我国数据法益的刑法定位及保护路径

随着大数据信息时代的到来,数据信息日渐成为重要资源,涉数据犯罪也日益猖獗。数据法益不单具有传统的个人人身和财产权属性,同时基于海量数据的集成化,其更具有公共属性。数据信息安全既关涉公民个人法益,更涉及集体法益,甚至关涉国家安全。目前我国刑法对数据法益的保护,主要集中于侵犯公民个人信息罪、非法获取计算机信息系统数据罪,相关法益之刑法保护明显不足。在总体国家安全观指引下,建议增设侵犯公共数据罪,逐步构建数据法益保护的刑法机制。     

个人数位足迹刑法规制的功能性偏误与修正

对个人数位足迹法律属性的认识偏颇,不仅冲击刑法教义学的体系性,还危及整体法秩序的统一。纵使在实然层面上征表多重法益,但数位足迹更当为一种计算机信息系统数据。否定数位足迹作为公民个人信息,既可有效规避法规范间的冲突,还对公民个人信息外延的限制有所裨益。未经同意而利用技术手段爬取他人数位足迹的,可构成非法获取计算机信息系统数据罪;采集数位足迹造成他人计算机信息系统严重损害的,或为破坏他人计算机信息系统而为之的,构成破坏计算机信息系统罪。用户明示或默示同意他人收集自己数位足迹的,因欠缺法益侵害性而不构成犯罪;网络服务使用者未在合理限度内管控数位足迹而造成损害的,应自我答责。     

抢劫公民个人信息行为刑法规制的困境与疏解——以樊某等抢劫微信账号密码案为切入

抢劫公民个人信息行为是指以暴力、胁迫或其他具有相当性的方法非法获取公民个人信息的行为。由于不符合等质性要求、罪名的单一法益保护与行为的双重法益侵害间存在冲突、“情节严重”标准不匹配等原因,无法将“抢劫”解释入《刑法》第253条之一第3款的“其他方法”,侵犯公民个人信息罪不适用。另外,个人信息不具备管理、移转可能性与价值性,不符合刑法上“财物”的认定标准,即使账号密码类个人信息与数据企业收集整理的结构化数据亦是如此,因此抢劫罪不适用。在当前立法尚未修改的情况下,将抢劫公民个人信息行为拆解,分类探求刑法应对方法是相对合理的选择。但在未来必要时刻,当出现大量此类行为而现行刑法无法满足规制需要时,应考虑增设抢劫公民个人信息罪,以实现对公民个人信息权益的周全保护。     

大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点

我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延。当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成“提供者—中间商—非法使用”的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳。随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处...     

法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现，成为当前刑事治理的重点领域。在司法实践中，混用个人信息与相关概念的现象屡屡发生，影响对侵犯公民个人信息罪犯罪构成要件的理解，也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象，是刑民规范聚合的必然产物。因此，应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念：在形式上，以《民法典》的相关规定为基础，采取狭义的个人信息认定方式，将个人信息与个人数据、隐私进行明确区分；在实质上，深刻把握侵犯公民个人信息罪的法益内核，个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质，从而为实现信息主体的选择权和决定权提供坚实基础。     

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,"公民知情同意"的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对"情节严重"的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。     

爬取公开数据行为的刑法规制误区与匡正

全国首例“爬虫”入刑案表现出司法实践过度规制爬取公开数据行为的现象。司法实践以技术判断为主导,扩张适用非法获取计算机信息系统数据罪。在立法规定以数据控制者的技术授权为依据认定爬取行为形式违法性的情况下,以数据的技术属性取代法律属性判断行为的法益侵害性,从而扩大本罪的适用范围。从法秩序统一原理和安全与发展并重的数据安全观来看,技术判断主导下的罪名扩张适用,不应成为刑法规制数据爬取行为的立场。相反,规制数据爬取行为应当坚守刑法谦抑性精神,将刑法规制手段的行使,限定在保护刑法已类型化规定的重要数据和维护计算机系统正常运行的范围内。其中,对于爬取刑法已类型化保护的公开作品数据行为,基于个案全部事实应受刑罚处罚的,应认定为侵犯著作权罪;对于爬取刑法未类型化规定的其他公开数据行为,不能适用非法获取计算机信息系统数据罪,但在爬取公开数据行为扰乱计算机系统正常运行且应受刑罚处罚时,可认定为破坏计算机信息系统罪。     

侵犯公民个人信息罪的法解释学释义

鉴于频现滥用公民个人信息的违法现象,致使公民人身、民主权利受到不同程度的影响,《刑法修正案(九)》对侵犯公民个人信息的犯罪予以修正.解释侵犯公民个人信息罪时,应当密切关注三个要件要素:基于法益二元观理论,“公民个人信息”既表征个人法益,也蕴含超个人法益;立足于法秩序一致性原理,“违反国家有关规定”的认定参照法律法规的明确规定或者一般性规定.至于违法性的判断,应以是否经过公民同意为实质标准;运用罪量因素理论,将“情节严重”认定为不法构成要件要素,同时对其类型化,包括行为量定的情节严重、危害后果的情节严重以及主观不法的情节严重.因而综合考察信息类别与数量、危害后果和主观目的对公民基本权利的侵害或危险,成为区分罪与非罪、此罪与彼罪的可行方案.     

