第三章 规范分析:现有刑法的保护体系及不足
目前针对大数据的研究很多,但大多都是从信息学的角度加以研究,相关的安全问题也是从纯粹的技术安全角度进行探索,从法律制度层面对大数据的规制相对比较空白。而大数据已经成为不可逆转的趋势,信息时代的到来已经不可阻挡,大数据带来的一些列问题是不能回避的,除了加强大数据的算法、技术和政策研究外,法律层面的研究也必须跟进,否则社会将面临一些列行为规范缺失的危险状态。
大数据的安全问题可以从技术处理过程和作为分析结果的信息两方面进行考虑。从技术角度进行分析,可以将整个技术处理过程作为大数据到信息生成的一个完整整体来考虑,具体的两个步骤分别是数据收集和存储,以及对数据进行处理运算的过程。这里面的数据挖掘技术主要涉及大数据与云计算的结合。目前国内的相关报告也指出了法律对技术发展的回应需要,“我国在个人隐私保护,在线数据保护,数据跨境流动等方面的法律法规存在很大缺失,还需要从立法、规章制度等多方面不断完善适应云计算发展的信息安全法律监管环境。”
另外一个角度则是从数据挖掘的最终意义——信息的保护角度来思考大数据的安全问题,大数据中隐含的信息价值已经使其成为信息犯罪的目标。因为根据分布式计算的状态机复制原理,“确定性的处理过程就是确定的”,如果两个相同的、确定性的进程从同一状态开始,那么这两个进程将会生成相同的输出,并且结束在相同的状态。这必然使得大数据作为具有巨大价值的信息的前身,开始逐步凸显出其蕴含的巨大价值潜力。
我国现有刑法体系是传统工业社会的刑法模式,随着计算机犯罪和网络技术的发展,通过对一些新的现实问题的局部调整,并以相关的司法解释进行补充,对于各类新类型技术犯罪已经形成了较为严密的刑法制裁体系,一直在紧随社会现实变化而更新完善。但是,面对新一轮的信息浪潮,现有的刑法体系在解决大数据的问题中有明显的不足:对行为的规制范围狭窄,理念陈旧;对法益的保护不够周延,存在空白。这都充分显示了刑法在技术变革的大环境下严重的滞后性。
一、对数据处理过程保护的罪名体系及缺憾
我国没有出台关于网络犯罪的单行刑法,关于计算机犯罪的规定在刑法典也没有独立成章,只有三个孤立的法条。其中 285 条和 286 条规定了非法侵入计算机信息系统罪、非法获取计算机数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪,以及破坏计算机信息系统罪。
这样的计算机犯罪体系以计算机信息系统的保护和数据与应用程序的保护为重心,但是无论是计算机信息系统还是数据,在大数据的新语境下都发生了质的流变,与原有犯罪对象的内涵和外延都有很大的内在区别。这便导致原有的刑法体系在面对大数据的问题上不间不界,不入时宜。
(一)以信息系统为对象
根据刑法第 285 条第一款的规定,非法侵入计算机信息系统罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。从犯罪对象上来说,本罪的犯罪对象是重要和关键计算机信息系统的安全性。
“计算机信息系统”的含义,根据 1994 年《中华人民共和国计算机信息系统安全保护条例》第 2 条,“计算机信息系统”,是指由计算机及相关配套的软硬件协调构成的,按照一定的规则对计算机内部存储的信息进行加工处理的人机一体系统,即信息管理与信息系统。根据 2011 年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第 11 条,“计算机信息系统”和“计算机系统”是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。根据《计算机信息系统安全保护等级划分准则》(GB17859-1999)3.1 条规定,“计算机信息系统 computer informationsystem”,是由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
