刘宪权 石 雄：网络数据犯罪刑法规制体系的构建

一、引言

（一）网络数据犯罪的刑事立法规制现状

由于网络数据通常依托于计算机信息系统及其相关的网络设施，我国刑法对网络数据的保护，主要是围绕着对计算机信息系统犯罪（也称计算机系统犯罪）的规制展开的。1997年《刑法》设立了非法侵入计算机信息系统罪与破坏计算机信息系统罪以保护计算机信息系统安全，其中第285条非法侵入计算机信息系统罪主要规制对国家事务、国防建设以及尖端科学技术领域的计算机信息系统的侵入行为，适用范围较窄，无法有效打击实践中对其他领域计算机信息系统安全的侵害。为此，2009年《刑法修正案（七）》增设了第2款非法获取计算机信息系统数据、非法控制计算机信息系统罪以对第1款进行补充，通过取消对计算机信息系统性质的限制扩大了相关计算机系统犯罪的规制范围，重点强调了对计算机信息系统中存储、处理或者传输的数据的保护。同时，《刑法修正案（七）》增设第3款提供侵入、非法控制计算机信息系统程序、工具罪，将提供第1款、第2款犯罪所需程序、软件的帮助行为在立法上予以正犯化。2015年《刑法修正案（九）》则对前述两罪增设了有关单位犯罪的规定。可见，1997年《刑法》以来，相关计算机信息系统罪名历经多次修正，经过立法者的不断调适，形成了较为完整的梯度式的计算机系统犯罪规制体系。

当前在计算机系统犯罪体系，用于制裁网络数据犯罪、保护网络数据安全的罪名主要集中于《刑法》第285条第2款非法获取计算机信息系统数据罪以及第286条第2款破坏计算机信息系统罪。前者主要规范侵入计算机信息系统或者采用其他技术手段，获取该系统中存储、处理或者传输的数据的行为，惩治对网络数据的非法获取行为；后者则主要规范对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作行为，惩治对网络数据的破坏行为。两罪具有不同的法益保护重点，前罪旨在保障网络数据的保密性，以确保数据利益主体对数据的排他性获取、复制、使用与处分等权益；后罪则重在保障网络数据的完整性与可用性，以确保相关网络数据的内容不被其他主体破坏以及数据利益主体可随时访问和使用数据。两罪所保护的法益互为补充，基本覆盖了刑法对网络数据法益的全方面保护。

除此之外，我国刑法对网络数据安全的保护，尤其是对网络数据内容保密性的保护，还主要围绕着网络数据所承载的具体内容即信息展开进行。我国实际上通过对“计算机信息系统数据”作信息化的解释将数据与信息两者进行有机的结合而非将其割裂开来，以实现对其保护。信息是作为存在形式的数据的实质内容，是以电磁信号为主要形式的、在计算机网络化系统中进行获取处理、存储、传输和利用的信息内容。电子数据作为计算机信息系统或者网络系统中的存在形态，可以表现为文字、声音、图像等各种单一或组合的形式，这些各样的外在表现形式本身只是载体，这些形式载体只有被转换为文字内容、声音内容、图像内容等，也就是信息内容后才具有实质内容上的意义。反之，信息内容也无法脱离载体单独存在，只有依托于数据这一形式载体信息的实质内容才能够得以体现。总结而言，数据和信息是载体和内容、形式和实质的关系。正因为如此，有学者认为，在我国刑法的语境下，保护数据即保护信息。事实上，数据承载的信息内容通常具有不同的信息属性，可能涉及国家秘密、商业秘密、个人隐私等。数据的价值，不仅体现在其本身的技术层面，还体现在其具体内容与现实世界受保护法益的联系上。相关数据所承载的信息内容的性质极大程度上决定了侵害不同数据所造成的不同社会危害性，在此意义上侵害相关数据安全行为的定性，主要取决于相关数据所承载的信息内容的性质。

当相关网络数据所承载的信息内容具有国家秘密（包括军事秘密）属性时，侵害网络数据保密性的行为可能构成非法获取国家秘密罪，为境外窃取、刺探、收买、非法提供国家秘密罪，故意（过失）泄露国家秘密罪，非法获取军事秘密罪，为境外窃取、刺探、收买、非法提供军事秘密罪，故意（过失）泄露军事秘密罪等罪；当相关网络数据所承载的信息内容具有知识产权属性时，侵害该类网络数据保密性的行为可能构成侵犯商业秘密罪或为境外窃取、收买、非法提供商业秘密罪等罪；当相关网络数据所承载的信息内容具有个人身份属性时，侵害该类网络数据保密性的行为可能构成侵犯公民个人信息罪等罪。

当前我国刑事立法分别从网络数据所依托的计算机信息系统以及网络数据所承载的信息内容两个方面实现对网络数据安全的保护。前者主要通过确保计算机信息系统不被侵犯以保护网络数据的保密性、完整性和可用性；后者则主要保护网络数据所承载的信息内容的保密性，本质上是对信息安全的保护。

