法宝应用 | 论刑法中的数据：概念、文本与实践

　　“数”是数学中的基本概念。数的量通常用“数字”予以表达。在信息化社会中，正确定义数字、数据与信息，并区分三者的关系，在法律中具有实践意义，在刑法中也不例外。

　　（一）数字与数据

　　数字是用数对事物观察、实验、统计或计算结果的表达，是用数记录客观世界的结果；数据是有根据的数字或数字的集合，数字是数据的核心内容。在传统意义上，数据和数字具有对应性，因为数字必须与相关描述物联系才有意义。有时数据与数字具有等同性，现有法律条文中的“数据”有时指的就是数字。例如《中华人民共和国统计法》（以下简称《统计法》）第37条禁止“自行修改统计资料、编造虚假统计数据”的行为。这里的“编造虚假统计数据”是指以权定数、以权扰数，按计划报数，随意估数，其核心在数字上。虽然在统计中，数据要与具体的统计指标结合才有实质意义，但在统计法与统计规则中统计指标确定的情况下，与统计指标相应的数字才具有决定性的意义。实践中，统计单位或个人不会编造虚假的统计指标，只会在与统计指标相应的数字上虚假编造。因此《统计法》该条中的“数据”强调的是数字。传统意义上的数据里必然有数字，没有数字不可能成为数据，人们是从内容的角度来认识数据的。

　　然而，随着计算机信息技术的出现，无论是数字、文字还是图片等内容都可以基于0和1二进制数制表达在计算机中，并可以在计算机系统中进行存储、处理和传输等。这些内容经过0和1二进制数制的表达都成了“数据”。这种数据实际上注重的是0与1二进制的表达方式。通过0和1二进制数制表达的过程是数字化的过程，经过数字化处理的任何内容都成了数据。此类数据的内容中可能根本就没有数或数字，它一定程度上脱离了原来数字的含义。但0和1二进制数制表达的内容并非都没有数，如果某项关于数的内容用0和1二进制数制表达，则其中仍有数。《中华人民共和国数据安全法》（以下简称《数据安全法》）第3条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”该规定对数据解释的核心词汇是“信息”，信息本身并不一定包括数的内容。如果信息是以电子记录而形成的“数据”就不是单纯指传统意义上的数字，而是指经0和1二进制数制表达的所有信息内容。这种情况下，人们是从存储形式来把握计算机信息系统中的数据，而不是注重数据内容中的数字。

　　以0和1二进制数制表达的数据有时被称为电子数据。例如《中华人民共和国刑事诉讼法》（以下简称《刑事诉讼法》）第50条在规定证据种类时列举了“电子数据”；《中华人民共和国监察法》第33条也规定“电子数据”在刑事诉讼中可以作为证据使用。这里的“电子数据”是作为证据的数据，在解读《刑事诉讼法》或《中华人民共和国民事诉讼法》时学者们一般将电子数据理解为电子信息或文件。2015年最高人民法院制定的《关于适用〈中华人民共和国民事诉讼法〉的解释》第116条和最高人民法院、最高人民检察院、公安部2016年制定的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第1条都对电子数据予以列举性规定。显然，这里的电子数据强调的是数字化形式存储、处理、传输的信息或文件。但电子数据并非仅指电子证据，例如《中华人民共和国民法典》（以下简称《民法典》）第469条在规定合同订立形式时，强调以电子数据交换方式能够有形地表现所载内容，并可以随时调取查用的数据电文，视为书面形式。该条规定中的电子数据就不是强调诉讼过程中的证据属性（虽然它可以在诉讼中被认定为证据）。

　　另外，《中华人民共和国网络安全法》使用了“网络数据”这一概念，并且该法第76条将其定义为“通过网络收集、存储、传输、处理和产生的各种电子数据”。显然，电子数据概念的外延大于网络数据。因为电子数据完全可以不通过网络收集、存储、传输、处理和产生，不联网的单台计算机也可以生成电子数据。但网络数据的本质是电子数据。随着网络的发展，联网后的数据更具有使用价值和商业价值，因此有学者认为：“大数据是高容量、高速度、高多样性的信息资产。”

　　总而言之，在传统社会中，人们更多的是关注数据中数的内容，而不是数据的记载或表现形式；在当今社会中，人们有时也关注数据中数的内容，但更多地从二进制记载或表现形式上把握数据。在数据概念的把握上，人们已经从传统社会中纯粹关注数据的承载内容转变为现代社会中重点关注数据的记录形式，这要求我们在当下研究数据时不能专注于数字，而应当着重探求计算机和网络技术产生的电子数据给社会带来的机遇和风险。刑法对数据的规制也不再专注于非法修改数字、伪造数字，更在于侵犯以计算机语言转化而来的数据。

　　（二）数据与信息

　　“什么是信息这个问题是信息哲学最困难和最核心的问题。信息依然是一个难以定义的概念。”国内外众多学者试图对信息进行界定，但总是会引发对其定义的质疑。从结构论的角度，信息是信宿对来源于信源的信号的感受。在大数据时代，人类越来越依赖或受制于感受基于电子信号的信息。因此，数据与信息总是交织、纠缠在一起，难以区分。

　　上述关于数字与数据二者关系的辨析中，已经触及数据与信息的关系。有学者认为：“《数据安全法》首次从法律层面对‘数据’进行了含义解释……第一次明确区分了数据与信息。”这是不是事实呢？该法对数据的定义是，“指任何以电子或者其他方式对信息的记录”。数据可以通过电子、光学、磁或者类似新兴手段生成、发送、接收或者储存，也可以通过纸等传统介质记录。从内容上看，在该定义中，数据就是各种方式记录的信息。既然数据就是信息，那么该法并未将数据与信息区分开来。

　　在立法上，基于互联网的飞速发展带来的信息化问题，我国学者们首先讨论的是《信息安全法》的制定，立法中首先也是关注信息安全问题。例如1997年国务院发布的《计算机信息网络国际联网安全保护管理办法》中强调“信息网络安全”，2012年国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》强调“信息安全”，2017年《中华人民共和国测绘法》强调的也是“信息安全”。2018年第十三届全国人大常委会立法规划中将《数据安全法》列入“条件比较成熟、任期内拟提请审议的法律草案”。此后，学者们才开始讨论《数据安全法》的制定。立法机关在进行立法说明时未明确为什么制定的是《数据安全法》而非《信息安全法》，仅强调立法原因在于信息技术和人类生产生活交汇融合，各类数据迅猛增长、海量聚集，对经济发展、社会治理、人民生活都产生了重大而深刻的影响，数据安全已成为事关国家安全与经济社会发展的重大问题。立法理由中强调的信息技术虽涉及“信息”概念，但其核心是应用计算机科学和通信技术，与计算机和网络密切相关。因此，《数据安全法》制定时立法者重点关注的是数据化的信息，即突出强调信息数据化带来的风险。

