田 剛

(中央民族大學 法學院，北京 100088)

信息化是當前法學發(fā)展的時代底色，移動互聯(lián)網(wǎng)、云計算使網(wǎng)絡無處不在、無所不能，幾乎所有的現(xiàn)實利益和法定權益都可以信息化為電子數(shù)據(jù)，以信息網(wǎng)絡連接、經(jīng)信息網(wǎng)絡運算、借信息網(wǎng)絡展示。因此，網(wǎng)絡信息安全的保護是我國法律更新的重要方向，而刑法在諸多部門法中無疑走在前列。(1)我國刑法中并沒有直接引入“網(wǎng)絡信息”或“網(wǎng)絡信息安全”概念，而是使用了“信息網(wǎng)絡”和“信息網(wǎng)絡安全”概念，二者的內(nèi)涵和外延并不一致，刑法中的“信息網(wǎng)絡”“信息網(wǎng)絡安全”實際上是《網(wǎng)絡安全法》中“網(wǎng)絡”“網(wǎng)絡安全”的刑法語言表達。近年來，刑法在網(wǎng)絡空間中大舉擴張，大量危害網(wǎng)絡信息安全的行為實現(xiàn)了入罪化，網(wǎng)絡信息安全犯罪罪名體系逐漸成型。然而，網(wǎng)絡信息安全的刑法保護不僅是犯罪定性評價的擴張，定量評價亦需要實現(xiàn)體系化變革，網(wǎng)絡信息安全犯罪定量評價模型的重構，成為當前迫切需要解決的問題。

一、 網(wǎng)絡信息安全刑法保護的立法擴張和司法挑戰(zhàn)

我國網(wǎng)絡安全法將網(wǎng)絡安全分為了網(wǎng)絡運行安全和網(wǎng)絡信息安全，前者是“網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)”，后者是“保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力”。二者互為支撐，共同締造了網(wǎng)絡安全。而刑法對網(wǎng)絡安全的保護立場，正明顯由網(wǎng)絡運行安全向網(wǎng)絡信息安全轉向。近期的相關刑事立法更新，實際上都是圍繞著網(wǎng)絡信息的生產(chǎn)、傳播、收集、儲存、利用的刑法評價。(2)“網(wǎng)絡信息”是“信息”的下位概念，特指在網(wǎng)絡場域中存在的信息。然而，在刑事立法將各種嚴重危害網(wǎng)絡信息安全的行為不斷入罪的同時，如何準確定量評價不具有實體形態(tài)的網(wǎng)絡信息，特別是大數(shù)據(jù)背景下網(wǎng)絡信息安全危害程度量化標準的確定，也給刑事司法帶來了全新的挑戰(zhàn)。

(一) 刑事立法更新帶來的網(wǎng)絡信息安全犯罪外延擴張

信息并非是從未進入刑法視線的全新事物，1997年刑法立法之初，就規(guī)定了內(nèi)幕交易、泄露內(nèi)幕信息罪和編造并傳播證券、期貨交易虛假信息罪，兩個以信息為犯罪對象的罪名，而侵犯商業(yè)秘密罪中，也將特定的技術信息和經(jīng)營信息作為了犯罪對象。然而，早期的刑事立法中，信息并非是網(wǎng)絡安全刑法保護的重點，甚至未曾同網(wǎng)絡安全明顯聯(lián)結在一起。1997年刑法立法時，非法侵入計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪作為兩個超前性的“預設罪名”[1]，實際上關注的是網(wǎng)絡安全中的網(wǎng)絡運行安全。刑法視閾下的網(wǎng)絡信息數(shù)據(jù)，僅是作為計算機信息系統(tǒng)運行安全的組成部分[2]，不具有獨立的保護價值。

然而，在互聯(lián)網(wǎng)技術和大數(shù)據(jù)技術的雙重作用下，信息安全對網(wǎng)絡安全的價值開始凸顯，2009年《刑法修正案(七)》增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，可以視為刑事立法對網(wǎng)絡信息安全的正式關注和回應。但是《刑法修正案(七)》同時亦增設了非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪和提供侵入、非法控制計算機信息系統(tǒng)的程序、工具罪，兩個主要保護網(wǎng)絡運行安全的罪名。而從保護范圍來看，刑法僅對特定的公民個人信息安全進行了保護，而對網(wǎng)絡運行安全的保護則明顯更為全面，因此，此時刑事立法對網(wǎng)絡安全的主要關注點依然是網(wǎng)絡運行安全。直到2012年《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》的頒布，提出了明確的網(wǎng)絡信息安全全面法律保護要求，而刑法卻受制于前期立法準備的不足，缺乏個人信息以外的信息安全保護專屬罪名，不得已采取了擴張傳統(tǒng)罪名的方式。兩高于2013年頒布了《關于辦理利用信息網(wǎng)絡實施誹謗等刑事案件適用法律若干問題的解釋》，將編造、傳播虛假信息，危害網(wǎng)絡公共信息安全的行為，納入傳統(tǒng)“口袋罪”尋釁滋事罪的制裁范圍。(3)部分學者對司法解釋進一步擴大尋釁滋事罪的適用范圍提出了批評。詳見陳興良:《尋釁滋事罪的法教義學形象:以起哄鬧事為中心展開》,載《中國法學》2015年第3期。

隨著網(wǎng)絡信息安全地位不斷地提升，網(wǎng)絡安全領域的刑事立法更新，也開始從網(wǎng)絡運行安全向網(wǎng)絡信息安全轉向，網(wǎng)絡信息安全犯罪的犯罪圈迅速擴張[3]。2015年的《刑法修正案(九)》將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，合并為侵犯公民個人信息罪，進一步加強了網(wǎng)絡個人信息安全保護。(4)侵犯公民個人信息罪中的“個人信息”，并不僅限定在網(wǎng)絡空間中以電子方式記錄的網(wǎng)絡個人信息，也包括在現(xiàn)實空間中以其他方式記錄的信息，但網(wǎng)絡個人信息安全毫無疑問是侵犯公民個人信息罪保護的核心關注。這一點從《網(wǎng)絡安全法》第76條第5款和《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯個人信息刑事案件解釋》)第1條中對“個人信息”概念的界定中都得到了明確的體現(xiàn)。與此同時，新增設的拒不履行信息網(wǎng)絡安全管理義務罪，非法利用信息網(wǎng)絡罪，編造、故意傳播虛假信息罪，幾乎都可以視為網(wǎng)絡信息安全的專屬罪名，僅有幫助信息網(wǎng)絡犯罪活動罪，是兼顧網(wǎng)絡信息安全和網(wǎng)絡運行安全的罪名。刑事立法對網(wǎng)絡安全的關注開始轉向，大量嚴重危害網(wǎng)絡信息安全的行為被納入刑法的制裁范圍。(5)網(wǎng)絡信息安全為核心的刑事立法更新理念，還輻射到網(wǎng)絡安全專屬罪名之外的罪名之中。例如，《刑法修正案(九)》同時增設的宣揚恐怖主義、極端主義、煽動實施恐怖活動罪，泄露不應公開的案件信息罪，實際上也都將信息安全，作為恐怖主義犯罪和妨害司法秩序犯罪領域的刑事保護重點。

(二) 建構全新網(wǎng)絡信息安全犯罪定量評價體系的司法挑戰(zhàn)

