关于我国刑法第286条第2款规定的破坏型数据犯罪的保护法益，学界众说纷纭。在区分数据本体的记录功能与数据内容的表征功能的基础上，因应数据本体的安全需求以及结合数据安全法等前置法的规定，宜将网络智能时代破坏型数据犯罪的保护法益更新为由状态保密、记录完整、合规使用所构成的数据安全管理秩序，即具有超个人属性的数据安全法益，而非固守传统计算机时代产生的财产法益或计算机信息系统安全法益，旨在以数据本体为对象，保护数据的既有存续状态与正常记录功能，维护社会成员对数据安全的信赖。进而基于数据安全法益重新阐释破坏型数据犯罪的构成要件，“数据范围”应去除表征个人法益的数据内容。“非法操作”无须危害计算机信息系统正常运行。“后果严重”要达到扰乱数据安全管理秩序的程度，最终合理确定该罪司法适用的边界与处罚范围。

法益作为“人的生活利益”而成为刑法保护的客体，不仅包括个人的生命、身体、自由、名誉、财产等利益，而且包括建立在保护个人的利益基础之上因而可以还原为个人法益的国家利益与社会利益。数据在信息社会无疑是承载着多种利益的结合体，数据犯罪的司法认定须以厘清立法者设置相关罪名究竟保护的是何种法益为逻辑起点，以之作为“立法者和法律适用者在制定和解释具体条文时必须引用的评价准则”。我国刑法明确规定以“数据”为保护对象的罪名有两个：非法获取计算机信息系统数据罪（第285条第2款）和破坏计算机信息系统罪（第286条第2款），前者制裁的是非法获取数据的行为，即获取型数据犯罪，后者制裁的是破坏（删除、修改、增加）数据的行为，即破坏型数据犯罪，两者构成狭义的数据犯罪规范体系。限于计算机时代对数字化技术的认知水平，立法者将数据犯罪规范体系与计算机犯罪规范体系混合杂糅在一起，特别是把破坏型数据行为纳入破坏计算机信息系统罪的一类实行行为，这一“先天不足”埋下破坏型数据犯罪的保护法益众说纷纭的“种子”。

目前，我国刑法学界关于破坏型数据犯罪的保护法益有多种学说，按照法益属性其实可以分为两类，不同的学术观点直接影破坏数据行为的司法定性与罪名适用。（1）兼及社会法益与个人法益说认为，破坏型数据犯罪的保护客体是“国家对计算机信息系统的安全运行管理制度和计算机信息系统的所有人与合法用户的合法权益”。立足于这一观点，司法实践中将大量具有财产属性或人格属性的数据纳入破坏型数据犯罪的规制范畴，以数据为媒介、实质上是侵犯财产权益或人格利益的行为被径行认定为破坏计算机信息系统罪。例如，登录网络游戏公司服务器以修改数据的方式提升账号等级或盗取游戏装备、游戏币；通过软件对车牌选号系统中存储的数据进行修改、删除操作，有偿帮助他人选取车辆靓号；利用FD软件对计算机信息系统中传输的数据进行修改，为个人账户充值后提现获利；在流动人口管理系统中违规修改、删除公民个人信息。（2）超个人法益说认为，所有人与合法用户的合法权益这种法益过于模糊抽象、广泛无边，难以在经验上把握，不应成为破坏型数据犯罪的保护法益，“应根据刑法条文在整个刑法中的地位，联系相关法条的含义，阐明其规范意旨，以便刑法整体协调”。具体而言，破坏计算机信息系统罪（第286条第2款）被置于刑法分则“妨害社会管理秩序罪”一章中的扰乱公共秩序类犯罪，应采用体系解释的方法，对破坏型数据犯罪的保护法益进行适当限缩，从社会公共秩序的角度来理解破坏型数据行为的社会危害性。根据对数据与计算机信息系统两者关系的认识，形成计算机信息系统安全说与数据安全说两种代表性观点。

第一，计算机信息系统安全说认为，数据依附于计算机信息系统而存在，两者是内容与载体的关系，数据起着保障计算机信息系统功能正常发挥的作用，而且从罪名设置上来看，破坏型数据犯罪隶属于破坏计算机信息系统罪，“此罪侵犯的客体是国家对计算机信息系统设立的安全保护制度”。因此，有学者认为，破坏数据行为只有导致计算机信息系统不能正常运行的情形，才能认定为破坏计算机信息系统罪。换言之，“造成计算机信息系统不能正常运行”被视为破坏型数据犯罪不成文的构成要件要素。另有学者提出较为缓和的观点，主张破坏数据行为必须与计算机信息系统具有关联性，尽管不需要达到造成计算机信息系统不能正常运行的程度，但是至少要影响到计算机信息系统运行安全。秉持这一学说，司法实务中的不少判例都将影响计算机信息系统正常运行作为破坏型数据犯罪的入罪要件之一，而非单纯判断行为人是否对计算机信息系统数据进行了删除、修改、增加的非法操作。例如，法院认为被告人尹某违反国家规定，对四川德阳巨狼服饰有限公司网上商城后台管理系统的数据进行删除、修改，致使该计算机信息系统不能正常运行，造成重大经济损失，后果严重，其行为构成破坏计算机信息系统罪。反之，另有判决将未影响计算机信息系统正常运行作为出罪事由，如被告人沈某虽对目标计算机信息系统数据实施了修改、增加的侵犯行为，但未造成计算机信息系统功能的实质性破坏或不能正常运行，其行为不构成破坏计算机信息系统罪。

