涉数据犯罪的刑法规制完善探析
2024-05-11丁华宇
孟 念,丁华宇
(河南财经政法大学刑事司法学院,河南郑州 450046)
数据犯罪是以数据为犯罪对象,严重侵害数据安全的行为。在数字时代,数据犯罪的频发严重威胁着国家安全、社会安全、个人和组织信息安全。截至到2023年6月,在中国裁判文书网中以“非法获取计算机信息系统数据罪”为关键词共检索到1661篇裁判文书,以“侵犯公民个人信息罪”为关键词共检索到15938篇法律文书,而这两种犯罪只是数据犯罪的两种形式之一,数字经济时代的数据犯罪,形式更加多样化,犯罪手段也更加隐蔽。数据安全不同于传统法益,将数据犯罪纳入计算机信息系统犯罪、信息犯罪的规制方法已然不能实现对数据安全的全面保护,同时,《网络安全法》《数据安全法》《个人信息保护法》的相继出台确立了数据安全和信息安全的二元保护路径,刑法作为保障法应彻底贯彻数据与信息的区分保护模式,构建数据犯罪的独立规范体系,保障数字经济平稳有序运行。
一、数据犯罪规制的必要性
(一)法益侵害性严重
数字时代衍生的数据犯罪在信息交互频繁的今天如雨后春笋般涌现,而我国针对数据犯罪的刑法规制多是依附于计算机信息系统犯罪,存在数据犯罪的生存周期规制不周延及忽视数据犯罪法益独立性等问题。互联网时代的数据种类愈加丰富,如根据不同行业可将数据分为工业、交通、电信、金融、自然资源、卫生健康、教育、科技数据等,对类型化数据资源,附属于计算机犯罪、信息犯罪的刑事立法不能有效规制所有数据犯罪种类,同时多种类的数据意味着数据的触角已经延伸到社会生活的方方面面,如涉及个人信息、财产安全、商业秘密、国家秘密以及军事秘密等领域。由于数据要素价值的释放路径多元化,相应的侵害数据法益行为也呈泛化趋势,数据信息更可能被获取、破坏、篡改、滥用等,给个人和企业信息安全、公共利益、国家安全造成严重威胁。
数据犯罪法益侵害的严重性表现在三个方面:其一,从范围上看,如前文所述,根据不同标准可对数据作出不同分类,不同种类数据又可能成为不法分子的犯罪对象而危害多种法益,侵害法益的泛化从另一方面佐证着数据犯罪的严重危害程度,尤其涉及国家秘密、军事秘密的数据犯罪,将给国家安全和军事安全造成重大威胁。其二,从行为性质上看,数据犯罪不仅会侵犯公民信息的完整性、保密性、可用性等,还可能以信息侵害为媒介,侵害公民人格权和财产权,就人格权而言,行为人可以通过对数据的收集、使用、加工、提供、公开等造成公民身份被盗用、隐私被泄露而使公民肖像权、姓名权、隐私权受到侵犯,若不法分子从事灰色产业交易,可能向具有犯罪意图的行为人提供公民信息数据,帮助其“人肉搜索”,从而间接侵犯公民身体权、健康权、生命权;就财产权而言,大数据时代,公民因信息数据泄露而遭受敲诈勒索、精准诈骗的发案率更高,无论是财产权还是人格权受到侵犯,数据犯罪给受害人造成的往往是精神和身体的双重痛苦。其三,从行为手段上看,数据犯罪的行为类型也多元化,对数据的破坏和获取两种传统的数据犯罪行为方式在互联网空间内发生异化,常以更强的隐蔽性和迷惑性侵害公民的合法权益,而危害性更大的数据泄露、数据滥用等末端数据犯罪由于缺乏立法规制而愈加猖獗。
(二)保障一般数据安全的需要
