分置性權屬視角下衍生數據的刑法保護

中圖分類號：DF624 文獻標志碼：ADOI:10.3969/j.issn. 1008-4355.2025.04.11 開放科學(資源服務)標識碼(OSID）：

一、問題的提出

在數字經濟時代，“重視數字經濟的研究動向，匯聚數字經濟的研究共識”成為近年來人文社科研究的特色之一。與土地、資本等傳統生產要素一樣，數據流通和利用所帶來的價值能夠促進經濟增長與社會發展，而且由于數字化、網絡化的技術特征，數據要素的倍增衍生出大量數字產品并形成數字產業，所以數據被視為新型生產要素。根據內容產生方式的不同，可以將數據分為基礎數據與衍生數據兩種類型。基礎數據作為初始類數據，主要是指對客觀世界的數字化原始記錄，如用戶在平臺發布的圖像文字。這類數據不僅能夠識別出用戶的身份信息，還可以通過人格權的商業化利用帶來經濟收益。由于基礎數據具有較強的身份識別性，用戶作為數據的提供者，應享有完整的信息自決權。因此，對于非法獲取基礎數據的行為，在滿足罪量要求后，適用侵犯公民個人信息罪并無疑義。與之相對，衍生數據是運用算法及分析模型對海量的基礎數據進行加工整合后所形成的具有財產價值的商業數據集，如以數據形式存儲、用戶在平臺上的動態數字足跡。①這類數據因能夠為數據收集平臺帶來競爭優勢，其客體之上承載的新型財產關系也被稱為“數據財產權”。② 在數據犯罪研究呈現出客體復雜性、主體多樣性、法律關系多元性的特征之下③，從前置法層面對衍生數據的權屬問題進行討論，將直接影響相關主體的刑事責任邊界的確定。因此，厘清衍生數據的權利屬性與權利歸屬便成為研究衍生數據刑法保護路徑的前提。

通過對既有觀點進行回顧，不難發現學界對于衍生數據的刑法保護問題似乎已經形成了一套“共識性”的論證模式，即先將衍生數據界定為完全喪失身份識別性的匿名數據，并基于數據財產權屬性，討論相應的刑法保護路徑。④但事實上，在當前的技術語境下，衍生數據這一行為客體之上不可能僅存在單一的權利屬性與權利歸屬。“衍生數據不具有身份識別性”并非不言自明的前提，這種經驗性的歸納方式恰恰忽視了數據法學研究的技術導向性。不同于匿名數據，衍生數據還應當包含間接識別性或重標識性的信息。③當數據的聚合程度不夠或者數據內容本身包含敏感信息、無法被徹底匿名化時，衍生數據可能同樣具有身份識別性。當前的論證模式看似遵循了數據財產權的分配邏輯，實則悄然限縮了衍生數據的概念范疇。并且，由于僅將衍生數據的權利屬性定位為數據財產權，不僅會在討論權利歸屬問題時自動導向平臺歸屬方案，還可能因缺乏擴張數據收集平臺注意義務的教義學根據，從而導致無法對具有法益侵害性的數據利用行為進行歸責。

對上述困境的紓解，需要從數據流通的主體間視角出發，重新思考衍生數據的權利屬性與權利歸屬，由此涉及從單一性權屬視角向分置性權屬視角的轉變。在分置性權屬視角下，用戶與數據收集平臺所能行使的權利之間不再是互斥關系。因而，衍生數據的刑法保護問題被具化為數據財產權的保護與信息自決權的保護，二者對應的刑事風險及規制困境體現在兩個方面：一是第三方平臺實施的非法獲取衍生數據的行為，侵害了數據收集平臺享有的數據財產權，對該行為應當如何評價？二是數據收集平臺將衍生數據非法提供給他人或者未及時履行監管義務，導致衍生數據泄露并對用戶造成損害，對該行為應當如何評價？對于上述問題，需要在現有罪名中運用教義學原理來尋求刑法保護路徑。

二、從單一到分置：衍生數據權屬方案之確立

作為數據流通和利用的邏輯起點，數據權屬問題關系到價值利益、數據質量與安全責任的劃分。①當具有身份識別性的衍生數據進人數據流通鏈條中時，其便同時與數據收集平臺、第三方平臺等主體產生權利關聯性。僅強調數據財產權、信息自決權的單一權利屬性或者數據收集平臺、用戶的單一權利歸屬，難以實現數據安全與數據利用之間的協調，這就需要重新確立衍生數據的權屬方案。

(一)單一性權屬視角之檢視

權利屬性與權利歸屬并非同一維度的問題。前者用于證立法益內涵，直接影響具體罪名的選擇適用;后者與刑事責任邊界有關，即在多元主體并存的情況下，如何確立各主體的權利行使范圍。從單一性權屬視角出發，由于對衍生數據的權利屬性存在不同理解，從而形成了平臺歸屬與個人歸屬兩種方案。

1.兩種方案的基本主張

持“平臺歸屬方案”主張的學者認為，無論衍生數據是否具有身份識別性，只要數據收集平臺在衍生數據的形成過程中作出了實質性貢獻，便應當享有相應的利益。這種利益取得方式并非基于用戶的權利轉讓，而是一種原始取得。②為了實現數據收集平臺對于數據價值開發所投人利益的保護，學界也紛紛開始探尋平臺歸屬方案背后的學理依據。例如，民法學者提出數據財產權理論，認為數據所具有的財產價值來源于數據處理者所付出的勞動，這種權利取得方式屬于原始取得。③知識產權法學者基于勞動賦權理論，認為勞動具有“二重性”，即只要是通過勞動方式獲得的成果，無論是體力勞動成果還是腦力勞動成果，都應當獲得財產權的保護。④與之相對，出于保障用戶權益在整個數據經濟結構中不被損害的考量，著眼于人格權屬性的“個人歸屬方案”也展現出一定的合理性。無論是在采取大隱私權理念的美國，還是承認信息自決權具有獨立地位的歐洲，都傾向于采取“個人歸屬方案\"對數據信息中蘊含的財產價值加以保護。持該觀點的學者認為，個人數據所有權是塑造數字人格的根本保障，必須賦予用戶在數字空間中使用、加工、轉讓數據的決定權。

