王逍静,代光胜

(1.中共中央党校(国家行政学院) 政治和法律教研部, 北京 100091;2.北京市顺义区人民法院 牛栏山人民法庭, 北京 101300)

党的二十大报告明确提出,加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群。在国家整体安全观视域下,2021年6月,《中华人民共和国数据安全法》(以下简称《数据安全法》)问世,其中第7条(1)《数据安全法》第7条规定,“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展”。阐明了国家对数据安全与数字经济发展的基本立场,为数据安全打下坚实的法律保障基础。然而,伴随数字经济迅猛发展,数据安全问题逐渐显露。数字经济作为新兴业态,其新颖性和专业性在司法实践中对现行司法机制以及执法人员带来很大挑战,尤其是涉及数据安全案件从行政机关向公安机关移送过程中,常常出现有案不移、移送案件质量低等问题[1]。如何通过制度有效设计,顺畅行刑之间的双向衔接,精准打击数据安全领域的违法行为,是亟待解决的问题。本文以数据安全案件的移送为视角,针对上述司法实务问题提出优化证据移送转化路径、构建正向移送标准、完善反向移送机制等,以期为通过数字正义助力更高水平公平正义的实现提供借鉴。

一、现状审视:数据安全案件行刑双向衔接的程序困境

2021年6月,中共中央发布《关于加强新时代检察机关法律监督工作的意见》(2)完善检察机关与行政执法机关、公安机关、审判机关、司法行政机关执法司法信息共享、案情通报、案件移送制度,实现行政处罚与刑事处罚依法对接。对于行政执法机关不依法向公安机关移送涉嫌犯罪案件的,检察机关要依法监督。发现行政执法人员涉嫌职务违法或者职务犯罪线索的,移交监察机关处理。健全检察机关对决定不起诉的犯罪嫌疑人依法移送有关主管机关给予行政处罚、政务处分或者其他处分的制度。,提出要完善“案件移送制度”。2021年9月,最高人民检察院发布《关于推进行政执法与刑事司法衔接工作的规定》(以下简称《行刑衔接规定》),进一步为行刑案件双向衔接机制在政策方面作出统筹部署。与此同时,数据安全案件也在司法实践中频频显露。2022年7月,国家互联网信息办公室一纸文书,载明了滴滴公司面临80.26亿元罚款的行政处罚,公司董事长和总裁也分别面临100万元巨额罚款的事实(3)参见《国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定》,载于国家互联网信息办公室官网,http://www.cac.gov.cn/2022-07/21/c_1660021534306352.htm,2023年7月1日访问。。滴滴被罚作为数据信息安全领域的标志性事件,代表着数据野蛮生长时代的结束,同时也引发了关于数据安全案件行刑衔接的制度逻辑问题的激烈讨论。

(一)“由行到刑”正向移送程序不畅

1.正向移送标准不明

当下,数据安全案件“由行到刑”的正向移送过程中存在标准不明的问题。行政执法机关办案的核心诉求是快速、高效,在履职过程中倾向于适用经验主义。加之基层执法人员在知识储备上很难准确判断案件是否涉嫌刑事犯罪,无法准确把握刑事入罪的实质门槛[2],故实践中往往出现“有案不移”“移送质量不高”或“未达刑事立案标准”等问题。行政执法机关难以通过常态化制度向刑事司法机关正向移送案件,便会造成案件处理出现疏漏。实际上,行政机关的移送是公安机关刑事立案的主要来源之一,由行政执法机关在日常工作中发现并判断案件是否需要移送处理。这就意味着要求行政执法人员较为准确地把握入罪的移送标准,实现有效的正向移送[3]。在肖某非法侵入计算机信息系统案中(4)参见河南省淇县人民法院(2019)豫0622刑初3号刑事判决书。,作为辅警,肖某擅自通过其他民警的公安数字身份证书登陆交管平台处理车辆违章,鹤壁市公安局淇滨区分局交管巡防大队发现上述异常处理的电子监控交通违法案件后形成线索报告,确定肖某的行为涉嫌非法侵入计算机信息系统罪,后将线索报告移送至淇县公安局。该案中,交管巡防大队需要参考清晰明确的移送标准,才可判断案件是否构成犯罪,否则就会因涉案对象的性质、数量的争议影响案件移送。

2.证据移送转化受阻

《行政执法机关移送涉嫌犯罪案件的规定》(以下简称《行政移送规定》)第6条(5)《行政执法机关移送涉嫌犯罪案件的规定》第6条规定:“行政执法机关向公安机关移送涉嫌犯罪案件,应当附有下列材料:(一)涉嫌犯罪案件移送书;(二)涉嫌犯罪案件情况的调查报告;(三)涉案物品清单;(四)有关检验报告或者鉴定结论;(五)其他有关涉嫌犯罪的材料。”规定,对于涉嫌犯罪案件,行政执法机关应当将案涉材料移送至公安机关。可以看出,证据是案件移送的最重要部分。证据移送在数据安全行刑衔接领域表现出的突出问题主要分为以下3个方面。

