邢瑞英，女，党员，硕士研究生，刑事审判庭五级法官助理，负责辅助刑事审判、少年审判、未成年人保护宣传及调研案例写作等工作。

  1.扩张数据刑事保护的边界，结合数据利用场景进行全链条式保护。数据与计算机系统的关系是逐渐逐渐分离的，在立法上，对数据的刑事保护有必要摒弃沿用以“计算机信息系统”概念限定“数据”概念、视数据为计算机信息系统的附属性行为对象的固定思维。将犯罪产业链下游的非法购买、使用、迁移等行为有条件的纳入数据犯罪行为类型中，在立法层面为该类行为设置独立的构成要件，通过从数据的收集、存储、使用、加工、传输、公开的全过程中对数据造成的侵害来设立相对独立的具体罪名，对其进行明确的定罪量刑，从而补强数据犯罪的涵盖范围和规制效力，提高数据保护的有效性。

  2.推动数据犯罪立法体系化。从在立法上考虑以数据的独立法益为基础，以数据相关主体为基点对数据来进行分类，以危害后果为支撑对数据来进行分级，明确不同类别、级别的数据犯罪构成的行为要件，确立数额与情节并行的结果量化标准，将新型数据犯罪与传统犯罪加以区分，构建体系化的数据刑事保护体系。

  我国正处于以数字技术和数据分析为核心的数字化时代当中。2020年3月20日，中央、国务院发布《关于构建更完善的要素市场化配置体制机制的意见》，将数据作为第五大生产要素单独提出。2022年6月22日习主持召开的中央全面深化改革委员会第二十六次会议，审议通过了《关于构建数据基础制度更好地发挥数据要素作用的意见》，提出数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。

  在数字化转型与治理的过程中数据在社会公共治理、经济转型发展、国家安全保障中作用的凸显，数字化的经济发展中的数据信息包括但不限于信息系统、数据、财产、个人信息安全、商业机密、国家秘密及情报、军事秘密等。随着数据价值的提升，数据法益保护的需求也慢慢变得向刑事领域扩张，但现行刑法体系对数据犯罪的保护存在滞后性，应当以数字化的经济发展的新趋势为背景，以更广的视野思考怎么样建构整体的数据刑事保护模式。

  本文从数据刑事保护的视角，以数据犯罪的法益保护为中心，讨论如何有效应对和规制数据相关犯罪，并构建数据刑事法律保护体系，这也是数字化的经济时代刑事法律体系无法回避的重要命题。

  计算机科学中，数据指的是在计算机输入、处理和输出过程中的一系列数字、字母等的介质统称，是以二进制0和1的数值单位表示的客观形式[1]，外在形式表现为非物质性的符号[2]。国际标准化组织（ISO）和国际电工委员会（IEC）在“信息技术术语”中对数据所作的定义，“数据（data）是以适合于沟通、解释或处理的形式化方式重新解释信息的表达”，认为数据就是一种信息的表达[3]。欧盟2018年颁布实施的《一般数据保护条例》（General Data Protection Regulation）其中将“个人数据”定义为：“任何指向一个已识别或可识别的自然人（数据主体）的信息，该可识别的自然人能够被直接或间接地识别[4]。我国2021年9月1日开始实施的《数据安全法》第三条指出“数据是指任何以电子或者其他方式对信息的记录”，即数据是对信息的记录。从数据本身来看，数据本质上是一种信息的表达，是在网络活动中依附于一定的通信设施系统而产生的电子记录，并以电子形式存储、传输、分析、交易、利用等。

  也基于此，数据的法律保护体系最初更多是以信息数据本身的风险为基础，从个人隐私信息层面，静态数据层面，以个人隐私信息保护为核心，从个人隐私、商业机密、国家监管等层面谈数据的法律规范与安全，更侧重于在民事、行政法意义上的法律保护体系构建，而刑事法律保护体系也更侧重于对个人隐私信息、个人数据犯罪的立法与司法探讨。但数据本身所具有的可复制性、无形性、流动性等本体属性以及其在流动、加工、利用中所产生的商业经济价值属性、利益交织属性、功能聚合属性、公共利益属性等特征，在有效推动社会经济转型发展、社会治理效能提升等方面发挥着巨大的作用。但与此同时在数据的大规模产生、加工、流动、利用过程中对于数据的保护早已由单纯的侵害个人隐私信息的私益保护向对个人数据、商业数据、公共数据、国家安全数据的公益保护转变[5]。

