大数据背景下数据犯罪的刑法规制研究

IV第一章绪论一、研究背景信息技术发展很快，现在是大数据时代了。在这个情况下，数据犯罪越来越多，给我国的数据刑事立法和司法工作带来很大挑战。为了解决大数据时代的这个问题，现在很需要精准打击数据犯罪，建立完善的数据犯罪刑法管理体系。二、研究意义（一）理论意义数据犯罪的刑法规制具有重要的理论意义，主要体现在以下几个方面：1.明确数据的法律地位。这有助于在司法实践中准确认定和处理数据犯罪，确保法律用得对，并有效预防和减少数据犯罪行为，保护数据不被泄露、不被篡改。2.推动数据保护法律体系的完善。刑法规制是数据保护法律体系的一部分，刑法规制的完善，有助于形成更加全面的数据保护法律体系，以应对新的犯罪的挑问题。（二）实践意义数据犯罪的刑法规制具有重要的实践意义，能够保护数据的安全，让数字经济的发展，维护了国家安全和公共安全。主要体现在以下几个方面：1.维护国家与公共安全。通过明确核心数据保护范围、强化数据主权管辖权，有效阻断跨境数据的非法流动，给国家建起数字化时代的安全防线。2.促进数字经济发展。在打击数据非法交易的同时，也为合法数据流通提供制度保障，使数字经济的健康发展。3.保障数字社会秩序。弄清楚数据权益的法律属性与保护边界，建立起个人隐私、财产权等权益的保护体系，为数字社会的稳定运行打下法律基础。三、国内外文献综述（一）国内随着数字经济的蓬勃发展，数据已成为关键生产要素，数据犯罪问题也越来越明显。国内学者围绕数据犯罪的形式定位展开了多方面研究，研究如下：第一，关于数据犯罪的概念与范畴。刘宪权（2022）提出，数据犯罪以数据为核心，涵盖侵害数据及利用数据危害社会经济秩序的行为，像商业领域非法获取竞争对手数据。周光权教授指出，数据犯罪范畴随信息技术发展不断拓展，已延伸至国家安全关键数据领域。第二，关于数据犯罪的刑法定位研究。姚万勤（2024）主张数据犯罪刑法定位为信息犯罪的前置化。孙胤雯等学者发现，数据犯罪与传统财产犯罪在犯罪构成上存在交叉，数据盗窃的价值认定与罪名区分在司法实践中存难题。第三，关于数据犯罪的法益保护研究。刘宪权教授（2022）表明，数据犯罪侵害的法益是国家数据管理秩序。姚万勤（2024）则认为，数据犯罪保护法益核心是数据的保密性、可用性与完整性。第四，关于数据犯罪的刑事法律规制研究：陈琦（2024）建议，基于现行《刑法》第285条，单独设立非法获取数据罪，增设非法提供、使用数据罪，完善数据流通环节的法律规制。（二）国外国外数据犯罪的刑法规制学者观点随着信息技术的迅猛发展，数据犯罪成了全世界都关注的焦点问题。各国学者对数据犯罪的刑法规制提出了不同看法，下面是主要的一些：第一，关于数据犯罪的核心研究。美国学者多认为，数据犯罪刑法规制核心是隐私保护。奥瑞·斯洛特教授提出，刑法应强化个人数据保护，提高违法成本，同时兼顾技术创新。第二，关于数据犯罪刑法规制研究。欧盟学者关注数据主权，维维亚娜·雷丁教授指出，欧盟《通用数据保护条例》实施标志数据主权时代到来，数据犯罪需综合运用刑法、行政法、民法等手段规制。日本学者秉持技术中立原则，佐藤幸治教授认为，刑法规制不应针对特定技术，应注重预防，侧重处罚数据泄露等严重后果。综上所述，现有研究在数据犯罪的概念界定和刑法规制路径方面已取得重要成果，但在罪名适用冲突和数据犯罪预防机制缺失等问题上仍研究不足。基于此，本文的创新之处主要体现在以下三个方面：1.视角创新。本论文突破传统刑法的单一分析框架，将数据技术与刑法保护相结合，重点关注数据流通的刑事风险防控。2.方法创新。本文采用“国内实践梳理+域外经验比较”的分析路径，通过对比国外典型立法模式，提炼适合我国数据犯罪治理的刑事政策。3.内容创新。本文不仅系统梳理了现有罪名适用问题，还提出了立法完善、司法指引、技术预防等治理方案，着力解决数据犯罪治理中“重打击轻预防”的问题。四、研究内容本研究聚焦数据犯罪的刑法规制，主要内容如下：1.数据犯罪的基础理论。明确数据犯罪的概念，分析它的特征，将数据犯罪与网络犯罪、计算机犯罪、信息犯罪等相关概念区分开，帮助理解数据犯罪在犯罪体系中的独特定位。2.数据犯罪刑法规制现状与不足。整理我国数据犯罪的刑事立法和司法保护现状，分析现有刑法规制存在的不足，比如罪名设置完不完善、法益保护范围是否清楚、刑罚结构是否合理等问题。3.国外数据犯罪的刑法规制对比。研究国外关于数据犯罪的刑法规制情况，学习有用的经验，给完善我国数据犯罪刑法规制做参考。4.数据犯罪刑法规制的完善。在立法方面，新增刑事罪名、强化司法指导与监督、调整刑罚结构；在构建刑法规制的多元治理支撑上，构建多部门合作监管机制、加强预防数据犯罪的国际合作、提升技术防护能力、加强数据安全法律法规的宣传教育。第二章数据犯罪的基础理论一、数据犯罪的概念与特征（一）数据犯罪的概念数据犯罪就是以数据为犯罪对象、手段或工具而实施的犯罪行为。