王魏｜数字社会背景下数据犯罪与可持续理念的协调性研究

一、问题的提出

作为数字化时代形成和发展的基础，数据的作用不可忽视。由于部分数据本身所承载的市场经济动向和商业经济价值，其易成为一个不法诱因。随着数据价值的深度挖掘，在数据利用上不断出现违法收集、非法盗用、修改删除以及大数据杀熟等等问题。面对数据安全类不法行为规制的问题，各部门法之间的衔接难题逐渐显现。由于刑事立法上的滞后性，对于数字时代下出现的众多数据犯罪，刑法无法及时弥补单一行政法律治理效果不足的缺陷。由于我国现行刑法尚无数据罪名的单独设置，数据犯罪仍然依附于刑法第六章计算机信息系统类犯罪的成立，导致数据犯罪的构成要件判断始终受到计算机信息系统类犯罪认定的掣肘。“数据”鉴定对“计算机信息系统”内涵的强依附性，使二者难以有效被厘清。在法院对行为的法益侵害判断中，均出现了数据安全法益与计算机信息系统安全法益的认定困境。数据与计算机信息系统的内涵存在较大差异，不可同日而语。因此，在未实质厘清二者差异时，一味将数据犯罪纳入计算机信息系统类犯罪治理圈，将会进一步拓宽计算机信息系统犯罪的入罪口径和放纵部分数据犯罪，使计算机信息系统类罪名逐渐口袋化，也无法满足罪责刑相适应的刑事政策要求。同时，数据犯罪治理的强依附性无法有效形成部分数据利用行为的出罪路径，进而导致刑事法律的不当适用，违背刑法谦抑性原则。

当前，我国司法实践对数据相关的犯罪治理主要依据刑法第285条非法获取计算机信息系统数据罪和第286条破坏计算机信息系统罪。因为数据犯罪与计算机信息系统类犯罪的交织关系，导致在判定网络数据犯罪所侵害的法益时，产生了理论与实践的分歧。当前司法实践主要以计算机系统犯罪为中心，将数据犯罪所侵害的法益包含于计算机信息系统安全之中。并未对数据犯罪所侵害的法益作出独立规定。有学者提出数据犯罪侵害的法益是一种所有类型数据共有的国家数据管理秩序，即数据犯罪是指以数据为犯罪对象而严重侵害国家数据管理秩序的犯罪。有学者认为应该构建一种具有针对性、有效性的数据法益类型化三元保护体系，即区分个人数据法益的人格保护、企业数据的财产保护以及公共数据的秩序化保护。还有学者认为可以将数据犯罪区分为以数据为工具侵犯传统法益的犯罪和以数据为对象侵害数据安全新生法益的犯罪。因此，为了更好地界分数据犯罪与计算机信息系统犯罪，厘清数据犯罪的刑法适用依据，有必要结合作为前置法存在的数据安全法的内容，在结果无价值的立场下找到更能适应数字时代发展的数据安全法益概念。

针对数据安全治理的问题，在适用刑事法律之前必须要预先考虑数据安全法的基础性内容。数据安全法作为衔接数据犯罪行为的前置法，在刑事法律适用前应充分得到适用，避免出现不符合法秩序统一性的问题。数据安全法第21条明确了我国数据的分类分级保护模式，进而在发生数据违法甚至犯罪行为时，可根据行为不法程度采用责刑相适的追究制度。但由于我国刑事立法的滞后性，其尚未与数据安全法协调一致，无法在司法实践中充分贯彻分类分级保护模式的理念，而是直接依据非法获取计算机信息系统数据和破坏计算机信息系统罪名进行惩治。其中对重要领域的国家数据保护力度却小于其他领域数据的保护，直接违反了罪刑均衡的刑法基本原则。有必要在刑行法律交叉的视野下，充分考虑刑事法律与行政法律适用的位阶顺序，形成数据类违法犯罪的梯度化追责，促进罪责刑相统一。数据利用行为的规制范围直接影响着数据共建共享的可持续发展。因此，如何维持静态的数据保护与动态的数据开发相平衡，亟待解决。

二、前提：数据犯罪的内涵梳理

由于现行刑法尚未对数据犯罪进行单独确定，其内涵范围、概念界定以及责任承担等方面均存在一定的模糊性。我国司法实践中对数据安全犯罪的刑事治理仍然需要依托计算机信息系统类犯罪和信息类犯罪的成立，独立评价性不足。在数据安全和计算机信息系统运行安全、个人信息权益存在较大区别的情况下，交叉混淆做法的合理性存在疑问。因此，为了更好地处理数据不法行为，有必要结合数据安全法的相关内容，在分类分级保护理念下厘清各类数据的权利属性，区分国家数据、企业数据和个人数据的保护重点，形成针对各类数据重点内容的倾向治理，进一步实现数据权益的区分。在数据安全行为所要保护的法益问题中，学界存在多种观点。有必要结合前置法的内容，考虑数据安全犯罪中各类法益构建的合理性。因为数据内涵与个人信息、计算机信息系统内涵的交织与混杂，容易发生数据犯罪与侵犯个人信息犯罪、计算机信息系统类犯罪想象竞合。为了应对该问题，有必要进一步厘清数据犯罪与传统犯罪在构成要件上的实质区别，避免出现罪责不相适的矛盾。

数据的利益主体包括国家、企业和个人，而不同的利益主体在数据权益的享有范畴及其权利属性上又存在差异。数据安全法第21条内容中规定了国家对数据进行分类分级保护的治理模式，依据数据的来源和特征可以类型化为国家数据、企业数据和个人数据。各类数据因其自身存在的天然利益倾向而具有相对不同的权利属性。由于数据结构在客体上的自然属性不同，有学者认为数据民事权利是一种包含财产权、人格权和国家主权的新型民事权利。也有学者指出事实上同一个数据集往往同时包含多种类型数据，将相互混合的数据区分开来，存在一定的难度。基于数据的差异，本文认为并不妨碍针对各类数据权属问题进行类型化分析。因此，本文依据数据安全法中分类分级保护的应有含义，以三类数据各自所要体现出的具体权利属性进行侧重分析。

