于志剛李源粒（中國政法大學，北京100088；馬克斯普朗克外國刑法與國際刑法研究所，德國弗賴堡）

大數(shù)據(jù)時代數(shù)據(jù)犯罪的類型化與制裁思路*

于志剛李源粒
（中國政法大學，北京100088；馬克斯普朗克外國刑法與國際刑法研究所，德國弗賴堡）

大數(shù)據(jù)時代的數(shù)據(jù)犯罪需要進行法律框架內(nèi)的具體化與規(guī)范層面的類型化。對于數(shù)據(jù)犯罪危險的類型化方法主要有宏觀與微觀、主觀與客觀、靜態(tài)與動態(tài)三種路徑，從各種不同側(cè)面綜合剖析。數(shù)據(jù)犯罪的危險體現(xiàn)為不確定性及復雜性。對于此種危險的規(guī)范化需要從以基本權(quán)利為基礎(chǔ)的法益概念出發(fā)。應(yīng)以信息論這一類型化途徑為依托，分析網(wǎng)絡(luò)數(shù)據(jù)的技術(shù)特征與數(shù)據(jù)的非物質(zhì)性本質(zhì)，從而實現(xiàn)向傳統(tǒng)刑法體系的合理嵌入。數(shù)據(jù)犯罪的制裁思路是建立“基本行為特征類型化模式+動態(tài)鏈條模式”的縱橫雙向模式：橫向制裁思路是建立以“基本行為特征類型化”為思路的數(shù)據(jù)犯罪雙核心制裁體系；縱向制裁思路是按照數(shù)據(jù)犯罪鏈條的步驟分割與過程整合，實現(xiàn)對于數(shù)據(jù)犯罪鏈條的全環(huán)節(jié)刑法規(guī)制。

網(wǎng)絡(luò)犯罪；數(shù)據(jù)犯罪；刑事立法；刑事政策；大數(shù)據(jù)

從信息安全角度看，大數(shù)據(jù)是指規(guī)模和格式前所未有而又相互關(guān)聯(lián)的大量數(shù)據(jù)，搜集自企業(yè)的各個部分，技術(shù)人員可以對它們進行高速分析。①參見王倩、朱宏峰、劉天華：《大數(shù)據(jù)的安全現(xiàn)狀與發(fā)展》，《計算機與網(wǎng)絡(luò)》2013年第16期。大數(shù)據(jù)時代的技術(shù)和現(xiàn)實變革是圍繞著數(shù)據(jù)的“量”和“價值”展開的。大數(shù)據(jù)的價值實際上可以體現(xiàn)在各個法益層面，是一個貫穿個人、社會和國家法益的多層次體系。但是，數(shù)據(jù)的價值與傳統(tǒng)法律保護對象的本質(zhì)性差別、數(shù)據(jù)法益的價值衡量困難、大數(shù)據(jù)技術(shù)相關(guān)犯罪對法益侵害結(jié)果的相對間接性，都帶來了不同于傳統(tǒng)法律制度的新的時代挑戰(zhàn)，最根本的挑戰(zhàn)即向數(shù)據(jù)-信息法學研究范式的轉(zhuǎn)變的現(xiàn)實必要。在這個意義上，可以將大數(shù)據(jù)對刑法體系提出的挑戰(zhàn)歸結(jié)于兩方面：其一，大數(shù)據(jù)究竟帶來了哪些可以具體化的特別危險；其二，這些具體化了的危險所侵害的法益應(yīng)當如何評判并予以類型化，即數(shù)據(jù)法益侵害的本質(zhì)特征如何與傳統(tǒng)法益保護法律體系對應(yīng)和銜接。這涉及一系列以數(shù)據(jù)為中心的利益衡量與制度構(gòu)建。

一、大數(shù)據(jù)時代的法律制度和理論關(guān)注點——數(shù)據(jù)犯罪危險的具體化路徑

針對大數(shù)據(jù)對于刑法的時代沖擊，筆者于2013年關(guān)注了大數(shù)據(jù)時代數(shù)據(jù)犯罪的危險性和危害性，并從傳統(tǒng)刑法罪名適用可行性的角度進行了檢索和分析。②于志剛：《大數(shù)據(jù)時代計算機數(shù)據(jù)的財產(chǎn)化與刑法保護》，《青海社會科學》2013年第3期。2014年筆者正式提出了以數(shù)據(jù)犯罪為視角的刑法應(yīng)對思路，主張充分重視大數(shù)據(jù)時代的數(shù)據(jù)法益的非物質(zhì)性，針對現(xiàn)有刑法對數(shù)字數(shù)據(jù)法益保護思路的偏離與問題，從宏觀思路上一方面要拋棄以“內(nèi)部數(shù)據(jù)”和“外部數(shù)據(jù)”相配合的“二元化”數(shù)據(jù)解釋思維，另一方面要拋棄“數(shù)據(jù)”必須附著于“信息系統(tǒng)功能”的“三點式”數(shù)據(jù)解釋思維，進而提出大數(shù)據(jù)時代應(yīng)對刑法危險應(yīng)形成以“非法獲取網(wǎng)絡(luò)數(shù)據(jù)罪”和“非法獲取數(shù)據(jù)罪”為雙核心罪名的整體思路。③于志剛、李源粒：《大數(shù)據(jù)時代數(shù)據(jù)犯罪的制裁思路》，《中國社會科學》2014年第10期。2015年，針對《刑法修正案（九）》對我國《刑法》第253條之一的修改，學界的研究逐漸更細致地集中于侵害公民個人信息犯罪的層面，確定了一系列大數(shù)據(jù)時代刑法個人數(shù)據(jù)保護的困難問題，包括網(wǎng)絡(luò)數(shù)據(jù)危險具體化及數(shù)據(jù)制度下的原則、概念、路徑等問題，同時嘗試建立以認證和可識別性為特征的網(wǎng)絡(luò)個人數(shù)據(jù)概念。有學者從刑事訴訟法方面以網(wǎng)絡(luò)平臺為視角提出了個人信息保護視野下的電子取證規(guī)則構(gòu)建思路，從數(shù)據(jù)類型、公開范圍、私密等級進行了數(shù)據(jù)分級，并提出了一些程序上的原則。④王燃：《大數(shù)據(jù)時代個人信息保護視野下的電子取證》，《山東警察學院學報》2015年第5期。但是，這些研究都還未能形成一條由技術(shù)現(xiàn)實變革、危險危害確定、法律概念、法律規(guī)范實質(zhì)內(nèi)涵、法律體系性調(diào)整的完整研究推進軸線，筆者于本文中試圖從這一完整軸線進一步深化刑法領(lǐng)域?qū)Υ髷?shù)據(jù)相關(guān)問題的研究。

（一）大數(shù)據(jù)基本法律危險具體化：多種路徑的綜合剖析

社會系統(tǒng)用生產(chǎn)力來使外部自然社會化，用規(guī)范結(jié)構(gòu)來使內(nèi)在自然社會化。面對內(nèi)在自然，則用遵循有效規(guī)范的交往行為來捍衛(wèi)自身，通過需要加以論證的規(guī)范完成對內(nèi)在自然的整合，用行為規(guī)范以及估價規(guī)范所提出的正確性要求和恰當性要求，與外部自然的真實性要求保持一致，但在先驗上不能保證生產(chǎn)力的發(fā)展和控制能力的增強能夠引起符合社會系統(tǒng)控制命令的規(guī)范變化。⑤參見［德］尤爾根·哈貝馬斯：《合法化危機》，劉北成、曹衛(wèi)東譯，上海世紀出版集團2009年版，第11-16頁。網(wǎng)絡(luò)所帶來的最大挑戰(zhàn)是“社會需要保證秩序：內(nèi)部秩序與外部秩序”。⑥Brenne，Susan W.，Cybercrime and the Law.Challenges，Issues，and Outcomes.Northeastern University Press.Boston 2012.P.189.大數(shù)據(jù)是一個內(nèi)涵十分豐富、外延非常宏大的概念，它首先是一個技術(shù)、商業(yè)、社會管理范疇的變革。信息法受到關(guān)于技術(shù)的法律一樣的自然科學與技術(shù)之變動本性與法律之相對靜止本性之間緊張關(guān)系的支配，從法律政策的視角來看，法律應(yīng)當置身于技術(shù)層面之外，并專注于創(chuàng)設(shè)輪廓分明的結(jié)構(gòu)，以克服這種緊張關(guān)系。⑦參見［德］烏爾里?！R白：《全球風險社會與信息社會中的刑法》，周遵友、江溯等譯，中國法制出版社2012年版，第289頁。

面對大數(shù)據(jù)時代的一系列法律制度視界下的審視，必須將通常的、寬泛的、生活和現(xiàn)實的危險進行具體化與類型化，才能進一步對大數(shù)據(jù)進行法律規(guī)范意義上的分析，實現(xiàn)信息技術(shù)向法律體系的融合，重整法律規(guī)范體系。這需要從基本權(quán)利和數(shù)據(jù)保護領(lǐng)域著手。隱私體現(xiàn)個人基本權(quán)利法益，亦對社會制度起到重要的保證作用。大數(shù)據(jù)的危險首先在隱私領(lǐng)域引起廣泛感知，同時，數(shù)據(jù)犯罪也最先在侵犯公民個人信息領(lǐng)域顯現(xiàn)出巨大危害。因此，檢視基本權(quán)利，進而將大數(shù)據(jù)的危險從基本權(quán)利出發(fā)而進行具體化，從而進一步尋求各法律部門的法律規(guī)范構(gòu)建，將嚴重的數(shù)據(jù)犯罪危險進行刑法規(guī)范的類型化，是一個合理且循序的分析思路。在計算機犯罪領(lǐng)域，德國最初也是于1960年起首先于針對隱私犯罪的領(lǐng)域展開研究的，這些研究以民法和憲法討論為主，刑法次之。①參見前注⑦，烏爾里希·齊白書，第300頁。可見，由隱私的基本權(quán)利開始，進而延伸至刑法領(lǐng)域的研究過程，符合對于信息技術(shù)犯罪的研究規(guī)律。至于數(shù)據(jù)保護法，是以基本權(quán)為基礎(chǔ)，涉及民法、行政法、刑法的綜合法律部門，其重心在于數(shù)據(jù)，意在探索一個以跨學科的橫剖對象為解決方法的、應(yīng)對現(xiàn)代信息科學技術(shù)“第二次工業(yè)革命”的實用路徑。②同前注⑦，烏爾里?！R白書，第291頁。對于大數(shù)據(jù)來說，落實到數(shù)據(jù)保護領(lǐng)域，尋求技術(shù)與部門法間的間接法律危險具體化和類型化，是必要而且必須的。大數(shù)據(jù)所帶來的數(shù)據(jù)危險的具體化路徑有三個主要方向，需要依據(jù)多種標尺進行全面的綜合分析。

1.宏觀與微觀層面

大數(shù)據(jù)是整體性概念，大數(shù)據(jù)處理宏觀層面上能在智能分析的基礎(chǔ)上進行更大容量數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的處理。③同前注①，王倩、朱宏峰、劉天華文。但是網(wǎng)絡(luò)數(shù)據(jù)安全往往直接觸及公民個人信息安全的領(lǐng)域，此即與個人相關(guān)的數(shù)據(jù)是大數(shù)據(jù)時代的“小數(shù)據(jù)”安全問題。其包括事前預測、被側(cè)寫的威脅，以及基于數(shù)據(jù)的虛擬真實性與現(xiàn)實真實性的錯位，基于敏感信息挖掘而對個人生活領(lǐng)域形成深度侵犯，以及通過身份盜竊危害他人人身、財產(chǎn)安全的行為。④參見李源粒：《網(wǎng)絡(luò)數(shù)據(jù)安全與公民個人信息保護的刑法完善》，《中國政法大學學報》2025年第4期。大數(shù)據(jù)處理在微觀層面會提高如下風險：個人遭受刑事犯罪（如釣魚、身份盜竊）侵害的危險；羞辱感和數(shù)據(jù)公開侵害（如性、健康和其他敏感信息）；歧視和難堪；信息永久性；情景脫離（即使用理由改變）。⑤這兩個層面存在著聯(lián)系和互動。一方面，整體性的大數(shù)據(jù)危險可以透過宏觀層面，滲透和影響到微觀層面，進而威脅到個人數(shù)據(jù)相關(guān)權(quán)利的安全。另一方面，存在著貫穿兩個層面的數(shù)據(jù)法益，如純粹將個人作為客體的操作、數(shù)據(jù)側(cè)寫、減損對可信賴性的期待的危險。⑥D(zhuǎn)racker t，Stefan，DieRisikenderVerarbei tungpersonenbezogenerDaten.Duncker&HumblotGmbH.Ber l in2015.S.306-311.

