尚权推荐SHANGQUAN RECOMMENDATION

关键词：个人数据；数据权益；数据安全；利益衡量；法益识别

一、问题的提出

数字经济时代，算法基于其自动化决策的特性在个性化服务、精准化推荐、公共化管理等领域发挥着不可替代的作用，而个人数据在算法技术风险的裹挟下更容易遭受不同程度的侵害，如APP过度要求授权收集数据、精准营销带来的大数据杀熟、商业巨头的数据垄断等。数据融通带来的权利侵害不断频繁的背景下，司法机关对侵犯个人数据类犯罪的规制路径呈现出明显的滞后性，具体而言：其一，我国立法与司法实践均表现出对个人数据与个人信息概念的混同。立法层面，我国采取分散式立法模式，《个人信息保护法》《数据安全法》《网络安全法》等法律法规中个人信息、个人数据、网络数据、个人隐私等概念层出不穷，刑法规定中对于“信息”与“数据”的法益保护范围也存在边界不清。司法层面，概念混同的情形也屡见不鲜，如杨光权侵犯公民个人信息案中判决书载明的检察机关指控部分分别使用“个人数据”“个人信息”“个人信息数据”指代同一对象。法学界对信息与数据的关系亦聚讼不断，呈现出信息与数据等同说、信息与数据相对说、信息范围大于数据说、信息范围小于数据说的不同局面。其二，由于个人数据与个人信息的概念混同，对侵犯个人数据行为的规制长期局限于对个人信息的刑法保护之中，即以侵犯公民个人信息罪为核心予以规制。在中国裁判文书网以“个人数据”为关键词检索，仅能检索出71件刑事案件，其中侵犯公民个人信息罪有39件，占案件量的54.9%；以“个人信息”为关键词检索，共检索出13225件刑事案件，其中侵犯公民个人信息罪有9928件，占案件量的75.1%。可见，目前司法实践普遍将“个人数据”等同于“个人信息”，以侵犯公民个人信息罪进行保护。然而这一保护路径过分侧重于对个人法益的保护，忽视了数据的财产权益、安全价值，必然导致对个人数据保护的局限。其三，传统的个人数据犯罪适用知情同意原则作为出罪事由，但又逐渐对出售已同意公开的个人数据是否入罪莫衷一是，比如对于行为人下载企查查等软件上的企业名称、地址、法定代表人等数据后向他人出售的行为，实务界看法不一，有观点认为成立侵犯公民个人信息罪，有观点认为不成立犯罪。不少学者也指出，数字经济背景下，知情同意规则为核心的数据保护模式难以实现个人数据保护与数据开发利用之间的价值平衡。通过什么路径实现个人数据的深度利用和有效保护之间的平衡，是数字经济时代亟待解决的关键性问题。

质言之，个人数据刑法保护的问题本质在于侵犯个人数据犯罪的理念导向仍停留在传统的私权主义窠臼，忽视了数字经济时代“数据安全与利用并重”的发展理念，未能提取出个人数据中所涵盖的个人信息权益、财产权益和数据安全利益三重价值，因而无法构建起体系化的个人数据刑法保护框架。数字经济刑法保护的关键在于及时转变对个人数据开展刑法保护的价值理念，建立起系统性的个人数据保护罪名框架，合理划定个人数据刑法保护的界限，从而实现精准有效打击犯罪、高质量服务经济发展大局。

二、个人数据的三重价值：数据人格权、数据财产权和数据安全

数字经济时代，个人在互联网上留下的每一项数据都会被永远铭记并形成精准化的数据画像，从而服务于商业营销、产业发展乃至国家战略。数据的要素价值逐渐凸显的同时，私人领域与公共领域之间的界限不断遭受冲击。个人数据之上附着的利益逐渐复杂化，个人信息保护的法理逻辑越来越难以支撑个人数据不断丰富的权益内容。从人格权益、财产权益、数据安全三重视角切入，可以发现个人数据之上附着了三重价值：以个人信息自决权为内容的数据人格权、以个人信息数据和非个人信息数据的区分为基础的个人数据财产权、以数据本体安全和数据信息安全为内容的数据安全。三重价值相互交织，不断丰富和扩展个人数据的价值内涵，同时也为个人数据的刑法治理带来严峻的挑战。

