张婷：数字经济时代数据犯罪的风险挑战与理念更新——以数据威胁型网络黑灰产为观察对象

　　现代信息技术的迅猛发展开启了数据大爆炸时代。作为信息最重要的载体，数据开始被不断地收集、分析甚至逐渐呈现出引领科技创新和经济增长之势，已然成为这一时代最具价值的资产。伴随数据产业的蓬勃发展，数据犯罪亦开始滋生与变异，数据安全风险成为关涉个人利益、公共利益以及国家利益的新型社会风险因素。面对这一问题，技术工具创新虽是推动自治模式迭代升级、提高风险防范能力的重要助力，但刑事立法的自我更新更是不可或缺。只有充分发挥刑事法律的弥合作用，构筑起数据安全防护新格局，才能适应数字化时代数据犯罪的新形势。

　　进入信息网络时代，犯罪的形态、特点之形成与网络发展、技术创新之间表现出明显的正向传导效应。随着“数据1.0”时代向“数据2.0”时代的过渡，数据由结构化表达向价值化存在转换，互联网实现了自身的属性升级，而这一变化成为导致数据犯罪出现代际差异的主要因素。

　　（一）传统数据安全风险变异的技术助力：信息互联向价值互联的代际转型

　　从数据的价值维度出发，横向历经前网络时期、网络1.0时期、网络2.0时期和网络空间化时期四个演变阶段的信息化时代又可以以大数据、人工智能等科技创新的泛在化为界点纵向切割为数据1.0时代和数据2.0时代。

　　互联网络时代肇始于万维网应用程序之正式上线。作为一个新型的因特网应用，万维网通过超文本传输协议（HTTP）和超文本标记语言（HTML）分别实现了不同端系统中客户程序和服务器程序之间的报文交互以及信息源在不同服务器之间的有序性点击访问，从而攻克了阻碍因特网在全球范围商业化的技术难关，信息传播方式开始从人际传播向网络传播方向发展。然而，因受限于初代万维网的“只读性”，这一时期的网络信息渠道与网络用户之间尚只能进行单向信息交换。为提高信息传播的交互性，网络传媒行业开始积极探索实现双向人机互动的新思路：第一，通过提升客户自助服务质效、加强数据库发展管理以激活网络长尾效应；第二，增加网络连接设备的多样性以丰富网络用户的交互体验；第三，加快应用程序由内容驱动型向数据驱动型升级换代。由于早期的互联网内生于资源经济，虽然在后期互联网交互模式变革过程中，用户数据的价值属性已有所显现，但其主要社会价值仍是以计算机网络取代传统媒体成为未来信息传播的主要媒介，实现全方位的信息互联，所以我们对数据的认知还停留在计算机信息系统中存储、处理或者传输的静态数据库和特定类型的结构化数据，故而这一阶段被称为“数据1.0”时代。与之对应，数据传输、存储的平稳和安全也就成为此时数据安全的主要指向。

　　如果说数据1.0时代见证的是数字文明的崛起，那么数据2.0时代则迎来了这一文明的“爆发期”。以大数据技术的泛在化应用为开端，数据的内涵发生了深刻变化：从经济维度来看，数据成为兼具资源属性和工具属性的新型价值体现；从技术维度来看，作为纵贯网络系统结构的核心要素，数据类型开始从结构化、单一对象的小数据集向半/非结构化、多源异构的大数据集扩展。在新技术、新理念的推动下，充分发展数据挖掘技术、不断深化数据应用进程成为这一阶段的核心思路。随着互联网从单一性信息媒介向“信息互联-产品互联-消费互联”的复合型生活平台过渡，形成于工业经济时代的传统生产关系开始从价值生产、价值记录和价值实现三个层面发生质变，并以区块链产业布局为契机产生出数字货币交易机制。这一新型交易机制的运行，在为互联网转型过程中出现的数字化资产移转困境提供解决方案的同时，也赋予了互联网传递价值的功能，即价值互联。

