數據安全案件中行刑雙向銜接的理性思辨與程序構建

王逍靜,代光勝

(1.中共中央黨校(國家行政學院) 政治和法律教研部, 北京 100091;2.北京市順義區人民法院 牛欄山人民法庭, 北京 101300)

黨的二十大報告明確提出,加快發展數字經濟,促進數字經濟和實體經濟深度融合,打造具有國際競爭力的數字產業集群。在國家整體安全觀視域下,2021年6月,《中華人民共和國數據安全法》(以下簡稱《數據安全法》)問世,其中第7條(1)《數據安全法》第7條規定,“國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展”。闡明了國家對數據安全與數字經濟發展的基本立場,為數據安全打下堅實的法律保障基礎。然而,伴隨數字經濟迅猛發展,數據安全問題逐漸顯露。數字經濟作為新興業態,其新穎性和專業性在司法實踐中對現行司法機制以及執法人員帶來很大挑戰,尤其是涉及數據安全案件從行政機關向公安機關移送過程中,常常出現有案不移、移送案件質量低等問題[1]。如何通過制度有效設計,順暢行刑之間的雙向銜接,精準打擊數據安全領域的違法行為,是亟待解決的問題。本文以數據安全案件的移送為視角,針對上述司法實務問題提出優化證據移送轉化路徑、構建正向移送標準、完善反向移送機制等,以期為通過數字正義助力更高水平公平正義的實現提供借鑒。

一、現狀審視:數據安全案件行刑雙向銜接的程序困境

2021年6月,中共中央發布《關于加強新時代檢察機關法律監督工作的意見》(2)完善檢察機關與行政執法機關、公安機關、審判機關、司法行政機關執法司法信息共享、案情通報、案件移送制度,實現行政處罰與刑事處罰依法對接。對于行政執法機關不依法向公安機關移送涉嫌犯罪案件的,檢察機關要依法監督。發現行政執法人員涉嫌職務違法或者職務犯罪線索的,移交監察機關處理。健全檢察機關對決定不起訴的犯罪嫌疑人依法移送有關主管機關給予行政處罰、政務處分或者其他處分的制度。,提出要完善“案件移送制度”。2021年9月,最高人民檢察院發布《關于推進行政執法與刑事司法銜接工作的規定》(以下簡稱《行刑銜接規定》),進一步為行刑案件雙向銜接機制在政策方面作出統籌部署。與此同時,數據安全案件也在司法實踐中頻頻顯露。2022年7月,國家互聯網信息辦公室一紙文書,載明了滴滴公司面臨80.26億元罰款的行政處罰,公司董事長和總裁也分別面臨100萬元巨額罰款的事實(3)參見《國家互聯網信息辦公室對滴滴全球股份有限公司依法作出網絡安全審查相關行政處罰的決定》,載于國家互聯網信息辦公室官網,http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm,2023年7月1日訪問。。滴滴被罰作為數據信息安全領域的標志性事件,代表著數據野蠻生長時代的結束,同時也引發了關于數據安全案件行刑銜接的制度邏輯問題的激烈討論。

(一)“由行到刑”正向移送程序不暢

1.正向移送標準不明

當下,數據安全案件“由行到刑”的正向移送過程中存在標準不明的問題。行政執法機關辦案的核心訴求是快速、高效,在履職過程中傾向于適用經驗主義。加之基層執法人員在知識儲備上很難準確判斷案件是否涉嫌刑事犯罪,無法準確把握刑事入罪的實質門檻[2],故實踐中往往出現“有案不移”“移送質量不高”或“未達刑事立案標準”等問題。行政執法機關難以通過常態化制度向刑事司法機關正向移送案件,便會造成案件處理出現疏漏。實際上,行政機關的移送是公安機關刑事立案的主要來源之一,由行政執法機關在日常工作中發現并判斷案件是否需要移送處理。這就意味著要求行政執法人員較為準確地把握入罪的移送標準,實現有效的正向移送[3]。在肖某非法侵入計算機信息系統案中(4)參見河南省淇縣人民法院(2019)豫0622刑初3號刑事判決書。,作為輔警,肖某擅自通過其他民警的公安數字身份證書登陸交管平臺處理車輛違章,鶴壁市公安局淇濱區分局交管巡防大隊發現上述異常處理的電子監控交通違法案件后形成線索報告,確定肖某的行為涉嫌非法侵入計算機信息系統罪,后將線索報告移送至淇縣公安局。該案中,交管巡防大隊需要參考清晰明確的移送標準,才可判斷案件是否構成犯罪,否則就會因涉案對象的性質、數量的爭議影響案件移送。

2.證據移送轉化受阻

《行政執法機關移送涉嫌犯罪案件的規定》(以下簡稱《行政移送規定》)第6條(5)《行政執法機關移送涉嫌犯罪案件的規定》第6條規定:“行政執法機關向公安機關移送涉嫌犯罪案件,應當附有下列材料:(一)涉嫌犯罪案件移送書;(二)涉嫌犯罪案件情況的調查報告;(三)涉案物品清單;(四)有關檢驗報告或者鑒定結論;(五)其他有關涉嫌犯罪的材料?！币幎?對于涉嫌犯罪案件,行政執法機關應當將案涉材料移送至公安機關。可以看出,證據是案件移送的最重要部分。證據移送在數據安全行刑銜接領域表現出的突出問題主要分為以下3個方面。

