“互联网3.0”时代计算机系统犯罪刑法规制的重构

刘宪权

目 次

一、计算机系统犯罪的立法现状与司法困境

二、计算机系统犯罪刑法规制瑕疵的成因

三、计算机系统犯罪刑法规制的应然路径

一、计算机系统犯罪的立法现状与司法困境

所谓计算机系统犯罪是指“危害计算机信息系统安全的犯罪”，即以计算机系统作为犯罪对象，破坏信息安全保密性、完整性和可用性的犯罪。当前，我国刑法存在一套规制计算机系统犯罪的罪名体系，并辅之以专门的司法解释，由此形成了我国计算机系统犯罪刑法规制的现实情状。

（一）计算机系统犯罪的刑事立法现状

为保护计算机系统〔1〕本文所称的“计算机系统”即指“计算机信息系统”。安全，我国1997 年《刑法》设立了非法侵入计算机信息系统罪与破坏计算机信息系统罪，其中第285 条非法侵入计算机信息系统罪主要规制对国家事务、国防建设以及尖端科学技术领域的计算机信息系统的侵入行为，适用范围较为狭窄，无法有效打击实践中侵犯其他领域计算机系统安全的行为。为此，2009 年《刑法修正案（七）》专门增设了第2 款非法获取计算机信息系统数据、非法控制计算机信息系统罪以对原《刑法》第285 条进行补充。通过取消对计算机信息系统性质的限制，扩大了相关计算机系统犯罪的规制范围，并且重点强调了对计算机信息系统中存储、处理或者传输的数据的保护。同时，《刑法修正案（七）》增设第3 款提供用于侵入、非法控制计算机信息系统的程序、工具罪，将提供第1 款、第2 款犯罪所需程序、工具的帮助行为在立法上予以正犯化。2015年《刑法修正案（九）》则对前述罪名增设了有关单位犯罪的规定。

可见，自1997 年《刑法》以来，相关规制计算机系统犯罪的罪名历经多次修正，经过立法者的不断调适，形成了较为完整的、梯度式的罪名体系。具体而言，按照非法侵入计算机系统的重要程度，立法者在《刑法》第285 条第1 款和第2 款分别设置了相应的犯罪。《刑法》第285 条第1 款非法侵入计算机信息系统罪旨在保护国家重要领域的计算机系统安全不受侵犯，因此该款将犯罪对象限定为国家事务、国防建设、尖端科学技术领域的计算机系统。对于这些领域的计算机系统，行为人只要实施非法侵入行为即可构成犯罪，并不要求实施进一步的窃取数据、控制、破坏等行为。对于该款规定以外领域的计算机系统，按照《刑法》第285 条第2 款的规定，如果行为人仅实施非法侵入行为并不构成犯罪，只有当非法侵入并获取该计算机系统中的数据，或者对该计算机系统实施非法控制的，方能构成犯罪。应当看到，立法者重点根据行为人侵犯不同性质、不同重要程度的计算机系统所造成的社会危害程度，以此设置了分级化的条文款项，贯彻了对计算机系统的分类分级保护制度。

笔者认为，实际上《刑法》第285 条这两款规定在保护体系上并不周延，由此导致刑法对计算机系统分类分级的保护存在一定缺憾。一方面，《刑法》第285 条第1 款以列举的方式，将非法侵入计算机信息系统罪的犯罪对象限定为“国家事务、国防建设、尖端科学技术领域的计算机系统”，表明了仅此三个领域的计算机系统才是值得刑法重点保护的重要计算机系统。实际上，国家重点保护的计算机系统并非只限于此三个领域，这在2011 年修订的《计算机信息系统安全保护条例》（以下简称《条例》）中已有体现。《条例》第4 条规定，“计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。”由此可以看到，除了《刑法》第285 条第1 款所列举的三个领域之外，《条例》不仅强调了对经济建设领域计算机系统安全的重点维护，还以“等重要领域”作为兜底，防止一一列举的不周延性。换言之，但凡与国家事务、国防建设、尖端科学技术领域具有相同重要程度的领域的计算机系统，都应该是国家重点保护对象。令人遗憾的是，经济领域等其他重要领域却没有在《刑法》第285 条第1 款的规定中加以体现，也即我国刑法没有将非法侵入经济建设等重要领域计算机系统的行为纳入规制的范围，从而导致这些重要领域的计算机系统无法得到相应的刑法保护。另一方面，对于前述国家事务、国防建设、尖端科学技术重要领域的计算机系统，我国刑法仅规定了“侵入”这一行为，并没有提及对这些计算机系统实施非法控制或获取其中相关数据行为的规制。因此，依据现行刑法条文的规定，非法侵入这些重要领域计算机信息系统，并实施非法控制或获取其中数据的行为，只能以第1 款的规定定罪处罚，即对行为人处3 年以下有期徒刑或者拘役。因为第2 款非法获取计算机信息系统数据、非法控制计算机信息系统罪明确规定，非法获取的数据所在的计算机系统与非法控制的计算机系统均是指“前款（第1 款）规定以外的计算机信息系统”。然而，当行为人非法侵入前述重要领域以外领域的计算机信息系统，并实施非法控制或获取其中数据的行为，达到情节特别严重程度的，根据第2 款的规定，可以处3 年以上7年以下有期徒刑并处罚金。如此的规定不仅有悖于对计算机系统安全的分类分级保护的要旨，而且还明显有违罪责刑相适应原则。