2.主觀與客觀維度

信息的主觀價值不是主觀的反應(yīng)，而是在于信息自身沒有限制，處于極不確定的狀態(tài)，因此需要法律中確定一個點，來確定客觀上無關(guān)聯(lián)的范圍，例如，“公開”就是一個可以絕對合法化的打斷信息保密要求的點。這種值得保護的對信息的權(quán)利是重要的。⑦Druey，JeanNicolas，InfotmationAlsGegenstandDesRechts.Schul tesPolygraphischerVer lagAG.Zür ich1995.S.59-61.歐盟法律框架下，經(jīng)過幾十年的判例和立法發(fā)展，在202 2年數(shù)據(jù)法律改革時，對個人數(shù)據(jù)的信息基本權(quán)利，⑧recitals2、7、129，GeneralDataProtectionProposal，COM（2012）11final（GDPR）.已經(jīng)取代了隱私權(quán)的保護路徑。⑨Fuster，GloriaGonzalez，TheEmergenceof PersonalDataProtect ionasaFundamentalRight totheEU.Springer Internat ional Publishing.Sw iterland 2014.P.243.

關(guān)于信息自決權(quán)，認為科技導致數(shù)據(jù)超出計算機而廣泛存在于日常生活中的普遍性概念主張將保護法益分為客觀和主觀兩個維度，其中的客觀維度表現(xiàn)為信息以通信方式實現(xiàn)的模式是客觀價值秩序的一部分，其中的主觀維度表現(xiàn)為個人的自我決定實現(xiàn)和發(fā)展，有對于信息泄露的控制權(quán)利，因此其界定各競合性權(quán)利范圍邊界的那個“確定的點”，體現(xiàn)為“禁止數(shù)據(jù)處理，除非有許可的立法規(guī)范”。⑩Dracker t，Stefan，DieRisikenderVerarbei tungpersonenbezogenerDaten.Duncker&HumblotGmbH.Ber l in2015.S.264.允許對于大數(shù)據(jù)管理至關(guān)重要。??Wei cher t，Thi l o，BigDataundDatenschutz.ZD2013，251（255）.大數(shù)據(jù)應(yīng)用中，同意、法定授權(quán)、是否公開可獲得、數(shù)據(jù)是否加密，都是允許制度進行權(quán)衡和變革的。①Hoeren，Thomas（Hrsg.），BigDataundRecht.Ver lagC.H.BeckoHG.Ber l in2014.S.72-81.例如，在域外，對于幼兒的同意權(quán)已經(jīng)有了更為嚴格的立法，②Article 8，GDPR.法國剛通過一讀的《國內(nèi)數(shù)據(jù)保護法令》，規(guī)定父母未經(jīng)允許擅自公開子女的私生活，最重可面臨一年監(jiān)禁并處罰金4.5萬歐元。③參見陳丹：《法國禁家長網(wǎng)上“曬娃”違者要被罰款坐牢》，ht tp://news.xinhuanet.com/wor l d/2016-03/04/c_128772107.htm，2016年3月8日訪問。這便是從幼兒網(wǎng)絡(luò)隱私權(quán)角度進行的限制。對于具有附屬關(guān)系、雙方力量對比懸殊情形下的同意制度應(yīng)作特別處理。④Hoeren，Thomas（Hrsg.），BigDataundRecht.Ver l agC.H.BeckoHG.Ber l in2014.S.74.與此類似，對于如基本需求供應(yīng)（交通、電力）、醫(yī)療健康行業(yè)（基因篩查、癌癥生物信息數(shù)據(jù)庫等）等商業(yè)領(lǐng)域的數(shù)據(jù)處理是否應(yīng)特別關(guān)注，也是需要探討的。

3.靜態(tài)與動態(tài)視角

大數(shù)據(jù)時代的海量數(shù)據(jù)具有動態(tài)價值，對一系列的數(shù)據(jù)收集、存儲、挖掘和應(yīng)用能體現(xiàn)出巨大的政治、經(jīng)濟、軍事、生活價值。這種數(shù)據(jù)處理過程中，可能侵害到宏觀的整體數(shù)據(jù)環(huán)境與微觀的個人數(shù)據(jù)權(quán)利，也可能侵害到主觀與客觀方面的個人法益。此外，從時間上看，使用數(shù)字傳輸設(shè)備使得遠程通信失去了“消逝性”，具有“持續(xù)可追尋”，⑤BVer fGUr tei lvom2.3.2006，2BvR2099/04=BVer fG115，166.從而會產(chǎn)生信息永久性的危險。

從法律制度層面衡量，數(shù)據(jù)保護制度中具體權(quán)利義務(wù)的構(gòu)建，實際上是大數(shù)據(jù)的技術(shù)變革進步與公民個人信息保護之間的一種微妙的平衡，所尋求的保護點是大數(shù)據(jù)中個人對信息控制和支配權(quán)利的關(guān)節(jié)點。⑥同前注?，李源粒文。歐盟202 2年數(shù)據(jù)改革立法框架中提出了“被遺忘權(quán)”，⑦Ar tic le17，GDPR.谷歌已在歐洲搜索中實施這種“被遺忘權(quán)”。⑧參見佚名：《谷歌下周在所有歐洲搜索結(jié)果中實施“被遺忘權(quán)”》，ht tp://tech.163.com/16/0305/14/BHDD1C5300094OE0.html，2016年3月8日訪問。這些是歐洲數(shù)據(jù)保護在制度體系上的有益嘗試。

（二）大數(shù)據(jù)危險的不確定性

衡量信息價值的復雜性提出了大數(shù)據(jù)危險的不特定性難題。數(shù)據(jù)危險主要體現(xiàn)在三個方面，所涉及的分析路徑主要是數(shù)據(jù)的個體層面、主觀維度和動態(tài)視角。

在數(shù)據(jù)監(jiān)控方面，數(shù)據(jù)敏感度是衡量數(shù)據(jù)侵害強度的標準之一。Kennzeichenerfassung案的判決認為，從信息自決權(quán)的框架下應(yīng)當可以引出前置保護特征，即對于行為自由和隱私的保護應(yīng)當建立“個人危險的分級”。對于強度標準的確定，可以參照與個人的相關(guān)度、歸屬性和秘密性。⑨BVer fGUr tei lvom11.3.2008，1BvR2074/05，2074/07，BVer fGE120，378.我國2023年2月1日起實施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中區(qū)分了個人信息在與主體關(guān)聯(lián)度上的不同層次。該指南第3.2條規(guī)定，個人信息可以分為個人敏感信息和個人一般信息。該指南第3.7條規(guī)定，個人敏感信息是指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。德國《數(shù)據(jù)保護法》第3條規(guī)定了特殊種類的個人數(shù)據(jù)，是指有關(guān)民族和種族出身、政治主張、宗教或哲學信念、黨派、健康或者性生活的說明。

除了敏感度以外，所收集數(shù)據(jù)的數(shù)量、時間，也都是稱量數(shù)據(jù)侵害強度的標準。歐盟法院在2014年判決數(shù)據(jù)存儲指令無效，⑩2006/24/EC，OJL105，13.4.2006，p.54-63.理由是它“包含了大范圍的和尤其嚴重的，對尊重私人生活和保護個人數(shù)據(jù)的基本權(quán)利的侵犯，并且沒有對此種干擾進行極其必要的限制”。①Court of Justice of the European Union， Judgment in Joined Cases C-293/12 and C-594/12.該判決采用的就是數(shù)量強度標準。強度標準是與個人數(shù)據(jù)（公民個人信息）概念中的“可識別性”以及數(shù)據(jù)應(yīng)用中的“目標”緊密相關(guān)的。

在數(shù)據(jù)處理方面，數(shù)據(jù)處理過程是將數(shù)據(jù)整合，并從中挖掘信息的過程；從功能上看，這一過程在某些情形下可以等同于對數(shù)據(jù)的侵害。Kennzeichenerfassung案的判決認為，將個人信息放置在一起，同更多的信息聯(lián)系起來，構(gòu)成了一種對潛在的個人相關(guān)領(lǐng)域的侵害可能性，其強度與制作他人隱私照片相似。②BVer fGUr tei lvom11.3.2008，1BvR2074/05，2074/07=BVer fGE120，378.同時，數(shù)據(jù)處理和數(shù)據(jù)挖掘的過程都依托于計算機信息系統(tǒng)、云計算架構(gòu)等自動化處理設(shè)備。因此，數(shù)據(jù)處理過程的危險當然也包括對信息系統(tǒng)的攻擊。

在數(shù)據(jù)應(yīng)用方面，數(shù)據(jù)的使用是指個人數(shù)據(jù)在處理操作之外的應(yīng)用，③Art. 3，Bundesdatenschutzgesetz （BDSG）.經(jīng)營者對采集到的個人數(shù)據(jù)，未經(jīng)許可進行二次開發(fā)利用或者定向強制推銷，也是個人信息濫用的方式之一。④參見胡其峰：《大數(shù)據(jù)時代更要保護個人信息》，《光明日報》2024年3月7日第7版。此外，經(jīng)營者還可能將經(jīng)營活動中掌握的個人信息進行買賣而獲取非法利益，或者利用非法收集到的消費者個人信息實施詐騙。⑤參見鄧杰：《大數(shù)據(jù)時代更要保護個人信息》，《光明日報》2024年3月7日第7版。另外就是，以定位廣告（retargeted advertising）的方式進行騷擾，而且暫時沒有惡意利用的企業(yè)往后也可能會實施這種行為。目前，地下數(shù)據(jù)產(chǎn)業(yè)鏈已經(jīng)漸漸形成，包括金融賬號數(shù)據(jù)、電商訂單數(shù)據(jù)、考試培訓班數(shù)據(jù)、身份信息數(shù)據(jù)等，經(jīng)過專門“數(shù)據(jù)掮客”的拼湊和再加工，被轉(zhuǎn)售用于其他非法活動，或者直接用來進行詐騙。⑥參見佚名：《探秘國內(nèi)地下數(shù)據(jù)交易內(nèi)幕》，h t t p://www.duoyun.io/news/6838，2016年5月3日訪問。從大的動態(tài)過程上看，數(shù)據(jù)危險包含數(shù)據(jù)收集—數(shù)據(jù)處理—數(shù)據(jù)使用三個階段的總體危險。

（三）數(shù)據(jù)支配權(quán)限利益沖突：數(shù)據(jù)獲取主體、持有主體、請求主體與數(shù)據(jù)對象的交錯關(guān)系

從現(xiàn)實中數(shù)據(jù)的基本問題來看，數(shù)據(jù)支配權(quán)限利益沖突主要體現(xiàn)為操作上的數(shù)據(jù)對象和對數(shù)據(jù)有支配權(quán)限主體之間的分離和疊合，并由此導致數(shù)據(jù)權(quán)利的沖突。