第一类是国家数据，由于数字时代的发展，数据资源的生成和使用规模逐渐成为国家综合实力的一种体现。数据作为一种新型资源，在我国的政治、军事、经济和文化等领域中都发挥着至关重要的作用。国家数据的背后承载了国家利益、国家安全以及公民整体权益等内容。相较于其他种类的数据，国家数据应该拥有更高等级的被保护地位，属于分类保护中的上级，在该类数据受到侵害时应伴随更为严厉的惩治。不同于个人数据和企业数据的权利属性，国家数据因与国家安全紧密关联，其更能体现出一种国家主权属性。如果国家数据被不当转移或者泄露，将会对我国的国家安全、企业安全以及公民个人的安全带来严重威胁。网络安全法第37条的内容，规范明确要求了关键信息基础设施的运营者在我国境内收集和产生的个人信息和重要数据应存放在我国境内。在立法层面将涉及国家安全的重大数据予以保护，其目的不仅仅是防止涉及公民个人信息、数据的外流，还是为了减少因该数据外流而被他国不当利用进而导致国家整体安全受到影响的风险。因此，在数据安全法和网络安全法中都有明确的立法回应，体现了保护国家数据的重要意义。

第二类是企业数据，相较于国家数据的主权安全性，企业数据则更多地表现为一种具有经济价值的财产权属性。相关主体对该类数据上的财产权属也受到“具有同等的权利，适用相同或类似的交易规则，承担相应的义务和责任”的平等保护。由于数字社会的快速发展，在现代化的商业竞争中，各类企业越来越依赖用户数据的生成和使用。在大数据的实践价值中，企业为了更好地识别和收集用户信息，更精准地制定销售计划，以及更有效地降低经营成本，需要通过对大数据的充分收集、归类和总结等方式，挖掘其价值，进而在市场大环境中提高企业的核心竞争力，争取到更多的商业优势。基于企业数据的重要性，为了把握最新市场动向，较多企业选择向有关主体购买所需数据，例如在上海数据交易所和浙江大数据交易中心等专业机构处获取。通过数据可交易的形式体现出了部分企业数据具有较强的财产属性。在民法典第127条的内容中，将数据与网络虚拟财产并列的规定，也一定程度地体现了在立法设置上数据与网络虚拟财产的等价值性。承认网络虚拟财产的经济价值时也必须同时承认数据具备经济价值。在商主体成长过程中形成的或者因对其他数据分析、加工而生成的企业类数据，对其自身更多地表现为一种可利用的财产。

第三类是个人数据，在个人数据内容中，明显能够体现出人格权的相关属性。人格权是一种以相关主体依法固有的人格权利为客体的，以维护和实现人格平等、人格尊严、人身自由为目的的权利。在个人参与社会生活的过程中，无时无刻不在形成和利用数据，并且同时与个人的法律权利紧密联系。根据人格权的基本内涵可以对个人数据进行再分类，比如与姓名权相关的公民基本信息数据；与肖像权有关的人脸识别数据；与隐私权有关的证件号码、家庭住址和活动轨迹等位置数据；以及与名誉、荣誉权有关的各类数据。个人数据的生成和使用中往往伴随着人格权的共同行使，直接体现了人格权的内容。因此，除了具备其他权利属性外，个人数据上的人格权属性最为明显。

由于刑法起源于非网络时代，近代刑事立法与刑法理论的形成初期均未受到网络因素的影响。因此，刑法上的具体概念无法有效地适用于网络、数据安全类犯罪。以保护法益为目的的刑事法律对于新类型的犯罪不能无动于衷，需要积极应对。有学者基于数据在犯罪行为中发生的作用，将数据类犯罪分为以数据为工具的犯罪和以数据为对象的犯罪，犯罪行为对应侵害的是传统法益和新生法益两类。本文认为在数据安全法的相关内容基础上，以受侵害的不同种类法益将数据犯罪进行二分，具有较强的合理性。该做法能够有效地厘清数据犯罪上的传统类法益和新型类法益之内容，也能够在数据犯罪与计算机信息系统类犯罪混同中找到联系与区别，避免二者乱用。实质违法性认为行为的违法性是指侵害或威胁法规范所要保护的利益或秩序。通过将其进一步细分的方式找到数据犯罪行为所侵害的具体法益，更能符合实质违法性的价值内涵。

首先，针对以数据为工具的犯罪行为，由于这一部分数据犯罪行为仅以数据为工具或手段，其主要目的仍然是侵害其他法益或者秩序。因此，惩治以数据为工具的犯罪行为其目的是为了保护传统法益。此类数据犯罪与传统犯罪最大的区别是在于数据犯罪是通过借助数据内容来实现的，在法益侵害上仍然与相关联的传统犯罪具有一致性。在以数据为工具类型的犯罪行为中，与数据犯罪行为具有较大同一性的便是计算机信息系统类犯罪，如刑法第285条非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，以及刑法第286条的破坏计算机信息系统罪。由于以数据为工具的犯罪与计算机信息系统相关犯罪有着天然的交织，容易理解为该类数据犯罪侵害的法益同样是计算机系统安全以及系统中的数据与信息安全。因自身价值的附随性，数据本身并不是犯罪嫌疑人的侵害对象，在法益的保护上，仍然需要充分结合行为人的犯罪目的。如有学者主张的对数据本身加以侵害时，应适用数据犯罪，但对于其功能性作用加以侵害时，应依其表征的法益回归各自的犯罪类型进行判断。需要在主客观相统一的条件下，厘定不法行为人对具体法益的侵害或侵害的危险。由于此类数据犯罪行为在数据上不具有特殊性，不存在数据判断上的难度，所以并非本文讨论的重点。

