論刑法典規制范式視角下非法數據跨境傳輸罪的確立

齊愛民 羅煒

摘要：在數字經濟時代，刑法面臨新的挑戰，國內外大型數字平臺公司為了商業及其他目的，往往會針對個人信息和重要數據等關鍵數據實施無限制數據收集并通過各種途徑傳輸至國外的非法行為。此類非法數據跨境傳輸行為侵犯了國家數據主權、妨害數據管理秩序、危害國家安全，刑法必須及時作出回應并予以規制。我國《網絡安全法》《電子商務法》《數據安全法》和《個人信息保護法》專門增加了針對數據犯罪的條款，附屬刑法規制模式清晰可見。然而，上述規定過于籠統且狹窄，不具備整體性和普遍適用性。當前，我國現行刑法典中的罪名無法準確適用于非法數據跨境傳輸行為，因應技術發展以及國家利益在數據上延伸的現實情況，刑法典規制范式應該確立。增設非法數據跨境傳輸罪勢在必行，該罪名的增設有助于有針對性地打擊非法數據跨境傳輸行為，維護國家的數據管理秩序，維護國家安全。刑法典規制模式可以有效克服附屬刑法規制模式的不足，在立法目標、規制范圍和規制模式等方面均有突破。同時，條文的明確性和協調性也符合罪刑法定原則、法益保護主義和刑法結構的調整趨勢。

關鍵詞：數據；數據主權；數據跨境傳輸；非法數據跨境傳輸罪

作者簡介：齊愛民，廣西民族大學法學院教授、博士生導師（南寧? 530006）；羅煒，廣西民族大學法學院博士研究生（南寧? 530006）

基金項目：國家社科基金項目“大數據時代疫情數據處理立法問題研究”（20BFX051）；廣西“八桂學者”建設工程專項經費資助；2022年度廣西高等教育本科教學改革工程項目“新文科建設背景下《數據法》O2O混合課程建設的探索與實踐”（2022JGZ124）

DOI編碼：10.19667/j.cnki.cn23-1070/c.2023.03.010

隨著我國數字技術的高速發展和應用普及，數據成為國家基礎性的戰略資源，1浸透到了社會的各個領域，正迅速改變著人們的生活和生產方式，數據安全上升為國家安全，非法數據跨境傳輸行為對國家主權和數據安全的危害逐步顯現。2021年，我國頒行了《中華人民共和國數據安全法》（以下簡稱《數據安全法》），在保障數據有序自由流動的同時，對數據安全作出了及時的回應，體現了國家對數據安全的關切。2021年底，上海國安局破獲了一起涉及將我國核心數據提供給境外的案件，上海某信息科技公司為境外公司采集和提供我國16個國內城市和相應高鐵線路的移動測試和信號數據，采集和傳輸的數據量極為龐大。國家安全局以涉嫌“為境外刺探、非法提供情報罪”對該公司的負責人采取了刑事強制措施。2022年7月21日，國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規，對滴滴全球股份有限公司依法作出處以人民幣80.26億元罰款的決定，其重要原因之一是嚴重影響了國家安全。《數據安全法》作為我國數據領域的基礎性法律，其著眼點是確立各項保護和管理數據安全的基本制度，但從刑法典范式視角下對涉及數據跨境傳輸的刑事規制方面尚需進一步的探索和完善。

一、非法數據跨境傳輸的概念與社會危害性

在數據時代大背景下，數據跨境傳輸趨勢不可阻礙。數據跨境傳輸是一把雙刃劍，一方面，它體現了諸多優勢：在國際經濟方面，數據的跨區域性流通可以帶動國際貿易的發展，推動全球經濟一體化；在文化交流方面，數據跨境傳輸能增進各國文化的交融互通，促進人類文明進步；在國際安全層面，數據跨境傳輸能打擊跨國犯罪，保障國際社會和國內安全。另一方面，非法數據跨境傳輸也將給國家安全帶來嚴重的威脅，刑法規制非法數據跨境傳輸勢在必行。

（一）非法數據跨境傳輸的概念界定

準確把握具有刑法評價意義的跨境傳輸數據行為是討論刑法規制非法數據跨境傳輸行為的必要前提。非法數據跨境傳輸是指行為人違反國家規定，跨境傳輸關鍵數據的行為。

1. “關鍵數據”的內涵。關鍵數據是指任何以電子或者其他方式對事關國家安全、公共利益、個人信息權益的重要信息的記錄。關鍵數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，就可能危害國家安全、公共利益、個人信息權益。以是否涉及個人信息為標準，關鍵數據可以劃分為重要數據和個人信息兩大類。所謂重要數據，是指任何以電子或者其他方式對事關國家安全、公共利益的重要信息的記錄。以數據遭到侵害對國家社會以及個人造成危害的程度為標準，可以將重要數據分為一般重要數據和核心數據。根據《數據安全法》第21條的規定，所謂核心數據，是指關系國家安全、國民經濟命脈、重要民生、重大公共利益的重要數據。所謂一般重要數據，是指在核心數據之外，關系到國家安全、國民經濟命脈、民生以及公共利益的重要數據。所謂個人信息，是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。一般個人信息是指非敏感個人信息。所謂敏感個人信息，是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。我國《網絡安全法》第37條規定，個人信息和重要數據應當存儲在境內。

2. “跨境傳輸”的標準。所謂數據傳輸，是指發生在不同主體之間的關鍵數據傳遞。以是否跨越國境為標準，可以將數據傳輸分為數據跨境傳輸和數據境內傳輸兩大類。不同國家確立的數據跨境流動標準并不相同，有的國家采取較為寬松的數據跨境流動規則，有的國家采取嚴格的跨境流動規則，還有的國家采取數據本地化存儲的規則，不同的數據跨境傳輸規則會對數據的流動產生影響。區分數據的跨境傳輸和數據的境內傳輸有利于對數據傳輸采取分類保護。與數據境內傳輸不同，數據跨境傳輸涉及國家的數據主權問題，非法數據跨境傳輸可能侵害國家安全，需要采取更為嚴格的保護措施，而數據境內傳輸則不會涉及國家主權問題。所謂數據跨境傳輸，是指境內主體將關鍵數據傳輸至境外主體的行為。對于數據跨境傳輸的定義，始見于1981年歐盟制定的《有關個人數據自動化處理的個人保護公約》（the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）對數據跨境流動的定義，由于該公約最初是為了保護個人數據，因此該公約認為“不論使用任何媒介，基于自動化處理或為自動化處理的目的所收集的個人數據跨越國境的傳輸”，都是一種“個人數據跨境流動”1。質言之，數據跨境傳輸是指數據的跨境流動。我國理論界對于“跨境”的含義有多種解釋，形成了幾種主要學說。“國境說”以傳統的物理空間，即地理、政治上的邊界為標準，認為“數據跨境流動”是指“數據通過電子計算機系統跨越國界進行訪問、傳輸、轉移和使用等一系列行為”2。“交易行為發生地說”不再以傳統的國家邊界為“境”，而是以數據交易行為發生地作為境的判斷標志，認為“數據跨境流動”是“數據提供者、數據處理者、數據的控制者間的交易行為發生在兩個或兩個以上的國家境內”3。“訪問說”以是否被主體訪問為標準，認為“數據未必跨越國界，但如果能夠被其他國家主體進行訪問，也屬于跨境數據流動的范疇”4。“實控說”不再執著于傳統國境，以數據的實際控制主體為標準，認為“數據行為發生地只要位于不同的法域，或者數據雖未出境但被境外主體掌控，便都屬于跨境行為”5。單一的“國境說”也顯然不適合數據可以通過互聯網在全球范圍內進行讀取、使用進而實現流動的現狀。“交易行為發生地說”以數據交易為前提，所謂交易是指價值交換。但是數據的跨境流動并非都是數據交易行為，例如境外主體單純的訪問行為，并不存在任何價值交換。“訪問說”和“實控說”這兩種學說觀點十分相似，兩者的相同之處在于都不以“跨越傳統的國境”作為數據跨境流動的唯一標準，數據跨越傳統國境的流動當然屬于數據跨境流動。兩者的區別在于主體對數據控制的程度有所不同。“實控說”要求境外主體對數據的掌控，換言之要求境外主體成為數據的控制者。何為數據控制者，根據歐盟《一般數據保護條例》第26條的規定，可以決定個人數據被處理的目的和方式的是數據控制者。“訪問說”認為境外主體并不需要達到數據控制者的程度，只需要可以對數據進行訪問即可。筆者認為此處的“訪問”，不限于訪問這一種形式，可以做個擴大解釋，即指包括訪問在內對數據進行采集、使用、轉移等一系列的處理行為。并且，數據跨境傳輸的標準采取“訪問說”更為合理：一方面“訪問說”符合大數據時代下數據不局限于通過單純跨越傳統國境實現的流動方式，更凸顯了數據通過互聯網實現全球范圍內流動的方式；另一方面，降低數據跨境流動的認定門檻，既有助于數據在國際的流動，促進數據的開發利用，也有助于國家對數據跨境流動的制定相應治理措施，保障我國數據跨境流動的安全。

