提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創(chuàng)科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發(fā)展
    關于美創(chuàng)
    申請試用
      達朝玉|論數據處理者拒不履行重要數據安全保護義務的刑事責任——以《數據安全法》第52條為切入點
      發(fā)布時間:2024-08-16 閱讀次數: 574 次

      按照《數據安全法》數據分類分級的保護要求和《刑法》的法益保護機能,重要數據具有刑法單獨保護的必要?!稊祿踩ā返?2條中有“違反本法規(guī)定……構成犯罪的,依法追究刑事責任”的表述,故刑法應當做出合理應對。但是,當前刑法并無針對性罪名有效保護重要數據,因此當刑法無法再在解釋層面尋求突破的情況下則應當提供新的規(guī)范供給?;谛姓缸镄袨樾姓⑿谭ㄘ熑蔚亩撇皿w系,采取秩序化的保護模式才能更有效地保護重要數據;在結合《數據安全法》的立法目的和重要數據本質特征的基礎上,應當確定法益內容是以“保障重要數據真實性和安全性為義務內容”的數據安全管理秩序;為進一步加強對重要數據的刑法保護,建議增設拒不履行重要數據安全保護義務罪,以針對性地追究重要數據處理者不履行安全保護義務的刑事責任。


      數據分類分級保護是《數據安全法》的核心制度,也為刑法學的介入研究提供了邏輯基礎。當前《刑法》中涉及數據的相關罪名,主要是第285條非法侵入計算機信息系統(tǒng)罪和第286條破壞計算機信息系統(tǒng)罪。然而,這兩個罪名及相關司法解釋都是以“計算機系統(tǒng)”為核心的規(guī)定,相較于數字經濟的時代背景,其立法思路難免老舊,構成要件的范圍也沒有體現專門性的數據安全保護的作為義務。而且從網絡技術邏輯而言,“計算機信息系統(tǒng)安全”法益也難以精準描述數據犯罪的法益侵害。除了這兩個罪名之外,在解釋論層面也無法進一步將拒不履行信息網絡安全管理義務罪的行為對象涵攝為重要數據。基于法益對犯罪類型的區(qū)分機能,重要數據安全保護和信息網絡安全法益之間也存在根本性抵牾,難以在適用邏輯上自洽。所以,數據的內涵不同于信息網絡,以往的信息類犯罪已無法再擴大解釋為數據類犯罪,而有必要類型化為新的法益進行保護。
      本文重點聚焦行政法與刑法之銜接問題。關注《數據安全法》《網絡數據安全管理條例》(征求意見稿)、《中共中央國務院關于構建數據基礎制度更好發(fā)揮數據要素作用的意見》(以下簡稱“數據二十條”)以及相關政策和立法,對具體條文中數據處理者的法律責任進行了體系化思考。在論證數據分類分級保護制度背景下刑法介入保護重要數據正當性的基礎上,認為重要數據的刑法保護不應采取財產權益保護的路徑,而應當通過秩序化的保護模式。最后,從立法論的角度建議增設拒不履行重要數據安全保護義務罪,規(guī)制有能力而拒不履行重要數據安全保護義務的行為,以期有助于推動數據處理者刑事責任的研究。
      一、重要數據的安全保護:從分類分級到刑法介入
      數字經濟時代數據的安全治理符合社會發(fā)展和治理的現實需求,這也是我國很多學者提倡和堅持未來刑法立法應進一步犯罪化規(guī)制的動因所在。當然,這種考慮往往是以刑法的嚴厲性和高效性為思考基礎的。應該說,以安全作為刑法的首要價值的安全刑法具有順應時代發(fā)展現實的意蘊,對于及時維護社會的穩(wěn)定與安寧具有規(guī)范意義,但是安全刑法對傳統(tǒng)刑法的沖擊及其存在的一些弊端也是值得反思的。根據刑法的謙抑主義精神,展開對數據安全治理這一問題的研究和分析時,必須把握數據分類分級的本質內涵。所以,應當首要探討刑法對重要數據介入保護的邏輯基礎以及保護必要性等問題。

      (一)
      數據分類分級是整體數據安全治理的基本前提

      為揭示我國數據分類分級相關研究趨勢,本文以中國知網作為數據來源,以“數據分類分級”作為主題詞進行檢索,將統(tǒng)計時間設置為2000年1月-2023年2月,在剔除重復或者不符合主題的文獻后,共獲取421篇研究文獻。其中,科技類219篇,社科類202篇。自然科學類論文和人文社會科學類論文表現為并駕齊驅的研究態(tài)勢。在2019年后,研究進入了火熱期,無論是從論文發(fā)表的時間密度還是研究主題上都呈現出對數據分類分級研究的廣度和深度。經過對文獻大量的梳理和總結,可以得出數據分類分級直接目的在于對數據管理,深層次目的在于對數據的利用和流通的結論。
      “分類分級”并非一個全新的概念,按照對事物規(guī)制整理的普遍邏輯,“分類分級”是一種提高管理效率的思維模式或者行為模式。2021年6月10日《數據安全法》正式頒布,分類分級原則作為《數據安全法》確立的一項基本原則,也為數據安全提供了法律制度層面的依據。誠然,數據的生命周期包括數據采集、數據傳輸、數據儲存、數據處理、數據交換、數據銷毀六個階段。其中,數據采集是最重要的環(huán)節(jié),也是其他階段具有意義的前提。過去,數據收集單一,覆蓋面受限較大,所以整體上呈現出一種分散的、凌亂的、不連續(xù)的狀態(tài)。這導致在實踐層面的操作問題突出。所以,從整體來看數據分類分級是數據采集安全過程域的第一個基本實踐,是數據生命周期安全管理的第一步,也是數據全生命周期保護和數據處理環(huán)境風險防控的基礎。因此有學者指出,“數據分類分級是開展數據安全治理的起始點”。只有經由數據分類分級確定了數據類別與級別的數據在其生命周期中的各個環(huán)節(jié)才具備落實安全控制措施的可能??傊訌姅祿踩Wo,一個關鍵的前提條件就是對數據進行分類分級,在此基礎上才能采取相應的保護措施。
      需要注意的是,數據分類分級原則上需要借助工業(yè)技術上的識別和分類,法學研究應當在充分尊重客觀的技術分類和分類標準的基礎上發(fā)揮作用。但是,這并不是說法學研究完全依附于自然科學而失去自身的價值與獨立性。面向現實社會,單純從技術邏輯上進行分類分級也可能無法考慮到實際影響,錯誤的分類分級標準同樣會造成嚴重后果。因此,數據分類分級需要在相關技術研究人員和人文社會科學學者的共同努力下再進一步明確。通過數據的收集、整理、分析、運用來把握、解讀真實的法律實踐,從而為法律的修改提供政策建議或依據。申言之,面對新名詞、新技術不斷涌現的當下,跨學科、學科交叉、交叉學科過程之中的研究內容和范圍無疑正在變得愈發(fā)復雜,憑借傳統(tǒng)、單一學科早已無法概括。因此,在數據分類分級的認定上,更需要融合自然科學與人文社會科學的功能和優(yōu)勢,更好地把握數據的屬性和級別。否則,制度的構建和理論的研究都無異于空中樓閣,失去了根基。

