国产伦久视频免费观看视频,国产精品情侣呻吟对白视频,国产精品爽爽VA在线观看无码,韩国三级HD中文字幕

摘要：個人數據上匯集多方主體的不同性質的權益，它不同于一般的私權物品，也不宜作為公共用品。依據個人數據在不同場景中所涉權益的性質，我國刑法對個人數據的保護共有四種模式，即經濟秩序保護模式、人格權保護模式、物權保護模式與公共秩序保護模式�？疾煨谭▽�個人數據的保護，不足之處在于：對數據濫用的行為缺乏必要的規制；有些罪名的適用無法準確揭示相應行為的不法本質；犯罪化不足與犯罪化過度的問題并存；對數據主體權益的保障顯得不足。就刑法保護框架的合理化而言，需要在四個方面實現觀念性的轉變。個人數據雖具有財產或經濟屬性的面向，但不應歸入財物或知識產權的范疇；虛擬財產不具備財物的特性，不應在一般意義上作為傳統財產犯罪的對象。有必要從立法論與解釋論兩個層面，對我國刑法對個人數據的四種保護模式作出相應的調整。
   關鍵詞：個人數據；數據權利；數據濫用；虛擬財產；《通用數據保護條例》。
一、導言
   網絡與信息技術的運用，正在深刻地撼動與改變我們所處的世界，也使得數據變得前所未有的重要。在生活的方方面面均由數據驅動的今天，數據更像是我們呼吸的空氣，而不只是21世紀的“石油”。1大數據時代的來臨，其表征之一就是對與個人相關的數據的海量收集、分析與利用。海量數據市場被認為將取代傳統貨幣市場，數據所帶來的經濟重啟，會深刻地改變市場運作的基本機制，重塑人們所熟悉的資本主義經濟，其重要性堪比工業革命。無論從商業經濟還是社會管理的角度而言，個人數據都具有不容忽視的巨大價值。這意味著，個人數據必然會成為包括刑法在內的法律規制的對象。法律需要跟上科技的步伐，對數據的流動與利用進行必要的監管。畢竟，技術存在的目的是為了讓人們生活得更好，它只是實現目的的一種手段，是一種裝置、一種方法或一個流程。而數字科技不只是帶來隱私與安全的問題，也正在對民主與自由的體制形成重大的沖擊。因而，如何根據個人數據的特殊性質，發展出適應于大數據時代需要的包括刑法在內的法律規制框架，構成當前各國所面臨的共同難題。
   晚近以來，我國在刑事立法與司法上已經作出積極的回應，但總的說來，仍然停留于對原有框架的修補，而并未實現基本范式的轉型。我國現有的刑法規制框架，能否為個人數據提供適當的刑法保護，無疑值得做必要的探究。作為在數據科技與經濟領域走在世界前列的國家，怎樣的刑法規制框架才能在自由、安全與發展之間達成合理的平衡，從而滿足大數據時代對復雜社會進行治理的要求，是法律領域迫在眉睫需要解決的問題。基于此，梳理與歸納中國現有刑法規制框架的基本特點，在此基礎上就其整體展開反思性的審視，考察其中的得與失，便有著重要的現實意義。這構成本文的問題意識。
    值得指出的是，本文使用“個人數據”而非“個人信息”的概念，是基于兩點考慮。其一，嚴格說來，“數據”與“信息”的具體指涉有所不同�！皵祿�”側重于突出載體或媒介本身，而“信息”強調的則是所要傳達的內容與本質。因而，信息具有更為深刻的內涵，它不只可以通過數據的形式來呈現，也可以借助其他的媒介。不同的媒介，包括文字與印刷術，是作為不同信息技術的產物而存在。每一種新出現的信息技術，都在當時催生了信息儲存和傳輸的新需求；而每一種新出現的媒介，都會對人類思維的性質加以改造。本文關注的對象主要是以電子數據形式出現的個人數據，不包括以其他媒介呈現的個人信息。其二，本文所稱的個人數據，基本是在歐盟《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）的意義上使用，指的是已識別到的或被識別的自然人（“數據主體”）的所有信息。它要求與數據主體具有相關性。所謂的相關性，是指某項信息源于數據主體自身，或者主要被用于評價或影響數據主體的行為或狀況，又抑或從結果角度看該信息確實有可能將特定數據主體區別于其他人，并可能對其權益產生影響個人數據既包括屬于個人的數據也包括關于個人的數據，在中文語境中，它可能比個人信息概念的外延要廣一些。比如，網絡運營公司數據庫中的游戲裝備、游戲幣與充值卡兌換號等，本質上也是數據，但其與作為數據主體的個人并不相關。不過，當這樣的游戲裝備與游戲幣等進入個人的賬戶，由個人占有與使用時，便成為屬于個人的數據。反之，網絡運營公司因業務需要所合法收集的個人數據（如消費記錄、搜索記錄與網頁瀏覽記錄等），屬于企業控制的數據，但它們仍是關于個人的數據。由此而言，本文對個人數據的刑法保護的探討，并不局限于中文語境中的個人信息，而是也包括涉及虛擬財產的個人數據等。
    本文第二部分首先論述個人數據的特性與法律地位。在此基礎上，第三部分對中國刑法對個人數據的保護情況進行歸納與梳理，以便為相應保護框架勾勒出基本的輪廓。第四部分意在指出我國現行關于個人數據的刑法保護框架的缺陷。第五部分認為，基于補正其缺陷的考慮，有必要在價值立場與觀念上實現相應的轉換，主張應當在行業自律與政府監管相結合的治理機制中，來考慮刑法保護框架如何調整的問題。第六部分強調需要根據不同的風險類型與所侵害法益的性質，來為個人數據提供多元化與類型化的刑法保護。
二、個人數據的特性與法律地位
    數據是由人類自己所創造。個人數據作為一種資源，具有再生性與非競爭性的特點。再生性使得個人數據的規模呈不斷擴張的態勢，而非競爭性則使得個人數據可反復使用，并供不同的主體共享。尤其是，相應的數據雖然是因個人的行為或活動而產生，但是，在此類數據上，不僅涉及公民個人隱私、財產或其他個人信息等方面的權益與控制處理主體（也稱控制者與處理者/controller and processor）對數據的控制、分析與使用的權益，而且涉及數據科技產業的行業性利益與整個互聯網經濟發展布局的利益；此外，還可能涉及公共安全與國家安全等方面的利益。可以說，個人數據經常匯集多方主體的不同性質的權益。相應的主體之中既有公法益主體，又有私法益主體，而私法益主體中既有自然人，又有公司等組織。同時，對于單一的主體而言，個人數據既可能涉及人身權利，也可能涉及財產權益。數據這樣的特性，使得對其進行準確的法律定位變得相當困難，也難以納入特定的部門法中來解決。
   這意味著，思考與探討對個人數據的刑法保護，應當置于整體的法律框架之中，著眼于數據治理的角度來進行。數據法作為一個典型的領域法，聚焦各部門法在數據領域衍生的共性問題，有必要在橫向上整合傳統法律部門要素，在縱向上突破部門法的壁壘，通過不同研究角度和方法來探索數據全生命周期的普遍規律，形成具有內生性、協同性的整體數據法律研究框架。就當下而言，數據治理的整體法律框架尚未形成，尚處于發展過程之中。盡管如此，刑法對個人數據的保護，仍需有意識地擺脫部門法的狹隘，通過往返觀照數據法的整體框架來作相應的調整。
    由于個人數據在權益結構上的復雜性，采取傳統的私權主義保護進路，能否兼顧各種權益之間的平衡，便不可避免地引發相應的爭議。這些爭議包括：第一，個人數據是作為私權意義上的物品來對待，還是應視為公共用品？第二，對個人數據的保護，是主要采取私法保護模式還是公法保護模式？第三，對各類主體而言，其對個人數據所享有的究竟是一種權利，還是只是單純的利益？第四，對于數據主體/data subject（也稱信息主體）而言，其對個人信息所享有的權利，是作為不容剝奪的絕對權利還是可予相對化處理的一般權利？第五，數據主體對于個人數據的權益，主要涉及的是積極的控制權能還是消極的防御權能?
