刑法应当如何在平衡数据安全与数据共享中有效治理数据犯罪，这是推动以数据为关键要素的数字经济发展所难以回避的重要课题。在立法层面，随着《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)等重要法律的颁布实施以及相关行政法规、行业规范的出台，数据保护的规范体系初步成型，刑法作为前置法的保障法也进入了重塑数据犯罪的关键时期。在司法层面，侵害以数据为载体的财产法益、人格法益等私法益的刑事犯罪以及侵害国家安全、公共安全等公法益的刑事犯罪增长迅速且形态复杂多变。面对这种情况，最高人民法院与最高人民检察院积极发布指导性案例以明确类案裁判规则。1但在刑事立法规则供给不足的情况下，发布指导性案例对于数据犯罪治理而言只是权宜之计。在理论层面，虽然围绕数据犯罪的治理方案、保护法益及罪名设计等已经积累了一定成果，但是在不少关键问题上理论研究仍未达成共识。比如，关于数据犯罪的罪名设计与规制对象，有学者认为应当设立危害计算机信息系统数据罪，将数据安全管理秩序确立为刑法所独立保护的法益，全面规制非法提供、利用、破坏数据的行为；2也有学者主张增设规制非法使用数据行为的罪名，为“个人信息和企业或政府机构数据设置具有针对性的构成要件”;3还有学者认为，应当“将违反合同协议的数据侵害行为出罪，同时将突破技术安全措施和违背事后撤销机制的数据侵害行为入罪”。4此外，多数理论研究提供的方案没有充分考量不同类型的数据犯罪之间的复杂关系，这会导致新旧犯罪交织重叠，滋生竞合。同时，罪名设计也没有体现出法益指导下构成要件的犯罪个别化机能，5多是概括性地以“数据法益”或“数据安全法益”模糊解释数据犯罪的保护法益，理论准备明显不足。科学的犯罪化立法需要刑法教义学为之提供充足的理论准备，“立法者事先就必须对有待规范的生活关系、对现存的规范可能性、对即将制定的规范所要加入的那个规范的整体、对即将制定的这一部分规范必然施加于其他规范领域的影响进行仔细的思考和权衡”。6鉴于此，本文拟回顾数据犯罪的立法变迁，对数据犯罪的规范构造进行教义学分析，尝试为数据犯罪的立法重塑提供理论参考。

一、数据犯罪的立法断层与司法瓶颈

自1994年接入国际互联网，至今不到三十年，我国已经相继跨越了信息网络发展的三个时代，然而相伴而生的是网络犯罪的迭代共生及犯罪治理的新挑战。7信息网络快速发展，已经迭代至数字经济时代，刑法却未能实现对数据法益的充分保护，这使得司法实践中法官不得不续造裁判规范。时至今日，数据犯罪的治理问题仍未得到解决，集中表现为数据犯罪的立法断层与解释瓶颈。

(一)立法代际断层与“规范空白”形成

当前，《中华人民共和国刑法》(以下简称《刑法》)中的数据犯罪主要源于前数字经济时代。相应地，对于立法未能及时跟进数字经济发展而产生的规范空缺，通常依赖传统犯罪在网络空间的更迭进化以及对犯罪构成要件的扩张性解释得以填补。在《刑法》没有增加新型数据犯罪的前提下，线下犯罪的线上转换实现了数据犯罪的范围扩张，既有规范不断被赋予数据犯罪的新内涵，数据犯罪藉由“数据”这一转换介质已经分散到财产犯罪、人身犯罪及社会秩序犯罪等各个领域。这决定了《刑法》中的数据犯罪呈现“散在分布”的特征，归纳起来主要有三种类型：

一是以数据为直接保护法益的核心犯罪(core crime)。就犯罪的规范配置而言，《刑法》中的犯罪有核心犯罪与外围犯罪之分，核心犯罪位于刑法法益及规范目的的聚焦之处，其保护的法益通常在构成要件中被直接描述。8从体系化的视角审查数据犯罪，其中的核心犯罪系指法益之实体内容直接指向数据本身的犯罪。目前而言，仅有《刑法》第285条第2款规定的非法获取计算机信息系统数据罪保护的法益直接指向数据本身，其保护的数据类型为涉及计算机信息系统安全的“计算机信息系统数据”。该罪属于核心犯罪。

