原创 赵拥军 上海市法学会 东方法学 收录于合集 #CSSCI来源集刊《上海法学研究》 8个
数据资源具备生产要素和资产的特征,是数据时代的新兴且相对独立的资源类型。作为奠定数据产权基础的数据资源持有权,其设定目的是防止不当妨碍数据的合理流通以及其作为生产要素的充分的利用。因此,可持有的数据资源应满足能够流通利用的条件,方可被纳入持有的范畴。数据资源持有权的主体应具备收集、控制利用及处分其持有数据的权限,该权限意在表明对数据资源的控制支配关系,且旨在对数据流转、交易过程中数据资源处于持者“持有” 状态之下的一种秩序的保护,其与刑法中“占有”具有内在的一致性,并相应地存在数据资源的事实支配和规范支配。整体而言,我国刑法中对数据资源持有的保护集中在针对非法获取以及破坏、毁坏数据等偏向于财产规则方面。在适当的时候,根据滥用数据、泄露数据及非法持有数据导致的一定危害结果、特定情节为依据,在穷尽法释义学的前提下,增设相应的旨在更好地促进数据资源合理流通利用的新罪名,可能确有必要。
中央、国务院《关于构建数据基础制度更好地发挥数据要素作用的意见》(以下简称《数据二十条》)开篇便明确“数据作为新型生产要素,是数字化、网络化、智能化的基础”,并以“谁投入、谁贡献、谁受益”为原则,着重保护数据要素各参与方的投入产出收益,依法依规维护数据资源资产权益。可见,与劳动、资本、土地等作为一种生产要素的数据,其在各种数据要素交易的产生和发展过程中实现了“资源化”乃至“资产化”。理当没有争议的是,并非所有的数据都能成为数据资源,数据资源应当是那些能够产生并具备可使用价值的以数字化形式存储和传输的数据集合。作为数据资源的数据集合,其范围是动态可变的。数据利用能力的提升及其用途的新发现,都将持续拓展数据资源的范围。不同于物质资源和人力资源,数据资源是经济社会进入数据时代的新兴资源类型。
正因为数据资源具有本身的以及潜在的利用价值,但却缺乏相应的产权规制,进而也就影响并制约数据资源的合理使用。“权利是一项开放式、发展性的概念,当某项利益逐渐普遍而有保护必要且法律随之予以肯定时,该项利益便需要上升为权利。”在各种数据要素交易的产生和发展过程中,数据资源的拥有者和使用者以数据为生产要素而创设数据产权运行机制便成为实践需求。因此,《数据二十条》以数据要素市场发展中的实际问题为导向,创新数据产权观念,聚焦数据使用权流通,创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架,以满足在数据生产、流通、使用等过程中,个人、企业、社会、国家等相关主体对数据的不同利益诉求。而这其中最重要的也是奠定数据产权基础的便是数据资源持有权,其对数据加工使用权和数据产品经营权的顺利实现具有决定性意义。诚如《数据二十条》所创造性提出数据资源“淡化所有权,强调使用权”那般,毕竟所有权即为赋权,而赋权潜在的危险便可能会导致数据逐渐向特定企业集中,产生数据垄断的局面,不利于数据的流通和利用,进而可能会影响到数据资源的价值实现。由于通常情况下使用的前提是持有,因此,确保数据资源持有权的有效实现便有几率会成为问题之源。
但《数据二十条》所提出的数据资源持有权并非专有的法律概念,亦无权威的规范性文件对其概念予以明确,其概念本身仅仅是对数据资源持有的现状描述还是其本身就是一个规范的概念,其基本内涵及范畴的厘定,特别是该概念在刑法领域中是如何体现的,要不要有别于民法而重新建构,以及刑法对其保护路径等问题的研究均未系统展开。在民商事领域,有观点提出建构数据持有者权,提出持有只是数据价值创造者在大数据价值链中某个阶段控制数据状态的描述,持有者的权利取决于所创造的价值,并认为该权利配置的基础并不是对数据的持有或控制,而是持有者加工处理行为基础上的价值创造或添附。该观点对数据资源价值实现的制度安排实行“谁取得,谁控制,谁使用”的开放主义“赋权”模式的探索值得肯定。但或许存在以下两方面值得进一步讨论的问题:一方面,在该观点看来,倘若持有者不进行价值创造或添附,其单纯的持有便不值得保护,这便与该观点认为“数据的持有是对特定主体与特定数据之间数据控制的一种事实描述,是主张数据权利的基础和前提”相矛盾。既然数据持有是主张数据权利(当然包含数据持有者权)的基础和前提,如果该基础和前提都不值得保护,在此基础和前提建构所谓的持有者权何以能有效得到保护?
