尚权推荐SHANGQUAN RECOMMENDATION

关键词：获取型数据犯罪；妨害型数据犯罪；数据使用权法益

一、数据犯罪适用“膨胀化”现象的法理透视

解释论层面的数据犯罪概念存在两种语境：一是专指《刑法》第285条第2款及《刑法》第286条第2款的狭义数据犯罪概念；二是不区分数据与信息差别的广义数据犯罪概念。后一语境下的概念使用将知识产权犯罪、个人信息犯罪、财产犯罪、国家秘密犯罪、侵犯商业秘密罪乃至开设赌场罪等传统犯罪的数据化形态均纳入数据犯罪范畴，因而更接近“数据化的传统犯罪”。而将“数据化的传统犯罪”等同于“数据犯罪”意味着消解数据犯罪保护法益的特殊性，也并不追求通过构建独立法益内涵以求限缩《刑法》第285条第2款与《刑法》第286条第2款的适用范围。这一理论观念下的数据犯罪适用呈膨胀姿态：

一则体现为数据犯罪在刑法内部的扩张化，即非法获取计算机信息系统数据罪与破坏计算机信息系统罪适用的“口袋化”。具体表现是当数据化的传统犯罪同时符合“数据犯罪”的形式要件时，实务部门更倾向于避开“从一重”的竞合逻辑，并认为狭义数据犯罪足以充分评价对数据所载内容法益的侵害，因而更倾向于适用罪量标准更为明确的《刑法》第285条第2款与第286条第2款。以盗窃虚拟财产类案为例，虽典型案例主张优先充分评价数据所载内容法益，但司法实践中大多并不落实此评价逻辑，导致本该由传统罪名加以解决的犯罪被纳入数据犯罪加以规制，或是在两种评价逻辑中摇摆无措。例如在“凌亚胜等非法获取计算机信息系统数据案”中，一审法院认为行为人通过技术手段入侵计算机信息系统，盗取虚拟货币后变卖获利的行为，已构成盗窃罪，且数额特别巨大，决定判处十二年有期徒刑。但二审法院更关注虚拟货币的数据属性—“虚拟货币的本质属性是计算机信息系统数据；从行为手段上看，上诉人利用计算机信息系统中存在的负数漏洞，通过非法修改网络请求包的方式增加个人账户内虚拟货币数量后变现获利……根据主客观相统一的原则，上诉人的行为符合非法获取计算机信息系统数据罪的构成要件”，于是最终仅课以六年有期徒刑，与一审量刑悬殊。

二则体现为数据犯罪在整体制裁体系中的扩张化，即《刑法》第285条第2款与第286条第2款多以前置法的“兜底”角色出现，以填补对非法处理数据行为的处罚漏洞。由法秩序代偿理论可知，“局部弱政府治理会导致强刑事司法代替补偿做功发力，以维系法秩序整体的暂时稳定”，即该领域的刑罚扩张多是因前置法缺乏对数据获取行为的制裁性规范而只能违背刑法谦抑性原则寻求以刑事制裁兜底。数据获取行为在监管上的规则空白也导致数据犯罪的刑事扩张。例如在“首例爬虫入刑”案中，法院认定被告人在数据抓取过程中使用伪造device_id绕过服务器的身份校验，使用伪造UA及IP绕过服务器的访问频率限制，因而构成非法获取计算机信息系统数据罪。但事实是，在不需要注册的情况下，服务器不通过UA和IP进行身份校验，所谓的“身份”也只是服务器对访问者所作的临时性标记。而代理IP在爬虫技术本就是惯常使用的技术。无论是自身网络IP还是代理IP，都是为提高工具效率，且无任何法律禁止使用；破解该部分JS代码，也无法获取被害单位的系统权限以及侵入被害单位的服务器。更何况，如果此类数据获取行为属于刑事犯罪，则“北京微梦创科网络技术有限公司与北京字节跳动科技有限公司不正当竞争纠纷案”“百度在线网络技术（北京）有限公司等与北京奇虎科技有限公司不正当竞争纠纷案”等民事案件均涉嫌刑事犯罪。然而此种理念不仅导致企业因规模不等而遭受不平等的刑事待遇，也在为个人利用公开数据设定额外门槛，如个人借爬虫频繁访问“12306”以代买车票，虽与“飞猪”“携程”等企业服务并无技术差别，但多被评价为数据犯罪。

从刑事实体法角度来看，数据犯罪的泛化适用本质上是因其保护法益解读的偏差所致。一方面，当数据犯罪的概念以广义说的面貌出现时，针对数据化的传统法益进行侵害的犯罪行为，自然被认为是《刑法》第285条第2款与《刑法》第286条第2款所涵盖的行为类型。在这一语境下，以非法获取计算机信息系统数据罪与破坏计算机信息系统罪评价侵害数据化传统法益的犯罪行为，被视为更具针对性的定罪选择。加之数据所载信息内容的识别困难及数据财产的定价困难，罪量标准更清楚的非法获取计算机信息系统数据罪与破坏计算机信息系统罪反而后来居上，成为优先于传统罪名的定罪选项。这不仅导致刑法难以充分评价侵害数据化传统法益的行为，还导致兜底化适用数据犯罪的量刑畸轻现象。另一方面，对数据的不当获取行为主要依靠私法救济，仅能够依填平原则弥补受害一方的法益损失，而监管性质的行政惩罚欠缺，故而对刑法惩罚存在非理性需求。从保护法益出发，可将前述两个方面的问题概括为数据犯罪与传统犯罪的罪名界分问题，以及数据犯罪与前置法的界分问题。而在狭义数据犯罪内部的此彼罪界分问题同样需要以法益的类型细分为基础。前述所言狭义数据犯罪适用的扩张化趋势及内部的界分障碍最终反映的是“前提认知上缺失了对数据犯罪保护法益的考量，进而造成对数据的形式化认识误区”。因此，有必要重新审视现有的数据犯罪法益观，以建立对狭义数据犯罪保护法益的准确认识。

