互聯網法治 | 數字經濟時代數據犯罪規制的司法進路

本文為《中國審判》雜志原創稿件

文 | 黑龍江省寧安市人民法院 王志琨

吉林大學法學院 呂佳宣

隨著數字經濟時代的到來，對于數據犯罪的規制和認定，應同時滿足數據安全與數據共享兩方面的需求。當下我國對數據犯罪的規制模式是權利保護模式，體現為“刑法先行”的規制理念和“絕對權”的保護模式。這一規制模式在一定程度上實現了刑法對于數據安全的保護，但也導致在司法實踐中數據概念和數據安全法益的擴大化，難以適應數字經濟時代的要求。為解決這一問題，在司法層面可做以下嘗試：第一，應當面向數字經濟時代對于數據安全與流通的需要，重新限定數據安全法益的地位與內涵；第二，應當立足于數字經濟時代數據治理的要求，明確刑法的保障法地位，以前置法的相應規定為參考，進一步完善數據犯罪的罪質、罪量認定標準。

01

現有數據犯罪規制模式考察

刑法關于數據安全的保護模式可分為數據控制安全保護模式和數據利用安全保護模式，我國采用的是前一模式。這一劃分的主要依據是數據安全的不同內容。筆者將從立法和司法層面對數據犯罪規制模式進行考察。

從立法層面考察，數據犯罪的規范條文具有以下特點：第一，從罪名分布來看，《中華人民共和國刑法》（以下簡稱《刑法》）對于數據犯罪并未予以專章規定，數據犯罪的相關罪名散見于《刑法》的各個章節。第二，從立法沿革來看，數據犯罪的規制主體從個人擴展至企業，規制行為從單純的破壞行為擴展至獲取行為，刑事立法對數據犯罪的規制范圍呈擴張態勢。第三，從具體條文來看，《刑法》只有兩個罪名明確提及“數據”，其他罪名多采取“信息”的表述，或基于相關司法解釋構建起與數據的關聯。

從司法層面考察，以非法獲取計算機信息系統數據罪為例，數據犯罪的司法認定具有以下特征：一是數據范圍寬泛化。司法判決中涉及的數據類型既包括虛擬貨幣、快遞運單、支付憑證等，也包括直播過程中產生的直播數據等新興數據類型。數據概念在司法實踐中被廣義適用，已經遠遠超出了身份認證信息的范疇，并隨著直播經濟等網絡經濟新形態的出現而進一步呈現擴張態勢。二是行為類型復雜化。傳統模式是行為人直接獲取信息后轉賣牟利，近年來，則出現了對數據獲取后進行增加、刪除、修改以牟利的行為模式，其難以被《刑法》所規定的“獲取”行為有效涵蓋，從而產生規制漏洞。三是重視數據經濟價值。在司法實踐中，違法所得數額是該罪定罪量刑的重要標準，“退賠”“賠償公司損失并取得公司諒解”“退還公司贓款”或向有關部門“退繳違法所得”是量刑的重要考量因素。據此，在司法實務中對于數據犯罪從單一規制轉向兼顧受害人損失填補，體現了從單純的權利保護到重視數據經濟流通價值的轉變。

基于以上考察，筆者認為，根據我國現有數據犯罪規制的保護法益、規制行為和根本目的，當下數據犯罪的規制模式應該采用權利保護模式，即通過判斷數據權利的歸屬、獲取數據行為的合法性認定數據犯罪。

02

現有數據犯罪規制模式存在的問題

（一）現有數據安全法益內涵與數字經濟發展需求不匹配

傳統數據安全法益確立了以安全邊界防護為核心的理論體系，其核心屬性是數據的“專有性”與“排他性”，以主體對數據的控制這一絕對權為基本內涵。基于這一理念，對數據安全的保護應立足于主體對數據的排他控制，并以數據權屬為依據，劃定數據安全的保護范圍。以非法獲取計算機信息系統數據罪為例，一方面，將數據類型限定為可識別的身份認證信息及計算機系統存儲的數據，以此來保證數據權益主體的可確定性。另一方面，以“侵入”作為入罪條件，“未授權”作為入罪前提，以數據權利主體的控制范圍為半徑來劃定數據的保護場域。對于數據類型和權利主體的劃定，體現了數據犯罪規制的邊界防護理念，符合權利保護模式的基本特征。

