劉憲權 石雄

摘要：我國現(xiàn)行刑事立法沒有規(guī)制網(wǎng)絡數(shù)據(jù)犯罪的獨立體系。刑法主要從網(wǎng)絡數(shù)據(jù)所依托的計算機信息系統(tǒng)與所承載的信息內容對網(wǎng)絡數(shù)據(jù)犯罪進行規(guī)制。計算機系統(tǒng)犯罪體系在對網(wǎng)絡數(shù)據(jù)犯罪的規(guī)制上存在較大缺陷。在概念劃定與罪名設置上將“計算機信息系統(tǒng)”與“數(shù)據(jù)”進行雜糅，導致實務中在認定相關罪名中的“數(shù)據(jù)”概念及保護法益時存在困難;對網(wǎng)絡數(shù)據(jù)安全的保護未能覆蓋數(shù)據(jù)安全的全生命周期，導致調整范圍受到限制;未在刑事立法中體現(xiàn)前置法強調的數(shù)據(jù)分類分級保護制度，導致部分條款有違罪刑均衡原則。有必要在立法層面補充獨立的數(shù)據(jù)視角，明確網(wǎng)絡數(shù)據(jù)的外延范圍與網(wǎng)絡數(shù)據(jù)犯罪的保護法益;擴張相關犯罪的行為方式以覆蓋數(shù)據(jù)安全的全生命周期;對相關法條進行糾錯，同時根據(jù)數(shù)據(jù)在經濟社會發(fā)展中的重要程度，以及數(shù)據(jù)安全一旦受到侵害造成的危害程度，建立網(wǎng)絡數(shù)據(jù)安全的分類分級刑法保護機制。

關鍵詞：網(wǎng)絡數(shù)據(jù) 數(shù)據(jù)安全 計算機信息 系統(tǒng)分類 分級保護

一、引言

隨著萬物互聯(lián)的大數(shù)據(jù)時代的到來，數(shù)據(jù)技術的迭代引發(fā)數(shù)據(jù)規(guī)模呈爆炸式增長。網(wǎng)絡數(shù)據(jù)作為新時代的生產要素，其需求與應用日益廣泛，其要素價值的釋放路徑也更加多元。與此同時，網(wǎng)絡數(shù)據(jù)面臨的安全風險也隨之凸顯，暴露出網(wǎng)絡數(shù)據(jù)安全的脆弱性與易受攻擊性。一方面，數(shù)據(jù)應用的復雜性和數(shù)據(jù)分析挖掘的多樣性增加了數(shù)據(jù)權屬管理和抵御安全攻擊的難度;另一方面，越來越多的跨組織間數(shù)據(jù)流通進一步加劇了數(shù)據(jù)被盜用、誤用、濫用的安全風險。①在數(shù)據(jù)違規(guī)收集、數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)濫用等安全事件層出不窮的社會現(xiàn)實下，網(wǎng)絡數(shù)據(jù)犯罪逐步成為網(wǎng)絡犯罪中的重要組成部分。如何應對大數(shù)據(jù)時代下嚴峻的數(shù)據(jù)安全威脅？這顯然是刑法無法忽視的焦點問題。

2021年6月10日我國公布了首部獨立的有關數(shù)據(jù)保護的《數(shù)據(jù)安全法》，標志著我國數(shù)據(jù)保護制度建設里程碑式的進步。該法明確了數(shù)據(jù)的定義，即所謂數(shù)據(jù)是指“任何以電子或其他方法對信息的記錄”。可見，《數(shù)據(jù)安全法》劃定的數(shù)據(jù)的外延范圍幾乎可以涵蓋所有以電子形式、實體形式等各種形式對信息的記載。此前2016年11月7日公布的《網(wǎng)絡安全法》則明確：“網(wǎng)絡數(shù)據(jù)”是指“通過網(wǎng)絡收集、存儲、傳輸、處理和產生的各種電子數(shù)據(jù)”。其中“網(wǎng)絡”是指“由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)”。由此可以看到，網(wǎng)絡數(shù)據(jù)是數(shù)據(jù)下屬網(wǎng)絡數(shù)據(jù)犯罪主要包括以網(wǎng)絡數(shù)據(jù)為犯罪對象的犯罪和以網(wǎng)絡數(shù)據(jù)為犯罪工具的犯罪。前者通常表現(xiàn)為直接以網(wǎng)絡數(shù)據(jù)作為行為的作用對象，意在侵害數(shù)據(jù)保密性（confidentiality）、完整性（integrity）和可用性（availability）的犯罪，是“純正的”網(wǎng)絡數(shù)據(jù)犯罪，可以將其稱之為狹義的網(wǎng)絡數(shù)據(jù)犯罪。后者則通常表現(xiàn)為對網(wǎng)絡數(shù)據(jù)的非法利用，是信息網(wǎng)絡時代催生出的傳統(tǒng)犯罪行為的網(wǎng)絡異化，即原本在傳統(tǒng)現(xiàn)實社會可以通過物理性的實體工具得以實現(xiàn)的行為，在蔓延到網(wǎng)絡虛擬空間后，轉而借助網(wǎng)絡數(shù)據(jù)為載體或工具加以實施。如現(xiàn)下頻發(fā)的刷單炒信行為，正是不法分子利用電商平臺中虛假的銷售數(shù)據(jù)、賣家評價數(shù)據(jù)等進行的虛假廣告、破壞生產經營行為。對于此類以網(wǎng)絡數(shù)據(jù)作為工具或媒介的“不純正”的網(wǎng)絡數(shù)據(jù)犯罪，其侵害的法益同網(wǎng)絡異化前的傳統(tǒng)犯罪無異，通過對傳統(tǒng)刑事法規(guī)進行與時俱進的刑法解釋可以實現(xiàn)其與具體事實行為之間的對接。在司法實踐中通常可以適用《刑法》第287條利用計算機實施犯罪的提示性規(guī)定對相關網(wǎng)絡數(shù)據(jù)犯罪采用傳統(tǒng)犯罪罪名定罪處罰。而“純正的”網(wǎng)絡數(shù)據(jù)犯罪則與之不同，其侵害的數(shù)據(jù)保密性、完整性與可用性是網(wǎng)絡時代獨立于傳統(tǒng)犯罪的新興法益。有鑒于此，以網(wǎng)絡數(shù)據(jù)作為行為對象的網(wǎng)絡數(shù)據(jù)犯罪是本文擬探討的重點。

二、網(wǎng)絡數(shù)據(jù)犯罪的刑事法律規(guī)制現(xiàn)狀

（一）網(wǎng)絡數(shù)據(jù)犯罪的刑事立法規(guī)制現(xiàn)狀

由于網(wǎng)絡數(shù)據(jù)通常依托于計算機信息系統(tǒng)及其相關的網(wǎng)絡設施，我國刑法對網(wǎng)絡數(shù)據(jù)的保護，主要是圍繞著對計算機信息系統(tǒng)犯罪（也稱計算機系統(tǒng)犯罪）的規(guī)制展開的。1997年《刑法》設立了非法侵入計算機信息系統(tǒng)罪與破壞計算機信息系統(tǒng)罪以保護計算機信息系統(tǒng)安全，其中第285條非法侵入計算機信息系統(tǒng)罪主要規(guī)制對國家事務、國防建設以及尖端科學技術領域的計算機信息系統(tǒng)的侵入行為，適用范圍較窄，無法有效打擊實踐中對其他領域計算機信息系統(tǒng)安全的侵害。為此，2009年《刑法修正案（七）》增設了第2款非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪以對第1款進行補充，通過取消對計算機信息系統(tǒng)性質的限制擴大了相關計算機系統(tǒng)犯罪的規(guī)制范圍，重點強調了對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)的保護。同時，《刑法修正案（七）》增設第3款提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪，將提供第1款、第2款犯罪所需程序、軟件的幫助行為在立法上予以正犯化。2015年《刑法修正案（九）》則對前述兩罪增設了有關單位犯罪的規(guī)定?？梢?，1997年《刑法》以來，相關計算機信息系統(tǒng)罪名歷經多次修正，經過立法者的不斷調適，形成了較為完整的梯度式的計算機系統(tǒng)犯罪規(guī)制體系。