　　（二）数据犯罪迭代异化的真正原因：技术本位向价值本位的过渡效应

　　从更深层次来看，信息互联和价值互联体现着两种完全不同的哲学主张。信息互联网是互联网的早期形态，是由以技术为本位主义的世界观，即一种集体持有的、制度上稳定的、可公开执行的理想化未来愿景，通过技术发展和科学进步促成人类对于社会生活形式和社会秩序之共同理解的实现，和底层技术共同推动下出现的社会组织系统的重塑。价值互联网是为推进与前期的信息互联、消费互联、工业互联等互联类型相融合，进一步实现互联网的应用价值而形成的新的价值评价体系。上层观念由以技术为本位向以价值为本位的过渡，给数据犯罪带来了两个方面的变化。

　　第一，数据全生命周期的风险泛化。在信息化时代，作为新型社会风险因素，数据风险虽已开始呈现出法益侵害风险的社会化趋向，但囿于对数据技术特征的狭隘理解，对此种危险的规范重点表现为对作为状态数据的非法侵入和非法获取行为的类型化规制，以达到保护计算机信息系统之保密性、完整性的目的。但在数据2.0时代，互联网成为具备资源配置、交易、消费和用户服务等功能的综合性基本生活场域。这一革命性的变化在推动互联网形态更迭的同时，也孕育了一种新的数字化生存方式。这种以数字经济理论为基础，依靠数字现金、虚拟货币、区块链代币等电子货币维系的高度数字化的生活方式开始赋予数据经济价值，也改变了数据犯罪的发展方向，犯罪对象由侵害商业机构和社会组织的计算机信息系统的安全性转向侵害个人数据权利或者企业数据权益，目前以个人数据威胁型网络黑灰产之危害最甚。由此可见，数据安全风险已伴同数字经济时代的来临而快速蔓延至数据的全生命周期。

　　第二，滥用数据型违法犯罪行为成为主流。从行为类型来看，数据1.0时代的涉数据犯罪主要是针对计算机内存储之静态数据的非法获取型单独犯罪，而数据2.0时代则多表现为以数据滥用为关键节点的分工合作模式，呈现出产业化、链条化的特点，网络黑灰产业态的出现便是典型例证。商业大数据的广泛应用使得数据和流量成为当前互联网行业生态的重要组成要素，以“恶意点击”为代表的数据流量威胁型黑灰产已成为与技术威胁型黑灰产、内容秩序威胁型黑灰产并列的三大网络安全危险源之一。

　　价值互联网形态的发展和成熟驱动数据的价值属性发生新变化，其成为贯穿物理层计算机网络、网络层信息资源网络和应用层物联网络的价值新载体。数据安全不仅与多元的保护法益密切关联，也已具备刑法法益化的现实基础，而数据犯罪的代际更迭，却使现行二元化数据刑法保护模式与现实法益保护需求之间出现巨大落差。

　　（一）数据多元属性价值成型下数据安全风险之异化

　　根据《数据安全法》第3条之规定，数据是指任何以电子或者其他方式对信息的记录。关于数据之界定，有学者认为，鉴于以物理形态存在的非电子化数据基本不存在因跨境流动而产生的安全风险，所以数据涵义只包含网络数据；还有学者主张对数据进行类型限缩，仅围绕具有可识别性的电子化个人数据展开数据安全的法规范分析即可。从刑法视角来看，在大数据产业生态加速建构和社会数字化转型不断升级的背景下，对数据分而治之确实有利于实现谦抑理念和预防需求之间的二元平衡，但是只关注个人数据的安全风险不免会与客观现实产生背离：（1）从目前的网络黑灰产业态来看，虽然个人数据属于信息犯罪产业链中的关键物料，其安全保障的强化对于打击信息类黑灰产确实具有重要意义，但是在商业大数据应用多样化过程中出现的对交易类数据、公共服务类数据的挖掘和分析亦与落实我国的数据安全战略密切相关，不应被忽视。（2）基于刑法第二性原则，刑法应当在实质上与前置法规范保持统一，反观我国现行法律体系，《数据安全法》和《个人信息保护法》均已被赋予独立地位，因此，数据安全预防圈之划定理应涵盖除个人数据之外的其他数据类型。按照如上理解，本文所指数据犯罪是对以数字化形式进行技术处理的一切数据为犯罪对象的一类犯罪的统称。