二、数据内容与秩序维度的法益观批判

目前对数据犯罪保护法益的解读以内容依附型法益观和数据秩序型法益观为主流。主张数据犯罪的保护法益依附于其所载信息内容的观点即内容依附型法益观，而相反立场则大多从数据管理秩序出发，因而可概括为数据秩序型法益观，其中数据秩序型法益观大多被归结为对“数据三性”的保护。

（一）内容依附型法益观及其批判

传统的数据犯罪法益观多是数据犯罪概念广义说的产物，即主张数据与信息的混合，否定区分二者的必要性，并强调数据法益的依附性、工具性、手段性，其对数据法益的理解多是将数据所承载的信息内容作为数据犯罪的核心法益，主要分为数据信息法益论、数据财产法益论、数据秩序法益论三类。数据信息法益论把数据安全等同于个人信息安全，而若认为司法解释对《刑法》第285条第2款非法获取计算机信息系统数据限定为“身份认证信息”指向的是个人信息法益，亦可认为是此种立场的体现。这与德国学者将隐私或宽泛的“信息”视为《德国刑法典》第202a条的保护法益有相通之处。数据财产法益论则认为数据安全等同于财产安全，从而主张数据犯罪所侵害的是数据财产权。类似观念在民法学界体现为数据财产权的构想，即强调主体对数据享有的优先财产权利。数据秩序法益论认为数据安全是公共秩序与社会管理秩序的安全，因为无论是计算机系统犯罪还是纯正网络犯罪，其侵害的均是计算机系统数据安全运行管理秩序和网络安全管理秩序。多元论的观点则主张数据法益的内涵复合化，认为“数据泄露风险催生网络安全法益，数据挖掘利用衍生无形财产法益”。而以此法益观为立场，论者同时主张应纠正司法解释将“计算机信息系统数据”限缩为“身份认证信息”的做法，而将非法获取网络数据罪的犯罪对象重新定义为“网络空间单独记录或者与其他数据结合能够识别特定用户信息的个人数据”；将侵入型数据犯罪的认定重点放在违反数据访问权限上。前述学者对此问题虽观点纷呈，但最大公约数仍在于数据犯罪法益依附于数据所承载之内容，因而可统称为内容依附型法益观。

笔者对该法益观持批判立场，原因在于：将数据犯罪的保护法益设定为信息内容不符合我国实定法，缺乏条文根据。内容依附型法益观是各国立法例对数据保护的普遍认知，如美国学者Ieuan Jolly指出，联邦和州法律法规体系以及普通法原则认为，所谓数据安全实际上在数据所承载的各类信息安全中得以实现。Lauren Henry则指出，美国的法律学术和政策论述通常假定信息隐私和数据安全是可以互换的目标；数据安全是信息隐私的陪衬，服务于数据安全是为了服务于信息隐私。欧洲的数据法益观与之类似，如欧盟所谓的数据保护实际上等同于隐私与个人信息自决权的保护，而即便是所谓具有独立于人格法益的一般数据保护其实也是对数据保密性、完整性和可用性（以下简称“数据三性”）的保护。而在刑事领域，网络犯罪国际公约以计算机数据和系统的保密性、完整性和可用性为保护法益，而“数据三性”所锚定的实为数据所承载的信息内容。然而，此类法益观在我国的刑事立法中无从体现。原因之一是，《刑法》第285条第2款与第286条第2款所强调的并非仅是侵害数据本体这一犯罪对象，还规定侵害数据之效果要件，而数据载体仅是电子信号，其被非法获取、删除、修改、增加并不具有任何社会意义，也难以定量地呈现出效果要件。原因之二是，一元论的内容依附型法益观忽略了数据所承载内容的多样性，也无法自证为何数据犯罪之保护法益仅限于其所主张的信息法益内容，且无法证明数据犯罪保护法益与传统法益的区分。而多元论的内容依附型法益观与一元论一样，无法说明数据犯罪法益的独立性及立法必要性，还会导致数据犯罪与传统犯罪交叉过多，适用范围过广而最终沦为兜底适用的口袋罪并由此衍生罪刑不均衡问题，对本文开篇所提实践争议之解决并无助益。

（二）数据秩序型法益观及其批判

数据秩序型法益观否认数据犯罪的保护法益依附于数据所承载的信息内容，而是强调数据管理秩序本身即数据犯罪的保护法益。其观点可细分为“数据安全法益”“国家数据管理秩序法益”“数据安全保护义务法益”“数据状态安全法益”等。虽用词不同，但此法益类型之概括更侧重数据保护的秩序价值，是将其定性为公法益、手段性法益，其共同点是认为数据犯罪所保护的并非数据所承载之信息内容。数据秩序型法益观的理论优势是揭示内容依附型法益观的扩张化倾向，说明解释论层面的广义数据犯罪概念缺乏理论实益，也难以为数据犯罪的解释提供有价值的方向指引。然而，数据秩序型法益观存在两方面的问题：

一是数据秩序型法益观并不深究数据的内容，如此也就隐含着保护数据载体本身的逻辑，但数据载体本身不值得保护。数据秩序型法益观难以回答数据载体作为纯粹“电磁记录”为何值得保护。“功能主义的另一任务是把握现实”，故而在思考法益归纳之理论目的时不能违背事物与概念的现实特性。就数据载体而言，以比特信号、电磁记录的形式所呈现的数据流缺乏社会意义，因为其“不能像石油一样流动，像胶水一样黏结，像火柴一样擦出火花”。从实然观察的角度来看，作为载体的数据仅有物理意义而无任何社会意义，且内容价值难以评定，而如果不能确定数据所载内容价值则不能进一步判断数据载体是否真正值得刑法保护，更不能确证应有的保护力度。二是数据秩序型法益观大多将“数据三性”作为具体的法益内容，但“数据三性”所涵盖的保护情形缺乏明确界限，也无限缩解释的功能。以网络犯罪国际公约为蓝本的立法例均把一般数据的保护价值归纳为数据的保密性、完整性、可用性。如德国学者将《德国刑法典》第202a条的保护法益概括为“数据三性”。我国台湾地区“刑法”第359条规定了无故取得、更动电磁记录罪，其立法理由自称系继受自“世界先进国家”，以英、美为适例，同样以“数据三性”为法益根据。我国大陆地区刑法理论界则惯于援引“数据三性”为数据犯罪之保护法益。然而，此类主张的错误之处在于，其标榜数据犯罪相对于信息内容犯罪具有独立性，但其所归纳的法益内容——“数据三性”，实际上包含了信息内容法益，故仍未脱离内容依附型法益观的基本立场。对此可进一步从概念谱系及比较法中加以证明：

