【探讨】AI时代下数据安全的刑法保护困境与出路

来源：凯发官网入口发布时间：2025-03-18 21:39:44

有什么看法呢？欢迎各位在下面进行留言或者来稿参与讨论。对于在本微信公众平台发送的原创稿件，将结合

有什么看法呢？欢迎各位在下面进行留言或者来稿参与讨论。对于在本微信公众平台发送的原创稿件，将结合阅读量酌情给予奖励，湖南省刑事法治研究会每年还将对个人独创的文章进行评奖并予以不一样的等级的奖励。还等什么，快来投稿吧！

摘要：人工智能的迅速发展对数据安全的保护要求持续不断的增加。当前，对数据安全的刑法保护已经没办法满足需求，理论和实务界对数据安全的理解和适用都存在困境。当前我国对数据安全的刑法保护存在的问题主要有：数据安全法益法律属性不够清晰；数据保护的刑事立法滞后，不足以满足与前置法衔接的需要；数据内涵较为模糊导致数据犯罪对象识别不清等。有鉴于此，通过厘清数据与数据安全的内涵和外延、明确数据安全法益的法律属性、增设数据保护独立罪名、完善出罪机制等刑法保护机制，以期为完善数据安全刑法保护体系提供思路。

人工智能已经成为我们日常生活的重要组成部分。从用脸解锁智能手机到生成式人工智能的出现和发展，人工智能已成为我们日常生活的一部分。近年来，人工智能技术已被公共和私营机构广泛采用。尽管人工智能带来了许多便利，但它的使用也给人们个人和整个社会带来了许多风险。但是，人工智能也存在一些问题，例如，它可能会危及隐私和数据保护等基本权利。因此，各国现在都面临着如何在不限制人工智能发展的前提下对其进行监管的挑战。在数据保护方面，欧盟的《基本权利大》采用数据保护权与隐私权区分的二分法，确立的数据保护是一项基本权利-作为拥有规范个人数据处理的规则系统的基本权利，除此之外还包括之后通过欧盟《通用数据保护条例》（GDPR）等数据保护制度。在刑法保护方面，各国也存在保护法例，选择完全或部分采用基于刑事制裁的方法的国家设立了何种数据保护罪？一些国家的大多数数据保护法包含混合方法，英国《数据保护法》规定了罚款通知和刑事制裁，使用刑事制裁属于英国法院的专属权限。大多数欧盟成员国将未通知数据处理的行为定为刑事犯罪。奥地利、芬兰、西班牙和卢森堡将违反保密义务定为刑事犯罪。比利时、丹麦、意大利、西班牙和瑞典将敏感数据的处理定为刑事犯罪。但有些国家规定了更多的罪行。比利时法律就是一个例子，该国对数据控制者的几乎所有数据保护义务都进行了广泛的刑事定罪。我国虽然没有在宪法中明确数据保护权，但是也通过颁布实施数据保护法和网络安全法等法规加强对数据的保护力度，2017年实施的《中华人民共和国网络安全法》，虽然它以保护网络安全和国家安全为目标，但是也是向着建立更全面的数据保护体系迈向积极的一步。数据保护在刑事立法方面主要涉及刑法规定的非法获取计算机信息系统数据罪、侵犯公民个人信息罪、侵财犯罪等，不过随着数字时代发展的迅速，我国的刑事立法的滞后性已经不能满足日益复杂的数据运用和保护的需要，在此背景下刑法对数据的保护应当进行变革，以适应人工智能时代数据发展。不过在此之前还需要明确数据和数据安全是什么？数据安全的法益属性是什么？能否成为刑法上的独立法益存在？这些都是数据安全刑法保护亟待解决的问题。

对于数据的谈论早已存在。理论界最早对数据的刑法定性讨论主要聚焦于虚拟财产犯罪上。获取虚拟财产的定性问题其实不算新的热点问题，人工智能时代出现的网络数据爬取、流量劫持、数据造假、数据泄露、数据勒索等新型犯罪的刑法认定成为新的讨论热点。数据爬虫是学界研究最多的新型犯罪之一。除此之外还包括数据造假、流量劫持等问题都是在人工智能时代出现的新的涉及数据保护的刑法认定问题。那么数据在刑事法领域要怎么厘清，需要将其概念明确下来。只有明确刑法所保护的数据是什么，才能理解数据安全的含义以及数据犯罪的概念，据此提炼出数据犯罪所侵害的法益，并且总结出数据安全刑法保护的立法完善路径。