二是以数据为间接保护法益的关联犯罪(related crime)。关联犯罪对核心犯罪直接保护的法益进行间接保护，主要体现在规范适用层面，反映的是刑法内在的联结关系。9在数字经济时代，由于数据可以广泛承载财产利益、人格利益以及公共利益等，因而不少传统犯罪通过与数据产生规范关联关系，附带保护了数据法益。这种规范关联关系表现为，数据与虚拟财产、个人信息等具体利益之间的关系是载体与内容、形式与实体的“一体两面”关系。在对数据进行利用时一定要考虑数据负载的具体利益，反过来，在保护具体利益时也要保护好作为载体的数据。10刑法在制裁侵犯这些具体利益的犯罪行为时，间接保护了作为形式载体的数据。《刑法》中以数据为间接保护法益的关联犯罪，最初主要是共同维护计算机信息系统安全的非法侵入计算机信息系统罪、非法控制计算机信息系统罪、破坏计算机信息系统罪以及提供侵入、非法控制计算机信息系统程序、工具罪，现如今已广泛存在于《刑法》第三章“破坏社会主义市场经济秩序罪”、第四章“侵犯人身权利、民主权利罪”和第五章“侵犯财产罪”等。

三是为数据提供保护屏障的外围犯罪(peripheral crime)。在某种意义上，外围犯罪是立法者基于相对不确定的理由创制的，比如风险预防、行政管制、司法效率等，11因而与核心犯罪相比，“外围犯罪并没有为惩罚犯罪者的国家权力运作提供连贯合理的责任主义基础”。12这也意味着，数据犯罪体系中的外围犯罪并不以数据为直接或间接保护法益，而是通过维护信息网络安全为数据提供更加宽泛的外在屏障。《中华人民共和国刑法修正案(九)》增设的拒不履行信息网络安全管理义务罪、非法利用信息网络罪和帮助信息网络犯罪活动罪，均属于外围犯罪。

刑事立法所构建的“核心犯罪+关联犯罪+外围犯罪”的数据犯罪体系，总体上兼顾了数据的内核与外延，三种类型的数据犯罪具有法益保护的共通性与规范功能的互补性。在此逻辑下，依照犯罪类型与保护法益的远近关系，侵犯数据法益的行为原本应当优先适用的犯罪类型是核心犯罪，次之是关联犯罪，最后是外围犯罪。然而，由于核心犯罪及部分关联犯罪未能及时跟进数字经济发展，相关规范未得以修正完善，当下主要源于前数字经济时代的数据犯罪难以满足数字经济时代数据法益的保护需求，立法出现了明显的代际断层。

基于数据犯罪的体系性，在立法断层出现的早期，尚无增设新罪之必要，只需在既有犯罪中增添新的数据要素即可实现保护目的。换言之，此时核心犯罪的缺位可以由关联犯罪和外围犯罪补充。由此，出现了关联犯罪和外围犯罪被用于保护数据法益的阶段性现象。其中，关联犯罪因与数据所承载之具体利益存在规范关联，在规制侵犯数据法益的犯罪行为中得到了广泛适用。《刑法》中保护个人信息数据的侵犯公民个人信息罪、保护数据财产性利益的盗窃罪、保护平台商业秘密数据的侵犯商业秘密罪等，皆属此列。外围犯罪具有较为鲜明的预防性特征，能够适应数据法益保护前置化的时代趋势，在司法实践中适用频率较高。以帮助信息网络犯罪活动罪为例，2020年全国各级法院审理帮助信息网络犯罪活动罪案件的数量较上一年度激增34倍，2021年审理案件的数量再增17倍，其中大部分案件都涉及到数据财产法益的刑法保护。13