这种犯罪一般包括侵犯计算机信息系统类犯罪、侵犯公民个人信息罪等。从犯罪学角度来看，数据犯罪的概念更广泛，它包含将数据作为客体、载体和工具的一切行为，侵犯了公民个人合法权益、社会公共秩序和国家安全。（二）数据犯罪的特征数据犯罪的主要特征包括：技术高度融合性，高度依赖信息技术与通讯技术、借助计算机系统与网络平台等先进手段实施非法行为；隐蔽性强，多在网络空间进行、犯罪过程难以追踪揭露、证据搜集固定难度大；危害后果严重，侵害范围广泛（涉及国家核心数据、企业商业机密及个人隐私等）、数据泄露或不当使用会引发严重后果；跨领域性，犯罪主体与受害对象跨越计算机科学、网络安全及法律等多个领域、需多部门协同应对；以数据非法交易为核心，主要表现为数据非法买卖与获取、形成涵盖非法出售、购买及使用的完整犯罪链条；数据形式多样，涉及内容丰富（含公民个人信息、网络虚拟财产及数据财产权益等）；具累积性构罪特征，刑事纠纷案件常呈现多个危害程度较轻行为累积后达到较高危害程度才构成犯罪的特点。在司法实践中，数据犯罪的特性对侦查与打击工作带来了很多现实挑战。数据犯罪技术深度融合性的特征使犯罪者惯于利用计算机系统、网络平台等技术手段实施违法行为，这要求侦查人员须掌握专业技能。数据犯罪的隐蔽性特征让数据很容易被篡改、删除或加密，传统手段难实时固定证据，而且部分犯罪行为具长期潜伏性，危害后果显现时关键证据链易遭破坏。危害广泛性与跨领域性的特征使得犯罪行为常侵害多重法益，而现行刑法缺乏量化标准影响定罪量刑准确性，且多领域犯罪需多部门协同，但数据共享机制不健全等问题致案件流转效率低。累积性构罪特性造成单个危害较轻的行为因为没有达到定罪门槛，很难追究责任，需要长期监测和积累证据，且累积行为与后果间因果关系可能跨主体与时间段、证据链容易断裂导致轻判或无法定罪。二、数据犯罪与相关概念的区分（一）数据犯罪与网络犯罪网络犯罪是指行为人运用计算机技术，通过网络对其系统或信息进行攻击、破坏或利用网络进行其他犯罪的总称。网络犯罪的范围较广，它包含了以计算机系统自身为对象的犯罪行为（例如，危害信息系统的安全），还包含了以计算机为犯罪手段（例如网上欺诈）的传统犯罪，以及完全依托网络空间实施的新型犯罪（如虚拟空间非法交易）。从侵害对象看，网络犯罪有的是损害网络特有的安全秩序（如系统漏洞攻击），有的是通过网络手段侵害传统法益（如财产权、人身权）。而数据犯罪的界定比较清楚，虽然数据犯罪与网络犯罪一样都要靠互联网技术，但从法律规范层面上来看，数据犯罪直接侵犯的法益能独立识别，如数据安全、隐私权等，因此应将其视为网络犯罪体系中的特殊分支，和网络犯罪不能直接划等号。（二）数据犯罪与计算机犯罪计算机犯罪，是指在信息活动领域中，利用计算机信息系统或计算机信息知识作为手段，或者针对计算机信息系统，对国家、团体或个人造成危害，依据法律规定，应当予以刑罚处罚的行为。数据犯罪与计算机犯罪有明显的不同点，计算机犯罪主要是指针对计算机信息系统的犯罪行为，它侵害的核心法益在于系统的安全性和功能性。例如《刑法》第285条所规定的“非法入侵”罪和第286条所涉及的“破坏系统罪”，这些条款都将计算机系统的安全保护作为立法的出发点，体现了立法者对于信息安全重要性的认识和重视。有些法律条文中有一些相同的地方，比如非法获取计算机信息系统数据罪就包含了对系统及数据的侵害。数据犯罪与计算机犯罪的最大区别在直接攻击的对象，计算机犯罪所关注的是系统本身，而数据犯罪侧重于系统中存的各种数据资源。和单纯的计算机操作相比，数据犯罪常用到复杂的网络攻击、隐私窃取或信息篡改等技术手段。这些犯罪活动会破坏数据的完整性，号可能造成个人隐私与商业机密的泄露。（三）数据犯罪与信息犯罪信息犯罪是指针对信息系统的正常运行或信息本身实施的犯罪行为，目的是破坏信息系统的功能或非法获取、利用信息资源。数据犯罪和信息犯罪概念容易搞混，主要是因为立法和理论上没有对“数据”和“信息”之间的关系明确规定。目前，虽然《民法典》、《数据安全法》、《个人信息保护法》等法律法规已经初步建立起了数据保护体系，但是还是没把“数据”和“信息的关系”理顺，存在着冲突和不明确的问题。在民法领域，《民法典》第111条与第127条分别提到“个人信息”和“数据”的保护规则，能看出二者存在区别，可没对它们的概念内涵作出区分。这样笼统的规定，让法律在适用中很难分清保护对象。行政法层面，《数据安全法》第3条将数据定义为“对信息的电子或其他形式记录”，试图以“载体—内容”关系切割两者。但此定义缺乏实际意义：数据与信息本质上均属无形物，信息需依附载体呈现，而数据本身也包含实质性内容（如加密信息、交易记录等）。若将二者简单对立为形式与内容，将导致法律逻辑断裂——任何侵害数据或信息的行为必然同时涉及形式与内容，无法割裂处理。