尚权推荐SHANGQUAN RECOMMENDATION

在司法实践中，已有判决认可了数据的财产价值。总体而言，民法领域有将数据权理解为财产权的可能性。但在刑法层面，若认可数据财产权，则侵犯数据的行为就要适用盗窃罪、诈骗罪等财产犯罪，这很难被接受。《中华人民共和国刑法》（以下简称“《刑法》”）保护数据主要有两种模式：（1）转借信息安全的保护模式；（2）借助计算机信息系统安全的保护模式。换言之，我国《刑法》规范并未明确将数据视为财产，而是将数据理解为存储于计算机信息系统内的载体。由此可知，三权分置政策强调的数据产权与我国既有刑法规范可能存有抵牾。因此，如何使诞生于工商业社会的我国《刑法》满足数字社会中保护数据产权的政策诉求和实践需求？本文以解决这一问题为中心。

一、数据产权作为第三代财产权的多维确证

“数据产权”来源于经济学，扎根于法学，活跃于学科交叉背景下的共识域。尽管立法和司法的经验是，通过财产法保护数据确有困难，但财产法仍是数据处理、数据决策和数据纠纷化解中相对较佳的工具。要使数据产权成为人们接纳的权利，前提是其能被广泛地适用、普遍地接受，或者至少是可以抽象地推导出来。本文认为，数据产权是新一代财产权，《数据二十条》确立的数据三权实乃数据产权的三项权能。

（一）政策确立：三权分置对数据产权的规划

《数据二十条》全文共有11处提及“数据产权”，从政策层面接受了数据产权，使数据产权从学术话语转变为国家认可的政策术语，但还需升格为法律修辞。实际上，《数据二十条》确立的相关原则和规则体现了数据产权具有可接受性。

首先，区分数据来源者和数据处理者旨在明确数据产权的归属主体。《数据二十条》第二部分第（七）项规定，充分保护数据来源者合法权益。数据来源者是数据的生成主体，例如，信息主体是个人数据的来源者。与此相对，数据处理者则是实施数据获取、加工、传输、提供等处理活动的主体。数据来源者相较于数据处理者具有法定在先权利，个人数据来源者具有在先的人格权利，企业数据来源者享有在先的财产性权利。数据处理者与数据来源者的区分具有诸多意义：（1）划分了数据资源和数据产品；（2）区隔了数据处理者和数据来源者的权益及范围；（3）厘清了人格权益和财产权益的关系；（4）明确了数据产权具体权能的行使主体。概言之，数据三权分置政策区分了数据来源者和数据处理者，旨在厘清数据产权的行使主体，凸显确立数据产权的可行性。

其次，数据分类分级保护原则彰显数据产权权能的多样化。《数据二十条》全文共计出现“数据分类分级”6次，要求对数据加强分类分级管理。实际上，在《数据二十条》之前，《中华人民共和国数据安全法》（以下简称“《数据安全法》”）就已经确立了数据分类分级保护制度。“数据分类”是根据一定的标准将数据划分为若干类型，旨在明确数据的本质、属性和相关关系。所谓“数据分级”是在明确数据分类的基础上，对不同类型的数据采用轻重有别的保护等级，进而适用不同的法律制度。不同类型的数据，基于其性质、行业、领域和数量集等因素的差异，会有不同的经济价值。三权分置政策主要对数据进行两大划分：（1）公共数据、企业数据、个人数据；（2）数据资源和数据产品。基于数据类型差异，数据主体可以享有不同的权能，此种制度设计已体现数据分类分级保护之理念。

最后，数据全过程保护原则凸显数据产权的利益分配流程化。一方面，数据全过程保护原则已反映在《数据二十条》中。《数据二十条》共有8处提及数据流通全过程，例如，在“总体要求”部分强调实现数据流通全过程动态管理，将安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。尤其是在第二部分第（三）项中强调，根据数据来源和数据生成特征分别界定数据生产、流通、使用过程中各参与方享有的合法权利，建立三权分置的产权运行机制。前述制度使数据全过程保护原则与数据三权分置勾连在一起，凸显数据处理各阶段均需考量数据的伦理和价值。数据全过程保护原则已经体现在《中华人民共和国民法典》（以下简称“《民法典》”）、《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）和《数据安全法》中。另一方面，数据全过程保护原则反映了数据生命周期原理。《数据二十条》以数据“生产→流通→消亡”生命周期为分析框架，阐明数据产权的分配方案。在数据生产环节，侧重解决数据资源持有权的确权问题；在数据流通环节，侧重解决数据加工使用权、数据产品经营权等权利分配问题。由此可见，数据三权分置是以数据生命周期为逻辑主线分配数据利益。

（二）回应实践：数字社会对数据产权的需求

人权领域存在人权代际划分理论，数字人权一般被认为是第四代人权。与此类似，财产权也存在代际更新的过程，即历经“以所有权为核心的物权全面确立阶段→知识产权的萌芽和发展阶段→数据产权兴起阶段”。传统物权兴盛于农业社会，有数千年历史；知识产权兴盛于工商业社会，有数百年历史；而数据产权生成于数字社会，只有十几年历史。本文认为，数据产权是区别于传统物权（第一代财产权）、知识产权（第二代财产权）的第三代财产权，三代财产权均符合“有恒产者有恒心，无恒产者无恒心”的基本原理。每一代财产权都需要专项法律保护方法，不能再用前两代财产权的保护框架（旧瓶）去束缚数据产权（新酒）。国家政策之所以确立数据产权，正是为了塑造数据产权的独立保护模式。