不过，这种体系性补充只是权宜之计。无论是关联犯罪，还是外围犯罪，都不是直接保护数据法益本身的犯罪类型，不可能完全填补核心犯罪的缺位，同时随着数字经济发展，这种体系性补充可能会进一步演化为“规范空白”。14刑法法益是历史性范畴，“随着社会的发展变化，原本不被认为是利益或者原本不会被侵害的利益，现在却是重要利益并且受到了严重侵害……越是受到普遍侵害的利益，当然越需要刑法保护”。15进入数字经济时代，数据被赋予了关键生产要素的重要地位，一些具有重要价值的数据不仅关乎个人的人格和财产，而且涉及到国家安全和公共利益，若不加以妥善保护，势必影响数字经济的发展。因此，在立法层面，《中华人民共和国刑法修正案(十一)》在《刑法》第334条中增设了非法采集人类遗传资源、走私人类遗传资源材料罪，将种族基因数据等关乎生物安全的人类遗传资源纳入保护范围，16同时修改了《刑法》第217条所规定的侵犯著作权罪，针对短视频、自媒体文章等作品强化了数字知识产权的刑法保护。然而，非法采集人类遗传资源、走私人类遗传资源材料罪和侵犯著作权罪在数据犯罪体系中仍属于关联犯罪，两者并非以数据作为独立的、直接的保护法益，因而此种增设新罪、扩容旧罪的方式只能无限缩小规范空白，不可能完全解决核心犯罪缺位所带来的规范空白问题。

当前数据犯罪的规范空白主要体现在两方面：一是由于刑事立法中核心犯罪缺位，一些应当被纳入刑法保护的重要数据类型不在被保护之列。例如，对于重要物资储备数据、宏观经济统计数据等属于公法益范畴的数据，《数据安全法》第21条将此类数据列为比个人信息数据具有更高受保护性的“重要数据”与“核心数据”,并予以着重保护，但《刑法》未将这些数据纳入核心犯罪所直接保护的法益范畴。从预防犯罪的角度看，尽管危害国家安全罪、危害公共安全罪和妨害社会秩序罪等内含着对上述重要数据的保护，但这些关联犯罪与外围犯罪的适用，往往要求侵害行为侵犯了数据所承载的具体利益，此时关乎国家安全、公共利益的重要数据已被泄露，刑法难以发挥对重要数据法益的预防性保护功能。二是在已经被刑法保护的数据类型中，原本应当由刑法规制的非法处理数据行为未被纳入全流程规制范围，存在处罚空隙。例如，《刑法》第253条之一就侵犯公民个人信息罪的行为类型仅规定了非法获取行为、非法提供行为、非法出售行为，其中，非法获取行为指向前端的个人信息数据流入行为，非法提供行为与非法出售行为指向末端的个人信息数据流出行为，而中端的个人信息使用行为不在被规制之列，对个人信息数据进行删、改、增等破坏数据完整性的行为不属于侵犯公民个人信息罪的行为类型。因此，《刑法》未实现对侵害个人信息数据的行为的全流程规制。规范空白削弱了刑法的实效性：如果行为人实施一个明显更具严重社会危害性的行为而没有被追究刑事责任，这会向公众释放错误信号，导致刑法因明显偏离公正性标准而失义，17进一步引发法法衔接困境与司法适用障碍等问题。

(二)司法续造瓶颈与“规范内涵”耗尽

立法代际断层加深了司法实践中所面临的困惑，司法机关就案情高度相似的“类案”作出了不同的裁判。18例如，同样是利用网络爬虫技术突破或绕开技术保护措施以非法获取数据的侵害行为，19部分法院仅追究行为人的民事责任，20部分法院仅追究行为人的刑事责任，21部分法院同时追究行为人的民事责任和刑事责任，22在适用的罪名上司法裁判也不尽相同。可见，有限的数据犯罪立法资源与不断增加的数据法益保护的司法需求之间的紧张关系被放大。为了缓和立法代际断层带来的负面影响，司法机关频繁对《刑法》中相关犯罪的构成要件进行扩张性续造。23

