網絡數據安全獨立性之提倡及其刑法展開

摘 要：我國刑法應當對數據安全加以獨立保護，這不僅是基于數據安全刑法保護法益的需要，也是落實法秩序統一性原理的要求。為轉變現行立法理念，提升立法技術，彌補處罰漏洞，我國刑法需要推進對數據安全的獨立保護。首先，應當在刑法中構建信息安全、數據安全和計算機信息系統安全并行的保護體系，專設“數據犯罪”專章或專節；其次，改變數據犯罪附屬于信息犯罪、計算機信息系統犯罪的條款之立法模式，強化數據犯罪罪名與刑罰的主體性和獨立性；再次，細化不同數據生存周期犯罪的罪狀描述，貫徹數據分類分級保護理念；最后，通過刑事合規制度強化網絡服務提供者職責，激勵企業對涉及重大法益的犯罪行為事前進行預警和防控。

關鍵詞：計算機信息系統安全 數據安全獨立保護 數據安全保護法益

大數據時代背景下，數據①成為新的生產要素，數據安全也日益引起社會的全面關注。正如德國刑法學者烏爾里希·齊白（Ulrich Sieber）所言：“正在興起的信息社會正在創造新的經濟、文化和政治集會，但它同時也引發了新的風險，這些新的機會和風險正在對我們的法律制度構成新的挑戰。”②然而，由于信息犯罪相關法律規范將保護的重點放在計算機信息系統安全方面，致使數據安全保護始終處于附屬和次要地位，加劇了計算機犯罪的“口袋化”趨勢。我國近年來不斷爆出來的諸多案件，體現出數據犯罪③與其他犯罪罪名定性上的爭議，由此數據犯罪的獨立刑法保護逐漸受到重視。例如，2016 年全國首起制售微信外掛軟件“張某等提供侵入、非法控制計算機信息系統程序、工具案”中，公訴機關與法院之間就非法經營罪與提供侵入、非法控制計算機信息系統程序、工具罪存在定性上的爭議；④再如，2018 年全國首起流量劫持“付宣豪、黃子超破壞計算機信息系統案”中，就流量劫持是否屬于破壞計算機信息系統行為存在破壞計算機信息系統罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪三個罪名定性上的爭議。⑤

檢視我國刑法關于數據安全的罪名保護體系，不僅弱化數據犯罪法益獨立保護，內部存在結構性的矛盾，而且對數據犯罪的規制不夠周延。例如，無論是“破壞型”罪名還是“獲取型”罪名，其不僅將數據犯罪依附于計算機信息系統保護之內，忽視了數據本身獨立的價值，數據安全得不到充分的保護，而且均將重點放在對數據犯罪的前端治理，對危害性更大的數據泄露、數據濫用等末端犯罪的規制則有所欠缺。

本文立足數據安全獨立的保護法益，論證數據安全犯罪刑法規制的必要性，針對目前數據犯罪立法依附于計算機信息系統犯罪存在的問題，并就如何在立法上實現對數據犯罪的有效規制提出完善方案。

一、數據安全獨立刑法保護的必要性

（一）數據犯罪發案率高且具有嚴重的法益侵害性

受制于計算機技術水平的發展，立法者之前將數據等同于計算機信息系統是合理的。⑥然而，隨著信息技術的發展，計算機信息系統和數據的關系清晰為載體與內容，顯然作為核心要素的數據更加具有經濟效益和社會價值。這是在刑法上要對數據安全給予獨立保護的根本原因。也正是基于此，刑法學界在關于數據犯罪法益內涵的認識上，數據安全法益逐漸取代了計算機信息系統安全法益，主張數據犯罪的保護法益在于使數據免于遭受不法侵害，⑦認為基于數據本身的特點和屬性，遭受侵害的數據與計算機信息系統之間存在本質差異，故應當對數據實施區別于計算機信息系統的專門保護。

但是相比于社會對侵害信息和計算機信息系統行為的嚴重性質和社會危害性較為普遍的認識，侵害數據安全的行為則長期以來被嚴重忽視了。由于侵犯數據的行為往往以獲取相應的信息為目的，犯罪手段具有隱秘性和不確定性，加上現有的很多數據犯罪行為分別被歸入信息安全犯罪、財產犯罪等原因，使得數據遭受侵害的嚴重性程度被低估。然而，侵犯網絡數據安全犯罪的數量正以爆炸式的速度迅速增長，例如，在北大法寶網以非法獲取計算機信息系統數據罪進行模糊檢索，截止到2018 年共發現2924 起案件，至2019 年發現4418 起案件，至2020 年發現6105 起案件，至2021 年發現7622 起。⑧雖然非法獲取計算機信息系統數據罪僅僅是數據犯罪的其中一個罪名，卻也表明侵害數據安全行為已經成為不可忽視的問題，無形中印證了“世界萬維網之父”蒂姆·伯納斯- 李“下一代互聯網的本質由計算網絡轉為數據網絡”⑨的論斷。

從行為性質和社會危害性來看，侵害數據安全行為的危害性同樣很大。首先，會對公民人格權造成嚴重侵害。就數據泄露而言，通過對數據的深層次挖掘，公民不僅可能會遭受身體傷害、人格損害或財產損失，以及因為數據算法和預測性分析評估等面臨被刑事調查、逮捕等剝奪自由的法律后果，而且更有可能隨著公民個人隱私被窺探、身份被盜用或遭遇歧視、詐騙或勒索等，致使受害人因此而產生難以言明的恐懼與焦慮等不良的精神或心理反應。簡言之，數據泄露更多的是關乎人而非物，其所導致的損害呈現無形、分散以及風險導向等特征。⑩此外，2016 年Facebook 向英國咨詢機構劍橋分析泄露5000 萬用戶數據事件表明，數據泄露還可能會被作為分析個體的工具，進而產生干預選舉等地緣政治影響。?其次，數據泄露會對企業造成致命性影響。數字經濟背景下，數據成為企業的重要資產，企業之間圍繞數據的爭奪日趨激烈，如果數據遭到泄露，極有可能會給企業帶來嚴重災難。例如，在“酷米客訴車來了”一案中，?雖然公交車以及運行路線、運行時間是客觀事實，但是經過相應的收集、分析、編輯以及整合并配合GPS 精確定位， 其作為公交信息查詢軟件的數據，以其精確性可以使“酷米客”APP 取得相較于其他同類軟件的競爭優勢和更大的市場利益。而“車來了”公司通過網絡爬蟲技術非法獲取并無償使用公交信息數據，是一種典型的侵權行為，不僅會對酷米客公司造成巨額財產損失，甚至會使“車來了”公交查詢軟件完全取代“酷米客”，獲得壟斷性市場地位。最后，侵犯數據安全的行為，特別是侵犯關系國家基礎信息、國家安全、國計民生和重大公共利益等國家核心利益的數據，可能對國家安全造成威脅。在首例涉案數據鑒定為情報類案件中，?上海某信息科技公司幫境外某公司采集中國鐵路信號數據，其行為涉嫌為境外刺探、非法提供情報罪而被逮捕。?因為此處的數據涉及鐵路GSM-R 敏感信號，用于高鐵列車運行控制和行車調度指揮，一旦被國外別有用心的機構獲取，將會對國家安全造成巨大隱患。此外，2021 年，國家安全機關公布了三起數據泄露案例：“某航空公司數據被境外間諜情報機關網絡攻擊竊取案”“某境外咨詢調查公司秘密搜集竊取航運數據案”“李某等人私自架設氣象觀測設備，采集并向境外傳送敏感氣象數據案”。?由此表明國家安全機關高度重視數據安全，并將其作為國家安全的重要組成部分。

