1. 首頁
    2. 區塊鏈技術的應用(尚權推薦丨張愛艷、?蘇澤琳:區塊鏈技術下涉數據犯罪研究)

    區塊鏈技術的應用(尚權推薦丨張愛艷、?蘇澤琳:區塊鏈技術下涉數據犯罪研究)

    2022-12-13

    摘要

    區塊鏈技術的發展催生了新的法益,迫使我國刑法應建立起信息安全的整體保護思路,將保護力度延伸到大數據運算分析的動態過程中。現有刑法體系在應對黑客攻擊區塊鏈的行為時,存在不同程度的入罪障礙,具體來講,從犯罪對象來看,財產性利益不能作為盜竊罪的犯罪對象,區塊鏈不符合刑法語境中的計算機信息系統;從行為方式來看,攻擊區塊鏈的行為方式與傳統計算機犯罪不同,且“情節嚴重”難以界定;從犯罪客體來看,區塊鏈犯罪的客體不同于計算機犯罪,現行刑法體系無法涵蓋大數據法益。為應對新技術帶來的挑戰,我國應在刑事理念上放棄“代碼就是法律”的主張,加強二次違法性原則的前置適用;在刑事立法上規范資格刑、法定刑的設置,對數據的保護增加危險犯模式;在刑事司法上擴大關鍵詞的外延,明確網絡越軌行為的性質,規范證據制度,深化跨域合作;在整個法律體系框架內對財產性利益進行專門保護,確立以信息為中心的非物權化路徑,以期成功應對新技術帶來數據安全風險的挑戰。

    關鍵詞:區塊鏈技術;數據犯罪;大數據整體性保護;財產性利益;黑客攻擊

    為應對區塊鏈技術帶來的挑戰,2018年6月14日,美國密歇根州率先提出兩份新法案,擬將非法篡改區塊鏈記錄認定為犯罪行為,這也是全球范圍內第一次將篡改區塊鏈的行為明確入刑。而反觀我國,雖已有不少法學界學者加入到對區塊鏈技術的研究中來,但新技術帶來的法律滯后性仍然存在。2019年2月15日,《區塊鏈信息服務管理規定》經國家互聯網信息辦公室室務會議審議通過,式開始施行,旨在明確區塊鏈信息服務提供者的信息安全管理責任,是保護區塊鏈用戶數據安全以及正常社會秩序的前置手段,但該規定仍未對惡意攻擊區塊鏈的行為進行明確定性,也尚未上升到刑法層面。筆者將以此為背景,通過對攻擊區塊鏈典型案件的回顧,分析黑客攻擊區塊鏈行為的入罪障礙,以區塊鏈的發展為契機提出對涉數據網絡犯罪的完善對策。

    一、區塊鏈技術下涉數據犯罪典型案件回顧及分析

    (一)The DAO大劫案案件回顧

    2016年6月17日,加密貨幣和區塊鏈行業發生了一次震蕩事件。中國社區得到Vitalik Buterin的通知,黑客攻擊了The DAO系統,盜取了6千萬美元的以太幣,這就是史上最大的數字貨幣盜竊案。事件發生的始末是,在The DAO中,有一個split DAO函數由智能合約編寫,黑客利用此函數的漏洞,不停從The DAO系統的資金池中分散出資金,轉移到攻擊者事先建立的子DAO中。從黑客發起攻擊起,僅需三個小時就可致300萬的以太幣被轉移出The DAO的資金池。按照當時以太幣的市場價格,被竊取的以太幣價值六千萬美元。The DAO的監管者提議區塊鏈社區發送大量垃圾交易以堵塞以太坊網絡,從而減緩The DAO系統中資金被分散出的速度。不久,以太坊官方博客緊急發布“關于The DAO的漏洞”的文章,該文章全面解釋了The Dao被攻擊的細節,文章中的解決方案是,進行一次軟分叉。不會有回滾,不會有任何交易或者區塊被撤銷。軟分叉將從塊高度1760000開始,把任何與The DAO和子DAO相關的交易認做無效交易,用這樣的方式來阻止黑客在27天之后提現被盜的以太幣。此后再進行一次硬分叉,幫助用戶將以太幣找回。

    前述文章公布后,黑客的攻擊暫時停止。以太坊社區的Ethcore團隊發布了持軟分叉的Parity客戶端。但不久,自稱“黑客”的攻擊者通過網絡匿名發布會,聲稱將使用智能合約的形式獎勵不支持軟分叉的礦工100萬以太幣和100萬比特幣,來對抗以太坊基金會提議的軟分叉。

    此外,黑客還在互聯網上發布了一封公開信,信中表示他通過The DAO獲取以太坊的行為是“合法且正當的”,并且任何軟分叉或硬分叉都在侵犯其“合法且正當獲得的以太幣”的權益。這有兩個原因:首先,“DAO代碼本身包含此功能”,其行為不是竊取,而是“合法正當”;第二,DAO智能合約的代碼沒有任何其他解釋,也沒有任何文本指定超出DAO代碼設置的東西。

    (二)The DAO大劫案引發的思考

    1.如何看待補救方案及黑客行為的性質

    對黑客攻擊的危害后果是否應通過硬分叉的方式人為的將其回復到攻擊前的狀態,涉及到結果正義;是否應該通過軟分叉的方式達成新的共識從而去追回損失,涉及到程序正義。上述不一致的主要原因是通過硬分叉來回滾意味著區塊鏈系統持續存在塊分散的概念;軟分叉又類似于“黑客技術”,如果使用這種方式,區塊鏈系統的未來發展和維護,能否利用其自身的專業技術優勢來獲取利潤,仍然值得懷疑。因此,以太坊將推出一個軟分叉甚至回滾交易的硬分叉來解決The DAO的問題,但這種做法會面臨是否有人會利用此權力“作惡”的問題,同樣都是利用“黑客技術”實施相同的行為,卻只因目的不同而在刑法上存在不同的評價。此外,如果不做任何人為干預(也就是讓系統自動處理),就無法保護投資者的利益。

    在性質判斷上,黑客攻擊The DAO案件是“代碼套利”或法律意義上的盜竊罪還是計算機犯罪,還存在很多爭議。回到The DAO主頁,主頁顯示:“The Dao is borne fromimmutable,unstoppable,and irrefutable computer code,operated entirely by itsmembers,and fueled using ETH which Creates DAO tokens.”中文翻譯大概是:DAO是用程序代碼創建的,它是不可偽造,不可虛構,不可篡改的,并且完全由其成員自由控制,自動運行,流通的DAO代幣可以用貨幣兌換。如果主旨用普通商業術語解釋,那么引用Slock.it的評論就是:“與創建DAO有關的條款列在以太坊區塊鏈的智能合約中。具體位置是:“0xbb9bc244d798123fde783fcc1c72d3bb8c189413”。在解釋這些條款和其他相關文獻時,不可能替換或修改DAO代碼術語中已涵蓋的義務或保證。但這些解釋僅用于投資者教育的目的,并不代替或更改區塊鏈上DAO代碼術語本身的含義。

    因此,通常的解釋(包括Slock.it團隊常用的解釋)是:黑客竊取其他DAO用戶的資金,這與DAO的初衷相違背。因為“被黑”或“被盜”這些詞本身包含有關用戶對DAO意圖的假設。但代碼本身不是由用戶的意圖轉移的,它只是一個逐個執行編碼代碼的智能合約。因此,代碼不可能“被黑”,而只能“正常使用”。最類似的比喻是有人稱這種“被黑”為代碼套利行為,并不構成任何犯罪。

    實際上,The DAO的“三大不可”原則讓使用者的邏輯錯誤無法適用,是一個邏輯代碼的烏托邦。人類的期望不是輸入變量,除非這些期望毫無偏差地被編譯成代碼。因此,根據The DAO的設立目的,編程代碼的“不可偽造、不可虛構、不可纂改”的三個原則是關于相關行為是否違反The DAO設立目的的唯一考慮因素。

    2.如何看待區塊鏈的安全漏洞及其危害

    安全漏洞,是指使用計算機信息系統運行時的安全風險。從專業的視角看,“漏洞是硬件、軟件、協議實現或系統安全策略中的缺陷,允許攻擊者在未經許可的情況下訪問或破壞系統。”從這個意義上來講,安全漏洞的存在在本質上就是一個缺陷。通過簡單的分類,可以將這種缺陷分為三個方面:硬件缺陷、軟件缺陷和協議缺陷。詳細來說,硬件缺陷,如Intel Pentium芯片中的邏輯錯誤;軟件缺陷,如早期版本的Sendmail中的編程錯誤;協議缺陷,如NFS協議中身份驗證方法的缺陷,Unix系統管理員對匿名FTP服務實施了錯誤配置。這些缺陷都會被攻擊者利用,進而嚴重威脅計算機系統的安全,也就被稱為計算機信息系統中存在的安全漏洞。

    那么在涉數據犯罪中安全漏洞的性質是什么呢?Microsoft中文網站中對安全漏洞的定義有一個版本,它有助于理解安全漏洞的性質。內容是:即使用戶具有完美合理的產品配置,產品的操作也可能因產品本身的缺陷而發生變化,從而導致非設計人員的預期后果,最終可能導致安全漏洞。包括用戶的系統被非法侵犯,數據被非法訪問和泄露,或者系統拒絕提供服務。這些缺陷就是我們通常所稱的安全漏洞。此定義是指Microsoft作為產品,其中設計的軟件中固有的缺陷,稱為安全漏洞。可以看出,計算機中的安全漏洞基本上是產品缺陷。這些計算機軟件和硬件制造商留下的缺陷不是由于疏忽造成的,而是計算機軟件設計和硬件制作中難以規避的缺陷。