　　自迈入风险社会，传统刑事立法一改往日以法益原则作为正当化基础的思路，开始关注具有风险的行为本身。“象征刑法”虽在一定程度上起到了风险控制的表态作用，但是也间接损害到刑法的法益保障功能、人权保障功能和实用主义功能。为了防止数据安全风险抗制再次落入象征性刑事立法之境地，在探讨其具体治理模式之前，有必要从风险识别理论出发，明确数据安全刑事风险社会化的主要趋向。

　　价值互联网时代，互联网平台经济开始兴起。这种新型生产力组织方式以分布式价值交换网络为基础，通过各种应用项目所提供的真实用户需求和使用场景，将线上和线下、实体和虚拟有机结合，极大 地提高了市场要素的有效配置。在这种平台经济模式的影响下，作为衡量潜在消费者体量的重要指标，用户的“注意力”开始成为网络服务提供者竞相争夺的资源。数据威胁型黑灰产是注意力经济畸形发展的产物，是指以有偿修改流量数据为目标，通过滥用信息网络技术或者网络平台运营规则，对特定网络产品、服务或者网络内容实施虚假点击、浏览、评论、转发等恶意刷量操作的互联网黑灰产业类型。具体而言，当前数据威胁型黑灰产主要表现为以下四种形态：（1）流量劫持，即通过技术手段改变用户访问对象、访问路径或者改变用户获取之数据，然后将获取的流量出售套现的违法行为。（2）恶意点击，即通过伪造点击量、播放量、下载量等各种流量假象，谋取不正当利益的违法行为。（3）网络水军，即活跃在电子商务网站、论坛、微博等社交网络平台，通过批量发帖、顶帖等引流方式压制不同意见，最终实现舆论控制。（4）非法获取、买卖个人信息，即利用恶意爬虫、病毒软件等网络技术手段或通过其他违规途径获取用户个人信息，然后对外出售或提供服务进行变现。从产业成熟度来看，数据威胁型黑灰产呈现出明显的分工化和自动化。以恶意点击为例，一次完整的流量伪造是需要发单人、卡源卡商、猫池产家/恶意SDK安装包制作者、卡商等多个主体共同参与完成的产业化违法行为。发单人负责出资并发出对具体网站或平台的点击量需求，既包括来自赌博、彩票、游戏私服等非法网站经营者的正向刷单要求，也不乏同行业竞争者之间为诋毁对方商誉或消耗对方预算而进行的反向刷单。实施恶意点击的方式有两种，一种是卡商利用从卡源卡商和猫池产家处分别购买的手机黑卡和猫池设备模拟大量用户实现的恶意点击；另一种是利用恶意SDK软件获得手机用户的控制权限，在其使用相应手机程序时修改网络访问路径或者进行其他非指定点击操作。由此可知，上述黑产链中的恶意点击环节完全是由计算机终端代劳，基本实现了自动化流水线式分工合作、利益共享模式。

　　（二）数据威胁型网络黑灰产的刑法规制困境

　　结合上文，可以将数据威胁行为分为两种类型：第一种是非法获取型，目前主要是对个人身份信息和金融信息的侵犯。第二种是基于其他目的的数据关联行为，比如通过流量劫持或者恶意点击等方式实现流量数据背后的价值变现。我国现行刑法对数据安全的保护体系主要是围绕“静态数据库”和“动态个人信息”两条主线建构而成，对于互联网形态迭代带来的数据价值非法变现行为能否通过法教义学方法，将其按照现有罪名进行惩治，存在一定争议。

