網絡數據犯罪刑法規制體系的構建

劉憲權 石雄

摘要：我國現行刑事立法沒有規制網絡數據犯罪的獨立體系。刑法主要從網絡數據所依托的計算機信息系統與所承載的信息內容對網絡數據犯罪進行規制。計算機系統犯罪體系在對網絡數據犯罪的規制上存在較大缺陷。在概念劃定與罪名設置上將“計算機信息系統”與“數據”進行雜糅，導致實務中在認定相關罪名中的“數據”概念及保護法益時存在困難;對網絡數據安全的保護未能覆蓋數據安全的全生命周期，導致調整范圍受到限制;未在刑事立法中體現前置法強調的數據分類分級保護制度，導致部分條款有違罪刑均衡原則。有必要在立法層面補充獨立的數據視角，明確網絡數據的外延范圍與網絡數據犯罪的保護法益;擴張相關犯罪的行為方式以覆蓋數據安全的全生命周期;對相關法條進行糾錯，同時根據數據在經濟社會發展中的重要程度，以及數據安全一旦受到侵害造成的危害程度，建立網絡數據安全的分類分級刑法保護機制。

關鍵詞：網絡數據 數據安全 計算機信息 系統分類 分級保護

一、引言

隨著萬物互聯的大數據時代的到來，數據技術的迭代引發數據規模呈爆炸式增長。網絡數據作為新時代的生產要素，其需求與應用日益廣泛，其要素價值的釋放路徑也更加多元。與此同時，網絡數據面臨的安全風險也隨之凸顯，暴露出網絡數據安全的脆弱性與易受攻擊性。一方面，數據應用的復雜性和數據分析挖掘的多樣性增加了數據權屬管理和抵御安全攻擊的難度;另一方面，越來越多的跨組織間數據流通進一步加劇了數據被盜用、誤用、濫用的安全風險。①在數據違規收集、數據泄露、數據丟失、數據濫用等安全事件層出不窮的社會現實下，網絡數據犯罪逐步成為網絡犯罪中的重要組成部分。如何應對大數據時代下嚴峻的數據安全威脅？這顯然是刑法無法忽視的焦點問題。

2021年6月10日我國公布了首部獨立的有關數據保護的《數據安全法》，標志著我國數據保護制度建設里程碑式的進步。該法明確了數據的定義，即所謂數據是指“任何以電子或其他方法對信息的記錄”?？梢?，《數據安全法》劃定的數據的外延范圍幾乎可以涵蓋所有以電子形式、實體形式等各種形式對信息的記載。此前2016年11月7日公布的《網絡安全法》則明確：“網絡數據”是指“通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”。其中“網絡”是指“由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統”。由此可以看到，網絡數據是數據下屬網絡數據犯罪主要包括以網絡數據為犯罪對象的犯罪和以網絡數據為犯罪工具的犯罪。前者通常表現為直接以網絡數據作為行為的作用對象，意在侵害數據保密性（confidentiality）、完整性（integrity）和可用性（availability）的犯罪，是“純正的”網絡數據犯罪，可以將其稱之為狹義的網絡數據犯罪。后者則通常表現為對網絡數據的非法利用，是信息網絡時代催生出的傳統犯罪行為的網絡異化，即原本在傳統現實社會可以通過物理性的實體工具得以實現的行為，在蔓延到網絡虛擬空間后，轉而借助網絡數據為載體或工具加以實施。如現下頻發的刷單炒信行為，正是不法分子利用電商平臺中虛假的銷售數據、賣家評價數據等進行的虛假廣告、破壞生產經營行為。對于此類以網絡數據作為工具或媒介的“不純正”的網絡數據犯罪，其侵害的法益同網絡異化前的傳統犯罪無異，通過對傳統刑事法規進行與時俱進的刑法解釋可以實現其與具體事實行為之間的對接。在司法實踐中通?？梢赃m用《刑法》第287條利用計算機實施犯罪的提示性規定對相關網絡數據犯罪采用傳統犯罪罪名定罪處罰。而“純正的”網絡數據犯罪則與之不同，其侵害的數據保密性、完整性與可用性是網絡時代獨立于傳統犯罪的新興法益。有鑒于此，以網絡數據作為行為對象的網絡數據犯罪是本文擬探討的重點。

二、網絡數據犯罪的刑事法律規制現狀

（一）網絡數據犯罪的刑事立法規制現狀

由于網絡數據通常依托于計算機信息系統及其相關的網絡設施，我國刑法對網絡數據的保護，主要是圍繞著對計算機信息系統犯罪（也稱計算機系統犯罪）的規制展開的。1997年《刑法》設立了非法侵入計算機信息系統罪與破壞計算機信息系統罪以保護計算機信息系統安全，其中第285條非法侵入計算機信息系統罪主要規制對國家事務、國防建設以及尖端科學技術領域的計算機信息系統的侵入行為，適用范圍較窄，無法有效打擊實踐中對其他領域計算機信息系統安全的侵害。為此，2009年《刑法修正案（七）》增設了第2款非法獲取計算機信息系統數據、非法控制計算機信息系統罪以對第1款進行補充，通過取消對計算機信息系統性質的限制擴大了相關計算機系統犯罪的規制范圍，重點強調了對計算機信息系統中存儲、處理或者傳輸的數據的保護。同時，《刑法修正案（七）》增設第3款提供侵入、非法控制計算機信息系統程序、工具罪，將提供第1款、第2款犯罪所需程序、軟件的幫助行為在立法上予以正犯化。2015年《刑法修正案（九）》則對前述兩罪增設了有關單位犯罪的規定?？梢姡?997年《刑法》以來，相關計算機信息系統罪名歷經多次修正，經過立法者的不斷調適，形成了較為完整的梯度式的計算機系統犯罪規制體系。