    從這個意義上來講,在計算機軟件和硬件產品中,安全漏洞是固有缺陷。安全漏洞的固有特性表現在,盡管開發人員層層檢測到計算機軟件和硬件,但它們仍然無法避免安全漏洞。隨著計算機用戶對它繼續應用,軟件和硬件漏洞就會不斷地被發現。雖然供應商也在不斷提供軟件補丁試圖修補這些漏洞,但補丁系統很有可能會觸發新的漏洞。事實上,“安全漏洞的產生是因為人們在安全機制理論的具體實踐中犯了錯誤,并且它們是意外的異常。在人類實施的所有系統中,各種潛在的錯誤被不同程度地使用、實施和設置,因此必須在所有系統中都有一些安全漏洞”。安全漏洞的本質是產品缺陷,這些缺陷是固有的、隱藏的和不可避免的。

    雖然安全漏洞是計算機軟件和硬件中固有的,但它們不容易被不法分子利用,因為它們通常是隱藏的。但是,一旦攻擊者發現已經存在的漏洞,他們就會利用這些漏洞,編寫非法入侵用戶個人計算機的目標攻擊代碼。具體而言,這些黑客攻擊分為兩類:故意破壞和秘密竊取。故意破壞是指攻擊者利用計算機硬件和軟件中的安全漏洞,對目標計算機的應用系統進行破壞性攻擊。這種攻擊可以分為兩類:一類直接破壞計算機系統本身,另一類是破壞網絡服務信息。例如,當計算機系統在2000年左右被銷毀時,它只能感染Windows95/98操作系統的CIH病毒。這種病毒是惡意病毒,利用系統的安全漏洞破壞計算機系統硬件。近年來,網絡服務已經受到損害,例如頻繁的拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDOS)。上述攻擊的破壞性質是使用網絡協議(TCP)本身來發送大量偽造的TCP連接請求。攻擊者已用盡資源,CPU已滿或內存耗盡,因此被攻擊的主機或網絡無法及時接收和處理信息。處理外部請求或未能及時響應外部請求可能導致網絡故障。秘密竊取是指使用計算機配置的軟件漏洞將木馬病毒嵌入用戶的計算機,以此來竊取用戶的個人信息。例如,在線銀行賬戶密碼,在線游戲賬戶和密碼以及秘密信息。換句話說,安全漏洞是黑客必須依賴的路徑才能發動攻擊。一旦黑客利用安全漏洞,計算機用戶將受到不同程度的傷害。

    3.如何理解黑客攻擊區塊鏈的刑法適用爭議

    如果黑客在未經他人同意的情況下,攻擊區塊鏈,或者利用區塊鏈漏洞盜取虛擬貨幣,導致具有嚴重情節或嚴重后果的行為,這種情形下的罪與非罪、此罪與彼罪的問題,現行司法實踐主要有以下四種觀點:

    第一,破壞計算機信息系統說。攻擊區塊鏈屬于計算機病毒的行為,它可以在預先設定的條件下自動觸發,而無需他人的許可,消耗大量的計算機系統硬件資源。依據最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第5條第2款,“能夠在預先設定條件下自動觸發,并破壞計算機系統功能的程序”應當認定為“計算機病毒等破壞性程序”,惡意“挖礦”程序符合“計算機病毒等破壞性程序”的特征,故惡意“挖礦”行為符合《刑法》第286條第1款“對計算機信息系統功能進行干擾”和第3款“故意傳播計算機病毒等破壞性程序,影響計算機系統正常運行”,應認定為破壞計算機信息系統罪。

    第二,非法控制計算機信息系統說。攻擊區塊鏈行為的基本特征為未經他人同意,在其他人的計算機上安裝具有自動操作,隱藏和某些防查殺功能的程序,并使用其他計算機硬件資源執行網絡操作以獲取利潤。這些程序應屬于木馬程序的類別。攻擊者的目的不是破壞或干擾計算機信息系統的正常運行,而是利用木馬程序取得對計算機的部分控制,并使用其他計算機信息系統作為自己所有而加以控制。它屬于對計算機信息系統進行特定操作的未經授權的控制,應被視為非法控制計算機信息系統罪。

    第三,盜竊說。使用區塊鏈漏洞未經用戶同意劫持其他人的計算機,實質上是利用其他人的計算機硬件資源來獲得罕見的電子數據資源。由于行為者未經授權使用計算機硬件資源,不會導致硬件設備的丟失或轉移,因此不應受到刑法的評價。然而,行為人的秘密轉移和獲取受害者的電力資源,與將其“挖礦”設備與他人的電路設備的連接,使用其他人的電力資源“挖礦”具有相似之處。

    第四,無罪說。攻擊區塊鏈的程序屬于中立程序,不破壞或控制計算機信息系統,與木馬等病毒程序的本質不同。一方面,“挖礦”程序的目的不是在計算機資源空閑時干擾計算機的運行。另一方面,“挖礦”程序不向參與者提供任何控制權限。攻擊者無法遠程控制計算機,也無法主動向計算機發出任何操作指令。“挖礦”類似于Web廣告插件。網絡廣告插件等程序也需要利用計算機信息系統的運行,這將占用和消耗計算機資源。與“挖礦”行為相比,它只是占用資源量的差異。“挖礦”對他人造成的損害只是電費的增加與計算機硬件的損失。但是,由于“挖礦”造成的額外電費負擔和計算機硬件壽命和折舊的損失無法量化,因此不能視為侵犯他人的財產權。“挖礦”屬于未經授權使用他人財產,不排除占有他人財產的目的或故意損害他人財產的行為,是民事侵權行為規制的范圍。

    二、區塊鏈技術與涉數據犯罪的界定

    (一)區塊鏈技術

    區塊鏈是計算機技術的一種新的應用模式,如分布式數據存儲,點對點傳輸,共識機制,加密算法等。它是以比特幣為代表的數字加密貨幣系統的核心支撐技術。從狹義的觀點來看,區塊鏈是按時間順序排列的鏈結構數據,并且加密方法用于確保數據不會被篡改和不會被偽造。從廣義的觀點來看,區塊鏈技術使用塊鏈結構來存儲數據,使用鏈式數據上下關系來驗證數據,使用分布式節點來生成數據,并使用共識算法來更新數據和使用密碼。確保數據的真實性,使用由程序代碼組成的智能合約來確保協議的非默認性,是一個具有高可用性,高擴展性,高安全性和其他特性的新數據系統。

    一個簡單的例子可以說明區塊鏈是什么。想象一個封閉的島嶼國家房地產市場,只允許島民買賣島嶼房屋,所有交易記錄均由島上唯一的房地產經紀人打印和保存。每個房屋的房產交易記錄是一個信息鏈,過去每筆交易的信息都按時間順序形成了一條鏈。如果每個記錄都鎖定在一個單獨的郵箱中,則只有該房屋的所有者擁有該密鑰,新的交易記錄可以填入郵箱并成為信息鏈的最新部分,但一旦填入郵箱,記錄就不能再被取出或修改。此時,所有郵箱加在一起是非數字區塊鏈——信息加密,每個密鑰持有者只能看到或授權他人查看自己房屋的交易信息,每次向房屋添加交易信息都是永久不可逆轉的過程。不會丟失,不能修改。

    2019年1月10日,國家互聯網信息辦公室正式通過了《區塊鏈信息服務管理規定》,該規定于2019年2月15日生效。其中,對區塊鏈的主體也有明確規定。規定第2條提到區塊鏈信息服務,即基于區塊鏈技術或者系統,通過互聯網站、應用程序等形式,向社會公眾提供信息服務。因此,我們認為公鏈項目,DAPP,錢包等應屬于區塊鏈信息服務范圍,屬于受監管項目。上述項目只要為中國居民從事或提供服務,無論在中國境內或境外的注冊,經營和服務器位置如何,均應履行規定中的義務。

    (二)涉數據犯罪

    隨著大數據、云計算、物聯網和區塊鏈技術等新一代信息技術的普及和應用,數據日益成為信息社會發展和網絡產業發展的戰略要素。有效預防和控制與數據相關的網絡犯罪也成為一個受到業界和公眾高度關注的重要命題。2017年10月16日,最高法院發布了第九批指導性案例,其中包括李丙龍破壞計算機信息系統案等六起案件。對于涉數據犯罪的刑事司法,對公民權利的全面保護和網絡攻堅的綜合管理將產生積極的引導作用。

    之所以提出“涉數據犯罪”的概念,意在將侵犯數據安全這一法益的整個犯罪鏈條加以統一規制。例如出賣或泄露公民個人信息的行為,已經形成“源頭、信息販子、購買者”一條龍式的黑色產業鏈,集聚式的侵犯信息犯罪愈演愈烈,集中、大量的侵犯個人信息的案件比比皆是。在信息社會,數據的挖礦利用已經成為包括搜集、保存、流轉、利用在內的體系,為數據被侵害提供了巨大的空間,非法獲取、非法公開、非法利用數據的行為均呈現出擴張的態勢。

    學界一般認為,涉數據犯罪以刑法第253條之一侵犯公民個人信息罪為邏輯起點,其范圍延伸及于數據信息相關的網絡犯罪整體:基于網絡犯罪黑色產業鏈打擊的思維,上至破壞公用電信設施罪、擾亂無線電管理秩序罪、非法侵入計算機信息系統罪、非法獲取計算機信息系統數據、非法控制計算機信息系統罪、提供侵入、非法控制計算機信息系統程序、工具罪以及破壞計算機信息系統罪等,下及侵犯著作權罪、電信網絡詐騙犯罪等下游犯罪,同時也涵蓋拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪以及幫助信息網絡犯罪活動罪等新設關聯罪名。

