摘 要: 大数据时代数据犯罪的认定, 虽然需要融入技术的方法以增强刑法教义学的自主性和应变性, 但其仍是关涉具体个体切身利益的小数据问题。 以数据为中心的数据主义将中立的数据本身平移为数据犯罪的法益, 不仅抽空了法益的本体论和目的论价值, 而且以相关关系取代因果关系, 导致数据犯罪的认定走向极端的预防性扩张。 因而, 数据犯罪的认定仍需向以人为中心的现代刑事法治回归, 以数据本身所征表的数据信息为中心来建构法益, 确保其与具体数据犯罪的法益发生直接关联; 以针对数据所实施的行为具有创设侵害法益风险 (不法) 的功能且现实化为不法结果为前提, 限定数据犯罪因果关系的范围。 藉此明确刑法问题与技术问题的界限, 将小数据保护与大数据流动置于同等重要的地位。
赵春玉, 思想战线 发表时间:2021-09-15
关键词: 大数据; 小数据; 数据本身; 数据信息; 因果关系
一、 数据犯罪的认定: 大数据时代的小数据问题
大数据时代的到来使人类社会进入了超现代的数字社会。 在所谓的数字社会中, 数据技术改变了人们的生活和思考方式, 几乎人们所有的活动都可以被数据化并蕴含着巨大的经济价值和战略价值, “引领着新一轮的科技创新和科技革命, 成为新经济的智能引擎”。① “在大数据环境下, 数据的集中和数据量的增大给产业链中的数据安全保护带来新的威胁, 数据成为主要的攻击对象, 网络向围绕着数据处理的数据网络转向”, 形成了以数字化形式进行技术处理的一切数据为对象的犯罪, 其在理论上被统称为 “数据犯罪”。② 刑法应如何应对数据犯罪, 近代以来, 以人为中心的人文主义刑事法治观遭遇了数据主义所倡导的超现代性的挑战, 甚至有被 “接管” 的意味。 因为数据主义是一种视一切为数据并从 “以人为中心” 转向 “以数据为中心” 的世界观, 其是科学主义的当代延续, “不仅表达了现代技术可以解决一切问题的信念, 而且还表达了对人类未来生活样式、 存在意义的理解”。③ 在数据主义看来, 世界的本质是数据, 人类社会的一切活动都可以通过数据来表达, 数据爆炸使得科学的研究方法落伍了。 “数据主义不只是一场哲学意义上的革命, 而是会真真切切地影响我们的生活。”④ 数据主义将刑法的触角延伸至技术领域, 强调 “代码就是法律”, 并以数据为中心来设计认定数据犯罪的刑法教义学, 使刑法的重心由对人的规制转向对技术的规制。
诚然, 在大数据时代应用大数据技术提升刑事法治的现代化水平, 助推刑法教义学和刑法制度的设计适应时代的变迁及科学技术的发展, 并将社会变迁的维度整合进来, 使刑法体系具有自
主性和应变性, 是法律人不可推卸的时代使命。① 但这是否意味着任何实体或现象的价值就是对数据的处理, 并抛弃现代刑事法治的教义学立场。 在晚近以来的刑法理论和刑事司法实务中, 已出现了贬低以人为中心的人文主义世界观, 将数据主义作为辨别是非的标准, 并夸大其作用和功能, 将对人类行为的规制降维为对数据技术的规制, 并试图将数字社会的犯罪问题转化为技术问题, 采用对策论来取代刑法教义学理论。 具体而言, 数据主义在刑法中表现为: 其一, 认为数字社会是一种风险社会, 传统法益难以应对新型的数据犯罪, 应将中立的数据本身直接平移为用于评价 (针对数据所实施的) 行为是否违法的法益, 或者以数据本身来建构数据犯罪的法益。② 然而, 将数据本身作为数据犯罪的法益, 不仅混淆了法益与对象的关系, 抛弃了法益的本体论和目的论价值, 而且还将针对数据所实施的行为归类于无所不容的数据本身安全之下, 将违法与否的评价依据前置到中立的技术阶段, 扩大了 (针对数据所实施的) 行为的入罪范围。 其二, 在数据犯罪中以数据本身安全作为法益, 继而以 (针对数据所实施的) 行为与结果之间的相关关系来取代因果关系的认定, 即在具体的数据犯罪中, 将针对数据所实施且不具有创设侵害法益风险 (不法) 功能的行为作为刑法上因果关系的原因, 不当地扩大了将结果归责于 (针对数据所实施的) 行为的范围。 故此, 数据主义世界观主导下的数据犯罪的认定, 已挣脱了现代刑事法治中的法益原则和因果关系, 走向极端的预防性扩张。
