安徽大学学报(熊波｜论数据法益独立性刑法模式)

既有的数据法益内容是一种典型的传统法益依附性模式，数据法益要么完全依附于个人信息法益、财产法益、社会秩序法益，要么折中依附于多元传统法益内容组合和数据性质法益。依附性模式存在数据犯罪和信息犯罪认定的界限模糊、无法准确区分数据犯罪的多个关联罪名等问题。数据法益应当是一种独立新型法益，其指向数据状态安全内容，而并非传统法益的信息本体内容安全。在立法层面上，数据法益的独立性理念可以通过改变法益类型的交叉性保护、融合一般数据系统保护，以及独立评价非法数据制造或传播行为等规则予以体现。在司法层面上，独立性理念可以通过调整法益保护的司法评价要素、精确区分不同法益类型的界限予以体现。数据法益的独立新型概念、体系要素和运用规则，组成数据法益独立性刑法模式。

数据法益决定了数据刑法的根本任务和基本目标，其能够指导数据犯罪的立法规制和司法评价的顺利展开。当前，我国学界和实务界形成的数据法益的完全依附性和折中依附性模式，始终无法摆脱个人信息、数据财产、知识产权和国家安全等传统法益内容的根本影响。这严重混淆数据犯罪和信息犯罪等关联罪名之间的界限，进而衍生数据犯罪规制的扩张化风险。2021年出台的《数据安全法》对“数据安全”的概念界定，以及《数据安全法》和《个人信息保护法》并列立法模式，为刑法确定独立新型的数据法益概念和规则奠定前置法的依据指引。为此，本文将在反思既有数据法益依附性刑法模式的基础上，构建数据法益独立性本体概念和体系要素，并将独立新型的数据法益理念运用于立法和司法两个层面当中，最终塑造数据法益独立性刑法模式。

但是，个人信息法益依附模式弱化了数据法益的独立性价值。第一，数据法益表现为个人信息法益的保护，并不代表数据法益在形式和内容上均等同于信息法益。即使数据法益包含有个人信息安全的一方面内容，其亦是可以表现为信息法益的保护。第二，刑法立法并非完全通过数据系统保护信息安全。诸如《刑法》第285条第1款的非法侵入计算机信息系统罪、第2款的非法控制计算机信息系统罪，以及第3款的提供侵入、非法控制计算机信息系统、工具罪，第286条破坏计算机信息系统罪等罪名，虽然此类罪名均指向数据系统或者系统数据，但是该类罪名在立法罪状中并不要求附加信息内容安全的侵害性。换言之，刑法并非想混淆数据法益和信息法益。第三，《刑法》第253条之一的侵犯公民个人信息罪，完全展现出个人信息内容安全的法益保护。如果数据犯罪也侵害个人信息法益，那么两者的认定界限便模糊不清了。

但是，财产法益依附模式忽视了数据的社会价值和数据犯罪的法益体系定位。第一，财产法益依附模式是一种个人数据赋权模式，数据财产权表明个人对数据资源具有占有、使用、收益和处分的权能。换言之，认可财产法益依附模式，即强化个人对数据资源的独占和控制功能，这显然不利于数据资源的社会共享功能的发挥，违背了《数据安全法》的保障数据安全和促进数据开发利用的双重立法宗旨。第二，如果认可数据资源属于数字财产资源，那么为何非法获取计算机信息系统数据罪等数据犯罪的相关罪名，会被置于妨害社会管理秩序罪当中，而不属于侵犯财产罪或者破坏社会主义市场经济秩序罪?财产法益依附模式无法予以明确解释。

综上所述，不难发现数据法益完全依附性模式的“完全性”体现在两个方面：第一，数据法益外在形式的依附性。在该模式中，数据法益根本就不是一项独立的法益类型，虽然数据法益表面上具有独立的称谓，但是其在形式上就是一种个人信息法益、财产法益、社会秩序法益等传统法益的“代名词”。第二，数据法益实质内容的依附性。数据法益形式层面的依附性决定了实质内容的依附性，数据安全就是个人信息、财产、社会秩序等内容安全。

不同于数据法益的完全依附性模式，折中依附性模式是指，虽然数据法益在刑法体系中作为一项独立新型法益类型存在，但是其本质内容仍是多元传统法益的结合，或者掺杂着传统法益内容的一种法益。