      (二)
      數據分類分級制度是刑法介入規(guī)制數據犯罪的邏輯基礎

      1.重要數據刑法保護的現實需求




      “重要數據”這一概念最早來自2017年的《網絡安全法》,但是當時并未正式定義。同年,《信息安全技術數據出境安全評估指南》(草案)附錄“重要數據識別指南”按照行業(yè)劃分28個大類重要數據,但是該草案最終也并未生效。2019年《數據安全管理辦法》(征求意見稿)明確了“重要數據”的概念及具體安全保護工作。2020年《網絡安全審查辦法》(征求意見稿)規(guī)定網絡安全審查重點評估內容包括重要數據。之后,2021年《數據安全法》提出對數據分類分級,提出制定重要數據目錄。2021年《重要數據識別指南》(征求意見稿)確定了重要數據的識別原則和識別流程。同年的《網絡安全管理條例》(征求意見稿)對“重要數據”正式定義,即“指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據”?,F實中,數據面臨的安全風險已經凸顯,數據違規(guī)收集、數據泄露、數據丟失、數據濫用等安全事件層出不窮。而且在很多情況下,掌握在企業(yè)手中的數據對國家、社會、個人的價值,要比對企業(yè)來說價值更高。或者說,一旦出現安全事件,對國家、社會、個人造成的危害可能比對企業(yè)的危害更大。
      置身于風險社會,防范和化解重大風險成為重要的時代課題,刑法是否應當介入,可能會成為積極預防性刑法觀和消極性刑法觀之間所爭論不休的問題。在本文看來,風險社會孕育出的“風險刑法理論”中所指的是一種慌亂不安的狀態(tài),雖然無法指出某種具體的災難,但重點在于強調控制這種災難的能力。然而,進入數字經濟發(fā)展時代數據風險卻現實存在,日益嚴峻的數據犯罪態(tài)勢給數據法律秩序和數字社會治理帶來重大挑戰(zhàn)。數據所帶來的安全問題不僅影響企業(yè)的生存,也對社會和公民個人信息安全造成了潛在危機。一方面,很多行業(yè)的業(yè)務即為數據,試想如果多租戶隔離失敗,數據發(fā)生泄露、篡改或不可用,會對該行業(yè)造成巨大的沖擊和損失。另一方面,面對爆炸式增長的海量數據,與數據安全、數據權益相關的爭議與案件頻發(fā),亟需加速推動數據安全治理的理論研究。
      結合數據分類分級保護背景和刑法的謙抑主義精神,無需動用刑法對所有的一般數據進行全流程保護,但由于重要數據覆蓋范圍廣泛、數據結構多樣、關聯(lián)關系復雜、涉及大量個人隱私數據、涉及社會和國家利益等特點,無疑需要刑法介入保護。對此,有學者指出,在刑法視角下數據分類分級將成為犯罪形態(tài)的區(qū)分基準,應根據數據安全法益性質及其所受侵害,對數據犯罪進行罪質界定和罪量評價。顯然,重要數據的安全已經是由刑法該不該介入轉換為刑法究竟該如何保護的問題了。
      2.數據分類分級為數據犯罪提供了規(guī)制路徑




