数据犯罪的刑法规制路径审视与优化_袁彬.pdf

《数据犯罪的刑法规制路径审视与优化_袁彬.pdf》由会员分享，可在线阅读，更多相关《数据犯罪的刑法规制路径审视与优化_袁彬.pdf（10页珍藏版）》请在咨信网上搜索。

1、68DOI:10 16614/j gznuj skb 2023 04 006数据犯罪的刑法规制路径审视与优化袁彬，丁培(北京师范大学 刑事法律科学研究院，北京100080)摘要:保障数据安全和促进数据共享是新时代背景下数据规范治理的目标。现行 刑法 对于数据犯罪的规制体现在“非法获取计算机信息系统数据罪”和“破坏计算机信息系统罪”两罪名。数据安全与计算机信息系统安全相混淆，导致数据的适用范围被不当扩大;数据犯罪的行为方式多样，当前立法保护并不周延;数据的属性和重要程度不同，刑罚量刑幅度和刑罚种类较为单一不能满足对数据分类分级保护的需要;大数据平台作为对数据管控的绝对优势方，缺少对其信息网络安全

2、管理义务的规定。对此，需基于实质法益侵害性明确“数据”的内涵和外延;明确“非法获取计算机信息系统数据罪”适用于无法用传统法益规制的重要数据的获取;完善相应的刑罚幅度和刑种，实现罪责刑相适应;增加新的罪名，对数据的非法提供、泄露、破坏纳入刑事法网;增加对数据平台的规制，对违反特殊职业义务的网络数据管理者适用禁止令或职业禁止，以期实现对数据犯罪刑法规制路径的优化。关键词:数据安全;数据犯罪;刑法规制;法益保护中图分类号:D924 3文献标识码:A文章编号:1001 733X(2023)04 0068 10eviewing and Optimizing the Path of Criminal La

3、w egulationof Data CrimeYUAN Bin1，DING Pei2(1 2 Institute of Criminal Law Science，Beijing Normal University，Beijing 100080，China)Abstract:To ensure data security and promote data sharing is the goal of data governance in the new era The regulation ofdata crime in the current Criminal Law is embodied

4、 in the two charges of“the crime of illegally obtaining computer informa-tion system data”and“the crime of destroying computer information system”Data security is confused with computer in-formation system security，resulting in improper expansion of the scope of application of data;There are various

5、 ways of da-ta crime，and the current legislative protection is not comprehensive;Due to the different attributes and importance of thedata，the range and type of punishment are relatively single，which can not meet the needs of data classification and classi-fication protection;The big data platform，a

6、s the absolute dominant party of data control，lacks provisions on its informationnetwork security management obligations Therefore，the connotation and extension of“data”should be clarified based onthe infringement of substantive legal interests;It is clear that the“crime of illegally obtaining compu

7、ter information systemdata”applies to the acquisition of important data that cannot be regulated by traditional legal interests;Perfect the corre-sponding punishment range and punishment type to realize the adaptation of crime，responsibility and punishment;Add newcharges and include the illegal prov

8、ision，disclosure and destruction of data into the criminal law network;Increase the reg-ulation of data platforms and apply prohibitions or professional prohibitions to network data managers who violate specialprofessional obligations in order to optimize the criminal law regulation path of data cri

9、mesKey words:data security;data crime;criminal law regulation;legal interests protection*收稿日期:2022 12 20基金项目:国家社科基金项目“预防型刑法的法治体系构造研究”(19BFX068)的阶段性成果。作者简介:袁彬(1976)，男，江西临川人，法学博士，北京师范大学刑事法律科学研究院教授、博士生导师，中国刑法学研究会副秘书长，研究方向为中国刑法学、犯罪学;丁培(1996)，女，河南南阳人，北京师范大学刑事法律科学研究院博士研究生，研究方向为中国刑法学。69引言根据 中华人民共和国数据安全法 的规

10、定，数据是对信息的记录，网络数据即是指通过网络收集、储存、传输、处理和生成的各种类型的电子数据。大数据安全标准化白皮书 发布后，大数据安全上升为国家战略，数据因而也被认为是一个国家的重要战略资源，网络空间的数据保护被认为是国家安全保护的一个重要因素。在总体国家安全观的指引下促进数据共享，建设人人有责、人人尽责、人人享有的数据管理和利用规则，既可以保障数据安全，也符合当代信息社会技术创新和经济社会发展的需要。数据时代的来临促使各行各业都在投入大量的精力收集、分析、挖掘数据，进而推动整个行业的发展。然而在享受数据带来的红利时，越来越多的数据被开放共享、交叉使用，其所带来的安全问题也日益凸显，任何一

