1. 引言

随着信息技术的发展，数据已经成为社会运行必需的资源，在各个生活场景中被大量使用。数据一旦被泄露，不法分子便可以通过相关技术获取平台用户的各类信息，分析预测国家生产贸易状况、经济形式、政治态势等，严重威胁国家安全 [1] 。在这一情况下，数据安全成为社会治理一大难题。以滴滴打车事件为例，滴滴打车因过度收集使用个人信息的问题而被通报下架，该软件可轻易获得用户行程，并利用大数据分析用户行程，通过这一方法得到完整的道路信息和城市地图。此外，小型录音录像设备等便携式智能设备亦有风险隐患。以智能汽车为例，智能汽车内部及周围装有大量的传感器与摄像头，可随时监控车内外情况，甚至实时测绘车辆经过道路的周边信息，记录敏感信息甚至国家秘密。由此可见，如何保障数据安全已经成为大数据时代中最为重要的安全问题。针对上述问题，本文拟首先明确作为法律术语的“数据”内涵，在此基础上分析我国数据安全刑法保护的现状及不足，并参照德国的二元区分体系，从个人数据的刑法保护和一般数据的刑法保护入手构建我国数据安全刑法保护路径，以期对我国数据安全的刑法保护有所裨益。

2. 数据的法律内涵及基本分类

关于数据的含义，学界存在不同的观点。根据计算机科学的定义，数据是用于描述事物的符号记录，其内涵只有经过解释才能加以明确 [2] 。持上述观点的学者区分了“数据”和“信息”，并认为信息的本质是传播内容的事实，包含新的内容、新的知识、新的情况，而数据应当被理解为以二进制为基础、在计算机及网络上流通的比特形式，本身并不具有表意性 [3] 。因此，信息和数据体现出本体和载体的关系。而作为法律术语的“数据”具有与计算机系统不同的特殊内涵及具体适用范围。总结近年来国内外立法可以发现，信息与数据表现出同质性特征，因此各国立法不再将“数据”定义为简单的计算机符号集合，而是逐渐认可数据与信息的一体化特点。

鉴于信息与数据的同质性特征，我国立法从二者的关系入手，对数据加以分类。根据数据对信息的记录方式，数据被分为“非电子化数据”和“电子化数据”。其中，电子化数据与计算机系统的关系较为密切，是存储在计算机系统中的数据；非电子化数据是存储在计算机系统外的其他数据形式。若将使用数据的主体身份作为分类标准，可以把数据划分为个人数据、政务数据以及商业数据。当前学者们对“个人数据”的内涵已经达成基本一致，认为个人数据是指与可识别或者已经识别身份的自然人相关的数据，政务数据指国家机关为了履行法定职责而收集并加以使用的数据，商业数据是指各个商业主体在生产经营活动中存储、整理的不具有识别性且具有商业价值的数据。

3. 我国数据安全刑法保护现状

近年来，与数据有关的违法现象越来越严重，部分行为存在严重的社会危害性，甚至危害了我国国家安全。由于数据安全属于信息安全的重要组成部分，因此，为维护数据安全，贯彻总体国家安全观，有必要利用刑法对数据处理违法行为进行规制。但目前我国刑法在数据保护中的滞后状态，与数据违法现象的严重性形成鲜明对比。

目前，刑法中关于数据保护的罪名有非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机系统罪、侵犯商业秘密罪及侵犯公民个人信息罪。通过对立法现状和司法实践的考察，上述罪名虽能从不同角度打击犯罪行为，但整体上对数据安全的保护思路不统一，各个罪名之间的界限不清晰，数据的认定标准也存在差异 [4] 。且在司法实践中，也存在侵犯个人信息罪及计算机犯罪难以认定的问题，按照不同的分类标准对数据进行保护极易导致保护路径的混乱。其次，以计算机犯罪为例，当前数据保护依附于刑法对其他法益的保护，数据犯罪的保护法益被计算机犯罪的罪名体系掩盖 [5] 。当行为人所实施的行为对计算机系统造成的影响较小或不存在负面影响时，只有将与数据有关的违法行为类型和计算机系统运行的有关概念作出扩大解释，方可实现实行行为与破坏计算机系统罪法条规定的对应。但是对于扩大解释边界的划定，为司法实践中此类案件的具体处理造成挑战。

除上述困境外，当前数据安全的刑法保护还存在保护范围过于狭窄的问题。由于刑法中关于数据保护的罪名有限，难以涵盖全部的数据类型行为范围。举例而言，如果行为人非法收集政务数据并将其传送到境外，可能威胁国家安全 [6] ，可以按照危害国家安全罪对行为人实施的行为进行规制。但一般而言，危害国家安全罪中规定的行为较为严重，且法律中未明确规定滥用数据的行为可以构成该罪，因此司法实践没有与数据安全相关的判决。由此可见，就数据本身来看，个人数据、电子化数据及商业秘密都只属于数据的其中一部分，法律并未对处于空白领域的其他数据加以保护。就刑法对数据滥用行为的规制来看，随着互联网技术的发展，数据的使用方法将不断增多，对于数据滥用行为的具体判断也将更加复杂，但是当前我国刑法条文中对于数据滥用行为的规定过于宽泛，难以应对实践中存在的复杂情形。

