建立数据安全保护制度是国家政策和未来趋势。然而，由于深受赋权理念影响，我国刑事立法与司法将数据主要看作个人权利的载体和个人自由的延伸，更偏重于维护权利主体对于数据的控制安全，而对数据的公共产品属性重视不够，导致相关刑法规范的设定脱离社会和经济发展需求，出现了数据安全保护领域诸多问题。如何将国家的数据治理政策导向通过完善刑法立法及解释工作，促成刑法数据治理模式的有效转换，实现安全维护、自由保障与技术进步的协同、均衡发展，是亟待解决的重大刑法学问题。

一、刑法数据治理的现行模式

我国刑法中尚不存在以数据法益为核心的罪刑规范体系。现行刑法相关罪刑规范分散于分则不同章节，通过不同罪名体系与行为类型予以呈现。

从罪名体系来看，刑法分则对数据主要采用直接和间接保护两种保护方式。直接保护方式是直接将数据作为犯罪对象加以保护。间接保护方式是将表征数据内容的各种具体信息、秘密、证明或者证件等作为犯罪对象，以此间接规制数据侵害行为。

总体上，现行刑法罪名体系呈现以下特点：（1）在直接保护中，所涉数据范围极其狭窄；（2）在间接保护中，立法目的明显侧重于对国家法益、社会法益的保护，体现出重点维护安全、秩序利益的立法偏向；（3）两种保护方式均将数据作为犯罪对象，独立的数据法益并不存在，数据的性质、层级、种类、功能定位亦不清晰。

刑法现有罪名并未事无巨细地保护数据活动的所有阶段，而是仅规定了以下不法行为类型：（1）编造或者传播虚假数据的行为；（2）删除、篡改、隐瞒或者销毁数据的行为；（3）非法获取或者泄漏数据的行为；（4）非法利用信息或者数据的行为。其中，禁止编造、提供虚假数据的行为保护的是数据的真实性，而非现实存在的数据法益。真正与后者密切相关的，实为数据的完整性、保密性及可利用性。以上不法类型表明，当前刑法治理的重心在于数据的非法获取行为而非滥用行为。就此而言，现行刑法规定对数据法益的保护无疑具有片断性，不法行为类型亦呈现出不完整性特征。

（二）现行刑法数据控制模式

数据共享与数据安全是数据治理的基本目标。数据共享通过数据处理来实现，其包括数据的收集、存储、使用、加工、运输、提供、公开等；而数据安全包括数据控制安全和数据利用安全。其中，数据控制安全体现的是一种赋权理念，其侧重于保护数据主体对数据的控制力。数据利用安全体现的是自由利用理念，其侧重于保护数据在各个处理阶段的安全。据此，可将刑法关于数据安全的保护模式划分为数据控制安全保护模式和数据利用安全保护模式。为表述便利，我将这两种模式分别简称为数据控制模式与数据利用模式。从数据控制模式的特征看，我国刑法正是采用了该模式。

第一，在规制理念上，力求通过对数据“静态安全”的维护，实现对数据利用安全的前置性保护。第二，在规制重点上，通过抑制非法获取或者泄露数据等削弱数据主体对数据排他性控制程度的行为，强化数据主体对数据的控制。这在现行刑法规定及相关解释中体现为三点：（1）通过积极禁止数据窃取、泄漏行为，直接保护数据主体对于数据的控制。（2）通过禁止删除、篡改（修改）、隐瞒、销毁、增加、干扰数据的行为，间接强化数据主体对数据安全的控制（3）在对涉数据犯罪的构成要件进行解释时，通过扩张数据的内涵及其载体的范围，惩处大量侵犯数据的行为，凸显出数据控制模式的色彩。第三，在规制范围上，尊重数据主体的意愿，将“知情同意”作为数据获取、利用行为违法性的阻却事由。

二、刑法数据控制模式的内在缺陷

在利益衡量的天平上，控制模式将砝码置于数据的静态安全一端，这无疑对数据安全的保护发挥了重要作用。然而，由于其过度强化数据控制，该模式能否有助于达成数据安全与数据共享的基本治理目标，不无疑问。

（一）忽视数据的公共产品属性

1.无视多元主体的正当利益诉求

当前过度强调数据私密性或数据控制的权利属性做法，忽视了其他主体对同一数据存在多重正当利益关联的现实。以与公民关系最为密切的个人信息为例，《民法典》“民事权利”一章明确将个人信息作为权利加以保护。根据《民法典》第1034条的规定，“可识别性”是个人信息的本质属性。但是，“可识别性”实际上属于关系范畴而非数据、信息的本质属性。这是因为：其一，“可识别性”体现着个人与他者的关系。其二，“可识别性”体现着个人与信息之间的关系。“可识别性”意味着通过相关数据可以直接或者间接实现数据与个人的锁定。但是，无论是直接锁定还是间接锁定，都无非表明数据所表征的相关信息与个人存在一种对应关系，却并不意味着这些数据必然归属于个人。

