數(shù)據(jù)安全法益的參照系與刑法保護模式

2021-01-12 14:13:26張勇

河南社會科學(xué) 2021年5期

張勇

（華東政法大學(xué) 刑事法學(xué)院，上海 200042）

一、問題的提出

近年，隨著我國信息網(wǎng)絡(luò)技術(shù)和數(shù)字經(jīng)濟快速發(fā)展，非法獲取、泄露和濫用信息數(shù)據(jù)的新型犯罪不斷增加，傳統(tǒng)的犯罪類型也借助互聯(lián)網(wǎng)載體不斷發(fā)生變異，不僅侵犯公民個人的信息數(shù)據(jù)權(quán)益，而且對公共利益、社會秩序和國家安全也造成嚴重威脅，呈現(xiàn)擴散放大的負效應(yīng)，數(shù)據(jù)安全從網(wǎng)絡(luò)安全、信息安全的范疇中逐漸凸顯出來。以往我國對信息數(shù)據(jù)安全的法律保障主要通過對計算機信息系統(tǒng)安全運行或?qū)ι虡I(yè)秘密、著作權(quán)益保護加以實現(xiàn)，數(shù)據(jù)安全法益在相關(guān)立法中始終處于附屬和次要的地位。在大數(shù)據(jù)時代，數(shù)據(jù)安全風(fēng)險及其防范問題越來越受到國家立法的重視，法律保護的重心也從網(wǎng)絡(luò)載體、信息內(nèi)容逐步轉(zhuǎn)到數(shù)據(jù)本身，從靜態(tài)的計算機安全到動態(tài)的網(wǎng)絡(luò)運行安全，發(fā)生著質(zhì)的轉(zhuǎn)變。我國《網(wǎng)絡(luò)安全法》于2016年通過、2017年實施，目前正在制定“數(shù)據(jù)安全法”和“個人信息保護法”，這三部法律將是支撐我國信息網(wǎng)絡(luò)和數(shù)據(jù)安全法律保障體系的重要支柱，分別承擔著保護網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)自身安全、個人信息安全的主要職能，彼此之間存在交叉重合關(guān)系。在不同的立法中，數(shù)據(jù)安全法益的地位和具體內(nèi)容是不一樣的，法律保護的重點和制裁手段也不同；同時，這些法律規(guī)定作為刑法中相關(guān)罪名的前置法規(guī)范，也發(fā)揮著重要的定罪功能。

從我國刑事立法來看，從1997年《刑法》對傳統(tǒng)意義上的計算機信息系統(tǒng)安全加以保護，到2009年《刑法修正案（七）》及2011年最高人民法院、最高人民檢察院（以下簡稱“兩高”）《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》（以下簡稱《計算機安全刑案解釋》），再到2015年《刑法修正案（九）》，數(shù)據(jù)安全的刑事法保障也經(jīng)歷了一個從附屬保護到間接保護，再趨向獨立保護的發(fā)展和蛻變過程。在刑事司法領(lǐng)域，近年出現(xiàn)的許多新型網(wǎng)絡(luò)數(shù)據(jù)犯罪的刑事案件，例如全國首例“打碼撞庫案”①“流量劫持案”②以及“網(wǎng)絡(luò)爬蟲”類刑事案件③，對涉罪行為的認定存在侵犯著作權(quán)罪、侵犯公民個人信息罪、非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、破壞計算機信息系統(tǒng)罪等不同罪名適用的爭議。對這些涉及數(shù)據(jù)安全犯罪予以刑法規(guī)制，首先需要對數(shù)據(jù)安全法益進行識別；在法定犯領(lǐng)域，法益識別離不開相關(guān)罪名的前置性行政法律規(guī)范為參照。目前，我國雖然制定實施了不少與數(shù)據(jù)信息有關(guān)的法律、行政法規(guī)以及行業(yè)標準等規(guī)范性文件，但從整體上看，數(shù)據(jù)安全立法尚缺乏系統(tǒng)設(shè)計，對數(shù)據(jù)安全法益缺乏明確界定，各法律法規(guī)相對分散，缺乏有效的銜接與協(xié)調(diào)。在法秩序的統(tǒng)一性的視域內(nèi)，如何以數(shù)據(jù)安全領(lǐng)域相關(guān)立法為參照，對各種涉信息數(shù)據(jù)和網(wǎng)絡(luò)犯罪行為所侵犯的法益性質(zhì)予以識別，在對其罪質(zhì)和罪量合理評價的基礎(chǔ)上，妥當適用數(shù)據(jù)犯罪的具體罪名，并運用刑事、民事和行政法手段，實現(xiàn)數(shù)據(jù)安全法益的體系化保護，有必要加以深入研討。

二、數(shù)據(jù)安全的內(nèi)涵界定與法益屬性

（一）數(shù)據(jù)安全立法中的數(shù)據(jù)安全

首先，應(yīng)當明確數(shù)據(jù)本身的含義，厘清數(shù)據(jù)與信息的關(guān)系。數(shù)據(jù)就是對信息的記錄，包括電子或者非電子形式，兩者可謂是形式與內(nèi)容的關(guān)系。相對于數(shù)據(jù)來說，信息是一個較為寬泛的概念，包括可識別的個人信息和不可識別的匿名化信息，可識別性是區(qū)分個人信息與一般數(shù)據(jù)的本質(zhì)特征?！睹穹ǖ洹返谝磺Я闳臈l對個人信息的“可識別性”予以確認，并明確界分了個人信息與個人隱私之間的關(guān)系。關(guān)于數(shù)據(jù)與信息關(guān)系，學(xué)界存在不同認識，有的將信息與數(shù)據(jù)等同視之，有的則認為信息的內(nèi)涵大于或小于數(shù)據(jù)［1］。信息的本質(zhì)屬性即內(nèi)容層面的可識別性，而數(shù)據(jù)的本質(zhì)屬性是其形式層面的完整性、保密性、可用性?！毒W(wǎng)絡(luò)安全法》第七十六條規(guī)定的“網(wǎng)絡(luò)數(shù)據(jù)”即計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，屬于信息與數(shù)據(jù)的交叉重合部分，即以電子化方式記錄的信息。然而，“網(wǎng)絡(luò)數(shù)據(jù)”并不完全是具有識別性的個人信息，還包括匿名化的信息，其不屬于對外的信息內(nèi)容，不能被人所識別。在計算機網(wǎng)絡(luò)系統(tǒng)之外，信息是以電子以外的其他方式記錄的，也屬于數(shù)據(jù)，但不是“網(wǎng)絡(luò)數(shù)據(jù)”，具體包括以固定形式存在的密碼、情報、商業(yè)秘密等。可見，“數(shù)據(jù)”與“網(wǎng)絡(luò)數(shù)據(jù)”的含義也不能完全等同，前者保護范圍更廣泛，還應(yīng)包括未聯(lián)網(wǎng)的計算機信息系統(tǒng)中存儲、處理與傳輸?shù)臄?shù)據(jù)。

