曹化 蒋昊｜数据犯罪的刑事治理

数据犯罪呈现出愈演愈烈的趋势，对于国家安全、公共安全、个人安全造成严重的不利影响。为遏制数据犯罪的扩张趋势，通过对于数据犯罪进行理论解读，基本明确数据概念、数据承载权利、数据犯罪概念的内涵与外延。结合司法实务，数据犯罪刑事治理中存在刑事立法的滞后性、数据法益的模糊性等障碍。为定分止争，兼从刑事立法及刑事司法探讨数据犯罪刑事治理的优化进路，在司法适用层面，以数据法益为识别标准，类型化界定数据犯罪案件；而在刑事立法层面，以分级分类保护为数据保护基本原则，对于数据犯罪涉及罪名进行调整，并以优化司法解释为方向，梯度划分数据犯罪的罪量标准。

一、问题的提出

数据要素是推动城市数字化转型的重要动能，数据的爆发增长、海量集聚蕴藏了巨大的价值，对提高生产效率的乘数效应不断凸显，成为数字经济时代的核心资产。在数字经济转型的宏观背景下，国家也愈加重视数据作为基础性生产要素的重要地位。2021年9月1日，数据安全法正式施行，掀开了数据安全治理新的征程，数据安全产业迎来黄金发展期。我国密集发布数据安全相关政策法规，推动了从网络安全到数字安全政策体系的完善，为安全领域的技术发展和应用深化提供了参考。

伴随数据产业的蓬勃发展，数据犯罪亦开始滋生与变异，数据安全风险成为关涉个人利益、公共利益以及国家利益的新型社会风险因素。结合司法实务，近年来非法数据交易的黑灰产业链呈现多元化、复杂化趋势。面对数据犯罪的严峻形势，刑事治理也应当有所回应，刑事立法的自我更新更是不可或缺。只有构筑起数据安全防护新格局，才能适应数字化时代数据犯罪的新形势。

二、数据犯罪刑事治理的理论基础

数据安全法将数据定义为“任何以电子或者其他方式对信息的记录”。即依托计算机及网络信息系统以及相关存储介质传输、存储、处理的电磁数据。这一定义表明数据与信息属于互为表里，密切相关的关联概念，并未严格区分数据与信息的差异性，属于广义的“数据”概念。数据安全法作为数据安全领域的基础性法律，以较为宏观的视角进行切入，基本确立了我国数据安全立法的基本框架。正因如此，其采用了广义的数据概念，对于数据安全领域的制度安排、配套措施、标准制定等方面进行统筹性、系统性、体系性地筹划，推动了从网络安全到数字安全政策体系的完善，为数据安全领域的经济发展提供重要助力。因此，有学者认为，在信息与数据共生、共通的背景下，在法律概念使用上没有严格区分的必要。不过，数据安全法中的数据概念存在数据与信息一体两面性的解释导向，无助于进一步理解两者关系的联系与区别。在我国现阶段的数据安全立法领域中，实则已经对于数据与信息进行了较为明确地区分，比如个人信息保护法的出台意味着个人信息保护力度的显著增强，也明确指出了个人信息作为数据安全法中数据内涵的特定类型之一，已经得到专门性立法的特殊保护。在这一语境下，数据安全法是为数据安全领域的基础性法律，而个人信息保护法则作为专门性法律是对于特定的数据类型加以保护。

在刑事法领域，通过检索，犯罪对象直接指向数据的罪名为非法获取计算机信息系统数据罪，根据2011年发布的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《计算机解释》），非法获取计算机信息系统数据罪中的“数据”概念应当解释为身份认证信息，但随着大数据时代下，新型信息网络技术的不断深化发展，“数据”概念应当伴随时代演进而不断丰富其意蕴。司法实务中，在理解本罪中的“数据”概念时，应当不拘泥于身份认证信息，结合具体案情进行扩张化认定，以期实现对数字经济转型下数据权益的充分保护。此外，对于对数据的扩张认定属于扩大解释，并不违反罪刑法定原则，“数据”的含义已随大数据时代的到来发生了实质性的变化，且《计算机解释》的扩张解释也表明，立法者有意将大数据背景下的“数据”概念纳入其中，若仍拘泥于传统的“数据”范围，无法实现对数据法益全面保障的目的，因而司法实务中，应进行适当的扩张认定。