另一方面,该观点提出持有者权利配置的基础原理或持有者权取得要件需要合法的取得、控制、管理和加工使用,旨在保护每个合法获得者对数据的控制,以使其有相对安全的环境,实现其创造的数据价值。但这种仅以“合法”为核心的上述权利配置理论可能并不能够实现其建构该权利的初衷。事实上,单就数据资源在流通利用的秩序方面而言,对数据合法的控制需要保护,特定情形下非法的控制亦需保护。否则便会导致非法的取得、控制、管理和加工使用行为被另一种非法的行为冲击并取代,进而时整体的数据流通利用秩序陷入混乱。以上两个方面的问题,在本质上均集中到对数据资源的“持有”本身。可见,对于数据资源持有权而言,其持有的基本范畴是否正如上述观点所言,仅是一种以“合法”控制为核心的事实描述?特别是在刑法领域中,如何体现其作为部门法的保障法作用,为数据资源的流通利用等确立一个良好而稳定的秩序,并在某些特定的程度上对于数据资源持有权的具体内涵及其权限范畴等内容的建构,乃至整个数据要素市场的健康发展等问题将起到重要的作用。
有鉴于此,本文将首先以促进数据资源的流通利用为目的展开对数据资源持有权基本范畴的梳理,其次对数据资源持有权在刑法中的面相予以勾勒,即在事实控制之外也确认规范的控制,围绕“持有”所形成数据资源流通利用的秩序状态为核心进行刑法释义,以避免民商事领域中对持有权利配置多样性可能带来的保护泛化而导致数据资源的流通利用受阻。在此基础上,针对侵害数据资源持有权行为的规制罪名具体展开刑法保护路径探讨。希冀能够为《数据二十条》提出的建立数据资源持有权等数据产权运行机制,乃至建构中国特色数据产权制度体系抛砖引玉。
《数据二十条》提出要探索数据产权结构性分置制度,建立公共数据、企业数据、个人数据的分类分级确权授权制度。进而,依据数据的生成或持有主体便可大致分为个人数据、企业数据、公众数据和政府数据,或者社会主体的数据、政府的数据和其他公共机构的数据。事实上,将公众数据和政府数据归入公共数据,或者政府数据和其他公共机构数据归入公共数据也并无太大争议;而将社会主体数据包含个人数据和企业数据也无不妥。但总体而言,不论其来源而将数据分为个人数据和非个人数据也并不有一定的问题,问题的重点是依据数据的生成或持有主体不同而分类的数据资源持有权基本范畴的厘定。这主要包含可持有的数据资源的范畴以及可持有数据资源的权限及主体认定等问题。
首先,数据资源持有权确立的目的是促进数据资源的流通利用,进而实现数据资源的价值。数据作为生产要素被提出就是要将数据作为经济资源,实现不同用途、不同时序的流通利用。因此,数据资源的价值便在于流通利用,而数据流通才可实现数据社会化利用,形成数据经济的内核。没有数据流通就没有数据价值的实现。只有实现数据流通才能够让各社会主体公平地获得数据,解决数据囤积、封闭等问题,达到赋能实体经济的应有之义,进而构建数据社会化利用的秩序。数据资源的最大化流通意味着数据社会价值最大化的实现,构建实现该目的的数据流通利用秩序就成为数据要素市场建设的主要目标。正是因为数据资源需要流通利用,也就从另一方面代表着提供或者利用数据资源的过程需要被确认,而这基础前提便需要数据资源的持有。所以,强调数据资源持有权的价值在于确保数据的使用,而不在于持有本身,其本质上是为了构建数据流通利用秩序的一种财产治理范式,旨在保护数据加工使用(价值创造)和流通利用之利益。因此,可持有的数据资源的范畴的确定便需要围绕数据资源的流通利用这个目的展开。
其次,可持有的数据资源应满足能够流通利用的条件,才可被纳入持有的范畴。《数据二十条》在总体要求中的指导思想明确,构建数据基础制度、发挥数据要素作用需要“以维护国家数据安全、保护个人隐私信息和商业机密为前提,以促进数据合规高效流通使用、赋能实体经济为主线”,并据此区分设置了数据资源持有权、数据加工使用权和数据产品经营权,而数据资源持有权的设定目的便是建构安全有效的数据流通利用秩序。即倘若所谓的数据资源是不能够流通的,也就没有保护持有的必要,进而也就不属于数据资源持有权所涵盖的范畴。同时,数据安全法第21条以数据的重要性为标准,将数据分为核心数据和具体目录管理的重要数据。所谓的核心数据便是关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。据前述,以流通利用为建构旨趣的数据资源持有权显然不是针对《数据二十条》中核心数据的,毕竟这一些数据也不可能被随意地流通利用。同时,数据安全法中亦明确,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据来进行重点保护。即重要数据并非一律不可流通利用,而可能是有条件的流通利用。既然实行具体目录保护,则势必存在哪些主体具备进入目录的资格。凡是具备资格的主体便享有相应数据资源的持有权,反之则不享有。进而也就不可能在不具备资格的主体之间进行重要数据的流通利用,但完全有几率存在于具备资格的主体之间进行流通利用。例如“公共机构在从事公共事务管理中形成的数据并非都是可以开放给任何人自由使用的数据”。公共机构基于其职责范围收集、生成的数据,有些可以流通利用进而可以持有,有些则不能够流通到社会上,也就从另一方面代表着不能被持有利用,进而也就不属于数据资源持有权所考虑的能够持有的数据资源范畴。
此外,当个人数据涉及自身相关隐私等敏感信息,以及企业数据中涉及商业机密的数据时,便不属于可流通利用的范畴,进而不应被包含于旨在流通利用的持有权范畴。