首先，数据产权是诞生于数字社会的第三代财产权。数据既不是动产或不动产，也不能纳入版权、商标和专利等知识产权范畴。其一，数据可以纳入财产范畴。不应狭隘地理解财产，与其说财产是一个人所拥有的具体物品，毋宁说是一个人基于物所拥有的权利集合。数据能够给人带来财产利益，具有解释财产的价值基础。为了将数据纳入财产范畴，可以《民法典》第127条为基础构建数据财产的权利体系和利用规则。换言之，将数据理解为财产在民法规范上不存在障碍。其二，数据产权不同于传统物权。数据财产具有无限再生性、与人格要素交融性、有限支配性、有限排他性、权益主体多样性，前述特征均与传统物权存在显著区别。其三，数据产权不同于知识产权。知识产权是因人类作品、专利和商标等智慧产物而生成的利益，而数据产权只是基于自身的载体属性而生成的价值。因此，无法将数据产权纳入传统的物权和知识产权，只能将之视为独立的新一代财产权。承认数据产权可以合理分配利益、更新保护理念、完善数据保护的体系规则，继而为社会生产生活注入新活力。其四，数据产权仍具有财产权的共性。例如，数据产权仍具有财产权共有的对世性，即权利人仍然具有支配和排他权利，只是此种支配和排他的程度相较于传统财产权更低。从第一代产权到第二代财产权再到第三代财产权，权利人对财产权客体的支配和排他程度逐渐减弱。在数据产权中，由于数据可以被多个主体同时使用，所以数据处理过程呈现明显的“弱排他性”，但是数据处理所带来的有限利益只能由特定主体享有，故数据处理结果仍具备排他性。同时，数据虽具有无形性，但仍包括可支配性，可以通过载体固定或代码技术规则控制等方式，实现数据处理者的控制与支配权能。此外，数据产权也具备一定程度的稀缺性、规模性和可定价性。由此表明，数据产权相较于传统物权、知识产权的排他性已经明显弱化，但不能据此否认其财产权属性，也不能适用保护传统财产权的方式保护数据产权。

其次，接纳数据产权并不会违背产权经典理论。“公地悲剧”理论呼吁为财产资源赋予排他性的所有权，财产权是对公地悲剧的传统救济方式，如此可以避免资源过度浪费。与此相对，“反公地悲剧”理论强调叠床架屋式的产权结构会阻碍资源的合理利用。因此，在确立数据财产权之后，还要避免权利结构的复杂化，塑造明确的权利行使标准。“卡-梅框架”（C&M Framework）提供了统一分析视角和评价标准，可以防止司法裁判陷入纯粹的主观价值判断，为数据资源上的多元利益提供平衡标准。数据资源和数据产品符合“卡－梅框架”下财产规则的要求，数据可以作为交易标的意味着数据也就可以成为财产权的客体。洛克的劳动赋权理论强调个人可以通过劳动获得所有权，通过自力更生的劳动获取财产权是一种自然法原理（有恒产者有恒心）。但是，曾有观点质疑“数据确权”使传统劳动赋权理论破产。在数字化场景中劳动赋权理论仍应发挥作用，它不会因场景变化而失效。《数据二十条》确立的数据产权三权分置体系也是对劳动赋权理论的体现。数据来源者因对数据资源的生产付出劳动而享有数据资源持有权；数据处理者对数据付出收集或加工等劳动，可以享有数据资源持有权、数据加工使用权和数据产品经营权；那些对数据资源或数据产品未付出任何劳动的主体，无法行使前述数据权能。至于那些基于数据公开或开放原因而享有部分数据权益的主体，虽非基于劳动获得，但却是国家基于公共利益考虑而允许其合理使用。换言之，不能基于公益原因的合理使用这一单项事由，就直接否认数据劳动赋权理论。

最后，数据三权分置的本质是数据产权三项权能的并立。在三个世纪之前，国外学者就强调财产权是“一个人对世界上的外部事物主张和行使专制的统治权，可以排除外部干扰，人类的想象力被其魅力所吸引”。财产权是一堆利益的集合，包括排斥他人使用的权能、使用资产的权能和转移资产的权能。换言之，财产权作为一项人类重要权利，其下包含诸多权能。德国学者拉伦茨教授曾指出，判断一项权益到底是权利还是权能，需要考察其是否能够独立转让以及其重要性程度。例如，个人信息的知情权、决定权、查阅权、复制权、更正权、删除权等，虽名有“权”字，但实为实现个人信息权利的手段，离开个人信息权利它们将不复存在。再如，占有（权）是传统物权的首要权能。与此类似，数据产权的主要功能是保证权利人对构成该权利标的的对象或商品的专属权利，该项权利允许权利人排除他人访问或使用该标的物。其中的数据资源持有权、数据加工使用权、数据产品经营权只是实现“数据产权”的三项手段，脱离数据产权这一上位概念，三项具体权能也无法施展。因此，建构一个有效的数据产权概念，可以兼容法律系统所要求的法律原则和数据自身的特性，还可以消解法律适用上的诸多障碍。

（三）刑法回应：数据产权可以成为实质法益

在政策和前置法层面确立数据产权之后，还需要发挥刑法的自创生能力，使之可以回应实践中保护数据产权的需求。

首先，数据产权属于刑法中的阻挡层法益。企业生产或聚集的大量数据本身就是企业的一笔财富，侵犯数据权利的行为可能会给企业或其他数据主体造成巨大的财产损失。由此可知，国家政策确立的数据产权是对实践状况的提炼，需要法律系统予以回应。对此，前置法可以通过法教义学方法确立数据产权，而刑法以保护法益为目的，数据产权也可以成为刑法中的实质法益。但是，既有《刑法》中的数据犯罪具有浓厚的计算机时代的特征，即将数据囚禁在计算机信息系统中，数据不能被独立保护，也就不能保护以数据为基础的数据产权。因此，需要对《刑法》中数据犯罪所保护的法益进行重新解释。《刑法》中数据犯罪所保护的法益可以概称为数据法益，有观点认为，此种数据法益呈现双层结构，数据安全是阻挡层法益，数据内容价值是背后层法益。也有人认为，阻挡层是权利人对数据的保密、完整、使用上的权利；背后层则关联个人信息权、商业秘密权益等传统法益。本文认为，数据法益双层结构表现为，阻挡层的数据安全集中表现为数据产权安全，也就是说，阻挡层法益是数据产权（表现为三项具体权能），背后层是以权利束为基础，关联个人信息权利和商业秘密权益等信息法益。例如，甲实施非法获取数据行为，会直接侵犯数据处理者的数据资源持有权（阻挡层的数据产权），在此基础上甲通过AI换脸技术等手段利用该数据，可能会进一步侵犯信息主体的个人信息权利（背后层的信息法益），进而会导致自然人的人身、财产安全受到威胁。如果通过刑法及时惩治侵犯数据产权的行为，就可以较早阻遏背后层信息法益被侵害。

