田 剛

(中央民族大學 法學院，北京 100081)

法治建立在現實世界的基礎上，人類社會正在經歷前所未有的高速發(fā)展，肉眼不可見的微觀世界才向人類敞開原子時代的大門，不具有實體形態(tài)的大數據時代又接踵而來。從聯合國2009年的“數據脈動計劃”之后，世界各國普遍將大數據上升到國家戰(zhàn)略層面。(1)參見朱衛(wèi)東、張超、吳勇：《大數據與“五位一體”的國家戰(zhàn)略應用布局》，載《毛澤東鄧小平理論研究》2017年第3期。我國從2014年將大數據寫入中央政府工作報告后，2018年更明確提出“全面實施國家大數據戰(zhàn)略”。大數據時代的序幕已經拉開，大數據背景下的社會治理將面臨全新的挑戰(zhàn)，首當其沖的就是數據安全刑法保護領域。全新時代背景下，如何將技術模式下的數據安全，置于刑法的視角下進行合理保護，是刑法適應時代變遷自我更新的關鍵。

基于數據犯罪的洶涌態(tài)勢和數據安全重大利益的保護需求，刑法及時介入到數據安全保護領域具有毫無疑問的必要性。然而，同傳統社會擁有漫長理論調整期和實踐緩沖期的刑法更新模式不同，信息社會發(fā)展的迅猛態(tài)勢，使刑法更新缺乏足夠的理論指導和實踐積累。目前刑法的快速擴張，實際上具有一種“迫不得已”的實驗性質，背后的法律風險不容小覷。數據安全具有數據有效保護和合法利用雙重內涵，(2)《數據安全法(草案)》第3條：“數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力”。刑法對數據安全領域的過度介入，在加強數據保護的同時，也容易阻礙數據合法利用，難以實現數據安全的刑法保護功能。因此，為了防范數據時代的刑法更新風險，刑法應當保持其應有的謙抑性，明確數據安全的刑法保護邊界。

一、數據安全的立法宣示和刑法保護必要性共識

數據安全早期僅是一個技術性概念，但隨著世界各國普遍將其納入到立法之中，數據安全的獨立法益屬性開始凸顯，《數據安全法(草案)》的發(fā)布正式宣告了數據安全成為獨立于信息安全的新型法益，基于數據安全自身利益的多元性，所有部門法都應將數據安全納入自身的保護范圍之中，而刑法更是其中關鍵的一環(huán)。

(一)數據安全的立法宣示：數據安全從技術概念向法律術語的轉化

數據安全(Data Security)并不是一個傳統的法律術語，其更多的時候是屬于計算機信息系統技術層面和管理層面討論的概念。最早的數據安全范疇可以追溯到20世紀60年代末期，是基于控制論而提出的一種可控制的“賽博空間”(Cyberspace)系統安全，其本身是一個純技術概念。(3)參見Jacob Lillemose，Mathias Kryger，The (Re)invention of Cyberspace，Kunstkritikk，24.08.2015，http://www.kunstkritikk.com/kommentar/the-reinvention-of-cyberspace/, last visited on 11.08.2020美國小說家威廉·吉布森(William Gibson)于20世紀80年代初期，在其科幻文學作品用以描述未來社會的虛擬電子信息場域時，提出了網絡虛擬場域中的數據安全概念，(4)參見Gibson, William. Neuromancer.New York: Ace Books.1984, p.69.數據安全被重新賦予社會秩序安全的全新內涵，(5)參見Davidson James Dale,William Rees-Mogg.The Sovereign Individual. New York: Simon & Schuster. 1999, p.8.并在20世紀90年代成為在社會學、政治學、新聞學等學科領域普遍接受和認可的專業(yè)詞匯。(6)參見Strate, Lance. The varieties of cyberspace: Problems in definition and delimitation. Western Journal of Communication.1999:63 (3), pp.382-383.我國也于20世紀90年代末引入了數據安全的概念，并同傳統的隱私權進行結合性思考。(7)參見【美】阿蘭德(N.W.Allard), 科斯(D.A. Kass)：《網絡空間的安全與隱私問題》，陶旭東、陳芳譯，載《現代外國哲學社會科學文摘》1998年第2期。該文翻譯節(jié)選自：Nicholas W. Allard, David A. Kass.Law and Order in Cyberspace.Hastings Communications and Entertainment Law Journal.1997:(563):19,pp.566-585.由此可見，數據安全一詞被用于廣泛的學科領域，而不同學科領域基于不同視角對其進行了多樣化的闡釋，根據國外學者的統計，關于數據安全在理論上有較大影響的定義近30種。(8)FD Kramer, S. Starr, L.K. Wentz (ed.). Cyberpower and National Security. Washington DC: National Defense University Press.2009, p.15.數據安全這一概念從誕生之初，就處在不斷的異化和演進之中。整體來看，數據安全的外延在持續(xù)性地擴張，在物理基礎層面，由早期的計算機網絡向各類通訊網絡、工業(yè)網絡、服務網絡擴張，甚至將小型局域網和單機網絡也納入自身物理網絡體系；(9)參見Graham, Mark.Geography internet: ethereal alternate dimensions of cyberspace or grounded augmented realities?. The Geographical Journal. 2013:179(2), pp.177-182.在場域層面，從最早期的技術場域到基于數字化模擬的虛擬場域，當前已然由于同現實社會的高度融合實現了實體化發(fā)展。(10)參見Graham, Mark.Time machines and virtual portals: The spatialities of the digital divide. Progress in Development Studies.2011:11(3), pp.211-227.