第二，数据安全说认为，虽然数据依附于计算机信息系统而被收集、存储、传输和处理，但大数据时代数据类型多元化，计算机信息系统中存储、处理或传输的数据并不都与保障计算机信息系统功能正常发挥相关，两者的关系日渐松弛，况且随着数字化技术的进步，对数据进行删除、修改、增加的操作，并不必然影响计算机信息系统的安全运行。例如，删除浏览网页或下载文件在后台留下的操作痕迹记录，不会对计算机信息系统的正常运行产生任何影响。因此，有学者提出应跳脱出抽象的计算机信息系统安全的桎梏，将破坏型数据犯罪的保护法益定位为数据安全，赋予其独立的法益内涵，即电磁记录的保密性、完整性和可用性。易言之，数据安全不宜为概括性的计算机信息系统安全所遮蔽。然而，数据安全概念本身是一个没有实质意义的空壳，究竟是在描述归属于特定个体的利益，还是在描述由不特定多数人共享的利益，有待进一步澄清，应结合数据犯罪的法定犯属性，回归破坏型数据犯罪在刑法中的定位和构成要件的特征，将数据安全的意义具体化。

破坏型数据犯罪的保护法益出现以上各学说之争，有学者认为，根源在于立法独立性上的“先天不足”，即以破坏计算机信息系统罪来规制破坏数据行为，进而从立法论的角度提出重构我国数据犯罪制裁体系，增设独立的非法破坏、删改、压缩数据罪，以应对层出不穷的新型数字化犯罪技术。但法律修订周期较长、立法成本较高，且对于解决当前我国破坏型数据犯罪司法认定面临的困境效果有限。因此，最迫切、最有效的方案是，在厘清破坏型数据犯罪保护法益的内容与属性的基础上，从解释论的角度对该罪的构成要件重新进行教义学阐释，合理确定司法适用的边界。

刑法有保护法益不受犯罪侵害之功能，在适用某一罪名时首先必须准确理解刑法规定该罪的目的，即为了保护何种利益或价值。“法益不是它的自身权利，而是在立法者的眼中作为法共同体健全的生活条件的法共同体的价值”，立法者的价值判断是确定某一罪名的保护法益的关键。刑法在整体法秩序中被定位为最后保障法，借助法益概念与其他部门法建立联系的同时，划定犯罪的处罚范围，防止在社会治理中恣意适用刑罚。因此，只有在全面考察电子数据不同侧面的特性、保护需求与数字化技术迭代升级的基础上，结合数据安全法等前置法之规定，综合考虑立法者对于该罪条款的价值判断及其在刑法体系中的功能定位，才能准确界定破坏型数据犯罪的保护法益。

所谓计算机信息系统数据是指电子数据，即在计算机或信息终端及网络上流通的、在二进制基础上以“0”和“1”代码组合而表现出来的比特形式，包括计算机信息系统中实际处理的一切数字、文字、符号、声音、图像等要素有意义的组合，如文本、图片、视频等。国际标准化组织在《信息技术词汇》（ISO/IEC 2382-1-1993）中将“数据”定义为以合适的通信、处理方式重新解释信息。综合以上两种定义，我国数据安全法规定：“数据是指任何以电子或其他方式对信息的记录。”由此可知，数据兼具数据本体与信息媒介的双重属性，在形式上，数据是为计算机系统所处理的电磁记录，在内容上，数据是事实或信息的外在表现。实际上可以将数据的非物质结构形态划分为三个不同的层面来理解，即物理层的电磁记录、符号层的文件代码、语义层的信息内容。例如，把一首诗词输入word文档中，以电磁介质为载体存储于计算机信息系统中的比特流形成物理层，文字本身便构成符号层，语义层指向的则是诗词内容表达和传递的信息。从功能上讲，物理层的电磁记录与符号层的文件代码在规范层面没有必要区分为不同的客体，两者共同发挥对客观事物、事件进行记录或描述的作用，即数据的记录功能；语义层的信息内容将数据的深层次含义展示出来，“电磁记录透过意义的转化，已经不是本身的意义而已，而具有一种表征特定利益和价值的功能性作用”，如可识别特定自然人身份的个人数据体现的人格尊严、具有经济价值的网络虚拟财产或衍生数据体现的财产利益等、面向社会发布的环境质量、疫情通报等公共数据体现的政府公信力，即数据的表征功能。

数据的记录功能来源于数据本体，数据的表征功能则来自数据内容，分别催生不同的保护需求。根据侵害对象可以将破坏数据行为分为两种：一种是以数据本体为对象侵害数据自身安全的行为；另一种是以数据内容为对象侵害其所承载之利益的行为。数字化技术的特性决定了人们无法脱离数据本身而独立地享有和处理任何信息，侵害数据内容所表征的利益常常是通过对符号层的文件代码或物理层的电磁记录进行删除、修改、增加的操作来实现的。因此，对破坏数据行为进行司法定性时必须就侵害对象是数据本体还是数据内容进行实质性判断与区分。进而遵循法益位阶性原理，秉持数据内容所表征权利法益优先、数据本体催生的安全法益兜底的司法保护逻辑。但囿于确定数据内容所表征法益的复杂性，在司法惰性的驱使下，司法人员往往回避了对数据内容法律属性的界定，习惯以数据本身的安全状态是否遭到侵害这一形式标准作为入罪依据。以网络虚拟财产为例，我国司法实践中普遍以欠缺法律意义上的财产属性以及经济价值认定困难为由，认为网络虚拟财产实际上是以特定形式表现出来的电子数据，破坏游戏装备等网络虚拟财产的行为其实就是侵入被害人游戏系统发送代码指令，对系统中存储的电子数据的破坏，进而径行认定为破坏计算机信息系统罪。在这种混淆数据本体与数据内容、法益保护本末倒置的司法思维下，数据安全成为一个无所不包的概念，沦为以数据为载体的各类受害法益的“代言人”，内涵愈模糊、属性愈混杂，丧失作为法益应具备的定型性。

数据对于每一个生活在数字社会的人的重要性已无须赘述，更形象的比喻是“数字化生存已经像空气和水一样自然”，无论是个人还是社会，对数据的依赖性都在与日俱增。然而，在数字化技术突飞猛进、数字社会蓬勃发展的同时，吊诡的是数据安全问题却日益严峻，“在风险社会中弥漫着一种普遍的不安全情绪，人们更加关心的是如何预防未来可能出现的坏的东西”。所谓风险社会其实也是“焦虑社会”，社会成员对于安全的欲求极为强烈，对于暴露的危险非常敏感，热切希望除去或减少这种高度、广泛的危险，为应对公众风险意识下日益加剧的焦虑感与不安全感，现代国家的刑事政策不得不更多地以“管理”不安全性为目标。因而，保障数据安全也就理所当然地成为社会安全刑事治理的应有之义，即通过刑法的介入防范数据安全风险现实化，维护社会成员对数据安全“一般的信赖感”。

