數據安全刑法保護的路徑選擇
——以2021年《數據安全法》頒行為契機

商浩文 張 萌

隨著信息網絡技術的飛速發展，數據已經成為當今社會不可或缺的資源。2020年3月30日，中共中央、國務院發布了《關于構建更加完善的要素市場化配置體制機制的意見》，將“數據”作為與“土地、勞動力、資本、技術”并列的市場化配置要素，正式明確了“數據”在國家經濟社會發展中的重要地位。[1]設立科學保護模式、防止數據濫用是加強數據資源整合和安全保護的重要環節。《中華人民共和國網絡安全法》《中華人民共和國民法典》《中華人民共和國個人信息保護法》（以下分別簡稱《網絡安全法》《民法典》《個人信息法》）等法律均涉及上述問題的相關規定。尤其是于2021年9月1日生效的《中華人民共和國數據安全法》（以下簡稱《數據安全法》），創新性地確立了數據分級保護制度、數據安全應急處置機制、數據安全審查制度等一系列舉措，為規范數據處理活動、促進數據開發利用提供了專門的法律支撐。

近年來，數據處理違法現象愈發嚴重，有些行為具有嚴重的社會危害性，達到了有必要利用刑法進行規制的程度。例如，在2019年5月北京警方破獲的“巧達科技”非法獲取計算機信息系統數據案中，涉案公司通過利用代理IP地址等非法手段爬取并出售個人簡歷數據超過2億條，涉及數據數量之大、牟利之巨令人瞠目。[2]但與實踐情況形成鮮明對比的是，目前我國刑法對于數據的保護處于較為滯后的狀態。2015年11月1日施行的《中華人民共和國刑法修正案（九）》通過擴大主體范圍、增設量刑區間等方式加大了對侵犯公民個人信息行為的處理力度并對計算機犯罪增加單位主體。但此后頒布的其他修正案并未涉及與數據有關罪名的增設或修改。刑法是其他法律的保障法，數據違法處理行為會對個人合法權益乃至國家安全造成嚴重損害，有必要動用刑法予以制裁。但是，現行刑法中關于數據的刑法制裁體系難以因應社會經濟現狀，有必要結合《數據安全法》頒行的新契機，探尋刑法對于數據保護的有效路徑。

一、數據的法律意涵與類型

數據具有跨計算機科學、傳播學等多個學科的特點，因此其與計算機系統、信息等概念均有一定關聯。目前法律領域對于數據的研究雖然數量很多，但這些研究對于數據基本概念的認識卻存在較大差異，有必要厘清數據的法律意涵。

（一）數據的法律意蘊

根據計算機科學的定義，在現代計算機系統中，數據的表現形式已不限于數字，文本、圖形、圖像、音頻、視頻等也逐漸成為數據的表現形式，但數據的本質仍然是一種“用于描述事物的符號記錄”，只有經過解釋，其含義才能獲得說明。[3]贊同上述觀點的學者經常將“數據”與“信息”進行區分。信息作為傳播學的核心概念，是一種“作為傳播內容的事實”[4]，其包含著新的情況、新的知識、新的內容。[5]在此種認識下，數據應當被理解為在計算機及網絡上流通的，在二進制基礎上的0和1的比特形式[6]，其本身并不具備表意性；而信息則應當被理解為“用來消除隨機不確定性的東西”[7]，具有特定的意思和內容。數據和信息呈現出一種載體和本體的關系。上述計算機科學和傳播學關于數據和信息的定義具有學科專屬性，但是其相關特征的描述可以為后續法律界定奠定基礎。

