如今,信息化、全球化、网络化交织在一起带来经济发展的“数字蝶变”。经济发展的数字化转型加速,形成了互联网、大数据、区块链为支撑的数字经济。可以说,数字经济已经成为不少国家和地区经济发展的支柱,人类当前已经迈入数字经济的全盛时代,也面临更多安全问题,呈现出安全风险类型更多、风险类别日新月异、风险波及范围更为广泛、风险发生更为频繁的特点,给刑法立法与刑法适用带来重大挑战。因此,梳理数字经济安全面临的刑事风险并提出应对之策,就成为刑法学研究的重要时代主题。
一、【数字经济发展面临的三类刑事风险】
数字经济安全风险类型广泛,其中下列三种类型最为典型:
一是金融安全风险。金融行业是一个国家“牵一发动全身”的领域,关乎国家的经济安全。以互联网、大数据、区块链为代表的数字经济正在向金融领域发展,其中,区块链技术是当今商业和社会数字化转型中最常讨论到的创新领域之一,区块链技术的核心架构是数据、网络和共识,密码学、共识算法和网络三大技术是支撑区块链发展的基础。确保数字货币的安全可靠,关系到金融秩序稳定。但是,由于区块链的去中心化特征,致其难以受监管,这是其从诞生之日就给现有规范体系带来的挑战。例如,一些不法分子利用区块链技术进行伪装,以金融创新为名义开展诈骗活动,形成金融风险。此外,区块链技术驱动下的数字货币技术,也会导致伪造货币、变造货币等犯罪行为的发生。
二是数据安全风险。中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》提出,要“加快培育数据要素市场”。随着数字经济互联网产业蓬勃发展,数据安全的脆弱性与易受攻击性随之凸显。数据被视为数字经济的“新能源”,而数字经济发展必然涉及数据流动,数据泄露及违法使用成为数字经济的最大风险之一。计算机技术的发展为数据的收集、存储、传输、运算及使用提供了技术支持,同时也为数据犯罪提供了温床。大数据时代海量信息的泛在和控制权限的弱化,不仅使泄露大数据信息或隐私、国家秘密、商业秘密等的主体更加多元化、复杂化,而且使贩卖个人信息行为已成为黑灰产业链,从而给国家对网络数据、个人信息等的安全保障带来挑战。
三是网络空间安全风险。网络空间是集互联网、通信网、物联网及其相关终端在内的数据链路集合。随着数字经济发展,网络黑灰产成为数字经济时代网络安全的突出问题。《2020网络黑灰产犯罪研究报告》把网络黑灰产定义为借助互联网技术、网络媒介,为黑客攻击、网络黄赌、网络诈骗、网络盗窃等违法犯罪活动提供帮助,并从中非法牟利的犯罪产业。其中,以网络恶意技术与网络恶意攻击最为典型。网络恶意攻击是依托于网络社会存在的攻击行为,包括对另外一个自然人的计算机数据进行攻击和对多人共享的云数据库进行攻击,为后续实施网络诈骗、网络传销等提供帮助,因网络具有远程化、非对称、难溯源等特点,容易成为犯罪者的犯罪手段。所以,形形色色的网络犯罪已经成为数字经济发展带来的“副产品”。
二、【刑法保障数字经济安全规范新形态】
面对数字经济发展及其所带来的风险挑战,刑法立法与司法已经存在滞后性,需要构建确保数字经济安全的规范新形态。
第一,增设独立的数据犯罪。数据安全是数字经济发展的核心竞争力,数据泄露是数据安全的主要问题。囿于计算机信息系统数据的规定,将遮蔽大部分网络数据类型,如网络衍生数据、个人数据、企业数据等。尤其是随着人工智能广泛应用,数据犯罪的表现形式发生重大变化。传统获取他人数据需以侵入或者破坏计算机(信息)系统为前提,如今获取他人数据并不必然以此为前提,可能入侵的只是他人手机。例如,刷单等自动化网络作弊技术就不直接侵入、控制计算机信息系统。在此情形下,数据收集过程中涉及的犯罪适用非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪等就值得反思,更何况这些罪名侧重于信息安全的保护。就此而言,发展严密的数据犯罪的罪名体系不可避免。就数据犯罪而言,重点是对非法获取、泄露、储存(持有数据危险)、处理(删除数据危险)数据的罪名设置。例如,删除对企业而言极为重要的数据,至于非法使用数据的行为,往往关联着诈骗、洗钱等犯罪,按照刑法中已有罪名定罪处罚即可。故,刑法有必要增设非法获取、泄露、储存、处理数据罪。
