我国数据法益的刑法定位及保护路径

何 群，康志雄

（福州大学 法学院，福建 福州 350108）

一、数据法益概述

大数据时代，数据信息作为基础性和战略性资源，其价值在于重构人类对现代社会理解、预测、掌握的新体系与新模式。互联网、5G、企业数字化、物联网的蓬勃发展，迅速推动供给端产生更大规模、更高数量级、更高价值密度的数据。在全球数字化转型大潮不断推进的背景下，数据泄露事件层出不穷，甚至由此衍生出网络诈骗、身份盗用等重大问题。本文以厘清数据信息概念为出发点，探析数据、信息法益间的区别，分析当前数据法益保护的刑法困境，在明确数据法益刑法定位的基础上实现对数据法益的周延保护。

1.数据法益与信息法益的区别

法益保护的类型划分，不仅源于对保护对象的识别和认定，也依靠立法调整。数据法益与信息法益的区分，以界定两者的保护客体为前提。梳理各国数据信息的立法脉络，主要有三种立法模式：一是数据信息并合构造，即不区分数据和信息差异，通常将“数据信息”或者“信息数据”进行混用，譬如菲律宾《电子商务法》第3 条中以“数据信息”进行双向指代；①Philippines-Electronic Commerce Act（Republic Act No.8792），§ 3（2000）.二是数据信息包含构造，包括“信息包含数据型”和“数据包含信息型”，［1］例如，德国《联邦数据保护法》第3 节中将个人数据表述为“个人（数据主体）的私人或者具体状态的信息”［2］；三是数据信息分立构造，是指将数据和信息作为不同的法律调整对象和保护对象。随着《数据安全法》和《个人信息保护法》的正式施行，我国不久后将形成数据和个人信息并轨的保护模式。出现以上多种立法模式的根源在于：国际间无法准确对数据和信息进行定义。法律概念的模糊不仅会导致法律制定的偏差，也会使数据/信息法益相混淆。

按照学界观点，大多认为数据是指在计算机及网络中流通的由二进制数据代码组合而成的比特流。［3］在形式上，信息通过电子数据的形式在计算机系统中得以表达，“数据作为技术媒介，只是信息表达的方式之一”［4］。但这种数据与信息是“外在形式与实质内容”的观点，割裂了两者间更深层的联系，忽视了数据的生成逻辑与独立作用，实为形式上的认知错误。此外，有学者认为数据处理主体对数据生成主体之数据进行加工所得的信息也属于“个人信息”，但该类个人信息并不直接指向数据生成主体的个人特征，因此数据处理主体才是个人信息权的归属主体。此观点更是在实质特征上混淆了信息权和数据权。

我国《数据安全法》将数据定义为，“任何以电子或者非电子形式对信息的记录”，意即数据是信息同网络技术高度融合的产物，数据的产生不能脱离信息，对信息具有依赖性。然而，不能依此直接得出数据与信息之间是“形式与内容”的结论，“数据不是信息化的副产品，信息化的本质是数字化。数据看似信息化的‘副产品’，而是重要的‘正产品’”［5］。信息至数据的生成、转化流程（如图 1 所示），信息以技术设备为媒介，通过信息→算法应用→数据的链条式传输，实现了基础信息至目标数据的转化。质言之，数据并不是对信息的简单记载，而是通过计算机对信息进行分析与转化，数据在优化过程具有独立意义，故不能再以信息的表现形式来定义数据。

图1 信息数据转化流程

另一方面，两种法益间的区别不仅在于保护对象迥异，更深层差异源于法益背后隐含的价值观，即安全、秩序价值与个人价值的冲突。价值观念的不同，同样也可以借助保护对象不同来解释。回顾数据的生成逻辑，信息是数据产生的基础，信息的作用在于消解人们对具体事物认知的不确定性。例如，当我们针对信息主体提取数据，个人数据会逐渐和DNA 片段相分离，丧失个性的同时走向不确定和模糊性，而这些特性正是公共性的来源，也是数据安全价值的逻辑起点。数据法益与信息法益如同数学中的点面关系，无数的点汇集成面，面具有比点更广延的内涵，但也更易于遭受风险侵害。当然，信息法益并非纯粹的“点”，不能将“点”理解为单体，因为信息往往也呈现累积性，但较于数据法益其更关注个体安全，两者具有不同的保护倾向。

