王霖：数据犯罪的刑事归责理论反思与数据持有权的刑法建构 | 政治与法律202604

【作者】王霖（贵州财经大学法学院副教授、法学博士）

【来源】北大法宝法学期刊库《政治与法律》2026年第4期（文末附本期期刊目录）。因篇幅较长，已略去原文注释。

内容提要：数据作为数字社会中的新质生产要素需要刑法为其提供周延保护，既有刑事归责图景反映出数据犯罪治理路径从侵害对象并合式保护向法益内涵独立性构建的路径转型，但以“安全论”驱动的法益确立思路仍存犯罪对象模糊性、侵害方式局限性、结果限定差异性等归责问题。对此，衍生于数据三权分置构型的数据持有权理念可以为数据犯罪的法益确定提供必要借鉴。通过数据持有权的“民刑衔接”与“刑法证成”，数据持有权的二元法益构造以一般性数据的竞争性利益与非竞争性利益为保护面向，并衍生出数据支配权与数据访问权两个子权类型，以对“破坏数据型犯罪”与“获取数据型犯罪”形成归责指引。数据持有权法益有助于数据犯罪的范畴厘清、弥合其归责间隙、契合数据犯罪的预防性治理思维。以数据持有权为基础完善数据犯罪的刑事归责，需要在侵害对象层面对一般性数据类型进行正向识别与反向排除，以数据支配权与访问权为依据展开实质违法性判断，以保护法益与侵害对象的双重考察消解数据犯罪与其他犯罪的“泛竞合”趋势，从而保障数据犯罪条文的独立品格与实现其立法功能。

关键词：数据犯罪；数据持有权；一般性数据；实质违法性；归责完善

目次 一、数据犯罪的刑事归责图景：规制对象混叠与保护法益分立 二、数据犯罪刑事归责的误区反思与向度新解 三、数据持有权的民法向度与刑法证成 四、数据持有权基础上数据犯罪的刑事归责完善 五、结语

在由数据、算力、算法编织而成的数字时代，数据作为基本元素不仅成为连接虚拟与现实空间的重要纽带，而且通过内容载体与价值表达功能呈现新质生产要素属性。考虑到数据所具有的要素性、生产性、价值性面向，如何于规范层面肯定其权利属性与实现路径不仅涉及数据客体的保护性议题，而且关乎数据要素融入社会性流动并参与社会化生产的现实效果。基于此，数据权利的构建范式在得到民事学理广泛关注的同时，亦需要通过数据犯罪的治理进入刑法视域。值得注意的是，面对数据犯罪的复杂样态，源于刑法层面的罪名体系设置因素及其保护法益的理解偏差，数据犯罪的刑事归责在学理与司法实践层面仍存在诸多分歧，并随着数字社会进程的推进而愈加扩大，这在一定程度上弱化了数据犯罪的规制效果。因此，在对既有数据犯罪刑事归责误区予以检视的同时，还需因应数字社会的时代背景合理填充数据犯罪法益内涵，以实现法益的立法批判与规范解释机能。在此过程中，数据权利的民法研讨可以为数据法益的刑法定位提供有益支撑，“并顺势完成从民法新型权利保护到刑法犯罪评价的话语转换”。在此意义上，数字时代的到来虽使传统刑法的适用张力面临挑战，但也为新形势下刑法治理范式的转型革新提供了契机，而对数据犯罪保护法益的再诠释将有助于数据犯罪治理方案的本土化、自主性构建。

一

数据犯罪的刑事归责图景：规制对象混叠与保护法益分立

数据本身具有价值多元与权利杂糅的特征，这使得以之为侵害对象的行为样态于规范维度存在多元评价，并引发了归责结论的差异化现象。特别是面对数字社会背景下数据形态的复杂化趋势，为消解数据犯罪内部归责类型、外部处罚边界的认知分歧，学理层面也完成了从界分数据与信息内涵向证成数据法益专属性地位的路径转型。回顾并检视数据犯罪的刑事归责图景，将对归责误区的准确定位以及数据法益的妥当理解有所助益。

（一）侵害对象并合式保护下的“泛数据罪”归责景象

虽然学理层面对于数据犯罪广义、狭义的概念区分在一定程度上有助于典型数据侵害行为归责类型的大致厘清，然而概念层面的限缩解释尝试未必带来数据犯罪处罚范围的同步收紧，在以数据本体作为保护对象的狭义数据犯罪与基于数据内容关联的广义数据犯罪之间，仍然存在边界失准与竞合混乱的现象。

1.信息保护范式下数据犯罪的适用扩张

作为数据犯罪刑法治理范式的一个前提性问题，在规范层面是否需要以及如何进行数据与信息内容的区分向来为学界所关注，并形成了“数据保护模式”与“信息保护模式”的分野。若从犯罪规制路径与法益保护的权重来看，刑法围绕信息内容构置的罪名体系更趋丰富，这似乎可以得出我国已基于实践情况和刑法条文形成了以信息为中心的规制模式。的确，信息内容与数据载体相比更易锁定个罪的法益内容，因此将不同场景下数据承载的个人信息、财产性利益、知识产权、商业秘密等具体内容作为刑法评价的重心自是立法技术上的优先选择。“立法也将一些数据因其承载的信息内容具有刑法保护的必要性而规定了单独的罪名并分布在不同章节中。”循此种逻辑，“信息保护模式”的刑法肯定理应压缩数据犯罪的存在空间，然而司法实践层面呈现数据犯罪“口袋化”扩张的另一番景象。一方面，数据与信息的区分不准引发数据犯罪与信息犯罪的边界模糊，司法实践存在将信息犯罪归为数据犯罪处理的情形。从刑法信息保护模式审视数据犯罪与信息犯罪的适用逻辑，后者因保护对象的特殊性、明确性本应优先适用。然而，源于数据与信息的界限模糊与内涵误读，数据犯罪在司法适用中存在“前置化”倾向。除将侵犯网络虚拟财产行为认定为数据犯罪之外，利用爬虫抓取他人计算机系统内知识产权型数据、商业秘密型数据的行为也被作为数据犯罪处理。另一方面，数字社会背景下数据样态多元化及其承载利益复杂化的现实趋势，使得以信息内容为蓝本设置的一般个罪面临适用困境，数据犯罪的归责范围随着其“堵截性”功能的司法放大而同频扩充增长。如侵害Cookie记录、网络域名、统方数据等新型数据形态，数据犯罪之外的其他罪名无法将其充分涵摄。在回应司法实践规制欲求与归责不能引发的处罚间隙之间，裁判者更倾向于通过扩张数据犯罪对象的外延以实现刑事归责的目的。此种处理导向在消解数据犯罪与其他犯罪类型化边界的同时，也造成数据犯罪对以信息内容为保护对象的其他犯罪辖制领域的侵入。值得注意的是，数据内涵的模糊除引发数据犯罪外部归责领域扩张之外，还可能导致数据犯罪内部归责类型的混乱。尽管学理层面承认非法获取计算机信息系统数据罪与破坏计算机信息系统罪第二款行为系狭义数据犯罪，但是将两罪的数据对象做相同的“一般化”理解还是将后罪的数据对象与系统安全相挂钩，司法实践层面仍存分歧，这在一定程度上弱化了数据犯罪归责类型的司法确定性。

