1、收稿日期:2023-07-18投稿网址 在线期刊:http:/ 法学院,江苏 徐州 221166;2.成都市双流区人民检察院,四川 成都 610200)摘要:相较于非法转移数据,非法使用数据具有根源性和直接性;非法使用数据行为不仅无法为现行刑法罪名所涵盖,也难以为其他法律有效规制。为了弥补刑法处罚漏洞,我国刑法需要推进对非法使用数据行为的入罪化进程。详言之,首先,非法使用数据犯罪应当与现有的侵犯数据安全犯罪入罪标准保持一致,符合法定性属性;其次,对于“非法使用”的理解,应当既包括未经数据主体许可使用数据的行为,也包括经数据主体同意合法收集其数据,却在收集之后违反前述规则、目的、方式及范围而使用
2、其数据的行为;再次,关于“情节严重”,应当在参照非法转移数据情节严重情形的同时,根据非法使用数据行为造成的损失、行为类型以及数量综合进行判断;最后,应当将符合公共利益和数据控制者正当利益的情形作为该罪的出罪事由。关键词:数据犯罪;非法使用数据;数据安全中图分类号:DF612文献标志码:A文章编号:2095-9915(2023)05-0014-12DOI:10.16387/ki.42-1867/c.2023.05.002一、问题的提出大数据时代背景下,数据已经从生活资料转变为生产要素,因此其安全自然成为国家和社会高度关注的焦点。为了加快数字经济结构的快速生成和发展,数据的共享和利用成为不可回避的
3、法律议题,故而2021年我国相继颁布了一系列专门性法律,力图构建不同层级的归责体系,保障数据安全。例如 数据安全法 和 个人信息保护法 都对非法使用数据的行为作出了禁止性规定,并对违反者处以包括民事、行政以及刑事在内不同类型的惩罚。显然,此举反映出立法者构建数据利用安全的宏愿,也为部门法衔接提供技术支撑。但是,反观我国刑法对数据犯罪的规定却并不周延,由于数据犯罪将保护重点放在获取型和破坏型两类行为,例如破坏计算机信息系统罪、非法获取计算机信息系统数据罪,致使非法使用数据行为游离于刑法规制之外。目前学界对于非法使用数据刑法规制的研究基本上呈现出两种态势:其一,将其纳入“非法使用个人信息的刑法规制
4、”问题之中,进而演变成有关侵犯公民个人信息罪的问题;其二,从数据犯罪的整体规制角度,附带论证此类行为的刑法规制问题。具体如下:第一,将非法使用数据行为并入“非法使用个人信息问题”之中。此种语境下,非法使用数据问题演变为非法使用个人信息问题。以此为逻辑起点,学界主要聚焦入罪路径和罪名设计第 40 卷第 5 期2023 年 10 月江汉大学学报(社会科学版)Journal of Jianghan University(Social Science Edition)Vol.40No.5Oct.2023142023 年第 5 期两个板块。就入罪路径而言,有学者认为,非法使用个人信息的规制问题应当通过增
5、补新罪形式予以解决,因为包括侵犯公民个人信息罪、妨害信用卡管理罪以及盗窃罪等并不能涵盖此种行为。1也有学者认为,对刑法现有规定的解释将非法使用个人信息扩张解释到侵犯公民个人信息罪中。2从罪名设计角度来看,有学者认为应当在侵犯公民个人信息罪之外增设独立的非法利用个人信息罪,倒逼其他关联性犯罪的终止。3也有学者认为,应当将此类行为置于侵犯公民个人信息罪之中,这样可以形成一个完整的闭环,实现对整个信息黑灰产业链的全面打击。4上述谈论,显然将“数据”与“个人信息”等同看待,忽视了二者的差异。第二,从数据犯罪的整体规制角度,附带论证此类行为的刑法规制问题。部分学者将数据非法使用问题作为数据生存周期全流程
6、保护的一个环节,在检视我国数据安全保护体系时,间接论述此类行为的刑法规制问题。学界相关研究主要集中在是否需要刑法规制上。有学者认为,我国刑法目前并不存在对一般数据进行全流程保护的客观条件,无须对所有的一般数据进行全流程保护,亦无须对非法存储和非法使用一般数据行为加以规制。5也有学者认为,利用环节不仅是数据生存周期重要部分,而且是发挥数据价值的关键步骤,蕴含着重要的利益,应当成为刑法保护的重点。6尽管意识到数据非法利用问题的独立性和特殊性,但仅从宏观叙事角度抽象阐述,并未深入分析。有鉴于此,本文立足数据安全独立地保护法益,论证非法使用数据行为刑法规制的必要性,针对目前刑法规制的缺位,并就如何在立
