论数据处理者的重要数据安全保护义务及刑事责任
2022-11-08刘双阳
刘双阳
一、引言
大数据时代,网络数据的类型日益多元化,不仅承载着个人的人格利益或企业的经济利益,而且可能影响国家安全与公共利益。例如,全国首例非法获取地理信息数据刑事案件的判决书指出:“不同于网络游戏数据、视频数据等,地理信息数据具有一定特殊性、敏感性,是国家重要的基础性、战略性资源,关系国家主权、安全和发展利益。”数据内容与国家安全、经济安全、社会稳定、公共健康和安全的联系越紧密,重要性程度就越高,面临的数据安全风险和威胁自然越大,一旦遭到泄露、窃取、篡改、毁损、非法使用等不法侵害,引起的危害后果往往也尤为严重。探究发生数据安全事件及造成重大损害的原因时,往往会发现以平台企业为代表的数据处理者怠于履行数据安全保护职责是最关键的因素。秉持总体国家安全观,我国相关法律、行政法规按照数据分类分级制度已将对国家安全和公共利益有重要影响的网络数据纳入“重要数据”的范畴,与“个人信息”“企业数据”等概念相区别,并要求数据处理者采取相应的安全防护措施,加强对重要数据的保护。
基于从源头防范重要数据安全风险的治理逻辑,作为在数据安全治理格局中发挥关键作用的数据处理者,在享有自主决定重要数据处理目的和处理方式等权利的同时,应当承担、实际依法承担着重要数据安全保护义务,合理性根据在于复杂社会系统中的秩序必须依赖于处分权人所管理的特定空间和特定控制领域的安全。2021年12月12日,国务院印发的《“十四五”数字经济发展规划》明确将“规范数据采集、传输、存储、使用、共享、销毁全生命周期管理,推动数据处理者落实数据安全保护责任”作为提升数据安全保障水平的重要内容。保护重要数据安全既是行政义务,也应升格为刑事义务,如果数据处理者怠于履行重要数据安全保护义务,对国家安全和公共利益造成实质危害,理应承担包括刑事责任在内的法律责任。总之,在兼顾刑法的谦抑性与预防性的基础上,有必要进一步完善我国数据安全犯罪立法,并结合相关法律规范探寻和厘清数据处理者承担重要数据安全保护义务的合理范围以及对其施加不作为刑事责任的合理边界。
二、数据处理者怠于履行重要数据安全保护义务的刑事责任虚置
平台经济的快速发展不断催生新的产业形态并逐渐改变社会治理结构,以互联网企业为代表的重要数据的处理者开始掌握隐形的“数据权力”,在网络世界的“共治”地位或“守门人”角色日渐凸显,但是该领域中的特别社会地位产生的不是支配而是特别义务。对于从事数据处理活动的互联网企业而言,要坚持安全与发展并重的基本原则,把保障重要数据安全放在突出位置,建立标准化、覆盖全生命周期的重要数据安全合规管理体系,切实履行防范重要数据安全风险的主体责任。然而,当重要数据的处理者怠于履行安全保护义务致使重要数据泄露或者被窃取、篡改、毁损、非法使用且造成严重后果,在追究其刑事责任时却陷入罪名适用的困境。
(一)数据处理者的重要数据安全保护义务与平台责任
我国立法上关于保护重要数据安全的规定经历了一个从无到有、渐进完善的过程。2016年11月7日,第十二届全国人大常委会第二十四次会议审议通过的《中华人民共和国网络安全法》(以下简称《网络安全法》)首次在国家立法层面引入“重要数据”这一概念,但并未说明其内涵和外延,仅是规定关键信息基础设施的运营者在我国境内运营中收集和产生的重要数据应当在境内存储,初步形成保护重要数据安全的观念。2021年6月10日,第十三届全国人大常委会第二十九次会议审议通过的《中华人民共和国数据安全法》(以下简称《数据安全法》)在明确定义何为数据安全的同时规定数据处理者开展数据处理活动应当履行数据安全保护义务,要求建立数据分类分级保护制度,制定相关行业、领域的重要数据目录,对列入目录的数据进行重点保护。2021年11月14日,国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》在明确界定重要数据内涵和外延的基础上,专设第四章“重要数据安全”,详细规定了重要数据的处理者相较于一般数据的处理者更为严格的安全保护义务以及怠于履行相关义务应承担的行政责任和刑事责任。2022年1月5日,国家互联网信息办公室等十三部门联合发布新修订的《网络安全审查办法》,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,针对重要数据安全,重点关注以下两类风险:一是重要数据被窃取、泄露、毁损以及非法利用、非法出境的风险;二是上市存在重要数据被外国政府影响、控制、恶意利用的风险。至此,我国保护重要数据安全的行政法律规范体系基本形成。