當前在計算機系統犯罪體系，用于制裁網絡數據犯罪、保護網絡數據安全的罪名主要集中于《刑法》第285條第2款非法獲取計算機信息系統數據罪以及第286條第2款破壞計算機信息系統罪。前者主要規范侵入計算機信息系統或者采用其他技術手段，獲取該系統中存儲、處理或者傳輸的數據的行為，懲治對網絡數據的非法獲取行為;后者則主要規范對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作行為，懲治對網絡數據的破壞行為。兩罪具有不同的法益保護重點，前罪旨在保障網絡數據的保密性，以確保數據利益主體對數據的排他性獲取、復制、使用與處分等權益③;后罪則重在保障網絡數據的完整性與可用性，以確保相關網絡數據的內容不被其他主體破壞以及數據利益主體可隨時訪問和使用數據。兩罪所保護的法益互為補充，基本覆蓋了刑法對網絡數據法益的全方面保護。

除此之外，我國刑法對網絡數據安全的保護，尤其是對網絡數據內容保密性的保護，還主要圍繞著網絡數據所承載的具體內容即信息展開進行。我國實際上通過對“計算機信息系統數據”作信息化的解釋將數據與信息兩者進行有機的結合而非將其割裂開來，以實現對其保護。④信息是作為存在形式的數據的實質內容，是以電磁信號為主要形式的、在計算機網絡化系統中進行獲取處理、存儲、傳輸和利用的信息內容。⑤電子數據作為計算機信息系統或者網絡系統中的存在形態，可以表現為文字、聲音、圖像等各種單一或組合的形式，這些各樣的外在表現形式本身只是載體，這些形式載體只有被轉換為文字內容、聲音內容、圖像內容等，也就是信息內容后才具有實質內容上的意義。反之，信息內容也無法脫離載體單獨存在，只有依托于數據這一形式載體信息的實質內容才能夠得以體現?？偨Y而言，數據和信息是載體和內容、形式和實質的關系。正因為如此，有學者認為，在我國刑法的語境下，保護數據即保護信息。⑥事實上，數據承載的信息內容通常具有不同的信息屬性，可能涉及國家秘密、商業秘密、個人隱私等。數據的價值，不僅體現在其本身的技術層面，還體現在其具體內容與現實世界受保護法益的聯系上。⑦相關數據所承載的信息內容的性質極大程度上決定了侵害不同數據所造成的不同社會危害性，在此意義上侵害相關數據安全行為的定性，主要取決于相關數據所承載的信息內容的性質。

當相關網絡數據所承載的信息內容具有國家秘密（包括軍事秘密）屬性時，侵害網絡數據保密性的行為可能構成非法獲取國家秘密罪，為境外竊取、刺探、收買、非法提供國家秘密罪，故意（過失）泄露國家秘密罪，非法獲取軍事秘密罪，為境外竊取、刺探、收買、非法提供軍事秘密罪，故意（過失）泄露軍事秘密罪等罪;當相關網絡數據所承載的信息內容具有知識產權屬性時，侵害該類網絡數據保密性的行為可能構成侵犯商業秘密罪或為境外竊取、收買、非法提供商業秘密罪等罪;當相關網絡數據所承載的信息內容具有個人身份屬性時，侵害該類網絡數據保密性的行為可能構成侵犯公民個人信息罪等罪。

當前我國刑事立法分別從網絡數據所依托的計算機信息系統以及網絡數據所承載的信息內容兩個方面實現對網絡數據安全的保護。前者主要通過確保計算機信息系統不被侵犯以保護網絡數據的保密性、完整性和可用性;后者則主要保護網絡數據所承載的信息內容的保密性，本質上是對信息安全的保護。

（二）網絡數據犯罪的刑事司法規制現狀

當前我國司法實踐對“數據”的理解較為混亂，尤其是對計算機系統犯罪中“數據”的內涵與外延，尚未達成統一。

一方面，相關司法解釋將非法獲取計算機信息系統數據罪中的“數據”限縮為“支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息”以及“其他身份認證信息”⑧，其中前者與“公民個人信息”的下屬概念中的“財產信息”保持一致⑨。而實踐中，從大量的判決書來看，作為該罪犯罪對象的“數據”范圍極廣，幾乎涵蓋了一切可在電腦系統中儲存、顯示、獲取的權利客體。⑩采用技術手段入侵計算機信息系統獲取數據，最終被判以非法獲取計算機信息系統數據罪的案件中，被認定為該罪對象的“數據”的，不僅包括具有財產權益的信用卡信息資料?、蘋果手機 ID 與密碼等身份認證信息等身份認證信息?，還包括淘寶用戶的交易訂單數據?、醫院數據庫中的藥品用藥量統計數據等身份認證信息以外的電子數據?。可以看到，實務中相關判決并未完全遵循前述司法解釋對非法獲取計算機信息系統數據罪中“數據”所作的限制性規定，并不將其局限于身份認證信息類的權限型數據內容，而是將身份認證信息以外的其他具有價值的電子數據同樣納入該罪的規制范圍。

另一方面，從破壞計算機信息系統罪該條文的字面含義來看，第2款“對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作”中的“數據”似乎泛指一切數據，相關司法解釋在該罪的罪數標準上也并未對“數據”的涵義作任何限制?。然而，實務中對破壞計算機信息系統數據罪中刪除、修改、增加計算機信息系統中的電子數據的操作行為，2017年10月最高人民檢察院發布的指導性案例第34號與2020年12月最高人民法院發布的指導案例145號對其中“數據”的性質作出了截然不同的理解：前案中，被告人侵入購物網站內部評價系統刪改買家的購物評價，法院認定該行為是對計算機信息系統內存儲數據進行刪除、修改操作的行為，應當認定為破壞計算機信息系統的行為;而后案則明確了修改、增加計算機信息系統數據，但未造成系統功能實質性破壞或不能正常運行的，不應當認定為破壞計算機信息系統罪。換言之，前案例未對破壞計算機信息系統罪中的“數據”性質作任何限定，可以泛指一切計算機信息系統中存儲、處理或者傳輸的數據，后案例則將該罪中“數據”限縮為對其刪除、修改、增加會有損于計算機信息系統功能的完整性和系統正常運行狀態的數據。

