人工智能背景下數據安全犯罪的刑法規制思路

王倩云

(中國海洋大學 法學院，山東青島 266100)

長期以來，網絡犯罪主要包含兩大類已經得到國際社會的廣泛認可。第一類是以網絡設施或計算機信息系統為犯罪對象實施的侵犯此類新型法益的犯罪行為，如非法控制計算機信息系統罪，第二類是利用網絡設施或計算機信息系統實施的侵犯傳統法益的犯罪行為，如利用計算機實施的網絡詐騙行為。[注]盧堯：《計算機與網絡犯罪含義的法律視角探析》，載《北京郵電大學學報(社會科學版)》2010年第1期。然而在立法層面，各國仍然不能就網絡犯罪的內涵和外延達成一致意見。特別是進入大數據時代，數據越來越多的被竊取和濫用，已經成為了犯罪行為的目標，數據竊取或濫用行為逐漸演變成為了類型化的侵犯數據安全的行為，即數據安全犯罪。數據安全犯罪依托于網絡設施和計算機信息系統實施的本質使其成為新生代網絡犯罪。具體而言，數據安全犯罪指在人工智能高速發展的技術環境下，“以大數據技術即數字化形式進行技術處理的一切數據為犯罪對象或犯罪工具的行為，包括以賬戶、訪問控制數據為核心，并發散至電子痕跡、生活行為、城市管理等各種非結構化數據和半結構化數據，以及從計算機數據延伸到物聯網、智能手機、可穿戴設備等多終端數據的犯罪”。[注]于志剛、李源粒：《大數據時代數據犯罪的制裁思路》，載《中國社會科學》2014年第 10期。數據安全犯罪的行為方式一方面包括以數據為對象的行為，如對網絡設施或計算機信息系統上存儲、處理和傳輸的數據進行增刪和干擾，一方面包括利用此間設施上的數據進行監聽、過度挖掘、惡意盜用等行為，并通過這些行為危害個人、社會、國家多個層面的安全。

一、數據安全犯罪的類型化

(一)數據安全犯罪類型化的推力：人工智能帶來的技術革新以及權利人對數據和信息管控力的下降

人工智能被普遍認為是基于大數據和云計算技術實現的，而大數據和云計算實際上均削弱了權利人對數據和信息的管控能力。

首先，大數據技術是人工智能的前提。隨著算法和計算機運算能力日趨成熟，人工智能的發展主要依賴于數據增量。[注]參見李學龍、龔海剛：《大數據系統綜述》，載《中國科學：信息科學》2015年第1期。具體而言，人工智能的發展可以分為三個階段：關鍵詞階段、算法階段和大數據階段。[注]同①。以國際象棋電腦“深藍”和能夠自主深度學習的人工智能圍棋程序“阿爾法狗”的研發為例：深藍是第一和第二階段的集大成系統，其系統的運算能力和算法能夠打敗所有人類國際象棋好手。在關鍵詞階段，技術人員主要是向深藍系統輸入以數據作為形式的國際象棋規則和優秀棋手的對局。在這一階段，囿于計算機運算水平，深藍在接受了這些規則和對局后僅能夠按照已有“記憶”(或者說既有數據)一步步下棋。在第二階段算法階段，由于計算機運算能力和算法的更新，深藍能夠在下棋時計算及預估隨后的12步棋，這一能力高于人類象棋大師可預估的10步。在此階段，深藍依舊只是一個按照已有棋路進行搜索和估算的系統，并非完全意義上的人工智能。阿爾法狗最后一個階段的主要代表，其依據大數據技術進行“深度學習”的能力即人工智能。具體而言，阿爾法狗的運算程序不再是線性的，而是大量矩陣數字形成的神經網絡。如同生物的大腦神經一樣，當“神經網絡”接收到信號時，整個神經網絡都會被激活，對于阿爾法狗來說，就是它會同時運算出多種可行的棋路，然后再根據預先輸入的規則和對手下棋偏好選擇合適的棋路。可以說，人工智能系統并非僅按照已有棋路進行簡單的搜索和估算，而是可以通過學習對手的棋路分析對手的下棋偏好，選擇能夠最大可能獲勝的棋路。這個系統將大量隨機元素納入運算范圍，根據對手的每一步棋調整自己對對手的下棋偏好的評估以及自己與之對弈時的棋路，以此做到“深度學習”。可見，這種“深度學習”是以大量數據，也就是對手對弈棋局為基礎的。簡而言之，所謂人工智能，即是先通過輸入數據得出一定規律，并通過不斷搜索、聯想、挖掘、并合數據而對規律進行修正的系統，也就是人腦的學習過程，即對數據和信息進行再創造的過程，是以大數據為基礎和前提得以實現的。然而，技術革新隨之而來的問題在于，數據和信息的權利人和管理者對其的掌控變得愈加薄弱，且由于人工智能系統對數據的搜索、聯想、挖掘和并合在很多情況下是自主進行，存儲于計算機系統和網絡終端上的數據將更有可能被無權竊取、盜用，乃至修改、監聽。可以說，人工智能技術的發展將對數據的需求急劇提升，數據將愈加有價值，同時愈加成為犯罪分子的目標。

