张佳华

一、问题的提出

数据作为新型生产要素，是数字化、网络化、智能化的基础，不仅快速融入生产、分配、流通、消费和社会服务管理等各环节，而且深刻改变着生产方式、生活方式和社会治理方式。(1)参见2022年12月19日中共中央、国务院公布的《关于构建数据基础制度更好发挥数据要素作用的意见》。2023年3月“两会”期间，国务院机构改革方案公布，我国将组建国家数据局(2)参见中华人民共和国中央人民政府：《中共中央 国务院印发〈党和国家机构改革方案〉》，中国政府网站，https:∥www.gov.cn/zhengce/2023-03/16/content_5747072.htm?dzb=true，最后访问时间：2023年3月16日。，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用。网络“原始数据”反复交换聚合为价值丰富的“大数据”，数据在其产生、收集、处理、传输、使用、销毁等动态流动的全过程中，均具有被非法泄露、篡改、买卖等风险，在推动经济发展的同时，数据极易成为各类犯罪的侵害对象，不仅危害企业发展，影响社会稳定，甚至危害国家安全。

数据在流动中产生价值。如果持有者对数据纷纷进行排他性占有将产生一座座“数据孤岛”，导致数据信息交换成本过高，不利于数据资源的持续开发和利用。(3)冯晓青：《大数据时代企业数据的财产权保护与制度构建》，《当代法学》2022年第6期。2022年12月19日，中共中央、国务院公布的《关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)明确要求“以维护国家数据安全、保护个人信息和商业秘密为前提，以促进数据合规高效流通使用、赋能实体经济”。与不动产或其他财产性权益不同，数据并非静止客体，而是处于持续的高速流动之中，需要借助流动来实现各类数据的交换、更新、整合乃至创新。这也正是其发挥自身价值属性的最主要途径。数据动态流动的过程是安全风险滋生的过程。以数据泄露为源头，众多涉及个人信息、商业秘密、国家秘密的黑灰产业链不断涌现，突出表现为盗用他人身份、窃取对手公司数据库等。

与盗窃罪、诈骗罪等传统犯罪相比，数据犯罪的危害性因网络载体而呈指数化增长。首先，危害后果上，数据犯罪的“蝴蝶效应”使得轻微的数据侵害行为亦可造成极为严重的后果。传统犯罪“一对一”的侵害方式已在网络空间中异化为“一对多”模式，窃取大型企业的用户数据更会使受害人达到百万级别。例如在(2021)京0113刑初27号案件中，涉案个人数据总量最高已达2 300余万条。(4)参见北京市顺义区人民法院(2021)京0113刑初27号刑事判决书，张某君侵犯公民个人信息案。而全国侵犯公民信息犯罪案件中，单一案件涉及公民信息数据最高竟达54亿多条。(5)CCTV新闻频道：江苏无锡警方破获特大侵犯公民信息案涉及各类公民信息数据高达54亿多条，https:∥tv.cctv.com/2021/10/24/VIDEc4XUmJJQvAK0lX9MBW4r211024.shtml，最后访问时间：2023年3月16日。其次，数据犯罪侵害范围广泛。作为信息的特殊载体，数据在收集、处理、转移等动态流动过程中，因承载内容之不同而涉及国家、企业、个人等多元主体。借助网络平台的扩散作用，受侵害法益既包括个人、企业及国家的财产权益，也包括国家安全、经济秩序、管理秩序及人身权利；数据犯罪的危害程度也表现在被侵害者人数难以计算，辐射范围难以界定，危害后果难以评估。最后，数据犯罪不仅面临“内忧”，更面临“外患”。2022年4月，国家安全机关破获一起为境外非法提供我国高铁数据的重大案件，其案涉数据首次被鉴定为情报。(6)中央广播电视总台：国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件，http:∥china.cnr.cn/gdgg/20220414/t20220414_525795356.shtml，最后访问时间：2023年3月16日。足见数据的动态流动已不仅限于国内流动，更涉及了数据的跨境流动。承载国家敏感信息与情报的数据若发生非法流动，将对国家总体安全产生重要影响。

经过刑法修正案及司法解释的不断补充，加之《个人信息保护法》《网络安全法》《数据安全法》等专项立法的出台，我国已在数据领域初步形成了梯度式、多元性的规制体系。但数据的新颖性、复杂性与多变性使得现有刑事法律体系在概念界分、行为规制、对象范围、法益保护等方面仍存在不足。以动态流动视角对数据可能触及的犯罪进行观察，数据犯罪危害隐藏于“产生—收集—处理—传输—使用—销毁”六大主要阶段。然而现行刑法对数据动态流动的规制主要集中于数据收集阶段，落于静态窠臼。比如，《刑法》第二百八十五条和二百八十六条规定的计算机犯罪指向的是“获取该计算机信息系统中存储、处理或者传输的数据”。因此，当前刑法零散化的罪名设置带来了数据保护体系的重叠或者空白。既有罪名散布于刑法各章，各罪名间缺乏有效衔接及体系化构建，导致“同案不同判”现象时有发生。例如，行为人同时实施非法侵入数据系统、非法获取个人数据、转卖牟利等多个行为的，不同法院存在不同的裁判结果，甚至同一法院亦存在计算机犯罪与个人信息犯罪两种不同定性。(7)参见北京市海淀区人民法院(2019)京0108刑初81号刑事判决书、(2020)京0108刑初770号刑事判决书。我国刑事立法虽不断通过扩充罪名予以规制，但此种“碎片式”保护能否呼应国家对数据权益保护的要求有待检视。数据独有的非消耗性、多样性、海量性与价值性等，使其形成了独立于传统刑事犯罪的专有法益，数据动态流动体系更需通过补充立法、完善司法等形式加强全方位保护。有鉴于此，本文聚焦数据动态流动中的问题，并探寻数据动态流动全流程刑事治理路径。