當前在計算機系統(tǒng)犯罪體系，用于制裁網(wǎng)絡數(shù)據(jù)犯罪、保護網(wǎng)絡數(shù)據(jù)安全的罪名主要集中于《刑法》第285條第2款非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪以及第286條第2款破壞計算機信息系統(tǒng)罪。前者主要規(guī)范侵入計算機信息系統(tǒng)或者采用其他技術手段，獲取該系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)的行為，懲治對網(wǎng)絡數(shù)據(jù)的非法獲取行為;后者則主要規(guī)范對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作行為，懲治對網(wǎng)絡數(shù)據(jù)的破壞行為。兩罪具有不同的法益保護重點，前罪旨在保障網(wǎng)絡數(shù)據(jù)的保密性，以確保數(shù)據(jù)利益主體對數(shù)據(jù)的排他性獲取、復制、使用與處分等權益③;后罪則重在保障網(wǎng)絡數(shù)據(jù)的完整性與可用性，以確保相關網(wǎng)絡數(shù)據(jù)的內容不被其他主體破壞以及數(shù)據(jù)利益主體可隨時訪問和使用數(shù)據(jù)。兩罪所保護的法益互為補充，基本覆蓋了刑法對網(wǎng)絡數(shù)據(jù)法益的全方面保護。

除此之外，我國刑法對網(wǎng)絡數(shù)據(jù)安全的保護，尤其是對網(wǎng)絡數(shù)據(jù)內容保密性的保護，還主要圍繞著網(wǎng)絡數(shù)據(jù)所承載的具體內容即信息展開進行。我國實際上通過對“計算機信息系統(tǒng)數(shù)據(jù)”作信息化的解釋將數(shù)據(jù)與信息兩者進行有機的結合而非將其割裂開來，以實現(xiàn)對其保護。④信息是作為存在形式的數(shù)據(jù)的實質內容，是以電磁信號為主要形式的、在計算機網(wǎng)絡化系統(tǒng)中進行獲取處理、存儲、傳輸和利用的信息內容。⑤電子數(shù)據(jù)作為計算機信息系統(tǒng)或者網(wǎng)絡系統(tǒng)中的存在形態(tài)，可以表現(xiàn)為文字、聲音、圖像等各種單一或組合的形式，這些各樣的外在表現(xiàn)形式本身只是載體，這些形式載體只有被轉換為文字內容、聲音內容、圖像內容等，也就是信息內容后才具有實質內容上的意義。反之，信息內容也無法脫離載體單獨存在，只有依托于數(shù)據(jù)這一形式載體信息的實質內容才能夠得以體現(xiàn)?？偨Y而言，數(shù)據(jù)和信息是載體和內容、形式和實質的關系。正因為如此，有學者認為，在我國刑法的語境下，保護數(shù)據(jù)即保護信息。⑥事實上，數(shù)據(jù)承載的信息內容通常具有不同的信息屬性，可能涉及國家秘密、商業(yè)秘密、個人隱私等。數(shù)據(jù)的價值，不僅體現(xiàn)在其本身的技術層面，還體現(xiàn)在其具體內容與現(xiàn)實世界受保護法益的聯(lián)系上。⑦相關數(shù)據(jù)所承載的信息內容的性質極大程度上決定了侵害不同數(shù)據(jù)所造成的不同社會危害性，在此意義上侵害相關數(shù)據(jù)安全行為的定性，主要取決于相關數(shù)據(jù)所承載的信息內容的性質。

當相關網(wǎng)絡數(shù)據(jù)所承載的信息內容具有國家秘密（包括軍事秘密）屬性時，侵害網(wǎng)絡數(shù)據(jù)保密性的行為可能構成非法獲取國家秘密罪，為境外竊取、刺探、收買、非法提供國家秘密罪，故意（過失）泄露國家秘密罪，非法獲取軍事秘密罪，為境外竊取、刺探、收買、非法提供軍事秘密罪，故意（過失）泄露軍事秘密罪等罪;當相關網(wǎng)絡數(shù)據(jù)所承載的信息內容具有知識產權屬性時，侵害該類網(wǎng)絡數(shù)據(jù)保密性的行為可能構成侵犯商業(yè)秘密罪或為境外竊取、收買、非法提供商業(yè)秘密罪等罪;當相關網(wǎng)絡數(shù)據(jù)所承載的信息內容具有個人身份屬性時，侵害該類網(wǎng)絡數(shù)據(jù)保密性的行為可能構成侵犯公民個人信息罪等罪。

當前我國刑事立法分別從網(wǎng)絡數(shù)據(jù)所依托的計算機信息系統(tǒng)以及網(wǎng)絡數(shù)據(jù)所承載的信息內容兩個方面實現(xiàn)對網(wǎng)絡數(shù)據(jù)安全的保護。前者主要通過確保計算機信息系統(tǒng)不被侵犯以保護網(wǎng)絡數(shù)據(jù)的保密性、完整性和可用性;后者則主要保護網(wǎng)絡數(shù)據(jù)所承載的信息內容的保密性，本質上是對信息安全的保護。

（二）網(wǎng)絡數(shù)據(jù)犯罪的刑事司法規(guī)制現(xiàn)狀

當前我國司法實踐對“數(shù)據(jù)”的理解較為混亂，尤其是對計算機系統(tǒng)犯罪中“數(shù)據(jù)”的內涵與外延，尚未達成統(tǒng)一。

一方面，相關司法解釋將非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中的“數(shù)據(jù)”限縮為“支付結算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息”以及“其他身份認證信息”⑧，其中前者與“公民個人信息”的下屬概念中的“財產信息”保持一致⑨。而實踐中，從大量的判決書來看，作為該罪犯罪對象的“數(shù)據(jù)”范圍極廣，幾乎涵蓋了一切可在電腦系統(tǒng)中儲存、顯示、獲取的權利客體。⑩采用技術手段入侵計算機信息系統(tǒng)獲取數(shù)據(jù)，最終被判以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的案件中，被認定為該罪對象的“數(shù)據(jù)”的，不僅包括具有財產權益的信用卡信息資料?、蘋果手機 ID 與密碼等身份認證信息等身份認證信息?，還包括淘寶用戶的交易訂單數(shù)據(jù)?、醫(yī)院數(shù)據(jù)庫中的藥品用藥量統(tǒng)計數(shù)據(jù)等身份認證信息以外的電子數(shù)據(jù)??？梢钥吹剑瑢崉罩邢嚓P判決并未完全遵循前述司法解釋對非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中“數(shù)據(jù)”所作的限制性規(guī)定，并不將其局限于身份認證信息類的權限型數(shù)據(jù)內容，而是將身份認證信息以外的其他具有價值的電子數(shù)據(jù)同樣納入該罪的規(guī)制范圍。