首先，“数据三性”的概念谱系表明其所欲保护的仍是信息内容。“CIA的概念最早出现在信息安全领域，并广泛应用于数据和系统的安全性以及对敏感信息及隐私内容的保护。”全球范围内也大多肯定“数据三性”所包含的是信息内容法益。如联合国毒品与犯罪办公室（UN-ODC，United Nations Office on Drugsand Crime）将全球执法机构对网络犯罪执法分为三类，其中第一大类别即针对计算机数据或系统机密性、完整性和可用性（CIA）的行为，而CIA的细分类别中，数据保护被描述为“破坏隐私及数据保护措施行为”（Breach of privacy or data protection measures），体现了信息保护的定位。其次，虽然诸多立法例均以“数据三性”为保护法益，但理论界并未否认其作为信息内容的法益性质。例如，参与《德国刑法典》第202a条立法的学者齐白（Sieber）即认为，“破坏计算机系统保密性、完整性和可用性的违法行为在‘侵犯隐私和经济犯罪的范围内构成了一个特殊的犯罪群’”，可见其是将“数据三性”与隐私和经济法益相联系的。总之，“数据三性”的法益概括难以说明数据犯罪能够与传统内容法益脱离而自成一类。而以“数据三性”填充数据安全法益的理论主张实际上也是“用一般化的用语来掩盖对个别问题的具体追问”，在无形中走入其反对的立场。再次，数据秩序型法益观混淆了“数据法益”与“数据犯罪保护法益”。自《网络安全法》《个人信息保护法》《数据安全法》等前置性法律颁布以来，相当多的学者均以民事法或监管性法律为基础解读数据犯罪的保护法益，例如从《数据安全法》中概括数据法益及数据状态法益之主张。但在这一论述逻辑下，《数据安全法》等前置性立法的条文表述跨越部门法间接决定了刑法上数据犯罪的保护法益，其中所涉及的刑民、刑行关系问题缺乏前提性检讨。对此，笔者认为，对数据犯罪法益的解释论归纳不应坚持脱离刑法条文的数据法益概念，而应遵循“刑法条文决定刑法教义学建构”的前提性认知。从民法及监管性法律对数据的定性中并不能当然地引申出刑法上数据犯罪之保护法益，因为各部门法对数据保护的实定法前提和规范目的均有不同。即便不考虑违法一元论的缓和性，仅从刑法与前置法规范的交叉来看，“数据法益”与“数据犯罪的保护法益”也仅有“数据”这一客体互通。然而数据犯罪的罪状构成复杂，对数据犯罪保护法益之确定绝非仅由犯罪对象所确定。据此，提出更具解释力的数据犯罪法益观具有迫切性。

三、数据使用权法益的证立与内涵阐释

所谓数据使用权，即使用者通过计算机信息系统采集、传输和处理数据的权利。将数据使用权作为数据犯罪的保护法益具有事实和规范基础。

（一）数据使用权法益的正当性

1.数据使用权法益的事实正当性。法益之存在源于社会生活，即“法律保护将生活利益提升为法益”。数据使用权法益的事实基础首先在于数据价值只能由使用而产生。“数据价值因运用而生。”缺乏解析的数据本质上是“无数据”，如“专有控制权、禁令、技术壁垒、缺乏监护导致的数据等级退化等，甚至仅仅由于数据拥有者不能或不愿共享，使得数据虽存在但不能使用”。由于共享机制的存在，数据难以如物权一般具有占有、收益、处分的权利，其价值中枢在于“使用”；数据只有经使用才有价值。“数据价值具有多样性，其可能直到数据采集、监护或丢失很久后才产生，同时也因地、因时、因具体情境而具有很大不同。”可见，数据的价值依赖使用情境。真正有价值的是对特定数据进行处理的权利，而非比特载体这一电子空壳。无论静置的数据可能含有多么丰富的信息内容，只要其未经使用、解析就难以判断其内容法益是否真正值得保护。虽数据使用环节在数据价值产生的机理中极为关键，但并未进入数据犯罪的理论视野。在数据载体与信息内容之外，二者的转换环节（数据使用）作为数据流动和处理之关键。由此物本逻辑基础，笔者主张以数据使用权作为数据犯罪之保护法益，因为其所指向的是规范数据流动的最有价值的环节，且能够尽可能在法益还原论的逻辑下使《刑法》第285条第2款与第286条第2款的保护法益能够被定性为个人法益，以避免对权利的保护过于迂回。

此外，数据寄存于计算机信息系统，而计算机信息系统的技术目的本就是实现数据使用。此判断的根本依据是数据本身并不存在保护价值，真正值得保护的是数据使用权，而计算机犯罪正是规制数据使用行为的罪名体系，因为物理上既不存在脱离计算机信息系统的电子数据，也不存在脱离计算机信息系统的数据使用行为。对此，首先可由计算机信息系统的技术概念加以证明。国际标准化组织（ISO）对计算机信息系统安全的定义是，“为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄漏”。此定义同样为计算机科学所普遍承认。易言之，计算机信息系统与信息的关系是“通过计算机信息系统实现数据使用”。因此，人必然是在计算机信息系统的框架内使用数据，计算机信息系统也构成数据使用权利的边界，其正常运行也是实现人机互动、数据流动的前提。数据犯罪对计算机犯罪的依附性还在于，数据犯罪所指向的保护对象仅指计算机软件系统内的数据，而计算机犯罪所保护的则是包括硬件系统在内的计算机信息系统，其所涵盖的对象范围已然超出仅存于软件系统的数据。书面性的“计算机信息系统”概念与日常用语中的“计算机信息系统”存在抵牾。例如对最高人民法院指导案例104号持反对意见的学者认为，该案中的被告人实际上是“在计算机之外，对环境质量监测采样设备进行了干扰”，其显然并不认可计算机信息系统包括硬件系统。德国刑法学者罗克辛（Roxin）将刑法语言的范围限定为“可能的口语词义”，但这一解读对法定犯膨胀的现实及法定犯概念的专业化、书面化趋势背离明显，理论上不足为取。作为法定犯与常识的冲突宜交由违法性认识理论予以化解，而非让法定犯概念迁就口语习惯。据此，采纳书面语定义的计算机信息系统概念便意味着计算机犯罪包含对计算机硬件系统的保护，而这一认识也间接定义了数据犯罪的保护范围。

