數據安全分類分級的刑法保護*

張 勇

一、序言

伴隨著互聯網技術的發展，各種信息數據在網絡空間快速流動，實現著現實社會與虛擬世界的緊密聯結。海量的網絡數據蘊藏著豐富的經濟價值，也成為違法犯罪分子覬覦的對象。近些年來，非法獲取和泄露信息數據現象層出不窮，傳統的犯罪類型借助互聯網不斷發生著“變異”，新型信息網絡犯罪滋生，不僅危及個人信息安全（即“信息安全”）和計算機信息系統安全（即“網絡安全”），①本文中的“個人信息安全”與“信息安全”、“計算機信息系統安全”與“網絡安全”同義，為了表述方便，下文統一采用“信息安全”“網絡安全”的稱謂，與“數據安全”相對應。更直接給信息的載體——數據安全帶來與日俱增的風險，也產生了針對數據自身安全獨立保護的法律需求。②參見［德］烏爾里希·齊白：《全球風險社會與信息社會中的刑法》，周遵友、江溯等譯，中國法制出版社 2012 年版，第308 頁。我國先后制定出臺了《國家安全法》和《網絡安全法》，將信息網絡安全上升到國家安全高度予以法律保障；隨后，《數據安全法》被納入立法規劃，目前草案正在征求意見中。同時，《數據安全管理辦法（征求意見稿）》等配套性規范文件也相繼出臺。作為數據安全領域的基本法，其承載著解決我國數據安全內外部風險、構建數據安全核心制度框架的重要任務。從整體來看，目前我國數據安全的法律保護缺乏系統設計和制度安排，各法律法規之間相對分散，缺乏有效的銜接與協調。數據安全具有自身的法益特征，與信息安全、網絡安全的性質不同，法律保護的重心也有不同。僅依托既有的信息安全、網絡安全領域的法律法規，已經不能滿足對數據安全保障的現實需求。刑事立法層面，自1997 年《刑法》對傳統意義上的計算機信息系統安全加以保護，從2009 年《刑法修正案（七）》、2011 年“兩高”《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（簡稱《計算機安全刑案解釋》）到2015 年《刑法修正案（九）》，數據安全刑事立法經歷了從附屬保護到間接保護、再趨向獨立保護的發展過程。在風險社會背景下，公共安全犯罪成為刑法懲治的重點。2020 年11 月26 日全國人大常委會通過《刑法修正案（十一）》對公共安全類犯罪進行了修訂，設置獨立危險犯。但在司法實踐中，公共安全抽象法益的識別和判斷、數據犯罪的定罪量刑標準成為難點。《計算機安全刑案解釋》以計算機信息系統所實際遭受侵害的數額或數量作為入罪標準，但難以準確反映數據犯罪對數據安全法益的侵害程度。值得關注的是，《數據安全法（草案）》第19 條規定了數據分類分級制度。數據分類分級具有數據安全法益識別功能，能夠為認定數據犯罪提供罪質和罪量的評價依據，并實現相關罪名的銜接協調，有助于構建和完善數據安全保護的法律體系。本文對此略作探討。

二、數據、數據安全及其法益識別

我國相關法律法規對“數據”的概念一直未予明確界定?！稊祿踩ǎú莅福返? 條規定，數據是指“任何以電子或者非電子形式的信息的記錄”。③《網絡安全法》第76 條第4 項規定：“網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據?！庇袑W者指出，《數據安全法》的規制對象應限于上述“網絡數據”（包括線下的電子數據），而不應包括“非電子化數據”。因為諸如財政數據、經濟數據、統計數據等非電子數據以物理形態存在，很難進行異地跨境自由流動，基本不涉及公共安全問題，應由《統計法》《政府信息公開條例》等法律法規調整，而沒必要由《數據安全法》進行規制。④參見支振鋒：《貢獻數據安全立法的中國方案》，載《信息安全與通信保密》2020 年第8 期。在互聯網背景下，應將“數據”限定為計算機信息系統所記載的、能夠識別特定用戶信息的個人數據。在界定“數據”本身概念的基礎上，以下就數據與信息的范疇關系、數據安全的法益屬性予以分析。

（一）數據、信息與計算機信息系統

在國外，許多國家的法律法規對數據和信息未加以區分，如歐盟的《通用數據保護條例》（GDPR）對“個人數據”的保護就是對可識別或已識別“個人信息”的保護。我國采取分散式立法模式，信息、數據、個人信息、個人數據、個人資料、個人隱私、個人電子信息等稱謂屢見不鮮，信息與數據的范疇關系難以厘清。⑤參見彭誠信、向秦：《“信息”與“數據”的私法界定》，載《河南社會科學》2019 年第11 期。有的觀點將數據與信息等同，有的認為數據大于信息，有的則認為數據小于信息；⑥參見梅夏英：《數據的法律屬性及其民法定位》，載《中國社會科學》2016 年第9 期。在我國《刑法》規定的相關罪名中，“數據”與“信息”的概念關系也難以區分，有必要予以厘清。

