論非法訪問數據行為的入罪

蔡士林，黃東泳

（1.中國礦業大學 人文學院，江蘇 徐州 221116；2.浙江省永康市人民檢察院，浙江 永康 321300）

數據①本文在相同意義上使用和理解“信息”和“數據”。源于記錄客觀世界的需要，人類實踐以數據為工具。數據突破了表征特定屬性，跨越時間和空間，成為推演事物運動、變化規律的依據和基礎，現代社會文明由此得以建立。計算機存儲和交互功能的出現以及算法和計算機迭代技術加持使得數據流通速度加快，數字經濟在此基礎上迅速崛起。我國數字產業化與產業數字化齊頭并進，數字經濟規模從2012 年的11 萬億元增長到現在的45.5 萬億元，連續數年位居世界第二，電子商務交易額、移動支付交易規模居全球第一，數字經濟正成為我國經濟發展中創新最活躍、增長速度最快、影響最廣泛的領域。②《邁向網絡強國中國網信事業逐夢新征程》，載https://politics.gmw.cn/2022-11/11/content_361 54589.htm，2023 年11 月11 日訪問。隨著人類社會從物理空間向網絡空間甚至是虛擬空間的遷移，雙層社會初見端倪，數據作為底層要素自然也受到不法分子的密切關注，數據犯罪增量驚人。截至2021 年12 月，遭遇個人信息泄露的網民比例最高為22.1%；遭遇網絡詐騙的網民比例為16.6%；遭遇設備中病毒或木馬的網民比例為9.1%；遭遇賬號或密碼被盜的網民比例為6.6%。①《第49 次中國互聯網絡發展狀況統計報告》，載https://www.cnnic.net.cn，2022 年11 月23 日訪問。2021 年“元宇宙”（MetaVerse）一詞的迅速走紅，預示著未來人們通過數字分身進入虛擬世界并未癡人說夢，而這需要以海量數據加載為前提。

由于數據的傳輸、儲存以及流通等都離不開計算機和網絡支持，且1997 年《刑法》修訂時，我國正式接入國家互聯網才不過三年，計算機犯罪方興未艾，數據犯罪的概念更是尚未成形，因而立法者早期更傾向于將數據置于計算機犯罪或網絡犯罪之中進行間接保護。例如，我國在1997 年《刑法》就增設了“破壞計算機信息系統罪”和“非法侵入計算機信息系統罪”，并在2015 年《刑法修正案（九）》中添加了雙罰制，2009 年《刑法修正案（七）》又增設了“非法獲取計算機信息系統數據罪”。顯然，我國刑法對于數據保護僅包括兩種類型：非法獲取型和破壞型。遺憾的是，這兩種類型的數據犯罪無法涵蓋愈演愈烈的非法訪問數據這一行為類型。作為針對數據的前端侵害行為，非法訪問行為的治理不僅關系到數字經濟健康有序的發展，而且與下游犯罪產業的阻斷息息相關。基于此，本文擬在澄清非法訪問數據定義的基礎之上，論證刑法規制的必要性，然后進一步分析我國刑法存在的不足，最后提出應對之策。

一、前提性問題——“非法訪問”概念的厘定

任何關于計算機或數字技術的討論都傾向于依賴隱喻，如“信息高速公路”（Information superhighway）、賽博空間（Cyberspace）和萬維網（World Wide Web）。不可否認，此舉不僅可以幫助我們理解、評估和構思新想法，而且還允許我們使用更熟悉的與源“概念”相關的概念和值，并將它們應用于更不熟悉且通常更抽象的目標概念[1]。盡管這一過程符合認識論的基本原理，但它本質上不利于法律概念的應用，誤導我們所探索的概念的真正本質，且與刑法明確性原則存在不可調和的矛盾。因此，規范性概念的使用首要需要澄清。此種情形在計算機犯罪和數據犯罪中體現得更加明顯，因為只有比照物理世界進行匹配性表述，才能發揮規范性命令的示范作用。

在信息內外網數據頻繁化的同時，由于絕大部分的網絡數據庫具有覆蓋面廣、信息價值高、存儲量大的優勢，因此，用戶對數據庫的非法訪問會對數據安全造成巨大影響。早期的網絡犯罪采用類似財產犯罪的規范構造，如計算機入侵（Computer Trespass）。從用戶的立場出發，“訪問”（Access）暗示獲得授權進入的物理行為，在這里的意思是入口、準入、允許（出現或使用），故而該行為包括進入（計算機）和使用（計算機內的數據）兩個方面[2]。從這個角度來看，計算機被視為一個包含信息的箱子，自然禁止未經授權進入箱子。然而，它并不能反映現代網絡計算的現實，因為人類與計算機的交互方式眾多，可以單純進行訪問（查閱）而不對數據進行抓取。例如，ADO（AcLiveX Data Object）數據庫訪問技術可以打開數據進行訪問，也可以將數據取出發送到其他軟件。數據安全專家也意識到非法訪問數據的危害性，因而探究新的訪問控制技術，如基于KRR 方法組建回歸方程實現對數據庫內非法訪問數據的采集和錨定[3]、基于加密方案的云儲存平臺下數據庫訪問控制策略[4]以及基于智能合約的數據訪問控制方法[5]。