      數據分類分級作為保障網絡環(huán)境下數據安全的重要方法,因符合不同類型和級別的數據屬性對應著不同層級的安全防護需求這一客觀要求,得到了國家的高度重視。
      從《刑法》規(guī)范視角而言,數據分類注重法益保護對象,數據分級更為注重數據重要程度。有學者指出,對于數據而言不同形態(tài)的數據法益保護需求亦有所差別,應根據法益內容與屬性采取類型化保護思路。本文較為支持這一觀點。面對重要程度、數據質量不同等未經篩選的數據若用“整齊劃一”的嚴格標準要求去保護所有數據,會導致另一個極端,即風險管控和數據流通之間的不適配。也即,如果對于普通數據采取過于嚴苛的方式進行保護不利于數據開發(fā)利用和開放共享的發(fā)展方向。而如果對于重要數據的保護過于寬松和疏忽又會導致數據泄漏,影響到多數人或者個人的權益問題。倘若采用統(tǒng)一寬松的數據保護政策,公民個人隱私無處安放,甚至可能危及社會穩(wěn)定和國家安全。法是一種“強制秩序”,對違反法或者侵害法秩序的行為,應當附加某種制裁,這種制裁是法秩序得以維持的重要保障。而這種“強制秩序”,也只能由刑法發(fā)揮其獨有的社會機能來實現,從而使得數據分類分級構成了刑事司法領域數據安全保護的基本前提。
      二、重要數據處理者怠于履行安全保護義務而被追究刑事責任的前置法依據:《數據安全法》第52條
      行政法的目的性價值在于保護公民權利和維護公共利益?!稊祿踩ā返?條明確指出:“為了規(guī)范數據處理活動,保障數據安全,促進數據開發(fā)利用,保護個人、組織的合法權益,維護國家主權、安全和發(fā)展利益,制定本法。”在廣義刑法層面來看,經濟法、民事法、行政法當中如若規(guī)定“構成犯罪的,依法追究刑事責任”的條文則是附屬刑法規(guī)范。但由于我國并非出現過如同國外刑法那樣直接設立罪名與法定刑,所以我國并不存在真正意義上的附屬刑法。因此,當行政法不能順利實現行政管理目的、不能有效地抑止某種危害行為時,就需要發(fā)動刑法。
      《數據安全法》第52條規(guī)定:“違反本法規(guī)定,給他人造成損害的,依法承擔民事責任。違反本法規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任?!睆男谭▽W的規(guī)范視角來看,該條文中的“違反本法規(guī)定,構成犯罪的,依法追究刑事責任”的規(guī)定搭建了數據處理者違法犯罪行為行刑銜接的橋梁。面對數據犯罪進一步分析二元制裁論體系下行政犯的雙重違法性的內容,這對于數據犯罪刑事立法、構成要件要素的設置具有重要意義。因此,如何準確界定行政不法向刑事不法轉換的條件以及區(qū)分違法行為和犯罪行為,需要進一步展開討論。

      (一)
      從行政違法到刑事犯罪:二元制裁體系下重要數據處理者的行為內涵與區(qū)分標準

      1.重要數據處理者行政犯罪行為的雙重違法性




      根據理論界的界定,行政犯也稱法定犯,是指違反行政法規(guī),侵害刑法保護的法益,情節(jié)嚴重的行為。法定犯具有行政和刑事的雙重違法性。本質上來講,數據犯罪的行政犯,是指數據處理者因違反國家保護數據安全的行政目的、侵犯行政秩序而被刑法規(guī)定為犯罪處罰的行為。
      而行政犯罪行為的雙重違法性決定了其法律責任即行政刑法責任的雙重性,既要追究其行政法律責任,也要追究其刑事法律責任。由于不同部門法之間因法律屬性、制裁機關、處罰方式均存在差異,決定了行政執(zhí)法與刑事司法銜接的必然性和必要性。因此,刑法與前置性法律的銜接尤為重要。1997年刑法設置了非法侵入計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪兩個罪名,但因其以計算能力為主要視角、兼有物理設備隱形視角、不徹底數據視角的混合模式,數據犯罪及其保護法益的獨立地位并不顯見。而且,這種刑法先行的保護思路難以適應數據前置性立法,不符合法定法的雙重違法性理念。
      數據處理者拒不履行《數據安全法》所規(guī)定的保護義務,并不是行政違法到刑事犯罪的必然邏輯。實踐中,行政犯罪的認定需要引用對應的前置行政規(guī)范,但并不意味著違反了前置法規(guī)范的行為就一定構成犯罪。
      有學者指出,刑法既非前置法的絕對從屬法,又非完全獨立于前置法的法律部門,而是相對獨立于前置法的最終保障法。的確,《數據安全法》以數據安全法益保護為核心,在前置性法律法規(guī)中居于基本法地位,前置法的認定須堅持刑事違法性判斷的相對獨立性。也有學者認為前置性行政法在刑法規(guī)范與行業(yè)規(guī)范之間,發(fā)揮著承上啟下、銜接協(xié)調的“過濾”作用。所以應該認為,并不是所有違反《數據安全法》及相關法律的行為,都屬于數據犯罪的規(guī)制范圍,而是需經過行政違法到犯罪的實質過濾后,刑法對數據犯罪的介入才是科學的。
      2.重要數據處理者行政違法行為與刑事犯罪行為的區(qū)分標準




