随着大数据、云计算、物联网、人工智能等新一代信息技术的迅猛发展与深度融合，数据已成为继土地、劳动力、资本、技术之后的第五大生产要素，不仅是数字经济运行的基础资源，更是催生新质生产力、重塑产业格局与社会治理模式的关键变量。伴随数据要素市场化进程不断加快，数据安全保护的现实短板也逐步凸显。非法获取、篡改、滥用、泄露数据等行为频发，其社会危害性远超传统计算机犯罪，对国家安全、经济秩序和公民权益构成严重威胁。反观我国现行刑法规范，无论在规范架构设计、基础概念界定还是核心保护重心上，难以对各类新型数据犯罪形成有效规制。具体而言，一是规范架构存在滞后性，仍依附于计算机信息系统安全的规制框架，罪名适用与犯罪认定过度聚焦系统入侵、技术窃取等行为，忽视数据在流动、整合、加工过程中衍生的安全风险。二是基础概念界定模糊，本体层面的认知分歧阻碍数据刑事保护体系的统一构建，理论与实务中普遍存在对“个人数据”与“个人信息”使用上的混淆，引发法律适用上的含混，削弱了规范的确定性与可预期性。三是过度侧重个人信息静态保护，忽视数据流通价值与非个人数据的安全诉求，导致非个人数据信息保护明显不足。

　　上述问题产生的根源在于立法的滞后未能适配数据要素的本质属性。数字经济时代，数据信息流通是数据信息赋能经济社会发展的重要保障，数据价值的实现，本质上依托合法、可控、规范的流转与利用。若单纯秉持静态化权利保护理念，片面限制数据流转，易束缚数据要素价值释放，制约数字产业创新发展。为解决上述问题，有必要从厘清“数据信息”概念入手，确立数据信息安全管理秩序法益，推进侵犯数据信息安全行为的类型化规制，构建体系完整、逻辑自洽、适配实际的数据安全刑事保护体系。

　　“数据信息”的核心内涵界定

　　实践中，“数据”与“信息”两个基础概念的关系未获澄清，是数据犯罪认定困境的最大症结。从本质而言，数据是信息的载体。在刑法语境下，数据应限缩解释为电子化载体，这既符合语用惯例，也与刑事诉讼法中“电子数据”的证据分类相衔接，更能回应电子化数据高风险、低门槛、广辐射的保护需求。据此，依照承载内容的差异，可将数据划分为两大类型：一类是承载具体内容的信息类数据，另一类是仅具备运行功能、无实质内容的功能性数据。其中，承载特定内容的电子化数据，可定义为“数据信息”，也是数据犯罪中信息法益侵害类罪名的核心规制对象。数据与信息互为形式与内容，二者在刑法规范评价中不可被割裂。

　　在此基础上，数据信息构成数据犯罪与信息犯罪的交叉共通对象，既是承载实质信息的特殊数据类型，也是依托电子载体呈现的现代化信息形态。数据犯罪的规制边界，应限定于具备经济价值、利用价值的数据信息；而信息犯罪的覆盖范围更为宽泛，其中以电子形式存储、传输的信息，与数据信息具有同一性。与传统信息犯罪侧重保护信息保密性不同，数据信息安全保护具有双重面向，既包括保护信息保密性，也包括保障数据信息的合法利用秩序。质言之，承载信息内容的电子数据，与其所载的实质信息不存在规范评价上的分离空间。二者并非本体层面的完全等同，而是刑事评价层面的一致，司法认定中需摒弃形式与内容的拆分判断模式，将数据信息作为完整、统一的评价客体。

　　确立数据信息安全管理秩序

　　新型法益

　　概念澄清为法益重构奠定了基础，破解数据安全刑法规制困境的核心在于突破传统立法局限，确立“数据信息安全管理秩序”这一新型秩序法益。我国传统数据犯罪罪名体系，以计算机信息系统运行安全为核心保护法益，高度依赖硬件系统与技术操作行为。但随着数据脱离单一系统实现跨场景、跨主体自由流通，该模式的局限性日益凸显：构成要件的技术依附性，使得非技术手段的数据滥用、违规处置等行为脱离刑法规制；系统中心主义的法益定位，导致无功能性价值的产业数据、公共数据陷入保护空白；单一的行为评价视角，仅规制数据获取、破坏等前端行为，无法覆盖后续滥用、扩散等次生危害。

