[摘要]我国对数据的刑法保护,主要体现在保护数据载体及其承载信息内容的相关罪名中。司法实践在适用这些罪名时,存在一体性和区分性两种解释方案。其中,一体性解释方案容易导致对数据的过度保护,而区分性解释方案则容易造成对数据的保护不足。究其原因,在于现有解释方案对数据刑法保护罪名的理解仅局限于规范内部而缺乏规范外部的视角。为了避免数据刑法保护的过度或不足,有必要选择功能主义解释,将保护数据安全流通的功能置入这些罪名的解释之中。具体可根据将数据分为符号层的数据载体、内容层的信息内容而分层选择解释方案。其中,在数据的符号层,保护数据载体的罪名保护的是计算机信息系统安全运行下数据载体的存在状态,当侵犯数据载体的存在状态影响计算机信息系统的安全运行时,应适用保护数据载体的罪名;在数据的内容层,保护信息内容的罪名保护的是信息内容安全流通下信息内容本体所反映的利益,侵犯信息内容本体所反映的利益影响信息内容的安全流通的情况,则适用保护信息内容的罪名。

[关键词]数据刑法保护;数据流通;数据犯罪;功能主义解释

一、问题的提出

随着互联网和通信技术的快速发展,通过网络处理和产生的数据呈几何级数增长,对社会产生广泛而深入影响的同时,也离不开刑法的保护。 “数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。”但与此同时,以数据作为侵犯对象的数据犯罪也日益严重和复杂。为有效应对数据犯罪以更好地保护数据,我国刑法基于数据承载信息的事实,一方面规定了保护数据载体的罪名,另一方面也在保护信息内容的罪名的解释中不断涵盖对网络信息内容的保护。就保护数据载体的罪名而言,早在1997年 《中华人民共和国刑法》 (下文简称 《刑法》)第286条第2款就规定:违反国家规定,对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作,后果严重的,以破坏计算机信息系统罪论处。2009年,为了防止非法获取计算机信息系统中存储、处理或者传输的数据,《刑法修正案 (七)》在 《刑法》第285条单列一款(第2款)以规定非法获取计算机信息系统数据罪。就保护信息内容的罪名而言,我国刑法针对国家秘密、商业秘密、个人信息以及其他信息内容分别规定了不同的罪名。其中,保护国家秘密的罪名有1997年刑法规定的为境外窃取、刺探、收买、非法提供国家秘密、情报罪 (第111条),非法获取国家秘密罪 (第282条),故意泄露国家秘密罪 (第398条),过失泄露国家秘密罪 (第398条),非法获取军事秘密罪 (第431条),为境外窃取、刺探、收买、非法提供军事秘密罪 (第431条),故意泄露军事秘密罪 (第432条),过失泄露军事秘密罪 (第432条);保护商业秘密的罪名有1997年刑法规定的侵犯商业秘密罪 (第219条)和 《刑法修正案 (十一)》新增的为境外窃取、刺探、收买、非法提供商业秘密罪 (第219条之一);保护公民个人信息的罪名有 《刑法修正案 (九)》确定的侵犯公民个人信息罪 (第253条之一);保护其他信息内容的罪名包括保护不应公开的案件信息而在 《刑法修正案 (九)》中新增的泄露不应公开的案件信息罪 (第308条之一),披露、报道不应公开的案件信息罪 (第308条之一)和保护财产属性信息的盗窃罪 (第264条、第265条),诈骗罪 (第266条),职务侵占罪 (第271条)等。其中一些罪名尽管是传统罪名,但在互联网和通信技术不断应用的数字时代,通过合理解释也能涵盖对网络信息内容的保护。

然而,司法实践在适用保护数据载体和信息内容的这两类数据刑法保护罪名时,常常出现认识上的分歧。试看如下案例:

案例1:2012年10月至2013年4月间,在江苏省泗洪县某单元房内,被告人岳某及王某 (另案处理)购买上家 (另案处理)非法获取的网络游戏 “魔兽世界”的账号和密码,雇佣被告人张某、谢某、陈某等人,非法登录该游戏账号获取其中的 “金币”,并将获取的 “金币”通过在某网站上注册的账户进行出售。岳某等人在该网站共交易1.1万余次,销售金额72万余元。一审检察院认为岳某、张某、谢某、陈某应以盗窃罪论处①,而二审法院却认为原审被告人的行为构成非法获取计算机信息系统数据罪②。

案例2:2018年5月至2018年年底,被告人马某某为非法获利,通过远程连接西昌市房管局房管系统跳板机,多次侵入西昌市房管局系统,非法获取购房业主姓名、电话号码等个人信息1万余条,并将以上信息出售给某装饰公司的苟某,获利1万余元。起初,检察院以涉嫌犯非法获取计算机信息系统数据罪批准逮捕马某某,并由公安机关执行,但法院最终以侵犯公民个人信息罪评价马某某。