其次，云計算技術的出現使得處理海量數據成為可能。云計算是基于互聯網的計算資源共享池，即對于網絡、服務器、應用軟件、存儲和處理等資源進行多方共享的技術。[注]參見邵澤云、劉正岐：《云計算與虛擬化技術研究》，載《數據技術與應用》2014年第1期。基于這一技術，數十萬臺乃至數百萬臺計算機系統和服務器得以共享運算能力，實現對海量數據的快速處理。簡而言之，云計算賦予了用戶聞所未聞的強大數據處理能力，數十萬臺乃至數百萬臺計算機系統能夠同時服務于同一個或幾個數據處理目的。在這樣的互聯網上，每一臺計算機系統都是互聯網上的一環，都是傳統意義上互聯網的“中心”。當存在成萬上億個“中心”時，所謂的“中心”也將不復存在。這一發展的現實效果是每一個數據都具有了價值。[注]參見羅輝林、唐琳琳：《共享思維-互聯網下的去中心化商業革命》，電子工業出版社2017年版，第267-276頁。從傳統媒體時代開始，信息的流傳形式是從傳播節點到傳播節點，這些節點就是“中心”，電視、廣播、報紙、雜志等媒體都是信息的傳播節點。[注]參見彭蘭：《從“大眾門戶”到“個人門戶”——網絡傳播模式的關鍵變革》，載《國際新聞界》2011年第10期。傳統的信息傳播節點很明確，控制也比較方便。監管部門一聲令下，不符合國家政策和法律、法規的信息就消失了。到了大數據時代，信息更多的依靠數據進行傳播，而數據依靠計算機信息系統和網絡設施進行傳輸。當同樣的數據可能運算或存儲于數十萬臺計算機系統上時，大到各新聞門戶網站和數據處理中心，小到“自媒體”運營者乃至單個網民，都不再局限于單純的信息接受方，而同時成為了信息提供方，也就是傳統媒體中的信息傳播節點。因此，信息對于媒體中所謂的傳播節點的依賴性越來越弱。[注]參見黃典林：《“互聯網+”如何重構傳播》，載《光明日報》2015年10月16日。加上搜索引擎關鍵字的導入控制和關鍵詞聯想技術，監管部門對數據和信息傳播節點的嚴格把控實質上已不復存在。監管的不到位使數據安全犯罪的類型化成為可能。

(二)數據安全犯罪類型化的動因：數據背后的利益

在人工智能技術下，數據不僅成為了智能機器人的“神經元細胞”，并以肉眼可見的速度成為個人、企業、國家據以預測和決策的基礎和依據。大到國家制定外交策略、中到商場制定營銷戰略、小到公民使用網上銀行進行網購，都需要數據及其承載的信息作支撐，數據的意義和價值不可謂不高。通過對數據的收集、分析和挖掘，個體、企業和國家甚至可以進行預測性分析。個體可以通過分析他人的網絡購買記錄獲取他人的購買習慣和偏好，更以此預測他人的經濟狀況；企業可以通過分析其用戶的數據預測其需求、偏好和使用習慣，并據此對決策作出調整；國家更可以通過對數據的整合和分析勘察輿情，并獲取關鍵情報，摸清國家經濟和社會動向。例如，洛杉磯警方運用大數據預測犯罪的發生并采取預防措施，[注]《警務大數據案例：大數據預測分析與犯罪預防》，載IT經理網2014-5-7，https://www.ctocio.com/ccnews/15551.html.多個城市規劃設計院嘗試利用手機定位數據和交通數據進行城市規劃，[注]《大數據如何改變城市規劃》，載網絡大數據2016-6-16，http://www.raincent.com/content-10-6665-1.html.淘寶通過用戶瀏覽和購買記錄分析用戶的身份和性格特征。[注]參見王永周、鄧燕：《于大數據預測的消費者購買決策行為分析》，載《商業時代》2016年第23期。在此背景下，對數據進行深入挖掘和利用的大數據技術，更是被稱為未來的“新石油”。麥肯錫咨詢公司曾于2013年預測，在全球范圍內，大數據每年將創造3萬億至5萬億美元的價值，[注]參見Stefan Biesdorf, David Court & Paul Willmott：《Big Data: What’s Your Plan》，McKinsey & Company2013年報告。Gartner公司更預測截至2020年，因特網數據的體量將在現有基礎上翻三十倍，而對因特網數據的銷售和使用將產生1.9萬億美元的利潤。[注]《Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020》，載Gartner 2013-12-12，http://www.gartner.com/newsroom/id/2636073.可見，通過對數據的收集和挖掘，大數據可以幫助人們獲取未知信息，并據此帶來巨大的經濟效益。

不僅如此，看似不重要且離散的信息可能在搜索、聯想、挖掘、并合后產生重要信息，他甚至可能與特定的國家政府部門或軍事部門的信息有關。而涉及公民個人隱私方面的數據和信息也隨時面臨巨大風險，如某網商通過分析其用戶數據和購買經歷做出的各省/地區網民購物偏好和付款習慣推廣視頻，以及屢次發生的QQ用戶名及密碼大規模泄露事件。正如麥肯錫咨詢公司在其2016年的報告中指出的，大數據正成為創新和競爭的新戰線，同時，也正成為經濟的巨大推動力量。

二、數據安全犯罪的刑法回應

數據安全犯罪已成規模化已基本成為一個共識，基于此，于2009年頒布的《刑法修正案(七)》中的第9條將非法獲取計算機信息系統數據的行為規定為了犯罪。隨后，2011年兩高《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《解釋》)通過司法解釋的方式對數據及數據安全予以了解釋。總體來說，數據具有雙重屬性：一方面數據作為信息的載體出現，其本質是信息傳輸工具，故而具有信息的非物質性特征；一方面數據作為計算機系統的處理對象，是計算機系統的內容和必要部分。與數據的雙重特征對應，我國《刑法》和司法解釋中對于數據安全犯罪的處置規則也可概括為兩種路徑：一是基于數據的本質屬性、將其作為信息以非無權形式加以保護；一是依據數據的技術特性、將其作為計算機系統的內在組成部分加以保護。

