王惠敏 ：网络数据安全独立性之提倡及其刑法展开

大数据时代背景下，数据成为新的生产要素，数据安全也日益引起社会的全面关注。正如德国刑法学者乌尔里希·齐白（UlrichSieber）所言：“正在兴起的信息社会正在创造新的经济、文化和政治集会，但它同时也引发了新的风险，这些新的机会和风险正在对我们的法律制度构成新的挑战。”然而，由于信息犯罪相关法律规范将保护的重点放在计算机信息系统安全方面，致使数据安全保护始终处于附属和次要地位，加剧了计算机犯罪的“口袋化”趋势。我国近年来不断爆出来的诸多案件，体现出数据犯罪与其他犯罪罪名定性上的争议，由此数据犯罪的独立刑法保护逐渐受到重视。例如，2016年全国首起制售微信外挂软件“张某等提供侵入、非法控制计算机信息系统程序、工具案”中，公诉机关与法院之间就非法经营罪与提供侵入、非法控制计算机信息系统程序、工具罪存在定性上的争议；再如，2018年全国首起流量劫持“付宣豪、黄子超破坏计算机信息系统案”中，就流量劫持是否属于破坏计算机信息系统行为存在破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪三个罪名定性上的争议。

检视我国刑法关于数据安全的罪名保护体系，不仅弱化数据犯罪法益独立保护，内部存在结构性的矛盾，而且对数据犯罪的规制不够周延。例如，无论是“破坏型”罪名还是“获取型”罪名，其不仅将数据犯罪依附于计算机信息系统保护之内，忽视了数据本身独立的价值，数据安全得不到充分的保护，而且均将重点放在对数据犯罪的前端治理，对危害性更大的数据泄露、数据滥用等末端犯罪的规制则有所欠缺。

本文立足数据安全独立的保护法益，论证数据安全犯罪刑法规制的必要性，针对目前数据犯罪立法依附于计算机信息系统犯罪存在的问题，并就如何在立法上实现对数据犯罪的有效规制提出完善方案。

二是以秩序为本位的观念也在很大程度上影响着我国数据犯罪的立法。例如，我国刑法之所以对涉及个人数据的犯罪行为实施处罚，并非因为其侵犯了数据主体的合法权益，而是基于对经济秩序和网络空间秩序的保护考虑。这种立法模式是典型的秩序本位观思路，会不恰当地将数据犯罪限缩于计算机信息系统犯罪规制范围之内，未能体现出对数据犯罪本身的重视。实际上，随着信息社会的发展，大数据具有越来越重要的价值，逐渐形成与现实世界相对应的网络空间，而这种秩序本位观将造成诸多漏洞。例如，只要个人数据的控制者与处理者在收集环节履行了相关的告知义务，即使其后续的保管、处理与使用等环节造成对数据的侵害，在未涉及秩序利益的情况下也将不会受到刑法的规制。再如，对于司法实践中使用批量注册、恶意刷量等和平手段侵犯数据服务的行为，因其并没有影响到计算机信息系统的正常运行，则难以划入计算机信息系统犯罪的规制范围。

需要在此一并提出的是：其一，受中国计算机技术发展的影响，刑法立法的回应往往稍显滞后。比如计算机信息系统犯罪的基本入罪情节要求情节严重，事实上，这种模式已经难以适应大数据时代背景下保护数据的需要。其二，为了突出对数据安全的保护，当今越来越多的国家和地区都在刑法典中将数据犯罪及与之相关的犯罪独立成章节，但我国至今没有在刑法中设专章或专节来规定数据犯罪及与之相关的犯罪，而是将其散布规定在妨害社会管理秩序罪一章。即使将数据犯罪脱离出计算机信息系统犯罪，如果其所属章节的位置不加以调整，也会让人觉得计算机信息系统才是保护重点，同样不利于数据独立保护的实现。

