您现在所在的位置: 首页 > 科学研究 > 科研动态 > 正文
科研动态
上海交通大学于改之教授做客我院“当代法学名家讲座”
发布者:科研     发布日期:2022年12月04日 11:46     点击数:

35589

2022年11月26日晚18时30分,在腾讯会议线上会议室,上海交通大学凯原法学院教授、博士生导师于改之老师做客我院第343期“当代法学名家讲座”,并做题为“刑法数据治理的模式转换”的主题讲座,讲座由吉林大学法学院副院长王充教授主持,西北政法大学刑事法学院付玉明教授与北京大学法学院江溯研究员参加与谈,吉林大学法学院刑事法学方向的教师和博士生、硕士生、本科生以及外校师友参加了此次讲座。

讲座伊始,主持人王充教授向参加讲座的各位老师、同学表示欢迎,并向大家介绍主讲人于改之教授,与谈人江溯研究员、付玉明教授。之后,主持人将时间交给主讲人,讲座正式开始。

17549

于改之教授指出,数据时代的到来使海量数据成为备受瞩目的基础性战略资源,与此同时,非法获取、披露、滥用数据的行为层出不穷,严重妨害了社会和经济的健康有序发展,因此,保障数据安全、促进数据共享成为全球性数据治理的基本目标,也成为各个国家、地区法律上对数据资源进行权利和义务分配的重要标准。基于现实需要,各个国家和地区无不持续更新立法,或通过专门的数据保护法案,或对已有相关法案增删符合数据治理的法律规则,我国也不例外。

但我国刑事立法与司法将数据主要看作个人权利的载体和个人自由的延伸,更偏重于维护权利主体对数据的控制安全,对数据的公共产品属性不够重视,这导致相关的刑法规范的设定脱离了社会和经济发展的需求,既未能真正有效保护权利主体的合法权益,亦未能有效促进数据要素市场的培育,如何将国家的数据治理政策导向通过完善刑法立法及解释工作,促成刑法数据治理模式的有效转换,实现安全维护、自由保障与技术进步的协同、均衡发展,是亟待解决的重大刑法学问题,也是本次讲座的主题。

本次讲座主要包含四部分内容:一是刑法数据治理的现行模式;二是刑法数据控制模式的内在缺陷;三是刑法数据利用模式的转向;四是刑法数据利用模式实现路径。

第一部分是刑法数据治理的现行模式。于改之教授对现行刑法数据治理体系、现行刑法数据控制模式和数据控制模式的依据进行介绍。首先是现行刑法数据治理体系,由于我国刑法尚不存在以数据法益为核心的罪刑规范体系,相关罪刑规范分散于不同章节,通过不同的罪名体系与行为类型呈现,于改之教授便从罪名体系与行为类型两方面介绍现行刑法数据治理体系。从罪名体系来看,刑法分则对数据主要采用直接和间接两种保护方式,直接保护是直接将数据作为犯罪对象加以保护,间接保护是将表征数据内容的各种具体信息、秘密、证明或者证件等作为犯罪对象,以此间接规制数据侵害行为。总体上,现行刑法罪名体系呈现以下特点:一是在直接保护中,所涉数据范围极其狭窄;二是在间接保护中,立法目的明显侧重于对国家法益、社会法益的保护,体现出重点维护安全、秩序利益的立法偏向;三是两种保护方式均将数据作为犯罪对象,独立的数据法益并不存在,数据的性质、层级、种类、功能定位亦不清晰。从行为类型来看,刑法现有罪名并未事无巨细地保护数据活动的所有阶段,而是仅规定了以下不法行为类型,第一种是编造或者传播虚假数据的行为;第二种是删除、篡改、隐瞒或者销毁数据的行为;第三种是非法获取或者泄漏数据的行为;第四种是非法利用信息或者数据的行为,以上不法类型表明,当前刑法治理的重心在于数据的非法获取行为而非滥用行为,就此而言,现行刑法规定对数据法益的保护无疑具有片断性,不法行为类型亦明显呈现出不完整性特征。