二、法教义学分析：数据犯罪的法益厘定

刑法的目的是保护法益。(8)张明楷：《法益保护与比例原则》，《中国社会科学》2017年第7期。刑法中犯罪的设立与认定都必须遵循法益保护原则。(9)张明楷：《催收非法债务罪的另类解释》，《政法论坛》2022年第2期。《数据安全法》第二十一条明确提出，国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。因此，明确数据犯罪所侵害的法益是加强对其司法保护的前提。由于法益保护存在某种交集与重合，导致刑法对某种法益的保护可能存在多种路径(10)陈兴良：《虚拟财产的刑法属性及其保护路径》，《中国法学》2017年第2期。，因此需要从法教义学角度对数据犯罪的法益进行厘定。

(一)数据的外延界分与内涵辨析

在数字时代，人类社会的一切活动都可以通过数字化的形式进行数据处理来表达。(11)刘双阳：《数据法益的类型化及其刑法保护体系建构》，《中国刑事法杂志》2022 年第6期。例如，互联网平台基于用户获得的运营数据、无线电业务活动中产生和收集的无线电频率参数数据(12)参见《工业和信息化领域数据安全管理办法(试行)》(2022年12月8日)。、工业企业基于研发获得的研发数据(13)参见《工业数据分类分级指南(试行)》(2020年2月27日)。、作家基于写作而产生的作品数据、国家知识产权局基于专利申请而获得的专利数据等等。技术意义上的数据，是指对客观事件进行记录并可以进行鉴别的符号，是对客观事物的性质、状态及相互关系等进行记载的物理符号或者组合，是可识别的、抽象的符号，是信息的表现形式和载体(14)宋星：《数据赋能》，北京：电子工业出版社2021年版，第1页。；而刑法中的数据是以技术概念为基础，结合刑法条文的规范目的予以认定，即刑法对数据的保护并不是以数据背后的代码逻辑为依据，而是以数据背后的具体法益为依据(15)余剑：《财产性数据的刑法规制与价值认定》，《法学》2022年第4期。。如上所言，数据犯罪所保护的法益非常容易与侵犯公民个人信息罪、侵犯商业秘密罪、虚拟财产相关犯罪所保护的法益产生重叠或者混淆，因此笔者着重对数据与个人信息、虚拟财产、商业秘密等概念的内涵进行界分。

第一，数据与个人信息的界分。数字时代，大量个人信息通过数据方式呈现、存储或买卖，个人信息与数据由此产生交集。虽然我国法律历来混用“数据”与“信息”，如最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》在认定非法获取计算机信息系统数据罪“情节严重”时即涉及通过个人“身份认证信息”认定数据的规定(16)《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条第一款规定：非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第二百八十五条第二款规定的“情节严重”：(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；(二)获取第(一)项以外的身份认证信息五百组以上的；(三)非法控制计算机信息系统二十台以上的；(四)违法所得五千元以上或者造成经济损失一万元以上的；(五)其他情节严重的情形。，但随着对现代信息技术理解的增进，立法者在法律文本中有意区分使用二者的态度也愈发明显。(17)张红：《我国法律文本中的“数据”：语义、规范及其谱系》，《比较法研究》2022年第5期。关于数据与个人信息的界分，可从技术、权利属性、法益归属三方面展开。从技术角度而言，数据是存储于计算机设备中的“bit”单位，包括以二进制编码表示的各种数值、字符、图像、视频等。(18)参见崔丹、罗建航、李千目、樊静主编：《计算机导论》，北京：清华大学出版社2016年版，第30—31页。这种0与1组成的二进制机器编码语言可被特定的设备所读取，是有形客观实体的载体符号；而个人信息则属于识别个人身份属性及活动情况的内容。从权利属性看，数据具有区别于个人信息的不可识别性与财产属性。《民法典》通过第一百一十一条与第一百二十七条对个人信息与数据进行了区分，数据权益位于财产性权利条款中，个人信息权益位于人身权利条款中。《刑法》也将“数据”与“个人信息”作为不同的法益，侵犯公民个人信息罪保护的法益并非公民隐私权，而是个人信息这一新型权益。(19)刘艳红：《侵犯公民个人信息罪法益：个人法益及新型权利之确证：以〈个人信息保护法(草案)〉为视角之分析》，《中国刑事法杂志》2019年第5期。然而数据作为个人信息的载体，显然与侵犯公民个人信息罪所保护的法益具有本质区别。

