李源粒

(德國馬普外國刑法與國際刑法研究所，德國 弗萊堡79100)

一、網(wǎng)絡數(shù)據(jù)安全問題的時代挑戰(zhàn)

大數(shù)據(jù)時代網(wǎng)絡是以數(shù)據(jù)為核心的“數(shù)據(jù)網(wǎng)絡”，網(wǎng)絡數(shù)據(jù)形式體現(xiàn)為非結構數(shù)據(jù)，數(shù)據(jù)來源可能涉及到與公民個人的直接關聯(lián)，產生個人網(wǎng)絡數(shù)據(jù)安全威脅的問題。

(一)大數(shù)據(jù)時代的個人數(shù)據(jù)安全

大數(shù)據(jù)開啟了重大時代轉型，實現(xiàn)了網(wǎng)絡由“計算網(wǎng)絡”向“數(shù)據(jù)網(wǎng)絡”的轉變，“世界萬維網(wǎng)之父”蒂姆·伯納斯-李(Tim Berners-Lee)明確指出下一代互聯(lián)網(wǎng)本質上是“數(shù)據(jù)網(wǎng)”(Web of Data)［1］。因此在大數(shù)據(jù)時代帶來的諸多挑戰(zhàn)中，網(wǎng)絡數(shù)據(jù)安全無疑居于最核心地位。網(wǎng)絡數(shù)據(jù)的重要特征是其數(shù)據(jù)來源的分散性、開放性，數(shù)據(jù)形式的多樣性、非結構性。這種特征本身在創(chuàng)造巨大價值潛力的同時，也蘊含著數(shù)據(jù)安全的巨大風險。根據(jù)甲骨文的定義，大數(shù)據(jù)不同于傳統(tǒng)的關系型數(shù)據(jù)庫，而基于擴展的新的非結構化數(shù)據(jù)資源主導商業(yè)決策。依托于新一代架構和技術，大數(shù)據(jù)能更經濟、有效地從高頻率、大容量、不同結構和不同類型數(shù)據(jù)中獲取價值，與傳統(tǒng)基于事務的數(shù)據(jù)倉庫系統(tǒng)相比，大數(shù)據(jù)能在智能分析的基礎上進行更大容量數(shù)據(jù)和非結構化數(shù)據(jù)的處理［2］。數(shù)據(jù)分析不再局限于企業(yè)內部數(shù)據(jù)，而是移動終端、互聯(lián)網(wǎng)等外部數(shù)據(jù)源，在人類掌握的全部數(shù)據(jù)中，大約有20%是結構化數(shù)據(jù)，80%是半結構化和非結構化數(shù)據(jù)［3］。而大數(shù)據(jù)所依托的基礎技術——非關系型數(shù)據(jù)庫(NoSQL)內在安全機制不完善，即缺乏保密性和完整性特質，同時對來自不同系統(tǒng)、不同應用程序及不同活動的數(shù)據(jù)進行關聯(lián)，加大隱私泄露風險［2］。

大數(shù)據(jù)必然是聚合了圍繞個人的個體性的數(shù)據(jù)。個人網(wǎng)絡數(shù)據(jù)保護在龐大的數(shù)據(jù)海洋中從個體角度進行觀察，與大數(shù)據(jù)傾向于收集所有網(wǎng)絡數(shù)據(jù)的本質是一對天然矛盾。這提出了大數(shù)據(jù)時代的“小數(shù)據(jù)問題”。小數(shù)據(jù)(iData)指的是圍繞個人為中心的全方位的信息，即其配套的收集、處理、分析和對外交互的綜合系統(tǒng)，人的一舉一動、一分一秒產生的數(shù)據(jù)，包括生活習慣、身體狀況、社交、財務、喜好、行為、情緒等等，全部被收集、利用和分析，并對外形成個人的數(shù)據(jù)系統(tǒng)，統(tǒng)一執(zhí)行多項對外功能［4］。

小數(shù)據(jù)，也就是個人網(wǎng)絡數(shù)據(jù)，與個人信息處于動態(tài)的關聯(lián)中。在大數(shù)據(jù)的宏觀性概念之下，最初是直接由各個分散節(jié)點匯聚而來的元數(shù)據(jù)直接收集個人網(wǎng)絡數(shù)據(jù)。移動“智能”終端的傳輸科技將地理位置數(shù)據(jù)和互聯(lián)網(wǎng)相連，以提供以此為基礎的各種新服務與應用，為收集和利用個人信息提供了渠道［5］。而這些數(shù)據(jù)直接威脅個人信息安全。例如各社交網(wǎng)站不同程度開放其用戶所產生的實時數(shù)據(jù)，利用注冊網(wǎng)頁填寫信息、智能手機位置信息等多數(shù)據(jù)組合，可以高精確度鎖定挖掘個人信息［2］。大數(shù)據(jù)包含大量用戶身份信息、屬性信息和行為信息，各渠道數(shù)據(jù)存在交叉檢驗的可能，極易造成隱私泄露威脅。大數(shù)據(jù)安全控制力度不足會帶來大數(shù)據(jù)濫用的風險［5］。

(二)公民個人信息法益侵害威脅與個人網(wǎng)絡數(shù)據(jù)安全威脅的關聯(lián)性

數(shù)據(jù)成為“信息金庫”，其巨大價值催生了以數(shù)據(jù)為核心目標的犯罪，其中以個人信息為對象的數(shù)據(jù)犯罪，或者最終對個人信息產生危害的數(shù)據(jù)犯罪日益嚴重。賽門鐵克2014 年發(fā)布《互聯(lián)網(wǎng)安全威脅報告》指出，2013 年共有5.25 億人的身份信息遭到泄露［6］;2015 年公布的《網(wǎng)絡安全威脅報告》指出，2014 年中網(wǎng)絡罪犯持續(xù)地大范圍竊取個人信息，數(shù)據(jù)犯罪數(shù)量上比2013 年增長了23%。2014 年泄露、竊取、販賣和非法使用個人信息已成為一個地下產業(yè)鏈條，其中WiFi 是泄露個人信息的重要途徑，釣魚網(wǎng)站仍是個人信息泄露的重災區(qū)［7］。其中，物聯(lián)網(wǎng)攻擊由概念轉向主流，設備受到攻擊很可能會對現(xiàn)實世界產生嚴重的影響。波耐蒙研究所《第五屆醫(yī)療數(shù)據(jù)隱私與安全研究報告》研究顯示超過90%的醫(yī)療保健機構存在數(shù)據(jù)泄露，沒有任何一家醫(yī)療組織免遭數(shù)據(jù)泄露，無論規(guī)模大?。?］。賽門鐵克2014 年安全報告表明，移動網(wǎng)絡威脅的前兩位為跟蹤用戶和信息竊取。2013 年跟蹤用戶的威脅數(shù)量達到30%，是2012 年的兩倍。中國互聯(lián)網(wǎng)絡中心(CNNIC)在《2013 年中國網(wǎng)民信息安全狀況研究報告》中的統(tǒng)計數(shù)字表明，與2012 年相比，網(wǎng)民遇到手機垃圾短信和騷擾電話、中病毒或木馬、賬號或密碼被盜的比例都有較大幅度下降，而手機惡意軟件和個人信息泄露的比例增幅分列前兩位。