但是，多元依附模式反而弱化数据法益的新型独立性价值。第一，多元法益类型仍是一种传统法益的组合。无论是数据法益包含的国家安全、经济秩序、社会秩序，还是人格权利、财产权利的多元内容，其均是一种传统法益内容。既然如此，其仍存在上述完全依附性模式的种种问题。在此，笔者不再赘述。第二，仅凭传统法益的多元组合，数据法益无法发挥类型和内容的新型价值。既然数据法益可以在不同场合解读为刑法体系中的不同法益类型，那么数据法益就无须独立为一项新型法益。数据法益完全可以在不同数据犯罪关联罪名适用时，被解读为不同传统法益类型。反而假借“数据法益”的徒有虚名，不利于司法裁判者进一步的精准定罪量刑。

由此可见，《数据安全法》的数据法益概念蕴含的过程性安全和数据本身安全，在外在形式要件上，并非如同数据法益完全依附性模式的传统法益类型。数据法益概念在外在形式上具有独立性。

第二，数据法益独立性概念内容并非属于“数据三性安全”。从数据保密性、完整性和可用性的具体内容来看，其实“数据三性安全”的部分要素，可以涵盖数据编成和还原过程的有效性和合法性、必要技术措施可用性，以及源数据本身系统可识别性等安全内容。例如数据可用性就完全可以解读为数据编成和还原过程的可用性，必要数据技术措施的可用性以及系统源数据可识别性。但是，由于“数据三性安全”重点指向数据还原的后过程的信息内容安全评价，却忽视对前过程的源数据本身安全的评价。这才是“数据三性安全”无法彻底摆脱传统法益的个人信息内容、财产内容、国家秘密内容等要素安全的问题根源所在。不同于“数据三性安全”，《数据安全法》界定的数据法益并不重点评价数据转化后的信息内容安全。因为，在其看来，源数据编成和还原后的具体信息内容安全的法益，完全可以依照《个人信息保护法》《国家安全法》《著作权法》等法律法规予以保护；同样的，刑法也可以利用侵犯公民个人信息罪、侵犯财产罪、侵犯知识产权罪、非法获取国家秘密罪等罪名予以保护。

综上所述，无论是在外在形式还是实质内容的层面上，数据法益均是一种独立性概念和类型。独立性法益概念强调数据状态安全，而代表传统法益的数据犯罪等相关罪名保护的数据法益是一种信息内容安全，两者存在本质区别。依据数据状态的不同功能，数据状态安全存在数据有效性运行状态、合法性运作状态和数据防御状态的安全利益类型，这三种数据法益类型及其相对应的罪名组合成独立体系。

在数据技术概念和数据法益概念中，数据法益不仅具有独立性体系和要素，并且在数据运行的现实生活中，其还具有运作关系、权属性质和价值功能等现实基础。

在数据法益的独立性概念中，数据法益强调数据状态安全。但是，在传统法益的多元要素和内容中，无论是个人信息权、数据财产权、数据知识产权，还是国家秘密关联的国家和国防安全，其强调的均是信息内容安全。在计算机学理论中，数据状态安全是源数据或者离散数据信息化或者信息转化的过程性安全。换言之，数据状态安全是具体信息内容的前过程性安全。但是，信息转化后的过程保护属于信息内容的保护。因此，数据法益独立性模式在于强调数据外在状态的安全，传统数据法益的依附模式在于强调信息本体内容的安全。目前，多数学者认为数据外在状态安全是数据载体安全，信息本体内容安全是数据内容安全。但实质上，数据和信息本身就分属两个不同技术概念。按照两者的关系区分，只能说立足于数据运作的整体发展过程，广义数据概念涵盖了源数据的载体状态安全和数据转化后的本体内容安全。

独立性数据法益是一种数据状态安全表明，刑法保护独立性数据法益旨在对数据转化外在条件和网络空间环境的保护，其本身并不属于权利或者权益的法益属性保护。但是，信息法益体现出个人信息权、国家安全、财产权利、知识产权等内容，具有国家和个体的直接性权利或者权益属性。虽然，在数据法益和信息法益的关系区分依据中，数据外在状态安全可以确保信息本体内容安全的实现，《数据安全法》对数据的概念界定也强化数据对信息的记录和呈现作用关系，这足以表明独立性数据法益具有权利或者权益保护的间接保护属性。但是，从法律界定的概念关系来看，数据记录始终无法成为信息内容。这也决定了独立性数据法益的相关罪名，始终无法在危害国家安全罪、侵犯公民人身权利罪和侵犯财产罪等保护实质权利类型的罪名中呈现。