2.数据分层逻辑下涉数据犯罪的竞合泛化

相对于区隔数据与信息范畴以限定数据犯罪归责领域的平面化思维而言，数据分层理论则表现为立体维度下数据与信息的整合性保护思路。因为数据与信息的区分前提是将二者预设为互异排斥的关系，数据分层理论则认为“同一个数据在不同的维度上具有不同层面的含义，针对的是相互关联的不同层面的事项”。数据分层理论作为网络技术面向下对数据切片化理解思路的统称，虽然其内部又衍生出诸多分层方法，但强调数据与信息的“一体两面”特性仍是其基本共识。数据分层立场旨在回应数据与信息界分思路所面临的困境，特别是面对新型数据样态与利益形态的复杂化，“在判断行为对象方面，分离记录信息的数据和信息本身十分困难”。因此，作为一种妥协方案，对二者予以并合式考察并进行一体化保护便成为一种理想的解题思路。数据犯罪之保护对象虽对应载体层的数据，为其映射的具体内容亦被刑法其他个罪所保护，但数据内容仍可视作数据的另一种呈现。这使得狭义数据犯罪所代表的本体性罪名与广义数据犯罪所对接的功能性罪名并非相互排斥，“任何数据不法行为都可能同时触犯本体罪名和功能罪名”。显然，此种“整体性”的数据犯罪归责思路将造成数据与信息内涵的重叠，并引发数据犯罪与其他犯罪竞合关系的泛化。值得注意的是，近年来围绕数据与信息区分以及数据犯罪与涉数据犯罪的归责分歧，在学理层面通过竞合理论予以回应的思路日渐盛行，“应提倡一种大竞合论，只要构成要件间存在‘竞合’关系，从一重处罚即可”。诚然，“大竞合论”的处理方案通过规范评价层面的“求同存异”一定程度上弱化了个案裁判的罪名分歧，有利于填补司法实践面向下因数据对象界分不清引发的归责间隙。然而，明确个罪的构成要件以实现刑法罚则的清晰区分向来为罪刑法定原则所重视，况且“立法过程最基本的考虑就是‘是否周延而无漏洞’以及是否‘累赘重复而多余’”。反观涉数据犯罪的竞合论思考进路，其更倾向于将“数据”作为一般性的概念以试图统摄多元化的个案情形，这在填补处罚漏洞的同时也可能抹拭个罪构成要件之间应有的类型化界限。通过数据与信息的简单化约，并“依据想象竞合直接适用传统犯罪，狭义数据犯罪规范实际上被虚置”。在此意义上，个罪要件的理想设置与合理解读应尽力避免归责领域的交叉与重叠，“不同犯罪构成要件之间的对立关系更符合立法设想，也更有利于司法操作”。就此而言，数据犯罪与其他个罪的竞合泛化不仅无益于前者处罚范围的理性收缩，而且有消解其立法独立价值的逻辑隐忧。

（二）数据法益独立化进程下的归责限缩检视

考虑到单纯于犯罪对象层面区分数据与信息或对二者一体化保护的做法难以有效回应数据犯罪的泛化趋势，从法益立场出发以明确数据犯罪独立品格与处罚范围的思路成为一种学术共识。数据法益的合理确立无法脱离数字社会的宏观背景而独立展开，而源于观察面向的差异，学理层面围绕数据法益的理解亦形成诸种构型。

1.技术特征面向下的单层数据法益构造

数据作为“双层社会”中的基本元素，通过与软件系统、物理架构的关联而成为犯罪对象、工具、载体。基于此种现实，以数据的技术特征与功能属性作为观察面向的数据法益确立思路为学者所重视，并形成了诸种单层法益构造理论。其中，数据秩序法益论立足数据载体的价值关联功能，通过强调数据蕴含的信息、系统、网络安全等保护需求，将其整体还原为数据秩序法益。然而，秩序型法益的建构逻辑向来为法教义学所警惕。虽然数据的多元面向使其拥有更强的包容性，但秩序型法益也“容易将纯粹的经济行政管制秩序纳入刑事司法之中”，并因法益内核的空泛化而失去对数据犯罪解释的说服力。因此，更多学者立足数据的技术特性来描绘静态数据安全的刑法画像，并将之作为数据法益的内核。“数据犯罪方式是数据安全风险在不同侧面的类型化表达”，这使得以静态数据的保密性、完整性、可用性填充数据法益内涵与秩序型法益立场相比更为明确。然而，忠实于数据客观特性的刻板还原，使得静态数据“安全论”指导下的狭义数据犯罪侵入了刑法对于信息内容的保护辖域。因为对于数据特性的上述理解也适用于信息内容的刑法保护，而后者正是广义数据犯罪的辖制范围，从而导致数据犯罪立法价值弱化以及与其他犯罪竞合泛化等问题。为避免上述理论误区，更多学者开始注重将前置法的数据保护逻辑与数据犯罪的刑法治理需求相衔接，并于动态数据安全立场上指出“‘数据安全’亦应指向计算机信息系统功能的实现”。应当承认，动态数据法益论将数据安全与系统安全相连接，一定程度上避免了数据法益内核稀薄化的问题，但其与已被学理广泛诟病的从计算机系统安全角度理解数据犯罪的思路具有亲和性，不仅隐含着使数据犯罪重归计算机犯罪体系的逻辑缺陷，而且可能导致数据对象的狭隘化问题。总体而言，谋求数据犯罪法益的独立化内涵是当前学理研讨的共同目标，但倚重数据技术特征的形式化认知也使得既有研究存在法益内涵失焦、数据犯罪矮化等问题。

2.数据权能视角下的双层数据法益构造

如何平衡个体自由与法益保护之间的价值张力是刑法介入社会治理的重要考量因素，这对数据犯罪问题同样适用。数字生产力的形成需要妥善协调数据管理与数据流动的双重诉求，将其投射于数据法益层面即是数据安全保障与数据权利维护的兼顾与平衡。因此，将二者予以一体整合以合理限定数据犯罪归责范围的双层数据法益构造渐为学者关注。“数据之上存在的不是‘非此即彼’的单项法益，也不是‘不分彼此’的多元法益，而是‘先此后彼’的双层法益。”需要说明的是，双层法益构造论只是与上述思路对应的统括性立场，其又因考察面向的差异衍生出诸种下位学说，有将数据安全与数据自决权叠加整合的观点，有将数据状态性安全与数据利益类型综合判断的观点，构建方式不一而足。上述观点虽在数据法益的内容设置上存在差异，但将数据安全与数据权利予以体系化整合的做法仍为底层共识。相对于单层数据法益构造而言，双层构造引入数据权利以限缩数据犯罪归责口径的做法更为新颖，然而数据安全与数据权利具有不同的评价重心，二者的价值张力加之数据权利内涵的不确定性使得双层法益构造并非稳定。一方面，数据犯罪的刑事规制的确应协调好数据管理与数据共享之间的关系，但并非意味着对两种不同的价值需求进行简单堆砌，否则二者的内在缺陷与利益冲突无法得到实质性消解。另一方面，数据权利内涵的不确定性一定程度上削弱了双层法益构造的稳定性。梳理既有双层法益构造的典型观点，在将数据安全作为共通的底层法益之外，上层法益仍存在新型权利与传统权利之间的设置分歧。前者借助“数据自决权”或“积极利用权”等新型权利类型来表达数据法益的内容，后者则回归财产权或信息利益等权利形态展开法益解读。然而，不论是新型权利还是传统权利均可能使数据犯罪滑向一般性罪名的适用，如数据自决权论者将之与个人信息权相嫁接，传统权利论者则借助财产法益或其他法益进行说明，这使得双层法益构造下的数据犯罪仍与侵犯公民个人信息罪、财产性犯罪、知识产权类犯罪等罪名相竞合，数据犯罪的独立立法功能并未得到法益层面的实质确认。就此而言，双层法益设想虽好，但源于内在结构与权利内涵的设置缺陷使其难获实益。因此，在坚守数据犯罪法益独立化研究向度的同时，如何实现法益内涵的合理确定仍是学理与司法实践需要直面的问题。

二

数据犯罪刑事归责的误区反思与向度新解

既有数据犯罪的刑事归责图景表明，从围绕数据对象进行形式性考察转向以数据法益为基础的实质性判断已经成为一种学术共识，并对数据犯罪的治理实践产生影响。数据法益的独立化进程有助于回应数据犯罪刑法条文于数字社会中的时代意义。然而，考虑到数据在数字生产力驱动与社会资源配置中的基础性作用，“安全论”驱动的数据法益确立思路无法满足数字社会的现实期盼，以之为基础建立的数据犯罪归责路径亦存在一定误区。因此，有必要循数据资源的功能属性探索新的数据犯罪治理方案。

（一）“安全论”驱动下的数据犯罪规制缺陷反思

为使数据犯罪与其他个罪的辖制领域形成区别，单层或双层数据法益论均关注数据本体的安全性，并将其作为确立数据犯罪法益内核的重要依据。此种物本逻辑思维使得当前主流的数据法益立场存在明显的“安全论”导向，并在数据犯罪的刑事归责过程中呈现犯罪对象模糊性、规制手段局限性、结果限定冗余性等问题。

