齐爱民 罗炜

摘要：在数字经济时代，刑法面临新的挑战，国内外大型数字平台公司为了商业及其他目的，往往会针对个人信息和重要数据等关键数据实施无限制数据收集并通过各种途径传输至国外的非法行为。此类非法数据跨境传输行为侵犯了国家数据主权、妨害数据管理秩序、危害国家安全，刑法必须及时作出回应并予以规制。我国《网络安全法》《电子商务法》《数据安全法》和《个人信息保护法》专门增加了针对数据犯罪的条款，附属刑法规制模式清晰可见。然而，上述规定过于笼统且狭窄，不具备整体性和普遍适用性。当前，我国现行刑法典中的罪名无法准确适用于非法数据跨境传输行为，因应技术发展以及国家利益在数据上延伸的现实情况，刑法典规制范式应该确立。增设非法数据跨境传输罪势在必行，该罪名的增设有助于有针对性地打击非法数据跨境传输行为，维护国家的数据管理秩序，维护国家安全。刑法典规制模式可以有效克服附属刑法规制模式的不足，在立法目标、规制范围和规制模式等方面均有突破。同时，条文的明确性和协调性也符合罪刑法定原则、法益保护主义和刑法结构的调整趋势。

关键词：数据；数据主权；数据跨境传输；非法数据跨境传输罪

作者简介：齐爱民，广西民族大学法学院教授、博士生导师（南宁  530006）；罗炜，广西民族大学法学院博士研究生（南宁  530006）

基金项目：国家社科基金项目“大数据时代疫情数据处理立法问题研究”（20BFX051）；广西“八桂学者”建设工程专项经费资助；2022年度广西高等教育本科教学改革工程项目“新文科建设背景下《数据法》O2O混合课程建设的探索与实践”（2022JGZ124）

DOI编码：10.19667/j.cnki.cn23-1070/c.2023.03.010

随着我国数字技术的高速发展和应用普及，数据成为国家基础性的战略资源，1浸透到了社会的各个领域，正迅速改变着人们的生活和生产方式，数据安全上升为国家安全，非法数据跨境传输行为对国家主权和数据安全的危害逐步显现。2021年，我国颁行了《中华人民共和国数据安全法》（以下简称《数据安全法》），在保障数据有序自由流动的同时，对数据安全作出了及时的回应，体现了国家对数据安全的关切。2021年底，上海国安局破获了一起涉及将我国核心数据提供给境外的案件，上海某信息科技公司为境外公司采集和提供我国16个国内城市和相应高铁线路的移动测试和信号数据，采集和传输的数据量极为庞大。国家安全局以涉嫌“为境外刺探、非法提供情报罪”对该公司的负责人采取了刑事强制措施。2022年7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司依法作出处以人民币80.26亿元罚款的决定，其重要原因之一是严重影响了国家安全。《数据安全法》作为我国数据领域的基础性法律，其着眼点是确立各项保护和管理数据安全的基本制度，但从刑法典范式视角下对涉及数据跨境传输的刑事规制方面尚需进一步的探索和完善。

一、非法数据跨境传输的概念与社会危害性

在数据时代大背景下，数据跨境传输趋势不可阻碍。数据跨境传输是一把双刃剑，一方面，它体现了诸多优势：在国际经济方面，数据的跨区域性流通可以带动国际贸易的发展，推动全球经济一体化；在文化交流方面，数据跨境传输能增进各国文化的交融互通，促进人类文明进步；在国际安全层面，数据跨境传输能打击跨国犯罪，保障国际社会和国内安全。另一方面，非法数据跨境传输也将给国家安全带来严重的威胁，刑法规制非法数据跨境传输势在必行。

（一）非法数据跨境传输的概念界定

准确把握具有刑法评价意义的跨境传输数据行为是讨论刑法规制非法数据跨境传输行为的必要前提。非法数据跨境传输是指行为人违反国家规定，跨境传输关键数据的行为。

1. “关键数据”的内涵。关键数据是指任何以电子或者其他方式对事关国家安全、公共利益、个人信息权益的重要信息的记录。关键数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，就可能危害国家安全、公共利益、个人信息权益。以是否涉及个人信息为标准，关键数据可以划分为重要数据和个人信息两大类。所谓重要数据，是指任何以电子或者其他方式对事关国家安全、公共利益的重要信息的记录。以数据遭到侵害对国家社会以及个人造成危害的程度为标准，可以将重要数据分为一般重要数据和核心数据。根据《数据安全法》第21条的规定，所谓核心数据，是指关系国家安全、国民经济命脉、重要民生、重大公共利益的重要数据。所谓一般重要数据，是指在核心数据之外，关系到国家安全、国民经济命脉、民生以及公共利益的重要数据。所谓个人信息，是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。一般个人信息是指非敏感个人信息。所谓敏感个人信息，是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满14周岁未成年人的个人信息。我国《网络安全法》第37條规定，个人信息和重要数据应当存储在境内。

2. “跨境传输”的标准。所谓数据传输，是指发生在不同主体之间的关键数据传递。以是否跨越国境为标准，可以将数据传输分为数据跨境传输和数据境内传输两大类。不同国家确立的数据跨境流动标准并不相同，有的国家采取较为宽松的数据跨境流动规则，有的国家采取严格的跨境流动规则，还有的国家采取数据本地化存储的规则，不同的数据跨境传输规则会对数据的流动产生影响。区分数据的跨境传输和数据的境内传输有利于对数据传输采取分类保护。与数据境内传输不同，数据跨境传输涉及国家的数据主权问题，非法数据跨境传输可能侵害国家安全，需要采取更为严格的保护措施，而数据境内传输则不会涉及国家主权问题。所谓数据跨境传输，是指境内主体将关键数据传输至境外主体的行为。对于数据跨境传输的定义，始见于1981年欧盟制定的《有关个人数据自动化处理的个人保护公约》（the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data）对数据跨境流动的定义，由于该公约最初是为了保护个人数据，因此该公约认为“不论使用任何媒介，基于自动化处理或为自动化处理的目的所收集的个人数据跨越国境的传输”，都是一种“个人数据跨境流动”1。质言之，数据跨境传输是指数据的跨境流动。我国理论界对于“跨境”的含义有多种解释，形成了几种主要学说。“国境说”以传统的物理空间，即地理、政治上的边界为标准，认为“数据跨境流动”是指“数据通过电子计算机系统跨越国界进行访问、传输、转移和使用等一系列行为”2。“交易行为发生地说”不再以传统的国家边界为“境”，而是以数据交易行为发生地作为境的判断标志，认为“数据跨境流动”是“数据提供者、数据处理者、数据的控制者间的交易行为发生在两个或两个以上的国家境内”3。“访问说”以是否被主体访问为标准，认为“数据未必跨越国界，但如果能够被其他国家主体进行访问，也属于跨境数据流动的范畴”4。“实控说”不再执着于传统国境，以数据的实际控制主体为标准，认为“数据行为发生地只要位于不同的法域，或者数据虽未出境但被境外主体掌控，便都属于跨境行为”5。单一的“国境说”也显然不适合数据可以通过互联网在全球范围内进行读取、使用进而实现流动的现状。“交易行为发生地说”以数据交易为前提，所谓交易是指价值交换。但是数据的跨境流动并非都是数据交易行为，例如境外主体单纯的访问行为，并不存在任何价值交换。“访问说”和“实控说”这两种学说观点十分相似，两者的相同之处在于都不以“跨越传统的国境”作为数据跨境流动的唯一标准，数据跨越传统国境的流动当然属于数据跨境流动。两者的区别在于主体对数据控制的程度有所不同。“实控说”要求境外主体对数据的掌控，换言之要求境外主体成为数据的控制者。何为数据控制者，根据欧盟《一般数据保护条例》第26条的规定，可以决定个人数据被处理的目的和方式的是数据控制者。“访问说”认为境外主体并不需要达到数据控制者的程度，只需要可以对数据进行访问即可。笔者认为此处的“访问”，不限于访问这一种形式，可以做个扩大解释，即指包括访问在内对数据进行采集、使用、转移等一系列的处理行为。并且，数据跨境传输的标准采取“访问说”更为合理：一方面“访问说”符合大数据时代下数据不局限于通过单纯跨越传统国境实现的流动方式，更凸显了数据通过互联网实现全球范围内流动的方式；另一方面，降低数据跨境流动的认定门槛，既有助于数据在国际的流动，促进数据的开发利用，也有助于国家对数据跨境流动的制定相应治理措施，保障我国数据跨境流动的安全。