关于数据的概念，在不同的法律语境下，存在不同的含义。民法学者认为，数据是社会和法律面向多项集合权益即权利束。行政法范围内，不同的法律法规对数据的定义也有所差异。我国现行刑法条文及相关司法解释均未对数据的含义进行明确规定，通过对其他法律法规，以及学界的不同学者的观点进行总结提炼，数据的概念大概可以分为以下几类：第一类，将数据定义为承载信息的载体或形式。根据我国《数据安全法》第3条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录……”。国际标准化组织的标准中，数据是信息的一种形式化方式的体现，该种体现背后的含义可被再展示出来，且该种体现适于沟通、展示含义或处理，国际标准化组织的定义认为数据侧重于形式，信息侧重于内容。第二类是将数据视为个人信息，欧盟《通用数据保护条例》（GDPR）第4(1)条将个人数据定义为：与已识别或可识别的自然人（数据主体）有关的任何信息；可识别的自然人是指可以直接或间接识别的自然人，尤其是通过姓名、身份证号码、位置数据、在线标识符等标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个特定因素。这与巴西的《通用数据保护法》（LGPD）内容是相似的，即将个人数据定义为与已识别或可识别的自然人有关的任何信息这就意味着，当收集到不同的信息，从而可以识别一个人时，这些信息就构成了个人数据，包括种族或者民族血统、宗教信仰、健康以及遗传或者生物特征等数据。第三类是将数据视为承载信息的电磁记录，《德国刑法典》第202条a第二款规定，数据是指仅以电子的磁性的或者其他不能直接提取的方法储存或传送的数据。在此类概念中，数据特指以电磁形式存在，可以被计算机处理的一般数据形式。本文中的数据是指第一类数据，与《数据安全法》中的概念保持一致，即以电子或者其他任何方式对信息的记录。采用这种定义不会导致数据范围过于宽泛或者过于狭窄。

《数据安全法》中的数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。“安全”是对数据安全的根本性要求，这也就意味着数据安全概念不仅仅是民法意义上的权属安全、知识产权安全，更包含了社会、国家层面的安全。理论界也有学者认为数据安全包含三个层面的含义：一是“数据自身安全”（data security），即保护数据的保密性、完整性、可用性（CIA）。二是“数据自主可控”（data safety），即国家对重要数据享有支配地位，避免被其他组织或国家非法监测、获取和破坏。三是“数据宏观安全”（data harmony），即预防、控制和管理可能在数据处理、流通过程中产生的国家主权、公共利益和公众安全的风险。总的来说，数据安全应当包括数据自身安全和数据利用安全。数据自身安全是指数据作为独立的评价对象，保证其自身的完整性、可用性和保密性；数据利用安全则是指其在采集、传输、利用、保存、共享和销毁等数据利用过程中各环节的安全状态。其中对数据自身安全的保护是一种静态安全的保护，对数据利用安全的保护则是一种的动态安全的保护。

同时还需要区分数据安全与网络安全、计算机信息系统安全和信息安全，其与这些概念既有区别又有联系。网络安全是最宏观的概念范围即对整个网络空间的安全保障，可以使网络空间要素涵盖计算机信息系统、数据、信息。计算机信息系统安全则侧重保护计算机信息系统设备以及计算机系统运行安全，其保护的核心是计算设备系统。信息安全侧重保护对象是信息。因此数据安全与网络安全、计算机信息系统安全、信息安全之间是相关、重叠但不相同的安全领域。

学界对数据犯罪概念存在肯定论与否定论之争，持肯定论的学者认为数据犯罪是独立存在的一类罪名，认为其侵害了数据权利主体的利益。持否定态度的学者则认为，数据犯罪并非独立的犯罪类型，并不存在数据法益，相应的数据犯罪亦不存在。目前持否定论的学者占少数，理论界多承认独立的数据犯罪概念。笔者认为应当承认数据犯罪概念。数据犯罪有其独特的犯罪特征，行为对象、危害结果以及犯罪形态的认定都有别于传统犯罪。大数据时代下数据犯罪呈现明显的异化，数据不同于传统犯罪对象所指即犯罪行为所作用的客观存在的具体人或具体物。数据犯罪不等同于信息犯罪，数据安全法益需要独立的保护。

