數據產權刑法保護模式的構建

摘 要：數據產權是一種具有財產權屬性的新型權利，該權利與虛擬財產權和知識產權具有明顯差異。數據產權屬于刑法保護的公法益范疇，其應歸屬于市場經濟秩序法益之中。現行刑法有關財產犯罪、知識產權犯罪和數據犯罪的規定均無法實現對數據產權的全面保護。刑法對數據產權的保護應以促進數據流通為主要目標，且應當覆蓋數據處理的各流程階段。對侵犯數據產權行為進行刑法規制時，應對“未經同意”獲取數據行為審慎入罪。應增設妨害數據流通管理秩序罪，對“情節嚴重的”妨害數據流通管理秩序行為予以刑法規制。

關鍵詞：數據產權 財產性權利 法益定位 刑法保護缺位 妨害數據流通管理秩序罪

在數字經濟時代，數據作為一項新型的生產要素，其經濟價值和社會價值已經逐步得到公認。作為數字經濟時代的基礎制度之一，數據產權制度對激活數據要素市場、促進數字經濟發展具有重要意義，也因此越來越受到各方關注。2022 年12 月，中共中央、國務院發布的《關于構建數據基礎制度更好發揮數據要素作用的意見》（因該意見共二十條，以下簡稱《數據二十條》）重點提出要“建立保障權益、合規使用的數據產權制度”。2023 年2 月，中共中央、國務院印發的《數字中國建設整體布局規劃》（以下簡稱《數字中國規劃》）再次明確指出“釋放商業數據價值潛能”“加快建立數據產權制度”等發展要求。隨著各地數據共享、交易產業的蓬勃發展，以及學界很多學者對數據產權研究的深入，有關數據產權的法律保護議題逐步得到了實務界和理論界的廣泛關注。就現階段而言，學界對數據產權法律保護的研究主要集中在民商事和知識產權領域，數據產權的刑法保護尚未得到重點討論。筆者認為，在數字經濟時代，人民對利益的訴求相比以往更加強烈、更加全面。作為一項新興且重要的數據權利，刑法對數據產權的保護不應缺位。本文重點針對刑法中數據產權的概念內涵和法益指向進行明確，指出現行刑法對數據產權的保護缺位，并提出數據產權刑法保護的完善路徑。

一、數據產權與其他財產性權利的區別

（一）數據產權的基本內涵

關于數據產權的概念，目前并未形成統一觀點。根據歐盟的界定，數據產權可以概括為：設備的所有者或長期用戶（如承租人），對非個人數據享有使用以及允許他人使用，并防止他人未經授權使用和獲取數據的權利。在我國，同樣有觀點認為，數據產權是持有和使用數據資源的權利，并不是對數據資源占有、使用、收益、處置的權利。也有觀點認為，數據產權是一種使用數據并借此獲取利益的權利，這種權利具有一定的排他性。還有觀點認為，數據產權是數據所有者或使用者享有使自己或他人在數據上受益或受損的權利。同時，不少學者嘗試從其他視角對數據產權進行界定。如有學者認為，應按照物權法中產權的原始取得和繼受取得模式，構建數據產權歸屬的認定規則。也有學者從學科交叉角度分析，認為有關數據產權的規范性整合，應重點平衡效率、人權、公共三重價值取向。還有學者將數據產權分為個人數據產權、企業數據產權與政務數據產權，并認為個人對自身個人數據產權享有絕對權；企業對自身獨有數據享有產權，用戶平臺活動數據產權歸屬用戶，企業經營活動所獲取的數據根據其貢獻度分配產權；政府應建立數據公開共享平臺， 實施政務數據雙向開放。

根據上述對數據產權概念的定義，數據產權是適應數據經濟發展要求而出現的新型權利范疇。通過確立不同主體關于數據產權的分配規則模式，能夠確保數據作為一種市場資源得以合法順利流通和交易，并使得各類權利主體從中受益。筆者認為，相比其他權利，數據產權具有三個明顯的特征。