   前述爭議之中，最為關鍵的應當是對第一個問題的回答。如果認為個人數據是作為公共用品而存在，則對其的保護，便不可能采取以私法為主的保護模式，而必然傾向于動用包括行政法與刑法在內的公法來進行保護。由此而言，對各類主體而言，包括數據主體在內，對個人數據所享有的便不可能是排他性較強的權利，而只能是單純的利益。相應地，由于個人數據屬于公共用品，而數據主體對數據所享有的也并非一種權利，其自然只能行使消極意義上的防御權能，而不包括積極的控制權能。
   梅夏英教授便屬于此陣營中的代表人物。梅教授認為，數據缺乏民法中客體物所必須具有的特定性與獨立性，其作為客體與民法中客體實體權利表彰功能也不相契合，故不應作為民法上的客體；同時，在數據之上也難以建立類似知識產權的權利，知識產權中的財產權主要體現為流通壟斷權，而缺乏智力成果內容的數據無法構建這樣的壟斷性權利。他認為，目前私法對于數據權益界定的理論嘗試均有局限，無論是隱私權模式、個人信息自決權模式還是人格權兼財產權模式，都不能很好地解釋數據的流動和控制問題；將數據客體化和權利化難以契合數據價值的來源和運作方式，它忽視了數據本身的分享和流動的慣常性存在，以及數據排他性占有的現實困難。基于數據的互惠分享構成互聯網賴以生存的基礎生態規則，同時考慮其無形性、可分享性以及公共性，梅教授因而主張數據應當視為公共用品，按互惠分享的原理來構想對數據的法律保護，法律保護需要實現從私益保護面向到公益保護面向的轉換。吳偉光教授也是相應觀點的支持者。他從大數據技術下的社會可能超越私權利社會而形成合作共享的有機社會的角度，來論證私權保護路徑已喪失存在的社會基礎，認為作為公共物品并以公法來規范個人數據的使用更具合理性和可行性。
與之相反，如果堅持個人數據仍屬于私權意義上的物品，則對其的保護，必然優先考慮用私法來進行保護，只是在私法無法進行有效救濟的場合，才會考慮補充性地運用公法來進行保護。在此種構想框架中，對于數據主體來說，其對個人數據所享有的必定屬于一種權利。至于這種權利的具體屬性，則需要作進一步的探討。首先，這種權利究竟是隱私權、一般的人格權還是個人信息權，抑或是人格權的財產權化；其次，數據主體所享有的這項權利，到底是作為不容剝奪的絕對權利，還是可予相對化處理的一般權利而存在。同時，對于個人數據的控制者與處理者來說，其對數據的控制權益是否視為是相應主體的權利還是利益，它是一種財產利益還是其他的經濟性利益，也均需作進一步的確定。由于數據主體對個人數據享有相應的權利，其權利內容自然是既包括積極控制權能又包括消極的防御權能，相比于后者，積極控制權能勢必構成權利的主要內容。
    盡管公共用品說在我國法學界有一定的影響力，多數觀點仍傾向于首先從私權意義上看待個人數據，認為應作為民事權利的客體，嘗試用私法來提供先行的保護，同時輔之以行政性保護與刑法性保護。作為數據主體的自然人，其對于個人數據所享有的權利性質也得到確認。由于隱私權在我國法律語境中指涉的范圍較窄，難以將所有具有可識別性的個人信息涵蓋在其中，故而，數據主體對于個人數據的權利，基本上不再被理解為是隱私權，而被認為是獨立于隱私權的獨立的個人信息權，它的主要內容涉及對個人信息的自我決定權。信息的自決權是否具有憲法上的基本權利性質，這一點尚未得到應有的討論。至于合法控制與處理個人數據的公司等組織，從實務的做法來看，其對所控制的個人數據沒有被承認為是權利，而是作為一種應保護的經濟性利益受到確認。
    從我國現行法律規定來看，也大體上能得出是持個人數據作為私權之物的立場。尤其是，個人數據中具有可識別性的部分，即個人信息，已被明文規定為屬于個人的權利。在我國，個人信息的權利屬性最早由《刑法》所確認。2009年《刑法修正案（七）》增設非法獲取公民個人信息罪(《刑法》第253條之一)，該條規定為2015年《刑法修正案（九）》所修正，罪名變更為侵犯公民個人信息罪。民法的相關規定，包括2013年修訂的《消費者權益保護法》、2017年施行的《民法總則》第111條，以及2020年通過的《民法典》人格權編中設立“隱私權和個人信息保護”專章，也均確認公民對個人信息的私權屬性。自然，這并不意味著，個人數據只具有個人信息意義上的權利屬性，它同時被認為具有財產的屬性，尤其是對于合法控制與處理個人數據的主體而言。除了人身權利與財產屬性之外，根據我國的《網絡安全法》等行政法規，對個人數據的法律保護，還會涉及網絡空間主權、國家安全與社會公共利益。歸結而言，個人數據之上的權益并不是一項簡單的權利，而是一種權利集合，它囊括了不同主體在相同客體上所涉及的人格、隱私、財產、主權等多方面的權利。
三、刑法對個人數據的保護框架
   匯聚于個人數據之上的權益的集合性與多維性，自然會在我國刑法的保護框架中有所體現。本部分先對我國現行法律在個人數據保護方面的基本立場做出交待，在此基礎上對現有的刑法保護模式進行梳理與歸納。
（一）利益衡量進路的立場
    我國現行法律對個人數據的保護，與美國的“隱私權保護+行業自律”導向的保護模式差異較大，從相應表述來看，似乎與歐盟的《通用數據保護條例》的立場較為接近。比如，法律界對于個人數據的權利主要用的是個人信息權而非隱私權的表述，對個人信息權的具體內容的解讀，也主要參照《通用數據保護條例》的相關規定，并在個人控制與自我決定的意義上來界定個人信息權的本質。在這其中，尤其受到源自德國的信息自決權理論的重大影響。不過，我國對個人數據的法律保護，至少在兩個方面上明顯不同于《通用數據保護條例》。
    一方面，我國的個人信息權基本上是在自我決定的意義上來理解與界定，而這種自我決定主要體現在收集環節的征求同意與信息告知上，并且主要限于直接從數據主體處收集個人數據信息的場合�！锻ㄓ脭祿�保護條例》所規定的后續的權利內容（即第15條至第21條），包括數據主體的數據訪問權、糾正權、限制處理權、移植權與拒絕權等，尤其是數據主體向獨立監管機構以及司法機構提起訴訟的權利，基本上沒有被吸納入我國現行的法律規定之中；同時，我國現行法律也沒有像《通用數據保護條例》第9條的規定那樣，對包括顯示種族或民族出身、政治觀點、宗教或哲學信仰與生物數據等特殊種類的個人數據處理，作出特殊的原則性限制。這意味著，在我國，數據主體對于個人數據享有的權利內容，要較《通用數據保護條例》所規定的范圍要窄得多。而即便是要求數據控制者與處理者承擔的征求同意與信息告知的義務，也流于法律層面的宣示，在實踐中并未得到嚴格的執行。
    另一方面，政府在其中扮演的不僅是強監管者的角色，更發揮著主導者的作用。它不只是以數據主體的保護者或利益沖突的調解者的面目出現，同時也是作為重要的個人數據的控制主體與處理主體而存在。包括國家網信辦與各級公安、安全等部門在內的公權力機關，其工作內容本身就涉及對大范圍的海量個人數據的收集、保管與使用。這與《通用數據保護條例》為政府所設定的角色有很大的不同。
    前述兩個方面的不同，可能源于《通用數據保護條例》與我國現行法律在基本價值取向上的差異。《通用數據保護條例》有一條明顯的主線，那就是強化數據主體對于數據的控制權，并通過兼顧人格權與財產權的方式予以保護。這種強化，不僅表現為保護范圍的拓展，將公開的個人信息也包括在內，而且表現為保護方式的升級，由強制事后補救的消極防御轉向事前防范式的主動防護。基本上，它采取的是法權保護進路，表現出優先保護個人數據權利的傾向，據此而對數據的控制者與處理者設定了相當高的合規義務。尤其是，《通用數據保護條例》沒有賦予數據主體以完全自由交易的權利和賦予企業等實體以數據所有者的權利；在很多規定上，《通用數據保護條例》采取了基本權利的進路，賦予數據以某些不可轉讓的特征。
