学校代码: 10276 学 号: 1821040035 East China University of Political Science and Law 博士学位论文 DOCTOR‛S THESIS 论文题目: 姓 解释论视域下数据犯罪问题研究 名 李紫阳 学 科、专 业 刑法学(全日制) 研 究 方 向 经济刑法 指 导 教 师 张勇教授 论文提交日期 2021 年 6 月 10 日 1 解释论视域下数据犯罪问题研究 (摘要) 专 业:刑法学(全日制) 研究方向:经济刑法 作者姓名:李紫阳 指导教师:张勇教授 在大数据与人工智能技术飞速发展的时代背景下,针对数据实施的违法犯罪 行为数量在不断增加,违法犯罪行为类型也在不断翻新,司法者常因缺乏专业的 计算机网络知识而陷入到对技术性违法犯罪行为的规范意义判断难的困境中。因 此,我们应思考如何对既有的数据犯罪刑法规范进行解释才能够为日益重要、又 无处不在的各类电子数据提供充分的刑法保护。立足于此,本文选择从数据犯罪 的基本问题概述、数据犯罪司法适用现状问题及成因、数据犯罪的保护法益、法 益与数据犯罪构成要件的解释、数据犯罪与相关犯罪的区分适用等五个方面展开 对数据犯罪的研究。 第一章研究的是“数据犯罪的基本问题”。关于数据与信息概念及其关系的 观点可以被分为双层次四类型,第一层次包括数据信息并用型与数据信息区分型, 第二层次设在数据信息区分型项下,包括数据范围大于信息范围型、数据范围小 于信息范围型以及数据信息无法进行范围比较型等三种类型。通过分析成文法可 知,在民法、行政法等前置法领域内,早期立法经常混同使用数据与信息这组概 念,而在近期的《网络安全法》《民法总则》《民法典》等立法中均明确区分使 用数据与信息这组概念。在刑法中,立法者较早便开始区分使用数据与信息这组 概念并设置了专门保护数据的刑法条款。比如,1997年《刑法》制定时增设的第 286条第2款,以及《刑法修正案(七)》中增设的第285条第2款。因此,在法学 研究中对数据与信息这组概念应进行区分使用,而非混同使用。此外,数据与数 字之间的关系也较为密切,在计算机网络领域内阿拉伯数字“0和1”依照二进制 编码规则进行排列组合可转化为具有信息承载功能的电子数据。 1 目前,数据犯罪研究存在着肯定论与否定论之争。其中,否定论应被否定, 因为否定论存在错误理解中德刑事立法差异、低估以数据为核心建构计算机犯罪 刑法规范体系的价值、误解公民个人信息去识别标准的刑法规范意义等问题。针 对肯定论,以研究对象为标准可将之分为广义说、折中说与狭义说。广义说所持 数据犯罪概念含义泛化,意义有限。因而,广义说应被否定。折中说没有对作为 数据犯罪概念界定关键词的数据法益等法益内容是否为刑法的适格法益进行规 范判断。因而,折中说应受质疑。狭义说注意到了刑法理论中行为对象与保护法 益的不同,以行为对象作为数据犯罪概念界定关键词为不同数据犯罪法益理论的 争鸣预留了规范空间。因而,狭义说相对较为可采。然而,狭义说虽以成文法为 基础,但由于其存在没有关注到犯罪学与刑法学概念的差异等问题。因而,狭义 说应被修正。此外,以研究进路为标准还可以将数据犯罪肯定论分为立法论说与 解释论说。立法论说多华而不实、意义有限,且与实践脱节,所提修改完善建议 本身即存在诸多问题。解释论说关注法律文本的解释,追求刑法规范的妥善适用, 相对更具实践价值,为本文所采。综上所述与结合对成文法内容的考察,解释论 视域下可将数据犯罪理解为是指违反国家规定,以计算机信息系统中存储、处理 或者传输的数据为对象实施的获取、删除、修改或者增加的违法犯罪行为,包括 获取型数据犯罪行为(即非法获取计算机信息系统数据的犯罪行为)与破坏型数 据犯罪行为(即第 286 条第 2 款破坏计算机信息系统数据的犯罪行为)。与既往 的定义不同,此种界定兼顾了对现行刑事立法的尊重、对刑法学与犯罪学定义的 区分。须说明,如果不是从刑法解释论的立场,本文给出的数据犯罪含义界定会 略显狭隘,例如,在域外已经经过比较广泛讨论的非法数据窝藏行为、非法数据 持有行为、不作为数据犯罪行为以及利用非技术手段获取、毁损数据的行为等都 应被纳入到数据犯罪的研究范围内。 第二章研究的是“数据犯罪司法适用的现状、问题与成因”。经实证分析, 在宏观层面上,数据犯罪司法适用具有司法适用活跃、犯罪目的多样、犯罪对象 普遍等特点,这些特点初步展示了对数据犯罪进行解释论研究的实践价值。因为 在处理基数庞大的数据犯罪案件过程中,司法者以及其他主体对数据犯罪的理解 分歧频出,而这些理解分歧便是解释论研究所要解决的重点问题。在微观层面上, 数据犯罪的司法适用存在行为定性争议较大的问题,这一问题又可被大致抽象为 2 三种类型:其一,同一案件定性争议较大问题。在不同的刑事诉讼阶段,公安、 检察官、法官、律师与被告人等诉讼主体针对同一个案件会得出不同的行为定性 结论。甚至,司法实践中经常出现针对同一案件同时存在两个、三个乃至四个罪 名的适用争议现象。在本文搜集到的 120 份涉及非法获取数据罪的刑事判决书中 存在罪名争议的共有 38 份,占比 31%。在 49 个以破坏数据罪定罪的司法判例中 出现罪名适用争议的司法判例共有 22 个,占比 44%。其二,同案不同判的问题 突出。以盗窃游戏币以及利用 Fiddler 软件实施数据犯罪等两种典型的数据犯罪 行为为例进行分析可知,对于几乎完全相同的案件,不同的司法者经常会作出截 然不同的判决结论,即便是相同的司法者对于相同类型的案件在不同时间段所作 出的判决也存在结论相反的情况。其三,罪数形态问题认识不一。不同司法者对 相同类型的案件所做出的一罪与数罪的判断也不相同,以非法获取具有公民个人 信息属性的计算机信息系统数据案件的处理为例,司法实践中便存在着法条竞合、 想象竞合、吸收犯、数罪并罚、牵连犯等不同的判决观点。 结合现行规范与刑法学理对微观问题进行分析后,我们可将造成数据犯罪司 法适用问题的成因分为表象成因与本质成因。其中,表象成因是指既有刑事立法、 司法(主要指“两高”)与学理对数据犯罪构成要件的解释均存在不足。比如, 立法者将“国家事务、国防建设以及尖端科学技术领域”作为 285 条第 1 款与第 2 款适用范围的界分要素。然而,立法、司法与学理等三个领域对于如何理解这 组术语尚未形成共识性的认知,这导致司法实践中第 285 条第 1 款与第 2 款的适 用范围模糊不清。又如,“两高”作出的司法解释存在新官不理旧账的问题导致 罪间边界模糊。2011 年《计算机犯罪解释》中对计算机信息系统数据的解释与 2017 年《公民个人信息犯罪解释》中对公民个人信息的解释存在重合部分导致 第 285 条第 2 款的非法获取数据罪与第 253 条之一的侵犯公民个人信息罪的罪 间边界模糊。再如,学术理论对数据犯罪的行为手段、行为对象与行为结果等构 成要件的解释存在争议,莫衷一是的理解导致刑法学理没有办法为数据犯罪立法 与司法活动提供智识支撑。经深入思考可知,上述内容只是表象原因,造成数据 犯罪司法适用存在问题的本质原因是刑法学领域对数据犯罪的保护法益理解混 乱。通过把刑法学理中的数据犯罪法益主张分为传统法益论与反思法益论,并将 传统法益论分为单一法益论与复数法益论,本文共归纳出了十余种数据犯罪保护 3 法益理论。正由于针对数据犯罪保护法益的理解存在如此多的争议才导致数据犯 罪刑法法益的立法批判功能与刑法解释功能难以正常发挥,进而导致立法者、司 法者(主要指“两高”)以及研究者没有能够对数据犯罪作出正确的理解,并最 终导致数据犯罪个案裁判时出现适用问题。 第三章研究的是“数据犯罪的保护法益”。明确了实定法与前实定法法益概 念的不同,以及前实定法法益概念更具有合理性的前提下,通过如下判断可证明 数据安全是刑法所保护的法益:首先,数据安全是对多数人有用的利益。数据安 全不仅在宏观上是保障经济生产以及国家社会稳定运行的关键要素,而且在微观 上是大数据时代个人安全保护的第一道防线。其次,数据安全具有受侵害可能性, 对数据安全进行保护符合法益保护主义的要求。大数据时代的数据侵害行为具有 超越时空性与技术便利性、数据安全的技术保护具有滞后性、脆弱性与易受攻击 性,这导致大数据时代的数据安全不仅变得易受侵害,而且受损结果呈不可控制 的态势。再次,数据安全法益可被成文刑法规范确证与包容。1997 年《刑法》第 286 条第 2 款以及后续增设的第 285 条第 2 款都明确将计算机信息系统数据作为 保护对象,因此,将通过保护计算机信息系统数据所保护的法益理解为数据安全 法益是我国刑法的文中之义。最后,在刑法学中提倡对数据安全法益的保护与宪 法价值目标并不冲突。相反,我们可以说在刑法学中提倡对数据安全的保护是在 大数据时代背景下对宪法所要追求的人的自由与尊严等基本权利,经济社会平稳 运行,国家集体安全稳定等提供保护的规范目的之具体贯彻。 经过前述判断,数据安全虽然可以被称为刑法所保护的利益,但是对其是否 可以被称为数据犯罪的保护法益,以及不同数据犯罪罪名所保护的数据安全具体 内容是什么等问题还需要再作分析。通过对《计算机保护条例》《网络安全法》 等前置法进行分析可知,数据安全是包括了数据的保密性、完整性与可用性的同 类法益,并不是获取型数据犯罪行为与破坏型数据犯罪行为所侵犯的直接法益。 在法益体系中,与数据安全法益位于同一层级地位的是系统功能安全法益等,它 们的上一级同类法益是系统运行安全,再往上一级同类法益是计算机信息系统安 全。具体而言,数据的保密性是非法获取数据罪的保护法益,指只有经过合法授 权的用户才可以访问数据,限制其他人对数据的非法访问与获取,关注数据存储、 处理或者传输过程中的保密性。司法实践中常见的侵犯数据保密性法益的行为包 4 括数据包嗅探、网络钓鱼、回收站检索、键鼠操作记录、特洛伊木马等。数据的 完整性与可用性是破坏数据罪的保护法益。数据的完整性是指未经授权不可以擅 自改变数据的特性,不能对数据进行非法的删改增等破坏性操作,保证数据在存 储、处理与传输的过程中保持不被修改、不被破坏与丢失的特性,保证计算机信 息系统数据处于没有受损与完整的状态。司法实践中常见的侵犯数据完整性法益 的行为包括萨米拉攻击、数据欺骗工具、会话劫持等。数据的可用性是指已经过 授权的实体一旦需要就可以随时访问和使用数据与资源的特性。数据的完整性与 可用性关系密切,对完整性的破坏通常也会影响到可用性,刑法中多将两者放在 一起进行整体保护。以数据安全法益为参照系进行比较分析可知,信息安全说、 系统安全说、运行安全说、功能安全说、国家管理秩序说以及其他不同类型的数 据犯罪保护法益理论都不合理。此外,在研究数据犯罪的保护法益时应注意到数 据安全法益与大数据法益、网络数据法益、数据信息法益等概念含义的不同,不 可进行随意替换。同时,以入法时间为形式量度,以具体内容为实质量度进行法 益新型性的判断可知,数据安全法益是在计算机犯罪治理初期便已经被各国刑事 立法者所重点关注的刑法法益,而不是一直到大数据时代才受到刑事立法者关注 的新型刑法法益。这些结论理应成为我们展开数据犯罪研究的基本共识。 第四章研究的是“法益与数据犯罪构成要件的解释”。在行为对象方面,对 非法获取数据罪行为对象的不同理解可以分为扩张论与限缩论,对破坏数据罪行 为对象的不同理解可以分为平义论与限缩论。从立法表述、立法原意以及司法解 释等三个方面看,非法获取数据罪行为对象扩张论的观点应该被否定。同时,非 法获取数据罪与破坏数据罪行为对象限缩论的观点也应被否定,因为限制解释计 算机信息系统数据的建议会使刑法对数据安全法益的保护存在漏洞。此外,对限 缩论的论证前提进行反思性审视也可知,限缩论者们提出的数据犯罪已经口袋化 的观点也不能成立。因为数据犯罪罪名司法适用数量的提升不能证明数据犯罪已 经成为口袋罪,实证研究的结论也不能证明司法者存在司法惰性与司法惯性。同 时,虽然破坏数据罪的法定刑稍高,但是并不影响对破坏数据罪进行行为定型。 综上,本文认为我们应将数据犯罪的行为对象解释为包括云端数据、RFID 数据 等在内的计算机信息系统中存储、处理或者传输的全部数据。 5 在行为手段方面,非法获取数据罪是复行为犯,包括“非法侵入/其他技术手 段+获取”。通说将非法侵入理解为未经授权或超越授权进入到他人计算机信息 系统的行为。可见,理解非法侵入的关键在于对未经授权与超越授权的解释。有 理论提出由于我国立法没有对未经授权或超越授权进行明确,司法也存在集体性 失语的情况。因此,我国应向美国学习将程序编码设限标准作为判断未经授权的 唯一标准,并对超越授权作出明确解释。然而,本文认为我国刑事司法中对未经 授权与超越授权的判断并不是毫无标准的肆意妄为,美国刑事司法中常见的程序 编码设限标准、服务协议设限标准以及代理人法则标准等在我国刑事司法中均有 相应的判例。此外,美国刑事司法对未经授权与超越授权的理解也不是无可挑剔 的真理。因此,实践中不宜过于迷信域外的做法,我们还是须结合个案对未经授 权与超越授权进行具体判断。利用其它技术手段是指假冒或设立虚假网站,或者 利用网关欺骗技术,行为人并不需要进入到他人计算机信息系统便可以获取其他 计算机信息系统中存储、处理或者传输数据的行为。目前,有观点将非法获取数 据罪的获取与日常用语中的获取进行等同看待。然而,日常用语中的获取是指获 得、取得控制或占有,关注要点为控制权的转移。非法获取数据罪中的获取关注 要点为数据的保密性,不论控制权是否转移,采用下载、复制、浏览等方式只要 对数据保密性造成损害便可被评价为非法获取数据罪的获取。破坏数据罪的行为 手段有删除、修改或者增加三种,对之进行理解时不能以“可能造成数据使用效 用完全灭失”为标准,而是要认识到对数据完整性法益的侵犯必将影响数据的可 用性,对数据可用性的损坏又可分为部分受损和全部受损等两种情况。因此,具 体个案中无论是造成数据的完整性与可用性法益的部分受损,还是全部受损之行 为都可以构成破坏数据罪。 在行为后果方面,在对类构成要件复合说、客观处罚条件说、罪量说、整体 的评价要素说与客观违法性说等关于情节严重在犯罪论中体系定位的理论观点 进行反思的基础上,本文认为解释非法获取数据罪的情节严重时应紧扣如下两点 原则:其一,情节严重是违法性构成要件要素,包括主观与客观方面的内容。 “两 高”将来再对情节严重进行解释时可以在现有的客观要素外增加数据量标准(注 意数据分级分类与比例折算标准的设置)以及计算机信息系统台数标准,在主观 方面可以将“知道或应当知道他人欲实施犯罪”作为情节严重的判断标准。其二, 6 情节严重的判断应防止预防刑的介入,满足责任刑的要求。已受过行政或刑事处 罚、累犯、自首、立功等预防性情节都是在犯罪成立后的量刑阶段才能考虑的因 素。目前《计算机犯罪解释》已经列明的情节严重判断标准中身份认证信息组数 标准应被删除,在没有删除前宜适度提高身份认证信息组数要求,违法所得与经 济损失标准可保留,但应对之进行限缩解释。对破坏数据罪的后果严重,实务界 与学界存在三种理解:一是认为应同时对数据和应用程序进行破坏达到后果严重 的程度才构成破坏数据罪;二是认为应对数据的破坏达到后果严重的程度便可构 成破坏数据罪;三是认为应对数据的破坏达到对系统功能或系统运行造成后果严 重的破坏才构成破坏数据罪。综合运用文义、体系与目的等刑法解释方法可知, 对第 286 条第 2 款的正确理解是“和”前与“和”后都属于刑法保护的对象,但 成立数据犯罪不要求同时对“和”前与“和”后保护对象造成侵犯,且行为危害 性不需要达到造成计算机信息系统不能正常运行的程度。目前,《计算机犯罪解 释》对破坏数据罪后果严重的解释存在着没有针对第 286 条的三款内容设定差异 化的后果严重认定标准,没有将数据量作为后果严重的判断标准等问题。与非法 获取数据罪相同,对破坏数据罪违法所得与经济损失的解释应持限缩解释的态度, 明确“用户为恢复数据、功能而支出的必要费用”需要是与直接经济损失相关联, 且由直接经济损失人所支出的费用,否则便不能被评价为是由数据犯罪行为所造 成的经济损失。 第五章研究的是“数据犯罪与相关犯罪的区分适用”。数据犯罪与其他计算 机犯罪的区分适用主要包括三种情况:其一,数据犯罪与非法侵入系统罪的区分 适用。非法获取数据罪与非法侵入系统罪区分适用的关键在于合理解释第 285 条 第 1 款的“国家事务、国防建设以及尖端科学技术领域”的含义。在短期内,刑 法理论宜对之作限缩解释以强化对数据安全法益的保护使更多非法获取数据的 行为可被属于重罪的非法获取数据罪调整。破坏数据罪与非法侵入系统罪的区分 适用较为简单,以破坏数据为目的实施的对重点领域计算机信息系统的侵入行为 且顺利的对数据造成破坏,此时,侵入系统行为与破坏数据行为之间构成牵连关 系应从一重处。如果行为人是在两个不同犯意的支配下实施的侵入系统行为与破 坏数据行为且两行为均构成犯罪,应对之进行数罪并罚。 7 其二,数据犯罪与非法控制系统罪的区分适用。“两高把第 285 条第 2 款对 应的罪名确定为“非法获取计算机信息系统数据、非法控制计算机信息系统罪”。 然而,这项选择性罪名的设置不仅由于分解罪名保护法益的不同而不符合选择性 罪名设置原理,而且还可能会导致对行为不当入罪与不当加重刑罚等问题的出现。 因此,在将来“两高”可以考虑将第 285 条第 2 款对应的罪名确定为两个独立的 罪名。考虑到“两高”司法解释所具有的指导性价值,本文认为在“两高”没有 作出观点修改前宜先以刑法法益为基础对第 285 条第 2 款进行解释。首先,由于 第 285 条第 2 款所调整的非法获取数据与系统控制行为所侵犯的直接法益并不 相同。因而,其不属于典型的选择性罪名,裁判时不排除对同时实施了两个分解 罪名行为的行为人进行数罪并罚的可能性。详言之,如果行为人实施的两个行为 符合牵连犯刑法原理,应对此项选择性罪名进行“全名引用”并在法定刑的幅度 内进行从重处罚。如果行为人是在相互独立的两个犯罪故意支配下分别实施的非 法获取数据与系统控制行为,则应对分解罪名进行分别引用并数罪并罚。同时, 考虑到非典型的选择性罪名各分解罪名所保护的法益并不是同一法益。因此,行 为人同时实施两种行为时因不满足“同类犯罪数额累计计算”标准的法益同一这 个核心要求,教义学上也不适宜再对涉案行为所涉及的犯罪数额进行累计计算, 而是应分别考察。 破坏数据罪与非法控制系统罪的区分适用中,立法论建议在未来立法修改过 程中可起到积极作用,但目前的关键在于通过解释厘清两罪间的关系,推动刑法 刑法规范的妥善适用。教义学上不宜将非法控制理解为达到完全排除用户控制程 度的控制,那些即便没有完全排除用户控制程度的控制也属于非法控制系统罪的 规制对象。甚至,实践中多数非法控制系统的犯罪行为都属于后一种情形。破坏 数据罪与非法控制系统罪的区分要点不是如何解释“控制”与“破坏”的关系, 而是对行为侵犯法益的判断。破坏数据罪保护的是数据的完整性与可用性,非法 控制系统罪保护的是信息系统权利人的排他使用权,即任何没有经过授权或超越 授权的用户都不得对他人的计算机信息系统实施任何操控。因此,认定行为人是 否构成破坏数据罪的关键是判断行为人是否实施了法定的破坏数据行为,以及相 应行为是否对数据的完整性与可用性造成了破坏,至于行为是否同时侵犯了信息 系统权利人的排他使用权,则不是破坏数据罪的考察内容。 8 其三,数据犯罪与提供程序、工具罪的区分适用。首先,须明确非法获取数 据罪与提供程序、工具罪的法定刑相同,第 285 条第 3 款中的“情节严重,依照 前款的规定处罚”应理解为依照第 285 条第 2 款中的情节严重与情节特别严重两 档法定刑进行处罚。其次,提供专门程序、工具犯罪行为危害性的判断不可能与 非法获取数据罪等被帮助违法犯罪行为危害性的判断完全断绝关系,只是说在不 能查明是否存在下游犯罪时可直接根据专门程序、工具的人数、次数等情况进行 入罪化判断。当下游违法犯罪行为的危害性可查明时,应将之作为提供专门程序、 工具犯罪行为危害性判断的参考因素。明知而提供程序、工具犯罪行为危害性的 判断与非法获取数据罪等被帮助犯罪行为在主客观方面均具有不可断绝的联系: 其一,要构成明知而提供程序、工具罪须行为人明知他人实施的是非法获取数据 罪等违法犯罪行为。其二,被帮助者实施的是违法行为,还是犯罪行为对明知而 提供程序、工具行为危害性的判断均有所影响。此外,须注意,我们不能将非法 获取数据罪等被帮助违法犯罪行为所造成的经济损失视为提供程序、工具行为所 造成的经济损失,因为这些经济损失并不是由提供程序、工具行为所直接引起的 经济损失。 破坏数据罪与提供程序、工具罪区分适用的第一个问题是提供程序、工具罪 的被帮助违法犯罪行为是否包括破坏数据违法犯罪行为?从罪责刑均衡的视角 看应对本问题进行否定性回答。第二个问题是明知他人实施破坏型数据犯罪行为 还为其提供程序、工具,但提供者本人没有实施破坏型数据犯罪行为时应如何进 行认定?以“明知他人有利用应用程序拦截并篡改 API 调用结果,骗取饿了么首 单优惠”的违法犯罪行为,还为其提供程序、工具为例进行分析可知,如果行为 人明知他人实施破坏型数据犯罪行为还为其提供程序、工具,所提供的程序、工 具不具有帮助他人实施非法侵入系统、数据获取与系统控制的功能时,只能成立 破坏数据罪的共同犯罪。当所提供的程序、工具同时具有帮助他人实施非法侵入 系统、数据获取与系统控制的功能时,完全可能同时构成提供程序、工具罪与破 坏数据罪的共同犯罪。司法者在裁判时应注意即便提供程序、工具者自己没有实 施破坏型数据犯罪的行为,被排除的也只是行为人构成破坏数据罪正犯的可能性, 并不排除以帮助犯入罪的可能性。 9 数据犯罪与利用计算机实施的其他犯罪正确区分适用的关键是明确《刑法》 第 287 条的含义。本文认为法律拟制说由于存在不符合立法文义、不符合法律拟 制基本原理、可能会轻纵重罪、影响刑罚惩罚与预防双重功能的实现等问题应被 否定。注意规定说内部的以其他犯罪定罪论存在与法律拟制说相似的问题也应被 否定。因此,注意规定说内部的具体问题具体分析论较为合理。理论上可对《刑 法》第 287 条调整的行为作如下类型化:其一,行为人在同一犯罪目的支配下实 施了手段行为与目的行为,手段行为是对计算机信息系统的利用,目的行为是实 施计算机犯罪以外的其他犯罪行为。此类犯罪行为又可以被细分为三种情况。首 先,行为人虽以计算机作为工具,但没有对计算机犯罪条款所保护的法益造成侵 犯,此时,应根据目的行为所构成的犯罪进行定性。其次,行为人对计算机的利 用行为虽对计算机犯罪条款所保护的法益造成了一定侵害但不构成犯罪,此时, 应根据目的行为所构成的犯罪进行定性,并在司法裁判中将计算机犯罪条款所保 护法益的受损情况作为量刑情节进行考虑。最后,行为人的手段行为与目的行为 分别对计算机犯罪条款所保护的法益以及其他犯罪条款所保护的法益造成了侵 犯,且均构成犯罪,此时,应根据牵连犯原理进行处理。其二,行为人在一个犯 罪目的支配下实施了一个行为,但该行为同时对包括数据安全法益在内的计算机 犯罪条款所保护的法益与其他犯罪条款所保护的法益造成了侵犯,构成两个犯罪。 此时,应根据想象竞合或法条竞合理论进行处理。其三,行为人在实施了计算机 犯罪行为后又另起犯意实施了其他犯罪行为,此时,应根据数罪并罚理论进行处 理。总之,数据犯罪与利用计算机实施的其他犯罪之间的关系较为复杂,不是简 单的罪名互斥关系,而是应根据具体情况进行具体分析。以非法获取具有可识别 性的公民个人数据行为为例,一个非法获取行为可能同时构成侵犯公民个人信息 罪与非法获取数据罪。由于第 285 条第 2 款与第 253 条之一虽然在形式上具有法 条交叉关系,但是在实质上不符合法益保护同一性标准,两者应为想象竞合关系, 因此,刑事司法个案裁判时应根据想象竞合原理进行从一重处。同时,须注意即 便由于侵犯公民个人信息罪与非法获取数据罪的法定刑完全相同导致“先比后定 法”无法被适用,我们也不能轻易的以更能全面反映行为人的行为侵害了公共法 益的非法获取数据罪或者以表现犯罪目的的侵犯公民个人信息罪进行定性,而是 10 应结合具体犯罪情节来比较轻重,情境化的判断应适用何种罪名对涉案行为人进 行定罪处罚。 [关键词]数据犯罪;数据安全法益;非法获取计算机信息系统数据罪; 破坏计算机信息系统罪 11 Research on Data Crime from the Perspective of Interpretation Theory (Abstract) Major:Criminal Law Research area:Economic Criminal Law Author:Li Ziyang Advisor:Professor Zhang Yong Under the background of the rapid development of big data and artificial intelligence technology, the number of illegal and criminal acts committed against data is increasing, and the types of illegal and criminal acts are constantly being renovated. Judicial officials often fall into the dilemma of judging the normative meaning of technical illegal criminal acts due to lack of professional computer network knowledge. It can be said that the breadth and depth of the current divergence in the field of data crime justice practice exceeds the normal threshold. Therefore, we should think about how to interpret the existing data crime criminal law norms in order to provide adequate criminal law protection for the increasingly important and ubiquitous types of electronic data. Based on this, this article chooses the following five aspects to study data crime: an overview of the basic issues of data crime, the current status of data crime judicial application and its causes, the protection of legal interest of data crime, the interpretation of the constitutive requirements of data crime, and the application of distinction between data crime and related crimes. The first chapter studies the “an overview of the basic issues of data crime”. Existing views on the concept and relationship of data and information can be divided into two levels and four types. The first level includes mixed use of data and information and distinguish between data and information, and the second level is set under the distinguish between data and information type, include three types: data range is larger than the range information, data range is smaller than the range information, 1 and data range range cannot be compared with information range. Through the analysis of the positive law, in the fields such as civil law and administrative law, the early legislation has the problem of mixing use of data and information, while in recent legislation such as Cyber Security Law, General Principles of Civil Law and Civil Code, the concept of data and information are clearly used differently. In contrast, legislators distinguished the concept of data and information in the criminal law from the beginning, and set up criminal law provisions to protect data, such as paragraph 2 of Article 286 added when the Criminal Law was enacted in 1997, and paragraph 2 of Article 285 added in the Criminal Law Amendment (7). Therefore, The concepts of data and information should be distinguished in legal research. In addition, the relationship between data and numbers is relatively close. In the field of computer technology, the Arabic numerals “0 and 1” are arranged and combined according to binary coding rules, which can be transformed into electronic data with information bearing function. At present, There is a dispute over whether the data crime research is affirmative or not. Among them, the theory of negation should be denied because it has some problems, such as misunderstanding the differences between Chinese and German criminal legislation, underestimating the value of constructing computer crime system with data as the core, misunderstanding the significance of criminal law norms of personal information to identify standards, and so on. In view of the positive theory, it can be divided into broad sense theory, compromise theory and narrow sense theory. The broad sense theory is generalized and limited in meaning, so it should be denied. The compromise theory does not make a judgment on whether legal interest of data security has become a qualified legal interest of criminal law, which is the key word for defining the concept, so it should be questioned. The narrow sense theory takes into account the difference between the object of action and the protection of legal interest, using the object of action as the key word for defining the concept of data crime has reserved space for the debate on theories of legal interest of data crimes, so it is relatively more adoptable. However, although the narrow sense theory is based on 2 statute law, it should be amended because it does not pay attention to the differences between Criminology and criminal law. In addition, taking the research approach as the standard, the positive theory of data crime can be divided into legislative theory and explanatory theory. The legislative theory is too flashy, the meaning is limited, and it is out of touch with practice. Therefore, this paper does not take this approach. The explanatory theory focuses on the interpretation of legal texts and pursues the proper application of norms, which is relatively more practical and adopted by this paper. To sum up, and combined with the investigation of the content of the statute law, the data crime can be understood from the perspective of interpretive theory as the illegal criminal act of obtaining, deleting, modifying or increasing the data stored, processed or transmitted in the computer information system in violation of national regulations, including Data-obtained crime (that is, the crime of illegally obtaining the data of computer information system) and Destructive data crime (that is, the criminal act of destroying the data of computer information system in Article 286, paragraph 2). Different from the previous definition, this definition takes into account the respect for the current criminal legislation, the distinction between the definitions of criminal law and criminology, and the emphasis on the legal attribute of data crime. The second chapter studies “the current status, problems and causes of the application of data crime justice”. Through empirical analysis, on the macro level, the judicial application of data crime has the characteristics of active judicial application, criminal purpose diversification, crime object generalization. The existence of these characteristics provides a practical value basis for the study of data crime interpretation theory, because in the growing number of data crime cases, judicial officials and other subjects have frequent differences in understanding of data crime, and these differences in understanding are exactly the problems to be solved by the study of interpretation theory. At the micro level, there are some problems in the judicial application of data crime, such as unclear understanding of the constituent elements and controversial qualitative behavior. These issues can be abstracted into three types: Firstly, the qualitative controversy of the same case is relatively large. For the same case, different 3 litigation subjects, such as public security personnel, prosecutors, judges, lawyers and defendants, will come to different qualitative conclusions in different litigation stages. Among the 120 judicial precedents involving the crime of obtaining data, there are 38 judicial precedents with disputes over the application of the crime of illegally obtaining computer information system data and other crimes, accounting for 31%. There are 22 judicial precedents with disputes over the application of the crime in 49 cases involving the crime of destroying data, accounting for 44%. Secondly, the problem of different judgments in similar cases is prominent, which affects the implementation of judicial justice and the appropriateness of judicial judgments. Taking “stealing game currency” and “using Fiddler software to commit data crimes” as examples, it can be seen that for almost the same crimes, different Judicial officers often make different qualitative decisions on criminal acts. Even the judgments made by the same judicial person in the same type of cases also have opposite conclusions. Thirdly, there are different understandings on the form of the number of crimes. In the application of specific cases, there are often controversies about the application of one crime and several crimes. Taking the case of illegally obtaining computer information system data with citizen's personal information attribute as an example, the judiciary puts forward different viewpoints in the judicial judgment, such as imaginative joinder of crimes, absorptive offenses, implicated offenses and combined punishment for several crimes. Through analysis, we can divide the causes of controversy over the application of data crimes into two types: appearance causes and essence causes. Among them, appearance causes means that the inadequacy of the interpretation and understanding of the constitutive elements of data crime by the existing criminal legislation, judicature and academic theories. For example, legislators used “national affairs, national defense construction, and cutting-edge science and technology fields” as the criterion to distinguish paragraph 1 of Article 285 and paragraph 2 of Article 285. However, there is no legislative interpretation of this term, and The Interpretation of Computer Crime formulated by the Supreme People’s Court and the Supreme People's Procuratorate only puts forward procedural judgment standards, and there is no discussed about it in 4 academic theory, which leads to the ambiguity of the applicable scope of the two clauses. Another example is that the new officials ignore old accounts in the judicial interpretations, which leads to the blurring of the boundary between crimes. There is an overlap between the interpretation of computer information system data in the 2011 “Computer Crime Interpretation” and the interpretation of citizens personal information in the 2017 “Citizens Personal Information Crime Interpretation”, which leads to the unclear applicable boundary between the crime of obtaining data in paragraph 2 of Article 285 and the crime of infringing citizens personal information in Article 253-1. For another example, there are huge disputes about the understanding of the behavior object, behavior means, and behavior results of data crimes in academic theory, which lead to different judgments on the same or similar cases in judicial practice. However, the above-mentioned reasons are only appearance causes. The essential cause of the data crime judicial application problem is that the misunderstanding of the understanding of data crime protection legal interest in criminal law. By dividing the relevant legal interest theory into the traditional legal interest theory and the reflective legal interest theory, and dividing the traditional legal interest theory into the single legal interest theory and the plural legal interest theory, we can sum up more than ten different understandings about the legal interest of data crime protection. The dispute on the protection of legal interest of data crime directly leads to the difficulty in exerting the legislative critical function and criminal law interpretation function of data crimes, which in turn leads to the failure of legislators, judiciaries and researchers to make a correct understanding of data crimes. And, it finally leads to different forms of disputes in the judicial application of data crimes. The third chapter studies “ the legal interest of data crime”. After clarifying the difference of the concept of legal interest between the positive law and the former positive law, and that the concept of the former positive law is more reasonable, we can prove that data security is the legal interest protected by criminal law through the following judgment. First of all, data security is a useful interest for most people. Data security is the key factor to ensure the stable operation of economic production and 5 national society in the macro level. In the micro level, data security is the first line of defense for personal security protection in Big data Era. And then, data security may be violated. In Big data Era, data security is not only vulnerable, but also the result of damage is gradually uncontrollable because of the time-space nature and technical convenience of data violations, as well as the vulnerability and vulnerability of data protection means. And last, data security has been protected by our criminal law. paragraph 2 of Article 286 of the criminal law of 1997 and paragraph 2 of Article 285 of the criminal law of 1997 clearly xingtake the data of computer information system as the object of protection. Therefore, it is the meaning of the criminal law of our country to understand the legal interest protected by protecting the data of computer information system as the legal interest of data security. Finally, the criminal law advocates protecting the legal interest of data security, which is not in conflict with the value goal of the constitution. On the contrary, it can be said that it is the concrete implementation of the basic rights to be protected by the Constitution, such as human freedom and dignity, stable economic and social operation, and national collective security and stability. After the above judgment, although data security can be called the interest protected by the criminal law, whether it belongs to the legal interest protected by the data crime in this paper needs to be further analyzed. Through the analysis of “computer protection regulations” and “network security law”, we can see that data security includes data confidentiality, integrity and availability. And, data security is not the direct legal interest infringed by data acquisition crime and data destruction crime. In the legal interest system, the system function security interests are at the same level as the data security interests, and their upper-level similar interests are system operation safety, and then higher-level similar interests are system safety. Specifically, data confidentiality is the legal interest of the crime of illegally obtaining data, which means that only the legally authorized users can access the data, restrict other people’s illegal access to the data, and pay attention to the confidentiality in the process of data storage, processing or transmission. In judicial practice, the common violations of data 6 confidentiality legal interest include packet sniffing, phishing, recycle bin retrieval, key and mouse operation records, Trojan horse and so on. The integrity and availability of data is the legal interest of the crime of destroying data, which means that the characteristics of data can not be changed without authorization, and the data can not be illegally deleted, modified, added and other destructive operations, so as to ensure that the data will not be modified, damaged and lost in the process of storage, processing and transmission, and ensure that the data of computer information system is not damaged and complete Status. The common violations of data integrity legal interest in judicial practice include Samira attack, data spoofing tools, session hijacking and so on. Data availability refers to the feature that authorized entities can access and use data and resources when needed. The integrity of data is closely related to the availability, and the destruction of the integrity usually affects the availability, so the two can be put together for overall protection. Based on the comparative analysis of legal interest of data security, we can see that the theories of information security, system security, operation security, functional security, national management order and other different types of legal interest of data crime protection are unreasonable. In addition, when studying the legal interest of data crime protection, we should pay attention to the difference between the legal interest of data security and that of big data, network data, data information, etc. At the same time, it can be seen from the judgment of the newness of legal interest by taking the time of entering the law as the form and the concrete content as the real quality that the legal interest of data security has been focused by the criminal legislators of various countries in the early stage of the governance of computer crimes, rather than the new criminal legal interest that has been focused by the criminal legislators until the Big data Era. These conclusions should become the basic consensus of data crime research in China. The fourth chapter studies “legal interest and the interpretation of the constitutive elements of data crime”. In the aspect of behavior object, the different understanding of the behavior object of the crime of illegally obtaining data can be divided into expansion theory and limitation theory, and the different understanding of the behavior 7 object of the crime of destroying data can be divided into justice theory and explanation theory. From the three aspects of legislative expression, legislative intent and judicial interpretation, the view of the expansion of the crime of illegally obtaining data should be denied. At the same time, the opinion on the limitation of the crime of illegally obtaining data and the crime of destroying data should also be denied, because the suggestion of restricting the interpretation of computer information system data will make the criminal law have loopholes in the protection of data security legal interest. In addition, the author also finds that the viewpoint that data crime has been pocket can not be established by examining the premise of argument held by the limit theorists. Because the increase of the judicial application of data crime can not prove that it has become a bag of mouth crime. Empirical research can not prove that the judicial inertia and judicial inertia exist in the judicial system. Although the legal penalty of data crime is slightly higher, it does not affect the judicial inertia and judicial inertia The crime of data destruction is shaped. Therefore, this paper believes that the computer information system data of the behavior object of data crime should be interpreted as all the data stored, processed or transmitted in the computer information system including cloud data and RFID data. In the aspect of behavior means, the crime of illegally obtaining data is a multiple behavior crime, including “illegal invasion / other technical means + acquisition”. Generally speaking, illegal intrusion is understood as the act of entering other people’s computer information system without authorization or beyond authorization. It can be seen that the key to understand illegal intrusion lies in the interpretation of unauthorized and beyond authorized. Some theories put forward that because our country’s legislation does not make clear the unauthorized or beyond authorization, there is also collective aphasia in the judiciary. Therefore, our country should learn from the United States, take the procedure code limitation standard as the only standard to judge unauthorized, and make a clear explanation of beyond authorization. However, this paper holds that the judgment of unauthorized and beyond authorization in criminal justice of our country is not arbitrary without standards. The common standard of 8 procedure code limitation, service agreement limitation and agent rule have corresponding cases in criminal justice of our country, and the understanding of unauthorized and beyond authorization in Criminal Justice of the United States is not impeccable truth. Therefore, in practice, we should not be too superstitious about foreign practices. We should make a specific judgment on unauthorized and unauthorized cases. Using other technical means refers to the behavior of counterfeiting or setting up a false website, or using gateway deception technology, the actor does not need to enter other computer information systems to obtain other computer information systems to store, process or transmit data. At present, there is a view that the acquisition of the crime of illegal acquisition of data is equal to the acquisition in daily language. However, acquisition in daily language refers to control or possession, and the key point is the transfer of control. The key point of the crime of illegally obtaining data is the confidentiality of data. No matter whether the right of control is transferred or not, the way of downloading, copying, browsing, etc. can be evaluated as the acquisition of the crime of illegally obtaining data as long as it causes damage to the confidentiality of data. There are three kinds of behavior means of the crime of destroying data, such as deleting, modifying or adding. When we understand it, we should not take “may cause the complete loss of the utility of data use” as the standard, but recognize that the infringement of the legal interest of data integrity will affect the availability of data, and the damage of data availability can be divided into partial damage and total damage. Therefore, in a specific case, whether the integrity and availability of data are partially damaged or all damaged, it can constitute the crime of destroying data. In the aspect of behavior consequence, this paper holds that the following two points should be clearly recognized when explaining the seriousness of the crime of illegally obtaining data. Firstly, the serious circumstances are the elements of illegality, including the subjective and objective aspects. In the future,when “Two supreme judicial” explain the seriousness of the crime of illegally obtaining data can increase the data standard in addition to the existing objective elements (pay attention to the classification and proportion of the standard setting) and the number of computer 9 information systems standard.In the subjective aspect, we can use “know or should know that others want to commit a crime” as the judgment standard of the seriousness of the crime of illegally obtaining data. Secondly, the judgment of the seriousness of the crime of illegally obtaining data should prevent the intervention of preventive punishment and meet the requirements of responsibility punishment. Having received administrative or criminal punishment, recidivism, voluntary surrender, meritorious service and other preventive circumstances can only be considered in the sentencing stage after the establishment of the crime. At present, the standard of the number of identity authentication information groups in the judgment standard of serious circumstances listed in the interpretation of computer crime should be deleted. Before the deletion, the requirement of the number of identity authentication information groups should be appropriately increased. The standard of illegal income and economic loss can be retained, but it should be restricted to interpretation. There are three understandings about the serious consequences of the crime of destroying data in the practical and academic circles: (1) it is necessary to destroy data and applications to a serious degree. (2) it is necessary to destroy the data to a serious degree. (3) it is necessary to destroy the data to the extent that the system function and operation are abnormal. Comprehensive use of interpretation methods such as literal interpretation, systematic interpretation and objective interpretation, we can see that the correct understanding of the second paragraph of Article 286 is that both before and after are the objects of criminal law protection, but the establishment of data crime does not require to infringe on both before and after protection, and the harmfulness of the behavior does not need to reach the degree that the computer information system cannot operate normally. At present, there are some problems in the interpretation of the serious consequences of the crime of destroying data in “the interpretation of computer crime”, such as the lack of a differentiated standard for determining the serious consequences according to the three items of Article 286, and the lack of data volume as the standard for judging the serious consequences. The same as the crime of illegally obtaining data, the interpretation