(1)證據移送轉化范圍不明。在行刑銜接語境下,刑事案件由行政機關移送而來,但整個訴訟流程均處于刑事訴訟法的規制之下,因而行刑銜接應屬于刑事訴訟法的程序范疇?！缎淌略V訟法》及相關法律規定(6)《刑事訴訟法》第54條規定:“行政執法機關在行政執法和查辦案件過程中收集的物證、書證、視聽資料、電子數據等證據材料,在刑事訴訟中可以作為證據使用?！薄蹲罡呷嗣穹ㄔ宏P于適用〈中華人民共和國刑事訴訟法〉的解釋》第75條規定了 “物證、書證、視聽資料、電子數據等證據材料”可以轉化,也未框定出 “等證據材料” 的明確范圍。《人民檢察院刑事訴訟規則》第64條將 “等證據材料”擴充為鑒定意見、勘驗、檢查筆錄,并規定這3種證據可以在人民檢察院審查符合法定要求后轉化使用。《公安機關辦理刑事案件程序規定》進一步增加了檢驗報告。,在刑事訴訟中,可以將行政機關履行職責過程中收集、提取的證據材料用作證據,前提是必須經過認定。換言之,行刑銜接案件中行政證據具備刑事證據之效力,但因證據審查的限制,能否作為最后的定案證據仍需進一步認定。然而,在移送范圍上,相關規范不約而同地都使用了“等證據材料”的表述。關于“等”的范圍,“等內”還是“等外”,學術界有不同看法,大致分為3種:一是“等內”理解,即僅限于物證、書證、視聽資料和電子數據這4類證據;二是“等外”理解,即除此4類證據外,還包括與之性質相同的其他實物證據;三是擴大的“等外”理解,即不僅限于實物證據,還包括其他同質的言辭證據[4]。有學者直接表明支持第二種觀點[5]。這種爭論也被稱之為最狹義說、狹義說以及廣義說,其中狹義說較占上風[6]。即此處的“等證據”應當作擴大解釋,包含同等特質的其他書證、物證[7],且公安機關《程序規定》和檢察院《訴訟規則》中有關行政證據的規定突破了這四類證據種類。

(2)行政機關取證困難。根據《行政訴訟法》第33條(7)《行政訴訟法》第33條規定:“證據包括:(一)書證;(二)物證;(三)視聽資料;(四)電子數據;(五)證人證言;(六)當事人的陳述;(七)鑒定意見;(八)勘驗筆錄、現場筆錄。以上證據經法庭審查屬實,才能作為認定案件事實的根據?！钡囊幎?行政執法機關可以提取的證據包括書證、物證、視聽資料等。證據的數量和種類繁多,特別是在新時代,數據安全領域往往涉及大量電子數據,這增加了行政機關取證的難度。一方面,目前行政法領域并未對電子數據取證問題作出新的規定。在行刑銜接的語境下,這導致行政機關在進行電子證據取證時只能參照刑事領域相關規范。另一方面,即使在電子數據規定比較詳細的刑事領域,也存在取證困難和證據范圍界定不明的問題。在刑事案件辦理過程中,電子數據的取證方式“包括但不限于”收集、檢驗、鑒定等(8)《公安機關辦理刑事案件電子數據取證規則》第3條規定,“電子數據取證包括但不限于:(一)收集、提取電子數據;(二)電子數據檢查和偵查實驗;(三)電子數據檢驗與鑒定”。;電子數據的范圍“包括但不限于”社交平臺所發布的或用戶注冊的信息、計算機電子程序等(9)最高人民法院、最高人民檢察院、公安部印發《關于辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》的通知第1條規定,“電子數據是案件發生過程中形成的,以數字化形式存儲、處理、傳輸的,能夠證明案件事實的數據。電子數據包括但不限于下列信息、電子文件:(一)網頁、博客、微博客、朋友圈、貼吧、網盤等網絡平臺發布的信息;(二)手機短信、電子郵件、即時通信、通訊群組等網絡應用服務的通信信息;(三)用戶注冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日志等信息;(四)文檔、圖片、音視頻、數字證書、計算機程序等電子文件”。。行政立法的電子數據規則缺失以及兩個“包括但不限于”使行政機關在執法和辦理案件過程中陷入無序的困境。

(3)證據移送過程中易受污染。數據安全領域違法行為會涉及大量電子數據,而相較其他證據類型,電子證據發展起步較晚。電子數據依賴于信息技術而存在,其特有的“高科技性、高依賴性、變動無軌跡性和易篡改性脆弱性”等特征[8]為證據移送帶來難題。與傳統證據不同,電子數據的隱蔽性較強,尤其是針對計算機程序“看不見摸不著”的狀態,很容易被篡改;電子數據流通不順暢,極易導致行政機關和刑事司法機關之間形成“數據孤島”[9]。因此,在對電子數據提取、保存和移送等一系列過程中都要通過合理的制度或程序保證其真實性與穩固性。

(二)“由刑到行”反向移送制度缺失

在當前的行刑銜接過程中,理論及司法實踐關注點都在于“從行到刑”的正向移送,對“從刑到行”反向移送的制度設計和實踐運行均有所忽視。2011年2月,中共中央辦公廳、國務院辦公廳轉發的《關于加強行政執法與刑事司法銜接工作的意見》(中辦發〔2011〕8號),在第5條(10)《關于加強行政執法與刑事司法銜接工作的意見》第5條規定,“人民檢察院對作出不起訴決定的案件、人民法院對作出無罪判決或者免予刑事處罰的案件,認為依法應當給予行政處罰的,應當提出檢察建議或者司法建議,移送有關行政執法機關處理”。對案件反向移送作出統籌規定?！缎姓扑鸵幎ā返?條(11)《行政移送規定》第8條規定,“公安機關認為有犯罪事實,需要追究刑事責任,依法決定立案的,應當書面通知移送案件的行政執法機關;認為沒有犯罪事實,或者犯罪事實顯著輕微,不需要追究刑事責任,依法不予立案的,應當說明理由,并書面通知移送案件的行政執法機關,相應退回案卷材料”。和第10條(12)《行政移送規定》第10條規定,“行政執法機關對公安機關決定不予立案的案件,應當依法作出處理;其中,依照有關法律、法規或者規章的規定應當給予行政處罰的,應當依法實施行政處罰”。分別規定公安機關對行政機關移送的案件不予立案的應當退回,行政機關應當依法處理。然而,對于如何判斷是否應當移送及移送程序是否正當等具體規則,法律沒有明確規定。由于數據安全領域缺乏專門的行刑銜接規范,以及司法刑事機關與行政執法機關對刑事違法犯罪的重視不對等傳統觀念上的因素,辦案人員往往傾向于在查明違法行為不需要受到刑事追究后,直接釋放涉案人員,而不會考慮是否因需要追究行政責任而移送有關行政機關[10]。以侵犯公民個人信息罪為例,從中國裁判文書網公開網查詢可知,2019—2022年全國法院受理此類案件12 153件,案件量由2019年的4 219件降為2022年768件。

