鍛造數據安全的追責鎖鏈

莊嘉

近年來，危害數據安全的案件屢屢發生，但涉事主體的法律責任卻難以得到全面追究和落地執行。在數據安全引起各方廣泛關注的背景下，《數據安全法（草案）》（以下簡稱“《草案》”）應運而生。筆者認為，該草案填實了涉及數據違法犯罪的追責漏洞，緊密銜接了行政處分、行政處罰與刑事處罰的追責鎖鏈！

明確數據泄露罰則，填實網絡安全立法盲區

目前，我國規制數據安全的法律主要有《刑法》和《網絡安全法》兩部。一方面，《刑法》中涉及數據安全的罪名主要有三個，分別是“侵犯公民個人信息罪”（第253條）、“非法侵入計算機信息系統罪”（第285條）以及“破壞計算機信息系統罪”（第286條），重點在于打擊懲治個人信息的買賣與交易。另一方面，《網絡安全法》對網絡數據以及數據涉及的主要環節作出了界定，由第59條規定了網絡運營者不履行網絡安全保護義務的罰則，并由第42條、第45條明令禁止數據泄露行為，但未明確規定數據泄露的法律責任。

這為數據安全事件的高發埋下了隱患，超范圍采集數據、超授權存儲數據、數據泄露、越權收集數據、數據售賣等違規違法濫用數據的行為屢見不鮮。（見圖1）在這些重大事件中，由于《刑法》《網絡安全法》均未對數據泄露作出明示規定，涉事企業之責便因法之不明確而難以追究，因此鮮見對數據收集方、存儲方之嚴懲。正如上海交通大學數據法律研究中心執行主任何淵所言，“監管機構對數據泄露沒有追究企業責任的法律依據，這個問題亟須解決”。

數據安全正式立法之后，執法機關對數據泄露擔責的企業處罰便有法可依。相較于《網絡安全法》第59條的規定，《草案》第42條明示了“造成大量數據泄露，處10萬元以上100萬元以下罰款”的法律責任。此舉雖然在處罰幅度上未有大的變化，但是更加明確和突出了數據泄露的法律責任，監管機構的執法效果將更具針對性。今后，涉及數據管理的企業將不得不進一步提升自身的數據安全管控能力，否則一旦發生數據泄露就要面臨明確的處罰。

當然，值得關注的是，類似數據泄露的處罰事件中，英國航空公司僅泄露幾百萬數據就被歐盟罰款2億美元。相較于《草案》規定的100萬元罰款的上限規定，筆者建議借鑒我國《消費者權益保護法》第55條規定的“3倍賠償條款”以及《食品安全法》第96條規定的“10倍賠償條款”，對數據泄露行為造成的直接經濟損失設置一套損失評估和倍數賠償制度，以進一步加大對數據泄露企業的罰則力度！

切斷數據非法交易之橋梁，規制數據交易之中介機構

在辦案實踐中，數據安全中極易發生的問題便是“數據的非法交易”。從公安執法角度而言，在日常檢查層面網安部門主要依據《網絡安全法》《公安機關互聯網安全監督檢查規定》來發現違法事實與追查犯罪線索。如圖1所示，在數據售賣事件中，中介機構往往會成為數據非法交易的媒介和橋梁。此類情況多見于電信、郵政、計生、保險、物流、酒店、銀行、快遞、鐵路、航空、互聯網金融等集中收集和存儲數據的行業。

數據安全正式立法之前，無論是《刑法》還是《網絡安全法》，都沒有明確規定對數據交易的中介機構進行處罰。因此，如果中介機構未達刑事追責標準，無法被認定為共犯，那么對數據交易的中介機構在行政處罰層面就難以追究。比如，在江蘇南通、如東兩級公安機關破獲的特大“暗網”侵犯個人信息案中，公安機關共計抓獲犯罪嫌疑人27名，查獲被售賣的信息數據5000萬余條，執法成效可謂顯著。然而，據犯罪嫌疑人王某的供述，其通過多種途徑收集大量商家信息和數據，并非法購買了包括期貨、外匯投資人等公民的信息數據。之后，王某等人就在“暗網”交易平臺上進行兜售。其中，很可能存在數據交易的中介機構進行居間搭橋。若中介機構的行為不夠刑事追責條件，根據現行法律法規的規定，對其追究法律責任或許存在依據真空地帶。

