商浩文 張 萌

隨著信息網(wǎng)絡技術的飛速發(fā)展，數(shù)據(jù)已經成為當今社會不可或缺的資源。2020年3月30日，中共中央、國務院發(fā)布了《關于構建更加完善的要素市場化配置體制機制的意見》，將“數(shù)據(jù)”作為與“土地、勞動力、資本、技術”并列的市場化配置要素，正式明確了“數(shù)據(jù)”在國家經濟社會發(fā)展中的重要地位。[1]設立科學保護模式、防止數(shù)據(jù)濫用是加強數(shù)據(jù)資源整合和安全保護的重要環(huán)節(jié)?！吨腥A人民共和國網(wǎng)絡安全法》《中華人民共和國民法典》《中華人民共和國個人信息保護法》（以下分別簡稱《網(wǎng)絡安全法》《民法典》《個人信息法》）等法律均涉及上述問題的相關規(guī)定。尤其是于2021年9月1日生效的《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），創(chuàng)新性地確立了數(shù)據(jù)分級保護制度、數(shù)據(jù)安全應急處置機制、數(shù)據(jù)安全審查制度等一系列舉措，為規(guī)范數(shù)據(jù)處理活動、促進數(shù)據(jù)開發(fā)利用提供了專門的法律支撐。

近年來，數(shù)據(jù)處理違法現(xiàn)象愈發(fā)嚴重，有些行為具有嚴重的社會危害性，達到了有必要利用刑法進行規(guī)制的程度。例如，在2019年5月北京警方破獲的“巧達科技”非法獲取計算機信息系統(tǒng)數(shù)據(jù)案中，涉案公司通過利用代理IP地址等非法手段爬取并出售個人簡歷數(shù)據(jù)超過2億條，涉及數(shù)據(jù)數(shù)量之大、牟利之巨令人瞠目。[2]但與實踐情況形成鮮明對比的是，目前我國刑法對于數(shù)據(jù)的保護處于較為滯后的狀態(tài)。2015年11月1日施行的《中華人民共和國刑法修正案（九）》通過擴大主體范圍、增設量刑區(qū)間等方式加大了對侵犯公民個人信息行為的處理力度并對計算機犯罪增加單位主體。但此后頒布的其他修正案并未涉及與數(shù)據(jù)有關罪名的增設或修改。刑法是其他法律的保障法，數(shù)據(jù)違法處理行為會對個人合法權益乃至國家安全造成嚴重損害，有必要動用刑法予以制裁。但是，現(xiàn)行刑法中關于數(shù)據(jù)的刑法制裁體系難以因應社會經濟現(xiàn)狀，有必要結合《數(shù)據(jù)安全法》頒行的新契機，探尋刑法對于數(shù)據(jù)保護的有效路徑。

一、數(shù)據(jù)的法律意涵與類型

數(shù)據(jù)具有跨計算機科學、傳播學等多個學科的特點，因此其與計算機系統(tǒng)、信息等概念均有一定關聯(lián)。目前法律領域對于數(shù)據(jù)的研究雖然數(shù)量很多，但這些研究對于數(shù)據(jù)基本概念的認識卻存在較大差異，有必要厘清數(shù)據(jù)的法律意涵。

（一）數(shù)據(jù)的法律意蘊

根據(jù)計算機科學的定義，在現(xiàn)代計算機系統(tǒng)中，數(shù)據(jù)的表現(xiàn)形式已不限于數(shù)字，文本、圖形、圖像、音頻、視頻等也逐漸成為數(shù)據(jù)的表現(xiàn)形式，但數(shù)據(jù)的本質仍然是一種“用于描述事物的符號記錄”，只有經過解釋，其含義才能獲得說明。[3]贊同上述觀點的學者經常將“數(shù)據(jù)”與“信息”進行區(qū)分。信息作為傳播學的核心概念，是一種“作為傳播內容的事實”[4]，其包含著新的情況、新的知識、新的內容。[5]在此種認識下，數(shù)據(jù)應當被理解為在計算機及網(wǎng)絡上流通的，在二進制基礎上的0和1的比特形式[6]，其本身并不具備表意性；而信息則應當被理解為“用來消除隨機不確定性的東西”[7]，具有特定的意思和內容。數(shù)據(jù)和信息呈現(xiàn)出一種載體和本體的關系。上述計算機科學和傳播學關于數(shù)據(jù)和信息的定義具有學科專屬性，但是其相關特征的描述可以為后續(xù)法律界定奠定基礎。