（一）数据人格权：个人信息自决

个人数据与个人信息是一对既紧密联系又必须区分的概念，区分两者有助于明晰刑法保护的法益对象，为个案裁判提供更为合理的论证路径。根据我国颁布的《数据安全技术数据分类分级规则》3.1规定，数据是指“任何以电子或其他方式对信息的记录”；3.5规定，个人信息是指“以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息”。这一概念界定类似于国际标准化组织ISO的界定方式，简言之，数据是信息的载体和形式，信息是数据的表达内容，在特定场景下彼此共存。但个人信息并不必然以数据的形式呈现，个人数据中能够直接或间接关联到特定自然人的数据才谓之为个人信息，两者的关系并不是完全重合、而是交叉竞合。因此个人数据与个人信息的区别在于：一方面，从权利性质上分析，《民法典》《个人信息保护法》都将个人信息放置于人格权范畴，具有极强的私权属性；而个人数据作为市场要素，在流通中不断实现自身价值增长，权利性质也从单一的人格权上升为包含人身、财产、公共利益等多属性的权利集合。另一方面，从权利主体上看，个人信息始终归属于个人信息主体；而个人数据经过利用方花费大量人力和技术成本形成可供流通使用的数据资源，利用方当然享有一定权益。简言之，个人信息权是附着于个人数据之上的一项权益，但并不是全部，剥离了个人信息权后，个人数据仍存在独立的权利内容，即个人数据之上的财产性利益和数据安全利益。

对个人信息的保护发轫于美国的隐私权理论。最初的隐私权概念限定为不愿被人知悉秘密的权利。随着互联网时代的更新迭代，传统的隐私概念不再足以适应社会现实需求，而逐渐演变成为“大隐私权”概念，更加强调个人对隐私的控制支配地位。而德国认为个人数据权利为人格权范畴。德国议会1977年公布的《联邦个人数据保护法》并不保护个人数据本身，但通过保护个人数据免受滥用，将对个人自由的保护延伸至个人信息领域，称为“信息自决权”。这是根据德国宪法有关人格尊严和人格自由而产生的“一般人格权”的具体化。个人信息权关乎人性尊严和自由。个人信息能够显现信息主体的生活轨迹，作为其人格的外在标志，形成个人“信息化形象”。个人作为目的性的存在，只有消除个人对“信息化形象”被他人操控的疑虑和恐慌，保持其信息化人格与其自身的一致性而不被扭曲，才能有自尊并受到他人尊重地生存与生活。目前我国对公民个人信息的保护方案是以“告知同意”规则为核心的个人信息自决模式。个人数据中蕴含的人格权内容即信息主体对于个人信息的自我决定权。信息处理者需要就信息收集和处理行为取得信息主体的“知情同意”，否则便会存在侵犯公民个人信息权的民事、行政和刑事法律风险。根据《个人信息保护法》第14条的规定，该“知情同意”并非一次性永久授权，当个人信息的处理目的、方式，所处理信息的种类等发生变化时，还需要重新取得信息主体的同意。因此可以说该条赋予了信息主体对个人信息的持续控制权。

（二）数据财产权：个人信息数据权益与非个人信息数据权益

个人数据在流通利用过程中逐渐衍生出人格、财产、安全等多重利益，并且在大数据时代下仍将不断发展其法律属性，传统的个人信息自决权无法涵盖个人数据中所包含的各种价值，必须发展出更加丰富的价值层次以回应数字经济时代的变革。有观点认为，数据新兴法益是数据本身的安全，这显然对法益的工具性解释，忽略了法益的本体论和目的论价值。这种观点在一定程度上揭示了数据安全这一价值，但是失之偏颇，忽略了数据之上附着的个人信息权、个人数据财产权等多种重要价值内容。质言之，个人数据犯罪的保护法益并非单个法益，而是作为一种法益集合，在不同特定关系的场景下呈现出不同的法益表征，不仅包括信息主体对个人信息的持续控制权（个人信息自决权）法益，还包括企业对个人数据处理后产生的财产权，以及国家安全和公共秩序法益。

