按照《數據安(ān)全法》數據分(fēn)類分(fēn)級的保護要求和《刑法》的法益保護機能(néng),重要數據具(jù)有(yǒu)刑法單獨保護的必要。《數據安(ān)全法》第52條中(zhōng)有(yǒu)“違反本法規定……構成犯罪的,依法追究刑事責任”的表述,故刑法應當做出合理(lǐ)應對。但是,當前刑法并無針對性罪名(míng)有(yǒu)效保護重要數據,因此當刑法無法再在解釋層面尋求突破的情況下則應當提供新(xīn)的規範供給。基于行政犯罪行為(wèi)行政、刑法責任的二元制裁體(tǐ)系,采取秩序化的保護模式才能(néng)更有(yǒu)效地保護重要數據;在結合《數據安(ān)全法》的立法目的和重要數據本質(zhì)特征的基礎上,應當确定法益内容是以“保障重要數據真實性和安(ān)全性為(wèi)義務(wù)内容”的數據安(ān)全管理(lǐ)秩序;為(wèi)進一步加強對重要數據的刑法保護,建議增設拒不履行重要數據安(ān)全保護義務(wù)罪,以針對性地追究重要數據處理(lǐ)者不履行安(ān)全保護義務(wù)的刑事責任。
數據分(fēn)類分(fēn)級保護是《數據安(ān)全法》的核心制度,也為(wèi)刑法學(xué)的介入研究提供了邏輯基礎。當前《刑法》中(zhōng)涉及數據的相關罪名(míng),主要是第285條非法侵入計算機信息系統罪和第286條破壞計算機信息系統罪。然而,這兩個罪名(míng)及相關司法解釋都是以“計算機系統”為(wèi)核心的規定,相較于數字經濟的時代背景,其立法思路難免老舊,構成要件的範圍也沒有(yǒu)體(tǐ)現專門性的數據安(ān)全保護的作(zuò)為(wèi)義務(wù)。而且從網絡技(jì )術邏輯而言,“計算機信息系統安(ān)全”法益也難以精(jīng)準描述數據犯罪的法益侵害。除了這兩個罪名(míng)之外,在解釋論層面也無法進一步将拒不履行信息網絡安(ān)全管理(lǐ)義務(wù)罪的行為(wèi)對象涵攝為(wèi)重要數據。基于法益對犯罪類型的區(qū)分(fēn)機能(néng),重要數據安(ān)全保護和信息網絡安(ān)全法益之間也存在根本性抵牾,難以在适用(yòng)邏輯上自洽。所以,數據的内涵不同于信息網絡,以往的信息類犯罪已無法再擴大解釋為(wèi)數據類犯罪,而有(yǒu)必要類型化為(wèi)新(xīn)的法益進行保護。本文(wén)重點聚焦行政法與刑法之銜接問題。關注《數據安(ān)全法》《網絡數據安(ān)全管理(lǐ)條例》(征求意見稿)、《中(zhōng)共中(zhōng)央國(guó)務(wù)院關于構建數據基礎制度更好發揮數據要素作(zuò)用(yòng)的意見》(以下簡稱“數據二十條”)以及相關政策和立法,對具(jù)體(tǐ)條文(wén)中(zhōng)數據處理(lǐ)者的法律責任進行了體(tǐ)系化思考。在論證數據分(fēn)類分(fēn)級保護制度背景下刑法介入保護重要數據正當性的基礎上,認為(wèi)重要數據的刑法保護不應采取财産(chǎn)權益保護的路徑,而應當通過秩序化的保護模式。最後,從立法論的角度建議增設拒不履行重要數據安(ān)全保護義務(wù)罪,規制有(yǒu)能(néng)力而拒不履行重要數據安(ān)全保護義務(wù)的行為(wèi),以期有(yǒu)助于推動數據處理(lǐ)者刑事責任的研究。一、重要數據的安(ān)全保護:從分(fēn)類分(fēn)級到刑法介入數字經濟時代數據的安(ān)全治理(lǐ)符合社會發展和治理(lǐ)的現實需求,這也是我國(guó)很(hěn)多(duō)學(xué)者提倡和堅持未來刑法立法應進一步犯罪化規制的動因所在。當然,這種考慮往往是以刑法的嚴厲性和高效性為(wèi)思考基礎的。應該說,以安(ān)全作(zuò)為(wèi)刑法的首要價值的安(ān)全刑法具(jù)有(yǒu)順應時代發展現實的意蘊,對于及時維護社會的穩定與安(ān)甯具(jù)有(yǒu)規範意義,但是安(ān)全刑法對傳統刑法的沖擊及其存在的一些弊端也是值得反思的。根據刑法的謙抑主義精(jīng)神,展開對數據安(ān)全治理(lǐ)這一問題的研究和分(fēn)析時,必須把握數據分(fēn)類分(fēn)級的本質(zhì)内涵。所以,應當首要探讨刑法對重要數據介入保護的邏輯基礎以及保護必要性等問題。數據分(fēn)類分(fēn)級是整體(tǐ)數據安(ān)全治理(lǐ)的基本前提
為(wèi)揭示我國(guó)數據分(fēn)類分(fēn)級相關研究趨勢,本文(wén)以中(zhōng)國(guó)知網作(zuò)為(wèi)數據來源,以“數據分(fēn)類分(fēn)級”作(zuò)為(wèi)主題詞進行檢索,将統計時間設置為(wèi)2000年1月-2023年2月,在剔除重複或者不符合主題的文(wén)獻後,共獲取421篇研究文(wén)獻。其中(zhōng),科(kē)技(jì )類219篇,社科(kē)類202篇。自然科(kē)學(xué)類論文(wén)和人文(wén)社會科(kē)學(xué)類論文(wén)表現為(wèi)并駕齊驅的研究态勢。在2019年後,研究進入了火熱期,無論是從論文(wén)發表的時間密度還是研究主題上都呈現出對數據分(fēn)類分(fēn)級研究的廣度和深度。經過對文(wén)獻大量的梳理(lǐ)和總結,可(kě)以得出數據分(fēn)類分(fēn)級直接目的在于對數據管理(lǐ),深層次目的在于對數據的利用(yòng)和流通的結論。“分(fēn)類分(fēn)級”并非一個全新(xīn)的概念,按照對事物(wù)規制整理(lǐ)的普遍邏輯,“分(fēn)類分(fēn)級”是一種提高管理(lǐ)效率的思維模式或者行為(wèi)模式。2021年6月10日《數據安(ān)全法》正式頒布,分(fēn)類分(fēn)級原則作(zuò)為(wèi)《數據安(ān)全法》确立的一項基本原則,也為(wèi)數據安(ān)全提供了法律制度層面的依據。誠然,數據的生命周期包括數據采集、數據傳輸、數據儲存、數據處理(lǐ)、數據交換、數據銷毀六個階段。其中(zhōng),數據采集是最重要的環節,也是其他(tā)階段具(jù)有(yǒu)意義的前提。過去,數據收集單一,覆蓋面受限較大,所以整體(tǐ)上呈現出一種分(fēn)散的、淩亂的、不連續的狀态。這導緻在實踐層面的操作(zuò)問題突出。所以,從整體(tǐ)來看數據分(fēn)類分(fēn)級是數據采集安(ān)全過程域的第一個基本實踐,是數據生命周期安(ān)全管理(lǐ)的第一步,也是數據全生命周期保護和數據處理(lǐ)環境風險防控的基礎。因此有(yǒu)學(xué)者指出,“數據分(fēn)類分(fēn)級是開展數據安(ān)全治理(lǐ)的起始點”。隻有(yǒu)經由數據分(fēn)類分(fēn)級确定了數據類别與級别的數據在其生命周期中(zhōng)的各個環節才具(jù)備落實安(ān)全控制措施的可(kě)能(néng)。