数据安全刑法保护重心之移转
——从个体法益到公共利益

郭 敏

（中南财经政法大学，湖北 武汉 430073）

党的二十大报告指出，“要坚定不移贯彻总体国家安全观，既重视传统安全，又重视非传统安全，维护国家数据安全，要健全网络综合治理体系，推动形成良好网络生态，保护个人信息和商业秘密，”从上层建筑层上对如何保护和规制数据安全数据犯罪给出了理论指引。当前，大数据的时代已经到来，2021 年国家通过《中华人民共和国数据安全法》（以下简称《数据安全法》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），标志着互联网2.0 时代的逝去，3.0 时代的到来，数据的重要性如同21 世纪的石油，人类对其依赖性愈演愈烈。在数字化时代，互联网、大数据、人工智能等互相结合，催生出甚至以数百泽字节（ZB)计的数据和数十亿计的互联网“冲浪者”，[1]使人们的生活方式发生了巨大的改变，同时也给经济和社会带来了巨大的福利和收益。数据作为一种资源性产业要素、战略性资源，在给数字经济、商业发展、疫情防控方面带来巨大便利的同时，也诱发了变化莫测的风险。最大的风险莫过于数据的泄漏、非法利用、破坏、篡改等。数字时代区别于传统时代，数据的非法使用具有迅速性、波及面大、脆弱性、损失难以挽回的特征，例如，2021 年4 月，Facebook 中包含5.33 亿用户敏感数据的泄露；2019 年微软跨度长达14 年的2.5 亿条客户服务和支持记录在网上泄露等等都造成了大量的数据隐私的泄漏。[2]放眼全球，数据的安全治理已然成为全世界各国需要重点关注的问题，数据安全也随之从静态的保密到动态的流动转变。为更好的进行数据的有效利用，防止数据的非法滥用等，国家相继出台了《中华人民共和国网络安全法》（以下简称《网络安全法》）《数据安全法》《个人信息保护法》，并称为“三驾马车”来针对不同领域的数据、信息的问题进行规制。在实际操作中，侵犯数据安全的行为往往以侵犯公民个人信息罪的方式表现出来，如在一些诈骗罪、敲诈勒索罪中往往使用侵犯他人信息的方式犯罪，最后虽然牵连犯从一重处断，但在具体认定时仍然将其轻罪认定为侵犯公民个人信息罪。截止到2022年11 月，从裁判文书网中可以看出，以“侵犯公民个人信息罪”为关键词搜索的案例有11801 个；以“破坏计算机信息系统罪”为关键词搜索到的案例有1563 个；以“非法获取计算机信息系统罪”为关键词搜索到的案例有1560 个。由此可以看出在涉及数据的犯罪的实践中，更多关注的是公民的个人信息权与隐私权的保护和定性，也即通过保护私权的方式，达到数据犯罪的治理。而数据安全在当今时代俨然已经不再限定于个人法益，更多是着眼于一种安全保障的社会治理。当前的数据安全的刑法保护没有紧跟《数据安全法》的基调，仍处于一种滞后性的状态，故本文着眼于此，先分析数据基础性概念与法益，在此基础上指出当前的问题所在，并主张遵从超个人法益说的观念，增设新罪，系统探讨数据安全刑法保护的问题。

一、数据安全的风险本质

长久以来，涉及数据的案件经常会发生同案不同判的情况，而且法院也更多的倾向于将数据问题简单定性为公民个人信息的问题。之所以造成上述现象的底层原因归结于数据、信息等法律术语的界定不清。在数据安全治理中，通过审慎划定彼此之间的界限，从基础理论上解决数据安全治理中出现的问题。

（一）数据概念的厘清

《数据安全法》第3 条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”这是从立法上对数据所下的定义。“数据的本质属性具有三性即完整性、保密性、可用性”，[3]完整性即指数据不受到非法的删除、篡改；保密性即不在未经同意之下得以使用；可用性是指在合法合规的情况下随时可以利用。相对而言，信息则不具备这些属性，其最大的属性则是可识别性。早在2017年最高院、最高检联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）规定就将其个人信息根本属性定性为可识别性。而且从域外来看，例如欧盟认为个人信息是指“与一个身份已被识别或者身份可被识别的自然人相关的任何信息”，[4]其他国家和地区如美国、德国、英国、我国台湾地区，都将其个人信息的根本特征限定于此。然而在司法实践中，“数据和信息经常被司法解释互拿来互为解释。”[5]虽然无论是立法还是司法实践中信息和数据总是混淆，但两者仍然有着明显的区别。关于两者的关系，学界存在三种观点，其一，数据和信息应该等同。两者的混同，也不会发生大的误差。[6]长期的司法实践也可以得以证明。其二，遵从《数据安全法》的规定，数据和信息的关系是形式与内容的关系。[7]数据是信息的载体，是记载信息的符号，信息是数据的内涵。其三，数据和信息的分立。数据和信息是两个独立的概念。数据所包含的内容是一种抽象的代码，更加指向抽象的内容，而信息所指向的内容则通常较为具体。[8]