案例3:欢乐互娱公司主营电子游戏的开发、发行、运营,与多家游戏平台合作运营该公司自行开发的电子游戏 “街机三国”。“街机三国”游戏玩家以出资充值游戏账户的方式向欢乐互娱公司购买游戏币 “元宝”,用于提升游戏装备、游戏人物属性等。2018年7月,被告人沈某某入职欢乐互娱公司,从事游戏运营策划工作。2019年1月至6月,沈某某在任职期间,利用游戏运营管理权限,未经授权擅自修改后台数据,为游戏玩家李某、姬某某等人的游戏账户添加游戏币 “元宝”,并从李某、姬某某等人处获取钱款157100元。一审法院认为沈某某犯非法获取计算机信息系统数据罪,而二审法院则认为其犯职务侵占罪。面对此类分歧,理论上基于数据载体与信息内容的关系,提出了一体性和区分性两种解释方案,但研究发现,这两种解释方案在数据保护实践中均存在局限性。其中,一体性解释方案容易导致对数据保护的过度,而区分性解释方案则容易造成对数据保护的不足。究其原因,在于现有解释方案对数据刑法保护罪名的理解仅局限于规范内部而缺乏规范外部的视角。然而,规范内部和规范外部的理解并非互不相干。 “它们就像是一枚硬币的两面。在认识法律的时候,要共同协作、互相补充。” 两者应当结合,即要重视刑法规范的外部运作环境,将对外部环境刺激的反应纳入到规范的内部解释中。因此,面对数据刑法保护罪名的适用分歧,选择内外视角相结合的功能主义解释很有必要,只有这样,才能实现对相关罪名的妥当理解,避免刑法对数据的保护过度或不足。

二、数据刑法保护的现有解释方案及其局限性

(一)一体性解释方案及其局限性

一体性解释方案强调的是在适用刑法保护数据时,将数据载体与信息内容等同理解,在此方案下,竞合适用保护数据载体和信息内容的罪名是常态,只是对如何竞合适用存在不同的观点。当数据被一个不法行为侵犯时,一种观点认为,应基于保护数据载体和信息内容罪名之间的法条竞合关系来对数据进行保护,例如,如果行为人非法获取计算机信息系统中的数据,则表明其行为触犯了非法获取计算机信息系统数据罪和侵犯公民个人信息罪,那么应按特别法优于普通法的法条竞合规则来处理;另一种观点认为,有必要根据一个不法行为触犯保护数据载体和信息内容罪名的想象竞合关系来对数据进行保护,例如,单一数据不法行为触犯数据本体罪名,即保护数据载体的罪名与数据功能罪名即保护信息内容的罪名的场合,属于想象竞合,从一重罪处断但应作数罪宣告。而当数据被数个不法行为侵犯时,一种观点认为,应根据侵犯数据载体的手段行为与侵犯信息内容的目的行为的牵连关系,按牵连犯的处理规则保护数据;另一种观点认为,由于保护数据载体和信息内容的罪名是两项独立的罪名,不构成一罪关系,而是数罪关系,所以数个不法行为分别侵犯保护数据载体和信息内容罪名的,应按数罪并罚的规则保护数据,例如,数据犯罪的本体法益和功能法益是不同的法益,应对前后行为触犯的两类罪名进行数罪并罚。

一体性解释方案的局限性在于容易导致对数据的过度保护,无论在数据是被一个不法行为侵犯还是被数个不法行为侵犯适用相关罪名,都会发现该情况。

在数据被一个不法行为侵犯适用保护数据载体和信息内容的罪名时,不论是按照法条竞合关系处理,还是按照想象竞合关系处理,都容易导致过度数据保护。对于依法条竞合关系处理的情况,由传统观点可知,法条竞合的处理存在特别法优于普通法、重法优于轻法两种规则。 无论保护数据载体的罪名是特殊罪名,还是保护信息内容的罪名是特殊罪名,当特殊罪名重于一般罪名时,不管选择哪一种法条竞合规则,最终都会选择重罪名;当特殊罪名轻于一般罪名时,由于选择特殊罪名会影响罪责刑相适应原则的贯彻,因而应根据重法优于轻法的规则选择重罪名。由此可见,此时适用的要么是重的特殊罪名,要么是重罪名,而这均易导致数据保护的过度。例如,行为人非法对计算机信息系统中具有财产属性的数据进行删除,导致该数据被毁坏,造成财产损失特别严重的,基于数据载体与信息内容的等同理解,不论是选择特别法优于普通法还是重法优于轻法的规则,都会以重罪名破坏计算机信息系统罪论处,但在不影响计算机信息系统正常运行的情况下非法删除这种数据,与故意毁坏同等价值的传统财物并没有差别,此时适用破坏计算机信息系统罪,最高可以论处15年有期徒刑,相比故意毁坏财物罪最高判处的7年有期徒刑,就显得对数据保护过度了。对于依据想象竞合关系处理的情况,基于数据载体与信息内容的等同理解,只要一个不法行为侵犯了信息内容,就意味着侵犯了数据载体,即一个不法行为侵犯了保护信息内容的罪名,就意味着同时侵犯保护数据载体的罪名,由此容易将一个原本不侵犯保护数据载体罪名的不法行为,基于想象竞合从一重罪处断,而对所侵犯的信息内容给予过度保护。例如,行为人非法获取计算机信息系统中身份认证以外的个人信息,违法所得3万元的,相较于侵犯公民个人信息罪,非法获取计算机信息系统数据罪是重罪名，基于数据载体与信息内容的等同理解、在想象竞合从一重罪处断时会以非法获取计算机信息系统数据罪论处,但这种个人信息是否存储于计算机信息系统中,并不影响以侵犯公民个人信息罪来保护,而此时却选择非法获取计算机信息系统数据罪来保护,则容易造成对这种个人信息保护的过度。