    與之不同，我國現有的法律采取的是利益衡量的進路，更為強調對數據科技產業及數據經濟的保護與對社會秩序的控制。利益衡量進路也為法學界所廣泛支持。這使得國家主導、行業自律與個人參與的數據治理模式受到較多的推崇。對此，有論者明確主張，通過對個人敏感隱私信息強化保護，以及強化個人一般信息的商業利用和國家基于公共管理目的的利用，實現個人、信息業者和國家三方利益平衡。這一“兩頭強化，三方平衡”理論，應當作為我國個人信息保護法的理論基礎。這意味著，在我國現有的法律框架中，數據主體對個人數據所享有的權益名為權利，實質上只是作為單純的利益而存在，它往往很容易被其他利益所超越。由此而言，我國現行的法律框架顯然采取的是優先保護國家與社會利益的價值立場。對于數據主體的個人信息權，只有在不影響科技產業與數據經濟的發展，不危及社會秩序穩定的前提下，才有可能得到有限度的法律保護。我國刑法對于個人數據的保護，也只有置于這樣的制度語境之中，才能獲得較為準確的理解；缺乏此種參照，便難以洞悉法條字面規定背后的真實本質。
（二）四種保護模式的歸納
    從我國現行《刑法》的規定與實務的相應做法來看，涉及對個人數據的保護的罪名，主要包括：（1）規定在分則第三章破壞社會主義市場經濟秩序罪中的兩個罪名，即竊取、收買、非法提供信用卡信息罪（第177條之一第2款)與侵犯商業秘密罪（第219條），前罪位于第四節破壞金融管理秩序罪，后罪屬于第七節侵犯知識產權罪；（2）規定在分則第四章侵犯公民人身權利、民主權利罪中的兩個罪名，即侵犯通訊自由罪（第252條）與侵犯公民個人信息罪（第253條）；（3）規定在分則第一章侵犯財產罪中的兩個罪名，即盜竊罪（第264—265條）與詐騙罪（第266條）；（4）規定在分則第六章妨害社會管理秩序罪第一節擾亂公共秩序罪中的兩個罪名，即非法獲取計算機信息系統數據罪（第285條第2款）與破壞計算機信息系統罪（第286條第2款）。
    由于我國刑法基本上是按所侵害的法益類型來安排相應罪名的位置，從前述所列的相關法條而言，可以將我國刑法對于個人數據的保護歸納為四種模式。
1.經濟秩序保護模式
    竊取、收買、非法提供信用卡信息罪懲罰的是竊取、收買或者非法提供他人信息卡信息資料的行為。他人的信息卡信息資料顯然屬于個人信息的范圍。從該罪位于破壞金融秩序罪之中來看，表明立法主要是要保護金融秩序的利益。因而，就本罪所保護的法益而言，金融安全的風險防控是作為首要法益，而對個人信息權益的保護則作為次要的法益。侵犯商業秘密罪的行為對象中也可能涉及個人數據，像客戶名單之類的個人數據，如果控制主體采取保密措施從而滿足商業秘密的成立要求，則行為人實施以不正當的手段獲取或者超越權限而披露、使用或允許他人使用權利人的商業秘密的，便可能成立本罪。從其在立法中所處的位置與構成要件來看，商業秘密罪保護的并非作為數據主體的自然人的個人數據，而保護的是對相應的個人數據具有控制與處理權限的主體的經濟利益。當然，更確切地說，是通過保護權利人的經濟利益來實現對公平的市場秩序的保護。歸結而言，無論是竊取、收買、非法提供信用卡信息罪還是侵犯商業秘密罪，都是作為侵犯經濟秩序利益的犯罪而存在，這樣一種為個人數據所提供的刑法保護，可稱為經濟秩序保護模式。
2.人格權保護模式
    侵犯通信自由罪針對的是隱匿、毀棄或者非法開拆他人信件，侵犯公民通信自由權利的行為。該罪保護的法益是公民的通信自由。從解釋論的角度而言，電子郵箱中的郵件與手機上的短信或微信中的留言、音頻與視頻等通訊信息，均有解釋為“信件”的余地。只有這樣來解釋其構成根據，該罪的存在才有現實意義，不然勢必成為廢棄的罪名。從實務的處理來看，也是傾向于對“信件”概念作擴張性的解釋，從而使該罪的構成要件在網絡時代得以與時俱進而仍有適用的價值。與侵犯通信自由罪只限于對通信過程中的個人信息予以保護相比，侵犯公民個人信息罪對個人信息的保護要全面與寬泛得多，其中的個人信息只要單獨或結合其他信息具有可識別性即可。侵犯公民個人信息罪包括兩類行為：一是違反國家規定出售或提供個人信息，二是竊取或者以其他方法非法獲取個人信息。刑法理論上對侵犯公民個人信息罪保護的是公法益還是私法益的問題存在一些爭論，不過，多數觀點傾向于認為它保護的是獨立的個人信息權，盡管對信息權的具體內容與范圍尚未取得共識。由于通信自由與個人信息權都被歸于個體的人格權之下，故侵犯通信自由罪與侵犯公民個人信息罪所提供的刑法保護，可稱為人格權保護模式。
3.物權保護模式
    盜竊罪與詐騙罪的保護對象都是財物，盡管前者往往作為保護特定財產權利（主要是所有權）的犯罪而存在，而后者被認為是侵犯作為整體的財產的犯罪。因而，盜竊罪的行為對象限于物（包括有形物與無形物），而詐騙罪的行為對象則既包括狹義的財物，也包括債權等財產性利益。不過，無論是盜竊罪還是詐騙罪，作為其行為對象最終指向的物品，都具有稀缺性，在占有與使用上具有排他性。也正是基于此，中國刑法對這兩個財產犯罪均配置了很高的法定刑，盜竊罪與詐騙罪的法定最高刑均為無期徒刑。網絡時代財產存在形態與使用形態發生重大的變化，包括銀行賬戶、支付寶賬戶與微信賬戶在內的財產賬戶中的電子數據，都可能成為犯罪的對象。比如，利用欺詐的手段而誘使他人進行轉賬，或者直接侵入他人財產賬戶竄改電子財產數據等，成為新型的犯罪手段。此類行為在我國，通常是以盜竊罪與詐騙罪等財產犯罪來進行懲罰。由于電子財產數據也屬于個人數據的范圍，相應行為最終導致被害人對電子財產數據所指向的貨幣喪失占有，而貨幣被認為是具有稀缺性與排他性的財物，故以傳統財產犯罪為個人的電子財產數據提供刑法保護的模式，不妨稱為物權保護模式。從我國司法實務來看，對于竊取他人游戲賬號、游戲裝備與游戲幣等虛擬財產的行為，有不少是按盜竊罪與詐騙罪等財產犯罪來予以處罰。這樣的立場，甚至得到最高人民法院相關業務庭的肯定。
4.公共秩序保護模式
    非法獲取計算機信息系統數據罪與破壞計算機信息系統罪（其中《刑法》第286條第2款專門針對數據與應用程序）均作為保護數據安全的犯罪而存在。前者處罰的是非法獲取計算機信息系統中存儲、處理或傳輸的數據的行為，后者針對的是非法對計算機信息系統中存儲、處理或傳輸的數據和應用程序進行刪除、修改、增加的操作的行為。從我國司法實務來看，由于包括個人電腦、手機與iPad等聯網設備均被認為是計算機信息系統，故而非法獲取儲存于其中的個人數據，或者是對之進行刪除、修改、增加的操作，可能會涉嫌成立非法獲取計算機信息系統數據罪或破壞計算機信息系統罪。由于此時的個人數據，主要是作為與網絡安全相關的公共秩序利益而獲得刑法保護，故可稱為公共秩序保護模式。對于盜取或騙取他人游戲賬號、游戲裝備與游戲幣等虛擬財產的行為，晚近的我國實務似乎更傾向于以非法獲取計算機信息系統數據罪來定罪處罰。最高人民法院相關人員對2013年“兩高”所發布的關于盜竊罪司法解釋的相關說明中，明確對于侵犯虛擬財產的案件可用非法獲取計算機信息系統數據罪來處罰的立場.