接着,于改之教授从数据治理的基本目标出发,向大家介绍了数据共享与数据安全,引出我国采取的刑法数据控制模式。数据共享通过数据处理实现,包括数据的收集、存储、使用、加工、运输、提供、公开等,而数据安全是指通过采取必要措施,确保数据处于有效控制和合法利用的状态,以及具备保障持续安全状态的能力。根据《数据安全法》第3条规定,可将刑法关于数据安全的保护模式划分为数据控制安全保护模式和数据利用安全保护模式。从数据控制模式的特征看,我国刑法正是采用了数据控制安全保护模式,具体表现在三个方面,一是在规制理念上,刑法力求通过对数据“静态安全”的维护,实现对数据利用安全的前置性保护;二是在规制重点上,刑法通过抑制非法获取或者泄漏数据等削弱数据主体对数据排他性控制程度的行为,强化数据主体对数据的控制;三是在规制范围上,刑法尊重数据主体的意愿,将“知情同意”作为数据获取、利用行为违法性的阻却事由。

我国刑法之所以采取数据控制模式,有理论上的依据、实践动机和政策诉求。其一,理论依据在于数据的权利属性。对于数据是一种可以对抗不特定主体的权利,还是一种受国家保护的权益,学界存在明显分歧,由此形成权利属性模式与权益属性模式之争,其中,权利属性模式将数据利益视为一种独享权利,强调权利主体与其占有、控制的数据之间存在绝对排他性支配关系,这种理解反映在数据治理问题上,表现为将数据保护的重心放在数据的控制安全上,即采用数据控制模式。相反,如果将数据利益视为一种受国家保护的权益,即采用权益属性模式。其二,实践动机则在于数据法益的独立、补充保护。在传统保护模式,现行刑法规范无法满足数据治理需求的状况将难以得到根本性改善,承认数据法益的独立性及其保护的必要性和正当性,逐渐成为刑法各界的共识。其三,政策诉求是数据滥用风险事先预防的强化。随着风险社会的到来,风险预防的理念受到重视,“有法益侵害危险就有必要作为犯罪惩罚”的积极主义刑法立法观应运而生,获取或者泄漏数据等行为的犯罪化,同样应置于该立法理念下理解。

作为数据治理的基本目标,数据安全和数据共享分处数据保护的两端。在利益衡量的天平上,控制模式将砝码置于数据的静态安全(数据控制安全)一端,这无疑对数据安全的保护发挥了重要作用。然而,由于其过度强化数据控制,该模式能否有助于达成数据安全与数据共享的基本治理目标,不无疑问。由此,于改之教授就刑法数据控制模式的内在缺陷开始讲述第二部分内容,包括三个方面,一是忽视了数据的公共产品属性,二是在社会政策上不具有可行性,三是难以有效保护数据法益。

其一,忽视其他主体对同一数据存在多重正当利益关联的现实,无法有效实现“数据共享”的价值目标,是忽视数据公共产品属性的弊端。在法律价值重心由纯粹的个人本位迈向社会本位的背景下,社会个体之间除了持有各种异质的主观目的之外,总是在不同内容、范围和程度上分享着相同或者相似的主观目的和利益,鉴于此,在承认数据私权属性的同时,必须正视数据所具有的交互性、分享性、公共性等公共产品属性,以释放数据的公共价值,但当前过度强调数据私密性或者数据控制的权利属性做法,忽视了其他主体对同一数据存在多重正当利益关联的现实。另一方面,数据的限制接触性是数据经过法律规范评价后的产物,而非信息或者数据本身的特性,从法秩序的基本价值取向来看,信息公开是原则,限制数据的接触和使用是例外,促进数据流通是数据赋权的重要价值,而在数据控制模式下,“数据共享”首先在理念上遇到了阻碍,无法有效实现“数据共享”的价值目标。

其二,刑法数据控制模式增高了企业交易、创新成本以及刑事法律风险,弱化了社会治理能力,在社会政策上不具有可行性。数据和信息的有序流通是国家发展、社会进步的基础性条件,而数据控制模式的基本理念则存在对冲这一基础性条件达成的倾向,“知情同意原则”是数据收集和利用的基本原则,然而,面对海量数据,要求每一条数据都需要获得事前同意,不具有可行性,只会遏制企业的创新与发展,使企业面临更高的刑事法律风险。如果不对数据的性质、类型、层级进行区分,一律禁止数据流动与二次使用,公共政策决策大概率会缺乏现实针对性,便捷的公共服务将受到限制会增加公民的时间成本、经济成本以及社会交往成本,同时,数据控制模式阻碍多元主体的数据共享,导致难以及时评估、修正相关治理决策,无法建构回应各类问题相应的模型,不利于推动国家治理现代化。

