按照《数据安全法》数据分类分级的保护要求和《刑法》的法益保护机能,重要数据具有刑法单独保护的必要。《数据安全法》第52条中有“违反本法规定……构成犯罪的,依法追究刑事责任”的表述,故刑法应当做出合理应对。但是,当前刑法并无针对性罪名有效保护重要数据,因此当刑法无法再在解释层面寻求突破的情况下则应当提供新的规范供给。基于行政犯罪行为行政、刑法责任的二元制裁体系,采取秩序化的保护模式才能更有效地保护重要数据;在结合《数据安全法》的立法目的和重要数据本质特征的基础上,应当确定法益内容是以“保障重要数据真实性和安全性为义务内容”的数据安全管理秩序;为进一步加强对重要数据的刑法保护,建议增设拒不履行重要数据安全保护义务罪,以针对性地追究重要数据处理者不履行安全保护义务的刑事责任。
数据分类分级保护是《数据安全法》的核心制度,也为刑法学的介入研究提供了逻辑基础。当前《刑法》中涉及数据的相关罪名,主要是第285条非法侵入计算机信息系统罪和第286条破坏计算机信息系统罪。然而,这两个罪名及相关司法解释都是以“计算机系统”为核心的规定,相较于数字经济的时代背景,其立法思路难免老旧,构成要件的范围也没有体现专门性的数据安全保护的作为义务。而且从网络技术逻辑而言,“计算机信息系统安全”法益也难以精准描述数据犯罪的法益侵害。除了这两个罪名之外,在解释论层面也无法进一步将拒不履行信息网络安全管理义务罪的行为对象涵摄为重要数据。基于法益对犯罪类型的区分机能,重要数据安全保护和信息网络安全法益之间也存在根本性抵牾,难以在适用逻辑上自洽。所以,数据的内涵不同于信息网络,以往的信息类犯罪已无法再扩大解释为数据类犯罪,而有必要类型化为新的法益进行保护。本文重点聚焦行政法与刑法之衔接问题。关注《数据安全法》《网络数据安全管理条例》(征求意见稿)、《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)以及相关政策和立法,对具体条文中数据处理者的法律责任进行了体系化思考。在论证数据分类分级保护制度背景下刑法介入保护重要数据正当性的基础上,认为重要数据的刑法保护不应采取财产权益保护的路径,而应当通过秩序化的保护模式。最后,从立法论的角度建议增设拒不履行重要数据安全保护义务罪,规制有能力而拒不履行重要数据安全保护义务的行为,以期有助于推动数据处理者刑事责任的研究。数字经济时代数据的安全治理符合社会发展和治理的现实需求,这也是我国很多学者提倡和坚持未来刑法立法应进一步犯罪化规制的动因所在。当然,这种考虑往往是以刑法的严厉性和高效性为思考基础的。应该说,以安全作为刑法的首要价值的安全刑法具有顺应时代发展现实的意蕴,对于及时维护社会的稳定与安宁具有规范意义,但是安全刑法对传统刑法的冲击及其存在的一些弊端也是值得反思的。根据刑法的谦抑主义精神,展开对数据安全治理这一问题的研究和分析时,必须把握数据分类分级的本质内涵。所以,应当首要探讨刑法对重要数据介入保护的逻辑基础以及保护必要性等问题。为揭示我国数据分类分级相关研究趋势,本文以中国知网作为数据来源,以“数据分类分级”作为主题词进行检索,将统计时间设置为2000年1月-2023年2月,在剔除重复或者不符合主题的文献后,共获取421篇研究文献。其中,科技类219篇,社科类202篇。自然科学类论文和人文社会科学类论文表现为并驾齐驱的研究态势。在2019年后,研究进入了火热期,无论是从论文发表的时间密度还是研究主题上都呈现出对数据分类分级研究的广度和深度。经过对文献大量的梳理和总结,可以得出数据分类分级直接目的在于对数据管理,深层次目的在于对数据的利用和流通的结论。“分类分级”并非一个全新的概念,按照对事物规制整理的普遍逻辑,“分类分级”是一种提高管理效率的思维模式或者行为模式。2021年6月10日《数据安全法》正式颁布,分类分级原则作为《数据安全法》确立的一项基本原则,也为数据安全提供了法律制度层面的依据。诚然,数据的生命周期包括数据采集、数据传输、数据储存、数据处理、数据交换、数据销毁六个阶段。其中,数据采集是最重要的环节,也是其他阶段具有意义的前提。过去,数据收集单一,覆盖面受限较大,所以整体上呈现出一种分散的、凌乱的、不连续的状态。这导致在实践层面的操作问题突出。所以,从整体来看数据分类分级是数据采集安全过程域的第一个基本实践,是数据生命周期安全管理的第一步,也是数据全生命周期保护和数据处理环境风险防控的基础。因此有学者指出,“数据分类分级是开展数据安全治理的起始点”。只有经由数据分类分级确定了数据类别与级别的数据在其生命周期中的各个环节才具备落实安全控制措施的可能。