数据安全新型法益的建构

摘 要：数据具有与信息一体及共生的技术属性，数据与信息是形式载体与实质内容的一体两面。数据代码与信息内容分属“代码层”与“内容层”。在法律属性上，数据安全法益与信息安全法益各有侧重。数据犯罪与具体信息犯罪在行为对象上可能具有同一性，以数据（信息）作为犯罪对象的一次侵犯行为可能侵害多重法益，成立想象竞合而非牵连关系。我国现行计算机信息系统犯罪体系对数据安全的保护力有不逮，有必要弱化数据与“介质层”底层设施之间的关联性，直接以“代码层”为中心建构数据安全刑法保护体系；并以数据权利人所设置的“代码壁垒”为限，作为评判其对数据的处分权限是否遭受侵害的标准。

关键词：数据；信息；数据安全法益；计算机信息系统犯罪；二元治理

作者简介：陆一敏，上海政法学院刑事司法学院讲师，主要从事刑法学研究。

基金项目：国家社会科学基金重大项目“网络时代的社会治理与刑法体系的理论创新”（项目编号：20amp;ZD199）和上海政法学院青年科研基金项目“涉数据犯罪的刑法分流治理模式研究”（项目编号：2023XQN09）的阶段性成果。

中图分类号：D924.3 ""文献标识码：A ""文章编号：1001-4403（2023）04-0077-11

DOI：10.19563/j.cnki.sdzs.2023.04.008

在数字驱动型经济时代，数据已成为继土地要素、劳动力要素、资本要素、技术要素之后的市场第五大新型生产要素，①【" ①参见2020年3月30日中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》。】无疑是数字化、网络化、智能化的基础。②【" ②参见2022年12月2日中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》。】数据的流动在全球经济贸易活动的促进下趋向常态化，③【" ③李玉华、冯泳琦：《数据合规的基本问题》，《青少年犯罪问题》2021年第3期，第6页。】数据技术的迭代造就海量的数据规模和丰富的应用场景，也因此引发数据要素价值释放路径的多元化，进而无可避免地催生出日益严峻的数据安全风险，故需要刑法提供充分的规范供给。

一、初具雏形的涉数据犯罪二元治理结构

（一）域外以个人数据与一般数据为范畴的二元数据保护路径

域外刑法较早地建立了相对完整的数据刑法保护体系。2001年欧盟《网络犯罪公约》（以下简称《公约》）是一部以信息网络带来的全球化深刻变革为背景制定的“标杆性”公约，一方面强调了其立法目的之一在于防止对计算机数据（computer data）保密性（confidentiality）、完整性（integrity）以及可用性（availability）的侵害和滥用，①【" ①See European Union，Convetion on Cybercrime（Budapest，23.XI.2001），Preamble；侵犯上述保密性（也称机密性）、完整性与可用性的犯罪，通常被称为CIA犯罪，主要针对网络黑客犯罪行为。参见乌尔里希·齐白：《全球风险社会与信息社会中的刑法》，周遵友、江溯等译，中国法制出版社2012年版，第308页。】另一方面还明确了一系列以数据内容为核心的犯罪。②【" ②See European Union，Convetion on Cybercrime（Budapest，23.XI.2001），Item 2，Article 8、Article9 and Article10.】2016年4月欧盟通过了《通用数据保护条例》（GDPR）对1995年旧条例进行了更新。该条例被称为史上最严格的个人数据保护法案，充分维护数字正义、保障数字时代的数字人权，③【" ③张永忠、张宝山：《构建数据要素市场背景下数据确权与制度回应》，《上海政法学院学报（法治论丛）》2022年第4期，第113页。】重点强调对个人数据的保护，对数据控制者、处理者等设置了多项个人数据保护原则。④【" ④See European Union，General Data Protection Regulation（2016/679），Aricle 5.】

德国作为前述公约的缔约国之一，在数据犯罪的立法方面很大程度上继受了欧盟的相关条约规定与数据规范模式。为实现欧洲法律的协调化发展目标，德国自欧盟《通用数据保护条例》出台以来，对《联邦数据保护法》（以下简称BDSG）进行了多次更新与修正。现行《联邦数据保护法》中的附属刑法规范规定了多种以个人数据为侵害对象的犯罪行为。⑤【" ⑤如未经授权，故意向第三人传输大量非公开个人数据或以其他方式营利的；未经授权处理非公开个人数据的；以谋利为目的，骗取非公开个人数据的，See，Federal Data Protection Act（last amended by Article 10 of the Act of 23 June 2021），Section42 Penal Provisions.】不同于BDSG强调了对个人数据的刑法保护，《德国刑法典》中的相关数据犯罪强调对一般数据的刑法保护，其中第202a条第2款明确了数据的定义，即指以电子的、磁性的或其他无法直接提取的方法存储或传输的数据。

理论上通常认为，德国BDSG以附属刑法的立法模式实现对个人数据的保护，维护公民的人格权和信息自决权，《德国刑法典》中的数据犯罪则主要保护对一般数据的形式处分权限或形式保密利益。⑥【" ⑥转引自王华伟：《数据刑法保护的比较考察与体系建构》，《比较法研究》2021年第5期，第138页。】两者的规制对象与保护法益不同，形成了德国刑法分别以个人数据与一般数据为保护范畴的二元数据保护路径，这一规范路径可以说是对欧盟《通用数据保护条例》与《公约》的承继。

（二）我国以信息系统与信息内容为核心的二元数据保护格局

为规范针对和利用数据的违法犯罪活动，我国自2017年施行《网络安全法》起，相继出台《数据安全法》《个人信息保护法》以及多部行政法规与部门规章，2021年11月国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见。上述法律文件与相关刑法规范合力形成了我国涉数据犯罪法制体系的基本框架。