各国立法均在不同程度上对一般数据进行保护,德国将数据分为个人数据与一般数据,分别通过不同法律进行系统化规定,《德国联邦数据保护法》中附属刑法规范以个人信息自决权理论为基础对个人数据进行周延保护,而《德国刑法典》则对一般数据的行为类型、构成要件加以体系化保护,我国《数据安全法》也根据数据在经济建设中的重要程度以及遭到侵犯所造成的危害程度对数据实行分类分级保护制度,对关系国家安全、国民经济命脉、重要民生、重大公共利益等属于国家核心数据实行最严格的保护。藉此,可以将国家重点保护的数据称为“核心数据”,例如个人信息、商业秘密、国家秘密等已受刑法规制的数据,将未受刑法保护的核心数据以外的数据称为“一般数据”[1]。
一般数据虽区别于核心数据,但其也具有与国家利益、公共利益、个人和企业利益紧密关联的可能性,对一般数据的篡改、破坏、泄露或者对其进行分析而衍生推导出核心数据也可能会造成严重的危害后果。我国通过设立侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪等对重要数据进行保护,初步形成了数据法益保护体系,但由于一般数据的刑法规制缺憾,导致未形成数据法益完整保护链条。数字时代,数据流通、数据共享、数据交易成为常态化,一般数据具有无限的潜能,通过算法处理或预测性分析评估可能衍生重要数据,行为人可以事先通过爬虫技术获取海量的一般数据,然后通过非法分析成功获取涉及个人隐私、商业秘密、国家秘密的核心数据。刑法对“获取型”数据犯罪规制较为完善,由于立法缺陷,实务中的非法分析、处理数据的行为一般被归入数据的获取环节,然而两者却大相径庭。根据《刑法》第二百八十五条及相关司法解释,获取计算机信息系统数据构成犯罪的前提条件之一是非法侵入,即未经允许而突破、绕过或解除特定计算机信息系统的安全防护体系,擅自进入该系统,而非法分析一般数据行为可以是通过合法途径获取,也可以通过非法方式取得。可见,将合法获取一般数据再非法分析处理行为纳入非法获取数据行为进行规制显然不合理,因此有必要对一般数据的获取、使用、储存、加工进行独立规制,保证一般数据不被非法利用。
(三)与前置法保持一致的必要
由于我国对数据犯罪规制多依附于计算机信息系统犯罪,先天独立性不足导致数据法益保护不周、结构错位。《网络安全法》在网络安全事件频发、数据泄露严重的背景下制定,是中国首部全面规范互联网空间安全管理方面问题的基础性法律,明确规定了网络运营者(网络的所有者、管理者和网络服务提供者)的职责与义务。网络运营者应加强网络安全管理,采取事前预防、事中响应、事后跟进的技术手段应对网络攻击,未尽到相关义务的将根据情节受到不同程度的处罚。关于《网络安全法》所确立的保护数据法益和产业政策,我国刑法及相关司法解释未及时予以回应,如《刑法》第二百八十六条规定的拒不履行信息网络安全管理义务罪,此罪名在前置法迭代的背景下不能有效发挥对网络运营者的惩罚作用。第一,从主体方面看,该罪规定的网络服务提供者只是网络运营者之一,除网络服务提供者之外,还有网络所有者、管理者,主体规制不周。第二,从主观方面看,该罪要求行为人主观上为故意,若网络服务提供者出于过失造成数据泄露则可免于刑事处罚,然而在数据犯罪飙升的今天,无论是一般数据还是核心数据的泄露所造成危害后果都是极为严重的,网络运营者过失造成数据泄露同样应追究刑事责任。为保障数据安全,作为保障法的刑法有必要完善数据犯罪立法规定,扩大打击面,以回应前置法的要求。
我国《个人信息保护法》规定了个人信息的概念和个人信息处理的方式,同时我国《数据安全法》也明确了数据、数据处理、数据安全的含义,将数据与信息进行区别,这表明了我国实行数据和信息二元保护机制[2]。在前置法将数据和信息实行区分保护的前提下,我国刑法未对前置法关于数据安全的规定作出回应,刑法对数据犯罪的认定与信息犯罪、计算机信息系统犯罪存在交叉,这导致对数据安全保护不周。为此,需对数据犯罪独立规定与前置法保持一致,这不仅是保护数据法益的需要,也是法秩序统一性原理的内在要求。