在以数据为对象的犯罪行为中，由于相关立法的不明确以及数据犯罪侵害对象的复杂性，不同学者对在数据犯罪行为中需要保护的法益提出了不同的观点。有学者根据域外的司法经验，提倡数据犯罪侵害的是数据安全法益（CIA）。数据安全法益是基于数据自身的内容、使用价值和侵害风险的独立规范，旨在保护数据的保密性、完整性和可用性。也有学者提出数据犯罪侵害的是作为新型法益的国家数据管理秩序。上述观点能在一定程度上说明数据犯罪中法益保护内涵的多样性。因此，有必要进一步厘清法益内容。根据数据安全法第1条的内容可以看出，其立法目的是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织合法权益以及维护国家利益。而与刑法第285和286条中计算机信息系统相关犯罪的立法目的同样存在联系与区别。为了促进数据安全法与刑法的有效衔接，需要在数据安全法第21条的分类分级保护制度中，明确以数据为对象的数据犯罪行为所要保护的法益内容。结合上文数据的权利属性论述，为了更全面地维护数据安全，有必要以国家数据、企业数据和个人数据三类型进行区分。在不同数据对应不同权利属性的情况下，不同种类数据犯罪也会造成不同法益的侵害。在数据犯罪中，很难找到一种能够囊括各种权利属性的法益表述。因此，本文主张在法律尚不明确的现状下，可以根据不同种类数据权利属性，归纳出对应的法益。无需将不同种类的数据犯罪行为硬性总结为一种法益的侵害，更不应将数据犯罪杂糅到计算机信息系统类的犯罪行为中。第一类是国家数据犯罪，由于国家数据对应着主权安全、国家利益和公民整体权益等内容，其必定位于数据保护的最高级别。国家数据类犯罪行为不仅仅侵害的是社会管理秩序，还涉及危害国家整体安全的风险，是一种国家安全和社会管理秩序的综合法益。第二类是企业数据犯罪，对于侵害企业数据的犯罪行为，更多的是表现为对企业数据财产权益、国家对数据处理活动及其安全管理秩序的侵害。第三类是个人数据犯罪，由于个人数据蕴含较多个人权益，对个人数据的利用必然涉及个人权益的处分，比如人格权的有限行使。对个人数据的违法犯罪行为同样涉及个人权益的侵害，比如公民个人信息权的侵害。在所有数据均是为社会管理便利而存在，其必定具有社会属性的结论下，个人数据又同时附随个人权益的内容。因此，个人数据犯罪行为所侵害的是社会数据管理秩序和个人权益的综合性法益，是一种个人法益和超个人法益的双重违背。

首先，根据刑法设置的计算机信息系统类犯罪内容可以了解到，不管是针对计算机系统还是计算机系统中的信息，刑法目的是打击违反国家规定对计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏的行为过程，强调的是保护计算机信息系统处理数据的整体能力或动态运行价值。而根据数据安全法第2条的内容可知，数据是指以电子或者其他方式对信息所做的记录。其更强调数据是在计算机信息系统下的一种被处理对象。对数据的侵害与对计算机系统的侵害存在区别与联系，二者之间的联系表现在针对数据侵害的不法行为，在某种情况下可能会同时侵害到计算机系统，比如对影响计算机系统正常运行的关键数据的截取或删除，进而造成整个计算机系统瘫痪。但在多数情况下，行为人针对计算机信息系统中现有的数据而进行的不法行为并不会造成该系统出现问题，也并不会满足刑法设置计算机信息系统类犯罪所要打击的影响计算机信息系统运行整体能力的要求。计算机信息系统与数据虽然是相互依托相互联系的，但二者在法律上的权属又不能完全等同，彼此相互独立。如学者指出的：“计算机（信息）系统的本质在于其数据处理功能，即对数据的运算、传输、存储等的动态处理过程，而数据则是静态的计算机处理的对象。”其次，根据刑法对计算机信息系统类犯罪的立法设置可以看出，针对计算机信息系统类犯罪的打击，主要目的是保护计算机信息系统中的存储、处理和传输数据的能力，维护计算机信息系统正常运行的状态。其强调的是一种对计算机运行管理秩序的维护。而根据上文对数据法益内容的分析可知，在分类分级保护的设置下，数据犯罪更侧重是数据内容本身而并非数据处理的动态过程。在数据类犯罪的法益保护中，涉及国家数据、企业数据和个人数据的内容，相应法益也并不相同。因此，数据法益是一种能够区别于计算机信息系统运行安全的综合性法益。

在与侵犯公民个人信息罪进行区分的过程中，最为关键的就是通过对“数据”与“信息”内涵的梳理，进而厘清二者的不同之处。根据相关司法解释可知，公民个人信息罪中的信息是指以电子或其他方式记录下来的能够单独或者结合其他信息识别出自然人身份或反应映特定自然人活动的各种信息。而根据数据安全法第3条的内容，数据是指任何以电子或其他方式记录下来的信息。可见二者在内涵上存在一定的交叉与重合。在二者的内容囊括范围比较上，存在不同的观点。观点一认为数据范围大于信息范围；观点二认为数据范围小于信息范围；观点三则认为二者指代同一内容，并无区分的必要。基于现行法律的规定，本文认为刑法上的数据范围大于刑法上的信息范围。数据既可以指向内容层面的信息，也可以指向符号层面的数据文件。在数据内容中包含了国家数据、企业数据和个人数据的内容。因此，在含义范围上能够将二罪进行区分。不论在形式上还是在范围上，二者均存在很大差别，不能将刑法中的数据犯罪与信息犯罪混为一谈。

三、数据犯罪在刑事法治理中的现状与反思

随着数字时代的发展，现行法律难以有效应对新型违法犯罪的问题，出现在数据安全领域的困境也逐渐显现。流量劫持案等数据犯罪案件都一定程度说明了现行刑事法律在治理数据问题上的一些不顺畅。刑事法律及相关司法解释并未根据数据犯罪的特征予以单独规制。在犯罪对象上无法将数据本身与计算机信息系统类犯罪相区分，仍然停留在依托计算机信息系统而存在的数据上。在犯罪行为类型化的区分上，现行刑法仅规制计算机信息系统类数据犯罪行为，将数据犯罪行为杂糅到其中，导致在对犯罪行为的构成要件鉴定上难以独立完成。在数据安全法已有分类分级保护的制度设置下，刑事立法的配套回应严重不足，无法使二者有效衔接。在刑事司法中，由于数据内涵的模糊和强依附性，容易出现主观价值判断的过度介入，进而导致对数据不法行为入罪口径的不恰当限缩或扩大。刑事法律若在数据部分重要生存周期中出现缺位，会造成数据在该流程中受到严重侵害。但过于严格的数据生存全流程法律保护，同样会出现司法适用成本增高，阻碍数字经济的发展。

现有刑罚设置在数据权益保护上存在较大缺陷。首先是非专门化的罪名体系只能实现小部分数据权益的间接保护，容易存在保护偏差与错位。非专门化的罪名体系缺乏对数据流通的刑事法评价。在数据概念的内涵中，现行刑法并未明确予以回应，仅有数据安全法规定了任何以电子或其他方式对信息的记录称为数据。而关于信息的内容，刑法司法解释明确说明了任何以电子或其他方式记录与识别自然人身份有关的各种信息。在司法解释尚未明确界定数据内涵的情况下，若不考虑数据与信息范围的问题，二者几乎被等同视之。法律设置上，由于数据与信息的密切联系且数据与信息往往共存于计算机系统之中，进而将其纳入计算机信息系统类犯罪，对于数据内容并未形成单独的保护。在司法实践中，不断出现数据犯罪、信息类犯罪和计算机信息系统类犯罪的区分难问题。针对个人信息类犯罪，有个人信息保护法与刑法第253条以及具体司法解释来进行有效衔接。针对计算机信息系统关于存储、处理和传输数据的能力与运行安全问题也同样存在刑法第286条和287条等具体的刑事法律作兜底性约束。而在数据类犯罪问题治理上，并无具体刑事法律与数据安全法配套。由于司法实践将数据内容粗浅化等同信息和计算机信息系统数据，在数据不法问题解决上，行政法律无法与刑事法律准确地衔接，难以解决复杂的数据犯罪问题。