7、法上实现数据的全流程保护提出完善方案。二、非法使用数据行为刑法规制的必要性刑法的谦抑性是立法者和司法者坚守的基本原则,但这并不意味着增设新罪或扩大处罚范围就是对该原则的背离。实际上谦抑性要求刑法中的罪与罚应当与所处时代背景相匹配。因此对于非法使用数据行为的刑法规制问题需要从法益保护、前置法考察以及域外经验等多个角度审视。(一)非法使用数据行为具有严重的法益侵害性法益是指个人或公众的生活利益、社会价值和法律认可上的利益,其由于具有特殊的社会意义因而予以法律保护。大数据时代,数据愈发具有经济效用和社会价值,因此主张保护数据安全法益理念也逐渐成为学界主流思想。7具体到非法使用数据行为,笔者认为可以从
8、以下两个方面佐证其刑法保护的必要性。第一,非法使用数据行为侵犯了数据权利人的数据使用决定权。一方面,该行为侵害的法益内容为数据使用决定权。有学者认为,非法使用数据或个人信息侵害了个人信息自决权,也有学者认为包括非法使用数据在内的所有数据犯罪侵害的都是国家对数据的管理秩序。应当说,这两种观点都存在不合理之处。就个人信息自决权而言,此种法益保护的内容是从侵犯公民个人信息罪和 民法典 的内容推导出来的。实际上这是一种本末倒置之举,提出“个人信息自决权”的前提是默认非法使用数据行为应当纳入该罪进行调整,因此逻辑上站不住脚。“数据管理秩序”是指一般数据所蕴含的值得刑法保护的利益,重点突出一般数据的社会利
9、益。该观点将所有数据犯罪保护内容抽象出来,仅适用于宏观理论建构,并不能解决实际的具体争议,而且按照此种逻辑对数据的保护重在控制安全,显然弱化了利用安全重要性。当前,无论是公法抑或私法都强调激发数据的活力,促进数据的流通和利用,这不仅符合经济学原理,而且也体现出它特殊财产的特质。非法使用数据本质上剥夺或削弱了数据权利人利用数据进行数字王惠敏,左大鹏:非法使用数据行为的刑法规制15江汉大学学报(社会科学版)总第 40 卷生成、处分和收益的权利,它不同于非法获取数据的流转决定权,也不同于后续利用数据进行诈骗或盗窃下游犯罪行为。另一方面,非法使用数据行为侵犯的主体具有多重性。众所周知,所有数据犯罪几乎
10、毫无例外都侵害了数据权利的利益,但这里的“权利人”具体指谁,学界尚未达成共识。本文认为,应当根据授权情况具体分析。其一,当数据的权利人仅有数据生产者本人时,侵害的主体较为单一,此时受害者和权利人一一对应。其二,当数据权利人包括数据生产者和合法数据持有者时,侵害主体应包括二者。主要原因在于,数据的可复制性是它与传统财产最大的差异,一旦将其定性为新型财产,则数据的生产者和后续的持有者也都顺理成章地享有数据收益权,具备法律上被害人的适格性。需要说明的是,随着数据流转次数的增加,数据本身的价值逐渐递减,但这并不能成为否定数据持有者权益的理由。第二,非法使用数据行为反映的客观事实造成严重的经济损失。任何
11、法益需要得到立法上的承认和接纳,都必须可以将其还原成为重要的生活利益和社会事实。相比社会对数据转移行为的普遍认知,数据的非法使用行为则长期以来被严重忽视和低估。究其原因,非法使用数据行为具有犯罪黑数大、犯罪手段隐蔽、潜伏期较长等特征,不仅使得犯罪事实难以被发掘,而且作为被害人也很难意识到相关权利被侵害。8这种迟钝进一步传导至立法和司法环节,则表现为立法上的不周延和司法上的处罚漏洞。事实上,由于互联网上资源数据的不断开放,行为人轻易便可获取所需要的信息,因此侵害数据的主体呈现多元化,侵害方式也日益专业化和复杂化。9据统计,2020年12月,61.7%的网民表示过去上半年在上网过程中遭受个人数据安
12、全问题,较之2020年3月上升5.4个百分点。其中,个人数据滥用占23.3%;网络诈骗21.2%;设备中病毒或木马12.0%;账号或密码被盗12.5%,其他56.4%。10是故,非法使用数据行为不仅成为危害个人数据安全的最大威胁,而且给社会造成严重经济损失。例如,在每年电子商务销售额800亿美元总额中,由于非法使用数据造成的经济损失高达100亿美元。11(二)其他部门法难以实现对非法使用数据行为的有效规制刑法的谦抑性要求并非所有具有规范保护价值的法益都要通过施加刑事责任的方式予以刑事规制,而是只有当诸如民法、行政法等法律规范无法发挥作用时,才能够考虑将其纳入刑事规范的范畴。因此,论证现有的民法
13、、行政法手段难以实现对非法使用数据行为的有效规制是刑法介入的前提和基础。第一,前置法提供了数据使用的基本规则,但对于更为严重的犯罪行为却束手无策,需要刑法提供规范上的供给。一方面,我国前置法中均有“禁止非法使用数据”的相关规定,并将其作为一种独立的行为类型。例如,数据安全法 第三条将数据使用与数据收集、存储、加工、传输等其他数据生命周期并列作为数据处理的内容,第二十一条对于非法利用的数据实行分类分级保护。又如 民法典 第九百九十九条规定了合理使用他人人格要素的原则,第六章“隐私权和个人信息保护”中更是将信息使用与收集、存储等并列纳入处理环节。另一方面,鉴于数据犯罪具有网络犯罪的匿名性、隐蔽性、