在数据被数个不法行为侵犯适用保护数据载体和信息内容的罪名时,无论是按照牵连关系处理,还是按照数罪并罚处理,也均容易导致对数据的过度保护。其中,对于按照牵连关系处理的,基于数据载体与信息内容的等同理解,容易将并未侵犯保护数据载体罪名的手段行为作为不法行为以保护数据载体的罪名评价,进而基于牵连关系从一重罪即保护数据载体的罪名处断而导致对数据的过度保护。例如,行为人为了公开披露不应公开的案件信息,先非法获取司法工作人员计算机信息系统中的案件信息数据,情节特别严重,而后再公开披露该案件信息的,如果基于数据载体与信息内容的等同理解,行为人会因为牵连关系而从一重罪即非法获取计算机信息系统数据罪处罚③,这与直接获取并公开披露纸质的、不应公开的案件信息相比,显然对计算机信息系统存储的数据存在过度保护之嫌。实际上,这种数据并不会因为存储的差异而在刑法保护程度上有所不同。类似地,对于按照数罪并罚处理的,将会出现本来适用保护信息内容的罪名就能有效保护数据却以保护数据载体和信息内容的罪名来共同保护的局面,进而造成对数据的过度保护。

(二)区分性解释方案及其局限性

区分性解释方案由于区分理解数据载体与信息内容,因而选择从区分适用保护数据载体和信息内容的罪名上来保护数据。具体而言,有两类保护思路。一类是根据保护数据载体和信息内容罪名保护法益的不同,而区分选择两类罪名来保护数据。例如,保护数据载体的罪名保护的法益是一种独立于传统法益的新型法益,即国家数据管理秩序;或者认为,其所保护的法益是数据安全,即数据的保密性、可用性、完整性。另一类是根据数据承载的信息内容在刑法上是否有特别的保护来选择不同类的罪名以保护数据。也即,这种保护思路虽然没有明确区分两类罪名保护的法益,但若数据载体承载的信息内容在刑法上有特别保护的,则排除保护数据载体罪名的适用而直接适用保护信息内容的罪名。例如,有论者指出,有必要将特定信息从数据当中剥离,即刑法因数据所承载的信息内容有特别规定的,性质上属于信息犯罪而非数据犯罪。

区分性解释方案的局限性在于容易导致数据保护的不足,这在以下两类区分性解释方案上都有体现。

就保护数据载体和信息内容罪名保护法益的不同,而区分选择两类罪名来保护数据而言,其不足体现在:如果认为保护数据载体的罪名保护的法益是独立于传统法益的国家数据管理秩序,则主要困境在于国家数据管理秩序是一个相对宏观的概念,势必会影响保护数据载体罪名的适用范围。尤其是在持此法益的论者进一步指出,在国家数据管理秩序是所有类型数据所共有法益的情况下,对于既侵害数据载体法益又侵害信息内容法益的行为,若仅以这种行为侵害国家数据管理秩序为由,只能从保护数据载体的罪名上进行规制,这显然存在规制不足的问题。即便按持此法益的论者进一步所主张的数据法益可以分为数据基础法益和数据升格法益,除了上述困境外,问题还在于数据升格法益由于添附信息内容的法律属性,因而与该论者所主张的数据犯罪不同于信息犯罪的观点相悖。如果认为保护数据载体的罪名保护的法益是数据安全即数据的保密性、可用性、完整性 (以下简称 “三性”),则困境在于这三性容易与信息内容产生关联,极易将个人信息安全、国家安全、商业秘密等传统信息本体内容纳入数据状态安全法益当中,造成本应以保护信息内容的罪名来保护却以保护数据载体的罪名来保护的困境。同时,还容易造成看似只侵害了数据的三性实则侵害了信息内容的三性,却只以保护数据载体的罪名来评价而不以保护信息内容的罪名来评价的遗漏。