作为新生产要素的大数据促使数据犯罪的形成, 因而数据犯罪的认定需要融入大数据的因素以提升现代刑事法治水平, 但这并不意味着需要以预防为基准扩张数据犯罪的认定。 因为数据犯罪的认定依然只是大数据时代的 “小数据” 问题, 事关行为主体的生命、 自由和财产等切身利益。 如果单纯因为预防犯罪的需要而遭受刑罚处罚, 那么其不仅会使刑罚丧失正当性和合法性,而且也会妨碍数据的分享与流动, 阻碍数据技术变革与发展。 习近平同志指出: “以互联网技术为代表的信息技术日新月异, 引领了社会生产新变革, 创造了人类生活新空间, 拓展国家治理新领域, 极大提高人类认识世界、 改造世界的能力。”③ 换言之, 信息技术只是拓展国家治理、提高认识世界和改造世界能力的手段, 但这不意味着在数字社会就需要颠覆以人为中心的现代刑事法治基础。 由于数据犯罪的认定同时面临着现代性和后现代性维度的任务, 因而, 从刑事法治的角度而言, 我们 “既要防止法外恣意, 限制国家刑罚权; 又要管理风险社会存在的不安全性,强化对安全的保护”。④ 这就要求在刑法教义学的建构中, 必须以现代刑事法治为核心, 并将社会结构变迁的维度整合进来以增强刑法体系的自主性和应变性。 故而, 在数字社会中不应当用后现代性维度的数据技术去摧毁现代刑事法治的基础, 而应当思考如何将数据技术整合到现代刑事法治之中, 既要遵从现代刑事法治的核心理念, 又要体现数字社会的治理逻辑和时代要求, 在数据犯罪中明确技术问题与刑法问题的界限。
二、 数据犯罪的本质属性: 数据本身所征表的数据信息安全
数据犯罪本质属性的认定不仅要遵循犯罪的本质是侵害法益这一现代刑事法治的核心逻辑,还要积极回应社会变迁以增强对数据犯罪的治理能力。 以数据为中心来建构数据犯罪的法益, 不是以作为载体形式的数据本身而是以数据本身所征表的信息为中心, 以实现数据犯罪法益的目的回归。
(一) 数据本身安全的逻辑错位
如前所述, 数据主义认为世界的本质是数据, 因而数据犯罪的法益应以数据本身为中心来建构。 受数据主义世界观的影响, 在刑事司法实务和理论上主张将中立的数据本身直接平移为数据犯罪的法益, 即数据犯罪的法益是数据本身的安全。 例如, 张某等人作为被告单位的主管人员,共谋采用网络爬虫技术抓取被害单位某网络技术有限公司服务器中存储的公开视频数据, 并由侯某指使被告人郭某破解某网络技术有限公司的反爬虫措施、 实施视频数据抓取行为, 造成被害单位损失技术服务费人民币 2 万元。 法院认为, 该案构成了非法获取计算机信息系统数据罪。 之所以如此, 主审法官认为, 被爬取的数据虽然属于公开数据, 但加工视频过程中冗余的计算机语言、 代码却是保密的, 因而被告单位侵害的法益是数据本身安全中的保密性。① 近年来, 在理论上亦有观点主张引入德国学者提倡的 “数据安全” 概念。 数据安全是数字社会中产生的新型法益, 其 保 护 的 是 数 据 本 身 的 保 密 性 ( Confidentiality )、 完 整 性 ( Integrity ) 和 可 用 性(Availability), 侵害数据安全这种新型法益的犯罪被称为 “CIA” 犯罪。② 在我国刑法中以数据为侵害对象的犯罪所保护的法益也应当认定为数据本身的安全, 如非法获取计算机信息系统数据罪, 其关注的是数据的类型、 结构、 粒度、 生命周期。③
然而, 将数据本身安全作为数据犯罪的法益, 实际上是所谓风险社会刑法预防性扩张的一种具体体现。 在数据犯罪中, 将数据本身平移为数据犯罪的法益, 是试图在科学技术与数据犯罪的法益之间的鸿沟上搭起一座桥梁, 并让数据本身从经验性事实向规范性评价跨越, 以中立的技术来消解由技术引发的规范评价问题。 但这一路径不仅是对法益的工具性解释并抽空了法益的本体论和目的论价值, 混淆了法益与对象之间的关系, 而且导致法益丧失了立法批判功能和解释功能, 并在刑事法治与数据技术之间形成难以调和的悖论。
