數據經濟時代，數據成為了新的生產要素，于平臺和平臺之間、平臺和用戶之間圍繞數據的爭鋒如數據過度采集、數據竊取、數據濫用、數據泄露、數據壟斷等問題愈演愈烈。

一方面是平臺利用不對等的優勢地位對數據的大規模侵占，平臺賴以向用戶、行業提供特定服務而汲取各方數據，侵占數據主權。

(相關資料圖)

一方面是對數據的層層保護，畫地為牢，平臺和平臺之間，行業和行業之間筑起高高的藩籬，謹防數據資產泄露導致的優勢喪失。在這種較為惡性的數據之爭中，數據安全和數據流通利用問題成為天平兩端的砝碼，數據犯罪的刑法規制始終在二者之間尋找平衡。

一、數據犯罪的定義

數據犯罪如何定罪，首先取決于對數據犯罪的定義。在早期信息網絡并不發達的時期，數據犯罪涵蓋了一切計算機系統或者網絡中的犯罪行為，一方面包括未經授權訪問、竊取、破壞、篡改、刪除或濫用數據等活動，另一方面也涵蓋了“網絡犯罪”，包括利用計算機系統或是網絡而進行的其他犯罪活動，例如網絡釣魚、網絡詐騙、網絡恐怖主義、網絡色情等。

而在學界近期的研討中，數據犯罪的概念逐漸規范，將數據犯罪定義為以數據為行為對象，侵害數據安全法益的非法獲取、刪除、修改、增加的行為。首先是侵害法益的逐步明確，即侵害了涉及國家利益、社會利益和個人利益的數據安全法益。其次是行為的危險性逐漸類型化，即在“未經授權”的前提下，任何訪問、竊取、破壞、篡改、刪除或是濫用等行為皆為危害行為。

數據犯罪主要涉及的條款為《刑法》第285條第二款和第286條第二款：

第285條第二款：違反國家規定，侵入前款規定以外的計算機信息系統或者采用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據,情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金：情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。（颯姐團隊認為其中對信息系統的非法控制不是純粹的數據犯罪，因此暫且不考慮該情況。）

第286條第二款：違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，后果嚴重的，依照前款的規定處罰。故意制作、傳播計算機病毒等破壞性程序，影響計算機系統正常運行，后果嚴重的，依照第一款的規定處罰。

在相關學理研究和司法實務中，存在著對行為要件“入侵”理解上的爭議。

二、如何理解“入侵”：從“授權”談“入侵”

無授權即入侵。授權可以理解為法律規范上的數據訪問規則和技術上的數據訪問規則。數據犯罪的違法性來自于對法定的數據訪問規則和自定的數據訪問規則的破壞。

法律規范方面，我國《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱《計算機安全解釋》）《數據安全法》《個人信息保護法》《網絡安全法》等作為數據合法授權使用的說明，規定了數據的獲取和使用條件，數據的收集、使用必須“合法正當”，但是在入侵的具體方式上存在著語焉不詳的情況。

譬如在《計算機安全解釋》中，入侵被理解為“避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權”，強調需要同時滿足通過技術手段的繞過，以及這種繞過是在訪問規則之外的。而在最高人民檢察院在 2017年10月發布的第9批指導性案例第36號“衛某等非法獲取計算機信息系統數據案”中，“入侵”的理解有了擴大化的趨勢。在本案中龔某向衛某提供自己所掌握的該大型網絡公司內部管理開發系統賬號、密碼、Token令牌。衛某利用龔某提供的賬號、密碼、Token令牌，違反規定多次在異地登錄該大型網絡公司內部管理開發系統，查詢、下載該計算機信息系統中儲存的電子數據，這種在合理訪問規則下的登錄行為也被視為入侵。由此我們可以得出，即使行為沒有強烈的技術特征，只要未經授權，皆可能被視為“入侵”。

當法律缺乏明確的可操作性，對于入侵的判斷更多依賴技術方面的評價來判斷“該系統是否開放授權”。在某些情況下系統的授權狀態是清楚的，例如，對于云存儲服務提供商，他們需要確保用戶數據只能被授權的用戶訪問。為此，他們會采用各種技術手段，如訪問控制、加密、身份驗證等，來保證數據訪問的嚴格的安全性和可控性。但是在很大一部分場景下，系統或是網頁的授權意圖是模棱兩可的。為了保證系統用戶的正常使用，服務平臺往往采取事前的網絡服務協議、網頁警告、彈窗等措施，或者密碼認證、更改IP地址等技術手段，以及事后的函告、撤銷通知等來限制數據抓取、使用。

在多樣化的技術手段面前，授權這一行為從何時開始授？權的對象是誰？授權行為是否可被法律所認可接納？授權的限度又在何？這些問題皆需要在具體案例中進行分析，在具體行為是否入罪方面存在很大的判斷標準上的爭議。一方面要考慮網站、系統的具體意圖，服務提供內容，考察訪問、使用數據的行為是否符合網站授權的目的，另外一方面考慮網站對數據的技術保護程度是否嚴苛，訪問、使用的行為在何種程度上突破了網站的技術突破。

三、無授權，皆為罪？

退一步講，任何無授權的訪問，使用行為皆可入罪？颯姐團隊認為不是。

一方面數據犯罪大多為實害犯，只有造成了實際的法益侵害性，達到了一定的入罪門檻才可以被定罪，單純的未經授權訪問，即入侵行為并不能定罪。

另一方面，當前各國逐步進入數字經濟強力反壟斷時期，呼吁在數據犯罪的認定中增加大數據反壟斷的公共政策考量，單方面強調平臺系統的單方意思授權或是技術授權以此來判斷是非罪在某種程度上加大了平臺壟斷數據的可能性。因此許多入侵行為造成的后果被認為法益侵害性較小，往往不進行刑事層面的考量而是作為民事糾紛或是通過競爭法上的責任去規制不當的數據入侵行為。

本文系未央網專欄作者:肖颯 發表，內容屬作者個人觀點，不代表網站觀點，未經許可嚴禁轉載，違者必究！

關鍵詞：