二、数据法益权属与性质之厘清
(一)数据法益权属学说
数据犯罪发案率的升高使数据信息权利引起我国学者的广泛讨论,关于数据法益性质定位大致可以分为附属模式、折中模式、独立模式三种。
1.附属模式
附属模式主要有三种观点:一是个人信息说,该说认为数据信息权利完全附属于个人信息,数据法益不具有自身的独立性,数据和信息本质相同,只是表达方式存在差异,持此学说的学者多受欧洲国家关于数据权立法的影响,欧洲国家将数据信息权利以隐私权的形式进行保护,数据安全依附于个人隐私安全[3]。二是财产权说,该学说把数据看作是一种资源,充当市场交易要素角色,能够创造巨大经济价值,具有财产属性,个人具有占有、使用、收益和处分数据的权利,此说以王利明为代表,其认为应当将数据定义为新型财产类别,区别于现有无形财产。其实,市场经济体制下的数据流通性更强,其所带来的经济价值诱惑着不法分子实施数据犯罪,数据资源以各种形式给信息主体带财产利益,财产权说的观点在当下比较具有说服性[4]。三是社会秩序说,该说认为数据犯罪发生在特定的空间,危害的是该特定空间的数据安全管理秩序,该学说作为我国的通说引起了广泛讨论,不同学者对数据犯罪所危害的秩序进行了多样化的分类,获得了理论界和司法实务界的认可。
2.折中模式
折中模式不同于附属模式,该模式内部具有两种观点:一是折中模式承认数据法益是一种新型独立法益,但其本质并非完全独立于现有法益内容,其仍然与传统法益存在交叉、重合[5]。我国《数据安全法》对数据概念的界定表明了数据具有载体性质,数据可以充当财产权、人格权、知识产权、商业秘密等传统法益之载体,数据犯罪是以一种新型方式体现着对传统法益的侵害。二是《数据安全法》第三条第三款规定了数据安全的概念,即通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力,与数据安全内涵紧密相关的数据三大特性(保密性、完整性、可用性)也被折中模式所认可。与附属于传统法益不同的是,数据三要素强调的是数据整个生存周期所特有的属性,数据法益具有不同于传统法益的特有性质[6]。
3.独立模式
独立模式与附属模式观点相悖,认为数据法益具备形式和内容上的独立性。从形式上看,数据犯罪所保护的法益为数据安全,根据数据安全的概念可知,数据安全强调的是一种过程性状态。无论是前置法还是刑法及司法解释对数据犯罪进行规制,其目的都是确保数据处于有效保护和合法利用的状态,因此数据法益所保护的是数据整个生存周期的过程性安全,强调动态意义上的保护。而附属模式对于数据法益的定位比较单一,将数据法益附属于传统法益,侧重静态保护,因此,数据法益具有外在形式独立性。从内容上看,数据安全概念中的保障数据持续安全状态的能力,强调的是数据运作状态和数据系统防御状态[7],数据法益的内容不是单一的传统法益或多元传统法益的简单结合。
(二)数据法益的性质厘清
数据作为新的生产要素,在数字时代塑造着人类社会的关系网和组织形态,数据安全关系着个人利益、公共利益、国家安全、国计民生,数字刑法所保护的法益具有个体性与公共性双重属性。