第二，数据与虚拟财产的区分。数据作为信息存储、传输和处理的载体，其与以数据为载体的虚拟财产成为司法实践界分的难点，需有针对性地加以界分。虚拟财产作为数字化、非物化的财产形式，在实践中呈现复杂化、多样化的发展趋势，具体样态包括游戏装备、虚拟货币、电子账号等。虚拟财产的法教义学界定一般有三种学说：第一种为狭义的界定，即指网络游戏领域内的虚拟财产(20)赵秉志、阴建峰：《侵犯虚拟财产的刑法规制研究》，《法律科学》(西北政法大学学报)2008年第4期。；第二种为广义的界定，泛指一切存在于特定网络虚拟空间内的有专属性的虚拟物，包括ID、游戏币、游戏装备等(21)石杰、吴双全：《论网络虚拟财产的法律属性》，《政法论丛》2005年第4期。；第三种泛指一切数字化的、存在于网络虚拟空间内的财产(22)马一德：《网络虚拟财产继承问题探析》，《法商研究》2013年第5期。。而数据法益所关注的更应该是侧重于数据的使用价值和完整性、保密性等数据安全问题。(23)杜牧真：《论数字资产的财物属性》，《东方法学》2022年第6期。《民法典》第一百二十七条恰恰对两者做了区分。虚拟财产并非“对世”物权，而是使用者与平台公司间的“对人”权。典型例证如使用者无法将其装备在市场上自由流通或与第三人进行交换。可以说，虚拟财产是以数据为载体的虚拟债权凭证。(24)林旭霞：《虚拟财产权研究》，北京：法律出版社2010年版，第72—73页。“虚拟财产”本质上是由数据生成的虚拟物，然而数据缺乏作为“物”所要求的独立性和特定性，且可以无限复制、删除，处于变动不居的状态，因此无法为民事主体独占和直接控制；同时，数据本身也并不具有类似知识产权的垄断性、排他性。(25)梅夏英：《数据的法律属性及其民法定位》，《中国社会科学》2016年第9期。

第三，数据与商业秘密的区分。商业秘密是产生于精神领域的非物质化的财产权，其客体是无形财产，被誉为“企业价值最大的资产之一”。(26)王润华：《第四知识产权：美国商业秘密保护》，北京：知识产权出版社2021年版，第5页。数字时代，代码等智力成果广泛以数据形式存在，故侵犯商业秘密罪常以获取商业数据为其行为对象，如行为人冒用他人账号或侵入数据系统进而获取保密图纸、代码的行为，认定为非法获取计算机信息系统数据罪(27)参见陕西省西安市长安区人民法院(2018)陕0116刑初40号刑事判决书。抑或是侵犯商业秘密罪，实践中存在较大争议(28)参见河南省信阳市浉河区人民法院(2019)豫1502刑初250号刑事判决书。。从技术角度来看，数据是信息存储、传输和处理的形式，而商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的商业信息，是数据被赋予特殊意义后的映射，也即“信息=数据+意义”。(29)马费成、宋恩梅、张勤：《IRM-KM范式与情报学发展研究》，武汉：武汉大学出版社2008年版，第224页。张红：《我国法律文本中的“数据”：语义、规范及其谱系》，《比较法研究》2022年第5期。从权利属性来看，虽然数据与商业秘密均属于财产类权益，但数据并非一定要作为商业信息内容来加以使用，而其价值在于完整性、保密性和可用性，而商业秘密作为特殊的信息其价值在于商业秘密信息本身的专有性、实用性和秘密性。从法益归属来看，侵害商业秘密罪根本上是为了打击非法获取、披露或者使用数据的信息内容。也就是说，侵害商业秘密罪所指向的法益不仅是数据载体的保密性，更是商业秘密权利人对商业秘密的专有权和国家知识产权保护制度(30)张怡静：《有限制的扩张：侵犯商业秘密的刑法规制》，《上海法学研究》2021年第12卷。，与侵害数据犯罪所保护的法益明显不同。

虚拟世界中，数据是表征个人信息、商业秘密、国家机密等的重要载体。商业秘密与数据载体的区别在于其不仅具有价值性、非公开性，还具有排他性。数据与商业秘密因而具有一般与特殊的关系，若数据表征为涉及商业信息的秘密，则其就转化为商业秘密，而不再是简单的数据。

(二)数据安全作为数据犯罪的法益回归

刑法必须紧紧围绕数据犯罪的新趋势、新变化作出前瞻性和针对性的调整，探究数据的法益本质，充分认知数据犯罪在法益方面的独立性，从而有效治理新型数据犯罪。

目前我国数据犯罪刑事立法与司法适用均存在不足。虽然《刑法》第二百五十三条之一侵犯公民个人信息罪对公民个人信息法益予以保护，却主要针对的是“个人对其个人信息的自决权”；《刑法》第二百一十七条侵犯著作权罪保护的是作品，即对数据载体反映出的作品内容的保护；《刑法》第二百一十九条侵犯商业秘密罪保护的是数据载体反映出的技术信息或者经营信息等内容；《刑法》第一百三十四条之一危险作业罪对篡改、隐瞒、销毁企业数据等行为予以规制，应当理解为是对企业数据安全法益的保护，但是仅限于篡改、隐瞒、销毁行为，针对的是企业数据安全法益中的企业数据完整性法益和可用性法益，但是对于保密性法益有所遗漏。《刑法》第二百八十五条和第二百八十六条规定的计算机犯罪所保护的法益一般认为是“计算机信息系统安全”，显然不是数据犯罪所侵犯的法益。(31)杨志琼：《数字经济时代我国数据犯罪刑法规制的挑战与应对》，《中国法学》2023年第1期。如破坏计算机信息系统罪构成要件中的“造成计算机信息系统不能正常运行”，指向的是“系统全部和部分功能”(32)喻海松：《〈关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释〉的理解与适用》，《人民司法》2011年第19期。，或者“系统功能无法按照原先设计要求运行”的状态(33)王爱立主编：《中华人民共和国刑法释义》，北京：法律出版社2021年版，第620页。。而非法获取计算机信息系统数据罪仅局限于“获取该计算机信息系统中存储、处理或者传输的数据”，但是“数据犯罪”中的数据是指一切形式的信息记录，显然对于移动硬盘、光盘、闪存卡等数字介质中存储的数据将无能为力，然而针对该部分数据的不法侵害行为有时可能对数据安全造成的危害后果更大。