    但隨著信息和網絡技術的快速發展,有關國家和商業秘密的信息己經在大數據中產生交疊,涉數據犯罪不應僅指有關“個人”信息的犯罪。筆者認為,涉數據犯罪應分為兩種,第一種是針對計算機系統實施的犯罪:非法侵入計算機信息系統罪,非法獲取、非法控制計算機信息系統罪,提供侵入、非法控制計算機信息系統程序、工具罪,破壞計算機信息系統罪;第二種是利用計算機網絡實施的涉數據犯罪:侵犯公民個人信息罪,侵犯商業秘密罪以及非法獲取國家秘密罪,為境外竊取、刺探、收買、非法提供國家秘密、情報罪。以上即為筆者所討論范圍內的涉數據犯罪。

    (三)區塊鏈技術下的涉數據犯罪

    在明確了區塊鏈技術與涉數據犯罪的范圍后,筆者將區塊鏈技術下涉數據犯罪分為以下兩種,第一是利用區塊鏈技術實施的犯罪,如集資詐騙罪,非法吸收公眾存款罪,逃稅罪等,由于此類犯罪與傳統犯罪的區分主要在于實施犯罪的手段不同,類似于故意殺人罪中的用刀殺人還是用槍殺人,本文不再過多討論。第二是針對區塊鏈本身的犯罪,如下文將著重研究的黑客攻擊區塊鏈行為。

    1.區塊鏈技術應用于涉數據犯罪規制的局限

    第一,區塊鏈網絡中的節點容易受到攻擊。區塊鏈網絡中的節點往往是個人計算機。與傳統網絡體系結構中的專用服務器相比,其性能較低,抗攻擊能力較差。此外,在集中式體系結構中,運營方只需要關注一個或多個服務器。在區塊鏈網絡中,所有節點都具有相同的狀態,很難將相同的安全措施應用于許多地理上分散的節點上。攻擊者容易發現弱節點入侵區塊鏈網絡。

    第二,區塊鏈交易關聯可用于推斷敏感信息。區塊鏈是無法篡改,不可偽造,計算不可逆的,但是它們必須在私鑰保密的前提下才是安全的。但是,區塊鏈中的所有交易都保存在公共的分布式賬本中,黑客可以輕松獲取所有交易信息。通過分析交易中的聯系,可以逐斷減少區塊鏈地址的用戶匿名性。直到破解匿名地址與用戶真正身份信息之間相對應的關系。

    第三,區塊鏈應用系統本身存在許多安全漏洞。區塊鏈技術尚處于起步階段,存在許多安全漏洞,可能對區塊鏈應用程序構成安全威脅。目前,如果一個節點可以控制整個網絡51%的計算能力,就可以偽造或篡改區塊鏈數據。在當前典型電子貨幣的應用場景中,這是沒有必要的。但是,隨著區塊鏈的應用范圍的擴大,攻擊者可能會進行這樣的攻擊以達到特定的目的。此外,基于區塊鏈的算法,主要是公鑰算法和哈希算法,其安全性來自數學難度,相對安全。然而,隨著高性能計算和量子計算的發展和商業化,所有現有的加密算法都有可能被破解,這也是區塊鏈的威脅。

    2.技術手段較之于刑法手段對數據保護的不同

    在區塊鏈帶來的機器學習趨勢下,當刑法遇到代碼和算法時,由于機器學習帶來的學習能力的快速提高和學習成本的快速下降,刑法的獨特功能遇到了深刻的挑戰。刑法不再僅僅是主權下“不敢”違法的現象。它還包括各種代碼實現的“不能”違法、由各種算法實現的“不用”違法的現象。

    眾所周知,刑法是“深度不學習”的制度安排,是一種高度反認知和標準化的操作技能。如果每次溝通都需要“學習”來驗證各種身份、事實、時間和權利,社會交往必然會受到阻礙。這與區塊鏈技術的“深度學習”所代表的認知操作技術形成鮮明對比。不學習刑法的根本目的是簡化社會的高度復雜性,暫時切斷從標準化角度學習帶來的無窮無盡的共識鏈。

    目前,智能社會的迅速崛起將從根本上促進刑法學習。首先,各種數字智能技術的興起導致了世界社會分化趨勢的加速。區塊鏈可以被視為一個不斷發展的新社會系統。根據盧曼社會系統理論,當前的區塊鏈形成了一個完整的系統生態學:它形成了系統/環境的區別(通過一致性算法和獨特的證明機制),獨立的時間維度(每十分鐘時間單位的區塊生成率),獨特操作介質和加密方式(哈希計算和時間戳),特定二元代碼(記賬/不記賬)。在這樣一個新的區塊鏈世界中,可以進一步配備人工智能,虛擬現實和其他技術。在技術推動下,區塊鏈理論可以在虛擬網絡世界的“架子”上顯示所有人和事物,用于統一識別的智能技術,并確保標準化的智能操作。技術變革必然涉及創造新財富和舊財產的再分配。區塊鏈技術的革命性質實際上是一種價值協議。這不僅僅是現實世界財產的數字化問題,而是一個解決方案,是虛擬世界資產的創建、分發、定價和交換。

    在傳統的刑法保護方式中,最重要的是在所有市場、道德和建構的監管方法都失敗的情況下,刑法可以發揮最終的安全保障作用。簡而言之,刑法沒有學習最極端的形式,即判處死刑。它可以完全消除個別主體的自由,排除干擾社會交往自由的噪音。從這個意義上說,不學習的刑法是社會監管的終極展現。

    “法不禁止即自由”,這一原則實際上源于現代治理技術的局限性。不學習的刑法不能將其觸角擴展到人類行為的每個領域,因此這些領域被定義為“刑法自由”。也就是說,現代自由價值矛盾地依賴于技術“低效率”,當技術效率不再是傳統的刑法時,它就形成了學習與非學習的特殊結合。一方面,學習旨在保持刑法的活力,與環境共同進化;另一方面,學習不是為了維持其規范性,而是在功能上穩定人們的規范期望。隨著現代社會的復雜性,刑法體系一方面增強了內部操作的復雜性,這也是其自身學習的體現。同時,它通過標準化而無需學習,通過“壓縮”技術實現復雜社會的簡化處理。

    刑法體系內部過程的復雜性和規范決策中刑法體系的簡化,共同構成了現代刑法核心的矛盾特征:以高度復雜性來簡化高度復雜性。正因如此,現代刑法體系需要在立法,執法和司法方面實現高度的功能區分。換句話說,現代刑法的結構和操作程序的復雜性實際上是為了簡化司法判決而提供盡可能多的“數據”和“情景”以及更先進的“計算裝置”。刑法不學習是指其在規范運作中的封閉性,但封閉運作絕不等于刑法的不變性。相反,現代刑法具有深度學習和認知開放的特點,能夠感知系統外的環境干擾,進行有利于刑法本身演變的調整。

    3.區塊鏈技術有利于加強數據保護的原理

    第一,P2P網絡很難實現網絡竊聽。作為P2P網絡中的一種的區塊鏈,其節點使用中繼轉發模式進行通信。在傳統的網絡中,通過竊聽網絡流量來發現用戶之間的通信關系與區塊鏈網絡有明顯區別。比如,在一個區塊鏈網絡中,當需要在節點之間執行事務時,發送方首先將事務信息發送給其鄰居節點,接收到該信息的鄰居節點將該信息轉發給其他鄰居節點,從而逐步將該信息傳播到整個網絡。接收節點最終將從網絡接收事務信息,而無需與發送方直接通信。因此,行為人無法通過竊聽發現網絡中傳播信息的真實來源和目的地。

    第二,區塊鏈技術支持匿名交易。區塊鏈交易中使用的地址(類似于銀行卡賬戶)通常由用戶創建和保存,而無需第三方參與,地址本身與用戶身份信息無關。此外,區塊鏈地址通常具有很大的地址空間,并且沖突的概率很低,這允許用戶為每個事務生成不同的地址,從而增強了事務的匿名性。

    第三,分散式體系結構能夠有效地應對網絡攻擊。使用區塊鏈技術的應用程序通常具有分布式體系結構。無需在中央服務器上存儲敏感信息(如帳戶和密碼),從而大大降低了對傳統服務器攻擊從而造成數據泄露的風險。

    三、區塊鏈技術下涉數據犯罪的規制困境

    事實證明,全球網絡,尤其是涉及貨幣交易的網絡,是黑客的主要目標。如今,黑客已經掌握了高端技術,并呈現出組織化、集團化的趨勢。這些黑客為他們訪問大量數據資源的能力感到自豪,有些甚至由某些政府贊助,承擔數百萬美元的欺詐行為。黑客攻擊區塊鏈的行為涉及到對多種法益的侵害,但站在本文的立場上,筆者認為在攻擊區塊鏈獲取數據信息的行為中,大多都是以牟利為目的,其中以盜取數字貨幣的數據最為典型。區塊鏈技術下“盜竊”數據信息的行為目前面臨諸多困境,這類犯罪能否從現行刑法的角度進行評價,是本文研究的重點,有待下文分析。

    (一)以犯罪對象為分析視角

    網絡犯罪中的財產利益通常是以數字數據的形式產生并存在于網絡中的數字資產,并通過數字形式的某些程序在網絡之間傳輸,例如個人信息,商業秘密,虛擬貨幣等。目前區塊鏈作為虛擬貨幣的底層技術,攻擊區塊鏈的行為大多意在盜取虛擬貨幣,本文研究的The DAO事件就屬于此類。在The DAO案件中,用戶被盜取的以太幣,可以被認定為具有在平臺上購買的用于交換的數據財產。但我國刑法學界對此種行為究竟應如何定性眾說紛紜,或構成盜竊罪,或構成非法侵入計算機信息系統罪,非法獲取、非法控制計算機信息系統罪,破壞計算機信息系統罪等,不一而足。以下筆者首先從犯罪對象的角度來分析。