《网络安全法》以提升网络安全保障能力为核心，明确了网络安全包含对网络数据完整性、保密性与可用性的保障能力。⑦【" ⑦2016年11月7日《中华人民共和国网络安全法》第10条、第76条第4款。】从《网络安全法》第三章“网络运行安全”与第四章“网络信息安全”的章节体系来看，网络运行安全涵盖了有关网络数据安全的内容，并与网络信息（主要是指个人信息）安全分列作为网络安全的属内容。《数据安全法》《网络数据安全管理条例（征求意见稿）》与《个人信息保护法》则在《网络安全法》的基础上，分别强调数据安全的保护与个人信息权益的保护。两者的立法宗旨与规制对象各有侧重，同前述《网络安全法》中的“网络数据安全”与“网络信息安全”有所对应：对数据安全的保护，集中体现为保障数据权利人对数据的自主处分权限，以确保网络数据的保密性、完整性与可用性；对信息安全的保护，则重点强调对信息内容的严格保密，以防信息的泄露、篡改、毁损、丢失等。可以看到，相关前置性法律规范组成了我国网络安全法律体系中网络数据安全与网络信息安全并行的数据要素治理结构。

在我国刑法实定法规定中，一方面，针对数据安全保护的规范主要是以计算机信息系统为依托而建立的，以《刑法》第285条第2款非法获取计算机信息系统数据罪与第286条第2款破坏计算机系统罪为典型：前者旨在保护数据的保密性，防止计算机信息系统数据为数据权利人①【" ①数据权利人，包括数据来源者、数据处理者等数据要素的参与方。参见2022年12月19日中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》第二部分第（六）条。】授权范围以外的主体非法获取；后者则意在保护数据的完整性与可用性，以确保计算机信息系统数据不被破坏以及数据权利人可随时访问和使用数据。②【" ②刘宪权、石雄：《网络数据犯罪刑法规制体系的构建》，《法治研究》2021年第6期，第45页。】另一方面，由于数据承载着不同属性的实质信息内容，涉数据犯罪可能内含多重法益侵害。对数据的侵害行为，可能因数据所表达的不同信息内容分别具备国家秘密属性、知识产权属性或人格权属性等而侵害不同的法益类型，成立如非法获取国家（军事）秘密罪、侵犯商业秘密罪或侵犯公民个人信息罪等。

由此可见，有关数据的二元保护格局在我国刑事立法中也初具雏形，分为以计算机信息系统数据为核心的计算机信息系统犯罪以及以数据所承载的信息内容为核心的多类信息犯罪。前者主要保障数据权利人对数据的自主处分权利，相关规定集中于计算机信息系统犯罪；后者重点维护以国家秘密、商业秘密、公民个人信息等为典型的信息内容安全，具体规定散见于法益侵害内容不同的各类信息犯罪。两者共同组成了我国涉数据犯罪的二元治理结构。

基于前述德国刑法与我国刑法的相关规定，有学者主张，德国继受了欧盟《公约》以数据为中心的网络犯罪规范模式，我国则形成了以信息为中心的网络犯罪规范模式。③【" ③王肃之：《我国网络犯罪规范模式的理论形塑——基于信息中心与数据中心的范式比较》，《政治与法律》2019年第11期，第44页。】然而，在笔者看来，无论是作为各国数据犯罪立法蓝本的欧盟《公约》与《通用数据保护条例》，还是继受了欧盟相关规范的德国刑法，抑或是我国刑法，均未采取单一的数据形式规制进路或信息内容规制进路，而是均形成了初步的关于数据犯罪的分流治理结构。

之所以理论上关于涉数据犯罪刑法治理模式的争议层出不穷，主要原因在于当前包括我国、欧盟、德国等在内的各国、各地区的涉数据犯罪立法均存在滞后性的缺陷，多依赖于计算机信息系统这一设备媒介，与当下信息网络的发展现状不相适应；同时有关数据概念与信息概念的交替使用、数据安全法益与信息安全法益的争鸣更使涉数据犯罪这一新型犯罪的内涵不清、与传统犯罪的边界不明。鉴于此，有必要梳理我国刑法规范中数据与信息的归属关系，据此确立以数据安全为核心的计算机信息系统犯罪与以信息内容为核心的信息犯罪的交互关系，在此基础上明确数据安全新型法益刑法保护的建构方向，以完善我国的涉数据犯罪分流治理体系。

二、技术属性：数据与信息的归属关系

（一）数据和信息是形式载体与实质内容的一体两面

过去农耕乃至工业社会的信息通常表现为实物载体上的消息；以互联网为代表的新技术的出现标志着信息时代的到来，计算机信息技术的蓬勃发展下涌现大量以计算机信息系统为存储、传输载体，用以记载信息的电子数据；而在当下的大数据时代，数据在社会活动各环节快速融入，信息的承载者逐渐由有体实物向电子数据全面改革迁移。

关于数据与信息的关系，在欧盟《公约》中并未严格区分个人数据与个人信息（personal data），《通用数据保护条例》则明确将个人数据界定为可以直接或间接识别自然人的任何信息（information）。④【" ④See European Union，General Data Protection Regulation（2016/679），Aricle 4（1）.】我国《数据安全法》的相关规定同样采用个人隐私、个人信息、商业秘密、保密商务信息等多种信息内容以定义数据概念。⑤【" ⑤2021年6月10日《中华人民共和国数据安全法》第38条。】简言之，在制度规范上，信息似乎常被用于定义数据概念，并根据信息内容的不同属性界分数据的具体种类，如个人数据（信息）等。