以非法获取计算机信息系统数据罪中的“计算机信息系统数据”为例，根据2011年8月1日最高人民法院、最高人民检察院出台的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条第1款的规定，非法获取“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”和其他“身份认证信息五百组以上的”,构成非法获取计算机信息系统数据罪。“计算机信息系统数据”在此被解释为“身份认证信息”。关于何谓“身份认证信息”,第11条规定：“本解释所称‘身份认证信息’,是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。”然而，为了满足入罪需要，司法机关对非法获取计算机信息系统数据罪中的“计算机信息系统数据”先后进行了多次司法续造，对计算机信息系统数据的解读已经远远超出了身份认证信息的语义范围。例如，2012年最高人民法院研究室在《关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》中指出：“对盗窃网络游戏虚拟货币的行为应以非法获取计算机信息系统数据罪定罪量刑。”由此，网络游戏虚拟货币被解释为非法获取计算机信息系统数据罪中的计算机信息系统数据，这显然突破了身份认证信息的语义范围。最高人民法院研究室作出该解释有特定的时代背景。当时盗窃“财产性利益”尚未成为刑法理论的确定性结论，“财产性利益”被认为不属于盗窃罪中的“公私财物”,同时刑法理论与司法实践主要参照德国刑法理论及我国台湾地区学说，将网络游戏虚拟货币解释为“电磁记录”。24在实践中，不断增加的盗窃网络游戏虚拟货币案件使得司法机关必须作出积极应对，因此，司法机关选择关联性较强的非法获取计算机信息系统数据罪以规制网络游戏虚拟货币盗窃行为。在当前的刑法理论中，盗窃网络游戏虚拟货币应当被认定为盗窃罪而不是非法获取计算机信息系统数据罪，网络游戏虚拟货币不是“计算机信息系统数据”。

当刑法存在过大的规范空白时，刑法“给予法官的自由裁量余地太多了，因为法官可能发现在许许多多场合下适用立法者创造的规范是不够的”。25囿于核心犯罪的缺位，司法机关陷入了既不愿放纵“犯罪”行为又担忧刑事制裁缺乏法律依据的两难境地，即“若不将相关行为定罪，刑法的功能就难以发挥；若将它们认定为犯罪，则需要采用某种解释立场和方法帮助说理，否则就面临来自罪刑法定的压力”。26在这两者之间，司法机关显然选择了前者，对既有犯罪的构成要件进行“灵活解释”以扩大处罚范围，这种“错判无罪”的司法感性使得刑法解释愈发远离合法性标准。为了有效规制相关行为，司法机关不断扩张计算机信息系统数据的规范语义，计算机信息系统数据已经囊括了车辆交通违法记录数据、27外国公民信用卡信息数据、28网络平台积分数据29等非身份认证信息。甚至有的法院明确指出，行为人只要采用技术手段非法获取他人计算机信息系统中存储、处理或者传输的数据，情节严重，即构成非法获取计算机信息系统数据罪。30“为了保护计算机信息系统的安全，1997年修订刑法时，全国人大常委会即对危害计算机信息系统安全的犯罪作了规定”。31可见，《刑法》设立非法获取计算机信息系统数据罪，本意是为了保护“计算机信息系统安全”。因此，行为人非法获取关系到计算机信息系统安全的身份认证信息，才能构成本罪。然而，经过持续扩张数据语义的司法续造活动，计算机信息系统安全这一本罪的核心法益已被实质放弃。时至今日，“似乎所有能储存于电脑系统中的权利客体都可以称为‘数据’,对其非法获取行为都可能构成非法获取计算机信息系统数据罪，使得该罪成为名副其实的‘口袋罪’”。32当前，非法获取计算机信息系统数据罪陷入难以扩张的司法续造瓶颈，计算机信息系统数据乃至数据本身的规范内涵被耗尽。这种以突破法律规定为代价的入罪倾向，存在着背离罪刑法定主义的法治风险。33

综上所述，当前数据犯罪立法的规范空白已然形成，并且随着数字经济的发展还将进一步扩大，这种规范空白已经无力通过关联犯罪和外围犯罪被填补，当前的司法续造也耗尽了既有规范内涵。基于立、改、释三者的顺位关系，当既有规范及其刑法解释无法规制具有严重法益侵害性的新行为类型时，可以着重考虑立新法、扩旧法。34在此意义上，重塑数据犯罪立法正当其时。

二、从保护法益到介入限度：数据犯罪立法的逻辑基础

犯罪化实质上是国家刑罚权扩张与公民自由权利限缩的双向过程，但刑罚权与其他公权力一样具有本能的扩张倾向，立法者的每种突发奇想都有形成制定法的机会。35因此，为了保障公民自由权利不受国家权力侵越，必须对犯罪化进行必要限制。基于数据犯罪立法的正当性考量，应当在立法之前划定一条相对清晰的入罪标准，明确受刑法保护的数据范围及受刑法规制的行为类型。

