張 勇

（華東政法大學(xué) 刑事法學(xué)院，上海 200042）

一、問題的提出

近年，隨著我國信息網(wǎng)絡(luò)技術(shù)和數(shù)字經(jīng)濟(jì)快速發(fā)展，非法獲取、泄露和濫用信息數(shù)據(jù)的新型犯罪不斷增加，傳統(tǒng)的犯罪類型也借助互聯(lián)網(wǎng)載體不斷發(fā)生變異，不僅侵犯公民個人的信息數(shù)據(jù)權(quán)益，而且對公共利益、社會秩序和國家安全也造成嚴(yán)重威脅，呈現(xiàn)擴(kuò)散放大的負(fù)效應(yīng)，數(shù)據(jù)安全從網(wǎng)絡(luò)安全、信息安全的范疇中逐漸凸顯出來。以往我國對信息數(shù)據(jù)安全的法律保障主要通過對計(jì)算機(jī)信息系統(tǒng)安全運(yùn)行或?qū)ι虡I(yè)秘密、著作權(quán)益保護(hù)加以實(shí)現(xiàn)，數(shù)據(jù)安全法益在相關(guān)立法中始終處于附屬和次要的地位。在大數(shù)據(jù)時(shí)代，數(shù)據(jù)安全風(fēng)險(xiǎn)及其防范問題越來越受到國家立法的重視，法律保護(hù)的重心也從網(wǎng)絡(luò)載體、信息內(nèi)容逐步轉(zhuǎn)到數(shù)據(jù)本身，從靜態(tài)的計(jì)算機(jī)安全到動態(tài)的網(wǎng)絡(luò)運(yùn)行安全，發(fā)生著質(zhì)的轉(zhuǎn)變。我國《網(wǎng)絡(luò)安全法》于2016年通過、2017年實(shí)施，目前正在制定“數(shù)據(jù)安全法”和“個人信息保護(hù)法”，這三部法律將是支撐我國信息網(wǎng)絡(luò)和數(shù)據(jù)安全法律保障體系的重要支柱，分別承擔(dān)著保護(hù)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)自身安全、個人信息安全的主要職能，彼此之間存在交叉重合關(guān)系。在不同的立法中，數(shù)據(jù)安全法益的地位和具體內(nèi)容是不一樣的，法律保護(hù)的重點(diǎn)和制裁手段也不同；同時(shí)，這些法律規(guī)定作為刑法中相關(guān)罪名的前置法規(guī)范，也發(fā)揮著重要的定罪功能。

從我國刑事立法來看，從1997年《刑法》對傳統(tǒng)意義上的計(jì)算機(jī)信息系統(tǒng)安全加以保護(hù)，到2009年《刑法修正案（七）》及2011年最高人民法院、最高人民檢察院（以下簡稱“兩高”）《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》（以下簡稱《計(jì)算機(jī)安全刑案解釋》），再到2015年《刑法修正案（九）》，數(shù)據(jù)安全的刑事法保障也經(jīng)歷了一個從附屬保護(hù)到間接保護(hù)，再趨向獨(dú)立保護(hù)的發(fā)展和蛻變過程。在刑事司法領(lǐng)域，近年出現(xiàn)的許多新型網(wǎng)絡(luò)數(shù)據(jù)犯罪的刑事案件，例如全國首例“打碼撞庫案”①“流量劫持案”②以及“網(wǎng)絡(luò)爬蟲”類刑事案件③，對涉罪行為的認(rèn)定存在侵犯著作權(quán)罪、侵犯公民個人信息罪、非法侵入計(jì)算機(jī)信息系統(tǒng)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪等不同罪名適用的爭議。對這些涉及數(shù)據(jù)安全犯罪予以刑法規(guī)制，首先需要對數(shù)據(jù)安全法益進(jìn)行識別；在法定犯領(lǐng)域，法益識別離不開相關(guān)罪名的前置性行政法律規(guī)范為參照。目前，我國雖然制定實(shí)施了不少與數(shù)據(jù)信息有關(guān)的法律、行政法規(guī)以及行業(yè)標(biāo)準(zhǔn)等規(guī)范性文件，但從整體上看，數(shù)據(jù)安全立法尚缺乏系統(tǒng)設(shè)計(jì)，對數(shù)據(jù)安全法益缺乏明確界定，各法律法規(guī)相對分散，缺乏有效的銜接與協(xié)調(diào)。在法秩序的統(tǒng)一性的視域內(nèi)，如何以數(shù)據(jù)安全領(lǐng)域相關(guān)立法為參照，對各種涉信息數(shù)據(jù)和網(wǎng)絡(luò)犯罪行為所侵犯的法益性質(zhì)予以識別，在對其罪質(zhì)和罪量合理評價(jià)的基礎(chǔ)上，妥當(dāng)適用數(shù)據(jù)犯罪的具體罪名，并運(yùn)用刑事、民事和行政法手段，實(shí)現(xiàn)數(shù)據(jù)安全法益的體系化保護(hù)，有必要加以深入研討。

二、數(shù)據(jù)安全的內(nèi)涵界定與法益屬性

（一）數(shù)據(jù)安全立法中的數(shù)據(jù)安全

首先，應(yīng)當(dāng)明確數(shù)據(jù)本身的含義，厘清數(shù)據(jù)與信息的關(guān)系。數(shù)據(jù)就是對信息的記錄，包括電子或者非電子形式，兩者可謂是形式與內(nèi)容的關(guān)系。相對于數(shù)據(jù)來說，信息是一個較為寬泛的概念，包括可識別的個人信息和不可識別的匿名化信息，可識別性是區(qū)分個人信息與一般數(shù)據(jù)的本質(zhì)特征?！睹穹ǖ洹返谝磺Я闳臈l對個人信息的“可識別性”予以確認(rèn)，并明確界分了個人信息與個人隱私之間的關(guān)系。關(guān)于數(shù)據(jù)與信息關(guān)系，學(xué)界存在不同認(rèn)識，有的將信息與數(shù)據(jù)等同視之，有的則認(rèn)為信息的內(nèi)涵大于或小于數(shù)據(jù)［1］。信息的本質(zhì)屬性即內(nèi)容層面的可識別性，而數(shù)據(jù)的本質(zhì)屬性是其形式層面的完整性、保密性、可用性?！毒W(wǎng)絡(luò)安全法》第七十六條規(guī)定的“網(wǎng)絡(luò)數(shù)據(jù)”即計(jì)算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，屬于信息與數(shù)據(jù)的交叉重合部分，即以電子化方式記錄的信息。然而，“網(wǎng)絡(luò)數(shù)據(jù)”并不完全是具有識別性的個人信息，還包括匿名化的信息，其不屬于對外的信息內(nèi)容，不能被人所識別。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)之外，信息是以電子以外的其他方式記錄的，也屬于數(shù)據(jù)，但不是“網(wǎng)絡(luò)數(shù)據(jù)”，具體包括以固定形式存在的密碼、情報(bào)、商業(yè)秘密等?？梢?，“數(shù)據(jù)”與“網(wǎng)絡(luò)數(shù)據(jù)”的含義也不能完全等同，前者保護(hù)范圍更廣泛，還應(yīng)包括未聯(lián)網(wǎng)的計(jì)算機(jī)信息系統(tǒng)中存儲、處理與傳輸?shù)臄?shù)據(jù)。

其次，數(shù)據(jù)安全與信息安全、網(wǎng)絡(luò)安全的關(guān)系。一方面，由于數(shù)據(jù)與個人信息之間是形式和內(nèi)容的關(guān)系，數(shù)據(jù)安全與（個人）信息安全存在重疊關(guān)系，如《個人信息保護(hù)法（草案二次審議稿）》第十條關(guān)于個人信息處理活動的禁止性規(guī)定，納入了公共安全和國家安全的考量因素。作為一種非傳統(tǒng)安全，數(shù)據(jù)安全的內(nèi)涵除個人數(shù)據(jù)權(quán)益的安全保障之外，還應(yīng)包含有關(guān)數(shù)據(jù)活動的社會利益、公共安全和國家安全。另一方面，根據(jù)《網(wǎng)絡(luò)安全法》第七十六條的規(guī)定，“網(wǎng)絡(luò)安全”的概念除包含保障網(wǎng)絡(luò)穩(wěn)定可靠的運(yùn)行狀態(tài)之外，還包含保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。根據(jù)《數(shù)據(jù)安全法（草案二次審議稿）》第三條的規(guī)定，“數(shù)據(jù)安全”是指有效保護(hù)和合法利用數(shù)據(jù)并使之持續(xù)處于安全狀態(tài)?？梢?，上述條款中的“網(wǎng)絡(luò)安全”與“數(shù)據(jù)安全”也存在交叉重合之處。然而，這里的“數(shù)據(jù)安全”只是狹義上的概念。有學(xué)者將數(shù)據(jù)安全概括為“自身安全”“自主可控”和“宏觀安全”三個層面。其中，“數(shù)據(jù)自身安全”即通過身份認(rèn)證、訪問控制、數(shù)據(jù)防泄露、業(yè)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)管理等技術(shù)和制度，確保數(shù)據(jù)的保密性、完整性、可用性［2］。從廣義角度來看，“數(shù)據(jù)安全”是一個內(nèi)涵層次豐富的概念，在不同立法中具有不同的法益屬性；同一種數(shù)據(jù)行為所涉及的數(shù)據(jù)安全往往不是單一層次的，而是多層次的；數(shù)據(jù)安全的法益保護(hù)也具有多元性，由此決定了數(shù)據(jù)安全法益識別判斷的復(fù)雜性。

