金融數據犯罪的刑法規制

汪勇專

(重慶市人民檢察院第三分院 公訴處，重慶 408000)

?

國家安全研究

金融數據犯罪的刑法規制

汪勇專

(重慶市人民檢察院第三分院 公訴處，重慶 408000)

[摘要]大數據時代的金融數據犯罪，不再僅僅是傳統意義的計算機信息系統犯罪或是網絡攻擊，而是演化為以大數據為對象，縱向跨越侵犯信息權、財產權及金額秩序等社會法益，橫向發展為鏈接個人與個人、個人與社會間的犯罪體系。然而，現有刑法對金融數據的保護卻面臨“大數據”與“計算機信息系統數據”缺乏概念對接、“侵犯金融數據”與“盜竊虛擬財產”難以對等評價、“信用數據”與“次生數據”尚缺細則規制保護等現實難題。面對新的挑戰，對金融數據的保護須依托技術數據，構建輻射財產與隱私、數據與信息安全等多層次、全方位的防御陣地，對侵害金融數據犯罪行為的制裁則應當在罪刑法定原則的基礎上，在法律框架內，通過合乎邏輯的法律解釋，使其為立法相關條文所包容，以實現對金融數據的司法保護。為此，需從以下三方面深入完善：一是通過關鍵詞解釋擴大刑法對數據的保護；二是實現金融數據與虛擬財產的有限對等；三是明確金融數據類虛擬財產的價格評估。

[關鍵詞]金融數據；安全保障；刑法規制

一、問題提出：大數據背景下金融數據如何保障安全

“當世界開始邁向大數據時代時，社會也將經歷類似的地殼運動”[1]，2011年6月，全球知名咨詢公司麥肯錫發布名為《大數據：下一個創新、競爭和生產力的前沿》的報告，將大數據定義為大小超出傳統數據庫軟件工具的采集、存儲、管理和分析的數據群，并詳細分析了大數據影響、關鍵技術和應用領域，由此開啟了大數據時代。在信息數字社會，隨著大數據理念、技術和運算的變革，非結構化數據成了增長最快的資源，并對涵蓋消費、投資等金融領域的生產、生活方式帶來結構性變化。金融的數據化模式也隨之呈現在人們的視野之內。從互聯網中的第三方融資與支付、在線投資理財到社會信用評審、電子商務，金融數據可以被量化分析與記錄應用。

從概念分析，大數據時代的金融數據主要是指在“互聯網+金融”模式下、基于移動互聯網和大數據技術而產生并應用于第三方支付、手機銀行、眾籌融資等新興金融服務形態的數據。工業與信息化部電信研究院《大數據白皮書(2014年)》將大數據應用界定為：“利用分布式并行計算、人工智能等技術對海量異構數據進行計算、分析和挖掘，并將由此產生的信息和知識應用于實際的生產、管理、經營和研究中。”據此，金融數據的核心在于存儲與傳輸、挖掘與運用，但在大數據環境下，其具備的集中分布和存量巨大等特征給安全保障帶來前所未有的困難。具體說，主要體現在以下三個方面：一是金融數據中的用戶身份、屬性和行為等信息容易泄露。囿于大數據依托的網絡節點提升，傳統安全模式如K-匿名模式容易受到一致性和背景知識沖擊，也難免相似性審查，不能有效滿足大數據保護要求[2]。譬如2014年1月，韓國KB國民卡、樂天卡、NK農協卡等公司的1億多條用戶敏感信息遭到非法收集和泄露，引發公眾恐慌。二是大數據時代，金融數據集更易受到網絡攻擊。金融數據意味著海量信息和更敏感、復雜的數據，為獲取相關資訊，黑客可以將高級持續攻擊(APT)代碼隱藏在大數據內，給防御檢測帶來很大威脅[3]。舉例來說，2014年10月，美國摩根大通銀行因遭遇黑客攻擊，約7 600萬用戶和700萬小型企業的數據遭到竊取，1/4的美國家庭受到影響。三是金融數據檢索、分析而產生的二次數據難以界定、保護。隨著數字化和數據化進程的加速，以云計算平臺催生的網絡資源庫、云端資源給人們生活帶來便利，但對基于人產生數據(如收入狀況、消費習慣、風險偏好)的經濟分析，雖收集上經過了用戶的部分授權，在存儲、評測、轉化、傳送等領域仍有待界定。

