【理论前沿】开放的中国数据刑法体系之建构（上）

　　 摘  要   现行关于数据刑法体系的探讨执着于从立法论上设计一套周延的数据罪名体系，在研究方向上误入歧途。数据法益具有本体和功能的二元结构，数据犯罪包括数据本体犯罪和数据功能犯罪两大体系。数据功能犯罪体系具有开放性，总是随着数据不法行为的发展而变化，难以周延。数据刑法的重心在于数据功能犯罪体系，应通过解释论之方法，从数据作为手段、数据作为对象、数据作为结果三个维度持续实现对数据不法行为的功能性关联，不断根据数据不法行为的发展而认定与之相应的数据功能犯罪。对撞库、网络爬虫、外挂、流量劫持等数据不法行为的定性，除了认定非法获取计算机信息系统数据罪，提供侵入、非法控制计算机信息系统程序、工具罪等数据本体犯罪，还应认定侵犯公民个人信息罪、盗窃罪、破坏生产经营罪等数据功能犯罪。单一数据不法行为触犯数据本体罪名与数据功能罪名的场合，属于想象竞合，从一重罪处断但应作数罪宣告；复数数据不法行为触犯数据本体罪名与数据功能罪名的场合，数据功能犯罪的特定实害无法吸收数据本体犯罪的多元危险，属于实质数罪，应当数罪并罚。

　　    关键词  数据犯罪  数据法益  功能法益  罪数  过程犯

　　    社会的现代化过程，同时也是刑法的现代化过程。因为技术的现代化不仅推动社会发展，也会催生新型的权利与犯罪，这便需要刑法作出现代化的变革，以保护急速发展中的社会。在数字时代，这种变革集中体现在刑法对新型数据犯罪的体系性响应上。中国当下对数据刑法体系的研究，存在过度理想化的想象，研究者们都希望架构出一套周延的数据罪名体系，将全部数据犯罪网罗其中。然而，数据不法行为日新月异，任何试图构造周延体系之努力可能都是徒劳的。这种“周延性想象”源于当下研究者对数据法益的构造认知不够充分，对数据法益的保护体系存在错误预设。错误的体系想象导致了研究方向上的偏离，理论界和实务界多寄望于立法上不断增设新罪，轻视探讨数据不法行为与传统犯罪间的关联性。鉴于此，本文第一部分从检讨当下数据刑法的体系模式入手，在第二部分揭示数据法益的二元构造以及数据犯罪的“双轴线”体系，指出数据功能罪名体系的开放性，第三部分探讨开放性体系下数据刑法教义学的推进方向，在第四部分试图解决“双轴线”体系带来的本体罪名与功能罪名间的罪数问题。

　　    一、数据刑法体系模式的检讨

　　    我国关于数据的刑法保护模式的讨论，存在一元模式和多元模式之分歧。但无论哪一种模式都预设了一种体系想象，即认为在其框架内可周延地设定数据犯罪的罪名范围。

　　    （一）一元模式的审视

　　    一元模式认为，数据刑法的罪名体系应着眼于数据保密性、完整性与可用性的犯罪，即保护计算机和数据安全之罪名。该说严格区分了以网络数据为犯罪对象的犯罪和以网络数据为犯罪工具的犯罪。在该说看来，后者本质上就是传统犯罪，数据仅是其犯罪工具，并不具有任何特殊性，因而数据犯罪的刑法规制应围绕前者而展开。据此，侵犯数据继而侵犯传统法益的犯罪（如侵犯商业秘密罪）均非数据犯罪。