網(wǎng)絡安全犯罪的犯罪圈不斷擴張，在大數(shù)據(jù)時代演化為全新的犯罪形態(tài)。如圖1所示，網(wǎng)絡安全犯罪的模型，從計算機信息系統(tǒng)犯罪到網(wǎng)絡信息安全犯罪再到傳統(tǒng)權益犯罪，呈現(xiàn)出縱向發(fā)展的復雜態(tài)勢。而作為中間核心環(huán)節(jié)的網(wǎng)絡信息安全犯罪的五個罪名，除了非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，(6)值得注意的是，現(xiàn)有司法解釋對該罪名適用范圍進行了明顯限縮，將立法上廣義的“計算機信息系統(tǒng)數(shù)據(jù)”限定為“身份認證信息數(shù)據(jù)”，導致了司法實踐中非法獲取其他類型數(shù)據(jù)的行為，無法納入該罪名的制裁范圍。詳見田剛：《大數(shù)據(jù)安全視角下計算機數(shù)據(jù)刑法保護之反思》，載《重慶郵電大學學報(社會科學版)》2015年第3期。其余四個罪名都屬于2015年新增的罪名，需要司法機關明確具體量化標準，成為整個網(wǎng)絡安全犯罪司法適用的薄弱環(huán)節(jié)。

圖1 網(wǎng)絡安全犯罪縱向發(fā)展模型圖

1. 網(wǎng)絡安全犯罪前置環(huán)節(jié)的司法定量評價基準——計算機信息系統(tǒng)安全的危害性程度。網(wǎng)絡空間中所有的權益都是以信息的形式存在，在大數(shù)據(jù)時代，絕大部分情況下，高價值的網(wǎng)絡信息是非公開的，而是儲存在個體、單位、國家的計算機信息系統(tǒng)之中，并采取了多重的技術防護措施。因此，行為人往往需要先通過一定的違法犯罪方式，獲得非法接觸信息的可能性。例如，非法侵入計算機信息系統(tǒng)、非法控制計算機信息系統(tǒng)、非法破壞計算機信息系統(tǒng)等危害計算機信息系統(tǒng)的犯罪。在互聯(lián)網(wǎng)犯罪逐漸形成產(chǎn)業(yè)化，分工日益復雜化的背景下，早期的計算機信息系統(tǒng)犯罪，演化為廣義網(wǎng)絡安全犯罪的前置環(huán)節(jié)[4]。而對此類犯罪行為的司法定量評價基準，主要是根據(jù)行為對計算機系統(tǒng)的危害性程度，2011年《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》(以下簡稱《危害計算機信息系統(tǒng)安全刑事案件解釋》)對此進行了集中解釋。

2. 網(wǎng)絡安全犯罪后續(xù)環(huán)節(jié)的司法定量評價基準——傳統(tǒng)法益的危害性程度。在大數(shù)據(jù)時代，網(wǎng)絡信息具有高價值屬性，網(wǎng)絡信息在被非法獲取、非法傳播和非法濫用之后，往往會伴隨著進一步侵害相關權益的后續(xù)犯罪行為，這是網(wǎng)絡安全犯罪產(chǎn)業(yè)鏈的最后一環(huán)。具體來看，可以分為三種類型：第一，侵害相關人身權利的犯罪。大量網(wǎng)絡信息同個體人身權利密切相關，例如行蹤軌跡、通訊信息等，利用此類信息實施的綁架罪、非法拘禁罪、侵犯通信自由罪已然出現(xiàn)[5]。第二，侵害相關財產(chǎn)權益的犯罪。在獲取、控制網(wǎng)絡信息后，犯罪分子開始利用信息實施后續(xù)的盜竊、詐騙、敲詐勒索等財產(chǎn)性犯罪，直接侵害信息主體的財產(chǎn)安全[6]。第三，利用信息數(shù)據(jù)實施的其他犯罪。在大數(shù)據(jù)背景下，信息中包含著多元的價值屬性，例如獲得身份認證信息后，行為人可以利用該信息同其他平臺賬戶進行比對，俗稱“撞庫”行為，可以獲得如郵箱賬號、社交賬號等大量新信息，進而利用上述信息實施多樣化犯罪[7]。此類后續(xù)犯罪行為雖然成為大數(shù)據(jù)背景下網(wǎng)絡安全犯罪鏈條中的一部分，但本質上依然是結合了網(wǎng)絡因素的傳統(tǒng)罪名，基本上可以繼續(xù)適用基于傳統(tǒng)法益侵害性程度的定量評價體系。

3. 網(wǎng)絡安全犯罪中間環(huán)節(jié)的司法定量評價基準——尚未明確。網(wǎng)絡安全犯罪的中間環(huán)節(jié)，是指直接作用于網(wǎng)絡信息，危害網(wǎng)絡信息安全的犯罪行為。整體上可以分為三種類型：其一，非法獲取網(wǎng)絡信息行為，包括非法從個體計算機信息系統(tǒng)中獲取和從規(guī)模數(shù)據(jù)庫信息系統(tǒng)中獲取兩種方式，后者往往會造成大范圍的數(shù)據(jù)泄露事件。其二，非法傳播網(wǎng)絡信息行為，包括非法生產(chǎn)和傳播網(wǎng)絡信息，危害網(wǎng)絡安全的行為。從網(wǎng)絡信息的自然狀態(tài)來看，信息生產(chǎn)和信息傳播應當是兩個相對獨立的行為，但我國刑法對單純編造但不傳播的行為，普遍不評價為犯罪行為[8]。因此，我國刑法視閾下編造和傳播是合并評價的，單獨的傳播可以構罪，而單獨的編造則不能。遵循我國刑事立法的思路，本文將非法生產(chǎn)信息行為合并到非法傳播信息行為之中。其三，非法濫用網(wǎng)絡信息行為，是指合法獲得、儲存信息的單位和個人，非法濫用其儲存管理信息數(shù)據(jù)權限的行為。部分機構和個人負有管理網(wǎng)絡信息的職責，但其并不直接獲得網(wǎng)絡信息的所有權和處分權，隨意濫用其管理的信息，將對網(wǎng)絡信息安全造成危害。網(wǎng)絡安全犯罪的前置環(huán)節(jié)和后續(xù)環(huán)節(jié)，對應的罪名并不屬于網(wǎng)絡信息安全專屬罪名，前者同時亦是網(wǎng)絡運行安全犯罪，而后者則普遍表現(xiàn)為傳統(tǒng)犯罪，二者都是在大數(shù)據(jù)技術廣泛運用的背景下，在定性評價的擴展中，被整合到廣義網(wǎng)絡安全犯罪之中的，在定量評價中依然基本遵循自身的定量評價體系。(7)網(wǎng)絡信息安全犯罪前置行為的定量評價體系，在一定程度上存在著定位不清的問題。例如，《危害計算機信息系統(tǒng)安全刑事案件解釋》第4條中，將對計算機信息系統(tǒng)中的數(shù)據(jù)進行刪除、修改、增加作為破壞計算機信息系統(tǒng)罪“后果嚴重”的情形之一，實際上混淆了網(wǎng)絡運行安全和網(wǎng)絡信息安全。而網(wǎng)絡安全犯罪的中間環(huán)節(jié)，(8)如未作特殊說明，本文中的網(wǎng)絡信息安全犯罪特指狹義的網(wǎng)絡信息安全犯罪，即構成網(wǎng)絡信息安全專屬罪名行為的集合。普遍都是由刑事立法近期更新，而被劃入到犯罪圈的，整個定量評價體系的基準尚未明確，這也是當前網(wǎng)絡信息安全刑法保護面臨的主要挑戰(zhàn)。

二、 網(wǎng)絡信息安全犯罪定量評價體系的現(xiàn)狀

我國刑法中罪名的適用，高度依賴司法解釋所確立的量化標準。特別是刑法修正案增設的新型罪名，盡管都是回應社會治理的緊迫需求，但司法機關往往要等到相關司法解釋明確定量標準之后，才會大量適用新罪名，網(wǎng)絡信息安全專屬罪名亦是如此。因此，司法解釋明確量化標準，是網(wǎng)絡信息安全刑法保護“落地”的關鍵環(huán)節(jié)。目前，網(wǎng)絡信息安全犯罪所對應的專屬罪名共計五個，包括非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，侵犯公民個人信息罪，非法利用信息網(wǎng)絡罪，拒不履行信息網(wǎng)絡安全管理義務罪和編造、故意傳播虛假信息罪，而司法解釋所確立的量化標準，整體可以分為三種類型。