  随着数字化的经济，数字化生产方式变革推动数据成为独立的法益保护对象，数据的生产要素价值更体现为在收集、存储海量原始数据的基础上，经过算法清洗、脱敏、加工、计算、聚合等技术处理而形成的系统的、可读取的、有价值的结构化数据[6]，能够为业务决策或行动提供多渠道的数据支撑、精准的趋势预测及针对性的参考建议，这类数据的广泛应用使数据的价值也更重要，也成为了网络犯罪觊觎的目标，不法侵害风险随之而来，市场之间的竞争中以不正当方式获取、使用他人衍生数据牟取非法利益的现象频频出现。因此，数据与计算机系统的关系是逐渐逐渐分离的，侵犯计算机系统安全的行为并不必然侵犯数据安全。新时代的数据信息包括但不限于信息系统、数据、财产、个人信息安全、商业机密、国家秘密及情报、军事秘密等。随着数据价值的提升，数据的法益保护的需求也慢慢变得向刑事领域扩张，数据的刑事保护也应当以数字经发展的新趋势为背景，以更广的视野思考怎么样建构整体的数据刑事保护模式。

  随着技术的迭代，各个国家数据战略的推进，并且基于数字化的经济时代对数据流动与开放的经济需求和社会公共治理对数据的依赖，数据的利益主体更加复杂化，数据的利用模式更加多样化，数据迁移的国际化、以及数据产生、利用的规模不断扩张，数据相关的犯罪呈现出一定的模糊性、不可控性。数据的法益保护需求也从静态层面上的、个人隐私信息保护层面上的私人领域不断向关乎于社会运行、国家安全层面上的公共领域扩展，数据犯罪的主体从个人向企业、金融机构、社会团体等扩展。并且随着各类数据生态圈、产业链、技术集群的形成与发展，数据犯罪行为将贯穿于数据获取、挖掘、利用、处理、存储、交易、流通、生产的所有的环节，甚至正在成为其他犯罪的上游犯罪、伴随犯罪，为诈骗罪、敲诈勒索罪甚至绑架罪等其他犯罪提供预备阶段的犯罪助力，危害后果则体现出规模化、扩散化的特征，这也对刑法保护数据安全、评价侵犯数据安全犯罪的模式提出了新的要求，给传统刑法保护路径模式带来新的挑战。例如在大数据背景下，电信网络诈骗犯罪多发，公民个人隐私信息的泄露为犯罪份子实施精准诈骗提供了机会。

  数据安全犯罪相关罪名汇总从上述表格能看出，当前我国刑事立法对于数据犯罪行为的规制主要是刑法第253条为主的关于侵犯公民个人信息安全的犯罪行为规制；第219条、282条、389条关于侵犯商业机密、国家秘密信息的犯罪；第287条利用网上发言犯罪信息；以及285条、286条以计算机系统为载体的关于系统破坏与系统数据获取的犯罪，（旨在保护数据信息的保密性、完整性、安全性以确保有关数据利益主体对数据的访问、排他性获取、使用与处分等权益）。现行立法体系对于保障和维护网络安全秩序发挥着重要的作用，但总体上呈现以下特征：

  第一，更侧重于对个人隐私信息层面上的保护；第二，对数据安全保护的扩张，也是通过不断拓展信息犯罪外延的方式实现的；第三，传统刑法所型构的罪名体系，其保护的核心在于数据本身的保密性、完整性和可用性等静态安全问题，重点防控数据非法获取、泄露、篡改等犯罪类型。

  现行立法存在着以下两点缺陷：一是法益保护的对象具有杂糅性。既包括陈旧的计算机信息系统的“数据”，也包括信息网络中海量的信息，还包括个人隐私信息等其他关联信息或特定信息，暴露保护理念的模糊与立法技术的交错性。二是数据法益的独立地位不明与保护意识淡薄。大数据时代已全面嵌入和渗透到社会生产生活，数据正成为社会生产生活的基本素材和核心动力，数据法益的独立属性也将不断显现和充实化[7]。