首先，從數據的本質屬性來看，“數據”和“信息”兩個概念既有緊密聯系又存在區別。從國外立法來看，歐盟于1991 年制定的《信息技術安全評估準則》（ITSEC）首次提出了包含數據的保密性、完整性、可用性“三要素”，對數據占有主體賦予了較為嚴格的規范保護義務，建立了以數據用戶權益保障為核心的數據安全保護體系。國際標準化組織ISO 認為，數據是以一種適合溝通、解釋或處理的形式化方式，對信息的可解釋性呈現。值得注意的是，我國新近出臺的《信息安全技術信息安全事件分類分級指南》（征求意見稿）3.5 規定，數據是指“關于可感知或可想象到的任何事物的事實”；同時3.6 規定，信息即“有意義的數據”。由此看出，數據和信息可謂是“一體兩面”，數據是信息的形式和載體，信息則是數據可以表達的內容。就某個特定場景而言，數據和信息是很難分離的。但在計算機信息系統中，有些數值雖然對于計算機信息系統或某些程序本身的運行必不可少，但卻不一定體現為對外的信息內容，也不能被人所識別。信息時代的數據范疇比信息要大。⑦參見涂子沛：《數據之巔》，中信出版社2014 年版，第256 頁。相對來說，對于個人信息的保護，法律更加關注信息的“保密性”，即信息權利主體對個人信息的“能夠知悉的狀態”；侵犯公民個人信息罪中“非法獲取、披露、使用或允許他人使用”的行為所侵犯的法益是個人信息的保密性。而對于數據來說，其對應的數據主體權利屬性卻并非僅為“保密性”，法律所保護的是數據主體的使用權益，避免數據被他人非法獲取、刪改、壓縮或者使用，這一點與個人信息權利屬性不同。

其次，從數據的表現形式來看，傳統的計算機時代，數據僅包括特定類型的結構化數據和靜態的數據庫。而在信息時代，不僅數據的存儲和處理設備發生了根本性變革，數據所承載的信息的內容也發生了根本變化，無論是單個數據的集合，還是經過數據集合的技術處理而生成的有價值的數據，數據的內涵都遠遠大于信息。對于諸如文本、聲頻、視像等半結構化、非結構化的數據來說，其本身就已經是信息，不再是對客體簡單的測量數值，而是對自然人社會活動的不間斷自動化記錄。有些看似簡單且雜亂的半結構化、非結構化數據經過成規模的收集和處理后，可能展示出重要的信息。與之同時，計算機信息系統的終端計算能力明顯弱化，存儲、處理、傳輸都不是針對數據的主要技術過程。網絡空間里的數據由計算機信息系統的技術傳輸對象逐漸變成了現實載體，對信息系統技術性無重要意義的數據，可能是大數據時代法律所要重點關注的對象，因而，數據法益具有獨立的技術屬性與法律地位，并成為法益保護對象和主體內容。⑧參見孫道萃：《大數據法益刑法保護的檢視與展望》，載《中南大學學報（社會科學版）》2017 年第1 期。

（二）數據安全的法益識別與利益衡量

從學理角度，“數據安全”是一個較為寬泛的概念，有學者將此概括為“自身安全”“自主可控”和“宏觀安全”三個層面，其中數據的“自身安全”是數據的保密性、完整性、可用性的內在要求。⑨參見許可：《數據安全法：定位、立場與制度構造》，載《經貿法律評論》2019 年第3 期。以往我國對數據安全的保護主要依賴于對計算機信息系統安全或商業秘密、著作權等權益的法律法規，處于附屬和次要的地位。在大數據背景下，隨著數據從靜態安全到動態流動、利用的轉變，互聯網實現了由“計算”到“數據”的重心轉換，被整合為一個以數據為中心的收集、存儲、處理和應用系統。數據安全作為一項獨立法益逐漸得到立法的認可。⑩參見劉一帆、劉雙陽、李川：《復合法益視野下網絡數據的刑法保護問題研究》，載《法律適用》2019 年第21 期?！稊祿踩ǎú莅福返? 條規定，“數據安全”是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續處于安全狀態的能力。法律首先應保護數據利益主體對數據的排他性復制、使用與處分權益；同時，在數據的流動和使用過程中，初始權利主體逐漸不再擁有對個人數據的完全控制，數據利益主體也呈現多元化，擴展至收集者、使用者及處理者。因此，數據法益越來越多地呈現出社會公共性，數據安全利益譜系也具有個人安全、公共安全和國家安全不同層面，并且國家安全更為重要，具有優先的法益地位。?參見黃道麗、胡文華：《中國數據安全立法形勢、困境與對策——兼評〈數據安全法（草案）〉》，載《北京航空航天大學學報（社會科學版）》2020 年第6 期。

傳統刑法對法益的保護是以法益已經實際受到侵害或者存在被侵害的危險為前提的；而在風險社會背景下，刑法關注的是行為人所制造的風險，主張盡可能淡化、稀釋法益的內容，刑法中“設置大量表述模糊的公共法益”，因而“風險刑法”也被稱為“象征刑法”“功能刑法”。?［德］埃里克·希爾根多夫：《德國刑法學——從傳統到現代》，江溯等譯，北京大學出版社2015 年版，第250 頁。在信息時代，“數據風險”成為新型的社會風險因素，具有高頻度、可變性和不可預見性，呈現“法益侵害風險社會化”的趨向。?參見敬力嘉：《信息網絡犯罪中集體法益保護范圍的擴張與限度》，載《政治與法律》2019 年第11 期。從動態過程上看，在數據收集、處理和使用的各個階段均存在數據法益遭受侵害的風險。數據的非法獲取、破壞和濫用，不但會對個體權益造成嚴重侵害，還會對公共利益、社會秩序和國家安全造成實際侵害或危險。數據安全具有脆弱性、易受攻擊性和不可控制性，屬于抽象法益、集體法益，實踐中存在認定上的困難。然而，數據安全作為一種“集體法益”可以被還原為個體的人身或財產權益，因而也是可感知、可評價、可衡量的，數據安全的法益保護具有現實可能性，“不能輕易放棄相對明確性的要求”。?孫國祥：《集體法益的刑法保護及其邊界》，載《法學研究》2018 年第6 期。

