科技塑造信任 法律扮演怎样的角色?
有幸受邀参加科技论坛,与诸位方家一起探讨“科技与信任”的话题。我们的基本结论是:科技塑造信任,鉴于信任的底层是科学技术,信任的边界与科技边界并无本质区别。但是,鉴于现在人的生活大量迁移至移动互联网,信任机制的法律边界应当愈发精细化、愈发周延。
一、信任的法律边界,最基础的是数据之法律边界
科技创造信任,利用“数据”的泥巴捏造出了信任的雏形。此前人们的信任体系可以说是基于人际关系的人际信任与基于法律制度的制度信任,新时代的信任就是科技信任、技术信任或者说数字信任,数字信任是基于人类对算法、系统、技术的信任而产生的一种普遍脱离身份束缚,不需要身份角色的信任。不可否认的是,无论是此前基于区块链技术而形成的机器信任,还是如今通过多种技术融合通过对数据全生命周期的可信管理形成的信任,信任的底层均为科学技术,所以我们需要首先审视基础材料---数据的法律边界。
(1)侵犯公民个人信息罪
我国《刑法》第二百八十五条之一规定了侵犯公民个人信息罪,包括有三种行为,分别是向他人出售或者提供公民个人信息、将在履行职责或者提供服务过程中获得的公民个人信息、出售或者提供给他人以及窃取或者以其他方法非法获取公民个人信息,虽构成本罪要求情节严重,但“一条破功”,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 》,“违法所得”5000元以上的,都属于“情节严重”。(当然,个人信息有些严格的界定和分级分类标准,并非所有由用户产生的数据都属于个人信息)
Web3.0长期以来的目标与愿望是使得用户可以成为互联网的主人,实现用户对数据的完全掌控,但不可否认目前并没有完全实现,用户数据仍留存于平台,不得不在对用户信息的收集和使用过程中,防范法律风险。向用户明示收集个人信息的目的并经过用户的自主选择同意是必不可少的前提,任何超出必要范围的行为都会构成对公民个人信息的侵害。
特别需要注意的是,单位也可以构成侵犯公民个人信息罪,按照单位犯罪的理论,单位成员犯罪,单位也需要承担责任,企业员工将履职或者提供服务过程中将所收集的公民个人信息违法提供给他人使用,也会导致企业因此承担侵犯公民个人信息罪等刑事责任。不得不提前考虑的是,公司、企业等单位如何通过事前刑事合规的方式来对侵犯公民信息的犯罪加以防范,防止员工个人牵连企业。如果项目方在事前已经通过严密的事前刑事合规以防范相应的犯罪,那么公司、企业等单位就有充分的理由在事后主张其欠缺主观故意或过失,进而阻却企业刑事责任。
(2)拒不履行网络安全义务罪
我国刑法第二百八十六条之一规定的拒不履行信息网络安全管理义务罪,是典型的不作为犯,就是“当为而不为”,根据《网络安全法》等前置法律法规的规定,网络服务提供者的信息网络安全管理义务大致包括以下几个方面:
防止违法信息大量传播义务。根据《网络安全法》第47条之规定,网络运营者应当加强对其用户发布信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当采取手段防止信息扩散并向有关主管部门报告。
防止用户信息泄露义务。根据《网络安全法》第42条第2款规定,网络运营者应当采取相应措确保收集的个人信息安全,防止信息泄露、损毁、丢失,并在发生上述情况时,及时向有关主管部门报告。
防止刑事案件证据灭失义务。根据《网络安全法》第28条规定,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
网络服务提供者实施了违法行为之后不遵照监管部门的责令改正通知予以改正,是对行政命令不予服从,导致自上而下的行政管理失效,网络服务提供者由外向内的自我管理停滞,信息网络安全岌岌可危,信息网络安全秩序节节溃败,信息网络安全管理秩序受到损害。
就数据全方位管理而言,在利用网络提供服务时,必然会涉及到信息的收集、储存与使用,在此过程中会受到行政监管部门的约束与管理,在其实施相关违法行为时比如致使用户信息泄漏将收到责令改正的通知,此时可以认定该区块链应用方的行为已经对信息网络安全管理秩序造成破坏。而当行政规制无法发挥相应的作用,刑事手段便走上台前来保护已经被破坏的信息网络安全管理秩序。
