韩婧颖
北京师范大学刑事法律科学研究院研究人员
要目
一、问题的提出
二、数据的不同表现形式
三、司法实践中出现的问题
四、数据犯罪的治理路径
结语
在数字时代,数据与信息取代传统的物质交换成为人与人、人与社会沟通交流的新介质,数据本身蕴含着越来越高的经济价值。与此同时,规制数据犯罪的核心罪名非法获取计算机信息系统数据罪和破坏计算机信息系统罪因未正确界定数据的内涵与外延,忽视了数据具有独立性的客观事实。加之以事后刑事制裁为主的单一线性的刑罚惩治机制具有一定局限性,使得刑罚的事后规制效果难以彰显。为建设稳定安全的网络社区,实现数字经济的蓬勃发展,有必要区分数据的不同类型,根据数据分类不同,从预防与惩治的双端同时发力,共同治理数据犯罪。
一、问题的提出
从IT时代迈入DT时代,以“0,1”为元素的二进制数据构成了信息网络社会运转的基本细胞。人们在网络空间中进行经济往来、信息交流等均会存留下某种形式的“痕迹”,这些“痕迹”即电子数据。数据本身蕴含着极高的经济价值,甚至仅独占数据便可享有高额经济利益,“当利润达到100%,他们便敢践踏人间一切法律”,在高额利润的驱使下,逐利者不惜触犯法律的底线,由数据的违规获取、修改、泄露、买卖而引发的刑事案例屡见不鲜,如全国首例“非法获取地理信息案”、首例“环境质量监测数据造假案”、多起“域名劫持案”和“流量劫持案”。面对数据安全风险愈渐高危但缺乏相应立法保护的困境,2021年6月10日,第十三届全国人大常委会第二十九次会议审议通过数据安全法,将数据安全上升到国家安全的战略高度,该法通过后不久,2022年4月我国首次将涉及高铁运行安全的数据鉴定为情报,有力惩处了通过贩卖数据危害国家安全的行为,保障了国家安全。
如何应对万物互联时代的数据犯罪问题,成为刑法不可回避的时代新课题。在我国当下的刑法法律体系中,规制数据犯罪主要依靠刑法第285条第2款非法获取计算机信息系统数据罪以及第286条第2款破坏计算机信息系统罪。二者均以违反网络安全法、数据安全法等国家规定为入罪前提,属于法定犯范畴。前者主要规制侵入计算机信息系统或者采用其他技术手段,获取该系统中存储、处理或者传输的数据的行为,后者主要禁止对数据进行“删除、修改、增加”的行为。然而,二者均有沦为“口袋罪”之嫌,盖因将具象化为财产利益类的数据与包含可识别性个人信息的数据不加区分地等同视为抽象意义的数据,从而克减了侵犯财产类犯罪与侵犯公民个人信息罪的适用范围。同时,由于未厘清“数据”的基本内涵与外延,混同了计算机信息系统与数据的关系,忽视了数据可以在各个计算机信息系统终端自由流动,甚至脱离系统独立存在的事实,导致司法实践中将计算机信息系统安全视为数据犯罪的保护法益,数据安全法益未得到充分重视。
作为社会控制的手段之一,刑事处罚依靠国家强制力保障实施,通过刑罚的特殊预防发挥作用。然而,在风险社会中,现代性社会系统中蕴含的诸多风险随时可能现实化。一味强调数据犯罪的事后治理无异于亡羊补牢。为此,应将数据犯罪的刑事治理手段从惩治端前移至预防端,化“堵”为“疏”,引导企业自我管理、自我纠偏。对于单位犯罪之外的自然人犯罪,应根据数据的类型不同,将部分侵犯财产类数据、侵犯个人信息类数据分别归入侵犯财产罪与侵犯公民个人信息罪,避免非法获取计算机信息系统数据罪与破坏计算机信息系统罪落入“口袋罪”的窠臼。
二、数据的不同表现形式
信息以内容为定义,数据是信息的表现形式。从数据本质而言,数据的内在属性均为“0,1”二进制的代码,仅在其通过自身附着信息的不同而具象化之后,才具有区分的意义。在数据分类问题上,有的学者从实证角度出发,以“非法获取计算机信息系统罪”为研究对象,将数据分为身份信息、网络虚拟财产、网络知识产权、其他网络财产性利益和数据产品五类。另有学者受美国数据分类制度启发,以领域为依据将数据区分为金融、交通、能源、医疗健康、电子政务等数据。然而,前者因未将破坏计算机信息系统罪纳入考察范围,导致不能全面展现司法实践中数据犯罪所体现出的数据类型,后者以社会生活的不同领域为分类依据,未能与刑法保护的法益完全契合,不能彰显刑法规制数据犯罪的效力。笔者主张以数据的具象化内容为分类依据,将其分为财产利益类数据、个人信息类数据与其他数据,根据其背后所体现的法益差异,给予其不同程度和方式的保护。