根據風險管理的一般理論，風險識別是國家政府和社會組織進行風險管理的基礎，從社會治理角度，“依托精細化的技術治理可以實現有效提升治理效率并規制和防范風險”。?季衛東：《數據、隱私以及人工智能時代的憲法創新》，載《南大法學》2020 年第1 期。然而，從刑事規制角度，不是所有的數據利益都是刑法上值得保護的法益，只有經過風險識別之后才能被看作是刑法值得保護的法益。刑法對數據風險的識別，是將數據安全法益規范化的過程，即在刑法規范層面，基于數據處理過程的某種危害行為對數據安全所造成的實質侵害或危險的評價，確定是否有必要追究刑事責任以及刑事責任大小。從刑法角度，數據風險識別包括兩層含義：其一，判斷某種數據所承載的利益是否能夠上升為刑法法益?；谛谭ǖ闹t抑性，對于尚未上升為法益的利益，不能只依賴刑法保護；對于已經上升為法益的利益，也首先需要考慮技術手段和其他法律手段，最后才能依靠刑法手段。其二，數據處理行為所侵犯的數據利益是何種刑法法益。例如，數據利益既可以體現為計算機信息系統的功能，也可以體現為公民個人的隱私或者公司的商業秘密，還可以體現為虛擬財產權或者著作權等。有學者歸納出我國刑法對“個人數據”的保護模式有四種，即經濟秩序保護、人格權保護、物權保護與公共秩序保護，?參見勞東燕：《個人數據的刑法保護模式》，載《比較法研究》2020 年第5 期。正是基于數據法益性質及保護層次作出的分類歸納。

在風險社會背景下，如何平衡個人數據權利主體與數據控制者、數據使用者之間的利益沖突，是刑法保護數據安全法益時必須考量的首要問題。刑法作為制裁措施最為嚴厲的部門法以及其他法的保障法，不可能將所有危害社會的行為均納入刑法規制，因而在法益識別和篩選方面更加嚴格，不會將所有利益因素均納入保護范圍，而是經過利益衡量后更值得刑法保護的法益類型。對某種罪名的認定是以最重要的保護法益為核心，對其構成要件進行解釋，在罪刑法定框架下加以利益衡量。?參見崔志偉：《法益識別與“情節”評定：利益衡量作用于構罪判斷之另種路徑》，載《中國刑事法雜志》2020 年第5 期。在圍繞數據安全的利益衡量過程中，刑法因將保護數據安全放在優先位置，通過規范個人數據收集和使用行為、厘清個人數據保護與開發利用的關系，實現數據權利主體與數據控制者、數據使用者的利益平衡。而在數據的個人安全、公共安全、國家安全之間，也應當堅持“數據正義”的原則，不能片面強調個人安全法益而舍棄公共安全、國家安全法益的保護，反之亦然，應兼顧兩者之間的平衡。?參見任穎：《數據立法轉向：從數據權利入法到數據法益保護》，載《政治與法律》2020 年第6 期。

三、數據安全等級保護與分類分級

數據安全法益的界定是數據安全立法的立足點，無論現有的信息網絡安全立法，還是將來的數據安全立法，等級化保護都是一項基本制度。數據分類分級對數據安全具有重要的法益識別和風險防范的功能。刑法對數據安全的保護，首先要對各種數據的法益性質予以識別，通過數據分類分級，認識和把握數據類型、結構、組織、粒度、生命周期，以及由此形成不同層級的數據安全法益侵害風險和保護需求，在此基礎上，確定法律保護的重心，并將其作為數據犯罪罪質和罪量的評價依據。在信息安全領域，國家市場監督管理總局、國家標準化管理委員會制定出臺了一系列有關計算機系統安全等級保護的行業規范文件，對計算機信息系統安全等級化保護作出規范要求。?我國1994 年頒布的《計算機信息系統安全保護條例》首次提出計算機信息系統實行安全等級保護；2007 年的《信息系統等級保護管理辦法》開啟了信息系統安全等級保護制度建設，相關行業規范文件包括：《計算機系統安全保護等級保護體系框架》《計算機系統安全保護等級保護基本配置》《計算機系統安全保護等級保護基本模型》《計算機系統安全保護等級保護基本要求》《計算機系統安全保護等級劃分準則》《計算機系統安全保護等級保護定級指南》《計算機系統安全保護等級保護實施指南》以及新近出臺的《信息安全事件分類分級指南（征求意見稿）》。2019 年，為適應《網絡安全法》的實施，《信息系統安全等級保護定級指南》被改稱為《網絡安全等級保護定級指南》，其中3.1 規定，等級保護對象由原來的信息系統調整為基礎信息網絡、信息系統（含采用移動互聯技術的系統）、云計算平臺/系統、大數據應用/平臺/資源、物聯網和工業控制系統等，原來各個級別的安全要求分為安全通用要求和安全擴展要求?！稊祿踩ǎú莅福返?9 條規定：“國家根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度，對數據實行數據分類分級保護”。以下對數據分類與分級及其相互關系予以分析。

（一）數據分類與數據分級

首先，所謂“數據分類”，是指根據數據的屬性進行區分和歸類，通過明確數據的本質、屬性、權屬及其相關關系，了解各個數據是如何被使用的，確定哪些數據屬于何種類別。在數據分類方面，美國對受控非密信息的管理制度可資借鑒。該制度主要按照行業將受控非密信息分為二十大類，如隱私、專利、移民、金融、商業信息、稅收、交通等。這些大類又被細分為許多子類，每個類別都有對應的子類別。比如，隱私類被細分為合同使用、死亡記錄、一般隱私信息、遺傳信息、健康信息等子類別。每個子類均有詳細的定義、各自的強制分類標識、所對應的分級保護標準以及相應的法律責任。?參見侯利陽、賀斯邁：《如何對數據進行分級分類保護》，載《檢察風云》2020 年第19 期。我國目前對于數據分類保護規制最多的行業主要是金融業，其基本的分類路徑是按照影響對象、影響范圍、影響程度對數據進行大類別劃分，再通過對業務和數據細分?！毒W絡安全法》第31 條規定，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。參照以上規定，考慮到不同領域的數據有不同的鮮明特性，數據分類可以按照數據領域的劃分為主，將數據區分為金融、交通、能源、醫療健康、電子政務等領域的數據。

