楊 楠

隨著互聯(lián)網(wǎng)應(yīng)用的普及和信息社會的加速到來，網(wǎng)絡(luò)環(huán)境中的數(shù)位足跡也日益引發(fā)關(guān)注。理論和實務(wù)界關(guān)于該類數(shù)據(jù)的保護(hù)爭議繁復(fù)，不僅對未經(jīng)同意收集和處置個人數(shù)位足跡行為的違法性問題莫衷一是，而且在構(gòu)成要件符合性判斷上聚訟難休。關(guān)于數(shù)位足跡的數(shù)據(jù)屬性，刑法對非法采集和使用個人數(shù)位足跡的規(guī)制畛域，以及借助被害人教義學(xué)的輔助性原則平衡數(shù)據(jù)安全與數(shù)據(jù)利用間關(guān)系的路徑等重要問題，均未給予充分討論。因此，在大數(shù)據(jù)應(yīng)用催生信息保護(hù)的時代背景下，檢視個人數(shù)位足跡的刑法規(guī)制問題顯得尤為緊迫。

一、現(xiàn)實困境：數(shù)位足跡的刑法規(guī)制誤區(qū)

一般的，數(shù)位足跡是指用數(shù)字技術(shù)記載的有關(guān)個人從事網(wǎng)絡(luò)活動所產(chǎn)生的各種信息和資料。包括但不限于關(guān)鍵詞檢索記錄、網(wǎng)頁瀏覽記錄、URL記錄、session、cookies以及IP地址等具有網(wǎng)絡(luò)社會屬性的一系列信息數(shù)據(jù)資料。由于具有反映個人從事網(wǎng)絡(luò)活動偏好的優(yōu)長，數(shù)位足跡逐漸被應(yīng)用在基于個人定制的營銷服務(wù)中。當(dāng)大數(shù)據(jù)應(yīng)用技術(shù)對數(shù)位足跡的深度挖掘使自然人數(shù)字人格被刻畫得愈發(fā)清晰具體時，精準(zhǔn)營銷對此類信息的需求愈加焦渴。但毋庸置疑，如果在實現(xiàn)數(shù)據(jù)價值的同時輕怠對其采集和使用的規(guī)制，則無疑招致對數(shù)位足跡的應(yīng)用因危及信息網(wǎng)絡(luò)安全而路徑逼仄，甚至進(jìn)退維谷。

(一)違法性的支離危及法秩序統(tǒng)一

上述隱憂早在司法實踐中得以呈現(xiàn)?！爸鞜钤V北京百度網(wǎng)訊科技公司侵犯隱私權(quán)案”(案例一)中，被告人朱燁訴百度公司未經(jīng)其知情和選擇，利用網(wǎng)絡(luò)技術(shù)，記錄和跟蹤其所搜索的關(guān)鍵詞，并將興趣愛好、生活學(xué)習(xí)工作特點(diǎn)等顯露在相關(guān)網(wǎng)站上進(jìn)行廣告投放,這侵害了其隱私權(quán)。對此，百度公司以cookies不是個人信息、原告可啟用選擇退出機(jī)制為由抗辯。法院一審認(rèn)定百度公司侵犯隱私權(quán)，百度公司敗訴。一審宣判后，百度公司提起上訴。南京市中級人民法院認(rèn)定，cookies不屬于個人信息，百度公司也未侵害網(wǎng)絡(luò)用戶的選擇權(quán)和知情權(quán)，瀏覽器用于提供個性化推薦服務(wù)并非侵權(quán)行為。二審遂撤銷一審判決，駁回朱燁的全部訴訟請求[注]參見《江蘇省南京市鼓樓區(qū)人民法院民事判決書》，(2013)鼓民初字第3031號；參見《江蘇省南京市中級人民法院民事判決書》，(2014)寧民終字第5028號。?？梢?，本案一審法院和二審法院對作為數(shù)位足跡的cookies是否具有對特定自然人的可識別性、能否被認(rèn)定為個人信息存在根本分歧。由此也進(jìn)一步引起對cookies應(yīng)予放任使用抑或規(guī)范保護(hù)的爭議。

如果僅將上述異議視為二審對一審侵權(quán)之訴的糾偏，那隨后的一系列刑事裁判似乎并不合于本案關(guān)于數(shù)位足跡不是個人信息的基本判斷。在“朱某某非法獲取公民個人信息案”(案例二)中，被告人在被害人電腦中私自安裝截屏軟件，非法獲取包括網(wǎng)頁瀏覽等所有記錄并存檔。對此，法院一審判處被告人構(gòu)成非法獲取公民個人信息罪[注]參見《上海市虹口區(qū)人民法院刑事判決書》，(2014)虹刑初字第540號。。本案中，網(wǎng)頁瀏覽記錄被認(rèn)定為公民個人信息。審判人員還撰文指出，類似于網(wǎng)頁瀏覽記錄的動態(tài)信息與特定公民的隱私及人身安全關(guān)系密切，故應(yīng)屬于公民個人信息的范圍并受刑法保護(hù)[注]參見葉琦《基于特定身份非法獲取公民個人信息構(gòu)成非法獲取公民個人信息罪》，《人民司法(案例)》2014年第20期。。無獨(dú)有偶，在“A公司等侵犯公民個人信息案”(案例三)中，A公司和史某某等通過購買有關(guān)計算機(jī)代碼、搭建服務(wù)器并將代碼植入公司網(wǎng)站等方法，獲取訪問該網(wǎng)站用戶手機(jī)號、IP以及搜索關(guān)鍵詞等信息，之后將其出售并獲利。法院認(rèn)定A公司及其責(zé)任人構(gòu)成侵犯公民個人信息罪[注]參見《北京市海淀區(qū)人民法院刑事判決書》，(2018)京0108刑初1115號。。在本案中，作為數(shù)位足跡的“IP地址”和“搜索關(guān)鍵詞”也被視為公民個人信息。此類案件不一而足，在此不做詳述。