實際上，不只是理論層面，自2003年美國首次在《保護網絡空間的國家安全戰(zhàn)略》對數據安全進行界定后，各國政府機關和國際組織通過官方文件所闡釋的數據安全概念也是內涵和外延各異。值得注意的是，同學術界運用數據安全來進行理論探討不同，各國政府和國際組織在數據安全概念納入到官方文件本身，就已然說明公權力開始介入到數據安全領域，換言之，數據安全在法律層面的概念本身就是公權力適用于數據安全的宣示。而我國最早規(guī)定數據安全的法律是1998年頒布的《證券法》，(11)1998年《證券法》第152條：“證券登記結算機構應當采取下列措施保證業(yè)務的正常進行：(一)具有必備的服務設備和完善的數據安全保護措施……”。2015年的《網絡安全法》中對數據安全亦進行了規(guī)定，(12)《網絡安全法》第18條：“國家鼓勵開發(fā)網絡數據安全保護和利用技術，促進公共數據資源開放，推動技術創(chuàng)新和經濟社會發(fā)展?！倍?017年修訂的《測繪法》中同樣規(guī)定了數據安全的相關內容。(13)《測繪法》第14條第2款：“衛(wèi)星導航定位基準站的建設和運行維護單位應當建立數據安全保障制度，并遵守保密法律、行政法規(guī)的規(guī)定?！?；第18條第2款：“互聯網地圖服務提供者應當使用經依法審核批準的地圖，建立地圖數據安全管理制度，采取安全保障措施，加強對互聯網地圖新增內容的核校，提高服務質量。”但是整體來看，我國現行法律依然缺乏對數據安全的系統化表述，僅有的一些規(guī)定也都是從技術和管理保障的層面來討論數據安全，未將其作為一個獨立的重要權益予以保護。 2020年7月《數據安全法(草案)》的發(fā)布，標志著我國開始將數據安全作為獨立法益進行保護，而這也僅僅是我國圍繞數據安全進行全面法律更新的一個起點，后續(xù)其他部門法的更新中，都需要考慮新興的數據安全法益的保護需求，而刑法保護無疑是其中重要的一環(huán)。(14)《數據安全法(草案)》第47條：“通過數據活動危害國家安全、公共利益，或者損害公民、組織合法權益的，依照有關法律、行政法規(guī)的規(guī)定處罰。”第48條：“違反本法規(guī)定，給他人造成損害的，依法承擔民事責任。違反本法規(guī)定，構成違反治安管理處罰行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。”

(二)數據安全刑法保護的基本性共識：刑法有必要全面介入數據安全法律保護領域

《數據安全法(草案)》中對數據的界定為：“任何以電子或者非電子形式對信息的記錄”，將數據分為了“電子形式”和“非電子形式”兩種類型，但毫無疑問后者才是真正同信息通訊和網絡技術充分相結合，開啟了大數據時代的“主角”。在網絡社會尚未成型時期，諸如德國社會學家弗勒?！ぬ睾Ｄ?OssiP Flechtheim)、加拿大傳播學家馬歇爾·麥克盧漢(Marshall Mcluhan)等一批敏銳的學者，已然認識到了數據價值的充分利用將會給人類傳統社會規(guī)則帶來的顛覆性變革，然而，彼時的研究并無應有的現實基礎，因此也被視為一種未來學研究。(15)參見王強：《人類面臨的新社會——20世紀未來學大觀》，載《國外社會科學》1999年第6期。而在網絡社會初具雛形之時，新誕生的網絡空間數據安全保護的“權力真空”由誰來填補，開始真正引起了關注。部分技術專家認為，認為虛擬數據可以享受不受現實法律約束的“自由”，特別是應當排除國家刑罰權的介入，該主張和期待網絡空間中的“黑客”會自發(fā)形成正義且道德的共同“黑客倫理”一樣，(16)參見Steven Levy.Hackers: Heroes of the Computer Revolution, Massachusetts: O'Reilly Media Inc.2010, pp.29-34.成為20世紀末興起的“賽博自由主義”思潮(Cyber Libertarianism)的重要內容。(17)參見Borsook, P.. Cyberselfish: Ravers, Guilders, Cyberpunks, And Other Silicon Valley Life-Forms. Yale Journal of Law and Technology.2001:3(1),pp.1-10.“網絡自由主義”所主張的網絡空間“數字化”“去中心化”“端口共享”等技術架構，在技術層面并無問題。但是基于技術天然的中立性，上述技術特性并不會自動轉化成法律規(guī)則，其混淆了技術問題和法律問題。(18)參見David D.Clark,Marjory S.Blumenthal.Rethinking the Design of the Internet: The End to End Arguments VS.the Brave New World.ACM Transactions on Internet Technology.2001:1(1),p.72.實際上，電子數據系統的技術架構特性，使其對傳統現實社會空間的權益有高度開放性與極強的兼容性，隨著數據和現實社會的充分融合，人類的行為本身就是一種實時的數據行為和現實行為的復合，“永遠‘在線’和隨時‘接入’已成為眾多個體的生存狀態(tài),虛擬‘身份’、‘行為’和‘財產’和真實身份、行為和財產亦渾然一體?！?19)張新寶、許可：《網絡空間主權的治理模式及其制度構建》，載《中國社會科學》2016年第8期。當前，各類數據處理活動(20)《數據安全法(草案)》第3條：“數據活動，是指數據的收集、存儲、加工、使用、提供、交易、公開等行為?！钡拇胬m(xù)和發(fā)展也高度依賴傳統現實空間法律所建構的秩序，“賽博自由主義”排斥數據安全領域國家刑罰權的運用，已然被數據應用的迅速擴張自身所否定。(21)參見Dwight D. Murphey.Cyber Anarchism, Wiki Leaks and Computer Warfare: the Unprecedented Dangers Associated with Information Technology Today.Journal of Social Political and Economic Studies,2011:36(4),p.465.