民法典将数据、虚拟财产并列规定为“其他民事权利”，可以认为在私法意义上，数据的价值主要体现为财产性利益。另外，立法均以“身份可识别性”限定个人信息，可以认为其主要体现为人格利益。但结合刑事司法实务，刑法中的数据内涵似乎采取广义的数据概念，能够包括个人信息、网络知识产权等权利内容。不过数据虽然能够以权利束的形式承载诸多权益类型，但刑法赖以定罪量刑的基础在于以法益为视角进行罪间边界的合理划分。费尔巴哈认为，国家的目的在于保护公民的外部自由法益。刑法中行为规范的保护目的，仅仅在于防止个体的绝对权利遭受侵害。据此，法益究其本质而言属于权利。数据以权利集合体的形式出现，刑法若以权利为价值内核的法益概念为判断程式，并未严格区分数据承载法益的具体类型，从而对数据犯罪进行案件定性，可能会导致案件定性判断方法存在适用误区。因此，有必要厘清数据承载的权利属性，并按照价值位阶进行一定的划分。

数据的基本权利属性在于财产权，法律之所以赋予某种事物以公开且稳定的财产权，恰恰在于其能够持续激励权利人创造、改进和更好地使用，实现稀缺资源的配置，产生更大的效用。大数据企业通过建立信息交流平台、一般而言，第三方应用程序的基础功能是无偿提供给用户使用，而获利的方式之一在于吸引与获取用户流量，对于所集成的大数据进行记录、分析，从而形成具有经济价值的数据商品服务。在数据收集整理的过程中，存在时间成本以及人力成本的支出，若数据利益的财产权属性不加以明确，数据从业者必然不会对于数据进行投资，从而影响了数据经济的发展。

数据作为虚拟网络的基础性载体，其具体内涵较为丰富多元，能够涵盖诸如个人信息、商业秘密等权利标的的内容。因此，数据所承载的具体权利内容，包括人身权、财产权与诸如知识产权等复合型权利。在大数据时代，诸多权利内容呈现出去实体化的特征，为了避免权利体系的失衡，应当将数据利益与知识产权等具体权利内容加以界分。数据利益并非从表现形式上进行界定，在具体内容上应当进行一定的筛选，把那些能够被其他权利类型涵盖的权利标的加以排除，从而数据利益仅能够呈现出一定的财产性价值。可见，数据利益虽然具有一定的财产性价值，但并不具体，无法与虚拟财产、知识产权作出同等评价。

诚如前述，数据利益虽然具有一定的财产权属性，但并不具体，在权利位阶上，并不能高于作为个人信息权的人身权利或者是其他存在具体指向的财产权利。正如有学者认为，数据之上承载着诸种不同的利益和价值，包括人格权利、财产权利、数据利益，但是诸价值之间的确存在先后的位阶关系。以个人信息权与数据利益的界分为例，数据利益作为独立于个人信息权的权利类型，也有着数据实体法的支持。数据安全法第51条指出，损害个人、组织合法权益的数据处理活动，依照有关法律、行政法规的规定。显然，立法者为了避免数据之上的权利产生冲突，作出相关规定加以界分。在利益分化、价值多元的时代，权利之间存在冲突并不鲜见。当数据源自网络用户的个人信息时，数据利益和个人信息权就成为一对既彼此关联又相互冲突的权利。面对该权利之争，解决之道在于权利位阶和比例原则。由于多元化权利会产生冲突，所以在权利位阶上，法律赋予特定权利一定的优先性。权利的位阶关系，反映了权利效力间的高低、强弱或者价值上的轻重关系。一般而言，人格权优于财产权，因而作为人格权的个人信息权理应处于价值优位，数据利益则次之。