11、类传统社会权益都可以通过数字化的方式以特定的数据呈现，进而面临被侵犯的危险1。在信息技术加持下的网络数据犯罪呈现出犯罪链条化、动态化、智能化的特点。也就是说，以利用信息网络技术或者人工智能技术获取数据为发端，行为人获取数据以后实施的提供、利用、破坏数据等行为共同构成了新的数据犯罪产业链。基于数据本身的价值和使用价值，数据犯罪侵害的法益具有多元化特征，即网络数据犯罪不仅会侵犯数据安全法益，也会根据数据的属性和用途的不同侵犯其他传统法益，以传统罪名去规制以数据为对象的犯罪还是以专门规制数据犯罪的罪名论处，作为数据犯罪规制对象的数据内涵和外延的范围如何限定，都是正确适用数据犯罪需要厘清的问题。在此种

12、现实背景下，对互联网时代的数据犯罪新特点、新挑战深入剖析，洞察数据犯罪的规制现状、优化数据犯罪的刑法规制路径颇为必要。一、数据犯罪刑法规制的当前路径及问题数据犯罪是指一切以数据为侵害对象的犯罪行为2。数据犯罪的刑事立法规制路径主要表现为现行 刑法 中明确以数据作为规制对象的罪名体系和刑罚设置以及对涉数据犯罪的相关司法解释。(一)数据犯罪刑法规制的当前路径一般来说，对于犯罪行为的规制都围绕着法益保护展开。规制数据犯罪所侵犯的法益在司法实践中主要有两个途径:一是对数据的信息本质所衍生出的财产、人格利益、知识产权等“传统法益”进行保护;二是对无法还原为个体利益的、体现数据安全利益的“集体法益”(社会

13、管理秩序)进行保护。目前我国 刑法 中并不存在独立的“数据安全法益”，明确以数据作为规制对象的罪名规定在危害社会管理秩序一章中，且仅有第 285 条第 2 款的非法获取计算机信息系统数据罪和第 286 条第 2 款的删除、修改、增加数据的破坏计算机信息系统罪。前者规定的行为方式是非法获取，后者规定的行为方式是对数据的删除、修改、增加3。单从罪名看，仅有刑法 第 285 条第 2 款是对数据的直接保护，第 286 条所保护的对象并非数据，而是计算机信息系统的正常运行，该罪名对数据安全的保护是以计算机类的罪名为依托的间接保护。(二)数据犯罪刑法规制的当前问题上述规制方式会导致对危害数据安全的行为规

14、制存在漏洞、处罚不合理的倾向。具体体现为以下几点。Journal of Guizhou Normal University(Social Science)701 数据之内涵和外延不明确根据 最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释(以下简称计算机安全解释)第 1 条、第 11 条对“数据”内涵的规定，非法获取计算机信息系统数据罪的行为对象主要被限定为用于确认用户在计算机信息系统上操作权限的身份认证信息。(1)数据的内涵不明确。数据内涵的不明确在立法中表现为仅有对此概念的抽象概括规定，司法中主要表现为本罪与他罪的混淆，即应当以本罪论处的犯罪行为以他

15、罪论处，或者应当以他罪论处的行为以本罪论处，不当地扩大或缩小了犯罪圈。一是数据犯罪与计算机信息系统犯罪相混淆。数据往往存在于计算机信息系统中，但数据安全不同于计算机信息系统安全，对计算机信息系统安全造成侵害的不一定会对数据安全造成威胁，进而无需以数据犯罪论，反之亦然。即，数据安全和计算机信息系统安全是相互独立的法益保护内容，一个行为是构成对数据安全的侵犯还是对计算机信息系统安全的破坏，需要对行为的法益侵害性本质进行具体判断。但在司法实践中，往往会出现数据安全与计算机信息系统安全相混淆的情况。例如，在网购平台推出的限时促销活动时，“薅羊毛大神”在几秒之内总能抢到东西，低买高卖，两个多月内赚了 1

16、3 万余元人民币。经查明，是被告人购买的抢单“神器”软件自动抢购。法院审理认为被告人使用抢单软件非法获取网购平台的数据，情节严重，构成非法获取计算机信息系统数据罪。本文认为，本案是行为人利用计算机程序(抢单软件)破坏网购平台正常的计算机运行秩序，达到低价抢购的目的，行为的危害性本质并不是获取了数据，而是在于对计算机信息系统正常运行的影响，尽管没有对网购平台销售者造成经济损失，但也影响了正常的网络交易秩序。因此应当以破坏计算机信息系统罪论处，对于获取、删除、修改、破坏数据是手段行为，实际上是通过破坏计算机信息系统内部的运行秩序来达到犯罪目的的犯罪行为构造模式，认定为非法获取数据罪并不可取。二是数