正因为如此，有学者主张数据与信息之间仅存在“读取”与否的差别；①【" ①梅夏英：《信息和数据概念区分的法律意义》，《比较法研究》2020年第6期，第153页。】亦有不少学者主张两者的范围与内涵大体一致，②【" ②侯富强：《我国个人信息保护立法模式研究》，《深圳大学学报（人文社会科学版）》2015年第3期，第145页。】数据与信息这种语义上的区分在宏观上并无实质意义，③【" ③谢永志：《个人数据保护法立法研究》，人民法院出版社2013年版，第8页。】或是仅具有极其有限的区分意义；④【" ④谢远扬：《个人信息的私法保护》，中国法制出版社2016年版，第6页。】还有学者主张，由于对数据、信息等舶来品的翻译存在差异，具体使用过程中的选择可能取决于语言习惯的约定俗成。⑤【" ⑤参见郭明龙：《个人信息权利的侵权法保护》，中国法制出版社2012年版，第19页。】同时，部分学者以及司法实践中的裁判文书采用“数据信息”这一概念，⑥【" ⑥参见北京市知识产权法院（2016）京73民终588号民事判决书；天津市滨海新区人民法院（2019）津0116民初2091号民事裁定书；黄丽勤、宋骏男：《未成年人数据权的二元保护研究》，载《青少年犯罪问题》2020年第04期，第67页。】这也加剧了数据与信息的交替使用的常态化。当然，还有部分学者主张大数据时代下，数据是信息的上位概念，即“数据化意味着我们要从一切太阳底下的事物中汲取信息”⑦【" ⑦维克托·迈尔-舍恩伯格、肯尼斯·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第91-92页。】，“数据与信息是包含的关系”⑧【" ⑧李爱君：《数据权利属性与法律特征》，《东方法学》2018年第3期，第66页。】。笔者认同数据与信息存在“读取”与否差别的观点。在“世间万物都可以被数据化”⑨【" ⑨相丽玲、张云芝：《基于集合论的不同社会形态下信息、知识与数据关系新解》，《情报科学》2018年第9期，第44页。】的大数据时代，以网络空间为视域，数据形式已经成为信息内容赖以生存的唯一载体，⑩【" ⑩有学者主张由于除电子数据外，信息可以通过传统媒介如纸张、音像等进行传递，因此信息可的外延大于数据，参见唐思慧：《大数据时代信息公平的保障研究：基于权利的视角》，中国政法大学出版社2017年版，第7页。本文对数据和信息的探讨位于网络空间的电子化视域下，故此种以传统实体媒介作为信息载体的情况不在本文的探讨范围内，即本文所称数据均为电子数据，特此说明。】尤其是具备分析意义的数据，在含义上与信息甚至难以看出差异。B11【" B11韩旭至：《信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析》，《华东政法大学学报》2020年第1期，第90页。】

在笔者看来，数据具有与信息一体以及共生的技术属性。数据表现为0和1二进制数组成的代码符号或代码符号序列组合，这些代码符号是信息内容的度量值，也是承载实质信息内容的形式载体。反之，信息以数据载体的形式在底层设备间生成、储存和传输，信息通过数字代码进行表达，信息内容的实现有赖于数据符号的读取。据此，可以说，在技术属性上，数据与信息是形式载体与实质内容的关系，通常指向同一对象的不同侧面，是同一对象的一体两面。也正因为如此，前述不少以个人数据（信息）为主要研究对象的学者主张数据与信息的区分并无实质意义，主要原因之一即在于当数据符号被赋予了“个人”的限定时，数据的形式载体身份被削弱，相对应凸显的则是信息实质内容的意义和价值。此时的所谓“个人数据”侧重于实质的个人信息内容，当然同“个人信息”的内涵保持高度的一致。总体而言，数据和信息表现为形式载体与实质内容的一体两面，也因此电子化信息视域下的数据与信息在技术层面是趋同的。

（二）数据代码与信息内容的场域划分

德国学者蔡希（Herbert Zech）借助符号学方法将信息区分为结构性的信息（也称实体信息）、符号层面的信息（也称句法信息）以及语义层面的信息。B12【" B12参见纪海龙：《数据的私法定位与保护》，《法学研究》2018年第6期，第73页；朱宣烨：《数据分层与侵犯网络虚拟财产犯罪研究》，载《法学杂志》2020年第06期，第124页。】具体而言，结构性的信息是指存储信息的物质载体或直接蕴含信息的特定物质实体结构；符号层面的信息则是指通过一定数量的符号及符号之间的逻辑关系而界定的信息，独立于其可能承载的信息内容；语义层面的信息则是指信息所包含的特定意义内容。B13【" B13转引自王镭：《“拷问”数据财产权——以信息和数据的层面划分为视角》，《华中科技大学学报（社会科学版）》2019年第4期，第105页。】美国学者本科勒（Yochai Benkler）则将通信系统内部维度划分为最底层的“物理层”、中间层的“代码层”与最顶层的“内容层”，大体上与前述结构性的信息、符号层面的信息以及语义层面的信息相对应。其中，信息通过“物理层”进行传递，该层主要包括计算机以及网络设备等；“代码层”也称“逻辑层”，该层主要是指代码，还包括因特网基本协议以及基于协议运行的各式软件等；“内容层”则是指经传输的、具有实质意义的信息内容，通常以数字影像与电子文本的信息内容为典型代表。①【" ①参见劳伦斯·莱斯格：《思想的未来——网络时代公共知识领域的警世喻言》，李旭译，中信出版社2004年版，第23页。】略有差异的是，蔡希主张符号层面的信息指向信息符号本身，脱离代码符号蕴含的具体内容；而本科勒所称的“代码”更多地指向网络协议规则，是对信息符号的组织方式、传输权限、传输方式等起到了决定性作用的语言规则。②【" ②部分专家以及澳大利亚传播与媒体局采用四分法，从规制目的出发，将完整的网络运营分为“物理层”“逻辑层”“应用或服务层”和“内容层”四层，前文提到的三分法则是将“逻辑层”与“应用或服务层”合并为“逻辑层”或“代码层”，转引自张文锋：《走向治理：媒介融合背景下西方传媒规制理性与实践》，西南交通大学出版社2015年版，第110-111页。蔡希所主张的“符号层面的信息”与四分法中的“应用或服务层”大体相同；本科勒所称的“代码层”则与四分法中的“逻辑层”具有一致性，包含传输控制协议、网络或互联网协议等等。】

