网络数据犯罪刑法规制体系的构建

网络数据犯罪刑法规制体系的构建

一、引言

随着万物互联的大数据时代的到来，数

据技术的迭代引发数据规模呈爆炸式增长。

网络数据作为新时代的生产要素，其需求与

应用日益广泛，其要素价值的释放路径也更

加多元。与此同时，网络数据面临的安全风

险也随之凸显，暴露出网络数据安全的脆弱

性与易受攻击性。一方面，数据应用的复杂

性和数据分析挖掘的多样性增加了数据权属

管理和抵御安全攻击的难度；另一方面，越

来越多的跨组织间数据流通进一步加剧了数

据被盗用、误用、滥用的安全风险。在数据

违规收集、数据泄露、数据丢失、数据滥用

等安全事件层出不穷的社会现实下，网络数

据犯罪逐步成为网络犯罪中的重要组成部分。

如何应对大数据时代下严峻的数据安全威胁？

这显然是刑法无法忽视的焦点问题。

2021年6月10日我国公布了首部独立

的有关数据保护的《数据安全法》，标志着

我国数据保护制度建设里程碑式的进步。该

法明确了数据的定义，即所谓数据是指“任

何以电子或其他方法对信息的记录”。可见，

《数据安全法》划定的数据的外延范围几乎

可以涵盖所有以电子形式、实体形式等各种

形式对信息的记载。此前2016年11月7日

公布的《网络安全法》则明确：“网络数据”

是指“通过网络收集、存储、传输、处理和

产生的各种电子数据”。其中“网络”是指

“由计算机或者其他信息终端及相关设备组

成的按照一定的规则和程序对信息进行收集、

存储、传输、交换、处理的系统”。由此可

以看到，网络数据是数据下属的子概念，是

指经由计算机、网络设备或者其他信息终端

系统的以信息为记载内容的各种电子数据。

网络数据犯罪主要包括以网络数据为犯

罪对象的犯罪和以网络数据为犯罪工具的犯

罪。前者通常表现为直接以网络数据作为行

为的作用对象，意在侵害数据保密性

(confidentiality)、完整性(integrity)

和可用性(availability)的犯罪，是“纯

正的”网络数据犯罪，可以将其称之为狭义

的网络数据犯罪。后者则通常表现为对网络

数据的非法利用，是信息网络时代催生出的

传统犯罪行为的网络异化，即原本在传统现

实社会可以通过物理性的实体工具得以实现

的行为，在蔓延到网络虚拟空间后，转而借

助网络数据为载体或工具加以实施。如现下

频发的刷单炒信行为，正是不法分子利用电

商平台中虚假的销售数据、卖家评价数据等

进行的虚假广告、破坏生产经营行为。对于

此类以网络数据作为工具或媒介的“不纯正”