  在数据犯罪中，首先侵害的是以数据形式表征的传统法益，如以电子数据方式记录的具有“可识别性”的个人隐私信息表征了个人隐私信息权，以数据形式显示的财产性利益表征了财产权，以数据形式记载的“创造性”智力成果体现了知识产权等。而随技术发展、数字化的经济商业模式的多样化，数据价值的提升，针对数据的窃取、篡改、破坏、扩散等行为日益增多，因而产生了针对数据自身安全的独立保护需求，特别是与数据的保密性、完整性和可用性相关的新利益[8]。因此，数据犯罪不仅仅有对数据载体侵害的传统犯罪，还有以数据为工具侵害传统法益的犯罪以及以数据为对象侵害数据安全新生法益的犯罪[9]。例如，数据泄露、数据丢失、数据污染、发送垃圾邮件、对数据终端的非法操控等数据攻击行为。

  【案例1】2019年9月至2020年8月，被告人张某、陈某未经Q公司允许，擅自使用被告人陈某编写的XCORS.GwServer程序，通过搭建中间平台的方式，获取Q公司等精确定位差分系统的地理信息数据用于转发，从而销售CORS服务账号，实现一个Q公司账号给多个最终用户服务，销售金额为52万余元。经鉴定，XCORS.GwServer程序具有避开Q公司账号认证、位置识别、处置转发行为等安全技术措施的功能[10]。

  【案例2】被告林某某、程某某与林某某作为被告单位厦门房麦网络科技有限公司（以下简称房麦公司）的总负责人技术、部门负责人和爬虫工程师，于2018年至2020年间，利用网络爬虫程序，采用破解验证码等手段非法获取北京某信息技术有限公司（实际经营地为北京市朝阳区酒仙桥北路甲10号院105楼，以下简称某公司）经营的某网站房产数据，经解密、加工、整理后供房麦公司的房产APP使用，造成某公司网络资费、人力成本等经济损失人民币10万余元，并造成某公司相关联的费用受损共计人民币300余万元[11]。

  【案例3】016年至2017年间，被告人张某某、宋某、侯某某作为被告单位上海展品网络科技有限公司主管人员，在上海市共谋采用技术方法抓取被害单位北京字节跳动网络技术有限公司（办公地点位于本市海淀区北三环西路43号中航广场）服务器中存储的视频数据，并由侯某某指使被告人郭某破解北京字节跳动网络技术有限公司的防抓取措施、实施视频数据抓取行为，造成被害单位北京字节跳动网络技术有限公司损失技术服务费人民币2万元。[12]（全国首例爬虫技术犯罪案）

  上述案例均是利用技术方法破解被害单位的保护措施，使用特殊软件从远端获取非公开的终端数据，其获取及利用数据的手段已不仅仅依赖于破坏计算机系统功能，而是更加多样化。在网络爬虫行为构成非法获取计算机信息系统数据罪与侵犯公民个人隐私信息罪的想象竞合时，笔者支持以侵犯公民个人隐私信息罪定罪论处。对用户数据的抓取需要经过用户的授权并输入相关平台的账号与密码，这种技术方法其实就是采用“模拟登录”的方式，代替用户本人登录相关平台进而获取其中存储的数据。应对大数据及云计算领域的新型犯罪威胁，我国现行刑法中第 285 条的规定的“非法获取计算机信息系统数据罪”及286条“破坏计算机信息系统罪”中的“数据”更大程度上都是附属于计算机系统范围内的，此时的数据是计算机信息系统实现其自身功能的重要载体。但就当前数字产业的发展模式以及司法实践中数据犯罪的类型来看，数据的范畴在继续扩展，不仅涉及原始的计算机信息，还有对数据清洗、加工、迁移等的各类衍生数据。

  因此，在数据的刑事保护中对“数据”一词的解释，也不能仅依附于传统的计算机信息系统的解释范围，而是应该以技术的相关理论来界定法律意义中的数据，明确数据犯罪保护法益的内涵和外延。

  《数据安全法》确立了数据分类分级的基本制度，在第二十一条：“国家建立数据分类分级保护制度，依据数据在经济社会持续健康发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”对影响公众基本权利、涉及重大社会公共利益的个人数据、政府公共数据，从数据获取、存储、传输、使用等关键性环节进行更强的内部监管。我国刑事立法不仅尚未对数据安全的保护采取分类分级模式，甚至根据《刑法》第285条的规定，对重要领域的国家核心数据的保护力度反而相较其他领域的数据更小，违反了罪刑均衡的基本刑法原则[13]。

  如何对数据来进行精细的分级分类是进行数据刑事保护的前提。随着数字化技术的发展，数据出现在社会生活的每一个角落里，而且并不仅仅借助于计算机这一物质载体，我国司法实务中仅用“计算机系统”这一“口袋”来解释数据，导致数据无所不包，根本没办法对数据来进行对象、媒介、功能等方面的区分，这样不仅可能浪费国家资源，也没办法真正对具备极其重大意义的数据来进行有效的保护。