有些司法解释直接将数据与信息当成一个东西，例如将非法获取计算机信息系统数据罪中的“数据”限定为“身份认证信息”，而身份认证信息又被反向定义为“用于权限确认的数据”。这种循环定义实际上模糊了数据和信息的边界，导致在司法实践中,大家经常把这两个概念混着用。REF_Ref21331\r\h[1]第三章数据犯罪刑法规制的现状与不足一、数据犯罪刑法规制现状（一）数据犯罪的刑事立法保护现状1.系统数据犯罪我国刑法对系统数据犯罪的规制主要体现在《刑法》及相关修正案中。1997年修订的《刑法》第286条第2款《中华人民共和国刑法》第286条第2款的内容是：违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。集中体现了对数据犯罪的规定，规制破坏计算机系统数据的行为，保护计算机系统中的数据，并明确了“破坏型数据犯罪”。2009年《刑法修正案（七）》新增第285条第2款，引入了非法获取计算机信息系统数据罪与非法控制计算机信息系统罪。这一修订不仅填补了刑法对“非法获取”“非法控制”等行为的规制空白，还将诸多新型网络数据犯罪纳入打击范围。自此，我国数据犯罪的刑法规制模式由单一的“破坏数据”扩展至“非法获取”“非法控制”等多元形态，提升了对数据犯罪的打击力度与覆盖范围。《中华人民共和国刑法》第286条第2款的内容是：违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。2.个人数据犯罪个人数据犯罪的立法保护主要集中在公民个人信息的保护上。依据《中华人民共和国个人信息保护法》与《中华人民共和国数据安全法》，个人信息被视为以电子或其他形式记录的与已识别或可识别的自然人相关的信息，而数据则是信息的电子化记录形式。因此，信息与数据实质上构成同一事物的不同方面，信息是内容的表达，数据是形式的承载。基于此，个人信息处理者往往也是数据处理者，遭受滥用或泄露的高价值个人信息实质上反映了数据权益的受损。REF_Ref24763\r\h[2]2015年颁布的《刑法修正案（九）》新增了“侵犯公民个人信息罪”侵犯公民个人信息罪，该罪名规定，违反国家相关规定，擅自向他人出售或提供公民个人信息，且情节严重者，将面临三年以下有期徒刑或拘役，并可并处罚金；若情节特别严重，则处罚将升级为三年以上七年以下有期徒刑，并处罚金。对于在履行职责或提供服务过程中获取公民个人信息，并出售或提供给他人的行为，将依据前款规定从重处罚。同样，窃取或以其他非法手段获取公民个人信息的，也将依照首款规定予以惩处。，对公民的个人信息保护进行了补充，从多个维度完善了公民个人信息的刑法保护体系。从行为类型来说，打击主动出售、提供公民个人信息的行为，也惩处窃取或其他非法获取信息的做法，全面覆盖了个人信息非法流转的各个环节。在处罚设定上，这个罪分情节严重与情节特别严重的情形，设置了不同轻重的刑罚，针对特定的主体从重处罚，让刑罚配置更加科学合理。同时这个罪名适用于所有单位和个人，不像原《刑法》第253条之一所规定的特定单位（如国家机关、金融、电信等）及其工作人员。这一变动为打击侵犯公民个人信息的犯罪行为提供了更为明确的法律基础，有效弥补了刑法在公民个人信息安全保护方面的法律空白。侵犯公民个人信息罪，该罪名规定，违反国家相关规定，擅自向他人出售或提供公民个人信息，且情节严重者，将面临三年以下有期徒刑或拘役，并可并处罚金；若情节特别严重，则处罚将升级为三年以上七年以下有期徒刑，并处罚金。对于在履行职责或提供服务过程中获取公民个人信息，并出售或提供给他人的行为，将依据前款规定从重处罚。同样，窃取或以其他非法手段获取公民个人信息的，也将依照首款规定予以惩处。3.企业数据犯罪企业数据犯罪的立法保护主要体现在对商业秘密和网络信息安全的保护上。《刑法修正案十一》增设了“为境外窃取、刺探、收买、非法提供商业秘密罪”为境外窃取、刺探、收买、非法提供商业秘密罪，即“为境外的机构、组织、人员窃取、刺探、收买、非法提供商业秘密的，处五年以下有期徒刑，并处或者单处罚金；情节严重的，处五年以上有期徒刑，并处罚金”。，本罪的增设弥补了原有刑法体系对经济间谍行为规制不力的缺憾，与其他相关罪名如为境外窃取、刺探、收买、非法提供国家秘密、侵犯商业秘密罪、情报罪等形成互补关系，进一步完善了我国商业秘密刑事保护体系，使商业秘密数据在面临不同类型的侵犯风险时，都能有相应的法律条款予以规制。\o""除此之外，《刑法修正案（九）》中新增的第286条之一——“拒不履行网络信息安全管理义务罪”，使网络服务提供者的安全管理义务得到了细化。这些义务不仅包括保障信息网络的接入、计算、存储、传输等基础服务，还包括信息网络应用服务和公共服务提供者在收集、存储、使用用户信息时必须遵守的安全标准。一旦发现有泄露用户信息、传播违法信息等违法行为，相关的网络服务提供者也将面临刑事责任。