其一, 将数据技术平移为数据犯罪的法益是自相矛盾的。 数据本身是通过电信号以及对应的字节 (0、 1 组合) 组成的比特流, 具有工具中立性的特点, 其本身并没有任何目的, 是一种价值中立的物理性事实。④ 数据本身不服从任何脱离代码的人为干预, 只服从于代码规则, 但这并不意味着通过代码规则就可以规制数据犯罪。 因为对数据犯罪行为的刑法规制必须着眼于调控人类的行为, 以达到建立良性网络秩序的目的。 以数据本身安全作为数据犯罪的法益, 实际上是把可感知或经验表象的数据本身视为本体论和目的论的存在, 试图用技术手段解决因技术产生的刑法问题, 强调 “代码就是法律”, 所有法律对数据秩序的权利设计或利益分配, 都需要合适的代码来实现。⑤ 然而, 作为犯罪本质属性的法益是以目的为中心来确定刑法处罚范围的实质根据,其是作为接纳不同价值的容器而存在的, 有不断被重新加以解读的可能和空间。 借助以目的为中心的法益, “外部环境的需求得以通过目的的调整而完成沟通的过程。 在目的的内容完成调适之后, 外部的刑事政策诉求便被传递到体系之内”。⑥ 换言之, 法益通过对事实的目的设定来保障个人自由的发展和基本权利的实现, 以及建立在目标观念之上的国家制度的发挥。⑦ 数据主义将本体论和目的论的法益替换为中立性的技术问题, 倡导对技术的工具性解释而非价值属性的反思和建构, 导致当代以法益为核心的刑法教义学立场的崩塌。 通过技术规则规制数据犯罪不仅会造成数字社会弱肉强食的混乱局面, 而且淡化了对数据犯罪行为的违法性和应受谴责性的规范评价。⑧ 因此, 中立的数据本身与评价行为违法与否的法益原本就是相互矛盾的, 混淆了技术问题与刑法问题的界限。
其二, 以数据本身作为数据犯罪的法益, 会导致其丧失教义学功能。 在数字社会中, 数据技术的不断革新必然促成技术用语的膨胀以及数据犯罪内涵和外延的变化。 将数据技术平移为数据犯罪的法益, 实际上只是在数据犯罪中平移了涵括力极强的技术用语, 其抽空了数据犯罪法益的本体论和目的论价值, 使数据犯罪的法益与具体的数据犯罪 (如侵犯公民个人信息罪、 侵犯商业秘密罪) 之间丧失了规范连接点, 并丧失了指导具体数据犯罪解释的教义学功能。 一方面, “对于刑法教义学而言, 没有理由去适应这种用语 (网络技术语言———笔者注) 的膨胀, 将教义学问题与肯定在短期之内被淘汰的技术细节挂钩, 是一种难以接受的做法。 不久以后, 对数据网络的使用就会变得特别常见, 以至于它的技术维度将被转向幕后, 我们今天对电话或广播的使用就已经呈现出这种情形。 对网络犯罪的刑法规制, 并不在于创制一种具有独特语言、 基础或规则的特殊教义学, 而在于将已经被证明有效的教义学框架前后一致地、 以满足法治国家 (如明确性、 事后可验证性) 的方式充分适用到新的问题上”。① 另一方面, 将数据技术平移为数据犯罪的法益, 由于其着眼点在于对技术本身而非对人类行为的调控, 故而会使相对稳定的法益滞后于科学技术的发展, 让 “法律和公正被新科技远远地抛在后面”,② 且使 “技术进步及其需要的满足有可能使人陷入 ‘恶的无限性’ ”。③ 在面临因技术的革新而产生的新型案件时, 解释者就可能使用无所不包的数据本身安全对相关的行为进行类推解释, 并冠名 “同时代解释” 或 “与时俱进解释”, 导致对案件的认定偏离其不法本质。
(二) 数据信息安全的目的回归
1. 作为载体形式的数据本身
受信息学和计算机科学的影响, 在法学上有观点主张区分数据和信息, 认为数据本身具有独立的保护价值, 应将对数据犯罪法益的保护提前到数据本身的阶段。 例如, 有学者认为, 《德国刑法》 中规定的窥探数据、 拦截数据等犯罪中的 “数据” 是指 “数据本身” 而非 “数据信息”,这些犯罪不仅危害了数据本身安全, 而且还是实施其他犯罪的基本犯罪类型。④ 晚近以来, 我国刑法理论也主张将数据本身安全作为独立的法益加以保护, 并在部分司法实务中得到认同,⑤ 进而在数据犯罪上形成了数据本身安全和数据信息安全两种类型的法益。
然而, 无论是计算机信息系统时代的 “数据”, 抑或日本和我国台湾地区的 “电磁记录”,都是以电脑系统为操作载体、 存储于计算机系统内部静态的、 特定类型的数据库。 在大数据时代, 数据的量已经进入 “PB (拍字节) 时代”, 不需要传统的数据库表格来整齐排列, 几乎可以无所不容地记录、 存储、 计算各种规则的结构化数据和不规则的非结构化数据, 并形成了一个数据化的世界。⑥ 尽管如此, “数据” 与 “电磁记录” 一样, 都是对客观事物感知的原始记录,并用 0 和 1 的二进制代码来表示的网络世界的基础语言。⑦ 从法律规范的角度而言, 作为权利客体存在的并非数据本身而是数据信息。 例如, 欧盟的 《通用数据保护条例》 以及德国的 《联邦数据保护法》 中所规定的 “个人数据”, 均是指作为权利客体的信息。⑧ 在大数据时代, 真正有价值的是数据信息, 以 0 和 1 的二进制代码定义且无法识别出信息的数据不具有任何法律意义,在立法上无论是采用数据抑或信息的表述, 其实质上都是指信息。 故此, 在法律上 “作为信息数字化的形式, 电子数据通常与电子信息具有共同的意义, 即信息通过数据形式生成、 传输和储存, 控制数据即掌握了相关信息, 在这个意义上数据和信息具有天然的共生性和一致性”。⑨