　　对于数据与信息的关系，一些学者认为两者只是表述的角度不同，区分两者没有实质意义；另一些学者则认为数据与信息并非等同关系，两者的外延存在着区别。这种区别论大致可以分为三种观点，即信息包括数据、数据包括信息、数据与信息并立。这些区别论的观点是基于我国法律条文中对于数据与信息梳理得出的结论，并非数据与信息本源关系的辨析。

　　那么，数据与信息到底是什么关系？基于结构论的信息定义，数据是信号，而信息则是人对信号的感受。可以将作为信号的数据理解为信息的记录或传输形式，信息则是人对这些信号内容的感受。在大数据时代，人们强调数据是信息的记录形式，正如《数据安全法》中规定数据是“以电子或者其他方式对信息的记录”。因此，在大数据时代，人们不但重视信息的内容，而且越来越关注基于0与1二进制的电子数据。通常情况下这种数据与信息的关系就是记录方式与内容的关系，正如学者所言：“数据是电磁环境中传输信息的方式、工具，体现为载体；而信息则是数据传输的对象、内容，体现为本体。”在刑法中首先也是以记录方式与记载内容区分数据与信息，但它不是唯一的区分点。因为基于0与1二进制的电子数据并非任何情况下都是信息的记录形式，它完全可能纯粹就是一组0与1二进制的数字：或者是实现某种程序功能的指令，或者是没有任何目的的涂鸦或乱码，并未承载任何信息内容。这种情况下，数据与信息是分离的。因此，数据包括作为信息记录方式的数据和具有程序功能的数据。欧洲理事会《网络犯罪公约》对计算机数据进行了界定：“任何有关事实、信息或概念以能在计算机信息系统中进行处理的表现形式，包括能确保计算机执行某项功能的程序。”该定义中，也将功能性的指令归入数据。至于没有任何目的的涂鸦或乱码，由于缺乏价值性，此类数据不会进入刑法保护的范围。将数据与信息区分的刑法意义在于：一是看到数据中的信息，当立法者将某些信息作为特定保护对象、设立独立罪名规制侵害该信息的行为时，司法者应当承认该信息的独立性，而不应当将其视为一般数据；二是程序功能的指令数据属于计算机网络系统范畴，不是信息类数据，刑法中通常将其作为计算机网络系统部分，或视为知识产权，不应当与信息混同；三是没有价值的数据不能纳入刑法保护，司法实践中应当防止数据泛化。

　　数据进入我国刑法是数据普及化的结果，也是数据重要性的体现。我国部分刑法条文对“数据”进行了明确的规定，有的数据则隐含在刑法条文的“信息”及其他法律概念里。

　　（一）刑法文本中的数据

　　1997年《刑法》条文中第一次出现了“数据”概念。《刑法》第286条第2款规定“违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的”，依破坏计算机信息系统罪定罪处罚。2009年《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》）规定了非法获取计算机信息系统数据罪，规制违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统，非法获取该计算机信息系统中存储、处理或者传输的数据的行为。2021年《中华人民共和国刑法修正案（十一）》增设了危险作业罪和妨害药品管理罪，规制篡改、隐瞒、销毁直接关系生产安全的相关数据的行为和药品申请注册中提供虚假数据的行为。

　　除上述四个刑法条文中明确使用了“数据”概念外，刑法中多个条文对“信息”进行了规定，分别以“信息”、“信息资料”、“数据、信息”、“信息网络”、“信息系统”等概念加以表达。这些信息实际上多数可以以数据的形式记录、存储或呈现。例如《刑法》第120条之三规定的宣扬恐怖主义、极端主义罪中的“信息”可以以数据方式呈现。最高人民法院、最高人民检察院、公安部和国家安全部于2018年制定的《关于办理恐怖活动和极端主义犯罪案件适用法律若干问题的意见》将该条中的信息解释为图书、报刊、文稿、图片或者音频视频资料等。“音频视频资料”与数据紧密相关。同样，《刑法》第161条违规披露、不披露重要信息罪中的“重要信息”也可以以数据形式记录。中国证券监督管理委员会于2021年修订后公布的《上市公司信息披露管理办法》中明确规定上市公司应当在证券交易所的网站和符合中国证监会规定条件的媒体发布定期报告、临时报告、招股说明书、募集说明书、上市公告书、收购报告书等信息披露文件。在网站上发布的这些信息披露文件无疑也是以数据的方式呈现。

　　有的刑法条文中并未出现“数据”或“信息”的概念，但刑法条文的适用中可能与数据有关。例如，《刑法》第219条规定侵犯商业秘密罪时未使用“数据”或“信息”概念，但侵犯商业秘密罪的认定中却可能涉及数据问题。该条本身并未明确何为商业秘密，法院在审理侵犯商业秘密的刑事案件时可以参照最高人民法院2020年制定的《关于审理侵犯商业秘密民事案件适用法律若干问题的规定》认定商业秘密。该规定第1条解释了何为商业秘密，即“与技术有关的……数据……等信息”或“与经营活动有关的……数据等信息”，换言之，无论是技术秘密还是经营信息秘密都可能与数据有关。从该规定的用语看，这里的数据实际上是信息的表现形式，强调的是信息。又如，刑法多个条文规定了“国家秘密”或者“情报”，但未对此概念予以明确。2023年修改的《中华人民共和国反间谍法》规定保护国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品。

　　（二）刑法文本中的数据分析

　　1.我国刑法不同条文中显性数据存在差异

　　虽然刑法四个条文中都明确使用了“数据”这个概念，但其“数据”的内涵与外延并不一致。危险作业罪、妨害药品管理罪中“数据”强调的是数据的内容，即信息；而破坏计算机信息系统罪、非法获取计算机信息系统数据罪中“数据”可能是数据的内容（信息），也可能是非信息的、具有程序功能的指令数据。在刑事司法实践中，裁判者应当充分认识到这种差异，不能混同认定。

