论数据犯罪的立法重塑

当前《刑法》所规定的数据犯罪主要源于前数字经济时代，所保护的数据类型及对侵害行为的规制皆无法适应数字经济时代的发展需要，对既有规范的刑法解释亦无法实现对数据法益的妥善保护，立法断层与司法瓶颈并存。数据分类分级保护制度为刑法介入数据保护划定了合理界限，值得刑法保护的数据应被限定为《数据安全法》等前置法所特别保护的重要数据，一般数据不宜过早地被纳入刑法保护范畴。承载私法益的个人数据和企业数据能够通过《刑法》所确立的关联犯罪得到妥善保护，没有必要通过增设新罪予以重复保护。基于对数据犯罪立法的体系性考察，建议增设非法处理重要数据罪，以衔接《数据安全法》等，弥补对关乎国家安全、公共利益的重要数据的保护空隙，同时对侵犯公民个人信息罪进行必要的立法扩容，以回应实现全流程规制非法处理个人信息数据行为的实践期待。     

非法获取计算机信息系统数据罪的限缩适用——兼论数据犯罪的法益侵害

数据蕴含的巨大价值引发了非法获取数据犯罪的刑法适用问题。本质上,该问题是非法获取计算机信息系统数据罪不法争议的外在表现与必然结果,解决的根源在于梳理获取数据的行为对象与样态,进一步解释数据安全法益的内涵。理论界对数据技术属性提供刑法保护以及法益独立化保护的主张,体现了刑法技术化倾向,与法益证成标准及法益理论初衷相悖。妥当的解释路径应当是将数据犯罪的刑法性法益定义为个人法益、公共法益或者国家法益的传统法益,行政法层面数据安全管理秩序法益只能作为先法性法益影响数据犯罪的量刑,以调和刑法保障性与谦抑性之间的紧张关系。基于此,非法获取计算机信息系统数据罪的适用方案应当是坚持本罪“法益保护传统化”的限缩适用以及“具体危险犯”的妥当适用标准。     

数据刑法保护的比较考察与体系建构

德国通过附属刑法和核心刑法所建立的二元数据刑法保护模式,在体系架构、法益定位、构成要件设置等方面具有启发意义.个人数据犯罪虽具有现象层面的公共性和社会性,但保护法益仍然是作为个体法益的个人信息权.侵犯公民个人信息罪的行为类型不宜局限在数据流转过程中的非法获取和提供,而应有条件地将犯罪产业链下游的非法使用、处理行为纳入.一般数据犯罪的应然保护法益是数据主体对一般数据的形式支配权限,以及对一般数据的私密性、完整性和可用性利益.我国一般数据犯罪的罪名无法实现对上述法益的独立性、完整性、体系性保护,其存在结构错位、保护不周等问题,应从国际视角出发对相应构成要件进行完善与调整.     

非法使用公民个人信息行为的刑法规制

在非法使用公民个人信息行为如何纳入刑法规制的问题上，存在解释论与立法论、合设模式与分设模式、重罪模式与轻罪模式的选择。非法使用公民个人信息行为是指不存在公共利益、突发公共卫生事件、紧急情况等法律法规规定的特定情形，行为人违反法律法规规定的知情同意规则或者个人信息处理的目的、方式，使用已经掌握的他人个人信息实现其特定目的的行为。该行为与侵犯公民个人信息罪等涉个人信息犯罪的构成要件行为(流转行为)不同质，且侵犯的法益具有独立性，故不能通过刑法解释而应通过刑法立法将其入罪。非法使用个人信息行为侵害的法益是个人信息使用决定权，不同于侵犯公民个人信息罪的保护法益(个人信息流转决定权),其社会危害性程度也与侵犯公民个人信息罪有别，不宜将其作为侵犯公民个人信息罪的行为类型予以规制，应对其单独设罪配刑。非法使用个人信息行为入罪配刑应采重罪模式还是轻罪模式，应考虑行为的社会危害程度、刑法分则已有的立法逻辑等因素。基于我国刑法针对特定对象的非法使用行为入罪配刑的立法逻辑等考量，对非法使用个人信息行为入罪配刑宜采轻罪模式。     

