數據安全刑法保護完善建議
——以《數據安全法》頒行為契機

●邢曉蕓

數字經濟的健康發展有利于推動構建新發展格局、建設現代化經濟體系、構筑國家競爭新優勢，為此我國專門發布了“十四五”數字經濟發展規劃，而作為數字經濟關鍵要素的數據是新時代重要的生產要素，是國家基礎性戰略資源。2021年我國數據安全領域立法進程突飛猛進，《數據安全法》和《個人信息保護法》先后出臺，與《網絡安全法》共同搭建起數據安全法治保障的基本構架。如何以新法頒行為契機完善數據安全刑法保護，怎樣完善刑法規制才能統籌安全與發展，有效保護數據安全，是刑事法律領域迫在眉睫需要解決的問題。本文對此略作探討。

一、數據安全犯罪相關概念

(一）數據

從數據的發展歷程和對數據的認識來看，數據經歷了強調數值和量值的“定量小數據”到記錄、描摹、再現、重構、發明物質世界和人類活動的“定性大數據”的發展。《數據安全法》所稱的數據即屬于“定性大數據”。從數據的概念來看，立法對數據和信息的關系也予以確認，認為數據和信息即是載體和內容的關系，而個人信息當然屬于數據的范疇，但又區別于一般數據，所以針對個人信息有單獨的立法規制。從數據的特點來看，數據具有可再生、可共享、價值疊加等特性，區別于一般的財物。從數據的權益屬性看，不僅涉及公民的人身權利、財產權利，還涉及數據處理主體對數據的控制、分析與使用的權益以及由此帶來經濟利益；還可能涉及公共安全秩序利益、國家安全利益等。

（二）數據安全

從數據安全的內涵和外延看，有廣義和狹義之分，廣義上講，數據安全是總體國家安全觀的重要組成部分。狹義上講，數據安全是指保護數據自身的保密性、完整性和可用性。《數據安全法》就體現了立法就狹義數據安全的保護。從數據安全的狀態來看，可以分為靜態數據安全和動態數據安全，數據安全法更注重的是動態的數據安全管理，也就是數據生命周期的全流程保護。

（三）數據安全犯罪

與廣義和狹義的數據安全相對應的侵犯數據安全的犯罪也有廣義和狹義之分。狹義的數據犯罪是指以數據為犯罪對象的犯罪，也就是侵犯數據自身安全的犯罪，廣義的數據安全犯罪還包括以數據為犯罪工具的犯罪，表現為借助網絡或者數據加以實施的侵犯刑法既有法益的犯罪，這種犯罪是信息網絡時代催生出的傳統犯罪行為的網絡異化，比如電信詐騙罪。本文主要論述數據自身安全的刑法保護。

二、數據安全刑法保護的變遷

從互聯網演進過程看，互聯網發展的關鍵要素經歷了從網絡技術Web1.0時代到信息共享的Web2.0時代再到數據資源的大數據Web3.0時代演變，而我國刑法對相關犯罪的規制也經歷了一個逐步更新的過程。

Web1.0時代，刑法重點規制以計算機信息系統為對象的犯罪。本階段的刑法立法有以下特點，一是重點領域保護，面對新興的互聯網技術，首先保護國家事務、國防建設、尖端科學技術領域，以免這些重點領域的計算機信息系統被侵入造成重大損失。二是重要載體保護，在互聯網興起發展階段較為依賴計算機信息系統及應用程序等載體，因此，主要以保護計算機信息系統運行安全為重心。三是靜態數據保護，注重對存儲在計算機信息系統內的數據的保護，也就是說立法傾向認為數據是依附于信息系統存在的，其本身沒有獨立價值，如果數據不是存儲在計算機信息系統內的，就不屬于本法規制的對象。

隨著互聯網技術的普及，互聯網發展迅速進入信息共享的Web2.0時代，出現了越來越多侵犯信息和數據本身安全的犯罪，保護信息數據安全開始走入刑事立法者的視野。例如，增設非法獲取公民個人信息罪、非法獲取計算機信息系統數據、拒不履行信息網絡安全管理義務罪等，同時明確在定罪量刑標準、單位犯罪、共同犯罪、術語界定等問題上相關適用標準。本階段立法的特點，一是開始重視公民個人信息的保護，立法逐步完善了對侵犯公民個人信息犯罪的規制，初步構建起對個人信息的有效保護刑法框架。二是開始關注到數據自身安全的保護，2011年兩高發布的司法解釋開始規制制作、銷售黑客工具，非法獲取數據、倒賣非法獲取的數據，非法控制計算機信息系統、倒賣非法控制的計算機信息系統的控制權等犯罪行為。三是依然固守數據的靜態性和附屬性，刑法修正案七雖然增設“非法獲取計算機信息系統數據罪”，但數據的范圍依然僅僅局限于計算機信息系統，涵攝內容范圍較為狹窄。