在刑事法律对数据犯罪尚无单独立法的背景下，容易出现不恰当适用法律而入罪或出罪的情况。第一种是为了惩治行为人在数据内容上所作出的犯罪行为，不得不依据与数据犯罪构成要件最为相似的计算机信息系统类罪名，进而存在违反罪刑法定原则的嫌疑。根据前文的论述，计算机信息系统类犯罪强调的是计算机系统运行安全的动态过程，是一种对数据处理能力的保护。数据犯罪则更强调的是对数据本身安全的一种侵害。数据安全不一定与计算机信息系统运行能力呈正相关。虽然在数字时代下，数据与计算机信息系统联系紧密，但二者在法律规制对象的问题上仍然可以区分。第二种是出现错误出罪的情况，即在司法实践中，不法行为人对计算机信息系统中部分数据的破坏并不一定造成处理该数据的计算机信息系统的损坏，还达不到刑法适用所要求的破坏计算机信息系统运行安全的程度。因此，容易因不符合计算机信息系统类犯罪的构成要件之规定而对该行为作出罪处理。但在实质违法性的考量下，该侵害数据安全的行为仍然达到了侵害或威胁法规范所保护的利益和秩序，不应将其真正排除在犯罪圈外。如果将数据犯罪的责任追究强行附加于计算机信息系统类犯罪的成立上，将会过多放纵数据类不法行为，造成我国国家数据、企业数据和个人数据存在安全隐患。虽然数据安全法已经出台，但若仅有前置法的立法设置，没有作为兜底性、最严厉性存在的刑事法律与之衔接，仍然有可能无法发挥分类分级保护制度的构建初衷和预防目的。

在现行的刑事立法中，与数据犯罪内涵相交织的罪名有非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪和破坏计算机信息系统罪等几个典型的计算机信息系统类犯罪。在犯罪行为的认定中，容易理解为以数据为对象的侵害行为一定影响了计算机信息系统运行安全，造成了其处理数据能力的损害。进而在刑事法律的适用上直接排除了并不会影响计算机信息系统运行安全但侵害数据内容本身的不法行为，造成数据犯罪与计算机信息系统类犯罪混同。

根据数据安全法的立法内涵，针对以数据为侵害对象的不法行为，在满足刑法适用条件下，完全能够类型化为数据犯罪。数据犯罪有其自身特有的构成要件内容，在法益实质不同的情况下，不应与计算机信息系统类犯罪或侵犯公民个人信息犯罪相等同。而在刑事立法尚未单独对其明确的情况下，数据犯罪不可避免地会与相关类型的犯罪行为认定相交织。

由于个人数据、企业数据甚至国家数据中均包含了大量公民个人信息的内容，与侵犯公民个人信息罪存在天然的联系。在数字社会的发展下，公民个人信息的内容会依附于相关数据进而被一同处理，而这些伴随他人个人信息内容的数据若被行为人不当利用，或者是在侵害相关数据的同时损害到他人个人信息权益的内容，达到情节严重及以上程度，数据犯罪和侵犯公民个人信息犯罪极易发生想象竞合。在厘清数据与信息侵害行为具有较大难度的情况下，很难保证罪名适用上的准确性。

由于数据犯罪在行为、结果、因果关系等构成要件要素上与非法获取计算机信息系统数据罪存在较高相似度，在刑法未单独设置数据犯罪的情况下，非法获取计算机信息系统数据罪成了规制数据犯罪的主要罪名之一。但结合上文论述以及计算机信息系统类犯罪构成可知，数据犯罪在法益侵害上仍然与计算机信息系统类犯罪存在较大区别。在非法获取计算机信息系统数据类犯罪行为中，可能同时侵犯了存储在计算机信息系统中数据的内容，而刑法打击因非法手段获取数据的行为是为了保障计算机信息系统整体运行安全，这种安全处理数据的能力体现在数据处理的全过程中。针对数据本身的犯罪行为，在国家数据、企业数据以及个人数据的内容中，更强调数据本身的存在价值，类似于一种“物权”上的保护。

因为计算机信息系统作为处理数据的主要工具，多数情况下数据的内容存在于计算机信息系统运行的全过程。因此，在侵犯数据内容本身的同时，也伴随非法侵入计算机信息系统的行为。针对国家数据和尖端科学技术领域的数据侵害时，容易直接入罪。其次，在刑法第286条规定的破坏计算机信息系统罪中，若出现对存储于该系统中的部分数据内容进行了删除、干扰等行为，又因为该数据上的不当行为造成计算机信息系统无法正常运行，同样涉及数据犯罪类型与破坏计算机信息系统犯罪的交叉竞合。

随着数字时代的发展，数据在某些领域发挥着至关重要的作用。以数据为侵害对象的不法行为越来越多，部分数据不法行为的法益侵害程度已经实质上达到了刑法适用的标准。针对在不同程度下惩治数据不法行为的问题，有必要进一步确保刑行法律的顺利衔接。但由于刑事立法表现出的滞后性，在治理数据不法行为时无法顺利地与数据安全法相衔接，进而导致数据侵害问题难以借助法律手段有效解决。

首先，数据安全法作为数据治理的前置法，不仅详细规定了数据的基本内涵，还明确了侵害数据内容后的责任承担。在数据概念中，包括了国家数据、企业数据和个人数据的内容。为了避免出现对重大数据侵犯行为给予轻微惩治或对一般数据侵犯行为进行严厉惩治的局面，在数据安全法第21条的内容中设置了分类分级保护的模式。责任追究上实现了警告、罚款、吊销执照等多种措施并举的模式，以及当数据不法行为构成犯罪时，可追究刑事责任。因此，在前置法分类分级保护的制度中，能够全面地应对数据不法行为，实现行政法律的设置目的。面对行政法律已经全面认可并将数据不法作为一种单独类型化的违法行为进行规制时，刑法却未及时予以回应。在数据不法行为中明确存在刑行法律衔接适用的可能性，而刑法却始终没有对数据不法行为进行单独评价，加剧了二者适用上的难度。