通過上述案件可以發(fā)現(xiàn)，對數(shù)位足跡法律屬性的認(rèn)識尚存爭議。這種爭議不單體現(xiàn)在民事侵權(quán)案件中不同審級法院之間的齟齬，而且不同法律部門間也相互抵牾，其沖擊法秩序的統(tǒng)一性的征兆可見一斑。首先，法律概念是法律體系的基石，一般而言，相同概念應(yīng)作相同解釋，這才符合法律體系無矛盾性的要求[注]楊銅銅：《論不確定法律概念的體系解釋——以“北雁云依案”為素材》，《法學(xué)》2018年第6期。。上述民事判決對數(shù)位足跡作為個人信息保護(hù)的否定和刑事裁判對其作為個人信息保護(hù)的肯定，已經(jīng)從一個側(cè)面反映出不同法律部門對“公民個人信息”存在歧見。在案例一發(fā)生時，直接或間接規(guī)定“公民個人信息”概念的法律、司法解釋和行政法規(guī)不但在定義“公民個人信息”的模式上存在較大差異，而且在對其外延的勾畫上也不乏區(qū)分[注]2012年12月28日全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(以下簡稱“人大《決定》”)第1條規(guī)定：“國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息。”2014年10月21日最高人民法院《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(以下簡稱“最高法《解釋》”)第12條規(guī)定：“網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息，造成他人損害，被侵權(quán)人請求其承擔(dān)侵權(quán)責(zé)任的，人民法院應(yīng)予支持?！?013年6月28日工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》(以下簡稱“工信部《規(guī)定》”)第4條規(guī)定：“本規(guī)定所稱用戶個人信息，是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點(diǎn)等信息?！笨梢?，人大《決定》和最高法《解釋》對個人信息做間接規(guī)定，而工信部《規(guī)定》對之予以直接規(guī)定；人大《決定》中采用歸納的定義模式，最高法《解釋》采用演繹的定義模式，而工信部《規(guī)定》則采取“歸納+演繹”的混合型定義模式；從外延來看，最高法《解釋》劃定的公民個人信息犯罪較窄，因為按照同類解釋原理，未完全列舉的其他信息應(yīng)與所列舉的信息的敏感程度相似；雖然都以“可識別性”作為標(biāo)準(zhǔn)，工信部《規(guī)定》所劃定的個人信息范圍較人大《決定》更廣，因為其中還包含一般人無法據(jù)此識別特定人的電信服務(wù)信息。，這使本應(yīng)協(xié)同的規(guī)范之間罅隙叢生?？梢韵胍?，在同一法律部門中針對既定問題所需援引的規(guī)則都不盡相同，更遑論不同法律部門之間的合致了[注]2013年4月23日最高人民法院、最高人民檢察院、公安部《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》第2條規(guī)定：“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料。”上述的最高法《解釋》并未對識別性做出規(guī)定，其外延顯然小于本解釋。。雖然，國家也陸續(xù)對相關(guān)法律規(guī)范進(jìn)行調(diào)整[注]2017年12月29日國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標(biāo)準(zhǔn)化管理委員會《信息安全技術(shù)——個人信息安全規(guī)范》第三章第一節(jié)中規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息?！?017年3月20日最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定：“刑法第二百五十三條之一規(guī)定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。”2016年11月7日《網(wǎng)絡(luò)安全法》第76條第5項規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！鼻皟刹恳?guī)范所界定的公民個人信息范圍較第三部更廣。因為在其定義中不但有可識別性信息，還包括關(guān)聯(lián)性信息?？梢?，規(guī)范間的沖突仍未消弭。，但上述問題依然積重難返。其次，根據(jù)法秩序統(tǒng)一性原理，“刑法的相關(guān)規(guī)定(特別是行政犯)應(yīng)有其他部門法的規(guī)定作為前置條件”[注]喻海松：《侵犯公民個人信息罪司法疑難之案解》，《人民司法(案例)》2018年第32期。。刑法學(xué)中違法性概念應(yīng)置于所有法領(lǐng)域或者犯罪中統(tǒng)一理解，亦即“違法性在根本上，在法秩序的整體當(dāng)中是統(tǒng)一的”[注][日]曾根威彥：《刑法學(xué)基礎(chǔ)》，黎宏譯，北京：法律出版社，2005年版，第214頁。。為了充分發(fā)揮罪刑法定這一基礎(chǔ)教義的人權(quán)保障機(jī)能，刑事違法性的來源應(yīng)從民事和行政法規(guī)中找尋，并借此充實相應(yīng)的構(gòu)成要件[注]參見劉艷紅《法定犯與罪刑法定原則的堅守》，《中國刑事法雜志》2018年第6期。。遺憾的是，我國對個人信息甚至其他數(shù)據(jù)資料的保護(hù)均由刑法率先垂范，這不但使刑法僭越了其保障法的地位，也招致了整體法秩序的紊亂。例如，對于案例三以及“張某非法獲取公民個人信息案”[注]本案中，被告人張某通過以嵌入代碼的方式非法獲取訪問wap網(wǎng)站的手機(jī)號碼及搜索關(guān)鍵字段等信息，開發(fā)移動監(jiān)控寶業(yè)務(wù)并對外推廣并牟取非法利益。被告人以此獲取了數(shù)百萬條手機(jī)號碼、手機(jī)屬地、搜索關(guān)鍵字、訪問時間等信息。廣東省廣州市番禺區(qū)人民法院認(rèn)定張某甲構(gòu)成非法獲取公民個人信息罪。參見《廣東省廣州市番禺區(qū)人民法院刑事判決書》，(2015)穗番法刑初字第799號。(案例四)，被告人均被判處非法獲取公民個人信息罪，而案例一中的百度公司卻被認(rèn)為不存在侵權(quán)行為，也無須承擔(dān)民事責(zé)任。經(jīng)檢索，我們也未發(fā)現(xiàn)被告人因上述行為而擔(dān)負(fù)其他民事責(zé)任的案例。法秩序的統(tǒng)一要求排除法規(guī)范間的矛盾，排除法規(guī)范之間的矛盾要求違法判斷的統(tǒng)一性。類似于上述案例中違法性的支離，不僅影響法律實施的效果，也有悖于公民的樸素正義觀。

(二)構(gòu)成要件錯位沖擊刑法教義學(xué)的體系性

法教義學(xué)體系必須首先滿足“所有知識都在邏輯上一致”[注]王凌皞：《存在(理智上可辯護(hù)的)法律教義學(xué)么？》，《法制與社會發(fā)展》2018年第6期。的基本教義。法教義學(xué)體系的建構(gòu)就是把法律教義學(xué)內(nèi)容中的不同要素“錯落有致”地組織和搭建起來[注]黃卉：《論法學(xué)通說(又名：法條主義者宣言)》，《北大法律評論》2011年第2期。。因此，對于刑法而言，保證宏觀理論的邏輯自洽微觀各罪的致密安排，方能實現(xiàn)教義學(xué)體系的融通。由此，倘若對數(shù)位足跡數(shù)據(jù)屬性的理解發(fā)生偏誤，則無疑導(dǎo)致構(gòu)成要件該當(dāng)性判斷的錯位、相關(guān)罪名間相互糾纏難于辨別。

在“陳某某等非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)案”(案例五)中，被告人悉知通過流量劫持可以從事推廣業(yè)務(wù)，采用技術(shù)手段爬取中國移動湖南有限公司計算機(jī)信息系統(tǒng)中QQ用戶的cookies數(shù)據(jù)，并編寫程序在用戶不知情的情況下被拉入指定的群或在其QQ空間發(fā)布淘寶商品鏈接等。被告人以此收集cookies數(shù)據(jù)三百萬余條。法院認(rèn)定被告人構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪[注]參見《重慶市沙坪壩區(qū)人民法院刑事判決書》，(2016)渝0106刑初1393號。。本案中，作為數(shù)位足跡的cookies記錄并非公民個人信息，而被視為計算機(jī)信息系統(tǒng)數(shù)據(jù)，這使本案與上述案例二、案例三以及案例四的罪質(zhì)區(qū)隔不啻天淵。同樣的，在“黃某某非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)案”(案例六)中，被告人利用淘寶店鋪源代碼的漏洞，開發(fā)出網(wǎng)絡(luò)爬蟲程序獲取淘寶用戶的cookies以及交易訂單數(shù)據(jù)，為淘寶賣家開發(fā)精準(zhǔn)分析服務(wù)提供數(shù)據(jù)支持。被告人通過上述手段獲取淘寶用戶cookies兩千萬余條，交易訂單數(shù)據(jù)1億余條。對此，法院認(rèn)定黃某某構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪[注]參見《杭州市余杭區(qū)人民法院刑事判決書》，(2014)杭余刑初字第1231號。。因此，刑事司法中對未經(jīng)同意而采用技術(shù)手段獲取數(shù)位足跡行為的認(rèn)定，存在侵犯公民個人信息罪(非法獲取公民個人信息罪)和非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪兩種不同觀點(diǎn)。一部分案件中，數(shù)位足跡屬于公民人身權(quán)利的保護(hù)客體，而另一部分案件中卻是社會管理秩序的保護(hù)對象，兩種認(rèn)定思路在司法實務(wù)中似乎難分軒輊。

對同一不法行為性質(zhì)的認(rèn)定存在不同的結(jié)論，要么是對構(gòu)成要件要素的誤讀，要么是因罪名過度分立而存在競合。但無論如何，問題的根結(jié)都?xì)w于構(gòu)成要件。從構(gòu)成要件上考察，當(dāng)計算機(jī)信息系統(tǒng)數(shù)據(jù)中所含公民身份認(rèn)證信息時，二者可能存在交叉關(guān)系。在交叉關(guān)系出現(xiàn)時，被告人的行為就具有數(shù)個不法內(nèi)容，故“在判決宣告時，必須一一列出……進(jìn)而有利于實現(xiàn)特殊預(yù)防與一般預(yù)防”[注]轉(zhuǎn)引自張明楷《刑法學(xué)》，北京：法律出版社，2016年，第483頁。。為實現(xiàn)上述明示機(jī)能，應(yīng)將存在交叉關(guān)系的法條認(rèn)定為想象競合。2018年11月9日最高人民檢察院《檢察機(jī)關(guān)辦理侵犯公民個人信息案件指引》中規(guī)定：“對于違反國家有關(guān)規(guī)定，采用技術(shù)手段非法侵入合法存儲公民個人信息的單位數(shù)據(jù)庫竊取公民個人信息的行為，也符合刑法第二百八十五條第二款非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的客觀特征，同時觸犯侵犯公民個人信息罪和非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的，應(yīng)擇一重罪論處?！钡?，上述案件的裁判中既沒有明示行為存在數(shù)個不法的說理，又未見對數(shù)個罪名據(jù)處斷原則做出取舍的痕跡?？梢詳嘌?，司法人員在裁判中并未考慮想象競合問題。既然未論及競合，則要么表明cookies、搜索關(guān)鍵詞以及網(wǎng)頁瀏覽記錄等數(shù)位足跡并不屬公民個人信息，要么意味其不能被計算機(jī)信息系統(tǒng)數(shù)據(jù)的外延所涵攝。或許有人質(zhì)疑，在法條競合時，只需適用一個法條，其他法條被排除[注]參見黃小飛《法條競合之特別關(guān)系類型及其適用規(guī)則》，《中國刑事法雜志》2017年第3期。。但是，侵犯公民個人信息罪和非法獲取計算機(jī)信息系統(tǒng)罪之間既不存在一般與特殊的關(guān)系，又不存在補(bǔ)充與被補(bǔ)充的關(guān)系，不具有成立法條競合的前提。