数据法益的个体性是指个体所拥有的数据权利,数据法益表征着个体数据利益,个体包括自然人和单位,无论是单个自然人还是多人数据信息的泄露,都将造成严重危害后果。就单人数据泄露而言,如伊某、赵某盗窃案中,伊某通过互联网购买、下载交换数据的方式获得含有被害人支付宝账号和密码信息的数据,然后将数据输入到支付宝客户端登录,将受害人账户内的财产转移,共获利12万余元,致使受害人遭受重大财产损失。此外,个人数据往往是低价值密度数据,不法分子可以通过算法处理将低价值密度数据进行价值浓缩,转化为高价值密度数据,从而可以实施更加严重的数据犯罪[8]。就企业数据泄露而言,商业秘密被盗用将给企业造成重大损失,甚至危及自身生存,如“酷米客”诉“车来了”一案中,元光公司为了扩大“车来了”APP的市场,利用爬虫技术大量获取“酷米客”的实时公交信息数据,并提供给公众查询,法院认定元光公司构成不正当竞争行为。本案中,若不及时制止元光公司的侵权行为,可能会造成“酷米客”APP用户急剧下降,甚至面临破产风险。
数据法益的公共性是指单一数据权利呈集合性趋势汇集为数据法益,公共性表征着集体数据利益,包括国家利益、社会公共利益等。大数据时代,数据的共享、交互愈加频繁,数据法益的公共性也更加明显。公共性的数据法益的具有较高的价值密度,国家核心数据如关系国民经济命脉、重要民生、重大公共利益的数据,往往实行最严格的管理制度。针对公共利益的数据犯罪的危害性要远大于对个体进行的犯罪,如何某某为境外人员刺探、非法提供国家秘密一案,被告人何某某与境外人员结识后,以谋利为目的,乘坐轮渡对沿途的军事设施进行拍摄,并将照片发送给境外人员。军事秘密关系着国家军事安全,军事保密就是保生存、保胜利,若被境外组织非法获悉,将严重动摇国家政治稳定,影响经济发展。
三、数字时代数据犯罪刑法规制的困境
(一)数据犯罪立法不足
1.数据犯罪规制缺乏独立性
目前,我国刑法并未形成以保护数据安全为核心的数据犯罪规范体系,实践中发生的数据犯罪多为破坏计算机信息系统罪、非法获取计算机信息系统数据罪、侵犯公民个人信息罪处理。数据法益区别于传统法益,将数据物权化的思维方式不能使数据犯罪做到罪刑相适应。例如在江西邓某盗窃虚拟货币一案中,邓某等获取被害人的雷达网账户,再从别处获取了雷达网账户绑定手机号的机主信息,利用机主信息制作虚假身份证件,然后补办被害人手机卡,最后利用手机卡接收雷达网账户交易验证码,将账户里面的虚拟财产全部转出。该案法院认定邓某构成盗窃罪,而盗窃罪的实质是侵犯财产权益,该案本质上是将被害人账户信息、虚拟财产等数据当作现实财物来处理,实则未摆脱古典占有主义的影响,将数据信息附属于传统财物,混淆了侵害数据法益和以数据为工具的侵犯传统法益的行为[9]。实践中犯罪定性的混乱源于我国刑法并未将数据安全作为独立法益加以保护,而是对数据法益所体现的传统法益进行保护。此外,除了忽视数据法益的独立性外,对数据犯罪的处理依附于计算机信息系统犯罪还存在着犯罪认定上的漏洞。例如,非法获取计算机信息系统数据罪要求行为的情节严重,而实践中已将出现和平侵犯数据服务的行为,如淘宝商家批量删除差评、恶意刷浏览量等,这些行为由于没有危害计算机信息系统的安全,不能认定为“情节严重”从而无法入罪,不利于对数据安全的保护。
2.刑法规制未涵盖数据完整生存周期
数据的生存周期包括数据采集、存储、使用、传输、交换、销毁共六个阶段。我国数据犯罪立法具有片面化和前置化的倾向,即对数据的获取和破坏进行重点规制,忽视了下游的数据滥用和数据分析。数据获取阶段的犯罪,侵犯的是数据的保密性,对一般数据而言,单纯的信息泄露并不会造成很大的社会危害性,而数据滥用和分析等末端犯罪是对所获取的数据进行算法分析,提升数据的价值密度,从而造成危害更严重的后果。例如,Facebook滥用市场支配地位一案,Facebook通过搜集海量用户数据,投放精准广告获得收益,还将一些不合理条款强加给用户,以便获得用户所使用的第三方APP的数据,形成不正当竞争,加剧市场垄断。