个人数据根据其是否具有可识别性，应当区分为个人信息数据和非个人信息数据。这两类个人数据上附着的财产权益有所不同，有必要分别予以说明。个人信息数据具有可识别性，这导致其具有极强的人格权属性，其上附着的财产性利益与人格权利益之间的绑定关系非常紧密。该财产权益在性质上属于信息主体人格权的延伸，因此其只能附属于信息主体的人格权而受到保护。

非个人信息数据虽然不具有可识别性和标识性，但是其亦是个人身体活动产生的数据，也具有独立且巨大的商业价值。企业对非个人数据进行收集、统计、关联、挖掘、聚合后，可以将其用于日常管理和战略决策，为企业的市场经营活动提供重要助益。例如，在淘宝诉美景公司不正当竞争案中，淘宝基于用户的商品浏览、搜索、收藏、交易等行为痕迹，通过巨量数据的处理，开发并运营了“生意参谋”这一数据产品，并将其有偿提供给淘宝平台商家而获取了大量收益。根据《中共中央 国务院关于构建数据基础制度 更好发挥数据要素作用的意见》的规定，要建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运营机制。企业在数据的收集、处理、融合、利用过程中付出了大量的技术和时间成本，为数据本身的价值增值，以及数据赋能经济循环都做出了重要贡献，是推动数字经济发展、数据价值挖掘的主力军。承认企业对非个人信息数据享有财产权益，是对企业劳动投入的回报和鼓励。有学者甚至认为，个人数据具有单一性、零散性，其本身并无任何经济性和财产性利益，只有将个人数据财产权归属于企业主体，才能激发企业聚合和研发个人原始数据的动力，体现个人数据库大数据的巨大财产价值和商业利益。这种观点完全否认了个人数据这一原始生产资料的财产价值，虽然过于激进，但是其对于企业在个人数据开发中关键性地位的认识是十分准确的。

（三）数据安全：数据本体安全与数据信息安全

我国《数据安全法》第3条第三款将数据安全界定为“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。按照该条的规定，数据安全即：静态上，数据处于有效保护的状态；动态上，各数据处理主体对数据进行合法利用；同时，还需要在制度和技术层面实现数据在静态和动态上保持持续安全状态。静态的数据安全（即数据的有效保护状态）包括数据的完整性、保密性和可用性。完整性是指确保数据不被修改或损害；保密性是指确保数据免受未授权人探知、获悉、使用；可用性是指确保权利人能及时、有效地获取、使用数据。

数据是信息的载体，对数据载体的侵害，往往伴随着对信息内容的侵害。因此有必要对数据本体安全和数据信息安全进行区分。数据本体安全是数据安全的前提，数据信息安全是数据安全的核心。对数据本体与数据信息的区分具有逻辑的合理性。从性质上看，信息是内容，数据是媒介或载体；从依存关系上看，信息不一定依赖数据进行传递（也可以依赖如报纸等传统媒介进行传递），数据也不必然形成有效的信息（如乱码或缺乏显示工具的代码）；从运行规律上看，信息服从社会传播学的规律，侧重信息内容的生成、分享和限制等，而数据则服从计算机和互联网背景下的数字技术规律，具有工具性的面向。

对数据本体与数据信息的区分亦具有现实的必要性。数据本体安全与数据信息安全关涉的利益不同，关联的罪名相异。当剥离了数据之上的信息安全价值后，数据本体安全仅仅关注数据这一载体的有效保护和合法利用，其关涉的利益往往较小。如果数据并不涉及重要关键信息，其本身遭受非法获取、修改、损害、使用等行为所造成的社会危害性并不十分严重，往往只需依据妨害社会管理秩序罪进行处罚（如《刑法》第285条，非法获取计算机信息系统数据罪）。而数据信息安全强调的是数据信息免受非法获取、修改、损害、使用，需要根据信息本身的重要程度对行为的社会危害性进行判断。如果受侵害信息构成国家秘密或情报，那么应当以危害国家安全罪予以处罚（如《刑法》第110条，间谍罪；第111条，为境外窃取、刺探、收买、非法提供国家秘密、情报罪）。