（二）數(shù)據(jù)安全法益的多元性

在大數(shù)據(jù)時(shí)代，隨著數(shù)據(jù)技術(shù)迭代引發(fā)的數(shù)據(jù)規(guī)模的爆炸式增長，數(shù)據(jù)安全的脆弱性與易受攻擊性越發(fā)凸顯。在此背景下，安全和秩序的價(jià)值必然成為數(shù)據(jù)安全的法律治理所著重考量的因素，也成為數(shù)據(jù)法益保護(hù)的重要內(nèi)容。須指出，從法理角度看，法益與權(quán)利的含義是不同的，法益泛指所有受法律保護(hù)的利益，但不一定以權(quán)利的形式固定下來，法定權(quán)利包含在法益之內(nèi)。因此，數(shù)據(jù)法益與數(shù)據(jù)權(quán)利的內(nèi)涵也是有區(qū)別的，除了數(shù)據(jù)權(quán)利，也存在尚未被法律所認(rèn)可的各種與數(shù)據(jù)有關(guān)的不同主體所擁有的數(shù)據(jù)利益。比較來說，數(shù)據(jù)法益?zhèn)戎赜诒Ｗo(hù)社會秩序和公共利益，從正面給予某種數(shù)據(jù)利益以法律保護(hù)；數(shù)據(jù)權(quán)利側(cè)重于保護(hù)個人權(quán)利自由，從反面強(qiáng)調(diào)權(quán)利行使必須排除他人的非法干預(yù)。當(dāng)然，立法在強(qiáng)調(diào)數(shù)據(jù)安全和秩序價(jià)值的同時(shí)，也要顧及數(shù)據(jù)主體的權(quán)利自由的價(jià)值，反之亦然。例如，有學(xué)者認(rèn)為，如果對個人數(shù)據(jù)只給予財(cái)產(chǎn)權(quán)的法律保護(hù)，大型數(shù)字平臺就有可能在與個人用戶的服務(wù)協(xié)議中增加數(shù)據(jù)財(cái)產(chǎn)權(quán)的轉(zhuǎn)讓條款，禁止第三方對數(shù)據(jù)的讀取，這樣就不利于數(shù)據(jù)合理利用和自由流動，可能造成數(shù)據(jù)行業(yè)的壟斷局面，阻礙數(shù)字行業(yè)創(chuàng)新。還有學(xué)者指出，在大數(shù)據(jù)時(shí)代，為了平衡個人數(shù)據(jù)生產(chǎn)激勵與個體隱私權(quán)保護(hù)的緊張關(guān)系，應(yīng)當(dāng)區(qū)別敏感個人數(shù)據(jù)和普通個人數(shù)據(jù)，前者的權(quán)屬配置給數(shù)據(jù)主體，后者的權(quán)屬配置給數(shù)據(jù)從業(yè)者和數(shù)據(jù)主體共同共有［3］?；跀?shù)據(jù)安全利益主體的多元性，法律應(yīng)通過制度設(shè)計(jì)實(shí)現(xiàn)不同價(jià)值目標(biāo)和利益平衡，而不是任由一方壓制另一方從而違背數(shù)據(jù)公平正義的原則。

基于數(shù)據(jù)法益所蘊(yùn)含的多元價(jià)值，數(shù)據(jù)法益可分為集體法益和個人法益。前者包括社會秩序、公共利益和國家安全，法益保護(hù)的重心在于安全；后者包括公民個人和社會組織的權(quán)利自由，法益保護(hù)的重心在于自由。然而，安全與自由這一對價(jià)值范疇并不是截然對立的，安全是自由的底線保障，而自由是安全的終極目標(biāo)，兩者是既對立又統(tǒng)一的。在數(shù)據(jù)安全領(lǐng)域，如何認(rèn)識和處理好集體法益和個人法益的關(guān)系，涉及數(shù)據(jù)安全法益的價(jià)值和功能定位。關(guān)于集體法益相對于個人法益是否具有獨(dú)立保護(hù)的價(jià)值，學(xué)界存在“一元論”“二元論”和“緩和的一元論”等不同主張［4］?！耙辉摗睂λ^集體法益的獨(dú)立屬性持否定態(tài)度，強(qiáng)調(diào)公民個人權(quán)利自由的保障；“二元論”堅(jiān)持肯定立場；“緩和的一元論”則持折中觀點(diǎn)。目前，多數(shù)學(xué)者更傾向于“緩和的一元論”，這種學(xué)說承認(rèn)集體法益的概念及其意義，同時(shí)認(rèn)為，它不僅包括個人利益，也包括可還原為個人利益的國家利益與社會利益［5］?！岸摗眲t認(rèn)為，集體法益并不隸屬于個人法益，其自身是一個整體上不可分的客體，可以被每一個人平等、完整地享有，但是無法被分配或歸屬于個人［6］；對于數(shù)據(jù)法益的不同內(nèi)容應(yīng)當(dāng)進(jìn)行識別，以此作為認(rèn)定侵犯數(shù)據(jù)法益的行為是否定罪的根據(jù)。本文贊同集體法益“二元論”的主張，這種學(xué)說更契合信息時(shí)代數(shù)據(jù)安全法益保護(hù)的現(xiàn)實(shí)需求。首先，“緩和的一元論”雖然強(qiáng)調(diào)個人權(quán)利自由，但過分拉伸了“個人”的概念［7］，將數(shù)據(jù)法益僅僅理解為公民個人權(quán)益，將其作為數(shù)據(jù)安全刑法保護(hù)的對象，就難以界分?jǐn)?shù)據(jù)安全個人法益、社會法益、國家法益的不同層次和屬性，使得相關(guān)罪名的法益失去了犯罪定型的機(jī)能。其次，“緩和的一元論”認(rèn)為，集體法益只有能還原為個人法益時(shí)才具有保護(hù)的正當(dāng)性［8］。對此觀點(diǎn)，筆者并不贊同。不可否認(rèn)，數(shù)據(jù)安全屬于抽象性的集體法益，具有脆弱性、易受攻擊性和不可控制性，存在司法認(rèn)定上的困難，確實(shí)需要通過客觀、具體的個人法益予以衡量；從相關(guān)罪名定罪標(biāo)準(zhǔn)的司法解釋規(guī)定來看，也是以某種數(shù)據(jù)行為對個人權(quán)益造成的實(shí)際損害為主要依據(jù)。在很多情況下，數(shù)據(jù)安全作為一種“集體法益”可以被還原為個體的人格或財(cái)產(chǎn)權(quán)益，因而也是可感知、可評價(jià)、可衡量的。從罪刑法定原則和個人權(quán)利保護(hù)的角度看，對數(shù)據(jù)安全的法益保護(hù)不能放棄相對明確性的要求［9］，諸如個人的安全感、畏懼感、信賴感等抽象要素，顯然不能歸屬于數(shù)據(jù)安全法益保護(hù)的范圍。但問題是，作為集體法益的數(shù)據(jù)安全是否必須能夠還原為個人法益才具有可評價(jià)性、可衡量性，才能夠受到法律保護(hù)？本文認(rèn)為，數(shù)據(jù)安全法益不可避免地帶有抽象性，但承認(rèn)集體法益的抽象性、概括性并不意味著否定其客觀性和獨(dú)立保護(hù)的必要性，評價(jià)和衡量數(shù)據(jù)安全集體法益并不一定要采取這種“法益還原”的方式。換言之，即使數(shù)據(jù)安全法益不能還原為數(shù)據(jù)所蘊(yùn)含的個人權(quán)利或權(quán)益，也不能因此否定其受法律保護(hù)的必要性。況且，僅著眼于個人法益實(shí)際受侵害的程度，也難以對數(shù)據(jù)安全法益作出完整的評價(jià)。因而，需要留出一定的裁量空間，積極發(fā)揮司法者的主觀能動性，基于社會一般人的評價(jià)標(biāo)準(zhǔn)，對涉及公共安全和國家安全、抽象概括的法益內(nèi)容進(jìn)行具體判斷。國家司法機(jī)關(guān)不一定要制定出有關(guān)罪名適用的定量化、規(guī)范化定罪量刑標(biāo)準(zhǔn)，也可以通過發(fā)布指導(dǎo)性案例的方式提供具體參照，這應(yīng)當(dāng)說也是切實(shí)可行的。

