性质的权益,它不同于一般的私权物品,也不宜作为公共用品。依据个人数据在不同场景中所涉权益的性质,我国刑法对个人数据的保护共有四种模式,即经济秩序保护模式、人格权保护模式、物权保护模式与公共秩序保护模式。考察刑法对个人数据的保护,不足之处在于:对数据滥用的行为缺乏必要的规制;有些罪名的适用无法准确揭示相应行为的不法本质;犯罪化不足与犯罪化过度的问题并存;对数据主体权益的保障显得不足。就刑法保护框架的合理化而言,需要在四个方面实现观念性的转变。个人数据虽具有财产或经济属性的面向,但不应归入财物或知识产权的范畴;虚拟财产不具备财物的特性,不应在一般意义上作为传统财产犯罪的对象。有必要从立法论与解释论两个层面,对我国刑法对个人数据的四种保护模式作出相应的调整。
【中文关键字】个人数据;数据权利;数据滥用;虚拟财产;《通用数据保护条例》
【全文】
一、导言
网络与信息技术的运用,正在深刻地撼动与改变我们所处的世界,也使得数据变得前所未有的重要。在生活的方方面面均由数据驱动的今天,数据更像是我们呼吸的空气,而不只是21世纪的“石油”。1大数据时代的来临,其表征之一就是对与个人相关的数据的海量收集、分析与利用。海量数据市场被认为将取代传统货币市场,数据所带来的经济重启,会深刻地改变市场运作的基本机制,重塑人们所熟悉的资本主义经济,其重要性堪比工业革命。无论从商业经济还是社会管理的角度而言,个人数据都具有不容忽视的巨大价值。这意味着,个人数据必然会成为包括刑法在内的法律规制的对象。法律需要跟上科技的步伐,对数据的流动与利用进行必要的监管。毕竟,技术存在的目的是为了让人们生活得更好,它只是实现目的的一种手段,是一种装置、一种方法或一个流程。而数字科技不只是带来隐私与安全的问题,也正在对民主与自由的体制形成重大的冲击。因而,如何根据个人数据的特殊性质,发展出适应于大数据时代需要的包括刑法在内的法律规制框架,构成当前各国所面临的共同难题。
晚近以来,我国在刑事立法与司法上已经作出积极的回应,但总的说来,仍然停留于对原有框架的修补,而并未实现基本范式的转型。我国现有的刑法规制框架,能否为个人数据提供适当的刑法保护,无疑值得做必要的探究。作为在数据科技与经济领域走在世界前列的国家,怎样的刑法规制框架才能在自由、安全与发展之间达成合理的平衡,从而满足大数据时代对复杂社会进行治理的要求,是法律领域迫在眉睫需要解决的问题。基于此,梳理与归纳中国现有刑法规制框架的基本特点,在此基础上就其整体展开反思性的审视,考察其中的得与失,便有着重要的现实意义。这构成本文的问题意识。
值得指出的是,本文使用“个人数据”而非“个人信息”的概念,是基于两点考虑。其一,严格说来,“数据”与“信息”的具体指涉有所不同。“数据”侧重于突出载体或媒介本身,而“信息”强调的则是所要传达的内容与本质。因而,信息具有更为深刻的内涵,它不只可以通过数据的形式来呈现,也可以借助其他的媒介。不同的媒介,包括文字与印刷术,是作为不同信息技术的产物而存在。每一种新出现的信息技术,都在当时催生了信息储存和传输的新需求;而每一种新出现的媒介,都会对人类思维的性质加以改造。本文关注的对象主要是以电子数据形式出现的个人数据,不包括以其他媒介呈现的个人信息。其二,本文所称的个人数据,基本是在欧盟《通用数据保护条例》(General Data Protection Regulation,简称GDPR)的意义上使用,指的是已识别到的或被识别的自然人(“数据主体”)的所有信息。它要求与数据主体具有相关性。所谓的相关性,是指某项信息源于数据主体自身,或者主要被用于评价或影响数据主体的行为或状况,又抑或从结果角度看该信息确实有可能将特定数据主体区别于其他人,并可能对其权益产生影响个人数据既包括属于个人的数据也包括关于个人的数据,在中文语境中,它可能比个人信息概念的外延要广一些。比如,网络运营公司数据库中的游戏装备、游戏币与充值卡兑换号等,本质上也是数据,但其与作为数据主体的个人并不相关。不过,当这样的游戏装备与游戏币等进入个人的账户,由个人占有与使用时,便成为属于个人的数据。反之,网络运营公司因业务需要所合法收集的个人数据(如消费记录、搜索记录与网页浏览记录等),属于企业控制的数据,但它们仍是关于个人的数据。由此而言,本文对个人数据的刑法保护的探讨,并不局限于中文语境中的个人信息,而是也包括涉及虚拟财产的个人数据等。
本文第二部分首先论述个人数据的特性与法律地位。在此基础上,第三部分对中国刑法对个人数据的保护情况进行归纳与梳理,以便为相应保护框架勾勒出基本的轮廓。第四部分意在指出我国现行关于个人数据的刑法保护框架的缺陷。第五部分认为,基于补正其缺陷的考虑,有必要在价值立场与观念上实现相应的转换,主张应当在行业自律与政府监管相结合的治理机制中,来考虑刑法保护框架如何调整的问题。第六部分强调需要根据不同的风险类型与所侵害法益的性质,来为个人数据提供多元化与类型化的刑法保护。
二、个人数据的特性与法律地位
数据是由人类自己所创造。个人数据作为一种资源,具有再生性与非竞争性的特点。再生性使得个人数据的规模呈不断扩张的态势,而非竞争性则使得个人数据可反复使用,并供不同的主体共享。尤其是,相应的数据虽然是因个人的行为或活动而产生,但是,在此类数据上,不仅涉及公民个人隐私、财产或其他个人信息等方面的权益与控制处理主体(也称控制者与处理者/controller and processor)对数据的控制、分析与使用的权益,而且涉及数据科技产业的行业性利益与整个互联网经济发展布局的利益;此外,还可能涉及公共安全与国家安全等方面的利益。可以说,个人数据经常汇集多方主体的不同性质的权益。相应的主体之中既有公法益主体,又有私法益主体,而私法益主体中既有自然人,又有公司等组织。同时,对于单一的主体而言,个人数据既可能涉及人身权利,也可能涉及财产权益。数据这样的特性,使得对其进行准确的法律定位变得相当困难,也难以纳入特定的部门法中来解决。
这意味着,思考与探讨对个人数据的刑法保护,应当置于整体的法律框架之中,着眼于数据治理的角度来进行。数据法作为一个典型的领域法,聚焦各部门法在数据领域衍生的共性问题,有必要在横向上整合传统法律部门要素,在纵向上突破部门法的壁垒,通过不同研究角度和方法来探索数据全生命周期的普遍规律,形成具有内生性、协同性的整体数据法律研究框架。就当下而言,数据治理的整体法律框架尚未形成,尚处于发展过程之中。尽管如此,刑法对个人数据的保护,仍需有意识地摆脱部门法的狭隘,通过往返观照数据法的整体框架来作相应的调整。
由于个人数据在权益结构上的复杂性,采取传统的私权主义保护进路,能否兼顾各种权益之间的平衡,便不可避免地引发相应的争议。这些争议包括:第一,个人数据是作为私权意义上的物品来对待,还是应视为公共用品?第二,对个人数据的保护,是主要采取私法保护模式还是公法保护模式?第三,对各类主体而言,其对个人数据所享有的究竟是一种权利,还是只是单纯的利益?第四,对于数据主体/data subject(也称信息主体)而言,其对个人信息所享有的权利,是作为不容剥夺的绝对权利还是可予相对化处理的一般权利?第五,数据主体对于个人数据的权益,主要涉及的是积极的控制权能还是消极的防御权能?
