围绕数据处理而形成的数据犯罪呈现出严重的社会危害性与复杂性, 我国数据犯罪刑法规制体系的构建应有效回应大数据时代不断革新的外部社会事实。试图为数据犯罪设计出一套独立且周延的罪名体系的立法进路并不妥当。我国 数据犯罪的规制应立足于双层法益观, 阻挡层法益为数据的运行状态安全, 背后层法益为数据所承载的现实具体利益。数据犯罪的双层法益观具有合理限缩数据类型、全面评价行为不法与构建罪量评价体系的功能。构建我国数据犯罪的刑法规制体系, 应正确认识数据本体罪名与关联罪名的竞合情形及界限, 形成开放的数据刑法体系; 在刑法中贯彻数据分类分级保护理念, 对数据属性及数据不法行为的法益侵害性进行具体、 实质与综合的判断; 调整数据罪名的体系结构, 将破坏数据行为独立构罪并增加干扰数据的行为; 数据犯罪司法解释应加强数据犯罪行为与后果的不法关联性, 重塑数据类型与数据保护级别。
关键词 数据犯罪 双层法益观 数据分类分级保护 非法获取计算机信息系 统数据罪 破坏计算机信息系统罪
互联网、 移动互联网、 物联网等技术的发展使我们所处的客观世界被不断数据化, 源源不断的数据在万物互联中生产汇聚, 并以指数形式增长。一方面, 数据作为一种新型的生产要素, 已快速地融入到了生产、 分配、 流通、 消费和社会服务管理等各个环节之中, 其应用价值与保护地位也在人类社会思维方式、 组织架构与运作模式的变革重塑中日渐增强。另一方面, 在硬件技术发展、 通信承载能力大幅提高的背景下, 数据犯罪的刑事治理主要存在以下两个方面的挑战。一方面, 数据犯罪的高发态势难以遏制。数据犯罪数量的爆发式增长表明数据安全的脆弱性与易受攻击性越发凸显。另一方面, 数据犯罪的行为模式层出不穷。技术手段的迭代与加持产生了诸如数据非法爬取、 流量劫持、数据刷量、数据盗取、截取条链等一系列崭新犯罪类型。可以预见, 数据犯罪的未来形态将会呈现出进一步的高度不确定性, 并可能引发数据刑事风险的不断裂变。大数据时代出现的新理论、 新技术、 新方法、 新模型以及新工具走在了传统信息科学的前面。 大数据时代社会生活事实外部样态的变革对数据刑法治理形成了倒逼之势。不少学者认为, 围绕着计算机信息系统所形成的、 以 “ 破坏型” 与“ 获取型”罪名为主导的传统刑法规制模式已经无法满足数据犯罪的治理需要, “ 数据法益保护性不足”“数据犯罪行为类型欠缺”“ 数据分类分级制度下的罪刑失衡”等现实困境必须要借助 数据罪名体系的更新与重构方可化解, 刑事立法逐渐成为我国刑法学界应对数据刑事风险的主流方案。据笔者的不完全统计, 我国刑法学者目前针对数据不法行为所设计的罪 刑规范不下十种, 例如“ 非法获取、持有、使用数据罪”“非法破坏、删除、压缩数据罪”“滥用数据罪”“非法分析数据罪”“ 非法提供数据罪”“ 非法访问数据罪”等。除了数据不法行为的类型扩充之外, 部分观点也对数据在刑法中的称谓表述、 实质内涵、 指涉范围等本体内容作出了重新厘定, 形成了“网络数据”“ 信息数据” 等传统刑法中并不存在的新型数据概念。与此同时, 增设新罪的立法进路也至少暴露出以下问题。其一, 在数据犯罪的刑事治理中试图架构出一套周延的数据罪名体系, 其实践难度较大。受制于立法活动的规律性要求, 数据刑事立法显然不是一朝一夕即可完成的任务, 其难以及时有效地回应数据犯罪对既有刑法体系的现实冲击。其二, 数据时代中的不法侵害样态日新月异, 即使再周延的数据罪名体系也有可能挂一漏万, 无法实现刑法对数据犯罪全方位的规制效果。其三, 对刑法中的数据构造、 传统罪名的适用潜能以及数据犯罪与关联犯罪之逻辑关系等问题的不同理解会形成数据刑事治理的不同立场。在相关问题并未得到完全解决与充分说明的前提下, 立法论的转向或许略显急促, 容易造成既有稳定刑法体系的震荡与切割, 使其在正当性与必要性方面备受质疑。
“刑法立法方法应妥当有序的‘ 顺势而变’ , ‘ 变’与‘ 不变’ 的选择都要以社会现实对于刑法立法的客观需求为前提”, 数据犯罪的刑法规制模式也应以适应性原则为指导。对数据本质属性、 法益内容、 规制效果等多维度检验可以发现, 目前数据刑事立法思路在可行性与合理性方面皆存在疑问, 需要对此保持清醒且克制的态度。本文认为, 我国数据犯罪的刑法治理应首先搭建起数据属性与数据犯罪不法本质的规范关联,明晰数据保护法益的基本内涵, 使数据犯罪既能合理说明自身的运行逻辑又能保持对科技变革的基本回应。同时, 应立足于不同数据法益类型及法益侵害的具体样态, 对既有规制体系进行整体方向上的推进与内部结构的具体调整, 以此实现数据犯罪的立体化规制。
数据犯罪是以技术迭代发展为基础的新型犯罪类型, 我国刑事立法目前并不存在规制网络数据犯罪的独立体系。对于数据犯罪的刑法规制而言, 学界的主流观点是设计出 一套完整的数据犯罪规制体系, 以摆脱计算机信息系统犯罪的传统规制模式, 实现数据安全的独立保护。这种思路实际上是一种过度理想化的应对方案, 其预设了一种体系想象, 即认为在其框架内可周延地设定数据犯罪的罪名范围, 却面临着无法解决的逻辑障碍与实践困境。(一) 法益内涵: 数据犯罪独立规制体系的正当性拷问
我国刑法是通过“非法获取计算机信息系统数据罪”与“破坏计算机信息系统数据罪” 等计算机犯罪来规制数据犯罪。刑法既然规定了非法获取、 破坏数据等不法行为, 就意味着数据的独立保护地位得到了立法者的肯认。但相比于数据犯罪独立制裁体系的构建, 学界普遍认为, 刑法当下的规制模式无法实现数据法益的独立保护。数据法益的确立主要是因为在数字社会中, 数据所特有的经济效益与社会价值能够以“ 具有经验性 把握之可能的实体 (经验的实在性) 、对人的有用性 ( 与人有关的有用性) ”为理由将 其纳入刑法法益的范畴。 但若深入论证就会发现, 通过数据要素价值来为数据法益奠定正当性基础看似自然, 却存在着逻辑上的跳跃。这种观点并未正确认识到数据法益的真实构造。数据法益的确立必须要明确“ 数据为何”, 这需要我们首先秉持科技现实主义的立 场去认识数据的本质属性。《 数据安全法》 第 3 条规定, 数据是指任何以电子或者其他方式对信息的记录。