其一，非法獲取網(wǎng)絡信息犯罪的多元定量評價標準。非法獲取網(wǎng)絡信息犯罪對應的專屬罪名包括非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪和侵犯公民個人信息罪。相關司法解釋所確定的量化標準為：“組信息”“違法所得”“經(jīng)濟損失”(9)《危害計算機信息系統(tǒng)安全刑事案件解釋》第1條：“非法獲取計算機信息系統(tǒng)數(shù)據(jù)或者非法控制計算機信息系統(tǒng)，具有下列情形之一的，應當認定為刑法第二百八十五條第二款規(guī)定的‘情節(jié)嚴重’：(一)獲取支付結算、證券交易、期貨交易等網(wǎng)絡金融服務的身份認證信息十組以上的；(二)獲取第(一)項以外的身份認證信息五百組以上的；……(四)違法所得五千元以上或者造成經(jīng)濟損失一萬元以上的；(五)其他情節(jié)嚴重的情形?！薄胺缸锵嚓P信息”“條信息”“前科劣跡”，(10)《侵犯個人信息刑事案件解釋》第5條：“非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規(guī)定的‘情節(jié)嚴重’：(一)出售或者提供行蹤軌跡信息，被他人用于犯罪的；(二)知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；(三)非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；(五)非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的；……(七)違法所得五千元以上的；……(九)曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個人信息的；(十)其他情節(jié)嚴重的情形?！惫灿嬃N量化標準。(11)同一網(wǎng)絡信息安全犯罪類型，不同罪名司法解釋中相同的量化標準不重復統(tǒng)計，相關司法解釋中的“其他”條款，由于并未設立明確的量化標準，也不納入統(tǒng)計，下文亦同。

其二，非法傳播網(wǎng)絡信息犯罪的多元定量評價標準。非法傳播網(wǎng)絡信息犯罪對應的專屬罪名包括：編造、故意傳播虛假信息罪、非法利用信息網(wǎng)絡罪和拒不履行信息網(wǎng)絡安全管理義務罪。相關司法解釋所確定的量化標準為：“信息個數(shù)”“傳播網(wǎng)絡用戶賬號個數(shù)”“傳播信息點擊數(shù)”(12)2019年《關于辦理非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》)第3條規(guī)定：“拒不履行信息網(wǎng)絡安全管理義務，具有下列情形之一的，應當認定為刑法第二百八十六條之一第一款第一項規(guī)定的‘致使違法信息大量傳播’：(一)致使傳播違法視頻文件二百個以上的；(二)致使傳播違法視頻文件以外的其他違法信息二千個以上的；……(四)致使向二千個以上用戶賬號傳播違法信息的；(五)致使利用群組成員賬號數(shù)累計三千以上的通訊群組或者關注人員賬號數(shù)累計三萬以上的社交網(wǎng)絡傳播違法信息的；(六)致使違法信息實際被點擊數(shù)達到五萬以上的；(七)其他致使違法信息大量傳播的情形。”“信息條數(shù)”“傳播網(wǎng)站個數(shù)”“傳播通訊群組個數(shù)”“違法所得”“前科劣跡”(13)《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第10條規(guī)定：“非法利用信息網(wǎng)絡，具有下列情形之一的，應當認定為刑法第二百八十七條之一第一款規(guī)定的‘情節(jié)嚴重’：(一)假冒國家機關、金融機構名義，設立用于實施違法犯罪活動的網(wǎng)站的；(二)設立用于實施違法犯罪活動的網(wǎng)站，數(shù)量達到三個以上或者注冊賬號數(shù)累計達到二千以上的；(三)設立用于實施違法犯罪活動的通訊群組，數(shù)量達到五個以上或者群組成員賬號數(shù)累計達到一千以上的；(四)發(fā)布有關違法犯罪的信息或者為實施違法犯罪活動發(fā)布信息，具有下列情形之一的：1.在網(wǎng)站上發(fā)布有關信息一百條以上的；2.向二千個以上用戶賬號發(fā)送有關信息的；3.向群組成員數(shù)累計達到三千以上的通訊群組發(fā)送有關信息的；4.利用關注人員賬號數(shù)累計達到三萬以上的社交網(wǎng)絡傳播有關信息的；(五)違法所得一萬元以上的；(六)二年內(nèi)曾因非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動、危害計算機信息系統(tǒng)安全受過行政處罰，又非法利用信息網(wǎng)絡的；(七)其他情節(jié)嚴重的情形?！薄吧鐣刃驌p害程度”，(14)由于本罪名沒有直接相關司法解釋，因此參照2013年《關于審理編造、故意傳播虛假信息刑事案件適用法律若干問題的解釋》第2條的規(guī)定：“編造、故意傳播虛假恐怖信息，具有下列情形之一的，應當認定為刑法第二百九十一條之一的‘嚴重擾亂社會秩序’：(一)致使機場、車站、碼頭、商場、影劇院、運動場館等人員密集場所秩序混亂，或者采取緊急疏散措施的；(二)影響航空器、列車、船舶等大型客運交通工具正常運行的；(三)致使國家機關、學校、醫(yī)院、廠礦企業(yè)等單位的工作、生產(chǎn)、經(jīng)營、教學、科研等活動中斷的；(四)造成行政村或者社區(qū)居民生活秩序嚴重混亂的；(五)致使公安、武警、消防、衛(wèi)生檢疫等職能部門采取緊急應對措施的；(六)其他嚴重擾亂社會秩序的?！惫灿嬀欧N量化標準。

其三，非法濫用網(wǎng)絡信息犯罪的多元定量評價標準。非法濫用網(wǎng)絡信息犯罪對應的專屬罪名包括：拒不履行信息網(wǎng)絡安全管理義務罪和侵犯公民個人信息罪。相關司法解釋所確定的量化標準為：“信息條數(shù)”“人身權益損害程度”“財產(chǎn)權益損害程度”“社會秩序損害程度”(15)《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第4條規(guī)定：“拒不履行信息網(wǎng)絡安全管理義務，致使用戶信息泄露，具有下列情形之一的，應當認定為刑法第二百八十六條之一第一款第二項規(guī)定的‘造成嚴重后果’：(一)致使泄露行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五百條以上的；(二)致使泄露住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的用戶信息五千條以上的；(三)致使泄露第一項、第二項規(guī)定以外的用戶信息五萬條以上的；(四)數(shù)量雖未達到第一項至第三項規(guī)定標準，但是按相應比例折算合計達到有關數(shù)量標準的；(五)造成他人死亡、重傷、精神失常或者被綁架等嚴重后果的；(六)造成重大經(jīng)濟損失的；(七)嚴重擾亂社會秩序的；(八)造成其他嚴重后果的。”“犯罪相關信息”“違法所得”“前科劣跡”，(16)詳見《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第5條。共計七種量化標準。