(一)法益论方案无法确立数据犯罪的立法基础

刑法学界在研究数据犯罪立法时，习惯于将数据犯罪的保护法益作为逻辑基础，并以此指导设计立法方案。由此，关于数据犯罪立法大体形成了四种法益论方案：

第一种方案着眼于数据安全的内容，认为数据犯罪的保护法益系数据的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),即CIA。36这种方案主要参考欧盟模式，借鉴了欧洲理事会《网络犯罪公约》、欧盟理事会《关于国际信息系统的理事会框架决议》。我国《网络安全法》第10条也作了类似规定，规定“建设、运营网络或者通过网络提供服务，应当……维护网络数据的完整性、保密性和可用性”。

第二种方案着眼于数据安全的类型，认为数据犯罪的保护法益包括“数据流通安全法益”和“数据安全状态法益”两种类型。37这种方案主要以《数据安全法》第3条第3款关于数据安全的定义为依据。第3条第3款规定：“数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”

第三种方案着眼于数据的主体，认为数据犯罪的保护法益分为个人数据法益、企业数据法益和公共数据法益，在此基础上应当建立三元保护模式，具体做法是扩容侵犯公民个人信息罪，增设侵犯数据专有权罪和破坏公共数据罪。38这种方案主要基于《数据安全法》第7条、第8条、第9条关于数据主体权益保护的规定。

第四种方案着眼于数据所承载的具体利益，认为不能将数据本身安全作为数据犯罪的法益，而应当“以数据本身所征表的数据信息为中心来建构法益，确保其与具体数据犯罪的法益发生直接关联”,39据此将数据犯罪的保护法益分为数据财产法益、数据人格法益与数据公共法益等。40这种方案贯彻了数据载体与数据价值二分的逻辑，可以说是前数字经济时代关联犯罪制裁思路的延伸。41

在以上法益论方案中，第四种方案试图以关联犯罪规制数据犯罪。这种思路如前文分析无法完全填补数据犯罪的规范空白，因而并不可取。至于前三种方案，逻辑思路皆为借鉴域外规定或根据我国《数据安全法》《网络安全法》等法律，确立数据犯罪的保护法益，因此前三种方案均有混淆刑法的保护法益与前置法的保护法益之嫌。从更深层次分析，以上四种方案共通的逻辑基础是前实定法的法益概念具备对犯罪化立法的先验指导功能，这是方案失败的根本原因之所在。

首先，前实定法的法益概念无力为数据犯罪立法提供有效指导。理论上言犯罪必谈法益的惯性思维，主要受刑法理论“德日化”的影响。这种惯性思维容易影响研究者的理性判断，研究者可能没有深入思考法益论的适用语境及其能否为我国数据犯罪立法提供理论支撑。法益论方案中的“数据法益”或“数据安全法益”实质是立法之前的前实定法的法益。此种前实定法法益具有立法批判功能，是指根据启蒙时代以来的自由主义思想，法益在刑事立法之前具有限定国家权力恣意性、保障公民个人自由的立法指导功能，能够“为刑事立法提供正当性判断基准”。42然而，在新罪未立之际，前实定法法益不过是研究者想象的概念，缺乏规范基础。换言之，当前所谓的“数据法益”或“数据安全法益”可能只是“‘乔装改扮的个人观点’或者‘人们自封为立法机关的纯粹意见’”。43此种充满了个人主义倾向的数据法益论，容易随着解释者的主观意向变动而变化，因此，也就不难理解法益论方案内部分歧不断的现状。因此，即使承认前实定法的法益概念，也应当意识到解释者预设的法益“对于划定刑事立法正当边界所能发挥的作用是极为有限的”。44

其次，由于前实定法的法益概念欠缺牢固的法益根基，因而无法确定值得刑法保护的数据范围。刑法在整体法秩序中具有“最后手段性”,对于其他法律的规定刑法没有必要也不应该不折不扣地加以反映。基于科学立法的比例原则，刑法应当建立法益筛选机制，对前置法所保护的数据范围有所取舍。事实上，在数字社会，人们能够自行在数字社会交往中更为有效地建立和维持秩序，“法律规则也许没有意义”,45当然也没有必要由刑法介入，不涉及重要利益的一般数据应当处于开放共享的状态。然而，上述四种法益论方案均缺乏筛选机制。按照第一种方案，价值较低的一般数据也存在保密性、完整性、可用性，需要刑法加以保护。后三种方案共同的问题在于只对数据进行分类，缺少对数据的分级，无法过滤不应由刑法保护的一般数据。

