數字經濟時代下數據犯罪風險和理念更新

馬 寧

河南司法警官職業學院，河南 鄭州 450000

伴隨著現階段人工智能、大數據等技術的快速發展，社會逐步轉型，進入到數據社會，而數字經濟下數據作為生產要素，其作用日益突出［1］。這一方面為經濟的高質量發展提供了動力支持，但另一方面也催生了數據安全風險，一些包括數據泄露、數據販賣等犯罪案件的數量不斷提升。數據犯罪對于個人、企業、國家都會帶來嚴重的安全隱患，基于此，結合數據時代下數據犯罪風險進行識別，并針對性地提出風險防范策略，具有一定的現實意義和應用價值。

一、數字經濟時代下的數據犯罪風險

（一）由于數據安全犯罪造成的刑事風險

從我國刑事法律規范的內容來看，其中有許多與數據違規相關的犯罪類型。《中華人民共和國刑法》（以下簡稱《刑法》）作為法律體系中發揮著最后手段作用的部門法，雖然對于保護法益起到重要的作用，但由于《刑法》自身存在一定的不完善，難以對所有數據犯罪的構成要件進行事無巨細的描繪，這也在一定程度上弱化了對數據犯罪的打擊效果。結合當前涉及數據犯罪的法律規范來看，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）、《中華人民共和國數據安全法》（以下簡稱《數據安全法》）、《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）是三部最重要的法律，目前需要結合上述法律規范對數據安全犯罪領域中的刑事違法性特點進行界定，以便更具針對性地規制數據安全領域的犯罪行為，強化法律適用性。同時，數據安全前置性法律保護體系，也是當前保障各行各業數據安全，并使其明確自身數據安全監管職責的重要依據［2］。

從數據安全犯罪的發展趨勢來看，想要了解其犯罪風險，需要首先結合數據安全的內涵與特點進行展開。數據安全涉及到數據的儲存、使用、運輸等各環節的安全，需要保證數據處于被有效控制和合法利用的狀態下，結合現行《刑法》的相關規定，對于非法數據的取得、篡改以及銷毀等方面都有明確的懲治措施［3］。但基于數據形態的特殊性，在實際的使用環節，需要結合計算機系統做好數據的儲存與處理。在數據犯罪中，一些關于計算機信息系統安全和網絡安全方面的犯罪，例如，非法侵入計算機系統、非法控制計算機系統程序或工具等，在現行《刑法》規定中都有相關的罪名。進一步細分，如果非法搜集的數據屬于個人數據，則涉及侵犯公民個人信息罪，而如果收集的數據屬于公共數據則可能觸及為境外竊取、刺探、收買、非法提供國家秘密、情報罪。

（二）網絡服務提供者監管義務履行不到位導致的刑事風險

近年來全球范圍內數據的作用更加突出，在犯罪領域，關于數據領域的犯罪與攻擊行為不斷涌現，尤其是有著較多用戶數據的教育行業、醫療行業、互聯網行業等。這些行業企業在生產經營中，數據泄露風險較高。并且，結合數據泄露的主要途徑，具體包括了內外兩大方面，內部監管不當、內部人員竊取用戶機密或者外部黑客竊取數據，都可能造成數據泄露。這些擁有龐大用戶基礎、掌握海量用戶信息的企業，如果在用戶數據管理方面不到位，在安全防護體系上建設不足，或者自身的數據監管義務履行不到位，也有一定的刑事風險［4］。除了直接的由于數據安全犯罪造成的刑事風險外，一些網絡運營企業也可能面臨觸犯拒不履行信息網絡安全管理義務罪的風險，該罪的構成要件就包括“由于不履行網絡安全義務而導致用戶的信息泄露進而造成嚴重后果”［5］。

（三）由于網絡金融犯罪造成的風險

由于網絡技術本身具有較強的不確定性，在網絡金融產品的市場交易中，交易對象之間往往處于信息不對稱的狀態，一些金融詐騙分子，會以合法的金融交易為掩飾，利用信息不對稱的地位來隱藏自身的風險，并利用網絡技術漏洞和監管滯后性開展犯罪活動［6］。一些詐騙性質的眾籌、融資、網貸平臺，甚至將自己的服務器架設于虛擬平臺之上，這不僅能夠擴大其犯罪活動的影響力，也能在得手后快速轉移非法所得，例如緬北網絡詐騙集團。