前述争议之中,最为关键的应当是对第一个问题的回答。如果认为个人数据是作为公共用品而存在,则对其的保护,便不可能采取以私法为主的保护模式,而必然倾向于动用包括行政法与刑法在内的公法来进行保护。由此而言,对各类主体而言,包括数据主体在内,对个人数据所享有的便不可能是排他性较强的权利,而只能是单纯的利益。相应地,由于个人数据属于公共用品,而数据主体对数据所享有的也并非一种权利,其自然只能行使消极意义上的防御权能,而不包括积极的控制权能。
梅夏英教授便属于此阵营中的代表人物。梅教授认为,数据缺乏民法中客体物所必须具有的特定性与独立性,其作为客体与民法中客体实体权利表彰功能也不相契合,故不应作为民法上的客体;同时,在数据之上也难以建立类似知识产权的权利,知识产权中的财产权主要体现为流通垄断权,而缺乏智力成果内容的数据无法构建这样的垄断性权利。他认为,目前私法对于数据权益界定的理论尝试均有局限,无论是隐私权模式、个人信息自决权模式还是人格权兼财产权模式,都不能很好地解释数据的流动和控制问题;将数据客体化和权利化难以契合数据价值的来源和运作方式,它忽视了数据本身的分享和流动的惯常性存在,以及数据排他性占有的现实困难。基于数据的互惠分享构成互联网赖以生存的基础生态规则,同时考虑其无形性、可分享性以及公共性,梅教授因而主张数据应当视为公共用品,按互惠分享的原理来构想对数据的法律保护,法律保护需要实现从私益保护面向到公益保护面向的转换。吴伟光教授也是相应观点的支持者。他从大数据技术下的社会可能超越私权利社会而形成合作共享的有机社会的角度,来论证私权保护路径已丧失存在的社会基础,认为作为公共物品并以公法来规范个人数据的使用更具合理性和可行性。
与之相反,如果坚持个人数据仍属于私权意义上的物品,则对其的保护,必然优先考虑用私法来进行保护,只是在私法无法进行有效救济的场合,才会考虑补充性地运用公法来进行保护。在此种构想框架中,对于数据主体来说,其对个人数据所享有的必定属于一种权利。至于这种权利的具体属性,则需要作进一步的探讨。首先,这种权利究竟是隐私权、一般的人格权还是个人信息权,抑或是人格权的财产权化;其次,数据主体所享有的这项权利,到底是作为不容剥夺的绝对权利,还是可予相对化处理的一般权利而存在。同时,对于个人数据的控制者与处理者来说,其对数据的控制权益是否视为是相应主体的权利还是利益,它是一种财产利益还是其他的经济性利益,也均需作进一步的确定。由于数据主体对个人数据享有相应的权利,其权利内容自然是既包括积极控制权能又包括消极的防御权能,相比于后者,积极控制权能势必构成权利的主要内容。
尽管公共用品说在我国法学界有一定的影响力,多数观点仍倾向于首先从私权意义上看待个人数据,认为应作为民事权利的客体,尝试用私法来提供先行的保护,同时辅之以行政性保护与刑法性保护。作为数据主体的自然人,其对于个人数据所享有的权利性质也得到确认。由于隐私权在我国法律语境中指涉的范围较窄,难以将所有具有可识别性的个人信息涵盖在其中,故而,数据主体对于个人数据的权利,基本上不再被理解为是隐私权,而被认为是独立于隐私权的独立的个人信息权,它的主要内容涉及对个人信息的自我决定权。信息的自决权是否具有宪法上的基本权利性质,这一点尚未得到应有的讨论。至于合法控制与处理个人数据的公司等组织,从实务的做法来看,其对所控制的个人数据没有被承认为是权利,而是作为一种应保护的经济性利益受到确认。
从我国现行法律规定来看,也大体上能得出是持个人数据作为私权之物的立场。尤其是,个人数据中具有可识别性的部分,即个人信息,已被明文规定为属于个人的权利。在我国,个人信息的权利属性最早由《刑法》所确认。2009年《刑法修正案(七)》增设非法获取公民个人信息罪(《刑法》第253条之一),该条规定为2015年《刑法修正案(九)》所修正,罪名变更为侵犯公民个人信息罪。民法的相关规定,包括2013年修订的《消费者权益保护法》、2017年施行的《民法总则》第111条,以及2020年通过的《民法典》人格权编中设立“隐私权和个人信息保护”专章,也均确认公民对个人信息的私权属性。自然,这并不意味着,个人数据只具有个人信息意义上的权利属性,它同时被认为具有财产的属性,尤其是对于合法控制与处理个人数据的主体而言。除了人身权利与财产属性之外,根据我国的《网络安全法》等行政法规,对个人数据的法律保护,还会涉及网络空间主权、国家安全与社会公共利益。归结而言,个人数据之上的权益并不是一项简单的权利,而是一种权利集合,它囊括了不同主体在相同客体上所涉及的人格、隐私、财产、主权等多方面的权利。
三、刑法对个人数据的保护框架
汇聚于个人数据之上的权益的集合性与多维性,自然会在我国刑法的保护框架中有所体现。本部分先对我国现行法律在个人数据保护方面的基本立场做出交待,在此基础上对现有的刑法保护模式进行梳理与归纳。
(一)利益衡量进路的立场
我国现行法律对个人数据的保护,与美国的“隐私权保护+行业自律”导向的保护模式差异较大,从相应表述来看,似乎与欧盟的《通用数据保护条例》的立场较为接近。比如,法律界对于个人数据的权利主要用的是个人信息权而非隐私权的表述,对个人信息权的具体内容的解读,也主要参照《通用数据保护条例》的相关规定,并在个人控制与自我决定的意义上来界定个人信息权的本质。在这其中,尤其受到源自德国的信息自决权理论的重大影响。不过,我国对个人数据的法律保护,至少在两个方面上明显不同于《通用数据保护条例》。
一方面,我国的个人信息权基本上是在自我决定的意义上来理解与界定,而这种自我决定主要体现在收集环节的征求同意与信息告知上,并且主要限于直接从数据主体处收集个人数据信息的场合。《通用数据保护条例》所规定的后续的权利内容(即第15条至第21条),包括数据主体的数据访问权、纠正权、限制处理权、移植权与拒绝权等,尤其是数据主体向独立监管机构以及司法机构提起诉讼的权利,基本上没有被吸纳入我国现行的法律规定之中;同时,我国现行法律也没有像《通用数据保护条例》第9条的规定那样,对包括显示种族或民族出身、政治观点、宗教或哲学信仰与生物数据等特殊种类的个人数据处理,作出特殊的原则性限制。这意味着,在我国,数据主体对于个人数据享有的权利内容,要较《通用数据保护条例》所规定的范围要窄得多。而即便是要求数据控制者与处理者承担的征求同意与信息告知的义务,也流于法律层面的宣示,在实践中并未得到严格的执行。
另一方面,政府在其中扮演的不仅是强监管者的角色,更发挥着主导者的作用。它不只是以数据主体的保护者或利益冲突的调解者的面目出现,同时也是作为重要的个人数据的控制主体与处理主体而存在。包括国家网信办与各级公安、安全等部门在内的公权力机关,其工作内容本身就涉及对大范围的海量个人数据的收集、保管与使用。这与《通用数据保护条例》为政府所设定的角色有很大的不同。
