數字經濟時代數據犯罪的風險挑戰與理念更新
——以數據威脅型網絡黑灰產為觀察對象

張 婷

(中國政法大學 網絡法學研究院，北京 100088)

現代信息技術的迅猛發展開啟了數據大爆炸時代。作為信息最重要的載體，數據開始被不斷地收集、分析甚至逐漸呈現出引領科技創新和經濟增長之勢，已然成為這一時代最具價值的資產。伴隨數據產業的蓬勃發展，數據犯罪亦開始滋生與變異，數據安全風險成為關涉個人利益、公共利益以及國家利益的新型社會風險因素。面對這一問題，技術工具創新雖是推動自治模式迭代升級、提高風險防范能力的重要助力，但刑事立法的自我更新更是不可或缺。只有充分發揮刑事法律的彌合作用，構筑起數據安全防護新格局，才能適應數字化時代數據犯罪的新形勢。

一、傳統數據安全風險變異的背景分析

進入信息網絡時代，犯罪的形態、特點之形成與網絡發展、技術創新之間表現出明顯的正向傳導效應。隨著“數據1.0”時代向“數據2.0”時代的過渡，數據由結構化表達向價值化存在轉換，互聯網實現了自身的屬性升級，而這一變化成為導致數據犯罪出現代際差異的主要因素。

(一)傳統數據安全風險變異的技術助力：信息互聯向價值互聯的代際轉型

從數據的價值維度出發，橫向歷經前網絡時期、網絡1.0時期、網絡2.0時期和網絡空間化時期四個演變階段的信息化時代又可以以大數據、人工智能等科技創新的泛在化為界點縱向切割為數據1.0時代和數據2.0時代。

互聯網絡時代肇始于萬維網應用程序之正式上線。作為一個新型的因特網應用，萬維網通過超文本傳輸協議(HTTP)和超文本標記語言(HTML)分別實現了不同端系統中客戶程序和服務器程序之間的報文交互以及信息源在不同服務器之間的有序性點擊訪問，從而攻克了阻礙因特網在全球范圍商業化的技術難關，信息傳播方式開始從人際傳播向網絡傳播方向發展。然而，因受限于初代萬維網的“只讀性”，這一時期的網絡信息渠道與網絡用戶之間尚只能進行單向信息交換。為提高信息傳播的交互性，網絡傳媒行業開始積極探索實現雙向人機互動的新思路：第一，通過提升客戶自助服務質效、加強數據庫發展管理以激活網絡長尾效應；第二，增加網絡連接設備的多樣性以豐富網絡用戶的交互體驗；第三，加快應用程序由內容驅動型向數據驅動型升級換代。由于早期的互聯網內生于資源經濟，雖然在后期互聯網交互模式變革過程中，用戶數據的價值屬性已有所顯現，但其主要社會價值仍是以計算機網絡取代傳統媒體成為未來信息傳播的主要媒介，實現全方位的信息互聯，所以我們對數據的認知還停留在計算機信息系統中存儲、處理或者傳輸的靜態數據庫和特定類型的結構化數據，故而這一階段被稱為“數據1.0”時代。與之對應，數據傳輸、存儲的平穩和安全也就成為此時數據安全的主要指向。

如果說數據1.0時代見證的是數字文明的崛起，那么數據2.0時代則迎來了這一文明的“爆發期”。以大數據技術的泛在化應用為開端，數據的內涵發生了深刻變化：從經濟維度來看，數據成為兼具資源屬性和工具屬性的新型價值體現；從技術維度來看，作為縱貫網絡系統結構的核心要素，數據類型開始從結構化、單一對象的小數據集向半/非結構化、多源異構的大數據集擴展。在新技術、新理念的推動下，充分發展數據挖掘技術、不斷深化數據應用進程成為這一階段的核心思路。隨著互聯網從單一性信息媒介向“信息互聯-產品互聯-消費互聯”的復合型生活平臺過渡，形成于工業經濟時代的傳統生產關系開始從價值生產、價值記錄和價值實現三個層面發生質變，并以區塊鏈產業布局為契機產生出數字貨幣交易機制。 這一新型交易機制的運行，在為互聯網轉型過程中出現的數字化資產移轉困境提供解決方案的同時，也賦予了互聯網傳遞價值的功能，即價值互聯。