  数据犯罪的认定是数据刑事保护的核心内容，但当前由于获取、删除、修改、增加数据等行为在形式上与很多罪名具备相关联性，例如对“破坏”、“控制”等词的解释无论在刑法还是司法解释中都没明确而统一的规范性评价，使得数据犯罪与计算机犯罪的边界相对模糊。

  当前我国数据犯罪在体系上隶属于《刑法》第 285 条和第 286 条所规定的计算机犯罪范畴，保护法益也受制于“计算机信息系统安全”，导致数据犯罪构成要件解释始终受制于计算机犯罪，但该罪的构成要件相对来说还是比较单一、简略，无法全面涵盖各项数据权利，且将其作为保护法益不够具体和明确，没办法形成完整的保护链条。因此，在审判实践中，对数据的侵害行为与对计算机信息系统的侵害行为必须作出明确的区分认定，在一些司法判例中已有表现，而最高人民法院指导性案例145号在裁判要旨中精确指出，经过仔细修改、增加计算机系统数据，对该计算机信息系统实施非法控制，但未造成系统功能实质应当看到，在数据全生命周期的所有的环节都也许会出现对数据安全的侵害，比如在数据公开环节的不应当公开而擅自公开有关数据、数据提供环节的擅自向他人提供数据、数据销毁环节的应当对有关数据实施销毁操作而未销毁等，这些行为同样构成对数据保密性的侵犯，其社会危害性与在数据采集环节对数据安全的“获取”型侵犯无异，而这些对数据安全的侵犯行为尚游离于我国刑法打击的范围之外。在我国计算机系统犯罪体系对数据安全的保护尚未覆盖数据的完整生命周期、着重于数据采集环节的立法不周延现状下，实务部门将“留存”解释为“获取”的做法其实就是立法空缺下的无奈之举。

  在数字经济发展的过程中，数据的利用以及商业运营竞争模式的创新已经有别于传统领域，数据作为重要的生产要素，通常具有三方面的特征：第一，数据参与生产的全部过程，并具有高价值性。参与生产的全部过程的数据常常要提前被采集并初步加工（消耗一定的成本）使其能更好的参与生产和使用，并在必要时进行深度挖掘信息、探究社会、商业规律，以及根据不同的产品需求设计不同的数据算法，从而形成不同的衍生数据产品，根据其所涉不相同的领域以及加工程度不同而具有不等的经济价值。第二，数据具有资源越稀缺性，高成本性。同土地、劳动力、技术和资本这些生产要素一样，资源越稀缺，其获取成本越高，在数字化商业经营的过程中数据的分析、预测功能使数据显然具有高价值性与稀缺性，同时数据的获取、存储利用、流通相比以往也更为复杂，成本更高。第三，数据具备流转特性。数据流转与交易，会涉及更广泛的主体，才能参与到更广泛的社会生产的全部过程中，产生更大的价值。

  因此，数据不仅仅再是以二进制0和1的数值单位表示或者存储在计算机设备中的电子记录，数据的刑事法律保护需求也不仅仅存在于静态的、封闭的电子终端设备环节，更存在于数据的存储、传输、加工分析、交易、利用等各个动态环节。数据的刑事法律风险也是伴随数据产生、存储、加工、交易等环节的实施而产生。同时对于数据的刑事法律保护重要的是对何种类型、范围的数据信息进行规范与保护，以实现数据对经济发展的更大驱动力。

  在立法上，对数据的刑事保护有必要摒弃沿用以“计算机信息系统”概念限定“数据”概念、视数据为计算机信息系统的附属性行为对象的固定思维，将“数据”概念从计算机信息系统上予以剥离。2020年3月1日起正式实施的《信息技术安全数据安全能力成熟度模型》明确将数据生存周期划分为数据采集、数据传输、数据存储、数据处理、数据交换以及数据销毁六个阶段。我国于2021年9月1日正式实施的《数据安全法》将“数据处理”作广义理解，明确规定数据处理包含数据的收集、存储、使用（即狭义的数据处理）、加工、传输、提供、公开等。