再次,数据资源持有权的主体应当具备收集、控制利用及处分其持有数据的权限。一方面,数据资源持有权所应具有的权限理当包含可以收集、控制利用并处分其持有的数据资源。由于数据资源持有权建构的本质在于数据的流通利用,流通显然并不等于交易。“有些数据能够流通,但却不能用于交易”,而交易是一种典型的处分。因此,可交易的数据资源,其交易主体便拥有持有权,那些不能交易但能流通的数据资源,依然有几率存在持有权。另一方面,凡是对数据资源具备收集、控制利用处分权限的皆为持有主体。有观点认为,凡是给数据添附价值者,皆可成为数据持有者。但是,在本文看来,数据资源持有权所明确的是持有者对数据资源的控制利用及处分权限,给数据添附价值若尚未能达到其前手对于数据采集、加工等价值量的,并不能就此当然地认定其具有控制利用及处分权限的数据持有者。必须要格外注意的是,基于数据资源本身的独特性,数据资源持有主体所具备的收集、控制利用及处分的权限,可能会因为其持有的数据资源类型特别是涉及个人数据而不一样。即数据资源持有权所涵摄的权限不能超越法律和行政法规的强制性规定。同时,由于社会主体掌握技术的客观差异,导致产生数据的主体并不一定持有数据。以数据为核心的要素市场存在着数据生产者与数据持有者相分离、数据被不同主体之间交叉持有的状态。
综上,核心数据及具体目录管理的重要数据和涉及个人隐私、商业机密数据之外的,作为一般数据便原则上属于数据资源持有权的范畴,其持有主体在收集、控制利用及处分的权限下,依据数据要素市场的发展规律,促进其流通利用。同时为减少不必要的争议,本文仍以《数据二十条》中所规划的数据为分类标准,即公共数据、企业数据和个人数据,而数据资源持有权便是公共主体、企业主体以及个人主体针对相应的数据资源予以持有的权利。但毕竟数据资源持有权目前尚在《数据二十条》等政策性文件中被创设,并非法律用语,即便将来被写入法律中,作为一种新兴权利,尚未明确甚至也无法明确数据资源持有者能够享有的具体权利,特别是从刑法的角度,这些权利是如何被保障的,以及如何有效地被作为部门法保障法的刑法予以保护,便需要在对其进行刑法视角的分析之后,确立其路径保护。
数据资源的价值实现,依赖于数据充分的流通利用,而数据流通需要在一定的秩序环境下进行,这便成为数据资源持有权的设定目的。承前述,数据资源持有权的主体起码应当具备收集、控制利用及处分其持有数据的权限,这种权限的实现首先便取决于持有状态(或者持有秩序)的保障。只有持有状态得以保障,才有机会进入后续的乃至保护数据资源持有者创造价值等环节。当前,民商法中针对数据资源持有权中的持有秩序的保障,不外乎寻求反不正当竞争法、个人隐私信息保护法以及知识产权法等保护途径,这些部门法对数据资源的保护与这些部门法的保障法刑法相比,显然力度不足。因此,对数据资源持有权进行刑法面相的大致勾勒,才能为其刑法保护进行路径描绘。
我国刑法共有9个条文规定了“持有”型犯罪,但纵观这些持有型犯罪皆是针对非法持有状态或者以违禁品等为对象进行的刑法规制。这与以作为生产要素的数据资源为持有对象且意在保护数据资源的持有状态的数据资源持有权显然不一样。同时,刑法第192条、第193条、第196条第2款、第224条等条文规定了“以非法占有为目的”,以及第270条第1款、第307条之一第3款、第382条第1款和第2款亦规定了“非法占有”。但上述条文中规定的“占有”仅为条文中相关犯罪的主观目的要素和行为要素,并不是作为对财物等对象的控制、支配的占有。尽管我国刑法条文中没有直接描述对财物控制、支配状态的占有的明文规定,但占有在刑法理论及司法实践特别是财产犯罪中已然成为一个核心的概念。也就是说,我国刑法中的占有与持有显然亦是有所不同。
刑法中的占有,简而言之就是一种对物的控制,或者支配。现代汉语词典将“占有”解释为“掌握”,而“掌握”意味着“控制”,“‘控制’即为实际支配”。可以说,控制便是主体对财物进行事实上的支配,即主体对财物的利用能够现实地实现的一种状态。这种状态并非指财物一定就在主体手里,而是指主体能够在事实上支配该项财物。这种实际控制并无时间长短的要求,也不要求主体实际上已经利用了该财物。控制作为“占有”的一种外部表征,包括事实控制与可能控制。事实控制限于物理意义上的实力支配,而可能控制则是虽与物之间不存在实力支配,但从人与物的时空关系来看,物主具有恢复事实控制的充分可能性。相应地,失控就从另一方面代表着行为人剥夺了物主对财物的事实控制或者恢复事实控制的可能性。而所谓的支配,可以界定为“对他人(包括群体、阶层等)的行为产生影响的能力,包括能够不顾他人的抵抗,而使他人做出自己希望出现的行为”。从权力角度看,能够理解为,甲要求乙做某事,乙可能不愿意做但却不得不去做。这就从另一方面代表着拥有支配能力的人有机会不顾被支配者的意愿而强行贯彻自己的意志,不管这种行为是建立在什么基础之上的。对于支配的这种理解映射到主体与客体之间,即当某人支配了某种财物时,某人便可以针对该物贯彻自己的意志。从逻辑的角度看,某人对他人或物先是实施了占有,继而在此基础上他可以支配被占有人或物,按照其意志任意使用、处分。
由上可见,控制和支配在一定意义上系一种互释关系,或者说形成一种循环解释。之所以如此,概因二者之间可能并不存在质的差异,二者皆是对占有的诠释。正因如此,“刑法上的占有是指行为人对财物的事实上的控制、支配”。且不论占有和控制、支配的关系,起码支配和控制应该能在同等意思上使用,均是不受限制地利用某物或者某种利益。事实上,占有只不过表明主体对财物的状态,这种状态便需要内在地体现出主体能够对物来控制或支配。