有学者统计，因破坏数据而构成破坏计算机信息系统罪的司法判例中，犯罪对象为一般数据的案例占比高达68.6%。(34)周立波：《破坏计算机信息系统罪司法实践分析与刑法规范调适》，《法治研究》2018年第4期。虽然我国逐渐认识到数据权益保护的重要性，先后出台了《网络安全法》《数据安全法》等符合数字时代要求的数据权益保护立法，但是在刑法对计算机系统犯罪并未做出修正的前提下，亟须明确数据犯罪的法益。计算机信息系统是指在由计算机硬件、软件配套设施以及计算机网络构成的平台范围内，按照有规律的组织方式，对信息进行采集、存储、传输和加工等处理，进而产生的各类信息组成的结构整体。(35)张靖永：《计算机信息系统安全评估标准与管理方法研究》，《信息系统工程》2022年第12期。计算机信息系统安全包括物理层安全、网络层安全、系统层安全、应用层安全和数据层安全五个层次。我国《网络安全法》《数据安全法》恰恰认识到了计算机信息系统安全与网络安全的区别，才予以“分而治之”。

《数据安全法》将“确保数据处于有效保护和合法利用的状态”作为“数据安全”的必备条件；同时《网络安全法》将“保障网络数据完整性、保密性、可用性的能力”作为“网络安全”的必备要件。可见，数据安全以网络安全为保障，网络安全目的是确保数据安全，两者相辅相成。1975年，学者 Saltzer 和 Schroeder 在总结当时未经授权泄露、修改、使用数据等法律风险时提出了“数据安全”概念。(36)See Yulia Cherdantseva，Jeremy Hilton，A Reference Model of Information Assurance & Security，IEEE proceedings of ARES 2013，SecOnt workshop. (6 September，2013，Regensburg，Germany)．数据的“完整性”，是指确保数据不被修改或损害的状态。侵害数据完整性的手段主要包括非法篡改、删除或者增加数据，使得该数据缺乏可靠性或者可用性。数据的“保密性”，是指确保数据不为公众所知悉、获取的状态。对“保密性”的侵害主要是在未经授权的情况下，对数据的非法收集、获取、公开等，或者使该数据处于被公开的风险之中。通常的侵害方式包括数据包嗅听、密码破解、回收站搜寻、键盘测录、网络钓鱼等。(37)杨志琼：《我国数据犯罪的司法困境与出路：以数据安全法益为中心》，《环球法律评论》2019年第6期。数据的“可用性”，是指确保权利人能及时有效地获取、使用数据的状态。(38)蔡士林：《我国数据安全法益保护：域外经验与立法路径》，《深圳大学学报》(人文社会科学版)2022年第6期。因此，网络安全所包含的确保数据完整性、保密性、可用性应为数据犯罪所保护的法益。相对应的，刑法所保护的数据安全法益应当是数据完整性安全、数据保密性安全、数据可用性安全。如前所述，一切人类生产活动均可以“数据”形式呈现。而数据作为载体本身与其反映的信息(包括个人信息、虚拟财产、商业秘密等)内容明显不同。根据数据的内部结构，可以将数据法益分为个人数据法益、企业数据法益、公共数据法益；根据数据的外部形态，可以将数据法益分为一般数据法益、重要数据法益、核心数据法益(39)刘双阳：《数据法益的类型化及其刑法保护体系建构》，《中国刑事法杂志》2022年第6期。。因此，以数据完整性安全法益、数据保密性安全法益、数据可用性安全法益区分的数据安全法益需要单设罪名予以规制，在刑罚上具体可因一般数据、重要数据、核心数据的不同而有所区别。

三、数据动态流动法律风险的发生逻辑

认知数据动态流动法律风险的发生逻辑，是探寻其刑事治理的必要前提。数据动态流动过程中的安全风险，存在于收集、存储、使用、加工、传输、提供、销毁等环节的全生命周期，具有时间和空间两个维度。数据对社会发展的“乘数效应”决定了其唯有流动才能创造价值，在这一过程中，“内外双循环”的动态流动体系逐渐形成，据此潜藏其中的数据安全风险(40)杨庆峰：《健康码、人类深度数据化及遗忘伦理的建构》，《探索与争鸣》2020年第9期。隐患亟须有针对性的法律规制。

(一)数据境内动态流动的法律风险

数据在流动过程中得以增值，而大数据应用的需求，又对数据的流动速度提出了新的要求，割裂的、孤立的、静态的数据只会让决策者陷落到自己设置的“信息孤岛”中去。(41)于跃、王庆华：《大数据的特质及其安全和信用风险》，《行政论坛》2016年第1期。在流动过程中，数据会随场景不同而转化为属性各异的不同类型，此即数据的内循环流动。

1.作为“原始数据”向上聚集的个人数据

“原始数据”可以依照不同的标准汇聚成不同的数据(信息)类型。个人数据即“原始数据”向上聚集而成的基本单元，也是数据流动体系中的基本构成单位。顾名思义，个人数据来源于个人，是反映个人特定属性、特征的某类数据，可以单独或复合识别自然人或反映特定自然人身份、活动情况。个人数据的重要价值在于聚集与整合，从而反映群体的特征属性或经济规律，来自单一个体的数据价值有限，但众多个人数据向上聚集，并经科学整合、处理、流通后，将具有巨大的经济价值。