從訪問的技術手段角度來看，主要可以分為非法訪問者訪問數據以及合法訪問者對數據庫非授權對象進行非法訪問[6]。任何與計算機的交互都必然涉及數據的訪問，因為這種交互會導致計算機以某種方式作出響應。以端口掃描為例，請求被發送到聯網的計算機端口，以查閱目標計算機上哪些端口是開放的。這是一種評估脆弱性的方法，可能是嘗試進一步訪問的前兆[7]。例如，未經授權利用木馬程序獲得登錄權限或密匙，侵入計算機信息系統，進而獲得訪問數據庫的權限。當然，針對登錄密碼錯誤可能存在爭議。從外部視角看，他或她沒有獲得進入計算機的權限，因而不構成訪問，但從用戶角度觀測，此行為同樣會導致計算機響應并在處理中修改數據，因而屬于非法訪問。應當說，從技術層面來看，在破解登錄權限的情況下進行隨機試錯，獲得訪問權限的概率可以忽略不計，應當予以排除。又如，在獲得授權之后，超越授權的內容訪問其他數據庫內容，破壞了數據庫整體的安全，屬于非法訪問。

從侵害的主體來看，非法訪問的對象是“數據”而非“計算機”。一方面，與早期計算機的用途和功能不同，大數據時代我們逐漸習慣將大容量的數據資源存儲于數據庫中，然后借助SQL等訪問技術進行搜索。此種語境下，訪問對象不再是抽象化的“計算機”或“計算機系統”，而是具體建構于數據庫中的數據。計算機安全強調建立和采取保護措施，以保護計算機的硬件、軟件和數據等一切安全。相較計算機的載體屬性，數據是內容，需要法律的獨立保護。另一方面，不論是計算機安全抑或是網絡安全，數據都是最關鍵的保護對象。正是基于數據安全的重要性，它才成為被攻擊的目標。為了有效化解并遏制風險，訪問控制、身份驗證、數字簽名和防火墻等一系列技術手段應運而生[8]。倘若以“計算機”為名進行保護，既達不到全面保護的目標，也無法實現對數據的重點保護。

綜上，筆者認為非法訪問數據是指行為人未經授權或超越授權登入成功后，對數據庫數據進行查閱或瀏覽的行為。

二、非法訪問數據行為刑法規制的必要性與可行性

（一）必要性：非法訪問數據的行為具有嚴重的法益侵害性

在數據泄露、數據篡改以及數據非法使用等法律風險肆意蔓延的背景下，1975 年美國麻省理工學院電氣系教授沙爾茨（Saltzer）和施羅德（Schroeder）首次提出了“數據安全”（Data Safety）的概念。數據安全包括數據的保密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。保密性是指在特定情形下，維持一種自上而下的權威，并控制那些有權獲取信息的人[9]。完整性是指存儲或傳輸的狀態下，數據不會被未經授權的人篡改。可用性是指及時、可靠地獲取和使用數據[10]。數據安全所倡導的完整性、有用性和保密性目標不僅充分考慮了數據安全背后原有的技術樣貌，而且反映了不同場景下的保護內容，因而成為數據犯罪的保護的法益。