就数据承载的信息内容在刑法上是否有特别保护来选择不同类的罪名保护数据而言,其不足在于:在刑法未对数据载体承载的信息内容进行特别的保护之前,就能以保护数据载体的罪名来保护,而当刑法作了特别保护时,反而不以该类罪名来保护,显然存在保护不足的问题。试想,如果数据载体承载的信息内容在刑法上都有特别保护,就意味着没有保护数据载体罪名的适用空间了,如此一来,不但使得保护数据载体的罪名必要性存疑,而且使得数据犯罪与信息犯罪有清晰界限的主张难以实现。

三、对现有解释方案局限性的反思与破解

(一)对现有解释方案局限性的反思

现有解释方案对数据刑法保护罪名的理解仅限于规范内部而缺乏规范外部的视角,导致未能完全厘清数据载体与信息内容的关系,影响了数据刑法保护的社会效果。

从规范外部来看,数据是通过依存于存储介质且能承载信息内容的数据载体而存在的。这里的存储介质,指的是存储数据的介质。它是数据存储的基础,一旦离开了存储介质,数据便难以独立存在。以计算机信息系统数据为例,该类数据的存在,主要依托计算机信息系统进行存储、处理或者传输。实际上,数据依附的存储介质并非局限于计算机信息系统,其他类型的存储介质如硬盘、光盘、U盘等,也能为数据提供依存的空间。由此,充分表明了数据对 “承载介质”的强依赖性。② 而对依存于存储介质的数据载体与信息内容的关系而言,两者之间存在层次性。其中,数据载体属于符号层,而信息内容则属于内容层。无论在网络数据出现之前还是出现之后,都是如此。在网络数据出现之前,以结绳记事为例,绳子的打结编排形式处于符号层,而被这种方式所记的事则在内容层;在网络数据出现之后,数据载体更多地存在于计算机信息系统当中,常以二进制串的形式存在,对其解释所形成的含义就是数据载体所承载的信息内容。数据载体即那些让硬件运行的代码,处于代码层即符号层,而信息内容则是通过网线传输的真正有意义的东西,处于内容层。这说明,依存于存储介质存在的数据载体与信息内容既有联系又有区别,其中,联系在于数据载体与信息内容都是数据,区别在于数据载体属于符号层的数据而信息内容属于内容层的数据。鉴于此,若不考虑数据载体与信息内容的这种关系而只采取要么只有联系、要么只有区别的现有解释思路,则会因为对数据的片面认识而影响数据刑法保护罪名适用的社会效果。

(二)对现有解释方案局限性的破解

破解现有解释方案局限性的关键是对数据刑法保护罪名的理解进行规范内外相结合。而如何结合,功能主义解释给出了思路,即 “功能主义释意主要是法律所调整的社会效果,是以社会效果来实现规范逻辑”。数据刑法保护罪名的理解固然离不开规范内部的视角 (而且它是基础),但考虑到社会效果,还需要从规范外部视角来考察这些罪名的功能。可见,这里的功能主义解释,是将数据刑法保护罪名的功能置入这些罪名理解之中的解释。为了贯彻这种功能主义解释,有必要从认识数据的功能开始,而后再明确这些罪名的功能及其应用。数据存在功能,且以不同的层次表现出来。首先,数据在符号层上的功能,是指数据载体的功能。因为数据载体是对事物的符号表示,是承载信息内容的物理符号。也即,其是人们利用文字符号、数学符号及其他规定的符号对现实世界的事物及其活动所做的抽象描述,简而言之,是对客观事物的符号化表示。

数据载体的功能在于流通,这在网络数据上表现得尤为明显,具体体现为用电信号把数据载体从发送端传送到接收端的过程。尽管这是一个复杂而精细的过程,涉及数据载体的打包、传输、路由、接收、解析等诸多环节,但其目的在于实现数据载体的有效传递与交换。其次,数据在内容层上的功能,指的是信息内容的功能,也可称之为信息的功能。信息内容是对外部世界的反映,旨在对事物进行描述和解释,其功能在于消除不确定的东西。诚如传播学所讲的,信息的功能是表述它所在的物质系统,从而减少或消除人们对该物质系统的不确定性。而这种不确定性的消除,离不开信息的流通或者传递。“信息这个名称的内容就是我们对外界进行调节并使我们的调节为外界所了解而与外界交换来的东西。”之所以如此,是因为信息是一种具体直观的内容展现,但若这种内容价值是不具体直观的,那么沟通、交换、交易也就无法进行。由此可见,“网络之间的信息和意义流动构成了我们社会结构的基本线索。”③ 综合言之,数据是通过依存于存储介质且能承载信息内容的数据载体而存在的,其功能是通过依存于存储介质且能承载信息内容的数据载体的流通而体现出来的。