其一，數據產權不同于數據所有權。數據產權之所以能成為一種值得法律保護和關注的新型權利，其中很重要的原因之一是因為數據所有權的歸屬難以界定。通常而言，數據權利的重要內容應圍繞數據的所有權歸屬展開。但由于同一數據之上可能涉及多方權利主體，且不同主體對數據享有的權利并不具有絕對的排他性，因此我們無法根據傳統所有權歸屬的認定規則對數據所有權的歸屬進行界定。例如，去識別化的一般數據可以為多個主體持有和使用，而每一主體均沒有權利禁止他人利用該類數據獲取利益。正如有學者指出“沒有人可以擁有數據，因為數據獨立于作者、數據庫與媒體存在”。在現階段，無論是實務界還是理論界，都無需過度關注數據的所有權歸屬問題（事實上也難以得出一個有效的結論），而應將研究重心放在對數據使用和收益權的分配問題討論上。事實上，《數據二十條》同樣擱置了數據所有權難以確認的問題，提出應重點建立數據資源持有權、數據加工使用權、數據產品經營權三權分置的產權制度設計。應當看到，數據流通是數據價值得以發揮的重要環節，而流通就需要交易，交易又以確立數據產權為前提，否則對數據的定價、交易和使用都將失去法律依據，數字經濟市場便不能得以健康發展。換言之，只要明確數據產權相關規則，即便數據的所有權問題仍然不甚明朗，也不影響各方采集、加工、流通和使用數據。應當看到，數據產權的核心是使用權、收益權和自由轉讓權，而非所有權。

其二，數據產權既包括使用數據的權利，也包括利用數據獲取收益的權利。有關數據產權的內容是否包括利用數據獲取收益的權利，在學界仍存有一定的爭議。在筆者看來，無論是從數據產權的詞義內涵來看，還是從確立數據產權的制度導向來看，數據產權應具有明顯的財產權屬性。而財產權的重要特征不僅限于使用權，還應包括收益權。通常而言，使用數據的權利和利用數據獲取收益的權利緊密綁定，哪一主體有權利使用數據，往往便有權利利用數據獲取收益。數據之所以被定義為一種“數據資產”（DataAsset），是由于其能夠被計量或交易，能直接或間接給權利主體帶來經濟效益和社會效益。如果將利用數據獲取收益的權利排除在數據產權內容之外，則單純使用數據的權利本身并無太大值得討論和確立的現實意義。

其三，數據產權所指向的權利實則是數據所承載的信息內容指向的權利。作為數據產權的客體，數據（包括個人數據和非個人數據）在不同語境下被賦予了不同含義。從中文語義和計算機科學對數據的定義來看，數據的范圍較為寬泛，指表示客觀事物未經加工的原始素材，包括符號、文字、數字、語音、圖像、視頻等。然而根據我國法律規定，數據產權中的數據應限于承載信息內容的數據。例如，《數據安全法》第3條規定數據是指“任何以電子或者其他方式對信息的記錄”，《電子簽名法》第2 條將數據電文定義為“以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息”。2011 年《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第1 條第1 款第1 項與第2 項同樣將非法獲取計算機信息系統數據罪中的“數據”限定為“支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息”以及“其他身份認證信息”。可見，無論是行政法還是刑法司法解釋，實際上都將“數據”限縮至承載信息的數據范圍。同時，結合《數據二十條》等政策文件的精神，我國政策文件提出應建立數據產權制度，實際上是指數據所承載的信息內容具有一定的市場交易價值，對海量數據所承載的海量信息內容進行分析和使用有利于促進經濟的發展，因而應肯定相關數據的經濟價值和社會價值。不承載信息內容的數據（如單純計算機文字、符號）或許蘊含一定的財產性權利，但其權利內容與我國政策文件中提及的數據產權內容并不一致。

（二）數據產權與其他財產性權利的異同

既然數據產權以“產權”為名，便意味著其蘊含某種財產性利益。據此，要對數據產權進行刑法保護，則不可避免需將數據產權與其他受刑法保護的財產性權利進行類比，分析數據產權與其他財產性權利的異同，進而確立刑法對數據產權的保護模式。

