□ 郭研

　　概念作为认知的基本单元，是一切研究的逻辑起点。我国刑法并未界定数据的概念，实践中多是参照数据安全法、网络安全法中的数据定义，但两部法律对数据概念的界定存在差异且均为描述性定义，使得实践中出现信息与数据、个人数据与个人隐私等概念的混同，数据的概念无法被当然地应用于刑法之中。数据概念在立法上的不确定以及信息与数据一体两面的特性，导致司法实践对数据和信息概念的混淆以及罪名适用的分歧。
　　实际上，数据与信息在本质上并非对立关系，而是交叉关系，片面强调二者的对立并不利于法益保护。数据是数字经济时代的关键客体，可以认为，刑法设定数据犯罪的核心目的是保护以数据为载体的信息安全。我国刑法是以“信息”为中心建立的规范体系，而不加区分地在刑法中适用数据概念会遮蔽刑法的保护法益。因此，有必要提出“数据信息”的概念进行等价转换及贯穿适用，在满足刑法基本原则的同时回应现实需求，从以“数据”保护为中心的话语体系向以“数据信息”为中心的话语体系进行转变。
“数据信息”概念的提出
　　当前，数据研究领域较多集中在数据确权、数字人权、数字法学等问题上，而忽略数据的概念与内涵这一重要前提。模糊的数据概念在刑法中的表现则是将数据与信息进行等同，包括一切能存储在计算机信息系统中有价值的信息，这使得数据与信息之间的关系“暧昧不清”，进而影响罪与非罪的判断、此罪与彼罪的认定。
　　应当认为，数据不等于信息，二者分属不同层次。在技术属性层面，数据以0或1的二进制代码组成并呈现，而信息则是人们通过观察等方式获取的内容。数字时代，价值如同权利，需要“授权”，需要实实在在的人进行“价值赋予”。数据是信息的载体，数据本身不具有价值，只是一种存储信息的形式，人们无法直接读取并与之产生连接，只有进行“价值赋予”的附随在其上的信息才具有价值，因此，信息的外延要大于数据。
　　“信息=数据+意义”，数据与信息是交叉存在的关系，在数据上被赋予的意义就是数据信息。数据信息是以数据作为载体的对人有价值、有意义的内容，具有法律意义，其所指向的法益能够通过刑法规定的犯罪使其特定化、具体化。数据信息也并不等同于信息，数据信息是数据所体现的有价值内容。刑法决定是否要保护以及保护的程度，均应以承载的数据信息为依据，只有侵犯了值得刑法保护的数据信息，才能进行定罪处罚。
“数据信息”刑法保护体系的优越性
　　数据本体刑法保护体系关注的核心是数据的静态保护，忽略了数据在动态流通、共享、分析中对经济和社会的实际贡献，其保护逻辑强调数据作为一种技术属性的客观存在，无论其用途、场景或动态变化，一旦遭到侵害即可能触发刑法介入。这种静态化认知难以反映数据在实际应用中的多样价值，导致法律适用的僵化，导致刑法过于强调数据本体的保护，造成对行为的误判。若刑法过度强调“数据本体”的保护，将数据处理行为笼统地纳入犯罪范畴，可能打击企业对数据资源利用的积极性，减缓技术迭代速度，有碍提升数字经济的国际竞争力。将数据信息定义为以数据作为载体的价值表达，与刑法中的具体法益进行等价转换，可以区分具有刑法保护必要性的信息与无价值的信息，从而减少对正常经济活动的干预。
　　数据只是信息的载体，在法益上并不存在具体价值。数据的价值体现在数据反映的信息内容上，刑法不应当对无价值的数据进行保护，需保护的应是数据信息。刑法判断标准应依据数据的特性，落脚在数据信息的价值上。数据信息能够涵盖数据在不同场景下的动态价值，是一种更加灵活且具体的概念。数据无价值而数据信息有价值，数据犯罪的认定需向以人为中心的现代刑事法治回归，应当将属于技术问题的数据本身排除在刑法规制的范围之外，减少刑法规制犯罪的不确定性，以数据信息为中心来构建刑法保护体系。
“数据信息”刑法保护体系的具体构建
　　提倡数据信息的意义在于发挥“提示作用”。如果没有“数据信息”这一概念，传统理论和司法实践鲜会关注到数据信息的内容本质，在传统罪名难以适用的情况下，个别罪名的“口袋罪”趋势愈演愈烈。
　　刑法的本质是法益保护，刑事违法性的判断应当具有相对独立性。刑法规制的是具有严重社会危害性的行为，具体到数据犯罪领域也是如此，刑法对数据信息的认定应该具有相对独立性，不是所有的“数据”都有价值且值得刑法保护。而对于前置法对数据的分类分级，不能直接适用于刑法领域，该领域应有其自身的判断。
　　分类上，将数据信息可分为具体数据信息和其他数据信息，具体数据信息与数据信息是种属关系，但具体数据信息可以用具体代词指代，主要包括已经被刑法特定化了的数据信息。而其他数据信息是指与数据信息是种属关系。国家秘密、军事秘密、商业秘密、个人信息等作为刑法保护的对象，是具有价值属性的数据信息，宜将这些能成为具体犯罪罪名保护对象的“数据信息”称为具体数据信息。除了这些能够对应刑法罪名的具体数据信息，其余可称为其他数据信息。
　　具体数据信息犯罪侵犯的是传统法益，应当按照传统法益的不同性质对应传统罪名。而对于刑法没有规定具体种类的其他数据信息犯罪，侵犯的则是对数据信息安全法益。合理的解决方案是在其侵犯计算机信息系统安全的前提下，通过刑法第二百八十五条第2款非法获取计算机信息系统数据罪、第二百八十六条第2款破坏计算机信息系统罪进行保护。具体的判断步骤如下：
　　首先，应当识别行为指向的是数据本体还是数据信息，区分罪与非罪。其次，若行为侵犯了数据信息，则要根据数据信息的分类进行具体罪名的认定。不同信息类型对应不同犯罪罪名，对数据信息类型的识别是重要一环。应当优先考虑是否能够适用指向具体数据信息的罪名，使得犯罪认定具体明确。最后，对于未侵害具体数据信息，如果行为达到了侵犯计算机信息系统的安全性或者保密性的程度，可以按照刑法第二百八十五条或第二百八十六条进行规制。需要注意的是，若数据的信息内容并未公开，非法获取数据行为侵害了计算机信息系统内数据信息内容的保密性，则考虑认定为非法获取计算机信息系统数据罪；若侵害计算机信息系统内数据信息的可用性和完整性之行为，则认定为破坏计算机信息系统罪。
　　（原文刊载于《华东政法大学学报》2025年第3期，原题为《数字经济刑法保护中“数据信息”概念之提倡》）