17、据犯罪与公民个人信息犯罪相混淆。数据是信息的载体，信息是数据的本质内涵，但司法实践中数据的适用范围被不当扩大，在司法实践中涉案网络账号、密码、手机号码、房产信息等属于“公民个人信息”的载体并未与数据相区分4。例如，被告人破解并绕过网站的安全措施，抓取某公司服务器上的房源及用户手机号码等信息数据，并以有偿的方式通过网络向他人提供，违法所得共计人民币 100 余万元。该案例中被告人被判处非法获取计算机信息系统数据罪。但本文认为，本案中，行为人的行为本质还是将公民的个人信息有偿提供给他人以牟取利益，虽信息与数据有重合的部分，但能够用个人信息法益进行保护的就不应纳入本罪“数据”的范畴，否则会造成不当的

18、扩张适用数据犯罪。(2)数据的外延不清晰。数据外延的不清晰体现在立法中就是应当受到法律保护、以数据犯罪论处的作为保护对象的信息按照现有法律对数据的定义，对这些信息的非法获取和利用行为并不能以犯罪论处，司法中便不当地缩小了犯罪圈。在现实中，获取存储于云端的网络数据，例如浏览记录、下载历史、搜索记录等虽不属于用户的身份认证信息，但属于数据平台提供商储存的用户信息或者记录在用户本地的数据。这些数据同袁彬，丁培:数据犯罪的刑法规制路径审视与优化*参见检察日报正义网，https:/m gmw cn/2022 10/11/content_1303170023 htm，最后访问日期:2023 年 5 月 2

19、4 日。参见杨发玉非法获取计算机信息系统数据案，浙江省温州市瓯海区人民法院(2021)浙 0304 刑初 1078 号判决书。71样需要法律进行明确的保护，纳入本罪所保护的数据的范围，否则会导致应当以数据犯罪论处的行为以他罪论的情况，不当地缩小了犯罪圈或者错误地适用了其他罪名。2 对数据犯罪之行为方式规定不全面无行为则无犯罪，行为是将危害结果直接外化于客观世界的身体活动。按照侵犯计算机信息系统安全的行为对法益侵害紧迫性的由远及近进行层次划分，可以将行为分为三个层次;首先表现为侵入计算机系统;其次是获取数据;最后是使用数据，使用包括单纯使用(可评价为控制)、单纯为破坏他人使用(可评价为破坏)、自

20、己使用的同时也破坏他人使用(控制兼破坏)。目前的刑法规制存在的问题是:第一，缺少对数据非法提供、泄露、利用行为的规制。目前刑法 仅明确规定了四种对数据的侵害行为，即“获取”、“删除、修改、增加”数据，但这些行为并非数据犯罪行为的全样态，行为人在获取数据之后的利用数据牟利或者有偿提供数据的行为在实践中以“非法获取信息系统数据”罪论处，属于对罪名的不当适用，有使该罪扩张化的风险。首先，“获取”行为表现出行为主体在主观上具有强烈的占有或者拥有某物的欲望，行为主体基于这种欲望采取各种手段和方法去努力获得行为对象，这个过程就是“获取”。本文认为，占有或者获取数据的过程首先表现为对计算机信息系统的侵入，侵

21、入计算机信息系统是获取数据的准备阶段，是手段行为。非法获取计算机信息系统数据罪中的“获取”强调对数据的占有和控制，从物权属性上来看，占有状态的本质就是对犯罪对象的实力支配。也就是说，获取数据的犯罪行为最终表现为对数据的控制和可利用数据的状态。其次，“删除、修改、增加”是对数据进行破坏的行为方式。计算机信息网络国际联网安全保护管理办法 将此种行为方式归纳为“危害计算机网络安全”的活动;同时，也可以比照 刑法 对公民个人信息的保护，对公民个人信息的“出售、提供、窃取或者以其他非法方法获取”均纳入了犯罪圈。显然本罪所规定的行为方式是不周延的，对数据的非法提供、泄露、利用行为无法得到规制，而对于保护法