（二）网络数据犯罪的刑事司法规制现状

当前我国司法实践对“数据”的理解较为混乱，尤其对是计算机系统犯罪中“数据”的内涵与外延，尚未达成统一。

一方面，相关司法解释将非法获取计算机信息系统数罪中的“数据”限缩为“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”以及“其他身份认证信息”，其中前者与“公民个人信息”的下属概念中的“财产信息”保持一致。而实践中，从大量的判决书来看，作为该罪犯罪对象的“数据”范围极广，几乎涵盖了一切可在电脑系统中储存、显示、获取的权利客体。采用技术手段入侵计算机信息系统获取数据，最终被判以非法获取计算机信息系统数据罪的案件中，被认定为该罪对象的“数据”的，不仅包括具有财产权益的信用卡信息资料、苹果手机ID与密码等身份认证信息等身份认证信息，还包括淘宝用户的交易订单数据、医院数据库中的药品用药量统计数据等身份认证信息以外的电子数据。可以看到，实务中相关判决并未完全遵循前述司法解释对非法获取计算机信息系统数据罪中“数据”所作的限制性规定，并不将其局限于身份认证信息类的权限型数据内容，而是将身份认证信息以外的其他具有价值的电子数据同样纳入该罪的规制范围。

另一方面，从破坏计算机信息系统系统罪该条文的字面含义来看，第2款“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”中的“数据”似乎泛指一切数据，相关司法解释在该罪的罪数标准上也并未对“数据”的涵义作任何限制。然而，实务中对破坏计算机信息系统数据罪中删除、修改、增加计算机信息系统中的电子数据的操作行为，2017年10月最高人民检察院发布的指导性案例第34号与2020年12月最高人民法院发布的指导案例145号对其中“数据”的性质作出了截然不同的理解：前案中，被告人侵入购物网站内部评价系统删改买家的购物评价，法院认定该行为是对计算机信息系统内存储数据进行删除、修改操作的行为，应当认定为破坏计算机信息系统的行为；而后案则明确了修改、增加计算机信息系统数据，但未造成系统功能实质性破坏或不能正常运行的，不应当认定为破坏计算机信息系统罪。换言之，前案例未对破坏计算机信息系统罪中的“数据”性质作任何限定，可以泛指一切计算机信息系统中存储、处理或者传输的数据，后案例则将该罪中“数据”限缩为对其删除、修改、增加会有损于计算机信息系统功能的完整性和系统正常运行状态的数据。

可以看到，无论是《刑法》第285条第2款旨在保护电子数据保密性的非法获取计算机信息系统罪，还是《刑法》第286条第2款意在保护电子数据完整性与可用性的破坏计算信息系统罪，司法实践中对其中“数据”的理解均尚未达成一致。

（一）“系统”与“数据”的杂糅

一方面，同包括欧盟、德国、日本及我国台湾地区在内的世界各国、各地区一样，我国刑法中的“计算机信息系统”与“数据”概念表现出互为定义的关系。在我国《刑法》以及相关司法解释的规定中，计算机信息系统是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等，刑法所保护的数据则是指计算机信息系统中存储、处理或者传输的数据。该项规定从技术意义上来理解数据的生成、传输和信息显现，体现了数据对计算机、网络通讯设备等的依附特征，因此《刑法》规定计算机犯罪在广义上应当和数据犯罪之间具有一定的包容关系。可以看到，刑法通过对计算机信息系统的范围进行界定以明确“数据”的内涵与外延，同时又将具备“自动处理数据功能”的系统认定为计算机信息系统，导致“数据”与“计算机信息系统”的范围无限趋同。

诚然，在建立计算机系统犯罪体系之初，由于信息技术水平的有限性，有价值的数据几乎仅能存在于计算机信息系统上，甚至大部分电子数据仅能存在于计算机本身，可以说当时数据的外延范围同计算机信息系统基本是一致的。在此技术背景下，通过计算机信息系统的概念范围界定数据的范围无可厚非。然而，随着信息技术的革命与数据技术的迭代，与计算机有关的信息系统逐渐脱离计算机本身，而表现为包括移动终端在内的通信设备、自动化控制设备等多样的系统设备。相关司法解释为顺应信息技术的革新与发展，在前置法规《计算机信息系统安全保护条例》的基础上，将“计算机信息系统”（即“计算机系统”）扩张解释为不仅限于计算机本身，包括网络设备、通信设备、自动化控制设备等在内的一系列系统设备，在极大程度上弱化了传统计算机的性能特征。此时，“数据”的概念也随之扩张，前述计算机信息系统设备中存储、处理或者传输的数据均属于我国刑法的数据范围。根据该项规定，尽管大部分的网络数据得以被“计算机信息系统中的数据”所涵盖，但在这种“数据”概念依附于“系统”概念的计算机系统规制体系下，“数据”这一概念无法脱离“计算机信息系统”的桎梏。事实上，大数据背景下的网络数据已经展露出独立于计算机信息系统的独立的内涵与形式，如网页浏览记录、下载记录、关键词搜索记录等信息数据既不属于系统中从外部采集而输入系统的数据，也不属于系统运行过程中自行产生的痕迹与记录数据，由于其并未进入系统内部，在本质上无法归属于计算机信息系统数据的范畴之内；云技术（包括云存储与云计算）的提升使数据的存储、数据的输入等均与本地计算机系统相分离，存储于云端的网络数据以及大数据技术利用传感器获取的海量数据在存储与传输上不会与系统产生耦合，也因此同样难以被认定为计算机信息系统中的数据，从而表现出刑法的规制不能。而前述这些独立于计算机信息系统的数据极具价值，与计算机信息系统中的数据具有同样的应受刑法保护的重要地位，对其侵害行为理应纳入刑法的规制范畴。

