1、摘要:在数字经济时代,刑法面临新的挑战,国内外大型数字平台公司为了商业及其他目的,往往会针对个人信息和重要数据等关键数据实施无限制数据收集并通过各种途径传输至国外的非法行为。此类非法数据跨境传输行为侵犯了国家数据主权、妨害数据管理秩序、危害国家安全,刑法必须及时作出回应并予以规制。我国 网络安全法 电子商务法 数据安全法 和 个人信息保护法 专门增加了针对数据犯罪的条款,附属刑法规制模式清晰可见。然而,上述规定过于笼统且狭窄,不具备整体性和普遍适用性。当前,我国现行刑法典中的罪名无法准确适用于非法数据跨境传输行为,因应技术发展以及国家利益在数据上延伸的现实情况,刑法典规制范式应该确立。增设非法
2、数据跨境传输罪势在必行,该罪名的增设有助于有针对性地打击非法数据跨境传输行为,维护国家的数据管理秩序,维护国家安全。刑法典规制模式可以有效克服附属刑法规制模式的不足,在立法目标、规制范围和规制模式等方面均有突破。同时,条文的明确性和协调性也符合罪刑法定原则、法益保护主义和刑法结构的调整趋势。关键词:数据;数据主权;数据跨境传输;非法数据跨境传输罪作者简介:齐爱民,广西民族大学法学院教授、博士生导师(南宁 530006);罗炜,广西民族大学法学院博士研究生(南宁 530006)基金项目:国家社科基金项目“大数据时代疫情数据处理立法问题研究”(20BFX051);广西“八桂学者”建设工程专项经费资
3、助;2022年度广西高等教育本科教学改革工程项目“新文科建设背景下 数据法 O2O混合课程建设的探索与实践”(2022JGZ124)DOI编码:10.19667/23-1070/c.2023.03.010论刑法典规制范式视角下非法数据跨境传输罪的确立求是学刊2023年第3期新兴权利法律问题研究 齐爱民,罗炜随着我国数字技术的高速发展和应用普及,数据成为国家基础性的战略资源,浸透到了社会的各个领域,正迅速改变着人们的生活和生产方式,数据安全上升为国家安全,非法数据跨境传输行为对国家主权和数据安全的危害逐步显现。2021年,我国颁行了 中华人民共和国数据安全法(以下简称 数齐爱民:论大数据时代数据
4、安全法律综合保护的完善以 网络安全法 为视角,东北师大学报(哲学社会科学版)2017年第4期,第108页。-107据安全法),在保障数据有序自由流动的同时,对数据安全作出了及时的回应,体现了国家对数据安全的关切。2021年底,上海国安局破获了一起涉及将我国核心数据提供给境外的案件,上海某信息科技公司为境外公司采集和提供我国16个国内城市和相应高铁线路的移动测试和信号数据,采集和传输的数据量极为庞大。国家安全局以涉嫌“为境外刺探、非法提供情报罪”对该公司的负责人采取了刑事强制措施。2022年7月21日,国家互联网信息办公室依据 网络安全法 数据安全法 个人信息保护法 行政处罚法 等法律法规,对滴
5、滴全球股份有限公司依法作出处以人民币80.26亿元罚款的决定,其重要原因之一是严重影响了国家安全。数据安全法 作为我国数据领域的基础性法律,其着眼点是确立各项保护和管理数据安全的基本制度,但从刑法典范式视角下对涉及数据跨境传输的刑事规制方面尚需进一步的探索和完善。一、非法数据跨境传输的概念与社会危害性在数据时代大背景下,数据跨境传输趋势不可阻碍。数据跨境传输是一把双刃剑,一方面,它体现了诸多优势:在国际经济方面,数据的跨区域性流通可以带动国际贸易的发展,推动全球经济一体化;在文化交流方面,数据跨境传输能增进各国文化的交融互通,促进人类文明进步;在国际安全层面,数据跨境传输能打击跨国犯罪,保障国
