探索大数据时代网络秩序治理的刑法规范

探索大数据时代网络秩序治理的刑法规范

蒲莹帆

（四川大学，四川成都610200）

摘要：我国现有刑法是传统工业社会的立法模式，随着大数据时代的到来和各种网络技术的发展，面临已经形成庞大非法数据交易规模，以及严峻社会危害的下游犯罪，司法机关展开了严厉的打击工作。但是，现行刑法在解决大数据的问题上，有其法律制度滞后于技术变革和社会发展的天然劣势。本文立足于当前的时代语境，从新兴技术特点和数据黑产链条上的犯罪行为特质出发，详细剖析刑法体系的不足之处：如行为规制和法益概念的狭窄范围等。并探讨提出可能的立法思维建议，探索构建响应现实需要的网络空间秩序治理体系。

关键词：大数据；信息；网络秩序；犯罪；制度滞后；刑法完善建议

大数据是我国近年来热度最高的技术词语之一，数据化的信息存储、传递和应用方式，突破式地为社会经济的发展提供了全新的土壤和轨道。电子数据开始成为一种具象的商业资源，许多互联网和云平台运营相关企业，都承认数据是公司的资产，甚至是产业价值评估占比非常大的一部分。无可置疑数据是可以变现的，配合上物联网、人工智能、神经网络算法等新技术，当今的网络空间中时刻都有海量信息充斥流转。巨大利益滋生下的数据非法利用，逐渐形成了一条完整的行业黑产链条——从数据采集、加工、流转、应用，再到沉淀为非法数据库维持长期盈利。

我国法律制度相对于科技发展的滞后性也凸显出来。现有刑法体系亟需结合大数据时代的种种变革，从现实出发，剖析网络生态系统的各个环节所存在的安全风险及隐患，继而理顺自身内在逻辑和价值取舍、完善立法文本和精神贯彻。如何适应当前时代社会生产、交往方式的根本性变革，实现对数据空间的规范治理，是本文的核心探讨问题。

一、基于大数据技术的违法行为及危害分析

大数据技术的集中存储、高度整合、飞速扩散、无限复制等特点，使传统的信息犯罪对象（个人隐私、商业机密、国家情报等），以全新的方式汇聚流转在多环节的数据运营系统中。相关的违法行为既涉及直接的非法数据流通流转（采集、贩卖、购买、恶意泄露、黑客窃取等），自我国近两年开始全国范围内打击网络犯罪起，逐渐付出水面的数据黑市规模总量超千亿元，同时又间接为猖獗的下游犯罪提供了集成高效的渠道便利，包括精准诈骗、勒索、暴力催收等。

从技术层面看，大数据时代，信息资源的处理从单机的静态数据库分析逐渐演变到依托互联网的平台式分析，从产生到实现价值的动态过程，包含了数据收集、存储、运算分析、筛选脱敏（脱敏即去个人化、去隐私化）、分级建库、实用转化等多个环节，每一个环节和流通端口都面临着数据法益被侵害的可能性。数据黑产领域主要包括逐利而生的违法商业模式，以及合法企业所面临的黑客入侵盗取和行业“内鬼”私卖流转等。

商业模式本身的问题存在于：

1)数据获取和集成没有经过主体授权，以网络爬虫的方式自动抓取用户信息，并在开放的网络系统中向各个端口传送共享；

2)数据使用和变现方式没有取得主体同意，比如将地图导航获取的位置和行程信息用于精准酒店、景点等信息推送骚扰；

3)加工处理没有达到脱敏标准而导致主体隐私和商业秘密等泄露；

4)主要盈利方式即为非法变现用户数据，如北京瑞智华胜科技公司2018年被曝光利用其合作的电信运营服务器的远程登陆权限，盗用客户数据进行精准营销。

而黑客和公司“内鬼”对数据的窃取更是无孔不入，时至今日，互联网和服务器、平台运营公司等商业体，以空前规模掌握着现代社会的各项数据信息，人们的生活也逐渐进入了现实场景与虚拟空间逐渐同步的时代。与日常生活紧密相关的商业平台、社交网络、邮件、微博、电子商务等，无一不是数据信息泄露的危险地带。

2018年华住酒店集团被黑客侵入内部系统进行“脱库”（即数据库信息被全部盗走），被盗用户数据高达5亿条；同年顺丰物流、智联招聘等知名公司，被查获有内部员工倒卖客户个人信息。更多掌握海量敏感数据的行业，如教育、医疗、金融等，也是黑客的重要攻击对象。

这些经过大数据技术整合后的资源总量多、准确度高、指向性明确，在开放多元的网络化社会，相互关联整合后，能够迅速完成对公民个体和其他目标的精准画像还原和变现方案定制。