（二）法秩序統一原理的需要

法秩序統一性原理是刑法立法的一個重要原則，主要是指憲法、民法、刑法等各個法域之間構成法秩序的整體統一。盡管不同的法律部門在規制范圍、規制手段上有所差異，但是都離不開對正義、自由、人權等基本價值理念的追求，可以說，法秩序統一是部門法共同價值追求下的產物。法秩序統一性原理下刑法從屬于前置法，并不是前置法上的違法性行為在刑法上必定具有違法性，而是法秩序統一性原理指導下各部門法所推導出的共同結論而已。?隨著民法典的頒布施行，包括刑法在內的各部門法規范和學理體系逐漸運用法秩序統一性原理來調整，已經成為所有法學學者的共識。?據此，也能得出刑法應當對數據安全獨立保護的結論。

前置法中關于數據安全的相關規定對于刑法本身具有重要意義。無論是《數據安全法》還是《個人信息保護法》，這兩部法律分別在第1 條就數據安全和信息安全的保護目的作了規定，表明數據和個人信息是兩個完全不同的概念，我國實行的是信息和數據的二元保護機制。該條衍生出的一個重要要求是獨立、平等保護數據和信息安全，不能將二者混為一談。據此，也可以得出應當將數據安全置于獨立的保護地位。此外，在信息和數據二元保護機制的背景下，《數據安全法》就數據安全的獨立保護作出了詳細的制度設計，例如，第21 條分別從宏觀上和微觀上就數據分類分級保護制度作了相關規定；?第3 條就數據處理的生存周期作了全覆蓋規定；數據合規方面，第29 條和第30 條分別就一般數據和重要數據處理者的數據風險監測評估和報送義務作了規定；第34 條規定數據處理相關服務應當取得行政許可等。可見，在前置法的視野下，侵害數據安全是一種具有獨立評價意義的行為。

法秩序統一性原理要求刑法應當對前置法關于數據安全的規定作出回應，換言之，作為保障性法律而存在的刑法也應當對侵害數據安全的行為加以獨立規定，以防出現對數據安全的不周延保護。反觀我國關于數據犯罪的刑法規制，一方面不斷擴大公民個人信息的范圍，使得刑法中公民個人信息的概念大于《個人信息保護法》中的信息概念，侵犯公民個人信息罪承擔了部分數據犯罪的規制功能；另一方面，將數據犯罪依附于相關計算機信息系統犯罪中加以規制。如果說這種關于數據犯罪的刑法規制在《數據安全法》《個人信息保護法》頒布之前尚且說得過去，那么在當前數據犯罪法律關系基本構建的情況下，刑法的現行規定就涉嫌違背法秩序統一原理精神。此外，可能有學者認為我國《刑法》第285 條非法侵入計算機信息系統罪就相關國家領域的重點規制體現了分類分級保護要求，但該條款不僅因打擊范圍過窄，對于大多數常見的黑客侵入行為無法規制而飽受指責，而且與非法獲取計算機信息系統數據罪相比較存在諸多結構性缺陷，事實上反而無法起到重點打擊侵入上述國家領域的行為。就數據安全的生存周期而言， 側重于對數據犯罪的前端治理，對于數據濫用、數據窩藏等末端犯罪行為有所遺漏，尚未覆蓋完整的數據生存周期。由此可見，構建侵犯數據安全獨立的刑法規制模式是符合法秩序統一性原理內在要求的。

（三）與域外立法趨于一致

考察當今國際社會的刑事立法，各個法域無論是以附屬刑法的形式還是增設罪名的形式，盡管各國關于數據犯罪的具體罪名等方面不盡相同，但是卻具有立法的共同趨向，那就是不約而同地去強化數據保護的獨立地位。這種數據安全保護的立法趨向，特別是以德國為典型的分類保護模式和以美國為代表的集中式立法，對于我國現行刑法具有參考和借鑒價值。

以德國為例，早在1970 年德國就率先通過了世界上第一部個人數據保護法，即《黑森州數據保護法》， 這為后來的《德國聯邦數據保護法》奠定基礎。德國將數據分為個人數據和一般數據，體現出對數據的差異保護。2019 年新修訂的《德國聯邦數據保護法》為個人數據的保護作了細化和調整，?例如，其將原法第44 條第（1）款規定?的行為分別設置為兩個獨立的犯罪構成要件：“（1）在未經授權的情形下，以營利的方式，故意將多人非開放數據傳輸給第三方或者通過其他方式開放……。（2）在未經授權的情況下，為了獲取利潤，或者為自己或他人謀取利潤，或者為了給他人造成損失，處理未開放的個人數據，或者通過虛假的信息騙取未開放的個人數據……。”此次修訂以個人信息自決權理論為基礎，將數據安全上升為憲法基本權利，并改變借助于行政處罰的規定，設置獨立的犯罪構成要件。與此相對應，《德國刑法典》歷經數次修訂，形成關于一般數據的全面規定。如1986 年德國聯邦議會通過《第二部打擊經濟犯罪法》，新增第202 條a 窺探數據罪、第303 條a 數據變更罪等罪名。2007 年《德國刑法典》不僅新增第202b 條截獲數據罪、第202c 條截獲數據的預備罪以及在303 條a 數據變更罪中增設預備行為處罰，而且將原有的第202 條a 規定的窺探數據罪中的“非法獲取數據”修改為“非法獲取數據訪問路徑”，以便將黑客入侵行為納入刑法規制范圍。2015 年，德國《通信數據的存儲義務與最長存儲期限引入法》新增第202 條d 窩藏數據罪，以此來打擊非法獲取數據的交易，并避免前述犯罪行為的延續和深化。21