图1 数据动态流动金字塔

2. 彰显财产权益的企业数据

网络活动对于平台等网络运营者的依赖，导致个人数据作为基本单元不断汇集、整合、聚集成企业数据。互联网企业通过经营过程中的数据收集，对海量数据进行利用、加工或交易，凭借自身进一步的数据处理行为成为处理后数据产品的持有者，并将其作为企业数据库、数据平台和数据决策的竞争资源、财产资源。(42)参见龙卫球：《数据新型财产权构建及其体系研究》，《政法论坛》2017年第4期。从数据动态流动的具体环节而言，这就是数据在产生后的汇聚、加工、利用乃至交易中的动态流动，彰显的是企业数据的经济价值和财产权益。但随着数据价值愈发彰显，网络平台等运营者均将其作为重要的生产要素和战略资源展开争夺。在提升数据要素价值的同时，也引发诸多法律风险隐患，如肆意对个人数据进行收集、交易、公开、传递或通过爬虫技术窃取其他平台数据进而提取有用信息等，既可能侵犯公民个人隐私，还可能侵犯到政府安全、企业机密等多重领域。企业数据类型复杂多样，保护程度及价值属性相差极大。有些数据具有共享性和非竞争性，任何人都可以查阅、传递、使用，如企业关于其产品的介绍等，但有些数据具有机密性、竞争性、排他性，不以共享为宗旨。因此，企业数据在动态流动过程中因数据的公开状态、重要程度等不同而产生不同的法律关系。

3.突出公共利益的公共数据

个人数据作为数据动态流动中的基本构成单位，还可能与企业数据等相互融合，汇聚形成公共数据，并体现出与财产权益截然不同的社会公益属性。所谓公共数据，是指政府职能部门依照法定权限和职能所搜集、整合、归纳的各类数据，例如流调信息、水文地貌、城市规划等，是关涉社会公共利益的重要战略资源，具有极强的“公”法益属性。具体类型包括涉及国家安全、经济发展、社会管理、金融秩序等多个领域的数据。作为各种数据类型汇集而成的最终样态，公共数据既为国家决策与社会治理提供数据支撑，也为企业发展、公众权益等提供有效保障，重要性不容小觑。公共数据的安全保障对于社会综合治理体系及公共事务管理具有重要的先决效用，如何推动政府在公共数据收集、管理、共享等方面的安全保障还有赖于法律，尤其是刑法规范的进一步细化和完善。

刑法所保护的数据安全法益在《数据安全法》中已有所体现。一方面，《数据安全法》在数据安全层面明确了国家建立数据分级分类保护制度，对数据分为“一般数据”“重要数据”和“核心数据”。另一方面，《数据安全法》对数据安全制度予以明确，包括：国家数据安全风险评估机制、国家数据安全应急处置机制、国家数据安全审查制度、数据出口管制制度、对等反歧视措施、全流程数据安全管理制度等。

(二)数据跨境动态流动的法律风险

从流动范围而言，数据不仅流动于国内“小循环”，更涉及国际“大循环”，即数据的跨境流动。通常认为，数据跨境流动是指数据在处于不同国家或地区的服务器之间的传输(43)See The Software Alliance，Cross-Border Data Flow，BSA(01 February 2023)，https:∥www.bsa.org/policy-filings/cross-border-data-flows。。数据跨境流动已经成为一个国际法律、国际政治与经济问题(44)丁晓东：《数据跨境流动的法理反思与制度重构——兼评〈数据出境安全评估办法〉》，《行政法学研究》2023年第1期。。对我国而言，这种跨境流动主要面临个人信息、国家安全信息等敏感信息、重要信息的外泄。《数字中国发展报告(2021年)》指出，2017年到2021年，我国数据产量从2.3ZB增长至6.6ZB，全球占比9.9%，位居世界第二(45)参见国家互联网信息办公室：《数字中国发展报告(2021年)》，中华人民共和国国家互联网信息办公室网站，http:∥www.cac.gov.cn/2022-08/02/c_1661066515613920.htm，最后访问时间：2023年3月16日。。此外，微信、支付宝被更多国家使用，数字支付在国际市场上的快速拓展也创造了大量的数据流。2021年，我国国际出口带宽达到 52 929.7 Gbps(不含港澳台地区)，到2025年将以48.6ZB位居全球数据圈之首(46)参见中华人民共和国商务部：《中国数字贸易发展报告2021》，中华人民共和国商务部网站，http:∥images.mofcom.gov.cn/fms/202301/20230117111616854.pdf，最后访问时间：2025年3月16日。。截至2022年上半年，我国网民规模已达到10.51亿。(47)中华人民共和国中央人民政府：《第50次〈中国互联网络发展状况统计报告〉发布》，中国政府网站，http:∥www.gov.cn/xinwen/2022-09/01/content_5707695.htm，最后访问时间：2023年3月16日。如此丰富的个人数据资源下，数据跨境流动安全成为国家安全的重要组成部分。在相同关切下，各国日益重视数据跨境流动引发的国家安全风险，并尝试限制特殊类型数据的跨境流动。(48)参见韩静雅：《跨境数据流动国际规制的焦点问题分析》，《河北法学》2016年第10期。2022年9月1日，国家互联网信息办公室公布的《数据出境安全评估办法》正式生效，对数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息的安全评估作出明确规定。(49)《数据出境安全评估办法》第十九条：本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

世界各国对数据跨境流动提出不同的规制路径。欧盟发布了《一般数据保护条例》，要求建立数据保护委员会，以限制数据流出欧盟，并构建欧盟单一数字市场。美国于2018年发布了《澄清境外数据的合法使用法案》(CLOUD Act)，坚持“数据控制者”原则，甚至对由美国公司控制的境外数据行使管辖权。(50)§2713.要求保存与披露通信和记录“无论通信、记录或其他信息是否存储在美国境内，服务提供者均应当按照本章所规定的义务要求保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。”我国于2020年发布了《全球数据安全倡议》，呼吁各国秉持发展和安全并重的原则，保护涉及本国国家安全、公共安全、经济安全和社会稳定的重要数据及个人信息安全。按照对等原则，对维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法依规实施出口管制，保障数据用于合法用途，防范数据出境安全风险。反对数据霸权和数据保护主义，有效应对数据领域“长臂管辖”。显然世界各国对数据安全法益的保护已经形成共识，因此亟须构建适应我国实际的数据犯罪治理体系。