2.兩種方案的理論反思

因單一性權屬視角將數據財產權與信息自決權視為一種互斥關系，所以學界在討論衍生數據的歸屬方案時，被迫陷入平臺歸屬或個人歸屬的兩難境地。然而，僅以單一權利作為刑法保護模式的設計藍本，將無法實現對另一種權利的平等保護。

(1)平臺歸屬方案之反思

由于信息自決權不具有較高的被保護性，加之數據收集平臺在制作衍生數據的過程中作出了實質性貢獻，所以當衍生數據不具有身份識別性時，以財產權保護模式實現對人格權的附屬保護，并不會引起太多疑義。然而，衍生數據一旦具有了身份識別性，采取平臺歸屬方案便存在商榷

空間。

第一，即便數據收集平臺通過采取提升數據增值效益的措施取得了數據財產權，用戶也并未因授權行為而完全喪失信息自決權。作為一項在先性權利，信息自決權會通過授權的行為外觀，為后設性的數據財產權提供生成空間。若認可平臺歸屬方案的主張，強調對數據收集平臺信賴利益的絕對保護，不僅可能會導致平臺數據的壟斷，還可能會引發數據收集平臺的逆向選擇風險。例如，數據收集平臺在未經用戶同意的情況下，將具有身份識別性的衍生數據提供給第三方平臺，該行為只能被視為一種正常的數據財產交易，而無法適用侵害用戶信息自決權的相關罪名予以規制。

第二，平臺歸屬方案降低了數據收集平臺的義務履行標準，可能會使其罔顧“守門人”責任，僅以逐利目的作為數據處理行為的驅動要素。這種為追求效率而忽視安全的做法已經在一些特殊類型的數據收集活動中得以驗證。以運動軌跡、醫療健康等敏感數據的技術采集為例，根據《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》)第29條、第30條規定，應當采取“書面同意 + 告知必要性及影響”的程序。①但在實踐中，為了最大限度實現數據的流通和利用，大部分數據收集平臺并未嚴格區分敏感數據與一般數據。當用戶并未真正了解授權內容及授權行為可能伴隨的相關風險時，僅以“概括同意”作為合意有效性的認定標準，將會導致信息自決權法定保護措施的失效。

(2)個人歸屬方案之反思

個人歸屬方案強調用戶對數據的排他性支配。采取人格權的保護模式雖然能夠盡可能確保數據安全，但可能存在以下問題。

第一，在數字法治已然成為一門\"顯學”的背景下，為避免陷入“刑法萬能主義”的窠臼，適當弱化“知情同意”原則、限縮犯罪成立范圍，成為促進數據流通和利用的教義學方案。由于不同主體對不同數據的主觀價值設定不同，在獲得授權之前，需要讓用戶充分知悉數據的可能用途，并根據數據的重要程度對授權模式進行個性化處理。若完全采取個人歸屬方案，即便是有益于用戶的數據利用行為，在未經其同意的情況下，也會因為侵害了信息自決權而具有違法性，這無疑擴大了刑法的處罰范圍。

第二，個人歸屬方案以一種定言律令的方式對數據收集平臺提出要求，即“不得擅自實施數據收集與利用活動”。由此，數據收集平臺只能無條件地遵循用戶意愿，完全不能自由衡量在何種情況下可以實施數據利用活動。這種方案雖基于人格權的絕對權屬性，能夠預防數據流通和利用過程中產生的刑事風險，但卻因忽視了衍生數據這一行為客體上附著的諸多增值效益，不利于實現對數據價值的積極利用。

(二)分置性權屬視角之提倡

從數據流通的主體間視角出發，可以觀察到衍生數據這一行為客體之上存在分置性權屬關系。信息自決權作為一項人格權，由用戶享有，數據財產權則由數據收集平臺享有。這種在分置性權屬視角下形成的權能分離現象也被稱為“權利束”。②前者作為一項傳統的權利類型，在數據治理模式轉型的背景下，逐漸呈現出相對化趨勢。后者是數據技術發展背景下的產物，與傳統的物權、知識產權等權利類型存在區別。“權利束”以分享作為價值取向，能夠在一定程度上解決衍生數據這一行為客體之上存在的多重權利的保護困境。

第一，在理論層面。由于大數據時代下信息資源的豐富性并不會引發個體與數據收集平臺之間的競爭壓力，尤其在整個數據流通過程中，數據收集平臺占據天然優勢地位，能夠通過激發數據要素價值的方式實現交互目的，所以數據共享模式逐漸被大眾認可。作為數據權屬問題的分析框架，“權利束”的理論模型可以追溯到霍菲爾德提出的法律概念矩陣。傳統權利關系結構理論是將權利理解為主體對客體享有的完整、單一的權利，但在霍菲爾德看來，財產權并非人對物的關系，而是一系列復雜權利的關系集合。①在分置性權屬關系中，用戶原本享有完整的信息自決權，但受到認知有限性及信息不對稱性的影響，數據的潛在價值很難被完全激發出來。于是，通過授權的行為外觀，數據收集平臺具備了數據財產權的生成空間。當衍生數據具有身份識別性時，這種權屬關系體現出一種“交融性”，衍生數據的權利屬性為“信息自決權 + 數據財產權”，權利歸屬主體為“用戶 + 數據收集平臺”。需要注意的是，當兩種權利發生沖突時，應基于“優先保護用戶利益”的理念，明確信息自決權在被保護性的價值序列上高于數據財產權，數據收集平臺不得實施有害于用戶權益的行為。