2.无法有效实现“数据共享”的价值目标

数据可以作为私权客体，具有限制接触性，但这非所有数据的共性。一方面，数据的限制接触性是数据经过法律规范评价后的产物，而非信息或者数据本身的特性。另一方面，从法秩序的基本价值取向来看，信息公开是原则，限制数据的接触和使用是例外。此外，促进数据流通是数据赋权的重要价值。无论是个人信息自我决定权的赋权模式，还是财产权的赋权模式，都强调通过赋予权利主体对于数据积极处分权能的方式，“激励数据权利人积极地共享或者转让其合法占有的数据”。而在数据控制模式下，“数据共享”首先在理念上遇到了阻碍。

一方面，数据控制模式使企业、个人获取数据的成本增高。在数据控制模式下，知情同意原则是数据收集和利用的基本原则，然而，面对海量数据，要求每一条数据都需要获得事前同意，只会遏制企业的创新与发展。另一方面，数据控制模式使企业面临更高的刑事法律风险。如果全面强化对于数据控制的保护，则所有未经数据权利人或者控制者同意的数据获取、利用行为，都有构成非法获取计算机信息系统数据罪或者非法获取公民个人信息罪的可能性。

2．社会治理能力弱化

首先，如果不能有效利用大数据进行动态分析和回应，公共政策决策大概率会缺乏现实针对性，不利于实现社会治理的精准化。其次，如果不能有效利用相关数据，便捷的公共服务将受到限制，势必会增加公民的时间成本、经济成本及社会交往成本。最后，数据控制模式阻碍多元主体的数据共享，导致难以及时评估、修正相关治理决策，无法建构回应各类问题相应的模型，不利于推动国家治理现代化。

大数据时代以“知情同意”原则为核心的数据控制模式，不但没有强化对公民个人信息安全的维护，反而导致数据权利人面临极大风险。一方面，数据权利主体与数据利用者在经济、社会及技术层面存在着显著的不平等性，由此使得数据权利主体与利用者之间缺乏议价能力。另一方面，现实生活中强化权利主体数据控制的“知情同意”原则往往流于形式。换言之，大数据背景下，由于数据主体欠缺议价能力，数据使用者滥用数据的行为反而可以借助数据收集阶段一次性的“知情同意”原则而被正当化，并从而导致数据滥用风险的最终承担者不当地由使用者转向权利主体。

2．刑法评价不充分

刑法规定非法获取公民个人信息罪和非法获取计算机信息系统数据罪，并不能实现对数据滥用行为的充分评价。一方面，现实中大数据杀熟、诱导性消费等数据滥用行为越来越普遍，其危害并不亚于数据的非法获取行为。另一方面，以数据为对象的非法获取行为和以物为对象的非法获取行为存在着明显的不同。单纯的数据获取行为只是获取了数据，而数据背后隐含信息的发掘和利用行为仍未实施，这些行为本身可能具有迥异于获取行为的危害性，因而仍存在单独进行刑法评价的必要。

3．罪责刑不均衡

较之于危险犯、预备犯、帮助犯，实害犯、实行犯、正犯在违法性、罪责程度上无疑更为严重。如果立法者将前类行为犯罪化，后类行为犯罪化的必要性理应更高，法定刑亦应更重。以此检视刑法关于数据犯罪的现行规定，罪刑失衡可谓显而易见。获取、泄漏数据等行为，充其量仅是招致数据滥用风险的前置性行为，其违法性、罪责程度明显弱于实际滥用行为。然而，刑法却将规制重心放在非法获取行为而非滥用行为上。退一步讲，即使将非法获取公民个人信息罪、非法获取计算机信息系统数据罪作为涉数据犯罪的一般性条款，由于作为危险犯，其法定刑较轻，以其处罚作为实害犯的数据滥用行为，依然难以实现刑罚幅度与实害程度的对应性。

三、结语

数据共享不仅是国家经济、社会政策的取向，同时是民法、行政法等前置法兼顾数据流通、实现数据利益配置的客观要求。强化数据控制安全的立法模式不但在理念层面与前述要求相抵触，事实上也会产生不当限制数据共享的消极后果。鉴于此，将数据滥用行为与数据获取、泄露、篡改、删除等行为同置于刑法评价之下，并将治理模式由控制模式调整为利用模式，便具有理论、实践与法政策上的正当性。

于改之，上海交通大学凯原法学院教授、博士生导师，职务犯罪检察研究基地负责人，兼任中国刑法学研究会副会长、上海市法学会刑法学研究会副会长、上海市司法智库刑事研究专家顾问，最高人民检察院、上海交通大学共建职务犯罪检察研究基地负责人

代表作：《从控制到利用：刑法数据治理模式的转换》（《中国社会科学》2022年第7期）、《法域协调视角下规范保护目的理论之重构》（《中国法学》2021年第2期）、《法域冲突的排除：立场、规则与适用》（《中国法学》2018年第4期）、《刑法与民法的对话》（北京大学出版社2012年1月版）、《刑民分界论》（中国人民公安大学出版社2007年8月版）。