苏桑妮

摘 要：全国首例“‘爬虫入刑案”在司法上确立了数据安全法益的独立地位，值得肯定。但是，本案将数据安全法益定位为数据载体保护，不仅没有揭示数据背后的法益本质，而且会加重数据犯罪的“口袋化”趋势，甚至会导致数据孤岛和数据垄断的现象发生，阻碍数字经济发展。其实，分析刑法体系和立法原意可以发现，数据安全法益的本位在于保护数据信息内容而非保护数据载体，如此既符合刑法谦抑性的要求，也契合数据价值利用的机理，能够有效平衡数据安全保护与数据资源利用之间的关系。基于此，没有侵害数据信息保密性、完整性和可用性的行为，不应被认定为数据犯罪。

关键词：数据安全;数据保密性;数据法益;非法获取计算机信息系统数据罪

中图分类号：DF623 文献标志码：A

DOI：10.3969/j.issn.1008-4355.2020.06.09

2020年全国人大常委会工作报告明确将《数据安全法》的制定作为下一个阶段的主要工作任务，突显出数据安全问题的重要性。为加强对数据安全的刑法保护，越来越多刑法学者建议确立独立的数据安全法益，①即数据保密性、完整性和可用性。同时，入选2019年度人民法院十大刑事案件的全国首例“‘爬虫入刑案”，②更是将数据保密性确立为本案行为侵害的法益，在司法上对数据安全法益予以认可。本案中的“爬虫”，即网络爬虫技术，是按照一定规则自动抓取互联网数据的程序或脚本，通常作为采集和分析数据的基础技术被广泛运用于搜索引擎中，但对网络爬虫技术的不当运用会侵害数据安全，本案正是如此。然而，本案对爬取公开信息之行为侵害数据保密性的认定，实则是将数据安全法益定位为数据载体保护，不仅没有揭示数据背后的法益本质，而且会加重数据犯罪的“口袋化”趋势，阻碍数据资源的最大化利用。基于此，笔者从全国首例“‘爬虫入刑案”切入，论证数据安全法益的本位在于保护数据信息内容而非保护数据载体，以合理限定数据犯罪尤其是非法获取计算机信息系统数据罪的适用范围，保障数据依法有序自由流动。

一、数据安全法益的司法定位与分析

随着数据犯罪 本文所指数据犯罪，是以电子数据为对象的非法获取、删除、修改、增加等犯罪行为，包括但不限于《刑法》第285条第2款非法获取计算机信息系统数据罪和第286条破坏计算机信息系统罪第2款删除、修改、增加数据之规定。参见杨志琼：《我国数据犯罪的司法困境与出路——以数据安全法益为中心》，载《环球法律评论》2019年第6期，第152页。规制研究的深入，数据安全被认为是“最重要的新型刑法法益”，应当确立其独立地位。

参见孙道萃：《网络财产性利益的刑法保护：司法动向与理论协同》，载《政治与法律》2016年第6期，第53页。结合我国《网络安全法》

《网络安全法》第10条规定：“建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。”和《欧洲理事会网络犯罪公约》（Cybercrime Convention of the Council of Europe）的规定，数据安全法益包括数据的保密性、完整性和可用性。

參见[德]乌尔里希·齐白：《全球风险社会与信息社会中的刑法》，周遵友、江溯等译，中国法制出版社2012年版，第307-308页。其中，数据的保密性，是指数据免受未授权人探知、获悉或使用的状态;数据的完整性，是指数据不被修改或损害的状态;数据的可用性，是指权利人能及时、有效地获取、使用数据的状态。

参见杨志琼：《我国数据犯罪的司法困境与出路——以数据安全法益为中心》，载《环球法律评论》2019年第6期，第159页。上述“数据保密性”，被全国首例“‘爬虫入刑案”确立为非法获取计算机信息系统数据罪的法益，从而使数据安全法益作为独立的刑法法益获得了司法认可。

（一）“‘爬虫入刑案”对数据载体保密性的法益定位

在全国首例“‘爬虫入刑案” 即上海晟品网络科技有限公司非法获取计算机信息系统数据案，又称“今日头条案”。具体是，2016年至2017年间，被告人张洪禹、宋健、侯明强作为被告单位上海晟品网络科技有限公司主管人员，在上海市共谋采用网络爬虫技术抓取被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并由侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的反爬虫措施、实施视频数据抓取行为，造成被害单位损失技术服务费人民币2万元。2017年11月，北京市海淀区人民法院判决本案被告单位上海晟品网络科技有限公司、被告人张洪禹、宋健、侯明强、郭辉构成非法获取计算机信息系统数据罪。参见北京市海淀区人民法院（2017）京0108刑初2384号刑事判决书。中，法院认定，被告单位及被告人违反国家规定，采用网络爬虫技术破解了被害单位的技术措施，实施视频数据爬取行为，造成被害单位损失技术服务费人民币2万元，情节严重，构成非法获取计算机信息系统数据罪。

参见上海晟品网络科技有限公司非法获取计算机信息系统数据案，北京市海淀区人民法院（2017）京0108刑初2384号刑事判决书。本案中的网络爬虫技术原本属于中立的网络技术，由于能够系统扫描、分析和保存网站和手机应用上的信息，汇集不同来源的数据以供识别和分析，网络爬虫技术被广泛用于搜索引擎、互联网金融、视频图书类聚合平台等领域，极大地提高了人类对数据的采集能力和分析能力。但同时，该技术的滥用也存在导致网站拥堵或损耗服务器资源等技术安全风险，以及侵害公民个人信息自决权、知识产权和数据安全等法益侵害风险。