在數(shù)據(jù)支配權(quán)利方面，公司對于用戶數(shù)據(jù)的巨大利益通過版權(quán)、數(shù)據(jù)庫所有權(quán)制度來保護。但是，公司數(shù)據(jù)資產(chǎn)產(chǎn)生于每個網(wǎng)絡(luò)用戶或產(chǎn)品用戶的數(shù)據(jù)，公司對數(shù)據(jù)的支配權(quán)和個人對數(shù)據(jù)信息的決定權(quán)之間，有相當大的沖突。這種沖突如何權(quán)衡，實質(zhì)涉及大數(shù)據(jù)“金礦”的經(jīng)濟利益分配原則。對于企業(yè)與雇員間的數(shù)據(jù)處理權(quán)限分配有數(shù)據(jù)存儲載體性質(zhì)理論和腳本文檔理論兩種.⑦Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.K.BeckoHG.2013.S.55-56.前者認為凡是由雇主提供的數(shù)據(jù)存儲載體上的所有數(shù)據(jù)都歸雇主所有，而后者認為最原始的腳本文檔歸雇主所有，反之歸雇員。⑧Wegener，Chr istoph/Heidr ich，Joerg，SichereDatenwolkenCloudComput ingundDatenschutz.MMR2010，803.在大數(shù)據(jù)時代，數(shù)據(jù)加密、數(shù)據(jù)合同、數(shù)據(jù)存儲與處理匿名化和數(shù)據(jù)內(nèi)容的分離、數(shù)據(jù)與個人的關(guān)聯(lián)度（敏感性、獨特性）、數(shù)據(jù)作為公共物品的產(chǎn)權(quán)界定最優(yōu)化制度選擇等，都應(yīng)當成為新的數(shù)據(jù)經(jīng)濟利益分配的考慮因素。版權(quán)和原有的數(shù)據(jù)支配權(quán)限界定應(yīng)當考慮調(diào)整。

在數(shù)據(jù)披露制度方面，公司和運營商掌握的數(shù)據(jù)財產(chǎn)支配權(quán)利受到國家刑事偵查和調(diào)查取證制度的約束，因為涉及用戶的個人數(shù)據(jù)，所以三方主體的不同訴求于此交織在一起。遠程通信和網(wǎng)絡(luò)調(diào)查中，確認行為人身份和對其進行追蹤是首要的。在有關(guān)機關(guān)調(diào)查中，服務(wù)商提供合同數(shù)據(jù)的義務(wù)對于網(wǎng)絡(luò)刑事追訴十分重要；⑨Art.17，Art.18，ConventiononCybercrime，CETSNo.185.對接入數(shù)據(jù)（P IN，PUK，密碼）的獲取和解密應(yīng)當與對密碼數(shù)據(jù)的保護和數(shù)據(jù)終端密碼的保護相平衡。①Sieber，Ul rich，St raf tatenundSt rafver folgungimInternet.Ver lagC.K.BeckMünchen.2012.S.117-119.這里所體現(xiàn)的利益沖突，是作為數(shù)據(jù)持有主體的公司與作為數(shù)據(jù)請求主體的國家機關(guān)之間的交錯關(guān)系；同時，因為數(shù)據(jù)根本上是從作為數(shù)據(jù)獲取主體的個人（公司用戶）處產(chǎn)生的，所以個人同樣間接地被卷入此種復雜情景之中。美國蘋果公司以“構(gòu)成危險的權(quán)力”和對數(shù)字時代的個人隱私造成“災(zāi)難性影響”為理由，正式回應(yīng)一名美國聯(lián)邦法官所作的裁決，拒絕協(xié)助美國聯(lián)邦調(diào)查局解除加州強奸殺人案中涉案智能手機的開機密碼。②參見徐勇：《蘋果正式回應(yīng)法官拒絕“解鎖”涉案手機》，ht tp://www.hxnews.com/news/gj/gj xw/201602/26/828508.shtml，2016年3月8日訪問。此案集中體現(xiàn)了這種三方關(guān)系通過制度予以規(guī)范的必要性。若再考慮到跨國性的數(shù)據(jù)披露制度問題，這種情況會更為復雜。

除了上述公司與個人、公司與國家機構(gòu)的數(shù)據(jù)權(quán)利沖突之外，在“個人”層面上仍存在大數(shù)據(jù)的沖突關(guān)系。大數(shù)據(jù)隱私有公共產(chǎn)品特性，對個人私有信息不加關(guān)心有負外部性效果，因為大數(shù)據(jù)的碎片關(guān)聯(lián)與發(fā)掘能力，會導致社會維度上隱私的集體協(xié)作困境。③Fair f ield，HoshuaA.T./Engel，Christoph，PrivacyasaPubl icGood.2014Conference“t ransat lanticdiglogueonsurvei l lance methods”.這屬于數(shù)據(jù)的公共物品屬性難題。

二、網(wǎng)絡(luò)刑法、傳統(tǒng)刑法的體系契合與時代轉(zhuǎn)型——數(shù)據(jù)犯罪特征的刑法類型化

刑法作為最為嚴厲的制裁手段，具有謙抑性、片段性。因此在大數(shù)據(jù)時代，數(shù)據(jù)相關(guān)法律制度與刑法體系的制度銜接中，立法者需要尤為謹慎，在危險與法益保護的權(quán)衡之間做精細把握。

（一）作為刑法規(guī)范的本質(zhì)特征：“法益侵害危險+危險的規(guī)范化”

德國學者指出，網(wǎng)絡(luò)犯罪的特有屬性與傳統(tǒng)法律的根本特征是“完全對立”的。④同前注⑦，烏爾里希·齊白書，第305頁。刑法學者需要考慮的是，如何在這種對立之下，盡可能地尋求法律體系的完整性、穩(wěn)定性，以應(yīng)對數(shù)據(jù)技術(shù)性和危險性所帶來的沖擊。

1.以憲法引導出的法益概念為基礎(chǔ)

刑法的法益以憲法為基礎(chǔ)，刑法所保護的法益是從憲法中引導而出的，其產(chǎn)生于憲法中所載明的建立在個人自由基礎(chǔ)上的法治國家任務(wù)，這個任務(wù)為國家的刑罰權(quán)界定了邊界。這種基于憲法的法益概念是，在以個人及其自由發(fā)展為目標進行建設(shè)的社會整體制度范圍之內(nèi)，有益于個人及其自由發(fā)展的，或者是有益于這個制度本身功能的一種現(xiàn)實或目標設(shè)定。⑤［德］克勞斯·羅克辛：《德國刑法總論（第1卷）》，王世洲譯，法律出版社2005年版，第15頁。在網(wǎng)絡(luò)時代，刑法規(guī)范的解釋、修改或者新增，都應(yīng)當以憲法基礎(chǔ)上的法益保護為正當性基礎(chǔ)和刑罰權(quán)邊界。刑法規(guī)范的內(nèi)容，應(yīng)當在此目標的指引之下，針對信息的特征作出調(diào)整，確定具體的刑法規(guī)范?？萍歼M步表明，具有社會危害可能性的新技術(shù)不能完全為現(xiàn)有刑法所規(guī)范。建立在合乎憲法的價值秩序基礎(chǔ)之上的刑法目標是，通過對法益的保護來確保公共福利和法秩序和平，在新技術(shù)環(huán)境下依據(jù)報應(yīng)和預防理論實現(xiàn)其保護目的。⑥Jones，Chiristopher，Mobi leinternet f?higeGer?teimSt raf recht.LogosVer lag.Ber l in2014.S.62-63.

以德國為例，大數(shù)據(jù)危險的憲法法益基礎(chǔ)，主要可以歸于人的尊嚴，⑦Art1，GrundgesetzfürdieBundesrepublikDeutschland（GG）.人的自由和發(fā)展，⑧Ar t2，GG.通信、郵政和電信秘密，⑨Ar t10，GG.住宅不受侵犯幾個條文。⑩Ar t13，GG.這些對憲法法益的危險，構(gòu)成了相關(guān)刑法法益保護的基礎(chǔ)，確立了刑法規(guī)范的保護目標。因為目標是實定法的解釋和合法化標準，而又不同于所屬實定法的內(nèi)容，所以教義學的任務(wù)是將刑法規(guī)范固定下來，以確保其形式規(guī)范同時也具備適當?shù)呢熑位A(chǔ)。①Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t tot ioKlostermannGmbH.Frankfur tamMain1989.S.14.

刑法對大數(shù)據(jù)危險的規(guī)范確定，是將危險規(guī)范化的過程。刑法規(guī)范是受限于語詞表述的思維的實體，有三種不同的效力條件，即規(guī)范的信息、規(guī)范的實際構(gòu)造（即合法性）和規(guī)范的效用分析。其中，刑法規(guī)范的效用功能與規(guī)范目標是不同的，需要加以區(qū)分。刑法規(guī)范的效力并不是規(guī)范合法性的標準。②Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t tot ioKlostermannGmbH.Frankfur tamMain1989.S.133-135.將現(xiàn)實的刑法法益以規(guī)范的形式確定下來，需要該規(guī)范既遵循法益保護的規(guī)范目標以滿足合法性要求，又以恰當?shù)恼Z詞形式確定規(guī)范的責任違反內(nèi)容。這需要選擇法益保護目標與刑法構(gòu)成要件條文的恰當節(jié)點。對于大數(shù)據(jù)時代的數(shù)據(jù)犯罪危險來說，則是應(yīng)當確定數(shù)據(jù)危險所造成的法益侵害與傳統(tǒng)刑法體系之間在刑法規(guī)范層面的恰當?shù)摹扒度朦c”。

從根本上看，需要將數(shù)據(jù)危險具體化到法益侵害實質(zhì)特征上，再以此為基礎(chǔ)尋求刑法體系中構(gòu)成要件的類型化。例如，德國的Caroline案判決認同了依據(jù)自己對于圖像權(quán)利的公開權(quán)限，將保證私人空間作為對整體性個人權(quán)利的具體化，認為保護需求來源于個人在特定情境中所產(chǎn)生的表現(xiàn)形象之可能性，并將此在個人空間以數(shù)據(jù)形式固定下來。其關(guān)注的是信息的構(gòu)建性價值，是個人“公開性形式”。③BVer fGUr tei lvom15.12.1999，1BvR653/96=BVer fG101，361.這同數(shù)據(jù)犯罪中的非法獲取行為所保護的“非公開數(shù)據(jù)”形成了實質(zhì)上的契合點，通過將人的尊嚴、自由和發(fā)展等基本權(quán)利法益進一步細化和深化，確定侵害的實質(zhì)特征，從而得以將侵害行為進一步規(guī)范化和類型化。因此，將整體性的大數(shù)據(jù)危險不斷剖析和具體化，從而提煉出權(quán)利侵害本質(zhì)特征，是尋求危險規(guī)范化的正確路徑。