除了持有型犯罪之外,刑法中还有针对财物等对象的持有。当不考虑主观上的占有意思时,该种情形的持有和占有并不存在多大的区别。借用萨维尼的观点,如果不具备“据为己有的意思”或者“享有之前属于他人的占有权利的意图”的意思,仅仅是单纯地管领标的物,只能界定为持有。进而,不具有主观(占有或所有)意思的“握有”,由于存在一种“占有”的事实,便可以称之为持有。如具有临时性的占有会被降格为持有,或者说持有就是具有临时性瑕疵的占有。
综上,刑法中持有型犯罪的持有均系针对非法持有或者以违禁品为对象持有的一种现状的描述,与意在界定是不是具备收集、控制利用及处分权限的数据资源持有权中的持有不能等同;而持有型犯罪之外的持有则系“剥离”了主观(占有或所有)意思的占有,否则若具有所有意图的持有和占有则完全相同,毕竟基于自己占有或者所有意图的持有就是占有的一种表现形式。用于诠释占有内涵的控制、支配等概念与占有不存在质的区别,均是占有的不同表达侧面,同时占有的认定也需要控制和支配等概念予以体现。因此,意在表明对数据资源的控制支配关系,且旨在对数据流转、交易过程中数据资源处于持有者“持有”状态之下的一种秩序的保护,进而有效促进其流通利用的数据资源持有权中的持有便与刑法中占有存在内在的一致性。
由于刑法中占有的本质是一种控制支配,其与真实的权利状况等并无必然关系,甚至根本就没关系,只是为了明确财物的归属状态,进而在这种归属状态下确立一种稳定的社会秩序。即便是非法占有也同样与合法占有所形成的占有状态一样受到保护。因此,与刑法中的占有具有内在一致性的数据资源持有权中的持有亦是如此。当前,数据资源作为新型生产要素已经快速融入生产、流通等环节,数据资源的产权结构关系复杂多样,数据资源的持有究竟是基于何种权利往往又不容易准确判断,数据资源所有者不持有数据资源而让他人利用持有的数据资源,以发挥其最大效用的情况日益普遍,对数据资源的充分的利用便成为数字化的经济社会持续健康发展的首要价值目标。进而,在数字化的经济活动中摆脱所有权的羁绊,针对数据资源持有本身的价值日渐增大,刑法对数据资源的持有状态本身予以保护,对维持正常的数据流通利用秩序并激活数据要素的潜能很有必要。这也与《数据二十条》提出数据资源“淡化所有权,强调使用权”的主旨是一致的。同时,可能在民商事领域中,需要论证数据资源持有者对于数据具有利益,以及该项利益的承认具有正当性基础。但是在刑法中,倘若认为数据资源持有者对于其持有的数据具有利益,则对于承认该项利益具有正当性基础便不是必备的要素。因为不正当的持有在特定情形下所形成的秩序也具有保护的必要性。是故,对数据资源的合法持有需要保护,非法的持有状态在特定情形下也需要保护(所有权人除外),但对于他人合法持有的数据资源,即使是数据资源所有权人也不得任意侵犯,否则就应当承担对应的责任甚至刑事责任。
刑法中占有的实质是主体对物的控制支配,若行为人通过手持肩抗等实体控制支配了财物等对象,则构成实际占有;若行为人并未实体控制支配财物,或其他人也没有实体控制支配,但通过社会生活常识和规则等规范性要素判断,能够推断财物处于被他人控制支配的状态时,也能够说该财物处于被他人控制支配之下。也就是说刑法对占有判断既存在事实性要素也存在规范性要素,此两种要素在占有判断中所起的作用便成为事实支配还是规范支配的标准。本文认为,数据资源持有权在刑法中存在事实支配和规范支配。
首先,数据资源的事实支配是凭借现实的或实际的“力”直接针对数据资源进行的支配。数据资源持有权的具体权能目前尚未明确,但主体基于对数据资源的实际持有,系凭借现实的或实际的“力”的支配。数据资源持有权能够最终靠此种事实支配的持有,进而规范相应的数据资源流通利用行为。在此种事实支配之外的主体不得侵害。绝大多数的数据资源持有均系此种事实支配。
不过,事实支配和直接支配是处于同一个层面且互为注释的两种表达,但直接支配与物理力支配并不是处于同一层面的问题。有观点认为,数据的储存必然需要一个如光盘或硬盘等有形载体,当数据持有者将收集来的数据存储于实体时,甚至将数据手写于书本中时,都会随之获得对于数据的控制。当数据持有者占有数据载体时,他人根本没办法接触到数据内容,自然也就没有办法进行利用。对数据的调用与对数据载体的占有是不可分割的。即该观点认为对于数据内容的使用必须拥有对应的数据载体,进而通过对数据载体的控制推及载体上的数据内容的控制。作者觉得该种说法过于绝对。毕竟并非所有数据均存在载体,或者说并不能“控制”所有的数据载体。例如比特币等基于区块链技术的数字货币存在于网络中,便不存在可以直接“控制”的载体。通过保存在手机、电脑等终端载体上的私钥实现对比特币的控制,并不代表比特币的载体就是手机、电脑等。也即通过手机、电脑等终端载体使用或者控制相应的数据内容,与数据内容存在于相应的载体上并不是一回事。故,通过对数据载体的控制进而实现对数据内容的控制并不能针对所有数据。或者说,通过对数据载体的物理力支配可实现载体上的数据内容的支配,并不代表数据内容只能基于物理力支配,只要是依赖于一种现实的或实际的“力”的支配便是直接支配。因此,直接支配可以包含物理力支配,也包含非物理力支配。既然事实支配并不等同于物理力支配,也就可以认为事实支配并不取决于对象是否有体或有形,而在于是不是能够被直接支配。
其次,数据资源的规范支配(或称之为观念支配)是凭借某种规则、制度和法律等规范性要素对数据资源进行间接的支配。通常情形下的数据资源持有主体基于其现实的或实际的“力”对相应的数据资源事实支配,但某一些场合下也有几率存在数据资源主体凭借规范因素支配数据资源。即当某种支配无法直接通过现实的或实际的“力”等事实性要素进行判断时,而是凭借某种规则、制度或法律以及社会一般观念等规范性要素时,也即需要依靠业已为其确定支配的这些规范性要素为媒介,间接地支配对象,这便是规范支配。