规制计算机系统犯罪的罪名设定，反映了我国刑法立法逻辑上将计算机系统与数据两者杂糅的问题，从而导致了刑法中的“数据”概念不得不依附于“计算机系统”，且无法覆盖所有应当被纳入刑法保护范围的数据的外延。一定程度上表现出我国刑法重系统安全而轻数据安全的立法现状。

我国刑法中的计算机系统犯罪罪名体系并未明确区分侵害计算机系统的犯罪与侵害网络数据安全的犯罪。尽管计算机系统犯罪体系重在维护计算机系统的安全，但在立法模式上，我国刑法将网络数据杂糅进计算机系统中，从而将对网络数据安全的保护也依附于对计算机系统安全的维护中。这一刑法立法模式主要体现在《刑法》第285 条第2 款非法获取计算机信息系统数据罪与第286 条第2款破坏计算机信息系统罪中。非法获取计算机信息系统数据罪规制的是非法侵入重要计算机系统或采取其他技术手段，获取该计算机系统中存储、处理或者传输的数据的行为；破坏计算机信息系统罪规制非法删除、修改、增加计算机系统中存储、处理或者传输的数据的行为。不难发现，前罪保护的是数据的保密性，后罪保护的是数据的完整性与可用性，两罪共同实现了对计算机系统中存储、处理或者传输数据的全方位保护。

由于这一立法模式将刑法所保护的数据完全依附于计算机系统，而当下“互联网3.0”时代的网络数据却并非都处于计算机系统之中，我们无法实现对所有数据的完全刑法保护。例如，网页浏览记录、下载记录、关键词搜索记录等信息数据，既不属于系统中从外部采集而输入系统的数据，也不属于系统运行过程中自行产生的痕迹与记录数据，由于其并未进入系统内部，在本质上无法归属于计算机系统数据的范畴之内；〔2〕参见黄晓亮：《从虚拟回归真实：大数据时代刑法的挑战与应对》，载《中国政法大学学报》2015 年第4 期；黄丽勤、宋骏男：《未成年人数据权的二元保护研究》，载《青少年犯罪问题》2020 年第4 期。又如，随着云技术（包括云存储与云计算）的提升，存储于云端的网络数据均与本地计算机系统相分离，因而无法归属于计算机系统的数据范畴；再如，大数据技术利用传感器获取的海量数据在存储与传输上不会与系统产生耦合，因此同样难以被认定为计算机系统中的数据，从而无法获得刑法的保护。〔3〕参见李源粒：《破坏计算机信息系统罪“网络化”转型中的规范结构透视》，载《法学论坛》2019 年第2 期。而前述这些独立于计算机系统的数据极具价值，且与计算机系统中的数据具有同样的应受刑法保护的重要地位，没有任何理由将这些数据排除在刑法保护的范畴之外。

（二）计算机系统犯罪刑事司法的困境

尽管刑法设立计算机系统犯罪之初的功能定位于维护计算机系统安全上，但在“互联网3.0”时代的今天，计算机系统犯罪在司法实践中适用范围相当大。该类犯罪不仅普遍适用于危害计算机系统安全的犯罪行为，而且还成为所有在网络空间所实施的犯罪行为广泛适用的兜底罪名，即呈现出严重的“口袋化”倾向。

首先，计算机系统犯罪案发率长期居高不下。笔者以“中国裁判文书网”作为样本来源，截止时间为2020 年12 月31 日，共检索获得2442 篇判决结果为计算机系统犯罪的一审判决书。其中，2012年以前的判决书共16 篇，2013 年上升至35 篇，2014 年继续上升至125 篇，2015 年、2016 年分别是130 篇与194 篇，2017 年再次陡然剧增至432 篇，自此开始维持较高的数量：2018 年、2019 年、2020 年分别是536 篇、506 篇与468 篇。从检索得到的结果来看，自2014 年以来，司法实践中认定为计算机系统犯罪的案件数量开始迅速上升，尤其是从2017 年开始，计算机系统犯罪案件数量呈现爆发式增长，且居高不下。

其次，刑事司法对“数据”的理解尚未统一。如前所述，我国刑法对“数据”的保护依赖于规制计算机系统犯罪的罪名体系，包括《刑法》第285 条第2 款非法获取计算机信息系统数据罪与第286 条第2 款破坏计算机信息系统罪等罪名，而司法实践中对“数据”的多重理解直接导致了计算机系统犯罪定性的任意性。2011 年，最高人民法院和最高人民检察院发布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《解释》），其中第1 条第1 款第1 项与第2 项将非法获取计算机信息系统数据罪中的“数据”限定为“支付结算、证券交易、期货交易等网络金融服务的身份认证信息”以及“其他身份认证信息”，其中前者与“公民个人信息”的下属概念中的“财产信息”保持一致。〔4〕2017 年5 月8 日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1 款第3 项明确公民个人信息包括财产信息；2018 年11 月9 日最高人民检察院印发的《检察机关办理侵犯公民个人信息案件指引》第二节第四项第1 条第1 款将银行、第三方支付平台、证券期货等金融服务账户的身份认证信息认定为公民个人信息中的财产信息。与此同时，《解释》第11 条规定“身份认证信息”是指“用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等”。由此可见，《解释》实际上将非法获取计算机信息系统数据罪中的“数据”限缩至相对较小的范围。然而，在司法实践中，采用技术手段入侵计算机系统获取数据且最终被判以非法获取计算机信息系统数据罪的案件中，被认定为该罪对象的“数据”范围极为广泛，不仅包括具有财产权益的信用卡信息资料、〔5〕参见安徽省宣城市宣州区人民法院（2016）皖1802 刑初276 号刑事判决书。苹果手机ID 与密码等身份认证信息，〔6〕参见广东省中山市第二人民法院（2016）粤2072 刑初1944 号刑事判决书。还包括淘宝用户的交易订单数据、〔7〕参见杭州市余杭区人民法院（2014）杭余刑初字第1231 号刑事判决书。医院数据库中的药品用药量统计数据等身份认证信息以外的电子数据，〔8〕参见上海市黄浦区人民法院（2014）黄浦刑初字第106 号刑事判决书。几乎涵盖了一切可在电脑系统中储存、显示、获取的权利客体。〔9〕参见杨志琼：《非法获取计算机信息系统数据罪“口袋化”的实证分析及其处理路径》，载《法学评论》2018 年第6 期。可见，实践中司法工作人员并未完全遵循《解释》对“数据”所作的限制性规定（即将其局限于身份认证信息类的权限型数据内容），而是将身份认证信息以外的其他具有价值的数据同样纳入该罪的规制范围。也正因为此，非法获取计算机信息系统数据罪逐步沦为网络时代的“口袋罪”。

