分享于志刚李源粒大数据时代数据犯罪的类型化与制裁思路一.docx
- 文档编号:24277880
- 上传时间:2023-05-26
- 格式:DOCX
- 页数:9
- 大小:23.89KB
分享于志刚李源粒大数据时代数据犯罪的类型化与制裁思路一.docx
《分享于志刚李源粒大数据时代数据犯罪的类型化与制裁思路一.docx》由会员分享,可在线阅读,更多相关《分享于志刚李源粒大数据时代数据犯罪的类型化与制裁思路一.docx(9页珍藏版)》请在冰豆网上搜索。
分享于志刚李源粒大数据时代数据犯罪的类型化与制裁思路一
分享于志刚李源粒:
大数据时代数据犯罪的类型化与制裁思路
(一)
从信息安全角度看,大数据是指规模和格式前所未有而又相互关联的大量数据,搜集自企业的各个部分,技术人员可以对它们进行高速分析。
大数据时代的技术和现实变革是围绕着数据的“量”和“价值”展开的。
大数据的价值实际上可以体现在各个法益层面,是一个贯穿个人、社会和国家法益的多层次体系。
但是,数据的价值与传统法律保护对象的本质性差别、数据法益的价值衡量困难、大数据技术相关犯罪对法益侵害结果的相对间接性,都带来了不同于传统法律制度的新的时代挑战,最根本的挑战即向数据-信息法学研究范式的转变的现实必要。
在这个意义上,可以将大数据对刑法体系提出的挑战归结于两方面:
其一,大数据究竟带来了哪些可以具体化的特别危险;其二,这些具体化了的危险所侵害的法益应当如何评判并予以类型化,即数据法益侵害的本质特征如何与传统法益保护法律体系对应和衔接。
这涉及一系列以数据为中心的利益衡量与制度构建。
一大数据时代的法律制度和理论关注点——数据犯罪危险的具体化路径
针对大数据对于刑法的时代冲击,笔者于2013年关注了大数据时代数据犯罪的危险性和危害性,并从传统刑法罪名适用可行性的角度进行了检索和分析。
2014年笔者正式提出了以数据犯罪为视角的刑法应对思路,主张充分重视大数据时代的数据法益的非物质性,针对现有刑法对数字数据法益保护思路的偏离与问题,从宏观思路上一方面要抛弃以“内部数据”和“外部数据”相配合的“二元化”数据解释思维,另一方面要抛弃“数据”必须附着于“信息系统功能”的“三点式”数据解释思维,进而提出大数据时代应对刑法危险应形成以“非法获取网络数据罪”和“非法获取数据罪”为双核心罪名的整体思路。
2015年,针对《刑法修正案(九)》对我国《刑法》253条之一的修改,学界的研究逐渐更细致地集中于侵害公民个人信息犯罪的层面,确定了一系列大数据时代刑法个人数据保护的困难问题,包括网络数据危险具体化及数据制度下的原则、概念、路径等问题,同时尝试建立以认证和可识别性为特征的网络个人数据概念。
有学者从刑事诉讼法方面以网络平台为视角提出了个人信息保护视野下的电子取证规则构建思路,从数据类型、公开范围、私密等级进行了数据分级,并提出了一些程序上的原则。
但是,这些研究都还未能形成一条由技术现实变革、危险危害确定、法律概念、法律规范实质内涵、法律体系性调整的完整研究推进轴线,笔者于本文中试图从这一完整轴线进一步深化刑法领域对大数据相关问题的研究。
(一)大数据基本法律危险具体化:
多种路径的综合剖析社会系统用生产力来使外部自然社会化,用规范结构来使内在自然社会化。
面对内在自然,则用遵循有效规范的交往行为来捍卫自身,通过需要加以论证的规范完成对内在自然的整合,用行为规范以及估价规范所提出的正确性要求和恰当性要求,与外部自然的真实性要求保持一致,但在先验上不能保证生产力的发展和控制能力的增强能够引起符合社会系统控制命令的规范变化。
网络所带来的最大挑战是“社会需要保证秩序:
内部秩序与外部秩序”。
大数据是一个内涵十分丰富、外延非常宏大的概念,它首先是一个技术、商业、社会管理范畴的变革。
信息法受到关于技术的法律一样的自然科学与技术之变动本性与法律之相对静止本性之间紧张关系的支配,从法律政策的视角来看,法律应当置身于技术层面之外,并专注于创设轮廓分明的结构,以克服这种紧张关系。
