姚万勤：信息视角下数据犯罪的前置化定位及其立法边界 | 政治与法律202405

【作者】姚万勤（西南政法大学法学院副教授，法学博士）

【来源】北大法宝法学期刊库《政治与法律》2024年第5期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

内容提要：数据犯罪理论研究混乱的根本原因系理论界难以抛弃“数据与信息概念混同”的路径依赖。以数据为信息的概念混同既不合乎既有法律，亦致使数据犯罪与信息犯罪之间的关系始终不明，在我国尚未建立数据犯罪体系的当下，数据犯罪相关研究也因此陷入相对混乱的境地。对此，应从考察数据犯罪的刑法定位着手，摒弃传统充实数据犯罪的法益内涵的研究惯性，转而通过数据与信息的客观属性与立法区分，得出“数据犯罪的刑法定位系信息犯罪的前置化”的逻辑结论。在此前提之下，可以进一步明确数据犯罪的保护法益应是数据的保密性、可用性、完整性，如此也可支撑数据犯罪体系建构的立法边界。具体而言，一方面，在进行相关数据犯罪立法时应考虑以下原则性要求：既将数据犯罪与计算机信息系统犯罪分离，并将其设置为抽象危险犯，又设置专门的刑法条文指引数据犯罪与其他犯罪的罪数判断问题；另一方面，立法新增的数据犯罪也应当控制在一定的范围之内，既要严格控制故意犯罪罪名设置的数量，又要排除处罚过失数据犯罪的行为。

关键词：数据犯罪；信息；前置化；数据安全；法益

目次 一、问题的提出 二、数据犯罪处罚混乱的原因及其匡正 三、数据犯罪的刑法定位：信息犯罪的前置化 四、数据犯罪前置化定位的立法边界及制度设计 五、结语

一

问题的提出

2022年12月19日，中共中央、国务院在联合公布的《关于构建数据基础制度更好发挥数据要素作用的意见》中指出，数据“已快速融入生产、分配、流通、消费和社会服务管理等各环节，深刻改变着生产方式、生活方式和社会治理方式。数据基础制度建设事关国家发展和安全大局”。基于数据基础制度建设的重要性，发挥刑法的保障法作用，框定良好的刑事治理方式也是其中重要的一环。通过比较域外法律规定与司法实践可以发现，我国不仅在司法实践中数据侵权问题日益严重，而且在起保障法作用的刑法中缺少专门且体系化的规制条文。

然而，为解决这一问题而不断出现的各种理论观点，并未得出成体系的解决方案，反而在各家之言“齐头并进”的情况下，造成数据犯罪处罚愈发混乱的局面。究其原因，在于我国法律体系及司法实践存在将“数据与信息的概念混同”的历史纠葛。在我国分别出台了《中华人民共和国数据安全法》（以下简称：《数据安全法》）和《中华人民共和国个人信息保护法》（以下简称：《个人信息保护法》）的当下，基于法律的不同保护范围以及“数据”和“信息”各自存在的独特属性，不区分二者的“路径依赖”必将成为妨碍数据犯罪罪名体系建构的重要障碍。这已经在目前关于数据犯罪的理论讨论中逐渐凸显：大量文章在讨论数据犯罪问题时并未对数据和信息的关系进行阐释，或者认为“个人数据”与“个人信息”这两个概念无本质区别，或者简单地将之混同而一笔带过。自此，学界讨论前提不一，法律定性同司法习惯相悖，路径依赖与概念内涵冲突，致使数据犯罪处罚体系形成如今混乱的局面自然也就不难理解了。

此外，数据犯罪概念本身也存在狭义与广义之争，未能对这一问题的定义得出统一答案，也进一步加剧了数据犯罪理论构建的难度。狭义的数据犯罪是指以数据为犯罪对象的犯罪，广义的概念还包括以数据为犯罪工具的犯罪。本文主张须将数据犯罪概念限定在仅包括以数据为犯罪对象之内。理由在于，一方面，在数据犯罪体系本身已显混乱化的前提下，采取广义数据犯罪概念将进一步导致数据犯罪研究范畴的臃肿，不利于理论学说的清理与构建；另一方面，以数据为犯罪工具的行为，本质上并没有侵犯数据或者信息的相关权利，依然是以传统犯罪法益为客体，仅仅是在犯罪方式上存在些许的变化，而本质并无不同。因此，本文所使用的信息犯罪亦同理，仅指以信息为犯罪对象的犯罪。

如果数据犯罪在逐渐完善的刑法体系中的定位难以明确，那么“数据犯罪”这一概念必然难以发挥限定研究对象的作用，也不能起到划定刑法立法边界的效果，而成为任人打扮的对象，从而导致数据犯罪的个罪研究“蔚然成风”，但罪名体系建构仍然遥遥无期。数据基础制度建设也因缺失刑法全面保障这一重要环节而可能最终毫无建树。为改变这一现状，有必要对“信息”与“数据”之间的关系进行彻底清理。本文便是在这一视角下，首先对数据犯罪在刑法中的体系性定位展开探讨，其后在其定位之下，为数据犯罪所应有的刑法立法边界提出系统的解决方案。

二

数据犯罪处罚混乱的原因及其匡正

“信息”与“数据”之间关系的混乱与不明导致的直接后果是，信息犯罪和数据犯罪之间的混乱与不明，由此进一步造成了“数据犯罪”在刑法中的定位缺失，而迫使其成为一个在刑法体系外四处游荡的“幽灵”，“导致数据犯罪沦为其他犯罪网络异化的‘兜底条款’”。为解决这一困局，必然需要对数据犯罪处罚混乱的原因进行梳理，找出“信息”与“数据”关系混乱的具体表象，以使“数据犯罪”有其固定的驻足点，由此才能进行精准的清理与匡正。