另一方面，從破壞計算機信息系統(tǒng)罪該條文的字面含義來看，第2款“對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作”中的“數(shù)據(jù)”似乎泛指一切數(shù)據(jù)，相關司法解釋在該罪的罪數(shù)標準上也并未對“數(shù)據(jù)”的涵義作任何限制?。然而，實務中對破壞計算機信息系統(tǒng)數(shù)據(jù)罪中刪除、修改、增加計算機信息系統(tǒng)中的電子數(shù)據(jù)的操作行為，2017年10月最高人民檢察院發(fā)布的指導性案例第34號與2020年12月最高人民法院發(fā)布的指導案例145號對其中“數(shù)據(jù)”的性質作出了截然不同的理解：前案中，被告人侵入購物網(wǎng)站內部評價系統(tǒng)刪改買家的購物評價，法院認定該行為是對計算機信息系統(tǒng)內存儲數(shù)據(jù)進行刪除、修改操作的行為，應當認定為破壞計算機信息系統(tǒng)的行為;而后案則明確了修改、增加計算機信息系統(tǒng)數(shù)據(jù)，但未造成系統(tǒng)功能實質性破壞或不能正常運行的，不應當認定為破壞計算機信息系統(tǒng)罪。換言之，前案例未對破壞計算機信息系統(tǒng)罪中的“數(shù)據(jù)”性質作任何限定，可以泛指一切計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，后案例則將該罪中“數(shù)據(jù)”限縮為對其刪除、修改、增加會有損于計算機信息系統(tǒng)功能的完整性和系統(tǒng)正常運行狀態(tài)的數(shù)據(jù)。

可以看到，無論是《刑法》第285條第2款旨在保護電子數(shù)據(jù)保密性的非法獲取計算機信息系統(tǒng)罪，還是《刑法》第286條第2款意在保護電子數(shù)據(jù)完整性與可用性的破壞計算機信息系統(tǒng)罪，司法實踐中對其中“數(shù)據(jù)”的理解均尚未達成一致。

三、現(xiàn)行刑法對網(wǎng)絡數(shù)據(jù)犯罪規(guī)制存在的缺陷

（一）“系統(tǒng)”與“數(shù)據(jù)”的雜糅

一方面，同包括歐盟、德國、日本及我國臺灣地區(qū)在內的世界各國、各地區(qū)一樣，我國刑法中的“計算機信息系統(tǒng)”與“數(shù)據(jù)”概念表現(xiàn)出互為定義的關系?。在我國《刑法》以及相關司法解釋的規(guī)定中，計算機信息系統(tǒng)是指具備自動處理數(shù)據(jù)功能的系統(tǒng)，包括計算機、網(wǎng)絡設備、通信設備、自動化控制設備等，?刑法所保護的數(shù)據(jù)則是指計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)。該項規(guī)定從技術意義上來理解數(shù)據(jù)的生成、傳輸和信息顯現(xiàn)，體現(xiàn)了數(shù)據(jù)對計算機、網(wǎng)絡通訊設備等的依附特征，因此《刑法》規(guī)定計算機犯罪在廣義上應當和數(shù)據(jù)犯罪之間具有一定的包容關系。?可以看到，刑法通過對計算機信息系統(tǒng)的范圍進行界定以明確“數(shù)據(jù)”的內涵與外延，同時又將具備“自動處理數(shù)據(jù)功能”的系統(tǒng)認定為計算機信息系統(tǒng)，導致“數(shù)據(jù)”與“計算機信息系統(tǒng)”的范圍無限趨同。

誠然，在建立計算機系統(tǒng)犯罪體系之初，由于信息技術水平的有限性，有價值的數(shù)據(jù)幾乎僅能存在于計算機信息系統(tǒng)上，甚至大部分電子數(shù)據(jù)僅能存在于計算機本身，可以說當時數(shù)據(jù)的外延范圍同計算機信息系統(tǒng)基本是一致的。在此技術背景下，通過計算機信息系統(tǒng)的概念范圍界定數(shù)據(jù)的范圍無可厚非。然而，隨著信息技術的革命與數(shù)據(jù)技術的迭代，與計算機有關的信息系統(tǒng)逐漸脫離計算機本身，而表現(xiàn)為包括移動終端在內的通信設備、自動化控制設備等多樣的系統(tǒng)設備。相關司法解釋為順應信息技術的革新與發(fā)展，在前置法規(guī)《計算機信息系統(tǒng)安全保護條例》的基礎上?，將“計算機信息系統(tǒng)”（即“計算機系統(tǒng)”）擴張解釋為不僅限于計算機本身，包括網(wǎng)絡設備、通信設備、自動化控制設備等在內的一系列系統(tǒng)設備，在極大程度上弱化了傳統(tǒng)計算機的性能特征。此時，“數(shù)據(jù)”的概念也隨之擴張，前述計算機信息系統(tǒng)設備中存儲、處理或者傳輸?shù)臄?shù)據(jù)均屬于我國刑法的數(shù)據(jù)范圍。根據(jù)該項規(guī)定，盡管大部分的網(wǎng)絡數(shù)據(jù)得以被“計算機信息系統(tǒng)中的數(shù)據(jù)”所涵蓋，但在這種“數(shù)據(jù)”概念依附于“系統(tǒng)”概念的計算機系統(tǒng)規(guī)制體系下，“數(shù)據(jù)”這一概念無法脫離“計算機信息系統(tǒng)”的桎梏。事實上，大數(shù)據(jù)背景下的網(wǎng)絡數(shù)據(jù)已經展露出獨立于計算機信息系統(tǒng)的內涵與形式，如網(wǎng)頁瀏覽記錄、下載記錄、關鍵詞搜索記錄等信息數(shù)據(jù)既不屬于系統(tǒng)中從外部采集而輸入系統(tǒng)的數(shù)據(jù)，也不屬于系統(tǒng)運行過程中自行產生的痕跡與記錄數(shù)據(jù)，由于其并未進入系統(tǒng)內部，在本質上無法歸屬于計算機信息系統(tǒng)數(shù)據(jù)的范疇之內;?云技術（包括云存儲與云計算）的提升使數(shù)據(jù)的存儲、數(shù)據(jù)的輸入等均與本地計算機系統(tǒng)相分離21，存儲于云端的網(wǎng)絡數(shù)據(jù)以及大數(shù)據(jù)技術利用傳感器獲取的海量數(shù)據(jù)在存儲與傳輸上不會與系統(tǒng)產生耦合，也因此同樣難以被認定為計算機信息系統(tǒng)中的數(shù)據(jù)，從而表現(xiàn)出刑法的規(guī)制不能。而前述這些獨立于計算機信息系統(tǒng)的數(shù)據(jù)極具價值，與計算機信息系統(tǒng)中的數(shù)據(jù)具有同樣的應受刑法保護的重要地位，對其侵害行為理應納入刑法的規(guī)制范疇。

另一方面，《歐盟網(wǎng)絡犯罪公約》（以下簡稱《公約》）作為全球范圍內第一部針對網(wǎng)絡犯罪所制定的“標桿性”公約，對各締約國的網(wǎng)絡犯罪立法產生了深遠的影響，成為各國網(wǎng)絡犯罪刑事立法的范本。該《公約》將計算機系統(tǒng)（computer system）與計算機數(shù)據(jù)（computer data）分別作為獨立的網(wǎng)絡犯罪的侵害對象，以不同的罪名予以規(guī)制。如《公約》規(guī)定了非法訪問（Illegal access）與非法攔截（Illegal interception），分別規(guī)制非法訪問計算機系統(tǒng)的行為以及非法攔截計算機數(shù)據(jù)的行為;22《公約》還規(guī)定了數(shù)據(jù)干擾（Data interference）和系統(tǒng)干擾（System interference），分別規(guī)制故意毀壞、刪除、損壞、更改、阻止計算機數(shù)據(jù)的行為以及嚴重妨害計算機系統(tǒng)運行的行為。23可以清楚地看到，非法訪問與系統(tǒng)干擾是針對計算機系統(tǒng)實施的犯罪，侵害的是計算機系統(tǒng)安全，其保護法益表現(xiàn)為計算機系統(tǒng)的不被侵入與系統(tǒng)功能的正常運行。盡管系統(tǒng)干擾可能包含對計算機數(shù)據(jù)的刪除、改變等行為，但這僅僅只是作為破壞計算機系統(tǒng)功能的手段方法;非法攔截與數(shù)據(jù)干擾則是針對計算機數(shù)據(jù)實施的犯罪，侵害的是計算機數(shù)據(jù)安全，其保護法益分別表現(xiàn)為計算機數(shù)據(jù)的保密性以及完整性與可用性。

