我国刑法对企业数据的保护正面临着从保护数据信息向保护数据要素的转变，由此产生了很多理论与实务问题。传统上，我国刑法对企业数据的保护侧重于对数据信息的保护。例如，刑法第134条之一（危险作业罪）规定了篡改、隐瞒、销毁与生产安全相关的数据、信息；第142条之一（妨害药品管理罪）规定了药品申请注册中提供虚假的数据；第161条（违规披露重要信息罪）规定了“提供虚假的或者隐瞒重要事实的财务会计报告”；第180条（泄露内幕信息罪）规定了泄露内幕信息；第181条（编造并传播证券、期货交易虚假信息罪）规定了“编造并且传播影响证券、期货交易的虚假信息”；第219条（侵犯商业秘密罪）规定了以“不正当手段获取权利人的商业秘密”。这些规定都旨在保护数据所承载的信息。随着数字经济的快速发展，建立健全数据要素市场成了时代主题。2020年，中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》首次提出“数据要素”概念，把数据要素作为与土地要素、劳动力要素、资本要素、技术要素并列的第五大生产要素。之后，我国多部政策性文件都提出要建立健全数据要素市场。在此时代背景下，企业数据的刑法保护就不能再局限于保护数据所承载的信息内容，而要扩展到对数据要素本身的保护。对企业数据要素的保护，正是当下刑法理论与实务中的难题。

案例1：2020年4、5月份，被告人刘某发现深圳某薇公司的电商小程序存在系统漏洞，遂与被告人吴某南一起利用网络爬虫程序爬取该公司的客户姓名、电话号码、收件地址等交易信息110多万条，并销售牟利。案发后，被告人赔偿了某薇公司经济损失9万元，并取得了该公司的谅解。公诉机关认为，被告人违反国家规定，采用技术手段非法获取计算机信息系统中存储、处理的数据，情节严重，应当以非法获取计算机信息系统数据罪追究其刑事责任。但法院判决被告人构成侵犯公民个人信息罪，同时法院认为，被告人家属已经代其赔偿被害单位经济损失，并取得被害单位谅解，依法予以从轻处罚。

案例2：从2016年4月起，被告人麻某鑫招罗并教唆被告人廖某强以应聘淘宝公司员工为名，将事先准备好的木马病毒程序乘机植入淘宝电商公司客服电脑内，非法获取淘宝店铺客户订单数据，包括商品名称、购买金额、收货人姓名、收货手机号码、收货地址等信息。廖某强获取数据以后，交由麻某鑫等负责售卖。法院判决麻某鑫的行为构成侵犯公民个人信息罪，廖某强的行为构成非法获取计算机信息系统数据罪。对于麻某鑫、廖某强等人的行为是否构成共同犯罪，法院未作评价。

案例3：2018年1月至2019年3月间，被告人蔡某苗在未获得新浪微博授权的情况下，自行开发“星援”App，微博用户可以使用微博账号和密码直接登录该App，而且可以在该App上手动转发或者自动批量转发微博博文。至案发时该App已绑定微博账号3000余万个，被告人蔡某苗获取充值金额600余万元。本案中，微博用户使用“星援”App转发自己创作的博文，但该转发行为未获得新浪微博同意。法院认为蔡某苗的行为构成提供侵入计算机信息系统程序罪。

这三个案例集中反映了企业数据法益识别与刑法保护的复杂性。就法益属性而言，企业数据涉及信息法益、经济法益、安全法益之间的冲突或竞合；就法益主体而言，则涉及个人、企业、社会之间的冲突或竞合。就刑法保护而言，不同的法益识别会导致不同的行为定性。具体来说，案例1和案例2涉及的是订单数据的法益识别与刑法保护，案例3涉及的是网络社交媒体数据的法益识别与刑法保护。

订单数据是用户在电商平台购物时产生而被平台收集和存储的数据，其既承载着用户的个人信息法益，也承载着企业的经济利益，还承载着企业和社会的数据安全法益。三种不同法益的竞合，困扰着司法实践中的行为定性。案例1中，检察院以非法获取计算机信息系统数据罪起诉，侧重的是对数据安全法益的保护；法院以侵犯公民个人信息罪判决，侧重的是对个人信息法益的保护。案例2中，法院根据被告人的直接目的是获取个人信息还是获取企业数据，认定一人构成侵犯公民个人信息罪，另一人构成非法获取计算机信息系统数据罪。这两个案例的判决都值得商榷。案例1中，既然法院判决构成侵犯公民个人信息罪，被害人就应该是用户个人，但法院又以被告人赔偿某薇公司经济损失9万元，取得被害单位（某薇公司）谅解为由，予以从轻处罚。这种定罪时以个人为被害人，量刑时以企业为被害人的做法，反映了法院的矛盾心态。案例2中，原本两被告人构成共同犯罪，罪名也应相同，要么都构成侵犯公民个人信息罪，要么都构成非法获取计算机信息系统数据罪，而不能一人构成侵犯公民个人信息罪、另一人构成非法获取计算机信息系统数据罪。这两个案例的定性模糊，源于对订单数据的法益识别模糊。

网络社交媒体数据是用户创作并存储在社交媒体平台上的数据，其涉及的主要问题是法益主体的识别。如果说网络社交媒体数据的法益主体是用户个人，用户就有权同意第三方转发其微博博文，而无需考虑企业平台的态度；相应地，第三方的转发行为就不具有刑事违法性。如果说网络社交媒体数据的法益主体是企业，用户的同意就是无效的，第三方未经平台同意或授权的数据处理行为就可能具有刑事违法性。如果说网络社交媒体数据的法益主体是用户个人和企业双方，用户的单方同意就是无效的，第三方的数据处理行为仍可能具有刑事违法性。案例3的判决表明，法院认为网络社交媒体数据并非单独归属于个人。其他法院创立的“三重授权原则”所表明的立场是，网络社交媒体数据归个人与企业双方共有。

可见，在数据要素市场中，企业数据刑法保护的首要问题是法益识别，包括法益属性的识别和法益主体的识别，而法益识别直接影响着刑法对企业数据的保护方式。本文先从一般意义上论述企业数据的法益观之争及法益识别方法，再分别从公开数据和非公开数据两个方面探讨企业数据的法益识别与刑法保护。