（一）数据与信息的概念混同背离了立法现状

我国刑法司法解释过去存在将“数据”与“个人信息”混同的做法，司法实践在处理数据犯罪时，其中的“数据”事实上亦包括了所有能以代码形式储存于计算机信息系统中的权利客体，信息也不例外。然而，随着2021年《数据安全法》和《个人信息保护法》的出台，“数据”与“个人信息”已有各自清晰的内涵，前者第3条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”后者第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”显而易见，数据与信息在立法层面已然不能互通，未来无论是出台新的司法解释抑或进行学术研究，混淆二者的做法都将不再适宜。

然而，自2021年这两部法律出台之后，学界关于数据犯罪的讨论依然未能彻底区分二者。许多学者在讨论数据犯罪时也一并将信息犯罪纳入，认为“《数据安全法》第3条规定，数据是任何以电子或者其他方式对信息的记录。从这一定义看，数据安全也可以理解为信息安全，而信息安全又可以基于分类涉及不同领域、不同层面的安全问题”。虽然在对数据犯罪的讨论中并非不能存在关于信息犯罪的内容，然而，这些学者的理由却是：“数据是信息的载体，信息是数据的内容，两者可等而视之。”或者认为，“‘个人数据’与‘个人信息’两个概念并无本质区别，只是在不同语境下各有侧重，可以相互替换使用”。或者区分“个人数据与一般数据的二元保护模式”，但这里的个人数据实际上等同于个人信息。立法层面的截然区分，在上述论述中却被不约而同地一笔带过，成了无需讨论的前提。这值得反思。

细究认为数据与信息二者不必区分的理由主要在于：其一，数据本身具有目的缺乏性和无价值判断性，但其中蕴含的信息并非如此。因此，以数据为中心建构数据犯罪的法益，并不是以数据本身为中心，而是以数据的本质属性即信息为中心来建构，在这个意义上数据和信息具有天然的共生性和一致性。其二，从信息和数据的关系看，个人信息也就是个人数据，因而非法向他人出售或者提供的数据，如果记录了个人信息，就可以以侵犯公民个人信息罪进行处罚。换言之，既然数据是信息的载体，那么侵犯数据的行为也将是侵犯信息的行为（反之亦然），因而不必予以区分。但是，以上观点皆不能成立。

上述两点理由的共通之处在于，正因为考虑到数据系信息的载体，所以，保护了信息内容，也就视为保护了数据载体，而刑法与其对载体进行保护，不如对内容进行保护，从而借助所侵犯的具体法益解释相关行为犯罪与否。对数据犯罪的研究归根结底要落脚于信息属性之上，故而在刑法中不必严格区分二者。诚然，对刑法中的概念作出不同于前置法的解释也符合法秩序统一性理论的要求，但对于数据犯罪问题而言，刑法却不能背离前置法的这一对基本概念区分。因为即便刑法对其他法领域及其概念形成的依赖性并非通例而应视不同情况而定，但毫无疑问，在任何情况下刑法中的概念都必须依据刑法规范的保护目的做解释。数据是信息的载体这一点不仅仅是立法规定，更是客观现实，刑法目的必须以现实基础为支撑。因此，刑法应当坚持区分数据与信息的概念。再者，这种区分也具有实际意义。本文基本肯定前置法对数据和信息概念的定义，也因此，本文必然同时承认数据和信息之间的关系属于载体与内容的关系判断。然而，这并不意味着在刑法中，对“载体”的犯罪等于对“内容”的犯罪，二者在刑法体系中的区别不宜被忽略，基本理由如下。

首先，对“载体”的犯罪不等同于对“内容”的犯罪。不能简单地认为刑法通过保护“载体”就足以保护其“内容”。我国刑法区分“载体”与“内容”进行保护的例子比比皆是。其中，最为明显的即是“秩序”类犯罪。我国刑法规定的诸多“秩序”类犯罪，强调对集体法益进行保护是其重要内容之一。集体法益的存在具有合理性，只要立法在保护集体性利益时，确保了意欲保护的集体性利益与个体法益之间存在关联性即可。故而，无论是理论上还是实践中，都可以看出对“载体”进行独立保护的价值所在。因此，单纯以数据与信息之间是“载体与内容”的关系，即认为在讨论数据犯罪时不必区分二者，可以混同使用的观点就不能成立。因为这不符合我国既有的刑法立法现状。

其次，数据具有不同于信息的价值，具有独立保护的必要性。其一，数据系“生产要素”之一，但信息不是。如果数据与信息可以等同视之，通过保护信息即可更好地保护数据，二者就没有分离的必要，那么前置法也无需明确区分二者，可事实并非如此。其二，数据的价值是变化的、抽象的，而信息的价值是确定的、具体的，因而可以用于保护信息的立法方案，并不当然有利于保护数据。对于数据而言，其本身的利用价值在于其所蕴含的通过分析和挖掘方能发现的潜在价值。“信息和数据最大的差异在于，信息所包含内容及内容指向的具体法益是确定的，而数据通过处理获得的内容，以及内容指向的具体法益并不确定，而是一种抽象的法益可能性。”譬如，“滴滴出行”公司基于其主营业务网约车服务的属性，收集了大量与出行有关的个人信息，其在美国上市之后，由于所收集的数据中蕴含了国家安全风险，而接受了国家互联网信息办公室的网络安全审查。个人信息与国家安全借由数据这一要素产生了紧密的联系。并且，在司法实践中，不能在数据中的价值被挖掘出来后再予以保护，因为许多数据如同商业秘密一般，若秘密已经泄露，再谈论保护则过于滞后。其三，从各国司法实践来看，数据犯罪的独立保护已然成为了主要趋势，例如，德国出台了《一般数据保护条例》，美国制定了《计算机滥用与欺诈法案》。我国刑法虽暂时未呈现这一现象，但前置法《数据安全法》与《个人信息保护法》的区分立法方案也暗合了这一趋势。

综上，将数据与信息混同使用的观点并不合理，且数据具有独立保护的价值，前置法的分离在刑法之中也具有合理性，即便持刑法独立解释的观点也不能走向混同的道路。无论数据犯罪的保护目的为何，刑法必须尊重这一客观现实——区分数据与信息——才能更好地实现数据犯罪的保护目的。因此，在探讨刑法如何处理数据犯罪与信息犯罪的问题之时，不应当走向将二者混同处理的道路。混淆二者既与前置法相互矛盾，亦与刑法体系相互冲突，理应摒弃。