6、际社会和国内安全。另一方面,非法数据跨境传输也将给国家安全带来严重的威胁,刑法规制非法数据跨境传输势在必行。(一)非法数据跨境传输的概念界定准确把握具有刑法评价意义的跨境传输数据行为是讨论刑法规制非法数据跨境传输行为的必要前提。非法数据跨境传输是指行为人违反国家规定,跨境传输关键数据的行为。1.“关键数据”的内涵。关键数据是指任何以电子或者其他方式对事关国家安全、公共利益、个人信息权益的重要信息的记录。关键数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,就可能危害国家安全、公共利益、个人信息权益。以是否涉及个人信息为标准,关键数据可以划分为重要数据和个人信息两大类。所谓重要数据,是指任何以
7、电子或者其他方式对事关国家安全、公共利益的重要信息的记录。以数据遭到侵害对国家社会以及个人造成危害的程度为标准,可以将重要数据分为一般重要数据和核心数据。根据 数据安全法 第21条的规定,所谓核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益的重要数据。所谓一般重要数据,是指在核心数据之外,关系到国家安全、国民经济命脉、民生以及公共利益的重要数据。所谓个人信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。一般个人信息是指非敏感个人信息。所谓敏感个人信息,是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全
8、受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息。我国 网络安全法 第37条规定,个人信息和重要数据应当存储在境内。2.“跨境传输”的标准。所谓数据传输,是指发生在不同主体之间的关键数据传递。以是否跨越国境为标准,可以将数据传输分为数据跨境传输和数据境内传输两大类。不同国家确立的数据跨境流动标准并不相同,有的国家采取较为宽松的数据跨境流动规则,有的国家采取严格的跨境流动规则,还有的国家采取数据本地化存储的规则,不同的数据跨境传输规则会对数据的流动产生影响。区分数据的跨境传输和数据的境内传输有利于对数据传输采取分类保护。
9、与数据境内传输不同,数据跨境传输涉及国家的数据主权问题,非法数据跨境传输可能侵害国家安全,需要采取更为严格的保护措施,而数据境内传输则不会涉及国家主权问题。所谓数据跨境传输,是指境内主体将关键数据传输至境外主体的行为。对于数据跨境传输的定义,始见于1981年欧盟制定的 有关个人数据自动化处理的个人保护公-108约(the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data)对数据跨境流动的定义,由于该公约最初是为了保护个人数据,因此该公约认为“不论使用
10、任何媒介,基于自动化处理或为自动化处理的目的所收集的个人数据跨越国境的传输”,都是一种“个人数据跨境流动”。质言之,数据跨境传输是指数据的跨境流动。我国理论界对于“跨境”的含义有多种解释,形成了几种主要学说。“国境说”以传统的物理空间,即地理、政治上的边界为标准,认为“数据跨境流动”是指“数据通过电子计算机系统跨越国界进行访问、传输、转移和使用等一系列行为”。“交易行为发生地说”不再以传统的国家边界为“境”,而是以数据交易行为发生地作为境的判断标志,认为“数据跨境流动”是“数据提供者、数据处理者、数据的控制者间的交易行为发生在两个或两个以上的国家境内”。“访问说”以是否被主体访问为标准,认为“