　　在立法用语上，危险作业罪中篡改、隐瞒、销毁直接关系生产安全的数据与信息并列。在学者们的解读中，均未将这里的数据与信息加以区分。例如，有学者在对探讨危险作业罪的认定时认为：“篡改、隐瞒、销毁相关数据信息……其对象应限于与生产安全具有直接关系的数据、信息，如重大危险源安全监测监控系统的正常运行、危险化学品登记信息管理系统中的重大危险源信息等。”也有学者认为：“进入信息化时代后，安全生产的监控、报警、防护、救生设备、设施也大多实现了信息化，确保其中相关数据、信息的真实性和完整性，是确保这些设备、设施正常运行并发挥其维护生产安全功能的重要条件。”实际上，在危险作业罪中，行为人篡改、隐瞒、销毁直接关系生产安全的设备和设施的数据所强调的是信息内容，而非其电子记录形式。妨害药品管理罪中药品申请注册者提供的虚假数据同样是强调相关的信息。最高人民法院和最高人民检察院（以下简称“两高”）2022年制定的《关于办理危害药品安全刑事案件适用法律若干问题的解释》第7条对实施妨害药品管理的行为进行了规定。其第7项对《刑法》第142条之一的第3项进行了解释：“故意损毁原始药物非临床研究数据或者药物临床试验数据，或者编造受试动物信息、受试者信息、主要试验过程记录、研究数据、检测数据等药物非临床研究数据或者药物临床试验数据，影响药品的安全性、有效性和质量可控性的。”该规定中明确了“临床研究数据”和“临床试验数据”。临床研究数据是由医院、学术研究机构和医疗企业在药物、医疗器械、医疗诊断的科学研究中所涉及的人口学资料、诊断信息、病例及患者报告等信息；临床试验数据是在医疗器械临床使用过程中产生的安全性、临床性能和有效性的信息。因此，它们都是强调数据的内容即信息。

　　《刑法》第285条第2款“获取该计算机信息系统中存储、处理或者传输的数据”首先包括了信息。在分析2009年《刑法修正案（七）》中增设非法获取计算机信息系统数据罪的立法原意时，有学者指出：“1997年刑法典颁行以后，有部门提出，一些不法分子利用技术手段非法侵入1997年《刑法》第285条以外的计算机信息系统，窃取他人账号、密码等信息……对这类严重违法行为应当追究刑事责任。”这说明增设该罪的首要目的在于保护计算机信息系统中的信息。“两高”2011年制定的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》基于获取“身份认证信息”的条数对非法获取计算机信息系统数据行为的情节严重进行了列举。但该条中的数据不仅仅指信息，因为存储于计算机信息系统中的并非只有信息，还有不具有信息性质的数据。有学者在分析该罪的数据时指出：“本罪的‘数据’包括身份认证信息和数据产品。二者分别体现了以用户个人（身份认证信息）为基础到以集体数据池（数据产品）为基础的数据权利转变：前者以用户个人为权益中心，后者则以数据经营者为权益中心。”虽然该学者使用了“身份认证信息”和“数据产品”两个概念，但并非强调该罪的数据包括信息以外的内容，因为其“数据产品”不过是集体性的“身份认证信息”。实际上，除信息外，存储于计算机中的还有功能性的计算机指令，这些数据当然也是该罪中的非法获取对象。

　　不过，《刑法》第286条第2款规定的是“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”，将数据与应用程序进行并列列举。应用程序是指为完成某项或多项特定工作的计算机程序。如前所述，数据包括作为信息记录方式的数据和具有程序功能的指令数据。该款立法中将“数据”与“计算机程序”并列列举并不是将后者从数据中区分开来，而是强调对计算机信息系统破坏可以是破坏作为信息的数据（存储、处理或者传输的数据），也可以破坏作为程序功能的数据（应用程序）。

　　2.刑法文本中隐性数据强调信息内容

　　刑法中存在隐性数据，它们主要是从记录、存储或呈现的数据形式与数据构建联系，属于广义上的数据。立法者在隐性数据中实际上强调的是数据的信息内容。在刑事司法实践中，裁判者不能仅从记录方式上把握这些数据，而置内容于不顾，将这些信息作为一般数据对待，泛化数据会导致对数据侵害行为的定性错误。

　　刑法将某些信息特定化而设定特定罪名予以保护的情况下，应当从刑法文本角度出发，强调这些信息的独特性，根据罪刑法定原则的要求，依法对侵害特定信息的行为定罪量刑。例如《刑法》第253条之一中的“公民个人信息”与一般的信息存在差异。根据“两高”2017年通过的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《信息解释》）的规定，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。《信息解释》是以信息记录方式+信息内容相结合的模式明确何为“公民个人信息”，而在明确信息记录方式时又将“电子”记录进行了明确列举，突出了该类信息的数据记录方式。立法者将公民个人信息特定化，将其从一般信息中独立出来，突出对该类信息的保护。刑事司法实践中，裁判者不应当将侵犯公民个人信息的行为认定为非法获取计算机信息系统数据罪。不过，《刑法》第177条之一规定了窃取、收买、非法提供信用卡信息罪，将信用卡的“信息资料”从公民个人信息中独立出来。从实践情况看，他人信用卡的“信息资料”通常包括公民身份证号码、有效期、紧急联系人及其手机号、单位名称、经济收入等相关信息资料，这原本属于《刑法》第253条之一中“公民个人信息”的一部分。既然如此，裁判者也应当根据刑法文本的规定，根据罪刑法定原则，对窃取、收买、非法提供信用卡信息的行为以该罪定罪处罚。

　　从上文分析看，刑法条文中的数据极为模糊：不同的刑法条文中的数据有着不同的内涵或着重点，且无论是明确以“数据”加以规定，还是隐含在“信息”或其他概念中，数据与信息都纠缠不清。模糊的数据概念要用在刑事司法实践中，由裁判者在具体案件中加以认定。那么司法实践中，裁判者眼中的数据到底是什么呢？笔者以非法获取计算机信息系统数据罪为例，下载了自《刑法修正案（七）》设立该罪至2023年10月30日北大法宝“司法案例”数据库中所有该罪的生效刑事判决书共计714份，以统计分析司法实践中裁判者在刑事案件中对数据的认定状况。

　　（一）非法获取计算机信息系统数据案刑事判决书中数据的整体样态

　　这714份非法获取计算机信息系统数据案的刑事判决书中，除20个案件的刑事判决书未明确行为人侵犯的具体数据内容外，其他694份刑事判决书均列出了数据或信息的内容。其涉及的信息或数据内容繁多、表现各异。笔者根据这些信息或数据的内容大致将其分为9类。