（二）现行立法存在诸多处罚漏洞

我国刑法对于数据安全的保护主要通过将其依附于计算机信息系统的范畴内予以间接实现，使得有关数据犯罪的规定留下诸多处罚漏洞。这不仅表现在现有计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论，而且囿于无法突破计算机信息系统保护体系，致使其与覆盖整个数据生存周期的独立数据保护模式相差甚远。

例如，《刑法》第285条第2款非法获取计算机信息系统数据罪将保护对象限定为国家事务、国防建设、尖端科学技术领域计算机信息系统之外的领域，致使非法获取这三类重要数据反而出现立法保护的空白。此外，对于采取非侵入手段，比如复制（“撞库”“打码”）等仅仅造成数据的部分形式处分权和支配权受害的侵犯，虽未必对计算机信息系统内部的数据造成损坏，却同样可以获取计算机信息系统中的数据。在谭房妹等非法获取计算机信息系统数据、提供侵入计算机信息系统程序案件中，谭房妹借助被告人张剑秋的“打码”，并通过下载使用被告人叶源星编写的“小黄伞”软件、购买验证码充值卡，成功获取淘宝账号、密码2万余组，并将其出售给他人，获取违法所得25万余元。将该案件定性为非法获取计算机信息系统数据罪是正确的，但是随着信息技术的发展，未来还会出现更多的不以侵入为前提的非法获取手段，问题的关键是明确此种行为的侵害实质是数据安全还是计算机信息系统安全。

比如非法侵入计算机信息系统罪，一方面，其将对象限定为国家重要领域的计算机信息系统，由此造成大量侵入经济建设等领域其他计算机信息系统的黑客行为无法规制，进而可能引发对相关帮助犯，比如提供侵入、非法控制计算机信息系统程序、工具罪正当性的质疑；另一方面，致使侵入国家事务、国防建设、尖端科学技术领域计算机信息系统并获取数据的行为（实践中定性为非法侵入计算机信息系统罪）与侵入其他领域计算机信息系统并获取数据的行为（非法获取计算机信息系统数据罪）二者定罪量刑上的不均衡。

再如破坏计算机信息系统罪，无论是理论界还是实务界，都认为只有造成计算机信息系统不能正常运行的才能构成破坏计算机信息系统罪，致使对于删除、修改、增加数据等侵害数据安全却没有造成计算机信息系统不能正常运行的行为的处罚漏洞。例如，在黄祥招、汪伟达、陈岩等破坏计算机信息系统案二审中，案件的争议焦点在于黄祥招等被告人的行为是否对计算机系统造成破坏或影响其正常运行造成其他直接危害后果，如果认为对计算机系统造成破坏或影响其正常运行造成其他直接危害后果的，应当定性为破坏计算机信息系统罪。与此相反，虽然对计算机信息系统数据予以修改、增加，却并未造成计算机信息系统不能正常运行的，则只能定性为非法控制计算机信息系统罪。此外，与第286条第1款中对计算机信息系统功能进行删除、修改、增加、干扰相比较，第2款仅规定了对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加三种行为，造成对干扰数据行为规制的遗漏。事实上，司法实践中已经出现不以侵入计算机信息系统为前提，对其功能加以干扰影响其正常运行的案例。例如，最高人民法院发布的指导性案例104号李森、何利民、张锋勃等人破坏计算机信息系统罪案件中，被告人采用棉纱等物品堵塞环境质量检测采样设备，干扰采样，致使监测数据严重失真。再比如被告人许某通过在IDC机房安装服务器、交换机的方式，最终达到屏蔽、改变数据传输路径，致使监测、预警对其失效的效果。两个案例存在诸多相似之处，比如都因为没有侵入计算机信息系统却影响到信息系统的功能，使其不能正常运行而被认定为破坏计算机信息系统罪中“删除、修改、增加以外的其他方法”，最终被定性为破坏计算机信息系统罪。然而，破坏计算机信息系统罪的保护客体是计算机信息系统安全，因此在被告没有直接侵入到计算机信息系统本身情况下被认定为破坏计算机信息系统罪的正当性值得进一步讨论。