從主體上看，公司（如臉書等社交網(wǎng)絡(luò)、百度等搜索平臺、亞馬遜等購物平臺）已經(jīng)成為相當重要的數(shù)據(jù)持有主體，在數(shù)據(jù)犯罪中，依憲法引出的法益保護必要，需要進一步考慮主體問題，因為憲法中的相關(guān)法益都具有特定的內(nèi)涵，而私人數(shù)據(jù)處理的危險并不包括在內(nèi)。就此，Hoffmann-Reim主張，現(xiàn)在來自私人領(lǐng)域的危險已經(jīng)超過了對由國家管理產(chǎn)生危險的容忍，因此可以通過將數(shù)據(jù)保護的新領(lǐng)域與其他危險增加的社會領(lǐng)域相比較，從而使私人領(lǐng)域承擔和國家相同的保護等級。信息自決權(quán)領(lǐng)域的基本法已經(jīng)實現(xiàn)了由保護不受國家侵害轉(zhuǎn)向了對多維度和多極化的信息社會通信發(fā)展保護的要素。④Dracker t，Stefan，DieRisikenderVerarbei tungpersonenbezogenerDaten.Duncker&HumblotGmbH.Ber l in2015.S.176-177.這些私人領(lǐng)域的公司已經(jīng)形成了強大的獨立力量和自治體系。⑤Jones，Chiristopher，Mobi leinternet f?higeGer?teimSt rafrecht.LogosVer lag.Ber l in2014.S.67.德國《數(shù)據(jù)保護法》第28條就商業(yè)性用途的個人數(shù)據(jù)處理和存儲做了相應(yīng)規(guī)范；根據(jù)該法第43條和第44條，違反商業(yè)性用途的具體規(guī)定而對數(shù)據(jù)的廣告、市場調(diào)查等處理與使用行為，都應(yīng)當承擔刑事責任。

2.因違反數(shù)據(jù)保護制度所產(chǎn)生危險的規(guī)范化

大數(shù)據(jù)所產(chǎn)生的刑法危險較之于傳統(tǒng)刑法的危險更為復雜，這些侵害刑法法益的危險都具有不確定的特征。需要先確定大數(shù)據(jù)危險的條件和特征，以尋求進一步的刑法規(guī)范化。

“不確定性”本來就是規(guī)范的危險概念的應(yīng)有內(nèi)涵。Horn在描述具體危險概念時，就將“法益侵害結(jié)果不發(fā)生的理由無法得到說明”作為危險的本質(zhì)特征。⑥Horn，Eckhard，KonkreteGef?hrdungsdel ikte.Ver lagDr.Ot toSchmidtKG.K?ln1973.S.115.K i n d h?u s e r則認為具體危險是對于確定存在的震動（Erschütterung der Gew i?heit），是對于法益安全的無能力（Unf?higkeit），進而損害作為保證個人自由發(fā)展手段的法益價值。①Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t totioKlostermannGmbH.Frankfur tamMain1989.S.132.危險之所以危險，往往是來自于對現(xiàn)實世界的難以掌握。②黃榮堅：《刑罰的極限》，元照出版社1999年版（臺北），第232頁。盡管傳統(tǒng)刑法理論已涉及不確定性問題，但大數(shù)據(jù)技術(shù)還是為數(shù)據(jù)犯罪危險的規(guī)范化帶來了特別的困難。大數(shù)據(jù)危險侵害中有相當大的部分屬于行為對象（數(shù)據(jù)）與保護法益（從憲法中引導出的法益概念）相分離的情形。從本質(zhì)上說，體現(xiàn)在規(guī)范中的“嵌入點”特征，在規(guī)范中是以數(shù)據(jù)形式確定的，然而，其法益基礎(chǔ)則是與公民個人相關(guān)的基本權(quán)利。因此刑法規(guī)范的目的可能不是對數(shù)據(jù)自身效力的保證，對規(guī)范自身效力的保證可能僅僅是為了保護其他規(guī)范的目標。③Kindh?user，Urs，Gef?hrdungalsSt raf recht.Vi t totioKlostermannGmbH.Frankfur tamMain1989.S.132.這是一種間接的規(guī)范化路徑。

同時，數(shù)字個人（e-p e r s o n）的概念已被提出，④Leary，MaryGraw，TheThi rdDimensionof Vict imizat ion.State-JournalofCriminal Law2016，Vol.13:1（2016）.這需要以個人數(shù)據(jù)直接作為新的保護法益，從而采取一種直接的規(guī)范化路徑。其所體現(xiàn)出的解決思路是試圖直接以個人數(shù)據(jù)為出發(fā)點，發(fā)展出直接圍繞數(shù)字個人的法益體系，將個人數(shù)據(jù)直接作為行為對象、將對個人數(shù)據(jù)的分割直接作為法益侵害實質(zhì)，實現(xiàn)規(guī)范目標和規(guī)范效力的統(tǒng)一。對于身份盜竊的犯罪化就是這一直接路徑的體現(xiàn)。

此外，數(shù)據(jù)內(nèi)涵復雜，數(shù)據(jù)侵害行為建立在以信息權(quán)利為依據(jù)的數(shù)據(jù)保護制度之上，對于嚴重侵害個人數(shù)據(jù)的行為，應(yīng)當以刑法進行處罰，此處則涉及刑法與數(shù)據(jù)保護法律制度的關(guān)系。

（二）作為犯罪對象的數(shù)據(jù)：“數(shù)字技術(shù)特征+非物質(zhì)法益本質(zhì)”

大數(shù)據(jù)時代的數(shù)據(jù)有兩個方面的特征，一是依托于數(shù)字信息技術(shù)和網(wǎng)絡(luò)通信技術(shù)等現(xiàn)代科技手段，即數(shù)字技術(shù)特征；二是其本質(zhì)為信息，具有非物質(zhì)性特征。分別從這兩個側(cè)面入手，可以提煉不同的規(guī)范化特征，得出電腦特質(zhì)論和信息論兩種不同的類型化途徑。由此可見，建立在信息自決權(quán)之上的基本權(quán)利和建立在信息系統(tǒng)可靠性和完整性之上的基本權(quán)利之間（即IT-Grundrecht）是有重迭的，此處涉及刑法中數(shù)據(jù)法益概念構(gòu)建的兩種路徑。

1.依電腦特質(zhì)論的擴張

在計算機通信領(lǐng)域所強調(diào)的是通過具體的技術(shù)對信息進行作用，以技術(shù)對廣義的信息做限定。信息技術(shù)是指在計算機和通信技術(shù)支持下，用以獲取、加工、存儲、變換、顯示和傳輸電腦中各種形式的信息，包括提供設(shè)備和信息服務(wù)兩大方面的方法與設(shè)備的總稱，其概念本質(zhì)是“技術(shù)”。⑤王景中、徐小青編：《計算機通信信息安全技術(shù)》，清華大學出版社2006年版，第3-4頁。而數(shù)據(jù)就是可以輸入到計算機并由計算機處理的對象，⑥許洪杰、李志玲、鄭敏編：《計算機應(yīng)用基礎(chǔ)教程》，清華大學出版社2006年，第4頁。信息時代的數(shù)據(jù)泛指一切保存在電腦中的信息，包括文本、圖片、視頻等，也是信息的代名詞。⑦參見涂子沛：《數(shù)據(jù)之巔》，中信出版社2024年版，第256-257頁。因此，計算機信息系統(tǒng)犯罪中的數(shù)據(jù)和信息，都是以技術(shù)性作為限定的，這里的數(shù)據(jù)和信息不但具有同質(zhì)性，在形式上也都表現(xiàn)為計算機信息系統(tǒng)的技術(shù)處理對象。所以，刑法中所保護的法益是計算機信息系統(tǒng)安全，具體是指確保以電磁信號為主要形式的、在計算機網(wǎng)絡(luò)化系統(tǒng)中進行獲取、處理、存儲、傳輸和利用的信息內(nèi)容，在各個物理位置、邏輯區(qū)域、存儲和傳輸介質(zhì)中，都具備機密性、完整性、可用性、可審查性和不可否認性，這些信息內(nèi)容與人、通信網(wǎng)絡(luò)、環(huán)境有關(guān)的技術(shù)和管理規(guī)程形成有機集合。⑧同前注⑤，王景中、徐小青編書，第5-6頁。在本質(zhì)上，刑法中所應(yīng)保護的虛擬法益，就是要通過信息系統(tǒng)安全的技術(shù)限定性，來保障該領(lǐng)域的信息安全，二者密切相關(guān)，但各自獨立。

德國《刑法》將計算機犯罪分為三種，即第202a條、第202b條的電腦間諜，第303a條的電腦破壞，以及新增的針對嚴重的電腦破壞加重處罰的第303b條，此外還選取了詐騙和偽造兩種傳統(tǒng)犯罪，專門針對電腦操縱行為進行了類型化，來規(guī)范電腦操縱行為中類似傳統(tǒng)上刑法規(guī)定所調(diào)整的行為卻無法以傳統(tǒng)的規(guī)定加以規(guī)范的新型法益侵害行為。至于所謂的使用盜竊則是“未經(jīng)授權(quán)的電腦使用”，被置于對電腦硬件的侵害類型下。①seeSieber，Ul r ich，Informat ionstechnologieundSt raf rechtsref orm.Car lHermannsVer lagKG.K?lnBer l inBonnMünchen2985.這基本與歐盟2002年網(wǎng)絡(luò)犯罪公約和歐盟框架決議的規(guī)定一致。②OJC203E，27.8.2002，p.109-113.我國臺灣地區(qū)學者從電腦特質(zhì)的電腦犯罪基本原理出發(fā)，對上述分類進行分析，認為可以將電腦犯罪分為：（A）非法進入；（B）窺視、機能干擾、破壞軟件或硬件機能、復制軟件、不合理操作電腦等行徑；（C）與脫離該電腦或電腦系統(tǒng)后所為泄露或販賣咨詢、獲取財物或不法利益、宣傳或散布咨詢等。據(jù)此，電腦操縱包含（A）和（B），電腦間諜包含（A）、（B）和（C），電腦破壞指（A）和（B）。③李茂生：《權(quán)力、主體與刑事法——法邊緣的論述》，翰蘆圖書出版有限公司1998年版，第183頁。筆者將此種觀點稱為電腦特質(zhì)論，其重點在于將計算機自動化處理特征納入傳統(tǒng)刑法構(gòu)成要件中。

由于大數(shù)據(jù)是傳統(tǒng)方式所不能處理的海量數(shù)據(jù)，依附現(xiàn)有技術(shù)定義下的“數(shù)據(jù)”概念則有涵蓋不足的困擾。例如物聯(lián)網(wǎng)廣泛采用的RFID電子標簽，與應(yīng)用系統(tǒng)間的數(shù)據(jù)傳遞本質(zhì)上是一種有發(fā)送數(shù)據(jù)的信號發(fā)射，信號發(fā)射中有數(shù)據(jù)交換，但呼叫中接收方是不確定的，也不是非公開的。在刑法上的“傳輸數(shù)據(jù)”概念中，數(shù)據(jù)傳輸是有目的性的、非公開的、僅發(fā)送者和接受者有支配權(quán)利。④Jones，Chrisropher，Mobi leinternet f?higeGer?teimSt raf recht.LogosVer lagBer l in2014.S.113-114.因此RFID系統(tǒng)中由物端產(chǎn)生的數(shù)據(jù)難以解釋為“計算機信息系統(tǒng)中存儲、處理和傳輸?shù)臄?shù)據(jù)”，這種可能包含重要數(shù)據(jù)內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)（如可嵌入設(shè)備和智能醫(yī)療設(shè)備所傳輸?shù)娜梭w健康數(shù)據(jù)、移動終端的地理位置數(shù)據(jù)等）形式無法通過對現(xiàn)有“計算機信息系統(tǒng)數(shù)據(jù)”的概念和對“計算機信息系統(tǒng)”的擴張解釋納入刑法保護之中。

其實，傳統(tǒng)的網(wǎng)絡(luò)犯罪的核心范疇僅包括對數(shù)據(jù)和系統(tǒng)的犯罪，考慮到電腦特質(zhì)的犯罪學特征，在將其規(guī)范化納入刑法體系之時，德國和歐盟的路徑則是直接深入到“數(shù)據(jù)”和“系統(tǒng)”這兩個嵌入點上，其犯罪化路徑是將對數(shù)據(jù)、對系統(tǒng)的侵害行為的實質(zhì)，與傳統(tǒng)構(gòu)成要件的規(guī)范目標和規(guī)范特征相對應(yīng)，形成信息技術(shù)犯罪的新的規(guī)范。