14、远程性等特征,涉及人数众多,行政机关缺乏调查的强制措施和技术手段,加之与数据犯罪相关的行政法规范极少12,故而数据使用环节行政法保护的力度有限,难以有效遏制滥用数据的犯罪行为。因网络犯罪被告人身份的复杂化,对于适格被告的难以确定以及小额多笔侵权案诉讼成本极高,信息不对称背景下电子证据难以取证等障碍都降低了原告的诉讼意愿。以实际损失作为评判标准的民事责任救济难以保障数据使用安全的正常流转。12第二,将非法使用数据行为纳入刑法评价范畴也符合刑法内部逻辑。其一,数据的安全与共享是数字经济发展必须考虑的两个要素,而数据使用作为数据共享的核心,自然需要得到不162023 年第 5 期同位阶法律的梯度保护
15、。但事实恰恰相反,这一点在刑法中表现得尤为突出。具体而言,数据的非法获取、破坏甚至前端帮助行为也已经通过正犯化的形式予以立法,根据“举轻以明重”的立法哲学应当需要将非法使用数据的严重行为纳入刑法评价范围。其二,既存的犯罪体系承认“非法使用”属于独立的犯罪类型。目前我国有关非法使用的罪名共计37个,保护的法益主要涉及商业秘密和社会公共秩序。相较之而言,数据关系国民的财产、企业的商业秘密甚至与国家安全相关,因此刑法予以特殊保护。第三,对非法使用数据行为范围进行必要的限定,防止出现新“口袋罪”现象。本文认为对此类不法行为的限定,可以从三个方面予以考量。其一,“非法使用”行为的基本框定。“非法”从形式
16、层面看是指违反 民法典 数据安全法 以及 个人信息保护法 等前置法使用数据的行为;实质意义上是指不存在违反公共利益或国家利益,但侵犯数据权利人数据使用决定权的行为。此外,数据权利人的知情同意规则也是评价“非法”的应有之义,故而当行为人合目的使用公开数据,一般推定为合法行为。“使用”的界定可依托前置法的规定,将其理解为数据的分析和利用。其二,非法使用对象的限定。借助数据分类分级理论,将其作为不法评价的重要参数。不同的数据种类以及数据级别反映出数据价值,因此可以作为定罪和量刑的基本要素。目前学界关于数据分类分级的理论可以分为两类,一类主张,数据分类决定分级,因此进行数据分类即可,另一类主张数据分类
17、和数据分级代表数据两个不同方向,应当予以区别性保护。笔者赞成前者,因此可以根据数据的属性和作用进行分类。本文认为,可以分为核心数据、重要数据、一般数据三类。其中核心数据是指,涉及国家利益的数据,包括国防数据、国家金融数据等;重要数据是指涉及公共利益的数据,譬如交通数据等;一般数据则主要包括普通商业数据和个人数据。需要说明的是,数据分类分级本身是动态分类法,因为数据的集合性和场景化应用会改变数据的属性,因此需要综合考量。例如个人出行数据如果被大量非法采集后并使用,那么数据的性质便从一般数据升级为核心数据。其三,其他严重情节的界定。除了上述两种类型外,数据的价值、数量以及获取数据的手段等行为,可以
18、作为犯罪情节的重要考量因素。与其他数据犯罪相同,数据直接的经济价值、数量、时间、违法所得以及前端获取数据行为(获取和使用数据是同一主体)的方式在一定程度上都反映出行为对法益侵害的程度,故而可以作为可罚性的依据。例如合法获取数据,超越授权使用,但使用数据数量较少,则不构成犯罪。(三)域外立法和国际公约的启示考察当今国际社会的刑事立法不难发现,尽管各国关于非法使用数据行为的立法在文字表述、规制方法等方面有所差异,但是却具有共同的趋向,那就是不约而同地强化非法使用数据行为的独立地位,并趋向于将其进行犯罪化处理。欧盟成员国中诸多国家就有关于数据使用行为的规定。例如,2003年意大利 个人数据保护法 第
19、一百六十七条规定以牟利或者损害他人为目的的“非法数据处理”行为属于犯罪,处六至十八个月的监禁刑。1法国刑法典 第三百二十三条第三款第一项规定:“无正当理由特别是无科研和信息安全理由,引进、持有、提供、让与或使用某设备、工具、程序或其他任何设计用于或专门适用于实施第3231条至3233条规定之一项或多项犯罪之数据的,分别处所实施之罪对应的法定刑或者所实施最严重之罪对应的法定刑。”13总之,这些国家力图以“正当性”为前提,实现数据利用与数据控制的自由流通和平衡。2016年通过的 通用数据保护条例 虽然第六条仅就数据处理的合法性原则进行了笼统说明,但第四条对“处理”一词予以了细化,明确其包括对个人数