作為法律術語的“數據”具有不同于其他場合和學科的特定內涵與適用范圍。[8]從國內外近年來關于數據的立法來看，“數據”與“信息”呈現出越來越明顯的同質性特征。例如，于2018年生效的歐盟《通用數據保護條例》第四條規定，“個人數據”是指任何指向一個已識別或可識別的自然人的“信息”；2018年美國加利福尼亞州議會通過的《2018加州消費者隱私法案》第1798.140 (q)條規定，對“消費者信息”的處理指對“個人數據”或“個人數據集”進行的任何操作或一組操作。在我國，已生效的《數據安全法》第三條是“數據”的定義，即“任何以電子或者其他方式對信息的記錄”；2021年11月1日施行的《個人信息保護法》第四條規定“個人信息”指“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”；2022年1月1日施行的《深圳經濟特區數據條例》作出了與上述兩部法律類似的規定。其中，“數據”指“任何以電子或者其他方式對信息的記錄”，而“個人數據”指“載有可識別特定自然人信息的數據”。由此可見，目前的立法趨勢不再將“數據”定義為無意義計算機符號的簡單集合，而是逐步承認“數據”與“信息”的一體化特點。實際上，主張對“數據”和“信息”進行區分的學者也不得不承認，二者在網絡環境下難以割裂，具有相互轉化的較大可能。[9]可見，將“數據”與“信息”進行同質理解具有法律依據。

（二）數據的法律分類

數據的分類方式影響法律對于數據保護模式的設置，因此數據的合理分類顯得非常重要。根據數據定義及我國現行立法，對數據進行分類存在存儲形式和主體身份兩種標準。

1.以數據存儲形式為標準

根據《數據安全法》第三條，數據對于信息的記錄方式可分為“電子方式”和“其他方式”。相應的，數據也可以劃分為“電子化數據”和“非電子化數據”。關于“電子化數據”的含義界定，最高人民法院、最高人民檢察院（以下簡稱“兩高”）和公安部于2016年印發的《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》可以提供參考。其中第一條規定：“電子數據”是案件發生過程中形成的，以數字化形式存儲、處理、傳輸的，能夠證明案件事實的數據。該條規定是就“電子數據”作為證據的種類之一而言的，如果僅僅討論“電子化數據”的一般法律含義，可以將其理解為“以數字化形式存儲、處理、傳輸的數據”，而“非電子化數據”可以理解為“以除數據化以外其他形式存儲、處理傳輸的數據”，如紙質形式、錄音機磁帶形式等。[10]而電子化是以計算機和通信技術為基礎，將信息轉化為計算機可以識別和讀取的二進制形式[11]，最終實現信息使用和傳播的目的。[12]因此，“電子化數據”與計算機系統存在較為緊密的關聯，也可以將“電子化數據”簡單理解為存儲于計算機系統中的數據，而“非電子化數據”則是存儲于計算機系統之外的其他一切數據形式。

2.以數據主體身份為標準

有觀點認為，在互聯網背景下，應將“數據”限定為計算機信息系統所記載的，能夠識別特定用戶信息的個人數據。[13]然而，這種將“數據”與“個人數據”進行等同理解的觀點顯然大大縮小了數據的應有范圍，明顯與當下數據規模迅速增長、數據種類日益增多的趨勢不符。實際上，除了“個人數據”外，數據仍包含商務數據、政務數據等多種類型，這便涉及根據數據主體身份對數據進行分類。目前，學界對于“個人數據”的含義已基本達成一致，“個人數據”指“與已識別或者可識別的自然人有關的各種信息”，其初始數據主體是自然人。對于“政務數據”，《數據安全法》雖然沒有對其進行具體定義，但通過第五章“政務數據安全與開放”的規定可以看出，“政務數據”可以理解為“國家機關為履行法定職責的需要而收集和使用的數據”，其數據主體是以行政機關為主的國家機關。對于商業數據，可以按照商務部在2008年發布的《網上商業數據保護指導辦法（征求意見稿）》中對“網上商業數據”的定義，即“在電子商業活動中產生的、以數字格式存在于互聯網的商業信息，如企業財務和經營決策信息、客戶個人信息、市場競爭信息、交易記錄等”。因此，商業數據包含個人數據和企業數據。[14]然而，一方面，認為商業數據包括個人數據容易導致數據主體的混亂，且商業數據借助大數據技術已被匿名化，不再具備個人數據“可識別性”的特征[15]；另一方面，除企業外，商業活動主體還包括非法人組織等其他主體。因此，應當將商業數據理解為企業等商業主體在其生產經營活動中存儲、整理的大量具有商業價值且不具有識別性的數據[16]，其數據主體是個體工商戶、企業、非企業組織等商業主體。