綜上，在網(wǎng)絡信息安全刑法保護不斷擴張的背景下，為了滿足新增設罪名的司法適用需求，最高司法機關近年來陸續(xù)出臺了多部司法解釋，對相關網(wǎng)絡信息安全犯罪的量化標準進行了規(guī)定，看似是兼顧了傳統(tǒng)犯罪量化標準和網(wǎng)絡信息行為新特征，但由于缺乏系統(tǒng)的評價邏輯主線，實際上是一種多元標準混用的狀態(tài)。值得注意的是，由于我國獨特的“定性+定量”犯罪成立模式[9]，網(wǎng)絡信息安全犯罪的定量評價也會對定性評價產(chǎn)生影響。我國刑法公權近年來在網(wǎng)絡空間中的迅速擴張，已經(jīng)引發(fā)學界的關注和反思，(17)例如，有學者提出，刑法在網(wǎng)絡的肆意擴張已然有“阻礙甚至窒息整個互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展”的風險。參見車浩：《刑事立法的法教義學反思——基于〈刑法修正案(九)〉的分析》，載《法學》2015年第10期；又如，有學者提出大量網(wǎng)絡空間中的刑法適用是一種情緒性過激反應，“單純以互聯(lián)網(wǎng)為工具進行的犯罪行為，刑法不必過于敏感。”參見劉憲權：《刑事立法應力戒情緒——以〈刑法修正案(九)〉為視角》，載《法學評論》2016年第1期。網(wǎng)絡信息安全領域立法更新已經(jīng)備受質疑的情況下，司法更應堅守刑法謙抑性，避免刑法適用過度擴張。但由于未能建立系統(tǒng)的定量評價體系，當前司法實踐中多元標準的混用，反而進一步加劇了刑法公權在網(wǎng)絡空間的無序擴張。

三、 網(wǎng)絡信息安全犯罪量化標準建構困境

網(wǎng)絡信息安全犯罪的五個專屬罪名之中，除了編造、故意傳播虛假信息罪之外，其他四個罪名都已有專門的司法解釋，明確了多元的量化標準。然而，網(wǎng)絡信息安全犯罪的定量評價，卻依然處于一種零散無序的狀態(tài)，難以準確評價犯罪的危害性，嚴重制約著刑法的全面有效保護?，F(xiàn)有司法解釋一方面希望延續(xù)部分傳統(tǒng)犯罪的量化標準，直接套用傳統(tǒng)罪名的數(shù)額、法益損害程度等量化標準，另一方面又希望適應網(wǎng)絡空間中的行為特征，創(chuàng)制了信息數(shù)據(jù)量、信息傳播量等新型量化標準，結果反而受困于“傳統(tǒng)”和“未來”之間，導致了上述量化標準在司法實踐具體適用中面臨困境。

(一) “傳統(tǒng)權益損害程度”量化標準的滯后

當前網(wǎng)絡信息安全犯罪定量評價體系中，直接套用了大量傳統(tǒng)犯罪的量化標準[10]，如非法獲取網(wǎng)絡信息犯罪中的“違法所得”“經(jīng)濟損失”；非法傳播網(wǎng)絡信息犯罪中的“違法所得”“社會秩序損害程度”；非法濫用網(wǎng)絡信息犯罪中的“人身權益損害程度”“財產(chǎn)權益損害度”“社會秩序損害程度”“違法所得”，實際上都屬于財產(chǎn)權、人身權、社會秩序等傳統(tǒng)權益損害程度的評價模式。(18)需要注意的是，“違法所得”同“經(jīng)濟損失”不同，其并不必然同財產(chǎn)權益損害相映射，刑法構成要件意義上的違法所得，是從“違法行為所帶來的損害的角度來把握,即指理論上可以因實施損害公共利益和他人利益的違法行為而直接獲得的利益?！眳⒁娦申?《違法所得的構成要件與數(shù)額認定——以內(nèi)幕交易為例》,載《行政法學研究》2013年第4期。因此，“違法所得”同樣也可以評價給其他權益造成損害的逐利行為。司法解釋之所以規(guī)定上述標準，是基于網(wǎng)絡信息安全權益內(nèi)涵的豐富性，危害網(wǎng)絡信息安全的行為，確實可能同時損害財產(chǎn)權、人身權、社會秩序等傳統(tǒng)權益[11]，從這個角度來看，似乎直接套用部分傳統(tǒng)犯罪量化標準并無不妥。然而，司法解釋卻忽略了網(wǎng)絡信息安全同傳統(tǒng)權益之間，并非是單一指向關系，網(wǎng)絡信息安全的權益屬性是一種復合型權益。在大數(shù)據(jù)背景下，網(wǎng)絡信息安全已然成為一種新型的重要法益，它不再依附于傳統(tǒng)法益，而是具有自身獨立的價值屬性[12]，其融合了人身權、財產(chǎn)權等傳統(tǒng)私權的同時，也體現(xiàn)了經(jīng)濟秩序、社會秩序等公共利益，特定種類、特定規(guī)模的信息，甚至直接同國家利益緊密相連[13]。因此，司法解釋直接套用傳統(tǒng)權益損害程度的量化標準，顯然是一種錯位的片面性評價，局限性明顯。進一步從技術角度來分析，上述量化標準中除了“違法所得”和“經(jīng)濟損失”可以進行明確的量化之外，其他標準普遍難以量化，標準本身的模糊性，也嚴重削弱了此類量化標準在司法適用中的可操作性。

(二) 新型“信息規(guī)模”量化標準的模糊

最高司法機關亦意識到完全套用傳統(tǒng)犯罪量化標準，難以準確評價新型的網(wǎng)絡信息安全犯罪，因此也引入了基于“信息規(guī)?！钡娜铝炕瘶藴?。然而，如何在刑法層面，準確評價網(wǎng)絡信息的“信息規(guī)模”，我國相關司法解釋進行了多種嘗試，至今未能形成統(tǒng)一認知。

1. 信息傳播量的“次數(shù)”評價模式?！按螖?shù)”標準早期是司法解釋為應對傳統(tǒng)犯罪的網(wǎng)絡異化而提出的[14]，2004年《關于辦理利用互聯(lián)網(wǎng)、移動通訊終端、聲訊臺制作、復制、出版、販賣、傳播淫穢電子信息刑事案件具體應用法律若干問題的解釋》(以下簡稱《淫穢電子信息刑事案件解釋》)中，規(guī)定了制作、復制、出版、販賣、傳播淫穢電子信息的行為，可以通過信息實際被點擊數(shù)來評價行為的危害性程度。目前，“次數(shù)”被司法解釋普遍用于評價非法傳播網(wǎng)絡信息犯罪的危害性程度，除了“點擊次數(shù)”還有“瀏覽次數(shù)”。(19)2017年《關于辦理組織、利用邪教組織破壞法律實施等刑事案件適用法律若干問題的解釋》(以下簡稱《邪教組織刑事案件解釋》)第2條第12款：“……4.邪教信息實際被點擊、瀏覽數(shù)達到五千次以上的?！钡朔N模式的核心問題在于，僅能適用于非法傳播領域，不能適用于其他領域，而且只能評價單一用戶的傳播行為，難以真實還原網(wǎng)絡信息傳播的拓撲結構。(20)網(wǎng)絡信息傳播具有拓撲式傳導的特征，用戶發(fā)布的信息被其他用戶接收后，部分接收用戶會再次發(fā)布相關信息，呈現(xiàn)出類似傳染病的SIR傳導模型。(SIR模型是用于描述信息傳導的經(jīng)典模型，S為未獲得信息內(nèi)容的個體，I表示獲得信息內(nèi)容的個體，R表示獲得信息內(nèi)容但未繼續(xù)傳播的個體)詳見王金龍、劉方愛、朱振方：《一種基于用戶相對權重的在線社交網(wǎng)絡信息傳播模型》，載《物理學報》2015年第5期。

而結合網(wǎng)絡信息傳播學來看，當前刑事司法僅評價次數(shù)的模式，也無法準確界定信息傳播的實際影響。因為僅考慮了信息傳播的廣度，無法評價信息傳播的數(shù)據(jù)規(guī)模，缺乏了評價的基礎變量。(21)網(wǎng)絡信息傳播學中，信息傳播的內(nèi)容和廣度是信息傳播影響評價的兩個基礎變量。詳見江成、劉室辰：《謠言網(wǎng)絡多級傳播路徑下關鍵引爆點識別模型和算法研究》，載《情報雜志》2020年第3期。例如，A信息全部內(nèi)容放置一個鏈接中，點擊1次，和將A信息內(nèi)容分割為10個鏈接，點擊10次，傳播的信息規(guī)?；疽恢?。