互联网企业是网络平台的缔造者和管理者,而网络平台是当前网络生态系统和数字社会结构的枢纽所在,自动化数据处理是其核心功能,特别是关系国家安全、国计民生、公共利益的重点行业、领域的互联网企业及各类产品和服务提供商所运营或控制的关键信息基础设施产生、汇聚了海量重要数据。互联网企业依托这些网络平台开展的数据处理活动对于国家数据安全具有重大影响,对此,2021年3月15日,习近平在中央财经委员会第九次会议上强调,要强化平台企业数据安全责任。这是因为,特别社会领域不同于一般社会领域之处在于,它对某些人提出了特别的积极要求,行为人只要进入该领域,就必须依要求行事。在关系国家安全与公共利益的重要数据安全领域,保障重要数据安全有赖于政府、企业和行业组织等多方力量的协同参与,以平台企业为代表的数据处理者在获得经济利益的同时必须积极配合监管部门承担重要数据安全保护职责,尽到合理注意义务,一方面,数据处理者应当对重要数据采取备份、加密、访问控制等必要的技术和管理措施,防范数据安全事件的发生;另一方面,当发现数据安全风险或发生数据安全事件时,数据处理者应当立即采取补救措施或及时启动应急响应机制,防止危害结果进一步扩大。简言之,只有数据处理者切实履行重要数据安全保护义务,数据安全才能真正落到实处。反之,如果数据处理者怠于履行重要数据安全保护义务,则应当对法益侵害结果承担平台责任(包括刑事责任)。平台企业的责任内容分为积极作为义务和消极不利后果两个面向,这里的平台责任是消极意义上的后果性责任,即重要数据的处理者对于违反积极作为义务所承担的不利性法律后果。
(二)拒不履行信息网络安全管理义务罪的适用困境
《刑法修正案(九)》增设的拒不履行信息网络安全管理义务罪以不履行法定作为义务的平台责任模式开启了网络服务提供者承担刑事责任的新路径。该责任是在正犯责任基础上的进一步延伸和强化,将建立和管理网络平台上的网络服务提供者视为特殊主体,在特定情况下,对于因怠于履行信息网络安全管理义务而出现严重危害后果的网络服务提供者,以独立的罪名直接追究其不作为、不配合的刑事责任,旨在加大对网络服务提供者犯罪刑事制裁的力度。数据处理者同网络服务提供者一样,多数为互联网企业,具有很强的平台属性,那么,对于数据处理者怠于履行重要数据安全保护义务的行为能否适用拒不履行信息网络安全管理义务罪?
首先,就行为主体而言,拒不履行信息网络安全管理义务罪的犯罪主体要求具备网络服务提供者这一特殊身份。然而,网络服务提供者与数据处理者是两个不同的身份概念,前者是指通过信息网络向社会公众提供相应网络服务的组织或者个人;后者是指在数据处理活动中自主决定处理目的和处理方式的组织或者个人。网络服务与数据处理也是两种不同类型的业务活动,根据提供的服务类型,可以将网络服务细分为网络接入服务、网络内容服务、网络应用服务等,数据处理则包括数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。与业务活动相对应的义务内容也有明显差异,重要数据安全保护义务不同于信息网络安全管理义务。因此,虽然某一平台企业可能既是网络服务提供者,同时又是数据处理者,但两者不宜混淆,而应当根据具体从事的业务活动的内容区分其在不同场景下的身份,明晰其所应当履行的法定义务。