可以看到，無論是《刑法》第285條第2款旨在保護電子數據保密性的非法獲取計算機信息系統罪，還是《刑法》第286條第2款意在保護電子數據完整性與可用性的破壞計算機信息系統罪，司法實踐中對其中“數據”的理解均尚未達成一致。

三、現行刑法對網絡數據犯罪規制存在的缺陷

（一）“系統”與“數據”的雜糅

一方面，同包括歐盟、德國、日本及我國臺灣地區在內的世界各國、各地區一樣，我國刑法中的“計算機信息系統”與“數據”概念表現出互為定義的關系?。在我國《刑法》以及相關司法解釋的規定中，計算機信息系統是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等，?刑法所保護的數據則是指計算機信息系統中存儲、處理或者傳輸的數據。該項規定從技術意義上來理解數據的生成、傳輸和信息顯現，體現了數據對計算機、網絡通訊設備等的依附特征，因此《刑法》規定計算機犯罪在廣義上應當和數據犯罪之間具有一定的包容關系。?可以看到，刑法通過對計算機信息系統的范圍進行界定以明確“數據”的內涵與外延，同時又將具備“自動處理數據功能”的系統認定為計算機信息系統，導致“數據”與“計算機信息系統”的范圍無限趨同。

誠然，在建立計算機系統犯罪體系之初，由于信息技術水平的有限性，有價值的數據幾乎僅能存在于計算機信息系統上，甚至大部分電子數據僅能存在于計算機本身，可以說當時數據的外延范圍同計算機信息系統基本是一致的。在此技術背景下，通過計算機信息系統的概念范圍界定數據的范圍無可厚非。然而，隨著信息技術的革命與數據技術的迭代，與計算機有關的信息系統逐漸脫離計算機本身，而表現為包括移動終端在內的通信設備、自動化控制設備等多樣的系統設備。相關司法解釋為順應信息技術的革新與發展，在前置法規《計算機信息系統安全保護條例》的基礎上?，將“計算機信息系統”（即“計算機系統”）擴張解釋為不僅限于計算機本身，包括網絡設備、通信設備、自動化控制設備等在內的一系列系統設備，在極大程度上弱化了傳統計算機的性能特征。此時，“數據”的概念也隨之擴張，前述計算機信息系統設備中存儲、處理或者傳輸的數據均屬于我國刑法的數據范圍。根據該項規定，盡管大部分的網絡數據得以被“計算機信息系統中的數據”所涵蓋，但在這種“數據”概念依附于“系統”概念的計算機系統規制體系下，“數據”這一概念無法脫離“計算機信息系統”的桎梏。事實上，大數據背景下的網絡數據已經展露出獨立于計算機信息系統的內涵與形式，如網頁瀏覽記錄、下載記錄、關鍵詞搜索記錄等信息數據既不屬于系統中從外部采集而輸入系統的數據，也不屬于系統運行過程中自行產生的痕跡與記錄數據，由于其并未進入系統內部，在本質上無法歸屬于計算機信息系統數據的范疇之內;?云技術（包括云存儲與云計算）的提升使數據的存儲、數據的輸入等均與本地計算機系統相分離21，存儲于云端的網絡數據以及大數據技術利用傳感器獲取的海量數據在存儲與傳輸上不會與系統產生耦合，也因此同樣難以被認定為計算機信息系統中的數據，從而表現出刑法的規制不能。而前述這些獨立于計算機信息系統的數據極具價值，與計算機信息系統中的數據具有同樣的應受刑法保護的重要地位，對其侵害行為理應納入刑法的規制范疇。

另一方面，《歐盟網絡犯罪公約》（以下簡稱《公約》）作為全球范圍內第一部針對網絡犯罪所制定的“標桿性”公約，對各締約國的網絡犯罪立法產生了深遠的影響，成為各國網絡犯罪刑事立法的范本。該《公約》將計算機系統（computer system）與計算機數據（computer data）分別作為獨立的網絡犯罪的侵害對象，以不同的罪名予以規制。如《公約》規定了非法訪問（Illegal access）與非法攔截（Illegal interception），分別規制非法訪問計算機系統的行為以及非法攔截計算機數據的行為;22《公約》還規定了數據干擾（Data interference）和系統干擾（System interference），分別規制故意毀壞、刪除、損壞、更改、阻止計算機數據的行為以及嚴重妨害計算機系統運行的行為。23可以清楚地看到，非法訪問與系統干擾是針對計算機系統實施的犯罪，侵害的是計算機系統安全，其保護法益表現為計算機系統的不被侵入與系統功能的正常運行。盡管系統干擾可能包含對計算機數據的刪除、改變等行為，但這僅僅只是作為破壞計算機系統功能的手段方法;非法攔截與數據干擾則是針對計算機數據實施的犯罪，侵害的是計算機數據安全，其保護法益分別表現為計算機數據的保密性以及完整性與可用性。