3. “非法”的界定。非法數據跨境傳輸中的“非法”是指違反國家對數據跨境傳輸管理規定，擅自將關鍵數據傳輸至境外或者可以讓境外的人、機構訪問。《網絡安全法》《數據安全法》《個人信息保護法》都規定，關鍵數據的出境必須進行安全評估。2022年9月1日起施行的《數據出境安全評估辦法》規定，數據處理者向境外提供在境內收集和產生的關鍵數據的安全評估適用本法。非法數據跨境傳輸中的“安全評估”，根據《數據出境安全評估辦法》的規定，是指國家有關部門以及數據處理者根據跨境傳輸的關鍵數據類型，依照相應流程對關鍵數據的內容進行安全風險判斷，并采取相應措施確保數據跨境傳輸安全的一種數據跨境傳輸管理制度。安全評估的對象限于關鍵數據，根據《數據出境安全評估辦法》第4條的規定，數據處理者需要對關鍵數據跨境傳輸進行安全評估。其中，所有的重要數據的跨境需要進行安全評估。個人信息的出境，《數據出境安全評估辦法》規定了三種情形：第一種是關鍵性基礎設施的運營者和處理100萬人以上的個人信息的數據處理者向境外提供個人信息；第二種是以2021年1月1日為起點，累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者需要進行安全評估；第三種是兜底條款，不排除將來會根據工作需要提出其他的評估條件，或者根據評估實踐作出例外的制度安排。安全評估的主要內容是評估數據跨境傳輸活動可能對國家安全、公共利益、個人或者組織合法權益帶來的風險。根據《數據出境安全評估辦法》第8條的規定，包括以下七個方面：第一，數據出境的合法性、正當性、必要性；第二，境外接收方所在國家或者地區的數據安全保護水平；第三，數據出境中和出境后可能遇到的風險；第四，關鍵數據的權益能否得到充分有效的保障；第五，是否與數據接收方約定相應的安全保護義務；第六，遵守我國的法律法規；第七，其他需要評估的事項。安全評估的流程分為數據處理者向省級網信部門遞交材料和省級網信部門向國家網信部門遞交材料兩個步驟。《數據出境安全評估辦法》規定數據處理者應當首先向省級網信部門報送安全評估的申報材料，省級網信部門在5日內對報送的材料是否完備進行審查，將申報材料齊全的報送國家網信部門進行審核，不齊全的退回并告知需要補齊哪些材料。國家網信部門在7日內通知數據處理者決定是否受理。安全評估結果分為通過和未通過兩種。不同的安全評估結果帶來不同的管理措施。通過安全評估的關鍵數據可以在兩年有效期內進行跨境傳輸，但數據出境的過程中如果發生了兩種情形，則需要終止數據出境并重新進行安全評估：第一種是數據出境的目的、方式、范圍、種類和境外接收方處理數據的用途、方式，以及接收方所在國家或者地區數據安全環境發生變化影響出境數據安全的，或者延長關鍵數據境外保存期限的；第二種是已經通過安全評估后的出境數據如果經國家網信部門發現不再符合出境安全管理要求的。未通過安全評估根據《數據出境安全評估辦法》規定，分為重要數據以及上述提及的三種情形下的個人信息未進行安全評估和其他關鍵數據進行安全評估后不滿足出境要求兩種。未通過安全評估的關鍵數據不得出境。

綜上，非法數據跨境傳輸，是指違反國家有關的法律規定，傳輸禁止傳輸的關鍵數據，或者傳輸未進行安全評估或未對評估結果采取相應保障措施而傳輸關鍵數據的違法行為。非法數據跨境傳輸最終妨害了國家對數據的管理秩序，也使數據跨境傳輸對國家的安全產生了嚴重威脅。

（二）非法數據跨境傳輸的法益侵害

法益是根據憲法原則，由法所保護、客觀可能受到侵害或威脅的人的利益。1非法數據跨境傳輸行為是否會侵害值得刑法保護的法益是非法數據跨境傳輸行為是否需要刑法介入的首要問題。對于非法數據跨境傳輸直接侵害的法益，理論界并沒有直接的研究，學者們更多的是研究數據的法律屬性，侵害數據的本質是侵害何種法益，并由此形成了不同的學說。“財產性法益說”為數據賦予了財產性利益，認為數據“是隨著信息技術發展而出現的一種新型財產權客體，即信息財產”。同時，也是“數據控制人的數據資產”2。“獨立法益說”在“財產性法益說”的基礎上，認為“數據法益正成為刑法保護的核心法益。數據法益是新型刑法法益類型，是以大數據為保護對象的合法利益”3。“二元法益說”以數據類型作為劃分不同法益的標準，認為“個人數據犯罪行為所侵犯的法益……是作為個人法益的個人信息權……一般數據犯罪罪名的應然保護法益，是數據主體對一般數據的形式支配權限，以及對一般數據的私密性、完整性和可用性利益”4。“多元法益說”認為數據不僅包含了財產權利。個人信息還具有人格權益，獨創性的數據則具有知識產權，“數據權益是多項權益的集合”5。應當區分不同的權利類型進行刑法保護。學者們對數據犯罪侵害的法益研究為非法數據跨境傳輸行為的法益侵害的認定提供了研究的思路和方向，但是由于研究的內容不同，學者們的這些學說不能全然嫁接到非法數據跨境傳輸行為所侵害的法益中。筆者在學者們對數據犯罪法益研究基礎上，結合非法數據跨境傳輸行為的法律特征，認為非法跨境數據傳輸行為是行為人違反國家對數據的管理制度，擅自跨境傳輸本國的關鍵數據，致使這些關鍵數據脫離本國職能部門的管控，侵害了國家的數據主權，妨害了國家對數據的管理秩序，危害了國家安全。因此，筆者提出了“國家安全＋數據管理秩序”的“復合法益說”，認為非法數據跨境傳輸行為侵害的法益有兩個：國家安全和數據管理秩序。