其次,就行为对象而言,由于立法的相对滞后性,目前《刑法》中尚未使用“重要数据”这一术语,那么在解释论层面拒不履行信息网络安全管理义务罪的行为对象能否涵摄“重要数据”?《刑法》第286条之一及相关司法解释将拒不履行信息网络安全管理义务罪的行为对象限定为三类:违法信息、用户信息、刑事案件证据。“重要数据”明显不属于《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《信息网络犯罪司法解释》)第3条和第5条所界定的“违法信息”或“刑事案件证据”。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息罪司法解释》)第9条将“用户信息”解释为“用户的公民个人信息”。《网络数据安全管理条例(征求意见稿)》《个人信息和重要数据出境安全评估办法(征求意见稿)》均对重要数据与个人信息的保护做了明确的区分,全国信息安全标准化技术委员会制定的国家标准《信息安全技术 重要数据识别指南(征求意见稿)》中特别说明:“重要数据不包括国家秘密和个人信息。”由此可见,拒不履行信息网络安全管理义务罪的行为对象范围无法容纳重要数据。
最后,就保护法益而言,有学者认为拒不履行信息网络安全管理义务罪设置在《刑法》第六章“妨害社会管理秩序罪”的“扰乱公共秩序罪”一节中,其所保护的法益是作为公共秩序的新组成部分的信息网络安全管理秩序,具体内涵是网络服务提供者和国家信息网络监管机关各司其职,共同维护网络运行安全和信息安全,从而达成网络空间安全、稳定、有序、可预测的状态。但这一表述过于抽象,难以对构成要件的解释起到指导作用。另有学者在此基础上进一步提出信息网络安全管理的内涵指向的是网络信息传播治理,从而将该罪所保护的法益确定为具备公共利益属性的特定信息专有权。但这一限缩解释缺乏实质根据,偏离立法者的本意,与本罪对结果、情节的规定也不完全吻合。笔者认为,有关法律、行政法规之所以对网络服务提供者规定了必要的信息网络安全管理义务,目的是规范和加强网络安全技术防范工作,保障网络运行安全和网络信息安全,促进可合法利用的信息资源的共享。不同于非法侵入计算机信息系统罪、破坏计算机信息系统罪等侧重于保护网络信息系统安全的罪名,《刑法修正案(九)》增设拒不履行信息网络安全管理义务罪体现了保护信息网络安全从技术层面的网络信息系统安全向现实生活层面的信息网络内容安全延伸的立法意图。因此,可以将信息网络内容的合法性与安全性作为本罪的保护法益。一方面,网络服务提供者需要确保信息网络内容的合法性,不能导致违法有害信息的传播;另一方面,网络服务提供者需要确保信息网络内容的安全性,既不能泄露不应当披露的用户信息,还应当确保信息网络内容不被非法利用。但重要数据安全区别于信息网络内容的安全,强调的是重要数据本身及数据处理活动的安全,确保其处于有效保护、合法利用的状态。大数据时代的到来推动互联网的核心功能实现了由“计算”到“数据处理”的转型升级,随着数据的独立客体地位及保护价值逐渐为法律规范所承认,数据安全成为独立于信息网络安全的保护对象,在数据犯罪中确立数据安全的独立法益地位已成为大多数学者的共识。那么,基于法益对犯罪类型的区分机能,侵害数据安全法益的怠于履行重要数据安全保护义务行为与旨在保护信息网络内容安全法益的拒不履行信息网络安全管理义务罪之间存在根本性抵牾,难以在适用逻辑上自洽。
重要数据安全并不仅仅在于技术本身,更在于因数据的开放、流通和应用而导致的各种风险和危机。为规范重要数据处理活动、防范和应对重要数据安全风险,《数据安全法》《网络数据安全管理条例(征求意见稿)》赋予重要数据的处理者积极性、更为严格的重要数据安全保护义务,并且设置了怠于履行相关义务应当承担刑事责任的条款,但这一不作为行为在现行《刑法》上却没有对应的罪名可以适用,不能以犯罪论处,使得数据处理者怠于履行重要数据安全保护义务的刑事责任陷入虚置的困境,也使得重要数据安全刑法保护显得尤为孱弱。
三、数据处理者居于保证人地位及其承担刑事作为义务的实质根据