在司法实践中, 由于以二进制的数据本身作为数据犯罪的法益较为直观、 简单, 因而司法人员更容易接受以数据本身安全作为判定是否入罪的实质标准 (法益)。 但以数据本身安全作为数据犯罪的法益, 实际上是以数据化的技术思维研判社会风险和解决犯罪问题, 以工程师的心态将犯罪的治理作为社会的系统工程, 倡导数据或技术决定论, 将技术问题与法律问题混为一谈, 背离了法益的目的性功能。
2. 数据信息的目的价值
作为网络世界基础语言的数据, 与其他语言一样, 都需要回溯到某个内在之物来说明其表达。 在事物与语言之间, 事物进入到语言中, 才得到自己的规定和表现, 因而, 语言把我们带向事物的本质。 伽达默尔指出, 对 “事物的本质” 的理解是通过 “事物的语言” 得以保证的, 虽然二者在某种意义上说的是同一件事, 但语言只是事物本质 (原型) 的载体 (摹本), 原型是第一性的东西, 摹本是第二性的东西, 原型优于摹本。① 故而, 事物的本质才是 “一种界限, 用来限制那些颁布法律的立法者的专横意志和对法律所作的解释。 求助于事物本质就是转向与人的意志无关的秩序。 它企图确保生动的司法精神优于法律文字”。② 又由于作为事物本质存在的法益是一种 “意义概念” 或 “功能性概念”, 是存在与当为、 现实与价值相互对应的连接点, 其并非从抽象的定义中得出的, 而是从拟规范的生活事实的 “本质” 中得出的, 因而, 法益必须回溯到有关的具体生活事实中去发现。③ 因此, 以数据为中心建构数据犯罪的法益就不应着眼于数据本身, 而应着眼于数据所征表的信息, 这样才能明确各种具体数据犯罪的性质, 实现数据犯罪法益的目的性回归。 例如, 《德国刑法》 上规定的数据犯罪 (CIA 犯罪), 其保护的并非数据本身安全, 而是数据可能涉及私生活之秘密、 知识产权之秘密等各种具体的利益。④ 在大多数情况下, 数据犯罪依然是针对传统法益 (如个人权利、 知识产权等) 的, 只是侵害的方法是新的而已。 对数据本身的风险进行法律评价会面临刑法过度规制的危险, 对其采取技术措施予以规制,可能比将其作为法益保护并予以犯罪化的理由更好。⑤ 又如, 我国 《刑法》 第 258 条规定的非法侵入计算机信息系统罪, 虽然其基本的行为方式是对数据的支配权限的非法侵入 (非法访问),但立法上将处理数据的信息系统限制为 “国家事务、 国防建设、 尖端科学技术领域”, 这实际上并没有单独以数据、 网络信息系统等技术层面的安全作为保护法益。 因此, 数据犯罪法益的建构应以数据所征表的数据信息为中心, 才能确保其能容纳不同的价值, 增强其自主性和应变性。
在计算机信息系统时代, 数据只具有狭窄的技术用途, 一旦数据的技术用途实现了, 便达到使用数据的目的。 然而, 在大数据时代, 通过数据重组、 数据开发等方式使数据从其基本用途移动到了二级用途, 数据犯罪的核心并不是针对数据本身实施的, 而是滥用数据的行为。 数据犯罪的目的不在于对数据本身的占有, 而在于对数据价值的滥用。⑥ 数据价值又在于其所承载的信息内容, 其不仅与人身安全、 人格和财产等人的基本权利直接关联, 而且还与公共利益、 公共安全、 国家安全等重大利益直接关联。 因而, 只有以数据信息为中心建构数据犯罪的法益, 才能与各种具体数据犯罪的法益发生直接关联, 进而才存在用刑法加以规制的可能。 刑法是保护法益的最后手段, 其只保护那些遭受严重侵害且值得用刑法加以保护的法益。 以数据本身安全作为数据犯罪的法益, 无异于抽空了法益赖以存在的价值属性和目的追求, 将法益客观具体化并等同于对象, 使其丧失了本体论和目的论价值以及面向事实开放的功能。 由于法律只能通过规范人的行为 对技术产生影响, 不可能直接调整技术本身。 因而作为信息学和计算机科学上二进制代码的数据本身, 能否被规制取决于网络空间中数据本身能否被改变, 其只遵循代码空间的生成逻辑和自身的运行规律。① 例如, 在区块链系统中的数据保护是由网络中的数据节点共同维护的, 采用加密技术来保护数据就需要通过多方计算、 盲签名、 环签名及零知识证明等密码学技术构造去中心化的匿名系统。②