再如美國，關于數據犯罪，1994 年《暴力犯罪控制和執行法案》將1030 條（a）（5）的范圍擴大為所有意外甚至沒有任何疏忽造成的計算機或存儲數據的損壞行為。22 1996 年《經濟間諜法》將（a）（2）的適用對象由金融機構、發卡機構或消費者報告機構的金融記錄擴大為任何類型的信息。23進入21 世紀，無論是2001 通過的《愛國者法案》，還是2008 年通過的《身份盜竊懲罰和賠償法》，都進一步擴大了計算機犯罪保護范圍。24申言之，雖然名義上為計算機犯罪，但其始終將數據犯罪置于與計算機犯罪同等的保護地位， 甚至數據犯罪的相關條款多于計算機犯罪，故也被學者稱CFAA“名不副實”。25其他如法國，2015 年最新修訂的《法國刑法典》將原先的“侵犯資料自動處理系統罪”改為“侵犯數據自動處理系統罪”，涵蓋對非法增加、摘錄、持有、復制、傳遞、刪除以及更改等多種行為的規制。26可見，無論是德國的分類保護模式還是美國的集中式立法，都不影響對數據安全的保護效果。綜上，對數據安全進行獨立的刑法保護，是一種經過各國檢驗的立法思路。

二、我國刑法數據安全獨立保護之不足

（一）立法理念落后于司法實踐

非法獲取計算機信息系統數據罪、破壞計算機信息系統罪等體現了刑法對數據犯罪的關注，但更多的罪名表明我國刑法立法依然將數據安全保護依附于計算機信息系統范疇，這種立法模式隱含著一個不科學的立法理念，就是對于數據犯罪的理解過于滯后和狹隘。具體而言，主要表現在以下幾個方面。

一是對數據犯罪的認識未擺脫古典占有主義理念的影響。洛克沿襲了格勞秀斯的所屬概念，提出占有的個人主義，其將財產建立在勞動之上，認為勞動是獲得財產的方式。27受占有主義理念影響，傳統的刑法并沒有明確數據的財產地位，而是將其作為所屬之物來界定。事實上，對數據和應用程序進行非法刪除、修改、增加的操作，其本質上屬于通過對行為對象的毀損而破壞他人對數據的合法占有，是一種“物化” 數據思維的體現。例如，在余剛等四人盜竊案中，“被告人余剛等四人以非法占有為目的，編寫、傳播‘木馬’病毒程序，利用‘木馬’病毒程序截取他人網上銀行賬號、密碼，然后秘密竊取他人網上銀行的存款”， 該案件被定性為盜竊罪，28其本質上就是將銀行賬號、密碼之類的數據視為稀缺性財物的表現，故以傳統財產犯罪對其加以規制。

二是以秩序為本位的觀念也在很大程度上影響著我國數據犯罪的立法。例如，我國刑法之所以對涉及個人數據的犯罪行為實施處罰，并非因為其侵犯了數據主體的合法權益，而是基于對經濟秩序和網絡空間秩序的保護考慮。這種立法模式是典型的秩序本位觀思路，會不恰當地將數據犯罪限縮于計算機信息系統犯罪規制范圍之內，未能體現出對數據犯罪本身的重視。29實際上，隨著信息社會的發展，大數據具有越來越重要的價值，逐漸形成與現實世界相對應的網絡空間，而這種秩序本位觀將造成諸多漏洞。例如， 只要個人數據的控制者與處理者在收集環節履行了相關的告知義務，即使其后續的保管、處理與使用等環節造成對數據的侵害，在未涉及秩序利益的情況下也將不會受到刑法的規制。再如，對于司法實踐中使用批量注冊、惡意刷量等和平手段侵犯數據服務的行為，因其并沒有影響到計算機信息系統的正常運行，則難以劃入計算機信息系統犯罪的規制范圍。

需要在此一并提出的是：其一，受中國計算機技術發展的影響，刑法立法的回應往往稍顯滯后。比如計算機信息系統犯罪的基本入罪情節要求情節嚴重，事實上，這種模式已經難以適應大數據時代背景下保護數據的需要。其二，為了突出對數據安全的保護，當今越來越多的國家和地區都在刑法典中將數據犯罪及與之相關的犯罪獨立成章節，但我國至今沒有在刑法中設專章或專節來規定數據犯罪及與之相關的犯罪，而是將其散布規定在妨害社會管理秩序罪一章。即使將數據犯罪脫離出計算機信息系統犯罪，如果其所屬章節的位置不加以調整，也會讓人覺得計算機信息系統才是保護重點，同樣不利于數據獨立保護的實現。

（二）現行立法存在諸多處罰漏洞

我國刑法對于數據安全的保護主要通過將其依附于計算機信息系統的范疇內予以間接實現，使得有關數據犯罪的規定留下諸多處罰漏洞。這不僅表現在現有計算機信息系統犯罪各個罪名之間存在違背教義學邏輯上的悖論，而且囿于無法突破計算機信息系統保護體系，致使其與覆蓋整個數據生存周期的獨立數據保護模式相差甚遠。

例如，《刑法》第285 條第2 款非法獲取計算機信息系統數據罪將保護對象限定為國家事務、國防建設、尖端科學技術領域計算機信息系統之外的領域，致使非法獲取這三類重要數據反而出現立法保護的空白。此外，對于采取非侵入手段，比如復制（“撞庫”“打碼”）等僅僅造成數據的部分形式處分權和支配權受害的侵犯，雖未必對計算機信息系統內部的數據造成損壞，卻同樣可以獲取計算機信息系統中的數據。在譚房妹等非法獲取計算機信息系統數據、提供侵入計算機信息系統程序案件中，譚房妹借助被告人張劍秋的“打碼”，并通過下載使用被告人葉源星編寫的“小黃傘”軟件、購買驗證碼充值卡，成功獲取淘寶賬號、密碼2 萬余組，并將其出售給他人，獲取違法所得25 萬余元。將該案件定性為非法獲取計算機信息系統數據罪是正確的，但是隨著信息技術的發展，未來還會出現更多的不以侵入為前提的非法獲取手段，30 問題的關鍵是明確此種行為的侵害實質是數據安全還是計算機信息系統安全。