三、現有數據安全刑法保護的不足之處

進入大數據Web3.0時代，數據自身安全風險也隨其價值的逐步凸顯而日漸突出。為此，我國出臺了數據安全保護專門性法律——《數據安全法》，這是一部實施數據安全監督和管理的基礎法律，以此法的立法價值取向審視現有的數據安全刑法保護，還存在以下不足之處。

（一）重信息網絡安全、輕數據自身安全

刑法對于數據安全犯罪的規制始終沿用“計算機信息系統”“信息網絡安全”等概念，在刑法罪名分類中這些相關罪名也被歸類為“計算機和網絡犯罪”，僅有的在罪名中出現數據字樣的“非法獲取計算機信息系統數據罪”也有“計算機信息系統”的定語限制。在數據的外延范圍同計算機信息系統基本一致的時代，加入“計算機信息系統”的定語限制是符合當時實際的，但隨著信息技術的迭代，數據以多種不同的、獨立的形式存在，比如通信設備、云存儲、瀏覽痕跡等，這些與計算機信息系統是分離狀態，司法實踐中難以被認定為計算機信息系統中的數據，從而表現出刑法的規制不能。《數據安全法》的出臺，彰顯了我國對數據安全的高度重視，刑法對數據安全的保護也應該有所跟進，將數據自身安全的保護整體納入刑法的規制范疇。

（二）重數據安全靜態保護、輕動態保護

刑法注重的是對存儲在計算機信息系統內的數據的保護，固守數據的靜態性和附屬性，這反映了我國刑法將數據類比為財物來進行法律規制的立法傾向，強調合法占有，但是這并不符合數據的流動性、共享性的特點，數據的價值不僅僅在占有，還在流通，在疊加，在共享。相應地，刑法對數據安全的保護也不能局限在占有狀態下，應該加強數據安全全生命周期的全流程保護。司法實踐中，已經大量出現侵害數據安全的行為，比如截獲、變更、窩藏、非法買賣數據這些行為都侵犯了數據的可用性、完整性、保密性，而這些侵犯數據安全的行為并不在我國刑法規制之中。在此種現狀下，兩高只能通過擴張解釋的做法來周延數據安全的刑法保護。《數據安全法》的出臺表明立法者們已經在逐步扭轉這種靜態保護的傾向，重視數據的動態保護，涵蓋了數據的全生命周期實施全流程保護。在此背景下，刑法應該將加強數據安全的動態保護盡快列入規制范圍。

（三）重秩序利益保護、輕數據法益保護

刑法對于數據安全的規制依附于對其他法益的保護，立法主要考量的是信息化時代對于經濟秩序和社會管理秩序的沖擊，而對于大數據時代數據安全法益保護、數據主體的權益維護等則還未進行深度關注。比如，某犯罪嫌疑人侵入某運營商的信息系統，竊取由其實際控制的用戶數據，運營商之所以報案，其真正關心的是這些被竊取的數據可能會給他們帶來的經濟損失。在司法實踐中，此類案件往往“非法獲取計算機信息系統數據罪”和“侵犯公民個人信息罪”來定罪，而作為數據控制者與處理者的運營商的權益并沒有得到刑法的認可和保護。《數據安全法》已經開始關注數據主體的權益保護，與《數據安全法》相適應，刑法也應該承認數據安全法益的獨立性以及數據主體合法權益的保護問題。

四、數據安全刑法保護完善建議——以《數據安全法》頒行為契機

從前述我國數據安全刑法保護變遷及當前數據安全刑法保護的不足之處分析來看，目前的條文應作出相應的調整，但應該注意的是，數據安全刑法保護完善不能僅立足于刑法本身的法條調整，而應該以系統思維和辯證思維為指導，以《數據安全法》頒行為契機，重點把握和處理好以下幾對關系。