從法益內容上看，非法訪問數據的行為嚴重侵害了數據的保密性和可用性。一方面，非法訪問數據行為的法益侵害具有直接性。無論是非法獲取行為、破壞行為抑或是濫用行為，都可以看作是數據犯罪的中下游犯罪。之所以長期以來忽視非法訪問行為的存在，主要原因在于理論界和實務界習慣于將其與后續犯罪行為雜糅到一起，認為是手段與目的或主行為與從行為的關系，擇一重處罰。實際上，非法訪問行為作為手段體現出的關鍵性和必然性特質本身就對數據安全產生了嚴重侵害。目前學界和實務界都在極力消除數據和傳統意義上有價值物的區別，進而佐證數據的財產屬性，因此，數據財產權便成為一種新型權利。需要說明的是，數據的可復制和低消耗等特征要求我們對于傳統犯罪構造予以重塑。例如，傳統的財產犯罪都秉承占有主義，單純地觀察犯罪目標，可能構成犯罪預備甚至不構成犯罪，因為難以達到使財物失去控制的法益侵害程度。與此不同，數據的上述特征決定了侵害方式和法益的特殊性。倘若按照傳統財產犯罪的規范構造，甚至會得出與立法相悖的結論。例如，雖然非法獲取計算機信息系統數據罪的實行行為是非法獲取，行為構造上類似于盜竊罪或搶劫罪，但卻并未使數據所有者所有權權益有所減損。這也說明立法者也承認數據犯罪與傳統犯罪的差異。未經授權或超越授權入侵他人計算機信息系統，而后進入他人數據庫中進行查閱，侵害了數據的保密性，同時，由于數據內容被披露（相對于數據所有者而言），可用性隨即減弱。正如有學者所言：“數據不同于財物，受保護的方式自然也要更新升級，非法訪問作為一種被遺忘的侵害方式應當被立法者重視，否則法律的規制則如同‘亡羊補牢，為時晚矣’。”[11]另一方面，非法訪問數據的行為的法益侵害具有隱藏性。盡管網絡服務提供者都在不斷提高防火墻和病毒的檢測技術，做到“打早打小”，避免損失的擴大化，但基于訪問技術的隱蔽性，在尚未執行查詢命令時一般很難發覺。這不僅造就了技術層面的規制難題，也難以使立法者和司法者聚焦于這一問題。隱蔽性不代表不存在法益侵害的事實。應當說，非法訪問數據行為作為所有數據犯罪的必經環節，必然會對數據安全產生嚴重侵害，刑法介入的正當性成立，立法者不能因為這種侵害方式是不被人看到或聽到就選擇聽之任之[12]。研究也表明，如果非法訪問數據的行為受到法律的制裁，數據所有者的損失就會減少70%[13]。總之，非法訪問數據的行為對數據安全的法益產生了嚴重的侵害，且其侵害程度不亞于其他數據犯罪行為，故而應當得到刑法立法者的重視和回應。

從被害主體教義學的立場出發，非法訪問數據行為嚴重侵害了數據權利人的權益。對于非法訪問數據行為刑法規制的考察，不僅需要立足法益保護的理念正面論證，而且結合被害人教義學，合理劃定受保護的對象同樣必不可少。被害人教義學從被害人的角度出發，從被害人的保護可能性與需保護性這一核心原則展開，對被害人法益是否值得刑法保護予以評估，使被害人這一犯罪學意義上的主體進入刑法教義學的視野。[14]一方面，從刑法保護角度而言，非法訪問數據行為的被害人具有保護的可能性。隨著Web3.0 時代的到來，數據權利人自我保護的可能性受到影響。例如，在Web1.0到web2.0 期間，數據權利人擁有強勢的管理能力，非法訪問數據行為不會造成自我保護可能性的減弱，但Web3.0 時代網絡易入性使得攻守關系發生了逆轉，數據權利人防御成本增高。另一方面，與其他網絡犯罪的離散型不同，非法訪問數據行為針對的一般是數據庫控制者，具有主觀上的故意。如上文所述，當數據庫權利人采用多種措施盡到“通知”或“提醒”義務時，行為人已經通過技術手段強行訪問，顯然具有了主觀上的“故意”。

（二）可行性：域外立法和公約的共同選擇

盡管不同國家和地區存在法域上的差異，但審視國際社會的刑事立法不難發現，各個法域以附屬刑法或者增設罪名等不同形式強化數據安全的獨立地位。盡管不能在立法上亦步亦趨，但國際上的立法趨向所反映的一定的規律性，無疑對我國有參考和借鑒價值。

以英國和澳大利亞為例，兩國都明確表示，受到懲罰的實際上是未經授權訪問計算機數據，而不是計算機本身的行為。根據澳大利亞聯邦規定，如果行為人在明知該訪問是未經授權的情況下，通過該訪問意圖實施或協助實施嚴重罪行，則該訪問是違法的①Criminal Code Act 1995(Cth),ss 477.1(1)(a)(i),477.1(4)(a)(i).。此外，任何人明知訪問受限制數據是未經授權的，而故意使任何人訪問該等數據，即屬犯罪。對數據的訪問必須基于計算機的某一功能而開啟，因而不包括對數據的物理損壞。“訪問儲存在電腦內的數據”的定義是：由該計算機顯示該等數據或由該計算機以任何其他方式輸出該等數據；或將該等數據復制或移至電腦內任何其他地方或移至數據儲存裝置；或對于程序，即程序的執行。這個非常寬泛的定義本質上等同于使用“數據作為與數據的任何交互，無論是否成功”，都會導致程序的執行或數據的輸出。例如，失敗的密碼嘗試仍然會導致程序執行和數據輸出。英國也采用了類似的立法表達。根據《1990 年計算機濫用法》（Computer Misuse Act 1990）第1 條1 款規定，有以下情況的人即屬犯罪：他或她使計算機執行任何功能，目的是確保對任何計算機內持有的任何程序或數據的訪問是安全的，或使對任何該等訪問是安全的；他或她打算確保或使其能夠確保的訪問是未經授權的；和當他或她使計算機執行功能時，他或她知道情況就是這樣。根據第2 條第3 款，如第1 條的罪行是意圖犯某一指明罪行，則屬較嚴重罪行。打開計算機、試圖輸入密碼或試圖遠程訪問計算機都會導致計算機執行某種功能，因此，只要這些操作是未經授權的，并且是出于必要的目的而進行的，就可能屬于這一節的范圍。這與訪問的嘗試是否成功無關，如用戶輸入密碼但被拒絕訪問。