（三）數(shù)據(jù)安全法益的層次性

一般來說，刑法對某種法益的保護(hù)是以法益實(shí)際受到的侵害或者存在被侵害的危險(xiǎn)為前提的。就數(shù)據(jù)安全法益來說，刑法首要保護(hù)的是數(shù)據(jù)利益主體對數(shù)據(jù)的排他性復(fù)制、使用與處分權(quán)益。數(shù)據(jù)安全法益主要是指數(shù)據(jù)與主體關(guān)系的穩(wěn)定性，包括主體對數(shù)據(jù)控制狀態(tài)、占有狀態(tài)、利用狀態(tài)的穩(wěn)定以及數(shù)據(jù)不被其他主體竊取、篡改、使用、破壞狀態(tài)的穩(wěn)定。然而，在數(shù)據(jù)的流動和使用過程中，初始權(quán)利主體逐漸不再擁有對個人數(shù)據(jù)的完全控制權(quán)，數(shù)據(jù)利益主體呈現(xiàn)多元化趨勢，從數(shù)據(jù)權(quán)利主體擴(kuò)展至數(shù)據(jù)的收集者、使用者及處理者。數(shù)據(jù)安全法益越來越多地呈現(xiàn)出社會公共性，數(shù)據(jù)安全的利益譜系也具有個人安全、公共安全和國家安全不同層面［10］。對數(shù)據(jù)的非法獲取、破壞和濫用行為不但會對個體權(quán)益造成嚴(yán)重侵害，還會對公共利益、社會秩序和國家安全造成實(shí)際侵害或危險(xiǎn)。公民個人雖可以利用信息網(wǎng)絡(luò)技術(shù)手段實(shí)施違法犯罪行為，但卻無力對數(shù)據(jù)安全進(jìn)行維護(hù)，無法承擔(dān)信息網(wǎng)絡(luò)安全保護(hù)義務(wù)，二者只有依賴社會集體的共同協(xié)作才能得以實(shí)現(xiàn)。因此，數(shù)據(jù)的公共安全、社會秩序和國家安全必然成為公法保護(hù)首要考量的價(jià)值目標(biāo)，而個人數(shù)據(jù)權(quán)利或權(quán)益則更多地在私法領(lǐng)域中加以保護(hù)。

從刑法角度來看，不是所有的數(shù)據(jù)法益都是值得保護(hù)的，這是由刑法作為后盾法、保障法的體系地位所決定的。某種數(shù)據(jù)只有經(jīng)過以數(shù)據(jù)安全為核心的法益識別和利益衡量之后，才能被視為刑法所必須保護(hù)的法益。首先，刑法對數(shù)據(jù)風(fēng)險(xiǎn)的識別是將數(shù)據(jù)安全法益規(guī)范化、明確化的過程，其意義在于，對某種數(shù)據(jù)處理行為對數(shù)據(jù)安全所造成的實(shí)質(zhì)侵害或危險(xiǎn)進(jìn)行評價(jià)，確定是否有必要追究刑事責(zé)任以及刑事責(zé)任大小。刑法中數(shù)據(jù)安全的法益識別包括兩層含義：一是判斷某種數(shù)據(jù)所承載的利益是否能夠上升為刑法法益；二是確認(rèn)數(shù)據(jù)行為所侵犯的權(quán)利或利益是何種法益。其次，刑法作為制裁措施最為嚴(yán)厲的部門法，不可能將所有危害社會的行為均納入規(guī)制范圍，也不會將所有利益因素均納入保護(hù)范圍，而是在法益識別和篩選方面更加嚴(yán)格，經(jīng)過利益衡量后確定值得刑法保護(hù)的法益類型。對相關(guān)罪名的認(rèn)定，需要以最重要的數(shù)據(jù)法益保護(hù)內(nèi)容為核心，對其構(gòu)成要件進(jìn)行解釋，在罪刑法定的框架下加以利益衡量［11］。從總體國家安全觀的角度看，數(shù)據(jù)的公共安全、國家安全無疑更為重要，具有優(yōu)先的法益地位。然而，在涉及數(shù)據(jù)法益的個人、社會和國家安全之間發(fā)生利益沖突的時(shí)候，也不能因?yàn)檫^于強(qiáng)調(diào)國家和社會公共法益而輕視甚至舍棄對個人安全法益的保護(hù)，而應(yīng)當(dāng)兼顧兩者之間的平衡。

三、數(shù)據(jù)安全法益識別的立法參照系

（一）數(shù)據(jù)安全法益識別與參照系的價(jià)值

根據(jù)風(fēng)險(xiǎn)管理的一般理論，風(fēng)險(xiǎn)識別是國家政府和社會組織進(jìn)行風(fēng)險(xiǎn)管理的基礎(chǔ)，從社會治理角度看，通過規(guī)范化的法律手段，可以有效提升治理效果，規(guī)制和防范公共安全風(fēng)險(xiǎn)。在大數(shù)據(jù)時(shí)代，“數(shù)據(jù)風(fēng)險(xiǎn)”成為新型的社會風(fēng)險(xiǎn)因素，具有高頻度、可變性和不可預(yù)見性，呈現(xiàn)“法益侵害風(fēng)險(xiǎn)社會化”的趨向［12］。從數(shù)據(jù)處理活動的動態(tài)過程上看，在數(shù)據(jù)收集、處理和使用的各個階段均存在數(shù)據(jù)安全遭受侵害的風(fēng)險(xiǎn)，以已知或未知的形式在整個社會層面造成嚴(yán)重威脅和實(shí)際危害。從數(shù)據(jù)安全風(fēng)險(xiǎn)防控的角度看，需要經(jīng)過數(shù)據(jù)安全的風(fēng)險(xiǎn)識別，根據(jù)相關(guān)法律法規(guī)，確認(rèn)某種數(shù)據(jù)所蘊(yùn)含的法益性質(zhì)；而數(shù)據(jù)安全的法益識別，離不開一定的法律規(guī)范作為參照系，以下予以詳析。

其一，數(shù)據(jù)安全法益識別及其路徑。數(shù)據(jù)安全法益識別，即以數(shù)據(jù)安全為核心，明確某種數(shù)據(jù)安全法益的保護(hù)范圍與程度，促進(jìn)實(shí)現(xiàn)不同數(shù)據(jù)利益之間的平衡關(guān)系。主要有立法和司法兩種途徑：（1）立法層面，通過制定法律確認(rèn)個人、企業(yè)、國家的數(shù)據(jù)利益，以及在不同法律法規(guī)中數(shù)據(jù)安全的法益地位，使數(shù)據(jù)安全法益保持應(yīng)有的獨(dú)立屬性?！稊?shù)據(jù)安全法（草案二次審議稿）》第四章規(guī)定了數(shù)據(jù)安全保護(hù)義務(wù)，其中第三十一條規(guī)定，“任何組織、個人收集數(shù)據(jù)，應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞?，不得竊取或者以其他非法方式獲取數(shù)據(jù)”。在數(shù)據(jù)安全法益的立法識別中，應(yīng)當(dāng)充分發(fā)揮數(shù)據(jù)安全法律領(lǐng)域的基本法作用，防止與其他法律法規(guī)之間出現(xiàn)內(nèi)容重復(fù)或產(chǎn)生沖突，避免孤立地考量數(shù)據(jù)安全法益作為新興法益的特殊性，而否定傳統(tǒng)法律保護(hù)手段在數(shù)據(jù)領(lǐng)域的適用［13］。（2）司法層面，通過有關(guān)信息數(shù)據(jù)保護(hù)法律法規(guī)的司法適用，檢驗(yàn)和甄別數(shù)據(jù)安全法益保護(hù)的合理性和妥適性。在私法實(shí)踐中，數(shù)據(jù)安全的法益識別及其法律適用是運(yùn)用民法、行政法和刑法等不同法律法規(guī)完成的。一般來說，有關(guān)數(shù)據(jù)個人用戶知情同意等人格權(quán)利與數(shù)據(jù)財(cái)產(chǎn)權(quán)益保護(hù)，應(yīng)當(dāng)適用民法、消費(fèi)者權(quán)益保護(hù)法等私法領(lǐng)域的法律規(guī)定；涉及數(shù)據(jù)處理者及數(shù)據(jù)管理機(jī)構(gòu)的安全保護(hù)義務(wù)的，可適用有關(guān)行政法規(guī)，對于相關(guān)責(zé)任人員或單位的行政違法行為予以行政處罰。以上不同法律法規(guī)的適用，有利于充分發(fā)揮不同法律手段的規(guī)制和預(yù)防功能，體現(xiàn)不同的立法價(jià)值目標(biāo)，共同實(shí)現(xiàn)對數(shù)據(jù)安全法益等級化、層次化的保護(hù)，形成數(shù)據(jù)安全風(fēng)險(xiǎn)防控法律體系。

