摘要: 在数据库营销与企业信息化深度发展的背景下,企业数据集合已超越简单信息载体,演变为蕴含巨大商业价值的核心资产与新型财产权客体。然而,现行刑法体系在保护此类数据财产权时面临严峻挑战。本文旨在系统剖析此困境并探寻出路。文章首先界定了企业数据财产权的法律内涵,论证其作为与物权、知识产权并列的第三类财产权之地位,并从法益保护与社会危害性角度阐明了刑法介入的必要性。继而,通过梳理司法实践从著作权法到反不正当竞争法的路径转换,揭示了当前以反法一般条款为主导的保护模式存在权属不清、预防不足与标准不确定等固有局限。本文深刻指出,困境根源在于传统刑法“财物”概念固有的有体性、排他性与数据的无形性、可复制性等本质属性之间存在结构性冲突,这直接导致了窃取数据行为定性争议、虚拟财产地位模糊及犯罪数额认定困难等司法难题。为应对上述挑战,本文最终构建了一个体系化的完善路径:立法上应先行确权,明确数据财产权的法律地位;司法上应能动解释,扩张“财物”与“占有”的涵摄范围;规制上需协同运用财产犯罪与专门罪名,并探索填补“非法使用”等行为漏洞;配套上则需建立多元价值评估体系与复合法益衡量标准。本研究为弥合工业时代刑法与信息时代现实之间的鸿沟,构建一个前瞻、有效的数据财产权刑法保护体系提供了理论参考与路径指引。
Abstract: Against the backdrop of deepening database marketing and enterprise informatisation, corporate data collections have transcended their role as mere information carriers, evolving into core assets and novel objects of property rights imbued with immense commercial value. However, the existing criminal law framework faces formidable challenges in safeguarding such data property rights. This paper aims to systematically analyse this predicament and explore potential solutions. The article first defines the legal essence of corporate data property rights, arguing for their status as a third category of property rights alongside property rights and intellectual property rights. It then clarifies the necessity of criminal law intervention from the perspectives of protecting legal interests and addressing societal harm. Subsequently, by tracing the shift in judicial practice from copyright law to unfair competition law, it reveals the inherent limitations of the current protection model dominated by general provisions of unfair competition law, including unclear ownership, insufficient prevention, and uncertain standards. This paper incisively argues that the root of these difficulties lies in a structural conflict between the inherent tangible and exclusive nature of traditional criminal law’s concept of “property” and the intangible and replicable attributes of data. This directly leads to judicial challenges such as disputes over the characterisation of data theft, the ambiguous status of virtual property, and difficulties in determining the value of criminal proceeds. To address these challenges, this paper ultimately constructs a systematic improvement pathway: legislatively, rights should be established first to clarify the legal status of data property rights; judicially, proactive interpretation should expand the scope of “property” and “possession”; in regulation, property crimes and specialised offences should be applied synergistically, while exploring ways to fill loopholes in acts such as “unlawful use”; and in supporting measures, a multi-dimensional value assessment system and a composite standard for balancing interests should be established. This research provides theoretical reference and path guidance for bridging the gap between industrial-era criminal law and information-era realities, thereby constructing a forward-looking and effective criminal law protection system for data property rights.
1. 引言
我们正身处一个被数据定义的时代。随着“数据库营销”成为企业精准触达客户、挖掘市场潜力的核心手段,以及“企业信息化”建设将业务流程全面数字化,数据已不再是简单的信息记录,而是演变为企业至关重要的新型生产要素和战略资产。这些经过系统化治理、整合与分析的数据集合,构成了企业在数字市场竞争中的核心武器与“护城河”。然而,与此相伴而生的是,针对企业数据资产的窃取、滥用与不正当竞争行为日益猖獗,严重侵蚀了企业的经济利益与创新动力。美国数据库营销中心指出,数据库营销是一个动态的数据库管理系统,该数据库的内容涵盖现有顾客和潜在顾客,并可以随时扩张、更新。就其功能而言,要实现以下目标:确认最佳目标顾客及潜在顾客,然后与顾客建立长期、可靠、融洽的关系,同时根据数据库建立先期模型,进行针对性营销。数据库营销建立在对数据采集、储存、处理与共享和应用的基础上,通过对海量数据的获取、储存、处理分析与应用形成企业营销数据库,精准分析用户信息,确定细分市场,采取针对性的营销组合策略[1]。
面对这一新型挑战,现行刑法保护体系却显得力不从心,陷入了明显的规制困境。一方面,企业数据财产权作为一种新兴权利,其法律属性与传统物权、知识产权存在显著差异,导致其在刑法中的定位模糊不清。另一方面,根植于工业时代的传统刑法理论,其“财物”概念固守有体性、排他性等特征,与数据的无形性、可复制性等本质属性产生了尖锐冲突[2]。这一根本性冲突在司法实践中引发了诸多争议,例如窃取数据行为应定性为盗窃罪还是非法获取计算机信息系统数据罪?虚拟财产的法律地位如何认定?犯罪数额又如何评估?