總之，大數據時代的金融數據犯罪，不僅僅是傳統的計算機信息系統犯罪或網絡攻擊，而是演變為以大數據為對象，縱向跨越侵犯個人數據、財產權、金融秩序等社會法益，橫向發展至鏈接個人與個人、個人與社會間的犯罪體系。從犯罪構架而言，金融數據犯罪的對象可從一般的金融賬戶、個人信息等基礎數據衍生至電子痕跡、交易習慣、消費用途等非結構數據，其地點可從傳統的計算機、互聯網伸展到物聯網、云管理、智能手機等多終端，其手段可從早期的技術破壞、強制獲取發展為金融數據監聽、過度挖掘等新手段，且其犯罪行為日益猖獗，直接威脅了正常的經濟秩序與金融管理制度。為此，在P2P網貸、眾籌融資創新、第三方支付、互聯網保險等新型金融形態興起的背景下，刑事司法乃至立法需適時而動，對金融數據犯罪的規制做出進一步的調試與完善。

二、范式審視：金融數據犯罪規制面臨的新挑戰

在大數據時代，一方面，金融數字化允許市場主體搜索、集合、使用更大規模的數據，以使其與其他市場主體緊密連續，并通過數據拼接對市場整體有所了解。在云計算的保障下，不對稱且呈金字塔狀的數據被扁平化、標準化和結構化，能夠形成動態連續、精確定位的金融數據序列。另一方面，由于數據固有的易修改等特點，基于金融數據分析而成的互聯網金融難免產生風險。由新華社、中國互聯網協會發布的《中國互聯網金融(2014年)》認為，我國互聯網金融面臨著客戶端安全認證風險、信息通信風險、系統漏洞風險、數據安全風險等幾大風險。然而，在風險社會討論信息時代的瞬息萬變，法律總是具有一定的滯后性。相較于大數據在金融模式、網絡與計算機技術上的發展，現有刑法保護體系卻有力不能逮之疲，這是大數據時代金融數據犯罪規制所面臨的新挑戰。

(一)“大數據”與 “計算機信息系統數據”缺乏概念對接

我國現行刑法對計算機信息系統數據的保護以靜態的、侵入式為主。無論是2009年的《刑法修正案(七)》還是2011年兩高發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)均聚焦于黑客的外部破壞活動及由網絡攻擊行為帶來的計算機信息數據非法獲取、控制和倒賣等犯罪行為，卻未考慮動態處理模式的大數據[4]。實際上，大數據時代的金融數據并不限定在計算機信息系統范圍內，也不止于為信息系統功能實現而存儲、處理和傳輸的內部數據：其一，目前，智能手機等手持移動終端已漸深入人們的生活，據中國互聯網絡信息中心于2016年1月發布的第35次中國互聯網絡發展狀況統計報告顯示：截至2015年12月，中國網民規模達到6.88億，手機網民規模達到6.20億[5]。在移動互聯網、智能終端使用頻率增高的情境下，用戶的金融數據更容易被關聯、綁定乃至竊取。其二，金融數據并不一定有序、規整存儲于信息系統中，它更可能是無序呈現、多終端存儲。我國現行刑法所規制、保護的數據則側重于計算機系統以驗證為內容的內部數據，這種數據類型附著于信息系統，沒有關注數據本身的價值與重要性。因而不能與大數據下的“數據”概念無縫銜接。

(二)“侵犯金融數據”與“盜竊虛擬財產”難以對等評價

在P2P網貸理財、第三方支付、眾籌融資等依托于云計算、社交網絡、實現資金流動和信息融通的互聯網金融模式方興未艾之時，金融數據的保護卻面臨認識不足、打擊不夠等現實難題。據報道，包括人人貸、網貸之家等在內的多家P2P機構均遭受過數據攻擊。然而，受制于傳統的刑法謙抑性理念，司法視野下的網絡犯罪卻并未得到應有重視[6]。在法律規定尚不明晰的情況下，網絡環境下侵犯金融數據這一新興犯罪領域尤其值得我們關注與探討。當前，在司法實踐中存在“侵犯金融數據”與“盜竊虛擬財產”難以對等評價的現象：一是在金融數據可以確定準確估價的前提下(如黑客入侵P2P網站以非法代碼植入建立后門入侵平臺的數據庫，隨意篡改數據、盜竊用戶賬戶金額)，侵犯金融數據必然通過修改計算機信息系統數據的方式完成，由于實踐中存在“計算機信息系統數據之類虛擬財產缺乏現實財產的一般屬性，不符合公眾認知的一般意義上的公私財物，不能認定為盜竊罪”的認識(見北京市朝陽區人民法院(2014)朝刑初字第3017號判決書)，金融數據的法律屬性有待進一步厘清；二是當金融數據無法準確估價時，非法獲利金額不能明確，有觀點認為對難以準確計算價值的行為，不能以盜竊罪定罪處罰。以比特幣為例，比特幣由運算工作獲取，根據五部委發布的《關于防范比特幣風險的通知》，是“一種特定的虛擬商品”，但這種虛擬商品價值難以衡量[7]。倘若有人獲知他人賬號與密碼并將比特幣轉移，困于缺乏相應的虛擬財產價格鑒定與財產評估機構，對其價值評估無從進行，罪名認定存在現實難題。