随着计算机技术的广泛应用，数据处理活动日益增加，基于数据本体的记录功能和数据内容的表征功能，数据往往承载着各种重要利益，犯罪活动自然开始围绕数据展开，如篡改银行信息系统客户资料、黑客攻击数据库、窃取公民个人信息等数据安全事件频发，数据成为最主要的侵害目标，由计算机犯罪延伸出的数据犯罪逐渐兴起。过去以有体物为对象、以人类攻击行为作为基本模式的犯罪态势向以无体物为对象、以科学技术为攻击手段的新型犯罪态势转变。因此，二十世纪八十年代开始，世界各国（地区）纷纷加强数据保护方面的刑事立法，竭力遏制数据犯罪的蔓延。

针对删除、修改、增加等破坏数据行为，传统计算机时代国际社会主要有两种刑事规制路径。一类是将该行为纳入以故意毁坏财物罪为代表的财产犯罪进行规制，对电子数据以财产的形式加以保护，运用财产制度旨在保护与数据相关的私人利益，破坏数据行为侵犯的是具有个人属性的财产法益。例如，1986年德国刑法增订第303a条篡改数据罪，规制非法删除、设置使用障碍使之不能使用或变更数据的行为，根据罪行性质和保护法益，将其置于毁损罪章之中。与之相似，法国刑法典也是在第三卷侵犯财产罪第323-3条规定非法增加、删除或更改数据自动处理系统之数据的行为。美国联邦《计算机欺诈和滥用法》（Computer Fraud and Abuse Act，CFAA）1986年修正案规定未经授权篡改、毁坏数据或阻止正常使用，造成1000美元以上经济损失的行为构成犯罪，受保护的电子数据被纳入无形财产的范畴。1997年我国台湾地区修正“刑法”时，规定电磁记录视为准动产，将其作为财产犯罪的客体，所保护的是电磁记录上具有财产价值的信息。另一类是将破坏数据行为规定为计算机犯罪的行为类型，数据被视为计算机信息系统的组成部分，保障其功能的正常发挥，以维护计算机信息系统的安全运行，破坏数据行为侵犯是具有超个人属性的计算机系统安全法益。例如，1992年《联合国关于预防和控制与计算机相关犯罪的指南》将毁坏和修改计算机数据的行为规定为危害计算机安全犯罪的五种类型之一。1997年我国制定刑法时将非法删除、修改、增加数据的行为纳入破坏计算机信息系统罪的构成要件，与之在立法思路上一脉相承。2003年我国台湾地区再次修正“刑法”时，删去将电磁记录视为准动产的规定，增设“妨害电脑使用罪”专章，在第359条规定专门的“无故取得、删除或变更电磁记录罪”，关于该罪的保护法益，“立法理由的文字说明主要在表达本章各罪系保护电脑使用安全的利益”。纵观这两种以数据为对象的刑法保护模式，前者立足于数据内容，以数据所表征的财产利益为保护对象。后者则着眼于数据本体，基于数据对计算机信息系统的依附性，通过保护计算机信息系统安全从而实现对数据安全的间接保护。

但随着数字化技术迭代升级，步入网络智能时代，数据类型多样化、作用复杂化，计算机信息系统数据升级为网络数据。一方面，财物之独立性表现为是否有独立的使用价值或交换价值，能否成为独立的交易对象以及能否把交易部分标示出来，并非所有数据内容都表征财产利益或符合财产本质属性所要求的具有独立的经济价值，如信息系统运行过程中自行产生的痕迹、日志记录等数据就不具有财产价值，因而单纯以保护财产法益的方式来规制破坏数据行为日益捉襟见肘，甚至陷入法益保护错位的窘境。另一方面，虽然数据仍依附于计算机信息系统而被存储、传输和处理，但不再局限于保障计算机信息系统功能的正常发挥，对数据进行删除、修改或增加等操作并不必然影响计算机信息系统运行安全，数据安全与计算机信息系统安全的关系逐渐疏离化，且相较于传统的计算机信息系统安全，数据安全的独立价值日益凸显，在大数据时代居于更核心的地位。因此，脱离数据内容的财产属性与概括性的计算机信息系统安全，刑法上针对数据本体的安全需求予以专门、直接保护的必要性愈加强烈，宜将破坏型数据犯罪的保护法益定位为独立的数据安全法益，推动刑法保护防线前移。

数据安全（date security）的概念最早由J. H. Saltzer和M. D. Schroeder两位计算机技术专家1975年在总结和区分未经授权的泄露、擅自修改和拒绝调取三类计算机系统安全威胁的基础上提出，之后被国际社会普遍接受，多是被作为技术术语来使用。但从更深层次来讲，数据安全与其说体现为技术层面，不如说体现在其与现实世界受保护的法益的联系上。我国数据安全法第3条在法律规范层面首次明确了数据安全的内涵和外延，即“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。这一规定的雏形来自2019年全国信息安全标准化技术委员会制定的推荐性国家标准《信息安全技术数据安全能力成熟度模型》（GB/T 37988—2019）对数据安全概念的界定。解析这一定义可知，数据安全包含两个方面：一方面，“有效保护和合法利用”是一种“安全状态”（safety）；另一方面，“保障持续处于安全状态的能力”即是“安全保障能力”（security），既要有“安全状态”，又要有“安全保障能力”，两方面缺一不可。只有两者齐备才能维护数据记录功能的正常发挥，奠定数字社会平稳有序运行的基石，方为法律意义上的“安全”。