笔者认为，数据和信息是完全不同的概念。宜采用两者分立的观点较为适宜。数据具有动态性、抽象性、范围广的特点，而信息则具有静态性、具体化、外延小。首先，数据的动态性与个人信息的静态性。《数据保护法》第3 条第3 款中提到要确保数据处于一种保障持续安全状态的能力。从此条款中可以得出，数据不仅要自身具备完整性、保密性、可用性的静态状态，还要具备一种动态稳定的能力，这与信息的静态相区别，《个人信息保护法》第4 条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”从个人信息类比可以看出信息的定位仅仅限于一种静态被识别的程度。其次，数据的抽象性与具体化。数据归根结底是位于存储介质中的一串串代码，需要从众多的信息中加以提炼汇总归纳，“通过信息→算法应用→数据的链条式运输，实现信息到数据的转化。”[9]相对而言，信息则是更具有针对性的特指的内容，比如疫情防控中确诊患者的旅居信息等。最后，数据的范围广泛，而信息的外延较小。上文提到，信息最大的属性是可识别性。例如《个人信息保护法》中也提到个人信息不包括匿名化的信息，也即为个人信息界定了一个较小的框架和范围。同理，在众多信息当中，有些可以识别、有些无法识别，无法识别的信息不属于信息的范畴，而数据相较于信息而言其范围广泛，可以包括与信息有关或与信息无关并依赖于存储介质进行存储、传输、处理作用的代码。我国司法解释对于数据的解释仍然停留在计算机时代，大大缩小了数据的范围，显然这一点是不合时宜的。

（二）数据安全的法益归属

厘清数据和信息的区别之后，需要进一步分析数据犯罪法益的内容以及明确数据犯罪的风险本质，从而更好的规制数据犯罪。在《数据安全法》出台之前，数据安全犯罪基本受制于计算机系统的四项犯罪即非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪；破坏计算机信息系统罪。数据犯罪保护法益存在立法上存在立法漏洞，没有独立的法益来保护数据的安全，使数据犯罪所依附的计算机犯罪成为其他犯罪网络异化的兜底条款。比如在涉及虚拟财产的案件中径行认定为非法获取计算机信息系统罪。不仅如此，一些无法用相对于的传统犯罪解决涉及计算机的知识产权犯罪、个人信息的多种行为方式都将最后被定为计算机信息系统四类犯罪中去。[10]不仅司法实践中如此，在学界也有不少学者将计算机信息系统安全视为数据犯罪的保护法益。[11]

然而，一方面当前时代已经从计算机时代发展为数字时代，计算机信息系统安全的法益已经难以规制动态的数据利用的新型、不依赖于计算机系统的犯罪，“比如一些网页浏览记录、云端的网络数据、大数据技术利用传感器获取的海量数据均脱离于计算机信息系统”。[12]当出现上述情况之时，计算机信息系统安全则不能规制数据相关的犯罪。另一方面，从现存的四类计算机信息系统犯罪来看，仅从刑法的罪名上带有“计算机信息系统”即可以表现此类犯罪所关注的重心在于对计算机信息系统的破坏、删除、利用、修改等，而非是对于数据本身的一种破坏。故计算机信息系统安全法益已经不适合也不准确作为数据安全法益的内容。

从《数据安全法》中多个条款可以看出，①本法所涉及的数据安全不仅仅包括个人数据安全法益，还包括国家、公共的安全法益。而且本法的出台也意味着自此数据安全与个人信息保护并驾齐驱即数据安全的保护着眼于公共安全与国家安全的保障，[13]个人信息的保护聚焦于个人信息法益的保护。故数据安全所保护的法益应该为公共数据管理秩序。从《数据安全法》第1 条和《个人信息保护法》第1 条制定法律的目的和宗旨即可以看出，数据安全法不仅保护一般的个人法益、个人权益还将立法的宗旨着眼于国家、公共安全。因其数据相较于信息而言，更加抽象，是一个宏大的模糊的概念，而数据安全所保护的法益正是数据所抽象保护的公共的管理秩序。《数据安全法》明确了由中央国家安全领导机构“统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制”，可见数据安全的基调已经落在了国家层面、公共层面。数据包含的方面多种多样，涉及三个层面，一些数据可能确实涉及个人法益方面，但《数据安全法》更多的层面则不是个人信息的法益，而是一种公共法益，比如国家秘密，跨境流通所涉及的数据等，但无论数据所保护的是个人的利益，还是一种国家的安全，数据应该从“技术性”回归“本体性”，应提取其公因数，提取的结果即是公共数据管理的秩序，只是这个秩序中或多或少会蕴含着个人法益。