总之,加强数据安全保护,一个关键的前提条件就是对数据进行分类分级,在此基础上才能采取相应的保护措施。需要注意的是,数据分类分级原则上需要借助工业技术上的识别和分类,法学研究应当在充分尊重客观的技术分类和分类标准的基础上发挥作用。但是,这并不是说法学研究完全依附于自然科学而失去自身的价值与独立性。面向现实社会,单纯从技术逻辑上进行分类分级也可能无法考虑到实际影响,错误的分类分级标准同样会造成严重后果。因此,数据分类分级需要在相关技术研究人员和人文社会科学学者的共同努力下再进一步明确。通过数据的收集、整理、分析、运用来把握、解读真实的法律实践,从而为法律的修改提供政策建议或依据。申言之,面对新名词、新技术不断涌现的当下,跨学科、学科交叉、交叉学科过程之中的研究内容和范围无疑正在变得愈发复杂,凭借传统、单一学科早已无法概括。因此,在数据分类分级的认定上,更需要融合自然科学与人文社会科学的功能和优势,更好地把握数据的属性和级别。否则,制度的构建和理论的研究都无异于空中楼阁,失去了根基。“重要数据”这一概念最早来自2017年的《网络安全法》,但是当时并未正式定义。同年,《信息安全技术数据出境安全评估指南》(草案)附录“重要数据识别指南”按照行业划分28个大类重要数据,但是该草案最终也并未生效。2019年《数据安全管理办法》(征求意见稿)明确了“重要数据”的概念及具体安全保护工作。2020年《网络安全审查办法》(征求意见稿)规定网络安全审查重点评估内容包括重要数据。之后,2021年《数据安全法》提出对数据分类分级,提出制定重要数据目录。2021年《重要数据识别指南》(征求意见稿)确定了重要数据的识别原则和识别流程。同年的《网络安全管理条例》(征求意见稿)对“重要数据”正式定义,即“指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”。现实中,数据面临的安全风险已经凸显,数据违规收集、数据泄露、数据丢失、数据滥用等安全事件层出不穷。而且在很多情况下,掌握在企业手中的数据对国家、社会、个人的价值,要比对企业来说价值更高。或者说,一旦出现安全事件,对国家、社会、个人造成的危害可能比对企业的危害更大。
置身于风险社会,防范和化解重大风险成为重要的时代课题,刑法是否应当介入,可能会成为积极预防性刑法观和消极性刑法观之间所争论不休的问题。在本文看来,风险社会孕育出的“风险刑法理论”中所指的是一种慌乱不安的状态,虽然无法指出某种具体的灾难,但重点在于强调控制这种灾难的能力。然而,进入数字经济发展时代数据风险却现实存在,日益严峻的数据犯罪态势给数据法律秩序和数字社会治理带来重大挑战。数据所带来的安全问题不仅影响企业的生存,也对社会和公民个人信息安全造成了潜在危机。一方面,很多行业的业务即为数据,试想如果多租户隔离失败,数据发生泄露、篡改或不可用,会对该行业造成巨大的冲击和损失。另一方面,面对爆炸式增长的海量数据,与数据安全、数据权益相关的争议与案件频发,亟需加速推动数据安全治理的理论研究。结合数据分类分级保护背景和刑法的谦抑主义精神,无需动用刑法对所有的一般数据进行全流程保护,但由于重要数据覆盖范围广泛、数据结构多样、关联关系复杂、涉及大量个人隐私数据、涉及社会和国家利益等特点,无疑需要刑法介入保护。对此,有学者指出,在刑法视角下数据分类分级将成为犯罪形态的区分基准,应根据数据安全法益性质及其所受侵害,对数据犯罪进行罪质界定和罪量评价。显然,重要数据的安全已经是由刑法该不该介入转换为刑法究竟该如何保护的问题了。数据分类分级作为保障网络环境下数据安全的重要方法,因符合不同类型和级别的数据属性对应着不同层级的安全防护需求这一客观要求,得到了国家的高度重视。
从《刑法》规范视角而言,数据分类注重法益保护对象,数据分级更为注重数据重要程度。有学者指出,对于数据而言不同形态的数据法益保护需求亦有所差别,应根据法益内容与属性采取类型化保护思路。本文较为支持这一观点。面对重要程度、数据质量不同等未经筛选的数据若用“整齐划一”的严格标准要求去保护所有数据,会导致另一个极端,即风险管控和数据流通之间的不适配。也即,如果对于普通数据采取过于严苛的方式进行保护不利于数据开发利用和开放共享的发展方向。而如果对于重要数据的保护过于宽松和疏忽又会导致数据泄漏,影响到多数人或者个人的权益问题。倘若采用统一宽松的数据保护政策,公民个人隐私无处安放,甚至可能危及社会稳定和国家安全。法是一种“强制秩序”,对违反法或者侵害法秩序的行为,应当附加某种制裁,这种制裁是法秩序得以维持的重要保障。而这种“强制秩序”,也只能由刑法发挥其独有的社会机能来实现,从而使得数据分类分级构成了刑事司法领域数据安全保护的基本前提。