数据处理者因怠于履行重要数据安全保护义务造成实质危害后果而承担不作为刑事责任,实际上包含着一定的刑事合规要求。由于不作为犯具有违反诫命的特质,法律上特别强调某些要素,行为人必须对于危害结果的发生居于保证人地位,才可能构成不作为犯罪。保证人地位使行为人必须依法承担防止危害结果发生的作为义务。因此,将数据处理者的某一不作为行为入罪施加刑事责任,必须阐释其居于保证人地位以及承担作为义务的实质根据,即从学理上阐释赋予数据处理者保证人地位及刑事作为义务的正当性,进而通过设置相应的罪刑规范将数据处理者的保证人地位及刑事作为义务法定化。如果数据处理者的刑事作为义务边界不明晰,可能产生恣意发动刑罚权、随意出入人罪的法治风险。借助保证人理论可以对数据处理者作为义务的实质来源与具体类型进行教义学阐释,既为司法机关提供明确的裁判规范,划定罪与非罪的界限,也为数据处理者提供明确的行为规范,使其知晓可为与不可为的畛域。
德国刑法学者纳格勒首次提出“保证人理论”,认为只有负担着在具有结果发生的现实危险的状态下必须防止结果发生这一法律义务的保证人实施的不作为,才该当构成要件,即处于保证人地位的人的不作为才符合构成要件。从而将保证人地位及作为义务的判断纳入构成要件该当性阶段。其后,阿明·考夫曼继受了纳格勒所提出的保证人地位学说,倡导运用实质考察的方法确定保证人作为义务的来源,为避免保证人义务被无限扩大而提出“功能的二分说”,即根据功能的不同,可以将保证人义务分为危险源监督义务与法益保护义务,前者是针对某一特定危险的保证,其内容乃是监督这一危险,避免其造成法益侵害结果(所谓监督者保证人地位);后者是保证某一特定利益或数个利益不遭受任意的危险(所谓保护者保证人地位)。“这两种义务归根结底是根据是否能够社会性地期待行为人直接或间接地保护该法益这一标准来决定的,而社会性期待是由行为人的社会角色来决定的。”在此基础上,有学者提出“行为期待说”,认为某些关系或情况下之所以会产生作为义务,是因为存在某种行为期待:只要一个社会存有规范来规制人们的行为,人们就必须承担某种对应其处境的社会角色,而从社会角色出发会产生行为期待,指示人们哪些行为是在其所处的社会角色之中被他人所期待的,藉此而得以创造个体之间的合致性,并建立日常生活的安全性和可信赖性,简化个体在日常生活中遭遇的复杂性。所谓保证人地位,就是行为人在某些情境下,被期待应有特定作为的社会角色。在此种情况下,法益保护强烈依赖于保证人的作为,为特定法益提供保护在社会层面上受到人们的强烈期待。
另有学者提出“结果原因支配说”,认为保证人地位并不能单纯从社会角色本身自然确立,保证人概念的核心特征是对出现结果的原因的控制支配,应以行为人是否对发生结果的原因有支配来界定其有无保证人地位及作为义务,进而确定保证人责任的界限。从“结果原因的支配”这一视角出发,结合前述保证人的功能二分说,可以对结果发生的原因的支配分为两种情形:对危险源的支配和对法益脆弱性的支配。不作为犯中判断行为人是否负有危险源监督义务或法益保护义务,需要检视其是否事先已经实际上支配了危险源或者特定脆弱法益。这种控制支配一般来源于两方面:一是行为人基于自己的意思实施了支配危险源或特定脆弱法益的行为,如科研机构管理放射性同位素与射线装置、医院收治生命垂危的交通肇事受害人;二是行为人由于在社会生活中担任某种社会角色,负责某一社会领域的正常运行,从而产生对该领域的控制支配,如保管员看护单位仓库存放的财物。由此,可以将数据处理者在重要数据安全管理领域的角色和作用与保证人地位及作为义务的实质根据相匹配、衔接。
笔者倾向于赞同“结果原因支配说”。对结果原因的支配意味着行为人支配了有可能导致结果的危险的原因,“对于具备了‘结果原因的支配’的不作为来说,就能因此肯定其保证人的地位,从而肯定作为义务”。进而根据重要数据是保护对象而非危险源,认定数据处理者居于保护者保证人地位,并负有保护数据安全法益的作为义务,但不能给数据处理者施加超出其作为能力的重要数据安全保护义务。此种保证人地位,基础在于行为人在自己管辖或控制支配领域,对特定法益负有保护其不受侵害的义务。即对引起法益侵害危险的原因的控制支配是决定义务的要素,赋予作为义务,为的是防护法益免于遭受不法侵害。具体而言,基于数据处理者这一角色定位,其在重要数据处理活动中可以依法自主决定处理目的和处理方式,对于可能引起数据安全事件的数据安全漏洞、缺陷等风险也有能力进行评估、监测、预警、补救和处置,实际上形成对导致数据安全法益侵害危险的原因的控制支配。数据处理者在自己管辖支配的领域有责任保护重要数据安全不受侵害,脆弱的重要数据安全的保护也强烈依赖于数据处理者的作为,而且越来越受到全社会的普遍期待。