20、据使用在内的一系列操作行为。1王惠敏,左大鹏:非法使用数据行为的刑法规制17江汉大学学报(社会科学版)总第 40 卷该法还体现将非法使用数据行为入罪化的观点。14此后,欧盟各国立法吸收了 通用数据保护条例 的精神,通过国内法的修订予以贯彻。例如,2017年修订后的德国 联邦数据保护法 第四十二条对以牟利或损害他人为目的处理未经授权的个人数据作了规定。其中,该法的最大特点是对私人领域做出严格于公共领域的数据使用规定。例如,对于公共领域的数据,公权力机构只要在符合法定程序情况下即可对相关数据加以存储和修改。而对于非公开的私人领域数据,则需要同时满足必要且无害性原则,特别是公司只有在相信存储数据不会
21、损害所涉个人权益的前提下,才能基于商业目的而对个人数据加以处理。15此外,德国刑法典 第202d条将非法使用数据的形式概括为非公开以违法行为使得他人得到、为自己或他人设法获取、转让给他人、传播或以其他方式使他人得到。16这表明德国明确将非法使用数据行为进行犯罪化处理。以美国为例,关于非法使用数据的规制主要体现在对深度伪造技术的专门性立法,表现为以“特别领域立法+一般领域普通法”和以联邦和州两个层面的立法的形式。例如,在联邦层面,为了防止网络虚假信息影响2020年美国大选,对深度伪造技术行为予以有效规制,2019年众议员 Clarke提出 深度伪造责任法案(Deep Fakes Accounta
22、bility Act),要求合成视频创制者在视频中添加水印及个人声明。17特别是对于违反标识义务,意图羞辱他人或者干扰政治运作、引发武力或外交冲突而发布合成视频的行为做了特殊规定。18与该法案相类似,参众两院还相继通过了 2018年恶意伪造禁令法案(Malicious Forgery Prohibition Act of 2018)以及 2020年财年情报授权法案(Intelligence Authorization Act for Fiscal year 2020)。除了联邦层面,美国各州立法也积极对深度伪造技术予以规制。例如,2019年弗吉尼亚州对 非同意色情法(Nonconsensual
23、 Pornography Law)予以修正,将原先禁止传播裸体图片或视频的行为扩大为任何虚假性视频或图像和电脑制作的深度伪造。19这表明对于非法使用数据行为,美国已经建立了相对成熟的刑事法体系。综上,对数据安全的使用进行独立刑法保护,已经成为世界各国普遍流行的趋势。三、我国刑法关于非法使用数据规定的现状及不足我国刑法对于非法使用数据的规制主要通过依附于其他犯罪予以间接实现,使得有关数据犯罪的规定留下诸多处罚漏洞。这不仅表现在侧重于对非法转移数据的规制,而且以实害结果为规制导向的事后保护模式难以充分保护网络数据安全法益。(一)我国刑法关于非法使用数据规定现状1.罪名体系:外围保护与间接保护梳理我
24、国刑法关于数据安全的保护,可以将其归纳为直接和间接两种保护方式。20尽管刑法修正案(十一)增设危险作业罪和妨害药品管理罪两个罪名,直接以数据为对象的刑法规制体系得以扩张,然而,从整体上看,这种数据安全刑法保护体系依然表现为以他罪为媒介的外围保护和间接保护。总体上来说,上述刑法关于数据安全的罪名保护体系具有以下特征:其一,在外围保护中,不仅体现在通过维护外在的计算机信息系统安全试图实现对数据安全的保护,而且主要通过保护前者的控制安全实现对相关法益的前置性保护;其二,在间接保护中,立法的目的在于借助计算机信息系统犯罪以及根据数据所承载的具体内容,尽可能地实现对包括非法使用数据行为在内的各个生命周期
25、的全过程保护;其三,无论是外围保护还是间接保护,两种保护方式均未触及非法使用数据行为的核心,难以实现对非法使用数据行为的有效规制。182023 年第 5 期2.介入特征:事后性与结果导向刑法关于数据除了通过保护计算机信息系统的控制安全实现对相关法益的前置性保护之外,还可以根据对网络数据所承载的具体内容造成的不同危害予以区别规制。根据非法使用数据行为造成的结果所涉及法益的不同,我国现行刑法关于数据的罪名保护主要包括经济秩序保护模式(以窃取、收买、非法提供信用卡信息罪、侵犯商业秘密罪为代表)、人格权保护模式(侵犯通信自由罪、侵犯公民个人信息罪为代表)、物权保护模式(盗窃罪和诈骗罪)、公共秩序保护模
