杨红文,彭 程

(广西民族大学,广西南宁 530006)

法治建设是以现实世界为基底的，而历经几千年，人类社会的发展也正加速。2009年，联合国启动“数据脉动计划”，数据迅速上升至各国战略高度。2014年，我国首次在政府工作报告中提及大数据，紧接着2018年， “全面实施国家大数据战略”提出，揭开了数据时代的序幕。立足于新的历史背景，如何将架构于信息技术之下的数据安全置放在刑法的视野下加以合理保障，是中国刑法顺应时代变化创新的关键。

一、数据安全的立法宣示和刑法保护必要性

(一)大数据安全是从科技概念向法律术语发展的过渡

数据安全概念最早可追溯至20世纪60年代，是自由控制论者们所认为的 “赛博空间”，实际上是纯科技定义。威廉·吉布森于20世纪后期，提出基于互联网的虚拟场景安全概念。20世纪90年代，我国在研究个人隐私权时将信息安全概念引入，可见，信息安全在众多领域都得以适用。数据安全概念被提出时，就在不断变化发展：从物理基础层面来看，已从最早期的计算机向工业互联网等方向拓展；场域层次，从最早期的技术活动发展为采用数字化技术建模，并实现信息与生活融合转向实体化。

其实不只理论层面，自2003年美国政府率先在《保护网络空间的国家安全战略》中对数据安全定义后，各国政府纷纷随后，数据安全被引用到官方文件上。而我国关于颁布安全问题的法律研究有《证券法》、《网络安全法》及《测绘法》等，其中都涉及了关于安全的条文。但总体而言，由于我国立法一直缺乏对安全保障的系统化描述，且始终未将其作为独立法益。2020年《数据安全法(草案)》的出台，标志着大数据安全首次作为独立法益被纳入刑法，推动了我国大数据安全全面立法重要一步，此后在各领域立法的改革中，都必须兼顾对新的大数据法益的保障要求，而刑法保障无疑是其中关键一环。

(二)刑法中有必要全面引入数据安全的司法保障领域

《数据安全法(草稿)》中，对所有数据内容的界定为:“任何人以电子产品或非电子产品形态对个人信息的记载”，将信息内容分为了电子与非电子形式，但非电子形式才是开创了信息时代的“主角”。在网络社会尚未建立之时，诸如马歇尔·麦克卢汉等学者，已意识到通过对数据价值的利用，将会打破传统社会规则，但因彼时研究并未有相应实践证明，故而也被视为未来研究[1]。当民主在互联网社会中初具雏形之时，由于网络安全保障的“权力真空”受到重视，部分学者指出虚拟数据能够获得完全不受实际司法制约的“权利”，尤其是应该排斥刑法的干涉，该主张隐含对网络空间中存在的“骇客”可能也会自发形成正义思想的期待，这与“黑客伦理”形成理论一致，从而成为“赛博自由主义”主要内涵[2]。“网络自由主义”所倡导的网络空间“数字化”等框架，在科技层次上并无问题。但基于科技自身的中立性，这些特性并没有自觉转化成司法规范。当前，大数据活动的发展依靠现实空间法则所建立的秩序，“赛博自由主义”对于大数据安全领域中刑法权的有效运用，也已经被大数据应用的迅速增长所否定。

安全得以形成封闭性新社会秩序的客观前提，是它和传统安全体系建立的独立性，而事实上，安全中从来不出现过独立性。网络空间初创时代，由于网络空间结构中存在的技术性特点，在相当程度上形成了对真实空间中的电子数据资源具备虚幻性，而与对社会实际则是平行发展的错觉，而随着网络的逐步发展，其与传统社会的共同利益也高度相融，并与现实社会的各类共同利益矛盾。市场经济发展背景下，任意权益概念都能够透过数字化的方式，以数据形式表现出来。所以，信息处理和传统活动一样，除技术规范之外还必须遵循社会规范，以实现对各个主体的合法权益追求。但对于为了保护公民权益及在信息管理过程中的个人利益，刑法公权力部门有必要全方位地介入到信息安全保护领域 。