綜上，辨識數(shù)位足跡的法律屬性是對其進(jìn)行有效規(guī)制的先決條件。意欲匡正司法實踐中對未經(jīng)同意而采集和使用數(shù)位足跡行為既不認(rèn)定為民事侵權(quán)卻又構(gòu)成刑事犯罪、既可能構(gòu)成侵犯公民個人信息罪又恐涉非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的亂象，就必須先從數(shù)位足跡的技術(shù)構(gòu)造著手，小心求證其規(guī)范屬性。

二、端本正源：數(shù)位足跡技術(shù)特性與法律屬性的雙重清理

對數(shù)據(jù)資料的法律規(guī)制，不僅應(yīng)理清保護(hù)法益及規(guī)范體系，還必須對其技術(shù)屬性和法律屬性做區(qū)分[注]參見楊志瓊《非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪“口袋化”的實證分析及其處理路徑》，《法學(xué)評論》2018年第6期。。在技術(shù)上，只要以二進(jìn)制為基礎(chǔ)且以0/1組合而成比特形式的電子代碼均可被視為數(shù)據(jù)。但法律不可能纖悉無遺地對所有形式的數(shù)據(jù)加以規(guī)制，必須根據(jù)規(guī)范目的做取舍，從而避免過分倚重數(shù)據(jù)保護(hù)而怠忽數(shù)據(jù)利用。

(一) 技術(shù)特性——數(shù)位足跡的本質(zhì)屬性

常見的數(shù)位足跡主要有關(guān)鍵詞檢索信息、網(wǎng)頁訪問記錄、cookies及URL記錄等。雖然上述數(shù)據(jù)均可反映特定自然人的網(wǎng)絡(luò)活動偏好，在數(shù)據(jù)內(nèi)容上也存在交叉或重疊，但卻不盡相同。

cookies是由web服務(wù)器生成后存儲在用戶本地計算機(jī)中的一段數(shù)據(jù)。當(dāng)用戶在瀏覽一個含有cookies功能的web服務(wù)器時，由服務(wù)器端寫入用戶的硬盤。在下次登錄服務(wù)器時，由服務(wù)器取回這些信息[注]參見沈潔、薛貴榮《COOKIES的安全及其解決方案》，《計算機(jī)工程與應(yīng)用》2002年第14期。。其最重要的用途是存儲用戶在特定網(wǎng)站上的ID和密碼并判定注冊用戶是否已經(jīng)登錄網(wǎng)站[注]參見楊程《cookie 應(yīng)用中的消費(fèi)者個人信息保護(hù)初探》，《中國工商報》2014年11月5日，第3版。。其次，cookies跟蹤并統(tǒng)計用戶訪問該網(wǎng)站事項，如搜索信息、訪問時間和訪問頁面等[注]參見呂云翔、李沛?zhèn)惥幹队嬎銠C(jī)導(dǎo)論》，北京：電子工業(yè)出版社，2016年，第102頁。。因此，每一組cookies至少包含該網(wǎng)頁的具體訪問情況數(shù)據(jù)，在需要登錄訪問且用戶選擇特定期限內(nèi)免認(rèn)登錄時，cookies中還包含身份認(rèn)證信息。統(tǒng)一資源定位符(URL)是完整描述web上資源位置和訪問途徑的標(biāo)識方法?；綰RL包含協(xié)議、服務(wù)器名稱(或IP地址)、路徑和文件名[注]參見李軍等主編《計算機(jī)網(wǎng)絡(luò)技術(shù)》，北京：科學(xué)出版社，2017年，第206頁。。其中，協(xié)議告訴瀏覽器如何處理將要打開的文件[注]參見祝群喜等編著《計算機(jī)基礎(chǔ)教程》，北京：清華大學(xué)出版社，2014年，第345頁。；IP地址為互聯(lián)網(wǎng)上的每臺主機(jī)的邏輯地址[注]參見鄭逢斌主編《計算機(jī)科學(xué)導(dǎo)論》，鄭州：河南大學(xué)出版社，2016年，第219頁。；到達(dá)特定文件的路徑和文件本身名稱一般處于文件所在的服務(wù)器的名稱或IP地址之后[注]參見李軍等主編《計算機(jī)網(wǎng)絡(luò)技術(shù)》，第206頁。，其中也可以包含接觸服務(wù)器必需的用戶名稱和密碼。因此，URL中至少包含特定文件在互聯(lián)網(wǎng)上的唯一位置以及所訪問的IP(或包含端口號)；在接觸服務(wù)器必須進(jìn)行身份認(rèn)證時，URL中還包含特定用戶的ID和密碼。正因為URL可顯示資源的具體地址，其往往被收集用于實施對網(wǎng)站的非法入侵或惡意攻擊。例如，在“趙某等非法控制計算機(jī)信息系統(tǒng)案”(案例七)中，被告人趙某為提高自己網(wǎng)站上廣告的點(diǎn)擊率，指使同案被告劉某用“URL采集器”“挖掘雞”等軟件非法侵入他人網(wǎng)站，并私自在他人網(wǎng)站網(wǎng)頁上設(shè)置被告人趙某網(wǎng)站的跳轉(zhuǎn)鏈接，幫助被告人趙某提高網(wǎng)站的訪問量。直至案發(fā)，被告人共入侵了80余個網(wǎng)站并從中獲利。對此，法院認(rèn)定被告人構(gòu)成非法控制計算機(jī)信息系統(tǒng)罪[注]參見《南通市通州區(qū)人民法院刑事判決書》，(2017)蘇0612刑初506號。。

解構(gòu)上述數(shù)位足跡并結(jié)合案例發(fā)現(xiàn)，能直接反映特定自然人行為偏好的數(shù)位足跡類型主要是網(wǎng)頁瀏覽記錄和關(guān)鍵詞檢索記錄，無法對之直接反映但同樣記錄自然人網(wǎng)絡(luò)活動軌跡的，還包括服務(wù)器邏輯地址和特定條件下的用戶身份認(rèn)證信息。網(wǎng)頁瀏覽記錄和關(guān)鍵詞檢索記錄既可單獨(dú)存在，也可包含在cookies記錄中；身份認(rèn)證信息和IP地址可通過解析cookies或URL取得；一個網(wǎng)址內(nèi)包含多個URL請求，故通過對URL記錄的分析亦可推知用戶行為習(xí)慣(例如，獲取某電商網(wǎng)站上的商品瀏覽記錄)。可以說，技術(shù)特性是數(shù)位足跡的本質(zhì)屬性，是其質(zhì)的規(guī)定性。對數(shù)位足跡數(shù)據(jù)技術(shù)架構(gòu)的厘清是進(jìn)一步研究的前提。

(二) 法律屬性——數(shù)位足跡的規(guī)范面相

生成和發(fā)揮效用場域的不同決定了對數(shù)位足跡規(guī)制的手段和目的各異，在規(guī)范層面也呈現(xiàn)出多重面相。對此，有學(xué)者曾一針見血地指出“數(shù)據(jù)的法律屬性是表征多重法益”[注]參見楊志瓊《非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪“口袋化”的實證分析及其處理路徑》，《法學(xué)評論》2018年第6期。。因此，從數(shù)位足跡的技術(shù)屬性出發(fā)并結(jié)合相關(guān)法律規(guī)范進(jìn)一步理清其規(guī)范意涵，才是務(wù)本之舉。

1.數(shù)位足跡與計算機(jī)信息系統(tǒng)數(shù)據(jù)