数据安全法在数据不法问题上已经基于不同类型的数据进行了不同程度的保护，并指出数据安全是数据处于有效保护和合法利用的状态，强调的是数据对象本身。而在刑法的法条设置中，依然仅有计算机信息系统类犯罪予以应对，数据犯罪具有较强的依附性。因数据不法行为而侵入特定计算机信息系统，在侵害计算机信息系统的同时获取了其中的数据，以及在操作计算机信息系统时侵害了他人个人信息权益的内容等等。此类刑法规制几乎都可以视为对现行刑法已单独设置保护的法益的侵害，而并非针对数据犯罪的法益本身。在刑法尚未明确对数据犯罪单独惩治具有必要性时，数据安全法针对数据不法问题专门设置的分类分级保护制度不能很好地与刑事法律相协调，也会增加刑法适用的难度。

其次，在数据的不法问题治理上，数据安全法与刑法若不能有效地衔接，可能产生违背法秩序统一性问题的风险。法秩序统一性原理要求在对刑行关系的处理上，刑事违法性需要顾及行政法的前置法内容，行政法上不违法的行为就不应当作为犯罪处理。针对数据犯罪的问题，数据安全法规定了处理数据内容的活动，在损害国家、公共利益或公民、组织合法权益时，才是值得追究法律责任的不法行为。在司法实践中将数据与信息、计算机信息系统杂糅的情况下，由于数据行为与计算机信息系统犯罪行为的交织，极易将部分不属于数据不当利用的行为归入到犯罪行为行列中，例如并未侵害数据本身存在安全的合法利用行为，但却因为该行为在构成要件上与计算机信息系统类犯罪行为具有相似性，可能被不当追究责任。在本质上属于针对数据内容本身的利用行为类型，却因为与刑法无法对应衔接的原因而出现罪责刑不相适的矛盾。

由于现行刑法并未对数据内涵做出详细规定，仅依靠数据安全法第3条中对数据的定义仍然难以应对数据犯罪行为厘清问题。在司法实践中，基于数据与信息、数据与计算机信息系统的牵连关系，在行为判定上往往会发生一定的混淆。由于数据内涵的模糊性，在司法实践中因为价值判断的差异，容易导致对数据行为入罪口径的不当限缩或扩大，进而与刑法谦抑性等要求相背离。

在限缩方面，首先是因为数据与信息的重合性，容易将数据犯罪行为认定为侵犯公民个人信息类犯罪。在前文的论述过程中，本文认为数据范围大于信息范围的观点更具合理性。在有关信息的司法解释内容中，受到法律保护的信息一定是与他人人格权或其他权益直接相关的内容，一定程度限制了信息内容的囊括范围。因此，无论从应然层面还是实然层面，数据与信息都不应该等同且数据范围往往大于信息的范围。由于司法实践中将数据与信息等同认定，进而在尚无数据犯罪单独立法的情况下，出现将部分与公民个人信息权益存在联系的数据犯罪行为认定为侵犯公民个人信息罪。而将与公民个人信息权益无关的数据犯罪行为排除在刑事犯罪的认定中。实质上是对数据内涵的不当限缩，误解了数据与信息的存在边界，不利于正确理解数据本身的存在价值。其次，在未对数据本身作出定罪标准规定时，由于计算机信息系统作为处理数据的一种工具，其天然与数据内容相联系。因此，容易将对数据的理解局限于存储在计算机信息系统中的数据。数据安全法中规定的数据内容除了以电子方式的信息记录，还包括以其他方式做出的信息记录，并不能仅仅局限于计算机信息系统中的一部分。将数据犯罪行为归属到计算机信息系统犯罪中，使数据犯罪的构成要件认定严重依赖计算机信息系统类犯罪的成立，该做法仍然无法全面包含数据犯罪的种类。

在扩大方面，因为数据内涵的界定难问题，同样有可能出现入罪口径较大的问题。首先，数据概念的模糊化容易导致数据类不法行为依托计算机信息系统类和侵犯公民个人信息权益类罪名而入罪。在以数据为对象的侵害行为中，宽泛化的数据解释使得数据不法行为被理解为侵犯了计算机信息系统处理数据的能力及整体运行安全的行为。甚至出现将仅仅影响到数据本身存在安全而尚未达到刑事违法性程度的行为入罪。因为在现有刑事法律关于数据侵害的内容影响下，对数据本身的侵害往往同时涉及计算机信息系统的法益内容。司法实践中若不进一步厘清二者法益保护的不同侧面，就会不断扩大数据这种附随型计算机信息系统类犯罪的成立，也无法在数据不法行为追责问题上使刑行法律更好地相衔接。其次，即使在刑法手段无法适用的情况下，若数据内涵和数据行为所要保护的法益内容不能厘清，仍然会不当扩大作为前置法存在的数据安全法的规制范围。依据数据安全法的内容，数据安全是确保数据处于有效保护和合法利用的状态，而这种保护并未排除一切对现有数据进行利用的行为。在数字社会的发展下，越来越多的企业需要依托互联网信息、依托个人数据等内容，而这些处理数据的行为并不一定会实质上造成国家安全、公共利益或公民、组织合法权益受到损害。在国家保护和鼓励民营企业发展的政策下，需要赋予合理利用数据行为正当性。因此，在数据内涵不清且与部分刑法分则条文相混淆的情况下，同样容易扩大在数据处理行为上适用行政处罚措施的范围。

随着互联技术的进步，不管是发挥工具性价值还是内容本身所产生的价值，数据都无时无刻地参与社会治理。数据的聚合已经不再是某种事实的映射。在数字社会中，数据的产生也依赖国家活动、社会活动以及人的活动。在面对社会公众时，在某种程度条件约束下，应尽量体现出数据利用上的开放性，即应最大限度地肯定在数据权益上的“共建共享”。如学者指出的，数字时代下数据的流动共享与数据的保护具有同等重要的意义，需要促进数据保护和经济发展的良性互动。例如某些互联网平台上基于用户自愿分享、点评等活动形成的数据，平台自身可以利用该数据进行分析和归纳，进一步改进产品或服务，更加精准地锁定目标客户群体。而且该类数据本身由于具有公开性，是依靠大众又服务于大众的，所以其用户甚至是其他商业主体同样能够利用该公开的数据内容，并且不应该受到约束。这类对用户开放、使用，且可以在权限范围内浏览、下载的企业数据，虽然存在用户注册、验证登录等形式条件，但仍然属于公开数据。共建共享是部分数据可持续性发展的必然要求，也是影响我国数字经济发展的重要因素。因此，对于数据权益的保护以及在数据的可共享范围问题上，过宽或过严的法律治理都不利于数据在经济社会发展上实现最大功效。过度放宽数据利用容易导致算法歧视和大数据杀熟等数据滥用行为的出现，而过严又不利于数据共建共享的实现，影响数据价值的最大化挖掘。