REF_Ref24963\r\h[3]为境外窃取、刺探、收买、非法提供商业秘密罪，即“为境外的机构、组织、人员窃取、刺探、收买、非法提供商业秘密的，处五年以下有期徒刑，并处或者单处罚金；情节严重的，处五年以上有期徒刑，并处罚金”。（二）数据犯罪的刑事司法保护现状在司法实践中，对数据犯罪的规制呈现出日益扩大的趋势，主要体现在以下两个方面：1.计算机信息系统概念的扩张解释拓宽了数据犯罪的规制范畴。以往，承载数据的系统主要局限于传统意义上的计算机，功能相对单一，多围绕办公、科研、计算等场景展开。2011年，最高人民法院与最高人民检察院联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称2011年《解释》）第10条《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第10条内容为：对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”“专门用于侵入、非法控制计算机信息系统的程序、工具”“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论，并结合案件具体情况认定。，对计算机信息系统做出新的界定。该条款将网络设备（如路由器、交换机）、通信设备（如基站、调制解调器）、自动化控制系统（如工业生产线上的自动化控制系统、智能交通管理系统）等具有数据处理功能的系统，均纳入计算机信息系统范畴。以前只把计算机作为承载数据系统，这种想法太局限了，这一司法解释，把很多新型、具备数据处理能力的设备系统包括进来，扩大了承载数据的系统边界。这样一来，侵入各类新纳入系统并实施数据窃取或破坏的行为，都被纳入刑法的规制范畴，能更好地应对现在技术发展带来的各种数据犯罪问题。《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第10条内容为：对于是否属于刑法第二百八十五条、第二百八十六条规定的“国家事务、国防建设、尖端科学技术领域的计算机信息系统”“专门用于侵入、非法控制计算机信息系统的程序、工具”“计算机病毒等破坏性程序”难以确定的，应当委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论，并结合案件具体情况认定。2.数据概念的司法扩张拓宽刑法保护边界。2011年《解释》第1条将“数据”限定为网络金融服务中的身份认证信息或其他身份认证信息，但在司法实践中个案裁判正在不断突破这一范围。例如在吴某非法获取数据案中，被告人通过搭建钓鱼网站、群发诈骗短信等新型技术手段，非法获取企业营销系统账号密码等运营数据。法院认为这些数据和企业经营有关，还能产生经济价值，将其纳入刑法保护范围，突破了司法解释的原定界定。又如在陈某等人破坏计算机信息系统案中，被告人通过非法登录交管系统后台，对驾考学院体检信息、交通违章记录等公共管理数据进行篡改。法院判定这种行为破坏了社会管理秩序，属于犯罪。另外，2016年两高发布的《关于办理环境污染刑事案件适用法律若干问题的解释》第10条《最高人民法院、最高人民检察院关于办理环境污染刑事案件适用法律若干问题的解释》（法释〔2023〕7号）第十条内容如下：承担环境影响评价、环境监测、温室气体排放检验检测、排放报告编制或者核查等职责的中介组织的人员故意提供虚假证明文件，具有下列情形之一的，应当认定为刑法第二百二十九条第一款规定的“情节严重”：1.

违法所得三十万元以上的；2.

二年内曾因提供虚假证明文件受过二次以上行政处罚，又提供虚假证明文件的；3.

其他情节严重的情形。实施前款规定的行为，在涉及公共安全的重大工程、项目中提供虚假的环境影响评价等证明文件，致使公共财产、国家和人民利益遭受特别重大损失的，应当依照刑法第二百二十九条第一款的规定，处五年以上十年以下有期徒刑，并处罚金。实施前两款规定的行为，同时索取他人财物或者非法收受他人财物构成犯罪的，依照处罚较重的规定定罪处罚。也将环境检测数据纳入刑法保护范围，因此，如果企业篡改检测数据来逃避监管的行为，可按照刑法第229条追责。由此可见，司法机关已逐步将数据保护范围从身份信息扩展至产经营、公共管理、环境保护等多维领域。REF_Ref25061\r\h[4]《最高人民法院、最高人民检察院关于办理环境污染刑事案件适用法律若干问题的解释》（法释〔2023〕7号）第十条内容如下：承担环境影响评价、环境监测、温室气体排放检验检测、排放报告编制或者核查等职责的中介组织的人员故意提供虚假证明文件，具有下列情形之一的，应当认定为刑法第二百二十九条第一款规定的“情节严重”：1.

违法所得三十万元以上的；2.

二年内曾因提供虚假证明文件受过二次以上行政处罚，又提供虚假证明文件的；3.

