赵桐：数据的领域性法益：范畴、类型与功能观念

作者：赵桐，中国政法大学刑事司法学院助理研究员、博士后，主要研究方向：刑法学、数字法学。

本文受2021年度国家社科基金重大项目“数字经济的刑事安全风险防范体系建构研究”（21&ZD209）、2023年度国家资助博士后研究人员计划（GZC20233127）资助。

摘要：刑法理论中对数据法益的分歧根源于数据自身的领域性。应当以数据为独立研究对象，结合全领域来源，分析数据法益的范畴与类型。数据领域性法益的基本法根据是宪法中对数字人权的保障，具体来源有赖于民法的权利原理，以及经济法的运行规则。数据法益的范畴应限于指向型数据犯罪，进一步可区分为数据信息法益、数据财产法益、数据安宁法益。在领域性法益研究视野下，刑法一方面要坚持自身的基本原则，另一方面在功能观念上应由个体保护型转向自由与秩序平衡型。

关键词：数据犯罪；数据法益；数据类型

目次

一、数据犯罪法益理论的流变

二、数据权利领域性来源与法益产生根据

三、数据领域法益的范畴与类型化判断层级

四、数据领域性法益下的刑法转型

五、 结论

内容来源：《南大法学》2024年第4期。

一、数据犯罪法益理论的流变

晚近以来，学界对数据上体现的刑法法益究竟是什么而争论不休，由于早期讨论中对“数据”和“信息”的概念区分界限并不明显，学界在讨论数据上所承载的法益时，主要分别讨论侵犯公民个人信息罪和计算机犯罪的保护法益。就本质分歧而言，主要可以区分为两大阵营：个人法益阵营与超个人法益阵营。[1] 其后，随着数字法学的发展和数据特殊性地位被明确，学者们逐渐转向以数据为独立对象的研究，涌现了双层法益、架构法益等模式。系统性梳理数据犯罪保护法益的理论争议，是进一步讨论数据犯罪规范架构与解释限度的前提。

（一） 数据犯罪所保护法益之争

个人法益阵营主要从信息权、人格权、隐私权、生活安宁权等人身属性方面论证信息犯罪所保护的法益，而从数据安全、计算机信息系统安全方面论证计算机犯罪所保护的法益。其中，个人信息权说认为，个人信息权是指本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。[2] 这一观点直接使用了信息权的概念，但实际上并未从根本上论证该信息权究竟是什么。个人人格权说认为，侵犯公民个人信息罪所保护的法益是公民人格尊严与个人自由。[3] 这一观点与《民法典》保持一致，与刑法中的人身权利具有近因性。[4] 个人生活安宁说认为，刑法视野中的公民个人数据判断应以‘私人生活安宁’为标准，即任何与公民个人相关的信息，一旦泄露，可能威胁到私人生活安宁的，都是公民个人信息。[5] 个人信息自决权说认为，本罪侵犯的是信息自决权，即主体对于信息具有的选择和决定权，或者说基于主体自我意志的排他权。[6] 而针对计算机信息系统数据，传统观点认为涉及的法益是计算机信息系统安全，即保护计算机信息系统的处理数据功能能够安全运行，以使计算机信息系统能够正常地、符合操作人预期地完成数据处理需求。[7] 近来则有观点提出计算机犯罪保护的法益是数据安全法益，包括数据的保密性、完整性和可用性三个基本要素。[8]

超个人法益阵营则主要从社会公共利益与国家安全的角度出发，认为公民个人信息不仅直接关系个人信息安全与生活安宁，而且关系社会公共利益、国家安全乃至信息主权。被害人是因为群体被侵害而非个人被侵害而具有刑法保护的必要性，[9] 所以“公民”一词表明“公民个人信息”不仅是一种个人法益，而且具有超个人法益属性，还需要从公民社会、国家的角度进行解释。[10] 其中，集体法益权说认为，侵犯公民个人信息罪所保护的法益，是具备实质权利内涵的集体法益，具体为信息专有权；[11] 也有观点认为是个人信息安全的社会信赖。[12] 但总体而言，集体法益权说认为本罪的法益建立于公共关系基础上。公共信息安全说认为，本罪法益应当限于公共信息安全，只有对公共信息安全法益造成了损害的侵犯公民个人信息行为，才能构成犯罪。[13] 社会新型管理秩序说认为，侵犯公民个人信息罪是对具有规模性、整体性的个人信息保护，而非单纯对个体权利的保护，根据其立法目的以及规范方式，其法益应当评价为社会信息管理秩序。[14]

此外，新近的以数据为对象的研究，则主要从不同模式分析数据法益的构造。例如，数据双层法益说认为，计算机信息系统安全、数据安全、信息内容三者之间依次形成阻挡层法益与背后层法益，并由此使计算机犯罪、数据犯罪、信息内容犯罪区别开来，由此，数据犯罪直接侵犯数据安全法益，间接侵害信息内容的法益。[15] 数据场景化分级法益说认为，判断数据法益必须回归数据行为风险的具体客观环境和条件，借助具体场景发生的风险和危害转化程度，将数据按照敏感信息、一般信息、合法经营信息进行分级分类，类型化构建分级保护的标准。[16] 介入限度说则认为，法益论的解释方案无法解决数据犯罪存在规范空白的现状，应当从刑法介入数据保护的角度，考量对数据类型的保护限度和对行为类型的规制限度。[17]