的网络数据犯罪，其侵害的法益同网络异化

前的传统犯罪无异，通过对传统刑事法规进

行与时俱进的刑法解释可以实现其与具体事

实行为之间的对接。在司法实践中通常可以

适用《刑法》第287条利用计算机实施犯罪

的提示性规定对相关网络数据犯罪采用传统

犯罪罪名定罪处罚。而“纯正的”网络数据

犯罪则与之不同，其侵害的数据保密性、完

整性与可用性是网络时代独立于传统犯罪的

新兴法益。有鉴于此，以网络数据作为行为

对象的网络数据犯罪是本文拟探讨的重点。

二、网络数据犯罪的刑事法律规制现状

（一）网络数据犯罪的刑事立法规制现

状

由于网络数据通常依托于计算机信息系

统及其相关的网络设施，我国刑法对网络数

据的保护，主要是围绕着对计算机信息系统

犯罪（也称计算机系统犯罪）的规制展开的。

1997年《刑法》设立了非法侵入计算机信息

系统罪与破坏计算机信息系统罪以保护计算

机信息系统安全，其中第285条非法侵入计

算机信息系统罪主要规制对国家事务、国防

建设以及尖端科学技术领域的计算机信息系

统的侵入行为，适用范围较窄，无法有效打

击实践中对其他领域计算机信息系统安全的

侵害。为此，2009年《刑法修正案（七）》

增设了第2款非法获取计算机信息系统数据、

非法控制计算机信息系统罪以对第1款进行

补充，通过取消对计算机信息系统性质的限

制扩大了相关计算机系统犯罪的规制范围，

重点强调了对计算机信息系统中存储、处理

或者传输的数据的保护。同时，《刑法修正

案（七）》增设第3款提供侵入、非法控制

计算机信息系统程序、工具罪，将提供第1

款、第2款犯罪所需程序、软件的帮助行为

在立法上予以正犯化。2015年《刑法修正案

（九）》则对前述两罪增设了有关单位犯罪

的规定。可见，1997年《刑法》以来，相关

计算机信息系统罪名历经多次修正，经过立

法者的不断调适，形成了较为完整的梯度式

的计算机系统犯罪规制体系。

当前在计算机系统犯罪体系，用于制裁

网络数据犯罪、保护网络数据安全的罪名主

要集中于《刑法》第285条第2款非法获取

计算机信息系统数据罪以及第286条第2款

破坏计算机信息系统罪。前者主要规范侵入

计算机信息系统或者采用其他技术手段，获

取该系统中存储、处理或者传输的数据的行

为，惩治对网络数据的非法获取行为；后者

则主要规范对计算机信息系统中存储、处理

或者传输的数据和应用程序进行删除、修改、

增加的操作行为，惩治对网络数据的破坏行

为。两罪具有不同的法益保护重点，前罪旨

在保障网络数据的保密性，以确保数据利益

主体对数据的排他性获取、复制、使用与处

分等权益；后罪则重在保障网络数据的完整

性与可用性，以确保相关网络数据的内容不

被其他主体破坏以及数据利益主体可随时访

问和使用数据。两罪所保护的法益互为补充，

基本覆盖了刑法对网络数据法益的全方面保

护。

除此之外，我国刑法对网络数据安全的

保护，尤其是对网络数据内容保密性的保护，

还主要围绕着网络数据所承载的具体内容即

信息展开进行。我国实际上通过对“计算机

信息系统数据”作信息化的解释将数据与信

息两者进行有机的结合而非将其割裂开来，

以实现对其保护。信息是作为存在形式的数

据的实质内容，是以电磁信号为主要形式的、

在计算机网络化系统中进行获取处理、存储、

传输和利用的信息内容。电子数据作为计算

机信息系统或者网络系统中的存在形态，可

以表现为文字、声音、图像等各种单一或组

合的形式，这些各样的外在表现形式本身只

是载体，这些形式载体只有被转换为文字内

容、声音内容、图像内容等，也就是信息内

容后才具有实质内容上的意义。反之，信息

内容也无法脱离载体单独存在，只有依托于

数据这一形式载体信息的实质内容才能够得

以体现。总结而言，数据和信息是载体和内

容、形式和实质的关系。正因为如此，有学

者认为，在我国刑法的语境下，保护数据即

保护信息。事实上，数据承载的信息内容通

常具有不同的信息属性，可能涉及国家秘密、

商业秘密、个人隐私等。数据的价值，不仅

体现在其本身的技术层面，还体现在其具体

内容与现实世界受保护法益的联系上。相关

数据所承载的信息内容的性质极大程度上决

定了侵害不同数据所造成的不同社会危害性,

在此意义上侵害相关数据安全行为的定性，

主要取决于相关数据所承载的信息内容的性

质。

当相关网络数据所承载的信息内容具有

国家秘密（包括军事秘密）属性时，侵害网

络数据保密性的行为可能构成非法获取国家

秘密罪，为境外窃取、刺探、收买、非法提

供国家秘密罪，故意（过失）泄露国家秘密

罪，非法获取军事秘密罪，为境外窃取、刺

探、收买、非法提供军事秘密罪，故意（过

失）泄露军事秘密罪等罪；当相关网络数据

所承载的信息内容具有知识产权属性时，侵

害该类网络数据保密性的行为可能构成侵犯

商业秘密罪或为境外窃取、收买、非法提供

商业秘密罪等罪；当相关网络数据所承载的

信息内容具有个人身份属性时，侵害该类网

络数据保密性的行为可能构成侵犯公民个人

信息罪等罪。

当前我国刑事立法分别从网络数据所依

托的计算机信息系统以及网络数据所承载的

信息内容两个方面实现对网络数据安全的保

护。前者主要通过确保计算机信息系统不被

侵犯以保护网络数据的保密性、完整性和可

用性；后者则主要保护网络数据所承载的信

息内容的保密性，本质上是对信息安全的保

护。

（二）网络数据犯罪的刑事司法规制现

状

当前我国司法实践对“数据”的理解较

为混乱，尤其对是计算机系统犯罪中“数据”

