在大数据时代，海量数据在网络中被不停地生产、收集、存储、整理与使用，数据正在成为一个新的生产要素。 在生活的方方面面均由数据驱动的今天，数据更像是我们呼吸的空气，而不只是21世纪的“石油”。 电商平台依托其提供服务性质的必然要求，在生产经营活动中对于数据的广泛集结，与“智能型导向服务”要求下对于所集结数据的处理应用，一方面给予平台经济以活力，另一方面也给数据治理带来了极大的挑战。随着“大数据杀熟”等社会现象词语不断被大众讨论，根据电商平台数据犯罪的特殊性质，反思当下大数据时代需要的刑法规制框架，构成当前我们所面临的重要问题。

一、数据犯罪之数据定义

值得指出的是，本文使用的“数据”非“信息”的概念。

我国数据、信息相关部门法及司法解释对数据与信息之间关系的认定相互冲突。《数据安全法》所规定的数据概念表明数据便是所有以电子或其他方式对信息的记录 ；从《个人信息保护法》来看个人信息是指经过读取后与已识别或可识别的自然人有关的信息，且不包括匿名化处理后的信息 ；根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条的规定，非法获取计算机信息系统数据罪中的“计算机信息系统数据”特指“身份认证信息”，同时，该司法解释第11条规定：“本解释所称‘身份认证信息’，是指用于确认用户在计算机信息系统上操作权限的数据。”由此对比可得出，我们国家行政立法层面上区分这两个概念的关键是载体与内容的区分，但是司法解释却认为数据与信息两者可相互替换使用、相互解释。

在学理上对数据和信息的区分主要有三种观点。第一种观点认为数据的范围要大于信息的范围。数据既可指向内容层的信息，也可指向符号层的数据文件。数据一词覆盖数据文件和数据信息两个侧面的含义 。第二种观点认为，在载体上，信息的范围要大于数据的范围。数据侧重于突出载体或媒介本身，而信息不只可以通过数据的形式来呈现，还可以借助其他的媒介得以呈现 。第三种观点认为数据与信息没有明显的区别，两者混用并不会引起理解上的偏差 。

笔者认为从载体上看，信息的载体要广于数据的载体。数据应仅指以电子化形式存在的代码；而信息还包含其他存在形式，其既可以以电子化形式进行记录，又可以以其他诸如纸质形式进行记录。从内容上看，数据的范围又要广于信息的范围。数据是指存在于网络空间的电子数据，这种电子数据可以具有实质的信息内涵，也可以是不具有信息内涵的其他数据；而信息则必须具备有现实意义的实质内容。

二、电商平台数据犯罪特征

本文通过对“苏宁易购用户信息泄露案”“CSDN网站用户信息泄露案”“12306数据泄露案”“华住数据泄露案”“瑞智华胜数据窃取案”“豆瓣、唱吧非法手机用户信息案”“淘宝用户信息泄露案”“勾结前同事下载客户数据售卖换钱案”“德国大型数据泄露案”等国内外大型平台数据犯罪的研究，概括出平台数据犯罪的如下特征：

（一）犯罪对象

从上面所列电商平台数据犯罪案件的犯罪对象属性来看，涉案的电商平台数据主要是与网络平台业务运营相关的用户个人数据。这些作为犯罪对象的数据，从内容上看，体现为用户使用平台提供服务时主动提供的个人信息，比如姓名、家庭住址、电子邮箱地址、电话号码、身份证号码和信用卡相关信息，也有一部分信息是电商平台本身过度收集的；从安全性上来看，这些数据绝大多数未经过加密，或者仅是简单加密。

（二）犯罪主体

研究调查的案件中，以“黑客”为犯罪主体的案件达到了8起，内部人员为犯罪主体案件只有两起。外部人员是数据犯罪的主要犯罪主体。

（三）犯罪方式：

平台数据犯罪的犯罪方式因犯罪主体不同而相异。 “黑客”在犯罪过程中通常采取常见的网络攻击方式，比如恶意软件、WEB攻击、拒绝服务、钓鱼和社会工程、恶意代码、勒索软件、僵尸网络等。而内部人员往往以合法授权的方式非法窃取数据。

（四）犯罪结果

除了隐私权遭到侵犯等民事侵权行为的危害结果之外，一般犯罪主体并不以侵犯隐私权为直接犯罪目的，而是借助其获得的数据信息开展下游犯罪。据此来看，犯罪结果可分：直接结果，包括隐私权、平台经济损失等等：还有间接结果，例如为下游犯罪提供犯罪工具等。