作為法律術語的“數(shù)據(jù)”具有不同于其他場合和學科的特定內涵與適用范圍。[8]從國內外近年來關于數(shù)據(jù)的立法來看，“數(shù)據(jù)”與“信息”呈現(xiàn)出越來越明顯的同質性特征。例如，于2018年生效的歐盟《通用數(shù)據(jù)保護條例》第四條規(guī)定，“個人數(shù)據(jù)”是指任何指向一個已識別或可識別的自然人的“信息”；2018年美國加利福尼亞州議會通過的《2018加州消費者隱私法案》第1798.140 (q)條規(guī)定，對“消費者信息”的處理指對“個人數(shù)據(jù)”或“個人數(shù)據(jù)集”進行的任何操作或一組操作。在我國，已生效的《數(shù)據(jù)安全法》第三條是“數(shù)據(jù)”的定義，即“任何以電子或者其他方式對信息的記錄”；2021年11月1日施行的《個人信息保護法》第四條規(guī)定“個人信息”指“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”；2022年1月1日施行的《深圳經濟特區(qū)數(shù)據(jù)條例》作出了與上述兩部法律類似的規(guī)定。其中，“數(shù)據(jù)”指“任何以電子或者其他方式對信息的記錄”，而“個人數(shù)據(jù)”指“載有可識別特定自然人信息的數(shù)據(jù)”。由此可見，目前的立法趨勢不再將“數(shù)據(jù)”定義為無意義計算機符號的簡單集合，而是逐步承認“數(shù)據(jù)”與“信息”的一體化特點。實際上，主張對“數(shù)據(jù)”和“信息”進行區(qū)分的學者也不得不承認，二者在網(wǎng)絡環(huán)境下難以割裂，具有相互轉化的較大可能。[9]可見，將“數(shù)據(jù)”與“信息”進行同質理解具有法律依據(jù)。

（二）數(shù)據(jù)的法律分類

數(shù)據(jù)的分類方式影響法律對于數(shù)據(jù)保護模式的設置，因此數(shù)據(jù)的合理分類顯得非常重要。根據(jù)數(shù)據(jù)定義及我國現(xiàn)行立法，對數(shù)據(jù)進行分類存在存儲形式和主體身份兩種標準。

1.以數(shù)據(jù)存儲形式為標準

根據(jù)《數(shù)據(jù)安全法》第三條，數(shù)據(jù)對于信息的記錄方式可分為“電子方式”和“其他方式”。相應的，數(shù)據(jù)也可以劃分為“電子化數(shù)據(jù)”和“非電子化數(shù)據(jù)”。關于“電子化數(shù)據(jù)”的含義界定，最高人民法院、最高人民檢察院（以下簡稱“兩高”）和公安部于2016年印發(fā)的《關于辦理刑事案件收集提取和審查判斷電子數(shù)據(jù)若干問題的規(guī)定》可以提供參考。其中第一條規(guī)定：“電子數(shù)據(jù)”是案件發(fā)生過程中形成的，以數(shù)字化形式存儲、處理、傳輸?shù)?，能夠證明案件事實的數(shù)據(jù)。該條規(guī)定是就“電子數(shù)據(jù)”作為證據(jù)的種類之一而言的，如果僅僅討論“電子化數(shù)據(jù)”的一般法律含義，可以將其理解為“以數(shù)字化形式存儲、處理、傳輸?shù)臄?shù)據(jù)”，而“非電子化數(shù)據(jù)”可以理解為“以除數(shù)據(jù)化以外其他形式存儲、處理傳輸?shù)臄?shù)據(jù)”，如紙質形式、錄音機磁帶形式等。[10]而電子化是以計算機和通信技術為基礎，將信息轉化為計算機可以識別和讀取的二進制形式[11]，最終實現(xiàn)信息使用和傳播的目的。[12]因此，“電子化數(shù)據(jù)”與計算機系統(tǒng)存在較為緊密的關聯(lián)，也可以將“電子化數(shù)據(jù)”簡單理解為存儲于計算機系統(tǒng)中的數(shù)據(jù)，而“非電子化數(shù)據(jù)”則是存儲于計算機系統(tǒng)之外的其他一切數(shù)據(jù)形式。