在数据犯罪法益的建构中区分数据本身和数据信息, 并将数据本身排除在刑法规制范围之外, 不仅是社会治理系统功能分化的使然, 而且是为了明确刑法的法益与其他利益的界限, 在数据犯罪的认定中实现 “让法律的归法律, 让科学的归科学”。③
三、 数据犯罪的归责基础: 具有不法功能的因果关系
在数据犯罪中, 如果因为 (针对数据所实施的) 行为与结果之间存在相关关系, 就将结果归责于行为, 那么其必然会不当扩张因果关系的范围。 故而, 只有在针对数据所实施的行为具有创设侵害法益风险 (不法) 的功能时, 才可能说明在行为与结果之间存在刑法上的因果关系,进而能将结果归责于针对数据所实施的行为, 实现数据犯罪因果关系的功能回归。
(一) 相关关系替代因果关系的反思
在数据犯罪中, 与数据技术相关的资料成为新型的对象要素。 在认定具体的数据犯罪时, 究竟哪些资料可以用来评价是否侵害法益以及侵害法益的程度, 数据主义往往高估与技术有关的技术性的访问程度、 数据处理模式等基础性材料, 并以此判断行为与结果之间存在刑法上的因果关系。 例如, 近年来的司法解释在传统犯罪定罪量刑标准的基础上植入了许多技术性的内容, 如 “系统” “信息” 的数量, “程序” “工具” 的种数, “实际被点击” “浏览” “转发” 的次数, “下载量” 以及 “系统和信息” 的时长等, 它们已成为判断数据犯罪法益是否遭受侵害以及侵害法益程度的主要标准。 在这种场合, 不仅将法益与对象相混淆, 而且赋予了中立技术行为不法的功能, 并试图在中立技术行为与结果之间建立起刑法上的因果关系。 然而这种刑法上因果关系的建立是通过对数据本身的层层设套以及循环论证实现的, 即侵害数据本身的行为是数据犯罪, 因而数据本身是数据犯罪的法益, 侵害数据本身的行为与结果指向的法益都是数据本身, 因而二者存在刑法上的因果关系。 再如, 在窃取网络虚拟财产的场合, 理论和司法实务普遍认为, 窃取网络虚拟财产的行为与财产损失之间存在刑法上的因果关系, 即网络虚拟财产属于刑法上的财产并具有财产权属性, 故而窃取网络虚拟财产的行为具有创设侵害财产权的不法功能。 然而, 如后所述, 认定网络虚拟财产属于财产并以此认定窃取网络虚拟财产成立盗窃罪, 存在倒果为因的逻辑错位之嫌。 事实上, 在中立的技术行为与不法结果之间通过中立事实连接起来的至多只是经验意义上的相关关系, 而不是通过规范意义上的法益为连接点所建立起来的刑法上的因果关系。 因此, 当前在数据犯罪中实际上已放弃在现代刑事法治中所确立起来的因果关系, 并以相关关系取代了因果关系的认定。
其一, 以相关关系取代刑法上的因果关系, 实际上是在数据犯罪中建立起了一套完全不同于现代刑事法治中因果关系的认定标准。 在数据犯罪中之所以会出现以相关关系取代因果关系, 根本上还是因为将数据本身安全作为数据犯罪的法益而导致的。 例如, 有学者认为, 将数据本身安全作为保护法益实际上是将数据犯罪法益的保护阶段前置, 形成对数据本身、 数据信息的分级保护机制。④ 然而, 将数据犯罪的法益前置到中立的技术阶段, 要么意味着不具有创设侵害法益风险的中立技术行为也与结果之间存在刑法上的因果关系, 要么意味着在针对数据所实施的行为与结果之间不需要判断因果关系。 事实上, 在现代刑事法治中, 只有行为能够创设侵害法益的风险并现实化为不法结果时, 方可能认定行为与结果具有因果关系, 即使在 “以犯罪预防为中心” 的刑法观下将保护法益前置的场合, 也并不否认行为本身具有创设侵害法益的风险, 其差别仅在于其侵害的法益是紧迫还是缓和。 例如, 《刑法修正案 (八) 》 将生产、 销售假药罪中规定的 “生产、 销售假药, 足以危害人体健康的” 修正为 “生产、 销售假药的”, 使生产、 销售假药罪由具体危险犯变为抽象危险犯, 实现了法益保护阶段的前置。 尽管如此, 生产、 销售假药的行为本身依然具有创设侵害他人生命或身体健康的风险, 只是对法益的侵害变得缓和而已。 因此, 在数据犯罪中, 将保护法益超越其本体阶段而提前至中立的技术阶段, 其必然会否定现代刑事法治所确立起来的因果关系, 或者以相关关系取代因果关系, 甚至有时候不惜这种相关关系是假的,并将与行为缺乏规范连接点 (同一法益) 的不法结果归责于行为, 违背了现代刑事法治的归责要求。