圖1 2019—2022年全國法院受理案件分布

經查閱裁判文書可知,案件受理量下降的部分原因是裁判標準不清,此類案件往往會轉為其他罪名案件。概言之,數據安全在立法上并沒有被作為一種單獨的法益受到刑法保護,司法實踐中常通過數據安全內涵的實質性法益來斷定罪名[4]。例如,當行為人私自提取、濫用平臺用戶的注冊身份信息時,司法機關常常會將其認定為侵犯公民人身信息罪;當行為人通過入侵、篡改或毀壞計算機系統以獲得財產利益時,司法機關則傾向于將其認定為計算機信息系統類犯罪,這就造成了數據安全相關犯罪罪名適用無法統一的問題。余某侵犯公民個人信息案(13)參見浙江省杭州市余杭區人民法院(2017)浙0110刑初737號刑事判決書。中,被告人余某違反公司規定,運用技術手段擅自編寫可以自動爬取并保存數據的腳本,秘密爬取、保存大量的員工個人信息,法院認定其構成侵犯公民個人信息罪。劉某、夏某等提供侵入、非法控制計算機信息系統程序、工具案(14)參見上海市青浦區人民法院(2020)滬0118刑初1292號刑事判決書。中,被告人劉某違反國家規定,通過爬蟲軟件不正當獲取計算機信息系統中儲存和處理的數據,情節特別嚴重,法院認定其構成非法獲取計算機信息系統數據罪。同樣是利用爬蟲技術獲取公司保密系統中存取的信息,兩案認定為了不同的犯罪類型。不同類型犯罪的入罪標準及量刑情節不同,具體辦案人員可能因不同理解與思維傾向,對那些因“顯著輕微”而不需要追究刑事責任或不構成犯罪的,但“違反、可能違反”行政法規范的情形作出不同判斷,致使其在面對同一類型案件是否符合反向移送標準時作出不一致的決策。最高人民檢察院于2021年10月11日印發《關于推進行政執法與刑事司法銜接工作的規定》,強調檢察機關應當與其他各部門協調配合,注意是否存在當移不移等情形,及時發出檢察建議,其他部門則可以進行舉報。然而,上述案件在實踐中并未受到有效的監督或舉報,行刑銜接的反向移送也就流于表面。質言之,行刑銜接反向移送的缺失,從制度上看,一方面是因為數據安全存在罪名適用不一致的問題,另一方面是對行刑銜接反向移送的缺少足夠動力與有效監督。只有從這兩方面補足短板,才能使反向移送在法制軌道內運行。

二、理性思辨:構建數據安全案件行刑銜接機制的必要性證成

(一)“以罰代刑”危及數據安全

“以罰代刑”是指當某種行政違法行為已經觸犯刑法,本應當移交給刑事司法機關通過刑事訴訟程序處理,卻由行政執法機關施加行政處罰以代替追究刑事法律責任的情況。概言之,“以罰代刑”是因行政機關沒有按規定移送案件,導致對本該構成刑事犯罪的行為,最終通過行政責任代替了刑事責任[11],它是行刑銜接程序中出現最多的問題。為了遏制這種現象,國家出臺了一系列法律法規以及司法解釋規定行刑銜接應當遵守的程序強調其必要性,如《行政處罰法》第8條第2款明確規定:“違法行為構成犯罪,應當依法追究刑事責任的,不得以行政處罰代替刑事處罰?！?/p>

大數據在人類生活中的應用和發展,不僅僅帶來了便利,同時也對個人信息保護、市場秩序、網絡安全、國家安全等帶來挑戰,違法案件隨之逐漸增多。2019年至2022年10月,全國檢察機關共批準逮捕涉嫌侵犯公民個人信息犯罪嫌疑人1.3萬余人,提起公訴2.8萬余人(15)《最高檢發布5件依法懲治侵犯公民個人信息犯罪典型案例 推動形成個人信息保護多元共治新格局》,載于最高人民檢察院官網,https://www.spp.gov.cn/spp/xwfbh/wsfbt/202212/t20221207_594915.shtml#1,2023年6月3日訪問。。以侵犯公民個人信息罪為例,從中國裁判文書網公開網查詢可知,2018—2023年全國法院受理此類案件14 045件,其中10萬元以上標的額的案件占比48.69%,100萬元以上標的額的案件占比10.53%,可知該類犯罪涉及標的往往較大(見圖2)。

圖2 2018—2023年全國法院受理案件分布

數據安全領域出現“以罰代刑”“有案不移”現象,是數據執法過程中出現的“執法不嚴”問題的體現。若不盡快進行制止與規制,無法有效打擊數據安全違法行為,必然會導致類似案件頻發,不僅會危害數據安全,也會削減刑事法律威懾力。就行政處罰與刑事處罰本身而言,雖然同為“罰”,但二者的懲罰具有不同的表現。這也決定了在當前法律制度下,行政處罰與刑事處罰的本質區別,二者無法相互替代,應當嚴格區分[12]。因此,在數據安全領域,行為人觸犯行政法和刑罰的犯罪成本有很大不同,將本該進行刑事處罰的案件通過給予行政處罰代替,難免會造成數據違法犯罪行為的猖獗。無論刑法規定得多么嚴厲,無法適用到具體案件中,依然不可能達到警示作用。當刑法變成了“紙面上的法”之后,刑法權威和威懾力自然會大大降低[13]。甚至,有的涉數據安全犯罪嫌疑人會提前計算好犯罪成本,為了追逐更大的獲利而采取“明知故犯”的行為,也即很多人所說的“交了罰款繼續干”。久而久之,不僅刑事處罰無法發揮作用,行政處罰規定也變成了“形式”條款,數據安全受到巨大威脅,法治秩序遭到破壞。

