数据与信息的边界:非法获取计算机信息系统数据罪的司法困境与出路

作者:邱戈龙、柯坚豪

长昊律所 专注于商业秘密、软件著作权的专业型律师事务所,擅长民事、行政、刑事多重救济途径,为众多科学技术领域的商业秘密、软件著作权类案件提供侵权维权、辩护、司法鉴定、司法审计、调查取证等高品质专项法律服务。

------ 深圳 商业秘密律师

在数字经济蓬勃发展的今天,数据已成为驱动社会运转的新能源。我国《刑法》第285条设立的非法获取计算机信息系统数据罪,本意是为数据安全构筑法律防线,却在司法实践中遭遇了一个根本性难题:我们究竟是在保护数据本身,还是数据所承载的信息?这个看似简单的命题,却引发了法学界的持久争论,并在具体案件中呈现出复杂的裁判分歧。

从技术视角看,数据是信息的载体,表现为二进制的电子信号;而信息则是数据经过解读后形成的意义内容。这种区分在司法实践中形成了三种截然不同的裁判思路。第一种观点坚持"形式保护说",认为本罪保护的是数据作为电子存在的物理属性。在这种理解下,一个黑客即使窃取了加密数据库,只要未能破解内容,就只构成非法获取计算机信息系统数据罪。这种裁判逻辑在2021年杭州某数据泄露案中得到体现,法院认定被告人入侵系统获取加密数据的行为已构成犯罪,而不论其是否实际获取了信息内容。

与之相对的是"实质保护说",该观点将保护重心放在数据承载的信息价值上。北京某科技公司数据窃取案中,被告人通过技术手段获取了竞争对手的加密设计图纸,法院最终以侵犯商业秘密罪而非本罪定罪量刑。这种裁判思路认为,单纯的数据获取若未触及信息内容,就不具有实质的法益侵害性。

更具包容性的是"双重保护说",这种观点在深圳某医疗数据案中得到充分展现。法院既认定被告人入侵医院系统的行为破坏了数据安全,又因其获取的患者健康信息特别敏感而加重处罚。这种裁判方式试图兼顾数据载体与信息内容的双重价值,但也带来了法律适用上的复杂性。

金融领域的司法实践尤其凸显这一难题。当黑客入侵银行系统时,其行为可能同时触犯多个罪名:获取数据库文件构成非法获取计算机信息系统数据罪;泄露账户信息构成侵犯公民个人信息罪;篡改交易指令则可能构成破坏计算机信息系统罪。2023年上海某券商系统入侵案中,法院就面临这样的多重定性困境,最终选择数罪并罚。

这种法律适用的不确定性给企业合规带来严峻挑战。某互联网公司在数据防护上投入巨资,采用最先进的加密技术保护用户数据。但当发生数据泄露事件时,却因司法机关对"数据"概念理解不一,导致案件处理结果大相径庭。这种不确定性不仅影响企业维权,也削弱了法律的预测功能。

更深层的矛盾在于技术进步与法律滞后的张力。随着量子计算、AI生成内容等新技术的发展,数据与信息的边界正在模糊。一个AI系统通过分析公开数据生成商业洞察,这是否构成"非法获取"?区块链上的智能合约自动执行引发的数据流动,又该如何定性?这些新问题都在考验着现行法律体系的适应能力。

要破解这一困境,可能需要回归立法本意与时代需求的平衡。在数字时代,数据安全与信息安全本就密不可分。未来的法律完善应当着眼于构建更精细的数据分类分级体系,同时通过指导性案例统一裁判标准。更重要的是,要建立跨学科的法律解释框架,让技术语言与法律语言能够相互理解、相互适应。

这场关于数据属性的法律争论,本质上是对数字时代新型法益保护的探索。它要求我们在技术理性与法律价值之间找到平衡点,既不能因技术复杂性而放弃法律规制,也不能因法律僵化而阻碍技术创新。这或许正是数字时代法律发展必须面对的永恒命题。