侵犯公民个人信息罪的法益构造及其规范解释

侵犯公民个人信息罪保护的法益不能直接沿用民法或者行政法的法益内容，个人信息权益与信息管理秩序均不能直接作为其法益内容。侵犯公民个人信息罪保护法益的判断具有整体法秩序意义上的逻辑性，当行为符合个人信息权益的侵权要件时，会对相应的民法法益造成侵犯。民事侵权的成立范围应当考虑到对包括信息管理秩序利益在内的社会要素的平衡，构成民事侵权的行为才可能进一步考虑是否成立侵犯公民个人信息罪。如果侵权行为对其他人身与财产安全具有抽象危险，该违法行为就可能达到刑事不法的程度。侵犯公民个人信息罪的前置法益内容是个人信息权益，而刑法法益则是其他人身与财产安全。在前置法的违法性判断的基础上应当分析对其他人身与财产安全是否具有抽象危险。对于敏感个人信息与一般个人信息来说，相关司法解释以个人信息数量来界定抽象危险的成立标准时应当有所区别。现有司法解释以及司法适用存在一定不合理的地方，应当在整体法秩序的视野中，以法益构造指引侵犯公民个人信息罪司法解释的完善以及个罪的规范解释。     

数据犯罪刑法规制完善研究

数据犯罪是指以数据为犯罪对象、严重扰乱国家数据管理秩序的犯罪行为。数据犯罪不同于网络犯罪、计算机犯罪。数据与信息之间实则是一种相互交叉的关系,因而数据犯罪也不同于信息犯罪。数据犯罪所侵害的法益是一种独立于传统法益的新型法益,即国家数据管理秩序。我国刑法目前并不存在对一般数据进行全流程保护的客观条件,无须对所有的一般数据进行全流程保护,亦无须对非法存储和非法使用一般数据行为加以规制。我国刑法应将非法获取、传输一般数据行为和非法分析数据行为纳入规制范围。刑法应增设妨害数据流通罪和非法分析数据罪,以规制严重妨害数据流通管理秩序的非法获取、传输一般数据行为和严重妨害数据分析管理秩序的非法分析数据行为。     

侵犯公民个人信息罪中个人信息的界定与法益侵害分析

侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差，应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法，在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全，而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。     

开放的中国数据刑法体系之建构——基于本体法益与功能法益的区分

现行关于数据刑法体系的探讨执着于从立法论上设计一套周延的数据罪名体系，在研究方向上误入歧途。数据法益具有本体和功能的二元结构，数据犯罪包括数据本体犯罪和数据功能犯罪两大体系。数据功能犯罪体系具有开放性，总是随着数据不法行为的发展而变化，难以周延。数据刑法的重心在于数据功能犯罪体系，应通过解释论之方法，从数据作为手段、数据作为对象、数据作为结果三个维度持续实现对数据不法行为的功能性关联，不断根据数据不法行为的发展而认定与之相应的数据功能犯罪。对撞库、网络爬虫、外挂、流量劫持等数据不法行为的定性，除了认定非法获取计算机信息系统数据罪，提供侵入、非法控制计算机信息系统程序、工具罪等数据本体犯罪，还应认定侵犯公民个人信息罪、盗窃罪、破坏生产经营罪等数据功能犯罪。单一数据不法行为触犯数据本体罪名与数据功能罪名的场合，属于想象竞合，从一重罪处断但应作数罪宣告；复数数据不法行为触犯数据本体罪名与数据功能罪名的场合，数据功能犯罪的特定实害无法吸收数据本体犯罪的多元危险，属于实质数罪，应当数罪并罚。     

数字安全视角下国家秘密的刑法保护

随着信息数据技术和数字经济发展，数字安全问题凸显，给国家保密工作带来更大挑战。在总体国家安全观视野下，对于国家秘密应从定密主体、程序等形式要件和国家安全、利益属性的实质要件两方面进行把握。国家秘密安全作为一种法益不是单一的，还包括与国家秘密相关的个人信息权益和数据网络公共安全，具有多元性和层次性。国家秘密刑法保护应当坚持体系性思维，实行分级分类保护，促进维护国家安全、公共利益与信息资源利用的平衡。刑法中以国家秘密安全为主要犯罪客体的罪名可归类为侵犯国家秘密犯罪。根据犯罪主体的不同，第398条规定的故意(过失)泄露国家秘密罪可区分渎职型和非渎职型。该罪名的罪刑设置未能体现故意与过失的区别，应从立法上予以完善，将过失泄露国家秘密罪的法定刑从故意泄露国家秘密罪的法定刑中剥离出来，规定独立的法定刑。该条第2款规定的“酌情处罚”不等于从轻处罚，应根据具体情况具体对待，也应包括从重处罚。除了直接侵犯国家秘密安全的罪名之外，关涉国家秘密、网络安全、个人信息数据的罪名均可视为侵犯国家秘密犯罪。不同罪名的法益性质和保护重心不同，相互之间存在重合交织。司法机关需要以相关立法为参照系，根据信息数据类型的不同...     