可能会有观点认为,既然认为刑法中的持有系“剥离”了主观(占有或所有)意思的占有,且一般认为的持有是指行为人对某种物品的事实上的支配,如何体现规范的支配?承前述,数据资源持有权所应具有的权限包含可以收集、控制利用并处分其持有的数据资源。也即只要具有上述权限的主体便可称之为数据资源的持有者。故,持有数据资源与存储保管数据资源并非同一回事。数据资源的持有者可以亲自存储保管数据,亦可在自己控制中能随时利用处分的情况下将数据交由他人存储保管。即并非所有的数据存储人都是数据资源持有者,不实际存储数据的人也未必不是数据资源持有者。由此可见,存储保管数据资源的主体若不具备利用处分的权限便不是持有者。也就从另一方面代表着数据资源的持有者和存储保管者便存在分离的情形,进而,在数据资源的事实支配之外,持有者凭借某种规则、制度或法律以及社会一般观念等规范性要素为媒介,间接地支配数据资源便具备逻辑前提。更重要的是,数据资源作为生产要素在于流通利用,持有主体的支配目的并非体现在事实上支配的这种状态,否则势必会降低流通利用的效果,这就促使数据资源在不同主体之间流通利用时,无需从一个持有主体的事实支配转移至另一主体的事实支配,只要数据资源持有者向其他主体转移数据资源的控制支配权限就可以实现相当于数据资源事实转移的效果。而这种控制支配权限的转移所凭借的便是某种规则、制度或法律以及社会一般观念等规范性要素。事实上,当前部分乃至多数企业主体和公共主体将持有的数据资源存储保管在第三方服务器中,其利用合约中明确的账户密码等形式赋予的控制、利用处分相应的数据资源日益常见。
针对不一样的情形认定支配类型的最大的目的在于:数据资源的产权结构关系复杂多样,一方面,可能在某些场合下存在两个以上的主体均认为其具有持有权,此种情形下就需要判断何者对数据资源存在事实支配,则存在持有权;另一方面,凭借数据资源所在网络社区中的相应规则、制度等规范性要素进行间接控制支配时,当两个以上主体同时掌握了数据资源的账号及密码时,何者对账户内数据资源的控制支配能够被社会一般观念等规范性要素予以认可,方能认定其具有持有权。明确上述规则之后,将为数据资源持有的刑法认定奠定基础。由于数据资源的高度流动性,针对数据资源的支配也不可能是恒久不变的,本文所探讨的支配仅为特定范围和特定时点上的支配。倘若在任何时点上都不存在针对数据资源的支配,则其后续的保护问题便无从谈起。
数据资源持有权作为数据赋权的一种尝试,其重要的价值体现便是促进数据流通,刑法的保护力度固然强大,倘若用之不当其在阻碍数据流通方面的力度也会随之加大。因此,对于数据资源持有权的刑法保护规则的设计便需妥当考虑数据资源持有权的保护与数据资源流通之间的平衡。由于数据资源的流通利用离不开对相应数据的复制、转移,就此而言不存在不可复制的数据,即便存在也与以流通利用为目的的数据资源持有权的旨趣相冲突。从数据资源的流通利用过程来看,数据的生产者、收集者和利用者均可能会持有,满足刑法视角下占有相应的数据资源。由于此种情形下针对的系可复制、非独占性的数据资源,在判断何者的持有是正当的,唯一的标准便是从事实支配与规范支配的角度判断支配的正当性,否则其持有便不得与具有合法权限的持有相抗衡。故,在《数据二十条》的指导意见下,根据我国刑法规定及司法实务,结合前述数据资源持有在刑法中的面相,以个人数据、企业数据和公共数据的分类,对数据资源持有权的刑法保护路径予以探讨。
随着大数据的深化利用,数据权属开始展现出其公共属性的一面,传统的个人信息在客观上已进入社会经济大循环,成为大数据背景下社会经济资源的一部分。同时,我国在民法典与个人信息保护法中使用的相关概念是“个人信息”。对此,有观点对个人信息和个人数据便不加以区分,或者说并未明确区分个人数据与个人信息的表述。也有观点认为“数据”侧重于突出载体或媒介本身,而“信息”强调的则是所要传达的内容与本质,并且个人数据基本是在欧盟《通用数据保护条例》的意义上使用,个人数据在中文语境中可能比个人信息概念的外延要广一些。本文原则上在区分二者的基础上使用,主要在于数据和信息之间存在形式和内容的属性差异,信息作为内容显然是在对数据进行解读后才能得出,若针对一个并未进行内容解读的个人数据是无法直接判断出是否存在个人信息的。但是,由于网络安全法将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”,一个无法解读出任何以识别任何个人信息的数据,事实上也不具有任何意义,显然也不可能成为数据资源。因此,从数据资源的角度而言,严格区分个人数据与个人信息也并无实质意义。所以将个人数据称之为“含有个人信息的数据”可能更为准确。
尽管如此,对于个人数据所具体指征的范围可能依然会有争议。如有观点认为,个人数据既包括属于个人的数据也包括关于个人的数据,前者如网络运营公司数据库中的游戏装备、游戏币与充值卡兑换号等进入个人的账户,由个人占有与使用时,便成为属于个人的数据;网络运营公司因业务需要所合法收集的个人数据(如消费记录、搜索记录与网页浏览记录等),尽管属于企业控制的数据,但它们仍是关于个人的数据。但本文认为,个人数据就是与个人相关的数据并不包含所谓属于个人的数据。一方面,从“数据资源持有权”概念本身的逻辑而言,当然包含“个人数据资源持有权”这个子概念,若将属于个人的数据纳入个人数据资源持有权范畴,势必会造成民法典“人格权编”中关于人格权及个人信息保护法中个人信息保护的相关规定出现不协调,进而影响数据资源持有权的认定。另一方面,按照该观点,将个人账户中的具有财产属性的数据作为个人数据对待,则侵害此种个人数据持有权的行为便难以与侵财犯罪相协调,势必会造成与定罪量刑的极不均衡。