3. “非法”的界定。非法数据跨境传输中的“非法”是指违反国家对数据跨境传输管理规定，擅自将关键数据传输至境外或者可以让境外的人、机构访问。《网络安全法》《数据安全法》《个人信息保护法》都规定，关键数据的出境必须进行安全评估。2022年9月1日起施行的《数据出境安全评估办法》规定，数据处理者向境外提供在境内收集和产生的关键数据的安全评估适用本法。非法数据跨境传输中的“安全评估”，根据《数据出境安全评估办法》的规定，是指国家有关部门以及数据处理者根据跨境传输的关键数据类型，依照相应流程对关键数据的内容进行安全风险判断，并采取相应措施确保数据跨境传输安全的一种数据跨境传输管理制度。安全评估的对象限于关键数据，根据《数据出境安全评估办法》第4条的规定，数据处理者需要对关键数据跨境传输进行安全评估。其中，所有的重要数据的跨境需要进行安全评估。个人信息的出境，《数据出境安全评估办法》规定了三种情形：第一种是关键性基础设施的运营者和处理100万人以上的个人信息的数据处理者向境外提供个人信息；第二种是以2021年1月1日为起点，累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者需要进行安全评估；第三种是兜底条款，不排除将来会根据工作需要提出其他的评估条件，或者根据评估实践作出例外的制度安排。安全评估的主要内容是评估数据跨境传输活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。根据《数据出境安全评估办法》第8条的规定，包括以下七个方面：第一，数据出境的合法性、正当性、必要性；第二，境外接收方所在國家或者地区的数据安全保护水平；第三，数据出境中和出境后可能遇到的风险；第四，关键数据的权益能否得到充分有效的保障；第五，是否与数据接收方约定相应的安全保护义务；第六，遵守我国的法律法规；第七，其他需要评估的事项。安全评估的流程分为数据处理者向省级网信部门递交材料和省级网信部门向国家网信部门递交材料两个步骤。《数据出境安全评估办法》规定数据处理者应当首先向省级网信部门报送安全评估的申报材料，省级网信部门在5日内对报送的材料是否完备进行审查，将申报材料齐全的报送国家网信部门进行审核，不齐全的退回并告知需要补齐哪些材料。国家网信部门在7日内通知数据处理者决定是否受理。安全评估结果分为通过和未通过两种。不同的安全评估结果带来不同的管理措施。通过安全评估的关键数据可以在两年有效期内进行跨境传输，但数据出境的过程中如果发生了两种情形，则需要终止数据出境并重新进行安全评估：第一种是数据出境的目的、方式、范围、种类和境外接收方处理数据的用途、方式，以及接收方所在国家或者地区数据安全环境发生变化影响出境数据安全的，或者延长关键数据境外保存期限的；第二种是已经通过安全评估后的出境数据如果经国家网信部门发现不再符合出境安全管理要求的。未通过安全评估根据《数据出境安全评估办法》规定，分为重要数据以及上述提及的三种情形下的个人信息未进行安全评估和其他关键数据进行安全评估后不满足出境要求两种。未通过安全评估的关键数据不得出境。

综上，非法数据跨境传输，是指违反国家有关的法律规定，传输禁止传输的关键数据，或者传输未进行安全评估或未对评估结果采取相应保障措施而传输关键数据的违法行为。非法数据跨境传输最终妨害了国家对数据的管理秩序，也使数据跨境传输对国家的安全产生了严重威胁。

（二）非法数据跨境传输的法益侵害

法益是根据宪法原则，由法所保护、客观可能受到侵害或威胁的人的利益。1非法数据跨境传输行为是否会侵害值得刑法保护的法益是非法数据跨境传输行为是否需要刑法介入的首要问题。对于非法数据跨境传输直接侵害的法益，理论界并没有直接的研究，学者们更多的是研究数据的法律属性，侵害数据的本质是侵害何种法益，并由此形成了不同的学说。“财产性法益说”为数据赋予了财产性利益，认为数据“是随着信息技术发展而出现的一种新型财产权客体，即信息财产”。同时，也是“数据控制人的数据资产”2。“独立法益说”在“财产性法益说”的基础上，认为“数据法益正成为刑法保护的核心法益。数据法益是新型刑法法益类型，是以大数据为保护对象的合法利益”3。“二元法益说”以数据类型作为划分不同法益的标准，认为“个人数据犯罪行为所侵犯的法益……是作为个人法益的个人信息权……一般数据犯罪罪名的应然保护法益，是数据主体对一般数据的形式支配权限，以及对一般数据的私密性、完整性和可用性利益”4。“多元法益说”认为数据不仅包含了财产权利。个人信息还具有人格权益，独创性的数据则具有知识产权，“数据权益是多项权益的集合”5。应当区分不同的权利类型进行刑法保护。学者们对数据犯罪侵害的法益研究为非法数据跨境传输行为的法益侵害的认定提供了研究的思路和方向，但是由于研究的内容不同，学者们的这些学说不能全然嫁接到非法数据跨境传输行为所侵害的法益中。笔者在学者们对数据犯罪法益研究基础上，结合非法数据跨境传输行为的法律特征，认为非法跨境数据传输行为是行为人违反国家对数据的管理制度，擅自跨境传输本国的关键数据，致使这些关键数据脱离本国职能部门的管控，侵害了国家的数据主权，妨害了国家对数据的管理秩序，危害了国家安全。因此，笔者提出了“国家安全＋数据管理秩序”的“复合法益说”，认为非法数据跨境传输行为侵害的法益有两个：国家安全和数据管理秩序。