網(wǎng)絡數(shù)據(jù)被運用到事前預測(prognosis)中會直接對公民個人信息安全產生威脅。一方面，個人面臨被側寫(profiling)的威脅。依據(jù)網(wǎng)絡數(shù)據(jù)直接描繪該個人電子數(shù)據(jù)實體的身份特征有可能產生偏差，導致個人數(shù)據(jù)身份與現(xiàn)實實體身份的錯位，對個人安全和平穩(wěn)生活狀態(tài)造成威脅。人們面臨基于大數(shù)據(jù)對狀態(tài)和行為預測的威脅，如基于大數(shù)據(jù)的威脅發(fā)現(xiàn)技術［9］。公民可能因為基于數(shù)據(jù)算法和預測性分析評估而面臨刑事調查、逮捕、驅逐出境、有期徒刑甚至死刑的后果［10］。另一方面，這種預測本身就基于敏感信息，進一步挖掘和知曉個人的其他敏感信息，從而對個人生活領域形成深度侵犯，導致個人非公開領域的信息被發(fā)覺、利用、共享，甚至在個人毫無察覺的情況下。此外，一種可能的危害性后果是身份盜竊。身份盜竊是指利用竊取他人身份所實施的危害他人人身、財產安全的行為。身份盜用不僅限于為了獲取經濟利益，而且廣泛地拓展到其他非財產領域，嚴重危害公民人身和財產安全［11］。

(三)個人網(wǎng)絡數(shù)據(jù)與信息保護體系重構的必要性

在大數(shù)據(jù)的時代背景下，個人信息保護的整體框架是需要變動的。因為大數(shù)據(jù)帶來了全新的數(shù)據(jù)革命，顛覆了原有的數(shù)據(jù)和信息獲取模式，尤其是云計算的成熟和落地應用帶來更多的數(shù)據(jù)形式和階段的問題。歐盟個人數(shù)據(jù)保護框架下就匿名和技術化名數(shù)據(jù)、加密數(shù)據(jù)等不同的數(shù)據(jù)形式和是否存儲與分享等不同階段都給原有的“個人數(shù)據(jù)”(personal data)的定義帶來了新的需要詳盡探討的問題［12］。

數(shù)據(jù)收集的最小化原則(data minimization)，即有重點地收集(focused collection)和限制收集原則(limitation collection principle)［13-14］，是個人數(shù)據(jù)保護的一個基本原則。但大數(shù)據(jù)時代的信息收集與這一原則是根本抵觸的——收集更多的數(shù)據(jù)，在更長的時間跨度內持續(xù)收集，并且意圖進行無法預知的數(shù)據(jù)二次利用［15］。數(shù)據(jù)被大范圍、多渠道、分散終端地收集匯聚，并且這些數(shù)據(jù)直接來源于公共和半公共空間的同時，也可以直接由個人私密空間獲取，從根本上講，原有的個人數(shù)據(jù)(personal data)概念所依賴的基本原則已經不適用于現(xiàn)在的時代背景。大數(shù)據(jù)的模式(big data paradigm)挑戰(zhàn)了經濟合作與發(fā)展組織(OECD)1980年所確定的公正信息實踐原則(Fair Information Practice Principles，F(xiàn)IPPs)框架下的一些基本原則，包括此框架的適用范圍(scope)、數(shù)據(jù)最小化收集原則、同意原則(consent，即個人控制和情境考量，indivudual control and respect for context)以及個人獲知權(right of individual access)。

(四)網(wǎng)絡刑法領域的概念厘清

在計算機、互聯(lián)網(wǎng)以及信息科技的技術浪潮下，遵照摩爾定律而事實上發(fā)生的技術更新迭代是非常迅速的，這給源于事實、生活領域而規(guī)范化、制度化的法律層面的概念運用和條文解釋與設置都帶來了措手不及而必須與時俱進的諸多挑戰(zhàn)。其中，概念的澄清乃一切研究的基礎和前提，有必要對越來越多的各種概念的悄然產生和混亂使用進行一個回顧、反思和前瞻兼具的思索及厘清。

從刑法角度對信息科技發(fā)展所帶來的問題進行規(guī)制，基本可從兩個角度入手，其一即從計算機、網(wǎng)絡的技術設備和運算處理能力的角度，最新的技術挑戰(zhàn)發(fā)生在移動網(wǎng)絡、物聯(lián)網(wǎng)和云計算領域，國內的研究多從此角度著手，且保持了非常前沿的研究水平。而另外一個角度在國內基本還屬于空白，即從信息和數(shù)據(jù)的角度切入以深入分析信息社會的諸多新的嚴重的刑事法律問題，但在國外已有許多研究從此出發(fā)并嘗試構筑以信息為核心概念的、包括但不限于刑法的完整體系。從刑法領域看，兩個不同角度所構筑的體系有區(qū)別，亦有很大重合。

本文所使用的計算機刑法和網(wǎng)絡刑法都是從網(wǎng)絡刑法的角度出發(fā)的，體現(xiàn)了互聯(lián)網(wǎng)的發(fā)展對刑法的影響。我國目前已經發(fā)表的論文、專著在2001 年以前更多使用計算機犯罪的稱謂，而2001年之后網(wǎng)絡犯罪的使用頻率更高一些。這可能與我國計算機立法的發(fā)展有關系［16］。作為犯罪對象的“網(wǎng)絡”在不斷擴大，從計算機信息系統(tǒng)到計算機網(wǎng)絡，從而完成了從“計算機犯罪”到“網(wǎng)絡犯罪”的稱謂過渡和內容合一［17］。計算機信息系統(tǒng)的技術特征和虛擬特征是計算機犯罪的主要側面，愈發(fā)顯現(xiàn)出網(wǎng)絡自身的重要和復雜，包括分散化、普遍性與聚合化、智能性。

本文主要探討的數(shù)據(jù)和信息的概念問題則是從信息的角度出發(fā)的，體現(xiàn)了信息概念在網(wǎng)絡技術發(fā)展的推動下所需要應對的棘手問題。信息(information，Informatik)是最根本的概念，數(shù)據(jù)(data，Daten)是與之相關的一個非常重要的概念。從法律意義上看，信息分為三個側面，即作為過程的數(shù)據(jù)、作為內容的數(shù)據(jù)和作為狀態(tài)的數(shù)據(jù)(Information als Gegenstand des Rechts:Vorgang，Inhalt oder Zustand)。本文主要探討的是作為過程的數(shù)據(jù)和作為狀態(tài)的數(shù)據(jù)，即數(shù)據(jù)是發(fā)送者到接受者的一個知曉意義生成過程(der Zuwachs an Wissen)，是認知狀態(tài)的符號表征(Bezeichnung des Zustands der Kenntnis)［18］。而數(shù)據(jù)則是信息的一個前提(Voraussetzung für Information)，二者本質上是相同的。至于個人數(shù)據(jù)(personenbezogene Daten)則不完全是從本質上界定的，是基于憲法、基于信息自決權(informationellen Selbstbestimmungsrecht)的概念［19］。

