yy.vip易游-【检察调研】耿锐 郝宝军 苟震：论数据犯罪的规范扩张与司法克制

　　YYVIP易游·(中国有限公司)官方网站-

　　当前围绕数据犯罪的刑事司法呈现出“口袋化”趋势，主要表现在数据概念泛化至所有媒介、危害行为界定模糊以及法益保护虚化导致罪名混用三个方面。其根源在于社会治理需求、司法政策和技术迭代的三重驱动，引发司法谦抑与“回应型司法”、立法滞后与解释扩张的现实冲突。数据犯罪的“司法克制不能”现象存在突破罪刑法定之嫌，应当引发学界的警惕，司法机关就此应践行“司法克制”的基本理念和路径。面对数据犯罪，具体而言，司法机关应坚守刑法的谦抑性，通过立法增设“非法危害数据罪”填补立法空白；运用实质判断限缩处罚范围，并区分数据属性以合理认定“情节严重”；并遵循形式解释逻辑，将“计算机数据”严格限定于技术载体范畴。在数据犯罪问题上，刑法滞后的客观现实、司法能动的政策需求、司法谦抑的基本立场之间充满复杂的张力。对此，应在立法完善与司法克制间保持平衡，避免预防性刑法侵蚀人权保障，从而保障数字经济的安全与活力。

　　随着数据时代的到来，海量数据激发了全社会的创造力，极大增强了社会和市场活力，成为备受瞩目的基础性、战略性资源 。与此同时，大量非法获取、披露、滥用数据的行为层出不穷，严重妨碍了社会和经济的健康发展。数据技术的不断升级与作为后置法刑法的相对滞后性造成了“数据犯罪在跑，刑法规制在追 ”的尴尬局面。对于新社会问题的产生，如果不通过立法及时增设新罪，而依靠司法对某些实务上可能有处罚必要性的行为进行解释，则司法机关很容易通过类推解释的方式来处理。刑法应当如何在平衡数据安全与数据共享中有效治理数据犯罪，这是推动以数据为关键要素的数字经济发展所难以回避的重要课题。

　　“数据犯罪 ”是以数据为对象而非手段的犯罪，但已有研究表明，数据犯罪的司法实践已呈现出“ 口袋化 ”的趋势 。这主要体现在：“数据 ”的范围持续扩大，在司法实践中无序扩张并已远超“计算机信息系统 ”的预设前提；“数据犯罪 ”的行为特征描摹不清、界定不明，几乎囊括了所有以数据为媒介或工具的危害行为；“数据犯罪 ”的法益含混不明，难以区分其侵犯的对象究竟是数据本身还是一切数据要素 。数据犯罪呈“ 口袋化 ”之势的根源在于：围绕数据运行所产生的法律风险，刑事司法日益能动，而本应具备的谦抑、克制精神在实践中却表现为冒进、冲动的特征，可称之为数据犯罪的“司法克制不能”。当前刑法学领域对数据犯罪司法克制不能的问题并未引起充分关注，既有研究大都立足规范视角试图通过立法或解释路径构建更加科学的司法认定和刑事处罚规则 , 缺乏对数据犯罪司法克制不能的整体反思。

　　鉴于此，本文立足我国数据犯罪规范扩张的基本动因及其趋势分析，对数据犯罪规范扩张的要素进行梳理，并在此基础上探究数据犯罪“司法克制不能 ”的政策冲突，进而尝试提出数据犯罪司法克制的实践路径，以期更好实现数据利用发展与数据安全保护的动态平衡 。本文想要论证的结论是：在立法规范没有变革的情况下，司法机关对数据违法行为进行入罪时应严守司法谦抑的根本立场；在概念、法益、行为的司法认定上应实现合理区分，从而准确把握数据犯罪的罪与非罪、此罪与彼罪；在解释方法上，有必要通过形式解释与实质解释相结合的方法，限制数据犯罪的司法扩张。

　　社会治理转型的现实需求 、数据犯罪司法实践的不断深化、数字技术的持续革新，都深刻影响并间接导致了数据犯罪规范的整体扩张，具体表现为数据法益的保护方式趋向独立化 、数据犯罪的司法认定趋向犯罪化 、数据犯罪的解释方法趋向扩大化。