综上，个人数据之上附着了个人信息自决权、企业数据财产权和数据安全三重价值，关涉刑法中国家安全犯罪、社会秩序犯罪、人身犯罪和财产犯罪等多种罪名。个人数据的刑法保护必须明确前述三重价值的存在，有效平衡三重价值之间潜在的冲突，从而实现对个人数据的周延保护。

三、侵犯个人数据犯罪的治理理念转换

（一）单一治理：私法赋权抑或行为规制

个人数据刑法保护的既有路径主要有两种模式，即私法的赋权模式和公法的行为规制模式。两种模式抗衡的背后是法律形式主义和法律实质主义两种研究范式的差异。法律形式主义要求法律概念有序化、法律规则明确化、法律体系制度化，因此要求通过私法赋权制度对个人数据予以保护。立法层面，我国《民法典》将数据与虚拟财产置于总则编第五章民事权利，意味着对个人数据予以专门权利化保护。学理层面，不少学者也遵循赋权模式，或将个人数据等同于个人信息置于人格权保护范畴，或认为个人数据具有明显的财产属性应当归于财产权保护范畴，或认为个人数据商业化利用中应用了独创性的加工方法形成衍生数据而具有知识产权的保护价值，其中衍生数据能够以可视化方式呈现的信息表达方式和信息内容的结合体，与商业秘密的特征基本吻合。正如前文所述，个人数据之上附着了包括人格权、财产权、社会秩序与国家安全等多层次、多样化的利益，欲对其进行条分缕析的权利划分注定是一件难事。私法赋权模式虽然极力想为个人数据争取特定的法权进路，但当今立法尚无定论，学术界也是聚讼不断。更为重要的是，数字经济背景下，信息的零边际生产成本、无差异性复制和即时传播等特征颠覆了物质、能量要素的独占性、排他性，立基于工业经济时代的产权保护理念难以有效调适这种颠覆性改变。

法律实质主义强调法律是混合物，法律的适用必须考虑标准、原则及其背后的实质性理据，包括公共秩序、多方利益、社会价值等。最彻底的实质主义便是公法意义上的行为规制。有学者认为由于数据具有互惠性、分享性、流动性和公共性等属性，应当将数据视为公共用品，立法者要综合考虑网络发展规律、技术和商业的进步、网络安全及公民的自由和发展等要素，使用强制性的公法规范数据收集、存储、流动、分享和使用的规则。近年来，公法规制模式在我国立法应用中越发广泛，比如《个人信息保护法》《数据安全法》《网络安全法》分别对数据的收集、储存、转让和使用等做出义务性规定，刑法中侵犯公民个人信息罪中“违反国家有关规定”的入罪前提也适为例证。行为规制模式虽然考虑到个人、企业、公众以及国家不同利益主体的复杂性和数据发展的产业化价值，但是其以社会公益为目的，无法对各相关方形成有效的正面激励，难免阻碍数据市场的形成。再者，伴随数字经济的高质量发展，世界在快速实现数字化转型，数据之上的利益期待也必然随之骤增，行为规制模式对数据权利的保护注定是迟滞且不周延的。

总之，数据法益具有私法与公法的双重利益结构，其直接关联数据主体、数据处理者的人身、财产利益乃至国家和社会公共利益。对个人数据犯罪法益的认定必须立足于具体场景化的识别、考量与权衡，从而呈现出不同的单个法益。