22、益造成实质损害的恰恰是对数据的非法提供、泄露、利用行为，应当予以规制。第二，缺少对数据的生成、采集、存储以及处理者拒不履行信息网络安全管理义务行为的规制5。数据的生成、采集、存储以及处理者应纳入“网络服务提供者”的范畴，原因在于这些主体对数据的保密性和完整性具有特殊义务。在前置性法律法规明确规定了信息网络安全管理义务的前提下，数据网络服务提供者拒不履行义务，导致数据犯罪的发生，刑法作为二次违法性的补充规范，应当对网络服务提供者起到规制作用。即，若网络数据服务提供者非法提供、泄露数据，或者网络数据服务提供者发现数据有被获取并利用的危险时，经监管部门责令改正但拒不履行职责，此时应有相应的刑法规范对

23、其进行规制。第三，缺少对负有公开数据义务的数据平台垄断相关数据行为的规制。数据安全运营的整个生命周期由六个阶段组成:数据采集、传输、存储、使用、共享和销毁。数据共享是是数据充分发挥价值的关键所在，应当紧密结合大数据时代的要求，将维护数据安全、共享义务纳入考虑范围。数据服务提供者在数据的采集、存储以及分析中势必发挥着重要的作用，因而必须担负起必要的责任，当负有数据公开义务的网络服务提供者拒不共享数据时，应当予以刑法规制。例如，反电信网络诈骗法 就规定了促进数据共享的义务，共享电信网络诈骗样本信息。这也就意味着，当负有数据公开义务的网络服务提供者拒不履行公开义务可能造成重大危害后果时，应对其适用刑

24、法。Journal of Guizhou Normal University(Social Science)*参见 2018 年 4 月全国信息安全标准化技术委员会发布的 大数据安全标准化白皮书 第 60 页。723 对数据犯罪之罪刑规定不完善第一，对数据犯罪的入罪条件“情节严重”“后果严重”之判断出现了“唯数额论”的倾向。根据 刑法 规定的罪状表述，构成非法获取计算机信息系统数据罪要达到“情节严重”的程度。根据相关司法解释，对是否达到“情节严重”标准的判断，主要依据所获取的身份认证信息的数量、违法所得数额或者所造成的经济损失。同样地，通过删除、修改、增加数据破坏计算机信息系统罪的，也需达到“

25、后果严重”的程度才能入罪。根据 计算机安全解释 第4 条的规定，“后果严重”与否的判断要看造成不能运行的计算机信息系统的数量、获取数据的数量，以及行为所造成的经济损失。量化的判断标准在司法中具有便利性和客观性的优势，但这也在一定程度上造成判断罪与非罪只注重结果而不注重过程，呈现出明显的结果导向。也就是说，判决书中往往会直接根据违法所得或者行为所造成的经济损失具体数额的多少来认定犯罪情节严重与否。例如，被告人利用某软件的联网监视功能，让被害人在电脑上下载安装该软件的被控端，被告人非法侵入他人计算机后获取计算机内以文档形式保存的支付宝账户、密码，利用非法获取的支付宝账号和密码在其他设备上登录，之后

26、从他们的支付宝账户转移余额6。本文认为，其行为链条是获取信息、使用信息(异地登录)、转移财产。因此，适用 刑法 第 285 条的非法获取数据并不能完全评价行为人的“取得+利用”行为。且行为人获取数据是为了控制和利用，判决书最终还是按照违法所得的数额作为认定情节严重与否的直接认定依据，不能体现数据获取行为所代表的秩序法益，反而仅体现出数据所代表的财产法益，用侵犯财产的犯罪规制也合情合理。第二，对数据犯罪的刑罚配置不合理。首先，非法获取计算机信息系统数据罪的最高档刑期为37 年，作为唯一对数据起到直接保护作用的犯罪，不符合保护数据的现实需求。与数据将成为数字经济的主要推动力、成为国家的核心竞争力的

27、现实保护需求无法达成协调。在数据逐渐渗透到互联网以及第一、第二产业并对国家、社会和个人的方方面面产生重要影响的环境下，对数据的非法获取、利用或者泄露将对国家、企业的核心竞争力产生重大冲击，最高刑仅为 7 年的非法获取计算机信息系统数据罪难以满足大数据时代的数据保护要求。其次，非法获取计算机信息系统数据罪的最高档刑期为 7 年有期徒刑，而对数据进行删除、修改、增加的破坏计算机信息系统罪的最高档刑期为 5 年以上有期徒刑。与对数据进行间接保护的破坏计算机信息系统罪相比，非法获取计算机信息系统数据罪存在明显的刑罚配置偏低的问题，这就导致本罪对行为人的威慑力和预防再犯罪的效果上也难以得到保障。因此，为