以美國為例，1986 年頒布的《計算機欺詐和濫用法》（Computer Fraud Abuse Act，CFAA）中與數據犯罪有關的內容被載入《美國聯邦法典》第18 章第1030 條。第1030 條（a）規定了個人故意“未經授權訪問計算機”或者“超出授權訪問計算機”且從事以下行為，應當承擔刑事責任或民事責任：（1）獲取政府數據或國家安全保密數據；（2）訪問各類受保護的計算機并獲取數據；（3）訪問聯邦政府擁有或專用的計算機；（4）訪問計算機并實施欺詐；（5）損壞計算機或緩存的數據；（6）對訪問計算機的密碼進行非法交易；（7）利用計算機進行敲詐勒索①18 U.S.C.A.§1030(a)(1)-(a)(7).。1996 年《經濟間諜法》（Economic Espionage Act，EEA）第二章對第1030 條進行了修改，目的在于調整（a）（2）的適用對象，從最初金融機構、發卡機構或消費者報告機構的金融記錄變更為任何類型的信息②See 18 U.S.C.§1030(a)(2)(Supp.II 1996).。2008 年通過的《身份盜竊懲罰和賠償法》（Identity Theft Enforcement And Restitution Act，ITER）再次對第1030 條（a）（2）進行了修改，規定任何未經授權地訪問任何受保護的計算機數據，檢索任何類型的信息，不管是州際之間或州內，都將受到法律的懲罰③Former Vice President Protection Act of 2008,Pub.L.No.110-326,122 Stat.3560.。盡管美國在形式上是以“計算機犯罪”對非法訪問數據的行為進行規制，但從立法內容不難看出，數據犯罪內容占據主流，且其對非法訪問行為進行了全方位的規定[15]。

歐盟委員會2001 年通過了《網絡犯罪公約》（Cybercrime Convention）（以下簡稱《公約》），并于2004 年正式實施。《公約》為了打擊黑客行為，規定未經授權進入計算機系統（第2 條）、非法截取計算機數據（第3 條）和未經授權干擾計算機數據或計算機系統（第4 條和第5 條）屬于犯罪[16]。《公約》設置了與“非法訪問”類似的“干擾數據罪”，并鼓勵成員國進一步細化犯罪類型。2015 年德國頒布的《第49 部刑法修改法》第202 條a規定：“未經授權為自己或他人探知不屬于自己的為防止被他人非法獲得而作了特殊安全處理的數據的，處3 年以下自由刑或罰金刑。”第202 條c 規定：“為第202 條a 和第202 條b 規定的犯罪進行預備，對下列對象加以制作，為自己或他人獲取、出售、轉讓他人，散布或以其他方式公之于眾的，處1 年以下自由刑或罰金刑。”[17]

其他如日本《關于禁止不正當侵入網絡行為等的法律》④本法于平成11 年（1999 年）8 月頒行，最后修改時間為平成25 年（2014 年）5 月。第1 條第4 款規定：“本法中所說的‘不正當侵入網絡行為’是指下列各項情形之一的行為：其一，通過電氣通信線路，向具有網絡訪問控制功能的特定電子計算機輸入他人的識別符號，啟動該特定電子計算機，進入獲得該網絡訪問控制功能限制的特定使用狀態（不包括設定該網絡訪問控制功能的訪問權限管理者實施的行為，以及獲得該訪問權限管理者的承諾或者該識別符號利用權人承諾行為）；其二，通過電氣通信線路，向具有網絡訪問控制功能的特定電子計算機輸入可以解除通過網絡訪問控制功能限制的特定利用的信息（識別符合除外）或者輸入指令，啟動特定電子計算機，進入該功能控制的特定利用狀態的行為；其三，通過電氣通信線路連接的其他特定電子計算機所具有的網絡訪問控制功能，向控制該特定使用的特定電子計算機，輸入可以通過電氣通信線路解除該限制的信息或指令，啟動該特定電子計算機后，進入在被限制狀態下可以特定使用的行為。”[18]《法國刑法典》第三章“侵犯數據自動處理系統罪”中第323條第2 款規定：“妨礙或擾亂數據自動處理系統運行的，處5 年監禁并科150000 歐元罰金。”第323條第3 款規定：“非法增加、摘錄、持有、復制、傳遞、刪除或者更改數據自動處理系統之數據的，處5年監禁并科150000 歐元罰金。”[19]《西班牙刑法典》第十編第197 條第2 款規定：“為損害第三人利益，未經授權，占有、使用、更改他人或者家庭保存的數據，電腦、電信或信息保存的數據或者其他形式的私人、公共檔案、記錄；以損害其擁有人、第三人為目的，未經授權，變更、使用或訪問以上信息，以各種方式取得上述各種信息，處第一款的刑罰。”[20]

