要素市场中企业数据的法益识别与刑法保护

作  者:
欧阳本祺 

作者简介:
欧阳本祺,东南大学法学院教授。

原文出处:
法学研究

内容提要:

企业数据刑法保护的首要问题是法益识别,包括法益属性和法益主体的识别。对企业数据,用户拥有个人信息法益,企业拥有经济利益和数据安全法益。企业数据的经济利益是尚未上升为财产权利的利益,不属于刑法中的财产性利益,而是由民法直接保护的法益;刑法通过保护企业对数据状态的管控安全,来间接保护企业数据的经济利益。处理已公开企业数据中的个人信息可能构成犯罪,其违法性的判断依据不是处理目的这一主观标准,也不是公开方式、开放程度、信息类型等客观标准,而是风险控制这一规范标准。爬取企业已公开数据,没有危害数据管控安全,不构成犯罪。爬取企业非公开数据,可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合犯。侵犯公民个人信息罪中的“非法获取”只具有单一违法性,非法获取计算机信息系统数据罪中的“非法获取”则具有双重违法性。“非法获取”的违法性构造,影响着对两罪成立的判断。


期刊代号:D414
分类名称:刑事法学
复印期号:2026 年 01 期

字号:

  一、问题的提出

  我国刑法对企业数据的保护正面临着从保护数据信息向保护数据要素的转变,由此产生了很多理论与实务问题。传统上,我国刑法对企业数据的保护侧重于对数据信息的保护。例如,刑法第134条之一(危险作业罪)规定了篡改、隐瞒、销毁与生产安全相关的数据、信息;第142条之一(妨害药品管理罪)规定了药品申请注册中提供虚假的数据;第161条(违规披露重要信息罪)规定了“提供虚假的或者隐瞒重要事实的财务会计报告”;第180条(泄露内幕信息罪)规定了泄露内幕信息;第181条(编造并传播证券、期货交易虚假信息罪)规定了“编造并且传播影响证券、期货交易的虚假信息”;第219条(侵犯商业秘密罪)规定了以“不正当手段获取权利人的商业秘密”。这些规定都旨在保护数据所承载的信息。随着数字经济的快速发展,建立健全数据要素市场成了时代主题。2020年,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》首次提出“数据要素”概念,把数据要素作为与土地要素、劳动力要素、资本要素、技术要素并列的第五大生产要素。之后,我国多部政策性文件都提出要建立健全数据要素市场。①在此时代背景下,企业数据的刑法保护就不能再局限于保护数据所承载的信息内容,而要扩展到对数据要素本身的保护。对企业数据要素的保护,正是当下刑法理论与实务中的难题。

  案例1:2020年4、5月份,被告人刘某发现深圳某薇公司的电商小程序存在系统漏洞,遂与被告人吴某南一起利用网络爬虫程序爬取该公司的客户姓名、电话号码、收件地址等交易信息110多万条,并销售牟利。案发后,被告人赔偿了某薇公司经济损失9万元,并取得了该公司的谅解。公诉机关认为,被告人违反国家规定,采用技术手段非法获取计算机信息系统中存储、处理的数据,情节严重,应当以非法获取计算机信息系统数据罪追究其刑事责任。但法院判决被告人构成侵犯公民个人信息罪,同时法院认为,被告人家属已经代其赔偿被害单位经济损失,并取得被害单位谅解,依法予以从轻处罚。②

  案例2:从2016年4月起,被告人麻某鑫招罗并教唆被告人廖某强以应聘淘宝公司员工为名,将事先准备好的木马病毒程序乘机植入淘宝电商公司客服电脑内,非法获取淘宝店铺客户订单数据,包括商品名称、购买金额、收货人姓名、收货手机号码、收货地址等信息。廖某强获取数据以后,交由麻某鑫等负责售卖。法院判决麻某鑫的行为构成侵犯公民个人信息罪,廖某强的行为构成非法获取计算机信息系统数据罪。对于麻某鑫、廖某强等人的行为是否构成共同犯罪,法院未作评价。③

  案例3:2018年1月至2019年3月间,被告人蔡某苗在未获得新浪微博授权的情况下,自行开发“星援”App,微博用户可以使用微博账号和密码直接登录该App,而且可以在该App上手动转发或者自动批量转发微博博文。至案发时该App已绑定微博账号3000余万个,被告人蔡某苗获取充值金额600余万元。本案中,微博用户使用“星援”App转发自己创作的博文,但该转发行为未获得新浪微博同意。法院认为蔡某苗的行为构成提供侵入计算机信息系统程序罪。④

  这三个案例集中反映了企业数据法益识别与刑法保护的复杂性。就法益属性而言,企业数据涉及信息法益、经济法益、安全法益之间的冲突或竞合;就法益主体而言,则涉及个人、企业、社会之间的冲突或竞合。就刑法保护而言,不同的法益识别会导致不同的行为定性。具体来说,案例1和案例2涉及的是订单数据的法益识别与刑法保护,案例3涉及的是网络社交媒体数据的法益识别与刑法保护。

  订单数据是用户在电商平台购物时产生而被平台收集和存储的数据,其既承载着用户的个人信息法益,也承载着企业的经济利益,还承载着企业和社会的数据安全法益。三种不同法益的竞合,困扰着司法实践中的行为定性。案例1中,检察院以非法获取计算机信息系统数据罪起诉,侧重的是对数据安全法益的保护;法院以侵犯公民个人信息罪判决,侧重的是对个人信息法益的保护。案例2中,法院根据被告人的直接目的是获取个人信息还是获取企业数据,认定一人构成侵犯公民个人信息罪,另一人构成非法获取计算机信息系统数据罪。这两个案例的判决都值得商榷。案例1中,既然法院判决构成侵犯公民个人信息罪,被害人就应该是用户个人,但法院又以被告人赔偿某薇公司经济损失9万元,取得被害单位(某薇公司)谅解为由,予以从轻处罚。这种定罪时以个人为被害人,量刑时以企业为被害人的做法,反映了法院的矛盾心态。案例2中,原本两被告人构成共同犯罪,罪名也应相同,要么都构成侵犯公民个人信息罪,要么都构成非法获取计算机信息系统数据罪,而不能一人构成侵犯公民个人信息罪、另一人构成非法获取计算机信息系统数据罪。这两个案例的定性模糊,源于对订单数据的法益识别模糊。

  网络社交媒体数据是用户创作并存储在社交媒体平台上的数据,其涉及的主要问题是法益主体的识别。如果说网络社交媒体数据的法益主体是用户个人,用户就有权同意第三方转发其微博博文,而无需考虑企业平台的态度;相应地,第三方的转发行为就不具有刑事违法性。如果说网络社交媒体数据的法益主体是企业,用户的同意就是无效的,第三方未经平台同意或授权的数据处理行为就可能具有刑事违法性。如果说网络社交媒体数据的法益主体是用户个人和企业双方,用户的单方同意就是无效的,第三方的数据处理行为仍可能具有刑事违法性。案例3的判决表明,法院认为网络社交媒体数据并非单独归属于个人。其他法院创立的“三重授权原则”所表明的立场是,网络社交媒体数据归个人与企业双方共有。⑤

相关文章: