尚权推荐SHANGQUAN RECOMMENDATION

关键词：数据安全法益；刑法解释；证据审查规则

一、问题之提出

（一）体系化立法需求与碎片化立法现状之对立

最高人民法院研究室刑事处处长喻海松认为，现行刑法是以罪群的形式将数据犯罪纳入规制范围，数据犯罪所涉罪名包括计算机数据犯罪、个人信息犯罪、国家秘密类数据犯罪、商业秘密类数据犯罪和其他犯罪五大类。但数字经济社会背景下的数据犯罪不仅数据量大，数据的运行过程也更为复杂和重要，数据信息权利涵盖的内容、涉数据犯罪的形式也随之呈现出多元化趋势，立法上蚩需专门的数据安全保护规定，而现有刑法规定无法直接反映数据犯罪所对应的法益，司法上也未能提供数据犯罪的法益识别路径。因此大数据时代下需明确数据法益的独立性，重新审视数据犯罪在刑法体系中的定位，通过区别数据与信息的客观属性从而进行立法区分。即既需要将数据犯罪与计算机系统犯罪、信息犯罪相分离，也需要设置专门的刑法条文指引数据犯罪与其他犯罪的罪数衔接。

（二）刑事立法中对数据的保护范围不明确

在构成要件方面，主要争议集中在非法获取数据罪和破坏数据罪的行为对象要件，即法条所保护数据的范围边界不明确。

针对非法获取数据罪中的数据保护范围，目前学界存在扩张论与限缩论等两种观点。李怀胜教授在《数据开放的刑法边界》一文中写到因侵犯计算机系统罪的保护对象不包括网页浏览痕迹、下载记录等数据，说明既有刑法对数据保护的范围过于狭窄，为实现对数据的充足保护应扩张刑法所保护数据范围的立场。李遐桢教授、侯春平教授在《论非法获取计算机信息系统数据罪的认定—以法解释学为视角》一文中的限缩论观点认为，目前刑法学中对于计算机信息系统数据的范围理解过于宽泛，应当进行一定程度的限缩。

针对破坏数据罪中的数据保护范围，扩张论认为破坏数据罪中只要破坏了计算机系统中储存的数据就构成该罪，在计算机系统中储存的数据都应是破坏数据罪的保护对象。周立波教授则基于100个司法判例的实证考察后阐述了限缩论的观点，认为解释破坏数据罪中的数据时应将之与计算机信息系统功能直接关联，只有那些被删除、修改或者增加后能够影响到计算机信息系统运行的数据才是破坏数据罪的保护对象。其逻辑是为了解释为何破坏计算机信息系统罪在刑事司法适用中异化为了口袋罪，认为此异化的源头是泛化解释了刑法第286条第2款中的数据。因此，为避免本罪在司法实践中呈现出继续泛化的态势，刑法中有必要对破坏计算机信息系统罪（主要是对破坏数据罪）进行限缩解释，以实现对破坏计算机信息系统罪之整体司法适用进行去口袋化的规范效用。

（三）司法适用中数据犯罪与信息犯罪、计算机犯罪界限模糊

数据和信息的内容同构性使得数据法益与信息法益密切相关，数据无法与信息割裂开来，对数据设立保护机制的刑法目的主要为数据承载的信息提供保护。《数据安全法中》将数据定义为任何以电子或其他方式对信息的记录。可见，数据是对事实、活动的数字化记录，数据的意义主要为表达客观事实与活动，具有独立性，形式有多样性，数据是无体的。刑法语境下的信息与数据为内容和载体的关系，数据是信息的载体，二者并不存在本质上的差别。但笔者认为，两者最大的差异在于一个强调形式一个注重内容，刑法中信息所指向的内容是具体确定的，比如“公民个人信息”“商业秘密”“国家秘密”等，而数据通过处理后得到的内容是抽象、不确定的，比如滴滴网约车数据被数据处理后可以获得公民个人信息也可以获得商业秘密。因为数据的内涵外延比信息要大，刑法通过打击信息犯罪（如侵犯公民个人信息罪、非法获取国家秘密罪、侵犯商业秘密罪等）来间接保护数据，会带来数据保护不到位的问题。

