大數據時代數據犯罪的類型化與制裁思路*

于志剛李源粒（中國政法大學，北京100088；馬克斯普朗克外國刑法與國際刑法研究所，德國弗賴堡）

大數據時代數據犯罪的類型化與制裁思路*

于志剛李源粒
（中國政法大學，北京100088；馬克斯普朗克外國刑法與國際刑法研究所，德國弗賴堡）

大數據時代的數據犯罪需要進行法律框架內的具體化與規范層面的類型化。對于數據犯罪危險的類型化方法主要有宏觀與微觀、主觀與客觀、靜態與動態三種路徑，從各種不同側面綜合剖析。數據犯罪的危險體現為不確定性及復雜性。對于此種危險的規范化需要從以基本權利為基礎的法益概念出發。應以信息論這一類型化途徑為依托，分析網絡數據的技術特征與數據的非物質性本質，從而實現向傳統刑法體系的合理嵌入。數據犯罪的制裁思路是建立“基本行為特征類型化模式+動態鏈條模式”的縱橫雙向模式：橫向制裁思路是建立以“基本行為特征類型化”為思路的數據犯罪雙核心制裁體系；縱向制裁思路是按照數據犯罪鏈條的步驟分割與過程整合，實現對于數據犯罪鏈條的全環節刑法規制。

網絡犯罪；數據犯罪；刑事立法；刑事政策；大數據

從信息安全角度看，大數據是指規模和格式前所未有而又相互關聯的大量數據，搜集自企業的各個部分，技術人員可以對它們進行高速分析。①參見王倩、朱宏峰、劉天華：《大數據的安全現狀與發展》，《計算機與網絡》2013年第16期。大數據時代的技術和現實變革是圍繞著數據的“量”和“價值”展開的。大數據的價值實際上可以體現在各個法益層面，是一個貫穿個人、社會和國家法益的多層次體系。但是，數據的價值與傳統法律保護對象的本質性差別、數據法益的價值衡量困難、大數據技術相關犯罪對法益侵害結果的相對間接性，都帶來了不同于傳統法律制度的新的時代挑戰，最根本的挑戰即向數據-信息法學研究范式的轉變的現實必要。在這個意義上，可以將大數據對刑法體系提出的挑戰歸結于兩方面：其一，大數據究竟帶來了哪些可以具體化的特別危險；其二，這些具體化了的危險所侵害的法益應當如何評判并予以類型化，即數據法益侵害的本質特征如何與傳統法益保護法律體系對應和銜接。這涉及一系列以數據為中心的利益衡量與制度構建。

一、大數據時代的法律制度和理論關注點——數據犯罪危險的具體化路徑

針對大數據對于刑法的時代沖擊，筆者于2013年關注了大數據時代數據犯罪的危險性和危害性，并從傳統刑法罪名適用可行性的角度進行了檢索和分析。②于志剛：《大數據時代計算機數據的財產化與刑法保護》，《青海社會科學》2013年第3期。2014年筆者正式提出了以數據犯罪為視角的刑法應對思路，主張充分重視大數據時代的數據法益的非物質性，針對現有刑法對數字數據法益保護思路的偏離與問題，從宏觀思路上一方面要拋棄以“內部數據”和“外部數據”相配合的“二元化”數據解釋思維，另一方面要拋棄“數據”必須附著于“信息系統功能”的“三點式”數據解釋思維，進而提出大數據時代應對刑法危險應形成以“非法獲取網絡數據罪”和“非法獲取數據罪”為雙核心罪名的整體思路。③于志剛、李源粒：《大數據時代數據犯罪的制裁思路》，《中國社會科學》2014年第10期。2015年，針對《刑法修正案（九）》對我國《刑法》第253條之一的修改，學界的研究逐漸更細致地集中于侵害公民個人信息犯罪的層面，確定了一系列大數據時代刑法個人數據保護的困難問題，包括網絡數據危險具體化及數據制度下的原則、概念、路徑等問題，同時嘗試建立以認證和可識別性為特征的網絡個人數據概念。有學者從刑事訴訟法方面以網絡平臺為視角提出了個人信息保護視野下的電子取證規則構建思路，從數據類型、公開范圍、私密等級進行了數據分級，并提出了一些程序上的原則。④王燃：《大數據時代個人信息保護視野下的電子取證》，《山東警察學院學報》2015年第5期。但是，這些研究都還未能形成一條由技術現實變革、危險危害確定、法律概念、法律規范實質內涵、法律體系性調整的完整研究推進軸線，筆者于本文中試圖從這一完整軸線進一步深化刑法領域對大數據相關問題的研究。

（一）大數據基本法律危險具體化：多種路徑的綜合剖析

社會系統用生產力來使外部自然社會化，用規范結構來使內在自然社會化。面對內在自然，則用遵循有效規范的交往行為來捍衛自身，通過需要加以論證的規范完成對內在自然的整合，用行為規范以及估價規范所提出的正確性要求和恰當性要求，與外部自然的真實性要求保持一致，但在先驗上不能保證生產力的發展和控制能力的增強能夠引起符合社會系統控制命令的規范變化。⑤參見［德］尤爾根·哈貝馬斯：《合法化危機》，劉北成、曹衛東譯，上海世紀出版集團2009年版，第11-16頁。網絡所帶來的最大挑戰是“社會需要保證秩序：內部秩序與外部秩序”。⑥Brenne，Susan W.，Cybercrime and the Law.Challenges，Issues，and Outcomes.Northeastern University Press.Boston 2012.P.189.大數據是一個內涵十分豐富、外延非常宏大的概念，它首先是一個技術、商業、社會管理范疇的變革。信息法受到關于技術的法律一樣的自然科學與技術之變動本性與法律之相對靜止本性之間緊張關系的支配，從法律政策的視角來看，法律應當置身于技術層面之外，并專注于創設輪廓分明的結構，以克服這種緊張關系。⑦參見［德］烏爾里希·齊白：《全球風險社會與信息社會中的刑法》，周遵友、江溯等譯，中國法制出版社2012年版，第289頁。

面對大數據時代的一系列法律制度視界下的審視，必須將通常的、寬泛的、生活和現實的危險進行具體化與類型化，才能進一步對大數據進行法律規范意義上的分析，實現信息技術向法律體系的融合，重整法律規范體系。這需要從基本權利和數據保護領域著手。隱私體現個人基本權利法益，亦對社會制度起到重要的保證作用。大數據的危險首先在隱私領域引起廣泛感知，同時，數據犯罪也最先在侵犯公民個人信息領域顯現出巨大危害。因此，檢視基本權利，進而將大數據的危險從基本權利出發而進行具體化，從而進一步尋求各法律部門的法律規范構建，將嚴重的數據犯罪危險進行刑法規范的類型化，是一個合理且循序的分析思路。在計算機犯罪領域，德國最初也是于1960年起首先于針對隱私犯罪的領域展開研究的，這些研究以民法和憲法討論為主，刑法次之。①參見前注⑦，烏爾里希·齊白書，第300頁。可見，由隱私的基本權利開始，進而延伸至刑法領域的研究過程，符合對于信息技術犯罪的研究規律。至于數據保護法，是以基本權為基礎，涉及民法、行政法、刑法的綜合法律部門，其重心在于數據，意在探索一個以跨學科的橫剖對象為解決方法的、應對現代信息科學技術“第二次工業革命”的實用路徑。②同前注⑦，烏爾里希·齊白書，第291頁。對于大數據來說，落實到數據保護領域，尋求技術與部門法間的間接法律危險具體化和類型化，是必要而且必須的。大數據所帶來的數據危險的具體化路徑有三個主要方向，需要依據多種標尺進行全面的綜合分析。

1.宏觀與微觀層面

大數據是整體性概念，大數據處理宏觀層面上能在智能分析的基礎上進行更大容量數據和非結構化數據的處理。③同前注①，王倩、朱宏峰、劉天華文。但是網絡數據安全往往直接觸及公民個人信息安全的領域，此即與個人相關的數據是大數據時代的“小數據”安全問題。其包括事前預測、被側寫的威脅，以及基于數據的虛擬真實性與現實真實性的錯位，基于敏感信息挖掘而對個人生活領域形成深度侵犯，以及通過身份盜竊危害他人人身、財產安全的行為。④參見李源粒：《網絡數據安全與公民個人信息保護的刑法完善》，《中國政法大學學報》2025年第4期。大數據處理在微觀層面會提高如下風險：個人遭受刑事犯罪（如釣魚、身份盜竊）侵害的危險；羞辱感和數據公開侵害（如性、健康和其他敏感信息）；歧視和難堪；信息永久性；情景脫離（即使用理由改變）。⑤這兩個層面存在著聯系和互動。一方面，整體性的大數據危險可以透過宏觀層面，滲透和影響到微觀層面，進而威脅到個人數據相關權利的安全。另一方面，存在著貫穿兩個層面的數據法益，如純粹將個人作為客體的操作、數據側寫、減損對可信賴性的期待的危險。⑥Dracker t，Stefan，DieRisikenderVerarbei tungpersonenbezogenerDaten.Duncker&HumblotGmbH.Ber l in2015.S.306-311.