第二，在政策層面。2022年12月，中共中央、國務院出臺了《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱《意見》）。《意見》第3條規定，在數據生產、流通過程中各方參與主體均享有合法權利，尤其是在能夠確保安全的情況下，為激活數據要素的價值，數據收集平臺有權對原始數據進行開發利用。《意見》試圖在權利客體的維度上區分原始數據、數據集合和數據產品三種類型，并根據數據來源與生成內容特征的不同，最終形成數據資源持有權、數據加工使用權及數據產品經營權等分置產權運行機制。《意見》中蘊含的分置性權屬理念，不僅傳遞出數字經濟時代背景下數據治理應當由原來的“控制模式”轉變為“利用模式”的理念②，更是通過明確衍生數據的權屬，促進數據保護制度的完善。

第三，在實踐層面。以某案件為例，被告公司通過技術手段抓取原告公司用戶的職業信息、教育信息等，原告以不正當競爭為由提起訴訟。對此，北京知識產權法院判決認為，被告公司在未經用戶同意且未得到原告公司授權的情況下，擅自獲取原告公司用戶的職業信息、教育信息，侵犯了原告公司的競爭優勢，構成不正當競爭行為。③從“用戶授權 + 平臺授權 + 用戶授權”的三重授權原則可以看出，法院在考察衍生數據的保護問題時，雖然未對用戶與數據收集平臺所享有的權利的類型進行明確，但已經有意識地承認二者對衍生數據均享有一定的權利。

綜上，對于具有身份識別性的衍生數據而言，因單一性權屬視角無法實現對兩種權利的平衡保護，故存在一定局限。在分置性權屬視角下，衍生數據的刑法保護包含數據財產權與信息自決權兩個方面，這兩種權利面臨的風險類型不同，需要對相應的刑法保護路徑進行分別討論。

三、數據財產權的刑法保護

隨著數據治理模式的轉變，數據技術濫用可能會對用戶及數據收集平臺形成較大的反噬性風險。其中就包括，第三方平臺運用爬蟲技術等實施的非法獲取數據行為。當衍生數據具有身份識別性時，由于非法獲取行為同時侵害了公民享有的信息自決權與數據收集平臺享有的數據財產權，前者可以適用侵犯公民個人信息罪，但對于后者(對數據財產權的侵害行為)應當如何評價？對此，目前學界形成了盜竊罪、非法獲取計算機信息系統數據罪與知識產權犯罪三種路徑。

(一)盜竊罪之否定

在侵害數據財產權的案件中，能否適用盜竊罪的保護路徑需要依序檢視兩個問題。第一個問題是，與傳統財產犯罪相比，衍生數據并不具有物理形態，能否將其認定為刑法意義上的財物？若能夠肯定衍生數據的財物屬性，便需要繼續檢視第二個問題，即非法獲取行為并未從根本上排除數據收集平臺的數據財產權，這是否符合利益盜竊的行為構造？

第一個問題涉及對盜竊罪的行為客體應否限定于有體物的討論。對此，否定說嘗試從“財產”與\"財物”的概念區分視角出發，認為諸如無體物等財產性利益并非盜竊罪的行為客體①，或者將《中華人民共和國刑法》（以下簡稱《刑法》）第265條規定的利益盜竊的情形視為一種法律擬制，認為只能在例外情形下有限度地承認法律擬制，否則將違反罪刑法定原則。②但目前多數觀點仍堅持在我國的立法語境下，盜竊罪的行為客體不應當限于有體物。③司法實踐中，對于盜取游戲賬號等虛擬財產的行為，也有不少按照盜竊罪加以處罰的實例。④這種理論分歧背后所隱含的問題是，如何理解財產犯罪的立法例？德國是通過在罪狀中采取“拿走他人之物”的表述，從而限定盜竊罪的行為客體。因為凡是能“拿走”的對象，必須是具有物理形態且能夠被事實性占有的動產，這就將財產性利益等無體物排除出盜竊罪的成立范圍。日本則采取二項犯罪的立法模式，即通過分別設置條款，實現對有體物與財產性利益的區分保護，并將利益盜竊排除出盜竊罪的范疇。③反觀我國關于財產犯罪的立法例，《刑法》第92條在界定“本法所稱的私人所有的財產”的范圍時，涵蓋了儲蓄、股份、股票、債權等不具有物理形態的財產性利益;第264條關于盜竊罪的規定中不僅未對行為手段與行為客體作出限定，而且還在第265條單獨規定了利益盜竊的情形，這意味著將財產性利益作為盜竊罪的行為客體在我國的立法語境下是切實可行的。尤其是對于衍生數據而言，經過數據收集平臺的加工整合，數據的財產價值能夠被充分激發，在這一客體之上蘊含的財產性利益當然可以成為盜竊罪的行為對象。只是能否將侵犯數據財產權的行為最終認定為盜竊罪，關鍵在于如何理解利益盜竊的行為構造，這也是所要回答的第二個問題。

張明楷教授認為，應當區分“利益轉移”與“無法實現”兩種行為類型。盡管行為人可以通過破壞占有的方式，剝奪被害人享有的財產性利益，但若不存在轉移占有的過程，便不能成立盜竊罪。這一觀點致力于維持盜竊罪構成要件的定型性特征，其通過對占有轉移行為方式的強調，避免在利益盜竊案件中將盜竊罪的構成要件內容完全化約為財產轉移。但問題的關鍵在于，以占有轉移為核心的事實性占有理論是基于有體物盜竊而提出的理論模型，能否將其直接適用于利益盜竊案件？本文對此持否定觀點。