2.数据使用权法益的规范正当性。具体至刑法，则不应脱离刑法条文谈论数据犯罪的保护法益，而数据犯罪条文所指向的计算机犯罪本质上是对数据使用权的保护。

首先，从条文结构来看，我国《刑法》第285条第2款与第286条第2款均属于计算机信息系统犯罪。数据犯罪依附于计算机信息系统犯罪，因而不能脱离计算机信息系统谈论数据犯罪的保护法益，故而在规范上数据使用权法益同样依附于计算机信息系统法益。最直观的理由是其章节体例。虽然章节体例并不必然意味着法益同质，但能够据此推定法益的亲缘性，因为“法条的体系地位是确定具体犯罪保护法益的最重要依据”。据此，数据使用权的法益地位具有相对独立性—相对于内容犯罪具有独立性，而相对于计算机犯罪则具有依附性。刑法条文之外，无论是《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《计算机安全解释》）第11条，还是最高人民法院和最高人民检察院的指导（性）案例，均是在计算机学科的意义上将硬件系统纳入计算机信息系统的范围之内。据此，计算机犯罪的保护法益与数据犯罪保护法益的关系是：（1）直接依附于计算机软件系统的数据在概念上从属于计算机信息系统，因为数据不过是计算机软件系统的组成部分；（2）计算机信息系统包含了数据形式之外的硬件系统，其对象范围远大于数据；（3）数据犯罪的保护法益在位阶上次于计算机犯罪的保护法益。

其次，规范上同样认可计算机信息系统的法益以数据使用权的实现为目标。《计算机安全解释》第11条规定，计算机信息系统和计算机系统，是指具备自动处理数据功能的系统。换言之，计算机信息系统之存在即为处理数据，也是为在人机交互的过程中保障数据被合理使用，从而实现信息的有效存储、处理和传递。计算机信息系统之存在与正常运行是为便利信息沟通，而只有数据使用权得到保障，才能够实现信息沟通的终极目标。因此，数据使用权法益应在计算机信息系统法益中加以考察。对此，批评性观点认为计算机犯罪存在滞后性，无法规制计算机信息系统之外的大数据，如论者认为“大数据背景下的网络数据已经展露出独立于计算机信息系统的内涵与形式，如网页浏览记录、下载记录、关键词搜索记录等信息数据既不属于系统中从外部采集而输入系统的数据，也不属于系统运行过程中自行产生的痕迹与记录数据，由于其并未进入系统内部，在本质上无法归属于计算机信息系统数据的范畴之内”。但从技术原理来看，并不存在脱离计算机信息系统的数据，因为即便是“云数据”，也需要在“可靠的基础设施中存储、管理和处理”。立法体例和数据技术决定了数据使用权只能在计算机信息系统之内加以理解和保障；《刑法》第285条与《刑法》第286条各款分别以“造成计算机信息系统不能正常运行+后果严重”“影响计算机系统正常运行”等为效果要件，同样体现其所保护的乃数据使用权，因为“计算机信息系统正常运行”要件正是计算机信息系统内各方数据使用权得到充分保障的秩序前提，而计算机信息系统本身也是为数据使用而存在。

再次，数据使用权法益的规范正当性还在于其能够区别数据犯罪与传统犯罪保护法益，有助于实现评价的充分性。以“凌亚胜等非法获取计算机信息系统数据案”为例，若以内容依附型法益观为逻辑起点，则容易主张非法获取计算机信息系统数据行为包含对数据化财产性利益的评价，从而在法条竞合的逻辑下优先适用非法获取计算机信息系统数据罪。而若以秩序独立型法益观为逻辑起点，则首先需要将“泰达币”视为一般性数据，然而保护一般性电子信号违背常识，也容易将前引不正当竞争纠纷普遍纳入刑事视野，造成入罪泛化问题。以数据使用权为数据犯罪法益内容的理论优势首先在于区分民事纠纷与刑事犯罪，例如“北京微梦创科网络技术有限公司与北京字节跳动科技有限公司不正当竞争纠纷案”“百度在线网络技术（北京）有限公司等与北京奇虎科技有限公司不正当竞争纠纷案”之所以不成为刑事犯罪，是因为其虽影响“受害单位”的商业利益，却未影响其广大客户在平台之内的数据使用权，即未出现“造成计算机信息系统不能正常运行”的后果。而在“凌亚胜等非法获取计算机信息系统数据案”中，行为人非法获取身份认证信息是盗窃罪的手段行为，其影响受害人的数据专属使用权，却不妨碍目的行为构成盗窃罪之评价，在罪数逻辑下并不存在评价不充分问题。

（三）数据使用权法益的基本内涵

数据使用权指使用者通过计算机信息系统采集、传输和处理数据的权利，据此，数据使用权法益即刑法对计算机信息系统内权限不等的各类使用者对数据的使用权利。数据犯罪的保护法益即数据使用权，此法益概括代表着数据犯罪所具有的独立法益类别。数据犯罪具有独立法益的判断并不意味着其法益内容迥异于已有的法益类型。分则罪名的法益体系存在阶梯结构，数据使用权只要在最微观层面能够自证其独立特性，即可论证其保护法益之独立性。以其他领域的法益层级类比，有价证券诈骗罪的法益可概括为有价证券的流通秩序，但这一法益又隶属于更上位的金融秩序法益，而金融秩序法益之上则是市场经济管理秩序法益。因此，数据使用权法益即便隶属于计算机犯罪的保护法益也并不失去独立法益的评价。刑法文本选择在计算机犯罪的中等抽象层次定义数据犯罪，符合数据与计算机信息系统的功能定位。由于刑法文本迥异于前置法，作为数据犯罪保护法益的数据使用权法益具有相对于前置法的独立性，此认识是概括其基本内涵的前提。以此基本认知为基础，可进一步将数据使用权法益的基本类型区分为数据专属使用权法益与数据共同使用权法益，此为其基本内涵的展开。具体而言：