(三)“信用數據”與“次生數據”尚缺細則規制保護

本質上，互聯網金融背景下的大數據模型是基于“一切數據皆為信用數據”理念而建構。無論是P2P網貸、互聯網基金銷售，抑或是互聯網金融投資、第三方支付，都離不開對信用數據的分析和評測。作為金融數據的一類，當下的互聯網金融信用數據既涵蓋由央行征信中心提供的個人信息、欠稅紀錄、民事判決和行政處罰紀錄、電信欠費記錄及個人信用紀錄等敏感數據，又包括企業通過商業行為收集的用戶身份、消費偏好、行為特征、交易紀錄乃至信用評論等百余項數據。遺憾的是，現有刑法規定卻只對網絡金融服務的身份認證或公民個人信息予以規制保護。2008年，全國人大法律委員會在論證非法獲取計算機信息系統數據行為時僅將“竊取他人賬號、密碼等信息”情形列入其中； 2009年的《刑法修正案(七)》增設的侵犯公民個人信息犯罪中的“公民個人信息”是指能夠識別公民個人身份的信息；2011年的《解釋》也只是將“獲取支付結算、證券交易、期貨交易等服務的身份認證信息”界定為刑法的規制范疇，并未涉及消費偏好、行為特征、交易紀錄等廣義上的數據。除此之外，針對信用數據進行分析而產生的“二次數據”，雖在實質上是收集、使用者智力成果的體現，卻不能忽視數據分析對用戶數據隱私的侵犯，亦不能不當使用、轉讓和泄露。

三、應對探賾：金融數據犯罪制裁的路徑選擇

“與時俱進的數據保護”已是各國的共識。從域外經驗來看，2012年11月，歐盟委員會通過《一般數據保護條例》(簡稱GDPR)，強化對個人數據的保護，而美國在近幾年先后發布《大數據：使用與限制》《大數據與信息化》《大數據：抓住機遇、保持價值》《大數據與隱私：一種技術的視角》等相關報告，旨在應對大數據的發展、確保前瞻性。同樣，為打破數據禁錮與堡壘、激發我國大數據發展的活力，2015年9月，國務院通過了《關于促進大數據發展的行動綱要》(以下簡稱《行動綱要》)，提出了大數據發展的頂層設計。不久之后召開的黨的十八屆五中全會則明確指出五大數據發展理念即“創新、協調、綠色、開放、共享”，習近平主席在第二屆世界互聯網大會上又再次強調推出國家大數據戰略與“互聯網+”行動計劃[8]。由數據保護的重視可知，在大數據時代，數據早已超越其物理屬性和計算能力層面，成為重要的經濟、金融資源。在這一背景下，金融數據犯罪的聚焦點不僅在于計算機信息系統本身，而是向現實財產利益移轉、靠攏[9]，為此，我國刑法對侵犯金融數據行為的規制與制裁應當在罪刑法定原則的基礎上、在法律框架內，通過合乎邏輯的法律解釋，使該種現象能夠為立法相關條文所包容，以此實現對金融數據的司法保護。

(一)路徑之一：通過關鍵詞解釋擴大刑法對數據的保護

基于公眾可預測性的需求和立法技術的處理，在計算機和網絡犯罪領域，傳統刑法的罪狀表征使用了一系列關鍵詞，如“計算機信息系統數據”“公民個人信息”。但在大數據時代，這些關鍵詞的外延與內含已不能滿足數據保護的最新要求，亦與網絡空間語言符號有所區別。因此，對這些關鍵詞進行擴大解釋甚至再解釋已經刻不容緩[10]。