首先，依据数据安全法第7条的内容，在保护个人、组织与数据有关权益的同时，为了促进数字经济的发展，同样鼓励数据的合理有效利用和有序自由流通。该规定体现出了数据上共建共享的可持续发展理念。因此，为了合理地协调数据权益保护和社会经济发展，需要结合上文论述的内容，准确厘定数据权益的保护边界，避免数据权益的保护成为社会可持续发展的障碍。对于数据利用行为，只要符合数据安全法所要求的合法合理，就应该尽可能地肯定该行为的可行性。伴随着数据安全法的出台，数据权益的重要性地位逐步被提高。然而在司法实践中，由于数据内涵的范围较广，在可利用数据的区分中，容易将处理公开数据这类原本属于合法类的数据处理行为归类到不法之中。其次，在刑法对数据犯罪尚无明确规定的情况下，基于罪刑法定原则，不宜轻易对数据不法行为定罪。在数据安全法肯定部分数据使用行为合理性的同时，刑法不应过多介入到符合前置法要求的行为之中。而在司法实践中，对于处理公开数据的行为，法律有过多介入之嫌，违背了数据共建共享的理念，也不利于数据权益上的可持续发展。而对于作为公共交通工具的公交车运行而言，其车次的行驶路线、运行时间、中途停靠站点等信息都是公开的。对该类数据的处理并不违背数据安全法的理念，应得到肯定。如果司法活动不合理地介入到数据利用行为，最终也会造成数据利用方面的诸多矛盾，即法律一方面鼓励数据利用的行为，另一方面又因为该利用行为而向行为人追责。

首先，在作为国家标准的《信息技术安全数据安全能力成熟度模型》中，明确了数据的生存周期为数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁六个阶段，进而形成了全生存周期上的数据权益保护。而不同于国家标准对数据的保护，数据安全法及现行刑法对数据不法行为的规制主要停留在数据采集和数据处理阶段，即主要针对的是非法获取类数据犯罪和非法处理类数据犯罪，至于在其他阶段或生命周期中同样容易出现的数据不法行为则较少涉及。在我国数据安全法第3条的内容中，也仅明确了数据处理主要包括数据的收集、存储、使用、加工、传输、提供、公开等行为。对于其他数据生存阶段的解释和数据保护尚未纳入法律条文内容中。因此，不难发现我国司法实践对数据的保护仍然存在部分阶段缺位的问题。

其次，在对数据权益实现全阶段保护的必要性问题上也存在不同的观点。在我国现行法律对数据不法行为部分规制的基础上，有学者认为我国刑法目前仅将获取型数据不法行为如非法获取计算机信息系统数据罪和破坏性数据不法行为如破坏计算机信息系统罪予以犯罪化处理是不合理的，还应该将同样具有社会危害性的滥用型和侵入型数据侵权行为纳入刑事法治理范围之中。也有学者从刑法谦抑性的角度提出对一般数据进行全阶段保护的反思，进而认为非法存储型和数据处理中的使用一般数据行为均无须动用刑法予以规制。

在数据生存周期的六大阶段中，均有可能出现值得法律惩治的危害行为。由于刑事立法上的不明确以及滞后性的特点，在数据生存周期保护中的阶段性缺位可能会导致司法实践放纵与获取型、破坏型数据行为危害性相当的不法行为。在部分数据生存周期下产生的数据不法行为，如在数据公开阶段将不应当公开的数据擅自公开、在数据提供环节擅自提供相关数据、在数据销毁阶段未经允许擅自销毁相关数据的行为等等，该类行为同样属于侵犯了受法律保护的数据保密性内容。然而在我国对数据权益保护的现状下，部分破坏数据安全的行为尚处于我国刑法打击的范围之外。虽然我国数据安全法中涉及的数据不法类行为基本能够对应数据的生存周期，但在与刑事法律的衔接适用中，仍然局限于数据的处理阶段。在数据部分阶段保护不清晰的状况下，容易导致数据不法行为的判断标准出现差异。如果入罪标准过宽，会出现放纵犯罪的情况。而在入罪标准过严的情况下，又会与刑法谦抑性原则相违背。因此，本文认为上述反思对一般数据进行全阶段保护的观点更具合理性。因为在我国司法对数据权益保护的现状下，由于刑事法律对数据权益保护的滞后性，不能与数据安全法所要求的分类分级保护制度全面衔接，快速实现对数据犯罪行为单独入罪也并不现实。因此，在对所有数据利用行为进行惩治的必要性不足基础上，为了体现罪责刑相适应和司法适用上的经济性考量，现阶段应针对数据主要生存周期所产生的主要问题进行治理。适当放宽部分阶段下的数据利用行为，实现数据生存周期的有限性保护。

四、可持续性理念在数据犯罪治理中的应然展开

数据作为数字社会和数字经济发展中的重要因素，在共建共享的可持续性发展理念下，应充分肯定数据的可利用性。在发挥数据对数字经济重要驱动作用的同时也催生了不法行为。因此，有必要在打击犯罪与促进数字经济发展之间找到平衡点，在数据合理利用过程中实现可持续的理念。首先，由于刑事立法上的不完善以及刑罚适用边界不明确，在前置法已有具体规制和保护模式的条件下，刑法无法与之有效衔接。数据不法行为的入罪判断标准不明确，无法实现一般预防的积极效果，也会导致数据利用行为的风险性增大。其次，囿于刑事法适用的直接成本和附随社会成本问题，在当前阶段应有限展开数据生存周期的阶段性保护，避免过度扩大法律适用的口径，阻碍数据上的共建共享实现。最后，在数据安全犯罪的治理过程中，可以引入刑事合规机制，有条件地为涉案企业架起一座再回归法秩序的“黄金桥”。通过事前预防和事后整改相结合的手段，能够有效减少数据不法行为的出现，也能在数据安全犯罪上实现一般预防和特殊预防的双重效果。