在有體物盜竊案件中，“打破并建立占有”是基于能夠被現實感知的、存在于時空關系中的客觀行為而得出的結論。由于我國盜竊罪的刑事立法并未規定“財產損害”這一要件①，為了防止將使用盜竊的情形也納人刑法評價的范疇，可以通過附加主觀不法要素(非法占有目的)作為財產損失要件的表征，被害人無法在現實中真正地繼續享有對有體物的占有，財產損失得以顯現。簡言之，在有體物盜竊案件中，占有轉移與財產轉移分別承擔著不同功能，占有轉移是空間性的，財產轉移是觀念上的。②但在利益盜竊案件中，即便認為利益能夠被占有，但無論是被害人對利益的占有，還是被告人通過竊取方式取得對利益的占有，都僅是以一種權利關系的變化存在于觀念之中，如何判斷占有轉移便存在技術上的難度。近來有觀點認為，對于數據信息這種物權性財產利益的占有轉移，并不需要介人被害人的轉移占有的意志。只要一方享有的權能減少，另一方享有的權能增加，即可認定發生了占有轉移。③這一觀點雖然關注到數據信息的不可喪失性與可轉移性之間的關系，但其不僅將利益盜竊的行為構造簡化為“僅需判斷有無財產轉移”，使具有表征財產損失功能的非法占有目的被徹底虛置，而且變相地改變盜竊罪的保護法益，以“自由利益”取代“財產利益”，造成處罰范圍的擴張。相較于傳統的虛擬財產，衍生數據具有可復制性，當數據收集平臺享有的數據財產權僅發生了減損而并未被徹底排除時，被害人仍可通過行使占有返還請求權獲得救濟，故無法成立盜竊罪既遂。

(二)非法獲取計算機信息系統數據罪之否定

我國并不存在單獨的數據犯罪罪名體系，但考慮到數據與計算機信息系統之間存在內容與載體的關系，司法實踐中往往通過適用計算機犯罪的相關罪名，對侵害數據財產權的行為予以規制。例如，在某案件中，被告公司通過網絡爬蟲技術大量獲取競爭對手整理分析出的實時公交信息數據之后，免費提供給公眾進行查詢。法院認為公交車雖作為公共交通工具，但實時線路與運行時間等信息均需要經過人工收集、分析并配合GPS定位后才能得出。被告公司通過非法手段人侵被害公司服務器并獲取數據的行為，構成非法獲取計算機信息系統數據罪。④又如，在另一起案件中，被告人非法獲取某科技公司開發的“WiFi萬能鑰匙”軟件中存儲的熱點密碼數據并提供給用戶使用，法院認為該行為構成非法獲取計算機信息系統數據罪。③從裁判要旨來看，法院通常將非法獲取計算機信息系統數據罪的保護法益理解為數據的保密性。因此，只要第三方平臺實施的非法獲取行為破壞了衍生數據的保密性狀態，便能夠適用非法獲取計算機信息系統數據罪。本文認為，這種觀點不具有合理性。

第一，《刑法》第285條對本罪的行為方式與數據類型作出了限定：獲取數據的行為方式必須是通過技術手段，獲取數據的類型必須是存儲于計算機信息系統之中的。然而，侵害數據財產權的行為并不必然伴隨著侵害計算機信息系統安全。通過適用計算機犯罪的相關罪名，對侵犯數據權益的行為進行規制，實際上是在數據犯罪的刑事立法與犯罪治理需求仍有較大差距背景下的無奈之舉。隨著以數據為行為客體的犯罪現象日益增多，為避免非法獲取計算機信息系統數據罪的口袋化適用傾向，應結合獲取數據的行為手段、數據財產權的權利內涵，對涉案行為的性質進行綜合考察。當第三方平臺并未采取技術手段獲取衍生數據或者獲取的僅僅是存儲于云端上的數據時，均無法成立本罪。

第二，非法獲取計算機信息系統數據罪的評價重心是技術侵入行為，未關注到數據本身蘊含的價值。然而，行為人通過實施技術侵入行為，不僅破壞了衍生數據的保密性狀態，還因此獲得了數據的財產價值。因此，該罪的適用僅能彰顯獲取衍生數據手段行為的違法性，無法體現對不同數據的區分保護。按照這一路徑，即便衍生數據不具有任何可用價值，只要第三方平臺實施了非法獲取行為便能夠成立犯罪，但這并不符合刑法對于數據財產權的保護目標。

第三，基于安全性與可信賴性的考量，將保密性作為數據安全的核心要義，雖然有利于實現對數據安全的預防性保護①，但這實際上是在法益觀的選擇立場上偏向于集體法益一元論，即認為“安全”可以成為一種獨立的刑法法益類型。然而，其并未考慮到是否存在真正值得保護的、具有現實性的權利。數據的“保密性”“完整性”“可用性”內涵可以在不同場景下還原為知識產權、財產權等具體的法益類型。以數據安全這一抽象內涵作為數據犯罪的保護法益，并未考慮到數據的規范屬性，不具有較強的實踐適用性。

(三)知識產權犯罪規制路徑之確立

由于衍生數據在形式上與匯編作品中的數據庫及商業秘密存在近似性，所以引發了學界從知識產權層面對數據權利展開研究的熱潮。一個熱點問題是，第三方平臺實施的非法獲取行為往往是為了在市場競爭中獲得優勢地位，應適用哪一罪名？為了回答該問題，須結合衍生數據的特征，對匯編作品與商業秘密兩種解釋方案進行比較考察。

作為一種獨立的作品類型，匯編作品的認定不能僅依據信息匯編這一行為事實，還要判斷其是否受到“思想與表達混同”這一因素的影響。②例如，在某案件中，法院指出，只有對數據選擇或編排具有獨創性的數據庫，才能納入匯編作品的保護范圍。③需要注意的是，衍生數據的財產價值主要體現在匯編整合后的信息內容。考慮到數據收集平臺因加工整合行為而產生的財產分配需求具有正當性基礎，只要整合匯編后形成的數據信息具有可用價值，即便未滿足獨創性要求，也應當認定其具有保護的必要性。對于這種經過“非創作性投人”而形成的特定利益，究竟采取何種保護路徑，至今在知識產權學界仍存在討論空間。④不過當下能夠形成共識的是，若在前置法層面無法將衍生數據認定為匯編作品，侵犯著作權罪便不具有適用空間。

作為保護衍生數據的另一種路徑，能否將衍生數據認定為商業秘密，進而適用商業秘密罪予以保護？從本罪的構成要件來看，需要判斷兩個問題：一是衍生數據能否被認定為商業秘密？二是如何理解本罪的實行行為？對于第一個問題，《反不正當競爭法》第9條對商業秘密進行了界定，其需要滿足“保密性”“有用性”“管理性”三個要件。否定論者據此認為，當用于制作衍生數據的基礎數據全部都是公開數據時，由于無法滿足保密性要件，所以將其認定為商業秘密可能會阻礙數據作為生產資料價值的實現。①不可否認，數據收集平臺在對基礎數據進行整合匯編的過程中，可能會選取諸多已公開的數據信息，但基礎數據的公開性并非意味著衍生數據不符合保密性要件。數據源是否為公開數據并不會影響衍生數據本身的可用價值，且因這類數據能夠帶來一定的競爭優勢，所以往往會被數據收集平臺采取一定的保密措施。簡言之，來源數據的公開與否并不會影響對侵犯商業秘密罪的認定，只要權利人對衍生數據采取了保密措施，并且能夠為數據收集平臺帶來經濟利益，便應當將其認定為商業秘密。這種為維護競爭優勢而產生的權利保護需求，也暗合了侵犯商業秘密罪的立法價值。

對于第二個問題，獲取行為的認定關鍵在于如何理解本罪的保護法益。學界目前存在個人法益論、集體法益論與復合法益論三種觀點。個人法益論更關注商業秘密的財產權屬性，主張應當將本罪的保護法益認定為商業秘密的財產價值，具體可以細分為商業秘密權說、所有權說等。②集體法益論認為，只有將公平自由的市場秩序作為本罪的保護法益，才能發揮刑法的法益保護與社會治理功能。③復合法益論則傾向于采取并行理解的立場，認為本罪的保護法益既包括商業競爭秩序，也包括權利人的合法權益，從而形成“商業秘密權為主，商業競爭秩序為輔”的法益結構。④但本文認為，前述觀點均值得反思。個人法益論的弊端在于，侵犯商業秘密罪并非以給權利人造成重大損失為適用依據，當行為人的獲利數額達到法定標準時也可以成立犯罪既遂。《中華人民共和國刑法修正案（十一)》將原來罪狀中的“重大損失”修改為“情節嚴重”，即可佐證這一點。集體法益論雖然兼顧了侵犯商業秘密罪在分則罪名中的體系定位，但將前置法的立法目的直接作為刑法的保護法益，不僅混淆了行政違法與刑事違法的界限，而且又產生了當行為人實施的非法獲取衍生數據的行為并未侵害市場競爭秩序時，應當如何評價的問題。相較而言，復合法益論關注到了前述兩種觀點的不足，并提供了相應的改良方案，具有一定合理性。但將兩種法益視為并列結構，將會面臨兩個問題：其一，如何理解主要法益與次要法益的劃分標準？其二，應當以哪一個法益作為構成要件的解釋基準？

對此，本文認為，法益理論在發揮解釋指導與立法批判功能時，需要區分“法益的內涵界定”與“法益的解釋適用”兩個階段。由于集體法益侵害流程的可察性并不顯著，為了防止刑法不當擴大集體法益的保護范圍，在對集體法益的內涵進行界定時，應將個人法益作為保護目標，并以個人法益作為確立構成要件涵攝范圍的標準。這種基于“手段—目的”結構，協調集體法益與個人法益二者間關系的方案，應在“法益的內涵界定”這一階段完成。而在“法益的解釋適用”階段，應先判斷行為對法益造成的是實害還是危險，進而討論不同的犯罪類型及適用規則。③近年來，雖有學者嘗試從位階性法益論人手，將集體法益理解為手段層、將個人法益理解為目的層，以此發揮個人法益對于抽象危險犯的限制功能。⑥然而，這無疑混淆了“法益的內涵界定”與“法益的解釋適用”兩個階段。換言之，既然將犯罪類型確立為抽象危險犯，便不可能同時強調“對阻擋層法益的實害”。① 這種對“秩序”所產生的實害僅僅是一種輻射效果，而非法益本身。真正影響刑事可罰性判斷的，應當是隱藏在集體法益背后，從目的關聯性層面證立集體法益內涵正當性的個人法益。因此，在非法獲取衍生數據的案件中②，由于商業秘密的保密性狀態關系到數據收集平臺的競爭優勢（具體可以體現為平臺的市場份額、行為人的獲利情況等)，這就為獲取型構成要件行為的刑事不法認定提供了依據。具言之，非法獲取衍生數據的行為只有在對數據收集平臺的競爭優勢產生抽象危險并導致被害人的競爭優勢無法維持的情況下，才能認定犯罪成立。對于一些完全不具有價值的衍生數據，即便非法獲取行為破壞了數據的保密狀態，但由于不會影響數據收集平臺的競爭優勢，也不應當按照犯罪處理。

四、信息自決權的刑法保護

當前學界對于衍生數據刑法保護問題的研究，基本上限定在不具有身份識別性的衍生數據這一類型。但是，這不僅忽視了數據法研究范式所要求具備的技術導向性，將衍生數據與匿名數據不當混同，而且在討論衍生數據的刑事風險與刑法保護路徑時存在一定的脫節，并集中體現為缺少對于數據收集平臺刑事責任問題的研究。在分置性權屬視角下，除了討論數據財產權的刑法保護路徑之外，還應當關注信息自決權的刑法保護問題。例如，數據收集平臺在未經用戶授權或者超出授權范圍的情況下，將具有身份識別性的衍生數據提供給他人，能否成立侵犯公民個人信息罪？又如，數據收集平臺默許第三方平臺通過廣告彈窗、網頁跳轉等方式秘密收集衍生數據，導致用戶權益受損，對于這種不作為應當如何評價？對此，有必要從教義學層面對信息自決權的刑法保護路徑作出回應。