笔者2022年5月3日在威科先行网站上进行检索,选择“刑事”案由、“一审”程序以及“判决书”文书,以“非法获取计算机信息系统数据”为关键词,裁判日期为“最近3年”,共检索出410条判决结果,其中有效判决共297例。对于破坏计算机信息系统罪而言,主要存在三种表现形式,一是“对计算机信息系统功能进行删除、修改、增加、干扰”;二是“对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作”;三是“故意制作、传播计算机病毒等破坏性程序。”以同样的方式对破坏计算机信息系统罪进行检索,去除与本文数据犯罪不具有相关性的第二、三种表现形式,共计得到关于破坏计算机信息数据的有效判决206例。
根据数据所承载信息的特征不同,可以将数据大致分为财产利益类数据、个人信息类数据与其他数据三类。唯有其他数据可以全部归属于数据犯罪,其余两类部分可被侵犯财产罪和侵犯公民个人信息罪所涵摄,应根据具体案件事实予以区分。
三、司法实践中出现的问题
对“数据”概念认定不清
作为一个计算机领域的专业术语,在技术层面上,数据是指流通在计算机或网络中的,以“0,1”二进制代码表现出来的比特形式。在法律层面上,域外大部分国家并不区分数据与信息,而将二者一同保护,如欧盟《通用数据条例》(GDPR)第4条第1项便将个人数据界定为“与已经或可以识别的自然人有关的信息”。我国数据安全法将数据定义为“任何以电子或其他方式对信息的记录”,仅从法条的文本分析而言,数据犯罪的犯罪客体似乎涵盖了任何形式的电子信息记录。实质上,数据是信息的外在表现形式,信息是数据读取后的核心内容,二者是形式与内容的二分关系。立法上未厘清数据与信息的关系、未正确界定数据的内涵与外延,司法解释也未对“数据”作出解释,造成了实务中法官一方面将以电子形式呈现的财产性利益、个人信息均认定为数据,扩张了数据犯罪的范围,使得数据犯罪有沦为“口袋罪”的危险;另一方面对数据作出限制性理解,附加其他认定标准,不当缩小了数据的范围,造成同案不同判现象严重。
首先,在上述法律检索中,作为犯罪对象的“数据”范围,既包括与财产犯罪相关联的网络虚拟财产、加密货币等财产性利益,也包括能够识别特定自然人的考生信息、户口信息等个人信息。数据犯罪与传统犯罪在侵害范围上存在交叉,比如通过破解虚拟货币服务商指令代码的方式,另行生成虚拟货币牟利的行为,或者通过撞库收集被害人姓名、身份证号、银行卡号、电话等个人信息的行为,实际上是通过获取数据来侵犯财产权或隐私权,司法实践中却不考虑数据的具体内容而对其作出广义理解,将上述行为评价为数据犯罪,扩张了数据犯罪的适用空间,模糊了数据犯罪与传统犯罪的界限。
其次,对于非法获取计算机信息系统罪,最高人民法院、最高人民检察院在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中将非法获取计算机信息数据罪中的数据限定为身份认证信息,包括账号、口令、密码、数字证书等,对该罪的犯罪客体进行了限缩。而令人困惑的是,最高人民法院、最高人民检察院在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》同样将身份认证信息作为公民个人信息的一部分予以保护。立法中将身份认证信息既规定在非法获取计算机信息系统罪中,也规定侵犯公民个人信息罪中,使得刑法在数据分类保护上存在重合,造成了司法实践中对数据犯罪的定罪难题。对于破坏计算机信息系统罪,刑法仅将该罪的犯罪客体认定为“计算机信息系统中存储、处理或者传输的数据”,其内涵似乎与技术层面上对数据的认定保持一致,泛指计算机系统内一切形式的数据。