数据犯罪是具有鲜明时代特征的新型概念，我国刑事立法中欠缺对于数据犯罪的明确定义，仅在刑法分则部分罪名中存在数据作为犯罪对象的情形。由于数据内涵的不断扩张化，数据犯罪随之呈现出不同的定义模式，存在广义与狭义之分。鉴于刑事立法存在一定的滞后性，目前数据犯罪的刑事治理途径，主要通过以计算机信息系统安全为主、数据安全为辅的计算机罪名加以进行，计算机信息系统与数据的刑法评价实则具有一致性。故狭义的数据犯罪是指以数据为犯罪对象的计算机罪名，即刑法第285条规定的非法获取计算机信息系统数据罪与第286条规定的破坏计算机信息系统罪。从广义而言，数据犯罪是以数据为犯罪对象、以数据为犯罪载体、以数据为犯罪工具的与数据相关的犯罪。由于数据作为权利载体的包容性较强，以数据形态呈现的个人信息、知识产权等诸多法益内容，也能够被数据犯罪所涵盖。此时，数据犯罪作为庞大的犯罪集合体而呈现。司法实务中，数据犯罪主要包括以下四类：一是计算机犯罪，针对作为数据、信息载体的计算机信息系统的犯罪；二是财产犯罪，针对虚拟财产、电子货币等数据财产权利的犯罪；三是人身犯罪，典型的如侵犯公民个人信息罪；四是知识产权犯罪，比如侵犯著作权罪、侵犯商业秘密罪等罪名。当然，刑法中其他诸多罪名的法益亦能呈现出虚拟化、数据化的表现样态，同样能够被数据犯罪所涵盖，但其余罪名尚未呈现出体系性、系统性的数据犯罪特征，而是散见于刑法分则罪名之中，侵害对象表现为国家秘密、公司、企业重要信息、信用卡信息等特定领域的数据犯罪。

兼从数字犯罪的防控治理以及数据犯罪的司法认定出发，笔者赞同分别通过狭义与广义两类视角对于数据犯罪进行界定，从而在不同侧面发挥作用。从数字犯罪的防控治理出发，数据犯罪的行为模式以互联网技术运用为支撑，应基于系统性思维探寻针对性的刑事政策加以应对，以求显著降低数据犯罪的发生率，以及实现有效治理数据犯罪的目的；从数据犯罪的司法认定出发，数据犯罪的行为手段无法确定相关案件如何进行认定，数据犯罪的罪名界定需要高度依赖于实际的法益侵害类型，狭义的数据犯罪概念，能够准确描述数据犯罪的本来面貌，避免与其他罪名产生适用分歧。

三、数据犯罪刑事治理过程中存在的障碍明晰

数据犯罪的司法适用，建立在厘清数据的基本概念、权利属性、法益征表的基础上，方能行之有效。目前，数据犯罪的刑事治理仍存在诸多难度与堵点，由于数据法益的模糊性、数据刑事立法的滞后性，导致数据犯罪在司法适用过程中存在案件定性争议不断、罪名界定模棱两可等困境出现。在数据犯罪的刑事治理过程中，有必要事先厘清目前所面临的诸多障碍，以求针对性地解决数据犯罪的刑事治理问题。

以数据犯罪的刑事立法为切入点，笔者通过“数据”加以检索，明确表明以“数据”作为犯罪对象的罪名主要为非法获取计算机信息系统数据罪、破坏计算机信息系统罪等计算机罪名，并且《刑法修正案（十一）》新增设的第134条之一危险作业罪、第142条之一妨害药品管理罪也都于具体行为方式上分别列明了对于生产安全数据、药品申请注册数据进行篡改或伪造的刑事责任，显然随着现代社会的数字化转型向纵深发展，诸多权利内容均呈现出去实体化特征。结合《计算机解释》的相关规定，刑法语境下的数据内涵，已远远超过单纯的身份认证消息、还存在生产安全数据、药品管理数据等新型数据表征。当然，数据内涵远远止步于此，数据作为基础性的生产要素，具备能够对于诸多权利进行普遍承载的特性，数据法益的内涵极为丰富，数据犯罪所对应的保护法益，已有基本的财产法益扩张至个人信息权等人身法益、知识产权法益，当数据所映射权利涉及国家安全、公共安全时，数据法益也能够呈现出国家安全法益、公共安全法益等样态。