大数据时代的数据犯罪层见叠出,数据也逐渐由犯罪工具成为犯罪对象。随着数据价值密度提高,对数据的分析、滥用成为新犯罪样态。我国数据立法主要强调获取数据的非法性,而实践中已经出现合法获取数据再非法滥用数据的行为。例如,合法掌握大量数据的线上购物平台,通过搜集商家数据,利用数据栽培自己旗下产品同商家进行竞争,压缩竞争对手的生存空间,获得垄断地位,对此刑法不能实现充分评价。
(二)司法解释无法弥补立法漏洞
1.司法解释未对数据概念进行界定
为有效保障计算机信息系统安全,维护计算机系统运行秩序,进一步明晰计算机信息系统犯罪的行为方式及方法,我国于2011年出台了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《解释》),《解释》虽然将对计算机信息系统的规制延伸到计算机网络,实则未突破计算机系统整体框架,并未对数据的概念进行界定。立法论与解释论都是刑法学的重要研究方法,两者互为补充、相辅相成,共同推进刑事立法和刑事司法的完善,但目前我国现行刑事立法和司法解释都未规定数据概念,也并未回应《数据安全法》所确立的数据独立保护体系。
《解释》不仅未解决刑法立法缺憾,甚至部分条文加剧了数据犯罪依附其他犯罪的倾向,如《解释》第七条规定,将明知是非法获取计算机信息系统数据犯罪所获取的数据予以转移、收购、代为销售或者以其他方法掩饰、隐瞒,违法所得五万元以上的以掩饰、隐瞒犯罪所得罪定罪处罚,其本质上是将数据当作掩饰、隐瞒犯罪所得罪的犯罪对象来看待,有学者认为,刑法第三百一十二条规定的掩饰、隐瞒犯罪所得罪中的上游犯罪应包含洗钱罪规定的七种上游犯罪以外的所有犯罪。因此,其犯罪对象理应涵盖非法获取计算机信息系统数据犯罪所获取的数据[10]。这种看法有待商榷,因为其是将数据法益等同于传统法益,没有认识到数据与一般财产的显著差异,将一般财产犯罪的适用标准应用到数据犯罪具有明显的不合理之处。
2.司法解释扩大数据犯罪适用口袋化倾向
《解释》第十一条第一款将“计算机信息系统”和“计算机系统”统一界定为具备自动处理数据功能的系统,包括计算机、网络设备、通信设备、自动化控制设备等。该规定实则是将具有操作系统的所有智能化设备全都涵盖在侵犯计算机信息系统安全犯罪的对象中,扩大计算机犯罪的适用范围,在一定程度上使数据犯罪包含于计算机犯罪。此外,《解释》中多次提及“身份认证信息”,其在第十一条第二款中将“身份认证信息”定义为用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。该规定无疑会造成数据犯罪与计算机信息系统犯罪、侵犯公民个人信息罪适用上的交叉,将本属于数据犯罪的对象纳入其他犯罪的犯罪对象势必加重数据犯罪适用上的口袋化倾向。
四、数据犯罪的刑法规制完善路径
(一)建立数据法益独立保护的刑法模式
1.对数据犯罪进行独立规制
当前立法对数据法益与传统法益重叠保护,对数据犯罪的治理依附于计算机犯罪、信息犯罪,数据法益的独立价值被忽视,互相交叉的立法现状未能有效规制涉数据犯罪。为改变这一立法漏洞,有必要对数据犯罪进行独立规制。前文已经论证数据法益需要独立保护的依据,作为一种新兴独立犯罪,数据犯罪侵害的并非传统的社会管理秩序,而是一种源于数据本质特征的新型秩序,即国家数据管理秩序。《数据安全法》所致力于构建的数独立保护模式表征着数据安全具有值得刑法独立保护的价值,国家数据管理秩序作为新兴秩序涵盖着任何数据类型所体现的共有的法益,不仅包括作为计算机犯罪、信息犯罪对象各类数据,还包括气象数据、环境数据、动植物数据等[11]。