11、数据未必跨越国界,但如果能够被其他国家主体进行访问,也属于跨境数据流动的范畴”。“实控说”不再执着于传统国境,以数据的实际控制主体为标准,认为“数据行为发生地只要位于不同的法域,或者数据虽未出境但被境外主体掌控,便都属于跨境行为”。单一的“国境说”也显然不适合数据可以通过互联网在全球范围内进行读取、使用进而实现流动的现状。“交易行为发生地说”以数据交易为前提,所谓交易是指价值交换。但是数据的跨境流动并非都是数据交易行为,例如境外主体单纯的访问行为,并不存在任何价值交换。“访问说”和“实控说”这两种学说观点十分相似,两者的相同之处在于都不以“跨越传统的国境”作为数据跨境流动的唯一标准,数据跨越传
12、统国境的流动当然属于数据跨境流动。两者的区别在于主体对数据控制的程度有所不同。“实控说”要求境外主体对数据的掌控,换言之要求境外主体成为数据的控制者。何为数据控制者,根据欧盟 一般数据保护条例 第26条的规定,可以决定个人数据被处理的目的和方式的是数据控制者。“访问说”认为境外主体并不需要达到数据控制者的程度,只需要可以对数据进行访问即可。笔者认为此处的“访问”,不限于访问这一种形式,可以做个扩大解释,即指包括访问在内对数据进行采集、使用、转移等一系列的处理行为。并且,数据跨境传输的标准采取“访问说”更为合理:一方面“访问说”符合大数据时代下数据不局限于通过单纯跨越传统国境实现的流动方式,更凸
13、显了数据通过互联网实现全球范围内流动的方式;另一方面,降低数据跨境流动的认定门槛,既有助于数据在国际的流动,促进数据的开发利用,也有助于国家对数据跨境流动的制定相应治理措施,保障我国数据跨境流动的安全。3.“非法”的界定。非法数据跨境传输中的“非法”是指违反国家对数据跨境传输管理规定,擅自将关键数据传输至境外或者可以让境外的人、机构访问。网络安全法 数据安全法 个人信息保护法都规定,关键数据的出境必须进行安全评估。2022年9月1日起施行的 数据出境安全评估办法 规定,数据处理者向境外提供在境内收集和产生的关键数据的安全评估适用本法。非法数据跨境传输中的“安全评估”,根据 数据出境安全评估办法
14、 的规定,是指国家有关部门以及数据处理者根据跨境传输的关键数据类型,依照相应流程对关键数据的内容进行安全风险判断,并采取相应措施确保数据跨境传输安全的一种数据跨境传输管理制度。安全评估的对象限于关键数据,根据 数据出境安全评估办法 第4条的规定,数据处理者需要对关键数据跨境传输进行安全评估。其中,所有的重要数据的跨境需要进行安全评估。个人信息的出境,数据出境安全评估办法 规定了三种情形:第一种是关键性基础设施的运营者和处理100万人以上的个人信息的数据处理者向境外提供个人信息;第二种是以2021Convention for the Protection of Individuals with
15、regard to Automatic Processing of Personal Data Strasbourg,28.I.1981,https:/rm.coe.int/1680078b37,访问日期:2022年2月21日。叶海君:跨境数据流动的国际规制研究,华侨大学2020年硕士学位论文,第14页。李娜、沈四宝:数字化时代跨境数据流动与国际贸易的法律治理,西北工业大学学报(社会科学版)2019年第1期,第91页。张茉楠:数字主权背景下的全球跨境数据流动动向与对策,中国经贸导刊 2020年第12期,第49页。黄施雨:我国跨境数据流动法律规制问题研究,北京交通大学2021年硕士学位论文,第5