其次，所謂“數據分級”，是指按照一定的分級原則對分類后的組織數據進行定級。通過對數據的分類分級，識別數據對組織的具體價值，確定以何種適當的策略，保護數據的完整性、保密性和可用性。例如，基于數據主權觀念，世界各國對數據流向一般都進行數據出口限制，許多國家作出數據存儲本地化的要求。21參見黃志雄：《網絡主權論》，社會科學文獻出版社2017 年版，第27 頁。我國對中國公民個人信息的跨境流動作了規范要求，敏感程度不同的數據在內部使用時受到的保護策略不同，對外共享開放的程度也有差異。對于涉密數據，遵循國家相關法規標準進行分級和管理?！稊祿踩ǎú莅福返?9 條、第25 條、第28 條均涉及“重要數據”的規范，然而該草案沒有對“重要數據”做出定義，也未能回應《網絡安全法》第21 條、第37 條關于“重要數據”的安全等級保護與境內儲存原則的規范。22我國《個人信息和重要數據出境安全評估辦法（征求意見稿）》和《數據出境安全評估指南（草案）》將“重要數據”定義為“與國家安全、經濟發展，以及社會公共利益密切相關的數據”?！队嬎銠C系統安全保護等級劃分準則》第4 條規定了計算機信息系統安全保護能力的五個等級：用戶自主保護級、系統審計保護級、安全標記保護級、結構化保護級、訪問驗證保護級?！缎畔⑾到y安全等級保護基本要求》4.2 規定了不同等級的信息系統應具備的基本安全保護能力?！缎畔踩录诸惙旨壷改希ㄕ髑笠庖姼澹?.1.1 規定，對信息安全事件的分級主要考慮三個要素：信息系統的重要程度、系統損失和社會影響。由此將信息安全事件分為四個級別：特別重大事件、重大事件、較大事件和一般事件。參照上述規定，按照對國家安全和重大社會公共利益的危害程度，可以將不同領域的數據劃分為三個層次，按重要性大小分別是“重要數據”“受控數據”和“一般數據”。其中，“重要數據”是指直接關系國家安全的數據；“受控數據”是指可能影響國家安全而應予限制傳播的數據，兩者應當是《數據安全法》規范和保護的重點。

（二）數據分類與分級的關系

就數據分類與分級的關系來看，兩者屬于不同維度，但密不可分。從邏輯順序上，應當是先“分類”后“分級”，兩者結合起來完成對數據法益的識別和判斷?！缎畔踩录诸惙旨壷改希ㄕ髑笠庖姼澹犯戒汚 規定了信息安全事件分類與事件分級的關系，指出一個信息安全事件類別可能具有不同的嚴重級別，這不僅取決于業務，還取決于信息安全事件的性質，如故意性、目標性、時機、量級。23《網絡安全等級保護定級指南》4.2 規定，等級保護對象的級別由兩個定級要素決定：一是受侵害的客體，包括公民、法人和其他組織的合法權益；社會秩序、公共利益、國家安全；二是對客體的侵害程度，由客觀方面的不同外在表現綜合決定。對客體的侵害外在表現為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。《網絡安全等級保護定級指南》4.2 規定了決定等級保護對象級別的兩個定級要素；4.3 規定了定級要素與安全保護等級的關系，如下表：

通過以上表格可以看出，受侵害的客體與對客體的侵害程度包含著許多變量因素，同一類的受侵害客體，所遭受侵害程度不同，保護等級也會有不同情況；不同類的受侵害客體，雖然法益性質輕重有別，但由于所遭受侵害程度也有輕重差別，也可能處于同一保護級別。同樣地，同一種類的數據由于定級要素的變化，可能處于不同保護等級；反之，不同種類的數據，由于客體所遭受侵害程度相同，也可能得到相同級別的保護。對數據安全的法律保護應當以數據安全為核心，在對不同領域的數據進行分類的基礎上，綜合考慮影響分級的各種定級要素，確定數據安全保護的不同層級采取不同方式加以保護。例如，對于反映個人網絡行為軌跡信息的數據，諸如瀏覽器搜索關鍵詞、用戶操作記錄，通過互聯網觀看、收聽、閱讀視聽內容的記錄，支付軟件的交易記錄，軟件翻譯記錄，位置蹤跡，網購足跡，智能穿戴設備收集的身體體征信息，系統錯誤報告信息等，不能將其籠統地納入公民個人信息法律保護范圍，而應結合個人行為軌跡信息的存在形態、樣本數量、與其他信息數據的結合程度進行大致的分類，采用不同等級的保護標準。一是強等級保護。對于個人隱私信息數據應強調其“私密性”，強化其防御性保護，非特定情形不得處理；二是次強等級保護。對于個人財產信息數據中的交易消費記錄、虛擬財產信息，以及個人的行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息，數據控制者收集該類數據必須獲得數據主體明示同意，同時，數據控制者要遵循合法收集、目的限制、最小夠用等原則，數據主體享有查詢、更正、刪除、撤回同意等權利；三是弱等級保護。對于智能穿戴設備收集的身體體征信息數據，系統錯誤報告，用戶改善計劃，用戶接入網絡的方式、類型和狀態，網絡質量數據，設備加速器等，數據控制者收集該類數據只須獲得數據主體默示同意即可；四是最弱等級保護。對于匿名信息數據，可分為單一的行為軌跡信息和偶然的“標簽化”行為軌跡信息兩類，再根據其數據安全法益的重要程度進行選擇不同的保護模式，茲不贅述。24參見韓新遠：《個人網絡行為軌跡信息的分類保護》，載《檢察日報》2020 年11 月14 日，第3 版。