二、数据安全保护的重心

涉及数据的相关犯罪，刑法罪名包括两大类，一是涉及个人信息、网络安全的保护，二是涉及知识产权、商业秘密等财产属性的犯罪。尤其是对于整个数据犯罪来看，侵犯公民个人信息罪有过度泛化的嫌疑。随着互联网技术的发展，大数据时代的到来，侵犯公民个人信息的犯罪已成为一条黑色产业链，刑法将其入罪化，实质是对侵犯数据安全犯罪的一种源头式打击—“上游获取和提供个人信息的行为和下游严重犯罪具有高度盖然性，”[14]114但如上文所述，数据安全所保护的是公共数据管理秩序，真正体现对该法益保护的仅非法获取计算机信息系统数据罪一个罪名，如前文所述，对于此罪，截止2022 年11 月从裁判文书网中只有1560 个，与大量的侵犯公民个人信息罪相比少之又少。并且，“关于个人信息的保护的规定散见于30 余部不同的法律法规、部门规章和司法解释中”[14]50可以看出，国家对于个人信息的保护，不仅有着充足的前置法，还有刑法加以规制，立法、司法资源的倾斜，使得数据的治理体系，几乎完全聚焦于偏重个人属性的数据犯罪，对其个人属性的保护呈现出一种泛化的局面。

三、重心移转—应从个体法益到公共利益

上述第二部分提到，我国刑法的对数据安全的保护多偏重于个人法益，对公共利益关注颇少。当前在数据共享的时代，应该不仅侧重于对通过个人法益的一种间接式的保护而更应走上直接保护的道路。随着社会的不断发展，“民法的价值取向由纯粹的个人本位迈向社会本位，权利概念的‘社会建构属性’日趋明显，赋权理念需要更多融入社会公共利益基因，这已经成为社会共识。[15]数据安全的保护对个人法益的偏倚也不符合当前数据共享理念的发展，过分强调个人法益的保护则会限制数据的控制、利用等影响数据共享流通，阻碍经济的发展。为此我们应该遵从超个人法益说的观念，设立危害公共数据罪。

（一）遵从一个观念：超个人法益说

“超个人法益说认为，本罪的保护法益是公共安全和社会秩序，秉持维护公共利益的立场。”[16]超个人法益说认为一条单独的数据安全不足以引起刑法的保护，只有引起公共利益的损害时才可以对数据安全进行保护。与之相对的是个人法益说，个人法益说认为数据是个人的权利，立足于个人的角度。但在当今社会，个人法益说已经不符合数据流通共享的时代发展，个人不是孤立的，是社会的产物，故应该增加其对公共属性的重视，坚持超个人法益说，找寻个人法益和公共治理的平衡点，是治理数据犯罪是必须遵从的保护观念。

（二）设立三层并行的数据体系

1.将不可识别的个人信息、财产权、人格权之外的数据归入数据安全保护的范畴。上文所述，《个人信息保护法》所规制的不包括匿名化的信息，故无法识别的与自然人无关的信息则处以一种游离的状态，之前的不可识别的个人信息多以计算机系统犯罪来定罪量刑，或被其他犯罪所吸收，而且财产权、商业秘密、隐私权等无法用特殊法规制的数据也应一并吸收进数据安全的范围，在此之前，数据安全所保护的公共数据管理秩序并没有得到应有的独立保护，故应该将其归入数据安全保护之中。

2.特殊法并行。《个人信息保护法》《网络安全法》《国家安全法》《情报法》《反恐怖主义法》《电子商务法》等法律中所涉及的数据安全由各自所管辖的领域进行规制。坚持刑法的谦抑性，守住“违反国家有关规定”的底线，做好刑法与前置法的衔接，避免过度的犯罪化。

3.设立危害公共数据罪。公共利益是一定社会条件下或特定范围内不特定多数主体利益相一致的方面，具有主体数量的不确定性、实体上的共享性等特征。传统数据治理的犯罪通过计算机类犯罪和个人信息等犯罪进行规制，法益的内容也借助于计算机系统来保护，笔者认为应将数据安全的法益定位于公共数据安全秩序，将其从计算机信息系统中独立出来，故应该增设新罪将其从个人法益的保护转向于公共利益的范畴，从而更好地治理数据犯罪，促进数据收集、存储、使用、加工、传输、提供、公开。

随着数据时代的到来，数据犯罪的重要性显著上升，数据犯罪治理已经成为当前紧迫的任务，然而数据犯罪的治理多倾向于个人法益的保护，为此我们需要厘清数据的基础概念，认清数据犯罪所侵犯的法益本质，坚持超个人法益说的理念，设立新罪，使数据安全的保护的重心转移到公共治理上去。对此，基于总体国家安全观的指导，如何继续坚持保护公共利益为主导的数据安全犯罪治理，这也是将来学界、实务界共同要面临的问题。

注释：

①例如《数据安全法》第8 条：“……不得危害国家安全、公共利益，不得损害个人、组织的合法权益。”《数据安全法》第21 条第2 款：“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”