因此,个人数据资源的持有便仅指持有与个人信息数据相关的数据。目前涉及对个人数据资源持有的保护,可以从以下几个路径展开:
行为人非法获取他人持有的个人数据资源的,满足刑法第253条之一第3款规定的,即窃取或者以其他方法非法获取公民个人信息的,依照第1款的规定以侵犯公民个人信息罪论处。单位犯该款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依该罪论处。同时,若行为人隐匿、毁弃或者非法开拆他人信件,当该信件是以数据的样态表现,且处于他人的持有状态下,当满足“侵犯公民通信自由权利,情节严重”这一要件时,可能构成刑法第252条侵犯通信自由罪;同理,邮政工作人员私自开拆或者隐匿、毁弃的邮件、电报是以数据的样态表现,且处于他人的持有状态下,可能构成刑法第253条私自开拆、隐匿、毁弃邮件、电报罪。
需要注意的是,数据资源持有者是否侵犯前手的数据资源持有权与是否构成侵犯公民个人信息罪并不是充分必要关系。根据本文的观点,可以纳入数据资源持有权范畴的数据资源必须是以流通利用为目的,若不满足此目的便不属于数据资源持有权的保护范畴,但能否构成侵犯公民个人信息罪仍要判断具体行为是否满足该罪的构成要件,同时侵犯公民个人信息罪也不是刑法中保护数据资源持有权的唯一路径。
行为人窃取、收买他人持有的信用卡信息资料的,若该信息资料是以个人数据形式表现的,满足刑法第177条之一第2款规定的,以窃取、收买信用卡信息罪论处;银行或者其他金融机构的工作人员利用职务上的便利,犯该罪的,从重处罚。
行为人作为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使相应数据资源持有者所持有的数据被泄露,满足刑法第286条之一规定的,以拒不履行信息网络安全管理义务罪论处,若同时构成其他犯罪的,依照处罚较重的规定定罪处罚。单位犯该罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该罪处罚;若同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
行为人以窃取、骗取、劫取等侵财方式,非法获取他人持有的数据资产,满足刑法第五章侵犯财产罪中的盗窃、诈骗、抢劫等规定的,以相应罪名论处。对于窃取、骗取等侵财手段非法获取他人比特币等数字货币、游戏币以及游戏装备等虚拟财产的行为,当前理论和实践中也存在以非法获取计算机信息系统数据罪论处的情形。但是此种定性并不能全面地评价这种行为对相应数据资产持有者财产受损的不法本质,也造成同样的行为被认定为侵财犯罪和破坏社会秩序犯罪之间的刑罚不均衡。
承前述,由于数据资源的存在与流转蕴含着丰富而大量的经济价值已是不争事实,其具备生产要素和资产的特征已被《数据二十条》等相关中央政策性文件予以明确。数据资源与劳动、资本、土地等生产要素一起在各种数据要素交易的生产和发展过程中实现数据资产化,更是作为数据要素市场中的一种典型实践而形成了商品化形态。实务界早在部分案件中就确定了数据的财产权益,而学界对于数据财产属性上也一致认同。因此,不论数据资源的内涵如何界定,其外延必定包含具有财产属性可作为财产犯罪对象的那部分数据资产。当数据本身具有经济价值、使用价值和交换价值,能够带来经济收益或创造获取收益的机会,并以算法为基础,使得数据产生额外的经济价值并被“从无到有”地生成具有财产属性的数据资产后,其即为一个独立的财产或者称之为财产犯罪的对象而存在,便可归属于财产性利益的范畴。例如典型的数据资产比特币,即便相关规范性文件否定其货币属性,使其“货币论”本身存在理论缺陷,但立足于其作为一种“特定的虚拟商品”,进而通过规范分析将其认定为刑法上的一种财产性利益,也能将其纳入盗窃罪的惩治范围。此外,针对非法获取其他数据资产等侵害相应数据资源持有权的行为,以诈骗罪、抢劫罪等侵财犯罪规制的实务判例亦不罕见。
数据资源作为生产要素,其公共属性不言而喻,但这也并不意味着企业数据资源不需要保护。恰恰相反,由于单个的数据并不能形成数据资源,本质上数据资源系海量的数据集,这便使得并非一般主体均具备收集、处理数据集的能力,只能由具备相应能力的公司企业主体完成。综合我国各数据交易平台发布的交易规则和实践操作情况,目前企业与企业之间数据交易以犅2犅模式较为常见并居主流地位,而个人与个人之间以及企业与个人之间的数据交易情况并不常见甚或不存在,这一方面可能源于数据交易平台的交易规则中有相关禁止性规定,造成自然人主体在数据交易中的缺位;另一方面也是更为实质的因素在于个人目前一般尚不具备收集、处理数据集的能力。因此,针对企业数据资源特别是针对其持有权的合理保护,可以更好地促进企业开放数据、共享数据,以此更加有效地确保数据资源的流通利用,实现数据生成要素的价值。针对企业数据资源的持有保护,主要便以持有者均为企业等主体,同时在以个人数据资源的持有保护中涉及企业主体的,此处不再赘述。
