数据犯罪刑法规制的安全体系重构路径

一、数据犯罪治理的现实困境：从技术风险到规范失效

在人工智能与大数据深度融合的数字时代，数据作为新型生产要素的战略价值日益凸显。国际数据公司（IDC）发布的《数据时代 2025》报告预测，2025 年全球数据总量将突破175ZB（1ZB=10 亿 TB），其中中国数据量预计达 48.6ZB，占全球总量的 27.8% ，年均复合增长率高达 30%_∘ 然而令人警醒的是，中国未受有效保护的数据规模达 16.2ZB，占本土数据圈总量的三分之一，金融、医疗、政务等关键领域成为犯罪重灾区。2024 年国家互联网应急中心监测到 3.7 万起有效数据泄露事件，银行业占比最高，典型案例包括某国有银行因内部人员违规批量导出客户征信数据致数十万条敏感信息泄露，以及某头部外卖平台因 API 接口漏洞遭黑客攻击，导致5700 万用户订单信息被贩卖于暗网。

数据犯罪形态呈现技术化、产业化升级趋势。勒索软件攻击已形成“数据加密 + 威胁泄露”的双重勒索模式，2025 年第一季度全球攻击量同比激增 101.8% 。某新能源汽车企业因生产控制系统数据被加密，核心生产线瘫痪 28 天，直接损失超 3000 万元，支付比特币赎金后数据恢复率仅 32% 。更值得警惕的是，AI 深度伪造技术助推精准诈骗，公安部统计显示网络钓鱼攻击报告量同比暴增 466% ，香港地区破获的首起 AI“多人实时变脸”诈骗案中，犯罪分子利用深度合成技术冒充企业高管，成功骗取 2000 万港元，凸显技术犯罪的高仿真危害性。在此语境下，数据犯罪可界定为以数据为犯罪对象、犯罪载体或犯罪工具，系统性侵犯个人、集体及国家数据安全的犯罪行为。

现行刑法规制体系陷入双重困境：其一是载体依附型缺陷，将数据安全捆绑于计算机信息系统安全。典型如《刑法》第 285 条非法获取计算机信息系统数据罪，其构成要件严格限定“侵入系统”行为。但在云计算、边缘计算普及的当下，数据存储呈现去中心化特征，物联网设备生成数据、离线存储介质数据等新型载体处于规制真空。其二是内容映射型缺陷，过度依赖传统法益保护路径。例如将数据犯罪简单还原为侵犯公民个人信息罪（保护人格权）或侵犯商业秘密罪（保护财产权），忽视数据作为独立客体所需的完整性、可用性保障。这引发系统性法律危机：一方面规制漏洞持续扩大，某军工研究所间谍伪装清洁工窃取未联网硬盘中的实验数据，因不符合“侵入系统”要件无法定罪；另一方面处罚边界模糊导致司法实践混乱，某电商平台员工删除 20 万条用户差评数据被以破坏计算机信息系统罪起诉，但该行为实际未影响系统运行，暴露罪名适用的" 口袋化" 倾向，侵蚀罪刑法定原则根基。

二、数据犯罪的本质重释：独立法益的理论建构

数据犯罪的规制困境，本质在于立法与理论未能确立数据安全的独立法益地位。数据具备三重不可分割的属性：形式属性体现为信息载体功能，承载人类活动记录与知识结晶（如电子病历、气候观测数据）；资源属性彰显其经济价值，可通过市场化交易实现资本转化（如用户行为画像的商业化开发）；管理属性要求法律规范全生命周期流程（包括收集、存储、传输、销毁各环节）。传统刑法规制或聚焦物理载体安全（如计算机信息系统运行稳定），或将数据安全还原为内容指向的具体权益（如隐私权、商业秘密），均未独立评价数据作为“信息内容本体”的安全需求——即通过保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及有序管理（Orderly Governance）构成的 CIA-O 安全模型。

该模型蕴含四维保护内涵：保密性安全要求防止数据被非授权访问、获取或披露，核心是保障数据主体对访问权限的控制权。例如黑客利用零日漏洞爬取电商平台用户数据库，或企业内部人员越权下载客户交易记录，均构成对保密性的直接破坏。完整性安全禁止数据被非法篡改、破坏或污染，确保信息真实可靠。典型如篡改区块链交易记录掩盖洗钱行为，或向人工智能训练数据集注入 30% 的噪声数据导致算法决策偏差。可用性安全保障授权主体在必要时可及时可靠地访问数据，避免因攻击或故障导致服务中断。2017 年 WannaCry 勒索软件攻击致英国国民医疗系统瘫痪，即是对可用性的典型破坏。安全管理秩序要求数据处理者履行法定义务，防止滥用数据控制权。如某社交平台未对 2 亿用户密码实施哈希加密致数据泄露，或关键基础设施运营商未建立数据备份机制，均属对管理秩序的实质性违反。