对此可以大致认为, 数据与信息是形式与实质、 载体与内涵的关系。尽管在实践中数据与信息的高度一体化特征经常会使二者呈现出混同状态,但从技术属性出发, 数据与信息确实存在相对清晰的界限。在自然科学的意义上, 数据是指 各类电子设备及其程序能够识别、处理和计算 0、1 序列的离散数字, 经过数据加工、 数据计算、 数据管理、 数据分析等环节之后, 本质上为代码符号的数据才能够转化为具有价值或意义的信息。就此而言, 数据与信息其实是同一事物在不同阶段中的具体表现 形式: 初始的或未被“加工” 的即为数据, 而经过“加工”“可读取” 或 “ 可识别”的即为信息。数据和信息的技术区分在一定程度上弱化了数据独立保护的地位与正当性基础。数据的类型、 结构、 粒度等客观属性不过是不具有任何目的的中立性物理事实而 已, 用数据的实在性或客观存在来确证数据在刑法上的保护地位只是一种技术上的平移, 从根本上无法满足法益的目的性或规范性基质。例如杂乱、 离散且完全无法被整合、 还原为有意义信息的数据获取、 删除等行为就不应认定为犯罪。“ 法益必须与人相关联。” 就此而言, 数据的保护价值并不在于数据不被非法获取、传输、删除等本体权利, 而在于数据所承载的与现实世界相关联的具体权利, 如个人信息、 财产利益、 商业秘密、 国家秘密等。目前来看, 学界所提出的数据法益的基本内容要么停留在数据的表层权利上, 并未 穿透至数据犯罪的不法本质之中, 要么是用建构性的数据概念来替代对现实权利的潜在 保护。例如, 有观点指出, 数据法益实为数据安全, 即保护数据的保密性、 完整性与可 用性不受侵犯。这种观点的最大问题在于以下三个方面。其一, 保密性、 完整性与可用性只是数据的状态或属性, 实然层面的技术特质难以传达信息社会中的利益或价值观 念。其二, 上述三性无法上升为数据犯罪的固有法益, 而是广义信息科学领域中共通的保护目标。例如国际标准化组织 ( ISO) 就将信息安全定义为 “ 保护信息的保密性、 完整性和可用性, 以实现用户对可用信息的需求” 。其三, 数据的保密性、 完整性与可用性的价值位阶并不明确, 在具体的场景中三者可能会形成冲突局面。例如, 在黑客入侵计算机信息系统欲删除 A 公司的财务数据之时, B 为了保护数据, 在未得到 A公司明确授权下擅自对数据实施了加密管理行为。此例中, 保密性与完整性、 可用性的紧张关系处于数据安全法益的内部, 无法通过法益衡量原理而轻易消解。再如, 有观点指出, 数据犯罪的保护法益应是国家数据管理秩序, 是所有类型数据 所共有的法益。 但国家数据管理秩序法益观的提出依然存在无法克服的实践障碍。其一, 在整个《刑法》 分则中, 所有侵犯了社会管理秩序、 政治管理秩序、经济管理秩序的具体个罪的保护法益内容都存在具体化的必要与空间, 而数据管理秩序也天然带有高度的抽象性与不确定性, 不具备揭示数据犯罪规制目的的现实意义。其二, 法益概念具有说明违法性程度的机能。数据犯罪的法益侵害程度显然无法诉诸对国家数据管理秩序的违反程度, 而只能追溯至对数据背后所承载具体利益的侵害样态。例如, 破坏涉及国家利益的数据显然要比破坏一般数据的危害性严重, 但二者对国家数据管理秩序的侵犯程度难有高低之分。其三, 所有持国家数据管理秩序法益论的学者都认为, 数据法益要么是众多传统法益的集合, 要么是数据所蕴含的值得刑法保护的利益。既然如此, 数据管理秩序这一独立法益类型不过是国家秘密、 商业秘密、个人信息等信息数据的成熟形 态或初级保护形态, 其并未脱逸出传统刑法规制体系的基本范畴。数据刑事立法的前提在于明确数据犯罪的保护法益。不难看出, 学界对数据法益内容的认识莫衷一是, 难言合理。如果能正确地认识到刑法保护数据其实是保护数据所承载的具体利益不被侵犯, 就会发现跳出刑法既有制度去构建 “超然于外”的数据犯罪体系大厦, 不仅无法保持刑法在数字社会中应具备的适应性与包容性, 难免在科技飞速变革的时代背景中摇摇欲坠, 也容易使数据背后真正值得保护的利益让位于不断被独立强调的数据本身, 从而扼杀数据犯罪整体语境下不同罪名之间的有机关联。我国刑法对数据犯罪的规制重心主要在于数据的获取与破坏, 其中破坏行为又可以分为删除、 修改与增加三类。不少学者认为, 我国刑法所规制的数据不法行为类型较为 有限, 导致数据保护体系不够周延。因此, 应对数据不法行为进行类型上的扩充, 例如持有、 分析、 提供、 滥用等行为均应纳入刑法的规制范围, 主要理由为以下两个方面。一方面, 根据《信息技术安全数据安全能力成熟度模型》的国家标准, 数据的生命周期可以划分为数据采集、 数据传输、 数据存储、 数据处理、 数据交换与数据销毁六个阶段。在数据生命周期的任何一个阶段均存在数据安全的风险。我国刑法仅规制数据获取与破坏的做法和数据生命周期全流程的保护思想不相适配。另一方面, 不同数据不法行为的法益侵害性并不相同。例如, 非法使用数据的行为相较于获取、 破坏等其他侵犯数据安全的行为而言, 具有更为直接与严重的法益侵害性。刑法并未从源头打击非法使用数据的行为是对数据安全保护的缺憾。然而, 对数据不法行为予以类型扩充的应对思路不仅没有充分厘清我国数据规制体系的保护射程, 还会造成规范冲突、适用标准模糊等实践困境。首先, 数据犯罪的不法本质在于行为人通过对数据的获取、破坏、 利用等不法行为实现对具体现实权利的侵害或威胁。围绕数据生命周期去构建数据不法行为既要考虑是否所有的数据衍生行为都值得上升至刑法的保护层面, 也要考虑刑法既有规制模式是否足够在范围与程度上实现对数据所承载权利的保护。例如, 数据提供行为是数据传输环节中的常见样态。根据 《刑法》 第 253 条之一的规定, 既然提供公民个人信息且情节严 重的才构成侵犯公民个人信息罪, 那么针对尚且无法辨识、 有待分析挖掘的数据提供行 为的处罚必要性便大打折扣。再如, 我国刑法并非不关注数据的利用行为, 而是通过适 用传统罪名来防止数据风险对具体利益的侵犯。例如, 被告人秦某在任“ 国酒茅台防伪溯源系统” 项目部经理期间, 违反公司相关保密规定, 利用职务便利, 先后六次通过扫 描读取茅台酒生产线防伪溯源数据、下载天臣公司对公邮箱内的茅台酒防伪溯源数据等多种不正当手段, 窃取、复制茅台酒防伪溯源数据 700 余万条, 并将其非法披露给他 人, 共获利两万余元。遵义市人民法院认定蔡某犯侵犯商业秘密罪。由此可见, 非法利用数据的行为往往会触犯现实中的传统罪名, 在传统犯罪规制体系下似乎没有必要单独增设 “非法利用数据罪” “滥用数据罪” 等罪名。