二、数据安全刑法保护的扩张进路

(一)刑法数据安全保护的早期扩张模式

由于在1997年《刑法》立法之初，被列为违法对象的军用信息仅界定为“保密资料”类和“有价证券买卖类”二种，前者具体为境内外窃取、不法获取或供给我国机要罪等；后者则是通过内部信息泄露或制造虚假信息，如披露内幕信息罪。

1999年《刑法修正案》透过修订内幕交易、透露内幕信息罪和编造并传递证券市场买卖虚构信息罪的方法，将“期货内幕信息”和“期货买卖虚构信息”引入到刑法的标准区域；2006年《刑法修正案(六)》透过修订出具伪造财会报表罪的方法[3]，将“企业、民营企业法律需要透露的信息”引入到刑法的规定区域；2015年《刑法修正案(九)》增加了宣传恐惧、极端主义、怂恿进行恐怖活动罪，拒不履行公共信息安全管理义务罪，制造、故意传递错误信息罪，透露案情信息罪(此类案情信息不能公布)。

(二)刑法数据安全保护的未来方向

信息与数据是相互联系的独立概念，常常在法律范畴内被作为司法解释用来互为解读，但通过对信息与数据在刑法中的具体情形，两者还是有着显著区别的。“信息”具备特定内涵，指的是“由信息技术或事物形成的符号(语句、文本等)中所包含的所有信息。”[4]中国刑法中的个人资料最注重的是信息内容属性，它通常和一定社会利益相联系，如 “内幕信息”等。“数据信息”只是信息内容的载体，自身并不能导向内容，而是必须在对数据信息作出处理之后，方可构成个人资料。

所以，信息与数据之间最大的区别就是，信息中所包括内容以及法益保护都是明确的。当前我国刑法更偏向于对带有明显法益性质的个人信息进行保障，而对于信息安全的法益属性却重视不够，比较经典的是《刑法修正案(七)》中增加了违规取得网络信息数据等罪名。在国家立法层面“不法取得计算机系统数据个人信息”的情形，其主要对象是蕴含各种信息数据，但是行政司法将其界定为含有“身份确认资讯的计算机信息数据”。然而，由于信息技术的应用，大数据分析的独立价值越来越明显，尤其是在《数据安全法》出台后，大数据安全将变成法律的独特法益，而现行刑法中利用信息技术对数据分析实施间接保护的方法，将受到法律保障严重不足的挑战。

三、数据安全领域刑法扩张的合边界性审视

当前，数据安全保护中公权的存在早已被刑法立法公开宣示，只要数据关系到利益，刑法就应该选择参与。而刑法参与不是只考察必然性，更必须考察“合边界性”，缺少任意一项要件，刑法的参与都将产生“失控”的制度风险。不过，虽说中国刑法范围自1979年就呈现了扩张态势，但“刑法边界合理划定”长期以来并没有引起学者重视。

德国公法语境下的“刑法犯罪界线”，起源于合约学说对国家权力合法化的论述，合约学说模式中，各国刑法处罚权来源于民众的所有权转移，因而，各国刑法处罚权应该限制在民众授予的限度内 。然而，由于合约学说是假设性的学说推导，缺少现实合约基础，各国制裁权从学说到实务急需更加具体化的规范来定义。因而，“刑法犯罪界线”的提问在德国刑法学界，主要围绕合理限制刑法惩戒权的法律规范如何制定而开展。但在英美法系中，也同样有着对犯罪与惩戒职权正当性追问的研究，而受限于自由主义哲学的影响，某种程度上，英美法系中关于该提问的研究也比德意志为代表的欧式大陆法系深入。

在我国刑法理论研究中，由于缺乏对刑法犯罪界定的专业研究，从而也造成了对刑法边界含义的误解：其一，将刑法边界视作刑法犯罪条文适用范围；其二，将刑法边界视作犯罪客观范围；其三，将刑法边界视作正当程序原则。所以，刑法边界须通过正当程序来界定的，笔者认为，刑法边界是根据公权与私权平衡原则而确定的刑法案件惩戒权合法性界定。