针对这些问题,尽管学术界已有从数据法益、计算机犯罪到财产权客体扩张等角度的探讨,司法实践也经历了从著作权法到反不正当竞争法的路径转换,但均未能从根本上解决数据权属不清所带来的保护不力问题。因此,本文旨在数据库营销与企业信息化的双重背景下,系统剖析企业数据财产权的独特内涵,深入揭示现行刑法在保护数据财产权时面临的理论缺失与实践偏差,并在此基础上,构建一个多层次、体系化的刑法保护完善路径,以期为数字时代企业数据安全的刑事保障提供理论支撑与制度参考。
2. 企业数据财产权的内涵与刑法保护必要性
2.1. 企业数据财产权的法律属性分析
首先,企业数据区别于个人数据,“企业数据集合”并非指一个简单的、物理上的数据堆砌。在信息系统和管理科学领域,它被定义为一个经过战略性识别、整合、治理和维护的,服务于企业特定业务目标的数据资源体系。其核心特征在于,它超越了数据的物理存储,强调了数据的逻辑关联、业务语义和价值导向。换而言之,企业数据集合是指一个在数据治理框架下,通过系统性的数据集成、清洗、转换和质量控制过程构建而成的、具有一致业务语义的数据资源聚合。它以企业核心业务主题为导向,旨在打破部门间的信息壁垒,为企业的分析、决策支持和战略规划提供统一、可信、可访问的数据基础,从而被确立为一项关键的组织资产。
广义“产权”包括一切财产性的权利和利益。狭义财产权仅指对世性财产权,不包括具体相对人之间的财产权,也不包括投资者的股权等权利。“数据产权”包括数据财产权和民事主体之间基于数据交易、利用等产生的债权。法学界一般在狭义财产权范畴讨论数据财产权,主要指包含持有、使用、获取收益等权益的财产权利。狭义财产权在人类社会发展史上的演进大致经历三个主要阶段:以所有权为核心的物权不断扩展直至全面确立阶段,与物权并存的知识产权萌芽、发展与强化保护阶段,以及与物权、知识产权共存的当前正在兴起的数据财产权阶段[3]。
新的财产权客体总是对应于社会生产力的发展而产生,进而重新配置社会资源并协调民事主体之间的利益关系。进入信息时代,大数据、云计算、区块链、人工智能等信息技术的迅猛发展催生了数字经济的产生和发展。对于数字经济,数据正在成为继有体物与智力成果之后可供人类支配与利用的新型财富,数据财产正在成为与物权、知识产权相并列的第三类新型财产。
2.2. 刑法保护的必要性论证
在现代商业中,数据库营销已成为企业的核心战略。它依赖于对海量客户数据的采集、分析与应用,旨在实现精准投放、提升效率并构筑难以逾越的竞争壁垒。这些数据,作为关键的生产要素和无形资产,其安全与专有性直接关系到企业的生存与发展。正因其价值巨大,企业数据面临着严峻的安全威胁。无论是内部泄露还是外部窃取,数据犯罪行为都会导致企业蒙受直接经济损失、丧失竞争优势乃至商誉受损。更重要的是,这种行为破坏了公平诚信的市场竞争秩序,并可能衍生出诈骗、勒索等针对公民个人的犯罪,危害社会公共安全,其性质已远超普通民事纠纷,具备了严重的社会危害性。面对此类危害,民法与行政法等前置法律手段显示出其局限性。民事赔偿属于事后救济,威慑力不足;行政处罚则以罚款为主,对牟取暴利的黑色产业链难以形成有效震慑。当侵权行为的社会危害性达到一定程度,就必须动用国家最严厉的制裁手段——刑法。刑法的介入,并非越位,而是填补法律保护空白的必然选择。通过“侵犯商业秘密罪”、“非法获取计算机信息系统数据罪”等罪名,刑法以自由刑等严厉刑罚,为企业数据资产构筑了最后一道、也是最坚固的一道防线。它向社会传递出一个明确的信号:企业的数据资产与物理资产一样神圣不可侵犯,任何侵犯行为都将付出沉重的自由与财产代价。因此,从保障数字经济健康发展的战略高度看,刑法的保护不仅是必要的,更是不可或缺的。它通过终极的威慑力,维护了市场经济的基石,确保了企业能够在一个安全、可信的环境中,放心地进行数据投资与创新,最终推动整个社会的进步与繁荣。