基于国家数据管理秩序的独立性,刑法应将数据犯罪从计算机信息系统犯罪和信息犯罪中剥离,为数据犯罪增设独立章节,形成与妨害社会管理秩序罪、侵犯公民人身、民主权利罪等并行的罪名体系。根据数据的整个生存周期,增设不同罪名,并同时遵循刑法的谦抑性原则,对一些侵犯数据完整性、保密性和可用性但并不会造成社会危害性的行为不予入罪处理,下文将进行详细探讨。
2.完整规制数据犯罪的行为类型
数据犯罪的行为类型多种多样,如前文提及的刑法立法重心在于规制获取和破坏数据的上游行为,而忽视对滥用和非法分析数据等具有更大社会危害性的下游行为的规范,为实现对数据犯罪行为类型的全面评价,建立数据权利的完整保护链条,刑法可以从三个方面加以完善:
第一,增设非法破坏网络数据罪。增设此罪的目的在于弥补破坏计算机信息系统罪的不足,刑法规定的破坏计算机信息系统罪的犯罪行为方法为对计算机信息系统功能进行删除、修改、增加、干扰,而对该罪中涉数据犯罪的行为方法仅有删除、修改、增加三种。该条款未将对数据的干扰行为规定为罪,而对数据非法干扰行为同样可能危及核心数据的安全。例如,个别企业为逃避环境监管,利用“COD去除剂”干扰在线监测数据,从而严重影响环境数据的真实性。因此建议将涉及数据的犯罪从破坏计算机信息系统罪中独立出来,以非法破坏网络数据罪加以规制,同时应以情节严重或造成严重后果等罪量要素进行限制。
第二,增设非法分析数据罪。数据的非法分析是指将合法或非法获取的数据通过算法处理推导衍生出相关特殊数据。司法实践中的非法获取数据再进行分析的行为通常都以侵犯个人信息罪、侵犯商业秘密罪、非法获取计算机信息系统数据罪来处理,但是合法获取数据再进行分析的行为显然不能以以上罪名来规制。现行立法存在的漏洞结合上文对非法分析数据社会危害性的论证来看,非法分析数据罪确有增设的必要性,如上文一般,应同时设置罪量要素限制该罪名的使用,以防止罪刑不相称。
第三,增设非法访问数据罪。增设此罪的目的在于对破坏数据保密性的行为进行规制。刑法第二百八十五条第一款规定的非法侵入计算机信息系统罪中将计算机信息系统限定为国家事务、国防建设、尖端科学技术领域,结合第二款规定可知对侵入以上三个领域之外的计算机信息系统且未获取数据的单纯访问行为,不能以犯罪处理。国家事务、国防建设、尖端科学技术领域的数据只是核心数据的一部分,除此之外还有其他关乎国计民生的数据,司法机关进行扩大解释无法完全弥补刑法第二百八十五条的漏洞。
(二)确立数据犯罪的客观入罪标准
1.建立数据分级分类保护制度
大数据时代的数据层见叠出,刑法不可能也无必要对所有的数据进行保护,对数据法益的侵害,只有达到一定程度才可能成为刑法保护的对象。根据数据安全的重要程度可将数据分为核心数据、重要数据和一般数据。第一,核心数据应实行最高等级保护,刑事立法和司法解释应对《数据安全法》中将数据进行分类分级保护的规定作出回应,把关系国家安全、国民经济命脉、重大公共利益的数据列为核心数据,对涉核心数据的犯罪应确立较低的入罪标准、设置较高的法定刑。例如,单纯的非法访问核心数据行为,行为人只需违反国家规定侵害核心数据的保密性即可作犯罪处理。第二,由于数据法益的重要程度较低,核心数据以外的重要数据及一般数据则应设置较高的入罪门槛,对其处罚的严厉程度也应低于核心数据,以此建立阶梯式的保护制度。同时,并非所有的一般数据都应予以刑法规制,没有价值的数据如虚假数据、过时数据等则无保护必要[12]。