其次, 学界围绕数据生命周期所构建的部分数据不法行为完全可以通过解释论的方法将其涵摄在既有犯罪行为之下。例如, 魔蝎爬虫案的判决结果在学界引发了非法持有数据行为的入罪思考。 魔蝎公司超出其与个人贷款用户签订的 《 数据采集服务协议》 (协议内容为魔蝎公司不会保存用户账号密码, 仅在用户每次单独授权的情况下采集信 息) , 在未经用户许可的情形下仍采用技术手段在自己租用的服务器上长期保存用户各 类账号和密码。法院认定魔蝎公司以其他方法非法获取公民个人信息, 构成侵犯公民个人信息罪。有观点指出, 难以将非法持有或留存数据的行为评价为获取行为。针对魔蝎公司的数据沉淀行为, 应设立非法持有数据罪以规制合法获取数据之后继续保留的不当延续。 其实, 在本案中能否将非法持有或留存数据的行为评价为获取并不是问题的核心所在。侵犯公民个人信息罪的保护法益是信息的自决权益,公民对数据信息授权同意的范围与内容等要件均会对信息处理者的行为性质产生影响。在本案中, 贷款用户对于信息自我决定权的行使界限十分明确, 即排斥魔蝎公司在用户授权登录之后对用户账户密码的擅自留存。魔蝎公司违背约定的留存行为实际上一直处在未取得信息主体的同 意授权状态之中, 已然构成新一轮的获取行为。由此可见, 部分建构性的数据不法行为仍然位于传统犯罪行为的规范评价内, 增设新罪反倒可能引发新的实践障碍。
最后, 独立的数据犯罪制裁体系构想难以付诸实践。一方面, 立法论下的数据犯罪在罪状设置上并不合理, 难以满足刑事法治的价值追求。以利用型犯罪为例, 《 刑法》 第 287 条之一的非法利用信息网络罪通过对行为人所实施的网上行为的类型限定以及“违法犯罪活动” 的限缩, 可以有效避免对预备行为处罚范围的过度扩张, 防止该罪沦 为口袋罪名。但反观非法利用数据罪的增设, 利用的行为方式、 所利用数据的具体类型以及罪量要素等至关重要的犯罪构成均缺乏明确的设计方案, 无法合理划定刑事处罚的界限。另一方面, 世界的数据化过程也正是数据不法行为类型被弱化的过程。例如, 在元宇宙中, 财产乃至人的生命等传统法益都将在此数据化, 成为数据海洋的字节。数 据衍生行为不仅永远无法穷尽, 同时所有的传统不法行为在未来都可能将与数据技术相挂钩, 这必然会导致数据犯罪的概念急剧膨胀从而失去应有之义。(三) 规制重心: 对计算机信息系统依附性的反思我国刑法对网络数据的保护主要规定在计算机信息系统犯罪之中, 主要为 《 刑法》 第 285 条第 2 款规定的非法获取计算机信息系统数据罪和 《刑法》 第 286 条第 2 款规定 的破坏计算机信息系统罪。此种立法结构给我国的数据刑法规制带来了诸多困惑。其一, 我国刑法将 “ 计算机信息系统”与“ 数据”杂糅在同一条文之中, 体现了立法者 对计算机信息系统的重点保护态度, 致使数据屈于附属保护地位。其二, 网络数据在大数据时代中的崭新表现形式, 如关键词搜索记录、网页浏览记录等已突破了计算机信息系统的载体约束, 立法滞后性日益凸显。考虑到我国刑法保护数据是以依附于计算机信 息系统为前提的这一立法现实, 不少学者认为有必要将其从后者中独立出来, 实现计算机信息系统安全与数据安全的分轨而治。其实, 数据对计算机信息系统所谓的 “依附性”主要表现为立法体例安排与用语表述的约束, 并未使刑法的规制重心发生真正的偏移。以非法获取计算机信息系统数据罪为例, 首先, 尽管立法者将非法获取计算机信息系统数据罪与非法控制计算机信息系统罪规定在同一法条之中, 但二者的成立要件与入罪标准并不相同。在后者明显地保护了计算机信息系统安全的情形下, 二者在保护目的上存在清晰的界限, 可以反映出立法者有意对获取数据行为予以独立规制的态度。其次, 在非法获取计算机信息系统数据罪中, 计算机信息系统的作用仅在于对数据的类型进行限缩, 而不是用计算机信息系统这一泛化的概念遮盖对数据法益的保护价值。换言之, “计算机信息系统” 作为存储、处理或传输数据的定语属于空间要素。立法者之所以如此规定是为了将刑法语境中的数据限定为电子化形式存在的代码, 从而区别于书面记载的传统数据类型。最后, 计算机信息系统这一概念并未与互联网时代的发展产生严重脱节, 可以对此进行扩张解释, 赋予其在互联网发展阶段中的不同形态与含义。根据我国司法解释的规定, 计算机信息系统的范围已经从传统计算机扩大至手机、 平板电脑、 智能家电等具备自动处理数据功能的系统,其强调的是数据对于计算机系统的物理性依附, 即在数据的输入、存储后与计算机信息系统所呈现出的 “ 物” 的一体化特征。然而, 在大数据时代, 部分存储在云端的网络数据虽然可以脱离于本地的计算机系统, 但却不能斩断与计算机信息系统的技术联结。例如, 传统计算机操作系统往往只能 管理一台计算机中的硬件或软件, 而云操作系统则具备了管理全世界巨大计算机集群的 能力。云技术的发展可以将用户所有的数据都放置在网络云这个大型数据处理中心并勾勒出一个体量庞大的、虚拟的计算机信息系统。厘清数据法益的内涵是完善数据保护法律体系的立足点与逻辑起点。数据犯罪法益的确立需要立足于数据的技术本质, 但对数据技术属性的崇拜将会把数据犯罪的社会风险研 判与规范评价封闭在事实世界。智能时代中, 物的数据化与数据的物化过程”正是数据与现实世界交融互动的外在表现形式。对此, 应转换既有思路, 在数据本体与数据意义的融合视角下定位数据法益的真正内涵, 实现数据法益从技术本质向社会功能的回归。