      就理論邏輯而言,數據安全行政違法責任與刑事責任之間緊密相連,當數據安全不法行為達到一定的社會危害性程度并觸犯刑律時,行政不法行為就會轉換為刑事不法行為。我國秉持一般違法與犯罪的性質區(qū)分,不同于域外“大刑法”模式,采用的是二元制裁體系與圓筒型刑事司法運行體制。由此形成西方“嚴而不厲”的刑法結構、我國“厲而不嚴”的刑法結構。但是基于這樣的立法模式,很容易凸顯刑法滯后性的弊端。所以,面對復雜多變的社會發(fā)展形勢,相當多的領域開始布局和立法。因此,對于為了保持權威性和穩(wěn)定性的刑法而言,部分罪名的設置和構成要件陳舊是能夠理解的。但是,隨著數據內涵的愈發(fā)豐富,國家對其的安全管理逐漸精細化和標準化,在刑法構成要件當中體現《數據安全法》的立法目的和相關制度也同樣是法秩序統(tǒng)一性原理的基本要求。
      立法者之所以將一項行為規(guī)定為犯罪,是因為它具有社會危害性,因而社會危害性是犯罪的本質特征。對于數據處理主體違反《數據安全法》規(guī)定的數據安全保護制度、安全保護義務的行為,是否應當被作為犯罪行為來對待,還必須遵循我國《刑法》第13條規(guī)定的犯罪概念以及由此確立的法定犯罪構成體系。
      行政違法和刑事犯罪該如何區(qū)分,刑法學界已經形成“量的區(qū)別說”“質的差異論”“質量混合區(qū)別說”等不同學說主張。“量的區(qū)別說”注重行為輕重程度上的量的不同,刑事不法與行政不法相比只是在社會危害性上有所差異?!百|的差異論”則認為,行政不法與刑事不法的區(qū)分在于兩者本質上不屬于同一種類的不法行為。犯罪行為與違反秩序的行政不法行為之間存在著實質性的區(qū)別?!胺缸镄缘牟环ㄊ翘貏e受道德上的無價值評價決定的,行政性的不法則僅限于一種單純的不服從行政命令?!笨梢?,質的區(qū)別論目的在于維護刑法的純潔性和獨立性。
      應當承認,量的差異論或者質的差異論各執(zhí)一端,都有一定的合理性,但亦各自存在局限性。但本文認為,將重要數據處理者的不法行為納入刑法的視野,應該是數據處理者侵犯了獨立的刑法法益造成的。盡管“量的區(qū)別”具有重要的區(qū)分意義,但在數據犯罪行刑銜接的問題上,不是“從量變到質變”必然邏輯,而是因為該行為被刑法法益類型化為犯罪行為,達到科處刑罰的條件,具備了刑法獨立的譴責性。就行政違法和犯罪而言,雖然某一違法行為在數量和程度上引起刑事責任具備合理性,但是絕大多數嚴重的犯罪行為從內容的標準上觀察,違法和犯罪依然存在明顯的差異性。
      綜上所述,行政不法與刑事不法的區(qū)分并非單一的標準,而是根據法益侵害的性質,通過并行不悖的兩個基準進行判別。至于重要數據的保護法益的內容究竟是什么,下文將單獨展開論述。

      (二)
      刑法規(guī)制重要數據處理者的不法行為應以《數據安全法》第52條作為援引條文的理由

      法定犯必須堅持罪刑法定原則。行政犯在構成要件上通常也會有“非法”“違反……規(guī)定”等表述,指引司法工作人員在認定犯罪時援引特定的行政法規(guī)范。從而在法定犯構成要件符合性判斷上才能全面而充分地判斷法定犯構成要件符合性。因此,前置法的認定就必須要做到準確無誤,針對重要數據,應該從《數據安全法》第52條切入探討重要數據處理者的刑事責任。
      縱觀整部《數據安全法》,條文當中有“追究刑事責任”表述的是第45條和第52條。但是針對重要數據處理活動,能夠直接援引的條文應該是第52條。理由有二:第一,第45條無法精準描述重要數據?!稊祿踩ā返?5條第1款針對數據處理者違反一般數據、重要數據安全保護義務只設定了行政處罰,沒有設定刑事處罰;第2款針對核心數據設置了行政責任和刑事責任。根據數據分級規(guī)則,重要數據與核心數據是兩個不同的概念,基于行刑銜接從第45條切入探討重要數據的處理者的刑事責任并不恰當。第二,第52條的兜底性描述能夠涵蓋整個《數據安全法》的違規(guī)行為?!稊祿踩ā饭卜譃槠邆€章節(jié),除去作為附則的第七章,第六章的法律責任部分即是位于最后面的懲罰性表述。而第52條起到了總結全法的概括性作用,即“違反本法規(guī)定,給他人造成損害的,依法承擔民事責任。違反本法規(guī)定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任”。從條文表述來看,“違反本法規(guī)定”是指違反數據安全制度、數據安全保護義務、政務數據安全與開放的內容。對于重要數據而言,可由第52條直接對應到例如第21條“重要數據的國家重點保護”、第27條“重要數據的處理者職責范圍”、第30條“重要數據的處理者風險評估義務”、第31條“重要數據處理者跨境安全管理義務”等具體條文??梢?,第52條起到了針對性“鎖定”整部法律中的各種違規(guī)行為的作用。
      三、重要數據的刑法保護法益:以安全保護義務為內容的數據管理秩序
      刑法具有保護法益不受犯罪行為侵害的機能,同時刑法中犯罪的設立與認定都必須遵守法益保護原則。對于數據犯罪的法益而言,學界有諸多觀點。有觀點認為數據犯罪的保護法益是國家數據管理秩序。有觀點認為,應當以數據的保密性、完整性和可用性作為數據安全法益的具體內容并受到獨立保護。也有學者基于數字經濟發(fā)展風險的影響因素,認為應采取“消極預防+積極利用”的數據安全法益觀。這些觀點面向廣義的數據犯罪,都具有合理性,但是,面對因數據分類分級的級別特征和其造成嚴重后果可能性的重要數據而言,依然缺乏針對性,無法完全發(fā)揮法益指導立法和規(guī)范解釋的機能。那么,對于重要數據而言,法益內容究竟是一種生活利益、經濟價值抑或是一種秩序狀態(tài)?
      法益不是對規(guī)范的重述,而是具有獨立價值的實體概念,法益標簽化的實質是變相的規(guī)范論,必須予以警惕。在本文看來,《數據安全法》《網絡數據安全管理條例》(征求意見稿)賦予重要數據的處理者積極性和更為嚴格的重要數據安全保護義務,重要數據安全區(qū)別于信息網絡內容的安全,強調的是重要數據本身及數據處理活動的安全,確保其處于有效保護、合法利用的狀態(tài)。數據立法中針對數據處理者的法條均為強制性義務要求,并非以是否造成經濟損失為判斷標準,其重點在于規(guī)范數據處理者的行為,所以,首先可以確定對其應采取“秩序化”保護模式。但是,在我國數據犯罪刑事立法與司法適用均陷入困境的背景下,拒不履行重要數據安全保護義務的數據處理行為所侵犯的法益是否就是數據安全管理秩序?還需要進一步梳理和確定。