最后，前实定法的法益概念难以解释法益处罚前置化的刑事立法变迁，46也就无法甄别值得刑法规制的数据侵害行为类型。《数据安全法》《个人信息保护法》《网络安全法》等虽然以“安全”“保护”为名，但实质上兼具“保护法”和“规制法”特征，甚至后者的色彩更加浓烈，比如《数据安全法》的实质是“数据处理行为规范法”,《个人信息保护法》的实质是“个人信息处理行为规范法”。仅基于法益保护逻辑而疏漏行为规制逻辑，在很大程度上影响立法方案设计的合理性。按照数据流通的过程，可以将数据处理行为分为前端的数据获取行为、中端的数据使用行为以及后端的数据泄露行为。然而，是否所有环节的数据处理行为都构成犯罪?这是法益论方案所无法回答的。在一些特别情况下，根据法益论逻辑所得出的结论可能与大众正义直觉相去甚远。

(二)数据犯罪立法的“元问题”是刑法的介入限度

为了合理限制犯罪化立法，早期理论主要基于“伤害原则”(Harm Principle)提出“当且仅当一个行为是有害的，才能将其定为刑事犯罪”;47现代刑法理论基于风险预防的需要发展出了“预防原则”,认为犯罪化立法必须具有预防犯罪的作用。48为了有效发挥刑法在数字经济发展中的规范作用，无论是基于何种限制立场，根本逻辑都是合理划定刑法介入数据保护的限度。这是数据犯罪立法必须认真思考的“元问题”。

所谓刑法介入数据保护的限度问题，核心在于厘清整体法秩序中《刑法》与《数据安全法》《个人信息保护法》《网络安全法》等前置法的关系。法秩序作为动态的规范体系，在同级规范之间建立了联结关系和序位关系。49在联结关系下，刑法所保护的数据法益的范围和程度随前置法变动而变动；在序位关系下，刑法作为最后序位的法，对数据的保护应当限制在最小必要限度内。

基于法秩序内刑法与前置法的联结关系，刑法所保护的数据法益需要参酌前置法确定。从法律属性来看，数据犯罪应当为法定犯或有明显法定犯成分的混合犯，具有较强的“禁止恶”。50由此数据犯罪的构成要件必然以成文或不成文形式包含着对前置法规定的参酌和援引，前置法的规定影响刑法中数据犯罪的犯罪圈设定。在既往的立法中，存在“刑法先行”所引发的刑法与前置法保护不协调的问题，这种情况值得反思。以个人信息保护为例，我国个人信息保护立法具有明显的“刑法先行”特点。在《个人信息保护法》颁布实施之前，《刑法》率先规定了个人信息犯罪，以规制严重侵害个人信息的行为。这种规制固然有其必要性，然而，“刑法先行”使个人信息犯罪的认定长期处于无前置法可依的尴尬境地。对此，法官在个案中不得不频繁续造裁判规范，这种规范续造多基于经验理性而欠缺牢固的教义学基础。因此，随着《个人信息保护法》颁行，许多裁判结论与《个人信息保护法》相左，在基本概念与保护程度等方面均存在“刑民割裂”的情况。例如，依照《个人信息保护法》的规定，电话号码属于“个人信息”,但在刑事司法实践中被认为不属于“公民个人信息”。51又如，生物识别数据、宗教信仰数据在《个人信息保护法》中属于敏感个人信息，需要得到特别保护，而在《刑法》中仅属于受保护性最低的“其他可能影响人身、财产安全的公民个人信息”。52随着《数据安全法》《个人信息保护法》颁行，《刑法》宜通过修法重新建立与前置法之间的联结关系，对数据的保护范围和程度需要与前置法协调一致。具体而言，对于前置法不保护的无主体数据，刑法没有必要予以保护；对于前置法特别保护的重要价值数据，刑法也不宜降格保护。

在以联结关系确定刑法需要跟随前置法调整而修正后，还要明确如何在数据保护中定位刑法，或者说，如何配置数据犯罪才能够使刑法成为最后序列的保障法而不是在先的社会管理法。53基于刑法的体系性及其与前置法的联结关系，可以从保护的数据类型和规制的行为类型两个层面确立刑法介入数据保护的最小必要限度。