1.危害國家安全。數據主權是國家主權的一部分，是國家主權在信息數據領域的一種延伸，是一主權國對其管轄內的數據享有的獨占處理和管理以及排除他國干預的最高性的權利。1數據主權是滿足國家在數據領域生存發展方面的利益，體現的是一種國家安全利益。數據的非法跨境傳輸侵害了主權國對數據的管理權利，因此數據非法跨境傳輸行為危害國家安全。數據可以根據產生的方式和國家利益關聯的樣態分為原始數據和衍生數據。2原始數據是指終端用戶所存儲使用的各種數據，是未經過處理或簡化的數據。原始數據和國家安全緊密相連。例如，含有民用核設施、關鍵性基礎設施、重要單位的地理信息的數據，這些原始數據被境外組織、個人獲取將會導致這些事關我國國家安全的設備設施位置完全暴露在境外反華勢力的視野下，隨時都有被他們打擊的危險。衍生數據是指通過對原始數據進行加工處理后產生的數據。一些原始數據被境外組織個人獲取后可能不會對國家的安全造成任何影響，但是經過數據算法技術的智能分析，隱藏在海量原始數據背后的信息內容被識別出來，反映原始數據所無法反映的內容。例如，將個人信息傳輸出境不會對國家造成太大的影響，但是當將整個國家的人口普查數據流通出境，那么經過技術分析，就會清楚地掌握到我國的生育情況、人口老齡化情況和人才的儲備情況，這和國家安全息息相關。非法數據跨境傳輸行為的行為人非法將數據脫離一國的主權管控，危害國家安全利益。

2.妨害數據管理秩序。數據管理秩序是大數據時代下，為了保障數據安全、促進數據開發利用、促進數據安全和自由流動，由中央國家安全機關統籌，各地區各部門依法對本地區本領域本行業開展數據處理活動以及安全監管而形成的正常的管理秩序。數據管理秩序法益，是指根據憲法原則，由法律保護的、客觀上可能被侵害的國家依法對數據處理活動的開展和安全進行管理的權利。非法傳輸數據侵害了國家的數據主權，數據主權反映的是主權國家對其管轄內的數據處理活動的開展及安全進行管理的權利，這種國家對數據管理的權利背后反映了一國對本國數據社會管理秩序的法益。盡管我國現行刑法并未明確提到“國家對數據的管理秩序”這個概念，但我國刑法規定了“社會管理秩序”法益，社會管理秩序是我國十大類罪名之一的妨害社會管理秩序罪所保護的法益，它保護的是國家各職能機關依法對社會各方面進行管理活動而形成正常的社會秩序。根據《數據安全法》的有關規定，數據管理秩序顯然是社會管理秩序的一種。非法數據跨境傳輸行為的行為人非法開展數據處理活動或者將數據脫離國家的安全監管，侵害了社會管理秩序法益中的數據管理秩序法益。數據管理秩序法益對于現行刑法所保護的法益而言，是一種新型法益。數據管理秩序法益的產生符合新型法益產生的判斷標準，具有合理性。第一，新型法益的生成必須符合社會價值判斷標準。社會價值判斷標準，是指新型“法益生成須以社會價值層面的共識為前提”3。換言之，新型法益的生成是基于社會普遍需要而非個人需求。數據管理秩序是國家依法對境內數據活動進行管理而形成的一種管理秩序，是數據時代下社會治理的一種表現形式，數據管理秩序作為新型法益符合社會價值判斷標準。第二，新型法益要符合公序良俗判斷標準。公序良俗判斷標準，是指新型法益的生成不能違背道德。數據處理活動的開展要尊重社會公德和倫理，這既是數據處理活動的法律要求也是道德要求，國家支持、鼓勵和保護尊重社會公德、倫理的數據處理活動，具有道德上的正當性，符合公序良俗判斷標準。第三，新型法益的生成要符合法律判斷的標準。法律判斷標準是指新型法益的生成不能違背法律禁止性規定。所謂法律禁止性規定是指命令當事人不得施行一定行為的法律規范。國家對數據的管理是職責所在，并不違背法律禁止性規定。數據管理秩序法益符合法律判斷標準。第四，新型法益的生成要符合義務配置判斷標準。義務配置判斷標準是指新型法益生成以義務配置為前提。新型法益在創設時需要配置義務，而配置義務是否是實現法益保護的最佳手段？是否會損害他人權益？設置數據管理秩序法益，是實現國家對數據治理的最佳手段，非但不會影響數據處理者正常合法的數據處理活動，還會保障這些活動。

社會進入數據時代，圍繞數據的處理和治理而產生社會利益。確立數據管理秩序法益能反映數據時代特性，保護由數據處理而形成的各種社會關系，解決圍繞數據處理而產生的各種法律問題，尤其是圍繞數據跨境而產生的一系列刑事法律問題。數據的內容涵蓋社會發展的各方面，各國都圍繞數據進行角力，我們在享受數據跨境流動帶來的紅利時，也不該忽視由此而產生的風險，確立數據管理秩序法益，有利于刑法應對一系列由數據治理而產生的刑事法律問題，包括非法數據跨境傳輸行為產生的違法犯罪問題。概言之，非法數據跨境傳輸侵害了兩種法益：一種是國家安全，另一種是國家對數據的管理秩序。

（三）法益與新罪名的形成

罪名的形成是由侵害的法益獨立性來決定的。所謂法益的獨立性，是指某種社會利益成為刑法所要保護的對象，具有刑法上的獨立意義與價值。當某種社會利益具有刑法上的獨立意義和價值時，意味著刑法需要形成專門的罪名予以確認和保護。例如，隨著我國生態文明建設的推進，民事立法確立了“綠色原則”以保護生態環境資源，生態法益已有別于傳統人身、財產法益成為獨立法益。環境資源成為刑法保護的對象，具有刑法上的獨立意義與價值。《刑法修正案（八）》通過修改原來的重大環境污染事故罪的條文，形成新的罪名——污染環境罪。1數據管理秩序是數據時代下，國家機關依法對數據處理活動的開展和安全進行管理而形成的秩序，對其進行妨害將會導致我國境內產生或搜集的關鍵數據外泄，被境外組織或個人非法獲取和利用，危害國家安全、社會利益和個人的信息權益，數據管理秩序具備法益獨立性，現行刑法應成立新的罪名予以保護。罪名可以根據外延寬窄的不同分為類罪名和個罪名。類罪名是某類犯罪的總稱，通常是指刑法分則中的章、節的名稱。個罪名是對刑法分則條文規定的某種犯罪行為本質特征的抽象概括。刑法保護數據管理秩序法益而形成的罪名究竟是個罪名還是類罪名，則仍需落實到侵犯數據管理秩序的犯罪行為類型予以判斷。并且，妨害數據管理秩序法益的犯罪行為有多種類型，非法數據跨境傳輸行為只是其中之一，與之相對應的非法境內傳輸數據行為當然也會妨害數據管理秩序法益，因此筆者認為，由妨害數據管理秩序法益而形成的新罪名——數據管理秩序罪是一種類罪名。