对于数据犯罪这一概念，理论研究和刑法规范都没有给出一个明确的界定，学界存在几种不同的观点。有的将其分为狭义的数据犯罪与广义的数据犯罪概念。狭义的数据犯罪指的是以数据为犯罪对象，侵害数据安全法益的行为。例如利用黑客外挂网站、数据爬虫等非法手段窃取数据、破坏数据或者滥用数据的行为，最终所侵害的是数据安全法益。广义的数据犯罪是指包括通过数据所表征的所有法益侵害行为。其所侵害的不仅是数据本身，还包括计算机信息系统安全、财产安全、知识产权等其他类型法益，例如危险作业罪、妨害药品管理罪等。有学者将数据犯罪分为纯正的数据犯罪与不纯正的数据犯罪。广义说界定数据犯罪的范围过于庞杂、混乱，并不利于区分数据犯罪与传统犯罪，亦不利于规制数据犯罪。狭义说虽然限制了数据犯罪的范围，但是没有说明数据保护的具体范围。为此，应当采取以数据安全法益来解释数据保护的实质的方法来解释数据犯罪，即应当将数据犯罪定义为以数据为犯罪对象，仅以数据为犯罪手段或者犯罪工具实施犯罪行为，不侵害数据安全法益的行为则不纳入数据犯罪范畴。

通常认为，法益是指有益于公民个人的自由及其发展，或者是建立在此目标上的国家制度的运转所必要的现实存在和目的设定。在传统网络犯罪、计算机信息系统犯罪、数据犯罪、财产犯罪等罪名体系之间以及法益之间错综复杂的关系下，对于数据犯罪所保护的法益，存在着多种不同观点。包括：一是传统犯罪法益观，该观点认为数据本身并不具备价值，关键在于以数据为征表的行为方式侵害了哪些传统犯罪的法益，因此数据犯罪的法益是个别传统法益或传统法益的集合。笔者认为，将数据权益单纯理解成物权，存在不合理，数据安全的内涵不仅包含了个人和组织的合法权益，而且包含了国家主权、安全和发展权益。二是国家数据管理秩序法益观，该观点认为数据安全的概念较为宏观，且刑法并不一定需要保护数据的保密性、完整性和可用性，随着国家陆续出台数据管理法律法规和相关制度，我国已初步形成有关数据适用、流通、交易的秩序架构，对国家数据管理秩序进行的危害行为可能产生严重的社会危害性。因此，数据犯罪的保护法益不是数据安全或其他传统法益，而是国家数据管理秩序。但是该观点忽略了对个人法益的保护。三是数据安全法益观，该观点最早是1975年由美国学者沙尔茨（Saltzer）和施罗德（Schroeder）提出的，最早规定数据安全法益内涵的是2001年欧盟的《网络犯罪公约》，该公约将数据安全的内涵规定为机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）三个部分。我国《网络安全法》也采取了此种立场。传统数据安全法益观是为了防范早期计算机信息系统犯罪所导致的数据非法获取、泄露等风险，具有相当的时代价值。但随着大数据时代的发展变化，数据的使用逐渐走向多元化和复杂化，仅仅保护数据的静态安全和权利边界状态，难以实现对数据利用过程风险的防控。四是新数据安全法益，是在传统数据安全法益基础上，对其内涵进行扩充。新数据安全法益的内涵包含了数据自身安全法益和利用安全法益，数据自身安全法益即数据的保密性、完整性、可用性，数据利用安全法益即数据的可控性。《数据安全法》第3条将“数据安全”定义为“数据处于有效保护和合法利用的状态以及具备保障持续处于安全状态的能力”，也明确了数据安全保护的目标应当包括数据的自身安全保护和利用安全保护两个层面，也可以称之为数据的静态安全状态和动态安全状态。笔者认为新数据安全法益的内涵能够更好的实现数据保护。