（二） 法益之争的评析与困境本质

数据犯罪所指向的法益之所以呈现多样性与争议性，根本原因在于数据的本质无法承载单一的法益。以个人法益与公共法益二分结构来看，数据法益无法被单独归为二者之一，而法益概念本身存在的抽象化与空洞化问题也使数据犯罪的定性陷入更深的迷雾。

1. 数据可识别性与共享性：个人法益阵营之否定

将数据纳入个人法益的理由基本上是认为，数据承载着公民的秘密和生活隐私，因而有必要确定隐私边界。但是，数据、信息、隐私三个概念只是范围交叉，本质并不相同。个人信息并非隐私权的外化，相反，个人信息具有可识别性，而隐私具有私密性，二者存在天然的区别，二者保护的重心和规范的行为对象完全不同。法律保护隐私是为了规范公开和泄露隐私的问题，而法律规范数据上的个人信息则是从保护权利主体的自我控制与决定权出发，规范不当或违法收集、加工或使用个人信息的行为。[18] 而数据与信息也不是同一客体，数据是信息的载体，[19] 数据会被损坏，但已经产生的信息并不会灭失。例如，将个人身份信息记录在电脑磁盘中，即使计算机数据受损而无法读取，个人身份信息也没有消失。因此，数据相对于信息而言更具有可操作性，信息一旦被记录在数据之上，就开始了传递和共享。可以看出，在使用“数据”这一概念作为研究对象时，实际上已经离个人核心生活领域越来越远了。将数据归为个人法益，意味着放弃了数据流动性所带来的共享价值，也相当于混淆了数据、信息、隐私三者之间的关系，从而带来了定义上的混乱和性质上的分歧。

2. 数据信息性与隐私性：公共法益阵营之否定

将数据纳入公共法益中的做法虽然并未完全排除数据的个人属性，但也会带来疑问。诚然，在保障人权原则的前提下，个人法益与超个人法益并非非此即彼的对立阵营，但是二者功能不同，决定了构成要件的不同设置与解释方向。例如，将数据归入超个人法益阵营很可能安排危险构成要件，而保护个人法益的规定则大多以实害或具体危险的构成要件陈述。[20] 因此，从公共秩序或国家安全角度保护数据的观点并不周延。随着数字技术的发展，数据收集、处理和分析的手段越来越先进，通过技术工具甚至可以精准定位公民的所有生活轨迹，公民个体在面对大数据技术时，明显处于劣势地位。倘若认为数据犯罪所保护的法益是公共利益，则势必要求公民为了整体数据社会发展而割舍部分数据处置自由，进而加剧不平等，无法妥善保护数据上所承载的公民个人信息，尤其是公民的隐私信息。

3. 数据独立性与系统性：现有法益构造分析之否定

着眼于数据法益构造分析的方案认识到了数据法益的复杂性，将数据作为独立的研究对象，具有研究可行性。对数据法益的构造进行分析的原因在于，法益概念具备自生的抽象性，而数据犯罪领域存在诸多语义交叉的概念，二者难以相互对应，进而难以实现从单一法益到具体数据的涵摄。因此，必须承认，数据无法被划分到任何一个阵营，无法用传统的法益体系予以规制，有必要将其作为一个全新的权利客体，采取全新的研究视角单独研究。但是，现有的法益构造分析方法多仍以部门法为研究单位，且依附于刑法中既有的法益类型，如计算机信息系统安全、国家安全、信息安全、财产安全等，这实际上仍是以传统法益作为新型犯罪的界定工具，只是在多重传统法益之上冠以“数据法益”的名称。首先，涉及数据内容的犯罪的确涉及多重传统法益，对于这类情况，无需抽象地分析数据法益是什么，而只需考察某一具有可罚性的行为侵犯了何种法益即可；其次，涉及数据载体的犯罪才体现数据自身的法益，而依附性分析导致体现独立性数据法益的相关罪名始终无法在危害国家安全罪、侵犯公民人身权利罪和侵犯财产罪等保护实质权利类型的罪名中呈现；[21] 最后，数据法益并非自生于刑法之内，而需系统性、领域性考察其从产生到使用、集合全流程所涉及的各个部门法。因此，数据既不是私权之物，也不是公共用品，研究数据犯罪的前置性问题并非抽象的数据归属问题，而是具体主体对具体数据是否享有权利、享有何种性质的权利或利益。同时，对数据法益进行二元划分的思路存在天然的悖论，数据之上承载着隐私、个人信息、财产、商业价值、国家安全等诸多法益，本就无法使用单一标准划分。欲讨论数据保护的刑法模式，需首先全领域考察权利来源与法益产生根据，然后对该领域性法益作阶层式判断。

二、数据权利领域性来源与法益产生根据

当前，理论界已经形成了以规范数据活动为核心、以数据安全为重点研究对象、具体调整数据规范的数字法学，刑法上数据法益的产生根据需回归到宪法、民法、经济法全领域的理论基础。

（一） 数字人权理论提供了基本法依据

信息革命以来，宪法学者在人权理论的基础上，提出“数字人权”这一“第四代人权”概念，将数据权确立为关系到人格尊严和人身自由的基本人权。[22] 数字人权概念的提出，为刑法中构建独立的数据犯罪体系提供了基本法依据，刑法在确立数据保护规范时，也必须坚持宪法的基本原则。