参见杨志琼：《数据时代网络爬虫的刑法规制》，载《比较法研究》2020年第4期，第186页。本案中不当使用网络爬虫技术的行为，正是被认定为侵害了数据保密性这一数据安全法益。详言之，主审法官认为：“本案的‘公开信息并非‘共享数据，被告单位的行为已经侵犯了被害单位计算机信息系统和数据的安全性中的‘保密性这一法益，其行为完全符合非法获取计算机信息系统数据罪的构成要件，应该追究刑事责任。”

游涛、计莉卉：《使用网络爬虫获取数据行为的刑事责任认定——以“晟品公司”非法获取计算机信息系统数据罪为视角》，载《法律适用》2019年第10期，第5页。由此，全国首例“‘爬虫入刑案”通过对非法获取数据行为侵害数据保密性的认定，在司法上确立了数据安全法益的刑法地位。

本案通过对非法获取“公开信息”行为侵害数据保密性的逻辑论证，将数据安全法益具体定位为数据载体保护。本案主审法官认为，尽管被告单位采用爬虫技术获取的是“公开视频信息”，但“公开信息”不等于“共享数据”。

参见游涛：《利用网络爬虫技术获取网络“公开信息”的刑法规制——上海晟品网络科技有限公司、张洪禹等非法获取计算机信息系统数据案》，载李玉萍主编：《网络司法典型案例（刑事卷·2019）》，人民法院出版社2020年版，第37页。具体而言，数据是信息数据和冗余数据的集合，本案中的视频信息是指可视化内容，而视频数据除了数字化的视频信息之外，还包括处理、加工视频信息过程中冗余的计算机语言、文字、代码、字符等。盡管本案中的视频信息可以自由观看，属于公开信息，但被害单位并未提供视频数据的下载渠道，处理、加工视频信息过程中冗余的数据并未公开，所以“公开信息”并不等同于“公开数据”。“信息公开，只是数据中原本数据化了的信息经过处理后的内容公开了，数据依然存储在数据的硬件载体之中，在信息内容被展现的过程中，数据在被传输、处理但没有公开”，

参见游涛、计莉卉：《使用网络爬虫获取数据行为的刑事责任认定——以“晟品公司”非法获取计算机信息系统数据罪为视角》，载《法律适用》2019年第10期，第8-9页。被告单位爬取公开信息的行为仍然侵犯了数据安全法益中的“数据保密性”，成立非法获取计算机信息系统数据罪。显然，本案中的“信息”和“数据”分属不同层次，是内容和载体的关系。本案将“数据”回归到其作为电子载体的技术层面，认为“信息”是“数据”反映的内容，“数据”是“信息”的载体。由此，按照本案的论证逻辑，基于“视频数据”是反映视频信息的数据和其他冗余数据的集合，可知本案视频数据的保密性体现在两个方面：一方面，尽管视频的信息内容公开，但是承载信息内容的数据载体不能下载，也就没有公开;另一方面，处理、加工视频信息过程中，未反映信息内容的其他冗余数据也没有公开。因此，本案中技术层面上作为载体的视频数据仍然具有保密性。

可以看出，本案严格区分了作为物理载体的数据和数据所反映的信息内容，并将数据保密性定位为数据载体保护，即认为刑法保护的法益是数据载体的保密性，而非数据信息内容的保密性，以此确立了以数据载体安全为本位的数据安全法益，并奠定了司法实践惩治类似犯罪的态度和立场。

（二）司法确立数据载体保护立场的原因分析

全国首例“‘爬虫入刑案”将数据保密性定位为数据载体保护，奠定了司法实践保护数据载体安全的立场，实际上是受到立法规定、司法惯例和市场竞争综合影响的结果。通过分析司法确立数据载体保护立场的原因，可以进一步考察如此立场的正当性与合理性。

首先，司法实践将数据安全法益定位为数据载体保护是立法规定使然。从刑事立法规定来看，“非法获取计算机信息系统数据罪”与“非法获取公民个人信息罪”

本罪已被2015年通过的《刑法修正案（九）》修订为“侵犯公民个人信息罪”。同时由《刑法修正案（七）》增设，而前者规定的犯罪对象为“数据”，后者规定的犯罪对象为“信息”，足以证明“数据”与“信息”存在不同内涵，且前罪以“数据”而非“信息”为犯罪对象。那么，以“数据”而非“信息”为出发点解读非法获取计算机信息系统数据罪，便“情有可原”。可见，“数据”与“信息”的区别自立法初始便存在，将非法获取计算机信息系统数据罪的法益解读为数据载体保密性而非信息保密性，是刑事立法规定使然。

其次，以数据载体为出发点认定数据犯罪属于司法惯例。以非法获取计算机信息系统数据罪为例，司法工作人员对于本罪犯罪对象的认定，通常只判断行为对象是否属于计算机科学意义上的数据，即输入到计算机信息系统并能被程序处理的数字、字母、符号等，

