汪勇专  2019年4月22日

       本文《审视与探赜：大数据时代金融数据犯罪的刑法规则》获第五届金融检察论坛三等奖，被第六届中国信息安全法律大会收录出版，部分内容载于《检察日报》，并被最高人民检察院官网、人民网、新华网、正义网、网易、中国青年网等转载。

      【内容提要】大数据时代背景下，金融数据保护需依托技术数据，构建辐射财产权、隐私权、信息系统安全等各层次、全方位现实法益侵犯的狭长犯罪防御体系。面对新难题，对侵犯金融数据行为的制裁应当在罪刑法定原则的基础上、在法律框架内，通过合乎逻辑的法律解释，使其为立法相关条文所包容，以实现对金融数据的司法保护。为此，需从以下三方面深入完善：一是通过关键词解释扩大刑法对数据的保护；二是实现金融数据与虚拟财产的有限对等；三是明确金融数据类虚拟财产的价格评估。

      【关键词】大数据时代；金融数据；法律规制；路径选择

01

问题提出：大数据时代金融数据如何保障安全

      “当世界开始迈向大数据时代时，社会也将经历类似的地壳运动”，2011年6月，全球知名咨询公司麦肯锡发布名为“Big data: The next frontier for innovation, competition and productivity”的报告，将大数据定义为大小超出传统数据库软件工具的采集、存储、管理和分析的数据群，并详细分析了大数据影响、关键技术和应用领域，由此开启了大数据时代。在信息数字社会，随着大数据理念、技术和运算的变革，非结构化数据成了增长最快的资源，并对涵盖消费、投资等金融领域的生产、生活方式带来结构性变化。金融的数据化模式也随之呈现在人们的视野之内。从互联网中的第三方融资与支付、在线投资理财到社会信用评审、电子商务，金融数据可以被量化分析与记录应用。

       从概念分析，大数据时代的金融数据主要是指在“互联网+金融”模式下、基于移动互联网和大数据技术而产生并应用于第三方支付、手机银行、众筹融资等新兴金融服务形态的数据。工业与信息化部电信研究院《大数据白皮书（2014年）》将大数据应用界定为“利用分布式并行计算、人工智能等技术对海量异构数据进行计算、分析和挖掘，并将由此产生的信息和知识应用于实际的生产、管理、经营和研究中。”据此，金融数据的核心在于存储与传输、挖掘与运用，但在大数据环境下，其具备的集中分布和存量巨大等特征给安全保障带来前所未有的困难。具体说，主要体现在以下三个方面：一是金融数据中的用户身份、属性和行为等信息容易泄露。囿于大数据依托的网络节点提升，传统安全模式如K-匿名模式容易受到一致性和背景知识冲击，而l-diversity而难免相似性审查，不能有效满足大数据保护要求。譬如2014年1月，韩国KB国民卡、乐天卡、NK农协卡等公司的一亿多条用户敏感信息遭到非法收集和泄露，引发公众恐慌；二是大数据时代，金融数据集更易受到网络攻击。金融数据意味着海量讯息和更敏感、复杂的数据，为获取相关资讯，黑客可以将高级持续攻击（APT）代码隐藏在大数据内，给防御检测带来很大威胁。举例来说，2014年10月，美国摩根大通银行因遭遇黑客攻击，约7600万用户和700万小型企业的数据遭到窃取，四分之一的美国家庭受到影响；三是金融数据检索、分析而产生的二次数据难以界定、保护。随着数字化和数据化进程的加速，以云计算平台催生的网络资源库、云端资源给人们生活带来便利，但对基于人产生数据（如收入状况、消费习惯、风险偏好）的经济分析，虽收集上经过了用户的部分授权，在存储、评测、转化、传送等领域仍有待界定。

       总之，大数据时代的金融数据犯罪，不仅仅是传统的计算机信息系统犯罪或网络攻击，而是演变为以大数据为对象，纵向跨越侵犯个人数据、财产权、金融秩序等社会法益，横向发展至链接个人与个人、个人与社会间的犯罪体系。从犯罪构架而言，金融数据犯罪的对象可从一般的金融账户、个人信息等基础数据衍生至电子痕迹、交易习惯、消费用途等非结构数据，其地点可从传统的计算机、互联网伸展到物联网、云管理、智能手机等多终端，其手段可从早期的技术破坏、强制获取发展为金融数据监听、过度挖掘等新手段，且其犯罪行为日益猖獗，直接威胁了正常的经济秩序与金融管理制度。为此，在P2P网贷、众筹融资创新、第三方支付、互联网保险等新型金融形态兴起的背景下，刑事司法乃至立法需适时而动，对金融数据犯罪的规制做出进一步的调试与完善。