大体而言，围绕企业数据法益，刑法学界主要存在信息法益说、财产法益说、安全法益说三种不同的观点。对此，需要仔细甄别。

（一）企业数据的法益观之争

1.信息法益说

数据是对信息的记录，数据与信息是一体两面的关系；数据是载体，信息是本体。因此，信息法益说认为，法律保护数据是为了保护数据背后的信息，数据仅仅是行为对象。按照信息法益说，数据犯罪的定性不是由数据（行为对象）决定，而是由信息内容（法益）决定。

信息法益说在我国既有立法依据，又有理论与实务的支撑。从立法上看，我国刑法规定的危险作业罪、妨害药品管理罪、违规披露重要信息罪、泄露内幕信息罪、侵犯商业秘密罪、侵犯著作权罪等犯罪所保护的法益，都是数据背后的信息，而不是数据本身。刑法中纯粹的数据犯罪，主要是非法获取计算机信息系统数据罪、破坏计算机信息系统罪。所以司法实践中，对于非法获取数据的行为，往往首先根据其侵犯的信息内容来定性，只有在无法纳入具体的针对信息内容的犯罪时，才按照非法获取计算机信息系统数据罪来定性。这一倾向在虚拟财产刑法保护的问题上有明显体现。例如，对于侵犯NFT数字藏品、比特币等虚拟货币的行为，司法实践中一般以财产犯罪论处。对于侵犯游戏装备、道具和游戏币的行为，虽然实践中存在数据犯罪与财产犯罪的定性争议，但学界主流观点支持财产犯罪的定性。

2.财产法益说

财产法益说认为，数据犯罪侵犯的法益是数据本身，而数据本身就是财产。财产法益说的基础是数据确权说。数据确权说主张赋予企业对其生产的数据以财产权，“应当将数据财产权确立为与物权、知识产权相并列的第三类具有对世性的财产权利”，数据财产权的权能包括持有权、使用权、收益权、处置权等。有的部门和地方甚至开始了数据资产入表的实践探索。

财产法益说也得到我国部分刑法学者的赞同。如张明楷提出，可以综合德国的“法律—经济的财产概念”与日本的“本权说—占有说”，将数据纳入财产犯罪的法益范围。还有学者提出，“对数据权益的保护，应等同于对物权的保护”，侵犯数据权益的行为构成财产犯罪。具体来说，根据不同行为方式，侵犯数据的行为分别构成盗窃罪、诈骗罪、敲诈勒索罪、合同诈骗罪。从比较法的角度看，德国、瑞士等国的刑法明确承认数据的财产法益属性，例如瑞士刑法典第二章“针对财产的应受刑罚处罚的行为”在规定了侵占罪、盗窃罪、抢劫罪之后，还规定了非法获取数据罪、非法进入数据处理系统罪、毁损数据罪。

3.安全法益说

安全法益说认为，数据犯罪侵犯的法益是数据安全。数据安全法益说在我国得到很多刑法学者的赞同，但不同学者对“数据安全”的内涵有不同理解。（1）数据载体安全说认为，数据安全是指作为载体的数据的保密性、完整性、可用性。（2）数据管控安全说认为，“应该建立以数据风险管控为中心的数据安全范式：除了包括传统数据自身安全的保密性、完整性、可用性，还要确保数据利用安全的可控性和正当性”。（3）数据状态安全说认为，数据安全是指数据运行状态安全和数据防御状态安全。其中，数据运行状态安全包括数据有效运行状态安全和数据合法运行状态安全，数据防御状态安全包括封闭性防御状态安全和持续性防御状态安全。（4）数字经济安全说认为，数字经济背景下的数据安全包括数据要素安全、网络信息系统安全、数字技术安全三个方面的内容。还有学者认为，“数据安全法益具有个人安全、公共安全和国家安全多元层次”。在这四种安全法益说中，数据载体安全说侧重数据的静态安全，数据管控安全说和数据状态安全说兼顾数据的静态安全与动态安全，数字经济安全说则超出了数据安全范畴而偏重经济安全。

（二）企业数据的法益识别方法

信息法益说、财产法益说、安全法益说从不同维度理解数据所蕴含的价值。信息法益取决于数据所承载的信息价值，财产法益取决于数据本身的价值，安全法益取决于处理数据的技术环境。对于三者之间的关系，从时间维度看，首先要保护技术环境的安全，其次是保护数据本身的价值，再次才是保护数据所征表的信息价值；从空间维度看，数字技术架构了数据安全，数据安全支撑了数据本身的价值，数据本身又承载着各种信息价值。三种法益在时间与空间上的关联性掩盖了三种法益之间的独立性，增加了法益识别的难度。因此，需要从方法上澄清三种法益的独立性。下文中数据价值与信息价值的分离、经济利益与财产权利的分辨属于对法益属性的识别，个人法益与企业法益的分流则属于对法益主体的识别。

1.数据价值与信息价值的分离

在传统社会中，人们只关心信息价值而不关心数据价值，这是因为传统社会中的数据价值依附于信息价值，数据的价值在于对信息的精确记录，离开了信息，数据会变得一文不值。法律保护数据是手段，保护信息才是目的。

但是，随着数字技术的发展，人类进入了数字化时代。在数字化时代，数据规模激增的量变带来了数据价值的质变。首先，从直观感受看，大数据的利用、挖掘、重组会不断创造出新的数据价值。其次，从数据结构看，传统社会中的小数据基本都是结构化的数据，小数据的价值来源于其对信息的精确记录。但在大数据时代，只有5%的数据属于精确记载信息的结构化数据，剩下的95%都是非结构化数据，非结构化数据的价值来源于数据的完整性和混杂性，而不是精确性。可见，从传统时代进入数字化时代，数据价值依附于信息价值的格局被打破，数据本身具有了独立保护的价值，数据价值与信息价值相互独立。

