自2018年纳入立法计划,数据安全法历经三次审议后于今年6月10日正式通过。作为我国数据保护领域的基本法,数据安全法的出台意味着我国在面对国际数据资源竞争与国内数字经济发展方面拥有了明确的引领性规范。从法律体系的角度看,一项法律的新生必然会直接或者间接对其他法律造成影响,进而促使相关法律规范作出适应性调整。刑法的补充法、保障法性质决定了其在数据安全保护方面将深受数据安全法的影响。因此,从刑法的视角去观察数据安全法的出台是目前刑法学研究工作中不容忽视的重要内容。
第一,数据安全法的保护对象广泛,为与之相协调刑法宜删除第285条第2款与第286条第2款中针对数据所作的技术性限定。数据安全法第3条明确指出“本法所称数据,是指任何以电子或者其他方式对信息的记录。”由此可知,数据安全法层面上所保护的数据既包括以0和1比特形式存在的电子数据,也包括以传统形式存在的非电子数据。然而,刑法第285条第2款与第286条第2款所保护的数据仅包括“计算机信息系统中存储、处理或者传输的数据”,而不是所有类型的数据。此时,数据安全法与刑法之间对保护数据的对象范围便产生了冲突,刑法对数据的保护范围相对而言较为狭窄,排除了对非电子数据的保护,以及非计算机信息系统中存储、处理或者传输之电子数据的保护。虽然考虑到刑法相对于前置法而言具有相对的独立性,但是在大数据环境下上述数据明显具有刑法保护的必要性以及合理性。因此,刑事立法者需要谨慎考虑是否应删掉第285条第2款与第286条第2款中针对数据所作的技术性限定,将“非法侵入或其他技术手段”以及“计算机信息系统中存储、处理或者传输”的限定删除,简化两罪的罪状表述。
第二,数据安全法注重从收集、存储、使用、加工、传输、提供、公开等全生命周期环节对数据进行保护,处罚针对数据实施的篡改、破坏、泄露、非法获取、非法利用的行为。刑法中直接以数据为保护对象的罪名仅关注对计算机信息系统中存储、处理或者传输等三阶段中非法获取、删除、修改或者增加行为的处罚。从法益保护周延性与必要性看,数据安全法主张的对数据进行全生命周期链条式保护的做法更具有合理性,所处罚的行为类型也更具有全面性。据此,在总体国家安全观的引导下刑法应该对数据提供更为全面的保护,在未来刑事立法中宜将非法利用数据、非法提供、公开数据的行为犯罪化。
第三,数据安全法第四章从宏观与微观层面上确立了数据处理者的数据安全保护义务。明确要求数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。据此,作为网络服务提供者的数据处理者,在进行数据处理时拒不履行数据安全保护义务,致使违法信息大量传播、致使用户信息泄露、致使刑事案件证据灭失或其他严重情节时,很可能构成拒不履行信息网络安全管理义务罪。然而,从数据安全法与刑法的衔接看,刑法第286条之一拒不履行信息网络安全管理义务罪的罪状仍需要进行一定调整以适应大数据时代数据安全保护的需要。实践中经常存在由于数据冗余造成数据所承载的信息不能被解读,以及掌握了底层数据的行为人没能掌握解码数据的工具而未能解码相关数据的情形。此时,是否可以将泄露上述数据或者造成上述数据大量传播的行为依据拒不履行信息网络安全管理义务罪进行论处便存在疑问。考虑到大数据时代数据泛化、膨胀以及信息数据化的现实背景,一切类型的数据以及数据所承载的信息都需要得到保护,因此,未经数据或信息主体的许可任何数据或者信息都不可以被随意地泄露或窃取。因拒不履行信息网络安全管理义务而造成信息非法泄露与传播的行为应得到规制,而且造成数据非法泄露与传播的行为也应得到规制。因此,刑事立法者可修改拒不履行信息网络安全管理义务罪的罪状。当然,在此项条款没有修改之前,妥善的做法是在刑法教义学体系下对“有其他严重情节的”罪状表述进行规范解释。
第四,数据安全法第21条规定了国家建立数据分级分类保护制度。根据数据在经济发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共安全或者个人组织合法权益造成的危害程度,对数据实行分级分类保护。笔者认为,既然前置法对数据采取了分级分类保护的模式,刑法同样也应该根据不同的保护重要性对数据进行分级分类保护,否则,刑法继续对不同重要程度的数据提供同等程度的保护将会违反刑法罪责刑相适应的基本原则。目前刑事立法与刑事司法方面均没有根据数据类别与级别设置不同的入罪量刑情节,甚至数据量并不是目前数据犯罪入罪量刑的判断标准。有必要针对非法获取计算机信息系统罪的情节严重以及破坏计算机信息系统罪第2款的严重后果作出司法解释,将“数据量级、数据级别与数据类别”作为入罪量刑的重要判断标准,并且可以效仿侵犯公民个人信息罪规定相应的数据比例折算标准。
(作者单位:东北财经大学、上海市人民检察院第一分院)