当下,互联网和信息技术迅速发展,催生了数据量和数据规模的爆炸式增长。计算机硬件的发展为海量数据的存储奠定了物理介质的基础,宽带连接的不断提速为数据的快速获取和收集提供了速度上的保证,物联网、移动互联、云计算技术的发展使数据来源的渠道得到大幅拓展,联机分析、数据挖掘、数据可视化技术的发展,为分析、应用数据提供了技术上的支撑。
由此,大数据的概念应运而生,并成为当下热词。大数据对于推动社会进步的积极作用自然无需赘述,但当我们对其前景望眼欲穿时,也需要冷静地洞察大数据背后潜藏的法律风险,而一旦在收集数据、应用数据的过程中触碰到刑法的红线,使自己身陷囹圄,则更加得不偿失。
下面,我根据自己的工作经验和对数据技术的研究,分析一下大数据时代,企业或个人所面对的三个方面的刑事法律风险。
一、对数据安全性的保障——刑法对于计算机信息系统数据的三重保护。
数据的安全性是大数据发展和应用的前提,数据安全体现于两个方面:一是保密性,二是真实性。如果数据轻易被丢失或泄露,海量的数据对于数据管理人而言将会成为沉重的负担,而非财富;如果数据的真实性无法保证,越多的数据就越有可能将人们引向错误的方向,如此,针对大数据所进行的分析、挖掘以及决策都将毫无意义。
我国刑法共设立三个罪名,构建了对计算机信息系统数据的保护体系,分别是:
(1)非法侵入计算机信息系统罪;
(2)非法获取计算机信息系统数据罪;
(3)提供侵入、非法控制计算机信息系统的程序、工具罪;
(4)破坏计算机信息系统罪。
上述四个罪名分三个层次对威胁计算机数据安全的行为进行制裁:
1、侵入行为
从法益保护的角度分析,侵入计算机信息系统仅仅对计算机数据安全构成了危险,不一定对数据安全造成实际的侵害。因此一般情况下,单纯侵入计算机系统的行为不作为犯罪处理。但是对于重要领域和要害部门的数据安全,鉴于其极端重要性,即使仅仅面临危险,法律也无法容忍。根据刑法规定,国家事务、国防建设、尖端科学技术领域,只要侵入上述领域的计算机系统即构成该罪,即使没有对数据安全造成实际的侵害。而为侵入行为提供程序和工具的行为,同样构成犯罪。
2、非法获取行为
为了保护数据的秘密性,防止数据泄露,《刑法》规定了非法获取计算机信息系统数据罪。非法获取数据的关键在于其“非法性”,“非法性”主要表现在以下两个方面:一是权利的非法性,即行为人并不具备约定或法定的获取数据的权利;二是数据取得手段的非法性,通常情况下,数据权利人、控制人并不知道其数据被他人获取;或者即使知道其数据被他人获取,也没有能力阻止这种情况的发生。
3、破坏行为
为了保护数据的真实性,防止数据被恶意删除和篡改,刑法规定破坏计算机信息系统中存储、处理或者传输的数据的行为,后果严重的,构成破坏计算机信息系统罪。其中破坏行为包括对系统数据的增加、修改、删除等
二、对数据披露与取得的规范——刑法对国家安全、商业秘密以及个人隐私的保护。
大数据的关键在“大”,在于数据的规模和数量。多数情况下,孤立、小样本的数据是没有意义的。数据量越大,我们能掌握的信息越多,就越接近真实,而且大量孤立数据综合起来所反映的信息,要远远大于每个孤立信息所能反映的信息总和。海量数据面前,各类信息愈发透明,国家秘密、商业秘密、个人隐私的泄露风险也随之加强。为此,特别需要关注大数据可能对以下几类犯罪产生的影响:
1、过失泄露国家秘密罪
对国家工作人员提出更严格的保密要求。构成该罪有两个前提,缺一不可:一是国家秘密确已泄露;二是国家秘密泄露的原因是由于国家工作人员违反国家保密法规的规定。
如果国家工作人员在不具有泄密故意的情况下,单纯违反保密法规,但未造成国家秘密实际泄露,则不会构成犯罪。在数据收集和挖掘技术相对落后的情况下,一次违规行为造成泄密的可能性较低,由此可能使一小部分涉密人员心存侥幸,为图一时便利而对相应的保密法规视而不见。但大数据时代,数据搜集无处不在,却又无声无息;数据分析技术高超,以致洞若观火。
国家工作人员违规行为导致国家秘密泄露的概率将极大提高,致使其刑事法律风险明显提升,也倒逼小部分涉密人员摈弃侥幸心理,严格遵守保密法规的相关规定。
2、侵犯公民个人信息罪