个人信息保护法与侵犯公民个人信息罪的衔接机制

《个人信息保护法》是数字时代的前沿性法律,具有前置法、不完整领域法、不真正附属刑法的特征,与《刑法》中侵犯公民个人信息罪的规定存在时差。为了有效融通规范之间的衔接鸿沟,需要将《个人信息保护法》嵌入侵犯公民个人信息罪的出入罪适用流程。在入罪衔接机制上,将两法中的个人信息范围作统一理解,避免犯罪圈的扩张化;将前置法关于个人信息的类型划分和处理设置,作为解释侵犯公民个人信息罪构成要件的方向,以实现罪刑均衡和法律衔接。在出罪衔接机制上,《个人信息保护法》上的“同意”因法益阙如而阻却刑事违法,其余《个人信息保护法》上的正当化事由均因法益衡量原理阻却刑事违法,相应正当化事由可分别归入刑法教义学上的正当业务行为、紧急避险、法令行为,而合理处理已公开个人信息应成为数字时代独立的新型违法阻却事由,前述事由可在个人信息分类场景下为相关行为出罪。     

“数据安全法益”命题下虚拟财产犯罪的归责路径重构

我国当下围绕虚拟财产犯罪形成的数据犯罪与财产犯罪认定路径,在前提认知上缺失了对数据犯罪保护法益的考量,进而造成对数据的形式化认识误区;既有关于“数据安全法益”内涵的技术属性解读,无法证成狭义数据犯罪的立法价值,亦无法与传统法益相区分,需要在规范意义上重塑数据安全法益的内涵;虚拟财产借助“财产性利益”的抽象表达已成为杂糅数据与财产的高度含混的范畴,应根据数据体现的利益属性进行类型化限缩解释;围绕典型的虚拟财产犯罪,应在承认数据安全法益独立地位的前提下,厘清其罪数形态,摒弃竞合论的主张,同时,在财产犯罪内部证成“转移占有”的行为要素。     

浅论我国公民个人信息的刑法保护

《刑法修正案(七)》增加了侵犯公民个人信息罪,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。我国公民个人信息刑法保护存在三个方面的问题,罪名的设置有待商榷、"情节严重"标准模糊和相关附属刑法有待完善。我国公民个人信息刑法保护的完善也需要从前述的三个方面着手。     

论人脸识别刑法规制的限度与适用——以侵犯公民个人信息罪指导案例为切入

如果国家无意用刑法手段规制公权力组织滥用人脸识别的现象，那么从刑法面前人人平等的原则出发，对于个人滥用人脸识别的行为就必须慎用刑事制裁措施。法秩序统一性原理主要强调的是刑法的补充性，它必须受制于刑法的独立性。侵犯公民个人信息罪是通过保护公民的个人信息来捍卫信息所承载的人身、财产权利。它是一种具体危险犯，只有对人脸等个人信息的侵犯足以危及人身、财产权利，才可以发动刑罚权。单独的人脸信息如果没有姓名等其他信息，很难对自然人的人身、财产权利造成实质损害。在涉及人脸识别的相关犯罪中，侵犯公民个人信息罪与计算机犯罪、网络犯罪、财产犯罪都不能进行数罪并罚。通过人脸识别骗取财物，机器不能被骗的理论应当被扬弃。法治必须对数据利维坦保持足够的警惕，对人脸识别的规制主要依赖于其他法律体系的治理，刑法应该保持必要的谦抑与节制。     

数字足迹的规范属性与刑事治理

数字足迹是动态的数据信息，具有非竞争性和非私密性。根据指涉场景的不同，可以分为虚拟数字足迹和物理数字足迹。随着算法技术的应用发展，数字足迹日益呈现出“私人法益”和“公共法益”的二元向度，并在此基础上延展出多项细分的具体法益。数字足迹的法益类型预设了相应契合的治理模式：以“信息”为导向的刑事治理模式，需要科学界定公民个人信息的法益内容和具体范围，确立数据财产权的保护规范；以“数据”为导向的刑事治理模式，则需要增加确保“数据安全”“数据流转”的规范供给，建立逻辑统一、条文严谨的规范体系。侵犯公民个人信息罪的司法适用应当限于实质侵害信息自决权的行为，数据流转下的数据财产权保护唯有在实质侵害公民信息自决权的场合方可纳入规制范围。     