　　涉及账户、密码方面的案件共有296件。这些案件中行为人以游戏、苹果产品、QQ微信等聊天平台、淘宝等购物平台、支付宝等支付平台的账号、密码为主要获取对象。

表1 涉及账户、密码的案件

表2 涉及虚拟财产的案件

表3 涉及个人或客户信息数据的案件

表4 涉及经营信息与数据的案件

表5 涉及手机号码和短信的案件

表6 涉及计算机、网络管理数据信息的案件

表7 涉及游戏、视频资源数据的案件

表8 涉及政府管理数据的案件

表9 涉及图纸、教材等版权数据的案件

　　非法获取计算机信息系统数据案只是司法实践中涉及数据类刑事案件的一部分。但从中国裁判文书网、北大法宝“司法案例”等公布的裁判文书看，该类案件也是刑事司法中关于数据的最主要案件，因此在讨论刑法中数据的司法实践时具有代表性。694份刑事判决书载明的数据事实表明，生产经营中的客户名单、订单数据、经营资料，生活中的邮箱密码、支付平台用户名与密码，娱乐休闲中的视频、游戏用户名与密码等众多数据都已经成为侵害对象，每一个社会成员都可能成为数据侵害行为的被害人；因数据技术变革而出现的新型资产（如比特币、以太币等加密资产）尚未被社会全然了解和接受，便已经成了涉及数据的刑事裁判文书中的高频词。这些刑事裁判文书展现出裁判者充分认识到数据在生产、生活中的重要性，对严重侵害数据的行为运用刑事手段予以打击。

　　（二）刑事判决书展现出裁判者在数据认定时存在的问题

　　每一份刑事判决都是裁判者基于案件事实依据法律的规定所作出的。但上述涉及数据认定的刑事案件中，一些裁判者在把握数据概念、数据事实、数据性质和侵害数据行为危害性程度等方面都存在较为突出的问题。

　　1.用抽象的数据概念代替具体的数据事实

　　数据是一个具体的概念，尤其是在侵害数据的案件中，数据是重要的案件事实。司法实践中，裁判者应当明确行为人获取了何种具体数据，而不能笼统使用“数据”这个概念概括具体数据事实。但从统计上看，有20个案件的刑事判决书中并未明确行为人获取的到底是什么数据。例如，在赵某非法获取计算机信息系统数据案中，法院认定被告人赵某先后多次利用其在XX公安分局五里堆派出所监控中心值班之机，私自将该派出所监控电脑的网线从治安电子监控交换机上拔下接入公安专网交换机上，并进行公安专网段IP、掩码、网关和DNS等网络设置，然后利用黑客软件侵入公安专网部分网段的电脑，非法下载重要公安信息数据，后将下载的数据全部存储在自己的移动硬盘上。该刑事判决书未提及“重要公安信息数据”是什么，也没有明确相关数据的数量。有的刑事判决书明确了被告人非法获取计算机信息系统数据的数量，但未明确侵犯的何种数据。例如，在廖某非法获取计算机信息系统数据案中，法院认定廖某非法控制他人计算机信息系统约30台，非法获取他人计算机系统数据约520条。至于获取的此520条系统数据是何种数据，刑事判决书未予以明确。出现此类问题的原因，可能是法院在处理数据事实的过程中本来就未查明具体的数据事实，也可能是法院查明了数据事实，只是在刑事判决书中未载明。但根据《刑事诉讼法》的规定，有罪判决的标准是案件事实清楚、证据确实充分，如果不查明数据事实，就不能作出有罪判决；而根据刑事裁判文书的写作规则，裁判者也应当在刑事裁判文书中载明具体的案件事实，尤其是对定罪量刑具有决定性意义的案件事实。

　　从对非法获取计算机信息系统数据案的刑事判决书的统计看，绝大多数刑事判决书会载明被告人非法获取的是何种数据，也会明确数据的数量。裁判文书通过载明数据事实展现被告人为什么构成侵害数据的犯罪、构成何种侵害数据的犯罪和构成多重的罪。并且根据刑法的规定，获取计算机信息系统中存储、处理或者传输的数据，情节严重才构成犯罪。因此只有刑事判决书描述具体的数据事实，并明确其数量，才能判断被告人侵害数据行为的社会危害性程度是否达到了构罪标准。

　　仅以非法获取计算机信息系统数据案作统计，714篇刑事判决书中就有20篇用抽象的数据概念代替具体的数据事实，由此可见在侵害数据刑事案件处理中忽视数据具体化的问题较为突出。

　　此外，有的刑事判决书中载明了数据类型，但未将数据细化到具体的数据事实，以致无法判断数据的性质。例如在陈某非法获取公民个人数据案中，刑事判决书载明被告人陈某利用计算机黑客技术手段攻击上海某公司网站服务器并获取后门程序控制权限，非法入侵该网站获取系统中储存的公民个人数据21830组。什么是公民个人数据？本案中被告人获取了何种具体的公民个人数据？该案刑事判决书并未列明。这等于在盗窃案的刑事判决书里仅载明了被告人盗窃了他人财物，而不列明其盗窃了什么财物。此类刑事判决书也展现出办案人员对具体数据事实的漠视。

　　2.忽视数据的价值，缺乏数据的价值评判

　　在刑法理论中，关于刑法保护的客体有社会关系论与法益论之争。但无论是坚持社会关系论还是坚持法益论，刑法学者们都强调犯罪对象是具有价值的人或物。例如，坚持社会关系论者认为：“从物质表现形式上看，犯罪对象包括物体和人体两种。物体指货币、物品等一切具有价值、归属关系的东西……”法益论者也强调“法益必须与利益相关联”，而利益是以价值为基础的。因此，任何进入刑法视野中的人或物必须具有价值。在计算机信息系统中，数据是由0与1组成的数据，但并非任何0与1组成的数据都能成为刑法中的数据，只有具有价值的数据才能成为刑法所保护的对象。

　　在司法实践中，部分裁判者在判决书中对涉案数据价值进行了评判。例如，在梁某等非法获取计算机信息系统数据案中，被告人梁某等人违反国家规定，结伙利用技术手段侵入旭升公司计算机信息系统，获取其客户信息、报价单、DFM（可制造性设计）等资料。经评估，涉案数据中15个产品的DFM资料价值人民币21428594元。法院基于此价值评估认定行为人非法获取计算机信息系统数据，情节严重。

　　然而，在侵犯数据刑事案件的处理中，大部分裁判者忽视涉案数据的价值评判。例如，在前述20个未列举数据案件事实的案件中，裁判者连具体的数据事实都没有列举，更不可能评判数据的价值。在涉及数据的刑事案件中，不评判数据的价值，很可能将没有任何价值的数据归入刑法保护的数据。换言之，裁判者会将计算机信息系统中的乱码、垃圾等完全没有价值的0与1数字表达的内容归入刑法保护的数据。这显然违背了刑法保护客体和犯罪对象的一般理论。