2.数据法益的内涵

将数据法益上升为刑法法益须进行合理性检验：第一，是否值得刑法保护；第二，数据法益的内涵为何。数据法益以数据安全为导向，对第一个层面或许没有疑问，而对其内涵应从数据权体系和数据法益的层次性进行展开。前者主要是对数据生成行为、控制行为、处分行为的保护。数据控制行为在于保护数据运行状态的稳定性，即免受他人侵害的静态权利。数据生成行为在于明确“数据拥有者”与“数据处理者”间数据所有权的归属。最后，数据处分行为实质上是对数据转让、出售、封存处理等动态权利的确认和保护。

我国《数据安全法》对数据法益的保护包括两个层次：国家安全和个人权益。国家层面的数据法益在于明确主权国家间数据传输的区际规则，重点打击非法传输数据的行为，维护社会秩序，而个人层面的数据法益在于划定主体间的数据使用权限及数据归属关系。“刑法的社会保护机能以维护社会秩序为己任”［6］，数据法益不仅须关注个体数据权益，更应以维护秩序稳定为价值导向。与信息法益不同，数据法益不以个体利益为出发点，与之相反，它通过集体价值的实现使个体获益，其独特的刑法机能源于数据法益的公共性。

3.数据法益公共性之证立

德国教授Hefendehl 曾提出，“服务于多人或者社会的法益，是集体法益（Kollektiv Rechtsguter）。”［7］大数据时代下，数据利用场合通常涉足国家安全、精尖科学等公共领域。诚然，数据法益切实体现集体利益的价值理念，但论证其公共性，还有其他考量因素。

第一，基于社会整体性风险。数据时代的风险根源于技术永不停歇的变革和创新，基于此，数据时代中的风险不受时空条件之限制，具有难以归责于个人以及发展变化迅速之特征。［8］然而，数据系社会交往之基石，个体参与社会互动过程中不断使个体数据与社会数据集束汇聚，可以说，如果数据集束作为一个整体，个人数据则是其得以组成的“制度性”因子。因此，若整体安全受影响，数据个体也无法躲避风险。基于此，数据从一个技术手段逐渐转为整体数据风险，迫使法律保护向社会公共性靠拢。

第二，基于被害人数量的法益考量。法益并非空洞的言辞工具，需借助规范事实确定处罚标准，亦须坚持罪刑法定原则，立足值得科处刑罚的限度，方能实现保护法益的现实目的。一方面，数据的集成性特征使危及数据权的行为会牵涉多数不特定对象；另一方面，若只是对微量数据进行干扰、破坏，未具备相应危害性时，也应保持刑法的谦抑，不应对其进行处罚，这也是集体法益保护的限度条件。

第三，基于完善我国刑法体系之需要。立足于刑法体系的内部融洽，立法者将侵犯公民个人信息罪规定在“侵犯公民人身权利、民主权利”一章中，侧重对个体权利的保护，但囿于信息权和数据权在大数据时代的刑法定位，从保护法益的角度出发，单一法益恐无法对数据权形成周延保护。“基于数据的公共性原理而适时进行法律调整思维的转换”［9］，以信息权和数据权同时保护为基本思路，确定新的立法事实，实现刑法秩序的内部贯通。

二、总体国家安全观背景下数据法益保护困境

随着风险社会的到来，安全问题成为各界关注的焦点。2014年4 月，习总书记提出了“总体国家安全观”的制度构想，同传统国家安全观不同的是，总体国家安全观将信息安全、网络安全纳入国家安全。刑法作为基本法，面对民众最基本的数据安全需求时，需要发挥其保障作用。目前，我国刑法对数据法益的保护明显不足，同时司法实践中对涉数据信息类型犯罪认定缺乏统一标准。

1.数据法益刑法保护的缺失

在总体国家安全观指引下，数据法益作为一种新型法益，立法者也在不断回应对其保护的现实需求，努力构建国家安全下的数据秩序。2009年《刑法修正案（七）》增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪，开启了刑法对个人信息的保护。《刑法修正案（九）》将相关罪名修订为“侵犯公民个人信息罪”，2017年最高人民法院和最高人民检察院又协同发布《关于办理侵犯公民个人信息刑事适用法律若干问题的解释》。尽管立法和司法解释协同发力，但危害数据安全犯罪在犯罪对象和手段与危害信息安全犯罪迥然不同，从个人信息权保护的单一视角切入难以保障数据安全、维护数据秩序。