1．數據作為犯罪對象時對“計算機信息系統數據”的擴大解釋。面對社會發展所帶來的新型犯罪形態，最有效的制裁途徑之一是結合時代特征延伸原有的關鍵詞含義，以覆蓋社會法益保護的新要求。如2011年的《解釋》就對“計算機信息系統”這一技術性概念做出擴張解釋，將之界定為“具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等”。但是，司法解釋并未對“計算機信息系統數據”做出技術性解釋，因此對數據作為犯罪對象時大數據的保護仍有待進一步明確。如前所述，大數據的運算平臺由傳統的計算機擴充到智能終端，其特性體現為整體性、動態性而非單一、固定，這些都使得“計算機信息系統數據”在囊括對象上超出一般言語邏輯，擴展含義勢在必行。

2．網絡作為犯罪工具時對“公民個人信息”的擴大解釋。《刑法》第253條之一所定位的“公民個人信息”實則是狹義上的特定信息，是指能夠識別公民身份的相關數據或信息。但在網絡作為犯罪工具時，公民個人數據的泄露不再限于可識別的自然人信息，而是拓寬到包括消費習慣、IP地址、行為特征、交易記錄等間接數據。為順應網絡環境下大數據保護的需要，2012年歐盟發布的《歐洲議會和理事會關于個人數據處理中個人權利保護及促進個人數據資源流通條例草案》(以下簡稱《草案》)就對個人數據做出寬泛性定義。《草案》規定，個人數據不僅指主體的身份證號碼、姓名、地址等可直接辨識出數據主體的示名性數據，還包括主體上網習慣、方位數據等需要借助數據分析、對比等可辨識出數據主體的隱名性數據。同樣，在大數據時代，出于保護公民隱私權和正常生活秩序等社會法益、避免因信息泄露帶來的威脅及可能產生的其他犯罪行為的現實需求，對個人數據的保護不妨借鑒2004年全國人大常委會對“信用卡”的擴大解釋(2004年，全國大人常委會的立法解釋對“信用卡”做出擴大，刑法意義上的信用卡擴充至商業銀行或者其他金融機構發行的具有消費支付、信用貸款、轉賬結算、存取現金等全部功能或部分功能的電子支付卡)，將“公民個人信息”含義擴充至直接辨識出自然人的示名性數據和間接辨識出自然人的隱名性數據。

(二)路徑之二：金融數據與虛擬財產的有限對等

并非所有的金融數據都能與虛擬財產對等。對于侵犯身份證號碼、手機號、消費數據、定位數據等自然人信息類金融數據的可以認定為侵犯公民個人信息，但對具有管理可能性、轉移可能性及價值性的金融數據，囿于其具備虛擬財產的屬性(如比特幣)，應以侵犯財產類犯罪處理[11]。從本質上來說，這樣的金融不僅是動態數據，也真實存在，且具有特定的功能。首先，用戶通過P2P、支付寶、比特幣賬戶等可實現金融數據的注冊、使用與管理。也就是說，賬戶既是存放金融數據的存儲倉庫，亦是實施占有和管理虛擬財產的標志。人們對金融數據類虛擬財產的管理兼具事務性與物理性。其次，行為人可以用特定形式轉移金融數據。正是因為金融數據存在易侵入、易修改等特性，黑客或獲知被害人賬戶密碼的人可用一定手段將金融數據類虛擬財產修改、轉移。最后，金融數據具有一定的價值。如果金融數據只是純粹的電子數據、沒有價值，就不值得刑法保護。可以肯定的是，在大數據時代下，金融數據集使用價值與價值(交換價值)于一體。例如，支付寶不僅可以滿足用戶交易、購買商品的便利，而且能確保支付安全、促進買賣雙方互信。此外，金融數據的有償轉讓已經成為普遍現象，如比特幣的交易就建立了專門的平臺。

另一方面，將金融數據與虛擬財產有限對等并不是類推解釋。用語本身的含義隨著大數據時代的來臨發生深刻的變化，在虛擬財產這一概念使用頻率越來越高的情景下，將部分金融數據視為虛擬財產并以侵犯財物類犯罪進行規制，契合人們對財產的變化認知。更為重要的是，對大數據的財產化保護是順應信息技術變革的發展趨勢，也體現了刑法對社會新興財產的關懷[12]。

(三)路徑之三：明確金融數據類虛擬財產的價格評估

大數據時代，行為人對金融數據類虛擬財產的侵犯主要是通過篡改、破壞金融數據影響計算機信息系統工作，從而達到非法獲取、占有和破壞他人虛擬財產的目的[13]，即包括盜竊、詐騙等侵犯金融數據行為和破壞金融數據行為。而此類犯罪均以數額為定罪量刑的必要依據。因此，在理論討論上，我們固然可以對金融數據的價格評估置之不理，但在司法實踐中卻不得不錙銖必較、力求精確，以追求罪、責、刑相適應。