其次，刑法保护数据产权符合法秩序统一性原理。当前，对于数据财产权的法律保护主要以民事措施和行政措施为主。以企业数据为例，司法实践主要通过《中华人民共和国反不正当竞争法》（以下简称“《反不正当竞争法》”）进行保护，但《反不正当竞争法》规制不法行为的范围有限，也不能为受害人提供损害赔偿请求权的基础。换言之，侵犯数据产权的行为大多由《反不正当竞争法》规制，即使造成严重的法益侵害结果，刑法也不会介入。但是，当前数据安全风险日趋严峻，以数据为载体的犯罪呈现场域泛在化、主体平台化、危害复杂化和损害难以估量的特征。由此可见，对于严重侵害数据产权的行为，刑法不能视而不见。基于法秩序统一性原理，某一特定权利如果比较重要就需要整体法进行协同保护，前置法保护与刑法保护缺一不可。进入数字社会后，数据产权已经成为国家政策认可的重要权利，如果只为之提供前置法保护而欠缺刑法的保障作用，不仅无法产生威慑效应，也不能提高犯罪成本。

最后，保护数据产权是刑法迭代升级的必然要求。人类社会已从农业社会经过工商业社会过渡到数字社会，与此相对，财产权也经过迭代更新并演进到第三代数据产权。前两代财产权在我国《刑法》中已被直接保护，第五章专章规定的“侵犯财产罪”专门保护第一代财产权；第三章“破坏社会主义市场经济秩序罪”中的第七节“侵犯知识产权罪”专门保护第二代财产权。按照此规律，作为第三代财产权的数据产权在《刑法》中也应有专门保护的章节或罪名。遗憾的是，既有刑法制定于前数字时代，带有浓厚的农业社会与工商业社会气息，并无保护数据产权的专有罪名。当前，理论与实践往往以保护第一代、第二代财产权的方法去解决数据产权的保护问题，主要形成了以下方案：（1）部分法院将以虚拟财产为代表的数据视为传统财物进行保护；（2）将数据财产纳入知识产权体系进行建构与保护。实际上，作为第三代财产权的数据产权应与前两代财产权一样得到刑法的专项保护。对此，有学者提出“数据利用安全”作为涵盖数据财产价值的法益概念，并试图通过刑法保护该法益。这种观点虽未使用“数据产权”概念，但已蕴含数据产权的内核。

本文认为，应当直接承认数据产权，且刑法对数据产权的保护不能依赖保护传统物权的第一代模式抑或保护知识产权的第二代模式，而是应当构建区别于传统财产权保护模式的独立化第三代保护模式。对此，应当在三权分置政策指导下，从立法和解释适用两大维度塑造第三代保护模式。

二、三权分置政策与数据产权刑法保护第三代模式的立法构建

为了构建数据产权刑法保护的第三代模式，需要将三权分置的政策规划转为刑法话语。本文认为，数据三权分置政策可以通过刑事政策进入刑法体系，进而可以指导塑造数据产权刑法保护的第三代模式。

（一）三权分置可以细化为具体刑事政策

“反省法”（Reflective Law）强调摒弃形式主义与实质主义并开辟了第三条道路，为协调法律内部要素和外部诉求提供理论框架和沟通桥梁。换言之，“反省法”强调法律系统在面对外在环境变迁时，应通过自我反思和内部运作以回应社会需求。我国刑法系统具有封闭性，面对数字社会的发展状况已经呈现明显的滞后性，应当借助“反省法”的反思作用，使刑法及时回应数字社会的发展需求。其中，刑事政策可以发挥“反省法”的功能和桥梁作用，即可以通过刑事政策保持刑法的开放性。在我国刑法体系中，“宽严相济”是基本刑事政策，面对特定犯罪国家会采用具体刑事政策。例如：面对恐怖主义犯罪会采用“打早打小”的具体刑事政策；面对黑恶犯罪会采取“扫黑除恶”的具体刑事政策。本文认为，数据三权分置作为宏观政策进入刑法体系后，需转化应转变为具体刑事政策，方能对刑事立法和刑事司法实践产生影响。

首先，数据三权分置政策可以转化为具体的刑事政策。国家顶层设计在特定领域需要转化为更细致的政策才能妥当贯彻，在刑事领域就应当转变为刑事政策。在刑事政策的指导下，可以摆脱既有刑法适用模式的束缚，为刑法回应数字社会的发展需求开辟必要空间。一方面，刑事政策在政治与法律之间架起了桥梁。刑事政策承载国家政治诉求，其目标是推动刑事立法和刑法重新解释的关键动力。因此，刑事政策为完善刑事立法和更新刑法教义学的理论结构提供知识供给。刑事政策虽然指向已经存在的法律，但可以通过立法或司法的方式对既有法律进行改造，使其具备合政策的目的性。另一方面，刑事政策不能直接作用于法治实践。刑事政策的目标、精神、理念和原理，需要通过立法才能植入法律规范中，只有通过司法活动才能最终对实践产生影响。在立法层面，刑事政策会影响责任类型的选择与设定；在司法层面，刑事政策对罪刑规范的解释具有指导作用。总之，应将数据三权分置政策转化为具体的刑事政策，进而才能影响刑事立法与刑事司法的运作。