1.犯罪对象模糊性：静态数据安全理论引发数据保护范围分歧

作为“安全论”驱动下的一种典型法益观，静态数据“安全论”主张将数据载体的保密性、完整性、可用性整体嵌入数据法益内核，以实现对数据不同侧面的刑法保护。然而，考虑到数据与信息的“一体性”，对数据上述特性的保护一样适用于信息内容，从而形成“数据安全被从属于信息安全之下”的法益定位。这使得数据保护范围面临诸多分歧，并典型体现在公开数据的刑法保护问题上。梳理既有裁判，以“爬虫第一案”为代表的类似判决体现出对获取公开数据行为从民事侵权向刑事归责的司法转型。然而，司法裁判的入刑结论并未带来学理层面的定分止争。随着爬虫技术的泛化应用以及类似案例的持续增多，学界对于公开数据的刑法保护态度愈加割裂。否定论者认为既然静态数据安全法益已将数据的机密性纳入刑法的考量范围，那么获取公开数据的行为自应阻却归责，否则“将加剧数据资产的两极分化现象，与数据反垄断的公共政策需求背道而驰”。的确，刑法对于公开数据获取行为的谦抑态度有助于防止刑法的工具主义倾向，但当前已公开的海量一般性数据仍可借助分析技术持续输出高价值信息，况且数据处理者也对其投入了大量成本，将公开数据全然排斥于刑法保护范围之外的做法有失片面。为避免处罚间隙，部分否定论者不得不对数据保密性另行解释，认为“‘非公开’是对传输（通信）过程而非传输的数据定性”，获取传输中的数据将会侵害数据的保密性。然而，绝大部分的公开数据并非于传输过程中被非法获取，上述解释无法回应当前获取公开数据入刑的司法现状与实践逻辑，与其说是对数据机密性的迂回式扩张，不如说是通过保护数据传输过程的“秘密性”变相承认了公开数据的刑法保护必要。可以看出，已公开数据的刑法保护分歧不仅折射出以数据客观属性阐释数据犯罪法益内涵的局限性，而且暴露出静态数据法益论之上数据犯罪归责范围的界定困境。

2.侵害方式局限性：动态数据安全立场引发刑事归责间隙

在对静态数据法益论的实践缺陷进行系统反思后，部分学者放弃了通过数据技术特性提炼数据法益的思路，转而通过承接《数据安全法》等前置法的保护逻辑，将数据安全法益限定为“网络环境中的数字序列能够被有效保护、合法利用以及具备持续安全状态能力的一种独立利益类型”。较之静态安全论，此一立场更关注数据全时性、流程性的动态安保需求，以维续数据在存储、传输、使用中的安全环境。考虑到数据状态性安全通常依附于计算机信息系统功能的正常运行，因此需要从系统安全维度对数据犯罪的侵害对象与实行行为进行必要限定。如就非法获取计算机信息系统数据罪而言，动态数据“安全论”认为作为其保护对象的数据应与系统功能的安全性直接关联，以区别于虚拟财产、个人信息等数据类型。然而，此种将数据法益与计算机系统安全绑定的做法不仅弱化了数据犯罪的独立立法价值，而且会引发数据侵害行为的刑事归责间隙。非法获取计算机信息系统数据罪同时包括“系统侵入型数据获取行为”与“其他数据获取行为”，学理层面一般将后者理解为采用侵入以外的技术手段获取他人计算机信息系统中存储、处理或者传输的数据。司法实践中以上述方式获取数据的情形也非罕见，如公司离职人员利用原账号下载公司系统数据的行为、使用AI撞库技术获取数据的行为等，上述行为并未使动态数据安全法益所对应的系统功能与数据安全状态遭受侵害，因而无法被纳入非法获取计算机信息系统罪的归责范围，但这并不符合既有司法裁判的入罪立场。特别是当行为人以上述方式获取的数据因不具备个人信息、知识产权、商业秘密等特性而无法为其他罪名所规制时，动态数据安全法益论将产生明显的归责间隙，“这显然不论是在立法技术上还是在司法适用上，都违背刑法的基本原理”。

3.结果限定差异性：系统功能保护需求造成个罪归责偏差

“安全论”驱动下的数据法益立场分歧不仅涉及数据犯罪概念的不同理解，而且关系着数据犯罪归责路径的差异化构建。如《刑法》286条破坏计算机信息系统罪第二款虽明确了删除、修改、增加数据的行为类型，但是否要求行为造成计算机信息系统功能破坏的结果，数据安全法益论内部存在理解分歧，并映射于个案裁判中。静态数据安全论者倾向于对系统破坏的结果性要件作形式化判断，认为针对数据实施删除、修改、增加的行为即已破坏数据的完整性、可用性，因此应忠实于法条表述对其入罪处理。如有判例将行为人利用系统漏洞复制、生成游戏装备的行为认定为破坏计算机信息系统罪，理由在于涉案行为使大量游戏装备流入游戏生态中，在改变系统数据的同时破坏了游戏系统环境与用户体验。然而，涉案行为并未破坏游戏系统的实际功能，尽管上述判决在形式层面尽力维护“系统破坏”的结果性要件，但其底层逻辑已然倒向了以数据三性为考察重心的静态数据安全立场，形成了“破坏数据”等于“破坏系统”的归责逻辑。与之不同，最高人民法院指导案例145号则体现出动态数据“安全论”的归责导向，该案裁判要旨指出行为人“虽对目标服务器的数据实施了修改、增加的侵犯行为，但未造成该信息系统功能的实质性破坏”，因此不应被认定为破坏计算机信息系统罪。也就是说，数据安全法益并非仅指数据本身的安全，更在于被侵害数据所关联的系统性安全。可以看出，“仅仅对数据进行删除、修改、增加但没有造成计算机信息系统不能正常运行的行为如何处理，已经在司法实务中陷入混乱”。系统功能破坏的结果性限定是否必要，静态数据安全法益论与动态数据安全法益论在各自诠释数据安全内涵的同时，也带来了对结果性要件的不同理解，最终作用于司法实务引发类案异判。

（二）新构型的启示：三权分置结构下一般性数据与持有权的对接

面对数字社会下数据对于传统利益的承托以及新型价值的衍生，循数据流动过程并动态适配数据权利的思路在前置法领域得到持续关注。“数据三权分置背景下，以权利类型作为逻辑起点，以刑法法益作为跨法域连接要素，在规范保护目的价值引导下，会形成以典型数据法益作为保护对象的刑法规制领域。”因此，从“数据安全论”向“数据权利论”的研究范式转型也许可为数据犯罪的刑法治理提供新的思路。

1.数据客体与数据权属之间的动态匹配关系

区别于现实空间的物质性客体，数据于数字空间中呈现样本虚拟、内容共享、价值多元等特性，这使其能够映射出复杂的利益形态。对此，试图将传统权利模型套用于数据之上亦或寻求利用单一权利形态统摄多元数据价值的思路均面临一定障碍。从数据的形成过程来看，个人、企业、政府等参与主体均可成为数据产生的来源，而数据的共享性决定了数据只有在持续流动中才能实现潜在价值的充分发掘，上述特质使得数据对应的利益内容与权利归属呈现动态匹配关系。在纵向流转过程中，数据进行着从数据要素向数据产品的样态转型，与此同时，横向维度上数据客体的外在变化也会带来权利主体与权利类型的阶段性更替。就此而言，权利视角下的数据客体与权利主体之间无法被设定为一成不变的链接关系，而应构建“以数据全生命周期为主线，在数据成长链条中渐次展开的由多个不同性质的产权所构成的动态运行体系”。此种数据对象与数据权属之间的动态匹配关系已经得到数据公共治理层面的广泛认同，并在一系列国家政策性文件中得到体现。2022年12月国务院《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》）明确提出“建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制”。上述三权分置结构中的数据客体与数据权属呈种属对应关系，此种动态包容的数据权属确认思路不仅关注数据在流转分享过程中的阶段变迁，而且回应了循差异化的数据客体与归属主体分别配置数据权利的现实需求。因此，以各阶段的数据形态为基础分别适配不同的权利类型，便实现了从数据技术维度到数据价值维度、从数据客观特性考察到权利内涵确认的逻辑衔接。

