网络数据安全犯罪规范体系的重构

大数据时代,数据安全的脆弱性与易受攻击性越发凸显,网络数据安全犯罪的规制自然成为无法回避的重要命题。检视我国刑法网络数据安全犯罪规范体系,“计算机信息系统”是保护的核心,其过于偏向对“计算机信息系统安全的管理秩序”的保护,即一种“秩序本位”的数据安全犯罪规范体系。然而,此种数据安全犯罪规范体系除了弱化对网络数据安全犯罪法益的独立保护之外,其内部存在的结构性矛盾必然会导致网络数据安全犯罪的规制不够周延。所以,在大数据时代必须从法律规范意义上对数据安全犯罪进行再分析,实现数据技术向法律体系的融合,建构一种以数据本身价值为中心的存在,重整网络数据安全犯罪规范体系。

“秩序本位”网络数据安全犯罪规范体系面临的现实挑战

(一)犯罪化标准不合理

“秩序本位”网络数据安全犯罪规范体系以“计算机信息系统安全的管理秩序法益”的保护作为其逻辑起点,忽视了数据本身价值安全的保护。

(二)罪名设置不周延

“秩序本位”网络数据安全犯罪规范体系下刑法对网络数据安全犯罪的规制还停留在“系统、软件”和“信息内容”思维下,其所设定的罪名规范对网络数据本身价值安全,即网络数据的真实性、可靠性和完整性的保护根本起不到任何作用。

(三)行为归责错误

“秩序本位”网络数据安全犯罪规范体系忽视对网络数据本身价值安全的保护,将数据与计算机信息系统直接联系起来的线性思维使“数据”概念已无法脱离“计算机信息系统”的桎梏,传统的计算机信息系统犯罪遮蔽了数据安全犯罪,致使因果关系对行为归责的评价功能发生错误,即“必然”和“直接”事实因果流程的利用致行为归责错误。

“秩序本位”网络数据安全犯罪规范体系的理论逻辑反思

(一)“秩序本位”背离网络数据安全犯罪法益定位的基本要求

首先,“秩序本位”忽视正确的“前置法”,致使侵害法益的确定错误。在“秩序本位”网络数据安全犯罪规范体系下,刑法对“数据安全状态”保护的回应仅限于与计算机信息系统相联系的“网络数据工具价值安全状态”的保护,颠倒了前置法法益与刑法法益之间的关系,即在实质和形式上前置法的选取受制于刑法法益。

其次,“秩序本位”限缩保护客体,致使网络数据安全法益的保护不全面。在“秩序本位”网络数据安全犯罪规范体系下,保护的数据权益客体是网络数据工具价值安全,而网络数据内容价值安全和网络数据自身价值安全等数据权益客体被完全排除在保护的数据权益客体之外,不仅致使刑罚的一般预防目的不能实现,还导致了网络数据安全法益保护的不周延。

(二)“秩序本位”背离网络数据安全犯罪的犯罪构成

首先,“秩序本位”使网络数据安全犯罪的犯罪构成简单化。第一,在“秩序本位”网络数据安全犯罪规范体系下,数据附属于计算机信息系统,数据安全变为计算机信息系统中的数据不被“非权利人知悉”的状态。数据安全内涵的此种改变直接简化了网络数据安全犯罪的犯罪构成,即在数据权利人未知悉的情况下,那些尚未对计算机信息系统正常运行造成损害的“删除、修改、增加”等数据处理行为更容易被定性为“破坏计算机信息系统罪”。第二,“秩序本位”未能解释网络数据安全犯罪对象的非物质本质。在“秩序本位”网络数据安全犯罪规范体系下,对网络数据安全的保护模式是以物权为基础。这种保护“基本上是按照物理空间思维来‘外在化’地笼统设定犯罪构成,并不是以网络数据属性和智能互联网的运行逻辑来‘内在化’地设定犯罪构成”,即一种立足物理空间的规范评价,评价的是几十台乃至几百台计算机信息系统的损害,其仍然仅具有电脑特质。

其次,“秩序本位”使罪量在网络数据安全犯罪构成中具有过高权重。2011年,《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》就明确了构成“计算机信息系统安全类犯罪”需要满足一定的罪量要素。可见,“秩序本位”网络数据安全犯罪规范体系下行为引起的经济损失和犯罪人的违法所得等罪量要素是数据安全犯罪的中心。

网络数据安全犯罪规范体系的“价值本位”重构

(一)网络数据安全“价值本位”范式:网络数据安全犯罪规范体系的应然性调整

在大数据时代,网络数据安全犯罪规范体系从“秩序本位”转向“价值本位”是网络数据安全犯罪规范体系的应然性调整。一是数据化是人们理解自身与社会行为的新范式;二是符合了法秩序和谐与刑法内部的体系性;三是符合刑法谦抑性要求。

(二)具体策略性重构:基于网络数据“价值本位”独立保护网络数据价值安全

首先,网络数据安全犯罪规范体系补充新的规范内容。第一,借鉴域外立法思路,完善网络数据安全犯罪规范体系;为了更好地保护网络数据本身价值安全,可以增设补充新的罪名,如“非法删除、修改、增加网络数据罪”。第二,放弃“秩序本位”,增设专章“危害数据安全犯罪”,对新型网络数据安全侵害行为进行规制,即在我国刑法分则部分增设“危害数据安全犯罪”专章,根据数据生存的六个阶段周期分别设定罪名。

其次,设置实行行为的认定标准和利用证明规则指引司法实践。第一,大数据时代,网络数据安全犯罪的数据并不等于计算机信息系统数据,其范畴早已超越传统法益载体。所以,要廓清计算机信息系统数据的内涵与边界,强化网络数据价值安全的独立保护。第二,要设置实行行为认定标准,完善构成要件。应结合计算机专业技术人员的指导意见,增设破坏计算机信息系统正常运行的认定标准,并在司法解释中加以明文规定,从而凸显对网络数据价值安全的独立保护。第三,利用证明规则修改行为归责错误,区分此罪与彼罪。一是如果一般情况下主要依据证据法的证明规则能够证明,侵害数据本身价值安全的行为确实造成了计算机信息系统不能正常运行,应属于事实判断问题。如果一般情况下不能查明,无法得出精确结论,只能得出概率性结论,则应属于规范评价问题;二是事实判断与规范评价在刑法因果关系中有先后顺序,即事实判断在前、规范评价在后,在事实判断尚未确证的情况下进行原有规范基础上的规范评价必然会导致归责方面的错误。

原文刊载于《华东政法大学学报》2024年第1期

原标题:网络数据安全犯罪规范体系的重构