犯罪的本质是法益侵害，数据安全刑法立法的立场取决于数据安全法益观的选择。相较于某种单一的法益观，数据安全法益应当在新型数据安全法益观（保密性、完整性、可用性、可控性）的基础上采取多元的法益观立场，多元并不意味着抽象与模糊，相反，多元化的法益更有助于我们理解数据安全的内涵。首先，数据安全法益是数据静态安全法益和动态安全法益的集合，数据的静态安全法益主要是源于数据的泄露、篡改、灭失等静态安全风险。是从数据的权属确立出发，确保数据的排他权和支配权，以此维护数据权利主体的利益。但在大数据时代，数据安全不限于数据的保密性、完整性、可用性这一静态层面的安全，更是指数据存储、运算、流转、交易等动态环节的安全。仅仅对于数据“静态安全”的维护，只确认了数据权利主体的消极防御权，并不能使其由此直接获取数据所蕴含的使用价值。应当重视数据的动态利用过程。其次，数据安全法益是本体法益和功能法益的集合，有学者指出，数据具有双重意义，其一是数据的本身意义，其二是数据的功能性意义，数据的主要作用在于其功能性意义。这种功能性作用，是数据表征特定意义的作用。数据安全法益有其独立的本体价值，即数据自身的保密性、完整性、可用性和可控性。其次是数据安全法益同时也具有保护其他类型法益的功能价值。例如社会经济秩序、公共安全、国家安全等。理解数据安全法益需要把本体法益和功能法益两个层面联系到一起来理解，侵害数据安全的行为往往会同时侵害数据安全的本体法益和功能法益，只有破坏数据的本体，才能对数据所承载的功能进行破坏。例如在故意泄露国家秘密罪中，就同时侵害了数据的保密性和国家安全。要理解数据安全法益就必须从数据本体必须从本体法益与功能法益相结合的角度来分析。

随着数字经济的发展，数据犯罪日益复杂，在《数据安全法》已经颁布的情况下，刑法作为保障前置法顺利实施的方式，需要实现自我更新。当前刑法中有关数据犯罪的罪名存在一定的滞后性和不足，在数据安全尚未成为独立的法益前，数据安全保护散见于计算机信息系统犯罪和其他犯罪之中。

目前我国并不存在以独立保护数据安全的罪名体系，有关于数据犯罪的罪名主要包括刑法第219条的侵犯商业秘密罪，刑法第253条的侵犯公民个人信息罪，刑法第285条第2款的非法获取计算机信息系统数据罪等，《刑法修正案（十一）》新增设“妨害药品管理罪”和“危险作业罪”只是将对数据的篡改、隐瞒、销毁等行为作为一种手段，其最终侵害的是药品管理秩序和生产作业的安全，而不是数据安全。

可以看出，目前我国刑法对数据安全有关犯罪的罪名呈现出以下特点。一是依附于计算机信息系统安全犯罪。数据虽然被纳入到刑法中，但刑法禁止对数据进行删除、修改、增加是为了维护计算机信息系统的安全，数据安全仅仅作为计算机信息系统安全的依附性保护内容，该罪最终所保护的法益并不是数据安全法益，其目的是为了保护计算机信息系统安全，然而，本罪的保护模式被计算机信息系统概念所限，难以精准涵盖数据安全保护需求，无法对破坏数据的行为进行独立保护。现行刑法直接保护整体意义上数据安全的独立罪名仅有2009年《刑法修正案（七）》增设的非法获取计算机信息系统数据罪，其保护的数据类型为计算机信息系统中储存、处理、运输的数据，本罪虽然在条文上使用了计算机信息系统的表述，但实际上本罪的保护法益并非是计算机信息系统安全，而是以计算机信息系统为形式载体的数据安全。现行刑法侧重于对特殊的数据类型的保护。主要保护个人信息数据、商业秘密数据、国家秘密数据等，涉及的罪名有侵犯公民个人信息罪、侵犯商业秘密罪、泄露国家秘密罪等罪名。立法为加强对个人信息的保护，2009年《刑法修正案（七）》首次增设了公民个人信息保护的罪名，2015年《刑法修正案（九）》对该条款的具体表述进行了修改、整合，形成了现行刑法所规定的侵犯公民个人信息罪，使作为数据安全领域重要部分的个人信息数据的保护得到了加强，该罪的设立体现了我国刑法对于数据保护的重视和积极尝试，发挥了重要作用。2021年《刑法修正案（十一）》对侵犯商业秘密罪也做出了修改，增设刑法第219条之一：为境外窃取、刺探、收买、非法提供商业秘密罪。由此可见，随着数字经济的不断发展，数据要素的重要性越来越高，刑法对于特殊类型数据的保护也在不断加强。二是侧重于保护特殊类型的数据，现行刑法侧重于对特殊的数据类型的保护。主要保护个人信息数据、商业秘密数据、国家秘密数据等，涉及的罪名有侵犯公民个人信息罪、侵犯商业秘密罪、泄露国家秘密罪等罪名。