面对大数据时代的一系列法律制度视界下的审视,必须将通常的、宽泛的、生活和现实的危险进行具体化与类型化,才能进一步对大数据进行法律规范意义上的分析,实现信息技术向法律体系的融合,重整法律规范体系。
这需要从基本权利和数据保护领域着手。
隐私体现个人基本权利法益,亦对社会制度起到重要的保证作用。
大数据的危险首先在隐私领域引起广泛感知,同时,数据犯罪也最先在侵犯公民个人信息领域显现出巨大危害。
因此,检视基本权利,进而将大数据的危险从基本权利出发而进行具体化,从而进一步寻求各法律部门的法律规范构建,将严重的数据犯罪危险进行刑法规范的类型化,是一个合理且循序的分析思路。
在计算机犯罪领域,德国最初也是于1960年起首先于针对隐私犯罪的领域展开研究的,这些研究以民法和宪法讨论为主,刑法次之。
可见,由隐私的基本权利开始,进而延伸至刑法领域的研究过程,符合对于信息技术犯罪的研究规律。
至于数据保护法,是以基本权为基础,涉及民法、行政法、刑法的综合法律部门,其重心在于数据,意在探索一个以跨学科的横剖对象为解决方法的、应对现代信息科学技术“第二次工业革命”的实用路径。
对于大数据来说,落实到数据保护领域,寻求技术与部门法间的间接法律危险具体化和类型化,是必要而且必须的。
大数据所带来的数据危险的具体化路径有三个主要方向,需要依据多种标尺进行全面的综合分析。
1.宏观与微观层面大数据是整体性概念,大数据处理宏观层面上能在智能分析的基础上进行更大容量数据和非结构化数据的处理。
但是网络数据安全往往直接触及公民个人信息安全的领域,此即与个人相关的数据是大数据时代的“小数据”安全问题。
其包括事前预测、被侧写的威胁,以及基于数据的虚拟真实性与现实真实性的错位,基于敏感信息挖掘而对个人生活领域形成深度侵犯,以及通过身份盗窃危害他人人身、财产安全的行为。
大数据处理在微观层面会提高如下风险:
个人遭受刑事犯罪(如钓鱼、身份盗窃)侵害的危险;羞辱感和数据公开侵害(如性、健康和其他敏感信息);歧视和难堪;信息永久性;情景脱离(即使用理由改变)。
这两个层面存在着联系和互动。
一方面,整体性的大数据危险可以透过宏观层面,渗透和影响到微观层面,进而威胁到个人数据相关权利的安全。
另一方面,存在着贯穿两个层面的数据法益,如纯粹将个人作为客体的操作、数据侧写、减损对可信赖性的期待的危险。
2.主观与客观维度信息的主观价值不是主观的反应,而是在于信息自身没有限制,处于极不确定的状态,因此需要法律中确定一个点,来确定客观上无关联的范围,例如,“公开”就是一个可以绝对合法化的打断信息保密要求的点。
这种值得保护的对信息的权利是重要的。
欧盟法律框架下,经过几十年的判例和立法发展,在2012年数据法律改革时,对个人数据的信息基本权利,已经取代了隐私权的保护路径。
关于信息自决权,认为科技导致数据超出计算机而广泛存在于日常生活中的普遍性概念主张将保护法益分为客观和主观两个维度,其中的客观维度表现为信息以通信方式实现的模式是客观价值秩序的一部分,其中的主观维度表现为个人的自我决定实现和发展,有对于信息泄露的控制权利,因此其界定各竞合性权利范围边界的那个“确定的点”,体现为“禁止数据处理,除非有许可的立法规范”。
允许对于大数据管理至关重要。
大数据应用中,同意、法定授权、是否公开可获得、数据是否加密,都是允许制度进行权衡和变革的。
例如,在域外,对于幼儿的同意权已经有了更为严格的立法,法国刚通过一读的《国内数据保护法令》,规定父母未经允许擅自公开子女的私生活,最重可面临一年监禁并处罚金4.5万欧元。
这便是从幼儿网络隐私权角度进行的限制。
对于具有附属关系、双方力量对比悬殊情形下的同意制度应作特别处理。
与此类似,对于如基本需求供应(交通、电力)、医疗健康行业(基因筛查、癌症生物信息数据库等)等商业领域的数据处理是否应特别关注,也是需要探讨的。
3.静态与动态视角大数据时代的海量数据具有动态价值,对一系列的数据收集、存储、挖掘和应用能体现出巨大的政治、经济、军事、生活价值。
这种数据处理过程中,可能侵害到宏观的整体数据环境与微观的个人数据权利,也可能侵害到主观与客观方面的个人法益。