   由上可知，我國刑法并非只是通過侵犯公民個人信息罪來保護個人數據，也不單單是將個人數據當作統一的人身性權利或是統一的財產性權益而給予籠統的保護。相反，根據個人數據在不同適用場景中可能侵害的權益的屬性，而利用傳統罪名與立法新設罪名，試圖為個人數據的保護提供相對全面的刑法規制框架。就此而言，當前法學理論上試圖為個人數據尋找統一的法律定位的做法，不僅因陷于傳統概念思維的窠臼而顯得落伍，也背離我國立法與司法的基本現實，故而并不可取。合理的做法應當是，總結現有立法與司法的得失利弊，在此基礎上展開反思性的考察，看是否有必要作出結構性的調整，或是哪些地方有待補正。
四、現行保護框架的反思性考察
    盡管數據的地位與性質，在我國當前的法律體系與法學理論中都尚不算十分清晰，但通過刑事手段來保護個人數據的安全，無疑已然成為我國立法與司法的選擇。從刑法的相關規定來看，現有的四種保護模式為個人數據的刑法保護奠定了一個基本的框架。在這個保護框架中，既涉及傳統罪名的更新適用，也涉及立法新設的罪名，彼此相互補充，試圖為不同適用場景下的個人數據提供相對全面的刑法保護。那么，此種刑法保護框架對于個人數據的刑法保護是否合適與足夠，是否能夠滿足大數據時代個人權利保障的需求，這是有必要進一步做探討的問題。
（一）三個觀察性發現的得出
    在個人數據的保護方面，對我國的刑事立法與司法現實進行考察，可以得出三個發現。
    其一，我國對于個人數據的法律定位，并未擺脫古典時代占有主義觀念的影響。
    洛克所主張的占有的個人主義（possessive individualism），在他的財產觀中有明白的體現。洛克沿襲了格勞秀斯的所屬（suum）概念，將財產建立在勞動之上；在其財產理論中，勞動的重要角色在于它是財產的獲得方式。我國法律與法學理論對于個人數據性質的通行理解，明顯受到這種以勞動理論為基礎的占有主義觀念的影響，將之作為所屬之物來理解與界定。這意味著，對于個人數據，盡管在法律上并沒有確認其作為財產的地位，卻是按類似于所屬財產的范疇來理解個人數據的性質的。這也是為什么當前我國的民事司法實務中，往往認為合法收集個人數據的企業，對相應的數據具有競爭性的財產權益，擅自使用其他企業合法收集的個人數據的行為構成不正當競爭，適用反不正當競爭法的相關規定。這樣一種通過勞動而占有相應成果的觀念，在1876年一位美國法官的判決中表達得相當清晰：“當一個人通過努力和花費收集材料，并將之轉化成對公眾有利的信息，這個人就對這些向全世界公開的材料施加了個人印記，因此可以對之享有財產權。”這位法官也正是據此認定，有關股票價格的市場信息在法律上具有財產的地位。
    其二，我國刑法對個人數據犯罪的規制，關注的重心放在非法獲取而不是濫用的行為之上。
    在前述占有主義觀念的影響之下，由于我國法律對個人數據的理解，本質上沒有擺脫以勞動為基礎的財產范疇的制約，故而，刑法中的相關罪名，除侵犯商業秘密罪之外，懲罰的都是破壞他人對個人數據的合法占有的行為。此類破壞行為中，刑法規制的重點又放在非法獲得或幫助獲得對個人數據的占有的行為之上。無論是歸入物權保護模式的盜竊罪與詐騙罪，還是歸入經濟秩序保護模式的竊取、收買、非法提供信用卡信息罪，抑或是屬于人格權保護模式的侵犯公民個人信息罪與侵犯通信自由罪，又或者是屬于公共秩序保護模式的非法獲取計算機信息系統數據罪，無不針對的是侵犯他人合法占有的行為。破壞計算機信息系統罪中涉及數據的行為類型，針對的是非法對數據和應用程序進行刪除、修改、增加的操作，仍屬于破壞他人對個人數據的合法占有。此類行為與前類行為的不同之處僅在于，它是通過對行為對象的毀損而破壞他人對個人數據的合法占有。即便是侵犯商業秘密罪，雖然將未經許可使用與允許他人使用商業秘密的行為也納入處罰的范圍，但其本質上關注的仍是由此而對權利人的占有權能帶來的破壞性影響，也即最終的財產損失。
    其三，我國刑法對涉及個人數據的犯罪的懲罰，偏向于對秩序利益的維護。
    個人數據雖產生于個人的活動，但我國刑法主要不是立足于數據主體的權益提供相應的保護，而是著眼于對經濟秩序與網絡空間中管理秩序的考量。除了在非法獲取或提供個人數據的場合，其他大量的對個人數據的侵犯行為，都并非因為侵犯數據主體的合法權益本身，而是因為其涉及對經濟秩序或網絡空間秩序的擾亂，從而被認為需要予以處罰。此外，只要在收集環節履行基本的告知義務并征得數據主體的同意，個人數據的控制者與處理者，但凡不違反國家規定出售或提供給第三方，其后所有環節的行為，包括如何保管、處理與使用相應的個人數據，只要不危及秩序利益，便不再受刑法的規制。這不僅意味著，在國家、數據控制與處理企業、數據主體的三方關系中，國家的秩序利益受到最為優先的保護，也意味著在控制處理者與數據主體之間，數據主體也處于弱勢的地位。歸結而言，我國刑法對個人數據的保護，呈現出秩序利益至上，產業發展利益次之，個體權利再次之的格局。法律框架中三方的地位，正好與他們各自在信息社會中的實際處境相對應。
（二）我國刑法保護框架的不足之處
   前述三個發現，也可謂是我國刑法保護框架的三個結構性特點。以此審視現有的四種保護模式，有助于洞察我國刑法保護框架所存在的不足之處。
    首先，當前的刑法保護框架對于數據濫用的行為缺乏必要的規制。數據的基本特點在于共享性，個人數據之上凝結著各種相互沖突的權益。與非法破壞他人對數據的占有相比，在數據流動化與商業化不可避免的背景下，對個人數據的濫用行為更需要包括刑法在內的法律進行規制。因而，非法獲取個人數據的行為固然值得處罰，濫用數據的行為同樣需要刑法來給予處罰。可以預見，后者將成為侵害數據權益的首要的不法行為類型。我國現行刑法卻根本沒有罪名來對付嚴重的數據濫用行為，由此而導致處罰上的重大漏洞。
    其次，當前的刑法保護框架雖也能運用相應罪名來處罰某些侵犯數據權益的行為，但這樣的處罰無法準確揭示相應行為的不法本質。對于盜取或騙取個人的游戲賬號、游戲幣或游戲裝備等虛擬財產的行為，我國司法實務中較多地運用非法獲取計算機信息系統數據罪來定罪處罰。然而，此類行為的不法本質在于被害人的經濟利益受到侵害，以公共秩序保護模式來進行保護，并未能準確揭示相應行為的不法本質，即不法獲利而使被害人受到經濟損失。這樣的問題不僅存在于侵犯個人虛擬財產的場合，也存在于對企業虛擬財產的刑法保護之中。從我國實務處理來看，利用技術手段侵入運營商的計算機系統，并生成虛擬財產予以出售的行為，往往也是按非法獲取計算機信息系統數據罪來處罰。實際上，對于運營商來說，其真正關心的根本不是網絡空間的秩序，而是企業由此而遭受的經濟損失。此外，在行為人非法獲取由企業所占有的個人數據時，該行為往往以旨在保護個人信息自決權的侵犯公民個人信息罪來進行處罰，而作為數據控制者與處理者的企業，明明在其中擁有至少同樣重要的利益，但相應的利益根本不為刑法所承認。對于報案的企業而言，更為關心的顯然是其自身對數據的控制權益受到侵害，而不是數據所涉個體的信息自決權的問題。