可以看出刑法立法体系中对数据犯罪规制存在的缺陷与不足，缺乏独立的数据犯罪罪名体系。虽然保护数据安全近些年一直受到理论和实务界的重视，但是如前所述刑事立法仍然将其依附于其他罪名之下，而其他有关数据保护的法规条例早已出现实施。在数据体系尚未形成的情况下数据独立安全无从谈起，对数据犯罪的规制也会沦为对计算机犯罪的规制。现有的数据犯罪立法观念与规制模式落后，不足以满足于数据时代发展需求。传统数据犯罪罪名设立在一定程度上反映了立法者对数据特殊性的关注，但困于传统占有主义、秩序本位观念的影响对数据犯罪规制模式仍以对传统物的占有保护以及对经济秩序、网络秩序的保护方式为主。在传统观念的影响下数据保护更倾向保障计算机信息系统安全。同时，由于现行刑法侧重于特殊类型的保护，而不是将所有数据安全的数据犯罪纳入其中，就会使刑法保护的范围不当缩小，仍然有一些应当被纳入到刑法保护之列的数据并未收到保护。在数字经济的背景下，数据的规模、类型、内涵不断扩大，传统的个人隐私信息、商业秘密、国家秘密等特殊类型信息并不能涵盖所有的重要数据。

在大数据时代，数字经济催生了许多新型的行为，这些行为是合法、违法或是犯罪行为都需要进行界分。但是目前在司法实践中存在一般数据违法行为与数据犯罪行为之间界限模糊的问题。在违法性不存在较大区别的情况下，一些行为被认定为犯罪一些行为则被认定为一般违法。在数据有关的商业行为中，最有代表性之一的就是数据爬取行为，数据爬取多为中立行为，目的是为了商业价值或者科学研究分析，在没有对系统造成损害的情况下，对公开数据的爬取行为即使突破了数据管理者设置的访问限制，或者单纯以出售获利为目的，也不应轻易纳入刑法规制的范围。但是我国司法实务对数据爬虫则采取了更严厉的刑事制裁。2015年新浪微博诉脉脉案、201年大众点评诉百度地图案等案件被定性为不正当竞争行为，而2018年晟品公司非法抓取视频数据案则被定性为刑事犯罪。在大众点评案和晟品公司案中，两者在行为方式上即前者采取伪造IP的方式绕开服务器的访问频率限制，爬取数据，后者采取操控多个账号、使用多个代理IP的方式绕过封账号、封IP防护措施，爬取数据，行为的危害性上几乎没有差别。但是结果完全不同。呈现出刑法规制较为严苛的特点。

除此之外，在被认定为犯罪的情形之下也会出现同案不同判，罪名定性模糊。不过这也与立法上对数据犯罪规定存在的困境有关。在岳某等非法获取计算机信息系统罪一案中，江苏省泗洪县检察院以盗窃罪提起公诉，泗洪县人民法院一审认定构成掩饰、隐瞒犯罪所得罪，一审判决后，江苏省泗洪县人民检察院提出本案应以盗窃罪判处的抗诉。江苏省宿迁市人民检察院则认为游戏金币属于虚拟财产，其法律属性为计算机信息系统数据，故对原审被告人岳某等人的行为应当以非法获取计算机信息系统数据罪追究其刑事责任。江苏省宿迁市中级人民法院经审理认为原审被告人岳某等人窃取他人游戏账号内的游戏金币属网络游戏中的虚拟财产，其法律属性是计算机信息系统数据，将游戏金币解释为盗窃罪的犯罪对象公私财物缺乏法律依据，由此判定岳某等人构成非法获取计算机信息系统罪。与之类似的案件还有姜洪磊、仲崇亮非法获取计算机信息系统数据罪案。