针对数据犯罪与计算机犯罪的关系，当前立法对于计算机系统运行安全保护比较全面，虽对数据犯罪有所规制，但不够全面。数据犯罪和计算机犯罪不是包含与被包含关系，而是特定场景下的交叉关系，前者侵害的是数据安全，而后者侵害的是计算机信息系统安全。在早期的计算机网络时代，数据在多数情况下作为计算机信息系统运行的载体、操作权限的认证、静态的数据库等，栖身于计算机系统之中，并依靠计算机系统传输、运算、存储，此时的数据安全可以约等于计算机信息系统安全，即“保护计算机软硬件信息基础设施能够持续正常运行，防范外部攻击者对信息系统及其中存储的数据进行破坏和篡改，或者对秘密数据进行窃取”。数据安全便被理解为对信息系统中重要数据（如身份认证信息）进行保护的必要性。而随着大数据时代的到来，数据的范畴不仅包含了维持计算机信息系统正常运转的数据（如操作系统数据、计算机程序运行数据等），还包含存储在计算机信息系统中、或者计算机信息系统之外的具备独立价值数据（如企业生产数据、政府数据、个人数据等），特定情况下对这些价值数据的侵害并不需要影响计算机信息系统安全，比如，对离线的存储介质、RFID射频识别技术系统等终端数据的窃取破坏。所以，刑法通过保护计算机信息系统安全来保护存储在其中的数据安全，具有数据保护严重缺位的问题。

二、“数据安全”法益观之提倡：侵犯对象与行为样态

在现有数据犯罪体系下，数据刑法保护面临形式保护和实质保护的分歧。形式保护通过计算机犯罪罪名体系实现，实质保护通过保护数据内容所对应的法益实现。而相对应地，数据犯罪既有的法益理论可被分为传统观点和新观点。传统观点认为数据犯罪在于保护计算机系统运行安全、计算机信息系统及其存储、处理或者传输数据的安全、以及国家对计算机信息系统的管理秩序，刑法所规定的计算机系统犯罪一方面，根据立法原意，非法获取计算机信息系统数据罪的犯罪对象仅限于计算机系统内的数据，司法实务却将本罪的犯罪对象进行了扩大解释。新观点认为数据安全法益为新型法益，单纯以“计算机信息系统安全”作为数据犯罪保护法益并不符合数据犯罪的技术实质和保护需求。数据安全法益认为数据安全主要是针对数据的保密性、完整性、可用性（CIA）。我国《网络安全法》第十条也明确规定保护“网络数据的完整性、保密性和可用性”。数据是裹挟着人格属性、财产属性的混合体，数据承载的不同信息各自包含不同种类的法益价值，因而对涉数据犯罪的规制，不能以一种统一的法益进行衡量，而应基于数据自身内容、使用价值和侵害风险进行独立规范评价。

“数据安全”旨在保护数据利用的三个面向，即“数据安全”三要素，包括数据的保密性、完整性和可用性。对“保密性”的侵害意味着对数据的非法访问、读取、获取，导致其陷入随时被扩散、公布的风险之中。通常的侵害方式包括数据包嗅听、密码破解、回收站搜寻、键盘测录、网络钓鱼等。对“完整性”的侵害意味着对数据进行删除、修改或者增加等破坏行为，导致其记载的信息内容无法被完整地读取和使用，进而侵害了数据的真实性、可靠性。通常的侵害方式包括：萨拉米攻击、数据欺骗攻击、会话劫持等。对“可用性”的侵害将导致授权用户无法访问数据或系统，如通过使网络堵塞而阻止合法用户进入等。

三、数据犯罪的刑法规制路径

对于我国当前数据犯罪的刑法规制路径，学界观点主要分为两种，一是保守立法补充模式，二是积极的体系化立法模式。持保守立法补充模式观点的学者认为，若针对数据确立一项新型数据权利，立法者还必须制定出一整套权利配置规则，这种规制方式带来的立法成本无异于建立类似物权法的法律门类。因此不主张针对涉数据网络犯罪建立独立的立法体系。但针对现有犯罪对象无法覆盖数据犯罪的问题，仍需进行立法上的补充。如单就智力成果型数据集合的保护提出扩大著作权犯罪的规制半径，将数据库、智库及其产品纳入刑法保护之范畴，此种方式对于保护隐私权以及商业秘密等法益同样具有借鉴意义。目前在罪刑法定与谦抑性原则的指导下，难以对数据形式的法益内容进行有效保护，在立法中补充保护对象类型，将数据权利明文规定于刑法条文中，能够在一定程度上缓解数据刑法保护的立法缺陷。