(一)依據數據的本質特征，將數據作為信息以非物權形式加以保護

非法獲取計算機信息系統數據罪，是指“違反國家規定，侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，情節嚴重”的行為。這一罪名直接規制以數據為犯罪對象的行為，在范圍上涵蓋將數據作為犯罪對象的行為。在計算機技術領域，數據是指“輸入到計算機信息系統并能被計算機信息系統處理的數字、文字、符號、聲音和圖像等”。[注]黃良永、徐雨明：《大學計算機基礎教程》，電子科技大學出版社2008年版，第5頁。而刑法中所稱的計算機信息系統中存儲、處理或傳輸的數據，是指“在計算機信息系統中實際處理的一切文字、符號、聲音、圖像等內容有意義的組合”。[注]高銘暄、馬克昌：《刑法學》，北京大學出版社2011年版，第536頁。因此，與其說這一罪名保護的是計算機系統上處理、存儲、傳輸的數據，不如說保護的是數據所承載的信息，也就是一系列內容有意義的信息。誠然，數據是信息的表現形式和載體，信息是數據的內涵。數據記載著文字、符號、聲音等眾多信息，其本身并沒有實質意義，“只有被轉換為信息后才具有意義”。[注]參見黃良永、徐雨明：《大學計算機基礎教程》，電子科技大學出版社2008年版，第5頁。特別是隨著大數據技術的出現和應用，對于數據所承載的信息的保護也越來越受到關注。全國人大常委會于2012年出臺的《關于加強網絡信息保護的決定》等法律文件更是昭示著信息安全是數據安全的內涵，保護數據安全的最終目的就是保護信息安全。正如學者指出的，我國目前“正經歷著從‘計算機信息系統’保護到‘公民網絡個人信息’保護再到‘人與數據’保護的轉變，即‘信息系統防護—個人信息安全防護—大數據的整體性防護’”。[注]于志剛：《“大數據”時代計算機數據的財產化與刑法保護》，載《青海社會科學》2013年第3期。由此可見，在我國《刑法》的語境下，保護數據即保護信息。數據是信息的載體，其承載的文字、聲音、圖像等都是信息，而涉及個人隱私、商業秘密以及國家機密的信息應當保密，故而承載這些信息的數據亦應當保密，即免被他人獲取。

司法實踐中的部分做法亦暗合了對數據和信息的此種理解。如兩高發布的《解釋》中將《刑法》第285條第2款非法獲取計算機信息系統罪中的“情節嚴重”規定為包含“(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的”和“(二)獲取第(一)項以外的身份認證信息五百組以上的”兩項情節的行為說明，非法獲取計算機信息系統數據罪的對象并非計算機信息系統上存儲、處理和傳輸的全部數據，而僅指涉及“支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息”。同時，《解釋》第11條將“身份認證信息”解釋為“用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等”。可見，在司法機關的解釋中，被刑法所保護的數據指的是信息，而且僅指能夠用于確認用戶在計算機信息系統上操作權限的信息。其它存儲于計算機信息系統上的數據，以及其上處理的數據，無論是結構化數據、非結構化數據還是半結構化數據，只要不涉及用戶在計算機系統上的操作權限信息，并不能作為《刑法》意義上的“數據”予以保護。

根據保護數據即保護信息這一路徑，即便與計算機系統操作權限信息無關的數據，雖不能作為“數據”通過刑法加以保護，卻可以作為“信息”為刑法所涵蓋。正如《刑法修正案(七)》除增設非法獲取計算機信息系統數據罪外還同時增設了出售、非法提供公民個人信息罪這一事實所暗含的，當被獲取且出售的數據所包含的內容屬于公民的個人信息時，該行為涉嫌出售公民個人信息罪。而當被獲取的信息涉及商業秘密或國家機密時，該行為便以侵犯商業秘密罪或非法獲取國家秘密罪等罪名論處。此亦為我國《刑法》將“數據”依托于信息這一非無權形式進行保護之佐證，而對于獲取數據行為的定性，主要取決于所獲取的數據承載的信息的性質。

(二)依據數據的技術特性，將其作為計算機信息系統的內在組成部分加以保護

數據是計算機的處理對象，且其存在和處理必須依托計算機信息系統進行。故而，我國《刑法》還存在另外一個處置數據安全犯罪的路徑，即將數據視作計算機系統的一個組成部分加以保護，因而，我國刑法語境下的數據是計算機系統處理的一切有意義的電子脈沖信號的集合。這里的“數據”是以其技術特性進行限定的。

在增設非法獲取計算機信息系統數據罪之初，由于技術水平的發展，絕大多數真正有價值的數據僅能存在于計算機系統上，故其范圍與計算機信息系統的邊界基本一致。[注]參見于志剛、李源粒：《大數據時代數據犯罪的制裁思路》，載《中國社會科學》2014年第10期。但是，隨著數據傳輸、存儲、挖掘、并合等技術的發展，無論是數據的存儲設備還是數據的處理和傳輸設備都發生了巨大的變化，一方面使得數據在技術層面的存在設備越來越多樣，一方面使得越來越多的數據具有了價值，這兩方面使得數據逐漸成為犯罪行為侵害的對象。為了應對這一技術發展及其對數據安全造成的隱患，司法機關對“計算機信息系統”這一概念進行了擴大解釋。《解釋》第11條將“計算機信息系統”(以及“計算機系統”)定義為“具備自動數據處理功能的系統，包括計算機、網絡設備、通信設備自動化控制設備等”。這一定義的核心語詞是“自動數據處理”，即，是否具備自動數據處理功能是界定計算機(信息)系統的重點之所在。這一定義雖然沒有明確界定“數據”的概念和外延，但是其通過將數據與計算機(信息)系統在技術層面等同，在實質上確認了便攜式網絡終端，包括計算機、手機、平板電腦、家用智能電器等能夠自動處理數據的機器被非法獲取計算機信息系統數據罪所保護，這從另一個側面反映出凡是這些終端上存儲、處理和傳輸的有意義的內容即可能被認定為“數據”，從而受到刑法保護。也就是說，根據這一司法解釋，最高人民法院和最高檢通過擴張“計算機(信息)系統”的范圍來擴張“數據”的范圍。換句話說，通過保護計算機(信息)系統以保護數據。