（一）統籌發展和安全

當今世界，面對國際環境和國內發展階段的深刻變化，習近平總書記作出了“越開放越要重視安全，越要統籌好發展和安全”的科學論斷，并指出“安全是發展的前提，發展是安全的保障”。在處理數據安全刑法保護問題時首先就必須統籌好發展和安全，這就要求我們既要避免出現刑事法律規制的空白區，不能有效保護數據安全，導致數字經濟的無序畸形發展，也要避免刑事法律手段的過度使用限制了數據流通的活力和價值的發揮，阻滯數字經濟的發展。

一方面，要盡快填補刑事法律規制的空白區，改變現行刑法對數據保護的法益依附現狀，承認數據安全的獨立法益，重視數據自身安全的保護，即保護數據的完整性、保密性和可用性，將“數據”作為獨立的犯罪對象加以保護。具體到法條修改可以考慮將“非法獲取計算機信息系統數據罪”修訂為“非法獲取數據罪”或者“竊取數據罪”，同時單獨設立侵害數據安全的罪名，如“非法變更數據罪”“非法窩藏數據罪”“非法交易數據罪”等。另一方面，要秉持刑法的謙抑性原則，以包容審慎的態度正確處理好民事、行政、刑事法律手段的適用。為更好地促進數字經濟健康發展，法律應當在安全與發展之間尋找平衡點，樹立容錯理念，建立容錯機制，以更好激發市場主體勇于技術創新。

（二）協同領域法與部門法

《數據安全法》是我國實施數據安全監督管理的一部基礎法律，是典型的領域法，《刑法》則是規制數據安全的部門法，必須要協同好領域法和部門法的關系，通過對照《數據安全法》的數據全生命周期的保護要求、數據分級分類保護原則、重要數據保護原則等來完善數據安全刑法保護。

首先，要重視數據安全全生命周期的保護理念。數據全生命周期大體可以概括為數據收集、數據存儲、數據傳輸、數據提供、數據使用、數據加工、數據交易、數據公開、數據銷毀等環節。當前我國《刑法》對數據安全的保護主要針對的是計算機信息系統中的靜態數據，有必要補充立法覆蓋數據全生命周期，形成對數據安全的動態保護。

其次，要重視重要數據保護原則。雖然在數據全生命周期每個環節都有發生侵害數據安全的風險，都應該有法律予以規制和引導，但也不是所有的違法行為都適合由刑法來規制，根據《數據安全法》重要數據保護原則，可以考慮重點治理對重要數據在數據處理過程中對數據安全法益造成侵害的行為。

再次，要重視數據分級分類保護原則在刑法中的適用。數據分級分類保護是《數據安全法》確立的重要保護原則，在構建數據安全刑法保護新體系中我們要充分發揮數據分類分級的定罪量刑功能。比如構建以拒不履行數據安全保護義務罪為核心的數據安全罪名體系、將分級分類保護作為重要的量刑評價要素等。

最后，要重視數據主體權益的保護。《數據安全法》保護個人和組織合法的數據相關權益。比如數據衍生的財產法益的保護，這也是司法實踐中眾多數據實際控制者比較關注的，雖然目前尚缺乏共識性的、可行的解決方案，但是立法者對數據財產法益的保護應予以整體考量。

（三）把握靜態保護和動態保護

在處理數據安全刑法保護問題時要把握好靜態保護和動態保護的關系，加強刑法對數據動態保護的力度。《德國刑法典》為保護數據安全主要設置了窺探數據罪、截獲數據罪、窺探和截獲數據的預備罪、數據窩贓罪、數據變更罪等。結合《數據安全法》中數據全生命周期各個環節來分析借鑒德國數據安全刑法保護的相關罪名，可以將對數據法益的侵害總結為三個方面：一是非法持有數據，包括非法獲取、非法存儲、不當銷毀等行為。二是非法泄露數據，包括非法公開、非法傳輸、非法交易、非法提供等行為。三是非法濫用數據，包括非法變更、加工、刪修改等行為。可以圍繞以上三個方面通過調整現有罪名、增設新罪名等方式完善數據安全刑法保護。

五、結語

大數據時代，數據作為關鍵生產要素和基礎戰略資源，其自身安全被侵害的風險與日俱增，刑法通過依附法益保護數據安全的立法模式存在保護觀念落后、立法滯后實踐等問題，應以《數據安全法》的數據全生命周期的保護要求、數據分級分類保護原則、重要數據保護原則等為指導，完善數據安全刑法保護，從而推動數字經濟的健康有序發展。