大数据时代,对个人隐私的刑法保护不断强化。2009年通过的《刑法修正案(七)》(简称《修七》)规定了非法获取公民个人信息罪,以及出售、非法提供公民个人信息罪两个罪名,迈出了刑法对于个人信息保护的第一步。2015年10月正式实施的《刑法修正案(九)》(简称《修九》)及相关司法解释撤消了上述两个罪名,增设侵犯公民个人信息罪,其实质上将原有的两个罪名合二为一。
从《修七》到《修九》,刑法对于公民个人信息的保护从无到有,由弱到强,特别是《修九》的修改,符合大数据时代对个人隐私保护的法律发展趋势,主要变化有二:
一是犯罪主体从特殊身份到一般身份的转变,《修七》将出售、非法提供公民个人信息罪的主体限定为国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员,而《修九》已取消上述限定,任何个人和单位都能够成为该罪主体。因为移动互联技术的发展,以及网络购物、在线支付、定位服务等技术的发展,极大地扩宽了信息收集的渠道,使得很多单位甚至是个人能轻易获得公民个人信息,如果刑法仍将该犯罪主体限定为特殊主体,将造成法律保护的缺位。
二是加大了刑罚力度,将该罪的法定最高刑由有期徒刑三年升至七年,并明确在履行职责、提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。原因是大数据使个人信息富含商业价值,利益的诱惑会诱导人们铤而走险,只有提高刑罚惩处力度,增加犯罪的成本,才能有效遏制犯罪势头。随着信息的透明化,刑法不断加大对个人隐私的保护力度是大势所趋,对个人隐私的尊重和保护将是任何企业和个人不可逾越的红线。
3、侵犯商业秘密罪
“云环境”下,云服务提供商应严格自律。云计算实现了硬件资源的虚拟化,其便捷、高效、廉价的特点让很多企业愿意将海量的经营数据存入“云端”,其中很多信息涉及商业秘密。“云计算”在给企业储存数据、使用数据带来便利的同时,他方托管、数据物理位置不确定等特点也为企业的商业秘密保护带来难以预测的风险。作为企业数据的实际掌管者,云服务商及其员工应树立严格的自律意识,在保护“云端”数据安全的同时,尤其应在利益面前经受住考验,杜绝监守自盗——即利用其掌握企业内部数据、信息的优势地位,使用、披露或者允许他人使用相关企业保存在“云端”的数据、信息,以谋取经济利益。而如果因此侵犯到商业秘密,并使权利人遭受重大损失的,构成该罪。
三、对数据应用的控制——刑法对数据应用的规范。
大数据给我们的生活带来便利的同时,也可能为实施犯罪提供了新型的手段,因此在大数据面前,人们必须保持清醒。为此,刑法规定主要如下:
1、关于利用计算机实施有关犯罪的规定
新瓶装旧酒同样处罚。《刑法》第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。该规定为利用大数据实施传统犯罪的行为提供了法律支持。
2、拒不履行网络安全管理义务罪
明确了网络服务商的作为义务。平台、应用、软件等网络服务商对于第三人利用其实施的违法行为,不能以非我所为为由坐视不管。网络提供商有义务承担一定的信息管理义务,如怠于履行该义务,且经监管部门责令采取改正措施而拒不改正,导致违法信息传播等严重情节的,构成该罪。以社交软件为例,社交软件服务提供方有责任通过数据挖掘等方法,对用户发布和分享的信息进行分析和筛查,如果发现违法信息,有义务进行屏蔽或删除。
3、帮助网络犯罪活动罪
大数据时代下,网络不能成为犯罪的帮凶。刑法规定,明知他人利用信息网络实施犯罪,为其提供互联网接入、网络存储等技术支持,或提供广告推广、支付结算等帮助,情节严重的,构成该罪。以网购平台为例,有了大数据的支持,提取、分析平台各商家的销售信息轻而易举,判断商家经营行为是否合法也并无困难。而如果网购平台明知商家经营行为涉嫌犯罪(如销售伪劣产品、销售枪支等违禁品等),仍然为其经营行为提供技术支持和各种便利,则可能面临刑事处罚。
大数据必须在法律的框架内施展拳脚才能爆发其最大的能量,尤其是刑法的红线,任何企业和个人都不能逾越。但应当指出,如果仅出于对法律风险的担忧而对大数据望而却步,则大可不必,与其将法律规定视为对大数据发展的限制,不如将其视为大数据前进航程中的灯塔,引领着大数据安全地、平稳地、以符合人们预期的方式发展。
本文转自d1net(转载)