比較當前立法和司法中對“數據”以及“計算機信息系統”的定義和解釋可以發現，二者是互為定義的關系。“數據”依托于“計算機信息系統”而得以存儲、傳輸和處理；另一方面，“計算機信息系統”的界定取決于是否具備自動數據處理功能。鑒于此，中國刑法語境下的計算機(信息)系統與數據似乎是同一物事的不同側面：二者為內容和載體的關系，數據是計算機系統的內容，而計算機系統是數據的載體。同時，二者又是不同語詞的不同階段：在技術發展的前期階段，犯罪行為多針對計算機系統，即“容器”。而隨著技術的發展，“內容物”，也就是數據，逐漸具備了價值，并且其價值甚至超過了計算機系統自身，并進而成為了犯罪行為的對象。故而，“數據”是信息技術發展所帶來的產物，其實質上是“計算機(信息)系統”的高階表現形式，二者指代的其實是同一物品，具有相同本質。無疑，這種思路在客觀上造成了數據概念與計算機(信息)系統概念的重疊和混淆。

三、當前刑法回應中“數據”概念與信息和計算機信息系統的重疊和混淆

在現行刑法和司法解釋中，“數據”這一技術性名詞的定位與含義不甚明確，與“信息”和“計算機信息系統”二名詞之關系模糊不清。上文指出，為應對不斷增多的數據安全犯罪以及保護數據安全，立法和司法機關在部分法條中將“數據”與“信息”等同，又在另一部分法條中將“數據”與“計算機(信息)系統”等同。這兩種回應之間的不一致使得數據在刑法語境下的定位愈加模糊。究其原因，兩種路徑都是對數據某種特性的回應，而完整的、體系化的思考“數據”及“數據安全”在刑法中應當具備的地位以及應當處于刑法體系中的哪一環節仍然缺失。這一缺失造成理論和實踐層面的應對失序，以及法條與侵犯數據安全的不同行為之間的應對失序。

(一)數據、信息與計算機(信息)系統

一方面，固然，數據是信息的載體，信息是數據的內涵。然而，二者無論是在范疇上還是在本質上均有區別。《刑法》意義上的數據主要是指非法獲取計算機信息系統數據罪的對象，僅指用于確認用戶在計算機信息系統上操作權限的身份認證信息，其它保護信息免被非法獲取或公布的刑法條文雖然能間接對承載相關信息的數據提供保護，其范疇仍然有限。在大數據時代下，數據在范圍、種類和數量上都發生了根本性的變革，不僅數據的存儲和處理設備發生了根本性的變革，數據所承載的信息的內容也發生了根本變化。數據已經在范疇上與信息，特別是當前《刑法》所保護的信息，區別了開來。例如，隨著數據存儲和處理技術的發展，云存儲和云計算已經深入日常生產生活。對企業來說，上級用企業統一分配的郵箱傳達工作內容和事務，日常處理的文件、報表等也需要存儲于企業使用的存儲器和網絡終端以備查看。對個人來說，為免于攜帶存儲設備以及防止存儲于私人電腦或存儲設備上的文件丟失，很多網民已習慣于將重要文件存儲于網絡云端硬盤。數據顯示，僅2015年12月一個月中網絡云盤的活躍用戶數就超過5億，[注]《2015年移動云盤市場：百度云月活躍用戶數居首》，中國軟件資訊網2016-3-9，http://www.cnsoftnews.com/news/201603/43225.html.而能夠多網絡終端同步保存數據的Evernote系列軟件用戶量早已過1億。[注]《印象筆記用戶數量達 1 億里程碑》，36氪2014-5-14，http://36kr.com/p/211942.html.而這些數據并非刑法意義上被保護的數據，其不僅有以文檔、音頻等形式保存下來的半結構化數據，更有相對混亂無序、難以用數據庫存儲的非結構化數據。[注]參見謝華成、陳向東：《面向云存儲的非結構化數據存取》，載《計算機應用》2012年第7期。這些數據可能并不關涉用戶的個人身份認證信息，可能僅僅指向某類信息的描述性文檔，甚至可能是運行這些文檔所需要的宏文件。離散的此類數據并不能恢復成有意義的信息，因而價值較小。然而，這些看似簡單且雜亂的數據經過成規模的收集和處理后，可能展示出重要的信息。例如，近些年流行的運動手環和運動App,其上記錄的運動信息和運動路徑等數據可用于分析使用人的日常活動范圍和路徑，為后續實施侵犯人身或財產安全的犯罪行為提供重要信息。保存于手機、平板電腦等便攜網絡終端設備中的數據亦能夠用于獲取工作和家庭地址、通訊信息、網上購物消費情況、出行信息等。而這些數據都未被我國《刑法》所涵蓋。