最后，数据犯罪还面临着入罪门槛低的司法困境。司法实践中不少对不同类型的数据犯罪没有作出认定上的区分，一律采用达到标准即入罪的方式。在武汉元光科技利用网络爬虫抓取数据案中，被告人授意陈昴等公司员工利用网络爬虫软件获取包括谷米公司在内的竞争对手公司服务器里的公交车行驶信息、到站时间等实时数据。每日获取的数据量高达 300 万至 400 万条，旨在提高元光公司开发的智能公交 APP“车来了”的用户量及信息查询准确度。该行为直接给元光公司带来了实际好处，但同时也导致谷米公司遭受了经济损失 24.43 万元人民币。根据法院判决，此行为构成了非法获取计算机信息系统数据罪。本案的问题在于，为了规避被发现的风险，元光公司采用了不断更换爬虫软件程序内的 IP 地址，并且使用不同的 IP 地址向谷米公司客户端发出数据请求。因此，元光公司实际上只是通过伪装成一般用户的方式，获取客户端的实时数据，而并未直接进入谷米公司后台服务器系统。通过更换 IP 的方式，元光公司人员伪装成一般用户进行访问。这种模仿一般用户访问的行为是否属于非法入侵计算机信息系统值得商榷。最高检发布的第9批指导性案例第36号“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”案例要旨和指导意义认为“超出授权范围使用账号、密码登录计算机信息系统，属于侵入计算机信息系统的行为；侵入计算机信息系统后下载其储存的数据，可以认定为非法获取计算机信息系统数据。”“非法获取计算机信息系统数据罪中的‘侵入’，是指违背被害人意愿、非法进入计算机信息系统的行为。其表现形式既包括采用技术手段破坏系统防护进入计算机信息系统，也包括未取得被害人授权擅自进入计算机信息系统，还包括超出被害人授权范围进入计算机信息系统。”指导案例采取的是较宽的侵入标准，未经被害人授权，或者超出被害人授权范围，使用账号密码登录系统就被视为“侵入”。

由于前文已将数据的概念厘清，本文采用《数据安全法》中的基本含义，即以电子或者其他任何方式对信息的记录。在确定数据、数据安全和数据犯罪的基本含义和范围之后，刑事立法也应当更新数据保护的内涵和范围。现行刑法将数据犯罪的数据范围限定为“计算机信息系统数据”以及相关司法解释将“身份认证信息”作为犯罪对象，此种限缩数据犯罪对象的范围无法满足数据犯罪治理需求，数据犯罪的行为对象应当包含所有类型的数据而不局限于计算机信息系统数据，并且数据具有单独评价的价值而无需与计算机信息系统相关联。对数据内涵的合理界定是在法律层面对其进行有效规范的前提。大数据时代，数据的内容范围不再局限于计算机信息系统，数据也仅仅是对个人信息、社会信息的记录，非结构化、碎片化的数据经过挖掘与分析已经显现出独立价值。

讨论数据犯罪的前提就是应当将哪些数据作为刑法保护的内容。如前所述，现行刑法侧重于保护传统的个人信息、商业秘密、国家秘密等特殊类型信息。现行刑法需要更新数据保护的范围，刑法现有罪名体系对数据的保护分为对分为一般数据保护与个人数据保护。个人数据具有明显的可识别性特征，与个人联系密切直接反映个人特性，如个人信息数据、个人隐私数据等，刑法对此类数据的保护按照个人信息保护进行即可。一般数据是指个人数据之外并且排除国家秘密类数据、商业秘密、知识产权类等具有特殊信息内容且已经被刑法特别保护的数据。常见的一般数据有环境数据、地理数据、交通数据、野生动植物数据等。一般数据可能并不具有个人属性无法直接反映出个人的信息，但其意义重大关乎国家民生安全。不过一般数据具有保护的价值但并非所有的一般数据都具有保护价值。明确那些数据值得保护可能无法穷尽，但是可以通过反面列举的方式将不需要刑法保护的数据进行列举就容易得多。可以根据数据的价值、时效性和质量等因素，确定哪些数据不需要保护，例如已经对数据自身或者数据利益无价值的、失去时效性的数据或者毁损、虚假的数据就不值得刑法进行保护。