2.以數(shù)據(jù)主體身份為標準

有觀點認為，在互聯(lián)網(wǎng)背景下，應將“數(shù)據(jù)”限定為計算機信息系統(tǒng)所記載的，能夠識別特定用戶信息的個人數(shù)據(jù)。[13]然而，這種將“數(shù)據(jù)”與“個人數(shù)據(jù)”進行等同理解的觀點顯然大大縮小了數(shù)據(jù)的應有范圍，明顯與當下數(shù)據(jù)規(guī)模迅速增長、數(shù)據(jù)種類日益增多的趨勢不符。實際上，除了“個人數(shù)據(jù)”外，數(shù)據(jù)仍包含商務數(shù)據(jù)、政務數(shù)據(jù)等多種類型，這便涉及根據(jù)數(shù)據(jù)主體身份對數(shù)據(jù)進行分類。目前，學界對于“個人數(shù)據(jù)”的含義已基本達成一致，“個人數(shù)據(jù)”指“與已識別或者可識別的自然人有關的各種信息”，其初始數(shù)據(jù)主體是自然人。對于“政務數(shù)據(jù)”，《數(shù)據(jù)安全法》雖然沒有對其進行具體定義，但通過第五章“政務數(shù)據(jù)安全與開放”的規(guī)定可以看出，“政務數(shù)據(jù)”可以理解為“國家機關為履行法定職責的需要而收集和使用的數(shù)據(jù)”，其數(shù)據(jù)主體是以行政機關為主的國家機關。對于商業(yè)數(shù)據(jù)，可以按照商務部在2008年發(fā)布的《網(wǎng)上商業(yè)數(shù)據(jù)保護指導辦法（征求意見稿）》中對“網(wǎng)上商業(yè)數(shù)據(jù)”的定義，即“在電子商業(yè)活動中產生的、以數(shù)字格式存在于互聯(lián)網(wǎng)的商業(yè)信息，如企業(yè)財務和經營決策信息、客戶個人信息、市場競爭信息、交易記錄等”。因此，商業(yè)數(shù)據(jù)包含個人數(shù)據(jù)和企業(yè)數(shù)據(jù)。[14]然而，一方面，認為商業(yè)數(shù)據(jù)包括個人數(shù)據(jù)容易導致數(shù)據(jù)主體的混亂，且商業(yè)數(shù)據(jù)借助大數(shù)據(jù)技術已被匿名化，不再具備個人數(shù)據(jù)“可識別性”的特征[15]；另一方面，除企業(yè)外，商業(yè)活動主體還包括非法人組織等其他主體。因此，應當將商業(yè)數(shù)據(jù)理解為企業(yè)等商業(yè)主體在其生產經營活動中存儲、整理的大量具有商業(yè)價值且不具有識別性的數(shù)據(jù)[16]，其數(shù)據(jù)主體是個體工商戶、企業(yè)、非企業(yè)組織等商業(yè)主體。

二、數(shù)據(jù)安全刑法保護的現(xiàn)狀及困境

目前我國刑法對于數(shù)據(jù)沒有設立獨立的犯罪罪名，而是依靠計算機犯罪、個人信息犯罪、商業(yè)秘密犯罪等與數(shù)據(jù)有關的罪名所形成的保護體系對數(shù)據(jù)進行保護。經過立法及司法考察，可以看出這種保護模式逐漸暴露出保護力度不足、保護范圍存在遺漏的困境。

（一）數(shù)據(jù)的刑法保護現(xiàn)狀

1.以計算機犯罪保護電子化數(shù)據(jù)

我國與電子化數(shù)據(jù)有關的犯罪主要體現(xiàn)為計算機犯罪中的非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪和破壞計算機系統(tǒng)罪兩個罪名。非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪規(guī)定于刑法第二百八十五條第二款，是《刑法修正案（七）》新增的罪名，對于違反國家規(guī)定獲取計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，且情節(jié)嚴重的行為進行了入罪化處理。破壞計算機系統(tǒng)罪規(guī)定于刑法第二百八十六條，是1997年施行的《中華人民共和國刑法》確立的罪名，除2015年《刑法修正案（九）》為該罪增加了第四款，即單位犯罪的處罰標準外，該罪在歷次刑法修正的過程中未被修改。對于數(shù)據(jù)犯罪而言，該罪所規(guī)制的是達到影響計算機系統(tǒng)正常運行程度且后果嚴重的，對計算機系統(tǒng)中所存儲、處理或傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加的操作行為。

2.以侵犯公民個人信息罪保護個人數(shù)據(jù)

與民法和行政法相比，我國刑法是首先對于個人數(shù)據(jù)保護做出有效反應的部門法。[17]作為對個人數(shù)據(jù)進行保護的特定罪名，侵犯公民個人信息罪起源于《刑法修正案（七）》增設的出售、非法提供公民個人信息罪和非法獲取公民個人信息罪?！缎谭ㄐ拚福ň牛穼勺镞M行整合，將罪名修改為侵犯公民個人信息罪。與此同時，將該罪的犯罪主體轉變?yōu)橐话阒黧w，增加了“違反規(guī)定”的種類，通過設置不同的法定刑幅度提高了最高法定刑年限，從整體來看擴大了保護范圍、加強了保護力度，體現(xiàn)了刑法在數(shù)據(jù)保護方面的法益擴容。[18]該罪的設立體現(xiàn)了我國刑法對于數(shù)據(jù)保護的積極嘗試，對于多種數(shù)據(jù)類型中的“個人數(shù)據(jù)”保護發(fā)揮了重要作用。

3.以侵犯商業(yè)秘密罪保護商業(yè)數(shù)據(jù)