人权理论是数字社会的道德基础，在人权理论之上，社会进一步形成公平正义的政治秩序。[23] 而数字人权则发展更新了传统人权理论的原有功能，既强调数据的私人属性，又强调合作共享的基本理念，进而突破了传统人权斗争、防御的基本权利逻辑，要求公民牺牲一部分个人权利来推动数字社会的发展。[24] 人权理论的发展为刑法对公民个人信息数据的保护规范提供了理论基础。

首先，人格尊严与人权条款的数字时代表达为刑法确立数据保护规范提供根据。宪法第33条特别强调了国家尊重和保障人权，并在第38条中将人格尊严确定为公民的基本权利，数字人权的价值内核也建立于人权条款与人格尊严条款之上。数字技术将个人抽象为数据形象，极大地消解了传统的人的主体性，同ZZ时个人对数据技术的依赖也极大消解了人的主动性，公民个体存在最终沦为“技术工具”的危险。此外，数字时代改变了人格的存在形式，分离了生活中的人格和互联网的人格。人格是心理系统与社会系统的结构纽带，[25] 尤其是隐私权作为人格权的重要表达形式，能够作为缓冲地带，区隔个人的心理系统与社会系统。因此，宪法学者主张在隐私的层级保护基础上，从保护住宅和通信自由的角度确立数据的基本权利保护，同时重视宪法第51条“不得损害国家的、社会的、集体的利益和其他公民的合法的自由和权利”这一概括性限制的适用。[26] 这一方面为刑法保护个人信息数据提供了分级框架，另一方面也为刑法增设一般数据保护条款提供了理论上的支持。

其次，权力的新型运作形态与数字人权的新功能确立了刑法上维护数据价值的新秩序。数字社会中，由于数字技术和专业知识的垄断，科技平台、企业、专家系统等逐渐与公民形成支配结构，成为政府权力之外的“信息权力”主体，同时通过平台规则、平台监管等数据运行机制，形成了数字时代的“准立法权”“准行政权”“准司法权”。[27] 因此，刑法也应当重视数字人权作为客观价值秩序的功能，确立秩序规范以防止科技平台、企业、专家系统等进行数据垄断。此外，由于数字人权兼具公民人格权与数据利用权的双重“耦合”功能，刑法也可以借助宪法中的权衡理论，[28] 通过比例原则的合理性检验，确定公共利益和权利限制的程度，进而确立数字权利的保护侧重。

最后，数字人权为刑法保护数据安宁权提供了法益根据。维护生活安宁是宪法赋予公民的基本权利，自然人有权排除他人对其私人生活的侵扰、对其私人空间的非法闯入以及对其私人生活的非法窥探。[29] 而对于企业单位而言，毋宁说是一种“生产安宁权”，或者说对企业单位的一般数据保护是对生产经营秩序的维护。生活安宁权本质上来源于一般人格权，代表着精神自由发展的人格利益，核心是“不被打扰”，尤其是在互联网这一相对开放的空间中，对“生活安宁”的界定无须依托于公民秘密的认定。基于此，数据作为载体自身也具有保护的必要性，即无需考察数据内容上体现了何种权利，数据主体如何处置数据本身就应成为数据法益的组成部分。

（二） 民法权利原理生成信息权与财产权

由于数据上所附的权利有别于传统民事权利，民法学者陆续提出“个人信息权”“个人数据权”“数据用益权”“数据财产权”等新型民事权利概念，并提出理论证成路径。目前，虽然《民法典》中没有使用“个人信息权”的概念，但是已经确立了个人信息的民法保护地位，这也进一步生成了对信息权保护的根据，而民法上对数据知识产权和数据财产权的证成思路，也为刑法上适用财产犯罪法条保护财产性数据提供了前置法讨论依据。在个人信息权层面，民法上将个人信息权益确立为自然人免于因个人信息被非法处理而遭受人身权益、财产权益上的损害或人格尊严、人身自由被侵害的风险，体现于个人对个人信息处理所享有的知情与自主决定的权利。[30] 而刑法作为公法，与私法共同完成个人信息处理中的权力分配问题，二者在功能上既存在交叉也存在分工：刑法确定的是强制性的个人信息处理规则，从消极防御的角度，为处理者赋予各项义务，以此保障个人的信息自决权；而民法则是通过积极赋权的方式，赋予公民对信息处理的知情权、查阅权、复制权、可携带权、删除权等积极权利，以此保护信息决定自由。因此，刑法一方面应当围绕法益侵害性确立有别于民事规范的信息权保护制度，另一方面也应当关注民法上所确立的积极权利所对应的数据处理者义务。

在数据财产权层面，大多数民法学者主张数据财产上无法确立物权，但也有学者主张，《民法典》区分了数据与个人信息，将“数据”与“虚拟财产”规制于第127条中，而将个人信息规制于第111条中，表明立法者将个人信息作为人格权益的客体，而将数据作为财产权的客体保护。[31] 应当承认的是，在部分财产价值能够被固化的数据中，如大数据产品、虚拟财产等，数据上可以建立财产权。但是，由于大部分财产性数据既涉及企业的研发和服务成本，又涉及个人的数据创造权益，因而无法建立数据所有权一元结构或独享权利模式。对此，有民法学者主张企业与个人的双重数据所有权结构，[32] 也有学者主张建立数据所有权与数据用益权二元结构，由数据原发者享有所有权，而处理者享有用益权。[33] 根据民法现有的讨论基础，财产价值能够被固化的数据，如大数据产品、虚拟财产等可以作为财产犯罪规制客体。而既涉及企业研发服务成本，又涉及个人权益的数据，则无法直接成为财产犯罪规制的客体。

