文/勞東燕

網絡與信息技術的運用，正在深刻地撼動與改變我們所處的世界，也使得數據變得前所未有地重要。法律需要跟上科技的步伐，對數據的流動與利用進行必要的監(jiān)管。數字科技不只是帶來隱私與安全的問題，也正在對民主與自由的體制形成重大的沖擊。如何根據個人數據的特殊性質，發(fā)展出適應于大數據時代需要的包括刑法在內的法律規(guī)制框架，構成當前各國所面臨的共同難題。我國現有的刑法規(guī)制框架，能否為個人數據提供適當的刑法保護，無疑值得作必要的探究?；诖耍崂砼c歸納中國現有刑法規(guī)制框架的基本特點，考察其中的得與失，便有著重要的現實意義。這構成本文的問題意識。

個人數據的特性與法律地位

個人數據作為一種資源，具有再生性與非競爭性的特點。它經常匯集多方主體的不同性質的權益。數據這樣的特性，使得對其進行準確的法律定位變得困難，也難以將其納入特定的部門法中來解決。思考與探討對個人數據的刑法保護，應當將其置于整體的法律框架之中，從數據治理的角度來進行。數據法作為一個典型的領域法，聚焦各部門法在數據領域衍生的共性問題，有必要在橫向上整合傳統(tǒng)法律部門要素，在縱向上突破部門法的壁壘。刑法對個人數據的保護，需有意識地擺脫部門法的狹隘，通過往返觀照數據法的整體框架來作調整。

由于個人數據在權益結構上的復雜性，采取傳統(tǒng)的私權主義保護進路能否兼顧各種權益之間的平衡，便不可避免地引發(fā)相應的爭議：第一，個人數據是作為私權意義上的物品來對待，還是應視為公共用品？第二，對個人數據的保護，是主要采取私法保護模式還是公法保護模式？第三，對各類主體而言，其對個人數據所享有的究竟是一種權利，還是只是單純的利益？第四，對于數據主體而言，其對個人信息所享有的權利，是作為不容剝奪的絕對權利還是可予相對化處理的一般權利？第五，數據主體對于個人數據的權益，主要涉及的是積極的控制權能還是消極的防御權能？

前述爭議中關鍵在于對第一個問題的回答。如果認為個人數據是作為公共用品而存在，則對其便不可能采取以私法為主的保護模式，而必然傾向于動用包括行政法與刑法在內的公法來進行保護。對各類主體而言，包括數據主體在內，對個人數據所享有的便不可能是排他性較強的權利，而只能是單純的利益。相應地，由于個人數據屬于公共用品，數據主體自然只能行使消極意義上的防御權能。如果堅持個人數據仍屬于私權意義上的物品，則必然優(yōu)先考慮用私法來對其進行保護。在此種構想框架中，數據主體對個人數據所享有的必定屬于一種權利。

我國法學界多數觀點傾向于從私權意義上看待個人數據。由于隱私權在我國法律語境中指涉的范圍較窄，難以將所有具有可識別性的個人信息涵蓋在其中，故而，數據主體對于個人數據的權利被認為是獨立的個人信息權。信息的自決權是否具有憲法上的基本權利性質，這一點還尚未得到應有討論。至于合法控制與處理個人數據的公司等組織，從實務的做法來看，其對所控制的個人數據沒有被承認為是權利，而是作為一種應保護的經濟性利益受到確認。從我國現行法律規(guī)定來看，也大體上能得出是持個人數據作為私權之物的立場。歸結而言，個人數據之上的權益并不是一項簡單的權利，而是一種權利集合，它囊括了不同主體在相同客體上的涉及人格、隱私、財產、主權等多方面的權利。

刑法對個人數據的保護框架

匯聚于個人數據之上的權益的集合性與多維性，自然會在我國刑法的保護框架中有所體現。本部分先對我國現行法律在個人數據保護方面的基本立場作出交待，在此基礎上對現有的刑法保護模式進行梳理與歸納。