of the illegal gains and economic losses of the crime 10 of destroying data should be limited. It should be clear that the “necessary expenses for users to recover data and functions” need to be related to the direct economic losses, and the expenses paid by the direct economic loss person. Otherwise, it can not be evaluated as the economic losses caused by data crime. The fifth chapter studies “the distinction between data crime and related crimes”. Data crime and other computer crimes can be divided into three cases: firstly, data crime and the crime of illegally invading the system. The key to distinguish between the crime of illegally obtaining data and the crime of illegally invading the system lies in the reasonable interpretation of the meaning of “state affairs, national defense construction and the field of cutting-edge science and technology” in the first paragraph of article 285. In the short term, the criminal law should make a limited interpretation to strengthen the protection of the legal interest of data security, so that more illegal access to data can be adjusted by the crime of illegal access to data, which is a felony. The distinction between the crime of destroying data and the crime of illegally invading the system is relatively simple. The illegally invading the system in the key field for the purpose of destroying data causes damage to the data smoothly. At this time, Intrusion into the system and data destruction constitute a implicated relationship.If the perpetrator is under the control of two different criminal intentions to carry out the behavior of invading the system and destroying the data, and both behaviors constitute a crime, it should be punished for several crimes. Secondly, the distinction between data crime and illegal control system crime. “Two supreme judicial” define the crime corresponding to the second paragraph of article 285 as “the crime of illegally obtaining computer information system data and illegally controlling computer information system”. However, the establishment of this selective charges not only does not conform to the principle of establishment because of the difference in the protection of legal interest, but also may lead to improper conviction and aggravation of penalty. Therefore, in the future, “Two supreme judicial” can consider setting up two independent charges against paragraph 2 of Article 285. Considering the guiding value of the judicial interpretation of “Two supreme judicial”, 11 this paper holds that paragraph 2 of Article 285 should be interpreted on the basis of the legal interest of criminal law before “Two supreme judicial” makes any amendment. Because the direct legal interest infringed by the illegal acquisition of data and the system control behavior regulated in paragraph 2 of Article 285 are not the same, it is not a typical selective crime, and the possibility of the combined punishment for several crimes is not ruled out in the judgment. In detail, if the two acts performed by the perpetrator conform to the principle of implicated criminal law, the selective charge should be “quoted in full name” and given a heavier punishment within the range of statutory punishment. If the perpetrator is under the control of two independent criminal intentions to illegally obtain data and control the system, then the decomposed charges should be quoted separately and punished for several crimes. At the same time, considering that the legal interest protected by the various decomposed charges of this selective charge are not the same legal interest, therefore, when the perpetrator carries out two kinds of acts at the same time, because he does not meet the core requirement of the same legal interest of the standard of “cumulative calculation of the amount of crimes of the same kind”, so we should not make a cumulative calculation of the amount involved. In the differential application of the crime of destroying data and the crime of illegal control system, the legislative theory suggests that it can play a positive role in the process of legislative amendment in the future, but the key now is to clarify the relationship between the two crimes through interpretation, so as to promote the proper application of relevant criminal provisions. In dogmatics, illegal control should not be understood as the control that completely excludes the control of users. Even if the control that does not completely exclude the control of users is also the regulatory object of the crime of illegal control system. The key point of distinguishing between the crime of destroying data and the crime of illegally controlling system is not how to explain the relationship between “control” and “destruction”, but how to judge the legal interest. The former is to protect the integrity and availability of data, while the latter is to protect the exclusive use right of the information system obligee. Therefore, the key 12 to determine whether the actor constitutes the crime of destroying data is to judge whether the actor has carried out the act of destroying data, and whether the corresponding act has damaged the integrity and availability of data. As for whether the act has violated the exclusive use right of the information system obligee at the same time, it is not the investigation content of the crime of destroying data. Thirdly, the distinction between data crime and the crime of providing procedures and tools. The first, it is necessary to make it clear that the legal punishment of the crime of illegally obtaining data is the same as that of the crime of providing procedures and tools.The second, the judgment of the harmfulness of criminal acts by providing special procedures and tools can not completely cut off the relationship with the assisted criminal acts. It only means that when it is impossible to find out whether there is a downstream crime, it can be criminalized directly according to the number and times of special procedures and tools. When the circumstances of downstream crimes can be identified, it should be used as a reference factor to provide special procedures and tools for judging the harmfulness of criminal acts. The judgment of the harmfulness of knowingly providing procedures and tools is closely related to the crime of illegally obtaining data. To constitute this crime, the perpetrator must know that the crime of illegally obtaining data is committed by others. whether the aided person commits an illegal act or a criminal act has an impact on the judgment of the harmfulness of the crime act. The first problem that distinguishes the crime of destroying data from the crime of providing procedures and tools is whether the assisted behavior of the crime of providing procedures and tools includes the crime of destroying data? From the perspective of balance between crime and punishment, we should give a negative answer to this question. The second problem is how to identify the provider who knowingly provides procedures and tools for others to commit the crime of data destruction, but the provider does not commit the crime of data destruction? Taking the illegal and criminal act of “knowing that others have used the application to intercept and tamper with the API call results to defraud the first order of hungry” and providing 13 programs and tools for it as an example, it can be seen that if the perpetrator knows that others have committed a destructive data crime and provided programs and tools for him, the programs and tools provided do not have the ability to help others implement illegal intrusion data acquisition and system control function, criminal behavior can constitute destroy the data crime of joint crime. When the programs and tools provided have the functions of helping others to illegally invade the system, acquire data and control the system, criminal behavior can constitute a joint crime of the crime of providing programs, tools and the crime of destroying data at the same time. The judiciary should pay attention to the fact that even if the provider of procedure and tool does not commit the act of destroying data crime, what is excluded is only the possibility that the criminal behavior constitutes the principal offender of destroying data crime, not the possibility of helping to commit the crime. The key to distinguish data crime from other crimes committed by computer is to make clear the meaning of article 287 of the criminal law. This paper holds that the theory of legal fiction should be negated because it does not conform to the meaning of legislation, does not conform to the basic principles of legal fiction, may lead to light and serious crimes, and affects the realization of the dual functions of punishment and prevention. It should be denied that there are similar problems between the theory of attention regulations and the theory of legal fiction. Therefore, it is more reasonable to pay attention to the specific analysis of specific problems in the theory of attention regulations. Theoretically, the behavior regulated by article 287 of the criminal law can be classified as follows: firstly, the perpetrator carries out means behavior and purpose behavior under the control of the same criminal purpose. Means behavior is the use of computer information system, and purpose behavior is the implementation of other criminal behaviors except computer crime. This kind of crime can be subdivided into three situations. The first, although the perpetrator uses the computer as a tool, it does not infringe the legal interest protected by the computer crime clause. At this time, the nature of the crime should be determined according to the crime constituted by the purpose behavior. The Second, although the actor's use of the computer causes certain 14 infringement on the legal interest protected by the computer crime provisions, it does not constitute a crime. The third, the means behavior and purpose behavior of the perpetrator infringe the legal interest protected by the computer crime clause and other criminal clauses respectively, which constitute a crime. At this time, it should be dealt with according to the principle of implicated crime. Secondly, the perpetrator carries out an act under the control of a criminal purpose, but the act infringes the legal interest protected by the computer crime clauses including the data security legal interest and the legal interest protected by other criminal clauses, which constitutes two crimes. At this time, it should be dealt with according to the theory of imaginative joiner of offense or statutes joinder of offenses. Thirdly, the perpetrator in the implementation of computer crime after another criminal intent to implement other criminal acts, at this time, it should be dealt with according to the theory of combined punishment for several crimes. In a word, the relationship between data crime and other crimes committed by computer is more complex, which is not a simple relationship of mutual exclusion of charges, but should be analyzed according to the specific situation. Taking the behavior of illegally obtaining identifiable personal data of citizens as an example, an illegal acquisition behavior may constitute the crime of infringing personal information of citizens and the crime of illegally obtaining data at the same time. Although paragraph 2 of Article 285 and paragraph 1 of article 253 have cross legal relationship in form, they do not conform to the standard of identity of legal interest protection in essence. The relationship between them should be imaginative joiner of offense.At the same time, because the theory of “comparison before determination” can not be applied, we should compare the severity of the crime according to the specific circumstances of the crime, and determine the applicable charges for conviction and punishment. Key words:Data crime; Legal interest of data security; Crime of illegally obtaining computer information system data; Crime of destroying computer information system 15 目 录 导言 一、问题的提出 .............................................................................................. 1 二、研究价值及意义 ...................................................................................... 3 三、文献综述 .................................................................................................. 5 四、主要研究方法 .......................................................................................... 9 五、论文结构 ................................................................................................ 10 六、论文主要创新及不足 ............................................................................ 11 第一章 数据犯罪的基本问题概述 .................................................................. 16 第一节 数据与信息等概念关系的辨析 ............................................................. 16 一、数据与信息 ............................................................................................ 17 二、数据与数字 ............................................................................................ 21 第二节 数据犯罪研究争议与立场选择 ............................................................. 22 一、关于数据犯罪研究争议的归纳 ............................................................ 22 二、数据犯罪否定论的合理性批判 ............................................................ 24 三、以对象型数据犯罪为研究对象 ............................................................ 27 四、以法律文本的解释为研究进路 ............................................................ 30 第三节 数据犯罪的概念界定与理由说明 ......................................................... 32 一、数据犯罪的概念界定 ............................................................................ 32 二、概念界定的理由说明 ............................................................................ 36 第二章 数据犯罪司法适用中存在的问题与成因.................................... 38 第一节 数据犯罪司法适用的宏观现状 ............................................................. 38 一、司法适用日渐活跃 ................................................................................ 38 二、案件类型丰富多样 ................................................................................ 41 三、保护对象范围广泛 ................................................................................ 45 四、小结 ........................................................................................................ 46 第二节 数据犯罪司法适用的微观问题 ............................................................. 46 一、同一案件定性争议较大 ........................................................................ 46 二、同案不同判的问题突出 ........................................................................ 49 三、数罪并罚问题认识不一 ........................................................................ 54 四、小结 ........................................................................................................ 56 第三节 数据犯罪司法适用问题的成因 ............................................................. 56 一、问题表象:立法、司法与学理均有不足 ............................................ 56 二、问题本质:法益解释论功能未正常发挥 ............................................ 62 第三章 数据犯罪的保护法益 ......................................................................... 67 第一节 数据安全作为刑法法益的适格性分析 ................................................. 67 一、刑法法益资格的判断规则 .................................................................... 68 二、数据安全法益适格性的具体判断 ........................................................ 70 第二节 数据安全法益的定位与内容:兼评既有法益理论 ............................. 73 一、数据安全法益的定位与内容 ................................................................ 74 二、既有法益理论的检视与评析 ................................................................ 81 第三节 数据安全新型法益论之证伪 ................................................................. 85 一、域内立法的沿革考察 ............................................................................ 87 二、域外立法的比较考察 ............................................................................ 88 第四章 法益与数据犯罪构成要件的解释 .................................................... 93 第一节 数据犯罪的行为对象 ............................................................................. 93 一、关于非法获取数据罪中“计算机信息系统数据”的解释争议 ........ 94 二、关于破坏数据罪中“计算机信息系统数据”的解释争议 ................ 96 三、刑法所保护“计算机信息系统数据”的含义解释 ............................ 99 第二节 数据犯罪的行为手段 ........................................................................... 112 一、非法获取数据罪之“侵入/其他技术手段+获取”行为分析 ........... 112 二、破坏数据罪之“删除、修改与增加”行为分析 .............................. 121 第三节 数据犯罪的行为结果 ........................................................................... 125 一、非法获取数据罪之情节严重 .............................................................. 125 二、破坏数据罪之后果严重 ...................................................................... 135 第五章 数据犯罪与相关犯罪的区分适用 .................................................. 143 第一节 数据犯罪与其他计算机犯罪的区分适用 ........................................... 143 一、与非法侵入计算机信息系统罪的区分适用 ...................................... 143 二、与非法控制计算机信息系统罪的区分适用 ...................................... 147 三、与提供侵入、非法控制计算机信息系统程序、工具罪的区分适用 159 第二节 数据犯罪与利用计算机实施其他犯罪的区分适用 ........................... 177 一、关于两类犯罪区分适用规则之第 287 条的解释争议 ...................... 177 二、对《刑法》第 287 条“法律拟制说”的否定 .................................. 181 三、《刑法》第 287 条“注意规定说”的类型分析 ................................ 185 四、适用规则的类案贯彻:以非法获取个人数据行为为例 .................. 189 结语 .......................................................................................................................... 193 参考文献 ................................................................................................................. 195 在读期间发表的学术论文与研究成果 ......................................................... 213 后记 .......................................................................................................................... 214 解释论视域下数据犯罪问题研究 导 言 一、问题的提出 为深度挖掘大数据与人工智能的技术红利,推动产业经济向低能耗发展模式 转型,我国从 2015 年开始便不断出台法律、法规等规范性文件助推大数据与人 工智能技术的发展升级以及提高数据资源在社会生产中的地位。2015 年国务院 发布《促进大数据发展的行动纲要》,2016 年《第十三个五年计划规划纲要》中 提出了实施国家大数据战略的号召。各部委积极响应号召,针对职权范围内的事 项制定、出台专门文件,比如工信部在 2017 年发布的《大数据产业发展规划(20162020 年)》等。在 2020 年,中共中央与国务院更是敏锐的观察到数据在国民经 济发展中的角色变化,把数据增列为新型的、第五种生产要素。 1在国家的大力 推动下,我国大数据与人工智能技术飞速发展,各种类型的数据经过不同的数据 搜集设备被不断的汇集,成为大到影响国家安全,小到影响日常生活的重要生产 生活资源。 与数据量级和数据价值的不断增长相伴,针对数据实施的违法越轨行为也越 来越多。为应对数据安全风险,刑法以外的部门法学者们开始将研究精力集中于 数据法领域,重点关注“数字化治理”“数字化人权”“数据权归属”“数据跨 境流动”“数据可携带权”“企业数据财产权”等新问题。各部门法领域的立法 者也适时的对法律法规进行了更新。例如,2015 年全国人大常委会出台的《网络 安全法》、2017 年全国人民代表大会表决通过的《民法总则》以及 2020 年全国 人大常委会发布的《数据安全法(草案)》等。2与其他部门法领域中立法者紧锣 密鼓的进行规范制定与修改略不相同,刑法在应对大数据与人工智能技术发展所 带来的挑战方面略显滞后如“金字塔一样的沉默。”3据笔者观察,最近的一次针 1 参见《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》,五种生产要素分别是数 据、劳动力、资本、技术与土地。 2 《民法总则》第 127 条规定“法律对数据、网络虚拟财产的保护有规定的,依照其规定。” 3 张明楷: 《网络时代的刑事立法》 ,载《法律科学(西北政法大学学报) 》2017 年第 3 期。 1 对数据犯罪刑事立法进行的调整是 2015 年增设的关于包括数据犯罪在内的各种 计算机犯罪单位犯罪条款。 立法者没有作出立法修改不代表数据犯罪刑法规范不需要被修改。事实上, 数据犯罪的刑事立法规范存在诸多问题:比如,数据犯罪作为动态犯罪体系,全 程包括数据获取、数据持有、数据处理与数据使用等环节,而我国仅针对数据非 法收集行为、数据处理过程中的数据破坏行为进行立法规制,没有专门针对数据 持有、处理或者使用阶段的非法行为进行立法规制。正因为数据犯罪刑法规范存 在诸多漏洞,数据犯罪立法论研究才成为数据犯罪领域的主流研究进路。然而, 笔者认为立法论研究虽有其价值,但短期内更具有实际意义的研究进路是解释论 研究。因为至今学界与实务界对于什么是数据犯罪,什么是数据犯罪的保护法益, 什么是数据犯罪的构成要件等基本问题的理解还存在较大的争议。在这种情境下, 任何匆忙的以数据犯罪作为类罪并展开如何修改数据犯罪现行立法的讨论都显 得为时过早。事实上,正由于对基础性问题的把握不清,多数立法建议华而不实, 价值有限。比如,有学者建议在大数据时代应对数据犯罪条文进行修改,修改建 议包括将公民个人信息替换为数据,将计算机信息系统数据替换为网络数据等。 1 可是,除去该论者认识到了大数据时代应对数据进行严密保护这一修改动机值 得提倡外,其提出的立法修改建议大多值得商榷(具体商榷内容可见第一章第二 节)。 因此,笔者尽管承认立法论的积极价值,但是认为在目前立法论研究没有关 照数据犯罪司法实践现实的情形下,以解释论为研究进路展开对数据犯罪的研究 不失为一种更具实践意义的“可行之道”。解释论研究的起点是发现数据犯罪司 法适用中存在的问题,终点是将研究结论运用于解决数据犯罪司法适用问题。如 果数据犯罪在司法实践中不存在争议问题,对数据犯罪进行解释论的研究也将失 去其实际意义。在本文没有对数据犯罪展开深入研究前,通过分析数据犯罪的典 型判例可发现数据犯罪领域存在严重定性争议问题。比如,“全国首例撞库打码 案:小黄伞案”中对被告人叶某行为的定性存在着适用非法获取计算机信息系统 数据罪(以下简称非法获取数据罪)还是侵犯公民个人信息罪的争议。“利用 Fiddler 等软件非法修改充值数额案”中对被告人的行为存在着盗窃罪、非法获取 1 参见马微: 《理念转向与规范调整:网络有组织犯罪 之数据犯罪的刑法规制路径》 ,载《学术探索》2016 年 第 11 期。 2 数据罪、破坏计算机信息系统罪(下文将第 286 条第 2 款“违反国家规定,对计 算机信息系统中存储、处理或者传输的数据进行删除、修改或者增加操作”这一 罪状对应的罪名由破坏计算机信息系统罪改成为破坏数据罪,具体理由见第一章 第三节数据犯罪概念界定部分)等定性争议。“全国首例利用爬虫加粉软件打劫 个人信息牟利案”中对被告人的行为存在着非法获取数据罪一罪、非法获取数据 罪与侵犯公民个人信息罪数罪,以及成立非法获取数据罪与侵犯公民个人信息罪 之牵连犯等定性争议。“开发微信外挂软件牟利案”中对被告人的行为存在着破 坏数据罪、非法获取数据罪、侵犯著作权罪、非法经营罪等定性争议。上述典型 案例征表出的数据犯罪行为定性争议可被继而分为数据犯罪之间的定性争议、数 据犯罪与其他犯罪之间的定性争议,以及数据犯罪与其他计算机犯罪之间的定性 争议。总之,通过对一些数据犯罪典型疑难案例的考察,我们可以很容易得出数 据犯罪司法适用领域存在“理论分歧的广度与深度,委实超出正常的阈值”这一 结论。 1 综上所述,刑法理论上有必要对什么是数据犯罪,数据犯罪存在哪些适用问 题,什么是数据犯罪的行为对象、行为手段与行为结果,什么是数据犯罪与利用 计算机实施其他犯罪的适用规则,以及什么是数据犯罪与其他计算机犯罪的区分 适用规则等问题展开细致的解释论分析。 二、研究价值及意义 与其他部门法相比,刑法学领域对数据犯罪问题的研究还处于碎片化色彩浓 厚的初级阶段。仅有的几篇以数据犯罪为主题的文章之间不仅争议巨大,而且部 分文章实际上属于“新瓶装旧酒”,在数据犯罪的名义下讨论的内容仅仅是公民 个人信息的刑法保护问题。这种数据犯罪研究现状导致现有的数据犯罪教义学理 论既不能为数据犯罪刑事立法修改提供科学的知识供给,也不能为数据犯罪刑事 司法适用提供令人信服的智力支持。因此,本文以解决数据犯罪司法实践中存在 的问题为目标,从始至终贯彻“从实践中发现问题,分析实践中的问题,解决实 1 参见叶良芳: 《法条何以会“竞合”?—一个概念上的澄清》,载《法律科学(西北政法大学学报) 》2014 年第 1 期。 3 践中的问题”解释论研究思路,力求保证本文研究结论同时具有理论与实践的双 重价值。 其一,理论价值。虽然目前对数据犯罪进行研究的文章数量相对较少,且互 相交叉引用,但是理论上还是形成了相对复杂、内容各异的观点,基本上在数据 犯罪的宏观、微观问题上都存在着不小的争议。在宏观问题上,学者们对于刑法 学中是否存在数据犯罪这一问题的理解有否定论与肯定论的争议。同时,在数据 犯罪肯定论内部还存在着广义说、折中说与狭义说等三种不同的观点。三种数据 犯罪肯定说对于数据犯罪的如下基础性问题的理解均不相同:其一,数据与信息 的关系是什么?对本问题存在着数据与信息混用说、数据与信息区分说两大类型 观点,在数据与信息区分说项下又存在着数据范围大于信息范围说,数据范围小 于信息范围说以及数据与信息范围无法进行比较说等三种观点。其二,数据犯罪 的研究对象究竟是什么?该问题又可细分为如下小问题,即是否可以脱离实定法 研究数据犯罪?犯罪学意义上的数据犯罪与刑法学意义上的数据犯罪是否不同? 数据犯罪的研究是否应将纯粹工具型数据犯罪纳入其中?其三,数据犯罪的研究 进路如何?应进行立法论研究,还是进行解释论研究?目前,不同的研究者将对 上述问题的不同理解进行排列组合形成了研究者个人对数据犯罪的认识,向外界 展示出了数据犯罪问题刑法研究的不同可能性。然而,这些数据犯罪问题的不同 研究可能性同时也意味着数据犯罪相关的立法与司法活动难以从学理上得到具 有可操作性的知识指引。在微观问题上,不同学者对于数据犯罪的保护法益是什 么这一问题的理解也存在巨大争议。多数学者没有将数据犯罪作为类罪看待进而 讨论数据犯罪保护的同类法益内容,只是在个罪基础上进行具体法益内容的探讨。 经统计,目前学者们针对非法获取数据罪提出的法益理论主要包括计算机信息系 统安全、计算机信息系统运行安全、信息安全、数据传输私密性、数据安全与系 统功能安全等七种观点,针对破坏数据罪提出了计算机信息系统安全、国家对计 算机信息系统的管理秩序、公共管理秩序、计算机信息系统的正常功能与安全等 七种观点。这些相互争鸣的数据犯罪法益理论影响了刑法法益构成要件解释论机 能的发挥,使数据犯罪的构成要件不清、与其他犯罪间的边界不明。笔者认为通 过归纳学界的既有理论争议,并有针对性地进行反思性评析,可保证本文具有理 论层面的研究价值。 4 其二,实践价值。理论应能被运用于实践,解释论研究成果更应能被应用于 实践。大数据时代数据数量的爆炸式增长,以及数据价值的不断提升导致针对数 据实施的违法犯罪行为数量不断上涨,数据犯罪违法犯罪行为类型不断翻新,数 据犯罪罪名的司法适用率不断提升。通过对数据犯罪典型案例进行考察,我们可 以很容易地发现数据犯罪司法适用领域存在严重的罪名适用争议问题。这些问题 的存在要求我们在现阶段对数据犯罪进行研究时应将司法实践作为检验理论成 果合理性的试验田,以实现理论与实践的良好互动为解释论研究的终极目标。因 此,本文针对数据犯罪所作的解释论研究具有实践价值。 三、文献综述 目前,虽然数据犯罪已经成为刑法学研究的热点问题,但是尚未见以数据犯 罪为主题出版的刑法学专著。刑法学者多是在计算机犯罪著作中将涉及到的数据 犯罪问题作为专章或专节进行讨论。比如,喻海松博士的《网络犯罪二十讲》 (法 律出版社2018年版)等。在学术论文方面,以数据犯罪为主题发表的文章数量日 益增多,包括刘宪权教授和汤君博士的《人工智能时代数据犯罪的刑法规制》 (载 《人民检察》2019年第13期)、王倩云博士的《人工智能背景下数据安全犯罪的 刑法规制思路》(载《法学论坛》2019年第3期)等。还有一些学术论文虽不是 明确以数据犯罪为写作主题,但写作内容与数据犯罪密切相关,包括刘宪权教授 的《网络黑灰产上游犯罪的刑法规制》(载《国家检察官学院学报》2021年第1 期)以及于改之教授的《非法弹送广告行为入罪要素解析》(载《人民检察》2020 年第14期)等。 只从出版书目与发表论文数量看,我国刑法学者在数据犯罪方面的研究成果 已经较为丰硕。然而,一旦对相关论著进行深入研究后,我们就可以较为容易的 发现目前数据犯罪研究中各种学术理论之间缺乏必要的相互了解与沟通。因而, 本文在进行数据犯罪解释论研究时特别注意对存在争议的学术观点进行归纳与 总结,并对之进行逐一的分析与点评。笔者相信,此种重视对既有研究进行归纳 与评析的研究方法会最大限度的保证本文对数据犯罪所作解释的科学性与合理 性。 5 其一,关于数据与信息及其关系的理解争议。彭诚信教授与韩旭至博士均曾 分别针对本问题进行过类型归纳,前者将之分为信息与数据等同说、信息与数据 相对说、信息范围大于数据说、信息范围小于数据说等四种类型, 1后者则将之 分为信息与数据并用型、信息包含数据型与数据包含信息型等三种类型。 2本文 将之分为逻辑更为自洽的双层次四类型模式:(1)数据与信息并用型,持本观 点的有程啸教授、李源粒博士、黄鹏博士、朱宣烨博士、谢远扬博士、郭明龙博 士等等。(2)数据与信息区分型,此类型项下又分为数据与信息相对型,持本 观点的有纪海龙教授、欧阳本祺教授、王镭博士、冯德淦博士、王倩云博士、马 微博士等;数据大于信息型,持本观点的有李爱君教授、彭诚信教授等;数据小 于信息型,持本观点的有梅夏英教授、郎庆斌博士等。 其二,关于数据犯罪研究命题真假性的理解争议。持否定论的包括敬力嘉博 士,其认为刑法评价的对象应该是信息,而不是数据, 3既然数据不是刑法的评 价对象,数据犯罪的命题自然不能成立。目前,由于大数据时代的到来,数据的 独立价值日益提升,再加上非法获取数据罪与破坏数据罪等刑事立法的存在,数 据犯罪肯定论占绝对多数地位。肯定论内部观点以对数据犯罪研究范围的理解不 同可被分为:(1)广义说,即认为所有与数据相关的犯罪都属于数据犯罪,持 本说的主要有刘宪权教授、李源粒博士、马微博士、文立彬博士等;(2)折中 说,即认为以数据安全法益为对象的犯罪属于数据犯罪,持本说的主要有王倩云 博士、孙道萃博士等;(3)狭义说,即认为数据犯罪是指刑法分则第 285 条第 2 款非法获取数据罪与第 286 条第 2 款破坏数据罪的犯罪,持本说的学者有杨志 琼博士。 其三,关于数据犯罪研究进路的理解争议。除了可以研究范围作为分类标准 将数据犯罪肯定说划分为广义说、折中说与狭义说外,还可以把研究进路作为标 准将数据犯罪划分为立法论研究与解释论研究。其中,广义说与折中说者都希望 以立法论为工具,通过反思既有刑事立法中存在的问题,推动刑事立法的修正, 以从根本上扭转我国数据犯罪立法规制中暴露出的调整范围狭窄、关键词范围不 清、相关犯罪罪名衔接不畅等问题。比如,王倩云博士便提出应借鉴《网络犯罪 1 参见彭诚信、向秦: 《“信息”与“数据”的私法界定》 ,载《河南社会科学》2019 年第 11 期。 参见韩旭至: 《信息权利范畴的模糊性使用及其后果—基于对信息、数据混用的分析》 ,载《华东政法大学 学报》2020 年第 1 期。 3 参见敬力嘉: 《论企业信息权》,载《北方法学》2019 年第 5 期。 6 2 公约》在我国刑法中增设非法获取、持有、使用数据罪以及非法破坏、删除、压 缩数据罪。 1狭义说者则以现行刑法中的具体罪名司法运行实态为考察对象,确 定数据犯罪司法适用中存在的疑难问题,并针对性的提出解释论解决方案。目前, 直接以数据犯罪为类罪研究主题,并且以解释论为研究进路的学者仅有杨志琼博 士。 2 其四,关于数据犯罪保护法益内容的争议。数据犯罪既有的法益理论可被分 为传统观点与反思观点。传统观点又可被继续分为单一法益说与复数法益说。非 法获取数据罪单一法益说大致有四种观点,分别是高铭暄教授、黎宏教授等所持 的计算机信息系统安全说、刘明祥教授等所持的计算机信息系统运行安全说、徐 凌波副研究员等所持的信息安全说以及徐久生教授等所持的数据传输私密性说。 破坏数据罪单一法益说也大致有四种观点,分别是喻海松博士、米铁男博士所持 的计算机信息系统安全说、陈兴良教授所持的国家对计算机信息系统的管理秩序 说、赵宁法官等所持的公共管理秩序说以及林建辉和黄学鹏等所持的计算机信息 系统的正常功能与安全说。非法获取数据罪复数法益说主要有皮勇教授等所持的 数据安全与系统功能法益说以及喻海松博士等所持的国家对计算机信息系统安 全的管理秩序、计算机信息系统的正常运行秩序及计算机信息系统及其存储、处 理或者传输数据的安全说。破坏数据罪复数法益说主要有高铭暄教授和马克昌教 授等所持的国家对计算机信息系统的安全运行管理制度和计算机信息系统的所 有人与合法用户的合法权益、屈学武教授等所持的国家对计算机信息系统的功能 安全、数据安全管理秩序说以及刘广三教授等所持的数据的安全性与应用程序的 完整性。在传统法益理论外,不少学者在反思的基础上提出了反思性数据犯罪法 益理论,主张数据犯罪的保护法益是数据安全法益,持本观点者有杨志琼博士、 李川教授、孙道萃博士、黄鹏博士、刘双阳博士等。 其五,关于数据安全法益的体系定位与内容的理解争议。在数据安全法益的 体系定位上,主张数据安全法益说的学者们多主张将之视为数据犯罪保护的同类 法益,且将数据安全法益与计算机信息系统安全法益、计算机信息系统运行安全 法益等作为相互并列的法益类型,比如王倩云博士、孙道萃博士等。同时,针对 1 参见王倩云: 《人工智能背景下数据安全犯罪的刑法规制思路》 ,载《法学论坛》2019 年第 2 期。 参见杨志琼: 《我国数据犯罪的司法困境与出路:以数据安全法益为中心》 ,载《环球法律评论》2019 年 第 6 期。 7 2 数据安全法益的具体内容,黄鹏博士认为应包括有用性、完整性、保密性、安全 性等四要素,而王倩云博士、杨志琼博士等多数学者认为应仅包括保密性、可用 性与完整性等三要素。此外,对于数据安全法益是否为新型法益的问题,学界也 存在争议。刘宪权教授和汤君博士认为数据犯罪并非新型犯罪,相应的数据安全 法益便不应该是新型法益。与之不同,多数学者则认为数据安全法益是新型法益, 比如黄鹏博士等。 其六,关于数据犯罪构成要件的理解争议。以行为对象方面的理解争议为例, 针对非法获取数据罪,目前学界存在扩张论与限缩论等两种观点,前者认为既有 刑法对数据保护的范围过于狭窄,为实现对数据的充足保护应扩张刑法所保护数 据范围的立场,持本说者主要有李川教授、李源粒博士、王倩云博士、李怀胜教 授等等。后者认为目前刑法学中对于计算机信息系统数据的范围理解过于宽泛, 应当进行一定程度的限缩。持本说者主要有李遐桢教授、侯春平博士、杨志琼博 士等。针对破坏数据罪,目前学界有平义论与扩张论等两种观点,前者认为应依 据立法条文之字面含义对破坏数据罪中之计算机信息系统数据进行解释,此说为 通说。后者认为解释破坏数据罪中的数据时应将之与计算机信息系统功能直接关 联,只有那些被删除、修改或者增加后能够影响到计算机信息系统运行的数据才 是破坏数据罪的保护对象。限缩论者的行文逻辑是破坏计算机信息系统罪在刑事 司法适用中异化为了口袋罪,他们认为此异化的源头是泛化解释了第 286 条第 2 款中的数据。因此,为避免本罪在司法实践中呈现出继续泛化的态势,刑法中有 必要对破坏计算机信息系统罪(主要是对破坏数据罪)进行限缩解释,以实现对 破坏计算机信息系统罪之整体司法适用进行去口袋化的规范效用。持本说的学者 有俞小海博士、周立波博士等。此外,对数据犯罪的行为手段与行为结果等两项 内容,刑法学界也存在较多的理解争议。 其七,针对数据犯罪与其他犯罪关系的理解争议。此问题的理解争议主要发 生在“对象-工具型”数据犯罪领域,理解争议的焦点则在于对《刑法》第 287 条 的解释。目前,学界对《刑法》第 287 条的解释主要分为法律拟制说与注意规定 说两大类,李振林副教授以及项谷和朱能立等检察官认为《刑法》第 287 条为法 律拟制条款,而不是注意性规定条款。张明楷教授、陈兴良教授、孙国祥教授等 学者则认为《刑法》第 287 条是注意性规定条款,而不是法律拟制条款。在注意 8 性规定说内部还存在着两种相互对立的观点:一是张明楷教授等认为由于《刑法》 第 287 条的存在,当包括数据犯罪在内的计算机犯罪与利用计算机实施的其他犯 罪存在同时适用可能性时,只能以其他犯罪进行定罪处罚,排除适用包括数据犯 罪在内的计算机犯罪罪名的可能性。二是俞小海博士以及陆旭和郑丽莉检察官等 认为《刑法》第 287 条仅仅能起到提醒司法者的作用,如果行为同时触犯了包括 数据犯罪在内的计算机犯罪以及其他犯罪,既可能以包括数据犯罪在内的计算机 犯罪进行定性,也可能以其他犯罪进行定性,最终的定性根据是刑法中的罪数理 论。 考虑到本部分内容在全文中所占篇幅,本处选择将其余存在理解争议的问题 (包括已做综述的问题)具体内容在本文正文中予以详细展示。 四、主要研究方法 为保证写作内容的科学性与合理性,本文综合运用了以下研究方法:(1) 实证分析法。本文的核心写作思路是解释论,而解释论最为关注的是法条的妥善 适用,进行数据犯罪解释论研究的起点是数据犯罪司法适用存在现实困境。因此, 为保障本文的写作结论利于指导司法实践,笔者选择以司法实践中真实存在的判 例作为研究对象,分析判例展示出的数据犯罪司法适用的宏观样态与微观问题, 并从中确定数据犯罪司法适用的症结所在以及解决相应问题的具体方法。(2) 比较分析法。刑法学研究不可能离开对域外立法经验、司法经验与学术理论的借 鉴与学习。鉴于本文的主要研究任务并不是对数据犯罪的立法条文进行反思与重 构,因此,本文对域外的立法借鉴进行比较分析的内容篇幅相对较少。与之相对, 在数据犯罪的构成要件解释、数据安全法益性质分析等方面则更多的对域外的司 法经验与学术理论进行了比较分析。(3)历史分析法。数据犯罪作为刑法学中 的一个类罪概念,必须要有与之对应的刑法条文。通过对我国数据犯罪刑事立法 的历时性分析,利于我们清晰把握数据犯罪的立法目的,定位数据犯罪的保护法 益,明确数据犯罪在我国刑事立法中的历史脉络与发展演变。(4)体系分析法。 数据犯罪研究离不开体系分析法,体系分析法不仅关注数据犯罪内部的罪间协调, 而且关注数据犯罪与其他计算机犯罪、与利用计算机实施的其他犯罪之间的体系 9 协调,以及数据犯罪与数据违法行为之间的体系协调。实现解释结论的体系融贯 与逻辑通畅是本文解释数据犯罪的重要目标。 五、论文结构 除去摘要、导言、结语以及参考文献等部分,本文正文一共有如下五章内容: 第一章是“数据犯罪的基本问题概述”。本章的写作任务是厘清数据与信息、数 字等概念间的关系,明确数据犯罪既有研究的理论争点,在反思既有观点的基础 上选择本文认为较为合适的数据犯罪研究立场,并在此选择的基础上结合成文法 的规定界定数据犯罪的概念,说明本文界定数据犯罪的理由。 第二章是“数据犯罪司法适用的现状、问题与成因”。本章选择对非法获取 数据罪与破坏数据罪进行实证分析。实证分析的直接目的有三点:明确数据犯罪 司法适用的宏观现状、明确数据犯罪司法适用的微观问题以及通过对数据犯罪司 法适用微观问题的深入剖析,明确数据犯罪司法适用微观问题形成的原因。 第三章是“数据犯罪的保护法益”。经论辩,本文依据教义学的规则对数据 安全进行多数人有用性、具有受侵害可能性、为我国刑法条文所容纳、与宪法价 值相协调等方面进行逐一判断后,本文肯定了数据安全的刑法法益资格。数据安 全法益是计算机信息系统运行安全法益的次级同类法益,是数据的保密性、可用 性与完整性的上级同类法益。同时,数据安全法益不是新型法益,而是早已被立 法者关注并以实定法的形式进行保护的刑法法益。 第四章是“法益与数据犯罪构成要件的解释”。本章主要针对数据犯罪的“一 个共性要件与两个个性要件”进行解释。共性要件是行为对象,重点分析数据犯 罪的行为对象研究领域存在的针对非法获取数据罪的扩张论与限缩论,针对破坏 数据罪的平义论与限缩论等争议理论。两个个性要件分别是行为手段与行为结果。 在研究非法获取数据罪行为手段时主要针对非法侵入、其他技术手段以及获取等 进行解释。在研究破坏数据罪的行为手段时主要针对删除、修改与增加行为与数 据的完整性与可用性法益之间关系的解释,明确删除、修改与增加数据不要求造 成“数据陷入到丧失正常使用功效的不良境地”。在研究数据犯罪的行为后果时 主要讨论的是非法获取数据罪中的情节严重在犯罪论体系中的地位,以及对《计 算机犯罪解释》中情节严重具体认定标准进行反思性评析。在破坏数据罪中则主 10 要是讨论实务界与学界对后果严重的理解争议,并且对《计算机犯罪解释》中后 果严重具体认定标准进行反思与限定解释。 第五章是“数据犯罪与相关犯罪的区分适用”。本章是在明确了数据犯罪的 保护法益、数据犯罪的构成要件基础上讨论数据犯罪在司法适用中与其他计算机 犯罪以及利用计算机实施的其他犯罪之间的关系。全章主要分为两个部分,一是 数据犯罪与其他计算机犯罪的区分适用,根据第一章实证分析的结果本文选择了 数据犯罪与非法控制计算机信息系统罪(正文中视情况简称为非法控制系统罪)、 数据犯罪与非法侵入系统罪(正文中视情况简称为非法侵入系统罪)、数据犯罪 与提供程序、工具罪(正文中视情况简称为提供程序、工具罪)等进行区分会用 分析。在每一个主题项下又分为非法获取数据罪与破坏数据罪同其他计算机犯罪 的区分适用等两种子类型,具体讨论时各主题关注重点均不相同,且在论证时会 选择顺带对实践中疑难的典型个案进行分析。二是数据犯罪与利用计算机实施的 其他犯罪的区分适用,本种情形下区分适用的难点在于对《刑法》第 287 条的解 释,目前实务与学界存在着注意规定说与法律拟制说的论争,本文通过否定法律 拟制说与证立注意规定说,证明即便存在着《刑法》第 287 条也不排斥在“对象 -工具型”案件中同时适用数据犯罪与其他犯罪的可能性。 六、论文主要创新及不足 与其他文献不同,本文的主要创新之处在于如下方面:其一,系统性的在刑 法学领域内对数据犯罪的基础性法律问题之数据与信息的关系进行了研究。将学 者们关于数据与信息关系的观点划分为逻辑融贯的双层次模式,第一层次为数据 与信息并用型、数据与信息区分型,第二层次设在数据与信息区分型项下分为数 据大于信息型、数据小于信息型、数据与信息区分相对型。通过结合刑法实体法 的规定,明确了数据与信息并用型观点存在与技术发展现状不符,存在影响对数 据犯罪类型化与精细化研究的风险,以及可能会模糊罪与非罪的关系使数据犯罪 司法适用存在疑难等问题,指出了数据大于信息型、数据小于信息型观点中存在 的逻辑错误,通过对前置法与刑法条文的梳理指出了对数据与信息进行区分相对 理解,关注数据的形式性与信息的内容性,不用在范围上进行比较之观点的正确 性。 11 其二,系统性的归纳了数据犯罪的既有研究争议,比较了数据犯罪否定论与 肯定论的异同,并对各学说内部的不同观点进行了评析。针对数据犯罪否定论提 出了将刑法明文保护的数据解释为信息,有类推解释或者错误解释的嫌疑,存在 错误放大中德刑事立法差异的问题,存在低估以数据为中心构建计算机犯罪体系 的价值问题,存在误解了去识别性标准在刑法中的规范意义等问题。在否定数据 犯罪否定论的同时,确证了对待数据犯罪的科学态度是既承认刑法保护数据,又 承认刑法保护信息,但应区辨二者之间的不同,进而对相关刑法学问题进行类型 化分析,而不是对数据与信息作非此即彼式的择一判断。针对数据犯罪肯定论, 本文首次将相关研究争议类型化为研究基础之争议、研究对象之争议以及研究路 径之争议,并对各种争议进行详细评析与选择。在前述选择的基础上,结合本文 对相关立法史料的搜集与整理结果,本文提出在解释论视域下对数据犯罪进行的 正确理解应该是“数据犯罪是指违反国家规定,以计算机信息系统中存储、处理 或者传输的数据为对象实施非法获取、删除、修改或者增加的犯罪行为。”此外, 通过继续抽象类型化,本文提出将数据犯罪继续细分为非法获取数据罪与破坏数 据罪。同既往的定义不同,本文的此种定义首次兼顾了尊重现行刑事立法的规定、 注意到了刑法学与犯罪学定义的不同。 其三,系统性的对非法获取数据罪与破坏数据罪的司法适用情况进行了实证 分析。通过对数据犯罪司法适用情况的宏观分析明确了数据犯罪领域存在司法适 用活跃、案件类型多样、保护对象广泛等特征。本文还通过对数据犯罪司法适用 的微观情况进行分析,明确了数据犯罪司法适用领域存在着同一案件定性争议较 大、同类案件不同判问题突出、数罪并罚问题认识不一、情节严重判断简化与后 果严重理解不一等问题。除此之外,通过对同数据犯罪相关的立法、司法与学理 知识进行考察,本文提出数据犯罪司法适用问题的成因可分为问题表象与问题本 质等两个层面,从表象上看数据犯罪司法适用出现诸多问题的原因在于立法、司 法与学理层面均存在不足,对数据犯罪的理解均存在不科学、不合理之处,从本 质上看数据犯罪司法适用存在众多问题的原因则在于刑法学界对数据犯罪保护 法益内容的理解混乱,而此种理解混乱直接导致数据犯罪领域刑法法益的立法批 判功能与刑法解释功能失效,最终导致了数据犯罪司法适用中存在罪与非罪、此 罪与彼罪、重罪与轻罪关系不清的问题。 12 其四,系统性的对数据犯罪既有法益理论进行了梳理,并规范的证成了数据 安全法益是数据犯罪的适格同类法益,数据保密性是非法获取数据罪的适格直接 法益,数据的完整性与可用性是破坏数据罪的适格直接法益。同时,本文创新性 的针对数据安全法益的定位与内容进行分析,对计算机信息系统安全法益、计算 机信息系统运行安全法益、数据安全法益、计算机信息系统功能法益等的关系进 行明确,并且对学界既有的十数种数据犯罪保护法益理论进行逐一对比与评析。 除此之外,本文首次通过对比域内外立法的方式,系统性的证成了数据安全法益 并不是新型刑法法益,而是早已经被立法者关注到的法益内容,只是由于之前数 据犯罪数量较少,导致学界对数据犯罪的关注度较低,造成数据安全法益被遮蔽 于计算机信息系统安全法益与信息安全法益等关联法益中,一直没能获得教义学 上的独立研究地位而已。 其五,创新性的以数据安全法益为标准对数据犯罪的构成要件进行规范解释。 本文在明确数据犯罪保护法益是数据安全法益的基础上对数据犯罪的构成要件 进行了规范解释,解释对象则确定为学界存在理解争议的行为对象、行为手段与 行为结果。在行为对象方面,本文创新性的对刑法学界关于行为对象的理解进行 了归纳,将针对非法获取数据罪行为对象的不同理解分为扩张论与限缩论,将针 对破坏数据罪行为对象的不同理解分为平义论与限缩论,并通过与数据安全法益 的结合将数据犯罪保护的行为对象最终解释为包括云端数据、RFID 数据等在内 的计算机信息系统中存储、处理或者传输的所有数据。同时,本文首次创新性的 回应了学者们关于数据犯罪“口袋化”的质疑,证明该批评意见不能成立。在行 为手段方面,本文创新性的通过比较中美两国法律与判例中关于“未经授权与超 越授权”的理解,提出非法获取数据罪中“非法侵入”的判断不能简单移植美国 的“程序编码设限标准”等理论,而应具体问题具体分析,明确非法获取数据罪 之“获取”与日常用语语境中的“获取”有所不同。对破坏数据罪,本文创新性 的提出删除、修改与增加的判断应与数据的完整性与可用性相关联,但却不要求 对数据的破坏达到丧失可用性的程度。在行为后果方面,本文创新性的归纳了学 界关于情节严重在犯罪论体系定位的学说,对“类构成要件复合说”等观点进行 了评析,确证了违法性构成要件要素说的合理性,并在该说基础上针对性的提出 了对非法获取数据罪情节严重的理解。同时,本文创新性的对比了关于破坏数据 13 罪后果严重的不同学说,提出了只要对数据造成后果严重的侵害即可构成本罪, 不需要对数据的侵害造成计算机信息系统不能正常运行的程度。此外,本文创新 性的提出应针对第 286 条第 1 款、第 2 款设置差异化的后果严重认定标准,将删 除、修改或者增加的数据量级作为后果严重的判断标准,对经济损失认定标准进 行限定性解释等观点。 其六,系统性的对数据犯罪与利用计算机实施其他犯罪或者计算机犯罪之间 的关系进行厘清,明确了这些犯罪罪名间的区分适用要点。针对数据犯罪与利用 计算机实施其他犯罪之间的关系问题,本文创新性的以“对《刑法》第 287 条的 解释”为切入口进行分析,明确目前实务与学界存在法律拟制说与注意规定说等 两大类理解分歧,以及注意规定说内部存在“以其他犯罪定罪论”与“具体问题 具体分析论”等两小类理解分歧。在归纳争议的基础上,本文创新性的针对法律 拟制说进行了批判,明确指出法律拟制说不符合本条款的问题、不符合法律拟制 基本原理、可能会造成轻纵重罪、会影响到刑法惩罚与预防双重功能的实现等问 题。同时,本文创新性的针对注意性规定说进行了类型分析,在否定“以其他犯 罪定罪论”的基础上,证明了即便《刑法》中存在第 287 条也不排斥“对象-工具 型”数据犯罪案件中存在适用数据犯罪与其他犯罪的可能性,并将“具体问题具 体分析论”进行再度类型化,划分为两大类四小类不同的情形分别进行定性讨论。 针对数据犯罪与其他计算机犯罪的区分适用,本文创新性结合具体个案对数据犯 罪与非法侵入系统罪、非法控制系统罪、提供侵入、非法控制系统罪等不同的罪 名之间的区分适用问题进行了分析。 尽管笔者已经努力地凝练写作内容,明确写作主线,提升写作深度,但是由 于笔者的写作经验有所不足,写作能力较为有限,导致最终研究成果在章节的起 承转合上可能会略显突兀,写作内容上略显松散,写作深度上稍有不足,所提出 的问题不一定精准,所给出的答案也不一定妥切。另外,由于笔者外语水平有限, 只能在使用辅助工具的情形下进行英文、日文原文文献的阅读,因此在德国文献 的研究上多借助于译文而未对原文进行溯源性的考究。同时,由于语言和网络的 原因,本文针对国外数据犯罪的司法适用实际情况的研究较为粗浅,没有投入大 量的精力对域外案例进行精研,导致本文在域内外法案例比较方面较为粗薄。再 者,由于数据犯罪属于专业性犯罪,而笔者没有掌握专业的计算机网络技术知识, 14 因此,对数据犯罪解释论研究中出现的部分计算机网络专业技术名词的认识与解 析可能与实际情况存在误差,这种误差又可能会造成行为定性错误。鉴于此,笔 者将在后续的研究中尝试对上述问题进行逐一的解决,继续对本文的写作内容进 行打磨。 15 第一章 数据犯罪的基本问题概述 自中国接入国际互联网至今,我国已经拥有了世界上最大体量的互联网用户 群、世界领先的互联网基础设施、顶尖的互联网技术人才以及强大的互联网高新 企业,甚至在如今最为前沿的大数据与人工智能技术方面,中国也已经成为领跑 者。然而,互联网技术在带来政治、经济与文化全面繁荣的同时,也为我国带来 了新型的计算机网络违法犯罪治理难题。“不同的社会中犯罪的流行形式是不同 的;不同社会的犯罪控制机制也有明显的不同”, 1这一规律提示我们在研究计 算机犯罪时应对计算机网络技术的发展保持足够的敏感度,用发展的眼光去看待 计算机网络违法犯罪行为的更新迭代问题。 本文所研究的数据犯罪是与计算机网络技术相伴而生,随着计算机网络技术 的升级换代而不断演变,在大数据时代焕发生机的一类犯罪。在云计算等技术的 联合推动下,人类社会正在从信息技术时代迈向万物皆可数据化的大数据时代。 在此背景下,计算机犯罪的主要攻击对象已经从互联网发展早期的系统攻击和当 前的网络财产、网络业务攻击转向对人和数据的攻击。如今,面对不断增长的数 据犯罪行为数量,不断更新的数据犯罪行为手段,不断向失控边缘推进的数据犯 罪行为结果,我们不得不认真的思考应如何建构数据犯罪刑法知识体系才能更好 的保护日益重要,而又无处不在的各类计算机信息系统数据。 2 第一节 数据与信息等概念关系的辨析 尽管我国的刑法学研究者从上世纪末便开始对包括数据犯罪在内的计算机 犯罪问题进行研究,但客观的讲计算机“网络时代的挑战才刚刚开始,互联网法 学方悠悠起步。” 3不断有新的计算机犯罪问题出现在刑法学研究者的面前,并 等待着刑法学研究者予以关注与提供解决方案。这其中,在计算机网络环境中究 竟应该如何理解数据与信息,数据与数字等概念间关系的问题便是近两年计算机 犯罪研究的新兴重难点问题。本文以为欲正确的理解数据犯罪,就不可避免的要 1 [美]迈克尔·戈特弗里德森、特拉维斯·赫希著: 《犯罪的一般理论》 ,吴宗宪、苏明月译,中国人民公 安大学出版社 2009 年版,第 161 页。 2 本文中的数据犯罪之数据仅指刑法分则计算机犯罪罪名中所明确规定的“计算机信息系统数据”,即能 被计算机信息系统存储、处理或者传输的电子数据。 3 刘艳红: 《网络犯罪的刑法解释空间向度研究》 ,载《中国法学》2019 年第 6 期。 16 在展开数据犯罪研究前先对数据与信息、数据与数字等概念间的关系进行明确。 因为对此问题的理解将直接影响到后续对数据犯罪的概念、数据犯罪的研究范围、 数据犯罪的保护法益、数据犯罪与其他犯罪(尤其是与信息犯罪)之间的关系等 问题的解释。 一、数据与信息 对数据与信息的关系问题,彭诚信教授将学界的观点分为信息与数据等同型、 信息与数据相对型、信息小于数据型、数据小于信息型等四种类型, 1韩旭至博 士则将之分为信息与数据并用型、信息包含数据型与数据包含信息型等三种类型。 2 由于这些分类在逻辑上均存在问题,因此,本文对此稍作调整,将关于数据与 信息关系的观点抽象为了双层次四类型。以数据与信息并用型以及数据与信息区 分型作为第一层级的类型,在数据与信息区分型项下设置数据与信息相对型、数 据大于信息型以及数据小于信息型等第二层级的类型。须说明,本处所归纳的关 于数据与信息关系的观点并没有局限于刑事法领域,而是将视野拓展到了所有的 法学学科。本文期望通过对各部门法学科知识的归纳与比较,实现对刑法学领域 内数据与信息及其关系的正确理解。 其一,数据与信息并用型。持本观点的学者们认为,数据与信息是一组在大 数据时代没有必要进行区分的概念,即便区分使用两者具有一定的价值,但价值 也十分有限,两者的差异仅仅在于概念表述所强调的侧重不同而已, 3因此,只 需要依照“约定俗成”的习惯展开对数据与信息的概念及其关系的理解即可。4 比如,程啸教授便认为数据与信息在大数据时代不能被分离讨论,因为离开了信 息的数据不具有任何意义,法律上也就没有必要对之进行规范调整。 5李源粒博 士则认为大数据的动态过程属性决定了不宜区分把握数据与信息这一组概念,而 是宜整体把握之,只有将之统称为数据信息才可实现对大数据动态过程的全面把 握。 6黄鹏博士也认为大数据时代数据与信息之间的转变更加的直接、及时,这 1 参见彭诚信、向秦: 《“信息”与“数据”的私法界定》 ,载《河南社会科学》2019 年第 11 期。 参见韩旭至: 《信息权利范畴的模糊性使用及其后果—基于对信息、数据混用的分析》 ,载《华东政法大学 学报》2020 年第 1 期。 3 参见谢远扬著: 《个人信息的私法保护》 ,中国法制出版社 2016 年版,第 6 页。 4 参见郭明龙著: 《个人信息权利的侵权法保护》 ,中国法制出版社 2012 年版,第 19 页。 5 参见程啸: 《论大数据时代的个人数据权》 ,载《中国社会科学》2018 年第 3 期。 6 参见李源粒: 《网络个人数据安全刑法保护研究》 ,载《重庆邮电大学学报(社会科学版) 》2015 年第 6 期。 17 2 保证了数据与信息这一组概念可以在工具与本体之外的场合被互换使用,而不会 生出歧义。 1 其二,数据与信息区分型。伴随着对数据与信息法律问题研究的深入,各部 门法学领域出现了提倡区分使用数据与信息的观点。然而,对于数据与信息之间 究竟是什么关系,目前还存在着如下三种不同的理解:(1)数据与信息区分相 对型,即主张区分使用数据与信息这一组概念,但不主张对两者进行范围上的比 较,因为两者属于不同逻辑层次的概念。比如,纪海龙教授在本科勒、莱斯格、 蔡希等域外学者提出的数据分层理论基础上,将数据划分为物理层、符号层与内 容层。物理层是指数据的外在物质载体,比如说计算机。硬盘等物理设备。符号 层是指数据文件,也即为能被计算机信息系统存储、处理或者传输的二进制比特 数据。内容层是指数据所承载的内容,也被称为信息内容,指向一切有意义的信 息内容。由此可见,在纪海龙教授提倡的数据分层理论中数据文件(即本文的数 据)与数据信息(即本文的信息)分别处于不同的层级,自然相互之间也就不存 在范围上的隶属关系。 2刑法学者欧阳本祺教授、朱宣烨博士等也曾尝试将数据 分层理论引入到刑法学中用以解决涉网络虚拟财产犯罪行为的定性问题。3 (2) 数据大于信息型。比如,李爱君教授认为数据与信息这一组概念应该是前者包含 后者的关系,数据是对事物、状态的客观记录,数据上承载的内容既包括信息, 也包括非信息。4(3)数据小于信息型。比如,梅夏英教授认为数据仅仅是信息 的一种记录方式而已,除去以比特形式存在的电子数据外,信息还可通过其他非 电子数据载体的形式被记录,比如说纸张、音像等等。