02

范式审视：大数据时代金融数据犯罪规制面临的新挑战

       在大数据时代，一方面，金融数字化允许市场主体搜索、集合、使用更大规模的数据，以使其与其它市场主体紧密连续，并通过数据拼接对市场整体有所了解。在云计算的保障下，不对称且呈金字塔状的数据被扁平化、标准化和结构化，能够形成动态连续、精确定位的金融数据序列。另一方面，由于数据固有的易修改等特点，基于金融数据分析而成的互联网金融难免产生风险。由新华社、中国互联网协会发布的《中国互联网金融（2014年）》认为，我国互联网金融面临着客户端安全认证风险、信息通信风险、系统漏洞风险、数据安全风险等几大风险。然而，在风险社会讨论信息时代的瞬息万变，法律总是具有一定的滞后性。相较于大数据在金融模式、网络与计算机技术上的发展，现有刑法保护体系却有力不能逮之疲，这是大数据时代金融数据犯罪规制所面临的新挑战。

（一）“大数据”与 “计算机信息系统数据”缺乏概念对接

       我国现行刑法对计算机信息系统数据的保护以静态的、侵入式为主，无论是2009年的《刑法修正案（七）》还是2011年“两高”发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）均聚焦于黑客的外部破坏活动及由网络攻击行为带来的计算机信息数据非法获取、控制和倒卖等犯罪行为，却未考虑动态处理模式的大数据。实际上，大数据时代的金融数据并不限定在计算机信息系统范围内，也不止于为信息系统功能实现而存储、处理和传输的内部数据：其一，目前，智能手机等手持移动终端已渐深入人们的生活，据中国互联网络信息中心于2016年1月发布的第35次中国互联网络发展状况统计报告显示：截止2015年12月，中国网民规模达到6.88亿，手机网民规模达到6.20亿。在移动互联网、智能终端使用频率增高的情境下，用户的金融数据更容易被关联、绑定乃至窃取；其二，金融数据并不一定有序、规整存储于信息系统中，它更可能是无序呈现、多终端存储。我国现行刑法所规制、保护的数据则侧重于计算机系统以验证为内容的内部数据，这种数据类型附着于信息系统，没有关注数据本身的价值与重要性。因而不能与大数据下的“数据”概念无缝衔接。

（二）“侵犯金融数据”与“盗窃虚拟财产”难以对等评价

       在P2P网贷理财、第三方支付、众筹融资等依托于云计算、社交网络、实现资金流动和信息融通的互联网金融模式方兴未艾之时，金融数据的保护却面临认识不足、打击不够等现实难题。据报道，包括人人贷、网贷之家等在内的多家P2P机构均遭受过数据攻击。然而，受制于传统的刑法谦抑性理念，司法视野下的网络犯罪却并未得到应有重视。在法律规定尚不明晰的情况下，网络环境下侵犯金融数据这一新兴犯罪领域尤其值得我们关注与探讨。当前，司法实践中存在“侵犯金融数据”与“盗窃虚拟财产”难以对等评价的现象：一是在金融数据可以确定准确估价的前提下（如黑客入侵P2P网站以非法代码植入建立后门入侵平台的数据库，随意篡改数据、盗窃用户账户金额），侵犯金融数据必然通过修改计算机信息系统数据的方式完成，由于实践中存在“计算机信息系统数据之类虚拟财产缺乏现实财产的一般属性，不符合公众认知的一般意义上的公私财物，不能认定为盗窃罪”的认识，金融数据的法律属性有待进一步厘清；二是当金融数据无法准确估价时，非法获利金额不能明确，有观点认为对难以准确计算价值的行为，不能以盗窃罪定罪处罚。以比特币为例，比特币由运算工作获取，根据五部委发布的《关于防范比特币风险的通知》，是“一种特定的虚拟商品”，但这种虚拟商品价值难以衡量。倘若有人获知他人账号与密码并将比特币转移，困于缺乏相应的虚拟财产价格鉴定与财产评估机构，对其价值评估无从进行，罪名认定存在现实难题。