（三）经济法规范导出秩序维护的刑法衔接

财产性数据具有经济价值的同时，也大多具有“公共品”的核心特征，即非竞争性与非排他性，例如，一人对大数据的使用并不影响他人的使用，大数据也可以同时被多人使用，并不会影响其本身的价值。[34] 出于发展数字经济与保护数据安全的目标，立法上也应当重点关注对这类数据的经济行为的宏观调控，因而刑法也有必要衔接经济法上的秩序规范。经济法学界目前关注数字经济的特殊经济形态，数据更易于实现规模经济和范围经济，故而市场化、信息化、全球化是数字经济发展的基础，也是法治框架构建的重点。在具体经济法规范上，由于数字经济同时具有高效益性和高渗透性特征，经济法重点调整数字平台经济领域的反垄断、不正当竞争、侵害消费者权益等问题，此外，通过财税制度、金融调控和金融监管、产业规制等制度，进一步加强经济法对经济市场的规范调整，并通过落实一系列调整政策，积极加入国际条约或区域性经济组织，以保障和促进我国数字经济的健康发展。[35] 刑法是经济法的保障法，刑法通过经济犯罪规制具有刑事可罚性的破坏经济秩序的行为。在无法被确立财产权的数据当中，出于对数据经济效应的保护，以及对发展数字经济的要求，刑法也必须承担起对数字经济秩序的维护责任。而由于数据技术的发展与创新尤其依赖于市场自由，刑事调控手段应当更为包容审慎，因而也有必要确定经济法与刑法调控的分工与界限。但对于专业性和复杂性较强的经济犯罪的构成要件要素认定，也需要借助于经济法上的相关理论与规范。因此，在数字市场调控中，刑法应当衔接经济法上对市场主体所赋予的义务和权利，以经济法上更为具体的调整规范来填充刑法立法上的空白，同时区分从经济违法行为到经济犯罪行为之间的质与量的变化，以市场调控、经济法规制、刑法保障多重手段，规范数据在市场的流通秩序，分配数据市场主体的权责，进而维护法秩序统一与稳定，推动数字经济安全有序发展。综上，数字法学是一个交叉性强、理论性复杂的领域性学科，刑法在探究数据保护时，不能只依赖于刑法理论内部的逻辑与孤立的体系，而应当关注各法学学科对数据规制的理论与相应的立法规范，在宪法的人权理论的基础上，以民法、经济法的具体部门法规范为前置讨论对象，衔接整体法秩序并落实到相应的立法与司法规范中。

三、数据领域法益的范畴与类型化判断层级

如上所述，数据法益并非自生于刑法，而是产生于整个数据领域，这也导致了如今对数据法益分析的杂糅与混乱，但是，领域性数据法益不代表包含一切涉及数据的法益，有必要限缩其范畴，并进一步提出明确的研究层级。（一）虚拟世界的核心数据法益

由于数据之上的法益呈现领域性样态，数据犯罪也与信息犯罪、财产犯罪、经济犯罪具有很大程度的重合。广义的数据犯罪实际上包含两类：其一，基于数据特征或新型行为类型而发生的犯罪，这类犯罪有的可以通过扩大解释传统犯罪构成要件予以规制，有的已经突破了传统犯罪的解释范围，需要建立新的规范；其二，行为类型与侵犯法益与传统犯罪无异的犯罪，只是由于发生在虚拟空间，而被纳入数据犯罪的讨论范畴之中。实际上，正如经济刑法具有广义经济刑法与核心经济刑法之分，为聚焦讨论范围、抽象犯罪本质，数据刑法也应当划分为广义数据刑法与核心数据刑法。因此，有必要划定核心数据犯罪的范围，考察数据犯罪的行为是否真正突破了传统犯罪手段类型。目前实践中对数据的非法操作大致可分为两类：利用数据进行犯罪，和指向数据本身的犯罪，即获取或破坏数据而产生的犯罪。