其次，數(shù)據(jù)安全與信息安全、網(wǎng)絡(luò)安全的關(guān)系。一方面，由于數(shù)據(jù)與個人信息之間是形式和內(nèi)容的關(guān)系，數(shù)據(jù)安全與（個人）信息安全存在重疊關(guān)系，如《個人信息保護法（草案二次審議稿）》第十條關(guān)于個人信息處理活動的禁止性規(guī)定，納入了公共安全和國家安全的考量因素。作為一種非傳統(tǒng)安全，數(shù)據(jù)安全的內(nèi)涵除個人數(shù)據(jù)權(quán)益的安全保障之外，還應(yīng)包含有關(guān)數(shù)據(jù)活動的社會利益、公共安全和國家安全。另一方面，根據(jù)《網(wǎng)絡(luò)安全法》第七十六條的規(guī)定，“網(wǎng)絡(luò)安全”的概念除包含保障網(wǎng)絡(luò)穩(wěn)定可靠的運行狀態(tài)之外，還包含保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。根據(jù)《數(shù)據(jù)安全法（草案二次審議稿）》第三條的規(guī)定，“數(shù)據(jù)安全”是指有效保護和合法利用數(shù)據(jù)并使之持續(xù)處于安全狀態(tài)?？梢?，上述條款中的“網(wǎng)絡(luò)安全”與“數(shù)據(jù)安全”也存在交叉重合之處。然而，這里的“數(shù)據(jù)安全”只是狹義上的概念。有學(xué)者將數(shù)據(jù)安全概括為“自身安全”“自主可控”和“宏觀安全”三個層面。其中，“數(shù)據(jù)自身安全”即通過身份認證、訪問控制、數(shù)據(jù)防泄露、業(yè)務(wù)數(shù)據(jù)風(fēng)險管理等技術(shù)和制度，確保數(shù)據(jù)的保密性、完整性、可用性［2］。從廣義角度來看，“數(shù)據(jù)安全”是一個內(nèi)涵層次豐富的概念，在不同立法中具有不同的法益屬性；同一種數(shù)據(jù)行為所涉及的數(shù)據(jù)安全往往不是單一層次的，而是多層次的；數(shù)據(jù)安全的法益保護也具有多元性，由此決定了數(shù)據(jù)安全法益識別判斷的復(fù)雜性。

（二）數(shù)據(jù)安全法益的多元性

在大數(shù)據(jù)時代，隨著數(shù)據(jù)技術(shù)迭代引發(fā)的數(shù)據(jù)規(guī)模的爆炸式增長，數(shù)據(jù)安全的脆弱性與易受攻擊性越發(fā)凸顯。在此背景下，安全和秩序的價值必然成為數(shù)據(jù)安全的法律治理所著重考量的因素，也成為數(shù)據(jù)法益保護的重要內(nèi)容。須指出，從法理角度看，法益與權(quán)利的含義是不同的，法益泛指所有受法律保護的利益，但不一定以權(quán)利的形式固定下來，法定權(quán)利包含在法益之內(nèi)。因此，數(shù)據(jù)法益與數(shù)據(jù)權(quán)利的內(nèi)涵也是有區(qū)別的，除了數(shù)據(jù)權(quán)利，也存在尚未被法律所認可的各種與數(shù)據(jù)有關(guān)的不同主體所擁有的數(shù)據(jù)利益。比較來說，數(shù)據(jù)法益?zhèn)戎赜诒Ｗo社會秩序和公共利益，從正面給予某種數(shù)據(jù)利益以法律保護；數(shù)據(jù)權(quán)利側(cè)重于保護個人權(quán)利自由，從反面強調(diào)權(quán)利行使必須排除他人的非法干預(yù)。當然，立法在強調(diào)數(shù)據(jù)安全和秩序價值的同時，也要顧及數(shù)據(jù)主體的權(quán)利自由的價值，反之亦然。例如，有學(xué)者認為，如果對個人數(shù)據(jù)只給予財產(chǎn)權(quán)的法律保護，大型數(shù)字平臺就有可能在與個人用戶的服務(wù)協(xié)議中增加數(shù)據(jù)財產(chǎn)權(quán)的轉(zhuǎn)讓條款，禁止第三方對數(shù)據(jù)的讀取，這樣就不利于數(shù)據(jù)合理利用和自由流動，可能造成數(shù)據(jù)行業(yè)的壟斷局面，阻礙數(shù)字行業(yè)創(chuàng)新。還有學(xué)者指出，在大數(shù)據(jù)時代，為了平衡個人數(shù)據(jù)生產(chǎn)激勵與個體隱私權(quán)保護的緊張關(guān)系，應(yīng)當區(qū)別敏感個人數(shù)據(jù)和普通個人數(shù)據(jù)，前者的權(quán)屬配置給數(shù)據(jù)主體，后者的權(quán)屬配置給數(shù)據(jù)從業(yè)者和數(shù)據(jù)主體共同共有［3］?；跀?shù)據(jù)安全利益主體的多元性，法律應(yīng)通過制度設(shè)計實現(xiàn)不同價值目標和利益平衡，而不是任由一方壓制另一方從而違背數(shù)據(jù)公平正義的原則。

基于數(shù)據(jù)法益所蘊含的多元價值，數(shù)據(jù)法益可分為集體法益和個人法益。前者包括社會秩序、公共利益和國家安全，法益保護的重心在于安全；后者包括公民個人和社會組織的權(quán)利自由，法益保護的重心在于自由。然而，安全與自由這一對價值范疇并不是截然對立的，安全是自由的底線保障，而自由是安全的終極目標，兩者是既對立又統(tǒng)一的。在數(shù)據(jù)安全領(lǐng)域，如何認識和處理好集體法益和個人法益的關(guān)系，涉及數(shù)據(jù)安全法益的價值和功能定位。關(guān)于集體法益相對于個人法益是否具有獨立保護的價值，學(xué)界存在“一元論”“二元論”和“緩和的一元論”等不同主張［4］?！耙辉摗睂λ^集體法益的獨立屬性持否定態(tài)度，強調(diào)公民個人權(quán)利自由的保障；“二元論”堅持肯定立場；“緩和的一元論”則持折中觀點。目前，多數(shù)學(xué)者更傾向于“緩和的一元論”，這種學(xué)說承認集體法益的概念及其意義，同時認為，它不僅包括個人利益，也包括可還原為個人利益的國家利益與社會利益［5］?！岸摗眲t認為，集體法益并不隸屬于個人法益，其自身是一個整體上不可分的客體，可以被每一個人平等、完整地享有，但是無法被分配或歸屬于個人［6］；對于數(shù)據(jù)法益的不同內(nèi)容應(yīng)當進行識別，以此作為認定侵犯數(shù)據(jù)法益的行為是否定罪的根據(jù)。本文贊同集體法益“二元論”的主張，這種學(xué)說更契合信息時代數(shù)據(jù)安全法益保護的現(xiàn)實需求。首先，“緩和的一元論”雖然強調(diào)個人權(quán)利自由，但過分拉伸了“個人”的概念［7］，將數(shù)據(jù)法益僅僅理解為公民個人權(quán)益，將其作為數(shù)據(jù)安全刑法保護的對象，就難以界分數(shù)據(jù)安全個人法益、社會法益、國家法益的不同層次和屬性，使得相關(guān)罪名的法益失去了犯罪定型的機能。其次，“緩和的一元論”認為，集體法益只有能還原為個人法益時才具有保護的正當性［8］。對此觀點，筆者并不贊同。不可否認，數(shù)據(jù)安全屬于抽象性的集體法益，具有脆弱性、易受攻擊性和不可控制性，存在司法認定上的困難，確實需要通過客觀、具體的個人法益予以衡量；從相關(guān)罪名定罪標準的司法解釋規(guī)定來看，也是以某種數(shù)據(jù)行為對個人權(quán)益造成的實際損害為主要依據(jù)。在很多情況下，數(shù)據(jù)安全作為一種“集體法益”可以被還原為個體的人格或財產(chǎn)權(quán)益，因而也是可感知、可評價、可衡量的。從罪刑法定原則和個人權(quán)利保護的角度看，對數(shù)據(jù)安全的法益保護不能放棄相對明確性的要求［9］，諸如個人的安全感、畏懼感、信賴感等抽象要素，顯然不能歸屬于數(shù)據(jù)安全法益保護的范圍。但問題是，作為集體法益的數(shù)據(jù)安全是否必須能夠還原為個人法益才具有可評價性、可衡量性，才能夠受到法律保護？本文認為，數(shù)據(jù)安全法益不可避免地帶有抽象性，但承認集體法益的抽象性、概括性并不意味著否定其客觀性和獨立保護的必要性，評價和衡量數(shù)據(jù)安全集體法益并不一定要采取這種“法益還原”的方式。換言之，即使數(shù)據(jù)安全法益不能還原為數(shù)據(jù)所蘊含的個人權(quán)利或權(quán)益，也不能因此否定其受法律保護的必要性。況且，僅著眼于個人法益實際受侵害的程度，也難以對數(shù)據(jù)安全法益作出完整的評價。因而，需要留出一定的裁量空間，積極發(fā)揮司法者的主觀能動性，基于社會一般人的評價標準，對涉及公共安全和國家安全、抽象概括的法益內(nèi)容進行具體判斷。國家司法機關(guān)不一定要制定出有關(guān)罪名適用的定量化、規(guī)范化定罪量刑標準，也可以通過發(fā)布指導(dǎo)性案例的方式提供具體參照，這應(yīng)當說也是切實可行的。