行为人非法获取国家事务、国防建设、尖端科学技术领域的计算机信息系统以外的相关企业的计算机信息系统中存储、处理或者传输的数据,满足刑法第285条第2款规定的,以非法获取计算机信息系统数据罪论处;同时,由于数据资源持有者具有收集、控制利用及处分的权限,当行为人对上述计算机信息系统实施非法控制,致使相应的企业数据资源持有者无法实现其对持有数据资源的控制利用及处分的权限,满足刑法第285条第2款规定的,以非法控制计算机信息系统罪论处。当行为人提供专门用于非法控制计算机信息系统的程序、工具,或者明知他人实施非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,满足刑法第285条第2款规定的,以非法控制计算机信息系统罪论处。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依该两款罪论处。
行为人对上述企业的计算机系统中存储、处理或者传输的数据,进行删除、修改、增加的操作,致使相应的企业数据资源持有者无法实现其对持有数据资源的控制利用及处分的权限,满足刑法第286条第2款规定的,以破坏计算机信息系统罪论处。单位犯该罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依该罪论处。
行为人篡改、销毁相关企业持有的直接关系生产安全的相关数据、信息,满足刑法第134条之一规定的,以危险作业罪论处。该罪名系《刑法修正案(十一)》新增罪名,在理解是否满足该条文的构成要件时需要注意的是行为人篡改、销毁直接关系生产安全的相关数据的行为本身显然是“故意”,但其对这一行为导致发生重大伤亡事故或者其他严重后果现实危险的结果,不具有希望或者追求,否则可能构成以危险方法危害公共安全罪等危害公共安全犯罪。同时,也不能根据行为人实施了篡改、销毁相关企业持有的直接关系生产安全的相关数据、信息行为本身就直接据此认定具有该罪的“现实危险”,而应当依据具体案情对“现实危险”进行实质的具体判断。
对于窃取、骗取等侵财手段非法获取他人比特币等数字货币、游戏币以及游戏装备等虚拟财产的行为,不仅存在于侵犯个人持有的数据资产场合,也存在于对企业持有的数据资产的场合。在非法获取个人持有的数据资产场合,行为人所侵害的资产均是个人花费相应的真实货币通过购买等途径获得,可能有观点认为此种情形以财产犯罪规制尚且合理,但针对专门生产游戏道具、游戏币的企业而言,其持有的数据资产均是其自己生成,且可无限复制,针对企业的此种持有利益是否有必要按照侵财犯罪规制?例如周某在从某网络科技公司辞职前,利用其编程员的VIP账号登录公司后台服务器,将脚本文件分别植入公司开发的网游专门服务器和公司中转服务器。辞职后,周某利用其植入在该公司网游专门服务器上的脚本文件,向某款网络游戏账号随意“添加”游戏币及游戏装备,并在网上出售相应的游戏账号非法牟利数万元。该案中行为的性质不外乎构成盗窃罪还是非法获取计算机信息系统数据罪。对此,本文认为,刑法中财物的本质在于其财产属性而非其物理属性,当数据资产本身具有经济价值以及使用和交换价值,能够带来经济收益或创造获取收益的机会,便可以认为其具备财物的本质属性。该案中,由权利人购买,经游戏公司合法生成并添加在权利人账号中的游戏币和道具,作为具有财产属性的数据资产(通过账号和密码)处于权利人的规范支配之下;而由行为人非法“添加”生成的游戏币和道具其具有的财产属性与合法生成的并无质异,由于尚不存在对应的权利人,但已经生成的情况下便应归属于游戏公司的规范支配之下。当行为人将处于游戏公司规范支配之下的游戏币和道具,以出售相应的游戏账号的方式于第三人,即将游戏币和道具所映射的社会财产利益被侵害的状态予以显现,进而可以认定为侵财犯罪。事实上,利用技术手段非法侵入数据生产企业的计算机系统并生成虚拟财产予以出售的情形,对于相关企业而言,其真正在意的显然是企业由此遭受的财产损失而非计算机类犯罪所规制的网络空间秩序。因此,对于非法生成型的数据资产的侵害,不能一概以侵财犯罪规制。只有当非法生成的这部分数据资产所映射的社会财产利益已经显现出被侵害的状态,方可以财产犯罪论处。也可以说在对数据资产财产犯罪的刑法因应上,应树立行为对人的现实生活利益的实质侵害为标尺的基本理念。
此外,行为人以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的,若该商业秘密是以数据资源的形式表现,满足刑法第219条第1款第1项规定的,尽管是以侵犯商业秘密罪论处,但并不是对企业数据资源持有权的保护。根据本文观点,商业秘密不属于数据资源持有权的范畴,此时刑法只是对企业的商业秘密本身的保护。
需要注意的是,在数据资源持有权中的企业与个人持有权的保护之间,要防止不当的偏离,既不能为了企业数据资源持有权保护而限制了个人数据资源持有权,反之亦然。有观点认为,“企业数据的运用应当首先保证个人对于其数据的一系列权利”,例如数据收集平台所汇集的个人数据,个人有权向平台查阅、复制、下载或转移,这就是所谓的数据可携带权所体现的内容。进而有观点便认为我国的个人信息保护法第45条就是对个人数据携带权的规定。但本文认为,个人信息保护法第45条中所明确的权利,其针对的仅仅是与个人信息有关的,即人格权所体现的部分信息。除此之外的经由相应企业收集、加工的可流通利用的相关个人数据显然不能任由对应的个人以所谓的数据可携带权,要求相应的个人信息处理者提供转移途径。否则,当出现冒用或者盗用他人名义而行使查阅、复制以及转移等权限,非法获取个人数据不说,将企业所收集的可能已经符合企业商业秘密保护的个人数据转移至甚至是竞争对手处,显然已经超出数据携带权的范畴了。