總之,加強數據安(ān)全保護,一個關鍵的前提條件就是對數據進行分(fēn)類分(fēn)級,在此基礎上才能(néng)采取相應的保護措施。需要注意的是,數據分(fēn)類分(fēn)級原則上需要借助工(gōng)業技(jì )術上的識别和分(fēn)類,法學(xué)研究應當在充分(fēn)尊重客觀的技(jì )術分(fēn)類和分(fēn)類标準的基礎上發揮作(zuò)用(yòng)。但是,這并不是說法學(xué)研究完全依附于自然科(kē)學(xué)而失去自身的價值與獨立性。面向現實社會,單純從技(jì )術邏輯上進行分(fēn)類分(fēn)級也可(kě)能(néng)無法考慮到實際影響,錯誤的分(fēn)類分(fēn)級标準同樣會造成嚴重後果。因此,數據分(fēn)類分(fēn)級需要在相關技(jì )術研究人員和人文(wén)社會科(kē)學(xué)學(xué)者的共同努力下再進一步明确。通過數據的收集、整理(lǐ)、分(fēn)析、運用(yòng)來把握、解讀真實的法律實踐,從而為(wèi)法律的修改提供政策建議或依據。申言之,面對新(xīn)名(míng)詞、新(xīn)技(jì )術不斷湧現的當下,跨學(xué)科(kē)、學(xué)科(kē)交叉、交叉學(xué)科(kē)過程之中(zhōng)的研究内容和範圍無疑正在變得愈發複雜,憑借傳統、單一學(xué)科(kē)早已無法概括。因此,在數據分(fēn)類分(fēn)級的認定上,更需要融合自然科(kē)學(xué)與人文(wén)社會科(kē)學(xué)的功能(néng)和優勢,更好地把握數據的屬性和級别。否則,制度的構建和理(lǐ)論的研究都無異于空中(zhōng)樓閣,失去了根基。數據分(fēn)類分(fēn)級制度是刑法介入規制數據犯罪的邏輯基礎
“重要數據”這一概念最早來自2017年的《網絡安(ān)全法》,但是當時并未正式定義。同年,《信息安(ān)全技(jì )術數據出境安(ān)全評估指南》(草(cǎo)案)附錄“重要數據識别指南”按照行業劃分(fēn)28個大類重要數據,但是該草(cǎo)案最終也并未生效。2019年《數據安(ān)全管理(lǐ)辦(bàn)法》(征求意見稿)明确了“重要數據”的概念及具(jù)體(tǐ)安(ān)全保護工(gōng)作(zuò)。2020年《網絡安(ān)全審查辦(bàn)法》(征求意見稿)規定網絡安(ān)全審查重點評估内容包括重要數據。之後,2021年《數據安(ān)全法》提出對數據分(fēn)類分(fēn)級,提出制定重要數據目錄。2021年《重要數據識别指南》(征求意見稿)确定了重要數據的識别原則和識别流程。同年的《網絡安(ān)全管理(lǐ)條例》(征求意見稿)對“重要數據”正式定義,即“指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用(yòng),可(kě)能(néng)危害國(guó)家安(ān)全、公(gōng)共利益的數據”。現實中(zhōng),數據面臨的安(ān)全風險已經凸顯,數據違規收集、數據洩露、數據丢失、數據濫用(yòng)等安(ān)全事件層出不窮。而且在很(hěn)多(duō)情況下,掌握在企業手中(zhōng)的數據對國(guó)家、社會、個人的價值,要比對企業來說價值更高。或者說,一旦出現安(ān)全事件,對國(guó)家、社會、個人造成的危害可(kě)能(néng)比對企業的危害更大。
置身于風險社會,防範和化解重大風險成為(wèi)重要的時代課題,刑法是否應當介入,可(kě)能(néng)會成為(wèi)積極預防性刑法觀和消極性刑法觀之間所争論不休的問題。在本文(wén)看來,風險社會孕育出的“風險刑法理(lǐ)論”中(zhōng)所指的是一種慌亂不安(ān)的狀态,雖然無法指出某種具(jù)體(tǐ)的災難,但重點在于強調控制這種災難的能(néng)力。然而,進入數字經濟發展時代數據風險卻現實存在,日益嚴峻的數據犯罪态勢給數據法律秩序和數字社會治理(lǐ)帶來重大挑戰。數據所帶來的安(ān)全問題不僅影響企業的生存,也對社會和公(gōng)民(mín)個人信息安(ān)全造成了潛在危機。一方面,很(hěn)多(duō)行業的業務(wù)即為(wèi)數據,試想如果多(duō)租戶隔離失敗,數據發生洩露、篡改或不可(kě)用(yòng),會對該行業造成巨大的沖擊和損失。另一方面,面對爆炸式增長(cháng)的海量數據,與數據安(ān)全、數據權益相關的争議與案件頻發,亟需加速推動數據安(ān)全治理(lǐ)的理(lǐ)論研究。結合數據分(fēn)類分(fēn)級保護背景和刑法的謙抑主義精(jīng)神,無需動用(yòng)刑法對所有(yǒu)的一般數據進行全流程保護,但由于重要數據覆蓋範圍廣泛、數據結構多(duō)樣、關聯關系複雜、涉及大量個人隐私數據、涉及社會和國(guó)家利益等特點,無疑需要刑法介入保護。對此,有(yǒu)學(xué)者指出,在刑法視角下數據分(fēn)類分(fēn)級将成為(wèi)犯罪形态的區(qū)分(fēn)基準,應根據數據安(ān)全法益性質(zhì)及其所受侵害,對數據犯罪進行罪質(zhì)界定和罪量評價。顯然,重要數據的安(ān)全已經是由刑法該不該介入轉換為(wèi)刑法究竟該如何保護的問題了。2.數據分(fēn)類分(fēn)級為(wèi)數據犯罪提供了規制路徑
數據分(fēn)類分(fēn)級作(zuò)為(wèi)保障網絡環境下數據安(ān)全的重要方法,因符合不同類型和級别的數據屬性對應着不同層級的安(ān)全防護需求這一客觀要求,得到了國(guó)家的高度重視。
從《刑法》規範視角而言,數據分(fēn)類注重法益保護對象,數據分(fēn)級更為(wèi)注重數據重要程度。有(yǒu)學(xué)者指出,對于數據而言不同形态的數據法益保護需求亦有(yǒu)所差别,應根據法益内容與屬性采取類型化保護思路。本文(wén)較為(wèi)支持這一觀點。面對重要程度、數據質(zhì)量不同等未經篩選的數據若用(yòng)“整齊劃一”的嚴格标準要求去保護所有(yǒu)數據,會導緻另一個極端,即風險管控和數據流通之間的不适配。也即,如果對于普通數據采取過于嚴苛的方式進行保護不利于數據開發利用(yòng)和開放共享的發展方向。而如果對于重要數據的保護過于寬松和疏忽又(yòu)會導緻數據洩漏,影響到多(duō)數人或者個人的權益問題。倘若采用(yòng)統一寬松的數據保護政策,公(gōng)民(mín)個人隐私無處安(ān)放,甚至可(kě)能(néng)危及社會穩定和國(guó)家安(ān)全。法是一種“強制秩序”,對違反法或者侵害法秩序的行為(wèi),應當附加某種制裁,這種制裁是法秩序得以維持的重要保障。