对于破坏计算机信息系统罪第2 款“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”中的“数据”，《解释》并未对其外延范围作出任何限制，似乎可以泛指计算机系统中的一切数据。然而，司法实务中不同案件对该罪中“数据”范围的理解并不一致。部分案件遵从《解释》的指引，未对“数据”性质作出任何限定，泛指一切计算机系统中存储、处理或者传输的数据。典型的案例有2017 年10 月最高人民检察院发布的指导性案例李骏杰等破坏计算机信息系统案（检例第34 号）。该案中，被告人侵入购物网站内部评价系统删改买家的购物评价，法院认定该行为是对计算机系统内存储数据进行删除、修改操作的行为，进而认定被告人构成破坏计算机信息系统罪。显然，该案中司法机关未对“数据”加以任何限定，而是直接将购物网站内部评价系统的买家购物评价认定为破坏计算机信息系统罪中的“数据”。另外，在司法实践中同样被评价为破坏计算机信息系统罪的“数据”还包括交警支队计算机信息系统中的交通违章数据，〔10〕参见江苏省灌云县人民法院（2016）苏0723 刑初394 号刑事判决书。教务管理系统中的学生处分数据，〔11〕参见四川省崇州市人民法院（2016）川0184 刑初611 号刑事判决书。工商局综合业务管理平台中的企业名称、经营犯罪记录数据。〔12〕参见山东省寿光市人民法院（2016）鲁0783 刑初301 号刑事判决书。由此可见，上述案件中计算机系统中的数据，都被评价为了破坏计算机信息系统罪中的“数据”而未加任何限制。

与之相反的是，部分案件将“数据”限缩为对其删除、修改、增加会有损于计算机信息系统功能的完整性和系统正常运行状态的数据。典型的案例有2020 年12 月最高人民法院发布的指导案例145号张竣杰等非法控制计算机信息系统案。该案中，法院明确修改、增加计算机信息系统数据，未造成系统功能实质性破坏或者不能正常运行的，不应当认定为破坏计算机信息系统罪。在类似被认定为破坏计算机信息系统罪的案件中，如被告人对网吧服务器系统数据格式化操作，导致网吧系统无法正常工作；〔13〕参见黑龙江省牡丹江市西安区人民法院（2017）黑1005 刑初57 号刑事判决书。被告人删除系统数据库的“索引”文件，导致票务系统无法正常运行，〔14〕参见广东省深圳市宝安区人民法院（2016）粤0306 刑初7626 号刑事判决书。法院对“数据”的性质均加以限定，亦即只有对其删除、修改、增加会有损于计算机系统完整功能，从而妨害计算机系统正常运行的数据，方能被评价为破坏计算机信息系统罪中的“数据”。

由此，我们不难发现，无论是旨在保护数据保密性的非法获取计算机信息系统数据罪，还是意在保护数据完整性与可用性的破坏计算机信息系统罪，司法实践对两罪中“数据”的理解均尚未达成一致，进而导致了计算机系统犯罪认定过程中的恣意性。

最后，刑事司法对实行行为的认定过于泛化。虽然《刑法》第285 条和第286 条对计算机系统犯罪的构成要件作了较为明确的规定，但司法实践中往往忽视了这些罪名实行行为的定型性要求，将在网络空间中所实施的具有社会危害性的新行为类型归入该罪名之中，从而使其呈现出“口袋化”的特征。