26、式(非法获取计算机信息系统数据罪和破坏计算机信息系统罪)四大类。21这些罪名为非法使用数据提供了相对完整的刑事制裁体系,然而,现行刑法规定根据侵害行为造成的法益侵害结果予以不同的保护模式,对数据法益的保护无疑具有滞后性和结果导向性。如上所述,非法使用数据行为在网络社会背景下造成的社会危害性呈指数级增长,而这套产生于农业社会、成熟于工业社会的刑法理论在信息社会环境下则显得无力和滞后。(二)我国刑法关于非法使用数据规定之不足1.立法理念落后于司法实践我国关于非法使用数据犯罪刑法体系的规定,实际上隐含着一个不科学的立法理念,就是对于数据犯罪的理解过于滞后和狭隘。具体而言:一是对数据犯罪的认识未摆脱古
27、典占有主义理念的影响。学界目前关于刑法法益的概念存在诸多争议,但是将法益等同于可转化的财产性利益的理念长期影响立法者。受占有主义理念影响,传统的刑法并没有明确数据的财产地位,而是将其作为所属之物来界定。事实上,无论是对数据和应用程序进行非法删除,还是实施修改、增加的行为,其本质上属于通过对行为对象的毁损而破坏他人对数据的合法占有,是一种“物化”数据思维的体现。例如,在余刚等四人盗窃案中,“被告人余刚等四人以非法占有为目的,编写、传播 木马 病毒程序,利用 木马 病毒程序截取他人网上银行账号、密码,然后秘密窃取他人网上银行的存款”,该案件被定性为盗窃罪22,其本质上就是将银行账号、密码之类的数据
28、视为稀缺性财物的表现,故以传统财产犯罪对其加以规制。此外,上述刑法关于非法使用数据行为的罪名规制,无论是将其归入物权保护模式,比如盗窃罪与诈骗罪,还是将其归入社会公共秩序保护模式之下,典型的如非法获取计算机信息系统数据罪,这些罪名本质上关注的是该行为由此而对权利人的占有权能带来的破坏性影响,也即最终的财产损失。换言之,以占有主义理念为基础的非法转移数据规制模式难以顾及非法使用数据行为,造成处罚上的漏洞。二是以秩序为本位的观念也在很大程度上影响着我国数据犯罪的立法。例如我国刑法之所以对涉及个人数据的犯罪行为实施处罚,并非因为其侵犯了数据主体的合法权益,而是基于对经济秩序和网络空间秩序的保护考虑。
29、这种立法模式是典型的秩序本位观思路,会不恰当地将数据犯罪限缩于计算机信息系统犯罪保护范围之内,未能体现出对数据犯罪本身的重视。21实际上,随着信息社会的发展,大数据具有越来越重要的价值,逐渐形成与现实世界相对应的网络空间,这种秩序本位观造成诸多漏洞。例如,只要个人数据的控制者与处理者在收集环节履行了相关的告知责任,即使其后续的保管、处理与使用等环节造成对数据的侵害,未涉及秩序利益的情况下也将不会受到刑法的规制。再如,现行的计算机信息系统犯罪对于越来越多的诸如非法“撞库”之类的新型危害数据安全行为捉襟见肘。23故以秩序为本位的理念也在一定程度上造成对非法使用数据行为的忽略。需要在此一并提出的是:
30、其一,受中国计算机技术发展的影响,刑事立法的回应往往稍显滞后。比如计算机信息系统犯罪的基本入罪情节要求情节严重,事实上,这种模式已经难以适王惠敏,左大鹏:非法使用数据行为的刑法规制19江汉大学学报(社会科学版)总第 40 卷应大数据时代背景下保护数据的需要。24其二,为了突出对数据的保护,当今越来越多的国家和地区都在刑法典中将数据犯罪及其与之相关的非法使用数据犯罪明确规定,而我国将其散布规定在妨害社会管理秩序罪一章。故即使将数据犯罪脱离出计算机信息系统犯罪,如果所属章节的位置不加以调整,也会让人觉得计算机信息系统才是保护重点,同样不利于非法使用数据行为刑法保护的实现。2.现行立法存在诸多处罚漏
31、洞我国关于非法使用数据行为的刑法保护主要通过其他罪名予以间接实现,使得非法使用数据行为留下诸多处罚漏洞。具体表现为以下两点:第一,现行刑法关于计算机信息系统犯罪规定无法实现对非法使用数据行为的充分评价。一方面,在非法获取计算机信息系统数据罪中,有观点将使用与复制、输出、改变等并列作为该罪的具体行为类型。25甚至有学者以“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”指导性案例为例,认为非法获取应当包括下载、浏览、存储和使用等行为。如上文所述,尽管二者在侵害数据安全法益上具有同一性、顺序性,非法获取是非法使用数据的前提,但并不意味着非法使用可以为非法获取行为所包含,更不意味着非法获取可以完全