      (一)
      刑法采取“財產權屬保護模式”難以滿足對重要數據的全面保護

      根據法條的概念,重要數據所涉及的數據類型基本都是公共數據。公共數據關乎國民經濟發(fā)展中生產生活的各個方面,蘊藏著巨大的經濟和社會價值。根據麥肯錫測算,我國公共數據開放的潛在價值高達10萬億-15萬億元,占2020年全國財政收入約55%-82%。也有研究表明,我國政府部門掌握的數據資源占據全社會數據資源總量的80%左右。美國《開放政府數據法》中認為,公共數據(資產)是指“由聯(lián)邦政府維護的、已經或可能向公眾釋放的數據資產或其部分”,包括開放政府數據,其具有“資產”的屬性。我國也有學者從法教義學和產權經濟學路徑論證了公共數據的權屬問題,認為公共數據的權利應當歸屬于國家,提出了私有制財產屬性和國家所有的公權力面向的混合產權說。可見,公共數據作為數字經濟時代的全新生產要素,的確具有財產的屬性。
      數據財產說認為數據本身就是財產,數據犯罪侵害的法益就是數據財產權。但是,按照刑法對財產的保護邏輯,財產犯罪的法益類型有“本權說”“占有說”“中間說”等學說。由于公共數據不同于國家核心數據、企業(yè)數據以及個人數據,如果將邏輯設定為具有財產屬性才有保護價值,就會發(fā)現公共數據的權屬問題非常復雜?!氨緳嗾f”需要在解決刑事責任前就民事上的權利義務關系作出明確的判斷?!罢加姓f”認為所有的占有均應受到保護,包括非法占有?!爸虚g說”最為復雜,內部又因具體的財產認定和保護范圍不同而存在不同學說。通過財產路徑保護數據表面上看似可行,但其實并無法準確保護數據。所以,也有學者指出,如果計算機系統(tǒng)犯罪等數據犯罪侵害的也是數據財產內容安全的法益,那么,盜竊罪和計算機系統(tǒng)犯罪等數據犯罪的區(qū)分標準將是模糊的。而且,現階段數據在民事層面的權利義務尚未研究清晰,財產權屬保護無法涵蓋所有公共數據,甚至會帶來新的權屬糾紛問題。這樣容易產生“提出一個問題,產生更多問題”的麻煩。所以,有觀點指出,數據犯罪法益涉及面很廣,很難用“財產權”來概括。數據財產說會不當縮小數據犯罪的處罰范圍。
      總之,不同于個人數據和企業(yè)數據,公共數據是屬于全社會共享的公共資源,帶有鮮明的公共屬性特征,故刑法上不宜對其通過財產權屬的保護模式。

      (二)
      刑法應將“保障數據真實、安全”作為對重要數據的法益內容

      應當捕捉到數字經濟時代,面對數據的法律保護問題就是要平衡好“發(fā)展與安全”兩者之間的關系。本文認為,《數據安全法》作為專門性法律,其保護的內涵是一個事物的兩個方面:一是保護數據本身;二是對個人、組織、社會及國家利益的保護。所以針對重要數據,刑法同樣應該采取這一思路,將其作為刑法保護的法益內容。
      一方面,數據的開放與發(fā)展的前提是數據的真實性?!吧疃葌卧臁奔夹g最為核心的特征就在于高度真實性,以至于極其難以被發(fā)覺。隨著當前數智技術的飛速發(fā)展,在數據的真實性問題上同樣需要防范數據造假、數據偽造等行為。無論是促進數據開發(fā)利用還是數據分類分級制度下收集、存儲、流動等環(huán)節(jié)的數據全生命周期,都應基于“數據真實”這一前提。實踐中,《貴州省大數據安全保障條例》已經明確提出了“數據處理者確保數據的真實性、完整性、有效性、保密性、可控性等”要求。由此可見,保障數據真實對于數據安全保護起著基底的作用。換言之,如果數據處理者沒有按照應有的規(guī)定保障數據的真實性,那么所謂的可用性、實效性、經濟性、保密性都將失去意義。
      另一方面,數據的安全保護是數據犯罪法益理念的應有之義。隨著數據的獨立客體地位及保護價值逐漸為法律規(guī)范所承認,數據安全成為獨立于信息網絡安全的保護對象,在數據犯罪中確立數據安全的獨立法益地位已成為大多數學者的共識。進言之,無論是認為數據法益是由人身權財產權等傳統(tǒng)法益內容組合成的依附性學說,還是一種獨立的法益類型,其都是以數據安全為核心。整個《數據安全法》的立法目的、章節(jié)設置以及對數據處理者的數據安全保護義務條文,都是可以作為刑法法益對前置法的評價內容,發(fā)揮法益的違法性評價機能。
      因此,本文相對更為贊同“消極保護+積極利用”的數據安全保護法益觀點。我國“數據安全”法益應包括數據自身安全法益和數據利用安全法益。因為數據利用的前提邏輯就是數據真實性,保障數據流轉過程中不失真。這更符合數字經濟時代法律制定和產業(yè)政策所共同追求的目標。