(二)“以刑代罰”限制數據發展

當一行為既違反行政法規范,又觸犯刑法時,依照法律規定既要受到行政處罰又要追究刑事責任,此時就不可避免地產生了行刑銜接問題。行為人能否同時受到行政和刑事處罰的追究呢?對此,理論界有替代主義、并合執行、免除代替三種觀點(16)一是替代主義,認為對同一違法行為,只能在行政處罰與刑罰中選擇一種,不能并施;二是并合適用,即對同一違法行為既可適用刑法又可適用行政處罰法;三是免除代替,附條件的并科執行。。本文采取并合執行的觀點,作為行政處罰適用的原則,“一事不再理”“重罰吸收輕罰”針對的法律責任均為同一法律性質,而刑事責任和行政責任無論是在形式還是功能上都有所差異,故二者的并合適用可以彌補不足,使違法犯罪行為得到更好的治理。在司法實踐中,某一行為同時違反刑法與行政處罰法,承擔法律責任的方式有兩種,一是在定罪免刑時僅適用行政處罰,二是行政處罰和刑罰合并適用[14]。“以刑代罰”就是大多在這兩種情況下發生的,具體來說包括“只刑不罰”和“既無刑又不罰”兩種現象。

“只刑不罰”是指應當同時受到行政處罰和刑事處罰的違法行為,最終只追究了刑事責任,行政責任被忽略的情況。就刑事處罰而言,行政處罰具有彌補作用,在某些行政犯罪案件中,被告人不但要承擔刑事責任,也無法免除行政處罰[15]。例如,在數據安全領域,違反數據安全法危害國家主權等構成犯罪的,除了應當依法追究刑事責任之外,還要根據情況承擔責令停業、吊銷業務許可證等行政責任(17)《數據安全法》第45條第2款規定,“違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任”。。但在司法實踐中,一些案件在經過刑事司法機關處理之后,卻往往忽略還需受到行政處罰的情況,不會再移送回行政機關,行政機關也因各種原因不會主動調查?！凹葻o刑又不罰”則是指應當承擔相應責任的行政違法犯罪行為,既沒有受到刑事追究,又沒有承擔行政責任。通常發生在行政機關發現違法現象可能涉及犯罪,依法移送至公安機關,后經調查,因行為不構成犯罪或證據不足等情況未追究刑事責任(包括不起訴、撤回案件、宣告無罪等),刑事司法機關本應移送回行政機關處置而未移送,導致案件不了了之。

除此之外,另一種更加直白的“以刑代罰”現象也應得到警惕,即對于一些僅需要追究行政責任的案件,因為法律過于嚴格的規定或者適用罪名不統一、證據移送等方面的問題,導致其最終受到更加嚴厲的刑事追究。近年來,我國接連出現數起大型的數據安全違法案件,國家網信辦對“滴滴出行”“BOSS直聘”“運滿滿”“貨車幫”幾大網絡平臺進行安全審查。上述幾家企業有一個共同點,即掌握了大量用戶信息及該領域內80%以上的深度數據,且經營業務和關鍵信息基礎設施相關。因此,面對數據相關技術和企業飛速發展帶來的社會關系變革與法律風險,我國接連制定相關法律規范,嚴厲打擊數據安全領域違法犯罪行為[16]。然而,面對數字經濟這一新興業態的發展,能否一味地通過施加嚴格的法律責任來防范可能發生的風險呢?答案是否定的。數據作為數字經濟的載體,在促進數字經濟健康發展中具有重要地位[17]。網約車、網絡直播平臺等新興業態的發展不僅為我國國內經濟帶來巨大發展,數據技術在通信、交通、教育、軍事等領域的應用,也極大提高了我國在國際上的發言權和競爭力。針對新業態的發展,不能因為對其可能帶來的法律風險和危害性的未知恐懼,就一味地采取嚴格限制、嚴厲打擊的方法,而應當在發展過程中不斷調和,在各種利益之間不斷進行博弈,最終達到實質上的平衡[18]。在對數據產業風險保持敬畏的同時,聯合使用激勵和制約多種手段促進其創新和發展。2023年3月7日,最高人民法院工作報告中不僅明確數據權利司法保護規則,提出對濫用數據、算法等進行不正當競爭的行為予以懲處,遏制“大數據殺熟”等非法逐利的行為,同時也強調規范網絡直播平臺帶貨等新業態模式,以保護創新經營[19]。

總而言之,數據技術發展中風險和收益并存,針對數據安全領域的違法犯罪行為,既不能“以罰代刑”使數據安全遭到破壞,也不能“以刑代罰”損害數據產業的發展。在數據安全領域的行刑銜接機制構建中,尤其是針對企業數據市場行為,一定要避免走極端,既不能盲目地認為其應該遵循市場的內生需求進而要求最小限度的監管與處罰,又不能將其視為洪水猛獸,采取極度嚴厲的刑事措施。