其三,单纯依靠控制模式并不能真正实现对数据法益的有效保护,主要体现在数据主体权益保障不足、刑法评价不充分和罪责刑不均衡三方面。一是以“知情同意”原则为核心的数据控制模式没有强化对公民个人信息安全的维护,反而导致数据权利人面临极大风险,除数据权利主体与利用者之间缺乏议价能力之外,“知情同意”原则往往流于形式,为使用相应的网络产品或服务,用户在点击同意之外时常别无选择,交易地位的不对等使得同意的真实性与对隐私声明的知悉度都大打折扣,数据主体权益保障不足。二是刑法规定不能实现对数据滥用行为的充分评价,现实中大数据杀熟、诱导性消费等数据滥用行为难以得到妥当评价,同时,以数据为对象的非法获取行为和以物为对象的非法获取行为存在明显不同,数据背后隐含信息的发掘和利用行为仍未实施,这些行为本身可能具有迥异于获取行为的危害性,因而仍存在单独进行刑法评价的必要。三是数据获取、泄漏等行为充其量仅是招致数据滥用风险的前置性行为,刑法却将规制重心放在非法获取行为而非滥用行为上,这违反了罪刑均衡原则,退一步讲,即使将非法获取公民个人信息罪、非法获取计算机信息系统数据罪作为涉数据犯罪的一般性条款,也难以实现刑罚幅度与实害程度的对应性。

基于上文所述刑法数据控制模式存在的缺陷,于改之教授认为有必要将数据滥用行为与数据获取、泄漏、篡改、删除等行为同置于刑法评价之下,并将治理模式由控制模式调整为利用模式,于是讲座内容转向刑法数据利用模式的介绍,包括数据利用模式的特征与数据利用模式的依据。

数据利用模式的特征包括以下三点:一是在规制理念上,数据利用模式旨在通过对数据“动的安全”的维护,释放数据的社会价值,其重视的不是数据主体对于数据的静态控制,而是数据分析、共享等动态利用行为和过程,从而释放出数据所蕴含的社会价值;二是在规制重心上,数据利用模式重点规制的是数据滥用行为,其重视发挥数据的社会、经济价值,弱化数据控制模式所强调的数据主体对数据的控制或排他性占有;三是在法政策诉求上,通过建立新的风险分配机制,数据利用模式能够兼顾数据主体的利益和数据利用者的利益。

数据利用模式有其理论依据、价值依据、政策依据。其一,理论依据是法秩序统一性与刑法谦抑性,只有将数据法益的保护重点置于利用行为,才能既保障数据共享利益的实现,又能通过规制数据滥用行为维护数据主体的利益,以此契合法秩序统一性的要求;另一方面,单纯的数据泄漏行为并不会直接损害数据主体的利益,后续的数据滥用行为才有此可能,因而只有后者才具有处罚必要性,数据利用模式的立法更加符合刑法谦抑性的内在要求。其二,价值依据是安全、自由与科技发展之间的平衡,现有刑法数据治理体系却滞后于数据利用实践,不充分考虑数据流动、数据共享及数据交易,对个人数据权利保护过度,破坏了安全、自由与科技发展之间的平衡,将保护重心置于数据利用行为上,既可以避免传统控制模式过于限制数据利用价值的弊端,又可以避免数据不法行为对数据主体权利的侵害。其三,政策依据是数据价值、利用者权益与刑法任务,由于数字经济已经成为推动国民经济高质量发展的重要引擎,数据的利用价值日益受到重视,出现了由重视数据控制到重视数据利用的转变趋势,将数据保护模式调整为数据利用模式,契合前置法的内在价值诉求,将数据安全的规制重心转向数据利用行为,符合刑法的任务定位。

最后,于改之教授就数据利用模式的构建提出自己的见解,指出数据利用模式的构建属于一项系统工程,应当兼顾不同需求。在治理原则上,应当遵循比例原则与平衡原则的要求,确保数据安全的治理目标与拟采用的治理手段之间存在合比例性,实现个人数据权利保护与数据流动、数字经济发展之间的动态平衡。在治理模式上,应当明确控制模式立法的适用限度以及利用模式立法的规模结构。在实现方式上,应坚持立法论与解释论并行,充分发挥刑法规范的体系效应。在治理重点上,既要通过犯罪化的方式,保障刑法规范供给的充足性,又要积极探索违法阻却事由,避免罪刑规范供给过度。