四、數據犯罪的刑法規制及其不足

互聯網的發展經歷了從計算機信息系統、信息網絡到網絡數據的核心轉變，與之相對應，數據安全領域的犯罪也呈現出“犯罪對象”“犯罪工具”“犯罪空間”的三種類型。與傳統犯罪不同，數據犯罪是以數據為載體，表征傳統的人身或財產法益，是傳統犯罪的數字化和“網絡異化”。互聯網背景下，日益增生泛濫的信息數據犯罪給刑事立法提出新的挑戰。

（一）數據犯罪的內涵及刑事立法比較

從狹義角度，“數據犯罪”是指所有與數據有關的犯罪，以數據為對象、以數據為載體、以數據為工具的犯罪，其中包括了信息安全、網絡安全領域的相關罪名。本文中的“數據犯罪”是從狹義層面來理解的，即直接以數據為對象、侵害數據安全法益的犯罪。具體來說，包括《刑法》第285 條的非法獲取計算機信息系統數據罪、第286 條第2 款破壞計算機信息系統罪中“對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作”的規定，但同時，也將其放入數據安全保護的罪名體系中加以認識和把握。因為，與數據安全法益保護相關的罪名明顯不限于狹義的數據犯罪。其中，既有傳統的擾亂社會秩序的犯罪在網絡空間中的“異化”情形，也有以網絡終端、網絡運行、網絡數據等為犯罪對象的情形。因此，廣義上的數據犯罪包括所有以數據為對象、載體或工具，侵犯公民個人權益、社會秩序或公共利益、國家安全的犯罪。有的罪名是將數據作為信息加以保護，有的罪名則是將數據作為計算機信息系統的內在組成部分加以保護。25參見王倩云：《人工智能背景下數據安全犯罪的刑法規制思路》，載《法學論壇》2019 年第2 期。不同罪名的法益性質不同，保護重心不同，相互之間也存在重合和交織。這些罪名均具有“公共安全”法益的共同屬性，在數據安全法益的界域內，以數據為對象的犯罪為主要罪名，以信息安全、網絡安全為保護法益的犯罪為緊密關聯罪名，共同構成數據安全法益保護的罪名體系。

近年來，世界各國頻繁修改甚至重新制定刑法典，刑事立法出現活躍化趨勢，犯罪化、處罰的早期化、重刑化是其主要表現。26參見陳家林：《外國刑法理論的思潮與流變》，中國人民公安大學出版社、群眾出版社2017 年版，第1-5 頁。歐盟的許多國家從上世紀80 年代開始不斷修改涉及計算機信息網絡領域的犯罪。2001 年歐洲理事會制定的《網絡犯罪公約》成為各國刑事立法范本。該公約第1 條、第4 條、第5 條分別規定了“非法存取”“數據干擾”“數據竊探”等直接以數據為對象的犯罪行為。法國刑法典設專章規定了“侵犯資料自動處理系統罪”，分別對侵害計算機信息系統、侵害計算機存儲數據等行為及其處罰作出了規定。德國刑法典圍繞數據資料設立了資料偽造罪、變更資料罪，尤其是對企業信息數據安全予以特殊保護，對侵犯數據安全、干擾數據正常運行的行為予以刑事制裁，這與我國現行《刑法》以保護計算機信息系統為中心的立法模式不同。27參見于沖主編：《域外網絡法律譯叢·刑事法卷》，中國法制出版社2015 年版，第3-4 頁。值得關注的是，德國刑法中的數據犯罪涵蓋了數據流通過程中的諸多環節，囊括了非法探知、截留、預備探知或截留、窩藏、變更數據等犯罪行為，通過對預備行為的實行化、處罰未遂犯等方式加大對數據犯罪的打擊力度。28參見汪東升：《個人信息的刑法保護》，法律出版社2019 年版，第72 頁。上述立法經驗值得我國借鑒。

（二）我國數據安全刑法保護的不足

應當看到，大數據時代圍繞數據動態處理模式的革新，作為對象的數據的范圍發生了巨大變化，數據犯罪的行為手段日趨技術化、多樣化，如拖庫撞庫、數據攔截、木馬植入、網絡爬蟲等，29新近出臺的《信息安全事件分類分級指南（征求意見稿）》將“信息安全事件”分為有害程序、網絡攻擊、數據攻擊、有害內容、設備設施故障、違規操作、不可抗力、其他事件等8 個基本分類。其中，網絡攻擊事件包括數據篡改、數據假冒、數據泄露、數據竊取、數據攔截、數據丟失、數據錯誤、數據勒索等。這種技術范式的轉變必然要求法律規范層面進行相應的轉變。然而，現行《刑法》對數據安全的保護是靜態的、偏重于對計算機信息系統安全的保護，現有刑法和司法解釋也是以“計算機信息系統安全”為中心，通過擴大解釋其涵攝范圍，強化對數據犯罪的刑法規制。從數據安全保護角度，這種立法模式在觀念和規范層面均存在不足。

首先，《刑法》第285 條、第286 條規定的非法侵入計算機信息系統罪和破壞計算機信息系統罪。其中，非法侵入計算機信息系統罪的適用范圍限定在對數據進行處理的計算機信息系統之內，且計算機信息系統的范圍僅限于“國家事務、國防建設、尖端科學技術領域”，沒有直接以“數據安全”作為保護對象。同樣的，破壞計算機信息系統罪也忽視了計算機信息系統中存儲、傳輸或者處理的數據的獨立價值，導致數據犯罪與其他計算機信息網絡犯罪的罪名適用爭議。

其次，《刑法修正案（七）》在第285 條增設非法獲取計算機信息系統數據罪，非法控制計算機信息系統罪，提供侵入、非法控制計算機信息系統程序、工具罪。在上述罪名中，被侵害的并非技術層面的網絡安全，而是作為信息載體的數據安全。信息時代，“計算機信息系統安全”也成為一個多維概念，包括作為信息載體的數據安全、承擔信息技術處理的計算機信息系統功能運行安全，以及負責計算機信息傳輸的通信網絡安全。但《刑法修正案（七）》對上述罪名依然沿用了“計算機信息系統數據”的概念，固守數據的封閉性、靜態性和從屬性，涵攝內容范圍較為狹窄，無法適應網絡數據內容、類型多樣化的特點和要求。