表现为 0、 1 两个二进制代码的数据本身没有任何的法律意义, 其只是一种价值中立的物理性事实。刑法规制数据犯罪不是基于数据的技术属性而是其所具备的社会意义与社会功能, 主要为数据本身蕴含的个人信息、 商业秘密、 国家秘密等信息内容或是数据服务的经济价值等。正是因为透过数据不法行为可以对数据所承载的、与现实世界相关联的具体利益产生侵害或威胁, 数据犯罪才获得了刑罚上的正当性依据。例如, 我国 刑法将枪支犯罪规定在危害公共安全罪一章中。盗窃、 抢夺、 非法持有枪支等行为的不法本质在于涉枪类犯罪具有对人类生命健康与公共安全的法益侵犯性。这种法益侵害性取决于枪支本身是否具有致人死伤的杀伤力而非枪支的口径、 型号等技术标准。我国学者显然不会围绕枪支犯罪构建出一套独立的刑法专章, 因此, 所谓的数据犯罪在本质上是固有法益在数据时代中崭新的受侵样态, 而不是先天存在然后被法所事后追认的独立犯罪类型。数据法益的确立需要放置在可经验、可感知的现实世界中并结合具体的相关利益方可彰显出“占据社会主导地位的文化价值”。 数据犯罪的法益内容应采取一种体系性与目的性的识别基准, 通过双层法益观的确立来实现对数据不法行为的刑罚正当性说明与教义学功能。具体而言, 数据犯罪的法益构造体现为对数据安全的保护与对数据所表征利益的保护: 前者属于阻挡层法益, 是后设的秩序型法益; 后者属于背后层法益, 是先验的利益型法益。二者之间为手段与目的的关系, 保护数据安全是为了使数据背后 的固有利益不被威胁或侵犯, 而背后层法益则会反过来指导对侵犯数据安全法益性质与程度的认定。在数据犯罪的双层法益中, 背后层法益不难识别, 所有数据犯罪关联罪名的保护法益 (信息内容、 数据财产、 知识产权等) 都可能成为背后层法益内容, 但作为阻挡层法益的数据安全内容为何则需要进行具体的甄别。本文认为, 数据安全是指数据运行状态的安全, 即数据的稳定运行状态不被他人非法地干预、 操控或利用。其一, 将数据安全法益确立为数据的运行状态安全符合数据的技术属性与数据社会的客观现实。通过数据的技术原理可以发现, 数据的生成主要体现为将信息内容转化为 0、 1 数字和序列并存储于网络环境和系统设备中的 “ 前过程” 与数据资源转换为可识别信息内容的 “后过程”。“前过程” 是数据的本体生成过程, 是纯粹客观的技术性事实; “后过程” 是数据的价值生成过程, 是数据从事实世界向规范世界的步入过程。数据的价值需要回溯至其所承载的具体利益上方可予以说明, 这就需要树立数据运行安全的先行保障地位。数据的运行安全是一种动态的过程性安全, 而非基于保密性、 完整性 等特性的数据静态安全。我国立法也体现了从保护数据静态安全到保护数据动态运行安全的立场转向。2016 年通过的 《网络安全法》 第10条规定 “ 保护网络数据的完整性、 保密性与可用性”, 学界就有观点将其作为数据安全保护内容的认识依据。而 2021 年 发布的 《数据安全法》 却并未从正面肯认数据三性的保护地位, 而是在第 3 条第 3 款规定了“数据安全, 是指通过采取必要措施, 确保数据处于有效保护和合法利用的状态, 以及具备保障持续安全状态的能力”。其中, 对于“ 数据的有效保护和合法利用状态” 等内容的理解必须要符合时代当下的发展规律。在数据非竞争性、复用性与流动性日益凸显的现实背景下, 数据静态安全不仅是难以实现的理想状态, 也并无过多的保护必要, 需要让位于更具现实意义的数据动态安全。其二, 将数据安全法益认定为数据的运行状态安全可以更为实质性地重释数据犯罪的行为构造与还原数据犯罪的法益侵害流程。数据治理的最终价值在于实现数据的高效利用。2022 年 “数据二十条” 的发布正式标志着我国着手构建数据要素高效利用的新治理模式。对于刑法而言, 围绕数据流通交易、 收益分配等方面所形成的政策制度表明了, 刑法的关注重点应落在数据从离散的数字序列向具有价值的特定内容的信息化过程。因此, 数据衍生行为在信息化过程中所释放的刑事风险才威胁或侵犯了数据安全法益。例如, 获取数据实质上是对数据所蕴含信息的攫取行为, 其额外地制造了一个崭新且不合法的信息化过程, 而不仅仅是对数据保密性的侵犯; 破坏数据实质上阻断了数据朝着有价值内容信息的转化过程, 其损灭了数据所蕴含的可供人类利用的固有价值, 而不是单纯地侵犯了数据的完整性。再如, 数据的保密性是典型的数据静态安全内容。若认为刑法规制数据犯罪是为了保护数据的静态安全, 那么未经授权或超越权限的访问数据、 窥探数据就应进行入罪处理。然而, 处罚单纯的访问数据或窥探数据的做法限制了市场竞争与数据的获取自由, 不仅与我国目前释放数据价值的立法方向与治理思路相违背, 也因法益侵害性的薄弱而无法获得正当化的处罚依据。其三, 将静态的数据安全作为数据犯罪的保护内容源于域外的立法思路, 并不必然值得我国借鉴学习。例如, 《德国刑法典》 第 202 条 a、 第 202 条 c 分别处罚了窥探数据与窥探数据的预备行为, 体现了可罚行为类型逐渐拓宽、 刑事处罚整体前置、 法网日趋严密的基本趋势。其实, 基于静态安全的数据刑法保护模式形塑于德国自身的文化背景与现实需求。一方面, 重视数据的静态安全是保护数据及信息的高标准形态, 可以有效回应欧洲独特的隐私文化保护诉求。另一方面, 欧洲等国的互联网产业发展相对落后于美国和我国, 德国企业在事实上也处于数据弱势地位, 而通过刑法防御阵线的前移来提高数据保护标准有利于维护企业对数据的掌控能力。不难发现, 同样的数据衍生行为在 不同国家的治理模式中性质迥异。以美国为例, 在 2017 年的 “ Hiq v. Linkedin” 案及 2021 年的 “Van Buren v. United States” 案中, 美国不断限缩了 CFAA ( 《 计算机欺诈和 滥用法》 ) 的适用范围, 平台单方面的限制访问条款及行为人对访问权限的滥用 ( 如出 于不被允许的目的) 并不违反 CFAA。各国对数据治理态度与路径的不同选择也说明了数据的刑法规制模式并不存在谁以谁为蓝本的问题。 在刑法中, 大量存在为了保护 A 法益 ( 背后层) 而保护 B 法益 ( 阻挡层) 的立法现象。例如, 在污染环境罪中, 生态学的法益是阻挡层法益, 而人类中心的法益则是背后层法益。