(二)數據犯罪迭代異化的真正原因：技術本位向價值本位的過渡效應

從更深層次來看，信息互聯和價值互聯體現著兩種完全不同的哲學主張。信息互聯網是互聯網的早期形態，是由以技術為本位主義的世界觀，即一種集體持有的、制度上穩定的、可公開執行的理想化未來愿景，通過技術發展和科學進步促成人類對于社會生活形式和社會秩序之共同理解的實現，和底層技術共同推動下出現的社會組織系統的重塑。價值互聯網是為推進與前期的信息互聯、消費互聯、工業互聯等互聯類型相融合，進一步實現互聯網的應用價值而形成的新的價值評價體系。上層觀念由以技術為本位向以價值為本位的過渡，給數據犯罪帶來了兩個方面的變化。

第一，數據全生命周期的風險泛化。在信息化時代，作為新型社會風險因素，數據風險雖已開始呈現出法益侵害風險的社會化趨向，但囿于對數據技術特征的狹隘理解，對此種危險的規范重點表現為對作為狀態數據的非法侵入和非法獲取行為的類型化規制，以達到保護計算機信息系統之保密性、完整性的目的。但在數據2.0時代，互聯網成為具備資源配置、交易、消費和用戶服務等功能的綜合性基本生活場域。這一革命性的變化在推動互聯網形態更迭的同時，也孕育了一種新的數字化生存方式。這種以數字經濟理論為基礎，依靠數字現金、虛擬貨幣、區塊鏈代幣等電子貨幣維系的高度數字化的生活方式開始賦予數據經濟價值，也改變了數據犯罪的發展方向，犯罪對象由侵害商業機構和社會組織的計算機信息系統的安全性轉向侵害個人數據權利或者企業數據權益，目前以個人數據威脅型網絡黑灰產之危害最甚。由此可見，數據安全風險已伴同數字經濟時代的來臨而快速蔓延至數據的全生命周期。

第二，濫用數據型違法犯罪行為成為主流。從行為類型來看，數據1.0時代的涉數據犯罪主要是針對計算機內存儲之靜態數據的非法獲取型單獨犯罪，而數據2.0時代則多表現為以數據濫用為關鍵節點的分工合作模式，呈現出產業化、鏈條化的特點，網絡黑灰產業態的出現便是典型例證。商業大數據的廣泛應用使得數據和流量成為當前互聯網行業生態的重要組成要素，以“惡意點擊”為代表的數據流量威脅型黑灰產已成為與技術威脅型黑灰產、內容秩序威脅型黑灰產并列的三大網絡安全危險源之一。

二、數字經濟時代數據犯罪的最新指向與刑法挑戰

價值互聯網形態的發展和成熟驅動數據的價值屬性發生新變化，其成為貫穿物理層計算機網絡、網絡層信息資源網絡和應用層物聯網絡的價值新載體。數據安全不僅與多元的保護法益密切關聯，也已具備刑法法益化的現實基礎，而數據犯罪的代際更迭，卻使現行二元化數據刑法保護模式與現實法益保護需求之間出現巨大落差。

(一)數據多元屬性價值成型下數據安全風險之異化

根據《數據安全法》第3條之規定，數據是指任何以電子或者其他方式對信息的記錄。關于數據之界定，有學者認為，鑒于以物理形態存在的非電子化數據基本不存在因跨境流動而產生的安全風險，所以數據涵義只包含網絡數據；還有學者主張對數據進行類型限縮，僅圍繞具有可識別性的電子化個人數據展開數據安全的法規范分析即可。從刑法視角來看，在大數據產業生態加速建構和社會數字化轉型不斷升級的背景下，對數據分而治之確實有利于實現謙抑理念和預防需求之間的二元平衡，但是只關注個人數據的安全風險不免會與客觀現實產生背離：(1)從目前的網絡黑灰產業態來看，雖然個人數據屬于信息犯罪產業鏈中的關鍵物料，其安全保障的強化對于打擊信息類黑灰產確實具有重要意義，但是在商業大數據應用多樣化過程中出現的對交易類數據、公共服務類數據的挖掘和分析亦與落實我國的數據安全戰略密切相關，不應被忽視。(2)基于刑法第二性原則，刑法應當在實質上與前置法規范保持統一，反觀我國現行法律體系，《數據安全法》和《個人信息保護法》均已被賦予獨立地位，因此，數據安全預防圈之劃定理應涵蓋除個人數據之外的其他數據類型。按照如上理解，本文所指數據犯罪是對以數字化形式進行技術處理的一切數據為犯罪對象的一類犯罪的統稱。