比如非法侵入計算機信息系統罪，一方面，其將對象限定為國家重要領域的計算機信息系統，由此造成大量侵入經濟建設等領域其他計算機信息系統的黑客行為無法規制，進而可能引發對相關幫助犯，比如提供侵入、非法控制計算機信息系統程序、工具罪正當性的質疑；31另一方面，致使侵入國家事務、國防建設、尖端科學技術領域計算機信息系統并獲取數據的行為（實踐中定性為非法侵入計算機信息系統罪） 與侵入其他領域計算機信息系統并獲取數據的行為（非法獲取計算機信息系統數據罪）二者定罪量刑上的不均衡。32

再如破壞計算機信息系統罪，無論是理論界還是實務界，都認為只有造成計算機信息系統不能正常運行的才能構成破壞計算機信息系統罪，33致使對于刪除、修改、增加數據等侵害數據安全卻沒有造成計算機信息系統不能正常運行的行為的處罰漏洞。例如，在黃祥招、汪偉達、陳巖等破壞計算機信息系統案二審中，案件的爭議焦點在于黃祥招等被告人的行為是否對計算機系統造成破壞或影響其正常運行造成其他直接危害后果，如果認為對計算機系統造成破壞或影響其正常運行造成其他直接危害后果的，應當定性為破壞計算機信息系統罪。與此相反，雖然對計算機信息系統數據予以修改、增加，卻并未造成計算機信息系統不能正常運行的，則只能定性為非法控制計算機信息系統罪。34此外，與第286 條第1 款中對計算機信息系統功能進行刪除、修改、增加、干擾相比較，第2 款僅規定了對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加三種行為，造成對干擾數據行為規制的遺漏。事實上，司法實踐中已經出現不以侵入計算機信息系統為前提，對其功能加以干擾影響其正常運行的案例。例如，最高人民法院發布的指導性案例104 號李森、何利民、張鋒勃等人破壞計算機信息系統罪案件中，被告人采用棉紗等物品堵塞環境質量檢測采樣設備，干擾采樣，致使監測數據嚴重失真。35再比如被告人許某通過在IDC 機房安裝服務器、交換機的方式，最終達到屏蔽、改變數據傳輸路徑，致使監測、預警對其失效的效果。36兩個案例存在諸多相似之處，比如都因為沒有侵入計算機信息系統卻影響到信息系統的功能，使其不能正常運行而被認定為破壞計算機信息系統罪中“刪除、修改、增加以外的其他方法”，最終被定性為破壞計算機信息系統罪。然而，破壞計算機信息系統罪的保護客體是計算機信息系統安全，因此在被告沒有直接侵入到計算機信息系統本身情況下被認定為破壞計算機信息系統罪的正當性值得進一步討論。

我國目前關于數據犯罪的規制重點集中在“獲取”型和“破壞”型等犯罪行為，對于數據存儲、數據窩藏、數據濫用、數據泄露等行為則缺乏必要的規制，忽視了數據生存周期原理動態的刑法保護。例如，就數據存儲而言，在周某某等侵犯公民個人信息案中魔蝎公司違背《數據采集服務協議》中“僅在用戶每次單獨授權的情況下采集信息時保存用戶賬號密碼”的義務，未經用戶許可仍采用技術手段長期保存用戶各類賬號和密碼在自己租用的阿里云服務器上。法院認定相關主管人員和其他直接責任人員周某、袁某均已構成侵犯公民個人信息罪。37可見，非法存儲數據和非法獲取數據都具有法益侵害性，只是非法獲取數據行為被非法獲取計算機信息系統數據罪規制，而非法存儲數據行為則構成侵犯公民個人信息罪。

再比如就數據濫用行為而言，在謝康、岳安安非法侵入計算機信息系統案中，被告人岳安安、謝康通過購買“e2eSoftVCam”攝像頭輔助軟件、下載“輕松換臉”軟件，在“交管12123”系統上處理代辦審車、車輛違章業務時，利用上述軟件逃避實人認證，造成被害人郭某、鄧某等人駕駛證分數被扣除。此處法院將“交管12123”作為國家事務的計算機信息系統，認定為非法侵入計算機信息系統罪。38然而，該案的法益侵害本質是利用AI 換臉等技術手段非法使用他人數據的行為，是違背法律規定對他人數據的濫用，故定性為非法侵入計算機信息系統罪無法實現對該侵害行為的全面界定。

就窩藏數據的行為來說，雖然2011 年《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第7 條以掩飾、隱瞞犯罪所得罪定罪處罰。39但掩飾、隱瞞犯罪所得罪位于我國《刑法》第六章第二節妨害司法罪中，具有妨礙司法秩序和財產追回權利的雙重法益侵害性，與窩藏數據侵害數據安全法益二者之間存在本質上的差異。故以財產犯罪“違法所得”標準一刀切地適用數據犯罪，無法體現對數據保護的實際需要。

（三）相關解釋也無法彌補處罰漏洞

解釋論和立法論作為刑法學研究的重要方法，互為補充，如果司法實踐中相關難題能夠通過解釋加以解決，盡可能予以解釋；如果解釋不通，只能通過立法加以完善。而我國刑法將數據犯罪附屬于計算機信息系統犯罪的立法缺陷所造成的司法困惑和處罰漏洞，是無論如何解釋都行不通的。

現代國家罪刑法定原則的基本要求是刑法的明確性。如上文所述，計算機信息系統犯罪各個罪名之間存在違背教義學邏輯上的悖論，無法覆蓋整個數據生存周期，相關罪名分散于不同的章節，問題的關鍵在于立法將數據犯罪附屬于計算機信息系統犯罪刑法條款之后，致使其內在的邏輯性和明確性變得不清晰。數據犯罪的口袋化傾向愈益嚴重，造成司法實踐的困惑和爭議，不利于實現刑法規范的指引功能和裁判功能。