(1)证据移送转化范围不明。在行刑衔接语境下,刑事案件由行政机关移送而来,但整个诉讼流程均处于刑事诉讼法的规制之下,因而行刑衔接应属于刑事诉讼法的程序范畴。《刑事诉讼法》及相关法律规定(6)《刑事诉讼法》第54条规定:“行政执法机关在行政执法和查办案件过程中收集的物证、书证、视听资料、电子数据等证据材料,在刑事诉讼中可以作为证据使用。”《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》第75条规定了 “物证、书证、视听资料、电子数据等证据材料”可以转化,也未框定出 “等证据材料” 的明确范围。《人民检察院刑事诉讼规则》第64条将 “等证据材料”扩充为鉴定意见、勘验、检查笔录,并规定这3种证据可以在人民检察院审查符合法定要求后转化使用。《公安机关办理刑事案件程序规定》进一步增加了检验报告。,在刑事诉讼中,可以将行政机关履行职责过程中收集、提取的证据材料用作证据,前提是必须经过认定。换言之,行刑衔接案件中行政证据具备刑事证据之效力,但因证据审查的限制,能否作为最后的定案证据仍需进一步认定。然而,在移送范围上,相关规范不约而同地都使用了“等证据材料”的表述。关于“等”的范围,“等内”还是“等外”,学术界有不同看法,大致分为3种:一是“等内”理解,即仅限于物证、书证、视听资料和电子数据这4类证据;二是“等外”理解,即除此4类证据外,还包括与之性质相同的其他实物证据;三是扩大的“等外”理解,即不仅限于实物证据,还包括其他同质的言辞证据[4]。有学者直接表明支持第二种观点[5]。这种争论也被称之为最狭义说、狭义说以及广义说,其中狭义说较占上风[6]。即此处的“等证据”应当作扩大解释,包含同等特质的其他书证、物证[7],且公安机关《程序规定》和检察院《诉讼规则》中有关行政证据的规定突破了这四类证据种类。

(2)行政机关取证困难。根据《行政诉讼法》第33条(7)《行政诉讼法》第33条规定:“证据包括:(一)书证;(二)物证;(三)视听资料;(四)电子数据;(五)证人证言;(六)当事人的陈述;(七)鉴定意见;(八)勘验笔录、现场笔录。以上证据经法庭审查属实,才能作为认定案件事实的根据。”的规定,行政执法机关可以提取的证据包括书证、物证、视听资料等。证据的数量和种类繁多,特别是在新时代,数据安全领域往往涉及大量电子数据,这增加了行政机关取证的难度。一方面,目前行政法领域并未对电子数据取证问题作出新的规定。在行刑衔接的语境下,这导致行政机关在进行电子证据取证时只能参照刑事领域相关规范。另一方面,即使在电子数据规定比较详细的刑事领域,也存在取证困难和证据范围界定不明的问题。在刑事案件办理过程中,电子数据的取证方式“包括但不限于”收集、检验、鉴定等(8)《公安机关办理刑事案件电子数据取证规则》第3条规定,“电子数据取证包括但不限于:(一)收集、提取电子数据;(二)电子数据检查和侦查实验;(三)电子数据检验与鉴定”。;电子数据的范围“包括但不限于”社交平台所发布的或用户注册的信息、计算机电子程序等(9)最高人民法院、最高人民检察院、公安部印发《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》的通知第1条规定,“电子数据是案件发生过程中形成的,以数字化形式存储、处理、传输的,能够证明案件事实的数据。电子数据包括但不限于下列信息、电子文件:(一)网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息;(二)手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息;(三)用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息;(四)文档、图片、音视频、数字证书、计算机程序等电子文件”。。行政立法的电子数据规则缺失以及两个“包括但不限于”使行政机关在执法和办理案件过程中陷入无序的困境。

(3)证据移送过程中易受污染。数据安全领域违法行为会涉及大量电子数据,而相较其他证据类型,电子证据发展起步较晚。电子数据依赖于信息技术而存在,其特有的“高科技性、高依赖性、变动无轨迹性和易篡改性脆弱性”等特征[8]为证据移送带来难题。与传统证据不同,电子数据的隐蔽性较强,尤其是针对计算机程序“看不见摸不着”的状态,很容易被篡改;电子数据流通不顺畅,极易导致行政机关和刑事司法机关之间形成“数据孤岛”[9]。因此,在对电子数据提取、保存和移送等一系列过程中都要通过合理的制度或程序保证其真实性与稳固性。

(二)“由刑到行”反向移送制度缺失

在当前的行刑衔接过程中,理论及司法实践关注点都在于“从行到刑”的正向移送,对“从刑到行”反向移送的制度设计和实践运行均有所忽视。2011年2月,中共中央办公厅、国务院办公厅转发的《关于加强行政执法与刑事司法衔接工作的意见》(中办发〔2011〕8号),在第5条(10)《关于加强行政执法与刑事司法衔接工作的意见》第5条规定,“人民检察院对作出不起诉决定的案件、人民法院对作出无罪判决或者免予刑事处罚的案件,认为依法应当给予行政处罚的,应当提出检察建议或者司法建议,移送有关行政执法机关处理”。对案件反向移送作出统筹规定。《行政移送规定》第8条(11)《行政移送规定》第8条规定,“公安机关认为有犯罪事实,需要追究刑事责任,依法决定立案的,应当书面通知移送案件的行政执法机关;认为没有犯罪事实,或者犯罪事实显著轻微,不需要追究刑事责任,依法不予立案的,应当说明理由,并书面通知移送案件的行政执法机关,相应退回案卷材料”。和第10条(12)《行政移送规定》第10条规定,“行政执法机关对公安机关决定不予立案的案件,应当依法作出处理;其中,依照有关法律、法规或者规章的规定应当给予行政处罚的,应当依法实施行政处罚”。分别规定公安机关对行政机关移送的案件不予立案的应当退回,行政机关应当依法处理。然而,对于如何判断是否应当移送及移送程序是否正当等具体规则,法律没有明确规定。由于数据安全领域缺乏专门的行刑衔接规范,以及司法刑事机关与行政执法机关对刑事违法犯罪的重视不对等传统观念上的因素,办案人员往往倾向于在查明违法行为不需要受到刑事追究后,直接释放涉案人员,而不会考虑是否因需要追究行政责任而移送有关行政机关[10]。以侵犯公民个人信息罪为例,从中国裁判文书网公开网查询可知,2019—2022年全国法院受理此类案件12 153件,案件量由2019年的4 219件降为2022年768件。