根据数据安全法的规定“数据安全”是指有效保护和合法利用数据并使之持续处于安全状态。也即数据法益虽然大部分情况下能够通过人身财产法益等特定保护途径加以保护，但不可否认的是，以庞大数据流汇集所形成的数据集合本身也呈现出较高的数据安全“脆弱性”，不过目前数据法益尚欠缺刑事立法上的独立性。正如有学者认为，我国计算机犯罪在立法之初就采取了设备、计算、数据三位一体的模式，即以计算能力为主要视角、兼有物理设备隐形视角、不彻底数据视角的混合模式，数据犯罪及其保护法益的独立地位并不显见。当前我国数据犯罪的刑事治理，主要围绕计算机罪名进行开展，非法获取计算机信息系统数据罪虽为当前我国刑法中唯一专门规制数据犯罪的罪名，但其犯罪构成的设计出发点在于保护计算机信息系统安全，规制重心不在于数据安全，构成要件所表征的数据保护效力范围较为有限。正如有学者认为，数据安全法益不可避免地带有抽象性，但承认集体法益的抽象性、概括性并不意味着否定其客观性和独立保护的必要性。我们认为，应在刑事立法中补充数据安全法益，为数据安全提供持续保驾护航。

随着数字科技深度赋能当今社会发展，诸多权利客体不再被实体性的物质载体所局限，呈现出虚拟化、数字化、数据化的特征，在储存、传输与利用等数据全生命周期的不同阶段，能够打破时空间的条件限制，大幅度提升工作质效。因此，数据作为去实体性载体，能够承载较为多元的权利客体类型，若以数据作为犯罪对象或者间接妨害到数据产权，由于数据承载的法益类型具有复合性、杂糅性的基本特征，若未能准确识别涉案数据承载的法益类型，便可能会导致数据犯罪在司法适用中出现较大的定性争议。

结合司法实务，当前数据犯罪刑事治理的主要罪名在于以非法获取计算机信息系统数据罪为首的计算机罪名，以“非法获取计算机信息系统数据罪”为关键词进行检索，共得到296份刑事判决书，从这296份判决书来看，作为该罪犯罪对象的“数据”范围极广，几乎涵盖了一切可在电脑系统中储存、显示、获取的权利客体。具体包括：以身份认证信息与个人信息为主要内容的身份信息、网络虚拟财产、网络知识产权与其他网络财产性利益。远远超出了《计算机解释》所规定的身份认证消息这一信息类型的局限。具体而言，通过计算机网络所获取的数据和信息类型，除通常所见的公民个人信息、软件应用账号密码等身份认证信息外，还包括传统观念中不属于身份认证信息的如医院用药统方数据、网站管理权限数据、公司经营信息、游戏虚拟财产数据等。可见，刑事犯罪中“数据”内涵正日益丰富，致使数据犯罪的保护法益逐渐多元化，不过以游戏虚拟财产、公民个人信息等内容作为犯罪对象时，存在相应的人身财产罪名加以规制，若案件定性时将所有以数据为载体的法益侵害行为都尽可能涵盖，则会导致案件定性争议较大。

综上所述，我国数据犯罪刑事治理的主要障碍源于刑事立法与司法实践两方面因素。在刑事立法上，数据犯罪始终局限于计算机罪名的视野中，数据犯罪规范体系最终为传统计算机犯罪体系所遮蔽，而在司法实践上，数据犯罪的法益实际上呈现出较为繁杂的复合样态，部分数据犯罪在案件定性存在模棱两可的界定矛盾。为推动数据治理范式向纵深发展，应以数据犯罪的司法适用为切入点，在兼顾弥补刑事立法的不周延性，以积极回应司法实践需求。为定分止争，笔者尝试优化现行数据犯罪刑事体系，并依据数据犯罪的法益侵害实质，构建数据犯罪的刑事治理体系。