在Web3.0时代到来以前,上述网络安全管理义务大多需要相应的直接责任人员去“人工履行”。然而随着Web3.0及智能合约的出现,网络安全主管部门可以预先设定好履行信息网络安全管理义务的一整套标准化智能合约,通过智能合约机制将网络服务提供者需要履行的信息网络安全管理义务写入标准化的智能合约中,网络服务提供者仅需要按照相关行业规定引入这类智能合约,计算机网络便会忠实执行智能合约中规定的信息网络安全管理义务,不仅大大提高了网络安全管理义务的履行程度,而且还会大大降低网络服务提供者构成拒不履行信息网络安全管理义务罪的可能性。
(3)帮信罪
帮助信息网络犯罪活动罪是《刑法修正案(九)》新增设的罪名,明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助将构成此罪。在实务中一些提供支付结算、广告推广的企业抱有侥幸心理,以为只是根据甲方的订单提供服务,自己知道的越少就越安全,甚至认为不知道对方的具体业务就不构成犯罪。单纯强调“不知者无罪”,很可能使自己陷入帮助信息网络犯罪活动罪的刑事法网之中。
传统共同犯罪往往以正犯为中心,而本罪则呈现出去中心化的特点。传统共同犯罪中正犯行为具有很强的支配性。这种中心性可看作是一个简单的太阳系结构,正犯乃是太阳,所有的帮助犯、教唆犯都围绕着正犯公转。而在帮助信息网络犯罪活动中,资金结算、广告推广、技术支持等活动则呈现出产业链和产业网这样的去中心化特点,一个资金结算平台不会仅针对一个客户,同样整个网络犯罪产业网中也不会有一个真正的中心。
针对帮助信息网络犯罪行为呈现出的去中心化特点,两高出台的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》规定,“确因客观条件限制无法查证被帮助对象是否达到犯罪程度,但相关数额总计达到前款第二项至第四项规定标准五倍以上,或造成特别严重后果的,应当以帮助信息网络犯罪活动罪追究行为人的刑事责任。”
针对本罪帮助行为呈现的意思联络消解的特点,上述司法解释专门规定了六种客观行为+兜底条款组合的方式用以认定“明知”,同时采取了“但有相反证据的除外”这一措辞,与2016年出台的电信网络诈骗相关的司法解释用“但有证据证明确实不知道的除外”迥然不同。
对此,为了防止刑事风险,飒姐团队建议可以建立下述合规机制:
设立企业监管联络部门。与网信、电信、公安等监管部门建立长期有效的对接机制。《解释》第十一条第(一)项规定,经监管部门告知后仍然实施有关行为的,可以认定“明知”,那么合规的重点就应当在于同监管部门建立长期、有效、及时的对接机制。最高人民检察院法律政策研究室编写的本罪重点难点问题解读中亦指出,考虑到我国实际监管执法情况,本《解释》第十一条第(一)项里的“告知”不以书面形式为限,因此更有必要设立专门部门、专人与监管部门对接,以规避自己的刑事风险。
设立刑事风险评估部门。包括在与甲方合作之前通过审核其业务模式、行政处罚记录、诉讼信息、营业资质等信息确定对方的刑事风险,了解对方是否涉及高风险业务,并留下书面审核记录以备监管部门审核。在合同签订过程中增设己方提供的支付结算、广告推广、技术支持等业务不得用于非法用途等条款。
如上法律边界看似清晰无比,实则随着科技发展和社会管理形式的变化也会发生变化。以拒不履行网络安全义务罪为例,监管科技的进步可能会将这个罪名从目前的常见多发罪名,逐渐逼到死角,甚至成为“不能犯”,最终这个罪名退出历史舞台。
二、科技,很难保留法律中立地位
在涉及网络的犯罪中,提供技术支持是很有可能构成犯罪的,切莫抱有侥幸心理。在很多人的观念中,发生持刀杀人案件,卖刀的人不应受到处罚,并将其推而广之,认为自己搭建平台、建链等网络技术支持行为同样不会受到处罚。在法律概念中,这类“卖刀的行为”我们会称其为中立帮助行为。
事实上,对于该等中立帮助行为的学界法律评价,主要表现为全面处罚说与限制处罚说,前者从字面即可理解,将中立帮助行为等同于帮助犯,地方上实务秉持该观点的侦查机关与公诉机关并不少见。至于后者,作为主流观点,则认为需要具体评价作出中立帮助行为人的主客观情况,才能确定其是否入罪,而非当然的无罪。