　　在涉及数据的刑事案件中，另一个忽视数据价值的现象是多数案件裁判者以侵害数据行为人违法所得作为涉案数据的价值，而不是评判数据本身具有的价值。例如在吴某等非法获取计算机信息系统数据案中，吴某联系到严某进入网易游戏运营部，盗窃该公司工作人员使用的电脑主机硬盘复制资料，并安插键盘记录器在电脑主机上以盗取该电脑的登录账号密码，窃取该公司客户邮箱账号基本信息等资料约二百个，后严某再通过手机等方式将上述资料发给被告人吴某，并获得被告人吴某提供的报酬人民币28.2万元。一审法院以此28.2万元认定吴某等非法获取计算机信息系统行为的社会危害性，判决被告人构成该罪。但上诉中，上诉人吴某称，该28.2万元只是感谢费，不是数据的价值，如果“将数据倒卖出去牟利的话价值应该高过严某获取的28.2万元”。因此，在涉及数据的刑事案件中，忽视数据的价值、缺失价值评判，单纯地以违法所得作为数据价值的替代，不但不能使被告人服判，而且有违数据价值的真实性。

　　不单在个案中裁判者忽视数据的价值，在最高司法机关的司法解释中也同样存在此类问题。例如，2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条在确定破坏计算机信息系统功能、数据或应用程序时，以受影响的计算机台数作为“后果严重”的标准，完全不考虑不同计算机中数据的不同价值。虽然此类规定便于办案人员简单处理案件，但这种完全无视数据价值的做法可能使案件的裁判结果完全违背罪责刑相适应原则的要求。

　　3.泛化数据概念，致使数据成为“口袋”

　　714个非法获取计算机信息系统数据案中，有694个案件列出了数据的内容。但从上文的统计中可以明确看出，刑事判决中的数据存在严重的泛化问题：将一切从网络、计算机或手机等电子设备中获取的内容均认定为数据；数据成为一个“口袋”，也使非法获取计算机信息系统罪成为一个“口袋罪”。

　　这种数据泛化的根本原因在于一些裁判者只看到数据的0和1二进制表达形式而未正确把握数据属性。如此认定，实际上就是从属性上否定了数据内容所代表的权利属性，将所有侵犯形式上为数据的行为全部认定为侵害数据的行为，最终不当侵蚀侵害行为的传统定性。这在以下三个方面体现得最为突出。

　　一是裁判者忽视数据的财产属性，将侵犯财产的行为定性为侵害数据的行为。从上述统计数据看，在205个关于游戏装备、虚拟币和加密资产的案件中，裁判者均将其归入数据。但游戏装备、虚拟币和加密资产的财产属性对于所有者而言最有意义，以比特币、以太币为代表的加密资产的财产属性更为突出。作为国际市场的一种新兴投资品种，加密资产全球总市值2021年11月8日突破3万亿美元。即使经历了暴跌，加密资产全球总市值至2024年3月11日仍有2.8万亿美元。加密资产确实具有数据形式，但作为国际市场中的新投资品种，投资者看到的是其资产功能与价值，而不是因为它是一组数据。在涉及加密资产的刑事案件中，一些法院却只看比特币、以太币等加密资产的数据存储形式，将加密资产作为数据对待，以至将以非法占有为目的、秘密窃取他人比特币等加密资产的行为定性为非法获取计算机信息系统数据罪，或将以非法占有为目的、捏造事实或隐瞒真相使被害人陷入错误认识而自动交付比特币等加密资产的行为定性为非法获取计算机信息系统数据罪，而不是将这类行为定性为侵犯财产罪中的盗窃罪或诈骗罪。例如在仲某非法获取他人比特币案中，法院查明仲某于2017年9月15日通过使用TEAMVIEWER软件远程控制北京比特大陆科技有限公司的电脑，使用ROOT权限进入该公司租用的阿里云服务器，在比特币钱包程序中插入代码转移100个比特币至其个人钱包。法院认定被告人仲某采用技术手段非法获取计算机信息系统数据，情节严重，其行为构成非法获取计算机信息系统数据罪。

　　二是裁判者忽视数据的著作权属性，将侵犯著作权的行为定性为侵害数据的行为。上述统计中，8份刑事判决书将视频资源、影视数据、试卷答案、教材内容、花型文件等认定为数据。例如，在马某非法获取英语教材案中，法院查明被告人马某2018年加盟山东某教育科技有限公司，开展网络英语教育工作，后仿照该公司开发“爱闻思智能英语学习系统”，并利用“爬虫”程序获取该公司网站中的大量英语教材内容，将其作为爱闻思智能英语学习系统的教材。法院认定被告人马某违反国家规定，非法获取他人计算机信息系统中的数据，情节特别严重，其行为构成非法获取计算机信息系统数据罪。显然，该案中山东教育科技有限公司对英语教材享有著作权，被告人马某通过“爬虫”程序非法获取其网站中的教材内容并私自使用侵犯的是该公司的著作权，而不是一般意义上的数据权。该案中，裁判者也只是看到了英语教材的数据存储形式，而没有透过数据形式看到著作权的实质。

　　三是裁判者忽视数据的商业秘密属性，将侵犯商业秘密的行为定性为侵害数据的行为。上述统计中，3份刑事判决书将工程图纸文件、设计图纸等认定为数据。例如，在张某非法获取图纸资料案中，被告人张某2010年至2013年在大西洋公司工作期间，违反公司规定，盗用他人账号和密码，多次非法侵入该公司的计算机信息系统，收集本公司采取了保密措施、严禁外泄的工程技术图纸数据，并拷贝至其个人的移动硬盘及便携式笔记本电脑内，意图向外出售牟利。鉴定认定，被告人张某非法获取的图纸中有40张与大西洋公司的“方坯连铸机成套设备工程设计技术”图纸（44张）存在相同或实质相同关系，而该技术的市场价值为人民币439.55万元。显然，案中的公司工程技术图纸属于商业秘密，只不过该工程技术图纸存储于计算机中。在该案中，裁判者也是仅看到了工程技术图纸的数据存储方式，忽视了工程技术图纸的商业秘密属性，以致原本应当以侵犯商业秘密罪处理的案件，最终被认定侵害数据的犯罪。