28、了实现对获取数据量巨大，犯罪后果和情节特别严重的非法获取计算机信息系统数据的罪刑均衡，在司法实践中就会出现本罪与破坏计算机信息系统罪交叉竞合适用的问题，导致罪名适用上的混乱。第三，对数据行业特殊职业人员缺少职业禁止和禁止令的配套惩罚措施。数据通常存储于计算机信息系统中，对于计算机系统具有管理权限和管理责任的网络管理人员或者网络运营负责人本身具有更高的维护数据安全职业义务，具备计算机信息系统管理权的这一特殊身份并不意味着其对于该系统中的数据具有获取和利用的权限，基于职业义务，若对于计算机信息系统具有管理权限的人对其管理和保护的重要数据实施获取等犯罪行为，应当从严进行处罚。在处罚措施上可以考虑附加

29、适用“禁止令”或者“职业禁止”，增加触犯本罪“终身不得从事网络安全管理和网络运营关键岗位的工作”的规定，以此达到刑罚的预防和威慑效果。综上，网络时代背景下对数据犯罪的规制应当以保护数据安全和保障数据共享为目标，既不能袁彬，丁培:数据犯罪的刑法规制路径审视与优化73过于强调对数据的控制和保护，也不能只关注数据的公共价值。把获取数据实际上是手段行为而非目的行为的犯罪以非法获取计算机信息系统数据罪论处以及以数据为形式，实际上侵犯传统个人法益(诸如财产、个人信息、知识产权等)的行为都纳入非法获取数据罪项下是不合理的，应当把握数据犯罪的行为本质，关注侵犯数据运行正常秩序和安全的法益内核，才是正确判断行为

30、本质、适用罪名、判处刑罚的关键。二、数据犯罪刑法规制原则的审视与反思数据的安全性问题早就引起了世界范围内许多国家的关注。早在 2001 年，欧盟、美国等 30 个国家就共同签署了 网络犯罪国际公约，其中关于数据犯罪的规制包括非法进入、非法截取、资料干扰、系统干扰、伪造电脑资料等多种行为。然而随着信息时代的发展，数据犯罪不仅仅局限于窃取数据、干涉系统，更重要的是对于数据的分析、利用行为，分析和利用数据的行为可能成为危及国家、公共、个人安全的源头之一，因此有必要对数据安全进行保护。2021 年出台的 数据安全法 也体现了国家对数据安全和数据运行的重视。数据安全是数据利用、共享的基础和保障，在网络时

31、代背景下对数据犯罪进行刑法解释和适用时，应秉持严谨审慎的态度，对现行数据犯罪的规制方法进行思考和反思。(一)基于刑法谦抑性原则的思考刑法的谦抑性是刑事立法的基本原则，是保障社会安全和自由边界的基本遵循。在刑事立法上，谦抑性体现为能够用其他法律规制的行为就没有必要用刑法加以制裁，用已有的罪名可以达到惩戒和预防作用的就没有必要增设新的罪名。以非法获取计算机信息系统数据罪为例，刑法 第 285 条规定了本罪的入罪条件是“情节严重”，看似有防止本罪扩大适用的立法原意，但对“情节严重”的判断需要依据有关司法解释的细化。根据司法解释的规定，“情节严重”的判断根据是行为的客观后果，主要包括所获取的网络金融服

32、务身份认证信息的数量、获取其他身份认证信息的数量、违法所得数额。实际上，该司法解释在潜移默化地扩大了本罪的行为方式，因为规定中不仅将可以作为“个人信息”的“身份认证信息”作为数据进行保护，使本罪与侵犯公民个人信息罪有交叉重合的部分，还将获取的经济利益作为入罪标准之一，这就意味着行为人在获取数据之后的利用数据牟利或者有偿提供数据的行为也可以以本罪论处，进而会出现本罪适用的“口袋化”，也会与立法原意相违背，不符合刑法的谦抑性原则。对于非法获取和利用数据的行为可以通过传统法益和个人信息犯罪去保护的，就不必以属于一般罪名的“非法获取计算机信息系统数据罪”来规制。刑法的谦抑性要求综合运用法律规范体系，在

33、能够用民法、行政法等手段规制的情况下让刑法作为“最后一道防线”。以维护数据安全为核心，关于数据犯罪的前置法主要涉及网络安全法治安管理处罚法 数据安全法 等。违反 网络安全法 第 27 条、第 63 条的规定，在没有达到入罪标准时根据 治安管理处罚法 进行拘留即可。同时，如果行为的危险性很小，不介入公权力即可得到弥补时，可以依据侵权责任去救济被侵权人的损失。数据安全法 第六章也专门规定了相关部门和个人的责任。(二)基于比例原则的思考比例原则要求公权力机关在实现目的所需的必要限度内行事，权力的行使与目的实现须具有相适应性，公权力机关不得任意行使权力，应当选择既能实现目的又不会给相对人或社会公众造成

