6月9日下午，由中国人民大学知识产权学院、最高人民法院知识产权司法保护理论研究基地、最高人民检察院知识产权检察研究基地、北京市海淀区人民检察院、北京市海淀区人民法院主办，中国人民大学国家版权贸易基地承办的“知识产权刑事保护研讨会”在文化大厦举行。中国人民大学法学院时延安教授就“数据安全的刑法保护路径”发表主旨演讲。以下文字根据时延安教授发言内容整理而成。

2017年12月8日，习近平总书记在中共中央政治局就实施国家大数据战略进行第二次集体学习时，强调“要切实保障国家数据安全。要加强关键信息基础设施安全保护，强化国家关键数据资源保护能力，增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调，加快法规制度建设。要制定数据资源确权、开放、流通、交易相关制度，完善数据产权保护制度。”数据安全的重要性不言而喻。数据安全既是一个新兴的安全类型，同时也是最重要的、最难以琢磨的安全类型。目前来说，我国刑法迄今为止并未对数据安全作出正面回答。

今年6月10日，《数据安全法》通过，并将于9月1日正式施行。从立法模式看，数据安全法与网络安全法一样，都属于行政法规范。《数据安全法》第3条规定了数据、数据处理与数据安全的定义：数据是指任何以电子或者其他方式对信息的记录；数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等；数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。从内容看，目前数据安全的概念并未实现权利保护的全方位覆盖。从知识产权刑事保护角度考虑，数据与其他已有的民事权利存在大量重叠与交叉的情况，也存在一部分未能得到充分保护的情形，在此情况下如何回答这一问题值得思考。

民法学界对数据的理解不断发生着变化，到目前为止，数据的重要性已经超越了所有财产的重要性。我们在探讨数据安全与数据保护这一问题时，要明确一个观念，即刑法对财产性权利无需考虑其保护方式，但最终能够实现对财产利益的保护。这对我们理解数据、数据权利以及数据安全非常重要。    

在产业界，许多企业开发无人驾驶汽车，其技术也是以海量数据为基础，而这些数据不仅蕴含商业信息，还包括商户、个人的信息，以及大量涉及国家安全的信息。当其被上传至数据云端可能会产生许多意想不到的问题，如何通过法律保护或者是刑法保护这些信息成为了新问题。

实际上，民法与知识产权法以及其他法律是刑法的前位法，前者对数据安全的态度将直接影响刑法对数据安全的看法，即当前位法针对某一问题给出不同的态度后，将直接影响刑法对该问题的定性以及刑法的处理方式，这是基本的关系。

一、数据安全的保护路径

归纳数据安全的保护路径，无外乎三种：第一，通过维护数据处理的相关秩序来维护数据安全；第二，通过监管开展数据处理的组织、个人和“中间商”来维护数据安全；第三，通过确认和保护数据权利来维护数据安全。

第一条路径，通过维护数据处理的相关秩序来维护数据安全是我国《数据安全法》的立法思路，这种方式有利有弊。从刑事保护角度考量，通过惩治破坏秩序行为可以解决一些问题，比如非法侵入计算机的信息系统罪（第285条第1款），非法获取计算机信息系统数据、非法控制计算机信息系统罪（第285条第2款），提供侵入、非法控制计算机信息系统程序、工具罪（第285条第3款），破坏计算机信息系统罪（第286条）等，这些罪名规定在刑法第六章第一节的公共秩序罪里，以维护秩序为立法目的。

这种立法方式产生了三方面的问题：第一，刑法对数据提供的是一种间接保护，并未将数据视为一个可直接保护的客体，而是通过保护计算机信息系统保护数据，因而只能解决数据安全的某一些问题。第二，这种保护方式在很大程度上忽视了数据权利人的财产权益和其他商业利益。从市场中从事数据交易的公司以及数据交易量可见，数据就是一种财产，而且已经成为了企业最值钱的财产之一。现有法律制度框架下，通过维护秩序的方式达不到维护数据相关权利和利益的目的。第三，法定刑总体较低，无法有效威慑侵害数据安全的犯罪行为。

第二条路径，通过惩治网络服务提供者来维护数据安全，通过监管和控制数据服务提供者、开展数据处理的组织和个人，包括数据中间商和大量的数据公司。刑法第286条规定了拒不履行信息网络安全管理义务罪，网络服务提供者在泄露大量数据时可能构成此罪。这种保护路径同样存在三个问题：第一，刑法并未单独规定针对数据安全的犯罪类型，而是通过维护网络安全间接保护数据安全，保护效果降低。第二，调整范围较窄，且定罪门槛较高。网络服务提供者拒不履行信息网络安全管理的义务，还需满足经过行政主管部门的提示仍然拒不履行，才能构成此罪。第三，拒不履行信息网络安全管理义务罪并未与网络服务提供者应履行的合规义务结合。

第三条路径，通过确认和保护数据权利来保护数据安全。虽然刑法并没有数据安全、数据权、数据的保护治理等概念，但刑法现有的罪名可以解决一些问题，比如侵犯公民个人信息罪（第253条之一）与侵犯商业秘密罪（第219条）。侵犯公民个人信息罪是一个行政性犯罪，并不确认和保护公民的个人信息权，但此罪名可以为公民个人信息的享有者提供间接保护。侵犯商业秘密罪属于侵犯知识产权罪的一种类型，数据可以作为商业秘密得到保护，因此侵犯数据合法权利人的行为可以构成侵犯商业秘密罪。

二、数据保护路径的提倡

从刑法保护数据安全的角度，目前只存在前述三条保护路径，将来完善刑事立法也不会跳脱出此三条路径。作为行政法律，《数据安全法》主要从维护秩序角度保护数据，未来如果出现新的数据犯罪类型，从手段上仍然会遵循此种行政犯罪的规制思路。此种规制思路的问题在于，刑法不仅强调保护秩序，更要确认和保护法益，也即需要确认个人、单位或组织对数据的权利。而单纯规制秩序的罪名在法定量刑上都较低，保护权利的法定刑相对较高，因此在刑法中更应当确认对数据权利的保护。此种立法思路并非鼓吹重刑主义，而是刑法在确认与保护权利时，对社会秩序的良性构建会有推动与塑造作用。

从确认和维护数据权利的角度探讨数据安全的问题，更符合我国的现实需要。第一，从法益理论出发探讨，刑法确认和维护数据权利更为合理。第二，此种保护路径更能体现数据权利的特殊性。第三，这也能反映出数据的财产性质，原因在于，数据所代表的财产权利与我们熟知的物上财产权一样，并且越来越成为企业的核心资产，强调数据的财产属性才能更有效地保护企业利益。因此侵害数据的行为危害的不仅是社会秩序，而且侵犯了数据所有者对数据的权利。

此时，对数据安全的保护首先需要解决刑法的前位法问题。知识产权的刑事保护需以知识产权民事法律的判断结果为依据，因此对数据权利的刑事保护也应当先对数据进行界定。数据包含了多方主体的利益，也反映着多个主体的利益诉求，数据权利益的综合性致使其无法被现有的某种权利类型完全容纳，数据权是一种新的集成性利益。从数据处理的角度考量，数据权可以认为是一种狭义的财产权，处于物权与知识产权的中间状态，一方面我们需要强调其财产属性，另一方面又需要认可其表现形式与知识产权极为接近。但是，数据权无法被现有的权利类型涵盖，而应当是超越知识产权和现有物权的一种新型权利，不能被既有权利范围所限制。

我国刑法从价值判断曲线可见，某一主体越靠近传统财产权，其保护力度越强。对数据而言，由于其中不仅涵盖了个人权利、单位权利，还与国家安全紧密联系，因此刑法对数据的保护力度应当向传统财产权靠拢。