对于数据刑法保护罪名的功能,考虑到这些罪名的适用在于保护数据,因而这些罪名的功能必然涉及对数据功能的保护。“社会系统是由多个复杂的部分组成的,这些部分不是孤立的,而是相互联系,相互影响的。一个社会事项的功能实现,多多少少要依靠其他社会事项。”由于数据的功能是通过流通体现出来的,那么设立罪名来保护数据,意味着包含了对这种流通功能的保护。然而,数据的流通既有积极的作用又有消极的影响。其中,积极的作用体现在数据的流通会带来多元的价值,数据价值的实现有赖于数据的流通。“数据流通可以说就是不断发现其价值的过程,让数据变得有生命力或有活力。”通常而言,这种多元的价值既有经济价值,又有社会价值。以经济价值为例,数据能够成为生产要素并能直接通过流通交易创造价值。又以社会价值为例,其最大的作用在于能够推动社会关系的发展。社会之所以成为社会,在于人与人之间的连接带来互动,进而形成社会关系,而数据的流通加速了社会关系的产生和发展。“数字时代的信息通信技术革命性地改变了人与人之间相互连接与互动交流的方式,彻底改变了人们的生产与生活,带来了根本性的社会变迁。”而消极的影响则在于数据的流通时常会引发风险。“根据中国信息通信研究院安全研究所调研显示,超80%的安全风险发生在数据的流通环节。”特别是在数据流通应用场景不断拓展的情况下,数据泄露、勒索、窃取、非法滥用和交易等安全事件更是不时发生,数据交易黑色产业链活动日益频繁,数据安全整体态势呈现出严峻的局面。在此形势下,数据刑法保护罪名的功能在于在发挥数据的积极作用和抑制数据的消极作用之间做好平衡。“法律应当通过促进数据自然流通发挥数据生产要素的经济价值,但在该过程中需要权衡个人隐私以及经济安全价值。” 实际上,从现有解释方案的局限性上也能看出,仅局限于规范内部理解数据刑法保护罪名时是不平衡的,即要么保护过度影响了数据流通的价值,要么保护不足增加了数据流通的风险。由此可见,数据刑法保护罪名的功能在于保护数据的安全流通,即为数据的流通划定安全的界限。相反,如果认为其功能不是保护数据安全流通的话,那么数据流通不被罪名规制的情况,则会侵害相关数据主体的权益,故而有必要根据具体罪名的规定对造成数据不当流通的行为人给予相应处罚。例如,个人信息、商业秘密、国家秘密等数据的不当流通易会影响相关权利人的合法权益,对造成严重危害情形的行为人应以保护个人信息、商业秘密、国家秘密的罪名予以规制。需要说明的是,虽然数据刑法保护罪名的功能在于保护数据的安全流通,但这种流通并非基于通过依存于存储介质且能承载信息内容的数据载体而一体呈现的,而是基于数据载体与信息内容的不同而分层体现的,因而对这些罪名的功能应作分层性理解,即保护数据载体的罪名之功能在于保护数据载体的安全流通,而保护信息内容的罪名之功能在于保护信息内容的安全流通。

在明确数据刑法保护罪名的功能之后,接下来的任务便是如何将这种功能置入数据刑法保护罪名的解释之中。从规范内部来看,基于实体逻辑,尽管能识别出这些罪名所要保护的某种利益,如从数据刑法保护罪名保护的对象即数据上能反映这些罪名所要保护的利益,但这并非就是真正的法益,因为从规范外部看数据流通还能形成一定的利益,如果不重视后一利益,就忽视了这些罪名的外部运作环境。“任何一种解释如果试图用最终的、权威性的解释取代基本文本的开放性,都会过早地吞噬文本的生命。”因此,数据刑法保护罪名法益的确定需要进行利益衡量,即把数据作为对象所反映的利益与数据安全流通的利益进行衡量。而衡量后最终能确保这些罪名功能得以实现的利益才是法益,即能被数据所反映而又不影响数据安全流通的利益。只有这样处理,才能把对外部环境刺激的反应纳入到这些罪名的内部解释之中。

四、数据刑法保护罪名的功能主义解释及适用

由于数据分为符号层的数据载体、内容层的信息内容,所以数据刑法保护罪名的功能主义解释及其适用有必要从保护数据载体的罪名、保护信息内容的罪名上展开,并在此基础上对本文开头所列举的争议案例作出回应。