其一，數據產權不同于虛擬財產權。《民法典》雖未對數據的概念作明確定義，但從其將數據與虛擬財產進行并列規定保護來看，意在突出數據與虛擬財產具有一定的相似之處，即兩者都具有一定的財產屬性，而并不表明兩者是相斥關系。時下，虛擬財產具財產屬性，且應受到刑法的保護已然獲得學界大部分學者的支持。筆者也曾在文章中對非法獲取虛擬財產行為定性進行討論，認為虛擬財產具有明顯的財產屬性，值得刑法予以保護，非法獲取虛擬財產行為應構成財產犯罪而非數據犯罪。從范圍上看，虛擬財產與數據之間實則是包容關系，虛擬財產均可以表現為數據，而數據的范圍不限于虛擬財產。但是，這并不意味著數據產權與虛擬財產的財產權是一種包容關系。事實上，數據產權中的數據僅指承載信息內容且擁有財物特征的數據，在廣義上而言，數據可能屬于一種特殊的虛擬財產范疇（虛擬化且有經濟價值）。仔細分析不難發現，數據與通常而言的虛擬財產仍具有明顯差異，使得數據產權與虛擬財產權具有明顯差異。首先，兩者經濟價值的具體指向有所不同。虛擬財產之所以具有財產屬性，是因為虛擬財產在計算機信息系統中所呈現出的系統功能（畫面、特效等）具有經濟價值，而數據之所以具有財產屬性，是因為數據所承載的信息內容具有經濟價值。經濟價值指向的差異會導致數據產權與虛擬財產權在法益定位上有所不同。其次，兩者的市場模式有所不同。虛擬財產的交易是虛擬財產市場流程的最終環節，即虛擬財產交易的最終目標便是實現虛擬財產的交易。而數據的流轉是數據市場模式的開端，即數據交易的最終目標不在于交易數據，在于后續對數據的進一步利用和開發。相比虛擬財產權，數據產權更強調后續對數據的利用。最后，部分虛擬財產可能具有物權屬性，而數據則無此可能。在元宇宙空間中，虛擬財產不僅包括比特幣等虛擬貨幣、具有可復制性的游戲皮膚、裝備等，還包括具有唯一性的NFT 數字資產。類似于NFT 等數字資產具有唯一性，因而蘊含一定的物權屬性，相關虛擬財產與現實世界中的財產沒有任何本質差異，權利人對該類虛擬財產具有絕對控制和管理權。用于市場交易的數據則不可能具有唯一性（否則可能涉及國家秘密、商業秘密、個人信息，無法用于交易），數據產權屬于產權的范疇，其目的不在于賦予權利主體對數據的絕對控制與支配，而是為權利主體對數據的合理使用和收益提供法律依據。因此，數據產權只可能為權利人使用數據提供依據，而不涉及絕對權。

其二，數據產權不同于知識產權。作為一種獨特的財產性權利，知識產權具有“客體共享、利益排他”的特性，這與數據產權具有一定的相似性。因此，有學者提出可以依照既有知識產權法律保護規定對數據產權進行保護。雖然知識產權與數據產權同為新興的財產性權利，兩者的權利客體也存在重合部分（如部分承載企業經營信息的數據可以被認定為商業秘密，屬于受法律保護的知識產權客體），但事實上兩者仍存在明顯的差異。首先，兩者對應的客體范圍是交叉關系。一方面，并非所有知識產權的客體都以數據形式存在，大部分知識產權如著作權、專利權等可以以紙質形式存在。另一方面，并非所有數據產權的客體都受到知識產權的保護。盡管相當部分的數據具有商業價值，但仍未達到知識產權所要求的獨創性、新穎性等要求。例如，如果只是對數據進行簡單的匯集，而并沒有通過進一步加工、處理賦予其獨創性的特點，則相關數據并不具有知識產權屬性。其次，兩者的價值取向并不相同。知識產權確立的目的是為了保障權利人對知識產權在某種意義上的“壟斷”，知識產權的客體難以成為市場流通的對象；而數據產權確立的目的旨在促進數據流通和交易，數據產權的特性能夠使更多的主體合法使用數據并借此獲取利益。

綜上，數據產權作為一種新型產權類型，盡管與虛擬財產權、知識產權等權利均具有財產權屬性，但數據產權與其他權利仍具有明顯的差異。

二、數據產權的刑法保護必要性及法益定位

在明確數據產權的基本概念和特征后，應當進一步論證數據產權是否值得刑法的單獨保護。如果數據產權不具有刑法保護價值，對數據產權刑法保護模式的設計便失去了基本前提。如果數據產權值得刑法保護，應明確數據產權這一法益在刑法體系中的基本定位。

（一）數據產權的刑法保護必要性

筆者認為，刑法有必要對數據產權加以保護，理由有三點。

其一，刑法對數據進行保護的核心要義是對數據產權進行保護。時下，雖然刑法條文并未明確對數據產權予以保護，理論上數據產權是否應受刑法保護也尚未得到學界的廣泛關注和討論。但事實上，我國刑法條文早已明確對數據進行保護，數據犯罪的概念已然被司法實務和刑法理論所接受。學界普遍認為，數據之所以值得刑法保護，是因為數據蘊含人身權、財產權、國家安全等諸多重要權利內容。其中，數據所蘊含的財產權便可歸納為數據產權。作為數據權利的重要內容之一，刑法對數據產權進行保護具有正當性。