（三）“信用数据”与“次生数据”尚缺细则规制保护

       本质上，互联网金融背景下的大数据模型是基于“一切数据皆为信用数据”理念而建构。无论是P2P网贷、互联网基金销售，抑或是互联网金融投资、第三方支付，都离不开对信用数据的分析和评测。作为金融数据的一类，当下的互联网金融信用数据既涵盖由央行征信中心提供的个人信息、欠税纪录、民事判决和行政处罚纪录、电信欠费纪录及个人信用纪录等敏感数据，又包括企业通过商业行为收集的用户身份、消费偏好、行为特征、交易纪录乃至信用评论等百余项数据。遗憾的是，现有刑法规定却只对网络金融服务的身份认证或公民个人信息予以规制保护。2008年，全国人大法律委员会在论证非法获取计算机信息系统数据行为时仅将“窃取他人账号、密码等信息”情形列入其中；2009年的《刑法修正案（七）》增设的侵犯公民个人信息犯罪中的“公民个人信息”是指能够识别公民个人身份的信息；2011年的《解释》也只是将“获取支付结算、证券交易、期货交易等服务的身份认证信息”界定为刑法的规制范畴，并未涉及消费偏好、行为特征、交易纪录等广义上的数据。除此之外，针对信用数据进行分析而产生的“二次数据”，虽在实质上是收集、使用者智力成果的体现，却不能忽视数据分析对用户数据隐私的侵犯，亦不能不当使用、转让和泄露。

03

应对探赜：大数据时代金融数据犯罪制裁的路径选择

      “与时俱进的数据保护”已是各国的共识。从域外经验来看，2012年11月，欧盟委员会通过《一般数据保护条例》（简称GDPR），强化对个人数据的保护，而美国在近几年先后发布《大数据：使用与限制》、《大数据与信息化》、《大数据：抓住机遇、保持价值》、《大数据与隐私：一种技术的视角》等相关报告，旨在应对大数据的发展、确保前瞻性。同样，为打破数据禁锢与堡垒、激发我国大数据发展的活力，2015年9月，国务院通过了《关于促进大数据发展的行动纲要》（以下简称《行动纲要》），提出了大数据发展的顶层设计。不久之后召开的党的十八届五中全会则明确指出五大数据发展理念即“创新、协调、绿色、开放、共享”，习近平主席在第二届世界互联网大会上又再次强调推出国家大数据战略与“互联网+”行动计划。由数据保护的重视可知，在大数据时代，数据早已超越其物理属性和计算能力层面，成为重要的经济、金融资源。在这一背景下，金融数据犯罪的聚焦点不仅在于计算机信息系统本身，而是向现实财产利益移转、靠拢，为此，我国刑法对侵犯金融数据行为的规制与制裁应当在罪刑法定原则的基础上、在法律框架内，通过合乎逻辑的法律解释，使该种现象能够为立法相关条文所包容，以此实现对金融数据的司法保护。

（一）路径之一：通过关键词解释扩大刑法对数据的保护

       基于公众可预测性的需求和立法技术的处理，在计算机和网络犯罪领域，传统刑法的罪状表征使用了一系列关键词，如“计算机信息系统数据”、“公民个人信息”。但在大数据时代，这些关键词的外延与内涵已不能满足数据保护的最新要求，亦与网络空间语言符号有所区别。因此，对这些关键词进行扩大解释甚至再解释已经刻不容缓。

1、数据作为犯罪对象时对“计算机信息系统数据”的扩大解释

       面对社会发展所带来的新型犯罪形态，最有效的制裁途径之一是结合时代特征延伸原有的关键词含义，以覆盖社会法益保护的新要求。如2011年的《解释》就对“计算机信息系统”这一技术性概念作出扩张解释，将之界定为“具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等”。但是，司法解释并未对“计算机信息系统数据”作出技术性解释，因此对数据作为犯罪对象时大数据的保护仍有待进一步明确。如前所述，大数据的运算平台由传统的计算机扩充到智能终端，其特性体现为整体性、动态性而非单一、固定，这些都使得“计算机信息系统数据”在囊括对象上超出一般言语逻辑，扩展含义势在必行。