1.危害国家安全。数据主权是国家主权的一部分，是国家主权在信息数据领域的一种延伸，是一主权国对其管辖内的数据享有的独占处理和管理以及排除他国干预的最高性的权利。1数据主权是满足国家在数据领域生存发展方面的利益，体现的是一种国家安全利益。数据的非法跨境传输侵害了主权国对数据的管理权利，因此数据非法跨境传输行为危害国家安全。数据可以根据产生的方式和国家利益关联的样态分为原始数据和衍生数据。2原始数据是指终端用户所存储使用的各种数据，是未经过处理或简化的数据。原始数据和国家安全紧密相连。例如，含有民用核设施、关键性基础设施、重要单位的地理信息的数据，这些原始数据被境外组织、个人获取将会导致这些事关我国国家安全的设备设施位置完全暴露在境外反华势力的视野下，随时都有被他们打击的危险。衍生数据是指通过对原始数据进行加工处理后产生的数据。一些原始数据被境外组织个人获取后可能不会对国家的安全造成任何影响，但是经过数据算法技术的智能分析，隐藏在海量原始数据背后的信息内容被识别出来，反映原始数据所无法反映的内容。例如，将个人信息传输出境不会对国家造成太大的影响，但是当将整个国家的人口普查数据流通出境，那么经过技术分析，就会清楚地掌握到我国的生育情况、人口老龄化情况和人才的储备情况，这和国家安全息息相关。非法数据跨境传输行为的行为人非法将数据脱离一国的主权管控，危害国家安全利益。

2.妨害数据管理秩序。数据管理秩序是大数据时代下，为了保障数据安全、促进数据开发利用、促进数据安全和自由流动，由中央国家安全机关统筹，各地区各部门依法对本地区本领域本行业开展数据处理活动以及安全监管而形成的正常的管理秩序。数据管理秩序法益，是指根据宪法原则，由法律保护的、客观上可能被侵害的国家依法对数据处理活动的开展和安全进行管理的权利。非法传输数据侵害了国家的数据主权，数据主权反映的是主权国家对其管辖内的数据处理活动的开展及安全进行管理的权利，这种国家对数据管理的权利背后反映了一国对本国数据社会管理秩序的法益。尽管我国现行刑法并未明确提到“国家对数据的管理秩序”这个概念，但我国刑法规定了“社会管理秩序”法益，社会管理秩序是我国十大类罪名之一的妨害社会管理秩序罪所保护的法益，它保护的是国家各职能机关依法对社会各方面进行管理活动而形成正常的社会秩序。根据《数据安全法》的有关规定，数据管理秩序显然是社会管理秩序的一种。非法数据跨境传输行为的行为人非法开展数据处理活动或者将数据脱离国家的安全监管，侵害了社会管理秩序法益中的数据管理秩序法益。数据管理秩序法益对于现行刑法所保护的法益而言，是一种新型法益。数据管理秩序法益的产生符合新型法益产生的判断标准，具有合理性。第一，新型法益的生成必须符合社会价值判断标准。社会价值判断标准，是指新型“法益生成须以社會价值层面的共识为前提”3。换言之，新型法益的生成是基于社会普遍需要而非个人需求。数据管理秩序是国家依法对境内数据活动进行管理而形成的一种管理秩序，是数据时代下社会治理的一种表现形式，数据管理秩序作为新型法益符合社会价值判断标准。第二，新型法益要符合公序良俗判断标准。公序良俗判断标准，是指新型法益的生成不能违背道德。数据处理活动的开展要尊重社会公德和伦理，这既是数据处理活动的法律要求也是道德要求，国家支持、鼓励和保护尊重社会公德、伦理的数据处理活动，具有道德上的正当性，符合公序良俗判断标准。第三，新型法益的生成要符合法律判断的标准。法律判断标准是指新型法益的生成不能违背法律禁止性规定。所谓法律禁止性规定是指命令当事人不得施行一定行为的法律规范。国家对数据的管理是职责所在，并不违背法律禁止性规定。数据管理秩序法益符合法律判断标准。第四，新型法益的生成要符合义务配置判断标准。义务配置判断标准是指新型法益生成以义务配置为前提。新型法益在创设时需要配置义务，而配置义务是否是实现法益保护的最佳手段？是否会损害他人权益？设置数据管理秩序法益，是实现国家对数据治理的最佳手段，非但不会影响数据处理者正常合法的数据处理活动，还会保障这些活动。

社会进入数据时代，围绕数据的处理和治理而产生社会利益。确立数据管理秩序法益能反映数据时代特性，保护由数据处理而形成的各种社会关系，解决围绕数据处理而产生的各种法律问题，尤其是围绕数据跨境而产生的一系列刑事法律问题。数据的内容涵盖社会发展的各方面，各国都围绕数据进行角力，我们在享受数据跨境流动带来的红利时，也不该忽视由此而产生的风险，确立数据管理秩序法益，有利于刑法应对一系列由数据治理而产生的刑事法律问题，包括非法数据跨境传输行为产生的违法犯罪问题。概言之，非法数据跨境传输侵害了两种法益：一种是国家安全，另一种是国家对数据的管理秩序。

（三）法益与新罪名的形成

罪名的形成是由侵害的法益独立性来决定的。所谓法益的独立性，是指某种社会利益成为刑法所要保护的对象，具有刑法上的独立意义与价值。当某种社会利益具有刑法上的独立意义和价值时，意味着刑法需要形成专门的罪名予以确认和保护。例如，随着我国生态文明建设的推进，民事立法确立了“绿色原则”以保护生态环境资源，生态法益已有别于传统人身、财产法益成为独立法益。环境资源成为刑法保护的对象，具有刑法上的独立意义与价值。《刑法修正案（八）》通过修改原来的重大环境污染事故罪的条文，形成新的罪名——污染环境罪。1数据管理秩序是数据时代下，国家机关依法对数据处理活动的开展和安全进行管理而形成的秩序，对其进行妨害将会导致我国境内产生或搜集的关键数据外泄，被境外组织或个人非法获取和利用，危害国家安全、社会利益和个人的信息权益，数据管理秩序具备法益独立性，现行刑法应成立新的罪名予以保护。罪名可以根据外延宽窄的不同分为类罪名和个罪名。类罪名是某类犯罪的总称，通常是指刑法分则中的章、节的名称。个罪名是对刑法分则条文规定的某种犯罪行为本质特征的抽象概括。刑法保护数据管理秩序法益而形成的罪名究竟是个罪名还是类罪名，则仍需落实到侵犯数据管理秩序的犯罪行为类型予以判断。并且，妨害数据管理秩序法益的犯罪行为有多种类型，非法数据跨境传输行为只是其中之一，与之相对应的非法境内传输数据行为当然也会妨害数据管理秩序法益，因此笔者认为，由妨害数据管理秩序法益而形成的新罪名——数据管理秩序罪是一种类罪名。