其二，數據產權的保護已然被前置法和政策文件所明確，且前置法對數據產權的保護力度并不充分。時下，數據產權這一新型權利已然得到我國政策文件方面的確立，且《網絡安全法》《數據安全法》《個人信息保護法》也為數據產權的“法定化”提供了不同側面的立法依據。在行業規范制定和實施方面，工信部、中國人民銀行針對數據的定價、流動、收益分配具體細節等制定了相關標準。在民商事司法實務中，多數法院已認定企業數據被經營者所實際控制和使用，具有一定的財產權屬性。然而，現階段我國對數據產權的法律保護力度存在一定的不足。無論是《數據安全法》《網絡安全法》，還是《民法典》，均沒有細化侵犯數據產權行為的處罰標準。即便根據《反不正當競爭法》第24 條規定，對侵犯數據產權行為情節嚴重的行為人處50 萬元以上300 萬元以下的罰款，也并不足以起到預防犯罪的威懾效果。隨著數據價值的不斷增加，數據產權的經濟價值也將得以凸顯，侵犯數據產權行為所造成的損害結果將不斷增加。為了實現對數據產權的體系保護，刑法對數據產權的保護顯得尤為重要。

其三，數據產權是一種重要性不亞于虛擬財產權和知識產權的新型權利，其值得被刑法保護。數據產權與虛擬財產、知識產權相似，都蘊含一定的財產權屬性，且都是市場經濟活動中需要受到保護的重要權利內容。法律對數據產權的確立和保護是保障數字經濟發展的重要前提。與知識產權和虛擬財產權的客體有所不同的是，隨著數據流轉鏈條的延長，數據價值不斷被挖掘，其衍生價值將不減反增。隨著數據要素市場地位的提升，數據產權的重要性將隨之提升。在某種程度而言，其重要性甚至要大于虛擬財產權和知識產權。筆者認為，數據產權之所以尚未如同虛擬財產權和知識產權一樣受到刑法的保護，唯一的理由是刑法對這種新型權利的保護往往具有天然的滯后性。隨著社會的發展以及前置法的不斷完善，刑法對數據產權的明文保護只不過是時間問題。

（二）數據產權法益的刑法定位

我國刑法分則體系是根據犯罪客體（法益）的不同，對不同類型犯罪行為進行分類和排序的。法益指個人的或者集體的因為對社會有著特別意義而值得刑法予以保護的正當利益。22這種正當利益既包括法律規定所明確保護的權利，還包含其他尚未被法律所識別的正當利益。作為一種值得被刑法保護的新型權利，數據產權本身也當然屬于一種新型法益。在此基礎上，應進一步分析數據產權法益在刑法體系中的定位，即分析其屬于私法益還是公法益的范疇，應定位于哪一種上位法益的范圍之中。

筆者認為，數據產權法益屬于公法益的范疇，應定位于市場經濟秩序這一上位法益的范圍之中。

首先，數據產權具有明顯的社會屬性。結合前文對數據產權基本內涵的描述，數據產權不同于一般的財產權，其指向的并非對數據“所有”的權利，而是有關數據使用和收益的權利。由于數據不能為特定主體所單獨所有，這一特性決定了數據產權難以成為一種專屬于個人的私權利。同時，無論是根據法律規定還是數字經濟發展政策導向，確立并保護數據產權的核心目標在于促進數字經濟的發展，使更多主體參與到數據的交易、共享和使用環節中。這種目的導向決定了數據產權的作用在于保護每個個體都能合法地參與對數據的使用和收益社會分工，而并非執著于對某一特定個體的保護。再者，數據產權的功能并不限于保障權利主體使用數據并獲取收益，其還具有一定的公共管理屬性。有學者指出，在承認數據私權屬性的同時，必須正視數據所具有的交互性、分享性、公共性等公共產品屬性，以釋放數據的公共價值。因此，數據產權具有明顯的社會屬性，屬于公法益的范疇。需要指出的是，從外延來看，數據包含涉及個人信息、商業秘密、國家秘密以及其他一般信息等各類具體數據，數據因其承載信息內容的不同而可能涉及人身權、財產權、國家安全等多項法益。然而，數據產權源于數據所蘊含的財產性權利，其與人身權、國家安全等法益并不相關。例如，即便承載個人信息的個人數據兼具人身權和財產權屬性，這并不表示個人數據對應的產權也具有人身權屬性。當然，作為公法益的數據產權，與私法益的財產權之間并不沖突。承認并維護公法益屬性的數據產權，并不會妨礙個人、企業對數據使用和收益上的分配。