数据处理者的行为被评价为刑法上的不作为,仅限于不实施被期待的特定行为,这些为社会所期待的行为一般可以通过罪行规范转化为类型化的重要数据安全保护义务(刑事作为义务)。着眼于实现不作为犯意义上的保证人义务指引目的,对重要数据安全保护义务进行分类须符合以下两个标准:其一,义务类型必须与数据处理者的保证人地位之间具有特定的、专属的关联性;其二,义务类型必须在确定作为义务与不作为行为的对应关系中发挥作用。根据数据处理者履行作为义务的时间,可以把相关法律、行政法规所规定的重要数据安全保护义务划分为事前防范义务和事后处置义务,其中事前防范义务体现为要求数据处理者采取相应的管理、技术等措施评估、监测、预警和管控重要数据安全风险,避免发生数据安全事件;事后处置义务体现为要求数据处理者在数据安全事件发生后及时启动应急响应机制,立即采取处置措施防止危害扩大,消除安全隐患,并如实向有关主管部门报告事件情况。
四、数据处理者怠于履行重要数据安全保护义务的刑事责任及其限度
刑法是规范并维护社会共同生活秩序的最后手段,能够不使用刑罚而以其他手段也可以达到法益保护目的时,则必须放弃刑罚。秉持“在现有刑法基础上引入新的规范或者对其进行强化,仅仅在公民没有保护被侵犯的法益的手段时才能使用”的谦抑理念的前提下,可以尝试从立法论的角度探讨在《刑法》中增设专门罪名规制有能力而拒不履行重要数据安全保护义务行为的必要性、可行性及具体方案,进而审慎确定数据处理者承担不作为刑事责任的合理边界。
(一)增设拒不履行重要数据安全保护义务罪
刑法的目的与任务是保护法益,刑事立法上,对于某种社会之生活利益是否应以刑法手段加以保护,莫不以法益概念作为决定的依据。法益保护主义对刑事立法有两个方面的要求:在通过限制刑事立法确保国民的自由的同时,必须有保护新的法益的刑事立法。这就要求立法者一方面要考虑在社会发展变化后,出现哪些新的重要利益值得刑法保护,因为法益没有自然法的永恒效力,而是跟随宪法基础和社会关系的变迁而变化;另一方面应当根据行为是否严重侵犯了值得由刑法来保护的生活利益来确定处罚范围。即刑法因保护新法益需要增设新罪时,只能将严重侵犯法益或者侵犯重要法益的行为规定为犯罪。相较于公民个人信息泄露所造成的危害后果,影响国家安全与公共利益的重要数据一旦遭到泄露、窃取、篡改、毁损、非法使用,可能引起更广泛、更严重的法益侵害。有学者对此指出,“除了虚拟财产以外,大数据时代的其他重要数据显然已经成为生产资料,成为重要的法益,需要刑法的保护,增加相关的数据犯罪,已经不可避免”。犯罪圈并不是越小越好,之所以科处刑罚,是因为对保护全体国民利益而言存在必要性,刑事立法不能只单纯强调限制处罚范围,而应当强调处罚范围的合理性、妥当性。换言之,我国刑事立法应当从“限定的处罚”转向“妥当的处罚”,在新类型的法益侵害明显增加的情况下,就需要增设新的犯罪。因此,坚持以总体国家安全观为基础的消极预防性刑法观,通过理性增设新罪、合理确定处罚范围,督促数据处理者切实履行重要数据安全保护义务、强化数据安全法益的刑法保护、防范重要数据安全风险是必要且合理的,亦可以有效化解预防性刑法观的正当性危机。
近现代国家的刑法分则,一般根据犯罪行为所侵犯的法益内容对犯罪进行分类,进而设置相应的章节。依据怠于履行重要数据安全保护义务行为所侵犯的数据安全法益的公共秩序属性以及保持罪名体系协调,可以在《刑法》第六章“妨害社会管理秩序罪”第一节“扰乱公共秩序罪”中增设第286条之二“拒不履行重要数据安全保护义务罪”。条文的具体内容如下:
数据处理者不履行法律、行政法规规定的重要数据安全保护义务,经监管部门责令采取改正措施而拒不改正,致使重要数据遭受泄露、窃取、篡改、毁损、非法使用,造成严重后果的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