（一）非法提供衍生數據行為的刑法評價

根據《刑法》第253條之一侵犯公民個人信息罪中的第2款規定，將在履行職責或提供服務過程中獲得的公民個人信息，出售或者提供給他人的，可以認定為本罪。對于本罪的具體適用，需要注意兩個關鍵點。第一，侵犯公民個人信息罪的行為對象，是否包含具有身份識別性的衍生數據？第二，數據收集平臺在未經用戶同意的情況下實施的提供數據行為，是否一律成立犯罪？

對于第一點，可以先從個人信息保護的相關立法及司法解釋中看出，侵犯公民個人信息罪中的行為對象仍然堅持“可識別性”的界定標準。③只是，能否將具有身份識別性的衍生數據視為個人信息，學界仍存在爭論。否定論認為，侵犯公民個人信息罪的行為對象，不應當包含經過復雜關聯性分析后形成的具有身份識別性的衍生數據。否則，可能不利于實現對數據的有效利用。④折中論認為，刑法中個人信息的可識別性標準，實際上是一種價值判斷。①循此邏輯，衍生數據能否成為公民個人信息，須視數據承載內容及具體應用場景而定。肯定論的觀點則頗為激進，其認為即便是去標識化或者匿名化的個人信息，也屬于個人信息法律保護的范疇。因為在大數據時代，這兩種技術處理方式只具有暫時性，通過再識別化技術對個人信息加以復原，仍可以使其具有可識別性特征。②本文認為，能否將衍生數據視為公民個人信息，應當結合數據類型、識別技術、識別目的等要素進行綜合判斷。

第一，否定論雖考慮到衍生數據所承載的商業價值，但由于“技術復雜關聯性”的判斷標準不明，在轉化為實踐中的適用路徑時可能會陷入另一種傾向：只要數據收集平臺在制作衍生數據的過程中使用了技術手段，便一律不視為個人信息，進而無法適用侵犯公民個人信息罪。但這種無差別的處理方式忽視了不同類型衍生數據的區分保護。對于以敏感信息為數據來源的衍生數據而言，當基礎數據已經涵蓋了大量的個人專屬信息時，第三方平臺可能無須借助復雜的信息技術便能夠識別出用戶的身份信息。換言之，對于這類衍生數據，身份識別功能能否實現，主要取決于基礎數據，數據收集平臺所使用的分析技術僅具有輔助意義。以“是否存在復雜的技術關聯性分析”為由，將這類身份識別性較強的衍生數據排除出個人信息的范疇，反而會產生刑法保護的漏洞。

第二，肯定論雖關注到數據保護模式建構所要求具備的技術導向性，但不能以未來技術的可能性作為刑法保護的根據。即便是相同的數據源，采取不同的數據分析技術所形成的衍生數據，在身份識別功能方面也會有所不同。脫離現實的技術語境，將“當前無法識別、未來能夠識別”的衍生數據列入個人信息的范疇，會將當前不具有身份識別性的匿名數據也視為個人信息，進而造成侵犯公民個人信息罪處罰范圍的擴張。

對于第二點，需要考察刑民法域中信息自決權的保護限度。作為一項獨立人格權，信息自決權衍生于《德國基本法》第2條第1款中的一般人格權，并主要體現為公民有權根據個人意愿自行決定是否披露，以及在何種程度上披露個人信息。歐盟《一般數據保護條例》第20條規定的數據的可攜權，便是信息自決權的重要例證。③由于自我決定權不僅被視為法秩序的建構根基，而且也被當作與他人交往的行為決定，民法學者通常將信息自決權視為一種自我占有、自我控制、排除他人非法干涉的絕對權。④從2017年最高人民法院、最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》)第3條規定中可以看出，為了實現對信息自決權的周延保護，《解釋》傾向于采取絕對權的保護面向。但目前的多數觀點認為，個人的自我決定往往處于一種被潛在風險削弱的狀態，為了避免遭受外界因素的不良影響，需要與家長主義的干預模式相調適，這就為刑法家長主義提供了正當性證成。以已公開個人信息的刑法保護為例，實務中并未采取持絕對保護立場的“二次授權”理論 ⑦ ，反而是以相對保護為基本立場的觀點更具合理性。該觀點主張，應以場景的依賴性作為已公開個人信息刑法保護的類型化標準。①只要數據處理行為在合理限度之內，且未對用戶造成重大損害，便應當肯定該行為具有正當性。這種解釋進路可以從《民法典》第1036條第2款中找到規范依據。②

因此，在相對保護的基本立場之下，為了實現對衍生數據的利用及數據秩序的維護，須根據衍生數據所蘊含信息的身份識別功能的強弱，給予信息自決權不同的保護程度。當衍生數據主要聚合了敏感信息時，因其一旦泄露會對用戶權益產生不可逆的影響，應采取較為嚴格的授權機制，不能為了追求數據利用效率，弱化對用戶的風險告知義務。如對于生物數據的采集，必須按照個人信息保護法的規定，履行“書面同意 + 告知必要性及影響”的義務。而在其他情形下，數據收集平臺對于一般數據實施的合理利用行為，只要未對用戶權益造成侵害，即便未經其授權，也不應當認定為犯罪。

（二)拒不履行數據監管義務的刑法評價

當數據收集平臺未履行對衍生數據的監管義務，導致具有身份識別性的衍生數據泄露并對用戶權益造成侵害的，應如何認定數據收集平臺的刑事責任？以“劍橋分析\"事件為例，Facebook平臺上的一個第三方軟件獲取了Facebook用戶的個人數據，并將其出售。作為對個人數據負有管理義務的Facebook公司，由于存在疏忽與過失，被諸多國家的監管機構進行追責。在討論數據收集平臺的刑事責任問題時，我國《刑法》第 286條之一規定的拒不履行信息網絡安全管理義務罪似乎具有適用空間。但本罪的認定需要注意兩個問題：第一，能否將數據收集平臺認定為網絡服務提供者？第二，如何認定數據收集平臺的作為義務來源？