2.主觀與客觀維度

信息的主觀價值不是主觀的反應，而是在于信息自身沒有限制，處于極不確定的狀態，因此需要法律中確定一個點，來確定客觀上無關聯的范圍，例如，“公開”就是一個可以絕對合法化的打斷信息保密要求的點。這種值得保護的對信息的權利是重要的。⑦Druey，JeanNicolas，InfotmationAlsGegenstandDesRechts.Schul tesPolygraphischerVer lagAG.Zür ich1995.S.59-61.歐盟法律框架下，經過幾十年的判例和立法發展，在202 2年數據法律改革時，對個人數據的信息基本權利，⑧recitals2、7、129，GeneralDataProtectionProposal，COM（2012）11final（GDPR）.已經取代了隱私權的保護路徑。⑨Fuster，GloriaGonzalez，TheEmergenceof PersonalDataProtect ionasaFundamentalRight totheEU.Springer Internat ional Publishing.Sw iterland 2014.P.243.

關于信息自決權，認為科技導致數據超出計算機而廣泛存在于日常生活中的普遍性概念主張將保護法益分為客觀和主觀兩個維度，其中的客觀維度表現為信息以通信方式實現的模式是客觀價值秩序的一部分，其中的主觀維度表現為個人的自我決定實現和發展，有對于信息泄露的控制權利，因此其界定各競合性權利范圍邊界的那個“確定的點”，體現為“禁止數據處理，除非有許可的立法規范”。⑩Dracker t，Stefan，DieRisikenderVerarbei tungpersonenbezogenerDaten.Duncker&HumblotGmbH.Ber l in2015.S.264.允許對于大數據管理至關重要。??Wei cher t，Thi l o，BigDataundDatenschutz.ZD2013，251（255）.大數據應用中，同意、法定授權、是否公開可獲得、數據是否加密，都是允許制度進行權衡和變革的。①Hoeren，Thomas（Hrsg.），BigDataundRecht.Ver lagC.H.BeckoHG.Ber l in2014.S.72-81.例如，在域外，對于幼兒的同意權已經有了更為嚴格的立法，②Article 8，GDPR.法國剛通過一讀的《國內數據保護法令》，規定父母未經允許擅自公開子女的私生活，最重可面臨一年監禁并處罰金4.5萬歐元。③參見陳丹：《法國禁家長網上“曬娃”違者要被罰款坐牢》，ht tp://news.xinhuanet.com/wor l d/2016-03/04/c_128772107.htm，2016年3月8日訪問。這便是從幼兒網絡隱私權角度進行的限制。對于具有附屬關系、雙方力量對比懸殊情形下的同意制度應作特別處理。④Hoeren，Thomas（Hrsg.），BigDataundRecht.Ver l agC.H.BeckoHG.Ber l in2014.S.74.與此類似，對于如基本需求供應（交通、電力）、醫療健康行業（基因篩查、癌癥生物信息數據庫等）等商業領域的數據處理是否應特別關注，也是需要探討的。

3.靜態與動態視角

大數據時代的海量數據具有動態價值，對一系列的數據收集、存儲、挖掘和應用能體現出巨大的政治、經濟、軍事、生活價值。這種數據處理過程中，可能侵害到宏觀的整體數據環境與微觀的個人數據權利，也可能侵害到主觀與客觀方面的個人法益。此外，從時間上看，使用數字傳輸設備使得遠程通信失去了“消逝性”，具有“持續可追尋”，⑤BVer fGUr tei lvom2.3.2006，2BvR2099/04=BVer fG115，166.從而會產生信息永久性的危險。

從法律制度層面衡量，數據保護制度中具體權利義務的構建，實際上是大數據的技術變革進步與公民個人信息保護之間的一種微妙的平衡，所尋求的保護點是大數據中個人對信息控制和支配權利的關節點。⑥同前注?，李源粒文。歐盟202 2年數據改革立法框架中提出了“被遺忘權”，⑦Ar tic le17，GDPR.谷歌已在歐洲搜索中實施這種“被遺忘權”。⑧參見佚名：《谷歌下周在所有歐洲搜索結果中實施“被遺忘權”》，ht tp://tech.163.com/16/0305/14/BHDD1C5300094OE0.html，2016年3月8日訪問。這些是歐洲數據保護在制度體系上的有益嘗試。

（二）大數據危險的不確定性

衡量信息價值的復雜性提出了大數據危險的不特定性難題。數據危險主要體現在三個方面，所涉及的分析路徑主要是數據的個體層面、主觀維度和動態視角。

在數據監控方面，數據敏感度是衡量數據侵害強度的標準之一。Kennzeichenerfassung案的判決認為，從信息自決權的框架下應當可以引出前置保護特征，即對于行為自由和隱私的保護應當建立“個人危險的分級”。對于強度標準的確定，可以參照與個人的相關度、歸屬性和秘密性。⑨BVer fGUr tei lvom11.3.2008，1BvR2074/05，2074/07，BVer fGE120，378.我國2023年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》中區分了個人信息在與主體關聯度上的不同層次。該指南第3.2條規定，個人信息可以分為個人敏感信息和個人一般信息。該指南第3.7條規定，個人敏感信息是指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。德國《數據保護法》第3條規定了特殊種類的個人數據，是指有關民族和種族出身、政治主張、宗教或哲學信念、黨派、健康或者性生活的說明。

除了敏感度以外，所收集數據的數量、時間，也都是稱量數據侵害強度的標準。歐盟法院在2014年判決數據存儲指令無效，⑩2006/24/EC，OJL105，13.4.2006，p.54-63.理由是它“包含了大范圍的和尤其嚴重的，對尊重私人生活和保護個人數據的基本權利的侵犯，并且沒有對此種干擾進行極其必要的限制”。①Court of Justice of the European Union， Judgment in Joined Cases C-293/12 and C-594/12.該判決采用的就是數量強度標準。強度標準是與個人數據（公民個人信息）概念中的“可識別性”以及數據應用中的“目標”緊密相關的。

在數據處理方面，數據處理過程是將數據整合，并從中挖掘信息的過程；從功能上看，這一過程在某些情形下可以等同于對數據的侵害。Kennzeichenerfassung案的判決認為，將個人信息放置在一起，同更多的信息聯系起來，構成了一種對潛在的個人相關領域的侵害可能性，其強度與制作他人隱私照片相似。②BVer fGUr tei lvom11.3.2008，1BvR2074/05，2074/07=BVer fGE120，378.同時，數據處理和數據挖掘的過程都依托于計算機信息系統、云計算架構等自動化處理設備。因此，數據處理過程的危險當然也包括對信息系統的攻擊。

在數據應用方面，數據的使用是指個人數據在處理操作之外的應用，③Art. 3，Bundesdatenschutzgesetz （BDSG）.經營者對采集到的個人數據，未經許可進行二次開發利用或者定向強制推銷，也是個人信息濫用的方式之一。④參見胡其峰：《大數據時代更要保護個人信息》，《光明日報》2024年3月7日第7版。此外，經營者還可能將經營活動中掌握的個人信息進行買賣而獲取非法利益，或者利用非法收集到的消費者個人信息實施詐騙。⑤參見鄧杰：《大數據時代更要保護個人信息》，《光明日報》2024年3月7日第7版。另外就是，以定位廣告（retargeted advertising）的方式進行騷擾，而且暫時沒有惡意利用的企業往后也可能會實施這種行為。目前，地下數據產業鏈已經漸漸形成，包括金融賬號數據、電商訂單數據、考試培訓班數據、身份信息數據等，經過專門“數據掮客”的拼湊和再加工，被轉售用于其他非法活動，或者直接用來進行詐騙。⑥參見佚名：《探秘國內地下數據交易內幕》，h t t p://www.duoyun.io/news/6838，2016年5月3日訪問。從大的動態過程上看，數據危險包含數據收集—數據處理—數據使用三個階段的總體危險。