一方面，数据使用权法益的基本内涵不同于“数据法益”，具体体现为数据犯罪中的“数据”具有相对于前置法上“数据”的独立性。理由之一是，主张刑法意义上的“数据”作为载体具有独立性或具有内容依附性的观点均可在前置性立法中寻找论据支持，因而难以将前置法视为具有说服力的论据。“数据”在诸多法律文本中均有概念说明，仅基本法律即包括《网络安全法》《数据安全法》《民法典》《刑法》等。从前置法对数据性质的讨论来看，前述立法既关注数据的内容面，又关注其作为信息载体的独立价值。例如，《网络安全法》第10条将“数据三性”视为网络数据的法益内容，而完整性、保密性与可用性既指向数据的格式完整，也包含数据的信息内容。有学者据此认为，从我国目前的立法趋势来看，立法者“不再将数据定义为无意义的计算机符号的简单集合，而是逐步承认数据与信息一体化”。这一立场在民法学界同样具有理论佐证，例如梅夏英教授虽主张数据与信息的区分说，但同样承认数据与信息在网络环境下难以割裂，可能会相互转换。但支持狭义数据犯罪立场的观点也能够援引部分前置法条款，如《数据安全法》第3条规定，本法所称数据，是指任何以电子或者其他方式对信息的记录。其同样强调数据的信息载体性质。理由之二是，《网络安全法》《数据安全法》《民法典》《刑法》等属同等位阶的立法，其互相之间并无概念参照的要求，也无决定与被决定的关联。此处涉及刑法作为保障法与前置法的关系问题。虽然不同部门法对同一法律概念作相同规定有利于保持行为规范的一致性，但概念一致性的束缚是软性的，因为法秩序统一并非要求前置法与刑法学在概念使用上的完全一致，而是二者在规范同一行为时避免做出矛盾的规范指引，但“行为指引的统一不等于概念的统一或违法评价的统一”，所以在前置法与刑法之间寻求概念通约缺乏根据。理由之三是，《刑法》第285条第2款、第286条第2款的制定早于《网络安全法》和《数据安全法》，因而在援引最新立法以解释这两个罪名时应关注二者立法目的之差别，前者在章节上被置于计算机犯罪体系内，后者则专以网络安全、数据安全为保护法益，其规范目的各有差别。理由之四是，若将《网络安全法》或《数据安全法》视为数据犯罪的概念参照，则与现行《刑法》条文相悖，只能走向立法论主张，例如有学者主张“《网络安全法》《数据安全法》等前置法也实现了对数据安全法益的内涵建构，由此框定了刑法数据犯罪体系的基本范畴”。

另一方面，数据使用权法益的基本内涵还体现为其类型上区分为数据专属使用权法益与数据共同使用权法益。首先，高权限的数据使用权法益可概括为数据专属使用权法益。数据使用权法益具有基于权限等级性，具体反映为不同使用者使用权限的差别。计算机的操作系统通常为每个用户分配一个账户，并为每个账户分配不同的权限级别。管理员账户通常拥有最高权限，可以对系统进行全面的配置和管理，而普通用户的权限则受到限制，只能进行有限的操作。技术上，数据使用权的等级差别集中地体现为身份认证的权限差别。身份认证是计算机安全中的基本概念，有助于确保只有合法用户能够访问受保护的系统和资源。因此，身份认证信息所反映的是更高等级的数据使用权限，对应计算机信息系统中的系统管理功能，具体类目包括诸多敏感数据如用户名和用户ID（用于标识和识别用户的唯一标识符）、密码和密码散列（用于验证用户身份的机密凭据）、生物识别数据（例如指纹、面部识别、虹膜扫描等生物特征信息）、安全令牌和访问令牌（用于生成一次性密码或提供额外的身份验证层）、证书和数字签名（用于加密和验证身份的数字凭据）、个人识别号码（例如社会保险号码、身份证号码等国家或地区特定的标识号码），等等。其次，基于数据非排他性使用许可权限相同的数据使用权法益概括为数据共同使用权法益。数据使用权法益具有非排他性。数据使用权不仅保护特定个体的数据使用权，还担负着保护他人的使用权不被个别使用者倾轧的功能。从数据使用生态来看，数据使用权的非排他性根源于“数据安全和数据共享是数据治理的基本目标”；技术上则根源于数据本身的非排他性，因为所谓的“数据获取”在技术内容上实为“数据拷贝”，大多数情形下并不会导致被使用数据灭失。非排他性意味着数据使用者的并存关系，从而意味着使用者之间的相互干扰性。此事实要求数据使用权之间需要额外的权利平衡。数据使用权的行使存在双向影响—既可能实现信息沟通也可能干扰他人的数据使用，而此权利行使的前提是不干扰他人行使数据使用权，如此则必然要求数据使用权的行使不得影响计算机信息系统功能的正常运行。这也是计算机信息系统功能正常运行的法益追求较数据使用权这一法益更加重要的具体体现。除了一般使用权人之间互相干扰，数据确权中的权利人对数据有何种程度的使用权限也存在权利限制，如专享数据使用权者有权排除他人使用，而巨头企业则需要保证不同个体平等使用数据的权利以免受来自反不正当竞争法的苛责。回归对数据、计算机信息系统、信息的物本逻辑，则不难理解这一特性的根源—数据使用权的合理界限是权利行使者不得因其使用行为导致计算机信息系统不能正常运行，从而干扰其他潜在使用者。数据的内容在解析之前无法确定是否值得保护，例如有些数据蕴含的内容并无运用的价值或本就是对外开放的公共数据，那么单纯获取此类数据且未侵害他人的数据获取权则无用刑之必要。但是，非法获取该类数据仍有可能构成数据犯罪，因为该类行为可能侵害他人的数据获取权，此为数据使用权法益的竞争性所导致。