数据犯罪也具备类似的双层法益构造, 只不过, 相比之下, 数据犯罪的背后层法益处于开放的状态。数据犯罪的双层法益观也深刻地体现在数据领域的前置法规范中。以 《数据安全法》 为例, 《 数据安全法》 第 1 条规定: “为了规范数据处理活动, 保障数据安全, 促进数据开发利用, 保护个人、 组织的合法权益, 维护国家主权、 安全和发展利益, 制定本法。”不难发现, 《数据安全法》 的立法宗旨与保护目的存在不同面向且彼此之间的价值位阶及实现次序并不相同, 即保障数据安全的最终归宿是为了保护个人、组织的合法权益以及国家安全等, 二者之间具有明显的手段与目的关系。由此可见, 在数据犯罪双层法益的观念指导下, 行为人往往是先损害了数据的运行状态安全, 打破了数据原本安全稳定的信息化过程并进一步对传统的现实利益产生威胁或侵害。相比于学界提出的其他法益构造, 双层法益观可以在数据犯罪实然状况与规范评价之间搭建起沟通桥梁, 准确地阐述数据犯罪不法内容的生成机理与内在逻辑。
1. 数据犯罪的双层法益观可以限缩刑法中的数据类型, 为数据不法行为设定合理的处罚界限
数据时代的深入发展使几乎任何一种信息都可以被数据化, 但并非所有的数据都值得刑法保护。数据类型纷繁复杂且难以穷尽, 对值得刑法保护的数据的甄别必须要以数据犯罪的双层法益观为指导, 重视背后层法益的解释论机能。无须刑法保护的数据主要存在两种类型。一是无法还原成有意义信息的数据。这是因为, 数据的保护值在于其所表征的具体权利, 无法与刑法所保护的传统利益相关联的数据固然不值得刑法保护。此类数据主要包括难以被恢复或分析的离散杂乱数据以及价值密度显著低微的数据 ( 如规模较小的数据或超过时效的久远数据等) 。二是虽具有信息内涵但却基于法益衡量而 处于弱势保护地位的数据, 如可公开获取的企业数据。在林某等非法获取计算机信息系 统数据案中,林某 ( 某网络科技有限公司的法定代表人) 为了优化公司自主研发的 App “推房神器” , 通过破解验证码等方式非法获取北京某公司所经营网站的房源数据, 并将获取的房源数据存放在自己的服务器中供 “ 推房神器” App 调用, 造成北京某公司直接损失共计人民币 10 万余元, 法院认定林某等人犯非法获取计算机信息系统数据罪。
上述案件中的房源数据属于可公开获取的企业数据, 对于获取这类数据的行为是否需要刑事处罚, 法院实际上采取了数额入罪的形式判断, 最终的结论有待商榷。关于获取数据的授权标准, 美国晚近采取了 “以权限为中心” 的解释方法, 其要求 “ 数据企业 网站必须设置针对用户访问的实质障碍且能有效地控制对计算机、 文件或数据的访 问”。在这种实质标准下, 企业设置验证码的技术措施 ( 如输入正确的文字或图案才能登录) 并未在实质上构成计算机侵入禁止规范,其只是一种控制进入或限制进入而非禁止进入的技术手段。由于企业公开在网上的数据可供所有用户公开访问, 因此通过破解验证码等方式规避技术措施并获取企业公开数据的行为就不必动用刑罚。对抓取企业公开数据行为的出罪逻辑就在于, 在数据流通、共享等利用价值与数据所蕴含的财产性利益的比较衡量中, 前者的保护地位更为优越。
2. 数据犯罪的双层法益观可以完整描述数据犯罪行为的不法内容, 符合刑法的全面评价原则
数据犯罪会威胁或侵害数据安全与现实利益, 二者共同地充实了数据犯罪的不法。既有理论研究普遍重视对数据安全法益的保护, 试图以单一的数据本体罪名来评价数据犯罪的不法内容, 忽视了对关联罪名的适用。这种做法无法满足刑法全面评价原则, 不仅有违法益保护的基本立场, 还会衍生出罪责刑不均衡等现实困境。其实, 数据犯罪在本质上属于数据不法行为对现实世界的危害, 行为人在实施数据不法行为的同时损害了公民个人信息、 财产利益、 国家安全等现实利益的情形大量存在。一方面, 尽管数据与 信息存在明确的技术界限, 但在经验世界及规范世界中二者并非完全泾渭分明。例如, 部分结构化数据 (如以自然语言表述的结构化数据) 由于在分析与观察上的便利性、 直观性, 可以在刑法中直接作为信息予以保护。另一方面, 数据安全的单一法益观所强调的往往是数据的犯罪对象属性, 但对数据的手段、 结果属性缺乏足够的关注。例如, 以篡改数据为手段的网络外挂行为不仅可能损害数据的运行安全及计算机系统安全, 也会对经营者所设定的产品营运秩序产生破坏, 在互联网时代完全可以构成破坏生产经营罪。
重视数据本体罪名而忽视关联罪名适用的做法在司法实务中有着深刻的体现。在程 某林非法获取计算机信息系统数据案中, 被告人程某林系某技术公司员工, 负责公司软件研发工作。2018 年 4 月至 11 月, 程某林在其个人笔记本电脑及公司工作电脑中下载并运行 teamviewer12 远程控制软件, 利用其个人笔记本电脑远程控制公司工作电脑并 访问公司服务器, 在工作环境下未经公司授权绕开公司的代码安全防护措施, 私下将本公司服务器中 “快食慧”“好餐谋”等软件源代码使用屏幕拷贝的方式复制到其个人笔 记本电脑中, 后又将软件源代码上传至其个人微信中。事后查明, 公司的软件源代码属于 公司的商业秘密, 不允许任何人非法获取。在本案中, 数据所承载的商业价值自然属于刑 法的保护内容, 程某林窃取软件源代码的行为在触犯非法获取计算机信息系统数据罪的同时也应构成侵犯商业秘密罪。深圳市中级人民法院并未关注到程某林对数据犯罪背后层法益的侵犯, 仅宣告数据本体犯罪一罪的司法逻辑显然无法全面评价程某林的不法内容。
3. 数据犯罪双层法益观可以认定数据不法行为的罪量要素, 构建合理的梯度化罪量评价体系
在数据犯罪的法益构造中, 数据安全不是全部的法益内容。否则, 独立判断数据不法行为对数据安全的侵犯及程度就会导致对数据犯罪结果认定的单一化, 无法全面地还 原数据不法行为侵害法益的现实样态。这是因为, 对数据安全法益的损害判断只能借助于数据数量、 违法所得等可量化要素。我国的司法实践便体现了这一立场。在以 “ 情节严重” “后果严重” 为罪量要素的数据犯罪中, 我国司法解释将违法所得、 经济损失、 身份认证信息组数、 计算机台数等作为了定罪量刑标准。然而, 上述内容与数据犯罪法益侵害性之间的关联并不显著, 只是对数据不法行为法益侵害性的间接说明。