自邁入風險社會，傳統刑事立法一改往日以法益原則作為正當化基礎的思路，開始關注具有風險的行為本身。“象征刑法”雖在一定程度上起到了風險控制的表態作用，但是也間接損害到刑法的法益保障功能、人權保障功能和實用主義功能。為了防止數據安全風險抗制再次落入象征性刑事立法之境地，在探討其具體治理模式之前，有必要從風險識別理論出發，明確數據安全刑事風險社會化的主要趨向。

價值互聯網時代，互聯網平臺經濟開始興起。這種新型生產力組織方式以分布式價值交換網絡為基礎，通過各種應用項目所提供的真實用戶需求和使用場景，將線上和線下、實體和虛擬有機結合，極大地提高了市場要素的有效配置。在這種平臺經濟模式的影響下，作為衡量潛在消費者體量的重要指標，用戶的“注意力”開始成為網絡服務提供者競相爭奪的資源。數據威脅型黑灰產是注意力經濟畸形發展的產物，是指以有償修改流量數據為目標，通過濫用信息網絡技術或者網絡平臺運營規則，對特定網絡產品、服務或者網絡內容實施虛假點擊、瀏覽、評論、轉發等惡意刷量操作的互聯網黑灰產業類型。具體而言，當前數據威脅型黑灰產主要表現為以下四種形態：(1)流量劫持，即通過技術手段改變用戶訪問對象、訪問路徑或者改變用戶獲取之數據，然后將獲取的流量出售套現的違法行為。(2)惡意點擊，即通過偽造點擊量、播放量、下載量等各種流量假象，謀取不正當利益的違法行為。(3)網絡水軍，即活躍在電子商務網站、論壇、微博等社交網絡平臺，通過批量發帖、頂帖等引流方式壓制不同意見，最終實現輿論控制。(4)非法獲取、買賣個人信息，即利用惡意爬蟲、病毒軟件等網絡技術手段或通過其他違規途徑獲取用戶個人信息，然后對外出售或提供服務進行變現。從產業成熟度來看，數據威脅型黑灰產呈現出明顯的分工化和自動化。以惡意點擊為例，一次完整的流量偽造是需要發單人、卡源卡商、貓池產家/惡意SDK安裝包制作者、卡商等多個主體共同參與完成的產業化違法行為。發單人負責出資并發出對具體網站或平臺的點擊量需求，既包括來自賭博、彩票、游戲私服等非法網站經營者的正向刷單要求，也不乏同行業競爭者之間為詆毀對方商譽或消耗對方預算而進行的反向刷單。實施惡意點擊的方式有兩種，一種是卡商利用從卡源卡商和貓池產家處分別購買的手機黑卡和貓池設備模擬大量用戶實現的惡意點擊；另一種是利用惡意SDK軟件獲得手機用戶的控制權限，在其使用相應手機程序時修改網絡訪問路徑或者進行其他非指定點擊操作。由此可知，上述黑產鏈中的惡意點擊環節完全是由計算機終端代勞，基本實現了自動化流水線式分工合作、利益共享模式。

(二)數據威脅型網絡黑灰產的刑法規制困境

結合上文，可以將數據威脅行為分為兩種類型：第一種是非法獲取型，目前主要是對個人身份信息和金融信息的侵犯。第二種是基于其他目的的數據關聯行為，比如通過流量劫持或者惡意點擊等方式實現流量數據背后的價值變現。我國現行刑法對數據安全的保護體系主要是圍繞“靜態數據庫”和“動態個人信息”兩條主線建構而成，對于互聯網形態迭代帶來的數據價值非法變現行為能否通過法教義學方法，將其按照現有罪名進行懲治，存在一定爭議。