　　数据法益的保护方式趋向独立化是数据犯罪规范扩张的社会动因，数据法益并非从一开始就独立存在，而是随着数字化技术的不断发展，逐步从附属走向独立 。可视化、可编辑的数据最早储存于计算机信息系统中，因而数据犯罪的产生与计算机的应用普及有密切关系，数据法益也因此长期附属于计算机信息系统 。作为计算机技术诞生地的美国，早在 1984 年就确立了与计算机数据有关的犯罪法律，而我国直到1997年才在涉计算机犯罪的条款中规定了数据犯罪。1997年《中华人民共和国刑法》（以下简称《刑法》）第二百八十六条规定了破坏计算机信息系统罪，并在第二款将“删除”“修改”和“增加”计算机信息系统数据的行为规定为破坏计算机信息系统罪。这可以被认为是关于数据犯罪最为集中的规定，即对破坏计算机数据的犯罪作了专门规定。1997年《刑法》对于数据犯罪规制的行为方式十分有限，只规定了对计算机系统中存储、处理或者传输数据的“删除”“修改”和“增加”行为，而对非法获取数据的行为并未规定。但从刑法罪名安排和法益保护来看，该款旨在保护计算机信息系统的正常运行而非数据保护，难以归于数据犯罪。因此，我国数据犯罪的法益从诞生之初就附属于“计算机信息系统 ”而存在，因而缺乏独立性。

　　在法益保护需求日趋独立的基础上，数字技术的迭代升级进一步催生了数据犯罪立法及其法益保护的范式革新 。立法机关通过法益保护的独立化重构、罪名体系的扩展以及规制方式的转型完成了对数据犯罪从附属规制到相对独立治理的变化 。2009 年 ，随着《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》）增设“非法获取计算机信息系统数据罪”，刑法将“非法获取数据 ”的行为独立入罪，“数据法益 ”开始走向前台，逐步脱离此前的附属状态 。该罪名对非法获取计算机信息系统数据的行为予以评价，从而完善了刑法对涉数据危害行为的规制链条，对计算机数据犯罪的行为规制范围明显增大 。相较于 1997 年《刑法》第二百八十六条第二款的规定，该罪名在行为规制方式上由间接规制转向直接规制，司法认定更是围绕计算机信息系统之下的存储、处理或传输数据行为展开 。据此，数据与计算机信息的安全性、有用性这一新型法益，成为刑法的保护对象。这从一定程度上表明，立法者开始关注数据刑法保护的特殊性，但本质上依旧是在保护计算机系统安全的主题下去思考数据犯罪化问题。

　　然而这样的改变似乎仍不到位，当前立法坚持以“计算机信息系统 ”为核心的保护体系，无法满足对“数据法益”进行独立保护的需求。无论是1997 年《刑法》的初始规定还是2009 年《刑法修正案（七）》的增设条款，在当时来看，以计算机信息系统为中心的立法模式符合数据犯罪的实际情况，因绝大部分数据犯罪都发生于计算机信息系统的载体之中 。然而，近些年来随着数字技术的迅猛发展，数据已经融入生活的方方面面，数据的载体也早已不局限于计算机信息系统之中 。数据犯罪已经难以一直“栖身于计算机犯罪之中 ”，有关数据犯罪的刑事立法与“计算机信息系统 ”紧密捆绑的状态，已经明显滞后于时代发展。

　　数据犯罪的认定趋向犯罪化，是数据犯罪规范扩张的司法动因，造成该现象的主要原因是涉数据犯罪的立法规范解释空间不足，以及相关的司法政策日益能动。

　　一方面，围绕数据法益的立法规范较为迟滞，使司法机关不得不通过扩大解释达成入罪需求 。如前所述，数据犯罪在设立之初就围绕“计算机信息系统 ”而出现，保护数据也是为了保护计算机信息系统的安全，数据本身的重要性和整体性并未得到充分重视 。这种保护核心缺位的数据犯罪立法在初期尚能通过外围犯罪和关联犯罪的适用来弥补其不足，但随着技术的飞速发展，立法滞后的负面效应已愈加明显，司法机关不得不频繁对《刑法》中相关罪名的构成要件进行扩张，以缓和立法断层所带来的负面影响 。数据犯罪技术性强、代际升级快且载体十分多样，为满足日益复杂的保护需求，最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》）把“计算机系统 ”界定为“具备自动处理数据功能的系统”，从而实质扩大了数据的载体范围 。但即便是这样，计算机信息系统仍然无法充分涵摄所有数据载体，因为数据并不必然储存在计算机信息系统的终端中 。在司法实践中，无论是非法获取云存储的数据，还是从移动硬盘这样的外存储器中非法获取数据的行为，都已经突破了计算机信息系统的空间约束 。此外，上述司法解释导致一些司法机关在办理具体案件时往往以司法解释直接代替刑法进行裁判认定，司法者在裁判时往往不深入考察数据背后所承载的法益，而是用对于数据的技术判断代替了法律判断。