第一，基于数据分类分级保护制度，刑法所保护的数据类型应当限于前置法特别保护的数据，即前置法是否对特定数据类型设置了较高等级并给予特别保护构成了刑法介入的基本条件。

从数据价值的角度来看，《数据安全法》之所以对数据进行分类分级保护，是由于不同的数据所承载的利益类型及价值大小不同，立法分别给予不同程度保护，是为了在数据要素共享与法律对利益的保护之间寻求平衡。据此，承载较低价值或较少利益的数据本就不应该受到过多的法律保护，更不应当由刑法介入保护。例如，个人上网所产生的不含密码等重要内容的cookies数据，属于个人网络行为轨迹数据。然而，单个的个人网络行为轨迹数据因承载的价值较低，没有必要纳入刑法的保护范畴。因此，数据分类分级可以帮助刑法剔除前置法中不受保护以及受保护程度极低的数据。

从数据犯罪的属性来看，无论是核心犯罪还是关联犯罪、外围犯罪，都具有鲜明的法定犯色彩，因而可以说数据犯罪是“时代产物”,是国家为了“维护社会秩序的需要而为法律所禁止的行为”,54天然存在法益抽象化的问题。更何况，因为数据犯罪“并不禁止损害本身，而是禁止损害的可能性——当实施这种犯罪时，这种损害可能性并没有(通常情况下也并没有)转变为现实危害”,55“它给人一个理由将无害的东西定为犯罪，只要将其定为犯罪会减少危害”,56所以基于数据犯罪所具有的此种预防主义倾向，在犯罪化时需要慎之又慎。为了防止犯罪化的偶然性与随意性，必须选择相对较高和确定的入罪标准。前置法的特别保护赋予了刑法以入罪的高标准和确定性，将刑法所保护的数据类型限定在最小必要限度，也为将来根据需要适时调整数据犯罪的犯罪圈预留了必要的缓冲空间。

第二，基于数据要素有序共享理念，刑法既要对非法数据处理行为进行全流程规制，也要考虑到在数字社会特定交往场景下无需赋予数据主体“真实”话语权，科学设定排除犯罪成立的出罪事由。

共享是数据的第一主题。刑法规制不是阻止共享，而是为了使共享从无序变得有序，从失范到规范。数据是数字社会新技术新业态的基本要素。在新技术新业态出现的早期，由于法律调控的缺位，新技术新业态的发展必然会经历一段时间的“野蛮生长期”,大量失范行为出现。面对日渐无序的数据侵害现象，公共部门寄希望于最严厉的刑法来调控，以求快速有效地规制失范行为。这种高压的刑事政策思维，在特定时期是有益的，但会误导立法形成“既严又厉”的格局，科学性欠佳。

回归理性，立法者敏锐地察觉到，有序共享是刑法介入数据保护的重要前提。为了保障数据有序共享，刑法当然有必要对非法处理数据的行为进行全流程规制，包括前端的非法获取行为、中端的非法使用行为以及后端的非法泄露行为。同时，为了促进数据共享，刑法对失范行为的规制也应当有其限度。在数字社会中，特定场景下数据主体“真实”的话语权已经被社会交往规则所淡化，比如互联网平台用户通常不会认真审查“数据授权条款”就轻易地给予同意，57一些未经数据主体同意的处理行为虽然涉及到有重要价值的数据，但也没有必要通过刑法加以规制。又如，为了科学研究而处理个人信息数据、企业知识产权数据及公共数据，即使没有经过特定主体授权，也不宜被认定为犯罪。再如，为了合法经营而非法获取一般数据，数量较少的，通常只需要通过竞争法调整即可，无需作为犯罪处理。

总之，刑法介入数据保护的限度，即犯罪化限制，有两个维度：一是考量对数据类型的保护限度，将不重要的数据类型从刑事犯罪圈排除出去；二是考察对行为类型的规制限度，根据数字社会交往关系设置限制入罪的例外情形。两相结合，不仅实现了数据犯罪立法的科学性、合比例性与确定性，而且使数据犯罪更能契合数字经济时代发展，实现特定场景中不值得刑法处罚的数据处理行为的非犯罪化。

来源：《法制与社会发展》（本文为文章摘录版，如需引用，参阅原文）