- 建构数字安全:数据时代的刑法立场
- 李怀胜
- 3900字
- 2025-05-14 16:32:24
前言
当下网络犯罪的蓬勃发展对传统刑法理论、刑事立法以及刑事司法构成严重冲击与挑战。为了遏制网络犯罪的汹涌浪潮,刑事立法颁布了多个刑法修正案,刑事司法也出台了众多司法解释以及指导性案例,意图驯服网络犯罪这个“洪水猛兽”。然而目前我们能看到的是,网络犯罪的罪情发展依然超前于刑法理论与司法实践,且没有被明显遏制的势头。作为例证,帮助信息网络犯罪活动罪在2022年全国检察机关的起诉罪名中已经排到第三位张庆水:《最高检:帮信罪已成为刑事犯罪起诉人数排第三的罪名》,载新华网,http://www.news.cn/legal/2022-07/22/c_1211669528.htm,最后访问时间2023年7月18日。,这距离本罪在《刑法修正案(九)》本书涉及法律名称及刑法修正案的,省略前缀“中华人民共和国”,原文引用不在此限。——作者注中的增设也才不过八年时间,该不该对本罪做“减法”,相信很快就会引发一波新的学术讨论。但帮助信息网络犯罪活动罪作为电信网络诈骗犯罪的上游犯罪,其对下游犯罪的“供给效应”又是无法回避的现实。这个事例也表明,在网络等新兴技术面前,刑法并没有完全找准其角色和定位。当前,网络和信息技术正在以迅雷不及掩耳之势席卷人类社会,编码化的数据、数据化的知识渗透进社会生活的每个角落,并且正在对人类社会进行重新编组,其信息密度已经超出了传统法律的一般负载能力,迫使传统社会规则变动,更迫使传统刑法理论和规则回答这样一个问题:面对信息化时代的挑战,传统刑法究竟该何去何从?本书从技术变迁引发的安全主题的变化入手,沿着网络安全—信息安全—数据安全—算法安全的演进路线,剖析在技术性侵害、利益性侵害和秩序性侵害杂糅的大数据时代,刑法为建构数字安全与数字秩序应秉持什么样的立场与思路。
本书共分三编十章,上编为“从网络安全到数据安全”,包括本书第一章和第二章。
第一章“网络安全的演变趋势及其法律应对”分析了三代网络环境下的网络技术特征及其风险迁移,指出网络经历了从“软件”到“内容”,再到“数据”的发展路线。三代网络环境下网络风险也随之出现了从“技术性风险”到“内容性风险”并存,再到多种风险交织的时代迁移。网络犯罪的指向从最早的技术性侵害到随后的利益性侵害,现在又过渡到现实关系侵害的新阶段。网络安全的法律保护必须统筹“个体利益”“抽象秩序”与“宏观安全”三者之间的关系,建立复合型的网络安全保护体系,我国网络法律监管体系也应当随之进行调整。
第二章“数据安全的法益内涵与刑法规范转向”指出从系统安全到数据安全,是网络安全风险转向的必然结果,从静态安全到动态安全、从单一安全到多元安全、从个体安全到国家安全的转变中,数据安全法益的实践基础逐步确立,并成为数据安全犯罪确立的逻辑基础。数据犯罪遵循了从附属保护到独立保护,从信息犯罪到数据犯罪两条规范演进路径。应当在三个方面完善数据犯罪体系,一是在数据类型的横轴上,要将特定类型的数据保护扩展为一般类型的数据;二是在数据侵害的纵轴上,要将保护数据局部生命周期的行为类型扩展为对数据生命全周期的保护;三是在主观方面,建立数据过失与数据故意并存的双重罪过模式。
本书中编为“个人信息安全的刑法规制”,聚焦于公民个人信息的刑法保护,包括四章。
第三章“侵犯公民个人信息犯罪的保护法益”,从法秩序一体化的视角出发,对民法学界和刑法学界关于公民个人信息的法益内涵的分析进行了系统梳理,进而提出确立刑法层面公民个人信息的应然法益之保护。笔者认为,侵犯公民个人信息罪是法定犯,其并非自然犯的法定犯化,而是法定犯的自然犯化。
第四章“公民个人信息的刑法保护轨迹反思”指出,刑法对公民个人信息犯罪,经历了立法层面的间接保护到直接保护的模式转变,以及司法层面的个人探索与规范解释的交替进行的演变轨迹。其基本思路是规制场景的单一化与公民个人信息内涵的扩张。但这种类比隐私权的保护模式已不适应数据开放共享的时代要求以及信息不当滥用的泛化趋势,技术进步也使可识别性标准面临虚化危机。应当在侵犯公民个人信息罪的行为类型构造、规范射程等多方面进行调整。并引入优越利益原则,作为社会公共卫生事件等紧急事态下个人信息开放的正当化免责机制。
第五章“侵犯公民个人信息犯罪的完善思路”指出,我国对公民个人信息的法律体系,遵循了一条“刑先民后”的保护路径,而随着《个人信息保护法》的生效实施,关于公民个人信息保护的基础性法律体系已完整建立起来。在此背景下,应当遵循法秩序统一原理,对侵犯公民个人信息罪进行规制调适,恢复民法、行政法、刑法的应然规范位置。刑法司法解释对公民个人信息的概念逾越了民法确立的识别性标准,因此刑法的公民个人信息概念应向主流标准回归。同时则应着力构建面向公民个人信息的全生命周期的刑法保护体系。