二、數據安全刑法保護的現狀及困境

目前我國刑法對于數據沒有設立獨立的犯罪罪名，而是依靠計算機犯罪、個人信息犯罪、商業秘密犯罪等與數據有關的罪名所形成的保護體系對數據進行保護。經過立法及司法考察，可以看出這種保護模式逐漸暴露出保護力度不足、保護范圍存在遺漏的困境。

（一）數據的刑法保護現狀

1.以計算機犯罪保護電子化數據

我國與電子化數據有關的犯罪主要體現為計算機犯罪中的非法獲取計算機信息系統數據、非法控制計算機信息系統罪和破壞計算機系統罪兩個罪名。非法獲取計算機信息系統數據、非法控制計算機信息系統罪規定于刑法第二百八十五條第二款，是《刑法修正案（七）》新增的罪名，對于違反國家規定獲取計算機信息系統中存儲、處理或者傳輸的數據，且情節嚴重的行為進行了入罪化處理。破壞計算機系統罪規定于刑法第二百八十六條，是1997年施行的《中華人民共和國刑法》確立的罪名，除2015年《刑法修正案（九）》為該罪增加了第四款，即單位犯罪的處罰標準外，該罪在歷次刑法修正的過程中未被修改。對于數據犯罪而言，該罪所規制的是達到影響計算機系統正常運行程度且后果嚴重的，對計算機系統中所存儲、處理或傳輸的數據進行刪除、修改、增加的操作行為。

2.以侵犯公民個人信息罪保護個人數據

與民法和行政法相比，我國刑法是首先對于個人數據保護做出有效反應的部門法。[17]作為對個人數據進行保護的特定罪名，侵犯公民個人信息罪起源于《刑法修正案（七）》增設的出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。《刑法修正案（九）》將兩罪進行整合，將罪名修改為侵犯公民個人信息罪。與此同時，將該罪的犯罪主體轉變為一般主體，增加了“違反規定”的種類，通過設置不同的法定刑幅度提高了最高法定刑年限，從整體來看擴大了保護范圍、加強了保護力度，體現了刑法在數據保護方面的法益擴容。[18]該罪的設立體現了我國刑法對于數據保護的積極嘗試，對于多種數據類型中的“個人數據”保護發揮了重要作用。

3.以侵犯商業秘密罪保護商業數據

根據行為保護模式，對于可以認定為在生產經營活動中擾亂市場競爭秩序，損害其他經營者或消費者合法權益的行為，可以認定為不正當競爭行為，從而運用有關不正當競爭的法律規定進行規制。[19]我國刑法中沒有專門針對不正當競爭行為的犯罪，而是將行為保護轉化為法益保護，以行為所破壞的法益種類設立不同的罪名，如生產、銷售偽劣產品罪，損害商業信譽、商品聲譽罪，虛假廣告罪等。其中，與商業數據有關的專門罪名是侵犯商業秘密罪。根據2019年修正的《中華人民共和國反不正當競爭法》（以下簡稱《反不正當競爭法》），商業秘密指不為公眾所知悉，具有商業價值并經權利人采取相應保密措施的技術信息、經營信息等商業信息。因此，如果商業信息具備秘密性、價值性與保密管理性的特征，即可適用商業秘密的保護規則[20]，具有嚴重法益侵害性的行為即可構成侵犯商業秘密罪。

（二）數據的刑法保護困境

從我國有關數據犯罪的罪名設置來看，目前我國刑法尚不能形成對于數據的有效保護體系。面對發展迅速、日新月異的數據產業，數據的刑法保護稍顯滯后和不足。

我國刑法目前關于數據保護的刑法專門罪名主要包括非法獲取計算機信息系統數據、非法控制計算機信息系統罪；破壞計算機信息系統罪；侵犯公民個人信息罪；侵犯商業秘密罪。上述罪名雖然能夠從不同方面對數種數據濫用行為進行打擊，但從整體來看，其對于數據的保護思路并不統一，各罪名的界限難以厘清，所保護的數據范圍存在重合之處。具體而言，計算機犯罪是以數據存儲形式為標準構建的罪名，側重對于電子化數據的保護。侵犯公民個人信息罪和侵犯商業秘密罪是從數據主體身份標準設置的罪名，對于個人數據和一部分商業數據進行保護。隨著信息網絡的發展，以電子化方式存儲的個人信息和商業秘密逐步增多，侵犯公民個人信息罪和侵犯商業秘密罪所涉及的數據形式也主要體現為電子化數據[21]，這便造成計算機犯罪和其他數據犯罪保護范圍的重合。