鑒于此，《草案》第43條明確了數據交易的中介機構的罰則，令中介機構在數據交易中的掮客作用進一步弱化，有機銜接了《網絡安全法》第64條的規定，提高了數據非法交易的違法成本，擴大了數據非法交易的涉及面，更加有利于打擊團伙犯罪。

嚴懲數據內鬼，堵住違法犯罪源頭

根據公安部對外披露的數據，截至2020年4月，在“凈網2018”“凈網2019”“凈網2020”專項行動中，全國公安機關共偵破侵犯公民個人信息案件1.7萬余起，抓獲各行業“內鬼”3000余名。其中不乏員工監守自盜甚至是與國家工作人員進行內外勾結的行為。一言以蔽之，“內鬼”堪稱數據安全隱患的源頭！

如前文所述，我國對于公民個人信息、計算機信息系統的非法獲取、非法提供、非法出售進行了刑法規制。同時，若數據安全涉及國家秘密，對于泄露國家秘密的行為，《刑法》設置了故意泄露國家秘密罪、過失泄露國家秘密罪等進行規制。比如，根據中國裁判文書網披露，在何某某受賄、貪污、故意泄露國家秘密罪一審刑事判決書中，何某某身為國家工作人員，違反《保守國家秘密法》的規定，明知是保密工程文件資料，故意向他人泄露機密級國家秘密兩件，情節嚴重，構成故意泄露國家秘密罪。

然而，針對違規違法事件動輒適用刑事打擊能夠解決一時之痛，卻絕非長久之策！一方面，在數據賦能引領城市治理的背景下，越來越多的數據將通過國家機關進行生產、使用、共享。因此，部分省市已經專門對公共數據進行了地方性立法規制，在刑事追責程序啟動之前專門設置了行政處罰的門檻，比如《上海市公共數據和一網通辦管理辦法》（滬府令9號）。另一方面，從預防違法犯罪的角度，國家公職人員生產數據、傳輸數據、處理數據的情況將日益成為常態，如何從源頭上阻滯與阻止數據被非法利用是當前的一項重大課題。根據《華西都市報》報道，在成都衛生系統“內鬼”泄密事件中，外部人員勾結的就是衛生系統中有職務便利的國家工作人員。其多次將成都市新生嬰兒信息及預產信息導出后，通過線下交易方式，將信息出售。另據云南省人民檢察院通報，其在2019年10月告破的“8·11”公安部督辦特大侵犯公民個人信息案中，國家機關工作人員與通信公司經理、街道計生人員等互相勾結，做起了盜取販賣公民個人信息的行當，涉案信息達到2000萬余條，涉案金額高達400萬余元。此案中，源頭也是國家機關工作人員！

雖然目前多數涉密材料均通過涉密設備或者內部書面機要進行傳輸，但是隨著大數據應用和數據共享的進一步深化，今后以數據形式處理涉密材料將步入常態。顯然，立法機關已經注意到了相關問題，前瞻性地通過法條形式進行規制，比如《草案》第45條規定了“國家機關”不履行數據安全保護義務的法律責任，第46條規定了“國家工作人員”不履責的法律責任。相較于《網絡安全法》第72條規定的“國家機關政務網絡的運營者”的行政處分、第73條規定的“網信部門和有關部門”的行政處分，《草案》第45條、第46條提檔升級了處罰措施，違法成本將大大提升。

在數據立法之后，在國家機關和公職人員涉及的數據安全領域，我國將形成《網絡安全法》的“行政處分”、《數據安全法》的“行政處罰”以及《刑法》的“刑事處罰”的三級法律責任體系，更加擰緊了政務數據的安全閥門，并有望進一步遏制公職人員違規違法濫用內部數據！

習近平總書記高度重視網絡安全問題，著重提出，“沒有網絡安全就沒有國家安全”。數據安全作為網絡安全的重要組成部分，理應受到格外重視和法制保障。此次數據安全的立法再次為數據企業和監管部門敲響警鐘，以法為屏倒逼多方協作形成合力、建立數據安全的疊加保護管理制度。箭已在弦上！

編輯：黃靈? yeshzhwu@foxmail.com