数据价值与信息价值的分离，有利于指导具体案件中的法益识别。例如，在前文案例1和案例2中，法院判决的问题就在于没有认识到数据价值与（个人）信息价值的分离性，因而没能对两种法益进行全面评价。实际上，案例1和案例2中的订单数据同时包含了数据价值和（个人）信息价值两种不同的法益，非法获取订单数据的行为同时侵害了这两种独立法益。对此，应当在全面评价的基础上，按照非法获取计算机信息系统数据罪与侵犯公民个人信息罪的想象竞合犯从一重处断。另外，在大数据时代，平台企业对包含个人信息的大数据进行挖掘处理以后会形成新的信息数据，此时也需要识别法律保护的是信息价值还是数据价值。例如，在淘宝公司诉淘数公司侵犯商业秘密案中，淘宝公司在经营过程中经用户同意收集了大量用户痕迹数据，并对这些数据进行计算、分析，形成了交易数据、收藏数据、浏览数据等经营数据，然后对这些经营数据进行脱敏处理，形成了包含指数型、统计型、预测型衍生数据产品的“生意参谋”软件。淘数公司利用自行开发的“小旺神”软件，在未经淘宝公司同意的情况下大量获取“生意参谋”中的数据产品。法院判决认为，淘数公司侵犯了淘宝公司的商业秘密。从刑法角度看，由于该案中“生意参谋”的数据产品在性质上属于不包含个人信息的商业秘密，所以非法获取该数据产品的行为不涉及侵犯公民个人信息罪，也不会构成非法获取计算机信息系统数据罪，而只能构成侵犯商业秘密罪。

2.经济利益与财产权利的分辨

数据作为生产要素无疑对企业具有重要的经济价值，那么这种经济价值是一种什么属性的法益？这涉及财产权利与经济利益的区分问题。区分财产权利和尚未上升为财产权利的经济利益，在司法实践中具有重要意义。例如，司法实践中存在将偷逃高速公路通行费的行为认定为盗窃罪的情况，这种做法就没能区分经济利益与财产权利。盗窃罪并不处罚所有侵犯经济利益的行为，否则“就意味着所有欠债不还的行为均成立盗窃罪。不仅如此，在夫妻离异后一方应当支付子女抚养费却逃避支付的，也成立盗窃罪”。实际上，有时候损害经济利益的行为连民事责任都无需承担。例如，A建筑公司在施工过程中因过错挖断了B电力公司的电缆导致电力中断数小时，进而造成C医院、D学校、E工厂的经济利益受损。这种情况下，A建筑公司只需要对B电力公司承担侵权赔偿责任，而不需要对C医院、D学校、E工厂的经济损失承担赔偿责任。

之所以需要区分经济利益与财产权利，根本原因在于法律需要平衡法益保护与自由保障之间的关系。放任对经济价值的侵害固然不妥，但如果对所有侵害经济价值的行为都追究刑事或者民事责任也会不当限制行为人的行动自由，因此需要区分经济利益和财产权利。由于财产权利具有归属效能、排除效能以及社会典型公开性，行为人的注意义务较高，所以法律对财产权利实行全面保护；而经济利益不具有财产权利的上述三个特征，行为人的注意义务较低，因此法律对经济利益实行有限保护。法律对财产权利的全面保护，表现为侵犯财产权利行为法律责任的全覆盖，即情节严重的侵犯财产权利行为承担财产犯罪的刑事责任，情节较轻的侵犯财产权利行为则承担民法上的侵权责任。法律对经济利益的有限保护，也表现在两个方面：一方面，刑法对经济利益进行的是间接保护而不是直接保护。申言之，侵害经济利益的行为并不直接构成财产犯罪，刑法只是通过保护其他法益来间接保护经济利益。例如，刑法主要通过保护相关的市场经济秩序来间接保护“股东或者其他人利益”（刑法第161条）、“债权人或者其他人利益”（刑法第162条、第162条之二）、“公司、企业利益”（刑法第165条、第166条、第169条）、“上市公司利益”（刑法第169条之一）、“招标人或者其他投标人利益”（刑法第223条），侵害这些经济利益构成犯罪以违反相关经济管理法律法规为前提。另一方面，民法也不会保护全部的经济利益。例如，并不是所有非法获取企业数据的行为都要承担侵权责任，只有非法获取行为形成实质性替代构成不正当竞争时，才会承担侵权责任。

那么，作为生产要素的企业数据在法益属性上是属于财产权利还是经济利益？数据确权说明确主张赋予企业数据以财产权利属性。数据确权说作为一种立法建议具有合理性，但作为刑法解释理论则值得商榷。我国刑法理论通说认为，“侵犯财产罪的保护法益是财产”，对象是财物。但企业数据不属于财物，企业数据价值不属于财产，而只是尚未上升为财产的经济利益。对此，需要明确以下几个问题。

其一，企业数据不是刑法上的财物。刑法上财物概念的最初涵义是指有体物，之后刑法学理论和实务沿着“有体物—无体物—财产性利益—虚拟财产—大数据”这一延长线进行扩大解释。但是，这种把一切有经济价值的东西都解释为财物的做法值得反思。早期的争议点是，财产性利益是否是盗窃罪的对象。多数学者认为，财产性利益应当属于盗窃罪的对象。近期的争议点是，虚拟财产是否是刑法上的财物。对此，刑法理论和实务仍未形成一致观点。当下的争议点是，大数据是否是刑法上的财物。本文认为，虽然概念像挂衣钩，不同时代会挂上不同的“时装”，但任何概念都应当有其边界。刑法上“财物”的边界应止于财产性利益，超出这一边界的虚拟财产、大数据都不属于财物的范畴。对于虚拟财产，需要保护的是其信息价值；对于大数据，需要保护的是其经济利益。

其二，企业数据的经济价值属于尚未上升为财产权利的经济利益，不是财产犯罪的保护法益。作为财产犯罪保护法益的财产，首先是财产所有权及其他本权，其次是需要通过法定程序恢复应有状态的占有。其中，本权包括用益物权、担保物权、债权以及其他财产性利益。很显然，企业数据的经济价值不是所有权，因为所有权的客体是动产或者不动产。企业数据的经济价值也不是占有。刑法中“财产性利益的占有”已经是一个非常棘手的问题，如果再承认所谓“大数据的占有”，将使刑法中的占有理论完全规范化和空洞化。即使民法学承认对数据的准占有，也不能把民法中的准占有纳入刑法中的占有范畴。那么，企业数据的经济价值是否属于刑法中的财产性利益？答案应该是否定的。刑法中的财产性利益并不泛指任何经济利益。“财产性利益的内容必须是财产权本身”，“如果利益的内容不是财产权本身，就难以认定行为侵害了财产”。在数据尚未被法律确权的情况下，企业对数据享有的经济价值尚不能成为财产犯罪中作为行为对象的财产性利益，而只能是尚未上升为财产权利的经济利益，无法纳入财产犯罪的保护范围。