参见王珊、萨师煊：《数据库系统概率》（第5版），高等教育出版社2014年版，第4页。不考察数据所承载的法律属性，从而将非法获取计算机信息系统数据罪的认定重点放在行为是否属于“非法获取”上。因此，有学者称：“实务中存在将数据的技术属性与法律属性相混淆，甚至以技术属性判断取代法律属性判断的司法惯例。”

杨志琼：《非法获取计算机信息数据罪“口袋化”的实证分析及其处理路径》，载《法学评论》2018年第6期，第165页。这种对“数据”的技术属性判断实则就是对数据载体的技术确认，因简单、直观而受到司法实务的青睐。可见，以技术层面上的数据载体为出发点解读数据安全法益，正是司法实践的惯性使然。

最后，司法将数据安全法益定位为数据载体保护，不可避免地受到大型互联网企业竞争数据资源的影响。大数据时代，数据已然成为企业的关键要素资源，更是数字经济持续发展的原材料，大型互联网企业对于数据控制权的争夺此起彼伏，如菜鸟网络与丰巢科技相互关闭数据接口之战、

2017年6月1日，阿里巴巴旗下的菜鸟网络官方发布微博，指责顺丰旗下的丰巢科技关闭对菜鸟的数据接口，称5月31日菜鸟收到顺丰发出的数据接口暂停告知，6月1日凌晨顺丰关闭了自提柜的数据信息回传，并于当日中午进一步关闭了整个淘宝平台物流信息的回传。对此，顺丰回应是菜鸟于6月1日0点以信息安全为由下线丰巢接口信息，实际上是一场有针对性的封杀行动，除丰巢外，其他平台均为关闭数据接口，其目的在于逼迫顺丰由腾讯云切换至阿里云。参见《顺丰菜鸟之争》，载百度百科，https：//baike.baidu.com/item/%E9%A1%BA%E4%B8%B0%E8%8F%9C%E9%B8%9F%E4%B9%8B%E4%BA%89/20830652？fr=aladdin，2020年5月30日访问。腾讯与华为的用户数据之争

华为旗下的荣耀Magic智能收集，能够通过收集用户微信内容等相关活动信息来提供餐厅推荐等人工智能服务。对此，腾讯认为华为不仅非法获取了腾讯的用户数据还侵犯了微信用户的隐私。华为则认为所欲数据均属于用户而非微信或者荣耀Magic，其获取、处理数据前已获得用户授权，不存在争议。参见王超：《从华为和腾讯数据之争看规范用户数据管理的重要性》，载《网络空间安全》2018年1期，第27页。等。为了加强对数据的控制权，“互联网企业在技术、市场（合同）和规范（创造权利话语）这几个角度都已有所着力”，

戴昕：《数据隐私问题的维度扩展与议题转换：法律经济学视角》，载《交大法学》2019年第1期，第41页。不论是在技术上对公开信息关闭复制、下载渠道，还是从理论上诉诸“劳动创造产权”的经典财产理论，

参见丁道勤：《基础数据与增值数据的二元划分》，载《财经法学》2017年第2期，第8-9页。抑或是从规范上强调对数据的“物权化”保护，都是力图将数据制造者与数据载体割裂开从而支持企业独占数据资源权益的手段。毕竟，强调对数据载体而非数据信息内容的保护，意味着哪怕数据生产者的本意是信息传播，作为数据载体实际控制者的企业仍可以利用法律手段保护自己对数据载体的控制权。毫无疑问，不论行业话语如何大张旗鼓地强调对数据载体的权利，其真正面向都是互联网企业对数据控制权的争夺，而在某种意义上，这种争夺已经反映在了司法实践之中。

二、以数据载体安全为本位的数据安全法益质疑

当前，理论上对数据安全法益的认可，多是根据数据犯罪的规制困境来提出的确立数据安全法益的倡议，

如杨志琼：《我国数据犯罪的司法困境与出路——以数据安全法益为中心》，载《环球法律评论》2019年第6期，第159页;王倩云：《人工智能背景下数据安全犯罪的刑法规制思路》，载《法学论坛》2019年第2期，第35页;孙道萃：《网络财产性利益的刑法保护、司法动向与理论协同》，载《政治与法律》2016年第6期，第53页。而少见对数据安全法益内涵的解读分析。基于此，全国首例“‘爬虫入刑案”在确立数据安全法益的基础上，首次明确对数据载体与数据信息进行了區分，值得肯定。然而，在此区分之上，司法实践将数据安全法益定位为数据载体保护的做法，不具有合理性，不仅没有揭示数据承载的法益本质，而且还在司法上加重了非法获取计算机信息系统数据罪的“口袋化”趋势，甚至会在市场竞争中带来数据垄断的后果，阻碍数字经济的发展。

（一）未能揭示数据的法益本质

将数据安全法益定位为数据载体安全的做法，仍然停留于数据的数字技术特征，虽披上法益的外衣，却未能揭示数据背后的非物质法益本质。传统计算机信息系统犯罪中关于数据的认知理念已经严重落后于数据内涵扩展带来的变化，导致对数据犯罪的规制不足，这个问题并非没有被司法机关所认识。然而，司法机关通过从技术层面扩大“计算机信息系统”范围来扩大“计算机信息系统数据”范围的应对策略，治标不治本。尽管客观上扩大了数据犯罪的规制范围，却加重了数据技术属性与法律属性的混淆，甚至以数据的技术属性判断取代了法律属性判断，通过判断作为计算机符号的数据是否存在，来取代数据背后法益实质的深入考察，此举直接导致司法实践中非法获取计算机信息系统数据罪沦为“口袋罪”。