　　1.“流量劫持”场景的司法认定与理性反思。流量劫持作为一个技术名词，现行刑事立法和司法解释中并没有明确规定。在司法实践中，此类案件多是作为破坏计算机信息系统罪定性的，并且有观点认为，该罪名足以实现对流量劫持行为所侵害法益的全方位保护。对于这种观点，笔者并不认同。破坏计算机信息系统罪，是指违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算 机信息系统不能正常运行，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，或者故意制作、传播计算机病毒等破坏性程序，影响计算机系统的正常运行，后果严重的行为。诚然，在DNS劫持的场景中，行为人通过给用户端浏览器植入插件或者使用恶意代码修改用户路由器设置等方式，使得用户向服务器发送的正常网址被恶意解析到色情网站、赌博网站等其他IP地址，最终无法通过DNS系统访问目标网页，这类行为确实符合破坏计算机信息系统罪的构成要件，可以为现有刑法所涵摄，但是CDN劫持则不同。CDN劫持是指通过污染内容分发网络的服务器缓存文件，向用户分发带有误导性的弹窗广告、下拉框、菜单等，诱导其访问广告网站或者安装相关应用程序。这种流量劫持模式既不具备强制改变他人网站访问路径的行为，也不会影响DNS服务器的正常运行，所以并不存在适用《刑法》第286条的规范要素。对此，有学者指出，这类流量劫持行为法益侵害程度较低，依据《反不正当竞争法》予以干预即可。笔者认为，这个理由是难以成立的。首先，这种观点的逻辑出发点令人质疑。虽然说刑法学的本体是解释学，但是囿于现有网络犯罪罪名所指向的传统数据法益而忽视伴随数字社会变革出现的新的数据安全问题所显现的客观风险，实则是一种僵化理解，显然与数字经济发展新阶段的“数据价值化”内涵不相符。而且，退一步讲，即使不考虑前述原因，适用《反不正当竞争法》规制流量劫持行为还存在举证困难、过罚不相当等障碍，需要刑法跟进。

　　2.“流量作弊”型黑灰产的刑法适用困境。与流量劫持不同，流量作弊是指行为人以机器点击、人工注册等方式“创造”流量的行为，换言之，这些流量并非来自真实用户。在“粉丝经济”新型消费文化形态的推动下，打榜、投票、签到升级成为微博、微信公众号等虚拟互动平台运作的重要产业化模式，而 之前以“刷单炒信”为主要服务类型的流量作弊型黑灰产也开始积极拓展刷量、刷榜业务。

　　针对流量作弊行为目前有三种刑事归责路径：一是将其视为对计算机信息系统计算能力和技术资源的侵害，以传统计算机犯罪罪名定罪处罚。比如，在全国首例“社交媒体流量造假”案中，被告人蔡某某在未获得新浪微博授权的情况下，自行开发了一款无需登录微博客户端即可实现博文转发以及博文自动批量转发功能的软件并有偿提供给他人使用。截至案发，该软件已有用户使用19万余个控制端登录微博账号，被告人蔡某某共获取充值金额600余万元。北京市丰台区人民法院审理后认为，被告人蔡某某提供专门用于侵入计算机信息系统的程序，情节特别严重，构成提供侵入计算机信息系统程序罪。二是将其视为对公平、有序的市场状态的侵害，定性为扰乱市场秩序罪。在司法实践中，部分流量作弊行为已被按照非法经营罪处理。对此，有学者提出，对于电商领域的刷单炒信，扰乱商品、服务搜索排名的行为，应当视情况成立虚构广告罪或者损害商业信誉罪。三是直接按照我国《刑法修正案（九）》第29条构成非法利用信息网络罪。然而，笔者认为，就当前流量作弊型黑灰产不断滋生蔓延的态势，无论单纯依靠上述哪种解释思路，都难以实现对数字社会信用的严密保护。首先，流量作弊产业的刷量方式已经迭代至“挂机刷”模式，即由刷量者通过各种渠道搜集或者租用大量真实账号，然后将这些账号与刷量平台对接，通过刷量平台自动完成转发、打卡等操作，此类行为无法为传统计算机犯罪所容纳。其次，随着注意力经济模式的不断渗透，流量作弊行为的直接侵害对象势必从电子商务领域的信用评价机制扩展到整个数字社会的其他交互机制，既已偏离扰乱市场秩序罪类罪的规范保护目的，也使得适用非法利用信息网络罪的规范基础不再成立。

　　数据安全风险的变异直接影响着刑法的防范策略和打击效果，因此，刑法规则的切入点必须相应转变。数据主义是大数据时代出现的哲学新主张，可以为新趋势下数据犯罪治理模式的转换提供思路。