與《公約》所采用的立法方式不同的是，我國《刑法》中的計算機系統(tǒng)犯罪體系并未明確區(qū)分侵害計算機信息系統(tǒng)的犯罪以及侵害網(wǎng)絡數(shù)據(jù)安全的犯罪。我國的計算機系統(tǒng)犯罪體系重在維護計算機信息系統(tǒng)安全，在立法模式上選擇將對網(wǎng)絡數(shù)據(jù)的侵害雜糅進對計算機信息系統(tǒng)的侵害中，進而以同一個罪名進行規(guī)制。比如《刑法》第285條非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪，同時規(guī)制了獲取計算機信息系統(tǒng)中數(shù)據(jù)的行為以及非法控制計算機信息系統(tǒng)的行為;再比如《刑法》第286條破壞計算機信息系統(tǒng)罪第1款規(guī)制的是刪除、修改、增加、干擾計算機信息系統(tǒng)功能，妨害計算機信息系統(tǒng)正常運行的行為，第2款規(guī)制的則似乎是刪除、修改、增加計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序，破壞數(shù)據(jù)完整性與可用性的行為。

由此可見，我國刑法在概念劃定與罪名設定兩方面均將“計算機信息系統(tǒng)”與“數(shù)據(jù)”兩者予以雜糅的立法模式，使刑法中的“數(shù)據(jù)”概念不得不依附于“計算機信息系統(tǒng)”，而無法覆蓋應當被納入刑法保護范圍的所有數(shù)據(jù)的外延;表現(xiàn)出我國刑法計算機系統(tǒng)犯罪體系重系統(tǒng)安全而輕數(shù)據(jù)安全的立法現(xiàn)狀，而未在立法上對網(wǎng)絡數(shù)據(jù)安全的獨立保護予以足夠的重視;也因此直接導致前述司法實踐中對“數(shù)據(jù)”的理解大相徑庭，引起相關計算機信息系統(tǒng)罪名適用上的爭議。

（二）數(shù)據(jù)全生存周期中的規(guī)制空缺

2019年8月30日，我國發(fā)布《信息技術安全數(shù)據(jù)安全能力成熟度模型》作為國家標準，并于2020年3月1日起正式實施。該國家標準明確將數(shù)據(jù)生存周期劃分為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換以及數(shù)據(jù)銷毀六個階段，與六個維度的數(shù)據(jù)安全要求一一對應。24與國家標準中的數(shù)據(jù)處理主要包括數(shù)據(jù)計算分析、數(shù)據(jù)正當使用等不同，我國《數(shù)據(jù)安全法》將“數(shù)據(jù)處理”作廣義理解，明確規(guī)定數(shù)據(jù)處理包含數(shù)據(jù)的收集、存儲、使用（即狹義的數(shù)據(jù)處理）、加工、傳輸、提供、公開等。雖然國家標準與《數(shù)據(jù)安全法》對數(shù)據(jù)生存周期的階段劃分與表述略有不同，但均大致覆蓋了數(shù)據(jù)全生命周期鏈條中的各個環(huán)節(jié)。應當看到，從最初的數(shù)據(jù)采集到最終的數(shù)據(jù)銷毀，其中任何一個階段都存在著數(shù)據(jù)安全的風險。然而，由于數(shù)據(jù)分析與開發(fā)等后續(xù)處理應用行為均始于數(shù)據(jù)收集，個人數(shù)據(jù)的來源合法與否關系到后續(xù)的數(shù)據(jù)流動與利用等環(huán)節(jié)的合法性認定，因此數(shù)據(jù)收集通常是數(shù)據(jù)監(jiān)管部門重點關注的問題，25我國刑法也同樣將規(guī)制重點放在了數(shù)據(jù)采集階段對數(shù)據(jù)的“獲取”型侵犯，而未能覆蓋數(shù)據(jù)的全生命周期，調整的范圍十分有限。

日前引發(fā)廣泛爭議的“摩羯數(shù)據(jù)爬蟲案”就是一起典型的侵犯數(shù)據(jù)存儲安全的案例。被告人杭州摩羯數(shù)據(jù)科技有限公司（以下簡稱“摩羯公司”）主要經營數(shù)據(jù)提供業(yè)務。貸款用戶在向各網(wǎng)絡貸款公司、小型銀行申請貸款時，需在摩羯公司提供的前端插件中輸入其通訊運營商、征信中心等平臺的賬號與密碼。經貸款用戶授權后，摩羯公司通過爬蟲程序代替貸款用戶登錄上述各網(wǎng)站，爬取該用戶的個人信息及多維度信用數(shù)據(jù)并提供給貸款平臺。盡管摩羯公司同貸款用戶事先簽訂《數(shù)據(jù)采集服務協(xié)議》，明確承諾“不會保存用戶賬號密碼，僅在用戶每次單獨授權的情況下采集信息”，但摩羯公司在對數(shù)據(jù)的處理過程中，仍然擅自將其爬取的用戶數(shù)據(jù)在其租用的阿里云服務器上長期留存。杭州市西湖區(qū)人民法院認定摩羯公司以其他方法非法獲取公民個人信息，構成侵犯公民個人信息罪。26

可以看到，該判決在非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪與侵犯公民個人信息罪中選擇了后者，重點關注相關數(shù)據(jù)所承載信息的身份屬性，傾向于保護公民的個人信息安全。在網(wǎng)絡爬蟲行為構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪與侵犯公民個人信息罪的想象競合時，筆者支持以侵犯公民個人信息罪定罪論處。27但該案判決的問題在于其對“獲取”數(shù)據(jù)的理解有失偏頗。摩羯公司對用戶數(shù)據(jù)的抓取需要經過用戶的授權并輸入相關平臺的賬號與密碼，這種技術手段實際上是采用“模擬登錄”的方式，代替用戶本人登錄相關平臺進而獲取其中存儲的數(shù)據(jù)。因此，摩羯公司的“模擬登錄”行為是在取得用戶本人的授權后的有權行為，并不涉及對用戶個人信息安全的侵害。之所以摩羯公司被判以侵犯公民個人信息罪，是因為摩羯公司違反了與用戶的事先約定，擅自將用戶數(shù)據(jù)長期留存。法院裁判的內在邏輯實際上是認為這種對合法獲取的公民個人信息的擅自留存同樣構成刑法上的“非法獲取”。

由于數(shù)據(jù)或信息非有形的存在形態(tài)，對數(shù)據(jù)或信息的獲取行為本質上是“從無到有”（也包括“從明確到不明確”）、“從不知悉到知悉”的過程，而違反約定的留存行為則表現(xiàn)為“知悉”狀態(tài)的不當延續(xù)。雖然兩者都體現(xiàn)了無權享有數(shù)據(jù)或信息內容的主體對該數(shù)據(jù)或信息內容保密狀態(tài)的侵害，但無論是從一般人對“獲取”這一詞義理解的角度，還是從相關法律用語習慣的角度，對數(shù)據(jù)的存儲顯然屬于數(shù)據(jù)獲取后的處理行為，與數(shù)據(jù)的采集分屬不同的環(huán)節(jié)。在此意義上，將留存實質內容為公民個人信息的數(shù)據(jù)的行為認定為“以其他非法方法獲取公民個人信息”進而以侵犯公民個人信息罪定罪處罰實有類推解釋之嫌。