一方面, 在数据犯罪的不法结果认定中应充分发挥背后层法益的不法评价机能, 由 此才能形成合理的梯度化罪量评价体系。例如, 我国司法解释将身份认证信息分为 “ 支付结算、 证券交易、 期货交易等网络金融服务的身份认证信息” 与除此之外的 “ 其他身份认证信息” 两类。身份认证信息的类型及蕴含的现实利益具有开放性特征。既然公民个人信息可以具体化为通讯信息、 财产信息、 健康生理信息、 征信信息等影响人身安全、 财产安全的具体信息,那么就可以认为数据犯罪对身份认证信息简单的两分法显然不能满足对数据犯罪损害结果的精准评价与数据的分类分级保护需求。因此, 行为人 所获取的身份认证信息的数量尽管具有积量构罪的功能, 但仍难以形成梯度化的罪量认定标准, 对此必须要以数据所承载的具体利益为中心进行构建。另一方面, 理论与实务界对数据犯罪双层法益的厚此薄彼形成了 “ 唯数额论” 与 “ 唯物数论” 的入罪逻辑, 使定罪标准中 “ 其他情节严重的情形” 与 “ 造成其他严重后果” 等兜底条款处于长时间的休眠状态。数字社会中, 数据犯罪刑事风险的不确定性也正是源于背后层法益的开放性。因此, 对于获取、破坏数据等不法行为, 无论是否存在数量标准的刚性约束, 都应充分关注到背后层法益的损害结果, 避免将具体的数额标准作为数据犯罪法益侵害的唯一要素。例如, 我国刑法保护考试制度与人才选拔制度, 妨碍公平竞争、 破坏社会诚信的行为具有较为严重的社会危害性。若甲通过技术手段修改法律规定的国家考试系统中的成绩, 使成绩不及格的乙通过考试, 可以认为甲的行为严重地损害了考试的公平性与权威性, 扰乱了社会公共秩序, 应当属于破坏计算机信息系统罪中“ 造成其他严重后果” 的情形。
刑法对数据犯罪的回应要有所限度, 数据犯罪规制模式的构建须实现预期效能、 法理依据与体系稳步推进的有机统一。目前来看, 试图为数据犯罪设计出一套独立且完整的规制体系不仅在逻辑与实践上存在难以克服的障碍, 更无法在短时间内有效化解数据犯罪刑事风险对刑法传统规制模式的现实冲击。就此而言, 对我国数据犯罪规制体系的完善不必选择全面重塑的进路。本文认为, 我国数据犯罪刑法规制方案应立足于构建开放的数据犯罪规制体系、 贯彻数据分类分级保护理念、 数据罪名的体系调整与数据犯罪司法解释的优化完善这三个方面。尽管我国并未像德国等国家一样针对数据犯罪形成一套独立的规制体系, 但这并不意味着我国的数据保护范围存在明显的缺漏。目前, 数字化正从计算机化向社会全面数据化发展, 随着数据基础性社会资源地位的不断加强, 数据价值的复合性与开放性特征也随之凸显。从广义上讲, 数据犯罪不应被限定为侵犯某种固定法益性质的法定犯罪分 类, 而是一种具有丰富内涵的学理犯罪分类。因此, 将刑法明文规定的狭义数据犯罪 (如 《刑法》 第 285 条第 2 款、 第 286 条第 2 款) 作为数据犯罪的全部规制内容只是一种基于数据本体法益的形式解读, 并未看到我国数据犯罪规制体系的开放性事实。一方面, 构建开放的数据犯罪规制体系需要处理好数据犯罪视域下具体个罪的竞合问题。其一, 根据数据犯罪的双层法益构造, 单一数据不法行为同时触犯数据本体罪名与数据关联罪名一般难以成立法条竞合, 而应构成想象竞合。这是因为, 数据关联罪名所保护的均为数据承载的现实利益, 而不包括数据安全。 由于二者的保护法益并不存在 重合, 在上述情形中应宣告想象竞合的成立并适用择一重罪的处断方案。例如, 行为人获取企业内部予以保密的财务数据的行为同时触犯了非法获取计算机信息系统数据罪与侵犯商业秘密罪, 二者构成想象竞合。其二, 在数据社会中, 数据不法行为所构成想象竞合的成立范围应有所扩张。这是因为, 数据蕴含的价值是多元的, 需要司法者在个案中准确厘定数据价值的具体类型。例如, 对于行为人突破实质的访问障碍并获取企业数据的行为, 司法者不能仅宣告非法获取计算机信息系统数据罪一罪, 而是应该判断企业数据是否具有经济价值。如果企业数据能够被评价为财物或财产性利益, 那么行为人获 取数据的行为自然落入到了盗窃罪的规制范围中。其三, 行为人通过数据不法行为去实施数据关联犯罪时, 前后行为属于数行为侵犯数法益, 原则上应数罪并罚。例如, 行为人利用 “木马” 程序窃取他人信用卡信息资料, 再通过互联网、 通讯终端使用他人的信用卡在网络平台购物后转卖兑现获取钱财的, 应以非法获取计算机信息系统数据罪与信用卡诈骗罪二罪并罚。另一方面, 在保持我国数据犯罪规制体系开放性的同时, 也要注意到数据不法行为触犯具体罪名的竞合界限。无论是想象竞合抑或法条竞合, 均要满足行为符合个罪具体构成的要求。若行为人获取、 破坏的对象只能被评价为数据的话, 那么就不可以对数据进行扩大解释, 赋予其在刑法中信息或秘密的内涵。这是因为, 尽管数据与信息在刑法 的规范认定中往往呈现出高度的一体化特征, 但在部分场合下二者之间仍然存在相对清晰的界限。例如, 数据采集阶段中的部分源数据是多源异构的, 其质量普遍较差, 存在数据缺失、 不一致、 冗余等问题。这些数据只有经过数据预处理与后续的分析、 重组等环节才能彰显出信息的意义。因此, 即使这些数据蕴含了某种值得刑法保护的价值, 但其和信息之间仍然存在本质上的区别。行为人针对这类数据实施的不法行为只能构成数据本体犯罪, 而不能认定为数据关联犯罪, 否则不仅会因为法益侵害的稀薄而缺乏处罚必要性, 也有违反罪刑法定原则之虞。根据 《数据安全法》 第 21 条的规定, 我国应建立数据的分类分级保护制度。《 数据安全法》 第 21 条属于前置法的指引规范, 对于数据犯罪的刑事治理而言, 数据的分类分级标准以及保护路径均需要形成更为明确的刑法方案。其实, 我国刑法已经在一定程度上体现出了数据分类分级的保护思路。例如, 《 刑法》 第 285 条第 1 款规定 “ 非法侵入国家事务、 国防建设、 尖端科学技术领域的计算机信息系统的, 构成非法侵入计算机信息系统罪” 。