其次，數據產權與市場經濟秩序聯系密切。前文已提及，數據產權具有一定的財產權屬性。這種財產權屬性主要體現在權利人能夠基于對數據的控制以及通過數據的交易和利用實現一定的經濟收益乃至競爭優勢。而這種對數據的控制、交易和利用均需要遵循特定的市場經濟秩序，即權利人行使數據產權的前提條件是對數據交易、使用等數據流通規則、秩序的遵守。而這種數據流通規則實則指向一種市場經濟秩序。在這一點上，數據產權與知識產權具有相似性。法律保護知識產權在于防止他人隨意破壞權利人的“優勢”市場地位，法律保護數據產權同樣是旨在防止他人對數據流通等市場經濟秩序的侵犯。侵犯數據產權的行為主要包括兩種方式。一是未經允許使用他人合法獲得的數據。例如，在“漢濤公司訴百度公司不正當競爭案”和“淘寶公司訴美景公司不正當競爭案”中，法院認定未經許可獲取和使用他人網絡數據產品構成不正當競爭，要求排除妨害并賠償損失。二是對特定數據形成行業壟斷。例如，2022 年市場監管總局依據《反壟斷法》對知網涉嫌實施壟斷行為立案調查，最終認定知網濫用其支配地位限制了市場競爭，對知網處以巨額罰款。無論是哪種情形，侵犯數據產權行為均對有關數據交易、數據使用等市場經濟秩序造成破壞。

據此，筆者認為，數據產權應和知識產權一樣，該法益應納入市場經濟秩序法益調整的范圍中，歸屬在市場經濟秩序法益之下。換言之，侵犯數據產權犯罪行為應屬于刑法分則第三章破壞社會主義市場經濟秩序罪的具體犯罪行為之一。

三、現行刑法對數據產權保護的缺位

結合數據產權的特征屬性以及現行刑法規定，無論是財產犯罪、知識產權犯罪還是數據犯罪的規定，均不能實現對數據產權的全面保護。

（一）刑法有關財產犯罪和知識產權犯罪的規定無法實現對數據產權的全面保護

前文已明確，數據產權與虛擬財產權和知識產權均存在明顯的差異，因而侵犯數據產權行為難以適用我國刑法中財產犯罪和知識產權犯罪的有關規定。其一，我國財產犯罪主要指侵害他人對特定財物所有權或占有權的犯罪，而并不包括侵害對財物使用權和收益權的犯罪。盡管數據產權具有一定的財產權屬性，但刑法分則第五章侵犯財產罪保護的法益是他人對財物的支配關系。這種支配既可以是對有體物的支配，也可以是對無體物、財產性利益的支配。盡管“對財物的支配關系”指向的是對財物的所有還是占有尚在學界存在爭議，但無論如何，沒有任何一種觀點認為刑法設立財產犯罪的目的還包括對財物使用權和收益權的保護。再結合數據本身的可復制性，任何侵犯數據產權的行為并不會使得權利人喪失對數據的所有或占有，我們難以通過財產犯罪的規定對侵犯數據產權行為進行有效而全面的規制。其二，數據產權雖然與知識產權特征更為接近，即兩者同樣具有一定的財產屬性，且都歸屬于市場經濟秩序法益的范圍之下，但并非所有嚴重侵犯數據產權行為均能適用知識產權犯罪有關規定。根本原因是數據產權的客體與知識產權的客體在范圍上并非重疊關系而是交叉關系，部分數據資產并不具有獨創性，不屬于知識產權的保護范圍。對于不屬于知識產權保護范圍的數據，現階段只能通過《反不正當競爭法》等前置法對其保護。

（二）刑法有關數據犯罪規定無法實現對數據產權的全面保護

根據數據產權的特性以及我國刑法體系的框架結構，侵犯數據產權行為最可能構成的犯罪是數據犯罪。數據犯罪是以數據作為犯罪對象的犯罪，數據犯罪侵害的法益是國家數據管理秩序。侵犯數據產權行為對市場經濟秩序造成破壞，其當然也對相應的國家數據管理秩序（數據流通管理秩序）造成侵犯。因此，通過數據犯罪有關規定對侵犯數據產權行為進行規制應是最為有效和合理的路徑。然而，現行刑法中數據犯罪規定存在一定的缺陷，導致對數據產權的保護“力不從心”。