（三）數(shù)據(jù)安全法益的層次性

一般來說，刑法對某種法益的保護是以法益實際受到的侵害或者存在被侵害的危險為前提的。就數(shù)據(jù)安全法益來說，刑法首要保護的是數(shù)據(jù)利益主體對數(shù)據(jù)的排他性復(fù)制、使用與處分權(quán)益。數(shù)據(jù)安全法益主要是指數(shù)據(jù)與主體關(guān)系的穩(wěn)定性，包括主體對數(shù)據(jù)控制狀態(tài)、占有狀態(tài)、利用狀態(tài)的穩(wěn)定以及數(shù)據(jù)不被其他主體竊取、篡改、使用、破壞狀態(tài)的穩(wěn)定。然而，在數(shù)據(jù)的流動和使用過程中，初始權(quán)利主體逐漸不再擁有對個人數(shù)據(jù)的完全控制權(quán)，數(shù)據(jù)利益主體呈現(xiàn)多元化趨勢，從數(shù)據(jù)權(quán)利主體擴展至數(shù)據(jù)的收集者、使用者及處理者。數(shù)據(jù)安全法益越來越多地呈現(xiàn)出社會公共性，數(shù)據(jù)安全的利益譜系也具有個人安全、公共安全和國家安全不同層面［10］。對數(shù)據(jù)的非法獲取、破壞和濫用行為不但會對個體權(quán)益造成嚴重侵害，還會對公共利益、社會秩序和國家安全造成實際侵害或危險。公民個人雖可以利用信息網(wǎng)絡(luò)技術(shù)手段實施違法犯罪行為，但卻無力對數(shù)據(jù)安全進行維護，無法承擔信息網(wǎng)絡(luò)安全保護義務(wù)，二者只有依賴社會集體的共同協(xié)作才能得以實現(xiàn)。因此，數(shù)據(jù)的公共安全、社會秩序和國家安全必然成為公法保護首要考量的價值目標，而個人數(shù)據(jù)權(quán)利或權(quán)益則更多地在私法領(lǐng)域中加以保護。

從刑法角度來看，不是所有的數(shù)據(jù)法益都是值得保護的，這是由刑法作為后盾法、保障法的體系地位所決定的。某種數(shù)據(jù)只有經(jīng)過以數(shù)據(jù)安全為核心的法益識別和利益衡量之后，才能被視為刑法所必須保護的法益。首先，刑法對數(shù)據(jù)風(fēng)險的識別是將數(shù)據(jù)安全法益規(guī)范化、明確化的過程，其意義在于，對某種數(shù)據(jù)處理行為對數(shù)據(jù)安全所造成的實質(zhì)侵害或危險進行評價，確定是否有必要追究刑事責(zé)任以及刑事責(zé)任大小。刑法中數(shù)據(jù)安全的法益識別包括兩層含義：一是判斷某種數(shù)據(jù)所承載的利益是否能夠上升為刑法法益；二是確認數(shù)據(jù)行為所侵犯的權(quán)利或利益是何種法益。其次，刑法作為制裁措施最為嚴厲的部門法，不可能將所有危害社會的行為均納入規(guī)制范圍，也不會將所有利益因素均納入保護范圍，而是在法益識別和篩選方面更加嚴格，經(jīng)過利益衡量后確定值得刑法保護的法益類型。對相關(guān)罪名的認定，需要以最重要的數(shù)據(jù)法益保護內(nèi)容為核心，對其構(gòu)成要件進行解釋，在罪刑法定的框架下加以利益衡量［11］。從總體國家安全觀的角度看，數(shù)據(jù)的公共安全、國家安全無疑更為重要，具有優(yōu)先的法益地位。然而，在涉及數(shù)據(jù)法益的個人、社會和國家安全之間發(fā)生利益沖突的時候，也不能因為過于強調(diào)國家和社會公共法益而輕視甚至舍棄對個人安全法益的保護，而應(yīng)當兼顧兩者之間的平衡。

三、數(shù)據(jù)安全法益識別的立法參照系

（一）數(shù)據(jù)安全法益識別與參照系的價值

根據(jù)風(fēng)險管理的一般理論，風(fēng)險識別是國家政府和社會組織進行風(fēng)險管理的基礎(chǔ)，從社會治理角度看，通過規(guī)范化的法律手段，可以有效提升治理效果，規(guī)制和防范公共安全風(fēng)險。在大數(shù)據(jù)時代，“數(shù)據(jù)風(fēng)險”成為新型的社會風(fēng)險因素，具有高頻度、可變性和不可預(yù)見性，呈現(xiàn)“法益侵害風(fēng)險社會化”的趨向［12］。從數(shù)據(jù)處理活動的動態(tài)過程上看，在數(shù)據(jù)收集、處理和使用的各個階段均存在數(shù)據(jù)安全遭受侵害的風(fēng)險，以已知或未知的形式在整個社會層面造成嚴重威脅和實際危害。從數(shù)據(jù)安全風(fēng)險防控的角度看，需要經(jīng)過數(shù)據(jù)安全的風(fēng)險識別，根據(jù)相關(guān)法律法規(guī)，確認某種數(shù)據(jù)所蘊含的法益性質(zhì)；而數(shù)據(jù)安全的法益識別，離不開一定的法律規(guī)范作為參照系，以下予以詳析。

其一，數(shù)據(jù)安全法益識別及其路徑。數(shù)據(jù)安全法益識別，即以數(shù)據(jù)安全為核心，明確某種數(shù)據(jù)安全法益的保護范圍與程度，促進實現(xiàn)不同數(shù)據(jù)利益之間的平衡關(guān)系。主要有立法和司法兩種途徑：（1）立法層面，通過制定法律確認個人、企業(yè)、國家的數(shù)據(jù)利益，以及在不同法律法規(guī)中數(shù)據(jù)安全的法益地位，使數(shù)據(jù)安全法益保持應(yīng)有的獨立屬性。《數(shù)據(jù)安全法（草案二次審議稿）》第四章規(guī)定了數(shù)據(jù)安全保護義務(wù)，其中第三十一條規(guī)定，“任何組織、個人收集數(shù)據(jù)，應(yīng)當采取合法、正當?shù)姆绞剑坏酶`取或者以其他非法方式獲取數(shù)據(jù)”。在數(shù)據(jù)安全法益的立法識別中，應(yīng)當充分發(fā)揮數(shù)據(jù)安全法律領(lǐng)域的基本法作用，防止與其他法律法規(guī)之間出現(xiàn)內(nèi)容重復(fù)或產(chǎn)生沖突，避免孤立地考量數(shù)據(jù)安全法益作為新興法益的特殊性，而否定傳統(tǒng)法律保護手段在數(shù)據(jù)領(lǐng)域的適用［13］。（2）司法層面，通過有關(guān)信息數(shù)據(jù)保護法律法規(guī)的司法適用，檢驗和甄別數(shù)據(jù)安全法益保護的合理性和妥適性。在私法實踐中，數(shù)據(jù)安全的法益識別及其法律適用是運用民法、行政法和刑法等不同法律法規(guī)完成的。一般來說，有關(guān)數(shù)據(jù)個人用戶知情同意等人格權(quán)利與數(shù)據(jù)財產(chǎn)權(quán)益保護，應(yīng)當適用民法、消費者權(quán)益保護法等私法領(lǐng)域的法律規(guī)定；涉及數(shù)據(jù)處理者及數(shù)據(jù)管理機構(gòu)的安全保護義務(wù)的，可適用有關(guān)行政法規(guī)，對于相關(guān)責(zé)任人員或單位的行政違法行為予以行政處罰。以上不同法律法規(guī)的適用，有利于充分發(fā)揮不同法律手段的規(guī)制和預(yù)防功能，體現(xiàn)不同的立法價值目標，共同實現(xiàn)對數(shù)據(jù)安全法益等級化、層次化的保護，形成數(shù)據(jù)安全風(fēng)險防控法律體系。