（二）数据犯罪的刑法定位不明致理论混乱

在信息与数据概念分离的前提下，数据犯罪的独立性也不断被各学者所强调。要在刑法之中新增“数据犯罪”这一崭新体系，则必须回答“数据犯罪”和“信息犯罪”之间的关系是什么、区别何在，即数据犯罪在刑法中应处于何种定位。如此方可探明数据犯罪的立法之因，明了数据犯罪体系建构所应遵循的限制。然而，由于“以数据为信息”的路径依赖持续存在，数据犯罪立法的障碍也未能得到及时清理，导致数据犯罪外延范围时大时小，学者建议数据犯罪设立的数量也不受限地持续扩张，数据犯罪理论难免陷入混乱的境地。

首先，数据犯罪与侵犯计算机信息系统相关犯罪牵扯过深，不利于数据独立性保护目的的实现。理由有两个。其一，脱离计算机终端的数据的数量不断增长，通过计算机信息系统已经无法充分保护数据权益。数据并不必然在物理空间上存储于数据所有者的计算机信息系统之中，无论是非法获取云存储中的数据行为，亦或是从外存储器（如U盘、移动硬盘等）获取数据的行为，都突破了“计算机信息系统”的物理空间内部性的约束。此时，不可能再以“破坏计算机信息系统罪”一刀切地处罚相关侵犯数据的行为。其二，数据的重要性与计算机信息系统安全并不处于正相关关系，计算机信息系统相关犯罪对于数据保护挂一漏万。最高人民法院在指导性案例“张竣杰等非法控制计算机信息系统案”中指出：“修改、增加计算机信息系统数据，未造成系统功能实质性破坏或者不能正常运行的，不应当认定为破坏计算机信息系统罪。”然而，与计算机信息系统安全无关的重要数据随处可见。比如网页浏览记录、下载记录、关键词搜索记录、购物记录等能够表明行为人消费习惯、生活特点和行为轨迹的数据无疑具有重要的商业价值。这类数据无法通过计算机信息系统相关犯罪得到保护。据此可知，继续将数据犯罪与侵犯计算机信息系统相关犯罪深度绑定，已不合时宜。

其次，数据犯罪与其他犯罪之间的关系不明，导致罪数判断混乱且一时难以解决。在涉及数据犯罪与其他犯罪的罪数判断问题时，学界观点始终未能统一。既有认为应当直接采取“数罪并罚”的结论；也有认为基于手段与目的的牵连关系，可按照牵连犯的处断原则从一重罪处断的观点；亦存在认为属于一行为符合数个犯罪构成、造成对数个法益的侵害，因而成立想象竞合的看法。数据犯罪的罪数判断之所以如此复杂，其原因并非在于犯罪本身难以查清，而在于数据犯罪与信息犯罪之间的关系始终未达成基本共识。数据犯罪的概念并未被严格控制在狭义层面之中，许多学者或主动或被动地采取了更广义的定义。比如，有学者认为，数据犯罪包括以数据作为手段、以数据作为对象、以数据作为结果这三方面的维度。又如，“在《刑法》没有增加新型数据犯罪的前提下，线下犯罪的线上转换实现了数据犯罪的范围扩张，既有规范不断被赋予数据犯罪的新内涵，数据犯罪藉由‘数据’这一转换介质已经分散到财产犯罪、人身犯罪及社会秩序犯罪等各个领域”。在数据犯罪本身范围未定之时，便对其罪数判断盖棺定论无疑属于“好高骛远”之举。数据犯罪范围不清的原因，依然在于许多学者坚持“数据的价值不在于数据本身而在于数据所承载的个人信息、商业利益等”。如此，数据犯罪自然难以与其他犯罪分离，其内涵也不免愈发臃肿。

最后，新设数据犯罪的建议层出不穷，但集中于个罪的添加显然无益于数据犯罪罪名体系的建构。域外已经针对数据犯罪进行了详尽的立法，例如美国逐渐为数据犯罪编织严密的刑事法网，德国《刑法典》经过数次修正，也形成了对非法访问、获取、变更、窝藏数据等行为一体化规制的刑法体系。或许由于域外对数据犯罪进行了充分规定的对比，我国学者在研究数据犯罪的过程中，也会对我国应增加的数据犯罪个罪罪名提出立法建议。然而，增设相关个罪的建议其实并不利于数据犯罪体系的建构，因为在新增的数据犯罪中难以贯彻协调性原则。“增设的新罪与已有的犯罪之间，增设的新罪之间，以及增设的新罪与其他法律之间，必须保持协调关系，既不能产生冲突与矛盾，也要避免罪刑不均衡。”不可否认，我国刑法已经经历了十二次修正，其内容与体系已经愈发完善。因此，基于刑法在适用中所产生的具体问题，逐步对个罪进行删减或者新设，是我国刑法修正案常采用的方式——通过不久的《刑法修正案（十二）》也是如此。然而，数据犯罪作为一个崭新的犯罪体系，其不同于已经在《刑法》之中存在诸多基础性罪名的传统犯罪。因此，若欲在新增数据犯罪的过程中贯彻协调性原则，就不可能采取单个罪名不断增加的方法，而必须拿出一个统一的方案对刑法中数据犯罪的立法空白进行基本的补足——其后才继续考虑如何对实施中产生的新问题进行具体的修改、完善。