其二，數(shù)據(jù)法益識別中參照系的價(jià)值。參照系又稱參照物，屬于物理學(xué)概念，即為確定研究對象的位置和描述其運(yùn)動而選作標(biāo)準(zhǔn)的另一物體。從不同的參照系來看，同一物體的運(yùn)動狀態(tài)是不同的。同世界萬物一樣，任何法律規(guī)范都是普遍聯(lián)系的，也是不斷運(yùn)動變化的，參照系可被看作一種法學(xué)論證方法加以運(yùn)用［14］。研究某一種法律，必須以其為質(zhì)點(diǎn)，選取另一種法律作為參照系，將其固定下來進(jìn)行對照；或者選擇不同的法律作為參照系，從不同角度進(jìn)行對比。同時(shí)，還需要參照該法律在其產(chǎn)生發(fā)展的不同階段的立法變化，從而更準(zhǔn)確、更深刻地認(rèn)識和理解作為質(zhì)點(diǎn)的法律的本質(zhì)內(nèi)容。因此，對于數(shù)據(jù)安全的法益識別也有必要運(yùn)用參照系的論證方法，以數(shù)據(jù)安全相關(guān)立法作為參照，對某種數(shù)據(jù)對象或數(shù)據(jù)處理行為所蘊(yùn)含的法益性質(zhì)及其對于數(shù)據(jù)安全的重要程度進(jìn)行認(rèn)識判斷。如前所述，數(shù)據(jù)安全作為一種集體法益，相對于個人法益來說，其本身具有獨(dú)立保護(hù)的價(jià)值；同時(shí)，數(shù)據(jù)安全也包含著個人法益內(nèi)容，因而又具有一定的從屬性。數(shù)據(jù)安全法益雖有獨(dú)立保護(hù)的必要，但對其中的個人法益進(jìn)行識別也需要參照與個人信息權(quán)利保護(hù)有關(guān)的法律規(guī)范；更何況，數(shù)據(jù)安全的集體法益具有抽象性、模糊性，對其進(jìn)行法益識別更離不開相關(guān)法規(guī)范為參照。數(shù)據(jù)安全法益包括個人法益、公共法益、國家法益三個層次，對某種具體的數(shù)據(jù)法益來說，從個人權(quán)利到社會秩序、公共利益乃至國家安全，往往具有不同層次的內(nèi)涵，法律保護(hù)的重點(diǎn)也不同。對某種數(shù)據(jù)對象或數(shù)據(jù)行為進(jìn)行法益識別，首先要選擇其所對應(yīng)的法律規(guī)范作為參照系，在此基礎(chǔ)上，再確定法律所要重點(diǎn)保護(hù)的法益內(nèi)容和層次，這是正確適用相關(guān)罪名予以刑法規(guī)制的前提。

（二）不同立法參照系的功能區(qū)分與互補(bǔ)

在我國數(shù)據(jù)安全立法中，已頒布施行的《網(wǎng)絡(luò)安全法》和正在制定中的“數(shù)據(jù)安全法”“個人信息保護(hù)法”屬于基礎(chǔ)性法律，三者之間存在交叉重合關(guān)系，都可以將“數(shù)據(jù)”“個人信息”或“網(wǎng)絡(luò)數(shù)據(jù)”作為調(diào)整對象。數(shù)據(jù)安全往往也意味著信息安全、網(wǎng)絡(luò)安全，可以受到上述法律法規(guī)以及《國家安全法》《保守國家秘密法》《密碼法》等法律的保護(hù)。在不同的立法參照系下，法益保護(hù)的重點(diǎn)也不同，對于數(shù)據(jù)安全保護(hù)重要性的認(rèn)識是存在差別的。例如，在“個人信息保護(hù)法”中，個人信息權(quán)益（如知情權(quán)、同意權(quán)）被作為重點(diǎn)保護(hù)的法益，但其在“數(shù)據(jù)安全法”、《網(wǎng)絡(luò)安全法》中居于次要的法益地位，后者雖有涉及，但重點(diǎn)保護(hù)的是數(shù)據(jù)自身安全和網(wǎng)絡(luò)系統(tǒng)運(yùn)行的安全性。因此，在對某種數(shù)據(jù)法益進(jìn)行識別時(shí)，選擇何種立法作為參照系顯得十分關(guān)鍵。

在數(shù)據(jù)安全法益識別方面，“數(shù)據(jù)安全法”“個人信息保護(hù)法”與《網(wǎng)絡(luò)安全法》作為立法參照系，既存在功能的差異性，同時(shí)也有一定的互補(bǔ)性。首先，如前所述，“數(shù)據(jù)安全法”中的數(shù)據(jù)安全與《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全存在較大的內(nèi)涵重合，法律保護(hù)的“數(shù)據(jù)”對象范圍較大，不僅包括線上的“網(wǎng)絡(luò)數(shù)據(jù)”，也涵蓋了線下的電子數(shù)據(jù)，但不包括非電子數(shù)據(jù)。這也決定了這兩部法律保護(hù)的重心存在差異，作為參照系的法益識別功能也不同。為了避免兩者不當(dāng)交叉，并發(fā)揮互補(bǔ)效應(yīng)，應(yīng)對兩者的調(diào)整對象范圍予以界分。其次，“個人信息保護(hù)法”保護(hù)的重點(diǎn)是個人信息安全，即在個人信息處理中如何避免受到非法收集、濫用和泄露等不法侵害。而“數(shù)據(jù)安全法”的出臺，旨在重點(diǎn)保護(hù)信息載體即數(shù)據(jù)的處理活動，它與“個人信息保護(hù)法”的立法出發(fā)點(diǎn)和法益保護(hù)重點(diǎn)不同。同時(shí)，兩者也不是截然分離的。因?yàn)閮刹糠伤?guī)制的對象——信息和數(shù)據(jù)——其實(shí)是一種事物的兩個側(cè)面，對“個人信息保護(hù)法”中個人信息法益的理解可援引“數(shù)據(jù)安全法”中的相關(guān)規(guī)定，反之亦然。再次，在上述法律法規(guī)中，個人信息（數(shù)據(jù)）、網(wǎng)絡(luò)數(shù)據(jù)（信息）是就不同層面而言的，所調(diào)整的對象具有重合性。這就決定了對數(shù)據(jù)安全法益識別，不可能只依賴其中一部法律作為參照系，或者說，數(shù)據(jù)安全法益識別并不排斥選擇多種參照系。從法秩序統(tǒng)一性角度看，在對某種數(shù)據(jù)（信息）處理活動所涉及的法益識別過程中，應(yīng)當(dāng)將不同的立法參照系都納入視野范圍，加以對比和衡量，根據(jù)法益保護(hù)內(nèi)容的重要性程度，選擇其中一部法律法規(guī)作為主要參照系，其他相關(guān)法律法規(guī)及行業(yè)規(guī)范則作為補(bǔ)充。不同的立法參照系之間也可以相互援引，并加以體系解釋，以使數(shù)據(jù)法益識別和判斷的結(jié)論得到更好的印證。例如，對于侵犯公民個人信息罪中“違反國家有關(guān)規(guī)定”的界定，可以結(jié)合《網(wǎng)絡(luò)安全法》第四十一條的規(guī)定予以理解和把握。根據(jù)該條規(guī)定，“非法獲取公民個人信息”的“非法性”除違反法律法規(guī)之外也包括“違反雙方約定”。實(shí)踐中，如果網(wǎng)絡(luò)平臺經(jīng)營者收集用戶個人信息的行為違反了法律法規(guī)或雙方約定，都可認(rèn)定為“非法獲取”行為，從而成為侵犯公民個人信息罪的客觀行為構(gòu)成要件，這更有利于個人信息主體知情同意權(quán)的行使和個人數(shù)據(jù)安全的法益保障。