二、數字經濟時代下，數據犯罪風險的產生原因

（一）立法不健全

數字經濟下數據犯罪風險的產生很大程度上是由于法律規范的缺失，現行的法律法規中，針對網絡和金融兩大領域的立法本身就較為有限。而數據犯罪作為新生事物，更是具有特殊性、靈活性，加之在數據犯罪的監管執法方面，監管執法權較為分散，一些規范性文件又往往由多個部門出臺，且不同地區之間在立法上也存在差異。國家層面上難以就網絡金融和數據犯罪的相關立法進行充分協調，加之網絡技術本身就具有的風險性。互聯網技術的快速發展，使得現行的法律規范和監管措施存在較大的滯后性，結合新技術、新情況、新形勢，現行法律難以對其及時打擊［7］。

（二）數字時代行為要件難以判斷

伴隨著數據犯罪在我國司法實踐領域出現的日益頻繁，犯罪手段逐漸趨向網絡化、技術化，如果不加治理會導致嚴重的危害后果，且數據本身影響力大，當行為人實施數據犯罪時，往往不僅會侵犯到其所需數據本身，也會影響到數據包含的其他信息內容。但目前在數據犯罪定性方面還存在較大的困難，因為在數據的界定上清晰度不足。數據與信息往往密不可分，而在《刑法》規定中關于數據的外延卻較為模糊，如第二百八十五條和二百八十六條中將數據犯罪的犯罪對象定義為計算機信息系統數據，但也有其他相關法律文件將具備自動處理數據功能的系統都認定為計算機信息系統。這一認定使得其適用范圍較廣，除了普遍意義上的計算機外，人們日常使用的手機、筆記本電腦等都能被涵蓋其中。這意味著所有類型的計算機信息系統數據都將被作為數據犯罪的保護對象，任何對其中數據進行非法獲取、非法破壞、非法泄露的行為都可被定義為數據犯罪。并且，從數據犯罪保護的法益來看，存在界定標準較為模糊的弊端，這也會影響司法實踐。

（三）互聯網監管難度加大

從法律的執行與落實來看，針對一些市場監管中的新興領域，往往落實難度較大，而網絡領域更是新興領域中的突出代表。結合現已出臺的法律實施情況，以數據犯罪中的網絡金融數據犯罪為例能夠看出，受傳統金融監管模式的影響，目前在金融監管方面還未能形成對網絡金融活動的全覆蓋。在以往的市場經濟中，市場監管大多配備有完備的體系機構，負責對市場中的違法違規現象進行處理，而在網絡金融領域并沒有設立較為完整系統的機構體系，導致監管作用難以發揮［8］。互聯網作為一個全新的技術平臺，信息數據傳播速度極快、傳播范圍廣、專業技術性強，這些特點也使得互聯網在監管方面存在較大不足，監管機構只能在事發后對犯罪行為進行追查，往往早已錯失偵查時機。且數字經濟時代下數據的類型更加多樣，各種新技術新產品層出不窮，這雖然降低了人們的入行門檻，但也提高了監管難度，而且由于互聯網信息具有虛擬性，在數據犯罪中也越來越呈現出復雜化的特點，多領域、多技術彼此交織，進一步提升了監管執法的難度。

三、數字經濟時代下，數據治理的理念創新

（一）要兼顧前端治理與數據利用

數據安全與國家發展、民族復興、社會進步密切相關，面對數字經濟下數據犯罪風險所帶來的挑戰，需要盡快推進數據安全的規范形態建設，同時，也要為數據的正常使用和開發利用提供保障，不能因為打擊數據犯罪、防范數據犯罪風險而出現寒蟬效應，這需要立法者對安全和效率方面做好取舍。近年來，伴隨著我國信息技術的快速發展，黨和國家對于數據監管的重視也不斷加強，對于數據犯罪風險的防范能力也不斷提升。從世界范圍看，在2018 年歐盟正式出臺了《通用數據保護條例》，此后，關于數據合規的問題也引起了各國的廣泛關注。我國在數據安全方面也以2017 年正式實施的《網絡安全法》為起點，開啟了數據合規建設，相繼出臺了《個人信息保護法》和《數據安全法》，構建起中國數據合規的基礎法律框架，從形式合規政策建設來看，結合數據治理的現行趨勢，需要盡早提上日程。