二、非法数据跨境传输的刑法规制范式的二元分立

对于非法数据跨境传输行为的刑法规制范式，我国主要采取附属刑法与刑法典二元分立的规制范式。附属刑法规制范式，是指在非刑事法律规范中，设置刑事规范，对某类违反该行政性准则、对该领域造成严重危害的行为予以刑事制裁的规制模式。刑法典规制范式是指通过增设、修改条文等方式，在刑法典中制定有关条文，预防、打击某种或某类犯罪的规制模式。所谓二元分立，是指对某种行为有两种法律规制范式，这两种法律规制范式完全独立，互相之间没有统辖关系。我国对于非法数据跨境传输行为，一方面，采取附属刑法规制范式，在《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》的末尾以“罚则”的形式中设置刑事规范，对违反该行政性准则、对该领域造成严重危害的非法数据跨境传输行为予以刑事制裁；另一方面，通过刑法典现有的条文，打击涉及非法数据跨境传输行为。目前，对于非法数据跨境传输行为没有设立相应的罪名，两种规制范式缺乏直接关联，对于非法数据跨境传输行为没有形成完整、有效的规制范式，且这两种规制范式都存在各自的不足。

（一）我国附属刑法规制范式的优势与不足

1. 非法数据跨境传输的附属刑法规制范式现状

随着信息数据技术的飞速发展，我国进入了数据时代，由非法跨境传输关键数据所引发的违法犯罪问题日渐增多，对此我国先后颁行了《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》这四部基本法律，并且在这四部法律中规定了附属刑法。所谓附属刑法，是指非刑事法规中有关犯罪与刑罚的刑法规范的总称，是国家为适应某种特殊需要而颁布的仅适用于事项的刑法法规，是我国刑法立法的重要组成部分。随着社会的发展，某种新型社会关系产生后，在应对围绕这种新型社会关系而产生的违法犯罪问题时，在短期内无法修改相应刑法典的条文，则采取相关领域内非刑事法律规范中有关犯罪与刑罚条款的方式，预防、打击这种违法犯罪行为。我国行政、经济等领域的法律法规中通常会有专门涉及犯罪时的条文，这些便是附属刑法。例如，《数据安全法》第45条规定了违反核心数据管理的刑事责任。《电子商务法》第88条、《个人信息保护法》第71条和《网络安全法》第74条都规定了构成犯罪的，依法追究刑事责任。

我国社会发展迅速，数据时代围绕数据产生各种新型的社会关系以及伴随这些新型关系而出现的犯罪问题。刑法的调控范围不得不随之扩大以应对各种新型的与数据有关的犯罪。但是现行刑法的相对稳定性，使其无法在短时间内通过修正案的方式实现。立法者不得不将部分刑法规制的任务交给了非刑法法律，这也是“刑事立法对非刑事法律的巧妙借用”1。《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》这四部基本法律中附属刑法的规定，维护了刑法典的相对稳定性，同时国家扩大了刑事调控范围，有效回应了数据领域中的非法数据跨境传输行为所引发的犯罪问题。

2. 非法数据跨境传输附属刑法规制范式的优势

附属刑法规制范式能回应新型领域刑法立法诉求，填补法律空白。我国已经进入数据时代，伴随而来的是各种与数据有关的新型社会关系的出现以及相应的法律问题。围绕数据的非法跨境传输所引发的一系列违法犯罪行为已成为法律亟待解决的问题。例如，擅自传输关键数据不仅破坏了国家的数据管理秩序，同时可能危害国家的安全，刑法不能对此置之不理，立法机关在《数据安全法》《个人信息保护法》《网络安全法》中以附属刑法的形式规定了对非法跨境传输关键数据犯罪行为的刑事制裁，回应了国家对妨害数据管理秩序、危害国家安全的行为的刑事立法诉求。数据犯罪是随着近年来数据普及应用而产生的，是刑事立法者在立法时所未能预见的事情，因此刑法不免在应对数据犯罪时出现立法空白，在《数据安全法》《个人信息保护法》《网络安全法》中设置附属刑法，能够填补刑法在这些领域中的立法空白。附属刑法规制范式有助于保持刑法典的相对稳定性。刑法的威严在于刑法的相对稳定性、不宜频繁地进行修改和变动，但新型社会关系所引发的新犯罪类型已无法被现行刑法所囊括，刑法不得不对之作出及时而有力的反应。行政法、经济法则应根据行政管理需要、经济发展水平而适时变动，在这些法律中设置附属刑法，能够巧妙地弥补刑法应对新型领域犯罪时的相对滞后性，同时“采用附属刑法规定复杂的、新型领域中未成体系的法律规范来积累经验，采用刑法典规定稳定的核心刑法内容”2，有助于维护刑法的稳定性。在《数据安全法》《个人信息保护法》《网络安全法》中设置附属刑法，能发挥刑法立法的灵活性以惩治非法数据跨境传输的犯罪行为，为规制非法数据跨境传输的犯罪行为积累刑事立法经验，同时也维护现行刑法的相对稳定性。附属刑法与所附属的法律法规形成了某一社会领域的完整法律规范体系，同时附属刑法规定所应承担的刑事责任与其他民事、行政责任共同形成了该领域完整的责任体系，不仅在打击该领域违法犯罪行为时便于司法人员对相应的法律条文的援引，也利于社会公众对该领域违法犯罪行为的整体性认识。《数据安全法》《个人信息保护法》《电子商务法》《网络安全法》中附属刑法规定所应承担的刑事责任与其他民事、行政责任一同构成了非法数据跨境传输违法犯罪行为的完整责任体系，方便了司法人员在打击非法数据跨境传输违法犯罪行为时的法律援引。此外，在进行《数据安全法》《电子商务法》《个人信息保护法》《网络安全法》等法律的普法过程中，社会公众能够对数据安全、个人信息安全、网络安全、电子商务安全等形成一个整体性的认识，了解哪些行为会构成犯罪，对非法数据跨境传输犯罪起到一般预防的作用。

3. 非法数据跨境传输的附属刑法规制范式的不足

我国附属刑法存在固有的弊端，导致在司法实践中难以有效适用，发挥刑法功能。一方面，附属刑法表述笼统，例如《电子商务法》第88条、《网络安全法》第74条和《数据安全法》第52条均规定“违反本法规定，构成犯罪的，依法追究刑事责任”。这些规定过于模糊，哪些违法行为属于严重危害社会稳定、达到犯罪程度，应适用何种类型的刑罚、处于何种程度处罚都没有明确规定。这种规制范式容易形成口袋罪，过分扩大打击范围，一些情节显著轻微的数据犯罪，也可能被列入刑事打击的范围，有违刑法的谦抑精神。同时也不利于社会公众清晰明确地认识数据非法跨境传输的犯罪行为，导致刑法对数据非法跨境传输的一般预防作用流于形式，不利于增强公民的数据犯罪预防意识、维护社会的和谐稳定。