1. 利用型数据犯罪仍属于传统法益范畴

利用型数据犯罪主要包含的是实际指向传统犯罪的数据犯罪，这类犯罪不涉及“数据”本身是什么的问题，而涉及数据指向的客体与相应行为的性质是什么的问题。这类利用型数据犯罪又可以再被区分为利用他人数据实施的财产犯罪、人身犯罪和秩序犯罪。实践中常见的利用他人数据实施的财产犯罪包括：非法获取他人第三方平台账户内钱款类案件、偷换二维码案件等。这类犯罪涉及的问题本质是盗窃罪与诈骗罪或者信用卡诈骗罪的区分认定问题，实际上只是披着数字化外壳的传统犯罪，其犯罪行为的最终指向也不是数据本身，而是以数据为载体的财产性利益。涉及第三方支付平台的案件实际上与传统银行卡犯罪的性质相同，无论是认为支付平台被骗而做出处分行为，从而认定为诈骗罪，[36] 还是认为行为人以平台账户密码、关联协议为依据，秘密占有和使用银行卡内的资金，从而认定为盗窃罪。[37] 第三方支付平台扮演的角色与银行ATM机相同，都承担着对用户资金的保管责任，也都只能通过形式上的审核决定财产处分，因而这一问题并非由于数据本身特征而带来的新问题，不应被纳入核心数据犯罪中。而偷换二维码的案件也属于三方关系中的盗窃和诈骗的区分问题，盗窃债权说或盗窃贷款说的观点认为消费者只是行为人转移商家财产所借助的手段，而认为属于诈骗的观点则认为消费者属于商家财产的处分者，而这一犯罪模型即使不依托于数据或电子支付，也有可能发生。利用他人数据实施人身犯罪的情况主要包括利用个人数据进行网络诽谤或网络侮辱、敲诈勒索行为，以及实践中存在的利用幼女数据要求其拍摄裸照进而实施猥亵[38] 等行为。这类犯罪实际上只是由于发生于网络空间所以才涉及公民数据，本质与现实生活中所发生的侮辱、敲诈勒索、猥亵并无差别，虽然具有实际认定上的讨论空间，但并不具备学术增量。利用数据实施的秩序犯罪主要包括妨害网络业务的犯罪和妨害网络秩序的犯罪，前者如刷单炒信行为，目前在实践中主要被认定为破坏生产经营罪，但也有学者主张应当单独增设妨害网络业务罪。[39] 后者如网络聚众赌博、故意传播虚假恐怖信息、网络传谣行为和辱骂他人行为等，对此我国刑法与司法解释中存有部分规定，例如，《刑法》第303条赌博罪包括了网络聚众赌博行为，第291条之1编造、故意传播虚假恐怖信息罪，也包含了网上传播的行为，但也有无法规制的部分，如传谣和网暴行为，因而也有学者主张增设妨害网络秩序犯罪。[40]以上利用数据实施的秩序犯罪虽然有的的确属于新类型犯罪，也一定程度上突破了当前刑法条文的解释，但是与其说这些犯罪是数据犯罪，不如说是网络犯罪，行为人只是利用数据实施破坏网络空间秩序的行为，但实际上没有涉及数据本身是否应当被保护、数据性质和权属问题、数据保护模式的选择等以数据为研究客体的讨论。

2. 指向型数据犯罪是数据法益核心研究范畴

指向型数据犯罪需要实际考察数据作为行为对象的性质和权属，在行为方式上，主要包括非法获取数据、非法更改数据、非法破坏数据的行为。而根据行为指向的是数据形式或数据内容，可以分为指向一般数据的犯罪、指向信息数据的犯罪、指向财产数据的犯罪。指向型数据犯罪无论是操作数据的行为还是涉及的行为对象都与传统犯罪不同，因而具有集中讨论的必要，尤其是这类行为是否突破了传统犯罪的解释边界、在何种程度上产生了突破，是否带来了方法论上的转变，从而是否推动了传统教义学理论的发展。应当承认的是，实践中对数据的非法获取和利用通常同时进行，但是必须认识到，哪些犯罪涉及的是数据本身的属性从而应当被作为新问题研究，而哪些犯罪只是传统犯罪在虚拟世界的表现形式，需要在具体案件中根据具体情况讨论认定。因此，核心数据刑法研究应当将确定数据的性质和保护模式作为重点。

通过考察两类数据犯罪的行为类型，可以看出，虽然由于利用数据进行的犯罪涉及数据，广义数据犯罪也应当包含利用型犯罪，但是实际上利用数据型犯罪中数据只是手段或工具，犯罪所指向的仍是传统犯罪中的财产权、公共秩序、人格权等对象，这类犯罪只是网络空间中披着数字外衣的传统犯罪。而指向型数据犯罪则由于直接将数据作为犯罪对象，从行为方式到行为对象上都产生了有别于传统犯罪的异变，因而狭义的核心数据刑法应当限定在指向型数据犯罪中。通过行为方式进行划分可以筛选出真正有别于传统犯罪的新型数据犯罪，而在数据犯罪中，又可以按照不同行为对象划分出不同研究模式。

（二）数据法益类型化的必要性

建立数据分类分级保护机制是由《数据安全法》第21条所提出的，也是由数据特性所决定的。表面上看，当前数据犯罪领域研究混乱的原因在于“数据”“信息”“计算机程序”等概念的内涵与外延存在交叉，因而大部分学者在讨论之初首先需划定其所使用的概念范围，而由于不同学者之间对同一概念的范围划定不同，又进一步导致了讨论上的分歧。但本质上而言，数据概念本身就不具有界定的可行性，只能采用类型化分析，因此，在明确数据法益的核心范畴基础上，根据数据法益的领域性来源，梳理数据犯罪中涉及的各类权利和行为类型，同时按照一定的判断层级分析数据犯罪的性质，具有理论与实践的必要性。

1. 数据概念界定的不可行性

由于概念本身的模糊性和研究对象的特殊性，为“数据”或“信息”作出明确的范围界定是不可实现的。首先，数据受保护的意义在于其传递的信息，数据是信息的载体。例如被用于分析与预测的数据中，实际被使用的是数据载体上所集合的用户信息，而被作为分析工具的程序性数据，被使用的则是其上所承载的算法信息，可见，数据的价值无法脱离其所传递的信息而存在。其次，信息又会因为数据的不同整合方式而具有不同的权利属性。例如公民的购物信息在公民作出购物行为时属于公民个人的信息，体现了公民的隐私权，而在公民授权将该信息给购物平台处理后，大量购物信息被整合并按照一定算法分析，最终形成的用于预测用户购物行为的信息，则体现了购物平台的商业秘密。由此可见，笼统使用“信息”或“数据”概念势必会造成语义指向上的分歧。由于行为对象的概念无法脱离行为方式的判断，数据概念无法被完全分类也与实践中指向数据的行为方式的多样性有关。目前看来，实践中存在的针对数据的犯罪行为主要包括数据盗窃、数据滥用、数据毁坏、数据泄露、伪造数据等，针对同一数据的不同行为会导致不同的法益侵害，如窃取企业大数据产品的行为导致的是企业的财产或商业利益损失，而滥用企业大数据产品的行为则有可能导致用户信息的泄露，从而导致用户的隐私权受损。不同行为指向同一数据的不同权利侧面，实际上该数据也无法被完全归入某一特定类型中。可以看出，数据概念既无法与信息概念作出明确区分，又无法被彻底划定界限，因而单纯从定义上很难实现对数据的限定与分类，必须探索更多的判断条件。