图1 2019—2022年全国法院受理案件分布

经查阅裁判文书可知,案件受理量下降的部分原因是裁判标准不清,此类案件往往会转为其他罪名案件。概言之,数据安全在立法上并没有被作为一种单独的法益受到刑法保护,司法实践中常通过数据安全内涵的实质性法益来断定罪名[4]。例如,当行为人私自提取、滥用平台用户的注册身份信息时,司法机关常常会将其认定为侵犯公民人身信息罪;当行为人通过入侵、篡改或毁坏计算机系统以获得财产利益时,司法机关则倾向于将其认定为计算机信息系统类犯罪,这就造成了数据安全相关犯罪罪名适用无法统一的问题。余某侵犯公民个人信息案(13)参见浙江省杭州市余杭区人民法院(2017)浙0110刑初737号刑事判决书。中,被告人余某违反公司规定,运用技术手段擅自编写可以自动爬取并保存数据的脚本,秘密爬取、保存大量的员工个人信息,法院认定其构成侵犯公民个人信息罪。刘某、夏某等提供侵入、非法控制计算机信息系统程序、工具案(14)参见上海市青浦区人民法院(2020)沪0118刑初1292号刑事判决书。中,被告人刘某违反国家规定,通过爬虫软件不正当获取计算机信息系统中储存和处理的数据,情节特别严重,法院认定其构成非法获取计算机信息系统数据罪。同样是利用爬虫技术获取公司保密系统中存取的信息,两案认定为了不同的犯罪类型。不同类型犯罪的入罪标准及量刑情节不同,具体办案人员可能因不同理解与思维倾向,对那些因“显著轻微”而不需要追究刑事责任或不构成犯罪的,但“违反、可能违反”行政法规范的情形作出不同判断,致使其在面对同一类型案件是否符合反向移送标准时作出不一致的决策。最高人民检察院于2021年10月11日印发《关于推进行政执法与刑事司法衔接工作的规定》,强调检察机关应当与其他各部门协调配合,注意是否存在当移不移等情形,及时发出检察建议,其他部门则可以进行举报。然而,上述案件在实践中并未受到有效的监督或举报,行刑衔接的反向移送也就流于表面。质言之,行刑衔接反向移送的缺失,从制度上看,一方面是因为数据安全存在罪名适用不一致的问题,另一方面是对行刑衔接反向移送的缺少足够动力与有效监督。只有从这两方面补足短板,才能使反向移送在法制轨道内运行。

二、理性思辨:构建数据安全案件行刑衔接机制的必要性证成

(一)“以罚代刑”危及数据安全

“以罚代刑”是指当某种行政违法行为已经触犯刑法,本应当移交给刑事司法机关通过刑事诉讼程序处理,却由行政执法机关施加行政处罚以代替追究刑事法律责任的情况。概言之,“以罚代刑”是因行政机关没有按规定移送案件,导致对本该构成刑事犯罪的行为,最终通过行政责任代替了刑事责任[11],它是行刑衔接程序中出现最多的问题。为了遏制这种现象,国家出台了一系列法律法规以及司法解释规定行刑衔接应当遵守的程序强调其必要性,如《行政处罚法》第8条第2款明确规定:“违法行为构成犯罪,应当依法追究刑事责任的,不得以行政处罚代替刑事处罚。”

大数据在人类生活中的应用和发展,不仅仅带来了便利,同时也对个人信息保护、市场秩序、网络安全、国家安全等带来挑战,违法案件随之逐渐增多。2019年至2022年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息犯罪嫌疑人1.3万余人,提起公诉2.8万余人(15)《最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例 推动形成个人信息保护多元共治新格局》,载于最高人民检察院官网,https://www.spp.gov.cn/spp/xwfbh/wsfbt/202212/t20221207_594915.shtml#1,2023年6月3日访问。。以侵犯公民个人信息罪为例,从中国裁判文书网公开网查询可知,2018—2023年全国法院受理此类案件14 045件,其中10万元以上标的额的案件占比48.69%,100万元以上标的额的案件占比10.53%,可知该类犯罪涉及标的往往较大(见图2)。

图2 2018—2023年全国法院受理案件分布

数据安全领域出现“以罚代刑”“有案不移”现象,是数据执法过程中出现的“执法不严”问题的体现。若不尽快进行制止与规制,无法有效打击数据安全违法行为,必然会导致类似案件频发,不仅会危害数据安全,也会削减刑事法律威慑力。就行政处罚与刑事处罚本身而言,虽然同为“罚”,但二者的惩罚具有不同的表现。这也决定了在当前法律制度下,行政处罚与刑事处罚的本质区别,二者无法相互替代,应当严格区分[12]。因此,在数据安全领域,行为人触犯行政法和刑罚的犯罪成本有很大不同,将本该进行刑事处罚的案件通过给予行政处罚代替,难免会造成数据违法犯罪行为的猖獗。无论刑法规定得多么严厉,无法适用到具体案件中,依然不可能达到警示作用。当刑法变成了“纸面上的法”之后,刑法权威和威慑力自然会大大降低[13]。甚至,有的涉数据安全犯罪嫌疑人会提前计算好犯罪成本,为了追逐更大的获利而采取“明知故犯”的行为,也即很多人所说的“交了罚款继续干”。久而久之,不仅刑事处罚无法发挥作用,行政处罚规定也变成了“形式”条款,数据安全受到巨大威胁,法治秩序遭到破坏。