因此,“信息的外延要大 于数据。” 5 本文不支持数据与信息并用型的观点,并认为为了更好的保护数据权利与信 息权利,在刑法学中应坚持区分使用数据与信息这一组概念的策略选择。目前, 数据与信息并用型的观点在法学界受到越来越多的批评。比如,彭诚信教授从信 息论、计算机科学以及不断变化的社会理念等多角度切入证明法学研究中应区分 1 参见黄鹏: 《数据作为新兴法益的证成》 ,载《重庆大学学报(社会科学版) 》网络首发。 参见纪海龙: 《数据的私法定位与保护》 ,载《法学研究》2018 年第 6 期。 3 参见欧阳本祺: 《论虚拟财产的刑法保护》 ,载《政治与法律》2019 年第 9 期;朱宣烨: 《数据分层与侵犯 网络虚拟财产犯罪研究》 ,载《法学杂志》2020 年第 6 期。 4 参见李爱君: 《数据权利属性与法律特征》 ,载《东方法学》2018 年第 3 期。 5 梅夏英: 《数据的法律属性及其民法定位》 ,载《中国社会科学》2016 年第 9 期。相似观点还可见郎庆斌、 孙毅、杨莉著: 《个人信息保护概论》 ,人民出版社 2008 年版,第 12 页。 18 2 使用数据与信息这一组概念。 1此种积极的从其他学科中汲取专业知识促进深化 理解法律问题的研究方法为法律学科研究者所常用,因为所有的法学门类“并非 仅是非常复杂的立法文字游戏,毋宁是一种处理人和社会的学科,并同时与诸多 个别学科相互接壤。”2然而,尽管此种研究方法具有一定的积极价值,但是由于 其他学科中对数据与信息的概念及其关系的理解同样争议较大,法学研究中的各 种观点又均可以从其他学科中找到理论依据。因此,如果在法学研究中以其他学 科学者对数据与信息的概念及其关系的理解作为理解法学中数据与信息的概念 及其关系的“本本”,将会使法学研究中数据与信息的概念及其关系的理解问题 长期处于论断不停的状态中。为定纷止争,本文建议通过观察成文法文本的方式 来确认刑法乃至法律意义上数据与信息的具体关系。通过对成文法的考察,本文 认为刑法意义上的数据与信息应被区分看待,理由有二: 其一,从民法、行政法等前置法来看,早期出台的多数规范性文件的确常对 数据与信息概念进行混用。然而,伴随着计算机网络技术的发展,以及立法者对 计算机网络技术的理解深入,在近期出台的规范性文件中我们很容易找到立法者 对数据与信息进行刻意区分使用的成文法依据。比如,《网络安全法》中将关于 网络数据安全保护的内容规定于第三章网络运行安全第一节一般规定以及第二 节关键基础设施运行安全中。同时,立法者将保护公民个人信息安全、商业秘密 安全等信息安全的规范条文规定于第四章网络信息安全中。由此可知,立法者在 《网络安全法》中已经开始有意的区分使用数据与信息这一组概念,对网络数据 安全与网络信息安全的关注侧面、保护方式与保护内容也进行了适当区分。2020 年全国人大常委会发布的《数据安全法(草案)》也区分使用了数据与信息这组 概念,该草案第 3 条第 1 款规定“本法所称数据,是指任何以电子或非电子形式 对信息的记录。”须说明,此定义虽然同时强调了数据的载体属性与信息的内容 属性,但是本文认为在未来立法过程中应对数据的定义做出修改,将非电子化数 据排除在数据安全法的保护范围外。因为此种过于宽泛的数据犯罪定义,不仅与 《数据安全法》制定的立法目的不符,而且在《数据安全法(草案)》中本身也 1 在数据与信息之间的具体关系问题上,彭诚信教授认为信息时代的数据……内涵开始扩大,信息甚至开 始被囊括,数据成为信息的代名词。……现代信息社会数据的范畴比信息还大:数据≥信息。参见彭诚信、 向秦: 《“信息”与“数据”的私法界定》 ,载《河南社会科学》2019 年第 11 期。 2 【日】井田良: 《论日本继受德国刑法》 ,许恒达译,载《月旦法学杂志》2018 年第 12 期。 19 没有涉及到对“非电子形式对信息的记录”进行保护的内容。 1此外,立法者在 《民法总则》的制定过程中曾经想要将“数据信息”作为一个整体的法律概念进 行并合规定。2然而,针对此种做法,各界的意见较大。3为了平息争议,《民法 总则》自二审稿开始便使用“数据”的表述替换了原来的“数据信息”的表述, 并在最终表决通过的《民法总则》中将个人信息与数据分别规定于该法的第 111 条与第 127 条。从该立法历程可知,《民法总则》的立法者对数据与信息进行了 有意的区分。对于《民法总则》的这些规定,2020 年由全国人大表决通过的《民 法典》没有做出任何修改。由此可知,伴随着立法者对大数据时代数据本体应受 保护重要性的认知提升,不将数据本体与数据内容进行混同看待的立场越来越受 欢迎。 其二,刑事立法者较早关注到对计算机信息系统数据进行独立保护的重要性。 具体而言,在 1997 年《刑法》第 285 条第 2 款与第 286 条第 2 款中,立法者并 没有模糊性的使用“数据信息”或“信息数据”等立法表述,而是旗帜鲜明的将 这两个条款所保护的对象界定为“计算机信息系统数据”。与此同时,立法者在 刑法中还专门设立了保护信息的刑法条文,如内幕交易、泄露内幕信息罪、侵犯 公民个人信息罪等。须注意,部分学者曾试图以“两高”2011 年《计算机犯罪解 释》4中用“身份认证信息”为主要标准解释第 285 条第 2 款中的情节严重为由, 将第 285 条第 2 款中的数据解释为信息,认为非法获取数据罪与其说保护的是数 据,不如说保护的是信息。对此观点,笔者表示反对,理由有二:一方面,《计 算机犯罪解释》为司法解释,不具有修改刑法条文的功能,立法者既已明确使用 “数据”一词便应予以尊重。另一方面,以司法解释的部分内容作为依据将非法 获取数据罪保护的数据解释为信息,属于以偏概全的做法。因为除“身份认证信 息”标准外,《计算机犯罪解释》中还列举了“经济损失”“违法所得”以及“其 他情节严重的情形”等认定标准。总之,笔者认为 1997 年《刑法》第 285 条第 2 款与第 286 条第 2 款保护的直接对象就是计算机信息系统数据,而至于该数据 1 参见王春晖: 《完善<数据安全法(草案)>的十大建议》 ,载《南京邮电大学学报(自然科学版) 》2020 年 第 5 期。 2 《民法总则草案(一审稿) 》第 108 条第 3 款中便规定,知识产权是指权利人依法就下列客体所享有的 权:……(八)数据信息。 3 参见李适时主编: 《中华人民共和国民法总则释义》 ,法律出版社 2017 年版,第 396 页。 4 《计算机犯罪解释》即指 2011 年 8 月 1 日由最高人民法院、最高人民检察院出台的《关于办理危害计 算机信息系统安全刑事案件应用法律若干问题的解释》 (法释【2011】19 号) ,下文与此处相同。 20 是否可被提炼出信息,以及所提炼出信息的内容、价值如何等并非这两个条文所 关注的对象。行为人实施的行为只要对数据安全造成侵犯,即便没有对数据所承 载的信息安全造成侵害,只要达到了刑事可罚的程度便可予以入罪处理。如果实 行行为既侵犯了数据安全,又以数据为媒介侵犯到了信息安全、财产安全、人身 安全等法益,便需要运用刑法教义学上的罪数理论进行处理。可见,刑事立法者 早已表明其有意区分使用数据与信息这组法律术语的立场。此外,《刑法修正案 (十一)》的通过也再次表明了立法者在刑法中已对数据与信息进行了明确区分, 修正案第四条将数据与信息进行了并列规定,而不是并合规定。既然刑事立法者 的相关态度已经明确,在学理研究中便没有必要强行将数据解释为信息,将保护 数据的条款解释为“不如说是保护的信息”条款。 确定了在成文法意义上,尤其是在刑事立法中立法者已经明确将数据与信息 进行区分看待后,我们还需要解决第二个问题:即数据与信息之间的关系是什么? 究竟是数据大于信息?还是信息大于数据?亦或者是数据与信息之间并不存在 范围大小的关系?本文认为数据大于信息型、数据小于信息型的见解都不正确。 目前,尽管法学研究中对数据与信息这组概念间的关系理解仍存在争议,但是基 本已经形成的共识是数据为信息的载体之一,而信息是数据可提炼出的内容。比 如,韩旭至博士通过对信息本体论与认识论、数据的关系论与表征论、情报学上 数据信息的关系理论、信息链理论等知识进行归纳性考察也推知在其他学科领域 中前述结论也被其他领域的研究者所认可。 1据此,本文认为数据与信息在范围 上不存在大小关系,但在逻辑上存在相互转化的可能,一定程度上两者属于形式 与内容的关系,在法学研究中对二者进行范围大小上的区辨有悖于基本的认知常 理。 二、数据与数字 本文中所指的数据是二进制代码形式存在的计算机信息系统数据,类型上虽 包括数字、字符、图像、图形与声音等,但都需要以 0 和 1 的二进制形式呈现。 2 1 数字则是指可以用来表示数的书写符号,不同的计数系统可以使用不同的数字, 参见韩旭至: 《信息权利范畴的模糊性使用及其后果—基于对信息、数据混用的分析》 ,载《华东政法大学 学报》2020 年第 1 期。 2 参见龚沛曾、杨志强主编: 《大学计算机基础(第五版) 》 ,高等教育出版社 2009 年版,第 55 页。 21 如阿拉伯数字的“1.2.3.4……”、中文数字的“零、一、二、三……”。因此, 如果倾向于从底层技术视角观察数据与数字的关系,则阿拉伯数字“0 和 1”是 数据的客观表现形式。如果倾向于从类型观察数据与数字的关系,则数字是数据 的一种类型。可见,数据与数字以及信息之间的关系都较为密切。在计算机网络 语境下,阿拉伯数字“0 和 1”依照二进制编码规则进行排列组合可转化为具有 承载信息功能的计算机信息系统数据。 第二节 数据犯罪研究争议与立场选择 一、关于数据犯罪研究争议的归纳 经过对既有文献的分析,笔者发现学者们对于刑法学中是否存在数据犯罪, 以及数据犯罪的研究对象与进路等问题仍莫衷一是。对第一个问题,学界主要存 在着否定说与肯定说之争;后两个问题属于肯定论内部的争议,研究对象方面主 要存在着广义说、折中说与狭义说之争,研究进路方面主要存在着立法论与解释 论之争。本文认为面对此种纷繁复杂的数据犯罪研究现状,我们如果想对数据犯 罪有更为深刻的认识,就必须秉持着“真理越辩越明”的态度,对散在的数据犯 罪既有学说进行归纳、对比与评析,据此选择出较为妥当的数据犯罪研究立场, 并在后文写作中予以贯彻。 其一,否定论。比如,敬力嘉博士在论《企业信息权》一文中提出数据不是 刑法的评价对象,相反,信息才是刑法的评价对象。既然数据不是刑法的评价对 象,那么,数据犯罪的提法也将无从说起。1再如,王肃之博士提出,我国采取的 是以信息为中心的计算机网络犯罪立法体系,此模式不同于德国、日本刑事立法 关注计算机的系统性,而是更关注其信息性,因为“计算机信息系统处理的必然 是信息。”2既然计算机信息系统处理的必然是信息,那么,刑法所保护的对象也 就只能是信息安全,相关犯罪也只能被称为信息犯罪。笔者的推论被王肃之博士 的其他论著所使用的术语所印证,在其与王启欣博士所联合撰写的《试论信息犯 罪的刑法回应》一文中将非法获取数据罪、破坏计算机信息系统罪等罪名全部列 入信息犯罪的研究范围内,而且在界定信息犯罪的含义时采取了尽可能泛义的态 1 参见敬力嘉: 《论企业信息权》,载《北方法学》2019 年第 5 期。 王肃之: 《我国网络犯罪规范模式的理论形塑—基于信息中心与数据中心的范式比较》 ,载《政治与法律》 2019 年第 11 期。 22 2 度,即只要与信息有关的犯罪均被其视为是信息犯罪。 1此种立场下,数据犯罪 将不存在类型研究研究的价值,数据犯罪研究命题自然也应被否定。 其二,肯定论。由于大数据与人工智能时代的到来,数据的独立保护价值日 益提升,再加上刑法中第 285 条第 2 款与第 286 条第 2 款的存在,数据犯罪否定 论的支持者相对较少,肯定论的支持者占据多数地位。在数据犯罪肯定说内部以 对数据犯罪研究对象范围大小理解不同,可作如下区分:(1) 广义说。该说认 为所有与数据相关的犯罪都是数据犯罪。广义说者认为大数据时代的数据犯罪指 向的不再仅仅是第 285 条第 2 款以及第 286 条第 2 款所规定的犯罪行为,而是 演变成了跨越国家社会各领域的“大犯罪体系”。2站在广义说的立场上,数据犯 罪的研究对象范围极其宽泛,只要与数据相关的违法犯罪行为都可以被称为数据 犯罪。例如,侵犯电子化公民个人信息、侵犯数字化商业秘密、侵犯网络虚拟财 产、侵犯计算机信息系统数据等违法犯罪行为均属于数据犯罪行为。支持本种学 说的还有马微博士、文立彬博士等等学者,受制于本文篇幅,笔者便不再进行一 一赘述。 (2)折中说。该说认为数据犯罪是以数据安全法益(或称大数据安全法益、 网络数据安全法益等)为对象实施的犯罪。如果仅以数据犯罪的定义为标准进行 类属划分,王倩云博士应属广义说者,因为其直接引用了广义说者对数据犯罪所 下定义,认为数据犯罪包括以数据为对象或以数据为工具的犯罪。 3然而,王博 士论文的核心思想是:数据、信息与计算机信息系统既有区别又有联系;数据安 全、信息安全与计算机信息系统安全既有区别又有联系;数据犯罪研究应该类型 化、数据安全法益保护应该独立化。基于此,王博士要求在刑法中设立数据犯罪 的两个核心罪名:一是以数据保密性为法益的非法获取、持有、使用数据罪,二 是以数据完整性、权利人可获取性为法益的非法破坏、删除、压缩数据罪,这两 个罪名也仅是关注对数据安全法益的保护, 4即以数据为对象的犯罪行为,而不 包括利用数据实施的其他行为。因此,王倩云博士所言的数据犯罪实质上是指侵 犯数据安全法益的犯罪行为。孙道萃博士也是折中说者,尽管其在论证中时不时 1 参见王启欣、王肃之: 《试论信息犯罪的刑法回应—兼评<刑法修正案(九)>的相关立法条款》 ,载《武汉 理工大学学报(社会科学版) 》2016 年第 4 期。 2 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 3 参见王倩云: 《人工智能背景下数据犯罪的刑法规制思路》 ,载《法学论坛》2019 年第 2 期。 4 参见王倩云: 《人工智能背景下数据犯罪的刑法规制思路》 ,载《法学论坛》2019 年第 2 期。 23 会提到侵犯公民个人信息犯罪,并认为保护公民个人信息安全正是保护网络数据 安全的重要举措。又或者说,其会在文中不自觉的将“网络数据”与“网络信息 数据”等名词进行混同使用。但从整体看,孙道萃博士所讨论的数据犯罪较之广 义说而言范围更小,即将数据犯罪理解为以数据安全法益为对象的犯罪,提倡数 据法益保护的独立化,将数据法益理解为以大数据为保护对象的合法利益。 1 (3)狭义说。该说认为数据犯罪主要是指刑法分则第 285 条第 2 款与第 286 条第 2 款之非法获取数据犯罪与破坏数据犯罪。杨志琼博士将广义数据犯罪分为 以数据为对象的犯罪,以及以数据为媒介工具的犯罪, 2并在该分类基础上以狭 义数据犯罪为研究对象,重点探讨刑法中数据犯罪罪名的司法适用问题,以消除 司法适用中存在的疑难问题为研究目标。在狭义说的研究体系中,数据犯罪跳脱 出了传统计算机犯罪体系,以主要内容为保密性、完整性与可用性的数据安全法 益作为数据犯罪研究的核心概念。同时,数据安全法益也是重新解释数据犯罪的 构成要件,以及厘清数据犯罪与其他罪名间边界的核心概念。 3 二、数据犯罪否定论的合理性批判 由于持否定说的学者较少,而且王肃之博士文中相关立场存在自我反复的问 题,因此,本处主要评析敬力嘉博士所提出的否定说,期望在与其观点商榷过程 中明确数据犯罪肯定论的合理性。对敬力嘉博士文中的观点,本文提出如下四点 商榷意见: 其一,否定论将刑法明文保护的数据解释为对信息的保护,有类推解释的嫌 疑。我国《刑法》第 285 条第 2 款与第 286 条第 2 款明确使用了“计算机信息系 统数据”的立法表述,对这两款内容的理解,如果按照否定论所理解的数据不是 刑法评价的行为对象,信息才是刑法评价的行为对象。那么,此处的计算机信息 系统数据也将被解释为计算机信息系统信息,否则否定论将陷入到难以自圆其说 的窘境。然而,将数据类推解释为信息又明显违反了罪刑法定原则,在法教义学 上属于超越文义的错误解释。因此,本文认为否定论者将刑法评价的对象局限于 1 参见孙道萃: 《大数据法益刑法保护的检视与展望》 ,载《中南大学学报(社会科学版) 》2017 年第 1 期。 参见杨志琼: 《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》 ,载《法学评论(双 月刊) 》2018 年第 6 期。 3 参见杨志琼: 《我国数据犯罪的司法困境与出路:以数据安全法益为中心》 ,载《环球法律评论》2019 年 第 6 期。 24 2 信息,而排除数据,是一种不顾立法表述现状的错误结论。事实上,笔者认为刑 法保护的对象既包括数据,也包括信息这一结论理应成为数据犯罪刑法学研究的 共识。 其二,否定论存在错误放大中、德两国刑事立法差异的问题。否定论者提出 中德两国立法存在差异,因此,一些学者参照德国刑法中的数据犯罪将数据解释 为刑法的评价对象的观点存在错误。 1然而,本文却认为用该理由来否定我国刑 法保护的对象包括数据的观点过于牵强。即便德国刑法条文中对于“数据”作了 明确的界定,而我国刑法未对“非法获取数据罪”“破坏计算机信息系统罪(第 2 款)”中的“数据”下明确的定义,但这并不能否认数据乃是我国刑法保护的 对象。实际上,两国立法者都没有否定刑法可以同时对数据与信息提供保护,如 《德国刑法》中的第 202a 条探知数据罪等均是以数据为保护对象的罪名,2而《德 国刑法》第 95 条公开国家机密罪等均是以信息为保护对象的罪名。因此,笔者 认为否定论者的观点是对中德两国刑事立法的错误解读。其实,换种思路看,正 由于《德国刑法》以及其他国家与地区刑法选择以数据为中心建构计算机犯罪规 范体系,反而恰恰证明了“数据独立作为刑法分则的保护对象,是一种经过检验 的立法思路。” 3 其三,否定论低估了以数据为中心构建计算机犯罪刑法规范体系的价值。否 定论者认为信息在刑法意义上具有征表多重法益的功能,而数据则不具备此种功 能,因此,我们应将信息理解为刑法的评价对象。4诚然,此种见解在一定程度上 正确的指出了信息可以征表多种法益这一规范事实。比如,信息可以是指具有可 识别性的个人信息、可以是具有保密性的商业秘密、可以是影响国家安全的国家 秘密等,在信息犯罪具体个案处置时应该根据信息所征表的不同法益在刑法中找 寻与定位与之相适应的罪名。然而,否定论对数据的评价却明显有失偏颇,这种 理解偏颇导致否定论陷入到了“二值逻辑”困境中,认为刑法评价的行为对象只 能在数据与信息中选择一个,而不能两者兼顾。与此不同,本文认为与信息相似, 数据同样可以征表多种法益,甚至数据所征表的法益类型包含了信息所能征表的 法益类型。如此,相对于以信息为对象建构全面的计算机犯罪刑法规范与评价体 1 2 3 4 参见敬力嘉: 《论企业信息权》,载《北方法学》2019 年第 5 期。 参见徐久生译: 《德国刑法典》,北京大学出版社 2019 年版,第 210-311 页。 于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 参见敬力嘉: 《论企业信息权》,载《北方法学》2019 年第 5 期。 25 系相比,以数据为对象全面的计算机犯罪刑法规范与评价体系更能起到充分保护 刑法法益的作用。 其四,否定论误解了去识别性标准在刑法中的规范意义。否定论者提出在刑 法视域中,去识别化技术在规范与技术两个层面都无法实现对个人信息的有效脱 敏,因此,以去识别化为标准区分个人信息与一般数据,在民法学领域内可以成 为相对明确的标准,但是在刑法学领域内却并不具有规范意义。 1对此,笔者难 以理解的是为何民法上可以将去识别化作为区分标准,而在刑法中却不行?难道 仅仅是因为现有去识别技术手段无法实现对所有身份标识的彻底清除?既然不 承认去识别化技术能够对个人信息进行有效脱敏,又为何在民法中将之作为区分 个人信息与一般数据的标准?其实,笔者在阅读文献时也发现有其他域内外学者 在质疑个人信息可识别性判断标准的合理性,因为在他们看来大数据时代个人信 息的匿名化早已成为一项“被破坏的承诺”。然而,本文以为“在更为有效的个 人信息认定标准出现前,我们还不能因噎废食,彻底放弃身份识别。”2因为刑法 规范意义上的个人信息去识别化并不追求个人信息安全风险的绝对消除,而是追 求个人信息安全风险的最小化, 3经过去识别化处理后的一般个人数据可以被他 人利用技术手段进行再识别的风险充其量只是去识别化技术的剩余风险,这部分 剩余风险在刑法教义学上应被视为可容许的风险。将可识别性作为个人信息与一 般数据的区分标准也正是考虑到这一点,因为在法律层面上如果不承认个人信息 经过去识别化处理可被转化为一般数据,将既不利于提升相关主体对个人信息进 行匿名化的动力以保护个人信息,也不利于数据经济价值的充分实现。 综上,否定论者主张的刑法调整的对象只能是信息,而不是数据的观点并不 正确。既然刑事立法已经明文将数据作为刑法的保护对象,在刑法教义学上再怎 么进行解释也不能超越立法文本的最大含义范围将数据类推解释为信息。同时, 数据同样可以起到征表多种法益的功能,且其所能征表的法益范围较之于信息而 言更为广泛,包括了财产法益、知产法益、信息法益等等,以数据为核心建构计 算机犯罪刑法规范体系更能实现对刑法法益的充分保护。因此,本文认为对待数 1 参见敬力嘉: 《论企业信息权》,载《北方法学》2019 年第 5 期。 岳林: 《超越身份识别标准—从侵犯公民个人信息罪出发》 ,载《法律适用》2018 年第 7 期。 3 Ann Cavoukian,Khaled El Emam:Dispelling the Myths Surrounding de-identification:Anonymization Remains a Strong Tool for Protecting Privacy,https://www.ipc.on.ca/wp-content/uploads/2016 /11/anonymization.pdf,2020 年 3 月 4 日访问。 26 2 据犯罪的科学态度应该是既要承认刑法保护数据,又要承认刑法保护信息,但是 应区分两者之间的不同,进而对相关刑法学问题进行类型化的分析,而不是对数 据与信息作非此即彼的二值判断。 三、以对象型数据犯罪为研究对象 数据犯罪否定论由于存在忽视对数据进行独立保护的价值等问题而被笔者 所否定。当然,不能否认的是数据犯罪否定论的若干观点具有启发性价值,值得 我们予以特别关注,并在相互商榷中共同推动数据犯罪研究的进步。对数据犯罪 肯定论,笔者持支持态度。然而,通过对数据犯罪肯定论者的论点与论据进行考 察,笔者发现数据犯罪肯定论者在数据犯罪研究的本体性、基础性问题上的理解 皆不相同,这些问题包括但不限于:数据犯罪的研究基础,即数据与信息间关系 的问题;数据犯罪研究对象,即哪些行为是数据犯罪行为的问题;数据犯罪的研 究进路,即采用立法论还是解释论的问题。不同论者将对上述问题的不同理解进 行排列组合形成了个人对于数据犯罪的认识,向我们展示了数据犯罪研究的不同 可能。既然如此,本文在对数据犯罪展开深入研究前,就不得不对研究基础、研 究对象与研究进路等问题进行选择与说明。 本章第一节已经提到,数据与信息间的关系问题是数据法律问题研究的基础 性问题,对该问题的理解将直接影响到对数据犯罪研究对象与研究进路的选择。 因此,本处所言的研究基础即为对数据与信息之间关系的理解。从各论者的观点 来看,数据犯罪研究者对数据与信息之间的关系理解没有逃脱前文所总结的特征: 即混沌不清,不仅是持不同学说的学者对该问题认识不一,且相同学说内部的学 者对该问题特认识不一。比如,广义说中于志刚教授的观点便存在反复,认为数 据与信息为同一事物的同时,时而认为数据犯罪包含信息犯罪,时而又认为数据 安全是信息安全的重要内容,时而又认为两者为本质同一的事物。马微博士则明 确选择支持数据与信息相对区分的观点。刘宪权教授、文立彬博士等则不对数据 与信息的关系作出区分,将与数据相关的犯罪统称为数据犯罪;折中说中王倩云 博士则对数据与信息进行了明确区分,孙道萃博士则又在一定程度上对数据、信 息与数据信息三个术语进行了混同使用;狭义说中杨志琼博士则未明确辨析数据 与信息的关系。 27 对数据与信息之间关系的问题,前文已做了充分且系统的说明,本文便不再 予以赘述,仅对主要观点进行说明。在本文看来,数据与信息之间、数据犯罪与 信息犯罪之间的区别较为明显,数据与信息属于载体与内容的关系。我国刑法中 数据犯罪的数据仅指计算机信息系统数据,是信息的电子化记录载体之一。因此, 对数据犯罪行为进行打击可间接实现对信息安全的保护。然而,在刑法意义上, 既然立法者已经明确数据与信息是不同含义的概念,且明确对数据进行独立保护 的价值,则在考察数据犯罪与信息犯罪时应重点关注两者的不同。对数据犯罪的 研究应强调对数据的保护属于对数据本体的保护,对该数据是否承载了信息内容 以及承载了何种信息内容等问题则并不关注。对信息犯罪的研究则应强调对信息 内容的保护,强调所保护的对象是可被评价为公民个人信息、商业秘密、军事秘 密、国家秘密、未公开信息等信息内容,而对记录信息内容的载体究竟是电子数 据,还是非电子数据等问题则并不关注。 目前,数据犯罪研究中较为重要的问题是数据犯罪研究的对象究竟是什么? 对此,各学说仍莫衷一是。广义说提倡大数据犯罪体系,将与数据相关的违法犯 罪行为均视为数据犯罪的研究对象。折中说以数据安全法益(或大数据安全法益、 网络数据安全法益)等为核心关键词界定数据犯罪的研究对象范围,将侵犯前述 法益的犯罪行为视为数据犯罪的研究对象。狭义说所主张的研究范围更为狭窄, 仅将以数据为对象的非法获取、删除、修改、增加等行为视为数据犯罪的研究对 象。对此,本文的意见是: 其一,数据犯罪广义说所主张的研究对象范围过于宽泛,价值有限。根据广 义说的观点,与数据相关的所有犯罪行为都可被称为数据犯罪行为。因此,广义 说中的数据犯罪可被分为以数据为对象的数据犯罪与以数据为工具的数据犯罪, 即对象型数据犯罪与工具型数据犯罪。再者,以是否在数据犯罪中同时扮演对象 与工具双重角色为标准,我们还可进而抽象提炼出对象型数据犯罪与工具型数据 犯罪的交叉类型,即“对象-工具型”数据犯罪,此类型也可被称为非典型对象型 数据犯罪或者非典型工具型数据犯罪。如果只考虑研究范围的全面性,广义说者 所坚持的立场无疑更为合理。然而,在大数据时代伴随着物联网等数据收集技术、 雾计算等数据处理技术、云存储等数据存储技术的不断提升,只要是智能数据设 备能够接触到的现实空间中的任何人与事物的一切变化都可被数字化并在虚拟 28 世界中形成“数字孪生”。此种情形下,如果在刑法学研究中将以数据为工具的 犯罪也纳入到数据犯罪的研究对象范围内的话,将会使得数据犯罪成为大数据与 人工智能时代无所不包的犯罪类型。因为几乎所有的犯罪行为都可以与计算机信 息系统中存储、处理或者传输的电子数据发生勾连。因此,本文认为如果从犯罪 学的研究视角看,广义数据犯罪说具有重要的价值,但是从刑法学的研究视角看 “此种宽泛的概念确定和类型划分”不仅毫无意义可言, 1而且还会导致研究者 自身以及阅读者们误认为数据犯罪就是大数据时代的计算机犯罪。 其二,折中说者的文中虽然普遍提到了大数据时代应该对数据安全法益进行 保护,但是他们对数据安全是否为适格刑法法益,以及什么是数据安全法益的内 容和数据安全法益的具体性质等问题并没有做出规范的教义学讨论。然而,本文 认为在对上述问题进行教义学证成前,任何以数据安全法益为核心关键词界定的 数据犯罪概念的合理性都应受到质疑。换言之,在对数据安全等法益主张进行刑 法法益适格性的规范证成与检验前,不能以数据安全法益为标准区分数据犯罪的 罪与非罪,以及与其他犯罪的罪间边界,更不能将数据安全法益作为类罪概念的 界定关键词。因此,数据犯罪折中说的立场为本文所不采。当然,数据犯罪折中 说对数据安全法益内容、保护现状及修正路径等问题的探讨仍值得我们进行认知 与学习。 其三,本文虽赞同狭义说的观点,但认为仍需对之进行适度修改。狭义说的 数据犯罪概念来自于成文法,是对第 285 条第 2 款与第 286 条第 2 款的立法表 述的类型抽象。此种观点将数据犯罪的含义界定为以数据为对象的非法获取、删 除、修改、增加等的犯罪行为。此种做法既避免了广义说的泛泛而谈,将研究重 点落到对象型数据犯罪身上,又避免了折中说以尚未被证实的法益主张为界定标 准界分数据犯罪所造成的逻辑倒置问题。因为在刑法阶层犯罪论体系中犯罪行为 客体与保护法益并不相同,对同一种行为客体的侵犯所侵犯的保护法益可能并不 相同。 2如此,狭义说将以计算机信息系统数据为行为客体的犯罪行为称为数据 犯罪,并不影响对数据犯罪条款所保护法益作出多样化的解读。申言之,即便将 数据为对象的犯罪界定为数据犯罪也不会直接得出数据犯罪的保护法益是数据 1 本评论参照了数据犯罪广义说者于志刚教授点评计算机犯罪广义说时的观点,其实,于志刚教授当时批 评的计算机犯罪广义说的缺陷,数据犯罪广义说基本都具有。赵秉志、于志刚著: 《计算机犯罪比较研究》 , 法律出版社 2004 年版,第 145 页。 2 参见陈子平著: 《刑法总论》 (2008 年增修版) ,中国人民大学出版社 2009 年版,第 143 页。 29 安全法益或网络数据安全法益等结论,因此,狭义说为各种数据犯罪法益主张预 留了相互间展开理论争鸣的规范空间。 然而,狭义说的观点也存在瑕疵。该说虽主要从成文法的角度入手对数据犯 罪进行界定,将数据犯罪理解为以计算机信息系统数据为对象进行非法获取、删 除、修改或者增加的行为,但是此含义界定中还存在如下问题:其一,没有将“违 反国家规定”作为数据犯罪构成要件的内容予以明确。其二,没有意识到犯罪学 定义与刑法学定义的差别。数据犯罪在犯罪学的理解中可能同时包括违法与犯罪 行为,这些行为不仅包括以数据为对象实施的非法删除、修改、增加、获取等行 为,而且可能包括虽值得进行犯罪化,但尚未被刑法犯罪化的数据窝藏行为、非 法使用数据行为等。然而,数据犯罪在刑法学中的理解只能是哪些已被立法者在 刑法分则中予以成文化的数据犯罪行为,这些行为既可能是违法且有责的数据犯 罪行为,还可能是属于刑法分则规定的行为类型但尚未构成犯罪的违法行为。狭 义说并没有在其作出的数据犯罪定义中对数据犯罪行为手段类型进行限缩,而是 仅对数据犯罪行为对象进行了明确,以及对数据犯罪行为手段类型进行不完全列 举。因此,即便本文支持狭义说的立场,但仍主张结合成文法的规定对概念作出 修正。 四、以法律文本的解释为研究进路 在刑法学研究中一直以来都有立法论与解释论两种研究进路,数据犯罪也不 例外。持广义说与折中说的学者基本都希望以立法论为工具,通过反思既有刑事 立法中存在的问题,推动刑事立法的修正,以从根本上扭转我国数据犯罪立法规 制中暴露出的调整范围狭窄、关键词内涵不清、相关犯罪罪名衔接不畅等问题。 持狭义说的学者则以现行刑法中的具体罪名司法运行实态为考察对象,确定数据 犯罪司法适用中存在的问题,并针对性的提出解释论解决方案。本文认为短期内 数据犯罪的重点研究进路应该是解释论,目的是思考如何促进数据犯罪罪名的妥 善适用,如何解决司法实践中出现的数据犯罪疑难问题。因为,从目前研究成果 来看,理论界与实务界对什么是数据犯罪、什么是数据犯罪的保护法益、数据犯 罪的具体犯罪构成是什么、数据犯罪与其他犯罪的边界如何设置等问题均没有一 30 个令人较为信服的解释。此时,急匆匆地以数据犯罪为类罪框架讨论如何对之进 行立法完善便显得为时过早,且“华而不实”。 根据笔者的观察,目前针对数据犯罪所进行的立法创设建议,大多并没有新 意,且实践价值有限。比如,有学者建议在大数据时代应对数据犯罪进行修改, 修改的建议包括将公民个人信息替换为数据、将计算机信息系统数据替换为网络 数据等。1然而,该学者提出的修改建议大多值得商榷。比如,其认为应将第 285 条第 2 款的表述修改为“非法获取互联网及其衍生数据的,非法获取通过技术性 处理或挖掘得到的信息的……”,此修改建议明显存在三点问题:一是将计算机 信息系统数据修改为互联网数据,是否意味着不再保护未联网的计算机信息系统 中存储、处理或传输的数据?二是衍生数据究竟如何理解?依照法理,数据可以 分为原生数据与衍生数据, 2而这两种类型的数据又可以根据是否具有可识别性 进行再次类型化并分为四种数据类型。这样一来,修改后的条文就需要回答为什 么原始数据不受保护,衍生数据与公民个人信息之间是什么关系等问题。三是该 论者明明选择区分使用数据与信息这组概念,但却又为何要在修改后的“非法获 取数据罪”中将“非法获取通过技术性处理或挖掘得到的信息的……”行为作为 一种犯罪行为予以明确规定?又该如何回答本罪与其他信息犯罪之间的关系,以 及获取、挖掘的信息如果不是被其他已明文规定为犯罪对象的信息时为什么要进 行处理等问题。此外,该论者建议将侵犯公民个人信息罪中的公民个人信息调整 为数据,将罪名调整为侵犯公民个人数据罪。那么,调整之后的侵犯公民个人数 据罪与非法获取数据罪之间的边界在哪里?两罪之间的关系如何? 笔者在此处虽仅是针对马微博士的立法建议进行了重点评析,但并不意味着 其他立法建议不存在问题。相反,根据笔者的观察既有立法建议大多存在问题, 且缺乏对实践的必要指导价值。本文所提出这一结论的合理性早已被国内处理的 各种数据犯罪案件时所引发的巨大定性争议所印证。笔者认为数据犯罪立法论研 究的目的是促使数据犯罪刑法规范体系的协调融贯,而不是使其更加混乱。与其 在没有对数据犯罪的基本问题有所明确之前便匆忙提出缺乏实效,且会产生负面 效果的立法建议,倒不如规规矩矩的对既有的数据犯罪刑法规范进行解释论的思 1 参见马微: 《理念转向与规范调整:网络有组织犯罪之数据犯罪的刑法规制路径》 ,载《学术探索》2016 年 第 11 期。 2 参见杨立新、陈小江: 《衍生数据是数据专有权的客体》 ,载《中国社会科学报》2016 年 7 月 13 日,第 005 版。 31 考。据此,本文将重点对数据犯罪司法适用中存在的问题进行厘清,确定造成这 些问题的表象与本质成因,并积极寻找对应的解决方案,以求为罪间边界的划定 提供相对明确的教义学标准。需明确,虽然刑法解释论工具不是万能的,在研究 中只使用解释论研究工具并不能解决数据犯罪司法适用中出现的所有问题,但是 为保证本文写作主线明确,暂时选择不对数据犯罪的立法论问题作过多的探讨, 仅仅在说明数据犯罪必要性以及一些特殊问题时对数据犯罪立法论的有关内容 进行简要的介绍。 第三节 数据犯罪的概念界定与理由说明 一、数据犯罪的概念界定 在刑法学研究中,对数据犯罪进行概念界定可能会受到如下质疑:即数据犯 罪不是刑法概念,强行对数据犯罪下定义,就好像是画蛇添足。1对此观点,笔者 持相反见解。“法律概念是法律规范的基础,也是进行法律思维和推理的根本环 节。” 2在刑法学研究中,界定相关犯罪的概念内涵能起到很好的引领研究的作 用,一是限缩研究范围,明确研究边界。二是让阅读者清晰全文研究的核心内容 便于知识的传承与消化。因此,将那些具有相同特征的犯罪行为作为一项类罪进 行研究并进行含义界定是刑法学研究中最为常见的现象。比如说我们经常提到的 经济犯罪、金融犯罪、网络犯罪、互联网金融犯罪、黑社会势力犯罪、恐怖活动 犯罪等表述都是这种研究思路的外化征表,且这些概念在各自的研究领域中均已 起到了重要的作用。 因此,本文认为有必要对数据犯罪进行明确的概念界定。根据前文的理解, 在没有结合成文法对数据犯罪行为类型进行细化前,我们可以对数据犯罪作如下 界定:数据犯罪是以数据为犯罪对象的犯罪行为。在此项定义的引导下,我们可 发现 1979 年《刑法》中并没有关于数据犯罪的刑事立法条文。本文认为主要原 因有两点:其一,当时的计算机设备数量较少、价值昂贵、体积巨大,因此,包 括立法者在内的一般社会公众对于计算机信息技术的了解有限,自然也就无法形 成对计算机犯罪或者称计算机网络犯罪的经验认识,更不可能将之抽象提炼并类 1 2 参见张巍: 《涉网络犯罪相关行为刑法规制研究》 ,华东政法大学 2014 年博士学位论文,第 14 页。 雷磊: 《法律概念是重要的吗》,载《法学研究》2017 年第 4 期。 32 型化为具有规范意义的刑法条文。其二,我国当时刚刚确立了以阶级斗争为纲领 转向经济建设为中心的国家工作重点,在当时的环境下立法者很难有多余的精力 再去关注与经济建设关联不是很大的计算机信息系统的发展与保护问题。 1由此 可知,1979 年《刑法》并没有规定计算机犯罪罪名的客观现实与当时社会发展条 件相符合,体现出了刑事立法的时代局限性。毕竟即便是立法者也不可能全知全 能的预见到未来计算机信息技术的发展程度与普及程度,预见到未来计算机犯罪 行为的类型并予以针对性的规制。实际上,由于计算机等信息技术的迅速迭代, 立法者的反应常常要滞后于技术发展的速度,因为“网络犯罪立法的滞后性是全 球范围内面临的世界性难题。” 2 之后,随着计算机网络技术的发展,小型台式计算机开始走入万家,成为日 常化、平民化的商品。然而,从计算机网络技术发展程度看,此时仍处于低级阶 段,并且 2000 年左右时的计算机设备使用主体的范围也相对有限,主要是政府、 企业等财力相对雄厚,技术人员相对充足,对计算机存储、处理或者传输数据功 能需求较大的单位。可是,犯罪作为社会变动的晴雨表, 3尽管当时计算机网络 技术发展仍处于低级阶段,但是伴随着计算机网络技术的普及,犯罪还是出现了 一些新的现象,计算机犯罪开始出现并日渐猖獗。自从 1996 年我国侦破第一件 计算机犯罪案件开始到 1990 年左右记录在案的计算机犯罪数量已经达到了 130 余起,且犯罪手段仍在不断的更新变化,以计算机为破坏对象或者以计算机为犯 罪工具实施其他犯罪行为的案件不断涌现。 4 因此,为了减轻计算机犯罪带来的社会治理压力,在 1996 年 8 月公安部向 全国人大提交了《危害计算机信息系统安全方案(草案)》(以下简称《计算机 犯罪(草案)》),公安部在该草案中建议全国人大在我国刑法中对应性的设置 危害计算机信息系统安全条文。 5公安部修改刑法领导小组提出的这一刑法修改 方案受到了全国人大的关注。因为在同年 8 月 31 日由全国人大法工委制作的《中 华人民共和国刑法(修改草稿)》中还没有关于数据犯罪的立法表述,而在 1996 1 参见王燕玲: 《中国网络犯罪立法检讨与发展前瞻》 ,载《华南师范大学学报(社会科学版)》2018 年第 4 期。 2 于冲: 《网络犯罪罪名体系的立法完善与发展思路—从 97 年刑法到<刑法修正案(九)草案>》 ,载《中国 政法大学学报》2015 年第 4 期。 3 参见陈兴良: 《网络犯罪的刑法应对》 ,载《中国法律评论》2020 年第 1 期。 4 参见于志刚著: 《计算机犯罪研究》 ,中国检察出版社 1999 年版,第 10 页。 5 参见高铭暄、赵秉志编: 《新中国刑法立法文献资料总览》 (第二版) ,中国人民公安大学出版社 2015 年 版,第 1274 页。 33 年 10 月 10 日的《中华人民共和国(修订草案)(征求意见稿)》第六章第 255 条便已经对破坏计算机信息系统数据的行为进行了犯罪化。 1第 255 条的内容经 过 1996 年 12 月中旬的修订草案、1997 年 3 月 1 日修订草案、1997 年 3 月 13 日 修订草案等三次修改最终形成了目前现行有效的 1997 年《刑法》中第 286 条之 规定。 通过比较《计算机犯罪(草案)》与 1997 年《刑法》第 286 条第 2 款可知, 1997 年《刑法》制定时,立法者没有吸纳《计算机犯罪(草案)》中关于窃取计 算机信息系统程序、数据罪的相关规定。对于没有吸纳该建议的原因,在笔者所 搜集的资料中没有予以展示,但是经过对社会现状的考察可知没有吸纳此种立法 建议的不良后果在接下来的十年间得到了充分的展现,利用木马程序等技术手段 侵入他人计算机信息系统,并且非法获取他人计算机信息系统数据(包括 QQ 号、 游戏账号、网页账号、网银账号等)的犯罪行为频发,大量的计算机信息系统数 据因为计算机信息系统受到技术攻击而被泄露。据此,公安部再一次及时的向全 国人大及其常委会成员发出了警示,提醒立法者在司法实践中行为人实施计算机 网络违法犯罪行为的主要目的是为了非法获取数据,因而,刑法上应专门增设罪 名应对之。2此次,立法者接受了公安部门的建议,在 2009 年《刑法修正案(七)》 中增设了第 285 条第 2 款非法获取数据罪。 据此可知,目前刑法中可以被归入到数据犯罪的行为类型分别是第 285 条第 2 款所调整的获取型数据犯罪行为以及第 286 条第 2 款所调整的破坏型数据犯罪 行为。此处须注意,不少学者认为“两高”对《刑法》第 286 条的罪名确定并不 合理,提出需要针对第 286 条的 3 款内容分别设置刑事罪名的学理建议。 3对此 种观点,本文持肯定见解,具体理由如下:其一,第 1 款的保护对象是系统功能, 第 2 款的保护对象是系统数据,第 3 款没有明确规定犯罪对象。其二,第 1 款的 行为手段是删除、修改、增加以及干扰,第 2 款的行为手段是删除、修改或者增 加,第 3 款的行为手段是故意制作、传播。其三,第 1 款的犯罪结果要求达到计 算机信息系统不能正常运行的程度,第 2 款则无此要求,第 3 款要求达到影响计 1 参见高铭暄、赵秉志编: 《新中国刑法立法文献资料总览》 (第二版) ,中国人民公安大学出版社 2015 年 版,第 523 页。 2 参见黄太云: 《<刑法修正案(七)>解读》 ,载《人民检察》2009 年第 6 期。 3 参见陈兴良著: 《刑法疏议》 ,中国人民公安大学出版社 1997 年版;于志刚著: 《计算机犯罪研究》 ,中国 检察出版社 1999 年版,第 84 页;胡学相、吴锴: 《论计算机犯罪的几个问题》 ,载《华南理工大学学报(社 会科学版) 》2004 年第 6 期;欧阳本祺: 《论虚拟财产的刑法保护》 ,载《政治与法律》2019 年第 9 期。 34 算机信息系统正常运行的程度。其四,第 1 款与第 2 款都有“违反国家规定”的 限制,如若没有违反国家规定,则即便实施了相关行为也不构成犯罪,而第 3 款 则无该限制,即只要实施了故意制作、传播计算机病毒等破坏性程序的行为即构 成本罪。其五,“两高”将刑法中的同一个刑法条文中的不同款项对应的犯罪行 为分别归纳为不同罪名的例子比比皆是,比如,第 185 条第 1 款为挪用资金罪, 第 2 款为挪用公款罪。因此,在本文的写作中会将第 286 条第 2 款中的“违反国 家规定,对计算机信息系统中存储、处理或者传输的数据进行删除、修改或者增 加操作的……”这一罪状表述对应的罪名改称为破坏计算机信息系统数据罪或者 破坏数据罪。详言之,在本文中除非作特别说明,否则如下表述具有相同的意义: 非法获取计算机信息系统数据罪与非法获取数据罪、破坏计算机信息系统数据罪 与破坏数据罪。 1 一旦将本文第二节中笔者选择的数据犯罪研究立场与刑事成文法的内容相 结合,我们便可以进一步对数据犯罪作出限缩性的刑法解释,把数据犯罪狭义说 的定义调整为:违反国家规定,以计算机信息系统中存储、处理或者传输的数据 为行为对象实施的非法获取、删除、修改或者增加的违法犯罪行为。这里的违法 犯罪行为包括犯罪行为和属于刑法分则规定的行为类型但未构成犯罪的违法行 为。 2 须说明,如若不是从解释论立场出发,本文所给出的定义会略显狭隘,例如 在域外已经过比较广泛讨论的非法数据窝藏行为、非法数据持有行为、不作为数 据犯罪行为以及利用非技术手段获取、毁损数据的行为都应该被定义纳入其中, 以进入到数据犯罪的讨论中。但也正如刘仁文教授在论非法利用个人信息行为入 罪问题时提到的,“由于涉及一种新的行为方式的增设,已经不能通过司法解释 的方式来实现入罪,否则有违罪刑法定的原则,应采用立法方式,即下一次刑法 修正案时,将非法使用公民个人信息的行为与非法获取、出售和提供公民个人信 息的行为相并列,使其共同成为侵犯公民个人信息罪的规制对象。” 3在数据犯 1 正如赵秉志教授所言,刑法理论研究和刑事法律或者刑事司法解释毕竟不是完全同一的问题,理论研究 不应以司法解释或者法律已有规定或定论而归于终结,理论研究的持续性与深入性是可以影响到刑事立法 发展趋势的。本文也是从这个角度出发,将第 286 条设定为三个罪名,而不是一个罪名并对计算机犯罪进 行研讨。参见赵秉志、于志刚著: 《计算机犯罪比较研究》 ,法律出版社 2004 年版,第 136 页。 2 两高 2019 年发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题 的解释》 3 刘仁文: 《论非法使用公民个人信息行为的入罪》 ,载《法学论坛》2019 年第 6 期,第 125 页。 35 罪的研究中,司法解释同样不能将刑法中未列明的行为方式作为一种新的犯罪行 为进行增设,解释论中也不可随意将之纳入到数据犯罪中,以防止留给刑事司法 人员一种错误的认识。当然,在具体的论证中,对现行刑法的解释中通常也包含 着对其的反思性批判,“对刑事立法的批判与解释并不是对立关系,批判性解释 可以使刑事立法的形式缺陷得到弥补,也能为刑事立法的完善奠定基础。” 1然 而,在刑法没有明文规定的情况下,超出法律条文的字面含义进行解释,从而为 惩治新型网络违法行为提供规范根据,有悖于罪刑法定原则。该种做法并不可取。 因此,即使在网络社会,罪刑法定原则仍是不可逾越的藩篱, 2这也是本文研究 的出发点与落脚点。 二、概念界定的理由说明 与狭义说相比,本文作出的数据犯罪概念界定有三点特别考虑:其一,尊重 现行法的规定,将“数据”细化为“计算机信息系统中存储、处理或者传输的数 据”。数据一词的含摄范围较为广泛,既包括计算机信息系统中存储、处理或者 传输的数据,也包括非计算机信息系统中存储、处理或者传输的数据,而是否为 计算机信息系统数据的判断则应以《计算机犯罪解释》为标准,即看存储、处理 或者传输数据的设备是否具有自动处理数据功能。申言之,在不具有自动处理数 据功能的设备中存储、处理或者传输的电子数据没有被现行刑法视为保护对象, 这点也是我国与德国等刑法中将所有数据存储工具中的电子数据均作为刑法的 保护对象的立法规定之不同处。 其二,本文定义考虑到了刑法学与犯罪学定义的区别。本文认为强调本点并 不多余,对数据犯罪的理解究竟持刑法学的视角,还是犯罪学的视角对含义的表 达以及研究的展开会产生直接的影响。犯罪学者在进行含义界定时并不会刻意考 虑到将尚未被立法者明文规定为犯罪的行为排除在某一类犯罪含义外,相反,犯 罪学上的犯罪不仅包括已经被刑事法律予以成文化规定的犯罪行为,而且包括尚 未被刑事法律成文化规定,但应被成文化规定、具有严重社会危害性的违法行为。 3 与之不同,刑法学上的犯罪概念强调违法与犯罪的区分,仅仅将已经被刑法分 则类型化的犯罪行为作为关注对象。换言之,刑法学中的数据犯罪概念应尽量以 1 2 3 张明楷: 《刑法理论与刑事立法》 ,载《法学论坛》2017 年第 6 期,第 16 页。 陈兴良: : 《网络犯罪的刑法应对》 ,载《中国法律评论》2020 年第 1 期,第 95 页。 参见刘广三著:《计算机犯罪论》,中国人民大学出版社 1999 年版,第 51-52 页。 36 刑事成文法文本为基础进行提炼与总结,而犯罪学的数据犯罪概念只需要表明研 究的是针对数据实施的严重违法或犯罪行为即可,在行为类型、行为手段、行为 结果等方面不需要受到现行刑事成文法文本的约束。也是因此,数据犯罪立法论 者倾向于在犯罪学意义上使用数据犯罪,即不仅考察既有的数据犯罪立法,而且 会考虑将具有严重危害性的数据违法行为犯罪化的问题。数据犯罪司法论者则倾 向于在刑法学意义上使用数据犯罪,仅关注既有刑法中数据犯罪条文的规范适用 问题。本文既然采用了解释论的研究思路,就应该强调所研究的数据犯罪为成文 法意义上的数据犯罪,包括犯罪行为和属于刑法分则规定的行为类型但尚未构成 犯罪的违法行为,不包括虽违法但尚未被刑法分则规定为犯罪行为的数据失范行 为。 其三,本文增加了“违反国家规定”的要件。由于《刑法》第 96 条明确了 国家规定的制定主体, 1因此,本文通过对现行有效的规范性文件进行检索与筛 选后可知,目前可以被称作数据犯罪之“国家规定”的规范性文件大致包括如下 两种:一种是由全国人大及其常委会制定的法律与决定,主要包括《民法总则》 《治安管理处罚法》《全国人大常委会关于加强网络信息保护的决定》《网络安 全法》《密码法》《电子签名法》《关于维护互联网安全的决定》等。另一种是 由国务院制定的行政法规等,如《计算机信息系统安全保护条例》《电信条例》 《征信管理条例》《计算机软件保护条例》等。由于涉及数据保护的规范性文件 总体数量较多,这要求司法者们在进行个案审判时须对相关国家规定进行充分的 检索与筛选,并将作出行为违反国家规定判断时依据的条款在裁判文书中进行载 明。因为“违反国家规定”作为法定的规范性构成要件要素,对行为人的行为在 具体个案中是否真的违反了国家规定的判断将直接影响到行为人的实体性权利。 因此,对于实行行为是否属于违反国家规定的判断应持严格限制解释的立场,只 违反地方性法规或各部委规章的行为不属于违反国家规定,司法者对行为人行为 是否违反国家规定的判断存疑时应层报最高院,由最高院作出指示。总之,我们 应以防止“假参照”与“不参照”国家规定进行入罪定性的问题出现在数据犯罪 司法适用领域为解释目标。 2 1 “本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定 的行政法规、规定的行政措施、发布的决定和命令。” 2 参见欧阳本祺: 《对非法经营罪兜底性规定的实证分析》 ,载《法学》2012 年第 7 期。 37 第二章 数据犯罪司法适用中存在的问题与成因 “不断解释刑法,持续激活刑法,而不是随意批评刑法,更不应择机嘲弄刑 法,应当成为互联网时代的刑法学共识。” 1解释论的研究以数据犯罪司法适用 存在争议为前提,如果数据犯罪司法适用不存在争议,那么,针对数据犯罪展开 的解释论研究也将不具有任何价值。为明确数据犯罪的司法适用是否真的存在问 题,以及存在何种问题,本章对数据犯罪进行了详实的实证分析。经分析,本文 发现数据犯罪司法适用领域存在“分歧的广度与深度,委实超出正常的阈值”, 2 数据犯罪之间、数据犯罪与其他计算机犯罪之间以及数据犯罪与利用计算机实 施的其他犯罪之间都存在着严重的适用争议问题。 第一节 数据犯罪司法适用的宏观现状 本文的实证研究案例均来自于“威科先行”法律信息库。同时,与本文写作 进度相符,本文选取的非法获取数据罪的案例截止至 2020 年 6 月 18 日。经将关 键词设定为“非法获取计算机信息系统数据罪”进行全文精确检索,共得到各类 法律文书 1321 份,刑事案由共计 1201 份。其中,判决书 847 份、裁定书 441 份、 决定书 7 份、其他有 16 份。 3同理,将破坏数据罪的案例选取时间设定在 2020 年 6 月 23 日前,关键词为“破坏计算机信息系统罪”,经过全文精确检索,共 得到案例 1649 份,刑事案由案件共计 1575 份。其中,判决书 1082 份、裁定书 490 份、决定书 11 份、其他有 53 份。4通过对上述司法判例进行分析,本文对数 据犯罪司法实践总体样态作出如下判断。 一、司法适用日渐活跃 从检索数据可知,近些年数据犯罪罪名的司法适用呈现活性化的状态。非法 获取数据罪是在 2009 年由立法者于《刑法修正案(七)》中增设,自 2009-2015 1 徐剑锋: 《互联网时代刑法参与观的基本思考》 ,载《法律科学(西北政法大学学报) 》2017 年第 3 期。 参见叶良芳: 《法条何以会“竞合”?—一个概念上的澄清》,载《法律科学(西北政法大学学报) 》2014 年第 1 期。 3 本文所研究的与非法获取计算机信息系统数据罪、破坏计算机信息系统罪的相关案例,并非仅指最终以 破坏计算机信息系统罪定罪的判例,而且还包括公安机关、检察机关、辩护人认为成立非法获取计算机信 息系统数据罪,而法院予以变更罪名的情形。 4 刑事裁定书、调解书、决定书不在本文研究范围以内。 38 2 年间,“威科先行”数据库收录的涉及该罪的刑事判决书共计 221 份,年均收录 不到 30 份。而自 2016 年开始,“威科先行”数据库收录的涉及该罪的刑事判决 书数量激增,2016 年是 140 份,2017 年是 269 份,2018 年是 268 份,2019 年是 360 份,而 2020 年上半年是 60 份。其中,2016 年至 2017 年“威科先行”数据 库收录的刑事判决书数量增福较大,从 2016 年的 140 份剧增至 2017 年的 269 份,增幅为 92%。2020 年上半年“威科先行”数据库涉及非法获取数据罪的刑 事判决书之收录数量下降应与新冠疫情期间,法官审判工作受阻相关。(图 1) 图 1 分年适用情况统计图 400 360 300 200 100 269 221 268 140 60 0 1997 年《刑法》第 286 条为破坏计算机信息系统罪,2001-2015 年“威科先 行”数据库中共收录涉及破坏计算机信息系统罪的刑事判决书共计 318 份。尽管 由于前期计算机信息技术不完善,裁判文书上网工作进程等原因限制,统计数据 并不能完全同实际司法审判样态相一致,但是 15 年间只有 318 例刑事判决书被 收录无疑说明了早期时候破坏计算机信息系统罪的适用率偏低。与非法获取数据 罪相似,“威科先行”数据库收录的涉及到的破坏计算机信息系统罪的刑事判决 书数量从 2016 年开始大幅增加。2001-2015 年共计 318 份,2016 年为 179 份, 2017 年为 303 份,2018 年为 400 份,2019 年为 382 份,2020 年半年期为 64 份。 (图 2) 39 图 2 破坏计算机信息系统罪司法适用情况 500 400 300 400 318 382 303 200 179 100 64 0 由于第 286 条第 2 款中“违反国家规定,对计算机信息系统中存储、处理或 者传输的数据进行删除、修改或者增加”之立法罪状对应的罪名才是本文所称的 破坏数据罪。因此,为考察破坏数据罪在涉及破坏计算机信息系统罪整体司法适 用中所占比重,本文对以时间先后为标准选取的 120 份刑事判决书进行了逐一分 析。经统计,在最终以破坏计算机信息系统罪定罪量刑的 81 份刑事判决书中, 适用条款为第 286 条第 1 款的有 27 份刑事判决书占比 34%,适用条款为第 286 条第 2 款的有 49 份刑事判决书占比 63%,适用条款为第 286 条第 3 款的有 2 份 刑事判决书占比 3%。(图 3)由此可知,第 286 条第 2 款(即破坏数据罪)是 破坏计算机信息系统案件定罪的主要依据。因此,被刑法学者们广泛诟病的破坏 计算机信息系统罪的司法适用活性化、口袋化本质上主要是指第 286 条第 2 款的 司法适用活性化、口袋化。 图 3 破坏计算机信息系统罪各款适用情况 3% 34% 第一款 第二款 63% 第三款 40 本文认为“威科先行”数据库收录的数据犯罪刑事判决书数量的增减趋势征 表出了数据犯罪罪名的司法适用活性化的特征。数据犯罪的司法适用活性化特征 又说明了伴随着计算机网络技术的发展针对数据实施的犯罪行为数量不断增加, 也在一定程度上彰显了国家对非法获取、删除、修改或者增加计算机信息系统数 据行为的强力打击态度。 二、案件类型丰富多样 由于精力有限,笔者没有办法对所有的涉及到非法获取数据罪,以及破坏数 据罪的刑事判决书进行逐一分析。因此,笔者以时间先后为标准选取了 120 份涉 及非法获取数据罪的刑事判决书进行深入分析。经过对这些司法裁判案例的逐一 阅读、提炼与分析后,笔者发展实践中涉及到非法获取数据罪的刑事案件呈现出 案件类型多样化的特征。仅仅针对 120 份刑事判决书,本文以行为目的为标准便 可提炼出 41 种不同的案件类型,并且大多数案件类型仅对应 1 份刑事判决书(表 1)。 表 1 非法获取计算机信息系统数据案件类型统计 行为类型 1 数量 内外勾结下载公司数据 1 非法获取并出售游戏账号密码 15 非法获取数据开发生意参谋等软件 2 非法获取游戏账号并转售游戏币 1 29 拦截数据非法获取优惠劵 4 拦截数据获取 IOS 支付凭证转售谋利 4 利用职务便利获取 CDKEY 修改指令发放游戏币 5 利用职务便利获取考题信息转售谋利 1 利用木马程序安装网站后门获取数据 1 获取、出售游戏以外 QQ 等登录账号密码 8 非法侵入网络摄像头 1 上传寄生虫软件发布违法信息 1 撞库是黑客通过收集互联网已泄露的账户和密码信息,生成对应的字典表,采用技术手段尝试批量登陆 其他网站后,得到一系列可以登录的账户和密码。简而言之,很多用户在不同网站使用的是相同的账号密 码,因此黑客可以通过获取用户在 A 网站的账户从而尝试登陆 B 网站,实现撞库攻击。 41 上传木马获取网站控制权限后,对外出售 1 非法获取并转移虚拟币 8 解锁苹果手机 ID 4 下载拷贝医药信息数据 1 获取游戏源代码 1 侵入数据库获取学生信息 2 部署 SD 程序抓取 cookie 数据 1 加粉软件,强制加粉 2 出售破解版电视机顶盒 1 开发软件插件(云盘等) 2 开卡软件(黑卡)、靓号 2 利用职权获取收集号码用于推广 1 侵入系统获取可转换红包金额的二维码数据 1 获取苹果手机出厂零部件编码 3 侵入税务系统,修改个人完税信息 2 拦截数据,虚构身份信息开设银行账户 1 破解技术限制,获取公司电脑技术资料 1 开发破解版软件 1 侵入省住建厅网站进行建筑师虚假注册 1 侵入航空服务公司内网获取信息 1 侵入公安内网获取交警大队 110 接警系统账号密码 1 侵入交警大队系统审验驾驶证 1 破解驾驶培训信息 1 入侵房管局系统,获取公民购买楼盘数据信息 1 破解支付宝人脸认证服务 1 侵入中国移动河南公司管理积分的网站,获取积分 1 侵入中国移动获取电话录音 1 获取英雄联盟角色信息供查询 1 拦截短信,盗刷银行卡 1 案件类型多样的特征说明非法获取数据罪在司法实践中的适用范围较广,并 没有如同某些学者所言的只能适用于非法获取“身份认证信息”领域。1经分析, 1 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 42 本文发现尽管司法实践中牵涉到非法获取数据罪的刑事案件犯罪案件类型多样, 但还是有部分案件类型占据了较大的比重。比如,非法获取游戏账号密码后销售、 转移账户内游戏币的案件共 30 例,占据全部案件的 25%;非法获取、出售游戏 账号密码或者 QQ、微博、邮箱等登陆账号密码的案件共 23 例,占据全部案件的 19%;针对苹果手机公司产品实施的非法解锁等犯罪行为共计 11 例,占据全部 案件的 9%。其中,非法解锁苹果收集 ID 案件 4 例,非法获取苹果设备出厂编码 案件 3 例, 非法拦截 IOS 游戏交易数据,转售谋利案件 4 例;非法获取他人账 户转移虚拟币的行为共计的案件共 8 例,占据全部案件的 6%;利用职务便利修 改指令发放游戏币的行为共计 5 例,占据全部案件的 4%。(图 4) 图 4 非法获取计算机信息系统数据犯罪主要类型占比统计 非法获取账号密码并出 售 非法获取游戏币并出售 19% 36% 非法获取他人虚拟币 25% 4% 9% 7% 针对苹果公司产品实施 非法解锁等行为 利用职务便利修改游戏 指令发放游戏币 其他类型 前文提到,本文以时间先后为顺序也选取了 120 份涉及破坏计算机信息系统 罪的刑事判决书,这些案件中最终以破坏计算机信息系统罪定罪的案件有 81 例, 其中有 49 例是适用破坏数据罪进行定罪量刑的案件。通过对这些判例进行分析, 我们可以发现以破坏数据罪定性的刑事案件案件类型更为多样,除了修改完税证 明、公积金证明等非法获取购房资格类案件达到 10 例,占比 33.3%外,其余案 件类型中最高的为如下三类:内外勾结,违规消分、买卖驾驶证积分、开发与使 用医院挂号抢号软件、离职后删除公司数据等,均为 3 件,占比 6%。(表 2) 表 2 破坏数据罪案件类型统计 案件类型 数量 修改完税证明、公积金等获取购房资格 10 43 使用外挂,越过公安部门实名上网监管 2 使用技术手段,在政府网站挂上虚假职称 信息 2 修改传播航行轨迹,逃避海关监管 1 侵入系统篡改环境监测数据 2 内外勾结,违规消分、买卖驾驶证积分 3 内外勾结,修改树龄 1 非法添加网站数据,提高百度搜索排名 1 篡改他人高考志愿 1 修改出租车计价器参数 1 修改航空公司网站源代码,取消与机票绑 定的航空意外险 1 避开验证的 APP 账号注册机 1 流量劫持:跳转网页 1 开发与使用医院挂号抢号软件 3 修改离职前账号密码,进行非法充值 1 离职删除公司数据 3 内外勾结,违规进行车辆年审 1 运行个人编写监测软件,致使医院系统崩 溃 1 篡改年限和类别,完成建筑师注册 1 违规修改企业数据(市场监督管理局人 员) 1 使用游戏外挂,并出售金币行为 1 以营利为目的,提供删帖服务 1 修改数据,进行电商商品推送 1 FD 抓包软件修改数据进行充值 1 离职后登录系统,修改网吧充值赠送标准 1 编写可获取最高 root 权限软件,修改数据 骗取首单优惠 1 利用工作之便,居住证管理系统输入虚假 流动人口信息 2 离职后登陆系统修改重置账户余额 1 录入套牌车辆信息系统,并删除违章记 录,从中获取利益 1 非法篡改抖音账号 1 44 三、保护对象范围广泛 数据犯罪司法适用的另一个宏观特征是数据犯罪保护对象广泛。司法者在适 用数据犯罪罪名保护计算机信息系统数据时并没有将数据犯罪局限的理解为对 特定类型的计算机信息系统数据的保护,而是将之视为可以用来保护个人数据、 企业数据与国家数据等全部类型数据的刑法罪名。对个人数据提供保护的案件有 “北京瑞智华胜股份有限公司、周嘉林等非法获取计算机信息系统数据案”等, 瑞智华胜案中被告人(单位)利用程序未经授权抓取淘宝网等网站用户的登录数 据,并利用其研发的爬虫软件、加粉软件、远程访问软件等非法登录被抓取数据 用户的网站账户,借以进行强制性的加粉、订单的爬取等犯罪行为。 1对企业数 据提供保护的案件有“梁少鹏等非法获取计算机信息系统数据案”等,梁少鹏案 中被害公司通过出台内部文件与进行技术封锁的方式限制本公司内部员工将公 司电脑上的数据拷贝到私人数据存储介质。然而,两被告合谋利用技术手段未经 授权绕过被害公司设置的防止非法数据拷贝的技术封锁限制,把公司电脑上的大 量数据拷贝到私人数据存储硬盘。 2对政府数据提供保护的案件有“朱国胜等非 法获取数据案”等,本案中被告人超越了其所被授权的维护建设公安网的权限, 利用 VPN 跳转的方式进入到交警公安网,并把交警 110 接警系统的账号与密码 提供给他人以获取利益。 3从本文所列举的案件可以看出,司法者没有将数据犯 罪中的计算机信息系统数据限缩为特定类型的数据,既未如同部分研究非法获取 数据罪的学者们一样将之限缩为“身份认证信息”或者说进行“去识别化”“去 创新性”“去财产化”处理,也没有如同部分研究破坏数据罪的学者们一样主张 将之限缩为与计算机信息系统功能相关的数据或者说影响到计算机信息系统运 行安全的系统数据,而是将所有类型的计算机信息系统数据都视为数据犯罪的保 护对象。 1 涉案 SD 软件运行后可实现对指定网卡网络传输流量数据包进行获取并解析的功能。涉案 redis 数据库是 指完全开源免费的,遵守 BSD 协议的,高性能 key-value 数据库。而 key-value 数据库则是键值数据库, 可以将整个数据库理解为大的 map, 每个键都会对应一个唯一的值。 参见浙江省绍兴市越城区人民法院 (2019) 浙 0602 刑初 636 号刑事判决书。 2 参见浙江省宁波市北仑区人民法院(2019)浙 0206 刑初 640 号刑事判决书。 3 参见浙江省义乌市人民法院(2019)浙 0782 刑初 271 号刑事判决书。 45 四、小结 由于目前数据犯罪的司法适用整体呈现出司法适用活跃、案件类型多样与保 护对象广泛的特征。数据犯罪这些特征的存在一定程度上征表出了数据犯罪解释 论研究的实践价值,因为在不断出现的数据犯罪案件中,司法者以及其他主体对 数据犯罪的理解分歧频出,这些分歧正是数据犯罪解释论研究所要解决的问题。 同时,前述特征的存在导致学界与实务界针对非法获取数据罪以及破坏数据罪提 出了“罪名口袋化”的质疑。 1基于该质疑,学者们提出降低数据犯罪罪名适用 率,以目的行为对数据犯罪进行定罪,提高数据犯罪的定罪量刑门槛以及限缩数 据犯罪保护对象范围等观点。对此,本文认为一旦某一罪名被贴上了口袋罪的标 签常会使司法人员陷入到一适用该罪名处理具体案件便会受到批评的尴尬境地。 因而,对于学界提出的非法获取数据罪与破坏数据罪已经成为口袋罪的观点,我 们应予以特别关注,并详细辨析非法获取数据罪与破坏数据罪是否已经成为了口 袋罪。在下文中我们将对这种质疑观点的合理性进行专门论证。 第二节 数据犯罪司法适用的微观问题 一、同一案件定性争议较大 经过分析,笔者发现在 120 份涉及到非法获取数据罪的刑事判决书中,出现 适用非法获取数据罪还是其他罪名之定性争议的刑事判决书共计 38 份,占全部 案件的 31%。2其中,与盗窃罪争议 10 次、与诈骗罪争议 2 次、与非法控制系统 罪争议 8 次、与破坏计算机信息系统罪争议 12 次、与侵犯公民个人信息罪争议 11 次、与买卖国家机关公文罪争议 2 次、与妨害信用卡管理罪争议 1 次、与非 法提供信用卡信息罪争议 1 次、与提供侵入、非法控制计算机信息系统程序、工 具罪争议 3 次、与职务侵占罪争议 2 次(见图 5)。 1 参见李遐桢、侯春平: 《论非法获取计算机信息系统数据罪的认定—以法解释学为视角》 ,载《河北法学》 2014 年第 5 期等。 2 需要说明的是,一般情况下,一个案子主要存在两种不同罪名的争议,但在个别案件中公安机关刑事拘留 罪名、检察机关批准逮捕罪名、辩护人意见和法院最终认定罪名均不一致或者其中三方意见不一致,便涉 及三个罪名 或四个罪名之争议,为了更加如实、客观反映统计情况,本文将前者定义为两次罪名争议,将 后者定义为三次或四次罪名争议,因此罪名争议次数就会大于公安机关、检察机关、辩护人意见和法院最 终认定罪名之间不一致情形之数量。 46 图 5 非法数据罪与其他罪名适用争议情况 在 49 个最终以破坏数据罪定罪的案件中,出现定性争议的案件共 22 个,占 全部案件的 44%。除去主张无罪的案例外,与非法获取数据罪争议 9 次、与伪 造、变造国家机关公文罪争议 3 次、与诈骗罪、盗窃罪各争议 2 次、与污染环境 罪、非法控制计算机信息系统数据罪、伪造国家机关证件罪、非法经营罪各争议 1 次(见图 6)。 图 6 破坏数据罪与其他罪名适用争议情况 从上述统计数据可以看出,数据犯罪内部、数据犯罪与其他计算机犯罪以及 数据犯罪与利用计算机实施的其他犯罪之间均存在着严重的适用争议问题。这些 适用争议问题的出现既可能是由于各方诉讼主体对技术性数据犯罪行为的规范 属性把握不清所致,也可能是由于各方诉讼主体对数据犯罪与其他犯罪之间的罪 间边界把握不清所致,还可能时各方诉讼主体对数据犯罪的保护法益与构成要件 47 的理解不清所致。然而,无论是何种原因导致了同一案件定性争议较大问题的存 在,我们都需要对这一数据犯罪司法适用问题给予足够的关注。此外,对同一案 件中可能存在适用争议的罪名数量进行考察可见,目前较为常见的是同一案件中 针对一个行为的刑法定性出现两个罪名的适用争议。比如,在“莫彬案非法获取 数据案”中,公安机关认定构成非法获取数据罪,检察院认定构成非法控制系统 罪,法院最终采纳了检察院的定性建议。 1然而,同一案件中针对一个行为的刑 法定性出现三个罪名、四个罪名甚至更多罪名适用争议的案件也较为常见,甚至 在同一个案件的诉讼过程中,公安机关、辩护律师、检察机关、一审法院与二审 法院相互之间均存在着适用争议的案件也较为常见。比如,在“赵耀庆盗窃案” 中,被告人赵耀庆连续多次实施利用短信拦截器等设备拦截他人手机短信,并盗 刷他人银行卡的行为。对此,公安机关认定被告人构成诈骗罪,一审中检察机关 认定构成盗窃罪、侵犯公民个人信息罪以及非法获取数据罪,一审法院则认定被 告人手段行为同时构成非法获取数据罪与侵犯公民个人信息罪,目的行为构成盗 窃罪,构成牵连犯应该从一重处。检察机关提起抗诉,认为一审法院定性不当, 应该以盗窃罪与侵犯公民个人信息罪对被告人进行数罪并罚。二审法院支持了检 察机关的抗诉意见。 2在这一个案例中共出现了诈骗罪、盗窃罪、非法获取数据 罪、侵犯公民个人信息罪等四个罪名,争议涉及到公检法律四方主体,罪数形态 问题上又涉及数罪并罚、一罪论处与牵连犯问题。本文认为尽管刑事司法活动归 根到底是人在自由意志支配下实施的主观能动性活动,对具体个案的判断受制于 判断者的学识与经验,因此,被告人、辩护人、公安人员、检察人员与审判人员 之间很可能会对同一行为作出不同的定性。甚至,由于各方主体的利益诉求与职 责权限不同会选择性的对法律条文进行解释,以求实现自我利益最大化。因而, 具体个案定性中出现适用罪名争议属于正常现象。但是此种在一类犯罪中存在大 范围的罪名适用争议的现象不得不引起我们研究者的注意,要求我们去思考如下 问题:究竟是什么原因导致数据犯罪司法裁判中各方诉讼主体针对同一个案件的 定性会出现如此大的争议?又是什么原因导致数据犯罪司法适用领域存在普遍 1 本案中检察机关将非法获取计算机信息系统数据罪与非法控制系统罪合并为一罪进行表述,但检察院指 控事实为“被告人莫彬利用从网上购买的木马软件,非法控制计算机信息系统 20 台。”可见,其实际上所 欲指控的罪名为非法控制系统罪。该案件也体现出了实践中还存在着第 285 条第 2 款究竟为一罪还是两罪 的理解争议,具有一定典型性。参见山东省青岛市城阳区人民法院 2020 鲁 0214 刑初 44 号刑事判决书。 2 参见陕西省阳泉市中级人民法院(2019)晋 03 刑终 95 号刑事判决书。 48 的案件定性争议?在刑法解释论进路下我们应如何进行解释才能尽可能的消除 数据犯罪个案定性争议? 二、同案不同判的问题突出 同案同判是刑事司法活动的基本要求,是法律适用中平等原则的外化表现。 当然,同案同判只是一种常用说法,其实质内涵指向的应是“类案类判”,毕竟 就像人不会两次跨入相同的一条河流相似,世上也绝对没有完全相同的司法案件。 在司法实践中,一旦出现同案不同判的现象不仅会使行为人感受不到法律的平等, 比较出结果上的不对等, 1影响刑法特殊预防机能的实现,而且还会使社会一般 人丧失对自己行为的预测可能性,因为尽管已经有了明确的成文刑法,但社会一 般人仍无法预测自己的行为究竟触犯了何种罪名,会受到何种处罚,最终将会造 成国民行为主动性的萎缩,影响刑法一般预防功能的实现。 2更为严重的是,同 案不同判还将危及一般人的法律信仰。 3经过对数据犯罪司法裁判案例的考察, 笔者发现在数据犯罪领域内存在着严重的同案不同判问题。对此,笔者可以“盗 窃游戏币”“利用 FD 软件实施数据犯罪”等主题为例进行深度说明。 (一)盗窃游戏币 为保证本文结论的全面性,此处对“盗窃游戏币”的司法判例进行了重新检 索。同时,为突出数据犯罪同案不同判问题的严重性,笔者又将“盗窃游戏币” 司法判例的发生地域限缩于案件数量最多的“浙江省”。经分析,浙江省区域内 针对“盗窃虚拟币”这一类犯罪行为的定性,不仅没有上下级关系的各中级法院 与基层法院之间存在争议,而且有上下级关系的中级法院与基层法院之间也存在 争议,甚至同一法院内部不同年份的刑事判决也存在争议。 表 3 浙江省域内“盗窃游戏币”定性统计 4 裁判结果 1 涉及法院 案号 参见孙海波: 《“同案同判”:并非虚构的法治深化》 ,载《法学家》2019 年第 5 期。 参见张明楷著: 《罪刑法定与刑法解释》 ,北京大学出版社 2009 年版,第 20 页。 3 参见丁爱萍: 《“同案不同判”危及公众法律信仰》 ,载《人民政坛》2007 年第 8 期。 4 为便于读者查询,涉及法院排列顺序与案号排列顺序一致。同一法院相似结果的若干判例本文只做一次 统计。 49 2 (2020)浙 0105 刑初 61 号; 杭州市拱墅区人民法院;舟 (2018) 浙 0903 刑初 244 号; 山市普陀区人民法院;浦江 (2017) 浙 0726 刑初 538 号; 县人民法院;丽水市中级人 (2017)浙 11 刑终 67 号; 民法院;义乌市人民法院; (2017)浙 0782 刑初 1749 台州市黄岩区人民法院;奉 号; (2016)浙 1003 刑初 377 化市人民法院…… 号;(2015)甬奉刑初字第 盗窃罪 661 号…… (2019)浙 03 刑终 1907 号; 非法获取数据罪 温州市中级人民法院;金华 (2019) 浙 0702 刑初 858 号; 市婺城区人民法院;苍南县 (2019) 浙 0327 刑初 686 号; 人民法院;金华市中级人民 (2018)浙 07 刑终 1219 号; 法院;舟山市定海区人民法 (2017) 浙 0902 刑初 322 号; 院;宁波市宁海县人民法院; (2018) 浙 0226 刑初 115 号; 台州市中级人民法院;丽水 (2016)浙 10 刑终 555 号; 市中级人民法院…… (2015)浙丽刑终字第 125 号…… 表 4 同一法院不同裁判结果对比 案号 裁判结果 主要案情 被告人偷看他人游戏账号密 码,并登录转卖将 3000 万两 (2015) 金婺刑初字第 433 号 盗窃罪 游戏因子以 2640 元的价值出 售给他人。 被告人用手机拍下他人账号 (2017)浙 0702 刑初 726 号 非法获取数据罪 密码, 并登录转卖 20xxx00 万 两游戏银子,获利 20392 元。 50 对裁判文书进行深入研读可知,不同法院在选择适用盗窃罪与非法获取数据 罪进行犯罪定性时作出的裁判说理针锋相对。在“林某军盗窃案”中,辩护人提 出被告人盗窃的不是虚拟财产,只是游戏币,因此,被告人的行为应被认定构成 非法获取数据罪,而不是以保护财产利益为目的的盗窃罪。法官则认为被害单位 所运营的游戏在省文化厅已经备案,且被害单位的营业范围包括利用网络经营游 戏产品。在被害单位对外提供的游戏服务中,玩家想要获得游戏币并利用所获得 的游戏币获得相对应的虚拟服务,需要向被害单位支付相应的对价费用。因此, 游戏币是盗窃罪的侵犯客体,被告人的行为应构成盗窃罪,而不是非法获取数据 罪。1与之不同,在“张政等非法获取数据案”中,辩护人则提出游戏币具有财产 属性,不能因为游戏币同时属于电子数据便排除适用盗窃罪的可能性。法官则针 锋相对的提出游戏货币只是网络游戏公司提供的虚拟服务而已,在规范意义上属 于计算机信息系统数据,因此,被告人行为应构成非法获取数据罪。 2 由于盗窃罪与非法获取数据罪第一档刑期都是三年以下,所以宣告刑落在本 档时或许差异不大。比如“张政等非法获取计算机信息系统数据案”中,被告人 将他人游戏账户中的游戏装备变卖了 24450 元,法院认定构成盗窃罪,判处有期 徒刑一年,并处罚金人民币四千元。3而“王泽勇等非法侵入计算机信息系统案” 中,被告人利用木马程序非法获取他人游戏账号密码后,将他人游戏账户中的游 戏装备变卖了 36148 元,法院认定构成非法获取数据罪,判处有期徒刑一年零八 个月,并处罚金人民币四万元。 4显然,如果是在两个罪名的第一档刑期内进行 量刑,相同涉案数额情形下宣告刑的差异并不算太大,自然也不会引起较多的争 议。然而,如果超越了第一档量刑幅度,由于非法获取数据罪最高量刑档次仅为 三到七年,而盗窃罪最高可以达到无期徒刑,此时分别以两罪定性作出的宣告刑 判断差异将特别明显。比如,“张金潘等盗窃案”中,被告人利用木马程序盗取 并变卖他人 VDS 虚拟币获利 720000 元。法院认定被告人构成盗窃罪,判处有期 徒刑十年六个月,并处罚金一万五千元。 5而在另外一起案情基本相同的案件, 即“黎某等非法获取计算机信息系统数据案”中,被告人利用黑客手段盗取并变 1 2 3 4 5 参见浙江省杭州市拱墅区人民法院(2020)浙 0105 刑初 61 号刑事判决书。 参见浙江省金华市婺城区人民法院(2019)浙 0702 刑初 696 号刑事判决书。 参见浙江省金华市婺城区人民法院(2019)浙 0702 刑初 696 号刑事判决书。 参见浙江省金华市婺城区人民法院(2019)浙 0702 刑初 858 号刑事判决书。 参见湖南省邵东县人民法院(2019)湘 0521 刑初 495 号刑事判决书。 51 卖他人“快捷币”虚拟币获利 7537783 元。法院认定被告人构成非法获取数据罪, 判处有期徒刑四年,并处罚金 50 万元。1通过对比可知,在同样是利用木马程序 等黑客技术手段盗取他人虚拟币,并予以出售获利的刑事案件中,后一案件的获 利数额是前一案件中的 10 倍,量刑方面(自由刑)却不足前一案件的一半。此 种情形下,我们很难想象前一案件的被告人在知道后一案件的裁判结果后如何才 能心甘情愿的“服判”,如何才能体会到司法的公平正义。 (二)利用 Fiddler 软件实施数据犯罪 利用 Fiddler 软件实施数据犯罪的犯罪目的多样(Fiddler 工作流程如图 7 所 示),其中,较为典型的是利用 Fiddler 工具抓取数据并修改手机话费等充值数 据的行为。 2 图 7 Fiddler 工作示意图 3 在“威科先行”数据库中,以“Fiddler”为关键词进行深度检索后,可发现 针对使用 Fiddler 工具抓取数据并修改手机话费等充值数据的行为的定性存在如 下几种分歧:(1)盗窃罪。4(2)破坏计算机信息系统罪(适用第 2 款)。5(3) 1 参见辽宁省阜新蒙古族自治县人民法院(2019)辽 0921 刑初 120 号刑事判决书。 Fiddler 软件,是 Http 抓包工具之一,作为 http 协议调试代理工具,能够记录所有客户端与服务器端的 http 和 https 请求,监听系统的 http 网络数据流动,设置断点,修改输入输出数据。在使用 Fiddler 软 件的情形下,客户端的所有请求都要先经过 Fiddler,再发送到相应的网络服务器。与之相反,网络服务器 的所有响应,都会经过 Flidder 发送到客户端。 3 《Fiddler 基础篇之安装、原理、界面布局》 ,载简书网 https://www.jians hu.com/p/14e35d71fca7, 2021 年 1 月 19 日访问。 4 湖南省长沙市芙蓉区人民法院(2018)湘 0102 刑初 817 号刑事判决书、浙江省海盐县人民法院(2018) 浙 0424 刑初 124 号刑事判决书、河北省石家庄市桥西区人民法院(2018)冀 0104 刑初 255 号刑事判决书、 辽宁省大连市甘井子人民法院(2018)辽 0211 刑初 804 号刑事判决书、上海市徐汇区人民法院(2018)沪 0104 刑初 622 号刑事判决书。 5 参见江苏省新沂市人民法院(2018)苏 0381 刑初 625 号刑事判决书、江苏省新沂市人民法院(2018)苏 0381 刑初 579 号刑事判决书、浙江省苍南县人民法院(2017)浙 0327 刑初 1050 号刑事判决书。 52 2 非法获取数据罪。 1在搜索到的判例中,令笔者较为惊讶的是同一审判员,在不 到六个月的时间内对基本相同的两个案件作出了完全不同的判决。在“何越鑫破 坏计算机信息系统案”中,“被告人何越鑫利用北京××科技有限公司用于话费 充值的 APP 客户端存在的系统漏洞,在客户端选择商品下单后,通过 Fiddler 软 件在付款时拦截、中断数据,继而修改价格,在北京××科技有限公司经营话费、 流量 APP 交易平台,以实际支付人民币 0.01 元/笔的价格购得该平台人民币 500 元的话费商品。”何越鑫被判构成破坏计算机信息系统罪。2而在“韩庆庆破坏计 算机信息系统案”中,“韩庆庆利用××有限公司用于话费、流量充值的客户端 存在的系统漏洞,在该客户端选择商品下单后,通过使用 fiddler 软件在付款时拦 截、修改数据,继而修改商品交易价格,后使用账号为××@qq.com 的支付宝, 以每笔实际支付人民币 0.01 元的价格购得该平台人民币 500 元的话费商品。” 韩庆庆却被判构成盗窃罪。 3这种同一审判员针对基本相同的案件判决构成的罪 名却完全相反的司法现象并非司法活动的正常现象,应予以尽可能的消除。除此 之外,由于 Fiddler 软件仅是一种实施犯罪的技术工具,利用该技术抓取数据并 修改数额以进行非法重置只是该软件可以实现的一个功能。