在司法實踐中，也存在侵犯公民個人信息罪和計算機犯罪認定困難的現象。例如，在樊禹琪侵犯公民個人信息罪案中，被告人在明知他人通過蘋果賬號和密碼鎖定他人蘋果設備從而勒索錢財的情況下，仍然非法獲取并向他人出售蘋果賬號和密碼。公訴機關指控被告人同時構成侵犯公民個人信息罪和破壞計算機信息系統罪，應當數罪并罰。但辯護人辯稱被告人僅構成破壞計算機信息系統罪而不構成侵犯公民個人信息罪。最終法院認定被告人僅構成侵犯公民個人信息罪而不構成破壞計算機信息系統罪。①從該案控辯審三方對于被告人行為性質觀點迥異的現象可以看出，對數據同時按照不同分類標準進行保護的做法容易導致范圍的重合和保護的混亂。

2.數據保護依附其他法益

目前，我國刑法對于電子化數據的保護主要依靠非法獲取計算機信息系統數據、非法控制計算機信息系統罪和破壞計算機信息系統罪。上述兩個計算機犯罪看似可以將所有的電子化信息涵蓋在內，但實際上，數據只能依附于計算機信息系統而得到保護。數據犯罪保護法益及其規范體系被計算機犯罪體系所遮蔽。[22]在司法實踐中，也產生了以此為爭議焦點的案件。例如，在楊運輝破壞計算機信息系統案中，被告人利用游戲內部郵件系統的漏洞，使用兩個不同的游戲賬號以退信的方式復制游戲道具。辯護人認為，被告人復制道具的行為不屬于對數據的刪除、修改或增加，也沒有導致該游戲系統無法正常工作，因此不構成犯罪。法院認定，被告人的行為使得大量道具流入游戲系統，改變了系統內的數據信息，而該種改變破壞了游戲系統內的正常秩序，破壞了游戲的生態系統，因此構成犯罪。②可以看出，當被告人的行為對計算機信息系統的正常運行影響較小甚至沒有影響時，只有對數據操作違法行為的類型和計算機信息系統正常運行的概念進行一定程度的擴大解釋，才能使被告人行為與破壞計算機信息系統罪的構成要件準確對應。而擴大解釋界限的判斷，無疑為司法實踐中該類案件的處理帶來了挑戰。

另外，計算機信息系統安全法益和數據安全法益保護側重點的不同也造成了構成要件解釋上的困難。例如，在非法獲取計算機信息系統數據、非法控制計算機信息系統罪設立時，信息網絡技術尚未如此發達，對計算機信息系統安全造成破壞的數據范圍有限。因此，“兩高”于2011年發布《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》，其中第二條將該罪中的數據限于“身份認證信息”，如支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息等。然而，該解釋所規定的范圍已遠遠無法適應數據安全法益的保護需求。經過司法案例檢索也可以發現，如今以該罪判處的案件所涉及的數據類型已遠遠超過“身份認證信息”的范圍。被告人非法侵入交管12123平臺所查詢和選擇的車牌號數據③，被告人非法侵入醫療單位門診軟件系統所下載的醫院統方數據④，被告人利用網絡爬蟲程序非法獲取北京某信息技術有限公司經營的某網站房產數據⑤等各種數據均被認定為該罪所保護的數據類別。司法實踐的上述做法對于實現數據保護目標是必要的，但對于非法獲取計算機信息系統數據、非法控制計算機信息系統罪而言，卻有突破該罪司法解釋效力之嫌。