刑法 285 条在设置上针对重要的计算机信息系统,对威胁此类信息系统安全的行为进行了规制,而规制的主要行为是非法侵入行为。非法侵入行为具体表现为没有得到法律授权,以及采用技术手段突破或者绕过计算机信息系统的安全防护措施。一般来说,此条所规定的国家事务、国防建设、尖端科学技术领域的计算机网络信息系统,因为极其重要,一旦侵入会产生严重的危害后果,故而一般都设置有严密的访问控制机制,以访问权限来控制用户对计算机信息系统的访问。
所谓控制机制,亦称安全防护体系,是指禁止和控制非法用户进入计算机网络信息系统,防止其浏览目录、打开文件、进行操作的一系列规则、加密措施和其他技术规则的有机整体。
针对大数据的安全问题,本条无法适用,主要的障碍在于对大数据的含义太过宽泛,不能为本罪的犯罪对象所包含。很明显,大数据的安全问题是数据存储和数据处理。数据存储所面临的如多来源数据混杂的存储方式,同一磁盘局域的前后反复存储,存储数据的传输,以及存储数据的质量等问题,以及数据处理所面临的如虚拟机逃逸、虚拟机探嗅等问题,都是对大数据的存储和处理平台架构的正常运转的破坏和威胁,而提供云计算服务的大型数据中心与刑法 285 条所描述的国家安全、国防事务、尖端科学技术计算机信息系统是不同的。虽然政府也有利用大数据的收集并参与到云计算平台的应用中以分析信息,帮助决策,但并不能因此就认为政府主体使用的大数据就构成国家安全信息系统。根本的问题在于,政府收集和掌握的数据不能认为是信息,这些可能有助于政策制定的数据过于广泛,而不具有同国家安全信息系统相等的重要性,这种决策大数据数量庞大,范围广泛,牵涉到诸多方面,与计算机信息系统中的特定数据差异甚大,无法被条文所涵盖;并且不仅大数据的构成是宽泛的,大数据的运算处理平台系统也是开放的,显然无法将开放的大数据处理平台等同于严格限制进入的国家安全、国防事务、尖端科学技术信息系统。
根据刑法第 286 条的规定,破坏计算机信息系统罪,是指违反国家规定,对计算信息系统功能进行删除、增加、干扰,造成计算机信息系统不能正常运行,以及对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。
本条将对计算机信息系统中的数据非法操作的行为也作为犯罪行为来规制,但是仍然要求这种针对数据的非法操作是对计算机信息系统功能造成破坏,影响计算机信息系统的正常运行且后果严重的行为,最终的重点还是在于对计算机信息系统功能的保护,对数据的非法操作本身只是破坏计算机信息系统功能的一种手段。
以对于大数据的问题,破坏计算机信息系统罪同样无法应对。虽然在范围上对于被保护的计算机信息系统有所放宽,不再局限于三种重要的信息系统,可以将普通的信息系统纳入进来。但是从客观方面看,打击的行为是针对计算机信息系统的破坏行为,而对数据本身的非法操作并不是重点。但是大数据本身就是犯罪对象,而不是仅仅作为犯罪的途径,很多犯罪都是为了在大数据的信息集成过程中从各个环节非法获取各个层次的大规模数据。另外同样存在数据范围上的差异。本罪的数据仅指计算机信息系统中存储、传输、处理的数据,同大数据相比这是范围很狭隘的数据,而这也还不是罪名调整的重心所在。所以这条在面临大数据的安全问题时也无法提供合理保护。
(二)以数据数据为对象
《刑法修正案(七)》第 9 条在刑法第 285 条增加的第 2 款新增了非法获取计算机信息系统数据、非法控制计算机信息系统罪。非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的行为。
这是刑法修正案(七)第 9 条新增的条款,为了弥补国家安全、国防事务、尖端科学技术领域的计算机信息系统在范围上的不全面。因为很多其他信息系统的重要性日益凸显,例如大型论坛的密码系统、商业银行的密码系统等,都随着网络的发展而显现出保护的必要性,但无法为之前的侵入计算机信息系统罪涵盖。针对随着网络发展而出现的较多经济领域犯罪,新增的 285 条第 2款将普通的计算机信息系统也纳入到刑法保护体系中来。