实践中,犯罪分子还 经常使用 Fiddler 技术拦截并修改数据,通过减少付款的方式获取网上商城现实 商品的行为,对此类行为也存在定性争议:(1)诈骗罪。4(2)盗窃罪。5(3) 非法获取数据罪。6可见,对于相同的利用 Fiddler 软件实施数据犯罪的行为在司 法实践中存在较大的定性分歧,而此种定性分歧的存在也必将影响到数据犯罪相 关的裁判文书的妥适性,在刑法教义学研究中应认真思考如何才能消除数据犯罪 领域存在的同案不同判的司法适用问题。 此种对类似案件作出差异如此巨大判决的司法现象并不符合刑法所提倡的 罪刑法定与罪刑均衡原则,这要求我们刑法学研究者思考究竟是什么原因造成了 1 参见江苏省南通市通州区人民法院(2016)苏 0612 刑初 838 号刑事判决书。 2 参见江苏省新沂市人民法院(2018)苏 0381 刑初 174 号刑事判决书。 3 参见江苏省新沂市人民法院(2018)苏 0381 刑初 336 号刑事判决书。 参见浙江省杭州市滨江区人民法院(2017)浙 0108 刑初 267 号刑事判决书。类似案例还可参见浙江省杭 州市滨江区人民法院(2017)浙 0108 刑初 220 号刑事判决书、广东省汕头市金平区人民法院(2017)粤 0511 刑初 239 号刑事判决书、山东省临沂市兰山区人民法院(2017)鲁 1302 刑初 1799 号刑事判决书等。 5 参见上海市徐汇区人民法院(2018)沪 0104 刑初 906 号刑事判决书、浙江省宁波市江北区人民法院刑事判 决书(2018)浙 0205 刑初 435 号刑事判决书、 6 参见江苏省南通市通州区人民法院(2016)苏 0612 刑初 838 号刑事判决书。相似的案件还有江苏省南通 市通州区人民法院(2016)苏 0612 刑初 837 号刑事判决书、河南省郑州市金水区人民法院(2018)豫 0105 刑初 876 号刑事判决书等。 53 4 数据犯罪领域同案不同判现象的出现?是立法罪状的设置不善?还是司法定性 操作失当?亦或者是学理知识供给不足?这些来源于司法实践的问题都是下文 写作中的关注重点。 三、数罪并罚问题认识不一 同案不同判的问题,除去表现在同类案件的单一罪名定性争议上,还表现为 对同类案件的罪数形态认定不一上。本文基于对数罪并罚问题的独特性及重要性 的考虑,将之作为单独的问题进行讨论。以对非法获取数据罪的司法适用为例, 我们可以发现具体个案适用中经常会出现一罪与数罪的定性争议。在非法获取数 据罪中,罪数形态定性争议突出表现于侵犯公民个人信息罪与非法获取数据罪之 间的关系。在“刘运光等非法获取计算机信息系统数据案”中,“被告人刘某帮 助他人搭建可以用于盗取 QQ 账户密码的‘信箱’‘鱼站’技术服务,同时也利 用该‘信箱’‘鱼站’非法盗取数据,并出售谋利。”检察机关认为应认定为非 法获取数据罪与侵犯公民个人信息罪两罪,进行数罪并罚。法院则认为刘某搭建 “信箱”“鱼站”的前行为与后续获取数据并出售行为间具有有机联系,都是非 法获取计算机信息系统数据的行为,因此,最终对于刘某的行为应认定构成非法 获取数据罪。 1本案中,法院并没有说明其将前行为与后行为两个可以被分别评 价为犯罪的独立行为作为一个整体有机联系的行为看待的学理依据,即并未说明 是将前后两行为视为牵连犯、包容犯亦或者结合犯。与之不同,在“王祖军非法 获取数据案”中,法院认定被告人利用漏洞、破解账号密码的形式,非法获取包 含有学生姓名、身份证件号码、联系方式、地址等公民个人信息的行为同时符合 两罪犯罪构成,在规范意义上属于想象竞合,因此,应从一重处认定构成非法获 取数据罪。2而在“李模金等诈骗、侵犯公民个人信息、非法获取计算机信息系统 数据”案中,一、二审法院均认定第二被告林凌通过木马程序侵入北京华瑞网研 科技有限公司网站,并从数据库中盗取公民个人信息贩卖给他人的行为触犯了两 个罪名,应按照牵连犯来处理,鉴于两罪的刑罚相同,应以非法获取数据罪定罪。 1 2 参见江苏省东台市人民法院(2018)苏 0981 刑初 309 号刑事判决书。 参见安徽省阜阳市中级人民法院(2018)皖 12 刑终 31 号刑事判决书。 54 1 可见,在涉及到非法获取数据罪的案件中,司法机关对于涉案行为的罪数形态 问题的理解还存在着不小的分歧。 2 表 5 存在罪数争议时,法院定性理由说明统计表 案号 检察院控诉罪名 (2018)苏 0981 非法获取数据罪与侵 刑初 309 号 犯公民个人信息罪 法院审判定罪 最终一罪定罪理由 前行为与后续获取数据 非法获取数据罪 并出售行为间具有有机 联系。 一审:非法控制系 非法控制系统罪、侵 统罪、侵犯公民个 (2018)皖 12 刑 犯公民个人信息罪; 人信息罪; 终 31 号 检察院出具书面意 二审:非法获取数 见,建议维持原判 据、非法控制系统 属于想象竞合,从一重 处,定非法获取数据 罪。 罪 行为触犯了两个罪名, (2018)鄂 05 刑 一审:非法获取数 可按牵连犯处理,两罪 据罪 刑罚相同,原判据此认 二审:维持原判 定被告人构成非法获取 一审:非法获取数据 终 3 号(针对林 罪 某) 数据罪是妥当的。 四、小结 通过上述对判例的分析可知,随着计算机网络技术的不断发展,数据犯罪行 为类型不断演变,已成为目前高发的计算机犯罪行为。司法实践中又由于数据犯 罪实行行为带有技术性特征,导致非技术人员出身的法律从业者常会在判断实行 1 参见湖北省宜昌市中级人民法院(2018)鄂 05 刑终 3 号刑事判决书。 其他还可参见广东省广州市黄埔区人民法院(2019)粤 0112 刑初 346 号刑事判决书;山西省阳泉市中级 人民法院(2019)晋 03 刑终 95 号刑事判决书;四川省成都市中级人民法院(2019)川 01 刑终 956 号刑事 判决书。 55 2 行为性质时出现争议,这又致使两罪呈现出同一案件定性争议较大、同类案不同 判决、罪数争议较大等问题。 以类罪为标准对前述定性争议进行再归纳,可以将之分为三种类型:其一, 数据犯罪内部的适用争议。即非法获取数据罪与破坏数据罪之间的适用争议。其 二,数据犯罪与其他计算机犯罪之间的适用争议。即数据犯罪罪名与非法侵入系 统罪、非法控制系统罪、提供程序、工具罪等罪名之间的适用争议。比如,在“流 量劫持案”中,由于对“破坏”“控制”的规范评价不同,刑法定性时存在破坏 数据罪与非法控制系统罪之间的适用争议。再如“打码撞库案”中,刑法定性时 存在着非法侵入系统罪、非法控制系统罪、提供程序、工具罪之间的适用争议。 其三,数据犯罪与侵犯公民个人信息罪、妨害信用卡管理罪等传统犯罪之间的争 议。比如,“盗窃虚拟财产案”中存在着非法获取数据罪、盗窃罪、破坏数据罪 等罪名的适用争议。非法获取游戏源代码等数据的案件中存在着数据犯罪与知识 产权权犯罪之间的适用争议。这些存在适用争议的罪名间的边界问题是下文所欲 重点研究的内容。 第三节 数据犯罪司法适用问题的成因 想要通过惩治数据犯罪实现对人权的保障,要求在数据犯罪司法适用时做到 定性精准,量刑精准。可是,如前文分析结果所展示的结论一样,数据犯罪司法 适用活性化的背景下,在微观上数据犯罪又呈现出了个案定性、类案定性、罪数 认定等争议问题。因而,我们不得不思考,究竟是什么原因造成前述司法适用问 题的存在?通过什么途径才能够解决前述问题?对此,笔者认为我们可先到数据 犯罪的刑事立法、刑事司法以及刑法学理等三个领域去寻找数据犯罪司法适用问 题的成因。 一、问题表象:立法、司法与学理均有不足 罪刑法定原则要求任何司法活动都必须依照明确的刑事立法展开,离开了明 确的成文刑事立法,任何刑事司法活动都将变成无根之木、无源之水。因此,对 数据犯罪司法适用的成因进行分析须首先回溯到立法本源,即对数据犯罪的刑事 立法科学性进行分析。通过对既有的数据犯罪立法进行科学性分析,笔者认为数 56 据犯罪司法适用中存在的一些问题与刑事立法的不完善密切相关。例如,立法者 将“国家事务、国防建设以及尖端科学技术领域”作为区分非法侵入系统罪与非 法获取数据罪的标准,可是,对于什么是“国家事务、国防建设以及尖端科学技 术领域”的具体内涵却没有进行明确,也没有相应的前置立法进行过明确,这就 导致两罪间存在罪名适用边界不清,罪与非罪关系不明,以及罪间法定刑不均衡 等问题。 根据笔者观察,学者们在讨论两罪区分时常对此问题不以为然,认为既然立 法者已经明确将非法获取数据罪排除在“国家事务、国防建设与尖端科学技术领 域”外,就应该依照罪刑法定原则的要求,照本执行即可。然而,事情远没有看 起来的这么简单。目前,由于立法者没有对判断一个计算机信息系统是否为上述 三大重点领域的计算机信息系统的规则进行明确,为了解决司法实践中存在的司 法者自由判断空间过大给被害人带来罪与非罪、重罪与轻罪的定性判断不具有预 测可能性的问题,“两高”选择在非法侵入系统罪入刑十四年,非法获取数据罪 入刑两年后的 2011 年制定的《计算机犯罪解释》第 10 条中首次提出界定某一计 算机信息系统是否属于三大重点领域的计算机信息系统的程序性判断规则,即存 疑时可由司法人员交给技术部门鉴定,再由司法人员根据鉴定结果视情况而定。 1 可是,“两高”提出的这一程序性判断规则并没有解决司法实践中存在的司法 判断恣意的问题,比如说在相似的侵入交警大队计算机信息系统并获取相关数据 的案件中,有的被认定构成非法侵入系统罪,有的则被认定构成非法获取数据罪。 2 由此可知,正是由于刑事立法的原因才导致两罪罪间边界混沌不清。除此之外, 两个罪名间还存在法定刑失衡问题,根据现行立法,行为人利用技术手段侵入并 对非三大重点领域的计算机信息系统中存储、处理或者传输的数据进行非法获取, 情节特别严重可被判处三年以上七年以下有期徒刑。然而,行为人利用技术手段 侵入并对三大重点领域的计算机信息系统中存储、处理或者传输的数据进行非法 获取,除非实行行为侵犯到其他值得刑法保护的法益,否则对行为人最高只能处 以三年以下有期徒刑或拘役,这明显有悖于对重要领域、重大法益进行重点保护 1 第 10 条规定“对于是否属于刑法第二百八十五条、第二百八十六条规定的‘国家事务、国防建设、尖 端科学技术领域的计算机信息系统’、‘专门用于侵入、非法控制计算机信息系统的程序、工具’‘计算 机病毒等破坏性程序’难以确定的,应当委托省级以上负责计算机信息系统安全保护工作的部门检验。司 法机关根据检验结论,并结合案件具体情况认定。” 2 参见徐剑: 《对象型网络犯罪的刑事政策应对》 ,载《河北法学》2016 年第 8 期。 57 的基本刑事法理。这里须说明,本文对数据犯罪立法问题进行探讨的目的是为了 揭示数据犯罪刑事立法不完善的深层原因,期望通过对导致数据犯罪刑事立法不 完善的深层原因进行挖掘,找到解释论视角下促进数据犯罪罪名有效适用的规范 抓手,而不是要脱离本文写作主线对数据犯罪的立法问题进行分析。 目前,在我国司法体制下“两高”对某一问题的理解往往被地方各级司法机 关所尊重与贯彻。本文认为数据犯罪的司法适用中存在如此多的问题也与“两高” 对数据犯罪所作的不当解释密切相关。比如,“两高”确定罪名不合理导致罪间 边界不清晰,典型的有针对第 285 条第 2 款设置的“非法获取计算机信息系统数 据、非法控制计算机信息系统罪”与针对第 286 条设置的“破坏计算机信息系统 罪”。以后者为例,第 286 条的 3 款内容存在如下不同:其一,第 1 款的保护对 象是系统功能,第 2 款的保护对象是系统数据,第 3 款没有明确规定犯罪对象。 其二,第 1 款的行为手段是删除、修改、增加以及干扰,第 2 款的行为手段是删 除、修改或者增加,第 3 款的行为手段是故意制作、传播。其三,第 1 款的犯罪 结果要求达到计算机信息系统不能正常运行的程度,第 2 款则无此要求,第 3 款 要求达到影响计算机信息系统正常运行的程度。其四,第 1 款与第 2 款都有“违 反国家规定”的限制,如若没有违反国家规定,则即便实施了相关行为也不构成 犯罪,而第 3 款则无该限制,即只要实施了故意制作、传播计算机病毒等破坏性 程序的行为即构成本罪。其五,“两高”将刑法中的同一个刑法条文中的不同款 项对应的犯罪行为分别归纳为不同罪名的例子比比皆是,比如,第 185 条第 1 款 为挪用资金罪,第 2 款为挪用公款罪。因而,针对第 286 条更为合适的罪名设置 方法应该是针对三个条款分别设置三个罪名,以突出各罪名之间的不同之处。如 果按照本文的建议进行罪名设置,下文中将提到的实践与学理中争议四起的第 286 条第 2 款后果严重的理解争议问题将不复存在,第 286 条第 1 款与第 2 款之 间的适用关系也将更加清晰、明确。 再如,“两高”所作的数据犯罪司法解释存在着新官不理旧账的问题,1该问 题集中体现于“两高”对非法获取数据罪与侵犯公民个人信息罪的解释中。根据 1 “新官不理旧账”是指在制定新司法解释时忽略了对旧司法解释整体或者部分的处理,表现为新司法解 释对于旧司法解释的废止问题予以忽视。这种“新官不理旧账”的做法造成新、旧司法解释在实践中长期 并存的后果,给法官在援引、适用司法解释时造成很大困惑,也因此而引发司法解释适用时的极大混乱。 参见刘学在、陈欢欢:《司法解释制定中的“新官不理旧账”现象之反思—以民事诉讼为视角》,载《烟台 大学学报(哲学社会科学版) 》2020 年第 2 期。 58 2011 年的《计算机犯罪解释》第 1 条的规定,非法获取数据罪情节严重认定标 准是身份认证信息组数标准。而根据 2017 年的《公民个人信息犯罪》第 1 条的 规定,账号密码等身份认证信息是重要的公民个人信息。因此,根据上述两个司 法解释的规定,属于计算机信息系统数据的身份认证信息与属于公民个人信息的 账号密码之间存在着交叉领域,这导致司法实践中司法者一碰到行为人实施的是 非法获取具有公民个人信息属性的数据犯罪行为时便会陷入到非法获取数据罪 与侵犯公民个人信息罪的适用疑难。根据统计目前针对此种类型行为存在的定性 意见包括了想象竞合说、法条竞合说、侵犯公民个人信息罪一罪处理说、非法获 取数据罪一罪处理说以及数罪并罚说等。同时,《计算机犯罪解释》将身份认证 信息组数作为判断非法获取数据罪情节严重与否的重要标准,也导致实务界与学 界不少人士认为非法获取数据罪的保护对象只包括严重滞后于时代要求的身份 认证信息,而其他类型的计算机信息系统数据则不属于非法获取数据罪的保护对 象,进而导致具体处理个案时司法者可能会因为行为所侵犯的对象不是身份认证 信息而直接排除非法获取数据罪的适用。目前来说,“两高”正确的做法应该是 在未来再次作出司法解释时将 2011 年的《计算机犯罪解释》中身份认证信息组 数标准进行修改,并将之调整为更能体现数据被侵害程度的分级分类数据数量标 准。 此外,刑事立法与刑事司法实践存在问题时,立法者与司法者常会选择到刑 法理论中去寻找解决问题的答案。然而,由于目前数据犯罪刑法研究中针对数据 犯罪的保护法益以及构成要件等基础性问题还存在着巨大的理解争议,刑法理论 不仅没有能够为立法者与司法者解决实践问题提供知识支撑,反而因刑法理论的 混乱进一步加深了立法者与司法者对于数据犯罪的理解困惑。比如,针对数据犯 罪的行为对象问题,传统的刑法理论中没有将数据犯罪作为一项类罪进行考察, 因此,在解释数据犯罪的行为对象时常会围绕着具体的个罪展开。针对非法获取 数据罪的保护对象有扩张论与解释论两种解释立场。扩张论者认为现行刑法对数 据的保护具有明显的滞后性,仅仅保护身份认证信息导致其他应受刑法保护的数 据被排除在保护范围外,因此,为了实现对电子数据的充分保护应该对“计算机 信息系统数据”进行扩张解释或者从立法上删除“计算机信息系统”这一数据的 技术性限制词。持本立场的学者较多,如于志刚教授、李源粒博士、王倩云博士、 59 李怀胜教授、王华伟博士、李川教授等等。限缩论者则认为司法者对本罪保护对 象之计算机信息系统数据的理解过于宽泛,会使非法获取数据罪成为计算机网络 时代的新口袋罪,因此,为了防止非法获取数据罪的适用范围过于泛化应对该罪 保护范围进行适度的限缩。持本立场者有李遐桢博士、杨志琼博士等。针对破坏 数据罪的保护对象,刑法学理上存在平义论与限缩论两种观点。顾名思义,平义 论即主张按照刑法条文的字面含义理解破坏数据罪的保护对象,不要求数据与计 算机信息系统运行安全有所关联,持本立场者主要有胡春健博士等。限缩论者则 认为应将本罪中的计算机信息系统数据限缩解释为与计算机信息系统功能相关 的数据或者说系统数据。持本说者主要有俞小海博士、周立波博士等。作为数据 犯罪的共性要件,对于刑法学中的计算机信息系统数据含义的理解应注重解释结 论的融贯协调,保证解释结论能被同时适用于第 285 条第 2 款非法获取数据罪与 第 286 条第 2 款破坏数据罪。然而,上述对数据犯罪行为对象学理与实务观点的 归纳表明了对数据犯罪行为对象之计算机信息系统数据的教义学解释现状呈现 出了与之相反的另一番景象,大多数学者对数据犯罪行为对象的解释都是碎片化 的,并不关心解释结论能否被同时适用于第 285 条第 2 款非法获取数据罪与第 286 条第 2 款破坏数据罪。这些不注重保持体系协调的解释结论与解释进路在刑 事立法没有专门在第 285 条第 2 款与第 286 条第 2 款中对计算机信息系统数据 作出特别限制的情形下,明显具有不合理。通常来说,对于一个刑法条文所保护 对象的解释应该属于犯罪构成理论中较为简单的问题,但是学界却对此有如此多 的争议。此种情形下,我们很难想象刑法理论能够为刑事立法的修改或者刑事司 法的规范适用提供多少有益的理论帮助。 刑法理论上对数据犯罪的行为结果之理解也较为混乱。比如,目前刑法理论 对破坏数据罪后果严重的理解有三种主要观点,分别是:一是认为破坏数据虽不 需要达到影响计算机信息系统正常运行的程度,但至少要对计算机信息系统安全 产生影响。 1二是认为虽然第 286 条第 1 款与第 2 款的表述不同,但基于体系解 释的思路应对二者作相同解释,将破坏数据罪之后果严重解释为应达到造成计算 机信息系统不能正常运行的同等或相似程度。 2三是认为破坏数据罪的立法表述 1 参见俞小海: 《破坏计算机信息系统罪之司法 实践分析与规范含义重构》 ,载《交大法学》2015 年第 3 期。 参见肖怡: 《流量劫持行为在计算机犯罪中的定性研究》 ,载《首都师范大学学报(社会科学版) 》2020 年 第 1 期。 60 2 已经表明,某一行为只有同时对数据和应用程序进行破坏,且达到后果严重的程 度时才构成本罪,如果行为人实施的行为只是对数据造成了破坏,并没有对应用 程序造成破坏则不构成本罪。因为破坏数据罪的保护对象具有复合性特征,包括 “和”前与“和”后的两项内容。1这些相互争鸣的刑法理论早已经对司法实践产 生了影响,在笔者检索到的刑事判决书中可以找到与之对应的司法判例。其一, “张嘉阳非法获取数据案”的刑事判决书提到,要想适用第 286 条第 2 款对被告 人进行定罪与处罚,被告人所实施的行为必须是同时对数据和应用程序进行删改 增的行为。如果被告人所实施的行为只是单纯的对计算机信息系统数据的修改, 该修改行为不会对计算机信息系统本身造成不利影响,自然也就不能适用第 286 条第 2 款对被告人进行定罪处罚。 2其二,“柏亿春破坏计算机信息系统案”的 刑事判决书提到,法官对辩护人提出的“被告人柏亿春付费购买用于网吧日常经 营管理,任网游也没有表明对系统进行了破坏”的抗辩理由作出了如下回应:“任 子行网络技术有限公司作出的说明,被告人柏亿春添加外挂软件,使未带身份证 的成年人以及未成年人也可以上网,虽对计算机系统的功能未造成破坏,但生成 了大量虚假数据,该虚假数据传输到公安机关实名监管系统,影响了数据采集的 真实性,破坏了公安机关的实名监管。”基于此,法官适用第 286 条第 2 款破坏 数据罪的规定判处被告人柏亿春构成破坏计算机信息系统罪。 3由此可知,本案 法官并不认为破坏型数据犯罪的成立与否同计算机信息系统功能受损之间有必 然的关联。其三,“李军非法侵入计算机信息系统案”的刑事判决书提到,法官 认为虽然在破坏数据罪的刑事立法表述上并没有将“造成计算机信息系统不能正 常运行”作为破坏数据罪之后果严重的限制性条件,但是从体系解释出发可知, 破坏数据罪之后果严重的成立要求破坏型数据犯罪行为所造成的危害后果应达 到造成计算机信息系统不能正常运行的程度,这也是第 286 条第 2 款的文中之 义,如果不作此种解释将违背刑法罪责刑相一致的基本解释原则。同时,法官认 1 参见周光权: 《刑法软性解释的限制与增设妨害业务罪》 ,载《中外法学》2019 年第 4 期。 参见福建省厦门市中级人民法院(2019)闽 02 刑终 41 号刑事判决书。 3 参见四川省江安县人民法院(2019)川 1523 刑初 156 号刑事判决书;类似的不要求“对计算机信息系统 功能造成破坏”的案例还有湖北省宜昌市西陵区人民法院(2019)鄂 0502 刑初 264 号刑事判决书、贵州省 瓮安县人民法院(2019)黔 2725 刑初 168 号刑事判决书;广东省惠州市惠阳区人民法院(2011)惠阳法刑 一初字第 27 号刑事判决书;山东省临沂市兰山区人民法院(2015)临兰刑初字第 1126 号刑事判决书等。 本种观点属于多数意见。 61 2 为在同一法条内的各款罪状,或由轻到重或由重到轻排列,因此,该条第 2 款的 适用也应当要求造成或影响计算机信息系统不能正常运行。 1 由上可知,数据犯罪司法实践中所存在的微观问题与立法罪状设置不科学、 司法解释内容不合理以及刑法理论对数据犯罪构成要件解释的混乱密切相关。可 是,通常来说,刑法学领域内针对刑法条款的解释同时存在如此多的立法、司法 与理论问题的情形属实罕见。这种现象促使我们进一步的思考:究竟是什么原因 造成了数据犯罪领域内的立法、司法与学理上同时存在这么多的问题?笔者认为 对于这一问题的正确回答是规范数据犯罪司法适用以及保证未来能够进行数据 犯罪立法修改科学性的刑法学理论基础。 二、问题本质:法益解释论功能未正常发挥 曾有学者提出数据犯罪领域司法适用之所以会存在诸多问题,本质在于数据 犯罪保护法益的立法批判与规范解释功能没有能够正常发挥。 2对此见解,笔者 表示赞同。目前,学界对于法益是否具有立法指导(即立法批判)机能这一问题 还存在争议。比如,否定说认为法益理论不具有批判立法的功能,不能成为批判 立法合理性与否的工具,“即使承认犯罪的本质是法益侵犯,也只能在刑法解释 范围内腾挪,在政策评价领域或者说在刑事立法领域,无法直接证明法益保护理 论可以提供一个立法批判功能。” 3相对来说,笔者更倾向于在刑法教义学中承 认刑法法益具有刑事立法批判功能。因为“法益的功能是由其作为犯罪本质特征 的属性所决定的。这就决定了只要与定罪和量刑相关的问题,法益都能发挥作用 和影响。因此,若认为法益不具有立法上的政策性功能,很难说得过去。” 4 可以预测,对刑法法益是否具有立法批判功能这一问题,刑法学者们的论辩 仍会持续下去。不过,由于本文所采取的研究进路是解释论。因此,对该问题本 文可暂时不进行过多的讨论,只关注在数据犯罪这一类罪领域刑法法益的解释论 1 参见上海市徐汇区人民法院(2019)沪 0104 刑初 927 号刑事判决书; 参见杨志琼: 《我国数据犯罪的司法困境与出路:以数据安全法益为中心》 ,载《环球法律评论》2019 年 第 6 期。 3 孙万怀: 《刑法修正的道德诉求》 ,载《东方法学》2020 年第 1 期。陈家林副教授也认为“对刑事立法的 检讨与批判应直接借助于宪法性理论,并需要构建相应的保障机制。刑法学应专注于法益的解释规制机能。” 参见陈家林: 《法益理论的问题与出路》 ,载《法学》2019 年第 11 期。相似的观点还有很对,本处便不再一 一赘述。 4 彭文华: 《法益与犯罪客体的体系性比较》 ,载《浙江社会科学》2020 年第 4 期。 62 2 功能发挥情况即可。数据犯罪保护法益的精准界定是解决数据犯罪司法适用种种 问题的关键因素,而对数据犯罪保护法益进行精准界定的前提是对既有的数据犯 罪刑法法益理论进行全面的归纳,并在归纳与评析现状的基础上对数据犯罪保护 法益内容进行教义学追问与证成。 对既有的数据犯罪保护法益理论,笔者将之分为传统观点与反思观点两种类 型。传统观点是指没有关注到大数据与人工智能等技术发展对数据犯罪的法益理 论产生的冲击,多以立法原意为观点背书的法益理论。反思观点是指关注到了大 数据与人工智能等技术发展对数据犯罪刑法治理带来的现实冲击,主张在新技术 背景下反思传统观点,提出新的或修缮旧的法益理论,以谋求刑法理论与社会实 践的同步发展,这些观点多以社会变化为落脚点对相关法条进行客观解释的法益 理论。或许,在此使用传统观点与反思观点这组名词,在词义上看不甚对称,但 是却可以表现出后者是对前者的反思,是在前者基础上演进出的新观点这一理论 现实。 对学界关于非法获取数据罪与破坏数据罪保护法益的观点进行提炼后,笔者 将数据犯罪传统法益观点分为单一法益说与复数法益说(具体内容见表 6)。 1 其一,单一法益说,即认为数据犯罪罪名在一个构成要件只保护一个法益的 观点。对非法获取数据罪而言,单一法益说大致有四种观点:(1)计算机信息 系统安全。持本立场的有高铭暄教授、黎宏教授等。2(2)计算机信息系统运行 安全。持本立场的有刘明祥教授等。3(3)信息安全。持本立场的有徐凌波副研 究员等。徐凌波副研究员认为本罪的保护法益内容是信息安全,即立法者将计算 机信息系统数据视为作为公共秩序法益的信息安全法益的一种类型进行保护。4 (4)数据传输私密性。持本立场的有徐久生教授等。徐久生教授认为我国非法 获取数据罪保护的法益与《网络犯罪公约》中相关条款保护的法益相同都是数据 传输私密性,而非财产性利益。 5对破坏数据罪而言,单一法益说大致也有四种 1 须说明的是,在统计单一法益说与复数法益说的观点时,在梳理破坏数据罪的法益时,如若相关学者直接 针对第 2 款专门做了法益表述,则统计第 2 款。如若相关学者并未区分三款,而只对第 286 条保护法益做 了说明,则统计该说明。未做区分说明即表明在该作者认识中第 286 条三款保护法益并无区分。 2 参见高铭暄、马克昌主编: 《刑法学》 (第八版) ,北京大学出版社、高等教育出版社 2017 年版,第 537 页; 黎宏著: 《刑法学各论》 (第二版) ,法律出版社 2016 年版,第 363 页。 3 参见刘明祥: 《窃取网络虚拟财产行为定性探究》 ,载《法学》2016 年第 1 期。 4 参见徐凌波: 《虚拟财产犯罪的教义学展开》 ,载《法学家》2017 年第 4 期。 5 参见徐久生、管亚盟: 《网络空间中盗窃虚拟财产行为的刑法规制》 ,载《安徽师范大学学报(人文社会科 学版) 》2020 年第 2 期。 63 观点:(1)计算机信息系统安全。持本立场的有喻海松博士、米铁男博士等。1 (2)国家对计算机信息系统的管理秩序。持本立场的有陈兴良教授等。2(3)公 共管理秩序,持本立场的有赵宁法官等。赵宁法官认为实施破坏计算机信息系统 数据的行为只有对公共管理和生产经营秩序造成破坏才能够定罪。3(4)计算机 信息系统的正常功能与安全,持本立场的有林建辉等。 4 其二,复数法益说,即认为相关数据犯罪罪名在一个构成要件中存在对两种 或两种以上法益的保护。对非法获取数据罪而言,主要有如下两种观点:(1) 数据安全与系统功能法益。5(2)国家对计算机信息系统安全的管理秩序、计算 机信息系统的正常运行秩序及计算机信息系统及其存储、处理或传输的数据的安 全。6对破坏数据罪而言,复数法益说主要有三种观点:(1)数据的安全性与应 用程序的完整性。7(2)国家对计算机信息系统的功能安全、数据安全管理秩序。 (3)国家对计算机信息系统的安全运行管理制度和计算机信息系统的所有人与 8 合法用户的合法权益。 9 表 6:数据犯罪传统法益理论 计算机信息系统安全 计算机信息系统运行安全 非法获取数据罪 信息安全 数据传输私密性 计算机信息系统安全 单一法益论 国家对计算机信息系统的管理秩序 破坏数据罪 公共管理秩序 计算机信息系统的正常功能与安全 1 参见喻海松著: 《网络犯罪二十讲》 ,法律出版社 2018 年版,第 48 页;米铁男: 《基于法益保护的计算机 犯罪体系之重构》 ,载《河南大学学报(社会科学版) 》2014 年第 4 期。 2 参见邢永杰: 《破坏计算机信息系统罪疑难问题探讨》 ,载《社会科学家》2020 年第 7 期;陈兴良著: 《罪 名指南(第二版) 》 ,中国人民出版社 2007 年版。 3 参见赵宁: 《厘清“修改数据式”破坏计算机信息系统罪》 ,载《检察日报》2020 年 4 月 24 日第 3 版。 4 林建辉、黄学鹏: 《破坏计算机信息系统罪的电子数据适用研究》 ,载《信息安全与技术》2014 年第 8 期。 5 参见皮勇、葛金芬: 《网络游戏虚拟物数据之回归—兼论非法获取网络游戏虚拟物的行为认定》 ,载《科技 与法律》2019 年第 2 期。 6 参见喻海松: 《网络犯罪二十讲》 ,法律出版社 2018 年版,第 30 页。 7 参见刘广三著: 《计算机犯罪论》 ,中国人民大学出版社 1999 年版,第 181 页。 8 参见屈学武著: 《刑法各论》 ,社会科学文献出版社 2004 年版。 9 参见高铭暄、马克昌主编: 《刑法学》 (第八版) ,北京大学出版社、高等教育出版社 2017 年版,第 537 页。 64 数据安全与系统功能 国家对计算机信息系统安全的管理秩序、计算机信息系 非法获取数据罪 统的正常运行秩序及计算机信息系统及其存储、处理或 传输的数据的安全 国家对计算机信息系统的安全运行管理制度和计算机 信息系统的所有人与合法用户的合法权益 复数法益论 破坏数据罪 国家对计算机信息系统的功能安全、数据安全管理秩序 数据的安全性与应用程序的完整性 近些年也有学者对数据犯罪法益理论的传统观点进行了反思,但大多没有像 本文一样对数据犯罪相关法益理论进行体系性的梳理,多是直接选取“计算机信 息系统安全法益说”为靶子进行批判,主张将计算机信息系统(法益)与数据安 全(法益)完全分离,以体现出“网络时代性和主体权利属性”。1比如,杨志琼 博士便认为由于数据犯罪的研究者习惯于根据体系解释的方法将作为计算机犯 罪保护法益的计算机信息系统安全作为数据犯罪的保护法益,导致数据犯罪与数 据犯罪保护法益的独立研究价值受到遮蔽,且在技术评价与规范评价上产生了分 歧。2再如李川教授认为现行《刑法》中使用的“计算机信息系统数据”这一概念 突显出了刑法对数据的保护理念严重滞后,重信息网络安全、轻网络数据安全, 导致数据法益保护不周延。 3这些反思性观点的逻辑前提基本一致,即均认为之 所以需要对数据犯罪的传统法益理论进行反思,是因为当我们进入到大数据与人 工智能时代后,数据的量级与数据的价值都在不断的提升,且数据本体与数据所 承载的信息内容也在日渐分离,数据本体的刑法要保护性不断升高,因此,我们 应特别注意在刑法上为数据提供独立的、成体系的保护,将数据本体所承载的利 益作为值得刑法进行保护的独立法益进行看待。 4除去上文所重点论述的几种观 点外,李源粒博士、孙道萃博士、王倩云博士、黄鹏博士、王刚博士、刘双阳博 1 参见魏东: 《人工智能算法安全犯罪观及其规范刑法学展开》,载《政法论丛》2020 年第 3 期。 参见杨志琼: 《我国数据犯罪的司法困境与出路:以数据安全法益为中心》 ,载《环球法律评论》2019 年 第 6 期。 3 参见刘一帆、刘双阳、李川: 《复合法益视野下网络数据的刑法保护问题研究》 ,载《法律适用》2019 年 第 21 期。 4 参见王倩云: 《人工智能背景下数据犯罪的刑法规制思路》 ,载《法学论坛》2019 年第 2 期;涂龙科: 《网 络时代经济刑法变革的系统阐释》 ,载《法学评论(双月刊)》2019 年第 6 期等。 65 2 士等也都有针对性的发表了反思意见。由于这些观点与上述观点并没有多少不同 之处,因此,笔者在本处便不再一一进行专门列举。 综上所述,刑法学者们对于什么是数据犯罪的保护法益这一问题的理解可谓 是“横看成岭侧成峰,远近高低各不同。”然而,在数据犯罪领域同时存在如此 多的数据犯罪保护法益理论必将造成立法者、司法者与研究者对数据犯罪本质内 容的认识存在分歧,这一分歧具体到数据犯罪的司法适用领域则表现为司法者对 数据犯罪的构成要件、数据犯罪与其他犯罪间的关系等问题的理解存在争议,最 终使数据犯罪内部、数据犯罪与其他犯罪之间的关系始终处于交缠不清、边界不 明的状态,导致刑事司法判决缺乏统一的标准,致使刑事司法者在面对数据犯罪 疑难个案时常无所适从。同时,由于数据犯罪定罪标准会随着司法者的不同理解 而发生改变还会导致社会大众丧失对自己行为的预测可能性,侵蚀数据犯罪的人 权保障机能。其实,通过本节的论述我们不难发现,无论是持传统观点者,还是 持反思观点者,在近期的学术文献中主张数据犯罪保护法益是数据安全的观点越 来越时兴。只是,持传统观点者没有关注到数据安全的独立保护必要性,多将其 与计算机信息系统安全等较为抽象的法益组合在一起形成复数法益说。而持反思 观点者则支持对数据安全法益的独立保护,支持将数据犯罪的保护法益理解为数 据安全法益,而非计算机信息系统安全等法益。基于此现象,本文决定将数据安 全作为本文法益理论研究的重点内容,并通过将数据安全法益与其他法益理论进 行比较判断什么法益才是数据犯罪的适格法益。因此,为确证数据安全法益是数 据犯罪的适格法益,本文在下一章将重点讨论如下问题:其一,数据犯罪的属性 与本质。其二,数据安全的刑法法益适格性。其三,数据安全法益的体系定位与 内容。 66 第三章 数据犯罪的保护法益 作为引领数据犯罪的教义学解释与司法适用的基本尺度,法益的解读应与时 代的进步亦步亦趋,社会的发展往往会带来法益内涵的丰富或创造新的法益内容。 前文提到,自从大数据与人工智能议题进入到法学研究者的视野后,刑法学者陆 续针对数据犯罪传统法益理论的合理性提出了质疑,并纷纷建构新的数据犯罪保 护法益理论。莫衷一是的数据犯罪保护法益理论严重影响了数据犯罪领域内刑法 法益的解释论功能的发挥,使各种数据犯罪司法适用问题一直没有能够得到系统 的解决。因此,笔者也尝试趁着这股对数据犯罪传统法益的反思之风,重新审视 肯定与否定数据犯罪传统法益理论者的观点,并据此提出本文对数据犯罪保护法 益理论的看法。 第一节 数据安全作为刑法法益的适格性分析 经过前文对学界关于非法获取数据罪、破坏数据罪所保护的具体法益,以及 数据犯罪这一类罪所保护的同类法益的各种理论进行的总结,可发现与传统观点 中提倡数据犯罪保护法益的内容是计算机信息系统安全、计算机信息系统运行安 全等观点不同,目前较为活跃的新兴观点是认为数据犯罪保护法益为数据安全法 益。然而,据笔者观察,目前尽管刑法学界主张对数据安全法益进行类型化研究 的文献不少,但多数讨论还停留在较浅的层面,大部分观点只可以被称之为“权 利主张”或“法益主张”,“仅仅将重心放在经验的生活化描述上”, 1没有对 “什么是数据安全法益?”“数据安全是否为适格刑法法益?”等问题展开系统 的论证。 基于“观感和经验上的‘法益主张’是易碎的,……流于表面的张扬主张, 要么只能沦为无效抒发,要么引发更多的问题,”2一项“法益主张”要想被改称 为“刑法法益”须“经受法教义学的严格检验。”3本文认为刑法学者们之所以会 长期忽略对数据犯罪进行类型化研究的根源在于始终没能够对数据安全的刑法 法益资格进行规范的识别、判定与检验,导致数据安全法益的定位、性质与内容 1 2 3 参见周赟: 《新兴权利的逻辑基础》 , 《江汉论坛》2017 年第 5 期。 黄鹏: 《数据作为新兴法益的证成》 ,载《重庆大学学报(社会科学版) 》网络首发。 参见劳东燕: 《受贿犯罪的保护法益:公职的不可谋私利性》,载《法学研究》2019 年第 5 期。 67 等混沌不清。因而,如果想要在刑法学中提倡对数据安全法益进行独立化的保护, 需要首先完成对“数据安全”的刑法法益适格性判断,明确数据安全法益的“正 当性根据不是权利的简单杂糅,即不是单纯的理论堆砌而应该确定法律上的依 据。” 1 一、刑法法益资格的判断规则 对什么是“法益主张”升格为“刑法法益”的识别标准,学者们之间的理解 不一。日本学者关哲夫教授提出了“三要求说”,即须经过个人的承认、社会的 承认与法的承认,一项法益主张或者说生活利益才能成为刑法规范意义上所保护 的刑法法益。2反思关哲夫学说的基础上,田宏杰教授提出了新的“三要求说”, 即主张刑法法益的来源是经验事实、刑法法益的评判是宪法价值、刑法法益须经 规范确认。3与“三要求说”不同,张明楷教授提出“五原则说”,即认为法益须 与法相关联、离开法就不能称之为法益、法益必须与利益相关联、法益须具有可 侵害性、法益须与人相关、法益须与宪法相关。4学者们提出的判断规则众多,此 处无法进行逐一列举,但通过研究学者们提出的判断规则可得出这样一个结论: 法益识别判断标准的设置与研究者对法益含义的理解密切相关。 两百多年的刑法法益理论发展史中形成了两种主要的刑法法益理解类型。一 种是由宾丁所倡导的前实定法的法益概念, 5该说认为在实定法规范之外没有法 益,而规范的创设只取决于立法者的价值判断,即“在创造法益、设定法益保护 规范时,立法者只受自己的考量与伦理的限制。” 6持此种法益学说必将得出的 结论是法益不拥有前实定法的独立意义,同时,也不具备从外部审视与批判刑事 立法的功能。另一种是由李斯特所倡导的前实定法的法益概念,认为刑法的历史 1 冀洋: 《法益自决权与侵犯公民个人信息罪的司法边界》 ,载《中国法学》2019 年第 4 期。 “个人的承认”,即作为社会成员的个人承认或者要求某社会利益应通过刑法来保护,从而获得“个人 的要保护性”;社会的承认,即社会多数成员承认该生活利益是社会生活中的总要的存在,有必要通过刑 法来保护它,从而获得“社会的要保护性”;法的承认,即必须被评价为值得刑法保护的存在而得以承认, 从而获得“法的要保护性”。参见[日]关哲夫:《法益概念与多元的保护法益论》,王充译,载《吉林大学 社会科学学报》2006 年第 3 期。 3 参见田宏杰: 《刑法法益:现代刑法的正当根基和规制边界》,载《法商研究》2020 年第 6 期。 4 参见张明楷著: 《法益初论》 ,中国政法大学出版社 2000 年版,第 162-167 页。 5 宾丁认为法益,是从立法者的价值判断中产生的。立法者对一个状态或者对象进行实定性的价值评价,而 这种由立法者实定性地价值评价的东西就是法益。参见[德]克努特·阿梅隆: 《德国刑法学中法益保护理论 的现状》 ,日高义博日译,姚培培中译,载方小敏主编: 《中德法学论坛》第 14 辑,法律出版社 2018 年版, 第 22-23 页。 6 张明楷著: 《法益初论》 ,中国政法大学出版社 2000 年版,第 32 页。 68 2 就是人类利益被宣告为刑法法益的历史。 1持此种法益学说必将得出的结论是法 益具有前实定法的独立意义,同时,也具备从外部审视与批判刑事立法的功能。 在李斯特提出前实定法的法益概念之后,在这一学说内部围绕着什么才是实定法 外界定法益的关键要素的问题展开了长期的论争,以各个学说出现的先后为标准 大致包括 20 世纪初的文化财、20 世纪上半页的民族文化与道德秩序以及二战后 由罗克辛教授等提出的、目前占据多数地位的宪法价值说。 2然而,我们不管前 实定法的法益概念说内部进行了何种论争,其本质内容一直都没有发生改变,即 均要求树立起一个具有从刑法外部观察刑事立法合理性,约束刑事立法者立法权 力与立法行为的法益概念。引用罗克辛教授的相关观点来说就是,此种前实定的 法益概念说提出的目的就是要“不仅能说明可罚性的根据,而且其主要作用是对 可罚性加以限定。” 3 相对来说,本文更倾向于支持具有刑事立法批判功能的前实定法的法益概念, 毕竟该说能够更好的限制立法者的立法权力,降低立法者的立法恣意,进而充分 保证国民的行动自由。本文也是在这种意义上使用法益概念的。经过观察,“尽 管不同的理论对侵犯的具体对象有不同的看法,但将法益作为一种利益这一点上 并无本质区别。”4申言之,所谓的法益即法与利益的结合,对于两者之间的关系 应作如下理解,即利益是法益的前生,法益是利益的往世。 5某项利益在经过立 法者的价值判断成为实定刑法所保护的对象前便已经客观存在了,而经过立法者 的选择某一利益一旦成为实定刑法规范所保护的对象便上升为了刑法法益。可见, 刑法法益并不是由立法者依据自身的价值判断所凭空创造的,立法者只是对已经 客观存在的利益进行选择并对选中的利益给予规范的确认与保护。正因为法益是 1 “法益是法所保护的利益,所有的法益都是生活利益,个人或者共同社会的利益。产生这种利益的不是法 秩序,而是生活,法的保护使这种生活利益上升为法益。 ”参见[德]李斯特: 《德国刑法教科书》 ,徐久生译, 法律出版社 2000 年版。 2 20 世纪初,受新康德主义的影响,诸多学者认为法益是文化财的体现,文化财先于法律存在,其受到法 律保护,就成为法律财,即法益。20 世纪上半叶,受新黑格尔哲学影响,部分学者又将刑法所保护的利益 或价值界定为民族文化与道德秩序。例如,H.麦耶(H.Mayer)认为,刑法的任务是维护民族的道德秩序, 只有通过刑法确认主流文化秩序中关于保护法益之规范的效力,才能全面性地预防犯罪行为的侵害。二战 结束后,出于对纳粹思想的反思,德国学界主流见解演变为以宪法价值作为对法益概念的制约。例如,罗 克辛(Roxin)教授即为典型,依宪法规定,国家的权力来自于人民,故国家的任务也只能是为国民创造并 维护其生活所需的外部条件,确保其自我发展的自由。因此,刑法的任务也在于保障全体人民共同的和平 生活。在不同的历史与社会情境中,人们进行共同生活所不可或缺的条件体现为多种基本的“有价值的状 态” ,例如生命、身体的完整性、意思行动的自由和财产等等。这些共同生活不可或缺的条件就是法益。参 见王钢: 《法益与社会危害性之关系辩证》 ,载《浙江社会科学》2020 年第 4 期。 3 [德]克劳斯·罗克辛: 《对批判立法之法益概念的检视》 ,陈璇译,载《法学评论》2015 年第 1 期。 4 孙万怀: 《刑法修正的道德诉求》 ,载《东方法学》2021 年第 1 期。 5 参见田宏杰: 《刑法法益:现代刑法的正当根基和规制边界》,载《法商研究》2020 年第 6 期。 69 经过立法者选择决定由刑法规范予以保护的生活利益,才导致出现了这种现象: 并不是所有的利益都会上升为刑法法益,也并不是所有已经上升为前置法规范保 护的利益都会进而成为刑法所保护的利益。除此之外,现代国家中宪法是母法, 而刑法、民法等法律是子法,刑法、民法等规范欲对某项利益提供规范保护时, 不能与宪法价值相违背,即应符合宪法价值的需求。据此,本文在学理方面设定 了如下的刑法法益判断标准:法益应是对多数人有用的利益、法益保护主义要求 的法益具有受侵犯可能性、法益已经被实定刑法规范所确证与包容、法益设定与 宪法价值相统一。 二、数据安全法益适格性的具体判断 本文认为数据安全符合前述的四项教义学层面的法益判断标准,接下来笔者 进行逐一验证: 其一,数据安全是对多数人有用的利益。保护人的利益是所有法律活动的终 极目的,任何不以保护人的利益为目标的刑法规范条款都不具有存在的合理性。 同时根据刑法面前人人平等的原则,刑法规范条款的设置目的不能是为了保护特 定人的利益为目标,而是应该保护多数人的利益。大数据时代的数据安全明显是 对多数人有用的利益,理由如下: 一方面,从宏观上看,维护数据安全既能保障经济生产的稳定运行,还能保 证国家社会的安全稳定。数据的价值早已受到了广泛的关注,如序言中提到的, 我国党中央与国务院以及各部委从 2015 年开始便密集的推出各种推动大数据与 人工智能建设的规范性文件,2020 年初更是明确了数据的生产要素地位。既然 是社会生产和经济运行的基本要素,数据安全自然便属于对多数人有用的利益。 此外,数据安全与国家安全、集体安全以及个人安全直接相关,以对国家安全的 重要性为例,大数据时代对国家安全的危害可能是从无到有、由浅到深的,随着 数据量级的不断增加,由量变引起质变,将来源于多种渠道、利用多种方式采集 获取的不同结构的数据汇集到一起,相互补充、相互印证,就很可能获得与国家 安全相关的重要敏感信息。在斯诺登事件中披露的美国棱镜门事件便是利用大数 据的此种特征对我国国家安全进行威胁的事件之一,“Collect it all, process it all, exploit it all, sniff it all, know it all”(收集一切,处理一切,利用一切,嗅探一切, 70 知晓一切)更是美国长期坚持的对中国数据安全攻击的作战目标。1这么多年来, 国外国家、组织或个人从来没有停止过对我国的计算机网络实施攻击,根据《2019 年我国互联网安全态势综述》的统计,针对我国计算机信息系统的 DDOS 攻击 “的控制端数量和来自境外的反射攻击流量占比均超过 90%,我国党政机关、关 键信息基础设施运营单位的信息系统是重点的攻击对象。”也正是考虑到数据安 全对与公民个人、集体以及国家的有用性以及重要性,我国才在制定了《网络安 全法》以后还要继续制定《数据安全法》,以保证对数据安全实施更为全面的保 护。 另一方面,从微观层面看,数据安全是计算机网络时代个人安全的第一道防 线。以非法侵入个人计算机信息系统的行为为例,当非法人员以技术手段侵入到 个人计算机信息系统(包括智能穿戴设备、手机、电脑)等后,不仅可以通过读 取数据的方式直接获取设备内存储、处理或者传输的数据,进而通过对数据的非 法应用危害个人财产、隐私、信息自决等刑法法益,而且可以通过更为隐蔽的方 式持续地针对个人进行数据收集,在他人毫无感知的情形下将计算机信息系统的 拥有者或使用者送入由非法侵入行为人设置的“数字圆形监狱”。在边沁的理论 设想中,“圆形监狱”的主要后果是在被监禁者身上造成一种有意识和可持续的 可见状态,从而确保权力的自动地发挥作用。 2目前,现实生活中官方设置的无 处不在的摄像探头便是“圆形监狱”理论在计算机网络时代的变形应用,但是与 这些官方的“数字圆形监狱”并不以侵犯个人或集体的利益为目标不同,非法者 设置的“数字圆形监狱”目的是保持对受监控者合法权益的时刻可侵犯性。与有 形的、官方的监控相比,更为可怕的是,非法者设置的“数字圆形监狱”并不为 受监控者所知。总而言之,强力的对数据安全进行保护是个人、集体以及国家安 全保护的综合需求,数据安全是对绝大多数人有用的利益。 其二,数据安全具有受侵害的可能性。根据法益保护主义的要求,法益须具 有受侵害的可能性,即须为犯罪侵害或威胁的现实生活中之利益。因此,当明确 数据安全是对多数人有益之生活利益后,我们应进而思考:数据安全是否具有受 侵害可能性。所谓的侵害或侵害的危险,是指该种生活利益可被侵害进而产生的 1 Glenn Greenwald,Murtaza Hussain.Meet the Muslim-American Leaders the FBI and NSA Have Been Spying On[N/OL].(2014-07-09)[2019-0607].http://www.yuanjuu.com/info/121156.html. 2 参见[法]米歇尔·福柯著: 《规训与刑罚》 ,刘北成、杨远婴译,三联书店 2012 年版,第 224-226 页;唐 家佳: 《住进数字“圆形监狱”: 人工智能时代隐私问题刍议》 ,载《科技传播》2019 年第 10 期。 71 损害结果,必然是一种事实的或因果的现象。本文认为数据安全的可受侵害性早 已经被实践中的诸多案例所证明,且伴随着计算机网络技术进入到大数据与人工 智能时代,针对数据安全的侵害行为所造成法益侵害结果已呈现出了不可控制的 特性。数据安全受损结果的不可控制性主要表现在两个方面:(1)侵害行为的 超越时空性与技术便利性,行为人可在任意时间任意地点针对任意数据实施非法 的删除、修改、增加或者获取数据的行为,而该犯罪行为常会借助技术手段层层 加密、隐匿身份,增加案件侦破的难度。(2)数据安全具有脆弱性与易受攻击 性。大数据时代的数据往往沉淀于掌握数据搜集、处理与存储技术的个别主体手 中,由于数据攻击技术的不断升级,这些主体所设置的数据安全防护系统往往只 能起到被动的“打补丁”作用,这就导致了数据安全具有脆弱性与易受攻击性。 除去数据安全损害的不可控制性外,数据安全法益侵害是一种事实的或因果的客 观现象,数据安全法益受损会给权利人带来实际的损害,这种损害是可被感知的、 经验事实意义上的损害。非法获取数据的行为将使合法权利人对数据享有的保密 权限丧失,虽由于数据的非竞争性本质不会影响到合法权利人对于数据的正常使 用,但却会严重削弱其所掌握之数据的价值,或者说由于相应数据的泄露使数据 上承载之法益时刻处于被侵害的风险中。非法删改增数据的行为对合法权利人的 法益侵害更为明显,直接会影响到合法权利人对于数据的正常使用之利益。可以 说,数据安全的受侵害可能性已被实践所证明,不须过多的赘述。 其三,数据安全已为我国刑法条文所包容。在法学研究领域,在没有经过立 法者基于自主价值判断进行实定化选择而成为法益之前,一项生活利益即便受到 了普遍关注且为对多数人有益,且该项利益受到损害以后也会给权利人造成伤害, 但是其还不能够被称之为实定法意义上的法益。任何个人与集体对这一具有保护 必要性的利益进行侵害所会受到的惩罚顶多是道德谴责,而不可能是由国家强制 力支撑的法律惩罚。同时,由于刑法在法律体系中属于保障法,这决定了刑法规 范不可能对所有应受保护的生活利益都提供明确的成文法保护,立法者会基于立 法必要性与科学性等考量只将部分生活利益通过刑事立法程序实体化、固定化为 受刑法规范保护的法益。因而,即便在《民法总则》(或即将生效的《民法典》) 中已经明确将数据作为保护对象,且在《网络安全法》中更是进一步明确数据安 全包括保密性、可用性与完整性三个面向,还是不能直接证明数据安全可被称为 72 刑法法益。因为只有经过成文法予以实定化的生活利益才能称之为法益,前实定 的生活利益中即便刑法的要保护性再高,未经立法者的实定化均不能被称为刑法 法益。由此可知,讨论数据安全是否为刑法法益的重点要素是刑法本身。具体分 析个罪所保护的刑法法益时,可以具体个罪条款所明确规定的行为对象为发现线 索,因为行为对象本身可体现保护法益内容。 1通过对我国现行有效的刑法进行 考察可见,早在 1997 年《刑法》制定时立法者便已经意识到了对数据安全提供 刑法保护的重要性,明确在第 286 条第 2 款破坏数据罪中将计算机信息系统数据 作为保护对象,此后又增设同样以之为保护对象的第 285 条第 2 款非法获取数据 罪。可见,两款内容均将计算机信息系统数据规定为实行行为的对象。除非行为 人实施获取与删改增计算机信息系统数据时遵守了国家规定,并经权利人授权对 计算机信息系统数据进行获取或者删改增的行为外,其他针对计算机信息系统数 据实施的行为都会对数据安全造成侵犯。因而,在本文看来数据安全法益的提法 完全可以被我国刑法条文所容纳。 其四,刑法保护数据安全与宪法价值目标不冲突。在现代法律体系中,无论 是刑法规范条款,还是民事、行政等其他部分法规范条款,其具体的内容与保护 的目标均不能与作为母法的宪法相冲突,否则,该项法规范条款存在合理性必将 受到质疑,并应被废除。当然,宪法作为一国法律的母法,本身的内容较为抽象, 起到的是一种引领性的作用,自然也就不可能细致的告诉其他部门法的立法者哪 些行为应该受到规制,哪些行为又应该得到允许,“而是否定、消极地从反面警 示立法者,并为立法者的自由价值评判设定一系列不可逾越的藩篱。” 2本文认 为在刑法规范上对数据安全进行强力保护显然并没有违反宪法所设置的价值藩 篱,相反,其可以视为是对宪法价值的忠实贯彻。 第二节 数据安全法益的定位与内容:兼评既有法益理论 通过前文分析,我们可知数据安全满足作为刑法法益的适格性,是具有受侵 害可能性的、应受刑法保护的多数人享有的利益,且对数据安全法益的保护既能 为刑法条文所容纳,又能与宪法价值相协调。然而,前述论证只是为数据安全已 1 2 参见张明楷著: 《刑法分则的解释原理》 (第 2 版) ,中国人民大学出版社 2011 年版,第 351 页。 田宏杰: 《刑法法益:现代刑法的正当根基和规制边界》 ,载《法商研究》2020 年第 6 期。 73 经法益化之论题提供了适格性论据,不能直接证明数据安全法益即为数据犯罪的 保护法益,尤其是当学理与实践中针对数据犯罪保护法益存在多种解释可能性时, 应将数据安全法益与其他法益理论放到同一平台进行充分的争鸣,以确认将数据 安全法益解释为数据犯罪保护法益更具合理性。数据安全法益与既有的各种法益 理论间的争鸣问题,也可被称为数据安全法益的定位问题,其目的是要在各种不 同层级的法益理论中准确标定数据安全法益的位置,并厘清数据安全法益与关联 法益之间的关系,在此过程中顺带可以对既有的数据犯罪保护法益理论进行评析 与反思。 一、数据安全法益的定位与内容 目前数据犯罪保护法益理论中,传统理论多不将数据犯罪作为类罪看待,所 提出的法益理论也多仅指向非法获取数据罪与破坏数据罪所保护的直接法益。而 反思理论则多将数据犯罪作为类罪看待,所提出的法益理论是指向数据犯罪这一 类罪的同类法益,即数据安全法益。因此,为更清晰的理解数据安全法益的定位 与内容,我们还须确认数据安全法益究竟是数据犯罪保护的同类法益,还是非法 获取数据罪亦或者破坏数据罪保护的直接法益。如果确认数据安全法益是同类法 益,还须进而探讨其项下包含的次级法益的内容。 对刑法规范所保护的数据安全法益的定位与内容是什么这一问题的回答,离 不开对前置法规范文件进行回溯追寻。只有通过考察前置法规范文件中对相关法 益进行保护的逻辑安排,才能更好的理解刑法规范所保护的数据安全法益的逻辑 定位与具体内容。通过对计算机犯罪前置法的《计算机保护条例》 《网络安全法》 等法律、行政法规进行分析,本文得出如下结论:数据安全法益是逻辑层级高于 数据保密性、完整性与可用性的同类法益,不是非法获取数据罪与破坏数据罪所 保护的直接法益内容。与数据安全法益处于同一级法益地位的是系统安全法益等, 它们的上一级同类法益是系统运行安全,再往上一级的同类法益是计算机信息系 统安全。具体理由如下: 根据《计算机保护条例》的第三条,我们可知计算机信息系统安全一共包括 实体、环境、信息与运行安全等四项内容。其中,实体安全部分追求的目标是确 保计算机设备自身及其相关设备的外在物理性安全,不受到来自于外部的非法暴 74 力侵害;环境安全部分追求的目标是为计算机信息系统及其相关的设备顺利运行 提供安全的内外部条件,外部环境安全包括提供能够有效防止遭受水灾、火灾等 外部灾害侵害的运行环境,内部环境安全包括提供配置齐全、功能有效的灾害警 示、受灾保护以及灾后恢复等功能;信息安全部分追求的目标是保障在计算机信 息系统中的信息不受到故意或者过失的非法泄露或者删改增等行为的侵害。运行 安全部分追求的目标则是计算机信息系统功能的发挥等内容。根据这种理解,在 计算机信息系统保护领域内,系统安全是运行安全与信息安全的上一逻辑层级的 概念。本文的此种解读与计算机专家的解读相通,计算机专家龚俭教授在其主编 的教材中将计算机信息系统安全分为了系统安全、信息安全以及运行安全等三种 类型。1其中,《计算机保护条例》中被单列的实体安全被龚教授重新归类到系统 安全中,环境安全被重新归类到物理安全中。 2可是,即便在这些小的分类上有 所不同,但在如下内容的理解上是相同的:计算机信息系统安全内涵丰富,涵盖 了与计算机信息系统相关的所有安全内容。 《计算机保护条例》制定时期较早,尽管经过了 2011 年的修订但其内容整 体略显粗疏,没有能够对计算机信息系统运行安全的具体内容作展开说明。因此, 剖析计算机信息系统运行安全时,不得不同时参照《计算机保护条例》的网络时 代升级版法律规范《网络安全法》。本文认为《网络安全法》是《计算机保护条 例》的升级版,理由有二:其一,两者保护对象实质相同。从字面含义看,《计 算机保护条例》保护的是计算机信息系统安全, 《网络安全法》保护的网络安全, 二者有所不同。然而,经过对两个规范性文件所作的具体规定进行分析后可知, 《计算机保护条例》中的计算机信息系统安全与《网络安全法》中的网络安全的 含义基本相同,两者的区别在于后者的规定更加细化,也更加强调了符合时代要 求的网络属性。3具体而言,两个定义的核心要素具有同构性:(1)由计算机及 相关设备组成;(2)依照一定规则、目标或程序;(3)对信息进行收集、加工、 存储等处理;(4)系统。其二,《计算机信息信息系统保护条例》发布机构为 1 参见龚俭、吴桦、杨望编著: 《计算机网络安全导论》 (第 2 版) ,东南大学出版社 2007 年版,第 5-6 页。 参见龚俭、吴桦、杨望编著: 《计算机网络安全导论》 (第 2 版) ,东南大学出版社 2007 年版,第 6-7 页。 3 《计算机保护条例》第 2 条规定“计算机信息系统是指由计算机及其相关和配套设备、设施(含网络)构 成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。 ”第 5 条 第 2 款规定“未联网的微型计算机的安全保护办法,另行制定。 ” 《网络安全法》第 76 条第 1 项对网络所下 定义是,由计算机或其他信息终端以及相关设备组成的按照一定规则和程序对信息进行收集、存储、传输、 交换、处理的系统。 75 2 国务院,《网络安全法》发布机构全国人大常委会,在法律效力级别上后者高于 前者,发布时间上后者新于前者。综上而言,本文认为《网络安全法》是《计算 机保护条例》的升级版,虽然两个规范文件使用的术语不同,但基本可以作出如 下判断:《计算机保护条例》中的计算机信息系统安全与《网络安全法》中的网 络安全的含义大致相同,区别在于前者的术语使用强调了系统属性,后者的术语 使用强调了网络属性。既然如此,《网络安全法》中对于网络运行安全的解读可 以成为分析《计算机保护条例》中计算机信息系统运行安全的重要参考。 2016 年通过的《网络安全法》共有“总则”“网络安全支持与促进”“网络 运行安全”“网络信息安全”“监测预警与应急处理”“法律责任”与“附则” 七章。该法不再刻意强调对实体安全与环境安全的保护,而是重点关注运行安全 与信息安全。其中,网络信息安全一章主要包括个人信息安全、商业信息安全及 信息内容安全等方面的内容,网络运行安全一章包括网络关键设备和网络安全专 用产品安全、网络身份可信、网络功能安全与网络数据安全等内容。笔者作出这 一判断的根据时《网络安全法》第 3 章网络运行安全项下的第 21 条与第 27 条等 法律条文的明确规定。结合前文中笔者得出的《网络安全法》是《计算机保护条 例》的升级版,网络安全即可视为网络时代的计算机信息系统安全之结论,可知 计算机信息系统运行安全主要内容也应包括计算机信息系统数据安全与计算机 信息系统功能安全。须注意,前后两部法律均提到了信息安全,对此,笔者的见 解是尽管计算机信息系统安全与网络安全均将信息安全作为其保护的重要内容, 且该处信息安全与数据安全之间的关联性也较为密切,但从实定法的理解看,数 据安全属于计算机信息系统安全的主要内容,关注的是对数据代码本身保密性、 可用性与完整性的保护,而该数据代码是否承载信息以及承载何种信息并非数据 安全所关注的内容。可以说,在《计算机保护条例》与《网络安全法》视野下, 信息安全与数据安全保护侧重各不相同,两者相互独立,分属不同层级,不可将 之混为一谈。 细心的研究者会发现,根据《网络安全法》第 76 条的定义,1网络安全应被 分为网络运行安全与网络数据安全两项内容,这导致上文中所解读的网络安全主 要包括网络运行安全与网络信息安全,不再像《计算机保护条例》一样刻意强调 1 “网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故, 使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 ” 76 保护实体安全与环境安全的结论就是不合理的。对此,本文认为《网络安全法》 所下的这一“网络安全”定义并不合理,该定义虽客观拔高了对网络数据安全的 重视程度,但却忽视了对《网络安全法》条文的整体考察,使得该定义《网络安 全法》条文的具体内容相冲突。解释网络安全这一概念时,笔者认为我们还是应 依照条文的编章节内容进行体系解释。其实,关于网络安全定义的合理性,早在 《网络安全法(草案)》阶段便备受质疑,中国信息安全研究员副院长左晓栋便 提出“草案中的‘网络安全’定义也需修改。现有定义不但丢掉了信息内容安全, 更是与‘网络空间主权’没有关联。” 1对此,笔者持肯定见解,并建议在未来 《网络安全法》修改时进行适当调整。 此外,还需要回应的一个问题是:刑法中所保护的计算机信息系统包括联网 与未联网的计算机信息系统,而《计算机保护条例》与《网络安全法》中保护的 均是联网的系统,上述对《计算机保护条例》与《网络安全法》所作的解释是否 可以适用于未联网的计算机信息系统?对此, 根据 1998 年 11 月 25 日作为负责 全国计算机信息系统安全保护工作的公安部发布的《关于对破坏未联网的微型计 算机信息系统是否适用<刑法>第二百八十六条的请示的批复》(公复字[1998]7 号)可知,无论是联网的计算机信息系统,还是未联网的计算机信息系统都是计 算机信息系统,是否联网不会改变事物的本质。从而,对于联网的计算机信息系 统安全的理解与未联网的计算机信息系统安全的理解应不存在本质差异,未联网 的计算机信息系统安全也应包括环境安全、实体安全、运行安全与信息安全四个 方面。据此,本文认为在计算机信息系统保护视野下,计算机信息系统安全、系 统运行安全、信息安全、数据安全、功能安全等之间的相互关系可用如下图示进 行清晰、易懂的展示: 2 1 《 专 家 谈 《 网 络 安 全 法 》 草 案 : “ 网 络 安 全 ” 的 定 义 还 可 以 更 为 妥 帖 》, 载 中 国 网 信 网 http://www.cac.gov.cn/2015-07/17/c_1115963431.htm,2020 年 7 月 15 日访问。 2 图表中的信息安全可理解为电子信息安全,数据保密性包括数据传输私密性。 。 77 图 8 计算机信息系统安全示意图 据此,本文初步认为数据安全作为适格刑法法益,较之于计算机信息系统安 全、计算机信息系统运行安全、信息安全等法益更适宜被作为数据犯罪的同类法 益。然而,数据犯罪作为一种类罪,不能成为具体数据犯罪罪名所保护的直接法 益,因此,我们有必要对之继续进行细化解读。目前,已经被《网络安全法》等 前置法升格为法益的数据安全内容包括可用性、保密性与完整性,这三项内容是 刑法中非法获取数据罪与破坏数据罪所保护的直接法益。其一,数据保密性是非 法获取数据罪所保护的直接法益。数据保密性是指只有经过合法授权的用户才可 以访问数据,限制其他人对数据的非法访问,关注数据存储、处理与传输过程中 的数据保密性。司法实践中常见的侵犯数据保密性的行为包括数据包嗅探、网络 钓鱼、回收站搜索、键盘记录、特洛伊木马等;其二,数据的完整性与可用性是 破坏数据罪所保护的直接法益。数据完整性是指未经授权不可擅自改变数据特性, 不能对数据进行删除、修改与增加等破坏性操作,以保证数据在存储、处理或者 传输的过程中保持不被修改、不被破坏与丢失的特性,保证计算机信息系统数据 处于未受损与完整的状态。侵犯数据完整性法益的违法犯罪行为主要有萨米拉攻 击, 1数据欺骗工具、会话劫持等。数据可用性是指已授权实体一旦需要就可以 访问和使用的数据和资源的特性。数据的完整性与可用性之间的关系紧密,对数 1 萨拉米技术是通过计算机程序控制自动进行的一种数据窃取行为,多采用不易觉察的手段,不断偷取、由 少积多的方式进行,以达到某种犯罪目的。 78 据完整性的破坏通常也会影响到数据可用性,因此,立法上常将二者放在一起进 行整体保护。 目前的刑法学研究中由于对上述各类安全法益之间的关系没有能够精准把 握,造成了很多对具体犯罪罪名的理解误解。比如说《计算机犯罪解释》将计算 机信息系统数据解释为计算机信息系统中存储、处理或者传输的一切数据,这一 解释本身具有合理性。然而,在一些学者看来,数据安全法益与计算机信息系统 运行安全法益完全无关,对即便是存储、处理或者传输于计算机信息系统内的, 以文字、图片、视频等形式存在的个人数据进行删改增的行为只会对数据的完整 性与可用性法益造成损害,并不是必然会造成计算机信息系统的不能正常运行, 因此,应将这种行为认定构成数据犯罪以外的其他犯罪。 1本文认为这种理解既 误解了破坏数据罪的保护对象范围,又对计算机信息系统运行安全与刑事实定法 意义上的数据安全法益的关系作出了错误的理解。此外,本文在研究的过程中, 还发现不同的学者在文献中混用了“大数据法益”“网络数据法益”“数据信息 法益”等不同的称谓,笔者认为这些术语与数据安全法益的具体内容并不相同, 在刑事法学研究中宜厘清这些术语相互之间的关系。 其一,数据安全法益体现的是对数据自身安全的重点保护,与信息安全法益、 网络安全法益等有异曲同工之处,同时也与国家的《数据安全法(草案)》等规 范文件中使用的术语保持相对一致。然而,需明确的是两法虽然都能对数据安全 提供保护,但是由于立法目的的不同导致保护侧重不同。比如说在 2020 年 7 月 3 日《数据安全法(草案)》中第 3 条明确的“数据安全,是指通过采取必要措 施,保障数据得到有效保护和合法利用,并持续处于安全状态的能力。”如果直 接移植该定义作为刑法中数据安全法益的内容,将使得数据安全法益的指导立法 与引导司法功能难以实现。因此,本文没有直接采用该草案对数据安全的理解, 而是在采纳计算机技术领域专家与法学领域专家理解的基础上,再对现行刑法中 直接保护数据安全条款进行法益抽象而得出“保密性、完整性与可用性”之数据 安全法益具体内容。同时,前文也提到本文的此种理解符合我国《网络安全法》 中对网络数据的理解。另外,本文没有直接移植《数据安全法(草案)》中关于 数据安全之定义来理解数据安全法益还有另一个原因是笔者认为数据安全法对 1 参见周立波: 《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于 100 个司法判例的实证考 察》 ,载《法治研究》2018 年第 4 期。 79 于数据的理解较之刑法而言过于狭窄,并不符合现实情况。该草案将数据定义为 “任何以电子或非电子形式对信息的记录。”换言之,非信息记录性的纯粹数据 不在《数据安全法(草案)》的保护范围内。然而,刑法惩罚非法获取或者删改 增计算机信息系统数据的行为并不只是保护可被还原为信息的数据,其他类型的 计算机信息系统数据也在刑法的保护范围内。比如,用 FD 抓包软件修改数据以 进行非法充值这一破坏计算机信息系统数据的行为,如果按照《数据安全法(草 案)》对数据的理解将不能再被视为数据犯罪。同理,如果按照《数据安全法(草 案)》对数据的理解出售破解版电视机顶盒、开发软件插件、利用加粉软件强制 加粉等行为也不能被评价为非法获取数据罪。 其二,大数据法益不是法律术语。大数据是指数据众多的数据之集合,也可 以说是一种数据处理技术,其更多的是作为技术称谓而存在的。刑法规范意义上, 我们不可能将大数据本身作为刑法规范的评价对象,相反,我们只能将组成大数 据的各种类型的分散数据作为刑法规范的保护对象。如果我们直接将以数据集合 形式存在的成规模的大数据作为刑法的保护对象,将大数据法益作为刑法罪名所 保护的直接法益,那么必将造成如下不良后果:刑法只对具有规模效应的集合性 大数据提供保护,而对分散存在于各种数据处理系统中的小数据则不提供刑法保 护,这种解释明显违背了认知规律, 1也不满足对数据进行保护的现实需要。因 为如果持本种立场,非法获取数据罪与破坏数据罪的保护对象将完全排除属于个 人的计算机信息系统中存储、处理或者传输的数据,因为这些在个人计算机信息 系统中存储、处理或者传输的数据无论如何都无法满足大数据的规模特性。同时, 这种理解也明显与立法者在刑法中规定非法获取数据罪与破坏数据罪的立法目 的不一致。 其三,网络数据法益、网络信息数据法益等概念排除了对未联网之计算机信 息系统中存储、处理或者传输数据的保护。刑法中数据安全法益的保护对象理应 包括联网的计算机信息系统中存储、处理与传输的本地数据与交互于云端的网络 数据,同时还包括未联网的计算机信息系统中存储、处理与传输的数据。可见, 数据与网络数据的范围是完全不同的,相应的数据安全法益保护范围较之网络数 据法益也不相同,前者保护范围更广泛。同时,网络信息数据法益之表述的实质 1 参见田刚: 《大数据安全视角下计算机数据刑法保护之反思》,载《重庆邮电大学学报(社会科学版) 》2015 年第 3 期。 80 内涵不清,从其字面含义看,至少既应包括以个人信息、国家秘密、商业秘密等 信息安全法益,又应包括经由互联网收集、存储、传输、处理和产生的各种电子 数据。本文认为如果想要强调对数据安全的独立保护,那就应该将数据安全法益 贯彻到底,明确数据法益是以各类电子数据的保密性、完整性与可用性为保护对 象的法益。 二、既有法益理论的检视与评析 (一)对非法获取数据罪保护法益理论的评析 根据表 6 可知,在传统法益理论中,关于非法获取数据罪的单一法益说大概 有四种:计算机信息系统安全、计算机信息系统运行安全、信息安全、数据传输 的私密性(即保密性)。本文其实已经通过图 9 对前述各种“安全法益”之间的 关系进行了梳理与说明,展示了计算机信息系统安全、计算机信息系统运行安全、 数据安全与数据传输私密性等之间的先后包容关系。因此,我们在理解上应不再 存有障碍,即数据安全是数据犯罪保护的同类法益,而数据保密性是非法获取数 据罪保护的直接法益。目前来看,此种解释是最符合非法获取数据罪立法目的的 解释。其一,将本罪保护法益解释为计算机信息系统安全或计算机信息系统运行 安全,属于强调对象认识错误。立法上虽使用“计算机信息系统中存储、处理或 者传输的数据”这一表述,但其强调的重点明显不是计算机信息系统,而是数据, 计算机信息系统的作用仅在于对数据的类型进行限缩,以使这两款内容的保护对 象与传统的纸质介质上存储的数据或者其他形式的数据进行区分。即便说计算机 信息系统中存储、处理或者传输的数据与计算机信息系统安全相关,但数据自身 便具有应受保护的价值,因此,不应该用计算机信息系统安全这一泛化的同类法 益遮蔽数据保密性法益这一具体法益的保护价值。其二,将本罪保护法益解释为 计算机信息系统功能安全属于法益理解错误,超越了条文用语解释的最大含义。 本罪中的保护对象并非仅为影响计算机信息系统功能安全的数据,相反,多数数 据与计算机信息系统功能安全并不关系,比如存储于其中的公民个人数据、商业 数据等均与计算机信息系统功能无关。甚至,单从数据本身来看,与计算机信息 系统运行安全也无关联。 81 目前,需要特别作出回应的是徐凌波副研究员所持的信息安全说。根据信息 安全三要素理论,信息安全也主要包括保密性、可用性与完整性三要素,但信息 安全与本文所强调的数据安全并非同一事物,两者相互关联,但又有区别,理由 有四:其一,从《刑法》第 285 条第 2 款立法表述看,非法获取数据罪所保护的 对象是计算机信息系统中存储、处理或者传输的数据,这里的数据既包括可被还 原为信息的电子数据,也包括不可被还原为信息的电子数据,保护不能被还原为 信息的电子数据显然不能被视为是对信息安全的保护。其二,刑法中的信息是指 个人信息、商业秘密、军事秘密、国家秘密、内幕信息等,刑法中有专门的条文 予以保护,且制定了与第 285 条第 2 款不同的定罪量刑标准。即便第 285 条第 2 款对数据所进行的保护可以间接实现对信息安全的保护,但在是否能够构成相应 的信息安全犯罪这一问题上还需具体问题具体分析。其三,依照数据分层主义立 场,数据与信息具有动态转化关系,但两者却并非相同事物,刑法对数据的保护 关注的是数据本体,而对信息的保护关注的是数据承载的内容,二者保护侧重点 并不相同。其四,刑法保护数据所能实现的功能绝不仅是保护信息安全,同样可 以实现对人身安全、财产安全、知识产权安全、国家安全等法益的保护。总之, 尽管我们可以说非法获取数据罪的适用能间接实现对信息安全法益的保护,但是 却不能说非法获取数据罪所保护的直接法益是信息安全,否则在该法益理论的引 导下一切不以信息安全为目标的非法获取计算机信息系统数据的行为都不能被 评价构成非法获取数据罪。这种理解不仅是对非法获取数据罪的狭义不当解释, 而且与非法获取数据罪的司法实践样态并不相符。通过对第二章的统计数据进行 分析可知,在司法实践中非法获取数据罪的主要犯罪行为类型包括非法获取游戏 账号密码后销售、转让账户内游戏币的行为、非法获取以及出售游戏账号密码或 者 QQ、微博、邮箱等登陆账号密码、针对苹果手机公司产品实施的违法犯罪行 为(包括非法解锁、获取苹果设备出厂编码、非法拦截游戏交易数据等)、非法 获取他人账户转移虚拟币、利用职务便利修改指令发放游戏币的行为等行为皆与 国家秘密、军事秘密、商业秘密、个人信息等信息安全法益的保护没有直接关联 基于此,本文认为将非法获取数据罪所保护的直接法益解释为信息安全法益的观 点并不合理。 82 沿着这一思路,我们可以继续审视非法获取数据罪复数法益说的各种观点, 皮勇教授提出的数据安全与系统功能法益说不合理之处在于,尽管与数据安全同 属于计算机信息系统运行安全的内容,但非法获取数据罪所保护的直接法益不包 括计算机信息系统的功能安全。将第 285 条第 2 款与第 286 条第 1 款、第 2 款的 法条内容进行比较可知,立法者已经注意到计算机信息系统中存储、处理或者传 输的数据与计算机信息系统功能之间存在区别。既然立法者没有在第 285 条第 2 款与第 286 条第 2 款中明确将计算机信息系统功能作为保护对象,我们便不能将 之“视为是立法疏漏所致,而应理解为立法者是有意为之。”1喻海松博士所持的 法益观点看似较为全面,但是将管理秩序法益、运行安全法益以及数据安全法益 等处于不同逻辑层级的法益内容进行并举,最终将导致刑法法益的教义学功能无 法正常发挥。具体而言,对非法获取数据罪的保护法益作如此宽泛的理解,基本 上抹杀了法益对本罪的构成要件解释机能、刑事政策机能与立法批判机能的实现 可能性。事实上,本文认为复数法益说的学者处于一种纠结的状态,既想承认本 罪重点保护的是数据安全,但又怕自己的观点没有处理好数据安全与计算机信息 系统运行安全或者计算机信息系统安全之间的关系,为防止出现错漏便将管理秩 序法益、信息系统安全法益、信息系统功能法益与数据安全法益等内容进行选择 性叠加,以求理论上的稳妥性。这种做法看似保证了数据犯罪法益理论的全面性, 但代价却是牺牲数据犯罪法益理论的立法批判与刑法解释价值,因此,我们不能 称之为是合理的解释。 (二)对破坏数据罪保护法益理论的评析 同理,我们可展开对破坏数据罪保护法益理论的评析:其一,计算机信息系 统安全说过于宽泛。因为即便从总体上看破坏计算机信息系统罪可实现对计算机 信息系统的运行安全、物理安全与环境安全的直接保护,对信息安全的间接保护。 然而,我们在讨论具体个罪的法益内容时实际上是在讨论该具体个罪所保护的直 接法益,而不是其所能保护的同类法益。与破坏数据罪相同,在非法获取数据罪 中立法者也使用了计算机信息系统数据这一表述,明确将之作为非法获取数据罪 的保护对象,并且在“两高”所进行的罪名设置活动中将之确定为非法获取数据 罪,这说明非法获取数据罪保护的法益是数据安全法益,而不是处于宏观同类法 1 劳东燕: 《功能主义刑法解释的体系性控制》 ,载《清华法学》2020 年第 2 期。 83 益地位的计算机信息系统安全。既然如此,我们在解释破坏计算机信息系统第 2 款的保护法益对象时自然也应该保持价值融贯与逻辑融贯,将破坏数据罪的规范 保护目的解释为是对数据安全法益自身的安全提供刑法保护,甚至可以更为具体 的将之解释为是对数据安全法益的可用性与完整性的安全提供刑法保护,而不能 将之解释为是通过对计算机信息系统安全法益的保护实现对数据安全法益的间 接保护。 1 其二,公共秩序说属于对破坏数据罪的保护法益属性之总结,不是可用于指 导破坏数据罪的构成要件解释的具体法益。从现行刑法文本看,本罪排列于《刑 法》第六章妨害社会管理秩序罪,第一节扰乱公共秩序罪中,因此,本罪保护的 同类法益应该是公共秩序。尽管在破坏数据罪的司法适用中强调本罪的公共秩序 属性(集体法益属性)有利于限缩犯罪圈的成立范围,具有将不侵犯公共秩序的 犯罪行为排除在本罪的适用范围外等积极意义。但公共秩序说的含义边界较之前 文提到的计算机信息系统安全说还要宽泛,因而,采纳本说同样无法有效的指导 对破坏数据罪构成要件的解释。 其三,陈兴良教授所持的国家对计算机信息系统管理秩序说,是对立法原意 的沿袭。 2目前,刑法学界对于管理秩序型法益的存在价值颇有微词,否定管理 秩序型法益或者提倡将管理秩序型法益还原为实体性法益的观点越来越流行,因 为他们认为管理秩序型法益“没有进一步的解释管理制度的具体内容,这种大而 不当的表述容易忽视不同管理秩序下所保护的不同制度法益。” 3对此,本文认 为既然我国刑事立法中明确的将市场经济秩序、金融管理秩序等管理秩序型法益 作为刑事立法章节设置与罪名分类的根据,那么,在学理上一味的否定管理秩序 型法益合理性之观点的价值更多的是体现于纯粹的教义学探讨上,实际应用价值 作用不大,司法者在司法适用过程中不可能超越刑事立法文本否定所有的管理秩 序型法益。据此,本文主张不要轻谈废除管理秩序型法益,但是主张在论证刑法 罪名的保护法益内容时如果可以将之解释为更为具体的、具体实际内容的法益时, 1 参见劳东燕: 《功能主义刑法解释的体系性控制》 ,载《清华法学》2020 年第 2 期。 参见高铭暄著: 《中华人民共和国刑法的孕育诞生和发展完善》 ,北京大学出版社 2012 年版,第 513 页。 3 金香爱、刘源: 《“对开”“环开”增值税专用发票行为违法性再思考》 ,载《河南司法警官职业学院学报》 2019 年第 1 期。张明楷教授也认为管理秩序法益“这种抽象的表述并不能揭示刑法分则规定相关犯罪的目 的,而且说某种犯罪侵害了管理制度只能说明如果没有违反国家的相关规定而是经过法律允许的行为,就 不能成立犯罪,但这并不是保护法益的问题,而是有无违法阻却事由的问题。”张明楷著:《刑法的基本立 场(修订版) 》 ,商务印书馆 2019 年版,第 167-180 页。 84 2 便尽可能的避免将之解释为管理秩序型法益。为了彰显对刑事立法目的的尊重, 可将通过解释得出的法益定型为集体法益,以与管理秩序型法益的集体法益属性 保持一致。同时,我们要避免将管理秩序型法益与具有具体意义的法益内容进行 并列,将某一罪名的保护法益解释为复数法益,防止不同逻辑层次的法益内容进 行混乱的并列与重叠,进而避免抹杀法益对相关罪名所具有的构成要件解释功能、 刑立法批判功能的实现可能性。对非法获取数据罪作如此宽泛的理解,基本上抹 杀了法益对本罪的构成要件解释机能、刑事政策机能与立法批判机能的实现可能 性。 针对本罪的复数法益论,高铭暄、马克昌教授的观点事实上是想要强调本罪 保护的法益是个人法益与集体法益,不仅包括国家管理制度,而且包括个人合法 权益。上文已经对此种叠床架屋式的刑法条文法益内容解读方式进行了问题揭示, 本处的问题与上文一致,即均会影响到构成要件解释功能的正常发挥。屈学武教 授提出的国家对计算机信息系统的功能安全、数据安全管理秩序也会遭到前述诟 病,但其在计算机信息系统运行秩序基础上抽象出了功能安全、数据安全两项更 为具体的法益之做法值得认可。最后是刘广三教授所持的数据安全性与应用程序 完整性法益,关注到了数据安全为本罪的保护法益具有合理性。 第三节 数据安全新型法益论之证伪 目前,为强调法益保护的必要性与前沿性,学者们多将数据安全法益称之为 新型法益。本文对这种新型法益论持否定见解,并认为根本没有必要为了强调作 者本人掌握了网络时代或大数据时代的新型理论话语权而强行将早已被立法者 关注到的数据安全法益称之为新型法益。 学界对于如何判断一项法益是否为新型法益这一问题的理解还存在争议。有 学者认为判断一项法益是否为新型法益的时候,我们应该先对该项法益确实属于 刑法规范意义上的法益进行教义学证成,再将之与既有的传统法益进行比较以考 察是否存在与传统法益所不同的新情况,如果经考察判断该项法益在法益内容等 方面与传统法益确有不同,则可认定该项法益为新型法益。 1笔者认为这一判断 规则较为抽象,实操性差,不宜采用。除了这一种观点外,刑法学界还有一种由 1 参见黄鹏: 《数据作为新兴法益的证成》 ,载《重庆大学学报(社会科学版) 》网络首发。 