2023年9月16日下午，由复旦大学法学院刑法学科主办的江湾刑事论坛|经济犯罪前沿问题系列沙龙·六“数字经济背景下数据安全的法律保护——中德两国视角”在复旦大学法学院如期举行。

本次论坛由复旦大学法学院汪明亮教授主持；德国科隆大学法学院马丁·瓦斯默（Martin Wassmer）教授、德国弗莱堡大学法学院马蒂亚斯·瓦赫特尔（Matthias Wachter）博士、德国波鸿大学法学院罗伯特·科维斯（Robert Korves）博士主讲；德国帕绍大学霍尔姆·普茨克（Holm Putzke）教授、华东政法大学法学院叶慧娟副教授、复旦大学法学院袁国何副教授、复旦大学法学院喻浩东讲师与谈；北京炜衡（上海）律师事务所高级合伙人郑飞云作总结发言；江苏大学法学院金山特聘教授申柳华、上海财经大学法学院副教授刘洋、复旦大学法学院师资博士后刘赫、德国法院宣誓翻译徐文翻译。近50名复旦大学校内外师生、实务界人士参加了本次论坛。

主讲人发言环节

马丁·瓦斯默（Martin Wassmer）教授——从《德国网络执法法案》（NetzDG）到《欧洲数字服务法案》（DSA）

2022年11月16日，《数字服务法》（DSA）正式生效，这项法规有利于清除非法内容，保护互联网用户的权利，并确保对中介服务进行严格监管。Twitter等大型社交网络平台由此受到了冲击，在推广某些应用时基于惧怕而畏手畏脚。为了深入了解这些平台产生惧怕的原因，Martin Wassmer教授结合DSA的部分范本即德国《网络执行法》（NetzDG）进行了详细阐述。

首先，Martin Wassmer教授介绍了德国《网络执行法》对社交网络采取的监管方式，即规定大型社交网络提供商有义务及时处理用户对仇恨犯罪及其他应收惩罚的非法内容的投诉，对于明显违法的内容必须24小时内删除或屏蔽，对于其他非法内容则必须在7天内删除或屏蔽，否则会面临高额罚款。不过Martin Wassmer教授也指出，《网络执行法》对特定义务的规定不仅因违反来源国原则而有违背欧盟法律的嫌疑，而且该法对投诉的严格处理涉嫌对宪法上的平等原则的违反以及对言论自由的侵犯。尽管过度拦截信息的问题并未真正出现，但为了规避《网络执行法》，网络提供商设定了更为严格有关审查和删除非法内容的一般条款和条件，据此便可以删除那些根据《网络执行法》不应被定性为非法的内容。但Martin Wassmer教授强调，即使这样做符合德国联邦法院判例的意旨，也必须确保在个别情况下考虑到基本权利保护的立场。

接着，Martin Wassmer教授介绍了将于2024年2月17日起在欧盟全面适用的《数字服务法》的基本内容。相较于《网络执行法》而言，《数字服务法》的相关规定有很大不同：第一，被删除或屏蔽的不仅是某些应受处罚的内容，还有一般的“非法内容”，即所有不符合欧盟法律或成员国法律的信息；第二，对决定、删除或屏蔽没有固定期限。尤其当内容明显违法时，提供商要“迅速”做出删除或屏蔽的决定；第三，明确保护用户的基本权利；第四，报告潜在违法行为的义务范围很广，并不局限于某些严重罪行。

马蒂亚斯·瓦赫特尔（Matthias Wachter）博士——人工智能系统的刑事责任

在人工智能领域，刑法不仅应当是“行为预期的稳定器”，也应间接地成为“接受度的生成器”，为此，旨在稳固人们与人工智能互动期望的规则本身必须具有说服力，这意味着责任的归咎必须是明确和合乎逻辑的。因此，Matthias Wachter博士就人工智能作为刑事责任主体的归咎规则进行了详细阐述：

首先，阐明人工智能的概念及核心分类。Matthias Wachter博士认为，人工智能分为弱人工智能和强人工智能。弱人工智能的特点是，可以处理具体的应用问题，但它没有自主学习或独立解决问题的能力，更不具备自主创新能力。与之相比，强人工智能不仅可以自主设定任务，同时有能力解决这些任务。并且，强人工智能制定的解决方案可能是全新的，从而“增加人类的知识”。

其次，以法律实践为例讨论人工智能系统和自主解决问题的能力。Matthias Wachter博士指出，现在已然存在有助于处理法律任务的工具，可以被视为弱人工智能的体现，例如可以使用ChatGPT这类聊天机器人或电子对话系统来生成法律意见书。然而，该系统是通过使用、评估和总结现有的数据库来解决问题，并未实现自主创造性表现，从而得到新的见解和认识。但可以相信的是，人工智能领域飞速发展的未来将使得具有独立创造性的强人工智能出现。