與《公約》所采用的立法方式不同的是，我國《刑法》中的計算機系統犯罪體系并未明確區分侵害計算機信息系統的犯罪以及侵害網絡數據安全的犯罪。我國的計算機系統犯罪體系重在維護計算機信息系統安全，在立法模式上選擇將對網絡數據的侵害雜糅進對計算機信息系統的侵害中，進而以同一個罪名進行規制。比如《刑法》第285條非法獲取計算機信息系統數據、非法控制計算機信息系統罪，同時規制了獲取計算機信息系統中數據的行為以及非法控制計算機信息系統的行為;再比如《刑法》第286條破壞計算機信息系統罪第1款規制的是刪除、修改、增加、干擾計算機信息系統功能，妨害計算機信息系統正常運行的行為，第2款規制的則似乎是刪除、修改、增加計算機信息系統中存儲、處理或者傳輸的數據和應用程序，破壞數據完整性與可用性的行為。

由此可見，我國刑法在概念劃定與罪名設定兩方面均將“計算機信息系統”與“數據”兩者予以雜糅的立法模式，使刑法中的“數據”概念不得不依附于“計算機信息系統”，而無法覆蓋應當被納入刑法保護范圍的所有數據的外延;表現出我國刑法計算機系統犯罪體系重系統安全而輕數據安全的立法現狀，而未在立法上對網絡數據安全的獨立保護予以足夠的重視;也因此直接導致前述司法實踐中對“數據”的理解大相徑庭，引起相關計算機信息系統罪名適用上的爭議。

（二）數據全生存周期中的規制空缺

2019年8月30日，我國發布《信息技術安全數據安全能力成熟度模型》作為國家標準，并于2020年3月1日起正式實施。該國家標準明確將數據生存周期劃分為數據采集、數據傳輸、數據存儲、數據處理、數據交換以及數據銷毀六個階段，與六個維度的數據安全要求一一對應。24與國家標準中的數據處理主要包括數據計算分析、數據正當使用等不同，我國《數據安全法》將“數據處理”作廣義理解，明確規定數據處理包含數據的收集、存儲、使用（即狹義的數據處理）、加工、傳輸、提供、公開等。雖然國家標準與《數據安全法》對數據生存周期的階段劃分與表述略有不同，但均大致覆蓋了數據全生命周期鏈條中的各個環節。應當看到，從最初的數據采集到最終的數據銷毀，其中任何一個階段都存在著數據安全的風險。然而，由于數據分析與開發等后續處理應用行為均始于數據收集，個人數據的來源合法與否關系到后續的數據流動與利用等環節的合法性認定，因此數據收集通常是數據監管部門重點關注的問題，25我國刑法也同樣將規制重點放在了數據采集階段對數據的“獲取”型侵犯，而未能覆蓋數據的全生命周期，調整的范圍十分有限。

日前引發廣泛爭議的“摩羯數據爬蟲案”就是一起典型的侵犯數據存儲安全的案例。被告人杭州摩羯數據科技有限公司（以下簡稱“摩羯公司”）主要經營數據提供業務。貸款用戶在向各網絡貸款公司、小型銀行申請貸款時，需在摩羯公司提供的前端插件中輸入其通訊運營商、征信中心等平臺的賬號與密碼。經貸款用戶授權后，摩羯公司通過爬蟲程序代替貸款用戶登錄上述各網站，爬取該用戶的個人信息及多維度信用數據并提供給貸款平臺。盡管摩羯公司同貸款用戶事先簽訂《數據采集服務協議》，明確承諾“不會保存用戶賬號密碼，僅在用戶每次單獨授權的情況下采集信息”，但摩羯公司在對數據的處理過程中，仍然擅自將其爬取的用戶數據在其租用的阿里云服務器上長期留存。杭州市西湖區人民法院認定摩羯公司以其他方法非法獲取公民個人信息，構成侵犯公民個人信息罪。26

可以看到，該判決在非法獲取計算機信息系統數據罪與侵犯公民個人信息罪中選擇了后者，重點關注相關數據所承載信息的身份屬性，傾向于保護公民的個人信息安全。在網絡爬蟲行為構成非法獲取計算機信息系統數據罪與侵犯公民個人信息罪的想象競合時，筆者支持以侵犯公民個人信息罪定罪論處。27但該案判決的問題在于其對“獲取”數據的理解有失偏頗。摩羯公司對用戶數據的抓取需要經過用戶的授權并輸入相關平臺的賬號與密碼，這種技術手段實際上是采用“模擬登錄”的方式，代替用戶本人登錄相關平臺進而獲取其中存儲的數據。因此，摩羯公司的“模擬登錄”行為是在取得用戶本人的授權后的有權行為，并不涉及對用戶個人信息安全的侵害。之所以摩羯公司被判以侵犯公民個人信息罪，是因為摩羯公司違反了與用戶的事先約定，擅自將用戶數據長期留存。法院裁判的內在邏輯實際上是認為這種對合法獲取的公民個人信息的擅自留存同樣構成刑法上的“非法獲取”。

由于數據或信息非有形的存在形態，對數據或信息的獲取行為本質上是“從無到有”（也包括“從明確到不明確”）、“從不知悉到知悉”的過程，而違反約定的留存行為則表現為“知悉”狀態的不當延續。雖然兩者都體現了無權享有數據或信息內容的主體對該數據或信息內容保密狀態的侵害，但無論是從一般人對“獲取”這一詞義理解的角度，還是從相關法律用語習慣的角度，對數據的存儲顯然屬于數據獲取后的處理行為，與數據的采集分屬不同的環節。在此意義上，將留存實質內容為公民個人信息的數據的行為認定為“以其他非法方法獲取公民個人信息”進而以侵犯公民個人信息罪定罪處罰實有類推解釋之嫌。