1.“流量劫持”場景的司法認定與理性反思。流量劫持作為一個技術名詞，現行刑事立法和司法解釋中并沒有明確規定。在司法實踐中，此類案件多是作為破壞計算機信息系統罪定性的，并且有觀點認為，該罪名足以實現對流量劫持行為所侵害法益的全方位保護。對于這種觀點，筆者并不認同。破壞計算機信息系統罪，是指違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，或者故意制作、傳播計算機病毒等破壞性程序，影響計算機系統的正常運行，后果嚴重的行為。誠然，在DNS劫持的場景中，行為人通過給用戶端瀏覽器植入插件或者使用惡意代碼修改用戶路由器設置等方式，使得用戶向服務器發送的正常網址被惡意解析到色情網站、賭博網站等其他IP地址，最終無法通過DNS系統訪問目標網頁，這類行為確實符合破壞計算機信息系統罪的構成要件，可以為現有刑法所涵攝，但是CDN劫持則不同。CDN劫持是指通過污染內容分發網絡的服務器緩存文件，向用戶分發帶有誤導性的彈窗廣告、下拉框、菜單等，誘導其訪問廣告網站或者安裝相關應用程序。這種流量劫持模式既不具備強制改變他人網站訪問路徑的行為，也不會影響DNS服務器的正常運行，所以并不存在適用《刑法》第286條的規范要素。對此，有學者指出，這類流量劫持行為法益侵害程度較低，依據《反不正當競爭法》予以干預即可。筆者認為，這個理由是難以成立的。首先，這種觀點的邏輯出發點令人質疑。雖然說刑法學的本體是解釋學，但是囿于現有網絡犯罪罪名所指向的傳統數據法益而忽視伴隨數字社會變革出現的新的數據安全問題所顯現的客觀風險，實則是一種僵化理解，顯然與數字經濟發展新階段的“數據價值化”內涵不相符。而且，退一步講，即使不考慮前述原因，適用《反不正當競爭法》規制流量劫持行為還存在舉證困難、過罰不相當等障礙，需要刑法跟進。

2.“流量作弊”型黑灰產的刑法適用困境。與流量劫持不同，流量作弊是指行為人以機器點擊、人工注冊等方式“創造”流量的行為，換言之，這些流量并非來自真實用戶。在“粉絲經濟”新型消費文化形態的推動下，打榜、投票、簽到升級成為微博、微信公眾號等虛擬互動平臺運作的重要產業化模式，而之前以“刷單炒信”為主要服務類型的流量作弊型黑灰產也開始積極拓展刷量、刷榜業務。

針對流量作弊行為目前有三種刑事歸責路徑：一是將其視為對計算機信息系統計算能力和技術資源的侵害，以傳統計算機犯罪罪名定罪處罰。比如，在全國首例“社交媒體流量造假”案中，被告人蔡某某在未獲得新浪微博授權的情況下，自行開發了一款無需登錄微博客戶端即可實現博文轉發以及博文自動批量轉發功能的軟件并有償提供給他人使用。截至案發，該軟件已有用戶使用19萬余個控制端登錄微博賬號，被告人蔡某某共獲取充值金額600余萬元。北京市豐臺區人民法院審理后認為，被告人蔡某某提供專門用于侵入計算機信息系統的程序，情節特別嚴重，構成提供侵入計算機信息系統程序罪。二是將其視為對公平、有序的市場狀態的侵害，定性為擾亂市場秩序罪。在司法實踐中，部分流量作弊行為已被按照非法經營罪處理。對此，有學者提出，對于電商領域的刷單炒信，擾亂商品、服務搜索排名的行為，應當視情況成立虛構廣告罪或者損害商業信譽罪。三是直接按照我國《刑法修正案(九)》第29條構成非法利用信息網絡罪。然而，筆者認為，就當前流量作弊型黑灰產不斷滋生蔓延的態勢，無論單純依靠上述哪種解釋思路，都難以實現對數字社會信用的嚴密保護。首先，流量作弊產業的刷量方式已經迭代至“掛機刷”模式，即由刷量者通過各種渠道搜集或者租用大量真實賬號，然后將這些賬號與刷量平臺對接，通過刷量平臺自動完成轉發、打卡等操作，此類行為無法為傳統計算機犯罪所容納。其次，隨著注意力經濟模式的不斷滲透，流量作弊行為的直接侵害對象勢必從電子商務領域的信用評價機制擴展到整個數字社會的其他交互機制，既已偏離擾亂市場秩序罪類罪的規范保護目的，也使得適用非法利用信息網絡罪的規范基礎不再成立。