　　另一方面，为实现打击犯罪的政策目标，司法机关倾向于通过刑法来规制严重的数据侵权行为 。 当在合理解释空间内进行平义解释已难以规制部分严重侵权行为的情况下，司法通过解释进行入罪处理就很可能突破罪刑法定的约束 。尽管计算机信息系统在数据保护中处于基础性地位，但诸如网页浏览记录、下载记录、关键词搜索记录等体现个人消费习惯、生活特点和行为轨迹的数据才是更有商业价值的，然而这些并不能被纳入计算机犯罪的罪名进行保护 。数字足迹的不当利用会导致各种社会风险的出现，因而当此类数据遭到非法破坏和利用时，司法机关通常会将其纳入计算机犯罪的罪名中进行规制 。此外，根据《刑法》第二百八十五条的规定，非法获取计算机信息系统数据罪的前提应该是“违反国家规定”，在实践中通常是通过“避开或突破计算机信息系统安全保护措施 ”的方式实现的 。可是随着信息技术的不断发展和犯罪手段的不断更新，行为人完全可以通过合法手段获取数据，并在之后通过合法获取的数据来牟利 。 当面对这种局面时，司法机关则陷入要么“放纵犯罪 ”要么“突破规定 ”的两难之中，为更好实现政策目标，司法机关也往往倾向于对严重侵权行为进行入罪处理。

　　数据犯罪的规范解释方法趋向扩大化，是数据犯罪规范扩张的技术动因 。造成这种解释扩大的原因有三：其一，当前法律规范缺乏对“数据 ”本身法律属性的解释；其二，司法认定将“以数据作为工具、媒介侵害传统法益的行为 ”一概归入数据犯罪；其三，司法评价未能联系计算机信息系统的安全来解释破坏数据犯罪情节（后果）的严重程度。

　　司法实践中大部分判决将认定重点放在数据载体即计算机信息系统上，而缺乏对“数据 ”的阐述 。这就使对“数据 ”的认定简化为是否属于计算机信息系统的论证，从而架空了对于“数据 ”法律属性的探讨 。只要被认定为计算机信息系统中存储、传输的“数据”，就会在司法进程中被认定为数据犯罪的客体 。例如，在全国首例非法获取微信公众号案件中，一审法院在具体阐述“微信公众号 ”的账号密码为何是属于刑法保护的计算机信息系统数据时未能加以论述，而只是通过论述“微信 ”属于计算机信息系统来证成微信公众号的账号密码应该是“计算机信息系统中存储 、处理 、传输的数据 ” 。

　　司法认定未能发挥“数据法益 ”的限定功能，将“ 以数据为工具 、媒介侵害传统法益的行为 ”一概解释为数据犯罪 。数智时代的发展让我们的生活与不同数据之间的联系愈发密切，不同的数据也具有了表征不同传统法益的功能 。例如，承载个人信息的数据便表征了个人信息法益，具有经济价值的数据则表征了财产法益，体现了独具创造性的智力成果的数据则表征了知识产权法益等等 ，这些都是传统法益在数据犯罪上的“投射”。对于这些以数据为外在表现形式 、但内里为侵害传统法益的行为，应采取实质判断的认定方法，回归到保护传统法益的传统犯罪之中予以评价 。但以司法实务中处理盗取虚拟财产案为例，大多数司法判决会将利用计算机窃取虚拟财产的行为认定为非法获取计算机信息系统数据罪 。在进行裁判说理时，判决文书也并没有深入考虑涉案数据背后的财产属性，只是提及行为人因违反国家规定窃取游戏装备而构成非法获取计算机信息系统数据罪。

　　司法评价的不合理之处主要表现在，司法机关用计算机犯罪相关罪名来规制侵害数据的行为，但对行为的情节（或后果）予以评价时，却未能充分考虑计算机信息系统的安全 。这使得计算机犯罪的相关罪名在实践中被无端扩大，甚至任何对数据进行操作的行为，都可能因此被评价为计算机犯罪。以破坏计算机信息系统罪为例，多数学者认为，根据体系解释，破坏数据的行为必须对计算机信息系统本身造成危害，或至少与计算机信息系统存在关联性，这一点在最高人民法院发布的指导性案例中也得到了佐证 。但在司法实践中，即使行为人破坏数据的行为只对存储在计算机信息系统中的数据安全带来了危害，而并没有对计算机信息系统功能运行造成危害，也往往被认定为破坏计算机信息系统罪。这些行为包括但不限于删除网络商铺存在的差评记录、非法删除教务系统中与学生处分有关的数据等。

　　数据法益的保护方式趋向独立化、数据犯罪的司法认定趋向犯罪化、数据犯罪的规范解释方法趋向扩大化，以上三重因素共同导致了数据犯罪的规范扩张现象 。然而这只是对现象的动因分析，“扩张 ”在规范层面究竟如何实现，需要从数据犯罪的规范层面进一步分析，方能探析数据犯罪规范扩张的深层原因和法治后果。

　　在我国刑法首次规定破坏计算机信息系统罪之后，涉计算机和网络领域的数据犯罪规范就一直呈扩张之势，围绕“数据犯罪 ”的扩张，其要素主要表现在“数据概念 ”的扩张、“数据行为 ”的扩张以及“数据法益 ”的扩张。

