现行刑法中,涉及数据安全法益保护的条文仅有第二百八十五条第2款和第二百八十六第2款,在当前的刑法体系中事实上形成了“重信息网络,弱数据安全”的差序格局,数据安全类犯罪依附于计算机信息系统犯罪。数据安全法益的出现引发了立法时未预料到的情况,是以扩张性解释来使现行关于计算机信息系统犯罪涵摄侵犯数据安全法益的相关犯罪行为还是针对新法益进行刑事立法予以规制,是数据安全法益保护需要研究的问题。
作为新出现法益保护路径选择的解释路径和立法路径之间是存在位阶顺序的,毫无疑问,解释路径是第一顺位。相较于立法路径,解释路径其成本较低,因为其基于现实案件情况对现行法规进行解释,只要解释不违反罪刑法定原则,任何新型犯罪行为都可以以现行法规来规制。而立法路径面向未来,立法的概括性语言需要包括对未来的想象,而未来的样子却需要从现实的蛛丝马迹中去寻找,这种寻找是不确定的和严肃的,稍有不慎就会对社会造成严重后果。因此,只有当解释路径违反罪刑法定原则,即相关刑法用语通过解释得出的入罪结论超出了一般国民的预期可能性,就只能通过立法路径来应对数据安全犯罪。
数据安全犯罪模式主要有两种:第一,以数据作为传统犯罪的工具或媒介,实际上是传统犯罪在大数据时代的异化;第二,以数据为犯罪对象的侵犯数据安全法益的犯罪。我国刑法第二百八十五条第2款将“数据”定义为“计算机信息系统中存储、处理或者传输的数据”,使对“数据”的判断依附于对“计算机信息系统”的判断,忽略数据的实质界定。数据概念的界定不清使司法机关对数据安全犯罪模式无法准确识别,进而导致数据犯罪的“口袋化”,使得数据犯罪保护法益的内涵与外延愈发模糊,进而涉及个人信息权、知识产权、财产权等多项权利。现行司法解释仍以计算机犯罪为中心,对于不断更新迭代的数据安全犯罪仍以扩大“计算机信息系统”解释范围来涵摄,如2011年8月1日最高人民法院、最高人民检察院联合颁发的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《危害计算机系统司法解释》)中第十一条第1款“本解释所称‘计算机信息系统’和‘计算机系统’,是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等”。但即使针对“数据”进行司法解释,也仍受制于“计算机信息系统”这一前置定语,无法完整表述侵犯数据安全法益的犯罪行为。“解释是一种创造性的活动(法的续造),但是,刑法的解释只能是刑法内的法的续造,而不应当是超越刑法的法的续造。”因此,当需要应对的案件事实超出了一般意义上的刑法条文解释时,便只能采取修订或创设法律的行为。当然,解释路径和立法路径也并非非此即彼的关系,在新修订或创设的法律条文下亦可以通过司法解释来完善相关犯罪行为的刑法规范。
在对规范数据安全犯罪的条文进行修订或创设时,既要符合刑法体系,也应满足犯罪行为不断更新的技术要求。现行刑法侵犯数据安全法益的行为方式包括:(1)侵犯数据保密性的“获取”行为,分为未经授权访问、取得他人数据和被授权者越权访问取得他人数据两个方面;(2)侵犯数据完整性、可用性的“删除、修改、增加”行为。“删除、增加”是指数据数量上的变化,“修改”是指对数据进行变动,二者均要求达到影响数据的正常运行的程度。新的行为方式应该结合数据的技术特性、功能属性、经济价值等特征,同时对数据载体加以考量,表现为窃取、转移、使用、传播、贩卖、提供、数据共享、技术支持与技术帮助等方式。
另外,完善数据安全犯罪定量标准。任何犯罪都是质与量的统一,针对犯罪行为既要解决定性问题,也要考虑定量问题。犯罪行为定量分析是刑法评价的重要对象与依据,传统定量因素多以数额、人数、次数为主,在《危害计算机系统司法解释》中,非法获取计算机信息系统数据的定量标准包括价值数额、计算机台数、身份认证信息组。然而,对于侵犯数据安全法益的犯罪,其表征的客体具有多样性与更替性,因此,对于数据安全犯罪的定量标准亦应与时俱进,在发展中更新,加入如数据大小、数据危害等以数据为主体的参数。