“刑罚法则,事先将应当保护的法益加以特定,除了行为主体之外,还将侵害法益的手段、方法、行为状况等规定为构成要件的内容。”前文在论证怠于履行重要数据安全保护义务行为无法适用拒不履行信息网络安全管理义务罪时已对数据处理者(行为主体)、重要数据(行为对象)等概念的内涵与外延做了详细阐释,此处不再赘述。下文将主要围绕作为义务的形式来源、行政程序性前置条件、实质性危害结果要件等三个方面对拒不履行重要数据安全保护义务罪的性质与内容进行全面分析。
(二)作为义务的形式来源:法律、行政法规的规定
不作为是一个评价问题,唯有从作为义务不履行的意义上对不作为加以界定,才能真正理解不作为的实行行为,就此而言,不作为是指行为人负有实施某种积极行为的特定法律义务,并且能够履行却消极地不履行。同拒不履行信息网络安全管理义务罪一样,拒不履行重要数据安全保护义务罪是纯正不作为犯,即刑法规定只能以不作为形式实施犯罪的情形,以未实施法律所期待实施的一定行为作为构成要件行为。那么,纯正不作为犯的作为义务从何而来?“关于真正不作为犯,由于在刑罚法规中明确规定了命令规范,所以作为义务是明确的。”这里的命令规范不是指刑法规范本身,而是指向其他法规范所设定的义务。换言之,应通过列举作为义务的法律渊源以确定作为义务的根据,即从前置法中寻求作为义务的形式来源。有学者指出,“在纯正的不作为的情况下,其他法律规定的作为义务经由刑法确认,在第二义上,纯正的不作为的作为义务也可以说是刑法规定的,只不过刑法规定是以其他法律的规定为来源的。在这个意义上,纯正不作为的作为义务来源的法律规定具有双重性。”由此,民法、行政法等前置法明文规定的作为义务升格为刑法法秩序所认定的形式作为义务。拒不履行重要数据安全保护义务罪是数据处理者违反重要数据安全保护义务超出合理注意义务引起的平台犯罪,首先是违反前置法的行为。需注意的是,不作为型法定犯所违反的前置法的范围须严格遵守相关规定,不可任意扩大至《刑法》第96条“国家规定”以外的规范,否则犯罪圈有过宽之嫌,并可能导致随意出入人罪。因此,地方性法规、部门规章以及地方政府规章等位阶较低的规范性文件不宜作为重要数据安全保护义务的法源,只能以具有全国效力的“法律、行政法规规定的重要数据安全保护义务”作为拒不履行重要数据安全保护义务罪的作为义务的形式来源。
纯正不作为犯将不作为当作明示的构成要件要素由刑法直接加以规定,对不作为成立犯罪的条件在条文上明确规定,“这种场合,犯罪类型自身事先明确规定了应当做什么,因此,在解释上,并不成为问题。只是在行政刑法的领域,有将真正不作为犯和作为犯一样无原则地广泛处罚的倾向,这存在疑问”。拒不履行数据安全保护义务罪的构成要件在表述上并未明确说明重要数据安全保护义务的具体内容,而是以空白罪状的方式规定数据处理者的作为义务。因此,刑事司法实践中在认定数据处理者是否有怠于履行重要数据安全保护义务的行为时,需要援引法律、行政法规的相关规定。具体而言,着眼于建立健全全流程数据安全管理制度,防范针对和利用重要数据的违法犯罪活动,《数据安全法》《网络数据安全管理条例(征求意见稿)》等法律、行政法规要求重要数据的处理者承担八项作为义务:一,明确数据安全负责人,成立数据安全管理机构;二,识别重要数据后向设区的市级网信部门备案;三,制定数据安全培训计划,组织开展全员数据安全教育培训;四,优先采购安全可信的网络产品和服务;五,定期开展数据安全风险评估,并向设区的市级网信部门报送风险评估报告;六,共享、交易、委托处理重要数据应当征得设区的市级及以上主管部门同意,向境外提供重要数据应申报网络安全审查;七,发现数据安全缺陷、漏洞等风险时,立即采取补救措施;八,发生数据安全事件时,立即采取处置措施,并按规定及时向主管部门报告。梳理和阐明重要数据安全保护义务具体内容的意义在于,通过对构成要件要素的解释来划定刑法的处罚范围,厘清重要数据的处理者承担不作为刑事责任的边界,并为其开展重要数据处理活动提供明确的合规指引。