其二, 以相关关系取代刑法上的因果关系, 会导致刑法上因果关系的判断缺乏客观性并陷入主观主义的窠臼之中。 在数据犯罪中, 解释者不是通过客观的证据材料推定, 而是通过主观推定, 在中立的数据技术与法益侵害后果之间建构刑法上的因果关系。 例如, 在快播案中, 一审法官认为: “虽然没有证据直接显示涉案 4 台服务器内的淫秽视频被用户浏览或下载的频次, 但快播公司放任缓存服务器存储淫秽视频并使公众可以观看并随时得到加速服务的方式, 属于通过互联网陈列等方式提供淫秽物品的传播行为。”① 不可否认, 缓存技术确实可能使淫秽视频的传播变得容易, 但这只能说明缓存技术与法益侵害结果之间存在相关关系, 而非刑法上的因果关系。然而, 一审法官认为缓存淫秽视频会使得淫秽视频的传播变得容易, 就认为中立技术行为与淫秽视频的传播具有因果关系, 无疑是将相关关系等同于刑法上的因果关系。 然而, 在欠缺证据支持的场合, 用相关关系来取代刑法上的因果关系, 其 “只能是一种主观推断, 是一种可能性, 无论这种可能性是否曾经真实发生, 都不能作为定罪的事实”。② 因此, 在数据犯罪中, 用相关关系取代因果关系, 其实质上是一种主观主义的产物。
(二) 数据犯罪因果关系的功能回归
1. 相关关系与因果关系的区隔
虽然 “相关关系不是因果关系” 是人们耳熟能详的话语, 但在数据犯罪的认定中相关关系经常被当作因果关系来使用, 使得作为现代刑事法治归责基础的因果关系认定似乎也就变得不重要了。 然而, 在数据犯罪的认定中仅仅发现中立的数据技术行为与结果之间存在相关关系几乎是没有任何法律意义的。 因为相关关系是通过对两个不同变量之间的经验观察, 一个变量发生变化另一个变量也发生变化, 并以此预测存在某种可能性, 但两个变量在实质上可能完全不存在任何关系。 例如, 沃尔玛在一次例行的数据分析中发现, 在尿布与啤酒的销售量之间存在一种正相关关系。 之所以如此, 后来发现是因为一些年轻的爸爸到超市购买尿布时便会顺便购买啤酒慰劳自己。 即使找出了尿布与啤酒销售量呈现正相关关系的原因, 但在尿布与啤酒的销量之间并不存在任何因果力。 事实上, 早在 1913 年, 罗素就曾试图用相关性来取代因果性的认定, 但在 1948 年就放弃了这一想法, 并提出 “因果过程” 概念, 因果关系被看成是物质、 能量、 信息的传递与转移。 传递者是原因, 被传递者是结果。 因而, 因果关系不同于相关关系, 其需要揭示的是事物之间、 个体因素之间以及性质之间的机制作用和动力,③ 必然性是因果关系的基本特征, 无法凭借经验推理出事物之间的必然联系。④ 因此, 以相关关系取代因果关系可能会将一些没有因果力的要素纳入因果关系的认定中, 缺少了因果关系上的重要性, 无法成为不法结果的原因, 其看重的是法律工具主义, 抛弃了刑事法治中因果关系的认定规则, 导致数据犯罪因果关系的认定走向极端的预防性扩张。
2. 数据犯罪因果关系的功能价值
作为新生产要素的大数据虽然促使了数据犯罪的形成, 但这只意味着在数据犯罪中形成了不同于传统犯罪的新型行为手段、 对象及结果。 例如, 在传统的财产犯罪中, 其行为方式、 对象和结果都是围绕着对财产本身的占有而形成的。 然而在大数据时代, 由于数据本身具有流动和共享的特点, 财产犯罪并不是围绕着对财产的占有本身而形成的, 而是围绕着对数据信息所享有的具体权利而形成的, 其行为方式、 对象及结果也应随之发生改变。 即使如此, 在数据犯罪中也不应以相关关系来取代因果关系的认定。 如前所述, 即使在大数据时代, 具体犯罪因果关系的认定依然只是 “小数据” 问题, 其关涉的是行为人对实际发生的结果是否应当承担刑事责任的问题。因此, 在大数据时代形成的数据犯罪, 虽然会导致对这类新型犯罪的方法和思维观念发生转向,但并不意味着需要放弃现代刑事法治中的因果关系, 以避免对数据犯罪的认定滑向主观主义和不可知论。