(二)“以刑代罚”限制数据发展

当一行为既违反行政法规范,又触犯刑法时,依照法律规定既要受到行政处罚又要追究刑事责任,此时就不可避免地产生了行刑衔接问题。行为人能否同时受到行政和刑事处罚的追究呢?对此,理论界有替代主义、并合执行、免除代替三种观点(16)一是替代主义,认为对同一违法行为,只能在行政处罚与刑罚中选择一种,不能并施;二是并合适用,即对同一违法行为既可适用刑法又可适用行政处罚法;三是免除代替,附条件的并科执行。。本文采取并合执行的观点,作为行政处罚适用的原则,“一事不再理”“重罚吸收轻罚”针对的法律责任均为同一法律性质,而刑事责任和行政责任无论是在形式还是功能上都有所差异,故二者的并合适用可以弥补不足,使违法犯罪行为得到更好的治理。在司法实践中,某一行为同时违反刑法与行政处罚法,承担法律责任的方式有两种,一是在定罪免刑时仅适用行政处罚,二是行政处罚和刑罚合并适用[14]。“以刑代罚”就是大多在这两种情况下发生的,具体来说包括“只刑不罚”和“既无刑又不罚”两种现象。

“只刑不罚”是指应当同时受到行政处罚和刑事处罚的违法行为,最终只追究了刑事责任,行政责任被忽略的情况。就刑事处罚而言,行政处罚具有弥补作用,在某些行政犯罪案件中,被告人不但要承担刑事责任,也无法免除行政处罚[15]。例如,在数据安全领域,违反数据安全法危害国家主权等构成犯罪的,除了应当依法追究刑事责任之外,还要根据情况承担责令停业、吊销业务许可证等行政责任(17)《数据安全法》第45条第2款规定,“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任”。。但在司法实践中,一些案件在经过刑事司法机关处理之后,却往往忽略还需受到行政处罚的情况,不会再移送回行政机关,行政机关也因各种原因不会主动调查。“既无刑又不罚”则是指应当承担相应责任的行政违法犯罪行为,既没有受到刑事追究,又没有承担行政责任。通常发生在行政机关发现违法现象可能涉及犯罪,依法移送至公安机关,后经调查,因行为不构成犯罪或证据不足等情况未追究刑事责任(包括不起诉、撤回案件、宣告无罪等),刑事司法机关本应移送回行政机关处置而未移送,导致案件不了了之。

除此之外,另一种更加直白的“以刑代罚”现象也应得到警惕,即对于一些仅需要追究行政责任的案件,因为法律过于严格的规定或者适用罪名不统一、证据移送等方面的问题,导致其最终受到更加严厉的刑事追究。近年来,我国接连出现数起大型的数据安全违法案件,国家网信办对“滴滴出行”“BOSS直聘”“运满满”“货车帮”几大网络平台进行安全审查。上述几家企业有一个共同点,即掌握了大量用户信息及该领域内80%以上的深度数据,且经营业务和关键信息基础设施相关。因此,面对数据相关技术和企业飞速发展带来的社会关系变革与法律风险,我国接连制定相关法律规范,严厉打击数据安全领域违法犯罪行为[16]。然而,面对数字经济这一新兴业态的发展,能否一味地通过施加严格的法律责任来防范可能发生的风险呢?答案是否定的。数据作为数字经济的载体,在促进数字经济健康发展中具有重要地位[17]。网约车、网络直播平台等新兴业态的发展不仅为我国国内经济带来巨大发展,数据技术在通信、交通、教育、军事等领域的应用,也极大提高了我国在国际上的发言权和竞争力。针对新业态的发展,不能因为对其可能带来的法律风险和危害性的未知恐惧,就一味地采取严格限制、严厉打击的方法,而应当在发展过程中不断调和,在各种利益之间不断进行博弈,最终达到实质上的平衡[18]。在对数据产业风险保持敬畏的同时,联合使用激励和制约多种手段促进其创新和发展。2023年3月7日,最高人民法院工作报告中不仅明确数据权利司法保护规则,提出对滥用数据、算法等进行不正当竞争的行为予以惩处,遏制“大数据杀熟”等非法逐利的行为,同时也强调规范网络直播平台带货等新业态模式,以保护创新经营[19]。

总而言之,数据技术发展中风险和收益并存,针对数据安全领域的违法犯罪行为,既不能“以罚代刑”使数据安全遭到破坏,也不能“以刑代罚”损害数据产业的发展。在数据安全领域的行刑衔接机制构建中,尤其是针对企业数据市场行为,一定要避免走极端,既不能盲目地认为其应该遵循市场的内生需求进而要求最小限度的监管与处罚,又不能将其视为洪水猛兽,采取极度严厉的刑事措施。

三、正向移送:以移送标准与证据转化为双线顺畅行刑衔接程序

根据“刑事先理”原则,行政机关履职过程中应当及时主动将其发现的涉嫌违法案件移交至相应的刑事司法机关。数据犯罪的刑法规制主要适用我国刑法关于计算机系统罪、信息网络类以及侵犯公民个人信息类犯罪等,不同种类犯罪所保护的法益也不同。这些案件本身一般都具有行政违法性,行政机关享有首次判断该违法行为是否涉嫌犯罪的权利,必须充分考虑对犯罪构成要件的实质解读[20]。只有以构成要件为核心制定移送标准、优化证据移送转化流程,行刑双向衔接中的行政执法机关和刑事司法机关才会在案件移送上达成观念一致,实现对数据犯罪的全链条、体系性打击。