2. 信息本身數(shù)據(jù)規(guī)模的計數(shù)評價模式。此種模式直接指向信息的數(shù)據(jù)規(guī)模本身，從技術角度來看最具有合理性，但如何轉化為統(tǒng)一的刑法規(guī)范化評價，則是困擾司法的難題。實際上，司法解釋已經(jīng)進行了多種嘗試。(1)以“組”作為網(wǎng)絡信息數(shù)據(jù)規(guī)模的計量單位。根據(jù)一定的標準，將犯罪所作用的信息劃分為“組信息”，用“組信息”的數(shù)量來評價犯罪危害性程度。例如，《危害計算機信息系統(tǒng)安全刑事案件解釋》中規(guī)定，非法獲取金融身份認證信息十組以上的，構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的“情節(jié)嚴重”。(22)詳見《危害計算機信息系統(tǒng)安全刑事案件解釋》第1條。(2)以“條”作為網(wǎng)絡信息數(shù)據(jù)規(guī)模的計量單位。根據(jù)一定的標準，將犯罪所作用的信息劃分為“條信息”，用“條信息”的數(shù)量來評價犯罪的危害性程度。例如，《侵犯個人信息刑事案件解釋》規(guī)定，非法獲取、出售或者提供可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的，構成侵犯公民個人信息罪的“情節(jié)嚴重”。(23)詳見《侵犯個人信息刑事案件解釋》第5條。(3)以“個”作為網(wǎng)絡信息數(shù)據(jù)規(guī)模的計量單位。根據(jù)一定的標準，將犯罪所作用的信息劃分為“個信息”，用“個信息”的數(shù)量來評價犯罪的危害性程度。例如，《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》規(guī)定，致使傳播違法視頻文件以外的其他違法信息二千個以上的，構成拒不履行信息網(wǎng)絡安全管理義務罪的“致使違法信息大量傳播”。(24)詳見《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第3條。

由此可見，當前司法解釋對網(wǎng)絡信息本身數(shù)據(jù)規(guī)模的量化標準，依然是一種模糊混亂的狀態(tài)，劃分“一組信息”“一條信息”“一個信息”的標準不明確，三種計量單位之間的關系更是模糊，《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》甚至在一個司法解釋中同時使用了“條信息”和“個信息”兩種計數(shù)單位，令人無所適從。

四、 網(wǎng)絡信息安全刑法保護定量評價困境的突圍路徑

網(wǎng)絡信息安全刑事立法不斷擴張的同時，配套的定量司法評價標準應當一體化建構，目前暴露出的司法亂象和困境，究其根源就是量化標準的模糊和混亂。當前的定量評價體系，無法滿足網(wǎng)絡信息安全專屬罪名司法適用的準確性和統(tǒng)一性需求，以“信息規(guī)?！睘槎吭u價核心的基礎上，建構信息價值分層評價模型，并設定統(tǒng)一的計量單位，是大數(shù)據(jù)時代網(wǎng)絡信息安全犯罪司法定量評價困境突破的合理路徑。

(一) 確立“信息規(guī)?！睘槎吭u價的核心

雖然不同司法解釋規(guī)定存在沖突，在我國刑事司法體系中并非罕見[15]，但是像網(wǎng)絡信息安全犯罪定量評價這樣的十余種標準混用還是首次。立法需要規(guī)劃，司法解釋的出臺亦應當有體系性，司法解釋不能總是以“救火隊長”的身份出現(xiàn)，卻忽視了司法解釋之間的協(xié)調(diào)。當然，這種無序的司法定量標準本身，也說明了司法機關依然還在探索期，急需理論的指引。而當前理論界對網(wǎng)絡信息安全犯罪定量評價的關注嚴重不足，也使司法機關缺乏足夠的理論支持。

1. 網(wǎng)絡信息安全犯罪定量評價的域內(nèi)外基本理論立場。近年來，伴隨著刑事立法的擴張，國內(nèi)理論界圍繞網(wǎng)絡信息安全刑法保護的研究，呈現(xiàn)爆發(fā)式發(fā)展態(tài)勢。然而，目前的理論研究基本圍繞著信息的法益屬性[16]、信息越軌行為的定性[17]、信息安全刑事立法保護的擴張[18]等網(wǎng)絡信息安全犯罪的定性問題展開，基本上都未對定量問題展開深入探討。即便是專門對網(wǎng)絡信息安全犯罪司法解釋進行研究時，也有意識地回避定量問題[5]。雖然有學者從宏觀層面進行了初步思考，但亦屬于鳳毛麟角[19]。整體上來看，國內(nèi)理論界對網(wǎng)絡信息安全犯罪定量評價的關注嚴重不足。但是，司法實踐對網(wǎng)絡信息安全犯罪準確量刑的需求是客觀存在的，并不會因為理論關注較少而削弱。值得注意的是，司法實務部門也對網(wǎng)絡信息安全犯罪量化標準進行了總結反思，但要么是從證據(jù)認定的程序法角度[20]，要么僅是對量化標準進行簡單化的循環(huán)解釋，例如，將量化標準“條”解釋為“組”，卻未進一步解釋“組”的內(nèi)涵和外延[21]，整體上仍然處于零散化的認知狀態(tài)。

域外大陸法系對信息犯罪的定量評價，理論上普遍認同在比例原則檢驗下的“強度原則”，即考察信息侵害對個體的外部社會評價帶來不利影響的大小。評價信息犯罪危害性大小和刑事責任分配的決定性因素是“個人信息侵害強度”。(25)“個人信息侵害強度”(Intensit?t der individuellen Beeintr?chtigung)在德國刑法理論中已然成為專門的學術名詞,詳見Stefan Drackert,“Die Risiken der Verarbeitung personenbezogener Daten”, Duncker & Humblot，2014,S.209-210.上述理論主張亦獲得了司法機關的認可，德國憲法法院的判決亦主張，網(wǎng)絡信息安全犯罪的危害評價，要結合動機、匿名性、信息的個人相關性、信息恐嚇的負面結果等侵害性強度來構建。(26)德國聯(lián)邦憲法法院判決，詳見BVerfGE 100,313；BVerfGE 109,279.值得注意的是，大陸法系的傳統(tǒng)理論觀點中，私權是公權的邊界，公權應當退讓私權，(27)德國法學界中大量關于刑法制定和適用中的公權和私權邊界研究，實際上是在憲法學層面被探討的。詳見Eric Hilgendorf, “Punitivit?t und Rechtsgutslehre: Skeptische Anmerkungen zu einigen Leitbegriffen der heutigen Strafrechtstheorie”, Neue Kriminalpolitik,2010,S.127.但在信息法益領域大陸法系理論界也認同，當個人信息同時具有了公共利益屬性，信息安全犯罪的定量評價標準，則應當將“個體損害強度”轉化為“公共損害強度”，信息的公共利益法律性質優(yōu)先于個體利益法律性質。(28)當特定信息同時具有個人利益屬性和公共利益屬性時，此時針對該特定信息的犯罪，將被認定為屬于危害公共安全的犯罪。詳見小西葉子:《テロリスムに対抗する予防的警察活動と比例原則(二)》,載《一橋法學》2018年第1號。而域外英美法系對信息犯罪的定量評價，同樣強調(diào)不同信息價值差異的區(qū)分。例如，有學者主張對危害個人信息犯罪，要根據(jù)信息同隱私權聯(lián)系緊密程度來進行定量評價[22]；有學者提出，無論是個體還是商業(yè)機構，對自身生產(chǎn)、加工的元數(shù)據(jù)具有獨特財產(chǎn)權利，相關信息安全犯罪的危害性評價，要根據(jù)信息的財產(chǎn)價值程度調(diào)整[23]；有學者則主張，根據(jù)信息價值的大小，可以將其分為公開數(shù)據(jù)、半公開數(shù)據(jù)和非公開數(shù)據(jù)，刑事責任評價的嚴厲程度依次遞增[24]。