另一方面，與數據與信息的關系相類似，計算機系統是數據的載體，而數據是計算機系統的內容，但是，二者之間也存在本質區別。首先，計算機(信息)系統是指“具備自動數據處理功能的系統”。由這一定義可以得出，計算機(信息)系統的本質在于其數據處理功能，即動態的對數據的運算、傳輸、存儲等處理過程，而數據則是靜態的被計算機處理的對象。結合我國《刑法》中關于非法控制計算機信息系統罪與關于非法破壞計算機信息系統罪的規定，《刑法》保護的并非計算機(信息)系統這個物，或者說，并非是靜態的作為數據載體的計算機(信息)系統，而在于其動態的處理數據的能力：若其處理數據的能力被“盜用”或者非法破壞，則成立上述兩個罪名，與其上存儲的數據是否被破壞沒有關系。換句話說，數據之于計算機(信息)系統如同珠和櫝，無論是珠還是櫝均有其價值，因而都可能單獨成為犯罪分子的對象。例如，行為人可以在不影響計算機(信息)系統運行的情況下偷取其上存儲、處理的數據，亦可以通過邏輯病毒等形式破壞計算機(信息)系統的運行，而即便計算機因為其系統功能被破壞而不能夠繼續運行，保存在硬盤上的數據是可以不受影響的，只要連接到另一臺計算機即可讀取。只不過不同之處在于，無論是偷珠還是偷櫝都成立盜竊罪，而偷取數據或破壞計算機(信息)系統成立不同罪名，前者涉嫌非法獲取計算機信息系統數據罪，后者則涉嫌非法控制或者破壞計算機信息系統罪。

再者，行為人對于數據的權限可能區別于對于計算機(信息)系統的權限。例如，公司雇員可以使用企業配發的計算機(信息)系統，但是其只對自己賬號上存儲的數據享有權限，對于計算機(信息)系統上存儲的其它賬戶數據并不享有權限。在這種情況下，若公司雇員甲通過非法手段獲取了公司雇員乙存儲在該公司系統上的數據，亦具有非法獲取計算機信息系統數據的性質。這就相當于公司的保潔人員可以進入員工的辦公室打掃衛生，但是將員工放在辦公室的物品拿走的行為則涉嫌盜竊。與這一情形對應，行為人可能對某一些存儲于云端的數據有權限，但不對某臺計算機(信息)系統有權限。如，行為人通過借用的計算機在其云盤上下載了一些數據，而這些數據包含計算機監聽軟件。在行為人歸還計算機后，其通過軟件秘密獲取了存儲于該計算機(信息)系統上的全部數據。

由上述分析可以看出，在大數據時代，信息很大程度上依賴數據得以傳播，且數據依托于計算機(信息)系統得以傳輸、運算和存儲，因而數據的概念無法完全脫離“信息”或“計算機(信息)系統”，三者密切相關，但又相互獨立。因此，數據安全、信息安全與計算機(信息)系統安全三者也密切相關，卻又相互獨立。

(二)數據安全、信息安全與計算機(信息)系統安全

前文指出，當前《刑法》對數據的保護主要有兩種路徑，一為將數據安全類比為信息安全的非物權保護模式，一為將數據安全視作計算機(信息)系統安全的物權保護模式。二種路徑均看似合理實則存在問題。

首先，將數據安全類比為信息安全這一路徑的根源在于，數據同信息一樣，權限人對其的權限并不排他，即同一段數據或信息可以同時為多人所享有和使用，且這種享有和使用并不以削減他人對該段數據或信息的享有或使用為前提。具言之，無論是數據還是信息，都不是有形的、可以看到或觸摸到的存在，行為人可以將數據或信息無限制的復制并傳播而不損害本源數據或信息存在的狀態。一段數據或信息被一人所享有與被100人所享有，該數據仍然是該數據，該信息也仍然是該信息，除非在復制傳播的過程中出現錯誤，否則第100條數據或信息的價值與本源數據或信息的價值不存在區別。本源數據或信息的權利人也不能因其持有本源數據或信息而要求其它99位刪除其享有的內容。這就是數據權限和信息權限的非排他性。如果不能排除“占有”，那么數據權限和信息權限對應的權利是什么呢？其體現為權利主體知悉數據或信息內容的權利，這實際上是一種“能夠知悉的狀態”，而無權利的人則實際上處于權利人對數據或信息設置的“保密狀態”中。我國《刑法》中關于獲取數據或信息規定中的“非法”，實際上就是指沒有知悉權利的人獲得了本應對其保密的數據或者信息，即破壞了數據或信息權利人對其設置的保密狀態。[注]參見楊秀：《大數據時代定向廣告中的個人信息保護——〈中國互聯網定向廣告用戶信息保護行業框架標準分析〉》，載《國際新聞界》2015年第5期。我國《刑法》對數據和信息予以的保護也正是權利人“能夠知悉的狀態”和因而設置的“保密狀態”。

然而，數據安全與信息安全的不同之處在于，為了保護權利人對數據和信息的“能夠知悉的狀態”，信息作為徹底的無形物只須要處于“保密狀態”，即不被他人知悉。但是對于雖然看不見卻可通過技術手段進行處理的數據來說，行為人除了可以通過拷貝、散播等行為破壞其保密狀態外，還可以通過刪除、壓縮等行為破壞數據能夠被知悉的狀態。換言之，信息類犯罪的行為方式是超出行為人權限的獲取、披露、使用或允許他人使用信息，侵犯的是信息的保密性，而數據，雖然其本質是信息，或者說是有意義的內容，其對應的權益卻并非僅為保密性。除不被非權限人獲取或使用外，為了保護數據權限人對數據的權利，數據還應當是完整的和能夠被權限人獲取的，也即應當保護數據免于被無權獲取、刪改、壓縮或者使用。