1.主體身份要件之認定

由于網絡服務提供者能夠在數據的供應端與需求端之間發揮連接作用，所以如何落實具體的主體類型及法律責任成為學界較為關注的議題。從美國1998年出臺的《數字千年版權法》第 512節的規定中可以看到，立法者已經有意識地根據技術性標準，對提供接入與傳輸、緩存、存儲及信息定位服務的主體進行類型區分，并設置了相應的免責條件。這主要是考慮到在當時的技術條件下，網絡服務提供者具有被動性、工具性與中立性的特征。③ 2000 年歐盟通過了《電子商務指令》，不僅區分了純粹傳輸、緩存與宿主三種不同的服務類型，還采取了一種責任進階的模式，即在免責條款中逐漸增加要件，從而實現對不同網絡服務提供者的法律責任的區分設置。從類型界定及責任劃定標準的演進中，可以看出歐美關于網絡犯罪的立法主要采取功能性的類型區分視角，以平衡數據流通自由與數據流通安全二者之間的關系。與之相對，我國在相關法律中雖然規定了網絡服務提供者的責任條款，但并未區分主體類型，而且要求其承擔的義務內容也偏向于一般性、總括性。④ 若直接采用這種較為寬泛的標準來界定刑法中的網絡服務主體，不僅剝奪了數據收集平臺的自由經營權利，還會將諸多僅具有中立性質的業務活動認定為犯罪，從而造成刑法處罰范圍的擴張。由此，在2019年最高人民法院、最高人民檢察院聯合發布的《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》中，首次明確了拒不履行信息網絡安全管理義務罪中網絡服務提供者的類型，具體包括網絡接人、計算、存儲、傳輸服務者，信息網絡應用服務者及利用信息網絡提供公共服務者三大類。由于衍生數據的形成依托于較強的算法技術，故可以將數據收集平臺視為“提供網絡計算與存儲”主體，但最終能否按照拒不履行網絡安全管理義務罪進行認定，還需要結合本罪的不作為性質，考察作為義務來源及義務違反的程度。

2.作為義務來源之澄清

拒不履行信息網絡安全管理義務罪出臺伊始，便面臨著不作為犯性質的討論。持真正不作為犯立場的學者認為，本罪罪狀中已經明確了網絡服務提供者所須履行的信息網絡安全管理義務，應當由法律、行政法規規定。①并且，由于我國刑法總則條文中并未像《德國刑法典》第13條將保證人地位法定化，若強行借用保證人地位理論來解釋拒不履行信息網絡安全管理義務罪中作為義務的來源，可能會導致理論與規范之間的沖突。②與之相對，持不真正不作為犯立場的學者認為，保證人地位理論與網絡服務提供者在管理、控制信息過程中所發揮的作用是契合的。③此外，也有觀點從義務屬性的角度為不真正不作為犯的立場提供證成論據。前置法要求的行政管理義務并非網絡服務提供者的作為義務，二者存在本質不同。若將其直接上升為刑事作為義務的根據，不僅無法得到解釋上的自洽④，還可能導向“嚴格的違法一元論”，否定刑事違法性的獨立判斷。③縱觀兩種觀點的交鋒，核心爭議在于：第一，采取形式法義務說是否會擴張作為義務的范圍？第二，在我國刑法并不存在保證人地位的相關條款時，是否有必要引入實質法義務說？

對于第一點爭議，《刑法》第286條之一采取空白罪狀的立法模式，將網絡服務提供者所須履行的安全管理義務，委任給前置法進行規定。通過對前置法中義務設定條款的考察，《網絡安全法》第9條、第10條規定了網絡運營者、網絡服務提供者所須履行的網絡安全管理義務。《中華人民共和國數據安全法》（以下簡稱《數據安全法》)第4章也專門規定了在開展數據處理活動的過程中，需要履行數據安全保護義務。這些義務規范均表明，網絡信息安全的維護不僅需要行政部門及時履行監督義務，也需要網絡運營者、服務提供者的積極參與。此外，以《網絡安全法》《數據安全法》等前置法中規定的義務條款作為刑法的作為義務來源，并不會導致刑法處罰范圍的擴張。相關觀點之所以指摘形式法義務說可能會導向“嚴格的違法一元論”，實際上是對法秩序統一性原理與刑事違法的相對性判斷存在理解誤區。事實上，卡爾·恩吉施在提出法秩序統一性原理時，便是在德國刑法的理論語境之下認為“統一”的內涵應當是違法性的統一，但至于是否成立刑事不法，還需要依據行為對法益的侵害程度進行應罰性判斷。換言之，德國學者是通過區分違法與不法的概念來闡明法規范與法律效果評價之間的關系。即便采取形式法義務說的立場，也并非完全意味著只要存在違反前置法義務的行為，便一定構成犯罪。形式法義務說只是堅持義務法定化，主張司法者應從前置法中探尋作為義務來源。至于最終是否成立刑事不法，還需要結合其他構成要件展開判斷。