以破坏计算机信息系统罪为例，根据法条规定，该罪的主要行为类型之一是违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的行为。显然，由于此处的“干扰”与“删除、修改、增加”并列，根据同类解释规则，有关“同类”的判断标准应该可以被推及同一罪名中的其他行为方式，〔15〕参见张泽辰：《非法经营罪兜底条款解释方法的反思与重构》，载《青少年犯罪问题》2021 年第2 期。换言之，“干扰”计算机系统功能也应当达到“删除、修改、增加”计算机系统功能相同的严重程度，即造成计算机系统的实质性破坏，进而引发系统不能正常运行。然而，由于司法实践中对“干扰”的理解过于泛化，导致本未造成计算机系统运行程序实质破坏的行为也被评价为干扰计算机信息系统功能，最终被认定为破坏计算机信息系统罪。在最高人民法院2018 年12 月发布的指导案例104 号李森、何利民、张锋勃等人破坏计算机信息系统案中，被告人采用棉纱堵塞采样器的手段，干扰环境空气质量自动监测系统的数据采集功能，造成环境监测站自动监测数据多次出现异常。法院根据《环境保护法》《大气污染防治法》《条例》以及相关司法解释的规定，〔16〕《环境保护法》第68 条规定禁止篡改、伪造或者指使篡改、伪造监测数据；《环境大气污染防治法》第126 条规定禁止对大气环境保护监督管理工作弄虚作假；《计算机信息系统安全保护条例》第7 条规定不得危害计算机信息系统的安全；最高人民法院、最高人民检察院《关于办理环境污染刑事案件适用法律若干问题的解释》第10 条第1 款规定，干扰环境质量监测系统的采样，致使监测数据严重失真的行为，以破坏计算机信息系统罪论处。认定被告人的行为干扰了环境质量监测系统的采样功能，是对环境质量监测系统的破坏，构成破坏计算机信息系统罪。但是，仔细分析案情，我们不难发现，被告人在系统外部采取物理手段，用棉纱堵塞采样器，尽管会影响数据采集的真实性，但计算机系统本身的运行仍然顺畅，其功能并未受损。而破坏计算机信息系统罪则是以导致计算机系统运行机理发生重大变化为要件的，就此而言，本案显然不宜认定为破坏计算机信息系统罪。从该指导案例中可以看到，司法实务对于“干扰”的认定已经脱离了与“删除、修改、增加”同质性的要求，过于泛化的理解与评价直接导致了破坏计算机信息系统罪实行行为的定型性被彻底虚置。

再如，现实中多发的操纵“呼死你”（恶意呼叫软件）呼叫骚扰他人的行为定性问题。被告人通过互联网恶意呼叫平台，使用安装有网络恶意呼叫软件的手机，不间断地呼叫指定的号码，对被害人进行骚扰。法院认为，被告人的行为影响了正常的电话呼叫与接听，也影响到手机其他功能的正常使用，而手机作为通信网络终端设备，属于计算机信息系统。因而，被告人的行为是对计算机信息系统功能本质属性的“干扰”，构成破坏计算机信息系统罪。〔17〕参见广东省广州市白云区人民法院（2019）粤0111 刑初1263 号刑事判决书。同样，此类案件极易陷入对“干扰”泛化认定的风险，因为只要使用恶意呼叫软件呼叫他人的通信终端，无论呼叫的次数与频率，都可以在普通的文义范围内认为他人的通信终端受到“干扰”。但事实上，只有多次数、高频率地呼叫某一固定通信终端，才能够真正妨害到该通信终端正常的电话呼叫、接听与其他系统功能，造成系统不能正常运行，进而被认定为“干扰”计算机系统。相反，如果是对许多通信终端进行了呼叫，而对每一个通信终端都只是偶然呼叫几次，显然对于每一个通信终端而言，并不会影响其系统的正常运行，即无法被认定为破坏计算机信息系统罪中的“干扰”计算机系统。

二、计算机系统犯罪刑法规制瑕疵的成因

如前所述，计算机系统犯罪在刑法立法与司法认定中均存在诸多瑕疵，造成这些问题的原因多种多样。笔者认为，成文法的不周延性与滞后性是计算机系统犯罪刑事立法缺陷的根源所在，而固守结果导向的定罪思维以及缺乏体系解释方法则是司法认定中出现问题的主要原因。

（一）刑事立法固有的局限性

我国刑法作为以语言文字为载体的实体法，不可避免地具有成文法的固有局限性，具体表现为不合目的性、不周延性、模糊性和滞后性。〔18〕参见董玉庭、董进宇：《成文法的局限及其法律价值选择》，载《北方论丛》2007 年第6 期。在计算机系统犯罪的刑法条文创制中，成文法的不周延性与滞后性表现得尤为突出，而这也正是计算机系统犯罪刑事立法问题的根源所在。

首先，不周延性是刑事立法难以避免的缺陷。我国1997 年刑法颁布至今，尽管前后总共经历了一个决定和十一个修正案的修正，已经表现得较为完备，但依旧避免不了成文法不周延性的特征，而这一特征正是计算机系统分类分级保护制度缺憾的主要原因。如前所述，立法者试图通过《刑法》第285 条第1 款非法侵入计算机信息系统罪和第2 款非法获取计算机信息系统数据、非法控制计算机信息系统罪构建起计算机系统的分类分级保护制度。前罪将犯罪对象限定为国家事务、国防建设和尖端科学技术领域的计算机系统，其成立只要求实施非法侵入行为即可；与之相反，后罪规定对于上述领域以外的普通领域计算机系统，必须要非法侵入并获取该计算机系统中的数据，或者对该计算机系统实施非法控制的，才能构成犯罪。从中我们可以清晰地看到，立法者的初衷是为了对重要领域的计算机系统实行重点保护，而对普通领域的计算机系统实行一般保护。但是，囿于客观情状的复杂性，立法者精心构建的罪名体系往往并不周延，因而其所实现的法律效果常常并不能如愿。一方面，以经济建设为代表的其他重点领域与国家事务、国防建设、尖端科学技术领域具有同等的重要性，但《刑法》第285 条第1 款所采取的列举的立法方式无法将这些领域囊括其中，即无法对这些重要领域加以重点保护；另一方面，在客观现实中，不法分子不仅可能非法侵入重要领域的计算机系统，还可能进一步非法获取该系统中的数据或者非法控制该系统，但这两种情形恰恰被立法者所忽略。由此导致的结果是，当不法分子非法获取重要领域计算机系统中的数据或者非法控制该系统时，只能以非法侵入计算机信息系统罪来认定，适用3 年以下有期徒刑或者拘役，而非法获取普通领域计算机系统中的数据或者非法控制普通领域计算机系统时，则应适用3 年以上7 年以下有期徒刑。显然，这样的法律效果恰恰与立法者的初衷完全背离。由此可以看到，刑事立法并非都能表达或完全表示出立法者的主观意思，《刑法》第285 条的不周延性导致了计算机系统的分类分级保护制度没有也不可能被彻底贯彻。