前述两个方面的不同,可能源于《通用数据保护条例》与我国现行法律在基本价值取向上的差异。《通用数据保护条例》有一条明显的主线,那就是强化数据主体对于数据的控制权,并通过兼顾人格权与财产权的方式予以保护。这种强化,不仅表现为保护范围的拓展,将公开的个人信息也包括在内,而且表现为保护方式的升级,由强制事后补救的消极防御转向事前防范式的主动防护。基本上,它采取的是法权保护进路,表现出优先保护个人数据权利的倾向,据此而对数据的控制者与处理者设定了相当高的合规义务。尤其是,《通用数据保护条例》没有赋予数据主体以完全自由交易的权利和赋予企业等实体以数据所有者的权利;在很多规定上,《通用数据保护条例》采取了基本权利的进路,赋予数据以某些不可转让的特征。
与之不同,我国现有的法律采取的是利益衡量的进路,更为强调对数据科技产业及数据经济的保护与对社会秩序的控制。利益衡量进路也为法学界所广泛支持。这使得国家主导、行业自律与个人参与的数据治理模式受到较多的推崇。对此,有论者明确主张,通过对个人敏感隐私信息强化保护,以及强化个人一般信息的商业利用和国家基于公共管理目的的利用,实现个人、信息业者和国家三方利益平衡。这一“两头强化,三方平衡”理论,应当作为我国个人信息保护法的理论基础。这意味着,在我国现有的法律框架中,数据主体对个人数据所享有的权益名为权利,实质上只是作为单纯的利益而存在,它往往很容易被其他利益所超越。由此而言,我国现行的法律框架显然采取的是优先保护国家与社会利益的价值立场。对于数据主体的个人信息权,只有在不影响科技产业与数据经济的发展,不危及社会秩序稳定的前提下,才有可能得到有限度的法律保护。我国刑法对于个人数据的保护,也只有置于这样的制度语境之中,才能获得较为准确的理解;缺乏此种参照,便难以洞悉法条字面规定背后的真实本质。
(二)四种保护模式的归纳
从我国现行《刑法》的规定与实务的相应做法来看,涉及对个人数据的保护的罪名,主要包括:(1)规定在分则第三章破坏社会主义市场经济秩序罪中的两个罪名,即窃取、收买、非法提供信用卡信息罪(第177条之一第2款)与侵犯商业秘密罪(第219条),前罪位于第四节破坏金融管理秩序罪,后罪属于第七节侵犯知识产权罪;(2)规定在分则第四章侵犯公民人身权利、民主权利罪中的两个罪名,即侵犯通讯自由罪(第252条)与侵犯公民个人信息罪(第253条);(3)规定在分则第一章侵犯财产罪中的两个罪名,即盗窃罪(第264—265条)与诈骗罪(第266条);(4)规定在分则第六章妨害社会管理秩序罪第一节扰乱公共秩序罪中的两个罪名,即非法获取计算机信息系统数据罪(第285条第2款)与破坏计算机信息系统罪(第286条第2款)。
由于我国刑法基本上是按所侵害的法益类型来安排相应罪名的位置,从前述所列的相关法条而言,可以将我国刑法对于个人数据的保护归纳为四种模式。
1.经济秩序保护模式
窃取、收买、非法提供信用卡信息罪惩罚的是窃取、收买或者非法提供他人信息卡信息资料的行为。他人的信息卡信息资料显然属于个人信息的范围。从该罪位于破坏金融秩序罪之中来看,表明立法主要是要保护金融秩序的利益。因而,就本罪所保护的法益而言,金融安全的风险防控是作为首要法益,而对个人信息权益的保护则作为次要的法益。侵犯商业秘密罪的行为对象中也可能涉及个人数据,像客户名单之类的个人数据,如果控制主体采取保密措施从而满足商业秘密的成立要求,则行为人实施以不正当的手段获取或者超越权限而披露、使用或允许他人使用权利人的商业秘密的,便可能成立本罪。从其在立法中所处的位置与构成要件来看,商业秘密罪保护的并非作为数据主体的自然人的个人数据,而保护的是对相应的个人数据具有控制与处理权限的主体的经济利益。当然,更确切地说,是通过保护权利人的经济利益来实现对公平的市场秩序的保护。归结而言,无论是窃取、收买、非法提供信用卡信息罪还是侵犯商业秘密罪,都是作为侵犯经济秩序利益的犯罪而存在,这样一种为个人数据所提供的刑法保护,可称为经济秩序保护模式。
2.人格权保护模式
侵犯通信自由罪针对的是隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利的行为。该罪保护的法益是公民的通信自由。从解释论的角度而言,电子邮箱中的邮件与手机上的短信或微信中的留言、音频与视频等通讯信息,均有解释为“信件”的余地。只有这样来解释其构成根据,该罪的存在才有现实意义,不然势必成为废弃的罪名。从实务的处理来看,也是倾向于对“信件”概念作扩张性的解释,从而使该罪的构成要件在网络时代得以与时俱进而仍有适用的价值。与侵犯通信自由罪只限于对通信过程中的个人信息予以保护相比,侵犯公民个人信息罪对个人信息的保护要全面与宽泛得多,其中的个人信息只要单独或结合其他信息具有可识别性即可。侵犯公民个人信息罪包括两类行为:一是违反国家规定出售或提供个人信息,二是窃取或者以其他方法非法获取个人信息。刑法理论上对侵犯公民个人信息罪保护的是公法益还是私法益的问题存在一些争论,不过,多数观点倾向于认为它保护的是独立的个人信息权,尽管对信息权的具体内容与范围尚未取得共识。由于通信自由与个人信息权都被归于个体的人格权之下,故侵犯通信自由罪与侵犯公民个人信息罪所提供的刑法保护,可称为人格权保护模式。
3.物权保护模式
盗窃罪与诈骗罪的保护对象都是财物,尽管前者往往作为保护特定财产权利(主要是所有权)的犯罪而存在,而后者被认为是侵犯作为整体的财产的犯罪。因而,盗窃罪的行为对象限于物(包括有形物与无形物),而诈骗罪的行为对象则既包括狭义的财物,也包括债权等财产性利益。不过,无论是盗窃罪还是诈骗罪,作为其行为对象最终指向的物品,都具有稀缺性,在占有与使用上具有排他性。也正是基于此,中国刑法对这两个财产犯罪均配置了很高的法定刑,盗窃罪与诈骗罪的法定最高刑均为无期徒刑。网络时代财产存在形态与使用形态发生重大的变化,包括银行账户、支付宝账户与微信账户在内的财产账户中的电子数据,都可能成为犯罪的对象。比如,利用欺诈的手段而诱使他人进行转账,或者直接侵入他人财产账户窜改电子财产数据等,成为新型的犯罪手段。此类行为在我国,通常是以盗窃罪与诈骗罪等财产犯罪来进行惩罚。由于电子财产数据也属于个人数据的范围,相应行为最终导致被害人对电子财产数据所指向的货币丧失占有,而货币被认为是具有稀缺性与排他性的财物,故以传统财产犯罪为个人的电子财产数据提供刑法保护的模式,不妨称为物权保护模式。从我国司法实务来看,对于窃取他人游戏账号、游戏装备与游戏币等虚拟财产的行为,有不少是按盗窃罪与诈骗罪等财产犯罪来予以处罚。这样的立场,甚至得到最高人民法院相关业务庭的肯定。
4.公共秩序保护模式
非法获取计算机信息系统数据罪与破坏计算机信息系统罪(其中《刑法》第286条第2款专门针对数据与应用程序)均作为保护数据安全的犯罪而存在。前者处罚的是非法获取计算机信息系统中存储、处理或传输的数据的行为,后者针对的是非法对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作的行为。从我国司法实务来看,由于包括个人电脑、手机与iPad等联网设备均被认为是计算机信息系统,故而非法获取储存于其中的个人数据,或者是对之进行删除、修改、增加的操作,可能会涉嫌成立非法获取计算机信息系统数据罪或破坏计算机信息系统罪。由于此时的个人数据,主要是作为与网络安全相关的公共秩序利益而获得刑法保护,故可称为公共秩序保护模式。对于盗取或骗取他人游戏账号、游戏装备与游戏币等虚拟财产的行为,晚近的我国实务似乎更倾向于以非法获取计算机信息系统数据罪来定罪处罚。最高人民法院相关人员对2013年“两高”所发布的关于盗窃罪司法解释的相关说明中,明确对于侵犯虚拟财产的案件可用非法获取计算机信息系统数据罪来处罚的立场。