2. 数据类型化的实际意义

基于概念划分的不可行性，从概念上对数据进行分类的做法也难以落实，对数据进行类型化研究的尝试，更为实际的意义在于区分数据上所体现的权利，或者说所涉及的法益。同时，也有利于有效对应数据上所附着的权利和相关行为所涉罪名。概念和类型是描述事物的两种基本方式，概念具有概括性，表征的是对一类事物的概括描述，能够明确区分此事物与彼事物，此范畴与彼范畴。而类型则存在标准事例和引发异议的边缘事例之间的区分，一个类型和另一个类型之间是由流动的过渡所连接的。[41] 由于社会科学中存在大量具有多种形态的现象，难以直接抽象并提取出一般模型，类型化研究的灵活性能够有效填补概念思维在法学理论中的天然不足。法律规范是通过规范价值判断和法律语言将经验类型再类型化的结果。[42]因此，刑法研究上对数据分类的意义在于将经验实践中各种数据犯罪行为，通过规范价值判断，按照所涉及的法益进行再类型化，以此实现更为实质的数据犯罪研究。在经验类型与规范类型之间，以法益评价作为连接点，将行为归入某类犯罪中，最终逐步形成较为清晰的数据犯罪外延和类别。这种概念和类型互相补充的努力，也同样有利于对数据犯罪框架的构建。

不过，由于各类数据之间的界限无法明确划分，在实践中仍需要结合具体案情判断，无法平面性地对数据进行类型化，为了进一步限定与明确数据类型与行为所涉罪名，必须提出数据类型的判断层级。

（三） 数据法益类型化的判断层级

数据类型的判断层级设定与数据的权利来源相关。个人信息数据与财产性数据分别指向公民的人格权与财产权，二者的范畴可依靠各自的法益决定，即信息自决权与财产安全，而一般数据的范围则更为广泛，指向更为一般的网络生活安宁权。因而判断时应首先考察是否属于个人信息数据或财产性数据，然后判断是否属于受刑法保护的一般数据。针对个人信息数据的判断，应当以身份可识别性与授权程度为标准，将公民所产生的信息按照其所体现的人身属性和授权范围高低进行分层：最核心的个人信息数据是指，能够直接对应于特定公民，且未被授权给他人处理的信息；一般受保护的个人信息数据是指，能够具体对应于特定公民，同时被有限授权他人处理的信息，或者只能抽象对应于公民的信息；公共信息是指无法具体指向特定公民的信息，或能对应特定公民但经公民同意后公开的信息。其中，随着信息的人身属性逐渐降低，个人信息数据逐渐向更为一般性的数据过渡，对数据的保护也从信息自决权的人格利益保护，转为更为一般的由宪法所确认的公民生活安宁权保护。针对财产性数据的判断，不能忽视数据流通与集合的特点，大部分具有财产价值的数据实际上并不能被确认为财产，原因在于其价值本身就来源于流动，而确立财产权会形成流通上的壁垒，不利于数据价值的形成。但是，许多相对固定的数据产品上可以被确立财产权，例如虚拟财产、数字货币、大数据产品等，因而对财产性数据的判断需要结合该数据价值能否被固定与客观确认。而至于虽然具有一定经济价值却无法被设立物权的数据，则属于一般数据。在排除了个人信息数据和财产性数据之后，再判断数据是否涉及一般性的网络生活安宁权与数据流通秩序安全，进而判断该一般数据是否属于受刑法保护的数据。此时需判断数据处于数据创造者的私人领域还是公共领域。在数据仍然处于数据创造者的私人领域时，判断对数据的非法行为是否侵犯了公民的生活安宁权。而在数据处于公共领域时，则判断该行为是否扰乱了数据流通秩序。

四、数据领域性法益下的刑法转型

如上所述，由于法益来源的领域性，新型数据犯罪与传统犯罪的研究范式应当存在本质区别。进一步而言，数据作为研究对象，已经冲击了传统刑法教义学，数据时代刑法必须提出新的应对方案。

（一） 数据对传统刑法教义学的冲击

传统犯罪的网络化不会改变犯罪构造与不法和罪责内涵，但是以数据为对象的核心数据犯罪则突破了刑法分则教义学原理，其带来的挑战主要集中在三个方面：在归责路径上，网络平台、服务提供商等数据传播方成为新的主体，为犯罪参与理论和不作为犯教义学带来了新的挑战；而由于数据主体大多深入参与了数据活动，被害人教义学有了新的内涵与应用；此外，在刑法分则教义学中，数据虚拟与共享特性带来了新型实行行为，同时数据犯罪的风险性特征也带来了预备行为实行化的新转向。