數據安全能夠形成封閉性全新秩序的客觀前提，是其同傳統社會安全存在足夠的隔離性和獨立性，但實際上，數據安全從未具有過這種隔離性和獨立性。在網絡空間初創(chuàng)時期，網絡空間中固有的虛擬性與技術性特征，在一定程度上使人產生了網絡空間中的電子數據具有虛擬性，同現實空間的現實權益是獨立而平行的錯覺，而隨著網絡社會的擴張，其同傳統社會的高度融合，并同現實社會的各種利益復雜交織。當前的社會背景下，任何一類傳統社會權益都可以通過數字化的方式以特定的數據方式呈現出來。因此，數據處理活動同傳統社會的各項活動一樣，除了技術規(guī)則以外還需要符合社會規(guī)則，以滿足不同主體的合理利益訴求。而為了維護增進數據處理活動中的公共權益和保障實現數據處理活動中的個人權利，刑法公權力都有必要充分地介入到數據安全保護領域，而且是一種全面性介入，不是單純地局限于特定的“網絡刑法”。(22)參見孫道萃：《網絡刑法知識轉型與立法回應》，載《現代法學》2017年第1期。刑法作為所有重要法益的最后保障法，全面介入數據安全的法律保護，具有時代的必要性。

二、數據安全刑法保護的擴張進路

我國現行《刑法》對數據安全保護的擴張，是通過不斷拓展信息犯罪外延的方式實現的，而當數據被賦予國家基礎生產要素地位之后，刑法無法再繼續(xù)通過信息犯罪對數據安全進行全面性的有效保護，未來刑法必然要將數據安全作為獨立的法益，建構新的數據犯罪罪名體系，實現數據安全領域刑法保護的大規(guī)模擴張。

(一)信息犯罪類別的不斷擴展——刑法數據安全保護的早期擴張模式

數據是記錄信息的載體，因此數據和信息是一對緊密聯系的概念，我國刑法早期對數據的保護，實際上是通過對數據所記錄特定信息的保護來實現的。

我國1997年《刑法》立法之初，被作為犯罪對象的信息僅限定為“秘密情報”類信息和“證券交易類”信息兩類，前者具體通過為境外竊取、刺探、收買、非法提供國家秘密、情報罪，非法獲取國家秘密罪，故意泄露國家秘密罪，過失泄露國家秘密罪，非法獲取軍事秘密罪，為境外竊取、刺探、收買、非法提供軍事秘密罪，故意泄露軍事秘密罪，過失泄露軍事秘密罪和侵犯商業(yè)秘密罪來實現；后者則通過內幕交易、泄露內幕信息罪和編造并傳播證券交易虛假信息罪來實現。(23)“編造并傳播證券交易虛假信息罪”被《刑法修正案》修正后，現行《刑法》中的罪名為“編造并傳播證券、期貨交易虛假信息罪”。

1999年頒布的《刑法修正案》通過修正內幕交易、泄露內幕信息罪和編造并傳播證券交易虛假信息罪的方式，將“期貨內幕信息”和“期貨交易虛假信息”納入到刑法的規(guī)范范圍； 2001年頒布的《刑法修正案(三)》通過增設編造、故意傳播虛假恐怖信息罪的方式，將“虛假恐怖信息”納入到刑法的規(guī)范范圍；2005年頒布的《刑法修正案(五)》通過增設竊取、收買、非法提供信用卡信息罪的方式，將“信用卡信息”納入到刑法的規(guī)范范圍；2006年頒布的《刑法修正案(六)》通過修正提供虛假財會報告罪的方式，(24)“提供虛假財會報告罪”被《刑法修正案(六)》修正后，現行《刑法》中的罪名為“違規(guī)披露、不披露重要信息罪”。將“公司、企業(yè)依法應當披露的信息”納入到刑法的規(guī)范范圍；2009年頒布的《刑法修正案(七)》通過增設利用未公開信息罪，出售、非法提供公民個人信息罪，非法獲取公民個人信息罪，(25)“出售、非法提供公民個人信息罪”“非法獲取公民個人信息罪”被《刑法修正案(九)》修正后，現行《刑法》中的罪名為“侵犯公民個人信息罪”。將“內幕信息以外的其他未公開信息”“公民個人信息”納入到刑法的規(guī)范范圍；2015年頒布的《刑法修正案(九)》通過增設宣揚恐怖主義、極端主義、煽動實施恐怖活動罪，拒不履行信息網絡安全管理義務罪，編造、故意傳播虛假信息罪，泄露不應公開的案件信息罪，披露、報道不應公開的案件信息罪的方式，將“恐怖主義、極端主義信息”“違法信息、用戶信息、刑事案件證據信息”“虛假的險情、疫情、災情、警情信息”“不公開審理的案件中不應當公開的信息”納入到刑法的規(guī)范范圍。