其次，数据三权分置政策可以指导刑事立法增设新罪。实际上，刑事政策可以基于一种批判性的思维和视角去影响立法目的和立法方式。刑事政策的落实和定型化表现为刑法规范的革新。例如，在“打早打小”反恐具体刑事政策的影响下，我国《刑法修正案（九）》增设了强制穿戴宣扬恐怖主义、极端主义服饰、标志罪和非法持有宣扬恐怖主义、极端主义物品罪等。再如，在“扫黑除恶”具体刑事政策的影响下，我国《刑法修正案（十一）》新增了“催收非法债务罪”，该罪可以惩治黑恶势力非法催收债务行为。同理，数据三权分置作为具体刑事政策也可以指引刑事立法增设保护数据产权的新罪名。

最后，数据三权分置政策可以指导刑事立法修改旧罪。刑事政策具有指导刑事立法修正旧罪的功能。例如，在“打早打小”反恐具体刑事政策的影响下，我国《刑法修正案（九）》将《刑法》第120条之一由原来的“资助恐怖活动罪”修正为“帮助恐怖活动罪”，对其中的构成要件进行了较大幅度修改。就数据犯罪而言，目前大多数国家或地区的数据犯罪均只是将数据作为保护对象，但未体现保护数据产权的特征。例如，罗马尼亚《刑法典》第361条规定了非法截获计算机数据传输罪，该罪目的是保护正在发送的计算机数据的机密性，防止其被无端截获。德国《刑法典》设置的窥探数据罪、截获数据罪、窥探和截获数据的预备罪、数据窝藏罪、数据变更罪等也未体现保护数据产权的特征。我国《刑法》中的数据犯罪主要是指第285条第2款的非法获取计算机信息系统数据罪，以及第286条第2款破坏计算机信息系统罪，该两罪也无法体现对数据产权的特殊保护。因此，需要对我国数据犯罪进行立法重构以体现对数据产权的特殊保护。

此外，数据三权分置作为具体的刑事政策，对刑法规范的解释适用也会产生影响，可以保护数据产权为规范目的对刑法规范进行重新解释，对此本文第三部分将详细阐述。

（二）三权分置指引下数据产权刑法保护模式的立法创设

我国制度发展一般经历“实践探索→政策引领→立法确立”的过程，三权分置政策所设置的数据产权制度也不会脱离这一规律。三权分置政策为立法构建数据产权的独立保护模式提供了政策蓝图，可以在该政策的指导下对我国数据犯罪进行立法改造。当前我国数据犯罪存在三大明显缺陷：（1）数据的依附性：既有数据犯罪只保护存储在计算机信息系统中的数据，存储在计算机信息系统外的数据将无法被保护；（2）法益偏差性：既有数据犯罪以保护计算机信息系统安全为核心，数据产权无法被独立保护；（3）行为的片段性：既有数据犯罪只能规制非法获取数据和破坏数据两种行为，其他非法处理数据行为无法被规制。为了彻底保护数据产权，需要从立法上对数据犯罪的三大缺陷进行弥补。

首先，对数据犯罪对象进行“去计算机信息系统化”改造。我国既有数据犯罪虽然都能指涉数据，但数据都被计算机信息系统限制，存储在计算机信息系统外的数据（如网页浏览痕迹）无法被数据犯罪保护。为了使数据成为刑法独立保护对象，有必要通过立法删除作为数据犯罪构成要件要素的“计算机信息系统”。其一，对非法获取计算机信息系统数据罪去除计算机信息系统的限制。对于《刑法》第285条第2款，可以“或者”为界切分为前半句和后半句，前半句中的“获取该计算机信息系统中存储、处理或者传输的数据”可以改为“获取数据”，从而扩充刑法保护数据的范围。而单纯控制或破坏计算机信息系统安全的行为，可以由《刑法》第285条第2款后半句的非法控制计算机信息系统罪和第286条第1款（破坏计算机信息系统罪）进行调适。其二，对《刑法》286条第2款去除计算机信息系统的限制。我国《刑法》第286条被统一概括为破坏计算机信息系统罪，但细致分析可以发现，第286条第1款是真正意义上的破坏计算机信息系统罪，它可以规制纯粹破坏计算机信息系统行为；而第286条第2款应被概括为“非法删除、修改、增加计算机信息系统数据罪”，也应通过立法删除该款中的“计算机信息系统”，使之可以规制纯粹删除、修改和增加等破坏数据行为。

其次，使数据犯罪可以规制数据处理全过程中的所有不法行为。对数据犯罪去除计算机信息系统的限制仍不足以保护数据产权，为了更为彻底地保护数据产权还需要进一步加强立法改造，使各类侵犯数据产权行为均能被数据犯罪规制。对此有观点认为，应增设“妨害数据流通罪”和“非法分析数据罪”两项罪名。实际上，如此主张仍然无法实现对数据处理全过程进行刑法规制，同时还不利于节约立法资源。本文认为，为了更彻底地保护数据产权，应将第285条第2款前半句和第286条第2款合并为“非法处理数据罪”。设置“非法处理数据罪”是在前文提出的“去除计算机信息系统限制”这一基础上，扩张数据犯罪的行为方式。其一，设置“非法处理数据罪”不仅可以规制传统的非法获取数据、破坏数据行为，还可以规制所有非法处理数据行为。其二，设置“非法处理数据罪”能与前置法衔接。《数据安全法》第3条第2款规定，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。可见，在前置法上侵犯数据的行为可以被概括为非法处理数据行为。因此，设置非法处理数据罪可以与《数据安全法》等前置法中的非法处理数据行为进行衔接。其三，设置“非法处理数据罪”并非增设新罪，而是对涉及数据的两项既有旧罪进行修正，不仅可以节约立法资源，还可以避免罪名之间关系的混乱。

