个人数据的价值、犯罪治理及规制

　　党的二十大报告提出，强化网络、数据等安全保障体系建设。党的二十届三中全会通过的《中共中央关于进一步全面深化改革、推进中国式现代化的决定》强调，“提升数据安全治理监管能力”。数据为数字经济提供数字化的知识和信息，是发展数字经济的关键生产要素和推动产业转型的重要动能。尽快建立数据基础制度、提升数据安全治理监管能力，对推进中国式现代化具有重要意义。

　　近年来，随着人工智能、物联网等信息技术的快速发展，数据内容不断多样化、复杂化，在此背景下，识别个人数据之上承载的多重价值内容，转变个人数据刑法保护理念，确定不同场景下的刑法介入路径，可以为开展个人数据刑法保护提供有效方案。

　　个人数据之上的三重价值

　　随着大数据、人工智能等信息技术日渐融入人们工作生活，个人在互联网上留下的每一项数据都可能被永远铭记并形成精准化的数据画像，从而服务于商业营销、产业发展乃至国家战略。个人数据之上附着的利益日渐复杂化，既有个人信息保护的法理逻辑，越来越难以支撑个人数据不断丰富的价值内容。从个人、企业、国家三方视角切入，可以发现个人数据之上附着了三重价值：以个人信息自决权为内容的数据人格权，以个人信息数据和非个人信息数据的区分为基础的个人数据财产权，以数据本体安全和数据信息安全为内容的数据安全。

　　数据人格权：个人信息自决。个人信息权关乎人格尊严和自由。个人信息能够显现信息主体的生活轨迹，作为其人格的外在标志，形成个人“信息化形象”。只有消除个人对“信息化形象”被他人操控的疑虑和恐慌，保持其信息化人格与其自身的一致性而不被扭曲，才能使得个人有自尊并受到他人尊重地生存与生活。根据《中华人民共和国个人信息保护法》第十三条、第十四条的规定，目前，我国对公民个人信息的保护方案是以“告知同意”规则为核心的个人信息自决模式。

　　数据财产权：个人信息数据权益与非个人信息数据权益。根据是否具有可识别性，可以将个人数据区分为个人信息数据和非个人信息数据。个人信息数据具有极强的人格权属性，因此，其上附着的财产权益只能附属于人格权受到保护。非个人信息数据不具有可识别性，应当予以独立保护。数据处理者对非个人信息数据进行收集、统计、关联、挖掘、聚合，付出了大量的时间和技术成本，实现了数据的价值增值，应肯定其对非个人信息数据享有财产权益。

　　数据安全：数据本体安全与数据信息安全。《中华人民共和国数据安全法》第三条第三款将数据安全界定为“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。按照该规定，数据安全，即静态上数据处于有效保护的状态；动态上各数据处理者对数据进行合法利用的状态；同时，还需要在制度和技术层面实现数据在静态和动态上均保持持续安全状态。

　　数据与信息是载体与内容的关系，由此区分出数据本体安全和数据信息安全，二者关涉的利益不同，关联的罪名不同。当剥离数据的信息安全价值后，数据本体安全仅关注数据这一载体的有效保护和合法利用，所关涉的利益较小。例如对于不涉及关键信息的数据，其遭受侵害只需以妨害社会管理秩序罪论处。而数据信息安全强调信息免受非法获取、修改、损害、使用，需要根据信息的重要程度对行为的社会危害性进行判断，依其性质以危害国家安全罪、危害公共安全罪定罪处罚。

　　总之，个人数据之上附着了数据人格权、数据财产权和数据安全三重价值，涉及众多罪名。个人数据的刑法保护必须首先明确这三重价值的存在，再结合具体的数据侵权场景进行罪名认定。

　　个人数据刑法保护的知情同意与利益衡量原则

　　数字经济时代，数据的经济价值和战略价值涉及产业发展和国家利益，而固化的知情同意规则在实践中的适用可能面临隐私声明冗长艰涩、用户未经阅读就点击同意、选择权被架空等问题，无法回应发展需求。因此，侵犯个人数据犯罪不应再局限于知情同意规则，而应当基于场景识别进行差异化保护。