的内涵与外延，尚未达成统一。

一方面，相关司法解释将非法获取计算

机信息系统数罪中的“数据”限缩为“支付

结算、证券交易、期货交易等网络金融服务

的身份认证信息”以及“其他身份认证信息”,

其中前者与“公民个人信息”的下属概念中

的“财产信息”保持一致。而实践中，从大

量的判决书来看，作为该罪犯罪对象的“数

据”范围极广，几乎涵盖了一切可在电脑系

统中储存、显示、获取的权利客体。采用技

术手段入侵计算机信息系统获取数据，最终

被判以非法获取计算机信息系统数据罪的案

件中，被认定为该罪对象的“数据”的，不

仅包括具有财产权益的信用卡信息资料、苹

果手机ID与密码等身份认证信息等身份认

证信息，还包括淘宝用户的交易订单数据、

医院数据库中的药品用药量统计数据等身份

认证信息以外的电子数据。可以看到，实务

中相关判决并未完全遵循前述司法解释对非

法获取计算机信息系统数据罪中“数据”所

作的限制性规定，并不将其局限于身份认证

信息类的权限型数据内容，而是将身份认证

信息以外的其他具有价值的电子数据同样纳

入该罪的规制范围。

另一方面，从破坏计算机信息系统系统

罪该条文的字面含义来看，第2款“对计算

机信息系统中存储、处理或者传输的数据和

应用程序进行删除、修改、增加的操作“中

的“数据”似乎泛指一切数据，相关司法解

释在该罪的罪数标准上也并未对“数据”的

涵义作任何限制。然而，实务中对破坏计算

机信息系统数据罪中删除、修改、增加计算

机信息系统中的电子数据的操作行为，2017

年10月最高人民检察院发布的指导性案例

第34号与2020年12月最高人民法院发布的

指导案例145号对其中“数据”的性质作出

了截然不同的理解：前案中，被告人侵入购

物网站内部评价系统删改买家的购物评价，

法院认定该行为是对计算机信息系统内存储

数据进行删除、修改操作的行为，应当认定

为破坏计算机信息系统的行为；而后案则明

确了修改、增加计算机信息系统数据，但未

造成系统功能实质性破坏或不能正常运行的,

不应当认定为破坏计算机信息系统罪。换言

之，前案例未对破坏计算机信息系统罪中的

“数据”性质作任何限定，可以泛指一切计

算机信息系统中存储、处理或者传输的数据，

后案例则将该罪中“数据”限缩为对其删除、

修改、增加会有损于计算机信息系统功能的

完整性和系统正常运行状态的数据。

可以看到，无论是《刑法》第285条第

2款旨在保护电子数据保密性的非法获取计

算机信息系统罪，还是《刑法》第286条第

2款意在保护电子数据完整性与可用性的破

坏计算信息系统罪，司法实践中对其中“数

据”的理解均尚未达成一致。

三、现行刑法对网络数据犯罪规制存在的缺陷

（一）“系统”与“数据”的杂糅

一方面，同包括欧盟、德国、日本及我

国台湾地区在内的世界各国、各地区一样，

我国刑法中的“计算机信息系统”与“数据”

概念表现出互为定义的关系。在我国《刑法》

以及相关司法解释的规定中，计算机信息系

统是指具备自动处理数据功能的系统，包括

计算机、网络设备、通信设备、自动化控制

设备等，刑法所保护的数据则是指计算机信

息系统中存储、处理或者传输的数据。该项

规定从技术意义上来理解数据的生成、传输

和信息显现，体现了数据对计算机、网络通

讯设备等的依附特征，因此《刑法》规定计

算机犯罪在广义上应当和数据犯罪之间具有

一定的包容关系。可以看到，刑法通过对计

算机信息系统的范围进行界定以明确“数据”