根據(jù)行為保護模式，對于可以認定為在生產經營活動中擾亂市場競爭秩序，損害其他經營者或消費者合法權益的行為，可以認定為不正當競爭行為，從而運用有關不正當競爭的法律規(guī)定進行規(guī)制。[19]我國刑法中沒有專門針對不正當競爭行為的犯罪，而是將行為保護轉化為法益保護，以行為所破壞的法益種類設立不同的罪名，如生產、銷售偽劣產品罪，損害商業(yè)信譽、商品聲譽罪，虛假廣告罪等。其中，與商業(yè)數(shù)據(jù)有關的專門罪名是侵犯商業(yè)秘密罪。根據(jù)2019年修正的《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》），商業(yè)秘密指不為公眾所知悉，具有商業(yè)價值并經權利人采取相應保密措施的技術信息、經營信息等商業(yè)信息。因此，如果商業(yè)信息具備秘密性、價值性與保密管理性的特征，即可適用商業(yè)秘密的保護規(guī)則[20]，具有嚴重法益侵害性的行為即可構成侵犯商業(yè)秘密罪。

（二）數(shù)據(jù)的刑法保護困境

從我國有關數(shù)據(jù)犯罪的罪名設置來看，目前我國刑法尚不能形成對于數(shù)據(jù)的有效保護體系。面對發(fā)展迅速、日新月異的數(shù)據(jù)產業(yè)，數(shù)據(jù)的刑法保護稍顯滯后和不足。

我國刑法目前關于數(shù)據(jù)保護的刑法專門罪名主要包括非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪；破壞計算機信息系統(tǒng)罪；侵犯公民個人信息罪；侵犯商業(yè)秘密罪。上述罪名雖然能夠從不同方面對數(shù)種數(shù)據(jù)濫用行為進行打擊，但從整體來看，其對于數(shù)據(jù)的保護思路并不統(tǒng)一，各罪名的界限難以厘清，所保護的數(shù)據(jù)范圍存在重合之處。具體而言，計算機犯罪是以數(shù)據(jù)存儲形式為標準構建的罪名，側重對于電子化數(shù)據(jù)的保護。侵犯公民個人信息罪和侵犯商業(yè)秘密罪是從數(shù)據(jù)主體身份標準設置的罪名，對于個人數(shù)據(jù)和一部分商業(yè)數(shù)據(jù)進行保護。隨著信息網(wǎng)絡的發(fā)展，以電子化方式存儲的個人信息和商業(yè)秘密逐步增多，侵犯公民個人信息罪和侵犯商業(yè)秘密罪所涉及的數(shù)據(jù)形式也主要體現(xiàn)為電子化數(shù)據(jù)[21]，這便造成計算機犯罪和其他數(shù)據(jù)犯罪保護范圍的重合。

在司法實踐中，也存在侵犯公民個人信息罪和計算機犯罪認定困難的現(xiàn)象。例如，在樊禹琪侵犯公民個人信息罪案中，被告人在明知他人通過蘋果賬號和密碼鎖定他人蘋果設備從而勒索錢財?shù)那闆r下，仍然非法獲取并向他人出售蘋果賬號和密碼。公訴機關指控被告人同時構成侵犯公民個人信息罪和破壞計算機信息系統(tǒng)罪，應當數(shù)罪并罰。但辯護人辯稱被告人僅構成破壞計算機信息系統(tǒng)罪而不構成侵犯公民個人信息罪。最終法院認定被告人僅構成侵犯公民個人信息罪而不構成破壞計算機信息系統(tǒng)罪。①從該案控辯審三方對于被告人行為性質觀點迥異的現(xiàn)象可以看出，對數(shù)據(jù)同時按照不同分類標準進行保護的做法容易導致范圍的重合和保護的混亂。

2.數(shù)據(jù)保護依附其他法益

目前，我國刑法對于電子化數(shù)據(jù)的保護主要依靠非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪。上述兩個計算機犯罪看似可以將所有的電子化信息涵蓋在內，但實際上，數(shù)據(jù)只能依附于計算機信息系統(tǒng)而得到保護。數(shù)據(jù)犯罪保護法益及其規(guī)范體系被計算機犯罪體系所遮蔽。[22]在司法實踐中，也產生了以此為爭議焦點的案件。例如，在楊運輝破壞計算機信息系統(tǒng)案中，被告人利用游戲內部郵件系統(tǒng)的漏洞，使用兩個不同的游戲賬號以退信的方式復制游戲道具。辯護人認為，被告人復制道具的行為不屬于對數(shù)據(jù)的刪除、修改或增加，也沒有導致該游戲系統(tǒng)無法正常工作，因此不構成犯罪。法院認定，被告人的行為使得大量道具流入游戲系統(tǒng)，改變了系統(tǒng)內的數(shù)據(jù)信息，而該種改變破壞了游戲系統(tǒng)內的正常秩序，破壞了游戲的生態(tài)系統(tǒng)，因此構成犯罪。②可以看出，當被告人的行為對計算機信息系統(tǒng)的正常運行影響較小甚至沒有影響時，只有對數(shù)據(jù)操作違法行為的類型和計算機信息系統(tǒng)正常運行的概念進行一定程度的擴大解釋，才能使被告人行為與破壞計算機信息系統(tǒng)罪的構成要件準確對應。而擴大解釋界限的判斷，無疑為司法實踐中該類案件的處理帶來了挑戰(zhàn)。

