數據的刑法保護探究

●邱賽蘭

一、數據運用現狀

進入大數據時代后，數據被更廣泛運用到社會生活的各個方面，給我們的生活帶來了前所未有的變化，除了讓我們的日常生活變得簡單、便捷外，另一個最大的變化使我們看世界的角度將從實體物質化轉變為數字虛擬化[1]，經濟數字化、政府數字化、企業數字化，數據開始在企業與企業之間、政府與企業之間以及國與國之間流轉、融合、使用直至泄露。有IT業界人士預測大數據將在物聯網、智慧城市、增強現實(AR)與虛擬現實(VR)、區塊鏈技術、語音識別、人工智能、數字匯流七大發展方向被得到廣泛應用[2]。

數據之于科學之意義，在自然科學的歷史豐碑上寫下了濃墨重彩的一筆，充分揭示了數據對于科學發現的無限重要價值。而大數據的到來，給科學研究無論是在研究對象、研究主體、研究方法、研究思維方式上還是在研究的范式上發生了改變，特別是社會科學領域能夠藉由前沿技術的發展從宏觀群體走向微觀個體，從而獲得傳統科學研究方法無法完成或發現不了的新知識、新規律，傳統研究無法做到的事，都在大數據到來的那一剎那遁于無形，使一切不可能變為可能。

數據之于國家之意義，有專家言論，對數據掌控、利用以及保護能力，已成為衡量國家之間競爭力的核心要素[3]，國家水平的競爭力將在一定程度上反映在一個國家擁有大數據、解釋和應用數據的規模、活動和能力上，因此，數據是一個國家重要的戰略資源和重要生產要素，一個國家在網絡空間的數據主權將是繼海、陸、空之后又一個大國博弈的空間。大數據將直接影響國家和社會的穩定，在這樣的背景下，我國的《數據安全法》應運而生，公布實施。

二、數據的法律保護現狀

（一）前置法對數據的保護

2021年《中華人民共和國數據安全法》（以下簡稱數安法）公布施行。數安法不僅是數據領域的基礎性法律，也是國家安全領域的一部重要法律[4]，數安法的頒布標志著我國對數據的管理已從分散管理向集中管理，綜合管理向專門管理、政策調控向依法治理轉變，數安法為單位和個人進行收集、存儲、使用、加工、傳輸、提供、公開數據資源等活動指明了方向和提供法律保障，體現了我國在對數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益方面所具有的科學性、合理性、嚴密性。

《數據安全法》對數據保護的具體措施如下：

1.明確了數據安全法適用范圍。數安法不僅監管我國境內的任何組織和個人開展的數據處理活動及其安全行為，而且也能適用于在國外實施的相關數據處理活動，當然前提是這些數據處理活動必須有損我國的國家安全、公共利益或者公民、組織合法權益。

2.明確了數據安全管理責任主體。數安法對數據采用多元治理，明確授權多主體參與數據認定[5]，即各地區、各部門對本地區、本部門、本行業要確定重要數據目錄，這也表明數安法對數據安全實行條塊管理，中央國家安全領導機構負責國家數據安全，地方、部門、相關行業對自己負責的領域所產生數據及數據安全負責。數據安全的監管職責則由公安機關、國家安全機關肩負。可以說數安法對各行業都形成了法律約束，杜絕了數據的隨意共享和流轉，有效地消滅了數據安全中的灰色地帶。

3.明確了數據適用原則。（1）合法、正當、安全原則。即開展數據處理活動，應當在法律法規許可的范圍內進行，同時也應符合社會公德和倫理，遵守商業道德和職業道德，目的是旨在促進經濟社會發展，增進人民福祉，并不得危害國家安全、公共利益、損害個人、組織的合法權益。（2）保密原則。即禁止泄露或非法向他人提供在履責過程中獲取知悉的與個人、商業等有關的具有保密要求的數據。開發電子政務的受托方同樣具有保密義務，不得擅自留存、使用、泄露或者向他人提供政務數據。（3）禁止不法取得原則。即對于數據的收集無論是組織還是個人實施都應當方式合法、正當，禁止采取盜竊等任何不法方式取得數據，其次，應當符合法律法規規定的收集、使用數據的目的、范圍收集、使用數據。（4）對等原則。對等原則的適用主要表現在兩個方面，一是外國司法或者執法機構請求我國提供數據的，我們的解決路徑是依照法律、國際條約、協定或平等互惠原則處理，禁止境內的組織、個人擅自向其提供存儲于我國境內的數據。二是涉及與數據和數據開發利用技術等相關的投資、貿易事項他國或地區對我國采取歧視性措施，如禁止、限制等，我國可視情況對其對等采取措施。