　　    然而，这种把数据犯罪局限于侵犯计算机和数据安全犯罪的观点值得商榷。其一，刑法理论针对某些使用共同工具的犯罪而设置特殊的类罪概念，是常见且有必要的现象。例如，网络犯罪就是以网络为媒介工具的犯罪。研究网络犯罪与传统犯罪的交集，如网络知识产权犯罪、网络财产犯罪、网络言论犯罪等，是网络犯罪的重要研究领域。同理，研究数据犯罪与传统犯罪的交集，探讨数据不法行为与传统犯罪构成要件间的关联性，是数据刑法必然的范畴。其二，数据法益之所以值得保护，归根到底是因为数据与现实生活的法益密切关联。正因为存在这种密切关联，不法者才会去侵犯它，刑法才会把数据作为其保护对象。切断数据和现实法益的关联，数据只是计算机中的数字，就没有作为法益的价值。其三，若纯粹讨论对数据本体的保护，就很难准确评价数据不法行为的社会危害性。数据不法行为的危害性，取决于数据的内容和性质即数据所关联的现实法益。同样是窃取了计算机中的数据，该数据是一般企业的商业秘密还是国防机密，行为的危害性肯定不一样。要全面地评价行为，就必须把数据和现实世界的法益相联系。其四，仅考虑信息系统中的数据犯罪，可能造成处罚漏洞。刑法本来就信息系统中的犯罪和由此关联的现实犯罪设置了双重防线，即使立法的疏漏导致前者未能处罚数据不法行为，仍可以由后者加以处罚。但是，如果研究数据犯罪时仅考虑前者，就会忽视第二防线的补缺功能。

　　    （二）多元模式的批评

　　    多元模式认为，数据的刑法体系不仅指保护计算机系统中的数据安全的罪名体系，还应包含与数据相关的传统犯罪。多元模式又分为二元罪群模式和平行罪群模式。二元罪群模式认为，应借鉴德国刑法的数据保护二元体系，区分个人数据和一般数据，并围绕这两种数据分别架构不同的罪名群。根据二元罪群模式，保护个人数据以侵犯公民个人信息罪为中心，而保护一般数据则依赖非法获取计算机信息系统数据罪，非法侵入计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪和破坏计算机信息系统数据罪等。然而，侵犯现实法益的数据犯罪并不限于侵犯公民个人信息权，也可能是侵犯商业秘密信息、国家秘密信息等犯罪。该模式对于与数据相关的传统犯罪，只考虑侵犯公民个人信息犯罪，而不考虑其他传统犯罪，在逻辑上无法自圆其说。平行罪群模式认为，数据的刑法保护体系是由直接保护数据的犯罪和间接保护数据的犯罪即保护与数据相关的传统犯罪而组成的平行类罪体系。其中，有人主张三元的罪群模式，包括保护人格尊严和自由的个人数据罪名，保护企业经济利益的企业数据罪名，保护国家安全、社会秩序和公共利益的公共数据罪名。有人主张四元的罪群模式，包括规定在《刑法》分则第三章破坏社会主义市场经济秩序罪中的两个罪名，即窃取、收买、非法提供信用卡信息罪与侵犯商业秘密罪；在《刑法》分则第四章侵犯公民人身权利、民主权利罪中的两个罪名，即侵犯通讯自由罪与侵犯公民个人信息罪；在《刑法》分则第五章侵犯财产罪中的两个罪名，即盗窃罪与诈骗罪；在《刑法》分则第六章妨害社会管理秩序罪的两个罪名，即非法获取计算机信息系统数据罪与破坏计算机信息系统罪。有人主张五元的罪群模式，包括保护计算机和网络秩序的犯罪，保护政府对网络服务提供者监管的犯罪，保护个人信息的犯罪，保护国家秘密、国有档案的犯罪，保护商业秘密的犯罪。不难发现，平行罪群模式对数据法益的保护沿着两个维度展开，一是主张在立法上完善直接保护数据的罪名群，其二是竭力勾画周延的罪名体系，通过多罪群共治的模式来完善间接保护数据的罪名群。