應當看到，在數據全生命周期的各個環節都可能出現對數據安全的侵害，比如在數據公開環節的不應當公開而擅自公開相關數據、數據提供環節的擅自向他人提供數據、數據銷毀環節的應當對相關數據實施銷毀操作而未銷毀等，這些行為同樣構成對數據保密性的侵犯，其社會危害性與在數據采集環節對數據安全的“獲取”型侵犯無異，而這些對數據安全的侵犯行為尚游離于我國刑法打擊的范圍之外。在我國計算機系統犯罪體系對數據安全的保護尚未覆蓋數據的完整生命周期、著重于數據采集環節的立法不周延現狀下，實務部門將“留存”解釋為“獲取”的做法實際上是立法空缺下的無奈之舉。

（三）有悖于數據分類分級保護制度與罪責刑相適應原則

《數據安全法》第21條明確規定我國建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。關系到國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度。然而，我國刑事立法不僅尚未對數據安全的保護采取分類分級模式，甚至根據《刑法》第285條的規定，對重要領域的國家核心數據的保護力度反而相較其他領域的數據更小，違反了罪刑均衡的基本刑法原則。

《刑法》第285條第1款非法侵入計算機信息系統罪旨在保護國家重要領域的計算機信息系統安全不受侵犯，因此該款將犯罪對象限定為國家事務、國防建設、尖端科學技術領域的計算機信息系統。對于這些領域的計算機信息系統，僅實施非法侵入行為即可構成犯罪，并不要求實施進一步的竊密、控制、破壞等行為。而對于該款規定以外領域的計算機信息系統，僅實施非法侵入行為并不構成犯罪，非法侵入并獲取該計算機信息系統中的數據，或者對該計算機信息系統實施非法控制的，方構成犯罪。應當看到，我國刑法實際上貫徹了對計算機信息系統的分級保護制度，立法者重點考察了侵犯不同性質、不同重要程度的計算機信息系統造成的社會危害性的程度，并以此設置了分級化的條文款項。該款規定看似重點保護了重要領域的計算機信息系統，但實際上會因沒有將嵌入點選在數據訪問權限上，而是錯誤地選擇在儲存有特定數據的對應計算機系統上，導致保護體系不夠周延，形成對數據和國家法益兩方面保護的缺憾。28

具體而言，對于前述重要領域的計算機信息系統，我國刑法僅規定了“侵入”這一基本行為，而沒有規定對特定計算機信息系統中相關數據的侵害行為。因此，在現有的刑法條文規定下，非法侵入重要領域計算機信息系統，并獲取其中數據的，只能以第1款的規定定罪處罰，處3年以下有期徒刑或拘役。因為第2款非法獲取計算機信息系統數據罪明確規定獲取的數據所在的計算機信息系統是指“前款（第1款）規定以外的計算機信息系統”。反之，非法侵入前述重要領域以外領域的計算機信息系統，并獲取其中數據的，根據第2款非法獲取計算機信息系統數據罪的規定，可以處3年以上7年以下有期徒刑。如此的規定不僅忽視了對數據安全的分級保護，還顯然有違罪責刑相適應原則。

當然，前述重要領域計算機信息系統中存儲、處理或者傳出的數據在信息內容可能具有國家秘密屬性，此時侵入系統獲取數據的行為可能構成非法獲取國家秘密罪等，可以在一定程度上規避《刑法》第285條第1款對采集此類國家核心數據行為的不合理規制。但是，國家事務、國防建設、尖端科學技術領域的計算機信息系統中的數據并不當然屬于國家秘密，例如國家事務領域的計算機信息系統中有關非重大決策中的秘密事項29，或是前述重要領域計算機信息系統中有關行政人員名單的非核心數據等。也就是說，并非所有侵入該領域計算機信息系統獲取數據的行為都能以非法獲取國家秘密罪定罪處罰。僅通過適用國家秘密罪以規制相關行為并不能完全解決《刑法》第285條第1款與第2款之間不協調與處罰不均衡的問題。

為解決此問題，有學者認為，第2款“前款規定以外”并不是真正的構成要件要素，只是表面要素或界限要素，行為人侵入重要領域的計算機信息系統，獲取其中的數據，情節特別嚴重的，應認定為非法獲取計算機信息系統數據罪。30該學者認為表面的構成要件要素只是為了區分相關犯罪界限所規定的要素，不是成立犯罪必須具備的要素。31筆者對此觀點不敢茍同。筆者認為，所有的構成要件要素都具備區分不同犯罪、區分同一犯罪的不同處罰標準的功能與作用，不能因為“前款規定以外”這一要素有效區分了《刑法》第1款與第2款，就認為其不是真正的構成要件要素。在法條設置具有缺陷的立法現狀下對其進行彌補性的超越刑法規定的解釋，從而虛設條文中明確規定的構成要件，著實有違反罪刑法定原則。

四、網絡數據犯罪刑法規制體系的重塑

鑒于我國當前通過計算機系統犯罪體系規制網絡數據犯罪存在以上諸多問題，有必要改變這種間接化的規范路徑，將網絡數據安全作為有別于計算機信息系統安全的獨立法益，在立法上以網絡數據安全為出發點，發展出直接圍繞網絡數據犯罪的刑法規制體系。

（一）補充獨立的數據視角

一方面，隨著數據技術的革新，網絡數據與物質終端設備的綁定越來越不必要，越來越多的網絡數據已經顯現出脫離計算機信息系統的特性。在此背景下，以“計算機信息系統”限定“數據”范圍表現出對數據的封閉性、靜態性和從屬性的固守，造成數據概念的涵攝內容范圍較窄，無法適應網絡數據內容、類型多樣化的特點和要求。32簡言之，“計算機信息系統中存儲、處理或者傳輸的數據”這一概念表述已經無法涵蓋大數據時代網絡數據的全部涵義。因此，有必要在立法上摒棄沿用以“計算機信息系統”概念限定“數據”概念、視數據為計算機信息系統的附屬性行為對象的固定思維，將“數據”概念從計算機信息系統上予以剝離。具體而言，可以取消非法獲取計算機信息系統數據罪中“計算機信息系統中的”這一對數據概念的載體性限制，將“計算機信息系統中的數據”修正為“網絡數據”，修正后的非法獲取網絡數據罪可以有效保護大數據時代獨立于計算機信息系統的網絡數據。與之相應的，相關司法解釋應當適時進行修改，取消將非法獲取計算機信息系統數據罪中的數據限定為“身份認證信息”的相關條款。