根據(jù)《治安管理處罰法》第29條和《刑法》第285條第2款之規(guī)定，計算機(jī)信息系統(tǒng)數(shù)據(jù)是在計算機(jī)信息系統(tǒng)中存儲、處理或傳輸?shù)臄?shù)據(jù)。2011年1月8日修訂的國務(wù)院《計算機(jī)信息系統(tǒng)安全保護(hù)條例》第2條規(guī)定，計算機(jī)信息系統(tǒng)是指由計算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。據(jù)此可知，計算機(jī)信息系統(tǒng)數(shù)據(jù)具備如下要素：其一，數(shù)據(jù)狀態(tài)。存儲的數(shù)據(jù)、處理過程中的數(shù)據(jù)以及傳輸時的數(shù)據(jù)均屬之。其二，數(shù)據(jù)載體。數(shù)據(jù)的載體不限于計算機(jī)，還包含相關(guān)配套設(shè)施設(shè)備。其三，交互情況。不單包含計算機(jī)中相對封閉的數(shù)據(jù)，還包括網(wǎng)絡(luò)環(huán)境中的數(shù)據(jù)。

對計算機(jī)信息系統(tǒng)數(shù)據(jù)的界定，理論爭議頗多。有學(xué)者認(rèn)為，計算機(jī)信息系統(tǒng)數(shù)據(jù)是“內(nèi)部信息系統(tǒng)資料”，其數(shù)據(jù)內(nèi)容具有“封閉性、靜態(tài)性和限定性”[注]參見孫道萃《大數(shù)據(jù)法益刑法保護(hù)的檢視與展望》，《中南大學(xué)學(xué)報(社會科學(xué)版)》2017年第1期。。據(jù)此觀點(diǎn)，網(wǎng)絡(luò)數(shù)據(jù)無法通過對現(xiàn)有“計算機(jī)信息系統(tǒng)數(shù)據(jù)”和“計算機(jī)信息系統(tǒng)”的擴(kuò)張解釋納入刑法保護(hù)之中[注]參見于志剛、李源?！洞髷?shù)據(jù)時代數(shù)據(jù)犯罪的類型化與制裁思路》，《政治與法律》2016年第9期。。但是，對計算機(jī)信息系統(tǒng)數(shù)據(jù)的界定不能閾于刑法之內(nèi)，還應(yīng)結(jié)合行政法規(guī)探求其規(guī)范意涵。特別是對此類法定犯，“為充分發(fā)揮罪刑法定原則的人權(quán)保障機(jī)能……從法秩序統(tǒng)一性原理出發(fā)，強(qiáng)調(diào)法定犯構(gòu)成要件符合性判斷應(yīng)結(jié)合行政管理法規(guī)而進(jìn)行，才能全面而充分地判斷法定犯構(gòu)成要件符合性，而這正是法定犯堅持罪刑法定原則的前提”[注]劉艷紅：《法定犯與罪刑法定原則的堅守》，《中國刑事法雜志》2018年第6期。。因此，在刑法未對這一概念做規(guī)定的前提下，參見專門的行政法規(guī)進(jìn)行司法適用并無不當(dāng)。既然《計算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確規(guī)定計算機(jī)信息系統(tǒng)不僅指計算機(jī)本身，還包含配套設(shè)備，并特別注明涵蓋網(wǎng)絡(luò)設(shè)施，這表明計算機(jī)信息系統(tǒng)具備交互性和開放性。據(jù)此解釋，不僅在一定程度上克服了計算機(jī)代際躍升對既定法規(guī)范的沖擊，還充實了《刑法》第285、第286條相關(guān)罪名的構(gòu)成要件。具體看來，網(wǎng)頁瀏覽記錄、URL記錄和cookies一般存儲在用戶本地計算機(jī)中，無疑可作為計算機(jī)信息系統(tǒng)數(shù)據(jù)；關(guān)鍵詞檢索記錄既能保存于用戶設(shè)備，又可留痕于網(wǎng)絡(luò)服務(wù)器，當(dāng)然可被前述計算機(jī)信息系統(tǒng)的外延涵攝；IP地址，特別是浮動IP地址，一般不存儲于用戶計算機(jī)中，而由網(wǎng)絡(luò)運(yùn)營商分配并記錄，原則上也可作為計算機(jī)信息系統(tǒng)數(shù)據(jù)。由此，各項數(shù)位足跡均滿足計算機(jī)信息系統(tǒng)數(shù)據(jù)的基本特征，存在被作為計算機(jī)信息系統(tǒng)數(shù)據(jù)加以保護(hù)的可能。

需要注意的是，2011年7月11日“兩高”《關(guān)于辦理危害計算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第1條中明確規(guī)定的數(shù)據(jù)類型為“身份認(rèn)證信息”。這是否意味著只有具備身份認(rèn)證功能的“支付結(jié)算”“期貨交易”以及“證券交易”等信息才屬于計算機(jī)信息系統(tǒng)數(shù)據(jù)？答案是否定的。首先，作為最后保障法，刑法只對違法性較為嚴(yán)重的行為加以規(guī)制。司法解釋中列明的“身份認(rèn)證信息”屬于敏感信息，對其進(jìn)行非法收集和使用的違法程度較其他信息更高。刑法未將其他類型的信息納入規(guī)制范圍正是為民事、行政法律部門的規(guī)制留足了空間。所以，未被刑法保護(hù)的信息并不意味著被排除在計算機(jī)信息系統(tǒng)數(shù)據(jù)之外。反之，即使是司法解釋明確規(guī)定的數(shù)據(jù)類型，也不必然被刑法保護(hù)。正如學(xué)者所言，解釋看似將公民個人“身份認(rèn)證信息”納入刑法保護(hù)的同時，實質(zhì)卻是在對公共秩序、社會管理秩序進(jìn)行保護(hù)，被納入刑法保護(hù)范圍內(nèi)的“身份認(rèn)證信息”也只是影響到計算機(jī)信息系統(tǒng)安全的信息[注]于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期。。其次，司法解釋中還存在“其他嚴(yán)重情形”這一兜底條款。根據(jù)同類解釋原理，如果獲取其他類型的數(shù)據(jù)且嚴(yán)重危害計算機(jī)信息系統(tǒng)且不法情節(jié)與前述相當(dāng)?shù)腫注]參見冀洋《謹(jǐn)防網(wǎng)絡(luò)時代破壞生產(chǎn)經(jīng)營罪“口袋化”》，《檢察日報》2018年8月15日第3版。，也無疑被作為規(guī)制的對象。至此可以認(rèn)為，數(shù)位足跡作為非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的保護(hù)客體并無障礙。

2．?dāng)?shù)位足跡與公民個人信息

公民個人信息在不同的規(guī)范中存在不同界定。根據(jù)《網(wǎng)絡(luò)安全法》第76條第5項的規(guī)定，判斷公民個人信息的標(biāo)準(zhǔn)是“可識別性”。在2017年3月20日最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定中，公民個人信息不僅包含識別性信息，還包括“反映特定自然人活動情況的各種信息”。至此，“關(guān)聯(lián)性”信息也被納入其中?！白R別”是由信息出發(fā)鎖定自然人的過程，而“關(guān)聯(lián)”則是由人出發(fā)捕捉信息的過程，這種路徑上的增加已經(jīng)從形式上證實個人信息范圍的擴(kuò)張。同時，具有識別性的信息必定是與特定自然人發(fā)生關(guān)聯(lián)，但有關(guān)特定人的信息卻不一定具有識別功能。司法解釋明顯逾越了上位法對個人信息劃定的畛域。對此，有關(guān)人員指出：“如果認(rèn)為網(wǎng)絡(luò)安全法將此類信息(指‘活動情況信息’，論者注)排除在個人信息的范圍外，恐難為一般人所認(rèn)同，也不符合保護(hù)公民個人信息的立法精神。合理的解釋應(yīng)當(dāng)是，網(wǎng)絡(luò)安全法是廣義上使用身份識別信息這一概念，亦即也包括個人活動情況信息在內(nèi)?！盵注]周加海、鄒濤、喻海松：《〈關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉的理解與適用》，《人民司法(應(yīng)用)》2017年第19期。這一解釋難稱不刊之論。首先，信息的“識別性”與“關(guān)聯(lián)性”判斷遵循兩條逆反的思路，況且“關(guān)聯(lián)性”信息的范圍明顯廣于“可識別性”信息，即便使用所謂“廣義上的概念”，前者同樣無法為后者所涵括。其次，早在2011年12月29日工信部《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》中，已存在將“相關(guān)性”信息和“識別性”信息并列作為個人信息的實例，但《網(wǎng)絡(luò)安全法》并未采取這一定義模式?？梢哉J(rèn)為，這是立法機(jī)關(guān)為避免個人信息范圍過分?jǐn)U張而有意為之。據(jù)此，司法解釋對公民個人信息的規(guī)定因與上位法背馳而欠缺形式合理性，對公民個人信息的判斷堅守“可識別性”的標(biāo)準(zhǔn)才是法治思維[注]劉作翔：《法治思維如何形成？——以幾個典型案例為分析對象》，《甘肅政法學(xué)院學(xué)報》2018年第1期。。