2、网络作为犯罪工具时对“公民个人信息”的扩大解释

      《刑法》第253条之一所定位的“公民个人信息”实则是狭义上的特定信息，是指能够识别公民身份的相关数据或信息。但在网络作为犯罪工具时，公民个人数据的泄露不再限于可识别的自然人信息，而是拓宽到包括消费习惯、IP地址、行为特征、交易纪录等间接数据。为顺应网络环境下大数据保护的需要，2012年欧盟发布的《欧洲议会和理事会关于个人数据处理中个人权利保户及促进个人数据资源流通条例草案》（以下简称《草案》）就对个人数据做出宽泛性定义。《草案》规定，个人数据不仅指主体的身份证号码、姓名、地址等可直接辨识出数据主体的示名性数据，还包括主体上网习惯、方位数据等需要借助数据分析、对比等可辨识出数据主体的隐名性数据。同样，在大数据时代，出于保护公民隐私权和正常生活秩序等社会法益、避免因信息泄露带来的威胁及可能产生的其它犯罪行为的现实需求，对个人数据的保护不妨借鉴2004年全国人大常委会对“信用卡”的扩大解释，将“公民个人信息”含义扩充至直接辨识出自然人的示名性数据和间接辨识出自然人的隐名性数据。

（二）路径之二：金融数据与虚拟财产的有限对等

       并非所有的金融数据都能与虚拟财产对等。对于侵犯身份证号码、手机号、消费数据、定位数据等自然人信息类金融数据的可以认定为侵犯公民个人信息，但对具有管理可能性、转移可能性及价值性的金融数据，囿于其具备虚拟财产的属性（如比特币），应以侵犯财产类犯罪处理。从本质上来说，这样的金融不仅是动态数据，也真实存在，且具有特定的功能。首先，用户通过P2P、支付宝、比特币账户等可实现金融数据的注册、使用与管理。也就是说，账户既是存放金融数据的存储仓库，亦是实施占有和管理虚拟财产的标志。人们对金融数据类虚拟财产的管理兼具事务性与物理性。其次，行为人可以用特定形式转移金融数据。正是因为金融数据存在易侵入、易修改等特性，黑客或获知被害人账户密码的人可用一定手段将金融数据类虚拟财产修改、转移。最后，金融数据具有一定的价值。如果金融数据只是纯粹的电子数据、没有价值，就不值得刑法保护。可以肯定的是，在大数据时代下，金融数据集使用价值与价值（交换价值）于一体。例如，支付宝不仅可以满足用户交易、购买商品的便利，而且能确保支付安全、促进买卖双方互信。此外，金融数据的有偿转让已经成为普遍现象，如比特币的交易就建立了专门的平台。

       另一方面，将金融数据与虚拟财产有限对等并不是类推解释。用语本身的含义随着大数据时代的来临发生深刻的变化，在虚拟财产这一概念使用频率越来越高的情景下，将部分金融数据视为虚拟财产并以侵犯财物类犯罪进行规制，契合人们对财产的变化认知。更为重要的是，对大数据的财产化保护是顺应信息技术变革的发展趋势，也体现了刑法对社会新兴财产的关怀。

（三）路径之三：明确金融数据类虚拟财产的的价格评估

       大数据时代，行为人对金融数据类虚拟财产的侵犯主要是通过篡改、破坏金融数据影响计算机信息系统工作，从而达到非法获取、占有和破坏他人虚拟财产的目的，即包括盗窃、诈骗等侵犯金融数据行为和破坏金融数据行为。而此类犯罪均以数额为定罪量刑的必要依据。因此，在理论讨论上，我们固然可以对金融数据的价格评估置之不理，但在司法实践中却不得不锱铢必较、力求精确，以追求罪、责、刑相适应。

