【理论前沿】开放的中国数据刑法体系之构建（下）

　　三、数据刑法体系的推进方向

　　数据犯罪虽是技术现代化的产物，但它和传统犯罪并不存在无法跨越的鸿沟。人们可以借助对刑法的客观解释，发现数据犯罪与传统罪名构成要件之间的关联，从而实现刑法对现代犯罪的适时因应。因此，数据刑法的重心在于功能罪名体系，即借助刑法解释学不断实现对数据不法行为的功能性关联。推进这种关联的线索便是数据被不法利用的方向，利用数据是数据不法行为与现实世界的接榫点。可以说，对数据的不法利用总是最密切地反映了数据不法行为对现实世界的危害。如前所述，要惩处不法利用数据的行为，独立增设滥用数据罪的效果并不显著，正确的路径应是从数据之“利用”，通过刑法的实质解释，识别其所侵犯的功能法益和触犯的功能罪名。

　　（一）数据作为手段时的功能性关联

　　当行为人以篡改数据作为犯罪手段时，需要考虑该数据的改变如何对计算机系统造成影响，进而观察该影响如何对功能法益造成损害。过去，学理和实务常只着眼于以数据本体罪名处罚此类行为。但是，我国刑法中的数据本体罪名（主要是《刑法》第285条、第286条的规定）是以保护计算机信息系统安全为中心设置的。若篡改数据的行为并未入侵他人的计算机系统，而是在行为人合法控制的计算机系统中发生，则仅依赖本体罪名就难以惩罚该行为。事实上，数据修改只是行为人的手段，它最终要被利用，为行为人在现实生活中实现某种结果。我们可以此为线索，观察该结果会侵犯何种数据功能法益。

　　以篡改数据为手段的典型例子是网络外挂。外挂是未经网络产品权利人许可，修改该产品的客户端和服务器之间的通讯数据，从而实现该产品原本不具有的功能的第三方软件。例如，网络游戏外挂往往帮助游戏玩家获得该游戏原本没有赋予玩家的功能，帮助玩家在游戏中作弊。近年来，司法机关倾向于以“提供侵入、非法控制计算机信息系统程序、工具罪”惩治提供外挂软件的行为。这是一种企图通过扩张解释数据本体罪名达到处罚此类行为的思路。但是，这种扩张解释是牵强的，因为外挂软件并没有侵入和控制他人的计算机信息系统。外挂软件之所以产生作用，是通过修改客户端的数据或者修改客户端和服务器之间的通讯数据包，并向服务器发送虚假数据从而获得某种不被允许的功能。这里存在两组计算机系统，一是客户端系统，即行为人修改数据的系统；二是服务器系统，即行为人修改数据后产生影响的系统。一方面，客户端系统的所有人正是安装外挂软件的人，篡改数据是按照系统管理人的意志完成的，不存在非法入侵客户端系统的问题。另一方面，外挂软件也并未入侵服务器系统，更未控制服务器系统。有学者认为，如果行为人制售的外挂是“超规格数据修改类外挂”，其可以提取电脑中的Windows批量处理脚本文件，在程序启用时调用客户端中的程序，采用杀死进程操作破坏游戏正常运行，关闭该游戏的保护程序，删除游戏客户端中正常产生的日志文件且私自提取游戏账户运行的卡密记录数据，便属于深度介入计算机信息系统的正常运行，可构成提供侵入、非法控制计算机信息系统程序、工具罪。然而，这种外挂的作弊机理和普通游戏外挂没有区别，仍然是通过修改客户端系统中的数据，把虚构的数据发送到游戏服务器系统，以获取作弊的结果。这时，客户端系统对服务器的数据发送仍然是依据此前的既定通信协议进行的，不存在对服务器系统的入侵和控制。就好比学生在考场作弊，作弊的试卷进入了教育考试院且获得了高分，但不能认为学生借该试卷入侵了教育考试院，更不能说是控制了教育考试院。因此，外挂软件根本就不是侵入、非法控制计算机信息系统程序、工具的软件。