因此，單講數(shù)據(jù)和信息是技術的、事實層面的，“網(wǎng)絡數(shù)據(jù)、網(wǎng)絡信息”則強調了因網(wǎng)絡發(fā)展而擴大的數(shù)據(jù)和信息來源、形式與數(shù)量級;講到“個人數(shù)據(jù)、個人信息”，則是法律層面的、與個人主體相關聯(lián)的，如果再意欲突出網(wǎng)絡因素對此法律領域的沖擊，則可采用“網(wǎng)絡個人數(shù)據(jù)、網(wǎng)絡個人信息”的概念。至于數(shù)據(jù)和信息，若嚴格區(qū)別，突出在認知狀態(tài)上的動態(tài)的前后階段之分，采狹義的信息概念，則數(shù)據(jù)為更原始的信息，信息為經過一定處理、具有一定價值的數(shù)據(jù)，“數(shù)據(jù)是信息的載體，信息是有價值的數(shù)據(jù)”［20］。本文以為，因為大數(shù)據(jù)是完整的密不可分的一個動態(tài)過程，數(shù)據(jù)和信息的處理過程不宜切割來看，故數(shù)據(jù)、信息的概念也可不作區(qū)分，以數(shù)據(jù)信息統(tǒng)稱，以方便對整個動態(tài)過程作更為全面的研究。至于在數(shù)據(jù)信息概念之上的“網(wǎng)絡”因素和“個人”價值的進一步下位概念，實屬不同的觀察角度和研究切入路徑，置于數(shù)據(jù)信息的基本概念之前依據(jù)具體語境進行修飾限定即可①OECD 1980 年的指導原則以及歐盟數(shù)據(jù)保護框架下都是采用個人數(shù)據(jù)的概念，并在這一概念的具體界定中使用廣義意義上的信息概念，也即，從信息區(qū)別于物質、能量的第三種客觀存在的本質上使用這一概念。德國的聯(lián)邦數(shù)據(jù)保護法(BDSG)也是用了數(shù)據(jù)概念，但其定義中沒有使用信息，只著眼于數(shù)據(jù)的相關技術過程和數(shù)據(jù)與主體的關聯(lián)，而在德國的關于信息的研究中多采狹義的信息概念。。

二、我國個人數(shù)據(jù)信息刑法保護規(guī)范體系的發(fā)展與反思

公民個人網(wǎng)絡數(shù)據(jù)實際上是網(wǎng)絡數(shù)據(jù)中與公民個人密切相關的數(shù)據(jù)，從內容角度看與公民個人信息密切相關，因此，這部分數(shù)據(jù)的保護應納入到公民個人信息保護的刑法體系中。但分析我國現(xiàn)有的刑法規(guī)范，尚存在保護不周的問題，主要是因為分則條文中“數(shù)據(jù)”概念還不夠明確，無法實現(xiàn)個人網(wǎng)絡數(shù)據(jù)在“數(shù)據(jù)”概念下的保護，也無法實現(xiàn)與公民個人信息保護規(guī)范的體系性對接。

(一)公民個人數(shù)據(jù)現(xiàn)有刑法保護規(guī)范體系

我國現(xiàn)有的刑法規(guī)范體系在第285 條第2 款非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪和第253 條之一出售、非法提供公民個人信息罪以及非法獲取公民個人信息罪中都涉及到對公民個人數(shù)據(jù)的保護，這兩條為現(xiàn)有個人網(wǎng)絡數(shù)據(jù)的保護提供了規(guī)范依據(jù)。從“數(shù)據(jù)”概念著手進行分析，這一現(xiàn)有保護體系存在外在范圍的不完整和內在結構的不貫通。

1.我國刑法以公民個人信息保護為核心的規(guī)范體系

《刑法修正案(七)》在《刑法》第253 條之一增加規(guī)定了出售、非法提供公民個人信息罪以及非法竊取公民個人信息罪，這是我國刑法保護公民個人信息的核心罪名?！缎谭ā吩鲈O這一條的動因在于應對不法分子利用技術手段非法侵入計算機系統(tǒng)竊取他人賬號、密碼等信息，嚴重危害社會秩序的現(xiàn)象［21］，目的是為了有效應對越來越嚴重的非法泄漏、非法獲取、非法利用公民私人信息的社會現(xiàn)實，嚴厲打擊日趨猖獗的個人信息犯罪行為，切斷身份信息犯罪的產業(yè)鏈［22］?！缎谭ㄐ拚?七)》擴展了身份犯罪的制裁范圍，將刑法打擊身份盜竊的時間介入點前移，將干預階段向上游延伸［11］。也即，“公民個人信息”是基于打擊一系列與公民信息權益相關的后續(xù)犯罪的立法考量，以預防為立法導向的刑法規(guī)范，注重了以“信息”為本質的公民法益的保護必要。

公民個人網(wǎng)絡數(shù)據(jù)保護的本質與公民個人信息保護的本質都在于以信息為對象，在于個人網(wǎng)絡數(shù)據(jù)具有潛質信息價值、通過大數(shù)據(jù)挖掘和利用具有侵入個人隱私空間、識別公民個人信息的可能性。這種體系內部的聯(lián)接的銜接，需要從“數(shù)據(jù)”概念出發(fā)，即思索個人網(wǎng)絡數(shù)據(jù)在分則中的定位與體現(xiàn)，這只能由數(shù)據(jù)概念的深入分析而求得。

《刑法》第285 條非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中從側面涉及到對公民個人數(shù)據(jù)的保護。計算機信息系統(tǒng)數(shù)據(jù)的含義沒有在罪狀中規(guī)定。2011 年《關于辦理危害計算機信息系統(tǒng)安全刑事案件適用法律若干問題的解釋》第1 條中明確將“獲取支付結算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息十組以上”以及“獲取以外的其他身份認證信息五百組”以上的，作為《刑法》第285 條第2 款非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的“情節(jié)嚴重”的入罪標準。這一司法解釋第11 條對“身份認證信息”做了解釋，“指用于確認用戶在計算機信息系統(tǒng)上操作權限的數(shù)據(jù)，包括賬號、口令、密碼、數(shù)字認證等”。這種身份認證信息是在計算機信息系統(tǒng)的語境下進行的，范圍狹隘，但是強調了認證作用，即可以將用戶身份通過一定的系統(tǒng)操作權限加以聯(lián)系，這種聯(lián)結為的是確保主體的“人”對“機”關系的認證數(shù)據(jù)，因而也具有一定的個人數(shù)據(jù)的側面性。

2.“數(shù)據(jù)”概念的模糊性

現(xiàn)有網(wǎng)絡刑法規(guī)范當中的“數(shù)據(jù)”概念是模糊的，一直未得到應有的獨立的重視和探討。其含義在外延上存在一定的局限，對其含義也缺乏不同角度的具體細化。從相關司法解釋和其他規(guī)定出發(fā)，對這一數(shù)據(jù)概念至少可以從兩個角度進行思考。

我國現(xiàn)有刑法分則規(guī)范中的“數(shù)據(jù)”概念首先是比較狹隘的，與計算機信息系統(tǒng)的功能捆綁在一起，從而導致數(shù)據(jù)沒有被作為保護對象獨立評價，范圍被不恰當?shù)厥艿较拗啤７欠ǐ@取計算機信息系統(tǒng)數(shù)據(jù)罪是指違法國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理、傳輸?shù)臄?shù)據(jù)，情節(jié)嚴重的行為［23］。因此《刑法》分則285 第2 款所保護的數(shù)據(jù)，是限于計算機信息系統(tǒng)內部的、側重于信息系統(tǒng)自身功能維護的數(shù)據(jù)，附著于信息系統(tǒng)功能。

