数据安全刑法保护完善建议——以《数据安全法》颁行为契机

●邢晓芸

数字经济的健康发展有利于推动构建新发展格局、建设现代化经济体系、构筑国家竞争新优势，为此我国专门发布了“十四五”数字经济发展规划，而作为数字经济关键要素的数据是新时代重要的生产要素，是国家基础性战略资源。2021年我国数据安全领域立法进程突飞猛进，《数据安全法》和《个人信息保护法》先后出台，与《网络安全法》共同搭建起数据安全法治保障的基本构架。如何以新法颁行为契机完善数据安全刑法保护，怎样完善刑法规制才能统筹安全与发展，有效保护数据安全，是刑事法律领域迫在眉睫需要解决的问题。本文对此略作探讨。

(一）数据

从数据的发展历程和对数据的认识来看，数据经历了强调数值和量值的“定量小数据”到记录、描摹、再现、重构、发明物质世界和人类活动的“定性大数据”的发展。《数据安全法》所称的数据即属于“定性大数据”。从数据的概念来看，立法对数据和信息的关系也予以确认，认为数据和信息即是载体和内容的关系，而个人信息当然属于数据的范畴，但又区别于一般数据，所以针对个人信息有单独的立法规制。从数据的特点来看，数据具有可再生、可共享、价值叠加等特性，区别于一般的财物。从数据的权益属性看，不仅涉及公民的人身权利、财产权利，还涉及数据处理主体对数据的控制、分析与使用的权益以及由此带来经济利益；
还可能涉及公共安全秩序利益、国家安全利益等。

（二）数据安全

从数据安全的内涵和外延看，有广义和狭义之分，广义上讲，数据安全是总体国家安全观的重要组成部分。狭义上讲，数据安全是指保护数据自身的保密性、完整性和可用性。《数据安全法》就体现了立法就狭义数据安全的保护。从数据安全的状态来看，可以分为静态数据安全和动态数据安全，数据安全法更注重的是动态的数据安全管理，也就是数据生命周期的全流程保护。

（三）数据安全犯罪

与广义和狭义的数据安全相对应的侵犯数据安全的犯罪也有广义和狭义之分。狭义的数据犯罪是指以数据为犯罪对象的犯罪，也就是侵犯数据自身安全的犯罪，广义的数据安全犯罪还包括以数据为犯罪工具的犯罪，表现为借助网络或者数据加以实施的侵犯刑法既有法益的犯罪，这种犯罪是信息网络时代催生出的传统犯罪行为的网络异化，比如电信诈骗罪。本文主要论述数据自身安全的刑法保护。

从互联网演进过程看，互联网发展的关键要素经历了从网络技术Web1.0时代到信息共享的Web2.0时代再到数据资源的大数据Web3.0时代演变，而我国刑法对相关犯罪的规制也经历了一个逐步更新的过程。

Web1.0时代，刑法重点规制以计算机信息系统为对象的犯罪。本阶段的刑法立法有以下特点，一是重点领域保护，面对新兴的互联网技术，首先保护国家事务、国防建设、尖端科学技术领域，以免这些重点领域的计算机信息系统被侵入造成重大损失。二是重要载体保护，在互联网兴起发展阶段较为依赖计算机信息系统及应用程序等载体，因此，主要以保护计算机信息系统运行安全为重心。三是静态数据保护，注重对存储在计算机信息系统内的数据的保护，也就是说立法倾向认为数据是依附于信息系统存在的，其本身没有独立价值，如果数据不是存储在计算机信息系统内的，就不属于本法规制的对象。

随着互联网技术的普及，互联网发展迅速进入信息共享的Web2.0时代，出现了越来越多侵犯信息和数据本身安全的犯罪，保护信息数据安全开始走入刑事立法者的视野。例如，增设非法获取公民个人信息罪、非法获取计算机信息系统数据、拒不履行信息网络安全管理义务罪等，同时明确在定罪量刑标准、单位犯罪、共同犯罪、术语界定等问题上相关适用标准。本阶段立法的特点，一是开始重视公民个人信息的保护，立法逐步完善了对侵犯公民个人信息犯罪的规制，初步构建起对个人信息的有效保护刑法框架。二是开始关注到数据自身安全的保护，2011年两高发布的司法解释开始规制制作、销售黑客工具，非法获取数据、倒卖非法获取的数据，非法控制计算机信息系统、倒卖非法控制的计算机信息系统的控制权等犯罪行为。三是依然固守数据的静态性和附属性，刑法修正案七虽然增设“非法获取计算机信息系统数据罪”，但数据的范围依然仅仅局限于计算机信息系统，涵摄内容范围较为狭窄。