四、数据使用权法益类型化视角下数据犯罪的限缩

前文以数据使用者角色的差异，将数据使用权类型化为数据专属使用权与数据共同使用权，其规范上的对应即《刑法》第285条第2款的获取型数据犯罪和《刑法》第286条第2款的妨害型数据犯罪。据此可对数据犯罪的规制范围作教义学限缩。

（一）数据专属使用权法益对获取型数据犯罪的教义学限缩

依《计算机安全解释》第1条之规定，获取型数据犯罪的实质要件是“身份认证信息”，即对计算机信息系统的控制权。非法获取此类数据直接威胁了高权限数据使用者的数据专属使用权。此数据类型本质上指向计算机信息系统的专属访问权，从而保障特定权限者数据使用权的完整性。但是，是否承认司法解释的法律渊源地位成为两种解释方向的分界。现实主义的观点倾向于从法律渊源的实际功能定义其内涵，如有学者指出，作为法律渊源应当满足以下条件：（1）必须具有法律效力；（2）必须为人们所感知；（3）必须是能够在司法判决中加以明示的理由；（4）作为判决的理由，本身不再需要外部证明。反对观点则认为拔高司法解释的立场会“使司法解释的地位高于刑法的地位，使司法机关的判断优于刑事立法的判断”。虑及司法解释的现实效力，抽象地否定其法源地位有欠务实，至少应尽可能地在教义学的建构中消解学说与司法解释的张力，因而其规范文本可作为确定非法获取计算机信息系统罪保护法益之重要依据之一。

除司法解释作为“实际法源”的理由之外，另有多方面的理由能够支持“数据专属使用权”定性的可取性：第一，数据使用权的权限级别具有多样性，不加分别地加以保护难以凸显法益内部的质量差别。计算机信息系统的主要功能是处理、存储和传输信息，但又可细分出多种功能，包括基础性的数据处理功能、数据存储功能和数据传输功能，也包括更为核心的系统管理功能如管理用户权限、系统安全性、硬件配置、软件更新等。其中管理用户权限涉及访问控制、身份验证等底线性的安全机制，与一般性的数据使用权侵害相比绝非同等量级，因而有特别保护之必要。第二，以访问权限为限定更符合体系解释逻辑。《刑法》第285条包含三款罪状，分别对应“非法侵入计算机信息系统罪”“非法获取计算机信息系统数据、非法控制计算机信息系统罪”以及“提供侵入、非法控制计算机信息系统程序、工具罪”。由此可见，《刑法》第285条整条均体现对数据专属访问权限的保护，其中前两款罪状均以“违反国家规定+侵入”为前提，第三款罪状则对提供用于侵入、非法控制计算机信息系统的程序、工具的行为加以惩处，同样体现对数据专属使用权的特别保护。不仅如此，由于非法获取计算机信息系统数据罪与非法控制计算机信息系统罪是选择性罪名，而选择性罪名所体现的法益具有同质性，应确保二者的法益概括一致。非法控制计算机信息系统所剥夺的是高级别权限的数据使用者的专属使用权，所体现的正是行为对数据专属使用权的侵害，而《计算机安全解释》第1条所列举的罪量条件是该选择性罪名的整体标准，同样反映此理论立场。第三，从法际衔接的角度来看，将与数据使用权关联最深的“身份认证信息”作为非法获取计算机信息系统数据罪犯罪对象，有利于限制对数据使用行为的盲目打击。互联网世界向来以数据公开和共享为宗旨，对数据使用权的保障需要顾盼多方权益。数据获取、使用行为无处不在，且大多指向公开数据。由于监管逻辑尚欠缺明确性，对多类型的数据获取行为均缺乏是非界限的根据，司法规制也存在罪与非罪、此罪与彼罪的认定障碍。就此，若设置技术防护一方有公开数据之义务，则即便突破权限获取数据也不应认定为犯罪，而由于技术限制的正当性在数据使用的现实生态中极难判断，只有在谦抑性理念下限缩解释该罪所指向的数据类型，才可确保不致引起互联网数据使用生态的混乱无章。以“首例爬虫入刑案”为例，若司法实践能够深化对“身份验证”标准的认知，当不至于将一般性的数据获取行为轻易入刑。此外，《刑法》第285条对行为方式的限定为“非法”，可见受害方不仅需要设置技术防护措施，还需证明技术防护措施的正当性与合理性，否则无法论证数据专属使用权法益的存在。类似地，本文开篇所提个人借爬虫频繁访问“12306”以代买车票之行为与网站的运行卡顿并无相当的因果关联，也应当排除数据犯罪的适用。

值得注意的是，在技术上影响计算机信息系统专属访问权限的数据类别并不限于身份认证信息，故而应进一步拓展该罪所保护数据类型的范围，而扩张的根据即能够支持实现数据专属使用权的数据类型。对计算机信息系统的专属访问或是通过身份认证信息，或是通过软件后门、远程访问后门、系统账户后门进行。软件后门指在软件代码中存在的隐藏功能或特定的输入序列，可以触发未公开的访问权限，绕过正常的认证机制；远程访问后门指通过网络或远程连接，利用系统中存在的安全漏洞或未授权的远程管理功能，实现对系统的秘密访问；系统账户后门指在系统中创建额外的用户账户、管理员账户或特权账户。由于这些账户通常不被公开，因而具有绕过正常身份验证的特权，统称后门访问。后门访问可能是出于合法目的，例如为了紧急访问和系统维护的需要，但也可能被恶意使用，用于非法活动、未经授权的访问、数据窃取等目的。因此，非法获取计算机信息系统数据罪的犯罪对象应在身份认证信息之外纳入后门访问数据。最高人民法院指导案例145号张竣杰等非法控制计算机信息系统案所涉的情形即对后门数据的获取行为，但裁判要旨认为，以“植入木马程序的方式，非法获取网站服务器的控制权限，进而通过修改、增加计算机信息系统数据，向相关计算机信息系统上传网页链接代码的，应当认定为刑法第二百八十五条第二款‘采用其他技术手段’非法控制计算机信息系统的行为。”虽然非法控制计算机信息系统罪与非法获取计算机信息系统数据罪为选择性罪名，其量刑并无分别，然而此裁判逻辑忽略了后门数据与身份认证数据对数据专属使用权的同等影响。假如行为人仅获取后门数据而暂无控制计算机信息系统的行为，则其实际危害与非法获取计算机信息系统数据罪并无实质性分别。甚至可以说，由于身份认证信息更新便利，后门数据泄露的危害更大且不易被发现，而仅以非法控制计算机信息系统罪定罪实际上等同于认可此处的处罚漏洞。从最高人民法院与最高人民检察院的制度角色来看，可将此行为类型解释为《计算机安全解释》第1条第1款第5项的“其他情节严重的情形”，而更妥当的方式则是完善司法解释或修正此指导案例的解释方案。