的内涵与外延，同时又将具备“自动处理数

据功能”的系统认定为计算机信息系统，导

致“数据”与“计算机信息系统”的范围无

限趋同。

诚然，在建立计算机系统犯罪体系之初，

由于信息技术水平的有限性，有价值的数据

几乎仅能存在于计算机信息系统上，甚至大

部分电子数据仅能存在于计算机本身，可以

说当时数据的外延范围同计算机信息系统基

本是一致的。在此技术背景下，通过计算机

信息系统的概念范围界定数据的范围无可厚

非。然而，随着信息技术的革命与数据技术

的迭代，与计算机有关的信息系统逐渐脱离

计算机本身，而表现为包括移动终端在内的

通信设备、自动化控制设备等多样的系统设

备。相关司法解释为顺应信息技术的革新与

发展，在前置法规《计算机信息系统安全保

护条例》的基础上，将“计算机信息系统”

（即“计算机系统”）扩张解释为不仅限于

计算机本身，包括网络设备、通信设备、自

动化控制设备等在内的一系列系统设备，在

极大程度上弱化了传统计算机的性能特征。

此时，“数据”的概念也随之扩张，前述计

算机信息系统设备中存储、处理或者传输的

数据均属于我国刑法的数据范围。根据该项

规定，尽管大部分的网络数据得以被“计算

机信息系统中的数据”所涵盖，但在这种“数

据”概念依附于“系统”概念的计算机系统

规制体系下，“数据”这一概念无法脱离“计

算机信息系统”的桎梏。事实上，大数据背

景下的网络数据已经展露出独立于计算机信

息系统的独立的内涵与形式，如网页浏览记

录、下载记录、关键词搜索记录等信息数据

既不属于系统中从外部采集而输入系统的数

据，也不属于系统运行过程中自行产生的痕

迹与记录数据，由于其并未进入系统内部，

在本质上无法归属于计算机信息系统数据的

范畴之内；云技术（包括云存储与云计算）

的提升使数据的存储、数据的输入等均与本

地计算机系统相分离，存储于云端的网络数

据以及大数据技术利用传感器获取的海量数

据在存储与传输上不会与系统产生耦合，也

因此同样难以被认定为计算机信息系统中的

数据，从而表现出刑法的规制不能。而前述

这些独立于计算机信息系统的数据极具价值,

与计算机信息系统中的数据具有同样的应受

刑法保护的重要地位，对其侵害行为理应纳

入刑法的规制范畴。

另一方面，《欧盟网络犯罪公约》(以

下简称《公约》)作为全球范围内第一部针

对网络犯罪所制定的“标杆性”公约，对各

缔约国的网络犯罪立法产生了深远的影响，

成为各国网络犯罪刑事立法的范本。该《公

约》将计算机系统(computersystem)与计

算机数据(computerdata)分别作为独立的

网络犯罪的侵害对象，以不同的罪名予以规

制。如《公约》规定了非法访问

(11legalaccess)与非法拦截

(Illegalinterception),分别规制非法访

问计算机系统的行为以及非法拦截计算机数

据的行为；《公约》还规定了数据干扰

(Datainterference)和系统干扰

(Systeminterference),分别规制故意毁

坏、删除、损坏、更改、阻止计算机数据的

行为以及严重妨害计算机系统运行的行为。