其三，企业数据的经济利益虽然不是财产犯罪的保护法益，却是侵权责任法的保护法益。主流观点认为，侵权责任法保护的民事权益包括权利法益与利益法益两部分，其中权利法益是指绝对权，利益法益是指绝对权之外的其他权利和民事利益。所以，在企业数据被法律确权之前，企业数据的经济利益完全可以作为利益法益纳入侵权责任法的保护范围，司法实践也主要依靠侵权责任法来保护企业数据的经济利益。

其四，企业数据的经济利益虽然不是刑法上的财物，但并不意味着刑法不保护企业数据的经济利益，只不过刑法对企业数据经济利益的保护是间接的，而不是直接的。对企业数据的保护首先依赖企业自身，如果企业对其数据要素没有采取任何防控措施，刑法就没有干预的必要。只有在企业采取了防控措施之后，刑法才保护这些措施的安全，进而起到保护企业数据经济利益的效果。所以，保护企业数据“需要解决的问题可以转表述为：在企业不愿意分享相关数据的情形下，如何保护数据的安全”。质言之，刑法通过保护数据安全来间接保护企业数据的经济利益，数据安全是企业数据经济利益与刑法的连接点，是刑法所要保护的企业法益。

接下来需要研究的问题是数据安全的内涵。数据载体安全说没有意识到大数据时代数据安全的独立性。在小数据时代，数据价值依附于信息价值，数据安全就是信息安全，数据的保密性、完整性、可用性就是指信息的保密性、完整性、可用性，二者的涵义完全相同。但是，在大数据时代，数据安全的外延大于信息安全，数据安全的内涵不再局限于保密性、完整性、可用性。数据管控安全说和数据状态安全说虽然表述不同，但内涵基本相同，都强调数据安全包括静态安全和动态安全，具有一定的合理性。本文把数据管控安全与数据状态安全合称为数据状态管控安全，并在此基础上进一步揭示数据安全的如下构造。

从主体上看，安全包括个体性安全和概括性安全。其中，个体性安全是作为人的具体权利的安全（safety），概括性安全是作为政府的制度化任务的安全（security）；个体性安全与概括性安全紧密相关，但概括性安全并不指向具体的个体性安全。个体性安全是一种人权，概括性安全是国家义务，国家应当为个体性安全创造条件。我国刑法分则前三章规定的国家安全、公共安全、经济安全属于概括性安全；刑法分则第四章、第五章规定的人身安全、财产安全属于个体性安全。与上述传统安全不同，作为新型安全的数据安全兼具概括性安全和个体性安全的特征：对于国家来说，数据安全属于概括性安全；对于企业来说，数据安全属于个体性安全。

从立法上看，我国刑法对数据安全的保护跟不上数字经济和数字社会的发展步伐，刑法立法滞后且存在不足。日益增长的数据安全保护需求同不及时、不充分的刑法规范保护之间的矛盾，是当前司法实践遇到的主要问题，也导致刑法第285条规定的非法获取计算机信息系统数据罪和第286条规定的破坏计算机信息系统罪成为口袋罪。因此，面对刑法立法滞后且存在不足的现实，只能把企业对数据的个体性安全法益纳入刑法第285条和第286条的保护范围。但是，在理论和逻辑上，不能把企业对数据的个体性安全法益与国家对数据的概括性安全法益混为一谈。

从功能上看，数据安全与传统安全之间存在阶层关系，保护数据安全是为了保护国家安全、公共安全、经济安全、人身安全、财产安全等传统安全。数据安全法第1条规定：“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”该条明确指出了数据安全立法的三层目的：基础层目的是规范数据处理活动，中间层目的是统筹数据安全与数据发展，最高层目的是保护个体权益和国家利益。很明显，基础层的数据处理安全、中间层的数据发展安全都服务于、服从于最高层的个体权益安全和国家利益安全。

认识到数据安全与传统安全之间的阶层关系，有利于澄清我国学界的两种误解。误解一认为，数据安全不仅包括个人安全、公共安全和国家安全，还包括经济安全。这实际上是将不同阶层的安全混在了一起。保护数据安全当然有利于保护传统安全，但数据安全与传统安全并非同一层面的法益，二者间不是包含与被包含的关系，而是目的与手段的关系。误解二认为，“数据获取、泄漏等行为，充其量仅是招致数据滥用风险的前置性行为，而非实际侵害数据法益的实害性行为，其违法性程度与罪责程度明显弱于实际滥用行为。然而，刑法却轻重颠倒，将规制重心放在非法获取行为而非滥用行为上，这无疑违反了罪刑均衡原则”。按照本文的安全法益阶层观，数据获取、泄露等行为侵害的法益是数据安全，数据滥用行为侵害的法益是传统安全。如果行为人获取数据后又滥用数据侵害了国家安全、公共安全、人身安全或者财产安全等传统安全法益，完全可以按照危害国家安全罪、危害公共安全罪、侵犯人身权利罪或者侵犯财产罪来处罚，不存在违反罪刑均衡的问题。如果行为人只是获取或者泄露数据，而没有滥用数据侵害传统安全，按照数据犯罪处罚完全可以做到罪刑均衡。

3.个人法益与企业法益的分流

企业数据的来源和成分复杂多样，这决定了企业数据法益主体识别的复杂性。从来源看，企业取得数据的途径主要有三条：一是企业采集自身生产、经营过程中附带产生的数据，如医院采集统方数据，物流公司采集物流数据；二是企业采集用户的个人数据，如网站采集用户的姓名、IP地址、浏览记录等数据；三是企业采集非自然人主体的数据，如电商平台采集商铺的营销数据，视频聚合平台采集各种视频数据。从成分看，企业的数据要素既包括原始数据，也包括数据集合，还包括数据产品。企业数据法益主体识别的复杂性尤其体现在微博、微信、大众点评、淘宝等平台的数据上。正如前文案例3所揭示的，新浪微博上的图片、文字、视频等都由用户个人创作和上传，微博平台为其收集、存储、转发提供了技术架构。网络社交媒体数据是在用户个人与社交媒体平台的共同作用下产生的，这就产生了一个问题：网络社交媒体数据的权益究竟是归用户个人所有，还是归社交媒体平台所有。实践中，新浪微博诉脉脉案、新浪微博诉抖音案都是因为个人与企业之间的权属不清而导致的纠纷。理论上，存在数据归个人所有、数据归平台所有、数据归个人与平台共有、数据归公众所有等不同观点。