三、正向移送:以移送標準與證據轉化為雙線順暢行刑銜接程序

根據“刑事先理”原則,行政機關履職過程中應當及時主動將其發現的涉嫌違法案件移交至相應的刑事司法機關。數據犯罪的刑法規制主要適用我國刑法關于計算機系統罪、信息網絡類以及侵犯公民個人信息類犯罪等,不同種類犯罪所保護的法益也不同。這些案件本身一般都具有行政違法性,行政機關享有首次判斷該違法行為是否涉嫌犯罪的權利,必須充分考慮對犯罪構成要件的實質解讀[20]。只有以構成要件為核心制定移送標準、優化證據移送轉化流程,行刑雙向銜接中的行政執法機關和刑事司法機關才會在案件移送上達成觀念一致,實現對數據犯罪的全鏈條、體系性打擊。

(一)以構成要件為核心構建正向移送標準

1.基于行為要件構建正向移送標準

以拒不履行信息網絡安全管理義務罪為例,它保護的法益是政府監管網絡服務提供者形成的良好秩序。此種情形下,網絡服務提供者負有規制數據行為的積極義務,若違反該義務,政府職能部門責令整改;拒不整改,造成嚴重后果的,構成犯罪。從上述定罪結構可以看出,涉嫌犯罪的網絡服務提供者未履行的義務是雙重的,一是法律設定的一般的遵守相關數據行為的義務,二是監管部門發現其違法上述一般義務而專門設定的整改義務。該罪的立法結構體現了另一種治理犯罪思路,即通過為某領域內扮演關鍵角色的主體(網絡平臺)設定積極的防范風險義務,構建“規制—違反規制—制裁”的安全治理目標實現路徑[21]。而囿于數據安全案件知識儲備與實踐經歷,基層行政執法人員在工作中往往無法準確判斷數據安全案件的違法性?；谛袨橐嫿ㄐ行屉p向銜接移送標準,他們則能較為清晰地判斷刑法保護的法益在何種條件和何種具體行為下受到了侵犯。基于行為要件來構建行刑雙向銜接的案件移送標準,需要參考數據安全法和刑法中有關行為模式的規定,通過對數據犯罪行為的解讀來明晰詳細標準。在數據安全領域的行刑案件中,行政執法機關居于高度敏感的地位,必須對案件是否涉嫌犯罪進行快速分析,而當事人的行為則是簡潔準確高效的判斷標準之一[22]。例如,侵犯公民個人信息罪的行為要件包括,向他人出售、提供公民個人信息,情節嚴重或特別嚴重的。有關立案標準的具體規定需參照相關司法解釋中關于4種(18)參見2017年3月最高人民法院和最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息解釋》)第3條、第4條、第5條。行為類型的不同規定。同時,行政執法機關辦理數據安全違法案件時,需參照《數據安全法》第32條(19)《數據安全法》第32條規定,“任何組織、個人收集數據,應當采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據”。,審查數據的取得方式是否“合法、正當”,進而決定該行為是否違法。相較于司法解釋,數據安全法關于違法行為的設定范圍較寬。行政執法機關在移送侵犯個人信息類案件時,應基于上述兩部法律對應的實行行為模式進行判斷,難以準確作出判斷的案件時參考兜底條款的規定。

2.基于罪量要素構建正向移送標準

各國刑法關于犯罪成立的條件規定有所不同。大陸法系國家通行的做法是 “立法定性,司法定量”[23]。這種方法側重行為的質,而不涉及行為的量。我國則不同于其他大陸法系國家,采取了“立法定性+定量”模式[24]。換言之,一行為既具有刑法規定的社會危害性,又滿足了刑法對該危害性程度的要求,才構成犯罪,此即犯罪構成的質與量,法官在審理案件時必須對量作出評價。在數據犯罪中,“罪量要素”就是典型的上述有關量的評價要素,需要基于涉案數額等進行整體考察。《行政移送規定》第3條(20)《行政移送規定》第3條規定,“行政執法機關在依法查處違法行為過程中,發現違法事實涉及的金額、違法事實的情節、違法事實造成的后果等……涉嫌構成犯罪,依法需要追究刑事責任的,必須依照本規定向公安機關移送”。規定的行政機關應當移送的案件標準中就包括“違法事實涉及的金額”,強調行政執法機關在判斷是否應當移送時要把握罪量要件。以危害計算機信息系統安全刑事案件為例,司法解釋(21)《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《計算機信息解釋》)。將罪量要件主要分為3個方面:一是獲取信息數量;二是非法控制計算機信息系統的臺數;三是違法所得或造成的損失數額。上述3個數額標準中只要有一個達標,該案就應由行政機關及時移送至刑事司法機關,達成兩者間的雙向協調一致。就具體數量標準的選取而言,需要進一步參考《數據安全法》及相關司法解釋的規定。如《計算機信息解釋》第1條規定,獲取網絡金融服務“十組以上”的身份認證信息,或“五百組以上”的其他身份認證信息,屬于《刑法》第285條的“情節嚴重”。據此,有關計算機信息系統相關犯罪所獲取信息數量的把握,應以該司法解釋為準,在保持刑法謙抑性的同時避免遺漏處罰。譬如上文提到的肖某明案中,被告人肖某明擅自使用同事的數字身份證書,為他人處理違章信息1 000余條,故因涉嫌犯罪被移送至刑事司法機關。這與《計算機信息解釋》中嚴厲打擊危害計算機信息系統安全的整體趨勢保持一致,強化了對信息的監管,體現了對數據犯罪的嚴厲打擊。數據安全深刻影響公眾的日常生活,采用受傷害人數作為移送標準能夠有效保護公民的人身權利,優化《刑法》與《數據安全法》的法律銜接,確保行刑雙向銜接機制有序運轉。