（二）二元保护：利益衡量与知情同意

数据经济时代下，以知情同意权为核心的个人控制论逐渐遭到质疑：首先，个人的数据权利难以符合排他性和可救济性的权利特征。个人在网络中留下的任何痕迹都形成个人数据，但却无法实现全流程监控、形成实际控制，甚至不知道自身数据权利被非法收集利用。其次，知情同意原则的实践可操作性较差。尽管APP在注册使用过程中大多设置用户对数据的收集和使用的同意条款，但是往往隐藏在冗长的合同文本中导致用户根本不会仔细查看协议内容，并且用户一旦不同意就会被禁止使用APP，因此用户实际上并无做出同意与否决定的自由选择权。最后，数据的重要经济和战略价值涉及产业发展和国家、公共利益，其价值属性导致个人控制论下的数据权利沦为纸上谈兵。数据往往承载多重利益，不可能将所有利益上升为刑法法益，而是不同场景下经过利益衡量筛选出最值得刑法保护的法益来认定具体罪名，因此对数据犯罪不应再局限于传统知情同意原则的价值判断，而应当兼顾利益衡量原则。具体而言：

1.一般个人数据——利益衡量原则

在多重利益交织的情况下，数据主体的知情同意原则将对个人数据的保护风险交由数据主体承担。但在大数据时代，一方面，个人无法掌控数据何时被收集、何时被利用，同意与否成为摆设；另一方面，对已公开的个人数据是否需要数据主体的二次授权，如果需要则如何取得海量用户的二次授权，如果不需要又该如何保障用户的知情同意权，这一问题本身没有得到很好解决。因此，对于一般个人数据应当转向以利益衡量原则为核心的价值判断标准。根据个人数据的流通规则，主要存在三个维度的利益冲突：一是数据主体与数据业者之间的利益冲突；二是不同的数据业者之间的利益冲突；三是数据主体、数据业者与国家安全、公共利益之间的利益冲突。在不同的利益维度下，选取何种利益上升为刑法法益涵摄出数据保护与数据流通的价值考量，需要作出审慎的利益衡量判断。

2.敏感个人数据——知情同意原则

敏感个人数据，包括生物识别、医疗健康、特定身份信息在内的个人隐私数据，直接关涉人格尊严与人格自由，如薛某侵犯公民个人信息案中行为人利用非法获取的被害人高考志愿填报系统密码，先后两次登陆被害人的填报系统篡改填报志愿，致被害人被非本人志愿的偏远地带省份院校录取，导致被害人抱憾终生。对于敏感个人数据必须采用知情同意原则予以严格规制，并且严格限定敏感个人数据的收集主体和使用范围。我国《个人信息保护法》虽然对敏感个人信息范围作出专门规定，但其规定范围有待商榷，诸如行踪轨迹之类的个人数据不仅与人格尊严相去甚远、又在疫情防控等公共服务中发挥至关重要的作用，将之列为敏感个人数据并不妥当。可以参考我国台湾地区“个人资料保护法”第六条的规定，把敏感数据限定在“民族、基因、性生活、医疗信息、健康检查、犯罪记录、宗教信仰”之内，并将“严重侵犯人格尊严和人身自由”作为兜底条款，为司法适用保留适当的裁量空间。

四、侵犯个人数据犯罪的规制路径

数字经济时代下个人数据资产化意味着数据主体、数据处理者、社会公共利益以及国家安全的多重利益冲突，个人数据逐渐呈现出集合化法益，价值判断也逐步转向利益衡量和知情同意的二元保护格局，因此需要对个人数据构建场景化路径，识别出最值得刑法保护的具体法益。

（一）数据主体与数据处理者之间的利益衡量

个人数据的商业化运行中首当其冲的便是数据主体与数据处理者之间的利益冲突。数据处理者未经数据主体同意收集个人数据，抑或经过算法技术将海量个人数据形成精细化标签从而实现精准广告推送、大数据杀熟甚至电信诈骗，这些手段已经屡见不鲜，直接关联着个人数据主体的人身法益和财产法益。因此，对于非法收集、存储、加工、传播、删除能够单独或者与其他信息结合识别特定自然人的个人数据，均应当以侵犯公民个人信息罪定罪处罚。尤其是在侵犯直接关涉人格尊严与自由的敏感个人数据的场合，知情同意原则应当作为不法行为入罪与否的核心判断标准，只要违反知情同意原则便成立侵犯公民个人信息罪。