再次，《計算機安全刑案解釋》第1 條對《刑法》第285 條第2款的“情節嚴重”作了進一步解釋，其中對于數據的類型規定比較單一，僅限于身份認證信息，將犯罪對象嚴格限縮為與身份認證信息有關的“數據”，而并沒有將“數據”從“信息系統”中分離出來加以獨立保護。此種數據類型過于附著于信息系統功能，法律沒有關注數據自身內容屬性上的價值與保護必要，而且類型單一、范圍狹窄，局限于以驗證為內容的數據。而在實踐中，已經發生大規模竊取具有身份認證信息之外系統數據的違法犯罪活動，部分行為已被認定為屬于非法獲取計算機信息系統數據罪中的“數據”，如竊取網絡賬戶的密碼、行蹤信息，“數據”的范圍實際上得以擴充。該司法解釋首次使用了“計算機系統”的術語，將幾乎所有與計算機相關聯的網絡終端設備都擴張解釋為計算機信息系統。30《計算機安全刑案解釋》第11 條規定，本解釋所稱“計算機信息系統和計算機系統”是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。然而，該解釋始終未區分數據的對象功能和媒介、工具功能，未能結合獨立的數據安全法益來加以說明，而是將所有以數據為載體的法益侵害行為都涵蓋進來，“數據犯罪”最終為傳統的計算機安全犯罪所遮蔽，這顯然是不合理的，實踐中也會導致數據犯罪罪名的濫用。有學者就指出，非法獲取計算機信息系統數據罪和破壞計算機信息系統罪都有成為“口袋罪”的趨勢，主張對該罪名中的“數據”對象范圍進行限縮解釋。31參見楊志瓊《：非法獲取計算機信息系統數據罪“口袋化”的實證分析及其處理路徑》，載《法學評論》2018 年第6 期。

最后，《刑法修正案（九）》加大了對信息安全的保護力度，將侵害個人信息的兩個專屬罪名合并為侵犯公民個人信息罪，取消了主體身份限制、通過加檔提升法定刑加重了處罰力度。2017 年“兩高”出臺的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑案解釋》）明確界定了“公民個人信息”的范圍、細化了入罪標準?！缎谭ㄐ拚福ň牛奉C布時正處于互聯網由以信息網絡為主導向以網絡數據為主導的代際過渡階段，缺乏一定的前瞻性，仍未對數據概念進行擴容和法律地位獨立化，而是將其雜糅進計算機信息系統數據以及公民個人信息等概念中予以模糊化處理，導致司法實踐中因法益性質界定不清，罪名適用產生偏差。例如，侵犯公民個人信息罪對侵害“個人信息”的行為方式只包括了非法獲取、出售和提供，對于非法修改、刪除個人重要信息的行為無法適用侵犯公民個人信息罪處理，最后只能認定為破壞型數據犯罪。由于數據安全犯罪與信息安全犯罪、網絡安全犯罪存在刑法錯位，如果以“計算機信息系統安全”為該罪法益指導破壞型數據犯罪適用，將計算機信息系統功能是否受到破壞以及破壞程度作為入罪標準，將難以區分破壞型數據犯罪與非法控制計算機信息系統罪，也難以合理限定數據犯罪的處罰范圍。

五、數據分類分級的定罪量刑功能

對于數據犯罪來說，法益的識別具有重要的犯罪構成要件“解釋論機能”。32參見張明楷《：法益初論》，中國政法大學出版社2000 年版，第216 頁。不同種類的數據所蘊含的法益性質不同，對數據安全保護的重要性也有差別，所需要保護的安全層級也不同。學界一般認為，我國《刑法》中非法獲取計算機系統數據罪和破壞計算機系統罪的保護法益是一種秩序法益或抽象法益，即“計算機信息系統管理秩序或制度”；兩種罪名的定罪量刑標準一般都是“情節嚴重”“嚴重后果”等綜合性規定。然而，由于網絡空間的虛擬性和技術性，刑法中管理秩序法益的抽象化，會使司法機關對相關罪名的定罪量刑產生困難。為了避免數據犯罪出現司法適用的“口袋化”或“虛置化”傾向，有必要通過數據分類分級，以數據安全保護為核心，合理界定數據的法益屬性和保護等級，使其在對數據犯罪的罪質界定與罪量評價方面發揮積極作用。

（一）數據分類與數據犯罪的罪質界定

確定數據犯罪的入罪門檻，區分數據犯罪與相關罪名的關鍵在于法益性質的界定。通過識別和判斷作為某種犯罪對象的數據所反映的客體性質、客體所遭受的侵害程度，明確其對數據安全的重要程度和保護等級，對犯罪行為的罪質予以評價，決定是否適用、如何適用數據犯罪及其他相關罪名。