（二）我国现行刑法典规制非法数据跨境传输的立法漏洞

数据的价值是随着近年来信息技术的飞速发展而得到充分挖掘，进而从计算机信息数据系统中独立出来，成为需要法律专门保护的社会利益。这显然超出了立法者立法时所能预判的范围，因此我国刑法典并未设置专门规制非法数据跨境传输的条文，也没有规制数据犯罪的条文。对于非法数据跨境传输行为存在明显的立法嗣后漏洞。所谓嗣后漏洞，是指法律制定和实施后，因社会的发展而产生了新问题，这些新问题在法律制定时由于立法者未能预见而没有被纳入法律的调控范围，因此而形成的法律漏洞。非法数據跨境传输行为的立法漏洞导致现行刑法中缺乏一个直接针对此类新型犯罪行为的罪名。对于一个新型的犯罪行为进行刑法规制，不仅剖析该行为的概念和法益侵害，还要分析我国现行刑法对该行为是否具有适配性的罪名。罪名是对某一犯罪所反映的根本特征的抽象概括。1行为是个罪构成的核心要件。任何罪名都必须表述特定行为。2犯罪所反映的根本特征就是犯罪行为的本质特征，所以我国刑法罪名的设立，是将某一犯罪行为中本质的特征加以归纳概括，从而有别于其他犯罪类型。因而犯罪行为决定着罪名的设立。非法数据跨境传输犯罪行为决定着刑法对其规定何种罪名。笔者根据对非法跨境传输行为的界定，梳理出刑法典可能适配该行为的罪名主要有三类，第一类是侵害计算机数据类罪名，第二类是危害国家安全类罪名，第三类是侵犯公民个人信息罪名，但用这三类罪名适用于非法数据跨境传输行为都存在缺陷。

1. 侵害计算机数据类罪名的不适用。侵害计算机数据类罪名包括刑法第285条的“非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪”和刑法第286条的“破坏计算机信息系统罪”。这是我国刑法分则中唯二的两条明确提到数据的条文。但显然，这三个罪名不适合规制非法数据跨境传输的行为。

从法益上看，“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”所保护的法益是计算机系统的安全。这与笔者认为的非法数据跨境传输行为侵害的法益大相径庭。“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”虽然提及了数据，但数据只是作为其中的一个保护对象，或者是数据依附于计算机系统之中。“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”所保护的法益无法涵盖非法数据跨境传输行为所侵害的数据管理秩序和国家安全法益。从行为上看，“破坏计算机信息系统罪”的行为是对计算机信息系统中的数据进行删除、修改、增加的操作，而非法数据跨境传输行为是将数据进行传输，这两种行为显然不能等同。“非法侵入计算机信息系统罪”与“非法获取计算机信息系统数据罪”中行为人与数据是一种非法获取或者非法控制的关系，而非法数据跨境传输行为的行为人与数据是一种合法取得或者控制的关系。非法数据跨境传输犯罪行为同样不宜以“非法侵入计算机信息系统罪”或“非法获取计算机信息系统数据罪”论处。

虽然“信息系统数据是网络数据的雏形”1，但是“非法侵入计算机信息系统罪”“破坏计算机信息系统罪”以及“非法获取计算机信息系统数据罪”中的数据显然不能和非法数据跨境传输行为中的数据混为一谈，因此，这类罪名并不适合非法数据跨境传输行为。

2. 危害国家安全类罪名的适用困境。在数据时代，数据记载的内容与国家、社会、个人利益息息相关，当记载国家利益的数据被非法传输境外，这些数据就有被境外组织、个人非法获取和非法利用的风险，危害了国家安全，符合危害国家安全类罪名所保护的法益。危害国家安全类罪名是我国十大类罪名之一，是对各种危害国家安全的犯罪行为共同特征的概括。与非法数据跨境传输行为可能相适配的危害国家安全的具体罪名，有刑法第102条的“背叛国家罪”和刑法第111条的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。“背叛国家罪”与非法数据跨境传输行为有相适配的一面，当担任国家党政军机关重要职位的行为人勾结境外的组织或个人，非法将事关国家安全的核心数据传输给境外组织、个人时，符合该罪名的构成要件。但除此之外，非法数据跨境传输行为很难适用“背叛国家罪”，原因有三：其一，“背叛国家罪”的犯罪主体与非法数据跨境传输行为的行为人主体不完全一致。“背叛国家罪”是特殊主体，须是在党政军机关中担任重要职务或者有重要政治影响力的行为人，而非法数据跨境传输行为人是一般主体。若要成为“背叛国家罪”的适格主体，行为人必须是基于政治身份而成为对本人管辖范围内涉及国家安全的数据的控制者或处理者，普通数据处理者不符合本罪的主体。其二，“背叛国家罪”的客观方面与非法数据跨境传输的行为不完全相同。“背叛国家罪”的客观方面是行为人勾结国外或者勾结境外组织机构或个人，勾结是核心，即行为人与境外的组织机构或人员有暗中相互串通的行为。而非法数据跨境传输行为的客观方面是行为人违法将数据传输境外，行为人并非全都与外国或者境外组织、个人串通。例如，将数据存储到境外，以及将数据传输到本公司在境外开设的子公司或分公司的行为，大部分情况下是行为人为了开展正当的经贸、文化、外交活动之所需，不能完全被认为是勾结行为。我国的一些企业为了经济效益和增加市场竞争力，需要赴美上市，则需要参照美国《萨宾斯-奥克利》法案，将企业所控制的通常包括网络活动、数据库活动、系统登入活动、账号活动、用户活动以及信息接入的参数和条件提供给美国相关组织，当这些数据涉及国计民生或者国家核心技术等而成为重要数据、核心数据时，行为人未经有关部门的审批或采取相应的安全保护义就提供给美方证券审批机构，符合非法数据跨境传输行为而不符合“背叛国家罪”的行为。其三，“背叛国家罪”与非法数据跨境传输的行为在目的上不完全相同。犯“背叛国家罪”的行为人往往是基于不正当的目的，比如是为了获取境外情报人员或策反人员提供的不正当政治、经济利益。最常见的情形是境外谍报人员以高报酬要求行为人提供某些事关国计民生的核心数据，或者是境外情报人员允诺行为人在加入国籍时或在该国生活时提供便利，行为人通常为了这些目的实施了背叛国家的行为。而非法数据跨境传输的行为人通常是具有职业上的正当目的，比如通过公司海外上市获得更多的融资扩大公司的经济效益，到海外设立分公司拓展海外业务，等等。由此可见，背叛国家行为的目的与非法数据跨境传输行为的目的也有所不同。概言之，“背叛国家罪”与非法数据跨境传输的行为在法益方面不完全相同，行为的方式也不完全相同，非法数据跨境传输的行为不完全符合“背叛国家罪”的构成要件，因此非法数据跨境传输的行为不适用于“背叛国家罪”。