    再次，當前的刑法保護框架同時存在犯罪化不足與犯罪化過度的問題。一方面，在個人數據的保護上，犯罪化不足不僅體現在未將濫用行為納入刑法的處罰范圍，也表現在對于數據泄露的行為缺乏刑法層面的規制。這樣的犯罪化不足還表現在，對于個人生物數據與能顯示種族、宗教與政治觀點等敏感數據并沒有給予特別的保護�！皟筛摺痹�2017年的相關司法解釋中，只是對行蹤軌跡信息、通信內容、征信信息與財產信息這四類信息的定罪情節作了不同于一般個人信息的從嚴要求，卻沒有對生物數據等更為敏感的數據給予更高的刑法保護。另一方面，對個人數據的刑法保護又存在過度犯罪化的傾向。犯罪化過度主要表現為：一是利用旨在保護具有稀缺性與排他性的財物的傳統財產犯罪，來對付侵犯虛擬財產的行為。對侵犯個人的虛擬財產的行為，我國實務時常用盜竊罪與詐騙罪等罪名嚴加懲罰；對于內部職員利用職務便利侵犯運營商的虛擬財產的行為，則運用職務侵占罪來予以打擊。二是對于合法控制者與處理者而言，即便是在數據主體的合理預期范圍之內，出售或者向第三方提供個人數據的行為也可能被定罪。按現行刑法的規定，個人數據為合法的控制者與處理者所專有，任何讓數據流動或二次使用的行為都可能面臨刑事追究的風險。鑒于數據的價值很大部分體現在二級用途上，這樣的規定勢必不當妨礙數據的合理流動與商業化利用。
     最后，當前的刑法保護框架對數據主體的權益保障顯得不足。我國有論者批評以個人信息自決權為代表的個人信息自主控制，忽視了現實生活中個人信息的商業實踐與數據價值，存在過于強調個人利益而忽視社會公共利益，從而造成利益失衡的問題。27相應論者顯然沒有意識到，我國法律對于個人權益的保護，首要問題并非保護過度而是保護不足�，F實的狀況是，個人不僅經常是在不知情的情況下被收集眾多數據，而且在數據被收集后完全對之失去控制的權限與可能。與之相應，旨在保障個人信息自決權的侵犯公民個人信息罪，其對信息自決權的保護范圍相當之窄，基本上局限于數據收集環節的權利，當前的保護框架并沒有對數據主體在數據被收集之后的后續權利提供任何刑法上的保護。在這樣的背景下，一味強調對商業利益與其他社會公共利益的優先保護，勢必使得對個體權益保障不足的問題變得雪上加霜。如學者所指出的，被濫用的信息技術，一方面，使得少數社會主體從異化的信息社會結構中獲益，包括互聯網企業得到商業利潤與公權力機構得以提升支配能力；另一方面，在信息社會發生結構異化的情況下，較之企業、政府和特定人群，普通公民的權利，特別是言論自由與人格尊嚴等基本權利正受到嚴重侵害。
五、刑法保護框架的應然性方向
     大數據時代的到來，使得對個人數據的法律保護面臨重大的沖擊。無論是作為整體的法律體系還是作為部門法的刑法，都莫不如此。從前述對我國當前的刑法保護框架的反思性考察來看，由于存在一些固有的不足，該框架正面臨作出應然性調整的問題。刑法保護框架應當往什么方向努力，這個問題不能僅立足于刑法內部來考慮，而需要著眼于整個法律體系的走向。在數據科技不斷發展的今天，對于信息隱私的全面保護，需要突破傳統的部門法思維局限。互聯網環境下的數據處理流程及其相關利益，并非某個傳統的部門法能夠描述與涵蓋。不管個人信息保護是否構成獨立的法部門，對刑法保護框架的調整，都理應置于整體法體系的視野之中予以考慮。
（一）價值立場與法律的間接調控
    在我國，無論是實務界還是法學界，對于歐盟《通用數據條例》所主張的強勢保護個人數據權利的立場，多數觀點在作部分肯定的同時，往往以影響數字科技與經濟的發展為由而提出批評，認為中國不應盲目跟風追隨歐盟的權利主導立場。擔心強勢保護個人數據權利可能影響產業利益與經濟發展動力的擔憂可以理解，但本文并不贊同這種無視現實而過于追求效益的價值立場。
     就我國當前的情況而言，對個人數據的法律保護，絕非保護過度而是保護嚴重不足的問題。在此種情況下，擔心過度保護個人權利而影響數字經濟，就好比身處沙漠急需用水的旅行者，不去考慮缺水問題如何解決，反而一直表達對水災的擔憂。這樣的擔憂未免不合時宜。更何況，由于信息技術對信息社會具有奠基作用，濫用信息技術可能直接造成信息社會的結構異化，從而產生技術反噬效應的問題：對我國近年來四起網絡輿情事件的觀察表明，在信息過剩的背景下，被濫用的信息技術有的異化了信息優化的社會結構，導致“逆向淘汰”效應；有的異化了信息監控的社會結構，導致“全景敞視”效應；有的異化了信息傳播的社會結構，導致“加劇排除”效應；有的異化了信息交互的社會結構，導致“異議阻卻”效應，由此而嚴重侵害公民的基本權利。這并非杞人憂天，而已成為必須警惕的嚴重社會風險�；�于當前中國的現實，根本上在于對個人數據權利的保護過于微弱，故而借鑒歐盟的做法，倡導一種強勢保護個人數據的價值立場有其必要。至少可以說，權利主導的進路對于如何推進我國的個人數據保護具有重要的參考價值。在數據主體不斷被客體化的時代，如果國家不通過法律提供一個“以數據權利為基礎的安全環境”，數據主體將因缺乏控制數據的能力，而不可能獲得真正的數據自由；基于此，數據主體需要為數據權利而斗爭，斗爭也正是數據法律的生命。
    如果人類希望掌控自己所構建的技術系統，便需要為接近技術、理解技術與掌控技術探索出方向。就對技術的掌控而言，需要強調公民對公共議題的積極參與，以此推動構建一種將政府規制與行業自治相結合的治理機制。
    一方面，在一個“商業監視”（surveillance capitalism）的時代，我們因網絡搜索、通信、數字定位、購物和社交媒體活動而暴露的個人信息遠多于我們希望分享的，這賦予科技公司難以置信的權力。因而，采取放任的政策而單純借助市場化的自治機制，難以使科技公司受到應有的約束，更無法迫使其承擔起應有的社會責任。另一方面，社會系統的極度復雜性，使得想要準確把握其中的因果作用機制變得不可能，理性算計的方法與以此為基礎的治理機制都面臨分崩離析的處境。社會治理權力變得分散，國家被迫將部分治理權力讓渡給互聯網企業分享�？梢哉f，在信息社會，互聯網企業客觀上正在分享原本歸于政府的社會治理權力（包括準立法權、準行政權與準司法權），作為處于第一線的治理者，其利用代碼對網絡公共空間實行通過技術的社會治理。在代碼支配的網絡空間內，倘若國家接管一切，隨意介入本應自治的領域，治理中的失誤經過系統的作用被放大，極易造成不可容忍的失控狀態。
    這意味著，信息社會的治理需要實現規制與自治的功能互補。有必要倡導一種反思性的法發展范式，法律在尊重各功能領域的規范自我生產的同時，推進各領域進行反思性的自我控制，使得相應的規范生產機制合乎法治框架的要求。換言之，對于信息社會的治理，法律需要采取間接調控的方式，不宜直接介入對信息技術的計劃和控制。由此，法律的任務是按照法治原則為互聯網企業的治理權力劃出明確界限，通過提供組織規范、程序規范和賦權規范，促使它們優化治理結構、實現內部制約，有效防止它們濫用治理權力和逃避社會責任，協調它們相互之間的權力沖突；與此同時，政府的任務不應是控制互聯網企業和互聯網用戶的行為，而必須依據法律為互聯網企業設定治理目標、規定治理義務、施加治理責任，同時保障互聯網用戶的基本權利，支持利益各方在合理的程序框架和平等的組織框架下共同決策，形成公平的、負外部性最小的治理規則。