第二,扩展网络犯罪的范围。网络攻击、网络窃密、安全漏洞、恶意程序等依然处于高发态势,数字经济本身就是经济发展的网络化形态,面临的网络安全问题可想而知。为了全面、有效惩治网络犯罪,在已有罪名基础上,刑法增设了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪、侵犯公民个人信息罪等新罪名。但是,这并不完善,一方面,随着民法典、网络安全法、电子商务法、密码法、电子签名法、反恐怖主义法、数据安全法等的颁布,对刑法立法提出新要求。另一方面,黑色产业链通过网络技术,在上游以黑客侵入、木马病毒、恶意软件等手段与下游犯罪保持紧密关联,实施电信诈骗等犯罪,危害信息数据权益、计算机信息系统安全和网络安全管理秩序等,甚至对市场经济秩序产生威胁或侵害。为预防网络诈骗、网络水军、网络黄赌等违法犯罪,需要有效规制恶意技术和恶意网络攻击等行为,其中,刑法立法需要严密惩治网络黑产相关犯罪的规定,对上游负责收集提供、分享各种网络黑产资源行为,中游负责开发定制、研发黑产工具行为,下游负责将黑产活动“成果”进行交易变现行为均有所规制。
第三,重视实质解释论。实质解释论主张,对构成要件的解释必须以保护法益为指导,使行为的违法性与有责性达到值得科处刑罚的程度。立法积极与司法能动是化解由于社会变迁导致的刑法滞后性的两种方法。面对数字经济带来的刑事风险,从立法上增设相关新罪名是应对之策。但是立法永远具有滞后性,这就需要重视司法能动意义上的实质解释论,即根据个罪的保护法益进行同质解释。例如,当出现了虚拟货币等新货币形态时,应当通过实质解释方式将其纳入刑法中货币犯罪、集资犯罪等的涵摄对象。还如,扩大非法利用信息网络罪、帮助信息网络犯罪活动罪的涵摄行为类型,把发布链接地址、截屏等行为解释为非法利用信息网络行为,把“制作虚拟炒股、赌博、诈骗、传销等软件行为”“帮助犯罪集团发布诈骗、赌博类的广告链接、二维码等网络推广支持行为”解释为帮助信息网络犯罪活动行为。此外,网络犯罪涉及主体众多,非法开立各类银行账户、开发收款码自动生成等平台、搭建第四方支付资金池、资金流转操作等环节均有不同的人操作,彼此之间在不同地域,且并不认识,这就给传统共同犯罪理论带来挑战,司法实践要认定他们有意思联络就很困难。这就需要改变以往“以共谋为中心、以责任为重心、以联络为核心”的判断标准,发展“以正犯为中心、以不法为重心、以因果性为核心”的判断方法与标准。
第四,开展数据安全合规建设。数据治理的核心是数据安全合规,数据安全合规是企业预防数据安全风险、构建数据安全体系的关键。如若缺乏这一安全屏障,对于企业来说可能就是灾难。数据安全法、网络安全法以及刚刚颁布的个人信息保护法全面构筑了中国数据安全的法律框架,也为数据合规建设提供了法律依据。为此,各单位需要通过建立一套有效的数据安全合规体系保护数据安全,对数据安全进行风险评估、监测预警、应急处置和安全审查。最高人民检察院下发的《关于开展企业合规改革试点工作方案》强调开展企业合规改革试点要与依法适用认罪认罚从宽制度和检察建议、依法清理“挂案”、依法适用不起诉结合起来,检察机关作为法律监督机关,也应当以公益诉讼方式或不起诉等制度实践,有效激励企业或其他单位进行数据安全合规建设。
注:本文来源:检察日报
本文刊于检察日报21年8月23日03版
作者姜涛 南京师范大学中国法治现代化研究院副院长、教授