功能主义刑法观提倡刑法对社会的积极作用。以此为原则，可以增设数据安全的独立罪名。如前所述，数据安全法益并非单纯依附于计算机信息系统安全的狭隘范畴，也超出了物权保护的范畴，其内涵包含了数据自身安全法益和利用安全法益。在数字经济发展蓬勃发展的时代背景下，面对新型的数据犯罪动态，为了有效的防范和化解数据安全刑事风险，保护数据安全法益，当务之急便是通过增设部分罪名规范，完善数据安全刑法保护的罪名体系。虽然有学者提出的对功能主义刑法观的担忧，但是在现代风险社会下，面对数据安全多样化的刑事风险以及数据安全法益保护现实需要，在前置法保护不足的情况下，刑法立法应当予以积极应对。数据安全的刑事立法应当坚持以数据安全法益观为指导，以此作为立法正当性的基础设定刑罚权的边界，根据数据安全法益观的内涵，针对不同的数据危害行为作出相应罪名安排，确定具体的构成要件与刑罚设计。例如可以增设非法破坏数据罪、拒不履行数据安全保护义务罪。

前者是参考《德国刑法典》第303条a变更数据罪的内容：（1）非法消除、扣押、使其不能使用或变更数据的（第202条a第2款），处2年以下自由刑或罚金刑。（2）犯罪未遂的，亦应处罚。变更数据罪是专门保护数据的犯罪。首先，就数据的自身来说，破坏数据的行为会导致数据的损毁或丢失，承载信息的数据与信息之间具有不可分割的密切关系，数据是个人、社会和国家的重要资源，对数据的破坏往往也意味着信息的破坏，涉及重要利益的数据被破坏将会对个人、社会、国家造成重大的损失。此外，就数据的功能来说，对数据进行更改的行为会导致数据失真，这种情况可能催生虚假的分析结论和错误的决策制定。此外，现有刑法条款无法涵盖故意非法破坏数据的行为。所以有必要增设该条罪名来保护数据安全。后者则是根据我国《数据安全法》和我国数字经济发展面临的现实困境，数字经济的发展催生了数据平台的产生，以互联网企业为代表的数据处理者往往掌握着大量的重要数据，不仅涵盖用户的个人信息，也包括了涉及公共安全、国家安全的特殊数据，与传统的危害行为不同，数据犯罪的危害行为往往会以平台化、组织化的形式呈现，并且大量储存、加工处理、交易数据的主体也往往是专业化的数据平台，如果数据平台不积极履行数据安全保护义务，仅仅依靠行政部门的保护和监管，恐怕难以起到有效保护数据安全的作用。因此，掌握大规模数据的平台应当承担起必要的数据安全保护责任，坚持数据安全与数字发展并重。刑事立法需要适度强化数据平台的刑事责任，这在预防数据犯罪，加强数据安全保护层面具备重要的意义。同时，《数据安全法》第27条、第29条、第30条、第31条、第33条、第36条规定了开展数据处理的组织、个人及数据交易中介的数据安全保护义务，为刑法上强化数据平台的刑事责任提供了前置法的依据。因此，刑法应当通过立法适度强化数据平台的刑事责任。