綜上，隨著信息社會的不斷發(fā)展，我國刑法通過修正案的方式，不斷擴展納入刑法制裁的信息犯罪范圍，使數據安全的保護也得到了同步的擴張。

(二)獨立的完整法益——刑法數據安全保護的未來方向

雖然刑法通過對特定信息的保護，可以間接地實現對數據安全的保護，但數據和信息在刑法視閾下存在本質上差異，刑法對信息安全的保護無法對數據安全實現全面、完整的保護。信息和數據是經常聯系在一起的一對概念，經常被司法解釋用來進行互為解釋，(26)《危害計算機信息系統安全刑事案件解釋》第11條規(guī)定：“本解釋所稱‘身份認證信息’，是指用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等?！钡屑毧疾煨畔⒑蛿祿谖覈谭ㄖ械木唧w表達場景，二者仍然存在明顯差異?！靶畔ⅰ笔蔷邆涮囟êx的內容，泛指“現代科學指事物發(fā)出的符號系列(語言、文字、數據、狀態(tài)等)所包含的內容，包括人和人、人和自動機以及自動機和自動機之間的消息交流，動、植物界的信號交流，細胞間和機體間的特征傳輸等。”(27)董大年：《現代漢語分類大詞典》，上海辭書出版社2007年版，第578頁。刑法中的信息關注的是內容屬性，其普遍同特定的利益相聯結，例如，“內幕信息”“信息卡信息”“公民個人信息”?！皵祿笔切畔⒌挠涗涊d體，本身并不指向特定的內容，需要對數據進行特定目的化的處理后，才能形成特定內容的信息。刑法中數據，關注的也是形式屬性，例如“計算機信息系統中存儲、處理或者傳輸的數據”。

因此，信息和數據最大的差異在于，信息所包含內容及內容指向的具體法益是確定的，而數據通過處理獲得的內容，以及內容指向的具體法益并不確定，而是一種抽象的法益可能性。例如，公民個人信息的內容是“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！?28)最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條。而公民個人信息特定內容所指向的具體法益則是公民個人信息權。然而，數據在靜態(tài)狀態(tài)下僅是特定的符號排列，必須經過特定目的的數據處理后，才能轉化為有具體內容的信息，而根據數據處理目的的不同，相同數據能夠得到的信息內容亦存在差異。例如，某醫(yī)院近10年的病例數據，通過數據處理可以獲得公民個人信息和商業(yè)秘密、也可以獲得公共衛(wèi)生信息，在特定情況下可能還可以獲得國家秘密、軍事秘密。(29)例如，該醫(yī)院有國家領導人的就診數據，或者該醫(yī)院同軍事機構合作，開展具有軍事用途的保密性試驗數據等。實際上，如圖一所示，在一定意義上，任何數據都可能同時關系到個體利益、公共利益和國家利益，(30)《數據安全法(草案)》第47條：“通過數據活動危害國家安全、公共利益,或者損害公民、組織合法權益的,依照有關法律、行政法規(guī)的規(guī)定處罰?！睅缀蹩梢猿橄蠛w到現有刑法保護的所有法益。(31)參見田剛：《網絡信息安全犯罪的定量評價困境和突圍路徑——大數據背景下網絡信息量化標準的反思和重構》，載《浙江工商大學學報》2020年第3期。

圖一 數據安全的內部分層模型圖

我國刑法更加傾向對包含明確具體法益的信息進行保護，而對數據安全這種抽象的獨立法益屬性關注不足，最為典型的就是《刑法修正案(七)》增設非法獲取計算機信息系統數據、非法控制計算機信息系統罪。在立法層面“非法獲取計算機系統數據”的行為，犯罪對象是可能蘊含各類信息的數據，但是相關司法解釋的方式，將其限定為包含“身份認證信息的計算機信息系統數據”。(32)《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第1條：“非法獲取計算機信息系統數據或者非法控制計算機信息系統，具有下列情形之一的，應當認定為刑法第二百八十五條第二款規(guī)定的‘情節(jié)嚴重’：(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的；(二)獲取第(一)項以外的身份認證信息五百組以上的”。然而，隨著大數據技術的廣泛應用，數據的獨立價值日益凸顯，特別是我國《數據安全法》施行后，數據安全將成為法定的獨立法益，現有刑法通過信息對數據進行間接保護的方式，將面臨保護嚴重不足的挑戰(zhàn)。例如，非法獲取上文所說的醫(yī)院數據的行為，現有刑法必須要依賴行為人主觀想獲取的信息類別來確定行為性質，然而，行為人可能主觀上并未有獲取特定種類信息的目的，而是由于認識到該規(guī)模數據的價值，想非法獲取后出售獲利，此時如何進行準確的刑法評價將是難題。無論是按照侵犯公民個人信息罪、侵犯商業(yè)秘密罪抑或非法獲取國家秘密罪都無法完整評價該規(guī)模數據的價值。因此，面臨新的數據犯罪，傳統立法獨立性存在“先天不足”，學界開始提出未來刑法應當將數據安全法益作為獨立保護法益，通過增設新的數據犯罪罪名，對數據犯罪進行獨立規(guī)范評價。(33)參見楊志瓊：《我國數據犯罪的司法困境與出路: 以數據安全法益為中心》，載《環(huán)球法律評論》2019年第6期。