其次，滞后性是刑事立法固有的特性。成文法总是一种“事前法”，即立法者在社会现实的具体法律关系发生之前，根据理性的设计对各种法律行为所可能导致的法律后果作出的应然拟定。〔19〕参见郑延谱：《论有限刑法的有所作为——和谐语境下刑法使命与局限性之协调》，载《政治与法律》2010 年第2 期。但是，一方面，现实社会总是生动复杂而又不断发展变化，另一方面，人类的认识与理性始终有限，这就决定了立法落后于现实的客观必然性。理想的法律创制过程需要克服人类自身认识与理性的内在局限性，要将未来社会中所有的法律关系囊括其中显然并不现实。成文法一经公布，就被基本固定下来了，永远无法赶上社会现实的变化与社会关系的发展。

滞后性在刑法中表现得尤为明显，从近年来不断颁布的刑法修正案就能看出。就针对计算机系统犯罪的刑事立法而言，1997 年刑法通过在计算机系统犯罪中加入数据作为犯罪对象，希冀同步维护计算机系统与数据安全的思路已经落后于现代社会，因而产生了一系列的问题。在建立计算机系统犯罪体系之初，中国尚处于“互联网1.0”时代，由于信息技术水平的有限性，有价值的数据几乎仅能存在于计算机系统上，甚至大部分电子数据仅能存在于计算机本身，可以说，当时数据的外延范围同计算机系统是基本一致的。在此技术背景下，将对数据的刑法保护依附于对计算机系统的刑法保护体系中，本身无可厚非。然而，随着信息技术的革命与数据技术的迭代，我国已经从“互联网1.0”时代跨入了“互联网3.0”时代。与计算机有关的信息系统逐渐脱离计算机本身，表现为包括移动终端在内的通信设备、自动化控制设备等多样的系统设备。与此同时，数据范围的扩张之势更为迅猛，在大数据背景下，脱离于计算机系统而具有独立内涵与形式的数据大量存在。如前所述，网页浏览记录、下载记录、关键词搜索记录等信息数据、云端的网络数据、大数据技术利用传感器获取的海量数据等，均在存储与传输上脱离于计算机系统，因而难以被认定为计算机系统中的数据。按照现行刑法，这些独立于计算机系统之外的数据将无法得到有效保护。而实际上，这些数据与计算机系统中的数据具有同样重要的价值，它们不能受到刑法的同等保护似乎欠缺充分的理由。由此我们不难发现，正是有关计算机系统刑事立法的滞后性才导致了对数据刑法保护的严重缺漏。

（二）刑事司法对规范性的漠视

尽管《刑法》第285 条和第286 条对计算机系统犯罪的规定具有一定的疏漏，但不得不承认的是，条文对各罪的构成要件都进行了细致的规定，体现了该罪名体系的基本规范性。应当承认，刑事司法对于这些条文规范性的背离，可能是导致实务中出现各种问题的主要原因。

首先，刑事司法对结果导向定罪思维的固守，无疑是对规范性漠视的主要体现。结果导向的定罪思维的特征在于，赋予损害结果以过高的定罪权重，以损害结果的出现与否作为判定行为性质的决定性标准，而忽略规范构成要件的存在与意义。这种结果导向定罪思维的弊端在信息网络高速发展、各式各样新型犯罪层出不穷的今天表现得尤为突出。面对大量具有严重危害性的新型网络犯罪，司法机关在找不到可以依据的明确刑法条文予以制裁时，就会将部分外延较广、解释空间较大的几个特定罪名无限制地加以扩大适用。〔20〕参见崔志伟：《破坏生产经营罪的口袋化倾向与司法消解》，载《法律适用》2018 年第7 期。非法获取计算机信息系统数据罪便是其中之一。尽管《解释》将该罪中的“数据”限缩至“身份认证信息”这一相对较小的范围，但司法实务中出于结果导向的定罪思维与刑事惩罚的现实需要，还是会将“数据”的外延不断扩展，以至于但凡非法取得储存在计算机系统中的任何权利客体的行为，都被评价为非法获取计算机信息系统数据罪，使得该罪逐渐“口袋化”。如前所述，淘宝用户的交易订单数据、医院数据库中的药品用药量统计数据等原本不是身份认证信息（即无法被评价为非法获取计算机信息系统数据罪中的“数据”），但由于非法获取这些数据的行为具有严重的社会危害性，基于结果导向的定罪思维，司法实践中也都以非法获取计算机信息系统数据罪对其加以定罪处罚。