當前，價格認定形勢有了深層次的變化發展，2013年4月，兩高就發布《最高人民法院、最高人民檢察院關于辦理盜竊刑事案件適用法律若干問題的解釋》，對各類涉案財產的認證作了更為細致的規定；2014年10月，國家發展和改革委員會價格認證中心公布了《毀壞財物損失價格認定規則》，進一步規范毀壞財物損失價格認定。為此，明確金融數據類虛擬財產的價格評估或可借鑒相關司法解釋與價格認證規則對電力、燃氣等無形財產做出的規定，從市場價格、投入成本及銷贓所得等多維度考慮價格認證。具體來說，可從以下幾個方面進行：一是從現實財產轉入金融數據賬戶的，直接以賬戶數據為認證價格；二是對雖無法準確評估但有市場交易的金融數據，可收集該金融數據的交易范圍、規則、價格形成機制與市場行情等，確定金融數據的公允價值，如該金融數據在交易市場上能夠找到與被評估金融數據具有功能一致性的參照物，此時可以將參照物交易市場價格直接作為評估值[14]；三是對既無法準確評估亦找不到客觀參照物的金融數據，可從銷贓金額等渠道著手評估。

四、結語

大數據時代下的數據犯罪是依托于技術數據輻射至財產權、隱私權、信息系統安全等各層次、全方位現實法益侵犯的狹長體系。作為數據犯罪的一類，金融數據犯罪的對象更廣、危害更深、手段更為隱蔽。因此，必須從維護經濟秩序安全的角度、從規范金融數據保護的層級、從刑法立法目的解釋學出發，高度關注金融數據的動態價值與現實威脅。也就是說，金融數據犯罪的規制之路在于定位準確、擴充解釋，有效推動、有限對等，重塑模式、價值確認。唯有如此，大數據背景下的金融數據保護才能與時俱進，維護信息網絡安全，最終實現大數據的繁榮發展。

[參考文獻]

[1][美]維克多·邁爾-舍恩伯格,肯尼斯·庫克耶.大數據時代：生活、工作與思維的大變革[M].盛楊燕,周濤，譯.杭州:浙江人民出版社,2013.

[2]徐子偉,張陳斌,陳宗海.大數據技術概述[J].系統仿真技術及其應用，2014，(15):405—408.

[3]王文超,石海明,曾華峰.芻議大數據時代的國家信息安全[J].國防科技，2013，(2):3—5.

[4]陳國慶,韓耀元,吳嶠濱.《關于辦理危害計算機信息系統刑事案件應用法律若干問題的解釋》的理解與適用[J].人民檢察，2011，(20):48—50.

[5]第37次中國互聯網發展狀況統計報告.中共中共網絡安全和信息化領導小組辦公室，中華人民共和國國家互聯網辦公室官網，2016-04-17.

[6]張明楷.網絡時代的刑法理念——以刑法謙抑性為中心[J].人民檢察，2014，(9):6—12.

[7]謝杰,張建.“去中心化”數字支付時代經濟刑法的選擇——基于比特幣的法律與經濟分析[J].法學，2014，(8):87—95.

[8]習近平第二屆世界互聯網大會演講全文[EB/OL].網易:http://tech.163.com/15/1216/11/BAV14748000915BF.html,2016-04-17.

[9]于志剛,李源粒.數據時代數據犯罪的制裁思路[J].中國社會科學，2014，(10):100—120.

[10]于志剛.犯罪的發展軌跡與刑法分則的轉型路徑[J].法商研究，2014，(4):44—53.

[11]張明楷.非法獲取虛擬財產的行為性質[J].法學，2015，(3):12—25.

[12]于志剛.“大數據”時代計算機數據的財產化與刑法保護[J].青海社會科學，2013，(3):7—16.

[13]殷憲龍.我國網絡金融犯罪司法認定研究[J].法學雜志，2014，(2):110—119.

[14]王昌慶.虛擬財產價值評估初探[J].經濟理論研究，2009，(6):43—44.

〔責任編輯：張毫〕

[中圖分類號]D90

[文獻標志碼]A

[文章編號]1000-8284(2016)04-0083-05

[作者簡介]汪勇專(1989—)，男，浙江衢州人，三級檢察官，碩士，從事金融刑法、金融檢察制度研究。

[收稿日期]2016-02-17