2.规范论立场上一般性数据的持有权保护理念

借助算法与算力的外部支持，数据比以往任何时候都更显示出其对完善社会资源配置、提升国家治理效能的现实意义。因此，在数字社会的深度构建过程中，对于数据资源的有效整合与价值发掘更应注重从认识论层面深化数据利益的体系化分析，并最终于规范论层面完成数据权利的类型化构建。明晰的产权制度是进行资源市场化配置并实现帕累托最优的必要条件，数据权利的认知模糊与规范缺失无法为数据资源的有序流转提供必要的支持。然而，遵循数据特性向数据权利的还原过程并非意味着偏重数据的控制性保护而忽视数据的共享性需求。数据产权的利益分配不应当是零和博弈，而应当是共赢机制，因此需要在数据确权的基础上实现数据管理与流转共享的整体平衡。

据此审视数据三权分置结构所蕴含的动态数据赋权理念，通过数据形态与权利类型的同步匹配，数据资源持有权奠定了数据权利体系的逻辑起点，并在数据资源向数据产品的跃迁过程中推动着数据权利类型的同步变化。“数据资源是知识生产和机器智能的原料”，其有别于已被类型化的个人信息、知识产权、商业秘密等数据形态，是有待进一步挖掘内容与析出价值的数据种类。海量数据资源的持续供给保证了数据算法的可靠度与数据产品的成熟性。数据资源作为一般性数据的概括，“在类型上不同于早期的系统内数据，不是指对线下已有信息的电子化呈现，或者对线下已有事实、概念的电子化描述”，围绕其进行的汇集、整合、加工、分析将为后续数据价值挖掘与数据产品设计提供必要支撑。因此，区别于其他数据客体与权利类型，将数据资源所代表的一般性数据与数据持有权进行对接保护，是对数据实然特性与规范价值的双重关照。以之为指引塑造刑法的数据法益内涵，与纯然以“安全论”为导向的数据保护理念相比更为合理。一方面，“数据持有兼具事实与规范二重性”，数据持有权的塑造有助于存在论层面数据外部特性与规范论层面数据隐含价值的双向衔接，避免了过往纯然借助数据技术特征析出数据法益的形式化思维。另一方面，数据持有概念蕴含着有限控制与积极共享的融合性数据确权理念。相较之下，传统的数据安全法益构造更偏向于通过控制数据客体以实现数据保护的效果，然而“控制模式忽视了数据的公共产品属性，无法全面、有效保护数据法益”，这使其难以回应数据共享需求引发的刑事规制难题，弱化了刑法对于数字时代新型数据犯罪问题的解决能力。在此意义上，就数据犯罪治理而言，在刑法能够提供保护的多个路径中，优先解决数据权益保护问题至关重要。而以数据持有权为基础推动“数据安全论”向“数据权利论”的治理范式转型，将为数据犯罪的法益确立与归责路径构建提供新的视角。

三

数据持有权的民法向度与刑法证成

数据赋权模式的选择不仅涉及对数据类型及其价值内涵的还原路径，而且关乎数据控制与分享之间的利益平衡。《数据二十条》蕴含的三权分置结构有助于实现数据流转系统中数据客体、利益主体、权利样态之间的协调统一。然而，政策文本中的赋权理念并非等同于法规范层面的权利设定，数据资源持有权的实践性意义尚需经历法教义学的规范校验与内涵充实方能实现。而作为数据权利的刑法保护面向，数据犯罪法益内涵的合理确立也应对数据权利的民法学理探讨投以必要关注，并通过数据持有权的刑法证成实现对数据犯罪归责问题的妥善应答。

（一）数据持有权的民法向度：弱控制基础上的流动性需求

考虑到数据的存在形态有别于现实空间的物质性客体，以后者为蓝本构建的权利模型无法套搬于数据之上，合理的数据赋权思路还应超越对传统权利样本的简单临摹，以探索契合数字社会维度的数据确权范式。因此，在肯定数据三权分置的基础上，还应对作为数据权利体系基点的数据持有权予以内涵阐释，从而为数据持有权的刑法嵌入提供理论支撑。

1.数据持有权的存在基础与学理分歧

重视数据共享的意义并不意味着数据没有确立归属与管理的现实需要，合理的数据控制不仅是对数据析出利益的有效保护，而且是持续推动数据流转共享、加工使用、价值增长的内在动力。应当承认，数据控制与数据共享作为影响数据赋权模式建构的底层变量，二者的内在张力也通过差异化的考察面向呈现于数据确权的理论争议中。其中，关注数据生产资料与信息资源属性的学者更倾向于从控制性角度理解数据权属，因此寻求数据的物权性保护为其所重视。反之，从数据生产要素特性出发回应数据流动性需求的学者则拒绝对数据进行物权化判断，以避免可能引发的数据壁垒现象。在此背景下，《数据二十条》蕴含的三权分置理念则试图摆脱数据确权的传统争执，回归数据“持有”的事实性状态以确立数据权利的衍生基础。相较而言，此种搁置争议并着眼现实的数据赋权理念更为务实。然而，作为对数据存在状态的一种类权利描述，数据“持有权”在政策文本中的出现并不意味着其获得了确定的法规范效力，更多的是“力图赋予这种基础事实一定的法律意义，并在此基础上探索数据如何被分享和保护”。而从存在论层面的持有状态向规范论层面的权利转换过程中，数据持有权的内涵理解仍存在诸多分歧。有学者通过分析数据持有的效力面向，认为：“数据资源持有权在法律上应解释为‘持有主体合法控制数据资源并免受非法干扰和攻击的利益’。”注重数据共享性的学者则主张“以公平效率为原则，明确各个主体如何分享数据相关权益”的解读思路。其实，上述数据持有权内涵的认知分歧，一定意义上仍可被视作传统数据确权争议在持有权塑造问题上的进一步延续，是数据控制性保护与共享性需要的对立体现。然而，塑造数据持有权的初衷即在于超越传统权利范式，以形成数据管理与分享一体融合的新赋权进路。因此，在肯定数据三权分置理念合理性的基础上，仍着眼于数据控制亦或分享的单一面向显然不合时宜，数据持有权的构建必须回应数据多元价值的保护需求。

2.数据持有权的双重利益面向

《数据二十条》蕴含的数据设权理念旨在跨越传统数据确权立场的分歧，通过确立一种客观的数据存在状态并将其作为新的研讨起点，于持有权角度全面回应数据控制与流动的差异化需求。“以数据资源持有权为初始数据‘母权’这一理解为逻辑起点”，持有权能够且应当涵摄数据的不同利益形态并对其妥善安置。诚然，数据客体及其承载利益的复杂性增加了数据确权的实践难度，但数据之上的多元利益形态仍可还原为“竞争性利益”与“非竞争性利益”两种类型。前者代表着数据在客观实态上能够被排他支配与免于侵害的管理性需要，控制性手段是实现此种利益的直接方式；后者诠释了数据共享的流动性需要，是数据形态变迁与价值发现的必要途径。“既然数据之上既有竞争性利益又有非竞争性利益，那么数据持有的法律构造就应当具有二元结构”，以对两种利益形态进行全面覆盖。

一方面，数据的虚拟性、可复制性只是与实物对象相比的感官差异而形成的表象认识，借助计算机信息系统的物理性与功能性加持，数据本身也可获得类似于实物控制的现实效果。与这种类物性、实控性相对应的便是数据的竞争性利益，他人擅自对数据客体进行删除、修改、增加即是对上述特性的破坏，在改变数据存在样态的同时侵害了数据的竞争性利益。因此，竞争性利益角度下的数据持有权可以表现为“权利人就其合法持有的数据集合排除他人侵害之权利”。另一方面，数据的可复制性使其能够在被分享的同时维持初始样本的稳定，并在后续流转、加工过程中实现价值增溢。此时数据所承载的即是非竞争性利益，其更关注数据应以何种方式被合理获取、访问与共享。若他人擅自获取数据，即便未改变数据的存在形态，仍然侵害了数据的非竞争性利益，与此种利益类型相对应的便是数据的访问权。不过，考虑到数据持有者通常可以没有障碍地行使访问权，数据访问权的设置主要在于考量如何为数据持有主体之外的第三人限定数据访问的方式与范围。就此而言，特定场景下的数据形态使得数据兼具竞争性利益与非竞争性利益，前者着眼于数据的实控性特征，后者关联数据的共享性需要，而数据持有权恰是对两种利益诉求的体系整合与全面回应。