    1.財產性利益不能作為盜竊罪的犯罪對象

    筆者認為,黑客利用BUG獲取以太幣的行為,不構成盜竊罪。

    首先,盜竊罪的犯罪對象為公私財物,而虛擬貨幣能否認定為盜竊罪的犯罪對象尚待探討。刑法一般都規定了財產犯罪的數額。定罪和判刑的嚴重程度取決于數額。雖然財產利益具有財產的某些特征,但其價值的識別是復雜的,特殊的虛擬資產只能存在于特殊的網絡環境中。離開特殊的網絡環境并不一定有價值。一方面,網絡中存在多種財產利益,供需關系波動很大,用戶交易時往往會產生情感色彩,難以確定其真實價值;另一方面,網絡中的財產權益的價值由主體決定,即對于不同的主體,網絡中的財產利益的價值是不同的,有些甚至可能被認為是毫無價值的。簡而言之,評估互聯網上虛擬財產的價值,并不能構成普遍接受的客觀計算方法或顯性價值評估機制。網絡中財產利益的性質可能導致刑法適用的不平衡。網絡中財產價值識別的不確定性不僅影響了行為人行為的定性,而且與數額相關的量刑結果也可能違反了犯罪和懲罰原則。在這方面,如果全以盜竊罪認定,結果可能太重而不能被公眾接受。檢察官似乎更愿意通過等待黑客將比特幣兌換成現金來指控盜竊行為的后果,例如對出售被盜比特幣所得收益進行洗錢。

    其次,從我國刑事立法的角度來看,許多違反網絡財產權益的犯罪行為都沒有按照財產犯罪論處。例如,侵犯著作權的行為按照侵犯著作權罪論處,侵犯商業秘密的行為按照侵犯商業秘密罪論處。此外,網絡流量,個人信息,網絡域名,甚至道路交通違規信息管理系統的數據也具有財產價值。在這之中互聯網上侵犯個人信息的犯罪應屬于最常見的犯罪模式。非法獲取個人信息的主要目的是利用交易獲取非法利益。但是,刑法沒有按照規定的財產犯罪的認定,而是單獨設立了侵犯公民個人信息罪。

    最后,虛擬貨幣底層技術的描述導致了一個直觀的假設,即個人擁有虛擬貨幣無形的財產權益,就意味著虛擬貨幣是一種可以被排除在整個世界之外的東西。但實際上虛擬貨幣在本質上是無形的,它只不過是電子數據,一系列“位”托管在沒有任何物理存在的軟件上。私人密鑰的持有人是唯一可以訪問、交易或轉讓相關虛擬貨幣的個人。然而,得出虛擬貨幣在法律上是盜竊對象的結論,需要的不僅僅是一個簡單的假設。這對于盜竊虛擬貨幣的入罪分析來說是至關重要的——要想讓某個東西被不允許地拿走,它必須首先被獨占。盜竊行為——非法地把“他的”視為“我的”,必然是基于這樣一個觀點:即我將你的東西視為我的東西,這個東西實際上是你的。自然,這與所有權理論相關,也與財產利益相關。要解決虛擬貨幣的盜竊問題,那么,主張虛擬貨幣所有權的人必須首先擁有這一權利。

    2.區塊鏈不符合刑法語境中的計算機信息系統

    一般來講,非法侵入計算機信息系統罪,非法獲取、非法控制計算機信息系統罪,破壞計算機信息系統罪統稱為計算機犯罪,而計算機信息系統作為計算機犯罪的犯罪對象,首先應厘清計算機信息系統的概念。

    根據最高人民法院、最高人民檢察院《關于計算機信息系統安全刑事案件的解釋》第11條的規定,計算機信息系統是指具有自動數據處理功能的系統,包括計算機,網絡設備,通信設備和自動化控制設備。根據《中華人民共和國計算機信息系統安全保護條例》第2條的規定,計算機信息系統是指由計算機及其相關的配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

    由此可見,在刑法語境中的計算機信息系統,是一套設備,是一個具體的對象,所以對于其“入侵、控制、破壞”的違法行為應受到刑法不同程度的懲處。但就區塊鏈而言,雖然是由無數個單機構成的系統,但這些單機的損壞不會影響整個鏈條的存在,因此筆者更傾向于把它看作是一個虛擬的鏈條,每一個用戶都可以訪問,因而不涉及“侵入”,共識機制又決定了無法由某一個人單獨“控制”,也無法“破壞”。事實上,區塊鏈應受到刑法保護的,恰恰是黑客利用這種特有的共識機制,進行惡意的攻擊。

    在The DAO案件中,黑客的攻擊只針對編程中有漏洞的智能合約,而以太坊系統本身沒有任何傷害,利用BUG進行的“攻擊”,實質上可以理解為用戶的“正當操作”,并非傳統意義上致使計算機系統物理癱瘓的行為,將“攻擊”行為認定為“控制、破壞”計算機信息系統罪是不合適的。

    (二)以行為方式為分析視角

    1.攻擊區塊鏈的行為方式與傳統計算機犯罪不同

    與傳統的集中式架構相比,區塊鏈機制不依賴于特定的中心節點來處理和存儲數據,從而避免了單服務器崩潰和集中式服務器數據泄漏的風險。但是,為了在分布式區塊鏈節點之間達成共識,區塊鏈中的所有事務記錄都必須暴露于所有節點,這增加了數據泄漏的風險。例如,在數字貨幣應用中,分析師可以分析交易記錄以獲取用戶的交易規則,甚至可以猜測用戶的身份信息和位置信息。在金融應用中,如果分析師獲得所有交易記錄,他們可以追溯到單個賬戶交易的細節,也可以分析宏觀金融趨勢,這不僅是公司用戶數據,也是核心數據;在能源行業,區塊鏈技術通常用于實現點對點能源交換。在這種情況下,區塊鏈交易數據具有敏感信息,如能量傳輸泄漏,對人身和國家安全構成威脅。可以看出,區塊鏈領域中數據泄漏的風險不僅僅是通過“非法”手段獲取數據,還包括以“非法目的”實施“合法手段——利用公開信息與個人隱私的耦合程度”破解區塊鏈,從而對個人、社會、國家造成難以估計的損失。

    區塊鏈技術與傳統IT架構的顯著差異導致傳統數據保護立法在區塊鏈應用中的不足。在傳統的IT體系結構中,數據通常存儲在集中的服務器中,而數據保護的重點是確保數據不被破壞。因此,管理員可以通過提高中心節點的防御能力來抵御各種攻擊,例如使用高性能服務器、部署入侵檢測設備和安裝專用的數據防泄漏軟件。在區塊鏈技術中,數據存儲在分散的節點中,沒有統一的管理器,節點的性能和安全性能也不統一。攻擊者可以很容易地破壞某些節點。此外,攻擊者甚至可以將自己偽裝成直接獲取事務數據的合法節點。因此,區塊鏈數據保護的重點是保證交易的匿名性,即攻擊者無法通過分析交易數據來獲取用戶的身份信息。此安全要求需要有針對性的數據保護法規。

    除此之外,區塊鏈中的漏洞不同于傳統軟件領域的漏洞。黑客利用傳統的軟件域漏洞發動網絡攻擊,對公司的部分加密數據和數據造成一系列影響。對于數字貨幣,區塊鏈節點中的安全漏洞可能會導致數千個節點受到攻擊。即使在傳統軟件漏洞領域,被認為相對較少有害的拒絕服務漏洞也可能對區塊鏈網絡中的整個網絡造成風暴攻擊,這將對整個數字貨幣系統產生巨大影響。

    2.攻擊區塊鏈行為的“情節嚴重”難以界定

    目前的司法實踐一般從行為次數、獲取信息的量、給受害人造成的損失、犯罪行為造成的社會影響等幾個角度來認定計算機犯罪中的“情節嚴重”。

    第一,從行為的數量來看。在司法實踐中,“侵入計算機系統,危害信息安全,非法控制計算機信息系統三次以上”是認定“嚴重情節”的標準之一。第二,確定了采集的計算機信息數據量。如果演員獲得了500多張與個人信息有關的圖片,或在計算機信息系統中獲得了一定數量的數據,如超過50萬億,則應視為“嚴重情況”。第三,從行為人獲得的經濟利益和給受害人造成的經濟損失來判斷。第四,從犯罪行為的影響和后果來看,如果犯罪人在獲取計算機信息系統的數據后,肆意傳播所獲取的數據,在不構成其他犯罪的情況下,給受害人的生活帶來麻煩,侵犯其數據權,甚至造成社會不良影響,或者因數據內容泄漏致他人自殺的,應認定為“情節嚴重”。

    綜觀以上四個角度的認定方式,幾乎所有涉及到攻擊區塊鏈的犯罪行為,都能輕易的達到獲取信息數量巨大、給受害人造成嚴重的經濟損失以及社會影響巨大這三類認定標準,但這從立法角度來講是十分不合理的,無法達到分段量刑的目的。攻擊區塊鏈獲取計算機信息數據的數量較傳統計算機犯罪相差巨大,非法所得的數額難以評估,將成為實務中認定的主要難題。

    (三)以犯罪客體為分析視角

    1.區塊鏈犯罪的客體不同于計算機犯罪

    計算機犯罪屬于我國刑法的第六章,妨害社會管理秩序罪,其侵犯的客體應為計算機管理秩序,而攻擊區塊鏈的行為能否適用于計算機犯罪所保護的法益呢?