(二)制定專門規范明確證據移送范圍

為了更好地規范不同領域行政執法與刑事司法的銜接,各部門紛紛聯合或單獨出臺規范性文件。現行有效的部門規章有9部,涵蓋食品安全、藥品安全、質量檢驗、工商價格、安全生產、環境保護、農業生產等領域。與刑事訴訟法以及相關司法解釋相比較,部門規章在對證據的移送范圍上界定得更加清楚,并且根據專業領域的不同體現不同特點。例如,《環境保護行政執法與刑事司法銜接工作辦法》在第6條將“監測報告、認定意見”納入應當移送的材料范圍;第20條則規定了所移送材料是否能夠轉化適用為證據及轉化的方法。《食品藥品行政執法與刑事司法銜接工作辦法》第18條(22)《食品藥品行政執法與刑事司法銜接工作辦法》第18條規定,“食品藥品監管部門在行政執法和查辦案件過程中依法收集的物證、書證、視聽資料、電子數據、檢驗報告、鑒定意見、勘驗筆錄、檢查筆錄等證據材料,經公安機關、人民檢察院審查,人民法院庭審質證確認,可以作為證據使用”。規定的可以轉化為適用的證據材料除“監測報告”外,還不包括“認定意見”。由此可知,上述行刑銜接專門規范中有關移送材料以及可以轉化適用的范圍都包括“物證、書證、視聽資料、電子數據”,并根據本領域特征,將“等相關證據”范圍擴大為不同的證據類型。大部分包括“鑒定意見、勘驗筆錄、檢查筆錄”與“檢驗報告”,而有關監測報告和認定意見的意見認定則不統一。因此,為了進一步明確有關數據安全違法案件在行政機關與司法機關之間的銜接,可以由數據安全監管部門會同公安部、最高人民檢察院共同制定規章,即《數據安全行政執法與刑事司法銜接工作辦法》。

1.擴大證據移送范圍

在對數據安全案件移送相關證據范圍的界定中,在案件資料有價值的前提下,應當盡量擴大移送的范圍。除了《行政與刑事司法銜接》規定的“物證、書證、視聽資料、電子數據”,以現行的部門規范性文件為參照,還應該將鑒定意見、勘驗筆錄、檢查筆錄、檢驗報告以及認定意見包括在內。我國刑事訴訟程序還未明確界定認定意見是否能夠作為證據類型以及相對的質證規則,導致在司法實踐和立法上均出現亂象。認定意見的制定主體往往是行政機關內的專家制作的,對象常涉及比較專業的定性、定量問題,實質上與上述食品安全領域出現的最新證據類型有異曲同工之妙。也有學者認為,在刑事司法中,行政認定符合證據的法律屬性,并且屬于鑒定意見[25]。數據安全作為高度依賴于專業技術的領域,專門監管辦案過程中基于掌握的第一手信息,依賴專業知識作出的認定意見對刑事司法機關有很強的參考性,且食品安全領域已經將此類專家意見增加為新的證據類型(23)2021年12月,《最高人民法院、最高人民檢察院關于辦理危害食品安全刑事案件適用法律若干問題的解釋》將有關行政部門關于“有毒有害”等專門性問題出具的書面意見增加為一種全新的證據類型。。故無論從可參考性抑或司法實踐角度看,認定意見都應當納入證據移送的范圍,但對其轉化適用為證據的要求應當相對嚴格。

2.明確證據移送類型

制定過程中不僅要明確移送案件時應當包括的材料,還要對可用作刑事訴訟證據的類型予以明確。但是在具體應當“如何”轉化上可以有所區別。例如,針對鑒定意見、勘驗筆錄、檢查筆錄,其本身就是行政機關對案件的調查、記錄或說明,應屬于事實認定的部分,不會因行政和刑事的不同思維特征有所區別,自然應當納入證據移送和可以轉化適用的范圍。在檢驗報告的適用過程中,應當明確出具檢驗報告的機關具有相應的合法的資質,并經“公安機關、人民檢察院審查,人民法院庭審質證確認”后,可以用作證據。

(三)優化電子數據提取與存儲規則

1.確立行政電子數據提取規則

在數據安全案件行刑銜接過程中,行政機關進行證據提取是最初也最重要的環節。因為在執法辦案過程中,行政機關能夠第一時間接觸、提取并固定下證據。尤其是電子數據,其提取往往要依賴專門技術,網信辦作為具有專門技術知識的職能部門,相較公安機關工作人員來說更具有提取計算機程序、用戶信息等電子數據的技術和技能。并且,若沒有在第一時間提取到證據,待行政機關將案件移交給公安機關,再由公安機關來調取證據可能會因時間差給案件相關人員破壞、消滅證據的機會。甚至基于電子數據本身的技術特性,證據也可能在提取過程中由于技術人員的操作不當受到破壞。故在行政訴訟法及其相關法律中確定電子數據提取規則,才能確保行政機關遵守規定所提取的電子數據,在刑事訴訟中有成為證據的資格。在行政機關提取電子數據的具體規則設計上,重點應當包括收集電子數據的種類、提取人員、提取程序等。在收集對象方面,要注意將“包括但不限于”的范圍盡量厘清,征求職能部門、專家學者、企業等人員的意見,并隨著大數據的發展以及實踐中數據安全案件的趨勢及時確定、調整電子數據范圍;在執法主體方面,應與其他證據提取規則保持一致,即限定為兩名或以上,并安排有專業技術人員輔助;在收集程序方面,除制定技術規則之外,還要規范提取附屬數據信息并嚴格落實制作現場筆錄,以輔證記載于電子數據上的信息的真實性;在其他方面也要注意應當有數據持有人或見證人在場、現場筆錄等要有雙方簽章等。應當注意的是,由于電子數據所記載的信息大部分無法直接看見,因此在電子數據提取規則的制定中尤其要注意記錄留痕,形成完整的鏈條使電子數據的提取和存儲具有可追溯性,從物理層面增強電子數據的可視性和真實性。