　　其实，篡改数据只是手段，其最终的危害性在于篡改数据的用途——对产品研发者设定的营运秩序的改变，这才是其侵害的功能法益所在。网络游戏的外挂让游戏玩家通过作弊即可获得竞技优势，使那些通过游戏苦练而提升的玩家丧失了竞争力，游戏失去了公正的竞技秩序，最终失去玩家和市场。曾经在国内风靡一时的“石器时代”和“传奇”都是因为外挂横行，流失玩家，走向没落。外挂的危害性还在于它提供了产品开发者禁用的功能，破坏了开发者对产品的经营规划，甚至使产品沦为违法犯罪的工具，从而失去用户。例如，微信外挂有一键删除好友、添加好友、修改朋友圈、一键洗白、批量实名认证等功能，它是黑产人员养号、卖号的重要工具，可以为实施网络诈骗等犯罪行为提供大量账号资源，最终会使微信沦为黑产乐园，从而使微信失去正常的用户。因此，外挂软件篡改数据的危害性在于破坏了经营者所设定的产品营运秩序，制售外挂的行为应构成破坏生产经营罪。有学者认为，只有通过毁坏生产工具、生产资料进而破坏生产经营活动的，才能构成破坏生产经营罪。在互联网时代，生产经营环境不仅存在于现实世界，同样存在于虚拟世界当中。对虚拟世界中游戏秩序的破坏和对现实世界中物质秩序的破坏，在刑法评价上是可以等置的。网络服务商提供的网络产品，本身就是网络生产经营资料，外挂破坏网络服务商设定的网络产品的活动秩序，其实就是对网络服务商生产经营资料的破坏。在传统的生产中，产品和生产经营秩序是分离的，但是，在网络服务中，网络产品和网络经营秩序可能是一体的，产品内化于经营秩序之中。外挂就好比在游乐场中有人带着大量不守秩序的玩家大规模插队并破坏游乐场中保障游戏秩序的设施，这当然是对游乐场生产经营秩序的破坏。

　　总之，当行为人以篡改数据作为犯罪手段时，固然应考察它可能触犯的数据本体罪名，但更应关注它可能触犯的功能罪名。这时，需要有一种等置的解释方法：把侵犯功能法益的数据不法行为和传统犯罪予以比较，当二者在法益和构成要件评价上具有相当性时，即可认为其触犯了功能罪名。

　　（二）数据作为结果时的功能性关联

　　若行为人并非篡改数据，而是为了获取信息系统中特定的静态数据，则应将对该数据之获取作为一个整体结果来观察，进而把握结果的不法。而要评价获取数据结果的不法，就必须考察行为人对数据可能的利用，这又取决于该数据的内容和属性，即它在现实世界中的功能价值。换言之，我们应根据该数据的内容和属性，探求行为人获取之用途，并据此确定利用数据可能损害的功能法益，以识别其可能触犯的功能罪名。

　　遗憾的是，司法实务往往更在意适用数据本体罪名，而忽视数据功能罪名，典型的例子是对撞库案件的裁判。所谓撞库，是指行为人利用互联网用户在不同网站上使用相同账号和密码的习惯，先非法购买或收集大量他人在其他网站上已泄露的账号和密码，然后使用撞库软件在目标网站上批量尝试登录，从而试出在目标网站上可登录的账号和密码之情形。行为人获取账号和密码等数据后，可自行用于不法用途或出卖给其他不法者。撞库只是手段，其目的是获取目标网站上的数据（账号和密码），它属于典型的以获取特定静态数据为结果之案件类型。对撞库案件，不仅须考虑行为侵犯目标网站系统之安全，同时也须考虑行为获取该数据之结果对现实世界之危害，但司法实务往往只着眼于前者。例如，被告人叶某编写了撞库软件“小黄伞”，该软件可通过撞库方式实现淘宝账号、密码批量验证并登录。被告人谭某从叶某处获取“小黄伞”软件后，通过撞库成功获取淘宝账号、密码2万余组，并将其出售给他人，获取违法所得25万余元。审判法院判处被告人叶某犯提供侵入计算机信息系统程序罪，被告人谭某犯非法获取计算机信息系统数据罪。在“判例要旨”和“指导意义”中，司法机关聚焦于论证撞库软件属于“专门用于入侵计算机信息系统的程序”。在学理研讨中，学者们多认可判例的意见，认为以撞库方式获取互联网平台上他人的账号和密码构成非法获取计算机信息系统数据罪，编写和提供撞库软件的行为构成提供侵入计算机信息系统程序罪。