数据内容本身作为数字经济发展的重要元素，其作用不言而喻。数据处理和流动的权限范围直接影响着部分行业的发展。因此，在考虑数据规制的法律问题时，不能仅从数据静态上的本身价值角度考虑，一味将因为数据处理而侵害到数据权益本身的行为作违法甚至犯罪处理。需要充分发挥数据在动态环境中共建共享的价值，助力数字经济的发展。在针对数据犯罪采取的刑事立法专门化基础上，也要充分考虑数据犯罪的体系化问题。在罪名确定和量刑幅度的设置上，要使刑事法律与前置法合理衔接，避免出现惩罚畸轻或畸重的情形。在惩罚数据犯罪的同时，也要保护合理利用数据的权利。惩罚幅度进一步确定也是我国宽严相济的刑事政策理念应有之义。

为了更好地实现刑法与数据安全法有效衔接，真正实现数据分类分级保护，有必要在刑事法律中设置数据犯罪的特定罪名。由于数据价值并不局限于存在本身，其在流通中创造的价值同样不可忽视。在数据内容中，不同状态下的数据形式其被侵害方式和受保护方式又各有侧重。在刑事立法中，需要在数据静态和动态保护的双重视野下展开讨论。

首先是在数据的静态保护上，因为数据本身的存在价值，可以在刑事法律中设置非法处理数据罪。数据安全法第3条的内容中明确规定了数据处理行为包括数据的收集、存储、使用、加工、传输、提供和公开等行为。而在现行刑事法律中并未将全流程的数据处理行为纳入规制范围，仅局限于同计算机信息系统类犯罪行为相关联的不法行为。根据上文的讨论，数据处理不法行为与计算机信息系统类不法行为仍有较大区别，前者强调数据内容本身价值而后者强调计算机信息系统整体的运行安全。因此，有必要在数据犯罪的单独立法中考虑对数据处理行为的规制，避免数据内容本身与计算机信息系统相混淆，违背罪责相适原则的内涵。结合数据安全法的内容，非法处理数据的行为可以理解为行为人处理数据未依照法律、法规的要求，造成国家、企业组织或个人的合法权益受到危害。

为了准确厘清数据违法行为与数据犯罪行为，还需要进一步对危害程度进行解释，确保数据安全法与刑法的有效衔接。本文认为在危害数据权益的程度量化问题上，可以从被侵害的数据主体、被侵害的数据面积和因侵害行为造成的直接或间接经济损失等方面来考虑。该做法也有助于对数据安全法法条内容中出现的“情节严重”和“构成犯罪”等表述形成具体参考标准。但基于我国数据发展的现状和刑法适用的成本考量，现阶段不应将所有数据处理行为纳入规制范围之中。如学者指出因为对非法获取、传输一般数据的行为入罪尚且需要满足较为严格的限定条件，而对社会危害性更低的存储一般数据行为采取刑罚则更无必要性。对于非法使用数据的行为，因为其实质是以数据为工具的不法行为，不具有刑法所要求的社会危害性。在对数据处理行为的考量中，不能对所有行为采取法律规制的另一原因是鼓励数据的共建共享和促进数字社会发展的需要。而过于严格的数据行为规制，会使得数据在静态安全和动态共享中失去平衡，造成法律过度侵占数据利用的空间。

其次，在数据的动态保护上，因为数据在流动中会产生价值，有必要设置妨害数据运行罪。因数据本身存在各种价值，在数据的运行中，同样可能基于传输、交换、分析等行为产生超越其本身的价值部分。《上海市数据条例》第49条规定了培育数据要素市场主体，鼓励研发数据内容，深度挖掘数据价值，进而通过实质性加工和创造性劳动形成数据产品和服务。可见数据在运行中产生的价值同样值得法律保护。妨害数据运行的行为是指对数据交易市场、交易媒介、数据应用研发和数据服务的本身及过程进行干扰，阻碍数据价值实现的行为。当然，在数据运行中也并不是所有的干扰行为均存在危害性，不应对所有影响数据运行的行为采取法律惩治措施，例如因保护个人信息权益合理限制他人提供数据服务的行为。在该罪的设立中，同样需要在“情节严重”“构成犯罪”程度上具体阐述，判断标准可以参考因该行为而造成他人的经济损失以及行为人违法所得等情节。

增设数据犯罪的独立罪名主要存在三点益处：第一是能够更好地应对数据犯罪与其他罪名出现的想象竞合问题；第二是独立的罪名设置有利于保留出罪空间；第三是更有利于与数据安全法等前置法内容相衔接，实现数据内容上的共建共享。

对于数据犯罪的立法完善应高效有序地使其融入刑事法律体系，而不是仅仅依靠计算机信息系统类犯罪的认定，混淆数据与计算机信息系统的内容。在刑法分则条文中单设数据犯罪的罪名是使数据犯罪融入刑事犯罪体系最有效的措施。首先，在数据犯罪中，因为数据内容本身的特征，极易与公民个人信息和计算机信息系统交织，进而发生数据犯罪与刑法第253条侵犯公民个人信息罪、刑法第285至286条规定的计算机信息系统类犯罪发生竞合。在数据犯罪行为未单独进行立法规定的情况下，针对数据内容的犯罪往往采用计算机信息系统类罪名进行规制。由于二者本身的实质要件不同，混用一种罪名的做法不利于厘清数据与计算机信息系统的概念。公民个人信息内容与数据的竞合同样不利于信息与数据的区分。使二者在概念内涵和外延上人为性的趋同，不利于在不同犯罪行为发生想象竞合后实现从一重罪处断的做法。

在数字经济紧密依靠数据内容生成的情况下，不能过度强调数据风险的提前预防，避免打击数据产业的可持续性发展。数据运行的全流程保护中，应适当肯定部分数据利用行为。对于不具有社会危害性的数据侵害行为，应尽量排除刑法适用的可能性。对于情节轻微的数据犯罪行为，也应保留必要的出罪空间。而司法实践在处理数据犯罪时难以形成有效的出罪路径，主要原因是缺乏可适用的具体法律依据。因此，对数据犯罪行为设立专门的罪名更有利于形成数据行为的出罪路径。

在设立专门的数据犯罪罪名过程中，由于刑事法律在定罪和量刑上的特征，必然考虑到行为的不同危害程度区间，进而形成量刑上的梯度，进一步为衔接数据安全法中的“构成犯罪”规定创造条件。由于数据安全法是针对数据内容本身及其处理安全而设置的，计算机信息系统类犯罪则更多是考虑到计算机信息系统本身及其运行安全，与数据权益保护在本质上有所区别。因数据本身及其处理过程被侵害，在数据安全法难以有效发挥治理效果的时候，尚未将数据犯罪纳入规制体系中的刑法仍然无法应对。依靠计算机信息系统类犯罪和侵犯公民个人信息犯罪的做法不仅容易违背罪责相适的原则，还不利于刑法预防功能的实现。该做法容易对部分数据利用行为不当入罪，甚至发生法秩序不统一的问题，阻塞数据在共建共享的可持续发展中创造价值。专门化的数据犯罪罪名设置有利于实现刑行法律的有效衔接，发挥数据的最大效益。