    我們知道區塊鏈網絡傾向于支持未經許可的開放和使用原則,類似于早期互聯網的工作方式。為了保護這一概念免受政治壓力和監管干預,區塊鏈網絡運行在一個不受任何人或組織控制的分散架構上。與政治管理不同,區塊鏈的管理并非直接來自社區。相反,這是將代碼寫入協議并作為初始網絡架構的組成部分運行的先發制人措施。要成為此社區的成員,必須支持最初開發和建立的區塊鏈網絡規則。由此可見,區塊鏈的管理者是每一個用戶,而不是像傳統的中心化數據庫一樣有一個管理者。在The DAO案例中,以太坊創始人的最初愿景是,計算機代碼應被視為社區法律,并取代法律協議和監管規則。為實現這一愿景,The DAO創始人表示,參與者應將應用程序的代碼確定為決策的唯一來源。

    由此可見,此次事件能否被認定為妨害社會管理秩序,仿佛變成了一個假命題,因為根本沒有管理者,何來的侵犯社會管理秩序呢。

    2.現行刑法體系無法涵蓋大數據法益

    筆者認為,在區塊鏈技術背景下,刑法對信息安全的保護所側重的角度會發生變化,這個變化過程由“信息系統的保護”、“個人信息保護”和“大數據整體性保護”三個階段構成,目前我國刑事立法尚處于由第一個階段向第二個階段的過渡期,而由于攻擊區塊鏈行為的出現和發展,法益的保護應向“大數據整體性保護”轉變。

    區塊鏈使用加密技術來幫助平臺參與者隱藏真實的身份信息。其他參與者通過公鑰查詢僅限于交易信息。查詢參與者身份信息時,結果只是區塊鏈上的用戶名,或者是一串有效保護參與者信息的地址代碼。但這種保護個人信息的方式,看似很好的阻絕了個人身份的泄露,但“個人信息”,或者說“值得保護的個人信息”,其核心價值在于與真實生活的耦合程度,而往往不在信息本身。

    以小黃車ofo為例,它的盈利方式不僅在于獲取里程數傭金,而在于擴大使用后對于城市人口特定時間內行為軌跡的追蹤,這一記錄形成的大數據才是極具商業價值的,而具體到是由哪一個人實施的行為,恰恰不是信息價值的核心。如此可見,個人信息不僅關系到個人法益,更關系公共信息安全乃至國家安全,例如有關國家和商業秘密的信息己經在大數據中產生交疊,因此需要加強對大數據的整體性保護,而非將個人數據,商業秘密,國家秘密割裂開來,若是仍然沿用原有概念的范圍對信息進行保護,將使得原有的法益無法被涵蓋其中。

    四、區塊鏈技術下涉數據犯罪規制困境的成因剖析

    涉數據犯罪在信息社會中發生和發展,特別是在大數據時代。犯罪分子利用現代通信技術闖入數據系統,手段與傳統犯罪的區別主要在于客體的非物質性,與受害者的非接觸性以及危險的潛在性。因此,基于涉數據犯罪刑事規制的一般思想,可以從行為異化、法益保護和刑罰適用三個方面來思考監管困境。

    (一)涉數據犯罪行為異化的理性剖析

    在大數據時代,基于有效利用數據的新技術,如人工智能,云計算和區塊鏈,正在推動信息社會和數字經濟的發展。數據安全風險防范已從傳統的計算機犯罪演變為個人信息犯罪,“刑法”的重點正在從法律地位的“計算機系統數據”價值轉向背后的“信息”。據此,對于法律評價而言,重要的信息和數據有范圍上的差異,刑法對數據網絡的異常行為和犯罪者的刑事責任進行了負面評估。傳統的破壞數據安全行為主要是指計算機犯罪,包括特定領域的計算機系統的入侵和破壞。從互聯網犯罪時代到信息網絡犯罪時代,再到三網融合下的大規模網絡犯罪時代,一方面,傳統犯罪行為的網絡異化是犯罪作為評價對象的結果,法益侵害緊迫性變成刑法的核心;另一方面,是犯罪目的的變化,犯罪活動的變化,犯罪損害后果的變化,以及對刑法概念的理解,排除了受控對象。涉數據犯罪已從“精英犯罪”演變為“普通犯罪”。總之,傳統的涉數據犯罪與涉數據網絡犯罪相互關聯,在法律利益保護和問責原則方面具有相似性,但在監管思想和主體方面存在許多差異。

    就涉數據犯罪監管對象而言,第一,涉數據犯罪的目的呈現出一種非純營利的變化。例如,在版權犯罪案件中,犯罪者購買真正的視頻并將其上傳到互聯網上免費下載。犯罪者希望增加其網站上的訪問者、下載和評論數量,而不是單純地追求利潤。刑法第217條規定的侵犯著作權罪,要求行為人主觀上具有利益目的。因此,網絡環境下的盈利目的應該得到適當的解釋。第二,涉數據犯罪的變化呈現出多樣化的演變。非法獲取個人信息和非法使用個人信息已成為實施準確電信網絡欺詐、通過資源共享軟件非法復制、非法傳播作品和實施“網上計費”等下游犯罪的先決條件。據報道,中國的涉數據犯罪與美國、俄羅斯的涉數據犯罪不同。一方面,他們并不嚴重依賴秘密網絡。另一方面,惡意軟件的開發者和特定犯罪的實施者在大多數情況下不是同一個人或同一組織。在這方面,學術界就網絡犯罪幫助行為的刑事定罪標準展開了更深入的討論。第三,涉數據犯罪的后果各不相同。傳統犯罪以“實害犯”為中心,以實際發生的危害后果為必備要件。然而,在涉數據犯罪中,有害后果的發生與傳統犯罪不同,大多表現為存在潛伏期。涉數據犯罪有害結果的異化也體現在行為危險性上,即犯罪人在涉數據犯罪中的預備行為足以造成法律不允許的重大風險,導致利益被侵害的緊迫狀態。例如,在個人信息犯罪中,非法存儲大量他人的個人信息,使不特定多數公民的財產權和人身權始終處于被侵害的狀態。綜上,傳統犯罪行為在網絡環境中與其異變形態并存。因此應在堅持刑法謙抑性、刑法基本原則的基礎上,構建數據網絡越軌行為的刑法評價體系。

    (二)涉數據保護法益的重新定位

    在區塊鏈技術下,刑法中的利益保護已從物質變為非物質,保護的重點逐漸轉向個人權利。

    首先,從分析涉數據犯罪的核心犯罪類型入手。主要有“隱私權理論”、“人格權理論”、“個人信息權理論”等關于個人信息保護法律利益的爭議。根據“隱私權理論”的觀點,個人信息立法的基礎是保護公民的隱私權,并注重保護個人信息的精神利益。在刑事立法中,它表現為基于公民道德損害因素的刑事責任。根據“人格權理論”的觀點,在一般人格權的基礎上,我們重視個人信息中人格的獨立性、人格自由和人格尊嚴,這體現在刑事立法中對公民人身權和財產權的保護。“個人信息權”支持建立個人信息的合法權益,保障個人信息中的人身權和財產權。一方面,它包括主動使用和允許他人使用它的權利。另一方面,它包括對他人不可侵犯權利的被動保護。它體現了刑事訴訟理念的轉變、制度創新和科學治理。在個人信息權的基礎上,我們應進一步完善個人信息保護要素和適用的刑罰規范。

    目前,網絡數據庫、軟件著作權和網絡數字多媒體作品的保護已經成為一項全新的著作權保護內容。我們有必要對以侵害市場經濟秩序為基礎的刑罰適用作一個深入的思考,主要是對自由刑的處罰和對罰金刑的補充。在著作權犯罪領域,國外國家主要賦予著作權人部分刑事起訴權,即在不侵犯社會合法權益的情況下,著作權人有權決定是否對侵犯著作權的行為提起刑事訴訟,以對侵犯著作權的行為進行追訴。最大程度上保護侵權行為造成的經濟損失。我國著作權犯罪率相對較高,治理效果不佳。根本問題是犯罪收入與犯罪成本之間的不平衡,導致預防犯罪效率低下。綜上所述,應加強對權利的控制和恢復,改變具體措施,保護法律利益,實現涉數據犯罪的多元化防控。

    (三)涉數據犯罪刑罰效果欠佳的原因分析

    2017年,打擊個人信息犯罪專項行動開始在全國范圍內開展,效果甚佳。從已經發現的案例來看,數據泄露的主要渠道是公司內部人員的職業犯罪和黑客攻擊。公司信息數據來自于其廣大客戶,同時,公司又是信息數據的購買者。所以應對信息和數據的風險進行源頭上的防治,禁止法律未知風險的增加,并參與到信息和數據的收集中,為使用和存儲的個人或組織提供更嚴謹的方法。

    首先,涉數據犯罪共犯行為的正犯認定問題。《刑法修正案(九)》增設了幫助信息網絡犯罪活動罪,將法律意義上的幫助行為單獨納入犯罪,初步解決了網絡語境下對共犯難以入罪的限制。在實際案例中,如何識別中立的幫助行為,如何認定網絡監督義務是司法認定中的難題。在“快播傳播淫穢物品牟利案”中,爭議焦點可以總結為以下三個方面:第一,快播軟件是否發布和傳播色情視頻;第二,運營方是否對色情視頻縱容放任;第三,軟件是否從傳播色情視頻中獲利。站在從運營方的視角,該軟件只具有視頻編碼和編號功能,用戶單獨擁有視頻的上傳和發布的權限,視頻在“110系統”嚴格審核之后方能上傳。通過代碼設計,運營方可以識別出一部分非法視頻并禁止其上傳,但是不能阻止全部的非法視頻。所以,運營方通過視頻文件的過濾和“110系統”報告的及時處理,已完全履行了監管職責。對于視頻盈利來說,運營方聲稱軟件只提供技術支持,上傳內容是用戶的權限,軟件的行為是中立的,與色情視頻的傳播無關。在這方面,公訴方提出了不同意見,即從結果來看快播的運營方應在主觀上具有間接故意,客觀上允許實際傳播淫穢視頻,并從廣告和軟件合作中獲益。總之,對涉數據犯罪中正犯的認定問題,尋求平衡數據利用和數據保護之間利益的方法是最重要的。