2016年，山东高考考生徐玉玉因犯罪份子掌握了自己的姓名、联系方式、录取学校和奖学金申请记录等信息，对其宣称的奖学金发放说辞深信不疑，结果被骗走辛苦积攒的大学学费，导致心梗突发离世。警方追根溯源，原来是山东省普通高等学校招生信息网被黑客入侵，盗取考生精准数据信息，后又打包贩卖流通，被窃取的考生数据多达64万条。

在数据黑产市场，相对较低的行为成本，可以获得“滚雪球”式的累积收益，暴利滋生犯罪。据相关数据统计，利用互联网技术实施的诈骗、盗窃、敲诈等案件，以每年超过30%的增长率在迅速泛滥，因其社会影响范围之广，危害性之严重，必须以刑法手段来严厉打击。

二、现行刑法体系的滞后性分析

目前我国没有针对网络犯罪的单行刑法，和大数据安全问题相关的规定有：

1)计算机技术犯罪，《刑法》第285和286条规定了“非法侵入计算机信息系统罪”、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”、“提供侵入、非法控制计算机信息系统程序、工具罪”和“破坏计算机信息系统罪”。

2)传统犯罪的网络化现象，即第287条的“非法利用信息网络罪”。

3)信息侵害类犯罪，第219条规定了侵犯商业秘密罪，第253条规定的出售、非法提供公民信息罪、非法获取公民信息罪，以及相关国家秘密和情报为对象的犯罪，比如第282条第一款的非法获取国家秘密罪。

但以上类型的规范，远远不能满足新时代语境的数据生态治理需求。工业社会的传统刑法模式，对于行为的规制模式和法益的概念涵摄，都呈现出技术变革后的严重滞后性：

1)首先是技术规范方面的计算机犯罪《刑法》第285和286条规定的四个独立罪名，落脚点集中在“软件”、“系统”、“数据”三个静态的对象上，规制主要的是侵入、破坏、控制系统的行为，保护的法益是系统的正常运行及功能完整，而非数据内容本身。

只有“非法获取计算机信息系统数据“一款，指向“获取该计算机信息系统中存储、处理或者传输的数据”，但随着云技术的发展，网络节点数量的增加，类似于网页搜索、浏览痕迹、下载记录、聊天页面等非缓存信息，可以未经授权而被抓取、整合、还原主体画像等，但因其没有存储在计算机“系统”内部，则无法纳入该条的保护范围。然而正是这些与人们生产、生活密切联系的动态数据，才是大数据时代呼吁刑法规范和保护的重点对象。

2)《刑法》第287条规定的利用信息网络进行的传统犯罪，网络仅被当作一种犯罪工具来看待，比如QQ群组诈骗，虚假官方网站诈骗，犯罪模式和传统的诈骗没有本质区别，仍然是寻找特定目标完成诈骗行为，只是借助了互联网的线上平台。

而大数据时代，网络是一个多维的立体空间，完整形成了一个平行于现实场景的犯罪空间，数据不再单纯是技术处理对象，本身具有的独立价值，使其逐渐成为一项具体的需要保护的法益。比如专门用于数据抓取的cookie技术，自动记录用户身份和网络行动信息，通过云计算和人工智能算法处理，将信息转化、剔除、筛选、以及利用原有数据分析提炼出新的数据，流转在网络空间内，为网页广告推送、类型客户挖掘等各个下游需求端口定向输送。而这种模式下造成的数据违法操作，显然无法受第287条所规制。

3)与信息保护相关的刑法分则，并没有将信息本身作为保护的法益，而是在相应章节里，以市场经济秩序、公民人身权利作为犯罪客体做出规定。这些犯罪客体的明确指向，使得能够被纳入规范的信息种类和使用信息的行为方式都十分有限，根本无法涵盖大数据所涉及的安全风险和问题。

比如用户在网络空间中公开发布的资料，论坛发言、社交照片等，不能被直接界定为个人隐私，但当碎片化的信息积累到一定程度后，也能构成与“真实人格”高度贴合的“数据人格”。对这些资料集成、整合、分析、提取后贩卖盈利或用于下游犯罪，很难以现有的条文规定进行解释。而强行将一切网络数据都纳入现有的信息保护条款里，那么这个“信息”的概念又可能扩张到无所不包，反而更无法提供实际有效的保护。

综上而言，面对以海量庞杂的动态数据流为对象的犯罪模式，传统刑法缺少一个准确的概念来涵盖大数据的特色。其既不仅仅是犯罪手段、也不是简单的财产性或隐私性法益，而是一种独立的具有商业、生活、甚至政治使用价值的有效资源，在不同应用场景体现出不同的保护诉求，刑法真正需要做到的是维护网络空间的数据秩序。