三

数据犯罪的刑法定位：信息犯罪的前置化

数据犯罪研究应从内容充实的道路转向定位明确的道路。数据犯罪体系难以建构的一个重要原因在于该罪的法益内涵不能准确界定。因此，为了避免数据法益解释不能获得法益的目的指导，充实数据犯罪的法益内涵成为目前学界研究的重心内容之一。但是，“在新罪未立之际，前实定法法益不过是研究者想象的概念，缺乏规范基础”。因而论者可以自由发挥其能力塑造数据犯罪的外貌，而千人千面。故而，对于数据犯罪这一新兴研究对象而言，学界亟需解决的焦点问题应当是挖掘数据犯罪与信息犯罪之间的联系，借用蕴含在客观现实、法律条文之间的固定支撑，助力数据犯罪体系研究达成基本共识。换言之，在继续漫无边际地界定数据犯罪的法益内涵之前，必须首先选择分析数据犯罪的刑法定位，研究立法者何以需要在日益完善的刑法结构中添加数据犯罪这一分类体系。通过考察数据与信息之间的关系以及刑法处罚数据犯罪的原因、目的，首先需要明确的是数据犯罪刑法定位系信息犯罪的前置化这一立场能否被证立。

（一）数据犯罪前置化刑法定位的证成

在晚近我国刑法立法中，刑法前置化的倾向逐渐明显，预备行为实行化和既遂形态前置化是其重要表现。刑法前置化的特点必须以个罪前置化为要素才得以存在，而个罪的前置必然是相对于另一个罪名而言。数据犯罪相对于信息犯罪即具有这种前置化的关系。

首先，从数据与信息之间载体与内容的关系出发可知，数据犯罪系信息犯罪的前置化。数据系信息的载体，这是立法基于客观现实而作出的规定。数据作为载体的一个特点在于，其所蕴含之信息的内容是隐藏的。数据并不如同信息一般具有直观、可供人类直接理解其实质内涵的表现形式，数据往往需要经过特别的方式进行处理，才能产出供人使用、具有价值的相应信息。比如，即便有关个人的数据被非法获取，倘若行为人不经过特别程序进行挖掘、解读，个人的隐私、名誉也不会受到实质侵害。因此，当国家不再仅以信息为保护对象，而将数据也作为刑法保护的对象之一时，即是将原本所采取的，表现出所明确侵犯法益之属性时刑法才处罚的规则，改变为未显露所具体侵犯法益之内容时就可以提前介入的方案。事实上，这一方案早已被许多刑法修正案所采取，比如立法不断通过前置性、早期化的刑法干预将个人法益保护置换为集体法益。数据犯罪与信息犯罪之间的前置化与被前置化的关系，也不过是这一进程中的立法设置之一。

其次，数据犯罪中的数据应当被限定为以电子方式对信息的记录。在普遍的认知中，数据一般被限定为电子数据，《数据安全法》却将其定义为任何以电子或者其他方式对信息的记录。换言之，若严格遵循此定义，对于一张打印了数人个人信息的纸张而言，其也可以被称为“数据”。然而，其既不符合“数据”这一词汇在人们心中的观念形象，也并不具有电子数据之所以被特别保护的重要特点，不应被认可。电子数据具有可复制性、相关性与价值延伸性等特点，“大量数据汇聚融合产生碰撞，会突破原有的价值空间，产生一加一大于二的效果”。相反，纸质载体的“数据”则并不完全具有上述特点。纸质载体“数据”虽亦可能包含足够重要的信息内容，但其所蕴含的信息数量难以达到电子数据所具有的数量级。并且，纸质载体“数据”在保密、携带、复制等方式上也与电子数据所采取的方式完全不同，即便有被侵犯的风险，通过刑法既有的相关罪名也足以惩治，无需专门进行前置化保护。基于上述原因，即便前置法认为数据包括电子形式与非电子形式，但对刑法中的“数据犯罪”而言，本文认为应当将其限定为“（电子）数据犯罪”更为恰当。因此，本文将数据概念定义为，“以电子方式对信息的记录”，数据犯罪的行为对象或者说行为客体也仅限于“电子数据”。这是基于对刑法有必要设立数据犯罪后所形成的限制结论。

再次，从刑法既有关于数据犯罪的条文及司法解释推导可知，数据犯罪系信息犯罪的前置化。刑法中以数据为犯罪对象而设立的罪名有《刑法》第134条之一的危险作业罪、第285条非法获取计算机信息系统数据罪和第286条破坏计算机信息系统罪。就前一个罪名而言，其行为类型皆属于危险犯的立法模式，若针对相应数据实施该类犯罪行为，则不需要造成实际危害后果，也成立犯罪既遂。就后两个罪名而言，虽然其罪状当中都存在“情节严重”和“后果严重”的构成要件要素，但是，根据相关司法解释，前者“情节严重”的具体情节是：“（一）获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；（二）获取第（一）项以外的身份认证信息500组以上的。”后者“后果严重”的具体后果是：“对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的。”暂且不论司法解释中信息是否可以直接等同于数据的问题，从司法解释以获取、破坏的信息“数量”作为入罪的标准可以看出，关于如何惩治数据犯罪，归根结底落脚在所涉嫌的数据、信息的多少所体现出的可能导致的危险是否存在，而并非必须等待实害结果出现——信息内容所体现出的具体法益受损。综上可知，《刑法》并不追问数据犯罪背后所体现的具体信息利益受损结果，而直接针对侵犯数据的行为施加了刑罚。因此，数据犯罪与信息犯罪之间的关系系前置化与被前置化的关系。

最后，数据犯罪的前置化定位在刑法处罚之中具有合理性。前置化虽然成为了近些年来刑事立法的特点，但并不具有先验的正当性，其必须经过一定程序的检验方能立足。“行为导致危害后果的严重性和高度盖然性以及提前预防能够避免危害发生的有效性决定了刑法干预前置化的可行性。”数据犯罪的前置化定位亦满足这一要求。其一，在网络社会之中，数据的重要性愈发凸显，其可能涉及的利益也并不局限于个人隐私与商业经济的得失，数据安全更是成为了国家安全的重要内容之一，无视数据犯罪可能导致的巨大危害，并不合理；其二，数据的重要特点之一是其指向的具体法益并不确定，而具有一种抽象的法益可能性，信息也具有传播迅捷、可以共存的特点，“在数据世界中，只有知晓与否的问题，没有归属甲或归属乙的问题。”以上两点决定了，欲等待数据中的具体利益被挖掘之后，再根据实质内容对相关危害行为进行惩罚必然为时已晚。因此，数据犯罪的前置化不仅是对数据相关利益的充分保护手段，而且是必要保护手段，这亦符合刑法的最后手段性。