二、重要数据处理者怠于履行安全保护义务而被追究刑事责任的前置法依据:《数据安全法》第52条行政法的目的性价值在于保护公民权利和维护公共利益。《数据安全法》第1条明确指出:“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法。”在广义刑法层面来看,经济法、民事法、行政法当中如若规定“构成犯罪的,依法追究刑事责任”的条文则是附属刑法规范。但由于我国并非出现过如同国外刑法那样直接设立罪名与法定刑,所以我国并不存在真正意义上的附属刑法。因此,当行政法不能顺利实现行政管理目的、不能有效地抑止某种危害行为时,就需要发动刑法。《数据安全法》第52条规定:“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”从刑法学的规范视角来看,该条文中的“违反本法规定,构成犯罪的,依法追究刑事责任”的规定搭建了数据处理者违法犯罪行为行刑衔接的桥梁。面对数据犯罪进一步分析二元制裁论体系下行政犯的双重违法性的内容,这对于数据犯罪刑事立法、构成要件要素的设置具有重要意义。因此,如何准确界定行政不法向刑事不法转换的条件以及区分违法行为和犯罪行为,需要进一步展开讨论。从行政违法到刑事犯罪:二元制裁体系下重要数据处理者的行为内涵与区分标准根据理论界的界定,行政犯也称法定犯,是指违反行政法规,侵害刑法保护的法益,情节严重的行为。法定犯具有行政和刑事的双重违法性。本质上来讲,数据犯罪的行政犯,是指数据处理者因违反国家保护数据安全的行政目的、侵犯行政秩序而被刑法规定为犯罪处罚的行为。
而行政犯罪行为的双重违法性决定了其法律责任即行政刑法责任的双重性,既要追究其行政法律责任,也要追究其刑事法律责任。由于不同部门法之间因法律属性、制裁机关、处罚方式均存在差异,决定了行政执法与刑事司法衔接的必然性和必要性。因此,刑法与前置性法律的衔接尤为重要。1997年刑法设置了非法侵入计算机信息系统罪和破坏计算机信息系统罪两个罪名,但因其以计算能力为主要视角、兼有物理设备隐形视角、不彻底数据视角的混合模式,数据犯罪及其保护法益的独立地位并不显见。而且,这种刑法先行的保护思路难以适应数据前置性立法,不符合法定法的双重违法性理念。数据处理者拒不履行《数据安全法》所规定的保护义务,并不是行政违法到刑事犯罪的必然逻辑。实践中,行政犯罪的认定需要引用对应的前置行政规范,但并不意味着违反了前置法规范的行为就一定构成犯罪。有学者指出,刑法既非前置法的绝对从属法,又非完全独立于前置法的法律部门,而是相对独立于前置法的最终保障法。的确,《数据安全法》以数据安全法益保护为核心,在前置性法律法规中居于基本法地位,前置法的认定须坚持刑事违法性判断的相对独立性。也有学者认为前置性行政法在刑法规范与行业规范之间,发挥着承上启下、衔接协调的“过滤”作用。所以应该认为,并不是所有违反《数据安全法》及相关法律的行为,都属于数据犯罪的规制范围,而是需经过行政违法到犯罪的实质过滤后,刑法对数据犯罪的介入才是科学的。2.重要数据处理者行政违法行为与刑事犯罪行为的区分标准
就理论逻辑而言,数据安全行政违法责任与刑事责任之间紧密相连,当数据安全不法行为达到一定的社会危害性程度并触犯刑律时,行政不法行为就会转换为刑事不法行为。我国秉持一般违法与犯罪的性质区分,不同于域外“大刑法”模式,采用的是二元制裁体系与圆筒型刑事司法运行体制。由此形成西方“严而不厉”的刑法结构、我国“厉而不严”的刑法结构。但是基于这样的立法模式,很容易凸显刑法滞后性的弊端。所以,面对复杂多变的社会发展形势,相当多的领域开始布局和立法。因此,对于为了保持权威性和稳定性的刑法而言,部分罪名的设置和构成要件陈旧是能够理解的。但是,随着数据内涵的愈发丰富,国家对其的安全管理逐渐精细化和标准化,在刑法构成要件当中体现《数据安全法》的立法目的和相关制度也同样是法秩序统一性原理的基本要求。
立法者之所以将一项行为规定为犯罪,是因为它具有社会危害性,因而社会危害性是犯罪的本质特征。对于数据处理主体违反《数据安全法》规定的数据安全保护制度、安全保护义务的行为,是否应当被作为犯罪行为来对待,还必须遵循我国《刑法》第13条规定的犯罪概念以及由此确立的法定犯罪构成体系。行政违法和刑事犯罪该如何区分,刑法学界已经形成“量的区别说”“质的差异论”“质量混合区别说”等不同学说主张。“量的区别说”注重行为轻重程度上的量的不同,刑事不法与行政不法相比只是在社会危害性上有所差异。“质的差异论”则认为,行政不法与刑事不法的区分在于两者本质上不属于同一种类的不法行为。犯罪行为与违反秩序的行政不法行为之间存在着实质性的区别。