　　（一）数据犯罪治理策略转换之思想基础：“数据主义”新思潮的萌发

　　自人类社会进入信息化时代，信息通讯技术构成了社会重构的重要底层技术系统，以此为基础自下而上形成的中间层社会组织模式和上层观念系统打上了深深的技术主义烙印。在此背景下，国家大数据产业体系的日渐完善在推动互联网形态转变的同时，从文化层面还孕育出一种全新的世界观--数据主义，即“宇宙由数据组成，任何现象或实体的价值就在于对数据处理的贡献”，这一新主张颠覆了前期以技术至上为根本信念的技术主义对人类生活样态的认知和理解，也为数据犯罪治理体系的重塑奠定了思想基础。

　　首先，数据主义推动了数据犯罪治理从信息中心主义向数据中心主义的回归。信息中心主义是倡导网络犯罪对象以有意义之数据为限的网络犯罪规制理论，我国现行数据犯罪罪名体系的法教义学的展开正是采用了这种理论范式。然而，随着大数据技术在各类行业融合应用的不断深化，一个辐射全社会的数据治理系统正在逐渐形成。该系统底层是由人工智能、算法等各类技术组成的驱动结构，通过互联网、物联网等信息渠道获得大量数据；系统中层则由各类技术平台、服务平台以及政务平台等提供数据服务，促进数据的流转和应用；在系统的最上层，各类数据库汇集成数据湖，为增强不同社会化场景中资源配置的合理性、风险预警的精准性、决策制定的科学性提供有力支撑。由此可见，数据已成为影响经济发展、社会生活乃至国家治理的重要要素，信息中心主义所附随的对数据之保密性、完整性的间接保护效果将不足以应对社会数字化转型过程中日益多样化的数据安全风险，回归数据中心主义的规范模式势在必行。

　　其次，数据主义为数据犯罪责任主体的多元化和类型化提供了理论依据。遵从数据主义的思想，网络服务提供者不仅掌握着大量的用户数据，而且集数据分析、数据应用、数据流通等功能于一体，这种“数据资源+数据技术”的双重加持就使得平台相较于政府具备了更强的网络违法风险识别和防控能力。这种“超级权力”的出现打破了国家权力运作的传统逻辑，构成网络服务提供者因未履行数据安全管理义务而被追究刑事责任的合理依据。尽管如此，由于各类网络服务提供者与用户之间的交互关系存在差异，所以在认定这类特殊主体的刑事责任时，有必要根据服务内容、服务对象或者应用场景等分而论之，比如在将区块链技术应用于数据交换的场合，就应该根据区块链类型以及所处节点的不同分类厘清信息服务提供者的安全管理义务，进而展开刑事归责的探讨。

　　（二）德国刑法之启示：“一点一线一面”的数据犯罪应对模式

　　德国以数据为中心的网络犯罪立法模式源自对欧洲《网络犯罪公约》的继受。从直观上看，德国的数据犯罪罪名体系主要包括第202条a探知数据罪、第202条b截获数据罪、第202条c探知和截获数据罪的预备、第202条d窝藏数据罪、第303条a变更数据罪以及第303条b破坏计算机罪。这一制裁体系呈现出以数据为逻辑原点，数据全生命周期多元风险为打击对象，“积极预防”与“利益平衡”为基本导向的显著特征。

　　1.以数据为中心的罪名设置思路。在网络犯罪治理上，德国和我国刑法的规定立场基本相同，都是将网络违法犯罪行为分为两类，一是侵犯计算机数据和信息系统安全的犯罪，二是利用计算机实施的网络犯罪。然而，在具体维度的展开上，德国则明显区别于我国以计算机信息系统内部的、侧重于信息系统自身功能维护的访问控制型数据为主要关注对象的基本思路，采取了以数据为中心的罪名设置思路。根据《德国刑法典》第202条a第2款规定的数据的规范构成要素，即以电子的、磁性的或者其他不能直接提取的方法存储或传送，对数据的解释并没有以“计算机信息系统”作为限定，由此，该法所规制的数据窥探行为、数据拦截行为、数据窝藏行为以及数据变更行为均是针对数据的独立保护。至于第303条b第1款第3项规定的故意损坏、损伤、使其不能使用、移除或者改变数据处理系统或数据载体的行为，实则仍然是为了保护数据的实际使用可能性而设置。