另外，計算機信息系統(tǒng)安全法益和數(shù)據(jù)安全法益保護側重點的不同也造成了構成要件解釋上的困難。例如，在非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪設立時，信息網(wǎng)絡技術尚未如此發(fā)達，對計算機信息系統(tǒng)安全造成破壞的數(shù)據(jù)范圍有限。因此，“兩高”于2011年發(fā)布《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》，其中第二條將該罪中的數(shù)據(jù)限于“身份認證信息”，如支付結算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息等。然而，該解釋所規(guī)定的范圍已遠遠無法適應數(shù)據(jù)安全法益的保護需求。經過司法案例檢索也可以發(fā)現(xiàn)，如今以該罪判處的案件所涉及的數(shù)據(jù)類型已遠遠超過“身份認證信息”的范圍。被告人非法侵入交管12123平臺所查詢和選擇的車牌號數(shù)據(jù)③，被告人非法侵入醫(yī)療單位門診軟件系統(tǒng)所下載的醫(yī)院統(tǒng)方數(shù)據(jù)④，被告人利用網(wǎng)絡爬蟲程序非法獲取北京某信息技術有限公司經營的某網(wǎng)站房產數(shù)據(jù)⑤等各種數(shù)據(jù)均被認定為該罪所保護的數(shù)據(jù)類別。司法實踐的上述做法對于實現(xiàn)數(shù)據(jù)保護目標是必要的，但對于非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪而言，卻有突破該罪司法解釋效力之嫌。

3.數(shù)據(jù)類型行為范圍有限

由于刑法關于數(shù)據(jù)的專門罪名有限，因此難以涵蓋值得保護的全部數(shù)據(jù)范圍。不僅受到保護的數(shù)據(jù)范圍有限，且受到刑法規(guī)制的數(shù)據(jù)濫用行為也不足以應對現(xiàn)實數(shù)據(jù)發(fā)展情況。一方面，無論是電子化數(shù)據(jù)，還是個人數(shù)據(jù)或商業(yè)秘密，均只構成數(shù)據(jù)的一部分，對于不屬于個人數(shù)據(jù)或商業(yè)秘密的其他數(shù)據(jù)，這些處于空白領域的數(shù)據(jù)也具有保護的必要性，然而并未受到法律的明確保護。以商業(yè)數(shù)據(jù)為例，除了商業(yè)秘密之外，還包括大量值得保護的公開數(shù)據(jù)，例如某美食平臺的用戶評價、法律數(shù)據(jù)庫中的案例整合等。在民事糾紛中，涉及該類數(shù)據(jù)的案件尚可通過被稱為《反不正當競爭法》兜底條款的第二條，利用誠信原則和商業(yè)道德進行規(guī)制[23]，如“大眾點評訴愛幫案”。⑥但在刑事案件中，囿于罪刑法定原則的限制，對于刑法沒有明確規(guī)定為犯罪的行為，難以進行定罪處罰。因此，目前刑法列舉式、分散化的罪名設置方式難以實現(xiàn)對于數(shù)據(jù)的全范圍、全方位保護。再以政務數(shù)據(jù)為例，如果涉及國家安全的政務數(shù)據(jù)被非法收集和傳輸至境外，則可能對國家安全構成威脅[24]，在理論上存在利用危害國家安全罪進行規(guī)制的可能性。但在司法實踐中，由于危害國家安全罪的罪行一般較為嚴重，且沒有明確的濫用數(shù)據(jù)行為可能構成該類犯罪的法律參照指引，因此實踐中尚未出現(xiàn)此類判決。

巴蘭把它比作一場“燙手山芋”的游戲。每個節(jié)點會盡可能快地將消息塊拋到下一個可用節(jié)點。即使幾個節(jié)點被毀壞，消息塊也可以輕松地彈跳至其他節(jié)點，并繞著斷裂的鏈路傳遞。