(三)行政程序性前置条件:经监管部门责令改正
拒不履行重要数据安全保护义务罪是一个典型的义务犯,其实质根据在于对行为人所承担的社会角色和规范义务的违反,其不法内涵是通过特定的不履行积极行为义务表现出来的,而且是“更严格”的义务犯,其“义务”内容具有双层次的特点:第一层次义务是行政义务,即“法律、行政法规规定的重要数据安全保护义务”;第二层次是刑事义务,即“经监管部门责令采取改正措施”。两者在逻辑上是一种递进关系,只有在行为人已经违反第一层次义务的前提下,进一步违反第二层次义务时,其行为才可能受到刑法的评价,因而本罪的刑事可罚性落脚于后者。刑法中绝大多数义务犯都没有第二层次义务的要求,在本罪为重要数据的处理者特别设计了不同于一般义务犯的入罪标准,主要是考虑:其一,在立法中平衡政府职能部门对于重要数据安全的监管职责与数据处理者的重要数据安全保护义务,避免过分增加数据处理者的法律负担;其二,在行为人不履行作为义务的基础上,置入前置程序可以在行政责任与刑事责任之间设立缓冲区,对刑事处罚的范围进行必要的限制,体现刑法的谦抑性。《刑法》中与之相类似的“责令改正”表述还有消防责任事故罪中“经消防监督机构通知采取改正措施而拒绝执行”;拒不支付劳动报酬罪中“经政府有关部门责令支付仍不支付”;巨额财产来源不明罪中“可以责令该国家工作人员说明来源,不能说明来源的,差额部分以非法所得论”。易言之,数据处理者单纯不履行法律、行政法规规定的重要数据安全保护义务尚不足以构成刑法意义上的犯罪,还须符合“经监管部门责令采取改正措施而拒不改正”这一行政程序性前置条件,这是追究平台刑事责任的前提。有学者将之称为“程序性构成要件要素”,其特点是立法机关为限制刑事处罚范围给予被告人一次出罪的机会,即在有关机关或他人提出某种程序性要求时,被告人仍不作为,从而失去了出罪的机会。程序性构成要件要素具有双重功能:从实体功能来看,有利于判断犯罪是否成立及确定处罚范围;从诉讼功能来看,可以有效降低构成要素的证明难度,使个罪构成要件主观要素在实践上更加容易认定。在司法实践中认定“经监管部门责令采取改正措施而拒不改正”,应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,数据处理者是否具有按照要求采取改正措施的能力等因素进行综合判断。
“责令改正”在法律性质上属于行政机关依照职权要求行政违法相对人停止并纠正违法行为的一种具有执行力的行政命令。通过监管部门发出的通知或指令,数据处理者明确知悉自己的行为已经违反法律、行政法规的规定以及接下来需要采取哪些改正措施。如此,重要数据安全保护义务不再是抽象的法定义务,而是具体到某个特定的数据处理者身上的作为义务。有权“责令采取改正措施”的主体仅限于法律、行政法规赋予数据安全监管职责的部门,监管部门只能在其法定职权的范围内就法定的监管内容向数据处理者提出采取改正措施的要求,并以文书形式送达。就义务类型而言,“采取改正措施”是一种配合义务,如果数据处理者在怠于履行重要数据安全保护义务之后不听从监管部门的告诫性命令及时予以改正,而是继续不作为,即是对行政命令的故意不服从或公然违抗,使得不法程度明显升高、主观恶性较大,将导致自上而下的数据安全管理失灵。简言之,数据处理者经监管部门责令改正之后依然不作为,很大程度上承担的是一种不配合责任。基于法定犯存在“法益性的欠缺”这一先天不足,对于妨害数据安全管理秩序的法定犯,不宜单纯因为对规范的不服从就认定为犯罪,必须转化为实质危害。此外,拒不履行重要数据安全保护义务罪的主观罪过为故意,数据处理者只有对不履行法律、行政法规规定的重要数据安全保护义务有认识且拒不遵照监管部门的责令改正通知执行,才有被追究不作为责任的可能性,出于过失的行为不应承担刑事责任。
(四)实质性危害结果要件:发生数据安全事件且造成严重后果