85 张明楷教授提出的,为杨新绿博士等所赞同的 “四规则说”,即主张从经验实 在性、多数人享有性、具有管理可能性、法益主体难以自我保护等四方面展开对 法益新型性的判断。1对于这一判断规则,笔者认为虽看似精准、具体,但是如果 仔细探究其内容,这一判断规则似乎并不是判断某一项法益是否为“新型法益” 的判断规则。因为张明楷教授提出这一判断规则的根本目的是要将德国刑法学者 齐白教授所提到的“新无形利益”和新“无形法律对象”排除在刑法规范意义上 的法益范围之外。 2因此,本文认为张明楷教授提出的前述规则与判断法益新型 性与否的关系不大,该规则的作用是要将单纯的价值理念等内容等排除在刑法法 益的范围之外。 顾名思义,新型法益这一词汇是由“新型”与“法益”组合成的复合词,“新 型”是定语,“法益”是中心语,前者修饰、限定后者。因此,这两者都是一项 法益“新型”与否的判断要点。在哲学中,学者们认为“新事物是指合乎历史发 展趋势的、具有远大前途的东西……新旧事物区别的根本标准在于,是否同历史 发展的必然趋势相符合。” 3可见,哲学研究者是从本质上对新兴事物进行的界 定,此种界定方法具有高度的抽象性,因此,并不能被直接作为判断一项利益是 否为“新型”法益的具体标准。本文认为既然法益是法与利益的组合成的复合词, 且在前实定法的法益概念立场下,没有经过立法者的选择,并以成文规范的形式 予以确认与提供保护的利益不能称之为刑法法益。因此,刑法中法益的“新与旧” 的形式判断标准理应是利益经刑法确认升格为法益的时间先后。当然,只看形式 标准仍不足够,我们还需要结合法益的实质内容进行“新、旧”的判断。比如, 若某一新增条款所保护的法益内容没有变化,只是为适应时代的发展对行为手段 等进行了更新,就不能说该条保护的法益是新型法益。 详言之,以时间为形式量度,以内容为实质量度才能实现对一项法益新型与 否的正确判断。我们不能将那些已经被既有规范予以确认,但却没有在学理中予 以充分挖掘、系统展开的法益视为新型法益。与如今热衷于在计算机网络时代提 出各种“新型法益论”不同,本文认为新型法益之提法价值与意义均有限,其最 1 参见张明楷: 《网络时代的刑事立法》 ,载《法律科学(西北政法大学学报) 》2017 年第 3 期;杨新绿: 《论 拒不履行信息网络安全管理义务罪的法益》 ,载《北方法学》2019 年第 6 期。 2 参见[德]埃里希·希尔根多夫著:《德国刑法学:从传统到现代》,江溯、黄笑岩等译,北京大学出版社 2015 年版,第 387 页。 3 肖前、李秀林、汪永祥著: 《辩证唯物主义原理》 ,人民出版社 1981 年版,第 154-155 页。 86 大的作用或许只是强调某项法益是由某一近期通过的立法修改保护法益内容的 综合判断。通过综合判断,数据安全新型法益论的观点既不能通过时间的形式量 度予以认可,也不能通过内容的实质量度予以认可。因此,本文认为数据安全法 益不是新型法益,而是早已被我国立法者所关注并予以保护的传统法益。其实, 通过比较域内外立法也可见,数据安全法益的刑法保护在计算机犯罪出现初期便 已经被各国立法者所关注,而不是直到大数据时代才受到各国刑事立法者关注的 新型刑法法益。 一、域内立法的沿革考察 如前文所述,1979 年《刑法》中立法者没有设置关于保护数据安全法益的刑 法条文,主要是因为当时计算机造价成本高,技术要求高,普及度较低等原因, 立法者不能作出超越时代与自身认知的全知全能式的超前立法。然而,随着计算 机网络技术的不断发展,计算机逐渐实现台式化、移动化与平民化,普通民众开 始密切接触计算机信息技术,这一社会现象的变化传导到刑法领域体现为犯罪类 型的更迭,针对计算机实施的或者以计算机为工具实施的计算机网络违法犯罪行 为数量爆发式增长,且成为影响社会稳定的重要行为类型。 为应对计算机网络违法犯罪行为带来的冲击,立法者在 1997 年《刑法》中 增设了第 285 条非法侵入系统罪与第 286 条破坏计算机信息系统罪。其中,第 286 条第 2 款明确将计算机信息系统数据作为保护对象。这说明立法者在 1997 年《刑法》制定时,立法者已经意识到了对数据安全法益进行独立保护的必要性, 因此,立法者才在进行第 286 条的罪状表述时将 3 款内容予以罪状区分。到 2009 年《刑法修正案(七)》制定时,立法者又与时俱进的考虑到了应加强对三大重 点领域外计算机信息系统中存储、处理或者传输的数据之保密性的保护,增设了 我国首个专门以数据保密性为直接保护法益的罪名,即非法获取数据罪。后续, 在 2015 年《刑法修正案(九)》中又增设了破坏计算机信息系统罪与非法获取 数据罪的单位犯罪。对于《刑法修正案(九)》将单位列为相关犯罪主体的行为, 本文认为这只是弥补了原有的只处罚自然人针对数据安全实施的犯罪行为之漏 洞,因为现实生活的对数据保密性、可用性与完整性法益进行侵犯的数据犯罪行 为中有相当一部分是由单位主体作出的。如果对相关单位不进行处罚,而仅处罚 实施行为的自然人,必然会造成数据安全犯罪行为的放纵,反促相关单位在实施 87 数据犯罪的同时寻找自然人“替罪羊”以维护其所获取的不正当经济利益。可见, 只要对既有刑事立法作简单的梳理便可知,数据犯罪在我国并不是新的犯罪问题, 数据犯罪与计算机犯罪相伴而生,只是在大数据时代焕发了新的“生机”,获取 了更多的关注。数据安全法益也早已被立法者所关注并以实定法的形式提供保护, 只是由于学界与司法界的理解偏差导致此项法益始终没有能受到重视,直到近期 大数据时代的到来,数据的价值无限膨胀后才重新回到学者们的视野中而已。 综上所述,“数据犯罪并非人工智能时代才出现的新型犯罪”,1数据安全法 益作为实定法的概念,早已被我国立法者纳为刑法法益,并设置了专门刑法条款 予以保护。如今,我们对数据犯罪与数据安全法益问题的研究只不过是对立法原 意的一种追寻,或者说是对过去错误观点的一种矫正,并不是发现了一种应被视 为刑法法益并予以保护的新型利益。 二、域外立法的比较考察 对该问题,我们还可以提供比较法层面的证明。根据观察,笔者认为世界上 主要国家的计算机犯罪治理都是从治理针对计算机系统与数据安全的犯罪行为 开始的。比如,英国在 1990 年便颁布了《计算机滥用法》 (Computer Misuse Act, CMA),此法至今已经经过三次修订,最新一次的修订是在 2015 年 3 月 15 日。 CMA 中关于刑事实体犯罪问题的规定主要有前三条,第 1 条规定“未经授权查 阅计算机数据”的犯罪,即“(1)任何人如果有以下情况,即属于犯罪:(a) 使计算机执行任何功能,以确保对任何计算机中保存的任何程序或数据的访问, 或者确保任何此类访问都能得到保障;(b)这个他打算确保的,或者欲为之提 供保障的访问是未经授权的;及(c)他知道,当他使计算机执行功能时,情况 就是这样。(2)任何人犯本条所订罪行的意图,无须针对(a)任何特定的程序 或数据;(b)任何特定种类的程序或数据;(c)任何特定计算机中的程序或数 据。” 2第 2 条规定的是“通过非法侵入意图实施或者协助实施其他犯罪”的规 定,根据本条的规定,如果实施非法侵入行为是为了自己或者协助他人实施其他 犯罪便构成本罪,而不论其进一步的罪行是在与非法进入罪行相同的情况下实施, 还是在日后的任何场合实施,这些都不重要。同时,即使有证据证明不可能再实 1 刘宪权、汤君: 《人工智能时代数据犯罪的刑法规制》 ,载《人民检察》2019 年第 13 期。 Computer Misuse Act 1990,https://www.legislation.gov.uk/ukpga/1990/18/section/1/2015-0503#commentary-c19759931,2020 年 4 月 28 日访问。 88 2 施另一项犯罪行为也构成本罪。 1第 3 条所规定的罪名是“损害计算机犯罪”, 即只要一个人实施了任何没有经过授权的计算机操作行为,且实施该行为时知道 自己是没有经过授权的,同时还满足如下条件便构成犯罪:如果是意图通过该行 为实现(a)破坏任何计算机的运行;(b)阻止或阻碍访问任何计算机中保存的 任何程序与数据;或者(c)损害任何此类程序的运行或者任何此类数据的可靠 性;或者(d)使上述(a)到(c)项内容得以实施。如果行为人对于其行为是否 会造成上述(a)到(c)中的任何结果持轻率的态度,本罪也适用。并且以上第 2 款、第 3 款中的轻率行为不需要与任何计算机、任何计算机程序或数据、任何 特定类型的程序或数据有关联。该罪中的行为(a)本节中实施一个行为,包括 导致一个行为被实施;(b)行为包括一系列的行为;(d)对某物的损坏、阻止 或妨碍包括临时性的实施这些行为。2可见,英国《计算机滥用法》的关注重点便 是没有经过授权或超越授权对计算机信息系统中数据造成损害的犯罪行为,以及 与之相关的犯罪帮助行为。 早在上世纪 70 年代,美国便出现了滥用计算机实施的犯罪行为或者针对计 算机实施的违法犯罪行为。然而,当时美国的司法者是通过扩张解释原有法条的 方式处理新类型的计算机犯罪。直到 1984 年美国国会通过的《全面控制犯罪法》 (Comprehensive Crime Control Act)中专门增设了计算机犯罪条文,后来这些刑 法条款的内容又被规定在 1986 年正式命名为《计算机欺诈与滥用法》 (Computer Fraud and Abuse Act,CFAA),编入美国联邦法典,位于第 18 编第 1030 条(18 U.S.C. § 1030)。至今,CFAA 已先后经过四次修正。3其中,第 1030(a)(1) 条规定“任何人故意无权或越权侵入计算机,借此取得美国政府基于国防或外交 理由而依据行政命令或法律禁止无权揭露的信息,或者任何如同 1954 年原子能 法第 11 条第 y 项所定义之受限制数据资料,且足以认定此信息可被用于对美国 造成损害,或者是为了外国的利益,故意通信、交付、传送或致使被通信、交付、 1 Computer Misuse Act 1990,https://www.legislation.gov.uk/ukpga/1990/18/section/2,2020 年 4 月 29 日访问。 2 Computer Misuse Act 1990,https://www.legislation.gov.uk/ukpga/1990/18/section/3,2020 年 4 月 29 日访问。 3 1994 年《暴力犯罪控制与法律执行法》Violent Crime Control andLaw Enforcement Act of 1994)、 1996 年《国家信息基础设施保护法》 (National Information Infra-structure Protection Act of 1996)、 2001 年《爱国者法》 (Uniting and Strengthening America by Provi-ding Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001,USAPA-TRIOT)、2008 年《身份盗窃与赔偿法》 ( Identity Theft Enforcement and Res-titution Act of 2008)。参见高仕银: 《美国政府规制计算机网 络犯罪的立法进程及其特点》 ,载《美国研究》2017 年第 1 期。 89 传送或者意图通信、交付、传送,或致使其被通信、交付、发送于无权的接收者, 或者故意保留相同文件,未将其交给有权接收的美国政府官员或其雇员。”第 1030(a)(5)条规定“任何人(A)故意导致程序、信息、代码与指令的传播, 并因该行为而故意未经授权的对一台受保护的计算机造成了破坏。(B)故意无 权侵入受保护的计算机,并且该种轻率的行为造成了损害;或者(C)故意无权 侵入受保护的计算机,并且因该行为造成了损害与损失。”第 1030(a)(6)条 “任何人故意且意图欺诈交易(按照第 1029 条定义)任何可以用来无权侵入计 算机的密码或者类似信息,如果(A)这类交易将影响州际或国际贸易;(B)该 计算机被美国政府使用或用于美国政府。”第 1030(a)(7)条“任何人意图向 他人勒索财物或其他有价值的东西,而在州际或国际贸易中传输包含任何(A) 威胁对受保护的计算机造成损害;(B)威胁无权或越权从受保护的计算机中获 取信息,或者说威胁损害无权或越权从受保护的计算机中获取信息的保密性;或 者(C)要求或请求与时损害受保护计算机有关的金钱或者其他贵重物品,且该 损害有助于实现勒索行为。” 1从这些立法条文可见,尽管美国立法一开始便受 制于其立法惯例将信息为主要保护对象,但是并没有完全忽视对数据资料以及代 码指令等计算机信息系统数据本体的保护,即并没有完全忽视对数据安全法益的 保护。 大约在上世纪 70 年代初,德国便发生了第一起计算机犯罪,自此,德国社 会各界开始密切关注数据的刑法保护问题。 2在立法层面,与数据的刑法保护有 密切关联的是《德国第二部与经济犯罪作斗争法》,本法中规定了现行《德国刑 法》中的第 202 条 a 探知数据罪等。德国立法者针对计算机犯罪进行的最近一次 立法是 2007 年的 8 月 7 日通过的“为打击计算机犯罪的《刑法》第 41 修正案”, “该修正案完成了欧洲理事会《关于网络犯罪的公约》和欧盟委员会《关于打击 计算机犯罪的框架决议》在德国法中的移植,……将德国网络犯罪立法提升到了 新的高度,有利于遏制德国社会日益严重的新型网络犯罪。”3第 41 修正案涉及 的法条主要是第 202 a 探知数据罪、第 303 条 a 变更数据罪和第 303 条 b 破坏计 算机罪,增加的法条是第 202 条 b 截取数据罪和第 202 条 c 探知数据和截取数据 1 Chritine Licalzi.Computer Crimes,American Criminal Law Review,Vol.54:1025. 参见申柳华: 《德国刑法计算机犯罪修正案研究》 ,载明辉.李昊主编: 《北航法律评论》 (2013 年第 1 辑) , 法律出版社 2014 年版,第 232 页。 3 皮勇: 《论欧洲刑事法一体化背景下的德国网络犯罪立法》 ,载《中外法学》2011 年第 5 期。 90 2 的预备。 1从德国刑事立法的具体内容看,其计算机犯罪罪名体系的核心便是数 据,在德国刑法中对数据的保护并不依赖于对计算机信息系统的保护。 日本的立法者在较早时期便关注到了对数据进行保护的必要性,1987 年立 法者在修订刑法典的时候便已经明确界定了“电磁记录”的含义。2在对“电磁记 录”进行明确的基础上,日本刑法分则部分规定了第 161 条之二的“不正当制作 和提供电磁记录罪”等。其中,第 157 条与第 234 条之二的规定可以被划分为以 “电磁记录”为工具的犯罪,第 161 条之二、第 163 条之二、第 258 条以及第 259 条可以被划分为以“电磁记录”为对象的犯罪。通过对前述各罪名的具体表 述看,尽管以“电磁记录”为工具的犯罪罪名所保护的直接法益并非“电磁记录” 的安全,但是以“电磁记录”为对象的犯罪所保护的直接法益明显是各种类型的 “电磁记录”的安全,比如针对第 163 条之二的“非法制作、提供使用、出让支 付用磁卡罪”,“根据立法起草机关的说明,本罪的保护法益为,对于构成支付 用磁卡的电磁记录的真实性,以及使用这些支付用磁卡的支付体系的社会信赖。” 3 这里的电磁记录,从其实质内涵看与我国的电磁数据、电子数据等概念所指涉 的范围基本相同。 由上可知,英国、美国、德国、日本等国对计算机犯罪的治理都是以计算机 设备本身、计算机信息系统与计算机数据的保护为开端。除去域外各国国内立法 外,笔者还关注到一些国际或地区性公约中也同样对计算机犯罪作了规定,而且 相关规定符合本文论断:即对计算机本身、计算机系统与计算机数据的保护是计 算机犯罪治理的开端。比如《网络犯罪公约》第一章为“术语的使用”,界定了 计算机系统(computer system)、计算机数据(computer data)、计算机服务提 供者(service provider)等。第二章是“国家层面上的措施”(包括刑事实体法、 刑事程序法与管辖权),在该章实体法部分一共规定了九种具体的计算机犯罪类 型要求所有的缔约国立法禁止与处罚之,包括非法拦截数据、非法干扰数据等。 4 仔细观察英国、美国、德国、日本等老牌网络发达国家的计算机犯罪立法,我们 总是可以发现《网络犯罪公约》的影子,这是因为这些国家大多是《网络犯罪公 1 参见申柳华: 《德国刑法计算机犯罪修正案研究》 ,载载明辉.李昊主编: 《北航法律评论》 (2013 年第 1 辑) , 法律出版社 2014 年版,第 232 页。 2 电磁记录是指电子方式、电磁方式以及其他不被人感知的方法制作的电子计算机处理信息使用的记录。 参见《日本刑法及特别刑法纵览》 ,张凌、于秀峰编译,人民法院出版社 2017 年版,第 8 页; 3 【日】西田典之著、桥爪隆补订: 《日本刑法各论》 (第七版),法律出版社 2020 年版,第 394 页。 4 参见冯震宇: 《网络犯罪与网络犯罪公约(上) 》 ,载《月旦法学教室》 ,第 4 期。 91 约》的缔约国,所以各国国内立法受到《网络犯罪公约》这一外在的强制性法律 因素推动与限制。 1尽管为了争取更多国家的加入,在《网络犯罪公约》第 40、 42 条中又授权各国可以对上述条款全部或部分保留,但主要的缔约国基本上都 已经依据《网络犯罪公约》与各国计算机犯罪治理的需要完成了本国国内立法的 改造工作。 综上所述,数据安全法益并不是大数据时代的新型法益,其在计算机犯罪的 刑法治理初期便已经受到了世界各国立法者的关注。这一结论理应成为我国数据 犯罪研究的基本共识。 1 《网络犯罪公约》第 13 条明文规定“缔约方应制定必要的国内法或者其他规定,保证对触犯公约第 211 条的犯罪人处以有效、相称、劝诫作用的刑罚,包括对自由的剥夺。 ” 92 第四章 法益与数据犯罪构成要件的解释 数据犯罪保护法益问题的解决为我们进一步解决前述数据犯罪司法适用中 存在的各种问题奠定了解释论的基础,即以数据安全法益为工具对数据犯罪的构 成要件进行解释,以尽可能明确数据犯罪内部的构成要件问题,减少数据犯罪司 法适用时因司法者对构成要件的理解争议而造成的适用争议。 第一节 数据犯罪的行为对象 成文刑法规范是判断数据是否为犯罪对象的首要标准。从 1997 年《刑法》 非法获取数据罪与破坏数据罪的立法表述看,计算机信息系统数据是我国刑法明 文规定的犯罪对象。此外,细致研究这两个刑法条款,我们还可发现:其一,立 法者除了对保护范围作了区分外,非法获取数据罪与破坏数据罪所保护的对象都 是“计算机信息系统中存储、处理或者传输的数据”。其二,非法获取数据罪与 破坏数据罪在行为手段与行为结果方面要求不同。在行为手段方面,非法获取数 据罪为复行为犯,行为手段是“非法侵入/其他技术手段+获取”,而破坏数据罪 的行为手段是“非法修改、删除与增加”;在行为结果方面,非法获取数据罪要 求行为的法益侵害性一定要达到情节严重的程度,而破坏数据罪则是要求行为的 法益侵害性一定要达到后果严重的程度。对于两者在行为手段与行为结果方面的 要求,笔者放在下文第二节与第三节中进行论述,本节仅针对数据犯罪共性要件 之“计算机信息系统数据”的含义进行充分的延伸讨论。 作为数据犯罪的共性要件,对刑法中“计算机信息系统数据”的含义进行解 释时理应注意融贯协调, “根据刑法条文在刑法中的地位,联系相关法条的含义, 阐明其规范意旨。”1然而,据笔者观察,针对“计算机信息系统数据”的解释却 呈现出另一番景象,大多数只是对数据犯罪各罪中的数据进行碎片化的考察,不 注重所作解释结论的体系自洽。目前,学界对于刑法中“计算机信息系统数据” 的研究主要有两种模式:一种是完全分离的模式。在论述“计算机信息系统数据” 之含义时仅讨论非法获取数据罪或者破坏数据罪,对两者之间的关系并不关注。 另一种是相对分离的模式。在论述“计算机信息系统数据”之含义时,有将非法 1 张明楷著: 《罪刑法定与刑法解释》 ,北京大学出版社 2009 年版,第 144 页。 93 获取数据罪与破坏数据罪作为类罪进行体系解释的趣向,但却在具体展开时不自 觉地对二者进行割裂分析。为了防止本文的结论也出现上述体系性割裂的问题, 笔者在下文论述时将先以非法获取数据罪与破坏数据罪作为两大类别,梳理目前 学界的相关观点,并在标题三中对上述观点进行体系的审视性考察,以明确作为 数据犯罪共性要件之“计算机信息系统数据”的规范含义。 一、关于非法获取数据罪中“计算机信息系统数据”的解释争 议 (一)扩张论 扩张论,即指认为既有刑法对数据保护的范围过于狭窄,为实现对数据的充 足保护应扩张刑法所保护数据范围的立场。扩张论者认为“计算机信息系统中存 储、处理或者传输数据”的立法表述说明立法者有意将非法获取数据罪所保护的 数据限定于计算机信息系统范围内,仅指系统内存储、处理或传输的静态数据库 安全。换言之,只有计算机信息系统内部,与计算机信息系统功能相关的数据才 能成为本罪的保护对象,其他的数据则被排除在非法获取数据罪的保护范围之外。 1 此外,根据全国人大法工委在论证非法获取数据罪可罚性时提出观点以及“两 高”在《计算机犯罪解释》中对非法获取数据罪情节严重的解释中重点强调了“身 份认证信息”的保护等理由,该论者又得出了立法者与司法者有将本罪保护范围 进一步限缩为“身份认证信息”的结论。2据此,其提出目前非法获取数据罪难以 适应大数据时代的保护要求,不能承载起实现对大数据时代数据安全保护的重任, 为实现对数据安全的充分保护,须破除限制对数据安全进行保护的双重障碍:非 法获取数据罪的前行行为与数据的逻辑边界,将本罪修改为非法获取网络数据罪, 3 以保证将采用所有犯罪手段行为,侵犯所有网络数据的非内部恶意数据获取行 为纳入到刑事法律的调整范围内。 扩张论影响较广,被多数数据犯罪研究者所采纳。比如,王倩云博士认为本 罪仅能保护用于确认用户操作权限的身份信息,而其他数据则不是《刑法》意义 1 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。相似的 结论还可参见陆旭、郑丽莉: 《以数据为媒介侵犯传统法益行为的刑法规制》 ,载《中国检察官》2012 年第 12 期等。 3 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 94 2 上的数据,因此,对计算机信息系统数据应作扩张解释。1再如,李怀胜教授认为 本罪的保护对象不包括网页浏览痕迹、下载记录等数据。 2与之相似的观点还有 很多,本处便不再进行一一列举。总的来讲,扩张论者的论证思路可以用三点前 提与一点结论进行概括。三点前提分别是:(1)刑事立法上数据范围受到不当 限缩,正由于立法者将数据局限于“计算机信息系统中存储、处理与传输”的数 据导致既有的数据安全保护侧重于对狭隘的、静态的、封闭的数据库数据的保护。 (2)刑事司法中“两高”将司法解释作为工具再次限缩了非法获取数据罪所保 护之数据的范围,将本罪中数据保护范围限缩于用于确认操作权限的“身份认证 信息”。(3)在大数据时代,我们应关注对动态数据的链条式保护,而既有的 数据犯罪刑事立法规范无法为之提供链条式的保护。一点结论即为:由于立法与 司法对刑法保护数据范围的不当限缩,导致刑法中数据概念具有滞后性与局限性, 为适应大数据时代数据犯罪治理的需要,应删除掉对非法获取数据罪的限制条件, 即删除掉“侵入/其他技术手段”与“计算机信息系统”两个立法者设置的犯罪限 制性条件,以将采用所有的手段,侵犯所有数据的行为都纳入到既有刑法的评价 范围以内。 (二)限缩论 限缩论,即认为目前刑法学中对于“计算机信息系统数据”的范围理解过于 宽泛,应进行一定程度限缩之观点。笔者目力所及,限缩论始于李遐桢教授,其 认为依据《计算机犯罪解释》第 1 条之规定,数据包括身份认证信息、图片、文 字、影像资料以及专有的程序或软件等。可是,为限缩非法获取数据罪的适用范 围,有必要将以下几种数据排除在外:数据化权利,如电子图书、电子票据等财 产表现形式的数据;虚拟财产;国防建设等三大重点领域数据;网络信号资源; 商业秘密等。 3杨志琼博士也持限缩论立场。杨志琼博士通过简单的实证分析得 出非法获取数据罪在司法适用中已经被泛化为了“口袋罪”的结论。同时,其认 为实践表明非法获取数据罪保护的数据不仅包括《计算机犯罪解释》所明确要求 侧重保护的身份认证信息,还包括网络虚拟财产、网络知识产权、其他网络财产 性利益和数据产品等等,这导致刑法适用领域出现了非法获取数据罪“既架空了 1 参见王倩云: 《人工智能背景下数据犯罪的刑法规制思路》 ,载《法学论坛》2019 年第 3 期。 参见李怀胜: 《数据开放的刑法边界》 ,载《中国信息安全》2018 年第 12 期。 3 参见李遐桢、侯春平: 《论非法获取计算机信息系统数据罪的认定—以法解释学为视角》 ,载《河北法学》 2014 年第 5 期。 95 2 部分侵犯公民个人信息犯罪和财产犯罪,也侵蚀了知识产权犯罪”的问题。 1因 此,为了在司法操作中有效地对非法获取数据罪进行去口袋化,刑法理论上需要 对非法获取数据罪保护的数据范围进行适度限缩,包括去财产化、去识别化以及 去创造性,进而区分本罪与财产犯罪、侵犯公民个人信息犯罪以及知识产权犯罪 的边界,保证刑法罪名各司其职,“各管一摊”。 2 综上,学界对于如何解释非法获取数据罪中“计算机信息系统数据”出现了 两种截然相反的态度。扩张论意见较为一致,均认为应卸掉立法者施加在非法获 取数据罪身上的枷锁,去除对该罪犯罪手段的技术性要求以保证所有非法获取计 算机信息系统数据的行为都可以被纳入到非法获取数据罪的调整范围内。同时, 刑法上海应该去除数据需是在“计算机信息系统中存储、处理或者传输”的数据 这一限制以使全部类型的数据都成为非法获取数据罪的保护对象。限缩论内部还 存在观点分歧,立法者在非法获取数据罪的立法中以罪状形式明确要求不能包括 的三大重点领域计算机信息系统数据这一限制外,学者们针对非法获取数据罪应 再做哪些调整,如何进行调整等问题都没能形成一致意见。从支持者数量来看, 目前刑法学界支持对非法获取数据罪中的数据进行适度扩张解释的学者居多,支 持进行限缩解释的学者较少。 二、关于破坏数据罪中“计算机信息系统数据”的解释争议 与非法获取数据罪不同,对破坏数据罪中“计算机信息系统数据”的解释争 议可被归纳为平义论与限缩论。 (一)平义论 平义论,即指依据立法条文之字面含义对破坏数据罪中之计算机信息系统数 据进行解释。因为《刑法》第 286 条第 2 款在立法表述时没有对计算机信息系统 1 参见杨志琼: 《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》 ,载《法学评论(双 月刊) 》2018 年第 6 期。 2 笔者之所以用“各管一摊”来形容杨志琼博士的观点,是因为在其文中明确提到了“在我国刑法中,非 法获取数据的行为要么侵害了数据安全被认定为非法获取计算机信息系统数据罪,要么侵犯了以数据为媒 介、工具的传统法益而构成传统犯罪,不可能同时侵犯数据安全新型法益与传统法益,因而也就不存在一 个非法获取行为同时符合数个罪名的法条竞合或想象竞合之情形。”可见,在杨志琼博士的行文体系下通 过限缩数据的范围可以避免非法获取计算机信息系统数据罪与其他犯罪间竞合情形的出现,使各罪名的适 用边界绝对明确,因而是“各管一摊”。参见杨志琼: 《非法获取计算机信息系统数据罪‘口袋化’的实证 分析及其处理路径》 ,载《法学评论(双月刊) 》2018 年第 6 期;杨志琼: 《我国数据犯罪的司法困境与出 路:以数据安全法益为中心》 ,载《环球法律评论》2019 年第 6 期。 96 数据作出文义限缩,同时,也没有要求本款与第 1 款、第 3 款一样必须对计算机 信息系统的正常运行造成不利影响。1因此,对本款中的“计算机信息系统数据” 作平义解释后可知,本款中的“计算机信息系统数据”不必与计算机信息系统运 行相关,只需要是在计算机信息系统中存储、处理或者传输的数据即可。另外, 由于第 286 条第 2 款与第 285 条第 2 款相比,并没有将三大重点领域的计算机 信息系统数据排除在保护范围外。因此,第 286 条第 2 款所保护的计算机信息系 统数据应该是指一切在计算机信息系统中存储、处理或者传输的数据。 (二)限缩论 限缩论,即指解释破坏数据罪中的计算机信息系统数据时应将之与计算机信 息系统功能直接关联,只有那些被删除、修改或者增加后能够影响到计算机信息 系统运行的数据才是本罪的保护对象。经过对限缩论者观点的类型分析可知,限 缩论者的行文逻辑是:破坏计算机信息系统罪在刑事司法适用中异化为了口袋罪, 而这一异化的源头是司法实践中泛化解释了第 286 条第 2 款中的计算机信息系 统数据。因而,为避免破坏计算机信息系统罪在司法实践中继续呈现适用泛化的 态度,减少破坏计算机信息系统罪对其他罪名适用范围的不当侵蚀,有必要对第 286 条第 2 款保护的数据进行适度限缩解释,以实现对破坏计算机信息系统罪进 行去口袋化的规范效用。 较早关注到破坏计算机信息系统罪的司法适用呈现口袋化问题者为于志刚 教授,其认为导致破坏计算机信息系统罪成为口袋罪的原因是司法机关对第 286 条第 2 款中数据的扩张解读。 2在于教授看来,破坏计算机信息系统罪与传统的 口袋罪,如非法经营罪、寻衅滋事罪等相比,其口袋袋口应属最大,可以将利用 计算机实施的其他犯罪与其他计算机犯罪全部容纳进去。因为在计算机网络日益 普及的现实背景下,任何对计算机信息系统的操作都会使得数据增加。从而,司 法机关移花接木式的将计算机信息系统功能转变为计算机信息系统数据的行为, 将使得所有以计算机信息系统为工具或对象的犯罪行为都会同时构成其他犯罪 与破坏计算机信息系统罪,这就使得破坏计算机信息系统罪成为无所不装的大 1 胡春健、孙伟: 《破坏计算机信息系统罪的规范分析》 ,载《中国检察官》2019 年第 4 期。 所有对于计算机信息系统数据的删除、修改、增加、干扰行为,无论是否危及计算机信息系统功能的正常 运行和安全状态,都会被司法机关视为符合‘破坏计算机信息系统罪’的罪状描述,这一罪名因而被‘口 袋化’ 。参见于志刚: 《口袋罪的时代变迁、当前乱象与消减思路》 ,载《法学家》2013 年第 3 期。 97 2 “口袋罪”。 1也是基于破坏计算机信息系统罪已经成为口袋罪这一论断,周立 波博士、俞小海博士等都提出了要对破坏计算机信息系统罪进行限缩性解释或者 限缩性修改的立场。如周立波博士认为既要在立法上完善破坏数据罪的构成要件, 又要在司法上限缩解释计算机信息系统数据,将第 286 条第 2 款的后果严重理解 为“造成计算机信息系统不能正常运行”,并且只有系统数据才是本罪的保护对 象。 2与之略微不同,俞小海博士尽管也主张限缩解释破坏计算机信息系统罪中 的数据,但是却反对形式化的分为系统数据与非系统数据,而是主张采用实质化 的分类标准将数据分为核心数据与非核心数据,只有对计算机信系统安全造成影 响的核心数据才是本罪的保护对象。“唯此,才能为破坏计算机信息系统罪划定 合理边界,实现刑事处罚的准确性。” 3 综上可知,平义论与限缩论之争并不是简单的如何解释破坏数据罪中所保护 的“计算机信息系统中存储、处理或者传输的数据”的范围问题,更深层次的问 题是我们应如何理解第 286 条第 2 款中的后果严重与第 1 款、第 3 款间后果严 重的关系。对后一问题的解读将直接影响到对本款中数据的解释。平义论多主张 依照本罪写明的罪状进行文义解释,既然立法者并未明确规定第 286 条第 2 款之 后果严重须达到造成计算机信息系统不能正常运行的程度,那么就说明构成本罪 并不需要达到该种程度,进而也就不需要本罪中的数据与计算机信息系统功能有 直接、必然的关联。限缩论则多主张从目的解释、体系解释以及维护国民预测可 能性等角度入手解释第 286 条 3 款中的后果严重,主张第 286 条第 2 款中的后 果严重也应该解释为“造成计算机信息系统不能正常运行,后果严重”。因此, 如果对数据进行删改增的行为并没有造成计算机信息系统不能正常运行的情形 下,即不会构成本罪,否则将会造成该罪“口袋化”问题的加剧。4本文认为上述 争议清晰的为我们后续对于第 286 条第 2 款中数据之研究指明了道路,即应注意 分析第 286 条中三个后果严重之间的关系。 1 参见于志刚: 《口袋罪的时代变迁、当前乱象与消减思路》 ,载《法学家》2013 年第 3 期。 参见周立波: 《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于 100 个司法判例的实证考察》 , 载《法治研究》2018 年第 4 期。 3 俞小海: 《破坏计算机信息系统罪之司法实践分析与规范含义重构》 ,载《交大法学》2015 年第 3 期。赞 同该观点的其他论者,可参见王禹: 《计算机信息系统犯罪的行为透视—以“破坏”和“非法控制”的界限 与竞合为视角》 ,载《江西警察学院学报》2019 年第 2 期。 4 参见周立波: 《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于 100 个司法判例的实证考察》 , 载《法治研究》2018 年第 4 期。 98 2 三、刑法所保护“计算机信息系统数据”的含义解释 (一)刑法中的“计算机信息系统数据”:所有类型的数据 对“计算机信息系统数据”的解释将直接影响非法获取数据罪与破坏数据罪 的司法认定。为与上文笔者所作梳理形成前后呼应,笔者将在反思各位学者观点 的基础上阐明个人的如下立场:刑法所保护的计算机信息系统数据包括所有类型 的计算机信息系统中存储、处理或者传输的数据。除去非法获取数据罪由于立法 规定明文排除了对重点领域计算机信息系统中存储、处理或者传输数据的保护外, 对非法获取数据罪与破坏数据罪中数据的解释应保持结论一致,以保证解释结论 的体系协调。 1.非法获取数据罪扩张论意见之否定 根据非法获取数据罪中扩张论者们的意见,造成刑法保护数据范围过于狭窄 的原因是:立法与司法对于刑法中数据的双重限缩。由于立法上使用了“计算机 信息系统中存储、处理或者传输的数据”这一表述,使得既有刑法所保护的数据 限于狭隘的、静态的、封闭的数据库数据。司法上《计算机犯罪解释》又将该罪 中的数据限缩为“身份认证信息”。那么,该种理解究竟是否正确呢?对此,笔 者持否定意见,并认为无论从立法原因,还是从司法解释角度看均不能证成上述 观点,将上述观点称之为对既有刑法条文、立法原意与司法解释的误读也不为过。 理由有三: 其一,根据非法获取数据罪的立法表述可知,刑法中不属于非法获取数据罪 调整范围的情形有三种:一是未违反前置法规定,也即获取数据的行为未违反国 家规定;二是未违反范围限定,即获取的数据是三大重点领域内的数据;三是非 法获取数据的行为未采取技术手段。从罪状表述中我们无法得出本罪是为了保护 计算机信息系统功能、被存储于计算机信息系统中的静态数据这一结论。 其二,笔者同样查阅了相关立法理由,并得到如下材料证明全国人大法工委 未试图将本罪数据“局限于以验证为内容的数据”, 1根据全国人大法工委的理 解 “计算机信息系统中‘存储’的数据是指用户计算机信息系统的硬盘或其他 存储介质中保存的信息,如用户计算机中存储的文件等。计算机信息系统中‘处 理’的数据,是指他人计算机信息系统正在运算中的信息。计算机信息系统中‘传 1 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 99 输’的数据,是指他人计算机信息系统各设备、设施之间,或者与其他计算机信 息系统之间正在交换、输送中的信息,如敲击键盘、移动鼠标向主机发出操作指 令,就会在键盘、鼠标与计算机主机之间产生数据的传输。‘存储’、‘处理’、 ‘传输’这三种形态,涵括了计算机信息系统中所有的数据形态。”1从该解释可 以看出立法者并没有仅关注在计算机信息系统中存储的数据,也没有将本罪保护 的数据限缩于静态的数据库安全,更没有将本罪保护的数据再次限缩为“数据库 中比较狭隘的身份认证信息”,同时还没有超越立法文本的罪状表述将计算机信 息系统功能实现作为非法获取数据罪的保护对象,进而主张本罪保护的对象是为 了实现计算机信息系统功能、依照一定的组织目标进行排列和规整的内部数据。 其三,对于第 285 条第 2 款所保护的“数据类型是身份认证信息”这一论 断,笔者也持否定见解。其实,即便不论《计算机犯罪解释》仅为司法解释,不 具有立法的效力,不会影响非法获取数据罪的构成要件定型这一规范现实。我们 仅分析《计算机犯罪解释》第 1 条也可知,“两高”并没有将“计算机信息系统 中存储、处理或者传输的数据”解释为“身份认证信息”的意图,“身份认证信 息”只是判断非法获取数据罪情节严重与否的一个重要标准。在《计算机犯罪解 释》第 1 条中除“身份认证信息”标准外,还有违法所得、经济损失等数额标准 以及其他情形兜底条款。这说明一旦行为人实施的非法获取计算机信息系统数据 行为(包括身份认证信息在内的所有数据),只要达到上述的入罪标准即可,即 便不符合身份认证信息数量标准与犯罪数额标准,还可以通过适用兜底条款的方 式将侵犯其他数据且情节严重的犯罪行为纳入到本罪调整范围内,只不过在适用 兜底条款时应更加谨慎,注意与法益保护目的相结合,以防本罪犯罪圈的无限扩 大。笔者还观察到《计算机犯罪解释》将“计算机信息系统”与“计算机系统” 作了趋同扩张解释,使计算机信息系统概念的涵摄范围大幅扩张,只要是具有了 自动处理数据功能的系统都可以被称之为刑法规范意义上的计算机信息系统。如 此,不仅包括硬件设备的各种传感器、手机、平板电脑等,而且包括属于软件程 序的微信等 APP 均可以被评价为计算机信息系统。这些计算机信息系统所收集、 存储、处理与传输的数据无论是进行本地存储,还是进行云端存储,亦或者使用 专门的存储介质(移动硬盘等),只要对存储、处理或者传输于内的数据实施非 1 全国人大常委会法制工作委员会刑法室编: 《中华人民共和国刑法条文说明、立法理由及相关规定》 ,北京 大学出版社 2009 年版,第 591 页。 100 法获取行为都可以构成本罪。这也证明了本罪保护数据的对象并非仅是身份认证 信息,对其他类型的计算机信息系统数据也提供保护才是法条的本义。 1 此外,本文还关注到有论者提出本罪保护对象“与其说是数据,不如说是信 息”结论的论据是高铭暄、马克昌教授主编的 2011 年《刑法学》第五版中的定 义,即将数据理解为“在计算机信息系统中实际处理的一切文字、符号、声音、 图像等内容有意义的组合。”2然而,翻阅最新版的 2017 年《刑法学》第八版后 发现,对数据的该种说明已经在教材中予以删除,说明教材的编写者也注意到了 自己将数据理解为内容有意义的组合可能会引起歧义,不再坚持作此种解释。这 从反向证明了王倩云博士文中的观点之合理性存疑。退一步说,即便说我们考虑 到两位先生的学术权威,将 2011 年版教材中的观点视为对立法者原意的归纳, 也不能得出本罪的保护对象就是“与其说是数据,不如说是数据背后的信息”这 一结论。因为对于具体的数据是什么、信息是什么这些内容至今都没有明确的立 法解释出台,甚至连司法解释都没有,在此背景下草草的将本罪的保护对象之“数 据”解释为“信息”,甚至进一步解释为“身份认证信息”,显然并不合理。总 之,本文认为我们没有必要通过不当限缩解释既有刑法条文的方式来达到尖锐数 据安全法益保护现状及其需求间矛盾的目的。 前文中笔者提到了非法获取数据罪的三点行文前提,其中两点即为笔者所反 驳的立法理由与司法解释。而其第三点行文前提是大数据时代数据数量与类型都 呈现爆发增长态势,数据安全风险问题日益严峻,为保护各类数据安全,实现数 据产业健康发展,有必要将更多的数据纳入保护范围内。可是,这一前提能够起 到的作用仅是强调要增强对数据安全的保护而已。只有在原有的保护范围较为狭 窄的情形下,才能够起到推动立法修改与司法解释出台的作用以使得相关罪名保 护范围扩大到合理的程度。然而,经过本文的梳理可见,作为非法获取数据罪扩 张论者行文的前两点重要的前提:立法理由与司法解释均被证明不成立,即立法 者并未有意于将本罪保护范围限缩为身份认证信息,其只是将账号与密码盗用行 为作为本罪打击的重点犯罪行为而已。司法者也并未将本罪的保护范围限缩为身 1 本文观点也得到了皮勇教授、欧阳本祺教授等赞同,实际上,从《计算机犯罪解释》第 1 条对情节严重的 解读中,至多只能得到“身份认证信息”是非法获取计算机信息系统数据罪的主要保护对象而已,并不能 得出本罪数据仅保护身份认证信息的结论。参见皮勇、葛金芬: 《网络游戏虚拟物数据本质之回归—兼论非 法获取网络游戏虚拟物的行为认定》 ,载《科技与法律》2019 年第 2 期。欧阳本祺、曹莉: 《非法获取他人 APP 数据的刑法定性》 ,载《人民检察》2018 年第 7 期。 2 高铭暄、马克昌主编: 《刑法学》 (第五版) ,北京大学出版社 2011 年版,第 536 页。 101 份认证信息,其只是将身份认证信息作为典型内容进行明确列举,兜底性的使用 经济损失、违法所得、其他情节严重等入罪情节标准将其余的数据纳入本罪的保 护范围。总之,笔者认为非法获取数据罪扩张论者要求删除“计算机信息系统” 这一技术性限制与“侵入+获取/其他技术手段”的技术限制进而实现对数据安全 法益更周全保护的立法建议具有一定合理性,但其所认定的行文前提与所持的行 文理由存在错误,既有的刑事立法绝对没有仅将静态数据库安全作为保护对象, 更未仅将身份认证信息作为本罪的保护对象。 2.非法获取数据罪与破坏数据罪限缩论意见之否定 对非法获取数据罪限缩论者的观点,笔者同样持否定态度。前文中提到限缩 论者们行文逻辑起点是由于对计算机信息系统数据的理解泛化导致非法获取数 据罪成为了新口袋罪,因此,须对之进行限缩解释。同非法获取数据罪限缩论相 似,破坏数据罪限缩论也是基于同样的立场作出的限缩解释数据的判断,认为由 于对破坏数据罪保护对象的扩张解释导致了第 286 条破坏计算机信息系统罪已 经成为了包含利用计算机实施的其他犯罪与其他计算机犯罪的口袋罪。为实现对 破坏计算机信息系统罪的去口袋化,实践中就需要对第 286 条第 2 款中的数据作 限缩解释,将数据限缩于与计算机信息系统运行相关的数据或者说计算机信息系 统数据。由此可知,学界针对两罪的限缩论意见行文逻辑起点相对一致:即两者 均认为由于由于司法者对两罪中数据的扩张解释造成了非法获取数据罪与破坏 数据罪司法适用的口袋化,为了实现去口袋化的目的需要在学理上对两罪中的数 据进行适度的限缩解释。 对两罪限缩论者的意见,笔者将之分为两项内容予以分析:其一,判断限缩 论者提出的限缩解释计算机信息系统数据的建议是否合理。其二,判断限缩论者 对非法获取数据罪与破坏计算机信息系统罪司法适用口袋化的诘责是否正确。 (1)限缩论的观点不合理 对第一个问题,本文认为限缩解释数据的建议将会人为的造成数据安全法益 保护漏洞。个人数据可被分为原始个人数据与衍生个人数据, 1以是否具有可识 别性又可再对之进行类型化。将这两项标准进行结合,我们可以将全部个人数据 1 前者是指不依赖于现有数据而产生的数据;后者指原生数据被记录、存储后,经过算法加工、计算、聚合 而成的系统的、可读取、有使用价值的数据。参见徐伟: 《企业数据获取“三重授权原则”反思及类型化构 建》 ,载《交大法学》2019 年第 4 期。 102 区分为可识别的原始数据与衍生数据,不可识别的原始数据与衍生数据。据此, 如果根据前述各种建议对“计算机信息系统数据”作限缩解释将分别造成破坏数 据罪与非法获取数据罪的如下保护漏洞:其一,在数据的完整性与可用性保护方 面,如果将破坏数据罪保护的对象“计算机信息系统数据”解释为与计算机信息 系统运行相关的数据或者说与计算机信息系统功能相关的数据,那么,必将得出 如下结论:与计算机信息系统运行无关或与计算机信息系统功能无关的个人数据 将被全部排出在刑法的保护范围外。然而,在大数据时代“记录是常态,遗忘是 例外”,物联网在不断的收集、记录与分析着来源于个人的数据,并在该数据基 础上生成用户画像等信息。但这些来源于个人的数据中大部分数据是不具有可识 别性的数据,即便这些数据受到了侵犯我们也不能以侵犯公民个人信息罪提供保 护,而只能予以无罪处理,这种结论明显有违常理。 其二,通常对于非法获取不可识别的原生与衍生数据的非法获取行为可定性 为非法获取数据罪应不存在争议。问题在于,当行为人违反国家规定,非法以技 术手段获取的个人数据为可识别的原始数据或者衍生数据时,对行为人的行为究 竟应该如何进行认定?限缩论者认为,对这部分可识别的个人原生数据与衍生数 据而言,由于其具有可识别性能被评价为刑法上的公民个人信息,自然就应该排 除非法获取数据罪的适用,以侵犯公民个人信息罪进行定罪量刑。换言之,在限 缩论者的解释立场下非法获取数据罪的保护对象排除具有可识别性的数据。然而, 本文认为“可识别性”标准只能担负起判断实行行为是否构成侵犯公民个人信息 罪、限缩侵犯公民个人信息罪适用范围的作用,并不能起承担起区分非法获取数 据罪与侵犯公民个人信息罪的重任。 事实上,如果对非法获取数据罪中的计算机信息系统数据进行去识别化的处 理将必然人为地制造对个人数据保密性的保护漏洞。我国刑法中采用是“定性+ 定量”的立法模式,因此,即便是行为人实施的实行行为符合了犯罪构成要件, 满足了定性要件后,我们还需要继续对定量要件进行判断继而确认行为的入罪与 出罪。 《公民个人信息犯罪解释》1第五条第七项规定“违法所得 5000 元以上的” 是侵犯公民个人信息罪的情节严重,《计算机犯罪解释》第一条第四项规定“违 法所得 5000 元以上或者造成经济损失 1 万元以上的”是非法获取数据罪的情节 1 《公民个人信息犯罪解释》即指 2017 年 5 月 8 日最高人民法院、最高人民检察院出台的《关于办理侵 犯公民个人信息新式案件适用法律若干问题的解释》 (法释【2017】10 号) ,下文与本处相同。 103 严重。我们不妨假设如下案例:甲与乙为好友关系,甲谎称乙盗取了自己的游戏 账号密码,让乙帮忙找回。乙通过技术手段侵入到丙公司计算机信息系统并非法 获取了其中存储的 10 组游戏账号(没有密码)与对应的 10 条身份证件信息。乙 将密码交付甲后,甲给予其 1000 元的报酬。随后甲通过身份证件信息修改游戏 账号密码并登入,进而将 10 组游戏账号中价值 6000 元的虚拟财产进行非法转 移。此案中,对乙所实施的行为应予以何种评价?按照限缩论者的意见恐怕会得 出本罪无罪的结论,因为被乙所盗取的 10 组游戏账号(没有密码)与对应的 10 条身份证件信息具有可识别性能够别评价为公民个人信息,因而应排斥非法获取 数据罪的适用,而只能适用侵犯公民个人信息罪。但是涉案行为无论是信息条数 还是违法所得等要求均未达到侵犯公民个人信息罪的入罪标准,遂应出罪。然而, 这里存在一个悖论,如果乙所盗取的这 10 组游戏账号附带密码,但由于游戏开 发方的原因游戏账号密码不用绑定任何具有可识别性的身份认证信息时,由于乙 盗取游戏账号密码的行为给丙公司造成了 6000 元的损失,却符合了非法获取数 据罪的情节严重之标准,应予以入罪处理。此时,又怎么解释侵犯本应受到更严 密保护的公民个人信息 10 组的行为不受刑罚处罚,而侵犯与公民个人信息毫无 关系的账号密码 10 组的行为应受刑罚处罚呢?这明显是与常理不相符合,也会 造成对承载可识别个人信息之数据的安全保护造成不应有的漏洞。 (2)口袋化的批评不合理 此外,非法获取数据罪与破坏计算机信息系统罪限缩论者的论证前提是两罪 已为“口袋罪”,而他们的论证理由多是数据犯罪司法适用数量大幅上升、司法 者处理数据犯罪时存在思维惰性与惯性、数据犯罪罪名法定刑较重在与其他罪名 出现竞合或牵连关系时会“从一重”适用数据犯罪罪名。对此种“口袋化”的批 评,笔者持否定见解,理由如下: 其一,数据犯罪罪名司法适用数量提升不能证明数据犯罪已成为“口袋罪”。 胡春健博士在回应破坏计算机信息系统罪的“口袋化”问题时提到“本罪的犯罪 数量呈现大幅上升趋势,但是否构成‘口袋罪’则需要更加严密的理论与实例支 撑。”1对此,笔者表示赞同。从第二章对数据犯罪司法适用现状的梳理看,适用 数据犯罪罪名处理的案件数量在全部刑事案件中占比较低,即便近些年数据犯罪 1 胡春健、孙伟: 《破坏计算机信息系统罪的规范分析》 ,载《中国检察官》2019 年第 4 期。 104 罪名司法适用率已大幅增长,但其适用总量保持在每年 200-300 个案件,早些年 间甚至每年不足 30 个案件,且这些案件大多集中于对特定案件类型犯罪行为的 打击。这种罪名适用现状表明司法人员在使用非法获取数据罪与破坏计算机信息 系统罪时仍处于较为谨慎的状态,甚至由于长期罪名适用率低,导致学界批评数 据犯罪罪名为象征性立法。 1因此,以数据犯罪罪名司法适用率提升作为证成数 据犯罪罪名“口袋化”的理由很难成立。 其二,实证研究不能证明司法者存在司法惰性与司法惯性。部分学者认为导 致数据犯罪出现口袋化问题的主要原因是司法者存在司法适用惰性,司法实践中 常常以没能深入分析行为的法律属性, 2而“对待破坏计算机信息系统等罪名的 口袋性消减途径只有克服司法惯性、惰性和随意性,这并非一日之功,故而任重 道远。” 3然而,经过笔者的实证分析发现,司法者裁判时并不是只要看到存在 “计算机信息系统数据”便认定涉案行为构成数据犯罪,而是常会在数据犯罪以 及其他犯罪之间进行来回的规范审视,努力确认相关犯罪行为的规范本质并进行 准确定性。只是,司法实践中的部分案件确实由于司法者对数据犯罪的保护法益、 构成要件以及与其他犯罪的罪间边界的认识存在差异,进而错误的将一些不符合 数据犯罪构成要件的行为视为数据犯罪并进行定罪处罚。在本文第二章中,笔者 选取了涉及非法获取数据罪的 120 份刑事判决书,发现存在定性争议问题的便有 38 份,占比 31%。与非法获取数据罪产生适用争议的罪名范围也较为广泛,包 括盗窃罪、诈骗罪、非法控制系统罪、破坏计算机信息系统罪、侵犯公民个人信 息罪、买卖国家机关公文罪、妨害信用卡管理罪、非法提供信用卡信息罪、职务 侵占罪等。同样的,在分析适用破坏数据罪进行定罪量刑的刑事判决书后,笔者 发现出现适用争议的刑事判决书共有 22 份,占比 44%。除去主张无罪的案例外, 破坏数据罪与非法获取数据罪争议 9 次,与伪造、变造国家机关公文罪争议 3 次, 与诈骗罪、盗窃罪各争议 2 次,与污染环境罪、非法控制系统罪、伪造国家机关 1 刘艳红教授提出不同于网络犯罪立法的异常活跃,我国司法实务中网络犯罪罪名适用情况并不乐观。因 为北大法宝案例库显示,截止 2016 年 12 月 31 日,破坏计算机信息系统罪 47 个,非法获取计算机信息系 统数据、非法控制系统罪的案例为 63 个。这说明,从 1997 年至今,我国网络犯罪罪名适用率极低。参见 刘艳红: 《象征性立法对刑法功能的损害—二十年来中国刑事立法总评》 ,载《政治与法律》2017 年第 3 期。 2 参见杨志琼: 《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》 ,载《法学评论(双 月刊) 》 2018 年第 6 期。 相似的立场还可参见姜瀛: 《“口袋思维”入侵网络犯罪的不当倾向及其应对进路》 , 载《苏州大学学报(法学版) 》2017 年第 2 期。 3 这种将破坏计算机信息系统罪口袋化的问题推给司法者适用态度的做法,是否具有合理性存疑,且只提 出问题,而未设想解决建议,价值存疑。陈小炜:《“口袋罪”的应然态度和限制进路》,载《苏州大学学 报(哲学社会科学版) 》2015 年第 3 期。 105 证件罪、非法经营罪各争议 1 次。此种数据犯罪司法裁判实态不正表明批判数据 犯罪司法适用存在司法惰性与司法惯性的结论缺乏必要的实证基础吗?笔者认 为虽然在部分案件中发现了误以数据犯罪进行定罪量刑的现象,但是这并不意味 着数据犯罪已经成为了口袋罪。实践中,司法人员每年要处理的数据犯罪的案件 数量巨大,我们不能因为实践中出现了一些与学者意见不合的判例或者说“两高” 作出了一些不合学界主流意见的解释或指导性案例便贸然批评数据犯罪罪名存 在口袋化的问题。因为在现有的刑法理论语境中“口袋化”是罪名模糊、含混、 适用恣意的代名词,一旦某个罪名被贴上了口袋罪的标签,将可能会导致司法人 员在碰到相关案件时便会陷入到左右为难的境地。 其三,虽然破坏数据罪的法定刑稍高一些,但并没有影响到破坏数据罪的定 型化。根据《刑法》规定,非法获取数据罪包括两档法定量刑幅度,分别是情节 严重,三年以下有期徒刑或者拘役,并处或单处罚金,情节特别严重的,处三年 以上七年以下有期徒刑,并处罚金;破坏数据罪也有两档法定刑幅度,分别是后 果严重,处五年以下有期徒刑或拘役,后果特别严重的,处五年以上有期徒刑。 比较而言,非法获取数据罪的法定刑较为适中,同经常会与之发生竞合或牵连等 关系的盗窃罪、诈骗罪、非法控制系统罪、破坏计算机信息系统罪、侵犯公民个 人信息罪、职务侵占罪等罪名的法定刑相比均处于较低或相同的状态。因此,在 司法适用中如果是以数据保密性为法益侵害目标或者以侵害数据保密性法益为 手段侵犯其他法益时,司法者应优先适用的刑法罪名并不都是非法获取数据罪。 不同的是,破坏数据罪的法定刑最高是五年以上有期徒刑,因而,除非是在法定 刑中明确规定了无期徒刑、死刑等主刑或在五年以上有期徒刑外还设置了附加刑 的情况,破坏数据罪在想象竞合、法条竞合或者牵连犯的场合一般处于应被优先 适用的状态。也正因此,有学者才会提出“破坏计算机信息系统罪法定刑偏 高,……按照‘从一重处罚’的规则都可以说于法有据,起码不会是错案。”1然 而,司法实践中破坏计算机信息系统罪(包括破坏数据罪)经常处于应被优先适 用的状态并不能证明整个破坏计算机信息系统罪已经成为了口袋罪。因为从刑事 立法看,破坏计算机信息系统罪(包括破坏数据罪)规定的行为对象明确、行为 手段明确,尽管法益保护对象可能会随着数据化的发展而呈现出不断充实的现象, 1 于志刚: 《口袋罪的时代变迁、当前乱象与消减思路》 ,载《法学家》2013 年第 3 期。 106 但其保护的内容始终为数据的可用性与完整性。因此,笔者认为学者们所诘责的 破坏数据罪的法定刑较高,且常被优先适用的问题,并不能影响到数据犯罪罪名 的定型,更不会因数据犯罪的法定刑偏高便造成数据犯罪罪名在司法适用中出现 内涵外延不清、区分难度大、内部不稳定等问题。 3. 破坏数据罪平义论反思及其修正推广 破坏数据罪平义论主张本款中计算机信息系统数据即为所有类型的数据,与 计算机信息系统运行安全,或者说计算机信息系统功能安全无关。对此,本文虽 然支持平义论主张的破坏数据罪保护的数据为所有类型的数据这一立场,但是并 不支持平义论主张的破坏数据罪所保护的数据与计算机信息系统运行或计算机 信息系统功能完全无关的立场。因为通过对前置法的分析,我们可以得出计算机 信息系统安全包含实体安全、环境安全、运行安全与信息安全等四项主要内容, 运行安全包含数据安全、功能安全等主要内容的结论。在这种安全分级的体系下, 只要是针对数据实施的违法犯罪行为必然侵犯到了计算机信息系统的运行安全。 数据安全虽与功能安全作为运行安全的同级次级法益,但两者之间却并非完全割 裂、毫无关系的,我们可以从两个方面解释两者间的关系:删除、修改与增加的 是影响计算机信息系统功能的数据,将可能造成计算机信息系统功能的损坏;尽 管删除、修改或者增加的是与计算机信息系统的功能没有任何关系的数据,但要 实现对之进行删、改、增的目的还是要违法的调用计算机信息系统的自动处理数 据功能。 笔者的上述解释应该是对待第 286 条第 1 款与第 2 款解释的正确逻辑,1997 年《刑法》将删除、修改、增加、干扰计算机信息系统功能的行为与删除、修改、 增加计算机信息系统数据的行为进行分设,并设定了不同入罪标准的原因也为此。 贯彻上述解释思路,我们可以对第 286 条第 1 款与第 2 款之间的关系作如下解 读:(1)删除、修改或增加的数据与计算机信息系统功能无关,则即便在破坏 的过程中会非法的对计算机信息系统进行操作,影响了计算机信息系统运行安全, 但该行为实质上只是对计算机信息系统自动处理数据功能的违规调用,计算机信 息系统运行功能安全并未受到影响,受到损坏的只是与计算机信息系统功能同属 于计算机信息系统运行安全次级法益的计算机信息系统数据安全,因此,只能以 第 286 条第 2 款进行定罪量刑。(2)删除、修改或者增加的是与计算机信息系 107 统功能存在关联的数据,行为本质上也可被评价为刑法规范意义上的对计算机信 息系统功能的破坏,但由于我国刑法所采取的“定性+定量”入罪模式,如果不 满足第 286 条第 2 款后果严重的要求,但满足了第 286 条第 1 款后果严重的要 求,则以第 286 条第 1 款进行定罪量刑;如果该种破坏没有达到第 286 条第 1 款 后果严重的程度,但达到了第 286 条第 2 款后果严重的程度,则应适用第 286 条 第 2 款进行定罪量刑;如果破坏行为同时满足了第 286 条第 1 款与第 286 条第 2 款的定量要件的要求,可以同时适用第 286 条第 1 款与第 286 条第 2 款,在法定 刑幅度内进行从重处罚。(具体处置思路可见图 9) 图 9 破坏计算机信息系统罪第 1 款与第 2 款关系示意图 虽非法调用计算机信息系统自动 处理数据功能,影响计算机信息系 统运行安全,但却并未影响计算机 否 信息系统功能正常运行,仅造成计 算机信息系统数据安全法益受损, 以第 2 款定罪。 涉案 数据 是 不满足第 286 条第 2 款后果严重的要 否与 计算 机 求,满足了第 286 条第 1 款后果严重 信息 系统 功 的要求,则以第 286 条第 1 款进行定 能相关? 罪量刑。 不满足第 286 条第 1 款后果严重的要 求,但满足第 286 条第 2 款后果严重 是 的要求,则以 286 条第 2 款进行定罪 量刑 同时满足第 286 条第 1 款与第 2 款的 要求,应同时适用两个条款,并在法定 刑幅度内适度从重。 同理,为实现对数据保密性法益的全面保护,我们理应将一切类型的数据都 纳入到非法获取数据罪的保护范围内,而不用刻意区分数据是否具有可识别性、 创新性、财产性并进而将之驱逐在本罪保护范围外。甚至,为了实现对数据保密 108 性法益的全面保护,以及实现数据保密性、完整性与可用性的协调保护,笔者建 议可以在将来刑法修改时把套在非法获取数据罪上的“适用范围枷锁”去除,以 将大数据时代全部数据的保密性、可用性与完整性均纳入到刑法的保护范围内, 并将数据安全真正作为一项刑法法益,围绕数据安全法益重新编排刑法罪名、刑 罚轻重等内容,实现对数据载体、数据本身、数据内容的体系化保护。或许,有 学者会认为笔者所提出的刑法中保护的数据即为一切类型的数据这一结论并不 符合刑法谦抑性理念的现实要求,但是笔者决不能赞同此种观点。刑法谦抑性并 不是指刑罚的处罚范围越窄越好, 1而是“实质上是强调刑法因应社会情势、合 理而有效地组织对犯罪的反应。” 2在网络犯罪领域,我们不能以放弃对数据安 全的法益保护为代价实现所谓的刑法谦抑。本文认为为充分发挥数据犯罪罪名在 计算机犯罪中的基础性罪名作用,消除刑法学者们提出数据犯罪罪名过重以至于 影响和侵蚀其他犯罪罪名适用范围的问题,防止因非法获取数据罪与破坏数据罪 的法定刑过重,入罪门槛过低等原因对数字经济产业的发展带来过于沉重的负担, 未来在合适的时机进行修法时我们还可以严格数据犯罪的定性要件,提高数据犯 罪的定量要件,调低数据犯罪的法定刑,以追求对数据犯罪刑法惩治的“严而不 厉”,而非“厉而不严”。 (二)“计算机信息系统数据”包括云端数据、RFID 数据等 笔者在研究过程中发现部分刑法学者提出了目前云端数据与 RFID 数据等类 型的数据会因为“计算机信息系统数据”这一表述而被排除在数据犯罪罪名刑法 保护范围外,的观点。然而,笔者认为此种观点既误解了云存储与 RFID 技术, 也误解了刑法中的“计算机信息系统数据”。 3 1.云端数据 云存储与云计算是同一个事物的两个方面,“云计算可以被描述为数据存储 从我们的计算机上的硬盘向云中服务器(即大型服务器)的转变。云计算可以从 位于世界任何地方(只要与互联网连接)的任何设备随时随地访问我们的数据和 服务。”4尽管云计算“意味着数据和程序不再仅仅着眼于自己的电脑,而是着眼 1 参见张明楷: 《网络时代的刑法理念—以刑法的谦抑性为中心》 ,载《人民检察》2014 年第 9 期。 付立庆: 《论积极主义刑法观》,载《政法论坛》2019 年第 1 期。 3 参见于志刚、李源粒: 《大数据时代数据犯罪的类型化与制裁思路》 ,载《政治与法律》2016 年第 9 期。 4 [瑞士]约方·库尔巴厘贾著: 《互联网治理》 (第七版) ,鲁传颖、惠志斌、刘越译,清华大学出版社 2019 年版,第 79 页。 109 2 于从网络中的数据存储器上下载,这主要是以来使用者自身准确的命令,甚至都 不必知道供应商是谁”,1但是存储于云端的数据并非真的在“虚幻的云端”,其 只是脱离了用户个人计算机本地存储之限制,由服务商分布存储于不同地域的存 储设备中而已。可见,云存储设备不仅是一种数据存储设备,而且其自身便是一 个复杂的计算机信息系统。对云存储系统中的数据进行非法获取与删改增的行为 自然属于数据犯罪的评价对象。可见,那些认为“计算机信息系统数据”提法将 使云端数据等排除在数据犯罪保护范围外的观点并不正确。其实,从《计算机犯 罪解释》看,在司法活动中已经通过对“计算机信息系统”与“计算机系统”作 趋同与扩张解释,以使得刑事立法罪状表述中的计算机信息系统的适用范围大幅 扩张,保证所有具有自动处理数据功能的系统都可以被评价为刑法中的计算机信 息系统。在既有的刑法语境中,不仅硬件设备等各种传感器、手机、平板电脑、 存储服务器等是计算机信息系统,而且属于软件程序的微信、百度云盘等 APP 也 可以被评价为计算机信息系统。2在此种解释下,“计算机信息系统中存储、处理 或者传输的数据”无论是本地数据,还是云端数据,亦或者使用专门存储介质等 存储的数据,只要行为对之实施非法获取、删除、修改与增加的行为就可以构成 刑事犯罪。 2. RFID 数据 3 有学者认为 RFID 数据不属于我国刑法规范中所保护的计算机信息系统数 据。(RFID 运行示意见图 10) 4对此观点,笔者持否定见解。 1 [德]埃里克·希尔根多夫著: 《德国刑法学:从传统到现代》,江溯、黄笑岩等译,北京大学出版社 2015 年版,第 380 页。 2 参见林维: 《数据爬取行为的刑事司法认定》 ,载《人民检察》2019 年第 18 期。 3 RFID,即指射频识别技术(Radio Frequency Identification) ,作为一种非接触式的自动识别技术,可 通过射频信号自动识别目标对象,快速地进行物品追踪和数据交换。刘同娟、杨岚清、胡安琪等编著: 《RFID 与 EPC 技术》 ,机械工业出版社 2017 年版,第 1 页。 4 于志刚与李源粒认为物联网广泛采用 RFID 电子标签,与应用系统间的数据传输本质上是一种有发送数据 的信号发射,信号发射中有数据交换,但呼叫中接收方是不确定的,也不是非公开的。在刑法上的‘传输 数据’概念中,数据传输是有目的性的、非公开性的、仅发送者和接受者有支配权力。因此,RFID 系统中 由物端产生的数据难以解释为‘计算机信息系统中存储、处理和传输的数据’ ,这种可能包含重要数据内容 的网络数据(如可嵌入设备和智能医疗设备所传输的人体健康数据、移动终端的地理位置数据等)形式无 法通过对现有‘计算机信息系统数据’的概念和对‘计算机信息系统’的扩张解释纳入到刑法保护之中。 参见于志刚、李源粒: 《大数据时代数据犯罪的类型化与制裁思路》 ,载《政治与法律》2016 年第 9 期。 110 图 10 RFID 运行示意图 阅读器 数据 管理 电子标签 控 接 接 接 口 口 口 天 天 制 模 模 模 线 线 模 块 块 块 块 存 储 器 收 发 模 块 从技术原理看,RFID 系统可被评价为具有自动处理数据功能的计算机信息 系统,对此结论,即便是“计算机信息系统数据”质疑论者也不否认。质疑论者 质疑的观点是: RFID 系统中传输的数据是否可评价为刑法中的数据传输?该论 者引用了德国学者的观点,认为“刑法上的‘传输数据’概念中,数据传输是有 目的性的、非公开性的、仅发送者和接受者有支配力的。”1然而,RFID 数据传 输中的数据接收方是不确定的,身份也是不公开的,因此,RFID 系统中的数据 不能被评价为刑法规范意义上在计算机信息系统中传输的数据。对此,本文认为 大致可从如下三个方面予以反驳: 其一,RFID 系统的使用一般是为了实现防伪、防盗、标记等功能,其设计 运行目的是为了实现持有阅读器者与持有电子标签者之间的数据交换,即便阅读 器的持有者与电子标签的持有者可能是不特定的多数人,即阅读器与电子标签间 可能是一对多、也可能是多对多的关系,但最终在应用软件系统的一定应用目的 支配下,所实施的相关设备持有者之间的数据交换,应该评价其为有目的性与非 公开性。不能仅是因为阅读器与电子标签的持有者为非特定的多数人便认为该项 数据交换具有公开性。换言之,无论 RFID 系统所使用的是不是加密标签,该项 标签的使用者均期望数据交换是具有私密性的。不能因为其他人可以通过伪造、 嗅探、跟踪等方式获取 RFID 系统中传输之数据就否定该项数据的保密性。 其二,根据立法原意,我国数据传输的含义也较为宽泛,并没有要求设备间 的数据交互必须采取加密方式进行,更没有要求数据交互具有明确的目的性。2 1 Jones, Chrisropher, Mobile internetfähige Geräte im Strafrecht. Logos Verlag Berlin 2014. S.113-114. 2 全国人大常委会法制工作委员会刑法室编: 《中华人民共和国刑法条文说明、立法理由及相关规定》 ,北京 111 可见,只要是违背了数据权利人的意志,非法的对传输中的数据进行获取、删除、 修改或者增加,都可以被评价为非法获取或者破坏数据的行为,应受到我国刑法 的调整。 其三,即便是德国,侵犯 RFID 系统传输的数据也可被评价为刑事犯罪。依 据《德国刑法典》第 202 条 b(截获数据)规定“未经准许利用技术手段,为自 己或他人从不公开的数据传递或从数据处理的电磁辐射中截获不属于自己的数 据(第 202 条 a 第 2 款),处两年以下自由刑或罚金性,但以行为未在其他条款 受到更重的处罚为限。”1即使 RFID 系统所传输的数据不能评价为“非公开”的 数据传递,但非法截获 RFID 系统中传输的数据之行为却仍可被评价为非法截取 “数据传递设备的电磁辐射”的行为。可见,即便是在该学者所引用德国观点的 原生语境下 RFID 系统数据也是受到刑法保护的。 综上可知,RFID 系统是具有自动处理数据功能的计算机信息系统,而 RFID 系统中存储、处理或者传输的数据可被评价为“计算机信息系统中存储、处理或 者传输的数据”,违反国家规定对 RFID 系统中传输的数据进行非法的获取、修 改、删除或者增加的行为可被评价为非法获取数据罪或破坏数据罪。换言之, RFID 系统中传输的数据并不会因为刑事立法采取了“计算机信息系统数据”的 表述便被排除在刑法规范的保护范围外。 第二节 数据犯罪的行为手段 一、非法获取数据罪之“侵入/其他技术手段+获取”行为分析 根据《刑法》第 285 条第 2 款可知,非法获取数据罪是典型的复行为犯。因 此,笔者在本处将作为非法获取数据罪的行为手段拆分为“侵入”“其他技术手 段”与“获取”三项内容进行类型分析。这其中,“获取”要件是与数据保密性 法益之间的关系最为紧密的构成要件,是决定非法获取数据罪成立与否的充要因 素。 大学出版社 2009 年版,第 591 页。 1 《德国刑法典》 ,徐久生译,北京大学出版社 2019 年版,第 149 页。 112 (一)侵入 目前,对于侵入的规范意含,学界与实务界基本达成认知共识,认为侵入是 指未经授权或超越授权进入到他人计算机信息系统的行为。 1最高人民检察院出 台的检例 36 号指导性案例“卫梦龙等非法获取计算机信息系统数据案”也持相 似的观点,该指导性案例提出侵入的表现形式包括采取技术手段破坏系统防护进 入计算机信息系统,也包括没有取得被害人授权擅自进入到计算机信系统,或者 超出被害人授权范围进入到计算机信息系统。 2对这一指导性案例,笔者认为可 以将指导性案例中所列举的第一种非法侵入情形归入未经授权或超越授权进入 到计算机信息系统的行为类型中,没有必要将之作为与未经授权或超越授权并列 的类型予以单独列出。因而,本文认为刑法中的非法侵入包括未经授权与超越授 权进入计算机信息系统等两种行为类型。 对于应该如何判断未经授权与超越授权这一问题,我国仅高仕银博士基于中 没法比较进行过专门的研究。经过比较,高博士总结出美国联邦司法实践中主要 有程序编码设限、服务协议设限以及代理人法则等三项判断未经授权的标准,由 于服务协议设限标准适用的较少,代理人法则标准解释相对宽泛,因此,程序编 码设限标准成为了美国司法实践中的常用标准。因此,我国在借鉴美国联邦司法 实践经验时也应该将程序编码设限标准作为判断我国计算机犯罪未经授权的唯 一标准。同时,我国应参考美国的立法经验将超越授权理解为“行为人在获得授 权使用计算机时,利用这一授权使用的机会去获取计算机信息系统中的数据或控 制计算机信息系统,但行为人的数据获取或控制行为没有得到授权。” 3对上述 观点,本文持否定见解。首先是针对超越授权的判断标准之理解,本文认为只将 超越授权理解为获得进入计算机的授权后,超越授权获取数据或控制计算机这一 种情形过于简单。比如,行为人完全可以是既获得了使用计算机信息系统的权限, 又获得了获取计算机信息系统中某项数据的权限,但是其超越了授权范围获取了 1 侵入的本质特征就是未经授权或超越授权。超越授权包括超越授权权限与超越授权时间范围等情形,如 网络攻击中很多攻击方法属于“提升权限”的攻击方法,亦即通过合法渠道获得某个系统的一般权限后, 利用系统的漏洞将自己的权限提升到管理员权限以获得对系统的控制权等。参见喻海松著: 《网络犯罪二十 讲》 ,法律出版社 2018 年版,第 30 页。 2 参见最高人民检察院第九批指导性案例(检例 36 号)“卫梦龙、龚旭、薛东东非法获取计算机信息系统 数据案” 3 高仕银: 《计算机网络犯罪规制中的“未经授权”与“超越授权”—中美比较研究》 ,载《时代法学》2020 年第 1 期。 113 其他类型的数据,或者是超越了授权时间还对数据进行获取,这些情形在我国的 司法实践中都可以被评价为未经授权与超越授权。 对于未经授权的判断标准,我国也不像高仕银博士所言的那样存在集体性失 语的情况。 1虽然我国绝大多数的刑事案件裁判文书存在说理不足的问题,但是 这并不排除我国司法实践中存在着对未经授权与超越授权的判断具有指导性价 值的判例。事实上,高仕银博士总结的三种美国联邦司法判例中存在的主要用于 判断何为未经授权的标准在我国刑事司法裁判中均可以找到对应的司法判例,且 一部分判例已经被我国最高检与最高法上升为了具有指导全国刑事司法实践价 值的指导性案例或者审判参考案例。 其一,程序编码设限标准与服务协议设限标准。以具有典型性的全国首例利 用爬虫技术侵入计算机信息系统数据案为例,本案中被告人被定性为非法获取数 据罪的原因是实行行为违反了爬虫协议、突破字节跳动公司的反扒措施,抓取了 字节跳动公司的视频数据。违反爬虫协议的行为事实上即为服务协议设限标准的 体现, 2因为爬虫协议是互联网爬虫世界中的公认道德规范,行为人实施数据爬 取行为时应自觉的遵守爬虫协议,在遵守爬虫协议的情形下所实施的数据爬取行 为无论如何都不会被当作犯罪处理,因为相关数据被爬取已经获得了权利人的授 权,但是如果违反了爬虫协议进行数据爬取,则相关行为则可能被评价为违法犯 罪行为。 3同时,通过对裁判内容进行考察可见,本案中法院认定行为人构成非 法获取数据罪的另一理由是违反了程序编码设限标准,因为法院的判决思路是字 节跳动公司通过编码程序已经明确对特定类型的数据进行了编码设限,被告人还 利用技术手段对该编码设限进行技术突破进而非法获取字节跳动公司的视频数 据,此处考察的重点内容是行为人是否对被害人所作的程序编码设限进行了突破, 进而判断实行行为是否属于计算机犯罪领域中的“未经授权”。 其二,代理人规则标准。在“程赞林非法获取计算机信息系统数据案”中, 行为人在个人的笔记本电脑及公司的工作电脑中下载并运行 teamviewer12 远程 1 高仕银博士认为绝大多数法院在实践中没有对未经授权进行合理定义或详细解读,更遑论从司法判例中 总结出类似于美国判解的具有中国特色的认定标准。参见高仕银: 《计算机网络犯罪规制中的“未经授权” 与“超越授权”—中美比较研究》 ,载《时代法学》2020 年第 1 期。 2 robots.txt,也称为爬虫协议、机器人协议,全称是“网络爬虫排除标准” (Robots Exclusion Protocol) , 当爬虫要爬取某一个网站数据时会先检索该网站根目录项下是否存在着 robots.txt,如果存在,爬虫程序 便应该按照文件中的内容确定访问的范围;如果该文件不存在,则该爬虫会默认所有网站数据都可以被爬 取。 3 参见林维: 《数据爬取行为的刑事司法认定》 ,载《人民检察》2020 年第 4 期。 114 控制软件,利用其个人笔记本电脑远程控制公司工作电脑并访问公司服务器,在 工作环境下未经公司授权绕开公司的代码安全防护措施,私下将深圳市科脉技术 股份有限公司服务器中“快食慧”“好餐谋”等软件源代码使用屏幕拷贝的方式 复制到其个人笔记本电脑中,后又将软件源代码上传至其个人微信中。法院在判 决理由中写道被告人程赞林违反国家规定,非法获取本公司服务器中存储的软件 源代码,情节严重,其行为已构成非法获取数据罪。被告人程赞林入职后与公司 签订了相关网络安全保密协议,且在明知公司对所研发软件采取多种手段进行严 格保密的情况下,违反公司规定,通过远程控制软件介入公司电脑,绕过公司多 种防范措施,采取屏幕截图的方式,将公司的软件代码和文档非法获取后存储在 个人电脑中,并因此导致公司需要聘请网络安全单位对其行为进行查找、发现漏 洞,给公司造成经济损失,其行为符合非法获取计算机信息系统罪的构成要件。 很明显,法院在处理本案时虽未明确归纳出代理人规则标准与编码程序设限标准, 但却实际上运用着这两项标准。对代理人规则标准的运用体现于对被告人程赞林 与科脉技术股份有限公司间签订的工作协议与保密协议,程赞林作为科脉技术股 份有限公司的雇员,利用为科脉技术股份有限公司的利益着想,行事目的应为科 脉技术股份有限公司,但其却违反了与科脉技术股份有限公司签订的网络安全保 密协议,非法获取相关数据,这些论述与前文中高仕银博士提到的代理人规则标 准应无不同。对编码程序设限标准的运用体现于法院裁判文书中提到的程赞林 “在工作环境下未经公司授权绕开公司的代码安全防护措施,私下将……等软件 源代码下载使用屏幕拷贝的方式复制到其个人笔记本电脑中。”这种裁判理由完 全符合前文中高仕银博士提到的美国司法判例中的程序编码设限标准的内涵。此 外,在最高检发布的指导性案例“卫梦龙等非法获取计算机信息系统数据案”中, 认定卫梦龙等人行为构成非法侵入的主要依据便是代理人法则标准,该案中龚旭 虽有访问授权,但其将个人账号密码等数据交给不具有授权的卫梦龙等人使用, 此种内外勾结型的数据非法获取行为,也属于侵入计算机信息系统的行为。 1这 一指导性案例虽然没有明确的指出代理人法则标准,但是认定龚旭行为也构成对 计算机信息系统的非法侵入是因为其行为违反了雇员对于雇主的忠实义务,所实 1 参见北京市海淀区人民法院(2017)京 0108 刑初 392 号刑事判决书。 115 施的行为不是以雇主的利益为导向的,而这与美国联邦司法实践中的代理人法则 标准的实质内涵相同。 此外,高仕银博士所提出的以程序编码设限标准为“未经授权”的唯一判断 标准这一观点明显存在不足。程序编码设限的含义是指行为人对于计算机信息系 统的使用要符合程序编码设计要求,如果不按照程序编码设计的程序输入账号密 码,而是采取技术性手段非法侵入计算机信息系统的行为即为违反了程序编码设 限标准的行为。然而,在很多司法案件中,未经授权的侵入行为并不牵涉到程序 编码设计被突破的问题。比如,行为人可以直接通过插入外接存储设备的方式对 计算机信息系统中的数据进行非法拷贝,在“温某非法获取计算机信息系统数据 案”中,温某以公司电脑存在故障为由骗取了管理员所持有的电脑箱钥匙,通过 外接存储设备的方式拷贝计算机信息系统数据,此种骗取钥匙打开计算机信息系 统机箱,并顺利进入到计算机信息系统中获取数据的行为不可能被评价为是违背 “张政等非法获取计算机信息系统数据案” 了程序编码设限标准的行为。1再如, 中,被告人张政等通过事先记住被害人的账号密码的方式,在网吧的其他电脑上 登入被害人楼某等人的账号密码并将虚拟财产进行转卖。 2明显,此种偷窥他人 账号密码或者购买他人账号密码进而侵入到计算机信息系统的行为,不能被解释 为对程序编码设限标准的突破。 可见,如果只是以程序设限作为判断未经授权的标准会不当限缩未经授权的 范围,实践中的未经授权侵入到计算机信息系统行为的样态丰富,并不是某一个 标准所能够全部概括的。从这一侧面看,我国刑事立法与美国的刑事立法都没有 对未经授权的具体含义进行明确的做法具有合理性,此种立法模式赋予了司法人 员在司法实践中对未经授权行为进行灵活判断的权限。因为“立法机关根本不可 能以一个固定时期且处于计算机技术发展初期的关于对‘未经授权’样态的认识 来诠释当时和未来的行为模式。” 3同样,在刑事司法实践中我们也不可能只依 据某一个固定的标准来判断涉案行为是否未经授权。综上所述,本文以为中国的 刑事司法实践对于未经授权与超越授权的判断并不是毫无标准的肆意妄为,美国 的刑事司法实践对于未经授权与超越授权的判断也不是无可挑剔的唯一准则,在 1 广东省广州市天河区人民法院(2019)粤 0106 刑初 1527 号刑事判决书。 浙江省金华市婺城区人民法院(2019)浙 0702 刑初 696 号刑事判决书。 3 高仕银: 《计算机网络犯罪规制中的“未经授权”与“超越授权”—中美比较研究》 ,载《时代法学》2020 年第 1 期。 116 2 进行域外法经验的比较与借鉴时应以最终能够落地到我国实践为准,不可过于迷 信域外的做法。同时,对我国的刑事司法实践的考察,也不要仅仅停留在通过对 关键词的检索获取宏观数据的层面上,而是应该深入到具体的刑事司法微观样态 中去对刑事司法判例进行研读、分析与提炼。 (二)其他技术手段 利用其它技术手段主要是指假冒或者设立虚假网站,或者利用网关欺骗技术, 行为人并不需要进入他人计算机信息系统就可以获取其他计算机存储、处理或者 传输的数据之行为。 1由于其他技术手段类型丰富,这要求刑事司法者在行为手 段进行具体判断时应掌握一些专业技术知识,防止因为对技术手段的理解偏差造 成个案的定性偏差问题。 (三)获取 本文认为非法获取数据罪为典型的结果型复行为犯,因而,在具体个案判断 中认定是否存在“获取数据”的行为将直接影响到涉案行为是否成立非法获取计 算机信息系统罪,以及具体案件既未遂犯罪停止形态的认定。个案中只存在“非 法侵入或其他技术手段”,而没有“获取”行为时,则不能成立非法获取数据罪, 只有在存在“获取”行为,且“获取”行为对计算机信息系统数据的保密性造成 了情节严重的损害,才能够认定构成非法获取数据罪的既遂,否则至多只能成立 本罪的“未遂”。尽管“获取”行为的认定在非法获取数据罪的解释中具有至关 重要的作用,但是目前部分刑法学者对非法获取数据罪中“获取”的理解还存在 偏差,常将本罪的“获取”与日常用语中的“获取”相等同,忽视了获取行为与 数据保密性法益之间的解释联动。本文将以非法获取虚拟财产的刑法认定为例说 明非法获取数据罪中的“获取”与日常语境中的“获取”之间的不同。 刑法理论上针对虚拟财产有广狭义之分。广义说认为只要是具有一定的财产 价值,以计算机信息系统数据形式存在的财物都是虚拟财产,包括账户类、物品 类以及虚拟货币类虚拟财产等。 2狭义说者认为虚拟财产是仅仅在网络世界中存 1 参见黄太云: 《<刑法修正案(七)>解读》 ,载《人民检察》2009 年第 6 期。喻海松: 《网络犯罪二十讲》 , 法律出版社 2018 年版,第 30 页。 