二、非法數據跨境傳輸的刑法規制范式的二元分立

對于非法數據跨境傳輸行為的刑法規制范式，我國主要采取附屬刑法與刑法典二元分立的規制范式。附屬刑法規制范式，是指在非刑事法律規范中，設置刑事規范，對某類違反該行政性準則、對該領域造成嚴重危害的行為予以刑事制裁的規制模式。刑法典規制范式是指通過增設、修改條文等方式，在刑法典中制定有關條文，預防、打擊某種或某類犯罪的規制模式。所謂二元分立，是指對某種行為有兩種法律規制范式，這兩種法律規制范式完全獨立，互相之間沒有統轄關系。我國對于非法數據跨境傳輸行為，一方面，采取附屬刑法規制范式，在《網絡安全法》《電子商務法》《數據安全法》《個人信息保護法》的末尾以“罰則”的形式中設置刑事規范，對違反該行政性準則、對該領域造成嚴重危害的非法數據跨境傳輸行為予以刑事制裁；另一方面，通過刑法典現有的條文，打擊涉及非法數據跨境傳輸行為。目前，對于非法數據跨境傳輸行為沒有設立相應的罪名，兩種規制范式缺乏直接關聯，對于非法數據跨境傳輸行為沒有形成完整、有效的規制范式，且這兩種規制范式都存在各自的不足。

（一）我國附屬刑法規制范式的優勢與不足

1. 非法數據跨境傳輸的附屬刑法規制范式現狀

隨著信息數據技術的飛速發展，我國進入了數據時代，由非法跨境傳輸關鍵數據所引發的違法犯罪問題日漸增多，對此我國先后頒行了《網絡安全法》《電子商務法》《數據安全法》《個人信息保護法》這四部基本法律，并且在這四部法律中規定了附屬刑法。所謂附屬刑法，是指非刑事法規中有關犯罪與刑罰的刑法規范的總稱，是國家為適應某種特殊需要而頒布的僅適用于事項的刑法法規，是我國刑法立法的重要組成部分。隨著社會的發展，某種新型社會關系產生后，在應對圍繞這種新型社會關系而產生的違法犯罪問題時，在短期內無法修改相應刑法典的條文，則采取相關領域內非刑事法律規范中有關犯罪與刑罰條款的方式，預防、打擊這種違法犯罪行為。我國行政、經濟等領域的法律法規中通常會有專門涉及犯罪時的條文，這些便是附屬刑法。例如，《數據安全法》第45條規定了違反核心數據管理的刑事責任。《電子商務法》第88條、《個人信息保護法》第71條和《網絡安全法》第74條都規定了構成犯罪的，依法追究刑事責任。

我國社會發展迅速，數據時代圍繞數據產生各種新型的社會關系以及伴隨這些新型關系而出現的犯罪問題。刑法的調控范圍不得不隨之擴大以應對各種新型的與數據有關的犯罪。但是現行刑法的相對穩定性，使其無法在短時間內通過修正案的方式實現。立法者不得不將部分刑法規制的任務交給了非刑法法律，這也是“刑事立法對非刑事法律的巧妙借用”1。《網絡安全法》《電子商務法》《數據安全法》《個人信息保護法》這四部基本法律中附屬刑法的規定，維護了刑法典的相對穩定性，同時國家擴大了刑事調控范圍，有效回應了數據領域中的非法數據跨境傳輸行為所引發的犯罪問題。

2. 非法數據跨境傳輸附屬刑法規制范式的優勢

附屬刑法規制范式能回應新型領域刑法立法訴求，填補法律空白。我國已經進入數據時代，伴隨而來的是各種與數據有關的新型社會關系的出現以及相應的法律問題。圍繞數據的非法跨境傳輸所引發的一系列違法犯罪行為已成為法律亟待解決的問題。例如，擅自傳輸關鍵數據不僅破壞了國家的數據管理秩序，同時可能危害國家的安全，刑法不能對此置之不理，立法機關在《數據安全法》《個人信息保護法》《網絡安全法》中以附屬刑法的形式規定了對非法跨境傳輸關鍵數據犯罪行為的刑事制裁，回應了國家對妨害數據管理秩序、危害國家安全的行為的刑事立法訴求。數據犯罪是隨著近年來數據普及應用而產生的，是刑事立法者在立法時所未能預見的事情，因此刑法不免在應對數據犯罪時出現立法空白，在《數據安全法》《個人信息保護法》《網絡安全法》中設置附屬刑法，能夠填補刑法在這些領域中的立法空白。附屬刑法規制范式有助于保持刑法典的相對穩定性。刑法的威嚴在于刑法的相對穩定性、不宜頻繁地進行修改和變動，但新型社會關系所引發的新犯罪類型已無法被現行刑法所囊括，刑法不得不對之作出及時而有力的反應。行政法、經濟法則應根據行政管理需要、經濟發展水平而適時變動，在這些法律中設置附屬刑法，能夠巧妙地彌補刑法應對新型領域犯罪時的相對滯后性，同時“采用附屬刑法規定復雜的、新型領域中未成體系的法律規范來積累經驗，采用刑法典規定穩定的核心刑法內容”2，有助于維護刑法的穩定性。在《數據安全法》《個人信息保護法》《網絡安全法》中設置附屬刑法，能發揮刑法立法的靈活性以懲治非法數據跨境傳輸的犯罪行為，為規制非法數據跨境傳輸的犯罪行為積累刑事立法經驗，同時也維護現行刑法的相對穩定性。附屬刑法與所附屬的法律法規形成了某一社會領域的完整法律規范體系，同時附屬刑法規定所應承擔的刑事責任與其他民事、行政責任共同形成了該領域完整的責任體系，不僅在打擊該領域違法犯罪行為時便于司法人員對相應的法律條文的援引，也利于社會公眾對該領域違法犯罪行為的整體性認識。《數據安全法》《個人信息保護法》《電子商務法》《網絡安全法》中附屬刑法規定所應承擔的刑事責任與其他民事、行政責任一同構成了非法數據跨境傳輸違法犯罪行為的完整責任體系，方便了司法人員在打擊非法數據跨境傳輸違法犯罪行為時的法律援引。此外，在進行《數據安全法》《電子商務法》《個人信息保護法》《網絡安全法》等法律的普法過程中，社會公眾能夠對數據安全、個人信息安全、網絡安全、電子商務安全等形成一個整體性的認識，了解哪些行為會構成犯罪，對非法數據跨境傳輸犯罪起到一般預防的作用。

3. 非法數據跨境傳輸的附屬刑法規制范式的不足

我國附屬刑法存在固有的弊端，導致在司法實踐中難以有效適用，發揮刑法功能。一方面，附屬刑法表述籠統，例如《電子商務法》第88條、《網絡安全法》第74條和《數據安全法》第52條均規定“違反本法規定，構成犯罪的，依法追究刑事責任”。這些規定過于模糊，哪些違法行為屬于嚴重危害社會穩定、達到犯罪程度，應適用何種類型的刑罰、處于何種程度處罰都沒有明確規定。這種規制范式容易形成口袋罪，過分擴大打擊范圍，一些情節顯著輕微的數據犯罪，也可能被列入刑事打擊的范圍，有違刑法的謙抑精神。同時也不利于社會公眾清晰明確地認識數據非法跨境傳輸的犯罪行為，導致刑法對數據非法跨境傳輸的一般預防作用流于形式，不利于增強公民的數據犯罪預防意識、維護社會的和諧穩定。