参见杨志琼：《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》，载《法学评论》2018年第6期，第165页。基于此，理论上开始倡导刑法应当“真正关注到技术背后公民、社会和国家存在状态的法益”，实现数据到具体法益的“着陆”，

参见于志刚、李源粒：《大数据时代数据犯罪的制裁思路》，载《中国社会科学》2014年第10期，第111页。充分重视大数据时代的数据安全法益的非物质性。

参见于志刚、李源粒：《大数据时代数据犯罪的类型化与制裁思路》，载《政治与法律》2016年第9期，第14页。

然而，全国首例“‘爬虫入刑案”将数据安全法益定位为数据载体保护的做法，实际上仍然是以数据的数字技术特征取代数据的非物质法益本质。因为，本案通过论证数据本质上是二进制代码的电子载体来区分“视频数据”与“视频信息”，认定尽管视频信息公开，但“处理、加工视频信息过程中冗余的计算机语言、文字、代码、字符等”并未公开，以此得出本案被告单位的爬虫行为侵害了数据保密性的结果，显然是回归数据技术属性的结论。虽然对数据载体赋予了数据保密性的法律属性，但是，不具有信息内容的冗余数据的价值何在？刑法保护数据载体保密性的正当性何在？这些问题本案并未回答。可见，以数据载体安全为本位的数据安全法益的确立，与其说是由数据的技术属性判断转向法律属性判断，不如说是为数据的技术属性披上法律属性的外衣，其并未揭示数据背后值得刑法保护的法益本质，因而缺乏法理上的正当性。

（二）加重数据犯罪的“口袋化”趋势

确立以数据载体保护为本位的数据安全法益，不仅没能缓解刑法过度规制非法获取数据行为的问题，反而加重了数据犯罪的“口袋化”趋势。对非法获取计算机信息系统数据罪的实证分析表明，该罪规制的“数据”范围极广，几乎涵盖了一切可在电脑系统中储存、显示的客体，具体包括身份信息、虚拟财产、网络知识产权以及医院用药统方数据、公司日常经营数据等其他数据。

参见杨志琼：《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》，载《法学评论》2018年第6期，第164页。据此，非法获取计算机信息系统数据罪成为名副其实的“口袋罪”。造成如此现象的原因在于，司法实践以数据的技术属性判断取代法益侵害判断，忽略数据背后的法益实质。

然而，将以数据保密性为代表的数据安全法益定位为数据载体保护，非但没有缓解反而加重了非法获取计算机信息系统数据罪的“口袋化”趋势。一方面，仍旧让非法获取内容为身份信息、虚拟财产、网络知识产权等数据的行为，不加区别地落入非法获取计算机信息系统数据罪的规制中。因为将数据安全法益定位为数据载体保护，正意味着忽略数据信息内容层面上国家秘密、商业秘密、个人信息等类型化的区分，只关注数据作为物理载体的技术属性，而未能合理限缩非法获取计算机信息系统数据罪的适用范围。另一方面，强调保护以数据载体安全为本位的数据安全法益，还会将信息内容已经公开甚至不具有信息价值的其他数据纳入刑法的保护范围，无疑会加重非法获取计算机信息系统数据罪的“口袋化”趋势。

同理，删除、修改、增加未反映信息内容的其他冗余数据，哪怕未破坏信息内容的完整性和可用性，也未对计算机信息系统的正常运行造成影响，却可能因为侵害了数据载体的完整性和可用性而构成破坏计算机信息系统罪，从而扩大了破坏计算机信息系统罪的规制范围。尽管非法获取计算机信息系统数据罪和破坏计算机信息系统罪均有“情节严重”或“后果严重”的要求，但根据2011年最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（下称“《危害计算机安全案件解释》”）第1条和第4条的规定，违法所得5000元以上或者造成经济损失1万元以上即可构成犯罪，入罪门槛极低，难以起到合理限定刑法规制范围的作用。可见，将数据安全法益定位为数据载体保护无疑会进一步加重数据犯罪的“口袋化”趋势。

（三）带来数据孤岛和数据垄断

将数据安全法益定位为数据载体保护将带来数据孤岛和数据垄断的后果，阻碍数据资源的利用和数字经济的发展，反而有违数据安全保护的初心。当前，由网络活动参与者制造的绝大部分数据由大型互联网企业所控制，如新浪微博上的社交数据、微信公众号上的资讯数据等。在数据价值愈发凸显的当下，大型互联网企业将这些数据视为有待开采的原油，竭尽全力地争夺着数据资源的控制权。可以预见，当数据安全法益的数据载体安全定位成为司法常态之后，各大数据平台将会采取技术措施加强对数据载体的控制，如在公开信息内容的同时关闭数据复制、下载的渠道，以增加数据被其他主体获取的技术壁垒。如此，对于互联网企业而言，一方面，信息内容的公开仍旧可以吸引网络活动参与者即数据生产者，带来数据聚集的效果;另一方面，能够有效阻止其他主体获取数据，抑制数据流动，独占数据的控制权。同时，在大型互联网企业瓜分数据资源后，还可以名正言顺地以数据安全保护为名，控告其他主体对公开信息的数据获取行为，毕竟，企业大张旗鼓地以保护用户隐私为由支持其排他性竞争权益的做法并不陌生。