然而，隨著數字經濟的發展，數據日益成為一種新型生產要素，在流通、交易的過程中體現價值。數字經濟不同場景中的數據是高速流轉而非靜態的，尤其對于“區塊鏈”“云計算”“人工智能”等產業而言，數據共享更是其運行的底層邏輯與產業發展基礎。一方面，傳統“計算機信息系統”的載體限制被打破，數據的載體形式拓展至手機、傳感器甚至是“云存儲”端；另一方面，數據“存儲、處理或者傳輸”的狀態限定被打破，數字經濟場景下的數據以人際共享、有償轉讓、跨境傳播等多元形式存在，而非局限于“存儲、處理或者傳輸”。基于此，側重于保護靜態數據安全的傳統數據安全法益理念已難以實現對數據利益的有效保護。

因此，越來越多的學者主張賦予數據安全法益新的內涵，即對于數據安全的保護，應從“控制安全”轉向“利用安全”，從而“兼顧數據主體的利益和數據利用者的利益，以盡可能釋放數據所蘊含的社會價值”，進而主張在《刑法》條文中設置系統、獨立的數據安全保護條文。不可否認的是，將“利用安全”納入數據安全的概念確實能在一定程度上緩解靜態數據安全觀帶來的問題，但仍存在疑問：首先，從可操作性來看，“利用安全”傾向于進行立法層面的修改，通過增設罪名及調整現有的構成要件來實現對數據安全的周延保護。誠然，刑事立法因應數字技術的發展作出適當調整存在合理性，但數字經濟場景下的數據犯罪類型層出不窮，而刑事立法則具有滯后性，僅通過刑事立法上的不斷修改來實現對數據犯罪行為的周延規制是不現實的。其次，從邏輯層面來看，并不是以“利用安全”替換“控制安全”，而是試圖將“利用安全”與“控制安全”統合于數據安全的概念之下，但數據的共享與流通就是要打破數據擁有者的控制與壟斷，將在邏輯上相互對立的二者完美地融合，在具體操作層面是難以實現的。

綜上所述，現有數據安全法益內涵難以有效匹配數字經濟發展需求。或失之過窄，無法實現對數據安全的周延保護；或失之過寬，無法滿足數字技術的發展要求。

（二）《刑法》對數據犯罪的規制與前置法未實現有效銜接

在社會治理中，《刑法》更多是扮演“壓艙石”的角色，為行政規制、公民自治等其他社會治理方式提供兜底補充。同樣的，在數據治理中，《刑法》也應當處理好與前置法之間的關系。然而，從我國數據犯罪的規制實踐來看，并未實現《刑法》與前置法之間的有效銜接。

一方面，立法層面存在“刑法先行”傾向。比如，從罪狀描述來看，非法獲取計算機信息系統數據罪的違法性判斷要求“違反國家規定”，而作為前置法的《中華人民共和國網絡安全法》《中華人民共和國電子商務法》《中華人民共和國數據安全法》（以下簡稱《數據安全法》）對數據的收集、利用行為的要求過于模糊而缺乏可操作性，與之配套的平臺協議、數字技術措施和行業規定等數據訪問規則將違法性判斷聚焦于有無“授權”，但此類依照數據網站的主觀意愿、通過授權協議或技術措施表達出來的數據訪問規則，缺乏立法保障和監管機構的指引，能否作為及如何作為數據犯罪成立的判斷是值得商榷的，導致我國司法實踐對于“獲取”行為的認定存在分歧。

另一方面，司法層面未充分考慮前置法作用。比如，對于已公開個人信息是否屬于侵犯公民個人信息罪的行為對象，在司法實踐中存在較大爭議。有觀點認為，需要根據個人信息公開的原因進行區分，對于權利人自愿公開的個人信息，經收集、整理后向他人出售的行為并不構成侵犯公民個人信息罪。但實際上，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第十三條已經將依法公開的個人信息數據作為“知情—同意”原則的例外予以規定。基于促進信息數據的合理流動和高效利用的立法目的，對已公開個人信息的處理行為原則上無須取得個人同意。因此，對于合法公開的個人信息，雖然在《刑法》中也屬于個人信息，但對此類信息的收集、獲取通常不具有違法性，因此，在司法認定中無須將其作為侵犯公民個人信息罪的對象。