(一)保护数据载体罪名的功能主义解释及适用

在数据的符号层上,对于保护数据载体罪名的解释,从规范内部的理解上看,其保护的是数据载体的存在状态,这种存在状态可以理解为事实,属于数据载体所反映的利益。从规范外部的理解上看,其功能在于保护数据载体的安全流通。而数据载体的安全流通受制于其所依存的存储介质的安全。这是因为,存储介质是存储数据载体的物理介质,能把数据载体以某种格式记录在其之上。它不但是数据载体临时或者长期驻留的物理媒介,也是保护数据载体完整、安全存放的方式。作为数据载体存储 “容器”的存储介质遭受安全威胁,无疑会影响数据载体的安全流通。数据载体所依存的存储介质,目前在刑法中主要指的是计算机信息系统。按照2011年1月8日国务院修订的 《计算机信息系统安全保护条例》第2条的规定,计算机信息系统是指由计算机及其相关的和配套的设备、设施 (含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。可以说,计算机信息系统可以简称为按照一定的应用目标和规则对信息进行处理的人机系统。基于数据载体与信息内容的层次关系,计算机信息系统也可简称为按照一定的应用目标和规则对数据进行处理的人机系统。所以 《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条才规定计算机信息系统是指具备自动处理数据功能的系统。这不仅可以从 《计算机信息系统安全保护条例》第1条的立法目的即 “为了保护计算机信息系统的安全……制定本条例”上得知,也可以从 《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》这一司法解释的名称上得知。计算机信息系统安全意味着按照一定的应用目标和规则对数据进行处理的人机系统不受威胁,表明的是这种数据处理系统的安全运行。在数据处理系统中处理数据时,基于数据载体对系统的强依赖性必然离不开数据载体的流通,由此数据处理系统安全运行则意味数据载体流通的安全。综上,从对保护数据载体的罪名进行内外部理解发现两个利益即数据载体的存在状态和数据载体的安全流通,而数据载体的安全流通表明的是计算机信息系统的安全运行,经利益衡量后可知,保护数据载体的罪名的法益应是计算机信息系统安全运行下数据载体的存在状态。

保护数据载体的罪名具体有两个。其中,对于非法获取计算机信息系统数据罪而言,若仅从规范内部的理解上看,其所保护的是数据载体的动静存在状态即存储、处理、传输状态,只要行为人非法获取计算机信息系统数据的,就会侵犯这种存在状态。但从功能上看,需要考虑行为人侵犯这种动静存在状态要有具体影响计算机信息系统运行的危险。由此而言,当行为人非法获取数据载体至少有具体影响计算机信息系统运行可能的,才能以本罪评价。对于计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的破坏计算机信息系统罪而言,由规范内部的理解可知,其所保护的是数据载体的完整存在状态即防止对数据载体进行删除、修改和增加的操作,当行为人对计算机信息系统中的这种数据进行删除、修改、增加操作时,则构成对这种存在状态的侵犯。而在功能上,需要考虑到对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的行为要能具体影响计算机信息系统的正常运行,否则不应以本罪评价。当然,如果行为人对计算机信息系统中的这种数据进行删除、修改、增加操作导致计算机信息系统不能运行的,由于不能运行必然影响计算机信息系统的正常运行,因而更应以本罪评价。所以,在最高人民法院发布的指导性案例 “张竣杰等非法控制计算机信息系统案”中,张竣杰等人修改、增加计算机信息系统数据,由于并未导致系统功能实质性破坏,故不应认定为破坏计算机信息系统罪。

(二)保护信息内容罪名的功能主义解释及适用

在数据的内容层上,对于保护信息内容罪名的解释,从规范内部上看,保护信息内容的罪名保护的是信息内容的存在状态,而这种存在状态的确定具体由信息内容本体所反映的利益决定,所以保护信息内容的罪名保护的是信息内容本体所反映的利益。从规范外部上看,保护信息内容罪名的功能在于保护信息内容的安全流通。由于保护信息内容的罪名存在两个利益即信息内容本体所反映的利益和信息内容安全流通的利益,因而经利益衡量后发现,其法益乃信息内容安全流通下信息内容本体所反映的利益。换句话说,当信息内容安全流通的利益优于信息内容本体所反映的利益时,即使侵犯信息内容的行为侵犯了信息内容本体所反映的利益,也不应适用保护信息内容的罪名,因为此时该罪名的法益未被侵犯。由此也意味着,侵犯信息内容的存在状态影响信息内容本体所反映利益的,并不一定受到保护信息内容罪名的评价,只有这种侵犯影响信息内容安全流通时,才能以保护信息内容的罪名评价。需要说明的是,由于信息内容的多样性,信息内容安全流通的利益在司法实践中体现不一。这在与信息内容本体所反映的利益进行衡量时会有两种情形:一是信息内容安全流通的利益与信息内容本体所反映的利益是同质的情形,在此情形下,若前者利益更有利于同质利益实现的,则不应适用保护信息内容的罪名;二是信息内容安全流通的利益与信息内容本体所反映的利益是异质的情形,在此情形下,需要置入法律系统的全局经由社会来确定,因为刑法必须完成社会赋予它的功能,由此只有当信息内容安全流通的利益从社会上看难以优越于信息内容本体所反映的利益,即影响信息内容安全流通的,才能以保护信息内容的罪名评价。