而這種“強制秩序”,也隻能(néng)由刑法發揮其獨有(yǒu)的社會機能(néng)來實現,從而使得數據分(fēn)類分(fēn)級構成了刑事司法領域數據安(ān)全保護的基本前提。二、重要數據處理(lǐ)者怠于履行安(ān)全保護義務(wù)而被追究刑事責任的前置法依據:《數據安(ān)全法》第52條行政法的目的性價值在于保護公(gōng)民(mín)權利和維護公(gōng)共利益。《數據安(ān)全法》第1條明确指出:“為(wèi)了規範數據處理(lǐ)活動,保障數據安(ān)全,促進數據開發利用(yòng),保護個人、組織的合法權益,維護國(guó)家主權、安(ān)全和發展利益,制定本法。”在廣義刑法層面來看,經濟法、民(mín)事法、行政法當中(zhōng)如若規定“構成犯罪的,依法追究刑事責任”的條文(wén)則是附屬刑法規範。但由于我國(guó)并非出現過如同國(guó)外刑法那樣直接設立罪名(míng)與法定刑,所以我國(guó)并不存在真正意義上的附屬刑法。因此,當行政法不能(néng)順利實現行政管理(lǐ)目的、不能(néng)有(yǒu)效地抑止某種危害行為(wèi)時,就需要發動刑法。《數據安(ān)全法》第52條規定:“違反本法規定,給他(tā)人造成損害的,依法承擔民(mín)事責任。違反本法規定,構成違反治安(ān)管理(lǐ)行為(wèi)的,依法給予治安(ān)管理(lǐ)處罰;構成犯罪的,依法追究刑事責任。”從刑法學(xué)的規範視角來看,該條文(wén)中(zhōng)的“違反本法規定,構成犯罪的,依法追究刑事責任”的規定搭建了數據處理(lǐ)者違法犯罪行為(wèi)行刑銜接的橋梁。面對數據犯罪進一步分(fēn)析二元制裁論體(tǐ)系下行政犯的雙重違法性的内容,這對于數據犯罪刑事立法、構成要件要素的設置具(jù)有(yǒu)重要意義。因此,如何準确界定行政不法向刑事不法轉換的條件以及區(qū)分(fēn)違法行為(wèi)和犯罪行為(wèi),需要進一步展開讨論。從行政違法到刑事犯罪:二元制裁體(tǐ)系下重要數據處理(lǐ)者的行為(wèi)内涵與區(qū)分(fēn)标準1.重要數據處理(lǐ)者行政犯罪行為(wèi)的雙重違法性
根據理(lǐ)論界的界定,行政犯也稱法定犯,是指違反行政法規,侵害刑法保護的法益,情節嚴重的行為(wèi)。法定犯具(jù)有(yǒu)行政和刑事的雙重違法性。本質(zhì)上來講,數據犯罪的行政犯,是指數據處理(lǐ)者因違反國(guó)家保護數據安(ān)全的行政目的、侵犯行政秩序而被刑法規定為(wèi)犯罪處罰的行為(wèi)。
而行政犯罪行為(wèi)的雙重違法性決定了其法律責任即行政刑法責任的雙重性,既要追究其行政法律責任,也要追究其刑事法律責任。由于不同部門法之間因法律屬性、制裁機關、處罰方式均存在差異,決定了行政執法與刑事司法銜接的必然性和必要性。因此,刑法與前置性法律的銜接尤為(wèi)重要。1997年刑法設置了非法侵入計算機信息系統罪和破壞計算機信息系統罪兩個罪名(míng),但因其以計算能(néng)力為(wèi)主要視角、兼有(yǒu)物(wù)理(lǐ)設備隐形視角、不徹底數據視角的混合模式,數據犯罪及其保護法益的獨立地位并不顯見。而且,這種刑法先行的保護思路難以适應數據前置性立法,不符合法定法的雙重違法性理(lǐ)念。數據處理(lǐ)者拒不履行《數據安(ān)全法》所規定的保護義務(wù),并不是行政違法到刑事犯罪的必然邏輯。實踐中(zhōng),行政犯罪的認定需要引用(yòng)對應的前置行政規範,但并不意味着違反了前置法規範的行為(wèi)就一定構成犯罪。有(yǒu)學(xué)者指出,刑法既非前置法的絕對從屬法,又(yòu)非完全獨立于前置法的法律部門,而是相對獨立于前置法的最終保障法。的确,《數據安(ān)全法》以數據安(ān)全法益保護為(wèi)核心,在前置性法律法規中(zhōng)居于基本法地位,前置法的認定須堅持刑事違法性判斷的相對獨立性。也有(yǒu)學(xué)者認為(wèi)前置性行政法在刑法規範與行業規範之間,發揮着承上啓下、銜接協調的“過濾”作(zuò)用(yòng)。所以應該認為(wèi),并不是所有(yǒu)違反《數據安(ān)全法》及相關法律的行為(wèi),都屬于數據犯罪的規制範圍,而是需經過行政違法到犯罪的實質(zhì)過濾後,刑法對數據犯罪的介入才是科(kē)學(xué)的。2.重要數據處理(lǐ)者行政違法行為(wèi)與刑事犯罪行為(wèi)的區(qū)分(fēn)标準
就理(lǐ)論邏輯而言,數據安(ān)全行政違法責任與刑事責任之間緊密相連,當數據安(ān)全不法行為(wèi)達到一定的社會危害性程度并觸犯刑律時,行政不法行為(wèi)就會轉換為(wèi)刑事不法行為(wèi)。我國(guó)秉持一般違法與犯罪的性質(zhì)區(qū)分(fēn),不同于域外“大刑法”模式,采用(yòng)的是二元制裁體(tǐ)系與圓筒型刑事司法運行體(tǐ)制。由此形成西方“嚴而不厲”的刑法結構、我國(guó)“厲而不嚴”的刑法結構。但是基于這樣的立法模式,很(hěn)容易凸顯刑法滞後性的弊端。所以,面對複雜多(duō)變的社會發展形勢,相當多(duō)的領域開始布局和立法。因此,對于為(wèi)了保持權威性和穩定性的刑法而言,部分(fēn)罪名(míng)的設置和構成要件陳舊是能(néng)夠理(lǐ)解的。但是,随着數據内涵的愈發豐富,國(guó)家對其的安(ān)全管理(lǐ)逐漸精(jīng)細化和标準化,在刑法構成要件當中(zhōng)體(tǐ)現《數據安(ān)全法》的立法目的和相關制度也同樣是法秩序統一性原理(lǐ)的基本要求。
立法者之所以将一項行為(wèi)規定為(wèi)犯罪,是因為(wèi)它具(jù)有(yǒu)社會危害性,因而社會危害性是犯罪的本質(zhì)特征。對于數據處理(lǐ)主體(tǐ)違反《數據安(ān)全法》規定的數據安(ān)全保護制度、安(ān)全保護義務(wù)的行為(wèi),是否應當被作(zuò)為(wèi)犯罪行為(wèi)來對待,還必須遵循我國(guó)《刑法》第13條規定的犯罪概念以及由此确立的法定犯罪構成體(tǐ)系。行政違法和刑事犯罪該如何區(qū)分(fēn),刑法學(xué)界已經形成“量的區(qū)别說”“質(zhì)的差異論”“質(zhì)量混合區(qū)别說”等不同學(xué)說主張。“量的區(qū)别說”注重行為(wèi)輕重程度上的量的不同,刑事不法與行政不法相比隻是在社會危害性上有(yǒu)所差異。“質(zhì)的差異論”則認為(wèi),行政不法與刑事不法的區(qū)分(fēn)在于兩者本質(zhì)上不屬于同一種類的不法行為(wèi)。犯罪行為(wèi)與違反秩序的行政不法行為(wèi)之間存在着實質(zhì)性的區(qū)别。“犯罪性的不法是特别受道德(dé)上的無價值評價決定的,行政性的不法則僅限于一種單純的不服從行政命令。”