另一方面，我國在罪名設置上將“計算機信息系統”與“數據”進行雜糅的立法體例未在立法層面體現對網絡數據安全獨立保護的重視，導致相關條文的保護法益模糊不清，加劇了司法實務中罪名選擇與適用上的混亂與困難。筆者認為，應當在刑法條文與罪名的設置上補充獨立的數據視角，調整以計算機系統罪名規制侵犯數據安全的立法傾向，將侵犯計算機信息系統安全的犯罪與侵犯網絡數據安全的犯罪在罪名設置上予以分離，使網絡數據安全從計算機信息系統安全中獨立出來。

如前所述，“計算機信息系統”與“數據”在罪名設置上的雜糅主要體現在《刑法》第285條第2款非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪以及第286條破壞計算機信息系統罪的第1款與第2款。

對于《刑法》第285條的規定，筆者建議在立法上將非法獲取計算機信息系統罪（經修正的罪名應當是非法獲取網絡數據罪）與非法控制計算機信息系統罪進行拆分。前者規制侵入計算機信息系統或采用其他技術手段，侵害數據安全的犯罪行為，后者則規制對計算機信息系統實施非法控制，侵害計算機信息系統安全的犯罪行為。需要明確的是，侵入計算機信息系統僅是非法獲取網絡數據的手段行為之一，換言之，由于該罪所保護的數據不再局限于計算機信息系統中的數據，因此并不要求采用其他技術手段必須進入計算機信息系統。譬如采用其他技術手段竊取存儲于云端的網絡數據、傳感器傳輸過程中的數據或者網頁瀏覽記錄、下載記錄、關鍵詞搜索記錄等尚未進入計算機信息系統內部的數據的，均可能構成非法獲取網絡數據罪。

至于《刑法》第286條有關破壞計算機信息系統罪的規定，筆者認為，從該罪的立法本意上來看，設立破壞計算機信息系統罪旨在加強對計算機信息系統的管理和保護，保障計算機信息系統功能的正常發揮，維護計算機信息系統的安全運行，33而并非意在處罰對網絡數據安全的侵害行為。從該條三款罪狀的體系協調性角度出發，第1款與第3款都明確規定“造成計算機信息系統不能正常運行”“影響計算機系統正常運行”的，方構成該罪，唯有第2款僅規定了刪除、修改、增加計算機信息系統中的數據和應用程序，“后果嚴重的”。如果將第2款保護的法益理解為計算機信息系統中數據和應用程序的完整性，認為只要對數據和應用程序進行刪除、修改、增加操作，無需對計算機信息系統本身的運行安全造成侵害即可構成該罪，顯然與該罪的立法目的相悖，也與該條第1款、第3款的規定不相協調。在筆者看來，我國《刑法》破壞計算機信息系統罪第2款的規定實際上同《公約》第5條規定的“系統干擾”（System interference）類似，將對干擾數據作為干擾系統的前置條件，對數據或應用程序實施的刪除、修改、增加操作只是破壞計算機信息系統功能、阻礙計算機信息系統正常運行的手段或方式，實質上保護的仍然是計算機信息系統安全。在此意義上，可以說第1款與第2款之間應當是實質與形式的統一關系。34因此，第2款中的“數據”不應當泛指一切計算機信息系統中存儲、處理或者傳輸的數據，而理應限縮為“計算機信息系統內部的、側重于信息系統自身維護的、以訪問控制為主要考慮的”35、對其進行操作會有損于計算機信息系統功能完整性和系統本身正常運行狀態的數據。

如前所述，盡管最高人民法院于2020年發布的指導案例已經對上述觀點進行明確，但由于不同機關發布的指導案例的要旨截然不同，導致實務中對該款保護法益的理解莫衷一是。問題的根源均在于立法上第2款僅規定了“數據”這一行為對象，而未明確“計算機信息系統”這一結果對象。筆者建議，在立法層面明確破壞計算機信息系統罪三款規定保護法益的一致性，在刑法條文的表述中采用一致的法益模式，將行為的危害結果落腳于計算機信息系統功能的完整性與正常運行?？梢詫⒌?款的表述修正為“對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，破壞計算機信息系統功能，造成計算機信息系統不能正常運行，后果嚴重的”。同時，相關司法解釋應當進行同步的修正，對“后果嚴重”的規定同樣應該立足于計算機信息系統安全本身，將“對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的”罪數標準補充修正為“對計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作，造成二十臺以上計算機信息系統不能正常運行的”。

此外，在明確修正后的《刑法》第286條第2款保護的是計算機信息系統安全后，應當額外增設相關罪名以保護網絡數據安全的完整性與可用性。筆者認為，可以比照《公約》中的“數據干擾”（Data interference）在我國《刑法》中增設“非法刪除、修改、增加網絡數據罪”以規制對網絡數據進行刪除、修改、增加操作、侵犯網絡數據完整性與可用性的犯罪行為。