（二）前置化定位下数据犯罪的法益内涵

无论是在立法层面探讨是否有必要增加新罪，还是在司法层面解释旧罪的处罚范围大小，梳理该罪的法益都是不可缺失的步骤，但是学界始终难以确定数据法益的固定内涵，目前主要存在“单一法益论”与“复合法益论”的理论分歧。法益内涵不清的根本原因在于缺乏成为共识的支撑基础，而在确定了数据犯罪与信息犯罪之间的关系之后，前置化定位就足以作为论证法益的坚实基石。基于这一前置化定位的前提限制，数据犯罪的法益内涵应当被界定为数据的保密性、可用性、完整性（以下简称：“数据三性安全说”）。

第一，复合法益论的观点败于“丰实”，易使数据犯罪沦为兜底条款，并不合理。复合法益论的基本观点是将数据犯罪可能侵害的各种利益，都作为数据犯罪法益的内涵。比如有学者认为，数据法益是表达、实现与数据相关的新型利益的集合体，外部形态分为个人数据法益、企业数据法益、公共数据法益。另有学者认为，数据法益具有双重类型，除了本体上的数据法益之外，还存在功能上的数据法益，即权利人透过数据的本体法益而享有的在现实世界中的传统法益。然而，由于多元法益论的具体内容仍是由传统法益组合而成，“数据法益的概念和内容在刑法体系中无法形成独立地位”，无法发挥其限定处罚范围的作用。这是因为，既然数据法益的内容中包含各种传统法益，那么，在各种犯罪网络化的现在，数据犯罪就可能演变为各类网络犯罪的兜底条款，使得诸多没有处罚必要性的传统越轨行为，仅仅在行为过程中涉及了数据，便有可能被以数据犯罪为名纳入刑法处罚范围。

第二，单一法益论中的秩序法益说失于“空洞”，或致数据犯罪解释不清，并不合理。有论者认为：“数据犯罪所侵害的法益是一种独立于传统法益的新型法益，即国家数据管理秩序。”倘若将其简单界定为众多传统法益的集合，则其亦无法逃离出上文所提及之缺陷。如若遵循该学者所言：“国家数据管理秩序应指一般数据所蕴含的值得刑法保护的利益……应指所有类型数据所共有的法益。”然而何为“所共有的法益”，依然没有实际的内容。在前置化定位之下，数据犯罪本身即带来了扩大刑事处罚范围的风险。此时，若依然选择秩序法益说的观点，则由于秩序法益具有抽象化和模糊化的特征，仅以“数据秩序”为名进行保护，不问数据秩序之实质内容，可能导致“……这些领域规定的犯罪只是单纯地违反规范的行为，刑法立法的目的只是维持规范的有效性”。

第三，在单一法益论中，“数据三性安全说”更加契合数据犯罪的前置化定位属性。如何对信息进行前置化保护，最终落脚于三点。其一，系防止信息的泄露。这是引入保密性可以实现的目的，因此可以规制非法获取、提供数据等行为。其二，系保证信息可以为己所用。数据中所存在的利益对于数据权利人而言，也必须进行一定的解读方能产出相应信息利益。然而，他人若对这一过程进行干扰，则将导致权利人只能面对数据望洋兴叹。这是引入可用性可以实现的目的，因此可以规制破坏数据等行为。其三，系保证数据可以解读出其原本所应当解读出的内容。《刑法》第134条禁止在生产作业中违反安全管理的规定篡改、隐瞒关系生产安全的相关数据。这是因为数据并非必须被完全破坏、无法使用才可能造成损害。在决策的过程中，数据往往是决策者所考虑的重要因素。因此，倘若对数据进行有目的地增加、删改，则也将因此影响决策者依据数据信息而作出的正确结论，进而造成特定利益的损失。引入完整性可以实现这一目的，因此可以规制增加、删改数据等行为。当周延维护了数据的保密性、可用性、完整性时，数据之后的信息利益被损害的可能性也将大大降低，数据犯罪体系方足以承担其前置化定位的任务。

第四，“数据三性安全说”亦可以从宪法中找到根据。“数据三性安全说”的内容虽然与前置法的立法目的接近，但亦是根据宪法所得出的结论。一方面，“无数字，不人权”，“数字人权”有着坚实的法理基础、现实需要和重大意义。而为了保护数字人权，承认各方主体所享有的数据权利是必要前提。“国家为数字人权的保障承担着积极义务，‘人权’的范围也应向‘数字化’开放，个人数据权利可以获得宪法正当性。”另一方面，保护“数据三性安全”法益也符合比例原则。其一，主张数据犯罪保护法益为数据三性安全的目的，是为了通过对数据保密性、可用性、完整性的追求实现对国家安全、个人隐私等诸多利益的保护。其所追求保护的利益皆具有宪法根据，符合目的正当原则。其二，采取此种前置化的手段，如前所述，是数据基于其价值延伸性和抽象的法益可能性的特点而必须选择的方式，故满足适当性原则和必要性原则。其三，虽然有论者提出质疑，认为“数据三性安全说”“将信息本体内容安全纳入数据法益当中，意味着不影响数据系统运行、防御状态安全和个人信息安全的一般数据（例如公开数据），也可以被纳入刑法保护范围，这无疑有悖于刑法谦抑性”，然而，数据的“三性安全”成为保护法益，并不意味着侵犯“三性安全”的行为都将构成犯罪。正如故意伤害罪的法益是身体健康，但仅造成轻微伤的行为并不构成故意伤害罪一样。只要合理建构数据犯罪的完整体系，并对其处罚范围进行立法的边界控制，防止刑法过度介入公民生活，也足以满足狭义的比例原则。本文将在下一部分中予以具体论述。

四

数据犯罪前置化定位的立法边界及制度设计

虽然数据犯罪的前置化定位符合我国刑法近年来的修改趋势，然而前置化并不意味着刑法立法边界可以无限制扩大。因此，前置化定位下的数据犯罪也应成为控制其犯罪处罚范围的限制所在。