三、數據安全刑法保護范式的基本思考

數據安全風險的變異直接影響著刑法的防范策略和打擊效果，因此，刑法規則的切入點必須相應轉變。數據主義是大數據時代出現的哲學新主張，可以為新趨勢下數據犯罪治理模式的轉換提供思路。

(一)數據犯罪治理策略轉換之思想基礎：“數據主義”新思潮的萌發

自人類社會進入信息化時代，信息通訊技術構成了社會重構的重要底層技術系統，以此為基礎自下而上形成的中間層社會組織模式和上層觀念系統打上了深深的技術主義烙印。在此背景下，國家大數據產業體系的日漸完善在推動互聯網形態轉變的同時，從文化層面還孕育出一種全新的世界觀——數據主義，即“宇宙由數據組成，任何現象或實體的價值就在于對數據處理的貢獻”，這一新主張顛覆了前期以技術至上為根本信念的技術主義對人類生活樣態的認知和理解，也為數據犯罪治理體系的重塑奠定了思想基礎。

首先，數據主義推動了數據犯罪治理從信息中心主義向數據中心主義的回歸。信息中心主義是倡導網絡犯罪對象以有意義之數據為限的網絡犯罪規制理論，我國現行數據犯罪罪名體系的法教義學的展開正是采用了這種理論范式。然而，隨著大數據技術在各類行業融合應用的不斷深化，一個輻射全社會的數據治理系統正在逐漸形成。該系統底層是由人工智能、算法等各類技術組成的驅動結構，通過互聯網、物聯網等信息渠道獲得大量數據；系統中層則由各類技術平臺、服務平臺以及政務平臺等提供數據服務，促進數據的流轉和應用；在系統的最上層，各類數據庫匯集成數據湖，為增強不同社會化場景中資源配置的合理性、風險預警的精準性、決策制定的科學性提供有力支撐。由此可見，數據已成為影響經濟發展、社會生活乃至國家治理的重要要素，信息中心主義所附隨的對數據之保密性、完整性的間接保護效果將不足以應對社會數字化轉型過程中日益多樣化的數據安全風險，回歸數據中心主義的規范模式勢在必行。

其次，數據主義為數據犯罪責任主體的多元化和類型化提供了理論依據。遵從數據主義的思想，網絡服務提供者不僅掌握著大量的用戶數據，而且集數據分析、數據應用、數據流通等功能于一體，這種“數據資源+數據技術”的雙重加持就使得平臺相較于政府具備了更強的網絡違法風險識別和防控能力。這種“超級權力”的出現打破了國家權力運作的傳統邏輯，構成網絡服務提供者因未履行數據安全管理義務而被追究刑事責任的合理依據。盡管如此，由于各類網絡服務提供者與用戶之間的交互關系存在差異，所以在認定這類特殊主體的刑事責任時，有必要根據服務內容、服務對象或者應用場景等分而論之，比如在將區塊鏈技術應用于數據交換的場合，就應該根據區塊鏈類型以及所處節點的不同分類厘清信息服務提供者的安全管理義務，進而展開刑事歸責的探討。

(二)德國刑法之啟示：“一點一線一面”的數據犯罪應對模式

德國以數據為中心的網絡犯罪立法模式源自對歐洲《網絡犯罪公約》的繼受。從直觀上看，德國的數據犯罪罪名體系主要包括第202條a探知數據罪、第202條b截獲數據罪、第202條c探知和截獲數據罪的預備、第202條d窩藏數據罪、第303條a變更數據罪以及第303條b破壞計算機罪。這一制裁體系呈現出以數據為邏輯原點，數據全生命周期多元風險為打擊對象，“積極預防”與“利益平衡”為基本導向的顯著特征。