　　本文认为，上述判例和学理之意见可再完善。判例认定撞库属于非法获取计算机信息系统数据的行为固然没有错，但尚须考虑行为可能触犯的功能罪名。其实，只要对“获取他人淘宝账号和密码”这一结果加以功能性考虑，便不难发现这些数据属于公民个人信息。根据司法解释的相关规定，侵犯公民个人信息罪中的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。显然，被告人谭某以撞库手段获取他人淘宝上的账号和密码，属于《刑法》第253条规定的“窃取或者以其他方法非法获取公民个人信息”，构成侵犯公民个人信息罪；被告人叶某明知谭某不法获取公民个人信息而为其提供撞库软件，构成侵犯公民个人信息罪的共犯。有论者从罪数论的角度认为，被告人的行为同时触犯侵犯公民个人信息罪和非法获取计算机信息系统数据罪，二罪竞合；由于二罪的法定刑相同，而后者属于保护公共法益的犯罪，更能全面评价该行为，应适用后者定罪。这种看法值得商榷。该观点违背了相关的罪数理论。即使该种情形属于想象竞合犯，最终仅是按一罪处理，也应分别宣告其所触犯的全部罪名，此即想象竞合的明示功能。而且，对于不法获取静态数据的案件，若仅考虑本体罪名而忽略功能罪名，不仅会造成评价上的不全面，而且会造成处罚上的不公。在上述案例中，若行为人具有侵犯公民个人信息罪的加重情节，只考虑非法获取计算机信息系统数据罪的话，便会轻纵了犯罪。例如，行为人以撞库方法获取他人带有身份认证的个人征信信息500组。根据司法解释的相关规定，这属于非法获取计算机信息系统数据罪的“情节严重”，应处三年以下有期徒刑。同时，其也属于侵犯公民个人信息罪的“情节特别严重”，应处三年以上七年以下有期徒刑。若仅考虑非法获取计算机信息系统数据罪，显然会重罪轻判。

　　总之，对于以获取系统中静态数据为结果的案件，不仅应从“获取”的角度考虑行为触犯的本体罪名，还应从“结果”的角度考虑行为触犯的功能罪名。这就必须根据该静态数据所表达的功能意义，评价获取数据结果在现实世界中的不法，进而寻找与之相关联的功能罪名。

　　（三）数据作为对象时的功能性关联

　　当行为人以他人的动态数据为不法利用对象时，同样应当着眼于数据利用，观察行为人对数据之利用是如何与现实世界接合进而如何损害功能法益的。这时的难点在于行为对象是动态数据。具言之，无论是被害人原本控制的数据，还是行为人获取、利用的数据，都时刻处于动态变化之中，这便难以借用传统的财物、占有等概念来解释构成要件，因而需要探索不同的解释路径。

　　以他人动态数据为对象的适例，是以网络爬虫技术违法爬取他人动态数据的案件。网络爬虫是指能够按照预先设定的条件在互联网上批量抓取目标网页、服务器中特定数据的程序。由于这种程序往往能模拟人的操作行为反复访问、获取目标数据，也被称为爬虫机器人。行为人可以通过网络爬虫，大批量地不法获取他人的数据，因而可能构成犯罪。但遗憾的是，现行学理关切的重点仍然是行为人不法获取数据的方法，倾向于仅以“非法获取计算机信息系统数据罪”处罚，而忽视了其功能罪名。如在著名的“车来了”案中，被告人邵某某等的公司开发了智能公交App“车来了”，旨在为使用公交车的客户提供公交车辆到站信息查询。但是，由于“车来了”的查询准确度不高，市场占有率上不去。于是，被告人指使公司员工利用网络爬虫软件，通过黑客技术将竞争对手谷米公司App的加密系统攻破，获取谷米公司服务器里的公交车行驶信息、到站时间等实时数据，以提高“车来了”App的公交信息准确度。审判法院认定被告人犯非法获取计算机信息系统数据罪。