根据保障数据得到有效保护与合法利用的安全状态可以进一步衍生出“数据安全三要素”（CIA triad）：（1）数据的保密性（confidentiality），即免于受到未得授权人探知获悉，确保数据不泄露给未获得授权的个人、实体、进程，或不被其利用；（2）数据的完整性（integrity），即免于受到无权删除、篡改或增加等干扰破坏，保障电磁记录准确、真实和完备；（3）数据的可用性（availability），即已授权实体一旦需要就随时可以访问和使用数据，免于受到不正当阻碍。侵犯上述三要素的行为被统称为以数据本身的安全状态为侵害对象的数据犯罪。在数据安全法颁布之前，2016年颁布的网络安全法也明确定，“网络运营者应维护网络数据的完整性、保密性和可用性”“网络运营者应履行安全保护义务，防止网络数据泄露或者被窃取、篡改”。但网络安全法在概念界定上更倾向于将数据安全融入网络安全之中。数据安全法系首次在法律规范层面赋予数据安全独立的受保护客体地位，数据安全即具有法律意义，并要求“建立健全全流程数据安全管理制度”。所谓数据安全既不同于数据依附的硬件设备或软件系统所构成的网络安全，也不同于以数据内容为保护对象的信息安全，而是指数据保持既有存续状态与发挥正常记录功能。面对法律单纯的文字，法益的确定可以打开更宽广普遍的面向，进而透过保密性、完整性与可用性三个层面来阐释数据安全法益的实质内涵，即是由状态保密、记录完整、合规使用所构成的数据安全管理秩序。数据安全管理是数字社会公共秩序的重要组成部分，一旦违反数据安全管理秩序，对数据进行篡改、破坏、泄露或非法利用等，就可能对国家安全、公共利益或公民、组织合法权益造成损害。

生活在数字社会，每一个社会成员都有权利信赖数据对客观事实的记录功能，当社会成员处理数据而产生一个值得信赖的电磁记录状态时，法律有必要保护这个状态不会任意被他人侵犯，没有获得权利人的许可，任何人都不可以改变或破坏电磁记录的既有状态。从受保护的角度而言，法益实际上就是传统刑法理论所说的犯罪客体，应把数据的既有存续状态与正常记录功能以不特定多数人共同享有之社会利益的形式进行法益化，即以数据安全管理秩序作为破坏型数据犯罪的保护法益。在刑法看来，以具有经验性把握之可能的实体（经验的实在性）、社会适应性、对人有用性、侵害可能性、保护必要性作为法益的证成标准，刑事立法或刑法解释只有在有助于保护此意义上的“法益”的限度之内，才能被正当化。

其一，从经验的实在性来看，法益的实质是满足人类生存和发展所需要的资源和条件，为法共同体享有的生活利益，而非纯粹精神化的、与道德情感相关的利益。数据安全管理秩序正是维系整个数字社会系统正常运转、人类数字化生存不可或缺的关键实体要素，是经验上可把握之事物，并在价值认同层面取得广泛的社会共识。

其二，从社会适应性来看，法益概念具有强大的开放性与包容性，法益的内容并非一成不变，总是随着社会的发展而不断扩展与自我更新。数字社会背景下，数据的收集、存储、加工、使用、提供、交易、公开等数据活动日益频繁，数据安全管理秩序与每一个“数字人”息息相关，保障数据处于安全状态越来越重要，涌现新的法益值得刑法保护。

其三，从对人有用性来看，人是构成社会系统的主体，所有社会制度都是以满足人的需要、增进人类福祉为目的建立的，刑法也不例外，故刑法保护的法益必然人的利益，对人有用的事物。数据安全管理秩序因对人有用而被赋予某种价值，只有保证数据安全，公众才会安心参与社会活动，才可以不断降低陌生人之间的交易成本，并将每个角色所负担的事项减少到最小的范围，数据安全管理秩序无疑属于对人有用的重要利益。

其四，从侵害可能性来看，法益须是为犯罪所侵害或者威胁的利益，所谓侵害或侵害的危险，都必然是一种事实的或因果的现象。“大数据时代的到来，数据安全的脆弱性与易受攻击性越发凸显，数据犯罪渐成气候”，损毁、篡改数据等妨害数据安全管理秩序的事件不仅给数据控制者或处理者在业务经营、品牌声誉等方面造成巨额经济损失，而且使得个人的生活利益严重受损。

其五，从保护必要性来看，并非所有受侵害之法益皆受刑法保护，必须有受到脱离社会生活秩序之范围且值得刑罚加以制裁之侵害时，该法益才受刑法保护，要求手段与目的是合比例的。擅自删除、修改或增加计算机信息系统中存储、传输和处理的数据，必然动摇社会成员对数据既有存续状态和正常记录功能的稳定预期，进而扰乱数据安全管理秩序，通过最有力的刑法手段来规制破坏数据行为能够有效恢复数据安全之社会信赖以及确保数据安全管理秩序，保持某种程度的一致性、连续性和确定性。

总之，数据安全管理秩序符合刑法所保护法益的各项证成标准，应赋予其作为破坏型数据犯罪保护法益的独立地位。在域外，2001年11月欧盟成员国以及美国、加拿大、日本和南非等30个国家在布达佩斯所共同签署的《网络犯罪公约》（Cyber-crime Convention）第4条规定了数据干扰罪（data  interference），即故意毁损、删除、破坏、篡改或抑制计算机数据的行为，其保护法益是存储的数据记录功能的完整性与合规使用。2019年5月28日，国家互联网信息办公室发布的《数据安全管理办法》第4条也在前置法的意义上对数据安全管理秩序进行了确认，强调国家致力于采取措施保护数据免受篡改、毁损等，依法惩治危害数据安全的违法犯罪活动。