（三）數據支配權限利益沖突：數據獲取主體、持有主體、請求主體與數據對象的交錯關系

從現實中數據的基本問題來看，數據支配權限利益沖突主要體現為操作上的數據對象和對數據有支配權限主體之間的分離和疊合，并由此導致數據權利的沖突。

在數據支配權利方面，公司對于用戶數據的巨大利益通過版權、數據庫所有權制度來保護。但是，公司數據資產產生于每個網絡用戶或產品用戶的數據，公司對數據的支配權和個人對數據信息的決定權之間，有相當大的沖突。這種沖突如何權衡，實質涉及大數據“金礦”的經濟利益分配原則。對于企業與雇員間的數據處理權限分配有數據存儲載體性質理論和腳本文檔理論兩種.⑦Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.K.BeckoHG.2013.S.55-56.前者認為凡是由雇主提供的數據存儲載體上的所有數據都歸雇主所有，而后者認為最原始的腳本文檔歸雇主所有，反之歸雇員。⑧Wegener，Chr istoph/Heidr ich，Joerg，SichereDatenwolkenCloudComput ingundDatenschutz.MMR2010，803.在大數據時代，數據加密、數據合同、數據存儲與處理匿名化和數據內容的分離、數據與個人的關聯度（敏感性、獨特性）、數據作為公共物品的產權界定最優化制度選擇等，都應當成為新的數據經濟利益分配的考慮因素。版權和原有的數據支配權限界定應當考慮調整。

在數據披露制度方面，公司和運營商掌握的數據財產支配權利受到國家刑事偵查和調查取證制度的約束，因為涉及用戶的個人數據，所以三方主體的不同訴求于此交織在一起。遠程通信和網絡調查中，確認行為人身份和對其進行追蹤是首要的。在有關機關調查中，服務商提供合同數據的義務對于網絡刑事追訴十分重要；⑨Art.17，Art.18，ConventiononCybercrime，CETSNo.185.對接入數據（P IN，PUK，密碼）的獲取和解密應當與對密碼數據的保護和數據終端密碼的保護相平衡。①Sieber，Ul rich，St raf tatenundSt rafver folgungimInternet.Ver lagC.K.BeckMünchen.2012.S.117-119.這里所體現的利益沖突，是作為數據持有主體的公司與作為數據請求主體的國家機關之間的交錯關系；同時，因為數據根本上是從作為數據獲取主體的個人（公司用戶）處產生的，所以個人同樣間接地被卷入此種復雜情景之中。美國蘋果公司以“構成危險的權力”和對數字時代的個人隱私造成“災難性影響”為理由，正式回應一名美國聯邦法官所作的裁決，拒絕協助美國聯邦調查局解除加州強奸殺人案中涉案智能手機的開機密碼。②參見徐勇：《蘋果正式回應法官拒絕“解鎖”涉案手機》，ht tp://www.hxnews.com/news/gj/gj xw/201602/26/828508.shtml，2016年3月8日訪問。此案集中體現了這種三方關系通過制度予以規范的必要性。若再考慮到跨國性的數據披露制度問題，這種情況會更為復雜。

除了上述公司與個人、公司與國家機構的數據權利沖突之外，在“個人”層面上仍存在大數據的沖突關系。大數據隱私有公共產品特性，對個人私有信息不加關心有負外部性效果，因為大數據的碎片關聯與發掘能力，會導致社會維度上隱私的集體協作困境。③Fair f ield，HoshuaA.T./Engel，Christoph，PrivacyasaPubl icGood.2014Conference“t ransat lanticdiglogueonsurvei l lance methods”.這屬于數據的公共物品屬性難題。

二、網絡刑法、傳統刑法的體系契合與時代轉型——數據犯罪特征的刑法類型化

刑法作為最為嚴厲的制裁手段，具有謙抑性、片段性。因此在大數據時代，數據相關法律制度與刑法體系的制度銜接中，立法者需要尤為謹慎，在危險與法益保護的權衡之間做精細把握。

（一）作為刑法規范的本質特征：“法益侵害危險+危險的規范化”

德國學者指出，網絡犯罪的特有屬性與傳統法律的根本特征是“完全對立”的。④同前注⑦，烏爾里希·齊白書，第305頁。刑法學者需要考慮的是，如何在這種對立之下，盡可能地尋求法律體系的完整性、穩定性，以應對數據技術性和危險性所帶來的沖擊。

1.以憲法引導出的法益概念為基礎

刑法的法益以憲法為基礎，刑法所保護的法益是從憲法中引導而出的，其產生于憲法中所載明的建立在個人自由基礎上的法治國家任務，這個任務為國家的刑罰權界定了邊界。這種基于憲法的法益概念是，在以個人及其自由發展為目標進行建設的社會整體制度范圍之內，有益于個人及其自由發展的，或者是有益于這個制度本身功能的一種現實或目標設定。⑤［德］克勞斯·羅克辛：《德國刑法總論（第1卷）》，王世洲譯，法律出版社2005年版，第15頁。在網絡時代，刑法規范的解釋、修改或者新增，都應當以憲法基礎上的法益保護為正當性基礎和刑罰權邊界。刑法規范的內容，應當在此目標的指引之下，針對信息的特征作出調整，確定具體的刑法規范。科技進步表明，具有社會危害可能性的新技術不能完全為現有刑法所規范。建立在合乎憲法的價值秩序基礎之上的刑法目標是，通過對法益的保護來確保公共福利和法秩序和平，在新技術環境下依據報應和預防理論實現其保護目的。⑥Jones，Chiristopher，Mobi leinternet f?higeGer?teimSt raf recht.LogosVer lag.Ber l in2014.S.62-63.

以德國為例，大數據危險的憲法法益基礎，主要可以歸于人的尊嚴，⑦Art1，GrundgesetzfürdieBundesrepublikDeutschland（GG）.人的自由和發展，⑧Ar t2，GG.通信、郵政和電信秘密，⑨Ar t10，GG.住宅不受侵犯幾個條文。⑩Ar t13，GG.這些對憲法法益的危險，構成了相關刑法法益保護的基礎，確立了刑法規范的保護目標。因為目標是實定法的解釋和合法化標準，而又不同于所屬實定法的內容，所以教義學的任務是將刑法規范固定下來，以確保其形式規范同時也具備適當的責任基礎。①Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t tot ioKlostermannGmbH.Frankfur tamMain1989.S.14.

刑法對大數據危險的規范確定，是將危險規范化的過程。刑法規范是受限于語詞表述的思維的實體，有三種不同的效力條件，即規范的信息、規范的實際構造（即合法性）和規范的效用分析。其中，刑法規范的效用功能與規范目標是不同的，需要加以區分。刑法規范的效力并不是規范合法性的標準。②Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t tot ioKlostermannGmbH.Frankfur tamMain1989.S.133-135.將現實的刑法法益以規范的形式確定下來，需要該規范既遵循法益保護的規范目標以滿足合法性要求，又以恰當的語詞形式確定規范的責任違反內容。這需要選擇法益保護目標與刑法構成要件條文的恰當節點。對于大數據時代的數據犯罪危險來說，則是應當確定數據危險所造成的法益侵害與傳統刑法體系之間在刑法規范層面的恰當的“嵌入點”。

從根本上看，需要將數據危險具體化到法益侵害實質特征上，再以此為基礎尋求刑法體系中構成要件的類型化。例如，德國的Caroline案判決認同了依據自己對于圖像權利的公開權限，將保證私人空間作為對整體性個人權利的具體化，認為保護需求來源于個人在特定情境中所產生的表現形象之可能性，并將此在個人空間以數據形式固定下來。其關注的是信息的構建性價值，是個人“公開性形式”。③BVer fGUr tei lvom15.12.1999，1BvR653/96=BVer fG101，361.這同數據犯罪中的非法獲取行為所保護的“非公開數據”形成了實質上的契合點，通過將人的尊嚴、自由和發展等基本權利法益進一步細化和深化，確定侵害的實質特征，從而得以將侵害行為進一步規范化和類型化。因此，將整體性的大數據危險不斷剖析和具體化，從而提煉出權利侵害本質特征，是尋求危險規范化的正確路徑。

從主體上看，公司（如臉書等社交網絡、百度等搜索平臺、亞馬遜等購物平臺）已經成為相當重要的數據持有主體，在數據犯罪中，依憲法引出的法益保護必要，需要進一步考慮主體問題，因為憲法中的相關法益都具有特定的內涵，而私人數據處理的危險并不包括在內。就此，Hoffmann-Reim主張，現在來自私人領域的危險已經超過了對由國家管理產生危險的容忍，因此可以通過將數據保護的新領域與其他危險增加的社會領域相比較，從而使私人領域承擔和國家相同的保護等級。信息自決權領域的基本法已經實現了由保護不受國家侵害轉向了對多維度和多極化的信息社會通信發展保護的要素。④Dracker t，Stefan，DieRisikenderVerarbei tungpersonenbezogenerDaten.Duncker&HumblotGmbH.Ber l in2015.S.176-177.這些私人領域的公司已經形成了強大的獨立力量和自治體系。⑤Jones，Chiristopher，Mobi leinternet f?higeGer?teimSt rafrecht.LogosVer lag.Ber l in2014.S.67.德國《數據保護法》第28條就商業性用途的個人數據處理和存儲做了相應規范；根據該法第43條和第44條，違反商業性用途的具體規定而對數據的廣告、市場調查等處理與使用行為，都應當承擔刑事責任。