對于第二點爭議，需要關注到我國與德國刑事立法之間的差異。德國并不存在專門規制網絡服務提供者的相關罪名，而是將《電信媒體法》等相關法律中規定的網絡服務提供者的義務與責任，作為《德國刑法典》第13條保證人義務條款的適用依據。因此，即便在德國，對于構成要件相對開放的不真正不作為犯條款的解釋，也并未放棄從既有法律中尋求保證人義務的嘗試。只有當前置法中確實不存在明確的義務條款時，才能啟用其他的義務來源。這一適用進路在我國也有學者主張，如姚詩教授認為，即便在真正不作為犯中存在義務困境，這種將不真正不作為犯的核心理論“跨領域\"地嫁接到真正不作為犯中的方法，也需要滿足附加條件，即行為與法益之間存在高度的歸責關聯。①在《網絡安全法》《數據安全法》出臺之前，由于前置法中缺乏明確的義務內容，若直接以安全管理義務這種籠統表述作為形式法義務的產生根據，將不可避免地擴張刑罰的處罰范圍。考慮到刑罰制裁手段與制裁后果的嚴厲性，通過將網絡服務提供者視為具有法益保護義務的主體，賦予其保證人地位，可以在一定程度上避免構成要件相對開放所帶來的處罰范圍擴張的風險。但在前置法不斷完善且網絡服務提供者的義務規范較為明確的背景下，再援引實質法義務說來論證數據收集平臺的保證人地位，便顯得有些不合時宜。空白罪狀立法模式的優勢在于：通過保持刑法構成要件的開放性，避免因過于精細化的立法而導致無法回應社會生活的需要。②因此，在形式法義務說的立場之下，應當認為數據收集平臺對于衍生數據所應承擔的作為義務，主要是一種去識別化義務。

結合國家標準《信息安全技術個人信息去標識化指南》（GB/T37964-2019)第4條的規定，數據收集平臺應當秉承優先保護個人信息安全的理念，及時履行去識別化義務，并確保去識別化的數據具有應用價值。因此，當數據收集平臺未及時履行相應的義務或者未達到義務履行標準，導致數據泄露并對用戶利益造成損害，應成立不作為犯罪。只是對于義務履行標準，需要根據衍生數據所承載信息的身份識別功能的強弱進行區分。對于一般數據而言，由于其承載的個人信息較少，當數據收集平臺已經履行去識別化義務，便可以自由利用該數據;對于敏感個人數據而言，由于其承載的個人信息較多，不僅需要數據收集平臺履行去識別化義務，而且要確保該數據無法被復原。簡言之，衍生數據得以自由流轉的前提是：數據收集平臺履行了去識別化義務或者數據利用行為無害于用戶利益。另外，為避免義務履行標準的設定門檻過高，還應當分別從事前與事后兩個維度構建數據收集平臺的出罪機制。在事前階段，需要考察數據收集平臺是否具備完整的去識別化方案，以及該方案是否符合行業標準。在事后階段，需要考察數據收集平臺是否及時采取了制止或者防止損害進一步擴大的補救措施，這種事后行為在一定程度上也會影響數據收集平臺的罪責判斷。

五、結語

數據法學的研究應當及時關注數據技術的發展動向。在原有的技術語境下，由于衍生數據不具有身份識別性，所以重點強調其財產權屬性并歸屬于數據收集平臺，便成為討論衍生數據刑事風險類型及具體保護路徑的前提。然而，當衍生數據這一行為客體所承載的身份信息無法被徹底匿名化時，衍生數據便兼具人格權與財產權的雙重屬性。此時，無論是個人歸屬方案還是平臺歸屬方案，都僅從單一性權屬視角出發，無法實現衍生數據自主價值與使用價值的有效協同。基于數據權理論的研究動向，以及對政策內容與實務判例的歸納，本文認為，分置性權屬方案更具合理性。在該方案之下，數據財產權與信息自決權并非互斥關系，而是可以同時歸屬于數據收集平臺與用戶。這不僅能夠為當下的技術語境提供智識支持，還能夠為數據犯罪研究提供新的視角。由此，衍生數據的刑法保護問題可以具化為數據財產權與信息自決權兩部分。數據財產權面臨的刑事風險主要源于第三方平臺，數據財產權的刑法保護，不能僅關注罪名之間行為客體的差異，還需要結合個罪構成要件進行考察。信息自決權面臨的刑事風險主要源于數據收集平臺，其風險規制的難點并非罪名的選擇，而是如何理解侵犯公民個人信息罪和拒不履行信息網絡安全管理義務罪的構成要件。刑法對于數據安全問題的因應，不應僅停留于抽象的治理理念、宏大的治理模式及寬泛的治理對策，而是需要一邊關注數據技術的發展現狀，一邊思考能否從現有的罪名體系中尋找保護路徑。如此，既能夠拓寬學術研究的問題域，也能夠促使領域法學的研究聚焦現實。本文通過對相關爭議問題的回顧與澄清，希冀能夠為衍生數據的刑法保護提供具有實踐意義的教義學方案。

Criminal Law Protection of Derivative Data from a Dichotomous Rights Perspective

LIU Jialin

(East China University of Political Science and Law， Shanghai 2OOO5O，China）

Abstract:In the context of contemporary technology，derivative data possess both property rights and personality rights atributes.From the perspective of bifurcated ownership，the issue of criminal law protection for derivative data can be specified as the protection of data-related property rights and the right to information self-determination under criminal law. For the former，attention must be paid to the composite structure of unlawfulness of of infringing on data property rights : actus reus through unauthorized acquisition without platform consent，and result-unlawfulness through impairment of platforms’market competitiveness.By interpreting the protected legal interest of the crime of trade secret infringement as the competitive advantage of the platform，a pathway can be provided for the criminal law protection of data property rights.For the latter，the criminal liability of data-collecting platforms should be discussed on the basis of two behavioral patterns:act and omision.Since derivative data with identifiability can serve as the object of the crime of infringing on citizens’personal information，there is a basis for imputing the illegal provision behavior implemented by the data collection platform. Additionally，as network service providers，if data-collecting platforms fail to fulfill corresponding obligations for different types of data in accordance with preemptive legal regulations，resulting in data breaches and harm to user rights，they may incur liability under the crime of refusing to perform cyber-security management obligations.

Key words: derivative data;data property rights； crime of infringing trade secrets; the right to information self-determination；the crime of refusing to perform cyber-security management obligations