在国家标准明确数据的六大生存周期和数据安全法设立分类分级保护模式之下，法律规制的范围应逐步覆盖数据生存的全周期。目前我国数据犯罪的刑法规制主要依附于计算机信息系统类犯罪，仅对获取型、破坏型数据侵害行为进行打击，局限于数据采集与数据处理阶段。而纵观数据的全生存周期，在数据传输、存储、交换和销毁几大阶段中均容易发生具备刑事可罚性的侵害行为，如上文论述的数据在传输、交换等运行过程中，会产生较大的附随价值，受到侵害的风险也较大，同样值得刑法保护。但也并不意味着各生存周期下的数据不法行为均需要法律加以规制，这样做不仅会过度增加司法适用成本，还会导致数据可利用空间的进一步限缩，阻碍数字经济的发展。因此，有必要在全流程保护的视野下，适当放宽部分数据利用行为，允许深度挖掘数据的价值潜力。在数据的采集阶段，除了国家数据及部分不予公开的企业数据和个人数据，针对一般数据进行采集的行为应得到允许。对该类公开数据实施的采集行为并不具有社会危害性，更不应纳入法律惩治的范畴。在数据的传输和存储阶段，若行为人的传输、存储数据涉及国家秘密、商业秘密或个人信息权益等内容，因为会造成其他法益的损害，其必然受到法律制裁。但从刑法分则条文设置的体系性及刑法规制必要性角度考虑，在传输和存储一般数据未造成其他主体权益受损的情况下，无须将非法存储一般数据行为纳入刑法的规制范畴。在数据的处理阶段，由于数据安全法已经详细规定了数据处理的内容。因此，违背规范要求的数据处理行为不具有合法性，在情节严重构成犯罪的情况下，需要追究刑事责任。当然，为了与数据安全法以及各地数据管理条例中鼓励对数据开发、挖掘等倡导相协调，进一步体现数据共建共享的精神，在数据处理阶段也应尽量肯定数据利用行为，避免法律过多介入。在数据交换和销毁阶段，若出现未经许可擅自交换特定数据、未经许可擅自销毁特定数据以及应该销毁而未销毁特定数据等行为，因此类行为同样具备社会危害性，有必要考虑纳入法律规制的范畴。除此之外，应适当放宽其他数据利用行为，防止侵占数据开发的空间。

数据安全法第8条规定了开展数据处理活动应当遵守法律、法规，履行数据安全保护义务，不得损害其他主体的法律权益。为了在符合规范要求下促进数据的有效利用，单一的法律惩治模式并不能很好地应对。在数据行为治理中引入合规机制能够为数据安全与数据可持续发展的协调提供契机，即“搁置价值冲突的状态及暂不直接追究刑事责任，但附加严格的合规监管要求，从而在坚持安全底线原则上，同时尽量促进数据的处理、应用。”首先，刑事合规开展与数据共建共享的可持续发展具有理念上的一致性。刑事合规机制的引入是给部分企业改过自新的机会。在其认罪认罚的基础上，通过合规机制的有序开展，能够更好地约束和规范企业数据处理行为，帮助企业在合规条件下深度挖掘数据的价值。而并不同于在企业涉嫌刑事犯罪后，直接采取刑事制裁措施。过度的法律制裁会打击数据行业的发展，不利于在数据权益上实现共建共享。其次，在刑法尚未对数据犯罪单独立法的情况下，刑事合规机制的开展有利于缓解数据犯罪规制难的问题，弥补现状下刑事治理不足的问题。现行刑法尚未实现与数据安全法分类分级的衔接治理，数据安全犯罪依附于其他刑法分则条文的设置，容易不当限缩或扩大数据行为入罪的口径，导致数据安全犯罪的入罪标准无法统一。

通过对需要进行制裁的数据利用主体开展刑事合规，在合规计划顺利完成后能够有效减少刑事措施的适用，进一步避免了在数据安全犯罪上出现的罪责不相适问题。面对数据安全风险增大和数据不法行为数量增多的态势，在数据不法行为治理体系中引入刑事合规，有利于涉案主体与法律、法规之间形成协作。刑事合规机制的加入，进一步实现了数据安全的协同化、立体化保护模式。最后，在数据安全犯罪中引入合规不起诉制度也体现了少捕慎诉慎押的刑事政策理念，避免刑事制裁措施适用带来严重的后果。充分体现了加快社会修复，强化社会治理，促进社会和谐稳定的少捕慎诉慎押政策理念。

根据预防犯罪的需要，数据安全的刑事合规应当从事前合规与事后合规两方面进行构建。在相关主体实施数据犯罪之前，通过提前建立完整、有效的合规计划，规范后续数据利用行为，进一步预防和消除在数据利用上发生的犯罪风险。而在相关主体实施数据犯罪之后，针对适格的主体，可以有条件地要求其开展整改补救措施，制定合规计划。进而帮助涉案主体回归数据合理利用的正轨，预防数据安全犯罪再次发生。

结语

近年来，随着数字时代的发展，数据安全风险和数据不法行为呈现激增的态势。针对数据安全问题而出台的数据安全法有利于缓解数据不法行为规制难问题。但在面对数据安全犯罪问题时，刑事治理措施表现出了先天性的缺陷。在刑法尚无独立法条设置的情况下，数据犯罪容易与计算机信息系统或个人信息类犯罪相杂糅，致使数据犯罪惩治无法与数据安全法设置的分类分级保护模式相衔接。通过非法处理数据罪和妨害数据运行罪等数据犯罪罪名的独立设置，能够进一步化解在数据犯罪规制上出现的罪责刑不统一问题，助力数据犯罪体系化下的数罪竞合及出罪路径狭窄等问题化解。在解决数据利用中出现的不法问题时，需要在数据权益保护与数据共建共享的可持续发展平衡之中进行考量，在静态保护与动态维持的双重治理道路下最大限度地使数据权益被挖掘。囿于司法适用的成本及数据发展的现状，应在数据全流程保护的视阈下，有限地肯定各生命周期下的数据利用行为，避免数据保护过度侵占数据可利用空间。通过引入合规不起诉制度，能够暂时应对数据犯罪规制上出现的矛盾。事前与事后的数据合规改造有利于实现数据保护与数据可持续利用的协调发展，符合宽严相济刑事政策理念的内在道德。