3.數據類型行為范圍有限

由于刑法關于數據的專門罪名有限，因此難以涵蓋值得保護的全部數據范圍。不僅受到保護的數據范圍有限，且受到刑法規制的數據濫用行為也不足以應對現實數據發展情況。一方面，無論是電子化數據，還是個人數據或商業秘密，均只構成數據的一部分，對于不屬于個人數據或商業秘密的其他數據，這些處于空白領域的數據也具有保護的必要性，然而并未受到法律的明確保護。以商業數據為例，除了商業秘密之外，還包括大量值得保護的公開數據，例如某美食平臺的用戶評價、法律數據庫中的案例整合等。在民事糾紛中，涉及該類數據的案件尚可通過被稱為《反不正當競爭法》兜底條款的第二條，利用誠信原則和商業道德進行規制[23]，如“大眾點評訴愛幫案”。⑥但在刑事案件中，囿于罪刑法定原則的限制，對于刑法沒有明確規定為犯罪的行為，難以進行定罪處罰。因此，目前刑法列舉式、分散化的罪名設置方式難以實現對于數據的全范圍、全方位保護。再以政務數據為例，如果涉及國家安全的政務數據被非法收集和傳輸至境外，則可能對國家安全構成威脅[24]，在理論上存在利用危害國家安全罪進行規制的可能性。但在司法實踐中，由于危害國家安全罪的罪行一般較為嚴重，且沒有明確的濫用數據行為可能構成該類犯罪的法律參照指引，因此實踐中尚未出現此類判決。

巴蘭把它比作一場“燙手山芋”的游戲。每個節點會盡可能快地將消息塊拋到下一個可用節點。即使幾個節點被毀壞，消息塊也可以輕松地彈跳至其他節點，并繞著斷裂的鏈路傳遞。

另一方面，我國刑法目前對于數據濫用行為的規制范圍也不全面。例如，對于非法獲取計算機信息系統數據、非法控制計算機信息系統罪而言，其關注的是非法獲取數據的行為，而對于諸如非法出售非法獲取的數據、掩飾和隱瞞計算機數據及其控制權等行為，卻無法得出是否處罰的明確結論。[25]再例如破壞計算機信息系統罪，該罪僅規制刪除、修改和增加數據的行為，而不包括非法使用等對于數據本身的濫用行為。[26]數據的使用方式還將隨著信息網絡技術的發展而不斷增加，對數據濫用行為的判定也將愈發細化和復雜，以我國刑法目前對于數據濫用行為的寬泛規定，難以應對不斷提高的數據保護要求。

三、數據安全刑法保護的路徑選擇

面對刑法對于數據保護的上述不足，應當嘗試突破刑法目前松散式、碎片化的數據立法藩籬，將數據作為刑法獨立的保護對象和主要的客體內容。[27]《數據安全法》的頒行為數據安全的刑法獨立保護提供了契機。未來刑法可以將數據安全保護義務作為獨立法益，利用《數據安全法》創設的數據分級分類制度框架，構建以“拒不履行數據安全保護義務罪”為核心的數據安全罪名體系。

（一）數據安全保護義務作為獨立的刑法保護法益之考量

雖然在《數據安全法》頒布前，已經有較多觀點主張加強刑法關于數據的專門保護[28]，單獨增設以網絡數據為獨立犯罪對象的罪名。[29]但縱觀近年來的刑法修正，并未采納上述數據保護單獨立法的建議。究其原因，主要為民法等前置法對于數據的法律性質存在較大爭議，導致刑法數據法益內容難以確定。

關于數據的民法屬性，有觀點認為由于《民法典》關于數據的規定位于“第五章民事權利”，因此數據權已經上升為一種民事權利。[30]在此基礎上，既有建立“數據財產權”的主張[31]，又有建立“數據訪問權”“數據用益權”“數據公開權”等主張[32]；但也有觀點認為數據的作用主要體現為其價值性，可以直接對其進行財產化保護而沒有必要設立新型權利。[33]再具體至“商業數據”問題，有觀點認為其可以納入知識產權保護[34]；但也有觀點認為部分商業數據不具有獨創性，明確反對將其納入知識產權保護。[35]可見，目前我國民法對于數據的權屬和保護模式存在較大分歧，數據的民事法律權益性質難以確定。在上述情況下，如果刑法貿然演化新型數據法益并增設新罪，不僅會導致刑法與前置法之間無法協調，還會導致刑法自身數據保護體系的混亂。作為專門對數據安全給予保護的行政法規范，《數據安全法》的頒行解決了刑法數據法益的確定難題。《數據安全法》不僅明確了數據安全保護義務是數據處理者應當履行的基本義務，還于第四章規定了安全保護義務的具體內容，這便為刑法的數據法益內容的確定奠定了前置法基礎。刑法可以在此基礎上將數據安全保護義務作為數據保護的法益，突破刑法數據保護的前述困境。