进入大数据Web3.0时代，数据自身安全风险也随其价值的逐步凸显而日渐突出。为此，我国出台了数据安全保护专门性法律——《数据安全法》，这是一部实施数据安全监督和管理的基础法律，以此法的立法价值取向审视现有的数据安全刑法保护，还存在以下不足之处。

（一）重信息网络安全、轻数据自身安全

刑法对于数据安全犯罪的规制始终沿用“计算机信息系统”“信息网络安全”等概念，在刑法罪名分类中这些相关罪名也被归类为“计算机和网络犯罪”，仅有的在罪名中出现数据字样的“非法获取计算机信息系统数据罪”也有“计算机信息系统”的定语限制。在数据的外延范围同计算机信息系统基本一致的时代，加入“计算机信息系统”的定语限制是符合当时实际的，但随着信息技术的迭代，数据以多种不同的、独立的形式存在，比如通信设备、云存储、浏览痕迹等，这些与计算机信息系统是分离状态，司法实践中难以被认定为计算机信息系统中的数据，从而表现出刑法的规制不能。《数据安全法》的出台，彰显了我国对数据安全的高度重视，刑法对数据安全的保护也应该有所跟进，将数据自身安全的保护整体纳入刑法的规制范畴。

（二）重数据安全静态保护、轻动态保护

刑法注重的是对存储在计算机信息系统内的数据的保护，固守数据的静态性和附属性，这反映了我国刑法将数据类比为财物来进行法律规制的立法倾向，强调合法占有，但是这并不符合数据的流动性、共享性的特点，数据的价值不仅仅在占有，还在流通，在叠加，在共享。相应地，刑法对数据安全的保护也不能局限在占有状态下，应该加强数据安全全生命周期的全流程保护。司法实践中，已经大量出现侵害数据安全的行为，比如截获、变更、窝藏、非法买卖数据这些行为都侵犯了数据的可用性、完整性、保密性，而这些侵犯数据安全的行为并不在我国刑法规制之中。在此种现状下，两高只能通过扩张解释的做法来周延数据安全的刑法保护。《数据安全法》的出台表明立法者们已经在逐步扭转这种静态保护的倾向，重视数据的动态保护，涵盖了数据的全生命周期实施全流程保护。在此背景下，刑法应该将加强数据安全的动态保护尽快列入规制范围。

（三）重秩序利益保护、轻数据法益保护

刑法对于数据安全的规制依附于对其他法益的保护，立法主要考量的是信息化时代对于经济秩序和社会管理秩序的冲击，而对于大数据时代数据安全法益保护、数据主体的权益维护等则还未进行深度关注。比如，某犯罪嫌疑人侵入某运营商的信息系统，窃取由其实际控制的用户数据，运营商之所以报案，其真正关心的是这些被窃取的数据可能会给他们带来的经济损失。在司法实践中，此类案件往往“非法获取计算机信息系统数据罪”和“侵犯公民个人信息罪”来定罪，而作为数据控制者与处理者的运营商的权益并没有得到刑法的认可和保护。《数据安全法》已经开始关注数据主体的权益保护，与《数据安全法》相适应，刑法也应该承认数据安全法益的独立性以及数据主体合法权益的保护问题。

从前述我国数据安全刑法保护变迁及当前数据安全刑法保护的不足之处分析来看，目前的条文应作出相应的调整，但应该注意的是，数据安全刑法保护完善不能仅立足于刑法本身的法条调整，而应该以系统思维和辩证思维为指导，以《数据安全法》颁行为契机，重点把握和处理好以下几对关系。

（一）统筹发展和安全

当今世界，面对国际环境和国内发展阶段的深刻变化，***总书记作出了“越开放越要重视安全，越要统筹好发展和安全”的科学论断，并指出“安全是发展的前提，发展是安全的保障”。在处理数据安全刑法保护问题时首先就必须统筹好发展和安全，这就要求我们既要避免出现刑事法律规制的空白区，不能有效保护数据安全，导致数字经济的无序畸形发展，也要避免刑事法律手段的过度使用限制了数据流通的活力和价值的发挥，阻滞数字经济的发展。