这类犯罪对创新环境的破坏则表现为抑制创新动力和阻碍技术进步。当市场主体通过非法手段获取商业秘密或盗用知识产权时,会使创新企业的投资回报率降低,从而削弱其进行研发和创新的积极性。在数字化转型背景下,竞争政策对企业数字化转型和数字创新具有深远影响。中国反垄断法的实践表明,严格的竞争政策能够显著提升企业的数字化投入和数字创新能力,反之,如果缺乏有效的竞争保护,创新活力则会受到抑制。此外,从更广泛的社会危害来看,市场导向的社会中,对私人利益的过度追求可能导致高水平的暴力犯罪。犯罪作为一种社会现象,虽然可能在某些情况下驱动社会进步(例如,通过促使法律体系的完善),但其主要影响仍是对社会造成不良损害。企业犯罪,特别是白领犯罪和公司犯罪,长期以来主要关注其经济后果,但其更广泛的社会影响,如信任的滥用,也日益受到关注。
3. 现行刑法对数据财产权保护的规制模式与困境
3.1. 从知识产权法到反不正当竞争法的路径转换
在确认企业对自己收集和加工的数据拥有合法权益后,如何有效保护这些权益,成了法院面临的一个难题。早期在处理企业数据纠纷时,法院曾尝试引用《著作权法》来解决问题。比如在2008年“大众点评诉爱帮网”一案中,一审法院认为经过整理编排的数据集合可以算作知识产权的一部分,但二审法院则担心这样会过度扩大知识产权的保护范围,最终没有支持网络平台的诉求。随着这类纠纷越来越多,不少第三方直接“搭便车”,使用他人的数据成果,严重扰乱了正常的网络竞争秩序。于是法院逐渐转变思路,不再纠结于数据到底归谁所有,而是把重点放在制止不正当行为上,以此来解决争议。在这样的背景下,法院开始引用《反不正当竞争法》第二条作为裁判依据。这种做法确实起到了一定作用——在数据相关法律还不够完善的情况下,反不正当竞争法灵活性强,能够及时制止不当行为,保护数据收集方的合法利益,这一点值得认可。不过,单靠这一条款来解决企业间的数据争议,仍难以从根本上明确权益归属、彻底化解纠纷[4]。
3.2. 企业数据权利化的现实障碍
企业数据的客体范围模糊不清企业数据范围模糊不清直接影响其法律属性的确定以及数据权属的配置,法院在此问题上并未仔细分析其范围究竟为何,分析企业数据范围难以确定的缘由主要是个人信息与非个人信息区分困难。企业数据本身来源的丰富性、构造的复杂性、本身的无形性等物理特性,导致企业数据与其本身负荷的大量个人信息难以有效区分。诚然,国内外立法例对于个人信息与非个人信息大多以识别性作为区分标准,在定义个人信息之后以排除方式确定非个人信息的范围,由此对个人信息采取人格权保护方式,对非个人信息采取财产权保护方式,两者泾渭分明,互不干扰,欧盟就以此为界限采取兵分两路的立法模式构建数据保护体系。然而完美的数据体系架构需要经得起实践检验,在司法实践中,个人信息与非个人信息的区分恰恰成为一大难题,并且往往与立法者定义的个人信息在范围上存在差异[5]。一数据库营销在当今数据驱动的商业环境中至关重要,但其发展正面临多重交织的困境。核心挑战在于,企业难以在合法合规与用户信任的前提下,将海量、分散的数据高效转化为可执行、能创造真实价值的个性化体验。在数据层面,企业陷入“数据孤岛”与“数据质量”的泥潭,各部门数据无法打通形成统一客户视图,而低质数据直接导致营销决策失误与资源浪费。