三、數據安全領域刑法擴張的合邊界性審視

“合邊界審視”是指判定刑法擴張是否超出了基于刑法公權力謙抑性而限定的邊界，是每一次刑法擴張前都應當被反復衡量的問題。同現在刑法所保護的信息安全相比，數據安全的內涵和外延上有了明顯的擴展，但數據活動本質上依然是人類的活動領域。當前，數據安全中公權力的存在已經被立法所正式宣示，一旦數據活動關聯到了足夠重要的利益，刑法就應當考慮介入。而刑法介入不能只考慮必要性，更需要考慮“合邊界性”，缺乏任何一個要素，刑法的介入都將出現“不穩(wěn)定”乃至“坍塌”的制度風險。然而，盡管我國刑法從1979年開始，就整體上呈現出擴張趨勢，但“刑法邊界合理劃定”問題長期以來卻并未引發(fā)理論界的太多關注，這一方面固然是受到刑法學界對規(guī)范刑法學或法教義學研究偏愛的影響，(34)參見[西]里卡多·羅伯斯·普拉納斯：《刑法教義學的本質》，張志鋼譯，載《中國政法大學學報》2020年6期。但更為關鍵的是，過去刑法擴張步履較為平緩，學界普遍能夠接受而未提出太多質疑。近年來刑法擴張明顯加速，尤其是《刑法修正案(九)》頒布后，我國刑法全面介入信息數據領域，(35)參見齊文遠：《修訂刑法應避免過度犯罪化傾向》，載《法商研究》2016年第3期。學界才開始集體反思是否存在刑法過度擴張的問題。

德國公法語境下的“刑法邊界”,最初起源于契約理論對國家權力合法性的論證，契約理論模型中，國家刑事處罰權來自人民的權利讓渡，因此，國家刑事處罰權必須限定在人民授權的界限內，否則應當視為一種越權行為。(36)參見[德]洛塔爾·庫倫(Lothar Kuhlen)：《論刑法與憲法的關系》，蔡桂生譯，載《交大法學》2015年第2期。然而，由于契約理論是假設性的理論推演，缺乏真實契約內容基礎，國家刑罰權從理論到實踐需要更為具體的標準來界定，針對什么樣的行為，國家才能運用刑罰權。(37)參見[德]克勞斯·羅克辛 (Claus Roxin)：《德國刑法學總論》，王世洲譯，法律出版社2005年版，第12頁。因此，“刑法邊界”問題在德國刑法學界，主要是圍繞著合理限制國家刑事處罰權的標準如何確定展開。而在英美法系中，同樣存在對刑事處罰權正當性追問的研究傳統，英美法系中國家刑罰權設定界限的理論，受到19世紀自由主義政治哲學的直接影響，(38)參見[德]埃里克·希爾根多夫 (Eric Hilgendorf)：《德國刑法學從傳統到現代》，江溯、黃笑巖等譯，北京大學出版社2015年版，第246頁—251頁。而在一定程度上，英美法系對于該問題的研究比以德國為代表的大陸法系更為深刻。(39)參見[英]安德魯·馮·赫爾希：《法益概念與損害原則》，樊文譯，載陳興良主編：《刑事法評論》(2009年第1卷，總第24卷)，北京大學出版社 2009年版，第187頁。

我國刑法學界則長期缺乏對刑法邊界這一問題的專門探討，(40)國內曾有學者出版過以刑法邊界為主題的專著，對同刑法邊界相關的理論進行了梳理，然而對“刑法邊界”概念本身卻一筆帶過，僅以“刑法的邊界與犯罪化的含義相差不大”一筆帶過，詳見楊春然：《刑法的邊界研究》，中國人民公安大學出版社2013年版，引言部分第1頁。在很多情形下刑法邊界一詞被隨意性使用，由此也導致了對刑法邊界內涵的幾種誤讀：其一，將刑法邊界視為刑法條文的范圍。因此，隨著刑法條文的增加，刑法邊界就會不斷“延伸”，例如有學者提出，當前立法增設了較多保護“集體法益”的罪名，“這形象地反映了傳統刑法邊界在現代社會不斷延伸的現實”。(41)參見孫國祥：《集體法益的刑法保護及其邊界》，載《法學研究》2018年第6期。這種誤讀下，刑法邊界不再具有在刑法條文之上限定國家刑罰權的功能，而是簡單等同于刑法條文范圍，可以被立法機構所隨意突破；其二，將刑法邊界視為罪名的適用范圍。因此，擴大司法解釋的存在本身就是刑法邊界的“擴張”，例如，有學者提出當前司法解釋中“應當知道”的運用是“對刑法邊界的一次擴張”。(42)皮勇、黃琰：《論刑法中的“應當知道”——兼論刑法邊界的擴張》，載《法學評論》2012年第1期。此種誤讀下，刑法邊界也顯然不是國家刑事處罰權的正當性界限，而是可以在刑法理論內部自冾的前提下，被司法機關“合理”打破的罪名適用范圍；其三，將刑法邊界視為正當程序原則。因此，刑法邊界是需要通過正當程序來限定的，程序正義成為國家行使刑事處罰權的合理性依據，例如有學者提出，為了應對恐怖主義犯罪的新風險，國家刑事處罰權邊界可以延伸，但是應當通過正當程序予以限制。(43)參見康均心、李迎春：《我國恐怖主義犯罪立法擴張及其邊界——兼議“安全刑法觀”之提倡》，載《刑法論叢》2018年第1期。這種誤讀下，刑法邊界從實體法問題變成了程序法問題。正當程序固然也是對國家刑事處罰權進行限定的重要途徑，但正當程序顯然無法解決“何種行為不能被視為是犯罪予以刑事處罰”這一刑法邊界核心問題。明確刑法邊界的內涵，是討論刑法當前網絡空間擴張合理性邊界的前提。筆者認為，刑法邊界是基于公權和私權平衡而設定的國家行使刑事處罰權正當性界限。