2.向信息論的轉(zhuǎn)向

在大數(shù)據(jù)時代，信息技術(shù)犯罪與傳統(tǒng)刑法的體系性契合尤為困難，因為傳統(tǒng)的法律體系多是以物質(zhì)、能量為基本概念建立起來的，例如刑法中對于財產(chǎn)的保護，盜竊、搶奪、侵占等行為方式都不適用于信息。對于數(shù)據(jù)，應(yīng)當針對其信息本質(zhì)，設(shè)定直接針對數(shù)據(jù)特征、以信息基本原理為依據(jù)（筆者于本文中稱之為信息論）的數(shù)據(jù)犯罪基本行為規(guī)范。

計算機和網(wǎng)絡(luò)安全是新增的抽象法益保護類型，其對應(yīng)的傳統(tǒng)法益是對其進行刑事處罰的根本依據(jù)，因此限定刑法規(guī)范的虛擬法益的法益保護本質(zhì)就是至關(guān)重要的。從信息系統(tǒng)安全的專業(yè)領(lǐng)域來看，就其信息系統(tǒng)安全的內(nèi)涵而言，保證信息內(nèi)容的機密性是基本和首要目標之一。同時，動態(tài)的計算機安全指計算機的硬件、軟件和數(shù)據(jù)受到保護，系統(tǒng)連續(xù)正常運行；通信網(wǎng)絡(luò)安全的主要內(nèi)容包括網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)和數(shù)據(jù)的傳輸不受破壞、更改、泄露，系統(tǒng)連續(xù)可靠地正常運行，網(wǎng)絡(luò)服務(wù)不中斷。⑤參見王景中、徐小青：《計算機通信信息安全技術(shù)》，清華大學出版社2006年版，第4-6頁。由此可見，信息系統(tǒng)安全是一個多維度、多層次、多因素、多目標的體系，計算機和網(wǎng)絡(luò)虛擬法益應(yīng)當包括三個方面：信息內(nèi)容安全（數(shù)據(jù)）、信息技術(shù)處理安全（計算機信息系統(tǒng)功能）和作為計算機網(wǎng)絡(luò)中信息傳輸子系統(tǒng)的通信網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全）。我國的計算機犯罪則是以技術(shù)限定性為中心而不是以信息內(nèi)容安全為中心的立法，甚至某種程度上，技術(shù)限定性被繼續(xù)限定在特定系統(tǒng)的應(yīng)用目標和應(yīng)用主體上，信息內(nèi)容安全則更很大程度上被忽略了，由此，在虛擬法益的類型化以及與傳統(tǒng)刑法的嵌入上存在一定的偏離和斷裂，立法者應(yīng)當做出思路上的調(diào)整。

我國刑法對信息內(nèi)容安全欠缺類型化，即對于數(shù)據(jù)犯罪缺少基本行為規(guī)范的類型化。將刑法保護的重點法益放在計算機信息系統(tǒng)功能和通信安全上，使數(shù)據(jù)法益的類型化缺少一個重要的維度。

圍繞信息概念，計算機信息系統(tǒng)安全可以從如下維度來理解。信息是指信號的傳達，是通過編碼實現(xiàn)的物理世界到信號的邏輯轉(zhuǎn)換。信息的應(yīng)用性含義包括三方面，即作為進程的信息（Information als Vorgang）、作為內(nèi)容的信息（Information als Inhalte）、作為狀態(tài)的信息（Information als Zust a n d）。①Druey，JeanNi co las，In format ional sGegens tanddesRecht s.Schul tesPol ygraphischerVer l agAG.Zür ich1995.S.6-9；K loepfer，M ichael，Informationsrecht.Verlag C.H.Beck oHG.2002.S.25.具體到計算機犯罪中的數(shù)據(jù)，其是指通過符號或者連續(xù)函數(shù)表達的信息，經(jīng)過編碼作為數(shù)據(jù)處理設(shè)備的對象或工具，或數(shù)據(jù)處理進程的結(jié)果，②Len c kne r/Ei se l e i n Sc h?nke-Sch r?de r§202aRn.3.因此在這一部分，信息的概念主要是以二進制的信息系統(tǒng)數(shù)據(jù)為形式的，這一部分的信息更多是強調(diào)其作為第三種存在形式的本質(zhì)，具體的對象則用數(shù)據(jù)概念表達。這一概念適用于各種計算機犯罪刑法條款規(guī)定的數(shù)據(jù)。③例如，德國《刑法》第20 2 b條、第20 2 d條、第303 a條、第303 b條等幾個條文中都明確，其中數(shù)據(jù)的概念與該法第20 2 a條中所使用的數(shù)據(jù)概念是相同的，由此形成一個統(tǒng)一的以基本數(shù)據(jù)概念為核心的體系。對于大數(shù)據(jù)時代的數(shù)據(jù)犯罪體系，應(yīng)當獨立以信息論為基礎(chǔ)建立數(shù)據(jù)犯罪體系，實現(xiàn)由電腦特質(zhì)論向信息論的轉(zhuǎn)向。

計算機數(shù)據(jù)犯罪在數(shù)據(jù)應(yīng)用性層面主要應(yīng)設(shè)立兩種類型的行為規(guī)范，以直接保護非物質(zhì)和非能量的、本質(zhì)為信息的計算機數(shù)據(jù)。我國《刑法》第285條規(guī)定的非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，即確定了這兩種基本行為方式：非法侵入（非法數(shù)據(jù)訪問）、非法獲取數(shù)據(jù)。這兩種基本行為方式分別對應(yīng)于數(shù)據(jù)支配權(quán)限、數(shù)據(jù)知悉狀態(tài)的本質(zhì)特征。對于數(shù)據(jù)的保護，實際上應(yīng)當是對于這里所體現(xiàn)的信息安全基本特征的保護。保護數(shù)據(jù)安全應(yīng)當著眼于其自身的本質(zhì)特征，而不應(yīng)當為一時的技術(shù)條件所限定。這樣，在面臨大數(shù)據(jù)的沖擊時，才能從作為數(shù)據(jù)本質(zhì)的信息論出發(fā)，適應(yīng)于新的數(shù)據(jù)保護現(xiàn)實需求，而不因技術(shù)更新?lián)Q代而滯后。

（1）非法侵入

非法侵入破壞了訪問控制的信息安全技術(shù)，其侵害的是數(shù)據(jù)的支配權(quán)限。數(shù)據(jù)是指在計算機信息系統(tǒng)中實際處理的一切文字、符號、聲音、圖像等內(nèi)容有意義的組合，應(yīng)用程序是指用戶使用數(shù)據(jù)庫的一種方式，是用戶按數(shù)據(jù)庫授予的子模式的邏輯結(jié)構(gòu)，書寫對數(shù)據(jù)庫操作和運算的程序。④陳興良：《規(guī)范刑法學》，中國人民大學出版社2008年版，第824頁。德國《刑法》第202a條規(guī)定了數(shù)據(jù)探竊罪。主流觀點認為，該條系保護數(shù)據(jù)內(nèi)容的支配權(quán)限，通過保護文檔秘密來保護數(shù)據(jù)安全。⑤Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.H.BeckoHG.2013.S.33.這種數(shù)據(jù)的思維性內(nèi)容與數(shù)據(jù)載體的財產(chǎn)所有關(guān)系是不相關(guān)的，而是僅憑對數(shù)據(jù)的支配權(quán)限來確定誰有權(quán)訪問數(shù)據(jù)。⑥Lackner/Kühl 202a Rn.1；Lenckner/Eisele in Sch?nke/Schr?der 202a Rn 1.該條處罰行為人違反對非法訪問進行控制的特別安全措施，訪問不屬于其的數(shù)據(jù)的行為。德國法所設(shè)的該罪名是德國首次對數(shù)據(jù)網(wǎng)絡(luò)犯罪進行規(guī)范，保護的法益是數(shù)據(jù)的處理權(quán)限。⑦Hilgendorf， Eric/ Valerius， Brian， Computer- und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 161.

我國《刑法》第285條雖然規(guī)定了非法侵入（非法數(shù)據(jù)訪問）的基本行為，但是又進一步將對數(shù)據(jù)的侵害行為限定在對數(shù)據(jù)進行處理的信息系統(tǒng)之內(nèi)，并且將這種過程視為一種刑罰前置化的手段，所以又再進一步對信息系統(tǒng)做了限定，即僅限于“國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域”的信息系統(tǒng)。實際上，這是沒有單獨以數(shù)據(jù)、信息系統(tǒng)的應(yīng)用層面信息安全作為保護法益對象，甚至也沒有以信息系統(tǒng)的網(wǎng)絡(luò)安全作為單獨的虛擬法益保護對象，而是層層嵌套、層層限定。這種不正確的嵌入思路看似重點保護了重要的計算機信息系統(tǒng)，但實際上會因錯誤的嵌入點選擇形成對數(shù)據(jù)和國家法益兩方面保護的缺憾。一方面，從數(shù)據(jù)保護缺漏來說，計算機數(shù)據(jù)犯罪已經(jīng)成為全球共同面對的新型犯罪，不以數(shù)據(jù)法益、虛擬技術(shù)法益為保護目標而構(gòu)建的計算機數(shù)據(jù)刑法體系，難免存在法益保護遺漏。另一方面，對數(shù)據(jù)的非法訪問可能造成的其他個人隱私、商業(yè)秘密泄露，刑法并沒有如對國家法益一般，分別以列舉式的條文一一犯罪化，那么這些領(lǐng)域的計算機數(shù)據(jù)犯罪都在刑法調(diào)整范圍之外。數(shù)據(jù)已經(jīng)成為極其重要的商業(yè)資源，具有巨大的潛在經(jīng)濟價值，①參見前注②，于志剛文。同時網(wǎng)絡(luò)數(shù)據(jù)的收集和處理都可能導致個人隱私侵害，網(wǎng)絡(luò)數(shù)據(jù)與個人身份密切相關(guān)，②參見前注?，李源粒文。數(shù)據(jù)在計算機刑法保護體系中被選擇性忽略，實屬不應(yīng)。如果認為是特意突出對國家法益的保護，那么，因為我國《刑法》第285條和第286條中，并沒有再對“國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域”的信息系統(tǒng)有進一步的特別規(guī)范，只單單列舉了“侵入”這一種基本行為，對這些重要領(lǐng)域的保護則又因為欠缺其他計算機犯罪基本行為模式，反倒過于單薄。所以，我國對計算機數(shù)據(jù)，從非法訪問的侵入基本行為所規(guī)定的刑法條文，因為嵌入點沒有選在數(shù)據(jù)訪問權(quán)限上，所以在類型化上出現(xiàn)了偏差，導致保護體系不夠周延。也就是說，非法侵入行為所侵害的是特定計算機信息系統(tǒng)中的數(shù)據(jù)，對其應(yīng)當予以入罪化的技術(shù)與刑法條文的嵌入點應(yīng)當是對數(shù)據(jù)的侵害，而不是對儲存有特定數(shù)據(jù)的對應(yīng)計算機系統(tǒng)的侵害。