2.涉数据信息犯罪认定缺乏统一标准

通过中国裁判文书网进行相关数据统计，以“刑事案件”“非法获取计算机信息系统数据罪”“破坏计算机信息系统罪”“判决书”“刑事一审”为词条进行检索，收集到“非法获取计算机信息系统数据罪”有效案例720 份，“破坏计算机信息系统罪”有效案例796 份。其中，事实部分涉及“数据”的案例分别为616 份和615 份。通过对案例的整理、归纳和分析，发现：一是数据存在形式多样，包含了任何能够以代码形式存储于计算机信息系统的权利客体，二是涉数据犯罪构成要件的模糊化，致使构成要件认定陷入与“计算机信息安全”犯罪同质化的窠臼。数据存在形式的多样化和构成要件的模糊性，导致司法实践中出现了计算机犯罪与数据犯罪等同的趋向，出现了罪名适用的混乱。

三、数据法益之刑法定位：个人法益基础上的公共安全法益

法益不但指引着客观行为要素的识别方向，更涉及社会关系评价的规范定位。侵犯法益是违法性的实质［10］，将数据法益纳入到刑法保护范围，必须指出其背后的违法性实质。

1.数据法益刑法保护的必要性

“个人信息的排他性效力在大数据时代逐渐被减弱，个人数据信息的主动或者被动收集、分析并应用于各行业成为社会经济活动与政府社会治理的常态化操作。”［11］无论是信息还是数据，一旦专属性削弱，其生成和繁殖就难以受到限制。数据信息犯罪的链条化、产业化单靠侵犯公民个人信息罪来规制是不现实的，因此，其他能够保护集体法益的刑法路径应当纳入考量之中。“刑法规范以立法事实为根据”［12］，数据法益在社会现实中具有重要意义，施以刑法保护迫在眉睫。

无论是从数据所处时代的社会定位，或是侵犯个人信息权和数据权的犯罪手段，亦或是从涉数据犯罪的社会危害性来看，情况同“侵犯公民个人信息罪”入罪之初大相径庭。数据因信息源的多样性而覆盖多重领域，涉及军事、交通、能源、航空等，对这些领域法益保护的必要性毋庸置疑。我国刑法规定侵犯公民个人信息罪是以保护个体人身、财产法益为立法目的，但侵犯数据权的行为是对整个社会秩序以及集体法益的冲击和破坏，现有刑法体系难以发挥其保障作用。溯其本源，侵犯公民数据权行为的“泛化滋生”，源自数据生成过程所呈现的不确定的系统特征，即危害行为所侵犯法益的具体要素始终处于抽象、模糊的境地。由此观之，明确数据犯罪行为背后所隐含的法益内涵和法律依据是我们当今刑法的现实任务和应然转向。

2.数据法益的刑法定位

“刑法的任务在于法益保护，这在现代刑法思想中已不存在重大分歧。”［13］法益具有指导刑法解释和刑法分类的功能，刑法分则以法益为参量进行结构划分已成为通行标准。因此，应当优化刑法内部同类法益的部署结构，以体系化保护的视角探求个人信息法益同数据法益的内在共生。

（1）个人信息权下数据权的定位

个人数据基于个人信息产生，同时也包含以个人信息为基础而派生的数据信息的占有、使用、收益和处分的权利。与信息不同，数据一定意义上改变原有信息结构，经过分离、结合、分析等多轮处理过程，具有去识别化的特性。去标识化一定程度上留存了个体颗粒度，信息若不借助其他信息便无法识别信息主体，但脱离个体的数据随时可能重组生成“去识别化”的数据集合，诱发更为严重的社会性风险，成为保护的盲区。此外，个人信息中亦存在一些非专属性信息，譬如学历、信仰等，与主体并非一一对应，若经过算法处理，非专属信息间的结合，也可以使数据实现精准定位的功能。因此，个人信息权是个人数据权的权利基础，个人数据是对个人信息的算法处理。数据权的引入可以实现对个人信息权盲区的周延保护，是对未来网络时代发展的有力回应。