  数据的刑事保护中对数据的界定也应当从数据产生利用的过程视角，从数据的利用、流通模式的视角，在刑法条文与罪名的设置上补充独立的数据视角，调整以计算机系统罪名规制侵犯数据安全的立法倾向，将侵犯计算机信息系统安全的犯罪与侵犯网络数据安全的犯罪在罪名设置上予以分离，使网络数据安全从计算机信息系统安全中独立出来。例如，现行《刑法》第285条第2款非法获取计算机信息系统数据、非法控制计算机信息系统罪正是“计算机信息系统”与“数据”在罪名设置上的杂糅。认定数据犯罪必须以数据为核心，在欧盟与德国的立法中，其通过法律明确了数据的干扰行为、数据窃取与非法访问行为，以独立罪名对数据犯罪予以直接的保护[14]。

  在我国立法上可优先考虑以数据的独立价值为基础，通过认定从数据的收集、存储、使用、加工、传输、公开的全过程中对数据造成的侵害来设立相对独立的具体罪名，例如非法收集数据罪、非法传输数据罪、妨害数据管理罪等罪名，构建详细的数据犯罪结构体系，从而补强数据犯罪的涵盖范围和规制效力，防止木桶效应，提高数据保护的有效性。

  数据本身的详细的细节内容及类型划分决定了数据犯罪的成立及责任轻重，对数据的理解已经由“从外部输入计算机信息系统内部的图片、文字、影音资料、专有程序或软件、网页浏览痕迹、下载记录、关键词搜索记录等电脑操作行为产生的网络行为数据[15]”扩展到包括数据生成、数据获取、数据存储和数据分析的全周期。对于数据犯罪来说，法益的识别具备极其重大的犯罪构成要件“解释论机能”[16]，不一样的种类的数据所蕴含的法益性质不同，对数据安全保护的重要性也有差别，所需要保护的安全层级也不同，应当对不一样的种类的数据来进行法益识别，确定刑法保护的重点以及所应适用的罪名。

  数据分类是以“属性”为标准的，主要是按照数据的内容、来源、特征、作用等属性，将具有相同属性的数据来进行划分和归类，此种数据分类的目的是为后续针对某一类数据的特定属性而采取具体的安全保护的方法提供基础[17]。按照不同的标准可以将数据来进行各种分类，例如：以数据的来源主体为标准，可以将数据分为政府数据和个人数据；以数据的获取手段为标准，可以将数据分为公开取得的数据和秘密取得的数据；以数据的内容为标准，可以将数据分为身份数据和行为数据；以数据的行业维度为标准，可以将数据分为金融、医疗、能源、交通等不相同的领域的数据。

  进行数据分类，必须要格外注意两点：一是数据的分类应当周全，即按照某一特定标准做的类型划分，应当有充足的涵盖性，能确保各种数据均能被归入按此标准划分后的某一类型中[18]；二是数据的分类应当考虑不一样数据之间的平等关系，从而保障各类数据主体的数据权利。

  在目前的审判实践中，将数据来进行如下分类更加有助于数据法益的认定：①以电子数据方式记录的公民个人隐私信息，包括考生信息、学籍管理信息、人次信息、违法犯罪记录、身份信息等；②身份认证信息，包括在线游戏账号密码、购物平台账号密码、手机账号密码等；③网络虚拟财产，包括在线游戏装备、比特币等货币类虚拟财产；④网络知识产权，包括游戏源代码、网络课堂教学视频资料、设计图纸等网络著作权、商业机密等；⑤财产性利益，包括以数据形式存储于电脑、手机系统中又具有经济价值的网络积分、手机炸弹号、会员卡资金等；⑥一般数据产品，包括客户订单数据、考试成绩、生产经营数据、防疫数据、环保检验测试的数据等。[19]

  如此分类与现有刑法罪名并不冲突，当相关网络数据所承载的内容信息具有个人身份属性时适用侵犯公民个人隐私信息罪，当相关网络数据所承载的内容信息具有知识产权属性时适用侵犯著作权罪，当数据所承载的内容信息具有财产价值属性时适用非法经营罪等罪名，当数据所承载的内容信息具有国家秘密属性时适用非法获取国家秘密罪、故意泄露国家秘密罪、过失泄露国家秘密罪等罪名。依据数据所表征的法益来判定是否属于现行罪名保护的范围，否则就应该按照数据犯罪设立相应罪名，增加数据权益保护的路径，保证罪责刑相适应，为数据安全刑事保护补齐短板。