确立数据安全为独立法益具有双重法律价值：其一体现独立性。数据安全既区别于计算机系统安全（关注硬件与软件运行稳定），也不同于传统国家安全（涉及政权稳固与军事机密），而是数字空间的“底层架构安全”。例如医疗数据大规模泄露首先侵害数据保密性，继而可能衍生群体性隐私危机；工业控制系统数据被篡改直接破坏完整性，最终可能引发生产安全事故。其二彰显基础性。数据犯罪常作为上游犯罪为下游传统犯罪提供支持。公安部2025 年犯罪白皮书显示， 83.6% 的电信网络诈骗案件依赖非法获取的个人信息实施精准话术设计， 71.2% 的商业间谍案件涉及核心技术数据窃取。这表明数据安全治理具有源头防控的战略意义。

当前法益理论亟需范式转型。传统刑法以“人的利益”为核心构建保护体系，数据仅作为财物或“工具”被间接保护。例如侵犯公民个人信息罪侧重人格权保护，但气象观测、交通流量等公共数据的安全缺乏专门保障。因此，必须突破“人本中心主义”桎梏，在刑法体系中确立“数据信息内容安全”的独立法益地位，这是数字时代刑事立法的必然选择。

三、刑法体系的重构路径：从零散修补到系统革新

现行刑法对数据犯罪的规制呈现碎片化特征，亟需通过罪名体系专业化改造、义务型罪名整合及关联罪名构建实现系统性重构。首要任务是突破传统罪名对计算机系统的路径依赖，将非法获取计算机信息系统数据罪转型为非法获取数据罪，彻底消除“系统依附性”。重构后的罪名需扩展行为对象至所有承载实质信息价值的“内容性数据”，包括但不限于个人信息、商业秘密、科研数据等，但排除操作系统程序等纯功能性数据；在行为方式上应涵盖技术侵入（如 APT 攻击）、物理窃取（如盗取离线硬盘）、欺骗手段（如伪造公文骗取数据）等多元非法获取途径，以“未经授权或超越授权”为核心要件。刑罚梯度设置需体现罪责刑相适应原则：对非法获取普通数据5 万条以上的基础情形处三年以下有期徒刑；对获取国家核心数据或 10 万条敏感个人信息等严重情节处三年以上七年以下有期徒刑；对向境外提供国家核心数据造成重大安全风险等特别严重情形处七年以上十年以下有期徒刑。此举可有效解决现实困境，如间谍伪装清洁工窃取未联网服务器中的高精度雷达图纸案件，因不符合原罪名“侵入系统”要件无法定罪的问题将迎刃而解。

针对数据犯罪链条中游的规制空白，需增设非法持有、提供数据罪填补法律漏洞。该罪名的行为模式应覆盖“非法持有”（明知数据来源非法仍持续控制，如将生物识别信息存储于私有云）与“非法提供”（通过暗网出售、跨境传输等方式转移控制权）；犯罪对象限定于国家核心数据、生物识别信息等高风险类型；入罪门槛设定为“情节严重”，需综合考量数据量（敏感信息 10 万条以上）、实际危害（如引发群体性诈骗）、主观恶性（意图用于恐怖活动）等因素。刑罚参照非法持有毒品罪逻辑，基础刑为三年以下有期徒刑，涉及国家核心数据或向敌对势力提供等情节特别严重情形处三年以上七年以下有期徒刑。典型如某支付平台前工程师离职后持续持有 120 万条用户生物信息并通过暗网分批次出售的案件，可同时适用本罪与非法获取数据罪数罪并罚，实现犯罪链条全程覆盖。

为精准保护数据本体价值，应独立设立破坏数据罪取代现行破坏计算机信息系统罪中“影响系统运行”的错位要件。该罪保护法益聚焦数据完整性与可用性本身，行为类型涵盖删除（如恶意清除医院电子病历）、篡改（伪造股票交易记录）、加密（勒索软件锁定研发数据）、干扰传输（屏蔽气象传感器）等直接损害数据价值的行为。对象严格限定于内容性数据，功能性数据仍由原罪名规制。刑罚阶梯设置需区分层次：对破坏致业务中断 12 小时或损毁普通数据 10 万条的基础情形处三年以下有期徒刑；对破坏国家核心数据、致关键设施瘫痪24 小时、造成超 1000 万元损失等特别严重情形处三年以上七年以下有期徒刑，并可附加禁止从事信息技术职业的资格刑。此举将准确评价某电商员工删除 28 万条用户差评数据这类未影响系统运行但实质破坏数据完整性的行为。

义务型罪名体系需强化主体责任追究。增设拒不履行重要数据安全保护义务罪，义务来源直接关联《数据安全法》第 27 条的全流程管理制度与《个人信息保护法》第 55 条的风险评估要求。主体范围限定于国家目录认定的核心机构，包括关键信息基础设施运营者及重大民生平台；行为构造采用纯正不作为犯模式，必须同时满足“行政前置（网信部门责令整改）+ 拒不改正（如规避数据本地化存储） + 实质危害（百万级信息泄露或国家核心数据出境）”三要件；刑罚配置实行双罚制，对单位处年营业额 10%-20% 罚金，对直接责任人员处三年以下有期徒刑，可附加终身从业禁止。此设计将有效解决某省级医保平台未加密 3400 万参保人数据遭窃取却无法追责的困境。