34、Journal of Guizhou Normal University(Social Science)74较大限制和侵害的行为方式。数据犯罪治理同样需要遵循比例原则，对于不同重要程度的数据进行不同程度的保护，保障数据安全和促进数据流通和共享目的的实现。刑法 第 285 条第 1 款就规定了侵入特定重要领域的计算机信息系统的犯罪，对行为主体侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统采取“行为犯”的规制模式，而对于其他领域的计算机信息系统成立犯罪不仅要求侵入，还要求获取数据或者达到非法控制的程度，可见这些规定实质上是“结果犯”的规制模式，这也就意味着我们国家实际上已经有意在对数据进

35、行分类分级别不同程度的保护，只是目前的规定并不能很好地贯彻比例原则。譬如对于侵入特殊领域的计算机信息系统规定的刑罚低于侵入并获取或者控制其他领域计算机信息系统的刑罚的问题，再者单就本章节规定的体系性来看，缺少对特殊领域数据的获取和控制利用行为的规定，抑或是立法者有意将对特殊领域的数据获取和利用以其他犯罪论处。数据安全法 第 21 条明确规定了对数据进行分类分级保护，也提出了加强对重要数据保护的要求。因此未来数据立法应当对重要数据进一步分类分级别、划定多个不同档次的法定刑幅度，实现对重要性程度不同的数据的差别规范，进而体现比例原则的精神。在分类上，可以将数据分为政府数据、商业数据和个人数据，在分

36、级方面，可以将数据划分为国家核心数据、重要数据和一般数据三个级别7。重要数据即“国家秘密、商业秘密、个人隐私”。在刑罚上，对于不同类别和不同重要程度的数据的获取、利用理应规定不同的量刑幅度，因此“非法获取计算机信息系统数据罪”在刑罚幅度的规定上只有两档，不能完全实现对比例原则的贯彻。(三)基于危害性原则的思考刑法上的行为作为客观构成要件，必须具有危害性，符合“危害行为”的本质特征方有处罚的必要性。以危害性原则为指导去理解和适用本罪才能达到正确厘定犯罪圈的功能，才能精准地惩治犯罪，保障数据安全和数据共享、数据利用，建设更高水平的数据安全保护模式。以非法获取计算机信息系统数据罪为例，只有当获取数据

37、的行为足以使相关法益陷入危险状态，才能作为犯罪处理。但实际上获取数据的行为并不会造成严重后果，只有获取后的泄露、利用行为才会造成对国家、公共、个人的权利损害。因此，本罪的“获取”强调的是对数据的控制，而不限于“占有”的事实状态，只有达到“情节严重”的程度，才能以本罪论。对于“情节严重”应当进行实质判断，然而根据 计算机安全解释 的规定，将所获取身份认证信息达到一定的数量即可认定为犯罪，这种适用规则实际是对本罪危害性的“形式判断”，目的是实现对下游犯罪的提前制止，将可能具有危害法益危险的下游犯罪行为提前到获取数据的阶段进行规制。按照计算机安全解释 的规定，即便行为人只是单纯的将数据存于计算机介质

38、中也可构成犯罪，这种扩大化且不对法益侵害进行实质判断的适用是不合理的。总之，在对数据犯罪进行规制时要把握结果犯的判断标准，在进行司法解释和司法实践中需要根据数据所涉法益的本质进行保护必要性的判断、以对数据安全运行秩序造成实质危害可能性为基础，根据所获取数据的数量、类型和性质决定数据犯罪罪责的有无和轻重。三、数据犯罪刑法规制的路径优化网络时代背景下，数据安全越来越受到重视，目前我国关于数据安全的保护难以满足数据犯罪袁彬，丁培:数据犯罪的刑法规制路径审视与优化*参见 国务院关于加快推进“互联网+政务服务”工作的指导意见:建立健全保密审查制度，加大对涉及国家秘密、商业秘密、个人隐私等重要数据的保护力

39、度，提升信息安全支撑保障水平和风险防范能力。75治理的现实需要。因此，有必要对数据犯罪现行刑法的规制路径进行优化。(一)优化罪名适用思路数据具有保密性、完整性、可用性的特征8。基于此，以数据为对象和依托的犯罪行为可以衍生出对财产法益、个人信息法益、知识产权法益等传统法益的侵害。网络时代的发展使得 APP 虚拟财产、加密资产、个人信息、商业秘密等均可以作为计算机信息系统中的数据加以储存，对于这些数据化的法益本质上与传统法益无差，应依其表征的个人信息权、财产权、知识产权等回归至传统犯罪中处理，坚持刑法的谦抑性仍适用传统犯罪的定罪量刑标准，如侵犯公民个人信息的犯罪、财产犯罪、侵犯知识产权犯罪等。第一

