●邱赛兰

一、数据运用现状

进入大数据时代后，数据被更广泛运用到社会生活的各个方面，给我们的生活带来了前所未有的变化，除了让我们的日常生活变得简单、便捷外，另一个最大的变化使我们看世界的角度将从实体物质化转变为数字虚拟化[1]，经济数字化、政府数字化、企业数字化，数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。有IT业界人士预测大数据将在物联网、智慧城市、增强现实(AR)与虚拟现实(VR)、区块链技术、语音识别、人工智能、数字汇流七大发展方向被得到广泛应用[2]。

数据之于科学之意义，在自然科学的历史丰碑上写下了浓墨重彩的一笔，充分揭示了数据对于科学发现的无限重要价值。而大数据的到来，给科学研究无论是在研究对象、研究主体、研究方法、研究思维方式上还是在研究的范式上发生了改变，特别是社会科学领域能够藉由前沿技术的发展从宏观群体走向微观个体，从而获得传统科学研究方法无法完成或发现不了的新知识、新规律，传统研究无法做到的事，都在大数据到来的那一刹那遁于无形，使一切不可能变为可能。

数据之于国家之意义，有专家言论，对数据掌控、利用以及保护能力，已成为衡量国家之间竞争力的核心要素[3]，国家水平的竞争力将在一定程度上反映在一个国家拥有大数据、解释和应用数据的规模、活动和能力上，因此，数据是一个国家重要的战略资源和重要生产要素，一个国家在网络空间的数据主权将是继海、陆、空之后又一个大国博弈的空间。大数据将直接影响国家和社会的稳定，在这样的背景下，我国的《数据安全法》应运而生，公布实施。

二、数据的法律保护现状

（一）前置法对数据的保护

2021年《中华人民共和国数据安全法》（以下简称数安法）公布施行。数安法不仅是数据领域的基础性法律，也是国家安全领域的一部重要法律[4]，数安法的颁布标志着我国对数据的管理已从分散管理向集中管理，综合管理向专门管理、政策调控向依法治理转变，数安法为单位和个人进行收集、存储、使用、加工、传输、提供、公开数据资源等活动指明了方向和提供法律保障，体现了我国在对数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益方面所具有的科学性、合理性、严密性。

《数据安全法》对数据保护的具体措施如下：

1.明确了数据安全法适用范围。数安法不仅监管我国境内的任何组织和个人开展的数据处理活动及其安全行为，而且也能适用于在国外实施的相关数据处理活动，当然前提是这些数据处理活动必须有损我国的国家安全、公共利益或者公民、组织合法权益。

2.明确了数据安全管理责任主体。数安法对数据采用多元治理，明确授权多主体参与数据认定[5]，即各地区、各部门对本地区、本部门、本行业要确定重要数据目录，这也表明数安法对数据安全实行条块管理，中央国家安全领导机构负责国家数据安全，地方、部门、相关行业对自己负责的领域所产生数据及数据安全负责。数据安全的监管职责则由公安机关、国家安全机关肩负。可以说数安法对各行业都形成了法律约束，杜绝了数据的随意共享和流转，有效地消灭了数据安全中的灰色地带。

3.明确了数据适用原则。（1）合法、正当、安全原则。即开展数据处理活动，应当在法律法规许可的范围内进行，同时也应符合社会公德和伦理，遵守商业道德和职业道德，目的是旨在促进经济社会发展，增进人民福祉，并不得危害国家安全、公共利益、损害个人、组织的合法权益。（2）保密原则。即禁止泄露或非法向他人提供在履责过程中获取知悉的与个人、商业等有关的具有保密要求的数据。开发电子政务的受托方同样具有保密义务，不得擅自留存、使用、泄露或者向他人提供政务数据。（3）禁止不法取得原则。即对于数据的收集无论是组织还是个人实施都应当方式合法、正当，禁止采取盗窃等任何不法方式取得数据，其次，应当符合法律法规规定的收集、使用数据的目的、范围收集、使用数据。（4）对等原则。对等原则的适用主要表现在两个方面，一是外国司法或者执法机构请求我国提供数据的，我们的解决路径是依照法律、国际条约、协定或平等互惠原则处理，禁止境内的组织、个人擅自向其提供存储于我国境内的数据。二是涉及与数据和数据开发利用技术等相关的投资、贸易事项他国或地区对我国采取歧视性措施，如禁止、限制等，我国可视情况对其对等采取措施。