（二）刑法保護框架的觀念性轉變
    在確定法發展的基本范式之后，需要進而探討在個人數據的保護上，現有的刑法框架應當在觀念上實現什么樣的轉變的問題。只有在觀念上實現相應的轉變，才能為如何具體校正刑法對個人數據的保護模式提供有益的指引。
     首先，需要擺脫占有主義的所有權觀念的影響，避免對個人數據的法律性質下統一的定義；應當根據個人數據的具體類型及其在不同場景中所牽涉的權益，作出有針對性的界定。
    數據具有共享性，這使得它難以作為單純的私權物品予以保護。對于數據法律性質的界定，因此有必要擺脫大陸法系以占有為基礎的所有權觀念的影響，而從英美法對財產的權利性界定中汲取靈感。大陸法系的財產概念，以對有體物的絕對所有為基礎，強調實體物本身的歸屬，所有權體現的是個人與實體物的緊密結合；在英美財產法中，財產并非以個人占有實體物來衡量，而是以抽象的財產權利為基準來衡量，即財產主要表現為對物上某一權利的享有。這意味著，個人數據不應作為私人性或公共性的物品來理解，而有必要理解為權利束。正如財產的概念所經歷的發展那樣，不被認為是物質對象本身，而是個人在“物”之上享有的權利組合，即財產是由權利不是物構成。
    在確立個人數據是由權利束而非物所構成的前提下，就無需再討論它歸屬于誰的問題，由何者實際占有或控制也并非關鍵。重要的是，相應的主體對數據是否享有權利，享有何種性質的權利或利益。對此，有必要根據數據的類型及其在不同場景中所牽涉的權益的性質，來展開相應的構建。
    由于不同的數據類型對個人有著完全不同的意義，這意味著，不區分數據的類型而提供籠統的法律保護并不可取。個人數據中既包括基因、人臉與指紋這樣與個人生理密切相關的生物數據，也包括顯示種族與民族出身、政治觀點、宗教與哲學信仰等敏感信息，還包括個人征信、通信內容、行蹤軌跡與財產信息等與個人自由切實相關的信息，此外，也包括姓名與工作單位等公開程度很高的社交信息。按照數據的具體類型而為之提供不同程度的法律保護，這樣的思考方式具有合理性。我國有論者依據是涉及個人私密領域、人際交往領域還是社會公共領域，按照涉及人的尊嚴、人的自由還是社會價值，來對個人數據進行分類。盡管對數據如何劃分類型的標準可能存在爭論，但前述觀點在思路上給人較大的啟發。
    除考慮個人數據的特定類型之外，還有必要進一步考慮具體的適用場景。即便是相同的數據，在不同場景中也可能會涉及不同的權益，包括不同主體的權益與同一主體的不同性質的權益。就此而言，單一的界定路徑并不可取。正如我國學者指出的，無論是開放性的人格權還是以同意為核心的財產權，都難以為數據收集與處理提供較為合理的合法性邊界，因為二者都以形式主義的觀點來看待，都把個人數據保護視為脫離語境的一般性規則問題，而個人數據保護與流通其實是一個高度場景化或語境化的問題；基于此，借鑒歐盟《通用數據保護條例》與美國《消費者隱私權利法案》的做法，以語境化的消費者預期和風險規制的視角來看待數據隱私的保護較為合理，亦即，不是試圖抽象地界定某種權利的邊界，而是將權利還原到具體的語境與社群中，來判斷人們的預期與權利的邊界。
     其次，刑法保護框架有必要實現三個轉換：在價值取向上，實現從社會秩序導向到個體權益導向的轉換；在規制的重心上，實現從非法獲取數據的行為到濫用數據行為的轉換；在數據主體的權益內容上，實現由單一的消極防御權能到以二者并舉且以積極控制權能為主導的轉換。
    第一，在價值取向上，我國對個人數據犯罪的刑法規制偏重對秩序利益的維護，但這樣的做法并不可取，有必要實現從社會秩序導向到個體權益導向的轉變。即便基于對數據商業化流動的考慮，在法律上也應賦予數據主體充分的控制權限。對于嚴重侵犯數據主體控制權限的行為，可考慮運用刑法的手段來打擊。雖然本文并不認同萊斯格教授將信息隱私完全私有化而統一按財產制度來保護的意見，但是，他所主張的讓每個人能夠控制自己的信息的立場，本文深表贊同：讓我們控制個人信息使我們得到安寧的制度，就是與公共利益協調一致的制度，公共權力機關對此理應給予支持。在某種意義上，雖然個人數據是存儲在為互聯網企業所有的數據中心，但用戶才是電子郵件、照片、文檔與即時消息的主人，企業只是他人之物的管理者；作為管理者，在使用這些數據時顯然不應當只考慮自己的利益，而需要同時立足于服務這些數據的主人。不然，不僅有反客為主之嫌，還可能危及整個社會的民主與自由。
    第二，在規制的重心上，我國刑法主要關注的是對非法獲取數據行為的處罰，但數據流動中真正有危害的其實是對數據的非法濫用，所以，有必要實現從非法獲取數據的行為到濫用數據行為的轉變。在互聯網時代，連接最為重要，連接之后便是共享。共享型經濟的核心便在于使用，就個人數據而言尤其是如此。與傳統財物不同，對個人數據的使用與分享不會減損其本身的數量與價值，這與對思想的分享比較相似。“無論多少人分享這個思想，都不會減少它的數量，即，每個人都擁有它的全部。就像你用我的蠟燭點亮了你的屋子，你得到光亮的同時并沒有使我陷于黑暗�！睂τ谕ㄟ^數據來呈現的信息而言，用來區分擁有者和非擁有者的因素，與其說是占有（信息所有權）不如說是使用（信息訪問權）。
    所以，“政府針對海量數據市場的監管不應該是限制信息收集，而應該是限制來自一方的信息如何被對方使用，換句話說，政府監管應該關注數據使用限度，而不是數據收集。因此，使用數據來改善最優匹配可以得到鼓勵，但是利用數據來促進低效率的信息不平衡會被阻止”。這意味著，法律必須建立以保護合理使用為核心的規范體系，相應地，刑法規制的重點，也理應放在對數據的非法濫用行為的打擊上。按洛克的財產理論，財產的合理性對于財產的使用強加了明確的限制，如果財產的使用方式對其所致力于維護的真正社會繁榮帶來危險，便不能以這種方式來使用財產。就像對財產的使用會受到限制那樣，對于個人數據的使用，理應遵循類似的原理。刑法對個人數據的保護，旨在規制各類對數據的使用會給真正的社會繁榮帶來危險的行為。
    第三，在數據主體的權益內容上，單純注重事后防御無法為數據主體提供周全的保護，有必要實現由單一的消極防御權能到以二者并舉且以積極控制權能為主導的轉變。傳統的隱私權保護偏重于事后的消極防御，這種模式難以適應大數據時代的保護需要。由歐盟《通用數據保護條例》所代表的同時強調事前控制與事后防御且以事前控制為主導的模式，有助于防止與避免數據專權或獨裁現象的出現。《通用數據保護條例》中“自設計開始的個人數據保護”（data protection by design）可謂主動防護性的最好例證，它要求在設計產品和服務時便應充分考慮數據保護的要求；“自設計開始的個人數據保護”強調事前預防而非事后救濟、默認保護而非專門保護、設計內嵌的防護而非事后追加保護設計、全面防護而非局部保護、開放保護而非封閉保護、合作性保護而非對抗性保護。可以說，若是不賦予數據主體對于個人數據的積極控制權能，在政府、企業與個人的三方關系中，絕大多數的個人將難以扭轉自身在異化的信息社會結構中所處的絕對弱勢地位，也無法有效地避免因信息技術的濫用而可能遭受的各種侵害。