具体而言,有以下四条实现路径:一是在刑法总则中增设指导数据法益解释的专门条款,根据数据蕴含信息的法益属性,确定数据侵害行为的犯罪性质,并在相关数据具有多重法益属性时,根据主要法益属性确定可资适用的刑法规范。二是适当限制控制模式立法,只有在满足特定条件时,才可以采取控制模式立法。具体立法过程应着重参考法益的价值重大性、泄漏行为的具体危险性以及重大法益侵害的可能性等要素,参考上述要素可知,将危害计算机信息系统安全的犯罪直接改造为保护数据安全的犯罪并不可行,因为其完全忽视了对数据共享利益的考量,而一边倒地对数据控制安全采取了绝对保护的立场,考虑到公民个人信息对于实现经济发展、改善社会治理的重要性,有必要增设过失泄漏公民个人信息罪与删除、篡改公民个人信息罪,以完善相关保护。三是适度强化利用模式立法,通过立法规制数据滥用行为是一种补充性规制措施,只有在既有刑法规范供给不足的情形下才可以适用,考虑到数据滥用行为的现状,有必要增设滥用算法罪和非法提供算法服务罪,以实现有效治理。四是加强数据获取、利用行为的除罪化研究,数据控制模式限制了数据的自由、高效流动,不利于实现数据共享的基本目标,如何将正当的数据利用行为除罪化,意义重大,在此方面,知情同意原则的作用有限,首先,知情同意并不必然阻却数据收集和利用行为的违法性;其次,知情同意只是排除行为违法性的正当化事由,而非构成要件要素;最后,在以下情形中,即使未经数据权利主体同意而获取或者利用数据的,也仍然应当阻却行为的刑事违法性,其一是数据权利主体已经授权相关平台使用该数据,平台后续实施的转让等行为并未超出授权使用的范围,其二是数据获取或利用行为合理,且不存在利益侵害。

最后,于改之教授重申道,对于数据法益的刑法保护,除了考虑其技术属性,还必须契合数据的社会功能,体现数据的社会价值,作为社会治理手段,刑法在数据治理模式的选择上必须围绕安全与共享展开,只有同时兼顾数据安全和共享的刑法保护模式,才是值得倡导的治理模式。

讲座至此结束了第一阶段的进程,接着进入与谈环节。

23E7E

第一位与谈嘉宾是北京大学法学院江溯研究员。江溯研究员首先对于改之教授的讲座内容表示肯定,于老师所探讨的刑法数据保护问题,从广义上来说对我们整个的国家发展战略最为重要,因为数据具有无限的可再生性,不仅仅是一种生产要素,更多的是一种对于国家战略来说非常重要的要素。其次,介绍世界各个国家所采取的数据治理模式,采取该模式的主要是欧洲国家,欧洲国家对于个人数据的保护非常严格,而且在相关法律制度的设计上起到了引领作用,但该模式存在一个很明显的问题,即数据的利用没有得到足够的重视,或许这与欧洲没有像样的互联网企业有关,但更重要的原因可能是欧洲法律传统一向非常重视个人权利的保护;另外一种模式是美国所采取的事后监管模式,即在前端的使用、利用方面不进行严格的监管,待侵权行为发生后,再采取事后监管或事后处罚的方式。接着,从立法和现实角度分析我国到底偏向于数据控制模式还是事后监督模式,我国数据控制和数据利用之间存在一个关系的界定,即数据安全是基础,数据利用是趋势,在确保数据安全的前提下,强调数据的共享、数据的流动和数据的利用。从《数据安全法》《网络安全法》与《个人信息保护法》这些法律本身的名字来看,法律立场更注重安全与控制,因此,目前我国更偏向于数据控制模式,但同时这些法律以及相关政策也大力提倡数据共享、数据流动和数据利用,原因就在于我国正处于第四次工业革命时期,想要实现跨越式的发展甚至是进入发达国家行列,必须充分利用数据。再者,江溯研究员对于老师提出的“数据控制模式向数据利用模式的转变”表示赞同,并阐述了自己对于模式“转变”的理解,转变的真实意图在于,在确保数据安全的前提下,如何通过刑法保护数据的流动,而不是放弃数据控制。目前数据保护法律体系的重心并不在于禁止所有数据流动、数据利用,它的关注点在于涉及国计民生的数据、商业性的数据以及与个人信息密切相关的数据,例如,刑法罪名的设置更多的是针对国家数据、商业秘密、个人信息,而不是禁止所有数据的共享、流动、使用。