40、，根据危害性原则，对于无法用传统犯罪规制且根据其所获取的数据性质、所涉领域或者行为人大量获取数据后对其进行分析和处理的通常用途，获取数据主观上是为了用于实施具有危及国家安全、公共安全、个人重大安全法益的犯罪时，应当将法益保护提前，利用“非法获取计算机信息系统数据罪”进行规制。第二，根据谦抑性原则，在用传统法益可以达到对利用数据进行犯罪行为的规制时，就没有必要用数据犯罪的罪名去定性。对数据的获取和利用行为大部分可以通过刑法分则已有的传统罪名进行规制，对于行为所侵犯的法益实质上是与网络异化前的传统法益相同的行为应当予以排除本罪的适用，而对于无法用传统罪名加以保护的重要数据的获取才有必要以本罪论处。

41、正确适用数据犯罪的前提是基于危害性原则对数据安全的保护设定边界。对于数据犯罪的规制体系可以采用普通罪名优先、专有罪名兜底的规制思路，分析在数据运行的各个环节中对数据安全和正常秩序造成实质危害的行为方式是否具有独立规制的必要，优先适用保护私法益的普通罪名，在适用普通罪名无法完全评价危害行为时，适用数据犯罪的专有罪名9。(二)优化罪行设置根据上文对数据的内涵和外延的厘定，数据犯罪区别于计算机犯罪、公民个人信息犯罪，相关法律和司法解释应当将数据的范围由用户的身份认证信息扩展到数据平台储存的用户信息，关注侵犯数据安全运行秩序的行为“危险性”本身，将是否规制的考虑重点放在数据本身的性质，即数据所涉领域、

42、通常用途等直接与数据安全相关的因素。据此，对数据犯罪行为的规制应当由与保障数据安全运行全周期相应的一系列罪名构成。1 对于获取数据的罪行规制。刑法 第 285 条第 1 款仅规定了非法侵入特殊的三个重要领域的计算机信息系统，而获取这些重要领域的数据却未规定为犯罪，本文认为从立法的体系性上来看也应当将获取该领域的数据纳入非法获取计算机信息系统数据罪的范畴。2 对于删除、修改、增加数据的罪行规制。可以考虑将这些行为独立出来，不再依附于“破坏计算机信息系统罪”，单设为“破坏数据罪”。现行刑法 中对于破坏数据完整性的行为必须达到造成严重扰乱并破坏网络计算机系统或阻止其正常运行的程度才可以以“破坏计算机

43、信息系统罪”论处10。删除、修改、增加的行为指向数据本身，不一定会造成计算机不能正常运行，且其行为本身的可罚性基础在于对数据的破坏，基于对数据安全的保护，应当将破坏数据行为规定为犯罪11。3 对于提供、泄露数据的罪行规制。第一，增加“非法提供数据罪”，在实务中行为人将所获取的数据转卖给他人牟利，目前的规定难以打击以牟利为目的的将合法持有或非法购买的数据出卖Journal of Guizhou Normal University(Social Science)76的行为以及利用平台漏洞获取数据等行为;第二，增加“泄露数据罪”，数据收集者有义务尽到防止数据泄露的安全管理义务，数据的价值在于对数据的

44、分析和利用，如果数据管理平台掌握着海量的数据却未尽到更多的安全注意义务，泄露重要数据被恶意利用会产生极大的安全风险，因此无论是故意还是过失泄露数据的，数据管理者都应当负责;第三，应当将数据的生成、采集、储存、处理平台负责人纳入拒不履行信息网络安全管理义务罪的主体范围，加强对数据的保护。不需增加“非法利用数据罪”，对于非法利用数据是为了实施下游犯罪的，可以以下游犯罪的罪名进行规制。(三)优化入罪标准与刑罚配置对于数据犯罪的规制要坚持谦抑性原则、比例原则、危害性原则。这就要求在数据犯罪的立法上和司法实践中不得随意扩张犯罪圈、认定犯罪，也不得轻纵具有实质危险性的行为。具体来说包括两个方面:一是入罪标