    其次,對于涉數據犯罪中的處罰措施,現有的犯罪預防體系并不全面。《刑法修正案(九)》增加了從業禁止制度,該制度與禁止令、前科制度共同構成預防性處罰體系,構建了三位一體、雙向平行的格局。目前,與涉數據犯罪主體表現出由“特殊主體”向“一般主體”、由“精英犯罪”向“普通人犯罪”的轉化趨勢。在預防性處罰措施的司法實踐中,除少數關于犯罪前科存續期限的規定外,大多數法律都無限期地規定了犯罪前科制度,即犯罪記錄將伴隨行為人的一生,導致他們中的大部分就業資格的喪失,阻礙了其回歸社會。一些學者指出,我國刑罰制度的弊端不僅在于重刑化,而且在于刑罰影響的持續性,導致犯罪分子永久喪失職業資格,給犯罪分子刑滿釋放后的社會化增加了過多的障礙。所以,犯罪前科制度在網絡犯罪中的具體應用尤為重要。另外,從業禁止制度與前科制度存在分歧。如果有犯罪記錄的行為人因其后續行為被判處禁止從事特定行業,這兩種制度之間就出現了分歧,不能反映從業禁止制度的價值。由此,在涉數據犯罪的預防和控制中,應將禁止令、從業禁止和犯罪前科制度有機結合起來。

    五、區塊鏈技術下涉數據犯罪的刑事規制

    從以上分析可以看出,不僅是竊取虛擬貨幣的行為,黑客攻擊區塊鏈的任何行為從現有的刑法角度都難以認定為犯罪。但筆者之所以極力將區塊鏈與傳統計算機犯罪加以區分,并非希望像密歇根州新法案一樣,簡單的將篡改區塊鏈行為追認為犯罪。而是在互聯網已經進入3.0時代的今天,我們理應看到,區塊鏈的極速發展已經成為不可逆的趨勢,若之前單純大數據概念的提出不能引起足夠重視,那么區塊鏈已經給法學界敲響了警鐘,應當對計算機犯罪行為進行細致系統地單獨定罪,而非為了達到訴訟目的盡力將其硬塞入可以適用的傳統法條中。

    (一)刑事規制上的理念轉變

    1.放棄“代碼就是法律”的主張

    “代碼就是法律”,這一由比特幣社區倡導的大膽聲明,是由點對點軟件協議(通常稱為區塊鏈技術)創新所引發的對“新世界秩序”的總結。這些協議使個人用戶能夠安全地實施有價值的數據交易(也稱為“加密貨幣”),而無需中央機構作為第三方或政府強制執行的法律規則。但目前來看,代碼并非能全方位的保護現有法律體系內的基本權利免受黑客或其他不法分子的侵害。

    因此,此處主要涉及到一個觀念的轉變。放棄“代碼就是法律”的主張,即在區塊鏈的應用之初就介入國家強制力保障其正常運行,從犯罪預防的角度規制區塊鏈應用的開發者。公眾普遍認為區塊鏈技術已經是目前為止信息加密手段中的頂級技術,但無數國內外的案例顯示,任何代碼的寫入都不可避免的存在漏洞,所謂智能合約的安全性,只建立在代碼正常運行的基礎上,而未能考慮到其本身存在的問題,黑客攻擊也大多是利用這些漏洞。前文中The Dao案例中所述的硬分叉否認了智能合約的結論性或不變性,智能合約秉持著替代法律的特性,原本不必依靠強制執行的方式來解決爭端,代碼就可以保證區塊鏈良好的運行,但事實是,黑客的攻擊行為不減反增。

    大眾普遍將黑客攻擊區塊鏈的行為理解為盜竊行為,也就是說,對拿走屬于他人的東西(虛擬貨幣)的行為,社會認為這是一種必將受到懲罰的行為。盡管有些受害者只是單純的接受這一損失,認為這是參與虛擬貨幣市場不可避免的風險,但越來越多的人向監管機構投訴這一問題,這種投訴增多的部分原因是虛擬貨幣被盜造成的損失迅速增加,丟失的虛擬貨幣不太可能被收回。然而,從規范意義上講,這種反應表明了一個普遍的觀點,即未經授權的掠奪行為的受害者期望通過傳統方式,即通過政府行為得到保護和補償。

    即使以太坊的經典目標是保持區塊鏈的不可變性和交易的確定性,目前來看,對“代碼就是法律”的主張也在某種程度上被沖淡了,因為“基礎管理者”(即政府)不存在,就無法執行和維護法律,區塊鏈只是一個允許執行不可變交易和程序的協議,盡管它被描述為一個分散的、無需管理的系統,但仍然依賴于第三方執行。如果出現任何問題,區塊鏈就無法為改變其狀態控制自身的合法運作,因此數據犯罪和其他非法活動的追責權需要通過國家強制力來保障。

    2.二次違法性原則的前置適用

    刑法謙抑性的理念已經深入人心,與此相適應的是,涉數據犯罪具有“二次違法性”的特點。即以行政違法行為為第一評價,達到一定程度的嚴重性后,進入刑法評價階段。所以,部門法之間的有機聯系具有重要意義。行政機關在強調完善刑事法律法規時,應當及時立法,將行政法律評價中涵蓋涉數據網絡越軌行為,以遏制大量的數據違法行為。同時,我國對涉數據犯罪的刑事規制與國外刑事規制的區別在于定罪的門檻。對于在國外被視為犯罪的危害較小的數據網絡侵權行為,根據《治安管理處罰法》,在我國可能構成行政違法。此外,《治安管理處罰法》還應規范與數據網絡有關的違法行為,與刑法形成有機的違法行為雙重評價體系,從不同的層次和程度上提高違法行為的成本。

    2019年頒布的《區塊鏈信息服務管理規定》就指出,國家互聯網信息辦公室負責執法監督管理,采用歸屬管轄權,各行政機關負責監督區域內的區塊鏈信息服務,管理執法工作。如果區塊鏈信息服務提供商違反《區塊鏈信息服務管理規定》,可能會收到警告,要求在限期內糾正,暫停相關業務,并處以不低于5000元但不超過3萬元的罰款。構成犯罪的,依法追究刑事責任。這種表述就是對刑法謙抑性理念以及二次違法性原則適用的具體體現。

    當一種刑法理念成為一個人內心深處的真實想法,而不只是停留在口頭表述或書面文字時,這種理念必然對解釋刑法、適用刑法起到重要的指導作用。作為一種新興的互聯網技術,區塊鏈技術經歷了從默默無聞到流行討論再到理性回歸的發展時期。如何通過監督指導區塊鏈技術并將其應用于特定的經濟情景,是所有關注區塊鏈發展的人關心的重點問題。《區塊鏈信息服務管理規定》的制定是中國區塊鏈監管的一個轉折點。通過實施監管,將對推動區塊鏈技術的發展起到積極作用。

    (二)刑事立法上的條款調整

    非法獲取計算機信息系統數據、非法控制計算機信息系統罪,使我國信息安全保護進入了新的階段。它將刑法的重心從單純的國家信息安全轉向普通的計算機系統,將新的計算機信息系統非法控制納入刑法調整的范圍,對打擊黑客犯罪起到了重要作用。但是,應當指出的是,現行刑法在完善計算機犯罪主體、刑罰種類和法定刑設置方面還不夠完善,需要進一步修改和完善。

    1.資格刑設置的規范化

    在我國刑法中,只有一種資格刑,即剝奪政治權利。從現實的角度看,這種以自由刑為核心的刑罰體系已不能滿足打擊犯罪的需要。相應地,懲罰犯罪效果的缺陷也逐漸顯現。就這一罪行而言,大多數罪犯都是通過專業或容易訪問計算機信息系統來犯罪的。這不利于罪犯重返社會,也不可能僅通過自由刑或罰款來降低他們再次犯罪的可能。黑客犯罪大多是青少年犯罪。在執行自由刑后,犯罪者又有能力繼續攻擊計算機信息系統。黑客犯罪手段新穎隱蔽。禁止網絡成癮的黑客法律規定的時間內從事與計算機相關的工作,對于降低黑客犯罪的發生率尤為重要。

    如2002年5月1日,美國聯邦法院因被告人——電腦病毒“梅麗莎”制造者史密斯幫助政府發現其他病毒制造者,對被告人從輕判處5000美元罰款、參加社區服務并禁止其使用電腦和因特網。在1979年《刑法》的立法過程中,“禁止某些業務”被列為處罰類型之一。1995年8月8日,全國人民代表大會常務委員會法律工作委員會刑罰修正組《中華人民共和國刑罰(總則修正稿)》在第4章“刑罰”中明確規定“剝奪特定職業資格”,即第55條,“利用所從事的職業,犯罪情節嚴重的,剝奪從業資格。”可以獨立適用,也可以附加適用。第56條:“剝奪特定職業資格的期限不低于一年,不超過五年,刑期從判決生效之日起計算”,這種資格刑有助于對有黑客犯罪記錄的犯罪分子進行特殊預防。

    《刑法修正案(九)》規定了“職業禁止”,即在刑法第37條后增加一條,作為第37條之一規定:“因利用職業便利實施犯罪,或者實施違背職業要求的特定義務的犯罪被判處刑罰的,人民法院可以根據犯罪情況和預防再犯罪的需要,禁止其自刑罰執行完畢之日或者假釋之日起從事相關職業,期限為三年至五年。”但需要注意的是,“刑罰執行完畢”應當理解為實刑的執行完畢,職業禁止的規定不包括判處管制以及宣告緩刑的情形。特別是根據刑法的相關規定,管制期限內蘊含著允許犯罪人繼續從事職業的精神,故不能將“職業禁止”適用于管制。根據職業禁止在刑法中的結構位置來看,它只是一種非刑罰處罰措施,而非嚴格意義上的資格刑。故筆者建議刑法增設“禁止從事一定業務或職業”的資格刑。資格刑職業禁止的范圍可根據國際勞工組織采用的《國家標準職業分類(2008年)》來界定。然后將職業資格與職業活動區分開來,法官通過自由裁量來選擇禁止的職業范圍和期限。