同上部分所分析的将计算机信息系统作为犯罪对象的罪名相比,非法获取计算机信息系统数据罪直接将数据作为犯罪对象,直接对数据进行保护。但是这一条的数据,是计算机信息系统中存储、处理或者传输的数据,规制的对数据的违法行为也是对这种系统中存储、处理或者传输的数据进行的违法操作,包括删除、修改、增加,并且后果严重的行为。由于所规定的数据仍然限制在“计算机信息系统”中,如前分析,大数据所面临的安全问题并无法被这一概念所涵盖,所以这两款的规定也无法适用。
从以上分析可以看出,我国刑法现有的纯粹计算机犯罪的罪名设置,在面临大数据的安全问题时,完全没有适用空间。这种保护上的鸿沟源于信息系统与大数据的区别。信息系统仍然是数据库模式的技术,而二者最大的区别在于,数据库是为运营型系统保存、查询数据,它以关系型数据库为基础将数据转化为信息、知识和价值,以查询为目的。而大数据体现的是超越了传统的系统数据、数据库和“数据仓库”的更广阔的概念,即以数据分析、决策支持为目的来组织、分析数据,其基础是不是系统分析,甚至也超越了联机分析(或称多维分析,不在需要不同数据库之间的“人为”联机,而可以由用户自己随时创立报表,在多维立方体建模的基础上自由切换分析维度)。大数据的分析是完全的动态分析,不以报表为目的,而以主题统领的决策为目的,数据挖掘技术不断向高端发展,将网络散布的各种资源都纳入到分析中来,完全以分析为目的。因而大数据时代的数据同信息系统的数据无法相容,大数据的分析也同信息系统时代的报表分析截然不同,自然,基于保护封闭的、静态的、局域性的信息系统为核心的刑法保护,无法应对大数据的各种新的安全威胁,也无法对这些现实危险架构起周严的法网。
从另一方面来看,285 条和 286 条对针对计算机信息系统犯罪行为的规制,是从信息系统的安全秩序为出发点来考虑的。例如,侵入行为是以否获得相应授权和服从系统安全控制机制作为对行为的判断标准的,对数据的非法获取和非法操作也是以是否危害了计算机信息系统对数据正常的存储、处理和传输秩序,或者是否破坏了计算机信息系统功能为判断依据的。整体上非常连贯和统一,就是针对计算机信息系统秩序的保护。这对如何惩治恶意侵害整个大数据存储处理运作平台的行为有参考意义。因为大数据所带来的一系列问题,也可以认为是新的信息秩序的问题,因此从秩序角度进行规制不失为可选择策略,但如何确定对这种新型法益的保护秩序还需要进一步探讨。
二、对信息保护的罪名体系及缺憾
我国也没有单独的信息法,关于信息保护的民事、行政规定散见于《着作权法》、《互联网信息服务管理办法》等相关的法律、行政法规中,刑法中的信息保护则根据法益不同,分别置于相关章节,如第 253 条规定的出售、非法提供公民信息罪、非法获取公民信息罪,第 219 条规定的侵犯商业秘密罪,都是与信息保护相关的刑法分则规定,但没有以信息作为法益进行规制,而是以市场经济秩序、公民人身权利作为犯罪客体来分别于相应的章节做出规定。
(一)以个人信息为对象
非法获取公民信息罪,是指窃取或者以其他方法非法获取公民个人信息,情节严重的行为。本罪的客体是公民个人的信息安全和保守个人信息的权利。对象是公民个人信息。
本罪中的“公民个人信息”并没有明确的规定或解释,因此其概念的具体内涵与外延都不大清晰,这对条文的适用造成了困扰。刑法第 253 条第 1 款规定了出售、非法提供公民个人信息罪,同样也只是规定了此罪指国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或非法提供给他人,且情节严重的行为。从刑法立法体系的一致性来看,两罪中的“公民个人信息”应当同义。
而国家机关或者金融、电信、医疗等单位的工作人员在单位履行职责或提供服务过程中所获得的信息一般都是姓名、年龄、住址、电话号码、身高体重、民族等直接和公民身份相联系的信息,这样的信息范围是直接可识别的公民个人信息,是核心信息,范围比较狭小,内容比较局限,类型比较单调。许多边缘的个人信息也应当纳入到保护体系中来,但从法条本身并没有明确。