（三）數(shù)據(jù)安全刑事立法的參照系問題

1.數(shù)據(jù)犯罪內(nèi)涵的立法比較

在國外，許多國家刑事立法對數(shù)據(jù)安全的保護(hù)都是從針對計(jì)算機(jī)信息系統(tǒng)實(shí)施的非法侵入、破壞、控制等犯罪行為開始的，計(jì)算機(jī)信息系統(tǒng)安全具體包括計(jì)算機(jī)數(shù)據(jù)、計(jì)算機(jī)系統(tǒng)及計(jì)算機(jī)本身的安全。如，美國1986年《計(jì)算機(jī)欺詐與濫用法》盡管多以信息為保護(hù)對象，但并沒有忽視對數(shù)據(jù)資料以及代碼指令等計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的保護(hù)。在《德國刑法典》以及《德國刑法第41次修正案》中，計(jì)算機(jī)網(wǎng)絡(luò)犯罪罪名體系的核心概念便是數(shù)據(jù)，主要包括探知數(shù)據(jù)罪、變更數(shù)據(jù)罪和破壞計(jì)算機(jī)罪、截取數(shù)據(jù)罪、探知數(shù)據(jù)和截取數(shù)據(jù)的預(yù)備等罪名［15］。日本1987年修正刑法典明確界定了“電磁記錄”的含義，即以電子方式、電磁方式以及其他不被人感知的方法制作的電子計(jì)算機(jī)處理信息使用的記錄，與我國的電磁數(shù)據(jù)、電子數(shù)據(jù)等概念所指涉范圍基本相同［16］。須指出，上述國家大多是《網(wǎng)絡(luò)犯罪公約》的締約國，其國內(nèi)立法受到該國際公約的重要影響。《網(wǎng)絡(luò)犯罪公約》規(guī)定了9種網(wǎng)絡(luò)犯罪行為，如違法接觸、違法攔截、數(shù)據(jù)干擾、系統(tǒng)干擾、裝置濫用等，也都是以計(jì)算機(jī)信息系統(tǒng)安全為核心，或者說，是以計(jì)算機(jī)系統(tǒng)安全為參照系對數(shù)據(jù)犯罪予以刑法規(guī)制。

在我國，刑法中的“數(shù)據(jù)犯罪”有廣義和狹義之分。本文中的“數(shù)據(jù)犯罪”是從狹義層面來理解的，即在計(jì)算機(jī)信息系統(tǒng)內(nèi)以“數(shù)據(jù)”為對象，非法獲取或刪改網(wǎng)絡(luò)數(shù)據(jù)，危害數(shù)據(jù)安全的行為。具體包括《刑法》第二百八十五條第二款、第二百八十六條第二款規(guī)定的兩種犯罪類型：非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪和破壞計(jì)算機(jī)信息系統(tǒng)罪（非法刪除、修改、增加計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)）。前者為獲取型數(shù)據(jù)犯罪，后者為破壞型數(shù)據(jù)犯罪。從法益性質(zhì)來看，上述罪名以數(shù)據(jù)安全為核心，即以數(shù)據(jù)的保密性、完整性和可用性為法益內(nèi)容，因而，也可稱之為“數(shù)據(jù)安全犯罪”。從廣義角度看，“數(shù)據(jù)犯罪”則包括所有以數(shù)據(jù)為對象、載體或工具，侵犯公民個人權(quán)益、社會秩序或公共利益、國家安全的犯罪。廣義上的數(shù)據(jù)安全其實(shí)早已被我國刑法確立為保護(hù)法益，而非一種“新型法益”。與數(shù)據(jù)安全保護(hù)相關(guān)的罪名明顯不限于上述狹義的數(shù)據(jù)犯罪，有的罪名是將數(shù)據(jù)作為個人信息加以保護(hù)，有的罪名則是將數(shù)據(jù)作為計(jì)算機(jī)信息系統(tǒng)的內(nèi)在組成部分加以保護(hù)［17］。不同罪名的法益性質(zhì)不同，保護(hù)重心也不同，相互之間也存在重合和交織，這些罪名均具有公共安全法益的共同屬性。在數(shù)據(jù)安全法益的界域內(nèi)，狹義的數(shù)據(jù)犯罪罪名與侵犯公民個人信息罪以及其他信息網(wǎng)絡(luò)犯罪的關(guān)聯(lián)罪名一起構(gòu)成數(shù)據(jù)安全保護(hù)的罪名體系。

2.數(shù)據(jù)安全刑事立法的參照系

在信息時(shí)代，數(shù)據(jù)犯罪手段日趨技術(shù)化、復(fù)雜化，如拖庫撞庫、數(shù)據(jù)攔截、木馬植入、網(wǎng)絡(luò)爬蟲等，這種技術(shù)范式的轉(zhuǎn)變必然要求刑法規(guī)范層面加以應(yīng)對。我國數(shù)據(jù)安全法律保護(hù)從整體上經(jīng)歷了一個從靜態(tài)保護(hù)到動態(tài)保護(hù)的發(fā)展變化過程，數(shù)據(jù)安全立法的發(fā)展變化影響著刑事立法和司法。對某種數(shù)據(jù)犯罪行為所侵犯法益的刑法認(rèn)定，離不開以相應(yīng)的前置性法律規(guī)范為參照，其可作為罪質(zhì)界定和罪量評價(jià)的依據(jù)。數(shù)據(jù)犯罪屬于典型的法定犯，確定《刑法》第二百八十五條第二款與第二百八十六條第二款中“違反國家規(guī)定”的前置法，是選擇數(shù)據(jù)安全法益識別立法參照系的關(guān)鍵。

在數(shù)據(jù)犯罪的不同罪名中，數(shù)據(jù)安全法益往往屬于復(fù)雜客體，對計(jì)算機(jī)信息系統(tǒng)安全、公民個人信息安全到數(shù)據(jù)自身安全的保護(hù)重點(diǎn)也存在差別。從我國刑事立法發(fā)展來看：首先，《刑法》第二百八十五條第一款、第二百八十六條規(guī)定的非法侵入計(jì)算機(jī)信息系統(tǒng)罪和破壞計(jì)算機(jī)信息系統(tǒng)罪中，法益保護(hù)的重點(diǎn)均為計(jì)算機(jī)信息系統(tǒng)，而非信息數(shù)據(jù)的自身安全，刑法并沒有對網(wǎng)絡(luò)數(shù)據(jù)法益保護(hù)的獨(dú)立性予以足夠重視。其次，《刑法修正案（七）》在第二百八十五條增設(shè)非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、非法控制計(jì)算機(jī)信息系統(tǒng)罪，提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪，將適用對象范圍限定于“身份認(rèn)證信息”，與侵犯公民個人信息罪中的“公民個人信息”對象范圍產(chǎn)生了一定的交叉重合，實(shí)踐中為司法機(jī)關(guān)帶來定罪上的困難。上述數(shù)據(jù)犯罪行為所侵害的法益并非僅僅是技術(shù)層面的網(wǎng)絡(luò)系統(tǒng)安全，而是作為信息載體的數(shù)據(jù)安全。然而，刑事立法對上述罪名及其構(gòu)成要件的表述依然沿用了過去傳統(tǒng)意義上的“計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)”的概念，不恰當(dāng)?shù)叵蘅s了數(shù)據(jù)犯罪的適用對象范圍，顯然無法適應(yīng)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容、類型多樣化的特點(diǎn)和要求。再次，《計(jì)算機(jī)安全刑案解釋》首次使用了“計(jì)算機(jī)系統(tǒng)”的術(shù)語，與“計(jì)算機(jī)信息系統(tǒng)”相區(qū)分，并將幾乎所有與計(jì)算機(jī)相關(guān)聯(lián)的網(wǎng)絡(luò)終端設(shè)備都擴(kuò)張解釋為計(jì)算機(jī)信息系統(tǒng)。然而，該解釋始終未區(qū)分?jǐn)?shù)據(jù)的對象功能和媒介、工具功能，未能結(jié)合獨(dú)立的數(shù)據(jù)安全法益來加以說明，“數(shù)據(jù)犯罪”最終為傳統(tǒng)的計(jì)算機(jī)安全犯罪所遮蔽，這顯然是不合理的，可能導(dǎo)致數(shù)據(jù)犯罪罪名的濫用，使得數(shù)據(jù)犯罪的兩個罪名都有成為“口袋罪”的趨勢，有過度擴(kuò)大解釋之嫌［18］。實(shí)踐中，如果將出售破解版電視機(jī)頂盒、開發(fā)軟件插件、利用加粉軟件強(qiáng)制加粉等行為也認(rèn)定為非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，顯然是不適當(dāng)?shù)?。最后，《刑法修正案（九）》將侵害個人信息的兩個原有罪名合并為侵犯公民個人信息罪，通過修改并擴(kuò)大犯罪主體構(gòu)成要件范圍、加檔提升法定刑加大了處罰力度。同時(shí)，2017年“兩高”出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑案解釋》）進(jìn)一步界定了“公民個人信息”的對象范圍。然而，應(yīng)當(dāng)看到，《刑法修正案（九）》仍未明確數(shù)據(jù)的法定內(nèi)涵，未將其與個人信息予以界分，也未對數(shù)據(jù)安全法益予以獨(dú)立保護(hù)，而是將數(shù)據(jù)雜糅進(jìn)侵犯公民個人信息罪的適用對象范圍，對涉信息數(shù)據(jù)犯罪行為予以模糊化處理，這也導(dǎo)致司法實(shí)踐中因法益性質(zhì)界定不清而使罪名適用產(chǎn)生偏差。