在刑法上对因果关系的认定, 不仅要求行为与结果具有事实上的因果关系, 而且还要求存在刑法上的因果关系。 换言之, 在行为与结果具有事实因果关系的前提下, 还需要进一步判断实际发生的结果在刑法上能否归责于行为。 例如, 在多因一果的场合, 裁判者除需要根据经验和常识判断对结果发生起实质作用的因素外, 还需要根据法律的标准挑选出应承担刑事责任的原因,① 其关注的只是某一特定行为与某一特定结果的关联。 因而刑法上因果关系认定的核心在于如何确定应承担刑事责任部分的原因。 在行为与结果具有事实上因果关系的场合, 只有行为与结果在保护法益上得到统一, 且行为人的行为使法益处于不利状态并导致结果的发生, 才可能认定存在刑法上的因果关系。 故此, 刑法上因果关系的认定直接与法益保护原则相联系, 行为与结果指向相同的法益是判断存在刑法上因果关系的实质根据。② 因而, 只有行为具有创设侵害法益风险 (不法) 的功能, 且这种风险能现实化为不法结果, 才能认定存在刑法上的因果关系。 例如, 在涉枪类的犯罪中, 虽然枪支的口径等技术标准与是否侵害法益以及侵害法益的程度之间存在相关性, 但之所以不能直接以枪支的技术标准 (如枪支的口径) 来判定刑法上枪支并以此认定其与不法结果之间存在因果关系, 是因为枪支口径等技术本身不具有直接建构不法的功能, 涉枪类的犯罪是否会威胁他人的人身安全, 取决于枪支本身是否具有致人死伤的杀伤力而非枪支口径大小等技术指标。
如前所述, 数据犯罪的本质属性不在于数据本身, 而在于数据信息, 因而只有数据信息才具有建构不法的功能, 但又由于数据信息不仅关涉到人身安全、 人格权等基本权利, 而且还关涉到公共利益、 公共安全、 国家安全等重大利益, 因而, 数据信息到底具有建构何种不法的功能也就取决于数据信息所指向的具体内容。
例如, 侵犯公民个人数据信息之所以能以侵犯公民个人信息罪论处, 其核心在于个人对数据信息享有人格权。 然而, 公民到底对哪些数据信息享有人格权, 在我国刑法及相关法律中往往以 “可识别性” 来确定。 其中, “可识别性” 包括能够直接确定特定个人信息的 “直接识别” 和与个人信息相关的 “间接识别”。 但在大数据时代, 通过数据挖掘、 分析等技术, 基本上与个人相关的信息都可能识别到特定的个人。 因而, 以 “可识别性” 确定个人数据信息的人格权保护范围, 几乎会将所有与公民存在相关性的个人信息都纳入人格权范围予以保护, 但其并不足以说明个人对数据信息享有人格权等基本权利或支配利益。 只有对个人数据信息的收集、 处理和使用具有直接侵害人格权的不法功能时, 才能作为侵犯公民个人信息罪的对象予以规制, 如个人私生活、 通讯信息、 财务信息、 健康生理信息、 医疗信息、 基因信息、 生物信息等敏感信息。 例如,在我国相关的刑法司法解释中, 虽然以个人数据信息的 “可识别性” 来确定侵犯公民个人信息罪的保护范围, 但在确定具体入罪标准的 “情节严重” 时, 其列举的却是征信信息、 财产信息等 “敏感信息”。 近年来, 域外国家在确定个人数据信息的人格权保护范围时, 将个人数据信息分为敏感信息和一般信息已成为共识。 只有敏感信息才与人格权遭受侵害直接关联, 对其应采取更为严格的保护措施, 并赋予信息主体控制权, 对其收集、 处理和使用必须征得信息主体的同意。① 之所以如此, 是因为 “敏感信息” 具有高度的私密性, 对其非法收集、 处理和使用会直接导致人格权遭受侵害。② 因此, 在立法或司法解释确定对个人数据信息的人格权保护时, 应以敏感信息为中心予以建构或类型化, 确保不法行为与不法结果具有刑法上的因果关系。