此外,从时间上看,使用数字传输设备使得远程通信失去了“消逝性”,具有“持续可追寻”,从而会产生信息永久性的危险。
从法律制度层面衡量,数据保护制度中具体权利义务的构建,实际上是大数据的技术变革进步与公民个人信息保护之间的一种微妙的平衡,所寻求的保护点是大数据中个人对信息控制和支配权利的关节点。
欧盟2012年数据改革立法框架中提出了“被遗忘权”,谷歌已在欧洲搜索中实施这种“被遗忘权”。
这些是欧洲数据保护在制度体系上的有益尝试。
(二)大数据危险的不确定性衡量信息价值的复杂性提出了大数据危险的不特定性难题。
数据危险主要体现在三个方面,所涉及的分析路径主要是数据的个体层面、主观维度和动态视角。
在数据监控方面,数据敏感度是衡量数据侵害强度的标准之一。
Kennzeichenerfassung案的判决认为,从信息自决权的框架下应当可以引出前置保护特征,即对于行为自由和隐私的保护应当建立“个人危险的分级”。
对于强度标准的确定,可以参照与个人的相关度、归属性和秘密性。
我国2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》中区分了个人信息在与主体关联度上的不同层次。
该指南第3.2条规定,个人信息可以分为个人敏感信息和个人一般信息。
该指南第3.7条规定,个人敏感信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。
德国《数据保护法》第3条规定了特殊种类的个人数据,是指有关民族和种族出身、政治主张、宗教或哲学信念、党派、健康或者性生活的说明。
除了敏感度以外,所收集数据的数量、时间,也都是称量数据侵害强度的标准。
欧盟法院在2014年判决数据存储指令无效,理由是它“包含了大范围的和尤其严重的,对尊重私人生活和保护个人数据的基本权利的侵犯,并且没有对此种干扰进行极其必要的限制”。
该判决采用的就是数量强度标准。
强度标准是与个人数据(公民个人信息)概念中的“可识别性”以及数据应用中的“目标”紧密相关的。
在数据处理方面,数据处理过程是将数据整合,并从中挖掘信息的过程;从功能上看,这一过程在某些情形下可以等同于对数据的侵害。
Kennzeichenerfassung案的判决认为,将个人信息放置在一起,同更多的信息联系起来,构成了一种对潜在的个人相关领域的侵害可能性,其强度与制作他人隐私照片相似。
同时,数据处理和数据挖掘的过程都依托于计算机信息系统、云计算架构等自动化处理设备。
因此,数据处理过程的危险当然也包括对信息系统的攻击。
在数据应用方面,数据的使用是指个人数据在处理操作之外的应用,经营者对采集到的个人数据,未经许可进行二次开发利用或者定向强制推销,也是个人信息滥用的方式之一。
此外,经营者还可能将经营活动中掌握的个人信息进行买卖而获取非法利益,或者利用非法收集到的消费者个人信息实施诈骗。
另外就是,以定位广告(retargetedadvertising)的方式进行骚扰,而且暂时没有恶意利用的企业往后也可能会实施这种行为。
目前,地下数据产业链已经渐渐形成,包括金融账号数据、电商订单数据、考试培训班数据、身份信息数据等,经过专门“数据掮客”的拼凑和再加工,被转售用于其他非法活动,或者直接用来进行诈骗。
从大的动态过程上看,数据危险包含数据收集—数据处理—数据使用三个阶段的总体危险。
(三)数据支配权限利益冲突:
数据获取主体、持有主体、请求主体与数据对象的交错关系从现实中数据的基本问题来看,数据支配权限利益冲突主要体现为操作上的数据对象和对数据有支配权限主体之间的分离和叠合,并由此导致数据权利的冲突。
在数据支配权利方面,公司对于用户数据的巨大利益通过版权、数据库所有权制度来保护。
但是,公司数据资产产生于每个网络用户或产品用户的数据,公司对数据的支配权和个人对数据信息的决定权之间,有相当大的冲突。
这种冲突如何权衡,实质涉及大数据“金矿”的经济利益分配原则。
对于企业与雇员间的数据处理权限分配有数据存储载体性质理论和脚本文档理论两种。
前者认为凡是由雇主提供的数据存储载体上的所有数据都归雇主所有,而后者认为最原始的脚本文档归雇主所有,反之归雇员。
