数据刑法保护的比较考察与体系建构

德国通过附属刑法和核心刑法所建立的二元数据刑法保护模式,在体系架构、法益定位、构成要件设置等方面具有启发意义.个人数据犯罪虽具有现象层面的公共性和社会性,但保护法益仍然是作为个体法益的个人信息权.侵犯公民个人信息罪的行为类型不宜局限在数据流转过程中的非法获取和提供,而应有条件地将犯罪产业链下游的非法使用、处理行为纳入.一般数据犯罪的应然保护法益是数据主体对一般数据的形式支配权限,以及对一般数据的私密性、完整性和可用性利益.我国一般数据犯罪的罪名无法实现对上述法益的独立性、完整性、体系性保护,其存在结构错位、保护不周等问题,应从国际视角出发对相应构成要件进行完善与调整.     

非法使用公民个人信息行为的刑法规制

在非法使用公民个人信息行为如何纳入刑法规制的问题上，存在解释论与立法论、合设模式与分设模式、重罪模式与轻罪模式的选择。非法使用公民个人信息行为是指不存在公共利益、突发公共卫生事件、紧急情况等法律法规规定的特定情形，行为人违反法律法规规定的知情同意规则或者个人信息处理的目的、方式，使用已经掌握的他人个人信息实现其特定目的的行为。该行为与侵犯公民个人信息罪等涉个人信息犯罪的构成要件行为(流转行为)不同质，且侵犯的法益具有独立性，故不能通过刑法解释而应通过刑法立法将其入罪。非法使用个人信息行为侵害的法益是个人信息使用决定权，不同于侵犯公民个人信息罪的保护法益(个人信息流转决定权),其社会危害性程度也与侵犯公民个人信息罪有别，不宜将其作为侵犯公民个人信息罪的行为类型予以规制，应对其单独设罪配刑。非法使用个人信息行为入罪配刑应采重罪模式还是轻罪模式，应考虑行为的社会危害程度、刑法分则已有的立法逻辑等因素。基于我国刑法针对特定对象的非法使用行为入罪配刑的立法逻辑等考量，对非法使用个人信息行为入罪配刑宜采轻罪模式。     

数字经济时代我国数据犯罪刑法规制的挑战与应对

数字经济时代我国数据犯罪的新趋势体现为大型场景下对企业公开数据的批量抓取、使用，由于当前我国缺乏成熟有效的数据访问规则，加之大数据反垄断的公共政策需求，使得我国数据犯罪的刑法规制面临新挑战。对此，应从数据犯罪保护法益着手，摒弃传统“计算机信息系统安全”法益，重视“数据利用安全”法益（可控性）对传统“数据安全”法益（数据保密性、完整性、可用性，CIA）的补强意义，确立以“消极防御+积极利用”为核心的全新“数据安全”法益。未来我国数据犯罪的刑法规制应建构“以权限为中心”的数据访问规则，并适时增加反垄断的公共政策考量，将获取企业公开数据的行为出罪化，以适应数字经济的发展需求。     

非法获取计算机信息系统数据罪的限缩适用——兼论数据犯罪的法益侵害

数据蕴含的巨大价值引发了非法获取数据犯罪的刑法适用问题。本质上,该问题是非法获取计算机信息系统数据罪不法争议的外在表现与必然结果,解决的根源在于梳理获取数据的行为对象与样态,进一步解释数据安全法益的内涵。理论界对数据技术属性提供刑法保护以及法益独立化保护的主张,体现了刑法技术化倾向,与法益证成标准及法益理论初衷相悖。妥当的解释路径应当是将数据犯罪的刑法性法益定义为个人法益、公共法益或者国家法益的传统法益,行政法层面数据安全管理秩序法益只能作为先法性法益影响数据犯罪的量刑,以调和刑法保障性与谦抑性之间的紧张关系。基于此,非法获取计算机信息系统数据罪的适用方案应当是坚持本罪“法益保护传统化”的限缩适用以及“具体危险犯”的妥当适用标准。     