綜上所述，目前我國數(shù)據(jù)犯罪的刑事立法在觀念和規(guī)范層面仍然存在不足。刑事司法解釋的相關(guān)規(guī)定也偏重于對信息網(wǎng)絡(luò)安全的保護(hù)，以“計(jì)算機(jī)信息系統(tǒng)安全”為中心，通過擴(kuò)大解釋其內(nèi)涵，實(shí)現(xiàn)對數(shù)據(jù)犯罪的刑法規(guī)制。然而，以“計(jì)算機(jī)信息系統(tǒng)安全”來表述數(shù)據(jù)安全的法益性質(zhì)和內(nèi)容，并不符合信息時(shí)代數(shù)據(jù)犯罪的本質(zhì)屬性，實(shí)踐中也會導(dǎo)致數(shù)據(jù)犯罪與其他計(jì)算機(jī)犯罪難以區(qū)分；同時(shí)，由于相關(guān)罪名的量刑標(biāo)準(zhǔn)存在差異，罪名適用不當(dāng)也會帶來處刑畸輕畸重的問題。在現(xiàn)有的刑事立法背景下，如何合理運(yùn)用司法解釋方法，準(zhǔn)確界定某種數(shù)據(jù)行為所侵犯的重點(diǎn)法益，找到與之相應(yīng)的前置性法律規(guī)范，作為評價(jià)該行為是否定罪、應(yīng)定何罪的參照系，顯得尤為重要。

四、數(shù)據(jù)安全刑法規(guī)制的參照系功能及適用

（一）基于數(shù)據(jù)安全法益識別的數(shù)據(jù)犯罪認(rèn)定

我國刑事立法采取“定性+定量”模式，認(rèn)定犯罪首先是罪質(zhì)的判斷，同時(shí)也離不開罪量的評價(jià)。確定數(shù)據(jù)犯罪的入罪門檻，關(guān)鍵在于對法益性質(zhì)的界定。以相關(guān)前置法規(guī)范為參照系進(jìn)行法益識別，判斷數(shù)據(jù)犯罪對象所反映的客體性質(zhì)、客體所遭受的侵害程度，明確其對數(shù)據(jù)安全的重要程度，對犯罪行為的罪質(zhì)和罪量予以評價(jià)，決定是否適用數(shù)據(jù)犯罪的罪名。

1.數(shù)據(jù)犯罪的罪質(zhì)界定及參照系

在現(xiàn)有刑法規(guī)定的基礎(chǔ)上，對數(shù)據(jù)犯罪中數(shù)據(jù)本身的性質(zhì)和內(nèi)容、數(shù)據(jù)使用價(jià)值的大小、數(shù)據(jù)安全權(quán)益可能遭受的侵害風(fēng)險(xiǎn)及刑法保護(hù)的必要性進(jìn)行規(guī)范評價(jià)，從而更合理地解釋數(shù)據(jù)犯罪的構(gòu)成要件，是十分重要的。以下對狹義上數(shù)據(jù)犯罪的兩個具體罪名的罪質(zhì)認(rèn)定加以研討：

首先，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的罪質(zhì)界定。關(guān)于此罪的法益性質(zhì)，學(xué)界存在不同認(rèn)識。持“單一法益說”的學(xué)者認(rèn)為，此罪名的保護(hù)法益或者說犯罪客體是單個的，具體表述不盡一致，如“計(jì)算機(jī)信息系統(tǒng)安全”“計(jì)算機(jī)信息系統(tǒng)運(yùn)行安全”“信息安全”“數(shù)據(jù)傳輸?shù)乃矫苄浴钡?。持“?fù)合法益說”的學(xué)者認(rèn)為，此罪名的保護(hù)法益是復(fù)合性的，有的將其表述為“數(shù)據(jù)安全與系統(tǒng)功能法益”［19］，有的將其表述為計(jì)算機(jī)信息系統(tǒng)的管理秩序、運(yùn)行秩序及系統(tǒng)內(nèi)存儲、處理或傳輸?shù)臄?shù)據(jù)的安全等［20］。認(rèn)定此罪的關(guān)鍵是正確把握刑法所保護(hù)的數(shù)據(jù)安全法益，即數(shù)據(jù)收集和使用過程中的保密性、完整性和可用性。數(shù)據(jù)安全立法所保護(hù)的重心不是計(jì)算機(jī)信息系統(tǒng)，而是數(shù)據(jù)安全，計(jì)算機(jī)信息系統(tǒng)的作用僅在于對數(shù)據(jù)的類型進(jìn)行限縮，而不應(yīng)該用計(jì)算機(jī)信息系統(tǒng)安全這一泛化的概念遮蓋數(shù)據(jù)安全法益的保護(hù)價(jià)值。實(shí)踐中，本罪的行為表現(xiàn)形式多樣，如非法獲取游戲賬號密碼后銷售、轉(zhuǎn)讓賬戶內(nèi)的游戲幣；非法獲取游戲賬號或者個人QQ、郵箱等登錄賬號密碼等。司法機(jī)關(guān)應(yīng)當(dāng)依據(jù)“數(shù)據(jù)安全法”以及《網(wǎng)絡(luò)安全法》等法律法規(guī)、行業(yè)規(guī)范中有關(guān)保護(hù)數(shù)據(jù)的保密性、完整性和可用性的規(guī)定，結(jié)合具體案件事實(shí)選擇適用該罪名的前置法，并從數(shù)據(jù)安全法益的角度進(jìn)行罪質(zhì)界定和罪量評價(jià)，判斷某種數(shù)據(jù)處理行為是否構(gòu)成此罪。例如，全國首例“‘爬蟲’入刑案”④，被告人晟品網(wǎng)絡(luò)科技公司不當(dāng)使用網(wǎng)絡(luò)爬蟲技術(shù)的行為，被認(rèn)定為侵害了數(shù)據(jù)的保密性。該案的裁判理由認(rèn)為，被告單位采用“爬蟲”技術(shù)獲取“公開視頻信息”，作為載體的視頻數(shù)據(jù)本身仍然具有保密性，也有刑法規(guī)制的必要［21］。在該案的罪質(zhì)認(rèn)定中，法院明確區(qū)分了作為形式載體的數(shù)據(jù)和作為數(shù)據(jù)內(nèi)容的個人信息，將數(shù)據(jù)載體的保密性作為刑法保護(hù)的重點(diǎn)。上述案件刑事裁決對數(shù)據(jù)犯罪的刑法法益予以獨(dú)立評價(jià)和重點(diǎn)保護(hù)，改變了以往將其附屬于計(jì)算機(jī)信息系統(tǒng)安全或混同于個人信息安全的傳統(tǒng)認(rèn)識和處理模式，是值得充分肯定的［22］。須討論的問題是，作為本罪的保護(hù)對象，“數(shù)據(jù)”是否僅指不具有可識別性的信息？在我國信息網(wǎng)絡(luò)領(lǐng)域立法中，“可識別性”被認(rèn)為是個人信息的本質(zhì)特征，也是判斷個人信息保護(hù)法益的基本標(biāo)準(zhǔn)。根據(jù)《網(wǎng)絡(luò)安全法》第七十六條的規(guī)定，個人信息分為可識別的身份信息和個人私密信息?！秱€人信息保護(hù)法（草案二次審議稿）》第四條對個人信息的界定采取了“已識別”與“可識別”相結(jié)合的模式，個人信息的可識別性同樣被立法所確認(rèn)。有學(xué)者認(rèn)為，個人信息與普通“數(shù)據(jù)”的最大區(qū)別就在于其具有“可識別性”，能夠識別特定主體的身份，只有可識別的個人信息才具有隱私性和自決性，才能作為個人信息保護(hù)法的調(diào)整對象，不可識別的信息則應(yīng)作為普通的“數(shù)據(jù)”，由“數(shù)據(jù)安全法”、《網(wǎng)絡(luò)安全法》予以保護(hù)［23］。根據(jù)此種觀點(diǎn)，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的對象就應(yīng)當(dāng)排除具有可識別性的個人數(shù)據(jù)信息，由此將該罪與侵犯公民個人信息罪加以界分。如果不當(dāng)?shù)丶右韵蘅s解釋，使該罪的適用范圍小于侵犯公民個人信息罪的對象范圍，兩罪的定罪量刑標(biāo)準(zhǔn)存在差別，就可能造成兩種罪名適用上的漏洞或沖突。