另一方面，《欧盟网络犯罪公约》（以下简称《公约》）作为全球范围内第一部针对网络犯罪所制定的“标杆性”公约，对各缔约国的网络犯罪立法产生了深远的影响，成为各国网络犯罪刑事立法的范本。该《公约》将计算机系统（computersystem）与计算机数据（computerdata）分别作为独立的网络犯罪的侵害对象，以不同的罪名予以规制。如《公约》规定了非法访问（Illegalaccess）与非法拦截（Illegalinterception），分别规制非法访问计算机系统的行为以及非法拦截计算机数据的行为；《公约》还规定了数据干扰（Datainterference）和系统干扰（Systeminterference），分别规制故意毁坏、删除、损坏、更改、阻止计算机数据的行为以及严重妨害计算机系统运行的行为。可以清楚地看到，非法访问与系统干扰是针对计算机系统实施的犯罪，侵害的是计算机系统安全，其保护法益表现为计算机系统的不被侵入与系统功能的正常运行。尽管系统干扰可能包含对计算机数据的删除、改变等行为，但这仅仅只是作为破坏计算机系统功能的手段方法；非法拦截与数据干扰则是针对计算机数据实施的犯罪，侵害的是计算机数据安全，其保护法益分别表现为计算机数据的保密性以及完整性与可用性。

与《公约》所采用的立法方式不同的是，我国《刑法》中的计算机系统犯罪体系并未明确区分侵害计算机信息系统的犯罪以及侵害网络数据安全的犯罪。我国的计算机系统犯罪体系重在维护计算机信息系统安全，在立法模式上选择将对网络数据的侵害杂糅进对计算机信息系统的侵害中，进而以同一个罪名进行规制。比如《刑法》第285条非法获取计算机信息系统数据、非法控制计算机信息系统罪，同时规制了获取计算机信息系统中数据的行为以及非法控制计算机信息系统的行为；再比如《刑法》第286条破坏计算机信息系统罪第1款规制的是删除、修改、增加、干扰计算机信息系统功能，妨害计算机信息系统正常运行的行为，第2款规制的则似乎是删除、修改、增加计算机信息系统中存储、处理或者传输的数据和应用程序，破坏数据完整性与可用性的行为。

由此可见，我国刑法在概念划定与罪名设定两方面均将“计算机信息系统”与“数据”两者予以杂糅的立法模式，使刑法中的“数据”概念不得不依附于“计算机信息系统”，而无法覆盖应当被纳入刑法保护范围的所有数据的外延；表现出我国刑法计算机系统犯罪体系重系统安全而轻数据安全的立法现状，而未在立法上对网络数据安全的独立保护予以足够的重视；也因此直接导致前述司法实践中对“数据”的理解大相径庭，引起相关计算机信息系统罪名适用上的争议。

（二）数据全生存周期中的规制空缺

2019年8月30日，我国发布《信息技术安全数据安全能力成熟度模型》作为国家标准，并于2020年3月1日起正式实施。该国家标准明确将数据生存周期划分为数据采集、数据传输、数据存储、数据处理、数据交换以及数据销毁六个阶段，与六个维度的数据安全要求一一对应。与国家标准中的数据处理主要包括数据计算分析、数据正当使用等不同，我国《数据安全法》将“数据处理”作广义理解，明确规定数据处理包含数据的收集、存储、使用（即狭义的数据处理）、加工、传输、提供、公开等。虽然国家标准与《数据安全法》的对数据生存周期的阶段划分与表述略有不同，但均大致覆盖了数据全生命周期链条中的各个环节。应当看到，从最初的数据采集到最终的数据销毁，其中任何一个阶段都存在着数据安全的风险。然而，由于数据分析与开发等后续处理应用行为均始于数据收集，个人数据的来源合法与否关系到后续的数据流动与利用等环节的合法性认定，因此数据收集通常是数据监管部门重点关注的问题，我国刑法也同样将规制重点放在了数据采集阶段对数据的“获取”型侵犯，而未能覆盖数据的全生命周期，调整的范围十分有限。