通過明確行政機關電子數據規則和具體的提取標準和程序,在制度層面為行政機關在數據安全領域的有關電子數據的提取的立法依據,統一行政與刑事法律規定標準的統一性,避免公安機關再次陷入“快播案”的困境,即行政機關提取的電子數據被認定,但因取證程序不滿足要求可能無法達到司法證據要求的證明力度;若被否定,電子數據所記載的重要證據將會缺失,因電子數據的不可重復收集性而導致刑事司法機關無法認定該案的案件事實。

2.建立電子數據信息共享平臺

在數據安全相關刑事案件中,涉案電子數據的突出特點是容易受到污染、不易保存。數據安全領域違法案件行刑移送過程中,首先要保證行政機關提取電子數據得到妥善保管,在移送過程中不受破壞和其他污染,并輔之以配套的制度保證電子數據的真實性。雖然相較傳統數據而言,電子數據因其內部運行的二進制結構不易被大眾理解和直觀感受,導致篡改具有隱蔽性和技術性,但也正因為數字、程序運行的準確性,使電子數據在未受到外部、人為因素改變其運行環境的情況下,不易發生改變,由此具有了真實性。并且,電子數據具有很強的可復制性和流轉性,復制或流轉之后的電子數據依然代表之前的數據,故從真實性上看,電子數據沒有原件和復制件之分,可以通過“傳遞轉換過程中的完整性和可靠性”來確認和保障電子數據的真實性[26]。為了減少這種保存和傳遞過程,可以依賴第三方開發電子數據共享平臺。行政機關提取或者委托專業機構提取的電子數據直接上傳至共享平臺,若涉及需要移送案件,公安機關或司法機關可以根據需要直接從該平臺上下載。通過減少電子數據在行刑銜接過程中存下的很多提取、保存、移送等程序,保證其外部運行環境的穩定性。但要注意在第三方機構的選擇上要定下嚴格的規則,可以將通過嚴格審核之后具有相關資質的機構納入統一目錄。通過專業技術機構和人員對信息共享平臺的維護,也可以及時監測是否有外人員惡意毀損電子數據,即便是遭到破壞后,也能第一時間發現和修復。

此外,輔證電子數據真實性還可以通過完善鑒證人、輔助人員等出庭作證制度進行驗證。在案件處理過程中,若控辯雙方因對提取保管移轉證據等環節持有疑慮而質疑電子數據真實性時,可以由接觸者或處置者出庭作證,若其就該電子數據的同一性,即未被破壞毀損等證言,則可以證明其真實性,進而提高刑事訴訟中電子數據的證明力和適用性。

四、反向移送:以實體罪名與程序監督為核心完善行刑銜接機制

銜接不僅是“由行到刑”的正向移送,也要關注“由刑到行”的反向移交,否則無法稱為雙向銜接。《行政移送規定》在第13條(24)《行政移送規定》第13條規定,“公安機關對發現的違法行為,經審查,沒有犯罪事實,或者立案偵查后認為犯罪事實顯著輕微,不需要追究刑事責任,但依法應當追究行政責任的,應當及時將案件移送同級行政執法機關,有關行政執法機關應當依法作出處理”。規定了公安機關應重新將案件移送回行政部門的情形。相較正向移送,反向移送在司法實踐中因欠缺具體移送標準和程序及監督機制而容易被忽視,很多案件在確定不涉嫌犯罪后,刑事司法機關并未將其退回行政執法機關適用行政處罰。因此,必須進一步填補“由刑到行”反向移送機制。

(一)統一數據安全犯罪適用罪名

刑事司法機關能否正確判斷案件是否滿足反向移送的標準,是刑行反向銜接的前提條件。故使反向移送有序化、制度化,首先要解決的就是數據安全犯罪罪名適用不統一的問題?！稊祿踩ā返?5條第2款(25)《數據安全法》第45條第2款規定,“違反國家核心數據管理制度,危害國家主權、安全和發展利益的,由有關主管部門處二百萬元以上一千萬元以下罰款,并根據情況責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照;構成犯罪的,依法追究刑事責任。構成犯罪的,依法追究刑事責任”。、第52條第1款(26)《數據安全法》第52條第1款規定,“違反本法規定,構成違反治安管理行為的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任”。都規定,構成犯罪的,依法追究刑事責任,但是對“構成犯罪”的標準,以及構成何種犯罪沒有明確規定。與之相對應,刑法第253條、第285條、第286條分別規定了侵犯公民個人信息罪、非法侵入計算機信息系統罪以及破壞計算機信息系統罪。根據《個人信息解釋》和《計算機信息解釋》的規定,構成該兩罪中“情節嚴重”和“情節特別嚴重”的判斷依據和標準不同,前者包括獲取信息的數量、違法所得、損害后果等,后者包括非法控制的計算機系統數量、違法所得、違法行為次數等。即使是同樣的“違法所得”這一要素,具體數額標準也不一致(27)例如,就違法所得這一標準而言,計算機信息系統犯罪中情節嚴重指的是“違法所得五千元以上或者造成經濟損失一萬元以上的”,情節特別嚴重的是數額達到上述標準的“五倍以上”;侵犯公民個人信息罪中情節嚴重指的是“違法所得五千元以上的”,情節特別嚴重指的是數額達到上述標準“十倍以上的”。。由此可見,司法實踐對數據安全領域犯罪適用最多的兩類罪名,不僅入罪情節和判斷標準不同,對應的刑罰種類和刑期也不同。這就導致針對同一類型的犯罪行為,刑事司法機關可能會做出不同的判斷,進而影響其作出是否要移送回行政監管部門的決定。例如,行為人以侵犯計算機信息系統犯罪的方式,違法向他人出售公民個人信息并獲取違法所得4 000 元,造成經濟損失一萬元,根據刑法規定未達到侵犯公民個人信息罪的標準,但已經達到了計算機信息系統犯罪的入刑條件。刑事司法機關調查后可能依據侵犯公民個人信息罪決定不予立案,并移回行政機關,也可能根據計算機信息系統犯罪予以立案,不再進行反向移送。除此之外,實踐中還存在大量“流量黑灰產”現象,比如惡意刷單、后臺引流,嚴重破壞數字經濟秩序。在刑法中找不到專門與之相應的罪名,而通過非法經營罪、虛假廣告罪等來規制此類行為又會存在漏洞。故只有罪名適用統一,才能為數據安全領域的違法行為設定準確的不涉及犯罪條件,經刑事司法機關審查后得以移交到行政機關設定標準。