另一方面，我國刑法目前對于數(shù)據(jù)濫用行為的規(guī)制范圍也不全面。例如，對于非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪而言，其關注的是非法獲取數(shù)據(jù)的行為，而對于諸如非法出售非法獲取的數(shù)據(jù)、掩飾和隱瞞計算機數(shù)據(jù)及其控制權等行為，卻無法得出是否處罰的明確結論。[25]再例如破壞計算機信息系統(tǒng)罪，該罪僅規(guī)制刪除、修改和增加數(shù)據(jù)的行為，而不包括非法使用等對于數(shù)據(jù)本身的濫用行為。[26]數(shù)據(jù)的使用方式還將隨著信息網(wǎng)絡技術的發(fā)展而不斷增加，對數(shù)據(jù)濫用行為的判定也將愈發(fā)細化和復雜，以我國刑法目前對于數(shù)據(jù)濫用行為的寬泛規(guī)定，難以應對不斷提高的數(shù)據(jù)保護要求。

三、數(shù)據(jù)安全刑法保護的路徑選擇

面對刑法對于數(shù)據(jù)保護的上述不足，應當嘗試突破刑法目前松散式、碎片化的數(shù)據(jù)立法藩籬，將數(shù)據(jù)作為刑法獨立的保護對象和主要的客體內容。[27]《數(shù)據(jù)安全法》的頒行為數(shù)據(jù)安全的刑法獨立保護提供了契機。未來刑法可以將數(shù)據(jù)安全保護義務作為獨立法益，利用《數(shù)據(jù)安全法》創(chuàng)設的數(shù)據(jù)分級分類制度框架，構建以“拒不履行數(shù)據(jù)安全保護義務罪”為核心的數(shù)據(jù)安全罪名體系。

（一）數(shù)據(jù)安全保護義務作為獨立的刑法保護法益之考量

雖然在《數(shù)據(jù)安全法》頒布前，已經有較多觀點主張加強刑法關于數(shù)據(jù)的專門保護[28]，單獨增設以網(wǎng)絡數(shù)據(jù)為獨立犯罪對象的罪名。[29]但縱觀近年來的刑法修正，并未采納上述數(shù)據(jù)保護單獨立法的建議。究其原因，主要為民法等前置法對于數(shù)據(jù)的法律性質存在較大爭議，導致刑法數(shù)據(jù)法益內容難以確定。

關于數(shù)據(jù)的民法屬性，有觀點認為由于《民法典》關于數(shù)據(jù)的規(guī)定位于“第五章民事權利”，因此數(shù)據(jù)權已經上升為一種民事權利。[30]在此基礎上，既有建立“數(shù)據(jù)財產權”的主張[31]，又有建立“數(shù)據(jù)訪問權”“數(shù)據(jù)用益權”“數(shù)據(jù)公開權”等主張[32]；但也有觀點認為數(shù)據(jù)的作用主要體現(xiàn)為其價值性，可以直接對其進行財產化保護而沒有必要設立新型權利。[33]再具體至“商業(yè)數(shù)據(jù)”問題，有觀點認為其可以納入知識產權保護[34]；但也有觀點認為部分商業(yè)數(shù)據(jù)不具有獨創(chuàng)性，明確反對將其納入知識產權保護。[35]可見，目前我國民法對于數(shù)據(jù)的權屬和保護模式存在較大分歧，數(shù)據(jù)的民事法律權益性質難以確定。在上述情況下，如果刑法貿然演化新型數(shù)據(jù)法益并增設新罪，不僅會導致刑法與前置法之間無法協(xié)調，還會導致刑法自身數(shù)據(jù)保護體系的混亂。作為專門對數(shù)據(jù)安全給予保護的行政法規(guī)范，《數(shù)據(jù)安全法》的頒行解決了刑法數(shù)據(jù)法益的確定難題?！稊?shù)據(jù)安全法》不僅明確了數(shù)據(jù)安全保護義務是數(shù)據(jù)處理者應當履行的基本義務，還于第四章規(guī)定了安全保護義務的具體內容，這便為刑法的數(shù)據(jù)法益內容的確定奠定了前置法基礎。刑法可以在此基礎上將數(shù)據(jù)安全保護義務作為數(shù)據(jù)保護的法益，突破刑法數(shù)據(jù)保護的前述困境。