我國《刑法》第285條第2款的罪狀表述中，明確規(guī)定了“侵入……或采取其他技術(shù)手段，獲取……數(shù)據(jù)”。我國刑法非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的罪狀表述，采取的是“侵入+非法獲取數(shù)據(jù)”的行為規(guī)范，將兩種不同的法益侵害行為混合。2011年最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》（以下簡稱：2011年司法解釋）第1條規(guī)定，該款“情節(jié)嚴重”的情形中，針對非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的是指“獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認證信息10組以上”或“以外的身份認證信息500組以上”。這表明，我國《刑法》第285條第2款實際上確實是針對屬于個人身份驗證信息的數(shù)據(jù)，而這種數(shù)據(jù)“非法訪問”或者“非法知悉”的特征，卻沒有對應(yīng)于“非法侵入”或者“非法獲取”的數(shù)據(jù)犯罪基本行為規(guī)范。從2011年司法解釋看，該構(gòu)成要件應(yīng)當是針對公民重要數(shù)據(jù)即身份驗證信息的保護，因此其實應(yīng)當是針對作為內(nèi)容的數(shù)據(jù)的保護，而不是對通信數(shù)據(jù)的非公開性的主觀意愿侵害。尤其是金融網(wǎng)絡(luò)服務(wù)的身份驗證數(shù)據(jù)，多存儲于金融商業(yè)公司的服務(wù)器上，應(yīng)當以非法侵入、非法訪問數(shù)據(jù)作為構(gòu)成要件中的基本行為。同時，此種侵害數(shù)據(jù)權(quán)限的數(shù)據(jù)犯罪，其侵害對象為“身份驗證數(shù)據(jù)”，這顯然也屬于我國《刑法》第253條之一中的對于“公民個人信息”的保護。在兩種保護的不同側(cè)重點之間應(yīng)當如何協(xié)調(diào)，還需要以數(shù)據(jù)的特征為出發(fā)點，進行更為細致的研究。

（2）非法獲取

非法獲取數(shù)據(jù)侵害的是作為狀態(tài)的數(shù)據(jù)，即數(shù)據(jù)到信息再到知識，它們是同質(zhì)的，但存在具體的不同表現(xiàn)形式，其關(guān)注點是“是否知悉”。③Kloepfer，Michael，Informat ionsrecht.Ver lagC.H.BeckoHG.2002.S.27-28.換句話說，對數(shù)據(jù)而言，是無所謂所有或者占有的，因為其是與物質(zhì)不同的、非有形的存在；對數(shù)據(jù)的權(quán)利體現(xiàn)為特定主體知悉數(shù)據(jù)及數(shù)據(jù)所代表的訊息的權(quán)利，實際上是一種應(yīng)當“知悉”或者應(yīng)當“不知悉”的狀態(tài)；所謂的“非法獲取”，是非法改變對數(shù)據(jù)享有權(quán)利的主體所設(shè)定的數(shù)據(jù)“不知悉”狀態(tài)，即非法獲取了本應(yīng)“保密”的以計算機信息系統(tǒng)數(shù)據(jù)形式表現(xiàn)的信息。這是與侵入基本行為不同的另一種侵害數(shù)據(jù)法益的行為方式，二者對“非法”的內(nèi)涵有不同的要求，應(yīng)當區(qū)別規(guī)范。獲取數(shù)據(jù)不需要以突破安全措施為必要前提，即便是欠缺突破安全控制措施、違反數(shù)據(jù)訪問權(quán)限的“侵入行為”，也同樣能夠截取數(shù)據(jù)；反之，即便強行侵入也未必能夠非法獲取數(shù)據(jù)。因此，應(yīng)進一步明確構(gòu)成要件所意欲保護的數(shù)據(jù)的根本特征，以設(shè)置更有針對性和區(qū)分更為細致的數(shù)據(jù)犯罪構(gòu)成要件。

從上述分析可以看出，對應(yīng)用層面數(shù)據(jù)的訪問控制和保密狀態(tài)的侵害，實際上就是“電腦間諜”這種電腦犯罪類型，屬于侵害數(shù)據(jù)應(yīng)用狀態(tài)的犯罪。其主觀層面上是侵犯了特定主體對數(shù)據(jù)的支配權(quán)限，非法侵入行為更多地是側(cè)重于對這方面的侵害。其客觀層面上表現(xiàn)為破壞了數(shù)據(jù)的保密性，非法獲取行為則更多關(guān)注于此。對于“電腦間諜”，一般可類比于傳統(tǒng)刑法中侵犯隱私權(quán)、侵害通信自由和秘密的犯罪類型，以明確數(shù)據(jù)犯罪的實質(zhì)特征，并選取相應(yīng)的制裁模式。對傳輸數(shù)據(jù)的竊聽（Anzapfen）和竊取（Abh?ren），是數(shù)據(jù)遠程通信系統(tǒng)領(lǐng)域的“電腦間諜”行為，是對于信息的通訊形式（Kommun i ka t i ons f o rm）沒有權(quán)限（unbe f ug t）的竊聽和竊取。①Sieber，Ul r ich，Informat ionstechnologieundSt raf rechtsreform.Car lHermannsVer lagKG.K?lnBer l inBonnMünchen1985. S.51.此外，對于故意突破安全措施對數(shù)據(jù)處理和存儲系統(tǒng)未經(jīng)授權(quán)的動用（Zugirff），也有刑法處罰必要，因為對數(shù)據(jù)載體和計算機系統(tǒng)的邏輯安全措施（如加密或以密碼驗證為方式的控制措施）與非法獲取行為所表征的違法本質(zhì)有相通之處。②Sieber，Ul r ich，Informat ionstechnologieundSt raf rechtsreform.Car lHermannsVer lagKG.K?lnBer l inBonnMünchen1985. S.53.

數(shù)據(jù)截獲是傳統(tǒng)遠程通信方式向現(xiàn)代通信技術(shù)擴張中出現(xiàn)的行為，其保護的法益是對傳輸數(shù)據(jù)的處理有權(quán)限者的保密利益。③Hi lgendor f，Eric/Valerius，Brian，Computer-undInternetstraf recht.SpringerVer lag.Ber linHeidelburg2012.S.170.與歐盟網(wǎng)絡(luò)犯罪公約一樣，所有非公開的電子數(shù)據(jù)傳輸都包括在內(nèi)，④Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.H.BeckoHG.2013.S.44.決定是否屬于“非公開”的關(guān)鍵在于傳輸過程，與數(shù)據(jù)傳輸?shù)男问胶蛢?nèi)容無關(guān)，即數(shù)據(jù)傳輸是有特定目標的，比如電子郵件和P 2 P形式的數(shù)據(jù)傳輸。⑤Eisele，J?rg，Computer-undMedienst raf recht.Ver lagC.H.BeckoHG.2013.S.45.電子郵件地址可能涉及“關(guān)于私人生活，可認別個人身份”的資料，保護電子郵件地址可以適用“以信息的方法侵害私人數(shù)據(jù)的所有權(quán)以及使用權(quán)之一切行為”的刑法規(guī)范，屬于公民隱私保護的范圍。⑥參見于志剛，《論電子郵件的刑法定位》，《法學家》2003年第6期。

大數(shù)據(jù)時代的數(shù)據(jù)范圍和內(nèi)涵擴張，更加明顯地體現(xiàn)了對數(shù)據(jù)的“非法獲取”行為單獨規(guī)范的必要性。非法獲取數(shù)據(jù)的犯罪可以與侵入行為相分離。網(wǎng)絡(luò)安全面臨的最大威脅是人為攻擊，包括以各種方式有選擇地破壞信息的有效性和完整性的主動攻擊，以及在不影響網(wǎng)絡(luò)正常工作的情況下進行截獲、竊取、破譯以獲得重要機密信息的被動攻擊。⑦彭珺、高珺：《計算機網(wǎng)絡(luò)信息安全及防護策略研究》，《計算機與數(shù)字工程》2022年第1期。比如，RF I D標簽是物聯(lián)網(wǎng)信息系統(tǒng)的重要部分，它們儲存了大量有價值的商業(yè)信息，對其主要攻擊方法包括數(shù)據(jù)竊取與跟蹤以及中間人攻擊。⑧金山：《物聯(lián)網(wǎng)信息安全與隱私保護研究》，《計算機光盤軟件》2023年第16期。非法用戶很可能采用竊聽讀寫器等設(shè)備來獲得標簽的數(shù)據(jù)信息以及系統(tǒng)的商業(yè)信息，這種數(shù)據(jù)竊取與跟蹤攻擊方法不需要直接訪問標簽，就可以獲取系統(tǒng)的商業(yè)信息。①同前注⑧，金山文。因此，針對計算機數(shù)據(jù)的犯罪中，違反訪問權(quán)限的非法侵入和損害不公開知悉狀態(tài)的非法獲取，是不同的侵害行為類型，具有不同的違法性，應(yīng)當以不同的構(gòu)成要件予以規(guī)制。

此外，不僅是非法獲取的基本行為規(guī)范應(yīng)與“侵入”相分離，就非法訪問的罪狀中的“侵入”的必要性反思在德國也越來越深入?！扒秩搿笔侵竿黄瓢踩Ｗo措施，以便進一步侵害對數(shù)據(jù)的相關(guān)權(quán)益。對“侵入”的規(guī)范所保護的其實本質(zhì)上是數(shù)據(jù)的訪問權(quán)限（特定主體對數(shù)據(jù)的權(quán)利）和數(shù)據(jù)的非公開性（特定主體對數(shù)據(jù)不被截取的意愿）。后者與侵入并沒有必然聯(lián)系，其側(cè)重點是“非公開”的數(shù)據(jù)傳輸，是數(shù)據(jù)“不被知悉的狀態(tài)”；而前者更多地與侵入行為相關(guān)，因為侵入往往作為突破訪問權(quán)限的一種最強硬也最經(jīng)濟有效的手段，但這種聯(lián)系也同樣不是必然的。因為歸根結(jié)底，作為“非法訪問”構(gòu)成要件要素的“沒有權(quán)限（unberechtigt）”是與“非限定為其所有（nicht für die T?ter bestimmt）”相聯(lián)系的，有權(quán)限訪問者當然就是數(shù)據(jù)所有者，因此在一定程度上，有關(guān)訪問安全措施（eine Zugangssi cherung）的罪狀設(shè)置應(yīng)當取消。②Hilgendor f，Eric/Valerius，Brian，Computer-und Internetstraf recht.SpringerVer lag.Ber linHeidelburg2012.S.166.

其實這種反思所反映的，是更集中于數(shù)據(jù)本身的思路，從而從最本質(zhì)上理解構(gòu)成要件，以解釋既有構(gòu)成要件是否可以適用于大數(shù)據(jù)、云計算等新技術(shù)帶來的新生問題，避免非體現(xiàn)實質(zhì)不法內(nèi)涵的構(gòu)成要件形式限制或阻礙刑法對法益保護的周延。這也是對構(gòu)成要件邊界的限定，防止為應(yīng)對新生問題而做過度擴張解釋?？傊氈?、明確地界定數(shù)據(jù)犯罪中構(gòu)成要件本質(zhì)的違法性內(nèi)涵，是應(yīng)當且必要的；反之，將侵入、違反權(quán)限、非法獲取截取、特定領(lǐng)域信息系統(tǒng)的重要性等違法性要素內(nèi)涵都籠統(tǒng)規(guī)定，才會出現(xiàn)現(xiàn)有保護缺漏以及進行過度擴張解釋的危險性。

從路徑上說，在以“數(shù)據(jù)網(wǎng)絡(luò)”為本質(zhì)的大數(shù)據(jù)時代，可以將電腦特質(zhì)論中的“數(shù)據(jù)”從“系統(tǒng)”中剝離出來進行細化構(gòu)建，也可以直接采取信息論路徑（這更為妥當）。由于大數(shù)據(jù)時代的沖擊，數(shù)據(jù)應(yīng)用意義與計算機數(shù)據(jù)的形式之間的斷裂越來越明顯，各個層面的數(shù)據(jù)犯罪與計算機數(shù)據(jù)犯罪的脫節(jié)越來越明顯，尤其是個人數(shù)據(jù)層面上，以公民個人信息保護為核心的體系獨立性逐漸增強。數(shù)據(jù)犯罪體系的逐步擴充，需要更為細致的體系構(gòu)建。

三、數(shù)據(jù)犯罪的制裁思路：“基本行為特征類型化模式+動態(tài)鏈條模式”