可以清楚地看到，非法访问与系统干扰是针

对计算机系统实施的犯罪，侵害的是计算机

系统安全，其保护法益表现为计算机系统的

不被侵入与系统功能的正常运行。尽管系统

干扰可能包含对计算机数据的删除、改变等

行为，但这仅仅只是作为破坏计算机系统功

能的手段方法；非法拦截与数据干扰则是针

对计算机数据实施的犯罪，侵害的是计算机

数据安全，其保护法益分别表现为计算机数

据的保密性以及完整性与可用性。

与《公约》所采用的立法方式不同的是，

我国《刑法》中的计算机系统犯罪体系并未

明确区分侵害计算机信息系统的犯罪以及侵

害网络数据安全的犯罪。我国的计算机系统

犯罪体系重在维护计算机信息系统安全，在

立法模式上选择将对网络数据的侵害杂糅进

对计算机信息系统的侵害中，进而以同一个

罪名进行规制。比如《刑法》第285条非法

获取计算机信息系统数据、非法控制计算机

信息系统罪，同时规制了获取计算机信息系

统中数据的行为以及非法控制计算机信息系

统的行为；再比如《刑法》第286条破坏计

算机信息系统罪第1款规制的是删除、修改、

增加、干扰计算机信息系统功能，妨害计算

机信息系统正常运行的行为，第2款规制的

则似乎是删除、修改、增加计算机信息系统

中存储、处理或者传输的数据和应用程序，

破坏数据完整性与可用性的行为。

由此可见，我国刑法在概念划定与罪名

设定两方面均将“计算机信息系统”与“数

据”两者予以杂糅的立法模式，使刑法中的

“数据”概念不得不依附于“计算机信息系

统“，而无法覆盖应当被纳入刑法保护范围

的所有数据的外延；表现出我国刑法计算机

系统犯罪体系重系统安全而轻数据安全的立

法现状，而未在立法上对网络数据安全的独

立保护予以足够的重视；也因此直接导致前

述司法实践中对“数据”的理解大相径庭，

引起相关计算机信息系统罪名适用上的争议。

（二）数据全生存周期中的规制空缺

2019年8月30日，我国发布《信息技

术安全数据安全能力成熟度模型》作为国家

标准，并于2020年3月1日起正式实施。该

国家标准明确将数据生存周期划分为数据采

集、数据传输、数据存储、数据处理、数据

交换以及数据销毁六个阶段，与六个维度的

数据安全要求一一对应。与国家标准中的数

据处理主要包括数据计算分析、数据正当使

用等不同，我国《数据安全法》将“数据处

理”作广义理解，明确规定数据处理包含数

据的收集、存储、使用（即狭义的数据处理）、

加工、传输、提供、公开等。虽然国家标准

与《数据安全法》的对数据生存周期的阶段

划分与表述略有不同，但均大致覆盖了数据

全生命周期链条中的各个环节。应当看到，

从最初的数据采集到最终的数据销毁，其中

任何一个阶段都存在着数据安全的风险。然

而，由于数据分析与开发等后续处理应用行

为均始于数据收集，个人数据的来源合法与

否关系到后续的数据流动与利用等环节的合

法性认定，因此数据收集通常是数据监管部

门重点关注的问题，我国刑法也同样将规制

重点放在了数据采集阶段对数据的“获取”

型侵犯，而未能覆盖数据的全生命周期，调

整的范围十分有限。

日前引发广泛争议的“摩羯数据爬虫案”