可(kě)見,質(zhì)的區(qū)别論目的在于維護刑法的純潔性和獨立性。應當承認,量的差異論或者質(zhì)的差異論各執一端,都有(yǒu)一定的合理(lǐ)性,但亦各自存在局限性。但本文(wén)認為(wèi),将重要數據處理(lǐ)者的不法行為(wèi)納入刑法的視野,應該是數據處理(lǐ)者侵犯了獨立的刑法法益造成的。盡管“量的區(qū)别”具(jù)有(yǒu)重要的區(qū)分(fēn)意義,但在數據犯罪行刑銜接的問題上,不是“從量變到質(zhì)變”必然邏輯,而是因為(wèi)該行為(wèi)被刑法法益類型化為(wèi)犯罪行為(wèi),達到科(kē)處刑罰的條件,具(jù)備了刑法獨立的譴責性。就行政違法和犯罪而言,雖然某一違法行為(wèi)在數量和程度上引起刑事責任具(jù)備合理(lǐ)性,但是絕大多(duō)數嚴重的犯罪行為(wèi)從内容的标準上觀察,違法和犯罪依然存在明顯的差異性。綜上所述,行政不法與刑事不法的區(qū)分(fēn)并非單一的标準,而是根據法益侵害的性質(zhì),通過并行不悖的兩個基準進行判别。至于重要數據的保護法益的内容究竟是什麽,下文(wén)将單獨展開論述。刑法規制重要數據處理(lǐ)者的不法行為(wèi)應以《數據安(ān)全法》第52條作(zuò)為(wèi)援引條文(wén)的理(lǐ)由
法定犯必須堅持罪刑法定原則。行政犯在構成要件上通常也會有(yǒu)“非法”“違反……規定”等表述,指引司法工(gōng)作(zuò)人員在認定犯罪時援引特定的行政法規範。從而在法定犯構成要件符合性判斷上才能(néng)全面而充分(fēn)地判斷法定犯構成要件符合性。因此,前置法的認定就必須要做到準确無誤,針對重要數據,應該從《數據安(ān)全法》第52條切入探讨重要數據處理(lǐ)者的刑事責任。縱觀整部《數據安(ān)全法》,條文(wén)當中(zhōng)有(yǒu)“追究刑事責任”表述的是第45條和第52條。但是針對重要數據處理(lǐ)活動,能(néng)夠直接援引的條文(wén)應該是第52條。理(lǐ)由有(yǒu)二:第一,第45條無法精(jīng)準描述重要數據。《數據安(ān)全法》第45條第1款針對數據處理(lǐ)者違反一般數據、重要數據安(ān)全保護義務(wù)隻設定了行政處罰,沒有(yǒu)設定刑事處罰;第2款針對核心數據設置了行政責任和刑事責任。根據數據分(fēn)級規則,重要數據與核心數據是兩個不同的概念,基于行刑銜接從第45條切入探讨重要數據的處理(lǐ)者的刑事責任并不恰當。第二,第52條的兜底性描述能(néng)夠涵蓋整個《數據安(ān)全法》的違規行為(wèi)。《數據安(ān)全法》共分(fēn)為(wèi)七個章節,除去作(zuò)為(wèi)附則的第七章,第六章的法律責任部分(fēn)即是位于最後面的懲罰性表述。而第52條起到了總結全法的概括性作(zuò)用(yòng),即“違反本法規定,給他(tā)人造成損害的,依法承擔民(mín)事責任。違反本法規定,構成違反治安(ān)管理(lǐ)行為(wèi)的,依法給予治安(ān)管理(lǐ)處罰;構成犯罪的,依法追究刑事責任”。從條文(wén)表述來看,“違反本法規定”是指違反數據安(ān)全制度、數據安(ān)全保護義務(wù)、政務(wù)數據安(ān)全與開放的内容。對于重要數據而言,可(kě)由第52條直接對應到例如第21條“重要數據的國(guó)家重點保護”、第27條“重要數據的處理(lǐ)者職責範圍”、第30條“重要數據的處理(lǐ)者風險評估義務(wù)”、第31條“重要數據處理(lǐ)者跨境安(ān)全管理(lǐ)義務(wù)”等具(jù)體(tǐ)條文(wén)。可(kě)見,第52條起到了針對性“鎖定”整部法律中(zhōng)的各種違規行為(wèi)的作(zuò)用(yòng)。三、重要數據的刑法保護法益:以安(ān)全保護義務(wù)為(wèi)内容的數據管理(lǐ)秩序刑法具(jù)有(yǒu)保護法益不受犯罪行為(wèi)侵害的機能(néng),同時刑法中(zhōng)犯罪的設立與認定都必須遵守法益保護原則。對于數據犯罪的法益而言,學(xué)界有(yǒu)諸多(duō)觀點。有(yǒu)觀點認為(wèi)數據犯罪的保護法益是國(guó)家數據管理(lǐ)秩序。有(yǒu)觀點認為(wèi),應當以數據的保密性、完整性和可(kě)用(yòng)性作(zuò)為(wèi)數據安(ān)全法益的具(jù)體(tǐ)内容并受到獨立保護。也有(yǒu)學(xué)者基于數字經濟發展風險的影響因素,認為(wèi)應采取“消極預防+積極利用(yòng)”的數據安(ān)全法益觀。這些觀點面向廣義的數據犯罪,都具(jù)有(yǒu)合理(lǐ)性,但是,面對因數據分(fēn)類分(fēn)級的級别特征和其造成嚴重後果可(kě)能(néng)性的重要數據而言,依然缺乏針對性,無法完全發揮法益指導立法和規範解釋的機能(néng)。那麽,對于重要數據而言,法益内容究竟是一種生活利益、經濟價值抑或是一種秩序狀态?法益不是對規範的重述,而是具(jù)有(yǒu)獨立價值的實體(tǐ)概念,法益标簽化的實質(zhì)是變相的規範論,必須予以警惕。在本文(wén)看來,《數據安(ān)全法》《網絡數據安(ān)全管理(lǐ)條例》(征求意見稿)賦予重要數據的處理(lǐ)者積極性和更為(wèi)嚴格的重要數據安(ān)全保護義務(wù),重要數據安(ān)全區(qū)别于信息網絡内容的安(ān)全,強調的是重要數據本身及數據處理(lǐ)活動的安(ān)全,确保其處于有(yǒu)效保護、合法利用(yòng)的狀态。數據立法中(zhōng)針對數據處理(lǐ)者的法條均為(wèi)強制性義務(wù)要求,并非以是否造成經濟損失為(wèi)判斷标準,其重點在于規範數據處理(lǐ)者的行為(wèi),所以,首先可(kě)以确定對其應采取“秩序化”保護模式。但是,在我國(guó)數據犯罪刑事立法與司法适用(yòng)均陷入困境的背景下,拒不履行重要數據安(ān)全保護義務(wù)的數據處理(lǐ)行為(wèi)所侵犯的法益是否就是數據安(ān)全管理(lǐ)秩序?還需要進一步梳理(lǐ)和确定。刑法采取“财産(chǎn)權屬保護模式”難以滿足對重要數據的全面保護