如前述腾讯和华为的用户数据之争中，腾讯指责华为侵犯用户隐私，以及后文将提到的新浪微博诉脉脉抓取用户数据不正当竞争案。参见戴昕：《数据隐私问题的维度扩展与议题转换：法律经济学视角》，载《交大法学》2019年第1期，第41页。长此以往，将会越来越多地出现数据在不同平台上独立存储、彼此孤立的数据孤岛，大型互联网平台的数据垄断，以及当前已经不断显现的“大数据杀熟”等数据霸权现象。毕竟，“当个人用户的行为变成别人的数据，个人用户的数据变成别人的选择，个人用户的选择变成别人的权力时，必然导致‘别人的权力异化。”

于志刚：《网络法学》，中国政法大学出版社2019年版，第192页。

实际上，数据的价值得益于数据流动，《网络安全法》第12条

《网络安全法》第12条第1款：“国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入的普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。”明确规定：公民、法人和其他组织依法使用网络的权利受到国家保护，为此应当保障网络信息依法有序自由流动。同时，《数据安全管理办法（征求意见稿）》第3条规定：国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据依法有序自由流动。可以看出，让数据资源依法有序地流动，以加强数据利用和推动数字经济发展，是数据安全保护的最终目的，而数据安全法益的数据载体安全定位将会带来数据孤岛和数据垄断的后果，则与数据安全保护的目的相悖。

三、以数据信息为本位的数据安全法益提倡

不论是基于对数据犯罪立法原意和刑法罪名体系的解读，还是考虑刑法谦抑性的要求，抑或是从数据价值利用的机理进行分析，都可以发现，数据安全法益的本位不在于保护数据载体，而在于保护数据所反映的信息内容，即被非法获取、删除、修改、增加数据行为所侵害并为刑法所保护的法益，是数据信息内容的保密性、完整性和可用性。

（一）符合立法原意和刑法体系

解读非法获取计算机信息系统数据罪的立法原意可以发现，本罪自设立之初便以数据的信息内容为规制对象，并且，以保护数据信息内容为本位的数据安全法益也更加契合刑法罪名体系。

从刑事立法规定来看，尽管罪名上存在“数据”与“信息”的概念区别，但是考察非法获取计算机信息系统数据罪的立法目的可以发现，本罪仍以信息为保护对象，立法对“数据”概念的回归实属无奈之举。具体而言，《全国人民代表大会法律委员会关于〈中华人民共和国刑法修正案（七）（草案）〉修改情况的汇报》中提到，制定非法获取计算机信息系统数据罪的原因在于：“一些不法分子利用技术手段等非法侵入上述规定

指国家事务、国防建设、尖端科学技术领域的计算机信息系统。以外的计算机信息系统，窃取他人账号、密码等信息”的行为严重危及网络安全，

高铭暄、赵秉志：《新中国刑法立法文献资料总览》，中国人民公安大学出版社2015年版，第821页。表明本罪的设立以保护一般计算机信息系统中的账号密码信息为重点。同时，《危害计算机安全案件解释》第1条规定，获取“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”10组以上的，或获取“其他身份认证信息”500组以上的，应当认定非法获取计算机信息系统数据罪规定的“情节严重”。可见，本罪保护的重点乃是数据的信息内容，尤其以身份认证信息为主。至于本罪设立之初为何规定为非法获取计算机信息系统“数据”罪，而未直接用侵犯公民个人信息罪规制非法获取身份认证信息的行为，是由于当时有能力获取大量公民个人信息的主体，通常是就职于国家机关、电信、金融等单位的工作人员，因此，“非法获取公民个人信息罪”将犯罪主体限定为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，故一般主体获取身份认证信息的行为并不能被“非法获取公民个人信息罪”所规制。同时，QQ账号密码等身份认证信息是否属于公民个人信息，在当时的互联网环境下仍不明晰，因此，立法便将网络账号密码等信息回归到其作为数据的技术本质予以保护。尽管，现在看来，早前对非法获取计算机信息系统数据罪的增设具有相当预见性，但是，于当时而言，本罪对网络数据的保护，实是难以将账号密码信息等纳入公民个人信息、商業秘密予以类型化保护的无奈之举，并不能为数据安全法益的数据载体定位提供正当性依据。

此外，基于系统性思维和刑法的体系性解释，以保护数据信息内容为本位的数据安全法益更加契合法秩序的统一性和刑法内部的体系性。从整体法秩序来看，我国现行法律体系明确了对国家秘密、国家情报、军事秘密、商业秘密、个人信息的保护，分别由《保守国家秘密法》第3条

《保守国家秘密法》第3条：“国家秘密受法律保护。……”、《国家情报法》第7条

《国家情报法》第7条：“任何组织和公民，都应当依法支持、协助和配合国家情报工作，保守所知悉的国家情报工作秘密。”、《中国人民解放军保密条例》第3条

《中国人民解放军保密条例》第3条：“全军所有单位和人员都有保守军事秘密的义务。”、《反不正当竞争法》第9条

《反不正当竞争法》第9条：“经营者不得实施下列侵犯商业秘密的行为：（一）以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密;……”、《民法典》第1034条