  对于数据的分级，根据《数据安全法》中对数据的分级，主要是按照①“数据在经济社会持续健康发展中的重要程度”；②是对合法权益造成的危害程度，这实际上主要是以“后果”为标准的。也就是说，数据分级是按照数据所承载的法益大小、以及其一旦被非法处理所产生的后果来认定。进行数据分级，能够准确的通过所承载利益的地位高低来确定相关利益的重要性，进而判断出有关数据的重要性，从而确定数据的级别，鉴于此，可大致分为①涉及国家秘密及国家安全信息的数据；②涉及政府治理监管秩序的数据；③涉及计算机管理秩序和网络秩序的数据；④涉及公民个人隐私信息的数据；⑤涉及市场主体商业机密的数据。涉及到国家安全和社会维稳方面的数据就应该被列为核心和重要数据，位于最高层级而获得数据安全方面的重点保护；涉及到公民个人隐私信息保护和企业生产方面的数据应被划入第二层级的数据类型，其受到侵害所带来的危害有限，能采用相对松弛的安全保护措施。

  在大数据时代，设置数据犯罪的危害行为类型时，应依据数据安全法益，以“数据”的技术特性、功能属性、应用特质以及经济价值等为基础，结合数据的具体载体与形式，灵活选择行为类型化的基准、标准与分类，最重要的包含窃取、转移、使用、传播、贩卖、提供、数据共享、技术上的支持与技术帮助等行为。

  在数据犯罪中还应考量将犯罪产业链下游的非法购买、使用、处理行为有条件的纳入数据犯罪行为类型中，考虑其刑事应罚性。随着大数据技术的发展，数据的资产化和市场化价值慢慢的变大，“买卖同罪”的理念在这里也同样适用，如果放任对下游的数据非法获取、使用行为的规制，那么对数据的保护就会大打折扣。虽然2011年《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》规定，对通过非法获取计算机信息系统数据犯罪所获得的数据来进行处置的以掩饰、隐瞒犯罪所得定罪处罚，但是该条解释并不能涵盖数据犯罪庞大的体系，有必要从数据类型、数据数量等方面出发，在立法层面为该类行为设置独立的构成要件，对其进行明确的定罪量刑，从全链条对数据犯罪进行打击。

  我国在罪名设置上将“计算机信息系统”与“数据”进行杂糅的立法体例未在立法层面体现对网络数据安全独立保护的重视，导致相关条文的保护法益模糊不清，加剧了司法实务中罪名选择与适用上的混乱与困难。作者觉得，应当在刑法条文与罪名的设置上补充独立的数据视角，调整以计算机系统罪名规制侵犯数据安全的立法倾向，将侵犯计算机信息系统安全的犯罪与侵犯网络数据安全的犯罪在罪名设置上予以分离，使网络数据安全从计算机信息系统安全中独立出来。

  数据安全高度依赖刑事法治体系的保障功能，数据安全是网络技术创新与网络代际变迁中的必然伴生物，控制网络数据风险处于社会有机体的正常接受范围才是理性的刑法功能观，既可以保障网络技术自由创新与分享，也不妨碍积极防控数据安全风险隐患和确保数据安全。为了承接大数据时代与数据安全保护的任务，应分阶段推动数据犯罪立法：首先是单节化。“妨害社会管理秩序”一章应同步增设“第十节”，整合并统领现有的“计算机犯罪”规定和“信息网络犯罪”规定，初步缓解数据犯罪规范体系的整体失衡现象；其次是专章化。随网络代际不断蚕食传统犯罪体系，应单独确立“数据（安全）犯罪”一章，对数据犯罪作出宏观布局，对新旧条文加以合理安排，对罪名体系进行重新布置，形成更独立与完整的法益保护网，对数据保护采取正式、直接、明确的独立规定。

  在审判实践中，对数据犯罪认定的可行路径是从危害后果或者违法来得到的入手，以数据犯罪所造成的经济损失或者违背法律规定的行为的客观层面衡量犯罪的危害后果[20]。虽然数据呈现出动态性、片段性等特点，无法明确的评估出其价值，但是通过审计和评估等方式计算出具体数据犯罪造成的侵害后果，亦或是以被告人获得的具体收益为认定标准，从而以明确的数额来区分情节，界定出量刑区间。

  【案例4】在张某某等28人侵犯公民个人隐私信息罪案中，被告人通过购买等非法方式获取、收集各类证书持有人的个人隐私信息共计113529条并存储在自己的腾讯微云上，整合后将数据信息提供给业务员，让业务员以打电话的方式联系证书持有人并收购该证书，后将该证书“挂靠”给用证企业，从中获利26791803元[21]。