以载有文字信息的纸张为例，纸张本身作为记载信息的物理介质，系最底层“物理层”；纸张上记载的文字符号系中间层“代码层”或是“符号层面的信息”，前者关注文字规则，如该文字符号以中文、外文抑或是古文形式记载，后者则重点关注指向文字符号本身；文字所蕴含的信息知识内容则系最顶层“内容层”。

在此基础上，为便于从信息（数据）的不同维度剖析信息与数据的法律属性，笔者拟将以计算机信息系统及其相关设备、数据代码和信息内容为核心划分的三个层次统一称为“介质层”“代码层”与“内容层”。③【" ③也有观点将“代码层”称为“符号层”“数据层”或“数字符号层”，将“内容层”称为“信息内容层”或“应用层”，笔者认为仅存在表述或称谓上的区别。参见朱宣烨：《数据分层与侵犯网络虚拟财产犯罪研究》，《法学杂志》2020年第6期，第125页；陈兴良：《虚拟财产的刑法属性及其保护路径》，《中国法学》2017年第2期，第164页；刘宪权：《元宇宙空间非法获取虚拟财产行为定性的刑法分析》，《东方法学》2023年第1期，第59页。】其中，“介质层”是指数据生成、储存与传播的底层基础设施、设备，在很大程度上对应我国刑法中规定的“计算机信息系统”。即指具备数据处理功能的交互系统，除计算机、网络设备以及其他相关的配套设备、设施以外，还包括移动终端在内的通信设备、自动化控制设备等一系列基础设备。④【" ④当下虚拟化技术与云计算推动了硬件后端基础设备的抽象化。一方面，信息载体不再局限于有形的物质实体结构；另一方面，电子数据（信息）的生成、储存、传播载体与空间系统同样不再依赖于计算机、硬盘、网线等有形的物理设备。如具有远程便携性与能耗经济性的云端存储以及传感器存储等，有望逐步取代传统大型机等基础设备及相关软、硬件设施，无疑将成为“介质层”的中坚力量。故笔者将该层面命名为“介质层”，以求将自带指令和数据处理功能的硬、软件系统以及物理载体虚拟化的情形囊括其中，进而有别于传统的以有形物理介质为核心的“物理层”，特此说明。】“代码层”则融合了前述蔡希所称的“符号层面的信息”与本科勒所称的“代码层”，既包含以0和1二进制为表达方式的数字代码符号和符号序列组合，同时涵盖相应的代码规则，包含各种形式的存储文件、软件系统（程序）等，对应作为信息形式载体的数据本身。“内容层”则是指经读取代码符号所得的实质内涵，对应数字代码所承载表达的具体信息内容。

三、法律属性：数据安全与信息安全的维度区分

（一）数据安全与信息安全的法益侧重

在明确了数据与信息具有形式与内容一体性的基础上，有学者指出，在部分判决中，法院一方面认为信息与数据是内容与形式的关系，另一方面却主张“数据所具有的实用价值在于其所包含的网络用户信息内容，而不在于其形式”，⑤【" ⑤杭州铁路运输法院（2017）浙8601民初4034号民事判决书。】存在对信息与数据不加区分的模糊性使用。⑥【" ⑥参见韩旭至：《信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析》，《华东政法大学学报》2020年第1期，第92-93页。】应当看到，前文对数据与信息之交互关系的阐释是基于物理世界的存在形式，表明数据与信息的技术属性，却不是从法律角度以侵害法益为视角出发的，也因此在法律层面的意义有限。故尽管笔者对数据产品的价值仅在于信息内容的上述观点有所保留，但不得不承认的是，数据形式载体与信息实质内容在法律属性上蕴含不同的价值，也显然内含不同的法益内容。

从法律层面上来看，前述通信系统内部的不同维度分别具备不同的法益保护内容，刑事法律也理应提供差异性的规范供给。对“介质层”的侵害行为，是以数据生成、储存、传输等赖以生存的底层设备或基础设施系统为行为对象的，具体表现为以违反或突破安全防御技术为手段，对包括计算机、网络设备、通信设备等在内的数据处理系统的入侵、控制或破坏。如非法侵入计算机信息系统罪等，旨在规制对计算信息系统安全的侵害，以保障计算机信息系统功能的正常发挥，维护计算机信息系统的安全运行。①【" ①高铭暄：《中华人民共和国刑法的孕育诞生和发展完善》，北京大学出版社2020年版，第295-296页。】

对“代码层”的侵害行为，通常是以0和1二进制为表达的数字代码符号即数据作为对象的，具体表现为以相关技术手段违反或突破数据权利人设置的安全保护措施，对数据进行非法获取或删除毁损等。如非法获取计算机信息系统数据罪等，用以规制对计算机信息系统数据的非法获取行为以及删除、修改、增加等破坏性操作行为。尽管该类以数据为对象的犯罪行为在当前我国刑法规定中尚未摆脱计算机信息系统设备的桎梏，但显然同以计算机信息系统安全为核心的“介质层”犯罪行为具有明显的不同。其意在保障数据权利人对数据的占有、控制和利用的排他性（或非排他性）权限与状态，以确保数据不被其他主体随意获取的保密性、数据权利人可随时访问数据的可用性以及数据不被破坏的完整性。