1.以數據為中心的罪名設置思路。在網絡犯罪治理上，德國和我國刑法的規定立場基本相同，都是將網絡違法犯罪行為分為兩類，一是侵犯計算機數據和信息系統安全的犯罪，二是利用計算機實施的網絡犯罪。然而，在具體維度的展開上，德國則明顯區別于我國以計算機信息系統內部的、側重于信息系統自身功能維護的訪問控制型數據為主要關注對象的基本思路，采取了以數據為中心的罪名設置思路。根據《德國刑法典》第202條a第2款規定的數據的規范構成要素，即以電子的、磁性的或者其他不能直接提取的方法存儲或傳送，對數據的解釋并沒有以“計算機信息系統”作為限定，由此，該法所規制的數據窺探行為、數據攔截行為、數據窩藏行為以及數據變更行為均是針對數據的獨立保護。至于第303條b第1款第3項規定的故意損壞、損傷、使其不能使用、移除或者改變數據處理系統或數據載體的行為，實則仍然是為了保護數據的實際使用可能性而設置。

3.堅持“積極預防”和“利益平衡”雙導向。在數字化社會環境下，數據安全已成為涉及個人權益、集體利益和公共利益三個不同層面的復合型法益。通過《德國刑法第41次修正案》的修改，德國數據犯罪立法對這三類法益予以了更為合理和全面的保護。首先，德國刑法中的“數據”概念包含個人數據以及其他具有財產價值的數據，且個人數據無需具備秘密性，這就極大地弱化了伴隨現實生活數字化和數據化加速出現的數據多樣性而可能給相關罪名適用帶來的梗阻感。其次，《修正案》第6條將第303條b的適用范圍延伸至對個人數據的處理，原來第1款規定的非法干擾他人公司、企業或者政府機構具有重要意義的數據處理行為，則從“入罪門檻”提升為“加重情形”，從整體上強化了對侵犯數據安全法益的犯罪治理。不過，要真正實現刑法的社會保護機能，僅僅堅持積極預防性刑法觀是不夠的，還需要注意平衡法律規制與技術發展之間的緊張關系。因此，德國立法通過在《德國電訊傳媒法》中為網絡服務提供者創設免責條件的方式，排除了刑法過度擴張的可能。

四、數據刑法的應然轉向：“數字安全法益觀”之確立

“生活的需要產生了法律保護，而且由于生活利益的不斷變化，法益的數量與種類也隨之發生變化。”我國信息社會轉型初期形成了以保障社會管理秩序為首要任務的“秩序法益觀”，在此導向下，《刑法修正案(九)》又將侵犯公民個人信息行為納入了規制范圍，作為數據刑法體系內的輔助性法益保護內容。然而，隨著數字技術的迭代升級，我國的社會經濟形態從傳統工業經濟開始轉入數字產業穩步發展、產業數字化深入推進、數字化治理能力提升、數據價值化加速推進“四化”協同發展的數字經濟新時期，數據刑法固守的“秩序法益觀”已無法適應加快推動數字經濟發展的新要求，由此，積極調整數據違法行為的犯罪化立場，實現“秩序法益觀”向“數字安全法益觀”的轉向，正當其時。

(一)“數字安全法益觀”之解構

從技術維度看，根據“網絡安全三元論”，數字安全是網絡安全在數字化時代的映射升級，圍繞信息技術、業務應用和網絡攻防三個關鍵支撐點構建而成；其中，信息技術組成了數字安全的基礎環境，業務應用和網絡攻防則為數據安全技術得以落地提供了必要的具體場景。從法學維度看，數字安全法益觀立足于數字經濟新形態，以三大支點之上數字空間中各要素的正常運行保護為中心，進而推動數據犯罪評價能力的整體完善。對此，有學者進一步提出了以數字社會的信用利益作為現行刑法調整和轉型的側重點。在筆者看來，數字社會的信用利益實際上是由數字化市場內部各個參與主體的個體利益匯聚而成的有機集合體。換言之，數字信用利益完全可以細化為數據主體的使用權益，由法律進行保護。因此，我國數據犯罪制裁體系的調整應以數據主體權益保障為目標，圍繞當前數據安全風險的實際防范漏洞展開反思。