2.因違反數據保護制度所產生危險的規范化

大數據所產生的刑法危險較之于傳統刑法的危險更為復雜，這些侵害刑法法益的危險都具有不確定的特征。需要先確定大數據危險的條件和特征，以尋求進一步的刑法規范化。

“不確定性”本來就是規范的危險概念的應有內涵。Horn在描述具體危險概念時，就將“法益侵害結果不發生的理由無法得到說明”作為危險的本質特征。⑥Horn，Eckhard，KonkreteGef?hrdungsdel ikte.Ver lagDr.Ot toSchmidtKG.K?ln1973.S.115.K i n d h?u s e r則認為具體危險是對于確定存在的震動（Erschütterung der Gew i?heit），是對于法益安全的無能力（Unf?higkeit），進而損害作為保證個人自由發展手段的法益價值。①Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t totioKlostermannGmbH.Frankfur tamMain1989.S.132.危險之所以危險，往往是來自于對現實世界的難以掌握。②黃榮堅：《刑罰的極限》，元照出版社1999年版（臺北），第232頁。盡管傳統刑法理論已涉及不確定性問題，但大數據技術還是為數據犯罪危險的規范化帶來了特別的困難。大數據危險侵害中有相當大的部分屬于行為對象（數據）與保護法益（從憲法中引導出的法益概念）相分離的情形。從本質上說，體現在規范中的“嵌入點”特征，在規范中是以數據形式確定的，然而，其法益基礎則是與公民個人相關的基本權利。因此刑法規范的目的可能不是對數據自身效力的保證，對規范自身效力的保證可能僅僅是為了保護其他規范的目標。③Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t totioKlostermannGmbH.Frankfur tamMain1989.S.132.這是一種間接的規范化路徑。

同時，數字個人（e-p e r s o n）的概念已被提出，④Leary，MaryGraw，TheThi rdDimensionof Vict imizat ion.State-JournalofCriminal Law2016，Vol.13:1（2016）.這需要以個人數據直接作為新的保護法益，從而采取一種直接的規范化路徑。其所體現出的解決思路是試圖直接以個人數據為出發點，發展出直接圍繞數字個人的法益體系，將個人數據直接作為行為對象、將對個人數據的分割直接作為法益侵害實質，實現規范目標和規范效力的統一。對于身份盜竊的犯罪化就是這一直接路徑的體現。

此外，數據內涵復雜，數據侵害行為建立在以信息權利為依據的數據保護制度之上，對于嚴重侵害個人數據的行為，應當以刑法進行處罰，此處則涉及刑法與數據保護法律制度的關系。

（二）作為犯罪對象的數據：“數字技術特征+非物質法益本質”

大數據時代的數據有兩個方面的特征，一是依托于數字信息技術和網絡通信技術等現代科技手段，即數字技術特征；二是其本質為信息，具有非物質性特征。分別從這兩個側面入手，可以提煉不同的規范化特征，得出電腦特質論和信息論兩種不同的類型化途徑。由此可見，建立在信息自決權之上的基本權利和建立在信息系統可靠性和完整性之上的基本權利之間（即IT-Grundrecht）是有重迭的，此處涉及刑法中數據法益概念構建的兩種路徑。

1.依電腦特質論的擴張

在計算機通信領域所強調的是通過具體的技術對信息進行作用，以技術對廣義的信息做限定。信息技術是指在計算機和通信技術支持下，用以獲取、加工、存儲、變換、顯示和傳輸電腦中各種形式的信息，包括提供設備和信息服務兩大方面的方法與設備的總稱，其概念本質是“技術”。⑤王景中、徐小青編：《計算機通信信息安全技術》，清華大學出版社2006年版，第3-4頁。而數據就是可以輸入到計算機并由計算機處理的對象，⑥許洪杰、李志玲、鄭敏編：《計算機應用基礎教程》，清華大學出版社2006年，第4頁。信息時代的數據泛指一切保存在電腦中的信息，包括文本、圖片、視頻等，也是信息的代名詞。⑦參見涂子沛：《數據之巔》，中信出版社2024年版，第256-257頁。因此，計算機信息系統犯罪中的數據和信息，都是以技術性作為限定的，這里的數據和信息不但具有同質性，在形式上也都表現為計算機信息系統的技術處理對象。所以，刑法中所保護的法益是計算機信息系統安全，具體是指確保以電磁信號為主要形式的、在計算機網絡化系統中進行獲取、處理、存儲、傳輸和利用的信息內容，在各個物理位置、邏輯區域、存儲和傳輸介質中，都具備機密性、完整性、可用性、可審查性和不可否認性，這些信息內容與人、通信網絡、環境有關的技術和管理規程形成有機集合。⑧同前注⑤，王景中、徐小青編書，第5-6頁。在本質上，刑法中所應保護的虛擬法益，就是要通過信息系統安全的技術限定性，來保障該領域的信息安全，二者密切相關，但各自獨立。

德國《刑法》將計算機犯罪分為三種，即第202a條、第202b條的電腦間諜，第303a條的電腦破壞，以及新增的針對嚴重的電腦破壞加重處罰的第303b條，此外還選取了詐騙和偽造兩種傳統犯罪，專門針對電腦操縱行為進行了類型化，來規范電腦操縱行為中類似傳統上刑法規定所調整的行為卻無法以傳統的規定加以規范的新型法益侵害行為。至于所謂的使用盜竊則是“未經授權的電腦使用”，被置于對電腦硬件的侵害類型下。①seeSieber，Ul r ich，Informat ionstechnologieundSt raf rechtsref orm.Car lHermannsVer lagKG.K?lnBer l inBonnMünchen2985.這基本與歐盟2002年網絡犯罪公約和歐盟框架決議的規定一致。②OJC203E，27.8.2002，p.109-113.我國臺灣地區學者從電腦特質的電腦犯罪基本原理出發，對上述分類進行分析，認為可以將電腦犯罪分為：（A）非法進入；（B）窺視、機能干擾、破壞軟件或硬件機能、復制軟件、不合理操作電腦等行徑；（C）與脫離該電腦或電腦系統后所為泄露或販賣咨詢、獲取財物或不法利益、宣傳或散布咨詢等。據此，電腦操縱包含（A）和（B），電腦間諜包含（A）、（B）和（C），電腦破壞指（A）和（B）。③李茂生：《權力、主體與刑事法——法邊緣的論述》，翰蘆圖書出版有限公司1998年版，第183頁。筆者將此種觀點稱為電腦特質論，其重點在于將計算機自動化處理特征納入傳統刑法構成要件中。

由于大數據是傳統方式所不能處理的海量數據，依附現有技術定義下的“數據”概念則有涵蓋不足的困擾。例如物聯網廣泛采用的RFID電子標簽，與應用系統間的數據傳遞本質上是一種有發送數據的信號發射，信號發射中有數據交換，但呼叫中接收方是不確定的，也不是非公開的。在刑法上的“傳輸數據”概念中，數據傳輸是有目的性的、非公開的、僅發送者和接受者有支配權利。④Jones，Chrisropher，Mobi leinternet f?higeGer?teimSt raf recht.LogosVer lagBer l in2014.S.113-114.因此RFID系統中由物端產生的數據難以解釋為“計算機信息系統中存儲、處理和傳輸的數據”，這種可能包含重要數據內容的網絡數據（如可嵌入設備和智能醫療設備所傳輸的人體健康數據、移動終端的地理位置數據等）形式無法通過對現有“計算機信息系統數據”的概念和對“計算機信息系統”的擴張解釋納入刑法保護之中。

其實，傳統的網絡犯罪的核心范疇僅包括對數據和系統的犯罪，考慮到電腦特質的犯罪學特征，在將其規范化納入刑法體系之時，德國和歐盟的路徑則是直接深入到“數據”和“系統”這兩個嵌入點上，其犯罪化路徑是將對數據、對系統的侵害行為的實質，與傳統構成要件的規范目標和規范特征相對應，形成信息技術犯罪的新的規范。