刑法上根据犯罪性质可以将犯罪区分为自然犯（刑事犯）和法定犯（行政犯）。“自然犯是指不待法律之规定，在性质上即具有违反社会伦理而被当作犯罪，亦即无须法律规定，原本就以受社会伦理非难之行为为内容的犯罪。法定犯是指原本不违反社会伦理性质，因法律之规定而成为犯罪，亦即以违反法律之禁止或命令，始成为非难对象之行为为内容的犯罪。”法益属性由犯罪性质所决定，从逻辑上可以推导出，自然犯的保护法益是个人法益，法定犯的保护法益是超个人法益。个人法益系指归属于单一个人或数量可得特定的多数人的利益，而超个人法益则是指归属于不特定范围之社会多数人的利益。数据所有具有的表征功能使得网络智能时代的数据内容承载着多种个人利益，如个人数据表征的自然人人格利益、衍生数据表征的财产利益等，一旦数据本身遭到破坏，可能引起其所承载的个人利益受损。据此，有学者认为，传统上被认为属于以行政监管为目的的破坏型数据犯罪，逐渐转化为带有社会伦理非难性，显露出“法定犯的自然犯化”之倾向，从个人法益来看，该罪名保护的是数据的专属性与排他性使用、收益、处分的权能。例如，司法实践中频频以破坏型数据犯罪来规制故意毁坏他人网络虚拟财产的行为。那么，破坏型数据犯罪究竟是违反伦理道德的自然犯，还是违反国家行政管理秩序的法定犯？进而，该罪民的保护法益到底是个人法益，还是超个人法益？

首先，从刑法第286条第2款的体系定位来分析，破坏型数据犯罪位于刑法分则第六章妨害社会管理秩序罪中，该章罪名旨在保护秩序类社会法益。“所谓社会法益，是保护国民各个个人的具体利益所必要的社会利益，在此意义上讲，社会法益就是个人法益的抽象化或一般化，在此范围内形成了其单独的领域。”对公众的安宁、安全的犯罪是侵犯社会法益的犯罪类型之一。从作为个人利益集合的公众利益的角度出发，考虑到在数字社会，电子数据在世界范围内已经成为政治、经济以及社会活动的重要载体，应以保障公众对数据既有存续状态和正常记录功能的一般信赖为目标，维护数据安全管理秩序这一关乎全体社会成员安宁生活的共同利益。换言之，“法益必须理解为受法律保护的社会秩序的抽象价值，维护该价值符合社会的共同利益”，以具有超个人属性的数据安全法益作为破坏型数据犯罪的保护客体，更符合实际。

其次，刑法第286条第2款明确以“违反国家规定”作为破坏型数据犯罪的构成要件要素，指向数据安全法、网络安全法等涉及数据安全保护的前置法，该罪的设立具有维护数据安全领域行政管理秩序之目的，这是法定犯最典型的标志。破坏型数据犯罪所规制的非法删除、修改或增加数据行为，一方面，打破了数据所处于的保密状态、损害了数据完整记录信息的功能、妨碍了获得授权人正常访问和使用数据；另一方面，严重动摇了社会成员对数据安全的信赖。一般可以从犯罪行为的危害范围来初步判断法益性质，该行为所造成的危害，已经超出单纯针对特定个人的利益或业务妨害这一性质，具有扰乱数据安全管理秩序这种保障社会正常运转的基础性要素的现实危险。这表明破坏型数据犯罪直接保护的是具有超个人属性的数据安全法益。需要强调的是，超个人法益也是“人的”法益，其功能同样是供个人在社会中实现自我，只是作用的方式与个人法益有所不同，即“超个人法益透过在前阶段保护个人法益而间接地服务个人”。

最后，数据内容可能表征个人利益，但不能因此就认为破坏型数据犯罪带有社会伦理气质，进而将该罪的保护法益定位为具体的个人法益。在“代码就是网络空间的法律”的数字社会，网络信息的生成、传输和存储均须通过电磁记录这一载体来完成，计算机技术的特性决定了电子数据既是信息数字化的媒介，同时又显现为信息本身。出现破坏型数据犯罪属于“法定犯的自然犯化”这一谬误认识的根源在于，没有区分数据本体与数据内容的差别及不同的保护需求，错误地将表征个人法益的数据内容纳入破坏型数据犯罪的保护对象。破坏型数据犯罪的保护对象应仅限于数据本身，保护客体是由数据本体的记录功能所衍生的安全需求，即数据安全管理秩序，并不涉及数据内容所表征之人格利益或财产价值等个人法益。

综上所述，破坏型数据犯罪的保护法益是超个人法益，但不是以计算机信息系统安全为代表的超个人法益，而是以数据安全管理秩序为内容的数据安全法益。在复杂的数字社会，数据安全法益从来不是单一个体独立享有的私人利益，而是由特定的网络社会共同享有，而且社会成员早已对数据安全有高度的信赖，具有独立保护的需求性，因此，应将数据安全法益理解为超个人法益而非个人法益，即作为与数据安全相关的公共秩序利益而获得刑法的保护。

众所周知，法益具有解释论的机能，即法益具有作为违法构成要件解释目标的机能。该机能主要包括两层含义：一方面，只有“透过法益才能清楚地解释犯罪构成要件的实质内容”，对某个刑法规范所保护的法益内容理解不同，自然对犯罪的违法构成要件的理解就不同，进而导致处罚范围的宽窄不同；另一方面，检验违法构成要件的解释结论，必须融入当下的时代背景，使符合这种违法构成要件的行为确实侵犯了刑法规定该犯罪所要保护的法益，从而使刑法规定该罪、设立该条文的目的得以实现，延续刑法规范持久的生命力。因此，讨论破坏型数据犯罪所保护的法益是个人法益还是超个人法益，是计算机信息系统安全还是数据安全管理秩序，绝非纯粹的概念之争，而是事关刑法第286条第2款所规定的构成要件的解释方向与处罚范围。具体而言，破坏型数据犯罪的构成要件是，违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的行为，其中“数据范围”“非法操作”“后果严重”是本罪最为重要的三个构成要件要素，也是认定罪与非罪、此罪与彼罪的关键所在。进入以数据为核心生产要素的数字社会，数据安全更具迫切的专门保护需求，已被数据安全法等前置法赋予独立的受保护客体地位，刑法教义学理应顺应时代发展，基于数据安全法益而非依附于计算机信息系统安全法益或个人法益，重新阐释前述三个构成要件要素，指导司法实践有效规制不断迭代升级的数字化犯罪手段，合理确定破坏型数据犯罪的处罚范围。