    再次，從方法論而言，對于個人數據之上所匯集的各種權益，采取單一的法權進路或是利益衡量進路均不可取。應當根據個人數據的類型來采取不同的進路，對普通的個人信息，可以采取利益衡量的進路；對敏感信息特別是生物數據，應當考慮采納法權進路。
    個人數據上匯集不同主體的不同權益訴求，因而，一種合理的刑法保護框架，必須考慮對不同權益之間的關系作出盡量合理的安排。對此，統一的法權進路或是利益衡量的進路，可能都存在一定的缺陷，難以在分享與控制之間達成必要的平衡。前者的缺陷在于，不分場合過于偏重對數據主體的權利的保障，這將嚴重妨礙數據的合理化流動，從而影響數據科技與經濟的發展。后者的缺陷在于一味強調對數據產業、商業經濟與公共秩序等公共利益的保護，嚴重威脅個體的自由，存在導致數據獨裁的危險。原則上，與個人生理或精神的關系越密切的個人數據，越應歸入人格權的范圍中予以保護，且不容許隨意為其他的利益考慮所超越；反之，與個人的人格尊嚴在關聯性上越是疏松的數據，越可以作為利益來對待，也越容許較多地考慮數據商業性流動的需要。究竟是作為權利還是單純的利益，是基本權利還是一般權利，是人身權利還是財產權利，相應的權益是否容許轉讓，是否可予商業化等等，無疑都與數據的類型存在關系。比如，相比于普通的個人數據，生物數據的商業化顯然原則上應予禁止，充其量限于在醫療這樣的特定場景中分享與使用。
    最后，從風險分配的合理化考慮，在個人數據的刑法保護中，應當適用主要由控制者與處理者來對相應風險及結果負責的歸責原理。
    為有效地預防不可欲的風險，防止集體的不負責任的現象的產生，當代刑法逐漸形成這樣一種歸責原理，即風險屬于誰的管轄范圍，誰便需要對風險及由此產生的結果來負責�！皩�創設風險的這種管轄，是基于這個原則：任何一個對事實發生進行支配的人，都必須對此答責，并擔保沒有人會因為該事實發生而遭到損害。支配的另一面就是答責。按照這一原則，任何人都必須安排好他自己的行為活動空間，從這個行為活動空間中不得輸出對他人的利益的任何危險�！边@樣的歸責原理，理應也適用于對個人數據的刑法保護。
    在個人數據的問題上，以同意機制為基礎的法律保護框架，顯然是將對個人數據的保護責任主要放在數據主體而非控制者與處理者之上，一旦數據主體表達同意，后續的風險及其結果便要由數據主體來承擔。問題在于，在數據的商業化流動中，商業性利益主要由收集、保管與使用數據的控制者與處理者所享有，包括泄露與濫用的相應風險本身也是由其所創設，但控制者與處理者竟然不是作為主要的風險承擔者。相反，數據主體被迫負責經同意之后的后續保管與流通環節中的風險及其現實化的后果。這樣的歸責方式既有失公平，也難以起到威懾與預防的效果，對數據控制者與處理者的合規缺乏必要的激勵。根據刑法歸責中的管轄原理，由個人數據收集、保管與使用而產生的風險，理應主要由控制者與處理者來承擔。這也是為什么舍恩伯格會認為，在大數據時代，“告知與許可”難以再起到好的作用，他因而倡導從個人許可到讓數據使用者承擔責任的轉換。后一種保護模式，將“更著重于數據使用者為其行為承擔責任，而不是將重心放在收集數據之初取得個人同意上。這樣一來，使用數據的公司就需要基于其將對個人所造成的影響，對涉及個人數據再利用的行為進行正規評測”。這意味著，對個人數據的法律保護，其重心應當在于強化控制者與處理者的合規義務。除數據收集的環節外，在數據保管與使用的環節，控制者與處理者也要遵守相應的注意規范與技術標準；若是其違反規范與標準，由此而引發的風險以及風險現實化造成的結果，理應由控制者與處理者來負責。
六、具體保護模式的規范性調整
    在厘清刑法保護框架應往什么方向努力的基礎上，有必要進而探討我國刑法現有的四種對個人數據的保護模式，應如何作出具體調整的問題。總的說來，我國刑法對個人數據的保護尚未形成周全的框架，無論在立法論還是解釋論上均存在調整的空間�；�本的調整原則應當是，根據不同的風險種類和行為所侵犯法益的不同性質，有針對性地采取不同的保護模式。
    個人數據的不同場景中，可能呈現的是不同的權利或利益的屬性。相對而言，涉及人身權利屬性的場景雖也存在爭論，但由于個人信息權的概念已廣泛為人所接受，相應的爭論往往只影響侵犯公民個人信息罪的構成要件解釋等具體問題。而對個人數據的財產或經濟的屬性，則存在認識相當不統一的問題，有必要先行交代本文對此的看法。
    數據無疑具有一定的財產或經濟的屬性，因為它凝結人的勞動，具有經濟價值與可交易性，但不能據此即認為它可歸入傳統的財物。傳統財物具有稀缺性，不僅不可再生，在占有與使用上也具有排他性，數據則完全缺乏這樣的特點。個人數據也區別于包括專利、商標與作品在內的智慧財產。知識產權保護的這類財產，雖也表現出共享性的一面，但其同時具有權利上的專屬性。個人數據顯然缺乏專屬的特性，難以納入知識產權的范疇來保護。個人數據可能在形式上與作品較為相似，但它并不具有成立版權保護所需的獨創性。版權制度本身是現代印刷技術的產物，傳統版權借助排他性的載體，而將原來具有非排他性的信息（作品）構建為稀缺的商品；隨著網絡與數據科技的發展，載體的充裕性使得作品的稀缺性與排他性遭到破壞，這使得版權制度在網絡時代面臨結構性的沖擊。因而，傳統的版權法根本不可能為個人數據提供合理而有效的保護。
    這意味著，就其財產或經濟屬性的面向而言，個人數據既不適合被納入到傳統財物的范疇，也不宜視為是知識產權所保護的無形財產。數據的價值在于它的使用，而不是占有本身；不同于物質性的東西，數據的價值不會隨著使用而減少，個人的使用不會妨礙其他人的使用，它也不會像其他物質產品一樣，隨著使用而有所耗損。個人數據是否有可能成為新的獨立的財產類型，尚難斷言。19世紀20世紀之交美國法院將市場信息視為財產的判斷，相應論證是建立在信息收集首先需要獲得激勵的基礎上，法官認為如果沒有對信息的某種形式的財產權保護，信息的生產將減少。然而，個人數據的收集不像市場信息的收集那樣，需要在制度上給予相應激勵。這使得被用于市場信息應視為財產的論證理由，難以適用于個人數據的收集之上�；�于此，否定數據的財產性，而采納累進數據共享授權的主張可能比較合理，這有助于打破對個人數據的市場集中化與壟斷化，防止出現集中控制的傾向。
    當然，財產并非那種具有真正本質的東西，它只是一項為實現多種目的而存在的人類制度，從財產概念的歷史進程來看，爭論的焦點從來就不是抽象的本質；財產從來都只是手段而非目的，財產觀念常常被塑造，以服務于特定的目的。個人數據在將來或許成為一種新的財產類型也未可知。但無論如何，虛擬財產不宜在一般意義上被認為構成財產犯罪中的財物。虛擬財產是電子數據通過代碼（應用程序）顯示的相關信息。就這類虛擬物而言，用戶只能在線使用而無法占有和控制，故用戶只對其享有使用權而并沒有所有權；虛擬物的使用和流動由于受到服務架構設計的嚴格限制與控制，無法任意改動，與物理世界中的財產不可同日而語，用戶實際上根本無法真正從互聯網公司那里獲得并擁有任何數字財產。