根據法條的概念,重要數據所涉及的數據類型基本都是公(gōng)共數據。公(gōng)共數據關乎國(guó)民(mín)經濟發展中(zhōng)生産(chǎn)生活的各個方面,蘊藏着巨大的經濟和社會價值。根據麥肯錫測算,我國(guó)公(gōng)共數據開放的潛在價值高達10萬億-15萬億元,占2020年全國(guó)财政收入約55%-82%。也有(yǒu)研究表明,我國(guó)政府部門掌握的數據資源占據全社會數據資源總量的80%左右。美國(guó)《開放政府數據法》中(zhōng)認為(wèi),公(gōng)共數據(資産(chǎn))是指“由聯邦政府維護的、已經或可(kě)能(néng)向公(gōng)衆釋放的數據資産(chǎn)或其部分(fēn)”,包括開放政府數據,其具(jù)有(yǒu)“資産(chǎn)”的屬性。我國(guó)也有(yǒu)學(xué)者從法教義學(xué)和産(chǎn)權經濟學(xué)路徑論證了公(gōng)共數據的權屬問題,認為(wèi)公(gōng)共數據的權利應當歸屬于國(guó)家,提出了私有(yǒu)制财産(chǎn)屬性和國(guó)家所有(yǒu)的公(gōng)權力面向的混合産(chǎn)權說。可(kě)見,公(gōng)共數據作(zuò)為(wèi)數字經濟時代的全新(xīn)生産(chǎn)要素,的确具(jù)有(yǒu)财産(chǎn)的屬性。數據财産(chǎn)說認為(wèi)數據本身就是财産(chǎn),數據犯罪侵害的法益就是數據财産(chǎn)權。但是,按照刑法對财産(chǎn)的保護邏輯,财産(chǎn)犯罪的法益類型有(yǒu)“本權說”“占有(yǒu)說”“中(zhōng)間說”等學(xué)說。由于公(gōng)共數據不同于國(guó)家核心數據、企業數據以及個人數據,如果将邏輯設定為(wèi)具(jù)有(yǒu)财産(chǎn)屬性才有(yǒu)保護價值,就會發現公(gōng)共數據的權屬問題非常複雜。“本權說”需要在解決刑事責任前就民(mín)事上的權利義務(wù)關系作(zuò)出明确的判斷。“占有(yǒu)說”認為(wèi)所有(yǒu)的占有(yǒu)均應受到保護,包括非法占有(yǒu)。“中(zhōng)間說”最為(wèi)複雜,内部又(yòu)因具(jù)體(tǐ)的财産(chǎn)認定和保護範圍不同而存在不同學(xué)說。通過财産(chǎn)路徑保護數據表面上看似可(kě)行,但其實并無法準确保護數據。所以,也有(yǒu)學(xué)者指出,如果計算機系統犯罪等數據犯罪侵害的也是數據财産(chǎn)内容安(ān)全的法益,那麽,盜竊罪和計算機系統犯罪等數據犯罪的區(qū)分(fēn)标準将是模糊的。而且,現階段數據在民(mín)事層面的權利義務(wù)尚未研究清晰,财産(chǎn)權屬保護無法涵蓋所有(yǒu)公(gōng)共數據,甚至會帶來新(xīn)的權屬糾紛問題。這樣容易産(chǎn)生“提出一個問題,産(chǎn)生更多(duō)問題”的麻煩。所以,有(yǒu)觀點指出,數據犯罪法益涉及面很(hěn)廣,很(hěn)難用(yòng)“财産(chǎn)權”來概括。數據财産(chǎn)說會不當縮小(xiǎo)數據犯罪的處罰範圍。總之,不同于個人數據和企業數據,公(gōng)共數據是屬于全社會共享的公(gōng)共資源,帶有(yǒu)鮮明的公(gōng)共屬性特征,故刑法上不宜對其通過财産(chǎn)權屬的保護模式。刑法應将“保障數據真實、安(ān)全”作(zuò)為(wèi)對重要數據的法益内容
應當捕捉到數字經濟時代,面對數據的法律保護問題就是要平衡好“發展與安(ān)全”兩者之間的關系。本文(wén)認為(wèi),《數據安(ān)全法》作(zuò)為(wèi)專門性法律,其保護的内涵是一個事物(wù)的兩個方面:一是保護數據本身;二是對個人、組織、社會及國(guó)家利益的保護。所以針對重要數據,刑法同樣應該采取這一思路,将其作(zuò)為(wèi)刑法保護的法益内容。一方面,數據的開放與發展的前提是數據的真實性。“深度僞造”技(jì )術最為(wèi)核心的特征就在于高度真實性,以至于極其難以被發覺。随着當前數智技(jì )術的飛速發展,在數據的真實性問題上同樣需要防範數據造假、數據僞造等行為(wèi)。無論是促進數據開發利用(yòng)還是數據分(fēn)類分(fēn)級制度下收集、存儲、流動等環節的數據全生命周期,都應基于“數據真實”這一前提。實踐中(zhōng),《貴州省大數據安(ān)全保障條例》已經明确提出了“數據處理(lǐ)者确保數據的真實性、完整性、有(yǒu)效性、保密性、可(kě)控性等”要求。由此可(kě)見,保障數據真實對于數據安(ān)全保護起着基底的作(zuò)用(yòng)。換言之,如果數據處理(lǐ)者沒有(yǒu)按照應有(yǒu)的規定保障數據的真實性,那麽所謂的可(kě)用(yòng)性、實效性、經濟性、保密性都将失去意義。另一方面,數據的安(ān)全保護是數據犯罪法益理(lǐ)念的應有(yǒu)之義。随着數據的獨立客體(tǐ)地位及保護價值逐漸為(wèi)法律規範所承認,數據安(ān)全成為(wèi)獨立于信息網絡安(ān)全的保護對象,在數據犯罪中(zhōng)确立數據安(ān)全的獨立法益地位已成為(wèi)大多(duō)數學(xué)者的共識。進言之,無論是認為(wèi)數據法益是由人身權财産(chǎn)權等傳統法益内容組合成的依附性學(xué)說,還是一種獨立的法益類型,其都是以數據安(ān)全為(wèi)核心。整個《數據安(ān)全法》的立法目的、章節設置以及對數據處理(lǐ)者的數據安(ān)全保護義務(wù)條文(wén),都是可(kě)以作(zuò)為(wèi)刑法法益對前置法的評價内容,發揮法益的違法性評價機能(néng)。因此,本文(wén)相對更為(wèi)贊同“消極保護+積極利用(yòng)”的數據安(ān)全保護法益觀點。我國(guó)“數據安(ān)全”法益應包括數據自身安(ān)全法益和數據利用(yòng)安(ān)全法益。因為(wèi)數據利用(yòng)的前提邏輯就是數據真實性,保障數據流轉過程中(zhōng)不失真。這更符合數字經濟時代法律制定和産(chǎn)業政策所共同追求的目标。刑法應通過“秩序化保護模式”實現對重要數據的風險防控
秩序的追求來源于對效率和安(ān)全的雙重需要。廣義的社會管理(lǐ)秩序包括國(guó)家安(ān)全管理(lǐ)秩序、公(gōng)共安(ān)全管理(lǐ)秩序、市場經濟管理(lǐ)秩序、司法活動管理(lǐ)秩序。對于重要數據而言,采取秩序化保護應該細分(fēn)為(wèi)何種秩序呢(ne)?本文(wén)認為(wèi),應當将其納入社會公(gōng)共安(ān)全管理(lǐ)秩序的保護範疇之中(zhōng),而這是由重要數據本身的性質(zhì)和數據處理(lǐ)者的安(ān)全保護義務(wù)所決定的。