（一）数据犯罪立法的原则性要求

可以预见的是，随着数据重要性的逐渐凸显，为了弥补国家数据基础制度建设的不足，刑法也应当新增“数据犯罪”体系以提供足够的规范供给。为此，可通过以独立的数据犯罪立法为基本前提，以设置抽象危险犯为具体方法，以制定罪数判断指引条文为补充的途径，构建数据犯罪立法体系。

首先，以独立的数据犯罪立法为基本前提。为此，先应当强调将数据犯罪与计算机信息系统相关犯罪分离。计算机信息系统及其相关设备、数据代码和信息内容可以分别被划分为“介质层”“代码层”“内容层”三个层次。前文提到，立法将数据犯罪与计算机信息系统相关犯罪深度绑定形成的不足体现在以下两个方面：一是无法保护脱离计算机终端的数据；二是难以保护与计算机信息系统安全无关的数据。若直接针对上述问题提出解决方案，那么应当提供的立法建议便可归纳为以下两点：一是在《刑法》第285条和第286条中新增“云端”和“外存储器”这两类计算机信息系统以外的数据载体；二是删除诸如“造成计算机信息系统不能正常运行”等与计算机信息系统安全相关的限制性构成要件的内容。换言之，一是通过增加扩大“介质层”的范围，二是通过取消“介质层”对“代码层”的限制，来实现刑法对“代码层”的充分保护。然而，如前所述，刑法保护“代码层”的根本目的依然在于实现对“内容层”即信息利益的充分保护。既有刑事立法中通过“介质层”保护“代码层”进而间接保护“内容层”的方案，将由于“介质层”与“内容层”之间的联系过于分散，导致刑法陷入过于前置化的危险之中。更好的方案是直接使用“代码层”对“内容层”进行保护，以解决上文所提及的问题。因此，未来应该区分对计算机信息系统安全的犯罪和对数据的犯罪，独立设置数据犯罪条文。同时，考虑到司法实践的惯性依赖，以及对计算机系统安全的特殊保护需要，也可以保留现行刑法中的非法获取计算机信息系统数据罪等罪名，不进行修改。

其次，以设置抽象危险犯为具体方法。其一，前置化的本质是将对实害结果的惩罚转向对危险结果的惩罚。其中，又多体现为大量设置抽象危险犯，比如对于交通违法行为，刑法设置了醉驾类的危险驾驶罪。“危险犯作为前置化立法的代表，正日益成为重要的犯罪形式，这种犯罪类型大量地出现在涉及交通、食品、环境卫生等公害性犯罪中。”其二，在具体危险犯与抽象危险犯之间，应将数据犯罪确定为抽象危险犯。这是因为，“‘数据’是信息的记录载体，本身并不指向特定的内容，需要对数据进行特定目的化的处理后，才能形成特定内容的信息”。来源于个人的数据，也可能含有指向国家安全的内容。因此，刑法未来在规制数据犯罪行为时，也将难以确定其所侵犯的具体危险之性质，而只能推定其存在侵犯某种利益的抽象危险。故而，数据犯罪也可谓是一种多元的抽象危险犯。另外需要强调的是，抽象危险犯不等于行为犯，并非一旦完成比如非法获取数据行为，无论情节严重与否都将构成犯罪。“在理解为抽象危险犯的场合，则抽象危险的发生是处罚的根据，行为虽然完成但若是并未发生抽象危险时，因为欠缺处罚根据，而仍能否定犯罪的成立。”因此，最高人民法院、最高人民检察院依然可以出台相应司法解释，对数据犯罪的入罪进行限制。此外，有必要澄清现行数据犯罪立法与信息犯罪，以及与本文所提倡的抽象危险犯数据犯罪立法之间的关系。一方面，应当承认现行数据犯罪立法与信息犯罪之间依然是前置化与被前置化的关系。不过特殊的地方在于，现行数据犯罪立法都已经被限定在特定的利益范围之内。相关罪名或者本身所针对的是特定的设备，其中所蕴含的信息内容已经特定化（如危险作业罪）。或者虽然可能包含体现不同性质信息内容的数据，但立法将入罪限定在体现某一特定利益的数据之内（如非法获取计算机信息系统数据罪和破坏计算机信息系统罪）。故而，现行数据犯罪立法仅是针对特定信息犯罪存在前置化与被前置化的关系。不同于抽象危险犯数据犯罪立法，是相对于一般信息犯罪而言存在前置化与被前置化的关系。另一方面，不能认为现行数据犯罪立法与抽象危险犯数据犯罪立法之间是特别法与一般法的关系。这是因为，后者的构成要件属于抽象危险犯，所欲保护的信息利益并未特定，因而立法应通过将该类犯罪的法益确定为“数据三性安全”而予以前置保护；而前者并未将构成要件设置为抽象危险犯，其所保护的法益已经指向了特定的利益内容，比如破坏计算机信息系统罪的法益系计算机信息系统安全。故而，在立法修改之后，若一行为同时触犯上述两类罪名，也应按照想象竞合而非法条竞合处理。

最后，以制定罪数判断指引条文为补充。对于数据犯罪与其他犯罪之间的罪数判断问题，应当根据是否存在手段与目的的关系分别处理。其一，正确判断罪数问题的前提是确定行为人是否实施了多个犯罪行为。基于数据和信息是载体与内容之间的关系，在未来新设数据犯罪之后，行为人往往可以实施一行为而同时触犯数据犯罪与信息犯罪。譬如，非法获取国家安全数据的行为，也可能直接属于窃取国家秘密的行为；非法获取企业数据的行为，也可能直接属于以不正当手段获取商业秘密的行为。对于这一类行为，应按照想象竞合的方式处理。其二，在确定行为人实施了多个犯罪行为之后，若多个犯罪行为之间存在手段与目的的关系，则属于牵连犯，反之则按照数罪并罚处理。譬如，行为人在非法获取个人数据且解读出其中的个人信息后，又将相关信息提供或者出售给其他人的，就属于实施了两个犯罪行为。由于一份数据可能解读出不同性质的内容，因此，行为人在获取个人数据之时既可能存在特定的目的——挖掘出个人信息后进行贩卖；也可能并未确定未来的犯罪计划。对于前者，“以数据代码保密性为侵害法益的获取数据行为与以信息内容机密性为侵害法益的获取信息行为，在通常意义上具有手段行为与目的行为的牵连关系”，而应当成立牵连犯。对于后者，虽然后续所实施的犯罪行为被包括在数据犯罪的抽象危险之中，但因为“多元的抽象危险犯具备完全独立评价的意义，任一具体实害犯都无法在罪数评价上吸收它”，所以应当数罪并罚。因此，为了避免司法实践适用的混乱，立法者可以在规定完各类数据犯罪之后，单独设置一条关于罪数判断的条文。