一方面，要尽快填补刑事法律规制的空白区，改变现行刑法对数据保护的法益依附现状，承认数据安全的独立法益，重视数据自身安全的保护，即保护数据的完整性、保密性和可用性，将“数据”作为独立的犯罪对象加以保护。具体到法条修改可以考虑将“非法获取计算机信息系统数据罪”修订为“非法获取数据罪”或者“窃取数据罪”，同时单独设立侵害数据安全的罪名，如“非法变更数据罪”“非法窝藏数据罪”“非法交易数据罪”等。另一方面，要秉持刑法的谦抑性原则，以包容审慎的态度正确处理好民事、行政、刑事法律手段的适用。为更好地促进数字经济健康发展，法律应当在安全与发展之间寻找平衡点，树立容错理念，建立容错机制，以更好激发市场主体勇于技术创新。

（二）协同领域法与部门法

《数据安全法》是我国实施数据安全监督管理的一部基础法律，是典型的领域法，《刑法》则是规制数据安全的部门法，必须要协同好领域法和部门法的关系，通过对照《数据安全法》的数据全生命周期的保护要求、数据分级分类保护原则、重要数据保护原则等来完善数据安全刑法保护。

首先，要重视数据安全全生命周期的保护理念。数据全生命周期大体可以概括为数据收集、数据存储、数据传输、数据提供、数据使用、数据加工、数据交易、数据公开、数据销毁等环节。当前我国《刑法》对数据安全的保护主要针对的是计算机信息系统中的静态数据，有必要补充立法覆盖数据全生命周期，形成对数据安全的动态保护。

其次，要重视重要数据保护原则。虽然在数据全生命周期每个环节都有发生侵害数据安全的风险，都应该有法律予以规制和引导，但也不是所有的违法行为都适合由刑法来规制，根据《数据安全法》重要数据保护原则，可以考虑重点治理对重要数据在数据处理过程中对数据安全法益造成侵害的行为。

再次，要重视数据分级分类保护原则在刑法中的适用。数据分级分类保护是《数据安全法》确立的重要保护原则，在构建数据安全刑法保护新体系中我们要充分发挥数据分类分级的定罪量刑功能。比如构建以拒不履行数据安全保护义务罪为核心的数据安全罪名体系、将分级分类保护作为重要的量刑评价要素等。

最后，要重视数据主体权益的保护。《数据安全法》保护个人和组织合法的数据相关权益。比如数据衍生的财产法益的保护，这也是司法实践中众多数据实际控制者比较关注的，虽然目前尚缺乏共识性的、可行的解决方案，但是立法者对数据财产法益的保护应予以整体考量。

（三）把握静态保护和动态保护

在处理数据安全刑法保护问题时要把握好静态保护和动态保护的关系，加强刑法对数据动态保护的力度。《德国刑法典》为保护数据安全主要设置了窥探数据罪、截获数据罪、窥探和截获数据的预备罪、数据窝赃罪、数据变更罪等。结合《数据安全法》中数据全生命周期各个环节来分析借鉴德国数据安全刑法保护的相关罪名，可以将对数据法益的侵害总结为三个方面：一是非法持有数据，包括非法获取、非法存储、不当销毁等行为。二是非法泄露数据，包括非法公开、非法传输、非法交易、非法提供等行为。三是非法滥用数据，包括非法变更、加工、删修改等行为。可以围绕以上三个方面通过调整现有罪名、增设新罪名等方式完善数据安全刑法保护。

大数据时代，数据作为关键生产要素和基础战略资源，其自身安全被侵害的风险与日俱增，刑法通过依附法益保护数据安全的立法模式存在保护观念落后、立法滞后实践等问题，应以《数据安全法》的数据全生命周期的保护要求、数据分级分类保护原则、重要数据保护原则等为指导，完善数据安全刑法保护，从而推动数字经济的健康有序发展。

猜你喜欢计算机信息安全法数据安全BIM时代计算机信息技术在建筑工程中的应用建材发展导向(2022年23期)2022-12-22《道路交通安全法》修改公开征求意见商用汽车(2021年4期)2021-10-17计算机信息技术在食品质量安全与检测中的应用食品安全导刊(2021年21期)2021-08-30上海万欣计算机信息科技有限公司实验技术与管理(2020年2期)2020-09-29云计算中基于用户隐私的数据安全保护方法电子制作(2019年14期)2019-08-20浅析维护邮政计算机信息系统的策略电子制作(2018年18期)2018-11-14建立激励相容机制保护数据安全当代贵州(2018年21期)2018-08-29大数据云计算环境下的数据安全电子制作(2017年20期)2017-04-26中华人民共和国食品安全法（续）**农垦科技(2015年11期)2015-09-08大数据安全搜索与共享信息安全研究(2015年3期)2015-02-28

推荐访问:颁行 数据 刑法