在大数据时代,数据加密、数据合同、数据存储与处理匿名化和数据内容的分离、数据与个人的关联度(敏感性、独特性)、数据作为公共物品的产权界定最优化制度选择等,都应当成为新的数据经济利益分配的考虑因素。
版权和原有的数据支配权限界定应当考虑调整。
在数据披露制度方面,公司和运营商掌握的数据财产支配权利受到国家刑事侦查和调查取证制度的约束,因为涉及用户的个人数据,所以三方主体的不同诉求于此交织在一起。
远程通信和网络调查中,确认行为人身份和对其进行追踪是首要的。
在有关机关调查中,服务商提供合同数据的义务对于网络刑事追诉十分重要;对接入数据(PIN,PUK,密码)的获取和解密应当与对密码数据的保护和数据终端密码的保护相平衡。
这里所体现的利益冲突,是作为数据持有主体的公司与作为数据请求主体的国家机关之间的交错关系;
同时,因为数据根本上是从作为数据获取主体的个人(公司用户)处产生的,所以个人同样间接地被卷入此种复杂情景之中。
美国苹果公司以“构成危险的权力”和对数字时代的个人隐私造成“灾难性影响”为理由,正式回应一名美国联邦法官所作的裁决,拒绝协助美国联邦调查局解除加州强奸杀人案中涉案智能手机的开机密码。
此案集中体现了这种三方关系通过制度予以规范的必要性。
若再考虑到跨国性的数据披露制度问题,这种情况会更为复杂。
除了上述公司与个人、公司与国家机构的数据权利冲突之外,在“个人”层面上仍存在大数据的冲突关系。
大数据隐私有公共产品特性,对个人私有信息不加关心有负外部性效果,因为大数据的碎片关联与发掘能力,会导致社会维度上隐私的集体协作困境。
这属于数据的公共物品属性难题。
二网络刑法、传统刑法的体系契合与时代转型——数据犯罪特征的刑法类型化
刑法作为最为严厉的制裁手段,具有谦抑性、片段性。
因此在大数据时代,数据相关法律制度与刑法体系的制度衔接中,立法者需要尤为谨慎,在危险与法益保护的权衡之间做精细把握。
(一)作为刑法规范的本质特征:
“法益侵害危险危险的规范化”德国学者指出,网络犯罪的特有属性与传统法律的根本特征是“完全对立”的。
刑法学者需要考虑的是,如何在这种对立之下,尽可能地寻求法律体系的完整性、稳定性,以应对数据技术性和危险性所带来的冲击。
1.以宪法引导出的法益概念为基础刑法的法益以宪法为基础,刑法所保护的法益是从宪法中引导而出的,其产生于宪法中所载明的建立在个人自由基础上的法治国家任务,这个任务为国家的刑罚权界定了边界。
这种基于宪法的法益概念是,在以个人及其自由发展为目标进行建设的社会整体制度范围之内,有益于个人及其自由发展的,或者是有益于这个制度本身功能的一种现实或目标设定。
在网络时代,刑法规范的解释、修改或者新增,都应当以宪法基础上的法益保护为正当性基础和刑罚权边界。
刑法规范的内容,应当在此目标的指引之下,针对信息的特征作出调整,确定具体的刑法规范。
科技进步表明,具有社会危害可能性的新技术不能完全为现有刑法所规范。
建立在合乎宪法的价值秩序基础之上的刑法目标是,通过对法益的保护来确保公共福利和法秩序和平,在新技术环境下依据报应和预防理论实现其保护目的。
以德国为例,大数据危险的宪法法益基础,主要可以归于人的尊严,人的自由和发展,通信、邮政和电信秘密,住宅不受侵犯几个条文。
这些对宪法法益的危险,构成了相关刑法法益保护的基础,确立了刑法规范的保护目标。
因为目标是实定法的解释和合法化标准,而又不同于所属实定法的内容,所以教义学的任务是将刑法规范固定下来,以确保其形式规范同时也具备适当的责任基础。
刑法对大数据危险的规范确定,是将危险规范化的过程。
刑法规范是受限于语词表述的思维的实体,有三种不同的效力条件,即规范的信息、规范的实际构造(即合法性)和规范的效用分析。
其中,刑法规范的效用功能与规范目标是不同的,需要加以区分。
刑法规范的效力并不是规范合法性的标准。
将现实的刑法法益以规范的形式确定下来,需要该规范既遵循法益保护的规范目标以满足合法性要求,又以恰当的语词形式确定规范的责任违反内容。