我国目前关于数据犯罪的规制重点集中在“获取”型和“破坏”型等犯罪行为，对于数据存储、数据窝藏、数据滥用、数据泄露等行为则缺乏必要的规制，忽视了数据生存周期原理动态的刑法保护。例如，就数据存储而言，在周某某等侵犯公民个人信息案中魔蝎公司违背《数据采集服务协议》中“仅在用户每次单独授权的情况下采集信息时保存用户账号密码”的义务，未经用户许可仍采用技术手段长期保存用户各类账号和密码在自己租用的阿里云服务器上。法院认定相关主管人员和其他直接责任人员周某、袁某均已构成侵犯公民个人信息罪。可见，非法存储数据和非法获取数据都具有法益侵害性，只是非法获取数据行为被非法获取计算机信息系统数据罪规制，而非法存储数据行为则构成侵犯公民个人信息罪。

再比如就数据滥用行为而言，在谢康、岳安安非法侵入计算机信息系统案中，被告人岳安安、谢康通过购买“e2eSoftVCam”摄像头辅助软件、下载“轻松换脸”软件，在“交管12123”系统上处理代办审车、车辆违章业务时，利用上述软件逃避实人认证，造成被害人郭某、邓某等人驾驶证分数被扣除。此处法院将“交管12123”作为国家事务的计算机信息系统，认定为非法侵入计算机信息系统罪。然而，该案的法益侵害本质是利用AI换脸等技术手段非法使用他人数据的行为，是违背法律规定对他人数据的滥用，故定性为非法侵入计算机信息系统罪无法实现对该侵害行为的全面界定。

就窝藏数据的行为来说，虽然2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第7条以掩饰、隐瞒犯罪所得罪定罪处罚。但掩饰、隐瞒犯罪所得罪位于我国《刑法》第六章第二节妨害司法罪中，具有妨碍司法秩序和财产追回权利的双重法益侵害性，与窝藏数据侵害数据安全法益二者之间存在本质上的差异。故以财产犯罪“违法所得”标准一刀切地适用数据犯罪，无法体现对数据保护的实际需要。

（三）相关解释也无法弥补处罚漏洞

解释论和立法论作为刑法学研究的重要方法，互为补充，如果司法实践中相关难题能够通过解释加以解决，尽可能予以解释；如果解释不通，只能通过立法加以完善。而我国刑法将数据犯罪附属于计算机信息系统犯罪的立法缺陷所造成的司法困惑和处罚漏洞，是无论如何解释都行不通的。

现代国家罪刑法定原则的基本要求是刑法的明确性。如上文所述，计算机信息系统犯罪各个罪名之间存在违背教义学逻辑上的悖论，无法覆盖整个数据生存周期，相关罪名分散于不同的章节，问题的关键在于立法将数据犯罪附属于计算机信息系统犯罪刑法条款之后，致使其内在的逻辑性和明确性变得不清晰。数据犯罪的口袋化倾向愈益严重，造成司法实践的困惑和争议，不利于实现刑法规范的指引功能和裁判功能。

对于数据犯罪适用的口袋化问题，现行司法解释不仅无济于事，而且一定程度上造成其口袋化倾向的进一步扩大。比如2011年《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》），明确非法获取计算机信息系统数据罪中的数据被限缩为支付结算、证券交易、期货交易等网络金融服务的身份认证信息以及其他身份认证信息，强调的是依附于计算机信息系统内部的数据，范围较为狭窄。与此同时，第11条将计算机信息系统定位为具备自动数据处理功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。其从技术层面上将数据等同于计算机信息系统，将所有与计算机相关联的网络终端设备，如计算机、手机、平板电脑、家用智能电器等都纳入计算机犯罪的保护范畴内，数据的概念与计算机信息系统概念界定不清，数据犯罪为传统的计算机犯罪所遮蔽。同理，破坏计算机信息系统罪也存在上述问题。