對于數據犯罪適用的口袋化問題，現行司法解釋不僅無濟于事，而且一定程度上造成其口袋化傾向的進一步擴大。比如2011 年《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《解釋》），明確非法獲取計算機信息系統數據罪中的數據被限縮為支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息以及其他身份認證信息，強調的是依附于計算機信息系統內部的數據， 范圍較為狹窄。40與此同時，第11 條將計算機信息系統定位為具備自動數據處理功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。其從技術層面上將數據等同于計算機信息系統，將所有與計算機相關聯的網絡終端設備，如計算機、手機、平板電腦、家用智能電器等都納入計算機犯罪的保護范疇內，數據的概念與計算機信息系統概念界定不清，數據犯罪為傳統的計算機犯罪所遮蔽。41同理，破壞計算機信息系統罪也存在上述問題。

此外，非法獲取計算機信息系統數據罪不是行為犯或危險犯，而是結果犯或情節犯，需要達到“情節嚴重”，42《解釋》第1 條關于“情節嚴重”的認定主要從非法控制計算機信息系統的臺數以及違法所得和經濟損失等要素加以評價衡量。其以諸如違法所得和經濟損失這種適用于財產類犯罪的評價因素評價非法獲取計算機信息系統數據罪這類擾亂社會秩序類犯罪，加之違法所得5000 元以上或者造成經濟損失1 萬元以上極低的入罪門檻，使得非法獲取計算機信息系統數據罪與因非法占有具有經濟價值的計算機信息系統數據定性為的盜竊罪之間模糊不清，造成口袋罪的進一步擴大。例如，在指導性案例檢例第36 號中，被告人衛夢龍利用龔旭因工作便利掌握的某網絡公司內部賬號、密碼，多次違規登錄該公司的內部系統，查詢、下載其系統內部的數據，并交由薛東東出售給他人，違法所得共計3.7 萬元，法院認定衛夢龍、龔旭、薛東東為非法獲取計算機信息系統數據罪。這里存在的問題是非法獲取數據的前提是違反國家規定，侵入第285 條第1 款規定以外的計算機信息系統或采用其他技術手段，因此，單純地非法獲取數據的行為不足以構成犯罪。而指導性案例檢例第36 號根據《解釋》5 千元以上的追訴標準將其定性為非法獲取計算機信息系統數據罪扭曲了非法獲取計算機信息系統數據實行行為的獨立性，是一種入罪化思維的體現。

數據犯罪口袋化必然伴隨著數據犯罪與相關犯罪罪名適用的爭議。例如在肖穎破壞計算機信息系統一案中，被告人肖穎原系福建某信息網絡公司運維部工作人員，在未獲授權情況下利用之前管理維護指令，擅自進入公司某版游戲系統后臺數據庫，編輯程序指令，給自己的游戲賬戶充入需要付費購買的游戲幣并領取，先后非法獲得具有對等價值的金幣、禮包等若干。一審法院判決認為被告人的行為已構成破壞計算機信息系統罪，而辯護人則認為“破壞計算機信息系統”的本質特征應是對計算機信息系統功能造成實質性損壞，使計算機信息系統不能正常運行，故肖穎的行為不構成破壞計算機信息系統罪，應構成非法獲取計算機信息系統數據罪。二審法院最終采納辯護人的觀點，認定被告人為非法獲取計算機信息系統數據罪。43又如在“流量劫持案”中，關于“破壞”和“控制”的規范評價不一，造成破壞型數據犯罪和非法控制計算機信息系統罪之間的爭議。44

此外，數據犯罪與傳統犯罪之間的適用也存在爭議。例如最高人民法院指導性案例第35 號曾興亮、王玉生破壞計算機信息系統罪一案中，被告人曾興亮、王玉生誘騙被害人注銷其蘋果手機上的icloud ID， 給被害人提供新的ID 及登錄密碼，利用該ID 及密碼遠程鎖定被害人手機，并以解鎖為由索要錢財。45該案的理論邏輯在于被告人通過遠程修改、鎖定被害人手機的方式，使其成為無法使用的僵尸機，造成了對計算機信息系統的修改、干擾，故法院定性為破壞計算機信息系統罪。不可否認，該指導性案例將以移動手機為代表的移動互聯網終端都解釋為“計算機信息系統”，符合互聯網時代發展規律，然而也存在讓人質疑之處，表現在被告人通過遠程修改密碼鎖定手機的行為雖然造成被害人無法使用手機，但是其只是影響到被害人對財物的使用效用，計算機信息系統本身及其功能并沒有受到影響。對此，該案定性為破壞計算機信息系統罪不僅擴大了該罪的適用范疇，也引發破壞計算機信息系統罪、敲詐勒索罪以及故意毀壞財物罪等罪名定性的爭議。

再比如，在易某非法獲取計算機信息系統數據、非法控制計算機信息系統一案中，被告人易某系華為公司線纜物控部的原職工，調任后違反規定獲取線纜物料價格信息，并將其轉告給該公司供應商深圳某公司，幫助其提高在華為公司招標項目中的中標率，并收受價值1.6 萬余元的購物卡以及籃球鞋若干。該案定性在非法獲取計算機信息系統數據罪和侵犯商業秘密罪之間存在爭議。46法院以被告人超出授權范圍登錄該系統，并利用程序漏洞獲取物料價格信息為由，定性為非法獲取計算機信息系統數據罪。

在向某等破壞計算機信息系統、非法侵入計算機信息系統一案中，向某、王某以及潘某某共謀，由向某提供某東商城ERP 賬號及密碼，易某、潘某某聯系意圖刪改差評的某東商城商家，幫助其刪改差評1000 余條，其中，易某獲取違法所得2.9 萬余元，向某、王某某、潘某某分別從易某處獲取違法所得5.15 萬元、2.19 萬元、0.2 萬元。47原審人民法院認為向某等違反國家規定，非法處理計算機信息系統中存儲的數據，其行為已經構成破壞計算機信息系統罪，二審法院維持原判。由上文所述，破壞計算機信息系統罪的保護法益是計算機信息系統安全，被告人刪除商家差評、修改數據的行為并沒有影響計算機信息系統以及其功能的正常運行。對此行為除了將其定性為破壞計算機信息系統罪之外，還存在與非法經營罪、破壞生產經營罪以及侵犯公民個人信息罪的適用爭議。與此相類似的還有非法刪除交警支隊計算機信息系統中的交通違章數據，48修改教務管理系統中學生的分數數據信息等案例。49這些本質上都是對數據安全法益的侵犯，而實踐中將其定性為破壞計算機信息系統罪等其他罪名不具有合理性。