随着步入以数据为关键生产要素的数字经济时代,重要数据的收集、存储、流转、加工、使用等处理活动日渐频繁且规模不断扩大。数据密集型活动的流动性和复杂性既使得传统的数据安全风险大幅增加,也引发了新型的数据安全风险和挑战。既往事后惩治非法获取、破坏重要数据行为与单方面追究窃取者、破坏者刑事责任的数据安全刑法保护策略的有效性降低。基于此种背景,必须双管齐下,夯实数据处理者的法律责任,事前防范针对和利用重要数据的违法犯罪活动。从完善数据安全刑法保护体系、增强数据安全刑法保护力度出发,增设的拒不履行重要数据安全保护义务罪应以危害结果为构成要件要素,赋予数据处理者结果回避义务,即发现数据安全缺陷、漏洞等风险时,立即采取补救措施,消除安全隐患,避免发生数据安全事件,或者一旦发生数据安全事件及时采取处置措施防止危害扩大,从源头保障数据安全。如果数据处理者怠于履行结果回避义务,将承担构成要件该当结果的刑事责任。
数据安全涉及有效保护与合法利用两个面向,《数据安全法》强调“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”,《网络数据安全管理条例(征求意见稿)》进一步提出“坚持促进数据开发利用与保障数据安全并重”的基本原则,要求“加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用”。因此,广义的数据安全的内涵不仅包括静态安全还包括动态安全,前者表现为数据自身的安全,基本要素是数据的保密性、完整性、可用性,重点防控的是重要数据泄露或者被窃取、篡改、毁损等不法行为,后者表现为数据利用的安全,强调数据挖掘分析、聚合应用等处理活动的正当性和可控性,重点防范的是非法使用重要数据的行为。因此,在数据本身及数据处理活动同时面临犯罪侵害风险的现实情况下,拒不履行重要数据安全保护义务罪在条文设计上应兼顾静态数据安全与动态数据安全,并对构成要件结果作类型性地描述、具备适当的涵摄范围,“既不能按照现实发生的个别案件详尽描述构成要件,也不能单纯使用抽象的概念,而是要将构成要件描述为可以与具体案件相比较的类型”。
发生数据安全事件意味着数据安全受到威胁,但并不一定产生刑事可罚性,只有在法益侵害达到实质危害的程度时才能构成犯罪,即基于危害原则判断犯罪是否成立,为国家刑罚权划定明确的界限,避免过度犯罪化。只有为了防止重大危害或过于邪恶的犯罪行为时,施加刑事责任才具有正当性。追究数据处理者的刑事责任应重视对后果危害性的综合考量,以侵犯数据安全管理秩序的行为是否具有现实危害性或者紧迫的现实危险性为定罪标准。因为如果刑法的处罚范围过于宽泛,则会使较多人的利益受到剥夺,这本身就违反刑法的保护法益的目的。应从实质上判断是否侵害或者威胁法益,是否具有处以刑罚的必要性和合理性,以便实现刑法的法益保护目的,从而将危害轻微的情形除罪化,合理限定犯罪圈,为数字空间的刑事处罚确立真实的判断基准,使数据安全犯罪的治理尽量恪守罪刑法定的实质侧面。因此,拒不履行重要数据安全保护义务罪以“造成严重后果”为构成要件要素,属于典型的结果犯。在这种犯罪中,法定的危害结果是否发生是区分罪与非罪的标志,数据处理者所承担的是一种结果责任,有助于避免陷入“行为一经实施即构成犯罪”的无边界刑法的困境,也为司法实践中数据安全犯罪的实质出罪留下足够的空间。重要数据一旦遭到泄露、窃取、篡改、毁损、非法利用,可能产生危害国家安全、公共利益的后果。刑法对重要数据所承载的国家安全与公共利益的保护不能过于空虚,必须具体化为“造成严重后果”的认定标准,将来制定司法解释可以根据重要数据的类型分别设置数量标准,还可以设定重大经济损失的数额标准以及扰乱社会秩序的程度标准等。
综上所述,拒不履行重要数据安全保护义务罪兼具法定犯、纯正不作为犯、义务犯、结果犯等多重属性。该罪的构成要件应与《数据安全法》《网络数据安全管理条例(征求意见稿)》等前置法的规定有效衔接,在恪守比例原则的基础上兼顾预防性与回应性,既能类型化地预防潜在的重要数据安全风险,又可以填补既往数据安全犯罪的立法漏洞。该罪的构成要件要素在为犯罪规制提供基础的同时,也限定了犯罪的成立,从而合理划定数据处理者因怠于履行重要数据安全保护义务而承担刑事责任的范围。