2011 年《关于办理危害计算机信息系统安全刑事案件适用法律若干问题的解释》第 10 条对“身份认证信息”做了解释,“指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字认认证等。”这里的身份信息是在计算机信息系统的语境下,范围狭隘,但是强调了确认作用,即可以将用户身份通一定的系统操作权限联系的信息,可以识别用户身份与权限。2012 年全国人民代表大会常务委员会《关于加强网络信息保护的决定》,第 1 条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”这对如何理解“公民个人信息”提供了一定的参考依据。
有学者认为有关个人的信息在一段时间内累积到一定程度,就能构成与实际人格相似的“信息人格”或“数据人格”,即以在社会生活中体现出来的信息或数据为基础的个人公共形象被用来作为该个人的代号。
这种观点也是很有启发的,从人格权为视角构建了公民个人信息的民法理论基础,为个人信息保护提供了依据。只是,个人信息范围的确定,依赖于对所谓的“信息人格”的内涵与外延进一步解读和明确,即究竟是什么样的联系,才是能够形成“信息人格”的个人信息?目前人格权的思考路径只是对我们理解公民个人信息提供了一种建设性的参考。
中国台湾地区在《计算机处理个人数据保护法实施细则》中明确规定:“计算机处理个人数据保护法第 18 条第 3 款所称已公开之资料,指不特定之第三人得合法取得或知悉之个人资料。”此解释对“已公开资料”做了解释,而“已公开”就是对个人隐私或者个人专属信息从反面的界定,可以提供另外的角度以窥见对个人信息的界定。此解释有两个重点,一是提出了以“不特定第三人”对个人资料的获取可能来排除信息属于个人信息,二是此种取得或知悉也必须是合法的。
所以我们可以认为,即便是已公开的个人资料,如果没有通过合法途径获取,也是不允许的;如果一部分个人资料是可公开的,即个人信息需区分与主体的联系程度,以确定其是否需要保护。因此“可识别”、“可特定化”,即凭借特定的信息将一个人与其他人区别开来,是个人信息的最核心特征。
欧盟立法中,欧洲议会和欧盟理事会“关于个人信息的持有与流动的保护指令”95/46/EC第 2 条( Definition)规定,个人信息(personal data)是指,任何能够通过身份证号,或者其他与个人物理、生理、精神状态、经济、文化或者社会身份相关的特别因素,直接或间接地识别或者可能识别个人的信息。“对个人信息的处理”是指任何对于个人信息的操作或者一系列操作,无论是否基于收集、记录、组织、存储、转换或变换、咨询、使用、通过传输而披露、向他人传播或为他人提供、阻止、删除或破坏信息的行为。
欧盟的这个定义中,对“识别”进行了更为细致的解释,即区分了“可能识别”和“合理识别”的标准。实际上,这个标准是最宽泛的,它扩大了现有的对公民个人信息的理解,将具有识别可能性的数据也纳入到公民个人信息的范围中来。
大数据中有一部分是在网络空间中具有公开性的资料,如论坛发言、社交网站上公开的照片、分享等,有一部分是网络服务提供者在提供服务中对应就已经“半公开”式接触到的信息,如购买记录、位置记录、网页浏览痕迹等,三是基于对等服务而获取的客户信息,如会员身份信息、邮箱地址等。这些都属于大数据的范畴,而对其保护的必要性则大为不同。个人信息保护的有关博士论文中提出了如下的区分建议,具有分类上的合理性和可采性:“可公开型个人信息、数据库型个人信息、隐私型个人信息,并进而区别对待人格型侵权、财产型侵权以及混合型侵权的行为。”
我认为这是非常必要的,其分类也基本可取。
大数据对于个人信息的一个挑战就在于,有很多数据单独来看,是公开或者半公开的性质的,虽然并不能直接认为属于个人信息,不存在可以直接识别个人身份或者涉及个人隐私的问题,但是这些数据经过汇总,就有可能会转变成直接指向特定个人的私密信息。哈佛大学近期的一项研究显示,只要知道一个人的年龄、性别和邮编,从公开的数据库中便可识别出该人87%的身份。