就是一起典型的侵犯数据存储安全的案例。

被告人杭州摩羯数据科技有限公司（以下简

称“摩羯公司”）主要经营数据提供业务。

贷款用户在向各网络贷款公司、小型银行申

请贷款时，需在摩羯公司提供的前端插件中

输入其通讯运营商、征信中心等平台的账号

与密码。经贷款用户授权后，摩羯公司通过

爬虫程序代替贷款用户登录上述各网站，爬

取该用户的个人信息及多维度信用数据并提

供给贷款平台。尽管摩羯公司同贷款用户事

先签订《数据采集服务协议》，明确承诺“不

会保存用户账号密码，仅在用户每次单独授

权的情况下采集信息”，但摩羯公司在对数

据的处理过程中，仍然擅自将其爬取的用户

数据在其租用的阿里云服务器上长期留存。

杭州市西湖区人民法院认定摩羯公司以其他

方法非法获取公民个人信息，构成侵犯公民

个人信息罪。

可以看到，该判决在非法获取计算机信

息系统数据罪与侵犯公民个人信息罪中选择

了后者，重点关注相关数据所承载信息的身

份属性，倾向于保护公民的个人信息安全。

在网络爬虫行为构成非法获取计算机信息系

统数据罪与侵犯公民个人信息罪的想象竞合

时，笔者支持以侵犯公民个人信息罪定罪论

处。但该案判决的问题在于其对“获取”数

据的理解有失偏颇。摩羯公司对用户数据的

抓取需要经过用户的授权并输入相关平台的

账号与密码，这种技术手段实际上是采用“模

拟登录”的方式，代替用户本人登录相关平

台进而获取其中存储的数据。因此，摩羯公

司的“模拟登录”行为是在取得用户本人的

授权后的有权行为，并不涉及对用户个人信

息安全的侵害。之所以摩羯公司被判以侵犯

公民个人信息罪，是因为摩羯公司违反了与

用户的事先约定，擅自将用户数据长期留存。

法院裁判的内在逻辑实际上是认为这种对合

法获取的公民个人信息的擅自留存同样构成

刑法上的“非法获取”。

由于数据或信息非有形的存在形态，对

数据或信息的获取行为本质上是“从无到有”

（也包括“从明确到不明确”）、“从不知

悉到知悉”的过程，而违反约定的留存行为

则表现为“知悉”状态的不当延续。虽然两

者都体现了无权享有数据或信息内容的主体

对该数据或信息内容保密状态的侵害，但无

论是从一般人对“获取”这一词义理解的角

度，还是从相关法律用语习惯的角度，对数

据的存储显然属于数据获取后的处理行为，

与数据的采集分属不同的环节。在此意义上，

将留存实质内容为公民个人信息的数据的行

为认定为“以其他非法方法获取公民个人信

息”进而以侵犯公民个人信息罪定罪处罚实

有类推解释之嫌。

应当看到，在数据全生命周期的各个环

节都可能出现对数据安全的侵害，比如在数

据公开环节的不应当公开而擅自公开相关数

据、数据提供环节的擅自向他人提供数据、

数据销毁环节的应当对相关数据实施销毁操

作而未销毁等，这些行为同样构成对数据保

密性的侵犯，其社会危害性与在数据采集环

节对数据安全的“获取”型侵犯无异，而这

些对数据安全的侵犯行为尚游离于我国刑法

打击的范围之外。在我国计算机系统犯罪体

系对数据安全的保护尚未覆盖数据的完整生

命周期、着重于数据采集环节的立法不周延

现状下，实务部门将“留存”解释为“获取”