（二）数据持有权的刑法证成：持有权法益的二元结构塑造

应当承认，民法领域关于数据持有权的探讨深化了数据利益类型的学理认知，以之为起点构建数据资源持有权可以为差异化的数据利益面向提供一体化的保护方案。

循数据犯罪治理从“安全观”向“权利观”的范式转型，数据犯罪保护法益的合理确定需要扬弃数据持有权的概念内涵与设权思路，通过数据持有权的民刑衔接与刑法证成，实现数据竞争性利益与非竞争性利益的一体化保护，以为数据犯罪归责问题的化解提供新的思路。

1.破坏数据型犯罪：数据竞争性利益的支配权保护

考虑到数据的类物性与竞争性利益之间的映射关系，数据持有权的法益构造需要覆盖数据的竞争性利益，并衍生出数据支配权作为数据持有权的子权利类型，以形成对“破坏数据型犯罪”的解释功能。回归刑法的数据犯罪体系，破坏计算机信息系统罪第二款因涉及删除、修改、增加数据的行为而被学界纳入狭义数据犯罪的讨论范畴，其实行行为对应的即是对数据支配权指向的竞争性利益的侵害。一方面，数据破坏行为侵害的是计算机信息系统中存储、处理、传输的数据形态，此时数据虽存在于虚拟空间之中，但其本身也具有类物特性，对其施加外力侵害将改变数据的存在方式与实际功能。虽然可以通过排除妨碍、恢复原状等技术性手段尽力还原数据样态，但其被改变、破坏的事实是无法否认的。况且，一定情形下的数据删除行为也可使数据彻底损毁。因此，数据能以持有主体所意欲的方式稳定存续或自由支配应作为法律保护的内容，数据的类物特性需要避免不当的外力干涉。另一方面，数据持有主体对数据的控制力也是竞争性的。“针对一个特定的数据副本，一人实施更改、删除或者增加的处理行为后，他人无法实施相同的处理行为。”数据持有主体能够依托物理载体与系统功能对数据进行实力控制，这不仅向外界展示了持有者对数据的支配能力，而且释放出禁止他人妨害持有者支配数据可能的信息。在此意义上，刑法之所以禁止他人擅自对数据实施删除、修改、增加的行为，目的即在于维护数据持有者支配数据的效果。

2.获取数据型犯罪：数据非竞争性利益的访问权保护

数据的价值在于流动与使用，不同的数据活动参与者正是借助数据存储、汇集、加工、使用活动推动着数据体量与价值的扩充增长，并实现数据元素向数据产品的质变转型。从数据访问权的形成逻辑来看，其派生于数据持有权并以数据的非竞争性利益为保护面向，这使得访问权的设置须处理好数据使用层面的“利己”与“利他”关系，以避免数据“公地悲剧”与“反公地悲剧”问题的出现。因此，数据持有者虽通过控制数据客体而获得了访问数据的能力，但这只描述了数据访问权的一个侧面，还应为数据持有者外的第三人赋予合理的数据访问可能，从而满足数据共享性需要以实现数据访问权的完整表达。基于数据非竞争性利益与数据访问权的映射关系，数据访问权可以对“获取数据型犯罪”提供归责指引。《刑法》通过设立非法获取计算机信息系统数据罪以保护一般性系统内的数据对象，本罪构成要件虽涵摄“侵入型数据获取行为”与“其他手段数据获取行为”两种类型，但二者均可被理解为对数据访问权的侵害。一方面，源于数据持有者对数据的实控能力，其当然具有访问数据的权利，除此之外的侵入系统或以其他技术手段擅自访问、获取数据的行为均是对持有者访问权的侵害。如行为人以突破系统身份识别功能的方式访问数据，或公司员工虽以正常方式登录系统却获取超出其访问权限的数据，二者表现方式不同但对访问权的侵害是一致的。另一方面，数据的价值有赖于数据资源的充分流动，数据访问权不仅需要满足数据持有者的访问需要，而且应关注第三者合理的数据获取诉求，以避免数据壁垒现象。如欧盟已率先启动数据访问规则的规范性构建，并通过2024年《数据法案》完成了从单纯强调数据产权性保护向同时注重数据访问权构建的路径转型。数据访问权的“利己”与“利他”逻辑有助于刑法确立合理的公开数据保护限度。因此，数据访问权作为数据持有权法益的下位分枝，应被一体纳入刑法中进行保护，并对“获取数据型犯罪”提供归责指引。

（三）数据持有权法益的功能优势

数据持有权法益旨在从权利视角解读数据犯罪的侵害本质，以消解既有“安全论”导向下的数据犯罪归责问题。“数据持有奠基于持有者对数据的事实控制状态，但数据持有并未止步于纯粹事实层面，而是具有法律规范性的面向。”因此，从刑法维度合理阐释数据持有权的理论面向，将有益于其个罪指导功能及实践理性的实现。

1.数据持有权有助于数据犯罪的范畴厘清

当前，数据犯罪的归责范围扩张与竞合泛化问题已经引发了学界的广泛研讨，从侵害对象界分向数据法益证成的视角切换虽有助于阐释数据犯罪的立法逻辑，但“安全论”导向的数据法益立场仍然无法妥善化解数据犯罪的治理难题。原因即在于“安全论”法益立场并未形成具体的法益内核，无法为数据犯罪归责范围的明确化提供实质性指引。考虑到数字社会下数据负载利益的多元化，“数据安全”概念的强包容性使其难以对数据“载体安全”与“内容安全”进行准确区分，导致数据犯罪与其他犯罪之间的界限混淆。与之不同，数据持有权法益从数据对象与数据权利的动态匹配角度塑造数据犯罪的法益内核，有助于厘清数据犯罪的外部处罚边界与内部归责类型。一方面，持有权法益有助于实现数据犯罪归责范围的合理限定。司法实践中广泛存在单一数据侵害行为涉及多重法益类型的情形，过往学界多以竞合论回应此种现象，这在造成数据犯罪与其他犯罪广泛竞合的同时，不当扩延了数据犯罪的处罚范围。有别于“安全论”导向的数据法益确定思维，持有权法益将数据资源的持有状态整合为数据犯罪的法益内涵，使数据犯罪的侵害对象被限定为一般性数据类型，从而在侵害对象与保护法益层面均区别于侵犯公民个人信息、网络虚拟财产、知识产权等犯罪行为。另一方面，以数据的竞争性利益与非竞争性利益为保护面向，数据持有权法益衍生出数据支配权与数据访问权两种子权类型。前者旨在维持数据持有者对数据的现实管理状态，以使数据能够以持有者期望的方式存在；后者重在维护数据持有者的访问权利，并合理关照第三人的数据访问可能。数据持有权法益的二元结构能够分别阐释“破坏数据型犯罪”与“访问数据型犯罪”的侵害本质，使数据犯罪的内部归责类型得以明确。就此而言，由“安全论驱动”向“权利论主导”的法益转型有利于数据犯罪归责边界的厘清。

2.数据持有权弥合了数据犯罪的归责间隙

动态数据安全法益论的支持者将数据犯罪的侵害对象与计算机系统安全相捆绑，以避免静态数据“安全论”片面关注数据载体特性所引发的法益稀薄化、归责宽泛化问题。因为侵害数据载体与数据内容的行为均可被解读为对“数据安全性”的破坏，这对区分数据犯罪与其他犯罪并无实益。然而，如果说静态数据法益论的缺陷在于数据犯罪归责范围的宽泛性，那么动态数据法益论则可能导致归责口径狭窄化问题。如离职员工使用原公司系统账号获取大量公司采购、销售数据，由于该行为并不涉及计算机信息系统的运行安全，若数据本身也不涉及个人信息、商业机密、虚拟财产等个罪对象或其承载法益，那么遵循动态数据法益论将无法以非法获取计算机信息系统数据罪或其他犯罪处理，形成处罚间隙。类似的问题也出现在破坏计算机信息系统罪中，若行为人删除、修改、增加的数据与系统功能并无关联，且不涉及其他法益类型，将导致行为无法归责。可以看出，动态数据法益论将数据对象与系统安全进行捆绑的做法虽限缩了数据犯罪的侵害对象，但也导致明显的处罚漏洞。与之不同，数据持有权法益从数据权利角度理解一般性数据的持有状态，使数据法益摆脱了对数据安全、系统安全的依附关系。由于数据持有权法益对应一般性数据的持有状态，且蕴含数据支配权与访问权两个面向，因此当数据内容体现出个人信息、虚拟财产、商业秘密时，便应通过其他一般个罪进行刑事归责。反之，则需结合一般性数据支配权与访问权的内容指向，对一般性数据的侵害行为分别以非法获取计算机信息系统数据罪或破坏计算机信息系统罪进行处罚。