    除此之外,可以在涉數據犯罪中建立與職業禁止相配套的前科消滅制度。盡管有犯罪記錄的人不是嫌疑人,但基于記錄的職業限制仍然受到嚴格的限制,無論是作為平等保護還是作為正當程序。有犯罪記錄的人,像傳統的嫌疑犯階層一樣,缺乏政治權力,并遭受社會歧視。由于不能依賴正常的社會活動,因此存在更大的社會危險性,針對有犯罪記錄的人,法律將施加不必要的傷害。如果有犯罪記錄的人在社會活動中有真正的發言權,那么職業限制仍然存在。即使法律沒有受到偏見的驅使,公眾對前罪犯的普遍憎惡也意味著法律往往不能適當地重視對有犯罪記錄的人所造成的傷害。因此對于涉數據犯罪的過失犯,社會危險性較小,再犯罪的可能性也較小,建議規定在法定期間內未犯罪或未觸犯其他法律的,可以將其作為適用前科消滅制度的實質性內容。形式要件對前科消滅制度的程序作出具體規定。前科者向法院申請適用該制度的,法院查清案件后,可以酌情判決。前科消滅制度是為特殊預防而設計的,有利于罪犯的社會返回。

    2.法定刑設置的合理化

    《刑法修正案(七)》第9條規定,國家事務、國防建設和先進科學技術領域以外的計算機信息系統的信息安全保護。《刑法修正案(七)》除增加了客體與刑法第二百八十五條的區別外,還增加了控制計算機信息系統的行為。非法控制普通計算機信息系統的最高法律處罰為三年有期徒刑,情節特別嚴重的,可以處七年有期徒刑。有特殊技術手段的,可以不侵入國家事務、國防建設和先進科學技術領域的計算機信息系統,而用非法控制替代,這種情況不構成犯罪。雖然這也是一種控制行為,但在刑罰中的規定確有不同。國家事務、國防建設和先進科學技術領域的計算機信息系統與國家安全密切相關。非法控制計算機信息系統將嚴重危害國家信息安全,主觀惡性比侵入普通計算機信息系統更嚴重,但行為人面臨的懲罰卻更輕。此處法定刑的設定是否適當,值得商榷。

    法定的刑罰等級應當與犯罪的危害后果、手段和數額相協調,以正確反映行為的嚴重性,罪責刑相適應。刑法第二百八十五條規定,在非法侵入計算機信息系統罪與非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪之間,非法侵入計算機信息系統罪的客體更為重要。其法定刑等級與第二款規定的基本犯罪相同。它不能反映計算機信息系統在國家事務、國防建設、國防科技等領域的安全性、重要性。因此,建議將刑法第285條修改為:“違反國家規定,侵入國家事務、國防建設和先進科學技術領域的計算機信息系統的,處三年以上、七年以下有期徒刑。”

    3.對數據的保護增加危險犯模式

    刑法對計算機犯罪的規制應以權力控制為中心,對信息安全的違法違規和非法授權行為應視為主要違反數據秩序的危險犯罪。由于此類行為在刑法上是可處罰的,因此不需要結果來為其可處罰性提供充分的依據。在以往分析的基礎上,計算機犯罪的保護應該從數據操作的過程入手,從危險犯罪的角度出發。另外,嚴重后果不應視為構成犯罪的必要構成要件。“造成嚴重后果”是構成要件,但不是處罰的實質依據。

    此外,我國刑法對計算機犯罪進行了界定(此處計算機犯罪是指非法侵入計算機信息系統、非法控制計算機信息系統罪、破壞計算機信息系統罪),僅規定了行為犯罪及其后果的犯罪。例如,刑法規定:“故意生產、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,造成嚴重后果的,依照第一款的規定處罰。”本款所稱生產、傳播,是指病毒的認定本身并不構成犯罪,但在一定條件下,它將構成犯罪,但事實上,當后果發生時,它已經對社會造成了傷害,而且是不可彌補的。目前,以區塊鏈為代表的新技術的出現,使得犯罪時很容易達到“情節嚴重”的標準。由此可見,結果犯的定罪模式難以適應時代的發展。因此,建議在定罪模式下,以危險犯取代結果犯,而制造病毒和傳播病毒等危險行為應在法律范圍內加以控制。

    (三)刑事司法上的適用完善

    1.擴大條文中關鍵詞的外延

    今天,隨著區塊鏈技術的廣泛應用,面對越來越頻繁的數據違法犯罪,我們還應注意完善法律條文中“規范性關鍵字”的解釋,完善法律保障體系,防止因以下原因而不能有效處罰的新犯罪的發生:保護對象范圍太窄。筆者認為,對于與數據有關的犯罪,在解釋現行刑法中的“規范性關鍵詞”時,可以采取實質性解釋,在保護法律利益的基礎上擴大解釋范圍。犯罪構成的確定和理解還應以受法律保護的法律利益為指導,不僅要從條款的字面意義上,而且要以犯罪和法律的合法性原則為指導,這樣,如果某項有害行為不能包括在犯罪構成中,那么就可以更廣泛地解釋這種有害行為。

    例如,《刑法》253條規定的侵犯公民個人信息罪所保護的合法利益是公民的數據權和日常生活的安寧。“公民個人信息”的解讀直接關系到犯罪的認定。如果只解釋為“特定的公民個人信息”,這種解釋顯然不能形成全面有效的完善法律利益預防保護。例如,個人信息被盜事件在我們的日常生活中經常發生。竊取的數據量通常很大。這些數據不指向特定對象。基于這一新的犯罪特征,有必要擴大對“公民個人信息”的解釋,將可能因泄密而對公民造成實質性侵犯的所有數據和信息納入解釋范圍,從而有效地保護刑法第253條所指的法律利益。

    此外,盡管目前的司法實踐普遍認為涉嫌竊取大量數據是一種“嚴重”的情況,但并未規定此類大量數據是否針對特定對象。只有擴大解釋,才能將無特定對象的大量數據的銷售和非法提供納入刑法的范圍,才能有效地遏制非法大型數據產業鏈中公民信息的竊取。信息保護違法行為應當避免侵犯公民信息權、造成重大社會危害的大規模犯罪活動。

    2.明確網絡越軌行為的性質

    在涉數據犯罪司法認定中的難點之一,就是如何界定網絡越軌行為,即犯罪嫌疑人在網絡背景下利用數據作為犯罪工具或犯罪對象,實施違法行為的定性問題。從行為輕重來看,網絡越軌行為可以分為不當行為、不道德行為和反社會行為。涉數據犯罪屬于法定犯,第三類行為在刑法規制的范圍內。2017年,“網絡刷單”第一案主犯以非法經營罪定罪,引起學者對涉數據犯罪“變異行為”、“違法性認識有無”等問題的廣泛關注。當前,“網絡計費”、“流量劫持”、“DDOS攻擊”等與數據相關的新興的網絡越軌行為已發展成為一系列鏈條化犯罪,且出現國際化、智能化、平臺化、企業化和大眾化的趨勢,對社會發展和穩定造成了嚴重的不良影響。但是,在司法實踐中,犯罪分子卻大多認為他們在利用行業的潛規則,而不是犯罪。在“網絡刷單”第一案中,原被告就犯罪人的“違法性認識”和“是否違反國家規定”發表了意見。對違法性認識來說,網絡刷單行為在社會生活中廣泛存在。犯罪分子對該行為的是否構成犯罪缺乏認識。即便他們意識到這是違法的,也大多將其視為是民事侵權或行政違法。

    新興的涉數據網絡越軌行為的治理可以從兩個方面進行改進。首先,在短期內,通過司法解釋的完善,將涉數據網絡越軌行為納入刑法,如《關于辦理利用信息網絡實施誹謗等刑事案件適用法律若干解釋》的規定。更好地實現了刑法的指導作用和規范作用。其次,從長遠來看,涉數據犯罪需要全面保護,這不僅需要刑法的規制,還需要民事和行政措施的參與。對于民事措施來說,被害人或者原告應當減輕或免除訴訟費用和舉證責任,實現刑事手段的良好保證;對于行政措施來說,應當合理頒布行政法規,提高政府監督的效能。完善對行政違法行為的處理,依法對行政違法者采取責令刪除違法內容、關閉網站等強制性措施。

    3.規范電子數據的證據規則

    在程序法上采用司法解釋的方式完善電子數據的證據規則。數據網絡犯罪問責困難的主要原因之一是證據規則,特別是電子數據的矛盾。雖然民事訴訟程序是基于誰主張誰舉證的原則,但由于專業技術的局限性,獲取有關非法收集、使用和傳播信息數據的法律證據很難。在刑事訴訟方面,相關研究提出了舉證責任倒置和降低標準的反措施,但他們面臨更現實的障礙。所以,2017年5月最高人民法院、最高人民檢察院發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確規定采用推定的證明方式,也就是說,對于個人信息的量化監管,推定并不一定要證明這是正確的,因為推定非由相反的證據證明就是正確的。另外,為了構建電子數據證據規則,一方面我們可以借鑒美國電子數據采集的法律標準,逐步引入和應用電子數據搜查令制度,完善電子數據嵌入規則;另一方面,“啟用數據取證評估,包括評估證據收集方法,評估證據收集內容和評估調查工具的能力”,以建立技術證據規則系統。