針對該問題,有學者提出不同的觀點。張婷教授從數據威脅行為出發,認為可以將數據安全犯罪分為非法獲取型與其他目的的關聯行為,前者主要針對個人身份信息和金融信息,后者包括流量劫持等通過流量獲取不正當經濟利益的行為[27]。高艷東教授主張增設妨害數據信用罪,從立法上保護數據信用[28]。勞東燕教授認為,應實現從數據收集到數據使用、從秩序導向到權益導向、法權進路與利益衡量并用、控制原則與防御原則并舉的4個轉換[29]。本文認為,在數據安全犯罪罪名的設定上,明確劃分標準、整合認定依據,對統一數據安全犯罪罪名至關重要,而無論從哪個角度出發,針對數據安全犯罪增設專門的罪名都是必要且可行的。

(二)構建案件反向移送激勵制度

在數據違法案件的移送過程中,“由刑到行”的反向移送往往弱于“由行到刑”的正向移送,刑事司法機關通常欠缺主動移送案件的動力,這是由多方面的因素造成的,例如刑事司法機關天然具有的“優先”意識,認為刑事司法程序優于行政程序,或是刑事司法人員本身對案件應當移送的規則認識不清等。當外部監督無法及時發現所有應移不移的案件時,就需要建立起反向移送的激勵制度,促使刑事司法機關主動將案件移回行政機關。與加強全鏈條監督,通過外力促使刑事司法機關依法向行政機關移送案件不同,激勵制度是從內促使刑事司法機關主動履行移送職責。兩種手段不僅是外部和內部的區別,也是強制和主動的對比。對于數據安全案件而言,由于激勵主體為刑事司法機關,激勵具體方式可以與公務員績效考核聯系在一起,例如將數據安全案件反向移送數量或移送率納入綜合考評標準。具體可以分為加分、不加分、減分項,對于明顯應該進行反向移送的案件,及時移送并順利交接的,增加相應分值;對于一些判斷標準不明確可能需要移送的案件,承辦人員按規定報備則不加分也不減分;對于明顯需要移送但沒有移送的案件,則減去相應分值。就個人而言,考評結果關乎其薪資獎勵、職級晉升、績效考評等;就單位而言,單位總的案件移送率可以作為其參與優秀評比的考核項,并設計一套積分規則。受到表彰的個人或單位不僅自身利益受到影響,并且可以在整體系統內發揮示范效應。合理運用考核結果,一方面可以引領刑事司法機關執行反向移送案件的價值取向,使其主動了解數據安全案件的移送標準、移送規則等信息,并幫助其樹立科學的政績觀;另一方面,考評結果的應用也能影響刑事司法機關的工作態度和方式,促使其增強反向移送案件的責任和主體意識,朝著提高案件移送率的方向努力。通過全鏈條監督的外部約束和激勵制度的內部激發,形成雙向互動,合力推動刑事司法機關提高自身移送數據案件積極性。

(三)健全行刑銜接全鏈條式監督

針對數據安全案件反向移送在制度和實踐中的缺失問題,不僅要通過內部宣傳提升刑事司法部門人員移送案件的主動性,更重要的是通過外部監督機制形成壓力,促使案件反向移送的進行。《行刑銜接規定》中對司法機關地位的突出,其中一點就體現在檢察機關的監督作用上。檢察機關從可以從監督對象、監督范圍、監督方式以及重大犯罪案件的監督4個方面,加強對數據安全案件反向移送過程的監督。在監督對象上,主要包括對網信辦等具有數據監管職責的部門及公安部門。因《數據安全法》中規定了較多的數據監管機構,因此要注意監督對象的全面性。在監督范圍上,應當注意全鏈條的監督。對具有行政監管職責部門的監督應當包括執法行為、案件處理情況、證據提存等;對公安機關的監督主要為對行政機關移送案件之后的處理程序,包括是否受理、是否立案等。在監督方式上,應當從書面提出建議向實踐督促整改過渡。增強檢察建議與意見的法律效果,做有監督必有回應,故而提高檢察機關監督的剛性和權威性[30]。在重點案件的監督上,檢察機關可以通過提前介入來進一步規范案件整個的處理過程,以免給社會帶來更多不利。與此同時,監察機關的設立和《監察法》的實施,標志著我國從上到下監察全覆蓋局面的形成。在數據安全移送過程中監督更具有全局性和統籌性,可以對所有行政機關及刑事司法機關的行為及公職人員進行監督,可以有效彌補檢察機關監督的不足。應當注意的是,鑒于數據安全這一新興業態的發展現狀和需要,監察機關在監督方式上不僅要有懲罰,還要注意對相關人員及行為的正確引導,以在該領域內樹立起行為準則,也為數字經濟發展留下空間。

總而言之,行刑銜接不應是單向移送而應是雙向互動。建設數字中國,確保數字經濟高質量發展,離不開數據安全保護。大數據作為新興業態,數據安全犯罪違法行為增多,防治正在起步階段,刑法中也尚未有專門與之契合的罪名。確保數字經濟發展與數據安全保護內部平衡,充分發揮行政執法與刑事司法雙向銜接機制外部功能,要從統一證據移送與轉化標準、具體化移送程序、健全反向移送機制等多角度入手。但對具體應當如何統一數據安全犯罪適用罪名、優化企業合規改革等還需進一步探討。