      (三)
      刑法應通過“秩序化保護模式”實現對重要數據的風險防控

      秩序的追求來源于對效率和安全的雙重需要。廣義的社會管理秩序包括國家安全管理秩序、公共安全管理秩序、市場經濟管理秩序、司法活動管理秩序。對于重要數據而言,采取秩序化保護應該細分為何種秩序呢?本文認為,應當將其納入社會公共安全管理秩序的保護范疇之中,而這是由重要數據本身的性質和數據處理者的安全保護義務所決定的。
      首先,國家安全管理秩序和司法活動管理秩序的保護內容不符合。根據《數據安全法》第21條第2款的規(guī)定,雖然核心數據當然屬于重要數據,但是按照概念的區(qū)分,那些涉及社會公共利益部分的重要數據不屬于國家安全管理秩序。這將導致用國家安全管理秩序無法全面保護重要數據。另外,司法活動管理秩序旨在保護訴訟活動的程序秩序,因此也無法適用。
      其次,社會秩序范疇當中,相對難以分辨的是市場經濟管理秩序。如上文,公共數據的本質就是重要數據。國務院關于印發(fā)《“十四五”數字經濟發(fā)展規(guī)劃的通知》中指出,數據要素是數字經濟深化發(fā)展的核心引擎。數據對提高生產效率的乘數作用不斷凸顯,成為最具時代特征的生產要素。數據的爆發(fā)增長、海量集聚蘊藏了巨大的價值,為智能化發(fā)展帶來了新的機遇。協(xié)同推進技術、模式、業(yè)態(tài)和制度創(chuàng)新,切實用好數據要素,將為經濟社會數字化發(fā)展帶來強勁動力。公共數據在促進經濟發(fā)展、推動創(chuàng)新、提高行政效率、改善公共服務、輔助決策等方面具有重要作用。這也意味著,公共數據作為新類型的生產要素在數字經濟、市場經濟管理活動中需要形成穩(wěn)定、有序的狀態(tài),保證市場經濟運行和發(fā)展??梢?,以公共數據為內容的重要數據采取市場經濟管理也具有一定的合理性。
      但問題在于,刑法保護數據的真正目的并不是直接保護國家和社會的經濟利益,其直接目的應當是數據本身的安全。誠然,發(fā)展應當立足于安全,數據的經濟價值也是建立在數據安全基礎之上。這也是上文提出的為何先要保障數據自身的安全和數據真實性是數據安全的原因。而且,《數據安全法》中的對數據處理活動、風險評估、審核上報、安全義務、不能玩忽職守、濫用職權等制度設計都是為了數據安全的直接體現。如果是為了更好地保護市場經濟秩序,則應當制定類似《數據交易促進法》的文件而非《數據安全法》。誠然,在國家大力發(fā)展數字經濟、開放共享解放數據價值的背景下,保障數據流通以及開放共享離不開“發(fā)展與安全”這一對關系的平衡。所以,數字經濟時代在重視數字經濟發(fā)展的同時,首要應先關注風險的防范。諸多專家指出,政務信息系統(tǒng)存在大量安全隱患,數據安全與網絡安全形勢十分嚴峻,公共數據共享開放迫切需要厘清數據共享開放與安全責任邊界,進一步明確數據安全工作的具體職責與法律責任。因此,數據經濟發(fā)展的價值是以數據安全為基礎的。
      最后,數據安全管理制度設計的本質就是一種秩序,應當確定數據安全管理制度中的安全保護義務屬于社會公共管理秩序。法益是作為個人、社會和國家的具體利益而成為保護對象的。現代經濟學已經充分認識到,制度的好壞對經濟表現具有重要作用。實際上,制度與經濟表現之間,存在“秩序”這一關鍵因素。因此,無論數據級別有多高、是何種分類,或者能夠釋放多少經濟價值,都離不開數據管理制度這一種“秩序”的現實需求。
      進言之,根據《數據安全法》所規(guī)定的數據安全管理制度可知,數據處理者拒不履行義務由兩個遞進的行為構成。第一個行為是應當履行法律、行政法規(guī)規(guī)定的數據安全管理義務,第二個行為是應當履行監(jiān)管部門責令改正的義務。對于重要數據而言,從《數據安全法》第27條和第30條的規(guī)定可以看出數據處理者擁有了由刑法之外的法律、行政法規(guī)加以規(guī)定的前刑法義務。《數據安全法》第45條第1款的規(guī)定表明,拒不改正的將受到罰款、對責任人進行處分、限制業(yè)務等行政處罰,又再一次強調了對數據的管理制度。這正是法定的數據安全保護義務的產生途徑。所以,重要數據數據處理者實施了違法行為之后,不遵照監(jiān)管部門的責令改正通知予以改正,是對行政命令不予服從,這將導致自上而下的行政管理失效,數據安全岌岌可危,數據安全秩序節(jié)節(jié)潰敗,數據安全管理秩序受到損害。因此,秉承對數據安全管理思路,刑法上對重要數據法益宜采取“秩序化保護模式”。
      可見,將重要數據處理者的安全保護義務作為一種社會管理秩序更為合理,創(chuàng)制一種以數據安全管理秩序為核心的新型法益具有可行性。
      四、重要數據處理者拒不履行安全保護義務的刑事責任認定:罪名“立、改、釋”的討論
      刑法理論需要處理好立法活性化時代“立改”與“廢釋”之間的關系,也應該充分實現立改廢之間的協(xié)調性與適時性。理論上一般認為,法教義學是指將現行實定法作為深信不疑的基礎和前提,對其概念、原則等進行解釋與體系化的規(guī)范科學。但是在刑事立法方面,法教義學分析發(fā)現立法自身存在漏洞或矛盾之處,同樣會對立法起到指導和批判的促進作用。所以,按照刑法教義學原理,刑事立法在增設新罪時必須貫徹必要性、類型性、明確性、協(xié)調性原則。4增設新罪可以是增加新的罪名,也可以是通過修改已有的法條而使之涵攝新的犯罪。
      隨著數字化技術的發(fā)展,數據滲透生活每一個角落,針對數據的竊取、篡改、破壞、擴散等行為增多,需要及時進行法律規(guī)制。所以,對于那些程度重要的數據,更具有保護的必要。而刑法也應因時代發(fā)展作出調整,并對某些侵犯法益的行為和領域進行立法,其正是為了進一步保護公民利益、保護社會利益。因此,刑法不能完全固步自封,完全停止犯罪化,而是要順應時代發(fā)展合理推進犯罪化,對于現實生活中面臨的這些愈發(fā)凸顯的現實問題進行刑法規(guī)制,發(fā)揮刑法功能。但也要注意,立法不應是一種對犯罪施以威脅的姿態(tài)或情緒,而應該追求刑罰規(guī)范的實際效果。
      因此,基于刑法謙抑主義內涵的要求,依然需要回答犯罪化進程中“立改釋”預防體系內部的協(xié)調關系問題,即刑法在面對新問題、應對新挑戰(zhàn)時,能解釋的絕不輕易修改立法,能修改立法的絕不另立新罪,在“立改釋”三種方法中,“立”應位于最后序列。具體就重要數據而言,納入刑法規(guī)制的兩條基本路徑同樣是“改釋”已有罪名抑或是“立”(增設)新的罪名,下面展開具體分析。