其一，平台成为新的归责主体，犯罪参与理论和不作为犯理论在数据犯罪中有了新的发展。数据已经成为生产资料，数字经济也日益形成成熟的产业，数据平台与服务提供商在数据犯罪中逐渐扮演着更为重要，甚至是决定性角色。立法者出于对数据产业健康发展与国民数据安全的保障目标，采用刑罚手段强化平台与服务提供商的安全管理义务，如《刑法修正案（九）》专门规定了拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪和编造、故意传播虚假信息罪四类针对互联网平台与服务提供商的罪名，但是，是否所有的平台中立帮助行为都须独立入罪，理论与实践中仍存在争议。[43] 因而，有必要并衔接好新的刑事立法与犯罪参与归责原理和不作为犯理论。

其二，被害人教义学的运用与发展。被害人教义学是刑法构成要件规定范围内的一种解释原则（Auslegungsmaxime），或者说是刑法目的论解释（teleologische Auslegung）的一种解释方法，补充解释分则中刑法构成要件。[44] 尤其是在个人信息数据的保护中，数据主体的知情同意与授权行为可以直接影响到数据的应保护性与需保护性。而在财产性数据与一般数据的保护中，数据主体的数据经济活动参与行为与数据处置行为也对风险分配产生重要影响。可以预见，随着数据主体的参与程度加深，数据犯罪可能成为继诈骗犯罪与经济犯罪后被害人教义学的新的“演练场”。但是，与传统犯罪不同的是，数据犯罪中常见多位被害人，被害人不仅作为个体，更作为群体具有教义学价值，被害人教义学的适用范围与核心原则也有必要得到相应发展。[45]

其三，数据特征带来的新型行为突破了刑法分则教义学。由于数据的虚拟性与载体性，指向数据的行为大多也具有虚拟性，而现有刑法分则教义学中指向传统权利的行为大多具有现实性，如何确定现有立法条文的解释边界，以及如何规制虚拟行为与新技术型行为，成为理论界与实务界关注的新的重点。此外，数据的价值既来源于数据主体所创造的信息，也来源于数据在互联网空间的共享与集合，故而数据犯罪的认定中，必须平衡数据主体权利保障与数据流通价值，在数据承载着领域性法益的基础上，确立独立的数据权，由传统的个体保护型立法转向自由与秩序平衡型立法。而由于数据具有易传播性，也有必要关注数据犯罪的整体风险，即考察前置性非法行为入罪的必要性与可行性。

（二） 数据犯罪中刑法基础理论的体现

数据的出现为既有的刑法教义学具体理论提出了挑战，这一方面要求刑法提出转向型应对方案，另一方面也应兼顾刑法研究的逻辑自洽与立场一致性。其中，刑法基础理论在数据领域的体现在于，应当沿着法益侵害与规范违反的研究主干，以归责理论作为讨论模型，并使用刑法基本原则检验结论的合理性。

1. 以法益侵害与规范违反作为研究主干

与刑法中其他具体问题一样，数据刑法领域中的争议也逃不开自由主义与规范主义的平衡问题。而由于数据上同时承载着个人权利与公共价值，数据刑法领域中又将自由进一步分化出了个人自由与社会价值的对立元素，也因此引发了数据犯罪法益理论中如何处理个人法益与集体法益的关系的问题。法益的价值内涵在于维护基本法所赋予的人性尊严和人格自由，在此基础上，集体法益只有在为了实现个人法益时才具有存在的正当性，法益概念具有强烈的个人主义和自由主义内涵。[46] 尤其是在刑事立法上，法益保护主义一直被作为基本指导原理，法益概念成为确定刑法处罚范围的价值判断标准。[47] 也正因为存在法益这一具体概念的限制，刑法无法按照政治、宗教、道德、意识形态或纯粹感情暴力干预公民的自由。[48] 由于法益不仅具有构成要件解释的限制功能，也具有立法批判功能，因而无论是讨论数据犯罪在当前刑法中的规制路径，还是构建数据刑法体系或实现刑法立法观念的转向，都无法脱离对数据法益的研究，也无法脱离行为的法益侵害性而讨论其构罪的可能。规范违反作为刑罚权发动理由的正当性源于使行为规范发挥真正禁止作用，进而宣示“尽管有人破坏规范，但规范仍然是有效的，继续对遵守规范保持信任是正确的”。[49] 按照目的行为论的思路，刑法规制的行为是人的目的行为，当行为的目的逾越了共同生活秩序的界限时，该行为便违反了规范，构成行为不法，而法益则是被规范禁止的行为所影响的对象，对法益的侵犯是结果不法。[50] 刑法处罚违反规范的行为来显示行为人对其引发的冲突所应付出的代价，体现了规范主义的内涵。在数据犯罪便捷、易扩散的背景下，指向数据的行为更容易引发整个数据社会的系统性风险，因而倘若刑法在行为实际造成侵害后再行惩罚，恐怕难以实现行之有效的风险防控与周延的数据法益保护。此外，为了维护并发展数据的流通价值，刑法也有必要设立数据市场的宏观调控规范。在此意义上，数据刑法的研究也无法脱离对行为规范与行为不法的讨论。因此，数据犯罪的研究应以法益与规范为两条主干，围绕数据法益类型化讨论侵犯数据行为受当前刑法各罪规制的解释边界，同时讨论指向数据的行为的新的禁止规范，在自由主义与规范主义的平衡中，寻求对数据安全的周延保护与数字经济的发展方向。