2.向信息論的轉向

在大數據時代，信息技術犯罪與傳統刑法的體系性契合尤為困難，因為傳統的法律體系多是以物質、能量為基本概念建立起來的，例如刑法中對于財產的保護，盜竊、搶奪、侵占等行為方式都不適用于信息。對于數據，應當針對其信息本質，設定直接針對數據特征、以信息基本原理為依據（筆者于本文中稱之為信息論）的數據犯罪基本行為規范。

計算機和網絡安全是新增的抽象法益保護類型，其對應的傳統法益是對其進行刑事處罰的根本依據，因此限定刑法規范的虛擬法益的法益保護本質就是至關重要的。從信息系統安全的專業領域來看，就其信息系統安全的內涵而言，保證信息內容的機密性是基本和首要目標之一。同時，動態的計算機安全指計算機的硬件、軟件和數據受到保護，系統連續正常運行；通信網絡安全的主要內容包括網絡系統中的硬件、軟件及其數據和數據的傳輸不受破壞、更改、泄露，系統連續可靠地正常運行，網絡服務不中斷。⑤參見王景中、徐小青：《計算機通信信息安全技術》，清華大學出版社2006年版，第4-6頁。由此可見，信息系統安全是一個多維度、多層次、多因素、多目標的體系，計算機和網絡虛擬法益應當包括三個方面：信息內容安全（數據）、信息技術處理安全（計算機信息系統功能）和作為計算機網絡中信息傳輸子系統的通信網絡安全（網絡安全）。我國的計算機犯罪則是以技術限定性為中心而不是以信息內容安全為中心的立法，甚至某種程度上，技術限定性被繼續限定在特定系統的應用目標和應用主體上，信息內容安全則更很大程度上被忽略了，由此，在虛擬法益的類型化以及與傳統刑法的嵌入上存在一定的偏離和斷裂，立法者應當做出思路上的調整。

我國刑法對信息內容安全欠缺類型化，即對于數據犯罪缺少基本行為規范的類型化。將刑法保護的重點法益放在計算機信息系統功能和通信安全上，使數據法益的類型化缺少一個重要的維度。

圍繞信息概念，計算機信息系統安全可以從如下維度來理解。信息是指信號的傳達，是通過編碼實現的物理世界到信號的邏輯轉換。信息的應用性含義包括三方面，即作為進程的信息（Information als Vorgang）、作為內容的信息（Information als Inhalte）、作為狀態的信息（Information als Zust a n d）。①Druey，JeanNi co las，In format ional sGegens tanddesRecht s.Schul tesPol ygraphischerVer l agAG.Zür ich1995.S.6-9；K loepfer，M ichael，Informationsrecht.Verlag C.H.Beck oHG.2002.S.25.具體到計算機犯罪中的數據，其是指通過符號或者連續函數表達的信息，經過編碼作為數據處理設備的對象或工具，或數據處理進程的結果，②Len c kne r/Ei se l e i n Sc h?nke-Sch r?de r§202aRn.3.因此在這一部分，信息的概念主要是以二進制的信息系統數據為形式的，這一部分的信息更多是強調其作為第三種存在形式的本質，具體的對象則用數據概念表達。這一概念適用于各種計算機犯罪刑法條款規定的數據。③例如，德國《刑法》第20 2 b條、第20 2 d條、第303 a條、第303 b條等幾個條文中都明確，其中數據的概念與該法第20 2 a條中所使用的數據概念是相同的，由此形成一個統一的以基本數據概念為核心的體系。對于大數據時代的數據犯罪體系，應當獨立以信息論為基礎建立數據犯罪體系，實現由電腦特質論向信息論的轉向。

計算機數據犯罪在數據應用性層面主要應設立兩種類型的行為規范，以直接保護非物質和非能量的、本質為信息的計算機數據。我國《刑法》第285條規定的非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪，即確定了這兩種基本行為方式：非法侵入（非法數據訪問）、非法獲取數據。這兩種基本行為方式分別對應于數據支配權限、數據知悉狀態的本質特征。對于數據的保護，實際上應當是對于這里所體現的信息安全基本特征的保護。保護數據安全應當著眼于其自身的本質特征，而不應當為一時的技術條件所限定。這樣，在面臨大數據的沖擊時，才能從作為數據本質的信息論出發，適應于新的數據保護現實需求，而不因技術更新換代而滯后。

（1）非法侵入

非法侵入破壞了訪問控制的信息安全技術，其侵害的是數據的支配權限。數據是指在計算機信息系統中實際處理的一切文字、符號、聲音、圖像等內容有意義的組合，應用程序是指用戶使用數據庫的一種方式，是用戶按數據庫授予的子模式的邏輯結構，書寫對數據庫操作和運算的程序。④陳興良：《規范刑法學》，中國人民大學出版社2008年版，第824頁。德國《刑法》第202a條規定了數據探竊罪。主流觀點認為，該條系保護數據內容的支配權限，通過保護文檔秘密來保護數據安全。⑤Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.H.BeckoHG.2013.S.33.這種數據的思維性內容與數據載體的財產所有關系是不相關的，而是僅憑對數據的支配權限來確定誰有權訪問數據。⑥Lackner/Kühl 202a Rn.1；Lenckner/Eisele in Sch?nke/Schr?der 202a Rn 1.該條處罰行為人違反對非法訪問進行控制的特別安全措施，訪問不屬于其的數據的行為。德國法所設的該罪名是德國首次對數據網絡犯罪進行規范，保護的法益是數據的處理權限。⑦Hilgendorf， Eric/ Valerius， Brian， Computer- und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 161.

我國《刑法》第285條雖然規定了非法侵入（非法數據訪問）的基本行為，但是又進一步將對數據的侵害行為限定在對數據進行處理的信息系統之內，并且將這種過程視為一種刑罰前置化的手段，所以又再進一步對信息系統做了限定，即僅限于“國家事務、國防建設、尖端科學技術領域”的信息系統。實際上，這是沒有單獨以數據、信息系統的應用層面信息安全作為保護法益對象，甚至也沒有以信息系統的網絡安全作為單獨的虛擬法益保護對象，而是層層嵌套、層層限定。這種不正確的嵌入思路看似重點保護了重要的計算機信息系統，但實際上會因錯誤的嵌入點選擇形成對數據和國家法益兩方面保護的缺憾。一方面，從數據保護缺漏來說，計算機數據犯罪已經成為全球共同面對的新型犯罪，不以數據法益、虛擬技術法益為保護目標而構建的計算機數據刑法體系，難免存在法益保護遺漏。另一方面，對數據的非法訪問可能造成的其他個人隱私、商業秘密泄露，刑法并沒有如對國家法益一般，分別以列舉式的條文一一犯罪化，那么這些領域的計算機數據犯罪都在刑法調整范圍之外。數據已經成為極其重要的商業資源，具有巨大的潛在經濟價值，①參見前注②，于志剛文。同時網絡數據的收集和處理都可能導致個人隱私侵害，網絡數據與個人身份密切相關，②參見前注?，李源粒文。數據在計算機刑法保護體系中被選擇性忽略，實屬不應。如果認為是特意突出對國家法益的保護，那么，因為我國《刑法》第285條和第286條中，并沒有再對“國家事務、國防建設、尖端科學技術領域”的信息系統有進一步的特別規范，只單單列舉了“侵入”這一種基本行為，對這些重要領域的保護則又因為欠缺其他計算機犯罪基本行為模式，反倒過于單薄。所以，我國對計算機數據，從非法訪問的侵入基本行為所規定的刑法條文，因為嵌入點沒有選在數據訪問權限上，所以在類型化上出現了偏差，導致保護體系不夠周延。也就是說，非法侵入行為所侵害的是特定計算機信息系統中的數據，對其應當予以入罪化的技術與刑法條文的嵌入點應當是對數據的侵害，而不是對儲存有特定數據的對應計算機系統的侵害。

我國《刑法》第285條第2款的罪狀表述中，明確規定了“侵入……或采取其他技術手段，獲取……數據”。我國刑法非法獲取計算機信息系統數據罪的罪狀表述，采取的是“侵入+非法獲取數據”的行為規范，將兩種不同的法益侵害行為混合。2011年最高人民法院、最高人民檢察院聯合發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱：2011年司法解釋）第1條規定，該款“情節嚴重”的情形中，針對非法獲取計算機信息系統數據罪的是指“獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息10組以上”或“以外的身份認證信息500組以上”。這表明，我國《刑法》第285條第2款實際上確實是針對屬于個人身份驗證信息的數據，而這種數據“非法訪問”或者“非法知悉”的特征，卻沒有對應于“非法侵入”或者“非法獲取”的數據犯罪基本行為規范。從2011年司法解釋看，該構成要件應當是針對公民重要數據即身份驗證信息的保護，因此其實應當是針對作為內容的數據的保護，而不是對通信數據的非公開性的主觀意愿侵害。尤其是金融網絡服務的身份驗證數據，多存儲于金融商業公司的服務器上，應當以非法侵入、非法訪問數據作為構成要件中的基本行為。同時，此種侵害數據權限的數據犯罪，其侵害對象為“身份驗證數據”，這顯然也屬于我國《刑法》第253條之一中的對于“公民個人信息”的保護。在兩種保護的不同側重點之間應當如何協調，還需要以數據的特征為出發點，進行更為細致的研究。