此外，非法获取计算机信息系统数据罪不是行为犯或危险犯，而是结果犯或情节犯，需要达到“情节严重”，《解释》第1条关于“情节严重”的认定主要从非法控制计算机信息系统的台数以及违法所得和经济损失等要素加以评价衡量。其以诸如违法所得和经济损失这种适用于财产类犯罪的评价因素评价非法获取计算机信息系统数据罪这类扰乱社会秩序类犯罪，加之违法所得5000元以上或者造成经济损失1万元以上极低的入罪门槛，使得非法获取计算机信息系统数据罪与因非法占有具有经济价值的计算机信息系统数据定性为的盗窃罪之间模糊不清，造成口袋罪的进一步扩大。例如，在指导性案例检例第36号中，被告人卫梦龙利用龚旭因工作便利掌握的某网络公司内部账号、密码，多次违规登录该公司的内部系统，查询、下载其系统内部的数据，并交由薛东东出售给他人，违法所得共计3.7万元，法院认定卫梦龙、龚旭、薛东东为非法获取计算机信息系统数据罪。这里存在的问题是非法获取数据的前提是违反国家规定，侵入第285条第1款规定以外的计算机信息系统或采用其他技术手段，因此，单纯地非法获取数据的行为不足以构成犯罪。而指导性案例检例第36号根据《解释》5千元以上的追诉标准将其定性为非法获取计算机信息系统数据罪扭曲了非法获取计算机信息系统数据实行行为的独立性，是一种入罪化思维的体现。

数据犯罪口袋化必然伴随着数据犯罪与相关犯罪罪名适用的争议。例如在肖颖破坏计算机信息系统一案中，被告人肖颖原系福建某信息网络公司运维部工作人员，在未获授权情况下利用之前管理维护指令，擅自进入公司某版游戏系统后台数据库，编辑程序指令，给自己的游戏账户充入需要付费购买的游戏币并领取，先后非法获得具有对等价值的金币、礼包等若干。一审法院判决认为被告人的行为已构成破坏计算机信息系统罪，而辩护人则认为“破坏计算机信息系统”的本质特征应是对计算机信息系统功能造成实质性损坏，使计算机信息系统不能正常运行，故肖颖的行为不构成破坏计算机信息系统罪，应构成非法获取计算机信息系统数据罪。二审法院最终采纳辩护人的观点，认定被告人为非法获取计算机信息系统数据罪。又如在“流量劫持案”中，关于“破坏”和“控制”的规范评价不一，造成破坏型数据犯罪和非法控制计算机信息系统罪之间的争议。

此外，数据犯罪与传统犯罪之间的适用也存在争议。例如最高人民法院指导性案例第35号曾兴亮、王玉生破坏计算机信息系统罪一案中，被告人曾兴亮、王玉生诱骗被害人注销其苹果手机上的icloudID，给被害人提供新的ID及登录密码，利用该ID及密码远程锁定被害人手机，并以解锁为由索要钱财。该案的理论逻辑在于被告人通过远程修改、锁定被害人手机的方式，使其成为无法使用的僵尸机，造成了对计算机信息系统的修改、干扰，故法院定性为破坏计算机信息系统罪。不可否认，该指导性案例将以移动手机为代表的移动互联网终端都解释为“计算机信息系统”，符合互联网时代发展规律，然而也存在让人质疑之处，表现在被告人通过远程修改密码锁定手机的行为虽然造成被害人无法使用手机，但是其只是影响到被害人对财物的使用效用，计算机信息系统本身及其功能并没有受到影响。对此，该案定性为破坏计算机信息系统罪不仅扩大了该罪的适用范畴，也引发破坏计算机信息系统罪、敲诈勒索罪以及故意毁坏财物罪等罪名定性的争议。

再比如，在易某非法获取计算机信息系统数据、非法控制计算机信息系统一案中，被告人易某系华为公司线缆物控部的原职工，调任后违反规定获取线缆物料价格信息，并将其转告给该公司供应商深圳某公司，帮助其提高在华为公司招标项目中的中标率，并收受价值1.6万余元的购物卡以及篮球鞋若干。该案定性在非法获取计算机信息系统数据罪和侵犯商业秘密罪之间存在争议。法院以被告人超出授权范围登录该系统，并利用程序漏洞获取物料价格信息为由，定性为非法获取计算机信息系统数据罪。