“犯罪性的不法是特别受道德上的无价值评价决定的,行政性的不法则仅限于一种单纯的不服从行政命令。”可见,质的区别论目的在于维护刑法的纯洁性和独立性。应当承认,量的差异论或者质的差异论各执一端,都有一定的合理性,但亦各自存在局限性。但本文认为,将重要数据处理者的不法行为纳入刑法的视野,应该是数据处理者侵犯了独立的刑法法益造成的。尽管“量的区别”具有重要的区分意义,但在数据犯罪行刑衔接的问题上,不是“从量变到质变”必然逻辑,而是因为该行为被刑法法益类型化为犯罪行为,达到科处刑罚的条件,具备了刑法独立的谴责性。就行政违法和犯罪而言,虽然某一违法行为在数量和程度上引起刑事责任具备合理性,但是绝大多数严重的犯罪行为从内容的标准上观察,违法和犯罪依然存在明显的差异性。综上所述,行政不法与刑事不法的区分并非单一的标准,而是根据法益侵害的性质,通过并行不悖的两个基准进行判别。至于重要数据的保护法益的内容究竟是什么,下文将单独展开论述。刑法规制重要数据处理者的不法行为应以《数据安全法》第52条作为援引条文的理由
法定犯必须坚持罪刑法定原则。行政犯在构成要件上通常也会有“非法”“违反……规定”等表述,指引司法工作人员在认定犯罪时援引特定的行政法规范。从而在法定犯构成要件符合性判断上才能全面而充分地判断法定犯构成要件符合性。因此,前置法的认定就必须要做到准确无误,针对重要数据,应该从《数据安全法》第52条切入探讨重要数据处理者的刑事责任。纵观整部《数据安全法》,条文当中有“追究刑事责任”表述的是第45条和第52条。但是针对重要数据处理活动,能够直接援引的条文应该是第52条。理由有二:第一,第45条无法精准描述重要数据。《数据安全法》第45条第1款针对数据处理者违反一般数据、重要数据安全保护义务只设定了行政处罚,没有设定刑事处罚;第2款针对核心数据设置了行政责任和刑事责任。根据数据分级规则,重要数据与核心数据是两个不同的概念,基于行刑衔接从第45条切入探讨重要数据的处理者的刑事责任并不恰当。第二,第52条的兜底性描述能够涵盖整个《数据安全法》的违规行为。《数据安全法》共分为七个章节,除去作为附则的第七章,第六章的法律责任部分即是位于最后面的惩罚性表述。而第52条起到了总结全法的概括性作用,即“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。从条文表述来看,“违反本法规定”是指违反数据安全制度、数据安全保护义务、政务数据安全与开放的内容。对于重要数据而言,可由第52条直接对应到例如第21条“重要数据的国家重点保护”、第27条“重要数据的处理者职责范围”、第30条“重要数据的处理者风险评估义务”、第31条“重要数据处理者跨境安全管理义务”等具体条文。可见,第52条起到了针对性“锁定”整部法律中的各种违规行为的作用。三、重要数据的刑法保护法益:以安全保护义务为内容的数据管理秩序刑法具有保护法益不受犯罪行为侵害的机能,同时刑法中犯罪的设立与认定都必须遵守法益保护原则。对于数据犯罪的法益而言,学界有诸多观点。有观点认为数据犯罪的保护法益是国家数据管理秩序。有观点认为,应当以数据的保密性、完整性和可用性作为数据安全法益的具体内容并受到独立保护。也有学者基于数字经济发展风险的影响因素,认为应采取“消极预防+积极利用”的数据安全法益观。这些观点面向广义的数据犯罪,都具有合理性,但是,面对因数据分类分级的级别特征和其造成严重后果可能性的重要数据而言,依然缺乏针对性,无法完全发挥法益指导立法和规范解释的机能。那么,对于重要数据而言,法益内容究竟是一种生活利益、经济价值抑或是一种秩序状态?法益不是对规范的重述,而是具有独立价值的实体概念,法益标签化的实质是变相的规范论,必须予以警惕。在本文看来,《数据安全法》《网络数据安全管理条例》(征求意见稿)赋予重要数据的处理者积极性和更为严格的重要数据安全保护义务,重要数据安全区别于信息网络内容的安全,强调的是重要数据本身及数据处理活动的安全,确保其处于有效保护、合法利用的状态。数据立法中针对数据处理者的法条均为强制性义务要求,并非以是否造成经济损失为判断标准,其重点在于规范数据处理者的行为,所以,首先可以确定对其应采取“秩序化”保护模式。但是,在我国数据犯罪刑事立法与司法适用均陷入困境的背景下,拒不履行重要数据安全保护义务的数据处理行为所侵犯的法益是否就是数据安全管理秩序?还需要进一步梳理和确定。刑法采取“财产权属保护模式”难以满足对重要数据的全面保护