最后，将数据产权确立为数据犯罪的核心法益。数据所反映的信息内容可能代表着不同法益，如果数据反映个人信息则代表人格权，如果数据反映隐私则代表隐私权。我们不考虑数据所反映的内容，单纯就数据自身价值而言，应还原数据的财产属性，据此构建数据产权的刑法保护体系。随着数字社会发展，人们已经逐渐认识到数据的财产价值，但若将数据纳入传统财产犯罪抑或知识产权犯罪的保护范畴，则本质上是用保护财产权的第一代模式和第二代模式去保护作为第三代财产权的数据产权，这种保护方法的代际错位本质上是用“旧瓶”装“新酒”，非但无法有效保护数据产权，反而会治丝益棼。在《刑法》中构建保护数据产权的第三代模式，不能借助传统的财产犯罪或知识产权犯罪，而是要改造数据犯罪以凸显其对数据产权的特殊保护。因此，需要将前文的“非法处理数据罪”确立为保护数据产权的专项罪名。那么，如何才能体现“非法处理数据罪”保护数据产权的特性？本文认为，不应再将“非法处理数据罪”规定在《刑法》分则第六章“妨害社会管理秩序罪”中，应将之放置在第五章“侵犯财产罪”中，或者如同“侵犯知识产权罪”那样规定在第三章“破坏社会主义市场经济秩序罪”中。换言之，通过立法调整数据犯罪的章节布局，可以凸显非法处理数据罪保护的核心法益是数据产权。由此可知，修正后的数据犯罪应与财产犯罪、知识产权犯罪并列，并可成为保护第三代财产权的专项罪名，最终形成“传统财产犯罪—知识产权犯罪—数据产权犯罪”的刑法财产权保护体系。

三、三权分置政策与数据产权刑法保护第三代模式的解释接近

三权分置政策通过刑事政策渠道进入刑法体系后，不仅可以影响刑事立法，还可以影响刑法的解释和适用。当政策目的发生变更，就需要对既有教义学进行科学性检验或体系性反思，以使刑法教义学满足司法实践的变迁和发展需求。因此，在立法启动之前，需要在既有刑法体系下发挥刑法解释的作用，使政策上确立的数据产权转变为刑法上的实质法益，继而对刑法相关罪名的构成要件进行重新解释。

（一）三权分置政策影响下数据产权刑法保护的解释方法

前述刑事立法是构建数据产权刑法保护第三代模式最彻底的方法，但在当前启动刑事立法保护数据产权之前，为了最大限度满足实践中保护数据产权的需求，应当发挥法教义学方法的作用，使既有刑法接近第三代模式。

其一，刑法保护数据产权的权利束方法。数据与信息是载体与内容的关系，这种分层结构决定了数据犯罪是保护载体的罪名，而信息犯罪是保护内容的罪名。虽然数据犯罪强调保护数据载体，但若特定数据无法反映有效的信息内容，例如已经失效的号码生成器生成的手机号码，则只是纯粹的字串符，也就没有刑法保护之必要。数据如同密码，密码需要转译，而数据需要编码与还原。如果特定数据可以读取有效信息且刑法对该信息内容专设保护罪名（如侵犯公民个人信息罪），则应优先适用信息犯罪；若特定数据虽可读取有效信息但刑法对该信息未设置专项罪名，就只能适用数据犯罪保护。由此推知，在数字化场景中数据犯罪与信息犯罪应是法条竞合关系（见图1），数据犯罪是前端的普通犯罪，而信息犯罪是后端的特殊犯罪，通过优先适用信息犯罪也可以间接保护数据及数据背后的数据产权。然而，信息内容具有多元性，不同的信息内容代表着不同法益，无法通过单一罪名全面保护所有种类的信息。基于此，对于数据所反映信息的保护，需要借助权利束理论。

换言之，在既有刑法体系下，对于数据产权的保护，应摒弃借助传统财产权的固有思维，转向权利束理论。由于刑法保护法益不限于权利，还包括社会秩序等，因此权利束理论在刑法领域应当转变为法益束。具体而言，数据是束点而信息是束棒，以数据为基础，可以通过数据所表征的信息串联适用保护信息法益的罪名，继而可以在一定程度上间接保护数据产权。例如，如果数据所反映的信息是个人信息，就可以适用侵犯公民个人信息罪间接保护数据产权。如此可以适用信息犯罪来保护数据产权，这可能是当前较为妥帖的权宜之计。