對數(shù)位足跡是否屬于公民個人信息，支持和反對的觀點(diǎn)皆有之。有學(xué)者主張，cookies中包含可以識別用戶的信息(如IP地址),屬于個人信息[注]See Maarten Truyens， No More Cookies for Unregistered Facebook Users in Belgium: Belgian Data Protection Legislation Applies to Facebook， Eur.Data Prot.L.Rev.， vol.1, 2016, p.138.；還有學(xué)者將個人信息劃分為三類，其中，“自然人以實名或匿名的身份所進(jìn)行的網(wǎng)絡(luò)行為而產(chǎn)生的活動軌跡與信息痕跡等數(shù)據(jù)資料”就涵括“網(wǎng)頁瀏覽記錄”“網(wǎng)上購物記錄”等數(shù)位足跡[注]三類分別為：“能夠直接反映個人的自然情況和日常生活等情況的個人數(shù)據(jù)資料”“自然人以實名或匿名的身份所進(jìn)行的網(wǎng)絡(luò)行為而產(chǎn)生的活動軌跡與信息痕跡等數(shù)據(jù)資料”和“網(wǎng)絡(luò)服務(wù)商通過收集、挖掘、處理與分析而得的個人信息資料”。參見陳奇?zhèn)ァ①魂枴洞髷?shù)據(jù)時代的個人信息權(quán)及其法律保護(hù)》，《江西社會科學(xué)》2017年第9期。。但也有學(xué)者持不同意見，認(rèn)為“網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，但這種網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體”[注]孟兆平：《互聯(lián)網(wǎng)精準(zhǔn)營銷中Cookie技術(shù)的性質(zhì)認(rèn)定》，《人民法院報》2015年7月15日，第7版。，故關(guān)鍵詞檢索信息、cookies等數(shù)位足跡是網(wǎng)絡(luò)行為信息，不屬于個人信息范疇。可以說，上述觀點(diǎn)都存在一定道理，但卻不周全。在支持論中，以cookies 能解析IP地址就認(rèn)定其為個人信息的論斷在邏輯上不周延，其欠缺對IP可識別自然人這一大前提的外部證成；關(guān)于個人信息的分類似乎也不免疏漏，而外延上的雜錯也恰恰反映出對公民個人信息內(nèi)涵認(rèn)知上的含混。在反對論中，不關(guān)照“去身份化”信息的間接識別性的可能，仍無法排除數(shù)位足跡的個人信息屬性。

數(shù)位足跡作為公民個人信息的前提是其順利通過“可識別性”的校驗。首先可以肯定的是，任何一項數(shù)位足跡都難以直接識別出特定自然人。關(guān)鍵詞搜索記錄只指向所檢索的信息內(nèi)容，即使“虛榮搜索”，在不結(jié)合其他信息的情況下也難以將個人特定化[注]虛榮搜索是指在搜索引擎中檢索有關(guān)自己的信息。首先，識別是從信息到人認(rèn)識過程，虛榮搜索意味著信息主體業(yè)已特定，故不存在識別的空間。其次，僅憑某一項信息無法勾畫出特定人的數(shù)字人格。即使檢索后可以將個人特定化，那也是各項信息結(jié)合識別的效果。直接識別信息是否存在，論者暫持懷疑態(tài)度。。網(wǎng)頁瀏覽記錄和URL指向所訪問的網(wǎng)頁及其內(nèi)容，在網(wǎng)頁內(nèi)容非個人信息時也難以據(jù)此做識別，而即使網(wǎng)頁內(nèi)容可識別特定主體，也只能認(rèn)為其可具有間接識別性。IP地址所直接識別的客體是計算機(jī)而非自然人，一般人無法通過合理手段獲得IP用戶的個人信息。同樣的，訪問認(rèn)證的賬號和密碼也只能對應(yīng)虛擬個人。在上述信息要素均不具有直接識別性時，cookies和URL記錄也僅能反映用戶的網(wǎng)絡(luò)行為偏好。判斷數(shù)位足跡的間接識別性較為困難。一方面因為很難詳盡預(yù)設(shè)信息結(jié)合識別特定自然人的各種情況，宏觀討論并無實益；另一方面，“司法場域中新增了一組與不同知識緊密結(jié)合的話語”[注]王祿生：《大數(shù)據(jù)與人工智能司法應(yīng)用的話語沖突及其理論解讀》，《法學(xué)論壇》2018年第5期。，在信息科技和大數(shù)據(jù)深度挖掘的場域中，似乎一切信息都有結(jié)合其他信息識別特定自然人的可能。但仍需直面的詰問是，可識別性的主體該如何判斷，識別的手段如何采取。若采用特殊標(biāo)準(zhǔn)，不但會大肆擴(kuò)張公民個人信息范圍，而且使“直接識別”與“間接識別”的分類喪失必要。更有甚者，行為人收集和使用一般人無法據(jù)以識別的信息或數(shù)據(jù)也被認(rèn)定為侵犯公民個人信息罪，這有悖于責(zé)任原則。對于關(guān)鍵詞檢索信息、網(wǎng)頁瀏覽數(shù)據(jù)甚至cookies等數(shù)位足跡，在不進(jìn)行深度挖掘或結(jié)合其他關(guān)聯(lián)性信息的情況下，無法識別特定人，但數(shù)據(jù)挖掘和應(yīng)用技術(shù)一般人顯然不具備。通過URL雖能在互聯(lián)網(wǎng)上查找到計算機(jī)，但I(xiàn)P地址是通過域名系統(tǒng)(DNS)解析而來的，一般人并不掌握?？v使個人身份認(rèn)證信息、IP地址等存在識別特定自然人的可能性，一般人同樣無法閱取相關(guān)注冊信息。綜上，數(shù)位足跡不具有直接可識別性；而間接識別的可能性僅對特殊主體采取特殊手段而言，并非一般人采取合理手段時的蓋然性。據(jù)此，數(shù)位足跡無法通過可識別性標(biāo)準(zhǔn)的校驗，其不屬于公民個人信息之列。

結(jié)合數(shù)位足跡技術(shù)架構(gòu)得知，其更當(dāng)為計算機(jī)信息系統(tǒng)數(shù)據(jù)。數(shù)位足跡既可存儲于用戶設(shè)備中，又能記錄在網(wǎng)絡(luò)運(yùn)營商或互聯(lián)網(wǎng)服務(wù)提供者的平臺上，其符合行政法規(guī)對計算機(jī)信息系統(tǒng)的定義。同時，將網(wǎng)絡(luò)數(shù)據(jù)納入計算機(jī)信息系統(tǒng)數(shù)據(jù)中，既保證了法秩序的統(tǒng)一性，又充實了刑法中相關(guān)罪名的構(gòu)成要件。因此，計算機(jī)信息系統(tǒng)數(shù)據(jù)應(yīng)是數(shù)位足跡的應(yīng)然規(guī)范面相。

三、求解路徑：個人數(shù)位足跡刑法規(guī)制之因應(yīng)