其一，現行刑法對一般數據的保護主要依靠計算機犯罪相關罪名規定實現。我國數據犯罪的罪名散見于刑法分則各章節之中。根據數據所承載信息內容的不同，數據犯罪可能分別構成危害國家安全罪、危害公共安全罪、破壞社會主義市場經濟秩序罪、侵犯公民人身權利罪、侵犯財產罪、妨害社會管理秩序罪等不同犯罪。從罪名規定來看，大部分數據犯罪罪名規定均指向對特殊數據的保護，只有《刑法》第285 條非法獲取計算機信息系統數據罪與第286 條破壞計算機信息系統罪涉及到對一般數據的保護。然而，這兩個罪名同時是計算機犯罪的核心罪名，這意味著相關罪名對數據的保護是以對計算機信息系統安全保護為前提的。其中，非法獲取計算機信息系統數據罪規定不法行為必須通過侵入計算機信息系統或采用其他技術手段，獲取相關數據的行為才構成該罪。這表明如果行為人不通過技術手段危害計算機信息系統安全，單純非法獲取一般數據的行為是不構成犯罪的。破壞計算機信息系統罪第2 款規定，違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加的操作，后果嚴重的構成該罪。根據該款規定，看似單純刪除、修改、增加數據的行為可以構成破壞計算機信息系統罪。但結合該罪第1 款和第3 款規定來看，不法行為需要對計算機信息系統進行破壞，造成系統不能正常運行的才可能構成犯罪。從刑法體系視角分析，既然單純非法獲取一般數據的行為不構成犯罪，且破壞計算機信息系統罪的罪名設計以及其他條款規定均表示成立該罪的前提條件是行為人實施了破壞計算機信息系統行為，單純刪除、修改、增加數據的行為不可能構成破壞計算機信息系統罪。由上可見，如果不對計算機信息系統安全造成相應的危害，侵犯一般數據行為無法構成任何犯罪。時下，已有很多學者指出我國刑法對一般數據的保護與對計算機信息系統的保護存在嚴重的雜糅問題，導致了刑法中的“數據”概念不得不依附于“計算機系統”。但就現階段而言，單純侵犯一般數據行為不構成犯罪，因此侵犯一般數據產權的行為也無法適用數據犯罪的有關規定。

其二，前置法更側重于對數據安全的保護。根據數據犯罪的罪名規定，絕大部分數據犯罪的成立均以不法行為違反前置法的規定為前提。因此，前置法對侵犯數據行為的規定很大程度上決定了數據犯罪的適用范圍和立法目標。隨著近年來《網絡安全法》《個人信息保護法》《國家安全法》《數據安全法》的相繼出臺，我國基本形成了對數據的前置法保護體系。然而，相關法律規定更偏向對數據安全進行保護。這一點從相關法律的名稱和具體規定中便足以看出。在這種背景下，刑法設立數據犯罪的主要目標也會偏向對數據安全進行保護，即保護數據的保密性、完整性和可用性。不可否認，數據安全是刑法對數據保護的目標之一，但不應成為對數據保護的全部內容。數據安全保護觀往往強調一種對數據相對靜態的、消極防御的保護理念。但在數字經濟時代背景下，數據產權對應的“數據利用觀”（確保數據大規模流動、處理、使用過程中風險的“可控性”）也應得到更多的重視和保護。相較于數據安全觀，數據利用觀更突出“市場性”“共享性”特征。我國出臺《數據二十條》這一政策文件便強調應在數據安全的基礎上進一步考慮如何挖掘數據要素的價值，制定對數據利用的相關規定，即充分挖掘數據產權的功能價值。數據安全是數據利用的前提，但其內容并不包含數據利用，兩者仍有較大差別。前置法對數據安全保護的偏向也會在一定程度上阻礙刑法對數據產權的保護。

綜上，我國數據犯罪的現行罪名規定難以實現對數據產權的全面保護，數據犯罪的立法完善勢在必行。

四、數據產權刑法保護模式構建的方向和路徑

對數據產權進行刑法保護，需要遵循我國確立的保護數據產權的制度導向，對現行數據犯罪的有關規定進行適當的調整和增設。

（一）數據產權刑法保護的側重方向

其一，刑法對數據產權的保護應以促進數據流通為主要目標。相較于以往數據犯罪的有關規定側重對數據安全的保護，在數據產權的刑法保護上，刑法更應以促進數據流通為主要目標。隨著人們對數據要素價值認識的深入，數據巨頭對數據的壟斷已然具有現實可能性。為此，有學者認為私法在調整數字經濟領域的法律關系時應更加凸顯《反壟斷法》介入的必要性。從數字經濟發展的政策導向來看，我國目前構建的數據產權制度架構允許數據持有權、加工使用權和數據產品經營權的相互分立和相對獨立，并排除了數據的絕對排他性權利。其目的便是為了打破數據巨頭對數據的封閉和壟斷，促進數據的分享和流通，讓數據更好地為人類命運共同體服務。實踐中，為了實現對數據的壟斷，數據巨頭往往會通過合法方式設置嚴格的數據轉讓、共享協議，使其他數據處理者難以合法獲取和使用數據巨頭持有的海量數據資源，這在一定程度上妨害了數據的流通，阻礙數字經濟的發展。據此，刑法在對數據產權進行保護時應明確一條基本的主線：即刑法保護數據產權的根本目標在于促進數據的流通而并非促進“數據孤島”的誕生。在面對不合理的數據流通協議上，如果行為人違反相關協議內容對數據產權造成了一定的侵犯，對該侵犯數據產權行為的刑事定性應更加審慎。