4.明确了数据安全管理措施。（1）建立数据分类分级保护制度。根据数安法第21条的规定，我国将数据分为三个等级，即核心数据、重要数据和一般数据。其分类的标准是看数据与国家安全、国民经济、公共利益和个人、组织合法权益的关联程度。对重要数据以上的数据类型要求相关部门制定目录，以促进对重要数据的重点保护。（2）建立数据安全审查、风险评估，检测预警和应急处置等基本制度。数据安全管理部门和处理者一方面应当对影响或者可能影响国家安全的数据处理活动进行国家安全审查，另一方面也应当加强数据安全风险信息的获取、分析、研判、预警工作，及时发现数据安全缺陷、漏洞等风险，立即采取补救措，一旦发生数据安全事件，应有相应的应急预案和应急处置措施，以防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。（3）出口限制原则。基于维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

5.法律责任。（1）行为类型：不履行规定保护义务；未履行审核、交易保存记录义务；向境外提供重要数据的；拒不配合数据调取的；窃取或者以其他非法方式获取数据等。（2）责任形式：行为人存在上述违法行为之一的，或承担行政责任，即责令改正和警告、责令停业整顿、责令吊销相关业务许可证或者吊销营业执照，并给予一定数量的罚款，对负责人和直接责任人员依法处分。或承担民事责任，即给他人造成损害，依法承担民事责任。或承担刑事责任，即构成犯罪的，依法追究刑事责任。

（二）刑法的保护

根据数安法对数据的界定、“分类分级”的管理措施以及涉及犯罪的笼统性规定，现有刑法对违反数据安全法的行为可以通过以下罪名来进行规制。

1.涉及国家秘密方面的犯罪。数安法对数据采取分类分级管理，将数据划分核心数据、重要数据与一般数据，与我国《秘密法》等法律、行政法规的规定对照，即其中部分数据类型毫无疑问当属于国家秘密的范围，那么对开展涉及国家秘密的数据处理活动，如果违反国家有关保密制度的规定，可以根据相关侵犯国家秘密方面的犯罪规定来进行处理。如擅自为境外的组织机构、个人获取、提供国家秘密的，则可以为境外窃取、刺探、收买、非法提供国家秘密情报罪追责。非法采集或走私我国人类遗传资源数据的，可以非法采集人类遗传资源、走私人类遗传资源材料罪追责，以保护我国国家生物安全。如果渎职造成泄密的，可以故意或过失泄露国家秘密罪追责。其他如非法获取国家秘密罪等。

2.涉及个人信息方面的犯罪。数据安全法第53条第2款规定，在统计、档案工作中若开展涉及个人信息的数据处理活动，则应当结合公民个人信息保护法的规定加强对公民个人信息的保护，对窃取、或以其他方式非法获取公民个人信息等的行为可以根据刑法关于侵犯公民个人信息罪进行追责。

3.涉及商业秘密方面的犯罪。国家机关在对公司、企业行使管理职责过程中知悉商业秘密、保密商务信息等数据的，具有保密义务，不得泄露，也不得非法向他人提供。若违反保密要求，披露、使用或者允许他人使用其所掌握的商业秘密的，可以侵犯商业秘密罪追责，如果非法向境外的机构、组织、人员提供的，则构成为境外窃取、刺探、收买、非法提供商业秘密罪，彰显我国刑法对国际间商业间谍行为的严厉打击。

4.涉及渎职方面的犯罪。对国家机关不履行数据安全保护义务的渎职行为和有履行数据安全监管职责的国家工作人员的渎职行为，依法追责。前者只追究其直接负责的主管人员和其他直接责任人员的责任，不成立单位犯罪。其触犯的罪名是玩忽职守罪、滥用职权罪等渎职犯罪。