其次，根據計算機(信息)系統的定義可知，計算機(信息)系統安全實際上是指計算機信息系統的自動處理數據的功能能夠安全運行。又根據非法獲取計算機信息系統數據罪的法條，處理數據的功能包括存儲、處理和傳輸數據三項功能。因此，計算機信息系統安全指計算機信息系統能夠正常的、符合計算機信息系統操作人預期的存儲、處理和傳輸數據。即，計算機信息系統安全實質上包括三方面：存儲數據安全、處理數據安全和傳輸數據安全。換句話說，我國《刑法》中計算機類犯罪條文保護的是計算機信息系統存儲、處理和傳輸數據的能力，保護的是計算機信息系統的運行過程安全，這一過程是動態的。關于數據安全，工信部曾在其于2014年發布的一篇報告中將數據安全區分為三類，分別是存儲數據安全、剩余數據安全和傳輸數據安全。[注]《云計算安全及對策》，工信部網站，http://www.miit.gov.cn/n11293472/n11293832/n15214847/n15218234/15475208.html.其中，存儲數據安全是指在數據的存儲過程中，存儲時間的先后以及存儲位置等的分配遵守規范，未發生存儲過程中數據丟失等后果。剩余數據安全是指當云計算或云存儲服務終止時，仍然存儲于云端服務器上的數據應當被徹底清除，后續租戶不能利用數據恢復軟件非法獲取前用戶的數據并造成數據泄露等問題。數據傳輸安全是指數據在傳輸的過程中不能被非法獲取、增改、刪除或壓縮，造成數據泄露或無法使用。然而，工信部的這一理解并非數據安全的應有之意。這三類安全，特別是存儲數據安全和傳輸數據安全的落腳點是存儲和處理過程的安全，是動態的計算機信息系統存儲和處理數據的功能安全，而非被存儲和處理的數據本身安全。工信部的這一理解實際上暗合了司法機關在實踐中通過擴張解釋計算機信息系統以規制數據安全犯罪的做法，即將計算機信息系統安全等同于數據安全，而并不僅將數據看作是計算機信息系統的存儲和處理對象。然而，這樣做將導致作為動態的計算機信息系統運行過程與被計算機信息系統存儲、處理和傳輸的數據之間的混淆不清，并最終導致破壞計算機信息系統功能的行為與破壞數據保密性、完整性與數據權利人可獲取性的行為的混淆不清。

事實上，由于數據依賴計算機得以運算和存儲，誠然在很多情況下一旦計算機(信息)系統被破壞了其上處理的數據也同樣會被破壞，或者破壞了計算機(信息)系統上處理的數據，其功能也將被破壞。但是隨著數據運算和存儲技術的發展，數據已經在技術層面與計算機(信息)系統區分開來。第一，如前所述，數據的損害與計算機(信息)系統的損害并不一定同時發生，因而，數據安全與計算機(信息)系統安全并不一定同時被侵犯。以《刑法》第285條第1款非法侵入計算機信息系統罪為例，這一罪名規制的實際上是“電腦間諜”行為，即行為人侵入計算機進(信息)系統后不對其做任何修改，僅為獲取其上存儲的保密性數據。根據《計算機解釋》對于計算機信息系統的定義，這種電腦間諜行為很難被認定為侵害了計算機信息系統處理數據的功能。事實上，類似行為以不侵害功能為特點，因為若影響乃至破壞了計算機信息系統的功能，該侵入行為馬上會被發現，系統將馬上啟動相應程序以防止其上處理的數據被非法獲取。因此，在類似情形下，被侵害的并非計算機(信息)系統的安全，而是數據安全，具言之，是數據的保密性。

第二，我國《刑法》對計算機(信息)系統的保護是以物權為基礎的，即權利主體對計算機(信息)系統享有占有、使用、收益、處分等權利，且這些權利是排他的。而如上文所述，數據的權利人對數據不存在“所有”或“占有”的狀態，不存在排他性的使用權，僅存在“能夠知悉”的權利。二者相比，對于數據權利的侵犯必然是永久的、完全的；但對于所有權的侵犯可以是暫時的，也可以是永久的，可以是完全的破壞，也可以是“使用盜竊”。簡言之，對于數據的支配權利而言，僅存在破壞與否的區別，不存在程度的區分。但對計算機(信息)系統安全而言，既存在破壞與否的區別，又存在程度的區分。例如，針對數據所實施的行為，無論是非法獲取、使用還是刪改、壓縮，也無論獲取、刪改、壓縮、使用了全部數據或者部分數據，數據的保密性、完整性、與權利人可獲取性被永久的、完全的破壞了，無法恢復為破壞之前的狀態；而針對計算機(信息)系統安全而言，刑法針對影響計算機運行的行為和徹底破壞計算機運行的行為分別規定了非法控制計算機(信息)系統罪和破壞計算機(信息)系統罪，二個罪名的區別即在于對計算機實施了非法控制還是使計算機不能正常運行，對計算機(信息)系統安全的侵犯可能只是延緩了計算機系統的響應時間而未徹底破壞其響應能力，待侵害停止計算機(信息)系統的運行就可恢復正常，其安全也可恢復為未被侵害的狀態。