對于數(shù)據(jù)犯罪的基本行為予以類型化分析，是解決數(shù)據(jù)犯罪的根本思路。同時，按照動態(tài)犯罪鏈條模式思索立法的路徑，是應(yīng)然的選擇。

（一）橫向制裁思路：以“基本行為特征類型化”為思路的數(shù)據(jù)犯罪雙核心制裁體系

數(shù)據(jù)犯罪制裁的雙核心體系，指的是以制裁“個人數(shù)據(jù)”犯罪和制裁“網(wǎng)絡(luò)重要數(shù)據(jù)”即“國家秘密、情報”犯罪為核心的雙軌并行式制裁思路。

1.核心體系之一：以我國《刑法》第253條之一為核心的個人數(shù)據(jù)犯罪制裁體系

《刑法修正案（七）》在我國《刑法》第253條之一增加規(guī)定了出售、非法提供公民個人信息罪和非法竊取公民個人信息罪。這是我國刑法保護公民個人信息的核心罪名。一方面，對于涉及個人數(shù)據(jù)權(quán)利的計算機數(shù)據(jù)、遠程通信數(shù)據(jù)等數(shù)據(jù)犯罪，我國刑法分則沒有在計算機犯罪條文部分清晰、明確地規(guī)定，沒有確定針對個人數(shù)據(jù)侵害的基本行為。另一方面，我國沒有制定《個人數(shù)據(jù)保護法》，對于個人數(shù)據(jù)的保護制度不夠完善。因此，權(quán)宜辦法是可以考慮以我國《刑法》第253條之一為核心條文，以信息論為主要理論基礎(chǔ)，并結(jié)合數(shù)字化處理和通信技術(shù)的特征，完善大數(shù)據(jù)時代對于個人層面數(shù)據(jù)犯罪的刑法規(guī)范和制裁。這實際上是對信息自決這一公民權(quán)利的類型化。

公民個人信息的概念從客觀上看，基本的特征為“可識別性”。我國《刑法》第253條之一“公民個人信息”的具體含義，學理上一般認為，是指以任何形式存在的、與公民個人存在關(guān)聯(lián)并可以識別特定個人的信息。其外延十分廣泛，幾乎有關(guān)個人的一切信息、數(shù)據(jù)或者情況都可以被認定為個人信息。①高銘暄、馬克昌主編：《刑法學》，北京大學出版社2022年第5版，第488頁。德國《數(shù)據(jù)保護法》第3條規(guī)定，個人數(shù)據(jù)是指關(guān)于私人的或者與特定或可特定自然人事實上關(guān)系的個人說明。例如，Cookies是通過與服務(wù)器建立網(wǎng)絡(luò)連接產(chǎn)生的，瀏覽器可以在訪問網(wǎng)絡(luò)頁面時進行存儲，Cookies是包含相關(guān)信息的字符串，利用Cookies可以獲取用戶的行為數(shù)據(jù)，通過收集用戶訪問的網(wǎng)站進行精準廣告投放。因為包含可以直接識別用戶的信息（如電子郵件），Cookies屬于個人數(shù)據(jù)；而動態(tài)I P地址是由服務(wù)器分配的，則不屬于個人數(shù)據(jù)。②Hilgendorf， Eric/ Valerius， Brian， Computer-und Internetstrafrecht. Springer Verlag. Berlin Heidelburg 2012. S. 217；Eisele，J?rg， Computer- und Medienstrafrecht. Verlag C.H.Beck oHG. 2013. S. 87.

此外，數(shù)據(jù)的使用目標也是衡量數(shù)據(jù)侵害的重要因素。對于強制性信息收集的合法性要求來說，私密性只能作為一種“程度衡量”。應(yīng)用目標則起著決定性作用。信息敏感性并不單獨決定是否涉及私密性，而是作為肯定個人權(quán)利意義所需、用以確定應(yīng)用關(guān)聯(lián)的。③Drackert ，Stefan， Die Risiken der Verarbeitung personenbezogener Daten. Duncker & Humblot GmbH.Berlin 2015. S.190.德國《數(shù)據(jù)保護法》第28條（3）3（3a）規(guī)定了同意制度。同時，公民個人信息的概念具有主觀維度。Caroline案就從個人自我表現(xiàn)的決定上體現(xiàn)了數(shù)據(jù)保護的主觀方面。內(nèi)容上除了主題上的劃界外仍然有對于空間領(lǐng)域的延伸保護，其所保護的是面向自我、自我放松的領(lǐng)域，對于地理性界分須有必要標準，因為個人有權(quán)限不受持續(xù)觀察、間斷觀察所致之行為控制。④BVerfG Urteil vom 15.12.1999，1 BvR 653/96=BVerfG 101，361.

這些源于公民個人信息概念的多種角度切入路徑體現(xiàn)了這一概念的復雜性，在對實質(zhì)的公民個人信息法益進行規(guī)范化的過程中，需要準確而精致地界定行為。德國《數(shù)據(jù)保護法》第44條規(guī)定，以故意違反規(guī)范方式（該法第43條第2款所列形式），以牟利或損害他人為目的，侵害個人數(shù)據(jù)的，處2年以下自由刑或罰金。其所針對的行為方式有7個款項之多，處罰了從各角度侵害個人數(shù)據(jù)權(quán)利的行為。這些具體行為方式包括以下幾種：（故意或過失）對無支配權(quán)限的數(shù)據(jù)的收集（erhebt）；處理（verarbeitet）；借助自動化程序提供（zum Abruf vereith?lt）；調(diào)取（abruft）或者為自己或他人獲取自動處理數(shù)據(jù)抑或是非自動化數(shù)據(jù)（verschaft）；以不實陳述騙?。╡rschleicht）傳輸?shù)膫€人數(shù)據(jù)；違反其他條文將傳輸?shù)臄?shù)據(jù)另做他途使用（nutzt），包括違反同意制度將（abh?ngig macht）違反其他條文將數(shù)據(jù)用于廣告、或市場或意見調(diào)查進行處理和使用（verarbeitet oder nutzt）；⑤該法第28條（3）3（3 b）規(guī)定，若合同締結(jié)將當事人同意作為條件，如當事人不可能以其他方式或者合理方式獲得同等合同給付，則此等境況下的同意無效。違反其他條文將個人特征聚合（zusammenführt）；違反其他條文不通知、不正確、不全面或者不及時地作為（macht）。仔細審視就可以發(fā)現(xiàn)，這些規(guī)定是從數(shù)據(jù)的支配權(quán)限、數(shù)據(jù)的處理步驟、使用意圖、同意、應(yīng)用、數(shù)據(jù)的整體聚合、錯誤的數(shù)據(jù)作為義務(wù)這些方面，將數(shù)據(jù)犯罪風險具體化，以不同條文將數(shù)據(jù)犯罪的行為方式加以規(guī)范化和類型化。不可否認，數(shù)據(jù)犯罪將需要細致的規(guī)范構(gòu)造。既然我國刑法是將個人信息保護直接以刑法分則條文的方式加以規(guī)定，就應(yīng)當對此條文進行細致規(guī)范。

在違反個人數(shù)據(jù)保護制度的數(shù)據(jù)犯罪條款之外，還應(yīng)當依據(jù)從憲法中引導出的刑法法益概念對個人數(shù)據(jù)犯罪風險進行規(guī)范化和類型化。涉及計算機系統(tǒng)和通信網(wǎng)絡(luò)的個人數(shù)據(jù)犯罪則應(yīng)以信息論為基礎(chǔ)，明確非法獲取和非法探知兩種數(shù)據(jù)犯罪的基本行為，將“對數(shù)據(jù)的權(quán)限”和“對數(shù)據(jù)非知悉狀態(tài)”這兩個特征作為刑法類型化的嵌入點，實現(xiàn)以數(shù)據(jù)為對象的數(shù)據(jù)犯罪的刑法規(guī)范化。這兩種基本行為可以作為與違反個人數(shù)據(jù)保護制度犯罪化的條款，共同規(guī)定于我國《刑法》第253條之一之中。從長遠來看，“數(shù)字身份”犯罪應(yīng)當成為大數(shù)據(jù)時代刑法對個人數(shù)據(jù)犯罪的研究重點。

2.核心體系之二：以“國家秘密、情報”為核心的數(shù)據(jù)犯罪制裁體系

大數(shù)據(jù)時代，個人信息等個體信息的匯總和集聚，在整體上形成的大數(shù)據(jù)，實際上在某種程度上可以等同一種關(guān)涉國家安全、經(jīng)濟安全等的“情報”甚至是“秘密”。從犯罪對象即數(shù)據(jù)出發(fā)來思考刑法規(guī)范即可發(fā)現(xiàn)，在微觀層面可以形成以公民個人信息為核心的數(shù)據(jù)犯罪體系；但對于整體性的數(shù)據(jù)危險，以及同時貫穿宏觀和微觀兩個層面的數(shù)據(jù)危險，在宏觀層面如何形成相應(yīng)的規(guī)范，是一個有必要研究卻棘手的現(xiàn)實問題。大數(shù)據(jù)時代網(wǎng)絡(luò)數(shù)據(jù)安全從宏觀層面直接關(guān)系到國家的穩(wěn)定。所謂的“震動效果（Erschütterungseffekt）”指的是，對個人基本權(quán)利的侵害會導致對其他基本權(quán)利侵害的擴張，侵害整體利益，因為信息自決權(quán)是建立在行為和合作能力之上的自由民主的國家的一個基本的功能條件。①BVer f GBesch l ussvom12.4.2005，2BvR1027/02=BVe r f GE113，46.

我國《刑法》第285條非法侵入計算機信息系統(tǒng)罪實際上體現(xiàn)了對于重點領(lǐng)域信息安全的保護必要。我國《國家安全法》第25條規(guī)定，國家實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控。對于國家安全的重要領(lǐng)域（如網(wǎng)絡(luò)和信息安全領(lǐng)域），該法在國家安全任務(wù)中增加了相關(guān)的條文，例如，“建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護能力”，②李適時：《全國人民代表大會法律委員會關(guān)于〈中華人民共和國國家安全法（草案）〉修改情況的匯報》，《全國人民代表大會常務(wù)委員會公報》2015年第4期。表明網(wǎng)絡(luò)和信息的關(guān)鍵基礎(chǔ)設(shè)施安全、重要領(lǐng)域信息系統(tǒng)和數(shù)據(jù)安全，都是國家安全的重要內(nèi)容。

2015年的我國《網(wǎng)絡(luò)安全法（草案）》在“網(wǎng)絡(luò)運行安全”章中用專門一節(jié)規(guī)定了“關(guān)鍵信息基礎(chǔ)設(shè)施安全”。筆者認為，有必要單獨以關(guān)鍵信息基礎(chǔ)設(shè)施保護、信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護為獨立體系進行研究。從長遠來看，應(yīng)當專門就關(guān)鍵信息基礎(chǔ)設(shè)施安全設(shè)立單獨條文。其中，《網(wǎng)絡(luò)安全法（草案）》第31條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當在中華人民共和國境內(nèi)存儲在運營中收集和產(chǎn)生的公民個人信息等重要數(shù)據(jù)；因業(yè)務(wù)需要，確需在境外存儲或者向境外的組織或者個人提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估。關(guān)鍵信息基礎(chǔ)設(shè)施是國家安全的應(yīng)有之意，關(guān)鍵信息基礎(chǔ)設(shè)施在運營中收集和產(chǎn)生的重要數(shù)據(jù)，也涉及國家安全。這是大數(shù)據(jù)在國家法益層面的重要意義。因此，應(yīng)當將這一部分“網(wǎng)絡(luò)數(shù)據(jù)”更具體地細化為“國家秘密、情報”，實現(xiàn)更到位的刑法保護。