日前引发广泛争议的“摩羯数据爬虫案”就是一起典型的侵犯数据存储安全的案例。被告人杭州摩羯数据科技有限公司（以下简称“摩羯公司”）主要经营数据提供业务。贷款用户在向各网络贷款公司、小型银行申请贷款时，需在摩羯公司提供的前端插件中输入其通讯运营商、征信中心等平台的账号与密码。经贷款用户授权后，摩羯公司通过爬虫程序代替贷款用户登录上述各网站，爬取该用户的个人信息及多维度信用数据并提供给贷款平台。尽管摩羯公司同贷款用户事先签订《数据采集服务协议》，明确承诺“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，但摩羯公司在对数据的处理过程中，仍然擅自将其爬取的用户数据在其租用的阿里云服务器上长期留存。杭州市西湖区人民法院认定摩羯公司以其他方法非法获取公民个人信息，构成侵犯公民个人信息罪。

可以看到，该判决在非法获取计算机信息系统数据罪与侵犯公民个人信息罪中选择了后者，重点关注相关数据所承载信息的身份属性，倾向于保护公民的个人信息安全。在网络爬虫行为构成非法获取计算机信息系统数据罪与侵犯公民个人信息罪的想象竞合时，笔者支持以侵犯公民个人信息罪定罪论处。但该案判决的问题在于其对“获取”数据的理解有失偏颇。摩羯公司对用户数据的抓取需要经过用户的授权并输入相关平台的账号与密码，这种技术手段实际上是采用“模拟登录”的方式，代替用户本人登录相关平台进而获取其中存储的数据。因此，摩羯公司的“模拟登录”行为是在取得用户本人的授权后的有权行为，并不涉及对用户个人信息安全的侵害。之所以摩羯公司被判以侵犯公民个人信息罪，是因为摩羯公司违反了与用户的事先约定，擅自将用户数据长期留存。法院裁判的内在逻辑实际上是认为这种对合法获取的公民个人信息的擅自留存同样构成刑法上的“非法获取”。

由于数据或信息非有形的存在形态，对数据或信息的获取行为本质上是“从无到有”（也包括“从明确到不明确”）、“从不知悉到知悉”的过程，而违反约定的留存行为则表现为“知悉”状态的不当延续。虽然两者都体现了无权享有数据或信息内容的主体对该数据或信息内容保密状态的侵害，但无论是从一般人对“获取”这一词义理解的角度，还是从相关法律用语习惯的角度，对数据的存储显然属于数据获取后的处理行为，与数据的采集分属不同的环节。在此意义上，将留存实质内容为公民个人信息的数据的行为认定为“以其他非法方法获取公民个人信息”进而以侵犯公民个人信息罪定罪处罚实有类推解释之嫌。

应当看到，在数据全生命周期的各个环节都可能出现对数据安全的侵害，比如在数据公开环节的不应当公开而擅自公开相关数据、数据提供环节的擅自向他人提供数据、数据销毁环节的应当对相关数据实施销毁操作而未销毁等，这些行为同样构成对数据保密性的侵犯，其社会危害性与在数据采集环节对数据安全的“获取”型侵犯无异，而这些对数据安全的侵犯行为尚游离于我国刑法打击的范围之外。在我国计算机系统犯罪体系对数据安全的保护尚未覆盖数据的完整生命周期、着重于数据采集环节的立法不周延现状下，实务部门将“留存”解释为“获取”的做法实际上是立法空缺下的无奈之举。

（三）有悖于数据分类分级保护制度与罪责刑相适应原则

《数据安全法》第21条明确规定我国建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。关系到国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。然而，我国刑事立法不仅尚未对数据安全的保护采取分类分级模式，甚至根据《刑法》第285条的规定，对重要领域的国家核心数据的保护力度反而相较其他领域的数据更小，违反了罪刑均衡的基本刑法原则。

《刑法》第285条第1款非法侵入计算机信息系统罪旨在保护国家重要领域的计算机信息系统安全不受侵犯，因此该款将犯罪对象限定为国家事务、国防建设、尖端科学技术领域的计算机信息系统。对于这些领域的计算机信息系统，仅实施非法侵入行为即可构成犯罪，并不要求实施进一步的窃密、控制、破坏等行为。而对于该款规定以外领域的计算机信息系统，仅实施非法侵入行为并不构成犯罪，非法侵入并获取该计算机信息系统中的数据，或者对该计算机信息系统实施非法控制的，方构成犯罪。应当看到，我国刑法实际上贯彻了对计算机信息系统的分级保护制度，立法者重点考察了侵犯不同性质、不同重要程度的计算机信息系统造成的社会危害性的程度，并以此设置了分级化的条文款项。但是，该款规定看似重点保护了重要领域的计算机信息系统，但实际上会因没有将嵌入点选在数据访权限上，而是错误地选择在储存有特定数据的对应计算机系统上，导致保护体系不够周延，形成对数据和国家法益两方面保护的缺憾。