4.明確了數據安全管理措施。（1）建立數據分類分級保護制度。根據數安法第21條的規定，我國將數據分為三個等級，即核心數據、重要數據和一般數據。其分類的標準是看數據與國家安全、國民經濟、公共利益和個人、組織合法權益的關聯程度。對重要數據以上的數據類型要求相關部門制定目錄，以促進對重要數據的重點保護。（2）建立數據安全審查、風險評估，檢測預警和應急處置等基本制度。數據安全管理部門和處理者一方面應當對影響或者可能影響國家安全的數據處理活動進行國家安全審查，另一方面也應當加強數據安全風險信息的獲取、分析、研判、預警工作，及時發現數據安全缺陷、漏洞等風險，立即采取補救措，一旦發生數據安全事件，應有相應的應急預案和應急處置措施，以防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息。（3）出口限制原則。基于維護國家安全和利益、履行國際義務相關的屬于管制物項的數據依法實施出口管制。

5.法律責任。（1）行為類型：不履行規定保護義務；未履行審核、交易保存記錄義務；向境外提供重要數據的；拒不配合數據調取的；竊取或者以其他非法方式獲取數據等。（2）責任形式：行為人存在上述違法行為之一的，或承擔行政責任，即責令改正和警告、責令停業整頓、責令吊銷相關業務許可證或者吊銷營業執照，并給予一定數量的罰款，對負責人和直接責任人員依法處分。或承擔民事責任，即給他人造成損害，依法承擔民事責任。或承擔刑事責任，即構成犯罪的，依法追究刑事責任。

（二）刑法的保護

根據數安法對數據的界定、“分類分級”的管理措施以及涉及犯罪的籠統性規定，現有刑法對違反數據安全法的行為可以通過以下罪名來進行規制。

1.涉及國家秘密方面的犯罪。數安法對數據采取分類分級管理，將數據劃分核心數據、重要數據與一般數據，與我國《秘密法》等法律、行政法規的規定對照，即其中部分數據類型毫無疑問當屬于國家秘密的范圍，那么對開展涉及國家秘密的數據處理活動，如果違反國家有關保密制度的規定，可以根據相關侵犯國家秘密方面的犯罪規定來進行處理。如擅自為境外的組織機構、個人獲取、提供國家秘密的，則可以為境外竊取、刺探、收買、非法提供國家秘密情報罪追責。非法采集或走私我國人類遺傳資源數據的，可以非法采集人類遺傳資源、走私人類遺傳資源材料罪追責，以保護我國國家生物安全。如果瀆職造成泄密的，可以故意或過失泄露國家秘密罪追責。其他如非法獲取國家秘密罪等。

2.涉及個人信息方面的犯罪。數據安全法第53條第2款規定，在統計、檔案工作中若開展涉及個人信息的數據處理活動，則應當結合公民個人信息保護法的規定加強對公民個人信息的保護，對竊取、或以其他方式非法獲取公民個人信息等的行為可以根據刑法關于侵犯公民個人信息罪進行追責。

3.涉及商業秘密方面的犯罪。國家機關在對公司、企業行使管理職責過程中知悉商業秘密、保密商務信息等數據的，具有保密義務，不得泄露，也不得非法向他人提供。若違反保密要求，披露、使用或者允許他人使用其所掌握的商業秘密的，可以侵犯商業秘密罪追責，如果非法向境外的機構、組織、人員提供的，則構成為境外竊取、刺探、收買、非法提供商業秘密罪，彰顯我國刑法對國際間商業間諜行為的嚴厲打擊。

4.涉及瀆職方面的犯罪。對國家機關不履行數據安全保護義務的瀆職行為和有履行數據安全監管職責的國家工作人員的瀆職行為，依法追責。前者只追究其直接負責的主管人員和其他直接責任人員的責任，不成立單位犯罪。其觸犯的罪名是玩忽職守罪、濫用職權罪等瀆職犯罪。