當前數字經濟下對于涉及數據領域的企業有著更高的義務要求，但目前我國《刑法》和其他新出臺的相關立法在銜接度方面還有所不足，在罪與非罪的界定方面還有待明晰。結合我國現行“犯罪雙罰”的模式之下，如果企業受到刑事處罰，或者有面臨承擔刑事責任的風險，則企業生存和發展將極為艱難，后果也是極為嚴重的。因此，這也驅動企業積極開展數據治理和前端預防，企業可以結合刑事合規制度做好風險防范，預防數據犯罪。

（二）要統籌多元治理與犯罪預防

在傳統的刑法實踐中，大多是采取事后評價，即犯罪行為已經產生并且造成了相應的不良后果，而后對此類行為進行評價和制約。這種方式無疑會使數據安全保護有著較大的局限性，難以對已受損的法益進行預防和恢復。而對于涉及數據領域的企業來說，本身管理流程復雜、環節多，且需要處理海量的數據流。而國家層面上在數據犯罪防范和治理方面難以實現全環節監管，如果在數據治理中僅憑刑事立法或司法強制效力的作用，難以面面俱到。從這一角度看，在防范數據犯罪風險時，可以從新的思路出發，從“重事后懲罰”轉向“積極的預防”。刑事合規制度的引入就體現了預防主義思想，結合企業自律、行業自治，能夠更好地基于企業在數據治理中的事前表現做好統籌。這種刑事合規有利于將企業的事前防范和國家的事后治理相結合，減緩我國在數據治理領域的壓力，能夠有效彰顯國家治理體系和治理能力的現代化。

（三）要協調寬嚴相濟刑事政策與產權保護

對于企業來說，在生產經營中結合數字經濟的發展環境，結合新興的經濟模式，需要做好完善。總體而言，我國數字經濟規則還存在著軟實力不足、數據流通體系不完善、監管機制不健全的問題，而從事數據領域的企業又大多是民營企業。針對目前企業在數據安全領域的一些違法違規行為，要秉承著寬嚴相濟的刑事政策，在肯定企業創新發展大方向的同時，也要督促企業進行自我監管。而借助刑事合規，能夠對涉事企業給予不起訴或暫緩起訴的寬待，能夠使其更加健康、可持續地實現發展。

四、數字經濟時代下的數據犯罪的風險防控策略

（一）建立健全立法

針對數字經濟時代下的數據犯罪風險，最有效的保障措施就是在立法層面上對數據實施全環節保護，要結合數據生存周期進行全過程監管。結合其他在本領域較為領先的國家關于數據監管方面的立法實踐，我國在《刑法》中僅對獲取性和破壞性數據侵權行為給予犯罪化。而對于一些數據濫用、非法訪問等同樣具有社會危害性的行為，卻沒有予以犯罪化。這存在明顯的不合理，建議在立法層面上進行調整，例如可以將非法訪問數據、濫用數據的行為予以犯罪化，原因在于濫用數據不僅是對數據進行修改、刪除，也涉及對數據的一些干擾行為，而對數據的干擾，可能會由于對其中核心數據的修改而影響到數據的整體安全，將其納入刑法規制范疇中，也能有效地打擊潛在的數據犯罪。

（二）提高數據犯罪的防范工作

對于數據犯罪來說，往往涉及的領域多且內容復雜，僅憑一方的打擊監管顯然是不夠的，需要構建起多部門聯合的犯罪打擊機制。例如，針對網絡金融數據犯罪，由公安機關與金融部門、網信部門進行協調。對于發現的違法行為堅決懲處，通過多部門合作，落實針對相關領域的整治工作，也可以督促行業構建起數據犯罪自律機制，發揮行業協會在預防數據犯罪方面的作用，為行業發展創設健康的環境。

（三）發揮大數據技術在監管工作中的作用

大數據技術在打擊違法犯罪領域也具有突出作用，借助大數據技術，強化對網絡安全系統的開發、更新和應用，能夠對數據治理起到卓有成效的作用。可以通過構建大數據追蹤體系，結合現有的網絡平臺開發系統完善的技術路線，對于已經發現的網絡漏洞及時進行填補，對于可能出現數據犯罪風險的模塊進行及時修補，做好預防遠比事后打擊更為重要。