另一方面，我國《刑法》分則規(guī)范中的“數(shù)據(jù)”概念又是寬泛的、具有解釋上的可延展性。第285條中的數(shù)據(jù)涵蓋了數(shù)據(jù)不同側面的多重含義。第285 條非法侵入計算機信息系統(tǒng)罪規(guī)定，違法國家規(guī)定非法侵入國家事務、國防建設、尖端科學事務領域的計算機信息系統(tǒng)的行為，無論是否造成侵害結果，都應受刑事處罰;對比第285 條第2 款非法獲取計算機信息系統(tǒng)數(shù)據(jù)將對象擴大到其他計算機信息系統(tǒng)，并且增加了“情節(jié)嚴重”作為入罪標準，應可以認為，對285 條規(guī)定的重要計算機信息系統(tǒng)數(shù)據(jù)的非法獲取應作為侵入行為的后果來看待，即285 條也是非法獲取國家事務、國防建設、尖端科學事務領域的計算機信息系統(tǒng)數(shù)據(jù)的預備行為，基于嚴重的社會危害性而獨立成罪。這樣不難看出，數(shù)據(jù)的概念同樣還包含內容意義上以信息體現(xiàn)其價值和重要性的數(shù)據(jù)庫數(shù)據(jù)，這里便是完全從現(xiàn)實角度來考量數(shù)據(jù)概念的。

所以，這是一個雜糅性的概念，既涵蓋了運算處理系統(tǒng)中的操作授權數(shù)據(jù)，也包括人與機之間相關聯(lián)的認證型數(shù)據(jù)，同時還涉及到僅從現(xiàn)實重要性出發(fā)來考量的內容型數(shù)據(jù)。但同時，這一“內涵豐富”的數(shù)據(jù)概念又非常局限地同“計算機信息系統(tǒng)”這個范圍限制聯(lián)系在一起，是依附性的而非獨立性的概念。

(二)對現(xiàn)有刑法規(guī)范體系的反思

對數(shù)據(jù)進行更加細致的區(qū)分和觀察是必要的，對于建立公民個人網(wǎng)絡數(shù)據(jù)到公民個人信息的完整保護體系來說，這是需要反思與完善之處。

1.“數(shù)據(jù)”概念的精細化

德國刑法1986 年通過了針對計算機犯罪的修正案，作為應對信息技術的補充規(guī)范。涉及到以數(shù)據(jù)為對象的規(guī)范主要為第202a 條以及第303a 條。這兩條中對于數(shù)據(jù)概念的定義非常相似［24］202aRn.3，303aRn.3，但在構成要件特征中對數(shù)據(jù)進行了進一步的限制，因而在保護上是有側重和差別的。本文認為，對數(shù)據(jù)概念的進一步厘清可以從以下三個方面切入。

數(shù)據(jù)的差別側面之一體現(xiàn)為對數(shù)據(jù)的內容權限和操作權限的區(qū)分。前者強調對數(shù)據(jù)本身的獲取和知悉，后者則是對數(shù)據(jù)進行操作如讀寫、刪除等的權限。德國刑法第202a 條制裁的電腦間諜行為所保護的是保密和個人領域，以及這種數(shù)據(jù)限定性的經濟利益，針對的是對以數(shù)據(jù)、文件和數(shù)據(jù)銀行系統(tǒng)為實體化形式的信息的非法探知行為［25］38。所以，202a 中的數(shù)據(jù)概念實際上強調數(shù)據(jù)同特定主體的特定歸屬關系，保護的是個人限定他人知悉專屬自己的特定數(shù)據(jù)的權利，這與德國在計算機刑法發(fā)展初期重點關注隱私權保護的歷史是吻合的。而303a 中的數(shù)據(jù)概念與202a 中的相同，但其刑事可罰性應當作為對一般性財物毀損的補充來理解，重要的是數(shù)據(jù)支配權利人至少有類似于財產權的地位和因此產生的數(shù)據(jù)支配權利，這種類似財產權的地位可以認為是所有權和使用權。因此，數(shù)據(jù)支配權利人的數(shù)據(jù)為在計算機中存儲或在軟件中使用的數(shù)據(jù)［25］45-46。這一條保護的是數(shù)據(jù)的使用權利(Nutzungsrecht an Daten)［26］，侵 害 的 是 事 實 上 的 使 用 可 能 性(Nutzungsm?βglichkeit)［27］303aRn.4?？梢院苊黠@地看出，303a 中的數(shù)據(jù)是強調計算機中存儲或者在軟件中使用的數(shù)據(jù)，是計算機可用性價值功能的一個重要方面，因而，這一條的數(shù)據(jù)側重的實際上是計算機信息系統(tǒng)數(shù)據(jù)的技術可靠性。

數(shù)據(jù)的差別側面之二體現(xiàn)在利用財產性與信息私密性的區(qū)分。從信息的保護模式來看，一種是歸于原有的物權保護模式下，具體通過創(chuàng)設虛擬財產的概念對數(shù)據(jù)進行類似于對物的保護;另一種則是將信息作為一種獨立的存在，獨立地關注信息本身所承載的內容上的意義，具體通過維護確定主體同信息的限定性知悉可能性來保護個人對信息的保密權利。202a 條中第1 款對可直接讀取的存儲或者可傳輸?shù)碾姶艛?shù)據(jù)進行了進一步限制，即構成要件行為是對于數(shù)據(jù)對象權限規(guī)定的違反。受保護的數(shù)據(jù)僅為行為人無權限且由訪問權限限制機制所保護的數(shù)據(jù)。數(shù)據(jù)的限定性依賴于數(shù)據(jù)歸屬者的意愿，訪問權限限制的安全保護是典型的數(shù)據(jù)的限定主體的保密意愿的明確體現(xiàn)［25］38-40。此處數(shù)據(jù)是最終對于行為人來說沒有獲得任何讀取可能性的數(shù)據(jù)［24］202aRn.13。突破訪問安全機制就是行為人讀取數(shù)據(jù)沒有任何進一步的安全阻攔。這一條體現(xiàn)了個人對于其數(shù)據(jù)從內容信息角度進行私密保護和防止違背其意愿被公開或被他人知悉的權利。而303a 中的數(shù)據(jù)概念不能以202a 中的數(shù)據(jù)概念來表明，它并不關注數(shù)據(jù)是否有特別的安全保護或者數(shù)據(jù)是限定于哪一主體的［27］303aRn.6。

數(shù)據(jù)的差別側面之三體現(xiàn)在運算數(shù)據(jù)虛擬性、內容數(shù)據(jù)現(xiàn)實性與信息數(shù)據(jù)主體歸屬性的區(qū)分。計算機刑法所保護的法益是新的法益，也即計算機信息系統(tǒng)的完整性、可靠性、保密性，這實際上是一種虛擬的計算資源，其完整的運算處理流程并非有形的，其重要意義在于系統(tǒng)功能正常運轉與系統(tǒng)計算能力的正常使用。其中，計算機信息系統(tǒng)的運算必須通過數(shù)據(jù)來完成，在這個過程中，數(shù)據(jù)在每一階段的重要性并不完全一致。具體來說，計算機信息系統(tǒng)的訪問權限(access)是通過三個階段的人機互動來實現(xiàn)的，即認證(Authentisierung)、識別(Authentifizierug)和授權(Autorisierung)，其中，因為語言自身的詞匯問題，英文中前兩個階段沒有再繼續(xù)區(qū)分，而只以authentication 來概括［28］。身份認證數(shù)據(jù)和識別數(shù)據(jù)都是為了確定個人與計算機之間的讀取、插入、修改等互動性的關系，這部分數(shù)據(jù)是一種確定識別身份和確證權限歸屬的數(shù)據(jù)，訪問權限控制的授權數(shù)據(jù)是這種身份認證和識別過程后在計算機信息系統(tǒng)中享有相應操作權限的對應后果。德國的兩個法條都是在授權的框架下，只是202a 因授權對象數(shù)據(jù)的信息特征而完全從歸屬與主體的信息的角度關注其內容私密性，對應側重主體和信息的歸屬關系的認證過程，是從身份界定(Identit?t)角度出發(fā)的;303a 則從系統(tǒng)操作安全和系統(tǒng)運行安全的角度而側重技術可靠性，即識別和授權階段。一些計算機權限操作、系統(tǒng)運行的數(shù)據(jù)則是純粹技術性的、虛擬性的數(shù)據(jù)，是計算機計算和處理事務的特別數(shù)據(jù);另外一些數(shù)據(jù)則體現(xiàn)為數(shù)據(jù)庫，偏重的是數(shù)據(jù)自身的內容，這些數(shù)據(jù)的內容是具有現(xiàn)實利益、現(xiàn)實重要性的。因此對于這種數(shù)據(jù)的不同側重的差別，也應當遵循數(shù)據(jù)本身的特征來進行刑法評價，避免我國現(xiàn)有分則單向度地從現(xiàn)實出發(fā)論證的考量思維。