数据安全刑法保护扩张的合理边界

《数据安全法(草案)》的发布是数据安全作为独立法益的立法宣示,基于数据安全对个体利益、公共安全和国家安全的重要价值,刑法有必要将其纳入保护范围。现行刑法对数据安全的保护是通过制裁信息犯罪间接实现的,由于刑法视阈下的信息和数据存在着本质性差异,未来刑法必然要建立新的数据犯罪罪名体系,实现数据安全领域刑法保护的大规模扩张。为了避免刑法扩张演化成违背谦抑性的公权力滥用,必须进行"合边界性审视",确保其不会突破刑法自身的边界。由于数据安全法益自身无法通过"法益原则"实现刑法边界划定功能,有必要引入"广义危害性原则",在数据安全领域的刑法保护扩张之前,划定扩张的合理边界。     

论《网络安全法》对个人信息刑法保护的新启示——以两高最新司法解释为视角

《网络安全法》的出台对侵犯公民个人信息犯罪的实体规范产生了很大的冲击和影响,引发了个人信息刑法保护的新问题,如刑法能否为匿名个人信息提供保护;刑法应否将非法收集、使用个人信息行为入罪化;刑法应否为个人关键信息提供特殊保护等,2017年5月8日两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对这些问题作出了不同程度的回应.同时,《网络安全法》与该《解释》的出台也使刑法对个人信息刑法保护的传统问题变得更加突出,主要是罚金与罚款衔接不顺以及相似罪名的司法解释矛盾突出.《网络安全法》不是针对个人信息保护的专门立法,我国对个人信息保护的立法还是一项未竟的事业.刑法在应对网络信息数据犯罪的过程中,还要不断完善和解释刑法规范的自有规定.     

数字时代著作权刑法保护的机制向度——兼论从回应到预防的范式演变

通过对著作权犯罪立法规范与司法适用的实证考察发现,我国以往灭火式被动回应的刑法规制存在着过度扩张解释违反罪刑法定的基本原则、滞后的立法无法实现著作权的全面保护等弊端。数字时代著作权的刑法保护理念应进行从被动回应到主动预防的范式转换,保护范围应从关注核心到覆盖边缘。完善路径是在司法层面上,区分不同类型的网络服务提供商进行规制;在立法层面上,应对商业性提供规避手段的“预备行为”进行犯罪化,增设“向他人提供非法规避技术保护措施的设备、服务罪”。     

非法利用个人金融信息行为刑法规制强化论

基于非法利用个人金融信息行为凸显的严重社会危害性、惩治侵财犯罪上游行为的需要，以及推进我国信息网络化发展的需要等，应强化对非法利用个人金融信息行为的刑法规制。然而，现行刑法尚未突出对非法利用个人金融信息行为的规制，也未与个人金融信息保护的行政法律法规相衔接；当前对非法利用个人金融信息行为的刑事司法规制也尚存定罪量刑缺乏统一性的突出问题。对此，在立法层面，应增设非法使用个人金融信息罪，并完善相关民事法律和行政法规；在司法层面，应调整司法解释对“情节特别严重”的倍化标准规定，增设目的要素不同情况下的法定刑升格标准，并在对“以其他方法非法获取公民个人信息”的司法解释中增加列举未尽之意的表述。     

数据状态安全法益的证立与刑法调适

刑法中数据和信息的保护对象混淆,是数据法益依附性和独立性学说所反映的共同性问题,也是我国数据犯罪治理的理论和实践出现问题的主要原因之一。依据前置法指引,数据状态安全法益是指网络环境中的数字序列能够被有效保护、合法利用以及具备持续安全状态能力的一种独立利益类型,其与信息内容安全法益的概念相对,是数据法益独立性的实质体现。数据状态安全法益的确立,具有数据和信息的性质区分论、数据和信息的价值区分论、数据法益目的区分论、技术运作层面的固有区分论等多重依据。依据数据状态安全法益的指引,刑法可以从行为要素界分、行为类型增设、行为性质和结果要件等方面进行立法调整;从行为评价、入罪标准排除等方面予以司法调适。     