5.涉及网络安全管理方面的犯罪。数安法规定中央、各地方、各部门及相关行业组织应当依法制定数据安全行为规范，数安法对各行业都形成了法律约束，为刑法进一步加强对网络安全管理提供了有力的法律保障。大数据时代电子数据是数据的主要表现形式，并且海量的发生，而电子数据容易遭到篡改、破坏、泄露或者非法获取、非法利用，我国刑法也及时根据形势的发展对网络信息安全加大了保护力度，刑法修正案七、九增加一系列新罪对网络安全、数据安全予以保护。第一，在侵犯计算机信息系统犯罪的规定上增设了两种新的犯罪行为即非法获取、控制计算机信息系统数据行为和提供侵入、非法控制计算机信息系统程序、工具行为。第二，在网络利用、管理方面规定了三种新的犯罪，一是网管人员所构成的拒不履行信息网络安全管理义务罪；二是在网络上发布犯罪信息、虚假信息等所构成的非法利用信息网络罪、编造，故意传播虚假信息罪等；三是对帮助他人利用信息网络实施犯罪所构成的帮助信息网络犯罪活动罪。

三、数据刑法保护的完善

（一）网络犯罪体系独立化

97刑法修订时涉及网络犯罪的规定放置在妨害社会管理秩序罪中的扰乱公共秩序罪章节中，当时只设置了两个具体犯罪，即破坏计算机信息系统罪和非法侵入计算机信息系统罪。随着互联网的普及，网络群体、网络服务迅猛发展，同时网络暴力等现象不断蔓延，网络世界衍生出许多新的危害国家、社会、民众利益的行为，鉴于此，国家出台了一系列的法律、行政法规，采取新的举措对此进行调控。如国家网信办2015年发布了《互联网用户账号名称管理规定》，网络实名制得以确立；针对网络暴力的持续高发，饭圈互掐现象严重，网络生态极不正常的现实，国家网信办2019年发布了《网络信息内容生态治理规定》，该规定对建立风清气正的网络空间、建设良好的网络生态发挥了明显作用。进入大数据时代，数据安全，数据开发利用其重要性更是彰显，与此相适应，2021年《中华人民共和国数据安全法》颁布，一方面我们重视对数据的安全保护，以维护国家主权、安全和发展利益，以及对公民个人、组织的合法权益的保护；另一方面我们又以积极的态度促进数据的开发利用，以实现数据造福于人类、造福于社会。

与前置法配套，刑法在治理网络犯罪方面也作出了相应调整，通过刑法修正案方式，增设了一系列新的犯罪对网络行为进行管控。修正案七增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪，修正案九拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。至此刑法共有七种犯罪对网络行为进行规制。随着科技的进步，网络社会也将迎来新的变化，国家对网络社会的治理无论是在行政上、民事上、刑事上会不断完善，鉴于网络社会自身所具有的特殊性，建议刑法对网络犯罪的规定从现有章节中分离出来，单独设置较为妥当。

（二）数据犯罪的立法完善

固然刑法对数据已有保护，仍有不少学者认为刑法对数据的保护是不完善的，如现有刑法关于“非法获取计算机信息系统数据罪”的规定，其实施存在两个限制，其一必须违反国家规定；其二只是获取该计算机中储存的数据，其他行为并不在此罪名约束范畴之内，如通过云端下载，在此种情况下，该罪名并不能完全保护涉数据网络全部权益。又如现实生活中发生的调换他人二维码，让消费者将费用打入他人指定的二维码账户案，目前刑法理论的主要研究方向是对行为人获取财物的行为定性进行探讨，即这种行为是诈骗还是盗窃，很少有人从数据的保护这一方面进行分析。从数据的角度看，行为人调换他人二维码的行为并没有篡改、破坏、泄露或者非法获取、非法利用他人的数据资料，他的行为是在排除他人对自己数据的利用，应当认为是构成了对他人数据资料的侵犯，但目前刑法对此种方式并没有规定。

随着数安法的颁布实施以及今后与数安法配套的系列规章制度出台，刑法在保护数据安全方面的不足也会更加显现。因此认为，在未来立法中应增设以数据为独立犯罪对象的罪名，明确规定涉数据网络犯罪的种种行为，对不同侵犯行为加以区分，最终对侵犯数据安全的行为予以界定，作出正确的刑法评价[6]。如增设为境外窃取、刺探、收买、非法提供数据罪等，同时建议在数据犯罪上可设立兜底性条款，如侵犯数据罪，降低司法门槛，以保障数据安全，这种立法例也符合当今刑事立法的价值取向，即通过增设一定的轻罪来供司法部门选择，以实现刑法作为解决社会问题的重要手段这一功能。