而最原始的大数据,又难以显现这种价值可能性,只是据以展开分析的材料而已。即便是界定最为宽泛的欧盟指令中对公民个人信息的解读,也没有认识到“识别可能性”这个“可能”会因为大数据的强大收集、汇聚、链接和分析能力而变得充满弹性,视同虚设。因为所有的对公民个人信息的观察和定义都是一个静态和分散的、单一的、破碎的考量,而大数据正是将这些散落的数据都汇集整理,全网分析,所以“可以识别”到公民个人的这种衡量标准因为大数据技术的出现而被极大扩张,导致对公民个人信息如果采用“现实识别”标准会极为狭隘,采用“可能识别”标准又会在操作上没有确定边界。
这样一来,便会导致一个困难的局面:如若沿用刑法中原有的范围比较狭窄的“公民个人信息”来对公民人身、民主权利进行保护,那么会有保护不周的空白地带,大数据中很多会指向公民个人信息的数据不被现有的保护体系所涵盖,则会带来公民个人信息泄露、隐私受到侵犯的现实危险;而若对与公民相关的大数据整体都以“公民个人信息”来论处,则会有很多公开的或者半公开的信息都被锁死,而且公民个人信息的范围膨胀到无所不包,实际上就是无法提供恰当的保护。
通过上述分析可以得知,本罪在调整大数据所带来的公民个人隐私威胁时,因为公民个人信息的范围不确定,而且现有的解释都比较狭窄,从范围上无法将大数据所包含的海量数据纳入规制范围,从性质上也无法针对大数据识别公民个人信息中动态可能性的不确定状态,因此在公民个人信息保护问题上,大数据所带来的问题无法通过刑法现有的罪名体系得到解决。
(二)以商业秘密为对象
1997 年《刑法》增设了侵犯商业秘密罪,并且将其规定在刑法第三章破坏社会主义市场经济秩序罪一节,与假冒注册商标罪、假冒专利罪、侵犯着作权罪并列作为侵犯知识产权犯罪的一种。侵犯商业秘密罪是指,侵犯商业秘密权利人的商业秘密,对其造成重大损失的行为。
根据刑法 219 条的规定,“商业秘密是指不为公众知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。”根据我国1993 年《中华人民共和国反不正当竞争法》第 10 条的规定,商业秘密是指“不为公众所知悉,能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。”从内容上来看,商业秘密可以分为两类,即技术信息和经营信息。“商业秘密包括技术信息和经营信息,而作为商业秘密的技术信息,一般是指重要的技术成果。”
从对象特征上来看,从相关法律条文的规定出发,一般认为商业秘密具有信息性、实用性、经济性和秘密性的特征。也有学者提出了除上诉两个特征外,商业秘密还具有合法性和时间的无限性。也有学者将商业秘密的特征概括为“新颖性、实用性、价值性、保密性”,并认为“商业秘密是否具有保密性,关键在于权利人是否采取保密措施。”
同样的,有文章指出,商业秘密”不为公众所知“的特点必须包含新颖性以同技术保密性特征区别,具体是指“与国内外公开发表过、公开使用过或其他方式为公众所知的信息相比,该技术信息或经营信息有实质性特点或进步”,而保密性具体指“一是明确告知接触该信息的人该信息是保密的”,“二是让无权接触到该信息的人不能或难以接触到该信息。”
从对商业秘密的概念和特征分析上可以看出,商业秘密是作为知识产权的一种特殊形式来讨论的,自然,也要求商业秘密具有知识产品的一系列特征。其中,价值性或说经济性是商业秘密被保护的法律保护的基础,因为其会为主体带来经济上的利益和竞争上的优势,这种价值仅具有可能性就足以认定其价值。商业秘密是信息,对生产经营的贡献是有待转化和实施的,其本身是一种管理、技术或者经营方式策略上的特殊知识,具有对公司企业的经济利益。一般认为,商业秘密权是一种财产权,是权利人对之占有、使用、收益和处分的权利。
但是,对商业秘密的“不为公众所知”或者“采取保密措施”的两个要求,实际上从新颖性和保密性两个方面将商业秘密的范围限制在一个较为特定的范围内。“商业秘密必须达到一定水平的新颖性和非显而易见性,在较长的时期内不易被他人总结、研究而被知。”“有能力控制商业秘密的知情人群,而反向工程又不能成功破解的商业秘密适用商业秘密法律保护才是最有效率的。”