关联罪名群构建应覆盖数据全周期风险：设立数据非法出境罪区分经济风险（未报备出境金融数据处三年以下）与国家安全风险（向境外提供军工数据处三年以上十五年以下有期徒刑）；创设扰乱数据交易管理秩序罪打击伪造数据来源、操纵价格（溢价 300% ）、开发“数据洗白”工具等黑市行为，交易额超 500 万元或涉未成年人信息处三年以上七年以下有期徒刑；构建妨害数据正当竞争罪规制平台封锁公共数据接口、算法价格歧视（差价 200% ）、污染开源数据集（注入 30% 噪声）等新型不正当竞争，造成经营者损失超 30% 营业额的情节特别严重情形处五年以上十年以下有期徒刑，并可判决拆分数据资产。这三类罪名形成对数据跨境流动、黑市交易、市场竞争等关键风险点的立体防控网络。

新罪名体系需在刑法分则第六章设立“危害数据安全罪”专节，形成“预防（义务罪）-监控（交易罪）- 惩治（获取/ 持有/ 破坏罪）”的功能闭环。体系协调需厘清三重边界：与破坏计算机信息系统罪的本质区别在于前者保护数据内容安全（如用户聊天记录），后者保护系统功能安全（如系统启动文件）；与传统罪名竞合时遵循“特别法优先”原则，但当批量数据泄露危害整体安全秩序且新罪量刑更均衡时（如单位罚金力度显著提升），可例外适用数据安全罪名；对虚拟财产数据实施分类规制——比特币等具交易性的适用财产犯罪，交通流量原始数据等无直接经济价值的归属破坏数据罪范畴。这种体系化安排既避免法律真空，又防止刑罚重叠。

四、结语：数字时代刑法的范式转型

数据安全是国家安全体系的战略支点，更是数字经济发展的压舱石。现行刑法的“补丁式”规制模式已难以应对数据犯罪的复杂生态，其根本症结在于未能将数据安全作为独立法益进行体系化保护。通过确立“数据信息内容安全”的核心地位，构建覆盖数据全生命周期的罪名体系——从非法获取、持有、提供数据的流通管控，到破坏数据的行为惩治，再到拒不履行安全义务的责任强化——刑法实现三重范式转型：规制对象从“载体依附”转向“数据本体”，保护阶段从“事后惩治”转向“全周期防控”，治理理念从“被动应对”转向“主动治理”。

在规范设计层面需注重平衡艺术：非法获取数据罪通过“授权获取”要件为科研机构使用公开数据集预留空间；妨害数据正当竞争罪在打击垄断行为同时允许合理数据利用；数据非法出境罪根据风险等级设置 3 年至 15 年的刑罚梯度，既捍卫数据主权又保障跨境贸易。未来亟需配套措施落地：通过司法解释明确“重要数据分类目录”（如区分一般数据 / 核心数据）、“情节严重量化标准”（如按数据类型设定泄露条数阈值）；推动设立数据犯罪专业法庭，建立司法鉴定机构数据安全评估规范；引导企业构建涵盖数据采集、传输、存储、销毁的全流程合规体系。

五、结语

在全球数据治理竞争白热化的背景下，中国刑法的系统性重构具有深远意义。据 WTO统计，2025 年全球数据跨境流动规模达11 万亿美元，主要经济体相继出台《欧盟数据法案》《美国 CLOUD 法案》。通过数据非法出境罪等特色罪名，我国可在司法协助中强化“数据主权”主张，主动参与全球规则制定。唯有构建“立法精准化、司法专业化、执法协同化、守法常态化”的治理生态，才能使刑事法律转化为数据安全的硬屏障，为数字中国建设筑牢法治根基，在全球数字治理中提供具有中国智慧的解决方案，最终实现数据要素市场化配置与安全保护的动态平衡。

参考文献

一、期刊类

[1] 江溯. 数据刑法概念的反思与重塑——以个人信息保护与数据获取行为的刑法评价为切入 [J]. 南京大学学报 ( 哲学·人文科学·社会科学 ), 2025, 62 (02): 22-36+158.

[2] 李亚龙 , 周荣江 . 数据犯罪司法适用路径纠偏探析 [J]. 政法学刊 , 2025, 42 (02): 67-76.

[3] 张则超 . 数据安全刑法双重保护构造体系的实然考察与应然转向 [J]. 湖北警官学院学报 , 2025, 38 (02): 108-117.

[4] 冯明昱 . 数据安全风险的刑法规制完善 [J]. 大连理工大学学报 ( 社会科学版 ),2025,46(01):110-119.DOI:10.19525/j.issn1008-407x.2025.01.013.

[5] 于润芝 . 数据犯罪刑法规制的价值选择、法益定位及利益识别 [J]. 河南财经政法大学学报 ,2024,39(06):78-89+100.

[6] 吴 沛 泽 . 数 据 犯 罪 的 刑 法 规 制 : 法 益 内 涵 与 体 系 构 建 [J]. 中 国 刑 事 法 杂志 ,2024,(05):121-138.DOI:10.19430/j.cnki.3891.2024.05.002.