刑法第286条第2款规定，破坏型数据犯罪的行为对象是“计算机信息系统中存储、处理或者传输的数据和应用程序”。从刑法条文的字面表述来看，似乎计算机信息系统中存储、处理或者传输的所有数据都属于破坏型数据犯罪的行为对象，但是在解释刑法中的构成要件要素时，不能仅仅在形式的、定型的意义上进行，因为“法律解释的关键不在于对文字的服从，而在于（法律文本）真正想达到和应该达到什么目的或意义”。也就是说，并非任何数据所承载之利益或价值都值得刑法保护或属于破坏型数据犯罪的保护客体，如果不对数据范围进行合理限缩，则必然导致破坏型数据犯罪“口袋化”，进而偏离刑法设立该罪的目的。由此，司法实务中提出这里的“数据”仅指组成计算机信息系统的系统文件，不包括计算机信息系统中存储、处理或者传输的文档、图片、视频等非系统文件。有学者认为，这一界定并不妥当，提出不能仅是从形式上将计算机信息系统数据区分为系统文件与非系统文件，而是应以该文件对计算机信息系统安全的影响程度为实质标准，对计算机信息系统数据加以甄别，区分为核心数据与非核心数据，唯有直接关系到计算机信息系统能否正常运行的核心数据才是破坏型数据犯罪的保护对象。仔细对比不难发现，前述界定“数据范围”的形式标准与实质标准，其实都是以保障计算机信息系统功能运行为中心，基于将破坏型数据犯罪的保护法益定位为计算机信息系统安全而得来。

随着数据安全独立保护的必要性日益凸显，破坏型数据犯罪保护法益的内容应从传统的计算机信息系统安全向新兴的数据安全管理秩序转换，进而以数据功能为中心区分数据本体与数据内容，基于具有超个人属性的数据安全法益重新界定该罪的行为对象。具体而言，数据兼具本体性与媒介性的双重属性以及与之相对应的记录功能与表征功能，记录功能衍生保护数据本体安全的需求，表征功能则催生保护数据内容所承载利益的需求。如果某一行为仅对数据本体（电磁记录）加以删除、修改、增加时，其侵害的是数据的记录功能，将减损相关社会成员对数据存储状态保密性、记录完整性与功效可用性的信赖，从而影响数据安全管理秩序，自然应将其归入破坏型数据犯罪的规制范围。然而，司法实践中还有一种以删除、修改、增加电磁记录为媒介或工具、实质上是以数据内容为侵害对象的行为。“当数据具有身份或财产上的表征时，对电磁记录的侵害行为，其真正所侵害者，已经不是电磁记录本身而已，而是对数据内容所承载的个人法益的侵害。”例如，电磁记录有时代表着某些重要的财产性利益或网络虚拟财产，其所具有的经济上意涵，已经超出其本身的含意，而成为受法律保护的财产的表征，对电磁记录的破坏，可能同时造成财产法益上的损害关系。易言之，对数据的表征功能加以侵害时，电磁记录仅是行为侵害目的的一种媒介，若适用破坏型数据犯罪将无法凸显行为侵害的真实意义，导致法益保护不周延，应根据数据内容所表征之法益回归应然的犯罪类型中处理，方不致刑法评价出现规范上的遗漏。以数据内容表征财产法益的网络虚拟财产为例，虽然具有无形性、可复制性、非消耗性的电磁记录本身无法作为财产犯罪的客体，但其记录内容所具有的表征功能则蕴含财产概念的核心意义，即具有经济上的交换价值与使用价值。诸如通过增加代码指令损毁他人网络游戏装备的行为应适用故意毁坏财物罪，通过修改第三方支付平台结算系统中的退款金额数据非法取财的行为应认定为盗窃罪，而非仅考量数据载体形式变动的表象径行定性为破坏型数据犯罪。此外，数据内容也可能是个人信息，表征人格尊严与个人自由。目前，我国刑法第253条之一侵犯公民个人信息罪只规定了三种侵害个人信息的行为方式，即非法获取、出售和提供，但现实中存在大量非法删除、修改个人重要信息的行为，涉及对个人信息的实质变动，严重损害自然人的人格利益，却无法适用侵犯公民个人信息罪来处理，有必要在该罪构成要件中增加“非法删除、修改行为”，而非错位适用保护数据安全管理秩序的破坏型数据犯罪来保护个人信息权益。

总之，基于数据安全法益的超个人属性，破坏型数据犯罪的行为对象应去除表征人格或财产等个人法益的数据内容。通过对数据进行形式上的删除、修改、增加等操作，实质上是侵害以电磁记录为载体的人格利益或财产价值的行为，应分别适用侵犯公民个人信息罪或侵犯财产罪等侧重于直接保护数据内容的犯罪类型予以规制。

罪刑法定原则兼具形式侧面与实质侧面，前者要求刑法解释必须都以文本为依据，忠诚于罪状的核心意义，严格遵循刑法条文的文字表述，追求的是刑法的安定性，意在实现刑法的和平与稳定，后者则要求“对构成要件的解释必须以法条的保护法益为指导，而不能仅停留在法条的字面内容上”，对于具有处罚必要性的行为，允许通过扩大解释使该行为涵摄在构成要件之内。当行为不具有实质的违法性时，即使符合构成要件的文字表述，也应当以实质的违法性为根据将其排除在犯罪之外，追求的是实质的正义，意在实现社会公正和公共福祉。概言之，“正是罪刑法定原则的法典化，才引发了如何在遵守罪刑法定原则的前提下解释运用刑法典的问题，围绕罪刑法定原则的形式侧面与实质侧面，进一步引发了形式与实质解释的问题。”在罪刑法定主义之下，法律的形式合理性与实质合理性具有逻辑上的位阶关系，形式合理性是第一位的，实质合理性是第二位的，当两者发生冲突时，不能为了追求实质合理性而突破形式合理性，只能在坚持形式合理性的前提下追求实质的合理性，即贯彻形式合理性优先、实质合理性补充的原则。这一原则延伸到司法实践中判断某一行为是否成立犯罪，一般遵循先形式审查入罪要件、后实质检验出罪路径的逻辑进程，“以形式正义为前提，力图实现处罚值得处罚的法益侵害行为之实质正义”。在此基础上解释构成要件时确立“入罪采取形式解释，出罪采取实质解释”的基本立场，有利于合理限制处罚范围。