(一)以构成要件为核心构建正向移送标准

1.基于行为要件构建正向移送标准

以拒不履行信息网络安全管理义务罪为例,它保护的法益是政府监管网络服务提供者形成的良好秩序。此种情形下,网络服务提供者负有规制数据行为的积极义务,若违反该义务,政府职能部门责令整改;拒不整改,造成严重后果的,构成犯罪。从上述定罪结构可以看出,涉嫌犯罪的网络服务提供者未履行的义务是双重的,一是法律设定的一般的遵守相关数据行为的义务,二是监管部门发现其违法上述一般义务而专门设定的整改义务。该罪的立法结构体现了另一种治理犯罪思路,即通过为某领域内扮演关键角色的主体(网络平台)设定积极的防范风险义务,构建“规制—违反规制—制裁”的安全治理目标实现路径[21]。而囿于数据安全案件知识储备与实践经历,基层行政执法人员在工作中往往无法准确判断数据安全案件的违法性。基于行为要件构建行刑双向衔接移送标准,他们则能较为清晰地判断刑法保护的法益在何种条件和何种具体行为下受到了侵犯。基于行为要件来构建行刑双向衔接的案件移送标准,需要参考数据安全法和刑法中有关行为模式的规定,通过对数据犯罪行为的解读来明晰详细标准。在数据安全领域的行刑案件中,行政执法机关居于高度敏感的地位,必须对案件是否涉嫌犯罪进行快速分析,而当事人的行为则是简洁准确高效的判断标准之一[22]。例如,侵犯公民个人信息罪的行为要件包括,向他人出售、提供公民个人信息,情节严重或特别严重的。有关立案标准的具体规定需参照相关司法解释中关于4种(18)参见2017年3月最高人民法院和最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)第3条、第4条、第5条。行为类型的不同规定。同时,行政执法机关办理数据安全违法案件时,需参照《数据安全法》第32条(19)《数据安全法》第32条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据”。,审查数据的取得方式是否“合法、正当”,进而决定该行为是否违法。相较于司法解释,数据安全法关于违法行为的设定范围较宽。行政执法机关在移送侵犯个人信息类案件时,应基于上述两部法律对应的实行行为模式进行判断,难以准确作出判断的案件时参考兜底条款的规定。

2.基于罪量要素构建正向移送标准

各国刑法关于犯罪成立的条件规定有所不同。大陆法系国家通行的做法是 “立法定性,司法定量”[23]。这种方法侧重行为的质,而不涉及行为的量。我国则不同于其他大陆法系国家,采取了“立法定性+定量”模式[24]。换言之,一行为既具有刑法规定的社会危害性,又满足了刑法对该危害性程度的要求,才构成犯罪,此即犯罪构成的质与量,法官在审理案件时必须对量作出评价。在数据犯罪中,“罪量要素”就是典型的上述有关量的评价要素,需要基于涉案数额等进行整体考察。《行政移送规定》第3条(20)《行政移送规定》第3条规定,“行政执法机关在依法查处违法行为过程中,发现违法事实涉及的金额、违法事实的情节、违法事实造成的后果等……涉嫌构成犯罪,依法需要追究刑事责任的,必须依照本规定向公安机关移送”。规定的行政机关应当移送的案件标准中就包括“违法事实涉及的金额”,强调行政执法机关在判断是否应当移送时要把握罪量要件。以危害计算机信息系统安全刑事案件为例,司法解释(21)《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机信息解释》)。将罪量要件主要分为3个方面:一是获取信息数量;二是非法控制计算机信息系统的台数;三是违法所得或造成的损失数额。上述3个数额标准中只要有一个达标,该案就应由行政机关及时移送至刑事司法机关,达成两者间的双向协调一致。就具体数量标准的选取而言,需要进一步参考《数据安全法》及相关司法解释的规定。如《计算机信息解释》第1条规定,获取网络金融服务“十组以上”的身份认证信息,或“五百组以上”的其他身份认证信息,属于《刑法》第285条的“情节严重”。据此,有关计算机信息系统相关犯罪所获取信息数量的把握,应以该司法解释为准,在保持刑法谦抑性的同时避免遗漏处罚。譬如上文提到的肖某明案中,被告人肖某明擅自使用同事的数字身份证书,为他人处理违章信息1 000余条,故因涉嫌犯罪被移送至刑事司法机关。这与《计算机信息解释》中严厉打击危害计算机信息系统安全的整体趋势保持一致,强化了对信息的监管,体现了对数据犯罪的严厉打击。数据安全深刻影响公众的日常生活,采用受伤害人数作为移送标准能够有效保护公民的人身权利,优化《刑法》与《数据安全法》的法律衔接,确保行刑双向衔接机制有序运转。