32、替换或等同于非法使用数据。事实上,数据处理与数据传输、数据存储、数据交换等并列属于不同的数据生存周期26,非法使用数据行为具有法益侵害的独立性和直接性,特别是诸多“打码”“撞库”等不以获取数据为前提的非法使用数据案例的出现,更是表明将“使用”理解为“获取”不仅有类推解释嫌疑,也会造成量刑上的不均衡。另一方面,将非法使用数据行为归入非法侵入计算机信息系统罪中也不具有合理性。例如,在“谢康、岳安安非法侵入计算机信息系统案”中,被告人岳安安、谢康通过购买“e2eSoftVCam”摄像头辅助软件、下载“轻松换脸”软件,在“交管12123”系统上处理代办审车、车辆违章业务时,利用上述软件逃避实人认证,造
33、成被害人郭某、邓某等人驾驶证分数扣除。法院将“交管12123”作为国家事务的计算机信息系统,认定为非法侵入计算机信息系统罪。26然而,该案的法益侵害本质是利用AI换脸等技术手段非法使用他人数据的行为,与非法侵入行为明显不同。故定性为非法侵入计算机信息系统罪无法实现对该侵害行为的全面界定。第二,根据法益侵害结果借助于它罪的事后惩治具有滞后性。如前所述,我国刑法根据法益侵害的具体情形制定了一套相对完备的制裁体系,这套制裁体系强调法益侵害后果发生之后的事后惩罚,进而不足以充分保护法益。以深度伪造技术为例,对于利用AI换脸技术骗取他人感情、获得内心满足感的交友诈骗行为,由于不具备骗取钱财的目的,故不能
34、将其定性为诈骗或招摇撞骗罪,只能通过民事和行政途径予以救济。随着越来越多的数据信息公开,深度伪造行为通过合法的途径即可获得大量的网络数据资源,这也意味着这些深度伪造行为将游离于刑法的射程半径之外。27再如,根据深度伪造行为的目的性,将其评价为侮辱罪和诽谤罪具有合理性,然而,这两个罪名需要具有“情节严重”的构成要件,换言之,深度伪造技术行为的定性需要以实际损害后果为前提,并依附于后续行为予以刑法评价,无形中又造成对深度伪造行为独立危害性的忽略。值得注意的是,非法使用数据行为与下游行为常常是割裂的,很多情形下,非法使用数据行为人与利用数据实施下游犯罪的行为人之间缺乏犯罪意思联络,不具有共同犯罪故意
35、,不能以他人实施的具体犯罪的共犯认定非法使用数据行为人。并且,共犯限制从属性理论认为只有正犯行为具备该当构成要件并且具有违法性的前提下,共犯才有成立的可能。故如果下游行为认定为一般违法行为,那么非法使用数据的行为人也不能以共犯定罪处罚。28202023 年第 5 期总之,与非法转移数据行为相比,非法使用数据行为的法益侵害性有过之而无不及,应当以需求为导向,改变刑法借助于他罪予以规制的事后惩治模式,从源头上对非法使用数据的行为予以刑法评价。否则,现有的旁敲侧击和外围式制裁只能是治标不治本。四、非法使用数据行为入罪的立法建议有观点认为,非法使用数据行为是以网络数据作为工具或媒介的“不纯正”网络数据
36、犯罪,通过对传统刑事法规予以刑法解释可实现对相关行为的规制。29也有观点认为,诸如深度伪造之类的数据滥用行为,本质在于身份盗窃,应当增设身份盗窃罪以弥补立法空白。27上述就第一种观点已经予以回应,故在此不再赘述。就增设身份盗窃罪而言,在后续犯罪行为尚未着手实施的情况下,按照共犯理论认定为其他犯罪预备犯则不具有合理性。28鉴于上述路径不具有可行性以及我国在规制非法使用数据方面存在的前述结构性缺陷,决定了必须通过立法完善来加以弥补。故构建以数据安全法益保护为理论基础的数据安全保护体系,增设非法使用数据罪不失为一种不错的选择。未来我国应在刑法典中增设“侵害数据安全犯罪”专章(或者至少设专节),并根据
37、数据生命周期实现对危害数据安全各个阶段的周延保护。其中,非法使用数据犯罪是“针对违反国家规定,非法使用数据,情节严重的行为”。应当改变侵害数据安全犯罪附属于计算机类犯罪的条款之立法模式,强化数据犯罪罪名的独立性,细化数据犯罪的罪状描述。具体而言,应当符合以下几点:(一)匹配法定犯属性数据使用安全作为数据安全法益的重点保护内容,应当将其作为侵犯数据安全犯罪的行为类型之一。故非法使用数据犯罪的入罪标准也应当与现有的刑法中侵犯数据安全犯罪中的相关规定保持一致。目前,侵犯数据安全犯罪属于妨害社会管理秩序罪章节,具备典型的法定犯属性,即是否具备刑事可罚性取决于行政法规范的规定。例如,无论是破坏计算机信息