本文主张个人法益与企业法益的分流，即对于企业数据，个人和企业虽然都享有法益，但享有的是不同层面的法益：个人法益的内容是人格利益，企业法益的内容是数据安全和经济利益。有的学者把个人法益与企业法益的分流，形象地称为“人财两分”。对于企业数据，个人享有的人格利益主要是个人信息保护法所规定的知情权、决定权、查询权、复制权、可携带权、删除权等。对于企业数据，企业享有的数据安全法益是对数据状态的管控安全，企业享有的经济利益则是一种尚未被权利化的法益。企业的经济利益是民法保护的重点。理论上，民法保护企业数据经济利益的方式有合同法、侵权法、反不正当竞争法等；实践中，主要采取的是反不正当竞争法的保护路径。企业对数据状态的管控安全是刑法保护的重点，刑法通过保护数据安全来间接保护企业的经济利益。

在个人法益与企业法益分流以后，如何准确识别和保护企业数据中的个人法益和企业法益，是接下来需要研究的问题。由于企业数据包括公开数据和非公开数据两类，两类数据中个人法益与企业法益的格局不同，刑法保护的方式和侧重点也不同，所以下文主要从企业公开数据、非公开数据两个方面来阐述企业数据的法益识别与刑法保护。

公开数据是指未设访问权限，可由不特定人访问和获取的数据。如前所述，企业数据主要有三重来源，即来源于企业自身的生产经营，来源于企业用户的个人数据，来源于企业合作方的非自然人主体。在这三类数据中，个人数据的占比最大，且最易被侵害。报告显示，2024年1月至12月间，我国境内机构数据泄露事件中，个人信息泄露事件最多，占比71.8%；商业秘密泄露事件排第二，占比21.8%；内部文件泄露事件排第三，占比11.5%；系统日志泄露事件排第四，占比9.6%。企业公开数据虽然不涉及数据泄露风险，但同样需要研究其中个人法益和企业法益的识别与保护。

（一）已公开个人信息的刑法保护

在数字化时代，网上的个人信息全方位覆盖了个人“从摇篮到坟墓的全部私人生活，慢慢地积累所有数据，直至在计算机数据库中形成一个‘人’”。在现实世界中生活着一个个鲜活真实的人，相应地，在网络世界中生活着一个个数字孪生人。那么，刑法如何保护从网上公开数据收集到的个人信息？

案例4：2019年7月，被告人李某获取并出售了1万余条包含企业名称、企业地址、企业联系人姓名、联系电话的综合信息。虽然这些信息都可以在企查查、天眼查等商业网站公开查询到，但一审和二审法院都认为，企业公开相关信息的目的是履行法定义务，接受社会监督，被告人李某出售包含个人信息的企业数据，没有得到企业联系人的同意，出售行为超出了合理使用的目的和范围，构成侵犯公民个人信息罪。

对于从公开数据中获取个人信息并出售的行为，早期的审判实践根据司法解释倾向于广泛定罪，认为虽然获取个人信息是合法的，但出售个人信息未经被收集者个人同意，构成侵犯公民个人信息罪。然而，2021年先后施行的民法典第1036条以及个人信息保护法第27条都规定，合理处理个人自行公开或者其他已经合法公开的个人信息原则上不违法。此后理论和实务观点都认为应当限缩已公开个人信息处理行为的入罪范围，限缩的理由或标准主要有以下几种：（1）处理目的标准说认为，对于已公开的个人信息，当处理行为“与该信息公开目的基本一致时，无论处理信息多少都不宜定罪”；如果处理行为明显违背信息的公开目的和用途，则构成侵犯公民个人信息罪。上述案例4的判决采取了这一标准。（2）公开方式标准说认为，“对于自行公开的或者其他已经合法公开的个人信息，行为人获取相关信息后出售、提供的行为，一般不宜以侵犯公民个人信息罪论处”；对于非法公开的公民个人信息，行为人获取后向他人出售或者提供的，可以构成犯罪。“自行公开”的合法性依据是推定同意，“其他合法公开”的合法性依据是利益衡量。（3）开放程度标准说认为，对于完全开放的个人信息，处理行为原则上推定为免责，只有在例外情况下才应承担责任；对于限制开放的个人信息，处理行为缺乏正当性，可能构成侵犯公民个人信息罪。所谓完全开放的个人信息，是指不特定主体都可以获取的个人信息；所谓限制开放的个人信息，是指只有特定主体才能访问的个人信息。（4）信息类型标准说认为，对于合法公开的“敏感个人信息”，处理行为需要获得个人的单独同意，否则具有违法性；对于合法公开的“一般个人信息”，只要个人没有明确拒绝且处理行为不会对个人权益造成重大影响，处理行为就具有合理性。

在上述四种标准中，处理目的属于主观标准；公开方式、开放程度、信息类型属于客观标准。这四种标准都有一定的合理性，但也都值得进一步商榷。

首先，处理目的标准具有很强的主观性和不确定性。一方面，公开个人信息的目的具有很强的主观性；另一方面，处理个人信息的目的同样有很强的主观性。要求信息处理目的与信息公开目的“基本一致”，就像要求两个人“心心相印”一样困难。而且，司法者在判断信息处理目的与公开目的是否一致时，存在更大的主观性。在前述案例4中，既然法院认为企业公开相关个人信息的目的是“履行法定义务，接受社会监督”，那么被告人收集并提供个人信息的行为就有利于更多社会成员知悉并监督企业，很难说违背了上述目的。