该罪的成立不需要行为人实施侵入系统后的窃取数据或破坏、 控制系统等后续不法行为, 若行为人实施了后续窃取数据行为则可能另行构成非法获取国家秘密罪。因此, 我国刑法通过对侵入重要领域计算机信息系统的单独规制以及对后续数据不法行为的补充规制实现了对部分重要数据的分类分级保护。然而, 我国数据分类分级的刑法保护制度仍存在一定缺憾。其一, 数据类型的单一 化导致对重要数据的保护力度不够。例如, 国家重要领域的计算机信息系统显然不止国家事务、 国防建设、 尖端科学技术三类, 但受制于刑法文本的刚性约束, 《 刑法》 第 285 条第 1 款无法处罚行为人对其他国家重要领域计算机信息系统的侵入行为, 从而无 法充分实现对其他重要数据的保护。其二, 刑法中的数据类型往往直接决定了数据的分级保护措施, 致使数据分类与数据分级之间缺乏不法意义上的规范关联。例如, 根据司法解释, 公民的行踪轨迹属于“直接敏感信息” , 获取、 出售或提供 50 条即可构成侵犯 公民个人信息罪中的 “情节严重” 。但是, 并非公民的所有行踪轨迹信息都能反映出人 身安全或财产安全的价值内涵, 如公民基于特殊事由 (如出差、 游玩、 访问亲友) 的偶然性活动路线就难以具备相较于一般信息的重大不法内容。由此可见, 数据类型的周延性不足以及数据分级保护的正当性依据欠缺构成了刑法中数据分类分级保护制度的两大现实困境, 为此有必要加以解决。
首先, 数据的分类分级保护制度要求对重要领域的数据采取更为严格的保护措施。我国刑法是通过规制位于法益侵害流程前端的侵入行为来实现对数据的保护, 这种做法具有一定的合理性, 但鉴于 《刑法》 第 285 条规定的重要领域的范围有限, 应对重要领域计算机信息系统的范围进行扩张。有学者指出, 在网络金融加速崛起的大背景下, 网络金融将与国民的经济命脉息息相关, 经济建设领域的计算机信息系统应当成为刑法重点保护的对象, 可以考虑在国家事务、 国防建设、 尖端科学技术的基础上, 将经济建设领域作为第四类重要保护领域。本文认为, 国家重要领域数据的四元保护格局也具有明显的封闭性特征, 无法保护其他具有同质性的重要数据, 例如医疗健康领域在未来也完全可能成为国家重要领域。根据 《 数据安全法》 第 21 条第 2 款的规定, 国家核心数据是指关系国家安全、 国民经济命脉、 重要民生、重大公共利益等数据。这种开放式的数据定义可以更为主动地适应数据时代的社会变革, 从而形成重要数据的周延性保护体系。因此, 更为妥当的做法不是另行增添计算机信息系统所处的重要领域类型, 而是维持重要领域类型的开放性, 将 《刑法》 第 285 条第 1 款修改为 “违反国家规定, 侵入国 家事务、 国防建设、 尖端科学技术等国家重要领域的计算机信息系统的” , 构成非法侵 入计算机信息系统罪。 其次, 如果侵入国家重要领域计算机信息系统并获取数据的行为不符合非法获取国 家秘密罪的犯罪构成, 就只能以 《刑法》 第 285 条第 1 款规定的三年以下的法定刑进行 处罚, 这会形成处罚上的不均衡。对此, 有观点指出: “ 《 刑法》 第 285 条第 2 款中的 ‘前款规定以外’ 不是真正的构成要件要素, 而是表面要素或界限要素。” 本文赞同这一观点, 这种解释结论除了能够实现罪责刑均衡之外, 还有助于确保法条之间的体系协调。例如, 对数据的破坏行为也要以侵入信息系统为前提, 但 《 刑法》 第 286 条并没有有意区分出国家重要领域的计算机信息系统这一类型, 而是将破坏特定领域计算机信息 系统数据的行为认定为 “ 后果特别严重” 。 既然刑法并未在破坏数据的行为中区分出不同的计算机信息系统类型, 那么获取数据也同样可以遵循这一思路。还须指出的是, 对国家重要领域计算机信息系统的侵入行为本身便具有构建刑事不法的功能, 侵入上述系统并获取数据的行为具有超越侵入一般系统并获取数据行为的不法内容, 应直接适用 “情节特别严重”的规定。
最后, 数据分类分级保护制度的刑法嵌入需要对侵害数据行为的不法性质进行具体 的认定。围绕数据分类与数据分级的关系, 理论界形成了 “分类决定分级说” 与 “ 分类分级独立并行说” 两种观点。在本文看来, 两种观点之间的对立并非发生在同一层面, 前者属于静态意义上的数据保护理念, 后者则属于具体个案的动态判定方法。根据 《 数据安全法》 第 21 条的规定, 数据分类分级保护制度的构建支点分别是数据本身的重要 程度与数据不法行为的危害程度, 二者共同地形塑了不同的数据类型与数据保护级别。由此可见, 数据的重要性在一般意义上是可以决定保护措施的严格性。但另一方面, 个案中的数据类型并非总是表征着与之相匹配的危害程度, 这才导致了数据分类与数据分级的脱钩。因此, 刑法中数据的分类分级保护无法简单套用分类决定模式, 而是应以法益侵害结果为中心进行实质判断并选择相应的保护级别。例如, 达到 50 条即可入刑的 敏感信息必须直接蕴含公民人身和财产的重大风险。如上所述, 不属于公民惯常性行动轨迹的信息虽然形式上属于行踪轨迹这一数据类别, 但是, 由于其无法直接与公民人身或财产的重大风险相关联, 不能通过 “ 数据类型+数据数量” 的组合来直接推定数据行为的不法内容。此时, 便需要通过实质解释将这类 “行踪轨迹” 排除在直接敏感信息的范围之外并进行保护措施上的降格处理。
同时, 数据所关联的风险多数属于抽象风险, 因此数据风险的判断资料与判断基准至关重要。例如, 我国学者曾指出, 为了更好地实现个人信息权利的保障, 除了个人信息的内容外, 信息的使用方法、存储环境、使用情境、传输对象等因素都会对个人信息 的保护程度产生影响。数据分级的刑法保护也可以在数据处理的具体场景中围绕不同 要素进行综合判定, 越是精细化的识别要素越可能构成数据分级保护的具体标准, 甚至还可以反向塑造数据的保护类型。总之, 刑法中的数据保护方案不能从数据的属性中推导得出, 而是要站在现实风险或损害后果考察的立场上进行具体、 实质、 综合的判断。
(三) 数据罪名的体系调整与数据犯罪司法解释的优化完善