　　审判法院认定的罪名本没有错，但这并不足以全面评价行为的不法。被告人的行为并不是单纯的获取数据，而是要利用这些数据获得经济利益。被告人所爬取的数据是其市场竞争对手谷米公司耗费大量的经济投入而获得的，因而是一种财产性利益。诚如该案民事判决书所言，被告人“非法占用他人无形财产权益，破坏他人市场竞争优势”，实为一种“不劳而获”“食人而肥”的行为。由于我国刑法并无直接处罚不正当竞争行为的罪名，被告人对数据之利用（占用被害人的无形财产权益）可构成其他功能罪名。行为人不法获取他人有经济价值的动态数据，首先应当考虑财产犯罪。在这个方向上，传统的思路是把行为人获取的动态数据作为一种财物即虚拟财物，认为获取了他人的数据相当于窃取了他人的财产，因而该行为构成盗窃罪。实际上，这种思路存在问题。其一，如果把动态数据视为财物，该行为就是破坏了他人对财产的占有，进而建立自己对财产的不法占有。但是，窃取动态数据的行为人只是复制了数据，被害人并没有失去数据。其二，该思路很难回答该行为是盗窃罪既遂还是未遂。因为行为人虽得到了财物，但被害人并未失去财物因而也未完全失去该数据之经济价值。其三，爬取对象是“动态”数据。如果立足于任一具体的数据，即使行为人不去抓取，被害人也会“失去”。因为这些数据本来就是转瞬即逝的，公交车的实时数据是不断刷新变化的，原来的数据可能几秒后就没有了。传统财物犯罪的占有是稳定的支配状态，这就很难解释被害人对动态数据稍瞬即逝的临时支配。

　　在本文看来，对不法获取动态数据之行为，财产犯罪的解释方向是正确的，但不应简单、机械地把动态数据看作一种传统财物，而应把它看作一种有经济价值的服务。因为，行为人不仅获取了他人的数据，而且获取了他人提供的数据服务，而该种数据服务是有经济价值的。现行学理也逐渐承认财产性利益可以成为财产犯罪之对象，享受服务而不支付对价就是侵犯了他人的财产性利益（财物支付请求权）。当行为人不支付对价而获取他人服务时，构成窃取财产性利益，成立盗窃罪。这一点也早已获得我国刑事立法和司法实践的支持。根据《刑法》第265条规定，“盗接他人通信线路、复制他人电信码号或者明知是盗接、复制的电信设备、设施而使用的”，构成盗窃罪。这就是明确将通讯服务作为盗窃罪的对象。司法解释也广泛确立了对盗窃服务的处罚，其本质也是对与服务相关的债之利益的保护。同理，数据服务也是一种有经济价值的服务。“与人工服务相比，数据服务只有形式上的不同，在劳动付出、经济价值等层面完全一致。因此，把数据服务解释为财产性利益并无障碍。”行为人用爬虫技术抓取他人有经济价值的动态数据而未支付对价，就是窃取了他人的财产性利益。在上案中，谷米公司系统中的动态数据就是一种数据服务，它通过这种数据为客户提供公交车的实时信息，亦即这些数据表征了谷米公司提供的公交车实时信息查询服务，而这一查询服务是有经济价值的。因此，行为人用爬虫软件获得谷米公司的公交实时数据，就是违背谷米公司意志获取了其有经济价值的数据服务，就像不法获取电力公司的供电服务或者通讯服务商的通讯服务一样，当然构成盗窃罪。

　　有一种担心可能是，将爬取动态数据认定为盗窃罪，将面临计算盗窃数额的难题，因为被爬取的数据未必都有市场交易价。这并非无法克服的困难。在实践中，没有市场价格证明的情况下，可以委托评估机构估价；即使难以找到评估机构评估，也可将经营上的损失作为犯罪数额。司法解释也赞同在特定情况下可将盗窃行为给失主造成的损失数额作为盗窃罪的量刑情节。在“车来了”案中，既然民事判决可以认定行为人对被害人造成50万元的损失，刑事判决当然可以此作为行为人的定罪和量刑情节。总之，对不法获取并利用他人动态数据的行为，可考虑将数据解释为“数据服务”，把该行为评价为对他人财产性利益的不法获取，按照我国刑法规定的财产犯罪予以惩处。若行为是窃取他人数据服务，则以盗窃罪论处；若行为是骗取他人数据服务，则以诈骗罪论处。