      (一)
      無法通過“改釋”已有罪名以規(guī)制重要數據

      梳理當前刑法涉及數據的兩個罪名,其立法沿革相對久遠。刑法中有關數據表述的罪名有第285條非法侵入計算機信息系統(tǒng)罪和第286條破壞計算機系統(tǒng)罪?!缎谭ā返?85條規(guī)定的是非法侵入計算機信息系統(tǒng)罪,該罪名的條文先后被修訂兩次,2009年《刑法修正案(七)》第9條第一次修訂,增設了“非法獲取計算機信息系統(tǒng)數據”“非法控制計算機信息系統(tǒng)罪”,將其作為第2款、第3款的條文表述。2015年《刑法修正案(九)》增設了單位犯罪相關的內容。2011年8月1日最高人民法院、最高人民檢察院《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》對條文中的相關犯罪構成要件進行了進一步解釋;《刑法》第286條規(guī)定的是破壞計算機系統(tǒng)罪,該罪名的條文在2015年《刑法修正案(九)》第27條修訂,也同樣增設了單位犯罪相關的內容。
      但是,上述條文中提到的數據,都是以“計算機信息系統(tǒng)”為核心延伸出的概念。而《數據安全法》是2021年6月10日第十三屆全國人民代表大會常務委員會第二十九次會議通過的,增加了非常多新的數據內涵、制度和內容。因技術層面的變革,其對于計算機信息系統(tǒng)的依附性正在逐漸弱化,數據領域具有單獨保護的必要性。如前文所述,保護重要數據真正的價值是對其在處理過程中所面臨的收集、修改、產生的數據內容不被破壞和不被篡改等進行真實的數據處理活動,保證數據真實性和安全性,因而對其中任何一個數據處理環(huán)節(jié)的破壞并不會導致計算機信息系統(tǒng)的破壞。面對社會經濟發(fā)展當中遇到的新問題,上述兩個罪名立法思路滯后、構成要件陳舊,再將信息類犯罪擴大解釋為數據類犯罪較為勉強,不能準確應用于重要數據領域。此外,重要數據的處理者怠于履行安全保護義務可能致使重要數據泄露或者被竊取、篡改、毀損、非法使用等嚴重后果。而數據管理義務又絕非信息網絡安全管理義務,所以也不能適用拒不履行信息網絡安全管理義務罪。
      因此,本文認為不能因囿于刑法欠缺專門罪名的現狀,再把非法侵入計算機信息系統(tǒng)罪、破壞計算機系統(tǒng)罪中的數據或者拒不履行信息網絡安全義務罪“迂回解釋已有罪名”和“修改已有罪名”適用于重要數據,使其成為變通之道。

      (二)
      通過“增設(立)”新的罪名以規(guī)制重要數據

      基于上述觀點,本文認為應當通過另一路徑,即從增設新罪名的角度出發(fā)進行刑法規(guī)制。立法的核心價值就是提出一套解決糾紛的理性方法,其背后的重點是為了實現某種特定目的,讓社會導向正面發(fā)展。數據管理秩序的構建成為新時代我國社會治理的重要任務,從《網絡安全法》《數據安全法》的頒布到《網絡數據安全管理條例》(征求意見稿)的起草,就應當捕捉到數據安全管理秩序已經形成。因此,本文建議增設“拒不履行重要數據安全保護義務罪”,將重要公共數據處理者的違規(guī)行為納入刑法規(guī)制范圍。在《刑法》第286條之一后增設一條,作為第286條之二。
      具體的罪狀和法定刑應當與第286條之一的拒不履行信息網絡安全管理義務罪在形式上一致,具體應表述為:數據處理者不履行法律、行政法規(guī)規(guī)定的重要數據安全保護義務,經監(jiān)管部門責令采取合規(guī)整改措施而拒不改正或者整改無效,致使重要數據遭受泄露、竊取、篡改、毀損、非法使用,造成嚴重后果的,處三年以下有期徒刑、拘役或者管制,并處或者單處罰金。單位犯前款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照前款規(guī)定處罰。犯本罪的同時構成其他犯罪的,依照處罰較重的規(guī)定定罪處罰。