具體來看，數據安全領域刑法擴張的合邊界性審視，必須要明確以下幾個前提：第一，數據安全領域的刑法保護必須符合國家行使刑罰權的正當性，不能突破刑法既定邊界。刑法邊界應是國家運用刑罰權時禁止逾越的“紅線”，對刑法邊界的“延伸”“擴大”“突破”本身都將造成國家刑罰權的濫用。在這個層面，數據安全同其他傳統法益應當具有一致性，不能因為數據安全是新興法益或是重要法益，就可以突破刑法權力邊界。第二，數據安全的刑法保護應當是基于公權和私權平衡而設置的國家刑罰權。數據安全同時蘊含著公權和私權，而公權和私權必須處于一種動態(tài)的平衡當中，整個社會才能有序運行和持續(xù)發(fā)展。因此，當私權擴張的同時公權也需要同步擴張，但公權的擴張應當是基于對私權保護的合理擴張，數據安全的刑法保護作為一種公權力介入，不能損害數據安全領域的私權。第三，數據安全刑法保護不排斥刑法適用范圍的擴張。刑法邊界并非是對刑法適用范圍的“畫地為牢”，基于公權和私權的動態(tài)平衡，刑法邊界允許刑事處罰權的合理擴張。在實踐中表現為通過刑法條文和司法解釋，實現罪名增設、可罰性前移等刑法適用范圍的擴張，但是，數據安全領域刑法適用范圍的擴張應當始終堅持“邊界意識”，不能突破刑法邊界。

四、數據安全刑法保護邊界劃定的合理標準

我國學界普遍以“法益原則”作為劃定刑法邊界的理論模型，但其早已飽受理論質疑和實踐否定，實際上已經難以承擔評價刑法是否過度擴張的理論工具功能。因此，數據安全法益自身不具備限制刑罰權過度擴張，劃定刑法邊界的功能。引入英美法系的刑法邊界劃定模式，基于危害性原則對數據安全刑法保護邊界進行劃定，是確保數據安全領域刑法擴張能夠堅守自身謙抑性的合理路徑。

(一)數據安全法益無法劃定明確的刑法邊界

我國早期對刑法邊界劃定的理論通說，是源于前蘇聯刑法理論對犯罪實質定義而建構的社會危害性理論，(44)參見薛雙喜：《蘇俄刑法學關于社會危害性理論的論爭》，載《中國刑事法雜志》2010年第3期。但隨著“法益原則”和“危害原則”逐步被引入國內之后，“社會危害性原則”的理論定位問題開始引發(fā)學界的廣泛思考，主要產生了以下兩種代表性觀點：(45)我國有學者提出了我國社會危害性原則實質上是英美法系的危害原則，該主張可以視為一種“社會危害性原則和危害原則同一說”，但該觀點基本上未得到學界的認可，故本文未將其列為我國學界當前的主流觀點之一。參見陳雨禾：《論犯罪化過程的階層化構造——從社會危害性到法益侵害性的進階》，載《犯罪研究》2014年第6期。其一，社會危害性原則和法益危害原則同一說。該觀點認為，我國的社會危害性原則實質上就是大陸法系的法益原則。例如，有學者通過理論推演得出：“法益侵害性和社會危害性是本質上相同的概念”，(46)趙秉志、陳志軍：《社會危害性理論之當代中國命運》，載《法學家》2011年第6期。有學者則直接從法律解釋中提出：“我國刑法第2條與第13條的規(guī)定也清楚地表明,刑法的目的是保護法益,犯罪的本質是侵害法益。”(47)張明楷：《法益保護與比例原則》，載《中國社會科學》2017年第7期。其二，社會危害性原則獨立說。該觀點認為我國的社會危害性原則是同大陸法系的“法益原則”和英美法系“危害原則”相并列的獨立理論體系，(48)參見姜敏：《英美刑法中的“危害原則”研究兼與“社會危害性”比較》，載《比較法研究》2016年第4期。然而，持該觀點的學者也普遍提出，我國應放棄“社會危害性原則”向“法益原則”發(fā)展，“應當把犯罪客體還原為刑法法益，然后將刑法法益納入犯罪概念，以法益侵害作為犯罪的本質特征，由此取代社會危害性概念。”(49)陳興良:《社會危害性——一個反思性思考》，載《法學研究》2000年第1期。因此，整體來看，無論對社會危害性原則持何種解讀，我國刑法學界從21世紀以來，實質上已經集體向“法益原則”轉向，這也被視為我國刑法理論擺脫傳統蘇俄刑法理論束縛的重大突破，(50)參見張明楷：《新刑法與法益侵害說》，載《法學研究》2000年第1期。從此，我國理論界開始普遍期待法益原則可以承擔限制國家刑罰權、刑法正當性證成的功能。(51)參見蘇永生：《法益保護理論中國化之反思與重構》，載《政法論壇》2019年第1期。

“法益原則”主張法益是刑法的基本指導理念，而只有刑法規(guī)范的目的是為了保護法益時，才具有正當性，(52)參見Sehen Eric Hilgendorf.Punitivit?t und Rechtsgutslehre: Skeptische Anmerkungen zu einigen Leitbegriffen der heutigen Strafrechtstheorie.Neue Kriminalpolitik, 2010:22(4), p.127.德國學者克勞斯·羅克辛 (Claus Roxin)是堅持“法益原則”的代表性人物，其提出法益概念本身就是為限縮刑罰權建構的，刑法僅僅應當保護預先規(guī)定的利益，因此排斥單存違反道德的行為和單存違反秩序的行為。(53)參見[德]克勞斯·羅克辛 (Claus Roxin)：《德國刑法學總論》，王世洲譯，法律出版社2005年版，第12-14頁。換言之，在數據安全刑法保護領域，只要數據安全被確立為值得保護的獨立法益，相應的刑法合理性邊界就已然確定。