　　四、数据刑法中的罪数与处断

　　虽然本文主张数据刑法的研究重心是功能罪名体系，但不等于放弃本体罪名。定罪时，本体罪名和功能罪名都不可偏废。行为同时符合本体罪名和功能罪名的，应分别作有罪宣告。例如，若不法爬取的数据表征传统法益，则构成传统犯罪；若数据表征数据安全法益，则构成数据本体犯罪。由此产生的罪数问题是：当本体罪名和功能罪名同时成立时，应在二者间择一罪处罚还是数罪并罚？解决罪数问题的关键，是各罪名之间的法益关系，亦即本体法益和功能法益是重合的还是相互独立的。

　　（一）单一数据不法行为触犯本体罪名与功能罪名

　　若相同的数据行为同时触犯本体罪名和功能罪名，须观察此时成立法条竞合还是想象竞合（想象数罪）。若成立法条竞合，应适用特别法的罪名；若成立想象竞合，依通说应适用处罚重的罪名。有观点认为，此时应成立法条竞合，因为当数据表达为特定信息（如商业秘密、公民个人信息等）时，相关信息罪名就是根据数据内容在特定领域对数据的特别保护，它相对于数据本体罪名而言属于特别法。例如，行为人通过黑客软件登录并获取新疆自学考试网中的公民个人信息，同时触犯非法获取计算机信息系统数据罪和侵犯公民个人信息罪。因为“公民个人信息也是数据的一种，只不过我国《刑法》第253条之一对个人信息数据予以特别保护”，所以非法获取计算机信息系统数据罪是普通法，这时应适用特别法即侵犯公民个人信息罪。同时，也有人认为，如果以“个人信息保护法”为参照，从个人信息权益保护角度看，非法获取计算机信息系统数据罪属于特别法。其实，数据与信息之间并不存在一般和特别的关系。有些数据表达为特定的信息，也有些数据不表达该信息；信息可能以数据为载体，也可能以别的媒介为载体。例如，公民个人信息未必都表现为计算机数据，也可能表现为非计算机数据如纸质数据等；计算机数据可能是公民个人信息，也可能是其他信息。可见，数据与信息是交叉关系的两个集合，并不存在谁是谁的特殊子集，因而非法获取计算机信息系统数据罪和侵犯公民个人信息罪之间也不存在特别法和普通法的关系。

　　要区分法条竞合和想象竞合，关键是观察两个罪名保护法益的关系，若二者保护的法益存在重合，即为法条竞合；若二者保护的是相异法益，即为一行为而造成多个不法结果，属于想象竞合。数据犯罪的本体法益，是系统中的数据安全，而其功能法益则是指现实世界中的法益如财产权、隐私权、商业秘密权等，这当然是不同的法益。以“DNS流量劫持”案件为例，行为人使用恶意代码修改互联网用户路由器的DNS设置数据，使用户本来要登录A网站时跳转登录到行为人预先设定的B网站，使A网站的用户被引流到B网站，从而为B网站带来流量。行为人使用恶意代码修改用户路由器的DNS设置，属于“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”，构成破坏计算机信息系统罪。另一方面，“流量劫持行为将影响其网站的用户访问量和市场份额，致使网站用户大量流失，造成经济损失和名誉损害，商业利益受损”。在这个意义上，该行为同样属于对被引流的网络服务商生产经营秩序的破坏，构成破坏生产经营罪。显然，两个罪名的保护法益是不同的。前者保护的是互联网用户计算机系统和数据信息的安全，属于数据的本体法益；后者保护的是被引流的网站的生产经营秩序，属于数据的功能法益。一行为同时触犯保护不同法益的本体罪名和功能罪名，成立想象竞合。

　　值得注意的是，想象竞合属于观念上的数罪，它不同于法条竞合的地方在于法条竞合仅须宣告一罪之成立，但对想象竞合的多个罪名，都必须作数罪的宣告。有论者认为，数据法益之间存在位阶关系，当同一行为侵犯不同数据法益而产生竞合时，应按照人格法益罪名、数据财产法益罪名、数据安全法益罪名的位阶定罪。这种看法并不正确。一方面，不同法益类型之间未必有恒定的位阶关系，我们很难说个人数据法益永远优于国家数据法益。另一方面，当保护人格法益罪名的刑罚轻于保护财产法益罪名、保护数据安全法益罪名时，会造成处罚上的不公。例如，窃取数据的行为同时构成侵犯公民个人信息罪和非法获取计算机信息系统数据罪，依前者的情节应处三年以下有期徒刑，依后者的情节应处三年以上七年以下有期徒刑。若依人格法益优先原则，只能定侵犯公民个人信息罪而处三年以下有期徒刑，这显然是不合理的。既然承认数据的本体法益和功能法益是平行独立的，当行为同时侵犯二者时，就应同时作两罪之宣告，告知国民这两个法益都不能侵犯，唯此才能最大发挥刑罚的一般预防机能。总之，无论对想象竞合持从一重罪还是数罪并罚的处断原则，都应该就数据本体罪名和功能罪名宣告同时成立。