　　    第一维度的观点强调目前我国立法只关心数据法益的获取，忽视了惩治滥用数据的行为，刑法应侧重于规制数据的利用行为，如增设滥用数据方面的罪名。然而，即使增设滥用数据罪，也可能作用不大。其一，行为人往往是非法获取数据进而滥用，如果立法者采取选择性罪名的立法模式，如设立非法获取、滥用计算机信息系统数据罪，最终仍只按一罪处理，其刑罚和现行的非法获取计算机信息系统数据罪的刑罚并无差别。其二，即使立法者单独设立滥用数据罪，由于滥用数据和获取数据处于对同一数据法益的侵犯过程，该罪和非法获取计算机信息系统数据罪成立处断的一罪，最终处罚和现在仍没有太大差别。其三，数据滥用行为的不法仍在于“用”的不法，这正是数据犯罪与现实世界的关联所在，它往往会触犯现实的传统犯罪，这并不比直接保护计算机和数据安全的罪名处罚轻，如滥用数据用于实施盗窃罪（最高法定刑为无期徒刑）或为境外非法提供国家秘密罪（最高法定刑为死刑）。换言之，只要认真研究传统罪名和滥用数据行为的关系，传统罪名完全可以惩治滥用数据的行为。由此，有效保护数据的重心似乎应在第二维度，即实现与数据相关的传统罪名体系的周延性。但是，各种平行罪群模式似乎也没有周延地考虑侵犯现实法益的全部数据犯罪。例如，既然认为网络服务提供者的行为可构成拒不履行信息网络安全管理义务罪，那么国家机关工作人员懈怠履行相关义务或滥用权力，必然也会构成玩忽职守罪、滥用职权罪；既然认为侵犯数据财产权利可能构成盗窃罪、诈骗罪，也必然存在利用职务之便侵犯数据法益而构成贪污罪、职务侵占罪；等等。但是，这些犯罪都是上述研究者未能提及的。更重要的是，数字技术已渗透到社会生活的全部，几乎任何一种犯罪都可以被设想通过不法数据行为来实施。

　　    可见，当下研究者都陷入了一种对数据刑法体系的“周延性”想象，以为可以设计出应对数据不法行为的完备罪名体系，结果均挂一漏万。这种错误想象的根源在于人们对数据法益的结构并不清楚。刑法是为保护法益而架设的体系，我们需要回到数据法益自身，探究数据法益的结构与范围。

　　    二、数据刑法体系的开放性

　　    （一）数据的本体法益与功能法益

　　    数据并非只是在计算机系统中孤立的存在，人们需要它，是因为它与现实世界中的利益密切相关。有学者指出，数据具有双重意义，其一是数据的本身意义，其二是数据的功能性意义，数据的主要作用在于其功能性意义。这种功能性作用，是数据表征特定意义的作用。例如，银行存款记录资料是一种电子数据，但它的意义并非仅仅作为数据，而是表征财产概念的意义，它代表了存款人的财产性利益。换言之，数据的功能意义意味着数据表征了它与现实世界特定利益的关联。

　　    既然数据具有意义上的双重性，那么，数据法益便具有双重类型。一是本体上的数据法益，即数据权利人对数据的保密、完整、使用上的权利。任何在数据全生命周期即数据采集、数据存储、数据传输、数据提供、数据使用、数据销毁等环节中实施的侵害行为，都是对数据本体法益的侵犯。二是功能上的数据法益，即权利人透过数据的本体法益而享有的在现实世界中的传统法益，如个人信息权、财产权、商业秘密权、军事秘密权等。表面上看，权利人享有的是数据的本体法益，但这些权利并非是在信息世界中孤立的虚拟存在，而是与现实世界的法益有着千丝万缕的关系。例如，存款人享有在银行财务系统中的数据本体法益，但他的存款数据其实表征了存款人对银行的债权；权利人对其电脑中的商业数据享有权利，但该数据同时也表征了他的商业秘密权利。总之，当我们说某人对信息系统中的特定数据享有权利时，其实包含了两方面的含义，一是本体上的数据权利，二是功能上的数据权利即与数据关联的现实世界中对应的权利。当我们说某人的数据被侵犯时，相应也包含了两方面的含义，既是指数据本体法益被侵犯，也是指数据功能法益被侵犯。