最后,江溯研究员对于老师从立法论和解释论两个角度观察数据保护的过度与不足表示肯定,并从过度保护的角度,表达自己对侵犯公民个人信息罪和非法获取计算机信息系统数据罪的看法。就侵犯公民个人信息罪而言,刑法可能存在打击范围过宽的问题,那么如何解决?一方面是从侵害法益的角度加以考量,虽然当前就该罪所保护的法益到底是什么存在很多争议,但就立法目的而言,本罪不是为了保护公民个人信息本身,而是为了保护个人信息被侵犯后,公民的人身、财产、隐私及名誉等等,有些案件形式上符合本罪构成要件,但行为人对受害人的各种权益没有造成侵害的可能性,这种情况可以考虑不按照本罪处理。另一方面,也要考虑案件是否存在法律所规定的违法性阻却事由或正当化事由,包括同意、公共利益、法定义务等等,符合这些情形,就要考虑行为人可能不按照犯罪加以处理。至于非法获取计算机信息系统数据罪,该罪与网络爬虫密切相关,在司法实践中,有的网络爬虫行为按照反不正当竞争法、侵权法处理,有的则认定为非法获取计算机信息系统数据罪,因此把握网络爬虫的不同场景非常重要,同时也要考虑数据主体所采取的防爬措施是怎样的,以及行为主体与实施爬虫主体和数据主体之间的合同关系,从教义学、解释论的角度去探讨该问题,以便更好地实现解释论对实践的指导。另外,江溯研究员十分赞成于老师所谈到的关于刑法数据保护罪名设置的构想,并就算法规制问题表达自己的见解,算法与每个人每天的生活都密切相关,例如于老师所提及的大数据杀熟、算法歧视,因此立法者应当考虑将一部分造成损害的算法予以犯罪化,当然,在相当长的时间里保护不足的问题都是存在的,只有在其他法律不能起到很好的规制作用时,刑法才能予以规范。

第二位与谈嘉宾是西北政法大学刑事法学院付玉明教授。付玉明教授首先肯定于老师所做报告的作用,这篇报告在数据治理的刑事法领域可以说是一种纲领性文献,对刑事司法与刑事立法都具有重要意义,对付教授在大数据、人工智能和信息保护等方面的研究也有所启发,解决了一些框架上的问题。其次,报告引发付教授以下三点认同:其一,指出数据安全与数据共享是数据治理的双重目标具有未来面向,在移动互联网时代网络信息化的过程中,数据逐渐体现出动的状态,例如打车软件、场景化应用,因此,刑法数据保护也应从静态保护转向动态保护。其二,充分讲解了当下数据控制模式的弊端,以静态数据为基础的刑法数据控制模式局限在数据的获取、泄露、窃取,对于数据的滥用没有应对性,因此控制模式向利用模式转换的提出对局部问题的研究指明了方向。其三,数据利用模式的实现路径较为统一,报告指出应在刑法总则中增设指导数据法益解释的专门条款,把数据作为独立的法益类型加以保护,体现了报告的纲领性意义,就学术研究而言,研究具体问题时可能会出现法律的统一性问题、信息多元化问题,因此研究着眼于细微之处的同时也要有总体性的把握。最后,付教授分享了两个其认为值得思考的问题:其一,数据具有多重属性,基本属性是物理信息本身,但在不同的应用场景中,数据就展现了它多元的规范属性,在不同的功能下,数据作为侵犯对象可能有不同面向,而不同属性对应的定罪标准有所不同,刑法解释论该如何应对是一个问题。其二,付教授在流动性数据受到侵犯如何处理方面,提出了从一元论到二元论的转换,就信息自决权和数据财产权二元保护论与刑法学框架体系如何协调存在一定问题。付教授初步认为,数字足迹的刑法规制路径应围绕《刑法》第253条之一的侵犯公民个人信息罪建构,但该罪建立在信息权保护之上,而不是侧重保护财产权,因此,是否要在总则当中强调它的财产属性值得思考。

最后,王充教授再次感谢老师与同学们的到来,本次讲座圆满结束。

友情链接 LINKS

 版权所有:吉林大学法学院 2018 ©    联系电话:0431-85166014       地址:吉林省长春市前进大街2699号东荣大厦