38、系统罪,还是非法获取计算机信息系统数据罪,其均已经明确规定将违反国家规定作为客观方面要素之一。故数据滥用行为在入罪时也应当遵循这一标准,即将违反国家法律、行政法规和规章作为入罪基本前提。30数据安全法 等现有法律规定依法保护数据的依法合理有效利用,应当在法律、行政法规规定的范围内使用数据,这也在某种意义上区分了合法使用和不当滥用的边界,非法使用数据犯罪入罪判断时也应当将其作为参考。再如 国务院办公厅关于印发科学数据管理办法的通知(2018 国办发17号)第二十七条规定了加强数据下载的认证、授权等防护管理,防止数据被恶意使用。这也就意味着下载经过认证、授权的科学数据不属于非法使用数据的范畴,不能
39、作为非法使用数据的行为受到刑法的规制。因此,可以说,“违反国家规定”是非法使用数据行为的要素之一。这里的“国家规定”的内容应当与刑法第九十六条的内容相衔接,防止犯罪圈的非理性扩张。(二)明确具体罪状特征“非法使用”一词较为抽象,需要对其内涵作出进一步的限定,以符合罪刑法定原则指导下的明确性要求,防止解释的扩张和泛化。网络安全法 将滥用个人信息界定为未经授权的使用和虽然经过授权但超越使用规则、目的、方式和范围的非法使用的规定。因此,考虑到非法使用数据的目的,“非法使用”同样可以从这两个层面加以理解,具体而言:一种是未经数据主体许可而非法使用数据的行为,主要是指未向数据主体公开数据使用规则、目的、
40、方式及范围;另一种是向数据主体公开使用规则、目的、方式及范围,并经数据主体同意而合法收集其数据,却王惠敏,左大鹏:非法使用数据行为的刑法规制21江汉大学学报(社会科学版)总第 40 卷在收集之后违反前述规则、目的、方式及范围而使用其数据的行为。31这两种行为客观上造成了侵害数据主体数据使用自主权的结果,可以作为滥用数据行为的具体行为特征。这里值得注意的是,虽然非法获取和非法使用是两种完全不同的行为,但从技术和规范层面看,非法使用也离不开对非法获取的讨论。我们可以将其归纳为四种不同情形:“合法获取+合法使用”“合法获取+非法使用”“非法获取+合法使用”“非法获取+非法使用”(合法获取+合法使用均
41、在合法的范围内,非法获取+合法使用的假设不具有成立的可能性,故这两种情形不属于本文讨论范畴,此处只讨论其他两种情形)。就上述非法使用的两个层面而言,我们可以明确“非法使用”情形既包括合法获取数据非法使用,也包括非法获取数据后非法使用的情形。因此,需要明确的是,这里的非法使用数据的行为前提应当仅限于合法获取数据的行为,即非法获取数据后又非法使用数据的行为不属于“非法使用”行为的评价范畴。原因在于非法获取数据后又非法使用数据的行为实质上是非法获取数据的衍生行为,在非法获取数据行为已经对数据安全造成法益威胁的情况下,后续非法使用数据行为完全可以直接按照“非法获取”的行为予以认定,无须再被评价。就如盗
42、窃他人信用卡之后的非法使用行为,在盗窃行为已经对他人的财产权利造成损害的情况下,只需要评价盗窃行为,无须再对使用信用卡的行为单独予以评价,否则有可能造成重复评价。但对于合法获取数据后非法使用数据的行为,因为合法获取数据的行为并不包含在刑法侵犯数据安全罪行为方式的范畴中,故需要着眼于合法获取数据后所实施的非法使用数据的行为,对其进行刑法层面的评判。1例如,甲公司虽然通过合同约定的方式获取乙公司的商业数据,然而违背数据保密义务,将其出售给他人,造成乙公司巨大财产损失,并很大程度上威胁到国家安全。此时,有必要将其纳入非法使用数据罪中。在 数据安全法 已经出台的背景下,我们有理由借此东风适时地对侵犯数
43、据安全犯罪的行为方式作出修正,将合法获取数据后又非法使用的行为纳入刑法侵犯数据安全犯罪的行为方式之中,以最大程度规范使用数据的行为。此外,任何人都有可能或有权利获取公开的数据信息,其行为并不违反国家规定或具有非法性。但是,如果将合法获取数据后非法使用的行为归入侵犯数据安全犯罪的行为方式中,此时的数据可能包含已经公开的数据,因为合法获取的数据既包括未公开的数据(经数据主体授权的未公开数据),又包括已经公开的数据,使用人超出授权范围处理未公开数据或者非法处理已公开数据,均属于合法获取数据后非法使用的行为。可能会有观点认为公开的数据就代表了数据权利主体对于后续使用的同意,一旦将其入罪可能阻碍数据的充
44、分流通与转化。然而,数据公开不意味着对数据滥用的允许,更不意味着允许其对国家安全造成威胁。相较于转移型侵害数据安全的行为来说,将非法使用公开的数据纳入规制范围,是因为其行为确实会对数据安全造成更大的侵害,故将其纳入非法使用数据的行为予以刑法规制并无不妥。(三)关于“情节严重”的理解“情节严重”作为刑法常用的罪状表述形式,尽管因其本身的不确定性而饱受指责,但是其对于区分普通违法行为和严重的刑事犯罪依然具有重要的意义。换言之,并非所有的非法使用数据行为都可以作为滥用数据行为直接入罪,应当通过“情节严重”将滥用数据行为从普通的非法使用数据行为范围筛选出来。对此,关于办理危害计算机信息系统安全刑事案件