（二）数据犯罪供给的范围限制

域外不少国家对数据犯罪作出了独立而又详实的规定，因此，建议我国刑法也新增对应罪名的呼声并不少见。虽然最终我国刑法的数据犯罪体系应当规制何种数据犯罪行为尚且不能确定，不过，考虑到数据犯罪的前置化定位，其至少应当将新增之罪名控制在以下的范围之内。

首先，应至少新增“获取”“提供”“破坏”“修改”这四类行为，方足以实现对数据的“保密性、可用性、完整性”这一“三性法益”的保护。其一，在目前的刑法体系中，皆存在规制“获取”“提供”国家秘密、商业秘密、个人信息行为的刑法条文，这是维护保密性的必要。因此，作为前置化定位的数据犯罪，也应该至少规制这两类行为，方能实现对信息利益的预防性保护。其二，有观点认为，数据的完整性并不值得被刑法保护。“对于仅侵犯数据内容完整性但未侵犯数据内容效用性的行为，刑法也应当保持必要的谦抑和审慎，不宜将其纳入刑法的规制范围。”换言之，笔者赞同新增“破坏数据罪”，但反对新增“修改数据罪”。然而，不仅仅是破坏数据会对后续的信息利益产生损害，对数据进行修改但不影响其可用性的行为，也依然可能蕴含危害社会的风险。例如，《刑法》第134条之一的危险作业罪，便不仅处罚“销毁”相关数据的行为，也处罚“篡改”相关数据的行为，只要这一篡改数据的行为“具有发生重大伤亡事故或者其他严重后果的现实危险的”，就应构成危险作业罪。因此，基于数据犯罪的前置化定位，应当分别增加“破坏数据罪”与“修改数据罪”。同时，推行本文所主张的抽象危险犯数据犯罪立法，将上述四类行为入罪之后，也并不会导致现有的数据犯罪相关罪名，比如非法获取计算机信息系统数据罪的空洞化。这是因为，刑法此时所新设的系针对一般信息的前置化罪名，而非法获取计算机信息系统数据罪这类既有的数据犯罪罪名，都是针对具体信息的保护而进行的前置化立法。一方面，一般数据犯罪罪名属于抽象危险犯，在入罪门槛的设置上需要基于数据整体所具有的价值，考虑各类不同的因素方能决定，并非局限于“计算机数据”这一领域。故而针对“非法获取计算机信息系统数据”这一行为而言，其处罚范围并不一定与非法获取计算机信息系统数据罪保持一致。另一方面，也是因为前者抽象，后者具体，在针对“非法获取计算机信息系统数据”这一行为类型时，非法获取计算机信息系统数据罪的入罪门槛与量刑区间一般而言也将会更加合理与适配，因此依然存在适用的价值。

其次，刑法无需新增“拒不公开数据罪”和“滥用数据罪”。其一，有学者基于数据共享价值的重要性，认为“当负有数据公开义务的网络服务提供者拒不共享数据时，应当予以刑法规制”。然而，一方面，不公开数据的行为仅侵犯了数据共享价值的实现，并没有侵犯数据的保密性、可用性、完整性，站在法益侵害的角度，无法论证该行为应当入罪；另一方面，考虑到刑法的最后手段性，此时也可以使用其他手段促使网络服务提供者公开相关数据，而不需要直接新增“拒不公开数据罪”。其二，有学者主张我国立法层面上应将滥用数据的行为纳入刑法调整范畴。然而，单独设置“滥用数据罪”并不合理。一方面，基于数据犯罪的前置化定位，滥用数据的行为实际上就是侵犯具体信息利益的行为。刑法早已为保护相关利益设置了足够完整的罪名，适用这些罪名规制滥用数据行为即可；另一方面，“即使立法者单独设立滥用数据罪，由于滥用数据和获取数据处于对同一数据法益的侵犯过程，该罪和非法获取计算机信息系统数据罪成立处断的一罪，最终处罚和现在仍没有太大差别”。既然滥用数据的行为已有相关刑法规定予以规制，且新增滥用数据罪也无法得到充分的适用，根据增设新罪所需要考虑的“必要性原则”，应当拒绝增设“滥用数据罪”。

再次，数据犯罪构成要件的设置应当受数据分类分级的影响和制约。根据《数据安全法》第21条，国家应建立数据分类分级保护制度。数据犯罪的前置化定位决定了，当所涉及的数据的重要性愈高时，刑法也应当设置更为严厉的规制方式。例如，《工业和信息化领域数据安全管理办法（试行）》第8条规定：“根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度，工业和信息化领域数据分为一般数据、重要数据和核心数据三级。”基于数据的分类分级，数据犯罪构成要件的设置应当考虑以下两点：其一，即便是一般数据，也并不绝对被排斥在刑法保护范围之外。数据的特点之一是同一种类的数据可能蕴含不同种类的信息利益，因此，当数据的数量级足够大时，即便是一般数据也可能涉及重要的企业利益或者国家安全利益等等。刑法不应将一般数据排斥在保护范围之外。其二，基于一般数据、重要数据和核心数据被非法获取后可能存在的危险程度不同，应当为其设置具有阶梯性的入罪条件与刑罚幅度。比如，非法获取重要数据行为的入罪，同非法获取一般数据的行为相比，便只要求具有更少的数量级即可。又如，若将非法获取数据行为的基本法定刑确定为三年至七年的有期徒刑，那么非法获取核心数据的行为应当存在七年以上有期徒刑的刑法档次。