其次，刑事司法中对法律规范体系解释方法的缺失，无疑也是对规范性漠视的重要表现。有学者指出，体系解释方法包含六种规则。其一，法律制度体系化的推定规则。即进行体系解释时，首先应当推定法律制度本身是一个具有内在一致性的完整体系。其二，借助整体来阐释个别的规则。即只有对整体有清晰的把握才能了解部分。其三，同类解释规则。即注重概念的体系化，保持法律体系中概念的一致性，避免概念含义的冲突。其四，明示其一即排除其他的规则。即明确表达一种事情便意味着排除其他事情。其五，特别法优于一般法的规则。其六，新法优于旧法的规则。〔21〕参见王利明：《法律解释学导论》，法律出版社2009 年版，第261-265 页。另有学者在此六种之外还列举诸多规则，如尊重法律构成原理规则、上下文解释规则、整体性规则、一致用法假设、不一致的政策、不一致的结构、禁止冗余规则、制定法间的一致性、遵循先例原则以及黄金规则。〔22〕参见陈金钊：《体系思维的姿态及体系解释方法的运用》，载《山东大学学报（哲学社会科学版）》2018 年第2 期。通过体系解释方法，在法律规范出现歧义的时候，可以诠释法律规范的具体内涵，明确法律概念和规范适用的范围，消除条文之间的冲突，维持法律概念与规定的统一性。〔23〕参见王利明：《法律解释学导论》，法律出版社2009 年版，第247-254 页。

作为具备如此丰富内涵与重要功能的法律方法，体系解释方法在刑法适用的过程中自然不可或缺。当下司法实务中存在诸多问题的根源，往往就在于过分恪守法条文义，而忽视了对体系解释方法的运用。例如，实务中破坏计算机信息系统罪“干扰”行为认定泛化的问题，同样也根源于司法工作人员忽视对体系解释方法的运用。“干扰”位于《刑法》第286 条第1 款之中，该款规定的是违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的行为。如果恪守“干扰”的字面含义，那么无论是外部物理干扰还是内部系统干扰，无论是轻度干扰还是严重干扰，都可以被归入“干扰”的文义范围，由此必然导致认定的泛化。但倘若依照体系解释方法，那么，我们对“干扰”的解释必定要运用同类解释规则，即保持概念在法律体系中的一致性。由于“干扰”与“删除、修改、增加”并列，根据同类解释规则，“干扰”计算机系统功能也应当达到“删除、修改、增加”计算机系统功能相同的严重程度，即造成对计算机系统的实质性破坏，引发系统不能正常运行。可见，正是由于实务中固守对“干扰”字面含义的理解而忽视对体系解释方法的运用，导致“干扰”行为的司法认定已经泛化，破坏计算机信息系统罪实行行为的定型性沦为虚置。

三、计算机系统犯罪刑法规制的应然路径

基于上文对计算机系统犯罪的刑法规制现状、问题和原因的分析，笔者认为，在当前司法实务中，通过刑法解释学的路径廓清计算机系统数据的内涵并明确设置实行行为的认定标准，在一定程度上能够避免计算机系统犯罪“口袋化”倾向。当然，在刑事立法上，补充独立的数据犯罪视角并适时修改计算机系统的分类分级保护标准，可以从根本上解决计算机系统犯罪刑法规制中存在的问题。

（一）刑事司法解释应限缩计算机系统犯罪的范围

在现有立法框架下，从刑法解释学的角度对计算机系统犯罪的客观罪状进行规范性理解和限制性解读，在一定程度上能够避免其在刑事司法中出现的种种乱象。

首先，廓清计算机系统数据的内涵与边界。如前所述，计算机系统数据规定在《刑法》第285 条第2 款与第286 条第2 款中，法条表述为“计算机信息系统中存储、处理或者传输的数据”。实际上，“存储、处理或者传输”涵盖了数据在计算机系统上的所有状态，换言之，法条并未对计算机系统数据作出任何阐释与限定。直到2011 年，《解释》对计算机系统数据的规定才有所改观。对于《刑法》第285 条第2 款中的计算机系统数据，《解释》第1 条将其限定为“身份认证信息”。但对于《刑法》第286 条第2 款中的计算机系统数据，《解释》第4 条只是沿用了刑法的规定，并没有作进一步的阐释与限定。从司法实践中非法获取计算机信息系统罪与破坏计算机信息系统罪出现的诸多问题来看，《解释》并未起到阐释计算机系统数据内涵或划定其边界的作用，因而计算机系统数据的内涵与边界还有待进一步厘清。

实际上，计算机系统数据的内涵具有双重面向。一方面，计算机系统数据面向的是传统法益，诸如个人信息权、财产权和知识产权等。在“互联网3.0”时代，随着信息技术的发展与数字化的推广，越来越多的传统法益以数据作为载体，在计算机系统中存储、处理与传输。例如，电子身份证作为一种数据，记载着个人身份信息，体现了个人信息权；网络虚拟财产作为一种数据，能够在市场中交易，体现了财产权。在此，相应的数据犯罪实际上是以数据作为媒介和工具的传统犯罪。另一方面，计算机系统数据指代的是系统的整体资讯，包括整体资讯的保密性、完整性和可用性。在此，相应的数据犯罪涵盖了非法获取、删除、修改、增加、操纵以及破坏计算机系统电磁记录等行为，侵犯的是数据主体对整体资讯的排他性使用权限、用益权限和处分权限。〔24〕参见徐育安：《资讯风险与刑事立法》，载《台北大学法学论刊》2013 年第91 期。由此分析，非法获取计算机信息系统数据罪和破坏计算机信息系统罪正是针对数据安全所设立的犯罪。非法获取计算机信息系统数据罪旨在保护数据的保密性，破坏计算机信息系统罪旨在保护数据的完整性与可用性，两罪共同实现了对计算机系统整体资讯的全方位保护。正因如此，以数据作为载体和工具的传统犯罪并不能以前述两罪加以规制，换言之，作为传统法益载体的计算机系统数据，不应纳入非法获取计算机信息系统数据罪和破坏计算机信息系统罪中数据的范畴。