具体而言，对于前述重要领域的计算机信息系统，我国刑法仅规定了“侵入”这一基本行为，而没有规定对特定计算机信息系统中相关数据的侵害行为。因此，在现有的刑法条文规定下，非法侵入重要领域计算机信息系统，并获取其中数据的，只能以第1款的规定定罪处罚，处3年以下有期徒刑或拘役。因为第2款非法获取计算机信息系统数据罪明确规定获取的数据所在的计算机信息系统是指“前款（第1款）规定以外的计算机信息系统”。反之，非法侵入前述重要领域以外领域的计算机信息系统，并获取其中数据的，根据第2款非法获取计算机信息系统数据罪的规定，可以处3年以上7年以下有期徒刑。如此的规定不仅忽视了对数据安全的分级保护，还显然有违罪责刑相适应原则。

当然，前述重要领域计算机信息系统中存储、处理或者传出的数据在信息内容可能具有国家秘密属性，此时侵入系统获取数据的行为可能构成非法获取国家秘密罪等，可以在一定程度上规避《刑法》第285条第1款对采集此类国家核心数据行为的不合理规制。但是，国家事务、国防建设、尖端科学技术领域的计算机信息系统中的数据并不当然属于国家秘密，例如国家事务领域的计算机信息系统中有关非重大决策中的秘密事项，或是前述重要领域计算机信息系统中有关行政人员名单的非核心数据等。也就是说，并非所有侵入该领域计算机信息系统获取数据的行为都能以非法获取国家秘密罪定罪处罚。仅通过适用国家秘密罪以规制相关行为并不能完全解决《刑法》第285条第1款与第2款之间不协调与处罚不均衡的问题。

为解决此问题，有学者认为，第2款“前款规定以外”并不是真正的构成要件要素，只是表面要素或界限要素，行为人侵入重要领域的计算机信息系统，获取其中的数据，情节特别严重的，应认定为非法获取计算机信息系统数据罪。该学者认为表面的构成要件要素只是为了区分相关犯罪界限所规定的要素，不是成立犯罪必须具备的要素。笔者对此观点不敢苟同。笔者认为，所有的构成要件要素都具备区分不同犯罪、区分同一犯罪的不同处罚标准的功能与作用，不能因为“前款规定以外”这一要素有效区分了《刑法》第1款与第2款，就认为其不是真正的构成要件要素。在法条设置具有缺陷的立法现状下对其进行弥补性的超越刑法规定的解释，从而虚设条文中明确规定的构成要件，着实有违反罪刑法定原则。

四、网络数据犯罪刑法规制体系的重塑

鉴于我国当前通过计算机系统犯罪体系规制网络数据犯罪存在以上诸多问题，有必要改变这种间接化的规范路径，将网络数据安全作为有别于计算机信息系统安全的独立法益，在立法上以网络数据安全为出发点，发展出直接围绕网络数据犯罪的刑法规制体系。

（一）补充独立的数据视角

一方面，随着数据技术的革新，网络数据与物质终端设备的绑定越来越不必要，越来越多的网络数据已经显现出脱离计算机信息系统的特性。在此背景下，以“计算机信息系统”限定“数据”范围表现出对数据的封闭性、静态性和从属性的固守，造成数据概念的涵摄内容范围较窄，无法适应网络数据内容、类型多样化的特点和要求。简言之，“计算机信息系统中存储、处理或者传输的数据”这一概念表述已经无法涵盖大数据时代网络数据的全部涵义。因此，有必要在立法上摒弃沿用以“计算机信息系统”概念限定“数据”概念、视数据为计算机信息系统的附属性行为对象的固定思维，将“数据”概念从计算机信息系统上予以剥离。具体而言，可以取消非法获取计算机信息系统数据罪中“计算机信息系统中的”这一对数据概念的载体性限制，将“计算机信息系统中的数据”修正为“网络数据”，修正后的非法获取网络数据罪可以有效保护大数据时代独立于计算机信息系统的网络数据。与之相应的，相关司法解释应当适时进行修改，取消将非法获取计算机信息系统数据罪中的数据限定为“身份认证信息”的相关条款。

另一方面，我国在罪名设置上将“计算机信息系统”与“数据”进行杂糅的立法体例未在立法层面体现对网络数据安全独立保护的重视，导致相关条文的保护法益模糊不清，加剧了司法实务中罪名选择与适用上的混乱与困难。笔者认为，应当在刑法条文与罪名的设置上补充独立的数据视角，调整以计算机系统罪名规制侵犯数据安全的立法倾向，将侵犯计算机信息系统安全的犯罪与侵犯网络数据安全的犯罪在罪名设置上予以分离，使网络数据安全从计算机信息系统安全中独立出来。