應當看到，在數(shù)據(jù)全生命周期的各個環(huán)節(jié)都可能出現(xiàn)對數(shù)據(jù)安全的侵害，比如在數(shù)據(jù)公開環(huán)節(jié)的不應當公開而擅自公開相關數(shù)據(jù)、數(shù)據(jù)提供環(huán)節(jié)的擅自向他人提供數(shù)據(jù)、數(shù)據(jù)銷毀環(huán)節(jié)的應當對相關數(shù)據(jù)實施銷毀操作而未銷毀等，這些行為同樣構成對數(shù)據(jù)保密性的侵犯，其社會危害性與在數(shù)據(jù)采集環(huán)節(jié)對數(shù)據(jù)安全的“獲取”型侵犯無異，而這些對數(shù)據(jù)安全的侵犯行為尚游離于我國刑法打擊的范圍之外。在我國計算機系統(tǒng)犯罪體系對數(shù)據(jù)安全的保護尚未覆蓋數(shù)據(jù)的完整生命周期、著重于數(shù)據(jù)采集環(huán)節(jié)的立法不周延現(xiàn)狀下，實務部門將“留存”解釋為“獲取”的做法實際上是立法空缺下的無奈之舉。

（三）有悖于數(shù)據(jù)分類分級保護制度與罪責刑相適應原則

《數(shù)據(jù)安全法》第21條明確規(guī)定我國建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數(shù)據(jù)實行分類分級保護。關系到國家安全、國民經濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴格的管理制度。然而，我國刑事立法不僅尚未對數(shù)據(jù)安全的保護采取分類分級模式，甚至根據(jù)《刑法》第285條的規(guī)定，對重要領域的國家核心數(shù)據(jù)的保護力度反而相較其他領域的數(shù)據(jù)更小，違反了罪刑均衡的基本刑法原則。

《刑法》第285條第1款非法侵入計算機信息系統(tǒng)罪旨在保護國家重要領域的計算機信息系統(tǒng)安全不受侵犯，因此該款將犯罪對象限定為國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)。對于這些領域的計算機信息系統(tǒng)，僅實施非法侵入行為即可構成犯罪，并不要求實施進一步的竊密、控制、破壞等行為。而對于該款規(guī)定以外領域的計算機信息系統(tǒng)，僅實施非法侵入行為并不構成犯罪，非法侵入并獲取該計算機信息系統(tǒng)中的數(shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制的，方構成犯罪。應當看到，我國刑法實際上貫徹了對計算機信息系統(tǒng)的分級保護制度，立法者重點考察了侵犯不同性質、不同重要程度的計算機信息系統(tǒng)造成的社會危害性的程度，并以此設置了分級化的條文款項。該款規(guī)定看似重點保護了重要領域的計算機信息系統(tǒng)，但實際上會因沒有將嵌入點選在數(shù)據(jù)訪問權限上，而是錯誤地選擇在儲存有特定數(shù)據(jù)的對應計算機系統(tǒng)上，導致保護體系不夠周延，形成對數(shù)據(jù)和國家法益兩方面保護的缺憾。28

具體而言，對于前述重要領域的計算機信息系統(tǒng)，我國刑法僅規(guī)定了“侵入”這一基本行為，而沒有規(guī)定對特定計算機信息系統(tǒng)中相關數(shù)據(jù)的侵害行為。因此，在現(xiàn)有的刑法條文規(guī)定下，非法侵入重要領域計算機信息系統(tǒng)，并獲取其中數(shù)據(jù)的，只能以第1款的規(guī)定定罪處罰，處3年以下有期徒刑或拘役。因為第2款非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪明確規(guī)定獲取的數(shù)據(jù)所在的計算機信息系統(tǒng)是指“前款（第1款）規(guī)定以外的計算機信息系統(tǒng)”。反之，非法侵入前述重要領域以外領域的計算機信息系統(tǒng)，并獲取其中數(shù)據(jù)的，根據(jù)第2款非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的規(guī)定，可以處3年以上7年以下有期徒刑。如此的規(guī)定不僅忽視了對數(shù)據(jù)安全的分級保護，還顯然有違罪責刑相適應原則。

當然，前述重要領域計算機信息系統(tǒng)中存儲、處理或者傳出的數(shù)據(jù)在信息內容可能具有國家秘密屬性，此時侵入系統(tǒng)獲取數(shù)據(jù)的行為可能構成非法獲取國家秘密罪等，可以在一定程度上規(guī)避《刑法》第285條第1款對采集此類國家核心數(shù)據(jù)行為的不合理規(guī)制。但是，國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)中的數(shù)據(jù)并不當然屬于國家秘密，例如國家事務領域的計算機信息系統(tǒng)中有關非重大決策中的秘密事項29，或是前述重要領域計算機信息系統(tǒng)中有關行政人員名單的非核心數(shù)據(jù)等。也就是說，并非所有侵入該領域計算機信息系統(tǒng)獲取數(shù)據(jù)的行為都能以非法獲取國家秘密罪定罪處罰。僅通過適用國家秘密罪以規(guī)制相關行為并不能完全解決《刑法》第285條第1款與第2款之間不協(xié)調與處罰不均衡的問題。

為解決此問題，有學者認為，第2款“前款規(guī)定以外”并不是真正的構成要件要素，只是表面要素或界限要素，行為人侵入重要領域的計算機信息系統(tǒng)，獲取其中的數(shù)據(jù)，情節(jié)特別嚴重的，應認定為非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。30該學者認為表面的構成要件要素只是為了區(qū)分相關犯罪界限所規(guī)定的要素，不是成立犯罪必須具備的要素。31筆者對此觀點不敢茍同。筆者認為，所有的構成要件要素都具備區(qū)分不同犯罪、區(qū)分同一犯罪的不同處罰標準的功能與作用，不能因為“前款規(guī)定以外”這一要素有效區(qū)分了《刑法》第1款與第2款，就認為其不是真正的構成要件要素。在法條設置具有缺陷的立法現(xiàn)狀下對其進行彌補性的超越刑法規(guī)定的解釋，從而虛設條文中明確規(guī)定的構成要件，著實有違反罪刑法定原則。

四、網(wǎng)絡數(shù)據(jù)犯罪刑法規(guī)制體系的重塑

鑒于我國當前通過計算機系統(tǒng)犯罪體系規(guī)制網(wǎng)絡數(shù)據(jù)犯罪存在以上諸多問題，有必要改變這種間接化的規(guī)范路徑，將網(wǎng)絡數(shù)據(jù)安全作為有別于計算機信息系統(tǒng)安全的獨立法益，在立法上以網(wǎng)絡數(shù)據(jù)安全為出發(fā)點，發(fā)展出直接圍繞網(wǎng)絡數(shù)據(jù)犯罪的刑法規(guī)制體系。

（一）補充獨立的數(shù)據(jù)視角

一方面，隨著數(shù)據(jù)技術的革新，網(wǎng)絡數(shù)據(jù)與物質終端設備的綁定越來越不必要，越來越多的網(wǎng)絡數(shù)據(jù)已經顯現(xiàn)出脫離計算機信息系統(tǒng)的特性。在此背景下，以“計算機信息系統(tǒng)”限定“數(shù)據(jù)”范圍表現(xiàn)出對數(shù)據(jù)的封閉性、靜態(tài)性和從屬性的固守，造成數(shù)據(jù)概念的涵攝內容范圍較窄，無法適應網(wǎng)絡數(shù)據(jù)內容、類型多樣化的特點和要求。32簡言之，“計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)”這一概念表述已經無法涵蓋大數(shù)據(jù)時代網(wǎng)絡數(shù)據(jù)的全部涵義。因此，有必要在立法上摒棄沿用以“計算機信息系統(tǒng)”概念限定“數(shù)據(jù)”概念、視數(shù)據(jù)為計算機信息系統(tǒng)的附屬性行為對象的固定思維，將“數(shù)據(jù)”概念從計算機信息系統(tǒng)上予以剝離。具體而言，可以取消非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中“計算機信息系統(tǒng)中的”這一對數(shù)據(jù)概念的載體性限制，將“計算機信息系統(tǒng)中的數(shù)據(jù)”修正為“網(wǎng)絡數(shù)據(jù)”，修正后的非法獲取網(wǎng)絡數(shù)據(jù)罪可以有效保護大數(shù)據(jù)時代獨立于計算機信息系統(tǒng)的網(wǎng)絡數(shù)據(jù)。與之相應的，相關司法解釋應當適時進行修改，取消將非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中的數(shù)據(jù)限定為“身份認證信息”的相關條款。