     因此，所謂的虛擬財產，既不是民法上的物，也不屬于民事權利；相應數據被侵犯，所帶來的最直接不利是用戶對原有賬戶的操作權限的喪失，故虛擬財產雖被冠以財產之名，實質上是用戶的賬戶操作權限，而信息工具系統中的賬戶操作權限不可能屬于什么特定的財產或財產權益。既然如此，虛擬財產便不應當也不可能作為傳統財物犯罪的行為對象。更何況，我國刑法對于知識產權根本沒有采取物權保護的模式，對于財產屬性較知識產權更為稀薄的個人數據，自然更不應依賴物權保護模式，運用傳統的財產犯罪來予以懲罰。當前我國主流的刑法理論認為虛擬財產可成為盜竊罪與詐騙罪等犯罪中的財物，這樣的觀點存在疑問。
    依據個人數據的具體類型與不同場景中所涉及的權益性質，由此來審視我國刑法中現有的四種保護模式，可以得出如下結論：
    （1）關于經濟秩序保護模式。盜取或以其他方法非法獲取虛擬財產的行為，以侵犯財產罪來處罰并不合適，實務中以非法獲取計算機信息系統數據罪來定罪也只是權宜之計，無法真實地呈現此類行為的不法本質。在未來的立法規劃中，應考慮放在《刑法》分則第三章破壞社會主義市場經濟秩序罪中加以規定。換言之，對于具有經濟利益屬性的個人數據，宜采取經濟利益保護模式，就像對知識產權的刑法保護一樣，放在刑法分則第三章中較為妥當；同時，對相應犯罪的法定型配置，理應比傳統財產犯罪要輕。至于企業對于個人數據的控制與處理方面的利益，是否適宜作為刑法上的保護法益，尚需進一步斟酌。就目前的情況來看，以反不正當競爭法來進行處理較為合理，刑法立法上沒有必要將之納入處罰的范圍。
    （2）關于物權保護模式。對于侵犯個人數據的犯罪，是否可適用物權保護模式，取決于個人數據指向的是否是物權意義上的財物。物權意義上的財物，由于在占有與使用上具有排他性，故相比于其他的財產類型，需要刑法提供更高程度的保護。傳統的財產犯罪只能用以保護物權意義上的財物。即便如詐騙罪那樣，其行為對象中包含債權這樣的財產性利益，債權的標的最終指向的也是物權意義上的財物。因而，如果作為行為對象的個人數據，如果最終指向的是物權意義上的財物，就可以采取物權保護模式，運用傳統的財產犯罪來追究相應的行為。比如，通過篡改銀行賬戶或支付寶賬戶中的財產信息，將他人的賬戶內的金額轉移到自己的賬戶，此類行為可按盜竊罪來定罪處罰。當然，如此地適用盜竊罪，可能對其構成要件的定型性造成重大沖擊，也使得其與詐騙罪之間的界分變得困難。理想的解決方式或許是，未來在立法上新增關于計算機詐騙的犯罪。
     （3）關于人格權保護模式。如果數據涉及個人信息，且具有可識別性，便可采取人格權的保護模式。從立法論層面而言，由于濫用數據的行為沒有規定在現行的刑法之中，故未來的立法中，應當考慮在此種模式下設立獨立的濫用個人數據類的犯罪。在設立相關的犯罪時，有必要考慮對不同的個人數據類型進行分類處理，對于人臉、指紋與基因等生物數據或其他敏感數據，顯然應當提供更高程度的刑法保護。就解釋論層面來說，鑒于隱私權的概念外延較窄，對于侵犯公民個人信息罪的保護法益宜采取內涵較為豐富的個人信息權的概念。同時，在該罪的司法適用中，就其行為對象即個人信息而言，需要根據個人數據的不同類型，對生物數據與敏感數據體現更高的保護力度，未來出臺司法解釋時對此應予以考慮；就其構成要件行為，即“提供”或“非法獲取”而言，在不違反罪刑法定原則的前提下，可以將一些濫用個人信息的行為也納入其中。至于侵犯通訊自由罪，對其保護法益與構成要件均有必要作適當的擴張性理解，以使該罪名在大數據的時代背景下仍能發揮重要的規制作用。
    （4）關于公共秩序保護模式。針對個人數據的行為，如果涉及嚴重妨礙網絡空間公共秩序的，可考慮采取公共秩序保護模式。從立法的角度來看，現有的非法獲取計算機信息系統數據罪與破壞計算機信息系統罪，大體上足以處理涉及網絡空間公共秩序的個人數據犯罪。對于非法獲取他人手機或個人電腦等信息系統中的個人數據，或者對相應數據實行刪除、修改、增加的操作的，應考慮按非法獲取公民個人信息罪來定罪。以侵犯公民個人信息罪來定罪，有助于準確揭示相關行為的不法本質。此外，侵入他人電子賬戶而盜取虛擬財產之類的行為，在立法尚未修改的情況下，作為權宜之計，相較于以盜竊罪等傳統財產犯罪來追究刑事責任，按非法獲取計算機信息系統數據罪來處罰要顯得合適一些。
七、結論
    1.在個人數據上匯集了多方主體的不同性質的權益，它不是作為一般的私權物品存在，也不宜視為公共用品。我國主流觀點傾向于從私權意義上來看待個人數據，并通過私法與公法的規定共同來提供保護。個人數據對數據主體的人身權利屬性已為我國法律所承認；在其他場景中，個人數據也可能具有財產或經濟屬性，或者可能涉及公共利益。
     2.歐盟的《通用數據保護條例》與我國主流立場存在較大差異。前者優先考慮保障數據主體對數據的控制權，我國則將經濟發展與網絡安全等公共利益放在首位。刑法中并非只有侵犯公民個人信息罪用來保護個人數據的安全；事實上，依據個人數據在不同場景中所涉及的權益性質，我國刑法對于個人數據的保護共有四種模式，分別是經濟秩序模式、人格權模式、物權模式與公共秩序模式。
    3.考察我國刑法對個人數據的保護框架，會得出三個發現：（1）對個人數據的法律定位并未擺脫占有主義觀念的影響；（2）對個人數據犯罪的規制，關注的重心放在非法獲取數據而不是濫用數據上；（3）對個人數據犯罪的懲罰，偏向于對秩序利益的維護。以此來審視刑法的四種保護模式，不足之處在于：（1）對于數據濫用的行為缺乏必要的規制；（2）利用現行罪名對某些行為進行的懲罰，無法準確地揭示相應行為的不法本質；（3）同時存在犯罪化不足與犯罪化過度的問題；（4）對數據主體權益的保障顯得不足。
    4.我國刑法對個人數據的保護框架，需要實現相應的調整：（1）避免對個人數據的法律性質下統一的定義，應根據其具體類型以及在不同場景中所牽涉的權益，作出有針對性的界定。（2）實現三個轉換，包括：在價值取向上，實現從社會秩序導向到個體權益導向的轉換；在規制的重心上，實現從非法獲取數據的行為到濫用數據行為的轉換；在數據主體的權益內容上，實現由單一的消極防御權能到以二者并舉且以積極控制權能為主導的轉換。（3）在方法論上，應根據個人數據的類型來采取不同進路，對普通的個人信息采取利益衡量進路，對敏感信息特別是生物數據考慮采納法權進路。（4）從風險分配的合理化考慮，應當適用主要由控制者與處理者來對相應風險及其結果負責的歸責原理。
    5.財產是作為財物的上位范疇而存在。個人數據雖具有財產或經濟屬性的面向，但不應歸入刑法中的財物，也不宜視為像知識產權那樣的智慧財產。虛擬財產不具備財物的特性，不應當也不可能作為傳統財物犯罪的行為對象。有必要從立法論與解釋論兩個層面，對我國刑法中四種保護模式作出具體的調整，以便為個人數據的相關權益提供有效而合理的刑法保護。