《民法典》第1034条规定：“自然人的个人信息受法律保护。”等予以确认。

参见于志刚：《虚拟空间中的刑法理论》，社会科学文献出版社2018年版，第182页。同时，《刑法》对于非法获取上述数据的行为规定有“非法获取国家秘密、情报罪”“非法获取军事秘密罪”“侵犯商业秘密罪”“侵犯公民个人信息罪”等罪名进行规制，形成了一套以数据信息内容为核心的保护体系，对承载着包括国家安全、国防利益、市场经济秩序、公民个人权利等在内的重要数据信息予以不同程度的类型化保护。因此，将数据安全法益定位为保护数据的信息内容而非保护数据载体，既符合外部法秩序的统一性要求，又契合刑法内部的罪名体系。同时，刑法作如此罪名体系的安排也表明，数据的法律属性正是体现在数据信息内容所承载的法益上，具有国家安全、市场经济秩序、公民个人权利等多重维度。

（二）符合刑法谦抑性的要求

将数据安全法益定位为数据信息内容保护，能够合理限定数据犯罪的规制范围，符合刑法谦抑性的要求。当前，非法获取计算机信息系统数据罪呈现出的“口袋化”现象，正是因为司法实践以数据的技术属性判断取代了法律属性判断。因此，将数据安全法益定位为数据信息内容保护，实则是由数据载体到具体法益的“着陆”，不仅揭示了数据背后的法益本质，而且还能够合理限定数据犯罪的规制范围。

数据安全法益的信息内容本位意味着刑法保护的是数据信息的保密性，因此，全国首例“‘爬虫入刑案”中获取公开信息的行为不应当认定为犯罪。当然，不作为犯罪处理并不意味着放任此类未经授权获取公开信息的行为，而是基于刑法的补充性考虑用民事或行政手段进行规制，让刑法恪守在法律体系的最后一条防线，此乃刑法谦抑性的应然之意。实际上，用民事手段规制未经授权获取公开信息行为的案件屡见不鲜，如“百度诉奇虎360搜索引擎违反Robots协议案”

北京百度网讯科技有限公司、百度在线网络技术有限公司起诉北京奇虎科技有限公司360搜索违反Robots协议，抓取百度旗下百度知道、百度百科、百度贴吧等网站的内容，复制网站并且生成快照向用户提供，构成不正当竞争，索赔人民币1亿元。2014年8月，北京市第一中级人民法院判决被告北京奇虎科技有限公司侵权，赔偿原告经济损失及合理支出共计70万元。参见北京市第一中级人民法院（2013）一中民初字第2668号民事判决书。“新浪微博诉脉脉抓取新浪用户信息不正当竞争案”

2015年北京微梦创科网络技术有限公司（新浪微博）起诉北京淘友天下技术有限公司、北京淘友天下科技发展有限公司（脉脉）非法抓取、使用新浪微博用户信息等不正当竞争行为。2015年北京市海淀区人民法院一审判决淘友公司构成不正当竞争，判令其停止涉案不正当竞争行为、消除影响，赔偿微梦公司经济损失200万元及合理费用208998元。2016年12月30日，北京知识产权法院二审终审判决驳回上诉维持原判。参见北京知识产权法院民事判决书（2016）京73民终588号。“乐视网诉电视猫非法盗链侵权及不正当竞争纠纷案”

乐视网信息技术（北京）股份有限公司起訴上海千杉网络技术发展有限公司经营的电视猫视频（MoreTV）软件，故意避开并破坏乐视公司的技术措施，以网络爬虫“盗链”的形式侵犯乐视公司著作权，构成不正当竞争行为，索赔人民币200万元。2016年6月22日北京市朝阳区人民法院判决上海千杉网络技术发展有限公司侵害乐视公司的信息网络传播权，并构成不正当竞争，判令其立即停止涉案著作权侵权行为及不正当竞争行为，并赔偿乐视公司经济损失及合理支出

共计人民币522040元。参见北京市朝阳区人民法院（2015）朝民（知）初字44290号民事判决书。等。通常认为未经授权获取公开信息的一方构成不正当竞争，因为数据控制者累积的大量数据是其通过长期的合法经营并投入大量的人力、物力和财力积累所致，这些数据是企业在市场竞争中的竞争优势。

程啸：《区块链技术下的数据权属问题》，载《现代法学》2020年第2期，第123页。因此，“实务界主流观点认为，现行法体系下应当通过《反不正当竞争法》对数据控制者的权益加以保护。”

程啸：《区块链技术下的数据权属问题》，载《现代法学》2020年第2期，第123页。

此外，确立数据安全法益的本位在于数据信息内容保护，以坚持刑法谦抑性，更为重要的理由是，于公开信息而言，在数据获取者与数据控制者双方之间究竟谁属于不正当竞争还犹未可知。2017年在美国引起热议的“HiQ诉LinkedIn（领英）案”