对“内容层”的侵害行为，则是以“代码层”中代码符号所提取的实质内容，即具体信息内容为对象的，可以表现为未经授权或超越授权对不同性质信息内容的非法获取、出售使用、公开披露等滥用行为。如《刑法》第219条侵犯商业秘密罪规定了以电子侵入等不正当手段获取商业秘密，或披露、使用或允许他人使用商业秘密等犯罪行为。相关行为的侵害法益主要指向承载了创造性智力成果的、具有知识产权属性的商业信息。由于商业秘密所具有的内容机密性与内容经济性特征，②【" ②《中华人民共和国反不正当竞争法》第9条第4款：“本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。”】该罪旨在保护具有商业价值的商业秘密信息不为公众知悉，防止商业秘密权利人因商业秘密被泄露所造成经济损失。再如《刑法》第253条之一侵犯公民个人信息罪是典型的以个人信息内容为行为对象的犯罪，用以规制非法获取、向他人出售或提供公民个人信息的行为。相关行为的侵害法益主要指向能够识别自然人身份、具有人格权属性的个人信息内容，该罪旨在实现对公民个人信息权的保护，③【" ③关于侵犯公民个人信息罪的保护法益，理论上多有争议，本文主张该罪的保护法益是公民的个人信息权（包括个人隐私权等人格权以及信息自决权等）。该问题并非本文的讨论重点，此处不赘。】在保障公民个人隐私不受侵犯的同时，防止个人信息被非法收集、扩散与滥用。应当看到，实践中以“内容层”即信息内容为对象的侵害行为，因不同信息内容所具有的信息特征与属性而构成对不同种类法益的侵害。

分析可知，数据安全犯罪与信息安全犯罪的保护法益各有侧重。数据安全犯罪这一新型权利犯罪的行为对象以“代码层”的形式数据为限。对数据安全法益的保护旨在保障数据权利人对数据的处分权和支配权。其中，对该类数据保密性的保护侧重于数据的形式层面，是指保障形式数据不为数据权利人未经授权的主体所收集与破坏，通常与数据的信息内容、信息性质等无关。

与之不同的是，信息安全犯罪是以“内容层”即数据所承载的实质信息内容为行为对象的，本质上是利用网络电子化工具针对传统信息内容的侵害，进而造成对信息来源主体的权益侵害，在一定程度上体现了传统信息犯罪的网络化、电子化。因此，对此类侵害信息安全行为的规制，应当回归传统犯罪的框架，根据信息内容所指涉的具体法益，通过保护知识产权、个人信息权等传统权利以实现对信息内容的机密性保护以及对信息来源主体权益的保障。如前所述，对信息安全法益的保护路径应当重点关注信息内容所反映的各项权益，具备不同权利属性的信息内容分属不同种类信息犯罪的法益保护对象。在此基础上，信息安全法益本质上可以说是与信息内容有关的多种传统信息法益的网络特殊形态，信息安全犯罪则是一项整合了不同信息来源主体类型、不同信息权利属性的跨法益、跨罪名的犯罪合集。

（二）数据安全法益与信息安全法益的竞合关系

有学者主张数据安全法益和传统（信息安全）法益之间是非此即彼的中立关系：前者指以数据为对象侵害数据安全，后者以数据为工具、媒介侵害传统法益。因此，作为犯罪对象的“数据”具有单一性，对数据的侵犯行为只能评价为数据犯罪或传统信息犯罪一罪，而不可能同时认定为多种罪名而产生竞合。①【" ①参见杨志琼：《我国数据犯罪的司法困境与出路：以数据安全法益为中心》，《环球法律评论》2019年第6期，第168-170页。】亦有学者基于数据与特定信息的界分关系，主张“刑法因数据所承载的信息内容而有特别规定的，性质上属于信息犯罪而非数据犯罪”，“不能以作为特别法的信息犯罪处理的，则以数据犯罪予以规制”②【" ②苏青：《数据犯罪的规制困境及其对策完善——基于非法获取计算机信息系统数据罪的展开》，《法学》2022年第7期，第78、79页。】。

而在笔者看来，这种将侵害信息安全法益的传统犯罪限定为以数据作为媒介与工具，进而认为其与侵犯数据安全法益的新型犯罪之间无法成立竞合关系的观点有失偏颇。笔者认为，从行为对象的角度来看，数据与信息具有物理层面的一体性；而从侵害法益的角度来看，针对同一物理对象的侵害行为可能同时侵害数据安全法益与信息安全法益。例如，在以电子侵入方式非法获取公民个人信息、网络知识产权等数据承载的信息内容的情境下，由于在物理层面数据与信息本质上是形式载体与实体内容的一体两面，因此，从行为对象的角度来看，行为人非法获取的既是承载了公民个人信息、知识产权信息的数据，也是数据所表征的实质信息内容。换言之，网络视域下，在该类以信息安全为核心的传统具体信息犯罪中，数据并非仅仅是侵害传统信息安全法益的工具与媒介，而在物理层面同样表现为侵害行为的对象。这正是因为数据和信息在技术属性与物理层面实际指向同一物体，两者是几近趋同的。因此，以行为对象所指向的“物”界分数据安全犯罪与信息安全犯罪，显然是难以实现的。

事实上，两者的区别体现在针对同一行为对象的不同侧面的侵害，表现为法益侵害的显著性差异。台湾学者柯耀程提出，应当区分电磁记录（数据）具有双重属性存在：对其本质加以侵害时，适用妨害电脑使用犯罪等数据犯罪；对其表征性功能加以侵害时，应依其表征的法益属性回归应然的犯罪类型中加以处理。③【" ③参见柯耀程：《“电磁记录”规范变动之检讨》，《月旦法学教室》2008年第72期，第127页。】这一观点区分了数据本质与数据的功能性，并将其作为数据安全犯罪与传统信息犯罪的区分标准。笔者对该观点表示支持，事实上，所谓的数据本质是指数据的形式侧面，也即代码符号，数据的功能性则是指数据的实质侧面，也即信息内容。之所以主张数据（信息）具有双重法律属性，正是因为物理层面的数据与信息是形式载体与实质内容的一体两面，而数据安全与信息安全又同时在法律层面表现为不同的法益保护内容。概言之，作为行为对象的数据（信息）在物理层面仅具有单一性，但可能具备法律属性上的多面性。在此基础上，针对数据（信息）这同一物理对象的危害行为亦可能造成不同的法益侵害。