其他情节严重的情形。实施前款规定的行为，在涉及公共安全的重大工程、项目中提供虚假的环境影响评价等证明文件，致使公共财产、国家和人民利益遭受特别重大损失的，应当依照刑法第二百二十九条第一款的规定，处五年以上十年以下有期徒刑，并处罚金。实施前两款规定的行为，同时索取他人财物或者非法收受他人财物构成犯罪的，依照处罚较重的规定定罪处罚。二、数据犯罪刑法规制的不足(一)“数据”概念界定不明确在当前的数据分类体系中，各种数据的定义和边界不清晰，分类边界也存在争议。2011年《解释》把保护范围扩大到网络空间，但没给"数据"进行立法释义，这就和《数据安全法》确立的独立保护体系不衔接。更严重的是，2011年《解释》第七条把非法数据交易行为纳入掩饰、隐瞒犯罪所得罪，把数据直接看作于传统财物。这种解释逻辑不仅没能补上立法漏洞，反而强化了数据犯罪对财产犯罪的依附性。数据概念界定模糊会导致缺乏统一分类标准，导致同类数据行为因数据类型不同可能得出“入罪”或“出罪”的相反结论。例如，司法实践中对企业营销数据、公共管理数据的保护常超出司法解释范围，但对身份认证信息类数据的保护又受限于狭义界定，形成“文本限定过窄”与“实践认定过宽”的矛盾。证据标准难以统一，数据的技术性特征（如加密信息、交易记录）与法律定性冲突。例如，司法解释将“非法获取计算机信息系统数据罪”中的“数据”循环定义为“用于权限确认的信息”，导致电子证据的提取、价值评估缺乏科学依据，影响司法裁判的准确性。（二）法益保护范围不清现行刑法对数据犯罪的规制存在以下法益保护困境：1.在规范层面上，数据安全法益与计算机信息系统安全法益的交叉关系还没弄清楚。《刑法》第285条、286条都提到非法获取与篡改系统里的数据，不过第285条侧重数据保密性保护，第286条更侧重维护系统功能。这两条在“系统数据安全”方面保护范围有重叠，但是法律上没有明确区分标准。REF_Ref29698\r\h[5]2.在司法层面上，法益识别标准混乱，导致保护范围不明确。《刑法》将数据犯罪与计算机信息系统犯罪进行分开，把“非法篡改系统内数据”行为都算成破坏计算机信息系统罪。导致数据安全法益沦为计算机信息系统安全法益的附属品，没有独立保护数据的完整性。REF_Ref29920\r\h[6]3.在价值层面上，数据要素的非排他性与价值不确定性，让法益保护范围更模糊。现行刑法没有数据犯罪量化分析体系，很难准确判断数据犯罪对社会的危害有多大，影响法益保护范围的确定。REF_Ref30014\r\h[7]（三）犯罪对象界定规范缺失1.立法未建立数据分类标准。现行刑法将数据犯罪对象是“计算机信息系统数据”，但司法解释（如2011年《解释》）仅细化了身份认证信息类数据构成犯罪的标准，没区分企业经营数据、公共管理数据等类型。这会导致同类数据行为因数据类型不同，最后可能面临入罪与出罪截然相反的认定结果。2.司法依赖主观价值判断。因为缺少数据分类标准，司法机关认定数据犯罪对象的时候，可能出现文本限定过窄与实践认定过宽的矛盾。具体表现为：一方面，2011年《解释》以身份数据为中心，导致司法实践中不当缩小打击范围，使非法获取身份数据的行为难以入罪。另一方面，司法机关在实际办案中，常常超出司法解释的狭义界定，将网络账户、虚拟财产、企业营销信息、交通违章记录等数据也纳入保护范围，这种扩大解释虽然能应对新型犯罪的挑战，但因没有明确标准而导致保护对象太宽泛。（四）刑罚配置与犯罪危害性不匹配在司法实践中，刑罚的裁定应与犯罪行为相匹配。犯罪情节严重的要重罚，犯罪情节较轻的就轻罚。当前，量刑方面存在量刑标准失衡及罪刑不匹配的问题。拿非法获取计算机信息系统数据罪来说，“情节特别严重”作为第二档量刑标准，但随着技术的飞速进步，犯罪分子获取的数据量经常超过法律规定的界限，基本都被认定为情节特别严重，面临着三年以上的有期徒刑。这种“一刀切”的量刑方式显然不公平，不管是获取数千条还是数百万条数据，犯罪分子都按同一档次判刑，无法与罪刑相适应。数据犯罪的行为常同时涉及传统财产类犯罪和计算机类犯罪。法院一般把计算机类犯罪当成实施财产类犯罪的一种手段或工具，以“择一重罪”的原则进行裁决。以破坏计算机信息系统罪为例，该罪作为计算机类犯罪的典型代表，它的量刑情节分为“后果严重”和“后果特别严重”，“后果特别严重”的处五年以上有期徒刑。相比之下，财产类犯罪的量刑档次更为细致，通常分为三年以下、三年以上十年以下、十年以上三档。破坏计算机信息系统罪的第二档量刑较重，在罪名竞合的情况下，法院往往选择该罪惩处。当案件的其他犯罪要素难以查证时，法院甚至可能会直接依据破坏计算机信息系统罪进行定罪，这样容易判得太重。