其次，设置实行行为的认定标准。应当承认，违法干扰计算机系统功能，造成计算机系统不能正常运行的行为是破坏计算机信息系统罪的行为类型之一。为了避免司法实务中对“干扰”行为认定的无限制泛化，我们理应设置合理的认定标准。具体而言，一方面，我们可以从体系解释的角度出发对“干扰”的认定范围进行限缩。由于“干扰”在条文中与“删除、修改、增加”并列，基于同类解释规则与概念在法律体系中的一致性，“干扰”计算机系统功能也应当达到与“删除、修改、增加”计算机系统功能相同的严重程度，即造成计算机系统的实质性破坏，导致系统不能正常运行。另一方面，对于计算机系统是否正常运行或是否遭受实质性破坏的具体判定，我们应当从技术层面作出一定的细化标准。计算机系统是专业的计算机技术领域的概念，并非为每个司法工作人员所熟知，因而常常引发误解与歧义，对计算机系统功能同样程度的干扰，不同司法工作人员的认定结论可能完全不同。因此，有必要归纳总结司法实践中常见的计算机系统遭受实质性破坏或不能正常运行的情形，结合计算机专业技术人员的指导意见，设置明确的认定标准，并在司法解释中加以明文规定，从而对刑法施以必要的节制。〔25〕参见周立波：《破坏计算机信息系统罪司法实践分析与刑法规范调适》，载《法治研究》2018 年第4 期；赵姗姗：《积极主义刑法观下公共卫生事件中的刑法适用——围绕司法解释性文件的展开》，载《青少年犯罪问题》2021 年第2 期。综上，通过对“干扰”行为的体系性解读与对计算机系统不能正常运行的标准设定，防止实行行为认定的泛化，指引司法实践对计算机系统犯罪罪名体系进行正确的理解与适用。

（二）刑事立法应加强计算机系统犯罪的完善

笔者认为，计算机系统犯罪是“互联网1.0”时代的特定产物，鉴于特定的时代背景和立法局限，已经无法适用当下“互联网3.0”时代的司法现状。尽管通过刑法解释学能够使诸多乱象得到一定程度的缓解，但这种缓解无法从根本上解决问题，充其量也只是权宜之计而非长久之策。因而，对计算机系统犯罪的刑事立法完善就显得尤为必要和相当紧迫。

首先，刑事立法应补充计算机系统之外独立的数据视角。如前所述，我国刑法将数据与计算机系统杂糅，将对数据安全的保护依附于对计算机系统安全的维护中。由此导致计算机系统犯罪的保护法益既包含计算机系统安全，又包含数据安全，从而加剧了司法实务中罪名选择与适用上的混乱与困难。笔者认为，应当在刑法条文与罪名的设置上补充独立的数据视角，调整以计算机系统罪名规制侵犯数据安全行为的立法倾向，将侵犯计算机系统安全的犯罪与侵犯网络数据安全的犯罪在罪名设置上予以分离，使网络数据安全从计算机系统安全中独立出来。

从比较法的视域观察，《欧盟网络犯罪公约》（以下简称《公约》）作为全球范围内第一部针对网络犯罪所制定的“标杆性”公约，就是将计算机系统（computer system）与计算机数据（computer data）分别作为独立的网络犯罪的侵害对象，以不同的罪名予以规制。《公约》规定了非法访问（illegal access）与非法拦截（illegal interception），分别规制非法访问计算机系统的行为以及非法拦截计算机数据的行为。〔26〕See Convention on Cybercrime （Budapest, 23.XI.2001）, Article 2 and Article 3.《公约》还规定了数据干扰（data interference）和系统干扰（system interference），分别规制故意毁坏、删除、损坏、更改、阻止计算机数据的行为以及严重妨害计算机系统运行的行为。〔27〕See Convention on Cybercrime （Budapest, 23.XI.2001）, Article 4 and Article 5.从《公约》规定的内容分析，我们可以清楚地看到，非法访问与系统干扰是针对计算机系统实施的犯罪，侵害的是计算机系统安全，其保护法益表现为计算机系统的不被侵入与系统功能的正常运行。尽管系统干扰可能包含对计算机系统数据的删除、修改等行为，但这仅仅只是作为破坏计算机系统功能的手段方法；非法拦截与数据干扰则是针对计算机数据实施的犯罪，侵害的是计算机数据安全，其保护法益分别表现为计算机数据的保密性以及完整性与可用性。

笔者认为，我国完全可以借鉴《公约》的立法思路完善计算机系统犯罪的罪名体系，将侵犯计算机系统安全的犯罪与侵犯网络数据安全的犯罪在罪名设置上予以分离。具体而言，对于《刑法》第285 条的规定，笔者建议将非法获取计算机信息系统数据罪与非法控制计算机信息系统罪进行拆分。前者规制侵入计算机系统或采用其他技术手段，侵害数据安全的犯罪行为，后者则规制对计算机系统实施非法控制，侵害计算机系统安全的犯罪行为。