对于侵犯公民个人信息罪所侵害的法益，存在个人法益说与超个人法益说。个人法益说具体细分为以下观点：消极隐私权说、人格权说、信息自决权说、公民个人生活安宁说、信息隐私权、公民个人信息权说等。超个人法益说认为，公民个人信息第一层面保护的对象是个人信息安全和生活安宁，第二层面则是维护公共利益、保卫国家安全，乃至捍卫信息主权。［14］首先，“超个人属性”的法益内涵主要表现在对“公民”概念的教义学分析。根据刑法学对于“公民”的定义，大多数情况下“公民”指代任何人，其刑法保护对象包括无国籍人、外国人。其次，侵犯公民个人信息罪的超个人法益属性源自于刑法对妨害社会秩序犯罪的规制，易言之，对于侵犯公民个人信息罪的行为不仅侵犯公民个人信息安全，同时也成为绑架、敲诈勒索等犯罪的危险源，严重影响社会稳定。最后，个人信息作为侵犯公民个人信息罪的保护对象，其本身具有非竞争性特质，即当主体A 享有权利之时，并不会对主体B 产生消极影响，主体间不仅不属于竞争关系，反而是休戚相关的利益共同体。综上，既然个人信息权具有超个人法益属性，那么由个人信息大量累积而成的大数据，自然也具备超个人法益属性。

（2）总体国家安全观视野下的数据刑法理念

习近平总书记高度重视总体国家安全观，多次提及“十三个国家安全要素”，其内涵囊括“信息安全”和“科技安全”为代表的非传统型安全。同样，《数据安全法》也以工业、电信、交通、金融等为主要监管领域，将数据法益保护的首要目标放在国家主权、安全和稳定之上，其价值理论与整体主义理论相契合。整体主义是相对个人主义而言，强调社会对个人的影响。作为社会学派代表，庞德认为：人类对自然和人性的控制以文明发展程度为限，社会控制是其中的重要手段，而法律以社会控制为任务。［15］基于国家、社会本位的刑事政策，势必要求刑法强势介入数据信息领域，即在整体主义之下构建数据权和信息权的刑法体系。

传统刑法追求法益保护和人权保障机能，在强调刑罚的惩罚性和威慑性的同时，更强调刑法的被动性和谦抑性，注重对个人权益的保障。当然，刑法不是鼓励放弃对个人权益的保障，而是将数据信息的考虑立场建立在集体主义和宏观公共利益之上。针对客观主义学者一贯主张的法益理论，部分学者也作出了如下反思：法益理论在划分刑事立法正当性边界上有其局限性，因为法益理论在对象的保护上存在着偏向思维。为了防止法益理论造成刑法保护的失衡，刑法必须在法秩序统一原理的指引下，遵守相应基本原则。即，秉持宪法的开放性和包容性品质，刑事立法的正当性理论一来须借助宪法对立法目的正当性进行检验，二来也应关注保护手段是否符合比例原则。换言之，针对风险社会，安全和秩序价值是数据法益保护的理念核心，同时也将正当性和合比例性作为理论完善的发展向度。

四、大数据时代数据法益保护的刑法进路

为了应对大数据时代的现实需求，《个人信息保护法》已正式施行，《民法典》对公民个人信息权也作出细化规定。当下，针对日益猖獗的数据犯罪，我国《刑法》需要通过明确侵犯公民个人信息罪的保护边界、调整刑法现有规定等途径，保护数据法益。

1. 扩大侵犯公民个人信息罪所保护法益的内涵

尽管学界对刑法扩张问题争议许久，但有一个关键支撑点，甚至可能发展为共识：若因社会变迁极大改变社会原貌，那这种扩张是必须的。“‘公民个人信息’不仅具有人格权的性质，强调对于公民人格尊严的保障，同时也具有财产权的意蕴。”［16］侵犯公民个人信息罪中关于公民个人信息权的界定早已突破隐私权的边界，兼具人格权和财产权的权属色彩，进而形成同生命权、自由权并列的权利类型——个人信息权。