数据安全的刑法保护需要完善数据犯罪的出罪机制。在刑事立法增设新罪名的同时，也要畅通数据犯罪的出罪机制。刑法需坚持谦抑性原则，如前所述，目前我国司法实践在处理数据犯罪时面临数据违法与数据犯罪界限模糊、数据犯罪入罪率增加和同案不同判等司法现状和问题，界限模糊的问题可以通过明确其内涵和范围得以明确，前文已经论述；同案不同判也可以通过前文的更新立法和通过更新司法解释有关数据犯罪认定标准来解决。但是对于入罪率高的问题，需要通过为数据犯罪保留出罪的空间来解决。如今，围绕数据活动的刑法规制产生了很多案例，但是针对数据活动的特殊的出罪事由仍有待发掘，被关注的程度不够。司法机关对于可能具备出罪事由的违法犯罪行为，缺少有关论证和利益衡量。为了实现AI时代数据的有效流通，不能一味的入罪，对于情节轻微的行为，有必要进行出罪处理。功能主义刑法观之下，但书条款是是适用率最高的出罪条款。但是由于该条文自身的存在的缺陷，“将但书规定作为出罪的总括性根据，存在着遮蔽通过对构成要件、违法性和有责性的犯罪成立条件进行法理解释而形成开放性出罪事由之弊。”在此情况下，应当考虑通过司法解释制定有关数据犯罪针对性的出罪内容，尤其是对使用和处理数据的目的作出限制性规定，以数据安全法益为标准，对于客观上实施了似乎会危害数据安全的行为，但是实际上并没有影响到数据的保密性、完整性、可用性和可控性则不能对其实施刑事处罚。为数据犯罪保留出罪空间是宽严相济的刑事政策的应有之义，也是当前我国数字经济发展的保障。

《数据安全法》等法律的出台，是行政法领域对数据安全保护的体现，也是为刑法保护提供了前置法依据。面对数字经济的不断发展，AI时代对数据的处理更加复杂化，数据泄露、数据损毁、数据滥用等危害数据安全的行为日益增多。刑法领域展开了对数据安全相关概念、数据法益属性和数据安全保护措施等有关数据安全的讨论。对于数据安全的概念，应当采用《数据安全法》中有关规定，对刑法意义中的数据安全保护进行规范理解。应当在数据的保密性、完整性、可用性、可控性的法益属性的基础上，采用多元化的数据安全法益观。刑法作为《数据安全法》的保障法，理应承担起保护数据安全的社会功能和维护法秩序的体系价值，受制于刑事立法固有的滞后性，我国刑法立法并未对数据安全的独立保护做出最新的回应，仍然沿用之前的计算机信息系统罪名和散见于刑法分则各章节的特殊数据类型罪名进行保护，导致在司法实践中产生了同案不同判、违法与犯罪界限模糊、入罪率高等问题，立法上存在着数据保护范围不全面、缺乏数据平台的刑事责任规定的不足。为此需要通过明确刑事立法中数据的内涵和范围、增设新的数据犯罪的独立罪名以及完善为数据犯罪保留必要的出罪空间来实现对数据安全的刑法保护。数字化的经济时代，对于数据安全的刑法保护必不可少，刑法在促进数据价值有效、有序发挥与实现，保障数据安全不受侵害、威胁方面起着无可替代的及其重要的作用，加大对数据安全的刑法保护能够为数字化的经济的发展提供保障。

[5] [德]克劳斯·罗克辛.德国刑法学总论[M].王世洲,译,北京:法律出版社,2005.

[7] 时延安.数据安全的刑法保护路径及方案[J].江海学刊,2022(02).

[8] 刘宪权. 元宇宙空间中数据的分类分级与刑法保护[J]. 比较法研究, 2023, (04).

[10] 庄劲. 开放的中国数据刑法体系之建构——基于本体法益与功能法益的区分[J]. 中国刑事法杂志, 2023, (02).

[11] 杨志琼. 数字化的经济时代我国数据犯罪刑法规制的挑战与应对[J]. 中国法学, 2023, (01).

[12] 蔡士林. 我国数据安全法益保护：域外经验与立法路径[J]. 深圳大学学报(人文社会科学版), 2022, 39 (06).

[13] 于改之. 从控制到利用：刑法数据治理的模式转换[J]. 中国社会科学, 2022, (07).

[14] 苏青. 数据犯罪的规制困境及其对策完善——基于非法获取计算机信息系统数据罪的展开[J]. 法学, 2022, (07).

[16] 周杰. 大数据技术对我国刑法保护法益的冲击及应对[J]. 广西警察学院学报, 2021, 34 (06).

[17] 于冲. 数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角[J]. 西北大学学报(哲学社会科学版), 2020, 50 (05).

[19] 韩旭至. 信息权利范畴的模糊性使用及其后果——基于对信息、数据混用的分析[J]. 华东政法大学学报, 2020, 23 (01): 85-96.

3·15晚会丨只打开水龙头，收费100元？“维修刺客”啄木鸟，维修乱象何时“修”？