縱觀我國當前對于數據安全犯罪的規制路徑，無論是以信息為主的非物權模式還是以計算機(信息)系統為主的物權模式，其根本都在于對現有規制路徑的擴張和突破。若繼續堅持此種擴張思路規制數據安全犯罪，乃至以后出現的所有科技類犯罪，在立法和司法層面都將面臨“網絡犯罪”范圍過廣從而在實質上已不必要存在的境況。例如，當前計算機犯罪的類型大體可分為三類，第一類是以計算機的運算處理能力和技術資源為對象的犯罪，第二類是以計算機上存儲的數據為對象的犯罪，第三類是非法利用計算機和數據實施的侵害其它法益的行為。[注]參見于志剛、李源粒：《大數據時代數據犯罪的類型化與制裁思路》，載《政治與法律》 2016年第 9期。考慮到當前幾乎所有的計算機犯罪都需要通過網絡實施，計算機犯罪已經在實質上成為網絡犯罪。若繼續擴張“計算機”和“數據”這二概念的外延以應對司法實踐中遇到的刑法罪名不足問題，那么幾乎所有的犯罪都可以成為網絡犯罪，或者至少，幾乎所有的犯罪都能夠借助網絡獲得更多的犯罪目標和犯罪機會，從而，幾乎所有的犯罪都可以被認為是網絡犯罪。屆時，網絡犯罪這一概念將失去應有之意，而對于網絡犯罪的討論又將回歸原始，即，是否真正存在網絡犯罪這一概念，抑或所謂的網絡犯罪只是傳統犯罪的新方法或新平臺而已。

為避免這一現象，需要以立法方式對數據作為信息載體這一本質特性和依賴計算機系統得以處理這一技術特性的雙重性進行規制，構建更為精細合理的網絡犯罪罪名體系。

四、數據安全犯罪的規制思路：計算機犯罪、數據犯罪、信息犯罪三線并舉

探究當前中國對數據安全犯罪刑法回應的缺陷及其原因，蓋因我國對數據安全這一新法益的保護不夠周延，僅依托于既有的信息安全和計算機信息系統安全二法益對數據安全這一新法益進行保護。這無異于在計算機犯罪誕生之初借助傳統法益保護計算機信息系統安全。實踐證明，以過去的刑法條文規制侵犯了新法益的犯罪行為這一做法是行不通的。因而，須要厘清數據、信息與計算機(信息)系統三者之間的關系以及對應法益之間的相互關系，以此確定數據安全在刑事罪名體系之中的位置，設立合適的數據犯罪罪名，細化計算機犯罪、數據犯罪與信息犯罪罪名體系，實現三體系間的相互補充，完善我國刑事立法體系。

數據安全犯罪的常見樣態為，行為人先通過破壞計算機A防護軟件為手段侵入計算機系統，隨后或向系統發送一段可以自動將計算機A上處理的數據傳輸到預設的計算機B上，以實現非法獲取計算機A上處理的數據的目的，并在實現這一目的之后，將所獲取的數據經過破解、聯想、挖掘、并合數據等方式還原為信息并利用信息實施違法行為；或通過遠程操控對計算機A上處理的數據進行刪改、壓縮等行為。在這一動態的犯罪鏈條中，破壞計算機A防護軟件的行為侵害的是計算機(信息)系統安全，獲取、挖掘等將數據還原為信息以及刪改、壓縮數據等的行為侵害的是數據安全，而對信息進行非法使用的行為侵害的是信息安全。通過這一常見樣態可以看出，行為人對計算機安全與數據安全的侵害雖然存在先后關系，但二者實際處于同等地位的，即對于計算機(信息)系統安全的侵犯與對數據安全的侵犯是具有同等嚴重性、不能相互吸收的；對于信息安全的侵害實質上發生在侵害計算機(信息)系統安全和/或數據安全之后，且刪改、壓縮計算機上處理的數據的行為并未侵害信息安全。根據一行為對計算機(信息)系統安全、數據安全與信息安全三者施加侵害的本質特征與動態步驟分割，計算機罪名體系、數據安全罪名體系與信息安全罪名體系三者間的關系，可以計算機犯罪與數據犯罪的雙切入點體系為基礎，以信息安全罪名體系對后續信息使用行為加以規制。

(一)計算機犯罪與數據犯罪的雙切入點體系

前文大量論述和事實已經表明，數據并非是計算機(信息)系統在大數據時代的高階表現形式，二者也并不是一體兩面的關系；相反，二者實乃具有不同本質的不同物品，分別具有各自的法益，而隨著數據價值的增加，數據安全犯罪與計算機犯罪的錯位越來越明顯，《刑法》規制與數據安全犯罪樣態之間的脫節也越來越明顯。因此，我國當前規制計算機犯罪與數據安全犯罪的路徑不在于繼續擴張計算機(信息)系統或數據的概念，而在于以立法方式確認計算機(信息)系統和數據的雙切入點模式，將靜態的數據安全從動態的計算機(信息)系統功能安全中獨立出來，正如在20世紀90年代計算機犯罪出現之初將計算機安全從傳統法益中獨立出來。

我國自1997年《刑法》即開始對計算機安全加以保護，歷經多次修正與解釋，至今已經形成了成梯度、成網狀的計算機罪名體系，用以保護計算機(信息)系統自動處理數據的功能能夠按照計算機所有人的預期正常運行，在此不再多加贅述。本部分將主要討論數據安全罪名體系的設立。

在分析數據安全與信息安全、計算機(信息)系統安全時本文提到，數據一方面是信息的載體，其法益呈現出信息安全的特征，一方面依賴計算機系統得以處理，其法益應當具有技術性的色彩。因此，多國刑法體系將數據安全的含義規定為保密性(confidentiality)、完整性(integrity)和權利人可獲取性(availability)。[注]參見歐洲委員會：《網絡犯罪公約》，European Treaty Series - No. 185。保密性對應的是數據的信息特性，即數據權利人享有的“知悉狀態”和據此而設立的排除他人知悉的“保密狀態”；完整性和權利人可獲取性則對應數據的技術特性，完整性是指數據應當保持原樣、不被刪改，即數據沒有被非法刪除或改動；數據權利人可獲取性是指數據不能被非法壓縮或粉碎，即不能侵害數據權利人獲取或使用該數據的權利。由數據的雙重特性引出了數據安全罪名體系的兩個基本罪名：以數據保密性為法益的非法獲取、持有、使用數據罪和以數據完整性、權利人可獲取性為法益的非法破壞、刪改、壓縮數據罪。