       当前，价格认定形势有了深层次的变化发展，2013年4月，两高就发布《最高人民法院、最高人民检察院关于办理盗窃刑事案件适用法律若干问题的解释》，对各类涉案财产的认证作了更为细致的规定；2014年10月，国家发展和改革委员会价格认证中心公布了《毁坏财物损失价格认定规则》，进一步规范毁坏财物损失价格认定。为此，明确金融数据类虚拟财产的价格评估或可借鉴相关司法解释与价格认证规则对电力、燃气等无形财产作出的规定，从市场价格、投入成本及销赃所得等多维度考虑价格认证。具体来说，可从以下几个方面进行：一是从现实财产转入金融数据账户的，直接以账户数据为认证价格；二是对虽无法准确评估但有市场交易的金融数据，可收集该金融数据的交易范围、规则、价格形成机制与市场行情等，确定金融数据的公允价值。如该金融数据在交易市场上能够找到与被评估金融数据具有功能一致性的参照物，此时可以将参照物交易市场价格直接作为评估值；三是对既无法准确评估亦找不到客观参照物的金融数据，可从销赃金额等渠道着手评估。

04

结语 

       大数据时代下的数据犯罪是依托于技术数据辐射至财产权、隐私权、信息系统安全等各层次、全方位现实法益侵犯的狭长体系。作为数据犯罪的一类，金融数据犯罪的对象更广、危害更深、手段更为隐蔽。因此，必须从维护经济秩序安全的角度、从规范金融数据保护的层级、从刑法立法目的解释学出发，高度关注金融数据的动态价值与现实威胁。也就是说，金融数据犯罪的规制之路在于定位准确、扩充解释，有效推动、有限对等，重塑模式、价值确认。唯有如此，大数据背景下的金融数据保护才能与时俱进，维护信息网络安全，最终实现大数据的繁荣发展。

相关引用：

1. [美]维克多·迈尔-舍恩伯格、肯尼斯·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译,浙江人民出版社2013年版,第219页。

2.Manyika J,Chui M,Brown B,et al.Big data:The next frontier for innovation ,competition and productivity[J].2011.

3.工业与信息化部研究院：《大数据白皮书（2014年）》，第11页。

4.徐子伟、张陈斌、陈宗海：《大数据技术概述》，载《系统仿真技术及其应用》2014年第15卷。

5.王文超、石海明、曾华峰：《刍议大数据时代的国家信息安全》，载《国防科技》2013年第34卷第2期。

6.新华社《金融世界》、中国互联网协会：《中国互联网金融（2014年）》，第88-90页。

7.陈国庆、韩耀元、吴峤滨：《<关于办理危害计算机信息系统刑事案件应用法律若干问题的解释>的理解与适用》，载《人民检察》2011年第20期。

8.参见中国互联网信息中心发布的37次中国互联网发展状况统计报告，http://www.cac.gov.cn/2015-02/03/c_1114222357.htm。

9.张明楷：《网络时代的刑法理念——以刑法谦抑性为中心》，载《人民检察》2014年第9期。

10.见北京市朝阳区人民法院（2014）朝刑初字第3017号判决书。

11.谢杰、张建：《“去中心化”数字支付时代经济刑法的选择——基于比特币的法律与经济分析》，载《法学》2014年第8期。

12.《全国人大代表大会法律委员会关于〈中华人民共和国刑法修正案（七）（草案）〉修改情况的汇报——2008年12月22日在第十一届全国人民代表大会常务委员会第六次会议上》，载《全国人民代表大会常务委员会公报》2009年第2期。

13. “Big Data: Uses and Limitations”;”Big Data and Computing”;”Big Data: Seizing Opportunities, Preserving Values” ;” Big Data and Privacy : a technological perspective”,均来自美国联邦政府官网，https://www.usa.gov/。

14.习近平第二届世界互联网大会演讲全文，http://tech.163.com/15/1216/11/BAV14748000915BF.html。

15.于志刚、李源粒：《大数据时代数据犯罪的制裁思路》，载《中国社会科学》2014年第10期。

16.于志刚：《网络犯罪的发展轨迹与刑法分则的转型路径》，载《法商研究》2014年第4期。

17.2004年，全国大人常委会的立法解释对“信用卡”作出扩大，刑法意义上的信用卡扩充至商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或部分功能的电子支付卡。

18.张明楷：《非法获取虚拟财产的行为性质》，载《法学》2015年第3期。

19.于志刚：《“大数据”时代计算机数据的财产化与刑法保护》，载《青海社会科学》2013年第3期。

20.殷宪龙：《我国网络金融犯罪司法认定研究》，载《法学杂志》2014年第2期。

21.王昌庆：《虚拟财产价值评估初探》，载《经济理论研究》2009年第6期。