至于《刑法》第286 条有关破坏计算机信息系统罪的规定，笔者认为，该条第2 款实际上同《公约》第5 条规定的“系统干扰”（system interference）类似，将干扰数据作为干扰系统的前置条件，删除、修改、增加数据只是阻碍计算机系统正常运行的手段或方式，最终保护的仍然是计算机系统的安全。笔者建议，应当在立法层面明确《刑法》第286 条第1、2、3 款所保护的法益一致，即计算机系统的运行安全。因此，可以将第2 款的表述修正为“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，破坏计算机信息系统功能，造成计算机信息系统不能正常运行，后果严重的”。同时，相关司法解释应当进行同步的修正，对“后果严重”的规定同样应该立足于计算机系统安全本身，将“对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的”罪数标准补充修正为“对计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作，造成二十台以上计算机信息系统不能正常运行的”。此外，在明确修正后的《刑法》第286 条第2款保护的是计算机系统安全后，应当额外增设相关罪名以保护网络数据安全。笔者认为，我们可以比照《公约》中的“数据干扰”（data interference）在我国《刑法》中增设“非法删除、修改、增加网络数据罪”，以此规制对网络数据进行删除、修改、增加操作、侵犯网络数据完整性与可用性的犯罪行为。

其次，刑事立法应修改计算机系统的分类分级保护标准。由于刑事立法具有不周延性与滞后性等固有局限性，现行刑法所构建的计算机系统的分类分级保护制度存在一定的缺憾。一方面，《刑法》第285 条第1 款所采取的列举的立法方式不能将以经济建设为代表的其他重要领域囊括其中，无法对这些重要领域的计算机系统实现重点保护；另一方面，《刑法》第285 条遗漏了对非法获取重要领域计算机系统中的数据及非法控制重要领域计算机系统的规定，导致该行为只能以非法侵入计算机信息系统罪来认定，适用的法定刑甚至低于非法获取普通领域计算机系统中的数据及非法控制普通领域计算机系统的法定刑。当然，前述重要领域计算机系统中的数据内容可能具有国家秘密属性，此时侵入该系统获取数据的行为可能构成非法获取国家秘密罪等，从而适用较高法定刑的罪名，这在一定程度上可以避免第285 条立法缺漏所带来的问题。但是，国家事务、国防建设和尖端科学技术领域的计算机系统数据并不当然属于国家秘密，如有关行政人员名单的非核心数据等。换言之，并非所有侵入该领域计算机系统获取数据的行为都能以非法获取国家秘密罪定罪处罚。此外，即使该领域计算机系统的数据具有国家秘密属性，侵入系统并实施非法控制的行为，也难以满足其他罪名的构成要件，无法适用更高法定刑的罪名。因此，寄希望于适用国家秘密罪等其他罪名以规制相关行为，并不能从根本解决《刑法》第285 条第1 款与第2 款之间不协调与处罚不均衡的问题。

为解决此问题，有学者认为，第2 款“前款规定以外”并不是真正的构成要件要素，只是表面要素或界限要素，行为人侵入重要领域的计算机信息系统，获取其中的数据，或者对该系统实施非法控制，情节特别严重的，应认定为非法获取计算机信息系统数据罪、非法控制计算机信息系统罪。〔28〕参见张明楷：《刑法学》（第6 版），法律出版社2021 年版，第1372 页。该学者认为，表面的构成要件要素只是为了区分相关犯罪界限所规定的要素，不是成立犯罪必须具备的要素。〔29〕参见张明楷：《刑法学》（第6 版），法律出版社2021 年版，第159 页。笔者认为该观点有待商榷。在笔者看来，所有的构成要件要素都具备区分不同犯罪、区分同一犯罪的不同处罚标准的功能与作用，不能因为“前款规定以外”这一要素有效区分了《刑法》第285 条第1 款与第2 款，就认为其不是真正的构成要件要素。在法条设置具有缺陷的立法现状下对其进行弥补性的超越刑法规定的解释，从而虚设条文中明确规定的构成要件，似乎也有违罪刑法定原则。

笔者认为，在刑法解释无法解决条文之间不协调与处罚不均衡的问题时，有必要适时地在立法层面对相关法条进行调整。具体而言，其一，扩张《刑法》第285 条中重要领域计算机系统的范围。随着计算机网络在经济社会生活中的作用日益重要，部分重要领域的计算机系统安全问题逐渐凸显，刑法所重点保护的计算机信息系统的领域也应当适时加以扩展。相较于《条例》中明确对国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机系统安全的重点维护，我国刑法却未将对经济建设领域计算机系统的侵犯行为纳入重点规制范围。如前所述，经济建设领域尤其是金融领域的计算机系统的重要性未必低于刑法条文中明确规定的三种重要领域的计算机系统，如中国工商银行总行密码数据库所在计算机系统的重要性就远高于属于国家事务的乡级政府的电子政务计算机系统。〔30〕参见皮勇：《我国网络犯罪刑事立法研究——兼论我国刑法修正案（七）中的网络犯罪立法》，载《河北法学》2009 年第6 期。在互联网金融加速崛起的大背景下，金融领域的计算机系统聚集了越来越多的社会财富，与国家的经济命脉息息相关，其重要性更是不言自明。因此，笔者认为，在刑事立法上可以考虑借鉴《条例》的规定，将非法侵入计算机信息系统罪的犯罪对象修改为“国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统”。其二，将通过侵入计算机系统或采用其他技术手段，非法获取重要领域计算机系统中的数据及非法控制重要领域计算机系统的行为分别作为非法获取计算机信息系统数据罪与非法控制计算机信息系统罪的加重情形，并为其设置相较现行《刑法》第285 条第2 款更严厉的法定刑规定，以实现对计算机系统安全的分类分级保护。