　　    数据的本体法益和功能法益存在紧密的结构关系。一方面，在逻辑上行为人总是先侵犯数据的本体法益，进而侵犯数据的功能法益。只有先改变数据的本体存在状态，才可能破坏它所表达的功能意义。人们往往也是通过观察数据的本体法益是否被侵犯，进而观察数据的功能法益是否被侵犯。当然，这种先后顺序只是逻辑上的，在物理上二者可能会同时发生。例如，窃取他人系统中的商业秘密数据，同时侵犯了他人的数据安全和商业秘密权。另一方面，数据本体法益的价值依赖于功能法益而存在。数据的功能法益是本体法益的存在根据，本体法益是功能法益的认识根据。如果数据没有任何与现实世界关联的法益，这些数据就谈不上价值，刑法也不需要去保护它。数据所表征的功能法益越多或者越重要，该数据的本体法益才会越重要。当某个行为侵犯了他人数据的本体法益时，要完整地评价该行为不法，仅仅着眼于数据自身是不够的，必须考虑行为因此而侵犯的该数据所表征的功能性权利。例如，对于行为人不法获取他人电脑中的数据的行为，不仅应考虑行为人以何种不法手段获取了多少数据，还应该考虑该数据所关联的功能法益。如果该数据关联的是国家秘密，即使数据的量很少，仍然会被认为该行为具有重大的不法。相反，如果该数据并无任何关联的现实权利，这些数据就毫无法律保护的价值。总之，要评价侵犯数据行为的危害性，就必须同时考察行为对数据本体法益和功能法益的侵犯。

　　    （二）开放的数据刑法体系

　　    既然数据法益具有二重性，刑法对数据法益的保护就应围绕这两个方面而展开，由此便形成分别以保护两大法益为中心的“双轴线”体系。一是以保护数据本体法益为轴线的数据本体罪名群。首先是直接保护数据的非法获取计算机信息系统数据罪。进而，由于数据总是处于计算机信息系统中，因而刑法对数据的保护更多地表现为对计算机信息系统安全的保护，故本轴线的罪名还包括计算机犯罪，即非法侵入计算机信息系统罪，非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，破坏计算机信息系统罪等。二是以保护数据功能法益为轴线的数据功能罪名群。这主要是保护以数据为载体的功能法益罪名，如数据型财产犯罪、数据型知识产权犯罪、数据型秘密犯罪等。值得注意的是，虽然数据的功能犯罪就是传统罪名，如盗窃罪、侵犯商业秘密罪、侵犯公民个人信息罪等，但传统犯罪并非都是数据的功能犯罪。传统法益只有和数据联系起来时，即权利人可以通过该数据而支配传统法益时，该传统法益才属于数据的功能法益。例如，微信支付余额所表征的财产权属于数据功能法益，但手表的所有权一般并非数据功能法益，因为所有权人并非通过数据如时间数据来实现对手表所有权的支配。只有侵犯通过数据而支配的传统法益的犯罪时，该犯罪才是数据的功能犯罪。“双轴线”体系不同于上述平行罪群模式。相对于平行罪群模式，“双轴线”体系具有以下三个明显的特点。

　　    其一，体系内在结构不同。“双轴线”体系强调本体罪名和功能罪名的二元结构。平行罪群模式把数据犯罪分为若干类，数据本体犯罪只是纷繁类别中的一类，它并没有突出考量数据本体犯罪和其他数据犯罪之间的互动与矛盾。这导致实务中对数据不法行为定性不准，因为司法机关满足于找到一条罪名去处罚行为，至于该行为是否还可能触犯其他罪名，进而这些罪名之间是何种罪数关系，往往湮没在纷繁的罪群类别中而被忽略。但是，“双轴线”体系自始至终把数据本体犯罪和数据功能犯罪的二元对立作为体系结构，强调考量本体罪名和功能罪名之间的矛盾。“双轴线”的结构意味着任何数据不法行为都可能同时触犯本体罪名和功能罪名，定罪时必须同时检视两条轴线上的罪名，判断二者之间的罪数问题。