另一方面，我國在罪名設置上將“計算機信息系統(tǒng)”與“數(shù)據(jù)”進行雜糅的立法體例未在立法層面體現(xiàn)對網(wǎng)絡數(shù)據(jù)安全獨立保護的重視，導致相關條文的保護法益模糊不清，加劇了司法實務中罪名選擇與適用上的混亂與困難。筆者認為，應當在刑法條文與罪名的設置上補充獨立的數(shù)據(jù)視角，調整以計算機系統(tǒng)罪名規(guī)制侵犯數(shù)據(jù)安全的立法傾向，將侵犯計算機信息系統(tǒng)安全的犯罪與侵犯網(wǎng)絡數(shù)據(jù)安全的犯罪在罪名設置上予以分離，使網(wǎng)絡數(shù)據(jù)安全從計算機信息系統(tǒng)安全中獨立出來。

如前所述，“計算機信息系統(tǒng)”與“數(shù)據(jù)”在罪名設置上的雜糅主要體現(xiàn)在《刑法》第285條第2款非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法控制計算機信息系統(tǒng)罪以及第286條破壞計算機信息系統(tǒng)罪的第1款與第2款。

對于《刑法》第285條的規(guī)定，筆者建議在立法上將非法獲取計算機信息系統(tǒng)罪（經修正的罪名應當是非法獲取網(wǎng)絡數(shù)據(jù)罪）與非法控制計算機信息系統(tǒng)罪進行拆分。前者規(guī)制侵入計算機信息系統(tǒng)或采用其他技術手段，侵害數(shù)據(jù)安全的犯罪行為，后者則規(guī)制對計算機信息系統(tǒng)實施非法控制，侵害計算機信息系統(tǒng)安全的犯罪行為。需要明確的是，侵入計算機信息系統(tǒng)僅是非法獲取網(wǎng)絡數(shù)據(jù)的手段行為之一，換言之，由于該罪所保護的數(shù)據(jù)不再局限于計算機信息系統(tǒng)中的數(shù)據(jù)，因此并不要求采用其他技術手段必須進入計算機信息系統(tǒng)。譬如采用其他技術手段竊取存儲于云端的網(wǎng)絡數(shù)據(jù)、傳感器傳輸過程中的數(shù)據(jù)或者網(wǎng)頁瀏覽記錄、下載記錄、關鍵詞搜索記錄等尚未進入計算機信息系統(tǒng)內部的數(shù)據(jù)的，均可能構成非法獲取網(wǎng)絡數(shù)據(jù)罪。

至于《刑法》第286條有關破壞計算機信息系統(tǒng)罪的規(guī)定，筆者認為，從該罪的立法本意上來看，設立破壞計算機信息系統(tǒng)罪旨在加強對計算機信息系統(tǒng)的管理和保護，保障計算機信息系統(tǒng)功能的正常發(fā)揮，維護計算機信息系統(tǒng)的安全運行，33而并非意在處罰對網(wǎng)絡數(shù)據(jù)安全的侵害行為。從該條三款罪狀的體系協(xié)調性角度出發(fā)，第1款與第3款都明確規(guī)定“造成計算機信息系統(tǒng)不能正常運行”“影響計算機系統(tǒng)正常運行”的，方構成該罪，唯有第2款僅規(guī)定了刪除、修改、增加計算機信息系統(tǒng)中的數(shù)據(jù)和應用程序，“后果嚴重的”。如果將第2款保護的法益理解為計算機信息系統(tǒng)中數(shù)據(jù)和應用程序的完整性，認為只要對數(shù)據(jù)和應用程序進行刪除、修改、增加操作，無需對計算機信息系統(tǒng)本身的運行安全造成侵害即可構成該罪，顯然與該罪的立法目的相悖，也與該條第1款、第3款的規(guī)定不相協(xié)調。在筆者看來，我國《刑法》破壞計算機信息系統(tǒng)罪第2款的規(guī)定實際上同《公約》第5條規(guī)定的“系統(tǒng)干擾”（System interference）類似，將對干擾數(shù)據(jù)作為干擾系統(tǒng)的前置條件，對數(shù)據(jù)或應用程序實施的刪除、修改、增加操作只是破壞計算機信息系統(tǒng)功能、阻礙計算機信息系統(tǒng)正常運行的手段或方式，實質上保護的仍然是計算機信息系統(tǒng)安全。在此意義上，可以說第1款與第2款之間應當是實質與形式的統(tǒng)一關系。34因此，第2款中的“數(shù)據(jù)”不應當泛指一切計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，而理應限縮為“計算機信息系統(tǒng)內部的、側重于信息系統(tǒng)自身維護的、以訪問控制為主要考慮的”35、對其進行操作會有損于計算機信息系統(tǒng)功能完整性和系統(tǒng)本身正常運行狀態(tài)的數(shù)據(jù)。

如前所述，盡管最高人民法院于2020年發(fā)布的指導案例已經對上述觀點進行明確，但由于不同機關發(fā)布的指導案例的要旨截然不同，導致實務中對該款保護法益的理解莫衷一是。問題的根源均在于立法上第2款僅規(guī)定了“數(shù)據(jù)”這一行為對象，而未明確“計算機信息系統(tǒng)”這一結果對象。筆者建議，在立法層面明確破壞計算機信息系統(tǒng)罪三款規(guī)定保護法益的一致性，在刑法條文的表述中采用一致的法益模式，將行為的危害結果落腳于計算機信息系統(tǒng)功能的完整性與正常運行?？梢詫⒌?款的表述修正為“對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作，破壞計算機信息系統(tǒng)功能，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的”。同時，相關司法解釋應當進行同步的修正，對“后果嚴重”的規(guī)定同樣應該立足于計算機信息系統(tǒng)安全本身，將“對二十臺以上計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加操作的”罪數(shù)標準補充修正為“對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)進行刪除、修改、增加操作，造成二十臺以上計算機信息系統(tǒng)不能正常運行的”。

此外，在明確修正后的《刑法》第286條第2款保護的是計算機信息系統(tǒng)安全后，應當額外增設相關罪名以保護網(wǎng)絡數(shù)據(jù)安全的完整性與可用性。筆者認為，可以比照《公約》中的“數(shù)據(jù)干擾”（Data interference）在我國《刑法》中增設“非法刪除、修改、增加網(wǎng)絡數(shù)據(jù)罪”以規(guī)制對網(wǎng)絡數(shù)據(jù)進行刪除、修改、增加操作、侵犯網(wǎng)絡數(shù)據(jù)完整性與可用性的犯罪行為。

（二）覆蓋數(shù)據(jù)安全的全生命周期

結合《信息技術安全數(shù)據(jù)安全能力成熟度模型》與《數(shù)據(jù)安全法》對數(shù)據(jù)生存周期的階段劃分，覆蓋數(shù)據(jù)全生命周期的完整的數(shù)據(jù)動態(tài)過程大體可以概括為數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)提供、數(shù)據(jù)使用、數(shù)據(jù)銷毀等環(huán)節(jié)。當前我國《刑法》對數(shù)據(jù)安全的保護主要集中在數(shù)據(jù)采集階段，對后續(xù)環(huán)節(jié)中出現(xiàn)的侵害數(shù)據(jù)安全的危害行為力有不逮。有必要在立法上補充后續(xù)階段的數(shù)據(jù)犯罪立法，覆蓋數(shù)據(jù)安全的全生命周期，形成對數(shù)據(jù)犯罪鏈條的完成制裁。