由上可知,我国刑法并非只是通过侵犯公民个人信息罪来保护个人数据,也不单单是将个人数据当作统一的人身性权利或是统一的财产性权益而给予笼统的保护。相反,根据个人数据在不同适用场景中可能侵害的权益的属性,而利用传统罪名与立法新设罪名,试图为个人数据的保护提供相对全面的刑法规制框架。就此而言,当前法学理论上试图为个人数据寻找统一的法律定位的做法,不仅因陷于传统概念思维的窠臼而显得落伍,也背离我国立法与司法的基本现实,故而并不可取。合理的做法应当是,总结现有立法与司法的得失利弊,在此基础上展开反思性的考察,看是否有必要作出结构性的调整,或是哪些地方有待补正。
四、现行保护框架的反思性考察
尽管数据的地位与性质,在我国当前的法律体系与法学理论中都尚不算十分清晰,但通过刑事手段来保护个人数据的安全,无疑已然成为我国立法与司法的选择。从刑法的相关规定来看,现有的四种保护模式为个人数据的刑法保护奠定了一个基本的框架。在这个保护框架中,既涉及传统罪名的更新适用,也涉及立法新设的罪名,彼此相互补充,试图为不同适用场景下的个人数据提供相对全面的刑法保护。那么,此种刑法保护框架对于个人数据的刑法保护是否合适与足够,是否能够满足大数据时代个人权利保障的需求,这是有必要进一步做探讨的问题。
(一)三个观察性发现的得出
在个人数据的保护方面,对我国的刑事立法与司法现实进行考察,可以得出三个发现。
其一,我国对于个人数据的法律定位,并未摆脱古典时代占有主义观念的影响。
洛克所主张的占有的个人主义(possessive individualism),在他的财产观中有明白的体现。洛克沿袭了格劳秀斯的所属(suum)概念,将财产建立在劳动之上;在其财产理论中,劳动的重要角色在于它是财产的获得方式。我国法律与法学理论对于个人数据性质的通行理解,明显受到这种以劳动理论为基础的占有主义观念的影响,将之作为所属之物来理解与界定。这意味着,对于个人数据,尽管在法律上并没有确认其作为财产的地位,却是按类似于所属财产的范畴来理解个人数据的性质的。这也是为什么当前我国的民事司法实务中,往往认为合法收集个人数据的企业,对相应的数据具有竞争性的财产权益,擅自使用其他企业合法收集的个人数据的行为构成不正当竞争,适用反不正当竞争法的相关规定。这样一种通过劳动而占有相应成果的观念,在1876年一位美国法官的判决中表达得相当清晰:“当一个人通过努力和花费收集材料,并将之转化成对公众有利的信息,这个人就对这些向全世界公开的材料施加了个人印记,因此可以对之享有财产权。”这位法官也正是据此认定,有关股票价格的市场信息在法律上具有财产的地位。
其二,我国刑法对个人数据犯罪的规制,关注的重心放在非法获取而不是滥用的行为之上。
在前述占有主义观念的影响之下,由于我国法律对个人数据的理解,本质上没有摆脱以劳动为基础的财产范畴的制约,故而,刑法中的相关罪名,除侵犯商业秘密罪之外,惩罚的都是破坏他人对个人数据的合法占有的行为。此类破坏行为中,刑法规制的重点又放在非法获得或帮助获得对个人数据的占有的行为之上。无论是归入物权保护模式的盗窃罪与诈骗罪,还是归入经济秩序保护模式的窃取、收买、非法提供信用卡信息罪,抑或是属于人格权保护模式的侵犯公民个人信息罪与侵犯通信自由罪,又或者是属于公共秩序保护模式的非法获取计算机信息系统数据罪,无不针对的是侵犯他人合法占有的行为。破坏计算机信息系统罪中涉及数据的行为类型,针对的是非法对数据和应用程序进行删除、修改、增加的操作,仍属于破坏他人对个人数据的合法占有。此类行为与前类行为的不同之处仅在于,它是通过对行为对象的毁损而破坏他人对个人数据的合法占有。即便是侵犯商业秘密罪,虽然将未经许可使用与允许他人使用商业秘密的行为也纳入处罚的范围,但其本质上关注的仍是由此而对权利人的占有权能带来的破坏性影响,也即最终的财产损失。
其三,我国刑法对涉及个人数据的犯罪的惩罚,偏向于对秩序利益的维护。
个人数据虽产生于个人的活动,但我国刑法主要不是立足于数据主体的权益提供相应的保护,而是着眼于对经济秩序与网络空间中管理秩序的考量。除了在非法获取或提供个人数据的场合,其他大量的对个人数据的侵犯行为,都并非因为侵犯数据主体的合法权益本身,而是因为其涉及对经济秩序或网络空间秩序的扰乱,从而被认为需要予以处罚。此外,只要在收集环节履行基本的告知义务并征得数据主体的同意,个人数据的控制者与处理者,但凡不违反国家规定出售或提供给第三方,其后所有环节的行为,包括如何保管、处理与使用相应的个人数据,只要不危及秩序利益,便不再受刑法的规制。这不仅意味着,在国家、数据控制与处理企业、数据主体的三方关系中,国家的秩序利益受到最为优先的保护,也意味着在控制处理者与数据主体之间,数据主体也处于弱势的地位。归结而言,我国刑法对个人数据的保护,呈现出秩序利益至上,产业发展利益次之,个体权利再次之的格局。法律框架中三方的地位,正好与他们各自在信息社会中的实际处境相对应。
(二)我国刑法保护框架的不足之处
前述三个发现,也可谓是我国刑法保护框架的三个结构性特点。以此审视现有的四种保护模式,有助于洞察我国刑法保护框架所存在的不足之处。
首先,当前的刑法保护框架对于数据滥用的行为缺乏必要的规制。数据的基本特点在于共享性,个人数据之上凝结着各种相互冲突的权益。与非法破坏他人对数据的占有相比,在数据流动化与商业化不可避免的背景下,对个人数据的滥用行为更需要包括刑法在内的法律进行规制。因而,非法获取个人数据的行为固然值得处罚,滥用数据的行为同样需要刑法来给予处罚。可以预见,后者将成为侵害数据权益的首要的不法行为类型。我国现行刑法却根本没有罪名来对付严重的数据滥用行为,由此而导致处罚上的重大漏洞。
其次,当前的刑法保护框架虽也能运用相应罪名来处罚某些侵犯数据权益的行为,但这样的处罚无法准确揭示相应行为的不法本质。对于盗取或骗取个人的游戏账号、游戏币或游戏装备等虚拟财产的行为,我国司法实务中较多地运用非法获取计算机信息系统数据罪来定罪处罚。然而,此类行为的不法本质在于被害人的经济利益受到侵害,以公共秩序保护模式来进行保护,并未能准确揭示相应行为的不法本质,即不法获利而使被害人受到经济损失。这样的问题不仅存在于侵犯个人虚拟财产的场合,也存在于对企业虚拟财产的刑法保护之中。从我国实务处理来看,利用技术手段侵入运营商的计算机系统,并生成虚拟财产予以出售的行为,往往也是按非法获取计算机信息系统数据罪来处罚。实际上,对于运营商来说,其真正关心的根本不是网络空间的秩序,而是企业由此而遭受的经济损失。此外,在行为人非法获取由企业所占有的个人数据时,该行为往往以旨在保护个人信息自决权的侵犯公民个人信息罪来进行处罚,而作为数据控制者与处理者的企业,明明在其中拥有至少同样重要的利益,但相应的利益根本不为刑法所承认。对于报案的企业而言,更为关心的显然是其自身对数据的控制权益受到侵害,而不是数据所涉个体的信息自决权的问题。