根据法条的概念,重要数据所涉及的数据类型基本都是公共数据。公共数据关乎国民经济发展中生产生活的各个方面,蕴藏着巨大的经济和社会价值。根据麦肯锡测算,我国公共数据开放的潜在价值高达10万亿-15万亿元,占2020年全国财政收入约55%-82%。也有研究表明,我国政府部门掌握的数据资源占据全社会数据资源总量的80%左右。美国《开放政府数据法》中认为,公共数据(资产)是指“由联邦政府维护的、已经或可能向公众释放的数据资产或其部分”,包括开放政府数据,其具有“资产”的属性。我国也有学者从法教义学和产权经济学路径论证了公共数据的权属问题,认为公共数据的权利应当归属于国家,提出了私有制财产属性和国家所有的公权力面向的混合产权说。可见,公共数据作为数字经济时代的全新生产要素,的确具有财产的属性。数据财产说认为数据本身就是财产,数据犯罪侵害的法益就是数据财产权。但是,按照刑法对财产的保护逻辑,财产犯罪的法益类型有“本权说”“占有说”“中间说”等学说。由于公共数据不同于国家核心数据、企业数据以及个人数据,如果将逻辑设定为具有财产属性才有保护价值,就会发现公共数据的权属问题非常复杂。“本权说”需要在解决刑事责任前就民事上的权利义务关系作出明确的判断。“占有说”认为所有的占有均应受到保护,包括非法占有。“中间说”最为复杂,内部又因具体的财产认定和保护范围不同而存在不同学说。通过财产路径保护数据表面上看似可行,但其实并无法准确保护数据。所以,也有学者指出,如果计算机系统犯罪等数据犯罪侵害的也是数据财产内容安全的法益,那么,盗窃罪和计算机系统犯罪等数据犯罪的区分标准将是模糊的。而且,现阶段数据在民事层面的权利义务尚未研究清晰,财产权属保护无法涵盖所有公共数据,甚至会带来新的权属纠纷问题。这样容易产生“提出一个问题,产生更多问题”的麻烦。所以,有观点指出,数据犯罪法益涉及面很广,很难用“财产权”来概括。数据财产说会不当缩小数据犯罪的处罚范围。总之,不同于个人数据和企业数据,公共数据是属于全社会共享的公共资源,带有鲜明的公共属性特征,故刑法上不宜对其通过财产权属的保护模式。刑法应将“保障数据真实、安全”作为对重要数据的法益内容
应当捕捉到数字经济时代,面对数据的法律保护问题就是要平衡好“发展与安全”两者之间的关系。本文认为,《数据安全法》作为专门性法律,其保护的内涵是一个事物的两个方面:一是保护数据本身;二是对个人、组织、社会及国家利益的保护。所以针对重要数据,刑法同样应该采取这一思路,将其作为刑法保护的法益内容。一方面,数据的开放与发展的前提是数据的真实性。“深度伪造”技术最为核心的特征就在于高度真实性,以至于极其难以被发觉。随着当前数智技术的飞速发展,在数据的真实性问题上同样需要防范数据造假、数据伪造等行为。无论是促进数据开发利用还是数据分类分级制度下收集、存储、流动等环节的数据全生命周期,都应基于“数据真实”这一前提。实践中,《贵州省大数据安全保障条例》已经明确提出了“数据处理者确保数据的真实性、完整性、有效性、保密性、可控性等”要求。由此可见,保障数据真实对于数据安全保护起着基底的作用。换言之,如果数据处理者没有按照应有的规定保障数据的真实性,那么所谓的可用性、实效性、经济性、保密性都将失去意义。另一方面,数据的安全保护是数据犯罪法益理念的应有之义。随着数据的独立客体地位及保护价值逐渐为法律规范所承认,数据安全成为独立于信息网络安全的保护对象,在数据犯罪中确立数据安全的独立法益地位已成为大多数学者的共识。进言之,无论是认为数据法益是由人身权财产权等传统法益内容组合成的依附性学说,还是一种独立的法益类型,其都是以数据安全为核心。整个《数据安全法》的立法目的、章节设置以及对数据处理者的数据安全保护义务条文,都是可以作为刑法法益对前置法的评价内容,发挥法益的违法性评价机能。因此,本文相对更为赞同“消极保护+积极利用”的数据安全保护法益观点。我国“数据安全”法益应包括数据自身安全法益和数据利用安全法益。因为数据利用的前提逻辑就是数据真实性,保障数据流转过程中不失真。这更符合数字经济时代法律制定和产业政策所共同追求的目标。刑法应通过“秩序化保护模式”实现对重要数据的风险防控
秩序的追求来源于对效率和安全的双重需要。广义的社会管理秩序包括国家安全管理秩序、公共安全管理秩序、市场经济管理秩序、司法活动管理秩序。对于重要数据而言,采取秩序化保护应该细分为何种秩序呢?本文认为,应当将其纳入社会公共安全管理秩序的保护范畴之中,而这是由重要数据本身的性质和数据处理者的安全保护义务所决定的。