45、准的确定;二是法定刑幅度的设置。这两个方面对于正确适用刑罚，达到罪责刑相适应、充分发挥刑罚的预防和威慑作用十分重要。1 数据犯罪入罪标准的优化:数据犯罪的相关罪名往往以“后果严重”“情节严重”作为入罪标准，正确把握“后果、情节严重”标准，才能防止数据犯罪“口袋化”。行为、对象、结果是法益具体化的三个角度12。当前司法实务普遍采用的“违法所得”“经济损失”等数额标准，判决书中往往在载明违法所得或者造成经济损失的数额后得出“情节严重”的结论。这种数额化的入罪标准并不能体现由行为人主观恶性和行为客观危害性程度两方面共同决定的“情节严重”，弱化了行为后果与数据安全运行秩序法益的关联性，而更能体现行为情

46、节与后果严重程度的要素:数据性质、数据种类、获取数据后的通常用途(可以推断行为人的主观恶性)等标准却在评价情节与后果是否严重时被忽略13。未来数据犯罪的入罪标准应从以结果导向的“数额标准”为主转向“行为结果与过程”“主观恶性和客观危险性”并重的格局，以合理评价数据犯罪的行为可罚性有无及程度，进而对其做出不同的评价。即结合所获取数据的数量和通常用途、行为人侵入计算机信息系统获取数据的次数等客观情况，对其主观恶性和行为的客观危险性进行综合判断和评价，如果获取某些特殊领域的数据数量大，数据本身涉及重大国家、公共利益、个人隐私，经过分析和处理这些数据经常会被用于某一类犯罪，则获取该类数据的行为就具有高

47、度危险性，则有必要对该种数据的获取行为进行犯罪化处理。反之，如果获取的数据数量不大且该种数据不属于“重要数据”，通常没有用于实施具体犯罪的经验事实，则没有必要以本罪论处，在行为人借助获取的数据实施下游犯罪时以下游犯罪所侵犯的法益进行规制即可。2 数据犯罪法定刑配置的优化:刑罚配置要遵循罪责刑相适应原则，刑罚处罚应当与犯罪行为的客观危险性和行为人的主观恶性相适应。第一，完善非法获取计算机信息系统数据罪的刑罚。对于重要数据的非法获取、提供、泄露或者破坏的行为可能导致危害国家安全、公共利益、个人重大利益遭受损害的严重后果，且随着信息技术的发展，数据犯罪的手段日益多样化和精准化，而当前刑法 对本罪规定

48、的最高刑仅为 7 年有期徒刑，无法实现罪责刑相适应，也无法体现对于数据的分类分级别保护。对于以非法方法获取特殊领域(例如国家安全领域、尖端科技领域)的重要数据之行为，综合行为人的主观恶性和行为危险性，37 年的有期徒刑可能不足以达到惩治此类行为的效果。因此，该罪应增加 7 年以上有期徒刑的刑法档次。另一方面，由于数据通常存储于计算机信息系统中，对于计算机系统具有管理权限和管理责任的网络管理人员或者网络运营负责人本身具有更高的维护数据安全职业义务，具袁彬，丁培:数据犯罪的刑法规制路径审视与优化77备计算机信息系统管理权的这一特殊身份并不意味着其对于该系统中的数据具有获取和利用的权限。基于职业义务

49、，若对于计算机信息系统具有管理权限的人对其管理和保护的重要数据实施获取等犯罪行为，应当从严进行处罚。在处罚措施上可以考虑附加适用“职业禁止”，增加触犯本罪“终身不得从事网络安全管理和网络运营关键岗位的工作”的规定，以此达到刑罚的预防和威慑效果。第二，需要增加对数据平台的规制。大数据平台作为数据的生成、采集、存储以及处理方，对于大数据以及技术具有绝对的管控优势，因而有必要对其维护数据的安全施加必要的责任，对于滥用优势地位的数据平台管理者有必要增加“禁止令”。欧盟颁布的数据隐私权标准法规通用数据保护条例(GDP)，引入了新型的数据权利 “数据可携带权”“数据被遗忘权”。对此，数据平台有必要建立起对

50、“数据被遗忘权”的保障。可以考虑对数据平台适用禁止令，通过增加新的禁止行为类型来间接保护被遗忘的权利，例如，“禁止数据平台传播或提供搜索和浏览数据”。结语对数据犯罪的规制应当坚守法益保护必要性的原则，对侵犯数据安全和所有权行为的危险性进行实质判断。未对数据安全产生实质危险的行为不应予以刑事归责，对可能造成公民合法权益乃至国家安全受到侵害但未纳入刑法保护的数据挖掘和利用行为亟需法律规制。对于数据犯罪的规制可以考虑按照行为所侵犯数据的性质和重要性程度的不同进行分类分等级保护。另外，有必要对作为数据安全保障主体的网络安全管理义务人的行为进行规范，确保数据的保护和利用。总之，网络时代背景下数据犯罪的规