首先,國(guó)家安(ān)全管理(lǐ)秩序和司法活動管理(lǐ)秩序的保護内容不符合。根據《數據安(ān)全法》第21條第2款的規定,雖然核心數據當然屬于重要數據,但是按照概念的區(qū)分(fēn),那些涉及社會公(gōng)共利益部分(fēn)的重要數據不屬于國(guó)家安(ān)全管理(lǐ)秩序。這将導緻用(yòng)國(guó)家安(ān)全管理(lǐ)秩序無法全面保護重要數據。另外,司法活動管理(lǐ)秩序旨在保護訴訟活動的程序秩序,因此也無法适用(yòng)。其次,社會秩序範疇當中(zhōng),相對難以分(fēn)辨的是市場經濟管理(lǐ)秩序。如上文(wén),公(gōng)共數據的本質(zhì)就是重要數據。國(guó)務(wù)院關于印發《“十四五”數字經濟發展規劃的通知》中(zhōng)指出,數據要素是數字經濟深化發展的核心引擎。數據對提高生産(chǎn)效率的乘數作(zuò)用(yòng)不斷凸顯,成為(wèi)最具(jù)時代特征的生産(chǎn)要素。數據的爆發增長(cháng)、海量集聚蘊藏了巨大的價值,為(wèi)智能(néng)化發展帶來了新(xīn)的機遇。協同推進技(jì )術、模式、業态和制度創新(xīn),切實用(yòng)好數據要素,将為(wèi)經濟社會數字化發展帶來強勁動力。公(gōng)共數據在促進經濟發展、推動創新(xīn)、提高行政效率、改善公(gōng)共服務(wù)、輔助決策等方面具(jù)有(yǒu)重要作(zuò)用(yòng)。這也意味着,公(gōng)共數據作(zuò)為(wèi)新(xīn)類型的生産(chǎn)要素在數字經濟、市場經濟管理(lǐ)活動中(zhōng)需要形成穩定、有(yǒu)序的狀态,保證市場經濟運行和發展。可(kě)見,以公(gōng)共數據為(wèi)内容的重要數據采取市場經濟管理(lǐ)也具(jù)有(yǒu)一定的合理(lǐ)性。但問題在于,刑法保護數據的真正目的并不是直接保護國(guó)家和社會的經濟利益,其直接目的應當是數據本身的安(ān)全。誠然,發展應當立足于安(ān)全,數據的經濟價值也是建立在數據安(ān)全基礎之上。這也是上文(wén)提出的為(wèi)何先要保障數據自身的安(ān)全和數據真實性是數據安(ān)全的原因。而且,《數據安(ān)全法》中(zhōng)的對數據處理(lǐ)活動、風險評估、審核上報、安(ān)全義務(wù)、不能(néng)玩忽職守、濫用(yòng)職權等制度設計都是為(wèi)了數據安(ān)全的直接體(tǐ)現。如果是為(wèi)了更好地保護市場經濟秩序,則應當制定類似《數據交易促進法》的文(wén)件而非《數據安(ān)全法》。誠然,在國(guó)家大力發展數字經濟、開放共享解放數據價值的背景下,保障數據流通以及開放共享離不開“發展與安(ān)全”這一對關系的平衡。所以,數字經濟時代在重視數字經濟發展的同時,首要應先關注風險的防範。諸多(duō)專家指出,政務(wù)信息系統存在大量安(ān)全隐患,數據安(ān)全與網絡安(ān)全形勢十分(fēn)嚴峻,公(gōng)共數據共享開放迫切需要厘清數據共享開放與安(ān)全責任邊界,進一步明确數據安(ān)全工(gōng)作(zuò)的具(jù)體(tǐ)職責與法律責任。因此,數據經濟發展的價值是以數據安(ān)全為(wèi)基礎的。最後,數據安(ān)全管理(lǐ)制度設計的本質(zhì)就是一種秩序,應當确定數據安(ān)全管理(lǐ)制度中(zhōng)的安(ān)全保護義務(wù)屬于社會公(gōng)共管理(lǐ)秩序。法益是作(zuò)為(wèi)個人、社會和國(guó)家的具(jù)體(tǐ)利益而成為(wèi)保護對象的。現代經濟學(xué)已經充分(fēn)認識到,制度的好壞對經濟表現具(jù)有(yǒu)重要作(zuò)用(yòng)。實際上,制度與經濟表現之間,存在“秩序”這一關鍵因素。因此,無論數據級别有(yǒu)多(duō)高、是何種分(fēn)類,或者能(néng)夠釋放多(duō)少經濟價值,都離不開數據管理(lǐ)制度這一種“秩序”的現實需求。進言之,根據《數據安(ān)全法》所規定的數據安(ān)全管理(lǐ)制度可(kě)知,數據處理(lǐ)者拒不履行義務(wù)由兩個遞進的行為(wèi)構成。第一個行為(wèi)是應當履行法律、行政法規規定的數據安(ān)全管理(lǐ)義務(wù),第二個行為(wèi)是應當履行監管部門責令改正的義務(wù)。對于重要數據而言,從《數據安(ān)全法》第27條和第30條的規定可(kě)以看出數據處理(lǐ)者擁有(yǒu)了由刑法之外的法律、行政法規加以規定的前刑法義務(wù)。《數據安(ān)全法》第45條第1款的規定表明,拒不改正的将受到罰款、對責任人進行處分(fēn)、限制業務(wù)等行政處罰,又(yòu)再一次強調了對數據的管理(lǐ)制度。這正是法定的數據安(ān)全保護義務(wù)的産(chǎn)生途徑。所以,重要數據數據處理(lǐ)者實施了違法行為(wèi)之後,不遵照監管部門的責令改正通知予以改正,是對行政命令不予服從,這将導緻自上而下的行政管理(lǐ)失效,數據安(ān)全岌岌可(kě)危,數據安(ān)全秩序節節潰敗,數據安(ān)全管理(lǐ)秩序受到損害。因此,秉承對數據安(ān)全管理(lǐ)思路,刑法上對重要數據法益宜采取“秩序化保護模式”。可(kě)見,将重要數據處理(lǐ)者的安(ān)全保護義務(wù)作(zuò)為(wèi)一種社會管理(lǐ)秩序更為(wèi)合理(lǐ),創制一種以數據安(ān)全管理(lǐ)秩序為(wèi)核心的新(xīn)型法益具(jù)有(yǒu)可(kě)行性。四、重要數據處理(lǐ)者拒不履行安(ān)全保護義務(wù)的刑事責任認定:罪名(míng)“立、改、釋”的讨論刑法理(lǐ)論需要處理(lǐ)好立法活性化時代“立改”與“廢釋”之間的關系,也應該充分(fēn)實現立改廢之間的協調性與适時性。理(lǐ)論上一般認為(wèi),法教義學(xué)是指将現行實定法作(zuò)為(wèi)深信不疑的基礎和前提,對其概念、原則等進行解釋與體(tǐ)系化的規範科(kē)學(xué)。但是在刑事立法方面,法教義學(xué)分(fēn)析發現立法自身存在漏洞或矛盾之處,同樣會對立法起到指導和批判的促進作(zuò)用(yòng)。所以,按照刑法教義學(xué)原理(lǐ),刑事立法在增設新(xīn)罪時必須貫徹必要性、類型性、明确性、協調性原則。4增設新(xīn)罪可(kě)以是增加新(xīn)的罪名(míng),也可(kě)以是通過修改已有(yǒu)的法條而使之涵攝新(xīn)的犯罪。随着數字化技(jì )術的發展,數據滲透生活每一個角落,針對數據的竊取、篡改、破壞、擴散等行為(wèi)增多(duō),需要及時進行法律規制。所以,對于那些程度重要的數據,更具(jù)有(yǒu)保護的必要。而刑法也應因時代發展作(zuò)出調整,并對某些侵犯法益的行為(wèi)和領域進行立法,其正是為(wèi)了進一步保護公(gōng)民(mín)利益、保護社會利益。因此,刑法不能(néng)完全固步自封,完全停止犯罪化,而是要順應時代發展合理(lǐ)推進犯罪化,對于現實生活中(zhōng)面臨的這些愈發凸顯的現實問題進行刑法規制,發揮刑法功能(néng)。但也要注意,立法不應是一種對犯罪施以威脅的姿态或情緒,而應該追求刑罰規範的實際效果。因此,基于刑法謙抑主義内涵的要求,依然需要回答(dá)犯罪化進程中(zhōng)“立改釋”預防體(tǐ)系内部的協調關系問題,即刑法在面對新(xīn)問題、應對新(xīn)挑戰時,能(néng)解釋的絕不輕易修改立法,能(néng)修改立法的絕不另立新(xīn)罪,在“立改釋”三種方法中(zhōng),“立”應位于最後序列。具(jù)體(tǐ)就重要數據而言,納入刑法規制的兩條基本路徑同樣是“改釋”已有(yǒu)罪名(míng)抑或是“立”(增設)新(xīn)的罪名(míng),下面展開具(jù)體(tǐ)分(fēn)析。無法通過“改釋”已有(yǒu)罪名(míng)以規制重要數據