（二）我國現行刑法典規制非法數據跨境傳輸的立法漏洞

數據的價值是隨著近年來信息技術的飛速發展而得到充分挖掘，進而從計算機信息數據系統中獨立出來，成為需要法律專門保護的社會利益。這顯然超出了立法者立法時所能預判的范圍，因此我國刑法典并未設置專門規制非法數據跨境傳輸的條文，也沒有規制數據犯罪的條文。對于非法數據跨境傳輸行為存在明顯的立法嗣后漏洞。所謂嗣后漏洞，是指法律制定和實施后，因社會的發展而產生了新問題，這些新問題在法律制定時由于立法者未能預見而沒有被納入法律的調控范圍，因此而形成的法律漏洞。非法數據跨境傳輸行為的立法漏洞導致現行刑法中缺乏一個直接針對此類新型犯罪行為的罪名。對于一個新型的犯罪行為進行刑法規制，不僅剖析該行為的概念和法益侵害，還要分析我國現行刑法對該行為是否具有適配性的罪名。罪名是對某一犯罪所反映的根本特征的抽象概括。1行為是個罪構成的核心要件。任何罪名都必須表述特定行為。2犯罪所反映的根本特征就是犯罪行為的本質特征，所以我國刑法罪名的設立，是將某一犯罪行為中本質的特征加以歸納概括，從而有別于其他犯罪類型。因而犯罪行為決定著罪名的設立。非法數據跨境傳輸犯罪行為決定著刑法對其規定何種罪名。筆者根據對非法跨境傳輸行為的界定，梳理出刑法典可能適配該行為的罪名主要有三類，第一類是侵害計算機數據類罪名，第二類是危害國家安全類罪名，第三類是侵犯公民個人信息罪名，但用這三類罪名適用于非法數據跨境傳輸行為都存在缺陷。

1. 侵害計算機數據類罪名的不適用。侵害計算機數據類罪名包括刑法第285條的“非法獲取計算機信息系統數據罪、非法侵入計算機信息系統罪”和刑法第286條的“破壞計算機信息系統罪”。這是我國刑法分則中唯二的兩條明確提到數據的條文。但顯然，這三個罪名不適合規制非法數據跨境傳輸的行為。

從法益上看，“非法侵入計算機信息系統罪”和“破壞計算機信息系統罪”所保護的法益是計算機系統的安全。這與筆者認為的非法數據跨境傳輸行為侵害的法益大相徑庭。“非法侵入計算機信息系統罪”和“破壞計算機信息系統罪”雖然提及了數據，但數據只是作為其中的一個保護對象，或者是數據依附于計算機系統之中。“非法侵入計算機信息系統罪”和“破壞計算機信息系統罪”所保護的法益無法涵蓋非法數據跨境傳輸行為所侵害的數據管理秩序和國家安全法益。從行為上看，“破壞計算機信息系統罪”的行為是對計算機信息系統中的數據進行刪除、修改、增加的操作，而非法數據跨境傳輸行為是將數據進行傳輸，這兩種行為顯然不能等同。“非法侵入計算機信息系統罪”與“非法獲取計算機信息系統數據罪”中行為人與數據是一種非法獲取或者非法控制的關系，而非法數據跨境傳輸行為的行為人與數據是一種合法取得或者控制的關系。非法數據跨境傳輸犯罪行為同樣不宜以“非法侵入計算機信息系統罪”或“非法獲取計算機信息系統數據罪”論處。

雖然“信息系統數據是網絡數據的雛形”1，但是“非法侵入計算機信息系統罪”“破壞計算機信息系統罪”以及“非法獲取計算機信息系統數據罪”中的數據顯然不能和非法數據跨境傳輸行為中的數據混為一談，因此，這類罪名并不適合非法數據跨境傳輸行為。

2. 危害國家安全類罪名的適用困境。在數據時代，數據記載的內容與國家、社會、個人利益息息相關，當記載國家利益的數據被非法傳輸境外，這些數據就有被境外組織、個人非法獲取和非法利用的風險，危害了國家安全，符合危害國家安全類罪名所保護的法益。危害國家安全類罪名是我國十大類罪名之一，是對各種危害國家安全的犯罪行為共同特征的概括。與非法數據跨境傳輸行為可能相適配的危害國家安全的具體罪名，有刑法第102條的“背叛國家罪”和刑法第111條的“為境外竊取、刺探、收買、非法提供國家秘密、情報罪”。“背叛國家罪”與非法數據跨境傳輸行為有相適配的一面，當擔任國家黨政軍機關重要職位的行為人勾結境外的組織或個人，非法將事關國家安全的核心數據傳輸給境外組織、個人時，符合該罪名的構成要件。但除此之外，非法數據跨境傳輸行為很難適用“背叛國家罪”，原因有三：其一，“背叛國家罪”的犯罪主體與非法數據跨境傳輸行為的行為人主體不完全一致。“背叛國家罪”是特殊主體，須是在黨政軍機關中擔任重要職務或者有重要政治影響力的行為人，而非法數據跨境傳輸行為人是一般主體。若要成為“背叛國家罪”的適格主體，行為人必須是基于政治身份而成為對本人管轄范圍內涉及國家安全的數據的控制者或處理者，普通數據處理者不符合本罪的主體。其二，“背叛國家罪”的客觀方面與非法數據跨境傳輸的行為不完全相同。“背叛國家罪”的客觀方面是行為人勾結國外或者勾結境外組織機構或個人，勾結是核心，即行為人與境外的組織機構或人員有暗中相互串通的行為。而非法數據跨境傳輸行為的客觀方面是行為人違法將數據傳輸境外，行為人并非全都與外國或者境外組織、個人串通。例如，將數據存儲到境外，以及將數據傳輸到本公司在境外開設的子公司或分公司的行為，大部分情況下是行為人為了開展正當的經貿、文化、外交活動之所需，不能完全被認為是勾結行為。我國的一些企業為了經濟效益和增加市場競爭力，需要赴美上市，則需要參照美國《薩賓斯-奧克利》法案，將企業所控制的通常包括網絡活動、數據庫活動、系統登入活動、賬號活動、用戶活動以及信息接入的參數和條件提供給美國相關組織，當這些數據涉及國計民生或者國家核心技術等而成為重要數據、核心數據時，行為人未經有關部門的審批或采取相應的安全保護義就提供給美方證券審批機構，符合非法數據跨境傳輸行為而不符合“背叛國家罪”的行為。其三，“背叛國家罪”與非法數據跨境傳輸的行為在目的上不完全相同。犯“背叛國家罪”的行為人往往是基于不正當的目的，比如是為了獲取境外情報人員或策反人員提供的不正當政治、經濟利益。最常見的情形是境外諜報人員以高報酬要求行為人提供某些事關國計民生的核心數據，或者是境外情報人員允諾行為人在加入國籍時或在該國生活時提供便利，行為人通常為了這些目的實施了背叛國家的行為。而非法數據跨境傳輸的行為人通常是具有職業上的正當目的，比如通過公司海外上市獲得更多的融資擴大公司的經濟效益，到海外設立分公司拓展海外業務，等等。由此可見，背叛國家行為的目的與非法數據跨境傳輸行為的目的也有所不同。概言之，“背叛國家罪”與非法數據跨境傳輸的行為在法益方面不完全相同，行為的方式也不完全相同，非法數據跨境傳輸的行為不完全符合“背叛國家罪”的構成要件，因此非法數據跨境傳輸的行為不適用于“背叛國家罪”。