其次，开放程度标准说把“公开”分为“完全开放”和“限制开放”两种情形。但是，公开不等于开放，公开只有是否之分，而没有程度之别。所谓限制开放的信息，因为只有特定主体才能访问，所以原本就不是公开信息；所谓公开信息，是指不特定主体可以访问和获取的信息。例如，保守国家秘密法第2条规定，“国家秘密是关系国家安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项”；第20条规定，“根据工作需要决定公开的，正式公布时即视为解密”。显然，只对特定主体开放的信息仍然属于国家秘密，而信息一旦公开或公布即为解密，任何人员都可以知悉。

再次，信息类型标准说把公开的个人信息分为敏感个人信息和一般个人信息。这一观点存在两个问题：一是敏感个人信息与一般个人信息之间并不存在明确的界线，二者的区分随不同场景而动态变化。二是敏感个人信息与公开个人信息分别适用不同的处理规则。处理敏感个人信息适用的是个人信息保护法第28条的规定，处理公开个人信息适用的是该法第27条的规定。换言之，敏感个人信息原本就不适用公开个人信息的处理规则，公开个人信息的处理规则原本就是针对一般个人信息而言的。

总之，上述几种客观标准说只有表述方式的差异，而无立场上的不同。开放程度标准说、信息类型标准说的实质内涵都是，处理合法公开（完全开放）的（一般）个人信息原则上不具有违法性，这和公开方式标准说没有本质区别。但是，理论上仅仅指出处理合法公开的个人信息原则上不构成犯罪还不够，还要提出比较明确的出罪标准。

不同于前述主观标准或者客观标准，本文提出风险控制说这一规范标准，认为应当以处理已公开个人信息的行为是否会危及我国刑法分则第四章规定的人身权利、民主权利或者第五章规定的财产权利为标准，来判断行为是否具有刑事违法性。实际上，个人信息只是一种工具性概念，保护个人信息不是为了保护个人信息本身，而是为了保护个人信息背后的人身、财产安全等实体法益。“个人信息刑事案件司法解释”第5条根据个人信息对人身、财产安全的影响程度，分别规定了50条、500条、5000条的立案标准。显然，保护公民个人信息，旨在防范对人身、财产的安全风险。未经同意处理未公开的个人信息，当然会威胁个人的人身、财产安全，而不当处理已公开的个人信息同样可能汇聚风险。

根据风险控制说，可以对侵犯公民个人信息罪的正当化事由进行合理界定。个人信息保护法第27条规定了处理已公开个人信息的正当化条件：在合理范围内；个人未明确拒绝；未对个人权益有重大影响。本文认为：（1）“在合理范围内”是最小化原则在已公开个人信息处理规则中的体现，要求处理者尽量处理最少数量的个人信息。（2）“个人明确拒绝”旨在保障个人有机会随时回避不确定的风险。（3）“对个人权益有重大影响”意味着处理行为对人身权利、民主权利和财产权利的危害风险。需要注意的是，有学者认为“对个人权益有重大影响”中“个人权益”的范围很广，泛指与个人相关的任何权益；“重大影响”的范围也很广，包括对个人法律地位、经济地位、社会地位、文化地位、政治地位等多方面的影响。这种理解过于宽泛，将使处理已公开个人信息的行为动辄得咎，不利于数字经济的发展。因此，从平衡个人信息保护与数字经济发展之间的关系来看，“个人权益”应仅限于个人的人身权利、民主权利、财产权利，而不包括其他权益。换言之，“个人权益”仅限于我国刑法分则第四章、第五章规定的个人法益。“重大影响”则指处理行为将导致他人能够轻易利用该个人信息实施刑法分则第四章、第五章规定的犯罪。

根据风险控制说，还可以对处理目的标准说进行合理界定。最高人民法院2022年12月发布了指导性案例“熊昌恒等侵犯公民个人信息案”（指导性案例194号），该案成立犯罪的形式理由是处理行为“改变了公民公开个人信息的范围、目的和用途”，实质理由是处理行为“不仅严重侵害公民个人信息安全和合法权益，也为网络赌博、电信网络诈骗等违法犯罪活动提供了帮助，严重扰乱了社会公共秩序，具有极大的社会危害性”。该案判决表明，判断个人信息的处理目的与公开目的是否一致，其实质标准是风险控制，即处理行为是否会对诈骗等违法犯罪活动提供帮助。按照这一理解，前文案例4中被告人的行为不宜认定为犯罪。

（二）已公开企业数据的数据法益刑法保护

按照前述个人法益与企业法益分流的观点，对于已公开的企业数据，自然人拥有个人信息法益，企业拥有数据法益。其中，处理已公开个人信息的行为（主要是出售行为）可能构成犯罪，那么处理已公开数据的行为（主要是爬取行为）是否会侵犯企业的数据法益？对此，理论和实务界存在很大争议。在我国，武汉元光公司程序员邵某非法获取计算机信息系统数据案、上海晟品网络科技有限公司非法获取计算机信息系统数据案均被判决成立犯罪。在美国，同一时期的“领英案”（HiQ Labs v. LinkedIn）却一波三折，最终被判无罪。2017年联邦地区法院判决HiQ公司的数据抓取行为合法，2019年联邦第九巡回上诉法院裁定维持原判，但2021年美国最高法院裁定撤销裁判发回重审。2022年联邦第九巡回上诉法院作出再审判决，认为抓取公开数据的行为合法，不构成美国计算机欺诈和滥用法（CFAA）规定的犯罪。

在数字经济时代，“网络平台对他人抓取其公开数据具有容忍的义务”。网络平台或企业容忍义务的终点，就是爬取行为违法性的起点。围绕这一分界点，我国学界主要存在四种不同学说：（1）利益标准说以是否损害被爬取数据的企业的经济利益作为违法性判断标准。据此，同业竞争者获取企业公开数据的行为会造成企业经济损失，应构成非法获取计算机信息系统数据罪；相反，非同业竞争者获取企业公开数据的行为，不应构成犯罪。（2）协议标准说以爬虫行为是否违反Robots协议作为违法性判断标准，这种观点在先前的理论和实务中有较大影响。（3）技术标准说以爬虫行为是否突破反爬虫技术措施作为违法性判断标准。（4）安全标准说认为，突破一般的反爬虫技术措施并不具有刑事违法性，只有在数据爬取行为突破基于特定身份的访问权限从而危害数据安全时，才具有刑事违法性。在上述四种学说中，利益标准说和协议标准说的违法性判断门槛最低，刑事处罚的范围最大。因为几乎所有的网站平台都不欢迎爬虫行为，所以几乎所有的爬虫行为都会违反Robots协议，并损害被爬取数据的企业的经济利益。技术标准说的处罚范围居中，安全标准说的处罚范围则最小。