如前所述，“计算机信息系统”与“数据”在罪名设置上的杂糅主要体现在《刑法》第285条第2款非法获取计算机信息系统数据罪、非法控制计算机信息系统罪以及第286条破坏计算机信息系统罪的第1款与第2款。

对于《刑法》第285条的规定，笔者建议在立法上将非法获取计算机信息系统罪（经修正的罪名应当是非法获取网络数据罪）与非法控制计算机信息系统罪进行拆分。前者规制侵入计算机信息系统或采用其他技术手段，侵害数据安全的犯罪行为，后者则规制对计算机信息系统实施非法控制，侵害计算机信息系统安全的犯罪行为。需要明确的是，侵入计算机信息系统仅是非法获取网络数据的手段行为之一，换言之，由于该罪所保护的数据不再局限于计算机信息系统中的数据，因此并不要求采用其他技术手段必须进入计算机信息系统。譬如采用其他技术手段窃取存储于云端的网络数据、传感器传输过程中的数据或者网页浏览记录、下载记录、关键词搜索记录等尚未进入计算机信息系统内部的数据的，均可能构成非法获取网络数据罪。

至于《刑法》第286条有关破坏计算机信息系统罪的规定，笔者认为，从该罪的立法本意上来看，设立破坏计算机信息系统罪旨在加强对计算机信息系统的管理和保护，保障计算机信息系统功能的正常发挥，维护计算机信息系统的安全运行，而并非意在处罚对网络数据安全的侵害行为。从该条3款罪状的体系协调性角度出发，第1款与第3款都明确规定“造成计算机信息系统不能正常运行”“影响计算机系统正常运行”的，方构成该罪，唯有第2款仅规定了删除、修改、增加计算机信息系统中的数据和应用程序，“后果严重的”。如果将第2款保护的法益理解为计算机信息系统中数据和应用程序的完整性，认为只要对数据和应用程序进行删除、修改、增加操作，无需对计算机信息系统本身的运行安全造成侵害即可构成该罪，显然与该罪的立法目的相悖，也与该条第1款、第3款的规定不相协调。在笔者看来，我国《刑法》破坏计算机信息系统罪第2款的规定实际上同《公约》第5条规定的“系统干扰”（Systeminterference）类似，将对干扰数据作为干扰系统的前置条件，对数据或应用程序实施的删除、修改、增加操作只是破坏计算机信息系统功能、阻碍计算机信息系统正常运行的手段或方式，实质上保护的仍然是计算机信息系统安全。在此意义上，可以说第1款与第2款之间应当是实质与形式的统一关系。因此，第2款中的“数据”不应当泛指一切计算机信息系统中存储、处理或者传输的数据，而理应限缩为“计算机信息系统内部的、侧重于信息系统自身维护的、以访问控制为主要考虑的”、对其进行操作会有损于计算机信息系统功能完整性和系统本身正常运行状态的数据。

如前所述，尽管最高人民法院于2020年发布的指导案例已经对上述观点进行明确，但由于不同机关发布的指导案例的要旨截然不同，导致实务中对该款保护法益的理解莫衷一是。问题的根源均在于立法上第2款仅规定了“数据”这一行为对象，而未明确“计算机信息系统”这一结果对象。笔者建议，在立法层面明确破坏计算机信息系统罪三款规定保护法益的一致性，在刑法条文的表述中采用一致的法益模式，将行为的危害结果落脚于计算机信息系统功能的完整性与正常运行。可以将第2款的表述修正为“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，破坏计算机信息系统功能，造成计算机信息系统不能正常运行，后果严重的”。同时，相关司法解释应当进行同步的修正，对“后果严重”的规定同样应该立足于计算机信息系统安全本身，将“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”罪数标准补充修正为“对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作，造成二十台以上计算机信息系统不能正常运行的”。

此外，在明确修正后的《刑法》第286条第2款保护的是计算机信息系统安全后，应当额外增设相关罪名以保护网络数据安全的完整性与可用性。笔者认为，可以比照《公约》中的“数据干扰”（Datainterference）在我国《刑法》中增设“非法删除、修改、增加网络数据罪”以规制对网络数据进行删除、修改、增加操作、侵犯网络数据完整性与可用性的犯罪行为。

（二）覆盖数据安全的全生命周期

结合《信息技术安全数据安全能力成熟度模型》与《数据安全法》对数据生存周期的阶段划分，覆盖数据全生命周期的完整的数据动态过程大体可以概括为数据采集、数据存储、数据传输、数据提供、数据使用、数据销毁等环节。当前我国《刑法》对数据安全的保护主要集中在数据采集阶段，对后续环节中出现的侵害数据安全的危害行为力有不逮。有必要在立法上补充后续阶段的数据犯罪立法，覆盖数据安全的全生命周期，形成对数据犯罪链条的完成制裁。