3.数据持有权契合数据犯罪的预防性治理思维

“刑罚早期化与转型中国社会的发展存在内在联系”，在网络社会与风险社会叠加共存的背景下，风险刑法观推动的刑罚早期化已经成为刑法应对社会风险复杂化、逸散化趋势的基本策略。因应风险社会下的刑法功能主义走向，数据持有权法益有利于说明数据犯罪蕴含的刑法预防性思维，即通过一般性数据的持有权保护以实现刑法对其他罪行的前置性治理。一方面，刑法只是将少量典型的数据类型纳入个罪保护范围，并从中抽象出具体的人格、财产、知识产权等法益内涵，除此之外的海量一般性数据并非上述个罪所欲保护的对象。然而，这并不意味着一般性数据没有刑法保护的必要性，“因为即便是不含有特殊信息的一般数据，在大数据时代，也可以通过数据分析技术挖掘隐含在一般数据中的特殊数据，进而实施违法犯罪”。观察数据犯罪向其他犯罪的异化链条，数据侵害行为通常位于其他犯罪的前端与上游，非法获取的数据往往被用于实施诈骗、敲诈勒索、盗窃等下游犯罪。因此，将一般性数据的持有权作为数据犯罪的法益类型，有助于实现以治理数据犯罪间接预防下游犯罪的效果。另一方面，虽然数据犯罪与刑法持有型犯罪存在个罪构造差异，但通过规范持有行为以前置保护关联法益的归责逻辑是共通的。持有犯的个罪构造赋予了其危险犯的品格，这与数据持有权法益指引下的数据犯罪具有罪质层面的近似性。数据持有权法益旨在保护一般性数据的持有状态，在禁止对一般性数据非法获取、增加、修改、删除的同时，可以实现对其他犯罪关联的数据内容的刑法保护效果。在此意义上，数据持有权法益更有利于说明“‘数据犯罪的刑法定位系信息犯罪的前置化’的逻辑结论”，从而实现以数据犯罪预防下游其他犯罪的司法实践效果。

四

数据持有权基础上数据犯罪的刑事归责完善

“数据犯罪的判断逻辑起点是对数据权利属性的判别”，这使得数据权利的界定与保护成为民法与刑法共同关注的课题。《数据二十条》提出的三权分置权利结构为数据权属界定提供了新的视角与路线。作为三权分置权利体系的基础，数据持有权立足数据资源的客观持有状态，通过关注数据竞争性利益与非竞争性利益的差异化保护面向，有助于在协调数据控制与分享的基础上实现一般性数据的价值最大化。通过数据权利保护的民刑衔接与数据法益内涵的刑法证成，数据持有权可以为数据犯罪的理论阐释与归责完善提供新的视角与路线。

（一）侵害对象的廓清：一般性数据的范围界定

个罪法益与侵害对象存在映射关系，侵害对象是保护法益的具象式呈现，保护法益是侵害对象的抽象化表达，模糊的法益内涵将导致个罪侵害对象的认知迷失。因此，以数据持有权法益锚定数据犯罪的侵害对象，并从“正向识别”与“反向排除”两个层面明确一般性数据的范围，将为数据犯罪归责边界的厘清提供基本指引。

1.正向识别：一般性数据的类型化判断

在《数据二十条》的三权分置结构中，数据资源与数据持有权具有对接关系，持有权是对数据资源实控状态的规范性塑造与权利化表达。数据资源内涵的包容性使其在学理层面存在不同理解，广义的数据资源“泛指人类社会全部事物所呈现或所表述的运动状态及其变化形式，具有抽象性、整体性和不可支配性”。此种界定方式注重把握数据资源的本质，是对其社会属性与存在形态的概括性总结。然而，广义的数据资源概念虽然实现了指涉范围的最大化，但过于宽泛的外延也使其无法为与之关联的持有权提供一个明确的基础。因此，学理层面基于数据设权的需要更倾向于从狭义角度理解数据资源，认为数据资源持有权的“对象应当是能够流通利用的一般数据”。应当承认，从一般性数据角度理解数据资源，是对其概念核心的准确把握，以之作为数据持有权的客体并纳入刑法保护范围，有助于数据犯罪保护对象的进一步明确，且与数据分类分级制度相契合。

《数据安全法》中的数据分类分级制度对于数据对象的刑法保护具有指引意义，特别是2024年出台的《数据安全技术数据分类分级规则》（GB/T 43697-2024）（以下简称《数据规则》）从技术层面为数据分类与分级界定提供了实操指引。《数据规则》以行业领域、管理需要为依据在对数据进行横向分类的基础上，依据数据内容的重要性以及遭受侵害的危害程度构建了从核心数据到重要数据再向一般数据过渡的纵向数据分级体系，并于第6.5条C款将未识别为核心数据、重要数据的其他数据确定为一般数据。上述数据分类分级体系与刑法的数据保护思路具有一致性，且刑法更注重数据分类与分级的“一体化”与“融合性”保护。一方面，从数据分类角度来看，刑法确立了狭义数据犯罪与广义数据犯罪的分类治理策略。后者关联的数据对象因涉及不同的行业、领域而更为特殊，对此，《刑法》通过人格性、财产性、知识产权等法益内容对数据对象予以进一步明确，以区别于狭义数据犯罪对应的一般数据类型。广义数据犯罪与狭义数据犯罪的分置安排是数据分类保护的刑法体现。另一方面，《刑法》对数据犯罪体系的设置也蕴含着数据分级保护的思维，反映了《刑法》对不同数据保护必要性的纵向差异，体现了数据对象与法益权重之间的对应关系。其中，一般性数据具有“数据要素”特性，是还未析出特殊、重要法益内容的数据类型，诸如医院的统方数据、已公开的公交运行状态信息、不体现个人信息的账号或密码等数据。与之不同，重要数据、核心数据负载的利益内容与法益形态更为具体，因直接关系国家、经济、社会、个体利益的保护需求而被《刑法》以其他个罪形式呈现。在此意义上，《刑法》采取了将数据横向分类与纵向分级进行一体整合的保护策略，而将一般性数据作为数据犯罪的保护对象，不仅有助于区隔数据犯罪与其他犯罪的侵害对象，而且可廓清数据犯罪的处罚范围。