（二）覆蓋數據安全的全生命周期

結合《信息技術安全數據安全能力成熟度模型》與《數據安全法》對數據生存周期的階段劃分，覆蓋數據全生命周期的完整的數據動態過程大體可以概括為數據采集、數據存儲、數據傳輸、數據提供、數據使用、數據銷毀等環節。當前我國《刑法》對數據安全的保護主要集中在數據采集階段，對后續環節中出現的侵害數據安全的危害行為力有不逮。有必要在立法上補充后續階段的數據犯罪立法，覆蓋數據安全的全生命周期，形成對數據犯罪鏈條的完成制裁。

分析數據生存周期中的各個環節可以看到，在數據采集、數據存儲、數據銷毀環節對數據保密性的侵害行為集中表現為無權主體或有權主體超越權限對數據的非法知悉與非法持有，具體表現為非法獲取數據、不按約定或規定存儲數據、應當銷毀而不及時銷毀數據等，譬如前述“摩羯數據爬蟲案”中行為人對數據的非法留存行為正是不按約定存儲數據的具體行為表現;在數據傳輸、數據提供環節對數據保密性的侵害行為更多地表現為對已持有數據的非法泄露，具體表現為擅自公開應當保密的數據、向他人出售或提供數據等行為;在數據使用環節對數據安全的侵害行為則主要表現為對已持有數據的非法濫用，如將合法持有或非法“撞庫”獲取的賬號、密碼等數據進行“撞庫”以實現對數據的二次獲取，或者在相關平臺上進行登錄對賬戶內容實施非法操作等。

在此基礎上，筆者建議，首先，對于發生在數據存儲、數據銷毀環節的侵害數據保密性的行為，可以將“非法獲取網絡數據罪”修正為“非法獲取、持有網絡數據罪”，明確將對網絡數據的“持有”型行為納入規制范圍，以規范無權主體非法持有網絡數據、有權主體超越權限非法留存網絡數據等行為。其中，非法留存可以指發生在數據存儲環節的不應存儲而存儲的行為，也可以指發生在數據銷毀環節的應當銷毀而未銷毀的行為。需要明確的是，并非所有發生在數據存儲、數據銷毀階段違反約定的不當行為都應當納入刑法的規制范圍，例如未按約定形式或存儲要求存儲數據或未采用約定的形式進行數據銷毀操作等行為，這些行為并未對數據的保密性造成侵害，因此不具備值得科處刑罰的社會危害性。其次，對于發生在數據傳輸、數據提供環節的侵害數據保密性的行為，可以增設非法提供網絡數據罪以規范向他人出售、提供或擅自公開數據等行為。最后，發生在數據使用環節的危害數據安全的犯罪行為，通常表現為對網絡數據的利用，實際上屬于前文所述的以網絡數據作為工具或媒介的“不純正”的網絡數據犯罪。由于其侵害的法益與網絡異化前的傳統犯罪行為無異，因此無需特別對其作出立法，通過對傳統刑事法規進行與時俱進的刑法解釋可以實現對相關行為的規制。并且，如前所述，數據和信息之間是載體和內容、形式和實質的辯證統一關系，對網絡數據的利用通常是對數據所載具體信息內容的使用，應當根據不同性質的信息內容在后續下游犯罪中所起的作用與行為人對信息內容的利用手段及方法，以傳統犯罪進行認定。比如，行為人利用非法獲取的支付結算的身份認證信息，盜取賬號內資金的，構成相應的侵財犯罪。

（三）建立網絡數據安全的分類分級刑法保護機制

在刑法解釋無法解決條文之間不協調與處罰不均衡的問題時，有必要適時在立法層面對相關法條進行調整。在對相關法條進行糾錯的同時，刑法應該與前置法對計算機信息系統安全的分級處理要求保持一致36，兼顧《數據安全法》明確的數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及數據安全一旦受到侵害造成的危害程度，對關系到國家重大利益的核心數據的侵害行為，進行更嚴厲的懲處。具體而言，應當對《刑法》第285條作如下調整：

其一，明確將非法獲取國家重要核心數據的行為予以入罪。根據《數據安全法》的規定，關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據均屬于國家核心數據，應當實行更加嚴格的管理制度。與此相對應，對這些重要國家核心數據的侵犯也應當予以更加嚴厲的懲治。因此，筆者建議將通過侵入計算機信息系統或采用其他技術手段，非法獲取、持有關系國家安全、國民經濟命脈、重要民生、重大公共利益等的國家核心數據的行為作為“非法獲取、持有網絡數據罪”的加重情形，并為其設置相較現行《刑法》第285條第2款更嚴厲的法定刑規定，以實行對數據安全的分級保護。同時，建議相關司法解釋對于前述修正后的“非法獲取網絡數據罪”進行細則性的規定，根據不同種類網絡數據的性質與特征，通過設置數據組數量的大小實現有層次的罪數標準，實行對數據安全的分類保護。

其二，擴張重要領域計算機信息系統的范圍。有學者主張基于法治國家內涵所要求的平等保護公共財產、私有財產的原則，應當取消非法侵入計算機信息系統罪中有關“國家事務、國防建設、尖端科學技術領域”的限定，將該罪的犯罪客體的歸屬對象擴大為“所有的合法存在的、所有人為防止未經授權的侵入而采取了特別保護措施的計算機信息系統”。37筆者認為，這種對所有領域計算機信息系統施以同等的刑法保護的觀點雖然著重考慮了對計算機信息系統安全的全面保護，卻忽略了對計算機信息系統安全同樣應當實施分級的刑法保護。