对数字技术中立性的判断应当综合考虑以下几方面内容:
(1)业务范围
技术的中立性只有在某种技术存在广泛用于合法的、不受争议的用途,即实质性非侵权用途的情况下,才能够成立。基于此,如果某项技术的存在本身就是以进行违法犯罪活动为目的,该项技术的提供者自然不得以技术中立为由获得责任减免。
(2)主观方面
区块链技术提供者刑事责任的承担是建立在其具有主观过错的前提下的。如果技术提供者在接到通知后,没有立即将违法内容移除,则其不能以技术中立为由免除侵权责任。
(3)义务来源
当技术提供者根据法律和相关的职业准则具有一定的监管和处理的义务时,其是否采取有效措施来阻止危害结果的发生。
第一,数字技术提供者应当遵循有关区块链技术本身的职业规范。以区块链技术为例,区块链技术提供者是否遵循区块链技术领域的行业规范,也是对其是否承担责任进行评价的关键因素。
第二,数字技术提供者应当遵守具体技术应用领域的职业规范。以区块链技术应用为例,在不同的应用场景下,区块链技术提供者同时需要遵循该特定领域的职业规范,如“区块链+金融”,需要履行我国的《反洗钱法》中明确规定的金融机构的反洗钱义务。
(4)技术提供行为特征
一旦参与到犯罪之中,将不再具有中立性。区块链技术提供者的不可罚性,是建基于技术提供行为本身具有中立性和职业性基础上的。如果技术提供者突破了其固有的中立性和职业性,使得技术提供行为和违法犯罪行为存在一定融合,那么其基于技术中立而寻求责任免除的空间就会受到限制。
价值互联网不断推演下去,未来世界的场景,可能会变为“无政府主义”的试验场,但无政府主义,很难被当代各国法律所容忍。人与人之间的关系依照彼此共识达成智能合约,由智能合约自动执行,满足双方或多方需求。然而,人性不止贪嗔痴,双方“自愿”就真的是自愿吗?被蒙蔽的幼女,被忽视的弱势群体,倘若没有法律权衡公共利益与个人私利,web3.0将迎来弱者痛苦的呼号。
三、科技破灭科技,降维打击的“黑天鹅”
量子计算机和新技术的突飞猛进,原有看似牢固不破的逻辑被轻易推倒。法律有“时滞性”,追不上科技发展的脚步,我国《民法典》第一百二十七条规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”,属于我国对于虚拟网络财产的前瞻创设,给了元宇宙原生资产一个可以展望的法律未来。
无论是未来的Web3的世界,还是元宇宙的世界,所出现的虚拟的财产或者虚拟的技术所搭建的有价值的结晶,原则上讲我国法律对其加以保护,而不是一概而论的加以否定。这种立法例并不多,各国法律还是相对保守,就像“电”能否被认定为“物”也经历了旷日持久的大讨论。
四、一旦信任破灭,法律是否会成为公平的最后一道防线?
在现实世界中存在的性骚扰、强奸、盗窃、抢劫等,在虚拟世界里也将继续存在,当技术寡头在云宇宙掌握话语权,用户技术上并不存在与其对垒或斗争的武器,谁来保护弱势群体的权益?在DAO出现以后,普通公众的参与度会提升,可能会通过投票等形式决定一个公司或者一个项目未来的方向,但一个人的人品、人性并不总是靠得住的,并非每一个人都是善良的,法律需要从公平公正的角度考量,如果未来的虚拟世界里出现了严重的人身、财产方面的侵犯公民个人权利的事件,法律将充当最后的“保护垫”。
在虚拟世界《地平线世界》游戏中,就有女性玩家表示在游戏中遭到性侵,她在游戏中创建了一个女性虚拟人物,由于游戏中虚拟人物的接触能使玩家手中的控制器产生振动,且整个被“侵犯”过程还被其他玩家看到,甚至有虚拟人物在旁观时起哄。虽然Meta公司后来增加了一项打击虚拟现实骚扰的功能,但并非不强制性,也难以达到理想的效果。当人的尊严在虚拟世界中受到侵害,仍需从现实的法律中寻求公平正义的救济。
写在最后
本文主要从法律的角度看待上述问题,也希望未来的信任科技和科技信任在法律的框架之内,并且增加与法律的互动。随着科技的发展其实是拓展了人类行为的边界,法律需要紧跟其上,并且给到一个开放性的立法例,就像《民法典》一样进行前瞻性的规定,基本上给予其保护,在未来出现特殊情况时,适时进行调整与变化,这样的立法例与保护可谓是良性的样态。
Scan QR code with WeChat