四、数据动态流动的刑事治理体系重塑

基于以上有关数据境内、跨境动态流动带来的法律风险，再加上数据动态流动的特性使得其造成的社会危害远大于传统犯罪，我国亟须构建起覆盖数据动态流动全流程、多角度的刑事治理体系。

(一)增设覆盖数据动态流动全过程的数据犯罪罪名

对于网络犯罪，我国通过出台刑法修正案不断加以完善，但涉及数据，尤其是专门用于规范数据相关犯罪的罪名数量少，规制力度不足，罪状亦不明确。笔者认为有必要于原有规范基础上进行更新与完善，逐步建构起以数据安全为中心的数据罪名，因此建议增设“侵犯数据安全罪”，充分涵盖数据从产生至销毁的全生命周期，如将非法收集、处理、传输、使用、销毁数据的行为以“侵犯数据安全罪”纳入独立罪名的构成要件，从而最大化地对数据安全法益进行保护。

以侵犯“数据安全法益”为基础，本文从三个方面阐释如何构建数据犯罪的构成要件。

1.以“未经授权”为前提

数据处理者在收集、存储、使用、加工、传输、提供、公开数据等过程中，均有可能遭到来自不法侵害者的侵害，在承担民事责任、行政责任的同时，如果一旦构成对“数据安全法益”的侵害，则应当入罪。而数据处理者可能通过加密、防火墙、访问控制软件、防病毒软件、PIN码、智能卡、生物识别令牌等技术手段防止数据泄露。(51)程啸：《论数据安全保护义务》，《比较法研究》2023年第2期。规避或者破坏技术措施与保护数据安全的技术措施总是相伴而生。(52)杨志琼：《数字经济时代我国数据犯罪刑法规制的挑战与应对》，《中国法学》2023年第1期。“以未经授权为原则”是以计算机访问技术为基础展开的客观违法判断，能更明确无误地传达数据网站允许抓取的数据范围，合理界定数据犯罪的处罚边界。(53)See Patricia L. Bellia，supra note 67，1476.有的学者将“未经授权”总结归纳为如下范式：代理范式，即企业员工违背职业忠诚，利用其职业上的便利访问和获取数据，因而被认为属于“未经授权”；合同范式，即合同相对方违反合同约定，非法获取数据，或者破坏数据的完整性、保密性等；撤销范式，是指如果数据控制者通过一定的形式，如发送禁止令，明确表示撤销某一用户的访问权限，在此情形下用户仍然访问则构成“未经授权”(54)王华伟：《网络爬虫行为的罪责认定路径：数据确权与利益平衡》，《环球法律评论》2023年第1期。。这三种范式为认定“未经授权”提供了有益借鉴。

2.确保数据动态流动保护范围的全面性

数据的收集是数据处理者获得数据的第一步，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据。未经授权，擅自收集数据，可能侵害数据保密性法益。例如，广东省深圳市南山区人民法院在“酷米客诉车来了” 案(55)参见(2017)粤0305 刑初 153 号刑事判决书。中认定：被告人构成非法获取计算机信息系统数据罪，其实质是对数据安全法益的侵犯。增设“侵害数据安全罪”后可以回归数据安全犯罪的本源。对于数据存储、数据窝藏、数据滥用、数据泄露等行为，我国目前缺乏必要的规制(56)例如，杭州市西湖区人民法院(2020)浙 0106 刑初 437 号案件中，魔蝎公司在和个人贷款用户签订的《数据采集服务协议》中明确告知贷款用户“不会保存用户账号密码，仅在用户每次单独授权的情况下采集信息”，截至2019年9月案发时，对魔蝎公司租用的阿里云服务器进行勘验检查，发现以明文形式非法保存的个人贷款用户各类账号和密码条数多达21 241 504条。最终法院只能将被告单位魔蝎公司非法存储公民个人信息的行为认定为以其他方法非法获取公民个人信息，并以侵犯公民个人信息罪定罪处罚。，忽视了数据生存周期原理动态的刑法保护(57)王惠敏：《网络数据安全独立性之提倡及其刑法展开》，《法治研究》2023年第3期。。合法的数据收集者在存储数据的过程中，因未履行数据安全制度，导致数据泄露，破坏数据保密性的，也应当承担相应的刑事责任；除此之外，可能涉及对数据的篡改、删除、增加，进而侵犯数据的完整性、保密性和可用性安全法益。非法提供、公开数据的，可能因侵犯数据的保密性安全法益而入罪。