首先，上述做法有利于刑法后置法作用的發揮。《數據安全法》第五十二條第二款規定，違反本法規定構成犯罪的，依法追究刑事責任。但該條對刑法內容概括性的重申不屬于真正意義上的附屬刑法[36]，存在一定處罰實質內容泛化的問題。[37]現有刑法規范對于數據類型和行為范圍的保護均有限，無法對應《數據安全法》對于嚴重數據違法行為設置的法律后果要求。因此，將數據安全保護義務作為刑法法益有助于細化《數據安全法》所規定的法律責任，實現法益的梯度性保護。其次，上述做法有利于實現數據的獨立保護。目前我國刑法中的計算機犯罪主要關注數據安全法益[38]，侵犯商業秘密罪等犯罪主要關注市場利益法益。[39]這種做法在一定程度上是與私法保護模式保持一致的結果，但私法本身對于問題的爭議導致了刑法的進退兩難。《數據安全法》具有公法的屬性[40]，將數據安全保護義務的違反作為規制對象，可以將所有的數據類型納入保護范圍，使得數據保護不再附屬于計算機系統安全等其他罪名。最后，上述做法具有可操作性。例如，《數據安全法》第二十九條規定了數據風險監測與處置報告義務，第三十三條規定了數據交易中介服務機構核實數據來源的義務，可以為刑法個罪構成要件的明確性提供參考。刑法已經設立過“拒不履行信息網絡安全管理義務罪”等以行政義務違反為前提的罪名，具備了類似行政義務型法益設置的立法經驗。

（二）刑法規制的行為對象選擇：數據分級分類保護

刑法的謙抑性決定了刑法制裁的范圍不能過于寬泛，刑法只保護值得保護的法益。在我國法律制裁體系中，刑法是其他法律的保障法。因此，無論是在刑事立法，還是在刑事司法中，均強調犯罪定量的作用。對數據安全的保護也應當堅持刑法定量的作用。因此，在數據安全刑法保護的立法罪量要素的設置中，并非所有拒不履行數據安全保護義務的行為均需要受到刑法處罰，而應當發揮前置法的作用。只有在前置法無法有效解決相關法律規制問題時，才能動用刑法予以制裁。根據《數據安全法》第五十二條，違反本法規定的行為應當按照違法行為的嚴重程度分別承擔民事責任、行政責任和刑事責任。因此，刑法應當與行政法形成梯度性的處罰銜接模式，只有不履行數據安全保護義務且具有一定嚴重情形，才能構成犯罪。在立法設計上，可以從《數據安全法》數據分類分級保護制度中獲得啟示。《數據安全法》第二十一條規定國家根據數據的重要程度和被破壞的危害程度對數據實行分類分級保護，并提出了國家核心數據、重要數據等不同類型的數據概念。其中，國家核心數據直接關系國家安全，應當采取最為嚴格的管理制度；重要數據被破壞可能造成危害國家安全和社會公共利益等嚴重后果[41]，也是《數據安全法》的重要保護對象，《數據安全法》第四十六條設置了違法向境外提供重要數據的法律責任。因此，參考《數據安全法》的相關規定，可以將構成犯罪的情形規定如下：“（一）致使國家核心數據泄露的；（二）向境外提供重要數據，情節嚴重的；（三）致使數據泄露，造成嚴重后果的。”當然，對于重要數據的概念、數據分類分級的具體方法還有進一步探討的空間。例如，有觀點認為，應當將數據分為“重要數據”“受控數據”和“一般數據”，其中前兩者是《數據安全法》規制和保護的重點。[42]未來如果有司法解釋對于數據的分類分級方式及各類數據的定義有更為明確的規定，則刑法可以據此對構成犯罪的情形進行更為細化的設置。但就目前來看，參考《數據安全法》數據分類分級制度的規定設置上述罪刑規范是較為合理的做法。