这需要选择法益保护目标与刑法构成要件条文的恰当节点。
对于大数据时代的数据犯罪危险来说,则是应当确定数据危险所造成的法益侵害与传统刑法体系之间在刑法规范层面的恰当的“嵌入点”。
从根本上看,需要将数据危险具体化到法益侵害实质特征上,再以此为基础寻求刑法体系中构成要件的类型化。
例如,德国的Caroline案判决认同了依据自己对于图像权利的公开权限,将保证私人空间作为对整体性个人权利的具体化,认为保护需求来源于个人在特定情境中所产生的表现形象之可能性,并将此在个人空间以数据形式固定下来。
其关注的是信息的构建性价值,是个人“公开性形式”。
这同数据犯罪中的非法获取行为所保护的“非公开数据”形成了实质上的契合点,通过将人的尊严、自由和发展等基本权利法益进一步细化和深化,确定侵害的实质特征,从而得以将侵害行为进一步规范化和类型化。
因此,将整体性的大数据危险不断剖析和具体化,从而提炼出权利侵害本质特征,是寻求危险规范化的正确路径。
从主体上看,公司(如脸书等社交网络、XX等搜索平台、亚马逊等购物平台)已经成为相当重要的数据持有主体,在数据犯罪中,依宪法引出的法益保护必要,需要进一步考虑主体问题,因为宪法中的相关法益都具有特定的内涵,而私人数据处理的危险并不包括在内。
就此,Hoffmann-Reim主张,现在来自私人领域的危险已经超过了对由国家管理产生危险的容忍,因此可以通过将数据保护的新领域与其他危险增加的社会领域相比较,从而使私人领域承担和国家相同的保护等级。
信息自决权领域的基本法已经实现了由保护不受国家侵害转向了对多维度和多极化的信息社会通信发展保护的要素。
这些私人领域的公司已经形成了强大的独立力量和自治体系。
德国《数据保护法》第28条就商业性用途的个人数据处理和存储做了相应规范;根据该法第43条和第44条,违反商业性用途的具体规定而对数据的广告、市场调查等处理与使用行为,都应当承担刑事责任。
2.因违反数据保护制度所产生危险的规范化大数据所产生的刑法危险较之于传统刑法的危险更为复杂,这些侵害刑法法益的危险都具有不确定的特征。
需要先确定大数据危险的条件和特征,以寻求进一步的刑法规范化。
“不确定性”本来就是规范的危险概念的应有内涵。
Horn在描述具体危险概念时,就将“法益侵害结果不发生的理由无法得到说明”作为危险的本质特征。
Kindh?
user则认为具体危险是对于确定存在的震动(ErschütterungderGewi?
heit),是对于法益安全的无能力(Unf?
higkeit),进而损害作为保证个人自由发展手段的法益价值。
危险之所以危险,往往是来自于对现实世界的难以掌握。
尽管传统刑法理论已涉及不确定性问题,但大数据技术还是为数据犯罪危险的规范化带来了特别的困难。
大数据危险侵害中有相当大的部分属于行为对象(数据)与保护法益(从宪法中引导出的法益概念)相分离的情形。
从本质上说,体现在规范中的“嵌入点”特征,在规范中是以数据形式确定的,然而,其法益基础则是与公民个人相关的基本权利。
因此刑法规范的目的可能不是对数据自身效力的保证,对规范自身效力的保证可能仅仅是为了保护其他规范的目标。
这是一种间接的规范化路径。
同时,数字个人(e-person)的概念已被提出,这需要以个人数据直接作为新的保护法益,从而采取一种直接的规范化路径。
其所体现出的解决思路是试图直接以个人数据为出发点,发展出直接围绕数字个人的法益体系,将个人数据直接作为行为对象、将对个人数据的分割直接作为法益侵害实质,实现规范目标和规范效力的统一。
对于身份盗窃的犯罪化就是这一直接路径的体现。
此外,数据内涵复杂,数据侵害行为建立在以信息权利为依据的数据保护制度之上,对于严重侵害个人数据的行为,应当以刑法进行处罚,此处则涉及刑法与数据保护法律制度的关系。
(二)作为犯罪对象的数据:
“数字技术特征非物质法益本质”……
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 分享 于志刚李源粒大数据时代数据犯罪的类型化与制裁思路一 志刚李源粒大 数据 时代 犯罪 类型 制裁 思路