在細致分析了數(shù)據(jù)概念的幾種層次的含義后，不難發(fā)現(xiàn)，偏重內容的數(shù)據(jù)庫數(shù)據(jù)以及個人身份識別的數(shù)據(jù)都與第253 條中的公民個人信息概念有一定的重疊?；蛘哒f，一部分數(shù)據(jù)犯罪，非法獲取數(shù)據(jù)的危害性其實是從數(shù)據(jù)本身的信息內容出發(fā)或者從個人對數(shù)據(jù)的特定權限出發(fā)，而不是純粹從計算機信息系統(tǒng)的完整性、安全性和可靠性的法益保護依據(jù)出發(fā)的，這一法益其實保護的是公民個人對其信息的保密和支配的權利。這為網(wǎng)絡數(shù)據(jù)下不同數(shù)據(jù)的細微差別把握以及偏重內容信息方面的個人網(wǎng)絡數(shù)據(jù)與個人信息的概念銜接提供了基礎。

2.“計算機信息系統(tǒng)數(shù)據(jù)”與“網(wǎng)絡數(shù)據(jù)”的概念挑戰(zhàn)

網(wǎng)絡數(shù)據(jù)概念對原有數(shù)據(jù)概念的挑戰(zhàn)主要產生于數(shù)據(jù)來源的擴展。根據(jù)來源的不同可以將大數(shù)據(jù)分為以下三類:來自于人，即人們在互聯(lián)網(wǎng)活動以及使用移動互聯(lián)網(wǎng)過程中所產生的各類數(shù)據(jù);來自于機，即各類計算機信息系統(tǒng)產生的數(shù)據(jù)，以文件、數(shù)據(jù)庫、多媒體等形式存在，也包括審計、日志等自動生成的信息;來自于物，即各類數(shù)字設備所采集的數(shù)據(jù)，如攝像頭產生的數(shù)字信號、醫(yī)療物聯(lián)網(wǎng)中產生的人的各種特征值等［9］。

近年來移動計算終端興起。除增加了網(wǎng)絡入口外，大多數(shù)移動設備業(yè)提供了工具，能獲取圖片、聲音和進行對個人行動進行跟蹤的地理位置定位［29］。截至2014 年6 月底，我國手機網(wǎng)民規(guī)模為5.27 億，較2013 年底增加2 699 萬人［30］。這一現(xiàn)象所帶來的刑法問題是，對于“計算機信息系統(tǒng)”這一分則條文概念的解釋是否應當將移動終端涵括在內。網(wǎng)絡犯罪對象已經呈現(xiàn)出多元化趨勢，網(wǎng)絡犯罪對象不再局限于計算機信息系統(tǒng)，對于智能手機乃至以后的一般家用智能電器能否擴張解釋為計算機信息系統(tǒng)，將成為我國刑法理論研究和司法實踐必須面對的問題［31］。2011 年9月1 日起施行的最高人民法院和最高人民檢察院《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第11 條規(guī)定:“本解釋所稱‘計算機信息系統(tǒng)’和‘計算機系統(tǒng)’，是指具備自動處理數(shù)據(jù)功能的系統(tǒng)，包括計算機、網(wǎng)絡設備、通信設備、自動化控制設備等”。這一司法解釋在應對移動互聯(lián)網(wǎng)的智能手機終端問題上是沒有問題的，因為智能手機是具備自動處理數(shù)據(jù)功能的，甚至不比電腦PC 終端的計算能力弱，將其視為計算機信息系統(tǒng)是合理的，不存在規(guī)范上的障礙。因此，智能手機以及智能手機接入的移動通訊網(wǎng)絡中存儲、處理、傳輸?shù)臄?shù)據(jù)，也將因此能夠被涵蓋在“計算機信息系統(tǒng)數(shù)據(jù)”這個范圍之內。也就是說，在移動網(wǎng)絡層面，網(wǎng)絡和終端擴展的網(wǎng)絡數(shù)據(jù)來源擴展的問題，還能夠通過擴張計算機信息系統(tǒng)的范圍以擴展附隨著的計算機信息系統(tǒng)數(shù)據(jù)概念來解決。

而網(wǎng)絡信息技術的發(fā)展尤其是物聯(lián)網(wǎng)的飛速發(fā)展進一步凸顯終端的重要性。終端成為虛擬與現(xiàn)實的融合入口，同時有物化趨勢，因此來自于“端”、來自于“物”的數(shù)據(jù)該如何界定，逐步成為需要關注的又一問題點。ICT 產業(yè)的核心技術平臺/體系的顛覆是移動互聯(lián)網(wǎng)所帶來的最深刻的影響之一，即從PC(Wintel)主導的計算平臺向移動智能終端(Android＆iOS +ARM)技術體系的遷移，移動互聯(lián)網(wǎng)時代云與端并立成為互聯(lián)網(wǎng)服務的競爭要素，在社會生活中加速滲透。移動互聯(lián)網(wǎng)拓展了虛擬世界和現(xiàn)實世界交互的界面，硬件形態(tài)快速發(fā)展促使移動應用出現(xiàn)顛覆式創(chuàng)新，比如Google Glass 帶來的第一視角增強現(xiàn)實應用等，此外，智能手表、智能手環(huán)等可穿戴設備不斷涌現(xiàn)［32］。物聯(lián)網(wǎng)的核心技術RFID 提出了一個新問題，就是網(wǎng)絡數(shù)據(jù)的范圍問題。RFID 系統(tǒng)由電子標簽、傳輸網(wǎng)絡和閱讀器組成，每個電子標簽具有全球唯一的識別號，無法修改無法仿造，附著在物體上以識別目標對象。電子標簽中保存約定格式的電子數(shù)據(jù)，通過無線信號在標簽和閱讀器間傳遞數(shù)據(jù)，閱讀器則與計算機相連，將讀取數(shù)據(jù)傳送至計算機。這在機器與機器通信(machine to machine communication，M2M)系統(tǒng)中還有更多問題，如二維碼、攝像頭、GPS、各種傳感器網(wǎng)絡等諸多直接連接服務對象的終端通過通信網(wǎng)絡向應用系統(tǒng)傳輸?shù)木W(wǎng)絡數(shù)據(jù)［33］，而這些數(shù)據(jù)可能是非常重要且私密的敏感數(shù)據(jù)，如人體健康數(shù)據(jù)、地理位置數(shù)據(jù)等，應當納入到刑法保護體系中的個人網(wǎng)絡數(shù)據(jù)、個人信息。但這些數(shù)據(jù)不能被納入到現(xiàn)有的“計算機信息系統(tǒng)數(shù)據(jù)”概念中來。如上所述，RFID 的電子標簽就是典型的物化終端，其不具備計算機信息系統(tǒng)所要求的計算能力，不能夠被視為計算機信息系統(tǒng)，因而其所攜數(shù)據(jù)可能是非常重要的網(wǎng)絡數(shù)據(jù)，是無法通過原有的擴張解釋思路被納入到刑法分則對計算機信息系統(tǒng)數(shù)據(jù)的保護之下的。M2M 網(wǎng)絡中此種問題還會更廣泛存在。本質上，大數(shù)據(jù)時代網(wǎng)絡數(shù)據(jù)來源大大擴展，原有以維護計算機信息系統(tǒng)功能的數(shù)據(jù)概念不能通過原有的概念界定思路和擴張思路來予以應對矛盾。