通過前述探討，個人數(shù)位足跡的技術(shù)特性和法律屬性已被廓清。但理論上的商研能否消弭現(xiàn)實困境，還須接受實踐理性檢驗。

(一)作為計算機(jī)信息系統(tǒng)數(shù)據(jù)的數(shù)位足跡之解釋進(jìn)路

既然數(shù)位足跡不屬于公民個人信息，則不符合《刑法》第253條關(guān)于侵犯公民個人信息罪的構(gòu)成要件。案例二中，被告人不能構(gòu)成侵犯公民個人信息罪。關(guān)于審判人員指出的“網(wǎng)頁瀏覽記錄的動態(tài)信息與特定公民的隱私及人身安全關(guān)系密切”故應(yīng)由刑法保護(hù)的論斷雖不無道理，但通常情況下無法將網(wǎng)絡(luò)數(shù)位足跡與特定自然人對應(yīng)起來。若采用特殊標(biāo)準(zhǔn)則會極大擴(kuò)張侵犯公民個人信息罪的適用范圍，以致動輒得咎?！白杂芍荒転榱俗杂杀旧淼木壒识幌拗啤盵注][美]約翰·羅爾斯：《正義論》，何懷宏等譯，北京：中國社會科學(xué)出版社，1988年，第10頁。，“法律的目的并不是廢除或限制自由，而是保護(hù)和擴(kuò)大自由”[注][美]E·博登海默：《法理學(xué)：法哲學(xué)與法律方法》，鄧正來譯，北京：中國政法大學(xué)出版社，2004年，第299頁。，否則有悖于法的精神。在案例三中的“IP地址”和“搜索關(guān)鍵詞”同樣不能計入公民個人信息中。此外，從侵犯公民個人信息罪歸屬于侵犯公民人身權(quán)利和民主權(quán)利一章不難發(fā)現(xiàn)，其保護(hù)的是自然人人格。有關(guān)本罪法益是隱私權(quán)還是信息自我決定權(quán)的爭議，均是在憲法意義上的人格權(quán)項下展開的討論[注]參見張勇《個人信用信息法益及刑法保護(hù)：以互聯(lián)網(wǎng)征信為視角》，《東方法學(xué)》2019年第1期；李建良《資料流向與管控環(huán)節(jié)》，《月旦法學(xué)雜志》2018年第1期；楊立新《個人信息：法益抑或民事權(quán)利——對〈民法總則〉第111條規(guī)定的“個人信息”之解讀》，《法學(xué)論壇》2018年第1期；馮源《〈民法總則〉中新興權(quán)利客體“個人信息”與“數(shù)據(jù)”的區(qū)分》,《華中科技大學(xué)學(xué)報(社會科學(xué)版)》2018年第3期。。據(jù)此，侵犯公民信息罪至少是對公民人格權(quán)的侵害。雖然上述案件中的數(shù)位足跡可反映自然人的網(wǎng)絡(luò)行為偏好，或許其中還涉及較為隱私的信息資料，但這些信息大都是去身份化的匿名信息，難以在現(xiàn)實中與具體自然人對應(yīng)。正如案例一中法院指出的：“網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇?！北疚恼J(rèn)為，這種身份上的分離不僅使數(shù)位足跡欠缺侵犯公民具體人格權(quán)之可能，還是積極維護(hù)公民個人信息安全的應(yīng)時之策。

我們雖不贊同用侵犯公民個人信息罪加以規(guī)制，但這并不代表上述行為不存在刑法處罰的可能。既然數(shù)位足跡可被計算機(jī)信息系統(tǒng)數(shù)據(jù)的外延所涵攝，那么在針對計算機(jī)信息系統(tǒng)的犯罪中仍存在解釋空間。如果行為人違反國家規(guī)定，采取技術(shù)手段獲取計算機(jī)信息系統(tǒng)(國家事務(wù)、國防建設(shè)、尖端科技以外的計算機(jī)系統(tǒng))中存儲、處理或傳輸?shù)臄?shù)位足跡且情節(jié)嚴(yán)重的，可構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪。同時，對計算機(jī)信息系統(tǒng)中存儲、處理或傳輸?shù)臄?shù)位足跡進(jìn)行刪除、修改和增加且后果嚴(yán)重的，也可構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。反觀案例三，被告人的技術(shù)入侵行為妨害了計算機(jī)信息系統(tǒng)的運(yùn)行，存在構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的可能。但裁判文書中對相關(guān)情節(jié)和危害結(jié)果的描述并不明確，我們尚無法判斷其是否達(dá)到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。對于案例二，被告人在他人計算機(jī)上擅自安裝插件，使其計算機(jī)在行為人的操作下記錄歷次網(wǎng)頁訪問數(shù)據(jù)，亦存在構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪的可能。同樣受制于裁判文書內(nèi)容的簡約，我們無法對其是否具備可罰的違法性做最終判斷。當(dāng)然，司法實踐中也不乏準(zhǔn)確定性的適例，在案例六中，被告人開發(fā)出爬蟲程序并以此獲取淘寶用戶cookies和交易訂單數(shù)據(jù)，將其打包提供給淘寶賣家用于市場分析。對此法院遂以非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪對被告人定罪處刑。

需要注意的是，案例五的情況略有不同。在本案中，對行為人侵入服務(wù)器中爬取cookies數(shù)據(jù)構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪并無爭議。但是，被告人還利用騰訊公司的技術(shù)漏洞嵌入自己開發(fā)的程序，進(jìn)行商品推廣。這種對計算機(jī)信息系統(tǒng)功能違法修改、增加的行為，還符合破壞計算機(jī)信息系統(tǒng)罪的構(gòu)成要件?；蛟S有人質(zhì)疑，行為人利用系統(tǒng)漏洞進(jìn)行營銷的行為并未妨礙原有系統(tǒng)的基本功能，不會導(dǎo)致計算機(jī)信息系統(tǒng)失靈，不存在對計算機(jī)信息系統(tǒng)的破壞。但是，計算機(jī)信息系統(tǒng)不能正常運(yùn)行不僅包括計算機(jī)信息系統(tǒng)不能運(yùn)作，還包含其不能按原有設(shè)計要求運(yùn)行[注]張明楷：《刑法學(xué)》，北京：法律出版社，2016年，第1048頁。。本案中，對cookies的收集并非目的，嵌入程序?qū)崿F(xiàn)營銷才是目的，這兩個行為之間還存在手段與目的的牽連關(guān)系。不過，無論依照“從重原則”抑或“擇一重從重原則”，都應(yīng)以破壞計算機(jī)信息系統(tǒng)罪定罪處刑。在案例七中，法院既未像案例五一樣認(rèn)定其為非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪，也未以破壞計算機(jī)信息系統(tǒng)罪定罪處刑，而是判處被告人非法控制計算機(jī)信息系統(tǒng)罪。這一裁判是否合理，也值得商榷。對于非法控制計算機(jī)信息系統(tǒng)罪中的“非法控制”，刑法并未規(guī)定，相關(guān)司法解釋亦未闡明；破壞計算機(jī)信息系統(tǒng)罪中的“破壞”，外延也相當(dāng)寬泛。由此導(dǎo)致二者在文意上存在一定程度的重合。但是，非法控制計算機(jī)信息系統(tǒng)罪侵犯的法益是計算機(jī)信息系統(tǒng)的保密性和控制性，保護(hù)主體對計算機(jī)信息系統(tǒng)的使用權(quán)或控制權(quán)[注]參見孫艷麗《侵入網(wǎng)站后臺改變搜索結(jié)果的行為應(yīng)否定罪》，《人民檢察》2013年第8期。；而破壞計算機(jī)信息系統(tǒng)罪侵犯的法益卻是計算機(jī)信息系統(tǒng)的運(yùn)行安全，保護(hù)計算機(jī)信息系統(tǒng)、應(yīng)用程序的功能和各類數(shù)據(jù)的完整性[注]參見姜灜《“口袋思維”入侵網(wǎng)絡(luò)犯罪的不當(dāng)傾向及其應(yīng)對進(jìn)路》，《蘇州大學(xué)學(xué)報(法學(xué)版)》2017 年第2期。。由此可進(jìn)一步認(rèn)為，非法控制計算機(jī)信息系統(tǒng)是對計算機(jī)信息系統(tǒng)使用人控制權(quán)的剝奪，而破壞計算機(jī)信息系統(tǒng)則是對計算機(jī)信息系統(tǒng)功能造成了實質(zhì)性損壞。在案例五和案例七中，行為人侵入他人計算機(jī)系統(tǒng)擅自安裝插件，使其計算機(jī)不按以前的程序運(yùn)行，并啟動該插件為自己的營銷或服務(wù)其他網(wǎng)絡(luò)活動，這顯然損害了計算機(jī)系統(tǒng)的功能，應(yīng)構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。最高人民法院指導(dǎo)性案例第102號[注]參見《上海市浦東新區(qū)人民法院刑事判決書》，(2015)浦刑初字第1460號。和最高人民檢察院指導(dǎo)性案例第33號[注]參見《上海市第一中級人民法院刑事裁定書》，(2015)滬一中刑終字第2349號。也支持上述觀點(diǎn)。

通過上述分析可知，數(shù)位足跡不屬公民個人信息，故難以符合侵犯公民個人信息罪的構(gòu)成要件；數(shù)位足跡也通常被去身份化，缺失對特定自然人的具體人格造成損害的可能。以侵犯公民個人信息罪規(guī)制未經(jīng)同意收集個人數(shù)位足跡的路徑既不存在形式合法性，也不存在實質(zhì)合理性。未經(jīng)用戶同意而采用技術(shù)手段爬取他人數(shù)位足跡、嚴(yán)重危害計算機(jī)信息系統(tǒng)安全性時，可構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪；行為人通過技術(shù)手段既危害了數(shù)據(jù)存儲的安全性，又破壞了數(shù)據(jù)完整性或計算機(jī)信息系統(tǒng)的正常運(yùn)行時，還可構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。