构成要件是以法益概念为出发点的，刑法构成要件的解释最终取决于系争行为所牵涉的法益内容及保护需求。无论是形式解释论还是实质解释论，都需要在判断某一罪名的违法本质（法益侵害）的基础上解释构成要件。进而，在认定某一行为是否符合刑法中的构成要件时，必须以该种行为是否侵害或威胁刑法保护的法益为标准。因此，究竟是将破坏型数据犯罪的保护法益定位为计算机信息系统安全法益还是数据安全法益，直接影响破坏数据行为的认定标准。如果认为破坏型数据犯罪的保护法益是计算机信息系统安全，必然要求对破坏数据行为作实质解释，要求达到危害计算机信息系统正常运行的程度，而非单纯着眼于非法操作导致数据丧失正常功能、影响数据的正常使用。例如，侵入购物网站评价系统删改购物评价，其实质是对计算机信息系统内存储的数据进行删除、修改操作的行为，法院认为该行为构成破坏计算机信息系统罪的理由是“这种行为危害到计算机信息系统数据采集和流量分配体系运行，使网站注册商户及其商品、服务的搜索受到影响，导致网站商品、服务评价功能无法正常运作，侵害了购物网站所属公司的信息系统安全”。反之，如果对数据进行删除、修改或增加的非法操作，未影响到计算机信息系统功能的正常运行，则不符合该罪的实行行为。

但若刑法第286条第2款采取保护数据安全法益的定位，即是以数据本体为保护对象，并不涉及计算机信息系统，旨在为数据本体提供类似于物质性财物享有的免于遭受故意损害的保护，如刑法中的故意毁坏财物罪、破坏交通工具罪等破坏型犯罪都蕴含保护财物的效用价值的意图。对非法删除、修改、增加数据行为的解释也应围绕数据的效用（记录功能）是否受到损害来展开。所谓“删除”是指将计算机信息系统中存储、处理或传输的数据在数量上进行移除或减少。“修改”是指对计算机信息系统数据进行改动，变更电磁记录的存续状态。“增加”是指在计算机信息系统中新增数据。这三种非法操作方式在社会危害性上没有什么区别，侵害的是由数据存储状态保密性、记录完整性与功效可用性所构成的数据安全。因而从形式解释的角度来理解刑法第286条第2款的字面内容，只要违反国家规定对计算机信息系统数据进行删除、修改、增加的操作即可构成破坏数据行为。与刑法第286条第1款和第3款所规定的其他两种破坏计算机信息系统的行为方式不同，破坏计算机信息系统数据构成破坏计算机信息系统罪并不要求该行为“造成计算机信息系统不能正常运行”或者“影响计算机信息系统正常运行”。换言之，破坏计算机信息系统数据的情形，在入罪要件方面不同于其他两类破坏计算机信息系统的情形，破坏数据行为即使未危害计算机信息系统安全仍然可能构成破坏计算机信息系统罪，在认定破坏型数据犯罪时无须考虑计算机信息系统安全这一要素。例如，被告人林某利用斗鱼账号注册机软件程序突破基于真实身份认证及拖动拼图验证的安全防护措施，实现在无人工操作的情况下自动批量注册斗鱼账号，增加斗鱼存储信息系统中的用户数据，虽未影响斗鱼直播平台的正常运行，但对斗鱼的用户数据的真实性和完整性造成破坏，该行为应当被评为刑法意义上的“破坏数据行为”。

刑法第286条第2款不仅规定了犯罪的行为模式，还规定了入罪的结果要件，即“后果严重”，意在使刑法介入保护的范围，仅限于某些足以确定损及实质利益的行为模式，而不是概括地将所有删除、修改、增加数据的行为一网打尽。对于刑法分则规定需要达到一定的后果才能构成犯罪，且后果又规定得比较模糊的罪名，最适宜在明确该犯罪保护法益的基础上通过实质解释予以出罪。前述已论及，破坏型数据犯罪所保护的数据安全法益的实质内涵是数据安全管理秩序。法益在刑法构成要件中的解释作用不仅在于确定某一行为是否侵害了刑法所保护的法益，而且可以衡量是否达到应受刑罚处罚的程度。易言之，法益是确定刑法的处罚范围的价值判断标准。因此，应结合数据安全管理秩序这一超个人法益来理解破坏型数据犯罪的结果犯特性，进而合理确定该罪处罚范围。“犯罪系对较为重要的法益的破坏，或对于一般法益较为重大的破坏，而足以减低个人的安全感，并危及社会的安宁秩序”，从超个人法益的视角考察“后果严重”要素，不是从具体个人的利益侵损判断，而是取向于社会成员对数据安全的共同信赖感所维系的公共秩序。