2 参见陈兴良: 《虚拟财产的刑法属性及其保护路径》 ,载《中国法学》2017 年第 2 期;张明楷: 《非法获取 虚拟财产的行为性质》 ,载《法学》2015 年第 3 期;朱宣烨: 《数据分层与侵犯网络虚拟财产犯罪研究》 ,载 《法学杂志》2020 年第 6 期;徐彰: 《盗窃网络虚拟财产不构成盗窃罪的刑民思考》 ,载《法学论坛》2016 年第 3 期; 117 在意义的财物。 1本文倾向于狭义说,因为如果某一财物在线上线下均具有财产 意义,那么,其仍是真实财产,而不是虚拟财产。2尽管目前以非法获取虚拟财产 刑法规制为议题的论著较多,但是笔者发现这些研究存在一个共同的问题,即犯 罪行为类型化程度较低,研究者们常常将非法获取虚拟财产的行为简单的理解为 一个犯罪行为,并针对该行为进行宏观的定性分析。然而,非法获取虚拟财产行 为并单指某一个犯罪行为,而是一类犯罪行为的统称,此类犯罪下还包括若干种 具体的犯罪行为类型,对于不同类型的犯罪行为又可以作出不同的刑法评价。欧 阳本祺教授持与本文相同观点,将非法获取虚拟财产的行为划分为了五种类型, 包括“非法获取游戏账户+转移虚拟财产”“收购游戏账户+转移虚拟财产”“雇 员进入公司游戏系统+私自生成或复制虚拟财产”“抢劫虚拟财产”“单纯获取 游戏账号及密码”。 3这种研究思路虽然较为合理,但是本文还认为欧阳教授列 举的并不是非法获取虚拟财产的全部犯罪类型,因此,继续的细化对非法获取虚 拟财产行为的研究应成为未来刑法学研究的主要突破方向。 受到前述行为类型化研究不足问题的影响,目前,刑法学理研究中对非法获 取虚拟财产行为的定性认识存在着以偏概全与评价不全面等问题。以“非法获取 游戏账户+转移虚拟财产”的行为模式为例,实践与学理上的通说主张该行为应 被认定构成非法获取数据罪。比如,最高人民法院研究室的意见便是认为“利用 计算机窃取他人游戏币非法销售获利行为目前宜以非法获取数据罪定罪处罚。” 4 我国学界、 5司法判例 6也多支持这一观点。诚然,利用木马等程序非法获取他 人游戏账号密码,以及非法转移游戏账号密码中的游戏装备、游戏币等虚拟财产 的行为都可以被评价为日常语境中的“非法获取虚拟财产”,且不会引起异议。 1 皮勇教授讨论虚拟财产问题时,认为“虚拟财产这一称谓自产生之日起就是在做误导性指引,使人忽视 其系统数据本质,为申明观点,笔者在此没有使用传统惯称的虚拟财产这一称谓,而是使用‘网络虚拟财 物’指向网络游戏中的游戏装备、游戏币等。”可见,其所持的仍为狭义说之立场。参见欧阳本祺: 《论虚 拟财产的刑法保护》 ,载《政治与法律》2019 年第 9 期;皮勇、葛金芬: 《网络游戏虚拟物数据本质之回归 —兼论非法获取网络游戏虚拟物的行为认定》 ,载《科技与法律》2019 年第 2 期。 2 参见欧阳本祺: 《论虚拟财产的刑法保护》 ,载《政治与法律》2019 年第 9 期。 3 欧阳本祺: 《论虚拟财产的刑法保护》 ,载《政治与法律》2019 年第 9 期。 4 喻海松: 《最高人民法院研究室关于利用计算机窃取他人游戏币非法销售获利如何定性问题的研究意见》 , 载张军主编: 《司法研究与指导》 (2012 年第 2 辑,总第 2 辑) ,人民法院出版社 2012 年版,第 127 页。 5 刘明祥: 《窃取网络虚拟财产行为定性探究》 ,载《法学》2016 年第 1 期;陈兴良: 《虚拟财产的刑法属性 及其保护路径》 ,载《中国法学》2017 年第 2 期;皮勇、葛金芬: 《网络游戏虚拟物数据本质之回归—兼论 非法获取网络游戏虚拟物的行为认定》 ,载《科技与法律》2019 年第 2 期;朱宣烨: 《数据分层与侵犯网络 虚拟财产犯罪研究》 ,载《法学杂志》2020 年第 6 期;徐凌波: 《虚拟财产犯罪的教义学展开》 ,载《法学 家》2017 年第 4 期。 6 参见江苏省淮安市清浦区人民法院(2014)浦刑初字第 0187 号刑事判决书;江苏省苏州市姑苏区人民法 院(2015)姑苏刑初字第 00284 号刑事判决书。 118 但是,日常语境中的“获取”与非法获取数据罪中的“获取”含义并不相同。在 日常语境中,“获取”是指“获得、取得控制或占有”,关注要点是控制权的转 移,而非法获取数据罪中的“获取”关注的要点是数据保密性,不论控制权是否 转移,采用下载、复制、浏览等方式只要造成数据保密性法益受损便可评价为非 法获取数据罪中的“获取”。换言之,非法获取数据罪中的“获取”是指令数据 保密性丧失的行为。据此评析“非法获取游戏账户+转移虚拟财产”的行为,我 们可以得出如下结论: 其一,对于非法获取游戏账户的行为,如果行为人是通过“违反国家规定, 侵入或利用其它技术手段,获取他人游戏账户”,则其实施的行为触犯了非法获 取数据罪。 其二,对于转移游戏装备、游戏币等虚拟财产的行为,以往多数说会将之评 价为非法获取计算机信息系统数据行为。如此的话,上述“非法获取游戏账号+ 转移虚拟财产”的犯罪行为应整体定性为非法获取数据罪。笔者反对该种理解, 转移游戏装备、游戏金币等虚拟财产的行为侵犯的法益应该是数据的完整性与可 用性,而不是数据的保密性。因为针对游戏设备、游戏币等虚拟财产所实施的转 移行为虽然会导致这些虚拟财产的“控制权”发生转移,但是并没有对作为这些 虚拟财产技术性载体的数据保密性造成侵害,转移这些游戏装备、游戏币的行为 人根本无异于了解或者曝光作为虚拟财产技术载体的数据代码之内容。作为虚拟 财产技术性载体的数据代码仍被存储于网络游戏公司的服务器中,只是其存储状 态与代码内容发生了一定的变化,此种变化导致虚拟财产在虚拟世界中发生了所 有权的转移。此种导致数据代码发生内容变化的行为应被评价为对计算机信息系 统中存储的数据进行修改的行为,其破坏的法益是游戏账户合法所有人享有的数 据可用性法益,以及游戏服务提供者享有的数据完整性法益。因此,作为目的地 转移虚拟财产的行为被评价构成破坏数据罪,而不是构成非法获取数据罪。 由上可知,我们可以把“非法获取游戏账户+转移虚拟财产”的行为分为手 段行为与目的行为等两个行为来进行分别判断,利用技术手段获取游戏账户的行 为应该被评价为非法获取数据罪,属于手段行为,转移虚拟财产的行为应该被评 价为破坏数据罪,属于目的行为。手段行为与目的行为之间具有牵连关系,因此, 应以属于重罪的破坏数据罪对行为人进行定罪处罚。同时,根据本文的观点,行 119 为人实施的利用技术手段获取游戏账户(没有对应密码),但却通过撞库等手段 擅自对账号对应的密码进行批量修改的行为只要满足了破坏数据罪后果严重的 要求也应该被认定构成破坏数据罪。因为非法修改游戏账户密码的行为实质上属 于未经授权或超越授权修改了存储于网络游戏公司服务器中的数据,对用户享有 的数据可用性法益造成损害,以及对网络游戏公司享有的数据完整性法益造成损 害。既然非法修改游戏账户密码的行为侵犯的是数据的完整性、可用性法益,而 不是数据保密性法益,那么,上述非法利用技术手段获取他人游戏账户,并对账 户对应的密码进行修改的行为根据牵连犯的刑法学原理也理应以属于重罪的破 坏数据罪进行定罪处罚。 综上,对非法获取数据罪之“获取”的解释须受到数据保密性的限制,“非 法获取”是指非法改变了数据主体所设定的数据不被知悉的状态,进而非法取得 本应保密的数据,侵犯了数据保密性法益。 1我们不能因非法获取虚拟财产与非 法获取数据罪中都有“获取”一词,便不作区分的将非法获取虚拟财产的行为都 认定构成非法获取数据罪。 此外,笔者发现与本文主张以数据保密性为标准对非法获取数据罪的获取进 行限缩解释不同,该论者认为应在“获取”的日常用语基础上再对非法获取数据 罪的“获取”进行扩张解释。为证明其观点具有合理性,该论者举了两个例子: 其一,仲某盗窃比特币案,案情为仲某非法获取登录权限并插入一段代码将他人 100 个比特币转移到自己的比特币钱包内。该情形下未复制、下载数据,但却使 比特币的控制权发生了转移。其二,利用漏洞充值案,行为人获取数据的环节实 质上是劫取数据并进行修改,计算机信息系统则根据被修改的错误数值进行计算 并最终体现为充值账户中的一个数值。为了保证能以非法获取数据罪对实施上述 两类行为的行为人进行惩罚,该论者提出应该将非法获取数据罪中的获取进行扩 张解释,使“获取了与这个数值相对应的数据符号序列功能模块的控制调用权” 的行为也理解为非法获取数据罪的“获取”行为,进而更加有效的发挥非法获取 数据罪对保护网络虚拟财产的积极作用。 2 笔者反对该种理解,并认为当既有刑法罪名已经能够解决上述案例定性问题 时,我们完全没有必要“画蛇添足”式的通过“扩张解释”的方法强行将符合甲 1 2 参见于志刚、李源粒: 《大数据时代数据犯罪的类型化与制裁思路》 ,载《政治与法律》2016 年第 9 期。 参见朱宣烨: 《数据分层与侵犯网络虚拟财产犯罪研究》 ,载《法学杂志》2020 年第 6 期。 120 罪的行为定性为乙罪。根据本文的理解,“仲某盗窃比特币案”中被告人的行为 应被认定构成破坏数据罪。仲某通过在服务器中原存储的数据基础上插入一段数 据代码,使得数据合法权利人丧失对于数据的使用权限,此种行为侵犯的是数据 可用性(可访问、可使用)以及完整性(不受随意篡改)的法益。从其例举案件 内容看,即便仲某在此过程中利用非法权限浏览了被修改的数据,侵犯了数据保 密性法益,但该行为仅是修改数据的手段行为,而修改数据是目的行为,依据牵 连犯原理从一重处,综合全案应认定被告人构成属于重罪的破坏数据罪,而不是 非法获取数据罪。 此外,该学者提出的“利用漏洞方式充值”案件所具体指向的犯罪类型应是 笔者所提出的利用“Fiddler”软件实施的犯罪行为。笔者认为对于此种犯罪行为 也应该分为两步进行判断:第一步是在非法获取数据罪与破坏数据罪之间进行判 断,由于利用 Fiddler 截获数据的行为是修改数据的必经阶段,应按照牵连犯的 罪数原理,以从一重处原则按照属于重罪的破坏数据罪进行定罪。第二步在破坏 数据罪与侵犯财产罪之间进行判断。由于利用 Fiddler 取财的行为不单纯是破坏 计算机信息系统罪的附属行为,其同时符合盗窃罪的犯罪构成,一行为同时构成 两个犯罪属于想象竞合关系,应进行从一重处。1 最终可以得知该行为同时侵犯 了数据的保密性、完整性与可用性法益,同时也侵犯到了财产法益,定性时应该 根据罪数理论进行解决。之所以这里利用“Fiddler”软件实施犯罪行为会涉及到 财产犯罪,是因为被修改的虽是计算机信息系统数据,但该计算机信息系统数据 只是现实生活中货币的一种数字化表现形式,并不是纯粹的在虚拟世界中的虚拟 财产。 二、破坏数据罪之“删除、修改与增加”行为分析 法益具有指导解释刑法分则构成要件的功能,与数据保密性法益可以被我们 运用于指导对非法获取数据罪行为手段的解释相似,数据的完整性与可用性法益 也可以被运用于对破坏数据罪行为手段的解释。目前,对于如何理解我国刑法中 的“破坏型犯罪”,一些学者提出想要成立此类犯罪,行为必须要达到影响事物 1 丁鹏、李勇: 《利用 FD 抓取并修改充值数据获利如何定性》 ,载《检察日报》2019 年 11 月 5 日第 003 版。 121 的正常使用或者正常运行的程度。 1具体到破坏数据罪的解释场域即指行为都要 达到使数据丧失正常功效,影响数据的正常使用或运行的程度。 根据这种观点,“行为是否会使数据陷入到丧失正常使用功效的不良境地” 便成为判断行为是否构成破坏数据罪的标准。在杨志琼博士看来,只是增强数据 功能或者应用程序的数据删改增的行为并不具有犯罪性,其以数据精灵等微信外 挂软件为例提出,这些软件的运行看似符合增加数据的要件,但是相关数据增加 行为并没有影响到微信的功能,也没有使微信不能正常使用,反而是对微信功能 的功能加强,因此,我们不应该将制售数据精灵等微信外挂的行为作为犯罪行为 进行处理。 2 对此种意见,笔者不能苟同,理由有三:其一,在判断破坏数据罪的罪与非 罪时只关注数据可用性法益,忽视数据完整性法益的独立价值并不合理。前文观 点实际上暗含着如下司法逻辑“对数据完整性法益的破坏须达到使数据丧失正常 使用效用的程度,如若未达到该种程度便应该排除相关行为入罪的可能性。”因 此,实践中出现的具有增强数据使用效用的行为与减损数据使用效用但未达到丧 失正常使用程度的行为都会被排除在本罪规制范围外。可见,在该种理解下,数 据完整性法益受侵害程度的判断并不重要,重要的是对数据的非法操作是否达到 使数据完全丧失了可用性的程度。然而,此种理解与刑事立法的精神、司法解释 的立场、司法实践的需求均不相符。根据《刑法》第 286 条第 2 款的字面意思来 看,立法者并没有将本条款的后果严重限缩为使被删除、修改或者增加的数据丧 失可用性。此外,根据《计算机犯罪解释》第 4 条规定可知,对计算机信息系统 数据进行删改增操作不需要使数据可用性功效完全丧失,只需要达到台数要求、 违法所得或经济损失要求,或者其他严重后果就可以进行入罪处理。此外,将司 法打击的目标限缩为数据可用性完全丧失的情形会严重削弱本罪的规范价值。因 1 参见杨赞: 《开发外挂软件营利行为如何定性》 ,载《人民检察》2017 年第 16 期。 须勘误的是,本处所指“全国首例微信外挂案”即为(2016)粤 0105 刑初 1040 号案件,该案一审判决为 提供侵入、非法控制计算机信息系统程序、工具罪,而非杨志琼所言的破坏计算机信息系统罪。虽如此, 本文认为对微信外挂行为以《刑法》第 286 条第 2 款入罪处理更具合理性。参见广东省(2016)粤 0105 刑 初 1040 号刑事判决书;杨志琼: 《我国数据犯罪的司法困境与出路:以数据安全法益为中心》 ,载《环球法 律评论》2019 年第 6 期。持相似观点的还有徐松林教授等,徐松林教授认为该案中,张某等人开发的增强 微信功能的外挂软件并未破坏微信功能、不影响微信程度的正常运行、也不影响用户手机的正常使用,因 而不能将其行为评价为刑法意义上的破坏。参见杨赞: 《开发外挂软件营利行为如何定性》 ,载《人民检察》 2017 年第 16 期。 2 122 为不以数据可用性完全丧失为目标实施的侵犯数据完整性,进而导致数据可用性 部分丧失的犯罪行为在实践中比比皆是,这部分犯罪行为也理应受到刑罚的制裁。 其二,站在用户视角进行罪与非罪的存在判断视角错位的问题。前文提到杨 志琼博士、徐松林教授等认为“微信精灵”等微信外挂软件属于增强微信功能的 软件,并未破坏微信功能,不能被评价为刑法中的“破坏”。如果沿着杨博士、 徐教授等所支持的用户视角来判断外挂软件类案件的罪与非罪,将得出如下结论: 只要外挂软件没有超越外挂程序的功能介绍范围实施其他的违法犯罪行为,用户 的下载安装并自愿受害的允诺将阻却针对用户法益造成的损害行为的刑事违法 性。同时,由于所有的外挂软件都会起到增强用户数据使用功能的作用,且外挂 软件的运营都需要依附于官方软件。因此,除非出现了不可控制的系统漏洞否则 外挂软件的运行目的并不在于影响正版程序的正常运行,而是期望在维持正版软 件移动终端程序正常运行的同时,调整运行过程中的部分参数以提高用户对正版 软件的使用体验。因为如果对外挂软件的使用者而言没有任何操作体验的提升, 其也就不可能冒着被封号的风险下载并使用外挂软件。如此一来,从用户视角出 发判断外挂软件类案件的罪与非罪将得出基本所有的制作、提供与使用外挂软件 的行为都不应该被进行入罪处理的判断结论。换言之,微信外挂软件使用者在使 用微信外挂软件时已经同意了外挂软件调用其手机或电脑等计算机信息系统的 自动数据处理功能,及其中存储、处理或者传输的数据。因此,即便用户使用外 挂的行为给计算机信息系统功能法益、数据安全法益等造成了侵害,还是会由于 被害人有效承诺的存在而对行为违法性产生阻却作用。也就是说,只要用户使用 微信外挂软件提供的服务时没有超出外挂软件功能的介绍范围,相对于用户一方 而言被害人承诺即已经成为有效的阻却违法性的事由。 然而,本文认为外挂软件类案件的考察重点不在于关注用户所使用的移动客 户端数据是否完全丧失,完整性是否受到侵犯,也不在于微信移动客户端功能安 全是否受到侵犯,而是在于制作、提供与使用外挂软件的行为会给正版软件服务 提供者所享有的刑法法益造成何种侵害。以微信外挂软件为例,“微信计算机系 统采取了必要的安全防护机制,微信用户在微信计算机信息系统的数据交互需要 安全验证以及合法授权,腾讯公司未在微信客户端提供任何第三方 API 接口,也 123 未授权任何第三方程序对微信客户端进行侵入、破坏。”1可见,微信计算机信息 系统正常运行的基础在于接入网络,以及微信手机或电脑客户端程序与腾讯公司 微信运营服务器之间的数据能够正常交互传输。因此,微信外挂并不是在完全闭 环的、不与外界进行数据交互的用户手机或者电脑客户端中使用。这种情况下, 虽然用户对微信外挂调用其手机或电脑等计算机信息系统的自动处理数据功能 及其中存储、处理或者传输数据的行为作出明确承诺进而阻却了对用户法益造成 侵害之行为的违法性,但是用户的承诺却不能够成为微信外挂对微信客户端与微 信运营服务器之间传输的数据进行非法删除、修改或者增加行为的刑事违法性阻 却事由,更不能排除微信外挂对微信运营服务器中存储、处理或者传输数据进行 非法删除、修改或者增加行为的刑事违法性阻却事由。 其三,上述观点误读了破坏数据罪与数据的完整性与可用性之间的关系。上 述观点将行为是否会造成数据可用性的完全丧失作为行为是否会构成破坏数据 罪的标准,然而,通过本文的分析可知,破坏数据罪的保护法益不仅包括数据可 用性,而且包括数据完整性。其中,数据完整性是指未经合法授权不得擅自改变 数据特性,擅自对数据进行删除、修改或者增加等破坏性操作,以保证数据在被 存储、处理或者传输的过程中保持不被修改、不被破坏与不被丢失的特性,进而 确保数据处于完整与未受损的状态。数据完整性法益要求具体个案的裁判者关注 被告人是否实施了“无权或越权删除、修改与增加数据”的行为。数据可用性的 核心内涵是数据资源能够被合法用户或者实体随时访问,确保数据可用性的需求: (1)确保数据相关的所有硬件均可用;(2)确保装载数据的载体和用于访问数 据的信息系统遭受偶尔的软硬件故障或恶意攻击时依然能够提供数据访问服务。 2 数据可用性法益要求具体个案的裁判者关注被告人实施的行为是否会影响合法 权利人对数据的随时存取与访问。 3由于对数据完整性的破坏行为将在一定程度 上对数据可用性造成影响,因此,立法上常将两者放在一起进行保护。基于此, 我们可知破坏数据罪所调整的行为应包括两种类型,一种是行为人通过对数据完 整性的破坏对数据可用性造成了部分损害,但却并没有使数据丧失可用性的情形, 另一种是行为人通过对数据完整性的破坏对数据可用性造成了完全损害,使数据 1 2 3 参见福建省龙岩市中级人民法院(2019)闽 08 刑终 119 号刑事判决书。 参见高能主编: 《信息安全技术》 ,中国人民公安大学 2007 年版,第 109 页。 参见李永忠编著: 《物联网信息安全》 ,西安电子科技大学出版社 2016 年版,第 282 页。 124 丧失可用性的情形。前文中提到的杨志琼博士、徐松林教授等对刑法中“破坏型 犯罪”的理解,实际上仅指向数据可用性完全丧失这一种情形,并没有意识到对 数据完整性法益造成部分侵害并导致数据可用性法益部分受损的情况下,只要在 台数、违法所得以及经济损失等达到后果严重的程度时依然以破坏计算机信息系 统罪进行定罪处罚。 综上,笔者的核心意见是在处理此类涉及计算机软件的案件时,须明确软件 的运行技术机理,结合运行技术机理与法教义学的基础知识,具体判断涉案行为 的罪与罚。其实,只要认真分析了微信外挂软件的运行技术机理就会发现所谓的 “对微信软件功能未造成影响”等说理并不合理。因为之所以在用户使用的移动 客户端上微信软件未崩溃,是因为深圳腾讯公司投入了大量的人力与财力资源去 清理、打击微信外挂软件制售行为,应对微信外挂软件对正版微信软件的冲击, 因此,没有造成微信软件运行的崩溃不能成为涉微信外挂类犯罪行为的出罪理由。 同时,对“破坏数据罪”中的“删除、修改或者增加”的判断不要以“数据使用 效用完全灭失”为标准,要认识到数据完整性与可用性之间的联动关系,对数据 完整性的侵犯必将影响数据可用性,对数据可用性的损坏又能被分为部分受损与 全部受损两种情形。无论是造成数据完整性与可用性法益的部分受损,还是全部 受损的行为都可能构成破坏计算机信息系统罪(一般应适用第 2 款,如果造成了 计算机信息系统不能正常运行的情形,可同时适用第 1 款与第 2 款,并适度在法 定刑幅度内进行从重处理)。 第三节 数据犯罪的行为结果 一、非法获取数据罪之情节严重 根据《刑法》第 285 条第 2 款可知,成立非法获取数据罪须满足情节严重的 要求。在对“两高”作出的《计算机犯罪解释》中所列明的情节严重认定标准进 行评析之前,本文认为可先对情节严重在犯罪论中的体系定位进行明确,并且将 分析的结果在对《计算机犯罪解释》所列明的情节严重认定标准进行评析时予以 具体运用。 125 (一)情节严重的犯罪论体系定位 为防止立法表述冗长,立法者在刑法中广泛使用了情节严重这一立法模式。 对于这些情节严重的立法规定,有学者曾提出此一规定内涵外延均较为模糊,时 而可被用于区分罪与非罪,时而又被用于区分轻罪与重罪,具体含义之解释权限 则在于司法工作人员,而一般的公众对之含义常无从了解。 1这一评论一方面展 示出了刑事司法中存在对情节严重理解恣意的风险,另一方面也说明了情节严重 是刑法学研究的重难点问题。只是笔者认为既然立法者已经明确将情节严重作为 相关罪名的罪状进行了成文化的规定,那么,目前刑法学研究者所能采取的罪具 有实践价值的做法不是对情节严重立法模式进行批评,而是加强对情节严重在犯 罪论体系中定位问题的讨论。利用教义学的知识去规范的解读情节严重,避免刑 事司法中司法者对情节严重进行恣意理解,并随意出入罪。 传统四要件犯罪论体系下,我国学者们多认为情节严重是一种综合性的立法 规定,2包括了除客体要件外的其他三个构成要件的内容。3然而,伴随着我国犯 罪论体系由要件论向阶层论的知识转型,情节严重如何在阶层论中进行定位再次 成为刑法学中的难点问题,以至于“明确其在犯罪论中的体系性地位,继而确定 其与行为人主观方面的关系,是当代中国刑法学上难解的‘理论之结’。”4经统 计,学界目前提出的观点主要有如下五种: 其一,类构成要件复合体说。王莹副教授通过全面的提炼与剖析我国司法解 释中对情节严重所作的解释提出,虽然我国刑事立法中的情节严重之规定大多数 应被认定是构成要件要素,但是我国刑事立法中的情节严重同样不乏作为客观处 罚条件等要素存在的情形。因此,情节严重在我国阶层犯罪论体系中宜被认定是 “类构成要件复合体”。 5须承认,王莹副教授对既有的刑事司法解释作了较为 全面的提炼与剖析。然而,从王莹副教授文中的具体内容看,其存在着较为明显 的误将刑事司法解释与刑事立法文本的法律效力进行等同看待的问题。“类构成 要件符合说”被提出的重要理论前提是“司法解释对犯罪构成的补充性‘解释’ 实际上获得了立法的品格。” 6也正因此,王莹副教授才直接以刑事司法解释中 1 2 3 4 5 6 参见陈兴良著: 《刑法哲学》 ,中国政法大学出版社 1992 年版,第 499 页。 参见张明楷: 《论刑法分则中作为构成要件的情节严重》 ,载《法商研究》1995 年第 1 期。 参见张明楷: 《论刑法分则中作为构成要件的情节严重》 ,载《法商研究》1995 年第 1 期。 王莹: 《情节犯之情节的犯罪论体系性定位》 ,载《法学研究》2012 年第 3 期。 参见王莹: 《情节犯之情节的犯罪论体系性定位》 ,载《法学研究》2012 年第 3 期。 王莹: 《情节犯之情节的犯罪论体系性定位》 ,载《法学研究》2012 年第 3 期。 126 对情节严重所作的解释作为理解情节严重在刑事立法体系定位中的唯一根据。然 而,笔者认为刑事司法解释无论是否为有权解释,都不可能与刑事立法文本具有 相同的法律效力。同理,将刑事司法者对刑事立法中某一立法表述的解释直接视 为该立法表述在刑事立法中的真实含义的做法也不正确,甚至可以说该做法存在 违反刑法罪刑法定基本原则的嫌疑。笔者认为刑法学中除了国家权力机关作出的 立法解释外,司法解释与学理解释对某一刑法条文所作的补充性解释无论如何都 不可能获得立法上的品格。更不用说,“事实上,司法解释的规定很多是非常具 体的,但是,规定越具体,一些案件越无法处理,司法解释的漏洞也就越多。” 1 正是因此,只对既有司法解释进行归位判断,而不对该司法解释内容本身的合 理性进行分析的“类构成要件复合体说”为本文所不取。 其二,客观处罚条件说。熊琦副教授认为情节、数额等内容在我国刑法犯罪 论中的定位相当于客观处罚条件在德国刑法犯罪论中的定位。 2根据刑法教义学 基本原理,具体个案中行为人对于属于客观处罚条件的情形不需要有所认识。因 此,如果将情节严重的犯罪论体系定位理解为客观处罚条件,则意味着情节严重 也不再是具体个案中行为人实施犯罪行为时需要认识的内容,此种做法“势必会 弱化责任要素的个别评价机能。同时,‘情节严重’是客观处罚条件,无异于导 向严格责任。”3实际上,在客观处罚条件之理论源头的德国刑法学中,客观处罚 条件也只是作为一种特殊的处罚条件被德国立法者规定于少数的犯罪类型中。4 与德国立法不同,我国刑法分则中有七十余条文明确使用了情节严重或情节恶劣 的立法表述,如果在我国刑法学理上将这些立法表述全部解读为客观处罚条件, “将可能直接消解作为法治国家自由保障基础的责任主义原则。至于我国刑法具 1 参见车浩、陈兴良、张明楷: 《立法、司法与学术—中国刑法二十年回顾与展望》 ,载《中国法律评论》2017 年第 5 期。 2 石聚航副教授在其《侵犯公民个人信息罪情节严重的法理重述》一文中认为柏浪涛副教授也认可情节严 重是客观处罚条件。经考证,该理解存在偏差,柏浪涛副教授文中将“情节”与“严重”作了区分。对于 “情节”,其赞同张明楷教授的观点,即情节严重中的“情节”在性质上属于不法构成要件要素。所谓“情 节”只是对具体的不法构成要件要素的一种概括式描述,而“严重”是对不法构成要件的整体评价要素。 表面上看,“严重”这种评价标准会影响行为的违法程度,但这种影响只是一种评价结论上的影响,而不 是实体存在上的影响,其本身并没有为违法性提供新的根据。从实体存在上看,只有情节本身才为行为违 法提供实质根据,是违法不可或缺的构造材料。从性质机能上看,“严重”作为对行为违法程度的评价标 准,不是不法构成要件要素,但又能决定刑罚的启动,也即评价行为的整体违法性是否达到了需要科处刑 罚的程度,因而是一种客观处罚条件。参见石聚航:《侵犯公民个人信息罪情节严重的法理重述》,载《法 学研究》2012 年第 3 期;柏浪涛: 《构成要件符合性与客观处罚条件的判断》 ,载《法学研究》2012 年第 6 期;熊琦著: 《德国刑法问题研究》 ,台湾元照出版公司 2009 年版,第 89 页。 3 石聚航: 《侵犯公民个人信息罪情节严重的法理重述》 ,载《法学研究》2018 年第 2 期。 4 参见许玉秀著: 《当代刑法思潮》 ,中国民主法制出版社 2005 年版,第 83 页。 127 体哪些规定属于客观处罚条件,还有待于我国学者进行审慎的解读与甄别。”1 因此,该说也不为本文所支持。 其三,罪量说。陈兴良教授提出情节严重、后果严重等内容属于罪量要素。 2 与客观处罚条件说相似,陈兴良教授认为具体个案中行为人实施行为时对罪量 要素(包括情节严重)不需要有所认识。3因此,前述批判客观处罚条件说时提出 的刑法定罪导向严格责任的观点可被直接用于对罪量说的批判。除此之外,张明 楷教授针对罪量说提出了如下合理的批评:其一,根据刑法责任主义原理,要求 将客观违法事实归于行为人要求行为人对该客观违法事实具有非难可能性,尤其 要求行为人对违法事实具有故意或过失。将情节严重作为罪量要素,不要求行为 人有认识或认识可能性,难以符合责任主义要求。其二,既然认为某些罪量要素 表明行为的法益侵害程度,就不能认为它不属于罪体的内容,也不能认为它与故 意、过失没有关系。其三,虽然德国、日本的三阶层与两阶层体系中,客观处罚 条件是不需要认识的内容。但是,根据责任主义,也要求行为人具有认识的可能 性。所以即便采取罪量要素的概念,也不能认为其与故意、过失没有关系。 4因 此,罪量说也为本文所不取。 其四,整体的评价要素说。张明楷教授认为实践中一些具有法益侵害性的行 为虽具有刑事违法性,但危害程度尚未达到刑事可罚的程度,此时很难通过增加 特定要素的方式使行为的违法性达到值得刑罚处罚的程度,又或者很难预见增加 那些特定要素可以使行为的刑事违法性达到值得刑罚处罚的程度。因此,立法者 将情节严重作为判断具有违法性,但尚未达到刑事可罚程度的行为是否应受处罚 的整体性评价要素。 5对本说,石聚航副教授认为其存在判断要素不明确、判断 要素评价缺位等问题。 6与之相反,笔者认为并不是因为将情节严重评价为整体 1 梁根林: 《责任主义及其例外—立足于客观处罚条件的考察》,载《清华法学》2009 年第 2 期。 陈兴良教授将源自德日的阶层犯罪论进行中国化改造后形成了“罪体-罪责-罪量”说。罪体是犯罪成立的 第一个要件,罪体首先包括主体、行为、结果及其因果关系等罪体构成要素,这些要素之间具有位阶关系, 应当依次进行判断。在具备罪体构成要素的基础上,如果存在罪体排除事由,则罪体仍然被否认。在具备 罪体的基础上,再进行罪责的判断。因此,罪责是犯罪成立的第二个要件,罪责包括故意、过失及动机、 目的等罪责构成要素,这些要素之间同样具有位阶关系。在具备罪责构成要件的基础上,如果存在罪责排 除事由,则罪责仍然被否认。参见陈兴良著: 《规范刑法学(上册) 》 (第 4 版) ,中国人民大学出版社 2017 年版,第 111 页。 3 参见陈兴良: 《作为犯罪构成要件的罪量要素:立足于中国刑法的探讨》 ,载《环球法律评论》2003 年第 3 期。 4 参见张明楷著: 《犯罪构成体系与构成要件要素》 ,北京大学出版社 2010 年版,第 249-251 页。 5 参见张明楷著: 《犯罪构成体系与构成要件要素》 ,北京大学出版社 2010 年版,第 239 页。 6 参见石聚航: 《侵犯公民个人信息罪情节严重的法理重述》 ,载《法学研究》2018 年第 2 期。 128 2 评价要素的观点导致情节严重存在判断要素不明确、判断要素评价缺位等问题的 存在,造成这两个问题的真正原因是情节严重立法表述的模糊性特征。由于情节 严重语义模糊,使之在具体的判断情境下显得含义不清、判断标准不明,从而导 致了情节严重司法判断的困难。此外,本文认为虽然张明楷教授与石聚航副教授 在确定情节严重的体系性定位时分别使用了“整体的评价要素说”与“违法构成 要件要素说”等不同的概念,但是这两个概念的具体含义却完全相同。因为张明 楷教授前期曾认为作为“整体的评价要素”之情节严重是包括了主观与客观构成 要件要素的综合性要件,但张明楷教授目前所持的是纯粹客观的违法性论,因此, 其认为“情节严重这种整体的评价要素,也是一种构成要件要素”,1且“只能是 指客观方面的表明法益侵害程度的情节。” 2既然两位学者都将情节严重视为客 观构成要件要素的内容,且张明楷教授提出“整体评价要素说”的目的也不是为 了在既有构成要件要素类型外寻找其他的整体性评价要素,只是主张要将构成要 件要素作为一个整体予以看待评价其违法性程度。可见,“整体性评价要素说” 与客观的“违法构成要件要素说”的实质内涵并无不同。 其五,违法构成要件要素说。陈洪兵教授、石聚航副教授等在纯粹的客观违 法性论的立场下将情节严重理解为纯客观的违法性构成要件要素。 3对此,笔者 持反对态度,并认为违法性构成要件要素应同时包括主客观两个方面的内容。通 过对犯罪论体系的历史演变进行考察可知,在古典犯罪论体系中构成要件是无价 值的中性要件,也即纯粹的客观内容。 4此时,构成要件阶层与违法性阶层的判 断都是行为的客观方面,行为的主观方面则属于有责性判断的对象。在古典犯罪 论体系提出不久,德国民法学者 H.A.费舍尔(H.A. Fischer)在 1911 年发现主观 违法要素,指出“不是这样的客观事件被禁止,而是禁止或被允许,完全取决于 行为人实施犯罪的思想。” 5刑法学者 Heger 和 M.E.Mayer 随后也提出有主观违 法要素和规范的构成要件要素的看法。 6自此,主观的构成要件要素之存在价值 受到德国,以及受德国刑法影响较重的日本、中国大陆与台湾等地区学者的广泛 1 张明楷著: 《犯罪构成体系与构成要件要素》 ,北京大学出版社 2010 年版,第 240 页。 张明楷著: 《犯罪构成体系与构成要件要素》 ,北京大学出版社 2010 年版,第 241 页。 3 参见石聚航: 《侵犯公民个人信息罪情节严重的法理重述》 ,载《法学研究》2018 年第 2 期;陈洪兵: 《情 节严重司法解释的纰缪及规范性重构》 ,载《东方法学》2019 年第 4 期。 4 参见许玉秀著: 《当代刑法思潮》 ,中国民主法制出版社 2005 年版,第 83 页。 5 [德]汉斯·海因里希·耶赛克、托马斯·魏根特著: 《德国刑法较科学(上) 》,徐久生译,中国法制出版 社 2017 年版,第 426 页。 6 参见许玉秀著: 《当代刑法思潮》 ,中国民主法制出版社 2005 年版,第 66 页。 129 2 支持。随便学理上对主观构成要件要素范围大小还存在较多争议,但承认构成要 件要素中包含主观构成要件要素的观点已成为通说。 比如,在德国金德霍伊泽尔教授明确的指出“按照目前完全主流的看法,故 意属于主观的构成要件,那么,这就意味着,在故意犯的领域,故意是不法的基 础。”1韦塞尔斯教授也指出“今天,德国刑法学已经普遍认可了主观方面不法元 素的存在。” 2马克昌教授经过比较考察提出在日本刑法学研究中主观违法性要 素肯定论也占据通说地位,团藤重光、福田平、大塚仁、西原春夫、野村稔教授 等均持此说。3经笔者考证,除上述学者外,前田雅英也教授认为“为了使犯罪类 型个别化、特定化,不得不承认既遂犯中‘故意’也具有构成要件要素的性质。 如果不追问行为人的主观状态,就不能判断该当何种构成要件。在将人杀死时, 不论是本来就打算要杀死对方的杀人罪,还是本来打算伤害对方的伤害致死罪, 抑或者是没有伤害的故意但由于疏忽大意而造成对方死亡的过失治死罪,三者的 ‘构成要件’各不相同。”4由上可知,尽管德日两国的刑法学者对于主观构成要 件要素的具体内容是否包含故意与过失还存在着一些争议,但通说将主观要素作 为构成要件要素看待,这种情况在我国(包括大陆与台湾)也基本相同。受篇幅 限制,本处笔者不再对我国学者所持的相关观点进行一一赘述。 (二)非法获取数据罪情节严重的分析要点与展开 根据前文的分析,本文认为情节严重是违法构成要件要素,对其进行判断的 目的是综合考察行为的违法性是否达到了刑事可罚的程度。基于此,在对《计算 机犯罪解释》提出的非法获取数据罪情节严重认定标准进行分析判断前,应对如 下两个判断要点有清晰的把握: 其一,情节严重属于违法性构成要件要素,同时包括主观与客观两方面的内 容。从非法获取数据罪的法条文义看,本罪的保护对象是三大重点领域外的计算 1 [德]乌尔斯·金德霍伊泽尔著: 《刑法总论教科书》 (第六版),蔡桂生译,北京大学出版社 2015 年版,第 136 页。 2 [德]约翰内斯·韦塞尔斯著: 《德国刑法总论》 ,李昌珂译,法律出版社 2008 年版,第 81 页。相似观点还 可参见[德]汉斯·海因里希·耶赛克、托马斯·魏根特著: 《德国刑法较科学(上) 》 ,徐久生译,中国法制 出版社 2017 年版,第 371 页;[德]克劳斯·罗克辛著: 《德国刑法学总论(第 1 卷) 》 ,王世洲译,法律出 版社 2005 年版,第 199 页。 3 参见马克昌著: 《比较刑法原理—外国刑法学总论》 ,武汉大学出版社 2002 年版,第 123 页。 4 [日]前田雅英著: 《刑法总论讲义》 (第 6 版) ,曾文科译,北京大学出版社 2017 年版,第 30 页。相似的 观点还可以参见[日]松宫孝明著: 《刑法总论讲义》 (第 4 版补正版) ,钱叶六译,王昭武审校,中国人民大 学出版社,第 46 页;[日]大谷实著: 《刑法讲义总论》 (第 2 版) ,黎宏译,中国人民大学出版社 2008 年版, 第 116 页;[日]西田典之著: 《日本刑法总论》 (第 2 版) ,王昭武、刘明祥译,法律出版社 2013 年版,第 60 页;[日]山口厚著: 《刑法总论》 (第 3 版) ,付立庆译,中国人民大学出版社 2018 年版,第 95 页。 130 机信息系统数据,保护的直接法益是数据保密性。“因此一般而言,犯罪成立与 否和责任轻重与非法获取的数据本身有关,包括数量、性质等。”1“其中,最能 直接体现出数据保密性法益的标准应该是“数据量”。因此,未来进行刑事司法 解释制作或者司法审判实践时可有意识的将数据量作为一项判断情节严重与否 的判断标准。考虑到法域体系协调的问题,在以“数据量”作为门槛入罪时,应 注意与《数据安全法(草案)》等有关国家规定相协调。《数据安全法(草案)》 第十九条规定,“国家根据数据在经济社会发展中的重要程度,对数据实行分级 分类保护。”因此,对于数据量级的设置也可采用分级分类的方式对之具体数量 进行分别规定,如对普通数据规定 2GB 入罪标准时,可对重要数据规定 1GB 作 为入罪门槛,体现出对具有不同保密性价值之数据的整体协调保护。同时,我们 还可以参照《公民个人信息犯罪解释》第五条第六项之规定,确定不同类型数据 的数量折算比例。 田刚副教授提出应将“非法获取 50 台以上计算机信息系统中存储、处理或 者传输数据”的行为规定为情节严重。2对此,笔者表示支持。考虑到非法获取计 算机信息系统数据行为侵犯的是数据保密性法益,相对于删除、修改与增加计算 机信息系统数据行为侵犯的数据完整性与可用性法益而言烈度较低,因此,可参 考《计算机犯罪解释》第 4 条第 1 款第二项“对 20 台以上计算机信息系统中存 储、处理或者传输的数据进行删除、修改、增加操作的”,对非法获取数据罪情 节严重的“台数”要求应适当上浮,具体上浮数量多少可由“两高”通过对司法 实践判例进行大数据分析后得出。有学者可能会认为如果将侵犯一定台数计算机 信息系统中的数据作为情节严重的判断标准保护的是“计算机信息系统安全法益” 或“计算机信息系统运行法益”。然而,本文认为行为人对一定规模台数的计算 机信息系统中存储、处理或者传输的数据的侵犯,以及前文中提到的对一定数量 级别数据的侵犯都是能够体现具体案件中行为人的行为对数据保密性法益造成 侵害程度的重要因素。 前述建议多围绕客观违法构成要件要素展开,在主观违法构成要件要素方面, 本文以为可以参照《公民个人信息犯罪解释》中对侵犯公民个人信息罪所作的解 1 林维: 《数据爬取行为的刑事司法认定》 ,载《人民检察》2020 年第 4 期。 参见田刚: 《大数据安全视角下计算机数据刑法保护之反思》,载《重庆邮电大学学报(社会科学版) 》2015 年第 3 期。 131 2 释,即将“知道或应当知道他人欲实施犯罪,为其获取数据”作为情节严重的一 项明确判断标准。虽然从客观上看,对数据保密性法益的侵犯未达到情节严重的 程度,但“知道或应当知道他人欲实施犯罪”,还帮助其非法获取数据的行为表 明了行为人对数据保密性法益进行破坏的主观违法性程度较高。因此,此种行为 也应当受到惩罚。 其二,情节严重的判断应尽可能防止预防刑的介入,满足责任刑的要求。 “责 任刑是向后看的、回顾性的,被告人过去干的事情导致他要一人做事一人当”, “预防刑则是向前看的:就被告人犯罪前后的表现或再犯可能性来讲,未来防止 其再犯罪,把他判的重一点好还是轻一点好?” 1非法获取数据罪的情节严重虽 也同时具有判断重罪与轻罪的功能,但是其最重要的教义学价值是作为入罪与出 罪的判断标准。既然非法获取数据罪的情节严重是判断涉案行为是否构成犯罪, 而不仅仅是影响量刑的标准,那么,这一标准就应该是向后看、回顾式的分析行 为人是否应该为其做过的事情负责任,至于责任刑要素则应该被放到已经定罪后 的量刑阶段再去考察。因此,已经受过处罚、累犯、自首、立功等预防性情节“都 只能是在成立犯罪以后的量刑阶段才能考虑的预防要素,而不应当颠倒顺序。” 2 因此,笔者建议我国“两高”在将来更新关于非法获取数据罪情节严重认定标 准的司法解释是,应避免设置类似于“曾受过刑事或行政处罚,又再次实施犯罪” 等预防刑要素的情节严重认定标准。 (三)《计算机犯罪解释》列举标准的评析 1.身份认证信息标准 “两高”在《计算机犯罪解释》中将身份认证信息作为非法获取数据罪情节 严重的重要认定标准。然而,电子化形式存在的身份认证信息同时还可能是公民 个人信息的账号密码。由于《计算机犯罪解释》对身份认证信息作出的数量要求 与《公民个人信息犯罪解释》对账号密码作出的数量要求不同,这导致非法获取 数据罪与侵犯公民个人信息罪之间存在适用争议外,还同时导致司法恣意与罪刑 不均等问题的出现。具体来说,根据《计算机犯罪解释》可知,身份认证信息包 括网络金融服务类与一般类两种,两类标准分别要求达到 10 组与 500 组以上才 构成非法获取数据罪的情节严重。根据《公民个人信息犯罪解释》可知,可能影 1 2 参见周光权: 《量刑的实践及其未来走向》 ,载《中外法学》2020 年第 5 期。 张明楷: 《阶层论的司法运用》,载《清华法学》2017 年第 5 期。 132 响到人身、财产安全的账号密码类公民个人信息达到 500 条以上时才构成侵犯公 民个人信息罪的情节严重。这里我们要先回答一个问题,即“组”与“条”之间 的关系问题。从喻海松博士对“两高”司法解释的官方解读看,在司法解释制定 者们看来“有些情形下‘一条’公民个人信息应当理解为‘一组’公民个人信息。 例如,公民个人的银行账户、支付结算账户、证券期货等金融服务账户的身份认 证信息,应当理解为一组确认用户操作权限的数据,包括账号、口令、密码、数 字证书等,而非单个数据。”1根据这种理解,行为人非法获取 10 组金融身份服 务身份认证信息便可被认定构成非法获取数据罪,判处 3 年以下有期徒刑或拘 役,并处或单处罚金;行为人非法获取 50 组金融服务身份认证信息的行为属于 非法获取数据罪情节特别严重的情形,可被判处 3-7 年有期徒刑并处罚金。然而, 如果按照侵犯公民个人信息罪来处理,只要不具备其他情节严重情形,即使非法 获取的身份认证信息达到了 499 组也不会被认定构成犯罪。这样,就很容易造成 想要入罪时,司法者将之解释为非法获取计算机信息系统数据,不想入罪时将之 解释为侵犯公民个人信息。此外,非法获取身份认证信息的犯罪行为如果在获取 信息组数上没有达到非法获取数据罪与侵犯公民个人信息罪情节严重的要求,但 是却造成了 1 万元以上的经济损失时,根据非法获取数据罪便应以情节严重进行 入罪,而根据侵犯公民个人信息罪则没有达到情节严重的程度不应予以入罪处理。 这种为司法者预留的“一念牢狱之灾,一念自由天堂”的裁量空间,难称合理的 司法解释。同时,从刑法学理看,目前刑法学界之所以会出现对非法获取数据罪 中“计算机信息系统数据”的错误理解问题, 2一方面是由于相关论者的粗心大 意没有关注到《计算机犯罪解释》第 1 条第 1 款中第四项、第五项的内容,另一 方面便是《计算机犯罪解释》第 1 条第 1 款中第一项、第二项明确将身份认证信 息作为判断情节严重的标准造成了不当的思维引导。 此外,即便我们不对身份认证信息标准的存在可能造成的前述问题进行讨论, 只看《计算机犯罪解释》第 1 条第 1 项与第 2 项设置的信息组数便可得出应对身 份认证信息进行修改或者删除的结论。大数据时代背景下,我们理应以上述的数 1 喻海松: 《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》 ,载《人 民司法》2011 年第 19 期。 2 杨志琼: 《我国数据犯罪的司法困境与出路:以数据安全法益为中心》 ,载《环球法律评论》2019 年第 6 期;刘一帆、刘双阳、李川: 《复合法益视野下网络数据的刑法保护问题研究》 ,载《法律适用》2019 年第 21 期;于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》,载《中国社会科学》2014 年第 10 期;于志 刚、李源粒: 《大数据时代数据犯罪的类型化与制裁思路》 ,载《政治与法律》2016 年第 9 期等。 133 据量为标准替换身份认证信息标准,并对数额要求进行适度提高,以同时兼顾数 据的开发与数据的保护,防止因过度保护数据造成数据的开发使用受到不当的影 响。高艳东副教授曾提出与笔者相似的修改意见,其认为应将非法获取其他受保 护数量达到 GB 级别或者超过 10 万条的情形解释为《计算机犯罪解释》中的“其 他情节严重的情形”。1只是与其不同,笔者认为“数据量级”的设置应是根据不 同类型的数据进行不同的设定,且确定数据量级的标准时应预先由“两高”对司 法判例进行大数据分析,而不是随意的提出一项数据量级标准,毕竟情节严重的 判断将直接影响到对非法获取数据罪犯罪圈的划定,设定“数据量级”的数值过 高将造成非法获取数据罪的不当限缩,影响对数据安全的保护,而设定“数据量 级”的数值过低又将造成非法获取数据罪的不当扩张,影响对数据产业的建设。 此外,笔者还关注到刘艳红教授在讨论数据犯罪时提出,在 Web3.0 时代应对网 络犯罪进行升维打击,而非同维打击,更不应降维打击。刑法设立的计算机与网 络犯罪专有罪名,由于不存在对应的线下犯罪罪名,因此也不存在与线下犯罪相 比所带来的降维或升维打击问题。2对此,笔者认为即便在 Web3.0 时代专门的计 算机犯罪与网络犯罪罪名不存在线上线下对比升降维度对比问题,但也应该注意 到“传统的犯罪定量标准体系日渐落后,难以适应网络犯罪科学治理的需要,也 根本无法对不断增长和变形的网络犯罪作出科学、合理的定量评价。”3因此,在 设置数据犯罪的定量要素时应注意到大数据时代数据数量爆炸的现实,适度提高 刑事入罪的数据量级要求。 总而言之,数据犯罪的刑法治理应注意兼顾数据安全与数据利用、产业发展, 在未来修改非法获取数据罪时宜删除掉身份认证信息标准,参照《网络安全法》 《数据安全法(草案)》等前置法规定对数据进行分级分类保护,以“数据量级” 取代“身份认证信息组数”作为非法获取数据罪情节严重的认定标准。这样既可 以对具有不同保密性价值之数据的整体协调保护,又可以体现出国家在数据安全 治理上的兼顾数据安全与数据开发利用、产业发展的政策理念, 4因为“刑法过 多地干预数据的收集过程,可能会阻碍数据创新与发展。” 5 1 参见杨赞: 《利用爬虫加粉软件“打劫”个人信息牟利如何适用法律》 ,载《人民检察》2019 年第 18 期。 参见刘艳红: 《Web3.0 时代网络犯罪的代际特征及刑法应对》,载《环球法律评论》2020 年第 5 期。 3 参见于志刚、郭旨龙: 《信息时代犯罪定量标准的体系化构建》 ,载《法律科学》2014 年第 3 期。 4 《数据安全法(草案) 》第十二条规定“国家坚持维护数据安全和促进数据开发利用并重,以数据开发利 用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。” 5 刘宪权、汤君: 《人工智能时代数据犯罪的刑法规制》 ,载《人民检察》2019 年第 13 期。 134 2 2.违法所得与经济损失标准 学界对“两高”在解释分则罪名中的情节严重时惯常使用“违法所得”与“经 济损失”认定标准的现象提出了较多批评。比如,石聚航副教授在批评“侵犯公 民个人信息罪”的情节严重标准时便指出本罪司法定性时存在避免就易的问题, 大多案件只关注行为人的违法所得数额。 1这一批判较为客观,并且在非法获取 数据罪的司法认定中也呈现出了相似现象,即司法者倾向于以“违法所得”与“经 济损失”为认定情节严重的标准,而刻意忽视对其他标准的采纳与适用。然而, 笔者认为贸然主张废除该标准的建议与实际难以相符,毕竟非法获取计算机信息 系统数据并以此获利或者造成被害人经济损失高达一定数额,也可以反映出涉案 实行行为给数据保密性法益造成的侵害程度。如果在司法解释中将此项标准删除, 司法者同样也可能因为对数据进行分类与组数统计将耗费大量的精力,转而会选 择采用“其他情节严重的情形”这一兜底性规定,并将经济损失、违法所得等解 释为“其他情节严重的情形”。因此,我们在没有更好的替代措施的前提下借用 司法解释这一工具将“违法所得”与“经济损失”作为一项标准并对之进行明确 对于限制刑事司法活动的恣意可能性,保证刑事司法活动的结果可预测性,具有 一定的积极价值。 二、破坏数据罪之后果严重 (一)破坏数据罪后果严重的理解分歧 前文提到,针对如何解释破坏数据罪中的后果严重,学界与实务界也存在着 较多重大的分歧: 其一,构成破坏计算机信息系统罪须同时满足对数据与应用程序的破坏达到 后果严重的程度。在“张嘉阳非法获取计算机信息系统数据案”中,法院裁判认 定行为人只有同时实施删改增数据与应用程序的非法行为,在具体的现实案件中 才可能会出现计算机信息系统运行受到影响的严重后果。如果只是单纯的调整、 修改数据,计算机信息系统本身不会受到影响,就不能构成本罪。2学理上,周光 权教授也持本种立场。 3 1 2 3 参见石聚航: 《侵犯公民个人信息罪情节严重的法理重述》 ,载《法学研究》2018 年第 2 期。 参见福建省厦门市中级人民法院(2019)闽 02 刑终 41 号刑事判决书。 周光权教授认为破坏计算机信息系统的对象具有‘复合性’ ,即行为人必须同时具有对计算机信息系统中 135 其二,破坏计算机信息系统数据不用达到对计算机信息系统功能造成破坏的 程度便可构成破坏计算机信息系统罪。在“柏亿春破坏计算机信息系统案”中, 针对辩护人提出的“被告人柏亿春付费购买用于网吧日常经营管理,任网游也没 有表明对系统进行了破坏”之抗辩,法院判定“任子行网络技术有限公司作出的 说明,被告人柏亿春添加外挂软件,使未带身份证的成年人以及未成年人也可以 上网,虽对计算机系统的功能未造成破坏,但生成了大量虚假数据,该虚假数据 传输到公安机关实名监管系统,影响了数据采集的真实性,破坏了公安机关的实 名监管。”进而以违反第 286 条第 2 款为由判处被告人破坏计算机信息系统罪。 1 从该裁判说理看,破坏数据罪的适用并不需要达到对计算机系统功能造成破坏 的程度。学理上,喻海松博士等也持本种立场。 2 其三,破坏计算机信息系统数据须达到对计算机信息系统功能造成破坏的程 度才能构成破坏计算机信息系统罪。在“李军非法侵入计算机信息系统案”中, 法官认为从体系解释和目的解释的角度来说,破坏数据罪虽在刑法条文上没有写 明该行为必须符合造成或影响计算机系统不能正常运行之要件,但这一个构成要 件是第破坏数据罪的文中之义,不作此种解释将违背刑法罪责刑相一致的基本原 则。且同一法条内的各款罪状,或由轻到重或由重到轻排列,该条第 2 款也应当 要求造成或影响计算机系统不能正常运行。 3学理上,周立波博士等也持本种立 场。 4 笔者认为对破坏数据罪中“数据和应用程序”的正确解释应为“和”前与“和” 后均为立法保护的对象,侵犯“和”前或“和”后的保护对象达到后果严重的程 度均可成立本罪,而非只能同时侵犯“和”前与“和”后两个对象均达到后果严 重才可成立本罪。刑法中采用了“和”字立法模式的条文很多,比如第 152 第二 存储、处理或者传输的数据和‘应用程序’进行删除、修改、增加的操作,才可能构成本罪。这意味着, 单纯删除、修改、增加数据并不能构成本罪,而必须同时针对应用程序进行破坏,行为才具有犯罪性。参 见周光权: 《刑法软性解释的限制与增设妨害业务罪》 ,载《中外法学》2019 年第 4 期。 1 参见四川省江安县人民法院(2019)川 1523 刑初 156 号刑事判决书;类似的不要求“对计算机信息系统 功能造成破坏”的案例还有湖北省宜昌市西陵区人民法院(2019)鄂 0502 刑初 264 号刑事判决书、贵州省 瓮安县人民法院(2019)黔 2725 刑初 168 号刑事判决书;广东省惠州市惠阳区人民法院(2011)惠阳法刑 一初字第 27 号刑事判决书;山东省临沂市兰山区人民法院(2015)临兰刑初字第 1126 号刑事判决书等。 本种观点属于多数意见。 2 参见喻海松:《<关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释>的理解与适用》, 载《人民司法》2019 年第 19 期。 3 参见上海市徐汇区人民法院(2019)沪 0104 刑初 927 号刑事判决书; 4 参见周立波: 《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于 100 个司法判例的实证考察》 , 载《法治研究》2018 年第 4 期。 136 款中便规定了“逃避海关监管将境外固体废物、液态废物和气态废物运输进 境……”显然,我们不能以立法中使用了“和”字便将走私废物罪的成立要件解 释为必须同时将“和”前与“和”后的废物同时运输进境才构成本罪。因此,对 于第 152 条第二款正确的解释应该为无论从境外向境内走私的是固体废物,还是 液体废物,亦或者气态废物,只要达到了情节严重的程度便构成走私废物罪。1 同理,对破坏数据罪的正确解释应是以本款定罪的行为既可以是破坏数据,也可 以是破坏应用程序的行为。因而,数据或应用程序说更为合理。 根据笔者观察,支持数据或者应用程序说的同时支持对数据的破坏应达到造 成计算机信息系统不能正常运行程度的论者所提出的理由无外乎如下两点:即体 系解释与目的解释。然而,本文认为无论采用何种解释方法入手分析破坏数据罪 均不能得出上述结论。 其一,立法者在设立《刑法》第 286 条时已明确的针对第 1 款、第 2 款与第 3 款的后果严重作出了不同的规定,“这不能视为是立法疏漏所致,而应理解为 立法者是有意为之。”2观察现行有效的 1997 年《刑法》,我们可知立法者在第 286 条中分别针对三种不同形式的破坏计算机信息系统犯罪行为设置了不同的 后果严重之要求,第 1 款要求造成计算机信息系统不能正常运行,第 3 款要求影 响计算机信息系统正常运行,而第 2 款则并未作出要求。此种情境下,对破坏数 据罪的后果严重进行学理解释时不顾文义内容强行将第 2 款后果严重等同于第 1 款“造成计算机信息系统不能正常运行,后果严重”明显有违罪刑法定原则,是 超越文义最大范围的类推解释。换言之,《刑法》第 286 条 3 款内容间的立法规 定清晰明白,因此,脱离文义进行所谓的体系解释与目的解释难称合理。 其二, “法益损害轻重规则”非刑事立法唯一依据,更非体系解释唯一依据。 有论者认为既然破坏计算机信息系统罪的第 1 款与第 3 款都明确了造成计算机 信息系统不能正常运行或者影响计算机信息系统运行的限制性要求,那么,处于 中间位置的第 2 款同样也应该受此要求的约束。再者,考虑到第 1 款要求对计算 机信息系统运行法益损害程度高于第 3 款,因此,从刑事立法由轻到重或由重到 轻的立法排列方法看,第 1 款与第 2 款的内容应相同,即要求成立第 286 条第 2 1 2 参见周振杰、刘仁文: 《论走私废物罪》 ,载《检察实践》2003 年第 2 期。 劳东燕: 《功能主义刑法解释的体系控制》 ,载《清华法学》2020 年第 2 期。 137 款之罪时须达到“造成计算机信息系统不能正常运行”的程度。1与此相对,笔者 认为法益侵害程度是立法者在进行刑法章节排布与罪名设置时的重点参考标准, 但却不是唯一的标准。 2因此,相关论者直接将学理上总结出的刑事立法罪名主 要排列规则直接作为刑事立法体系解释的唯一规则,明显属于较为偏狭的错误理 解。 其三,从法益内容看,刑法第 286 条第 1 款与第 2 款所欲保护的直接法益并 不相同,第 2 款要保护的直接法益是独立的数据安全法益,而第 1 款所欲保护的 直接法益是计算机信息系统功能安全。以目的解释为根据支持第 286 条第 2 款后 果严重应解释为“造成计算机信息系统不能正常运行,后果严重”的学者们对于 本罪保护法益的理解是第 286 条的三款内容都只是对“计算机信息系统安全法 益”或“计算机信息系统运行安全法益”的保护。3然而,前文笔者已经为破坏数 据罪保护的法益是数据安全法益,破坏数据罪保护的对象是所有类型的数据提供 了充足的论证。在本文的理解中,运用目的解释方法作出的解释只会得出强调第 286 条第 1 款与第 2 款之间的不同,明确第 2 款保护的是独立的数据安全法益等 结论。换言之,破坏数据罪的成立不需要行为人针对数据实施的删改增行为造成 计算机信息系统不能正常运行的危害结果。 (二)《计算机犯罪解释》列举标准的评析 《计算机犯罪解释》将第 286 条第 1 款与第 2 款进行了合并解释,但本文认 为《计算机犯罪解释》第四条中的第(二)(三)(五)项认定标准可适用于对 第 2 款的解释,而第(一)(四)项认定标准由于要求行为造成计算机信息系统 不能正常运行的后果应仅能适用于对第 1 款的解释,不可适用于对第 2 款的解 释。因此,目前判断破坏数据罪后果严重的标准有两个明确列举标准与一个兜底 性的堵截条款。 4据此,本文认为既有的破坏数据罪后果严重认定标准中至少存 在如下问题: 1 参见上海市徐汇区人民法院(2019)沪 0104 刑初 927 号刑事判决书;陆旭、郑丽莉: 《以数据为媒介侵犯 传统法益行为的刑法规制》 ,载《中国检察官》2020 年第 12 期;项谷、朱能立: 《利用计算机技术窃取虚拟 财产如何定性》 ,载《检察日报》2018 年 9 月 2 日第 003 版。 2 法益侵害程度高低确实既是刑法分则各类犯罪先后排列的主要依据,也是每一类犯罪中具体犯罪先后排 列的主要依据,但刑法分则中也并非完全以危害重轻顺序先后排列,有部分犯罪不以危害重轻为序,而是 考虑到罪与罪的性质和相互间的逻辑联系。参见刘宪权主编:《刑法学(下)》(第四版),上海人民出版社 2016 年版,第 364 页。 3 参见周立波: 《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于 100 个司法判例的实证考察》 , 载《法治研究》2018 年第 4 期。 4 对 20 台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的;违法所得 5000 138 其一,没有针对第 286 条第 1 款、第 2 款制定差异化的后果严重认定标准。 前文提到,本文认为造成第 286 条 3 款间关系不清、保护法益不明的问题根源在 于“两高”对第 286 条罪名的不合理创设。这种将在犯罪对象、犯罪前提、犯罪 手段与犯罪结果等方面均存在重要不同的三个类型化实行行为规定为一个犯罪 罪名,使得本已经在立法中、为立法者所关注的数据安全法益再度被埋没,甚至 可能会由于使用的罪名统一为“破坏计算机信息系统罪”使得一般民众在看到本 罪罪名时往往想到的是“行为对计算机信息系统的功能造成损坏或造成信息系统 崩溃、中止、停滞等不能正常运行的状态,而不会仅仅认为是对计算机信息系统 中存储、处理、传输的数据和应用程序进行删除、修改或者增加。”1正因此,较 多学者赞同将破坏计算机信息系统罪三个条款所保护的法益统一解释为计算机 信息系统运行安全法益,将第 2 款中的后果严重理解为“造成计算机信息系统不 能正常运行”。根据本文的理解,针对《刑法》第 286 条的 3 款内容应分别进行 罪名设置,此种立场也得到了陈兴良教授、欧阳本祺教授、胡雪相教授等诸多学 者的支持。 2从刑法条文的结构形式与立法技术看,在同一个条文中分别针对不 同的款项设置不同的罪名是刑法常见现象,如“两高”针对第 285 条的 3 款内容 便分别创设了三个罪名。 《计算机犯罪解释》的作出本来是一次很好的解决由于第 286 条被统一命名 为计算机信息系统罪所造成的第 286 条三款内容的保护法益不清与构成要件理 解混乱问题的机会,但是“两高”却并没有很好的把握住这次弥补过失的机会。 须承认,“两高”在制定《计算机犯罪解释》时似乎也曾经有意的对第 286 条第 1 款与第 2 款的后果严重进行区分看待。根据《计算机犯罪解释》第 4 条的规定 可知, 3在“两高”的理解中破坏计算机信息系统数据行为的入罪门槛要高于破 坏计算机信息系统功能行为的入罪门槛,这一解释背后的深层逻辑便是:破坏计 算机信息系统功能的行为危害性重于破坏计算机信息系统数据和应用程序的行 元以上或者造成经济损失 1 万元以上的 1 周立波 : 《刑法第 286 条第 2 款破坏计算机信息系统罪的法教义学分析》 ,“厚启刑辩”公众号,2018 年 12 月 24 日。 2 陈兴良著: 《刑法疏议》 ,中国人民公安大学出版社 1997 年版;于志刚著: 《计算机犯罪研究》 ,中国检察 出版社 1999 年版,第 84 页;胡学相、吴锴: 《论计算机犯罪的几个问题》 ,载《华南理工大学学报(社会 科学版) 》2004 年第 6 期。 3 “破坏计算机信息系统功能、数据和应用程序,具有下列情形之一的,应当认定为刑法中第二百八十六条 第一款和第二款规定的‘后果严重’ : (一)造成 10 台以上计算机信息系统的主要软件或者硬件不能正常运 行的; (二)对 20 台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的。……” 139 为危害性,但由于刑事立法者规定触犯第 286 条第 2 款的行为准用第 1 款的法定 刑,为了调和两款之间的关系防止出现罪责刑不均衡的问题,因此,调高了第 2 款的入罪门槛,以高于第 1 款后果严重 2 倍的“台数标准”作为第 2 款后果严重 的认定标准,以使第 1 款与第 2 款相比在司法适用时第 2 款成为事实上的“轻 罪”。可惜的是,“两高”并没有将此种后果严重解释思路进行全面贯彻。在《计 算机犯罪解释》第 4 条第三项中又不作区分的将“违法所得 5000 元以上或者造 成经济损失 1 万元以上的”作为第 1 款与第 2 款后果严重的判断标准,这一解释 又否认了第 286 条第 1 款与第 2 款所规定的犯罪行为危害性具有轻重关系。总 之,本文认为未来《计算机犯罪解释》作出修改时应分别解释第 286 条第 1 款与 第 2 款,解释第 286 条第 1 款时关注行为对计算机信息系统功能法益造成的侵害 程度,解释第 286 条第 2 款时关注行为对数据安全法益造成的侵害程度。 其二,没有将“数据量”作为后果严重判断的列明标准。与非法获取数据罪 相似,既然破坏数据罪所保护的直接法益是数据的完整性与可用性,那么,在众 多“其他后果严重”的情形中理应将破坏一定量级的数据作为一项认定后果严重 的标准,以强调破坏数据罪对数据安全的独立保护。目前,《计算机犯罪解释》 并没有将“数据量级”作为认定破坏数据罪后果严重的标准,而是仅规定了“台 数标准”“经济损失”“违法所得”等三项标准。本文认为在将来的司法解释作 成或作指导案例意义说明时可在适当的时候将“数据量”作为一项明确判断破坏 数据罪后果严重的标准予以提出。在增设“数据量”标准时应考虑到数据分级分 类保护的问题,对不同保护层级的数据进行入罪处理时所要求的“数据量”应“轻 重有格” “多少有序”。作出此项要求也是为了能够顺利的与未来将要出台的《数 据安全法》的规定之间保持体系协调。同时,考虑到实践中存在同一案件中各种 类型数据混杂的情形,因此,我们宜参照《公民个人信息犯罪解释》第 5 条第六 项的规定确定不同类型数据量级之间的比例折算标准,明确没有达到各个分级分 类数据情节严重入罪标准时,按照相应的比例合计达到数量标准也应认定构成破 坏数据罪的后果严重。当然,在“数据量”的设定上我们应充分考虑到数据安全 保护与数据资源利用之间的平衡,防止过度压缩数据自由利用空间,保证以数据 为基础的数字经济、智能社会等国家战略项目顺利建设。 140 其三,违法所得与经济损失标准虽应予以保留,但理解时应作出限定。在《计 算机犯罪解释》起草的过程中,针对是否有必要将违法所得数额作为判断破坏数 据罪后果严重与“后果特别严重”的标准这一问题,曾出现过质疑意见。1然而, “两高”“经慎重研究,认为‘违法所得数额’是目前司法实践中最好操作的标 准,而且违法所得越多,通常也会给权利人带来相应严重的后果,故具有相对合 理性。因此,对‘违法所得数额’予以保留。”2与对待非法获取数据罪情节严重 的态度相似,笔者否定贸然主张删除此两项后果严重判断标准的意见。本文还关 注到在否定意见外,部分学者针对如何解释这两项标准提出了一些限缩性解释的 建议。比如,俞小海博士认为违法所得须是由删除、修改或者增加计算机信息系 统数据本身所产生的,不能是将他人财物转为自己所有而产生的。经济损失则须 与删除、修改与增加计算机信息系统数据行为有直接的因果关系。在实施犯罪时 尚未产生的预期利益,以及经过对数据进行恢复等操作可以避免的损失不能认定 为删除、修改或者增加计算机信息系统数据行为所造成的经济损失。 3周立波博 士则提出,应从与破坏计算机信息系统行为的关联性以及经济损失与被害人行为 具有直接因果关系两方面限缩解释破坏数据罪定量标准中的财产型后果严重。 4 对此,笔者认为一般违法所得金额较容易计算,通常是指所获得的酬金或删 除、修改、增加计算机信息系统数据所产生的收益等,存疑的主要是经济损失数 额的司法认定。根据《计算机犯罪解释》第 11 条的规定,非法获取数据罪与破 坏计算机信息系统罪(包括第 2 款)等犯罪定量要素中的“经济损失”是指“危 害计算机信息系统行为给用户直接造成的经济损失,以及用户为恢复数据、功能 而支出的必要费用。”据此,我们可将经济损失分为两类,一类即为前述学者们 所强调的与删除、修改或者增加计算机信息系统数据具有直接因果关系的直接经 济损失。另一类则是非直接经济损失的用户为恢复数据等支出的必要费用,从隶 属关系上看应为间接经济损失。那么,究竟什么是计算机犯罪行为所造成的直接 经济损失,什么又是间接经济损失呢?根据《最高人民检察院关于渎职侵权犯罪 立案的规定》可知,直接经济损失即指与行为有直接因果关系而造成的财产毁损、 1 参见喻海松著: 《网络犯罪二十讲》 ,法律出版社 2018 年版,第 52 页。 喻海松著: 《网络犯罪二十讲》,法律出版社 2018 年版,第 52 页。 3 参见俞小海: 《破坏计算机信息系统罪之司法实践分析与规范含义重构》 ,载《交大法学》2015 年第 3 期。 4 参见周立波: 《破坏计算机信息系统罪司法实践分析与刑法规范调适》 ,载《法治研究》2018 年第 4 期。 141 2 减少的实际价值;间接经济损失是指由直接经济损失引起与牵连的其他损失,包 括失去的在正常情况下可以获得的利益和为恢复正常管理活动或者挽回的损失 所支付的各种开支、费用等。由此可知,间接经济损失的判断存在一个最主要的 因素,即间接经济损失的承担主体与直接经济损失的承担主体相一致,且间接经 济损失是由直接经济损失所引起和牵连的其他经济损失。 1如此一来,“用户为 恢复数据、功能而支出的必要费用”须为与直接经济损失相牵连,且为直接经济 损失人所支出的费用,否则便不能够评价为计算机犯罪行为所造成的经济损失。 1 参见王菲:《试论渎职犯罪中直接经济损失与间接经济损失的司法认定》,载《北京职业政法学院学报》 2010 年第 1 期。 142 第五章 数据犯罪与相关犯罪的区分适用 第一节 数据犯罪与其他计算机犯罪的区分适用 一、与非法侵入计算机信息系统罪的区分适用 数据犯罪与非法侵入系统罪区分适用的难题集中于非法获取数据罪与非法 侵入系统罪之间。立法者在 1997 年《刑法》第 285 条第 1 款中规定了非法侵入 系统罪。之所以立法者较早规定非法侵入系统罪,是因为“这些领域的计算机信 息系统,收集、存储、传输着大量有关国家事务、国防建设、尖端科学技术领域 秘密的资料与数据。一旦这些计算机信息系统被非法侵入、则存储于其中的资料 和数据会被浏览、外泄,会给国家造成难以弥补的经济损失。”1结合《刑法》第 285 条第 1 款与第 2 款的立法规定可知,非法获取数据罪与非法侵入系统罪在行 为手段、行为对象、行为结果、保护法益以及法定刑等各方面均不相同:(1) 行为手段方面,前者是复行为犯,包括“非法侵入/其他技术手段+获取”。后者 是单一行为犯,指“非法侵入”。(2)行为对象方面,前者保护的是重点领域 外计算机信息系统数据,后者保护的是重点领域计算机信息系统。(3)行为结 果方面,前者要求行为危害性达到“情节严重”或“情节特别严重”的程度。后 者是行为犯,对结果没有要求。(4)保护法益方面,前者保护的是重点领域外 计算机信息系统数据的保密性。后者保护的是重点领域计算机信息系统安全,包 括运行安全与信息安全等。(5)法定刑方面,前者有两档法定刑,而后者仅一 档法定刑,且没有规定罚金刑。 从立法表述看,非法获取数据罪与非法侵入系统罪之间的差异较为明显,司 法适用过程中理应不存在多少争议。然而,与理论设想相反,两罪在司法适用中 还是存在着较多的适用争议问题。据笔者观察,造成两罪司法适用争议的原因是 具体个案的司法者对什么样的计算机信息系统才是“国家事务、国防建设、尖端 科学技术领域”的计算机信息系统这一问题的认识不一。对这一问题的不同回答 将直接影响到司法者在具体个案处置时对行为人行为性质的认定。因为只要认定 具体案件中行为人所侵入的计算机信息系统属于三大重点领域的计算机信息系 1 高铭暄、马克昌主编: 《刑法学》 (第八版) ,北京大学出版社、高等教育出版社 2017 年版,第 535 页。 143 统,即便行为人在侵入系统后还实施了非法获取数据的行为,但是由于立法者对 非法获取数据罪的适用范围进行了适度限缩,此时,司法者也只能适用非法侵入 系统罪对行为人进行定罪量刑。反之,司法者则应以非法获取数据罪对被告人进 行定罪量刑。同时,如果行为人并不是通过侵入系统的方式,而是通过其他技术 手段获取了三大重点领域的计算机信息系统数据,此时,由于行为人实施的行为 并不符合非法侵入系统罪的行为手段要求,因此,司法者不能适用非法侵入系统 罪对之进行定罪处罚,又由于行为不符合非法获取数据罪的行为对象要求,因此, 司法者也不能适用非法获取数据罪对之进行处罚。由此可见,非法获取数据罪与 非法侵入系统罪的区分适用关键在于如何理解“国家事务、国防建设、尖端科学 技术领域”的计算机信息系统范围,对之采扩张解释的立场,将导致非法侵入系 统罪的适用范围扩张,而非法获取数据罪的适用范围限缩,对之采限缩解释的立 场,则将导致非法侵入系统罪的适用范围限缩,而非法获取数据罪的适用范围扩 张。 目前,基于立法精简性的考量,立法者没有在刑法中具体的说明什么样的计 算机信息系统才属于三大重点领域的计算机信息系统,既没有程序性的判断标准, 也没有实体性的判断标准。因此,为了解决自 1997 年非法侵入系统罪入刑以后 始终存在的“国家事务、国防建设、尖端科学技术领域的计算机信息系统的概念 较为模糊,难以系统性准确把握”的问题,“两高”在 2011 年制定的《计算机 犯罪解释》第 10 条中提出具体个案的承办人对于被侵入的计算机信息系统是否 属于国家事务、国防建设、尖端科学技术领域的计算机信息系统的判断存在疑问 时,可以交由专门机构进行检验,再由案件承办人根据检测结果并结合具体案件 情况作出判断。1然而,“两高”提出的这一程序性判断标准看似规范了司法者的 司法裁判行为,但实际上并没有真正的解决司法实践中存在的“国家事务、国防 建设、尖端科学技术”的判断难问题,非法获取数据罪与非法侵入系统罪在司法 适用中仍争议频出。对于相类似的案件,司法者基于对前述问题的不同判断作出 不同的判决,比如在相似的侵入交警大队计算机信息系统并获取相关数据的案件 1 第 10 条规定“对于是否属于刑法第二百八十五条、第二百八十六条规定的‘国家事务、国防建设、尖 端科学技术领域的计算机信息系统’、‘专门用于侵入、非法控制计算机信息系统的程序、工具’‘计算 机病毒等破坏性程序’难以确定的,应当委托省级以上负责计算机信息系统安全保护工作的部门检验。司 法机关根据检验结论,并结合案件具体情况认定。” 144 中,有的被认定构成非法侵入系统罪,有的则被认定构成非法获取数据罪, 1此 种同案不同判问题的存在必将严重削弱我国的刑事司法权威,对刑事立法的司法 贯彻造成不利影响。 由此可知,解释论视域下解决非法获取数据罪与非法侵入系统罪司法适用争 议的关键不在于设定程序性的判断规则,而在于对“国家事务、国防建设以及尖 端科学技术”这一组概念进行解释性明确。事实上,除了程序性的判断规则外, “两高”也的确曾尝试通过在《计算机犯罪解释》中对第 285 条第 1 款所规定的 “国家事务、国防建设、尖端科学技术”的概念进行明确,2它们提出将“国家事 务”解释为了“国家机关”,将“国防建设”解释为了“军队、国防工业”,将 “尖端科学技术”解释为“科研领域”。然而,此种对三大重点领域计算机信息 系统范围所作的扩大解释将会导致非法侵入系统罪的适用陷入到“范围无限大” 的尴尬境地,因为根据这一解释只要与国家机关、国防军队、科学科研等相关的 计算机信息系统都会成为非法侵入系统罪的保护对象。同时,该种扩大解释虽试 图通过确立等级制度来实现对非法侵入系统罪适用范围的限缩,但等级保护制度 的设立又会带来另一个问题:即“国家机关、军队、国防工业、科研领域中不少 计算机信息系统的安全保护登记尚未达到三级以上,如采取如上方案,不利于对 三大领域计算机信息系统的保护。”3尽管“两高”的前述解释结论存在一定的瑕 疵,但是终归是解决非法获取数据罪与非法侵入系统罪司法适用问题的正确途径。 遗憾的是,由于在《计算机犯罪解释》制定的过程中针对如何解释“国家事务、 国防建设、尖端科学技术领域”的计算机信息系统这一问题的理解分歧较多,包 括按照信息安全等级、按照侵入后果以及不对后果范围做出界定等观点,导致“两 高”最终没有选择在《计算机犯罪解释》中对三大重点领域计算机信息系统的范 围进行实体性明确,而只是提出了判断存疑时的程序性判断规则。 本文认为“两高”只对司法者在个案中判断被侵入计算机信息系统是否为三 大重点领域的计算机信息系统时只作程序性限缩的做法,以及“两高”曾经设想 过的通过明确扩张解释扩容三大重点领域计算机信息系统范围的做法都不正确。 1 参见徐剑: 《对象型网络犯罪的刑事政策应对》 ,载《河北法学》2016 年第 8 期。 “国家机关、军队、国防工业、科研领域中的下列计算机信息系统属于刑法第二百八十五条第一款规定 的‘国家事务、国防建设、尖端科学技术领域的计算机信息系统’:(一)安全保护等级达到三级以上的计 算机信息系统;(二)秘密级以上的涉密计算机信息系统;(三)其他关系国家安全、社会秩序和公共利益 的重要计算机信息系统。 ”参见喻海松: 《网络犯罪二十讲》 ,法律出版社 2018 年版,第 26 页。 3 喻海松: 《网络犯罪二十讲》 ,法律出版社 2018 年版,第 26 页。 145 2 两种做法都会使非法侵入系统罪的适用范围不断扩张,非法获取数据罪的适用范 围不断限缩,进而造成对计算机信息系统数据保密性等法益的保护不足,以及造 成重罪不被重罚,轻罪反被重罚的罪责刑不均衡的问题出现。因为非法侵入系统 罪所保护的计算机信息系统较为重要,非法获取数据罪所保护的计算机信息系统 稍显次要,刑法上理应对前者的保护力度要大于对后者的保护力度。立法者也是 基于重点保护前者的立场出发才将非法侵入系统罪设定为行为犯,不要求行为人 实施的行为造成实害后果,只需要行为人采取非法侵入的手段进入到了重点领域 的计算机信息系统中即可构成本罪。这种规定在《刑法修正案(九)》出台前具 有合理性,但是在非法获取数据罪与非法控制系统罪入刑以后,非法获取数据罪 与非法侵入系统罪之间存在明显的罪刑不均问题。此时,如果行为人实施了侵入 重点领域计算机信息系统的行为,并进而实施了获取数据或控制系统的行为,只 能适用第 285 条第 1 款的非法侵入系统罪进行定罪量刑,最高刑为三年有期徒 刑。而如果是侵入了稍显次要的三大重点领域外的计算机信息系统,并且行为人 同样针对这些系统实施了数据获取与系统控制行为却会遭受到更为严厉的刑法 处罚,最高可被判处七年有期徒刑,并判处罚金。此外,非法侵入系统罪所规定 的行为手段类型单一,仅包括未经授权或超越授权的非法侵入行为,非法获取数 据罪的行为类型则较为丰富,不仅包括非法侵入,而且包括其他所有类型的技术 性行为手段,这又导致采用其他技术性手段侵入重点领域系统并获取数据的行为 不能被入罪,而侵入普通系统并获取数据的行为可被入罪的悖论。事实上,实践 中行为人只是单独的侵入计算机信息系统的行为较为少见,多数案件中行为人会 并发性的实施非法获取或者删改增数据等其他违法犯罪行为,而且行为人对重点 领域计算机信息系统中数据的获取行为也不一定是通过侵入系统的方式实现,完 全可能是利用钓鱼网站等其他技术手段来实现,此时,根据我国的刑法规定却不 能对这些行为进行处罚,这明显不合理。因此,从体系解释的立场看,至少在立 法尚未作出修改前,以充足保护刑法法益为目的,我们理应严格限缩解释三大重 点领域的计算机信息系统的范围,坚持慎用、少用非法侵入系统罪的原则,以使 得更多的非法获取数据与系统控制的犯罪行为能够被现行的刑法所调整。此处我 们还需明确,虽然通过进行法律解释也可能在一定程度上消解由于立法漏洞造成 的非法获取数据罪与非法侵入系统罪的罪刑不均衡、法益保护不充分等问题,但 146 是从长远来看,彻底解决上述问题的最佳方法是直接对存有立法漏洞的刑法条文 进行修改:将侵犯三大重点领域计算机信息系统的行为由入罪条件调整为加重处 罚条件。 非法侵入系统罪与破坏数据罪之间的关系较为简单,如果行为人以删改增重 点领域计算机信息系统数据为行为目的实施了非法侵入行为后,顺利实施了删改 增数据的行为符合第 286 条第 2 款情节严重的要求后,侵入系统与删改增数据的 行为之间为牵连关系,应适用第 286 条第 2 款进行定罪处罚。如果行为人是先实 施了对重点领域计算机信息系统的侵入行为,后另起犯意对其中存储、处理或者 传输的数据实施删改增的行为,应同时适用第 285 条第 1 款与第 286 条第 2 款, 依据罪数原理进行数罪并罚。 二、与非法控制计算机信息系统罪的区分适用 数据犯罪与非法控制系统罪的区分适用可分为两个子问题进行详细展开: (1) 非法获取数据罪与非法控制系统罪的区分。目前,尽管由于“两高”将第 285 条 第 2 款设置为选择性罪名,导致存在司法疑难的案件可采用全名援引“非法获取 计算机信息系统数据、非法控制计算机信息系统罪”的方式予以解决,但是经本 文对司法裁判的实证考察,针对具体个案还是存在着两罪的适用争议问题。 (2) 破坏数据罪与非法控制系统罪的区分。这两种犯罪之间存在的最大问题是罪状的 交叉重叠,对系统的控制既可以是以破坏系统的方式实现,也可以是以对系统没 有破坏性的方式实现。因此,本文认为以数据安全法益独立保护为基本指引,明 确数据犯罪与非法控制系统罪之间的边界,并确认相关罪名的适用规则,具有良 好裨益。 (一)非法获取数据罪与非法控制系统罪的区分适用 1.第 285 条第 2 款选择性罪名设置合理性反思 《刑法修正案(七)》增设了刑法第 285 条第 2 款,在本款增设之初,学界 曾对于应针对本款设置两个独立罪名,还是选择性罪名这一问题存在争议。为定 纷止争,“两高”以司法解释的形式将之明确为选择性罪名,“两高”作出此种 判断的依据是,第 285 条第 2 款两种行为所侵犯的客体相同,将之确定为选择性 147 罪名利于实现刑法谦抑的目的,并且为司法者在司法实践中适用第 285 条第 2 款 提供了便利。 1 然而,笔者对此持反对意见。 2其一,非法获取数据与非法控制系统行为的 不同不仅限于行为手段,而且包括行为对象、行为结果、保护法益等,这种将行 为手段、行为对象、行为结果与保护法益等内容皆不相同的两个独立行为设置为 选择性罪名,并不符合选择性罪名设置的基本原理。决定是否设置选择性罪名的 核心要素是对相关条文保护“法益内容”之判断,即考察是否存在“法益相同或 相似”。正因此,“两高”在解释设定第 285 条第 2 款为选择性罪名时会特意强 调两种行为侵犯客体相同。换言之,“两高”之所以将第 285 条第 2 款之罪名确 立为选择性罪名是因为已经认定本款保护之法益均为计算机信息系统安全法益。 然而,这种理解会使得“计算机信息系统安全法益”这一宏观的同类法益堂而皇 之的成为行为定性的决定性因素。这与我们刑法学中以“直接法益或具体法益” 作为判断罪与非罪标准的基本法理相悖,也会使处于计算机信息系统安全不同层 级的“计算机信息系统运行安全法益”与“数据安全法益”等被混为一谈,影响 对刑法学的精细化研究。前文,笔者已经证明了非法获取计算机信息系统数据行 为侵犯的是数据保密性法益,而非法控制计算机信息系统行为侵犯的是合法权利 人对计算机信息系统的操控权。