（一）拓展数据犯罪的行为类型

我国数据安全保护的国家标准明确将数据生存周期分为数据采集、数据传输、数据存储、数据处理、数据交换以及数据销毁六个阶段。反观我国现行刑法，将规制重点放在“获取型”和“破坏型”侵犯数据安全行为，造成对侵犯数据安全其它生存周期的行为力有未逮。事实上，“获取型”“破坏型”之外的数据侵犯行为可能会造成更大的社会危害性，比如数据采集、存储以及销毁环节的非法获取、持有行为，数据使用环节的非法滥用问题等，因此，应当在综合参考、对比前述数据生存周期划分的基础之上，重点加强对其他数据周期环节保护的完善。

比如，在数据采集阶段，数据侵犯表现之一是无权主体或有权主体超越权限对数据的非法知悉或非法持有行为。具体到非法获取计算机信息系统数据罪，构成本罪的两个前行行为遗漏了采用其他手段获取数据以及获取大部分计算机信息系统之外的云端数据行为。除了非法获取、知悉网络数据之外，还包括不应当存储而存储的行为以及数据销毁阶段应当销毁而未销毁的行为，即非法持有行为。对此，建议将数据犯罪独立出非法获取计算机信息系统数据罪，并将该条款中的两个限定条件去除，修改为非法获取、持有网络数据罪。这里需要说明的是，之所以将“非法持有”与“非法获取”并列作为侵犯数据安全的行为，原因在于“非法持有”是一种对数据的“非法占有”状态，是对数据安全保密性的侵犯，在整个数据生存周期的过程中具有纽带性的作用，和其他侵害数据安全的行为一样具有法益侵害性，需要刑法加以规制。

关于使用数据过程中对数据的破坏行为，主要涉及到破坏计算机信息系统罪，如上文所述，在破坏计算机信息系统罪这一大的罪名下，因法益不明经常造成实践中的定性困难。而且数据保护条款关于侵害行为仅仅规定了删除、修改、增加三种行为，相对于该条中其它条款遗漏了与“删除、修改、增加”危害相同的“干扰”行为。事实上，与“修改、删除、增加”行为相类似，对数据的“干扰”行为同样可能因为对核心数据的修改而威胁到数据的安全，故基于保护数据安全独立法益的需要，应当将数据犯罪从破坏计算机信息系统罪中脱离出来，增设非法破坏网络数据罪，同时在“删除、修改、增加”数据行为的基础上，将“干扰”数据的行为也纳入刑法规制范畴。

此外，实践中经常将非法使用网络数据行为等同于传统的犯罪行为，非法使用数据行为具有法益侵害的根源性，对网络数据的使用逐渐成为当前非法存储、获取以及提供网络数据等行为的诱因。同时，非法使用网络数据行为相较于侵害其他生存周期的数据安全行为而言，具有法益侵害的直接性。无论是非法获取网络数据还是存储网络数据，这些行为属于数据自身的物理流转和空间转换，是对数据安全法益的间接侵害，而非法使用网络数据对于数据安全法益的侵害是直接性的、具体化的。因此，非法使用网络数据行为的危害与上述侵害数据其他生存周期的行为相比有过之而无不及，如果不从源头上打击非法使用数据行为，单纯打击非法获取数据行为只能是治标不治本。事实上，非法使用数据行为在日常生活中广泛存在，主要表现为相关单位主体或单位内部人员违反规定，访问以及使用数据的行为。例如，2016年，根据美国明尼苏达州的审计调查数据显示，近3年内该州警察基于个人原因私自访问州驾驶执照数据库中的公民数据累计300余次。提到非法使用数据行为，最为典型的案例应当是“深度伪造”技术，该技术是通过数据的训练，进而实现以假乱真的效果。比如APPStore中“ZAO”“AI换脸”“FaceApp”都是非法使用公民个人数据信息，“深度伪造”数据的例子。因此，建议增设非法使用网络数据罪，主要表现为违反国家规定，采取违反授权或者超越授权等方式，使用他人数据，情节严重的行为。