的做法实际上是立法空缺下的无奈之举。

（三）有悖于数据分类分级保护制度与

罪责刑相适应原则

《数据安全法》第21条明确规定我国建

立数据分类分级保护制度，根据数据在经济

社会发展中的重要程度，以及一旦遭到篡改、

破坏、泄露或者非法获取、非法利用，对国

家安全、公共利益或者个人、组织合法权益

造成的危害程度，对数据实行分类分级保护。

关系到国家安全、国民经济命脉、重要民生、

重大公共利益等数据属于国家核心数据，实

行更加严格的管理制度。然而，我国刑事立

法不仅尚未对数据安全的保护采取分类分级

模式，甚至根据《刑法》第285条的规定，

对重要领域的国家核心数据的保护力度反而

相较其他领域的数据更小，违反了罪刑均衡

的基本刑法原则。

《刑法》第285条第1款非法侵入计算

机信息系统罪旨在保护国家重要领域的计算

机信息系统安全不受侵犯，因此该款将犯罪

对象限定为国家事务、国防建设、尖端科学

技术领域的计算机信息系统。对于这些领域

的计算机信息系统，仅实施非法侵入行为即

可构成犯罪，并不要求实施进一步的窃密、

控制、破坏等行为。而对于该款规定以外领

域的计算机信息系统，仅实施非法侵入行为

并不构成犯罪，非法侵入并获取该计算机信

息系统中的数据，或者对该计算机信息系统

实施非法控制的，方构成犯罪。应当看到，

我国刑法实际上贯彻了对计算机信息系统的

分级保护制度，立法者重点考察了侵犯不同

性质、不同重要程度的计算机信息系统造成

的社会危害性的程度，并以此设置了分级化

的条文款项。但是，该款规定看似重点保护

了重要领域的计算机信息系统，但实际上会

因没有将嵌入点选在数据访权限上，而是错

误地选择在储存有特定数据的对应计算机系

统上，导致保护体系不够周延，形成对数据

和国家法益两方面保护的缺憾。

具体而言，对于前述重要领域的计算机

信息系统，我国刑法仅规定了“侵入”这一

基本行为，而没有规定对特定计算机信息系

统中相关数据的侵害行为。因此，在现有的

刑法条文规定下，非法侵入重要领域计算机

信息系统，并获取其中数据的，只能以第1

款的规定定罪处罚，处3年以下有期徒刑或

拘役。因为第2款非法获取计算机信息系统

数据罪明确规定获取的数据所在的计算机信

息系统是指“前款（第1款）规定以外的计

算机信息系统”。反之，非法侵入前述重要

领域以外领域的计算机信息系统，并获取其

中数据的，根据第2款非法获取计算机信息

系统数据罪的规定，可以处3年以上7年以

下有期徒刑。如此的规定不仅忽视了对数据

安全的分级保护，还显然有违罪责刑相适应

原则。

当然，前述重要领域计算机信息系统中

存储、处理或者传出的数据在信息内容可能

具有国家秘密属性，此时侵入系统获取数据

的行为可能构成非法获取国家秘密罪等，可

以在一定程度上规避《刑法》第285条第1

款对采集此类国家核心数据行为的不合理规

制。但是，国家事务、国防建设、尖端科学

技术领域的计算机信息系统中的数据并不当

然属于国家秘密，例如国家事务领域的计算

机信息系统中有关非重大决策中的秘密事项，

或是前述重要领域计算机信息系统中有关行

政人员名单的非核心数据等。也就是说，并

非所有侵入该领域计算机信息系统获取数据

的行为都能以非法获取国家秘密罪定罪处罚。

仅通过适用国家秘密罪以规制相关行为并不

能完全解决《刑法》第285条第1款与第2

款之间不协调与处罚不均衡的问题。

为解决此问题，有学者认为，第2款“前

款规定以外”并不是真正的构成要件要素，

只是表面要素或界限要素，行为人侵入重要

领域的计算机信息系统，获取其中的数据，

情节特别严重的，应认定为非法获取计算机

信息系统数据罪。该学者认为表面的构成要

件要素只是为了区分相关犯罪界限所规定的

要素，不是成立犯罪必须具备的要素。笔者

对此观点不敢苟同。笔者认为，所有的构成

要件要素都具备区分不同犯罪、区分同一犯

罪的不同处罚标准的功能与作用，不能因为

“前款规定以外”这一要素有效区分了《刑

法》第1款与第2款，就认为其不是真正的

构成要件要素。在法条设置具有缺陷的立法

现状下对其进行弥补性的超越刑法规定的解

释，从而虚设条文中明确规定的构成要件，

着实有违反罪刑法定原则。

四、网络数据犯罪刑法规制体系的重塑

鉴于我国当前通过计算机系统犯罪体系

规制网络数据犯罪存在以上诸多问题，有必

要改变这种间接化的规范路径，将网络数据

安全作为有别于计算机信息系统安全的独立

法益，在立法上以网络数据安全为出发点，

发展出直接围绕网络数据犯罪的刑法规制体

系。

（一）补充独立的数据视角

一方面，随着数据技术的革新，网络数

据与物质终端设备的绑定越来越不必要，越

来越多的网络数据已经显现出脱离计算机信

息系统的特性。在此背景下，以“计算机信

息系统”限定“数据”范围表现出对数据的

封闭性、静态性和从属性的固守，造成数据

概念的涵摄内容范围较窄，无法适应网络数

据内容、类型多样化的特点和要求。简言之，

“计算机信息系统中存储、处理或者传输的

数据”这一概念表述已经无法涵盖大数据时

代网络数据的全部涵义。因此，有必要在立

法上摒弃沿用以“计算机信息系统”概念限

定“数据”概念、视数据为计算机信息系统

的附属性行为对象的固定思维，将“数据”