我國現行法律對個人數據的保護，與美國的“隱私權保護+行業(yè)自律”的保護模式差異較大，從相應表述來看，似乎與歐盟的《通用數據保護條例》的立場較為接近。不過，我國對個人數據的法律保護，至少在兩個方面上明顯不同于《通用數據保護條例》。一方面，我國的個人信息權基本上是在自我決定的意義上來理解與界定，而這種自我決定主要體現在收集環(huán)節(jié)的征求同意與信息告知上，并且主要限于直接從數據主體處收集個人數據信息的場合。另一方面，政府在其中扮演的不僅是強監(jiān)管者的角色，更發(fā)揮著主導者的作用。它不只是以數據主體的保護者或利益沖突的調解者的面目出現，同時也作為重要的個人數據的控制主體與處理主體而存在。

前述不同，可能源于《通用數據保護條例》與我國現行法律在基本價值取向上的差異。前者有條明顯的主線，那就是強化數據主體對于數據的控制權，并通過兼顧人格權與財產權的方式予以保護?；旧希扇〉氖欠啾Ｗo進路，表現出優(yōu)先保護個人數據權利的傾向，據此而對數據的控制者與處理者設定了相當高的合規(guī)義務。我國現有的法律則采取的是利益衡量的進路，更為強調對數據科技產業(yè)及數據經濟的保護與對社會秩序的控制。利益衡量進路也為法學界所廣泛支持。數據主體對個人數據所享有的權益名為權利，實質上只是作為單純的利益而存在，它往往很容易被其他利益所超越。由此而言，我國現行的法律框架顯然采取的是優(yōu)先保護國家與社會利益的價值立場。對于數據主體的個人信息權，只有在不影響科技產業(yè)與數據經濟的發(fā)展，不危及社會秩序穩(wěn)定的前提下，才有可能得到有限度的法律保護。

由于我國刑法基本上是按所侵害的法益類型來安排相應罪名的位置，可將我國刑法對于個人數據的保護歸納為四種模式。（1）經濟秩序保護模式。無論是竊取、收買、非法提供信用卡信息罪還是侵犯商業(yè)秘密罪，都是作為侵犯經濟秩序利益的犯罪而存在，這樣一種為個人數據所提供的刑法保護，可稱為經濟秩序保護模式。（2）人格權保護模式。由于通信自由與個人信息權都被歸于個體的人格權之下，故侵犯通信自由罪與侵犯公民個人信息罪所提供的刑法保護，可稱為人格權保護模式。（3）物權保護模式。以傳統(tǒng)財產犯罪為個人的電子財產數據提供刑法保護的模式，不妨稱為物權保護模式。（4）公共秩序保護模式。非法獲取計算機信息系統(tǒng)數據罪與破壞計算機信息系統(tǒng)罪均作為保護數據安全的犯罪而存在。此時的個人數據，主要是作為與網絡安全相關的公共秩序利益而獲得刑法保護，故可稱為公共秩序保護模式。

現行保護框架的反思性考察

從刑法的相關規(guī)定來看，現有的四種保護模式為個人數據的刑法保護奠定了一個基本的框架。此種刑法保護框架對于個人數據的刑法保護是否合適與足夠，能否滿足大數據時代個人權利保障的需求，有必要作進一步探討。

在個人數據的保護方面，對我國的刑事立法與司法現實進行考察，可得出三個發(fā)現。其一，我國對于個人數據的法律定位，并未擺脫古典時代占有主義觀念的影響。我國法律與法學理論對于個人數據性質的通行理解，明顯受到這種以勞動理論為基礎的占有主義觀念的影響，將之作為所屬之物來理解與界定。其二，我國刑法對個人數據犯罪的規(guī)制，關注的重心放在非法獲取而不是濫用的行為之上。就現有適用的罪名來看，刑法規(guī)制的重點放在非法獲得或幫助獲得對個人數據的占有的行為之上。其三，我國刑法對涉及個人數據的犯罪的懲罰，偏向于對秩序利益的維護。我國刑法對個人數據的保護，呈現出秩序利益至上、產業(yè)發(fā)展利益次之、個體權利再次之的格局。法律框架中三方的地位，正好與他們各自在信息社會中的實際處境相對應。