03

數字經濟時代數據犯罪規制的司法進路探索

（一）重新限定“數據安全”法益

數字經濟發展既要求保證數據安全不受侵犯，也要求數據的共享流通不受阻礙。基于這兩方面的要求，有必要重新對數據安全法益進行限定。

首先，《刑法》應當因應數字經濟時代的數據安全保護要求，將數據安全作為獨立的保護價值予以評價。這在立法層面體現為，在前置法確權完成的情況下，《刑法》應當針對數據犯罪構建獨立的罪名體系，以增強《刑法》對數據的保護范圍和深度。在司法層面則體現為，在數據犯罪的規制和認定中，采取主觀解釋兼客觀解釋的解釋方法。具體而言，對于數據犯罪構成要件的解釋，應當以《刑法》文義為基本出發點，在此基礎上考慮行為對數據安全法益的實際侵害。以非法獲取計算機信息系統罪為例，若將認定的重點放在對數據安全的損害上，能夠將認定重點更好聚焦于侵入行為本身，基于侵入行為對數據管理所蘊含的數據管理秩序之損害，來實現對不法行為的有效規制。

其次，立法者對于不同類型之數據保護的側重點并不相同。《數據安全法》第三條對數據安全的定義，主要強調數據需要處于有效保護和合法利用的狀態，并要求這種狀態具有持續性，這對于數據安全法益的內涵理解具有一定的參考意義。在《刑法》中，非法獲取計算機信息系統數據罪位于“擾亂公共秩序罪”一節之中，這表明其保護的主要法益是公共社會秩序，即國家對于計算機信息系統數據安全的管理秩序。因此，對于該罪名而言，數據安全的法益內涵應蘊含對數據保密性、完整性、可用性的保護，側重于對數據動態秩序破壞行為的規制。而對于個人信息數據保護而言，其位于“侵犯公民個人權利”章節，其保護的主要法益是公民的信息自決權，強調權利主體自身對數據的控制和支配，側重于對靜態權屬關系的破壞。此外，數據安全法益還需排除數據化的財產利益、個人信息、知識產權等法益。《刑法》規定的罪名體系已經區分了財產法益、個人信息法益、知識產權法益等，數據化的形式不會使其法律性質發生改變。因此，對于侵犯上述法益的數據化犯罪行為，可以根據已有的相關罪名予以規制。

（二）以前置法為參考完善認定標準

在數字經濟時代，數據治理涉及多元領域、主體、環節，需要各領域、各部門協作治理。因此，《刑法》應當明確自己保障法的地位，其內容應當與其他前置法律規定相協調。從司法角度而言應當從以下兩方面展開：

一方面，應當明確《刑法》保障法定位，在司法認定過程中秉持謙抑性原則。數據犯罪的認定應以前置法的規定為依據，摒棄“刑法先行”理念。數據類別對于劃定罪名界限而言具有重要意義，《刑法》所保護的數據類別不應超過前置法確定的范圍。例如，在《個人信息保護法》《中華人民共和國民法典》已經明確了公民個人信息認定的“可識別性”標準，因此對于侵犯公民個人信息罪中的“個人信息”也應當具有“可識別性”。又如，《個人信息保護法》第十三條將依法公開的個人信息數據規定為“知情—同意”原則的例外，在《刑法》中對于依法公開的個人信息不應作為侵犯公民個人信息罪的對象，對于依法公開個人信息的收集、獲取行為也不具有違法性。

另一方面，對于數據犯罪的罪量判斷，前置法的相關規定可供借鑒。例如，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》根據個人信息的重要程度將其區分為敏感信息、一般個人信息、其他個人信息，針對不同的個人信息類別分別設置了不同的定罪量刑標準。這對于非法獲取計算機信息系統數據罪等罪名的認定也具有借鑒意義。《數據安全法》將數據分為核心數據、重要數據和一般數據三類，非法獲取計算機信息系統罪可以借鑒前置法對于數據類型的劃分，出臺相關司法解釋，參照上述司法解釋的規定設置罪量標準。具體而言，可以參考《網絡安全標準實踐指南——網絡數據分類分級指引》的規定，該規章根據數據的影響程度，將數據進一步劃分為：嚴重危害、一般危害、輕微危害、無危害性四種危害等級，并對各等級下涉及的典型數據類型進行列舉。同時，將數據的影響對象劃定為國家安全、公共利益、個人合法權益、組織合法權益。繼而基于一般數據、重要數據、核心數據的基本框架，構建起各級別數據與影響對象、影響程度的對應關系。

本期封面及目錄

<< 滑動查看下一張圖片 >>

《中國審判》雜志2025年第19期

中國審判新聞半月刊·總第377期

編輯/孫敏