论敏感信息二元同意规则的刑法构造

刑法中针对敏感信息建构同意规则的突破口在于《个人信息保护法》第32条的规定。敏感信息二元同意规则的刑法构造具备理论根据和现实基础。二元同意规则以对信息法益属性的准确厘定为前提，在信息分类的基础上通过结合一般恐惧理论对敏感信息敏感等级进行划分，最终得出针对敏感程度极高的敏感信息同意无效的结论。刑法对于高度敏感信息同意无效的情形还涉及到后续保障问题的探讨，这又可以细分为司法及立法上的双重启示。司法上的启示主要以对《刑法》第253条之一“情节严重”的解释为切入点，即对侵犯高度敏感信息行为“情节严重”的入罪判断不应当再局限于“量”的标准。立法上的启示主要以侵犯个人信息的“行为”为切入点，以《个人信息保护法》为参照进一步细化刑法中侵犯公民个人信息的行为方式，最终拟提出增设“滥用公民个人信息罪”的构想。     

爬取公开数据的犯罪性否论

爬取公开数据是否成立非法获取计算机信息系统数据罪存在争议。该问题涉及如何解释构成要素和应否发动刑罚的问题，应当立足具体罪名的保护法益和刑罚的正当性根据进行思考。非法获取计算机信息系统数据罪的保护法益是数据承载信息的保密性，公开数据因信息内容已经公开而缺乏法益保护必要性。认定爬取公开数据构成非法获取计算机信息系统数据罪，有违数据资源的分配正义和社会总和福利最大化的功利主义原理，缺乏发动刑罚的正当性。爬取公开数据不应成立非法获取计算机信息系统数据罪。     

大数据安全视角下计算机数据刑法保护之反思

大数据安全问题是信息时代刑法面临的全新挑战,在大数据技术的推动下,计算机数据的价值属性通过"量变"实现了"质变",催生了新的法益保护需求并弱化了传统法益的刑法保护效果,传统的计算机数据刑法保护体系严重滞后。重新解释非法获取计算机信息系统罪并对《刑法修正案(九)(草案)》规定进行微调,是实现计算机数据刑法保护体系完善必经的司法途径和立法途径。     

非法提供网络爬虫技术行为的刑法规制

网络爬虫技术的广泛应用已经使之成为侵犯公民个人信息的重要工具之一,为了对公民的信息权加以妥当地保护,亟需就此类行为如何施以刑法上的规制展开讨论。采用文献梳理的方法,针对性地对非法提供网络爬虫技术行为进行研究,可以发现认定提供侵入、非法控制计算机信息系统的程序、工具罪,可以有效地规制网络爬虫技术对公民个人信息的不当侵害。对提供侵入、非法控制计算机信息系统的程序、工具罪的认定需重视本罪的行为类型化要求,同时爬虫技术应用的刑法违法性判断的关键在于是否取得了被爬取方的同意。提供爬虫技术的网络帮助行为在性质上等同于帮助行为正犯化,但是需要在法益侵害性的实质上加以考察。从实质化的刑法思潮来看,应当在归责理论的视野下解释网络帮助行为的性质。     

双层社会下短信嗅探犯罪刑法规制研究

在双层社会背景下，针对短信嗅探犯罪的刑法规制陷入困局，由于保护法益范畴不明，导致无法对技术作出合理的刑法解释，并且适用的罪名存在竞合。短信嗅探犯罪的保护法益包括财产法益和公民个人信息法益，所以应该适用双重法益说。由于受双层社会场域特征的影响，短信嗅探犯罪实行行为的认定标准和刑法解释发生异化，应该基于保护公民个人信息法益来解释实行行为。在具体规制路径的选择上，应该适用盗窃罪来保护财产法益，与侵犯公民个人信息罪数罪并罚，并在量刑标准上“升维”，保持刑法谦抑性。     

大数据时代下爬取企业数据行为的入罪标准及其司法限缩

作为网络爬虫的行为对象，企业数据是表现为二进制代码的信息。基于传统权利体系的不兼容及价值冲突的双重困境，企业数据所承载的法益并非是一项权利。为衡平企业数据控制与流通，企业数据所承载法益宜理解为企业对数据的事实控制，侵犯企业数据的行为成立非法获取计算机信息系统数据罪。判断网络爬虫行为不法的核心在于对非法获取计算机信息系统数据罪构成要件行为中“非法侵入”的理解。“非法侵入”的本质是“未经授权或超越授权进入计算机信息系统”,其需要根据不同系统类型分别适用宽窄不一的代码或合同规则。当前，司法机关对企业数据承载法益的权利化理解及企业系统类型的不予区分导致爬取企业数据行为入罪的严重扩张。司法机关理应根据被害人承诺及优越利益理论，对爬取公开数据、垄断数据的行为予以出罪。且司法机关应认识到接入互联网的企业计算机信息系统系是混合型系统，并适用限缩的代码与合同规则以对无视技术合约及突破或绕过反爬虫措施的爬取行为进行精准判断。     