首先，上述做法有利于刑法后置法作用的發(fā)揮?！稊?shù)據(jù)安全法》第五十二條第二款規(guī)定，違反本法規(guī)定構成犯罪的，依法追究刑事責任。但該條對刑法內容概括性的重申不屬于真正意義上的附屬刑法[36]，存在一定處罰實質內容泛化的問題。[37]現(xiàn)有刑法規(guī)范對于數(shù)據(jù)類型和行為范圍的保護均有限，無法對應《數(shù)據(jù)安全法》對于嚴重數(shù)據(jù)違法行為設置的法律后果要求。因此，將數(shù)據(jù)安全保護義務作為刑法法益有助于細化《數(shù)據(jù)安全法》所規(guī)定的法律責任，實現(xiàn)法益的梯度性保護。其次，上述做法有利于實現(xiàn)數(shù)據(jù)的獨立保護。目前我國刑法中的計算機犯罪主要關注數(shù)據(jù)安全法益[38]，侵犯商業(yè)秘密罪等犯罪主要關注市場利益法益。[39]這種做法在一定程度上是與私法保護模式保持一致的結果，但私法本身對于問題的爭議導致了刑法的進退兩難?！稊?shù)據(jù)安全法》具有公法的屬性[40]，將數(shù)據(jù)安全保護義務的違反作為規(guī)制對象，可以將所有的數(shù)據(jù)類型納入保護范圍，使得數(shù)據(jù)保護不再附屬于計算機系統(tǒng)安全等其他罪名。最后，上述做法具有可操作性。例如，《數(shù)據(jù)安全法》第二十九條規(guī)定了數(shù)據(jù)風險監(jiān)測與處置報告義務，第三十三條規(guī)定了數(shù)據(jù)交易中介服務機構核實數(shù)據(jù)來源的義務，可以為刑法個罪構成要件的明確性提供參考。刑法已經設立過“拒不履行信息網(wǎng)絡安全管理義務罪”等以行政義務違反為前提的罪名，具備了類似行政義務型法益設置的立法經驗。

（二）刑法規(guī)制的行為對象選擇：數(shù)據(jù)分級分類保護

刑法的謙抑性決定了刑法制裁的范圍不能過于寬泛，刑法只保護值得保護的法益。在我國法律制裁體系中，刑法是其他法律的保障法。因此，無論是在刑事立法，還是在刑事司法中，均強調犯罪定量的作用。對數(shù)據(jù)安全的保護也應當堅持刑法定量的作用。因此，在數(shù)據(jù)安全刑法保護的立法罪量要素的設置中，并非所有拒不履行數(shù)據(jù)安全保護義務的行為均需要受到刑法處罰，而應當發(fā)揮前置法的作用。只有在前置法無法有效解決相關法律規(guī)制問題時，才能動用刑法予以制裁。根據(jù)《數(shù)據(jù)安全法》第五十二條，違反本法規(guī)定的行為應當按照違法行為的嚴重程度分別承擔民事責任、行政責任和刑事責任。因此，刑法應當與行政法形成梯度性的處罰銜接模式，只有不履行數(shù)據(jù)安全保護義務且具有一定嚴重情形，才能構成犯罪。在立法設計上，可以從《數(shù)據(jù)安全法》數(shù)據(jù)分類分級保護制度中獲得啟示。《數(shù)據(jù)安全法》第二十一條規(guī)定國家根據(jù)數(shù)據(jù)的重要程度和被破壞的危害程度對數(shù)據(jù)實行分類分級保護，并提出了國家核心數(shù)據(jù)、重要數(shù)據(jù)等不同類型的數(shù)據(jù)概念。其中，國家核心數(shù)據(jù)直接關系國家安全，應當采取最為嚴格的管理制度；重要數(shù)據(jù)被破壞可能造成危害國家安全和社會公共利益等嚴重后果[41]，也是《數(shù)據(jù)安全法》的重要保護對象，《數(shù)據(jù)安全法》第四十六條設置了違法向境外提供重要數(shù)據(jù)的法律責任。因此，參考《數(shù)據(jù)安全法》的相關規(guī)定，可以將構成犯罪的情形規(guī)定如下：“（一）致使國家核心數(shù)據(jù)泄露的；（二）向境外提供重要數(shù)據(jù)，情節(jié)嚴重的；（三）致使數(shù)據(jù)泄露，造成嚴重后果的。”當然，對于重要數(shù)據(jù)的概念、數(shù)據(jù)分類分級的具體方法還有進一步探討的空間。例如，有觀點認為，應當將數(shù)據(jù)分為“重要數(shù)據(jù)”“受控數(shù)據(jù)”和“一般數(shù)據(jù)”，其中前兩者是《數(shù)據(jù)安全法》規(guī)制和保護的重點。[42]未來如果有司法解釋對于數(shù)據(jù)的分類分級方式及各類數(shù)據(jù)的定義有更為明確的規(guī)定，則刑法可以據(jù)此對構成犯罪的情形進行更為細化的設置。但就目前來看，參考《數(shù)據(jù)安全法》數(shù)據(jù)分類分級制度的規(guī)定設置上述罪刑規(guī)范是較為合理的做法。