45、应用法律若干问题的解释 第四条就破坏计算机信息系统罪中“后果严重”做了相对明确的规定,对计算机信息系统功能、数据和应用程序实行分类、分级保护,并对不同类型和等级的计算机信息系统和数据设定差异化的入罪门槛,例如,对象数量标准、违法所得损失等,这些可以为判断非法使用数据行为是否构成“情节严重”提供参考。此外,非法使用数据行为中的“数据”也应222023 年第 5 期当予以细化,可以借鉴 数据安全法 第二十一条关于数据分类分级保护制度的规定,根据数据在经济社会发展中重要程度的不同,可以将数据分为国家数据、公共数据和普通数据。其中,国家数据是指关系国家安全的数据,公共数据是指与社会公共利益相关的数据,
46、普通数据是国家数据、公共数据之外的其他数据,并对这些数据实行差异化的保护。当然,数据之间的类型划分并不是绝对不变,而是可以相互转化的。例如,孤立的个人日常生活轨迹属于普通数据,但是经过长时间的脱敏处理以及规律分析,可能成为关系社会公共安全的公共数据,甚至演变为危及国家安全的国家数据。故在对非法使用数据行为入罪时,数据类型应当成为认定其是否属于情节严重的一个重要指标。值得注意的是,非法使用行为除了具备上述非法转移行为共性之外,还具有某些个性,比如行为性质的恶劣程度。因此,应当在参照非法转移数据情节严重情形的同时,设置体现非法使用数据行为性质的标准。在确定非法使用数据行为的入罪门槛时,应当选择采用
47、如下任意一个标准:其一是根据非法使用数据行为造成的损失,例如使用他人身份数据办理多张信用卡,恶意透支对他人征信造成恶劣影响;冒充他人从事违法犯罪行为并留下犯罪记录;利用他人数据从事违法活动造成他人名誉、财产损害等。32其二是根据数据行为类型+数量的标准对非法使用数据行为列举具体情形,数据行为类型包括欺诈型滥用、隐瞒型滥用、改变目的的滥用、大规模反复滥用。例如,“非法使用行踪轨迹、通信内容、征信信息、财产信息五十条以上的”。31此外,相较于非法转移数据行为,非法使用数据行为的法益侵害性更为严重,故对于情节严重程度相当的行为,对其可以施以更加严厉的刑事处罚,从而体现以规制非法使用数据为重点的侵害数
48、据安全犯罪治理思路。(四)非法使用数据行为的出罪事由当某一行为符合法定属性,具备构成要件该当性,出现法益遭受侵害的结果事实时,便具备了刑事违法性。但是,违法阻却事由“犹如在不法阶层里创设另一个消极之不法要件,倘若此消极要件存在,行为人行为即被法律所容许”。33因此,具体到非法使用数据行为中,个人并非对所有与自己相关的数据都拥有绝对的控制权,如果是为了某种公共利益,则个人对数据的自决权必须受某种程度的限制。34换言之,从社会功利主义角度出发,为了保护价值更大的优越利益,在特定情形下适当限度内允许未经征得数据主体同意的合理使用。实际上,这与著作权法中规定的合理使用情形相似。例如,在新冠疫情防控、防
49、治过程中,根据 传染病防治法等相关法律法规的授权,相关卫生行政部门可以在未经数据主体的同意下收集、使用并向社会公众公布疫情公共数据。当然,此处公共数据的公开应当不以侵害公民个人信息安全为前提。关于数据合理使用的正当基础,并不仅限于公共利益,还包括信息控制者的正当使用利益。对此,可以借鉴美国“合理预期标准”的措施,即以社会一般公众对于涉案信息是否持有合理的隐私期待来界定隐私的保护范围。换言之,虽然没有得到数据主体的明确许可,但只要是在数据主体的主观心理预期之内,即可认为数据控制者的使用是合理的。35此外,巴西 通用数据保护法 第十条强调,“当数据处理是基于数据控制者的合法利益时,只可能处理为期待
50、目的所严格要求的个人数据”。印度 个人数据保护法 第五条规定数据处理必须出于数据主体同意的目的或相关目的,符合数据主体的合理预期,并考虑个人数据收集的背景情况。总之,对数据使用权利的限制应当具有目的的正当性、手段的适宜性和侵害的最小性,避免造成不必要的数据滥用。最后,单纯违背网站使用条款的非法使用数据行为不能予以犯罪化处理。随着数字经济效益的凸显和交易的频繁,各互联网企业纷纷划定自己的“领地”,设置“防火墙”之类的技术阻王惠敏,左大鹏:非法使用数据行为的刑法规制23江汉大学学报(社会科学版)总第 40 卷断装置,并期望以更加严厉的网站使用条款不断强化自己的利益。这种仅凭网站利益主宰犯罪化的方向