其次，破壞計(jì)算機(jī)信息系統(tǒng)罪中“刪除、修改、增加數(shù)據(jù)”的罪質(zhì)界定。關(guān)于本罪的法益性質(zhì)，有的學(xué)者將其表述為“計(jì)算機(jī)信息系統(tǒng)的功能安全和數(shù)據(jù)安全管理秩序”［24］，有的學(xué)者則將其表述為“數(shù)據(jù)的安全性與應(yīng)用程序的完整性”［25］，不一而足?！熬推茐挠?jì)算機(jī)信息系統(tǒng)罪的規(guī)范目的而言，理解為同時(shí)包含計(jì)算機(jī)系統(tǒng)的安全與數(shù)據(jù)的安全，是更為合理的選擇?！保?6］就刪除、修改、增加數(shù)據(jù)的行為而言，如果未侵害數(shù)據(jù)信息的可用性和完整性，就不能構(gòu)成此罪。例如，最高人民法院于2020年12月29日發(fā)布的145號指導(dǎo)性案例即“張某某等非法控制計(jì)算機(jī)信息系統(tǒng)案”中，法院裁判認(rèn)為，被告人張某某等為了賺取賭博網(wǎng)站廣告費(fèi)，提高搜索引擎命中率，通過植入木馬程序的方式，非法獲取存在防護(hù)漏洞的網(wǎng)站服務(wù)器的控制權(quán)限，進(jìn)而通過修改、增加計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)，上傳網(wǎng)頁鏈接代碼；但這種行為未造成網(wǎng)絡(luò)系統(tǒng)功能實(shí)質(zhì)性破壞或者使其不能正常運(yùn)行，不應(yīng)當(dāng)認(rèn)定為破壞計(jì)算機(jī)信息系統(tǒng)罪，應(yīng)當(dāng)認(rèn)定為非法控制計(jì)算機(jī)信息系統(tǒng)罪?？梢?，判斷行為所侵害的法益是數(shù)據(jù)安全還是計(jì)算機(jī)信息系統(tǒng)安全，是區(qū)分兩罪的關(guān)鍵，而對法益性質(zhì)和保護(hù)程度的識別判斷，則有賴于對作為參照系的前置法的確定和把握。如果根據(jù)“數(shù)據(jù)安全法”的相關(guān)規(guī)定來判斷，刪除、修改、增加數(shù)據(jù)的行為沒有危及數(shù)據(jù)的持續(xù)安全狀態(tài)，就不宜認(rèn)定為破壞計(jì)算機(jī)信息系統(tǒng)罪，否則可能導(dǎo)致該罪名的“口袋化”，與其他計(jì)算機(jī)犯罪的罪名發(fā)生適用上的沖突；同時(shí)，由于不同罪名的定罪處刑標(biāo)準(zhǔn)存在差別，如上述案件所涉及的破壞計(jì)算機(jī)信息系統(tǒng)罪的基本法定刑是五年，非法控制計(jì)算機(jī)信息系統(tǒng)罪的基本法定刑的上限是三年，如果將被告人的行為認(rèn)定為前罪，則會導(dǎo)致量刑偏重，這從根本上說是由于對其行為的罪質(zhì)認(rèn)識不當(dāng)所致。

2.數(shù)據(jù)犯罪的罪量評價(jià)及參照系

我國《刑法》中數(shù)據(jù)犯罪的構(gòu)成要件采取“定性+定量”的立法模式，“情節(jié)嚴(yán)重”是常見的罪狀表述方式。根據(jù)《刑法》第二百八十五條第二款和第二百八十六條的規(guī)定，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪的罪量構(gòu)成要件分別是“情節(jié)嚴(yán)重”和“后果嚴(yán)重”，這種綜合性的定罪標(biāo)準(zhǔn)帶有概括性和模糊性，需要司法機(jī)關(guān)作出具體判斷。隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的廣泛運(yùn)用，數(shù)據(jù)安全法益內(nèi)容的日益技術(shù)化和抽象化會使司法機(jī)關(guān)對相關(guān)罪名的定罪量刑產(chǎn)生困難。數(shù)據(jù)犯罪的定罪標(biāo)準(zhǔn)從“數(shù)額為主，情節(jié)為輔”轉(zhuǎn)向“數(shù)額與情節(jié)并重”或“以情節(jié)為主”的模式，以合理評價(jià)數(shù)據(jù)犯罪的法益侵害程度。在此情況下，應(yīng)當(dāng)立足于數(shù)據(jù)犯罪相關(guān)罪名的前置法規(guī)定，根據(jù)數(shù)據(jù)安全法益保護(hù)的必要性及重要程度，明確數(shù)據(jù)犯罪的數(shù)額或數(shù)量標(biāo)準(zhǔn)和綜合性情節(jié)的罪量評價(jià)要素。跟普通的經(jīng)濟(jì)犯罪一樣，數(shù)據(jù)犯罪也是采用違法所得、經(jīng)濟(jì)損失等定罪數(shù)額、數(shù)量標(biāo)準(zhǔn)。例如，《計(jì)算機(jī)安全刑案解釋》第一條對非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪的“情節(jié)嚴(yán)重”定罪標(biāo)準(zhǔn)進(jìn)行了列舉，其中包括經(jīng)濟(jì)損失、違法所得、計(jì)算機(jī)臺數(shù)、身份認(rèn)證信息組數(shù)等。上述標(biāo)準(zhǔn)雖在一定程度上反映了該罪對具體個人法益所造成的危害，但未能充分評價(jià)其對數(shù)據(jù)安全集體法益的侵害程度，特別是對公共安全、國家安全所形成的危險(xiǎn)程度。同時(shí)，該司法解釋第四條對破壞計(jì)算機(jī)信息系統(tǒng)罪的定罪標(biāo)準(zhǔn)“后果嚴(yán)重”規(guī)定了數(shù)據(jù)賴以儲存的計(jì)算機(jī)臺數(shù)，違法所得或經(jīng)濟(jì)損失數(shù)額以及造成為一定數(shù)量計(jì)算機(jī)或用戶服務(wù)的計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的小時(shí)數(shù)等。然而，對數(shù)據(jù)犯罪的罪量不能僅僅從行為對公民個人所造成的實(shí)際侵害或損失加以評價(jià)，而是應(yīng)當(dāng)更多地考慮行為對社會秩序、公共利益乃至國家安全的侵害或影響。刑法規(guī)范本身就是明確性與模糊性的統(tǒng)一，允許一定的抽象、概括的罪量因素存在，作為具體、定量化標(biāo)準(zhǔn)的補(bǔ)充，更能完整地反映數(shù)據(jù)犯罪的本質(zhì)屬性和罪量特征。將來的刑事立法或司法解釋，應(yīng)在原有數(shù)據(jù)安全定級要素基礎(chǔ)上增加新的內(nèi)容，采用新的罪量評價(jià)標(biāo)準(zhǔn)，諸如數(shù)據(jù)流量、安全漏洞數(shù)、注冊會員數(shù)、點(diǎn)擊瀏覽或下載數(shù)量、系統(tǒng)正常運(yùn)行時(shí)長、網(wǎng)絡(luò)中斷時(shí)長及影響用戶數(shù)、網(wǎng)絡(luò)故障導(dǎo)致的事故損害后果等。非法獲取、刪除、修改、增加數(shù)據(jù)對社會秩序、公共利益或國家安全的侵害和影響越大，新型罪量因素的定罪量刑作用就顯得越重要。另外，上述罪量因素中有的具有明顯定量特征，如果經(jīng)過司法實(shí)踐檢驗(yàn)進(jìn)行“數(shù)量化”是切實(shí)可行的，可以通過司法解釋明確規(guī)定其為定罪量刑的具體數(shù)量標(biāo)準(zhǔn)；有的罪量因素是比較模糊和抽象的，則不一定被明確規(guī)定為具體數(shù)量標(biāo)準(zhǔn)，但可以放入“情節(jié)嚴(yán)重”或“后果嚴(yán)重”中綜合加以考量。數(shù)據(jù)安全法益本身是抽象的，在制定司法解釋明確數(shù)據(jù)犯罪的定罪標(biāo)準(zhǔn)時(shí)，應(yīng)當(dāng)設(shè)置一定的柔性規(guī)范或兜底規(guī)定，允許法官在個案審理中保留一定的自由裁量空間，這樣更有助于實(shí)現(xiàn)定罪量刑的實(shí)質(zhì)公正。