　　此类忽视数据属性的判决实际上是泛化数据概念的结果，使数据成了一个“口袋”，也导致侵害数据的罪名在调整社会关系或保护法益的范围上无限扩大。

　　4.同化数据与信息，部分罪名中信息的独立性丧失

　　在刑法文本中，数据与信息的关系纠缠不清，以致刑事审判实践中，裁判者也经常对信息与数据不加区分，部分罪名中信息的独立性丧失。从上文的统计看，涉及个人或客户信息的刑事案件共77件，涉及身份认证信息、个人信息、客户资料等。这些案件中裁判者均将信息认定为数据，以非法获取计算机信息系统数据罪对被告人的行为进行定性。但刑事立法中，立法者在部分罪名中已经将信息从数据中独立出来，侵犯这些信息的行为应当独立成罪。

　　依据《刑法》第253条之一的规定，窃取或者以其他方法非法获取公民个人信息的，构成侵犯公民个人信息罪。该罪是在《刑法修正案（七）》中新增的罪名。同时增设非法获取计算机信息系统数据罪和该罪，说明立法者认为有必要将侵犯公民个人信息的犯罪独立化。虽然侵犯公民个人信息的侵害行为人可能非法获取计算机系统外的公民个人信息，但在信息存储计算机化的今天，非法获取计算机信息系统中的公民个人信息无疑是该类侵害行为的常态，也是危害性最大的侵犯形式。因此，侵犯公民个人信息罪主要是以侵犯计算机信息系统中的公民个人信息呈现。行为人无论是否以计算机网络方式非法获取公民个人信息，凡达到构罪标准的，都应当认定为侵犯公民个人信息罪。例如在最高人民法院指导性案例193号闻某等侵犯公民个人信息案中，被告人通过他人利用微信、QQ获得百度网盘分享链接的方式获取他人居民身份证正反面照片，办案机关从其网盘内清点居民身份证正反面照片一万余组。法院认为居民身份证除包含户籍地址信息外，还是公民的姓名、人脸信息、唯一身份号码等信息的综合体，被告人闻某等人的行为已经构成非法获取公民个人信息罪。但司法实践中，也有部分法院将侵犯存储于计算机中的公民个人身份信息行为定性为非法获取计算机信息系统数据罪。例如在李某获取公民个人信息案中，被告人李某侵入中小学教师资源网、长春人力资源网等网站，获取网站中的公民个人信息数据，并将相关数据卖给曾某某，非法得利15000元。法院认为被告人李某的行为构成非法获取计算机信息系统数据罪。《信息解释》对“公民个人信息”的解释中只强调它是指特定自然人身份或者反映特定自然人活动情况的各种信息，并未因商业经营的因素而将这些信息剔除于公民个人信息。但更多的案例中将商业经营中的客户个人身份信息、居住信息、消费信息等作为数据予以认定。这实际上混淆了信息与数据的关系，使非法获取计算机信息系统数据罪完全包容侵犯公民个人信息罪，使后者无存在的必要。这显然不符合立法者关于侵犯公民个人信息罪设立的初衷。

　　《刑法》第177条之一第2款规定，窃取、收买或者非法提供他人信用卡信息资料的，构成窃取、收买或者非法提供他人信用卡信息资料罪。实践中，这些信用卡信息资料也通常是存储于计算机系统中，也是以数据的形式存在。如果不区分信息与数据，该罪也就没有存在的余地，完全可以被非法获取计算机信息系统罪替代。司法实践中也确实出现了此类案例。例如在张某非法获取外国公民信息案中，被告人张某利用国外网站后台漏洞、使用黑客技术手段，非法在国外购物网站内获取包含国家、姓名、地区、邮箱、电话、信用卡号、安全码、有效期等内容的外国公民信用卡信息数据共计134531条。裁判者认为被告人张某利用黑客技术手段，非法获取计算机信息系统中存储的数据，构成非法获取计算机信息系统数据罪。这种对数据与信息不加区分，将计算机或网络中存储的信息都认定为数据的做法，必然会在侵害行为的定性上出现偏差。

　　正确认识刑法中的数据，不但是确定数据范围、解决信息与数据关系的需要，而且是侵害数据案件中明晰此罪与彼罪界限的要求。正确认定刑法中的数据，应当从以下几个方面着手。

　　（一）界定刑法中的数据概念

　　在大数据时代，“人类已在事实上步入一个‘无物不数据’的时代”。这里的“数据”是指以0和1二进制数制形成的电子数据。当下社会，电子数据已成为比自然语言更加精准、便利、可操作、可计算的科学语言，社会存在的客观现象大多可以通过电子数据来表达。“无物不数据”一方面凸显出社会对电子数据技术支持的迫切要求，另一方面也描述了当下社会中电子数据技术的普及化。定义数据是社会各领域面临的迫切问题。刑法只是使用了“数据”这一概念，并未明确何为数据，也未对社会生产、生活中的具体数据进行分类，更未列举数据的表现形式。

　　《数据安全法》第3条规定，数据是指任何以电子或者其他方式对信息的记录。该定义强调数据是对信息的记录，将信息以外的数据排除在外，其外延较狭窄。从内容上看，数据并非都是信息。在计算机普及化的社会中，信息以外的数据大量存在。在信息与数据的关系上，信息是内容，而且信息只是数据的内容之一，数据还有除信息以外的其他内容。例如计算机程序本身就不是纯粹意义上的信息。它是计算机能识别和执行的指令，是满足人们某种需求的信息化工具。又如用户名、密码之类的数据也不是传统意义上的信息，它只是计算机或网络系统能识别的指令。如果仅将数据定义为对信息的记录，则无疑会将这些信息外的数据排除在外。

　　可以从记录的形式与承载的内容两个方面明确刑法中的数据：数据是指以电子或其他方式记录的信息或功能性指令。基于这个定义，我们可以基于记录方式的差异，将数据分为记载于传统介质上的数据和记录于计算机中的数据；也可以基于承载的内容不同，将数据分为具有信息内容的数据和具有指令功能的数据。大数据背景下，于刑法而言，将数据分为信息类数据和功能性数据是较为合理的。信息类数据是指记录在计算机系统中的信息，本质上是通过数据化处理后的信息；功能性数据是指经0与1二进制编写具有指令功能的数据，它未承载具体的信息内容，是计算机能识别和执行的指令，属于计算机或网络系统的一部分。