1.數據犯罪體系罪名之一：非法獲取、持有、使用數據罪。通過數據安全犯罪的典型樣態可以看出，數據安全犯罪的整個過程可以分為三步：(1)獲取數據，如通過軟件將被感染的計算機上處理的數據傳輸至目標計算機上；(2)持有數據，如通過正常業務行為獲得的數據，應當刪除而未予刪除；(3)使用數據進行后續活動，如通過對數據的聯想搜索、挖掘、并合，從一組無法被還原為信息的非結構化數據發展為能夠還原出信息的數據。簡單來說，此三步可以概括為對數據的非法獲取、持有和使用。其中，非法獲取數據即所謂通過技術手段獲取存儲、處理、傳輸于電子設備上的數據的行為；非法持有數據指行為人通過正常經營活動獲得數據，法律規定應當刪除而未予刪除或應對數據進行加密以保證不被他人知悉而未加密的行為；非法使用數據則指將通過多種渠道獲得的非結構化數據進行比對和挖掘，或提供給他人進行比對和挖掘，將大量數據進行整合并還原為有意義的信息的行為。很明顯，從現實中三類行為對公民的侵害和刑法規制的可行性上來說，這三類行為均應當被納入《刑法》的規制范疇。

2.數據犯罪體系罪名之二：非法破壞、刪改、壓縮數據罪。我國《刑法》第286條第2款將“對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的”行為作為非法破壞計算機信息系統罪進行規制。實際上，這一條款規制的行為即為非法破壞、刪改、壓縮數據的行為，然而由于我國《刑法》并未將數據安全作為獨立法益加以保護，故當前第286條第2款僅作為破壞計算機信息系統罪的一種表現方式而存在，仍然體現出我國刑法分則將靜態的數據安全與動態的計算機系統功能安全混淆的現狀。在這一方面，歐洲委員會的《網絡犯罪公約》(以下簡稱《公約》)可以提供部分借鑒。具體而言，第4條將無權破壞、刪除、修改或壓縮計算機信息系統上存儲的數據的行為規定為了犯罪，第5條則規定締約國應當將在無權情況下故意影響計算機信息系統正常功能的行為作為犯罪處理，影響計算機信息系統的方式可以是大量輸入、傳輸、修改、刪除或壓縮數據。比較這兩條可以看出，《公約》第4條保護的是靜態的數據庫，[注]參見歐洲委員會：《網絡犯罪公約解釋性報告》，Budapest, 23. XI. 2001. 第60條。而第5條雖然規定了犯罪的實施方式可以是破壞計算機上的數據，但其保護的則是動態的計算機信息系統功能。[注]參見歐洲委員會：《網絡犯罪公約》，European Treaty Series-No. 185。換句話說，基于《公約》的規定，行為人可以通過破壞靜態的數據庫安全侵害動態的計算機信息系統安全，也可以通過破壞動態的計算機信息系統安全破壞靜態的數據庫安全，但二種行為的本質并不相同，也觸犯了不同的法律條文。這一做法表明《公約》在計算機信息系統運行過程的動態性和數據安全的靜態性這一區別上的支持立場。根據當前數據安全犯罪的高發案量，《公約》的此種立法無疑對我國有借鑒意義，是一條可行路徑。

(二)以信息安全罪名體系保護信息的合法使用

鑒于保護的法益不同，當前我國《刑法》對于信息犯罪的制裁罪名分別位于不同章節，主要包括第111條為境外竊取、刺探、收買、非法提供國家秘密、情報罪，第219條侵犯商業秘密罪，第253條之一侵犯公民個人信息，第282條第1款非法獲取國家秘密罪，第389條故意泄露國家秘密罪、過失泄露國家秘密罪，第431條第1款非法獲取軍事秘密罪，第432條故意泄露軍事秘密罪、過失泄露軍事秘密罪等。雖然這些罪名涉及的犯罪對象包括國家秘密、商業秘密、公民個人信息、軍事秘密等，但這些對象的法益都是信息的“知悉狀態”，或者說由“知悉狀態”所設置的“保密狀態”。換句話說，這些條文都是保障其所規定的信息不被沒有知悉權利的人知悉，這就是信息安全罪名體系的根本法益。而信息安全罪名體系與數據安全罪名體系的銜接之處也在于此。前文說過，侵犯數據信息特性的犯罪行為可以分為三步：非法獲取-非法持有-非法使用，而在非法使用階段行為人將難以還原成有效信息的非結構化數據通過聯想搜索、挖掘、并合等方式整合成為能還原成有效信息的數據。隨后，若還原出的信息為上述信息安全罪名所保護的對象，則行為人同時涉嫌相對應的信息安全罪名，若在獲取信息后又故意公開或泄露了該信息，亦應當為其故意公開或泄露的行為承擔相應的刑事責任。如，行為人通過非法手段獲取了多個網站的大量用戶信息，并通過聯想比對，將不同網站的用戶信息進行配對，最終獲得5000名用戶的信息，其中包括5000名用戶在不同網站的用戶名、密碼、手機號、工作、住址乃至身份證號、駕駛證號等內容。之后，行為人將獲得的用戶信息出售給了他人。此時，行為人前期獲取、并合數據的行為侵犯了數據安全，而之后將并合得出的信息出售的行為侵害了信息安全，應當數罪并罰。