“為境外竊取、剌探、收買、非法提供國家秘密、情報罪”與非法數據跨境傳輸行為有相適配的一面。當數據處理者將涉及國家情報的數據非法傳輸境外或提供給境外組織、個人當然符合“為境外竊取、剌探、收買、非法提供國家秘密、情報罪”。所謂“國家情報”，根據《最高人民法院關于審理為境外竊取、刺探、收買、非法提供國家秘密、情報案件具體應用法律若干問題的解釋》，是指關系國家安全和利益、尚未公開或者依照有關規定不應公開的事項。根據該定義，涉及國家安全、國民經濟命脈、重要民生、 重大公共利益等數據屬于國家情報。本文開頭所列舉的案例中鐵路GSM-R敏感信號數據，承載著高鐵運行管理和指揮調度等各種指令，一旦被非法獲取和非法利用，將影響高鐵運行秩序，對我國的鐵路交通運輸的安全構成重大威脅。因此這種數據不僅屬于核心數據也屬于國家情報，上海某科技公司數據采集人員非法將這些數據提供給境外人員，當然構成境外刺探、非法提供情報罪。但是“為境外竊取、剌探、收買、非法提供國家秘密、情報罪”與非法數據跨境傳輸行為也有不相適配之處，即非法數據跨境傳輸行為中的數據并非都是國家情報。例如歷次全國人口普查的數據。絕大部分情況下單獨將某人的個人信息傳輸出境不會對國家造成太大的影響，但是當將整個國家的人口普查數據流通出境，那么經過技術分析，就會清楚地掌握到我國的生育情況、人口老齡化情況和人才的儲備情況，這和國家安全息息相關。但非法跨境傳輸人口普查數據的行為顯然不符合“為境外竊取、剌探、收買、非法提供國家秘密、情報罪”的構成要件。

3.“侵犯公民個人信息罪”的局限。由于數據是對信息的一種記錄方式，數據和信息在內容上可做等同認定。因此，當數據處理者將海量的公民個人數據非法向境外個人或組織機構提供時，符合侵犯公民個人信息罪的構成要件。但侵犯公民個人信息罪對非法數據跨境傳輸行為的規制也僅局限于這種情形，若是非法跨境傳輸的是非個人信息，則無法適用侵犯公民個人信息罪。總而言之，就單個罪名而言，我國的現行刑法中的部分罪名可以分別有效適配非法數據跨境傳輸的部分行為，但我國現行刑法的全部罪名也無法完全涵蓋全部的非法數據跨境傳輸行為，現行刑法罪名的規制始終存在難以填補的漏洞，對于非法數據跨境傳輸行為刑法規制需要另尋出路。

三、非法數據跨境傳輸罪的確立及標準

（一）附屬刑法規制范式向刑法典規制范式的轉變：非法數據跨境傳輸罪的確立

從當前非法數據跨境傳輸的規制范式來看，附屬刑法固有的弊端使其在規制非法數據跨境傳輸行為時捉襟見肘，因此有必要轉變規制范式，確立刑法典規制范式。刑法典規制范式一直是我國懲治犯罪行為的傳統規制范式，新中國成立至今大部分都通過刑法修正案的方式補充、修改刑法典條文懲治犯罪行為。自1999年開始，我國已通過了11個刑法修正案，“凡是需要增加犯罪類型與修改法定刑的，不管犯罪的性質及其與其他法律的關系如何，一概以修正案的方式對刑法典進行修改”1。例如，互聯網時代計算機信息系統的安全性成為新型法益，是刑法保護對象。立法者通過刑法修正案（七）增設了非法獲取計算機信息系統數據、非法控制計算機信息系統罪與提供侵入、非法控制計算機信息系統的程序、工具罪，采用刑法典規制范式，打擊針對計算機信息系統的網絡犯罪，保護計算機系統新型法益。

考慮刑法適用的便利性和國情，在我國繼續采用統一刑法典立法模式，是具有相對合理性、切實可行的。1刑法典為社會生活引入了行為導向的安定性和穩定性。刑法典規制范式能明確地、精確地界定什么樣的非法數據跨境傳輸行為應受到刑罰制裁，并以刑法條文的形式明確犯罪構成要件，為打擊犯罪行為制定統一的標準。如今，社會已經進入數據時代，計算機犯罪已非時代主流，“計算機系統數據”與“信息數據”不再是同一概念，危害國家安全類罪名也不全然適合規制非法數據跨境傳輸行為，侵害公民個人信息罪也只能規制非法個人數據跨境傳輸行為，以這些罪名懲治非法數據跨境傳輸行為會存在各種漏洞。若再著重對這些罪名進行刑法上的修修補補以規制非法數據跨境傳輸行為反而限制了刑法的時效性，也加大了對數據保護的代際落差。數據已然成為這個時代的核心，各國的數據跨境流動頻繁，數據的內容涉及社會各個領域，非法數據跨境傳輸的行為將危及國家在信息數據領域的安全和管理秩序。國家對數據的管理秩序和國家安全利益應得到學者們的足夠重視，非法數據跨境傳輸行為采取刑法典規制范式，以刑法條文的形式明確非法數據跨境傳輸犯罪構成要件，為打擊非法數據跨境傳輸犯罪行為制定統一的標準，保障數據跨境流動的安全有序。

筆者建議，在刑法典分則第六章《妨害社會管理秩序罪》章節中增設“非法數據跨境傳輸罪”。具體條文可以表述為：違反國家規定，跨境傳輸關鍵數據的，處三年以下有期徒刑或者拘役或者管制，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照第一款的規定處罰。本罪的客體是復雜客體，即數據管理秩序與國家安全，本罪的犯罪對象是關鍵數據。本罪的客觀方面是違反國家有關規定，非法跨境傳輸關鍵數據的行為。本罪的主體是一般主體，主觀方面是故意。

（二）增設“非法數據跨境傳輸罪”標準

1. 符合罪刑法定原則。罪刑法定原則既是刑法的基本原則又是刑法的精神，在歷經各國幾百年實踐的錘煉，已經成為刑法的核心原則和“帝王條款”。對于罪刑法定原則的含義，我們通常理解為“法有明文規定即為罪即為刑，法無明文規定不為罪不為刑”2。這不僅意味著“沒有法律就沒有犯罪，沒有法律就沒有刑罰”3，也“要求刑法對于犯罪與刑罰范圍事先盡量加以寬泛的規定，以使法官有定罪的根據”4。面對由數據非法跨境傳輸所引發的一系列嚴重侵害國家安全和妨害國家對數據管理秩序的行為，必須先有成文的刑法規定，法官才有斷案的依據，國家的刑罰才能有效地行使。在刑法典中增設“非法數據跨境傳輸罪”，符合罪刑法定原則中的“法律主義”要求，能為國家刑罰權介入非法數據跨境傳輸的犯罪行為提供明確的法條依據，有效打擊這類犯罪行為。