我国刑法主要规制了“获取”“破坏” 与 “ 利用”三种数据犯罪行为, 前两种行为的规制是通过数据本体罪名得以体现, 而数据的利用行为则寓于数据关联犯罪之中。我国数据犯罪规制模式虽然没有完全贯穿于数据的全部生命周期, 做到安全措施与数据环节的一一对应, 但是覆盖了数据安全风险的关键节点, 实现了对重大法益侵害类型的体系性保护。
目前来看, 我国数据犯罪的行为类型不宜进行全面扩张。例如, 获取数据之前的访问、 窥探数据行为由于缺乏显著的法益侵害内容而缺乏独立入罪的正当性基础; 传输过程中的复制、 摘录、持有数据的行为可以通过解释论路径将其涵摄于获取类型之中; 非法提供数据的行为实际上属于获取数据的帮助形态; 分析型与利用型数据罪名的增设不仅会与数据关联罪名产生大量竞合甚至规范冲突, 还会因为罪名具体构成的抽象性而阻 碍数据要素价值的充分释放与数据要素潜能的激活。由此可见, 独立构建我国数据犯罪体系的时机与条件并不成熟, 克服数据犯罪中既有的结构性缺陷应诉诸更为妥当且缓和的方法路径。本文认为, 进行数据罪名的体系调整与司法解释的优化完善才是我国数据 刑事治理的当务之急与可行举措。
其一, 将破坏数据行为从破坏计算机信息系统罪中予以剥离, 实现对删除、 修改、 增加等数据破坏行为的独立规制。我国刑法目前是将破坏数据行为规定在破坏计算机信息系统罪之中。这种立法编排导致了对破坏数据行为的法益侵害认定往往与计算机信息系统安全捆绑在一起。例如, 最高人民法院 145 号指导性案例指出: “ 若修改、 增加系统数据的行为未造成网络系统功能实质性破坏或者使其不能正常运行, 不应当认定为破坏计算机信息系统罪, 而是成立非法控制计算机信息系统罪。” 然而, 计算机信息系统安全充其量只是数据所承载的多元价值之一, 将背后层法益充当为破坏数据犯罪的全部保护内容违背了数据犯罪的双层法益构造。与此同时, 我国法院也并未严格遵循破坏数据以危害网络系统安全为必要的司法逻辑。在潘某破坏计算机信息系统案中,被告人潘某利用抓包软件对福建某电子商务有限公司 “翼虎积分商城”与某科技有限公司 “ 联通话费购商城” 的系统数据进行修改, 在获取系统内部的京东 e 卡、 苏宁礼品卡、天猫购物券等虚拟商品卡后通过 “卡卡礼品网” 出售, 违法所得人民币共计 4 万余元。在本案中, 被告人修改系统数据的行为就并未对系统安全造成任何的威胁或损害。实际上, 对破坏数据行为成立要件的不当认定除了对数据犯罪保护法益的误认外, 还在于受到了立法编排的体系制约与立法表述的用语制约。因此, 可适当考虑增设破坏计算机信息系统数据、 应用程序罪。
其二, 在破坏计算机信息系统数据、 应用程序罪中增加干扰数据或应用程序的行为类型。之所以将干扰数据的行为予以构成要件化, 除了干扰数据行为与删除、 修改、 增 加数据行为具有同质的不法内容外, 还在于以下两点考量。一是《 刑法》 第 286 条第 2 款相比于第 1 款遗漏了干扰数据的行为方式, 这种前后不一的立法规定存在体系上的不协调。既然对计算机信息系统功能的侵害可以通过干扰的方式实现, 那么干扰行为同样也可以损害数据的运行安全状态。例如, 根据我国 司法解释, 在环境质量监测中,( 1) 修改系统参数或者监测数据以及 ( 2) 干扰采样、 致使监测数据因系统不能正常运行而严重失真的, 以破坏计算机信息系统罪论处。不难发现, 修改数据与干扰数据实质 上属于两个不同的行为类型。二是解释论路径无法将干扰数据的行为类型纳入刑法的规制范围之中。也许有人认为, 行为人干扰数据的结果一般是通过干扰计算机信息系统功能得以实现的, 因此可以直接认定行为人构成 《刑法》第 286 条第 1 款。然而, 若行为人没有造成计算机信息系统不能正常运行, 这种观点便无法成立。例如为了使某水务有限公司出水口超标的氨氮数据降低到达标范围, 行为人可以采取两种方法: 一种方法是修改氨氮分析仪的参数, 另一种是通过测标液或质控样的方法。第二种方法既没有造成计算机信息系统的破坏, 又不符合修改数据的行为方式, 因此只有在第 286 条第 2 款中增加干扰数据的行为类型才能有效填补刑法的处罚漏洞。
其三, 我国的数据犯罪司法解释明显滞后于数据犯罪的保护理念, 难以准确地引导 司法实务工作者认定侵害数据行为的不法性质。相比于数据犯罪立法给刑法理论与刑法体系带来的震荡而言, 对数据犯罪司法解释进行适度修正不失为当下最为稳健的进路之一。一方面, 我国数据犯罪司法解释应构建入罪标准的多元评价体系, 注重行为与不法结果之间的关联性, 摆脱 “唯数额论” 的单一入罪逻辑。在数据时代, “ 数额为主、 情节为辅”的数据犯罪罪量评价机制将会逐渐转向“数额与情节并重” 甚至是“ 以情节为主导” 的新型入罪标准。然而, 我国数据犯罪司法解释目前仍然将数据与财产的数额作为了主要罪量要素, 未能充分评价对数据犯罪背后层法益的侵犯程度。因此, 司法解释应将入罪标准中的兜底条款予以具体化, 补充数据不法行为对国家安全、 公共安全及社会秩序等领域的侵犯样态及危险程度。另一方面, 我国数据犯罪司法解释与数据分类分级的保护理念尚有一定距离。例如, 司法解释仅将非法获取计算机信息系统数据罪中的数据分为 “ 网络金融服务的身份认证信息” 与 “ 其他身份信息” 两类, 这种规定显然无法满足数据分级保护的层次性要求。再如, 司法解释同样将破坏计算机信息系统罪中的数据分为 “ 公共服务的计算机信息系统中的数据”与 “ 一般数据” 两类, 同时缺少行为人破坏数据的数量规定, 导致 “ 造成其他严重后果” 这一兜底条款适用上的膨胀。本文认为, 在数据分类分级的保护理念下, 数据犯罪司法解释应重塑数据类型与数 据保护级别, 摒弃网络金融服务或公共服务等具体要素对数据的类型限定, 采取数据安全法中国家核心数据、 重要数据与一般数据的三级划分。这种规定的优势之处就在于其开放性的特性具有回应数字社会环境变迁的能力。例如, 对于企业数据而言, 可以通过对数据自身价值密度与敏感度的判断将其分别认定为重要数据或一般数据。同理, 在个人信息数据的内部类型归属中, 也可以通过对人身与财产安全的关联程度的判断实现重要数据与一般数据之间的流动置换。