需要注意的是，网络时代背景下积极的预防刑法观逐渐为更多学者所认可。面对当前数字经济发展过程中过于强调经济发展忽视弱化数据安全保护的不均衡现实，应当与提供侵入、非法控制计算机信息系统程序、工具罪等帮助行为正犯化相类似，侵犯数据的相关帮助行为也应当加以正犯化。因此，可以增设非法提供网络数据罪。

（二）贯彻数据的分类分级理念

风险识别是国家政府和社会组织有效提升治理效率并规制和防范风险的基础，刑法作为《数据安全法》的保障法，并不是所有的数据安全法益都需要刑法保护，只有经过风险识别，即判断某种数据所承载的利益为何种法益，是否能够上升为刑法法益，才能够真正成为刑法保护的对象。对此，借助于分类分级标准，认识不同层级的数据安全法益侵害风险和保护需求，形成数据犯罪罪质和罪量的评价依据，是实现数据安全独立保护的目的。

数据分类分级理念是贯彻落实总体国家安全观要求下，数据安全保护义务和责任由企业向国家的逐渐转移。数据分类分级虽然经常被合在一起统一讨论，但是实际上二者是相互区别的概念。数据分类是以“属性”为标准，根据数据的内容、来源、特征、作用等进行划分和归类。如根据数据的来源，可以将数据分为政府数据、商业数据和个人数据；根据数据的所属行业与领域，则可以划分为金融、交通、能源、医疗健康、电子政务等数据。美国的数据分类最为典型，以行业为标准，将受控非密数据分为隐私、专利、移民、金融、商业信息、税收、交通等20种，其中每一类下面可以再进行细化，如隐私数据又可以再分为合同使用、死亡记录、一般隐私数据、遗传数据、健康数据等。我国《数据安全法》关于数据分类的规定，主要存在存储形式和主体身份两种标准，以存储形式为标准，可以分为电子化数据和非电子化数据；以数据主体身份为标准，可以分为个人数据、商务数据和政务数据。对此，司法机关可以根据不同的罪名设定不同的定罪标准，以为司法人员认定数据犯罪时适用。

数据分级则是以“后果”为划分标准，根据《数据安全法》第21条数据被非法处理造成的法益损害后果的大小，划分为国家核心数据、重要数据和一般数据。其中，国家核心数据是关系着国家安全的数据，理应实行最高等级的保护；重要数据仅次于国家核心数据，可能关系国家安全和社会公共利益，实行仅次于国家核心数据等级的保护。因此，与前置法相对应，并非所有侵犯数据安全的行为都要受到刑法同等规制，数据分类与数据分级属于不同的维度，共同用于对数据法益的识别和判断。其中，因受侵害的客体以及其受侵害程度变量因素的差异，可能会出现不同的情形：同一种类的数据由于定级要素的不同，可能处于不同的保护等级；比如同样是侵犯公民个人数据的行为，由于造成损害的程度不同应当予以不同程度的规制。同理，不同种类的数据，因其受侵害程度相同，也可能最终处于同等的保护级别。即使受侵害的客体分别为公民个人数据和公共数据，可能由于遭受损害程度相同而最终给予相同级别的保护。因此，数据分类和数据分级密不可分，共同助于实现法益的梯度保护。

我国刑法罪名与罪名之间存在诸多结构性缺陷，根本原因在于尚未确立数据分类分级的保护理念。例如，非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、破坏计算机信息系统罪、侵犯公民个人信息罪和侵犯商业秘密罪等，这些罪名之所以在司法实践中存在认定上的困难，原因在于前三类计算机犯罪是以数据存储形式为标准设置的罪名，主要体现在对电子化数据的保护；后两类罪名则是以数据主体身份为标准构建的罪名。看似泾渭分明，然而随着信息网络的发展，公民个人信息和商业秘密也更多地表现为电子化数据，由此造成这些罪名保护范围上的交叉，进而造成认定上的困难。