最后，数据犯罪体系内部不应当存在过失犯罪。有学者提到，基于数据一旦泄露即可能造成巨大危害，对于数据犯罪应当建立过失与故意并重的双重罪过模式。“因此无论是故意还是过失泄露数据的，数据管理者都应当负责。”但笔者认为，数据犯罪不应当存在过失犯罪形态。其一，我国刑法体系原则上不处罚过失造成财产损失的行为。不可否认，在互联网时代数据往往具有巨大的商业价值，数据泄露可能对相关个人、企业造成巨大的经济利益损失。然而，一方面，我国《刑法》只设立了“故意毁坏财物罪”，而未设立过失毁坏财物罪，这本身即是在说明，在我国刑法体系之中，过失造成财产损失的，无论价值多少都不应构成犯罪；另一方面，对于数据泄露而造成巨大财产损失这一特殊行为类型，《刑法》第180条也存在类似的“泄露内幕信息罪”，然而这一罪名也不处罚过失泄露行为。综上可知，不能以数据泄露等行为可能导致财产利益大量受损为由论证刑法应当设立过失数据犯罪。其二，数据犯罪作为抽象危险犯不应当存在过失犯罪形态。梳理近年来刑法所新增或者修改的抽象危险犯，不难发现，刑法并未设立过失的抽象危险犯条文。究其原因，抽象危险作为一种类型化的危险，“……只要行为人实施了立法预定的相应行为就推定客观上存在相应的危险，不需要公诉机关再去积极证明危险的存在”。此时，刑法处罚范围已经因为减少了司法机关的证明责任而不断扩张。若同时规定过失实施相应行为亦能够构成犯罪，那么会陷入过于限制公民自由的危险。这是在新增数据犯罪体系扩张刑罚处罚范围之时，尤其需要警惕的一点。

五

结语

基于数字社会迅猛发展所带来的数据洪流浪潮，数据已快速融入生产、分配、流通、消费和社会服务管理等各环节。数据越发成为我国经济社会发展的重要源动力之一，如果对其保护不力，可能会滋生大量的违法犯罪行为，从而制约社会的发展。因此，如何实现对数据安全的体系化保护，也是目前我国数字社会法治建设的重要内容。本文基于数据犯罪相对于信息犯罪的前置化定位，主张将数据犯罪的保护法益确定为数据的保密性、可用性、完整性。同时，为了控制数据犯罪的刑法立法边界，避免数据犯罪体系无限制扩张，立法机关在增设数据犯罪体系性罪名时，在立法方式上和犯罪种类上都要进行必要的限制。不应当将侵犯“一般数据”的行为排除在刑法处罚之外，也不应当将“过失犯罪”纳入数据犯罪体系。如此，我国新增的数据犯罪才足以形成逻辑自洽的体系，从而实现维护数据安全、保护信息利益的基本价值目标，丰富法律治理手段，最终完成刑法在建构数据基础制度体系时应有的任务。

-向上滑动，查看完整目录-

《政治与法律》2024年第5期目录

【主题研讨——审判体系和审判能力现代化研究】

1.功能视角下的裁判文书网上公开模式研究

欧元捷（2）

2.法院专项工作报告制度的运行逻辑与优化发展

——以最高人民法院专项工作报告的实践为分析素材

郭松（17）

3.指导性案例专题式发布的实践及其改进

孙光宁（34）

【经济刑法】

4.信息视角下数据犯罪的前置化定位及其立法边界

姚万勤（49）

【专论】

5.网络暴力与道德宪治：基于系统论的分析

伍德志（63）

6.法治与形式原则的性能：以形式与实质关系为中心

侯健（81）

7.形式解释论和实质解释论之争的质疑与剖析

蔡桂生（98）

【争鸣园地】

8.道路通向市场

——民事执行体制改革新论

陈杭平（114）

9.已公开个人信息刑法规制的分层建构

杨楠（128）

【实务研究】

10.网络著作权算法私人执法的异化及其矫正

张海燕（142）

11.论场内数据交易的法律制度建构

杨显滨（159）

《政治与法律》是上海社会科学院主管、上海社会科学院法学研究所主办的，把政治学和法学融于一炉、以法学为主的理论刊物。《政治与法律》恪守“研究政法理论，推动法制建设”的编辑方针，设有“热点问题”、“法学专论”、“经济刑法”、“立法研究”、“学术争鸣”、“案例研究”等栏目；积极推出国内外法学研究的最新成果。

法宝新AI·智能写作

无论是工作汇报，产品介绍，还是法律研究报告、市场宣传文案，法宝智能写作系统都能为您提供高质量写作支持，满足法律工作者日常学习工作中各类领域的写作需求，提供源源不断的创意与灵感，全面助力您的文案写作。您可以在平台上选择不同的写作模型，输入关键词和要点，即可自动生成文档大纲与内容。平台内嵌法宝V6数据库，让您的内容创作有据可依。与此同时，智能写作平台还支持实时对生成文档进行修改和优化，确保文章撰写的准确性。

—— 系统亮点 ——

“一键生成文章大纲”——输入关键词和内容要求，即可自动生成文章大纲，为您提供创作起点和清晰明了的写作思路。

“智能生成文章内容”——GPT模型结合法宝数据库快速生成逻辑自洽、内容丰富的文章。

“法宝V6数据库支持”——查阅生成结果的相关法律法规、学术期刊等信息。可准确理解法律术语，帮助生成符合要求的法律文件；能够自动匹配对应法律法规，实现法理逻辑处理自动化，增强文章权威性与可信度。法宝智能写作能及时跟踪法律法规的最新变化，避免使用已失效或废止的法律条文作为参考。

责任编辑 | 王睿

审核人员 | 张文硕 韩爽

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。