图 1 数字化场景中数据犯罪与信息犯罪关系图

其二，刑法保护数据产权的还原法路径。虽然既有数据犯罪都被规定在《刑法》分则“妨害社会管理秩序罪”章中，但不影响将数据犯罪解释为保护数据产权的罪名。正如侵犯知识产权罪被规定在“破坏社会主义市场经济秩序罪”章，也不影响该罪是以知识产权为核心法益。进入数字时代，数据载体具有较强的交易价值，数据可成为新型财产权的客体。这就意味着数据犯罪应重点保护数据产权。但是，我国既有数据犯罪均侧重保护计算机信息系统安全，这使得数据犯罪中数据产权的解释空间被严重压缩。我国司法机关为了摆脱数据被计算机信息系统束缚的局面，也付出了诸多努力，主要是通过扩张解释“计算机信息系统”来实现。例如，2011年最高人民法院、最高人民检察院颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称“《计算机刑案解释》”）第11条规定：“本解释所称‘计算机信息系统’和‘计算机系统’，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。”由此可知，通过“等”的设置使计算机信息系统的范围被明显扩大。换言之，司法解释以扩张计算机信息系统范围的方式扩大刑法保护数据的范围，意图使“数据安全”成为数据犯罪的保护法益。但是，“数据安全”只是强调保护数据的保密性、可用性和完整性，并没有回答为什么要保护数据的保密性、可用性和完整性。本文认为，应当将数据安全的本质进一步还原为数据财产安全。换言之，刑法之所以要保护数据的保密性、可用性和完整性，是因为这三大安全要素直接关涉数据产权，数据的保密性、可用性和完整性一旦被侵犯，数据也就丧失了财产价值。其三，刑法保护数据产权的扩张法逻辑。当前，我国数据犯罪都是以“计算机信息系统中存储、处理或者传输的数据”作为罪状表述。实际上，“计算机信息系统”是计算机初兴时代的表述和用语，带有浓厚的物理时代的特色。随着数字技术的发展，“计算机信息系统”已经被数据库、云盘等替代，若对“计算机信息系统”作狭义解释，会严重压缩数据的保护范围。本文认为，应当将数据犯罪中的“计算机信息系统”扩张解释为“互联网系统”。首先，在数字时代，未连接互联网的“计算机信息系统”就是一台纯粹的计算机（电脑），对于未联网的计算机，他人无法通过技术手段远程侵犯其内部存储的数据，至多只能从外部进行物理摧毁。换言之，没有互联网的加持，数字社会无法生成。因此，在数字社会中法律要保护的“计算机信息系统”本质上应是“互联网系统”，互联网系统可以涵括数据库、云盘等范畴。申言之，数字时代我们所探讨的数据都是互联网系统中的数据，刑法所应保护的数据不是未联网计算机中存储的数据，而是与互联网系统连接的数据。其次，所有互联网系统的运行都是以计算机系统为基础，是故将“计算机信息系统”理解为“互联网系统”虽然是一种扩张解释，但本质上是符合数字社会发展需求的升维解释。随着公民数字素养的提升，此种解释也不会超越国民的预测可能性。最后，《计算机刑案解释》第11条在解释“计算机信息系统”时，在列举具体系统之后以“等”字结尾，可以通过“等”字的桥梁作用将“互联网系统”纳入“计算机信息系统”。通过前述扩张解释，可以将网页浏览记录、网络下载记录、网络关键词检索记录等诸多互联网系统上的数据纳入刑法保护范畴。

（二）刑法保护数据产权三项权能的解释方法运用

前文已从刑法解释视角为保护数据产权提供了基本方法，对数据产权之下的三项具体权能的刑法保护，需要在前述基本方法指导下探索更为具体的解释方法。

1．数据资源持有权：刑法保护数据的有序状态

数据资源持有权是数据产权的首要权能，旨在保护权利主体占有数据的有序状态。首先，为了区分数据产权和传统财产权，国家政策使用了数据资源“持有权”而非“数据资源“占有权”。占有强调对实体物的支配，占有权是传统物权的首要权能。持有不仅是一种状态更是一种行为，也就是具有状态持续性的行为。持有相较于占有更为抽象，可以体现在数字空间对数据有限控制的含义，持有权已经成为数据产权的首要权能。其次，国家政策之所以使用“数据资源”，是因为数据资源是生成于数据来源者且数据处理者只采集但尚未加工的原始数据，这足以表明数据资源持有权的存在阶段为“数据从数据来源者处生成之后，到数据处理者加工处理成为数据产品之前”，在此阶段，数据处理者尚未对数据进行加工处理或未加工完成。再次，数据资源持有权的主体是数据来源者和数据处理者。数据资源持有权不仅包括数据来源者对自身数据享有的持有权，还包括数据处理者对未加工完成的数据的权利。例如，个人信息主体在个人数据被收集之前对自身个人数据享有持有权，当信息主体同意他人收集其个人数据后，数据处理者基于合法收集行为，对所收集的数据享有数据资源持有权。最后，保护数据资源持有权本质上是保护数据的有序状态。即使是非法持有数据的状态，法律也不允许肆意侵犯，这是刑法禁止“黑吃黑”的重要内容之一。具体来看，对于数据资源持有权的刑法保护，可以从以下几点展开论述。

其一，规制非法获取数据行为。非法获取数据行为会直接侵害数据资源持有权，已经成为当前侵犯数据安全的主要形态。虽然数据可以被视为财产，但数据的财产价值并非来源于数据资源持有者的智力创造，亦非类似传统物权那般的独占价值，而是数据处理者在生产、收集、分析、加工和使用基础上产生的价值。因此，非法获取数据行为既不能适用盗窃罪、抢夺罪等传统财产犯罪，亦不能适用侵犯知识产权犯罪，只能适用数据犯罪从而凸显对数据产权的特殊保护。实践中非法获取数据的行为主要表现为恶意网络爬虫行为，当行为人违反约定并强行突破技术防护措施抓取数据资源，则存在刑事不法的可能性。从保护数据产权视角看，恶意网络爬虫行为本质上是侵犯数据资源持有权的行为，可以适用经扩张法重新解释后的非法获取计算机信息系统数据罪。

其二，规制非法破坏数据行为。传统理解的破坏是对有体物的毁损，进入数字社会需要对法律规范上的“破坏”进行扩张解释，即破坏不仅包括物理毁损，还应当包括功能减损，使数据功能发生减损的行为都可以被解释为“破坏数据”。从保护数据产权视角分析可以发现，数据产权既未赋予数据处理者任何排除他人使用相同数据的权利，也未赋予权利人知识产权式的专有权。相反，数据产权中的数据资源持有权本质是维持持有者控制下的数据不受他人干扰的能力，前述特征是数据产权与传统物权、知识产权的核心区别，也是不能将数据产权纳入传统财产权保护范畴的关键原因。由上可知，如果行为人对数据资源持有者持有的数据实施删除、修改、增加或者销毁等行为，就可以被解释为刑法上的破坏数据行为，该类行为本质上是对数据产权下数据资源持有权能的侵犯，可构成经重新解释后的《刑法》第286条第2款破坏计算机信息系统罪。