（2）非法獲取

非法獲取數據侵害的是作為狀態的數據，即數據到信息再到知識，它們是同質的，但存在具體的不同表現形式，其關注點是“是否知悉”。③Kloepfer，Michael，Informat ionsrecht.Ver lagC.H.BeckoHG.2002.S.27-28.換句話說，對數據而言，是無所謂所有或者占有的，因為其是與物質不同的、非有形的存在；對數據的權利體現為特定主體知悉數據及數據所代表的訊息的權利，實際上是一種應當“知悉”或者應當“不知悉”的狀態；所謂的“非法獲取”，是非法改變對數據享有權利的主體所設定的數據“不知悉”狀態，即非法獲取了本應“保密”的以計算機信息系統數據形式表現的信息。這是與侵入基本行為不同的另一種侵害數據法益的行為方式，二者對“非法”的內涵有不同的要求，應當區別規范。獲取數據不需要以突破安全措施為必要前提，即便是欠缺突破安全控制措施、違反數據訪問權限的“侵入行為”，也同樣能夠截取數據；反之，即便強行侵入也未必能夠非法獲取數據。因此，應進一步明確構成要件所意欲保護的數據的根本特征，以設置更有針對性和區分更為細致的數據犯罪構成要件。

從上述分析可以看出，對應用層面數據的訪問控制和保密狀態的侵害，實際上就是“電腦間諜”這種電腦犯罪類型，屬于侵害數據應用狀態的犯罪。其主觀層面上是侵犯了特定主體對數據的支配權限，非法侵入行為更多地是側重于對這方面的侵害。其客觀層面上表現為破壞了數據的保密性，非法獲取行為則更多關注于此。對于“電腦間諜”，一般可類比于傳統刑法中侵犯隱私權、侵害通信自由和秘密的犯罪類型，以明確數據犯罪的實質特征，并選取相應的制裁模式。對傳輸數據的竊聽（Anzapfen）和竊取（Abh?ren），是數據遠程通信系統領域的“電腦間諜”行為，是對于信息的通訊形式（Kommun i ka t i ons f o rm）沒有權限（unbe f ug t）的竊聽和竊取。①Sieber，Ul r ich，Informat ionstechnologieundSt raf rechtsreform.Car lHermannsVer lagKG.K?lnBer l inBonnMünchen1985. S.51.此外，對于故意突破安全措施對數據處理和存儲系統未經授權的動用（Zugirff），也有刑法處罰必要，因為對數據載體和計算機系統的邏輯安全措施（如加密或以密碼驗證為方式的控制措施）與非法獲取行為所表征的違法本質有相通之處。②Sieber，Ul r ich，Informat ionstechnologieundSt raf rechtsreform.Car lHermannsVer lagKG.K?lnBer l inBonnMünchen1985. S.53.

數據截獲是傳統遠程通信方式向現代通信技術擴張中出現的行為，其保護的法益是對傳輸數據的處理有權限者的保密利益。③Hi lgendor f，Eric/Valerius，Brian，Computer-undInternetstraf recht.SpringerVer lag.Ber linHeidelburg2012.S.170.與歐盟網絡犯罪公約一樣，所有非公開的電子數據傳輸都包括在內，④Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.H.BeckoHG.2013.S.44.決定是否屬于“非公開”的關鍵在于傳輸過程，與數據傳輸的形式和內容無關，即數據傳輸是有特定目標的，比如電子郵件和P 2 P形式的數據傳輸。⑤Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.H.BeckoHG.2013.S.45.電子郵件地址可能涉及“關于私人生活，可認別個人身份”的資料，保護電子郵件地址可以適用“以信息的方法侵害私人數據的所有權以及使用權之一切行為”的刑法規范，屬于公民隱私保護的范圍。⑥參見于志剛，《論電子郵件的刑法定位》，《法學家》2003年第6期。

大數據時代的數據范圍和內涵擴張，更加明顯地體現了對數據的“非法獲取”行為單獨規范的必要性。非法獲取數據的犯罪可以與侵入行為相分離。網絡安全面臨的最大威脅是人為攻擊，包括以各種方式有選擇地破壞信息的有效性和完整性的主動攻擊，以及在不影響網絡正常工作的情況下進行截獲、竊取、破譯以獲得重要機密信息的被動攻擊。⑦彭珺、高珺：《計算機網絡信息安全及防護策略研究》，《計算機與數字工程》2022年第1期。比如，RF I D標簽是物聯網信息系統的重要部分，它們儲存了大量有價值的商業信息，對其主要攻擊方法包括數據竊取與跟蹤以及中間人攻擊。⑧金山：《物聯網信息安全與隱私保護研究》，《計算機光盤軟件》2023年第16期。非法用戶很可能采用竊聽讀寫器等設備來獲得標簽的數據信息以及系統的商業信息，這種數據竊取與跟蹤攻擊方法不需要直接訪問標簽，就可以獲取系統的商業信息。①同前注⑧，金山文。因此，針對計算機數據的犯罪中，違反訪問權限的非法侵入和損害不公開知悉狀態的非法獲取，是不同的侵害行為類型，具有不同的違法性，應當以不同的構成要件予以規制。

此外，不僅是非法獲取的基本行為規范應與“侵入”相分離，就非法訪問的罪狀中的“侵入”的必要性反思在德國也越來越深入。“侵入”是指突破安全保護措施，以便進一步侵害對數據的相關權益。對“侵入”的規范所保護的其實本質上是數據的訪問權限（特定主體對數據的權利）和數據的非公開性（特定主體對數據不被截取的意愿）。后者與侵入并沒有必然聯系，其側重點是“非公開”的數據傳輸，是數據“不被知悉的狀態”；而前者更多地與侵入行為相關，因為侵入往往作為突破訪問權限的一種最強硬也最經濟有效的手段，但這種聯系也同樣不是必然的。因為歸根結底，作為“非法訪問”構成要件要素的“沒有權限（unberechtigt）”是與“非限定為其所有（nicht für die T?ter bestimmt）”相聯系的，有權限訪問者當然就是數據所有者，因此在一定程度上，有關訪問安全措施（eine Zugangssi cherung）的罪狀設置應當取消。②Hilgendor f，Eric/Valerius，Brian，Computer-und Internetstraf recht.SpringerVer lag.Ber linHeidelburg2012.S.166.

其實這種反思所反映的，是更集中于數據本身的思路，從而從最本質上理解構成要件，以解釋既有構成要件是否可以適用于大數據、云計算等新技術帶來的新生問題，避免非體現實質不法內涵的構成要件形式限制或阻礙刑法對法益保護的周延。這也是對構成要件邊界的限定，防止為應對新生問題而做過度擴張解釋。總之，細致、明確地界定數據犯罪中構成要件本質的違法性內涵，是應當且必要的；反之，將侵入、違反權限、非法獲取截取、特定領域信息系統的重要性等違法性要素內涵都籠統規定，才會出現現有保護缺漏以及進行過度擴張解釋的危險性。

從路徑上說，在以“數據網絡”為本質的大數據時代，可以將電腦特質論中的“數據”從“系統”中剝離出來進行細化構建，也可以直接采取信息論路徑（這更為妥當）。由于大數據時代的沖擊，數據應用意義與計算機數據的形式之間的斷裂越來越明顯，各個層面的數據犯罪與計算機數據犯罪的脫節越來越明顯，尤其是個人數據層面上，以公民個人信息保護為核心的體系獨立性逐漸增強。數據犯罪體系的逐步擴充，需要更為細致的體系構建。

三、數據犯罪的制裁思路：“基本行為特征類型化模式+動態鏈條模式”