REF_Ref17790\r\h[8]第四章国外数据犯罪的刑法规制对比一、德国数据犯罪的刑法规制德国在数据刑法保护领域采取了双重路径：一是利用《德国刑法典》的第202a至202d条来保障一般数据的安全：第202a条规制窥探数据的行为，第202b条针对截取数据的行为，第202c条则涉及窥探与截取数据的预备行为，而第202d条则规定了为自己或他人谋取利益而非法获取数据的赃物罪。这四条法规与第303a条的数据变更罪共同构成了《德国刑法典》中对一般数据的全面保护体系。REF_Ref30214\r\h[9]二是依托《德国联邦数据保护法》中的第42条。第42条规定：明知且无正当理由，以职业方式将大量非开放个人数据转发给第三人或使其公布的，处三年以下有期徒刑或者罚金。无正当理由处理或者通过虚假陈述骗取非为公众获知的个人信息，且以此获得报酬或意图使自己或他人获利、使他人受害的，处两年以下有期徒刑或者罚金。这些条款通过明确规定具体的犯罪行为和相应的刑罚，对严重侵犯公民个人信息自决权的行为进行规制，从而保护个人数据。二、美国数据犯罪的刑事规制美国对于数据犯罪的刑事法律规制，主要在于联邦《计算机欺诈与滥用法案》（CFAA）和各州依据它制定的法律。在多年司法实践中，数据犯罪里“授权”的判定标准，从严苛变得宽松。作为美国网络犯罪治理体系的核心规范，《计算机欺诈与滥用法》（CFAA）被编入《美国联邦法典》第18编第1030条款，它的制度设计对全球数据犯罪刑事规制影响很大。这部法律通过类型化立法技术对数据法益实施多维度保护，其中最具代表性的是第1030(a)(2)第1030(a)(2)条款是侵入计算机信息系统并获取数据罪，指行为人故意未经授权或者超越授权侵入计算机信息系统并获取数据的行为。与1030(a)(5)第1030(a)(5)条款：破坏计算机信息系统罪是指行为人故意未经授权或者超越授权删除、修改计算机数据的行为。两项条款。上述条款对未经授权破坏、篡改或删除计算机存储数据的行为设置系统性防御机制。REF_Ref30321\r\h[10]第1030(a)(2)条款是侵入计算机信息系统并获取数据罪，指行为人故意未经授权或者超越授权侵入计算机信息系统并获取数据的行为。第1030(a)(5)条款：破坏计算机信息系统罪是指行为人故意未经授权或者超越授权删除、修改计算机数据的行为。三、欧盟数据犯罪的刑事规制欧盟数据犯罪刑法规制的核心基石是《通用数据保护条例》（GDPR），它于2018年正式生效，取代了之前的《数据保护指令》。GDPR在欧盟数据保护领域具有划时代意义，它并非传统意义上的刑法规范，但其中明确规定严重违规需承担刑事责任，为数据犯罪刑事制裁提供了重要依据。在其出台前，各成员国数据保护立法存在差异，GDPR的统一标准消除了这些分歧，确保数据在欧盟范围内得到一致且高水平保护。例如，它统一规定数据主体对个人数据拥有访问权、更正权、删除权等，企业若违反相关规定，严重时会面临刑事指控。\t"/report/67dc21b3b954ah71j/htmls/right"2004年正式实行的《欧洲委员会网络犯罪公约》,以下简称《公约》），将网络犯罪广义地划分为四大类别。第一类是涉及侵犯数据和信息系统保密性、完整性与可用性的犯罪。这类犯罪行为很严重，因为直接威胁数据和信息系统安全。为了打击这类犯罪，《公约》制定了详细的法律规定，明确了犯罪行为的构成要件和处罚措施；第二类是涉及计算机相关的犯罪，比如计算机相关伪造以及计算机相关欺诈等。第三类是与内容相关的犯罪，主要是通过计算机系统传播淫秽物品、传播种族主义或仇外内容等犯罪行为。第四类是侵犯知识产权的犯罪，涵盖侵犯著作权、商标权、专利权等知识产权的犯罪行为，如未经授权复制、传播、销售受版权保护的作品等。REF_Ref4787\r\h[11]尽管法律在定义上仍局限于计算机数据这一术语，但不难看出，《公约》已将数据看作独立于计算机信息系统的法益，进行单独的法律保护。而在司法层面，欧盟建立欧洲司法组织，推动成员国间司法合作，保证数据犯罪案件在不同成员国司法体系中得到公正、快速处理。欧盟法院通过判例对数据犯罪相关法律条款进行解释和适用，为成员国法院提供统一司法指引，让法律适用标准一致性。REF_Ref30449\r\h[12]四、域外经验的借鉴路径结合德、美、欧等国的立法实践，我国数据犯罪刑法规制可借鉴以下做法：1.构建双重保护体系。一方面在刑法典中设置专门条款保护一般数据安全，另一方面通过附属刑法法律条款保护个人数据，构建全面的数据刑法保护体系。2.细化犯罪行为类型。对窥探、截取、非法获取数据等行为边界进行清晰界定，为司法实践提供明确依据。3.统一保护标准。制定统一的数据保护标准，消除地区间立法差异，确保数据在全国范围内得到一致且高水平的保护。