再次,当前的刑法保护框架同时存在犯罪化不足与犯罪化过度的问题。一方面,在个人数据的保护上,犯罪化不足不仅体现在未将滥用行为纳入刑法的处罚范围,也表现在对于数据泄露的行为缺乏刑法层面的规制。这样的犯罪化不足还表现在,对于个人生物数据与能显示种族、宗教与政治观点等敏感数据并没有给予特别的保护。“两高”在2017年的相关司法解释中,只是对行踪轨迹信息、通信内容、征信信息与财产信息这四类信息的定罪情节作了不同于一般个人信息的从严要求,却没有对生物数据等更为敏感的数据给予更高的刑法保护。另一方面,对个人数据的刑法保护又存在过度犯罪化的倾向。犯罪化过度主要表现为:一是利用旨在保护具有稀缺性与排他性的财物的传统财产犯罪,来对付侵犯虚拟财产的行为。对侵犯个人的虚拟财产的行为,我国实务时常用盗窃罪与诈骗罪等罪名严加惩罚;对于内部职员利用职务便利侵犯运营商的虚拟财产的行为,则运用职务侵占罪来予以打击。二是对于合法控制者与处理者而言,即便是在数据主体的合理预期范围之内,出售或者向第三方提供个人数据的行为也可能被定罪。按现行刑法的规定,个人数据为合法的控制者与处理者所专有,任何让数据流动或二次使用的行为都可能面临刑事追究的风险。鉴于数据的价值很大部分体现在二级用途上,这样的规定势必不当妨碍数据的合理流动与商业化利用。
最后,当前的刑法保护框架对数据主体的权益保障显得不足。我国有论者批评以个人信息自决权为代表的个人信息自主控制,忽视了现实生活中个人信息的商业实践与数据价值,存在过于强调个人利益而忽视社会公共利益,从而造成利益失衡的问题。27相应论者显然没有意识到,我国法律对于个人权益的保护,首要问题并非保护过度而是保护不足。现实的状况是,个人不仅经常是在不知情的情况下被收集众多数据,而且在数据被收集后完全对之失去控制的权限与可能。与之相应,旨在保障个人信息自决权的侵犯公民个人信息罪,其对信息自决权的保护范围相当之窄,基本上局限于数据收集环节的权利,当前的保护框架并没有对数据主体在数据被收集之后的后续权利提供任何刑法上的保护。在这样的背景下,一味强调对商业利益与其他社会公共利益的优先保护,势必使得对个体权益保障不足的问题变得雪上加霜。如学者所指出的,被滥用的信息技术,一方面,使得少数社会主体从异化的信息社会结构中获益,包括互联网企业得到商业利润与公权力机构得以提升支配能力;另一方面,在信息社会发生结构异化的情况下,较之企业、政府和特定人群,普通公民的权利,特别是言论自由与人格尊严等基本权利正受到严重侵害。
五、刑法保护框架的应然性方向
大数据时代的到来,使得对个人数据的法律保护面临重大的冲击。无论是作为整体的法律体系还是作为部门法的刑法,都莫不如此。从前述对我国当前的刑法保护框架的反思性考察来看,由于存在一些固有的不足,该框架正面临作出应然性调整的问题。刑法保护框架应当往什么方向努力,这个问题不能仅立足于刑法内部来考虑,而需要着眼于整个法律体系的走向。在数据科技不断发展的今天,对于信息隐私的全面保护,需要突破传统的部门法思维局限。互联网环境下的数据处理流程及其相关利益,并非某个传统的部门法能够描述与涵盖。不管个人信息保护是否构成独立的法部门,对刑法保护框架的调整,都理应置于整体法体系的视野之中予以考虑。
(一)价值立场与法律的间接调控
在我国,无论是实务界还是法学界,对于欧盟《通用数据条例》所主张的强势保护个人数据权利的立场,多数观点在作部分肯定的同时,往往以影响数字科技与经济的发展为由而提出批评,认为中国不应盲目跟风追随欧盟的权利主导立场。担心强势保护个人数据权利可能影响产业利益与经济发展动力的担忧可以理解,但本文并不赞同这种无视现实而过于追求效益的价值立场。
就我国当前的情况而言,对个人数据的法律保护,绝非保护过度而是保护严重不足的问题。在此种情况下,担心过度保护个人权利而影响数字经济,就好比身处沙漠急需用水的旅行者,不去考虑缺水问题如何解决,反而一直表达对水灾的担忧。这样的担忧未免不合时宜。更何况,由于信息技术对信息社会具有奠基作用,滥用信息技术可能直接造成信息社会的结构异化,从而产生技术反噬效应的问题:对我国近年来四起网络舆情事件的观察表明,在信息过剩的背景下,被滥用的信息技术有的异化了信息优化的社会结构,导致“逆向淘汰”效应;有的异化了信息监控的社会结构,导致“全景敞视”效应;有的异化了信息传播的社会结构,导致“加剧排除”效应;有的异化了信息交互的社会结构,导致“异议阻却”效应,由此而严重侵害公民的基本权利。这并非杞人忧天,而已成为必须警惕的严重社会风险。基于当前中国的现实,根本上在于对个人数据权利的保护过于微弱,故而借鉴欧盟的做法,倡导一种强势保护个人数据的价值立场有其必要。至少可以说,权利主导的进路对于如何推进我国的个人数据保护具有重要的参考价值。在数据主体不断被客体化的时代,如果国家不通过法律提供一个“以数据权利为基础的安全环境”,数据主体将因缺乏控制数据的能力,而不可能获得真正的数据自由;基于此,数据主体需要为数据权利而斗争,斗争也正是数据法律的生命。
如果人类希望掌控自己所构建的技术系统,便需要为接近技术、理解技术与掌控技术探索出方向。就对技术的掌控而言,需要强调公民对公共议题的积极参与,以此推动构建一种将政府规制与行业自治相结合的治理机制。
一方面,在一个“商业监视”(surveillance capitalism)的时代,我们因网络搜索、通信、数字定位、购物和社交媒体活动而暴露的个人信息远多于我们希望分享的,这赋予科技公司难以置信的权力。因而,采取放任的政策而单纯借助市场化的自治机制,难以使科技公司受到应有的约束,更无法迫使其承担起应有的社会责任。另一方面,社会系统的极度复杂性,使得想要准确把握其中的因果作用机制变得不可能,理性算计的方法与以此为基础的治理机制都面临分崩离析的处境。社会治理权力变得分散,国家被迫将部分治理权力让渡给互联网企业分享。可以说,在信息社会,互联网企业客观上正在分享原本归于政府的社会治理权力(包括准立法权、准行政权与准司法权),作为处于第一线的治理者,其利用代码对网络公共空间实行通过技术的社会治理。在代码支配的网络空间内,倘若国家接管一切,随意介入本应自治的领域,治理中的失误经过系统的作用被放大,极易造成不可容忍的失控状态。