16、页。-109年1月1日为起点,累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者需要进行安全评估;第三种是兜底条款,不排除将来会根据工作需要提出其他的评估条件,或者根据评估实践作出例外的制度安排。安全评估的主要内容是评估数据跨境传输活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。根据 数据出境安全评估办法 第8条的规定,包括以下七个方面:第一,数据出境的合法性、正当性、必要性;第二,境外接收方所在国家或者地区的数据安全保护水平;第三,数据出境中和出境后可能遇到的风险;第四,关键数据的权益能否得到充分有效的保障;第五,是否与数据接收方约定相应的安全保护义务;第六,遵守
17、我国的法律法规;第七,其他需要评估的事项。安全评估的流程分为数据处理者向省级网信部门递交材料和省级网信部门向国家网信部门递交材料两个步骤。数据出境安全评估办法 规定数据处理者应当首先向省级网信部门报送安全评估的申报材料,省级网信部门在5日内对报送的材料是否完备进行审查,将申报材料齐全的报送国家网信部门进行审核,不齐全的退回并告知需要补齐哪些材料。国家网信部门在7日内通知数据处理者决定是否受理。安全评估结果分为通过和未通过两种。不同的安全评估结果带来不同的管理措施。通过安全评估的关键数据可以在两年有效期内进行跨境传输,但数据出境的过程中如果发生了两种情形,则需要终止数据出境并重新进行安全评估:第
18、一种是数据出境的目的、方式、范围、种类和境外接收方处理数据的用途、方式,以及接收方所在国家或者地区数据安全环境发生变化影响出境数据安全的,或者延长关键数据境外保存期限的;第二种是已经通过安全评估后的出境数据如果经国家网信部门发现不再符合出境安全管理要求的。未通过安全评估根据 数据出境安全评估办法 规定,分为重要数据以及上述提及的三种情形下的个人信息未进行安全评估和其他关键数据进行安全评估后不满足出境要求两种。未通过安全评估的关键数据不得出境。综上,非法数据跨境传输,是指违反国家有关的法律规定,传输禁止传输的关键数据,或者传输未进行安全评估或未对评估结果采取相应保障措施而传输关键数据的违法行为。
19、非法数据跨境传输最终妨害了国家对数据的管理秩序,也使数据跨境传输对国家的安全产生了严重威胁。(二)非法数据跨境传输的法益侵害法益是根据宪法原则,由法所保护、客观可能受到侵害或威胁的人的利益。非法数据跨境传输行为是否会侵害值得刑法保护的法益是非法数据跨境传输行为是否需要刑法介入的首要问题。对于非法数据跨境传输直接侵害的法益,理论界并没有直接的研究,学者们更多的是研究数据的法律属性,侵害数据的本质是侵害何种法益,并由此形成了不同的学说。“财产性法益说”为数据赋予了财产性利益,认为数据“是随着信息技术发展而出现的一种新型财产权客体,即信息财产”。同时,也是“数据控制人的数据资产”。“独立法益说”在“
20、财产性法益说”的基础上,认为“数据法益正成为刑法保护的核心法益。数据法益是新型刑法法益类型,是以大数据为保护对象的合法利益”。“二元法益说”以数据类型作为划分不同法益的标准,认为“个人数据犯罪行为所侵犯的法益是作为个人法益的个人信息权一般数据犯罪罪名的应然保护法益,是数据主体对一般数据的形式支配权限,以及对一般数据的私密性、完整性和可用性利益”。“多元法益说”认为数据不仅包含了财产权利。个人信息还具有人格权益,独创性的数据则具有知识产权,“数据权益是多项权益的集合”。应当区分不同的权利类型进行刑法保护。学者们对数据犯罪侵害的法益研究为非法数据跨境传输行为的法益侵害的认定提供了张明楷:法益初论,