前述解释方案可能遭受质疑的是，非法获取计算机信息系统数据罪以更敏感的身份认证信息和后门数据为犯罪对象，为何量刑上反而低于破坏计算机信息系统罪？首先，《刑法》第285条第2款为情节犯、危险犯，其并不要求造成特定危害结果，较《刑法》第286条第2款缺少结果要件，故危害性不可等同。其次，数据类型的敏感性与后果严重程度无法直接等同，否则会陷入“抛开剂量谈毒性”的思维陷阱。例如人身法益通常被认为较财产法益层级更高，但故意伤害行为之量刑未必重于盗窃财物数额特别巨大之行为。再次，享有高级权限的数据使用者在整体计算机信息系统中仅占少数，而更多的数据使用者虽仅有数据共同使用权，却是数据使用的主要人员。以某“恶意挖矿”案为例，行为人利用其在该公司负责运营、维护内部服务器的便利，通过技术手段部署应用程序，超越授权使用企业内部服务器“挖掘”比特币、门罗币等虚拟货币，造成日常业务的服务器运行异常。本案中行为人虽获取身份验证信息，威胁公司特定人员的数据专属使用权，但其对公司所造成的主要损失却是因日常业务服务受损导致大多数平台用户无法正常使用数据，而此情境下数据专属使用权的损失并不重于数据共同使用权。

（二）数据共同使用权法益对妨害型数据犯罪的教义学限缩

需先予申明的是，“破坏”一词并非破坏计算机信息系统罪的行为类型，因为罪名仅是“两高”于立法后基于司法和理论沟通之便利考量而补缀，且“确定罪名时采取了多元标准”，需要考虑如犯罪对象、法益、手段、危害性等要素。《刑法》第286条被冠以“破坏”之罪名与该条第1款所列举的谓语“删除、修改、增加、干扰”以及第2款的“删除、修改、增加”乃至第3款的“故意制作、传播”，既非同义词也非通约性概念，因而应理解为对该罪整体罪质或结果要件的罪名概括。换言之，“破坏”实为对“造成计算机信息系统不能正常运行”“影响计算机系统正常运行”“后果严重”等效果要件的概括，故而概括为“妨害型数据犯罪”更妥当。前述效果要件所影响的是计算机信息系统内各类使用者正常使用数据的权利，所妨害的是数据共同使用权法益。

1.《刑法》第286条的整体检视。破坏计算机信息系统罪共包含三款罪状，其中仅有《刑法》第286条第2款属于数据犯罪，其余则皆属于更上位的计算机犯罪，因为其犯罪对象并不限于数据所构成的计算机软件系统。该条第2款的行为类型是“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”，则显然是将犯罪对象限定为计算机软件系统；第1款的行为类型是“对计算机信息系统功能进行删除、修改、增加、干扰”，则并未限定犯罪对象是否仅限计算机软件，故而可解释为包含对计算机硬件系统功能的删除、修改、增加和干扰行为，即《计算机安全解释》和最高人民法院指导案例104号所持立场。由于计算机信息系统存在的目的即处理数据，所谓对计算机信息系统功能的删除、修改、增加、干扰仍是对数据使用权的破坏，但因其行为对象未必系针对数据本身，故而并非纯正的数据犯罪。

比对此三款所规定行为类型可以发现，第2款对应的数据犯罪仅以“后果严重”作为效果要件，而第1款的“造成计算机信息系统不能正常运行”和第3款的“影响计算机系统正常运行”，则是以非排他性主体借计算机信息系统行使数据共同使用权的妨害效果为要件。第2款的效果要件应有不同于第1、3款效果要件的解释。对此，笔者认为“破坏计算机信息系统罪”实为不妥当的罪名概括，因其未能区分该条第1、2、3款保护法益的不同级别。《刑法》第286条第1款所针对的是计算机信息系统的整体功能，而由于计算机信息系统功能类别多样且重要性参差有别，不宜过于轻易地入罪，因而需要以“造成计算机信息系统不能正常运行”为额外要件。与此相比，第2款所针对的是计算机信息系统中最核心的软件系统，其行为方式更依赖信息技术，且功能修复更艰难，因而其对该罪效果要件的规定较第1款入罪门槛更低。相应地，第3款中“故意制作、传播计算机病毒等破坏性程序”系帮助他人实施侵害计算机软件系统的概括故意所支配的行为，且程序本身由具有危害性的数据写就，危害性更甚，故“影响计算机系统正常运行”并不要求破坏的终局性或不可逆性，与第1款相比入罪门槛更低。最高人民法院指导案例104号以及《最高人民法院、最高人民检察院关于办理环境污染刑事案件适用法律若干问题的解释》实际上已将特定行为类型与各款罪状相匹配，而非笼统概括，同样体现对法益重要性的差别化解读，如该司法解释第11条规定：“违反国家规定，针对环境质量监测系统实施下列行为，或者强令、指使、授意他人实施下列行为，后果严重的，应当依照刑法第二百八十六条的规定，以破坏计算机信息系统罪定罪处罚：（一）修改系统参数或者系统中存储、处理、传输的监测数据的；（二）干扰系统采样，致使监测数据因系统不能正常运行而严重失真的；（三）其他破坏环境质量监测系统的行为。”其中第（一）项并未要求“造成计算机信息系统不能正常运行”的要件，与《刑法》第286条第2款的效果要件吻合；第（二）项则契合《刑法》第286条第1款的效果要件。若以此认知为基础，可见最高人民法院与最高人民检察院对《刑法》第286条罪名的概括并不合理，因其仅是从三种行为类型的危害后果作笼统抽象，而忽视了行为对象能够更加细致地展现三者所侵害法益之差别。因此，笔者建议将《刑法》第286条拆解为三个罪名，分别为第1款的“破坏计算机信息系统功能罪”，第2款的“破坏计算机软件系统罪”以及第3款的“故意制作、传播计算机病毒罪”，至于三者的效果要件则应根据犯罪对象之差别由“两高”分别匹配规定。