其二，數(shù)據(jù)法益識別中參照系的價值。參照系又稱參照物，屬于物理學(xué)概念，即為確定研究對象的位置和描述其運動而選作標準的另一物體。從不同的參照系來看，同一物體的運動狀態(tài)是不同的。同世界萬物一樣，任何法律規(guī)范都是普遍聯(lián)系的，也是不斷運動變化的，參照系可被看作一種法學(xué)論證方法加以運用［14］。研究某一種法律，必須以其為質(zhì)點，選取另一種法律作為參照系，將其固定下來進行對照；或者選擇不同的法律作為參照系，從不同角度進行對比。同時，還需要參照該法律在其產(chǎn)生發(fā)展的不同階段的立法變化，從而更準確、更深刻地認識和理解作為質(zhì)點的法律的本質(zhì)內(nèi)容。因此，對于數(shù)據(jù)安全的法益識別也有必要運用參照系的論證方法，以數(shù)據(jù)安全相關(guān)立法作為參照，對某種數(shù)據(jù)對象或數(shù)據(jù)處理行為所蘊含的法益性質(zhì)及其對于數(shù)據(jù)安全的重要程度進行認識判斷。如前所述，數(shù)據(jù)安全作為一種集體法益，相對于個人法益來說，其本身具有獨立保護的價值；同時，數(shù)據(jù)安全也包含著個人法益內(nèi)容，因而又具有一定的從屬性。數(shù)據(jù)安全法益雖有獨立保護的必要，但對其中的個人法益進行識別也需要參照與個人信息權(quán)利保護有關(guān)的法律規(guī)范；更何況，數(shù)據(jù)安全的集體法益具有抽象性、模糊性，對其進行法益識別更離不開相關(guān)法規(guī)范為參照。數(shù)據(jù)安全法益包括個人法益、公共法益、國家法益三個層次，對某種具體的數(shù)據(jù)法益來說，從個人權(quán)利到社會秩序、公共利益乃至國家安全，往往具有不同層次的內(nèi)涵，法律保護的重點也不同。對某種數(shù)據(jù)對象或數(shù)據(jù)行為進行法益識別，首先要選擇其所對應(yīng)的法律規(guī)范作為參照系，在此基礎(chǔ)上，再確定法律所要重點保護的法益內(nèi)容和層次，這是正確適用相關(guān)罪名予以刑法規(guī)制的前提。

（二）不同立法參照系的功能區(qū)分與互補

在我國數(shù)據(jù)安全立法中，已頒布施行的《網(wǎng)絡(luò)安全法》和正在制定中的“數(shù)據(jù)安全法”“個人信息保護法”屬于基礎(chǔ)性法律，三者之間存在交叉重合關(guān)系，都可以將“數(shù)據(jù)”“個人信息”或“網(wǎng)絡(luò)數(shù)據(jù)”作為調(diào)整對象。數(shù)據(jù)安全往往也意味著信息安全、網(wǎng)絡(luò)安全，可以受到上述法律法規(guī)以及《國家安全法》《保守國家秘密法》《密碼法》等法律的保護。在不同的立法參照系下，法益保護的重點也不同，對于數(shù)據(jù)安全保護重要性的認識是存在差別的。例如，在“個人信息保護法”中，個人信息權(quán)益（如知情權(quán)、同意權(quán)）被作為重點保護的法益，但其在“數(shù)據(jù)安全法”、《網(wǎng)絡(luò)安全法》中居于次要的法益地位，后者雖有涉及，但重點保護的是數(shù)據(jù)自身安全和網(wǎng)絡(luò)系統(tǒng)運行的安全性。因此，在對某種數(shù)據(jù)法益進行識別時，選擇何種立法作為參照系顯得十分關(guān)鍵。

在數(shù)據(jù)安全法益識別方面，“數(shù)據(jù)安全法”“個人信息保護法”與《網(wǎng)絡(luò)安全法》作為立法參照系，既存在功能的差異性，同時也有一定的互補性。首先，如前所述，“數(shù)據(jù)安全法”中的數(shù)據(jù)安全與《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)安全存在較大的內(nèi)涵重合，法律保護的“數(shù)據(jù)”對象范圍較大，不僅包括線上的“網(wǎng)絡(luò)數(shù)據(jù)”，也涵蓋了線下的電子數(shù)據(jù)，但不包括非電子數(shù)據(jù)。這也決定了這兩部法律保護的重心存在差異，作為參照系的法益識別功能也不同。為了避免兩者不當交叉，并發(fā)揮互補效應(yīng)，應(yīng)對兩者的調(diào)整對象范圍予以界分。其次，“個人信息保護法”保護的重點是個人信息安全，即在個人信息處理中如何避免受到非法收集、濫用和泄露等不法侵害。而“數(shù)據(jù)安全法”的出臺，旨在重點保護信息載體即數(shù)據(jù)的處理活動，它與“個人信息保護法”的立法出發(fā)點和法益保護重點不同。同時，兩者也不是截然分離的。因為兩部法律所規(guī)制的對象——信息和數(shù)據(jù)——其實是一種事物的兩個側(cè)面，對“個人信息保護法”中個人信息法益的理解可援引“數(shù)據(jù)安全法”中的相關(guān)規(guī)定，反之亦然。再次，在上述法律法規(guī)中，個人信息（數(shù)據(jù)）、網(wǎng)絡(luò)數(shù)據(jù)（信息）是就不同層面而言的，所調(diào)整的對象具有重合性。這就決定了對數(shù)據(jù)安全法益識別，不可能只依賴其中一部法律作為參照系，或者說，數(shù)據(jù)安全法益識別并不排斥選擇多種參照系。從法秩序統(tǒng)一性角度看，在對某種數(shù)據(jù)（信息）處理活動所涉及的法益識別過程中，應(yīng)當將不同的立法參照系都納入視野范圍，加以對比和衡量，根據(jù)法益保護內(nèi)容的重要性程度，選擇其中一部法律法規(guī)作為主要參照系，其他相關(guān)法律法規(guī)及行業(yè)規(guī)范則作為補充。不同的立法參照系之間也可以相互援引，并加以體系解釋，以使數(shù)據(jù)法益識別和判斷的結(jié)論得到更好的印證。例如，對于侵犯公民個人信息罪中“違反國家有關(guān)規(guī)定”的界定，可以結(jié)合《網(wǎng)絡(luò)安全法》第四十一條的規(guī)定予以理解和把握。根據(jù)該條規(guī)定，“非法獲取公民個人信息”的“非法性”除違反法律法規(guī)之外也包括“違反雙方約定”。實踐中，如果網(wǎng)絡(luò)平臺經(jīng)營者收集用戶個人信息的行為違反了法律法規(guī)或雙方約定，都可認定為“非法獲取”行為，從而成為侵犯公民個人信息罪的客觀行為構(gòu)成要件，這更有利于個人信息主體知情同意權(quán)的行使和個人數(shù)據(jù)安全的法益保障。