(二)“用戶同意”的被害人教義

雖然對數(shù)位足跡法律屬性的厘定使法規(guī)范間的沖突被緩和，刑法教義學(xué)體系中的矛盾也得以消弭，但不法層面的被害人的同意問題仍值得探討。同意為基礎(chǔ)的個人信息保護(hù)體制亦可定性為“個人選擇模式”，據(jù)此，個人可以自行對資訊內(nèi)涵加以界定而選擇所欲享有的個人資料保護(hù)程度，以落實個人自主[注]參見翁清坤《告知后同意與消費(fèi)者個人資料之保護(hù)》，《臺北大學(xué)法學(xué)論叢》第87期。。在比較法上，“用戶同意”向來被視為保障數(shù)據(jù)隱私，解決信息時代個人資料被廣泛收集、處理、利用而產(chǎn)生諸多問題的方式之一[注]參見劉定基《析論個人資料保護(hù)法上“當(dāng)事人同意”的概念》，《月旦法學(xué)雜志》2013年第7期。。在諸多案件中，這一問題往往被被告人作為免責(zé)事由提出，并以加害人同意對數(shù)據(jù)進(jìn)行存儲、收集或利用而主張阻卻違法。特別對于一些“捆綁式”同意的案件，此類情況尤為突出[注]參見李婉萍《個人資料保護(hù)脈絡(luò)下的“捆綁式”同意》，《科技法律透析》2012年第1期。。

在“鄧某某等侵犯公民個人信息案”中(案例八)，公訴機(jī)關(guān)指控被告人向他人出售公民個人信息，而辯護(hù)人認(rèn)為被告人出賣的是淘寶店鋪并非公民個人信息，且被告人所出賣的店鋪均是所有人自愿出售的，本案中無刑事被害人，被告人無罪。對此，法院指出，侵犯公民個人信息罪的保護(hù)法益不僅僅是公民個人的人身權(quán)利和民主自由權(quán)利，還包括社會管理秩序。即使被非法獲取的信息是注冊人同意的、且獲得了對價，這仍侵犯了本罪的客體，法院遂判處被告人侵犯公民個人信息罪[注]參見《廣東省開平市人民法院刑事判決書》，(2018)粵0783刑初215號。。本案中，被害人同意能否排除不法就成為焦點(diǎn)。法院卻對此語焉不詳。前述案例一中存在同樣的問題。百度公司以網(wǎng)站首頁《使用百度前必讀》中的“隱私權(quán)保護(hù)聲明”已經(jīng)明確告知用戶cookies服務(wù)相關(guān)事項保障了用戶的知情權(quán)為由提出抗辯，還指出，網(wǎng)站提供了選擇退出機(jī)制，用戶既能通過關(guān)閉設(shè)置非常容易地阻止推廣結(jié)果的展現(xiàn)，又可以對瀏覽器進(jìn)行設(shè)置。二審法院支持了抗辯理由，認(rèn)為百度公司尊重了網(wǎng)絡(luò)用戶的選擇權(quán)，網(wǎng)絡(luò)服務(wù)提供者對個性化推薦服務(wù)依法明示告知即可。類似案件為數(shù)不少，但司法實踐中均未予出罪[注]類似案例還如：“林某某侵公民個人信息案”，參見《福建省龍巖市中級人民法院刑事裁定書》，(2018)閩08刑終29號；“鄭某等侵公民個人信息案”，參見《甘肅省蘭州市城關(guān)區(qū)人民法院刑事判決書》，(2016)甘0102刑初605號；“陶某等侵犯公民個人信息案”，參見《云南省保山市中級人民法院刑事裁定書》，(2017)云05刑終105號，等等。。對數(shù)位足跡的采集大都通過技術(shù)手段在互聯(lián)網(wǎng)上進(jìn)行，而接受在線服務(wù)或進(jìn)行網(wǎng)絡(luò)交易時又往往遭遇“捆綁式”同意，用戶要么疏于閱讀相關(guān)協(xié)議，要么被迫接受制式合同的約定。在互聯(lián)網(wǎng)深度應(yīng)用場域中，因數(shù)據(jù)收集和使用引發(fā)的矛盾尤甚。

被害人同意問題在以行為人為中心的刑法教義學(xué)中占據(jù)重要地位。雖然，對其體系性位置存在“違法性事由說”與“構(gòu)成要件說”等諸多爭論[注]參見[德]烏爾斯·金德霍伊澤爾《刑法總論教科書》，蔡桂生譯，北京：北京大學(xué)出版社，2015年，第117頁。，但其作為出罪事由“并不會帶來解釋論上的差異”[注][日]佐伯仁志：《刑法總論的思之道·樂之道》，于佳佳譯，北京：中國政法大學(xué)出版社，2017年，第171頁。，法益主體的同意能直接消解行為的法益侵害性[注][日]松原芳博：《刑法總論重要問題》，王昭武譯，北京：中國政法大學(xué)出版社，2014年，第97頁。。反觀案例八，法官將侵犯公民個人信息罪解釋為復(fù)法益犯正是為了規(guī)避被害人同意對違法性的遮斷。據(jù)其邏輯，個人并不是國家法益和社會法益的法益主體，當(dāng)然不能對其處分。當(dāng)侵犯公民個人信息的行為不但危害人身權(quán)利而且妨害“社會管理秩序”時，個人對信息的處分自始無效，故應(yīng)負(fù)刑事責(zé)任。但其裁判邏輯卻捉襟見肘。首先，侵犯公民個人信息犯是否為復(fù)法益犯值得探討；其次，此類裁判結(jié)果會嚴(yán)重限縮個人信息的合法使用，造成公民對自己的個人信息不享有處分權(quán)的惡性規(guī)制效果；再次，照此思路可推及，對于國家和社會法益為主要法益、個人法益為次要法益的犯罪，行為人對主要法益的侵犯存在違法阻卻事由、對個人法益的侵犯并不充分時仍構(gòu)成犯罪，這顯然很荒謬。雖然本案的裁判結(jié)果值得推敲，但是至少可以肯定的是，法官雖未肯認(rèn)但亦并未否認(rèn)被害人同意可在一定范圍內(nèi)阻卻法益侵害性。