以此審視現有保護模式，有助于洞察我國刑法保護框架所存在的不足之處。首先，當前的刑法保護框架對于數據濫用的行為缺乏必要的規(guī)制。在數據流動化與商業(yè)化不可避免的背景下，濫用行為將成為侵害數據權益的首要的不法行為類型，我國現行刑法卻沒有罪名來對付嚴重的數據濫用行為。其次，當前的刑法保護框架雖也能運用相應罪名來處罰某些侵犯數據權益的行為，但這樣的處罰無法準確揭示相應行為的不法本質。對于盜取或騙取個人的游戲賬號、游戲裝備等虛擬財產的行為，我國司法實務中正較多地運用非法獲取計算機信息系統(tǒng)數據罪來定罪處罰。但此類行為的不法本質在于被害人的經濟利益受到侵害，以公共秩序保護模式來進行保護并未準確揭示相應行為的不法本質。再次，當前的刑法保護框架同時存在犯罪化不足與犯罪化過度的問題。犯罪化不足不僅體現在未將濫用行為納入刑法的處罰范圍，也表現在對數據泄露的行為缺乏刑法層面的規(guī)制，以及對敏感數據沒有給予特別保護。過度犯罪化則主要表現為：利用旨在保護具有稀缺性與排他性的財物的傳統(tǒng)財產犯罪，來對付侵犯虛擬財產的行為；即便是在數據主體的合理預期范圍之內，出售或者向第三方提供個人數據的行為也可能被定罪。最后，當前的刑法保護框架對數據主體的權益保障顯得不足。個人經常是在不知情的情況下被收集眾多數據，且在數據被收集后完全對之失去控制的權限與可能。侵犯公民個人信息罪對信息自決權的保護局限于數據收集環(huán)節(jié)的權利。

刑法保護框架的應然性方向

我國當前對個體在數據權益面向的法律保護，存在保護嚴重不足的問題。權利主導的進路對于如何推進我國的個人數據保護具有重要的參考價值。

信息社會的治理需要實現規(guī)制與自治的功能互補。有必要倡導一種反思性的法發(fā)展范式，法律在尊重各功能領域的規(guī)范自我生產的同時，推進各領域進行反思性的自我控制，使得相應的規(guī)范生產機制合乎法治框架的要求。法律需要采取間接調控的方式，不宜直接介入對信息技術的計劃和控制。在確定法發(fā)展的基本范式之后，需要進而探討在個人數據的保護上，現有的刑法框架應當在觀念上實現什么樣的轉變的問題。

首先，需要擺脫占有主義的所有權觀念的影響，避免對個人數據的法律性質下統(tǒng)一的定義；應當根據個人數據的具體類型及其在不同場景中所牽涉的權益，作出有針對性的界定。我國有論者依據是涉及個人私密領域、人際交往領域還是社會公共領域，按照涉及人的尊嚴、人的自由還是社會價值，來對個人數據進行分類。前述觀點在思路上給人以啟發(fā)。同時，相同數據在不同場景中可能涉及不同的權益，故單一的界定路徑并不可取，以語境化的消費者預期和風險規(guī)制的視角來看待數據隱私的保護較為合理。

其次，刑法保護框架有必要實現三個轉換。（1）在價值取向上，實現從社會秩序導向到個體權益導向的轉換。在法律上應賦予數據主體充分的控制權限，對于嚴重侵犯數據主體控制權限的行為，可考慮運用刑法的手段來打擊。（2）在規(guī)制的重心上，實現從非法獲取數據的行為到濫用數據行為的轉換。法律必須建立以保護合理使用為核心的規(guī)范體系，相應地，刑法規(guī)制的重點，也理應放在對數據的非法濫用行為的打擊上。就像對財產的使用會受到限制那樣，對于個人數據的使用，理應遵循類似的原理。（3）在數據主體的權益內容上，實現由單一的消極防御權能到以二者并舉且以積極控制權能為主導的轉換。傳統(tǒng)的隱私權保護偏重于事后的消極防御。若是不賦予數據主體對于個人數據的積極控制權能，個人將難以扭轉自身在異化的信息社會結構中所處的絕對弱勢地位，也無法有效地避免因信息技術的濫用而可能遭受的各種侵害。