实践中，对数据代码保密性的侵害，常伴生着对信息内容机密性以及其他以信息实质内容为核心的法益侵害，因此可能表现为一次侵犯行为对数据安全法益与信息安全法益的多重法益侵害。换言之，以数据（信息）作为犯罪对象的一次侵害行为可以同时成立数据安全犯罪与具体信息犯罪的竞合。具体而言，大数据时代形式载体逐渐成为信息内容的主要媒介，对于刑法分则中以保护信息内容机密性为核心的犯罪而言，其手段行为极有可能表现为网络空间内的电子侵入或其他技术手段。此时非法获取计算机信息系统数据的行为可能同时成立侵犯公民个人信息罪中的“以其他方法非法获取公民个人信息”，或成立侵犯商业秘密罪中的“以电子侵入手段获取权利人的商业秘密”等，即一行为符合数个犯罪构成、造成对数个法益的侵害，进而成立想象竞合。

也许有观点会认为，以数据代码保密性为侵害法益的获取数据行为与以信息内容机密性为侵害法益的获取信息行为，在通常意义上具有手段行为与目的行为的牵连关系，因此可能成立牵连犯。从刑法理论上来看，牵连犯与想象竞合犯，均符合数个犯罪构成，侵害了数个不同的法益，而其间的关键性区别在于行为的多寡：牵连犯具有手段行为与目的行为等多个行为，想象竞合犯则以同一个侵害行为为前提基础。因此，两者界分的焦点在于侵害行为的数目究竟是一行为抑或是多行为。在笔者看来，行为多寡的认定应当基于自然的判断，以社会的一般观念予以考察。具体而言，在行为对象、行为手段均同一时，通常应当认定为一行为而非多行为。正如前述，由于数据代码和信息内容是形式与实质的一体两面，因此非法获取计算机信息系统数据罪等数据安全犯罪与侵犯公民个人信息罪、侵犯商业秘密罪等具体信息犯罪，在犯罪行为对象方面具有单一性，即侵害行为在物理层面指向同一“物”；两者行为手段则均可能表现为电子侵入或其他技术手段。正因为如此，从自然行为模式层面来看，上述非法获取计算机信息系统数据行为与侵犯具体信息内容的信息犯罪行为在行为对象与行为手段两方面均具有同一性，两者应当属同一行为，故具备了想象竞合成立的可能性。而当一侵害行为同时侵害数据安全法益与信息安全法益，在犯罪构成评价上符合数个犯罪构成，同时触犯非法获取计算机信息系统数据罪与具体的信息犯罪时，应当成立两罪的想象竞合，从一重罪论处。

与之不同的是，在部分情形下，非法侵入计算机信息系统罪的手段行为与非法获取具体信息内容的目的行为可能成立牵连犯。如行为人违反国家规定，侵入国家事务等特殊领域的计算机信息系统，非法获取国家秘密的，可以成立非法侵入计算机信息系统罪与非法获取国家秘密罪的牵连犯。这与前述以数据（信息）为犯罪行为对象的多重法益一次侵犯行为的本质区别在于，该情形下犯罪手段行为的对象系特殊领域的计算机信息系统，目的行为的对象系数据形式所承载的国家秘密内容。显然，手段行为与目的行为的对象分别指向“介质层”的底层设备与“内容层”的信息内容，不具有类似数据与信息的一体两面关系。因此，非法侵入计算机信息系统的手段行为与非法获取国家秘密的目的行为显然是不同的行为而非一个行为，成立牵连犯而非想象竞合犯。

四、数据安全法益刑法保护路径的反思与重塑

在明确数据代码与信息内容分属“代码层”与“内容层”，且数据安全新型法益与传统信息安全法益兼具独立性与相关性的基础上，有必要对我国现行刑法以计算机信息系统为中心的数据安全保护模式进行反思，确立数据安全新型法益独立性保护地位，进一步探索相关法益侵害行为构罪的具体标准。

（一）计算机信息系统犯罪对数据安全保护的力有不逮

囿于立法初衷的局限与体系化数据保护观念的缺失，随着数据技术的迭代更新，计算机信息系统犯罪对于数据安全的保护不可避免地显出力有不逮之势。事实上，我国刑法围绕计算机信息系统安全规制涉数据犯罪的立法模式，已经受到相当一部分学者的质疑，不少学者均主张计算机信息系统数据具有明显的依附性与间接性，①【" ①参见孙道萃：《大数据法益刑法保护的检视与展望》，《中南大学学报（社会科学版）》2017年第1期，第59页；李晓明：《论人工智能刑法规制中的技术规范》，《东方法学》2021年第2期，第63-64页。】有必要在刑法层面承认数据法益的专门化、独立性保护地位。②【" ②参见张勇：《数据安全分类分级的刑法保护》，《法治研究》2021年第3期，第18-19页。】

自1997年《刑法》建立计算机信息系统犯罪体系以来，对“计算机信息系统数据”概念的沿用无法改变数据对计算机信息系统的依附性与局限性，相关犯罪的对象难以涵摄超出了计算机信息系统运行范畴的数据。也正因为如此，无论是相关前置法规，还是相关司法解释，均不得不对“计算机信息系统”的概念进行扩张解释，以“具备自动处理数据功能的系统”定义“计算机信息系统”，进而将计算机以外的，包括网络设备、通信设备、自动化控制设备等一系列具备数据处理功能的硬件、软件系统均纳入“计算机信息系统”的范畴。①【" ①《中华人民共和国计算机信息系统安全保护条例》（2011年修订）第2条；2011年8月1日最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条第1款。】然而，此时刑法中的数据被定义为“具备自动处理数据功能的系统”中存储、处理或传输的数据，不仅与前置法《数据安全法》《网络安全法》中对“数据”或“网络数据”概念的定义方式相差甚远，更陷入以“数据”本身定义“数据”的循环定义与同语反复。“数据”这一技术性语义的内涵随着信息网络技术的迭代不断被更新，若仍将“代码层”的数据概念禁锢在“介质层”中的某一项设备媒介之上，显然既无法全面覆盖逐渐脱离物质终端设备绑定的数据，也无法适应数据在物理性状、生成过程、利用方式上多样化的特点。