　　如前所述，不同刑法条文中的数据范畴可能不同。从载体或记录形式上看，妨害药品管理罪和危险作业罪中“数据”的外延宽于非法获取计算机信息系统数据罪、破坏计算机信息系统罪中的“数据”。因为前者可能是存储于计算机信息系统中的电子数据，也可能是记载于其他介质上的数据，而后者是存储于计算机信息系统中的电子数据。以妨害药品管理为例，在药品申请注册程序中，申报单位要填写新药临床研究或生产申请表，连同申报的技术资料和样品报省级药品监督管理部门。国家药监局于2022年发布的《关于实施药品注册申请电子申报的公告》规定，自2023年1月1日起，申请人提交的审评审批药品注册申请以及审评过程中补充资料等，调整为以电子形式（光盘）提交申报资料，申请人无需提交纸质申报资料。这说明此前的新药临床研究或生产申请表是以纸质材料提交，纸质材料上面所记载的数据就不是二进制式的电子数据。并且，即使在2023年1月1日后，新药临床研究或生产申请表是以光盘记载的方式提交，在妨害药品管理刑事案件的处理过程中，仍然要收集药品试验中的原始数据，这些数据也可能是以纸质方式记载的。同样，在生产、作业中违反有关安全管理的规定，篡改、隐瞒、销毁其相关的数据可能是电子形式存在的数据，也可能是记载于纸上的数据。

　　（二）重视数据价值，以价值衡量刑法对数据保护的必要性及力度

　　《数据安全法》第3条对数据的定义强调数据是一种信息记录方式，未触及数据的具体价值因素。其原因在于立法者是在数据安全的角度使用数据概念，而并非所有以电子或其他方式对信息的记录都涉及安全问题。正如《关于〈中华人民共和国数据安全法（草案）〉的说明》所明确的：“随着信息技术和人类生产生活交汇融合，各类数据迅猛增长……数据安全已成为事关国家安全与经济社会发展的重大问题”。立法者所关注的是事关国家安全与经济社会发展的数据，这实际上隐含了对数据的价值要求。一组乱码不可能涉及国家安全，也不可能影响经济社会发展，自然无法进入该数据概念。

　　刑法是后备法，是其他法律得到实施的保障，因此只有其他法律中加以保护的数据才能成为刑法中的数据。虽然不同的法律对数据的保护着力点可能存在差异，但作为法律保护的对象，数据应当具有价值性。例如，刑法保护商业秘密，而根据《中华人民共和国反不正当竞争法》的规定商业秘密不但要有秘密性和保密性，还要具有价值性。商业秘密也可以通过数据体现出来，价值性必然是该类数据的重要特征。同样，刑法保护权利人对作品的著作权，而根据《中华人民共和国著作权法》的规定作品是有独创性并能以一定形式表现的智力成果，也强调其价值性。当这种作品存储于计算机中，也具有了数据的外在特征，价值性当然也就成了该类数据的必备特征。其他的数据如果不具有价值性，同样不能成为刑法所保护的数据。

　　在司法实践中，强调数据价值观念，既能将不具有价值的垃圾信息、指令剔除出刑法保护的数据范畴，也能贯彻罪责刑相适应原则的要求，对侵害数据行为的社会危害性作出正确评判，以确定适度的刑事制裁方式。2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《信息系统安全解释》）第1条对非法获取计算机信息系统数据罪中的“情节严重”作了解释。《信息系统安全解释》中三个考虑因素值得注意：网络金融服务的身份认证信息、其他身份认证信息和违法所得。非法获取网络金融服务的身份认证信息10组以上或其他身份认证信息500组以上，可以认定为“情节严重”。这实际上是看到了不同身份认证信息的价值差异，并基于信息的不同价值确定侵害不同数据的构罪标准，而不是无视数据的价值差异一体规定统一构罪标准。但《信息系统安全解释》仅将信息分为两类，突出网络金融服务的身份认证信息价值，忽视其他信息之间的价值差异；且其亦未涉及信息以外数据（功能性指令）的价值问题。“两高”应当基于数据的分类，评判不同数据类型的价值，以确定侵害不同数据行为的社会危害性评价标准，以便于司法者在司法实践中作出符合罪责刑相适应原则要求的刑事判决。同时，要改变司法实践中主要以侵害行为人违法所得作为侵害数据行为社会评价标准的状况，改为以数据价值评估结果作为侵害数据行为社会危害评判的主要依据。

　　（三）准确把握数据属性，防止数据概念泛化

　　刑法中的数据内容是多元的，在不同的领域中，数据内容所承载的权利属性可能存在差异。刑法适用中应当通过对数据内容的正确把握确定数据的属性，以此为基础实现对侵害行为的准确定性，防止抹杀数据属性的差异而泛化数据概念。

　　前文对刑法条文中的明确列举的数据、隐含的数据进行了分析。不同条文中的数据有不同的内容，也具有不同的属性，承载着不同的法益。从司法实践看，现在有部分司法者能正确认识数据的属性，并基于数据属性作出正确的裁判。例如在武某窃取他人比特币案中，被告人武某通过远程链接控制被害人金某的电脑，窃取其电脑桌面上打开的“MMM”投资平台的账号及密码，通过篡改收款地址的方式盗走被害人金某账户中的比特币70.9578枚（价值人民币205607.81元）。案中辩护人提出“比特币是一种虚拟商品，不属于盗窃罪的犯罪对象”。但该案裁判者认为比特币“代表着被害人在现实生活中实际享有的财产，应当受刑法保护”，法院认定被告人武某构成盗窃罪。本案中，裁判者透过比特币的数据记录的外在形式正确把握了其财产属性，从而对被告人的盗窃行为进行了正确的定性。游戏装备、游戏币等虚拟财产和比特币、以太币等加密资产出现在社会生活中时，学界和实务界对其属性理解上存在分歧，但现在多数人倾向于将其属性定位于资产或财产，而不是数据。《民法典》第127条规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，将“数据”与“网络虚拟财产”并列列举也表明立法者认识到了网络虚拟财产不能简单地归属于数据，而是应当将其从数据中分离出来。刑法适用中也应当充分注意到民法典立法中的这一倾向。

　　商业秘密、国家秘密、作品等都可以体现为数据形式，相关刑事案件的处理中，裁判者应当充分认识到其特定性，通过数据的外在存储形式把握其实质属性，确定其商业秘密权、国家秘密权、版权等权利性质。实质上，立法者在刑法中已经将数据形态的商业秘密、国家秘密、作品等特定化了，裁判者应当基于法条竞合的原理将侵害商业秘密、国家秘密、作品等行为归入相应的罪名下。以作品为例，图书、报刊、文稿、图片等经过0和1二进制数制变成数据是否具有刑法上的意义？例如某作家将自己手写的一篇小说输入电脑，小说从纸质介质转化成以0和1二进制数制存储在计算机系统中，这是否会因该存储方式的变化而引发刑法对其保护产生影响？这种转变不会对刑法保护产生影响。因为他人将该纸质记载的小说署名发表和将存储于电脑中的小说署名发表并无实质差异，都可能构成《刑法》第217条规定的侵犯著作权罪。他人侵入权利人电脑复制了该小说，虽然是侵入他人电脑并获取该计算机信息系统中存储的数据（小说），但其获取该数据化的小说后署名发表，是侵犯了他人的著作权。因此，无论行为人侵犯的是电子记录的小说作品还是纸质记录的小说作品，都涉嫌构成侵犯著作权罪。