“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”与非法数据跨境传输行为有相适配的一面。当数据处理者将涉及国家情报的数据非法传输境外或提供给境外组织、个人当然符合“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”。所谓“国家情报”，根据《最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释》，是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。根据该定义，涉及国家安全、国民经济命脉、重要民生、 重大公共利益等数据属于国家情报。本文开头所列举的案例中铁路GSM-R敏感信号数据，承载着高铁运行管理和指挥调度等各种指令，一旦被非法獲取和非法利用，将影响高铁运行秩序，对我国的铁路交通运输的安全构成重大威胁。因此这种数据不仅属于核心数据也属于国家情报，上海某科技公司数据采集人员非法将这些数据提供给境外人员，当然构成境外刺探、非法提供情报罪。但是“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”与非法数据跨境传输行为也有不相适配之处，即非法数据跨境传输行为中的数据并非都是国家情报。例如历次全国人口普查的数据。绝大部分情况下单独将某人的个人信息传输出境不会对国家造成太大的影响，但是当将整个国家的人口普查数据流通出境，那么经过技术分析，就会清楚地掌握到我国的生育情况、人口老龄化情况和人才的储备情况，这和国家安全息息相关。但非法跨境传输人口普查数据的行为显然不符合“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”的构成要件。

3.“侵犯公民个人信息罪”的局限。由于数据是对信息的一种记录方式，数据和信息在内容上可做等同认定。因此，当数据处理者将海量的公民个人数据非法向境外个人或组织机构提供时，符合侵犯公民個人信息罪的构成要件。但侵犯公民个人信息罪对非法数据跨境传输行为的规制也仅局限于这种情形，若是非法跨境传输的是非个人信息，则无法适用侵犯公民个人信息罪。总而言之，就单个罪名而言，我国的现行刑法中的部分罪名可以分别有效适配非法数据跨境传输的部分行为，但我国现行刑法的全部罪名也无法完全涵盖全部的非法数据跨境传输行为，现行刑法罪名的规制始终存在难以填补的漏洞，对于非法数据跨境传输行为刑法规制需要另寻出路。

三、非法数据跨境传输罪的确立及标准

（一）附属刑法规制范式向刑法典规制范式的转变：非法数据跨境传输罪的确立

从当前非法数据跨境传输的规制范式来看，附属刑法固有的弊端使其在规制非法数据跨境传输行为时捉襟见肘，因此有必要转变规制范式，确立刑法典规制范式。刑法典规制范式一直是我国惩治犯罪行为的传统规制范式，新中国成立至今大部分都通过刑法修正案的方式补充、修改刑法典条文惩治犯罪行为。自1999年开始，我国已通过了11个刑法修正案，“凡是需要增加犯罪类型与修改法定刑的，不管犯罪的性质及其与其他法律的关系如何，一概以修正案的方式对刑法典进行修改”1。例如，互联网时代计算机信息系统的安全性成为新型法益，是刑法保护对象。立法者通过刑法修正案（七）增设了非法获取计算机信息系统数据、非法控制计算机信息系统罪与提供侵入、非法控制计算机信息系统的程序、工具罪，采用刑法典规制范式，打击针对计算机信息系统的网络犯罪，保护计算机系统新型法益。

考虑刑法适用的便利性和国情，在我国继续采用统一刑法典立法模式，是具有相对合理性、切实可行的。1刑法典为社会生活引入了行为导向的安定性和稳定性。刑法典规制范式能明确地、精确地界定什么样的非法数据跨境传输行为应受到刑罚制裁，并以刑法条文的形式明确犯罪构成要件，为打击犯罪行为制定统一的标准。如今，社会已经进入数据时代，计算机犯罪已非时代主流，“计算机系统数据”与“信息数据”不再是同一概念，危害国家安全类罪名也不全然适合规制非法数据跨境传输行为，侵害公民个人信息罪也只能规制非法个人数据跨境传输行为，以这些罪名惩治非法数据跨境传输行为会存在各种漏洞。若再着重对这些罪名进行刑法上的修修补补以规制非法数据跨境传输行为反而限制了刑法的时效性，也加大了对数据保护的代际落差。数据已然成为这个时代的核心，各国的数据跨境流动频繁，数据的内容涉及社会各个领域，非法数据跨境传输的行为将危及国家在信息数据领域的安全和管理秩序。国家对数据的管理秩序和国家安全利益应得到学者们的足够重视，非法数据跨境传输行为采取刑法典规制范式，以刑法条文的形式明确非法数据跨境传输犯罪构成要件，为打击非法数据跨境传输犯罪行为制定统一的标准，保障数据跨境流动的安全有序。

笔者建议，在刑法典分则第六章《妨害社会管理秩序罪》章节中增设“非法数据跨境传输罪”。具体条文可以表述为：违反国家规定，跨境传输关键数据的，处三年以下有期徒刑或者拘役或者管制，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。本罪的客体是复杂客体，即数据管理秩序与国家安全，本罪的犯罪对象是关键数据。本罪的客观方面是违反国家有关规定，非法跨境传输关键数据的行为。本罪的主体是一般主体，主观方面是故意。

（二）增设“非法数据跨境传输罪”标准

1. 符合罪刑法定原则。罪刑法定原则既是刑法的基本原则又是刑法的精神，在历经各国几百年实践的锤炼，已经成为刑法的核心原则和“帝王条款”。对于罪刑法定原则的含义，我们通常理解为“法有明文规定即为罪即为刑，法无明文规定不为罪不为刑”2。这不仅意味着“没有法律就没有犯罪，没有法律就没有刑罚”3，也“要求刑法对于犯罪与刑罚范围事先尽量加以宽泛的规定，以使法官有定罪的根据”4。面对由数据非法跨境传输所引发的一系列严重侵害国家安全和妨害国家对数据管理秩序的行为，必须先有成文的刑法规定，法官才有断案的依据，国家的刑罚才能有效地行使。在刑法典中增设“非法数据跨境传输罪”，符合罪刑法定原则中的“法律主义”要求，能为国家刑罚权介入非法数据跨境传输的犯罪行为提供明确的法条依据，有效打击这类犯罪行为。