首先,国家安全管理秩序和司法活动管理秩序的保护内容不符合。根据《数据安全法》第21条第2款的规定,虽然核心数据当然属于重要数据,但是按照概念的区分,那些涉及社会公共利益部分的重要数据不属于国家安全管理秩序。这将导致用国家安全管理秩序无法全面保护重要数据。另外,司法活动管理秩序旨在保护诉讼活动的程序秩序,因此也无法适用。其次,社会秩序范畴当中,相对难以分辨的是市场经济管理秩序。如上文,公共数据的本质就是重要数据。国务院关于印发《“十四五”数字经济发展规划的通知》中指出,数据要素是数字经济深化发展的核心引擎。数据对提高生产效率的乘数作用不断凸显,成为最具时代特征的生产要素。数据的爆发增长、海量集聚蕴藏了巨大的价值,为智能化发展带来了新的机遇。协同推进技术、模式、业态和制度创新,切实用好数据要素,将为经济社会数字化发展带来强劲动力。公共数据在促进经济发展、推动创新、提高行政效率、改善公共服务、辅助决策等方面具有重要作用。这也意味着,公共数据作为新类型的生产要素在数字经济、市场经济管理活动中需要形成稳定、有序的状态,保证市场经济运行和发展。可见,以公共数据为内容的重要数据采取市场经济管理也具有一定的合理性。但问题在于,刑法保护数据的真正目的并不是直接保护国家和社会的经济利益,其直接目的应当是数据本身的安全。诚然,发展应当立足于安全,数据的经济价值也是建立在数据安全基础之上。这也是上文提出的为何先要保障数据自身的安全和数据真实性是数据安全的原因。而且,《数据安全法》中的对数据处理活动、风险评估、审核上报、安全义务、不能玩忽职守、滥用职权等制度设计都是为了数据安全的直接体现。如果是为了更好地保护市场经济秩序,则应当制定类似《数据交易促进法》的文件而非《数据安全法》。诚然,在国家大力发展数字经济、开放共享解放数据价值的背景下,保障数据流通以及开放共享离不开“发展与安全”这一对关系的平衡。所以,数字经济时代在重视数字经济发展的同时,首要应先关注风险的防范。诸多专家指出,政务信息系统存在大量安全隐患,数据安全与网络安全形势十分严峻,公共数据共享开放迫切需要厘清数据共享开放与安全责任边界,进一步明确数据安全工作的具体职责与法律责任。因此,数据经济发展的价值是以数据安全为基础的。最后,数据安全管理制度设计的本质就是一种秩序,应当确定数据安全管理制度中的安全保护义务属于社会公共管理秩序。法益是作为个人、社会和国家的具体利益而成为保护对象的。现代经济学已经充分认识到,制度的好坏对经济表现具有重要作用。实际上,制度与经济表现之间,存在“秩序”这一关键因素。因此,无论数据级别有多高、是何种分类,或者能够释放多少经济价值,都离不开数据管理制度这一种“秩序”的现实需求。进言之,根据《数据安全法》所规定的数据安全管理制度可知,数据处理者拒不履行义务由两个递进的行为构成。第一个行为是应当履行法律、行政法规规定的数据安全管理义务,第二个行为是应当履行监管部门责令改正的义务。对于重要数据而言,从《数据安全法》第27条和第30条的规定可以看出数据处理者拥有了由刑法之外的法律、行政法规加以规定的前刑法义务。《数据安全法》第45条第1款的规定表明,拒不改正的将受到罚款、对责任人进行处分、限制业务等行政处罚,又再一次强调了对数据的管理制度。这正是法定的数据安全保护义务的产生途径。所以,重要数据数据处理者实施了违法行为之后,不遵照监管部门的责令改正通知予以改正,是对行政命令不予服从,这将导致自上而下的行政管理失效,数据安全岌岌可危,数据安全秩序节节溃败,数据安全管理秩序受到损害。因此,秉承对数据安全管理思路,刑法上对重要数据法益宜采取“秩序化保护模式”。可见,将重要数据处理者的安全保护义务作为一种社会管理秩序更为合理,创制一种以数据安全管理秩序为核心的新型法益具有可行性。四、重要数据处理者拒不履行安全保护义务的刑事责任认定:罪名“立、改、释”的讨论刑法理论需要处理好立法活性化时代“立改”与“废释”之间的关系,也应该充分实现立改废之间的协调性与适时性。理论上一般认为,法教义学是指将现行实定法作为深信不疑的基础和前提,对其概念、原则等进行解释与体系化的规范科学。但是在刑事立法方面,法教义学分析发现立法自身存在漏洞或矛盾之处,同样会对立法起到指导和批判的促进作用。所以,按照刑法教义学原理,刑事立法在增设新罪时必须贯彻必要性、类型性、明确性、协调性原则。4增设新罪可以是增加新的罪名,也可以是通过修改已有的法条而使之涵摄新的犯罪。随着数字化技术的发展,数据渗透生活每一个角落,针对数据的窃取、篡改、破坏、扩散等行为增多,需要及时进行法律规制。所以,对于那些程度重要的数据,更具有保护的必要。而刑法也应因时代发展作出调整,并对某些侵犯法益的行为和领域进行立法,其正是为了进一步保护公民利益、保护社会利益。因此,刑法不能完全固步自封,完全停止犯罪化,而是要顺应时代发展合理推进犯罪化,对于现实生活中面临的这些愈发凸显的现实问题进行刑法规制,发挥刑法功能。