（二）不同參照系下數(shù)據(jù)犯罪罪名適用的銜接協(xié)調(diào)

在數(shù)據(jù)犯罪中，數(shù)據(jù)是犯罪行為所指向的對象，而不是行為人實(shí)施其他犯罪的工具或手段，這是數(shù)據(jù)犯罪與侵犯人身、財(cái)產(chǎn)權(quán)益等傳統(tǒng)犯罪區(qū)別的關(guān)鍵所在。對此，司法機(jī)關(guān)需要以相關(guān)立法為參照系，根據(jù)信息數(shù)據(jù)類型的不同，判斷其所反映的法益本質(zhì)，綜合考慮數(shù)據(jù)處理行為對數(shù)據(jù)安全法益所造成的侵害或影響，作為區(qū)分狹義上的數(shù)據(jù)犯罪與其他關(guān)聯(lián)罪名的實(shí)質(zhì)根據(jù)。

首先，以數(shù)據(jù)犯罪的前置法規(guī)范為參照確定行為所侵犯的法益性質(zhì)。將某種數(shù)據(jù)處理行為所涉及的法益性質(zhì)界定為個人法益、公共法益還是國家法益，將直接決定或影響刑法中數(shù)據(jù)犯罪及關(guān)聯(lián)罪名的認(rèn)定。我國《民法典》《反不正當(dāng)競爭法》《保守國家秘密法》《國家情報(bào)法》《中國人民解放軍保密條例》等現(xiàn)行法律法規(guī)分別對個人信息和商業(yè)秘密、內(nèi)幕信息、國家秘密、國家情報(bào)、軍事秘密等予以保護(hù)，與數(shù)據(jù)安全法益保護(hù)的對象存在交叉重合，相關(guān)罪名也存在競合關(guān)系。對《刑法》中相關(guān)罪名的構(gòu)成要件設(shè)置和司法認(rèn)定，需要依托前置性行政法律規(guī)范及行業(yè)標(biāo)準(zhǔn)，針對不同安全等級的數(shù)據(jù)處理行為，設(shè)定數(shù)據(jù)安全法益保護(hù)的命令性義務(wù)、禁止性規(guī)范及刑事責(zé)任，設(shè)置刑事風(fēng)險(xiǎn)防范的法律底線，側(cè)重體現(xiàn)對于數(shù)據(jù)安全保護(hù)的特殊要求。據(jù)此，司法機(jī)關(guān)在認(rèn)定數(shù)據(jù)犯罪及其關(guān)聯(lián)罪名的時(shí)候，就可以作為認(rèn)定前置性法律規(guī)范、進(jìn)行刑事違法性判斷的參考依據(jù)。同時(shí)，也應(yīng)當(dāng)注意不同前置法規(guī)范之間的銜接協(xié)調(diào)問題。例如，《個人信息刑案解釋》對行蹤軌跡信息等四類敏感個人信息的定罪情節(jié)作出了比一般個人信息更嚴(yán)格的標(biāo)準(zhǔn)要求，但沒有包括更為敏感的個人生物數(shù)據(jù)信息；《個人信息保護(hù)法（草案）》則規(guī)定個人生物特征信息保護(hù)的規(guī)則，這就需要在這些法律規(guī)范及司法解釋之間進(jìn)行體系性思考并進(jìn)行銜接適用。另外，信息安全、數(shù)據(jù)安全領(lǐng)域存在諸多行業(yè)規(guī)范，對相關(guān)單位或個人依法合規(guī)地開展數(shù)據(jù)處理活動具有很強(qiáng)的指導(dǎo)作用，但它們并不具有法律效力，相對于“數(shù)據(jù)安全法”等法律法規(guī)來說，對數(shù)據(jù)利益主體的安全保護(hù)義務(wù)要求更高，而《刑法》所規(guī)制的入罪門檻必須是數(shù)據(jù)安全保護(hù)的“最低安全基線”，與行業(yè)規(guī)范設(shè)置的安全標(biāo)準(zhǔn)存在差異，不能等同。為了避免刑事打擊范圍過大，應(yīng)將行業(yè)規(guī)范作為前置性法規(guī)范中的參考依據(jù)，但不宜直接將其作為判斷刑事違法性、認(rèn)定犯罪的法律根據(jù)。

其次，根據(jù)行為所侵害法益性質(zhì)選擇適用數(shù)據(jù)犯罪及關(guān)聯(lián)性罪名。根據(jù)我國現(xiàn)行《刑法》的規(guī)定，非法獲取信息數(shù)據(jù)的行為可能構(gòu)成侵犯公民個人信息罪，侵犯商業(yè)秘密罪，非法獲取國家秘密、情報(bào)罪，以及非法獲取軍事秘密罪等多個罪名，這些罪名規(guī)定對承載著包括公民個人權(quán)利、市場經(jīng)濟(jì)秩序、國家安全、國防利益等在內(nèi)的重要數(shù)據(jù)信息予以不同程度的類型化保護(hù)，形成了一套以數(shù)據(jù)信息法益保護(hù)為核心的罪名體系。若某種數(shù)據(jù)不在上述罪名保護(hù)的對象范圍之內(nèi)，則可考慮是否認(rèn)定行為構(gòu)成數(shù)據(jù)犯罪。在網(wǎng)絡(luò)系統(tǒng)空間，信息和數(shù)據(jù)是不能截然分開的，兩者如同一枚硬幣的兩面。如果行為人非法獲取計(jì)算機(jī)信息系統(tǒng)中的數(shù)據(jù)，其行為觸犯了非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪或侵犯公民個人信息罪，屬于法條競合，應(yīng)按照“特別法優(yōu)于普通法”的原則處理。但究竟何種罪名屬于“特別法”的規(guī)定，選擇適用何種罪名，則離不開相關(guān)前置法的參照系作用。在司法認(rèn)定中，應(yīng)當(dāng)以“個人信息保護(hù)法”或“數(shù)據(jù)安全法”、《網(wǎng)絡(luò)安全法》為參照系，識別和判斷該行為所侵犯的重點(diǎn)法益的性質(zhì)及危害程度。如果以“個人信息保護(hù)法”為參照，從個人信息權(quán)益保護(hù)角度看，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪屬于“特別法”規(guī)定的罪名；如果以《網(wǎng)絡(luò)安全法》、“數(shù)據(jù)安全法”為參照，從計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的角度看，侵犯公民個人信息罪則為“特別法”規(guī)定的罪名。

再次，從系統(tǒng)論角度看，以數(shù)據(jù)安全為核心，相關(guān)民法、刑法、行政法及行業(yè)規(guī)范共同形成了數(shù)據(jù)安全法益保護(hù)的法律規(guī)范體系，其內(nèi)外部應(yīng)當(dāng)是銜接協(xié)調(diào)的。數(shù)據(jù)安全法益識別需要運(yùn)用多種立法參照系加以對比，從而選擇合適的法律規(guī)范予以保護(hù)，盡量避免法律規(guī)范之間的重復(fù)和沖突。從法秩序統(tǒng)一性角度看，數(shù)據(jù)安全法益保護(hù)需要依靠各種法律手段共同發(fā)揮作用，司法機(jī)關(guān)應(yīng)將某種違法犯罪行為放置于整個法律保護(hù)體系之中加以考量，進(jìn)行違法性的層次性判斷，實(shí)現(xiàn)刑民關(guān)系、刑行關(guān)系的銜接協(xié)調(diào)。

注釋：

①參見浙江省杭州市余杭區(qū)人民法院（2017）浙0110刑初664號刑事判決書。

②參見上海市浦東新區(qū)人民法院（2015）浦刑初字第1460號刑事判決書。

③參見北京市海淀區(qū)人民法院（2013）海刑初字第2725號刑事判決書；天津市南開區(qū)人民法院（2017）津0104刑初740號刑事判決書；江蘇省淮安市淮安區(qū)人民法院（2018）蘇0803刑初644號刑事判決書。

④全國首例“‘爬蟲’入刑案”即上海晟品網(wǎng)絡(luò)科技有限公司非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)案，又稱“今日頭條案”。參見北京市海淀區(qū)人民法院（2017）京0108刑初2384號刑事判決書。