　　一般个人数据：坚持利益衡量原则。一般个人数据应当推行以利益衡量原则为核心的价值判断标准。根据个人数据的流通规则，主要存在三个维度的利益冲突：一是数据主体与数据处理者之间的利益冲突；二是不同的数据处理者之间的利益冲突；三是数据主体、数据处理者与国家安全、公共利益之间的利益冲突。在不同利益维度下，选取何种利益上升为刑法法益，进而平衡数据保护与数据流通的价值考量，需作出审慎的利益衡量判断。

　　敏感个人数据：坚持知情同意规则。敏感个人数据，包括生物识别、医疗健康、特定身份信息等在内的个人隐私数据，直接关涉人格尊严与自由。对于敏感个人数据应继续坚持知情同意规则予以规制，且严格限定其收集主体和使用范围。我国个人信息保护法虽然对敏感个人信息范围作了专门规定，但其规定范围还可进一步优化，建议把敏感个人信息限定在“民族、基因、性生活、医疗信息、健康检查、犯罪记录等”之内，并将“严重侵犯人格尊严和自由”作为兜底条款，为司法适用保留适当的裁量空间。

　　个人数据刑法保护中利益衡量原则的适用

　　个人数据资产化可能引发数据主体的利益、数据处理者的利益、社会公共利益及国家安全的多重利益冲突，个人数据呈现为集合化法益。因此，需基于利益衡量原则，对个人数据构建场景化保护路径。

　　数据主体与数据处理者之间的利益衡量。在个人数据的商业化运营中，首当其冲的便是数据主体与数据处理者之间的利益冲突。对于非法获取、出售和向他人提供个人信息数据，均应当以侵犯公民个人信息罪定罪处罚。尤其是，在侵犯敏感个人数据的场合，知情同意规则应当作为不法行为入罪与否的核心判断标准，只要违反知情同意规则便构成侵犯公民个人信息罪。对于关联到个人财产的数据，诸如非法获取他人账户密码转移支付宝账户资金、窃取虚拟货币的行为，由于其先后侵害公民个人信息所蕴含的人格权法益和公民的财产法益，应以侵犯公民个人信息罪和财产犯罪数罪并罚。

　　不同数据处理者之间的利益衡量。在个人数据的商业开发与利用过程中，衍生数据经过数据处理者的算法深度挖掘与利用形成新型系统性数据，具有作为知识产权进行保护的必要性。但其不具备著作权法上“作品”所要求的独创性，可以考虑作为商业秘密纳入刑法保护。那些不被公众知悉且采取保密措施的衍生数据，具有秘密性与保密性，符合商业秘密的特征。非法获取、披露、使用衍生数据的行为，侵犯数据处理者的财产利益，严重破坏公平自由的市场竞争秩序，应当以侵犯商业秘密罪论处。

　　数据主体、数据处理者与国家、社会之间的利益衡量。个人数据包括数据本体和数据信息两个层面。运用各种技术手段侵害计算机信息系统或数据的行为，若不涉及关键信息，则其仅侵害数据本体安全所关联的社会管理秩序法益，构成非法获取计算机信息系统数据罪、非法控制计算机信息系统罪或破坏计算机信息系统罪。而运用各种技术手段非法获取、修改、损害、使用构成国家秘密或情报的个人数据，其行为不仅侵害数据本体安全，还侵害数据信息安全所关联的国家安全法益，单个行为造成多个结果，应当成立侵犯计算机信息系统罪等妨害社会管理秩序罪和为境外窃取、刺探、收买、非法提供国家秘密、情报罪等危害国家安全罪的想象竞合，择一重罪处断。

　　在数字经济蓬勃发展的当下，个人数据作为新兴的集合化法益，早已超越以知情同意为核心的个人主导模式，走向利益衡量与知情同意二元化的社会保护范式。因此，司法机关在查办涉数据类案件中应当根据个人数据涉及的不同场景，准确运用罪名，实现对个人数据三重价值的周延保护。

　　本文系2024年度中南大学“高端智库”项目“数字经济发展的法治保障问题研究”（项目编号：2024znzk04）的阶段性研究成果。

　　（作者单位：中南大学法学院）