三、对刑法规范改良方向的探索

我国90年代开始出现计算机犯罪，面对日新月异的技术发展、不断增加的犯罪形式与法益种类，传统刑法体系的保护力度十分有限。21世纪以来，最高人民法院和最高人民检察院陆续出台了《关于办理侵犯知识产权若干刑事案件适用法律若干问题的意见》等一系列司法解释，努力扩大分则的规范对象，以回应现实社会转变的需要。

但如上节所述，大数据的安全问题区别于传统类型犯罪的关键在于，行为本身可能并不直接导致被保护的法益受到现实危害或侵害。传统的犯罪对象：隐私、机密、财富等，都在开放的网络空间中，以大数据为载体迅速地泛化扩散，被任何一个可能的操作泄露、窃取其相关信息，再通过下游的犯罪行为完成实质侵害。

首先从立法思想看，要将传统的关注于静态的单机系统、软件的思维，向动态开放的网络空间规范进行转化。大数据时代，个人和社会组织用户均成为与网络云端直接相连的一个节点，云存储和云计算都依托于网络，工作生活中的图片、视频、网络言论、浏览痕迹、通讯内容、记录等无时无刻不在汇入到大数据的资源池当中。因此，刑法应当以云端信息系统架构的特性为背景，重塑自身的保护和约束能力。

具体而言，刑法需要做到的是打击以大数据信息为中心的非法产业链，治理和维护与现实空间同等重要的网络空间秩序。满足什么条件后服务商才可以收集零散用户的数据，分析、计算和利用的过程中有什么合理的权限，未经主体授权的网络公开信息（如论坛发言等）在实用转化中的流程和边界规定，以及数据沉淀入库后再循环使用的利益权属，这样一个完整的过程，是大数据实行立法的着眼点所在。

违反大数据秩序的行为，无论是采集还是买卖，都无法直接观测到结果，实质伤害的完成需要一个后续的现实折射过程，因此在刑法领域，需要强调更多的预防性规制功能，采取行为犯的保护模式更为合理。行为犯与结果犯概念相对，不以造成的实害结果为必须要件，当行为对法益造成足够的现实威胁时，便可纳入刑法的打击范围。另一方面，为解决现有的刑法条文在应对新生法益时无章可循的问题，立法上需要继续进一步扩展关键词，如“数据”、“网络”、“链接”等，并完善解释工作。

同时需要考虑的是，对直接的数据非法获取行为的打击，理论上和实践上都面临着诸多困难，比如企业为实现合法经营目的而进行的非法数据交易，在琐碎的日常流通环节中很难精准定位并取证。因此也可以考量从下游犯罪的制裁上，比如将规模性购入数据用于组织实施诈骗规定为诈骗罪的加重情节，反向约束和打击数据非法运作的市场积极性，从而实现对整个信息黑产链的有效规制。

结语

本文着重探讨了大数据时代网络空间治理所面临的现实困境，针对网络和云端系统的技术特性，提出刑法改良的一些思路和方向。一个重要的技术问题就是明确构成犯罪的行为要件和“黑白界线”，不至于限制商业和科技的运作发展，也不会留下立法空白和漏洞，使数据法益继续处于保护无力的境地。大数据被比喻为“未来的新石油”，甚至一个国家拥有的数据规模和转化能力，都将会成为综合国力的一部分。因此治理好我国的数据秩序势在必行，也希望互联网生态系统在刑法体系的强制下得到更完备的保护和支持。

参考文献

[1]窦万春,江澄.大数据应用的技术体系及潜在问题[J].中兴通讯技术,2013,(04):18-27.

[2]傅中力,张煌,李坡.大数据时代的国家安全与军事战略选择[J].《国防科技》,2013,(02):37-44.

[3]高铭瑄,马克昌.刑法学[M].北京大学出版社:北京,2011:108-566.

[4]何渊.大数据战争:人工智能时代不能不说的事[M].北京大学出版社:北京.2019:003-087.

[5]刘鹏,吴兆峰,胡谷雨.大数据——正在发生的深刻变革[J].中兴通讯技,2013,(04):24-35.

[6]刘之雄.刑法根据完整化上的犯罪分类——侵害犯、危险犯、结果犯、行为犯关系论纲[J].中国法学,2005,(05):66-81.

[7]吴苌弘.个人信息的刑法保护研究[D].上海:华东政法大学,2013.

[8]许秀中.网络与网络犯罪[M].中信出版:上海.2003:217-283.

[9]于志刚.网络、网络犯罪的演变与司法解释的关注方向[J].法律适用,2013,(11):19-24.

[10]张明楷.刑法学[M].法律出版社:北京.2011:684-928.

作者简介：蒲莹帆（1992.07-），女，四川省绵阳人，成都市双流区四川大学诉讼法学专业，硕士研究生。