但也要注意,立法不应是一种对犯罪施以威胁的姿态或情绪,而应该追求刑罚规范的实际效果。因此,基于刑法谦抑主义内涵的要求,依然需要回答犯罪化进程中“立改释”预防体系内部的协调关系问题,即刑法在面对新问题、应对新挑战时,能解释的绝不轻易修改立法,能修改立法的绝不另立新罪,在“立改释”三种方法中,“立”应位于最后序列。具体就重要数据而言,纳入刑法规制的两条基本路径同样是“改释”已有罪名抑或是“立”(增设)新的罪名,下面展开具体分析。梳理当前刑法涉及数据的两个罪名,其立法沿革相对久远。刑法中有关数据表述的罪名有第285条非法侵入计算机信息系统罪和第286条破坏计算机系统罪。《刑法》第285条规定的是非法侵入计算机信息系统罪,该罪名的条文先后被修订两次,2009年《刑法修正案(七)》第9条第一次修订,增设了“非法获取计算机信息系统数据”“非法控制计算机信息系统罪”,将其作为第2款、第3款的条文表述。2015年《刑法修正案(九)》增设了单位犯罪相关的内容。2011年8月1日最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》对条文中的相关犯罪构成要件进行了进一步解释;《刑法》第286条规定的是破坏计算机系统罪,该罪名的条文在2015年《刑法修正案(九)》第27条修订,也同样增设了单位犯罪相关的内容。但是,上述条文中提到的数据,都是以“计算机信息系统”为核心延伸出的概念。而《数据安全法》是2021年6月10日第十三届全国人民代表大会常务委员会第二十九次会议通过的,增加了非常多新的数据内涵、制度和内容。因技术层面的变革,其对于计算机信息系统的依附性正在逐渐弱化,数据领域具有单独保护的必要性。如前文所述,保护重要数据真正的价值是对其在处理过程中所面临的收集、修改、产生的数据内容不被破坏和不被篡改等进行真实的数据处理活动,保证数据真实性和安全性,因而对其中任何一个数据处理环节的破坏并不会导致计算机信息系统的破坏。面对社会经济发展当中遇到的新问题,上述两个罪名立法思路滞后、构成要件陈旧,再将信息类犯罪扩大解释为数据类犯罪较为勉强,不能准确应用于重要数据领域。此外,重要数据的处理者怠于履行安全保护义务可能致使重要数据泄露或者被窃取、篡改、毁损、非法使用等严重后果。而数据管理义务又绝非信息网络安全管理义务,所以也不能适用拒不履行信息网络安全管理义务罪。因此,本文认为不能因囿于刑法欠缺专门罪名的现状,再把非法侵入计算机信息系统罪、破坏计算机系统罪中的数据或者拒不履行信息网络安全义务罪“迂回解释已有罪名”和“修改已有罪名”适用于重要数据,使其成为变通之道。基于上述观点,本文认为应当通过另一路径,即从增设新罪名的角度出发进行刑法规制。立法的核心价值就是提出一套解决纠纷的理性方法,其背后的重点是为了实现某种特定目的,让社会导向正面发展。数据管理秩序的构建成为新时代我国社会治理的重要任务,从《网络安全法》《数据安全法》的颁布到《网络数据安全管理条例》(征求意见稿)的起草,就应当捕捉到数据安全管理秩序已经形成。因此,本文建议增设“拒不履行重要数据安全保护义务罪”,将重要公共数据处理者的违规行为纳入刑法规制范围。在《刑法》第286条之一后增设一条,作为第286条之二。具体的罪状和法定刑应当与第286条之一的拒不履行信息网络安全管理义务罪在形式上一致,具体应表述为:数据处理者不履行法律、行政法规规定的重要数据安全保护义务,经监管部门责令采取合规整改措施而拒不改正或者整改无效,致使重要数据遭受泄露、窃取、篡改、毁损、非法使用,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款规定处罚。犯本罪的同时构成其他犯罪的,依照处罚较重的规定定罪处罚。刑事立法尤其犯罪化立法是一项系统性工作,牵一发而动全身。结合上文所述,增设新罪必须经过刑事立法的目的正当性(法益保护)要求和刑事立法的手段正当性(谦抑主义)的检视,而且还需满足刑法明确性原则和体系协调性原则,这也是法教义学作为一门对现行法律进行解释与体系化的规范科学的内在要求。因此,针对拒不履行重要数据安全保护义务罪的行为主体、构成要件行为、责任形式、结果与情节方面应作进一步解释。第一,数据安全保护义务的首要主体就是数据处理者。拒不履行重要数据安全保护义务罪的行为主体并非一般的自然人和组织,而是法律授权的数据处理者,即具有数据处理权限的个人或者组织。《数据安全法》第27条规定,重要数据处理者必须履行数据安全保护义务,规定了数据处理者应当明确数据安全负责人和管理机构。问题在于,平台是否属于数据安全保护义务的主体?有学者认为,平台具有保护义务,而且将平台企业的责任内容分为积极作为义务和消极不利后果两个面向。