再如, 在当前的刑法理论和司法实务中普遍将窃取网络虚拟财产的行为按照盗窃罪论处, 其最为核心原因在于将虚拟财产解释为刑法意义上的财产,③ 进而认定窃取虚拟财产的行为与财产损失之间具有刑法上的因果关系。 然而, 将网络虚拟财产解释为财产, 并非围绕着 “财产” 赖以存在的法律语境来解释, 而是将虚拟财产遭受侵害后会间接产生的相应经济后果或财产损失,进而将虚拟财产评价为财产。④ 如果将间接的经济后果或财产损失作为评价的规范连接点, 则意味着可能产生经济后果或财产损失的对象都可能被评价为财产, 产生了倒果为因的逻辑错误, 即将经济后果或财产损失 (逻辑后果) 作为认定虚拟财产属于财产的逻辑前提, 泛化了财产犯罪的处罚范围。 事实上, 在网络系统中形成的所谓虚拟财产, 只是 0 和 1 的二进制代码组成的数据, 而非信息,⑤ 用户既不能像有体物那样对其加以占有或控制, 也不能获得类似于数字货币那样的财产权, 且在线使用受到框架协议的严格限制, 因而, 网络虚拟财产虽被冠以 “财产” 之名, 但其本身并不具有财产属性, 侵犯网络虚拟财产的行为不具有建构财产犯罪的不法功能, 其与财产损失之间不存在刑法上的因果关系。 相应地, 侵犯网络虚拟财产的行为只是用户对账户操作权限的丧失, 妨害了网络空间中的管理秩序, 具有建构妨碍公共管理秩序的不法功能, 其只与妨害公共管理秩序的结果之间存在刑法上的因果关系。
即使在大数据时代形成的数据犯罪, 在裁判者将实际发生的结果归责于行为时, 其依然只是大数据时代的 “小数据” 问题, 不能以行为与结果存在相关关系来取代对因果关系的认定, 否则会在数据犯罪中摧毁现代刑事法治的归责基础, 妨碍数据的流动与分享。
四、 结 语
在大数据时代, 数据的流动共享与数据保护具有同等重要的地位。 在围绕着数据处理所形成的数据犯罪中, 作为现代刑事法治基础的法益原则和因果关系应当将社会变迁及数据技术等后现代的维度整合进来, 以增强刑法教义学的自主性和应变性, 但这并不意味着可以将法律问题降维为技术问题, 并以数据为中心、 预防为基准扩张数据犯罪的认定, 摧毁现代刑事法治基础的法益原则和因果关系。 因为, 无论是在所谓传统社会抑或数字社会, 犯罪的认定依然只是大数据时代的 “小数据” 问题, 其直接关涉到的是具体个体的生命、 自由、 财产、 名誉等具体的切身利益。如果具体个体单纯因为预防犯罪的需要而遭受刑罚处罚, 那么其不仅会使刑罚丧失正当性和合法性, 而且也会妨碍数据的分享与流动, 阻碍数据技术变革与发展。 故而, 数据犯罪的认定依然应以现代刑事法治观为基础, 贯彻 “以人为中心” 的人文主义世界观。 以数据本身的安全作为数据犯罪的法益, 实际上是将中立的数据技术直接平移为数据犯罪的法益, 试图用中立的数据技术来消解由数据技术引发的规范评价 (法律) 问题, 抽空了法益应有的本体论和目的论价值, 混淆了法益与对象之间的关系, 丧失了法益所具有的立法批判和指导构成要件解释的教义学功能,最终导致对案件的认定偏离其不法本质。 要实现数据犯罪保护法益的目的回归, 就不应以载体形式存在的数据本身而应以数据所征表的数据信息来确定法益的内容, 使其不仅与人身安全、 人格和财产等人的基本权利直接关联, 而且还与公共利益、 公共安全、 公共管理秩序、 国家安全等重大利益直接关联, 将属于技术问题的数据本身排除在刑法规制的范围之外, 进而才存在用刑法加以规制的可能, 并明确区分法律问题和技术问题, 实现 “让法律的归法律, 让科学的归科学”。在数据犯罪的因果关系认定中, 以中立的技术行为与不法结果之间的相关关系来取代刑法意义上的因果关系, 实际上是将不具有建构不法 (创设侵害法益风险) 功能的中立技术行为作为导致不法结果的原因, 在数据犯罪中建立起了一套完全不同于现代刑事法治中因果关系的认定标准,颠覆了现代刑事法治的归责基础, 不当扩大了针对数据所实施行为的归责范围并滑向主观主义和不可知论。 因而, 即使在数据犯罪的因果关系认定中, 也必须以针对数据所实施的行为具有建构具体的不法功能为基本前提。 只有行为人实施的行为具有创设侵害法益风险 (不法) 的功能,且这种风险能现实化为不法结果时, 方可能认定存在刑法意义上的因果关系, 并能将实际发生的不法结果归责于行为。 故此, 数据犯罪法益和因果关系的认定作为大数据时代的 “小数据” 问题, 仍应以 “以人为中心” 的现代刑事法治观为基础, 明确刑法问题与技术问题以及相关关系与因果关系之间的界限, 实现其目的和功能的回归, 将数据流动共享与数据保护置于同等重要的地位。
论文指导 >
SCI期刊推荐 >
论文常见问题 >
SCI常见问题 >