数据法益的独立性刑法模式不仅在于其独立性概念和体系要素，更在于其立法和司法两个层面的独立性运行规则。

第二，删除破坏计算机信息系统罪的数据内容处理的立法罪状。根据《数据安全法》第3条和《个人信息保护法》第4条的相关规定，删除、修改、增加等处理行为，既可以指向以数据状态安全为内容的数据法益，又可以指向以信息本体内容安全为主体的信息法益。但是，正如前述，破坏计算机信息系统罪的立法设置在于保护数据有效性运行状态安全，这才能突显该罪名的数据法益独立性立法特点。而在《刑法》第286条第1款已经设置有关联数据法益独立性的“系统不能正常运行”的立法规则后，破坏计算机信息系统罪便无需再另行保护与数据系统和程序的运行和防御功能无关的信息本体内容，其完全可以交于信息法益予以保护。因此，对于《刑法》第286条第2款破坏计算机信息系统罪的数据内容处理的立法罪状，刑法应当及时删除。

第三，融合侵入一般数据系统“情节严重”的立法罪状，可以保护一般数据系统中一般数据软件和程序运行功能干扰和破坏等行为所侵害的数据法益。如此，其还可以为非法侵入计算机信息系统罪、非法控制计算机信息系统罪和破坏计算机信息系统罪的规制程度区分提供参考标准。

需要注意的是，制造和传播两类行为需要立法单独评价。虽然数据代码具有技术中立性，数据本身并不具有任何“非法性”，但是，在带有攻击性、破坏性和干扰性目的时，数据制造行为便具有非法性。因为，一旦攻击性、破坏性和干扰性非法数据制造完成之后，虚拟空间的数据传播和散布将导致不可弥补的损失。对此，在行为人作为非法制造攻击性、破坏性和干扰性数据的惯犯时，或者在行为人作为网络犯罪团伙的技术人员时，非法制造带有攻击性、破坏性和干扰性数据的情形，就需要立法予以单独评价。

第三，增加拒不履行信息网络安全管理义务罪的漏洞个数和持续时长。拒不履行信息网络安全管理义务罪作为数据防御状态安全保护的典型数据犯罪罪名，相关司法解释忽略了反映数据防御状态安全的侵害程度的独立司法评价要素，诸如数据系统平台的漏洞个数和平台信息泄露的持续时长等入罪标准。对此，相关司法解释可以通过对拒不履行信息网络安全管理义务罪“其他严重情节”的补充认定，将此纳入其中。

首先，电脑黑屏、频繁被强制关机、无法播放视频和编辑文字、数据无法传输和接收等情形，属于数据系统功能完全无法运行。其次，用户被强制牵引访问其他网站，或者自动多次弹窗、DNS流量劫持、强制性共享屏幕和操作的情形，属于数据系统功能无法按照自己目标设定运行。最后，数据系统以外的主要应用软件、程序和网站无法正常显示文字或者显示错误等情形，属于数据系统功能以外的一般数据无法正常运行。其中，最后一类情形可以归为侵入型数据犯罪的“情节严重”的评价要素。因此，通过精确区分不同数据法益类型的保护界限，刑法可以确立部分典型数据犯罪罪名对数据法益实现不同程度的保护。

原文链接

论数据法益独立性刑法模式

《安徽大学学报》(哲学社会科学版)简介

《安徽大学学报》（哲学社会科学版）创刊于1960年，是中文核心期刊、CSSCI来源期刊，全国高校社科名刊、华东地区优秀期刊、安徽省高校优秀学报。

往期精彩回顾

冯明昱 张勇｜侵犯商业秘密罪评价标准的修正与规范解读

吴思远｜非正式制度如何转向正式制度——由职权主义认罪协商的变革经验展开

庄绪龙｜司法公信力遭遇的“柔性侵蚀”困境及破解思路——以系统思维为视角

熊波｜数据分类分级的刑法保护

崔志伟｜刑法合政策解释的学理表达与规范化路径

张勇 李芬静｜数据安全刑事治理的冗余机制

上海市法学会官网

http://www.sls.org.cn