1.數據犯罪對象保護等級與入罪門檻的確定。信息時代背景下，刑法應當以動態的、獨立的、開放的數據概念逐步取代靜態的、附屬的、封閉的“計算機信息系統數據”的概念。例如，《刑法》第285 條規定的非法獲取計算機信息系統數據罪，該罪名將保護對象范圍限定于“身份認證信息”，33《計算機安全刑案解釋》第11 條規定，“身份認證信息”是指用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等；《個人信息刑案解釋》第1 條規定，“公民個人信息”包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。與侵犯公民個人信息罪中的“公民個人信息”對象范圍產生重合，為司法機關帶來定罪上的困難。實踐中，應當通過司法解釋適度擴張該罪名適用的對象范圍，將所有能夠識別出用戶身份、行為等信息的網絡數據均納入刑法保護范圍。再如，《數據安全法（草案》第四章“數據安全保護義務”中規定，對“重要數據”的處理者做出了更嚴格的要求，如設立數據安全負責人和管理機構、落實數據安全保護責任、定期開展風險評估等，并對重要數據跨境轉移流動予以嚴格限制。如果相關個體或組織違反了上述規定義務，則可能面臨不作為的刑事責任承擔。司法機關可以通過數據分類分級，綜合考慮主客觀方面的各種定級要素，設定數據的篡改、假冒、泄露、竊取、攔截等不同數據處理行為的入罪門檻，在對處于最低保護等級的普通數據設定入罪標準的基礎上，對處于較高、最高保護等級的數據就可以相應地設置更低的入罪門檻。當然，數據的定級要素諸如危害方式、危害后果和危害程度都是變量的，對于涉及國家安全、社會秩序、公共利益與公民個體權益等不同法益性質的數據犯罪，其保護級別和入罪門檻也會產生交叉和重合。建議司法機關通過制定相關罪名的定罪量刑指導意見，列舉不同罪名在分類分級的不同情況下具體的定罪標準，供辦案人員參照適用，同時也保留適當的裁量空間，以便在數據的定級要素出現復雜變化情況時作出靈活應對。

2.非法獲取計算機信息系統數據的罪質界定。比較來看，《刑法》第285 條的非法獲取計算機信息系統數據罪與處于同一條款的非法侵入計算機信息系統罪的適用對象是互斥排他的關系。后種罪名的適用對象范圍為“國家事務、國防建設、尖端科學技術領域”的計算機信息系統，前種罪名的適用對象范圍即被限縮在該重要領域以外的計算機信息系統數據。但究竟如何認定“國家事務、國防建設、尖端科學技術領域”缺乏明確標準，對此，《計算機安全刑案解釋》也未予以明確。要從根本上解決此定罪難題，首先應確定某種計算機信息系統數據是否屬于“國家事務、國防建設、尖端科學技術領域”的數據類別，從而確定上述兩罪名的適用對象范圍。值得關注的是，國家司法機關在《計算機安全刑案解釋》制定過程中，曾設想將如下條件作為判斷是否屬于“國家事務、國防建設與尖端科學技術領域”計算機信息系統的標準，即“國家機關、軍隊、國防工業、科研領域中的下列計算機信息系統屬于《刑法》第285 條第1 款規定的‘國家事務、國防建設、尖端科學技術領域的計算機信息系統’：安全保護等級達到三級以上的計算機信息系統；秘密級以上的涉密計算機信息系統；其他關系國家安全、社會秩序和公共利益的重要計算機信息系統。”34參見喻海松：《網絡犯罪二十講》，法律出版社2018 年版，第26 頁。這種設想的基本思路是在對數據犯罪對象分類分級的基礎上設定入罪標準，是值得肯定的。

3.破壞計算機信息系統罪中“刪除、修改、增加數據”的罪質界定。不少學者主張，本罪中“刪除、修改、增加數據”行為必須導致計算機信息系統不能正常運行或至少與信息系統安全具有關聯性，才能構成犯罪。如有學者認為，刑法中“刪除、修改、增加數據”的行為“都要求達到使數據喪失正常功效，影響數據的正常使用或運行的程度”35楊志瓊：《我國數據犯罪的司法困境與出路：以數據安全法益為中心》，載《環球法律評論》2019 年第6 期。；還有學者認為，“既然第285 條第2 款的規范目的是保護數據本身的安全，則從合邏輯的角度而言，第286 條第2 款的規范目的也應當是一般的數據與應用程序的安全。”36勞東燕：《功能主義刑法解釋的體系性控制》，載《清華法學》2020 年第2 期。司法實踐中，也有不少判決將影響計算機信息系統功能作為入罪標準。例如，在國內首起“流量劫持”案即“付宣豪、黃子超DNS 劫持案”中，法院生效裁判認為，被告人使用惡意代碼修改互聯網用戶路由器的DNS 設置，將用戶訪問導航網站的流量劫持到其設置的導航網站，并將獲取的互聯網用戶流量出售，顯然是對網絡用戶的計算機信息系統功能進行破壞、致使系統不能正常運行，其行為符合破壞計算機信息系統罪的客觀行為要件。再如，最高人民法院于2020 年12 月31 日發布第26 批指導性案例中的“張竣杰等非法控制計算機信息系統案”，法院生效裁判認為，被告人通過植入木馬程序的方式，非法獲取網站服務器的控制權限，進而通過修改、增加計算機信息系統數據，向相關計算機信息系統上傳網頁鏈接代碼的，應當認定為非法控制計算機信息系統的行為；通過修改、增加計算機信息系統數據，對該計算機信息系統實施非法控制，但未造成系統功能實質性破壞或者不能正常運行的，不應當認定為破壞計算機信息系統罪，應當認定為非法控制計算機信息系統罪。前者所侵犯的法益是計算機信息系統的運行安全，須導致計算機信息系統本身不能正常運行；而后者所侵犯的法益為計算機信息系統的保密性和控制性。可見，判斷行為所侵害的法益是數據安全還是計算機信息系統安全，是區分兩罪的關鍵。