个人信息保护法与侵犯公民个人信息罪的衔接机制

《个人信息保护法》是数字时代的前沿性法律,具有前置法、不完整领域法、不真正附属刑法的特征,与《刑法》中侵犯公民个人信息罪的规定存在时差。为了有效融通规范之间的衔接鸿沟,需要将《个人信息保护法》嵌入侵犯公民个人信息罪的出入罪适用流程。在入罪衔接机制上,将两法中的个人信息范围作统一理解,避免犯罪圈的扩张化;将前置法关于个人信息的类型划分和处理设置,作为解释侵犯公民个人信息罪构成要件的方向,以实现罪刑均衡和法律衔接。在出罪衔接机制上,《个人信息保护法》上的“同意”因法益阙如而阻却刑事违法,其余《个人信息保护法》上的正当化事由均因法益衡量原理阻却刑事违法,相应正当化事由可分别归入刑法教义学上的正当业务行为、紧急避险、法令行为,而合理处理已公开个人信息应成为数字时代独立的新型违法阻却事由,前述事由可在个人信息分类场景下为相关行为出罪。     

网络传授黑客技术行为的入罪化探析

网络传授黑客技术的行为日益泛滥,且形式多样、内容丰富,具有极大的社会危害性,有必要对其予以刑法规制.但是司法实践中却面临着无法可依的困境,以传授犯罪方法罪或者特定计算机犯罪共犯(帮助犯)论处都存在不少问题,以提供专门用于侵入、非法控制计算机信息系统的程序、工具罪论处也不符合罪刑法定原则.本文指出为规制网络传授黑客技术行为,有必要完善刑事立法,增设专门罪名.     

略论我国《刑法》新增设的人体器官犯罪

近年来，我国非法贩卖人体器官危害行为日益呈现组织化、专业化和智能化的特点。由于打击非法出卖人体器官行为的立法不够完备，我国有关人体器官危害行为日益猖獗。基于此，我国国家立法机关在《刑法》中增设了人体器官犯罪，设置了组织出卖人体器官罪，并对相关犯罪行为以故意伤害罪、故意杀人罪和盗窃、侮辱尸体罪论处，掀开了《刑法》对相关法益和法秩序保护的新篇章。     

论中国网络空间犯罪立法的本土化与国际化

网络空间犯罪是计算机犯罪、网络犯罪在网络平台时代的新相态,为了有效打击网络空间犯罪,中国刑法既要坚持本土化发展,也要借鉴国外立法的成功经验,积极推动国际社会相关立法协调一致。计算机数据和信息系统安全是独立的公共法益,应当给予全面的刑法保护。惩治网络化的传统犯罪应当坚持科学防控和法治原则,避免以刑代管,更不应突破法律规定解释立法。妨害信息网络安全管理秩序犯罪是独立的、具有"积量构罪"特征的正当立法,司法适用中应坚持独立适用和实质正当原则,合理缩限解释构成要件要素,对情节要件进行必要的类型化。充分保护个人信息符合中国国家利益、公共利益和公众利益,应在平衡个人信息法律保护和合法利用的基础上,为公民个人信息提供更全面的法律保护。     

生成式人工智能的刑法规制问题研究

利用生成式人工智能实施诈骗等犯罪的定性较为复杂,实现生成式人工智能提供者与使用者的相关行为合理的刑法规制需要区别对待。针对生成式人工智能提供者,因无法适用《刑法》第285条第3款、第286条之一以及第287条之二,合适的做法是依据新过失论对其适用过失责任,同时通过立法明确生成式人工智能提供者的责任依据;针对生成式人工智能的使用者,因《刑法》第253条之一无法评价“合法获取、非法使用”的情形,使用者不构成侵犯公民个人信息罪,但其使用行为可构成非法利用信息网络罪,若构成非法利用信息网络罪与诈骗罪的牵连,应依据处罚较重的罪名定罪处罚。     

数字足迹的规范属性与刑事治理

数字足迹是动态的数据信息，具有非竞争性和非私密性。根据指涉场景的不同，可以分为虚拟数字足迹和物理数字足迹。随着算法技术的应用发展，数字足迹日益呈现出“私人法益”和“公共法益”的二元向度，并在此基础上延展出多项细分的具体法益。数字足迹的法益类型预设了相应契合的治理模式：以“信息”为导向的刑事治理模式，需要科学界定公民个人信息的法益内容和具体范围，确立数据财产权的保护规范；以“数据”为导向的刑事治理模式，则需要增加确保“数据安全”“数据流转”的规范供给，建立逻辑统一、条文严谨的规范体系。侵犯公民个人信息罪的司法适用应当限于实质侵害信息自决权的行为，数据流转下的数据财产权保护唯有在实质侵害公民信息自决权的场合方可纳入规制范围。     