（三）數(shù)據(jù)安全刑事立法的參照系問題

1.數(shù)據(jù)犯罪內(nèi)涵的立法比較

在國外，許多國家刑事立法對數(shù)據(jù)安全的保護都是從針對計算機信息系統(tǒng)實施的非法侵入、破壞、控制等犯罪行為開始的，計算機信息系統(tǒng)安全具體包括計算機數(shù)據(jù)、計算機系統(tǒng)及計算機本身的安全。如，美國1986年《計算機欺詐與濫用法》盡管多以信息為保護對象，但并沒有忽視對數(shù)據(jù)資料以及代碼指令等計算機信息系統(tǒng)數(shù)據(jù)的保護。在《德國刑法典》以及《德國刑法第41次修正案》中，計算機網(wǎng)絡(luò)犯罪罪名體系的核心概念便是數(shù)據(jù)，主要包括探知數(shù)據(jù)罪、變更數(shù)據(jù)罪和破壞計算機罪、截取數(shù)據(jù)罪、探知數(shù)據(jù)和截取數(shù)據(jù)的預(yù)備等罪名［15］。日本1987年修正刑法典明確界定了“電磁記錄”的含義，即以電子方式、電磁方式以及其他不被人感知的方法制作的電子計算機處理信息使用的記錄，與我國的電磁數(shù)據(jù)、電子數(shù)據(jù)等概念所指涉范圍基本相同［16］。須指出，上述國家大多是《網(wǎng)絡(luò)犯罪公約》的締約國，其國內(nèi)立法受到該國際公約的重要影響?！毒W(wǎng)絡(luò)犯罪公約》規(guī)定了9種網(wǎng)絡(luò)犯罪行為，如違法接觸、違法攔截、數(shù)據(jù)干擾、系統(tǒng)干擾、裝置濫用等，也都是以計算機信息系統(tǒng)安全為核心，或者說，是以計算機系統(tǒng)安全為參照系對數(shù)據(jù)犯罪予以刑法規(guī)制。

在我國，刑法中的“數(shù)據(jù)犯罪”有廣義和狹義之分。本文中的“數(shù)據(jù)犯罪”是從狹義層面來理解的，即在計算機信息系統(tǒng)內(nèi)以“數(shù)據(jù)”為對象，非法獲取或刪改網(wǎng)絡(luò)數(shù)據(jù)，危害數(shù)據(jù)安全的行為。具體包括《刑法》第二百八十五條第二款、第二百八十六條第二款規(guī)定的兩種犯罪類型：非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪和破壞計算機信息系統(tǒng)罪（非法刪除、修改、增加計算機信息系統(tǒng)數(shù)據(jù)）。前者為獲取型數(shù)據(jù)犯罪，后者為破壞型數(shù)據(jù)犯罪。從法益性質(zhì)來看，上述罪名以數(shù)據(jù)安全為核心，即以數(shù)據(jù)的保密性、完整性和可用性為法益內(nèi)容，因而，也可稱之為“數(shù)據(jù)安全犯罪”。從廣義角度看，“數(shù)據(jù)犯罪”則包括所有以數(shù)據(jù)為對象、載體或工具，侵犯公民個人權(quán)益、社會秩序或公共利益、國家安全的犯罪。廣義上的數(shù)據(jù)安全其實早已被我國刑法確立為保護法益，而非一種“新型法益”。與數(shù)據(jù)安全保護相關(guān)的罪名明顯不限于上述狹義的數(shù)據(jù)犯罪，有的罪名是將數(shù)據(jù)作為個人信息加以保護，有的罪名則是將數(shù)據(jù)作為計算機信息系統(tǒng)的內(nèi)在組成部分加以保護［17］。不同罪名的法益性質(zhì)不同，保護重心也不同，相互之間也存在重合和交織，這些罪名均具有公共安全法益的共同屬性。在數(shù)據(jù)安全法益的界域內(nèi)，狹義的數(shù)據(jù)犯罪罪名與侵犯公民個人信息罪以及其他信息網(wǎng)絡(luò)犯罪的關(guān)聯(lián)罪名一起構(gòu)成數(shù)據(jù)安全保護的罪名體系。

2.數(shù)據(jù)安全刑事立法的參照系

在信息時代，數(shù)據(jù)犯罪手段日趨技術(shù)化、復(fù)雜化，如拖庫撞庫、數(shù)據(jù)攔截、木馬植入、網(wǎng)絡(luò)爬蟲等，這種技術(shù)范式的轉(zhuǎn)變必然要求刑法規(guī)范層面加以應(yīng)對。我國數(shù)據(jù)安全法律保護從整體上經(jīng)歷了一個從靜態(tài)保護到動態(tài)保護的發(fā)展變化過程，數(shù)據(jù)安全立法的發(fā)展變化影響著刑事立法和司法。對某種數(shù)據(jù)犯罪行為所侵犯法益的刑法認定，離不開以相應(yīng)的前置性法律規(guī)范為參照，其可作為罪質(zhì)界定和罪量評價的依據(jù)。數(shù)據(jù)犯罪屬于典型的法定犯，確定《刑法》第二百八十五條第二款與第二百八十六條第二款中“違反國家規(guī)定”的前置法，是選擇數(shù)據(jù)安全法益識別立法參照系的關(guān)鍵。

在數(shù)據(jù)犯罪的不同罪名中，數(shù)據(jù)安全法益往往屬于復(fù)雜客體，對計算機信息系統(tǒng)安全、公民個人信息安全到數(shù)據(jù)自身安全的保護重點也存在差別。從我國刑事立法發(fā)展來看：首先，《刑法》第二百八十五條第一款、第二百八十六條規(guī)定的非法侵入計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪中，法益保護的重點均為計算機信息系統(tǒng)，而非信息數(shù)據(jù)的自身安全，刑法并沒有對網(wǎng)絡(luò)數(shù)據(jù)法益保護的獨立性予以足夠重視。其次，《刑法修正案（七）》在第二百八十五條增設(shè)非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法控制計算機信息系統(tǒng)罪，提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪，將適用對象范圍限定于“身份認證信息”，與侵犯公民個人信息罪中的“公民個人信息”對象范圍產(chǎn)生了一定的交叉重合，實踐中為司法機關(guān)帶來定罪上的困難。上述數(shù)據(jù)犯罪行為所侵害的法益并非僅僅是技術(shù)層面的網(wǎng)絡(luò)系統(tǒng)安全，而是作為信息載體的數(shù)據(jù)安全。然而，刑事立法對上述罪名及其構(gòu)成要件的表述依然沿用了過去傳統(tǒng)意義上的“計算機信息系統(tǒng)數(shù)據(jù)”的概念，不恰當?shù)叵蘅s了數(shù)據(jù)犯罪的適用對象范圍，顯然無法適應(yīng)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容、類型多樣化的特點和要求。再次，《計算機安全刑案解釋》首次使用了“計算機系統(tǒng)”的術(shù)語，與“計算機信息系統(tǒng)”相區(qū)分，并將幾乎所有與計算機相關(guān)聯(lián)的網(wǎng)絡(luò)終端設(shè)備都擴張解釋為計算機信息系統(tǒng)。然而，該解釋始終未區(qū)分數(shù)據(jù)的對象功能和媒介、工具功能，未能結(jié)合獨立的數(shù)據(jù)安全法益來加以說明，“數(shù)據(jù)犯罪”最終為傳統(tǒng)的計算機安全犯罪所遮蔽，這顯然是不合理的，可能導(dǎo)致數(shù)據(jù)犯罪罪名的濫用，使得數(shù)據(jù)犯罪的兩個罪名都有成為“口袋罪”的趨勢，有過度擴大解釋之嫌［18］。實踐中，如果將出售破解版電視機頂盒、開發(fā)軟件插件、利用加粉軟件強制加粉等行為也認定為非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，顯然是不適當?shù)摹Ｗ詈?，《刑法修正案（九）》將侵害個人信息的兩個原有罪名合并為侵犯公民個人信息罪，通過修改并擴大犯罪主體構(gòu)成要件范圍、加檔提升法定刑加大了處罰力度。同時，2017年“兩高”出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑案解釋》）進一步界定了“公民個人信息”的對象范圍。然而，應(yīng)當看到，《刑法修正案（九）》仍未明確數(shù)據(jù)的法定內(nèi)涵，未將其與個人信息予以界分，也未對數(shù)據(jù)安全法益予以獨立保護，而是將數(shù)據(jù)雜糅進侵犯公民個人信息罪的適用對象范圍，對涉信息數(shù)據(jù)犯罪行為予以模糊化處理，這也導(dǎo)致司法實踐中因法益性質(zhì)界定不清而使罪名適用產(chǎn)生偏差。