另外一個障礙來自于對數(shù)據(jù)本身的理解仍然狹隘。有學者認為，通過解釋計算機信息系統(tǒng)中“存儲、處理、傳輸?shù)臄?shù)據(jù)”即可以很好地應對網(wǎng)絡數(shù)據(jù)外延無所不包的困境，因為大數(shù)據(jù)的流程中數(shù)據(jù)也無非是以這些環(huán)節(jié)和階段被利用。但這是行不通的，就上文提到的物聯(lián)網(wǎng)的RFID 電子標簽數(shù)據(jù)，就無法以“傳輸數(shù)據(jù)”來解釋。德國刑法就202b 攔截數(shù)據(jù)罪的數(shù)據(jù)規(guī)定，必須是在非公開的數(shù)據(jù)傳輸中或者在電子信號中，同時是行為人無權支配的數(shù)據(jù)，數(shù)據(jù)傳輸包括格證渠道的數(shù)據(jù)轉移，不僅是無線，也與這些數(shù)據(jù)是否加密無關。數(shù)據(jù)傳輸是有目的性(zielgerichtet)的，非公開的，僅發(fā)送者和接受者有支配權利［34］。而RFID 電子標簽與應用系統(tǒng)間的數(shù)據(jù)傳遞則不是數(shù)據(jù)傳輸，因為這本質上是一種有發(fā)送數(shù)據(jù)的信號發(fā)射，信號發(fā)射中有數(shù)據(jù)交換，但呼叫中接收方是不確定的，也不是非公開的。因此，RFID 系統(tǒng)中由物端產生的數(shù)據(jù)難以解釋為“計算機信息系統(tǒng)中存儲、處理和傳輸?shù)臄?shù)據(jù)”，這種可能包含重要數(shù)據(jù)內容的網(wǎng)絡數(shù)據(jù)形式無法通過對現(xiàn)有“計算機信息系統(tǒng)數(shù)據(jù)”的概念和對“計算機信息系統(tǒng)”的擴張解釋納入到刑法的保護當中。事實上，以信號發(fā)射方式由物端向應用系統(tǒng)交換數(shù)據(jù)的方式，因為是在相對確定的范圍內，物端的目的是向相應的應用系統(tǒng)傳遞本身的訊息，發(fā)射的信號中包含數(shù)據(jù)，從本質上這種數(shù)據(jù)更接近身份證明數(shù)據(jù)(identification data)。刑法分則規(guī)定中的數(shù)據(jù)的這一側面還沒有引起重視，但這的確是非常重要的網(wǎng)絡數(shù)據(jù)，當然有必要納入到網(wǎng)絡刑法的體系中。正確的出路仍然是回到數(shù)據(jù)本身，直接著眼于數(shù)據(jù)本身，獨立地對數(shù)據(jù)概念進行剖析，以擴張網(wǎng)絡數(shù)據(jù)的范圍，而不能再僅僅關注計算機系統(tǒng)或者計算機信息系統(tǒng)概念而習慣性地忽視對數(shù)據(jù)概念本身的關注。

三、我國個人網(wǎng)絡數(shù)據(jù)刑法保護體系的構建

對于公民個人網(wǎng)絡數(shù)據(jù)的保護，需要在網(wǎng)絡數(shù)據(jù)與公民個人信息保護之間建立恰當?shù)穆?lián)系，從而正確地從刑法規(guī)范體系上體現(xiàn)公民個人信息法益保護與網(wǎng)絡數(shù)據(jù)安全之間的關聯(lián)性，在二者以“數(shù)據(jù)—信息”為關聯(lián)的體系中尋求規(guī)范概念上的協(xié)調性，從而在個人網(wǎng)絡數(shù)據(jù)、個人信息安全的個人法益保護層面實現(xiàn)信息刑法的體系構建。

(一)明確不同類型網(wǎng)絡數(shù)據(jù)所對應的刑法側重點

大數(shù)據(jù)時代的網(wǎng)絡數(shù)據(jù)來源廣泛分散而多源多樣，比計算機信息系統(tǒng)的數(shù)據(jù)概念涵蓋面更寬。在網(wǎng)絡數(shù)據(jù)的整體概念下，數(shù)據(jù)是具有不同側重點的，應當關注其中內容型個人數(shù)據(jù)保護同個人信息保護的體系對接。

根據(jù)中國通信標準化協(xié)會的定義，Diameter 協(xié)議(Diameter Protocol)安全機制中重要的環(huán)節(jié)分別為 Authentication，Authorization 和 Accounting。Schnerier 從計算機安全中的認證出發(fā)，區(qū)分了認證(authentication)、授權(authorization)和身份證明(identification)。黑客可能在攻擊中涵蓋其中一個或多個進程:例如以發(fā)起一個字典攻擊(a dictionary attack)獲知用戶的密碼(突破認證系統(tǒng));或者欺騙計算機信息系統(tǒng)授予其更高的管理員賬戶權限(這樣就能突破原始的授權限制)。數(shù)據(jù)在計算機信息系統(tǒng)中的意義也可以從這幾個環(huán)節(jié)來觀察，對應的會存在主要意義側重不同的認證數(shù)據(jù)、授權數(shù)據(jù)和賬戶數(shù)據(jù)。而再往前的階段存在著識別環(huán)節(jié)，主要用于識別或與識別過程有關或與識別的技術形式類似，可以認為這些為識別數(shù)據(jù)。將上述更加精確地對數(shù)據(jù)進行歸類的方法適用于網(wǎng)絡數(shù)據(jù)的劃分，可展示不同數(shù)據(jù)的內涵及其不同的重要性和保護根據(jù)，以辨明其核心的價值所在，更恰當?shù)乇Ｗo這些數(shù)據(jù)所體現(xiàn)的不同法益。

識別數(shù)據(jù)與認證數(shù)據(jù)是重要的數(shù)據(jù)類型。身份識別用來識別出待識別者的真正身份，用戶身份識別和驗證是防止非法使用系統(tǒng)資源的主要途徑，能夠防止未經許可的人有意或無意闖入到系統(tǒng)中［35］296-297。認證數(shù)據(jù)是確認用戶在計算機信息系統(tǒng)上操作權限的數(shù)據(jù)，是基于用戶身份的主體同計算機信息系統(tǒng)之間的聯(lián)結證明。相應地，識別數(shù)據(jù)是該身份的確認，典型的比如國際移動用戶識別碼，即IMSI(International Mobile Subscriber Identity)，是在公眾陸地移動電話網(wǎng)(PLMN)中用于唯一識別移動設備的一個號碼，被盜移動設備可以通過這個號碼被阻止接入點運營商的GSM網(wǎng)絡中，即無法在移動網(wǎng)絡中被識別。這種類型的數(shù)據(jù)是確立人機之間、物物之間的關聯(lián)關系的數(shù)據(jù)。因為物聯(lián)終端如傳感裝置、可穿戴裝備和移動智能終端等物端與個人有著極為密切的聯(lián)系，往往直接收集以個人為核心的數(shù)據(jù)或者收集大量直接來源于個人且容易特定化個人的數(shù)據(jù)，因此物物認證的一端也是可能同人相連的、可以轉化為人機認證的。這類關系型數(shù)據(jù)是個人與計算機系統(tǒng)相關聯(lián)的通道，與個人的關聯(lián)非常密切，因而同時也應當從個人數(shù)據(jù)信息的角度予以觀察。并且，隨著各種終端的擴大和普及，在人機認證之前的身份證明數(shù)據(jù)，例如地理位置數(shù)據(jù)、生物數(shù)據(jù)等，都可被收集和存儲，這種關系型數(shù)據(jù)的范疇正從人機認證過程向前推進至終端的身份證明數(shù)據(jù)的物的使用過程，這種從關聯(lián)性的視角出發(fā)的法律價值評判路徑轉變是必要的。