21、北京:中国政法大学出版社,2000年,第167页。王玉林、高富平:大数据的财产属性研究,图书与情报 2016年第1期,第3334页。孙道萃:大数据法益刑法保护的检视与展望,中南大学学报(社会科学版)2017年第1期,第63页。王华伟:数据刑法保护的比较考察与体系建构,比较法研究 2021年第5期,第150151页。王利明:论数据权益:以“权利束”为视角,政治与法律 2022年第7期,第105页。-110研究的思路和方向,但是由于研究的内容不同,学者们的这些学说不能全然嫁接到非法数据跨境传输行为所侵害的法益中。笔者在学者们对数据犯罪法益研究基础上,结合非法数据跨境传输行为的法律特征,认为非法跨境
22、数据传输行为是行为人违反国家对数据的管理制度,擅自跨境传输本国的关键数据,致使这些关键数据脱离本国职能部门的管控,侵害了国家的数据主权,妨害了国家对数据的管理秩序,危害了国家安全。因此,笔者提出了“国家安全数据管理秩序”的“复合法益说”,认为非法数据跨境传输行为侵害的法益有两个:国家安全和数据管理秩序。1.危害国家安全。数据主权是国家主权的一部分,是国家主权在信息数据领域的一种延伸,是一主权国对其管辖内的数据享有的独占处理和管理以及排除他国干预的最高性的权利。数据主权是满足国家在数据领域生存发展方面的利益,体现的是一种国家安全利益。数据的非法跨境传输侵害了主权国对数据的管理权利,因此数据非法跨
23、境传输行为危害国家安全。数据可以根据产生的方式和国家利益关联的样态分为原始数据和衍生数据。原始数据是指终端用户所存储使用的各种数据,是未经过处理或简化的数据。原始数据和国家安全紧密相连。例如,含有民用核设施、关键性基础设施、重要单位的地理信息的数据,这些原始数据被境外组织、个人获取将会导致这些事关我国国家安全的设备设施位置完全暴露在境外反华势力的视野下,随时都有被他们打击的危险。衍生数据是指通过对原始数据进行加工处理后产生的数据。一些原始数据被境外组织个人获取后可能不会对国家的安全造成任何影响,但是经过数据算法技术的智能分析,隐藏在海量原始数据背后的信息内容被识别出来,反映原始数据所无法反映的
24、内容。例如,将个人信息传输出境不会对国家造成太大的影响,但是当将整个国家的人口普查数据流通出境,那么经过技术分析,就会清楚地掌握到我国的生育情况、人口老龄化情况和人才的储备情况,这和国家安全息息相关。非法数据跨境传输行为的行为人非法将数据脱离一国的主权管控,危害国家安全利益。2.妨害数据管理秩序。数据管理秩序是大数据时代下,为了保障数据安全、促进数据开发利用、促进数据安全和自由流动,由中央国家安全机关统筹,各地区各部门依法对本地区本领域本行业开展数据处理活动以及安全监管而形成的正常的管理秩序。数据管理秩序法益,是指根据宪法原则,由法律保护的、客观上可能被侵害的国家依法对数据处理活动的开展和安全
25、进行管理的权利。非法传输数据侵害了国家的数据主权,数据主权反映的是主权国家对其管辖内的数据处理活动的开展及安全进行管理的权利,这种国家对数据管理的权利背后反映了一国对本国数据社会管理秩序的法益。尽管我国现行刑法并未明确提到“国家对数据的管理秩序”这个概念,但我国刑法规定了“社会管理秩序”法益,社会管理秩序是我国十大类罪名之一的妨害社会管理秩序罪所保护的法益,它保护的是国家各职能机关依法对社会各方面进行管理活动而形成正常的社会秩序。根据 数据安全法 的有关规定,数据管理秩序显然是社会管理秩序的一种。非法数据跨境传输行为的行为人非法开展数据处理活动或者将数据脱离国家的安全监管,侵害了社会管理秩序法
26、益中的数据管理秩序法益。数据管理秩序法益对于现行刑法所保护的法益而言,是一种新型法益。数据管理秩序法益的产生符合新型法益产生的判断标准,具有合理性。第一,新型法益的生成必须符合社会价值判断标准。社会价值判断标准,是指新型“法益生成须以社会价值层面的共识为前提”。换言之,新型法益的生成是基于社会普遍需要而非个人需求。数据管理秩序是国家依法对境内数据活动进行管理而形成的一种管理秩序,是数据时代下社会治理的一种表现形式,数据管理秩序作为新型法益符合社会价值判断标准。第二,新型法益要符合公序良俗判断标准。公序良俗判断标准,是指新型法益的生成不能违背道德。数据处理活动的开展要尊重齐爱民、祝高峰:论国家数