概念从计算机信息系统上予以剥离。具体而

言，可以取消非法获取计算机信息系统数据

罪中“计算机信息系统中的”这一对数据概

念的载体性限制，将“计算机信息系统中的

数据”修正为“网络数据”，修正后的非法

获取网络数据罪可以有效保护大数据时代独

立于计算机信息系统的网络数据。与之相应

的，相关司法解释应当适时进行修改，取消

将非法获取计算机信息系统数据罪中的数据

限定为“身份认证信息”的相关条款。

另一方面，我国在罪名设置上将“计算

机信息系统”与“数据”进行杂糅的立法体

例未在立法层面体现对网络数据安全独立保

护的重视，导致相关条文的保护法益模糊不

清，加剧了司法实务中罪名选择与适用上的

混乱与困难。笔者认为，应当在刑法条文与

罪名的设置上补充独立的数据视角，调整以

计算机系统罪名规制侵犯数据安全的立法倾

向，将侵犯计算机信息系统安全的犯罪与侵

犯网络数据安全的犯罪在罪名设置上予以分

离，使网络数据安全从计算机信息系统安全

中独立出来。

如前所述，“计算机信息系统”与“数

据”在罪名设置上的杂糅主要体现在《刑法》

第285条第2款非法获取计算机信息系统数

据罪、非法控制计算机信息系统罪以及第286

条破坏计算机信息系统罪的第1款与第2款。

对于《刑法》第285条的规定，笔者建

议在立法上将非法获取计算机信息系统罪

（经修正的罪名应当是非法获取网络数据罪）

与非法控制计算机信息系统罪进行拆分。前

者规制侵入计算机信息系统或采用其他技术

手段，侵害数据安全的犯罪行为，后者则规

制对计算机信息系统实施非法控制，侵害计

算机信息系统安全的犯罪行为。需要明确的

是，侵入计算机信息系统仅是非法获取网络

数据的手段行为之一，换言之，由于该罪所

保护的数据不再局限于计算机信息系统中的

数据，因此并不要求采用其他技术手段必须

进入计算机信息系统。譬如采用其他技术手

段窃取存储于云端的网络数据、传感器传输

过程中的数据或者网页浏览记录、下载记录、

关键词搜索记录等尚未进入计算机信息系统

内部的数据的，均可能构成非法获取网络数

据罪。

至于《刑法》第286条有关破坏计算机

信息系统罪的规定，笔者认为，从该罪的立

法本意上来看，设立破坏计算机信息系统罪

旨在加强对计算机信息系统的管理和保护，

保障计算机信息系统功能的正常发挥，维护

计算机信息系统的安全运行，而并非意在处

罚对网络数据安全的侵害行为。从该条3款

罪状的体系协调性角度出发，第1款与第3

款都明确规定“造成计算机信息系统不能正

常运行”“影响计算机系统正常运行”的，

方构成该罪，唯有第2款仅规定了删除、修

改、增加计算机信息系统中的数据和应用程

序，“后果严重的”。如果将第2款保护的

法益理解为计算机信息系统中数据和应用程

序的完整性，认为只要对数据和应用程序进

行删除、修改、增加操作，无需对计算机信

息系统本身的运行安全造成侵害即可构成该

罪，显然与该罪的立法目的相悖，也与该条

第1款、第3款的规定不相协调。在笔者看

来，我国《刑法》破坏计算机信息系统罪第

2款的规定实际上同《公约》第5条规定的

“系统干扰"(Systeminterference)类似，

将对干扰数据作为干扰系统的前置条件，对

数据或应用程序实施的删除、修改、增加操

作只是破坏计算机信息系统功能、阻碍计算

机信息系统正常运行的手段或方式，实质上

保护的仍然是计算机信息系统安全。在此意

义上，可以说第1款与第2款之间应当是实

质与形式的统一关系。因此，第2款中的“数

据”不应当泛指一切计算机信息系统中存储、

处理或者传输的数据，而理应限缩为“计算

机信息系统内部的、侧重于信息系统自身维

护的、以访问控制为主要考虑的“、对其进

行操作会有损于计算机信息系统功能完整性

和系统本身正常运行状态的数据。

如前所述，尽管最高人民法院于2020年

发布的指导案例已经对上述观点进行明确，

但由于不同机关发布的指导案例的要旨截然

不同，导致实务中对该款保护法益的理解莫

衷一是。问题的根源均在于立法上第2款仅

规定了“数据”这一行为对象，而未明确“计

算机信息系统”这一结果对象。笔者建议，

在立法层面明确破坏计