技术层面,复杂的营销技术栈选择与实时处理能力的要求,对企业的技术实力与预算构成严峻考验。更为棘手的困境来自隐私与伦理,全球日益收紧的隐私法规(如GDPR)与第三方Cookie的消亡,极大地限制了数据收集与跨渠道追踪,同时过度个性化极易越过“creepy line”(creepy界线),引发用户反感与信任危机。最终,这一切都指向战略与组织层面,许多企业缺乏将“数据拥有”转化为“价值创造”的清晰战略,同时面临跨渠道效果归因困难、复合型人才稀缺以及数据驱动文化缺失等内部障碍。因此,数据库营销的突破不再仅仅是技术问题,更是一场需要战略耐心、持续投入与全公司协同的系统性工程。
4. 数据财产权刑法保护困境的成因剖析
4.1. 传统“财物”概念的固有属性
有体性与物理形态,传统意义上的“财物”通常指具有物理形态、能够被人的感官所感知的物体,如金钱、手机、车辆等,这种形态使其能够被占有、支配和转移;可支配性与排他性,财物可以被权利人实际控制和使用,并排除他人的干涉,我对我的钱包拥有排他性的支配权,你无法同时完全支配它;价值性与可衡量性,财物具有经济价值,可以用货币来衡量,这种价值是客观的、相对稳定的;转移即失权原则,对于动产而言,一旦所有权通过盗窃、诈骗等方式转移,原权利人通常会立刻丧失对该财物的占有和使用[6]。我偷了你的手机,你就失去了它。这些固有特性构成了传统财产犯罪(如盗窃罪、抢劫罪、诈骗罪)的认定基础。例如,认定盗窃罪的关键在于“打破他人占有,建立新的占有”,这种“占有”的概念对于有体物是直观的。
4.2. 数据的本质属性与传统概念的冲突
数据本质上是电磁记录或二进制代码,其特性与“财物”的固有性形成鲜明对比。(1) 无形性与非物理形态,数据没有物理形态,存在于存储介质中。你无法像触摸一本书一样“触摸”到一段数据本身。可复制性与非消耗性:这是最核心的冲突点。(2) 可复制性与非消耗性,数据可以被无限次、零成本地完美复制,且原数据不会因被复制而消失或减损。我复制了你的文件,你依然拥有完整的原始文件。(3) 非排他性与共享性,多人可以同时、同地持有和使用同一份数据的副本,彼此之间互不干扰。(4) 价值的情境依赖性与难以量化,数据的价值具有极强的情境依赖性。同一组数据,对A公司可能是无价之宝,对B个人可能一文不值。其价值往往在于其蕴含的信息、能带来的商业机会或决策支持,而非其存储成本。
4.3. 司法实践中的认定困境
盗窃数据能否构成“盗窃罪”?核心难题是传统盗窃要求“转移占有”并导致“被害人丧失财物”,但数据被窃取(复制)后,被害人并未丧失数据本身,这种行为更像是一种“未经授权的复制”,而非“窃取”[7]。司法实践其一为肯定说(认定为盗窃罪),将数据视为一种“财产性利益”或“无体物”,认为其具有财产属性,非法获取即构成对财产所有权的侵害。例如,窃取具有重大经济价值的商业秘密数据,可能被认定为盗窃罪。另一为否定说(不构成盗窃罪),严格遵循“财物”的有体性,认为盗窃数据不符合“转移占有”的构成要件。对此,刑法设立了专门的非法获取计算机信息系统数据罪来规制此类行为。这样的两种观点导致了这样的结果:同一种行为(窃取数据)可能在不同案件中被定性为不同罪名,造成法律适用的不统一。