HiQ是一家为雇主客户分析服务的公司，其分析来源主要依托于职业社交网站LinkedIn（领英）上的公开信息。2017年5月，LinkedIn向HiQ发函要求其停止未经授权的访问和数据爬取行为，并针对HiQ设置了相应的技术手段防止其爬取相关数据。HiQ向法院提出了诉讼认为LinkedIn违法了加州宪法有关言论自由的规定以及加州的《反不正当竞争法》等;而LinkedIn则借此指控HiQ违反了美国联邦法律《计算机欺诈和滥用法》（CFAA）的规定，构成“未经授权或超越授权进入计算机系统并获取数据”的行为，构成犯罪。中，HiQ利用爬虫技术获取LinkedIn网站上的公开信息，而被后者指控违反美国联邦法律《计算机欺诈和滥用法》（CFAA）的规定，是“未经授权或超越授权进入计算机系统并获取数据”的行为，构成犯罪。然而，法院认定LinkedIn成立不正当竞争，认为LinkedIn滥用了其在职业社交网络市场中的优势地位，以达到抑制竞争的目的。

参见刘笑岑：《爬虫无罪？——“HiQ诉LinkedIn案裁决”节译》，载《网络信息法学研究》2018年第2期，第238页。可见，未经授权获取数据的行为未必具有不正当性，相反，数据控制者阻碍其他企业获取数据反而可能因为滥用市场优势地位而构成不正当竞争。因此，若将刑法的数据安全法益定位为对数据载体的保护，则可能导致大型互联网企业的排他性竞争获得公权力的间接支持。反之，将数据安全法益定位为数据信息内容保护，而将未经授权获取公开信息的行为留待民法、经济法、行政法调整，方才符合刑法谦抑性的应然要求。

（三）契合数据价值利用的机理

数据的价值体现在数据反映的信息内容上，因此，将数据安全法益定位为数据信息内容保护，契合数据价值利用的机理。

数据可以被认为是人类在具备数据处理功能的系统上进行操作所留下的“痕迹”，其中大部分元数据不具有可理解性，且并不必然反映特定信息甚至属于无效的“脏数据”，

参见付登坡等：《数据中台：让数据用起来》，机械工业出版社2020年版，第66页。因而大数据具有价值低密度性的特征，

参见杨旭、汤海京、丁刚毅：《数据科学导论》，北京理工大学出版社2017年版，第20页。并非所有数据都具有价值，单个数据的价值极其有限甚至可以忽略不计。基于此，数据价值的实现需要经过碎片化元数据的汇聚整合、提纯加工、服务可视化之后，才能实现价值变现。

参见付登坡等：《数据中台：让数据用起来》，机械工业出版社2020年版，第24-28页。这表明数据的价值表现在数据汇集处理之后所反映出的信息内容上，此乃数据价值利用的机理所在。如通过对蕴藏在社交平台、购物平台的海量数据统计和挖掘分析，可以获得特定公众或社会群体的兴趣爱好、消费习惯、经济发展走势等信息，这些信息内容具有商业利用价值、咨询价值、公共管理价值等价值。所以，处于互联网企业控制之中的数据并不当然成为企业的数据资产，这些数据还需经过数据平台加工处理，提炼出“能直接作用于业务领域，业务能阅读、能理解”的数据信息，才能被认为是数据资产。

参见付登坡等：《数据中台：让数据用起来》，机械工业出版社2020年版，第15页。正因如此，有学者将刑法上的“数据”定义为“在计算机信息系统中实际处理的一切文字、符号、声音、图像等内容有意义的组合”。

高铭暄、马克昌：《刑法学》，北京大学出版社2011年版，第536页。

“数据可以产生重要信息，因此具有保护必要。”

于志刚、李源粒：《大数据时代犯罪的制裁思路》，载《中国社会科学》2014年第10期，第114页。既然如此，将数据安全法益定位为数据载体保护便与数据价值依托于信息内容的机理相矛盾。换言之，根据数据价值利用的机理，数据安全法益的本位在于对有价值的数据信息内容的保护。

四、以数据信息安全为本位的数据安全法益运用

明确了数据安全法益的本位在于保护数据信息内容后，可知司法实践中未侵害数据信息内容的保密性、完整性和可用性的行为不构成数据犯罪。反之，对于侵害了数据安全法益的行为，若侵害了数据保密性则依据被侵害数据信息的不同类型认定为非法获取国家秘密罪、侵犯商业秘密罪、侵犯公民个人信息罪、非法获取计算机信息系统数据罪等罪;若侵害了数据完整性和可用性，则认定为破坏计算机信息系统罪。

（一）未侵害数据信息安全的行为不构成数据犯罪

明确了数据安全法益的本位在于数据信息内容保护，意味着未侵害数据信息保密性、完整性和可用性的行为不构成数据犯罪。

就非法获取数据的行为而言，没有侵害数据信息保密性的行为不构成犯罪。因此，获取公开信息的行为没有侵害数据信息的保密性，不构成相应数据犯罪。就全国首例“‘爬虫入刑案”来说，获取公开视频信息的行为不应被认定为非法获取计算机信息系统数据罪。尽管在本案被害单位并未提供视频数据下载渠道的情况下，本案爬取行为属于未经授权的获取行为，但由于视频数据的信息内容已经公开，因此行为人并未侵害数据信息的保密性，不构成非法获取计算机信息系统数据罪。又如，对于已经在公共网络上予以公开的个人信息等数据，哪怕数据平台设置了禁止复制、下载的技术壁垒或是规定有禁止爬取的爬虫协议，也不能将未经授权获取上述数据的行为认定为侵害公民个人信息罪，因为个人信息已经公开，获取行为并未侵害数据信息的保密性。