4. 解决我国数据安全问题的刑法进路

针对上述刑法对于数据安全保护的不足，有学者提出我国数据刑法保护模式的构建可借鉴德国的二元结构，即在区分个人数据与一般数据的基础上，对二者分别进行保护。诚然，我国数据刑法保护的模式不可直接移植德国数据刑事立法模式，但是在处罚链条的完善、刑事法网的严密以及数据权利的全方位保护等方面，德国的立法模式为我国立法提供了许多可参考的角度。有鉴于此，我国数据刑法保护模式的构建可以参照德国数据刑法保护模式，从宏观和微观两个层面加以完善 [7] 。笔者认为立足于个人数据和一般数据的二元区分视角，从个人数据的刑法保护和一般数据的刑法保护两条路径出发，构建我国数据安全刑法保护体系确有可取之处，可为我国保护数据安全、贯彻总体国家安全观提供有效的刑法路径。

4.1. 个人数据刑法保护模式

我国刑法对个人数据的保护主要围绕侵犯公民个人信息罪展开。《刑法修正案(九)》颁布后，非法获取、出售、非法提供公民个人信息的行为被纳入侵犯公民个人信息罪条文中。此后，《侵犯个人信息解释》将非法“提供”的行为区分为“通过信息网络或其他途径发布”与“向特定人提供”，并将未经同意而向他人提供事前合法收集的个人信息的情形也包括在内。同时，该解释还明确规定了“窃取”外的其他非法获取行为，在一定程度上扩展了上述行为类型。此外，《个人信息保护法》及《检察机关办理侵犯公民个人信息案件指引》也作出了类似的规定，明确个人信息处理行为的定性。

尽管上述列举的相关法律与司法解释补强了侵犯公民个人信息罪的规制效力和涵盖范围，但该罪在具体适用中仍存在诸多问题。以非法使用个人信息为例，有学者提议，应当加强刑法对非法使用个人信息行为的规制 [8] 。亦有学者认为，在法律允许的范围内如何利用从合法途径获得的公民信息，无需刑法加以规制 [9] 。然而，个人信息自决权贯通于整个数据处理过程。因此，从合法途径获得公民信息之后，个人同意原则在数据处理过程中也发挥着决定性作用，刑法有必要对侵犯公民个人信息罪的规制范围加以完善，认真考虑非法加工、非法存储、非法修改公民个人信息等行为的刑事应罚性。

4.2. 一般数据刑法保护模式

在构建一般数据刑法保护模式前，需要先明确个人数据刑法保护模式与一般数据刑法保护模式之间的关系。有学者认为应当将侵犯公民个人信息罪的保护对象延伸到“全部的信息数据” [10] 。亦有学者认为，侵犯公民个人信息罪的保护法益是人格权的具体表现形态，而一般信息数据与人格不存在关联性，因此侵犯公民个人信息罪的行为对象无法延伸到一般信息数据。换言之，对一般数据的刑法保护应当区别于个人数据 [11] 。诚然，信息与数据在一定场景下可能发生混同，个人信息常通过一定的数据形式加以表现，但笔者认为，个人数据与一般数据在行为对象、保护法益、行为类型等方面都存在差异，应当区分二者的刑法保护路径。个人数据的刑法保护模式关注数据背后的人格利益，一般数据的刑法保护模式则注重对数据本身的支配权限。有鉴于此，分别对个人数据与一般数据的刑法保护进行体系性建构具有合理性。

此外，一般数据的完整可用性应当得到更加独立、全面的保护。为了达到这一目的，可考虑将损坏、限制使用与访问一般数据的行为纳入刑法规制范围。同时，如果仅规制处于上游的非法获取一般数据的行为，放任下游交易、转让、扩散非法数据的行为，无法实现对一般数据权利的全面和有效保护，因此未来的刑事立法中也可进一步考察对非法获取的一般数据进行购买、出售、储存、转移等行为的刑事应罚性。以数据窝赃行为为例，《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》将权利属性尚不明确的非法数据也认定为掩饰、隐瞒犯罪所得罪的犯罪对象，可见我国刑法中有“数据窝赃罪”的存在空间。但是，数据窝赃行为与刑法条文中规定的掩饰、隐瞒犯罪所得罪之间存在明显差异，即掩饰、隐瞒犯罪所得罪侵害了司法秩序及被害人追回财产的权利，数据窝赃行为则侵害了数据支配权，二者在性质上存在显著差异，因此此类行为不宜根据掩饰、隐瞒犯罪所得罪加以评价，为其设置独立的构成要件更为合适。

5. 结语

当前，数据已经成为国家基础战略资源及社会基础生产要素，数据安全在国家安全治理方面占据更为关键的地位，应当采取有效的风险化解措施，使大数据技术能够充分发挥其自身优势。针对数据安全建设，刑法应当积极发挥对数据安全的保护作用，结合时代背景进一步完善对非法侵害数据安全行为的规制，从而提升国家安全治理的能力与水平，保证国家的安定、有序发展。

参考文献