这样我们可以进一步分析商业秘密的本质。从犯罪对象本身来说,商业秘密虽然还不同于知识产权,但也是以类似的智慧产品来定性的。“商业秘密本质上属于知识的范畴”。
这在刑法条文的设置上也能得到印证,侵犯商业秘密罪就是被安排侵犯知识产权犯罪的一节中的。然而商业秘密的重点并非像专利一样要求技术上的进步和创新,商业秘密的新颖性特征更多的是一种识别性特征,即其目的是为了能将“秘密”与“公开信息”区分开来。商业秘密最关键的特征其实是保密性,即能够将信息的经济价值和信息运用的商业利益限制在一个可控范围内。
有关文章从实践角度总结得出,一般通过两种途径来实现这种保密性:“(1)签定保密协议(2)建立保密制度”。商业秘密的秘密性与保密性在国外立法例上也有体现。“在英美法系国家,对于商业秘密的条件均强调秘密性、价值性和管理性(保密性)。”独特的信息内容加上可确定的归属关系,创新的知识属性与明确的财产属性,便可以很好地阐释商业秘密这种对象的涵义。大数据与商业秘密有相似之处。首先,大数据同样具有经济价值,IBM 和麦肯锡的研究都表明,应用大数据的企业确实呈现出明显竞争优势,如收入增长更快。
其次,企业所掌握的大数据往往同业务活动相关,是其在为用户提供服务过程中积累的数据资源,在一定程度上其他商业主体不容易掌握到这些数据,因此也可以认为商业类型的大数据并不完全等同于随意获取的数据,是必须经过用户许可、对等服务或者类似的特殊渠道与途径才能正当收集与获取的。
但是,同商业秘密相比,大数据的特殊性也是很明显的,二者更多的还是在概念上无法直接对接的内在差异性。首先,大数据的经济价值是不确定的,非已然性的。大数据的经济性特征只是可能的,虽然说掌握了数据的企业拥有强大的核心竞争力,但是同样我们也必须承认这些数据的原始性和杂乱,未经分析而不具直接适用生产经营并产生经济效益的价值。目前为止,移动互联网业务服务商的数据是最全面最广泛的,但利用还未形成规模,大数据的经济性体系并不明显。
其次,大数据的来源范围宽泛,本质上是获取与使用权限的问题,而不是数据本身所具有的技术性、经营性价值。大数据并不是着重在其本身的技术或经营上的新颖,而在于获取到大范围有用数据是需要正当途径与授权的。再次,大数据的归属权限不是历历可辨,泾渭自分的。用户产生数据、企业持有数据、分析服务商使用数据,最终的应用甚至还可能涉及到第四方参与者,而这整个过程又是有机结合的,所以像商业秘密或者知识产权那样确定下秘密的可控主体归属,在大数据问题上是行不通的。另外,大数据最直观的体系就是其广泛来源和海量数量级,商业秘密的范围无论如何也无法涵盖到无微不至的上网痕迹、刷卡消费记录等各个数据角落,这些大数据的内容根本不具有商业秘密特征。
因此,无论是从内涵还是外延,商业秘密都与大数据有明显差异。第 219 条保护商业秘密的刑法条文无法涵盖大数据的保护问题。
从刑法典结构上看,商业秘密的保护是对市场经济秩序保护的部分内容,虽然商业秘密具有经济性质、财产权性质,但从刑法上的保护仍然是着眼于秩序的。“信息相对于传统法律对象的特别之处也决定了其从理论上讲,对知识产权进行刑法保护一般基于以下两种价值选择:一种是基于保护私人财产所有权的需要,另一种则是基于维护竞争秩序的需要。目前各国法律的差异就在于保护的重点偏重于哪一种价值选择。美国的刑事法律偏重于对前者的保护,而我国的刑事法律则偏重于对后者的保护。”这也为保护大数据获取和使用、保护信息生成以信息秩序为着眼点的思路提供了立法例上的支持。
(三)以国家秘密和情报为对象
