在互联网技术和大数据技术双重作用下,信息数据的价值开始凸显,金融信息的内涵和外延都产生了变化,引发新的刑法需求。金融信息不仅关系到金融消费者和金融企业的个体安全,还会直接影响公共安全和国家安全。而针对目前金融信息的犯罪模式和犯罪趋势,重新审视和完善现有刑法制裁体系,是大数据时代刑事法律所必须回答的问题。
侵害金融信息的犯罪类型梳理
金融信息一直是信息数据犯罪的主要犯罪对象,金融信息泄露,会使金融信息安全背后所蕴藏着的巨大社会财富、公共福祉和国家利益受到严重侵害。侵害金融信息的犯罪行为整体上可以分为前置行为、实行行为和后续行为三种类型。
侵害金融信息的前置行为。在大数据时代,绝大部分情况下,金融信息是非公开的,而是储存在金融消费者和金融机构的计算机信息系统之中,并采取了多重的技术防护举措。因此,行为人实行侵害金融信息的实行行为之前,必须通过一定的违法犯罪方式获得非法接触金融信息的可能性,例如,非法侵入、控制、破坏计算机信息系统,此类行为属于侵害金融信息的前置行为。在互联网犯罪逐渐形成产业化,分工日益复杂化的背景下,侵害金融信息的前置行为开始具有独立性,例如帮助他人非法侵入、非法控制、非法破坏金融计算机信息系统,使他人能够非法获取金融信息的行为,目前已然成为数据犯罪产业链的关键一环。
侵害金融信息的实行行为。侵害金融信息的实行行为,是指直接指向金融信息,侵害金融信息安全的行为。具体来看,侵害金融信息的实行行为可以分为三种类型:其一,非法获取金融信息的行为,包括非法从消费者计算机信息系统中获取和从金融机构信息系统中获取两种情形。其二,非法破坏金融信息的行为,是指对金融信息进行删除、修改等操作,导致金融信息混乱的行为,而由于金融信息中大量信息内容同金融安全紧密相连,删除、修改上述信息会直接破坏金融安全。其三,非法滥用金融信息的行为,是指合法获得、储存金融信息的机构和个人,非法滥用其储存管理的金融信息的行为。部分机构和个人负有管理金融信息的职责,但其并不直接享有金融信息的所有权,随意处分其所管理的金融信息,严重危害金融安全,同样具有严重的社会危害性。
侵害金融信息的后续行为。在大数据时代,金融信息具有重要的价值属性,金融信息在被非法获取、非法破坏和非法滥用之后,往往会引发侵害金融信息的后续行为,这是金融信息犯罪产业链的最后一环,具体来看,可以分为三种情形:第一,非法交易金融信息的行为。当前,众多金融信息在黑市中明码标价,行为人出于各种目的,非法出售和购买大量的金融信息,使金融信息不断地流转,给金融安全带来长期危害。第二,侵害金融消费者财产犯罪,在获取、控制金融信息后,行为人开始利用金融信息实施后续的盗窃、诈骗、敲诈勒索等财产性犯罪,直接侵害金融消费者的财产安全。第三,利用金融信息实施的其他犯罪。在大数据背景下,金融信息不仅具有交易价值和财产价值,金融信息中包含着其他的价值属性,例如获得金融消费者的金融账户身份认证信息后,行为人会利用该信息同其他平台账户进行比对,俗称“撞库”行为,可以获得如邮箱账号、社交账号等非金融领域信息,进而利用上述信息实施多样化犯罪。
金融信息刑法保护面临的挑战
在人类社会发展的历史长河中,不断涌现出新技术,但是,由于大部分新技术只是带来了犯罪工具的更新,并未对刑法罪名体系造成严重的冲击,刑事立法可以保持相对的稳定性。整体来看,主要在两种情况下会引发刑法变革:其一,新技术催生了新的重要法益,引发法益保护的新需求。其二,新技术改变社会运行模式,传统犯罪行为异化,刑事法律无法有效评价,传统法益的保护出现严重缺失。信息安全的关注点正在经历着“计算机信息系统”保护到“公民网络个人信息”保护,再到“人与数据”保护的转变。刑法理应对大数据进行充分的保护,然而,在面临着时代发展带来的新的法律挑战时,目前的金融信息安全刑法保护体系暴露出了法律准备的严重不足。
首先,大数据技术引发金融信息数据独立保护需求。大数据最为核心的特征是,以“量”取胜,组成大数据的每一个零散数据,都有价值,但其价值只能达到一定的数量层级,并依托合理的分析方式,才能实现。而我国目前对于信息的保护所强调的是“质”,只有直接体现重要利益的信息,才被保护,对于计算机数据的保护是依托于其直接相连的“利益”,计算机数据并未被视为独立的法益。因此,当前刑法体系中对于金融信息安全的保护,保护的并不是金融信息数据,而是金融信息数据背后的财产权益,这也直接导致了对于金融信息安全保护的不全面。在大数据非线性思维模式下,同一个大数据集中同时蕴含着个人隐私数据信息、商业财产价值信息、公共利益信息,而获得何种信息则取决于对大数据分析的方式,传统的计算机数据刑法保护中首先判断计算机数据性质的思维模式,已然难以维系。