尽管两者在宏观层次上都可以被视为计算机信息 系统安全,但在微观层面上两者所欲保护的法益并不相同。因此,将行为手段、 行为结果、行为对象与保护法益等均不相同的两个独立行为触犯的罪名设置为选 择性罪名,在刑法教义学层面难称具有科学性。 其二,将第 285 条第 2 款设定为选择性罪名条款不必然能实现“刑法谦抑” 的目的。“两高”选择将第 285 条第 2 款设置为选择性罪名是为了实现刑法谦抑 的目的。然而,笔者却认为此种做法可能会弄巧成拙,适得其反。选择性罪名确 定的依据时罪质相同,即保护的法益相同。根据此原理,即便在具体的个案中行 为人分别实施的两种违法行为均没有达到《计算机犯罪解释》所要求情节严重的 程度,但是由于两种违法行为侵犯的法益具有同质性,因此应将两种行为所造成 的经济损失或违法所得进行累计计算,进而入罪处理。而一旦我们承认两者保护 1 参见陈国庆、韩耀元、张玉梅: 《<最高人民法院、最高人民检察院关于执行中华人民共和国刑法确定罪名 的补充规定(四)>解读》 ,载《人民检察》2009 年第 21 期。 2 从性质上看,两高针对具体条文确定罪名的行为仍属于对法条的解释性行为,对之进行反思与检讨并不 违背本文所一贯遵循的解释论思路。 148 法益不同,并针对两种违法行为分别设置不同的罪名,则只要两种违法行为在客 观上均没有达到《计算机犯罪解释》所要求的数额标准,即便两种违法行为所造 成的经济损失或者违法所得累计达到了入罪标准,也不可以进行累计计算,不能 将 A 行为造成的经济损失或带来的违法所得视为 B 行为造成的经济损失或者违 法所得。可见,将保护法益并不相同的两个行为强行设定为选择性罪名,既会引 导他人对第 285 条第 2 款中两种行为侵犯法益对象作出错误解释,同时也可能引 导司法者对涉案行为数额进行累计计算,这种结果无疑与“两高”所追求的“刑 法谦抑”目的不相符合。 其三,“两高”考虑到非法获取数据与非法控制系统行为间的密切关系,认 为将之设定为选择性罪名可以防止总是对两个行为进行数罪并罚,进而预防具体 个案中出现宣告刑与法定刑不相均衡的问题。对此,笔者下文将进行专门的论证 与反驳。简要来说,本文认为即便认可第 285 条第 2 款属于选择性罪名仍不能排 除将非法获取数据罪与非法控制系统罪进行并罚的可能,甚至在符合相关条件时 是理应进行数罪并罚,承认可对选择性罪名进行数罪并罚与刑法谦抑、罪刑适应、 禁止重复评价等刑法原则并不冲突。 2.1997《刑法》中第 285 条第 2 款选择性罪名司法适用 需要说明,考虑到我国司法体制下“两高”所做出的的规范性文件基本均会 为各级、各地司法机关所遵循的客观现实,因此,笔者深知过度批判“两高”设 置第 285 条第 2 款选择性罪名的错误性并没有较大的实际效益。笔者在前文中所 作论证的目的也多是指出将来如果存在修改的可能性,建议“两高”针对第 285 条第 2 款的两种行为独立设置罪名。当然,在“两高”没有对其观点作出修改前, 本文认为我们还是应该在刑法法益的引导下对该选择性罪名充分地进行解释。 对罪名的设置,胡云腾大法官形象的认为就像起名字一样,叫张三与叫李四 都是一样的, “我们不要把一个罪名是选择性罪名还是单一性罪名的问题绝对化, 不过是个符号而已。”1对这种“取名说”或“符号论”的意见,笔者持反对见解。 罪名的设定绝不是简单的取名活动,针对一个条文中的不同行为分别设置独立罪 名与设置选择性罪名会对定罪量刑产生直接影响。因此,罪名设置是一种会影响 1 胡云腾: 《论社会发展与罪名变迁—兼论选择性罪名的文书引用》 ,载《东方法学》2008 年第 2 期。 149 刑事实体性权利的司法行为。从实践角度看,一项选择性罪名的设置常会带来如 下几个司法适用中的疑难问题: (1)第 285 条第 2 款之选择性罪名是否可并罚适用? 对于选择性罪名,通常认为在具体司法个案的适用过程中不可以进行并罚适 用,1这一观点也被应用于司法实践。2之所以会得出这样的结论,是因为在刑法 教义学上一般认为选择性罪名的“各分解犯罪”虽然在行为手段、行为结果等方 面略有不同,但从法益层面来看具有同质性。前文也提到,“两高”在设置选择 性罪名时作出的解释理由即包括如果将非法获取数据与非法控制系统等两个侵 犯客体完全相同的行为分别独立的规定为两个罪名,并且在司法实践中对同时使 用这两种行为实施犯罪的行为人进行数罪并罚的话有违刑法谦抑性,且会导致与 非法侵入系统罪的法定刑之间存在不平衡。 然而,通过上文分析,第 285 条第 2 款所规定的两种犯罪行为侵犯的法益在 较为宏观的计算机信息系统安全层面具有法益保护同质性,但在具体法益保护方 面却各不相同,这就说明针对本款设置的选择性罪名不属于纯正的选择性罪名, 而是属于法益保护实质不同的非纯正的选择性罪名。对于该种罪名的处理就不能 以对待纯正选择性罪名的态度一味的反对进行数罪并罚。实际上,即便在纯正选 择性罪名保护领域,将选择性罪名与“不能数罪并罚”绑定也会造成诸多司法难 题,比如选择性罪名一律不并罚,在一定程度上有损罪刑相适应原则,尤其当选 择性罪名法定刑较低时更是如此。 3正是观察到对选择性罪名一律不并罚会存在 这些问题,越来越多的学者开始主张将选择性罪名与“不能数罪并罚”松绑。4本 文也认为罪名适用的过程应该是严谨的、科学的,司法者应对涉案的实行行为是 否符合选择性罪名中的“可分解罪名”的犯罪构成进行分析,符合之,则应引用, 不符合之,则不引用。同时,如果罪名符合全部“可分解罪名”的犯罪构成,还 须考虑是否应进行“数罪并罚”等罪数论层面问题的考察,而非简单的按照“选 1 参见刘凌梅: 《选择性罪名的司法适用》 ,载《人民司法》2015 年第 13 期。 在司法实践中,行为人实施了全部选择性行为或者造成所有的选择性后果的,都不实行数罪并罚,而是按 照一罪处理。如行为人即使实施了刑法刑法第 300 条规定的组织、利用会道门、邪教组织、利用封建迷信 破坏法律实施罪所涉及的全部犯罪行为,也是按照一罪处罚,而不会实行数罪并罚。参见胡云腾: 《论社会 发展与罪名变迁—兼论选择性罪名的文书引用》 ,载《东方法学》2008 年第 2 期。 3 参见莫宸屏: 《选择性罪名中罪数问题的疑难与解决》 ,载《岭南师范学院学报》2016 年第 5 期。 4 张明楷: 《刑法学(下) 》 (第五版) ,法律出版社 2016 年版,第 668 页;谢望原、赫兴旺主编: 《刑法分 论》 (第三版),中国人民大学出版社 2016 年版,第 9 页。杜文俊、陈洪兵: 《选择性罪名亦可并罚》 ,载《人 民检察》2011 年第 21 期。 150 2 择性罪名”的全名引用规则解决问题,因为这与犯罪构成理论及罪刑相适应原则 等并不相符。 针对第 285 条第 2 款这一选择性罪名条款而言,对其进行司法适用时也应遵 循最基本的由客观到主观的判断思维:(1)应对实行行为是否符合客观构成要 件进行判断,只要有一项内容没有满足客观构成要件符合性便应排除相对应的 “分解罪名”之适用。(2)当行为满足全部的客观构成要件时,便需要注重对 主观构成要件的判断。具体到第 285 条第 2 款的适用问题中便是指,涉案实行行 为满足了客观的构成要件符合性时,还需要进一步的判断行为人在实施实行行为 时主观方面的内容如何。如果如果行为人在主观上具有利用对系统的非法控制实 现对系统中数据非法获取的目的时,两个行为之间便形成了手段与目的的牵连关 系,同时符合选择性罪名全部“可分解罪名”。然而,两罪在立法上被规定为同 一条款,法定刑完全相同,因而,此时可对第 285 条第 2 款所对应的选择性罪名 进行全名引用,但在量刑时考虑到涉案的非法获取数据与控制系统等两个行为同 时侵犯了两个虽有联系,但并不相同的具体法益,且均造成情节严重的犯罪后果, 符合两个可独立成罪的犯罪构成,依据罪责刑相适应的原则,应在选择性罪名的 法定刑幅度内进行适度“从重”处理。(3)如果同时达到了情节严重的标准, 但是在主观上却是在相互独立的故意支配下所实施的非法获取数据与系统控制 等两个犯罪行为,此时可认定同时构成非法获取数据罪与非法控制系统罪实行数 罪并罚。举例说明,如甲某未经授权或超越授权侵入到所在公司计算机信息系统, 并拷贝了公司涉密数据,此举给公司造成 5 万元的经济损失。而当其完成了拷贝 公司涉密数据后,考虑到公司计算机信息系统的运算力较强,可以帮助其快速实 现“门罗币”的挖掘,遂临时起意向该计算机信息系统中“种植名为‘root.bin’ 的木马程序,并通过名为‘noodlinuxvl.0.2’的主控端程序控制被侵入服务器,输 入相应指令,控制计算机下载并运行名为‘rxl’的挖矿程序挖掘‘门罗币’,以 此牟利。”1此时,如果还依照选择性罪名不并罚之规则,即便行为人分别实施了 两个构成不同犯罪构成的独立犯罪行为,最高也只能判处“三年以上七年以下有 期徒刑,并处罚金。”可见,一旦严格坚持选择性罪名不可并罚的立场可能会造 成对数次犯罪的量刑轻纵或者刺激行为人多次犯罪的不良恶果。 1 参见浙江省绍兴市越城区人民法院(2019)浙 0602 刑初 1126 号刑事判决书。 151 因此,在进行第 285 条第 2 款的选择性罪名进行罪名引用时,应以犯罪构成 为基本尺度,满足了各分解罪名犯罪构成的行为可被在裁判文书中予以引用,否 则,便不应该引用,只能以非法获取数据罪或者非法控制系统罪进行定罪量刑。 如果同时符合了两罪的犯罪构成时,则需要结合主观方面要素进行再判断,如若 是在同一或概括的故意支配下实施的利用非法获取的数据实施系统控制行为,或 者利用非法控制系统的便利实施数据获取行为,则应考虑到两个行为之间的牵连 关系,对选择性罪名进行“全名引用”并在法定刑幅度内进行从重处罚。如果是 在相互独立的两个故意支配下分别实施的非法获取数据与系统控制行为,则应将 两罪进行分别引用并进行数罪并罚。 (2)第 285 条第 2 款选择性罪名犯罪数额的认定 从司法实践看,犯罪数额是认定第 285 条第 2 款罪名成立与否的重要标准。 因此,对具体“犯罪数额”的认定便成为本罪研究中的关键问题。目前,对于第 285 条第 2 款选择性罪名而言,关于犯罪数额的计算不存在争议的是同类同种行 为犯罪数额累计计算,而存在争议的是同类不同种行为是否可以累计计算?一般 而言,选择罪名中的各分解犯罪行为所侵犯的法益具有同质性,因此,“虽然是 不同的行为,但对其法益的侵害是相同的,具有同质性,所以将这些行为综合考 量,可以看出对法益的侵害达到了严重程度,可以累计入罪。”1根据这一适用原 理,再结合最高人民法院对 285 条第 2 款的理解,我们可知非法获取数据行为与 非法控制系统的行为侵犯的法益是相同的,都是计算机信息系统安全。那么,对 在一个案件中行为人既实施了非法数据获取行为,又实施了非法控制系统行为, 可得出如下两点适用结论:其一,由于《计算机犯罪解释》将“违法所得与经济 损失”等犯罪数额作为两种犯罪行为共同情节严重的认定标准,如果一个案件中 非法获取数据行为所带来的违法所得 2000 元,非法控制系统行为所带来的违法 所得为 4000 元,只看两个行为均未达到情节严重的标准,但是将二者进行累计 计算便达到了“违法所得 5000 元”以上的情节严重标准,此时依照法理应对二 者进行累计计算,并作入罪处理;其二,由于《刑法》第 285 条第 2 款规定了情 节严重与“情节特别严重”两档法定刑幅度,又依据《计算机犯罪解释》之规定, “情节特别严重”中的“违法所得或经济损失”数额标准是情节严重的四倍,据 1 刘凌梅: 《选择性罪名的司法适用》 ,载《人民司法》2015 年第 13 期。 152 此如果非法获取数据的行为所带来的违法所得 19000 元,而非法控制系统的行为 所带来的违法所得 2000 元,对两种类型行为所带来违法所得进行累计计算是 21000 元,全案行为所带来的违法所得达到了“违法所得 5000 元”四倍以上,可 被评价为“情节特别严重”应升高法定刑幅度。正是由于这种情形的存在,笔者 才在上文中提出将第 285 条第 2 款设定为选择性罪名不一定能实现“刑法谦抑”, 甚至可能会正好得出与之相反的“不当加重”涉案行为刑事责任的结论。 其实,“同类犯罪累计计算”标准的核心要点不在于针对的是否为同一宗对 象,实施的是否为同一类行为,而是所侵犯的法益是否具有同类属性,即是否为 同一法益。只要确定了是否累计计算的核心标准是法益,那么,依照本文之思路 便可以得出上述两种情形下均不应该进行犯罪数额的累计计算之标准。因为决定 是否设置选择性罪名时最核心的要素便是对相关条文保护“法益内容”之判断, 考察是否存在“法益的相同或相似。” “两高”在解释第 285 条第 2 款这一选 择性罪名设置时专门强调两种行为所侵犯的法益相同都是计算机信息系统安全 法益。从该解释可见,“两高”认定第 285 条第 2 款保护的法益为“计算机信息 系统安全法益”。笔者认为如果从宏观的同类法益视角看,该种理解有其合理性。 但直接将之个罪的直接法益与刑法学中以“直接法益或具体法益”作为判断罪与 非罪的基本法理相违背,也会使得处于计算机信息系统安全不同层级之“计算机 信息系统运行安全法益”与“数据安全法益”等被混为一谈,致使刑法学研究的 精细化受阻。总之,由于非法获取数据罪与非法控制系统罪在行为手段、行为对 象、行为结果与侵犯法益等方面各不相同,因此,也不应该再对涉案的犯罪数额 进行累计计算。 (二)破坏数据罪与非法控制系统罪的区分适用 1.罪间关系的规范分析 对于如何破解破坏数据罪与非法控制系统罪之间的争议问题,学界存在立法 论与解释论两个主要方案,持立法论方案的有皮勇教授,如其认为非法控制数据 罪在刑法上进行单独设置的必要性存疑,可以将之从第 285 条第 2 款中删除,并 在第 286 条第 1 款中作为一种类型的行为手段进行专门设置。 1本文认为立法论 方案在未来刑事立法修改中将起到积极作用,但不应成为本文讨论的重点,目前 1 参见皮勇: 《我国网络犯罪刑法立法研究》 ,载《河北法学》2009 年第 6 期。 153 最为迫切的问题是如何妥切的将既有罪名应用到司法实践中去。如此来看,解释 论方案更具实效价值。然而,笔者对既有的解释论方案同样持否定态度,因为其 论证前提是:破坏数据罪中的后果严重为“造成计算机信息系统不能正常运行, 后果严重。”1对这一观点,笔者持强烈批判态度,破坏数据罪中的数据是指一切 类型的数据,而非仅指足以影响计算机信息系统运行的系统数据,本条款保护的 具体法益是数据的完整性、可用性,而非计算机信息系统运行安全。基于上述论 断,本文认为对破坏数据罪与非法控制系统罪之间的关系应作如下解释: 非法控制系统罪的解释中,对于如何理解“非法控制”还存在争议。有学者 认为非法控制必须达到排除用户控制的程度。 2该解释值得商榷,作出如上解释 会不当的限缩非法控制罪的适用范围。作出此种理解将会得出如下结论,即没有 完全排除系统权利人对系统控制权限的非法控制行为不属于非法控制系统罪的 规制对象。从实践看,非法控制计算机信息系统的行为多属于“隐形”操控,即 在合法权利人不知情的情况下偷偷对其计算机信息系统进行操控。例如,在“廖 劲非法获取数据案”中,“被告人廖劲通过网络下载‘大灰狼管理软件’(简称 大灰狼)、 ‘红蓝安全网 2018 年 3306 庆贺版软件(简称抓鸡)’、 “Httpfileserver” (简称 hfs)三种软件,2018 年 2 月开始,廖劲利用上述软件在网上非法侵入并 控制他人计算机信息系统,廖劲先在网上购买了一条‘肉鸡’(即已经被木马程 序控制的计算机信息系统),并通过该‘肉鸡’作为跳板将木马程序植入他人的 计算机信息系统,利用木马程序来控制他人计算机信息系统。” 3该案被法院认 定同时构成非法获取数据罪与非法控制系统罪。本文认为此判决并不合理,从裁 判文书展示的实行行为内容看,本案不应全名引用第 285 条第 2 款这一选择性罪 名,而应认定仅构成非法控制系统罪。司法实践中同类型的“抓取肉鸡”的案件 也基本都是按照非法控制系统罪定罪量刑。 4在这种利用木马程序“捕获肉鸡、 控制肉鸡”的案件中,行为人无意于完全排除合法权利人的自我使用,而是期望 可以在合法权利人不知情的情形下利用计算机信息系统的自动处理数据之功能, 1 参见肖怡: 《流量劫持行为在计算机犯罪中的定性研究》 ,载《首都师范大学学报(社会科学版) 》2020 年 第 1 期;叶良芳: 《刑法教义学视角下流量劫持行为的性质探究》 ,载《中州学刊》2016 年第 8 期;王禹: 《计算机信息系统犯罪的行为透视—以“破坏”和“非法控制”的界限与竞合为视角》 ,载《江西警察学院 学报》2019 年第 2 期。 2 参见于改之: 《非法弹送广告行为入罪要素解析》 ,载《人民检察》2020 年第 14 期。 3 广东省东莞市第三人民法院(2020)粤 1973 刑初 525 号刑事判决书。 4 参见安徽省濉溪县人民法院(2020)皖 0621 刑初 74 号刑事判决书。 154 进行数据抓取、数据运算等非法操作。如果将非法控制系统罪中的非法控制限定 为完全排除合法权利人控制的行为,将必然使得大量应以犯罪处理的行为被不当 出罪。 于改之教授对“非法控制”的解释较为合理,即“非法控制的本质是非用户 本人操作,只要行为人‘通过各种技术手段,使他人计算机信息系统处于其掌控 之中,能够接受其发出的指令,完成相应的操作活动’,即可认为满足了‘非法 控制’的要件。”1作出该种解释与非法控制系统罪所欲保护的法益相称,前文提 到目前主流意见认为非法控制系统罪所保护的法益是计算机信息系统的运行安 全。与之不同,本文认为立法者在刑法中设立非法控制系统罪的目的虽是在宏观 上保护计算机信息系统运行安全,但立法者所关注的直接法益是合法权利人对计 算机信息系统的控制权,即对计算机信息系统的排他使用权,任何人没有经过授 权不得非法对他人的计算机信息系统进行操控。只有作此解释,才能够很好的处 理非法控制系统罪与破坏数据罪之间的关系。 以往,讨论非法控制系统罪与破坏计算机信息系统罪(全部 3 款)间的关系 时,常认为两者所保护的法益相同,即均以计算机信息系统运行安全为直接法益。 如此,对于两罪间关系的讨论便自然转向对“非法控制”与“破坏行为”之间的 区辩上,而“非法控制”在一定程度上与“破坏行为”又无法分离,最终导致两 罪在司法实践与学理评价中呈现交缠不清的问题。然而,一旦在教义学上发现非 法控制系统罪所保护的具体法益为合法权利人对计算机信息系统的操控权,破坏 计算机信息系统罪第 1 款、第 3 款保护的直接法益是宏观的计算机信息系统运行 安全,第 2 款保护的是微观的数据的完整性与可用性法益,则相关罪名之间的关 系区辩便不应再成为刑法疑难问题。 由于第 286 条第 1 款、第 3 款要求后果严重分别应达到“造成计算机信息系 统不能正常运行”或者“影响计算机信息系统正常运行”的程度,因此,两者所 保护的同类法益为计算机信息系统运行安全,造成该计算机信息系统运行安全受 损的原因可以是对数据安全的损坏、功能安全的损坏。总之,只有对计算机信息 系统运行安全法益的损害,达到使计算机信息系统不能正常运行的程度才可落入 到第 286 条第 1 款与第 3 款的评价范围内。因此,区分第 285 条第 2 款非法控制 1 参见于改之: 《非法弹送广告行为入罪要素解析》 ,载《人民检察》2020 年第 14 期。 155 系统罪与第 286 条第 1 款、第 3 款之间的关系时最为主要的判断因素有两点: (1)行为是否部分或全部排除了合法权利人对计算机信息系统的操控?(2)行 为是否对计算机信息系统运行安全造成后果严重的破坏?据此,司法裁判中,只 要行为人的行为对合法权利人所拥有的计算机信息系统的操控权造成了全部或 部分排除的侵害后果便存在构成非法控制系统罪的可能,至于其为达成对排除合 法权利人对计算机信息系统操控权的目的是通过非法获取、删除、修改或增加数 据或删除、修改、增加、干扰计算机信息系统功能的行为再所不问,只关注非法 控制这一结果状态是否存在即可。当然,如果为了实施非法操控他人计算机信息 系统或者通过操控他人计算机信息系统实施的其他行为,同时构成相关犯罪则应 按照想象竞合或牵连犯的基本原理进行从一重处。 与之同理,第 285 条第 2 款非法控制系统罪与第 286 条第 2 款破坏数据罪之 间的区分关键也在于所欲保护法益是否受到侵犯的判断。破坏数据罪所保护的法 益是数据的完整性与可用性,只要对数据安全法益的侵犯达到了后果严重的程度 即可构成本罪,对于通过破坏数据的方式实现对系统的非法控制,又或者说通过 对系统的非法控制实现对数据的破坏,均应该按照牵连犯或者想象竞合原理进行 区分。因此,本文认为非法控制系统罪与破坏计算机信息系统罪(3 款)之间区 分关键并不在于从字面上去判断“控制”或者“破坏”的关系,而是要关注到相 关条文所保护的法益内容并不相同,法益的判断才是进行罪与非罪区分最关键的 要素。只要实施了侵犯相应法益的行为便可成立犯罪,即便一个行为造成两个结 果的出现,或者说不同行为之间具有手段目的等特殊的牵连关系时,只需要按照 想象竞合或者牵连犯等罪数理论基本原理进行处理即可。此外,罪名之间存在罪 数问题是刑法的常见现象,不能因为存在罪数问题便认为相关犯罪的罪与非罪之 间界限不清。 由于破坏数据罪的成立并不要求后果严重达到“影响计算机信息系统正常运 行”的程度,只需要对于数据安全法益的侵犯达到后果严重程度即可。由此,有 学者便开始质疑如此理解会使得两罪之间的关系模糊不清。因为“非法控制系统 罪中任何形式的非法控制,可以说如果不先对计算机数据或程序做一定程度的改 动是无法达到的。”1此种理解有失偏颇,在我国“定性+定量”的立法模式下作 1 肖怡: 《流量劫持行为在计算机犯罪中的定性研究》 ,载《首都师范大学学报(社会科学版)》2020 年第 1 期。 156 入罪处理时需要充分考虑刑事定量因素。我国刑法与德国等国家的刑法并不相同, “德国刑法分则一般仅描述不法类型,而不对不法含量进行要求。”1同样的,在 德国刑法的变更电磁记录罪与干扰电脑使用罪中均对于定量因素的规定。如德国 刑法第 303a 条规定“(1)违法删除、封锁或变更他人之电磁记录(第 202a 条 第 2 项),或使之失效者,处二年以下有期徒刑或罚金。(2)未遂犯罚之;(3) 预备犯第 1 项之罪者,准用第 202c 条之规定。”2在我国的现有语境之下,侵犯 数据安全法益的行为要被评价为刑事犯罪须满足情节严重或后果严重的要件。因 此,即便我们对计算机信息系统的每一次操作都会在电脑上留下一组数据,但如 果该行为并未对计算机信息系统上存储、处理或者传输数据承载之数据安全法益 造成侵害,或者说该操作并未形成对计算机信息系统的控制或破坏,相关行为并 便不会被评价为刑事犯罪,这点笔者在上文中已经进行了举例说明。同时,又由 于该定量要素的存在,使得并非每一个符合刑法分则犯罪构成的行为都会被评价 为刑事犯罪。从这一角度看,我国刑法中的情节严重后果严重等定量要素可以起 到“止逆阀”的作用,将虽从行为上看符合刑法分则犯罪构成规定,但却未对相 关法益造成值得刑法处罚之法益侵害的行为排除在犯罪圈以外。显然,上述学者 们举例称每一次操作都会留存数据,进而都会被评价为刑事犯罪的说法并不是完 整、谨慎的表述。正确的表达方式应该为,即便每一次操作都会增加或修改一组 数据,但该行为必须能够被评价为对数据安全法益之侵犯,同时还需要达到了后 果严重的标准才能够入罪化处理,如此解释,既是罪刑法定原则的基本要求,也 是充分保护数据安全法益的必然做法。 沿着上述理解,在非法控制系统罪与破坏数据罪适用时,可依如下思路进行 区辨:其一,先判断客观定性要件,即判断涉案行为是对计算机信息系统操控权 的侵犯,还是对计算机信息系统中存储、处理或传输数据之可用性、完整性的侵 犯,属于前者,认定为非法控制系统行为;属于后者,认定属于破坏数据的行为; 两者兼有,认定同时属于非法控制系统与破坏数据的行为。其二,再判断定量要 件,即对第 285 条第 2 款与第 286 条第 2 款中的定量要件进行判断。情节严重包 含主客观方面的内容,而后果严重仅指向客观方面的内容。因此,如果是从主观 方面判断存在应受刑法处罚的法益侵害严重程度,那么就只能认定为非法控制系 1 2 王莹: 《情节犯之情节的犯罪论体系性定位》 ,载《法学研究》2012 年第 3 期。 何赖杰、林钰雄审译: 《德国刑法典》 ,李圣杰、潘怡宏编译,元照出版有限公司 2017 年,第 378 页。 157 统罪,而不能认定为破坏数据罪。如果是从客观方面判断,涉案行为同时符合情 节严重与后果严重时,则基本可以认定构成非法控制系统罪与破坏数据罪。其三, 判断主观要件。考察涉案行为实施相应行为时的主观故意内容,如果是在同一故 意支配下实施的一个行为,同时侵犯了两个法益,触犯了两个罪名,那么就成立 想象竞合犯,进行从一重处。即如果在同一个故意支配下既实施的非法控制计算 机信息系统的行为同时侵犯了数据的完整性、可用性法益时应依照想象竞合原理 进行从一重处;如果是在分别的故意支配下便实施非法控制计算机信息系统与破 坏计算机信息系统数据的行为应分别进行定罪,进行数罪并罚。 2.关联问题的延伸分析 对于上述理解,还有两点需要延伸说明与讨论的内容:一个是非法控制系统 罪与破坏数据罪之间是什么关系?另一个是对于《计算机犯罪解释》已有的定量 因素设置如何评价? 对于第一个问题,本文认为如果一个行为同时触犯了两者时应以想象竞合犯 处理之,叶良芳教授也持本观点。 1此外,还有学者认为两者之间应是法条竞合 的关系,2更是有学者进一步的将之理解为完全包容的法条竞合关系。3对此,笔 者的判断是:两个罪名之间是想象竞合关系,而非法条竞合关系,更不是所谓的 包容型法条竞合关系,根源在于两罪保护法益不具有同一性。前文已经提出,想 象竞合与法条竞合的判断标准包括形式与实质两个侧面,形式侧面的标准是法条 之间是否存在包容或交叉关系,如果不存在此种关系则可以直接排除法条竞合的 成立。当满足此项形式标准后,还需要进一步进行实质判断,验证法条所保护的 法益是否具有同一性。从形式要件看,非法控制系统罪与破坏数据罪在立法表述 上存在着一定的交叉关系,因为对于计算机信息系统的控制完全有可能是通过第 286 条 3 款所规定的三种犯罪行为实现的。相关论者也是基于此认知得出两罪为 完全包容型的法条竞合关系这一结论。 4但是从实质标准来看,非法控制系统罪 保护法益为权利人对于计算机信息系统的控制权,至于是否侵犯了计算机信息系 统运行安全,是否侵犯了其他法益则不属于本罪所关注的内容。而破坏计算机信 1 参见叶良芳: 《刑法教义学视角下流量劫持行为的性质探究》,载《中州学刊》2016 年第 8 期。 参见孙道萃: 《“流量劫持”的刑法规制及完善》 ,载《中国检察官》2016 年第 4 期。 3 参见王禹: 《计算机信息系统犯罪的行为透视—以“破坏”和“非法控制”的界限与竞合为视角》 ,载《江 西警察学院学报》2019 年第 2 期。 4 参见王禹: 《计算机信息系统犯罪的行为透视—以“破坏”和“非法控制”的界限与竞合为视角》 ,载《江 西警察学院学报》2019 年第 2 期。 158 2 息系统罪依照本文的立场,第 1 款、第 3 款的保护法益明确为计算机信息系统的 运行安全,第 2 款为计算机信息系统数据安全。虽然,计算机信息系统的控制权、 计算机信息系统自身运行安全、计算机信息系统中存储、处理或者传输数据的安 全之间具有紧密联系,但毕竟具有本质上的差异。依照本文主张的法益同一说的 立场,应排除相关罪名为法条竞合关系的判断,认定相关罪名间为想象竞合关系。 另一个问题是有关定量因素的问题,其实,前文中已经对《计算机犯罪解释》 对“罪量因素”的理解进行了反思与批判。本处仅点出结合非法控制系统罪与破 坏计算机信息系统罪“罪量因素”的标准再点出一点问题。《计算机犯罪解释》 针对非法控制系统罪与破坏数据罪所设定的定量要件几乎完全一致, 1如果依照 目前的司法解释的标准,只要涉案行为中同时出现了对数据完整性与可用性法益 的侵害,与对计算机信息系统权利人控制权的侵害,那么,两罪基本上必然会出 现竞合适用的问题。因为只要为实施非法控制计算机信息系统而删除、修改或增 加了数据,达到了非法控制系统罪的入罪标准,也就达到了破坏数据罪的入罪标 准。此种规定明显不符合对于轻罪与重罪设置不同梯度入罪门槛之基本法理。理 论上,属于轻罪的入罪门槛理应高于重罪的入罪门槛,这是罪刑相适应原则的应 有之义。2在立法解释作出之前,正确的做法是“两高”修改相应的入罪标准。最 起码“两高”应该在涉案计算机信息系统台数、违法所得以及经济损失的数额设 定上充分考虑到第 285 条第 2 款与第 286 条件法定刑幅度的不同,注重罪轻与罪 重的协调,对于轻罪设置高于重罪的入罪门槛,以实现两罪之间的入罪梯度,不 至于致使出现两罪在司法实践中如影随形,但非法控制系统罪却又始终难以适用 的问题。 三、与提供侵入、非法控制计算机信息系统程序、工具罪的区 分适用 提供程序、工具罪是立法者在 2009 年《刑法修正案(七)》中增设,本罪 包括两种行为类型:提供专门程序、工具犯罪与明知而提供程序、工具犯罪,两 1 《计算机犯罪解释》看,非法控制系统罪的成立情节严重包括“ (三)非法控制计算机信息系统 20 台以上 的; (四)违法所得 5000 元以上或者造成经济损失 1 万元以上的; (五)其他严重情节。 ”破坏数据罪成立 的后果严重包括“ (二)对 20 台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加 操作的; (三)违法所得 5000 元以上或者造成经济损失 1 万元以上的; (五)造成其他严重后果的。 ” 2 参见刘宪权: 《刑事立法应力戒情绪—以<刑法修正案(九)>为视角》 ,载《法学评论》2016 年第 1 期。 159 者的犯罪构成略有不同,但均以情节严重为定量要件。 1然而,从立法科学性看 本罪立法还存在如下缺漏之处:(1)本罪仅将《刑法》第 285 条第 1 款与第 2 款所规定犯罪的帮助行为正犯化,第 286 条破坏计算机信息系统罪的帮助行为未 被正犯化,还是只能依照传统的共犯理论予以解决,“在处理间接帮助、未遂帮 助等存有诸多限制,而正犯化则可恰当地消除处罚上的障碍。” 2从严密刑事法 网、有效全链条打击刑事犯罪的目的出发,理应将提供破坏计算机信息系统程序、 工具的帮助行为进行独立入罪化。(2)根据本罪的表述,罪状中的被帮助行为 仅仅包括非法侵入或者控制系统行为,并不包括非法获取数据罪行为。由此可知, 从刑事立法看好像司法实践中行为人为非法获取数据罪行为提供程序、工具的行 为不在本罪的规制范围之内。笔者注意到“两高”在《计算机犯罪解释》中对此 问题进行了回应,并对第 285 条第 3 款进行了扩张解释,把为非法获取数据罪提 供程序、工具的行为也视为本罪的规制对象。“两高”作出的这一司法解释具有 结论的合理性,但由于司法解释的作出只能以刑法文本最广含义为限。因此,本 文建议未来修法时应由立法者对之进行罪状修改。(3)根据本罪的表述,被正 犯化的帮助行为仅仅包括对外提供程序、工具的行为,这说明对外提供账号密码 等其他类型电子数据的行为不属于本罪所调整的行为对象。然而,在计算机犯罪 中各种电子数据所能起到的作用可能并不亚于程序与工具,因此,如果其“不受 重视,显然并不合理。” 3 尽管提供程序、工具罪存在本文所言的诸多问题,且在保护法益与构成要件 方面与数据犯罪之间存在诸多差异,但是提供程序、工具罪的行为往往是数据犯 罪顺利实施的帮助行为,在司法实践中常会出现两种犯罪之间的定性争议问题。 因而,本文认为须对数据犯罪与提供程序、工具罪之间的关系作体系化的深入分 析。 (一)非法获取数据罪与提供程序、工具罪的区分适用 提供程序、工具罪的立法开启了网络犯罪领域共犯正犯化的先河,如果再对 之进行细化,可明确其为帮助行为正犯化的立法典型。在教义学上,帮助行为正 1 立法者之所以增设本罪是因为实践中“程序、工具的提供者常常是以层层代理的方式销售,难以查清与实 际正犯的关联性,为避免共同犯罪实体和程序认定上的困难,将程序、工具的提供者单独入罪处罚。 ”参见 黄太云: 《<刑法修正案(七)>解读》 ,载《人民检察》2009 年第 6 期。 2 陆敏: 《帮助型正犯研究》 ,中南财经政法大学 2018 年博士学位论文第 136 页。 3 皮勇: 《我国网络犯罪立法若干问题》 ,载《中国刑事法杂志》2012 年第 12 期。 160 犯化即指原本并不具有类型性与独立法益侵害性的行为在具备了类型化特征与 独立的法益侵害性后被立法者予以单独成罪的帮助行为,入罪后该帮助行为即成 为新的犯罪实行行为。根据立法表述不同,我们还可将帮助行为正犯化再细分为 两类,一类是典型的帮助行为正犯化,即对正犯行为的成立没有任何要求,真正 实现了独立化,一类是非典型的帮助行为正犯化,即对正犯行为的成立常要求主 观上存有“明知”。1据此可见,提供程序、工具罪的立法例较为复杂,同时包含 了两种不同的帮助行为正犯化立法模式。通过分析,笔者认为在司法实践中我们 应注意明确提供程序、工具罪与非法获取数据罪的如下关联问题。 1.如何理解“情节严重,依照前款的规定处罚”? 与前文中提到的第 286 条第 2 款中规定的“后果严重的,依照前款的规定处 罚”相似,第 285 条第 3 款也规定了提供专门程序、工具或明知而提供程序、工 具“情节严重的,依照前款的规定处罚”。如何理解这里的“依照前款规定处罚” 也同样存在着争议。2对此,本文以为宜持第二种理解,即本处的“依照前款的规 定处罚”中的前款规定为第 285 条第 2 款中的“情节严重的,处三年以下有期徒 刑或拘役,并处或单处罚金;情节特别严重的,处三年以上七年以下有期徒刑, 并处罚金。”也即,提供程序、工具罪的法定刑也有两个档次,分别是情节严重 与“情节特别严重”,作出本种理解是因为立法者将提供程序、工具这一帮助行 为正犯化的目的便是强调对该行为进行重点打击,强化惩罚,如果将本罪的法定 刑限缩于情节严重这一轻罪类型内,与立法强调打击的目的并不相符,甚至还可 能造成对相关犯罪的放纵。对此结论,“两高”持肯定意见,《计算机犯罪解释》 第 3 条便分别针对情节严重与“情节特别严重”两档刑期作出细化解释。同时, 司法实践中也存在着“一定数量的提供侵入、非法控制计算机信息系统程序、工 具罪案件适用‘情节特别严重’法定刑档次的案件。” 3 2.帮助行为与被帮助行为危害性判断之间的关系 邓矜婷副教授曾就如下问题作出过讨论:即提供程序、工具这一帮助行为与 非法获取计算机信系统数据等被帮助行为之间的危险性判断是否具有关联?邓 矜婷副教授认为在提供程序、工具罪的两种不同犯罪类型下会得出不同的答案: 1 2 3 参见于冲: 《帮助行为正犯化的类型研究与入罪化思路》 ,载《政法论坛》2016 年第 4 期。 参见皮勇: 《论我国刑法修正案(七)中的网络犯罪立法》 ,载《山东警察学院学报》2009 年第 2 期。 谢杰: 《利用未公开信息交易罪量刑情节的刑法解释与实践适用》 ,载《政治与法律》2015 年第 7 期。 161 其一,提供专门程序、工具行为对下游犯罪的实现具有极大的促进作用,可脱离 非法获取计算机信息系统数据等被帮助行为而进行独立判断。其二,明知而提供 程序、工具之行为对下游犯罪行为仅具有部分促进作用,在主观上要求提供程序、 工具之帮助者对被帮助者是要实施非法侵入、非法获取数据或非法控制计算机信 息系统之违法犯罪行为具有“明知”,但不要求两者之间具有实施共同实施犯罪 的双向合意。客观上对被帮助者所实施的违法犯罪行为有一定程度的查实,根据 被帮助者实施行为是违法行为,还是有责行为分别设置不同的帮助行为入罪之量 的要求。 1 总之,邓矜婷副教授认为提供专门程序、工具犯罪行为之立法为帮助行为正 犯化,所以可以对帮助行为的危害性进行脱离于被帮助行为的独立判断。明知而 提供程序、工具不是帮助行为的正犯化,仅是对刑法中传统共犯理论的有限突破, 所以在进行行为危害性判断时应充分考察下游犯罪的情况。 2与之不同,本文认 为第 285 条第 3 款提供程序、工具罪之立法全部为帮助行为正犯化,且两种类型 下帮助行为的危害性判断均不可能完全独立于被帮助行为(如非法获取计算机信 息系统数据行为)进行独立判断,只是在紧密程度上有所区别。 针对提供专门程序、工具罪,由于专门的程序、工具对下游违法犯罪行为的 实施具有极大的促进作用,因此,“成立此类犯罪不要求帮助者对被帮助者利用 自己所提供的程序、工具实施下游犯罪有明知,因此也不需要查实下游犯罪。” 3 然而,不需要查实下游违法犯罪即可入罪,不代表查实了下游违法犯罪行为后, 相关违法犯罪行为的严重程度等不可以作为提供专门程序、工具类行为之情节严 重判断的参考要素。因此,本文以为提供专门程序、工具类犯罪行为的危害性(即 定罪情节)的判断不可能与被帮助违法犯罪行为完全隔离,只是说在不能查明是 否存在下游犯罪时可直接依据提供专门程序、工具的人人数、次数,以及提供专 门程序、工具行为所造成的经济损失或违法所得等情况进行入罪判断。而当可以 查明下游违法犯罪行为时,应将之作为帮助行为危害性判断的参考因素,比如被 帮助行为的次数、危害性程度等。 1 参见邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法学研究》2019 年第 5 期。 2 参见邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法学研究》2019 年第 5 期。 3 邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法学研究》2019 年第 5 期。 162 与提供专门程序、工具罪不同,明知而提供程序、工具罪的适用受到更为严 格的限制。之所以对此要求更高,是因为此类行为多数情形下仅对被帮助者违法 犯罪行为的实施起到部分促进作用,“下游犯罪的主要部分需要由下游犯罪的实 行行为来完成。” 1根据第 285 条第 3 款的规定,成立明知而提供程序、工具罪 首先要求提供程序、工具的行为人“明知”被提供者实施非法侵入系统、获取数 据或者控制系统等违法犯罪行为。由此,如果根据案情与行为人供述可查实行为 人提供程序、工具时所“明知”他人欲实施的行为并非此三类违法犯罪行为,则 不能以本罪论处,只能考虑是否可适用帮助信息网络犯罪活动罪或者以被帮助违 法犯罪行为的帮助犯论处。部分学者对此还没有一个清晰的认识,比如有学者提 出“如果出现了专门帮助洗钱的网络技术,提供这种技术的行为就应当按提供程 序、工具犯罪进行评价。”2然而,帮助洗钱的网络技术并不一定是要通过非法侵 入系统、获取数据或者控制系统的途径实现,因此,这一结论明显存疑。此外, 应明确本处的“明知”并不要求达到确知的程度,也不要求提供程序、工具者知 道被帮助者将具体实施非法侵入系统、获取数据与控制系统等行为中的哪一种犯 罪行为,只要求提供程序、工具者对被帮助者将实施或可能实施前述违法犯罪行 为有一种概括性认识。 3由此可见,明知而提供程序、工具犯罪行为的危害性判 断与非法获取数据罪在主观方面之间也不可能完全断绝相互的联系。 除主观方面外,明知而提供程序、工具犯罪与非法获取数据罪之间在客观方 面也具有不可断绝的联系,“在评价本类帮助行为的危害性时,不能只看帮助行 为本身,还需要考虑其下游犯罪的关联程度以及下游犯罪的实施情况。” 4在明 知他人要实施非法侵入(包括非法获取计算机信息系统数据)、非法控制计算机 信息系统类违法犯罪行为时还为其提供程序、工具之前提下,被帮助者是否实施 了违法犯罪行为,以及实施的是违法行为,还是违法且有责的犯罪行为对明知而 提供程序、工具行为的危险性判断应有所影响。目前,我国刑法中采用了“违法 犯罪”这一表述的大致有如下几种(表 7):非法利用信息网络罪、包容、纵容 1 “如果以量来打比方,可以认为本类帮助行为已经促成下游犯罪 30%-80%的进度,下游犯罪的实行行为仍 然要完成剩余的 20%-70%。 ”邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法 学研究》2019 年第 5 期。 2 邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法学研究》2019 年第 5 期。 3 参见苏家成: 《提供侵入、非法控制计算机信息系统程序、工具罪的认定》 ,载《人民司法》2013 年第 12 期;易琦、梁燕宏:《提供侵入、非法控制计算机信息系统程序、工具罪的司法认定》,载《中国检察官》 2018 年第 2 期。 4 邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法学研究》2019 年第 5 期。 163 黑社会性质组织罪中使用的“违法犯罪活动”;包庇罪中使用的“违法犯罪分子”; 提供程序、工具罪中使用的“违法犯罪行为”。 表 7 “违法犯罪”一词使用情况 具体称谓 涉及罪名 违法犯罪活动 非法利用信息网络罪(第 1 款、第 3 款)、 包容、纵容黑社会性质组织罪 违法犯罪分子 包庇罪 违法犯罪行为 提供程序、工具罪 违法犯罪信息 非法利用信息网络罪(第 2 款) 尽管“违法犯罪”修饰的内容不同,但是对三种使用类型中“违法犯罪”的 理解应保持体系协调、结论一致。对如何理解“违法犯罪”这一问题,王华伟博 士等认为第 285 条第 3 款与第 287 条之一的违法犯罪都应该限缩解释为违法的 犯罪。此种理解属于刑法学界的少数派,并且此种理解也没有得到最高司法机关 的支持。 1笔者认为司法解释的立场较为可取,我们在解释刑法中的违法犯罪行 为这一表述时有必要将其中的“行为”限定解释为刑法规范意义上的行为。因为 能够进入到刑法评价视野的只能是已经被立法者抽象化、类型化以及明文化了的 刑法分则条文中的行为,那些没有被立法者在刑法分则条文中予以明确禁止的行 为,即便同样具有一定的违法性,但是不应该将之理解为刑法规范意义上的“违 法犯罪行为”,否则必将导致提供程序、工具罪等罪名的适用范围无限泛化。同 时,由于即便是刑法规范意义上的违法与犯罪行为之间也具有明显的烈度高低关 系,前者相对而言法益侵害烈度较低,因此,我们针对被帮助行为是具有违法性, 但欠缺有责性的违法行为,以及同是具有违法性与有责性的犯罪行为等两种情况 应分别设置相应的定量要件,且两者之间应具有一定的差异,前者的入罪门槛要 高于后者。 2然而,本文的此种理解目前没有被《计算机犯罪解释》所采纳,在 1 具体参见 2019 年发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若 干问题的解释》 ,该司法解释明确将“违法犯罪”解释为既包括违法且有责的犯罪行为,又包括满足了刑 法分则条文规定的行为类型之要求,但尚不构成犯罪的违法行为。 2 参见邓矜婷: 《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》 ,载《法学研究》2019 年第 5 期。 164 “两高”本罪行为情节严重标准时仍将“违法犯罪行为”进行并合表述,没有关 注到两种不同的情形下被帮助行为之法益侵害性对帮助行为危害性判断的影响, 应在日后对之进行修改。 综上,在明知而提供程序、工具犯罪的情形下,提供程序、工具行为的危害 性判断与非法获取计算机信息系统数据等被帮助行为之间具有密切的关联,不仅 要求帮助者主观上对被帮助者所欲实施的行为类型是属于侵入系统、获取数据与 控制系统等三种违法犯罪行为有“明知”,而且在客观上帮助者对被帮助者提供 帮助的人数、次数、违法所得以及被帮助者所实施的行为是违法行为,还是违法 有责行为等要素也都将直接影响到对帮助者提供程序、工具行为的行为危害性的 最终判断。 然而,本文认为尽管提供程序、工具行为危害性的判断与被帮助行为之间存 在密切关联,但是在对提供程序、工具行为情节严重判断时不能将被帮助行为所 造成的经济损失视为提供程序、工具行为所造成的经济损失。根据《计算机犯罪 解释》第 3 条的规定,目前,提供程序、工具行为情节严重认定有五项明确列举 标准与一项堵截性规定。通过对该解释具体内容进行分析,我们可以将提供程序、 工具罪的情节严重判断标准分为“提供人次”“违法所得”“经济损失”等三类 标准。为明确前述几类犯罪标准在司法实践中适用的大致比重,本文以“提供侵 入、非法获取”为关键词在“威科先行数据库”中进行检索,并随机抽取了 20 份 裁判文书并对各个案件中所适用的情节严重的标准进行了如下汇总(表 8)。 表 8 提供程序、工具行为适用情节严重标准情况 案号 适用标准 具体案情 未经同意购入《天龙八部 ONLINE 网络游戏软件》外 (2017)苏 0404 提供人次 挂程序后在淘宝网上销售,截至 2017 年 3 月,被告人 刑初 705 号 陈北川向他人销售共计 7562 次。 明知他人将远程控制软件用于监控配偶、情侣等情形 (2020)粤 0607 刑 违法所得 下以每年 6000 元使用费提供给他人使用,后续销售非 初 211 号 法获利人民币 6500 元。 165 将“英雄联盟”游戏特权软件出售给苏某等人,共获 (2017)苏 0508 刑 违法所得 利人民币 15050 元。 初 642 号 (2017)苏 01 刑终 违法所得 获利 7900 元为他人编写游戏扣分程序 813 号 出售水滴子软件,被告人古某某违法所得金额人民币 (2019)沪 0109 刑 违法所得 9000 元,李某某违法所得金额人民币 6000 元。 初 999 号 通过 QQ 群、网站等出售给他人,违法所得共计人民 (2017)京 0108 违法所得 刑初 238 号 币 31000 元。 (2019)苏 明知他人为非法获取爱奇艺公司爱奇艺视频会员用户 1183 刑初 387 违法所得 号 账号、密码,而为其提供上述撞库软件,获利共计人 民币 10638 元。 通过出售其搭建的虚假 DNF(地下城与勇士)游戏链 (2017)苏 1311 违法所得 接违法所得共计 5479.16 元。 刑初 333 号 教授他人学习制作以破解支付宝人脸识别认证系统的 (2019)川 0124 违法所得 3D 人脸动态图,并出售设备获利 3 万余元。 刑初 610 号 通过销售用于非法控制计算机信息系统的“冰河 (2018)苏 0509 刑 违法所得 DDOS 压力测试系统”程序,从中获利人民币 100000 初8号 余元。 被告人王洋洋制作专门盗取 DNF 游戏玩家账号和密码 的钓鱼网站链接后出售给他人。其中,被告人崔维 (2018)苏 0804 提供人次 恩、潘科提供钓鱼网站链接 30 余次,被告人王洋洋提 刑初 414 号 供钓鱼网站链接 40 余次。 将从别处获得的用于侵入计算机信息系统的扫号软件 (2020)苏 13 刑终 违法所得 出售给二人,违法所得共计 6650 元。 140 号 向 50 余人次提供侵入、控制他人家庭摄像头信息系统 (2018)浙 11 刑 人次+所得 的软件和方式,获利 2000 元。 再2号 向他人出售微信扫号软件 176 个以上,违法所得人民 (2017)苏 0382 人次+所得 刑初 356 号 币 4 万余元。 166 易某出售悟空软件,非法获利共计 74000 元;施某出 (2017)苏 1283 违法所得 售悟空软件,非法获利 67000 元。 刑初 559 号 (2018)鲁 0812 刑 违法所得 编写程序向他人出售共获利 12847.61 元。 初 489 号 被告人通过互联网向胡某等人销售“baid 探测器-打码 版-少爷.rar”等可用于非法获取计算机信息系统身份认 (2017)京 01 刑 人次+所得 证信息的程序,共计 50 余人次,违法所得人民币 16000 终 645 号 余元。 林某销售金额 40.5 万元,个人获利人民币 9.4 万元; (2018)苏 1081 违法所得 李某非法获利 3.4 万元。 刑初 23 号 李要要自制钓鱼网站 22 个,以出租或者出售方式提供 (2018)豫 02 提供人次 给 qq 好友 68 次。 刑终 129 号 李文涛修改编成强制加 QQ 好友木马软件。2016 年 3 月至同年 8 月,李文涛与被告人徐茂超合作强制加 QQ 好友业务。期间李文涛提供木马软件并从事软件 (2020)鄂 11 刑终 未明确 90 号 的维护更新工作。之后,李文涛离开徐茂超的公司。 2017 年 1 月份,徐茂超通过 QQ 联系李文涛索要该木 马软件,并支付其一定费用。 表 8 很清晰的展示出了各种提供程序、工具行为情节严重标准的适用占比情 况,其中,违法所得标准最为常用、提供人次标准次之,经济损失没有被适用。 1 本文认为司法实践中不常适用经济损失标准是因为,一方面,在提供程序、工 具犯罪情境下网络违法犯罪行为危害结果具有弥散性,往往很难确定准确的经济 损失,基于“司法便宜”的考虑转而适用较为容易确定的提供人次、违法所得标 准。另一方面,实践中的提供程序、工具的行为人常只是提供程序、工具而已, 不参与到程序、工具的使用、运营、维护活动中,而单纯的提供程序、工具之行 为并不会造成经济损失。当然,司法实践中不常被适用并不代表不会被适用,尤 其在提供程序、工具类犯罪案件中常会同时存在由提供程序、工具行为所造成的 1 笔者认为尽管此表不是对全部提供程序、工具判例的逐一分析,但基本可以反映出该领域裁判样态。 167 经济损失以及被帮助之非法获取计算机信息系统数据等行为所造成的经济损失。 此时,确定哪些经济损失才应归责于提供程序、工具之犯罪行为便显得极为重要, 判断结论将直接影响对涉案行为的罪与非罪的判断。 根据《计算机犯罪解释》第 10 条可知,“经济损失,包括危害计算机信息 系统犯罪行为给用户直接造成的经济损失,以及用户为恢复数据、功能而支出的 必要费用。”从该条的文义看,“用户为恢复数据、功能而支出的必要费用”应 归属于与直接经济损失相对立的间接经济损失的范畴。那么,具体案件中又应如 何理解直接经济损失与间接经济损失呢?是否所有提供程序、工具行为帮助实现 的非法获取计算机信息系统数据等行为所造成的“用户为恢复数据、功能而支付 的必要费用”都属于提供程序、工具行为所造成的经济损失呢?答案显然是否定 的。我们可参照《最高人民检察院关于渎职侵权犯罪立案的规定》确定直接经济 损失与间接经济损失的含义,直接经济损失即指与行为有直接因果关系而造成的 财产毁损、减少的实际价值;间接经济损失是指由直接经济损失引起与牵连的其 他损失,包括失去的在正常情况下可以获得的利益和为恢复正常管理活动或者挽 回造成的损失所支付的各种开支、费用等。由此可知,间接经济损失的判断存在 一个最主要的因素,即间接经济损失的承担主体与直接经济损失的承担主体相一 致,且间接经济损失是指由直接经济损失所引起和牵连的其他经济损失。1因此, 在行为人对外提供的程序、工具具有非法获取计算机信息系统数据的功能而引发 的案件中,提供程序、工具行为所应承担的经济损失仅应是由其行为引发的直接 经济损失,或由直接经济损失引发与导致的、由直接经济损失主体所承担的为恢 复数据、功能而支出的必要费用。如果行为人仅仅是单纯的为他人提供了程序、 工具,没有主动帮助进行安装、运行与维护等,其单纯的提供行为不会造成经济 损失,此类案件应更多的考虑提供程序、工具之行为人因此而获取的违法所得数 额,以及所提供程序、工具的功能、提供次数等。本文之见解已为基层法官所赞 同,在“古某某、李某某提供侵入、非法控制计算机信息系统程序、工具案”中, 法院便认定“虽然被告人古某某开发、被告人李某某出售的‘水滴子’软件具有 针对‘翼支付’APP 平台及其后台服务器非法侵入、非法获取计算机信息系统数 据的各项功能,但显而易见,造成天翼公司经济损失的直接原因确系下家购买该 1 参见王菲:《试论渎职犯罪中直接经济损失与间接经济损失的司法认定》,载《北京职业政法学院学报》 2010 年第 1 期。 168 软件后,非法使用该软件对‘翼支付’平台实施‘薅羊毛’的诈骗犯罪所造成。…… 上述‘薅羊毛’行为所造成的天翼公司经济损失,不能认定为被告人古某某、李 某某提供‘水滴子’软件给被害单位造成的直接经济损失。”1也正因为出售软件 的行为与给被害单位造成的直接经济损失之间没有必然的关联,因此,办案法官 才转而依据违法所得标准来确定涉案行为的量刑档次,并且作出宣告刑刑期的判 断。 3.“全国首例打码撞库案”之“小黄伞案”的定性分析 目前,刑法学界对提供程序、工具罪与非法获取数据罪间的关系讨论较少, 引起比较多关注的案件是“全国首例打码撞库案”, 2人民检察杂志社组织专家 针对涉案的“小黄伞”应用程序的性质、“提供”“侵入”等行为的认定、“明 知”的证明与推定、如何理解情节严重、关于案件的处理等六方面进行了深入的 讨论,从相关讨论结果看各位学者之间的观点尚未统一。因此,本文拟尝试运用 前述针对提供程序、工具罪与非法获取数据罪之关系提出的教义学知识深入分析 “小黄伞”案,确定叶某、张某与谭某的行为性质。 其一,从人民检察杂志社组织的专家讨论结果看,对谭某使用小黄伞软件并 非法获取淘宝软件账号密码的行为,学界与实务界观点较为一致均认为构成非法 获取数据罪一罪。可是,本文认为此种理解并不全面。被告人谭某供述“小黄伞 软件刷出的正确的文件格式中每条数据都是包含邮箱地址、账号、密码、星级、 注册时间、认证情况。”根据《公民个人信息犯罪解释》第 1 条可知,上述经由 “小黄伞”软件刷出的数据可被认定为公民个人信息。本案中,法院认定谭某借 助“小黄伞”软件共获取了 2.2 万余组数据,获利 25 万元,符合《公民个人信息 犯罪解释》第 5 条与第 6 条的规定。因此,谭某之行为已经构成了侵犯公民个人 信息罪的“情节特别严重”,应在 3-7 年之法定刑幅度内量刑。此外,谭某通过 撞库所获取的数据又可被评价为计算机信息系统数据,根据《计算机犯罪解释》 第 1 条的规定,谭某行为也构成了非法获取数据罪的“情节特别严重”,应在 37 年之法定刑幅度内量刑。据此可知,谭某一个行为同时符合侵犯公民个人信息 1 参见上海市虹口区人民法院(2019)沪 0109 刑初 999 号刑事判决书。 “小黄伞案”基本案情:叶某编写了“小黄伞”扫号软件,张某组织码工利用打码平台协助打码,并收取 叶某给予的报酬。谭某购买验证码充值卡并使用叶某编写的“小黄伞”扫号软件,并在张某协助下成功刷 取 2.2 万余组淘宝账号并予以出售谋利,违法所得 3.7 万余元。参见浙江省杭州市余杭区人民法院(2017) 浙 0110 刑初 664 号刑事判决书。 169 2 罪与非法获取数据罪等两个罪名的构成要件,属于想象竞合,应择一重处。然而, 两罪的法定刑幅度与内容完全一致,此时难以通过比较法定刑的方式确定轻重。 为解决此问题,皮勇教授认为保护公共法益的非法获取数据罪属于重罪,保护个 人法益的侵犯公民个人信息罪属于轻罪,因此,应从一重适用前者。 1如前文所 言,笔者对此持否定见解,并认为在“先比后定法”无法被适用时,应交由司法 者在具体个案中结合《公民个人信息犯罪解释》与《计算机犯罪解释》的具体标 准进行具体判断。关于皮勇教授提出的以非法获取数据罪定性更可全面反映法益 侵害的特征这一立场,本文认为想象竞合理论所追求的并不是对涉案行为的全面 评价,而是充分但不重复的评价。 其二,从人民检察杂志社组织的专家讨论结果看,学界与实务界对叶某、张 某行为性质认定存在着较大争议、针对张某的行为性质,多数观点认为其构成叶 某的共犯,应认定构成提供程序、工具罪。少数观点认为叶某等三人共同构成非 法获取数据罪的共同犯罪。针对叶某的行为性质,郭泽强教授认为叶某行为是一 行为符合数个犯罪构成要件的情形,成立提供程序、工具罪与非法获取数据罪的 想象竞合,应从一重处。 2多数观点则认为叶某行为仅构成提供程序、工具罪一 罪。3同时,与多数学者主张叶某、张某构成提供程序、工具类犯罪不同,还有观 点认为两者应属于明知而提供程序、工具类犯罪的情形。 从案情看,2014 年底,叶某编写了专门用于打淘宝网站验证码的小工具,即 “小黄伞”程序具有突破系统防护与自动抓取数据的功能,当遇到需要输入验证 码的情形时,“小黄伞”软件可自动抓取系统验证码并发送到其搭建的打码平台 让码农手动输入验证名并回传到“小黄伞”软件,“小黄伞”软件再将验证码自 动回填到需要填入验证码的区域进行账号密码验证。可见,“小黄伞”软件的唯 一功能便是避开淘宝网站的安全保护措施,验证破解淘宝账号密码,同时抓取与 被破解账号密码相关的邮箱地址、星级、认证情况等数据,将“小黄伞”软件评 价为专门的程序、工具应不存在疑问,因此,叶某的行为应认定为提供专门程序、 1 参见皮勇: 《全国首例撞库打码案的法律适用分析》 ,载《中国检察官》2019 年第 3 期。 参见杨赞: 《撞库打码牟利行为如何定性》 ,载《人民检察》2018 年第 14 期。 3 参见喻海松: 《网络犯罪二十讲》 ,法律出版社 2018 年版;杨志琼: 《我国数据犯罪的司法困境与出路:以 数据安全法益为中心》 ,载《环球法律评论》2019 年第 6 期。杨赞: 《撞库打码牟利行为如何定性》 ,载《人 民检察》2018 年第 14 期;皮勇: 《全国首例撞库打码案的法律适用分析》 ,载《中国检察官》2019 年第 3 期。 170 2 工具罪。而在整个犯罪活动中,张某为叶某所对外提供的“小黄伞”软件的有效 运行提供不可缺少的帮助作用,故而两人成立共同犯罪。 少数说之所以主张叶某、张某共同构成明知而提供程序、工具型的提供侵入 计算机信息系统程序罪的共犯,是因为其认为:(1)打码平台虽可提供批量验 证码识别服务,但不具有非法获取数据与控制系统的功能;(2)即便认为打码 平台具有侵入计算机信息系统的功能,但在打码活动中对法益起到直接侵害作用 的是“人的打码活动”,但码工不是计算机信息系统中的程序、工具。因此,不 能将打码平台认定为专门程序、工具。1笔者认为该论者对打码平台在“小黄伞” 案中的地位有所误解,法院判决叶某、张某构成提供程序罪的真正原因是叶某对 外提供了具有侵入、非法控制计算机信息系统功能的“小黄伞”程序,而张某为 叶某提供的打码服务维持了“小黄伞”软件的正常运行。因此,两人构成共同犯 罪。从“小黄伞”软件的运行机理看,即便“小黄伞”软件脱离了打码平台,其 也仅是丧失了对需要提供系统验证码淘宝账号密码数据进行非法获取的功能,而 对不需要系统验证码的账号密码数据进行非法获取的功能并未受到影响,即“小 黄伞”软件即便脱离了打码平台,本身的性质并未发生改变,只是功能实现受到 了部分影响。可见,“小黄伞”软件与打码平台之间并不是绝对依存的关系,不 能以打码平台需要“人的打码行为”便借此否认将本案认定为提供专门程序、工 具罪的合理性。 对于张某明知叶某利用信息网络实施犯罪活动还为之提供帮助的行为,我们 也不应视而不理,不作出任何评价。根据本案中张某的陈述,我们可知其在 2014 年 12 月与叶某的聊天中便知道其从事的扫号业务与淘宝网有关。甚至,在 2015 年 2 月明确知道叶某所作的扫号软件针对的便是淘宝程序,但张某仅关注打码的 数量,并不关心叶某打码的具体用途等。此一陈述证明张某在明知叶某利用信息 网络实施犯罪行为还为其提供技术支持,并成为叶某的独家代理组织他人实施打 码活动,可以认定构成帮助信息网络犯罪活动罪。换言之,张某对叶某的帮助行 为同时构成了提供侵入计算机信息系统程序罪的共同犯罪与帮助信息网络犯罪 活动罪,两相比较,前者法定刑较重,因此,最终我们对张某只需要依照提供侵 入计算机信息系统程序罪进行定性即可。 1 参见蒋筱悦: 《打码平台的规制—以国内首例“打码撞库”案为分析样本》 ,载《人民检察》2018 年第 19 期。 171 (二)破坏数据罪与提供程序、工具罪的区分适用 1.侵入、非法控制计算机信息系统的违法犯罪行为不包括破坏计算机信息系 统功能、数据或应用程序的违法犯罪行为 根据《计算机犯罪解释》可知,第 285 条第 3 款中的被帮助行为包括三种行 为类型,分别是非法侵入系统、获取系统以及控制系统。在该司法解释出台后, “两高”相关人士撰文表示作出此种扩张解释并没有超越文义,因为从实践看侵 入系统后获取数据的行为十分常见。目前,这一种理解也已经获得了学界与实务 界的多数认可。然而,本文认为如果以相同的理由,我们似乎也应该将第 286 条 前两款所规定的犯罪行为类型也视为提供程序、工具罪中的被帮助行为。因为现 实生活中的确也存在着为数不少的侵入系统后对系统功能或者系统数据、应用程 序等实施非法破坏的犯罪行为。 因而,我们有必要思考究竟是为什么这两种行为没有被“两高”的司法解释 同时解释为提供程序、工具罪的被帮助行为?笔者认为我们可以从罪刑均衡的角 度提供相应的论证理由。从法定自由刑量度看,第 286 条有两级法定刑,分别是 五年以下或拘役,以及五年以上。而提供程序、工具罪是“依照前款规定定罪处 罚”,因此,法定刑的指向应是第 285 条第 2 款中的三年以下,以及三到七年等 两种法定刑。这种情形下,如果将破坏系统功能、数据或者应用程序的违法犯罪 行为视为第 285 条第 3 款中的被帮助行为,那么,向实施前述行为的行为人提供 程序、工具或者明知行为人实施前述行为还提供程序、工具的行为人我们最高只 能处以三到七年的自由刑,而不能适用第 286 条第 1 款或第 2 款对行为人进行定 罪量刑。可是,第 286 条的法定刑高于第 285 条第 1 款以及第 2 款,且在行为的 法益侵害性程度上也要高于后两款条文对应的犯罪类型。因此,即便只是为了实 现罪责刑相均衡,我们也不能将破坏系统功能与数据、应用程序的行为视为第 285 条第 3 款中的被帮助行为。 2.明知他人实施破坏型数据犯罪行为还为其提供程序、工具的行为认定 明确了第 286 条前两款所规定的行为类型不属于提供程序、工具罪的违法犯 罪行为后,我们还需要研究另一个问题:即当明知他人实施破坏型数据犯罪行为 的时候,还为其提供程序、工具的行为应该如何认定?为了防止空谈理论,相关 结论没有司法适用性,笔者在本处选择围绕着“明知他人有利用应用程序拦截并 172 篡改 API 调用结果,骗取饿了么首单优惠”的违法犯罪行为,还为其提供程序、 工具这一类型行为进行相关定性分析。通过在“威科先行”数据库中进行检索共 得到与之相关的案件两个,判例三份,判决中载明的各方诉讼主体对该行为的定 性意见如下: 表 9 案件定性意见统计表 案号 辩护人定性意见 检察院定性意见 法院定性意见 提供侵入、非法控制计 (2018) 沪 0105 未载明 破坏计算机信息系统罪 算机信息系统程序、工 刑初 1034 号 具罪 (2019)沪 01 刑 正当防卫,不构成 终 1632 号 犯罪 撤回抗诉 维持原判 提供侵入、非法控 (2019) 苏 0902 提供侵入、非法控制计 制计算机信息系 破坏计算机信息系统罪 刑初 655 号 算机信息系统程序罪 统程序罪 从表 9 可看出,对此种明知他人有利用应用程序拦截并篡改 API 调用结果, 骗取饿了么首单优惠的违法犯罪行为,还为其提供程序、工具的行为,法院倾向 于认定构成提供程序、工具罪,而检察院则倾向于认定构成破坏计算机信息系统 罪,那么,究竟两种不同的定性观点哪一个才是更为合适的观点?还是两种定性 观点在处理此类案件时均存在问题?为对此问题进行明确,并指导未来的司法实 践,笔者拟以裁判文书说理较为充分、各方诉讼主体观点展示较为清晰的“赵硕、 陶强等破坏计算机信息系统案”为例进行深入分析, 1重点对各方诉讼主体针对 涉案行为定性上的争议观点进行讨论。 1 基本案情:赵硕在互联网上建立网站并发布其编写的“XY 修改器”程序,网站上设置了充值、代理页面 在互联网上销售该软件,还通过建立 QQ 群进行推广。该软件在客户端安装后为 Xposed 模块“XY 修改器” , 该模块通过拦截并修改系统 API 的调用结果实现修改 Android 系统中的 IMEI、MSISDN、IMSI、ICCID、MAC 地址、无线网络 SSID、 BSSID、IP 地址等信息的功能。软件购买者在 Xposed 模块“XY 修改器”软件中运 行拉扎斯网络科技(上海)有限公司“饿了么”APP 应用时,该软件可通过拦截并篡改客户端程序与服务器 之间的传输数据,骗过拉扎斯网络科技(上海)有限公司的首单减免审核机制,使服务器端程序根据篡改 的传输数据,将重复使用该软件注册、不符合新用户标准的用户认定为新用户并支付首单优惠补贴,给拉 扎斯网络科技(上海)有限公司造成损失。该案检察院指控构成破坏计算机信息系统罪,辩护人和法院则 173 根据裁判文书可知,辩护人认为起诉指控被告人赵硕构成破坏计算机信息系 统罪,定性不准,理由有三:行为不属于破坏计算机信息系统罪的危害行为;认 定行为对饿了么平台造成破坏的证据不足;XY 修改器不属于破坏性程序。法院 则认为 XY 修改器运行的第一步是模拟生成新手机,第二步是改变饿了么调用方 式。该程序虽具有破坏性,但不属于计算机病毒等破坏性程序。同时,赵硕以及 其下游代理人自己没有对系统和数据进行破坏的主观故意,也没有造成饿了么不 能正常运营的危害后果。因此,仅能将涉案的八名被告人的行为认定构成明知而 提供程序、工具罪。 笔者认为本案中辩护人的辩护理由与法院的裁判理由皆存在错误,这也最终 导致了案件的整体定性错误。辩护人与法院的理解错误在于:其一,将破坏计算 机信息系统罪 1 款、2 款的后果严重全部解释为了造成计算机信息系统不能正常 运行。然而,前文已多次强调非法获取数据罪的成立并不需要造成计算机信息系 统不能正常运行,只要数据的完整性与可用性法益受到的侵害达到后果严重的程 度即可。其二,XY 修改器不是计算机病毒,只意味着不能以破坏计算机信息系 统罪第 3 款进行定性,也不能排除以非法获取数据罪进行定性的可能性。实际 上,本案中行为人的行为应同时构成提供程序、工具罪与破坏计算机信息系统罪 (适用第 2 款,即破坏数据罪),属于想象竞合,应从一重处。 一方面,涉案行为人之行为构成提供程序、工具罪,理由有三:(1)“提 供”必须是为违法犯罪提供帮助、创造条件,此处的提供行为不要求提供者因此 获得了相对应的利益,只要行为人提供的程序或工具在客观上为他人侵入、非法 控制计算机信息系统之违法犯罪行为的实施具有帮助作用即可,并且不要求提供 帮助的行为实际上产生帮助效果。可见,本案中行为人的“有偿销售”行为被认 定为“提供”并无规范障碍。(2)根据裁判文书中提及的鉴定结论看,XY 修改 器具有突破饿了么系统安全防护,改变饿了么手机客户端的数据调用方式,控制 饿了么手机客户端选取错误数据并将错误数据通过网络交互反馈到饿了么系统 服务器的功能。因此,XY 修改器应属于第 285 条第 3 款的专门程序。(3)这里 对饿了么用户客户端的侵入、非法控制,是否可以视为对饿了么系统的侵入、非 法控制?本文认为评判该行为,与评判微信外挂、游戏外挂等相似,XY 修改器 认定为提供侵入、非法控制计算机信息系统程序、工具罪。江苏省盐城市亭湖区人民法院(2018)苏 0902 刑初 655 号刑事判决书。 174 也可被称作外挂程序。既然是外挂程序,如果仅仅是对饿了么客户端的修改,相 关数据不通过数据传输交互于客户端与服务器端的话,因为外挂程序是饿了么客 户端载体之计算机信息系统设备的所有人所下载、安装,即便造成了其计算机信 息系统上的饿了么客户端不能正常运行等危害后果,也不应该被评价为犯罪行为, 这背后的刑法学机理便是被害人同意原则。但是,一旦该行为与饿了么服务器端 经过互联网的联结实时进行数据传输的话,对饿了么客户端的非法调用、篡改, 完全可以视为对整体饿了么计算机信息系统数据的非法获取与修改。实践中之所 以不对使用者追究刑事责任,是由于使用者的刑事可罚性较低,一旦使用者大肆 利用该软件程序对计算机信息系统进行非法控制的话,仍有可能被追究刑事责任。 因此,除去使用者之外,本案的八名被告人均可被认定构成提供程序、工具罪, 因为他们对外提供的 XY 修改器的主要功能便是帮助使用者实施非法获取数据 等违法犯罪行为。 另一方面,涉案行为人的行为还构成破坏计算机信息系统罪(适用第 2 款) 的共同犯罪。确认涉案行为构成提供程序、工具罪后,还需要进一步判断涉案行 为是否构成破坏计算机信息系统罪(适用第 2 款)的共同犯罪。根据《计算机犯 罪解释》第 9 条可知,判断本案中涉案行为是否构成破坏计算机信息系统罪的共 同犯罪的要点共有两个:(1)对 XY 修改器的使用行为能否评价为破坏计算机 信息系统行为?(2)提供 XY 修改器者是否对他人使用该程序实施破坏数据犯 罪行为有“明知”? 其一,对 XY 修改器的使用行为可被评价为破坏计算机信息系统行为。经鉴 定,XY 修改器 4.0.apk 是破坏性程序,该程序可以篡改并拦截系统的 API 调用 结果实现对 Android 系统中 IMEI 等地址的非法修改。具体来说,该程序通过拦 截并篡改包名为“me.ele”的应用中“java.util.HashMap.put()”方法的调用,修改 了包名为“me.ele”的应用使用 HashMap 存储、处理键值为“ro.product.model”、 “ro.build.id” “ro.build.type”、 “ro.build.version.release”、 “ro.build.display.id”、 “hk2”、“vm”、“qemFiles”、 “goldfish”、“isRoot”“dbg”等值时的数 据。可见,XY 修改器的作用与前文提到的 Fiddler 软件有异曲同工之妙,均先通 过非法拦截的手段获取数据,再通过非法修改的手段将真实性受损的数据上传到 计算机信息系统,也即在客户端与服务器端的数据传输通道中进行数据掉包行为。 175 由此,在法教义学上我们可将涉案行为拆解为两个独立行为,一是非法拦截数据 可以视为非法获取计算机信息系统数据行为,一是篡改数据可以视为破坏计算机 信系统数据行为。后一种行为的顺利实施是 XY 修改器的应用目的。因此,XY 修改器使用者的行为可以被评价为破坏型数据犯罪行为。 其二,行为人对他人实施破坏计算机信息系统数据的行为具有明知。从案情 看,行为人向外提供 XY 修改器应用程序的同时,还提供了相关的教学视频,且 对拦截并修改 API 调用结果是 XY 修改器主要甚至唯一功能这一客观事实具有 明知。此种情形下行为人仍选择有偿向外提供,其对他人将利用其提供的 XY 修 改器实施破坏计算机信息系统数据的行为也应具有明知。 总之,是否亲自使用为他人提供的程序、工具并不是成立破坏计算机信息系 统罪成立与否的判断标准,而只是一个参考因素。没有亲自使用相关程序去破坏 计算机信息系统数据,只能证明其不是相关行为的正犯,但不排除以帮助犯入罪 的可能性。这一观点在司法实践中尚没有被司法者准确掌握,如上述案件中法院 排除被告人适用破坏计算机信息系统罪时便提到赵硕以及其下游代理人自己没 有对系统和数据进行破坏的主观故意,也没有造成饿了么不能正常运营的危害后 果。本案中,被告人赵硕及其他被告人确实没有直接利用其提供给他人的程序进 行破坏计算机信息系统数据的主观故意,但是其作为设计研发者必然知晓该程序 属于专门用于破坏计算机信息系统数据的破坏性程序。此时,仍选择将该破坏性 程序提供给他人虽未对“饿了么”系统的正常运行造成影响,但是该破坏性程序 对于“饿了么”系统间存储、传输与处理的数据进行了非法的拦截与篡改,此时, 其行为完全可以被评价为破坏计算机信息系统数据的行为,以破坏数据罪的规定 进行定罪量刑。 通过上述分析,我们可知第 285 条第 3 款中的被帮助行为不包括第 286 条前 两款所规定的破坏系统、数据或者应用程序等违法犯罪行为。因而,如果行为人 明知他人破坏型数据违法犯罪行为时还为其提供程序或者工具,当该程序、工具 不具有帮助他人实施非法进行系统侵入、数据获取与系统控制的功能时,只能成 立破坏数据罪的共同犯罪。而当所提供的程序、工具同时具有具有帮助他人实施 非法进行系统侵入、数据获取与系统控制的功能时,完全可能同时构成提供程序、 工具罪与破坏数据罪的共同犯罪。司法者在进行裁判时一定要注意即便提供程序、 176 工具者自己没有实施破坏型数据犯罪行为时,被排除的只是行为人成立破坏数据 罪正犯的可能性,并不排除以帮助犯入罪的可能性。 第二节 数据犯罪与利用计算机实施其他犯罪的区分适用 第一章明确本文所研究的数据犯罪是以数据为行为对象的犯罪,结合成文法 的规定,我们又在解释论意义上将数据犯罪的含义限缩为“违反国家规定,以计 算机信息系统中存储、处理或者传输的数据为对象实施的非法获取、删除、修改 或者增加的犯罪行为。”参考以往对计算机犯罪对象型、工具型与空间型的分类 模式,数据犯罪也可被大致分为对象型与工具型数据犯罪。此外,数据在具体案 件中可能同时扮演着犯罪对象与犯罪工具两种角色,因而,在对象型数据犯罪与 工具型数据犯罪之间便形成了“对象-工具型”数据犯罪这一种交集犯罪行为类 型。 通常,在纯粹的对象型数据犯罪与纯粹的工具型数据犯罪领域,数据犯罪与 利用计算机实施其他犯罪的区分适用不成问题。对于纯粹的对象型数据犯罪,应 以数据犯罪罪名进行定罪量刑。对于纯粹的工具型数据犯罪,则根据《刑法》第 287 条的规定,1以其他犯罪罪名进行定罪量刑。数据犯罪与利用计算机实施的其 他犯罪存在适用争议的领域主要是“对象-工具型”数据犯罪案件。详言之,由于 数据具有征表多重法益的功能,因此,在具体案件中对同一数据实施的犯罪行为 很有可能不仅对数据安全法益自身造成了侵害,而且还以数据为工具对传统法益 造成了侵害,当这两种法益侵害行为同时满足了刑法分则个罪的不法与有责之要 件时,便会出现最终应以数据犯罪,还是应以其他犯罪定性等适用争议问题。笔 者认为解决这一定性争议问题的关键在于对《刑法》第 287 条含义的明确,对本 条含义的不同理解会导出不同的“对象-工具型”数据犯罪定性结论。 一、关于两类犯罪区分适用规则之第 287 条的解释争议 1997 年《刑法》制定时,立法者共增设第 285、第 286 与第 287 条等三个计 算机犯罪条文,这三个条文也被学者们形象的称为“两点一面”计算机犯罪罪名 1 “利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定 定罪处罚” 177 体系。然而,尽管第 287 条入法较早,但是对其之理解在实务与学理层面均存在 着巨大争议。笔者以“第二百八十七条”为关键词在“威科先行”数据库中对相 关刑事判例进行检索后得到如下关于数据犯罪与利用计算机实施的其他犯罪之 间适用关系立场完全相对的司法判例。 一种判例立场认为即便刑法中存在第 287 条,“对象-工具型”数据犯罪案 件中的涉案行为仍可能被定性为数据犯罪。比如,“计益彬、付云生等盗窃案” 中,法院认为被告人超越权限非法获取电信系统中所存储的速通卡卡号,并且对 电信系统的拦截规则代码进行了非法的删除,这些行为分别符合刑法第 285 条第 2 款与第 286 条第 2 款的规定,已然构成了破坏数据罪与非法获取数据罪。然而, 由于将被告人的行为定性为前述两罪不足以实现罪责刑相适应。因此,法院引用 《刑法》第 287 条的规定将破坏计算机信息系统造成被害单位电信资费损失的行 为认定为盗窃罪。 1对法院的裁判逻辑可作如下解构:法院明显已经认可了非法 获取电信系统数据与删除电信系统规则代码的行为构成相关的数据犯罪,只是由 于第 287 条的存在,在涉案行为也构成其他犯罪的情形下,可以选择更能体现罪 责刑相适应的罪名予以定性。此种裁判思路值得肯定,然而,本文认为法院在说 理时完全可以在罪责刑相适应这一理由外再加上牵连犯原理,这样能够更清晰的 说明本案以盗窃罪定性并非是因为第 287 条的存在排除了数据犯罪的适用可能 性,而是为实现罪责刑相适应,依据牵连犯原理进行从一重处。在“林某甲犯非 法获取计算机信息系统数据等罪案”中法院便明确采取了此种说理思路,法院认 定被告人利用 QQ 向他人的手机等发送木马病毒,并拦截银行手机认证码的方 式,对被害人在银行预留的手机号码进行更改,再将被害人银行卡绑定财付通、 支付宝等第三方支付平台,继而盗刷银行卡内存款,显然已经侵害到了计算机信 息系统的安全。但本案但本案各被告人犯罪目的是为了非法占有被害人银行卡内 存款,而非获取被害人的身份认证信息等数据后进行兜售数据牟利,被告人利用 木马病毒截获手机认证码只是实施盗窃行为的手段;另外从犯罪客体看,本案侵 害的主要客体是被害人的财产权,而非被害人手机系统(即计算机信息系统)。 根据刑法第二百八十七条“利用计算机实施有关犯罪的规定”,本案应以盗窃罪 定罪处罚。 2 1 2 参见江苏省苏州市姑苏区人民法院(2020)苏 0508 刑初 346 号刑事判决书。 参见浙江省苍南县人民法院(2015)温苍刑初字第 1628 号刑事判决书。 178 另一种判例立场认为由于刑法中存在第 287 条,“对象-工具型”数据犯罪 案件中的涉案行为只能以其他犯罪罪名予以定性。在“马俊、杨洋、周家坪等诈 骗案”中,法院认定“尽管本案被告人马俊等人通过侵入境外赌博网站后系统修 改下注数据的方式进行牟利的行为,符合破坏计算机信息系统罪的行为特征,但 本案即属于利用计算机实施的诈骗犯罪,根据第 287 条的规定依法应当依照诈骗 罪定罪处罚。” 1对本案法院的裁判逻辑可以作如下解构:即便涉案被告人之行 为已经构成了破坏计算机信息系统罪等罪名,但是由于《刑法》中第 287 条的存 在导致本案中这种“利用计算机实施的诈骗犯罪”,依法应当适用诈骗罪进行处 罚,包括数据犯罪在内的计算机犯罪则不再存在被适用的可能性。 此外,笔者还发现对于如何理解《刑法》第 287 条,同一案件的一二审法官 理解也不尽相同。在“庄剑文、林平破坏计算机信息系统案”中,被告人合谋利 用 sqlmap 软件修改该网站上注册的个人账号内的账户余额,然后通过提现的方 式进行获利。本案一审法官采纳了检察官的意见,认定被告人构成破坏计算机信 息系统罪与诈骗罪,属于牵连关系,应从一重处,定性为破坏计算机信息系统罪。 二审法官则采纳了辩护律师的意见,认为根据第 287 条的规定,对于“利用计算 机”实施的相关犯罪,应通过对犯罪主观目的和侵犯的客体进行分析判断,认为 为其他罪名。因此,应以诈骗罪对之进行定罪处罚。 2 由于长期以来法官们在制作刑事裁判文书时习惯于不作过多说理,因此,我 们如果只观察刑事司法判例基本无法得知法官们作出相关司法裁判的法理依据。 这一客观现实促使我们将研究视线转而投置到学理层面,通过归纳与分析学者们 对刑法中第 287 条的解释争议,借以明确学者们与司法者们对第 287 条存在解释 争议的本质原因。据笔者观察,目前学界对第 287 条的解释争议主要可分为法律 拟制说与注意规定说两大类,在注意规定说内部还存在着其他犯罪定罪论与根据 罪数理论定罪论等两种相互对立的观点。 1 2 浙江省杭州市西湖区人民法院(2019)浙 0106 刑初 660 号刑事判决书。 参见浙江省温州市中级人民法院(2017)浙 03 刑终 1695 号刑事判决书。 179 图 11 第 287 条学理解释争议示意图 法律拟制说 第 287 条的学 理解释 其他犯罪定罪论 争议 注意规定说 具体问题具体分析 其一,法律拟制说。李振林副教授等持本说,即认为“应将该条理解为将数 罪拟制为一罪类型的法律拟制规定”, 1而不是注意性规定。根据该种学说解释 第 287 条得出的必然结论是,在“对象-工具型”数据犯罪中,即使行为同时符 合了数据犯罪的构成要件,以及其他犯罪的构成要件也应该排除数据犯罪的适用, 而仅以其他罪名进行定罪量刑。 其二,注意规定说。张明楷教授、陈兴良教授、孙国祥教授等持本说,认为 《刑法》第 287 条的设置目的在于提醒司法者,不要在具体个案中看到计算机网 络因素的存在便将相关行为直接认定构成包括数据犯罪在内的计算机犯罪。 2注 意规定说内部还可以分为两种相互对立的观点:(1)张明楷教授尽管主张第 287 条为注意性规定,但是其认为只要是以计算机为工具的犯罪行为,即便涉案行为 同时触犯了计算机犯罪与其他犯罪罪名,还是应该认定构成其他犯罪罪名,排除 包括数据犯罪在内的计算机犯罪罪名的适用。只要是以计算机为工具的犯罪行为, 即使同时触犯了计算机犯罪罪名与其他犯罪罪名,还是应该只以其他犯罪定性, 排除包括数据犯罪在内的计算机犯罪罪名之适用。3(2)俞小海博士等认为在前 1 李振林: 《刑法中法律拟制论》,华东政法大学 2013 年博士学位论文,第 138 页;相似观点还可参见项谷、 朱能立: 《利用计算机技术窃取虚拟财产如何定性》 ,载《检察日报》2018 年 9 月 2 日第 003 版。 