第六章“个人生物识别信息的刑法保护思路”以深度伪造为视角探讨了生物识别信息的刑法保护。深度伪造作为人工智能深度学习应用的具体场景,当前已带来严重的社会风险,尤其是针对公众人物的深度伪造,更可能对社会秩序和国家安全造成严重冲击与损害,因而引起了世界各国的高度重视。深度伪造的技术本质是人工智能的算法滥用,行为本质是个人生物识别信息的滥用。美国和欧盟等分别采取了专门立法以及借助现有的“数据—信息”规制路径来防范深度伪造的社会危害,在法益定位、立法重点和法律模式上均存在差异。我国刑法目前基于目的性行为的结果归责思路和基于公民个人信息保护的前端归责思路,忽略了深度伪造法益侵害的独立性以及个人生物识别信息保护的特殊需求,无法完全实现刑法的规范目的。深度伪造的规范本质是身份盗窃行为,有必要在刑法中引入身份盗窃,既能建立“公民个人信息—身份信息—生物识别信息”的梯次加重保护体系,填补“合法获取+不法利用”个人信息的刑法评价空白,并顺带规制传统的身份盗窃行为,增强身份盗窃入罪化的扩散性立法效应。
本书下编为“数字安全秩序的刑法建构”,数字安全是更高标准的数字秩序,秩序是最低层次的数字安全。本编包括四章。
第七章“虚假信息犯罪的罪名体系调整思路”指出,中国刑法早期的编造、传播虚假信息犯罪侧重于保护个体利益价值,而此后的有关网络诽谤的司法解释和《刑法修正案(九)》更关注一般性的公共秩序价值。刑法中编造、传播虚假信息犯罪的罪名体系初步形成。《刑法修正案(九)》关于编造、传播虚假信息犯罪的条文,虽然进一步扩大了“虚假信息”的范围,织密了刑事法网,但是它回避了有关网络诽谤的司法解释的立法正当性问题,又可能造成虚假恐怖信息与新设的四类虚假信息的界限不明等问题,是一次不完美的立法修正。应有的解决方案是,取消编造、故意传播虚假恐怖信息罪,将《刑法修正案(九)》中的“虚假的险情、疫情、警情、灾情”改为一般性的“虚假信息”。将《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》中的相关规则吸收进刑法典,最终解决司法解释的正当性问题。
第八章“信息秩序法益与公关犯罪完善思路”认为,有偿删除真实信息或者有偿发布虚假信息等网络“公关”行为严重扰乱网络空间秩序,有追究其刑事责任的必要性,但是有关司法解释依照非法经营罪追究有偿删除虚假信息行为的做法,背离了非法经营罪的规范目的,也造成了不合理的司法裁判结果。其症结在于未能准确解读网络信息秩序的法益内涵,以及法益理论丧失了对罪名构成要件的约束功能。网络信息秩序的法益,源自公民的网络信息知情权和信息自决权,是双层次构造的法益类型。网络信息秩序法益的第一层次是网络信息的真实性,第二层次是网络信息的自由流动性。在网络信息秩序法益的指导下,应当重新对网络公关行为进行规则调适,将部分行为出罪化,并将其余行为纳入非法利用信息网络罪的规制框架,以寻求立法正当性与逻辑合理性的统一。
第九章“技术过失及其算法过失的归责逻辑”指出,随着网络的普及和信息技术的深度社会化,网络空间中的技术过失行为日益增多,凸显了刑事法考察的必要。而随着人工智能技术的进步,技术过失已经过渡到算法过失,并在交通事故损害等案例中制造了新的刑法难题。现阶段无论从主观归责还是客观归因看,技术过失和算法过失都是人的过失。“人—网”异化是技术异化在网络时代的新表现,具体分为“人的能力的异化”和“人的主体地位的异化”两方面,由此给传统的过失责任理论提出了新的挑战。技术过失和算法过失责任中的注意义务的法定化和扩大化应当是今后网络过失责任设定的重点和起点。
第十章“网络犯罪案件的行刑衔接机制研究”指出,网络信息内容领域的高度复杂性与业态的快速更迭,给网信监管执法提出了严峻挑战。违法线索转化为刑事案件的概率低,案件处置结果的变相分流,行政执法能力与行刑衔接的应然需求不匹配是其突出问题,其表象原因在于缺乏权威性的规范体系、行政执法的闭合性特征、监督机制与激励机制的双重匮乏等,而其本质原因在于网信监管执法领域的行刑衔接的结构框架未能妥善处理行政执法与刑事司法的权力配置关系,损害了行刑衔接的强制力、执行力与推动力。应当从规范体系、机制体系、主体体系三个维度完善网信监管领域的行刑衔接制度,引导确立司法治理在网络社会治理体系中的主导地位。
毋庸置疑,“刑法的任务是保护人类社会的共同生活秩序。没有一个人能够永远与世隔绝地生活,相反,所有的人均基于其生存条件的要求,需要生活在一个彼此交往、合作和互相信任的社会里。在维护人类社会关系的和平秩序和保护秩序方面,刑法具有重要的意义”。[1]在信息化时代下,刑法也需要保护人类社会的共同网络生活秩序,这是刑法坚定不移的立场。
[1] [德]汉斯·海因里希·耶赛克、托马斯·魏根特:《德国刑法教科书(上)》,徐久生译,中国法制出版社2017年版,第1页。