2. 構建“信息規(guī)?！睘楹诵牡谋就辆W(wǎng)絡信息安全犯罪定量評價體系。網(wǎng)絡信息安全犯罪定量評價體系的系統(tǒng)化建構，首先需要明確定量評價的核心。當前的司法解釋，正是未明確評價的邏輯主線，才會導致傳統(tǒng)量化標準和新型量化標準主次不分。筆者認為，諸如“違法所得”“損失數(shù)額”“法益侵害程度”等傳統(tǒng)量化標準，只能作為輔助性標準，而“信息規(guī)?！睉敶_立為網(wǎng)絡信息安全犯罪定量評價的核心?！靶畔⒁?guī)?！笔侵?，網(wǎng)絡信息安全犯罪行為所作用的犯罪對象信息中，蘊含的有價值數(shù)據(jù)的規(guī)模。一方面，從實體法角度來看，網(wǎng)絡信息安全的法益蘊含在網(wǎng)絡信息之中，網(wǎng)絡信息安全犯罪在本質上，是以網(wǎng)絡信息為對象的危害性行為，既然在定性層面的信息核心地位已然被學界所普遍認可[25]，在定量評價層面，以網(wǎng)絡信息安全犯罪所作用的“信息規(guī)?！弊鳛榱炕诵?，顯然更加符合其法益本質和行為特征，更能實現(xiàn)準確評價。另一方面，從刑事一體化的視角來看，由于網(wǎng)絡信息的無限延展性和數(shù)據(jù)永存性，想準確界定網(wǎng)絡行為引發(fā)的權益損害極為困難，甚至是不可能的工作。以非法傳播網(wǎng)絡信息犯罪為例，非法信息一旦在網(wǎng)絡空間中散布，理論上其傳播的時間和范圍都將永久性的延展。將信息蘊含的數(shù)據(jù)規(guī)模作為定量標準，比傳統(tǒng)法益標準證明難度更低，更符合刑事訴訟法“事實清楚，證據(jù)確實、充分”的證明標準[9]。

更進一步來看，“信息規(guī)?！弊鳛榫W(wǎng)絡信息安全犯罪定量評價的核心，也可以避免多核心引發(fā)的不同種類量化標準，難以按比例折算問題。當前司法解釋，對網(wǎng)絡信息安全犯罪設置了多元的量化標準，自然會引發(fā)單一量化標準未達到，但是同時接近多個不同量化標準的情況。對此，《侵犯個人信息刑事案件解釋》(29)《侵犯個人信息刑事案件解釋》第5條規(guī)定：“非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第二百五十三條之一規(guī)定的‘情節(jié)嚴重’：……(六)數(shù)量未達到第三項至第五項規(guī)定標準，但是按相應比例合計達到有關數(shù)量標準的；……”《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》(30)《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第3條規(guī)定：“拒不履行信息網(wǎng)絡安全管理義務，具有下列情形之一的，應當認定為刑法第二百八十六條之一第一款第一項規(guī)定的‘致使違法信息大量傳播’：……(三)致使傳播違法信息，數(shù)量雖未達到第一項、第二項規(guī)定標準，但是按相應比例折算合計達到有關數(shù)量標準的；……”中都規(guī)定了規(guī)模數(shù)據(jù)的按比例折算問題，但是這種折算僅限于規(guī)模數(shù)據(jù)之間，對于“違法所得”等傳統(tǒng)定量標準，由于定量標準性質上的本質差異，在刑法邏輯上無法進行折算。

以信息的數(shù)據(jù)規(guī)模作為網(wǎng)絡信息安全犯罪定量評價的核心，有必要明確“數(shù)據(jù)”和“信息”之間的關系。刑法視閾下的“信息”和“數(shù)據(jù)”是一對經(jīng)常提及的概念，二者都在我國刑法條文規(guī)定之中存在，并且在大量的司法解釋中互為解釋，(31)《危害計算機信息系統(tǒng)安全刑事案件解釋》第11條規(guī)定“本解釋所稱‘身份認證信息’，是指用于確認用戶在計算機信息系統(tǒng)上操作權限的數(shù)據(jù)，包括賬號、口令、密碼、數(shù)字證書等。”在理論界也往往將二者視為同一概念混用。(32)許多學者直接將數(shù)據(jù)同網(wǎng)絡信息視為同一概念，在學術研究不加區(qū)分地使用。詳見單勇:《以數(shù)據(jù)治理創(chuàng)新社會治安防控體系》,載《中國特色社會主義研究》2015年第4期。但是從法律術語嚴謹性的角度來看，二者仍然存在一定差異。在內(nèi)涵層面，根據(jù)刑法立法使用習慣，信息一詞更側重于內(nèi)容屬性，其普遍同特定的利益相聯(lián)結，例如，“內(nèi)幕信息”“虛假信息”“公民個人信息”，而數(shù)據(jù)更側重于形式屬性，泛指所有電子化的數(shù)據(jù)，例如，“計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)”；在外延層面，信息更為廣泛，信息泛指“現(xiàn)代科學指事物發(fā)出的符號系列(語言、文字、數(shù)據(jù)、狀態(tài)等)所包含的內(nèi)容，包括人和人、人和自動機以及自動機和自動機之間的消息交流，動、植物界的信號交流，細胞間和機體間的特征傳輸?shù)取！盵26]因此，信息可以儲存在各種介質，包括實體形態(tài)的信息和非實體形態(tài)的信息，而數(shù)據(jù)主要是指信息電子化后的無實體形態(tài)，例如2019年5月28日公布的《數(shù)據(jù)安全管理辦法(征求意見稿)》中，就直接將數(shù)據(jù)安全解釋為網(wǎng)絡數(shù)據(jù)安全。因此，刑法視閾下的“數(shù)據(jù)”是“信息”的電子化載體，數(shù)據(jù)本身不存在價值判斷問題。

(二) 建構網(wǎng)絡信息安全犯罪的分層評價模型

關于網(wǎng)絡信息犯罪的定量評價，域外大陸法系和英美法系的基本立場略有差異，前者是基于對公民個人尊嚴與基本人權的保護，后者則是基于對隱私與自由的保護，但二者普遍認同作為犯罪對象的信息，在實踐中有差異化的價值屬性，并影響刑事責任的具體分配。同傳統(tǒng)犯罪對象的單一化價值不同，信息作為新型犯罪對象具有多元化價值，不同類型信息所體現(xiàn)出的價值層次也不同。從大陸法系的“法益原則”來看，(33)“法益是在以個人及其自由發(fā)展為目標進行建設的社會整體制度范圍之內(nèi)，有益于個人及其自由發(fā)展的，或是這有益于這個制度本身功能的一種現(xiàn)實或者目標設定。”參見克勞斯·羅克辛：《德國刑法學總論》，王世洲譯，法律出版社2005年版，第15頁。不同信息對權利主體保證其自由和發(fā)展的價值存在差異；而從英美法系的“危害原則”來看，(34)“制裁損害他人利益的行為，保護個人自由”是刑罰權的唯一正當目的。參見博登海默：《法理學：法律哲學與法律方法》，鄧正來譯，中國政法大學出版社1999年版，第109頁。侵害不同類型的信息，對權利主體個人利益的損害也有明顯不同。