綜上所述，目前我國數(shù)據(jù)犯罪的刑事立法在觀念和規(guī)范層面仍然存在不足。刑事司法解釋的相關(guān)規(guī)定也偏重于對信息網(wǎng)絡(luò)安全的保護，以“計算機信息系統(tǒng)安全”為中心，通過擴大解釋其內(nèi)涵，實現(xiàn)對數(shù)據(jù)犯罪的刑法規(guī)制。然而，以“計算機信息系統(tǒng)安全”來表述數(shù)據(jù)安全的法益性質(zhì)和內(nèi)容，并不符合信息時代數(shù)據(jù)犯罪的本質(zhì)屬性，實踐中也會導(dǎo)致數(shù)據(jù)犯罪與其他計算機犯罪難以區(qū)分；同時，由于相關(guān)罪名的量刑標準存在差異，罪名適用不當也會帶來處刑畸輕畸重的問題。在現(xiàn)有的刑事立法背景下，如何合理運用司法解釋方法，準確界定某種數(shù)據(jù)行為所侵犯的重點法益，找到與之相應(yīng)的前置性法律規(guī)范，作為評價該行為是否定罪、應(yīng)定何罪的參照系，顯得尤為重要。

四、數(shù)據(jù)安全刑法規(guī)制的參照系功能及適用

（一）基于數(shù)據(jù)安全法益識別的數(shù)據(jù)犯罪認定

我國刑事立法采取“定性+定量”模式，認定犯罪首先是罪質(zhì)的判斷，同時也離不開罪量的評價。確定數(shù)據(jù)犯罪的入罪門檻，關(guān)鍵在于對法益性質(zhì)的界定。以相關(guān)前置法規(guī)范為參照系進行法益識別，判斷數(shù)據(jù)犯罪對象所反映的客體性質(zhì)、客體所遭受的侵害程度，明確其對數(shù)據(jù)安全的重要程度，對犯罪行為的罪質(zhì)和罪量予以評價，決定是否適用數(shù)據(jù)犯罪的罪名。

1.數(shù)據(jù)犯罪的罪質(zhì)界定及參照系

在現(xiàn)有刑法規(guī)定的基礎(chǔ)上，對數(shù)據(jù)犯罪中數(shù)據(jù)本身的性質(zhì)和內(nèi)容、數(shù)據(jù)使用價值的大小、數(shù)據(jù)安全權(quán)益可能遭受的侵害風(fēng)險及刑法保護的必要性進行規(guī)范評價，從而更合理地解釋數(shù)據(jù)犯罪的構(gòu)成要件，是十分重要的。以下對狹義上數(shù)據(jù)犯罪的兩個具體罪名的罪質(zhì)認定加以研討：

首先，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的罪質(zhì)界定。關(guān)于此罪的法益性質(zhì)，學(xué)界存在不同認識。持“單一法益說”的學(xué)者認為，此罪名的保護法益或者說犯罪客體是單個的，具體表述不盡一致，如“計算機信息系統(tǒng)安全”“計算機信息系統(tǒng)運行安全”“信息安全”“數(shù)據(jù)傳輸?shù)乃矫苄浴钡?。持“?fù)合法益說”的學(xué)者認為，此罪名的保護法益是復(fù)合性的，有的將其表述為“數(shù)據(jù)安全與系統(tǒng)功能法益”［19］，有的將其表述為計算機信息系統(tǒng)的管理秩序、運行秩序及系統(tǒng)內(nèi)存儲、處理或傳輸?shù)臄?shù)據(jù)的安全等［20］。認定此罪的關(guān)鍵是正確把握刑法所保護的數(shù)據(jù)安全法益，即數(shù)據(jù)收集和使用過程中的保密性、完整性和可用性。數(shù)據(jù)安全立法所保護的重心不是計算機信息系統(tǒng)，而是數(shù)據(jù)安全，計算機信息系統(tǒng)的作用僅在于對數(shù)據(jù)的類型進行限縮，而不應(yīng)該用計算機信息系統(tǒng)安全這一泛化的概念遮蓋數(shù)據(jù)安全法益的保護價值。實踐中，本罪的行為表現(xiàn)形式多樣，如非法獲取游戲賬號密碼后銷售、轉(zhuǎn)讓賬戶內(nèi)的游戲幣；非法獲取游戲賬號或者個人QQ、郵箱等登錄賬號密碼等。司法機關(guān)應(yīng)當依據(jù)“數(shù)據(jù)安全法”以及《網(wǎng)絡(luò)安全法》等法律法規(guī)、行業(yè)規(guī)范中有關(guān)保護數(shù)據(jù)的保密性、完整性和可用性的規(guī)定，結(jié)合具體案件事實選擇適用該罪名的前置法，并從數(shù)據(jù)安全法益的角度進行罪質(zhì)界定和罪量評價，判斷某種數(shù)據(jù)處理行為是否構(gòu)成此罪。例如，全國首例“‘爬蟲’入刑案”④，被告人晟品網(wǎng)絡(luò)科技公司不當使用網(wǎng)絡(luò)爬蟲技術(shù)的行為，被認定為侵害了數(shù)據(jù)的保密性。該案的裁判理由認為，被告單位采用“爬蟲”技術(shù)獲取“公開視頻信息”，作為載體的視頻數(shù)據(jù)本身仍然具有保密性，也有刑法規(guī)制的必要［21］。在該案的罪質(zhì)認定中，法院明確區(qū)分了作為形式載體的數(shù)據(jù)和作為數(shù)據(jù)內(nèi)容的個人信息，將數(shù)據(jù)載體的保密性作為刑法保護的重點。上述案件刑事裁決對數(shù)據(jù)犯罪的刑法法益予以獨立評價和重點保護，改變了以往將其附屬于計算機信息系統(tǒng)安全或混同于個人信息安全的傳統(tǒng)認識和處理模式，是值得充分肯定的［22］。須討論的問題是，作為本罪的保護對象，“數(shù)據(jù)”是否僅指不具有可識別性的信息？在我國信息網(wǎng)絡(luò)領(lǐng)域立法中，“可識別性”被認為是個人信息的本質(zhì)特征，也是判斷個人信息保護法益的基本標準。根據(jù)《網(wǎng)絡(luò)安全法》第七十六條的規(guī)定，個人信息分為可識別的身份信息和個人私密信息?！秱€人信息保護法（草案二次審議稿）》第四條對個人信息的界定采取了“已識別”與“可識別”相結(jié)合的模式，個人信息的可識別性同樣被立法所確認。有學(xué)者認為，個人信息與普通“數(shù)據(jù)”的最大區(qū)別就在于其具有“可識別性”，能夠識別特定主體的身份，只有可識別的個人信息才具有隱私性和自決性，才能作為個人信息保護法的調(diào)整對象，不可識別的信息則應(yīng)作為普通的“數(shù)據(jù)”，由“數(shù)據(jù)安全法”、《網(wǎng)絡(luò)安全法》予以保護［23］。根據(jù)此種觀點，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的對象就應(yīng)當排除具有可識別性的個人數(shù)據(jù)信息，由此將該罪與侵犯公民個人信息罪加以界分。如果不當?shù)丶右韵蘅s解釋，使該罪的適用范圍小于侵犯公民個人信息罪的對象范圍，兩罪的定罪量刑標準存在差別，就可能造成兩種罪名適用上的漏洞或沖突。