(二)制定专门规范明确证据移送范围

为了更好地规范不同领域行政执法与刑事司法的衔接,各部门纷纷联合或单独出台规范性文件。现行有效的部门规章有9部,涵盖食品安全、药品安全、质量检验、工商价格、安全生产、环境保护、农业生产等领域。与刑事诉讼法以及相关司法解释相比较,部门规章在对证据的移送范围上界定得更加清楚,并且根据专业领域的不同体现不同特点。例如,《环境保护行政执法与刑事司法衔接工作办法》在第6条将“监测报告、认定意见”纳入应当移送的材料范围;第20条则规定了所移送材料是否能够转化适用为证据及转化的方法。《食品药品行政执法与刑事司法衔接工作办法》第18条(22)《食品药品行政执法与刑事司法衔接工作办法》第18条规定,“食品药品监管部门在行政执法和查办案件过程中依法收集的物证、书证、视听资料、电子数据、检验报告、鉴定意见、勘验笔录、检查笔录等证据材料,经公安机关、人民检察院审查,人民法院庭审质证确认,可以作为证据使用”。规定的可以转化为适用的证据材料除“监测报告”外,还不包括“认定意见”。由此可知,上述行刑衔接专门规范中有关移送材料以及可以转化适用的范围都包括“物证、书证、视听资料、电子数据”,并根据本领域特征,将“等相关证据”范围扩大为不同的证据类型。大部分包括“鉴定意见、勘验笔录、检查笔录”与“检验报告”,而有关监测报告和认定意见的意见认定则不统一。因此,为了进一步明确有关数据安全违法案件在行政机关与司法机关之间的衔接,可以由数据安全监管部门会同公安部、最高人民检察院共同制定规章,即《数据安全行政执法与刑事司法衔接工作办法》。

1.扩大证据移送范围

在对数据安全案件移送相关证据范围的界定中,在案件资料有价值的前提下,应当尽量扩大移送的范围。除了《行政与刑事司法衔接》规定的“物证、书证、视听资料、电子数据”,以现行的部门规范性文件为参照,还应该将鉴定意见、勘验笔录、检查笔录、检验报告以及认定意见包括在内。我国刑事诉讼程序还未明确界定认定意见是否能够作为证据类型以及相对的质证规则,导致在司法实践和立法上均出现乱象。认定意见的制定主体往往是行政机关内的专家制作的,对象常涉及比较专业的定性、定量问题,实质上与上述食品安全领域出现的最新证据类型有异曲同工之妙。也有学者认为,在刑事司法中,行政认定符合证据的法律属性,并且属于鉴定意见[25]。数据安全作为高度依赖于专业技术的领域,专门监管办案过程中基于掌握的第一手信息,依赖专业知识作出的认定意见对刑事司法机关有很强的参考性,且食品安全领域已经将此类专家意见增加为新的证据类型(23)2021年12月,《最高人民法院、最高人民检察院关于办理危害食品安全刑事案件适用法律若干问题的解释》将有关行政部门关于“有毒有害”等专门性问题出具的书面意见增加为一种全新的证据类型。。故无论从可参考性抑或司法实践角度看,认定意见都应当纳入证据移送的范围,但对其转化适用为证据的要求应当相对严格。

2.明确证据移送类型

制定过程中不仅要明确移送案件时应当包括的材料,还要对可用作刑事诉讼证据的类型予以明确。但是在具体应当“如何”转化上可以有所区别。例如,针对鉴定意见、勘验笔录、检查笔录,其本身就是行政机关对案件的调查、记录或说明,应属于事实认定的部分,不会因行政和刑事的不同思维特征有所区别,自然应当纳入证据移送和可以转化适用的范围。在检验报告的适用过程中,应当明确出具检验报告的机关具有相应的合法的资质,并经“公安机关、人民检察院审查,人民法院庭审质证确认”后,可以用作证据。

(三)优化电子数据提取与存储规则

1.确立行政电子数据提取规则

在数据安全案件行刑衔接过程中,行政机关进行证据提取是最初也最重要的环节。因为在执法办案过程中,行政机关能够第一时间接触、提取并固定下证据。尤其是电子数据,其提取往往要依赖专门技术,网信办作为具有专门技术知识的职能部门,相较公安机关工作人员来说更具有提取计算机程序、用户信息等电子数据的技术和技能。并且,若没有在第一时间提取到证据,待行政机关将案件移交给公安机关,再由公安机关来调取证据可能会因时间差给案件相关人员破坏、消灭证据的机会。甚至基于电子数据本身的技术特性,证据也可能在提取过程中由于技术人员的操作不当受到破坏。故在行政诉讼法及其相关法律中确定电子数据提取规则,才能确保行政机关遵守规定所提取的电子数据,在刑事诉讼中有成为证据的资格。在行政机关提取电子数据的具体规则设计上,重点应当包括收集电子数据的种类、提取人员、提取程序等。在收集对象方面,要注意将“包括但不限于”的范围尽量厘清,征求职能部门、专家学者、企业等人员的意见,并随着大数据的发展以及实践中数据安全案件的趋势及时确定、调整电子数据范围;在执法主体方面,应与其他证据提取规则保持一致,即限定为两名或以上,并安排有专业技术人员辅助;在收集程序方面,除制定技术规则之外,还要规范提取附属数据信息并严格落实制作现场笔录,以辅证记载于电子数据上的信息的真实性;在其他方面也要注意应当有数据持有人或见证人在场、现场笔录等要有双方签章等。应当注意的是,由于电子数据所记载的信息大部分无法直接看见,因此在电子数据提取规则的制定中尤其要注意记录留痕,形成完整的链条使电子数据的提取和存储具有可追溯性,从物理层面增强电子数据的可视性和真实性。