2. 契合法益保護主義。法益保護主義是指刑法的任務或目的是保護法益，犯罪應當被限定為對法 益的加害行為。我國《刑法》第2條和第13條明確了犯罪的本質是侵害法益的行為，刑法的目的與任務就是打擊犯罪行為，保護法益。法益保護主義要求立法者必須以法益為目的，將嚴重侵害法益行為規定為犯罪，若這些行為沒有被規定為犯罪，則應及時修改法律。此外，某種法益曾不值得刑法保護，而現如今值得保護時，刑法也應及時跟進，增設新的犯罪類型。5隨著信息數據時代的到來，數據所承載的信息涉及國家各個領域，數據所表征的國家安全和國家對數據的管理秩序的法益價值隨著數據自身安全的脆弱性與易受攻擊性而在跨境傳輸中愈加凸顯。在此背景下，國家的安全和國家對數據的管理秩序的法益價值必然成為刑法所重要考量的內容。因此，立法者適時更新刑法條文，增設“非法數據跨境傳輸罪”契合法益保護主義。

3. 順應“嚴而不厲”結構趨勢。我國的刑法結構由刑罰范圍和刑罰程度組成。刑罰規制社會范圍越寬意味著越“嚴”，刑罰對罪犯制裁程度越重意味著刑罰越“厲”。刑法結構影響著刑法功能的發揮。我國的刑法結構曾呈現出“厲而不嚴”的特征，這種刑法結構不僅使一些不法者承受了與其犯罪行為相比過于嚴厲的懲罰，更是遺漏了一些具有嚴重社會危害性的行為，不利于發揮刑法社會保護機能，也削弱了民眾對法規范權威的信賴。從第八次《刑法修正案》開始，我國的刑法結構通過適度擴張犯罪圈和合理配置量度，開始不斷地朝著“嚴而不厲”的方向進行調整。增設“非法數據跨境傳輸罪”符合我國刑法“嚴而不厲”的結構調整趨勢，有助于嚴密我國的刑事法網，填補刑法在涉及數據非法出境方面的漏洞。同時刑罰程度方面根據行為所造成的不同后果設置為兩檔法定刑，且最高不超過七年，避免對非法數據跨境傳輸的行為處以最嚴厲的生命刑，給予這些行為人日后改過自新的機會，也有助于社會的和諧穩定。

4. 遵循明確性原則。明確性原則是指立法機關制定的刑罰條文必須明晰，范圍合理適中。明確性原則包括兩個方面：一是構成要件的明確，也即罪狀的明確；二是刑罰效果的確定，也即處罰方式和法定刑幅度的確定。1在刑法中增加邏輯清晰、語義明晰的“非法數據跨境傳輸罪”的條文，使其具有可預測性，數據處理者在跨境傳輸數據前了解數據非法跨境傳輸罪的內容，準確地預判是否構成犯罪，保障數據處理者開展數據跨境業務，促進數據跨境安全、自由流動。同時，立法者通過設立該罪名及相應的條文，圈定刑法的打擊范圍，明確刑罰的處罰方式和程度，準確地懲治數據處理者嚴重危害我國國家安全和妨害國家對數據的管理秩序的非法數據跨境傳輸行為，避免將一些情節輕微或者對國家安全和國家對數據管理秩序無害的行為納入打擊范圍，使得司法機關的裁判更加規范，有利于保護法益。

5. 合乎協調性原則。協調性原則是指刑法規范的協調統一。這既包括法條內部的協調，也包括刑法與其他法律之間的協調。刑罰是靠國家強制力保障執行的，具有國家意志的權威。刑罰要具有權威就要協調統一，否則就會使司法機關在適用法律時陷入困境，違背正義。增設“非法數據跨境傳輸罪”，要合乎協調性原則，保持刑法各個法條之間的一致性，一些其他法條已經規制的犯罪情形，無須規制在“非法數據跨境傳輸罪”之中，否則不但重復立法，還可能導致處罰不公平。法律體系同樣也是個協調的整體，在刑法中增設“非法數據跨境傳輸罪”同樣不能與其他合理規定相矛盾，對此不必贅述。

四、“非法數據跨境傳輸罪”的競合處罰與限制

（一）“非法數據跨境傳輸罪”與其他罪的競合處罰

非法數據跨境傳輸罪的設立只是填補該方面的刑罰空白，由于非法數據跨境傳輸行為涉及面較廣，部分非法數據跨境傳輸的行為可能在構成本罪的同時還觸犯其他罪名，因此明確該罪與其他犯罪競合情形的處理非常有必要。

對于犯罪競合的處罰方式，學界存在“擇一重罪處罰說”和“數罪并罰說”兩種觀點。“我國刑法學界一般認為，對想象競合犯實行從一重處斷的原則。”2“數罪并罰說”認為對想象競合犯應當實行數罪并罰。3筆者支持通說的觀點。想象競合具有獨特的理論結構，行為人只實施了自然意義上的單個事實行為，雖然這單個行為“卻是復數意義上的刑法上有意義的行為，具有復數的構成要件該當性和復數的‘罪實”1，但是是基于一行為一罪、禁止重復評價或只有一個犯意的原理，我們認為，想象競合一般應當擇一重處，這是恰當的。2舉個例子，將100萬條敏感個人信息傳輸到境外。對于數據處理者來說自然意義上的事實行為只有一個：將海量的敏感個人信息傳輸到境外。但是，該行為既符合“侵害公民個人信息罪”的構成要件該當性和罪實，又符合“非法數據跨境傳輸罪”構成要件該當性和罪實，因此“刑法上有意義的行為”有兩個。由于我國刑法禁止重復評價，因此對數據處理者的行為選取“非法數據跨境傳輸罪”或“侵害公民個人信息罪”進行刑法評價即可。同理，非法數據跨境傳輸的行為在構成本罪的同時又符合其他罪名的構成要件的，在兩種罪名之間選取處罰較重的罪名制裁行為人即可。

（二）非法數據跨境傳輸罪的適用限制

數據的跨境傳輸是一種新興科學技術的開發與利用，我國憲法第20條表明了國家支持科學技術的發展，第47條規定了國家鼓勵公民從事科學技術方面的創造性工作。對于數據處理者而言，數據的跨境傳輸是一項法律規定的權利，刑法不能將行使權利的行為認定為犯罪。3這意味著，立法機關必須慎重考慮設立“非法數據跨境傳輸罪”的立法目的，既要防止數據的非法跨境傳輸而嚴重威脅國家、社會以及個人利益。另一方面，也要充分考慮數據安全中其他相關主體的利益訴求，保障數據處理者行使正當數據處理活動的權利，促進數據有序自由地跨境傳輸，進而促進科學技術的進步。刑法并不是保護數據管理秩序和國家安全的唯一恰當手段，司法機關要秉持刑法的謙抑性，只有到其他制裁手段都難以發揮效果才能考慮刑法的行使，不可以把刑法作為大眾教育的手段。面對非法數據跨境傳輸行為可能帶來的社會風險，我們要充分發揮行政制裁的懲治功能，將危害性較為輕微的非法跨境傳輸行為交由行政機關予以行政處罰，“非法數據跨境傳輸罪”只能制裁危害國家安全或妨害國家對數據管理秩序的行為。當然，對于非法數據跨境傳輸的規制，制裁也并非唯一有效的手段，規范和引導亦是必要的舉措。規范對數據跨境傳輸的限制，營造優良的數據跨境流通環境，不給處于正常交易中的主體權益造成損害，在維護數據管理秩序和保護國家安全的基礎上最大程度地促進數據的流通與利用。