这意味着,信息社会的治理需要实现规制与自治的功能互补。有必要倡导一种反思性的法发展范式,法律在尊重各功能领域的规范自我生产的同时,推进各领域进行反思性的自我控制,使得相应的规范生产机制合乎法治框架的要求。换言之,对于信息社会的治理,法律需要采取间接调控的方式,不宜直接介入对信息技术的计划和控制。由此,法律的任务是按照法治原则为互联网企业的治理权力划出明确界限,通过提供组织规范、程序规范和赋权规范,促使它们优化治理结构、实现内部制约,有效防止它们滥用治理权力和逃避社会责任,协调它们相互之间的权力冲突;与此同时,政府的任务不应是控制互联网企业和互联网用户的行为,而必须依据法律为互联网企业设定治理目标、规定治理义务、施加治理责任,同时保障互联网用户的基本权利,支持利益各方在合理的程序框架和平等的组织框架下共同决策,形成公平的、负外部性最小的治理规则。
(二)刑法保护框架的观念性转变
在确定法发展的基本范式之后,需要进而探讨在个人数据的保护上,现有的刑法框架应当在观念上实现什么样的转变的问题。只有在观念上实现相应的转变,才能为如何具体校正刑法对个人数据的保护模式提供有益的指引。
首先,需要摆脱占有主义的所有权观念的影响,避免对个人数据的法律性质下统一的定义;应当根据个人数据的具体类型及其在不同场景中所牵涉的权益,作出有针对性的界定。
数据具有共享性,这使得它难以作为单纯的私权物品予以保护。对于数据法律性质的界定,因此有必要摆脱大陆法系以占有为基础的所有权观念的影响,而从英美法对财产的权利性界定中汲取灵感。大陆法系的财产概念,以对有体物的绝对所有为基础,强调实体物本身的归属,所有权体现的是个人与实体物的紧密结合;在英美财产法中,财产并非以个人占有实体物来衡量,而是以抽象的财产权利为基准来衡量,即财产主要表现为对物上某一权利的享有。这意味着,个人数据不应作为私人性或公共性的物品来理解,而有必要理解为权利束。正如财产的概念所经历的发展那样,不被认为是物质对象本身,而是个人在“物”之上享有的权利组合,即财产是由权利不是物构成。
在确立个人数据是由权利束而非物所构成的前提下,就无需再讨论它归属于谁的问题,由何者实际占有或控制也并非关键。重要的是,相应的主体对数据是否享有权利,享有何种性质的权利或利益。对此,有必要根据数据的类型及其在不同场景中所牵涉的权益的性质,来展开相应的构建。
由于不同的数据类型对个人有着完全不同的意义,这意味着,不区分数据的类型而提供笼统的法律保护并不可取。个人数据中既包括基因、人脸与指纹这样与个人生理密切相关的生物数据,也包括显示种族与民族出身、政治观点、宗教与哲学信仰等敏感信息,还包括个人征信、通信内容、行踪轨迹与财产信息等与个人自由切实相关的信息,此外,也包括姓名与工作单位等公开程度很高的社交信息。按照数据的具体类型而为之提供不同程度的法律保护,这样的思考方式具有合理性。我国有论者依据是涉及个人私密领域、人际交往领域还是社会公共领域,按照涉及人的尊严、人的自由还是社会价值,来对个人数据进行分类。尽管对数据如何划分类型的标准可能存在争论,但前述观点在思路上给人较大的启发。
除考虑个人数据的特定类型之外,还有必要进一步考虑具体的适用场景。即便是相同的数据,在不同场景中也可能会涉及不同的权益,包括不同主体的权益与同一主体的不同性质的权益。就此而言,单一的界定路径并不可取。正如我国学者指出的,无论是开放性的人格权还是以同意为核心的财产权,都难以为数据收集与处理提供较为合理的合法性边界,因为二者都以形式主义的观点来看待,都把个人数据保护视为脱离语境的一般性规则问题,而个人数据保护与流通其实是一个高度场景化或语境化的问题;基于此,借鉴欧盟《通用数据保护条例》与美国《消费者隐私权利法案》的做法,以语境化的消费者预期和风险规制的视角来看待数据隐私的保护较为合理,亦即,不是试图抽象地界定某种权利的边界,而是将权利还原到具体的语境与社群中,来判断人们的预期与权利的边界。
其次,刑法保护框架有必要实现三个转换:在价值取向上,实现从社会秩序导向到个体权益导向的转换;在规制的重心上,实现从非法获取数据的行为到滥用数据行为的转换;在数据主体的权益内容上,实现由单一的消极防御权能到以二者并举且以积极控制权能为主导的转换。
第一,在价值取向上,我国对个人数据犯罪的刑法规制偏重对秩序利益的维护,但这样的做法并不可取,有必要实现从社会秩序导向到个体权益导向的转变。即便基于对数据商业化流动的考虑,在法律上也应赋予数据主体充分的控制权限。对于严重侵犯数据主体控制权限的行为,可考虑运用刑法的手段来打击。虽然本文并不认同莱斯格教授将信息隐私完全私有化而统一按财产制度来保护的意见,但是,他所主张的让每个人能够控制自己的信息的立场,本文深表赞同:让我们控制个人信息使我们得到安宁的制度,就是与公共利益协调一致的制度,公共权力机关对此理应给予支持。在某种意义上,虽然个人数据是存储在为互联网企业所有的数据中心,但用户才是电子邮件、照片、文档与即时消息的主人,企业只是他人之物的管理者;作为管理者,在使用这些数据时显然不应当只考虑自己的利益,而需要同时立足于服务这些数据的主人。不然,不仅有反客为主之嫌,还可能危及整个社会的民主与自由。
第二,在规制的重心上,我国刑法主要关注的是对非法获取数据行为的处罚,但数据流动中真正有危害的其实是对数据的非法滥用,所以,有必要实现从非法获取数据的行为到滥用数据行为的转变。在互联网时代,连接最为重要,连接之后便是共享。共享型经济的核心便在于使用,就个人数据而言尤其是如此。与传统财物不同,对个人数据的使用与分享不会减损其本身的数量与价值,这与对思想的分享比较相似。“无论多少人分享这个思想,都不会减少它的数量,即,每个人都拥有它的全部。就像你用我的蜡烛点亮了你的屋子,你得到光亮的同时并没有使我陷于黑暗。”对于通过数据来呈现的信息而言,用来区分拥有者和非拥有者的因素,与其说是占有(信息所有权)不如说是使用(信息访问权)。
所以,“政府针对海量数据市场的监管不应该是限制信息收集,而应该是限制来自一方的信息如何被对方使用,换句话说,政府监管应该关注数据使用限度,而不是数据收集。因此,使用数据来改善最优匹配可以得到鼓励,但是利用数据来促进低效率的信息不平衡会被阻止”。这意味着,法律必须建立以保护合理使用为核心的规范体系,相应地,刑法规制的重点,也理应放在对数据的非法滥用行为的打击上。按洛克的财产理论,财产的合理性对于财产的使用强加了明确的限制,如果财产的使用方式对其所致力于维护的真正社会繁荣带来危险,便不能以这种方式来使用财产。就像对财产的使用会受到限制那样,对于个人数据的使用,理应遵循类似的原理。刑法对个人数据的保护,旨在规制各类对数据的使用会给真正的社会繁荣带来危险的行为。
第三,在数据主体的权益内容上,单纯注重事后防御无法为数据主体提供周全的保护,有必要实现由单一的消极防御权能到以二者并举且以积极控制权能为主导的转变。传统的隐私权保护偏重于事后的消极防御,这种模式难以适应大数据时代的保护需要。由欧盟《通用数据保护条例》所代表的同时强调事前控制与事后防御且以事前控制为主导的模式,有助于防止与避免数据专权或独裁现象的出现。《通用数据保护条例》中“自设计开始的个人数据保护”(data protection by design)可谓主动防护性的最好例证,它要求在设计产品和服务时便应充分考虑数据保护的要求;“自设计开始的个人数据保护”强调事前预防而非事后救济、默认保护而非专门保护、设计内嵌的防护而非事后追加保护设计、全面防护而非局部保护、开放保护而非封闭保护、合作性保护而非对抗性保护。可以说,若是不赋予数据主体对于个人数据的积极控制权能,在政府、企业与个人的三方关系中,绝大多数的个人将难以扭转自身在异化的信息社会结构中所处的绝对弱势地位,也无法有效地避免因信息技术的滥用而可能遭受的各种侵害。