非法使用个人信息行为入刑的立法构思

非法使用个人信息行为是指违反国家有关规定，使用公民个人信息，情节严重的行为。该行为通常有冒用型、擅自使用型、伪造、变造型三种客观表现形式。大数据时代背景下，将非法使用个人信息行为入刑具有正当性、必要性、可行性。《刑法》第253条之一侵犯公民个人信息罪能够囊括非法使用个人信息行为这一新类型，不宜再单独为其设置一个新罪名。在侵犯公民个人信息罪内部，宜将非法使用个人信息行为单独作为一款加以设置。在罪状方面，应当明确前置规范的范围、非法使用行为的边界以及罪量上的要求。在刑罚方面，非法使用个人信息行为的法定刑应适当高于非法提供、非法获取两种行为类型。     

“非法获取型”侵犯公民个人信息罪的认定

侵犯公民个人信息罪主要包括“非法获取”与“非法提供”两种情形，应当基于法益保护目的，结合信息网络犯罪的特点审查判断证据，认定犯罪事实。非法获取公民个人信息行为往往是信息网络违法犯罪的发端，对其从严打击符合网络犯罪前端治理的需求；根据社会一般观念，行为人辩解的获取方式不具有合理性时，应当排除该辩解，把不具有“合法性”的“非法持有”推定为“非法获取”具有实践合理性；当前理论上有对“非法获取”进行扩大解释的观点，应当通过对获取、使用方式等“合法性”“合理性”的认定来制约“非法获取型”侵犯公民个人信息罪的不当扩张，实现打击犯罪与保障人权的平衡。     

非法获取计算机信息系统数据罪的规范结构与罪名功能——基于案例与比较法的反思

通过对非法获取计算机信息系统数据罪的案例法考察和域外法阐释,可以发现,其核心涵义指向侵犯数据机密性的情形和侵犯数据可用性的情形。其原因是机密性和可用性的规范结构导致该罪成为口袋罪:在罪名上,与人身安全、财产安全等多个章节的罪名产生交叉重合;在保护的利益上,不仅涵摄我国《刑法》其他章节所保护的法益,而且溢出整个刑法典,保护信息的时代重要性日益凸显、其他权益日益频繁地受到侵害。面对这种庞杂的规范结构,需要进行网络时代罪情、刑法基本原则的权衡考量,达致刑法规范的明确性与合理性。新的罪名标签“非法获取数据致损罪”,适应了双层社会虚实同构的态势、数据和利益在双层空间不断协同的复杂行为模式,是在刑法规范中嵌入网络风险控制的法律机制,有助于系统完善网络风险的治理格局。     

完善侵犯著作权罪立法若干建议

侵犯著作权罪是知识产权犯罪类型之一。自1997年侵犯著作权入罪以来,我国打击知识产权犯罪的力度不断加强。在实践中,司法解释在惩治侵犯著作权罪、充分发挥刑法保护著作权方面发挥着主导作用,然而保护著作权刑事方面的立法明显滞后,侵犯著作权罪需要在立法上扩大保护范围,完善罪名、罪状和刑罚设置。     

“以刑制罪”视阈下财产罪保护法益的再认识

对81个"非法取回本人所有而被他人合法占有的财物"样本案例的定罪、量刑、犯罪数额认定的考察发现,原则上只有造成占有人财产损失的才会以财产罪定罪,而若判处财产罪会导致量刑畸重,所以,样本判决限制财产罪的适用和犯罪数额的认定以实现量刑轻缓。本文认为,优先考虑量刑合理的"以刑制罪"忽略了定罪的准确性,易消弥财产罪之间、财产罪与其他罪之间的界限;部分判决量刑畸轻、犯罪数额认定混乱、判决书说理不一;样本判决"以刑制罪"有其实践理性,但缺乏必要的规范约束易导致乱象。由此反思我国刑法对财产罪的定量立法模式,较重的法定刑是导致"以刑制罪"的根本原因。立法赋予量刑更大的裁量空间将有助于缓解司法上的"以刑制罪",也有助于对包括占有权在内的财产法益的全面保护并实现罪刑均衡。     

侵犯公民个人行踪轨迹信息犯罪情节的认定

伴随着当代网络信息技术的发展,侵犯公民个人信息犯罪案件持续高发,有的甚至严重危害公民人身和财产安全。行踪轨迹信息与人身安全紧密相关,根据我国刑法相关规定,出售或者提供行踪轨迹信息,被他人用于犯罪的,属于“情节严重”;造成被害人死亡,属于“情节特别严重”。办理侵害公民个人信息罪案件,要发挥检察机关立案监督、侦查监督、审判监督职能,精准研判证据,严格法律适用,同时贯彻宽严相济刑事司法政策,确保罚当其罪,有力保护大数据时代下公民个人信息安全。