（三）以“數(shù)據(jù)安全保護義務”為核心的罪名體系設置

《數(shù)據(jù)安全法》第四章專門規(guī)定了各數(shù)據(jù)處理主體的數(shù)據(jù)安全保護義務，主要體現(xiàn)為一般數(shù)據(jù)處理者的數(shù)據(jù)安全保護制度及相應的風險監(jiān)測和報告義務；一般數(shù)據(jù)處理者獲取數(shù)據(jù)需以合法方式的義務；重要數(shù)據(jù)處理者有數(shù)據(jù)處理風險評估和報送義務；從事數(shù)據(jù)交易總結服務機構有明確數(shù)據(jù)來源的義務；數(shù)據(jù)處理相關服務應當取得行政許可等。[43]對于上述義務的違反可以采用行政手段進行處罰，但如果違法行為具有嚴重的社會危害性，則有利用刑法進行規(guī)制的必要。因此，刑法可以將罪名確立為“拒不履行數(shù)據(jù)安全保護義務罪”，將“違反義務且拒不改正的行為”設置為“拒不履行數(shù)據(jù)安全保護義務罪”的構成要件的主要部分，具體表述為“開展數(shù)據(jù)處理活動的組織、個人不履行法律、行政法規(guī)規(guī)定的數(shù)據(jù)安全保護義務，經監(jiān)管部門責令采取改正措施而拒不改正”。并且，數(shù)據(jù)處理者既可能包括自然人，也可能包括單位。因此刑法應當將單位犯罪設置于該罪第二款，具體表述為“單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規(guī)定處罰”。

新罪設立還可能產生與刑法原有罪名甚至未來預設罪名產生競合的情況。例如，《數(shù)據(jù)安全法》第四十五條第二款規(guī)定，違反國家核心數(shù)據(jù)管理制度，危害國家主權、安全和發(fā)展利益從而構成犯罪的，依法追究刑事責任。從該規(guī)定可以推知，嚴重違反國家核心數(shù)據(jù)管理制度的行為有可能構成危害國家安全類犯罪，此時便可能涉及該罪與危害國家安全犯罪的競合。再例如，某數(shù)據(jù)處理人違法處理個人數(shù)據(jù)，可能構成該罪與侵犯公民個人信息罪的競合。但“拒不履行數(shù)據(jù)安全保護義務罪”的保護法益是數(shù)據(jù)安全保護義務的履行，與其他罪的保護法益是相互獨立的，若某一行為同時觸犯兩種罪名，應當善于利用想象競合原理進行處理。[44]因此，對于該罪，刑法可以于第三款規(guī)定“有前兩款行為，同時構成其他犯罪的，依照處罰較重的規(guī)定定罪處罰”。這種做法不僅可以實現(xiàn)現(xiàn)行數(shù)據(jù)犯罪的體系協(xié)調，還可以為未來其他數(shù)據(jù)犯罪的設置預留空間。

為數(shù)據(jù)處理設立規(guī)則、完善數(shù)據(jù)濫用的法律規(guī)制，是加強數(shù)據(jù)保護、促進數(shù)據(jù)流動的必然舉措。鑒于目前刑法對于數(shù)據(jù)保護的不足，應當增設新的數(shù)據(jù)犯罪，實現(xiàn)立法改革。然而，由于數(shù)據(jù)的屬性及保護模式在民法中尚未厘清，刑法如果貿然設立以數(shù)據(jù)利益與安全為法益的犯罪，不僅會影響刑法內部罪名的協(xié)調，還會導致刑法與前置法產生沖突的可能。目前，基于《數(shù)據(jù)安全法》頒行的新形勢，刑法可以以此為契機設立以信息安全保護義務的履行為法益的犯罪，對拒不履行數(shù)據(jù)安全保護義務的行為進行懲治，維護數(shù)據(jù)流動與數(shù)據(jù)保護之間的平衡。未來待數(shù)據(jù)相關民法等其他前置法地位更為清晰時，刑法再根據(jù)相關法益的保護需求對數(shù)據(jù)犯罪進行進一步完善也為期不遲。最終，通過數(shù)據(jù)相關民法、行政法、刑法、國際條約等規(guī)范的同頻共振，共同實現(xiàn)數(shù)據(jù)保護法律體系的構建。

注釋

①參見樊禹琪侵犯公民個人信息罪案，浙江省溫州市龍灣區(qū)人民法院（2017）浙0303刑初337號刑事判決書。

②參見楊運輝破壞計算機信息系統(tǒng)案，廣東省珠海市香洲區(qū)人民法院（2015）珠香法刑初字第2040號刑事判決書。

③參見尚帝、李含彬非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)案，河南省唐河縣人民法院（2021）豫1328刑初353號刑事判決書。

④參見張某、陳某非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)案，上海市黃浦區(qū)人民法院（2021）滬0101刑初108號刑事判決書。

⑤參見林鎮(zhèn)平等非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)案，北京市朝陽區(qū)人民法院（2020）京0105刑初2594號刑事判決書。

⑥參見上海漢濤信息咨詢有限公司與愛幫聚信（北京）科技有限公司不正當競爭糾紛案，北京市第一中級人民法院（2011）一中民終字第7512號民事判決書。