其二，刑法對數據產權的保護應當覆蓋數據處理的各流程階段。在數字經濟時代，數據的共享和交易將成為一種新常態，數據的初始權利主體不再擁有對自身原始數據的完全控制權。根據《數據安全法》第3條對數據處理階段的定義，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等環節。隨著數據處理鏈條的拉長，數據權利主體將呈現多元化趨勢，包括數據的生成者、收集者、處理者以及使用者等。刑法對數據產權的保護理應覆蓋上述數據處理的各個階段。然而在實踐中，由于數據收集通常是數據處理的起始階段，數據加工和使用行為的合法性受到數據收集行為合法性的深刻影響，數據收集階段往往成為立法和司法實踐關注的重點。立法者在《刑法修正案（七）》增設第285 條第2 款非法獲取計算機信息系統數據罪時，認為刑法對侵犯數據行為的規制重點應放在對數據的采集階段上。而事實上，數據采集階段并不能覆蓋數據的全生命周期，其他非法留存、使用數據等侵犯數據產權行為同樣具有嚴重的社會危害性。以“摩羯數據爬蟲案”為例，被告人杭州摩羯數據科技有限公司經用戶授權后，通過爬蟲程序爬取用戶的個人信息及多維度信用數據并提供給貸款平臺。盡管該公司與用戶事先簽訂《數據采集服務協議》，明確承諾“不會保存用戶賬號密碼，僅在用戶每次單獨授權的情況下采集信息”，但該公司在數據處理過程中，仍擅自將爬取的用戶數據在租用的阿里云服務器上長期留存。最終，該非法留存數據行為被法院認定為以其他方法非法獲取公民個人信息，構成侵犯公民個人信息罪。從技術角度看，對數據的存儲行為顯然屬于獲取數據的后續處理行為，與數據的采集分屬不同的環節。刑法設立侵犯公民個人信息罪規制的僅是非法獲取、提供、出售三類犯罪行為。將非法留存數據行為解釋為非法獲取數據行為，確實有類推解釋之嫌。同時，現行刑法尚未對非法使用個人數據和一般數據行為進行規制。在數據產權的刑法保護問題上，隨著權利主體的增加，數據全生命周期的各個環節都可能出現對數據產權的侵害行為，如非法存儲數據行為、非法公開數據行為、非法提供數據行為、非法使用數據行為等均可能構成對數據產權的侵犯，其社會危害性與非法獲取數據行為沒有明顯差別。把這些刑法尚不能規制的侵犯數據產權行為納入規制范圍，應成為未來刑法完善的重要方向。

（二）數據產權刑法保護的具體完善路徑

根據前文分析的刑法對數據產權的保護方向，筆者認為，現行刑法在對侵犯數據產權行為進行規制時，應考慮以下兩條具體路徑。

其一，對“未經同意”獲取數據行為審慎入罪。根據我國法律規定，除屬于國家涉密數據（關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據）等禁止流通和轉讓的數據外，一旦征得原權利主體的同意，數據處理者原則上便享有對數據進行獲取、分析和使用的權利。例如，根據《消費者權益保護法》第29 條和《網絡安全法》第41 條的規定，獲得原權利人的知情同意是數據處理者收集和利用相關數據的基礎前提。《數據安全法》同樣在第32 條規定，任何組織和個人不得竊取或者以其他非法方式獲取數據。上述行政法的規定均表明，在未經權利主體同意的情形下，任何對數據的處理行為均構成行政違法。據此，刑法所規制的侵犯數據產權行為，當然也包括未經權利人同意對數據的處理行為。在筆者看來，前置法對“未經同意”擅自處理數據的行為進行明文禁止確實有助于保障數據安全，但從數據產權的制度導向來看，過度強調權利人對數據的控制并賦予權利人對數據流通的完全決定權，并不利于實現數據流通和共享的數字經濟發展目標。因此，刑法對“未經同意”非法獲取數據等侵犯數據產權行為的規制應當適度，即刑法應避免過多地干預數據的獲取、傳輸過程，影響數字產業的創新發展。