4.數據犯罪與傳統犯罪的法益界分及罪名適用。在數據犯罪中，數據是作為犯罪對象，行為人以侵犯數據安全法益為目的，而不是行為人實施其他犯罪的工具或手段，這是數據犯罪與侵犯人身、財產權益等傳統犯罪區別的關鍵所在。實踐中，行為人單純獲取、刪除、修改、增加數據的情形較少，多數是通過對數據法益的侵害來實現非法取財、獲取個人信息、商業秘密等其他目的，應構成侵犯公民個人信息罪、侵犯商業秘密罪等相應的罪名。37《刑法》第287 條也作出規定：“利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，依照本法有關規定定罪處罰。”數據與信息具有互通性，涉及到個人信息的數據犯罪，在定罪時可以參考《個人信息刑案解釋》規定的數額、數量或情節標準，在此基礎上，還要考慮行為對數據安全法益所造成的侵害或影響。須指出，數據安全法益和人身、財產等傳統法益之間是非此即彼關系，而非包容關系，這決定了數據犯罪與傳統犯罪在法條關系上呈現出中立關系，而非競合關系。對于一個侵犯數據的行為，因為作為犯罪對象的“數據”具有單一性，只能評價為一罪。而不可能同時對“數據”進行多次法益評價，認定不同罪名進而適用法條競合或想象競合犯，應當按照從一重罪論處；處刑時，還須綜合考慮信息的公開程度、數據的技術保護措施嚴密程度進行裁量。38參見王鐳：《“拷問”數據財產權——以信息與數據的層面劃分為視角》，載《華中科技大學學報（社會科學版）》2019 年第4 期。

（二）數據分級與數據犯罪的罪量評價

我國《刑法》中數據犯罪的構成要件采取“定性+定量”的立法模式，“情節嚴重”是常見的罪狀表述方式。傳統的犯罪定量標準如數額、物數、人數、次數、人次等，在信息時代背景下，其適用范圍和定罪量刑價值逐漸發生變化，特別是對于信息網絡犯罪，原來在經濟犯罪、財產犯罪的定罪標準中起著決定作用和主要地位的犯罪數額，如違法所得數額、經濟損失數額等，變得不再那么重要。隨著數字化技術的廣泛運用，數據犯罪的定罪標準從“數額為主，情節為輔”轉向“數額與情節并重”或“以情節為主”的模式。在此情況下，應當在數據分類分級的基礎上，根據數據安全法益保護的必要性及重要程度，明確數據犯罪的數額或數量標準和綜合性情節的罪量評價要素。

《計算機安全刑案解釋》第1 條對非法獲取計算機信息系統數據罪的“情節嚴重”定罪標準進行了列舉，包括數額標準和物數標準，如經濟損失、違法所得、計算機臺數、身份認證信息組數等。但上述標準均弱化了“后果”“情節”與數據安全法益的關聯性，未能充分體現數據犯罪法益侵害性；該解釋第4 條對破壞計算機信息系統罪的定罪標準“后果嚴重”規定了數據賴以儲存的計算機臺數，違法所得或經濟損失數額以及造成為一定數量計算機或用戶服務的計算機信息系統不能正常運行的小時數等。然而，當行為人侵害的數據并非儲存于“計算機信息系統”中時，該臺數標準便無法適用，引發司法認定難題。對數據犯罪的罪量不能僅僅從行為對公民個人所造成的實際侵害或損失加以評價，而應當更多地考慮行為對社會秩序、公共利益乃至國家安全的侵害或影響。數據犯罪的罪量評價標準除了行為人違法所得、被害人經濟損失、被侵害的數據或數量因素之外，還包括影響國家、社會或個人正常的工作秩序或生活秩序，或造成惡劣社會影響等綜合情形。隨著信息技術的不斷發展，原有的數據安全定級要素會增加新的內容，罪量評價標準也會隨之發生變化，諸如數據流量、安全漏洞數，注冊會員數、點擊瀏覽或下載數量、系統正常運行時長、網絡中斷時長及影響用戶數、網絡故障導致的事故損害后果等。非法獲取、刪除、修改、增加數據對社會秩序、公共利益或國家安全的侵害和影響越大，這些罪量因素的定罪量刑作用也越來越重要。須指出，上述罪量因素中有的具有明顯定量特征，如果經過司法實踐檢驗進行“數量化”是切實可行的，國家司法機關就可以通過司法解釋明確規定其為定罪量刑的具體數量標準；有的罪量因素是比較模糊和抽象的，則不一定被明確規定為具體數量標準，但可以放入“情節嚴重”或“后果嚴重”中綜合加以考量。另外，數據安全法益本身是抽象的，在設定罪量標準時，沒必要一味追求數據分類分級的定量化，這樣也容易導致實踐操作的刻板僵化。相關司法解釋應當設置一定的柔性規范或兜底規定，允許法官在個案審理中保留一定自由裁量空間，這樣更有助于實現定罪量刑的實質公正。

六、結語

互聯網時代，數據安全面臨著前所未有的被侵害風險，無論是與數據有關的公民個人權益、公共利益、社會秩序還是國家安全，刑法所保護的數據法益已無法依附于“計算機信息系統安全”的技術范疇，數據安全應作為獨立法益加以保護，從“技術性”回歸“本體性”。39參見前注35。目前，我國刑事立法在數據安全保護方面仍存在觀念落后、立法滯后、司法保護不足的缺陷和問題。由于數據安全法益屬性和保護層次界定不明，僅有的以數據為規制對象的非法獲取計算機信息系統數據和破壞計算機信息系統罪，與信息安全犯罪、網絡安全犯罪以及其他傳統犯罪之間的界限難以厘清。在此情況下，就特別需要圍繞數據安全的法益保護，對不同種類的數據進行法益識別，確定刑法保護的重點以及所應適用的罪名，在此方面，數據的分類分級具有重要的法益識別功能，但目前數據安全立法并沒有作出系統全面和細致的規定，需要在以往信息安全、網絡安全等級保護制度的基礎上做進一步完善。將來的刑事立法應著力改變現有的以保護計算機信息系統安全為核心的模式，確立以“數據安全”為核心，完善數據犯罪的相關罪名，為數據安全提供多層次、體系化的刑法保障；司法層面，通過數據分類分級，明確不同種類的數據在數據安全保護方面的不同層級需求，準確適用數據犯罪及其關聯罪名，實現數據安全法益的體系化刑法保護。