分析数据生存周期中的各个环节可以看到，在数据采集、数据存储、数据销毁环节对数据保密性的侵害行为集中表现为无权主体或有权主体超越权限对数据的非法知悉与非法持有，具体表现为非法获取数据、不按约定或规定存储数据、应当销毁而不及时销毁数据等，譬如前述“摩羯数据爬虫案”中行为人对数据的非法留存行为正是不按约定存储数据的具体行为表现；在数据传输、数据提供环节对数据保密性的侵害行为更多地表现为对已持有数据的非法泄露，具体表现为擅自公开应当保密的数据、向他人出售或提供数据等行为；在数据使用环节对数据安全的侵害行为则主要表现为对已持有数据的非法滥用，如将合法持有或非法“撞库”获取的账号、密码等数据进行“撞库”以实现对数据的二次获取，或者在相关平台上进行登录对账户内容实施非法操作等。

在此基础上，笔者建议，首先，对于发生在数据存储、数据销毁环节的侵害数据保密性的行为，可以将“非法获取网络数据罪”修正为“非法获取、持有网络数据罪”，明确将对网络数据的“持有”型行为纳入规制范围，以规范无权主体非法持有网络数据、有权主体超越权限非法留存网络数据等行为。其中，非法留存可以指发生在数据存储环节的不应存储而存储的行为，也可以指发生在数据销毁环节的应当销毁而未销毁的行为。需要明确的是，并非所有发生在数据存储、数据销毁阶段违反约定的不当行为都应当纳入刑法的规制范围，例如未按约定形式或存储要求存储数据或未采用约定的形式进行数据销毁操作等行为，这些行为并未对数据的保密性造成侵害，因此不具备值得科处刑罚的社会危害性。其次，对于发生在数据传输、数据提供环节的侵害数据保密性的行为，可以增设非法提供网络数据罪以规范向他人出售、提供或擅自公开数据等行为。最后，发生在数据使用环节的危害数据安全的犯罪行为，通常表现为对网络数据的利用，实际上属于前文所述的以网络数据作为工具或媒介的“不纯正”的网络数据犯罪。由于其侵害的法益与网络异化前的传统犯罪行为无异，因此无需特别对其作出立法，通过对传统刑事法规进行与时俱进的刑法解释可以实现对相关行为的规制。并且，如前所述，数据和信息之间是载体和内容、形式和实质的辩证统一关系，对网络数据的利用通常是对数据所载具体信息内容的使用，应当根据不同性质的信息内容在后续下游犯罪中所起的作用与行为人对信息内容的利用手段及方法，以传统犯罪进行认定。比如，行为人利用非法获取的支付结算的身份认证信息，盗取账号内资金的，构成相应的侵财犯罪。

（三）建立网络数据安全的分类分级刑法保护机制

在刑法解释无法解决条文之间不协调与处罚不均衡的问题时，有必要适时在立法层面对相关法条进行调整。在对相关法条进行纠错的同时，刑法应该与前置法对计算机信息系统安全的分级处理要求保持一致，兼顾《数据安全法》明确的数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及数据安全一旦受到侵害造成的危害程度，对关系到国家重大利益的核心数据的侵害行为，进行更严厉的惩处。具体而言，应当对《刑法》第285条作如下调整：

其一，明确将非法获取国家重要核心数据的行为予以入罪。根据《数据安全法》的规定，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据均属于国家核心数据，应当实行更加严格的管理制度。与此相对应，对这些重要国家核心数据的侵犯也应当予以更加严厉的惩治。因此，笔者建议将通过侵入计算机信息系统或采用其他技术手段，非法获取、持有关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据的行为作为“非法获取、持有网络数据罪”的加重情形，并为其设置相较现行《刑法》第285条第2款更严厉的法定刑规定，以实行对数据安全的分级保护。同时，建议相关司法解释对于前述修正后的“非法获取网络数据罪”进行细则性的规定，根据不同种类网络数据的性质与特征，通过设置数据组数量的大小实现有层次的罪数标准，实行对数据安全的分类保护。

其二，扩张重要领域计算机信息系统的范围。有学者主张基于法治国家所内涵要求的平等保护公共财产、私有财产的原则，应当取消非法侵入计算机信息系统罪中有关“国家事务、国防建设、尖端科学技术领域”的限定，将该罪的犯罪客体的归属对象扩大为“所有的合法存在的、所有人为防止未经授权的侵入而采取了特别保护措施的计算机信息系统”。笔者认为，这种对所有领域计算机信息系统施以同等的刑法保护的观点虽然着重考虑了对计算机信息系统安全的全面保护，却忽略了对计算机信息系统安全同样应当实施分级的刑法保护。