平台责任是消极意义上的后果性责任。也有学者认为平台不具有数据安全保护义务的主体身份,因为从事数据交易中介服务的机构存在不处理数据的情形,谈不上数据安全保护义务,其只需要按照我国《数据安全法》第33条的规定,在提供中介服务时要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录即可。该义务不属于数据安全保护义务。第二,本罪的构成要件行为是不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正。可见,重要数据保护义务具有双层内容。如果单纯不履行数据安全管理义务的行为,只是违反了第一层的行政义务,并不成立犯罪。只有经过监管部门责令采取改正措施而拒不改正的,违反第二层的刑事义务内容,才可能成立犯罪。这样设计构成要件行为能有效衔接前置法,更符合《数据安全法》第45条和第52条的法条内容。但需要注意的是,在认定“经监管部门责令采取改正措施而拒不改正”时,一方面要综合考虑监管部门责令改正的程序正当性、手段合法性及责令内容明确性等因素,另一方面还要判断数据处理者的“整改能力”。对于具有重要数据处理权限的企业平台,确实因为客观条件限制,难以达到监管部门责令整改的具体要求的,不宜认定为“拒不改正”。第三,拒不履行重要数据安全管理义务罪的责任形式应为故意,客观行为方式可以是作为也可以是不作为。《数据安全法》与《网络数据安全管理条例》(征求意见稿)中都规定了数据处理者具体的处理方式,其包含作为与不作为。具言之,可能是数据处理者在收集、存储、使用、加工、传输、提供、公开等数据处理活动中由于操作规范问题,导致数据泄漏或者发生危害数据安全的行为。也可能是数据已经泄漏,但不去履行数据避免、补救、恢复等处理义务。例如,在具体的法律中大多对数据处理者采取“应当按照,应当使用,应当立即采取,应当建立,应当履行……”的表述。而且,行为人必须认识到自己不履行重要数据安全管理义务,经监管部门责令整改而拒不整改的行为会发生上述构成要件结果的,并希望或者放任危害结果的发生。第四,妨害重要公共数据安全管理罪“情节严重”的认定,应当以行为人实际泄漏重要数据的涉及范围、数量大小、重要程度以及经济损失等为核心判断标准。基于法定犯存在“法益性欠缺”的先天不足,对于数据安全犯罪的法定犯,不宜仅仅因为对规范的不服从就认定为犯罪。如上文所述,本文认为,只有综合考量行为主体责任能力、行为方式和责任阻却事由后确定侵犯数据安全管理秩序的行为具有现实危害性,或者至少具有紧迫的现实危害性时,才能构成犯罪。当然,这一问题也是目前最为复杂和最需要关注的。一方面,当下虽然颁布了《数据安全法》,但《数据安全法》只是针对一般数据处理者进行了普遍意义上的规定。对于重要公共数据处理者暂无更具体的数据处理规范。另一方面,国家分类分级保护制度仍在构建过程中,重要数据目录尚未完成。而且,《网络数据安全管理条例》目前还处于征求意见稿阶段,作为一种保护数据管理秩序法益行政犯,刑法还需要观望和进一步研究。但是,这并不影响对构成要件理论和增设新罪的研究。因为基于行政从属性原则,行政犯罪之构成要件依赖空白刑法的补充规范来加以填充。这些行政法规范对犯罪构成要件起补充说明作用,故名“补充规范”。所以,行政前置法律越规范、越完善,就越能帮助刑法在构成要件该当性的认定上越精确。另外,“情节严重”还应当从社会危害程度上作进一步判断。因为刑法理论对结果(危害结果)存在不同的表述。从结果的范围来说,分歧在于行为制造的现实危险状态是不是结果。基于法秩序统一性原理的初步构建来看,制造了情节严重的结果应当是行为给刑法所保护的法益所造成的现实侵害事实与现实紧迫的危险状态。基于重要数据社会影响范围和程度,数据泄露本身就是一种危险状态,应该被视作具有抽象的危险。不过,如果认为抽象危险是一种立法的推定,那么对其反证是否会被推翻?即虽然数据处理者具有违规行为,但是没有造成实害结果,是否应该科处刑罚?对此,本文认为,抽象危险一般不需要司法上的具体判断,在某些场合只需要以一般的社会生活经验为根据认定行为具有发生侵害结果的危险即可。例如,在《网络数据安全管理条例》(征求意见稿)中第11条规定“发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务……”,可见,危险状态可通过“数量大小”和“不履行具体义务”的方式进行综合判断。不过,情节严重作为一种概括性定罪情节,这一问题的判断具有复杂性,作为一种开放的构成要件值得更进一步的研究。
来源:《上海法学研究》2023总第10卷(中国式现代化法治展开)。