對于數據犯罪的基本行為予以類型化分析，是解決數據犯罪的根本思路。同時，按照動態犯罪鏈條模式思索立法的路徑，是應然的選擇。

（一）橫向制裁思路：以“基本行為特征類型化”為思路的數據犯罪雙核心制裁體系

數據犯罪制裁的雙核心體系，指的是以制裁“個人數據”犯罪和制裁“網絡重要數據”即“國家秘密、情報”犯罪為核心的雙軌并行式制裁思路。

1.核心體系之一：以我國《刑法》第253條之一為核心的個人數據犯罪制裁體系

《刑法修正案（七）》在我國《刑法》第253條之一增加規定了出售、非法提供公民個人信息罪和非法竊取公民個人信息罪。這是我國刑法保護公民個人信息的核心罪名。一方面，對于涉及個人數據權利的計算機數據、遠程通信數據等數據犯罪，我國刑法分則沒有在計算機犯罪條文部分清晰、明確地規定，沒有確定針對個人數據侵害的基本行為。另一方面，我國沒有制定《個人數據保護法》，對于個人數據的保護制度不夠完善。因此，權宜辦法是可以考慮以我國《刑法》第253條之一為核心條文，以信息論為主要理論基礎，并結合數字化處理和通信技術的特征，完善大數據時代對于個人層面數據犯罪的刑法規范和制裁。這實際上是對信息自決這一公民權利的類型化。

公民個人信息的概念從客觀上看，基本的特征為“可識別性”。我國《刑法》第253條之一“公民個人信息”的具體含義，學理上一般認為，是指以任何形式存在的、與公民個人存在關聯并可以識別特定個人的信息。其外延十分廣泛，幾乎有關個人的一切信息、數據或者情況都可以被認定為個人信息。①高銘暄、馬克昌主編：《刑法學》，北京大學出版社2022年第5版，第488頁。德國《數據保護法》第3條規定，個人數據是指關于私人的或者與特定或可特定自然人事實上關系的個人說明。例如，Cookies是通過與服務器建立網絡連接產生的，瀏覽器可以在訪問網絡頁面時進行存儲，Cookies是包含相關信息的字符串，利用Cookies可以獲取用戶的行為數據，通過收集用戶訪問的網站進行精準廣告投放。因為包含可以直接識別用戶的信息（如電子郵件），Cookies屬于個人數據；而動態I P地址是由服務器分配的，則不屬于個人數據。②Hilgendorf， Eric/ Valerius， Brian， Computer-und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 217；Eisele，J?rg， Computer- und Medienstrafrecht. Verlag C.H.Beck oHG. 2013. S. 87.

此外，數據的使用目標也是衡量數據侵害的重要因素。對于強制性信息收集的合法性要求來說，私密性只能作為一種“程度衡量”。應用目標則起著決定性作用。信息敏感性并不單獨決定是否涉及私密性，而是作為肯定個人權利意義所需、用以確定應用關聯的。③Drackert ，Stefan， Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH.Berlin 2015. S.190.德國《數據保護法》第28條（3）3（3a）規定了同意制度。同時，公民個人信息的概念具有主觀維度。Caroline案就從個人自我表現的決定上體現了數據保護的主觀方面。內容上除了主題上的劃界外仍然有對于空間領域的延伸保護，其所保護的是面向自我、自我放松的領域，對于地理性界分須有必要標準，因為個人有權限不受持續觀察、間斷觀察所致之行為控制。④BVerfG Urteil vom 15.12.1999，1 BvR 653/96=BVerfG 101，361.

這些源于公民個人信息概念的多種角度切入路徑體現了這一概念的復雜性，在對實質的公民個人信息法益進行規范化的過程中，需要準確而精致地界定行為。德國《數據保護法》第44條規定，以故意違反規范方式（該法第43條第2款所列形式），以牟利或損害他人為目的，侵害個人數據的，處2年以下自由刑或罰金。其所針對的行為方式有7個款項之多，處罰了從各角度侵害個人數據權利的行為。這些具體行為方式包括以下幾種：（故意或過失）對無支配權限的數據的收集（erhebt）；處理（verarbeitet）；借助自動化程序提供（zum Abruf vereith?lt）；調取（abruft）或者為自己或他人獲取自動處理數據抑或是非自動化數據（verschaft）；以不實陳述騙取（erschleicht）傳輸的個人數據；違反其他條文將傳輸的數據另做他途使用（nutzt），包括違反同意制度將（abh?ngig macht）違反其他條文將數據用于廣告、或市場或意見調查進行處理和使用（verarbeitet oder nutzt）；⑤該法第28條（3）3（3 b）規定，若合同締結將當事人同意作為條件，如當事人不可能以其他方式或者合理方式獲得同等合同給付，則此等境況下的同意無效。違反其他條文將個人特征聚合（zusammenführt）；違反其他條文不通知、不正確、不全面或者不及時地作為（macht）。仔細審視就可以發現，這些規定是從數據的支配權限、數據的處理步驟、使用意圖、同意、應用、數據的整體聚合、錯誤的數據作為義務這些方面，將數據犯罪風險具體化，以不同條文將數據犯罪的行為方式加以規范化和類型化。不可否認，數據犯罪將需要細致的規范構造。既然我國刑法是將個人信息保護直接以刑法分則條文的方式加以規定，就應當對此條文進行細致規范。

在違反個人數據保護制度的數據犯罪條款之外，還應當依據從憲法中引導出的刑法法益概念對個人數據犯罪風險進行規范化和類型化。涉及計算機系統和通信網絡的個人數據犯罪則應以信息論為基礎，明確非法獲取和非法探知兩種數據犯罪的基本行為，將“對數據的權限”和“對數據非知悉狀態”這兩個特征作為刑法類型化的嵌入點，實現以數據為對象的數據犯罪的刑法規范化。這兩種基本行為可以作為與違反個人數據保護制度犯罪化的條款，共同規定于我國《刑法》第253條之一之中。從長遠來看，“數字身份”犯罪應當成為大數據時代刑法對個人數據犯罪的研究重點。

2.核心體系之二：以“國家秘密、情報”為核心的數據犯罪制裁體系

大數據時代，個人信息等個體信息的匯總和集聚，在整體上形成的大數據，實際上在某種程度上可以等同一種關涉國家安全、經濟安全等的“情報”甚至是“秘密”。從犯罪對象即數據出發來思考刑法規范即可發現，在微觀層面可以形成以公民個人信息為核心的數據犯罪體系；但對于整體性的數據危險，以及同時貫穿宏觀和微觀兩個層面的數據危險，在宏觀層面如何形成相應的規范，是一個有必要研究卻棘手的現實問題。大數據時代網絡數據安全從宏觀層面直接關系到國家的穩定。所謂的“震動效果（Erschütterungseffekt）”指的是，對個人基本權利的侵害會導致對其他基本權利侵害的擴張，侵害整體利益，因為信息自決權是建立在行為和合作能力之上的自由民主的國家的一個基本的功能條件。①BVer f GBesch l ussvom12.4.2005，2BvR1027/02=BVe r f GE113，46.

我國《刑法》第285條非法侵入計算機信息系統罪實際上體現了對于重點領域信息安全的保護必要。我國《國家安全法》第25條規定，國家實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。對于國家安全的重要領域（如網絡和信息安全領域），該法在國家安全任務中增加了相關的條文，例如，“建設網絡與信息安全保障體系，提升網絡與信息安全保護能力”，②李適時：《全國人民代表大會法律委員會關于〈中華人民共和國國家安全法（草案）〉修改情況的匯報》，《全國人民代表大會常務委員會公報》2015年第4期。表明網絡和信息的關鍵基礎設施安全、重要領域信息系統和數據安全，都是國家安全的重要內容。

2015年的我國《網絡安全法（草案）》在“網絡運行安全”章中用專門一節規定了“關鍵信息基礎設施安全”。筆者認為，有必要單獨以關鍵信息基礎設施保護、信息網絡基礎設施保護為獨立體系進行研究。從長遠來看，應當專門就關鍵信息基礎設施安全設立單獨條文。其中，《網絡安全法（草案）》第31條規定，關鍵信息基礎設施的運營者應當在中華人民共和國境內存儲在運營中收集和產生的公民個人信息等重要數據；因業務需要，確需在境外存儲或者向境外的組織或者個人提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。關鍵信息基礎設施是國家安全的應有之意，關鍵信息基礎設施在運營中收集和產生的重要數據，也涉及國家安全。這是大數據在國家法益層面的重要意義。因此，應當將這一部分“網絡數據”更具體地細化為“國家秘密、情報”，實現更到位的刑法保護。