筆者認為，應對“未經同意”情形作進一步細分，嚴格制定在未經同意的情形下侵犯數據產權行為的入罪標準。具體而言，在權利人授權態度不明確、授權后撤回授權和已公開特定數據這三種情形下，如果他人“未經同意”對相關數據進行處理，在沒有造成嚴重后果的前提下，相關行為不應受刑法的規制。首先，如果原數據權利人對數據授權的態度并不明確，即并沒有嚴格約定對特定數據的使用范圍、目的、方式等，便不能指望后續數據處理者對原權利人的授權心態進行精準推定。因此，后續數據處理者對數據的處理行為通常難以被認定為“未經同意”的數據處理行為，相關行為并不構成行政違法，更不可能構成犯罪。其次，如果權利人對數據收集和使用的范圍、目的、方式等進行頻繁變更，后續數據處理者對數據的處理行為便很可能因原權利人授權態度的變更而從合法處理行為轉變為非法處理行為。事實上，過度賦予數據權利人變更數據處理權限的規定和理念與數字經濟時代提倡數據流通和共享的理念并不適應，這將給數據收集者、交易者造成承擔法律責任的巨大風險。在權利人頻繁變更數據處理權限的情形下，后續數據處理者對數據的處理行為只要不超出最初授權范圍的內容，相關“未經同意”數據處理行為并不應當入罪。最后，對于已公開的一般數據，只要數據處理行為不會對特定自然人的人身、財產法益或公共利益造成侵害，即便公開數據的權利主體明確禁止他人獲取和使用其公開的數據，相關“未經同意”處理已公開數據的行為同樣不應構成犯罪。

筆者認為，有必要通過修訂既有罪名規定（如非法獲取計算機信息系統數據罪等）或出臺司法解釋等方式，對侵犯數據產權行為的入罪情形進行限定。如果行為人獲取、利用數據的行為在合理限度內，且未侵犯他人人身、財產法益或公共利益，應基于合理使用原則肯定相關數據處理行為的正當性。同時，在行業規范標準制定上，應制定統一的數據流通標準，盡可能限制數據權利人利用自身持有數據的“優勢地位”而限制他人合法收集和使用數據。

其二，增設妨害數據流通管理秩序罪。當數據巨頭基于自身持有數據的優勢地位而通過各種不合理手段限制數據流通和交易時，他人未經數據巨頭的知情同意侵犯數據產權行為的入罪應當予以審慎考量。反之，在其他情形下（不存在數據壟斷的情形），不法行為人未經權利人同意，擅自處理他人合法持有數據的行為或超出自身權限范圍處理數據的行為當然可能對他人的數據產權造成侵犯。該類行為可能造成數據交易市場經濟秩序混亂，與國家設立數據產權制度的初衷相悖，對于這類行為，筆者建議可增設妨害數據流通罪予以規制，具體設置時應注意以下幾點。

一是該罪的犯罪主觀要件應表現為故意，即行為人需要對行為后果的發生持一種希望或放任的主觀心態。由于過失侵犯數據產權行為通常不會對數據流通管理秩序造成嚴重破壞，加以行為人主觀惡性較低，因而不值得刑法的介入。據此，行為人過失獲取數據的行為，過失留存數據的行為，以及過失篡改數據的行為等均不構成該罪。

二是該罪的犯罪客觀行為應當覆蓋數據處理的全流程。法律確立數據產權的關鍵在于保障數據的流通市場穩定運行，因而一切對數據流通市場經濟秩序造成嚴重破壞的行為均值得刑法規制。據此，妨害數據流通管理秩序罪所規制的侵犯數據產權行為應不僅包括在數據采集階段的非法獲取數據行為，還應包括非法留存、非法篡改、非法提供（出售、公開、泄露等）數據等行為。值得一提的是，根據現行刑法規定，以不作為方式拒不履行數據流通相關義務的行為（如權利人未采取安全有效的防護措施，未及時對相關數據泄露風險予以處理等）完全可能構成《刑法》第286 條之一拒不履行網絡安全管理義務罪。為避免重復立法，妨害數據流通管理秩序罪應表現為以作為方式實施的犯罪行為。

三是應以“情節嚴重”作為該罪的客觀構成要件要素。考慮到刑法的最后手段性以及與前置法的銜接協調，并非所有侵犯數據產權行為都應當納入刑法的規制范圍。換言之，如果不法行為并未對數據流通管理秩序造成嚴重侵害，就不具備科處刑罰的必要。因此，只有“情節嚴重的”妨害數據流通管理秩序行為才可能構成該罪。在“情節嚴重”標準具體設置上，考慮到證明難度的高低，有學者將數據規模作為判斷數據犯罪構罪與否的主要定量標準。但是，數據的規模大小與數據所承載信息的數量多少之間并不必然存在絕對關聯。應當看到，數據流通市場構建的關鍵在于保障數據所承載的具有市場經濟價值和社會管理價值的信息內容得以順利流通。因此，以數據規模作為妨害數據流通罪“情節嚴重”的認定標準并不合理。筆者認為，相較而言，應以行為人實際違法所得以及行為所造成的經濟損失等作為認定妨害數據流通管理秩序行為達到“情節嚴重”的認定標準。這種認定標準能夠更為準確體現妨害數據流通管理秩序行為的社會危害性程度，且該認定標準同樣具有可操作性，其證明難度相對較低。