（1）将《个人信息保护法》作为专门性前置规定

尽管当前司法解释尽力弥补公民个人信息的法律空缺，但是效果还是不尽人意。究其原因，侵犯公民个人信息罪作为典型的法定犯，以违反刑法之外的规范为入罪条件。当前立法只关注构成要件的内在参量，却忽视外部的前置性条件，陷入法律适用僵硬化的窠臼，忽视了宏观层面的立法考量，易言之，应与“违反国家规定”的构成要件相关联，将《个人信息保护法》作为专门性前置法。《个人信息保护法》的有效衔接不仅可以弥补相关罪名罪状的空缺，同时可对法益保护和追究犯罪起到保障作用。

（2）明确侵犯公民个人信息罪的保护对象

正如前文所提，数据是对个人信息的算法分析，是对信息的多次深化、发掘，是在互联网技术支撑下形成的能与个体性状相分离的法律客体。在立法、司法层面明晰数据同个人信息间的差异是正确适用规范和保护法益的前提。数据的生成依赖于海量信息的集成，同个人信息的离散性征相比，数据则具有高度化、宏观化的集成特性。简言之，在法益保护上，数据法益往往具有更强的公共性。刑法对于集体法益的保护，并不以牺牲个人法益的保护为代价，恰恰相反，为了保护个人自由以及创造个体自由生存条件，更应该强调集体主义。反观当下，“传统上以个人法益保护为中心的刑法，无法有效回应现代社会的各种风险和挑战，于是集体法益的保护在现代刑法中呈现扩张趋势。”［17］意即，在大数据时代，在明确权利对象的前提下既要注重对个人法益的保护，也要回应社会法益的现实呼吁。

2.建议增设侵犯公共数据罪

传统涉数据安全犯罪的规制主要借助于侵犯公民个人信息罪、非法获取计算机信息系统数据罪，并未实际有效规制涉数据犯罪，反而在原本个人信息危机之上叠加了数据风险。因此，当数据安全问题成为个体难以解决的社会忧患时，刑法必须发挥其保障法的功能，应对社会不断衍生的危机与风险。故本文建议，在危害公共安全罪章节引入对数据法益的保护规则，增设侵犯公共数据罪。在变动不居的风险社会下，增设侵犯公共数据罪是保护重要法益、预防犯罪及健全我国安全保障体系的应有之义。

其一，增设新罪在于保护重要法益，“当一个行为严重侵犯法益或者侵犯重要法益时，才有必要将其规定为犯罪”［18］。数据资源之所以被誉为是二十一世纪的战略黄金，不仅是因为其本身所蕴涵的经济价值，更在于数据源可能涉及企业乃至国家的发展命脉，而数据法益更承载着数据利益中最核心的价值，故增设新罪的重要性不言自明。此外，现实中存在不少互联网巨头违规违法收集、泄露个人数据的事件，同时依附于这些行业巨头的中小型企业，使用的手段更为恶劣，公众对数据安全的信任危机严重危害公共安全。

其二，增设新罪是预防新型犯罪的必要手段。“在刑法领域，公众对于安全的现实需求会汇聚成刑事政策上的压力，最终通过目的的管道传递至刑法体系的内部，驱使刑法体系向预防目的的方向一路狂奔。”［19］自二十世纪中期以来，学界对绝对报应刑论进行了深刻的反思性批判，以报应为目的的刑法理论不仅容易陷入“以恶制恶”的窠臼当中，而且从报应刑只能以事后惩罚来回应犯罪的角度来说，其又是滞后的，特别是在数据风险随时可能演变为数据犯罪却又难以遏制的情况下，刑法须从预防犯罪的目的出发，“倡导刑罚有效性的必要制裁功能观，松绑刑法保障法”［20］，以前瞻性的姿态防止社会可能出现的结构性数据风险。

其三，增设新罪是健全安全保障体系，践行总体国家安全观的应有之义。数据犯罪的泛化滋生严重危及总体国家安全，刑法通过完善自身体系以规制数据犯罪是总体国家安全的积极实践，既推进了法治化、完备化安全保障体系的理论进展，也深化了刑法保障总体国家安全的实践内涵。增设侵犯公共数据罪应是刑法积极回应数据时代发展困境的有力举措，也是刑法践行保障国家安全、稳定社会秩序、维护公民权利任务的时代担当。

概言之，对数据法益的保护，刑法既不能怠于履行守卫数据公共安全的职责，亦不能过度压缩数据主体的权利范围与自由空间，“应当在数据安全与传统刑法体系之间寻求恰当的平衡点”［21］，以此达到“惩罚犯罪和保障人权”的刑法使命。