不可否认的是，随着计算机网络在经济社会生活中的作用日益重要，部分重要领域的计算机信息系统安全问题逐渐凸显，刑法所重点保护的计算机信息系统的领域也应当适时地根据计算机网络的实际情况变化加以扩展。相较于我国《计算机信息系统安全保护条例》中明确对国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统安全的重点维护，《刑法》却未将对经济建设领域的计算机信息系统的侵犯行为纳入重点规制范围。事实上，从计算机信息系统重要性的角度，经济建设领域尤其是金融领域的计算机信息系统的重要性未必低于刑法条文中明确规定的三种重要领域的计算机信息系统，如中国工商银行总行密码数据库所在计算机信息系统的重要性就远高于属于国家事务的乡级政府的电子政务计算机信息系统。在网络金融加速崛起的大背景下，金融领域的计算机信息系统集聚了越来越多的社会财富，在经济建设方面会带来翻天覆地变化得数字化货币更可能在不远的将来面世。正因为网络金融与国民的经济命脉息息相关，金融领域的计算机信息系统应当成为刑法重点保护的对象。因此，笔者认为，在立法上可以考虑将包括金融领域在内的有关我国重要经济建设的计算机信息系统纳入非法侵入计算机信息系统罪的犯罪对象范围。

五、结语

在大数据时代，传统社会的人和物都不必以实体方式呈现，而以账号、信息、数据的方式发生关系，以人和物为中心的社会，变成了以信息与数据为中心的社会。信息社会中产生了除传统计算机信息系统安全和信息安全以外的新价值形式，即与数据的保密性、完整性和可用性相关的新利益。以网络数据作为犯罪对象进行的犯罪应运而生，直接给新兴的数据安全法益带来呈几何式上升的风险，由此催生出针对数据安全进行独立刑法保护的现实需求。

由于早年互联网诞生之初的技术局限性，网络数据通常依托于计算机信息系统及其相关的网络设施等，我国现行刑法对数据安全的保护主要以计算机系统犯罪体系为主要规制方向。但在当下的大数据时代，数据的存储、传输、处理设备以及数据本身的价值都发生了改变。我国计算机系统犯罪体系对数据安全的保护逐渐力有不逮，显露出诸多问题：在概念划定与罪名设置两方面的将“计算机信息系统”与“网络数据”进行杂糅，导致一部分网络数据处于刑法的真空地带，同时造成司法实务中对相关罪名中“数据”概念及保护法益的认定模糊；将规制重心置于数据采集阶段对数据的“获取”型侵犯，而未能覆盖数据的全生命周期，调整的范围十分有限；在前置法强调数据分类分级保护制度的前提下，我国刑法保护尚未对此予以贯彻，甚至部分条款有违罪刑均衡的基本刑法原则。

基于以计算机系统犯罪体系为基础对数据安全的保护存在上述诸多缺陷，有必要在立法上补充独立的数据视角，将“数据”概念独立于“计算机信息系统”概念，使侵害计算机信息系统安全的犯罪与侵害数据安全的相分离，同时增设相关罪名以覆盖数据安全的全生命周期，建立网络数据安全的分类分级刑法保护机制。

经调整的计算机系统犯罪体系与重塑的初步的网络数据犯罪体系如下：

一方面，《刑法》第285条第1款非法侵入计算机信息系统罪、第2款非法控制计算机信息系统罪与第286条破坏计算机信息系统罪构成对计算机信息系统安全的全方面保护，明确非法侵入计算机信息系统罪规制违反国家规定，侵入国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的行为；明确破坏计算机信息系统罪规制第2款规制违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，破坏计算机信息系统功能，造成计算机信息系统不能正常运行，后果严重的行为。

另一方面，通过扩张现行《刑法》第285条第1款非法获取计算机信息系统的行为方式将其修正为非法获取、持有网络数据罪，分别规制行为人在数据采集环节对数据的非法获取行为以及在数据存储、销毁环节对数据的非法留存行为；将非法获取、持有国家重要核心数据的行为作为非法获取、持有网络数据罪的加重情形，并为其设置相较现行《刑法》第285条第2款更严厉的法定刑规定，以实行对数据安全的分级保护；增设非法提供网络数据罪以规制行为人在数据传输、提供环节对向他人出售、提供、擅自公开数据等行为；增设非法删除、修改、增加网络数据罪以规制行为人对网络数据进行删除、修改、增加等操作，侵害网络数据完整性与可用性的行为。至此，非法、持有获取数据罪，非法提供网络数据罪，非法删除、修改、增加网络数据罪三项罪名构成了基本的网络数据安全犯罪的保护罪名。同时，由于网络数据通常兼具形式载体的技术属性以及承载信息的实质内容属性，数据和信息在一定程度上是同一事物的两个侧面，因此刑法分则中涉及信息犯罪的相关罪名可作为前三项罪名的支撑与辅助，共同构筑完整的网络数据犯罪刑法规制体系。