刑法典中关于国家秘密和情报的条文形成了一个比较分散的规范体系,具体有涉及以下的罪名:第111条,为境外窃取、刺探、收买、非法提供国家秘密、情报罪(第一章危害国家安全罪);第282条第一款非法获取国家秘密罪,第282条非法持有国家绝密、机密文件、资料、物品罪(第六章妨害社会管理秩序罪第一节扰乱公共秩序罪);第398条故意泄露国家秘密罪、过失泄露国家秘密罪(第九章渎职罪);第431条第一款非法获取军事秘密罪、第二款为境外窃取、刺探、收买、非法提供军事秘密罪,第432条故意泄露军事秘密罪、过失泄露军事秘密罪(第十章军人违反职责罪)。其中涉及到的犯罪对象有以下几种:“国家秘密、机密、绝密”、“情报”、“军事秘密”,但是相关的刑法条文中都没有对这些概念进行规定。
根据2000年最高院《关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》第1条的规定,刑法第111条的“情报”是指“关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。”根据2010年新修订的《保守秘密法》第2条,国家秘密是指“关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。”
根据2014年3月1日起开始实施的《保守国家秘密法实施条例》、2011年5月1日起开始实施的《解放军保密条例》、2007年《国家统计局保密工作规定》以及《国家安全法》等相关法律法规的规定,可以明确密级划分、保密期限、密件管理等相关的规范。从这些规定的形式要求来看,现有刑法的“国家秘密”对象范围限定比较严格,需要根据相关权限和程序定密,并且需要保密标志,这就会使国家秘密的范围非常明确与确定,是形式要求。单纯从定义上看,情报与国家秘密的定义区别并不明显。但是一般认为情报相对来说,是一个更为宽泛的概念,其主要特征是“尚未公开或者依照有关规定不应公开”,是内部接触事项。从本质上看,国家秘密和情报都是信息,只不过是具有特定属性的信息。“其中的某一部分或某一个信息,公开或泄露后会使国家的安全和利益受到损失,这部分或这个信息就是国家秘密。”而情报更偏重其知识属性,即“对离散的、不连贯的信息素材进行收集整理、分析提炼,以全面、系统地掌握相关知识。”
情报是内部事项,也包括内部对相关资料进行知识整理、汇总所得的分析结果。但根本上,国家秘密和情报都是限定知悉范围、形式上未公开的特殊信息。
另外,对国家秘密和情报共同的限定是“关系国家安全和利益”,这指出了国家秘密和情报的特殊重要性,是实质要求。“关系国家安全和利益”具有“全局性、层次性、直接性和领域性特征”,其中直接性是指“国家秘密必须是直接关系国家安全和利益的事项,是一旦被公开或泄露就会直接造成国家安全和利益损害结果的事项。”
这便将间接侵害国家安全和利益的秘密排除在外。
在分析了刑法分则条文中对国家秘密和情报的规范后,我们可以发现,大数据带来的信息安全问题使得刑法分则现有条文对关系国家安全和利益的数据保护存在不足。例如“棱镜”事件中,斯诺登披露了美国对华信息监控计划,最典型的就是NSA的TAO(定制入口行动办公室),过去15年内一直从事侵入中国境内电脑和通信的网络攻击工作。
而监听的内容是以巨大数据流形式存在的,显然不具备国家秘密的定密形式,而且也很难称得上是具有知识内容的情报,充其量是具有国家安全价值的原始数据,同国家安全和利益也是非常间接的联系,而非国家秘密和情报所实质要求的直接关系。那么,现有刑法体系对于这类重要国家安全情报就存在覆盖不足的问题。
由于原始数据通过分析能产生巨大的情报价值,往往涉及国家秘密和情报,与之具有同等的重要性。但是“直接关系国家安全和利益”的实质要求,与触密范围对国家秘密的限定、“未公开”对情报的界定,都致使国家秘密和情报的范围被限定在以已有知识为基础的狭小范围内,忽略了大数据的价值潜力。而这些海量的间接关系国家安全和利益的数据流几乎具有同等重要的信息价值,但面临保护上的空白。
在大数据时代,国家之间的信息战争往往就是靠这些数据毛坯决定胜负的。通过对这些数据的分析,关乎国家利益的重要情报可能就会流失。大数据的价值隐含导致现有刑法体系对国家秘密和情报的狭隘界定无法对这部分重要数据的泄露进行有效保护,而这种不足是亟待调整完善的。