大数据已成为一种新型的重要法益,它不再依附于传统法益,而是具有自身的独立价值属性。在个人层面,大数据收集同个人隐私权密切相关,体现着个人数据隐私权益;在社会层面,大数据开始了商业化,体现着财产权益;在国家层面,大数据还具有了公共属性(国家事务属性),特定的大数据中包含着对国家政治、经济等具有重要价值的信息,体现着国家利益。因此,大数据法益是隐私权、财产权和公共利益混合的一种新型法益,引起了新的刑法保护需求。
其次,大数据带来传统犯罪异化挑战。大数据将包含大量不同性质的计算机数据整合在一起,改变了人们获取信息数据、利用信息数据的方式,传统金融信息安全的刑法保护正在受到严峻的挑战。非法获取一般公众的大量信息,例如姓名、生日、近亲属姓名、车牌号等信息,可以推断计算出特定金融平台账户信息。通过大数据分析,获取此类信息,将成为金融信息犯罪的全新趋势,但是如果没有直接侵害上述特定信息,只是利用了信息的相关性,对此,原有的罪名体系显然无法适用,对其进行制裁。
值得注意的是,信息时代社会发展变化的速度远超以往任何时代,大数据目前已经被广泛运用到各个领域,建构新的大数据刑法保护体系已经刻不容缓,由此可以避免大数据领域成为“无法空间”。
金融信息犯罪刑事司法制裁完善思路
大数据技术带来了社会运行机制的变革,刑法亦需要进行一定的调整实现更新,但并不意味着刑法相关罪名需要完全推倒重来。基本的法律原则、法律理念、法律关系并不会因为信息时代的技术创新和数据集中而颠覆,现有的罪名依然有较大的潜力,对于计算机数据刑法保护的完善,司法途径是首要的选择。
非法获取计算机信息系统数据罪的重新解释。为了实现对计算机数据的保护,刑法设定了专属罪名和特定信息数据罪名。而特定信息数据罪名由于在立法之初,就限定仅保护特定性质的计算机数据,例如个人信息、商业秘密、国家秘密等,因此无法实现大数据时代对金融信息数据全面保护的需求,亦无进行扩大解释的空间。而作为专属罪名的非法获取计算机信息系统数据罪,作为专门保护计算机数据的罪名,适用的领域相对更加广泛。但现有的问题是《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(下称《解释》)中将本罪成立的“情节严重”限定为犯罪对象“身份认证信息”,导致了司法实践中对于不属于“身份认证信息”的金融信息数据鲜有被纳入本罪的制裁范围。实际上,《解释》中亦规定了“其他情节严重的情形”作为兜底型条款,那么目前的关键在于,能否将全部的“计算机数据”都解释为“计算机信息系统数据”?
结合《解释》中对“计算机信息系统”的界定,“计算机系统数据”,应当是指具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等设备中存储、处理、传输的全部数据。应当说,我国刑法中的计算机信息系统数据罪已经基本可以涵盖所有的计算机数据。计算机数据和计算机信息系统数据两个概念基本上是一致的,通过非法获取计算机信息系统数据罪制裁全部非法获取计算机数据的行为,并不违背罪刑法定原则。
因此,需要改变过去司法实践中的线性思维模式,不再根据数据的性质进行保护,而是基于大数据时代的要求,通过对非法获取计算机系统数据罪中的“情节严重”进行重新解释,增强从量的规定性上对数据进行保护。
金融信息刑法保护的立法完善
《刑法修正案(九)》增强了信息数据保护,但在一定程度依然未能跳出根据信息数据性质进行保护的线性思维,有必要对侵犯公民个人信息罪等罪名进行微调。
比如,对于侵犯公民个人信息罪的微调首先体现在对于数据类型的规定上,应当将现有的“个人信息”调整为“信息数据”,实现对于信息数据的全部保护。大数据时代,数据保护的中心是计算机数据,但是鉴于法律规定的一致性和延续性,并且考虑到立法的弹性和适用周期,此处依然使用“信息数据”这一计算机数据的上位概念,确保包括金融信息数据在内的全部数据都得到有效保护。同时,对于“信息数据”所有权的主体,亦应当进行一定的扩充,不再限定为“公民”自然人,而将“单位”的信息数据同样纳入到保护范围。
此外,鉴于信息数据同隐私权、财产权、商业秘密等一系列重要利益密切相关,调整后的侵犯公民个人信息罪罪名,不适合再放置在刑法分则第四章侵犯公民人身权利、民主权利罪中,将其置于分则第六章作为刑法第285条之一,更加符合刑法分则的罪名体系规则。这样,修正后的侵犯公民个人信息罪将作为基础性罪名,而现有的非法获取计算机信息系统数据罪,将作为新增罪名的特殊罪名,对信息数据实现差异性保护。
(作者单位:中央民族大学法学院)