3.以“数据安全”危害结果为要件

一般认为，危害结果指犯罪行为对法益造成的侵害或者危险。(58)张明楷：《论刑法中的结果》，《现代法学》2023年第1期。犯罪的成立以结果的发生为必要，实施加害的行为单纯地表现于外部还不足以成立犯罪。一般意义上，侵犯数据安全罪应为结果犯，即以“数据安全”危害结果的发生为犯罪既遂。但在涉及国家数据安全时，侵犯数据安全法益并不以实际危害数据安全结果发生为构成要件，只要足以危害国家数据安全即可入罪。危险犯理论认为，在某些领域(主要是某些需要重点保护的法益如上述与国家安全、公共安全等有关的领域)，应当将追究刑事责任的时间节点提前，只要某种行为有造成法益损害的危险，就追究行为人的刑事责任，以实现刑法的预防犯罪目的。(59)周玉华：《抽象危险犯争议问题研究》，《中国刑事法杂志》2023年第3期。刑法上的危害结果包括实害结果与危险结果。(60)张明楷：《论刑法中的结果》，《现代法学》2023年第1期。犯罪人的主观恶性与犯罪行为的现实危险密切相关，它们在犯罪行为危害社会的过程中辩证统一。(61)温建辉：《现实危险：概念、机能和学说》，《西部法学评论》2022年第1期。在刑法中规定的危险犯，多以“危及公共安全”“足以造成严重食物中毒事故”“足以严重危害人体健康”等规范。而刑法学将危险犯按照发生危险的程度不同，又衍生出“抽象危险犯”与“具体危险犯”的区别。一般认为，具体危险犯所造成的危险是程度比较高的危险，而抽象危险犯所造成的危险相对缓和。而数据安全犯罪中的危险应限定在足以危害国家数据安全为宜。因此笔者建议，未经授权，行为人在处理数据的过程中，违反数据安全管理制度，足以危害国家数据安全的，可以构成“侵犯数据安全罪”。

4.“侵犯数据安全罪”的刑罚设置

关于“侵犯数据安全罪”的刑罚设置，虽然计算机信息系统安全犯罪所侵害的法益不同于数据犯罪法益，但是作为网络安全与数据安全两个相近领域，在侵犯数据安全罪的刑罚梯度上可以参考计算机信息系统安全犯罪。参照《刑法》第二百八十五条(62)《刑法》第二百八十五条关于非法获取计算机信息系统数据、非法控制计算机信息系统罪的刑罚规定，“情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。，侵犯数据安全罪的刑罚可以规定为：侵犯数据安全情节严重的，“处三年以下有期徒刑或者拘役，单处或并处罚金”；侵犯数据安全情节特别严重的，“处三年以上七年以下有期徒刑，并处罚金”；侵犯数据安全，足以危害国家安全的，“处七年以上十年以下有期徒刑，并处罚金”。

(二)明确数据出罪情形以兼顾数据创新

唯有流动，数据之价值方得以彰显。对数据资产控制过多或对数据资产控制过于集中是阻碍竞争的关键因素，数据合并后的集中可能会引发对反垄断的担忧。(63)See Maurice E. Stucke &Allen P. Grunes，Big Data and Competition Policy， Oxford University Press，2016，p.145.有限保护的法益模式能为数据的利用提供更为广阔的公共空间。通过刑事规制“禁止”某些特定行为的方式反向保护数据权益，遵循的是“法不禁止即自由”的逻辑，能为数据的有效利用提供保障。(64)周樨平：《大数据时代企业数据权益保护论》，《法学》2022年第5期。刑法的谦抑性原则要求，作为惩罚犯罪的手段，刑法不能过于广泛介入社会生活，要保持“谦抑”，不能一有违法行为就马上动用刑法进行规制，必须有所抑制。《数据安全法》第四十五条第二款规定：“违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。”因此，在数据犯罪的前置法《数据安全法》已经明确规定了民事责任、行政责任的前提下，不宜将同类行为再规制以刑罚，而对于明确规定了“违反国家核心数据管理制度，危害国家主权、安全和发展利益的行为”，才能苛以刑罚处罚。因此在侵犯数据安全罪的设置中需要将《数据安全法》第四十五条第一款规定的出罪情形予以明确。

数字时代大数据作为提升国际竞争优势及促进经济创新的重要生产因素及载体，亟须创造良好的营商环境及法律保护基础，兼顾数据创新及数据规制之平衡。

1.全面保障公共利益

数据的动态流动，可能涉及多方主体权益，如个人权益、企业权益、国家安全等。若数据的动态流动涉及国家安全、军事安全等，此类数据属于战略性资源，应从国家层面对此类行为予以规制，任何个人必须服从国家利益保护，依照公共利益的需求促进数据流动。若数据涉及企业商业秘密等，鉴于数据作为促进企业发展、企业创新的重要生产要素，对之动态流动加以规制对于保障企业权益、促进企业创新发展具有重要的正向效应，但当涉及更为重要的社会公共利益时，应遵循利益衡平原则，在维护社会公共利益的同时最大化地保障企业权益。

2.兼顾合理使用免责

数据保护既要加强对个人、企业、公共数据的安全保护，更要充分发挥数据的潜在价值。(65)余圣琪：《流调与追踪中的数据法律保护》，《河北法学》2021年第1期。在法律许可的合理适用范围内，数据的动态流动可以成为促进经济发展、社会进步、公众权益的重要创新要素，故在合理范围内对数据要素的合理使用不应认定为犯罪。对此，本文建议通过出罪机制予以保护，以最大限度衡平各方利益。一方面，在明确数据权属的基础上，数据所有者可通过合理授权免除使用者的刑事责任，但前提是不得违背社会公共利益；另一方面，个人数据的权益方可以要求“大数据”所有人在既有合同、协议范围内合理使用，对可能侵犯其合法权益的行为提出异议，并享有侵犯其权益的修正权、申诉权及请求赔偿权。