分析數(shù)據(jù)生存周期中的各個環(huán)節(jié)可以看到，在數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)銷毀環(huán)節(jié)對數(shù)據(jù)保密性的侵害行為集中表現(xiàn)為無權主體或有權主體超越權限對數(shù)據(jù)的非法知悉與非法持有，具體表現(xiàn)為非法獲取數(shù)據(jù)、不按約定或規(guī)定存儲數(shù)據(jù)、應當銷毀而不及時銷毀數(shù)據(jù)等，譬如前述“摩羯數(shù)據(jù)爬蟲案”中行為人對數(shù)據(jù)的非法留存行為正是不按約定存儲數(shù)據(jù)的具體行為表現(xiàn);在數(shù)據(jù)傳輸、數(shù)據(jù)提供環(huán)節(jié)對數(shù)據(jù)保密性的侵害行為更多地表現(xiàn)為對已持有數(shù)據(jù)的非法泄露，具體表現(xiàn)為擅自公開應當保密的數(shù)據(jù)、向他人出售或提供數(shù)據(jù)等行為;在數(shù)據(jù)使用環(huán)節(jié)對數(shù)據(jù)安全的侵害行為則主要表現(xiàn)為對已持有數(shù)據(jù)的非法濫用，如將合法持有或非法“撞庫”獲取的賬號、密碼等數(shù)據(jù)進行“撞庫”以實現(xiàn)對數(shù)據(jù)的二次獲取，或者在相關平臺上進行登錄對賬戶內容實施非法操作等。

在此基礎上，筆者建議，首先，對于發(fā)生在數(shù)據(jù)存儲、數(shù)據(jù)銷毀環(huán)節(jié)的侵害數(shù)據(jù)保密性的行為，可以將“非法獲取網(wǎng)絡數(shù)據(jù)罪”修正為“非法獲取、持有網(wǎng)絡數(shù)據(jù)罪”，明確將對網(wǎng)絡數(shù)據(jù)的“持有”型行為納入規(guī)制范圍，以規(guī)范無權主體非法持有網(wǎng)絡數(shù)據(jù)、有權主體超越權限非法留存網(wǎng)絡數(shù)據(jù)等行為。其中，非法留存可以指發(fā)生在數(shù)據(jù)存儲環(huán)節(jié)的不應存儲而存儲的行為，也可以指發(fā)生在數(shù)據(jù)銷毀環(huán)節(jié)的應當銷毀而未銷毀的行為。需要明確的是，并非所有發(fā)生在數(shù)據(jù)存儲、數(shù)據(jù)銷毀階段違反約定的不當行為都應當納入刑法的規(guī)制范圍，例如未按約定形式或存儲要求存儲數(shù)據(jù)或未采用約定的形式進行數(shù)據(jù)銷毀操作等行為，這些行為并未對數(shù)據(jù)的保密性造成侵害，因此不具備值得科處刑罰的社會危害性。其次，對于發(fā)生在數(shù)據(jù)傳輸、數(shù)據(jù)提供環(huán)節(jié)的侵害數(shù)據(jù)保密性的行為，可以增設非法提供網(wǎng)絡數(shù)據(jù)罪以規(guī)范向他人出售、提供或擅自公開數(shù)據(jù)等行為。最后，發(fā)生在數(shù)據(jù)使用環(huán)節(jié)的危害數(shù)據(jù)安全的犯罪行為，通常表現(xiàn)為對網(wǎng)絡數(shù)據(jù)的利用，實際上屬于前文所述的以網(wǎng)絡數(shù)據(jù)作為工具或媒介的“不純正”的網(wǎng)絡數(shù)據(jù)犯罪。由于其侵害的法益與網(wǎng)絡異化前的傳統(tǒng)犯罪行為無異，因此無需特別對其作出立法，通過對傳統(tǒng)刑事法規(guī)進行與時俱進的刑法解釋可以實現(xiàn)對相關行為的規(guī)制。并且，如前所述，數(shù)據(jù)和信息之間是載體和內容、形式和實質的辯證統(tǒng)一關系，對網(wǎng)絡數(shù)據(jù)的利用通常是對數(shù)據(jù)所載具體信息內容的使用，應當根據(jù)不同性質的信息內容在后續(xù)下游犯罪中所起的作用與行為人對信息內容的利用手段及方法，以傳統(tǒng)犯罪進行認定。比如，行為人利用非法獲取的支付結算的身份認證信息，盜取賬號內資金的，構成相應的侵財犯罪。

（三）建立網(wǎng)絡數(shù)據(jù)安全的分類分級刑法保護機制

在刑法解釋無法解決條文之間不協(xié)調與處罰不均衡的問題時，有必要適時在立法層面對相關法條進行調整。在對相關法條進行糾錯的同時，刑法應該與前置法對計算機信息系統(tǒng)安全的分級處理要求保持一致36，兼顧《數(shù)據(jù)安全法》明確的數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經濟社會發(fā)展中的重要程度，以及數(shù)據(jù)安全一旦受到侵害造成的危害程度，對關系到國家重大利益的核心數(shù)據(jù)的侵害行為，進行更嚴厲的懲處。具體而言，應當對《刑法》第285條作如下調整：

其一，明確將非法獲取國家重要核心數(shù)據(jù)的行為予以入罪。根據(jù)《數(shù)據(jù)安全法》的規(guī)定，關系國家安全、國民經濟命脈、重要民生、重大公共利益等數(shù)據(jù)均屬于國家核心數(shù)據(jù)，應當實行更加嚴格的管理制度。與此相對應，對這些重要國家核心數(shù)據(jù)的侵犯也應當予以更加嚴厲的懲治。因此，筆者建議將通過侵入計算機信息系統(tǒng)或采用其他技術手段，非法獲取、持有關系國家安全、國民經濟命脈、重要民生、重大公共利益等的國家核心數(shù)據(jù)的行為作為“非法獲取、持有網(wǎng)絡數(shù)據(jù)罪”的加重情形，并為其設置相較現(xiàn)行《刑法》第285條第2款更嚴厲的法定刑規(guī)定，以實行對數(shù)據(jù)安全的分級保護。同時，建議相關司法解釋對于前述修正后的“非法獲取網(wǎng)絡數(shù)據(jù)罪”進行細則性的規(guī)定，根據(jù)不同種類網(wǎng)絡數(shù)據(jù)的性質與特征，通過設置數(shù)據(jù)組數(shù)量的大小實現(xiàn)有層次的罪數(shù)標準，實行對數(shù)據(jù)安全的分類保護。

其二，擴張重要領域計算機信息系統(tǒng)的范圍。有學者主張基于法治國家內涵所要求的平等保護公共財產、私有財產的原則，應當取消非法侵入計算機信息系統(tǒng)罪中有關“國家事務、國防建設、尖端科學技術領域”的限定，將該罪的犯罪客體的歸屬對象擴大為“所有的合法存在的、所有人為防止未經授權的侵入而采取了特別保護措施的計算機信息系統(tǒng)”。37筆者認為，這種對所有領域計算機信息系統(tǒng)施以同等的刑法保護的觀點雖然著重考慮了對計算機信息系統(tǒng)安全的全面保護，卻忽略了對計算機信息系統(tǒng)安全同樣應當實施分級的刑法保護。