数据能否成为“财产犯罪”的对象?虚拟财产问题:游戏装备、数字货币等虚拟财产是数据的典型代表。它们是否属于刑法上的“财物”?支持观点:虚拟财产凝聚了用户的劳动和时间投入,可以在市场上交易,具有明确的经济价值,应被视为财物。反对观点:虚拟财产本质上是数据,其产生和存在依赖于服务商的服务器,不具有物理上的独立性和永续性。司法进展:近年来,中国司法实践越来越倾向于将虚拟财产认定为财物。例如,2020年最高人民法院、国家发改委的指导意见明确提出“加强对数字货币、网络虚拟财产、数据等新型权益的保护”。
5. 数据财产权刑法保护体系的完善路径
5.1. 立法先行:明确数据财产权的法律地位,实现“先确权,后保护”
这是解决所有问题的制度基石,当前司法实践摇摆不定的根本原因在于数据权属不清,故推动数据产权立法,实现权利法定。在民事法律层面,明确企业对于其投入实质性劳动和资本形成的、具有商业价值的“数据集合”享有何种具体的财产性权利(如数据使用权、收益权、有限制的处分权等)。一旦数据财产权在民法上得以确立,刑法作为“二次保障法”,其保护对象便得以明晰。刑法保护的不再是模糊的“利益”,而是清晰的“权利”,这为适用财产犯罪条款提供了前置法依据。确立“数据财物”的法律概念。通过在《刑法》中增设条款或由最高人民法院出台司法解释,将符合特定条件的“数据财产”明确纳入“财物”的范畴。可以设定一些判断标准,如:独立性,数据集合具有独立于其载体的经济价值;排他性,权利人能够通过技术措施(如加密、访问控制)和法律手段进行有效控制与支配;价值性,其经济价值能够被客观评估[8]。
5.2. 司法能动:通过刑法解释学,扩张“财物”概念的边界
在立法明确之前,司法实践不应被动等待,而应充分发挥刑法解释的功能,以应对现实之急。采纳“财产性利益说”。将刑法中的“财物”解释为包括具有管理可能性、转移可能性和价值性的一切财产性利益。在窃取企业核心数据(如客户名单、运营数据)的案件中,即使数据本身未被“转移”,但行为人非法获取了数据所承载的经济价值与商业机会,这种财产性利益的丧失与传统财物被窃的社会危害性相当,应可认定为盗窃罪。对“占有”概念进行功能性重构,传统“占有”指物理控制,在网络空间,“占有”应理解为排他性的控制与访问权限。非法获取数据的行为,实质上是“打破了权利人的排他性控制(如破解密码),并建立了自己的非法控制(获取数据访问权)”,这完全符合“打破占有、建立新占有”的盗窃罪本质。
5.3. 罪名协同:构建“一般性罪名”与“专门性罪名”相辅相成的规制体系
针对数据行为的不同侧面,精准运用和整合现有罪名,并考虑增设新罪名。发挥财产犯罪的“兜底”作用,在盗窃罪、诈骗罪、侵占罪等中,对于侵害数据财产价值本身,造成权利人重大经济损失的行为,在权属清晰、价值可估的前提下,优先适用财产犯罪进行评价,以实现罪刑均衡。强化专门性罪名的“精准”打击。对于非法获取计算机信息系统数据罪,适用于以技术手段(如黑客入侵)获取数据的行为,侧重于保护数据安全与系统秩序。它是当前保护数据的最直接武器。对于侵犯商业秘密罪,当数据符合“不为公众所知悉、具有商业价值、采取相应保密措施”的要件时,适用本罪,能提供更强保护(最高刑罚更重)。探索增设“非法使用数据罪”。现行刑法主要打击“获取”行为,但对合法获取后(如通过合作、离职员工带走)的“非法使用、加工、披露”行为规制不足。将“违反约定或法律规定,非法使用、处理他人享有权益的数据,情节严重的行为”入罪,以填补这一关键漏洞,形成对数据财产权“获取–使用–收益”全链条的保护。
5.4. 配套支撑:构建价值评估与法益衡量的多维标准