然而,实务中却对该罪中数据的认定作出了不同的理解。第一,将干扰计算机系统外部运行环境,致使数据失真的情形认定为破坏计算机信息系统罪。2018年12月最高人民检察院发布的指导性案例第104号“李某、何某某等人破坏计算机信息系统案”中,被告人用棉纱等物品堵塞环境质量检测采样设备,干扰采样,致使监测数据失真,法院认定该行为属于破坏计算机信息系统。第二,是否构成破坏计算机信息系统罪,要符合信息功能实质性破坏标准或数据价值标准。实质是将本罪的犯罪客体限缩在“有价值”的数据范围内。2020年12月最高人民法院发布的指导性案例第145号“张某某等非法控制计算机信息系统案”中,被告人对目标服务器数据虽然实施了修改、增加的行为,但未对计算机信息系统造成实质性破坏,也未对该信息系统内有价值的数据进行增加、删改,因此,法院认定该行为不属于对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加的行为,不构成破坏计算机信息系统罪。
可以看到,由于对“数据”这一概念缺乏统一的立法认定,司法实践中对“数据”含义的界分呈现出“扩张”与“限缩”二元并存的怪象。
将数据视为计算机信息系统的衍生物
从法律文本来看,刑法第285条第2款规制非法“获取”数据的行为,第286条第2款规制“删除、修改、增加”数据的行为,二者保护的权利客体都是计算机信息系统中“存储、处理或者传输的数据”,即计算机信息系统中“一切文字、符号、声音、图像等内容有意义的组合”。立法将数据视为依附于计算机系统的衍生物,导致对数据安全的保护被替换为对计算机系统内部数据库安全的保护,造成游离于系统外部,未按照系统设置进行排列组合的数据被排除在刑法保护范围之外,消解了数据安全的实质保护对象。
诚然,在计算机网络技术发展之初,数据必然依附于计算机信息系统载体而存在,彼时的侵犯计算机信息系统类犯罪足以完全涵摄数据犯罪,故而无单独规制数据犯罪的必要。然而,随着互联网和信息技术的迅猛发展,计算机不再是一台计算设备,而是一台网络终端,数据不仅可以脱离计算机载体而存在,而且可以在各设备终端自由流动,或储存在云空间中,或以加密货币的形式用于电子支付。以当下的技术水平而言,数据已呈现出与计算机载体逐渐分离的趋势,比如逐渐成为网络使用主流的云空间技术,个人终端设备与云之间进行着频繁的数据交换,这些处于流动状态的数据很难被认定为储存在某一台或多台计算机信息系统中。其次,以网页浏览痕迹、下载记录、关键词搜索记录等为主要内容的信息数据,由于不属于从外部采集后输入计算机系统的数据,也无法归类于计算机信息系统数据的范畴之内。此外,科技发展速度之快使得我们无法预料科技的上限为何,以大数据、区块链和体感技术为架构的元宇宙引发各界的热切讨论,元宇宙所蕴含的刑事风险也受到刑法学界的关切,以未雨绸缪的角度审视之,超越计算机本体在虚拟空间中所形成的数据,显然不属于计算机信息系统内的数据。
立法在概念界定和罪名设置上将数据视为计算机信息系统的附属品,不能完全涵摄数据一词的外延,体现出重静态安全轻动态安全、重系统安全轻数据安全的特点。由此造成目前司法实践中判断某一行为是否构成数据犯罪时的通常做法仍是首先要论证承载数据的物质载体能否构成计算机信息系统,其次再判断该行为是否侵害或破坏了计算机系统内部的数据。对于一些新兴的通讯电子设备,法院还要综合各种刑法解释方法将其解释为计算机信息系统。如最高人民检察院指导案例第45号曾某某、王某某破坏计算机信息系统案中,法院在认定被告人通过修改智能手机数据,使之成为“僵尸机”的行为是否属于对计算机信息系统功能的修改、干扰之前,先运用同类解释的方法将智能手机认定为刑法上的“计算机信息系统”,再评价相关行为是否构成犯罪。如此本末倒置实则忽视了数据自身的内容及其保护价值。
四、数据犯罪的治理路径