（三）以“數據安全保護義務”為核心的罪名體系設置

《數據安全法》第四章專門規定了各數據處理主體的數據安全保護義務，主要體現為一般數據處理者的數據安全保護制度及相應的風險監測和報告義務；一般數據處理者獲取數據需以合法方式的義務；重要數據處理者有數據處理風險評估和報送義務；從事數據交易總結服務機構有明確數據來源的義務；數據處理相關服務應當取得行政許可等。[43]對于上述義務的違反可以采用行政手段進行處罰，但如果違法行為具有嚴重的社會危害性，則有利用刑法進行規制的必要。因此，刑法可以將罪名確立為“拒不履行數據安全保護義務罪”，將“違反義務且拒不改正的行為”設置為“拒不履行數據安全保護義務罪”的構成要件的主要部分，具體表述為“開展數據處理活動的組織、個人不履行法律、行政法規規定的數據安全保護義務，經監管部門責令采取改正措施而拒不改正”。并且，數據處理者既可能包括自然人，也可能包括單位。因此刑法應當將單位犯罪設置于該罪第二款，具體表述為“單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰”。

新罪設立還可能產生與刑法原有罪名甚至未來預設罪名產生競合的情況。例如，《數據安全法》第四十五條第二款規定，違反國家核心數據管理制度，危害國家主權、安全和發展利益從而構成犯罪的，依法追究刑事責任。從該規定可以推知，嚴重違反國家核心數據管理制度的行為有可能構成危害國家安全類犯罪，此時便可能涉及該罪與危害國家安全犯罪的競合。再例如，某數據處理人違法處理個人數據，可能構成該罪與侵犯公民個人信息罪的競合。但“拒不履行數據安全保護義務罪”的保護法益是數據安全保護義務的履行，與其他罪的保護法益是相互獨立的，若某一行為同時觸犯兩種罪名，應當善于利用想象競合原理進行處理。[44]因此，對于該罪，刑法可以于第三款規定“有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰”。這種做法不僅可以實現現行數據犯罪的體系協調，還可以為未來其他數據犯罪的設置預留空間。

為數據處理設立規則、完善數據濫用的法律規制，是加強數據保護、促進數據流動的必然舉措。鑒于目前刑法對于數據保護的不足，應當增設新的數據犯罪，實現立法改革。然而，由于數據的屬性及保護模式在民法中尚未厘清，刑法如果貿然設立以數據利益與安全為法益的犯罪，不僅會影響刑法內部罪名的協調，還會導致刑法與前置法產生沖突的可能。目前，基于《數據安全法》頒行的新形勢，刑法可以以此為契機設立以信息安全保護義務的履行為法益的犯罪，對拒不履行數據安全保護義務的行為進行懲治，維護數據流動與數據保護之間的平衡。未來待數據相關民法等其他前置法地位更為清晰時，刑法再根據相關法益的保護需求對數據犯罪進行進一步完善也為期不遲。最終，通過數據相關民法、行政法、刑法、國際條約等規范的同頻共振，共同實現數據保護法律體系的構建。

注釋

①參見樊禹琪侵犯公民個人信息罪案，浙江省溫州市龍灣區人民法院（2017）浙0303刑初337號刑事判決書。

②參見楊運輝破壞計算機信息系統案，廣東省珠海市香洲區人民法院（2015）珠香法刑初字第2040號刑事判決書。

③參見尚帝、李含彬非法獲取計算機信息系統數據、非法控制計算機信息系統案，河南省唐河縣人民法院（2021）豫1328刑初353號刑事判決書。

④參見張某、陳某非法獲取計算機信息系統數據、非法控制計算機信息系統案，上海市黃浦區人民法院（2021）滬0101刑初108號刑事判決書。

⑤參見林鎮平等非法獲取計算機信息系統數據、非法控制計算機信息系統案，北京市朝陽區人民法院（2020）京0105刑初2594號刑事判決書。

⑥參見上海漢濤信息咨詢有限公司與愛幫聚信（北京）科技有限公司不正當競爭糾紛案，北京市第一中級人民法院（2011）一中民終字第7512號民事判決書。