　　相较于传统法益，确立数据信息安全管理秩序法益，具有显著优越性。在保护范围上，能够突破传统法益的狭隘限定，将数据全生命周期的秩序破坏行为纳入评价；在保护维度上，能够实现从静态权益保护到动态流通秩序保障的提升，契合数据价值实现的核心需求；在体系融贯性上，能够提供统一的法益判断框架，有助于明晰裁判标准。该法益并非抽象的理论概念，而是依托前置性法律法规、行业监管规则与技术标准共同构建的法定秩序，核心由合法性、可控性、可问责性三大要素构成。其中，合法性是基础前提，要求一切数据处理行为严格遵循前置行政法与专门性数据立法；可控性是核心要求，强调数据流转全程可监管、可管控，保障要素配置秩序稳定；可问责性是兜底保障，明确数据安全危害后果可追溯、责任主体可界定，同时以刑法谦抑性为底线，合理划定入罪标准，避免刑法过度介入行业治理、沦为单纯维护行政管理秩序的工具。

　　侵犯数据信息安全行为的

　　类型化规制

　　刑法保护数据信息安全管理秩序的最终目的并非限制数据信息流动，而是通过明确违法行为边界，为合法流通提供稳定的制度预期。对侵犯数据信息安全行为进行类型化规制，能够明确入罪边界、精准施策，为数据合法流通保留空间。

　　第一，对于不承载信息内容的功能性数据，其侵害行为直接指向计算机信息系统安全，可直接适用非法侵入计算机信息系统罪、破坏计算机信息系统罪等传统罪名。

　　第二，对于承载具体信息内容的数据信息，需要结合权利属性差异化适用罪名。对具有可识别性的个人数据信息，优先适用侵犯公民个人信息罪，明确以“可识别性”为核心界定要素，经脱敏处理无法识别特定个人的数据流转不构成本罪；对承载商业秘密、国家秘密等传统权益客体的数据信息，因其法益属性未发生根本改变，应继续适用侵犯商业秘密罪、故意泄露国家秘密罪等传统罪名；对不承载传统权益客体的非个人数据信息，则应区分侵犯保密性与破坏管理秩序两种情形，分别适用相应罪名或后续新增罪名。

　　第三，鉴于现有罪名体系在数据信息利用环节存在规制空白，在穷尽解释路径仍无法使此类违法行为为现行刑法规范所涵摄时，增设新罪名具有理论和实践上的必要性。如增设“滥用数据信息罪”，在主观方面限定为故意，客观方面界定为超越授权范围或违背用途限制的数据信息处理行为，结果要件上设定“造成数据信息管理秩序严重混乱或重大风险”的入罪门槛，以守住刑法介入的必要性与谦抑性。

　　应当强调，滥用数据信息罪的增设并非意图取代既有罪名，而是为了填补现行规范在数据信息利用环节的空白地带。在界分上，该罪与非法获取计算机信息系统数据罪的区别在于行为阶段不同：后者着眼于防止数据信息脱离权利人的控制而被他人非法知悉或占有，前者则着眼于维护数据信息在利用过程中的规范性与可控性。该罪与侵犯公民个人信息罪的适用界限，源于核心法益的差异，需根据具体情形分别处理：当行为人滥用合法获取的个人信息，主要违反数据信息使用的目的、范围等管理规则，但尚未达到“情节严重”的程度时，应优先考虑适用滥用数据信息罪；当滥用行为同时导致大量个人信息被非法泄露或用于诈骗等违法犯罪活动，严重侵害信息主体的具体人格权益与人身财产安全时，则可能同时触犯两罪，构成想象竞合，择一重罪处断；当行为对象为不具有人身识别性的数据信息时，因其不属于公民个人信息的范畴，侵犯公民个人信息罪无法适用，应单独适用滥用数据信息罪。

　　总之，数字经济的高质量发展，有赖于安全、有序、可信的数据流通生态。构建与完善数据安全的刑法规制体系，一方面，须廓清核心概念之边界、确立科学合理的法益基础；另一方面，应借助类型化的规制路径与罪名体系的精细化完善，切实达成安全保障与创新发展之间的动态平衡，既筑牢数字经济的法治根基，又为数据的合法流通与深度开发利用预留充分的制度弹性空间。

　　（作者系中国人民大学书报资料中心副编审）