授權是用來描述用戶使用數(shù)據(jù)庫時執(zhí)行操作的能力特征［35］179。對特定用戶授予一定的操作權限是數(shù)據(jù)訪問控制的基本方法。對用戶授權的定義一方面通過對用戶可操作對象如設備、程序、文件、數(shù)據(jù)等來定義，另一方面通過對用戶可操作類型如使用權、閱讀權、修改權、進入權、清除權等定義［35］298-299。前者因為直接關系到數(shù)據(jù)對象，因此其內容信息側面更加明顯一些，而后者則同計算機操作聯(lián)系更為緊密，應更加突出其技術性特征。

一些規(guī)范已經結合網(wǎng)絡數(shù)據(jù)的形式以及公民個人信息的實質在探求公民個人網(wǎng)絡數(shù)據(jù)的保護路徑。2012 年全國人民代表大會常務委員會《關于加強網(wǎng)絡信息保護的決定》第1 條規(guī)定:“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息?！?013 年《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》第3.2 條規(guī)定，個人信息是指可以為信息系統(tǒng)所處理、與特定自然人相關、能夠單獨或通過其他信息結合識別該特定自然人的計算機數(shù)據(jù)。事實上，公民電子信息這一概念體現(xiàn)了兩個特征，一是以電子信息形式，即電磁記錄的數(shù)據(jù)形式，二是這種數(shù)據(jù)因“能夠識別公民個人身份和涉及公民個人隱私”而是屬于特定公民個人的個人信息，以信息為本質整合網(wǎng)絡數(shù)據(jù)與公民個人信息。因此，對于側重內容信息側面的授權數(shù)據(jù)以及識別和驗證數(shù)據(jù)，應當從數(shù)據(jù)與信息的關聯(lián)上直接考慮其屬于電子信息的范疇，對這類個人網(wǎng)絡數(shù)據(jù)尋求同個人數(shù)據(jù)信息的保護相互結合、補充與協(xié)調的刑法保護體系。

(二)加強網(wǎng)絡刑法中“數(shù)據(jù)”概念的解釋

“當世界開始邁向大數(shù)據(jù)時代時，社會也將經歷類似的地殼運動”［36］。刑法分則中的計算機刑法和網(wǎng)絡刑法的規(guī)范面臨數(shù)據(jù)犯罪新的現(xiàn)實挑戰(zhàn)。在公民個人層面是如何界定、解釋網(wǎng)絡數(shù)據(jù)，以及如何將其納入公民個人信息的保護體系當中的問題。這一問題的解決必須回到數(shù)據(jù)本身，在堅持罪刑法定原則和刑法謙抑原則的基礎上，通過概念的梳理考察現(xiàn)有分則規(guī)范的可適用性和缺陷，實現(xiàn)體系的銜接與協(xié)調。

最核心的概念“數(shù)據(jù)”在刑法分則條文和司法解釋中都沒有明確和清晰的規(guī)定。2011 年司法解釋對“計算機信息系統(tǒng)”和“計算機系統(tǒng)”作出解釋，也對數(shù)據(jù)作出了過于狹隘的限定。這樣，一方面，偏移的解釋思路仍然無法實現(xiàn)對數(shù)據(jù)概念的合理擴張，以囊括對大數(shù)據(jù)時代海量數(shù)量級和非結構化的網(wǎng)絡數(shù)據(jù)的保護;另一方面，又使得刑法分則中的數(shù)據(jù)概念進一步限縮和混亂。計算機刑法與網(wǎng)絡刑法是技術與刑法的結合，對相關的技術概念不能回避，而是應當加以深入研究，以求對其作出準確的刑法價值判斷，實現(xiàn)有效的刑法保護。為此，迫切需要加強對數(shù)據(jù)概念的技術性解釋。具體來講，其一要拋棄以“內部數(shù)據(jù)”和“外部數(shù)據(jù)”相配合的“二元化”數(shù)據(jù)解釋思維;其二要拋棄“數(shù)據(jù)”必須附著于“信息系統(tǒng)功能”的“三點式”數(shù)據(jù)解釋思維，即，要突破“限于計算機信息系統(tǒng)內部的、側重于信息系統(tǒng)自身功能維護的、以訪問控制為主要考慮的數(shù)據(jù)”的“三點式”傳統(tǒng)技術思維和認識［37］。

此外，數(shù)據(jù)概念并不純粹是技術概念，需要進一步厘清數(shù)據(jù)概念的不同側面，以及刑法所需保護的準確法益，這需要進一步將數(shù)據(jù)的概念獨立化，并嘗試以數(shù)據(jù)為核心建立信息刑法的獨立體系。具體來講，一是要區(qū)別技術性數(shù)據(jù)同內容性數(shù)據(jù)、關系型數(shù)據(jù)的細微差別，針對數(shù)據(jù)本身的特征和價值進行正確的法益衡量，轉變以往對計算機信息系統(tǒng)功能單線性虛擬計算資源保護思維的同時，也需要調整對數(shù)據(jù)或信息的以現(xiàn)實重要性或者現(xiàn)實財產利益評價的單線性思維。應當正視數(shù)據(jù)這一對象的確切價值所在，直接從數(shù)據(jù)本身出發(fā)再選擇合理的法益判斷模式，而不能把各有不同側重的數(shù)據(jù)雜糅在一個固定的模式中，不加區(qū)別看待。否則將造成在今后擴張解釋數(shù)據(jù)概念以應對迅速更新?lián)Q代的信息技術時沒有清晰的結構和框架，從而對此無能為力，也會在網(wǎng)絡刑法與傳統(tǒng)刑法體系的銜接中無法準確定位到不法親緣性之所在，在體系上不順暢、不協(xié)調。

另外，要避免對“公民個人信息”概念的靜態(tài)、僵化、空泛解釋，相對地，必須重視個人信息與個人網(wǎng)絡數(shù)據(jù)的動態(tài)關系，從另一向度推動體系銜接。《刑法修正案(九)》第十七條將原有條文中“竊取或者以其他方法非法獲取”的對象由“上述信息”修改為“公民個人信息”，擴大了對象范圍，刪去了原有分則規(guī)范中對于特定主體如國家機關及金融、電信、交通、教育、醫(yī)療等單位中內部數(shù)據(jù)的限制，使“公民個人信息”所包含的情況更為廣泛，也為未來的司法解釋預留了充分空間?！缎谭ㄐ拚?九)》的這一修正為公民個人信息的動態(tài)含義提供了更為開放的可能性。加強對于“數(shù)據(jù)”的解釋，明確內容信息型數(shù)據(jù)和關系型數(shù)據(jù)與信息在本質上的同構性，以期能夠建立起一個網(wǎng)絡數(shù)據(jù)到個人信息的完整的、貫通的、具有內在一致性的保護體系。