　　（四）区分数据与信息，强化信息在部分罪名中的独立性

　　刑法虽然使用了“信息”与“数据”两个概念，但并未明确区分两个概念，甚至有的刑法条文中信息与数据是混同的。出现这种状况的原因在于两个方面：一是信息技术的发展，电子数据广泛存在于生产和生活的各个方面，特别是在大数据时代，数据是信息的重要记录方式，数据化处理后的信息也是数据，信息与数据本身难以区分；二是《数据安全法》在定义数据时将其与信息等同，影响其他法律中对数据的定位。

　　有的刑法条文本身对数据与信息并列列举，司法人员可不对两者加以区分。例如，《刑法》第134条之一的刑法条文中并列列举了“数据、信息”，表明在危险作业罪的认定中无论行为人侵犯的是数据还是信息都会构成该罪，裁判者无需对此加以区分。例如在谭某修改车辆数据案中，被告人张某明知湘A20816自卸低速货车整备质量超重，不能通过机动车安全技术检验，仍伙同被告人谢某通过修改检测仪器参数的方式修改了该车的整备质量数据，出具虚假的检验合格证明，车管部门相关人员据此为车辆核发了2019年检验合格标志。在本案中，张某修改计算系统中的车辆数据属于篡改直接关系生产安全的设备数据，属于危险作业的行为。至于张某篡改的到底是数据还是信息毋须细究。

　　然而，数据与信息的区分有时关系到行为的定性。这在两组罪名中体现得最为突出：侵犯公民个人信息罪与非法获取计算机信息系统数据罪，窃取、收买或者非法提供他人信用卡信息资料罪与非法获取计算机信息系统数据罪。

　　首先，基于侵犯公民个人信息罪与非法获取计算机信息系统数据罪分析信息与数据。公民个人信息储存于计算机中就成了数据，这种情况下就要正确区分信息与数据，否则对侵害行为的定性就会出现偏差。例如，在最高人民法院指导性案例193号即闻某等侵犯公民个人信息案中，办案机关从被告人闻某的网盘内清点公民个人信息一万余组，从被告人朱某的网盘内清点公民个人信息三千余组，从张某分享给朱某的网盘内清点公民个人信息41654组，从被告人张某的网盘内清点公民个人信息60101组。该案中存储于网盘中的公民个人信息都是以电子数据的方式存在的。该案中，如果不把握公民个人信息的内容实质，而仅从数据外在形式着眼，就会将该案中被告人的行为定性为非法获取计算机信息系统数据罪。

　　根据《信息解释》对“公民个人信息”的解释，它包括识别特定自然人身份或者反映特定自然人活动情况的各种信息：姓名、身份证件号码、通信通讯联系方式、住址或住宿信息、账号密码、财产信息、行踪轨迹、征信信息、通信记录与内容、健康生理信息、交易信息等。虽然公民个人信息多种多样、难以穷尽列举，也都可能存储于计算机系统中成为数据，但其本质是可以定位信息所有者或分析其行为习惯。《关于〈中华人民共和国刑法修正案（七）（草案）〉的说明》对出售、非法提供公民个人信息罪和窃取、非法获取公民个人信息罪立法原因进行说明时强调，“公民个人信息被非法泄露的情况时有发生，对公民的人身、财产安全和个人隐私构成严重威胁”。公民个人信息被侵犯而使公民权益受到严重威胁的原因就在于这些信息可以定位信息所有人，或通过这些信息可以分析信息所有者的行为习惯。如果计算机系统中存储的这些信息不具有定位信息所有者或分析其行为习惯的功能，就不应当将其认定为公民个人信息，而只能认定为数据。

　　有学者在分析非法获取计算机信息系统数据罪的立法原因时指出：“1997年刑法典颁行以后，有部门提出，一些不法分子利用技术手段非法侵入1997年《刑法》第285条以外的计算机信息系统，窃取他人账号、密码等信息……对这类严重违法行为应当追究刑事责任。”实际上，账号、密码通常并非信息，只是计算机或网络识别、执行的指令，且行为人非法获取账号、密码的目的并非要定位信息所有者或分析其行为习惯，而是在于获得计算机系统或网络系统的登陆，账号、密码应当归属于数据。

　　其次，基于窃取、收买或者非法提供他人信用卡信息资料罪与非法获取计算机信息系统数据罪分析信息与数据。2004年《中华人民共和国刑法修正案（五）》增设新罪名强化信用卡信息资料的保护。当时的计算机普及远不及今天，信用卡信息资料数据化也不如今天突出，且当时也没有非法获取计算机信息系统数据罪，因此不存在两罪区分难题。但自2009年《刑法修正案（七）》设立非法获取计算机信息系统数据罪后，这个问题就出现了。虽然广义上的数据与数据形态的信用卡信息资料是包容与被包容关系，可以基于法条竞合的原理解决两者的认定，但大多数相关案件中，裁判者并未运用这个理论，而是直接将数据形态的信用卡信息资料认定为广义上的数据。实际上，窃取、收买或者非法提供他人信用卡信息资料罪与非法获取计算机信息系统数据罪第一档法定刑基本一致，第二档法定刑也存在很大程度上的重合，按法条竞合“重法优于轻法”的理论很难解决两罪的区分，只能采取“特别法优于普通法”的原理加以解决。这就要正确认定信用卡信息资料罪中数据化的信息资料到底是数据还是信息。与前述侵犯公民个人信息罪相似，这里的信息也是从定位信息所有者或分析其行为习惯的功能着眼，具有该功能的就应当认定为信息而不是数据。例如，在陈某等人窃取他人信用卡信息资料案中，陈某、黄某以牟利为目的，为电信网络诈骗犯罪分子制作、设立具有收集用户姓名、身份证号码、信用卡号码、登录密码、查询密码、交易密码等功能的“钓鱼网站”，陈某、黄某窃取他人信用卡信息资料190组。本案中，行为人通过网络窃取的这些信息虽然具有数据的外在形式，但因为其具有信息的实质，所以不能将其行为认定为非法获取计算机信息系统数据罪。