綜上所述，盡管上述各國因法律文化和傳統差異在刑法立法的表述上各具特色，但本質上都將非法訪問數據的行為納入刑法調整的范疇，根本原因在于域外國家業已形成完整的“計算機犯罪或數據犯罪”刑事法網，基本涵蓋了數據的生命周期，而我國刑法分則對于此類型行為的立法闕如，致使理論和實務界的相關研究逐漸走入誤區。

三、現行刑法規定無法涵蓋非法訪問數據的行為

（一）無法將非法訪問數據行為納入非法獲取計算機信息系統數據罪

非法獲取計算機信息系統數據罪①我國《刑法》第285 條第2 款規定：“違反國家規定，侵入前款規定以外的計算機信息系統或采用其他技術手段，獲取該計算機信息系統中存儲、處理或傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。”的實行行為可以概括為“侵入+獲取”或“采用其他技術手段+獲取”。遺憾的是，無論對非法訪問作何解讀都無法被上述兩種行為類型所涵蓋。

首先，從數據的生存周期出發，訪問行為可以作為獨立階段且與其他數據行為進行區隔。數據的生存周期可以分為數據采集、數據傳輸以及數據儲存等六個階段②《信息安全技術數據安全能力成熟度模型》（GB/T37988-2019)第5.4.1 條與第5.4.2.1 條。。這里的“采集”并不等同于“獲取”，而是對單向非法訪問行為的不法性評價。獲取是數據從無到有的過程，對如何獲取數據的技術進行有效法律規制才是問題的關鍵。對計算機數據的訪問顯然是獲取和破壞行為的技術前提，彼此之間具有事實上的邏輯關系和因果關系，缺乏了訪問行為，則后續的數據侵害行為不可能實現。盡管這些數據侵害行為在推進因果關系進程上具有一致性，但是行為之間存在本質區別。而且現實生活中存在并未直接獲取數據，無法構成非法獲取計算機信息系統數據罪，但同樣造成嚴重社會危害性的行為，此時便形成了刑法處罰上的漏洞。例如，被告人A 通過私自窺視到的賬號、密碼，多次非法登錄某資源交易平臺，并在系統新增管理員賬號（影子賬號），以查看平臺內招標項目的投標情況、報價單等，有償提供給B 公司，非法獲利10 萬元[21]。

其次，從行為侵害的法益區分，非法訪問數據行為具有特殊性。未經授權或超越授權的非法訪問數據行為侵害了數據的保密性。有學者認為，針對數據犯罪而言，獲取、出售及提供是處于法益邊緣的行為，對于法益不具有直接侵害性，而使用行為則是法益侵害的核心行為，對于法益具有直接侵害性[22]。也有學者持相反觀點，認為數據犯罪進入實行階段之后對法益會產生巨大侵害，刑法保護的前置化應當得到立法者的關注和回應[23]。應當說，與傳統犯罪相比，網絡語境下的犯罪組織分工進一步細化，利益鏈條被不斷延伸，形成了更多獨立的犯罪單元，因此，實行行為的中心地位也被不斷弱化，呈現出明顯的去中心化特點。以盜竊罪為例，傳統盜竊罪重點考察的要素包括行為人盜竊手段、周圍環境、逃脫的可能性，基本上排除了對準備工具和制造條件等預備行為的考量，因為前者直接關乎犯罪行為能否既遂。換言之，整個犯罪是以實行行為中心的。“工欲善其事，必先利其器”是新型網絡盜竊的真實寫照。作為典型的技術犯罪，工具技術狀況直接決定犯罪的走向。因此，非法登錄、破解密碼或植入程序等行為反而成為關鍵與核心。同理，作為數據犯罪的關鍵環節，非法訪問行為自然可以被視為整個數據犯罪（包括上游犯罪和下游犯罪）最重要的步驟，應當予以獨立規制。實際上，刑法在立法過程中也逐漸意識到這一點，從回應型刑法向預防性刑法轉變，實現對重要法益刑法保護的早期化。準備實施恐怖活動罪①《刑法》第120 條之二規定：“有下列情形之一的，處五年以下有期徒刑、拘役、管制或者剝奪政治權利，并處罰金；情節嚴重，處五年以上有期徒刑，并處罰金或者沒收財產：（一）為實施恐怖活動準備兇器、危險物品或者其他工具的；（二）組織恐怖活動培訓或者積極參加恐怖活動培訓的；（三）為實施恐怖活動與境外恐怖活動組織或者人員聯絡的；（四）為實施恐怖活動進行策劃或者其他準備的。有前款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。”和提供侵入、非法控制計算機信息系統程序、工具罪的設立便是例證。②提供侵入、非法控制計算機信息系統程序、工具罪規定：“提供專門用于侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的，依照前款規定處罰。”單位犯前三款罪的，對單位判處罰金，并對其直接負責的主觀人員和其他直接責任人員，依照各該款的規定處罰。