本文认为，研究已公开企业数据刑法保护问题的前提是法益识别，即企业对已公开数据拥有什么样的法益。首先要指出的是，企业公开其数据并不意味着企业放弃其数据法益。企业之所以公开部分数据，主要是为了吸引用户以增加流量。企业对是否公开数据具有矛盾的心态，一方面为了增加流量愿意公开部分数据，另一方面又担心公开的数据被同业竞争者恶意获取以形成实质性替代。那么，应如何识别企业对已公开数据所拥有的法益？按照前文所述经济利益与财产权利分辨的观点，企业对已公开数据拥有的不是财产权利，对企业数据不能以财产犯罪来保护；企业对已公开数据拥有经济利益，但这种经济利益是民法直接保护的法益，不能由刑法直接保护；企业对已公开数据拥有安全法益，其内涵是数据状态的管控安全，这种数据安全法益才是刑法要保护的。因此，在前述关于数据爬取行为违法性判断标准的四种观点中，本文赞同安全标准说，认为只有当数据爬取行为突破身份控制措施，危害数据状态管控安全时，才具有刑事违法性。进一步的理由如下：

首先，就数据获取行为而言，爬虫行为并不需要特别的违法性判断标准。数据获取行为“是人工手动获取、誊抄获取还是使用网络爬虫技术获取，不过是无关紧要的技术问题”。因此，数据爬取行为与其他数据获取行为一样，都应当以是否危害数据安全作为刑事违法性的判断标准。

其次，Robots协议并非合同法上的“协议”，其并不能创设权利义务，而仅类似于商家的“店堂告示”。“即使店铺在其门口挂上‘同行免进’或‘××免进’的告示，进入店铺也未必一定违法”。

再次，一般的反爬虫技术措施，如User-Agent识别、IP限制、验证码识别，要么是互联网传输协议的格式要求，要么是减缓用户访问频率的方式要求。这类反爬虫技术措施不是身份控制措施，不属于司法解释中的“计算机信息系统安全保护措施”，法律应当容忍规避这类技术措施的爬虫行为。

按照安全标准说，对于平台网站上已经公开的任何人都可以访问的数据，机器人爬取和人工获取都不具有违法性。但是，在平台网站仅公开数据目录或者访问链接，访问数据内容须受身份限制的场合，突破身份限制措施而获取数据的行为，不论是机器人爬取还是人工获取，都具有违法性；爬取数据的行为可能因为情节严重而构成犯罪。但是，在这种场合，突破身份限制措施而爬取的数据，已经不是公开数据，而是非公开数据。质言之，爬取公开数据的行为不宜认定为犯罪，爬取非公开数据的行为才可能认定为犯罪。爬取企业公开数据的行为虽然会侵害企业的经济利益，但这种行为应由民法进行规制，而不应由刑法进行处罚。爬取企业非公开数据的行为才会侵害企业的数据安全法益，才可能构成相关犯罪。

如前所述，在企业公开数据的法益构造中，企业的经济利益是民法保护的对象，企业的数据安全法益并未受到侵害，因此刑法重点保护的是已公开的个人信息。与此不同，在企业非公开的数据中，企业的数据安全法益和自然人的个人信息法益都要受到刑法的保护。那么，应当如何识别非公开数据中的企业法益和自然人法益，并进行相应的刑法保护？

案例5：2019年2月至3月，被告人董某雷为窃取竞争对手B公司住房租赁业务中的客户信息，使用B公司员工刘某旭私自提供的B公司系统的账户、密码和实时验证码，运用爬虫程序获取系统内收房、出房合同，合同中均记载有出租人及承租人的公民个人信息。法院认定被告人董某雷、刘某旭均构成侵犯公民个人信息罪。

案例6：2017年6月被告人张某拔出资成立某信息科技公司，经营交通违章信息代查询服务。客户提供需要查询的车牌、车架号码、发动机号码，张某拔经营的公司通过爬虫程序将上述信息填写在“广州交警”“122”等多个交管平台的查询页面，进而获得车辆违章信息、驾照记分等数据。与个人手动查询不同，张某拔利用爬虫程序通过切换访问IP、自动识别验证码，可以同时为多人在多个平台查询数据。法院判决张某拔犯非法获取计算机信息系统数据罪。

上述两个案例中行为的客观方面都是进入计算机信息系统获取承载个人信息的数据，但一个案例被判构成侵犯公民个人信息罪，另一个案例被判构成非法获取计算机信息系统数据罪。定性的差异反映了司法实践对两罪保护法益和行为方式的不同理解。

（一）行为对象和法益的识别

企业非公开数据是“通过登录规则或其他措施设置了访问权限的数据”。企业数据的非公开，同时意味着企业数据访问权限的非公开和数据中个人信息的非公开两层含义。非公开企业数据中的个人信息主要包括三类：（1）作为身份认证信息的个人信息，是指用户实名注册而形成的各类身份认证信息，既包括支付结算、证券交易、期货交易等网络金融服务的身份认证信息，也包括淘宝、微信、新浪微博等其他身份认证信息。（2）作为数据集合的个人信息，主要是指用户在网络平台上购物、消费、社交、创作而产生的交易记录、快递信息、通信记录、微博博文、微信朋友圈内容等信息。（3）作为数据产品的个人信息，主要是指房屋中介、二手车中介、小贷企业等平台收集和对外提供的房源信息、车辆信息、贷款信息等。因此，非法获取企业非公开数据的行为往往也同时获取了非公开的个人信息，此时对相应行为应如何定性？对此，司法实践存在较大分歧。

前文案例5与案例1、案例2的行为方式基本相同，但法院的判决结论却很不相同。案例5中两被告人都被判构成侵犯公民个人信息罪；案例1中，两被告人都被以非法获取计算机信息系统数据罪起诉，以侵犯公民个人信息罪判决；案例2中，一被告人被判侵犯公民个人信息罪，另一被告人被判非法获取计算机信息系统数据罪。还有的同类案件中，两名被告人都被判非法获取计算机信息系统数据罪。这种同案不同判的现象，反映了司法实践对侵犯公民个人信息罪和非法获取计算机信息系统数据罪两罪法益认识的模糊。