其次，破壞計算機信息系統(tǒng)罪中“刪除、修改、增加數(shù)據(jù)”的罪質(zhì)界定。關(guān)于本罪的法益性質(zhì)，有的學(xué)者將其表述為“計算機信息系統(tǒng)的功能安全和數(shù)據(jù)安全管理秩序”［24］，有的學(xué)者則將其表述為“數(shù)據(jù)的安全性與應(yīng)用程序的完整性”［25］，不一而足?！熬推茐挠嬎銠C信息系統(tǒng)罪的規(guī)范目的而言，理解為同時包含計算機系統(tǒng)的安全與數(shù)據(jù)的安全，是更為合理的選擇?！保?6］就刪除、修改、增加數(shù)據(jù)的行為而言，如果未侵害數(shù)據(jù)信息的可用性和完整性，就不能構(gòu)成此罪。例如，最高人民法院于2020年12月29日發(fā)布的145號指導(dǎo)性案例即“張某某等非法控制計算機信息系統(tǒng)案”中，法院裁判認為，被告人張某某等為了賺取賭博網(wǎng)站廣告費，提高搜索引擎命中率，通過植入木馬程序的方式，非法獲取存在防護漏洞的網(wǎng)站服務(wù)器的控制權(quán)限，進而通過修改、增加計算機信息系統(tǒng)數(shù)據(jù)，上傳網(wǎng)頁鏈接代碼；但這種行為未造成網(wǎng)絡(luò)系統(tǒng)功能實質(zhì)性破壞或者使其不能正常運行，不應(yīng)當認定為破壞計算機信息系統(tǒng)罪，應(yīng)當認定為非法控制計算機信息系統(tǒng)罪。可見，判斷行為所侵害的法益是數(shù)據(jù)安全還是計算機信息系統(tǒng)安全，是區(qū)分兩罪的關(guān)鍵，而對法益性質(zhì)和保護程度的識別判斷，則有賴于對作為參照系的前置法的確定和把握。如果根據(jù)“數(shù)據(jù)安全法”的相關(guān)規(guī)定來判斷，刪除、修改、增加數(shù)據(jù)的行為沒有危及數(shù)據(jù)的持續(xù)安全狀態(tài)，就不宜認定為破壞計算機信息系統(tǒng)罪，否則可能導(dǎo)致該罪名的“口袋化”，與其他計算機犯罪的罪名發(fā)生適用上的沖突；同時，由于不同罪名的定罪處刑標準存在差別，如上述案件所涉及的破壞計算機信息系統(tǒng)罪的基本法定刑是五年，非法控制計算機信息系統(tǒng)罪的基本法定刑的上限是三年，如果將被告人的行為認定為前罪，則會導(dǎo)致量刑偏重，這從根本上說是由于對其行為的罪質(zhì)認識不當所致。

2.數(shù)據(jù)犯罪的罪量評價及參照系

我國《刑法》中數(shù)據(jù)犯罪的構(gòu)成要件采取“定性+定量”的立法模式，“情節(jié)嚴重”是常見的罪狀表述方式。根據(jù)《刑法》第二百八十五條第二款和第二百八十六條的規(guī)定，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、破壞計算機信息系統(tǒng)罪的罪量構(gòu)成要件分別是“情節(jié)嚴重”和“后果嚴重”，這種綜合性的定罪標準帶有概括性和模糊性，需要司法機關(guān)作出具體判斷。隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的廣泛運用，數(shù)據(jù)安全法益內(nèi)容的日益技術(shù)化和抽象化會使司法機關(guān)對相關(guān)罪名的定罪量刑產(chǎn)生困難。數(shù)據(jù)犯罪的定罪標準從“數(shù)額為主，情節(jié)為輔”轉(zhuǎn)向“數(shù)額與情節(jié)并重”或“以情節(jié)為主”的模式，以合理評價數(shù)據(jù)犯罪的法益侵害程度。在此情況下，應(yīng)當立足于數(shù)據(jù)犯罪相關(guān)罪名的前置法規(guī)定，根據(jù)數(shù)據(jù)安全法益保護的必要性及重要程度，明確數(shù)據(jù)犯罪的數(shù)額或數(shù)量標準和綜合性情節(jié)的罪量評價要素。跟普通的經(jīng)濟犯罪一樣，數(shù)據(jù)犯罪也是采用違法所得、經(jīng)濟損失等定罪數(shù)額、數(shù)量標準。例如，《計算機安全刑案解釋》第一條對非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的“情節(jié)嚴重”定罪標準進行了列舉，其中包括經(jīng)濟損失、違法所得、計算機臺數(shù)、身份認證信息組數(shù)等。上述標準雖在一定程度上反映了該罪對具體個人法益所造成的危害，但未能充分評價其對數(shù)據(jù)安全集體法益的侵害程度，特別是對公共安全、國家安全所形成的危險程度。同時，該司法解釋第四條對破壞計算機信息系統(tǒng)罪的定罪標準“后果嚴重”規(guī)定了數(shù)據(jù)賴以儲存的計算機臺數(shù)，違法所得或經(jīng)濟損失數(shù)額以及造成為一定數(shù)量計算機或用戶服務(wù)的計算機信息系統(tǒng)不能正常運行的小時數(shù)等。然而，對數(shù)據(jù)犯罪的罪量不能僅僅從行為對公民個人所造成的實際侵害或損失加以評價，而是應(yīng)當更多地考慮行為對社會秩序、公共利益乃至國家安全的侵害或影響。刑法規(guī)范本身就是明確性與模糊性的統(tǒng)一，允許一定的抽象、概括的罪量因素存在，作為具體、定量化標準的補充，更能完整地反映數(shù)據(jù)犯罪的本質(zhì)屬性和罪量特征。將來的刑事立法或司法解釋，應(yīng)在原有數(shù)據(jù)安全定級要素基礎(chǔ)上增加新的內(nèi)容，采用新的罪量評價標準，諸如數(shù)據(jù)流量、安全漏洞數(shù)、注冊會員數(shù)、點擊瀏覽或下載數(shù)量、系統(tǒng)正常運行時長、網(wǎng)絡(luò)中斷時長及影響用戶數(shù)、網(wǎng)絡(luò)故障導(dǎo)致的事故損害后果等。非法獲取、刪除、修改、增加數(shù)據(jù)對社會秩序、公共利益或國家安全的侵害和影響越大，新型罪量因素的定罪量刑作用就顯得越重要。另外，上述罪量因素中有的具有明顯定量特征，如果經(jīng)過司法實踐檢驗進行“數(shù)量化”是切實可行的，可以通過司法解釋明確規(guī)定其為定罪量刑的具體數(shù)量標準；有的罪量因素是比較模糊和抽象的，則不一定被明確規(guī)定為具體數(shù)量標準，但可以放入“情節(jié)嚴重”或“后果嚴重”中綜合加以考量。數(shù)據(jù)安全法益本身是抽象的，在制定司法解釋明確數(shù)據(jù)犯罪的定罪標準時，應(yīng)當設(shè)置一定的柔性規(guī)范或兜底規(guī)定，允許法官在個案審理中保留一定的自由裁量空間，這樣更有助于實現(xiàn)定罪量刑的實質(zhì)公正。