2 参见陈兴良: 《互联网账号恶意注册黑色产业的刑法思考》 ,载《清华法学》2019 年第 6 期。相似观点还 可参见张明楷: 《非法使用信用卡在 ATM 机取款的行为构成盗窃罪—再与刘明祥教授商榷》 ,载《清华法学》 2009 年第 1 期;杨赞、马健: 《破坏计算机信息系统案件法律适用研讨》 ,载《人民检察》2015 年第 8 期; 吴江: 《刑法分则中注意性规定与法律拟制的区分》 ,载《中国刑事法杂志》2012 年第 11 期。 3 参见张明楷: 《非法获取虚拟财产的行为性质》 ,载《法学》2015 年第 3 期。 180 述情形下,应该根据罪数理论进行具体分析,而不能够统一按照其他犯罪罪名对 行为进行定性。 1 由上可知,在司法实践操作中,如果持法律拟制说,则会认为只要是以数据 为工具实施的其他犯罪行为均应以目的行为作为定性标准,即以其他犯罪罪名定 性。如果持注意性规定说,则存在两种不同的理解,一种是与法律拟制说相同, 认为只能以其他犯罪罪名定性,一种则与之相反,认为是否可适用数据犯罪罪名, 需要看相应行为是否符合了数据犯罪的犯罪构成,一旦符合数据犯罪罪名的构成 要件,则存在数据犯罪罪名的适用空间。整体来看,本文认为《刑法》第 287 条 应属于注意性规定,而不是法律拟制,该条文存在的目的是提醒司法者在遇到以 计算机实施金融诈骗、盗窃等犯罪行为时,要注意分析相关的犯罪行为是否符合 有关罪名的犯罪构成,符合哪个罪名的犯罪构成就以哪个犯罪罪名定性,同时符 合多个罪名的犯罪构成则根据罪数理论进行解决。 二、对《刑法》第 287 条“法律拟制说”的否定 对于前述各类观点,笔者首先予以否定的是《刑法》第 287 条的“法律拟制 说”,理由如下: 其一,将第 287 条定性为法律拟制条款,不符合本条款的文义。通过对 1997 年《刑法》进行考察可知,“依照……定罪处罚”是立法者常用的立法表述,其 中,刑法分则中共有四种具体的使用类型(见表 10)。 表 10 刑法分则“依照……定罪处罚”具体类型统计表 具体表述 对应法条 依照处罚较重的规定定罪处罚 第 120 条之二、第 142 条之一、第 149 条第 2 款、 第 229 条、第 236 条、第 260 条之一、第 280 条之 一、第 286 条之一、第 287 条之一、第 287 条之二、 第 291 条之二、第 329 条、第 338 条、第 342 条、 第 399 条。 1 参见俞小海: 《破坏计算机信息系统罪之司法实践分析与规范含义重构》 ,载《交大法学》2015 年第 3 期。 相似观点还可参见陆旭、郑丽莉:《以数据为媒介侵犯传统法益行为的刑法规制》,载《中国检察官》2020 年第 12 期。 181 依照 XX 条的规定定罪处罚 第 149 条、第 154 条、第 163 条、第 183 条、第 184 条、第 185 条、第 196 条、第 204 条、第 208 条、 第 210 条、第 234 条之一、第 238 条、第 241 条、 第 242 条、第 259 条、第 265 条、第 267 条、第 269 条、第 271 条、第 272 条、第 289 条、第 292 条、 第 308 条之一、第 333 条、第 339 条、第 355 条、 第 361 条、第 362 条、第 393 条、第 394 条、 依照本法有关规定定罪处罚 第 287 条 依照前款的规定定罪处罚 第 388 条之一 从立法者对“依照……定罪处罚”的具体表述看,“依照处罚较重的规定定 罪处罚”“依照 XX 条的规定定罪处罚”“依照前款的规定定罪处罚”等三种使 用类型具有明确的指向性,具体案件中存在行为符合上述各对应条款的规定时, 要么比较轻重罪后以重罪处罚,要么直接依据处罚较重的规定进行定罪处罚。然 而,与其他 46 处具有明确指向的“依照……定罪处罚”的立法例不同,立法者 在设置第 287 条时并没有明确“依照”的具体指向。第 287 条的立法罪状已经明 确利用计算机实施其他犯罪的,只是“依照本法有关规定定罪处罚”,而不是“依 照计算机犯罪以外的有关规定定罪处罚”,更不是“依照其他犯罪定罪处罚”。 因而,从“依照本法有关规定定罪处罚”这一规定本身我们根本无法推出“一概 以目的犯罪定罪处罚”之结论。既然如此,对第 287 条的正确理解应该是:行为 人利用计算机实施其他犯罪时,若犯罪行为同时符合其他犯罪的不法与有责要素 便应认定构成其他犯罪,不能在具体案件中看到计算机因素的存在便直接认定构 成包括数据犯罪在内的计算机犯罪。同时,如果在利用计算机实施犯罪的同时, 对计算机相关法益本身造成了侵害,也并不排除行为构成包括数据犯罪在内的计 算机犯罪的可能性。因而,“依照本法有关规定定罪处罚”只是为了告诫司法者 不要忽略对案件本质的考察,注意透过计算机技术的表现深入考察法益侵害的实 质,造成何种法益侵害便应定何种罪名,并没有要排除评价行为人使用计算机实 施犯罪时对计算机本身所造成之法益侵害的评价。 182 其二,将第 287 条定性为法律拟制条款,不符合法律拟制基本原理。根据法 理可知,法律机制的基本原理是将不同者等同视之。然而,立法者明显没有通过 设置《刑法》第 287 条来实现用其他犯罪罪名处理计算机犯罪行为的意图,立法 目的只是提醒司法者在司法审判时注意遵循实行行为“符合何罪的犯罪构成,便 考虑以何罪定性”这一基本定罪规则,符合一罪构成则以一罪论处,符合数罪构 成,则依据罪数理论进行具体分析。 其三,将第 287 条定性为法律拟制条款可能会造成轻纵重罪问题。法律拟制 说者认为将第 287 条解释为法律拟制条款可实现犯罪的一般预防及司法统一与 便捷。 1笔者认为此观点同样值得商榷。以增加、删除或者修改计算机信息系统 数据的方式非法获取公民个人信息的行为为例,当涉案行为同时符合各罪的定量 要求时,涉案行为可能会被同时认定构成破坏计算机信息系统罪、非法获取数据 罪、侵犯公民个人信息罪。其中,破坏计算机信息系统罪对应的是增加、删除或 者修改计算机信息系统数据这一手段行为,非法获取数据罪与侵犯公民个人信息 罪对应的则是非法获取公民个人信息这一目的行为。如此,即便由于非法获取数 据罪与侵犯公民个人信息罪的法定刑相同,无法采用“先比后定法”确定何者为 重刑,但由于两者的法定最高刑均为“三年以上七年以下有期徒刑,并处罚金”, 而破坏计算机信息系统罪的法定最高刑为“五年以上有期徒刑。”依照牵连犯的 基本原理,最终定性时应对手段行为所构成的犯罪与目的行为所构成的犯罪进行 轻重比较,并从一重处。可见,在本案例中属于重罪的明显是手段行为所构成的 破坏计算机信息系统罪,而不是目的行为所构成的非法获取数据罪或者侵犯公民 个人信息罪。因此,对本案中的被告人最终应以破坏计算机信息系统罪进行定罪 处罚。然而,根据法律拟制说者的观点,对本案则只能依照目的行为所构成的犯 罪进行定罪处罚,且排除破坏计算机信息系统罪、非法获取数据罪等计算机犯罪 的适用可能性,最终只能认定本案中的被告人构成属于轻罪的侵犯公民个人信息 罪。不难发现,一概排除包括数据犯罪在内的计算机犯罪的适用可能性并不能实 现法律拟制论者所主张的利于一般预防的目标。因为笔者所举的案例中“社会危 害性更大”的犯罪并不是目的行为所构成的犯罪,而是为发挥计算机网络的犯罪 工具功能而以计算机网络为犯罪对象实施的手段行为所构成的犯罪。 1 参见李振林: 《刑法中法律拟制论》 ,华东政法大学 2013 年博士学位论文,第 138 页。 183 其四,将第 287 条定性为法律拟制条款,会影响到刑罚惩罚与预防双重功能 的实现。法律拟制论者认为将第 287 条理解为法律拟制条款利于实现一般预防。 对此,笔者仍表示否定。在刑法教义学中,强调对犯罪人进行惩罚以防止其本人 再次实施犯罪的理念被称为特别预防理念,强调通过对犯罪人进行惩罚以威慑犯 罪人以外的其他人使他们不去实施犯罪的理念被称为消极一般预防理念,“根据 法律通过刑罚的预告或者裁判的宣告,以表明‘犯罪不是好事’,进而维持或者 强化热门的自律的规范意识,此一意义上的一般预防论重视的是‘规范的预防’ 或者积极的一般预防。” 1无论是刑法特别预防,还是一般预防功能的实现都需 要同时做到:刑罚必然、刑罚及时、刑罚公开、刑罚适当。2笔者认为将《刑法》 第 287 条理解为法律拟制条款或许对刑罚及时与刑罚公开的影响不大,但是却深 刻影响着刑罚必然与刑罚适当要求的实现。仍以增加、删除或者修改计算机信息 系统数据的方式非法获取公民个人信息的行为为例,根据法律拟制说者的观点, 对本案则只能依照目的行为所构成的犯罪进行定罪处罚,且排除破坏计算机信息 系统罪、非法获取数据罪等计算机犯罪的适用可能性,最终只能认定本案中的被 告人构成属于轻罪的侵犯公民个人信息罪。此种情形即表明法律拟制说会造成轻 纵重罪的不良后果,使刑罚适当的要求落空。同时,由于对属于重罪的手段犯罪 而言,法律拟制说主张一概不予以评价,这又很可能会刺激潜在的犯罪人不断更 新其计算机犯罪手段,并逐渐将计算机作为实施犯罪的主要甚至唯一的犯罪工具。 因为在法律拟制说的立场下,只要行为人实施的行为是“利用计算机实施其他犯 罪”则应统一按照目的行为所构成的犯罪进行惩罚。然而,在司法裁判中直接忽 略对一项具有严重法益侵害性行为的规范评价必将使刑罚必然的要求落空。 此外,根据法律拟制论的观点,无论行为人实施的行为是否对计算机犯罪保 护法益造成侵害,只要在具体的犯罪活动中行为人是将计算机网络作为犯罪工具 使用的便应该排除计算机犯罪成立的可能性。笔者认为此种理解不仅不利于惩治 计算机犯罪行为,进而造成刑罚惩罚犯罪功能落空,而且还会由于无法对值得刑 罚处罚的法益侵害行为施加刑罚在一定程度上造成防止犯罪人实施再犯罪可能 性的特别预防功能落空,甚至由于无论计算机犯罪保护法益是否同时受到侵害, 1 [日]松宫孝明著: 《刑法总论讲义》 (第 4 版补正版) ,钱叶六译、王昭武审校,中国人民大学出版社 2013 年版,第 5 页。 2 参见陈兴良: 《一般预防论》 ,载《中南政法学院学报》1993 年第 2 期。 184 行为人只要以计算机网络为工具实施其他犯罪时便会排除计算机犯罪成立的可 能性,潜在犯罪人会纷纷选择效仿前人更新犯罪手段以尽可能的使计算机网络作 为犯罪工具造成刑罚一般预防功能落空。可见,将《刑法》第 287 条解释为法律 拟制条款将造成刑罚惩罚与预防犯罪双重功能的落空,同时,还可能会起到法律 拟制说者也不会乐意看到的刺激犯罪的负面效果。 综上而言,由于将《刑法》第 287 条解释为法律拟制条款会造成对法条文义 与法律拟制基本原理的突破,会不当轻纵手段行为所构成的重罪,以及影响惩罚 与预防双重功能的实现,笔者认为应否定将《刑法》第 287 条视为法律拟制条款 的观点。 三、《刑法》第 287 条“注意规定说”的类型分析 如前文所述,《刑法》第 287 条“注意规定说”内部还存在着两种相互对立 的观点: 其一,主张具体案件中只要计算机网络是被作为犯罪工具使用的,则应一律 排除对行为人适用计算机犯罪罪名进行定罪处罚的可能性。此种观点与前述法律 拟制说者的观点存在相同的问题,即均不符合《刑法》第 287 条的法条文义,可 能会不当的轻纵重罪手段行为,以及影响刑罚惩罚与预防功能的实现。因此, “注 意规定说”中的“其他犯罪定罪论”被本文否定。 其二,主张依据罪数理论进行具体问题具体分析的观点。笔者认为本种理解 最为适宜。1997 年《刑法》修订时,立法者之所以会专门增设《刑法》第 287 条 是因为想要使它成为计算机犯罪的堵截性条款,目的是提醒所有的司法者不要因 具体案件中行为人实施犯罪行为时计算机网络扮演了犯罪工具的角色便将整体 案件认定构成计算机犯罪,而是应该突破计算机网络这一技术性犯罪手段的表象, 深入到法益侵害层面去判断什么是犯罪行为、侵犯了什么刑法法益、造成了什么 犯罪结果、符合什么犯罪构成,进而再予以正确的定罪处罚。同时,基于本种思 路理解《刑法》的 287 条还可以很好地规避将之视为法律拟制条款或者说注意性 规定中“其他犯罪定罪论”所可能带来的不符合条文文义、轻纵重罪与使刑罚目 的落空等问题。当然,将《刑法》第 287 条解释为注意性规定条款会使计算机犯 罪与利用计算机实施的其他犯罪之间经常出现数罪并罚、想象竞合与牵连犯等不 185 同的罪数理论问题,使司法者在进行司法审判时往往需要耗费大量的时间厘清各 罪之间的关系,一定程度上增加司法者的办案工作量,但是我们不能为了追求司 法便捷而不顾理论协调性强行将《刑法》第 287 条解释为法律拟制条款,或者说 将《刑法》第 287 条解释为注意性规定后又认为应一律以其他犯罪进行定罪处罚。 类型化的思考方法是法律发现以及定罪过程中的一个思维工具, 1“对司法 实践中已经显现的一些行为形态予以理论整理和归纳,不仅可以令我们对相关行 为的刑法意义有更深入的理解,也将有助于提炼出相关行为定性的清晰路径。” 2 “利用计算机实施的其他犯罪”大致可被分为如下几种类型,不同的类型最终 的定性也略有不同: (1)在同一个犯罪目的支配下先后实施了手段行为与目的行为,手段行为 是对计算机的利用,目的行为是实施的其他犯罪行为。对此犯罪类型还可进行如 下三分:其一,行为人单纯以计算机为工具,没有侵犯到计算机犯罪所保护的法 益,仅仅是利用计算机实施了侵犯其他犯罪所保护法益的行为,直接依据目的行 为所构成的犯罪进行定性即可。例如,行为人利用计算机针对尚未年满 14 周岁 的儿童实施远距离、非接触性的猥亵行为,此时,计算机仅仅是行为人实施隔空 猥亵行为的犯罪工具,计算机犯罪所保护的法益并没有受到侵犯,因此,具体定 性时只需要考虑隔空猥亵行为构成何种“其他犯罪”即可。 3 其二,行为人利用计算机实施有关犯罪时,对计算机犯罪保护法益造成一定 侵害但不构成犯罪,直接依照目的行为的“其他犯罪”进行定罪即可,但裁判时 应将计算机犯罪保护法益的受损情况作为量刑情节予以考虑。比如,甲欲盗窃乙 的钱财,遂趁乙熟睡,采用暴力破解的方式解锁手机并转移手机中微信等 APP 所 绑定银行卡中的人民币两万元,随后又将手机放回原处。此种情形下,由于破坏 计算机信息系统罪的“违法所得须是由删除、修改或者增加计算机信息系统数据 本身所产生的,不能是将他人财产转为自己所有而产生的”,4因此,行为人虽通 过暴力破解他人手机的方式转移了他人两万元人民币,但这两万元人民币并不能 评价为破坏计算机信息系统行为的违法所得。从而,破坏数据罪不能成立。然而, 1 2 3 4 参见陈兴良著: 《教义刑法学》,中国人民大学出版社 2017 年版,第 21-24 页。 马永强: 《正向刷单炒信行为的刑法定性与行刑衔接》 ,载《法律适用》2020 年第 24 期。 参见袁野: 《网络隔空威胁儿童行为的刑法定性》 ,载《青少年犯罪问题》2019 年第 4 期。 俞小海: 《破坏计算机信息系统罪之司法实践分析与规范含义重构》 ,载《交大法学》2015 年第 3 期。 186 根据盗窃罪的规定,犯罪数额 2 万元明显已经构成了“数额较大”的要求,此时 只须以目的行为所构成的犯罪“盗窃罪”一罪进行定罪处罚即可。 其三,行为人以计算机为工具实施其他犯罪,但计算机犯罪保护法益也受到 了侵害,且手段行为与目的行为均构成犯罪。此种情形下,如果依照前述法律拟 制说与注意规定说所提出的其他犯罪定罪论,则仍只能以目的行为作为定性的依 据,而对手段行为所构成的犯罪则不需予以评价。然而,正如本文所言,其他犯 罪定罪论存在着造成罪刑不均,轻纵重罪,影响刑罚惩罚与预防双重功能实现等 难以克服的问题,应从教义学层面上予以明确否定。据此,对于此种犯罪类型, 笔者建议应依据牵连犯的理论予以处置,即当同时构成计算机犯罪与其他犯罪时 应对被告人进行从一重处。当然,笔者也深知目前在教义学层面上对于应否保留 牵连犯这一理论概念还存在着不少的争议,并且在如何判断牵连关系上也还存在 诸多争议, 1但是从目前来看牵连犯仍是深刻影响着我国学理与实践的罪数形态 之一。 其实,“两高”虽然没有明确针对本种类型的“利用计算机实施其他犯罪” 应如何定性之问题作出明确的解释,但从一些与之相关的司法解释以及指导性案 例来看,“两高”的观点实际上与本文相一致,《关于审理危害军事通信刑事案 件具体应用法律若干问题的解释》第 6 条第 3 款规定便是贯彻了笔者提出的依照 牵连犯原理进行从一重处罚的观点。 2此外,最高检发布的检例 35 号“曾玉亮、 王玉生破坏计算机信息系统案”也持本种观点,该案中被告人利用社交软件冒充 异性与他人聊天,假称本人忘记苹果设备密码,让对方帮忙解锁,当对方在个人 设备上登录其苹果设备账号密码时,被告人再利用新的账号密码登录苹果官网并 利用苹果公司提供的有关功能锁定对方的苹果设备。随后,被告人再利用社交软 件与对方取得联系,并索要钱财。此种行为法院最终的认定是手段行为构成破坏 计算机信息系统罪,目的行为构成敲诈勒索罪,手段行为与目的行为之间存在牵 连关系应从一重罪处断。 (2)具体案件中行为人在一个犯罪目的支配下实施了一个行为,但该行为 同时对包括数据安全法益在内的计算机犯罪保护的法益与其他犯罪罪名保护的 1 参见高铭暄、叶良芳: 《再论牵连犯》 ,载《现代法学》2005 年第 2 期。 具体内容为“违反国家规定,侵入国防建设、尖端科学技术领域的军事通信计算机信息系统,尚未对军事 通信造成破坏的,依照刑法第 285 条的规定定罪处罚;对军事通信造成破坏,同时构成刑法第 285 条、第 286 条、第 369 条一款规定犯罪的,依照较重的规定定罪处罚。 ” 187 2 法益造成侵犯,同时构成两个犯罪,此时,应根据想象竞合或法条竞合的理论进 行具体处理。 (3)具体案件中行为人虽是利用计算机实施的其他犯罪,但其他犯罪与计 算机犯罪并不是在一个犯罪目的支配下实施的,而是先实施了计算机犯罪行为后 另起犯意实施的其他犯罪行为,此时,应该对计算机犯罪与其他犯罪进行数罪并 罚,而非依照牵连犯原理进行从一重处。在处理本种类型的利用计算机实施的其 他犯罪案件时,还需要注意在具体案件中判断行为人究竟是另起犯意,还是犯罪 转化。 1 将《刑法》第 287 条解释为注意性规定,且认可在具体个案中存在同时适用 计算机犯罪与其他犯罪的可能性以后,数据犯罪作为计算机犯罪的一种类型,与 其他犯罪的关系自然也变得复杂起来。这种数据犯罪与其他犯罪区分适用的复杂 性在笔者前所所作的司法判例检索中得到充分展示。在 120 份涉及非法获取数据 罪的司法裁判中,出现非法获取数据罪与其他犯罪之间定性争议的裁判文书共 38 份,占全部案件的 31%。其中,与计算机犯罪以外的其他犯罪发生的适用争 议分别是与盗窃罪争议 10 次、与诈骗罪争议 2 次、与侵犯公民个人信息罪争议 11 次、与买卖国家机关公文罪争议 2 次、与妨害信用卡管理罪争议 1 次、与非 法提供信用卡信息罪争议 1 次、与职务侵占罪争议 2 次。在 49 份最终以破坏数 据罪定性的案件中,出现定性争议的案件共 22 个,占全部案件的 44%。除去主 张无罪的案例外,与计算机犯罪以外的其他犯罪发生的适用争议分别是与伪造、 变造国家机关公文罪争议 3 次、与诈骗罪、盗窃罪各争议 2 次、与污染环境罪、 伪造国家机关证件罪、非法经营罪各争议 1 次。除去本文所作检索外,我们还可 以从对国内实务与学界讨论较为激烈的若干典型案件为对象研究得出数据犯罪 与利用计算机实施的其他犯罪区分适用争议巨大的问题。以“利用爬虫加粉打劫 个人信息牟利案”为例, 2对本案中被告人的定性共三种争议:第一种意见认为 构成非法获取数据罪;第二种认为构成非法获取数据罪与侵犯公民个人信息罪, 应数罪并罚;第三种认为构成侵犯公民个人信息罪与非法获取数据罪的牵连犯, 应从一重处。总之,将《刑法》第 287 条解释为注意性规定的同时,还认为具体 1 参见刘勇龙: 《如何区分刑案中的另起犯意和犯意转化》 ,载《西部法制报》2011 年 9 月 22 日第 004 版。 具体案情为:本案中被告人通过签署广告精准投放协议,部署 SD 程序,从运营服务商抓取、采集网络用 户的登录 COOKIE 数据。护具被存储于瑞智华胜公司 redis 数据库中,利用研发的爬虫软件、加分软件远程 访问 redis 数据库中的数据,非法登录用户网络账号,实施枪支加分、爬取公民个人信息等。 188 2 个案中应一律排除包括数据犯罪在内的计算机犯罪罪名被适用可能性的观点不 具有理论上的妥适性,也没有获得各级司法机关的认可。 此外,笔者还关注到为了解决数据犯罪与利用计算机实施的其他犯罪在具体 个案中的适用纠葛问题。杨志琼博士作出了别样的努力,没有选择以《刑法》第 287 条为突破口,而是选择法益作为工具对具体问题进行展析,其认为对象型数 据犯罪与工具型数据犯罪所侵犯的法益不同,因此,两者属于非此即彼的关系, 同一个行为要么构成对象型数据犯罪,要么构成工具型数据犯罪,“不存在一个 非法获取行为同时符合数个罪名的法条竞合或想象竞合之情形。” 1笔者认为此 论证的结论只有一半的正确性,如果说在一个主观故意的支配下行为人仅仅实施 了一个实行行为侵犯了一个法益,那么,的确应该如同杨志琼博士所言,对侵犯 数据安全法益的行为以数据犯罪论处,对侵犯其他法益的行为以其他犯罪论处。 然而,由于数据征表的法益具有多样性,其本身是一项值得刑法予以保护的法益, 同时数据本身还承载着需要法律予以保护的其他法益。 2以计算机信息系统数据 为工具实施其他犯罪很可能同时侵犯数据安全法益与其他刑法法益,在此情况下 如果还是依照所谓的“要么,要么”式的方法在数据犯罪与利用计算机实施的其 他犯罪间进行择一的适用必然不符合最基本的刑法定罪理论。此时,正确的做法 是根据传统的刑法罪数理论,判断具体案件中支配行为人实施犯罪行为的故意个 数,实行行为的个数以及相互之间的关系等内容以最终确认应根据数罪并罚、想 象竞合或者牵连犯等罪数理论进行处理。总之,试图运用数据犯罪与利用计算机 实施的其他犯罪是非此即彼关系理论来提升司法便捷性,减少刑事司法罪数问题 的做法是不合理性。 四、适用规则的类案贯彻:以非法获取个人数据行为为例 在深入分析非法获取个人数据行为的认定之前,我们可先指出如下三项不存 在争议的结论:其一,如果非法获取的数据是非识别的个人数据,则不会构成侵 犯公民个人信息罪,只会构成非法获取数据罪。其二,如果非法获取可识别的个 1 杨志琼: 《非法获取计算机信息系统数据罪‘口袋化’的实证分析及其处理路径》 ,载《法学评论(双月 刊) 》2018 年第 6 期。 2 参见[德]埃里克·希尔根多夫著: 《德国刑法学:从传统到现代》 ,江溯、黄笑岩译,北京大学出版社 2015 年版,第 382 页。 189 人衍生数据,但是获取的手段不是“非法侵入或其他技术手段+获取”,则不成 立非法获取数据罪,只会构成侵犯公民个人信息罪。其三,如果采用非法侵入系 统或其他技术手段获取可识别的个人数据时,违反的不是全国人民代表大会及其 常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布 的决定和命令,而是其他具有全国适用效力的部门规章等规范性文件,只可能构 成侵犯公民个人信息罪,而不可能构成非法获取数据罪。存疑的是,如果行为人 违反国家规定,采用侵入或者其他技术手段获取他人具有可识别性的个人数据时 我们应该如何处理? 目前,学界目前对此主要存在如下几种理解:其一,想象竞合说,持本说的 有陈兴良教授、欧阳本祺教授等;1其二,法条竞合说。本说又可分为刘艳红教授 主张的“特别法条定罪论”与林维教授主张的“重罪法条定罪论”。前者认为第 263 条之一与第 285 条之二是特别法与普通法间的关系,因此,当两者竞合时应 适用特别法。 2后者认为由于非法获取数据罪与侵犯公民个人信息罪之间是交叉 型法条竞合关系,因此,具体个案处置时仍应当遵循从一重罪处罚的规则。 3其 三,罪名互斥关系说,包括前文提到的杨志琼博士所认为的,侵犯公民个人信息 罪与非法获取数据罪之间由于保护法益不同,两者为相互排斥的关系,因此,不 存在想象竞合或者法条竞合等罪数问题。 对于这里的“罪名互斥关系说”,本文已经表达了反对意见,即认为两类犯 罪之间绝对不是简单的互斥关系。此处笔者便不再对之予以赘述,仅将讨论的重 点确定为:非法获取数据罪与侵犯公民个人信息罪之间究竟是什么关系?是法条 竞合,还是想象竞合?等两个问题上。刑法学界关于法条竞合与想象竞合区分问 题的争议颇多,该问题也是目前刑法罪数理论中最为复杂的问题之一。 4为明确 法条竞合与想象竞合之间的关系,本文将关于法条竞合与想象竞合的问题划分为 如下两个小问题进行讨论:其一,想象竞合与法条竞合的区分是否具有必要性? 其二,想象竞合与法条竞合之间应该如何区分?对于这两个问题的回答将直接影 响到非法获取数据罪与侵犯公民个人信息罪之间竞合问题的处理。 1 参见陈兴良: 《互联网账号恶意注册黑色产业的刑法思考》 ,载《清华法学》2019 年第 6 期;欧阳本祺、 曹莉: 《非法获取他人 APP 数据的刑法定性》 ,载《人民检察》2018 年第 7 期。 2 参见刘艳红: 《网络爬虫行为的刑事规制研究—以侵犯公民个人信息犯罪为视角》 ,载《政治与法律》 2019 年第 11 期。 3 参见林维: 《数据爬取行为的刑事司法认定》 ,载《人民检察》2019 年第 18 期。 4 参见陈兴良: 《刑法竞合论》 ,载《法商研究》2006 年第 2 期。 190 对第一个问题,根据陈洪兵教授提倡的大竞合论,我们在刑法教义学上没有 必要对两者进行区分,具体处理案件时无论是何种类型的竞合只需要进行从一重 处即可。 1这一观点看似简单,但并不科学。想象竞合与法条竞合之间具有明显 的区别,比如,法条竞合的类型多样,不仅包括特殊法与一般法的竞合,而且包 括重法与轻法的竞合,如果根据陈洪兵教授的观点,在特殊法与一般法竞合的场 景也需要适用重法,而不能适用特别法,此时立法者设置特殊法的意义将不复存 在。 2据此,本文认为在刑法教义学上想象竞合与法条竞合的区分不仅必要,而 且具有实践价值。 对第二个问题,笔者认为应从形式与实质两个方面展开对法条竞合与想象竞 合的区分。其中,形式标准是指脱离具体个案的案情观察相关法条之间是不是具 有交叉或包容关系,“如果不符合这一标准就必须将其排除在法条竞合之外。但 是,符合这一形式标准的也不必然是法条竞合,而是需要在此基础上进行实质判 断。”3而实质标准则是法益同一性,就“法益数应成为决定法条竞合是否存在的 依据,而法条竞合以一行为或数行为侵害单一法益为必要。” 4通过分析非法获 取数据罪与侵犯公民个人信息罪可知,两罪在行为手段、犯罪对象等方面确实存 在着交叉关系,但是两者所保护的法益内容并不相同。前文笔者提到,刑法学界 对非法获取数据罪的法益理解较为混杂,既包括单一法益与复数法益之争,又存 在具体法益与抽象法益之争,还有传统法益与新型法益之争,但相对确定的是该 罪所保护的法益为超个人法益之集体法益,而非个人法益。在对上述各种争论进 行了系统梳理与评析后,笔者得出非法获取数据罪所保护的法益为集体法益、单 一法益、具体法益的数据保密性这一结论。无独有偶,学界对侵犯公民个人信息 罪的法益问题也存在着诸多争议。 5本文认为无论侵犯公民个人信息罪保护的法 益具体内容是什么,其与非法获取数据罪所保护的法益均不符合法益的同一性这 一实质标准。因此,两罪不可能符合法条竞合实质判断的法益同一性标准,应排 除两罪间成立法条竞合的可能性。 1 参见陈洪兵: 《不必严格区分法条竞合与想象竞合—大竞合论之提倡》 ,载《清华法学》2012 年第 1 期。 参见李紫阳: 《伪造签章转移股权行为的类型认定—驳行为无罪论与单一罪名论》 ,载《青少年犯罪问题》 2020 年第 6 期。 3 张明楷: 《法条竞合与想象竞合的区分》 ,载《法学研究》2016 年第 1 期。 4 许玉秀著: 《当代刑法思潮》 ,中国民主法制出版社 2005 年版,第 775-776 页。相似的观点还可以参见马 克昌著: 《比较刑法原理》 ,武汉大学出版社 2002 年版,第 790 页等。 5 刘艳红: 《侵犯公民个人信息罪法益:个人法益及新型权利之确证—以<个人信息保护法(草案)>为视角 之分析》 ,载《中国刑事法杂志》2019 年第 5 期。 191 2 确认非法获取数据罪与侵犯公民个人信息罪为想象竞合关系后,我们还面临 着另一个须解决的难题:两罪的法定刑幅度完全相同,通常使用的先比后定法无 法使用,此时,我们应如何处理?对此,皮勇教授认为非法获取数据罪保护的是 集体法益,而侵犯公民个人信息罪保护的是个人法益,因而以前者定罪更能全面 反应行为人的行为侵犯了公共法益与公众个人信息法益的特点。 1刘宪权教授认 为应以更能体现犯罪目的的侵犯公民个人信息罪进行定罪。 2笔者不赞同这些观 点。对于想象竞合犯的处理,一般我们采用先比后定法,即先对法定刑进行比较, 再以重罪进行定罪处罚。然而,当竞合罪名的法定刑完全相同时,先比后定法在 具体个案中便失去了适用空间。因此,学者们提出了一些其他的解决构想。比如, 彭辅顺教授认为“当竞合数罪法定刑相同时,无法通过比较法定刑的轻重来决定 犯罪的轻重,从而适用从一重处判断原则,即如果数罪的法定刑相同……只能根 据犯罪情节来比较其轻重。”3何荣功教授等学者也持此种观点。4本文同样也认 为此种处理方法较为可取。具体来说,在刑事司法活动中确定究竟应适用侵犯公 民个人信息罪对被告人进行定罪处罚,还是适用非法获取数据罪对被告人进行定 罪处罚时,需要在具体个案中结合《公民个人信息犯罪解释》与《计算机犯罪解 释》的具体认定标准以及个案案情进行综合判断。至于皮勇教授提出的以非法获 取数据罪定性能全面反映法益侵害的特点这一观点,本文认为“在想象竞合的情 况下,一行为所触犯的数法条至少有一个无法对该行为作出全面评价”, 5想象 竞合犯所追求的目标是充分评价而非全面评价,“对不法性质的充分评价,不等 于对不法程度的全面评价。” 6 综上所述,本文认为在非法获取数据罪与侵犯公民个人信息罪的法定刑没有 作出调整前,当具体个案中出现两罪适用的想象竞合问题时,应具体问题具体分 析,不应该以全面评价为由一律适用非法获取数据罪,也不应以所保护法益不同 为由而直接适用侵犯公民个人信息罪。 1 参见皮勇: 《全国首例撞库打码案的法律适用分析》 ,载《中国检察官》2019 年第 3 期。 参见刘宪权: 《网络黑灰产上游犯罪的刑法规制》 ,载《国家检察官学院学报》2021 年第 1 期。 3 彭辅顺: 《想象竞合犯中从一重处判断原则的适用》 ,载《社会科学家》2005 年第 3 期。 4 参见何荣功、黄丽: 《论想象竞合犯的处罚原则及其适用》 ,载《武汉大学学报(哲学社会科学版) 》2005 年第 3 期。 5 左坚卫: 《法条竞合与想象竞合区分标准之评析与重建》 ,载《华南师范大学学报(社会科学版) 》2009 年 第 6 期。 6 张明楷: 《法条竞合与想象竞合的区分》 ,载《法学研究》2016 年第 1 期。 192 2 结语 大数据时代的到来呼吁着与之相应的法律制度的变革, 1可是,在法律制度 的变革尚未正式到来前,我们有必要认真的思考如何进行法律解释才能保证既有 的刑法条文被妥切的适用于刑事司法实践。以此为写作导向,本文除了对数据犯 罪基本问题进行界定的第一章外,剩余全文始终坚持解释论的研究思路,从刑事 成文法规范出发,结合刑法理论中对数据犯罪的理解争议,展开数据犯罪司法适 用的实证考察与问题发现。在确证数据犯罪司法适用存在诸多问题的本质成因是 刑法学界对数据犯罪保护法益理论的理解存在争议致使法益构成要件解释机能 失效后,本文对数据犯罪的属性与本质、数据安全作为刑法法益的适格性、数据 安全法益的体系定位与内容、既有数据犯罪保护法益理论的不足等问题进行规范 探讨,明确了数据犯罪所保护的同类法益是数据安全法益,而数据的保密性是非 法获取数据罪所保护的直接法益,数据的完整性与可用性是破坏数据罪所保护的 直接法益。同时,通过对域内外立法的比较分析,我们也明确数据安全法益是早 已经被域内外立法者所关注,并以实定法的模式进行保护的刑法法益。如今,我 们对数据犯罪与数据安全法益问题的研究只不过是对立法原因的一种追寻,或者 说是对过去错误结论的自我矫正,而不是在研究一种新型犯罪与确认一种应被视 为刑法法益予以保护的新型利益。 明确这些内容后,我们得以继续推进对数据犯罪的解释论研究,以数据安全 法益为标准重新解释数据犯罪的构成要件,并在解释的同时回应数据犯罪司法适 用中出现的典型疑难问题。在行为手段方面,重点分析了非法获取数据罪领域的 扩张论与限缩论的观点,以及破坏数据罪领域的平义论与限缩论的观点,明确了 数据犯罪的行为对象是包括云端数据、RFID 等数据在内的计算机信息系统中存 储、处理或者传输的所有数据。在行为手段方面,重点分析了非法获取数据罪的 “复行为犯属性”“非法侵入”“获取”的判断等问题,以及破坏数据罪的“删 除、修改或者增加”与数据完整性与可用性之间的关系,明确对数据的删除、修 改与增加不需要达到“使数据陷入到丧失正常使用功效的不良境地”。在行为后 果方面,重点分析了非法获取数据罪情节严重在犯罪论体系中的地位,并对既有 1 参见于志刚、李源粒: 《大数据时代数据犯罪的制裁思路》 ,载《中国社会科学》2014 年第 10 期。 193 的情节严重认定标准进行反思性评析。在破坏数据罪中则主要探讨实务界与学界 对后果严重的理解争议,并对《计算机犯罪解释》中提出的后果严重具体认定标 准进行反思与限定性解释。 明确数据犯罪内部的罪间边界后,本文最后一章探讨的是数据犯罪与利用计 算机实施的其他犯罪以及其他计算机犯罪的区分适用问题。通过对司法判例的考 察,本文指出了数据犯罪与利用计算机实施的其他犯罪适用争议的领域主要是 “对象-工具型”数据犯罪,而争议的焦点则在于如何理解《刑法》第 287 条。目 前,学界与实务界存在着注意规定说与法律拟制说的论争,本文通过否定法律拟 制说与证立注意规定说,提出即便立法者在《刑法》中规定了第 287 条也不排斥 在“对象-工具型”数据犯罪案件中同时适用数据犯罪与其他犯罪的可能性。在数 据犯罪与其他计算机犯罪的区分适用方面,根据第一章实证分析的结果,本文选 择了以数据犯罪与非法控制系统罪、非法侵入系统罪以及提供程序、工具罪罪等 具体个罪进行区分适用分析。每一个主题项下又可分为非法获取数据罪与破坏数 据罪同其他计算机犯罪的区分适用等两种类型,具体讨论时关注重点并不相同, 且在论证时会选择顺带对实践中典型的疑难个案进行分析。 最后应指出,本文所探讨的问题虽是如何更好的利用刑事手段规制数据犯罪 行为,但是强调严格的规制数据犯罪行为的目的并不是为了阻碍数字经济的发展, 也不是想要完全消除大数据时代无处不在的数据安全风险,而是期望通过刑法手 段清除数字经济发展中的“害群之马”,保证数据经济的稳定、健康与可持续的 发展。 194 参考文献 一、著作及译著类 1.刘宪权著:《刑法学名师讲演录》(第二版),上海人民出版社 2016 年 版。 2.谢远扬著:《个人信息的私法保护》,中国法制出版社 2016 年版。 3.郭明龙著:《个人信息权利的侵权法保护》,中国法制出版社 2012 年版。 4.崔维著:《计算机网络基础》,河北科学技术出版社 2018 年版。 5.《德国刑法典》,徐久生译,北京大学出版社 2019 年版。 6.陈子平著:《刑法总论》(2008 年增修版),中国人民大学出版社 2009 年 版。 7.张明楷著:《刑法学(上)》(第五版),法律出版社 2016 年版第 5 版。 8.赵秉志、于志刚著:《计算机犯罪比较研究》,法律出版社 2004 年版。 9.黄荣坚著:《刑罚的极限》,台湾元照出版公司 1998 年版。 10.[美]迈克尔·戈特弗里德森、特拉维斯·赫希著:《犯罪的一般理论》, 吴宗宪、苏明月译,中国人民公安大学出版社 2009 年版。 11.[德]埃里克·希尔根多夫著:《德国刑法学:从传统到现代》,江溯、黄 笑岩等译,北京大学出版社 2015 年版。 12.[英]维克托·迈尔-舍恩伯格,肯尼思·库克耶著:《大数据时代:生活, 工作与思维的大变革》,盛杨燕,周涛译,浙江人民出版社 2013 年版。 13.[美]劳伦斯·莱斯格著:《思想的未来—网络时代公共知识领域的警示喻 言》,李旭译,中信出版社 2004 年版。 14.于志刚著:《计算机犯罪研究》,中国检察出版社 1999 年版。 15.陈兴良著:《刑法疏议》,中国人民公安大学出版社 1997 年版。 16.刘广三著:《计算机犯罪论》,中国人民大学出版社 1999 年版。 17.张甘妹著:《犯罪学原论》,汉林出版社 1985 年版。 18.张明楷著:《罪刑法定与刑法解释》,北京大学出版社 2009 年版,第 20 页。 19.[美]庞德著:《法律史解释》,邓正来译,商务印书馆 2013 年版。 195 20.张明楷著:《法益初论》,中国政法大学出版社 2000 年版。 21.林山田著:《刑法特论(上册)》,台湾三民书局 1978 年版。 22.黎宏著:《刑法学各论》(第二版),法律出版社 2016 年版。 23.喻海松著:《网络犯罪二十讲》,法律出版社 2018 年版。 24.周道鸾、张军著:《刑法罪名精释》(第三版),人民法院出版社 2007 年版。 25.陈兴良著:《罪名指南》(第二版),中国人民出版社 2007 年版。 26.屈学武著:《刑法各论》,社会科学文献出版社 2004 年版。 27. [德]约翰内斯·韦塞尔斯著:《德国刑法总论》,李昌珂译,法律出版社 2008 年版。 28. [意]加罗法洛著: 《犯罪学》,耿伟、王新译,中国大百科全书出版社 1996 年版。 29.[德]卡尔·拉伦茨著:《法学方法论》,陈爱娥译,台北五南图书出版公 司 1996 年版。 30.[日]松宫孝明著:《刑法总论讲义》(第 4 版补正版),钱叶六译、王昭 武审校,中国人民大学出版社 2013 年版。 31.林山田著:《刑法通论(下册)》(增订十版),北京大学出版社 2012 年版。 32.陈兴良著:《教义刑法学》,中国人民大学出版社 2017 年版。 33.张明楷著:《刑法分则的解释原理》,中国人民大学出版社 2004 年版。 34.陈兴良著:《口授刑法学》,中国人民大学出版社 2007 年版。 35.甘添贵著:《罪数理论之研究》,元照出版有限公司 2006 年版。 36.[日]山口厚著:《刑法总论》(第 3 版),付立庆译,中国人民大学出版 社 2018 年版。 37.马克昌著:《比较刑法原理》,武汉大学出版社 2002 年版。 38.韩忠谟著:《刑法原理》,中国政法大学出版社 2002 年版。 39.许玉秀著:《当代刑法思潮》,中国民主法制出版社 2005 年版。 40.周光权著:《刑法总论》(第二版),中国人民大学出版社 2011 年版。 41.姜伟著:《刑事司法指南》,法律出版社 2000 年版。 196 42.张明楷著:《刑法学(下)》(第五版),法律出版社 2016 年版。 43.何赖杰、林钰雄审译:《德国刑法典》,李圣杰、潘怡宏编译,元照出版 有限公司 2017 年。 44.陈兴良著:《规范刑法学(上册)》(第 4 版),中国人民大学出版社 2017 年版。 45.张明楷著:《犯罪构成体系与构成要件要素》,北京大学出版社 2010 年 版。 46.[德]汉斯·海因里希·耶赛克、托马斯·魏根特著: 《德国刑法教科书(上)》, 徐久生译,中国法制出版社 2017 年版。 47.[德]克劳斯·罗克辛著:《德国刑法学总论(第 1 卷)》,王世洲译,法 律出版社 2005 年版。 48.[德]乌尔斯·金德霍伊泽尔著:《刑法总论教科书》(第六版),蔡桂生 译,北京大学出版社 2015 年版。 49.[德]约翰内斯·韦塞尔斯著:《德国刑法总论》,李昌珂译,法律出版社 2008 年版。 50. [日]前田雅英著:《刑法总论讲义》(第 6 版),曾文科译,北京大学出 版社 2017 年版。 51.[日]山口厚著:《刑法总论》(第 3 版),付立庆译,中国人民大学出版 社 2018 年版。 52.[日]西田典之著:《日本刑法总论》(第 2 版),王昭武、刘明祥译,法 律出版社 2013 年版。 53.[日]大谷实著:《刑法讲义总论(第 2 版)》,黎宏译,中国人民大学出 版社 2008 年版。 54.孔祥俊著:《法律解释方法与判解研究》,人民法院出版社 2004 年版。 55. [德]李斯特著:《德国刑法教科书》,徐久生译,法律出版社 2000 年版。 56.何勤华、夏菲著:《西方刑法史》,北京大学出版社 2006 年版。 57.[法]米歇尔·福柯著:《规训与刑罚》,刘北成、杨远婴译,三联书店 2012 年版。 197 58.[英]哈特著:《法律的概念》,许家馨、李冠宜译,法律出版社 2018 年 第 3 版。 59.丁后盾著:《刑罚法益原理》,中国方正出版社 1999 年版。 60.张明楷著:《刑法的基本立场(修订版)》,商务印书馆 2019 年版。 61.肖前、李秀林、汪永祥著:《辩证唯物主义原理》,人民出版社 1981 年 版。 62.《日本刑法及特别刑法纵览》,张凌、于秀峰编译:人民法院出版社 2017 年版。 63.[瑞士]约方·库尔巴厘贾著:《互联网治理(第七版)》,鲁传颖、惠志 斌、刘越译,清华大学出版社 2019 年版。 64.黄勤龙、杨义先著:《云计算数据安全》,北京邮电大学出版社 2018 年 版。 65.江波著:《虚拟财产司法保护研究》,北京大学出版社 2015 年。 66.熊琦著:《德国刑法问题研究》,元照出版有限公司 2009 年版。 67.黄少华、翟本瑞著:《网络社会学:学科定位与议题》,中国社会科学出 版社 2006 年版。 68.郎庆斌、孙毅、杨莉著:《个人信息保护概论》,人民出版社 2008 年版。 69.高铭暄著:《中华人民共和国刑法的孕育诞生和发展完善》,北京大学出 版社 2012 年版。 二、编著类 1.苏惠渔主编:《刑法学》,中国政法大学出版社 1994 年版。 2.刘宪权主编:《刑法学(下)》(第四版),上海人民出版社 2016 年版。 3.刘宪权主编:《人工智能:刑法的时代挑战》,上海人民出版社 2018 年 版。 4.高铭暄、马克昌主编:《刑法学》(第八版),北京大学出版社、高等教 育出版社 2017 年版。 5.马克昌主编:《犯罪通论》,武汉大学出版社 1999 年版。 198 6.高铭暄、赵秉志编:《新中国刑法立法文献资料总览》(第二版),中国 人民公安大学出版社 2015 年版。 7.李适时主编:《中华人民共和国民法总则释义》,法律出版社 2017 年版。 8.龚沛曾、杨志强主编:《大学计算机基础》(第五版),高等教育出版社 2009 年版。 9.十六大报告辅导读本编写组:《十六大报告辅导读本》,人民出版社 2002 年版。 10.谢望原、赫兴旺主编: 《刑法分论》 (第三版),中国人民大学出版社 2016 年版。 11.郎胜主编:《中华人民共和国刑法释义》,法律出版社 2015 年版。 12.刘同娟、杨岚清、胡安琪等编著:《RFID 与 EPC 技术》,机械工业出版 社 2017 年版。 13.李永忠编著: 《物联网信息安全》,西安电子科技大学出版社 2016 年版。 14.全国人大常委会法制工作委员会刑法室编:《<中华人民共和国刑法>条 文说明、立法理由和相关规定》,北京大学出版社 2009 年版。 15.龚俭、吴桦、杨望编著:《计算机网络安全导论》(第 2 版),东南大学 出版社 2007 年版。 16.刘艳红主编:《刑法学(下)》(第二版),北京大学出版社 2016 年版。 三、杂志类 1.刘宪权:《网络黑灰产上游犯罪的刑法规制》,载《国家检察官学院学报》 2021 年第 1 期。 2. 刘宪权、汤君:《人工智能时代数据犯罪的刑法规制》,载《人民检察》 2019 年第 13 期。 3.刘宪权:《刑事立法应力戒情绪—以<刑法修正案(九)>为视角》,载《法 学评论》2016 年第 1 期。 4.张勇:《APP 个人信息的刑法保护:以知情同意为视角》,载《法学》2020 年第 8 期。 199 5.张勇:《个人信息去识别化的刑法应对》,载《国家检察官学院学报》2018 年第 4 期。 6.张勇、王杰:《网络帮助行为的犯罪化与非犯罪化》,载《苏州大学学报 (哲学社会科学版)》2017 年第 3 期。 7.孙万怀:《刑法修正的道德诉求》,载《东方法学》2020 年第 1 期。 8.孙万怀:《相对积极主义刑事司法观的提倡》,载《法学评论(双月刊)》 2020 年第 2 期。 9.于改之:《法域冲突的排除:立场、规则与适用》,载《中国法学》2018 年第 4 期。 10.于改之:《非法弹送广告行为入罪要素解析》,载《人民检察》2020 年 第 14 期。 11.卢勤忠:《程序性附加条件与客观处罚条件之比较》,载《法学评论(双 月刊)》2021 年第 1 期。 12.何萍、张金钢:《窃取网络虚拟财产行为的教义学阐释》,载《青少年犯 罪问题》2019 年第 2 期。 13. 张明楷: 《网络时代的刑事立法》,载《法律科学(西北政法大学学报)》 2017 年第 3 期。 14.陈兴良:《网络犯罪的刑法应对》,载《中国法律评论》2020 年第 1 期。 15. 王倩云:《人工智能背景下数据安全犯罪的刑法规制思路》,载《法学 论坛》2019 年第 3 期。 16.杨志琼:《我国数据犯罪的司法困境与出路:以数据安全法益为中心》, 载《环球法律评论》2019 年第 6 期。 17.胡春健、孙伟: 《破坏计算机信息系统罪的规范分析》,载《中国检察官》 2019 年第 4 期。 18.于志刚、李源粒:《大数据时代数据犯罪的制裁思路》,载《中国社会科 学》2014 年第 10 期。 19.马微:《理念转向与规范调整:网络有组织犯罪之数据犯罪的刑法规制路 径》,载《学术探索》2016 年第 11 期。 200 20.叶良芳:《法条何以会“竞合”?—一个概念上的澄清》,载《法律科学 (西北政法大学学报)》2014 年第 1 期。 21.刘艳红:《网络犯罪的刑法解释空间向度研究》,载《中国法学》2019 年 第 6 期。 22.彭诚信、向秦:《“信息”与“数据”的私法界定》,载《河南社会科学》 2019 年第 11 期。 23.韩旭至:《信息权利范畴的模糊性使用及其后果—基于对信息、数据混用 的分析》,载《华东政法大学学报》2020 年第 1 期。 24.程啸:《论大数据时代的个人数据权》,载《中国社会科学》2018 年第 3 期。 25.李源粒: 《网络个人数据安全刑法保护研究》,载《重庆邮电大学学报(社 会科学版)》2015 年第 6 期。 26.黄鹏:《数据作为新兴法益的证成》,载《重庆大学学报(社会科学版)》 网络首发。 27.纪海龙:《数据的私法定位与保护》,载《法学研究》2018 年第 6 期。 28.冯德淦:《数据的二元划分与体系保护》,载《中南大学学报(社会科学 版)》2020 年第 5 期。 29.欧阳本祺:《论虚拟财产的刑法保护》,载《政治与法律》2019 年第 9 期。 30.朱宣烨: 《数据分层与侵犯网络虚拟财产犯罪研究》,载《法学杂志》2020 年第 6 期。 31.周斯佳:《个人数据权与个人信息权关系的厘清》,载《华东政法大学学 报》2020 年第 2 期。 32.李爱君:《数据权利属性与法律特征》,载《东方法学》2018 年第 3 期。 33.梅夏英:《数据的法律属性及其民法定位》,载《中国社会科学》2016 年 第 9 期。 34.许可:《数据安全法:定位、立场与制度构造》,载《经贸法律评论》2019 年第 3 期。 201 35.王春晖:《完善<数据安全法(草案)>的十大建议》,载《南京邮电大学 学报》(自然科学版)2020 年第 5 期。 36.许可:《数据保护的三重进路》,载《上海大学学报(社会科学版)》2017 年第 6 期。 37.文立彬:《涉数据网络犯罪的规制困境与优化路径》,载《重庆邮电大学 学报》2018 年第 5 期。 38.孙道萃:《大数据法益刑法保护的检视与展望》,载《中南大学学报(社 会科学版)》2017 年第 1 期。 39.杨志琼:《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处 理路径》,载《法学评论(双月刊)》2018 年第 6 期。 40.敬力嘉:《论企业信息权》,载《北方法学》2019 年第 5 期。 41.岳林:《超越身份识别标准—从侵犯公民个人信息罪出发》,载《法律适 用》2018 年第 7 期。 42.雷磊:《法律概念是重要的吗》,载《法学研究》2017 年第 4 期。 43.王燕玲:《中国网络犯罪立法检讨与发展前瞻》,载《华南师范大学学报 (社会科学版)》2018 年第 4 期。 44.于冲:《网络犯罪罪名体系的立法完善与发展思路—从 97 年刑法到<刑 法修正案(九)草案>》,载《中国政法大学学报》2015 年第 4 期。 45.皮勇:《全国首例撞库打码案的法律适用分析》,载《中国检察官》2019 年第 3 期。 46.彭辅顺:《想象竞合犯中从一重处判断原则的适用》,载《社会科学家》 2005 年第 3 期。 47.何荣功、黄丽:《论想象竞合犯的处罚原则及其适用》,载《武汉大学学 报(哲学社会科学版)》2005 年第 3 期。 48.左坚卫:《法条竞合与想象竞合区分标准之评析与重建》,载《华南师范 大学学报(社会科学版)》2009 年第 6 期。 49.陈国庆、韩耀元、张玉梅:《<最高人民法院、最高人民检察院关于执行 中华人民共和国刑法确定罪名的补充规定(四)>解读》,载《人民检察》2009 年第 21 期。 202 50.黄太云:《<刑法修正案(七)>解读》,载《人民检察》2009 年第 6 期。 51.胡学相、吴锴:《论计算机犯罪的几个问题》,载《华南理工大学学报(社 会科学版)》2004 年第 6 期。 52.胡云腾: 《论社会发展与罪名变迁—兼论选择性罪名的文书引用》,载《东 方法学》2008 年第 2 期。 53.杨赞:《撞库打码牟利行为如何定性》,载《人民检察》2018 年第 14 期。 54.苏家成:《提供侵入、非法控制计算机信息系统程序、工具罪的认定》, 载《人民司法》2013 年第 12 期。 55.欧阳本祺:《对非法经营罪兜底性规定的实证分析》,载《法学》2012 年 第 7 期。 56.徐剑锋:《互联网时代刑法参与观的基本思考》,载《法律科学(西北政 法大学学报)》2017 年第 3 期。 57.李遐桢、侯春平:《论非法获取计算机信息系统数据罪的认定—以法解释 学为视角》,载《河北法学》2014 年第 5 期。 58.于志刚:《口袋罪的时代变迁、当前乱象与消减思路》,载《法学家》2013 年第 3 期。 59.俞小海:《破坏计算机信息系统罪之司法实践分析与规范含义重构》,载 《交大法学》2015 年第 3 期。 60.周立波:《破坏计算机信息系统罪司法实践分析与刑法规范调适—基于 100 个司法判例的实证考察》,载《法治研究》2018 年第 4 期。 61.邓矜婷:《网络空间中犯罪帮助行为的类型化—来自司法判决的启发》, 载《法学研究》2019 年第 5 期。 62.孙海波:《“同案同判”:并非虚构的法治深化》,载《法学家》2019 年 第 5 期。 63.丁爱萍:《“同案不同判”危及公众法律信仰》,载《人民政坛》2007 年 第 8 期。 64.谢杰: 《利用未公开信息交易罪量刑情节的刑法解释与实践适用》,载《政 治与法律》2015 年第 7 期。 203 65.于冲: 《帮助行为正犯化的类型研究与入罪化思路》,载《政法论坛》2016 年第 4 期。 66.皮勇:《论我国刑法修正案(七)中的网络犯罪立法》,载《山东警察学 院学报》2009 年第 2 期。 67.叶良芳: 《刑法教义学视角下流量劫持行为的性质探究》,载《中州学刊》 2016 年第 8 期。 68.孙道萃:《流量劫持”的刑法规制及完善》,载《中国检察官》2016 年 的 4 期。 69.周光权: 《刑法软性解释的限制与增设妨害业务罪》,载《中外法学》2019 年第 4 期。 70.徐剑:《对象型网络犯罪的刑事政策应对》,载《河北法学》2016 年第 8 期。 71.刘学在、陈欢欢:《司法解释制定中的“新官不理旧账”现象之反思—以 民事诉讼为视角》,载《烟台大学学报(哲学社会科学版)》2020 年第 2 期。 72.俞小海:《破坏计算机信息系统罪之司法实践分析与规范含义重构》,载 《交大法学》2015 年第 3 期。 73.肖怡:《流量劫持行为在计算机犯罪中的定性研究》,载《首都师范大学 学报(社会科学版)》2020 年第 1 期。 74.皮勇:《我国网络犯罪立法若干问题》,载《中国刑事法杂志》2012 年 第 12 期。 75.陈家林:《法益理论的问题与出路》,载《法学》2019 年第 11 期。 76.彭文华:《法益与犯罪客体的体系性比较》,载《浙江社会科学》2020 年 第 4 期。 77.刘明祥:《窃取网络虚拟财产行为定性探究》,载《法学》2016 年第 1 期。 78.徐凌波:《虚拟财产犯罪的教义学展开》,载《法学家》2017 年第 4 期。 79.徐久生、管亚盟:《网络空间中盗窃虚拟财产行为的刑法规制》,载《安 徽师范大学学报(人文社会科学版)》2020 年第 2 期。 204 80.米铁男:《基于法益保护的计算机犯罪体系之重构》,载《河南大学学报 (社会科学版)》2014 年第 4 期。 81.邢永杰: 《破坏计算机信息系统罪疑难问题探讨》,载《社会科学家》2020 年第 7 期。 82.林建辉、黄学鹏: 《破坏计算机信息系统罪的电子数据适用研究》,载《信 息安全与技术》2014 年第 8 期。 83.皮勇、葛金芬:《网络游戏虚拟物数据之回归—兼论非法获取网络游戏虚 拟物的行为认定》,载《科技与法律》2019 年第 2 期。 84.魏东: 《人工智能算法安全犯罪观及其规范刑法学展开》,载《政法论丛》 2020 年第 3 期。 85.刘一帆、刘双阳、李川:《复合法益视野下网络数据的刑法保护问题研 究》,载《法律适用》2019 年第 21 期。 86.涂龙科: 《网络时代经济刑法变革的系统阐释》,载《法学评论(双月刊)》 2019 年第 6 期。 87.皮勇:《我国网络犯罪刑法立法研究》,载《河北法学》2009 年第 6 期。 88.刘艳红:《“法益性的欠缺”与法定犯的出罪—以行政要素的双重限缩解 释为路径》,载《比较法研究》2019 年第 1 期。 89.陈兴良:《法定犯的性质和界定》,载《中外法学》2020 年第 6 期。 90.张明楷:《自然犯与法定犯一体化立法体例下的实质解释》,载《法商研 究》2013 年第 4 期。 91.张文、杜宇:《自然犯、法定犯分类的理论反思—以正当性为基点的展 开》,载《法学评论(双月刊)》,2002 年第 6 期。 92.刘艳红: 《侵犯公民个人信息罪法益:个人法益及新型权利之确证—以 《个 人信息保护法 (草案) 》为视角之分析》,载《中国刑事法杂志》2019 年第 5 期。 93.易琦、梁燕宏:《提供侵入、非法控制计算机信息系统程序、工具罪的司 法认定》,载《中国检察官》2018 年第 2 期。 94.马长山:《智能社会背景下的“第四代人权”及其保障》,载《中国法学》 2019 年第 5 期。 205 95.刘艳红:《“法益性的欠缺”与法定犯的出罪—以行政要素的双重限缩解 释为路径》,载《比较法研究》2019 年第 1 期。 96.李文吉:《我国刑法中管理秩序法益还原为实体性法益之提倡》,载《河 北法学》2020 年第 5 期。 97.周赟: 《新兴权利的逻辑基础》,《江汉论坛》2017 年第 5 期。 98.劳东燕: 《受贿犯罪的保护法益:公职的不可谋私利性》,载《法学研究》 2019 年第 5 期。 99.冀洋: 《法益自决权与侵犯公民个人信息罪的司法边界》,载《中国法学》 2019 年第 4 期。 100.田宏杰:《刑法法益:现代刑法的正当根基和规制边界》,载《法商研 究》2020 年第 6 期。 101.刘凌梅:《选择性罪名的司法适用》,载《人民司法》2015 年第 13 期。 102.王钢:《法益与社会危害性之关系辩证》,载《浙江社会科学》2020 年 第 4 期。 103.杜文俊、陈洪兵:《选择性罪名亦可并罚》,载《人民检察》2011 年第 21 期。 104.袁野:《网络隔空威胁儿童行为的刑法定性》,载《青少年犯罪问题》 2019 年第 4 期。 105.高铭暄、叶良芳:《再论牵连犯》,载《现代法学》2005 年第 2 期。 106.杨志琼:《非法获取计算机信息系统数据罪‘口袋化’的实证分析及其 处理路径》,载《法学评论(双月刊)》2018 年第 6 期。 107.田刚:《大数据安全视角下计算机数据刑法保护之反思》,载《重庆邮 电大学学报(社会科学版)》2015 年第 3 期。 108.劳东燕:《功能主义刑法解释的体系性控制》,载《清华法学》2020 年 第 2 期。 109.金香爱、刘源: 《“对开” “环开”增值税专用发票行为违法性再思考》, 载《河南司法警官职业学院学报》2019 年第 1 期。 110.杨新绿:《论拒不履行信息网络安全管理义务罪的法益》,载《北方法 学》2019 年第 6 期。 206 111.高仕银:《美国政府规制计算机网络犯罪的立法进程及其特点》,载《美 国研究》2017 年第 1 期。 112.皮勇:《论欧洲刑事法一体化背景下的德国网络犯罪立法》,载《中外 法学》2011 年第 5 期。 113. 王肃之: 《我国网络犯罪规范模式的理论形塑—基于信息中心与数据中 心的范式比较》,载《政治与法律》2019 年第 11 期。 114.刘艳红:《网络爬虫行为的刑事规制研究—以侵犯公民个人信息犯罪为 视角》,载《政治与法律》2019 年第 11 期。 115.陆旭、郑丽莉:《以数据为媒介侵犯传统法益行为的刑法规制》,载《中 国检察官》2012 年第 12 期。 116.李怀胜:《数据开放的刑法边界》,载《中国信息安全》2018 年第 12 期。 117.欧阳本祺、曹莉:《非法获取他人 APP 数据的刑法定性》,载《人民检 察》2018 年第 7 期。 118.陈兴良:《刑法竞合论》,载《法商研究》2006 年第 2 期。 119.徐伟:《企业数据获取“三重授权原则”反思及类型化构建》,载《交 大法学》2019 年第 4 期。 120.陈洪兵:《不必严格区分法条竞合与想象竞合—大竞合论之提倡》,载 《清华法学》2012 年第 1 期。 121.刘艳红: 《象征性立法对刑法功能的损害—二十年来中国刑事立法总评》, 载《政治与法律》2017 年第 3 期。 122.姜瀛:《“口袋思维”入侵网络犯罪的不当倾向及其应对进路》,载《苏 州大学学报(法学版)》2017 年第 2 期。 123.陈小炜:《“口袋罪”的应然态度和限制进路》,载《苏州大学学报(哲 学社会科学版)》2015 年第 3 期。 124.张明楷:《网络时代的刑法理念—以刑法的谦抑性为中心》,载《人民 检察》2014 年第 9 期。 125.付立庆:《论积极主义刑法观》,载《政法论坛》2019 年第 1 期。 207 126.张明楷:《法条竞合与想象竞合的区分》,载《法学研究》2016 年第 1 期。 127.林维:《数据爬取行为的刑事司法认定》,载《人民检察》2019 年第 18 期。 128.高仕银:《计算机网络犯罪规制中的“未经授权”与“超越授权”—中 美比较研究》,载《时代法学》2020 年第 1 期。 129.马永强:《正向刷单炒信行为的刑法定性与行刑衔接》,载《法律适用》 2020 年第 24 期。 130.陈兴良:《虚拟财产的刑法属性及其保护路径》,载《中国法学》2017 年第 2 期。 131.张明楷:《非法获取虚拟财产的行为性质》,载《法学》2015 年第 3 期。 132.徐彰:《盗窃网络虚拟财产不构成盗窃罪的刑民思考》,载《法学论坛》 2016 年第 3 期。 133.张明楷:《非法使用信用卡在 ATM 机取款的行为构成盗窃罪—再与刘 明祥教授商榷》,载《清华法学》2009 年第 1 期。 134.陈兴良:《互联网账号恶意注册黑色产业的刑法思考》,载《清华法学》 2019 年第 6 期。 135.杨赞、马健:《破坏计算机信息系统案件法律适用研讨》,载《人民检 察》2015 年第 8 期。 136.杨赞:《开发外挂软件营利行为如何定性》,载《人民检察》2017 年第 16 期。 137.参见吴江:《刑法分则中注意性规定与法律拟制的区分》,载《中国刑 事法杂志》2012 年第 11 期。 138.陈兴良:《一般预防论》,载《中南政法学院学报》1993 年第 2 期。 139.张明楷:《论刑法分则中作为构成要件的情节严重》,载《法商研究》 1995 年第 1 期。 140. 王莹:《情节犯之情节的犯罪论体系性定位》,载《法学研究》2012 年 第 3 期。 208 141.车浩、陈兴良、张明楷:《立法、司法与学术—中国刑法二十年回顾与 展望》,载《中国法律评论》2017 年第 5 期。 142.石聚航:《侵犯公民个人信息罪情节严重的法理重述》,载《法学研究》 2012 年第 3 期。 143.柏浪涛:《构成要件符合性与客观处罚条件的判断》,载《法学研究》 2012 年第 6 期。 144.梁根林:《责任主义及其例外—立足于客观处罚条件的考察》,载《清 华法学》2009 年第 2 期。 145.劳东燕:《功能主义刑法解释的体系控制》,载《清华法学》2020 年第 2 期,第 42 页。 146.陈兴良:《作为犯罪构成要件的罪量要素:立足于中国刑法的探讨》, 《环球法律评论》2003 年第 3 期。 147.陈洪兵:《情节严重司法解释的纰缪及规范性重构》,载《东方法学》 2019 年第 4 期。 148.周振杰、刘仁文:《论走私废物罪》,载《检察实践》2003 年第 2 期。 149.于志刚、郭旨龙:《信息时代犯罪定量标准的体系化构建》,载《法律 科学》2014 年第 3 期。 150.周光权:《量刑的实践及其未来走向》,载《中外法学》2020 年第 5 期。 151.张明楷:《阶层论的司法运用》,载《清华法学》2017 年第 5 期。 152.喻海松:《<关于办理危害计算机信息系统安全刑事案件应用法律若干 问题的解释>的理解与适用》,载《人民司法》2011 年第 19 期。 153.杨赞:《利用爬虫加粉软件“打劫”个人信息牟利如何适用法律》,载 《人民检察》2019 年第 18 期。 154.刘艳红:《Web3.0 时代网络犯罪的代际特征及刑法应对》,载《环球法 律评论》2020 年第 5 期。 四、文集类 申柳华:《德国刑法计算机犯罪修正案研究》,载明辉.李昊主编:《北航法 律评论》(2013 年第 1 辑),法律出版社 2014 年版。 209 五、学位论文类 1. 李振林:《刑法中法律拟制论》,华东政法大学博士学位论文,2013 年。 2. 张巍:《涉网络犯罪相关行为刑法规制研究》,华东政法大学博士学位论 文,2014 年。 3. 陈小炜:《“口袋罪”要论—以寻衅滋事罪的限制和消减为重点》,苏州 大学博士学位论文,2017 年。 4. 陆敏:《帮助型正犯研究》,中南财经政法大学博士学位论文,2018 年。 六、报纸类 1.刘宪权:《区分数据犯罪类型予以刑法应对》,载《检察日报》2018 年 12 月 27 日第 3 版。 2.刘宪权:《“黄车”抢号软件案的刑法分析》,载《民主与法制时报》2020 年 9 月 13 日第 2 版。 3.杨立新、陈小江:《衍生数据是数据专有权的客体》,载《中国社会科学 报》2016 年 7 月 13 日第 5 版。 4.李俊、白艳利、王潇:《流量劫持行为的司法认定》,载《人民法院报》 2017 年 1 月 5 日第 7 版。 5.袁博:《论“流量劫持”的民刑法律责任》,载《上海法治报》2015 年 11 月 25 日第 5 版。 6.赵宁:《厘清“修改数据式”破坏计算机信息系统罪》,载《检察日报》 2020 年 4 月 24 日第 3 版。 7.丁鹏、李勇:《利用 FD 抓取并修改充值数据获利如何定性》,载《检察 日报》2019 年 11 月 5 日第 3 版。 8.项谷、朱能立:《利用计算机技术窃取虚拟财产如何定性》,载《检察日 报》2018 年 9 月 2 日第 3 版。 9.刘勇龙:《如何区分刑案中的另起犯意和犯意转化》,载《西部法制报》 2011 年 9 月 22 日第 4 版。 210 10.储槐植:《要正视法定犯时代的到来》,载《检察日报》2007 年 6 月 1 日 第 3 版。 七、中文网站类 1. 《 Fiddler 基 础 篇 之 安 装 、 原 理 、 界 面 布 局 》 , https://www.jians hu.com/p/14e35d71fca7,(访问日期:2021 年 1 月 19 日)。 2.《专家谈《网络安全法》草案:“网络安全”的定义还可以更为妥帖》, http://www.cac.gov.cn/2015-07/17/c_1115963431.htm,(访问日期:2020 年 7 月 15 日)。 3.腾讯网络安全与犯罪研究基地:《微信外挂的打击与治理:法律与技术的 跨 界 对 话 》 , https://mp.weixin.qq.com/s?src=11&timestamp =1597720090 &ver =2529&signature=1jIUyiMq8CEkKiU1ld1wt2w3FHd0xk2bQzoRHW7PMZXUYcG kwUGHBUp8WJ7TWnklIn1LppyT9vFxivfuDDnEDMFYofRf6fQfDVH8yinsMFCE GaA9rX0o0kVY083mKXD&new=1,(访问日期:2020 年 8 月 18 日)。 八、中译论文类 1.[日]井田良:《论日本继受德国刑法》,许恒达译,载《月旦法学杂志》 2018 年第 12 期。 2.[德] 乌尔斯·金德霍伊泽尔:《法益保护与规范效力的保障—论刑法的目 的》,陈璇译,载《中外法学》2015 年第 2 期。 3.[日]关哲夫:《法益概念与多元的保护法益论》,王充译,载《吉林大学社 会科学学报》2006 年第 3 期。 4.[德]克劳斯·罗克辛:《对批判立法之法益概念的检视》,陈璇译,载《法 学评论》2015 年第 1 期。 5.[德]克努特·阿梅隆:《德国刑法学中法益保护理论的现状》,日高义博日 译,姚培培中译,载方小敏主编:《中德法学论坛》第 14 辑,法律出版社 2018 年版。 九、外文案例类 211 1. U.S. V.Drew,259 F.R.D.at449 (C.D California,2009). 2. Shurgard Storage Centers Inc.v.Safeguard Self Storage,Inc.119 F.Supp.2d 1121,1125( W.D.Wash.2000) . 十、外文论文类 1.Herbert Zech, Information as Property,Journal of Intellectual Property, Information Technology and Electronic Commerce, 2015(06). 2.Paul Ohm, Broken promises of privacy:responding to the surprising failure of anonymizati- on.UCLA Law Review, Vol.57, 2010 . 3.Vladislav Arkhipov, Victor Naumov:The legal definition of personal data in the regulatory environment of the russian federation:between formal certainty and technological developme- nt,Computer Law & Security Review, Vol 32, 2016. 4.Orin S. Kerr, computer Crime Law, 2nd ed.West,A Thomson Business,2009. 5. Orin S.Kerr, Cybercrime's Scope:Interpreting“Access”and“Authorization” in Computer Misuse Statute, New York University Law Review, Vol 78, 2003. 十一、外文网站类 1.Glenn Greenwald,Murtaza Hussain, Meet the Muslim-American Leaders the FBI and NSA Have Been Spying On, at http://www.yuanjuu.com/info/121156.html, June 7, 2019. 2.不正指令電磁的記録に関する罪,at https://www.keishicho.metro.tokyo.jp/ kurashi/cyber/law/viru s.html,May 10, 2020. 3.Computer Misuse Act 1990,https://www.legislation.gov.uk/ukpga/1990/18/ section/2,April 29, 2020. 212 在读期间发表的学术论文与研究成果 一、论文类 1.李紫阳:《贿赂犯罪中刑事职业禁止的理解与适用》,载《福建行政学院 学报》2018 年第 6 期。 2.李紫阳:《顺风车网络平台的义务定型及刑事责任认定—由郑州空姐案、 温州幼师案引发的思考》,载《江西警察学院学报》2019 年第 1 期。 3.李紫阳:《监督过失型污染环境犯罪因果关系的判断》,载《河北法学》 2019 年第 8 期。 4.李紫阳:《转化型抢劫罪的解释立场及认定规则—以相对刑事责任年龄人 为视角》,载《河北青年干部管理学院学报》2019 年第 5 期。 5.李紫阳:《刑法类型理论的反思性审视》,载《武汉公安干部学院学报》 2019 年第 4 期。 6.李紫阳: 《刑法类型思维的评价与反思—基于语言哲学概念理论的新认识》, 载《贵州警察学院学报》2020 年第 2 期。 7.李紫阳:《强人工智能刑事责任主体地位肯定论》,载《广西警察学院学 报》2020 年第 2 期。 8.李紫阳:《伪造签章转移股权行为的类型认定—驳行为无罪论与单一罪名 论》,载《青少年犯罪问题》2020 年第 6 期。 9.李紫阳、张泽辰:《第三方支付场景下洗钱罪立法反思与调适》,载《南 昌大学学报(人文社会科学版)》2021 年第 1 期。 二、报纸类 1.李紫阳、江奥立:《侵害未成年人强制报告应与“从业禁止”联动》, 载《检察日报》2020 年 6 月 24 日第 003 版。 2.江奥立、李紫阳:《盗用股票账户进行对敲交易犯罪数额如何认定》, 载《检察日报》2020 年 9 月 23 日第 003 版。 213 后记 从选题算起,博士学位论文写作共历时两年有余。在此期间,我曾先后对论 文大纲进行过十余次修改,并数次由于论文大纲改动较大而陷入到深深的困惑与 自我否定之中。幸运的是,功夫不负有心人,经过数次大修三十余万字的论文初 稿被精简为十九万字的论文定稿,顺利通过专家盲审并即将进入到期待已久的博 士论文答辩环节。我深知博士学位论文的成功完成与华政优越的学习环境以及师 友亲朋们的帮助密不可分。因此,在欣喜之余,我更想借博士论文后记这方天地 记录与华政结缘的点滴,并向长期以来给予我关心与鼓励的师友亲朋致以最真诚 的谢意。 我要感谢我的导师张勇教授。回首想来,与恩师张勇教授的相遇属于三重巧 合促成的缘分。在本科时受到“商法能挣大钱”观点的影响,我始终将清华大学 民商法学作为考研目标院校,并立誓“不破楼兰终不还”。然而,当明确获得东 北财经大学法学院保研名额后,我却第一时间当了考研战场上的逃兵,立马选择 向华政等高校提交复试申请,并顺利获得了复试资格。其中,华政最早开展推免 复试工作,复试的时间定于我获得保研资格之后的第十日。短暂的准备时间导致 我没有能够充分了解华政民商法学的复试政策,误以为民商法学自然是民法学与 商法学并重。可是,谁知华政民商法学考研复试仅考察民法学内容,这与清华大 学民商法学考研复试更重商法学的做法截然不同。因此,在复试当天老师们随机 翻开厚厚一本民法学教材进行提问时,我便已认定自己与华政之间终归是有缘无 份,将要擦肩错过。超出我预料的是,华政并没有直接向我发出否决票,而是给 我机会让我选择是否同意从民商法学专业调剂到法律硕士专业。考虑到后续参加 其他院校复试也存在同样的风险,于是,我便在当晚于华政研教院推免系统中确 认同意调剂进入到华政法律硕士专业继续攻读硕士学位。可以说,在点击确认录 取的那一刻,我的人生方向便发生了翻天覆地的变化,这一切就如西原春夫教授 所言“人生,越重大的事越是偶然决定的。”如此看来,我与华政之间应属匆匆 相遇,而又终生结缘。此为第一重巧合。 确认进入华政法律硕士专业方向攻读硕士学位后的不久,我便收到了华政研 教院发出填报专业方向的通知,当时还是抱着要挣钱养家的打算选择看起来比较 214 “能赚钱”的民商事法律实务方向、法律与金融方向以及法律与国际经济方向(剩 余的两个专业分别是需要进行二次复试的法律创新班以及刑事法律实务方向)。 在华政系统中填报完志愿后始终未收到来自学校的后续通知,直至收到研究生录 取通知书后才突然发现自己已经被未曾填报的刑事法律实务方向录取。这又可以 说是“有心栽花花不开,无心插柳柳成荫”,与华东政法大学刑事法学科的缘分 自此结成。此为第二重巧合。 硕士入学后,因参加当年司法考试的缘故,我联系导师的时候已经是九月下 旬。当时,我抱着试一试的心态在九月二十日向刘宪权教授发送主题为《2016 级 研究生新生李紫阳的一封自荐信》的邮件。由于早已得知刘宪权教授是闻名全国 的刑法学专家,因此,我并没有奢望刘宪权教授能够回复我的邮件。然而,仅仅 在邮件发出去的第二天,我便惊喜地收到了刘宪权教授的回信,信中写道“紫阳 同学:不好意思,我们早几天已经确定自己所带的学生名单,您太晚了,很遗憾。 其实硕士由谁带不是主要的,有什么问题均可以问任何老师的。无论分到谁门下, 均可以联系我。祝学习顺利!”短短数句让我感受到了华政名师的平易近人,也 瞬间让我这么一个外来的小子感受到了华政刑法学学科组各位老师的亲善。得知 导师所带学生名单已经确定后,我便安静的等待着导师的召唤。数天后,我得知 自己进入到了导师张勇教授的门下,自此开启了跟随张勇教授长达五年的硕博士 学习生涯。正是这一重巧合,让我在美丽的华政园遇到了迄今为止我人生中最重 要的恩人张勇教授。 三重巧合促成的缘分一定是久远、珍贵且牢不可破的,导师张勇教授得知我 有继续深造读博的想法后便告诫我要想考上博士,必须在硕士阶段通过大量的阅 读与写作提升学术能力。在云间刑事法论坛的陪伴下,我从一无所知的刑法小白, 到初入学术殿堂的刑法学博士生,一切都得益于导师张勇教授的耳提面命、关心 鼓励。在导师的教导下,硕士期间我才有幸在《法律适用》等期刊上发表论文。 每一次论文的成功发表对我而言都是一次莫大的鼓舞,让我这个不知深浅的愣头 青下定决心放弃待遇相对优厚的工作机会,转而全身心地投入到刑法学博士的应 试准备中。应试准备阶段,导师张勇教授时常关心我的复习情况。这些点点滴滴 的关心汇聚成了应试复习的最大动力,从研二上学期的十月份到研二下学期的三 月份,整整五个月每天保持十余个小时的复习强度,将刘宪权教授所著的《刑法 215 学名师讲演录》与《金融犯罪刑法学原理》等书籍从头到尾地进行记忆背诵,并 且将华东政法大学刑法学诸位老师的学术论文按照发表时间先后进行逐一地阅 读学习。然而,尽管尽了我的最大努力,但是由于本科阶段刑法学基础知识不扎 实,硕士阶段又是两年学制导致在刑法学博士招生考试中成绩并不理想。幸运的 是,当时排名靠前的一位师兄选择了前往检察院就职,而我得以侥幸获得了继续 跟随导师张勇教授攻读博士学位的机会。在博士入学后,导师张勇教授更是时刻 关心我的学业情况,从博士毕业论文选题到大纲拟定再到最后的论文定稿都是在 张勇教授的指导下完成的。可以说,没有张勇教授不辞辛劳的点拨就没有我的今 天。导师之情,终生难忘。学生在未来工作生活中也定当继续努力,取得成绩, 以报师恩。 我还要感谢刘宪权教授。刘宪权教授是华政刑法学科的学术带头人,在华政 没能上过“宪太爷”的刑法课,大学生活都是不完整的。博士阶段有幸与博士同 窗一起在刘宪权教授的劳模工作室内进行学习。刘宪权教授讲授的每一堂课都是 一场头脑风暴,互动式的教学方式让我时刻保持集中注意力,也让我的刑法学理 论知识基础在短期内得以巩固与提高。作为华东政法大学的刑法学博士,入学时 一定都听过刘宪权教授给出的如下告诫:“读书是不吃亏的。”“博士是最高学 历,一定要珍惜读博的机会。”“什么叫做博士,博士跟硕士不一样,一定要具 备能说会写的基本技能,要将他人说不清楚的道理讲清楚。”整个博士学习阶段 中每当我松懈时,总是能想起刘宪权教授的上述告诫,让我又得以基础沉心进行 阅读和写作。此外,我在入学时便知道自己作为两年制的法律硕士,与其他博士 同学在基础知识的掌握度方面还存在较大差距。因此,我时刻保持警惕,不敢有 丝毫松懈。遗憾的是,虽然我始终在以其他同学为目标进行追赶比拼,甚至曾多 次为激励自己公开向同窗发起学习挑战,但是终归由于资质愚钝、基础不牢,直 至今日仍尚未成功赶超诸位同学,在“说”与“写”两个方面都还与诸位同学存 在差距。因此,刘宪权教授的告诫将是我未来学术研究道路上的座右铭,期待自 己可以通过持续努力缩小与诸位同学的差距,真正成为一名“能说会写”的刑法 学博士。 我还要感谢求学路上给我无私帮助和教导的孙万怀教授、于改之教授、何萍 教授、卢勤忠教授、吴允锋教授、李翔教授、毛玲玲教授、王恩海教授、马寅翔 216 副教授、李振林副教授、蒋太柯副研究员。各位老师在平常课堂、讲座和生活中 的点滴教导,让我受益良多。在华政求学五载,遇到了一群志同道合的同学好友, 他们是博士同窗好友江奥立、袁野、练泰霖、周光营、纪康、何鑫、林雨佳、张 泽辰、姜天琦、樊金英、陈柄臣,硕士同窗好友马超、邱青、李孟欣、杨治东、 胡贝贝、方明晖、孙开元、张杨、岑飞、韩志鹏、蒋建、史志霄、汪涛,以及云 间同门王杰、赵宗涛、顾一杰、郑天城、范永虎、徐长江、杭程、章程豪、刘玮 辰等。手足情谊,永铭于心! 师友们的教诲与帮助让我终身受益,但家人们的关心与支持同样重要。外公 外婆的辛苦养育让我得以健康成长,爷爷奶奶的教育引导让我知晓争先向上,爸 爸妈妈姐姐的关心爱护让能够无忧求学。紫阳感谢你们为我做的一切,以前是你 们为我披荆斩棘,以后就换我为你们遮风挡雨。行文至此,已是 2021 年 5 月 9 日深夜 11 时 36 分,此时此刻还在母亲节的有效期内。因此,我谨将本文献给我 亲爱的母亲,感谢您给我的一切,是您的碎碎念念温暖了我的岁岁年年,以后世 界上所有的浪漫和温暖,我都要送您一份。另外,我还要感谢陪伴我将近十年的 朱佩同学,自 2012 年相识相知至今,她从未向我提出过任何要求,只是默默地 克服困难陪伴在我身边。往后余生,冬雪是你,春华是你,夏雨也是你,秋黄是 你,四季冷暖是你。 至此,后记写成,求学生涯也将要结束。从此一别,跃入人海。祝诸位师友 前途似海,来日方长! 217 〇 学 t VM ^5 ) 论 文独 创 性声 明 学位论文 : 是我 个 人 在 导 师 指 导 下 进 行 的 研 宂 工 作 及 取 以 标注 和 致 谢 的 地 方 外 果 不包 . ; v 其他 研 宂 齐对 本研 宂的 A 发 丨 表示了 谢意 ! 丨 的 研宂成采 , 论文中除 了 特別 加 j ( 他 人 或 n 它 仉 构 己 经 发 表 或m 写 过的 研 宂 成 〖丨 所做 的 贝献 均 已 作 论 文 中 作 了 明 确 的 卢 明 并 : ‘ ? 丨 丨 , 学院 : 糾告 在 唸 斤 作者签名 : . 专业 迦 日 : 期 4 ^ : 0 1 论 文使 用 授 权 声 明 本 人 完全 了 解 华 东 政 法 大学 冇 关 保 留 权 保 留送交 论 文 的 复 印件 论 文的 全部或部 分 内 容 , , 、 使 用 学位 论 文 的 规 定 允许 论 文被 杏 阅 和 借 阅 并制 作光 盘 可 以采 用 影 印 、 . , 即 缩 印或其 它 复 制手段 保 存论 文 ? 。 作 者 签 名 导 师 签 名 日 期 : : 2 18 学 校有 学 校可 以 公布 同 时 有 权 将 本 学 位 论 文 加 入 全 国 优 秀 W 硕 士 学 位 论 文 共 述 单 位 数据 库 论 文在 解 密 后逍 守 此 规 定 : : ? 学晈 保密 的