2.《刑法》第286条第2款“后果严重”要件的展开。依前文的判断，《刑法》第286条仅有第2款属于纯正的数据犯罪，而对该款“后果严重”要件的解读应在该条前两款罪刑条款所体现的法益侵害位阶中寻求体系性解释。从文义来看，两款均以“后果严重”为共同的结果要素，由此可确立其结果犯属性，也可见该条三款罪刑设置保护法益的相通性。不同之处在于，第1款对计算机信息系统功能损害的描述重于第3款，第2款则仅有模糊的后果规定，而未对“计算机（信息）系统功能”有特别说明。对此，笔者认为，唯独第2款缺少计算机（信息）系统功能的要件并非立法疏漏，也无需补正解释。数据共同使用权意味着在第1款的情形下，只有当行为人对计算机信息系统功能进行删除、修改、增加、干扰，导致计算机信息系统的潜在使用者失去输入或输出数据的权利时才有构罪之可能，也意味着在第2款所规定的情形下，只有当行为人对计算机软件系统进行删除、修改、增加，导致其余行为人无法正常使用数据时，才有构罪之可能。之所以第2款入罪更轻易，是因为在第1款的情形下，对计算机信息系统功能的删除、修改、增加、干扰大多是可逆的，但对数据载体本身的删除、修改、增加则难以修复，此时即便其余数据使用者仍有通过计算机信息系统输入或输出数据的权限，也可能无法正确地解析数据。据此，第1、2款的效果要件均可概括为“可逆的功能丧失+结果犯属性”。此时，第2款“后果严重”的解释应以行为对数据载体解析的妨碍效果为尺度，而司法解释或权威判例以此为据确定入罪标准时，应着重衡量计算机信息系统内的数据载体解析是否系按照原计算机系统所设计的流程进行。以流量劫持为例，行为所导致的是数据使用者无法正确解析原设定内的数据载体，而若受影响访问量达到一定数量则可解释为该款的“后果严重”。《计算机安全解释》第4条对第1、2款的罪量设置采取统一化的配置策略，是以数据共同使用权这一上位法益为依据，但解释未区分计算机软硬件值得保护的不同程度，也未结合第1、2款内容表述上的差异，因而有修正之必要。

除此之外，《计算机安全解释》的罪量说明主要是对法条中结果要素的具体化，尚缺乏基于“数据共同使用权”法益对该罪的入罪范围作二次限缩。相较“计算机信息系统法益”“数据安全法益”等秩序法益，以数据使用权为保护法益能够进一步限缩数据犯罪的打击范围。在计算机信息系统类别中，存在影响计算机信息系统正常运行却并不影响用户数据使用权的情形。例如特定个人项目如个人博客，虽然数据公开分享却长年无人访问，此时即便有行为人对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加，并造成计算机信息系统不能正常运行（博客访问障碍），但因没有受害人存在，也就无法证成行为对数据共同使用权的损害。在此情形下，即便行为符合破坏计算机信息系统罪的构成要件，也会因不存在法益侵害性而不能入罪。又如一些在线游戏在关闭官方服务器后，会有玩家或团队继续运行私服，以使感兴趣的用户继续访问游戏，但在私服陷入“零访问”状态时，此时即便有行为人对系统进行删除、修改、增加且造成计算机信息系统不能正常运行，也并未侵害数据共同使用权。

五、结  语

解释论的视野之外同样需要展望数据犯罪立法的理论可能性。当前理论界对数据犯罪立法论的展望较多，实则低估了现有刑法体系对传统犯罪数据化的规制能力。以数据犯罪与财产犯罪的关系来看，财政部发布的《企业数据资源相关会计处理暂行规定》已自2024年1月1日起为数据资产入表核算提供通道和指引。由于企业会计报表有真实披露义务，这也意味着数据估值将为大数据的市场价格提供稳定的估值核算标准。于是在财物意义上为数据确权是具有前瞻性且并非虚妄的法理展望。虽然基于现有条件极容易得出相反结论——“大数据集合体是一般数据的直接凝结和聚集，其权利本质与一般数据无异，都不具有确立财产权的可能”，但从数据资源的政策推进来看，所谓大数据时代数据专属法益的命题恐会失去现实意义，其立法必要性论证也欠缺对“未来现实”的关注。因为大数据不再是难以触及、难以估量的新奇存在，而可能仅仅成为财物之一种，只不过形态上缺乏传统“物”的不可分性，也不同于“债”的权利和义务属性，而更接近知识产权上的控制权分配，但其财物属性的争议最终会随着“数据并表”而失去悬念。据此，在数据确权、数据资产入表等趋势明朗化之际，谈论数据犯罪的未来立法时，不必过分夸大“传统犯罪数据化”的规制漏洞，而是应尽可能在解释论的范围内专注于论证限缩数据犯罪对数据使用权法益的保护范围，而对诸多“新型犯罪”实则能够通过传统罪名加以解决，而非扩张对所谓“一般数据”的保护。据此，在解释论上尽可能论证数据犯罪保护法益的独特性是更具前瞻性的理论方向。

来源：《北方法学》2024年第4期

作者：阎二鹏、马光远，海南大学法学院