四、数据安全刑法保护边界划定的合理标准

(一)数据安全法益无法划定明确的刑法边界

中国早期对刑法边界划分的基础理论，源于前苏联刑法的危险学说，而伴随“法益原则”和“危险原则”被引进后，“危险原则”的理论定位问题开始引起学术界的普遍反思，大致形成了以下论点：其一，危险原则和法益原则一致说，该论点指出，中国的危险基本原则实质意义上相当于大陆法系的法益原则。其二，危险原则独立说。该论点指出中国的危险原则是同大陆法制的“法益原则”和英美法系“危险原则”相互并行的。总的来说，无论对危害原则持什么理解，中国学者自21世纪以来，从理论实质上已由集体责任向“法益原则”转变，该转变一定程度上突破了传统苏俄刑法的理论禁锢[5]，由此，中国学术界也已开始普遍期待法益原则能够担负起约束国家刑权、刑罚正当性证成的重要功能。

“法益原则”倡导法益是刑法的基本核心，而唯有刑法是在于保护法益时，才具备合法性，德国学者克劳斯罗克辛是强“法益原则”的代表，其认为法益实际上是为限缩犯罪权建立的，刑法只是保障预先规定的权益，因而排除单纯破坏道义及社会秩序的犯罪行为。毋庸置疑，“法益原则”在学术界有着较大影响，然而“法益原则”中法益保护在保护什么？法益保护该如何限制制裁权利？这两概念的争论在学界已是“常态”，所以，有关法益概念争论绝非不可理解，但是对法益作用功能的广泛怀疑，则推翻了“法益原则”划分刑法边界的基础。刑法立法者通过对社会中的不同利益做出评判，并将其中某些权益采用了刑法加以保障，而某些权益也就变成了“法益原则”，这就成为“法益原则”受到争议的源头。因此，将数据安全范畴的具体法益原则由刑法立法者所创制的管理模式，直接影响着刑法立法中不能直接使用法益原则来制定。但就中国刑法在网络安全范畴的延伸范围来说，一直使用“刑法先行”的原则，不过在刑法中，信息安全已然早被列到了法益范畴，这一点从刑法的立法时间看出， 2009年刑法将“公民个人信息”列入保护范围，但《国家安全法》和《民法总则》却在2017年才将其列入保护范围，而现在刑法对公民信息外延的确定依然大幅超出行政法与民事范畴的法律规定。

(二)根据危害性原则的数据安全刑法保护边界规定

“危害原则”在十九世纪中期伴随新自由主义的出现，由约书亚·沃伦等学者先后提出[6]。“危害原则”主张只有当特定个体的行为给他人合法权益带来危害时，才受到强制性处罚。基于此，笔者认为：“法益原则”比“危害原则”更具抽象性，且就往年司法实践而言更加适合。不过，由于“危害原则”所涉及范围较广，且该原则也阐明了关于数据犯罪价值层面的内容，那应如何正确划分危害范畴，还必须提供比较具体化的模式，总体上只能分成两类别。其一，根据“狭义危害原则”的数据安全刑法保障边界规定。“狭义危害原则”将“危险”仅界定为着实际的、已确认的对他人利益之侵害。第二，针对“广义危害原则”中关于数据安全刑法保护边界的划分，乔尔·范伯格等学者对“狭义危害原则”作出了更为全面的阐述。一方面，把“抽象利益损害的危险性”引入到危害性的内涵当中 ，一方面，将公共秩序和组织列入“危害性”的主要对象范围 。

五、结语

综上，笔者认为，由于我国数据安全刑法保障疆域限制，无法引入所谓“狭义危害原则”，其实质上是出于宏观叙事的限权理想，难以适应复杂刑法实务中的所有情形下使用，并同我国现行的刑法体制具有矛盾。在未来数据安全的刑法保护中，需要充分考虑诸多方面，如对安全保护不需要限制大数据发展要求，而对安全保护优先考虑行政责任等。