再次，从刑法角度分析是否可以要求人工智能对其行为承担责任。Matthias Wachter博士认为，基于消极的一般预防论，并不会反对让人工智能承担刑事责任。基于特别预防的考虑，让人工智能承担刑事责任也具有可能性。即使采用积极的一般预防理论或报应学说，也可以肯定人工智能的刑事责任。

最后，Matthias Wachter博士的结论是，应当肯定人工智能的刑事责任主体地位。他指出，即使采用积极的一般预防论也可以肯定人工智能的刑事责任。由于人工智能在不久的将来会拥有权衡理由并在此基础上做出选择的能力，因此由人工系统导致的“规范效力损害”，可以作为追究其刑事责任的理由。

罗伯特·科维斯（Robert Korves）博士——民事诉讼中数据泄露的民事责任

Robert Korves博士主要介绍了数字化背景下德国司法中的民事诉讼程序和数据泄露的民事责任问题，重点阐述了以下两个观点。

第一，追究数据保护的民事责任可以基于不同的请求权基础。在民事诉讼中必须确定谁应当对违反数据保护规定的行为负责。原则上，《德国民法典》规定非合同责任与合同责任存在请求权竞合。其中需要特别注意的是，《德国民法典》第823条第1款是追究非合同责任的核心条款，其适用范围仅限于绝对权。对于数据上的权利是否构成绝对权（数据所有权），一直未有定论。

第二，保护数据所有权不等同于保护数据。数据所有权由数据的“所有者”享有，通常是创建特定数据集的人或因其他原因掌握数据的人。数据所有权的主要保护对象是未经授权的删除、篡改或商业利用。因此，数据泄露等复制行为并不构成对数据所有权的侵犯。相比之下，保护数据是指保护个人数据，确保其作为特定个人的信息不被非法收集、处理和披露。因此，受保护的不是控制数据的人，而是数据所涉及的个人。就此而言，数据保护等同于隐私保护，不过这两种法律制度之间的关系尚未最终得到明确。

与谈嘉宾与谈环节

霍尔姆·普茨克（Holm Putzke）教授

Holm Putzke教授提出人工智能有巨大的优势，并且将改变世界。然而，它作为新技术也隐藏着巨大的危险。基于此，应当围绕着人工智能的刑事责任和数据安全研讨一些基本问题，例如遗忘权和隐私权如何处理。对此刑法领域已经发展出一些重要原则，包括：尊重人权原则；尊重不歧视原则；不透明和独立公平原则；确保人为干预的原则；质量与安全原则。

在Holm Putzke教授看来，以下两点非常重要：第一，必须始终明确数据的来源，否则就无法核实和追溯，这与犯罪归属和民事责任均有关联。第二，避免出现系统性的失真，其可以追溯到人工智能无意识的、未被察觉的偏见。如果人类不想让人工智能拥有生命，威胁人类，我们应当规范其使用，否则人工智能将会威胁人类的自由和安全。

叶慧娟副教授

叶慧娟副教授认为，数字信息安全不仅是保护个人信息不泄露、不被非法利用，更要在个人、社会、国家三个层面防范非法、有害的信息对公共利益和个人权利的侵害。叶老师结合中国互联网发展的现实情况，指出中国即时通讯用户等网络数据规模非常庞大，这意味着中国政府和社会需要面对和处理的非法有害信息数量特别巨大，同时也意味着中国网络领域传播非法内容和造成危害社会的特殊风险也同样是巨大的。之后，叶老师具体就“如何治理短视频摆拍失范问题”提出自己的观点。她认为，考虑到保护言论自由和媒体自由，将短视频摆拍一律视为造假或仅因其具有虚构性就加以限制或禁止是缺乏合理性的。根据相关法律法规和行业规定，针对短视频摆拍应当采取的态度是：既要分类治理，又要审视其是否造成了法律所不允许的后果，从而决定是否以及如何进行规制。目前相关法律法规通常采用列举法来明确法律禁止的违法信息内容，但直接针对短视频摆拍的法律条文较少。虽然有人主张可以适用相关法律法规的兜底条款，但是多数兜底条款模糊笼统，而且解释不具有同一性，因而也难以适用。