对此，为了与《数据安全法》数据分类分级保护制度相协调，刑法中相关罪名应当对侵害关系国家重大利益的核心数据行为进行更严厉的惩处。具体可以从以下方面着手：

例如，对于非法侵入计算机信息系统罪，非法侵入本质上破坏了控制访问的信息安全技术，其侵害的是数据的支配权限。因此，应当“去系统化”，通过增设“非法访问网络数据罪”实现对所有侵入型网络数据犯罪的刑法规制，即违反国家规定，未经授权或超越授权访问经过他人特殊安全处理的网络数据，情节严重的行为。同时在“非法访问网络数据罪”中设置关于国家重要核心数据的加重情节。

那么，这里主要讨论一个问题，国家重要核心数据是否仅仅局限于国家事务、国防建设、尖端科学技术领域呢？答案是否定的。国家事务、国防建设、尖端科学技术这些领域的数据属于国家重要核心数据，应当对其实施更加严格的保护，体现出对数据安全的分类分级保护。然而我国《计算机信息系统安全保护条例》在前面三个国家重要核心数据基础之上，还对经济建设领域数据加以重点保护。事实证明，数字化经济背景下，经济建设领域尤其是金融领域的网络数据遭受侵害的社会危害性未必小于其他领域。因此，以金融领域为核心的经济建设相关数据应当与国家事务、国防建设、尖端科学技术相关数据并列纳入非法访问网络数据犯罪加重情节的规制范围。

同理，对于上述危害其他数据生存周期的相关罪名，如“非法获取、持有网络数据罪”“非法破坏网络数据罪”“非法使用网络数据罪”以及“非法提供网络数据罪”等，均应当贯彻数据分类分级的保护理念。例如，就非法获取、持有网络数据罪而言，建议将非法获取、持有关系国家事务、国防建设、尖端科学技术领域、经济领域等国家核心数据的行为作为该罪的加重情形，设置更加严厉的法定刑。其他罪名以此类推，在此不再赘述。

值得一提的是，随着数字经济的发展，传统的“数额为主、情节为辅”的罪量模式逐渐转向“数额与情节并重”甚至“以情节为主”的模式。这种情形下，在数据分类分级的基础上明确数据犯罪的罪量要素则十分必要。比如，《计算机安全刑案解释》第1条关于计算机信息系统数据罪的“情节严重”内容主要包括经济损失、违法所得、计算机台数、身份认罪信息组数等，然而，这些“后果”与数据安全法益之间并不具有很强的关联性，因为数据犯罪的评价要素表现出诸如数据流量、浏览次数、影响用户数等新的形式。因此，不能仅仅局限于实际的损失来评价数据犯罪，应更多地考虑行为对社会秩序、公共利益乃至对国家安全带来的影响。当然，对于侵害数据安全法益确实无法加以分类分级量化的，则依然以“情节严重”加以考量。

（三）构建数据刑事合规制度

风险社会背景下，预防主义的刑法观得到进一步发展，这不仅体现在刑法处罚范围的扩大化，也体现在刑罚处罚的早期化，对于数据安全的保护也不应有例外。大数据时代，海量、多源异构的数据对数据采集、存储、传输以及使用等环节带来挑战，数据业务运营者主动或被动、故意或过失地使数据遭受威胁，个人的许可逐渐让位于数据使用者责任的承担，这种保护模式将重点集中于对个人数据再利用的行为进行正规评测，而非收集数据时是否取得个人的同意。例如，2019年“ZAO”App因存在用户隐私协议不规范、数据泄露风险等问题，被工业和信息化部网络安全管理局要求自我整改，并采取有效措施防范被利用实施电信诈骗等风险。此外，数据刑事合规也体现在诸多立法中，比如，根据美国国会研究局2019年颁布的《数据保护法：概述》统计，共有《电子通信隐私法》在内的12部联邦个人信息保护法出台了数据保护法规。虽然我国《数据安全法》以及相应法律法规都明确确立了网络数据服务商的数据安全管理义务，但是网络数据安全服务商在刑法中的数据安全管理义务尚未明确，成为数据刑事合规面临的重要问题。