（二）不同參照系下數(shù)據(jù)犯罪罪名適用的銜接協(xié)調(diào)

在數(shù)據(jù)犯罪中，數(shù)據(jù)是犯罪行為所指向的對象，而不是行為人實施其他犯罪的工具或手段，這是數(shù)據(jù)犯罪與侵犯人身、財產(chǎn)權(quán)益等傳統(tǒng)犯罪區(qū)別的關(guān)鍵所在。對此，司法機關(guān)需要以相關(guān)立法為參照系，根據(jù)信息數(shù)據(jù)類型的不同，判斷其所反映的法益本質(zhì)，綜合考慮數(shù)據(jù)處理行為對數(shù)據(jù)安全法益所造成的侵害或影響，作為區(qū)分狹義上的數(shù)據(jù)犯罪與其他關(guān)聯(lián)罪名的實質(zhì)根據(jù)。

首先，以數(shù)據(jù)犯罪的前置法規(guī)范為參照確定行為所侵犯的法益性質(zhì)。將某種數(shù)據(jù)處理行為所涉及的法益性質(zhì)界定為個人法益、公共法益還是國家法益，將直接決定或影響刑法中數(shù)據(jù)犯罪及關(guān)聯(lián)罪名的認定。我國《民法典》《反不正當競爭法》《保守國家秘密法》《國家情報法》《中國人民解放軍保密條例》等現(xiàn)行法律法規(guī)分別對個人信息和商業(yè)秘密、內(nèi)幕信息、國家秘密、國家情報、軍事秘密等予以保護，與數(shù)據(jù)安全法益保護的對象存在交叉重合，相關(guān)罪名也存在競合關(guān)系。對《刑法》中相關(guān)罪名的構(gòu)成要件設(shè)置和司法認定，需要依托前置性行政法律規(guī)范及行業(yè)標準，針對不同安全等級的數(shù)據(jù)處理行為，設(shè)定數(shù)據(jù)安全法益保護的命令性義務(wù)、禁止性規(guī)范及刑事責(zé)任，設(shè)置刑事風(fēng)險防范的法律底線，側(cè)重體現(xiàn)對于數(shù)據(jù)安全保護的特殊要求。據(jù)此，司法機關(guān)在認定數(shù)據(jù)犯罪及其關(guān)聯(lián)罪名的時候，就可以作為認定前置性法律規(guī)范、進行刑事違法性判斷的參考依據(jù)。同時，也應(yīng)當注意不同前置法規(guī)范之間的銜接協(xié)調(diào)問題。例如，《個人信息刑案解釋》對行蹤軌跡信息等四類敏感個人信息的定罪情節(jié)作出了比一般個人信息更嚴格的標準要求，但沒有包括更為敏感的個人生物數(shù)據(jù)信息；《個人信息保護法（草案）》則規(guī)定個人生物特征信息保護的規(guī)則，這就需要在這些法律規(guī)范及司法解釋之間進行體系性思考并進行銜接適用。另外，信息安全、數(shù)據(jù)安全領(lǐng)域存在諸多行業(yè)規(guī)范，對相關(guān)單位或個人依法合規(guī)地開展數(shù)據(jù)處理活動具有很強的指導(dǎo)作用，但它們并不具有法律效力，相對于“數(shù)據(jù)安全法”等法律法規(guī)來說，對數(shù)據(jù)利益主體的安全保護義務(wù)要求更高，而《刑法》所規(guī)制的入罪門檻必須是數(shù)據(jù)安全保護的“最低安全基線”，與行業(yè)規(guī)范設(shè)置的安全標準存在差異，不能等同。為了避免刑事打擊范圍過大，應(yīng)將行業(yè)規(guī)范作為前置性法規(guī)范中的參考依據(jù)，但不宜直接將其作為判斷刑事違法性、認定犯罪的法律根據(jù)。

其次，根據(jù)行為所侵害法益性質(zhì)選擇適用數(shù)據(jù)犯罪及關(guān)聯(lián)性罪名。根據(jù)我國現(xiàn)行《刑法》的規(guī)定，非法獲取信息數(shù)據(jù)的行為可能構(gòu)成侵犯公民個人信息罪，侵犯商業(yè)秘密罪，非法獲取國家秘密、情報罪，以及非法獲取軍事秘密罪等多個罪名，這些罪名規(guī)定對承載著包括公民個人權(quán)利、市場經(jīng)濟秩序、國家安全、國防利益等在內(nèi)的重要數(shù)據(jù)信息予以不同程度的類型化保護，形成了一套以數(shù)據(jù)信息法益保護為核心的罪名體系。若某種數(shù)據(jù)不在上述罪名保護的對象范圍之內(nèi)，則可考慮是否認定行為構(gòu)成數(shù)據(jù)犯罪。在網(wǎng)絡(luò)系統(tǒng)空間，信息和數(shù)據(jù)是不能截然分開的，兩者如同一枚硬幣的兩面。如果行為人非法獲取計算機信息系統(tǒng)中的數(shù)據(jù)，其行為觸犯了非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪或侵犯公民個人信息罪，屬于法條競合，應(yīng)按照“特別法優(yōu)于普通法”的原則處理。但究竟何種罪名屬于“特別法”的規(guī)定，選擇適用何種罪名，則離不開相關(guān)前置法的參照系作用。在司法認定中，應(yīng)當以“個人信息保護法”或“數(shù)據(jù)安全法”、《網(wǎng)絡(luò)安全法》為參照系，識別和判斷該行為所侵犯的重點法益的性質(zhì)及危害程度。如果以“個人信息保護法”為參照，從個人信息權(quán)益保護角度看，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪屬于“特別法”規(guī)定的罪名；如果以《網(wǎng)絡(luò)安全法》、“數(shù)據(jù)安全法”為參照，從計算機信息系統(tǒng)安全保護的角度看，侵犯公民個人信息罪則為“特別法”規(guī)定的罪名。

再次，從系統(tǒng)論角度看，以數(shù)據(jù)安全為核心，相關(guān)民法、刑法、行政法及行業(yè)規(guī)范共同形成了數(shù)據(jù)安全法益保護的法律規(guī)范體系，其內(nèi)外部應(yīng)當是銜接協(xié)調(diào)的。數(shù)據(jù)安全法益識別需要運用多種立法參照系加以對比，從而選擇合適的法律規(guī)范予以保護，盡量避免法律規(guī)范之間的重復(fù)和沖突。從法秩序統(tǒng)一性角度看，數(shù)據(jù)安全法益保護需要依靠各種法律手段共同發(fā)揮作用，司法機關(guān)應(yīng)將某種違法犯罪行為放置于整個法律保護體系之中加以考量，進行違法性的層次性判斷，實現(xiàn)刑民關(guān)系、刑行關(guān)系的銜接協(xié)調(diào)。

注釋：

①參見浙江省杭州市余杭區(qū)人民法院（2017）浙0110刑初664號刑事判決書。

②參見上海市浦東新區(qū)人民法院（2015）浦刑初字第1460號刑事判決書。

③參見北京市海淀區(qū)人民法院（2013）海刑初字第2725號刑事判決書；天津市南開區(qū)人民法院（2017）津0104刑初740號刑事判決書；江蘇省淮安市淮安區(qū)人民法院（2018）蘇0803刑初644號刑事判決書。

④全國首例“‘爬蟲’入刑案”即上海晟品網(wǎng)絡(luò)科技有限公司非法獲取計算機信息系統(tǒng)數(shù)據(jù)案，又稱“今日頭條案”。參見北京市海淀區(qū)人民法院（2017）京0108刑初2384號刑事判決書。