防范与治理是维护数据安全的两韧利器。保障数据安全,应分别从数据犯罪防范与数据犯罪惩治两方面进行综合治理。
事前预防——企业数据合规之提倡
数据合规指企业对于数据收集、存储、使用、处理等的行为需既要符合国内法律法规规章、其他规范性文件、企业规章制度,又要符合相应国际条约、国际惯例。根据上述法律检索,单位犯罪虽分别仅占到非法获取计算机信息系统数据罪的2.7%和破坏计算机信息系统罪的3.9%,但其涉案金额可达数百万元甚至数千万元,表现出在数据犯罪中占比小,但危害性大的特点。并且数据犯罪的主体“正由以自然人行为为主转向自然人个人行为与单位行为并存。”因此,有必要在数据犯罪治理过程中引入企业数据合规计划,实现国家与企业、法律规制与企业规章制度的双向互动,从而实现数据安全的多层次、全方位和动态化防护。
从域外经验来看,企业数据合规最重要的是用户个人信息保护合规。对个人信息数据保护最为彻底的是欧盟的《通用数据保护条例》(GDPR),然而,GDPR在实施过程中面临着限制个人数据流动和商业化使用的困境,对信息产业的经济发展造成一定负面影响。为此,欧盟立法者选择以发布实施细则和行为指南等方式逐步完善和补全欧盟的个人信息保护框架。2019年11月,欧盟数据保护委员会(EDPB)针对GDPR第25条“数据系统保护和默认保护”发布了指南,立法者不再选择以某项具体的安全技术或措施应用为合规标准,而是以个人数据保护的实用性和有效性为判断依据。数据控制者仅需满足所采用的技术手段和安全措施适合在商业活动中个人数据的保护,并且达到法定预期效果即可。欧盟确立的个人权利框架、数据处理合法性依据、责任机制、数据泄露报告机制和执法机制提高了应对数据安全防范的可操作性。我国立法机关在制定企业数据合规法律或条例时也要秉持切实可行的操作理念,避免对企业施加过重的苛责义务。
大数据的问题必须用大数据的思维、技术和法律框架解决。有效的数据合规计划既有助于发挥数据在数字经济时代的最大价值,又为企业减轻刑事风险、降低国家对企业的过多干预提供了依据,具体而言,企业可以在如下几个方面加强数据安全保护,构建企业的数据合规体系。首先,明确自身获取数据的合法权限,即企业收集个人信息数据应当公开,落实知情-同意、目的合理和最小化三项基本原则。在收集个人信息时应以显著方式告知用户所收集信息的类型、内容、目的和使用范围,在用户充分理解的前提下取得其真实同意,并且所获取数据的使用范围以企业提供的服务为限;其次,企业在收集、处理数据的过程中,应采取技术措施防止数据泄露和数据破坏。企业发生数据泄露或数据破坏主要存在“内忧”与“外患”两个原因,一是员工离职或被开除后对原单位心存不满,故意向他人出售原单位保有的用户信息数据,或利用原有权限破坏现存数据。二是企业数据安保技术措施不到位,防护系统存在漏洞,外部人员利用爬虫、木马程序等攻击企业数据存储系统,窃取用户数据。企业因用户数据泄露而遭受行政处罚或刑事处罚的事例屡见不鲜,如2019年土耳其政府以“未采取必要的技术措施和管理措施”和“未履行数据保护责任”为由,对泄露公民数据的数据控制者处以27万美元的罚款;2020年初,Facebook因在未得到用户同意的情形下非法获取德国用户信息事件,遭到德国数据保护机构起诉和行政处罚。为此,在技术操作方面,企业应加强云计算的硬件加密保护和网络安全机制的攻防配合。在内部规定方面,设立数据管理专业组织,建立数据管理框架,形成一整套完善的数据安全防范和应急处置措施。与此同时,加强对员工的合规培训,明确告知其何种行为会使自身面临刑事处罚的风险,与员工解除劳动关系后及时收回系统权限,防范内部风险;最后,企业使用数据要合法合规。企业要提高数据合规风险识别、应对能力,规范技术汇报审批流程,建立技术应用合规评估制度,避免技术滥用。
事后治理——厘清数据犯罪与他罪的边界