27、据主权制度的确立与完善,苏州大学学报(哲学社会科学版)2016年第1期,第85页。李晓楠、宋阳:国家安全视域下数据出境审查规则研究,情报杂志 2021年第10期,第75页。孙山:从新兴权利到新兴法益新兴权利研究的理论原点变换,学习与探索 2019第6期,第83页。-111社会公德和伦理,这既是数据处理活动的法律要求也是道德要求,国家支持、鼓励和保护尊重社会公德、伦理的数据处理活动,具有道德上的正当性,符合公序良俗判断标准。第三,新型法益的生成要符合法律判断的标准。法律判断标准是指新型法益的生成不能违背法律禁止性规定。所谓法律禁止性规定是指命令当事人不得施行一定行为的法律规范。国家对数据的管理是
28、职责所在,并不违背法律禁止性规定。数据管理秩序法益符合法律判断标准。第四,新型法益的生成要符合义务配置判断标准。义务配置判断标准是指新型法益生成以义务配置为前提。新型法益在创设时需要配置义务,而配置义务是否是实现法益保护的最佳手段?是否会损害他人权益?设置数据管理秩序法益,是实现国家对数据治理的最佳手段,非但不会影响数据处理者正常合法的数据处理活动,还会保障这些活动。社会进入数据时代,围绕数据的处理和治理而产生社会利益。确立数据管理秩序法益能反映数据时代特性,保护由数据处理而形成的各种社会关系,解决围绕数据处理而产生的各种法律问题,尤其是围绕数据跨境而产生的一系列刑事法律问题。数据的内容涵盖社
29、会发展的各方面,各国都围绕数据进行角力,我们在享受数据跨境流动带来的红利时,也不该忽视由此而产生的风险,确立数据管理秩序法益,有利于刑法应对一系列由数据治理而产生的刑事法律问题,包括非法数据跨境传输行为产生的违法犯罪问题。概言之,非法数据跨境传输侵害了两种法益:一种是国家安全,另一种是国家对数据的管理秩序。(三)法益与新罪名的形成罪名的形成是由侵害的法益独立性来决定的。所谓法益的独立性,是指某种社会利益成为刑法所要保护的对象,具有刑法上的独立意义与价值。当某种社会利益具有刑法上的独立意义和价值时,意味着刑法需要形成专门的罪名予以确认和保护。例如,随着我国生态文明建设的推进,民事立法确立了“绿色
30、原则”以保护生态环境资源,生态法益已有别于传统人身、财产法益成为独立法益。环境资源成为刑法保护的对象,具有刑法上的独立意义与价值。刑法修正案(八)通过修改原来的重大环境污染事故罪的条文,形成新的罪名污染环境罪。数据管理秩序是数据时代下,国家机关依法对数据处理活动的开展和安全进行管理而形成的秩序,对其进行妨害将会导致我国境内产生或搜集的关键数据外泄,被境外组织或个人非法获取和利用,危害国家安全、社会利益和个人的信息权益,数据管理秩序具备法益独立性,现行刑法应成立新的罪名予以保护。罪名可以根据外延宽窄的不同分为类罪名和个罪名。类罪名是某类犯罪的总称,通常是指刑法分则中的章、节的名称。个罪名是对刑法
31、分则条文规定的某种犯罪行为本质特征的抽象概括。刑法保护数据管理秩序法益而形成的罪名究竟是个罪名还是类罪名,则仍需落实到侵犯数据管理秩序的犯罪行为类型予以判断。并且,妨害数据管理秩序法益的犯罪行为有多种类型,非法数据跨境传输行为只是其中之一,与之相对应的非法境内传输数据行为当然也会妨害数据管理秩序法益,因此笔者认为,由妨害数据管理秩序法益而形成的新罪名数据管理秩序罪是一种类罪名。二、非法数据跨境传输的刑法规制范式的二元分立对于非法数据跨境传输行为的刑法规制范式,我国主要采取附属刑法与刑法典二元分立的规制范式。附属刑法规制范式,是指在非刑事法律规范中,设置刑事规范,对某类违反该行政性准则、对该领域