總而言之，對于數據概念的界定不清以及計算機信息系統范疇的擴張造成了數據犯罪在司法實踐中的適用混亂。

三、我國數據安全獨立保護的刑法對策

我國刑法在規制數據安全犯罪方面存在的前述結構性缺陷，決定了必須實行將數據加以獨立保護這一對策。總體而言，未來我國應在刑法中增設“危害數據安全犯罪”專章，并針對信息安全、數據安全、計算機信息系統安全分別予以規定。應當改變數據犯罪條款附屬于計算機信息系統犯罪條款之立法模式，強化數據犯罪罪名和刑罰的主體性和獨立性；細化不同數據生存周期犯罪的罪狀描述和不同數據類型的分類分級體系；通過刑事合規制度強化網絡服務提供者職責的同時激勵企業對涉及重大法益的犯罪行為事前進行預警和防控。

（一）拓展數據犯罪的行為類型

我國數據安全保護的國家標準明確將數據生存周期分為數據采集、數據傳輸、數據存儲、數據處理、數據交換以及數據銷毀六個階段。50反觀我國現行刑法，將規制重點放在“獲取型”和“破壞型”侵犯數據安全行為，造成對侵犯數據安全其它生存周期的行為力有未逮。事實上，“獲取型”“破壞型”之外的數據侵犯行為可能會造成更大的社會危害性，比如數據采集、存儲以及銷毀環節的非法獲取、持有行為，數據使用環節的非法濫用問題等，因此，應當在綜合參考、對比前述數據生存周期劃分的基礎之上，重點加強對其他數據周期環節保護的完善。51

比如，在數據采集階段，數據侵犯表現之一是無權主體或有權主體超越權限對數據的非法知悉或非法持有行為。具體到非法獲取計算機信息系統數據罪，構成本罪的兩個前行行為遺漏了采用其他手段獲取數據以及獲取大部分計算機信息系統之外的云端數據行為。除了非法獲取、知悉網絡數據之外，還包括不應當存儲而存儲的行為以及數據銷毀階段應當銷毀而未銷毀的行為，即非法持有行為。對此，建議將數據犯罪獨立出非法獲取計算機信息系統數據罪，并將該條款中的兩個限定條件去除，修改為非法獲取、持有網絡數據罪。52這里需要說明的是，之所以將“非法持有”與“非法獲取”并列作為侵犯數據安全的行為，原因在于“非法持有”是一種對數據的“非法占有”狀態，是對數據安全保密性的侵犯，在整個數據生存周期的過程中具有紐帶性的作用，和其他侵害數據安全的行為一樣具有法益侵害性，需要刑法加以規制。

關于使用數據過程中對數據的破壞行為，主要涉及到破壞計算機信息系統罪，如上文所述，在破壞計算機信息系統罪這一大的罪名下，因法益不明經常造成實踐中的定性困難。而且數據保護條款關于侵害行為僅僅規定了刪除、修改、增加三種行為，相對于該條中其它條款遺漏了與“刪除、修改、增加”危害相同的“干擾”行為。事實上，與“修改、刪除、增加”行為相類似，對數據的“干擾”行為同樣可能因為對核心數據的修改而威脅到數據的安全，故基于保護數據安全獨立法益的需要，應當將數據犯罪從破壞計算機信息系統罪中脫離出來，增設非法破壞網絡數據罪，53同時在“刪除、修改、增加”數據行為的基礎上，將“干擾” 數據的行為也納入刑法規制范疇。

此外，實踐中經常將非法使用網絡數據行為等同于傳統的犯罪行為，非法使用數據行為具有法益侵害的根源性，對網絡數據的使用逐漸成為當前非法存儲、獲取以及提供網絡數據等行為的誘因。同時，非法使用網絡數據行為相較于侵害其他生存周期的數據安全行為而言，具有法益侵害的直接性。無論是非法獲取網絡數據還是存儲網絡數據，這些行為屬于數據自身的物理流轉和空間轉換，是對數據安全法益的間接侵害，而非法使用網絡數據對于數據安全法益的侵害是直接性的、具體化的。因此，非法使用網絡數據行為的危害與上述侵害數據其他生存周期的行為相比有過之而無不及，如果不從源頭上打擊非法使用數據行為，單純打擊非法獲取數據行為只能是治標不治本。事實上，非法使用數據行為在日常生活中廣泛存在，主要表現為相關單位主體或單位內部人員違反規定，訪問以及使用數據的行為。例如，2016 年，根據美國明尼蘇達州的審計調查數據顯示，近3 年內該州警察基于個人原因私自訪問州駕駛執照數據庫中的公民數據累計300 余次。54提到非法使用數據行為，最為典型的案例應當是“深度偽造”技術，該技術是通過數據的訓練，進而實現以假亂真的效果。55比如APPStore 中“ZAO”“AI 換臉”“FaceApp”都是非法使用公民個人數據信息，“深度偽造”數據的例子。因此，建議增設非法使用網絡數據罪，主要表現為違反國家規定，采取違反授權或者超越授權等方式，使用他人數據，情節嚴重的行為。56

需要注意的是，網絡時代背景下積極的預防刑法觀逐漸為更多學者所認可。面對當前數字經濟發展過程中過于強調經濟發展忽視弱化數據安全保護的不均衡現實，應當與提供侵入、非法控制計算機信息系統程序、工具罪等幫助行為正犯化相類似，侵犯數據的相關幫助行為也應當加以正犯化。因此，可以增設非法提供網絡數據罪。57

（二）貫徹數據的分類分級理念

風險識別是國家政府和社會組織有效提升治理效率并規制和防范風險的基礎，刑法作為《數據安全法》的保障法，并不是所有的數據安全法益都需要刑法保護，只有經過風險識別，即判斷某種數據所承載的利益為何種法益，是否能夠上升為刑法法益，才能夠真正成為刑法保護的對象。對此，借助于分類分級標準，認識不同層級的數據安全法益侵害風險和保護需求，形成數據犯罪罪質和罪量的評價依據，是實現數據安全獨立保護的目的。58