主张积极的体系化立法模式的学者提出对犯罪对象的立法补充方式较为消极，无法从根源上解决新类型的涉数据犯罪，因而主张对数据信息权利单独设立数据权。因我国分散立法的保护模式暴露出明显弊端，出现了保护对象不明确、信息主体权利缺失、权利义务不完善和法律责任不到位等问题，并在此基础上提出一个大胆设想，认为应将数据在现行法律体系中定义为一个独立的权利种类，并且应当参照人格权、知识产权、物权的制度设计，针对该权利设计一套适应于其特征的有关获取、交易、处分等的法律规则，针对不同数据权利设计不同保护路径，从而形成权利保障的内在逻辑性。该观点摒弃了保守的防御立法模式，以建立新的体系法为途径寻求数据权利保护的进路，为涉数据网络犯罪提供了新的规制思路。在新的国家安全观的大背景下，建立具有符合中国国家安全现实需求的信息法律体系，已经成为日益急迫的现实问题。应借鉴《网络犯罪公约》在我国刑法中增设非法获取、持有、使用数据罪以及非法破坏、删除、压缩数据罪，形成完整的涉数据犯罪的法律体系。

四、构建数据犯罪证据的审查判断规则

理论上来讲，数据犯罪证据与大数据技术密切相关，不仅仅作为一种事实材料存在，其更大的价值性体现在作为一种思维方式、分析方法、分析技术存在，应当将其视为运用大数据技术、方法、思维等方式方法用以证明案件事实所取得的一切材料，是集物证、书证、鉴定意见等证据种类于一身的综合体。但司法适用中，还是要将数据犯罪证据放置于现有的法定证据框架中进行研究。刘品新教授在《论大数据证据》中将数据证据视为鉴定意见的一种类型，大数据证据无疑是一种专业性或科学性很强的证据，其结论部分的意见表达是普通人无从凭借常识就能理解的。而在我国现行法律框架中，只有鉴定意见与之相符，将大数据证据纳入鉴定意见之列，既具有形式上的亲缘性、可比性，也满足司法追求经济性的原则。

数据犯罪证据与其他的证据在内容和载体上存在不同，证据在法庭展示内容，接受证明力评价方法上必然与其他类型的证据有所差异。因此，数据犯罪的审查判断应当从审查方法与证明机理上完善相应的规则。首先，证据最终转化为定案依据必须发挥法官的能动性，将证据内含的客观证明力转变成为主观的内心确信，这一过程离不开证明方法的支撑和过渡。从这一角度看，证据方法具有连接证据客观要素与证据主观效应的功能。证据方法是证据评价的手段，是揭示证据内容的工具，它使对证据证明力的评价有了可视化、可量化分析的现实可能。数据犯罪证据一般综合了书面结论、数据算法技术和海量电子数据呈现三个部分，即大数据证据本身具有内容与形式的综合性，也就需要借助融合性的证据方法。数据犯罪证据的证据方法其功能之一便是要让海量数据经过技术算法所形成的结果具备可视化、可为裁判者接收的展示形态。如果要确保数据犯罪证据方法能发挥预期证明作用，需要从书面分析报告、算法和数据三个维度出发论证融合性证据方法的科学性。其次，数据犯罪证据的证据能力以及证明力也是审查判断的重点。在数据犯罪证据的证据能力审查上，应当能经受住相关性和科学可靠性的检验。审查数据犯罪证据的关联性应主要包括两个层面：一是数据与数据之间的相关性，二是数据比对或分析结果与待证事实之间的相关性；审查证据的科学可靠性，应当审查证据所依赖的算法模型在多大程度上能满足可重复性、可解释性和可公开性三项标准。数据犯罪证据证明力的判断，需要考虑以下四个因素：信息连接点的选择；算法歧视的可能性；逻辑架构的合理性；算法结论的稳健性。