四、数据犯罪刑事治理的优化进路

刑法第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。”可见，立法者已经预想到计算机罪名在法律适用时，较易与刑法分则其他罪名产生定性争议，因此，通过提示性规定提醒司法人员加以注意。随着新兴数字科技的深化运用，犯罪手段也朝向智能化、数字化发展，诸多犯罪都要借助互联网技术手段加以实现，数据犯罪的形式特征仅仅属于表象，依赖行为手段进行案件定性并不能有效解决当前数据犯罪刑事治理所面临的困境。申言之，数据犯罪的刑事治理应当以数据法益作为识别标准进行案件定性。司法实务中行为人多通过数据篡改、数据伪造、数据滥用等非法技术手段，达到获取个人信息、电子知识产权等人身财产权益的目的，较易出现想象竞合、数罪并罚的情形。但是，表征个人信息权、财产权、知识产权等传统法益的“数据”与表征数据安全法益的“数据”在法律属性和受侵害方式上有较大区别。前者以数据僭权行为为手段，目的在于侵犯其他传统法益，而后者只是对数据安全本身的侵害足以构成犯罪。可见，数据犯罪案件定性依赖于不法侵害行为侵犯法益的准确辨识，以数据安全侵害为主要内容时，应当以计算机罪名加以规制，而以数据承载特定权益为侵害对象时，应依其表征的法益所指涉罪名加以定罪量刑。

随着新兴数字技术的不断创新赋能，诸多权利内容进一步呈现出虚拟化的特征，刑法中诸多罪名的保护法益亦呈现出去实体化的表现形式，因而被数据犯罪所涵盖。虽然数据犯罪的司法认定以法益为核心判断标准，但这一标准过于抽象，有赖于结合司法实务中的数据犯罪的典型表现形式进行具体认定。在司法实务中，数据犯罪案件定性的数量占比，以计算机犯罪、知识产权犯罪、财产犯罪三类类罪、侵犯公民个人信息罪这一各罪为主要内容，其余刑法分则罪名时有涌现。因此，笔者通过计算机犯罪、财产犯罪、知识产权犯罪、侵犯公民个人信息罪等四维路径基本确定数据犯罪的认定路径。

其一，单纯侵犯数据安全法益构成计算机罪名。此种类型是指对数据的非法获取、删除、修改、增加行为是以侵犯数据安全法益为最终目的，而非实施其他犯罪的工具、手段的犯罪。比如，注销账号、删除差评、泄露管理数据等行为都应认定为数据犯罪。在刁某某非法获取计算机信息系统数据、非法控制计算机信息系统案中，赵某与刁某某等人约定，由赵某提供电脑设备，刁某某等人提供其所任职的汽车销售服务公司系统账号，通过在电脑上安装TODESK远程操控软件的方式，对刁某某等人系统账号进行远程操作，以查询车辆维修保养信息，赵某每月向每个车辆品牌账号支付3000元至3500元的好处费。法院认为，刁某某成立非法获取计算机信息系统数据罪。在本案中，车辆维修保养信息属于该汽车销售服务公司系统内的储存信息，该储存信息虽然无法通过知识产权、商业秘密等加以评价，但属于公司内部信息。行为人的不法获取行为，侵害了该汽车销售服务公司的系统数据安全，可能会对于该汽车服务公司的经营活动造成不利影响，符合非法获取计算机信息系统数据罪的构成要件。对于类似案件可能存在财产犯罪与计算机罪名的定性争议，需要指出虽然行为人存在不法获利，但企业并未因数据泄露造成直接财产损失，可能对公司经营造成的不利影响也难以具体量化，因而并不成立财产犯罪。

其二，侵犯数据财产权的行为应构成财产犯罪。数据是否能够作为财产性利益加以保护，有必要对其加以阐明。刑法语境中的“财产”，要求具备一定的经济价值性、转移可能性与管理可能性。在诸多场合下，数据能够体现出一定的经济价值，且数据能够进行流转、储存、利用，存在转移可能性与管理可能性，因而数据能够作为“财产性利益”加以评价。据此，以数据为载体的网络虚拟财产（游戏装备或游戏货币）和储存于计算机信息系统中的电子票券、网络账号、电子邮箱等，应视为网络财产性利益来加以保护。诚如前述，数据作为基础性生产要素，考虑到数据集合的特殊性，也能够呈现出一般性的财产权属性，但并不具体，因此通过“数据利益”加以描述。正如有学者认为，数据的内在价值在不断转变，缺乏固定性、稳定性和可量化性。当数据缺乏价值量化的具体指标加以认定，无法以明确的稳定的公允价值加以呈现时，实则无法通过财产犯罪加以评价，也就意味着数据利益并不等同于财产性利益。