再次,从方法论而言,对于个人数据之上所汇集的各种权益,采取单一的法权进路或是利益衡量进路均不可取。应当根据个人数据的类型来采取不同的进路,对普通的个人信息,可以采取利益衡量的进路;对敏感信息特别是生物数据,应当考虑采纳法权进路。
个人数据上汇集不同主体的不同权益诉求,因而,一种合理的刑法保护框架,必须考虑对不同权益之间的关系作出尽量合理的安排。对此,统一的法权进路或是利益衡量的进路,可能都存在一定的缺陷,难以在分享与控制之间达成必要的平衡。前者的缺陷在于,不分场合过于偏重对数据主体的权利的保障,这将严重妨碍数据的合理化流动,从而影响数据科技与经济的发展。后者的缺陷在于一味强调对数据产业、商业经济与公共秩序等公共利益的保护,严重威胁个体的自由,存在导致数据独裁的危险。原则上,与个人生理或精神的关系越密切的个人数据,越应归入人格权的范围中予以保护,且不容许随意为其他的利益考虑所超越;反之,与个人的人格尊严在关联性上越是疏松的数据,越可以作为利益来对待,也越容许较多地考虑数据商业性流动的需要。究竟是作为权利还是单纯的利益,是基本权利还是一般权利,是人身权利还是财产权利,相应的权益是否容许转让,是否可予商业化等等,无疑都与数据的类型存在关系。比如,相比于普通的个人数据,生物数据的商业化显然原则上应予禁止,充其量限于在医疗这样的特定场景中分享与使用。
最后,从风险分配的合理化考虑,在个人数据的刑法保护中,应当适用主要由控制者与处理者来对相应风险及结果负责的归责原理。
为有效地预防不可欲的风险,防止集体的不负责任的现象的产生,当代刑法逐渐形成这样一种归责原理,即风险属于谁的管辖范围,谁便需要对风险及由此产生的结果来负责。“对创设风险的这种管辖,是基于这个原则:任何一个对事实发生进行支配的人,都必须对此答责,并担保没有人会因为该事实发生而遭到损害。支配的另一面就是答责。按照这一原则,任何人都必须安排好他自己的行为活动空间,从这个行为活动空间中不得输出对他人的利益的任何危险。”这样的归责原理,理应也适用于对个人数据的刑法保护。
在个人数据的问题上,以同意机制为基础的法律保护框架,显然是将对个人数据的保护责任主要放在数据主体而非控制者与处理者之上,一旦数据主体表达同意,后续的风险及其结果便要由数据主体来承担。问题在于,在数据的商业化流动中,商业性利益主要由收集、保管与使用数据的控制者与处理者所享有,包括泄露与滥用的相应风险本身也是由其所创设,但控制者与处理者竟然不是作为主要的风险承担者。相反,数据主体被迫负责经同意之后的后续保管与流通环节中的风险及其现实化的后果。这样的归责方式既有失公平,也难以起到威慑与预防的效果,对数据控制者与处理者的合规缺乏必要的激励。根据刑法归责中的管辖原理,由个人数据收集、保管与使用而产生的风险,理应主要由控制者与处理者来承担。这也是为什么舍恩伯格会认为,在大数据时代,“告知与许可”难以再起到好的作用,他因而倡导从个人许可到让数据使用者承担责任的转换。后一种保护模式,将“更着重于数据使用者为其行为承担责任,而不是将重心放在收集数据之初取得个人同意上。这样一来,使用数据的公司就需要基于其将对个人所造成的影响,对涉及个人数据再利用的行为进行正规评测”。这意味着,对个人数据的法律保护,其重心应当在于强化控制者与处理者的合规义务。除数据收集的环节外,在数据保管与使用的环节,控制者与处理者也要遵守相应的注意规范与技术标准;若是其违反规范与标准,由此而引发的风险以及风险现实化造成的结果,理应由控制者与处理者来负责。
六、具体保护模式的规范性调整
在厘清刑法保护框架应往什么方向努力的基础上,有必要进而探讨我国刑法现有的四种对个人数据的保护模式,应如何作出具体调整的问题。总的说来,我国刑法对个人数据的保护尚未形成周全的框架,无论在立法论还是解释论上均存在调整的空间。基本的调整原则应当是,根据不同的风险种类和行为所侵犯法益的不同性质,有针对性地采取不同的保护模式。
个人数据的不同场景中,可能呈现的是不同的权利或利益的属性。相对而言,涉及人身权利属性的场景虽也存在争论,但由于个人信息权的概念已广泛为人所接受,相应的争论往往只影响侵犯公民个人信息罪的构成要件解释等具体问题。而对个人数据的财产或经济的属性,则存在认识相当不统一的问题,有必要先行交代本文对此的看法。
数据无疑具有一定的财产或经济的属性,因为它凝结人的劳动,具有经济价值与可交易性,但不能据此即认为它可归入传统的财物。传统财物具有稀缺性,不仅不可再生,在占有与使用上也具有排他性,数据则完全缺乏这样的特点。个人数据也区别于包括专利、商标与作品在内的智慧财产。知识产权保护的这类财产,虽也表现出共享性的一面,但其同时具有权利上的专属性。个人数据显然缺乏专属的特性,难以纳入知识产权的范畴来保护。个人数据可能在形式上与作品较为相似,但它并不具有成立版权保护所需的独创性。版权制度本身是现代印刷技术的产物,传统版权借助排他性的载体,而将原来具有非排他性的信息(作品)构建为稀缺的商品;随着网络与数据科技的发展,载体的充裕性使得作品的稀缺性与排他性遭到破坏,这使得版权制度在网络时代面临结构性的冲击。因而,传统的版权法根本不可能为个人数据提供合理而有效的保护。
这意味着,就其财产或经济属性的面向而言,个人数据既不适合被纳入到传统财物的范畴,也不宜视为是知识产权所保护的无形财产。数据的价值在于它的使用,而不是占有本身;不同于物质性的东西,数据的价值不会随着使用而减少,个人的使用不会妨碍其他人的使用,它也不会像其他物质产品一样,随着使用而有所耗损。个人数据是否有可能成为新的独立的财产类型,尚难断言。19世纪20世纪之交美国法院将市场信息视为财产的判断,相应论证是建立在信息收集首先需要获得激励的基础上,法官认为如果没有对信息的某种形式的财产权保护,信息的生产将减少。然而,个人数据的收集不像市场信息的收集那样,需要在制度上给予相应激励。这使得被用于市场信息应视为财产的论证理由,难以适用于个人数据的收集之上。基于此,否定数据的财产性,而采纳累进数据共享授权的主张可能比较合理,这有助于打破对个人数据的市场集中化与垄断化,防止出现集中控制的倾向。
当然,财产并非那种具有真正本质的东西,它只是一项为实现多种目的而存在的人类制度,从财产概念的历史进程来看,争论的焦点从来就不是抽象的本质;财产从来都只是手段而非目的,财产观念常常被塑造,以服务于特定的目的。个人数据在将来或许成为一种新的财产类型也未可知。但无论如何,虚拟财产不宜在一般意义上被认为构成财产犯罪中的财物。虚拟财产是电子数据通过代码(应用程序)显示的相关信息。就这类虚拟物而言,用户只能在线使用而无法占有和控制,故用户只对其享有使用权而并没有所有权;虚拟物的使用和流动由于受到服务架构设计的严格限制与控制,无法任意改动,与物理世界中的财产不可同日而语,用户实际上根本无法真正从互联网公司那里获得并拥有任何数字财产。