2. 以刑法基本原则检验结论合理性

对数据犯罪的认定最终仍要回归并遵守刑法基本原则，其中，尤其是罪刑法定原则与罪责原则，无论是数据犯罪的立法构建还是司法适用，都需要经过这两项基本原则的检验。在数据犯罪膨胀、司法实践罪名适用混乱的当前，基于保障国民对处罚的预测可能性的目标，应当尽快确认当前刑法对数据保护的方式与边界，明确各罪构成要件的解释限度，禁止类推解释。这也尤其适用于当前的非法获取计算机信息系统数据罪，该罪名目前已经日益沦为计算机犯罪中的“口袋罪”，但本罪究竟保护什么法益、构成要件边界如何确定、承担怎样的功能，这些问题尚未得到解答。而对于确实有必要被纳入刑法处罚范围的侵犯数据的行为，则应当设立适当的成文刑罚法规，以法益保护与人权保障作为检验该法规是否合理的实质标准。

罪责是一种“可责难性”，行为人违法地实现了构成要件，表明了其对于法律规范的错误态度，因而该行为必须具有可答责性。由于数据犯罪大多具有技术性，对行为的不法判断也大多具有技术认定上的要求，而随着数据刑法领域的帮助犯正犯化、预备行为实行化趋势，实践中有可能出现行为人不具有违法认识的情况，甚至出现行为人不具有故意与过失的情况，对于这种行为人不具有违法认识可能性或非难可能性的案件，也不能追究其刑事责任。而另一方面，由于数据犯罪大多涉及团伙作案或第三方平台的帮助行为，在数据犯罪的共同犯罪场合，能否存在共谋共同正犯、能否认定帮助行为为独立的犯罪等具体问题的分析，也必须遵照罪责原则这一基本原则。

（三） 数据犯罪中刑法应对之转向

针对数据犯罪所带来的冲击与突破，刑法的理论与观念也需完成转向：首先，有效引入并发展合规理论以解决平台犯罪问题；其次，对定罪量刑观念进行“升维”；最后，由传统的个体保护型立法转向自由与秩序平衡型立法。首先，数据合规理论的发展适应了当下数据犯罪中归责主体转为平台的实践环境。随着超大数据平台与互联网公司的出现，企业内部结构日益复杂、分工日益精细化，导致数据犯罪归责困难。将合规理念引入数据犯罪，能够提前识别风险，并通过合规义务的履行规避或控制风险，将不法行为所引发的下行风险最小化。[51] 与此同时，数据合规义务的出现也意味着，传统责任理论有必要得到新的发展。其次，定罪量刑观念“升维”意味着，对数据犯罪的刑法规制理念应当更为宽泛与严厉。由于数据犯罪具有便捷性与弥散性，行为人的不法行为往往将带来更为严重的法益侵害，而网络的虚拟性也导致了犯罪证据的取得难度更高，传统犯罪的定罪标准已经无法对不断增长和变形的网络犯罪做出科学、合理的定量评价。[52] 因此，有必要对数据犯罪采取较线下犯罪更严厉的定罪量刑标准，以实现罪刑均衡。[53] 此外，由于数据流通性强的特征，数据时常处于较高的受侵害的风险当中，为了周延数据保护，有必要加强对数据犯罪预备行为的规制，增设预备行为实行化的相关罪名。最后，自由与秩序的平衡与取舍是数据犯罪中的根本价值命题。数据上同时承载了个人权利属性与公共流通价值，因而无法将其直接划入个人法益或超个人法益阵营，数据犯罪的设置目标也并非只是对单一权利的保护，刑法必须确立数据权利束作为独立研究对象的地位，并依靠不同场域与类型，划分自由与秩序的不同平衡点，以此判断行为是否具有刑事可罚性，进而判断是否构成数据犯罪。核心数据犯罪与传统犯罪具有根本区别，领域性法益来源于整体法秩序，必须在整体法秩序统一的视野下进行独立研究。同时，一方面，刑法的基本原则与教义学理论的基本原理仍贯穿于数据犯罪研究，另一方面，数据犯罪中的新对象与新类型行为也发展了传统刑法理论。

五、结论

数据刑法领域的概念之争进一步导致了数据刑法所涉的法益之争。数据是权利的载体，同一数据上可能承载着多项权利，无法将其划入个人法益或超个人法益阵营，数据法益来源于整体法秩序，属于领域性法益。也正因如此，数据刑法的研究不能一概而论，无法直接抽象出数据犯罪所指向的某项单一法益，也无法从概念上直接为数据划定明确的界限，而有必要引入类型化研究填补概念研究的空缺，按照数据上所承载的不同法益侧面，对不同类型的数据进行分类研究。数据法益可被区分为信息法益、财产法益、网络生活安宁法益。本文提出在具体场景中进行层级判断的标准，个人信息数据与财产性数据分别指向公民的人格权与财产权，二者的范畴可依靠人格权与财产权范围决定，即信息自决权与财产安全，而一般数据的范围则更为广泛，指向更为一般的网络生活安宁权。因而判断时应首先考察是否属于个人信息数据或财产性数据，然后判断是否属于受刑法保护的一般数据。

以数据为对象的核心数据犯罪突破了刑法分则教义学原理，需要构建领域性数据规制体系。但另一方面，刑法的基本原则与教义学理论的基本原理也贯穿于数据犯罪研究，对数据刑法的研究仍然无法脱离刑法研究的范式。数据刑法仍应当以刑法保护目的，即法益侵害与规范违反作为研究主干，同时借助既有的归责理论作为研究模型，并最终使用罪刑法定原则与责任主义原则等刑法基本原则检验立法与司法结论的正当性、合理性与必要性。

（注释略）