　　2.以数据全生命周期为观察视角。德国数据犯罪罪名体系涵盖了对数据要素全生命周期数据主体权利的保护。具体而言，在数据收集/存储阶段，探知数据罪和变更数据罪将未经授权非法为自己或者他人窃探经特别保护之数据的行为和非法删除、扣押、使其不能使用或者变更数据的行为予以类型化，分别回应了数据的占有权和使用权被侵害的问题。在数据处理阶段，通过数据窝藏罪和破坏计算机罪分别从动态和静态两个层面对数据的处理行为加以规范，实现了对数据以及数据载体（计算机系统）之可用性的保护。就数据的传输/交换而言，德国刑法则将数据电磁信号在存储设备间交互的全过程均纳入了评价范围之内，换言之，行为人未经授权非法获取存储于网络服务提供者服务器中数据的行为也符合截获数据罪的构成要件，这一罪名是对于数据主体对数据之保密权的保护。

　　3.坚持“积极预防”和“利益平衡”双导向。在数字化社会环境下，数据安全已成为涉及个人权益、集体利益和公共利益三个不同层面的复合型法益。通过《德国刑法第41次修正案》的修改，德国数据犯罪立法对这三类法益予以了更为合理和全面的保护。首先，德国刑法中的“数据”概念包含个人数据以及其他具有财产价值的数据，且个人数据无需具备秘密性，这就极大地弱化了伴随现实生活数字化和数据化加速出现的数据多样性而可能给相关罪名适用带来的梗阻感。其次，《修正案》第6条将第303条b的适用范围延伸至对个人数据的处理，原来第1款规定的非法干扰他人公司、企业或者政府机构具有重要意义的数据处理行为，则从“入罪门槛”提升为“加重情形”，从整体上强化了对侵犯数据安全法益的犯罪治理。不过，要真正实现刑法的社会保护机能，仅仅坚持积极预防性刑法观是不够的，还需要注意平衡法律规制与技术发展之间的紧张关系。因此，德国立法通过在《德国电讯传媒法》中为网络服务提供者创设免责条件的方式，排除了刑法过度扩张的可能。

　　“生活的需要产生了法律保护，而且由于生活利益的不断变化，法益的数量与种类也随之发生变化。”我国信息社会转型初期形成了以保障社会管理秩序为首要任务的“秩序法益观”，在此导向下，《刑法修正案（九）》又将侵犯公民个人信息行为纳入了规制范围，作为数据刑法体系内的辅助性法益保护内容。然而，随着数字技术的迭代升级，我国的社会经济形态从传统工业经济开始转入数字产业稳步发展、产业数字化深入推进、数字化治理能力提升、数据价值化加速推进“四化”协同发展的数字经济新时期，数据刑法固守的“秩序法益观”已无法适应加快推动数字经济发展的新要求，由此，积极调整数据违法行为的犯罪化立场，实现“秩序法益观”向“数字安全法益观”的转向，正当其时。

　　（一）“数字安全法益观”之解构

　　从技术维度看，根据“网络安全三元论”，数字安全是网络安全在数字化时代的映射升级，围绕信息技术、业务应用和网络攻防三个关键支撑点构建而成；其中，信息技术组成了数字安全的基础环境，业务应用和网络攻防则为数据安全技术得以落地提供了必要的具体场景。从法学维度看，数字安全法益观立足于数字经济新形态，以三大支点之上数字空间中各要素的正常运行保护为中心，进而推动数据犯罪评价能力的整体完善。对此，有学者进一步提出了以数字社会的信用利益作为现行刑法调整和转型的侧重点。在笔者看来，数字社会的信用利益实际上是由数字化市场内部各个参与主体的个体利益汇聚而成的有机集合体。换言之，数字信用利益完全可以细化为数据主体的使用权益，由法律进行保护。因此，我国数据犯罪制裁体系的调整应以数据主体权益保障为目标，围绕当前数据安全风险的实际防范漏洞展开反思。