梳理(lǐ)當前刑法涉及數據的兩個罪名(míng),其立法沿革相對久遠(yuǎn)。刑法中(zhōng)有(yǒu)關數據表述的罪名(míng)有(yǒu)第285條非法侵入計算機信息系統罪和第286條破壞計算機系統罪。《刑法》第285條規定的是非法侵入計算機信息系統罪,該罪名(míng)的條文(wén)先後被修訂兩次,2009年《刑法修正案(七)》第9條第一次修訂,增設了“非法獲取計算機信息系統數據”“非法控制計算機信息系統罪”,将其作(zuò)為(wèi)第2款、第3款的條文(wén)表述。2015年《刑法修正案(九)》增設了單位犯罪相關的内容。2011年8月1日最高人民(mín)法院、最高人民(mín)檢察院《關于辦(bàn)理(lǐ)危害計算機信息系統安(ān)全刑事案件應用(yòng)法律若幹問題的解釋》對條文(wén)中(zhōng)的相關犯罪構成要件進行了進一步解釋;《刑法》第286條規定的是破壞計算機系統罪,該罪名(míng)的條文(wén)在2015年《刑法修正案(九)》第27條修訂,也同樣增設了單位犯罪相關的内容。但是,上述條文(wén)中(zhōng)提到的數據,都是以“計算機信息系統”為(wèi)核心延伸出的概念。而《數據安(ān)全法》是2021年6月10日第十三屆全國(guó)人民(mín)代表大會常務(wù)委員會第二十九次會議通過的,增加了非常多(duō)新(xīn)的數據内涵、制度和内容。因技(jì )術層面的變革,其對于計算機信息系統的依附性正在逐漸弱化,數據領域具(jù)有(yǒu)單獨保護的必要性。如前文(wén)所述,保護重要數據真正的價值是對其在處理(lǐ)過程中(zhōng)所面臨的收集、修改、産(chǎn)生的數據内容不被破壞和不被篡改等進行真實的數據處理(lǐ)活動,保證數據真實性和安(ān)全性,因而對其中(zhōng)任何一個數據處理(lǐ)環節的破壞并不會導緻計算機信息系統的破壞。面對社會經濟發展當中(zhōng)遇到的新(xīn)問題,上述兩個罪名(míng)立法思路滞後、構成要件陳舊,再将信息類犯罪擴大解釋為(wèi)數據類犯罪較為(wèi)勉強,不能(néng)準确應用(yòng)于重要數據領域。此外,重要數據的處理(lǐ)者怠于履行安(ān)全保護義務(wù)可(kě)能(néng)緻使重要數據洩露或者被竊取、篡改、毀損、非法使用(yòng)等嚴重後果。而數據管理(lǐ)義務(wù)又(yòu)絕非信息網絡安(ān)全管理(lǐ)義務(wù),所以也不能(néng)适用(yòng)拒不履行信息網絡安(ān)全管理(lǐ)義務(wù)罪。因此,本文(wén)認為(wèi)不能(néng)因囿于刑法欠缺專門罪名(míng)的現狀,再把非法侵入計算機信息系統罪、破壞計算機系統罪中(zhōng)的數據或者拒不履行信息網絡安(ān)全義務(wù)罪“迂回解釋已有(yǒu)罪名(míng)”和“修改已有(yǒu)罪名(míng)”适用(yòng)于重要數據,使其成為(wèi)變通之道。通過“增設(立)”新(xīn)的罪名(míng)以規制重要數據
基于上述觀點,本文(wén)認為(wèi)應當通過另一路徑,即從增設新(xīn)罪名(míng)的角度出發進行刑法規制。立法的核心價值就是提出一套解決糾紛的理(lǐ)性方法,其背後的重點是為(wèi)了實現某種特定目的,讓社會導向正面發展。數據管理(lǐ)秩序的構建成為(wèi)新(xīn)時代我國(guó)社會治理(lǐ)的重要任務(wù),從《網絡安(ān)全法》《數據安(ān)全法》的頒布到《網絡數據安(ān)全管理(lǐ)條例》(征求意見稿)的起草(cǎo),就應當捕捉到數據安(ān)全管理(lǐ)秩序已經形成。因此,本文(wén)建議增設“拒不履行重要數據安(ān)全保護義務(wù)罪”,将重要公(gōng)共數據處理(lǐ)者的違規行為(wèi)納入刑法規制範圍。在《刑法》第286條之一後增設一條,作(zuò)為(wèi)第286條之二。具(jù)體(tǐ)的罪狀和法定刑應當與第286條之一的拒不履行信息網絡安(ān)全管理(lǐ)義務(wù)罪在形式上一緻,具(jù)體(tǐ)應表述為(wèi):數據處理(lǐ)者不履行法律、行政法規規定的重要數據安(ān)全保護義務(wù),經監管部門責令采取合規整改措施而拒不改正或者整改無效,緻使重要數據遭受洩露、竊取、篡改、毀損、非法使用(yòng),造成嚴重後果的,處三年以下有(yǒu)期徒刑、拘役或者管制,并處或者單處罰金。單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他(tā)直接責任人員,依照前款規定處罰。犯本罪的同時構成其他(tā)犯罪的,依照處罰較重的規定定罪處罰。拒不履行重要數據安(ān)全保護義務(wù)罪的具(jù)體(tǐ)展開
刑事立法尤其犯罪化立法是一項系統性工(gōng)作(zuò),牽一發而動全身。結合上文(wén)所述,增設新(xīn)罪必須經過刑事立法的目的正當性(法益保護)要求和刑事立法的手段正當性(謙抑主義)的檢視,而且還需滿足刑法明确性原則和體(tǐ)系協調性原則,這也是法教義學(xué)作(zuò)為(wèi)一門對現行法律進行解釋與體(tǐ)系化的規範科(kē)學(xué)的内在要求。因此,針對拒不履行重要數據安(ān)全保護義務(wù)罪的行為(wèi)主體(tǐ)、構成要件行為(wèi)、責任形式、結果與情節方面應作(zuò)進一步解釋。第一,數據安(ān)全保護義務(wù)的首要主體(tǐ)就是數據處理(lǐ)者。拒不履行重要數據安(ān)全保護義務(wù)罪的行為(wèi)主體(tǐ)并非一般的自然人和組織,而是法律授權的數據處理(lǐ)者,即具(jù)有(yǒu)數據處理(lǐ)權限的個人或者組織。《數據安(ān)全法》第27條規定,重要數據處理(lǐ)者必須履行數據安(ān)全保護義務(wù),規定了數據處理(lǐ)者應當明确數據安(ān)全負責人和管理(lǐ)機構。問題在于,平台是否屬于數據安(ān)全保護義務(wù)的主體(tǐ)?有(yǒu)學(xué)者認為(wèi),平台具(jù)有(yǒu)保護義務(wù),而且将平台企業的責任内容分(fēn)為(wèi)積極作(zuò)為(wèi)義務(wù)和消極不利後果兩個面向。