　　数据犯罪中“数据 ”概念的扩张通过司法解释和司法适用的双重叠加实现，主要体现在数据载体范围的扩张和数据认定范围的扩张。“为了保护计算机信息系统的安全，1997 年修订刑法时，全国人大常委会即对危害计算机信息系统安全的行为作了规定。”设立“破坏计算机信息系统罪”在当时主要是为了应对计算机犯罪案件数量增多的情况，立法者希望通过对实践中常见的破坏计算机信息系统的行为进行规制，以此来保障计算机信息系统的安全运行。一般来说，“数据”指的是在计算机中存储、处理或传输的数据，而随着数字技术的发展和硬件的迭代升级，各种新型数据载体设备不断涌现。为此，司法解释选择通过实质认定“计算机信息系统”和“计算机系统”, 从而扩大数据的载体范围，也因此扩大了“数据”的实质范围。在最高人民检察院发布的指导性案例中，也确认了智能手机终端应当认定为计算机信息系统。除了因载体扩张导致概念扩张之外，因应司法实践的现实需要，“数据”的解释需求不断扩大，早已不局限于计算机信息系统的本来含义，而是几乎囊括了所有数据类型。在司法实践中，司法机关习惯通过扩大解释拓展“数据”的外延，包括但不限于身份信息、网络虚拟财产、知识产权、网络性利益、数据产品等一切可以在计算机信息系统中存储、显示、获取的权利客体。

　　数据犯罪行为的规制链条通过司法解释和相关裁判持续扩充，表现为拓展数据犯罪的外延并丰富危害数据行为的类型 。例如，掩饰、隐瞒犯罪所得罪的犯罪对象通常是犯罪所得之物，且一般是可量化的具体财物 。为更有效地规制收购、代为销售或以其他方法掩饰 、隐瞒计算机数据的行为，《解释》将“数据类犯罪信息 ”规定为掩饰、隐瞒犯罪所得罪的犯罪对象，从而将掩饰、隐瞒计算机犯罪所得的行为纳入刑法规制之中，突破了此前对“犯罪所得 ”的认定困难 。此举不仅为犯罪所得包括数据类信息提供了司法依据，同时扩充了数据犯罪的规制链条，进而使得数据犯罪的行为外延实现扩张。此外，在涉计算机数据犯罪或数据侵权的行为规制过程中，司法机关普遍将“违法所得 ”“经济损失 ”等数额标准作为数据犯罪的入罪标准，缺少对数据犯罪危害性的实质论述 。在司法实践中，诸如抓取公开数据行为、删除并不影响计算安全类型的数据行为等也被认定为危害数据的行为，进而使得几乎所有与数据相关的违法或侵权行为，都被囊括在数据犯罪的行为之内。

　　数据犯罪的法益通过司法解释和司法裁判实现了扩张，使得某些侵害传统法益的犯罪，往往因涉及数据要素而被司法机关倾向认定为数据犯罪 。一方面，司法解释不断叠加认定，使得数据犯罪的法益在实践中愈发杂糅 。根据《解释》规定，非法获取计算机信息系统数据罪情节是否严重的标准之一是获取的“身份认证信息”，其将“身份认定信息 ”界定为“用于确认用户在计算机信息系统上操作权限的数据”。数据犯罪的法益也因此延伸到个人信息范畴，从而使侵犯公民个人信息罪与数据犯罪的法益关系含糊不清，这也导致侵犯公民个人信息罪往往在实践中被认定为数据犯罪 。除此之外，最高人民法院研究室《关于利用计算机窃取他人游戏币非法销售获利如何定性的研究意见》（2012）将利用计算机窃取他人游戏币非法销售获利的行为，同样定性为非法获取计算机信息系统数据的行为 。这使得以数据方式呈现的网络虚拟财产也成了数据犯罪的客体，导致此类侵犯财产罪在实践中也被认定为数据犯罪 。另一方面，司法实践通过裁判实现了数据犯罪客体的扩张 。司法机关一方面通过裁判强化了司法解释对于数据犯罪法益的扩张逻辑，另一方面又习惯性地将侵害传统法益的犯罪认定为数据犯罪 。在司法实践中，非法获取游戏币、游戏装备的行为往往被认定为非法获取计算机信息系统数据罪；非法获取个人身份认证信息的行为也会被认定为非法获取计算机信息系统数据罪；当网络知识产权的客体以数据的形式被存储于计算机信息系统之中时，又很容易被定性为非法获取计算机信息系统数据罪。