2.明确数据犯罪的罪量要素
罪量要素又称犯罪量化要件,是表明行为程度的犯罪成立条件,不同于西方国家的“立法定性+司法定量”模式,我国刑法对犯罪构成要件以“立法定性+立法定量”模式进行规定。刑法常以表明犯罪违法所得和造成经济损失的数额为入罪门槛,特别是财产类犯罪,多以数额较大作为犯罪成立要件。然而数字时代的犯罪数额已经成为体现犯罪社会危害程度的一个方面,传统的以“数额为主、情节为辅”的罪量模式不能对数据犯罪实现充分评价与制裁,数据犯罪的社会危害性不能简单以违法所得或经济损失数额大小来评价。例如,在泄露数据的犯罪中,其浏览量、评论量、转发量等都可以体现犯罪行为对法益的危害程度。因此对于数据犯罪应该改变以往的“数额为主、情节为辅”的罪量模式,更多的考虑行为对国家利益、社会利益、个人和组织利益的影响程度,以“数额与情节并重”甚至“情节为主”进行考量。对数据犯罪加以罪量因素,一方面可以明确数据犯罪的成立要件,便于司法工作人员准确定罪,另一方面罪量要素也在一定程度上限制着司法裁量权,以法益侵害程度为基准避免任何侵害数据的行为都作被入罪处理。
(三)建立企业数据刑事合规制度
涉数据犯罪案件的频发加之国家逐渐对数据安全保护的重视增加了企业在数据领域的刑事风险,前置法也明确规定了数据安全监管责任人的监管义务。同时,《刑法修正案(九)》中部分关于数据犯罪的罪名增加了单位主体,如拒不履行信息网络安全管理义务罪、非法利用信息网络罪等,对企业在数据安全领域提出了更高的要求[13]。在前置法和刑法都强化企业责任的背景下,企业更加容易入罪,以刑事合规制为理念的积极预防可以有效化解企业刑事风险,实现对数据犯罪的前端治理。
第一,构建数据刑事合规体系,企业首先要明确前置法中关于数据安全保障的规定,在内部对数据进行分类分级,按照数据重要程度,确定本公司数据具体目录,对企业数据与国家核心数据交叉部分实行最严格保护,对其他数据实行重点保护。企业作为社会组织,具有较大的自主性和能动性,可以构建符合自身经营特色的刑事合规制度,按照公司章程制定个性化的数据安全行为规范,对员工定期开展数据安全教育培训,保障数据安全。
第二,企业数据刑事合规体系必须覆盖数据的采集、传输、存储、交换、使用、销毁整个生命周期。在数据采集阶段,必须重视采集手段的合法性,从企业外部采集的数据还需征得数据所有人同意。在数据传输阶段,要注意传输渠道的风险性以及数据资产确权问题[14]。在数据存储阶段,要注意数据存储设备的安全性和风险性。在数据交换阶段,需采取包裹数据传输方式,防止数据泄露和篡改;在数据使用阶段,要坚持合法使用原则,使用数据应符合法律、行政法规规定的范围和目的。在数据销毁阶段,应注意销毁的彻底性,保证数据彻底丢失且无法恢复。
第三,从罪名上看,刑法在第二百八十六条规定了拒不履行信息网络安全管理义务罪的成立条件,只有当企业经过责令采取改正措施而拒不改正并具备所规定的四种情形之一的才可以本罪处理,而对于遵守法律、行政法规规定的网络安全管理义务,积极配合有关机关整改措施的企业,则可以出罪。此罪实际上蕴含着企业刑事合规理念,在刑事风险增加的背景下,企业可以建立全流程的数据安全管理制度,加强风险监测,在被责令合规整改的情况下,应积极落实整改方案,堵塞数据安全漏洞,及时向有关机关报告整改情况。同时,在数据刑事合规制度构建的背景下,立法机关可以拒不履行信息网络安全管理义务罪为基础,增设拒不履行数据安全管理义务罪,将刑事合规理念与该罪充分融合,限制企业的入罪条件,降低企业的刑事风险。