法益重塑与模式更新：场景化视域下个人信息刑法保护的动态转向

传统上依赖私权维护的个人信息静态刑法保护模式不仅提高了信息流动的制度成本,还导致侵犯公民个人信息罪适用僵化、不灵活,不利于信息保护与利用的平衡。场景化理论主张信息合理流动,对破解这一问题具有重要意义。场景化视域下,个人信息不是私权的客体,侵犯公民个人信息罪不应保护个人对信息的绝对控制权,而应仅保护个人信息的合理流动权。动态刑法保护模式顺应了数字社会对个人信息场景化保护的要求,能有效实现信息保护与信息利用的平衡,应予以提倡。对于侵犯公民个人信息罪的适用,在“违反国家有关规定”方面,应重新界定其实质性内涵,发挥其限制入罪的机能;在行为对象上,要扩充高度敏感信息的内涵,使其适应个人信息分级保护的需要;在情节严重的认定上,要改变其中存在的根据单一标准认定情节严重的做法,通过场景整合,实现情节严重认定的综合化。     

侵犯公民个人信息罪的认定

刑法中侵犯公民个人信息罪的认定标准应当与《个人信息保护法》相协调。在界定公民个人信息的内涵方面,应站在体系化的角度全面进行分析,可参考《个人信息保护法》对公民个人信息“二分法”的分类方式,并运用“概括+列举”式的规定,将公民个人信息分为敏感个人信息和一般个人信息。在限定“违反国家有关规定”方面,应对“国家有关规定”作限缩解释,仅包括法律和行政法规。在认定行为方式内容方面,应及时调整侵犯公民个人信息罪的行为方式内容,将更具社会危害性的合法获取个人信息后非法使用的行为,纳入侵犯公民个人信息罪的行为方式内容之中。     

大数据时代公民个人非敏感信息的刑法保护

大数据时代,公民个人非敏感信息日渐呈现出数据资源贡献与数据资源受害的双面脸谱,公民个人非敏感信息刑法保护的现实需求与日俱增.《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》通过确立公民个人非敏感信息整体保护规则、分类定罪规则、区别量刑规则,努力为公民个人非敏感信息刑法保护提供司法准据.当前务实应对公民个人非敏感信息刑法保护的实践困境,应聚焦个人信息权,在宏观层面对接国家大数据战略,深化公民个人非敏感信息刑法保护的法治认识,在微观层面立足定罪体系性标准,细化公民个人非敏感信息刑法保护的数量规则.     

公权法益观视阈下的人格法益：数字经济时代侵犯公民个人信息罪的法益续造

刑法的根本任务之一是保障人权,这一根本任务决定了侵犯公民个人信息罪所保护的法益无法超出人格法益的范畴。但问题在于,单纯人格法益的保护路径无法囊括数字经济时代个人信息的全部属性,其互动性、流通性等特性所衍生出的公共秩序保护目的可能会落空。为实现捍卫刑法人权保障的根本机能,同时回应数字经济时代个人信息应运出的公共属性,在不破坏人格法益内容的前提下,应将公权法益观与人格法益糅合,形成“以人格法益作为入罪之基础,以公权法益观作为出罪之依据”的法益续造路径。     

个人信息权法益确证及其场景化实践规则

个人信息权的语境实质是权利保护与个人信息利用二律背反的逻辑协调问题,是个人权利处分自由以及要求他人（包括国家）给予法益尊重的法律问题。在科学阐释个人信息权作为一项新型独立性权利的法理依据、理论内涵以及客体归属基础上,界定侵犯公民个人信息罪保护法益为个人信息权,明确个人信息权法益自决性立场,理性论证个人信息权一体两面的权利特征及其实践规则。方法论上将个人信息处理进行场景化审视,正确认识知情同意作为个人信息处理的合法性依据;明确相对同意作为权利主体同意的基本形态;强调真实同意作为权利主体的意思表达。原则承载价值,法律规制行为。作为二次规范法的刑法,理应在保护理念、条文结构以及罪名优化等方面给予回应,形成既具有理论逻辑自洽性亦彰显实践功能自足性的刑法结构样态。     

“控制”“获取”还是“破坏”——流量劫持的罪名辨析

流量劫持行为的刑法规制存在罪名选择的困难,依据现有判例分别采用非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪,因而选择合适的罪名迫在眉睫。流量劫持主要有DNS劫持、CDN劫持、客户端劫持、网关劫持四种模式,对于侵害法益有虚拟财产说、网络秩序说、系统安全说,其中系统安全说能够从流量劫持的整体过程出发考虑流量劫持所侵害的法益,涵盖范围最广。通过对现有的四个典型案例以及所适用的罪名的剖析比较,在罪名选择上,从行为特征、保护法益、量刑情节、指导性案例导向等多个角度出发,对流量劫持犯罪统一以破坏计算机信息系统罪加以规制更符合司法实践中的经验。