然而，2011年最高人民法院、最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《危害计算机信息系统安全犯罪解释》）第4条规定破坏型数据犯罪“后果严重”的认定标准主要包括计算机信息系统数量、违法所得数额、经济损失数额以及特定类型计算机信息系统服务对象数量与不能运行时长等。不难发现，这些标准欠缺与数据安全法益的关联性，大多不是直接以数据本身或破坏数据造成的社会危害性作为评价对象，而是基于计算机信息系统安全法益或个人法益，以计算机信息系统不能正常运行或个人因破坏数据非法获得的经济利益为评价要素，这使得认定标准与损害后果在很大程度上具有非对称性。司法实践中有的案例适用上述标准容易出现定性偏差，如在“王某破坏计算机信息系统案”中，被告人王某利用担任飞速网吧担任收银员的便利条件，非法删除收银电脑中的会员充值记录，侵吞营业收入，从中获利31596元。若以这里的违法所得数额来认定该行为符合刑法第286条第2款规定的“后果严重”，进而适用破坏计算机信息系统罪，明显不当。因为，违法所得应与破坏数据行为具有直接对应性，须是行为人因破坏计算机信息系统数据这一违法行为所获之利益。如果行为人破坏计算机信息系统数据仅是为实施其他犯罪提供便利条件，其本身并不能产生违法所得，则不能以其他犯罪行为所获得之非法利益作为破坏计算机信息系统罪的后果评价要素。本案中，被告人王某侵吞营业款的行为（构成职务侵占罪）与删除收银电脑充值数据的行为具有相对独立性，即侵吞目的的实现，并不依赖于对数据的删除，后者只是让侵吞行为更为隐蔽，本身并不产生违法收益。因此，不能以王某侵吞的31596元来认定破坏数据行为达到后果严重的程度。此外，实务中还有一些案例根本无法适用上述具体标准，引发司法判断难题。例如，被告人张某登陆法制晚报官方微博账号“法晚壹现场”，删除约3000条微博，既没有造成计算机信息系统不能正常运行，也没有非法获利或造成经济损失，但却减损了公众对数据安全的信赖，扰乱了社会公共秩序，产生恶劣的社会影响，法院最终只得适用司法解释中“造成其他严重后果”这一兜底条款来定罪，反映出当前的司法认定标准存在漏洞。

根据第286条第2款在刑法典章节结构中所处的位置，应立足维护社会公共秩序的功能定位，基于数据安全法益的内涵确立破坏型数据犯罪“后果严重”的实质判断标准——达到扰乱数据安全管理秩序的程度，进而以数据本身或破坏数据造成的社会危害性为评价要素，构建“数量+情节”的复合型认定标准。其一，以非法删除、修改或增加的数据文件的数量为判断依据，即物数定量标准。受害数据量越大，对数据安全管理秩序的破坏程度就越深，后果越严重。例如，被告人幸某离职后对鑫豪斯公司心怀不满，通过预先安装在鑫豪斯公司服务器的远程操作软件登录该服务器，删除服务器中存储的两个文件夹共计约7TB数据，包括关于营销的客户档案、标书、发货数据、往来账目、欠款数据等，造成业务人员无法提取相关数据，以致无法正常开展工作，给公司经营造成重大损失。该行为无疑对受害企业的数据安全管理秩序造成严重损害，应属于“后果严重”。在数字化技术不断发展、犯罪方式不断更新的信息时代，犯罪的损害后果不可能完全由单一的定量标准进行评价，不少发生在特定领域的破坏数据案件中，受侵害数据文件的数量并不大，但社会危害性却十分严重，因而有必要在认定标准中引入情节要素。其二，以反映被破坏数据重要性与行为社会危害性的情节为判断依据，即情节定性标准。如擅自登录公安交通管理综合应用平台消除违章记录、违规篡改环境质量监测系统传输的自动监测数据、侵入教务管理系统修改个人考试成绩、利用抢号软件在医院挂号系统中添加数据抢占号源、进入税务机关计算机信息系统篡改个人缴税信息等破坏数据行为，实质上侵害的是交通、环境、教育、医疗、税收等公共领域为社会成员共同享有的数据安全利益，严重损害了社会事务的公平性与社会管理的权威性，减损了社会成员对数据安全的信赖，扰乱了支撑数字社会正常运行的数据安全管理秩序。上述情节具有恶劣的社会影响，当属于“后果严重”，从而构成破坏型数据犯罪。须注意，在损害后果综合评价中加入情节标准不是为了泛化入罪，而是为了将某些只具有轻微社会危害性、尚未达到应受刑罚惩罚的行为过滤出去，从而正确划分罪与非罪的界限，限制犯罪成立犯罪的范围，“恰恰是通过非犯罪的方法来缩小刑法的打击面，从而实现刑法谦抑的有效途径”。也就是说，如果违规情节未达到扰乱数据安全管理秩序的严重程度，应被排除在破坏型数据犯罪的“犯罪圈”之外。

从传统的计算机时代过渡到方兴未艾的网络智能时代，数据逐渐从计算机信息系统中分离出来，作为独立的受保护客体，并在数字社会占据越来越重要的地位、发挥日益突出的作用，犯罪类型、行为对象与攻击模式也随之发生变化，昭示着以规制数据犯罪为重点的时代的到来。数字化犯罪技术的迭代升级无疑增加了破坏型数据犯罪司法认定的难度，诚然，“整个刑法就是一部‘法益保护法’，这意味着，刑法中犯罪的确定必须以厘清保护法益为前提”。明晰破坏型数据犯罪的保护法益，不仅仅是从刑法内部加以探讨，而应根据其法定犯属性，遵循法律一体化思维，从数据安全法、《数据安全管理办法》等前置法中寻找和解析破坏型数据犯罪的保护客体，再结合该罪在刑法体系中的功能定位，才能准确界定其所保护法益的内涵与属性。据此，破坏型数据犯罪保护的不是计算机信息系统安全法益或个人法益，而是具有超个人属性的数据安全法益，即由状态保密、记录完整、合规使用所构成的数据安全管理秩序。在此基础上，以数据安全法益为中心，重新阐释破坏型数据犯罪的构成要件，弥合司法认定中技术评价与刑法评价的张力，最终合理确定该罪司法适用的边界与处罚范围。

往期精彩回顾

陈辉｜信息化与智能化：科技创新语境下的司法应对与变革

郑和园｜长三角科技创新共同体的协同共治格局：困境、基础与关键

谢国儿｜一个系统工程：论科技创新的个人破产法治保障

陈吉栋｜算法化组织的法律性质

陈玲｜知识产权刑法保护的立法发展与教义适用——以刑法修正案（十一）的相关规定为中心

戚建刚等｜数字化改革背景下数据要素保护的行政法规制

上海市法学会官网

http://www.sls.org.cn