毫無疑問，“法益原則”在當前我國學界具有較大的影響力，然而“法益原則在理論層面一直存在兩個問題難以解決。第一，法益究竟是什么？法益概念在德國學界依然是眾說紛紜，未有一致性的界定，甚至可以認為德國學界關于法益唯一的“共同立場”就是——法益概念始終處于爭論和模糊之中。(54)參見[德]漢斯·海因里?！ひ恕德]托馬斯·魏根特：《德國刑法教科書(上)》，徐久生譯，中國法制出版社，第10-12頁；[德]克勞斯·羅克辛 (Claus Roxin)：《德國刑法學總論》，王世洲譯，法律出版社2005年版，第14-16頁；[德]埃里克·希爾根多夫 (Eric Hilgendorf)：《德國刑法學從傳統到現代》，江溯、黃笑巖等譯，北京大學出版社2015年版，第231頁?！恫莅浮分嘘P于數據安全是數據得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力的界定，是否可以直接作為刑法中“數據安全法益”的內涵？

第二，法益如何限定刑罰權？基礎概念的爭議在法學理論界可謂是一種“常態(tài)”，因此，上述法益概念之爭并非不可接受，但是對法益功能的普遍質疑，則直接動搖了“法益原則”劃定刑法邊界的理論基礎?！胺ㄒ嬖瓌t”能夠限制刑罰權的前提是法益凌駕于刑法立法者之上，換言之，法益應當是先于刑事立法而存在，刑事立法者不能修正法益的內涵，更不能隨意擴張法益的外延。然而，法益本身的生成機制卻排斥上述理論前提判斷。刑事立法者對社會中各種利益進行判斷，將其中特定利益通過刑法進行保護，特定利益也就成為了法益，這也成為法益原則備受質疑的根源。(55)為了解決這一問題，部分堅持法益原則的學者試圖從憲法中確定超越刑事立法者的法益，然而，憲法中高度抽象的價值內涵，反而給了刑事立法者肆意擴張刑法的便利。Sehen Eric Hilgendorf.Punitivit?t und Rechtsgutslehre: Skeptische Anmerkungen zu einigen Leitbegriffen der heutigen Strafrechtstheorie.Neue Kriminalpolitik, 2010:22(4), p.127..

因此，數據安全領域的具體法益由刑事立法者創(chuàng)制的這一模式，直接導致了數據安全法益無法超然于刑事立法行為。而從我國刑法在信息安全領域的擴張來看，一直存在著“刑法先行”的情況，既在私法尚未明確特定種類信息安全權利，但刑法卻已然將其列為法益，最為明顯就是刑法在2009年就將“公民個人信息”納入保護范圍，但作為行政法領域的《國家安全法》和民法領域的《民法總則》，在2017年才規(guī)定了公民個人信息的保護，而且至今刑法對公民個人信息外延的認定依然明顯大于行政法和民法的規(guī)定。(56)刑法視閾下的個人信息，除了《網絡安全法》和《民法典》中規(guī)定的身份識別信息外，還包括“特定自然人的活動情況”?！蹲罡呷嗣穹ㄔ骸⒆罡呷嗣駲z察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》：“刑法第二百五十三條之一規(guī)定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！薄毒W絡安全法》第76條：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！薄睹穹ǖ洹返?034條：“自然人的個人信息受法律保護。個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！彼?，顯然很難期待數據安全法益本身可以實現限制國家刑罰權過度擴張，明確數據安全刑法保護邊界的功能。

(二)基于危害性原則的數據安全刑法保護邊界劃定

“危害原則”于19世紀中期隨著自由主義理念的興起，由美國學者約書亞·沃倫(Josiah Warren)，英國學者約翰·密爾(John Mill)所先后提出，(57)參見Harvey Wish, Stephen Pearl Andrews.American Pioneer Sociologist.Social Forces.1941(19):4, p.481.并以1859年《論自由》為哲學基礎，衍生了一系列法學理論主張，成為當前英美法系對刑法公權力合理性追問的首要歸因和基礎性原則。(58)參見[英]安德魯·馮·赫爾希：《法益概念與損害原則》，樊文譯，載陳興良主編：《刑事法評論》(2009年第1卷，總第24卷)，北京大學出版社 2009年版，第187頁?！拔：υ瓌t”主張，只有特定個體的行為給他人的正當利益造成損害時，才能接受來自社會的強制性懲罰，換言之，刑法公權力只能在出現“危害他人”("harm to others")時才能運用。(59)Mill John Stuart.On Liberty. London:Penguin Classics, 2006,p.13。值得注意的是，根據對“harm to others”一詞的翻譯不同，對于本文中的“危害原則”，我國學界中還存著諸如“危害性原則”、“損害原則”等其他描述(參見姜敏：《英美刑法中的“危害原則”研究——兼與“社會危害性”比較》，載《比較法研究》2016年第4期)。而筆者認為，從詞源和我國刑法的一般用語習慣來看，“危害原則”更為恰當。近年來，危害原則開始被我國學者引入作為劃定刑法邊界的新視角。(60)國內也有學者提出，美國學者對危害原則的發(fā)展，應當視為獨立于“危害原則”的全新刑事立法正當性理論(參見劉艷紅：《當下中國刑事立法應當如何謙抑——以惡意欠薪行為入罪為例之批判性分析》，載《環(huán)球法律評論》2012年第2期)。筆者認為，盡管美國許多學者都批判了約翰·密爾在《論自由》中提出的“危害原則”過于模糊，但是這是一種技術細節(jié)的批判而非基礎理念的不認可，實際上美國學者后續(xù)提出的各種刑事制裁界限模型都是在早期危害原則基礎上的細化，盡管不同學者對“危害原則”細化存在差異，但都承認“危害”的存在是刑事制裁的前提，因此，筆者認為依然應將其歸為“危害原則”的范疇。筆者認為，相比較抽象的“法益原則”，“危害原則”提供了一個更具有可操作性的方案，更適合為即將開始的新一輪數據安全領域刑法擴張，劃定合理性邊界。