2. 契合法益保护主义。法益保护主义是指刑法的任务或目的是保护法益，犯罪应当被限定为对法 益的加害行为。我国《刑法》第2条和第13条明确了犯罪的本质是侵害法益的行为，刑法的目的与任务就是打击犯罪行为，保护法益。法益保护主义要求立法者必须以法益为目的，将严重侵害法益行为规定为犯罪，若这些行为没有被规定为犯罪，则应及时修改法律。此外，某种法益曾不值得刑法保护，而现如今值得保护时，刑法也应及时跟进，增设新的犯罪类型。5随着信息数据时代的到来，数据所承载的信息涉及国家各个领域，数据所表征的国家安全和国家对数据的管理秩序的法益价值随着数据自身安全的脆弱性与易受攻击性而在跨境传输中愈加凸显。在此背景下，国家的安全和国家对数据的管理秩序的法益价值必然成为刑法所重要考量的内容。因此，立法者适时更新刑法条文，增设“非法数据跨境传输罪”契合法益保护主义。

3. 顺应“严而不厉”结构趋势。我国的刑法结构由刑罚范围和刑罚程度组成。刑罚规制社会范围越宽意味着越“严”，刑罚对罪犯制裁程度越重意味着刑罚越“厉”。刑法结构影响着刑法功能的发挥。我国的刑法结构曾呈现出“厉而不严”的特征，这种刑法结构不仅使一些不法者承受了与其犯罪行为相比过于严厉的惩罚，更是遗漏了一些具有严重社会危害性的行为，不利于发挥刑法社会保护机能，也削弱了民众对法规范权威的信赖。从第八次《刑法修正案》开始，我国的刑法结构通过适度扩张犯罪圈和合理配置量度，开始不断地朝着“严而不厉”的方向进行调整。增设“非法数据跨境传输罪”符合我国刑法“严而不厉”的结构调整趋势，有助于严密我国的刑事法网，填补刑法在涉及数据非法出境方面的漏洞。同时刑罚程度方面根据行为所造成的不同后果设置为两档法定刑，且最高不超过七年，避免对非法数据跨境传输的行为处以最严厉的生命刑，给予这些行为人日后改过自新的机会，也有助于社会的和谐稳定。

4. 遵循明确性原则。明确性原则是指立法机关制定的刑罚条文必须明晰，范围合理适中。明确性原则包括两个方面：一是构成要件的明确，也即罪状的明确；二是刑罚效果的确定，也即处罚方式和法定刑幅度的確定。1在刑法中增加逻辑清晰、语义明晰的“非法数据跨境传输罪”的条文，使其具有可预测性，数据处理者在跨境传输数据前了解数据非法跨境传输罪的内容，准确地预判是否构成犯罪，保障数据处理者开展数据跨境业务，促进数据跨境安全、自由流动。同时，立法者通过设立该罪名及相应的条文，圈定刑法的打击范围，明确刑罚的处罚方式和程度，准确地惩治数据处理者严重危害我国国家安全和妨害国家对数据的管理秩序的非法数据跨境传输行为，避免将一些情节轻微或者对国家安全和国家对数据管理秩序无害的行为纳入打击范围，使得司法机关的裁判更加规范，有利于保护法益。

5. 合乎协调性原则。协调性原则是指刑法规范的协调统一。这既包括法条内部的协调，也包括刑法与其他法律之间的协调。刑罚是靠国家强制力保障执行的，具有国家意志的权威。刑罚要具有权威就要协调统一，否则就会使司法机关在适用法律时陷入困境，违背正义。增设“非法数据跨境传输罪”，要合乎协调性原则，保持刑法各个法条之间的一致性，一些其他法条已经规制的犯罪情形，无须规制在“非法数据跨境传输罪”之中，否则不但重复立法，还可能导致处罚不公平。法律体系同样也是个协调的整体，在刑法中增设“非法数据跨境传输罪”同样不能与其他合理规定相矛盾，对此不必赘述。

四、“非法数据跨境传输罪”的竞合处罚与限制

（一）“非法数据跨境传输罪”与其他罪的竞合处罚

非法数据跨境传输罪的设立只是填补该方面的刑罚空白，由于非法数据跨境传输行为涉及面较广，部分非法数据跨境传输的行为可能在构成本罪的同时还触犯其他罪名，因此明确该罪与其他犯罪竞合情形的处理非常有必要。

对于犯罪竞合的处罚方式，学界存在“择一重罪处罚说”和“数罪并罚说”两种观点。“我国刑法学界一般认为，对想象竞合犯实行从一重处断的原则。”2“数罪并罚说”认为对想象竞合犯应当实行数罪并罚。3笔者支持通说的观点。想象竞合具有独特的理论结构，行为人只实施了自然意义上的单个事实行为，虽然这单个行为“却是复数意义上的刑法上有意义的行为，具有复数的构成要件该当性和复数的‘罪实”1，但是是基于一行为一罪、禁止重复评价或只有一个犯意的原理，我们认为，想象竞合一般应当择一重处，这是恰当的。2举个例子，将100万条敏感个人信息传输到境外。对于数据处理者来说自然意义上的事实行为只有一个：将海量的敏感个人信息传输到境外。但是，该行为既符合“侵害公民个人信息罪”的构成要件该当性和罪实，又符合“非法数据跨境传输罪”构成要件该当性和罪实，因此“刑法上有意义的行为”有两个。由于我国刑法禁止重复评价，因此对数据处理者的行为选取“非法数据跨境传输罪”或“侵害公民个人信息罪”进行刑法评价即可。同理，非法数据跨境传输的行为在构成本罪的同时又符合其他罪名的构成要件的，在两种罪名之间选取处罚较重的罪名制裁行为人即可。

（二）非法数据跨境传输罪的适用限制

数据的跨境传输是一种新兴科学技术的开发与利用，我国宪法第20条表明了国家支持科学技术的发展，第47条规定了国家鼓励公民从事科学技术方面的创造性工作。对于数据处理者而言，数据的跨境传输是一项法律规定的权利，刑法不能将行使权利的行为认定为犯罪。3这意味着，立法机关必须慎重考虑设立“非法数据跨境传输罪”的立法目的，既要防止数据的非法跨境传输而严重威胁国家、社会以及个人利益。另一方面，也要充分考虑数据安全中其他相关主体的利益诉求，保障数据处理者行使正当数据处理活动的权利，促进数据有序自由地跨境传输，进而促进科学技术的进步。刑法并不是保护数据管理秩序和国家安全的唯一恰当手段，司法机关要秉持刑法的谦抑性，只有到其他制裁手段都难以发挥效果才能考虑刑法的行使，不可以把刑法作为大众教育的手段。面对非法数据跨境传输行为可能带来的社会风险，我们要充分发挥行政制裁的惩治功能，将危害性较为轻微的非法跨境传输行为交由行政机关予以行政处罚，“非法数据跨境传输罪”只能制裁危害国家安全或妨害国家对数据管理秩序的行为。当然，对于非法数据跨境传输的规制，制裁也并非唯一有效的手段，规范和引导亦是必要的举措。规范对数据跨境传输的限制，营造优良的数据跨境流通环境，不给处于正常交易中的主体权益造成损害，在维护数据管理秩序和保护国家安全的基础上最大程度地促进数据的流通与利用。