因此,所谓的虚拟财产,既不是民法上的物,也不属于民事权利;相应数据被侵犯,所带来的最直接不利是用户对原有账户的操作权限的丧失,故虚拟财产虽被冠以财产之名,实质上是用户的账户操作权限,而信息工具系统中的账户操作权限不可能属于什么特定的财产或财产权益。既然如此,虚拟财产便不应当也不可能作为传统财物犯罪的行为对象。更何况,我国刑法对于知识产权根本没有采取物权保护的模式,对于财产属性较知识产权更为稀薄的个人数据,自然更不应依赖物权保护模式,运用传统的财产犯罪来予以惩罚。当前我国主流的刑法理论认为虚拟财产可成为盗窃罪与诈骗罪等犯罪中的财物,这样的观点存在疑问。
依据个人数据的具体类型与不同场景中所涉及的权益性质,由此来审视我国刑法中现有的四种保护模式,可以得出如下结论:
(1)关于经济秩序保护模式。盗取或以其他方法非法获取虚拟财产的行为,以侵犯财产罪来处罚并不合适,实务中以非法获取计算机信息系统数据罪来定罪也只是权宜之计,无法真实地呈现此类行为的不法本质。在未来的立法规划中,应考虑放在《刑法》分则第三章破坏社会主义市场经济秩序罪中加以规定。换言之,对于具有经济利益属性的个人数据,宜采取经济利益保护模式,就像对知识产权的刑法保护一样,放在刑法分则第三章中较为妥当;同时,对相应犯罪的法定型配置,理应比传统财产犯罪要轻。至于企业对于个人数据的控制与处理方面的利益,是否适宜作为刑法上的保护法益,尚需进一步斟酌。就目前的情况来看,以反不正当竞争法来进行处理较为合理,刑法立法上没有必要将之纳入处罚的范围。
(2)关于物权保护模式。对于侵犯个人数据的犯罪,是否可适用物权保护模式,取决于个人数据指向的是否是物权意义上的财物。物权意义上的财物,由于在占有与使用上具有排他性,故相比于其他的财产类型,需要刑法提供更高程度的保护。传统的财产犯罪只能用以保护物权意义上的财物。即便如诈骗罪那样,其行为对象中包含债权这样的财产性利益,债权的标的最终指向的也是物权意义上的财物。因而,如果作为行为对象的个人数据,如果最终指向的是物权意义上的财物,就可以采取物权保护模式,运用传统的财产犯罪来追究相应的行为。比如,通过篡改银行账户或支付宝账户中的财产信息,将他人的账户内的金额转移到自己的账户,此类行为可按盗窃罪来定罪处罚。当然,如此地适用盗窃罪,可能对其构成要件的定型性造成重大冲击,也使得其与诈骗罪之间的界分变得困难。理想的解决方式或许是,未来在立法上新增关于计算机诈骗的犯罪。
(3)关于人格权保护模式。如果数据涉及个人信息,且具有可识别性,便可采取人格权的保护模式。从立法论层面而言,由于滥用数据的行为没有规定在现行的刑法之中,故未来的立法中,应当考虑在此种模式下设立独立的滥用个人数据类的犯罪。在设立相关的犯罪时,有必要考虑对不同的个人数据类型进行分类处理,对于人脸、指纹与基因等生物数据或其他敏感数据,显然应当提供更高程度的刑法保护。就解释论层面来说,鉴于隐私权的概念外延较窄,对于侵犯公民个人信息罪的保护法益宜采取内涵较为丰富的个人信息权的概念。同时,在该罪的司法适用中,就其行为对象即个人信息而言,需要根据个人数据的不同类型,对生物数据与敏感数据体现更高的保护力度,未来出台司法解释时对此应予以考虑;就其构成要件行为,即“提供”或“非法获取”而言,在不违反罪刑法定原则的前提下,可以将一些滥用个人信息的行为也纳入其中。至于侵犯通讯自由罪,对其保护法益与构成要件均有必要作适当的扩张性理解,以使该罪名在大数据的时代背景下仍能发挥重要的规制作用。
(4)关于公共秩序保护模式。针对个人数据的行为,如果涉及严重妨碍网络空间公共秩序的,可考虑采取公共秩序保护模式。从立法的角度来看,现有的非法获取计算机信息系统数据罪与破坏计算机信息系统罪,大体上足以处理涉及网络空间公共秩序的个人数据犯罪。对于非法获取他人手机或个人电脑等信息系统中的个人数据,或者对相应数据实行删除、修改、增加的操作的,应考虑按非法获取公民个人信息罪来定罪。以侵犯公民个人信息罪来定罪,有助于准确揭示相关行为的不法本质。此外,侵入他人电子账户而盗取虚拟财产之类的行为,在立法尚未修改的情况下,作为权宜之计,相较于以盗窃罪等传统财产犯罪来追究刑事责任,按非法获取计算机信息系统数据罪来处罚要显得合适一些。
七、结论
1.在个人数据上汇集了多方主体的不同性质的权益,它不是作为一般的私权物品存在,也不宜视为公共用品。我国主流观点倾向于从私权意义上来看待个人数据,并通过私法与公法的规定共同来提供保护。个人数据对数据主体的人身权利属性已为我国法律所承认;在其他场景中,个人数据也可能具有财产或经济属性,或者可能涉及公共利益。
2.欧盟的《通用数据保护条例》与我国主流立场存在较大差异。前者优先考虑保障数据主体对数据的控制权,我国则将经济发展与网络安全等公共利益放在首位。刑法中并非只有侵犯公民个人信息罪用来保护个人数据的安全;事实上,依据个人数据在不同场景中所涉及的权益性质,我国刑法对于个人数据的保护共有四种模式,分别是经济秩序模式、人格权模式、物权模式与公共秩序模式。
3.考察我国刑法对个人数据的保护框架,会得出三个发现:(1)对个人数据的法律定位并未摆脱占有主义观念的影响;(2)对个人数据犯罪的规制,关注的重心放在非法获取数据而不是滥用数据上;(3)对个人数据犯罪的惩罚,偏向于对秩序利益的维护。以此来审视刑法的四种保护模式,不足之处在于:(1)对于数据滥用的行为缺乏必要的规制;(2)利用现行罪名对某些行为进行的惩罚,无法准确地揭示相应行为的不法本质;(3)同时存在犯罪化不足与犯罪化过度的问题;(4)对数据主体权益的保障显得不足。
4.我国刑法对个人数据的保护框架,需要实现相应的调整:(1)避免对个人数据的法律性质下统一的定义,应根据其具体类型以及在不同场景中所牵涉的权益,作出有针对性的界定。(2)实现三个转换,包括:在价值取向上,实现从社会秩序导向到个体权益导向的转换;在规制的重心上,实现从非法获取数据的行为到滥用数据行为的转换;在数据主体的权益内容上,实现由单一的消极防御权能到以二者并举且以积极控制权能为主导的转换。(3)在方法论上,应根据个人数据的类型来采取不同进路,对普通的个人信息采取利益衡量进路,对敏感信息特别是生物数据考虑采纳法权进路。(4)从风险分配的合理化考虑,应当适用主要由控制者与处理者来对相应风险及其结果负责的归责原理。
5.财产是作为财物的上位范畴而存在。个人数据虽具有财产或经济属性的面向,但不应归入刑法中的财物,也不宜视为像知识产权那样的智慧财产。虚拟财产不具备财物的特性,不应当也不可能作为传统财物犯罪的行为对象。有必要从立法论与解释论两个层面,对我国刑法中四种保护模式作出具体的调整,以便为个人数据的相关权益提供有效而合理的刑法保护。
【作者简介】
劳东燕,清华大学法学院教授、博士生导师。