2.反向排除：一般性数据的要素性限缩

为实现数据资源持有权的类型化塑造，一般性数据的要素性特征被学者所关注，以使其区别于其他数据类型。一般性数据更接近于数据的初级形态，其“在数字经济中的主要作用，不是给人们直接提供信息内容，而是给机器智能提供生产要素”。此种要素特性不仅决定了一般性数据与其他数据的类型化差异，而且要求刑法对二者进行区别保护。因此，为明确数据犯罪的处罚范围，需要将具有要素特征的一般性数据与已被《刑法》其他个罪专属性保护的数据类型相区分，并将后者从数据犯罪的侵害对象中排除。首先，一般性数据的“要素性”有别于公民个人信息的“可识别性”，后者是指“信息与信息主体存在某种客观确定的关联性、专属性，包括直接识别性和间接识别性”。可识别性已经成为当前学理与司法实务层面认定个人信息的基本准则，通过发现数据与个人之间的特定联系，有助于刑法对个人信息与一般性数据的区分保护。其次，一般性数据有别于体现财产性利益的虚拟财产型数据。虚拟财产型数据具有价值单边性，“网络虚拟财产在面对网络用户和网络服务提供者时，呈现出两种完全不同的价值形态：前者具有独立的财产价值，后者则无”。因此，价值单边性将使虚拟财产因持有主体的不同而在刑法层面形成差异化的性质评价。如就网络游戏道具而言，当持有主体为运营商时其呈现出一般性数据的要素特征，在用户侧面则表现为财产性利益属性。在侵害网络游戏道具的案件中，真正承担财产性损失的是用户个体，网络服务提供者更多关注的是正常的网络服务秩序。最后，应将以数据形式存在的知识产权客体从一般性数据中排除。网络技术的发展推动了知识产权客体的数字化转变，衍生出诸如NFT数字藏品、游戏建模、网络域名等新型知识产权客体。数据型知识产权客体具有明显的“独创性”特征，它不是对“现有产品的简单重复，也非对现有事物的描述和记录”。这使其区别于具有“要素性”特征的一般性数据。对于侵害具有“独创性”特征的数据类型，应采取知识产权类犯罪的规制路径，而非进入数据犯罪的归责范围。就此而言，一般性数据不具有“可识别性”“价值单边性”“独创性”特征，数据犯罪的侵害对象亦不应囊括体现个人信息、财产性利益、知识产权特性的数据类型，此种对数据犯罪侵害对象的反向排除有助于数据犯罪处罚范围的限缩。

（二）实质违法性的考察：以数据持有权的二元结构为判断锚点

循事实性描述向规范性塑造的设权逻辑，一般性数据的持有权类型可以通过民刑衔接内化整合为数据犯罪的保护法益，并最终作用于数据犯罪的刑法治理面向。将数据持有权作为数据犯罪的保护法益，是对侵害对象层面的“一般性数据”与法益层面“二元权利构型”的一体化整合，以之为基准考察数据犯罪的不法性，将有助于个罪的准确归责与实践问题的解决。

1.“数据支配权”下破坏数据型犯罪的违法性判断

就《刑法》第286条破坏计算机信息系统罪第二款行为是否应造成系统功能破坏的结果，学理与司法实践层面并未形成共识。若从数据持有权法益衍生的数据支配权角度审视，“后果严重的”罪状表述不应被理解为对系统功能的破坏，而应被视作对一般性数据支配权的侵害性评价。一方面，本罪第二款在罪状表述中并未将侵害结果限定为对系统功能的破坏，明显区别于本罪第一、第三款的表述。诚然，底层数据代码因涉及系统性框架，对其破坏会引发系统功能失常的结果，但其范围远小于由系统存储、处理、传输之一般性数据的范围。据统计，在因破坏数据而构成破坏计算机信息系统罪的司法判例中，犯罪对象为一般数据的案例占比高达68.6%。因此，如何保障一般性数据的存在状态才是“破坏数据型犯罪”违法性判断的重心，而这正是数据支配权的评价面向。若认为《刑法》第286条第二款的实行行为还需造成系统功能破坏的结果，不仅是对其罪状表述的误读，而且会因数据对象的不当限缩解释而形成数据犯罪的归责间隙。因此，有必要在尊重《刑法》第286条第二款罪状表述的基础上，将其涵摄范围限定为针对系统内部一般性数据进行非法删除、修改、增加操作而损害数据支配权的行为类型。数据支配权解释向度使破坏数据行为与损害系统行为得以分置评价，后者因关联计算机系统安全法益而涉及《刑法》第286条第一、第三款罪行。因此，破坏计算机信息系统罪的保护法益系同时包括系统安全与数据支配权的复杂法益类型，二者分别针对系统破坏行为与数据破坏行为。“生活的需要产生了法律保护，而且由于生活利益的不断变化，法益的数量和种类也随之发生变化。”当前学理层面围绕数据犯罪法益内涵形成的诸种结论时，很大程度上是为了实现既有数据犯罪罪名在数字社会背景下的适用张力，数据持有权的确立目的也不例外。从功能主义刑法解释的角度来看，基于刑法解释的体系性需要，“除特定的刑法法条内部需要保持协调外，不同的刑法法条之间也需要达成协调”。相对于单一的系统安全论而言，将系统安全与数据持有权整合为破坏计算机信息系统罪的法益内涵，不仅有助于在尊重刑法罪状表述的基础上回应数据破坏行为与系统破坏行为的差别性归责需要，实现本罪内部行为的类型化区隔，而且有助于本罪与非法获取计算机信息系统数据罪之间的逻辑协调，毕竟相对于单纯获取数据行为而言，对数据进行的非法删除、修改、增加操作具有更高的违法性与可罚性。

上述刑事归责思维在司法实践中已有体现，如在“孙小虎破坏计算机信息系统案”中，被告人孙小虎盗用警用账户和密码，多次登录公安交通管理综合应用平台，非法删除车辆违章数据1156条。该案一审、二审法院均将孙小虎的涉案行为认定为破坏计算机信息系统罪，且二审判决指出：“经原审被告人非法处理的车辆违章数据都存放于电脑系统中，只是数据处理的状态发生了变化，由原来的‘未处理’变为‘已处理’，公安机关经请示省厅后随时可以把相关数据恢复到未处理状态以便于对违章行为作出处罚。”显然，裁判说理隐含着行为人只是改变了系统内部数据的存储状态，而未对系统功能造成破坏的评价思维，这契合数据支配权向度下数据破坏行为的不法判断逻辑。同时，将数据支配权作为破坏计算机信息系统罪的保护法益，也有利于消解司法实践中对于干扰环境采样数据行为的归责分歧。如最高人民法院、最高人民检察院《关于办理环境污染刑事案件适用法律若干问题的解释》第11条规定了针对环境质量监测系统实施且应以破坏计算机信息系统罪论处的行为类型，其第一项为“修改系统参数或者系统中存储、处理、传输的监测数据”，第二项为“干扰系统采样，致使监测数据因系统不能正常运行而严重失真”。显然，上述第一项行为并未如第二项行为一般附加系统功能性损害的结果要件。此种差异化设定不仅是对《刑法》第286条第二款罪状表述的忠实遵循，而且从侧面反映出对破坏数据型犯罪保护法益独立评价的必要。因此，将数据支配权纳入破坏计算机信息系统罪的法益内涵，将有助于第二款行为摆脱“系统功能性损害结果”的羁绊，实现实行行为的类型化判断、违法性的独立化考察，在明确破坏数据型犯罪边界的同时，消解司法实践的认知分歧与归责障碍。

2.“数据访问权”下获取数据型犯罪的归责范围界定

基于数据持有者的数据实控效果，数据持有权能够衍生出数据支配权与数据访问权两个子权利面向，并对不同的数据犯罪类型具有解释力。数据访问权的确立有助于廓清非法获取计算机信息系统数据罪的归责范围，并对刑法确立合理的公开数据保护限度提供理论指引。一方面，数据的虚拟性、可复制性使其无法套用线下实物客体的保护思路，因为后者并不会因他人的观察、触及而面临管理失控、价值贬损之虞。数据则不同，“计算机系统的访问经常作为获取数据的预备行为，并且与此——几乎是同时的——相关”。因此，获取数据型犯罪的保护法益更应关注数据应以持有者所允许的方式被合理访问，而非仅针对保密性数据，已公开数据也应被纳入其保护范围，且无需与计算机系统的安全性挂钩，而这正是数据访问权的规制面向。就我国《刑法》第285条规定的非法获取计算机信息系统数据罪而言，司法实践与学理层面之所以就单纯访问而未获取数据的行为存在入罪分歧，大概在于陷入了数据安全论法益立场的个罪认知误区，将数据安全与系统安全相挂钩，以至于无法合理限定非法获取计算机信息系统数据行为的客观样态。若从数据访问权角度理解本罪，将有助于上述问题的化解。数据访问权着眼于数据持有者对于数据访问范围、方式的限定，这使得获取数据行为的现实危害将被前置于数据访问环节进行评价。如司法实践中将离职员工登录原公司系统擅自下载公司数据的行为认定为非法获取计算机信息系统数据罪，即是对数据访问权的保护性确认，尽管该数据访问行为并未造成系统破坏的结果。另一方面，数据访问权有助于确定公开数据的刑法保护限度。当前随着数据分析技术的发展以及数据共享性需求的增加，学理与实务层面对获取公开数据行为的刑事归责分歧愈加明显。回归数据访问权的赋权逻辑，衍生于数据持有权的数据访问权是对数据控制性事实与流动性需求的系统平衡，重在弱化数据控制可能引发的数据垄断现象。从数据访问权角度审视获取公开数据行为的违法性，其实质标准还在于获取行为是否突破了围绕数据持有状态所构建的技术保护措施，以避免将单纯违背爬虫协议抓取公开数据的行为予以归责，“只有回避或突破计算机信息系统中代码屏障的访问才是非法的”。数据访问权提供的此种实质违法性判断基准与司法实践的个案判决的逻辑相契合。如在“爬虫入刑第一案”中，行为人使用伪造IP手段绕过目标服务器的访问频次限制获取已公开数据，被以非法获取计算机信息系统数据罪论处。而在“新浪微博诉饭友案”中，被告公司未经许可在其APP中完整展示新浪微博的公开数据，由于行为人并未使用突破技术防护机制的手段获取上述公开数据，基于数据持有权平衡理念所对应的实质违法性判断标准，被告公司仅承担民事责任。因此，以数据访问权作为非法获取计算机信息系统数据罪的保护法益，有助于廓清本罪的构成要件类型，亦可为已公开数据的刑法保护限度提供参考基准。