平台責任是消極意義上的後果性責任。也有(yǒu)學(xué)者認為(wèi)平台不具(jù)有(yǒu)數據安(ān)全保護義務(wù)的主體(tǐ)身份,因為(wèi)從事數據交易中(zhōng)介服務(wù)的機構存在不處理(lǐ)數據的情形,談不上數據安(ān)全保護義務(wù),其隻需要按照我國(guó)《數據安(ān)全法》第33條的規定,在提供中(zhōng)介服務(wù)時要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄即可(kě)。該義務(wù)不屬于數據安(ān)全保護義務(wù)。第二,本罪的構成要件行為(wèi)是不履行法律、行政法規規定的信息網絡安(ān)全管理(lǐ)義務(wù),經監管部門責令采取改正措施而拒不改正。可(kě)見,重要數據保護義務(wù)具(jù)有(yǒu)雙層内容。如果單純不履行數據安(ān)全管理(lǐ)義務(wù)的行為(wèi),隻是違反了第一層的行政義務(wù),并不成立犯罪。隻有(yǒu)經過監管部門責令采取改正措施而拒不改正的,違反第二層的刑事義務(wù)内容,才可(kě)能(néng)成立犯罪。這樣設計構成要件行為(wèi)能(néng)有(yǒu)效銜接前置法,更符合《數據安(ān)全法》第45條和第52條的法條内容。但需要注意的是,在認定“經監管部門責令采取改正措施而拒不改正”時,一方面要綜合考慮監管部門責令改正的程序正當性、手段合法性及責令内容明确性等因素,另一方面還要判斷數據處理(lǐ)者的“整改能(néng)力”。對于具(jù)有(yǒu)重要數據處理(lǐ)權限的企業平台,确實因為(wèi)客觀條件限制,難以達到監管部門責令整改的具(jù)體(tǐ)要求的,不宜認定為(wèi)“拒不改正”。第三,拒不履行重要數據安(ān)全管理(lǐ)義務(wù)罪的責任形式應為(wèi)故意,客觀行為(wèi)方式可(kě)以是作(zuò)為(wèi)也可(kě)以是不作(zuò)為(wèi)。《數據安(ān)全法》與《網絡數據安(ān)全管理(lǐ)條例》(征求意見稿)中(zhōng)都規定了數據處理(lǐ)者具(jù)體(tǐ)的處理(lǐ)方式,其包含作(zuò)為(wèi)與不作(zuò)為(wèi)。具(jù)言之,可(kě)能(néng)是數據處理(lǐ)者在收集、存儲、使用(yòng)、加工(gōng)、傳輸、提供、公(gōng)開等數據處理(lǐ)活動中(zhōng)由于操作(zuò)規範問題,導緻數據洩漏或者發生危害數據安(ān)全的行為(wèi)。也可(kě)能(néng)是數據已經洩漏,但不去履行數據避免、補救、恢複等處理(lǐ)義務(wù)。例如,在具(jù)體(tǐ)的法律中(zhōng)大多(duō)對數據處理(lǐ)者采取“應當按照,應當使用(yòng),應當立即采取,應當建立,應當履行……”的表述。而且,行為(wèi)人必須認識到自己不履行重要數據安(ān)全管理(lǐ)義務(wù),經監管部門責令整改而拒不整改的行為(wèi)會發生上述構成要件結果的,并希望或者放任危害結果的發生。第四,妨害重要公(gōng)共數據安(ān)全管理(lǐ)罪“情節嚴重”的認定,應當以行為(wèi)人實際洩漏重要數據的涉及範圍、數量大小(xiǎo)、重要程度以及經濟損失等為(wèi)核心判斷标準。基于法定犯存在“法益性欠缺”的先天不足,對于數據安(ān)全犯罪的法定犯,不宜僅僅因為(wèi)對規範的不服從就認定為(wèi)犯罪。如上文(wén)所述,本文(wén)認為(wèi),隻有(yǒu)綜合考量行為(wèi)主體(tǐ)責任能(néng)力、行為(wèi)方式和責任阻卻事由後确定侵犯數據安(ān)全管理(lǐ)秩序的行為(wèi)具(jù)有(yǒu)現實危害性,或者至少具(jù)有(yǒu)緊迫的現實危害性時,才能(néng)構成犯罪。當然,這一問題也是目前最為(wèi)複雜和最需要關注的。一方面,當下雖然頒布了《數據安(ān)全法》,但《數據安(ān)全法》隻是針對一般數據處理(lǐ)者進行了普遍意義上的規定。對于重要公(gōng)共數據處理(lǐ)者暫無更具(jù)體(tǐ)的數據處理(lǐ)規範。另一方面,國(guó)家分(fēn)類分(fēn)級保護制度仍在構建過程中(zhōng),重要數據目錄尚未完成。而且,《網絡數據安(ān)全管理(lǐ)條例》目前還處于征求意見稿階段,作(zuò)為(wèi)一種保護數據管理(lǐ)秩序法益行政犯,刑法還需要觀望和進一步研究。但是,這并不影響對構成要件理(lǐ)論和增設新(xīn)罪的研究。因為(wèi)基于行政從屬性原則,行政犯罪之構成要件依賴空白刑法的補充規範來加以填充。這些行政法規範對犯罪構成要件起補充說明作(zuò)用(yòng),故名(míng)“補充規範”。所以,行政前置法律越規範、越完善,就越能(néng)幫助刑法在構成要件該當性的認定上越精(jīng)确。另外,“情節嚴重”還應當從社會危害程度上作(zuò)進一步判斷。因為(wèi)刑法理(lǐ)論對結果(危害結果)存在不同的表述。從結果的範圍來說,分(fēn)歧在于行為(wèi)制造的現實危險狀态是不是結果。基于法秩序統一性原理(lǐ)的初步構建來看,制造了情節嚴重的結果應當是行為(wèi)給刑法所保護的法益所造成的現實侵害事實與現實緊迫的危險狀态。基于重要數據社會影響範圍和程度,數據洩露本身就是一種危險狀态,應該被視作(zuò)具(jù)有(yǒu)抽象的危險。不過,如果認為(wèi)抽象危險是一種立法的推定,那麽對其反證是否會被推翻?即雖然數據處理(lǐ)者具(jù)有(yǒu)違規行為(wèi),但是沒有(yǒu)造成實害結果,是否應該科(kē)處刑罰?對此,本文(wén)認為(wèi),抽象危險一般不需要司法上的具(jù)體(tǐ)判斷,在某些場合隻需要以一般的社會生活經驗為(wèi)根據認定行為(wèi)具(jù)有(yǒu)發生侵害結果的危險即可(kě)。例如,在《網絡數據安(ān)全管理(lǐ)條例》(征求意見稿)中(zhōng)第11條規定“發生重要數據或者十萬人以上個人信息洩露、毀損、丢失等數據安(ān)全事件時,數據處理(lǐ)者還應當履行以下義務(wù)……”,可(kě)見,危險狀态可(kě)通過“數量大小(xiǎo)”和“不履行具(jù)體(tǐ)義務(wù)”的方式進行綜合判斷。不過,情節嚴重作(zuò)為(wèi)一種概括性定罪情節,這一問題的判斷具(jù)有(yǒu)複雜性,作(zuò)為(wèi)一種開放的構成要件值得更進一步的研究。
來源:《上海法學(xué)研究》2023總第10卷(中(zhōng)國(guó)式現代化法治展開)。
浙公(gōng)網安(ān)備 33010502006954号 