      (三)
      拒不履行重要數據安全保護義務罪的具體展開

      刑事立法尤其犯罪化立法是一項系統(tǒng)性工作,牽一發(fā)而動全身。結合上文所述,增設新罪必須經過刑事立法的目的正當性(法益保護)要求和刑事立法的手段正當性(謙抑主義)的檢視,而且還需滿足刑法明確性原則和體系協(xié)調性原則,這也是法教義學作為一門對現行法律進行解釋與體系化的規(guī)范科學的內在要求。因此,針對拒不履行重要數據安全保護義務罪的行為主體、構成要件行為、責任形式、結果與情節(jié)方面應作進一步解釋。
      第一,數據安全保護義務的首要主體就是數據處理者。拒不履行重要數據安全保護義務罪的行為主體并非一般的自然人和組織,而是法律授權的數據處理者,即具有數據處理權限的個人或者組織?!稊祿踩ā返?7條規(guī)定,重要數據處理者必須履行數據安全保護義務,規(guī)定了數據處理者應當明確數據安全負責人和管理機構。問題在于,平臺是否屬于數據安全保護義務的主體?有學者認為,平臺具有保護義務,而且將平臺企業(yè)的責任內容分為積極作為義務和消極不利后果兩個面向。平臺責任是消極意義上的后果性責任。也有學者認為平臺不具有數據安全保護義務的主體身份,因為從事數據交易中介服務的機構存在不處理數據的情形,談不上數據安全保護義務,其只需要按照我國《數據安全法》第33條的規(guī)定,在提供中介服務時要求數據提供方說明數據來源,審核交易雙方的身份,并留存審核、交易記錄即可。該義務不屬于數據安全保護義務。
      第二,本罪的構成要件行為是不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務,經監(jiān)管部門責令采取改正措施而拒不改正??梢姡匾獢祿Wo義務具有雙層內容。如果單純不履行數據安全管理義務的行為,只是違反了第一層的行政義務,并不成立犯罪。只有經過監(jiān)管部門責令采取改正措施而拒不改正的,違反第二層的刑事義務內容,才可能成立犯罪。這樣設計構成要件行為能有效銜接前置法,更符合《數據安全法》第45條和第52條的法條內容。但需要注意的是,在認定“經監(jiān)管部門責令采取改正措施而拒不改正”時,一方面要綜合考慮監(jiān)管部門責令改正的程序正當性、手段合法性及責令內容明確性等因素,另一方面還要判斷數據處理者的“整改能力”。對于具有重要數據處理權限的企業(yè)平臺,確實因為客觀條件限制,難以達到監(jiān)管部門責令整改的具體要求的,不宜認定為“拒不改正”。
      第三,拒不履行重要數據安全管理義務罪的責任形式應為故意,客觀行為方式可以是作為也可以是不作為?!稊祿踩ā放c《網絡數據安全管理條例》(征求意見稿)中都規(guī)定了數據處理者具體的處理方式,其包含作為與不作為。具言之,可能是數據處理者在收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動中由于操作規(guī)范問題,導致數據泄漏或者發(fā)生危害數據安全的行為。也可能是數據已經泄漏,但不去履行數據避免、補救、恢復等處理義務。例如,在具體的法律中大多對數據處理者采取“應當按照,應當使用,應當立即采取,應當建立,應當履行……”的表述。而且,行為人必須認識到自己不履行重要數據安全管理義務,經監(jiān)管部門責令整改而拒不整改的行為會發(fā)生上述構成要件結果的,并希望或者放任危害結果的發(fā)生。
      第四,妨害重要公共數據安全管理罪“情節(jié)嚴重”的認定,應當以行為人實際泄漏重要數據的涉及范圍、數量大小、重要程度以及經濟損失等為核心判斷標準?;诜ǘǚ复嬖凇胺ㄒ嫘郧啡薄钡南忍觳蛔?,對于數據安全犯罪的法定犯,不宜僅僅因為對規(guī)范的不服從就認定為犯罪。如上文所述,本文認為,只有綜合考量行為主體責任能力、行為方式和責任阻卻事由后確定侵犯數據安全管理秩序的行為具有現實危害性,或者至少具有緊迫的現實危害性時,才能構成犯罪。當然,這一問題也是目前最為復雜和最需要關注的。一方面,當下雖然頒布了《數據安全法》,但《數據安全法》只是針對一般數據處理者進行了普遍意義上的規(guī)定。對于重要公共數據處理者暫無更具體的數據處理規(guī)范。另一方面,國家分類分級保護制度仍在構建過程中,重要數據目錄尚未完成。而且,《網絡數據安全管理條例》目前還處于征求意見稿階段,作為一種保護數據管理秩序法益行政犯,刑法還需要觀望和進一步研究。但是,這并不影響對構成要件理論和增設新罪的研究。因為基于行政從屬性原則,行政犯罪之構成要件依賴空白刑法的補充規(guī)范來加以填充。這些行政法規(guī)范對犯罪構成要件起補充說明作用,故名“補充規(guī)范”。所以,行政前置法律越規(guī)范、越完善,就越能幫助刑法在構成要件該當性的認定上越精確。
      另外,“情節(jié)嚴重”還應當從社會危害程度上作進一步判斷。因為刑法理論對結果(危害結果)存在不同的表述。從結果的范圍來說,分歧在于行為制造的現實危險狀態(tài)是不是結果?;诜ㄖ刃蚪y(tǒng)一性原理的初步構建來看,制造了情節(jié)嚴重的結果應當是行為給刑法所保護的法益所造成的現實侵害事實與現實緊迫的危險狀態(tài)。基于重要數據社會影響范圍和程度,數據泄露本身就是一種危險狀態(tài),應該被視作具有抽象的危險。不過,如果認為抽象危險是一種立法的推定,那么對其反證是否會被推翻?即雖然數據處理者具有違規(guī)行為,但是沒有造成實害結果,是否應該科處刑罰?對此,本文認為,抽象危險一般不需要司法上的具體判斷,在某些場合只需要以一般的社會生活經驗為根據認定行為具有發(fā)生侵害結果的危險即可。例如,在《網絡數據安全管理條例》(征求意見稿)中第11條規(guī)定“發(fā)生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務……”,可見,危險狀態(tài)可通過“數量大小”和“不履行具體義務”的方式進行綜合判斷。不過,情節(jié)嚴重作為一種概括性定罪情節(jié),這一問題的判斷具有復雜性,作為一種開放的構成要件值得更進一步的研究。

      來源:《上海法學研究》2023總第10卷(中國式現代化法治展開)。




      上一條:勒索軟件攻擊激增:三分之一公司多次支付巨額贖金
      下一條:數據流通環(huán)節(jié)如何規(guī)避安全風險
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部