(三)构建数据动态流动的公益与私益双重保护体系

数据因其动态流动而兼具个人属性与公共属性，这决定了对动态流动的保护也必须公私协同推进，实现公益保护与私益维权的双重功效。

公益诉讼作为有效维护公共利益的特别制度，对于被损害的权益与秩序具有重要的恢复与修补功能。大数据时代下，数据事关国家安全、社会公共利益，而当前较为主流的个人单独诉讼模式在实践中存在诸多困难：一是被害人分散各地，审理法院所在地与被害人居住地跨地域情况下，要求每个被害人参与其中不具有可行性和现实性；二是被害人如何参与诉讼活动缺乏具体规定；三是部分被害人对自己权益损害的事实缺乏明知，即使知道权益受损，但网络具有匿名性和虚拟性，证据收集困难、权益受损证明困难等问题，往往导致被害人对维权望而却步；四是部分被害人认为危害较小或对自己影响不大而不愿意参与诉讼或提交证据。有鉴于此，在数据动态流动过程中，若受侵害个人信息因数量巨大、人员众多而涉及社会公共利益损害的，应由检察机关在提起刑事公诉的同时，一并提起附带民事公益诉讼，最大限度地实现惩治的全面性、规范性和合理性。

数据犯罪刑事附带民事公益诉讼的启动主体应实行“双轨模式”。关于启动主体，采取检察机关及被害人并行的“双轨模式”，其优势在于可以实现启动主体的全面性、互补性和兜底性。检察机关取证能力强、效率高，具有提起公益诉讼的天然优势。数据犯罪对社会公共利益的侵犯更赋予其作为启动主体的合理性。另一方面，若检察机关基于各种原因未启动刑事附带民事公益诉讼，被害人作为补充主体可实现“兜底”保护。考虑到数据犯罪被害人往往人数众多，所有被害人均参与诉讼并不现实，可通过代表人诉讼加以解决。

(四)强化数据跨境流动的特别治理

数据在境内与境外的双重流动属性及统一性保护原则，决定了需对数据跨境流动同等严格规制，数据动态流动的保护体系才可谓周延。

1.国家层面的宏观保护

数据蕴含的巨大经济价值及商业价值，决定了对其使用可能发生在跨国之间，此即数据的跨境流动。当前我国对数据采取属地主义管辖原则，对跨境流动的数据保护面临管辖不能的难题。与之相对应的是，美国等国家采用对其本国更加有利的长臂管辖原则，致使我国数据动态流动过程中的安全隐患愈发令人担忧。对此，当务之急是在《网络安全法》《数据安全法》等前置法框架下进行数据跨境流动的专门立法。在具体设置上采取以属地主义管辖为主、保护主义管辖为辅的保护原则，并应当允许采取对等原则。

2.数据持有者层面的微观规制

除国家层面的宏观保护外，数据跨境流动的实施主体往往是掌控了海量数据的电商平台、金融机构、科研院校等，即所谓的“数据控制者”。相关主体若违背法律法规、擅自实施数据的跨境流动，虽看似可通过《刑法》第二百八十六条之一的拒不履行信息网络安全管理义务罪进行规制，但该罪犯罪主体仅限于“网络服务提供者”，受规制主体主要限定为各类网络平台，金融机构等“数据控制者”并未被包含其中，存在刑法规制漏洞。此外，非法跨境流动不仅侵害我国社会管理秩序，也将破坏社会主义市场经济秩序及我国对数据跨境流动的特殊保护机制。对此，一方面，完善拒不履行信息网络安全管理义务罪，通过司法解释形式扩大“网络服务提供者”范围，从而更好地应对大数据时代多元主体越发频繁的数据跨境流动隐患；另一方面，制定涉及跨境数据流动的专有罪名，既可实现对危害行为的针对性打击，还可与国际社会接轨，更好地加强跨国犯罪专项惩治及司法协助。

五、结 语

数字时代下数据的经济价值、安全价值愈发彰显。传统的人与人现实交易、交流、交往的社会逐步演变为以万物互联的信息与数据为中心的网络社会。习近平新时代中国特色社会主义思想要求深入贯彻党的二十大精神，全面贯彻数字时代新发展理念，加快构建数据领域新发展格局，坚持改革创新，加快构建符合我国国情、适应数据特征和自身规律、保障国家数据安全的数据基础制度。数据的动态流动在实现其价值的同时，各环节中的安全隐患也呈指数增长，因此亟须构建以数据安全为独立法益的刑事治理体系，在充分发挥既有法律体系价值属性的同时，对刑法规制的空白地带予以针对性立法重塑，从而高效、规范、全面地应对数字时代数据动态流动的风险及隐患。

对数据犯罪的法益进行分析厘定，提出设置除计算机信息系统安全犯罪、侵犯公民个人信息犯罪之外的独立的危害数据安全罪名，是对数据动态流动中自身发展规律充分认识的基础上提出的刑事治理方案。然而，需要认识到侵犯公民个人信息罪已经对非法获取、出售、提供个人信息行为进行了刑法规制，危险作业罪已经对篡改、隐瞒、销毁企业数据行为进行了刑法规制，那么如何在刑法中对侵犯数据安全罪进行布局，仍有待立法层面的深入探寻。另外，对于数据跨境流动中的刑事风险防范问题，虽然制定涉及跨境数据流动的专有罪名，可以实现对危害行为的针对性打击，但是如何与侵犯数据安全罪进行区分设置，也是对立法技术的考验。随着万物互联的“互联网+”新时代的到来，发生在传统现实社会的犯罪行为逐渐向网络虚拟空间蔓延。(66)张佳华：《计算机软件著作权刑事保护视域下“复制”行为的司法认定》，《浙江工商大学学报》2022年第3期。数据动态流动的刑事治理仍需要司法实践进一步探索与检验，及时总结司法经验并传导到立法层面，以进一步完善数据犯罪的刑事治理体系。