對于商業數據，我國《刑法》第285條非法獲取計算機信息系統數據罪雖然主要是針對商業領域的計算機犯罪設立的，但是根據2011年司法解釋第1條，獲取的信息類型僅限于“支付結算、證券交易、期貨交易等網絡金融服務的身份驗證信息”或其他身份驗證信息。我國《刑法》第219條侵犯商業秘密罪中的商業秘密，也僅限于不為公眾知悉、具有經濟利益和實用性、采取保密措施的技術信息和經營信息。這都不足以涵蓋具有商業價值的網絡數據。例如利用cookie收集用戶的網絡瀏覽數據可以進行用戶行為分析，并實現廣告精準實時投放，獲取經濟利益，這樣的網絡數據就具有商業價值。然而，因為公司對大數據的商業性權利本質上屬于我國《刑法》分則第三章“侵犯社會主義市場經濟秩序罪”關注的范疇，涉及復雜的數據利益分配以及數據主體間的利益沖突，所以，應當先在民法上形成數據權利界分的完整制度，以及在數據保護領域形成個人數據保護的完整制度，再針對侵犯商業數據犯罪做出回應；而不應當過于超前地采取刑事制裁手段，以堅守刑法的謙抑性。換言之，此種以商業秘密為核心的數據犯罪體系應當暫時仍限制于我國刑法分則既有的核心數據保護范圍之內。

（二）縱向制裁思路：數據犯罪鏈條的步驟分割與過程整合

從數據犯罪的行為角度看，對于數據對象的基本侵害方式就是非法侵入（訪問）、非法獲取，但僅以此為行為方式實現對數據犯罪的制裁是遠遠不夠的。從一個完整的數據犯罪鏈條來看，對于基本數據犯罪的預備階段，以及之后對于數據的非法出售、非法應用階段，同樣需要制裁。而在大數據時代，數據處理的危險也應當成為一個行為階段，從而實現縱向上的完整制裁體系。

1.制裁的重點之一：犯罪預備行為的實行化

在大數據時代，數據非法收集獲取的行為途徑大大增加，在對侵害計算機信息系統的相關犯罪的預備行為進行打擊之時，不應忽略通過互聯網、WLAN網絡、移動網絡等多種渠道實施的數據竊取行為的預備行為。我國《刑法》第285條第3款規定了提供侵入、非法控制計算機信息系統程序、工具罪；該法第286條（破壞計算機信息系統罪）第3款規定了通過故意制作、傳播計算機病毒等破壞性程序影響計算機系統正常運行的行為方式。實際上，這兩個條款都是“預備行為實行化”的立法實例，以提前刑法對計算機犯罪的打擊時點。然而，這仍然體現出我國刑法分則數據犯罪缺乏信息論路徑的立法模式，也就是說，預備行為是針對信息系統的非法侵入、非法控制、破壞等犯罪行為的，卻不是針對數據的非法獲取、非法訪問等基本行為方式的。根據2011年司法解釋第2條，我國《刑法》第285條第3款的程序、工具，都是專門用于侵入、非法控制的程序、工具，一方面將避開或突破計算機信息系統安全措施作為前提，另一方面將未經授權或超越授權的對象作為計算機信息系統數據的技術限定。對于原有側重于信息系統的思路所存在的問題，就數據犯罪預備行為而言仍然存在。因此，我國刑法上應當對于數據犯罪的預備行為單獨規定相應條文，弱化技術限定特征而強化數據的支配權限與知悉狀態特征。

2.制裁的重點之二：整體數據處理過程即數據窩藏

在大數據時代，個人數據被用于后續犯罪的危險大大增加，從更大的縱向數據犯罪產業鏈的框架來看，圍繞個人數據的非法獲取、處理、出售和用于后續如詐騙等犯罪，是一個大的動態體系。德國《個人數據保護法》第3條將對數據的“自動化處理”定義為通過使用數據處理設備對個人數據的收集、處理或者使用。非自動化處理的數據是指沒有被自動收集，而是以類似方式形成的、根據特定特征可以獲得并且利用的個人數據。再放大一層，數據的處理只是數據周期中的一個環節，一個完整的數據動態過程大體上可以分為三個階段：數據收集、數據處理、數據使用。其中數據的處理行為可以分為存儲、變更、傳輸、阻隔、刪除等具體操作行為。①Art.3，Bundesdatenschutzgesetz（BDSG）.

我國刑法重視打擊縱向數據犯罪鏈條，但仍需進一步完善在“數據存儲和處理”階段的刑法制裁。《刑法修正案（七）》增設我國《刑法》第253條之一的動因在于規制不法分子利用技術手段非法侵入計算機系統竊取他人賬號、密碼等信息，嚴重危害社會秩序的現象，目的是為了有效應對越來越嚴重的非法泄漏、非法獲取、非法利用公民私人信息的社會現實，嚴厲打擊日趨猖獗的個人信息犯罪行為，切斷身份信息犯罪的產業鏈。②李適時：《關于〈中華人民共和國刑法修正案〉（七）（草案）審議結果的報告》，《全國人民代表大會常務委員會公報》2009年第2期。構成出售、非法提供公民個人信息罪的客觀要件是“將履行職責或提供服務過程中獲得的公民個人信息，出售或非法提供給他人，情節嚴重”，非法竊取公民個人信息罪的客觀要件是“竊取或以其他方式非法獲取，情節嚴重”。《刑法修正案（九）》第17條修改了原先的我國《刑法》第253條之一，一方面，通過刪去“情節嚴重”降低入罪門檻，以及刪除“國家機關或其他單位”的限定，對于履行職務中的犯罪行為從重處罰，并且增加了“情節特別嚴重”的量刑幅度，體現了國家打擊侵犯公民個人信息犯罪的力度和決心，并且重點打擊履行職務過程中的數據犯罪；另一方面，原先的“向他人出售或者提供”以及“竊取或者以其他方式非法獲取”這兩種行為方式并沒有被修改。也就是說，對公民個人信息的保護是針對“出售或非法提供給他人”和“竊取或以其他方式獲取”兩個端點階段的行為。先是信息被出售或非法提供的個人信息被用于下游身份信息犯罪的“外流”端點階段，再是信息被竊取或以其他方式獲取的個人信息被用于進行信息非法交易犯罪的“內入”端點階段。對于“外流”端點的數據使用階段，《刑法修正案（九）》通過增加加重量刑幅度提高了刑法制裁力度，實現了對數據犯罪鏈下游的側重打擊；對于“內入”的數據收集階段，《刑法修正案（九）》通過降低入罪門檻而實現擴張刑法打擊范圍。然而，對于數據處理階段，數據存儲、傳輸和自動化處理過程中的危險也直接侵害到應受刑法保護的法益，《刑法修正案（九）》卻并沒有增加對應的條款。在數據處理階段，主要存在數據處理危險，包括非法存儲（數據持有危險）和非法處理（數據挖掘危險）。應當說，增加涉及這一階段的數據犯罪立法，就能形成對數據犯罪的“非法獲取—窩藏—非法提供”這一整條犯罪鏈條的完整制裁。

本質上，對大數據處理階段的動態危險，只能通過“窩藏”行為（實質為數據的非法持有）進行刑法的規范化。德國就此在2015年的刑法修正案中，于原有的保護個人隱私的法條即德國《刑法》第202條之后，增加了德國《刑法》第202d條（德國《刑法》第202a-c條是1986年和2007年為應對計算機犯罪侵犯隱私行為而增加的法條）。德國聯邦參議院最初提出的立法草案中指出，“數據窩藏”是犯罪鏈條中的一個中間環節，整個鏈條包括：（A）非法獲取數據，如通過黑客攻擊或者釣魚行為；（B）對違法獲得的數據進行處理；（C）運用數據進行后續犯罪行為，如抵押貸款詐騙。而在（A）或（C）的數據非法獲取以及非法運用環節，犯罪行為人其實都是難以抓獲的。由于受害者根本無法知曉他們的計算機被感染，其數字身份（digitalen Identit?t）的多個方面信息遭到竊取，這形成了一個巨大的黑色地帶。①Gesetzentwurf des Bundesrats vom 10.07.2013，BT-Drs 17/14362.那么，很明顯，無論是從現實中對公民的危害，還是從刑罰設定的可行性與可操作性上來說，選取“數據窩藏”這一中間環節進行有針對性的刑事立法，無疑都是一條可行之路，這對我國是有啟發和借鑒意義的。

（責任編輯：杜小麗）

DF611

A

1005-9512（2016）09-0013-17

于志剛，中國政法大學司法文明協同創新中心教授、網絡法研究中心主任，教育部長江學者特聘教授；李源粒，德國馬克斯普朗克外國刑法與國際刑法研究所博士研究生。

*本文系中國政法大學優秀中青年教師培養支持計劃資助項目和2012年教育部哲學社會科學重大課題攻關項目“信息時代網絡法律體系的整體建構研究”(項目編號:12JZD039)的階段性成果。本文由于志剛確定主題框架、撰寫第三部分、審定全文，李源粒撰寫第一、第二部分。