对于直接关联到个人财产的数据，诸如非法获取他人账户密码转移支付宝账户资金、窃取虚拟货币的行为，由于其先后侵害了公民个人信息所蕴含的人格权法益和公民的财产法益，应当以侵犯公民个人信息罪和财产类犯罪数罪并罚。对于明知他人实施电信诈骗等违法犯罪仍利用公民个人信息为其提供广告推广等技术帮助，应当构成帮助信息网络犯罪活动罪与诈骗等犯罪共犯的想象竞合；但如果无法证明主观故意，可以考虑从数据处理者的义务角度出发是否成立拒不履行信息网络安全管理义务罪。

（二）不同的数据处理者之间的利益衡量

个人数据的商业开发与利用过程中，数据处理者运用新型算法技术将海量个人数据予以分析处理，衍生创造商业价值，形成独特的竞争优势。衍生数据作为稀缺资源，造成了不同的数据处理者之间的冲突迭起，“微博诉脉脉案”便是不正当竞争的典型体现。衍生数据经过数据处理者的算法深度挖掘与利用形成新型系统性数据，形式上具有著作权作品的保护特性，但却不符合著作权作品所要求的独创性。详言之，著作权保护的是作者的独创性表达，是体现了作者在某种程度上的取舍、选择、安排、设计等个性的智力成果，衍生数据只是根据算法模型自动生成，不能认定为具有独创性特征。但衍生数据可以作为商业秘密纳入刑法保护法益，市场主体往往通过自身注册用户获取个人数据，并经过开发算法技术加工整合，衍生数据不被公众知悉且提供了保密措施，具有秘密性与保密性；这些数据成为商家掌握客户群体、调整经营方式、精准营销的有力武器，并能够创造经济价值和商业利益，具有实用性与价值性，因此符合商业秘密的特征。非法获取、披露、使用衍生数据的行为，既侵犯了数据处理者的财产利益，又严重破坏了公平自由的市场竞争秩序，达到情节严重的程度，应当构成侵犯商业秘密罪。

（三）数据主体、数据处理者与国家安全、公共利益之间的利益衡量

如上所揭，个人数据包括数据本身和数据所指向的信息内容两个层面。对于运用各种技术手段侵害计算机信息系统或数据，如利用网络爬虫、木马植入、撞库拖库等技术手段严重侵害计算机信息系统及其数据安全，其加剧了个人数据的安全隐患和风险，侵害了数据本体安全所关涉的社会管理秩序法益，构成非法获取计算机信息系统数据罪、非法控制计算机信息系统罪或破坏计算机信息系统罪。如若相关行为涉及国家事务、国防建设、尖端科学技术领域则构成非法侵入计算机信息系统罪。

而对于利用各种技术手段非法获取、修改、损害、使用构成国家秘密或情报的个人数据，其行为不仅侵害了数据本体安全所关涉的社会管理秩序法益，还侵害了数据信息安全所关涉的国家安全法益，单个行为造成多个结果，应当成立侵犯计算机信息系统罪等相关社会管理秩序犯罪和为境外窃取、刺探、收买、非法提供国家秘密、情报罪等危害国家安全犯罪的想象竞合，择一重罪处断。

五、结语

数字经济蓬勃发展的时代背景下，个人数据的刑法保护既要精准打击侵犯数据犯罪，又要最大限度减少司法办案对数字产业的不利影响，以营造健康有序、充分竞争的市场秩序。个人数据作为新兴的集合化法益，早已超越“知情同意”为核心的个人控制本位，走向利益衡量与知情同意二元化的社会保护范式，其背后所产生的社会公共利益和国家利益要求数据保护的责任主体由个人为主转向以社会为主。因此，司法机关在查办涉数据类案件中可以根据个人数据涉及的不同场景运用不同的现有刑法罪名规制，以此合理建构刑法保护路径。与此同时，正是由于个人数据的公共性特征日趋加强，在数据保护领域不必拘泥于传统的刑事规制手段，而应大力探索预防性治理机制；或是借助检察公益诉讼制度，针对APP应用、快递行业、通讯行业等数据集中领域及时提起民事或行政公益诉讼，实现对数字经济的精准保护。

来源：刑事法判解

作者：侯光亮‍‍，中南大学法学院刑法学硕士研究生