　　（二）复数数据不法行为触犯本体罪名与功能罪名

　　若前后行为分别侵犯数据本体和数据功能罪名，应如何处断呢？关键仍在于前后行为侵犯的是否同一法益。若侵犯的是不同法益，则成立数罪，应该并罚；若侵犯的是相同法益或法益存在重合，基于禁止重复评价原则，成立吸收犯，应择一重罪处罚。

　　如前所述，数据犯罪的本体法益和功能法益是不同的法益，应当对前后行为触犯的本体罪名和功能罪名数罪并罚。例如，行为人以撞库手法获取银行计算机系统中的账号和密码后，以此窃取银行客户的存款。前者侵犯的是银行计算机系统的安全，后者侵犯的是他人的存款债权，二者是不同的法益，对前后两个犯罪行为应当作完全独立的评价，应以非法获取计算机信息系统数据罪和盗窃罪两罪并罚。也有观点可能认为刑法之所以保护数据的本体法益，归根到底是为了保护其功能法益，而数据本体本来就没有独立的法益价值，因而数据的功能罪名当然可以吸收数据的本体罪名。但是，刑法既然设立了数据本体罪名，就意味着刑法承认数据本体法益的独立性。这种独立性意味着即使无法查明侵犯数据本体法益的行为人最终要侵犯何种数据功能法益，我们仍可按照数据本体罪名对之加以处罚。因为，本体法益一旦获得了承认，就具备了独立的地位，成为与功能法益相对独立的法益，应获得平行于功能法益的独立保护。正如刑法禁止非法买卖枪支是为了保护公民的人身安全，但一旦设立了非法买卖枪支罪，它便获得了独立的地位，即使没有证据证明行为人买卖枪支是为了侵害他人人身安全，仍可成立该罪。反之，如果认为本体法益只是功能法益的附属，刑法就没有必要设置数据本体罪名，对侵犯数据本体法益的行为按照功能罪名的预备形态评价即可。因此，只有数罪并罚才能体现刑法保护数据本体法益、设置数据本体罪名的意图。

　　进一步的反驳可能是，侵犯数据本体法益的犯罪往往是为实施后面侵犯数据功能法益的犯罪作预备，这属于罪数论中的过程犯，应适用既遂犯吸收预备犯原则，数据功能罪名吸收数据本体罪名，以数据功能犯罪处罚。但是，过程犯的理论并不完善。既遂犯之所以可以吸收预备犯，是出于禁止重复评价原则。具言之，既然预备犯和既遂犯都属于对同一法益的侵犯过程，即前者是对法益的抽象危险犯，后者是对法益的实害犯，那么对侵害法益的评价应吸收对危及法益的评价，因而成立一罪。但是，并非所有情况下实害犯都可以吸收危险犯，并非所有的造成实害的既遂犯都可以吸收作为其预备的抽象危险犯。是否可以吸收，取决于实害和抽象危险之间的关系，即该抽象危险是否专属于该实害的危险。根据抽象危险的性质，抽象危险犯可分为一元的抽象危险犯和多元的抽象危险犯。前者的危险最终可能造成的实害是一元的，亦即它最终只能发展成特定的实害犯罪，这时实害犯可以吸收抽象危险犯。因为，这时抽象危险犯的危险是专属于后续实害犯的危险，二者处于对同一法益的同一侵犯过程，出于禁止重复评价原则，应择一罪处罚。例如，虚开增值税专用发票罪是一元的抽象危险犯。因为，虚开行为不能产生实害，其只具有对国家税收利益的抽象危险，最终发展成的实害犯是单一的，即骗取出口退税罪。对该种情况，可适用过程犯理论，主张既遂犯罪（骗取出口退税罪）吸收预备犯罪（虚开增值税专用发票罪）。但是，无限的抽象危险犯的危险可能造成的实害是多元的，亦即它可能发展成多种实害犯罪。例如，非法制造枪支罪是多元的抽象危险犯。因为它可能造成的实害犯罪可以是多种的，利用该枪支可以实施抢劫罪、绑架罪、故意杀人罪等多种犯罪。这时，任一实害犯罪都无法吸收该非法制造枪支罪的危险，它并非专属于任一实害犯的危险。因此，多元的抽象危险犯具备完全独立评价的意义，任一具体实害犯都无法在罪数评价上吸收它，多元的抽象危险犯和后续的实害犯应数罪并罚。在司法实践中，非法买卖、运输武器、弹药后又用于绑架、抢劫等实害犯罪的，往往持数罪并罚的立场，其原理就在于此。