其三，惩治数据窝藏行为。数据窝藏行为的本质是非法存储数据行为，主要包括两种类型：（1）对自己非法获取的数据进行窝藏。此种情形包含一个完整犯罪链条，即“非法获取→窝藏→非法提供”，其中的窝藏环节是非法获取数据的当然结果，可以理解为刑法上的“事后不可罚行为”，只需处罚非法获取行为和非法提供行为。（2）对他人非法获取的数据进行窝藏。如果行为人在无意思联络的情况下，故意对他人非法获取的普通财物进行窝藏，应构成《刑法》第312条的掩饰、隐瞒犯罪所得、犯罪所得收益罪。然而，数据并非传统财产，能否适用该罪惩治数据窝藏行为？对此，我国相关司法解释给出肯定答案。与德国不同，我国《刑法》并未设置“数据窝藏罪”，但不影响通过合理解释发挥既有罪名的作用，使其发挥“数据窝藏罪”的功能。本文对此予以赞同，传统财产犯罪（如盗窃罪）的罪状明确规定了“财物”这一物理世界的专属名词，我们很难直接将数据解释为财物。但是，掩饰、隐瞒犯罪所得、犯罪所得收益罪的罪状表述中没有将对象限定为“财物”，而是以相对抽象的“犯罪所得及其产生的收益”来表达。因此，他人通过非法手段获取的数据，可以解释为“犯罪所得及其产生的收益”。

2. 数据加工使用权：刑法保护数据的添附价值

数据处理者在收集数据资源之后，会将数据资源加工成为数据产品，继而将数据产品投入市场进行交易。换言之，数据“加工”是使“数据资源”变成“数据产品”的环节。首先，“加工”是一个重要的时间节点，在之前数据属于数据资源，在之后数据成为数据产品，而身处其中的数据实乃数据半成品。其次，加工是数据处理者付出劳动的活动，数据处理者将庞大的数据资源汇聚起来，继而对数据进行加工、编辑等处理。再次，“加工”是添附行为，加工行为可以使数据的价值得以形成或增值。数据处理者基于数据加工所创造出的新生价值可以理解为民法上的“添附”；数据处理者基于其劳动付出，对数据新生价值享有支配性的产权（在数字环境中主要表现为使用权）。最后，数据“使用”是利用行为，数据处理者对加工中的数据半成品和加工后的数据产品享有使用权利，此项权利贯穿于加工的整个阶段，具体表现为控制权、开发权、利用权、禁止权。数据处理者的加工使用权包括自己加工使用的权利和许可他人加工使用并获利的权利，行使该项权利的前提是不影响数据来源者的在先权利。因此，保护数据加工使用权的核心是保护因劳动而产生的数据添附价值。

其一，刑法保护数据处理者自己加工数据的权利。德国《刑法典》在第303条a规定了“变更数据罪”，该罪被设置在第二十七章“损坏财物的犯罪”之下，属于保护财产权的罪名。这条规定可以佐证德国《刑法典》将数据视为财产权的客体。该罪名主要规制“非法消除、扣押、使其不能使用或变更数据”的行为，其罪状表述可以解释为“阻碍加工使用数据”。可见，该罪可以规制侵害数据加工使用权的行为。我国《刑法》在财产犯罪中虽然没有设置“变更数据罪”，但通过前文的重新解释方法，可以使《刑法》第286条第2款的破坏计算机信息系统罪涵括“变更数据罪”的主要内容。若行为人通过非法手段对数据处理者已经加工的数据实施删除、修改、增加等破坏性操作，实际上是侵犯了数据处理者的数据加工权，可以构成破坏计算机信息系统罪。

其二，刑法保护数据处理者许可他人加工数据的权利。数据的财产价值不仅是通过积累大量数据获得，更是通过发展组织能力以更好利用数据而得以实现。因此，数据处理者基于自身加工水平的有限性，为了更好地挖掘数据的财产价值或使数据具备添附价值，会授权其他更有实力的数据处理者对数据资源进行加工。如果被授权的数据处理者对数据资源进行非法改变（修改、变化、部分改变）、删除或使数据失去作用，均构成对数据产权的侵犯，应承担相应的法律责任。实际上，前述行为本质上是对原数据处理者的数据加工使用权的侵害，使原数据处理者对数据资源添附价值的期待破灭，数据资源也无法成为符合预期的数据产品。对于此类不法行为，因数据不能被解释为传统财物而不能适用故意毁坏财物罪，但可以适用经重新解释后的《刑法》第286条第2款规定的破坏计算机信息系统罪。

其三，刑法保护数据处理者对数据产品的使用权。数据处理者可以通过自己加工或者授权他人加工，使数据资源因获得新的价值而升格为数据产品，数据处理者对加工完成后的数据产品享有完整的产权。如果不法行为人破坏数据产品导致数据处理者无法行使使用权，可以构成重新解释后的《刑法》第286条第2款的破坏计算机信息系统罪。

需要强调的是，数据处理者在行使数据产品使用权时，应当尊重数据来源者的在先权利，避免因使用数据而损害数据来源者的利益。同时，数据处理者在数据加工和使用的过程中，应当承担数据安全保护义务。具言之，作为企业的数据处理者在加工和使用数据过程中，应当完善内部管理机制，通过采用人工智能等数字技术方式进行企业法治体检，及时发现和纠正加工和使用数据过程中的法律风险。如果数据处理者没有履行前述数据安全保护义务，导致数据资源和数据产品的泄露，继而给数据来源者或其他权利人造成损害，可能会构成拒不履行信息网络安全管理义务罪。