    4.深化區域及國際間的協同合作

    虛擬貨幣的國際監管格局是一個不一致的、不完整的、旨在打擊濫用該技術的犯罪企圖的拼湊。為了實現這項技術的變革潛力,必須有效地處理其刑事濫用問題。而涉數據犯罪的特點是科技性高,跨域廣泛,協作性強。因此必須加強區域和國際機制之間的合作。涉網絡犯罪國際刑事合作主要涉及管轄權糾紛和調解,引渡、取證、判決承認與執行。可以從兩個方面考慮改善中外刑事司法合作。首先,中國應加強數據網絡刑事立法,促進與國際社會的融合。電子數據可以提供關于跨域犯罪行為和結果的大量證據。因此,需要加強電子數據證明規則,跨域刑事調查和證據收集的前提也是基于該國明確的電子數據定義。由此,《刑事訴訟法》中關于電子數據更新和改進的有關規定為加深涉數據犯罪的跨域合作提供了良好途徑。其次,是建立公平有序的涉數據犯罪體系,在國家和地區之間平等協商,友好合作,建立規范的合作平臺,為從根本上建立跨域犯罪合作奠定基礎和方向。中國應將解決刑事司法管轄的具體措施,具體的引渡標準等內容,作為跨境合作協議的主要內容。推動深化合作機制,促進了國際網絡空間和區域經濟秩序的穩健性和穩定性,同時維護了我國的網絡安全和國家利益。

    最困難的挑戰可能留給執法部門——加密資產的相對匿名性將要求執法機構花費大量包括時間和金錢的資源來追查壞人。美國聯邦調查局(“FBI”)早在2011年就意識到匿名性問題及其對盜竊和其他惡意使用區塊鏈技術的影響。更為復雜的是,區塊鏈行業繼續創建功能,以增加“混合服務”和多重簽名交易等用戶的相對匿名性。犯罪分子正在關注這些匿名創新,在他們尋找技術新弱點的同時,將其作為一個盾牌。考慮到這些挑戰,美國聯邦調查局和其他機構將不得不繼續創造性地為這些復雜的新犯罪尋求解決方案。

    然而,網絡犯罪造成的損失繼續上升,如果虛擬貨幣的市場價格大幅上漲,或者基于區塊鏈的資產成為商業信息轉讓的關鍵部分,盜竊將越來越多地在這一市場中發揮作用,虛擬貨幣盜竊與其他基于互聯網的犯罪日益增多的趨勢完全吻合。數據泄露在美國去年報告的統計數字中已經占第二大受害群體,執法機構似乎正在采取第一步來應對快速發展的技術挑戰。私人團體同樣也在設計使用公共地址和信息來識別不良行為者的方法。例如,鏈式分析機構已經與聯邦調查局、美國證券交易委員會和其他機構建立了伙伴關系。以此來看,圍繞虛擬貨幣盜竊的社會力量,以及與此相關的日益增長的經濟效應,對于說服執法機構投入資源來克服這些挑戰至關重要。

    (四)刑法與其他部門法的協調適用

    1.對財產性利益進行網絡專門保護

    在網絡財產權益刑法保護中,應采取網絡特殊保護模式,即“以純網絡犯罪保護模式為主,以財產犯罪保護模式為輔”的多重保護模式。具體來說,不可能概括出網絡中的財產利益應該采用哪種方式來破壞。由于犯罪不僅可以由犯罪對象的性質決定,犯罪的客觀方面也是一個需要考慮的重要因素,而且結合具體案件的背景和特定情況下財產利益的特點和屬性。

    例如,在非法流量獲取案中,黑客使用惡意代碼修改網絡用戶路由器的DNS設置,導致用戶登錄到某些導航網站自動并跳轉到其他被劫持的網站,以此來獲取信息的行為,被認定為破壞計算機信息系統罪。黑客利用內部網絡的系統漏洞,從公司其他員工處竊取信息,登陸內網系統,非法利用他人手機號碼獲取互聯網流量包獲利,被認定為盜竊罪;犯罪分子利用在網絡中心工作的便利,非法控制域名解析系統,造成用戶被劫持,被迫跳到意想不到的訪問頁面,被認定為非法控制計算機信息系統罪。在這里,對于同一犯罪對象——流量,指控因行為而異。由此可見,雖然原則上在侵犯網絡財產權益時更適合認定網絡犯罪,但在特殊情況下,不能放棄財產犯罪的保護模式。此外,對于網絡犯罪的保護模式,一些學者認為,非法獲取他人虛擬財產作為網絡犯罪可能形成一個刑罰漏洞,即如果行為人不使用入侵計算機信息系統的方法獲取財產權益,如果使用欺詐手段,則不構成犯罪。非法侵入計算機信息系統罪的構成要件,不應視為計算機犯罪。

    筆者認為,非法侵入計算機信息系統或者以其他技術手段獲取數據的,原則上應當認定為網絡犯罪;通過欺騙、脅迫或者其他手段非法獲取網絡財產權益的,包括利用職權、盜竊等犯罪行為,則應根據行為的性質選擇予以處罰。然而,這種處罰仍然面臨著如何正確理解網絡財產價值的問題。此外,通過確立網絡犯罪的立法趨勢和特殊保護的司法適用趨勢,實際突出了網絡財產權益保護模式的正確選擇。然而,網絡犯罪的保護模式也面臨著犯罪客體范圍狹窄、犯罪行為類型存在漏洞、以及罪名競合等問題。

    2.確立以信息為中心的非物權化路徑

    雖然用傳統的產權模式規范涉數據犯罪似乎具有可操作性,但事實上,將數據認定為刑事法律所保護財產的思想在邏輯上是不可行的。分歧主要在于將數據確認為財產屬性時,如何確定數據的性質。

    首先,區塊鏈技術下的數據與我們過去所稱的數據不同。它是以數據流的方式生成的,具有快速的移動性。涉數據犯罪保護的核心是信息。除海量信息外,大數據還包括數據計算和分析過程。僅僅將數據識別為電磁記錄不足以規范大數據時代的涉數據犯罪。此外,數據不僅包括信息價值,還包括信息價值轉換的過程。因此,不僅數據本身的價值,即信息保護,而且數據采集與處理、交易過程都存在值得保護的價值,但目前很難確定整個大數據的產權歸屬以及從大數據到信息轉化的過程。最后,如果數據受到財產保護,不但對刑法的謙抑性存在負面影響,還會造成整個法律體系的解釋混亂。數據的財產保護被質疑存在過度保護。信息是數據和知識之間的橋梁。“信息從大數據中獲取。但大數據自身價值形態尚未確定。通過數據屬性來規范大數據時代的所有涉數據犯罪是不可能的”。因此,涉數據犯罪中的數據保護不能走傳統的道路。

    在附屬刑法中,我們可以從數據采集和使用的層面上開辟一條新的數據采集原則,即以信息保護為核心,規定信息采集的限制條件,為信息采集提供必要的保護。同時,我們可以通過明確相關的信息侵權行為來懲處這些違法行為,并建立相應的行為規范。數據采集的目的是獲取和利用信息。為了防止信息濫用和妥善保護數據,數據的使用必須滿足兩個條件:一是來源合法,二是信息的使用不能超出授權范圍,合法性以外的信息的使用應受到法律的限制。在此基礎上,應樹立規范涉數據犯罪的具體思路:從刑法層面制定信息侵權行為規范,加強對信息周邊上下游犯罪的打擊,從數據獲取層面確立數據獲取的限制條件和數據使用的適當范圍。相應的,數據的使用僅限于獲取數據的適當目的,數據的使用不能突破其授權使用的方式,使用應在授權結束時同時結束。

    六、結 語

    《韓非子·五蠹》中寫道,“世異則事異,事異則備變”,“事因于世,而備適于事”。這句話的意思是一切都會隨著社會的變化而變化,應根據當前的社會形勢制定切實可行的措施。隨著區塊鏈技術和數據網絡在社會生活中的應用逐步深入,技術給數據和信息安全帶來了巨大挑戰,同時改變了人們的生產和生活方式。隨著技術使用案例的擴大,虛擬貨幣將繼續在全國范圍內的交易中發揮作用。可以預測,盜竊案件也會相應地增加。以上筆者通過對區塊鏈技術在技術層面的分析,比較刑法領域對數據安全的保護措施,找出區塊鏈對數據安全帶來的風險。這些數據涵蓋了個人,企業和國家層面的信息安全問題。區塊鏈技術的發展使信息數據超越了法律的原有含義,使技術資源更加重要。但是,個人、企業和國家層面現行刑法中的信息安全保護仍然處于互聯網發展的初級階段。數據處理過程沒有有效的保護系統,犯罪對象的范圍沒有明確界定,受法律保護的信息范圍相對狹窄。由此,筆者建議信息安全領域的中國刑法保護制度應該從信息和技術的角度共同構建。“大數據整體性保護”被認為是刑法中的一種新的法律效益,并且提出了改變保護思路的建議。我們不僅要在信息結果上,還要在保護數據的過程引起注意。解決這些問題的關鍵是補充和解釋法律條款,虛擬貨幣是一種可以擁有的物,竊取虛擬貨幣的行為是法律必須懲罰的行為。不僅僅是為了盡可能地補償受害者,甚至是為了阻止未來的罪犯,盡管這將在交易中起到一定的作用。相反,交易將進一步加深法治的基本概念,不容他人侵犯的合法所有權權益的不正當獲取。從實踐的角度來看,執法將提供一個必要的止損空間,而其他政府機構將致力于采用基于區塊鏈的技術和法律的適當方法。這是一條應該被追尋的道路。相信通過以上手段可以彌補刑法規范的不足,構建區塊鏈技術下的涉數據安全保護體系。

    來源:北師大CriminalLawReview

    作者:張愛艷,山東政法學院刑事司法學院教授,副院長,山東省高校證據鑒識重點實驗室常務副主任;

    蘇澤琳,北京天馳君泰(濟南)律師事務所律師,山西大學與北京大學聯合培養博士研究生。

    相關文章
    草莓视频