我國最高司法機關對此亦持肯定意見，《危害計算機信息系統(tǒng)安全刑事案件解釋》將信息分為“網(wǎng)絡金融服務的身份認證信息”和“其他身份認證信息”兩種，并設置了差異的量化標準，顯然認為前者屬于具有較高價值的信息；(35)詳見《危害計算機信息系統(tǒng)安全刑事案件解釋》第1條。《侵犯個人信息刑事案件解釋》和《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》中將信息分為“行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”“住宿信息、通信記錄、健康生理信息、交易信息等可能影響人身、財產(chǎn)安全的公民個人信息”“其他公民個人信息”三類，價值依次遞減。(36)詳見《侵犯個人信息刑事案件解釋》第5條、《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第4條?？梢?，我國現(xiàn)有網(wǎng)絡信息安全犯罪的定量評價，對犯罪對象的信息在價值上進行了劃分，并設置了不同的“信息規(guī)?！睒藴?。然而，現(xiàn)有定量評價體系對信息價值劃分的標準，存在著明顯的缺陷。一方面，缺乏體系性，不同罪名“各自為政”，同一罪名中的劃分標準亦不統(tǒng)一?！肚址競€人信息刑事案件解釋》和《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》中，“行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”的劃分，采用的是形式標準，僅根據(jù)信息的數(shù)據(jù)特征來確定。而“住宿信息、通信記錄、健康生理信息、交易信息等可能影響人身、財產(chǎn)安全的公民個人信息”的劃分，采用了實質標準，需要判斷信息所關聯(lián)的法益來確定。另一方面，理論基礎薄弱，難以滿足罪責刑相適應原則的嚴格要求?！靶雄欆壽E信息、通信內(nèi)容、征信信息、財產(chǎn)信息”四類信息具有最高價值位階的依據(jù)何在？下一價值位階的信息，例如“健康生理信息”是否在任何情況下，價值都必然小于“行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”？這些問題，現(xiàn)有劃分標準難以合理回應。

因此，筆者認為有必要重構系統(tǒng)化的信息價值分層模型，以信息同信息安全的關聯(lián)程度為標準，劃分為三層：(37)值得注意的是，刑法視閾下的數(shù)據(jù)分層本質上是數(shù)據(jù)關聯(lián)的法益價值判斷問題，不能直接等同于數(shù)據(jù)可挖掘性的數(shù)據(jù)分層，后者可以作為法益價值判斷基礎后電子取證輔助技術。盧志茂、馮進玫、范冬梅、楊朋、田野：《面向大數(shù)據(jù)處理的劃分聚類新方法》，載《系統(tǒng)工程與電子技術》2014年第5期。第一層，同網(wǎng)絡信息安全高度關聯(lián)的信息，即不用通過數(shù)據(jù)分析，就可以直接危害重要權益的數(shù)據(jù)；第二層，同網(wǎng)絡信息安全中度關聯(lián)的信息，即可以直接危害一般權益，或者通過數(shù)據(jù)分析處理，可能損害重要權益的數(shù)據(jù)；第三層，同網(wǎng)絡信息安全低度關聯(lián)的信息，即上述兩種信息以外的全部數(shù)據(jù)。重構的模型全部采用實質性判斷，不再具體列舉特定信息種類的價值階層。一方面，避免司法解釋的絕對化。實踐中信息的價值是同應用場景緊密結合不斷變化的。例如，同樣是“通信內(nèi)容”信息，根據(jù)具體內(nèi)容的不同，信息價值將具有明顯差異。當前司法解釋默認所有“通信內(nèi)容”信息都具有最高價值位階，忽視了信息應用的復雜性和多樣性；另一方面，避免司法解釋的滯后性。我們依然處于大數(shù)據(jù)時代的開端，各類信息數(shù)據(jù)的價值還在不斷發(fā)掘，特定信息的價值處于動態(tài)發(fā)展之中。例如，人的面貌信息，在人臉識別技術日益普及的背景下，價值正在不斷提升[27]。法律和司法解釋，都有必要給技術發(fā)展保留一定的空間。例如，德國立法機關對數(shù)據(jù)概念的內(nèi)涵采用模糊態(tài)度，就是為了防止新技術發(fā)展引發(fā)法律概念的不斷調(diào)整。(38)參見Vgl. Daniel Schuh, “Computerstrafrecht im Rechtsvergleich-Deutschland, ?sterreich，Schweiz”,Duncker & Humblot,2011,S.53-56.因此，我國網(wǎng)絡信息安全犯罪定量評價的分層模型亦不應當采用形式標準，采用實質標準，有助于在技術變革期，保持一定的規(guī)范穩(wěn)定性。

(三) 設定統(tǒng)一的“組信息”基礎計量單位

“信息規(guī)模”是當前網(wǎng)絡信息安全犯罪定量評價體系中的標準之一，但多種計量單位的混用和內(nèi)涵模糊，嚴重阻礙了“信息規(guī)模”認定的司法效果，未來將“信息規(guī)?！弊鳛楹诵臉藴剩枰O定統(tǒng)一的基礎計量單位。

首先需要排除的是“次信息”計量單位。因為“次信息”被限定在信息傳播領域，并且僅能體現(xiàn)傳播的廣度，無法真正體現(xiàn)非法傳播信息的數(shù)據(jù)規(guī)模，其僅適合在非法傳播網(wǎng)絡信息犯罪中作為輔助性的量化標準。

同時，“個信息”也不適合作為基礎計量單位。“個”普遍用于能夠明確劃分為最小獨立單位的計數(shù)，例如“一個人”“一個字符”，并不適合以多樣化電子數(shù)據(jù)為載體的信息規(guī)模的計數(shù)?！斗欠ɡ?、幫助信息網(wǎng)絡犯罪刑事案件解釋》之所以將“個信息”作為計量單位，實際上為了對應信息物理載體電子化后的電子文件計數(shù)，所以才將“違法視頻文件二百個以上”“違法視頻文件以外的其他違法信息二千個以上”，(39)詳見《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》第3條。作為拒不履行信息網(wǎng)絡安全管理義務罪中“致使違法信息大量傳播”的認定標準。此種模式，最早在淫穢物品犯罪相關司法解釋中就已有嘗試，(40)《淫穢電子信息刑事案件解釋》第1條規(guī)定：“以牟利為目的，利用互聯(lián)網(wǎng)、移動通訊終端制作、復制、出版、販賣、傳播淫穢電子信息，具有下列情形之一的，依照刑法第三百六十三條第一款的規(guī)定，以制作、復制、出版、販賣、傳播淫穢物品牟利罪定罪處罰：(一)制作、復制、出版、販賣、傳播淫穢電影、表演、動畫等視頻文件二十個以上的；……”然而，此種模式的核心問題在于，無法準確評價信息規(guī)模，特別是在電子圖片拼接、剪切，電子書籍摘選與合并，網(wǎng)絡音頻、視頻剪輯的情形下，尤為明顯。例如，將一個時長一小時的視頻文件，剪輯為10個6分鐘時長的視頻文件，此時相應的計數(shù)就從“1個”變?yōu)椤?0個”，但信息數(shù)據(jù)規(guī)模并無變化。因此“個信息”計量單位同樣應當予以排除。