　　数据犯罪的规范不断扩张，相关司法解释与立法原意发生偏离以及司法实务中扩张性解释，共同导致司法机关对原有规范内容的持续再造 。这会使得数据犯罪的入罪标准愈发多元，数据法益的限定功能愈发虚化，最终导致数据犯罪的持续“ 口袋化”。这种规范扩张的内在动因既有社会数字化转型导致的社会压力，也有司法犯罪化形成的路径依赖，还包括技术复杂带来的规制困境 。数据犯罪在规范层面的扩张有一定合理性、合法性，同时有其必要性 。但另一方面，这也凸显当前司法机关在面对数据犯罪时，在“司法克制 ”的底线约束与“积极预防 ”的犯罪治理需求之间存在一定矛盾，这种矛盾集中表现为司法理念、政策上的冲突 。 因此，探寻“司法克制不能 ”的原因和对策，还需要从司法政策层面加以分析，需要对数据犯罪司法克制领域的政策冲突进行梳理，才能为系统性重构数据犯罪司法裁判规则、优化数据犯罪解释方法提供更为现实的考量和匹配司法实践的思考。

　　当前数据犯罪的规范扩张虽具有应对技术风险的现实必要性，但其背后潜藏的司法政策冲突却日益凸显，数据犯罪“司法克制不能 ”的隐形政策冲突具体表现为“司法谦抑性 ”与“ 回应型司法 ”的立场冲突、司法克制与司法能动的方法冲突、立法滞后与司法扩张解释的冲突。

　　司法谦抑要求刑事司法在发动国家刑罚权时应当慎重考虑刑法介入的必要性，而风险社会理论驱动下的“ 回应型 ”司法又强调应该对可能出现的安全风险开展早期干预 。数据犯罪具有的与传统犯罪不同的风险使这种矛盾在数据犯罪领域尤为突出，也使得“司法谦抑性 ”与“ 回应型司法 ”的立场冲突更为凸显。

　　与传统犯罪相比，数据犯罪所蕴含的风险更具广泛化和基础性特征。“数据安全并不仅仅在于技术本身，而是在于数据的开发、流通和应用而导致的各种风险和危机。”数据犯罪风险的广泛性体现在数据的刑事安全风险贯穿于数据要素供给、流通、使用环节，并且数据供给安全、数据流通安全和数据使用安全都会直接影响个人和国家的数字安全 。数据犯罪风险的基础性则体现在随着数据成为全球范围内可以进行流通以及交易的对象，数据也已经融入日常消费和社会服务的全过程中，危害数据的行为已经成为较为常见的不法行为，公众对此也更容易产生风险焦虑感和不安全感 。刑法谦抑性要求刑事司法严格遵循“最后手段性 ”原则，仅在民事 、行政手段无法有效规制法益侵害时才启动刑罚权 。而现代“风险社会 ”要求刑法能够及时回应社会关切，提前防范可能会出现的社会风险，进而要求刑法能够提前介入数据犯罪的行为规制中来。 为了及时回应公众关切，在积极预防刑法观的主导下，刑法会通过提前介入的方式实现风险防控，在维护社会秩序和数据安全的同时，这可能导致国家刑罚权在数据治理中的权力膨胀。

　　在数据犯罪司法实践中，司法克制主义与司法能动主义的张力尤为显著 。司法克制主张司法者必须坚持形式理性，克制在适用规范的过程中对于法律规则的创造，而司法能动旨在通过司法实现更好的社会效果，因而天然有突破形式理性的冲动。此二者之间对“如何实现更好的法律效果、社会效果 ”的方法论存在冲突，表现在数据犯罪问题上，便是如何对涉数据相关行为开展合理评价。

　　在面对数据犯罪手段的快速迭代的情况下，严格的司法克制主义方法往往导致司法难以应对各式各样的数据犯罪，但是不加约束的司法能动又会滑向“司法权过度扩张 ”的法治风险 。不可否认，当既有的刑法规范难以覆盖数据犯罪的技术特征时，司法能动性的合理运用成为破解治理困境的关键路径 。数据犯罪的司法能动性体现在对法律规则的创造性解释，无论是对作为数据载体的“计算机信息系统 ”的实质解释，还是对于危害数据法益行为的认定，都体现了法官在适用数据犯罪规范过程中发挥的能动性和裁量性 。通过对构成要件要素的扩张诠释以及对法益侵害标准的弹性把握，司法能动主义在数据犯罪的场域呈现出独特的制度张力，但是对于司法能动方法需要在调和其与司法克制方法冲突的前提下，对其加以制度化的约束，以合理限定数据犯罪的处罚范围。

　　在数据犯罪司法实践中，立法滞后与司法扩张的解释冲突集中体现在立法规范滞后与数据法益应得到有效保护的张力中 。该矛盾的深层根源在于，数据法益的独立性与传统立法模式并不兼容，而相应的立法规范明显迟滞，依附于计算机信息系统的附属立法无法回应数据法益的独立保护需求 。当立法规范迟滞甚至形成立法空缺时，具有法益侵害性的行为可能难以被已有规范所涵盖，司法机关面对规范供给不足与现实法益侵害的冲突时，在解释方法上便会呈现出“扩张解释优先 ”的实用主义倾向 。为实现有效保护数据法益的司法目标，司法机关往往会将危害数据行为进行入罪处理 。

　　即使在规范不足的情况下，司法机关也倾向于通过必要解释将危害数据行为认定为犯罪行为 。 当文义解释不足以解决问题的时候，扩张解释便加以补足，此种情况下司法机关便会根据社会事实对数据犯罪的规范内涵不断进行续造 。一方面，“数据 ”的含义以及数据犯罪危害后果的认定情形被不断 扩大；另一方面，以数据为工具 、媒介侵害传统法益的行为也被解释为数据犯罪，“这就使得扩张解释与类推解释之间的界限存在着被突破的风 险 ”，进而有可能会与罪刑法定原则产生冲突。

　　解决数据犯罪司法克制的政策冲突是调适数据犯罪“司法克制不能 ”的关键所在，实现数据犯罪司法克制的核心路径在于正确协调司法规范与司法政策的互动关系 。 因此，要实现数据犯罪的“司法克制”，就要从立场、方法、解释等方面重新构建数据犯罪司法政策、技术、方法的现实路径。

　　要实现数据犯罪的司法克制，就要妥善处理司法规范和司法政策的相互关系，使其在数据时代背景下实现“有的放矢、相辅相成 ”的法治效果 。要实现数据犯罪的司法克制 ，就需要构建“立场－方法－解释 ”的三重规制路径 。首先，在立场上应坚守司法克制的基本定位；其次，在方法上应遵循适当能动的方法论，进行实质认定以约束危害数据行为的处罚范围；最后，在解释上应通过形式优先的解释方法限定数据犯罪司法扩张的边界。

　　当刑法被作为风险刑法在社会治理与风险防范中发挥重要作用之时，也是刑法权利保障机能的发挥力有不逮之时，从而也是与刑法作为自由刑法本性相违背之时。因此，在数据犯罪的治理过程中，为应对不确定的数据犯罪风险，立法可以适当活跃，但是刑事司法应当以克制的姿态谦抑运行，不能舍本逐末而放弃了人权保障的底线。

　　在立法规范没有变动的情况下，司法机关在认定数据犯罪时要严守刑法的谦抑性立场 。一方面，要考虑使用刑法规制危害数据行为的必要性；另一方面，也要考虑该行为本身是否具有严重的法益侵害性 。在数据领域，刑法不能够也无法只凭借自身实现危害数据行为的有效治理，而是要和民法、行政法通过不同的规制模式和行为后果，共同实现数据违法犯罪行为的有效治理 。在与民法和行政法等前置法共同治理危害数据的行为时，刑法不能够活跃在第一线，而应该先考虑民法和行政法的规制手段是否足以对危害数据的行为进行规制 。面对可能出现的由于刑法缺陷与相关法律缺位导致的法律规制漏洞、刑罚处罚空白，司法者既不能基于本能的正义感而超越司法权的边界在法外定罪量刑，亦不能直接以刑法解释的名义进行司法造法，而只能保持必要的司法克制，这也是司法克制主义的应有之义 。对于这样的数据违法行为，即使具有严重法益侵害性，目前也只能由行政机关进行处理，待到立法机关通过法定程序规定为犯罪行为时，司法机关方可对其进行入罪处理。

　　通过立法规范再造，对非法获取、危害数据的一般行为进行规制，可以为司法裁判提供充足的规范供给 。当前数据犯罪的规范空白已经存在，并且还因数字经济的快速发展而不断扩大，这种空白规范已经无法依靠关联犯罪和外围犯罪进行填补，并且司法续造也耗尽了立法文本的内涵。一方面，数据在数字经济时代被赋予了关键生产要素的重要地位，数据安全关乎个人财产和人身安全、关乎国家安全，关乎数字经济的健康持续发展 。另一方面，以计算机犯罪为核心的数据刑法保护体系已经不能适应数字时代的发展，储存在计算机信息系统之外的数据难以得到刑法的有效保护 。而如果将危害数据但是没有危害计算机信息系统安全的行为进行入罪，又突破了法律规范的效力范围 。 因此，应针对获取或者危害计算机信息系统之外的数据的行为进行立法规制，以填补规范空白，为司法机关制裁危害数据的行为提供法律依据 。参照现有相关立法，可以将非法获取、危害数据罪的条文设置为：第 x 条违反国家规定，非法获取、删除、修改、增加计算机信息系统之外的数据；情节严重的，处三年以下有期徒刑或者拘役；情节特别严重的，处三年以上，十年以下有期徒刑。

　　司法能动是在司法克制框架内的自由裁量，或者说是法官基于司法克制原则的能动性，二者并非绝对的对立和冲突关系，而是法官在进行自由裁量时受到多大限制的问题。在遵循司法克制框架的前提下，应该通过适当能动合理认定数据犯罪的处罚范围来实现实质的出罪，防止不当扩大数据犯罪的处罚范围 。入罪需合法，出罪要合理，将形式上符合犯罪构成但是实质上不具备处罚必要性的行为予以出罪，所彰显的正是现代法治国形式正义与实质正义的统一性。

　　第一，将并未危害计算机信息系统的危害数据行为进行出罪 。在适用计算机犯罪的罪名时，应当实质认定和论证危害数据的行为对于计算机信息系统安全造成的危害，对于没有给计算机信息系统安全造成危害的行为不应该作为计算机犯罪处理 。对于数据犯罪，在司法实践中应遵循实质危害的原则来解释相关罪名的构成要件 。破坏计算机信息系统罪规制的破坏数据的行为应当是对计算机信息系统本身造成危害的行为 。如果行为人所实施的删除、修改或增加数据的行为只是对数据本身还有计算机信息系统处理数据的结果造成影响，并未对计算机信息系统的正常运转造成影响，那么对于这种便不能以破坏计算机信息系统罪处理 。如果破坏数据的行为涉及对计算机信息系统的非法控制 ，则可以认定为非法控制计算机信息系统罪 。

　　第二，将不满足结果要件的危害数据行为进行出罪 。司法者应对数据犯罪中的“情节严重 ”和“后果严重 ”进行合理认定 。根据刑法谦抑性原则的要求，刑法在拓宽数据犯罪可罚行为类型的同时，应严格设置罪量标准，将违法性程度不高的行为排除在刑法的处罚范围之外［20］。对于以破坏数据的行为方式构成的破坏计算机信息系统数据罪而言，该行为需要具有“后果严重 ”的结果，《解释》主要从遭到破坏的计算机信息系统台数 、犯罪分子的违法所得、犯罪行为造成的经济损失等方面进行规定，对其列举的情形实践中应进行严格适用 。首先，所列举的“后果严重 ”的具体情形都应该与计算机信息系统具有关联；其次，作为“后果严重 ”判断标准的损失必须是基于破坏数据的行为造成的直接损失；最后，作为“后果严重 ”判断标准的违法所得必须是行为人基于对数据的增加、修改、删除所直接获得的收益 。对于非法获取计算机信息系统数据的行为，该行为需要达到“情节严重 ”的程度， 《解释》详细规定了包括经济损失、违法所得在内的数额标准和计算机台数、身份认证信息组数在内的物数标准 。虽然其详细列举了数额标准和物数标准，但是更能体现数据犯罪法益侵害性的数据数量标准没有被规定，有待司法解释进一步明确。

　　第三，应对数据背后所表征的法益进行实质判断 。数据具有技术属性的同时，也具有法律属性，特别是随着数字技术的发展，数据与我们日常生活的联系和交互日益密切，进而承担了表征其他传统法益的功能 。数据安全法益应当排除具有数据化形式的财产利益、个人信息和知识产权等法益，以数据作为工具或者媒介，但是实质上侵害传统法益的行为，应该认定为传统犯罪 。具体来说，侵犯具有“可识别性 ”的个人数据的行为应该构成侵犯个人信息罪；侵犯具有“财产属性 ”的数据的行为应该构成财产犯罪；侵害具有“创造性 ”的数据的行为应该构成知识产权犯罪。

　　数据犯罪的规范用语应采取形式解释的方法进行解释，以此来限定数据犯罪的司法扩张边界。具体来说，对于数据犯罪的相关规范用语进行解释时要遵循从形式到实质的逻辑顺序，对数据犯罪的规范用语进行解释时要以相关规范用语的文义可能性作为解释的边界，对数据犯罪的规范用语进行解释时不能超越法律规范本身所具有的保护法益的规范目的。

　　首先，对数据犯罪的规范用语进行解释时要遵循从形式到实质的逻辑顺序 。数字技术的飞速发展，数据及其载体均呈现出多种多样的表现形式，但是现行刑法对数据安全的保护主要依赖于计算机犯罪的条款 。适用计算机犯罪的条款规制数据犯罪时要对“数据 ”进行解释，在对“数据 ”进行解释时要遵循从形式到实质的认定过程 。这里的“数据 ”从形式上应该限定为“计算机 ”或者“计算机信息系统 ”的数据，在具备“计算机 ”或者“计算机信息系统 ”的数据的形式的基础上，再根据数据的技术属性实质认定数据 。根据欧洲理事会《关于网络犯罪的公约》第一章对有关术语的定义，“计算机数据 ”是指任何有关事实、信息或概念已能在计算机信息系统中进行处理的表现形式，包括能确保计算机执行某项功能的程序。

　　其次，对数据犯罪的规范用语进行解释时要以相关规范用语的文义可能性作为解释的边界 。无论司法者采取什么样的解释立场和解释方法，或者是引入何种价值，突破法律条文可能文义的解释都是绝对不会被允许的。虽然法律条文的文义可能性通常难以确定，但去寻找法律条文文义可能性的努力仍然是需要的 。 因为以可能的语义作为刑法解释时遵循的界限，为区分法内与法外提供了一个客观可以验证的标准。 目前数据犯罪主要依靠计算机犯罪的条款进行规制，无论是非法获取计算机信息系统数据罪还是非法破坏计算机信息系统数据罪，都必须是数据以计算机系统作为载体的情形。《解释》将计算机信息系统定义为“具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备”，从而实质地扩张了计算机信息系统在法条中的内涵 。这种扩张解释符合计算机信息系统的文义可能性，也满足了对于各式各样数据载体中的数据进行保护的需要 。但是如果危害数据的行为针对的是储存在云端的数据或者是储存在移动硬盘等外部存储设施中的数据，在立法条文没有修改数据犯罪规制模式的情况下，对于此种行为不能以计算机犯罪进行入罪处理 。如果构成其他犯罪则按照其他犯罪处理，如果不构成其他犯罪，则只能依据《中华人民共和国数据安全法》进行处理。

　　最后，对数据犯罪的规范用语进行解释时不能超越法律规范本身所具有的保护法益的规范目的 。对于实践中用来规制数据犯罪的主要罪名，司法者在适用时也应当以法益保护为核心进行规范的解释，即“在解释某种犯罪的构成要件时，首先必须明确刑法规定该罪是为了保护何种法益 ”。现行刑法对于数据犯罪的规制以计算机犯罪的相关罪名为主，非法获取计算机信息系统数据罪和非法破坏计算机信息系统罪均旨在保护计算机信息系统的安全 。危害数据安全的行为必须同时危害计算机信息系统的安全，或者至少与计算机信息系统的安全有关联，才可以对危害数据安全的行为适用计算机犯罪的罪名进行入罪处理。

　　（作者分别为西北大学法学院硕士研究生耿锐，陕西省清涧县人民检察院检察长郝宝军，西北大学法学院讲师苟震）

　　日本刚在台海挑完事，的反制就直接砸到了日本家门口，力度之大、位置之准，让整个西太都为之一震。

　　4时02分到17时50分，日舰擅闯我国台海，我军反应把底线日，日本“雷”号驱逐舰过航台湾海峡。很多人先盯着它从哪儿过，真正该看的，不是这艘舰走了哪条线，而是日本把涉台动作从嘴上推进到了海上；更该警惕的，也不是一时热搜，而是这种动作会不会被继续复制、继续加码。

　　日本正在经历一场自己亲手制造的困局。2026年4月以来，中国对多种关键战略矿产的出口管制持续收紧，日本工业界的焦虑已经从会议室蔓延到了车间。稀土、镓、锗——这些名字普通人可能不太熟悉，但它们是半导体芯片、精密传感器、新能源电池的基础原料。

　　各位好啊，这里是山有炑羲，每天为大家分享新鲜事件2026 年 4 月 17 日，日本海自雷号驱逐舰在台海非法逗留近 14 小时，创下近年最长滞留纪录，公然挑衅中国主权。这绝非普通航行，而是精心策划的军事试探，彻底撕下和平伪装，释放出极度危险的地缘信号。日方超长逗留的核心图谋何在？

　　世界上大概没有比这更讽刺的剧本了。一艘二战时期的老旧登陆舰，锈得快散了架，被菲律宾当成钉子硬楔在仁爱礁上，本意是给中国 “添堵”。

　　4月17日，日本海上自卫队“雷”号护卫舰闯入台湾海峡，表面看是一次过航，真正刺眼的却不是航线，而是选择这条航线本身，难道只是为了去参加联合军演？很多人默认，只要打着“航行自由”的旗号，动作就能被解释成普通通行。

　　印度油轮哀求别打了！霍尔木兹海峡枪声响起，袭船战卷土重来？

　　近期，围绕霍尔木兹海峡的局势持续升温，海上摩擦频发，擦枪走火的概率不断升高，引发国际社会广泛关注，不少人担忧美伊双方会展开袭船战。

　　20日下午，日本东北部近海处发生了7.5级大地震，震源深度10公里，包括东京、北海道、青森县在内的多地均有明显震感。

　　阅读此文前，诚邀您点击一下“关注”按钮，方便以后持续为您推送此类文章，同时也便于您进行讨论与分享，您的支持是我们坚持创作的动力最近中国跳水界传出一个让无数体育迷震惊的消息，中国跳水队正式公布了世界杯总决赛的大名单。

　　搬起石头砸了自己的脚！网暴全红婵的人彻底翻车了，过往劣迹被扒得一言难尽

　　两届奥运会，三枚金牌。一边是站上世界最高领奖台的天才少女，一边却是整整两年多的恶意网暴。这反差，真的扎心：一个孩子拼命往上跳，有些人却拼命往下拽。更让人憋屈的是，她不是含着金汤匙长大的“天选之女”，而是最普通不过的农村孩子。家里五个兄弟姐妹，母亲常年生病，日子过得紧巴巴。