从现行法的角度而言,规制数据犯罪的刑法第285条与286条属于扰乱公共秩序罪,是对网络空间管理秩序这一公共法益的维护。而司法实践中由于未严格区分数据的内涵与外延,将与公民财产权、隐私权相关的数据同样置于网络空间管理秩序这一公法益之下,造成对公民财产权利和隐私权利的个人法益保护缺位。应根据数据类别不同厘清数据犯罪与其他犯罪的界限,将财产权、隐私权归还于公民个人法益的保护体系。
1.窃取虚拟财产类数据的行为应构成盗窃罪
虚拟财产不同于其他具有经济利益的数据,在本质上具有交换价值,属于虚拟商品,与现实世界中主体的财产权利联系更为紧密,兼具财物与数据的双重法律属性。而其他能够体现出经济利益的数据,如中奖信息、债权债务记录等,更多体现出的是类似于债权凭证的“兑换”价值,并且在未“兑换”之前仅仅是以电磁记录的形式存储于计算机系统中,不能被认定为刑法意义上的“财物”。笔者认为,应将司法实践中侵犯虚拟财产类数据的行为分流至侵犯财产罪中,以避免非法获取计算机信息系统数据罪落入新“口袋罪”的窠臼。要实现该分流目的,首先要解决两个问题,一是虚拟财产类数据是否能被包容评价为公私财物;二是如果该类数据能够被评价为公私财物,那么为了保证财产罪体系的融洽性和一致性,破坏虚拟财产类数据的行为是否有必要归属于刑法第275条故意毁坏财物罪。
首先,司法实践中普遍将窃取虚拟财产的行为评价为非法获取计算机信息系统数据罪,盖源于最高人民法院在《关于办理盗窃刑事案件适用法律若干问题的解释》说明中指出,虚拟财产的法律属性是计算机信息系统数据,而不是公私财物,明确将盗窃虚拟财产的案件以非法获取计算机信息系统数据罪等计算机犯罪定罪处罚。然而,随着数字信息和区块链技术的日新月异,该说明中的诸多理由,如以虚拟财产不具备有体性特征、涉案金额难以计算等否认虚拟财产的财物属性,已不太符合时宜。事实上,人们在现实生活中的绝大部分商品交换、货币流通都是以数据为媒介实现的,我们使用微信、支付宝等电子支付方式线上付款消费时,并未发生“真金白银”的实体金钱交换,但没有人会否认其属于财物。时至今日,有体性不应再成为评判财物的标准,刑法意义上的财物还应包括其他具有管理可能性的财物。对于涉案金额的计算,实践中形成了将被告人出售虚拟财产所得,即销赃数额,作为违法所得的计算标准。此外,比特币、泰达币、以太坊等虚拟货币的流通使得在涉案数额巨大、特别巨大的情形下,将窃取虚拟财产的行为认定为非法获取计算机信息系统数据罪会导致量刑畸轻的问题,无法实现罪责刑相适应的要求。
然而,并非所有侵害虚拟财产导致他人财产损失的行为最终都只能成立侵犯财产罪,因为在肯定了虚拟财产类数据可以被评价为公私财物之后,还需要检验具体的侵害方式是否该当于财产罪中某一具体罪名的构成要件。窃取虚拟财产类数据的行为,能否成立盗窃罪还应考虑行为的客观方式,即行为人是否采用窃取的方式使虚拟财产类数据脱离他人的占有而置于自己的占有之下。个人对虚拟财产的支配和控制是通过“注册账户,将虚拟财产存储于该账户”实现的。“侵入”则是进入他人对财物支配范围的手段之一,既包括采用技术手段破坏系统防护计入计算机信息系统,也包括未取得被害人授权擅自进入计算机信息系统,还包括超出被害人授权范围进入计算机信息系统。无论何种表现形式,行为人进入他人对财物的支配领域,实施了侵入计算机信息系统后转移被害人对虚拟财产的占有的行为,符合盗窃罪的构成要件。结合刑法第287条,利用计算机实施盗窃,应以盗窃罪定罪处罚。
其次,如果认为虚拟财产类数据构成为刑法意义上的公私财物,由于“刑法的确定性首先就表现为刑法用语的确定,相同的刑法用语,其含义应当是明确和确定的。”那么,会产生的另一个问题是,破坏虚拟财产类数据的行为是否也可以被评价为故意毁坏财物罪?笔者认为无需有如此担忧,因为从客观行为方式来看,“毁坏”与“删除、修改、增加”的行为存在本质差异。前者要求对财物的损害达到无法使用的程度,后者涉及数据数量的增减和内容的改动,与“毁坏”行为最为类似的“删除”则是将数据在数据载体中移除,至于移除的数据是否可以保留在其他载体中、是否仍可继续使用则未作要求。而且,对数据的改动通常会影响计算机信息系统和应用程序的正常运转,认定为破坏计算机信息系统罪更能实现该罪的保护目的。