（三）犯罪竞合的消解：侵害对象与保护法益的双重考察

数据犯罪侵害对象的认定泛化与数据法益内涵的模糊是当前推动数据犯罪竞合论盛行的重要原因。一方面，多数学者将数据与信息的“一体两面”关系作为分析基础，使得侵害信息内容的行为也可被同时评价为对数据对象的侵害。因此以竞合论处理此种情形即接近一种学理共识，并进一步形成想象竞合与法条竞合之分歧。另一方面，数据犯罪保护法益的形式化解读也间接引发了数据犯罪与其他犯罪的竞合。如数据安全法益着眼于数据保密性、完整性、可用性的刑法保护，然而此种数据特性也同样适用于信息内容，导致数据犯罪与信息内容关联的其他犯罪形成归责重叠。因此，仅着眼于数据的载体功能而将其视为能够包容各种信息内容的数据对象，或将数据法益理解为数据客观属性的规范化保护，那么数据犯罪必将在与其他犯罪的交叉、重叠中迷失定位，丧失其在立法层面上作为独立犯罪类型的刑事规制功能。

区别于既有数据犯罪保护法益的确立思路，数据持有权衍生于数据三权分置的权利结构，通过民刑衔接与刑法证成后的数据持有权法益与一般性数据类型存在对应关系，这使得数据犯罪从侵害对象与保护法益层面根本区别于其他犯罪。一方面，数据持有权法益关注数字社会下大数据的保护与挖掘，一般性数据的要素属性使其不同于个人信息、虚拟财产、知识产权、商业秘密等数据内容。另一方面，数据持有权作为数据持有状态的规范性塑造，蕴含数据支配权与数据访问权两个子权面向，以对“破坏数据型犯罪”与“获取数据型犯罪”形成解释力。此种二元法益构造使得数据犯罪在保护法益与侵害对象层面均区别于其他犯罪。因此，数据犯罪存在一个专属的刑事规制领域，“应当否定数据犯罪与信息类犯罪之间的竞合关系”，数据犯罪与其他犯罪形成竞合的可能性也较为有限。以数据持有权审视数据侵害行为，有助于摆脱“泛竞合论”的思维误区，实现数据犯罪归责的精细化。如行为人非法获取被害人游戏账号密码后将该账户内游戏道具转移售卖的行为，过往学理与司法裁判通常将上述行为认定为非法获取计算机信息系统数据罪与财产犯罪的想象竞合。竞合论的处断方式实际上认同了获取账号密码就等于获取虚拟财产的评价逻辑。然而，这是对数据犯罪侵害对象、实行行为、法益类型的笼统性理解，并不符合数据犯罪独立存在的立法旨趣与个罪归责的明确性要求。因为实践中大量存在行为人仅非法获取、出售游戏账号密码但不转移系统内虚拟财产的行为，且无法析出个人信息的账号与密码应评价为一般性数据，而非被认定为虚拟财产。因此，上述案例实际存在分别侵害两种法益类型的两个行为，也即侵害一般性数据（账号与密码）关联的数据持有权行为与侵害虚拟财产（游戏道具）对应的财产性利益所有权（占有）的行为，此种犯罪本质使其具备数罪特征。诚然，考虑到实践中获取账号密码进而转移虚拟财产的行为可能存在手段与目的之间的关联性，以牵连犯论处将更为合适。虽然牵连犯与竞合论最终均可能导向一罪论处的结论，但二者的分析路径并非相同。且以数据持有权作为归责基点更有利于使数据犯罪在侵害对象与保护法益层面区别于其他犯罪类型，推动数据犯罪归责的精细化，这对刑法实现数据犯罪的立法独立价值以及数据犯罪的治理功能具有积极意义。

五

结语

随着数字社会建设进程的持续推进，数据资源已经成为参与社会底层构建、推动管理模式改革、加速新质生产力聚合的关键性力量。作为数字社会治理的重要组成部分，民法领域对于数据权利的学理探讨可以为数据犯罪的刑法规制提供有益指引。循数据三权分置结构的赋权理念，经过“民刑衔接”与“刑法证成”后的数据持有权能够被整合成为数据犯罪的保护法益，并形成蕴含一般性数据支配权与访问权的二元法益结构。数据持有权的二元法益结构以数据控制与共享的动态平衡为底层逻辑，在将数据犯罪侵害对象限缩为一般性数据类型的同时，亦可完成对数据法益内涵的进一步充实，在侵害对象与保护法益层面实现数据犯罪与其他犯罪的区分。此种从“安全论”向“权利论”的法益立场转型有助于回应既有数据犯罪的刑事归责困境，为数字时代背景下数据犯罪的刑法治理提供新的参考向度。“技术、社会和经济的革命迫使我们对社会秩序的道德基础和法律基础进行反思，对一些指导价值进行反思。”就此而言，面对数字时代下数据犯罪的新形态与刑法治理的新需要，数据持有权的解释向度既是对传统数据犯罪规制困境与法益立场的一种回顾性检视，也是对数据犯罪刑事归责路径构建的另一种尝试，通过法益维度内数据犯罪治理理念的革新，以期对数字时代背景下刑法可适用性的增强有所助益。

-向上滑动，查看完整目录-

《政治与法律》2026年第4期目录

【习近平法治思想研究】

1.共同富裕的民法促进

肖新喜

【主题研讨——研究阐释党的二十届四中全会精神】

2.《国家发展规划法》实施背景下规划法治化研究

江必新

3.“十五五”时期超大特大城市治理法治化的理念升级、制度创新与实践突破

王东

4.金融赋能新质生产力的作用机理与法治进路

刘盛

【经济刑法】

5.数据犯罪的刑事归责理论反思与数据持有权的刑法建构

王霖

【专论】

6.算法参与法律规则生成的规范性危机与规制路径

徐冬根

7.备案审查中合宪性判断标准的体系构建与应用

陈斯彬

【争鸣园地】

8.民事管理权立体构造论

张平华

【实务研究】

9.传统文化融入司法说理的方法论检视

吕思远

10.认真对待表决前程序：股东会决议程序规则的反思与优化

吴维锭

《政治与法律》是上海社会科学院主管、上海社会科学院法学研究所主办的，把政治学和法学融于一炉、以法学为主的理论刊物。《政治与法律》恪守“研究政法理论，推动法制建设”的编辑方针，设有“热点问题”、“法学专论”、“经济刑法”、“立法研究”、“学术争鸣”、“案例研究”等栏目；积极推出国内外法学研究的最新成果。

点击进入下方小程序

获取专属解决方案~

责任编辑 | 郭晴晴

审核人员 | 张文硕 韩爽

本文声明 | 本文章仅限学习交流使用，如遇侵权，我们会及时删除。本文章不代表北大法律信息网（北大法宝）和北京北大英华科技有限公司的法律意见或对相关法规/案件/事件等的解读。