三、我国电商平台数据犯罪刑法保护框架

从我国现行《刑法》的规定与实务判决来看，涉及对数据的保护的罪名，主要包括：（1）分则第三章破坏社会主义市场经济秩序罪中的“窃取、收买、非法提供信用卡信息罪”与“侵犯商业秘密罪”；（2）分则第六章妨害社会管理秩序罪中的“非法获取计算机信息系统数据罪与破坏计算机信息系统罪”。

基于前面列举的我国刑法关于电商平台数据犯罪在实务处理中可能涉及的犯罪罪名列举，我们可以得出我国电商平台数据犯罪保护法益总体上有两层框架：

（一）经济秩序保护框架

“窃取、收买、非法提供信用卡信息罪”惩罚的是窃取、收买或者非法提供他人信息卡信息资料的行为。该罪名主要保护的是金融秩序的安全，其次才是个人信息的合法权益。“侵犯商业秘密罪”惩罚的是通过施以不正当的手段获取或者超越权限而披露、使用或允许他人使用权利人的商业秘密的行为。该罪名保护的是对相应的数据具有控制与处理权限的主体的经济利益。这两项罪名都是惩罚侵犯经济秩序利益的犯罪的，在一定程度上为数据保护提供了刑法框架。

（二）公共秩序保护框架

非法获取计算机信息系统数据罪与破坏计算机信息系统罪均作为保护数据安全的犯罪而存在。前者处罚的是非法获取计算机信息系统中存储、处理或传输的数据的行为，后者针对的是非法对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作的行为。这两项罪名保护的是与网络相关的社会公共利益。自2009年刑法规定该罪名以来，该罪在审判中使用甚少，截至2022年10月，适用该罪判处刑罚的犯罪案件共有645例，年案件量从未超过200件，2017年之前年平均案件总数不足63件。其次，该罪保护对象主要为个人数据，既包含侵犯个人信息罪保护的个人信息，也涵盖了隶属财产权利的虚拟财产等，后者的加入得益于最高人民法院相关人员对2013年“两高”所发布的关于盗窃罪司法解释的相关说明 。

四、对当前数据犯罪刑法保护框架的反思

当前，我国刑法主要依靠经济秩序和公共秩序两大框架规范数据犯罪治理，但是该体系在惩治平台数据犯罪过程中呈现着疲怠和臃肿的状态，现实中我们不得不重新审视平台数据犯罪治理方法。

（一） 刑法对于数据保护范围过大

并非所有的数据都需要刑法保护，立法者在刑事立法过程中忽视了数量与质量对于确定犯罪而言的并重地位。

1.首先，与核心、重要数据无关联的一般数据不需要刑法保护。我国刑法主要不是立足于数据主体的权益提供相应的保护，而是着眼于对经济秩序与网络空间中管理秩序的考量。 《数据安全法》第21条规定，我国对数据保护采用分类分级保护制度，主要分为核心数据、重要数据和一般数据三种。《数据安全法》仅对关系国家安全、国民经济命脉、重要民生、重大公共利益的国家核心数据，和各地区、各部门以及相关行业、领域的重要数据规定了相关具体行政处罚，对于一般数据并没有出台相应行政处罚。笔者认为，立法者在立法的立意上，认为能够对我国数据安全管理造成重大危害的刑事行为对象应为重要、核心数据而非一般数据。根据当然解释入罪原则，重要核心数据的侵害行为都不一定需要刑法惩治，若一般数据不能通过分析处理衍生出核心、重要数据，该数据就更不具备刑法保护的必要性 。

2.其次，规模较小的数据无须刑法保护。实务中，数据的规模越大，对其进行分析和处理的价值便越大，上游的社会利益也就更大。数据使用的一般规律为数据的占有者通过收集大量不同种类的数据，用先进技术对数据进行处理，从而得到具有价值的信息财富，故数据规模越大，其可实现利益就越大。只有当这样的破坏社会秩序的利益达到足以需要刑法保护的程度时，我们才将其入罪，否则可以完全交给行政法来调整。

（二）刑法立法忽视了非法使用数据行的社会危害性更甚

大数据时代的利益驱动力是通过收集有价值的信息并通过数据分析、挖掘等技术，使大数据的应用效应激增形成的。数据信息的获取、处理只是整个大数据运行的初始环节，数据的挖掘与利用成为其产生利益驱动力的关键环节，在这个意义上大数据环境也就是一种数据利用环境，利用数据信息形成的利益驱动力，决定了对数据信息保护的重心应转移至对数据信息的非法利用阶段。 当前我国立法、司法实践中，仅对非法使用行为的下游犯罪进行评价，对于具有独立刑法价值的非法使用数据犯罪不予以评价。数据安全作为具有单独行政法保护的独立的法益，非法使用数据的行为本身就危害了数据安全，对其单独评价数罪并罚并不影响司法公正。