通过明确行政机关电子数据规则和具体的提取标准和程序,在制度层面为行政机关在数据安全领域的有关电子数据的提取的立法依据,统一行政与刑事法律规定标准的统一性,避免公安机关再次陷入“快播案”的困境,即行政机关提取的电子数据被认定,但因取证程序不满足要求可能无法达到司法证据要求的证明力度;若被否定,电子数据所记载的重要证据将会缺失,因电子数据的不可重复收集性而导致刑事司法机关无法认定该案的案件事实。

2.建立电子数据信息共享平台

在数据安全相关刑事案件中,涉案电子数据的突出特点是容易受到污染、不易保存。数据安全领域违法案件行刑移送过程中,首先要保证行政机关提取电子数据得到妥善保管,在移送过程中不受破坏和其他污染,并辅之以配套的制度保证电子数据的真实性。虽然相较传统数据而言,电子数据因其内部运行的二进制结构不易被大众理解和直观感受,导致篡改具有隐蔽性和技术性,但也正因为数字、程序运行的准确性,使电子数据在未受到外部、人为因素改变其运行环境的情况下,不易发生改变,由此具有了真实性。并且,电子数据具有很强的可复制性和流转性,复制或流转之后的电子数据依然代表之前的数据,故从真实性上看,电子数据没有原件和复制件之分,可以通过“传递转换过程中的完整性和可靠性”来确认和保障电子数据的真实性[26]。为了减少这种保存和传递过程,可以依赖第三方开发电子数据共享平台。行政机关提取或者委托专业机构提取的电子数据直接上传至共享平台,若涉及需要移送案件,公安机关或司法机关可以根据需要直接从该平台上下载。通过减少电子数据在行刑衔接过程中存下的很多提取、保存、移送等程序,保证其外部运行环境的稳定性。但要注意在第三方机构的选择上要定下严格的规则,可以将通过严格审核之后具有相关资质的机构纳入统一目录。通过专业技术机构和人员对信息共享平台的维护,也可以及时监测是否有外人员恶意毁损电子数据,即便是遭到破坏后,也能第一时间发现和修复。

此外,辅证电子数据真实性还可以通过完善鉴证人、辅助人员等出庭作证制度进行验证。在案件处理过程中,若控辩双方因对提取保管移转证据等环节持有疑虑而质疑电子数据真实性时,可以由接触者或处置者出庭作证,若其就该电子数据的同一性,即未被破坏毁损等证言,则可以证明其真实性,进而提高刑事诉讼中电子数据的证明力和适用性。

四、反向移送:以实体罪名与程序监督为核心完善行刑衔接机制

衔接不仅是“由行到刑”的正向移送,也要关注“由刑到行”的反向移交,否则无法称为双向衔接。《行政移送规定》在第13条(24)《行政移送规定》第13条规定,“公安机关对发现的违法行为,经审查,没有犯罪事实,或者立案侦查后认为犯罪事实显著轻微,不需要追究刑事责任,但依法应当追究行政责任的,应当及时将案件移送同级行政执法机关,有关行政执法机关应当依法作出处理”。规定了公安机关应重新将案件移送回行政部门的情形。相较正向移送,反向移送在司法实践中因欠缺具体移送标准和程序及监督机制而容易被忽视,很多案件在确定不涉嫌犯罪后,刑事司法机关并未将其退回行政执法机关适用行政处罚。因此,必须进一步填补“由刑到行”反向移送机制。

(一)统一数据安全犯罪适用罪名

刑事司法机关能否正确判断案件是否满足反向移送的标准,是刑行反向衔接的前提条件。故使反向移送有序化、制度化,首先要解决的就是数据安全犯罪罪名适用不统一的问题。《数据安全法》第45条第2款(25)《数据安全法》第45条第2款规定,“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。构成犯罪的,依法追究刑事责任”。、第52条第1款(26)《数据安全法》第52条第1款规定,“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”。都规定,构成犯罪的,依法追究刑事责任,但是对“构成犯罪”的标准,以及构成何种犯罪没有明确规定。与之相对应,刑法第253条、第285条、第286条分别规定了侵犯公民个人信息罪、非法侵入计算机信息系统罪以及破坏计算机信息系统罪。根据《个人信息解释》和《计算机信息解释》的规定,构成该两罪中“情节严重”和“情节特别严重”的判断依据和标准不同,前者包括获取信息的数量、违法所得、损害后果等,后者包括非法控制的计算机系统数量、违法所得、违法行为次数等。即使是同样的“违法所得”这一要素,具体数额标准也不一致(27)例如,就违法所得这一标准而言,计算机信息系统犯罪中情节严重指的是“违法所得五千元以上或者造成经济损失一万元以上的”,情节特别严重的是数额达到上述标准的“五倍以上”;侵犯公民个人信息罪中情节严重指的是“违法所得五千元以上的”,情节特别严重指的是数额达到上述标准“十倍以上的”。。由此可见,司法实践对数据安全领域犯罪适用最多的两类罪名,不仅入罪情节和判断标准不同,对应的刑罚种类和刑期也不同。这就导致针对同一类型的犯罪行为,刑事司法机关可能会做出不同的判断,进而影响其作出是否要移送回行政监管部门的决定。例如,行为人以侵犯计算机信息系统犯罪的方式,违法向他人出售公民个人信息并获取违法所得4 000 元,造成经济损失一万元,根据刑法规定未达到侵犯公民个人信息罪的标准,但已经达到了计算机信息系统犯罪的入刑条件。刑事司法机关调查后可能依据侵犯公民个人信息罪决定不予立案,并移回行政机关,也可能根据计算机信息系统犯罪予以立案,不再进行反向移送。除此之外,实践中还存在大量“流量黑灰产”现象,比如恶意刷单、后台引流,严重破坏数字经济秩序。在刑法中找不到专门与之相应的罪名,而通过非法经营罪、虚假广告罪等来规制此类行为又会存在漏洞。故只有罪名适用统一,才能为数据安全领域的违法行为设定准确的不涉及犯罪条件,经刑事司法机关审查后得以移交到行政机关设定标准。