同时，明确数据主体的各项权利，加强对数据主体权益的保护。第五章数据犯罪刑法规制的体系化完善一、完善数据犯罪的刑法规制（一）新增数据犯罪刑事罪名1.单独设立非法获取数据罪具体而言，建议将当前刑法第285条中关于数据犯罪的相关规定进行剥离，并独立成文，以确立专门的非法获取数据罪名。本罪是指违反国家数据管理规定，以非法方法取得公共和私人数据资源，扰乱数据管理秩序，情节严重的行为。建立独立犯罪有两个方面的必要性：其一是数字化经济的发展促进了数据财产的独立客体地位，对其进行单独的犯罪设置可以达到精准保护；其二，作为数据犯罪链条的初始环节，非法获得数据已经严重影响到了数据交易的市场秩序。该罪的成立要件应该包括三个方面：（1）犯罪对象包括基础资料和核心资料，从数据安全的风险传递机理出发，需要对各类数据进行预先的保护；（2）该罪是一种行政法上的犯罪，它的成立必须以违背《中华人民共和国数据安全法》等专门法律的规定为基础，才能通过技术规范来界定违法行为的界限；（3）在定罪标准上，应当参考《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，并将涉案数据、违法所得等定量因素进行综合判断，以体现刑法干预的审慎态度。2.增设非法使用数据罪为应对数据滥用现象，有必要在《刑法》中增设“非法使用数据罪”。本罪旨在填补现行法律对数据分析、挖掘等使用行为的规制空白，避免出现数据使用领域的“监管真空”。对该罪的认定，可以从以下三个方面展开：（1）对本罪的犯罪对象首先要进行区分。一般数据因其规模小、价值密度低，非法使用少量此类数据，通常不会直接威胁到国家、社会及公民的合法权益。因此基于刑法谦抑原则，不宜将此类行为入罪。而重点数据涉及国家安全、公共利益或重大财产权益，对其非法使用将会对构成较大风险，故应受到刑法的严厉规制。（2）本罪的行为方式主要表现为行为人实施深度分析、挖掘等操作以获取数据价值，且非法获利较大，造成重大社会影响或威胁到国家安全。（3）可在以下两种情况排除适用本罪。一是单纯查阅、复制数据的行为，二是分析、利用已失效且无现实危害的数据。3.增设非法提供数据罪我国刑法要补充设立非法提供数据罪，这个罪名指拥有合法数据的单位或个人，违反法律规定，非法将数据提供给第三方的行为。这些数据平台不经过同意就将数据出售给第三方，会损害个人隐私和国家数据秩序，还会让国家对关键信息的掌控能力变弱，严重威胁国家的信息主权。REF_Ref30570\r\h[13]非法提供数据罪的构成要素如下：（1）犯罪主体：将拥有合法数据的互联网平台及个人确定为本罪的犯罪主体，具有很强的现实针对性。这几年，数据犯罪越来越多地通过平台进行，很多新的数据交易平台和个人，为了赚钱，经常非法数据变卖和提供。这种行为严重破坏数据市场，还对个人隐私与国家数据安全造成极大威胁。现行刑法对这类行为规制不足，对网络平台和持有数据者的法律责任界定模糊，无法有效控制。明确这一犯罪主体，有助于填补法律空白，强化对数据犯罪的打击力度。（2）行为方式：非法提供数据罪的行为手段应包括：未经数据主体同意，擅自将数据出售给第三方、违反约定或协议将数据泄露给第三方、提供超出授权范围的数据等行为。设立这个罪名，能够打击非法的数据买卖，还能够让数据行业发展得更好更规范，构建安全合法的数据交易环境。在大数据时代，数据安全至关重要，新增数据犯罪相关罪名具有一定的困难和可行性，在实践中数据犯罪刑法规制面临的困难在于数据类型的复杂性与概念界定的模糊性。由于数据涵盖范畴极为宽泛，涉及个人信息、企业运营数据、公共管理数据等多元类型，不同类别数据在法律属性、价值维度及危害程度上均呈现显著差异。新增罪名时，如何精准厘定"数据"的法律概念并明确犯罪对象的具体范围，成为亟待解决的核心问题。可行性在于当前数据犯罪形势严峻，非法获取、使用和提供数据的行为频繁发生，严重威胁个人隐私、企业利益和国家安全。新增罪名能够更精准地打击这类犯罪行为，满足数据保护的现实需求。德国、美国、欧盟等国家和地区在数据犯罪刑法规制方面有较为成熟的经验，如德国通过《德国刑法典》和《德国联邦数据保护法》构建双重保护体系，美国利用《计算机欺诈与滥用法案》进行类型化立法等。我国可借鉴这些经验，结合自身实际情况增设罪名，完善数据犯罪刑法规制体系。我国已出台《数据安全法》《个人信息保护法》等法律法规，为新增数据犯罪罪名提供了一定的法律基础。这些法律对数据的定义、分类、保护范围等有初步规定，新增罪名可与现有法律相衔接，形成更完整的数据保护法律体系。（二）强化司法指导与监督1.发布指导性案例。最高人民法院和最高人民检察院定期发布数据犯罪方面的指导案例，说清不同类型的数据犯罪的法律适用和裁判标准，为法官办案提供参考范例，使法官能准确理解和适用司法解释。