3. 数据产品经营权：刑法保护数据的交易价值

数据资源是数据的原始形态，数据产品是数据被加工后的成品形态。数据处理者之所以将数据资源加工成为数据产品，主要是为了使之可以进入市场进行交易。例如，当前各国都在开发各自的人工智能大模型，欧盟《人工智能法》也将人工智能大模型界定为数据产品。实际上，数据处理者的数据产品经营权就是交易获利权，即数据处理者通过交易对价的方式许可其他主体使用其制作的数据产品的权利。因此，数据产品的交易价格应当由交易双方通过合同自行约定。欧盟早就关注到数据产品的市场交易价值，欧盟委员会制定了“数字产品服务法软件包”（包括《数字服务法》和《数字市场法》），它为在线平台制定了全面的规则手册，以创建一个更安全的数字空间为目标，在此之前欧盟委员会就已经于2015年发布了《欧洲数字单一市场战略》，试图构建数字单一市场。此外，欧盟近年通过的《数据法》对数据产品和数据服务进行界定。在此背景下，我国法律也有必要完善数据产品的经营与交易制度，充分保护数据产品经营权。本文认为，在既有刑法体系下，可以充分发挥保护交易与经营安全罪名的功能，为数字社会中的数据产品经营权提供刑法保护框架。

首先，适用保护经营安全的罪名。一方面，妨害数据处理者进行数据产品经营的行为可以构成破坏生产经营罪。破坏生产经营罪被规定在《刑法》第276条，该罪的罪状具有浓厚的农业社会和工业社会的气息。让人误以为只有破坏农业生产、工业生产的行为，才可能构成破坏生产经营罪，这种理解会使刑法规范故步自封，难以适应社会发展需求。进入数字社会后，数据是新质生产力的关键要素，数据产品的生产经营活动也应得到刑法保护。因此，有必要以保护数据产权为目的对破坏生产经营罪进行重新解释。将该罪罪状中的“以其他方法破坏生产经营的”作为开放性要件，使该罪具备与时俱进的解释空间。基于此，可以将破坏数字经济生产经营的行为纳入该开放要件，进而可以使破坏生产经营罪成为保护企业数据产品经营权的罪名之一。另一方面，适用非法经营罪。如果数据处理者没有经营数据产品的资质而非法从事相关经营活动，从集体法益来看，该行为破坏了数字经济的生产经营秩序；从个人法益来看，该行为侵犯了其他数据处理者公平的数据产品经营权，可以被非法经营罪涵摄。

其次，适用保护交易安全的罪名。在数字经济时代，数据可以生成第三代财产权，而数据财产价值的实现离不开交换程序和交易行为。数据产品的交易离不开平台的作用，平台为数据产品交易双方提供媒介和场所，数据处理者可能会在自设平台或他设平台上与消费者进行交易。当处于弱势地位的数据产品提供者被迫遭受来自平台的不公平对待，则对交易安全、交易秩序和用户权利等都构成了威胁，阻碍公平公正的数据产品交易环境的构建。一方面，数据产品可以解释为《刑法》第226条第（一）项的“商品”；另一方面，数据产品服务可以解释为第（二）项的“服务”。因此，若行为人通过暴力、威胁等手段强迫数据处理者向其提供数据产品及服务，可以构成强迫交易罪。

最后，适用保护数据安全的罪名。如何保护数据产品交易安全是我国在发展数字经济过程中必须解决的问题，当前有两种方法：（1）传统法律保护，即法律划定一个其他人不能介入的空间，一旦侵入就受到处罚；（2）技术屏蔽保护，用技术手段阻止不受欢迎的侵入。在现实生活中这两种方式同时并存，当然我们还是希望以最低的成本获取最佳的效果。实践中，行为人往往通过侵入系统或侵入传输环节以获取数据产品。当数据企业向数据用户提供或传输数据产品时，数据产品的内容可能会被不法第三人截获，此种行为导致数据企业无法完成数据交易，数据用户也未获得有效的数据产品服务。这不仅侵犯了企业的数据产品经营权，也侵犯了消费者的利益。这种行为如果发生在德国，可能会构成德国《刑法典》第202条b的截获数据罪。我国《刑法》不存在截获数据罪，只能重新寻找规制思路。实际上，数据产品仍然属于数据，截获数据产品行为仍属于非法获取数据行为，可以构成经重新解释后的非法获取计算机信息系统数据罪。因此，尽管《刑法》285条第2款（非法获取计算机信息系统数据罪）和第286条第2款（破坏计算机信息系统罪）原本是保护计算机信息系统安全的罪名，但可以对这两款罪名重新解释，使之成为保护数据安全的罪名，而数据安全可以被进一步细化为数据产权安全。

四、结 语

国家政策确立的数据产权需要法律保护，为了使刑法可以充分保护数据产权，需要践行以下逻辑：一是确立总体目标，为数据产权构建区别于传统物权和知识产权的第三代财产权刑法保护模式。二是寻找合适方法，数据三权分置政策进入我国刑法系统后，应当细化为具体刑事政策，发挥数据三权分置刑事政策指导刑事立法和刑法解释的功能，进而可以以立法论和解释论为路径塑造数据产权刑法保护的第三代模式。三是贯彻保护方法，一方面，立法论是构建数据产权刑法保护第三代模式最彻底的方案，可以通过对既有数据犯罪作去计算机信息系统化、全流程化和产权化改造，进而使数据犯罪升格为保护第三代财产权的专项罪名；另一方面，解释论是在既有刑法体系下最能接近数据产权刑法保护第三代模式的方案，在总体上可以权利束理论、还原法和扩张法为思路，借助信息犯罪间接保护数据产权、使数据安全还原为数据产权安全、使数据成为刑法独立的保护对象。具体而言，在既有刑法体系下，刑法应充分发挥惩治数据犯罪、经济犯罪的功能，进而可以在一定程度上保护数据资源持有权的有序状态、数据加工使用权的添附价值和数据产品经营权的交易价值。