侵犯公民个人信息罪中个人信息的界定与法益侵害分析

侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差，应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法，在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全，而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。     

网络时代的刑事立法

刑法必须敏感地应对网络时代的各种变化。但是,面对网络时代的新型犯罪时,能够通过刑法解释路径予以应对的,就不需要采取刑事立法路径。在采取刑事立法路径应对网络犯罪时,没有必要也不应当制定所谓“网络刑法”;当下应当在刑法典内,分别采取增设条款或者在既有条款中增设行为方式与行为对象的立法模式规制新型犯罪。在增设新罪时,必须坚持法益保护主义。作为刑法保护对象的法益,其内容总是随着社会的发展而不断变化。其中,有些利益以前没有受到刑法保护甚至没有被认为是一种利益,现在需要由刑法保护时,就成为一种新型法益;有些已经受到刑法保护的传统法益,在网络时代增加了新的内容（利益）,外延发生了变化,且受到了新的侵害;有些利益原本属于传统法益,国外刑法与旧中国刑法都予以保护,但我国现行刑法没有予以保护,且这种传统法益在网络时代受到了新的侵害。以上三个方面,都是网络时代的刑事立法需要高度重视的内容。     

论人脸识别刑法规制的限度与适用——以侵犯公民个人信息罪指导案例为切入

如果国家无意用刑法手段规制公权力组织滥用人脸识别的现象，那么从刑法面前人人平等的原则出发，对于个人滥用人脸识别的行为就必须慎用刑事制裁措施。法秩序统一性原理主要强调的是刑法的补充性，它必须受制于刑法的独立性。侵犯公民个人信息罪是通过保护公民的个人信息来捍卫信息所承载的人身、财产权利。它是一种具体危险犯，只有对人脸等个人信息的侵犯足以危及人身、财产权利，才可以发动刑罚权。单独的人脸信息如果没有姓名等其他信息，很难对自然人的人身、财产权利造成实质损害。在涉及人脸识别的相关犯罪中，侵犯公民个人信息罪与计算机犯罪、网络犯罪、财产犯罪都不能进行数罪并罚。通过人脸识别骗取财物，机器不能被骗的理论应当被扬弃。法治必须对数据利维坦保持足够的警惕，对人脸识别的规制主要依赖于其他法律体系的治理，刑法应该保持必要的谦抑与节制。     

开放的中国数据刑法体系之建构——基于本体法益与功能法益的区分

现行关于数据刑法体系的探讨执着于从立法论上设计一套周延的数据罪名体系，在研究方向上误入歧途。数据法益具有本体和功能的二元结构，数据犯罪包括数据本体犯罪和数据功能犯罪两大体系。数据功能犯罪体系具有开放性，总是随着数据不法行为的发展而变化，难以周延。数据刑法的重心在于数据功能犯罪体系，应通过解释论之方法，从数据作为手段、数据作为对象、数据作为结果三个维度持续实现对数据不法行为的功能性关联，不断根据数据不法行为的发展而认定与之相应的数据功能犯罪。对撞库、网络爬虫、外挂、流量劫持等数据不法行为的定性，除了认定非法获取计算机信息系统数据罪，提供侵入、非法控制计算机信息系统程序、工具罪等数据本体犯罪，还应认定侵犯公民个人信息罪、盗窃罪、破坏生产经营罪等数据功能犯罪。单一数据不法行为触犯数据本体罪名与数据功能罪名的场合，属于想象竞合，从一重罪处断但应作数罪宣告；复数数据不法行为触犯数据本体罪名与数据功能罪名的场合，数据功能犯罪的特定实害无法吸收数据本体犯罪的多元危险，属于实质数罪，应当数罪并罚。     

非法利用公民个人信息行为的刑法应对

非法利用公民个人信息行为具有严重的法益侵害性且民事、行政法律法规无法有效防范,因而具有刑事规制的必要性.但当前我国刑法并未直接规制该行为,而是采取"被动性附随打击"进路,以期通过惩处关联犯罪而取得打击非法利用行为的附属效果.这种进路具有未单独评价非法利用行为、过度依赖关联犯罪、部分情况下导致罪刑失衡的固有缺陷,因而需要...