  该案中数据的获取、加工及使用均与计算机信息系统相分离，以独立形态存在，单纯以数据为核心构成犯罪，并在该案的审判中是以被告人获得的具体收益为考量依据来进行量刑的。

  但是，当前司法机关面临包括“数据是什么”、数据价值认定的技术操作瓶颈、数据被主观化后的现实物理价值有着非常明显的波动性和不确定性等难题。为了超越价值认定难题，数据法益的独立化与专门保护是根本出路，同步制定独立的数据犯罪定量因素及其体系予以配套亦不可少。当无法以数额来定性时，可以从“情节”为切入点来做评定。如，对国家、社会导致非常严重影响，对个人的生活秩序或者工作秩序造成严重危害等。对于该类案件，应该从被侵害数据的重要性以及侵害行为所造成的系列影响来评判。例如：近几年来时有发生的高考志愿被篡改案件[22]，如果被及时有效地发现没有篡改成功，一般给予治安处罚，一旦导致非常严重后果，则以破坏计算机信息系统罪来定罪处罚。篡改他人高考志愿犯罪成本较低，产生的危害是极大的，该行为虽无法用损失数额认定，但其对社会公共秩序的损害是毋庸置疑的，对于该种数据犯罪行为，应该在立法上设立单独的罪名，并以造成的后果和影响来量刑。

  我国正处于以数字技术和数据分析为核心的数字化时代当中，大数据时代数字化技术日新月异，新型的数据犯罪在司法实务中慢慢的变多，建立有效、科学的数据刑事法律保护体系是实现经济转型与稳定发展的关键。我国应立足大数据并围绕数据安全这一核心，在现行的刑事规制基础上，通过回顾数据犯罪保护法益的变迁，明确数据法益的内涵，确定数据犯罪的构成要件，并将数据来进行精细的分类分级，将数据犯罪与传统犯罪加以区分，加快升级刑法保护的路径、策略，从多领域、全链条来打击数据犯罪，尤应立足于刑法学的知识转型，从而建立起完善的数据犯罪刑事保护体系。

  [1]王珊、萨师煊．数据库系统概论第5版.[M]北京: 高等教育出版社,2014

  [2]刘双阳.衍生数据刑法保护进路的多重考察——兼论财产权客体的时代变迁[J].科技与法律,2020(03):86-94.

  [5]于冲.数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角[J].西北大学学报（哲学社会科学版）.2020,50(05):93-102.

  [6]杨立新，陈小江 .衍生数据是数据专有权的客体[N].中国社会科学报，2016-07-13（5）.

  [7]孙道萃.大数据法益刑法保护的检视与展望[J].中南大学学报（社科版）2017年第3期.

  [8]杨志琼.我国数据犯罪的司法困境与出路:以数据安全法益为中心[J].环球法律评论,2019,41(06):151-171

  [9]杨志琼.非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径[J].法学评论,2018,36(06):163-174.

  [10]参见杜前李玉文赵龙,《人民法院报》：地理信息数据的刑事保护——德清法院判决被告人张某等非法获取计算机信息系统数据案，2022年2月10日第6版.

  [11]参见北京市朝阳区人民法院（2020）京0105刑初2594号刑事判决书.

  [12]参见海淀区人民法院（2017）京0108刑初2384号刑事判决书.

  [14] 殷善鹏、吴叶.大数据时代数据犯罪制裁思路探析[j].法制与社会.2016.10

  [15]参见于志刚主编.网络犯罪公约的修正思路.中国法制出版社，2016年版，第55页.

  [16]张明楷.法益初论[M]中国政法大学出版社 2000 年版，第 216 页。

  [19]杨志琼.我国数据犯罪的司法困境与出路:以数据安全法益为中心[J].环球法律评论,2019,41(06):151-171

  [20]李晓亮.大数据云计算背景下新型犯罪问题研究——数据犯罪刑法规制的进路分析[j].大庆政法.2017-9-20

  [21] 参见平顶山市湛河区人民法院（2022）豫0411刑初51号刑事判决书.

  原标题：《获奖论文展播 数据犯罪刑事规制的挑战与出路—以数据法益为中心》

  本文为澎湃号作者或机构在澎湃新闻上传并发布，仅代表该作者或机构观点，不代表澎湃新闻的观点或立场，澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。