袁国何副教授

袁国何副教授首先对于Matthias Wachter博士的观点进行了总结并表示认同。其次，袁老师主要就人工智能系统的刑事责任是否可以运用传统的刑法理论予以解释且是否具有正当性展开论述。强人工智能可以判断犯罪的成本和收益，并且据此做出理性行为。因此，针对强人工智能系统施加刑罚可以收到消极的一般预防和特殊预防的效果，因此让强人工智能承担刑事责任是合理的。对此，袁老师提出自己的观点：罪责的归属以自由为前提，其包括意志自由和评价自由，后者指遵守或者违反法律的自由。强人工智能不具有评价自由，它可以符合规则，但不能遵守规则。由于强人工智能不具有违法性认识的能力，因此它不能成为刑法谴责的对象。同时，由于强人工智能不具有情感，不能感受利益丧失所带来的痛苦，因此矫正和威慑对其无效，从而导致无法实现积极一般预防的功效。袁老师进一步指出，权利能力是责任能力的前提，只有当人们认为，应当赋予强人工智能权利主体的地位时，赋予其刑事责任主体的地位才是必要的。然而，这是一种价值判断，并不是只要具有意志自由，即可享有刑事责任主体的地位。

喻浩东讲师

喻浩东老师指出，与将在德国实施的欧盟《数字服务法》类似的是，中国于2017年6月1日正式实施的《网络安全法》针对网络运营者对于违法信息的管控义务以及网络信息安全的维护义务等内容进行了具体规定。比较而言，中国的《网络安全法》与欧盟《数字服务法》在以下三个方面存在明显差异：第一，对于网络运营者科处了一般性的针对违法信息的监管和报告义务；第二，对于网络服务提供者没有区分类型地科处义务和认定责任；第三，在统一的刑法典中对于拒不履行信息网络安全管理义务的行为规定了刑事责任。由此可知，中国境内的网络运营者承担了更高的网络安全维护义务。考虑到中国互联网产业的发展和公民信息自由的保障，一些中国学者倡导学习和借鉴德国、欧盟的相关立法对于网络服务提供者进行类型化的区分，并在类型化的基础上科处义务和认定责任。喻老师认为，网络信息犯罪的治理不应当在封闭的法律体系内部进行，而是必须在法律系统和其他社会子系统的沟通中进行。因此，刑法对于网络空间的规制应当在尊重数字经济系统自身运作逻辑的前提下实现。对于刑法系统的运作而言，必须确立并保障一套指向信息共享的风险分配机制，在此情形下形成一种“合法或非法”的判断符码，通过制裁破坏该风险分配机制的行为来确认法规范的效力。

总结环节

郑飞云律师

在总结阶段，郑飞云律师主要从实务角度谈了若干心得。

第一，从瓦斯默教授的分享中获得DSA对我国平台监管带来的启示。一是，可以对数据服务监管规范做一个体系性的整合，同时指定统一部门作为专门负责机构。二是，对平台的监管应注意言论自由和公共安全与秩序的价值平衡。郑律师认为，无论是从监管的本土化借鉴，还是从中国数据服务企业参与海外竞争角度而言，对DSA的研究都是很有必要的。不过，在借鉴参考DSA时，应当立足我国的国情，注重安全与发展的价值平衡。

第二，从瓦赫特尔博士分享中获得的启示。近些年来，人工智能系统的刑事责任问题也是我国刑法界对人工智能的刑法问题研究的热点问题。郑律师认为，如果将来出现强人工智能，将人工智能主体作为一种拟制的法律主体置于刑法的范畴之内在技术和逻辑层面都是可以成立的。在确认了人工智能的主体地位之后，可以考虑为人工智能增设新的刑罚形式。随着社会和科技的发展，人工智能存在部分受罚能力的论证也是可以实现的。

第三，从科维斯博士分享中获得的启示。随着我国“移动微法院”的推广,在线诉讼过程中可能引发的数据安全问题不容小觑。郑律师认为，在现行法律规范体系下，在线诉讼中法院的数据处理行为已成为审判权行使的一种方式，并不具有可诉性，但对法庭诉讼的数据处理行为可以通过多种途径予以规制，例如，建构在线诉讼数据安全保护制度，分类分级收集和保护数据，区分一般数据和敏感数据；完善国家赔偿制度，明确将侵权司法行为纳入赔偿范围；确立庭审网络直播的有限性原则，对个人信息进行脱敏处理等。

汪明亮教授

主持人汪明亮教授对于各位嘉宾的精彩发言作了高度评价，对与会者表达了由衷的感谢。

汪明亮教授进一步指出，随着互联网时代的到来，数字经济的蓬勃发展，数据的价值已经上升到前所未有的高度，成为社会的新型资源，数据安全的法律保护也成为国家面临的重大问题。对于网络安全与数据安全的保护，刑法应当责无旁贷。虽如此，但也必须承认，刑法不是万能的，其不是保护数据安全的万能药。对数据安全的保护还必须有刑法之外的措施跟进，必须构建全方位的法律保护体系。瓦斯默教授对《德国网络执法法案》（NetzDG）及《欧洲数字服务法案》（DSA）的介绍与评价、瓦赫特尔博士对人工智能系统刑事责任的解读、科维斯博士对民事诉讼中数据泄露的民事责任的探讨，无疑为我国构建全方位的数据安全的法律保护体系提供了域外经验与理论上的支持。