再次，從方法論而言，對于個人數據之上所匯集的各種權益，采取單一的法權進路或是利益衡量進路均不可取。應當根據個人數據的類型來采取不同的進路，對普通的個人信息，可以采取利益衡量的進路；對敏感信息特別是生物數據，應當考慮采納法權進路。統(tǒng)一的法權進路或是利益衡量的進路，可能都存在一定的缺陷，難以在分享與控制之間達成必要平衡。原則上，與個人生理或精神的關系越密切的個人數據，越應歸入人格權的范圍中予以保護，且不容許隨意為其他的利益考慮所超越；與個人的人格尊嚴在關聯性上越是疏松的數據，越可作為利益來對待，也越容許考慮數據商業(yè)性流動的需要。

最后，從風險分配的合理化考慮，在個人數據的刑法保護中，應當適用主要由控制者與處理者來對相應風險及結果負責的歸責原理。以同意機制為基礎的法律保護框架，顯然是將對個人數據的保護責任主要放在數據主體之上，一旦表達同意，后續(xù)的風險及其結果便要由數據主體來承擔。這樣的歸責方式既有失公平，也難以起到威懾與預防的效果。根據刑法歸責中的管轄原理，由個人數據收集、保管與使用而產生的風險，理應主要由控制者與處理者來承擔。對個人數據的法律保護，其重心應當在于強化控制者與處理者的合規(guī)義務。

具體保護模式的規(guī)范性調整

我國刑法對個人數據的保護尚未形成周全的框架，無論在立法論還是解釋論上均存在調整的空間?；镜恼{整原則應當是，根據不同的風險種類和行為所侵犯法益的不同性質，有針對性地采取不同的保護模式。

數據無疑具有一定的財產或經濟的屬性，但僅此不能認為它可歸入傳統(tǒng)的財物。傳統(tǒng)財物具有稀缺性，不僅不可再生，在占有與使用上也具有排他性，數據則缺乏這樣的特點。個人數據雖有共享性的一面，但缺乏權利上的專屬特性，也難以納入知識產權的范疇。個人數據在將來成為一種新的財產類型也未可知。但虛擬財產不宜在一般意義上被認為構成財產犯罪中的財物。它既不是民法上的物，也不屬于民事權利，實質上是用戶的賬戶操作權限。更何況，我國刑法對于知識產權并未采取物權保護的模式，對于財產屬性較知識產權更為稀薄的個人數據，更不應運用傳統(tǒng)的財產犯罪來懲罰。

依據個人數據的具體類型與不同場景中所涉及的權益性質，可對現有的四種刑法保護模式進行審視。（1）關于經濟秩序保護模式。盜取或以其他方法非法獲取虛擬財產的行為，在未來的立法規(guī)劃中，應考慮放在破壞社會主義市場經濟秩序罪中加以規(guī)定，對相應犯罪的法定型配置，理應比傳統(tǒng)財產犯罪要輕。至于企業(yè)對于個人數據的控制與處理方面的利益，就目前的情況來看，以反不正當競爭法來處理較為合理，沒有必要將之納入刑法處罰的范圍。（2）關于物權保護模式。如果作為行為對象的個人數據，最終指向的是物權意義上的財物，就可運用傳統(tǒng)的財產犯罪來追究。為防止對其盜竊罪與詐騙罪構成要件的定型性造成重大沖擊，使得二者之間的界分變得困難，理想的解決方式或許是，未來在立法上新增關于計算機詐騙的犯罪。（3）關于人格權保護模式。在未來的立法中，應考慮設立獨立的濫用個人信息類的犯罪。就解釋論來說，對侵犯公民個人信息罪的法益宜采取內涵豐富的個人信息權的概念，對包括生物數據在內的敏感數據進行特殊保護；在不違反罪刑法定原則的前提下，可將一些濫用行為納入“提供”或“非法獲取”之中來處罰。（4）關于公共秩序保護模式。對于非法獲取、刪除、修改他人手機或個人電腦等信息系統(tǒng)中的個人數據，應考慮按非法獲取公民個人信息罪來定罪。侵入他人電子賬戶而盜取虛擬財產之類的行為，作為權宜之計，按非法獲取計算機信息系統(tǒng)數據罪來處罰要顯得合適一些。