最后，由于非法訪問數據的行為無法被非法獲取計算機信息系統數據罪所涵蓋，司法機關只有進行類推解釋或借助類似罪名予以懲治，而這必然引發罪名適用上的爭議。以盧某等提供侵入、非法控制計算機信息系統程序、工具案為例，被告人盧某租用境外服務器架設VPN 專用網絡，雇傭他人通過繞開我國互聯網防火墻監管非法訪問境外互聯網網站的數據，獲利375332 元。最終法院認為，被告未經相關部門授權，利用軟件繞開防火墻監管，突破計算機信息系統安全保護措施，非法訪問境外互聯網數據，構成非法經營罪，判處有期徒刑三年三個月③河南省三門峽市中級人民法院〔2018〕豫12 刑終271 號刑事裁定書。。但非法經營罪規定在《刑法》分則第三章破壞社會主義市場經濟秩序罪之第八節擾亂市場秩序罪之下，也就意味著本罪的規范目的是維護市場經濟秩序，而本案中非法訪問數據的行為并不能為市場經濟秩序所涵攝。從本案的核心事實來看，未經他人授權秘密地訪問數據庫數據實際上是對數據保密性的侵蝕，與整個市場經濟秩序無害，甚至在一定程度上還有利于提升數據的附加值。更何況，非法經營罪的核心構成要件是對“經營活動”合法性的保護，而訪問本身盡管獲利但并未擾亂經營活動，所以兩者的底層邏輯互相沖突。

（二）無法將非法訪問數據行為納入其他罪名

除上述罪名外，間接相關的罪名主要有兩個，即非法侵入計算機信息系統罪④《刑法》第285 條規定：“違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或拘役。”和破壞計算機信息系統罪①《刑法》第286 條規定：“違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常進行，后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。違反國家規定，對計算機信息系統中存儲、處理或傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重，依照第一款的規定處罰。”，但它們并不能用來規制非法訪問數據的行為。

非法訪問數據的行為可以分解為兩個步驟：第一步，通過技術破解成功登錄，進入他人的計算機信息系統。此時的破解行為本質上是手段行為，應當被目的行為所吸收。按此邏輯，最終可能構成非法獲取計算機信息系統數據罪。即便從非法訪問數據行為的全貌來看，其也與非法獲取數據行為存在本質差異，更何況第一步的技術破解和登錄。單從這個獨立的行為來看，其與非法侵入計算機信息系統罪極為相似，兩者本質上都是對計算機信息系統安全的侵害。但是，由于我國設置非法侵入計算機信息系統罪之目的在于保護特定領域的計算機系統安全，因此，非法侵入一般計算機信息系統的行為不在本罪調整范疇②因為非法侵入計算機信息系統罪將犯罪對象限縮為特定領域，因而與非法獲取計算機信息系統數據罪難以形成適用上的兼容。為解決這一難題，因此有學者認為，應當將《刑法》第285 條第2 款“前款規定之外”作為表面構成要件要素或界限要素，而非真正的構成要件要素。筆者認為，該解釋存在疑問，它超出了文字可能的含義。參見張明楷：《刑法學（下）》，法律出版社2019 年版，第1048 頁。。第二步，通過SQL 等查詢工具或特定代碼在數據庫中查找并瀏覽（查閱）目標數據（集）。對于此瀏覽或查閱行為屬性的考量直接影響罪名的適用。不可否認，對他人數據庫中數據（集）的查詢可能造成并發使用，同時在線人數眾多或遠程操控同時執行若干查詢或瀏覽任務可能導致計算機信息系統的安全性能降低[24]。簡言之，非法訪問數據的行為可能導致計算機性能過載，進而影響計算機信息系統安全。但筆者認為，即便如此，也不能將“非法訪問”行為解讀為“對計算機信息系統功能的干擾”，進而定性為破壞計算機信息系統罪。一方面，“干擾”意味著對計算機信息系統安全造成侵害或威脅，而“非法訪問”對計算機信息系統的影響極小，甚至可以忽略不計。研究表明，非法訪問所采用的技術所占用的容量和流量幾乎不會影響到數據所有者的正常使用，因為一旦服務器過載就容易觸發防火墻的報警。當然，為了予以技術反制，企業習慣采取動態訪問控制方法，設置懲罰時間[25]。另一方面，非法訪問行為所針對的目標是數據而非計算機信息系統，退一步而言，即便引發計算機信息系統安全問題，也屬于競合犯問題，如此便排除了破壞計算機信息系統罪適用的可能性。