因此,按照本文的观点,个人数据资源的持有仅指持有与个人信息数据相关的数据,其在实质上是一种人格性权利。但同时,数据资源作为生产要素,其在特定情形下的财产权属性便要求其具备流通属性和公共属性。这也是个人信息的社会价值体现,也是个人信息的使用不能由个人完全决定的深层理由。据此,在个人数据持有权保护方面,其人格性权利的功能保护便应止步于人格中的隐私权期待,其作为数据生产要素方面的权益期待理当是流通利用,这与企业的数据资源持有并无质异。也就是说,对数据持有权的保护目的均在于促进数据资源的流通利用,但应让位于涉及个人数据中人格权的隐私期待。进而实现对个人数据持有与企业数据持有的协同保护,平衡个人的数据隐私期待与企业对于数据合理流通利用的期待。
公共数据资源系政府等行政管理机构以及公共服务机构在向社会公众提供服务的过程中所形成的数据。其中可以分为两大类,一类是作为公共管理和公共服务本身自然延伸的相关信息数据;另一类是公共管理和公共服务机构在服务过程中通过收集、加工、处理(即数据治理),形成具有流通利用且满足数据生产要素价值的数据资源或者数据资产。对于前者可供全社会自由使用,且偏向于作为一种信息传递功能的数据而已;对于后者则完全体现出数据资源持有权的保护目的,在具体的刑法保护路径上,当涉及个人数据部分参照个人数据资源持有权保护路径,其他则亦可参照企业数据资源持有权的保护路径。
综上,对于可复制、非独占性的数据资源,只要遵循合法收集、加工、处理(即数据治理)即可,包括刑法在内的法律不得限制或者禁止相应的数据流通利用,事实支配和规范支配的主体皆享有数据资源持有权。但当这部分数据涉及人格权中的隐私期待时,妥当合理的个人同意可能会成为相应数据资源流通利用的考量因素。从数据资源持有权的权限角度而言,个人、企业或者公共主体可以针对非个人数据资源依法依规地收集、存储保管和利用处分(包含转让);针对个人数据资源则需要在征得相应自然人允诺的情形下,收集、存储保管和利用处分(包含转让)。进而,当主体未经相应自然人允诺或者非法实施上述权限,在刑法领域中,并不能因其收集、存储保管和利用处分(包含转让)等行为未经同意或者违反相关法律、行政法规等强制性规定,就允许第三人再对其实施非法持有或者以擅自删除等非法方式破坏持有状态。毕竟这种秩序利益依然属于刑法的保护法益。需要注意的是,即便相应主体对数据资源的持有构成刑法中的值得保护的秩序法益,但刑法的保护并非意在永久地保护这种持有,而是对相应数据资源的流通利用予以保护而已,该部分数据资源依然需要继续的有条件的开放流通利用。
数据资源持有权的设定目的是流通利用,通过对数据资源持有的刑法保护,最终要实现的并非持有数据本身,而是为了防止不当妨碍数据的合理流动以及其作为生产要素的充分利用。整体而言,我国刑法中对数据资源持有的保护集中在针对非法获取数据方面,如侵犯公民个人隐私信息罪中非法获取公民个人隐私信息的,窃取、收买信用卡信息罪中窃取、收买他人持有的信用卡信息资料的,侵犯财产罪中窃取、骗取、劫取他人数据资产的;非法获取计算机信息系统罪中非法获取相关计算机信息系统中存储、处理或者传输的数据的;以及破坏、毁坏数据方面,如危险作业罪中篡改、销毁直接关系生产安全的相关数据的,破坏计算机信息系统罪中针对存储、处理或者传输的数据删除、修改等操作的。不论是非法获取还是破坏、毁坏等行为,均围绕着侵害了相应主体对数据资源的持有,这也正是数据资源持有权中的持有与刑法中的占有具有内在一致性的体现。但当前刑法针对数据资源持有的这种保护路径在本质上没有摆脱以劳动为基础的财产范畴的制约,其保护不充足的弊端显而易见。
按照本文观点,数据资源持有权设定的目的在于促进数据资源的流通利用,实现数据的生产要素价值,其对象应当是能够流通利用的一般数据。进而,涉及个人隐私等敏感数据、商业秘密以及国家核心数据便不在数据资源持有权所设定的范畴之内,但这些数据依然存在相应的持有主体,与可以流通利用的一般数据相比,其重要性并不亚于后者。毕竟后者是为了实现其作为生产要素的价值,终究也只是体现在财产权利方面;而个人隐私等敏感数据、商业秘密以及国家核心数据所涉及的则事关个人的人格与生命健康、企业的生存乃至国家的安全等方面,其重要性不言而喻,二者也不可等同。“数据来源于社会各主体,亦为各社会主体所需要”,所有作为流通利用的一般数据资源均与个人、企业等主体相关联,并围绕着个人、企业等社会主体而形成,甚至直接来源于各主体。因此,与社会各主体关联度更高的个人隐私等敏感数据、商业秘密以及国家核心数据,即便不在数据资源持有权范畴内,但却会影响到一般数据的流通利用。刑法中对一般数据资源持有的保护主要体现在合法持有方面,同时针对非法持有的保护仅指这种非法持有的状态未经合法等必要程序不得随意侵犯(主要在于防止“黑吃黑”破坏持有的秩序),但对于非法持有本身并未进行规制。特别是针对个人隐私等敏感数据、商业秘密以及国家核心数据而言,若行为人实施违反规定出售、提供公民个人隐私信息,违规违法披露、使用或允许他人使用商业秘密,以及非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统等行为的,可以相应罪名论处。但若针对上述对象数据实施诸如滥用、泄露,以及可能造成滥用、泄露的非法持有等行为的,可能并不能妥当地进行刑法规制。据此,以上述数据为对象,根据滥用数据、泄露数据、非法持有数据导致的一定的危害结果、特定情节的发生为依据,在穷尽法释义学的前提下,增设相应的旨在更好地促进数据资源的合理流通利用的新罪名,可能确有必要。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。