关于数据网络服务提供者的数据刑事合规义务，有观点认为为了形成对数据服务提供者更好地履行数据安全管理的强制力，推动数据合规计划成为一项刑法义务，应当增设怠于履行合规计划罪，数据安全领域则为预防数据安全失职罪。笔者认为，鉴于短期内增设怠于履行合规计划罪等相关罪名难度较大，立足于现有的刑法框架内完善现有罪名不失为一种选择。这里可以借鉴拒不履行信息网络安全管理义务罪中关于网络服务提供者的规定，增设“拒不履行数据安全保护义务罪”，将罪状中“信息网络安全”修改为“数据安全”。其中，拒不履行数据安全保护义务罪主体既包括自然人，也包括单位。关于网络服务提供者间接故意的主观罪过认定，我们认为，如果数据网络服务提供者已经预见到不履行数据安全保护义务将会造成数据安全隐患的严重后果，此时可以认为其对于数据安全犯罪行为的发生主观心态上至少为间接故意。并且这种主观的心态可以通过多种形式表现出来，需要我们结合各种因素进行综合判定。

此外，拒不履行数据安全保护义务罪作为典型的不作为犯罪，离不开对网络服务提供者不作为义务、作为可能性、结果避免可能性等层面的认定。此时，数据合规对于网络服务提供者的作为可能性、结果回避可能性的认定将具有重要参考意义，对于遵守法律、行政法规规定的数据安全保护义务，积极履行数据合规义务，则可以使其出罪或者免责。拒不履行数据安全保护义务罪实际上暗含了刑事合规的理念，增设该罪的目的并非增加网络服务提供者的刑罚负担，而是达到使用刑法的手段引导网络平台开展刑事合规的规范效果，限缩网络服务提供者的刑事责任。比如，如果网络服务提供者根据已有审查结果的判断，采取了具有可期待性的规避措施，并建立了有效的刑事合规制度，则可以对其进行责任的减免。反之，如果没有建立有效的合规或者只是形式的合规，则不能进行减免。

尽管对网络信息犯罪的刑法规制尚有可完善之处，同时对数据犯罪的刑法规制之完善不只是体现在与计算机信息系统犯罪的相互独立上，但抓住数据犯罪的独立视角这个“牛鼻子”，就能更好地一体推进对网络信息安全的刑法保护。实际上，从立法论上讨论新增数据犯罪罪名不仅不会阻碍数字经济的健康有序发展、违背刑法谦抑精神，反而正是谦抑法益保护原则的体现。本文立足于数据安全独立保护的逻辑，借助于类型化思维，横向方面围绕数据生命周期构建全过程的保护，纵向方面贯彻数据分类分级的保护理念，并就数据合规制度提出建议。如上文所述，自《数据安全法》实施以来，首例涉及高铁运行危害国家安全的案件出现，使得数据安全再次成为全社会关注的话题。之所以将其界定为危害国家安全类犯罪，是因为国家基础信息、国家核心数据事关国家安全、国计民生和重大公共利益，是数据安全保护工作的重中之重。表面上看，强调数据安全的独立保护似乎与信息安全、计算机信息系统安全保护相冲突，其实不然，因为三者共同构成网络安全保护的内容，是落实总体国家安全观的必然要求。保护数据安全就是保护网络安全，刑法作为社会治理的重要参与者和保障者，理应承担起独立保护数据安全的职责。这些理念和构想，在当前《数据安全法》颁行引起刑法学界热议、刑法法典化再次受到高度重视的契机下兼具有理论研究价值和现实意义。