然而，“用戶同意”不僅在傳統(tǒng)的以行為人為中心的教義學(xué)體系中實現(xiàn)出罪機(jī)能，還在被害人教義學(xué)中具有更大的價值。被害人教義學(xué)是刑法教義學(xué)的理論分支，是在犯罪學(xué)和被害人學(xué)基礎(chǔ)上將被害人納入犯罪論中進(jìn)行規(guī)范分析的刑法體系。通過對“受害者對事件的共同責(zé)任是如何影響不法的……這種共同責(zé)任是否能夠?qū)е乱环N行為構(gòu)成或者違法性的排除”[注][德]克勞斯·羅克辛：《德國刑法學(xué)總論》(第1卷)，王世洲譯，北京：法律出版社，2005年，第392頁。等一系列問題的研究，能在一定程度上排除行為人的可罰性。根據(jù)被害人教義學(xué)的解釋原則，法律適用者在解釋某罪刑規(guī)范的構(gòu)成要件要素時，“如果能夠確定，一旦被害人采取了于他而言可能和可期待的自保措施，就可以防止構(gòu)成要件要素得以實現(xiàn)，那便認(rèn)為該構(gòu)成要件未獲滿足”[注][德]托馬斯·希倫坎普：《被害人教義學(xué)今何在？——對于作為立法、解釋、歸責(zé)和量刑原則之“被害人學(xué)準(zhǔn)則”的一個小結(jié)》，陳璇譯，《比較法研究》2018年第5期。。此后，被害人教義學(xué)被應(yīng)用到其他一系列“關(guān)系犯”之中。例如對于德國《刑法》第203條規(guī)定的侵犯他人秘密罪，許乃曼教授認(rèn)為，泄密行為人應(yīng)限定在負(fù)有特定保密義務(wù)的人之內(nèi)，第三人可因他人泄露秘密而免于處罰。因為只有針對那些秘密所有人必須吐露個人秘密且對于必須信賴的特定人而言，秘密所有人才是需要保護(hù)的。只有個人無法也沒有能力進(jìn)行自我保護(hù)的秘密，才受刑法保護(hù)，泄密行為才能犯罪化[注]轉(zhuǎn)引自車浩：《被害人教義學(xué)在德國：源流、發(fā)展與局限》，《政治與法律》2017年第10期。。被害人教義學(xué)在將受害者一方引入刑法規(guī)范體系、強(qiáng)調(diào)其自我保護(hù)的同時，進(jìn)一步實現(xiàn)了與刑法輔助性原則和最后手段原則的完美勾連。雖然有關(guān)數(shù)位足跡的犯罪大都不屬于“關(guān)系犯”，但被害人教義學(xué)的基本理念卻在信息網(wǎng)絡(luò)時代具有重要的借鑒意義。首先，在網(wǎng)絡(luò)服務(wù)使用者明示同意可收集、使用數(shù)位足跡且無事實上的被害人時，對該類信息的收集和處理不存在法益侵害性。無論是重新劃歸信息的法律屬性以期用其他罪名規(guī)制，抑或以行為人對次要法益自始無處分權(quán)為由入罪的做法均不可取。其次，在網(wǎng)絡(luò)服務(wù)提供者業(yè)已盡到相關(guān)告知義務(wù)時，應(yīng)視為網(wǎng)絡(luò)服務(wù)接受者對數(shù)位足跡收集或使用的默示同意。網(wǎng)絡(luò)服務(wù)接受者未充分了解要約內(nèi)容而享受服務(wù)，或以所謂“制式合同”或“捆綁式”同意主張網(wǎng)絡(luò)服務(wù)提供者未經(jīng)同意而采集、使用數(shù)位足跡的，因自我答責(zé)而應(yīng)將法益“懸置”[注]參見魏超《法確證利益說之否定與法益懸置說之提倡——正當(dāng)防衛(wèi)正當(dāng)化依據(jù)的重新劃定》,《比較法研究》2018年第3期。，網(wǎng)絡(luò)服務(wù)提供者無須承擔(dān)法律責(zé)任。正如案例一的裁判理由指出的：“網(wǎng)絡(luò)用戶亦應(yīng)努力掌握所需網(wǎng)絡(luò)服務(wù)的知識和使用技能，提高自我適應(yīng)能力。”被害人教義學(xué)的核心原則之一是“被害人自我保護(hù)可能性”，即當(dāng)被害人具有自我保護(hù)可能時，法益保護(hù)享有比刑法保護(hù)更和緩的手段，此時動用刑法則違背最后手段原則和輔助性原則[注]參見申柳華《德國刑法被害人信條學(xué)研究》，北京：北京大學(xué)出版社，2011年，第225頁。。而對于被害人應(yīng)該在多大程度上進(jìn)行自我保護(hù)，通過何種標(biāo)準(zhǔn)考察自我保護(hù)措施的采取是否在合理限度之內(nèi)，仍無定論。至少可以認(rèn)為，在數(shù)位足跡的采集和使用中，采用一般人無法理解的專業(yè)話語體系做出的約定或需要借助一般人難以完成的操作所進(jìn)行的限權(quán)，應(yīng)視為沒有自我保護(hù)的可能。同時，為了在數(shù)據(jù)利用與數(shù)據(jù)保護(hù)間實現(xiàn)平衡，許乃曼教授在侵犯秘密罪中所主張的嚴(yán)格限縮義務(wù)對象的示例似乎也值得省思。

綜上，將數(shù)位足跡作為計算機(jī)信息系統(tǒng)數(shù)據(jù)予以規(guī)制的求解思路可以順利通過實踐理性檢驗。否定數(shù)位足跡作為公民個人信息不僅在一定程度上規(guī)避了法規(guī)范的沖突，還為限制公民個人信息外延的恣意擴(kuò)張進(jìn)行了卓有成效的探索。未經(jīng)同意利用技術(shù)手段爬取他人數(shù)位足跡可能構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪；在獲取數(shù)位足跡中對他人計算機(jī)信息系統(tǒng)造成嚴(yán)重?fù)p害，或為破壞他人計算機(jī)信息系統(tǒng)而采集數(shù)位足跡的，也可能構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。同時，用戶明示或默示對相關(guān)數(shù)位足跡進(jìn)行收集的，因欠缺法益侵害性而不構(gòu)成犯罪。在互聯(lián)網(wǎng)深度應(yīng)用場域中，網(wǎng)絡(luò)服務(wù)接受者理應(yīng)在合理限度內(nèi)實現(xiàn)對信息資料的自我保護(hù)。面對同樣有效但又不那么凌厲的自我保護(hù)對策，刑法應(yīng)恪守其補(bǔ)充性的善良品格。

四、結(jié) 論

如果正義有一張普羅透斯的臉，捉摸不定，變幻無常，那本文論及的數(shù)位足跡又何嘗不是如此。實然層面的多重法益征表雖然既能達(dá)致規(guī)范保護(hù)的全面性和多維性，又可滿足其在不同規(guī)范中的適應(yīng)性，但構(gòu)成要件的過度分立實難確保對規(guī)范的準(zhǔn)確適用。關(guān)于數(shù)位足跡法律屬性的誤讀，在微觀上導(dǎo)致相關(guān)案件裁判錯漏，在介觀層面引發(fā)刑法教義學(xué)體系雜沓，還在宏觀層面招致整體法秩序的混亂！因此，以數(shù)位足跡的技術(shù)特性為基礎(chǔ)，從應(yīng)然層面修正其法律屬性就顯得尤為關(guān)鍵。數(shù)位足跡在通常情況下無法識別特定個人，不能與特定自然人的具體人格相對應(yīng)，因而不屬于公民個人信息。面對間接可識別性標(biāo)準(zhǔn)的大而無言，刑事司法對侵犯公民個人信息行為的深文周納，數(shù)位足跡毋寧是一種計算機(jī)系統(tǒng)數(shù)據(jù)，由此擺脫類似“莫比烏斯環(huán)”的桎梏。對數(shù)位足跡的非法采集和使用會打破所有人對計算機(jī)系統(tǒng)的控制、危害其數(shù)據(jù)安全性，情節(jié)嚴(yán)重的可構(gòu)成非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪；如若對數(shù)位足跡的采集還危害計算機(jī)系統(tǒng)的正常運(yùn)行，后果嚴(yán)重時還可構(gòu)成破壞計算機(jī)信息系統(tǒng)罪。面對科技變遷，“當(dāng)創(chuàng)新不被法律扼殺時，經(jīng)濟(jì)最能蓬勃發(fā)展”[注]Richard Warner, Surveillance and the Self: Privacy, Identity, and Technology, Depaul Law Review, vol.54, 2005, p.847.，“大凡尖端技術(shù)都會蘊(yùn)含有不確定的要素，如果都通過刑法的介入來勉強(qiáng)進(jìn)行解決的話，那么就會使得尖端技術(shù)可能給人類社會帶來的利益也被消解掉了”[注]儲陳城：《人工智能時代刑法歸責(zé)的走向——以過失的歸責(zé)間隙為中心的討論》，《東方法學(xué)》2018年第3期。；同樣的，“刑法的進(jìn)步意味著刑罰逐步做到非感情用事、做到冷靜和非理性化”[注][德]古斯塔夫·拉德布魯赫：《法律智慧警句集》，舒國瀅譯，北京：中國法制出版社，2016年，第47頁。。被害人教義學(xué)從受害人有限度地進(jìn)行自我保護(hù)出發(fā)，將未盡合理保護(hù)義務(wù)而造成實害的行為也排除在刑法處罰之外，不失為更加理性的選擇。據(jù)此，同意采集數(shù)位足跡的因不具有法益侵害性而不構(gòu)成犯罪，網(wǎng)絡(luò)服務(wù)使用者未在合理限度內(nèi)管控自己的數(shù)位足跡而造成損害的也應(yīng)自我答責(zé)。縱使“形式法治是法治的阿喀琉斯之踵，突破形式法治就是反法治”[注]劉艷紅：《“規(guī)范隱退論”與“反教義學(xué)化”——以法無明文規(guī)定的單位犯罪有罪論為例的批判》，《法制與社會發(fā)展》2018年第6期。，但在扎緊維護(hù)信息安全藩籬的同時輕怠“出罪注重合理與入罪注重合法同等重要”[注]儲槐植：《出罪應(yīng)注重合理性》，《檢察日報》2013年9月24日，第3版。的教義，也無異于打開了潘多拉魔盒。