（三）無法通過下游犯罪實現規制目的

有學者可能認為，非法訪問數據行為只是手段，屬于上游犯罪，通常還會存在下游目的犯罪，兩者構成牽連犯，可以通過規制下游犯罪的方式來實現對非法訪問數據行為的打擊。本文認為，此種觀點有待商榷。

一方面，數據犯罪中上游犯罪的獨立規制已經為立法和司法所接受，并非異類。數據新技術在經濟活動和社會生活中不斷滲透和融合，盜竊、詐騙、侵犯商業秘密等諸多傳統犯罪成為整個數據犯罪產業鏈中的下游犯罪，并且在算法的加持下呈現出爆炸式增長。與此同時，為其提供服務且更為隱蔽的上游數據犯罪手段也在不斷更新和升級。為了應對此種情景，刑法規制的行為類型需要向前端治理推移。這種觀念也被立法者和司法者所接受，如“提供侵入、非法控制計算機信息系統程序、工具罪”和“幫助信息網絡犯罪活動罪”的設立體現出積極刑法觀，旨在從網絡犯罪的上游予以打擊。積極刑法觀的出現要求“打早打小”，為合法權益維護提供前置性保護。在充分認識到非法訪問數據行為的社會危害性之后，刑法應當積極對其進行刑法規制，防止法益侵害的進一步蔓延。有學者可能會質疑此種立法的合理性，認為預防性刑法會突破刑法后置法和謙抑性的角色定位，阻礙數字經濟的發展。應當說，刑法立法的預防性轉向是現代社會法律整體價值立場轉換的一個具體面相，只要以憲法和法益保護必要性為原則，便不會出現無序擴張的風險[26]。因此，對非法訪問數據行為的規制與刑法的價值取向并不沖突。

另一方面，非法訪問數據行為與下游犯罪是否屬成立牽連犯存在疑問。牽連犯指代“復數行為之間因為存在手段與目的、原因與結果等特殊關聯，繼而僅適用從一重處斷”的競合現象[27]。有學者可能認為，之所以沒有增設專門的罪名來規制非法使用數據行為，主要原因在于既存的牽連犯結構可以有效地解決這一難題。如所周知，肯定牽連犯的前提在于行為人所實施的“手段—目的”行為具有類型化的牽連關系[28]，而不僅僅是簡單的“手段—目的”外觀即可。就非法訪問數據而言，無論后續的目的是詐騙罪還是幫助信息網絡犯罪活動罪等網絡犯罪，二者僅具有經驗上的牽連關系而非規范上的牽連關系。具言之，盡管非法訪問數據作為行為樣態引發結果的蓋然性和慣常性高于其他行為，但尚未達到框定在牽連犯程度的，如引發詐騙罪的手段眾多。且這只能解決一小部分案件，多數情況下的非法訪問數據的行為被掩埋。退一步來講，即便承認非法訪問數據行為和后續的目的構成牽連犯，也不影響前行為的刑法規制，只不過二者具有共罰屬性而已。例如，偽造行為與詐騙行為是典型的牽連關系，但這絲毫不影響刑法設置偽造類犯罪。

四、非法訪問數據行為入罪的具體構想

非法訪問數據行為入罪有兩個途徑可以考慮：其一，通過司法解釋，把此種行為納入既存的數據犯罪罪名中；其二，通過刑法修正案的形式增設新的罪名。應當說，第一種方法難以實現，因為非法訪問數據的行為與既存的數據犯罪罪名都存在顯著差異。通過司法解釋予以吸收不是擴大解釋，而是類推解釋，因此予以排除，既然如此，就需要增設“非法訪問數據罪”。具體條文如下：【非法訪問網絡數據罪】違反國家規定，未經授權或超越授權訪問他人做特殊安全處理的網絡數據的，經監管部門責令采取改正措施而拒不改正，情節嚴重，處三年以下有期徒刑或拘役，并處或單處罰金。非法訪問國家事務、國防建設、尖端科學技術、金融領域等重要領域數據的，處三年以上五年以下有期徒刑，并處罰金。為了保障新罪名的合理適用，需要對其中的核心犯罪構成要件予以闡釋，即“未經授權訪問”和“超越授權訪問”。