　　    其二，体系轮廓预设不同。平行罪群模式的体系预设是封闭的，其主张者都预想在其设定的罪群脉络下可以周延地囊括所有数据犯罪。但是，“双轴线”体系并无成形的体系轮廓，它具有开放性，总是处于发展之中。不法数据行为关联何种功能罪名，首先取决于该数据表达的功能意义，而这种意义是不断发展的。数字技术越是发展，数据表达的功能意义就越多，数据功能罪名就越多。其次，这还取决于侵犯数据的行为方式。数字技术突飞猛进，侵犯数据的手段随之日新月异，这也会扩张功能犯罪的范围。我们无法预测将来会出现何种新的数据，更无法预测会有什么新型的不法行为侵犯该数据。例如，上述数据犯罪的研究者都没有把污染环境罪作为其数据犯罪体系的一部分，但是，根据司法解释的相关规定，“重点排污单位篡改、伪造自动监测数据或者干扰自动监测设施，排放化学需氧量、氨氮、二氧化硫、氮氧化物等污染物的”，构成污染环境罪。这种数据环境犯罪显然超出了研究者们的预想。只有某种新型的数据不法行为发生了，我们才可能去探讨刑法对该行为的适用，才可能知道它指涉哪项新的数据功能罪名，因而数据刑法永远不可能有封闭、成型的体系。

　　    其三，体系研究重心不同。平行罪群模式的诸罪群是平行的，不存在体系重心的问题，但“双轴线”体系的重心在功能罪名体系上。一方面，这是对数据行为的评价需要决定的。实务中存在一种错误的思维定势，认为凡是数据犯罪的案件，只有本体罪名才是最合适的，很少考虑其触犯的功能罪名。其实，数据不法行为只是以数据为媒介的犯罪，在本质上它与传统犯罪并无二致。“随着越来越多的权利以数据的形式而储存、运用，数据所表达的传统权利内涵日益丰富，但这只是传统权利的网络化和数字化，并未对传统刑法提出新挑战，仍可以传统刑法罪名来应对。”而且，与本体罪名相比，功能罪名更能反映数据不法行为的性质，因为数据行为的危害性最终要体现在对现实世界法益的侵犯之中。另一方面，这是数据罪名体系的开放性决定的。数据罪名体系的开放性主要源于功能罪名体系的开放性，因而数据刑法的研究目标不是构建周延、封闭的体系，而是在承认体系的不完整和发展性的基础上，不断实现功能性关联，即因应数据不法行为的发展而关联与之相符的功能罪名。

　　    质疑的观点会认为，既然数据刑法体系具有开放性，它可能指涉广泛的传统罪名，那么，讨论它相当于讨论传统罪名，功能罪名的概念将变得毫无意义。诚然，数据功能罪名可能指涉刑法规定的很多犯罪。但是，这绝不意味着所有罪名都是数据功能犯罪。如上所述，只有行为人可能通过侵犯数据功能法益而触犯某一罪名时，该罪名才能成为数据功能罪名。例如，我们讨论数据财产犯罪时肯定会讨论盗窃罪，但并非说所有盗窃罪都是数据财产犯罪。另一方面，当我们讨论一个数据功能罪名时，并非泛泛而论这一罪名本身，而是讨论该项罪名如何与数据的不法行为联系起来。这时，我们也不是毫无针对性地讨论该罪的构成要件，而是锚定特定的不法数据行为类型，重新解释构成要件的涵摄范围。总之，数据的刑法保护体系是“双轴线”的体系，围绕数据本体罪名和数据功能罪名两条轴线而展开。有些数据不法行为会同时触犯本体罪名与功能罪名，有些仅触犯其中一条轴线的罪名。这样，“双轴线”的体系便形成了对数据法益保护的“双重防线”，即使行为并不符合其中一条轴线的罪名，仍可以另一轴线的罪名处罚。数据罪名体系的开放性意味着数据功能罪名的范围无法通过事先的理性预测而准确划定，它总是不完整的并随着数据不法行为的变化而发展。

　　                           庄劲：中山大学法学院教授

　　                           引自《中国刑事法杂志》2023年第2期