5.涉及網絡安全管理方面的犯罪。數安法規定中央、各地方、各部門及相關行業組織應當依法制定數據安全行為規范，數安法對各行業都形成了法律約束，為刑法進一步加強對網絡安全管理提供了有力的法律保障。大數據時代電子數據是數據的主要表現形式，并且海量的發生，而電子數據容易遭到篡改、破壞、泄露或者非法獲取、非法利用，我國刑法也及時根據形勢的發展對網絡信息安全加大了保護力度，刑法修正案七、九增加一系列新罪對網絡安全、數據安全予以保護。第一，在侵犯計算機信息系統犯罪的規定上增設了兩種新的犯罪行為即非法獲取、控制計算機信息系統數據行為和提供侵入、非法控制計算機信息系統程序、工具行為。第二，在網絡利用、管理方面規定了三種新的犯罪，一是網管人員所構成的拒不履行信息網絡安全管理義務罪；二是在網絡上發布犯罪信息、虛假信息等所構成的非法利用信息網絡罪、編造，故意傳播虛假信息罪等；三是對幫助他人利用信息網絡實施犯罪所構成的幫助信息網絡犯罪活動罪。

三、數據刑法保護的完善

（一）網絡犯罪體系獨立化

97刑法修訂時涉及網絡犯罪的規定放置在妨害社會管理秩序罪中的擾亂公共秩序罪章節中，當時只設置了兩個具體犯罪，即破壞計算機信息系統罪和非法侵入計算機信息系統罪。隨著互聯網的普及，網絡群體、網絡服務迅猛發展，同時網絡暴力等現象不斷蔓延，網絡世界衍生出許多新的危害國家、社會、民眾利益的行為，鑒于此，國家出臺了一系列的法律、行政法規，采取新的舉措對此進行調控。如國家網信辦2015年發布了《互聯網用戶賬號名稱管理規定》，網絡實名制得以確立；針對網絡暴力的持續高發，飯圈互掐現象嚴重，網絡生態極不正常的現實，國家網信辦2019年發布了《網絡信息內容生態治理規定》，該規定對建立風清氣正的網絡空間、建設良好的網絡生態發揮了明顯作用。進入大數據時代，數據安全，數據開發利用其重要性更是彰顯，與此相適應，2021年《中華人民共和國數據安全法》頒布，一方面我們重視對數據的安全保護，以維護國家主權、安全和發展利益，以及對公民個人、組織的合法權益的保護；另一方面我們又以積極的態度促進數據的開發利用，以實現數據造福于人類、造福于社會。

與前置法配套，刑法在治理網絡犯罪方面也作出了相應調整，通過刑法修正案方式，增設了一系列新的犯罪對網絡行為進行管控。修正案七增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪、提供侵入、非法控制計算機信息系統程序、工具罪，修正案九拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪、幫助信息網絡犯罪活動罪。至此刑法共有七種犯罪對網絡行為進行規制。隨著科技的進步，網絡社會也將迎來新的變化，國家對網絡社會的治理無論是在行政上、民事上、刑事上會不斷完善，鑒于網絡社會自身所具有的特殊性，建議刑法對網絡犯罪的規定從現有章節中分離出來，單獨設置較為妥當。

（二）數據犯罪的立法完善

固然刑法對數據已有保護，仍有不少學者認為刑法對數據的保護是不完善的，如現有刑法關于“非法獲取計算機信息系統數據罪”的規定，其實施存在兩個限制，其一必須違反國家規定；其二只是獲取該計算機中儲存的數據，其他行為并不在此罪名約束范疇之內，如通過云端下載，在此種情況下，該罪名并不能完全保護涉數據網絡全部權益。又如現實生活中發生的調換他人二維碼，讓消費者將費用打入他人指定的二維碼賬戶案，目前刑法理論的主要研究方向是對行為人獲取財物的行為定性進行探討，即這種行為是詐騙還是盜竊，很少有人從數據的保護這一方面進行分析。從數據的角度看，行為人調換他人二維碼的行為并沒有篡改、破壞、泄露或者非法獲取、非法利用他人的數據資料，他的行為是在排除他人對自己數據的利用，應當認為是構成了對他人數據資料的侵犯，但目前刑法對此種方式并沒有規定。

隨著數安法的頒布實施以及今后與數安法配套的系列規章制度出臺，刑法在保護數據安全方面的不足也會更加顯現。因此認為，在未來立法中應增設以數據為獨立犯罪對象的罪名，明確規定涉數據網絡犯罪的種種行為，對不同侵犯行為加以區分，最終對侵犯數據安全的行為予以界定，作出正確的刑法評價[6]。如增設為境外竊取、刺探、收買、非法提供數據罪等，同時建議在數據犯罪上可設立兜底性條款，如侵犯數據罪，降低司法門檻，以保障數據安全，這種立法例也符合當今刑事立法的價值取向，即通過增設一定的輕罪來供司法部門選擇，以實現刑法作為解決社會問題的重要手段這一功能。