肖飒团队 | “数据为王”之下，入侵系统即为罪？

数据犯罪如何定罪，首先取决于对数据犯罪的定义。在早期信息网络并不发达的时期，数据犯罪涵盖了一切计算机系统或者网络中的犯罪行为，一方面包括未经授权访问、窃取、破坏、篡改、删除或滥用数据等活动，另一方面也涵盖了“网络犯罪”，包括利用计算机系统或是网络而进行的其他犯罪活动，例如网络钓鱼、网络诈骗、网络恐怖主义、网络色情等。

而在学界近期的研讨中，数据犯罪的概念逐渐规范，将数据犯罪定义为以数据为行为对象，侵害数据安全法益的非法获取、删除、修改、增加的行为。首先是侵害法益的逐步明确，即侵害了涉及国家利益、社会利益和个人利益的数据安全法益。其次是行为的危险性逐渐类型化，即在“未经授权”的前提下，任何访问、窃取、破坏、篡改、删除或是滥用等行为皆为危害行为。

数据犯罪主要涉及的条款为《刑法》第285条第二款和第286条第二款：

第285条第二款：违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据,情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金：情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。（飒姐团队认为其中对信息系统的非法控制不是纯粹的数据犯罪，因此暂且不考虑该情况。）

第286条第二款：违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

在相关学理研究和司法实务中，存在着对行为要件“入侵”理解上的争议。

无授权即入侵。授权可以理解为法律规范上的数据访问规则和技术上的数据访问规则。数据犯罪的违法性来自于对法定的数据访问规则和自定的数据访问规则的破坏。

法律规范方面，我国《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》（以下简称《计算机安全解释》）《数据安全法》《个人信息保护法》《网络安全法》等作为数据合法授权使用的说明，规定了数据的获取和使用条件，数据的收集、使用必须“合法正当”，但是在入侵的具体方式上存在着语焉不详的情况。

譬如在《计算机安全解释》中，入侵被理解为“避开或者突破计算机信息系统安全保护措施，未经授权或者超越授权”，强调需要同时满足通过技术手段的绕过，以及这种绕过是在访问规则之外的。而在最高人民检察院在 2017年10月发布的第9批指导性案例第36号“卫某等非法获取计算机信息系统数据案”中，“入侵”的理解有了扩大化的趋势。在本案中龚某向卫某提供自己所掌握的该大型网络公司内部管理开发系统账号、密码、Token令牌。卫某利用龚某提供的账号、密码、Token令牌，违反规定多次在异地登录该大型网络公司内部管理开发系统，查询、下载该计算机信息系统中储存的电子数据，这种在合理访问规则下的登录行为也被视为入侵。由此我们可以得出，即使行为没有强烈的技术特征，只要未经授权，皆可能被视为“入侵”。

当法律缺乏明确的可操作性，对于入侵的判断更多依赖技术方面的评价来判断“该系统是否开放授权”。在某些情况下系统的授权状态是清楚的，例如，对于云存储服务提供商，他们需要确保用户数据只能被授权的用户访问。为此，他们会采用各种技术手段，如访问控制、加密、身份验证等，来保证数据访问的严格的安全性和可控性。但是在很大一部分场景下，系统或是网页的授权意图是模棱两可的。为了保证系统用户的正常使用，服务平台往往采取事前的网络服务协议、网页警告、弹窗等措施，或者密码认证、更改IP地址等技术手段，以及事后的函告、撤销通知等来限制数据抓取、使用。

在多样化的技术手段面前，授权这一行为从何时开始授？权的对象是谁？授权行为是否可被法律所认可接纳？授权的限度又在何？这些问题皆需要在具体案例中进行分析，在具体行为是否入罪方面存在很大的判断标准上的争议。一方面要考虑网站、系统的具体意图，服务提供内容，考察访问、使用数据的行为是否符合网站授权的目的，另外一方面考虑网站对数据的技术保护程度是否严苛，访问、使用的行为在何种程度上突破了网站的技术突破。

退一步讲，任何无授权的访问，使用行为皆可入罪？飒姐团队认为不是。

一方面数据犯罪大多为实害犯，只有造成了实际的法益侵害性，达到了一定的入罪门槛才可以被定罪，单纯的未经授权访问，即入侵行为并不能定罪。

另一方面，当前各国逐步进入数字经济强力反垄断时期，呼吁在数据犯罪的认定中增加大数据反垄断的公共政策考量，单方面强调平台系统的单方意思授权或是技术授权以此来判断是非罪在某种程度上加大了平台垄断数据的可能性。因此许多入侵行为造成的后果被认为法益侵害性较小，往往不进行刑事层面的考量而是作为民事纠纷或是通过竞争法上的责任去规制不当的数据入侵行为。