解决司法实践中的操作难题,建立多元化的数据价值评估体系承认数据价值的多元性,根据不同案件类型采取不同的评估方法:成本法,数据的开发、采集、加工成本;收益法,数据带来的预期收益或非法使用者的获利;市场法,同类数据的市场交易价格;损失法,因数据泄露或被窃给企业造成的直接与间接经济损失(如商誉损失、补救成本)。坚持法益保护的多元化与位阶判断。在裁判时,应综合考量数据犯罪所侵害的复合法益,个人法益:企业的财产权、竞争优势;超个人法益:网络空间公共秩序、信息安全、国家数据安全。根据行为的主要危害侧面,选择最能体现其社会危害性的罪名进行适用。例如,窃取涉及国家安全的数据,可能更应适用危害国家安全的罪名而非单纯的财产犯罪。
6. 结论
本文以“企业数据信息化”为时代背景,系统性地探讨了企业数据财产权在刑法保护领域所面临的深刻困境及其体系化出路。通过逐层剖析,得出以下核心结论:首先,本文清晰地揭示了问题的根源:工业时代刑法框架与信息时代财富形态的结构性冲突。企业通过投入巨大成本形成的“数据集合”,已演变为一种与物权、知识产权并列的新型财产权客体,其无形性、可复制性、非消耗性等本质属性,与传统刑法“财物”概念所固有的有体性、排他性和“转移即失权”等特征产生了不可调和的矛盾。这一根本性冲突是导致所有后续司法困境的总根源。其次,本文系统地梳理了现行刑法保护的困境与其深层成因。困境表现为“三难”(1) 定性难:窃取数据行为在“盗窃罪”与“非法获取计算机信息系统数据罪”之间摇摆,司法定性不统一。(2) 确权难:虚拟财产等数据形态的法律地位模糊,导致其能否作为财产犯罪对象存在争议。(3) 量化难:数据价值的情境依赖性使得犯罪数额认定缺乏稳定、公允的标准。这些表象困境的背后,是司法实践从“知识产权法”路径向“反不正当竞争法”路径的无奈转换,暴露出数据权属不清这一核心缺陷。反法路径虽能提供事后的、个案式的救济,但无法进行积极的权利确认和有效的预防性保护,治标不治本[9]。
Figure 1. The path to improve the criminal law protection system of data property rights
图1. 数据财产权刑法保护体系完善路径
最终,本文构建了一个多层次、立体化的数据财产权刑法保护体系完善路径,见图1。该体系强调必须多管齐下,协同推进:立法层面,坚持“确权先行”。根本出路在于推动民事数据产权立法,明确企业数据财产权的法律地位,为刑法保护提供坚实的前置法依据。同时,可通过刑法修正或司法解释,将符合特定条件的“数据财产”纳入“财物”范畴。司法层面,推动“解释扩容”。在立法跟进之前,司法应发挥能动性,采纳“财产性利益说”对“财物”进行扩张解释,并对“占有”概念进行功能性重构,将排他性控制与访问权限视为网络空间中的“占有”,从而使数据能够纳入传统财产犯罪的规制范围。罪名层面,实现“协同规制”。构建一个由财产犯罪(兜底保护财产价值)、专门罪名(如非法获取计算机信息系统数据罪、侵犯商业秘密罪,精准打击特定行为)和前瞻性罪名(如探索增设“非法使用数据罪”,填补行为链条漏洞)组成的、相辅相成的罪名体系。配套层面,建立“多元标准”。建立成本法、收益法、市场法、损失法并行的数据价值评估体系,并在裁判中坚持法益保护的多元化思维,综合考量数据犯罪所侵害的财产权、市场竞争秩序、信息安全等复合法益,实现罪刑均衡。
综上所述,对企业数据财产权的刑法保护,已不能局限于对个别条款的修修补补,而必须进行一场从理念到规则的系统性升级。其核心是从被动、零散的“权益保护”转向主动、体系化的“权利保护”。未来,随着数据要素市场的成熟与数据产权制度的明晰,刑法必将在护航数字经济发展的征程中,扮演更加精准而有力的角色。