除此之外，我国现行刑法中的破坏计算机信息系统罪所保护的数据完整性与可用性并非全面的、独立的而是附条件的。《刑法》第286条破坏计算机信息系统罪第1款与第3款规定的侵害行为均以“造成计算机信息系统不能正常运行”或“影响计算机系统正常运行”为必要构成要件，可见该罪的立法目的旨在加强对计算机信息系统的管理和保护，保障计算机信息系统功能正常发挥，维护计算机信息系统安全运行。②【" ②全国人大常委会法制工作委员会刑法室：《中华人民共和国刑法条文说明、立法理由及相关规定》，北京大学出版社2009年版，第287页。】而该罪第2款则仅规定了删改计算机信息系统数据和应用程序，“后果严重的”，并不强调相关数据对计算机信息系统完整性的影响。然而，从规范的体系协调性的角度出发，结合该罪的立法目的，显然应当对该罪第2款中的“数据”进行性质上的限缩，即删改有损于计算机信息系统完整性和系统本身正常运行状态的数据，方可能成立破坏计算机信息系统数据罪。③【" ③详细论述见陆一敏：《网络时代刑法客观解释路径》，《国家检察官学院学报》2022年第2期，第115-116页。】

概言之，在有关数据保密性的保护上，现行的计算机信息系统犯罪体系仅能保护狭窄范围内的一部分数据；而破坏计算机信息系统数据罪对破坏数据完整性与可用性危害行为的规制，则是附条件的，以相关行为足以破坏计算机信息系统的正常运行功能为前提。为补强以上计算机信息系统犯罪对数据安全保护力有不逮的立法现状，一方面，相关司法解释与时俱进地对“计算机信息系统”概念予以扩容，以此扩大“计算机信息系统数据”的涵盖范围；另一方面，相关司法解释以数据所依附的计算机信息系统的台数认定该款中破坏数据行为的社会危害性程度，④【 "④2011年8月1日最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第4条第1款第2项。】实践中也不乏以破坏计算机信息系统罪论处单纯删改数据行为的裁判，⑤【" ⑤参见四川省崇州市人民法院（2016）川0184刑初611号刑事判决书。】妄图通过牺牲相关规范的体系协调性，以实现对删改破坏数据行为的全面保护。

然而，应当看到，新兴技术与新型权利的变幻与发展难以预料，依赖扩张“介质层”的“计算机信息系统”概念并非长久之计。随着信息技术的不断推陈出新，任何内置有自动处理数据功能的智能化设备都可能成为被攻击的对象。⑥【" ⑥陈国庆、韩耀元、吴峤滨：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉理解与适用》，《人民检察》2011年第20期，第53页。】更有甚者，“介质层”的涵盖范围可能完全独立于计算机设备，而表现为采用了应用程序虚拟化技术（Application Virtualization）的平台空间，如云服务器等。可以想见，以动态的、开放的“代码层”数据概念替换依附于静态的、封闭的“介质层”计算机信息系统数据概念是信息网络时代发展的必然要求。⑦【" ⑦参见刘一帆、刘双阳、李川：《复合法益视野下网络数据的刑法保护问题研究》，《法律适用》2019年第21期，第114页。】若在立法上固守以“介质层”为中心建立数据保护体系，不仅将导致对“计算机信息系统”概念的列举式技术性扩张，直至将计算机信息系统安全扩容为上位的信息网络安全，⑧【" ⑧赵春玉：《大数据时代数据犯罪的法益保护：技术悖论、功能回归与体系建构》，《法律科学（西北政法大学学报）》2023年第1期，第97页。】更在很大程度上超出了“计算机信息系统”的语义范畴，有违反罪刑法定原则之嫌。与此同时，为摆脱破坏计算机信息系统罪以规制破坏数据行为的前提性条件，实践中对《刑法》第286条第2款产生了误读，乃至最高人民法院与最高人民检察院的相关指导案例亦有所分歧，①【" ①参见最高人民检察院指导案例2017年第34号；最高人民法院指导案例2020年第145号。】加剧了司法实务中该罪名适用上的混乱。而这也实属当前刑法缺乏以保护数据安全为核心之犯罪的无奈之举。

（二）“介质层”向“代码层”的规制转向

在通信系统理论与计算机信息系统发展之初，相关的计算机犯罪形式集中表现为以计算机病毒等破坏性程序为工具的入侵计算机信息系统行为。正因为如此，我国现行的计算机信息系统犯罪体系完全是围绕底层设备或基础设施，即物理形式的“介质层”为基础而构建的。即使是第285条第2款非法获取计算机信息系统数据这一典型的，甚至是唯一的以“代码层”的形式数据为对象的犯罪，在立法上同样强调对相关系统设备的“侵入”。然而，随着计算机信息系统防火墙的不断更新加固与计算机病毒程序的颓败乃至消退，当前大量的犯罪形式更倾向于直接表现为以“代码层”的数据代码为对象的非法收集、处理和使用的滥用数据犯罪，而不以对计算机信息系统的侵害与破坏为必然。

鉴于此，有必要在立法上补充独立的数据视角，弱化数据与计算机信息系统等媒介设备之间的关联性，确立数据安全的独立法益地位，即调整当前我国刑法以侵害最底层“介质层”的基础设施为条件的数据安全规制模式，将数据安全犯罪独立于计算机信息系统犯罪的基本范畴，转而直接以中间层“代码层”的数据代码作为保护的重点。