其三，侵犯网络知识产权的行为应构成知识产权犯罪。大数据时代，网络知识产权呈现出多元化发展的表现形态，较之实体知识产权内容，俨然在储存、交易环节更具便捷性与高效性，为激发社会创造、促进科技进步、推动社会发展发挥着重要作用。虚拟网络赋予了知识产权更多的可能性，网络知识产权除了呈现出传统知识产权的内涵外，又包括数据库、计算机软件、多媒体、网络域名、数字化作品以及电子版权等内容。随着知识产权权利载体的进一步去实体化，网络知识产权以数据作为主要载体进行呈现，这就可能会导致电子知识产权无法与普通数据进行有效区分。应以不同知识产权的权利特性为基准进行认定。以网络著作权为例，独创性与创作意图是构成作品的必备法律要件，时下Chat- GPT等人工智能通过对海量已有数据进行集成处理生成回答内容，给定答案并不具备独创性。结合司法实务，医药统方数据库、教职工管理数据库等，仅仅属于相关数据的简单汇总整合，也难以评价为“独创性”，无法作为知识产权加以保护。目前网络知识产权犯罪常见的行为方式在于未经许可复制发行他人软件、非法深度链接、非法数据爬取等，有必要结合其侵犯对象的权利属性特征进行罪名认定。

其四，侵犯个人数据的行为应构成侵犯公民个人信息罪。在诸多互联网平台中，个人信息也往往以电子方式进行记录。如人们在平台上填写的基本个人信息与实名认证信息，类似的信息留存方式在虚拟网络空间较为普遍，与此同时，相应的数据滥用风险、数据泄露风险、数据窃取风险也不容忽视。公民个人数据的易受侵犯性与保护脆弱性形成了鲜明对比。不过也并非所有与个人有关的信息都能够评价为刑法意义中的“公民个人信息”，个人数据与普通数据的区分标志在于“可识别性”。我们认为，个人信息的“可识别性”要求不能局限于尚未公开的信息，只要在形式上能够指向特定的自然人，实质上能够影响到该自然人的私域自主与安全即可。因此，前述案例中的车辆维修保养数据、医药统方数据等虽然与特定自然人有关，但无法指向特定自然人，尚不符合“可识别性”标准，并不能作为公民个人信息加以保护。而对于符合“可识别性”要求的个人数据，相关不法侵害行为当满足情节标准时，应认定为侵犯公民个人信息罪。

根据数据法益的类型进行划分，数据法益的外部形态可以分为个人数据法益、企业数据法益、公共数据法益三种类型。就侵犯公共数据犯罪而言，刑事立法未引入数据分级规则，欠缺对公共数据本身重要程度和受损影响程度的区别把握，导致法定刑配置缺乏层次性、针对性，罪量评价均等化、同质化。不同领域的公共数据所承载的秩序利益和安全价值的重要性有所差异，一旦遭到篡改、破坏、泄露、非法获取、非法利用，对国家安全、公共利益造成的危害程度也有高低之分，有必要对数据安全风险进行分级管控。

数据安全法在21条确立了数据分级分类保护制度，明确根据数据在经济社会发展中的重要程度，对于数据进行分级分类保护。但鉴于刑事立法存在滞后性，未能有效纳入数据分级分类保护的体系建构，对于公共数据欠缺阶梯式的保护。根据数据安全法的规定，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，应当实行更加严格的管理制度。刑法作为后置法、补充法、保障法的地位，应当有机贯通这一梯度要求，与前置法的分级分类标准相契合，避免造成行刑衔接的难以畅通。