五、基于电商平台数据犯罪特殊性提出的司法建议

电商平台数据犯罪相较于普通个人的数据犯罪，其具有特殊性。首先，电商平台数据犯罪涉及的数据一般来说数量巨大，相较于普通犯罪而言，其社会危害面更广；其次，电商平台数据犯罪涉及数据其内容多与客户人身性相关联，与个人隐私相关联，社会影响也更大；最后，电商平台数据犯罪多为单位犯罪，关乎企业安危与民生经济，在司法上可以考虑合规制度的保护。

2021年6月3日，最高人民检察院联合多部委印发《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》第14条规定：“人民检察院在办理涉企犯罪案件过程中，应当将第三方组织合规考察书面报告、涉案企业合规计划、定期书面报告等合规材料，作为依法作出批准或者不批准逮捕、起诉或者不起诉以及是否变更强制措施等决定，提出量刑建议或者检察建议、检察意见的重要参考。”当前电商平台想要减轻数据犯罪刑事处罚，于审查起诉阶段，关键在于合规考察书面报告的效力，本文将就此对检察机关提出两项建议。

（一）正确认识合规考察书面报告法律性质

合规考察书面报告按照规定应由具有资质的第三方组织做出。根据《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》规定，即使没有鉴定机构，但有关部门通过指派、聘请有专门知识的人就案件专门性问题出具的报告，可以作为证据使用。合规考察书面报告按照法律规定为第三方有资质的机构对涉案企业合规整改情况出具的评估报告，符合有专门知识的人就专业性问题出具的报告这一属性，可以认定为刑事证据。

（二）合格的合规考察书面报告应对影响司法具有绝对效力

域外企业合规赖以生存的是协商性司法中“对价交易”的价值基础 ，虽然这与我国以“实体公正”为价值基础的刑事司法制度并不相容，但是合规计划在审查起诉阶段是控辩双方缔结的“契约”这一性质是可以借鉴的。由此，基于司法诚信原则，如果涉案企业按照合规计划的要求完成了合规整改，检察院对合规考察书面报告审查确认无误后，就需要做到不捕、不诉或提出从轻处罚的检察建议、意见，即合规考察书面报告对检察院作出相应处理决定具有决定性影响力。

六、结语

数据犯罪作为新兴犯罪在我国立法、司法实践中重视程度还不够高，导致我国现行刑法在罪名设置与定罪量刑方面存在着较为明显的漏洞。电商平台在发展电商平台经济的同时出于自身监管或者外部势力因素从而陷入数据犯罪漩涡的可能性是极大的，对于特殊主体的特殊犯罪，立法不能一概而论，司法在考虑其社会性后亦不能与其他主体其他犯罪等价齐观，积极引入合规政策对于平台数据犯罪的事前监管保障、事后应急处理都有积极的作用。

本研究为国家级大学生创新创业训练计划项目成果（项目编号：2022DC0463）

注

1刘峰、林东岱：《美国网络空间安全体系》，科学出版社2015年版，第243页。

2【美】布拉德·史密斯、卡罗尔·安·布朗：《工具，还是武器？》，杨静娴、赵磊译，中信出版集团2020年版，序言，第XIV页。

3《数据安全法》第三条，第一款

4《个人信息保护法》第四条，第一款

5参见纪海龙：《数据的私法定位与保护》，载《法学研究》2018年第6期。

6劳东燕：《个人数据的刑法保护模式》，载《比较法研究》2020年第5期。

7彭诚信、向秦：《“信息”与 “数据”的私法界定》，载《河南社会科学》2019年第11期。

8胡云腾、周加海、周海洋：《〈关于办理盗窃刑事案件适用法律若干问题的解释〉的理解与适用”》，载《人民司法》2014年第15期。

9劳东燕：《个人数据的刑法保护模式》，载《比较法研究》，2020年第5期。

10刘宪权：《数据犯罪刑法规制完善研究》，载《中国刑事法杂志》，2022年第五期。

11赵春玉：《大数据时代数据犯罪的法益保护》，载《法律科学（西北政法大学学报）》。2023年第一期。

12石经海、黄亚瑞：《民营企业合规不起诉改革的困境破解与发展路径》，载《部门法专论》，2022年第96期。