　　“数字安全法益观”的确立对于我国数据犯罪治理机制的重塑具有重要的理论意义。第一，“数字安全法益观”合理划定了数据刑法的规制范围，可以进一步推动刑法与前置法的衔接，进而形成完善的数据安全法律保护体系。第二，“数字安全法益观”定位于以数据为对象的刑法规范化，内嵌数据主体权益，可以根据数据权益的不同重新检视具体犯罪化标准及其外部性效果，从而发现现有保护的缺漏，提升刑法的数字安全风险防范能力。

　　（二）“数字安全法益观”下数据犯罪立法的改革方向

　　“数字安全法益观”向现有刑法体系的合理嵌入应遵循“重塑以数据为中心的法益保护体系+完善数据用户权益的全周期性保护”的纵横双向路径，这是对数字时代转型下异化的数据犯罪实现全环节刑法规制的应然选择。

　　1.“数字安全法益观”的纵向具体化：重塑以数据为中心的法益保护体系。我国现有数据安全刑法保护体系是以制裁“计算机数据犯罪”和“个人数据犯罪”为核心的双轨并行式思路。在这种保护思路下，一方面，受限于刑法对计算机犯罪的滞后性理解，即便数据已经从计算机时代的算力载体经过网络时代过渡到数字时代的生产要素，司法解释对其认识仍停留在“计算机信息系统中存储、处理或者传输的数据”，极大地压缩了“数据”这一概念的范围，导致刑法的法益保护机能与数字时代的现实需求逐渐背离，数据犯罪滋生现象愈加明显。在数字安全法益观的新导向下，刑法可以对数据的独立性予以充分的价值评价，纠正现行司法解释的观察点错位，推动刑法视野下的数据犯罪与现实法益侵害质形合一的同时，彻底纾解数据犯罪规制中口袋罪名的泛化倾向。

　　2.“数字安全法益观”的横向类型化：完善数据用户权益的全周期性保护。从前述数据威胁型网络黑灰产的典型样态可以看出，整个链条主要分为非法获取数据、对违法取得的数据进行处理和非法运用数据实施后续违法犯罪三个环节。由于现有罪名更加关注信息系统功能的完整性、安全性和个人信息的保密性，而忽视了数据的可用性要素，这才导致刑法应对数据威胁型网络黑灰产时出现评价分歧、规制不力等现实问题，所以，在重整数据安全犯罪罪群体系之前，当务之急是通过刑事立法消弭这一问题。

　　从数字安全法益观出发，立法修正的方向和重点在于以下两个方面。第一，重视对数据要素价值属性的全方位保护。根据《信息技术安全技术信息技术安全保障框架》，数据安全的主要考量因素包括保密性、完整性、可用性、可核查性、真实性和可靠性等相关方面。现有相关罪名围绕数据的重新整合虽然使得刑法保护数据的范围有明显扩张，但是，就个人层面而言，侵犯公民个人信息罪类型化的非法传播、非法获取行为仅聚焦于个人信息的保密性，无法涵摄数据安全的其他要素。第二，加强对数据流转全生命周期的风险防范。综合我国立法实践和德国立法经验，笔者认为以周延对数据主体使用权益的刑法保护为目的，应将刑法的打击半径扩大至非法使用数据这一行为类型。

　　关于该罪的犯罪构成，主要有如下两点构想：第一，本罪应为法定犯，即成立本罪以违反国家法律、行政法规和部门规章为入罪条件。一方面，前置法对数据违法行为的评价能力和惩治效果很大程度上决定了下游数据危险的犯罪转化率，因此需要强化刑法与相关法律制度的对应和衔接；另一方面，《网络安全法》《数据安全法》《个人信息保护法》等前置法中的相关规定有益于合理限制刑法的规制边界，以坚守刑法的谦抑性。第二，本罪应为个人信息和企业或政府机构数据设置具有针对性的构成要件，前者旨在保护个人信息可识别性的根本特征，而后者重点在于发挥数据分级分类保护制度对刑法评价的界分功能。