不可否認的是，隨著計算機網絡在經濟社會生活中的作用日益凸顯，部分重要領域的計算機信息系統安全問題逐漸顯現，刑法所重點保護的計算機信息系統的領域也應當適時地根據計算機網絡的實際情況變化加以擴展。相較于我國《計算機信息系統安全保護條例》中明確對國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統安全的重點維護，《刑法》卻未將對經濟建設領域的計算機信息系統的侵犯行為納入重點規制范圍。事實上，從計算機信息系統重要性的角度，經濟建設領域尤其是金融領域的計算機信息系統的重要性未必低于刑法條文中明確規定的三種重要領域的計算機信息系統，如中國工商銀行總行密碼數據庫所在計算機信息系統的重要性就遠高于屬于國家事務的鄉級政府的電子政務計算機信息系統38。在網絡金融加速崛起的大背景下，金融領域的計算機信息系統集聚了越來越多的社會財富，在經濟建設方面會帶來翻天覆地變化的數字化貨幣更可能在不遠的將來面世。正因為網絡金融與國民的經濟命脈息息相關，金融領域的計算機信息系統應當成為刑法重點保護的對象。因此，筆者認為，在立法上可以考慮將包括金融領域在內的有關我國重要經濟建設的計算機信息系統納入非法侵入計算機信息系統罪的犯罪對象范圍。

五、結語

在大數據時代，傳統社會的人和物都不必以實體方式呈現，而以賬號、信息、數據的方式發生關系，以人和物為中心的社會，變成了以信息與數據為中心的社會。39信息社會中產生了除傳統計算機信息系統安全和信息安全以外的新價值形式，即與數據的保密性、完整性和可用性相關的新利益。40以網絡數據作為犯罪對象進行的犯罪應運而生，直接給新興的數據安全法益帶來呈幾何式上升的風險，由此催生出針對數據安全進行獨立刑法保護的現實需求。

由于早年互聯網誕生之初的技術局限性，網絡數據通常依托于計算機信息系統及其相關的網絡設施等，我國現行刑法對數據安全的保護主要以計算機系統犯罪體系為主要規制方向。但在當下的大數據時代，數據的存儲、傳輸、處理設備以及數據本身的價值都發生了改變。我國計算機系統犯罪體系對數據安全的保護逐漸力有不逮，顯露出諸多問題：在概念劃定與罪名設置兩方面的將“計算機信息系統”與“網絡數據”進行雜糅，導致一部分網絡數據處于刑法的真空地帶，同時造成司法實務中對相關罪名中“數據”概念及保護法益的認定模糊;將規制重心置于數據采集階段對數據的“獲取”型侵犯，而未能覆蓋數據的全生命周期，調整的范圍十分有限;在前置法強調數據分類分級保護制度的前提下，我國刑法保護尚未對此予以貫徹，甚至部分條款有違罪刑均衡的基本刑法原則。

基于以計算機系統犯罪體系為基礎對數據安全的保護存在上述諸多缺陷，有必要在立法上補充獨立的數據視角，將“數據”概念獨立于“計算機信息系統”概念，使侵害計算機信息系統安全的犯罪與侵害數據安全的相分離，同時增設相關罪名以覆蓋數據安全的全生命周期，建立網絡數據安全的分類分級刑法保護機制。

經調整的計算機系統犯罪體系與重塑的初步的網絡數據犯罪體系如下：

一方面，《刑法》第285條第1款非法侵入計算機信息系統罪、第2款非法控制計算機信息系統罪與第286條破壞計算機信息系統罪構成對計算機信息系統安全的全方面保護，明確非法侵入計算機信息系統罪規制違反國家規定，侵入國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的行為;明確破壞計算機信息系統罪規制第2款規制違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，破壞計算機信息系統功能，造成計算機信息系統不能正常運行，后果嚴重的行為。

另一方面，通過擴張現行《刑法》第285條第1款非法獲取計算機信息系統的行為方式將其修正為非法獲取、持有網絡數據罪，分別規制行為人在數據采集環節對數據的非法獲取行為以及在數據存儲、銷毀環節對數據的非法留存行為;將非法獲取、持有國家重要核心數據的行為作為非法獲取、持有網絡數據罪的加重情形，并為其設置相較現行《刑法》第285條第2款更嚴厲的法定刑規定，以實行對數據安全的分級保護;增設非法提供網絡數據罪以規制行為人在數據傳輸、提供環節對向他人出售、提供、擅自公開數據等行為;增設非法刪除、修改、增加網絡數據罪以規制行為人對網絡數據進行刪除、修改、增加等操作，侵害網絡數據完整性與可用性的行為。至此，非法獲取、持有網絡數據罪，非法提供網絡數據罪，非法刪除、修改、增加網絡數據罪三項罪名構成了基本的網絡數據安全犯罪的保護罪名。同時，由于網絡數據通常兼具形式載體的技術屬性以及承載信息的實質內容屬性，數據和信息在一定程度上是同一事物的兩個側面，因此刑法分則中涉及信息犯罪的相關罪名可作為前三項罪名的支撐與輔助，共同構筑完整的網絡數據犯罪刑法規制體系。

Abstract： China's current criminal legislation does not have an independent system to regulate network data crimes. The criminal law mainly regulates network data crimes from the computer system on which the network data depends， and the information content carried by it. The computer system crime system has big flaws in the regulation of network data crime. The "computer system" and "data" are mixed in concept delineation and crime setting， which leads to difficulties in identifying the concept of "data" in related crimes and protecting legal interests in practice; the protection of network data security fails to cover the full life cycle of data security， resulting in limited adjustment scope; the failure to reflect the data categorized and hierarchical protection system emphasized by the pre-law in criminal legislation has led to the violation of the Principle of Commensuration of Crime and Punishment in some clauses. It is necessary to supplement an independent data perspective at the legislative level to clarify the extension of network data and the protection of legal benefits of network data crime; expand the behavior of related crimes to cover the full life cycle of data security; correct errors in relevant clauses， and according to the importance of data in economic and social development， and the degree of harm caused by data security once infringement， establish a categorized and hierarchical criminal protection mechanism for network data security.