2.加强司法监督。建立健全司法监督制度，监督数据犯罪案件的审判过程和结果，及时纠正因司法解释冲突或滞后导致的错误裁判，确保司法正确。REF_Ref30674\r\h[14]（三）调整刑罚结构1.实施数据分类分级保护机制在数据海量增长的数字时代，刑法应以侵犯实体利益的数据行为为重点，构建差异化的法律保护制度。基于数据的安全性层级，可将其划分为三类：核心数据、重要数据以及一般数据核心数据，指的是那些覆盖领域广泛、群体众多、区域全面，或达到高精度、大规模、一定深度，一旦非法使用或共享，即可能对政治安全构成直接威胁的关键数据。重要数据，则是指那些特定领域、特定群体、特定区域内，或达到一定精度和规模的数据，若被泄露、篡改或损毁，可能直接对数据安全造成严重危害。一般数据，则是指除核心数据、重要数据之外的所有其他数据。。核心数据主要包括国家安全重点领域的相关数据、国民经济命脉、重要民生领域、重大公共利益所涉及的数据，以及经国家相关部门评估认定的其他特定数据。而对组织自身或单一公民个体产生影响的数据，一般不归为重要数据。一般数据没这么容易出安全问题，但也要依据相关法律法规进行妥善管理和保护。核心数据关系到国家安全、经济核心领域及重大公众利益，所以需要用特别的刑法保护措施，这包括降低相关犯罪的成立门槛（例如，将非法侵入行为直接认定为犯罪）并加大惩处力度，以确保数据安全。我国刑法应当与《数据安全法》相结合，对这一类型的数据进行合理的界定。对于重要数据和普通数据，应当设置梯度化保护标准，提高要件门槛与适当量刑构筑分级保护机制。而对于缺乏保护价值的无效数据（如虚假信息、失效数据等）应排除在刑法保护范围之外。核心数据，指的是那些覆盖领域广泛、群体众多、区域全面，或达到高精度、大规模、一定深度，一旦非法使用或共享，即可能对政治安全构成直接威胁的关键数据。重要数据，则是指那些特定领域、特定群体、特定区域内，或达到一定精度和规模的数据，若被泄露、篡改或损毁，可能直接对数据安全造成严重危害。一般数据，则是指除核心数据、重要数据之外的所有其他数据。2.重构数据犯罪定量评价维度建议构建"数额与情节并重"的新型评价体系，特别是对国家治理、社会秩序和公民权利所产生的实质影响进行了研究。新型评价体系既有利于司法审判标准的统一，更能通过法益侵害程度的实质判断防止刑事打击范围的过度扩张。在数字时代背景下，犯罪数额仅是衡量犯罪社会危害性的一个维度，传统的“以数额为主导，情节为辅助”的罪量评价模式已难以全面反映数据犯罪的严重性与复杂性。数据犯罪的社会危害性不能仅凭违法所得或经济损失的数额来单一评判。以数据泄露犯罪为例，其浏览次数、评论数量、转发范围等指标，均能反应犯罪行为对法益造成的实际损害程度。针对数据犯罪应当摒弃过往“数额优先，情节次之”的罪量认定模式，注重考量其行为对国家利益、社会公共利益、个人及组织权益的侵害程度，秉持“数额与情节并重”的原则，对数额和情节因素进行考量。REF_Ref30775\r\h[15]二、构建刑法规制的多元治理支撑（一）构建多部门合作的数据安全监管机制在大数据环境下，仅强调企业数据保护力度的提升尚显不足，还需深入构建和完善数据犯罪治理的协同机制，促进企业与多方高效联动。1.企业与国家相关部门的协作框架至关重要，数据犯罪侦查工作往往需企业配合提供关键信息，需要企业和国家相关部门信息共享与合作，有效的应对数据犯罪挑战。2.国际公司或组织常面临跨国数据管理规定的差异，不仅要遵循国内的法律，还需加强国际组织及合作伙伴的信息交流与技术共享，提高防御技术，推进跨国数据犯罪防治合作。3.数据安全的维护离不开公众监督。提升公民法律意识至关重要，应鼓励公众主动监督、防范并举报数据犯罪，建立全民参与的数据犯罪治理体系，进一步加强对数据犯罪的预防与打击。REF_Ref30883\r\h[16]（二）加强预防数据犯罪的国际合作1.推进全球性公约的制定与国际技术援助。2003年生效的《联合国打击跨国有组织犯罪公约》和正在制定的《联合国打击网络犯罪公约（草案）》为国际合作提供了法律基础。前者明确了跨国犯罪的界定和司法协作机制，后者针对网络犯罪的技术特征，涵盖诈骗、数据窃取等行为，需要各国在技术援助上合作，提升防范能力。2.协调各国法律标准与程序。各国法律对数据犯罪的定义、证据标准及量刑存在不同，通过国际协商推动法律趋同，完善数据犯罪的刑法规制减少犯罪。例如，欧盟《网络犯罪公约》虽已过时，但其对数据保护、跨境取证的规定仍具参考价值。可更新公约内容，纳入数字犯罪新形态（如人工智能犯罪、数字货币洗钱），明确犯罪后果威慑犯罪者。（三）提升技术防护能力为了防止数据犯罪，必须要建立一个