2.侵犯个人可识别性信息类数据应构成侵犯公民个人信息罪
个人信息保护法和刑法第253条之一侵犯公民个人信息罪的保护对象是自然人,背后的立法目的是保护自然人的特定个人信息不受非法获取、传播。大数据时代下的公民的个人信息虽然多以数据的形式出现,但却不仅限于此,它更是公民的权利,是公民享有使用各类数字产品而私生活不受干扰侵犯的权利,与以数据的保密性、完整性和可用性为保护对象的数据犯罪具有本质区别。
“可识别性”是判断数据能否成为个人信息的核心构成要件。由于对可识别性的立法认定标准不一,司法实践中出现了将包含可识别性个人信息的数据认定为数据犯罪或将不能识别特定自然人的数据认定为侵犯公民个人信息罪的问题。如韩某某非法获取计算机信息系统数据案中,行为人利用黑客技术入侵数百家网站,窃取并倒卖公民个人信息数据。法院在肯定了行为人非法获取的数据属于个人信息后,并未解释行为人为何不构成侵犯公民个人信息罪或二者竞合时如何处理竞合关系。笔者认为,如果根据数据具象化后的内容能够识别出特定自然人,将其归入侵犯公民个人信息罪的规制范围便有了理论上的可行性,相反,一些不能识别特定自然人的数据,如身份认证信息和与个人真实信息有联结的记录,虽然不能作为个人隐私权益加以保护,但由于这些数据仍具有一定的经济价值,应在现行法律框架内继续将其作为数据犯罪的保护对象。
可识别性有“直接识别”和“间接识别”之分,前者指无需借助其他信息便能直接回溯到特定自然人,如身份证号、生物识别信息等;后者指需要与其他信息相结合才能识别出特定自然人,如IP地址。对于可识别性的认定不宜过于宽泛,否则所有与个人有关的信息都有可能被认定为可识别的个人信息,企业对信息的处理稍有不慎便会落入诉讼纠纷的“旋涡”,长此以往,不仅会阻碍企业创新能力的提高,还会制约数字经济的发展。况且,在民法、行政法等前置法规对于个人信息的保护范围和力度已经较为全面、合理的情形下,刑法更应秉持自身的谦抑性,克制公权力的干预范围,给予人民和企业一片更大的自由发展空间。
我国立法认为“身份认证信息”可以间接识别特定自然人,属于侵犯公民个人信息罪的保护客体,其主要理由在于“账号密码往往绑定身份证号、手机号码等特定信息。”因而可以单独或结合其他信息识别公民个人身份,属于公民个人信息。然而,行为人窃取账号密码后,往往不关心账号背后的特定自然人身份,而只关心能否获取账户中的财产,将此种信息认定为公民个人信息,不免过于勉强。同时,账户的账号密码本身是平台随机或公民自行设置的字符组合,将一些未绑定身份证号、手机号码等特定信息的账号密码一并认定为可识别性个人信息信息,与“可识别性”不符的同时还泛化了公民个人信息的概念,易造成司法上的滥诉。此外,在定罪处罚方面,获取十组以上的网络金融服务系统的身份认证信息便可以达到非法获取计算机信息系统数据罪的“情节严重”标准,处三年以下有期徒刑或者拘役。而根据《检察机关办理侵犯公民个人信息案件指引》,获取金融服务系统的身份认证信息达到五十条才构成“情节严重”。司法实践在认定获取十组至五十组范围内的身份认证信息是否构成犯罪时,稍有不慎便会有违反罪刑法定原则的风险。
结语
拥有全球第一的人口基数和全球第二的经济规模,中国有望成为世界第一数据大国和“世界数据中心”。在互联网信息技术和后工业浪潮的推动下,数据不仅是企业的生存之基、创新之源,更是经济发展的助推器。与此同时,数据的种类越来越多样化,数据犯罪的犯罪方式也越来越复杂化,为司法实践的认定带来一定难题。有鉴于此,从犯罪治理角度,对数据种类的判断不能流于形式,而应根据其实质内容不同进行区分,从侵犯财产罪、侵犯公民个人信息罪、数据犯罪三个维度进行治理。从犯罪预防角度,企业应将数据合规贯穿于业务运行、技术安保、员工管理的全过程,构建立体化的数据保护模式。预防与治理相辅相成、齐头并进,共同助力数据经济健康蓬勃发展。