　　具体到数据犯罪，数据的本体犯罪相对于其后续的功能犯罪而言属于多元的抽象危险犯。因为，在逻辑上，当行为人侵犯数据及相关系统安全后，可利用该数据实施多种功能犯罪。例如，行为人获取银行计算机中的他人财产信息数据后，可利用他人的财产隐私而实施盗窃罪、诈骗罪、敲诈勒索罪、绑架罪等。如果说非法获取计算机信息系统数据是后续的功能犯罪的抽象危险犯，那么，该抽象危险是多个功能犯罪的危险，并非专属于任一功能犯罪的危险。总之，数据本体犯罪在罪数评价上是独立的，它无法被后续的任一功能犯罪所吸收。但是，有学者认为，数据的本体犯罪和功能犯罪成立牵连犯，应择一重罪处断。然而，是否应对所有牵连犯都从一罪处断，本是有巨大理论争议的问题。而且，若择一罪处断，还会由于抽象危险的多元性陷入牵连犯的“夹结困境”：无论行为人实施的后续功能犯罪有多少个，由于均与本体犯罪存在牵连一罪的关系，被本体犯罪所夹结，最终都只能择一罪处断，从而造成严重的处罚不公。再如前例，行为人实施非法获取计算机信息系统数据后，无论他利用该数据实施了盗窃罪、诈骗罪、侵犯公民个人信息罪等多少种功能犯罪，根据前述论者观点，由于它们都与非法获取计算机信息系统数据罪存在牵连关系，最终只能择一罪处罚。显然，这无法体现多罪多罚的罪刑等价性，是不合理的。

　　总之，数据本体法益和数据功能法益是独立评价的两项法益，数据不法行为触犯的本体罪名和功能罪名是两项单独的罪名，不构成一罪关系。实施数据本体犯罪后利用该数据实施功能犯罪的，属于实质数罪，应当数罪并罚。那么，应当如何理解《刑法》第287条的规定呢？《刑法》第287条规定：“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”数据犯罪离不开计算机，这是否意味着行为人同时触犯数据的本体犯罪和功能犯罪时，只能以“有关规定”即功能犯罪处罚呢？答案显然是否定的。若只能定数据功能罪名，等于完全放弃了对数据本体罪名的处罚，有悖于本体罪名的独立性。而且，在本体罪名的刑罚高于功能罪名的场合，更会造成处罚上的悖论：行为只触犯本体罪名一罪时的刑罚重，而既触犯本体罪名又触犯功能罪名时，因只依功能罪名处罚，刑罚反而更轻。因此，只能把《刑法》第287条的规定视为注意性规定：“它旨在引起司法人员的注意，对上述利用计算机实施的各种犯罪，应当依照有关金融诈骗、盗窃、贪污、挪用公款等罪的规定定罪处罚；不能因为规定了计算机犯罪，便对利用计算机实施的金融诈骗、盗窃、贪污、挪用公款等罪也以计算机犯罪论处。”换言之，《刑法》第287条的规定只是提醒司法人员：数据不法行为触犯数据功能犯罪时，记得以功能犯罪定罪处罚；但是，数据不法行为同时触犯数据本体罪名的，依照法理同样应当以本体罪名定罪处罚。这意味着如果数据本体罪名与数据功能罪名同时成立，应当数罪并罚。

　　                            庄劲：中山大学法学院教授

　　                            引自《中国刑事法杂志》2023年第2期