對于商業(yè)數(shù)據(jù)，我國《刑法》第285條非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪雖然主要是針對商業(yè)領(lǐng)域的計算機犯罪設(shè)立的，但是根據(jù)2011年司法解釋第1條，獲取的信息類型僅限于“支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份驗證信息”或其他身份驗證信息。我國《刑法》第219條侵犯商業(yè)秘密罪中的商業(yè)秘密，也僅限于不為公眾知悉、具有經(jīng)濟利益和實用性、采取保密措施的技術(shù)信息和經(jīng)營信息。這都不足以涵蓋具有商業(yè)價值的網(wǎng)絡(luò)數(shù)據(jù)。例如利用cookie收集用戶的網(wǎng)絡(luò)瀏覽數(shù)據(jù)可以進行用戶行為分析，并實現(xiàn)廣告精準實時投放，獲取經(jīng)濟利益，這樣的網(wǎng)絡(luò)數(shù)據(jù)就具有商業(yè)價值。然而，因為公司對大數(shù)據(jù)的商業(yè)性權(quán)利本質(zhì)上屬于我國《刑法》分則第三章“侵犯社會主義市場經(jīng)濟秩序罪”關(guān)注的范疇，涉及復雜的數(shù)據(jù)利益分配以及數(shù)據(jù)主體間的利益沖突，所以，應(yīng)當先在民法上形成數(shù)據(jù)權(quán)利界分的完整制度，以及在數(shù)據(jù)保護領(lǐng)域形成個人數(shù)據(jù)保護的完整制度，再針對侵犯商業(yè)數(shù)據(jù)犯罪做出回應(yīng)；而不應(yīng)當過于超前地采取刑事制裁手段，以堅守刑法的謙抑性。換言之，此種以商業(yè)秘密為核心的數(shù)據(jù)犯罪體系應(yīng)當暫時仍限制于我國刑法分則既有的核心數(shù)據(jù)保護范圍之內(nèi)。

（二）縱向制裁思路：數(shù)據(jù)犯罪鏈條的步驟分割與過程整合

從數(shù)據(jù)犯罪的行為角度看，對于數(shù)據(jù)對象的基本侵害方式就是非法侵入（訪問）、非法獲取，但僅以此為行為方式實現(xiàn)對數(shù)據(jù)犯罪的制裁是遠遠不夠的。從一個完整的數(shù)據(jù)犯罪鏈條來看，對于基本數(shù)據(jù)犯罪的預備階段，以及之后對于數(shù)據(jù)的非法出售、非法應(yīng)用階段，同樣需要制裁。而在大數(shù)據(jù)時代，數(shù)據(jù)處理的危險也應(yīng)當成為一個行為階段，從而實現(xiàn)縱向上的完整制裁體系。

1.制裁的重點之一：犯罪預備行為的實行化

在大數(shù)據(jù)時代，數(shù)據(jù)非法收集獲取的行為途徑大大增加，在對侵害計算機信息系統(tǒng)的相關(guān)犯罪的預備行為進行打擊之時，不應(yīng)忽略通過互聯(lián)網(wǎng)、WLAN網(wǎng)絡(luò)、移動網(wǎng)絡(luò)等多種渠道實施的數(shù)據(jù)竊取行為的預備行為。我國《刑法》第285條第3款規(guī)定了提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪；該法第286條（破壞計算機信息系統(tǒng)罪）第3款規(guī)定了通過故意制作、傳播計算機病毒等破壞性程序影響計算機系統(tǒng)正常運行的行為方式。實際上，這兩個條款都是“預備行為實行化”的立法實例，以提前刑法對計算機犯罪的打擊時點。然而，這仍然體現(xiàn)出我國刑法分則數(shù)據(jù)犯罪缺乏信息論路徑的立法模式，也就是說，預備行為是針對信息系統(tǒng)的非法侵入、非法控制、破壞等犯罪行為的，卻不是針對數(shù)據(jù)的非法獲取、非法訪問等基本行為方式的。根據(jù)2011年司法解釋第2條，我國《刑法》第285條第3款的程序、工具，都是專門用于侵入、非法控制的程序、工具，一方面將避開或突破計算機信息系統(tǒng)安全措施作為前提，另一方面將未經(jīng)授權(quán)或超越授權(quán)的對象作為計算機信息系統(tǒng)數(shù)據(jù)的技術(shù)限定。對于原有側(cè)重于信息系統(tǒng)的思路所存在的問題，就數(shù)據(jù)犯罪預備行為而言仍然存在。因此，我國刑法上應(yīng)當對于數(shù)據(jù)犯罪的預備行為單獨規(guī)定相應(yīng)條文，弱化技術(shù)限定特征而強化數(shù)據(jù)的支配權(quán)限與知悉狀態(tài)特征。

2.制裁的重點之二：整體數(shù)據(jù)處理過程即數(shù)據(jù)窩藏

在大數(shù)據(jù)時代，個人數(shù)據(jù)被用于后續(xù)犯罪的危險大大增加，從更大的縱向數(shù)據(jù)犯罪產(chǎn)業(yè)鏈的框架來看，圍繞個人數(shù)據(jù)的非法獲取、處理、出售和用于后續(xù)如詐騙等犯罪，是一個大的動態(tài)體系。德國《個人數(shù)據(jù)保護法》第3條將對數(shù)據(jù)的“自動化處理”定義為通過使用數(shù)據(jù)處理設(shè)備對個人數(shù)據(jù)的收集、處理或者使用。非自動化處理的數(shù)據(jù)是指沒有被自動收集，而是以類似方式形成的、根據(jù)特定特征可以獲得并且利用的個人數(shù)據(jù)。再放大一層，數(shù)據(jù)的處理只是數(shù)據(jù)周期中的一個環(huán)節(jié)，一個完整的數(shù)據(jù)動態(tài)過程大體上可以分為三個階段：數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)使用。其中數(shù)據(jù)的處理行為可以分為存儲、變更、傳輸、阻隔、刪除等具體操作行為。①Art.3，Bundesdatenschutzgesetz（BDSG）.

我國刑法重視打擊縱向數(shù)據(jù)犯罪鏈條，但仍需進一步完善在“數(shù)據(jù)存儲和處理”階段的刑法制裁?！缎谭ㄐ拚福ㄆ撸吩鲈O(shè)我國《刑法》第253條之一的動因在于規(guī)制不法分子利用技術(shù)手段非法侵入計算機系統(tǒng)竊取他人賬號、密碼等信息，嚴重危害社會秩序的現(xiàn)象，目的是為了有效應(yīng)對越來越嚴重的非法泄漏、非法獲取、非法利用公民私人信息的社會現(xiàn)實，嚴厲打擊日趨猖獗的個人信息犯罪行為，切斷身份信息犯罪的產(chǎn)業(yè)鏈。②李適時：《關(guān)于〈中華人民共和國刑法修正案〉（七）（草案）審議結(jié)果的報告》，《全國人民代表大會常務(wù)委員會公報》2009年第2期。構(gòu)成出售、非法提供公民個人信息罪的客觀要件是“將履行職責或提供服務(wù)過程中獲得的公民個人信息，出售或非法提供給他人，情節(jié)嚴重”，非法竊取公民個人信息罪的客觀要件是“竊取或以其他方式非法獲取，情節(jié)嚴重”?！缎谭ㄐ拚福ň牛返?7條修改了原先的我國《刑法》第253條之一，一方面，通過刪去“情節(jié)嚴重”降低入罪門檻，以及刪除“國家機關(guān)或其他單位”的限定，對于履行職務(wù)中的犯罪行為從重處罰，并且增加了“情節(jié)特別嚴重”的量刑幅度，體現(xiàn)了國家打擊侵犯公民個人信息犯罪的力度和決心，并且重點打擊履行職務(wù)過程中的數(shù)據(jù)犯罪；另一方面，原先的“向他人出售或者提供”以及“竊取或者以其他方式非法獲取”這兩種行為方式并沒有被修改。也就是說，對公民個人信息的保護是針對“出售或非法提供給他人”和“竊取或以其他方式獲取”兩個端點階段的行為。先是信息被出售或非法提供的個人信息被用于下游身份信息犯罪的“外流”端點階段，再是信息被竊取或以其他方式獲取的個人信息被用于進行信息非法交易犯罪的“內(nèi)入”端點階段。對于“外流”端點的數(shù)據(jù)使用階段，《刑法修正案（九）》通過增加加重量刑幅度提高了刑法制裁力度，實現(xiàn)了對數(shù)據(jù)犯罪鏈下游的側(cè)重打擊；對于“內(nèi)入”的數(shù)據(jù)收集階段，《刑法修正案（九）》通過降低入罪門檻而實現(xiàn)擴張刑法打擊范圍。然而，對于數(shù)據(jù)處理階段，數(shù)據(jù)存儲、傳輸和自動化處理過程中的危險也直接侵害到應(yīng)受刑法保護的法益，《刑法修正案（九）》卻并沒有增加對應(yīng)的條款。在數(shù)據(jù)處理階段，主要存在數(shù)據(jù)處理危險，包括非法存儲（數(shù)據(jù)持有危險）和非法處理（數(shù)據(jù)挖掘危險）。應(yīng)當說，增加涉及這一階段的數(shù)據(jù)犯罪立法，就能形成對數(shù)據(jù)犯罪的“非法獲取—窩藏—非法提供”這一整條犯罪鏈條的完整制裁。

本質(zhì)上，對大數(shù)據(jù)處理階段的動態(tài)危險，只能通過“窩藏”行為（實質(zhì)為數(shù)據(jù)的非法持有）進行刑法的規(guī)范化。德國就此在2015年的刑法修正案中，于原有的保護個人隱私的法條即德國《刑法》第202條之后，增加了德國《刑法》第202d條（德國《刑法》第202a-c條是1986年和2007年為應(yīng)對計算機犯罪侵犯隱私行為而增加的法條）。德國聯(lián)邦參議院最初提出的立法草案中指出，“數(shù)據(jù)窩藏”是犯罪鏈條中的一個中間環(huán)節(jié)，整個鏈條包括：（A）非法獲取數(shù)據(jù)，如通過黑客攻擊或者釣魚行為；（B）對違法獲得的數(shù)據(jù)進行處理；（C）運用數(shù)據(jù)進行后續(xù)犯罪行為，如抵押貸款詐騙。而在（A）或（C）的數(shù)據(jù)非法獲取以及非法運用環(huán)節(jié)，犯罪行為人其實都是難以抓獲的。由于受害者根本無法知曉他們的計算機被感染，其數(shù)字身份（digitalen Identit?t）的多個方面信息遭到竊取，這形成了一個巨大的黑色地帶。①Gesetzentwurf des Bundesrats vom 10.07.2013，BT-Drs 17/14362.那么，很明顯，無論是從現(xiàn)實中對公民的危害，還是從刑罰設(shè)定的可行性與可操作性上來說，選取“數(shù)據(jù)窩藏”這一中間環(huán)節(jié)進行有針對性的刑事立法，無疑都是一條可行之路，這對我國是有啟發(fā)和借鑒意義的。

（責任編輯：杜小麗）

DF611

A

1005-9512（2016）09-0013-17

于志剛，中國政法大學司法文明協(xié)同創(chuàng)新中心教授、網(wǎng)絡(luò)法研究中心主任，教育部長江學者特聘教授；李源粒，德國馬克斯普朗克外國刑法與國際刑法研究所博士研究生。

*本文系中國政法大學優(yōu)秀中青年教師培養(yǎng)支持計劃資助項目和2012年教育部哲學社會科學重大課題攻關(guān)項目“信息時代網(wǎng)絡(luò)法律體系的整體建構(gòu)研究”(項目編號:12JZD039)的階段性成果。本文由于志剛確定主題框架、撰寫第三部分、審定全文，李源粒撰寫第一、第二部分。