针对该问题,有学者提出不同的观点。张婷教授从数据威胁行为出发,认为可以将数据安全犯罪分为非法获取型与其他目的的关联行为,前者主要针对个人身份信息和金融信息,后者包括流量劫持等通过流量获取不正当经济利益的行为[27]。高艳东教授主张增设妨害数据信用罪,从立法上保护数据信用[28]。劳东燕教授认为,应实现从数据收集到数据使用、从秩序导向到权益导向、法权进路与利益衡量并用、控制原则与防御原则并举的4个转换[29]。本文认为,在数据安全犯罪罪名的设定上,明确划分标准、整合认定依据,对统一数据安全犯罪罪名至关重要,而无论从哪个角度出发,针对数据安全犯罪增设专门的罪名都是必要且可行的。

(二)构建案件反向移送激励制度

在数据违法案件的移送过程中,“由刑到行”的反向移送往往弱于“由行到刑”的正向移送,刑事司法机关通常欠缺主动移送案件的动力,这是由多方面的因素造成的,例如刑事司法机关天然具有的“优先”意识,认为刑事司法程序优于行政程序,或是刑事司法人员本身对案件应当移送的规则认识不清等。当外部监督无法及时发现所有应移不移的案件时,就需要建立起反向移送的激励制度,促使刑事司法机关主动将案件移回行政机关。与加强全链条监督,通过外力促使刑事司法机关依法向行政机关移送案件不同,激励制度是从内促使刑事司法机关主动履行移送职责。两种手段不仅是外部和内部的区别,也是强制和主动的对比。对于数据安全案件而言,由于激励主体为刑事司法机关,激励具体方式可以与公务员绩效考核联系在一起,例如将数据安全案件反向移送数量或移送率纳入综合考评标准。具体可以分为加分、不加分、减分项,对于明显应该进行反向移送的案件,及时移送并顺利交接的,增加相应分值;对于一些判断标准不明确可能需要移送的案件,承办人员按规定报备则不加分也不减分;对于明显需要移送但没有移送的案件,则减去相应分值。就个人而言,考评结果关乎其薪资奖励、职级晋升、绩效考评等;就单位而言,单位总的案件移送率可以作为其参与优秀评比的考核项,并设计一套积分规则。受到表彰的个人或单位不仅自身利益受到影响,并且可以在整体系统内发挥示范效应。合理运用考核结果,一方面可以引领刑事司法机关执行反向移送案件的价值取向,使其主动了解数据安全案件的移送标准、移送规则等信息,并帮助其树立科学的政绩观;另一方面,考评结果的应用也能影响刑事司法机关的工作态度和方式,促使其增强反向移送案件的责任和主体意识,朝着提高案件移送率的方向努力。通过全链条监督的外部约束和激励制度的内部激发,形成双向互动,合力推动刑事司法机关提高自身移送数据案件积极性。

(三)健全行刑衔接全链条式监督

针对数据安全案件反向移送在制度和实践中的缺失问题,不仅要通过内部宣传提升刑事司法部门人员移送案件的主动性,更重要的是通过外部监督机制形成压力,促使案件反向移送的进行。《行刑衔接规定》中对司法机关地位的突出,其中一点就体现在检察机关的监督作用上。检察机关从可以从监督对象、监督范围、监督方式以及重大犯罪案件的监督4个方面,加强对数据安全案件反向移送过程的监督。在监督对象上,主要包括对网信办等具有数据监管职责的部门及公安部门。因《数据安全法》中规定了较多的数据监管机构,因此要注意监督对象的全面性。在监督范围上,应当注意全链条的监督。对具有行政监管职责部门的监督应当包括执法行为、案件处理情况、证据提存等;对公安机关的监督主要为对行政机关移送案件之后的处理程序,包括是否受理、是否立案等。在监督方式上,应当从书面提出建议向实践督促整改过渡。增强检察建议与意见的法律效果,做有监督必有回应,故而提高检察机关监督的刚性和权威性[30]。在重点案件的监督上,检察机关可以通过提前介入来进一步规范案件整个的处理过程,以免给社会带来更多不利。与此同时,监察机关的设立和《监察法》的实施,标志着我国从上到下监察全覆盖局面的形成。在数据安全移送过程中监督更具有全局性和统筹性,可以对所有行政机关及刑事司法机关的行为及公职人员进行监督,可以有效弥补检察机关监督的不足。应当注意的是,鉴于数据安全这一新兴业态的发展现状和需要,监察机关在监督方式上不仅要有惩罚,还要注意对相关人员及行为的正确引导,以在该领域内树立起行为准则,也为数字经济发展留下空间。

总而言之,行刑衔接不应是单向移送而应是双向互动。建设数字中国,确保数字经济高质量发展,离不开数据安全保护。大数据作为新兴业态,数据安全犯罪违法行为增多,防治正在起步阶段,刑法中也尚未有专门与之契合的罪名。确保数字经济发展与数据安全保护内部平衡,充分发挥行政执法与刑事司法双向衔接机制外部功能,要从统一证据移送与转化标准、具体化移送程序、健全反向移送机制等多角度入手。但对具体应当如何统一数据安全犯罪适用罪名、优化企业合规改革等还需进一步探讨。