數據分類分級理念是貫徹落實總體國家安全觀要求下，數據安全保護義務和責任由企業向國家的逐漸轉移。數據分類分級雖然經常被合在一起統一討論，59但是實際上二者是相互區別的概念。數據分類是以“屬性”為標準，根據數據的內容、來源、特征、作用等進行劃分和歸類。如根據數據的來源，可以將數據分為政府數據、商業數據和個人數據；60根據數據的所屬行業與領域，則可以劃分為金融、交通、能源、醫療健康、電子政務等數據。61美國的數據分類最為典型，以行業為標準，將受控非密數據分為隱私、專利、移民、金融、商業信息、稅收、交通等20 種，其中每一類下面可以再進行細化，如隱私數據又可以再分為合同使用、死亡記錄、一般隱私數據、遺傳數據、健康數據等。62我國《數據安全法》關于數據分類的規定，主要存在存儲形式和主體身份兩種標準，以存儲形式為標準，可以分為電子化數據和非電子化數據；以數據主體身份為標準，可以分為個人數據、商務數據和政務數據。63對此，司法機關可以根據不同的罪名設定不同的定罪標準，以為司法人員認定數據犯罪時適用。

數據分級則是以“后果”為劃分標準，根據《數據安全法》第21 條數據被非法處理造成的法益損害后果的大小，劃分為國家核心數據、重要數據和一般數據。其中，國家核心數據是關系著國家安全的數據， 理應實行最高等級的保護；重要數據僅次于國家核心數據，可能關系國家安全和社會公共利益，實行僅次于國家核心數據等級的保護。64因此，與前置法相對應，并非所有侵犯數據安全的行為都要受到刑法同等規制，數據分類與數據分級屬于不同的維度，共同用于對數據法益的識別和判斷。其中，因受侵害的客體以及其受侵害程度變量因素的差異，可能會出現不同的情形：同一種類的數據由于定級要素的不同，可能處于不同的保護等級；比如同樣是侵犯公民個人數據的行為，由于造成損害的程度不同應當予以不同程度的規制。同理，不同種類的數據，因其受侵害程度相同，也可能最終處于同等的保護級別。即使受侵害的客體分別為公民個人數據和公共數據，可能由于遭受損害程度相同而最終給予相同級別的保護。因此，數據分類和數據分級密不可分，共同助于實現法益的梯度保護。

我國刑法罪名與罪名之間存在諸多結構性缺陷，根本原因在于尚未確立數據分類分級的保護理念。例如，非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪、破壞計算機信息系統罪、侵犯公民個人信息罪和侵犯商業秘密罪等，這些罪名之所以在司法實踐中存在認定上的困難，原因在于前三類計算機犯罪是以數據存儲形式為標準設置的罪名，主要體現在對電子化數據的保護；后兩類罪名則是以數據主體身份為標準構建的罪名。看似涇渭分明，然而隨著信息網絡的發展，公民個人信息和商業秘密也更多地表現為電子化數據，65由此造成這些罪名保護范圍上的交叉，進而造成認定上的困難。

對此，為了與《數據安全法》數據分類分級保護制度相協調，刑法中相關罪名應當對侵害關系國家重大利益的核心數據行為進行更嚴厲的懲處。具體可以從以下方面著手：

例如，對于非法侵入計算機信息系統罪，非法侵入本質上破壞了控制訪問的信息安全技術，其侵害的是數據的支配權限。66因此，應當“去系統化”，通過增設“非法訪問網絡數據罪”實現對所有侵入型網絡數據犯罪的刑法規制，即違反國家規定，未經授權或超越授權訪問經過他人特殊安全處理的網絡數據，情節嚴重的行為。同時在“非法訪問網絡數據罪”中設置關于國家重要核心數據的加重情節。

那么，這里主要討論一個問題，國家重要核心數據是否僅僅局限于國家事務、國防建設、尖端科學技術領域呢？答案是否定的。國家事務、國防建設、尖端科學技術這些領域的數據屬于國家重要核心數據，應當對其實施更加嚴格的保護，體現出對數據安全的分類分級保護。然而我國《計算機信息系統安全保護條例》在前面三個國家重要核心數據基礎之上，還對經濟建設領域數據加以重點保護。事實證明，數字化經濟背景下，經濟建設領域尤其是金融領域的網絡數據遭受侵害的社會危害性未必小于其他領域。67因此， 以金融領域為核心的經濟建設相關數據應當與國家事務、國防建設、尖端科學技術相關數據并列納入非法訪問網絡數據犯罪加重情節的規制范圍。

同理，對于上述危害其他數據生存周期的相關罪名，如“非法獲取、持有網絡數據罪”“非法破壞網絡數據罪”“非法使用網絡數據罪”以及“非法提供網絡數據罪”等，均應當貫徹數據分類分級的保護理念。例如，就非法獲取、持有網絡數據罪而言，建議將非法獲取、持有關系國家事務、國防建設、尖端科學技術領域、經濟領域等國家核心數據的行為作為該罪的加重情形，設置更加嚴厲的法定刑。其他罪名以此類推， 在此不再贅述。

值得一提的是，隨著數字經濟的發展，傳統的“數額為主、情節為輔”的罪量模式逐漸轉向“數額與情節并重”甚至“以情節為主”的模式。這種情形下，在數據分類分級的基礎上明確數據犯罪的罪量要素則十分必要。比如，《計算機安全刑案解釋》第1 條關于計算機信息系統數據罪的“情節嚴重”內容主要包括經濟損失、違法所得、計算機臺數、身份認罪信息組數等，然而，這些“后果”與數據安全法益之間并不具有很強的關聯性，因為數據犯罪的評價要素表現出諸如數據流量、瀏覽次數、影響用戶數等新的形式。因此，不能僅僅局限于實際的損失來評價數據犯罪，應更多地考慮行為對社會秩序、公共利益乃至對國家安全帶來的影響。當然，對于侵害數據安全法益確實無法加以分類分級量化的，則依然以“情節嚴重”加以考量。68