然而，“危害原則”的標準雖然從價值層面揭示了數據安全犯罪對他人的危害性，但如何限定這種危害的范圍，還需要提出更為具體的模型，整體上可以分為兩種類型。

其一，基于“狹義危害原則”的數據安全刑法保護邊界限定?！蔼M義危害原則”將“危害”僅限定為著現實的、確定的他人利益損害。該觀點受到早期自主主義觀點的影響，堅持明確的利益危害事實和危害對象時才可以運用公權力，(61)參見Willrich, Michael.Pox-An american history. New York: Penguin.2012,p.301-302.這一主張，在赫伯特·哈特(Herbert Hart)同帕特里克·德夫林(Patrick Devlin)關于同性戀、賣淫等違法性道德的行為是否應當犯罪化的著名論戰(zhàn)中，得到了充分的體現。(62)參見Sugarman David, Hart H. L. A..Hart Interviewed: H.L.A. Hart in Conversation with David Sugarman. Journal of Law and Society.2005：32 (2)，pp.267-293.“狹義危害原則”視角下，數據安全刑法保護道德性完全建構于對個體數據安全的保障之上，因此，對刑法邊界將進行嚴格的限定，一方面，將“危害”的內容，限定為現實的數據安全利益損害或現實的利益損害風險，因此僅造成抽象數據安全損害危險的行為，不應當使用刑法公權力，換言之，數據安全未來的刑法保護不宜設置抽象危險犯，而是僅限定為實害犯和具體危險犯；另一方面，將“危害”的對象，限定數據活動對其他個體的侵害，“個體行為即便給社會秩序帶來破壞，但如果無法確定這種實質性損害，依然不能收到強制性處罰?！?63)George Roger Z., Kline, Robert D..Intelligence and the national security strategist: enduring issues and challenges.Washington DC:Rowman & Littlefield.2006,p.410.因此，以機構、組織和公共秩序為對象的數據處理行為，如果沒有直接危害到其他個體，同樣不能運用刑事處罰的手段。因此，刑法對于公共數據安全和國家數據安全的保護，必須先進行預判特定公共數據安全或國家數據安全的危害行為，是否也包含了對個體數據安全的危害，當數據活動是針對大規(guī)模的去標識化數據或匿名化數據時，(64)2020年10月21日公布的《中華人民共和國個人信息保護法(草案)》第69條規(guī)定：“(三)去標識化，是指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。(四)匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程?！痹摋l件則很難滿足。

其二，基于“廣義危害原則”的數據安全刑法保護邊界限定?！皬V義危害原則”源于以喬爾·范伯格(Joel Feinberg)、哈伯特·帕克(Herbert L.Packer)為代表的美國學者，對“狹義危害原則”進行了體系化的全新發(fā)展與解釋。一方面，將“抽象利益損害的危險”納入到危害的內容之中，只要該特定的抽象危險具有引發(fā)直接損害的現實性。(65)參見Alex Steel.The Harms and Wrongs of Stealing: The Harm Principle and Dishonesty in Thef.University of New South Wales Law Journal,2008:31(3),pp.713-717.因此，僅引起抽象風險的數據活動行為，也可以被納入到刑法的制裁范圍；另一方面，將公共秩序和組織機構納入“危害”的對象范疇，“預防對行為人以外 (個人的或公共的)各方造成損害或損害風險,永遠都是法律強制的適當理由?！?66)[美]喬爾·范伯格: 《刑法的道德界限 (第一卷)對他人的損害》,方泉譯,商務印書館2013年版, 第11頁 。因此，刑法對數據安全的保護，自然也就可以擴展到公共數據安全和國家數據安全領域，無需再以個體數據安全損害為基礎。

筆者認為，我國未來的數據安全刑法保護的刑法邊界限定，不宜采用“狹義危害原則”，其是一種基于宏大敘事的限權理念，并不能滿足復雜刑法實踐中的全部場景運用，并同我國現有的刑法罪名體系有著嚴重沖突?！皬V義危害原則”更符合數據安全自身具體利益指向不確定性和主體多元性的特征，更適合作為我國數據安全刑法保護的邊界限定原則。值得注意的是，“廣義危害原則”還修正了將危害原則作為刑法介入合理性唯一標準的立場，而是承認危害原則是劃定刑法公權力邊界的基礎標準之一，例如，喬爾·范伯格(Joel Feinberg)刑法的介入還應當受到其他原則的制約，例如，禁止騷擾原則、界分原則等。(67)參見[英]安德魯·馮·赫爾希：《法益概念與損害原則》，樊文譯,載陳興良主編：《刑事法評論》(2009年第1卷，總第24卷)，北京大學出版社 2009年版，第192頁。哈伯特·帕克(Herbert L.Packer)提出刑事制裁的使用除了行為的危害性之外，還要考量刑罰目的、是否約束公眾合理社會需求、刑事制裁的可替代性、刑事程序的正當性和可行性等。(68)參見[美]哈伯特L.帕克(Herbert L.Packer):《刑事制裁的界限》，梁根林等譯，法律出版社2008年版，第293-298頁。未來我國數據安全刑法保護，也應當充分考慮上訴原則，例如，數據安全保護不應當限制合理的數據產業(yè)發(fā)展需求，對數據安全保護首先應當考慮行政責任和民事責任等。