本文认为侵害公民个人信息罪的法益包括但不限于数据保密性，因此，未侵犯数据保密性的个人信息获取行为足以出罪。此外，就非法获取虚拟财产

本文所称虚拟财产，是指物品类和货币类的虚拟财产，包括网络游戏装备、Q币、游戏币等，不包括网络游戏账号和QQ账号。的行为而言，尽管最高人民法院法律政策研究室认为按照非法获取计算机信息系统数据罪定罪处罚是妥当的，因为虚拟财产的法律属性是计算机信息系统数据。

参见喻海松：《最高人民法院研究室關于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》，载张军主编：《司法研究与指导》，法律出版社2012年版，第127页。但是，本罪的保护法益应当是数据信息的保密性，认为非法获取虚拟财产的行为侵害了数据信息保密性的观点显然难以自圆其说，应当对非法获取虚拟财产的行为按盗窃罪定罪处罚，这也是当前的主流观点。

如张明楷：《非法获取虚拟财产的行为性质》，载《法学》2015年第11期，第12页;陈兴良：《虚拟财产的刑法属性及其保护路径》，载《中国法学》2017年第2期，第146页;姚万勤：《盗窃网络虚拟财产行为定性的教义学分析——兼与刘明祥教授商榷》，载《当代法学》2017年第4期，第72页。

就删除、修改、增加数据的行为而言，客观上删除、修改、增加了数据但未侵害数据信息可用性和完整性的行为，不能构成数据犯罪。并不是所有数据都能展现信息内容或是起到维护计算机信息系统功能的作用，对个别冗余数据的删除、修改、增加，既不会影响计算机信息系统的正常运行，又不会破坏数据信息内容的可用性和完整性，因此删除、修改、增加此类数据的行为不能被认定为破坏计算机信息系统罪。当然，此种情况较少发生，一般情况下删除、修改、增加数据的行为或多或少会侵害到数据信息内容的可用性和完整性。

（二）侵害数据保密性之行为依据不同信息类型认定犯罪

若非法获取数据的行为侵害了数据安全法益中的数据保密性，则需要根据信息类型的不同，判断数据信息背后所反映的法益本质，从而发挥数据安全法益的界分功能区分此罪与彼罪。

首先，需要根据数据反映出的信息类型的不同，将非法获取刑法已经类型化保护之数据的行为认定为相应犯罪。根据数据体现的国家秘密、军事秘密、商业秘密、个人信息等不同信息类型，将非法获取上述数据的行为分别认定为非法获取国家秘密罪、非法获取军事秘密罪、侵犯商业秘密罪、侵犯公民个人信息罪等罪。其次，若数据不在刑法已经类型化保护的特殊数据范围之列，则依据非法获取数据行为是否侵害数据信息内容的保密性来考虑是否认定为非法获取计算机信息系统数据罪，以维护未公开信息未经授权不得任意获取的公共秩序，保障数据依法有序流动。如不具有著作权的视频数据、医院用药统方数据、不属于商业秘密的公司经营数据等未得到刑法类型化保护的数据，若数据的信息内容并未公开，则可将非法获取上述数据的行为认定为非法获取计算机信息系统数据罪，保护上述数据的保密性。需要注意的是，信息的公开具有相对性，即特定信息在一定范围内针对特定主体属于公开信息，但对于该范围之外的其他主体则是保密信息，而公开的范围大小则需要依据信息主体的授权和数据保护的技术措施来判断，如公司经营信息数据对于公司内部人员属于公开信息，需依据其工号和密码获取，而对于公司外部人员则属于保密信息。因此，未经授权或超越授权获取对行为人而言属于保密信息的行为，侵害了数据信息的保密性。这种未经授权不能获取保密信息的秩序安全，正是数据保密性的内涵所在。

（三）侵害数据可用性和完整性之行为构成破坏计算机信息系统罪

若删除、修改、增加数据的行为侵害了数据安全法益中的数据可用性和数据完整性，则构成破坏计算机信息系统罪。

将侵害数据信息可用性和完整性的行为认定为破坏计算机信息系统罪，符合罪刑法定原则的要求。《刑法》第286条第2款规定，违反国家规定，对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的操作，后果严重的，构成破坏计算机信息系统罪，此外，《危害计算机安全案件解释》第4条规定“对20台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”，则应当认定为破坏计算机信息系统罪中的“后果嚴重”。因此，将删除、修改、增加数据从而侵害数据信息可用性和完整性的行为认定为破坏计算机信息系统罪，完全符合刑法的规定，并未违反罪刑法定原则。

但是，从罪刑法定原则的明确性原则来看，本罪的罪名毕竟是“破坏计算机信息系统罪”而不是“破坏计算机信息系统数据罪”，现实中也确实存在破坏数据信息完整性和可用性但不影响计算机信息系统正常使用的情况，实务中以是否侵害计算机信息系统的功能安全为标准认定本罪，更加符合罪刑法定原则的明确性要求。因此，未来应当考虑将删除、修改、增加数据从而侵害数据信息可用性和完整性的行为独立成罪。