五、增设“非法数据跨境传输罪”的意义

（一）突破了现有附属刑法规制范式的局限性

增设“非法数据跨境传输罪”是采取刑法典规制范式对非法数据跨境传输犯罪行为予以刑事制裁，填补了刑法典的空缺，突破了附属刑法规制范围的局限性，升华了惩治非法数据跨境传输的立法目的。

首先是填补刑法典在数据跨境传输犯罪方面的空缺。随着《网络安全法》《电子商务法》《数据安全法》《个人信息保护法》的相继出台，其中附属刑法条文的规定为刑法进入数据犯罪领域提供了法律依据。然而这些附属刑法规定过于笼统简略，哪些行为应当予以刑事制裁、以什么罪名和何种程度的刑罚予以制裁，刑法典没有明确的规定，影响司法工作人员的裁断，容易导致“宽严不济”，甚至会出现“同罪不同罚”的现象。在刑法典中增设“非法数据跨境传输罪”，能够填补刑法典在数据跨境传输犯罪方面的法律空缺，有利于司法工作人员公正裁决非法数据跨境传输的犯罪行为。其次，突破了附属刑法规制范围的局限性。《网络安全法》《电子商务法》《个人信息保护法》《数据安全法》等法律中的附属刑法有着各自的触发条件，互不适用，当行为人非法跨境传输的是特定对象时才能适用对应的法律。增设“非法数据跨境传输罪”，在刑法典中设置专门的条文，打破附属刑法只能适用发生在本法律领域的犯罪行为，统一适用所有的非法数据跨境传输的犯罪行为。既避免司法实践中出现同样是非法数据跨境传输犯罪行为，却适用不同的法律规范，导致不同的判决结果发生的情形；又可以避免一些犯罪对象的特殊性、新型性导致尚无附属刑法规定而“漏罚”的情形发生。 最后，升华了惩治非法数据跨境传输犯罪行为的立法目的。采取附属刑法规制范式打击非法数据跨境传输行为的立法目的是保护各法律领域内的法益。例如，《数据安全法》保护的是核心数据和重要数据的安全，《个人信息保护法》保护的是公民个人信息权益。采取刑法典规制范式，整合了重要数据、个人信息等关键数据为犯罪对象，归纳出这些犯罪对象背后所反映的国家对数据的管理秩序和国家安全。增设“非法数据跨境传输罪”，打击所有的非法数据跨境传输犯罪行为，保护的不再是重要数据安全、个人信息的权益单方面的法益，而是保护这些单方面权益集合后所反映的数据管理秩序和国家安全。

（二）为数据犯罪的刑事立法树立标杆

数据时代，涉及数据的犯罪数量有增无减，方式多种多样，非法数据跨境传输行为只是其中的一种典型。对于涉及数据的其他犯罪行为势必还会采取相应的立法措施。增设“非法数据跨境传输罪”，以刑法典规制范式打击非法数据跨境犯罪行为，对数据领域内的刑事立法起到了“模范带头”作用，为今后涉及数据的其他犯罪的立法在范式选择上树立了典范。采取附属刑法立法模式规制范围相对狭窄，不具备整体性和普遍适用性，不利于有效惩治各种数据犯罪行为。只有采取刑法典的立法模式，在刑法典中设立能普遍适用的条文，统一处罚标准，才能从整体上有效打击数据犯罪行为。

（三）奠定数据基础制度的“中国方案”

增设“非法数据跨境传输罪”的另一层意义是确立我国数据基础制度针对非法跨境数据传输领域的刑法方案。以数据跨境传输为核心的全球数字规则博弈愈发激烈，数据跨境传输规则已成为各国争夺数字资源的优势和维护国家安全的主要手段。各个国家基于本国的数据发展现状纷纷制定自己的数据跨境传输理念主张和法律规则，并对外不断传输这些理念和规则。美国和欧盟在这方面明显占上风，我国与之相比明显处于被动状态。我国亟需探索和完善数据跨境传输的中国方案，积极参与数据国际治理，以更为完善的数据跨境传输规则打破欧美垄断格局，争取更大的数据跨境传输规则话语权。 数据传输安全是数据跨境传输的关键，以明确的刑事制裁措施保护数据跨境传输的安全、有序无疑是最严厉、最旗帜鲜明的手段。在刑法典中增设“非法数据跨境传输罪”，以刑法典规制范式规制非法数据跨境传输的犯罪行为，最大程度发挥刑罚的功能，保障数据跨境传输的安全和有序。增设“非法数据跨境传输罪”，彰显了我国对数据跨境传输安全的重视和打击此类犯罪的决心。“非法数据跨境传输罪”不同于美国的侵犯隐私权类犯罪，也不同于欧盟的“数据人权”类犯罪，“非法数据跨境传输罪”是具有中国特色的、针对数据跨境传输犯罪设立的罪名，这个罪名着眼于行为本身，对于数据非法跨境传输的犯罪行为更具有直接性和针对性。非法数据跨境传输所侵害的数据管理秩序和国家安全更能体现数据跨境流动中的国家主导地位和国家对数据安全的保障作用，这是欧美数据跨境传输规则所不能比拟的。增设“非法数据跨境传输罪”，有助于健全数据跨境传输规则的“中国方案”。增设“非法数据跨境传输罪”开辟了数据基础制度研究的新领域。当前学者们对我国数据跨境传输的理论研究较为丰富，但主要集中在现有的数据跨境传输规则与其他国家、国际组织的规则之差异性比較、域外数据跨境传输规则对我国的影响，以及我国数据跨境传输规则的完善等方面，对数据跨境传输犯罪研究较少，为数不多的涉及这方面的文献多半聚焦有关数据犯罪管辖权、证据数据司法取证等刑事程序法方面，对于数据非法跨境传输的刑事实体法领域鲜有研究。增设“非法数据跨境传输罪”，为学者们抛砖引玉，有助于完善数据跨境传输犯罪实体法方面的理论研究，最终完善我国数据法的理论研究。

结 语

在大数据时代，关键数据资源的争夺必定是各国之间的角力重点，非法数据跨境传输行为将会愈演愈烈。非法跨境传输关键数据的行为，严重侵害了国家对数据的管理秩序，危害了国家安全，刑法有必要及时地介入予以规制。当前，《网络安全法》《个人信息保护法》《数据安全法》等法律虽然对关键数据的非法跨境传输都设置了附属刑法予以规制，但这些附属刑法表述简略，规定过于狭窄，不具有整体性和普遍适用性。刑法典规制模式应该予以确立。笔者针对非法数据跨境传输的行为提出增设“非法数据跨境传输罪”的刑事立法建议以抛砖引玉。未来，对于非法数据跨境传输行为的刑事规制研究与完善亦将是学者们与立法机关的倾力之处。

［责任编辑 李宏弢］