“數字安全法益觀”的確立對于我國數據犯罪治理機制的重塑具有重要的理論意義。第一，“數字安全法益觀”合理劃定了數據刑法的規制范圍，可以進一步推動刑法與前置法的銜接，進而形成完善的數據安全法律保護體系。第二，“數字安全法益觀”定位于以數據為對象的刑法規范化，內嵌數據主體權益，可以根據數據權益的不同重新檢視具體犯罪化標準及其外部性效果，從而發現現有保護的缺漏，提升刑法的數字安全風險防范能力。

(二)“數字安全法益觀”下數據犯罪立法的改革方向

“數字安全法益觀”向現有刑法體系的合理嵌入應遵循“重塑以數據為中心的法益保護體系+完善數據用戶權益的全周期性保護”的縱橫雙向路徑，這是對數字時代轉型下異化的數據犯罪實現全環節刑法規制的應然選擇。

1.“數字安全法益觀”的縱向具體化：重塑以數據為中心的法益保護體系。我國現有數據安全刑法保護體系是以制裁“計算機數據犯罪”和“個人數據犯罪”為核心的雙軌并行式思路。在這種保護思路下，一方面，受限于刑法對計算機犯罪的滯后性理解，即便數據已經從計算機時代的算力載體經過網絡時代過渡到數字時代的生產要素，司法解釋對其認識仍停留在“計算機信息系統中存儲、處理或者傳輸的數據”，極大地壓縮了“數據”這一概念的范圍，導致刑法的法益保護機能與數字時代的現實需求逐漸背離，數據犯罪滋生現象愈加明顯。在數字安全法益觀的新導向下，刑法可以對數據的獨立性予以充分的價值評價，糾正現行司法解釋的觀察點錯位，推動刑法視野下的數據犯罪與現實法益侵害質形合一的同時，徹底紓解數據犯罪規制中口袋罪名的泛化傾向。

2.“數字安全法益觀”的橫向類型化：完善數據用戶權益的全周期性保護。從前述數據威脅型網絡黑灰產的典型樣態可以看出，整個鏈條主要分為非法獲取數據、對違法取得的數據進行處理和非法運用數據實施后續違法犯罪三個環節。由于現有罪名更加關注信息系統功能的完整性、安全性和個人信息的保密性，而忽視了數據的可用性要素，這才導致刑法應對數據威脅型網絡黑灰產時出現評價分歧、規制不力等現實問題，所以，在重整數據安全犯罪罪群體系之前，當務之急是通過刑事立法消弭這一問題。

從數字安全法益觀出發，立法修正的方向和重點在于以下兩個方面。第一，重視對數據要素價值屬性的全方位保護。根據《信息技術 安全技術 信息技術安全保障框架》，數據安全的主要考量因素包括保密性、完整性、可用性、可核查性、真實性和可靠性等相關方面。現有相關罪名圍繞數據的重新整合雖然使得刑法保護數據的范圍有明顯擴張，但是，就個人層面而言，侵犯公民個人信息罪類型化的非法傳播、非法獲取行為僅聚焦于個人信息的保密性，無法涵攝數據安全的其他要素。第二，加強對數據流轉全生命周期的風險防范。綜合我國立法實踐和德國立法經驗，筆者認為以周延對數據主體使用權益的刑法保護為目的，應將刑法的打擊半徑擴大至非法使用數據這一行為類型。

關于該罪的犯罪構成，主要有如下兩點構想：第一，本罪應為法定犯，即成立本罪以違反國家法律、行政法規和部門規章為入罪條件。一方面，前置法對數據違法行為的評價能力和懲治效果很大程度上決定了下游數據危險的犯罪轉化率，因此需要強化刑法與相關法律制度的對應和銜接；另一方面，《網絡安全法》《數據安全法》《個人信息保護法》等前置法中的相關規定有益于合理限制刑法的規制邊界，以堅守刑法的謙抑性。第二，本罪應為個人信息和企業或政府機構數據設置具有針對性的構成要件，前者旨在保護個人信息可識別性的根本特征，而后者重點在于發揮數據分級分類保護制度對刑法評價的界分功能。