其一，在数据安全犯罪的对象概念与行为手段等方面，将数据从计算机信息系统彻底剥离。如前所述，数据的场景全面覆盖进程赋予了实施危害数据安全更多可能的行为方式，因此，在相关罪名构成要件的设置上，不仅应当将犯罪对象之数据概念独立于计算机信息系统，直接表述为“网络数据”“电子数据”或“数据”本身，侵害数据安全法益的手段条件同样应当予以适当的弱化。例如，当前《刑法》第285条第2款非法获取计算机信息系统数据罪明确将“侵入计算机信息系统”作为获取数据的手段行为。对此，笔者认为，应当适时摒弃该罪中“侵入”等带有明显“介质层”色彩的行为模式，以违反或突破数据权利人为数据访问权限所设置的“技术手段”作为侵害数据安全的手段行为。

由于网络固有的开放性特征，对于公开数据，通常认为数据获取者已经取得了数据权利人允许所有网络用户自由访问数据的默认。为防止对数据安全法益保护的过度泛化，造成对数据访问者的动辄得咎，有必要以数据权利人所设置的防止数据泄露或者被窃取的技术手段为限，作为评判数据权利人对数据的自主处分权和支配权是否遭受侵害的核心标准。笔者拟将该种认定标准称为“代码壁垒”，这是数据权利人通过技术手段为数据安全所设置的“门槛”或“边界”，以防止未经授权的数据访问，确保数据为适格主体访问、控制和利用。数据权利人可以通过设置“代码壁垒”保持数据的绝对排他性而完全不对外开放，或可以通过设置权限密钥等向特定主体进行有限开放，或可以通过实施IP阻止措施撤销对有权访问用户的授权许可，②【" ②Facebook，Inc.v.Power Ventures，Inc，United States Court of Appeals，Ninth Circuit.December 9，2016844 F.3d 1058.】还可以完全开放数据但通过一定的技术措施限制数据访问者的数据爬取等。“代码壁垒”表明数据权利人释放了“拒绝访问”或“限制访问”的信号，③【" ③张浩然：《数据财产与数据安全法益保护的重叠及协调》，《法律适用》2022年第9期，第110页。】向网络用户明示了关于数据的访问规则。若网络用户通过突破或避开该“代码壁垒”以获取数据，则成立对数据保密性的侵犯；反之，若数据权利人仅通过标注或发函等非技术手段表明访问权限的禁止或撤销，则因数据权利人尚未建立有效的“代码壁垒”而无法对访问者予以刑事责任的追究。

其二，排除规制侵害数据安全行为的不当条件，确保数据完整性与可用性的全面与独立保护。当前我国破坏计算机信息系统罪第1款与第2款将破坏计算机信息系统行为与删改数据行为两者进行了捆绑式规定，①【" ①王华伟：《数据刑法保护的比较考察与体系建构》，《比较法研究》2021年第5期，第149页。】因此第2款所规制的删改数据行为仅仅表现为破坏计算机信息系统运行安全的形式之一，即对数据完整性与可用性的保护以侵害计算机信息系统安全为前提条件。在明确了数据安全应当与计算机信息系统安全进行分割受到独立的刑法保护的基础上，应当针对数据完整性与可用性法益设置独立的构成要件，即在立法论层面将非法删改网络数据的行为独立于破坏计算机信息系统罪，同非法获取网络数据行为组成对数据安全的全面与独立保护，以保障数据权利人对数据的自主处分权限，确保数据不被非授权主体随意获取的保密性、数据权利人可随时访问的可用性与数据不被破坏的完整性。

五、结语：涉数据犯罪的分流治理进路

对数据安全的侵害，以形式的数据代码为对象，侵害数据权利人对数据的自主处分与支配权限。我国现行刑法以计算机信息系统犯罪为中心规制该类侵害行为，仅能实现对数据安全的间接与附条件保护。有必要在立法上补充独立的数据视角，弱化数据与媒介设备之间的关联性，确立数据安全的独立法益地位。

对信息安全的侵害，以具体的信息内容为对象，表现为未经授权或超越授权对不同性质信息内容的非法获取、出售使用、公开披露等滥用行为。对发生在网络空间内的信息安全侵害行为，应当回归传统信息犯罪的框架，根据信息内容所指涉的具体法益，通过保护传统权利以实现对信息内容的机密性保护以及对信息来源主体权益的保障。

综上所述，涉数据犯罪的刑法治理分流于以形式数据代码为侵害对象的数据安全犯罪，以及以实质信息内容为侵害对象的具体信息犯罪。两者的保护法益各有侧重，形成我国涉数据犯罪法律体系中数据安全与信息安全并重的二元数据要素治理结构，实现数据安全法益与信息安全法益的周延保护。

[责任编辑：无 边]

The Construction of New Legal Interests of Data Security： Based on the Interaction between Data and Information

LU Yi-min

（School of Criminal Justice，Shanghai University of Political Science and Law，Shanghai 201701，China）

Abstract：Data has the technical property of being integral and symbiotic with information.Data and information are two sides of the same coin：the formal vehicle and the substantive content.The data code and the information content belong to the “code layer” and the “content layer”.In terms of legal attributes，the legal interests of data security and the legal interests of information security have their own focus.Data security crimes and specific information-based crimes may have the same object of conduct，and a single violation of data （information） as the object of crime may violate multiple legal interests，which is the imaginative link of crimes rather than the implicated crimes.China’s current computer information system accusations for the protection of data security is inadequate.It is necessary to weaken the correlation between data and the underlying equipment of the “media layer”，and directly construct a data security criminal law protection system centered on the “code layer”.In addition，the “code barrier” set by the data right holder can be used as a criterion for judging whether his right to dispose of the data has been infringed.

Key words：data;information;legal interests of data security;computer information system crime;binary governance