保护信息内容的罪名多样,具体可以从以下四类进行分析:(1)在保护国家秘密的罪名上,刑法规定了非法获取国家秘密罪、故意泄露国家秘密罪、过失泄露国家秘密罪、非法获取军事秘密罪、故意泄露军事秘密罪、过失泄露军事秘密罪等罪名,这些罪名从规范内部上看保护的是国家秘密的存在状态,防止行为人通过非法获取、泄露等方式侵犯这种状态,以保护其所反映的国家安全和利益。而从功能上看,适用这些罪名并非杜绝国家秘密的流通,相反,若侵犯国家秘密的行为更有利于维护国家安全等同质或者其他更重要的异质利益的,则这些罪名不应适用。例如,辩护律师在履行辩护职责期间将检察院移送至法院的电子案卷信息通过网络发给被告人家属查阅的行为,尽管侵犯了国家秘密的存在状态,但这种侵犯能让律师维护当事人合法权益、法律正确实施、社会公平和正义 (《律师法》第2条)的利益,故不宜以故意泄露国家秘密罪论处。(2)在保护商业秘密的罪名上,无论是侵犯商业秘密罪,还是为境外窃取、刺探、收买、非法提供商业秘密罪,从商业秘密所反映的利益来看,这些罪名保护的是商业价值,这是因为商业秘密是不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。而立足功能发现,这些罪名都蕴含着对商业秘密安全流通的保护。当行为人侵犯了商业秘密的存在状态,却更有利于商业价值这一同质或者其他异质利益实现的,不应以这些罪名评价。以企业 “吹哨人”举报行为涉及商业秘密的流通为例,当举报人所欲实现的利益如吹哨人利益及其体现的公共利益优于商业秘密所反映的利益时,则不以侵犯商业秘密罪论处。(3)在保护个人信息的罪名上,主要涉及的是侵犯公民个人信息罪,从规范内部来看,该罪保护的是公民个人信息所反映的个人信息权利,由于个人信息权利是个人对个人信息处理所享有的知情与自主决定的权利,当行为人侵犯个人信息权利而不影响个人信息安全流通的,则不构成侵犯公民个人信息罪。以未取得个人同意而获取其个人信息为例,虽然会侵犯个人信息权利,但并不必然构成侵犯公民个人信息罪,因为从该罪的功能看,若未取得个人同意而不影响个人信息安全流通的,如出于公共安全、疫情防控等公共利益而未取得个人同意获取其个人信息的,则不构成本罪。所以 《个人信息保护法》第13条规定,为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,在未取得个人同意的情况下,个人信息处理者仍然可以处理个人信息。但是,若行为人侵犯个人信息权利而影响个人信息安全流通的,如未取得个人同意而获取能识别个人的身份认证信息而影响其安全流通的,则构成侵犯公民个人信息罪。 (4)在保护其他信息内容的罪名上,以泄露不应公开的案件信息罪为例,行为人通过泄露的方式打破不应公开案件信息的存在状态的,并非就直接以泄露不应公开的案件信息罪论处,只有打破不应公开案件信息的存在状态而影响这种信息安全流通的,才适用本罪。再以保护财产属性信息的盗窃罪、诈骗罪、职务侵占罪等取得型财产罪名为例,当财产以数据的方式呈现时,在规范内部上看,其所保护的是权利人对这些信息存在状态即占有状态的支配,而从功能上看,其所保护的是这些信息的安全流通,毕竟这些信息对于人的工具属性在于流通。事实上,这在非数据化的财产上也能得到体现。“不同于人身法益,财产的可转让性是其本质特征,是其工具理性价值的集中体现。” 因此,不论是以转移占有还是以不转移占有的方式实现数据化财产流通的,只有使得这些取得型财产罪名功能的实现受到妨害的,即不论是以转移占有的方式流通数据化财产还是以不转移占有的方式控制数据化财产安全流通的利益均难以优于权利人占有这些财产的,方有必要适用这些罪名保护这种信息。

(三)对本文开头三个争议案例的回应

综上,针对侵犯数据的不法行为,应在功能主义解释下根据保护数据载体的罪名和保护信息内容的罪名来分层判断。对本文开头所列举的三个案例,回应如下:

在案例1中,被告人岳某购买上家非法获取的网络游戏 “魔兽世界”的账号和密码,雇佣张某、谢某、陈某等人,非法登录该游戏账号获取其中的 “金币”并将其在网站上出售。从符号层来看,非法登录游戏账号获取的 “金币”,由于在符号层上不影响该游戏计算机信息系统的安全运行,因而非法获取 “金币”的行为不构成非法获取计算机信息系统数据罪,至于在网站上出售 “金币”的行为,同样也未影响该游戏计算机信息系统的安全运行,故不被保护数据载体的罪名评价;从内容层来看,非法获取的 “金币”,属于具有财产属性的信息内容,实际上一审法院有关掩饰、隐瞒犯罪所得罪的判决也间接承认了 “金币”的财产属性,因为犯罪所得是直接获得的财物 (包括财产性利益)，所以岳某、张某、谢某、陈某等人以非法获取的方式转移了游戏账号权利人对 “金币”的占有,故以盗窃罪评价,对于出售 “金币”的行为,由于非法获取 “金币”的行为构成盗窃罪,所以出售 “金币”属于本犯掩饰、隐瞒犯罪所得的情形,故依法不应再以掩饰、隐瞒犯罪所得罪评价。

在案例2中,被告人马某某为非法获利,通过远程连接西昌市房管局房管系统跳板机,多次侵入西昌市房管局系统,非法获取购房业主姓名、电话号码等个人信息一万余条并将其出售给饰天下装饰公司苟某。在数据的符号层,马某某非法获取的这些个人信息并不影响西昌市房管局房管系统跳板机的身份认证,即在数据的符号层上不影响该计算机信息系统的正常运行,故不构成非法获取计算机信息系统数据罪;在数据的内容层,被告人获取这些个人信息的行为,侵犯了公民对其个人信息内容的支配状态,而且行为人流通的目的在于非法获利,显然侵犯了个人信息内容本体所反映的利益而影响了个人信息内容的安全流通,故应适用侵犯公民个人信息罪。

在案例3中,被告人沈某某在欢乐互娱公司任职期间,利用游戏运营管理权限,未经授权擅自修改后台数据,为游戏玩家李某、姬某某等人的游戏账户添加游戏币 “元宝”。从符号层来看,由于沈某某进行的是擅自修改后台数据而非直接获取数据的行为,因而不应以非法获取计算机信息系统数据罪评价,对于其修改数据的行为,目前并无充分的证据证明能具体影响计算机信息系统的正常运行,因而基于事实存疑也不能以破坏计算机信息系统罪认定;但从内容层来看,游戏币 “元宝”属于具有财产属性的信息内容,沈某某利用职务上的便利,通过擅自修改后台数据添加 “元宝”的行为,给欢乐互娱公司造成财产损失的,打破了欢乐互娱公司对此信息内容的支配状态而使其丧失了所有权,与此同时,所有权的丧失也意味着沈某某非法主导了信息内容的不安全流通,因而应以职务侵占罪评价。

五、结语

数据作为我国刑法保护的重要对象,需要在适用相关罪名时作出妥当解释。“由于完美的刑法典永远只能存在于理想之中,加上刑法典不可能 (至少是不宜)过于频繁地修改,由此决定了刑法解释的必要性。”根据我国刑法的规定,数据保护并不限于保护数据载体的罪名,基于数据载体与信息内容的承载关系,保护信息内容的罪名也能保护数据。然而,司法实践在适用保护数据载体和信息内容这两类罪名保护数据时却出现不少分歧。对此,理论上分别给出了一体性解释方案和区分性解释方案,但这两种解释方案在给出合理的保护进路方面均存在不足。究其原因,在于对数据刑法保护罪名的理解仅局限于规范内部而缺乏规范外部的视角,忽视了对数据刑法保护的社会效果的关注。

本文提出并论证了数字时代数据刑法保护需要选择功能主义解释的立场。功能主义解释重视从外部视角考察数据刑法保护罪名的功能并将其纳入这些罪名的内部解释中来。罪名功能的考察与社会环境密切相关,当前社会正越来越走向以数字技术为运行规则的数字时代,数据已成为除土地、劳动力、资本、技术之外被最广泛使用的新型生产要素,通过流通,数据能激发活力、促进经济发展和社会创新。在此社会背景下理解数据刑法保护罪名时,应将保护数据安全流通的功能置入这些罪名的解释之中,具体可根据数据分为符号层的数据载体、内容层的信息内容选择分层解释的方案,以避免数据刑法保护的过度或不足。

需要指出的是,数据刑法保护选择功能主义解释,不会影响刑法的安定性。因为本文主张的功能主义解释,在解释数据刑法保护罪名时并没有离开规范内部的视角 (而且是以它为基础),只不过考虑到社会效果,有必要对刑法规范的外部环境保持认知开放,并把它吸纳进规范内部的理解与适用之中,以有效回应数字时代刑法对数据的妥当保护。正是在这个意义上,也许我们可以说,它非但不影响刑法的安定性,反而有利于更长久地维护刑法的安定性,因为不能取得好的社会效果的刑法规范,终究难以行稳致远。