（三）構建數據刑事合規制度

風險社會背景下，預防主義的刑法觀得到進一步發展，這不僅體現在刑法處罰范圍的擴大化，也體現在刑罰處罰的早期化，對于數據安全的保護也不應有例外。大數據時代，海量、多源異構的數據對數據采集、存儲、傳輸以及使用等環節帶來挑戰，數據業務運營者主動或被動、故意或過失地使數據遭受威脅，個人的許可逐漸讓位于數據使用者責任的承擔，這種保護模式將重點集中于對個人數據再利用的行為進行正規評測，而非收集數據時是否取得個人的同意。69例如，2019 年“ZAO”App 因存在用戶隱私協議不規范、數據泄露風險等問題，被工業和信息化部網絡安全管理局要求自我整改，并采取有效措施防范被利用實施電信詐騙等風險。70此外，數據刑事合規也體現在諸多立法中，比如，根據美國國會研究局2019 年頒布的《數據保護法：概述》統計，共有《電子通信隱私法》在內的12 部聯邦個人信息保護法出臺了數據保護法規。71雖然我國《數據安全法》以及相應法律法規都明確確立了網絡數據服務商的數據安全管理義務， 但是網絡數據安全服務商在刑法中的數據安全管理義務尚未明確，成為數據刑事合規面臨的重要問題。72

關于數據網絡服務提供者的數據刑事合規義務，有觀點認為為了形成對數據服務提供者更好地履行數據安全管理的強制力，推動數據合規計劃成為一項刑法義務，應當增設怠于履行合規計劃罪，數據安全領域則為預防數據安全失職罪。73筆者認為，鑒于短期內增設怠于履行合規計劃罪等相關罪名難度較大， 立足于現有的刑法框架內完善現有罪名不失為一種選擇。這里可以借鑒拒不履行信息網絡安全管理義務罪中關于網絡服務提供者的規定，增設“拒不履行數據安全保護義務罪”，將罪狀中“信息網絡安全”修改為“數據安全”。74其中，拒不履行數據安全保護義務罪主體既包括自然人，也包括單位。75關于網絡服務提供者間接故意的主觀罪過認定，我們認為，如果數據網絡服務提供者已經預見到不履行數據安全保護義務將會造成數據安全隱患的嚴重后果，此時可以認為其對于數據安全犯罪行為的發生主觀心態上至少為間接故意。76并且這種主觀的心態可以通過多種形式表現出來，需要我們結合各種因素進行綜合判定。

此外，拒不履行數據安全保護義務罪作為典型的不作為犯罪，離不開對網絡服務提供者不作為義務、作為可能性、結果避免可能性等層面的認定。此時，數據合規對于網絡服務提供者的作為可能性、結果回避可能性的認定將具有重要參考意義，對于遵守法律、行政法規規定的數據安全保護義務，積極履行數據合規義務，則可以使其出罪或者免責。拒不履行數據安全保護義務罪實際上暗含了刑事合規的理念，增設該罪的目的并非增加網絡服務提供者的刑罰負擔，而是達到使用刑法的手段引導網絡平臺開展刑事合規的規范效果，限縮網絡服務提供者的刑事責任。比如，如果網絡服務提供者根據已有審查結果的判斷，采取了具有可期待性的規避措施，并建立了有效的刑事合規制度，則可以對其進行責任的減免。反之，如果沒有建立有效的合規或者只是形式的合規，則不能進行減免。

值得注意的是，拒不履行數據安全保護義務罪的增設可能會出現與相關罪名的競合問題，比如與危害國家安全類犯罪和侵犯公民個人信息罪的競合。然而，拒不履行數據安全保護義務罪與其它罪名之間的保護法益是相互獨立的，如果一個行為同時觸犯了兩個罪名，則應當按照想象競合犯加以處理。77

四、結語

2020 年，黨的十九屆五中全會通過的《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》明確提出要“建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制度和標準規范，推動數據資源開發利用。”2021 年《數據安全法》等相關法律對此作出了積極回應，為網絡數據的治理提供了依據。遺憾的是，雖然歷經多次刑法修正案的出臺，我國刑法卻依然沒有關于數據犯罪獨立的罪名，而是依附于計算機犯罪、個人信息犯罪、商業秘密犯罪等相關罪名體系下，處罰范圍有限， 保護力度不足。既存《刑法》出現了犯罪化不足和口袋化傾向嚴重的尷尬局面，主要原因在于計算機信息系統犯罪和網絡數據犯罪的雜糅，使得既存罪名力有未逮。本文同時指出，基于數據安全法益與計算機信息系統安全法益的不同，對數據安全獨立刑法保護就有研究的必要。更何況當今無論是國內還是國外，數據安全的保護有著與信息安全完全不同的進路：國內方面，2021 年《數據安全法》等相關法律的出臺都為網絡數據的治理提供了依據，體現出對數據安全的重視和關注。國際方面，正如前文所展示的，各個法域幾乎都對侵害數據安全的犯罪加大了刑法規制力度，表現為制定更為嚴密的刑事法網。這些都表明對侵犯數據安全的行為予以獨立化刑法保護有其存在的價值。

盡管對網絡信息犯罪的刑法規制尚有可完善之處，同時對數據犯罪的刑法規制之完善不只是體現在與計算機信息系統犯罪的相互獨立上，但抓住數據犯罪的獨立視角這個“牛鼻子”，就能更好地一體推進對網絡信息安全的刑法保護。實際上，從立法論上討論新增數據犯罪罪名不僅不會阻礙數字經濟的健康有序發展、違背刑法謙抑精神，反而正是謙抑法益保護原則的體現。本文立足于數據安全獨立保護的邏輯，借助于類型化思維，橫向方面圍繞數據生命周期構建全過程的保護，縱向方面貫徹數據分類分級的保護理念，并就數據合規制度提出建議。如上文所述，自《數據安全法》實施以來，首例涉及高鐵運行危害國家安全的案件出現，使得數據安全再次成為全社會關注的話題。之所以將其界定為危害國家安全類犯罪，是因為國家基礎信息、國家核心數據事關國家安全、國計民生和重大公共利益，是數據安全保護工作的重中之重。表面上看，強調數據安全的獨立保護似乎與信息安全、計算機信息系統安全保護相沖突，其實不然， 因為三者共同構成網絡安全保護的內容，是落實總體國家安全觀的必然要求。保護數據安全就是保護網絡安全，刑法作為社會治理的重要參與者和保障者，理應承擔起獨立保護數據安全的職責。這些理念和構想， 在當前《數據安全法》頒行引起刑法學界熱議、刑法法典化再次受到高度重視的契機下兼具有理論研究價值和現實意義。