針對“未經授權”和“超越授權”的判定標準，主要存在“代理理論（Agency Theory）”“基于代碼的方法（Code-Based Approach）”“基于文本的方法（Text-Based Approach）”“撤銷機制（Revocation）”四種學說。“代理理論”是指代理人代表被代理人行事，被代理人的利益高于自己的利益，代理人負有忠實于被代理人的義務[29]。因此，雇傭關系背景下，如果員工“獲得了不當利益”或“嚴重違反忠誠”協議，代理關系終止，那么員工訪問雇主電腦的行為便從合法授權轉化成未經授權。此種判定方法顯然將員工置于弱勢地位，是否構成非法訪問數據罪的決定權完全交由雇主，實質上違背了主體的平等性，應當排除適用。“基于代碼的方法”需要對被告獲得訪問權限的具體技術方式進行事實全面的檢查，如被告是否利用了軟件程序中的漏洞，通過改變IP地址或使用服務器代理繞過互聯網協議（Internet Protocol），或發送重復的公共查詢（“GET 請求”）從公司的數據庫中檢索用戶信息等[30]。這種看似客觀的判定方法依舊將犯罪的決定權交由雇主，實際上是為了實現雇主利益的最大化，同樣不可取。“基于文本方法”的判定邏輯是訪問正當性取決于用戶是否違反了書面政策，如違背了試圖限制允許計算機行為邊界的網站使用條款（Website Terms of Use，TOU）[31]。此判斷方法存在根本缺陷，一方面依舊以雇主利益最大化為中心，另一方面不同互聯網企業的合同條款存在差異甚至是沖突，無法形成統一的標準。“撤銷機制”是指當數據網站已經明確撤銷用戶的訪問權限后，用戶依舊繼續進行訪問，則屬于“未經授權的訪問”和“超越授權的訪問”[32]。相較前三種判定方法，“撤銷機制”不僅明確了判定標準，而且合理平衡了各方利益主體的關系。基于此，筆者認為，未來司法解釋應當對“未經授權訪問”和“超越授權訪問”予以說明。“未經授權訪問”是指繞過對方技術障礙的數據訪問行為；“超越授權訪問”則是指違反網絡服務提供者撤銷通知，繼續進行數據訪問的行為。

同時，為了防止非法訪問數據罪的濫用，應當對“情節嚴重”作進一步的解釋。我國應當將結合數據公開性、重要性以及數量三個維度分析。主要原因是，一方面數字經濟的大背景下，數據的可轉化價值本身就隱藏于保密性之中，故而是否愿意將數據公開和共享成為判定法益是否遭受侵害的重要指標。另一方面，數據的重要性和數據的敏感性息息相關，世界范圍內包括我國在內也都傾向于根據將一些關鍵性數據進行匿名化或脫敏處理，進而保證數據安全。因此，訪問公開數據不構成本罪，訪問一般數據、公共數據、國家核心數據則分別根據重要性程度，設置不同的入罪數量要求。此外，非法訪問數據罪與其他關聯性罪名的適用問題也需要一并解決。應當說，非法訪問行為是侵入計算機信息系統的后續犯罪行為，但是與非法獲取或破壞數據犯罪不同的特殊行為樣態。因此，當侵入計算機信息系統后進行訪問則適用本罪，若訪問后繼續實施非法獲取或破壞數據的行為，則從一重處斷，防止刑法的重復評價。

結語

從傳統犯罪到數據犯罪，不僅僅是犯罪對象的變化，全新的犯罪樣態也逐漸浮出水面。數據犯罪以技術手段的分工和細化為天性，呈現出異于傳統犯罪的去中心化特征。這種轉變使得傳統以實行行為為中心的規制方法顯得捉襟見肘。數據技術的不斷強化不僅創造了新的經濟增長點，同時也引起了不法分子的注意，創設了新的危險點，這倒逼立法者反思既存犯罪構造上的缺陷。盡管我國刑法已經有零散幾個罪名，但對非法訪問數據這一常見且社會危害性大的行為束手無策。面對數據技術引發的犯罪樣態零碎化，未來需要立法者注重法律與技術互動、實體法與程序法兼容、出罪與入罪的結合，平衡各方利益主體的關系。