我们认为，既然前置法已经明确了国家核心数据的基本内涵，为贯彻数据分级分类的刑事保护，应当在刑法立法层面对于国家核心数据与其他数据做出区分。即将非法获取国家重要核心数据的行为予以入罪，为维护刑法体系的一致性，应当适当修改刑法第285条非法获取计算机信息系统数据罪的罪状表述，以单列一款的形式标准，明确非法获取国家重要核心数据属于本罪的加重情节，同时在法定刑设计上，应当与基本刑做出区分，法定最低刑应当设定在3年以上有期徒刑，从而在贯彻数据分级分类保护的基础上，维护刑法系统的有机协调性。

同时，考虑到非法侵入计算机信息系统罪中犯罪对象限制为国家事务、国防建设、尖端科学技术领域的计算机信息系统，并未指涉其他领域，前述领域虽然与国家安全、重要民生、重大公共利益存在紧密联系，但与国民经济命脉实则联系较为薄弱。既然数据安全法认可关系到国民经济命脉的相关数据与事关国家安全、重要民生、重大公共利益等的重要数据均属于国家核心数据，也即这些数据具有同等的重要程度。因此，有必要对于计算机信息系统领域进行适当扩大，对于重点金融领域的计算机信息系统同样纳入本罪的范围之内。为避免造成司法适用的模糊不清，应出台司法解释，围绕尖端科学技术领域、重点金融领域等标准进行进一步细化，纳入行政区划级别、直接管理部门、重要性程度等综合指标加以认定。在个案认定时，应委托省级以上负责计算机信息系统安全保护管理工作的部门进行检验，司法机关根据检验结论并结合案件情况进行具体认定。

司法实务中，由于数据犯罪手段的隐蔽性与技术性、复杂数据犯罪行为所造成的危害结果与因果关系认定经常存在较大的证明难度，在罪量要素评价上，司法人员倾向于采用“违法所得”“经济损失”等数额评价标准对于数据犯罪加以认定，更具有评价针对性、完整性的数据性质、数据价值、数据事故等级等情节标准却难以得到有效利用。我们认为，对于数据犯罪的入罪标准，可以将一元化的数额评价标准转化为多元化的数据安全法益量化标准，以数据分级分类保护为基本导向，梯度式划分数据犯罪的犯罪成立标准。根据《计算机解释》的相关规定，“情节严重”“后果严重”的认定标准，主要包括违法所得、经济损失、计算机台数等认定标准，这些认定标准始终围绕计算机信息系统安全法益进行设计，而未能考虑到数据安全法益的独立性与特殊性，难以全面评价数据犯罪的法益侵害实质。

诚如前述，企业数据法益多以财产性价值加以衡量，因而沿用“违法所得”“经济损失”的定罪标准能够相得益彰，个人数据法益因体现出较为凸显的人身安全、私域安全属性、隐私安全属性，而通过侵犯公民个人信息罪加以评价，根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《公民个人信息解释》），本罪的情节严重标准，根据个人信息重要程度的不同，设计梯度性的罪量标准。而公共数据法益涉及范围更为广泛，更应在罪量标准上呈现出起伏性、梯度性的特征。我们认为，可以适当借鉴《公民个人信息解释》的标准划分，对于《计算机解释》的相关定罪标准进行修改完善。根据数据本身的重要程度，将公共数据划分为一般数据、重要数据、核心数据，针对不同安全级别的公共数据适配层次化、差异化的罪量评价标准，在不同重要程度数据的定罪标准之间形成梯度性划分。以求契合罪责刑相适应的刑法基本原则，兼顾贯彻数据分级分类保护的要求。

结语

数据作为促进数字经济发展、推动数字政府转型、健全数据治理范式、完善数据监管模型的“助燃剂”，对于经济社会等领域的发展具有举足轻重的意义。但凡事均有利弊，在新兴数字技术为社会深度赋能的同时，数据犯罪借助新兴数字技术呈现出隐蔽化、复杂化、科技化的崭新特征。为遏制数据犯罪的扩张趋势，刑事立法中数据安全法益隐而不显的角色定位有必要率先进行调整，以数据分级分类保护为原则，对于非法获取计算机信息系统数据罪及非法侵入计算机信息系统罪进行适当调整，同时对于数据犯罪的入罪标准，可以将一元化的数额评价标准转化为多元化的数据安全法益量化标准，形成梯度式的犯罪成立标准。