在實現(xiàn)信息刑法完善的過程中，可以分步驟、分階段地進行。首先可以考慮通過司法解釋對之前未有明確規(guī)定的“數(shù)據(jù)”和“個人信息”作出規(guī)定，明確含義和評判標準。接下來可以再考慮對分則條文的罪狀表述作輕微調整，在維護刑法權威性與穩(wěn)定性的同時，為應對信息技術變革的調整和預留未來適用空間，將“計算機信息系統(tǒng)數(shù)據(jù)”調整為“網(wǎng)絡數(shù)據(jù)”。最后，應當加快《公民個人信息保護法》的制定和出臺，并規(guī)定“個人數(shù)據(jù)”的確切含義。

［1］傅中力，張煌，李坡.大數(shù)據(jù)時代的國家安全與軍事戰(zhàn)略選擇［J］.國防科技，2013(4):24-29.

［2］王倩，朱宏峰，劉天華. 大數(shù)據(jù)安全的現(xiàn)狀與發(fā)展［J］.計算機與網(wǎng)絡，2013(16):66-69.

［3］栗蔚，魏凱.大數(shù)據(jù)的技術、應用和價值變革［J］.電信網(wǎng)技術，2013(7):6-10.

［4］小數(shù)據(jù)大時代，數(shù)據(jù)革命迫在眉睫［EB/OL］.(2013-12-17)［2015-05-13］. http://www. 36dsj. com/archives/5215.

［5］張尼，張云勇，胡坤，等. 大數(shù)據(jù)安全技術與應用［M］.北京:人民郵電出版社，2014:62-72.

［6］Symantec. 2015 Internet Security Threat Report［R/OL］. ［2015-05-25］. https://www4. symantec. com/mktginfo/whitepaper/ISTR/21347932 _GA-internet-security-threat-report-volume-20-2015-social_v2.pdf.

［7］2015 年騰訊研究院年會發(fā)布《中國互聯(lián)網(wǎng)犯罪形勢及趨勢報告(2014)》［EB/OL］. (2015-05-04)［2015-05-07］. http://law. tencent. com/Article/lists/id/3860.html.

［8］安全情報共享平臺:面對數(shù)據(jù)泄露，醫(yī)療行業(yè)決定團結起 來［EB/OL］. (2015-05-12)［2015-05-15］.http://www.freebuf.com/news/67051.html.

［9］馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護［J］.計算機學報，2014(1):246-258.

［10］U.S.Department of Homeland Security. Privacy Impact Assessment for the Future Attribute Screening Technology Project［EB/OL］. (2008-12-15)［2015-05-26］. https://www. dhs. gov/xlibrary/assets/privacy/privacy_pia_st_fast.pdf.

［11］于志剛.關于“身份盜竊”行為的入罪化思考［J］.北京聯(lián)合大學學報:人文社會科學版，2011(2):77-87.

［12］HON W K，MILLARD C，WALDEN L. The Problem of‘personal data’in cloud computing:what information is regulated ? the cloud of unknowing［J］. International Data Privacy Law，2011(1):211-228.

［13］OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data 1980［EB/OL］.［2015-05-26］.http://www.oecd.org/sti/ieconomy/oe cdguidelinesontheprotectionofprivacyandtransborderfl owsofpersonaldata.htm.

［14］Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data (2013)［EB/OL］. (2013-07-11)［2015-05-16］. http://www. oecd. org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf.

［15］TENE O，POLINETSKY J.Big Data for All:Privacy and User Control in the Age of Analytics［J］. Northwestern Journal of Technology and Intellectual Property，2013(4):239-273.

［16］張淑平.論我國網(wǎng)絡犯罪的界定——兼議我國網(wǎng)絡犯罪的立法現(xiàn)狀［J］. 中國人民公安大學學報，2004(2):100-102.

［17］于志剛.網(wǎng)絡、網(wǎng)絡犯罪的演變與司法解釋的關注方向［J］.法律適用，2013(11):19-24.

［18］DRUEY J N. Information als Gegenstand des Rechts［M］. Baden-Baden:Nomos Verlagsgesellschaft，1995:5-6.

［19］KLOEPFER M. Kloepfer.Informationsrechtp［M］.München:Verlag C.H.Beck München，2002:26-27.

［20］涂子沛. 數(shù)據(jù)之巔:大數(shù)據(jù)革命，歷史、現(xiàn)實與未來［M］.北京:中信出版社，2014:256.

［21］李適時.關于《中華人民共和國刑法修正案(七)(草案)》審議結果的報告［J］. 全國人民代表大會常務委員會公報，2009(2):194-195.

［22］李適時.關于《中華人民共和國刑法修正案(七)(草案)》的說明［J］. 全國人民代表大會常務委員會公報，2009(2):190-193.

［23］高銘喧，馬克昌. 刑法學［M］. 北京:北京大學出版社，2011:536.

［24］HOYER A.SK-StGB［M］.Berlin:Carl Heymanns Verlag，2009.

［25］VASSILAKI M. Computer-und Internet Strafrecht［M］.Oldenburg:Carl von Ossietzky University，2003.

［26］FISCHER T. Strafgesetzbuch mit Nebengesetzen［M］.München:Verlag C:H:Beck，2015:303a Rn.2.

［27］WOLFF H.Strafgesetzbuch-Leipziger Kommentar［M］.Berlin:de Gruyter Recht，2008.

［28］MüLLER-BROCKHAUSEN M. Haftung für den Missbrauch von Zugangsdaten im Internet［M］. Baden-Baden:Nomos，2014:74-75.

［29］OECE.The Evolving Privacy Landscape:30 Years After the OECD Privacy Guidelines［J/OL］.OECE Digital Economy Papers，2011(176)［2015-05-20］. http://dx.doi.org/10.1787/5kgf09z9031-en.

［30］中國互聯(lián)網(wǎng)絡信息中心. 中國移動互聯(lián)網(wǎng)調查研究報告(2014)［EB/OL］.(2014-08-26)［2015-05-26］.http://www.cnnic.cn/hlwfzyj/hlwxzbg/201408/P0201 40826366265178976.pdf.

［31］于志剛.三網(wǎng)融合視野下刑事立法的調整方向［J］.法學論壇，2012(4):5-12.

［32］工業(yè)和信息化部電信研究院. 移動互聯(lián)網(wǎng)白皮書(2014)［EB/OL］.(2014-05-12)［2015-05-26］.http://www.miit.gov.cn/n11293472/n11293832/n15214847/n15218338/16046442.html.

［33］夏駱輝，譚麗. M2M 技術體系日趨成熟，標準體系、商業(yè)模式仍需完善［J］.世界電信，2009(11):36-39.

［34］JONES C. Mobile internetfa hige Gerate im Strafrecht［M］.Berlin:Logos Verlag，2014:113-114.

［35］楊成.信息系統(tǒng)運行管理員教程［M］. 北京:清華大學出版社，2006.

［36］維克多·邁爾-恩伯格，肯尼斯·庫克耶. 大數(shù)據(jù)時代［M］.周濤，譯.杭州:浙江人民出版社，2013:219.

［37］于志剛，李源粒. 大數(shù)據(jù)時代數(shù)據(jù)犯罪的制裁思路［J］.中國社會科學，2014(10):100-120.