五、增設“非法數據跨境傳輸罪”的意義

（一）突破了現有附屬刑法規制范式的局限性

增設“非法數據跨境傳輸罪”是采取刑法典規制范式對非法數據跨境傳輸犯罪行為予以刑事制裁，填補了刑法典的空缺，突破了附屬刑法規制范圍的局限性，升華了懲治非法數據跨境傳輸的立法目的。

首先是填補刑法典在數據跨境傳輸犯罪方面的空缺。隨著《網絡安全法》《電子商務法》《數據安全法》《個人信息保護法》的相繼出臺，其中附屬刑法條文的規定為刑法進入數據犯罪領域提供了法律依據。然而這些附屬刑法規定過于籠統簡略，哪些行為應當予以刑事制裁、以什么罪名和何種程度的刑罰予以制裁，刑法典沒有明確的規定，影響司法工作人員的裁斷，容易導致“寬嚴不濟”，甚至會出現“同罪不同罰”的現象。在刑法典中增設“非法數據跨境傳輸罪”，能夠填補刑法典在數據跨境傳輸犯罪方面的法律空缺，有利于司法工作人員公正裁決非法數據跨境傳輸的犯罪行為。其次，突破了附屬刑法規制范圍的局限性。《網絡安全法》《電子商務法》《個人信息保護法》《數據安全法》等法律中的附屬刑法有著各自的觸發條件，互不適用，當行為人非法跨境傳輸的是特定對象時才能適用對應的法律。增設“非法數據跨境傳輸罪”，在刑法典中設置專門的條文，打破附屬刑法只能適用發生在本法律領域的犯罪行為，統一適用所有的非法數據跨境傳輸的犯罪行為。既避免司法實踐中出現同樣是非法數據跨境傳輸犯罪行為，卻適用不同的法律規范，導致不同的判決結果發生的情形；又可以避免一些犯罪對象的特殊性、新型性導致尚無附屬刑法規定而“漏罰”的情形發生。 最后，升華了懲治非法數據跨境傳輸犯罪行為的立法目的。采取附屬刑法規制范式打擊非法數據跨境傳輸行為的立法目的是保護各法律領域內的法益。例如，《數據安全法》保護的是核心數據和重要數據的安全，《個人信息保護法》保護的是公民個人信息權益。采取刑法典規制范式，整合了重要數據、個人信息等關鍵數據為犯罪對象，歸納出這些犯罪對象背后所反映的國家對數據的管理秩序和國家安全。增設“非法數據跨境傳輸罪”，打擊所有的非法數據跨境傳輸犯罪行為，保護的不再是重要數據安全、個人信息的權益單方面的法益，而是保護這些單方面權益集合后所反映的數據管理秩序和國家安全。

（二）為數據犯罪的刑事立法樹立標桿

數據時代，涉及數據的犯罪數量有增無減，方式多種多樣，非法數據跨境傳輸行為只是其中的一種典型。對于涉及數據的其他犯罪行為勢必還會采取相應的立法措施。增設“非法數據跨境傳輸罪”，以刑法典規制范式打擊非法數據跨境犯罪行為，對數據領域內的刑事立法起到了“模范帶頭”作用，為今后涉及數據的其他犯罪的立法在范式選擇上樹立了典范。采取附屬刑法立法模式規制范圍相對狹窄，不具備整體性和普遍適用性，不利于有效懲治各種數據犯罪行為。只有采取刑法典的立法模式，在刑法典中設立能普遍適用的條文，統一處罰標準，才能從整體上有效打擊數據犯罪行為。

（三）奠定數據基礎制度的“中國方案”

增設“非法數據跨境傳輸罪”的另一層意義是確立我國數據基礎制度針對非法跨境數據傳輸領域的刑法方案。以數據跨境傳輸為核心的全球數字規則博弈愈發激烈，數據跨境傳輸規則已成為各國爭奪數字資源的優勢和維護國家安全的主要手段。各個國家基于本國的數據發展現狀紛紛制定自己的數據跨境傳輸理念主張和法律規則，并對外不斷傳輸這些理念和規則。美國和歐盟在這方面明顯占上風，我國與之相比明顯處于被動狀態。我國亟需探索和完善數據跨境傳輸的中國方案，積極參與數據國際治理，以更為完善的數據跨境傳輸規則打破歐美壟斷格局，爭取更大的數據跨境傳輸規則話語權。 數據傳輸安全是數據跨境傳輸的關鍵，以明確的刑事制裁措施保護數據跨境傳輸的安全、有序無疑是最嚴厲、最旗幟鮮明的手段。在刑法典中增設“非法數據跨境傳輸罪”，以刑法典規制范式規制非法數據跨境傳輸的犯罪行為，最大程度發揮刑罰的功能，保障數據跨境傳輸的安全和有序。增設“非法數據跨境傳輸罪”，彰顯了我國對數據跨境傳輸安全的重視和打擊此類犯罪的決心。“非法數據跨境傳輸罪”不同于美國的侵犯隱私權類犯罪，也不同于歐盟的“數據人權”類犯罪，“非法數據跨境傳輸罪”是具有中國特色的、針對數據跨境傳輸犯罪設立的罪名，這個罪名著眼于行為本身，對于數據非法跨境傳輸的犯罪行為更具有直接性和針對性。非法數據跨境傳輸所侵害的數據管理秩序和國家安全更能體現數據跨境流動中的國家主導地位和國家對數據安全的保障作用，這是歐美數據跨境傳輸規則所不能比擬的。增設“非法數據跨境傳輸罪”，有助于健全數據跨境傳輸規則的“中國方案”。增設“非法數據跨境傳輸罪”開辟了數據基礎制度研究的新領域。當前學者們對我國數據跨境傳輸的理論研究較為豐富，但主要集中在現有的數據跨境傳輸規則與其他國家、國際組織的規則之差異性比較、域外數據跨境傳輸規則對我國的影響，以及我國數據跨境傳輸規則的完善等方面，對數據跨境傳輸犯罪研究較少，為數不多的涉及這方面的文獻多半聚焦有關數據犯罪管轄權、證據數據司法取證等刑事程序法方面，對于數據非法跨境傳輸的刑事實體法領域鮮有研究。增設“非法數據跨境傳輸罪”，為學者們拋磚引玉，有助于完善數據跨境傳輸犯罪實體法方面的理論研究，最終完善我國數據法的理論研究。

結 語

在大數據時代，關鍵數據資源的爭奪必定是各國之間的角力重點，非法數據跨境傳輸行為將會愈演愈烈。非法跨境傳輸關鍵數據的行為，嚴重侵害了國家對數據的管理秩序，危害了國家安全，刑法有必要及時地介入予以規制。當前，《網絡安全法》《個人信息保護法》《數據安全法》等法律雖然對關鍵數據的非法跨境傳輸都設置了附屬刑法予以規制，但這些附屬刑法表述簡略，規定過于狹窄，不具有整體性和普遍適用性。刑法典規制模式應該予以確立。筆者針對非法數據跨境傳輸的行為提出增設“非法數據跨境傳輸罪”的刑事立法建議以拋磚引玉。未來，對于非法數據跨境傳輸行為的刑事規制研究與完善亦將是學者們與立法機關的傾力之處。

［責任編輯 李宏弢］