按照本文的理解，企业非公开数据同时包含企业的经济利益、数据安全法益以及用户的个人信息法益。除了企业的经济利益由民法直接保护外，企业的数据安全法益和用户的个人信息法益都受到刑法的直接保护。非法获取企业非公开数据的行为，会同时构成非法获取计算机信息系统数据罪和侵犯公民个人信息罪。前文案例1、案例2和案例5的判决认定被告人要么构成侵犯公民个人信息罪，要么构成非法获取计算机信息系统数据罪，对相应行为法益侵害性的评价都不够全面。实际上，这类行为构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合犯，应当从一重处断。

（二）行为方式和属性的识别

从行为方式看，侵犯公民个人信息罪和非法获取计算机信息系统数据罪都包括“非法获取”行为，但非法获取的含义不同。在侵犯公民个人信息罪中，“非法获取”的前提是“违反国家规定”；在非法获取计算机信息系统数据罪中，“非法获取”的前提是“违反国家规定”以及“侵入或者采用其他技术手段”。侵犯公民个人信息罪违反的“国家规定”，主要是指民法典和个人信息保护法中有关个人信息权益的规定。按照这些规定，除了应对突发事件、实施新闻报道等合理使用的场合外，获取个人信息都应得到个人的同意，否则就是非法获取。所以，侵犯公民个人信息罪中“非法获取”的实质是“未经个人同意而获取”（单一违法性）。非法获取计算机信息系统数据罪违反的“国家规定”，则主要是指网络安全法和数据安全法中有关网络安全和数据安全的规定。此外，成立非法获取计算机信息系统数据罪还需要具备“侵入或者采用其他技术手段”的要件。理论与实践的主流观点认为，“侵入的本质特征是未经授权或者超越授权”。按照同类解释原理，“采用其他技术手段”应当是与“侵入”具有相同本质的行为。换言之，“采用其他技术手段”的本质也应当是未经授权或者超越授权。所以，非法获取计算机信息系统数据罪中“非法获取”的实质是“未经企业授权突破系统安全措施并且未经企业或个人同意而获取”（双重违法性）。理解了侵犯公民个人信息罪的单一违法性和非法获取计算机信息系统数据罪的双重违法性，就能很好地理解两罪之间的关系。

首先，如果行为人登录系统得到授权，那么即使复制数据未经同意，整体行为也不应评价为非法获取计算机信息系统数据罪。在屈某祥非法获取计算机信息系统数据案（案例7）中，被告人屈某祥为某公司工程师，入职时与公司签订的保密协议明确规定，任何员工不得拷贝公司的信息。2018年，屈某祥在明知公司不允许复制信息的情况下，使用自备移动硬盘将公司278台电脑中的数据资料复制带走。法院判决屈某祥犯非法获取计算机信息系统数据罪。在李某韬侵犯公民个人信息案（案例8）中，被告人李某韬为某房产代理公司员工，其进入公司房源查询系统获取了大量含有房源信息、联系方式等内容的公民个人信息，并向“合作共赢”等微信群出售、发布上述信息，从中非法获利。法院认为被告人“违反国家有关规定，非法获取公民个人信息，并向他人提供”，构成侵犯公民个人信息罪。

本文认为案例7和案例8的判决值得商榷。由于成立非法获取计算机信息系统数据罪中的“非法获取”需要具备双重违法性，而案例7中屈某祥具有登录公司计算机信息系统的权限，所以缺乏“非法获取”的前提，其行为不构成非法获取计算机信息系统数据罪。当然，屈某祥违反保密协议获取企业数据的行为，可能会因为侵犯企业商业秘密而承担刑事责任，也可能因为侵犯企业经济利益而承担合同法或者侵权法上的民事责任。案例8中李某韬同样有权登录公司计算机信息系统，其行为同样不会构成非法获取计算机信息系统数据罪。法院判决李某韬成立侵犯公民个人信息罪的定性是正确的，但说理值得商榷。李某韬既然有权进入公司房源系统查询个人信息，就可以推定其获取行为得到了个人同意，不具有违法性。但李某韬出售和提供个人信息的行为未经个人同意，应当构成犯罪。有的类似案件判决就只处罚员工非法提供房源信息的行为，而不计算员工虽然获取但未实际提供的房源信息的数量。

其次，如果行为人私自使用员工账号和密码，那么其登录行为属于未经授权，整体上可能构成非法获取计算机信息系统数据罪。前文案例5中B公司员工刘某旭许可董某雷使用其账号和密码的行为就不属于授权，因为授权的主体是企业，而不是企业员工。由于董某雷没有登录系统的权限，其获取数据的行为当然也未得到企业授权，其行为构成非法获取计算机信息系统数据罪。公司员工刘某旭将自己的账号和密码交由他人使用，属于超越授权，也可能构成非法获取计算机信息系统数据罪。虽然案例5的判决未涉及公司员工的刑事责任，但最高人民检察院第九批指导性案例中的“卫梦龙、龚旭、薛东东非法获取计算机信息系统数据案”（检例第36号）明确指出，“被告人龚旭将自己因工作需要掌握的本公司账号、密码、Token令牌等交由卫梦龙登录该公司管理开发系统获取数据”，“明显超出正常授权范围”，“也属于侵入计算机信息系统的行为”。

再次，如果行为人得到信息主体的个人同意，但登录系统未获企业平台授权，那么其获取承载个人信息的数据的行为虽然不会构成侵犯公民个人信息罪，但仍然可能构成非法获取计算机信息系统数据罪。前文案例6涉及的就是这类问题。该案中用户授权被告人张某拔在交管平台查询其交通违章信息，违章信息既是个人信息，也是平台数据。就获取个人信息而言，由于有用户的同意，张某拔获取个人信息的行为不违法，但交管平台只允许个人自行查询违章信息，不允许他人代查询，更不允许机器人爬取信息。所以，张某拔爬取平台数据的行为未经授权，具有违法性，构成非法获取计算机信息系统数据罪。