目前網(wǎng)絡信息安全犯罪相關司法解釋中，“條信息”是運用最為廣泛的計量單位，但其同樣不適合作為“信息規(guī)模”的基礎計量單位。(41)侵犯公民個人信息罪是當前司法實踐中適用最多的網(wǎng)絡信息安全犯罪專屬罪名，《侵犯個人信息刑事案件解釋》中將“條”作為公民個人信息規(guī)模的單一計量單位，盡管司法解釋中規(guī)定最少50條信息就可以成立犯罪，但實踐中犯罪對象達上億條信息的情形屢見不鮮。詳見劉宏順：《一兩百元就可買上億條個人信息》，載《四川日報》2016年9月30日第11版；盛望：《高中生竊取1億條公民信息獲利兩萬元黑客少年竊取的“數(shù)據(jù)帝國”》，載《西海都市報》2019年10月30日第A11版。而最高司法機關對“條信息”單位本身亦并不完全認可，因此在后續(xù)頒布的《非法利用、幫助信息網(wǎng)絡犯罪刑事案件解釋》中才會選擇多種計量單位混用。從形式層面來看，“條”單位普遍用于文字信息計量，不適合對視頻、圖片等其他形式的網(wǎng)絡信息進行計數(shù)。“一條視頻”“一條圖片”顯然不符合語言習慣，局限性較為明顯。從實質層面來看，“條信息”的判斷，高度依賴信息儲存的客觀狀態(tài)，司法機關不宜基于價值判斷對信息進行二次分割、組合，因為會改變原有信息的“條”數(shù)。對此，司法解釋采取了一種“妥協(xié)性”的做法，《侵犯個人信息刑事案件解釋》第11條第3款規(guī)定：“對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復的除外。”該規(guī)定實際上是按照犯罪人對“一條信息”劃分的標準，來作為司法層面“條信息”的認定標準。“針對同一對象可能并存‘姓名+住址’‘姓名+電話號碼’‘姓名+身份證號’等數(shù)條信息，但要求做到完全去重較為困難。為便于辦案部門實際操作，突出對侵犯公民個人信息犯罪的從嚴懲治，《解釋》明確對批量公民個人信息的數(shù)量根據(jù)查獲的數(shù)量直接認定，但允許根據(jù)在案證據(jù)排除不真實或者重復的信息?！盵28]因此，如果犯罪人A，將非法獲取的一萬名公民姓名、身份證號和住址的規(guī)模數(shù)據(jù)，按照主體標準，儲存為一萬條信息，那么司法實踐中就將按照“非法獲取一萬條信息”來認定；而犯罪人B將非法獲取的一萬名公民姓名、身份證號和住址的規(guī)模數(shù)據(jù)，按照數(shù)據(jù)類型標準，以“姓名+身份證號”“姓名+住址”為內(nèi)容，儲存為兩萬條信息，那么司法實踐中就將按照“非法獲取兩萬條信息”認定。這種交由犯罪人自行決定司法量化標準的模式，顯然是不可取的，也暴露了“條信息”計量單位的固有缺陷。

筆者認為“組信息”最適合作為“信息規(guī)?！钡幕A計量單位。其一，從技術層面來看，“組信息”作為計量單位，可以適用于全部網(wǎng)絡信息類型，并且可以用于描述不同類型信息的集合。例如，一段文字、視頻和音頻可以共同構成“一組信息”，這是其他計量單位所不具備的優(yōu)勢；其二，從刑事實體法層面來看，網(wǎng)絡信息在作為犯罪對象時，首先要根據(jù)信息蘊含的信息安全法益價值大小進行定性評價，然后才能進一步根據(jù)信息規(guī)模的大小進行定量評價?！敖M信息”作為計量單位，可以有效解決既需要定性評價又需要定量評價的難題。例如，以特定數(shù)據(jù)庫作為犯罪對象時，無論數(shù)據(jù)庫中信息的數(shù)量和形態(tài)如何，都可以按照上文的信息分層標準，將其整體劃分為高價值信息、中價值信息和低價值信息三大類“組信息”，然后進一步統(tǒng)計每一大類別中有多少小“組信息”，最后對不同大類別的“組信息”數(shù)量進行按比例折算，可以充分兼顧信息的定性評價和定量評價。其三，從刑事程序法層面來看，“組信息”作為計量單位，本身就含有司法機關對信息進行分組選擇的內(nèi)涵，便于司法機關根據(jù)信息的內(nèi)容和性質，對信息進行劃分整合，使司法機關不再被動依賴犯罪人對信息的儲存狀態(tài)。

關于“一組信息”的數(shù)據(jù)規(guī)模，根據(jù)刑法視閾下信息類型的差異，可以分為兩種。其一，有合法信息主體的信息，包括侵犯公民個人信息罪中的個人信息、非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中的個人或機構信息、拒不履行信息網(wǎng)絡安全管理義務罪中的用戶信息。此類信息，要結合信息主體和信息分層結構共同確立一組信息的數(shù)據(jù)規(guī)模。以個人信息為例，犯罪人A非法獲取了100名公民的個人信息，每名公民個人信息中包含的信息類別相同，此時將以100為基數(shù)，考察數(shù)據(jù)中是否包含不同價值分層的信息，如果都屬于同網(wǎng)絡信息安全高度關聯(lián)、中度關聯(lián)、低度關聯(lián)信息中的一類，則直接認定為100組相對應的信息；如果同時包含高度關聯(lián)、中度關聯(lián)、低度關聯(lián)三類信息，最后統(tǒng)計的“信息規(guī)模”便認定為，高度關聯(lián)信息100組、中度關聯(lián)信息100組、低度關聯(lián)信息100組。而由于不同價值階層信息的量化標準必然有差異，最后要按相應比例折算后合計。其二，違法、犯罪、虛假信息，包括拒不履行信息網(wǎng)絡安全管理義務罪中的違法信息，非法利用信息網(wǎng)絡罪中的違法、犯罪信息，編造、傳播虛假信息罪中的虛假信息。此類信息由于不存在合法的信息主體，僅根據(jù)規(guī)模數(shù)據(jù)對法益的獨立危害性，來確立一組信息的標準。以犯罪信息為例，犯罪人B在通訊群組發(fā)布了五種制造毒品方法的信息，每一種制造毒品方法數(shù)據(jù)的集合，都是可以獨立對法益產(chǎn)生危害的信息，此時應認定為五組信息，然后再判斷該信息所處的價值分層，而如果B在通訊群組僅發(fā)布了一種毒品制造方法信息，無論是否分多次發(fā)布，僅能認定為一組信息，然后判定該組信息的價值分層。

當然，“組信息”劃定標準下，可能會出現(xiàn)不同個案中“一組信息”所包含的信息規(guī)模不一致的情形。筆者認為，在網(wǎng)絡信息安全犯罪領域，由于信息的多樣性和復雜性，按照量化標準劃定的基礎信息單元，無法做到在不同個案中完全一致。而該問題的解決，一方面，可以通過增設一些輔助性的量化標準，例如“違法所得”“信息傳播量”“數(shù)據(jù)存儲空間”(42)《邪教組織刑事案件解釋》中將電子文檔的字符、電子音視頻的分鐘作為定量評價標準之一。從計算機網(wǎng)絡技術的角度，“字符”等數(shù)據(jù)結構單元顯然是最標準的信息規(guī)模計數(shù)單位，但基于規(guī)范和技術之間的研究視角差異，刑法學視野下的定量計數(shù)單位需要符合價值判斷的需求，相同字符量的數(shù)據(jù)在刑法層面的價值可能完全不同，因此，類似“字符”大小等標準僅適合作為輔助標準，而無法成為核心標準。來幫助判定；另一方面，也應當賦予法官一定的自由裁量權空間。在民事網(wǎng)絡侵權領域，司法解釋明確賦予了法官以根據(jù)信息同權益的密切程度來判定責任，刑事犯罪領域同樣可以適用該理念，(43)2014年《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》第10條規(guī)定：“人民法院認定網(wǎng)絡用戶或者網(wǎng)絡服務提供者轉載網(wǎng)絡信息行為的過錯及其程度，應當綜合以下因素：……(二)所轉載信息侵害他人人身權益的明顯程度；……”由法官根據(jù)個案“一組信息”對網(wǎng)絡信息安全危害性程度的差異，來實現(xiàn)刑事責任的合理分配。