不可否認的是，隨著計算機網(wǎng)絡在經濟社會生活中的作用日益凸顯，部分重要領域的計算機信息系統(tǒng)安全問題逐漸顯現(xiàn)，刑法所重點保護的計算機信息系統(tǒng)的領域也應當適時地根據(jù)計算機網(wǎng)絡的實際情況變化加以擴展。相較于我國《計算機信息系統(tǒng)安全保護條例》中明確對國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統(tǒng)安全的重點維護，《刑法》卻未將對經濟建設領域的計算機信息系統(tǒng)的侵犯行為納入重點規(guī)制范圍。事實上，從計算機信息系統(tǒng)重要性的角度，經濟建設領域尤其是金融領域的計算機信息系統(tǒng)的重要性未必低于刑法條文中明確規(guī)定的三種重要領域的計算機信息系統(tǒng)，如中國工商銀行總行密碼數(shù)據(jù)庫所在計算機信息系統(tǒng)的重要性就遠高于屬于國家事務的鄉(xiāng)級政府的電子政務計算機信息系統(tǒng)38。在網(wǎng)絡金融加速崛起的大背景下，金融領域的計算機信息系統(tǒng)集聚了越來越多的社會財富，在經濟建設方面會帶來翻天覆地變化的數(shù)字化貨幣更可能在不遠的將來面世。正因為網(wǎng)絡金融與國民的經濟命脈息息相關，金融領域的計算機信息系統(tǒng)應當成為刑法重點保護的對象。因此，筆者認為，在立法上可以考慮將包括金融領域在內的有關我國重要經濟建設的計算機信息系統(tǒng)納入非法侵入計算機信息系統(tǒng)罪的犯罪對象范圍。

五、結語

在大數(shù)據(jù)時代，傳統(tǒng)社會的人和物都不必以實體方式呈現(xiàn)，而以賬號、信息、數(shù)據(jù)的方式發(fā)生關系，以人和物為中心的社會，變成了以信息與數(shù)據(jù)為中心的社會。39信息社會中產生了除傳統(tǒng)計算機信息系統(tǒng)安全和信息安全以外的新價值形式，即與數(shù)據(jù)的保密性、完整性和可用性相關的新利益。40以網(wǎng)絡數(shù)據(jù)作為犯罪對象進行的犯罪應運而生，直接給新興的數(shù)據(jù)安全法益帶來呈幾何式上升的風險，由此催生出針對數(shù)據(jù)安全進行獨立刑法保護的現(xiàn)實需求。

由于早年互聯(lián)網(wǎng)誕生之初的技術局限性，網(wǎng)絡數(shù)據(jù)通常依托于計算機信息系統(tǒng)及其相關的網(wǎng)絡設施等，我國現(xiàn)行刑法對數(shù)據(jù)安全的保護主要以計算機系統(tǒng)犯罪體系為主要規(guī)制方向。但在當下的大數(shù)據(jù)時代，數(shù)據(jù)的存儲、傳輸、處理設備以及數(shù)據(jù)本身的價值都發(fā)生了改變。我國計算機系統(tǒng)犯罪體系對數(shù)據(jù)安全的保護逐漸力有不逮，顯露出諸多問題：在概念劃定與罪名設置兩方面的將“計算機信息系統(tǒng)”與“網(wǎng)絡數(shù)據(jù)”進行雜糅，導致一部分網(wǎng)絡數(shù)據(jù)處于刑法的真空地帶，同時造成司法實務中對相關罪名中“數(shù)據(jù)”概念及保護法益的認定模糊;將規(guī)制重心置于數(shù)據(jù)采集階段對數(shù)據(jù)的“獲取”型侵犯，而未能覆蓋數(shù)據(jù)的全生命周期，調整的范圍十分有限;在前置法強調數(shù)據(jù)分類分級保護制度的前提下，我國刑法保護尚未對此予以貫徹，甚至部分條款有違罪刑均衡的基本刑法原則。

基于以計算機系統(tǒng)犯罪體系為基礎對數(shù)據(jù)安全的保護存在上述諸多缺陷，有必要在立法上補充獨立的數(shù)據(jù)視角，將“數(shù)據(jù)”概念獨立于“計算機信息系統(tǒng)”概念，使侵害計算機信息系統(tǒng)安全的犯罪與侵害數(shù)據(jù)安全的相分離，同時增設相關罪名以覆蓋數(shù)據(jù)安全的全生命周期，建立網(wǎng)絡數(shù)據(jù)安全的分類分級刑法保護機制。

經調整的計算機系統(tǒng)犯罪體系與重塑的初步的網(wǎng)絡數(shù)據(jù)犯罪體系如下：

一方面，《刑法》第285條第1款非法侵入計算機信息系統(tǒng)罪、第2款非法控制計算機信息系統(tǒng)罪與第286條破壞計算機信息系統(tǒng)罪構成對計算機信息系統(tǒng)安全的全方面保護，明確非法侵入計算機信息系統(tǒng)罪規(guī)制違反國家規(guī)定，侵入國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統(tǒng)的行為;明確破壞計算機信息系統(tǒng)罪規(guī)制第2款規(guī)制違反國家規(guī)定，對計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)和應用程序進行刪除、修改、增加的操作，破壞計算機信息系統(tǒng)功能，造成計算機信息系統(tǒng)不能正常運行，后果嚴重的行為。

另一方面，通過擴張現(xiàn)行《刑法》第285條第1款非法獲取計算機信息系統(tǒng)的行為方式將其修正為非法獲取、持有網(wǎng)絡數(shù)據(jù)罪，分別規(guī)制行為人在數(shù)據(jù)采集環(huán)節(jié)對數(shù)據(jù)的非法獲取行為以及在數(shù)據(jù)存儲、銷毀環(huán)節(jié)對數(shù)據(jù)的非法留存行為;將非法獲取、持有國家重要核心數(shù)據(jù)的行為作為非法獲取、持有網(wǎng)絡數(shù)據(jù)罪的加重情形，并為其設置相較現(xiàn)行《刑法》第285條第2款更嚴厲的法定刑規(guī)定，以實行對數(shù)據(jù)安全的分級保護;增設非法提供網(wǎng)絡數(shù)據(jù)罪以規(guī)制行為人在數(shù)據(jù)傳輸、提供環(huán)節(jié)對向他人出售、提供、擅自公開數(shù)據(jù)等行為;增設非法刪除、修改、增加網(wǎng)絡數(shù)據(jù)罪以規(guī)制行為人對網(wǎng)絡數(shù)據(jù)進行刪除、修改、增加等操作，侵害網(wǎng)絡數(shù)據(jù)完整性與可用性的行為。至此，非法獲取、持有網(wǎng)絡數(shù)據(jù)罪，非法提供網(wǎng)絡數(shù)據(jù)罪，非法刪除、修改、增加網(wǎng)絡數(shù)據(jù)罪三項罪名構成了基本的網(wǎng)絡數(shù)據(jù)安全犯罪的保護罪名。同時，由于網(wǎng)絡數(shù)據(jù)通常兼具形式載體的技術屬性以及承載信息的實質內容屬性，數(shù)據(jù)和信息在一定程度上是同一事物的兩個側面，因此刑法分則中涉及信息犯罪的相關罪名可作為前三項罪名的支撐與輔助，共同構筑完整的網(wǎng)絡數(shù)據(jù)犯罪刑法規(guī)制體系。

Abstract： China's current criminal legislation does not have an independent system to regulate network data crimes. The criminal law mainly regulates network data crimes from the computer system on which the network data depends， and the information content carried by it. The computer system crime system has big flaws in the regulation of network data crime. The "computer system" and "data" are mixed in concept delineation and crime setting， which leads to difficulties in identifying the concept of "data" in related crimes and protecting legal interests in practice; the protection of network data security fails to cover the full life cycle of data security， resulting in limited adjustment scope; the failure to reflect the data categorized and hierarchical protection system emphasized by the pre-law in criminal legislation has led to the violation of the Principle of Commensuration of Crime and Punishment in some clauses. It is necessary to supplement an independent data perspective at the legislative level to clarify the extension of network data and the protection of legal benefits of network data crime; expand the behavior of related crimes to cover the full life cycle of data security; correct errors in relevant clauses， and according to the importance of data in economic and social development， and the degree of harm caused by data security once infringement， establish a categorized and hierarchical criminal protection mechanism for network data security.