32、造成严重危害的行为予以刑事制裁的规制模式。刑法典规制范式是指通过增设、修改条文等方式,在刑法典中制定有关条文,预防、打击某种或某类犯罪的规制模式。所谓二元分立,是指对某种行为有两种法律规制范式,这两种法律规制范式完全独立,互相之间没有统辖关系。我国对于非法数据跨境李琳:立法“绿色化”背景下生态法益独立性的批判性考察,中国刑事法杂志 2020年第6期,第40页。-112传输行为,一方面,采取附属刑法规制范式,在 网络安全法 电子商务法 数据安全法 个人信息保护法 的末尾以“罚则”的形式中设置刑事规范,对违反该行政性准则、对该领域造成严重危害的非法数据跨境传输行为予以刑事制裁;另一方面,通过刑法典
33、现有的条文,打击涉及非法数据跨境传输行为。目前,对于非法数据跨境传输行为没有设立相应的罪名,两种规制范式缺乏直接关联,对于非法数据跨境传输行为没有形成完整、有效的规制范式,且这两种规制范式都存在各自的不足。(一)我国附属刑法规制范式的优势与不足1.非法数据跨境传输的附属刑法规制范式现状随着信息数据技术的飞速发展,我国进入了数据时代,由非法跨境传输关键数据所引发的违法犯罪问题日渐增多,对此我国先后颁行了 网络安全法 电子商务法 数据安全法 个人信息保护法 这四部基本法律,并且在这四部法律中规定了附属刑法。所谓附属刑法,是指非刑事法规中有关犯罪与刑罚的刑法规范的总称,是国家为适应某种特殊需要而颁布
34、的仅适用于事项的刑法法规,是我国刑法立法的重要组成部分。随着社会的发展,某种新型社会关系产生后,在应对围绕这种新型社会关系而产生的违法犯罪问题时,在短期内无法修改相应刑法典的条文,则采取相关领域内非刑事法律规范中有关犯罪与刑罚条款的方式,预防、打击这种违法犯罪行为。我国行政、经济等领域的法律法规中通常会有专门涉及犯罪时的条文,这些便是附属刑法。例如,数据安全法 第45条规定了违反核心数据管理的刑事责任。电子商务法 第88条、个人信息保护法 第71条和 网络安全法 第74条都规定了构成犯罪的,依法追究刑事责任。我国社会发展迅速,数据时代围绕数据产生各种新型的社会关系以及伴随这些新型关系而出现的犯
35、罪问题。刑法的调控范围不得不随之扩大以应对各种新型的与数据有关的犯罪。但是现行刑法的相对稳定性,使其无法在短时间内通过修正案的方式实现。立法者不得不将部分刑法规制的任务交给了非刑法法律,这也是“刑事立法对非刑事法律的巧妙借用”。网络安全法 电子商务法 数据安全法 个人信息保护法 这四部基本法律中附属刑法的规定,维护了刑法典的相对稳定性,同时国家扩大了刑事调控范围,有效回应了数据领域中的非法数据跨境传输行为所引发的犯罪问题。2.非法数据跨境传输附属刑法规制范式的优势附属刑法规制范式能回应新型领域刑法立法诉求,填补法律空白。我国已经进入数据时代,伴随而来的是各种与数据有关的新型社会关系的出现以及相
36、应的法律问题。围绕数据的非法跨境传输所引发的一系列违法犯罪行为已成为法律亟待解决的问题。例如,擅自传输关键数据不仅破坏了国家的数据管理秩序,同时可能危害国家的安全,刑法不能对此置之不理,立法机关在 数据安全法 个人信息保护法 网络安全法 中以附属刑法的形式规定了对非法跨境传输关键数据犯罪行为的刑事制裁,回应了国家对妨害数据管理秩序、危害国家安全的行为的刑事立法诉求。数据犯罪是随着近年来数据普及应用而产生的,是刑事立法者在立法时所未能预见的事情,因此刑法不免在应对数据犯罪时出现立法空白,在 数据安全法 个人信息保护法 网络安全法 中设置附属刑法,能够填补刑法在这些领域中的立法空白。附属刑法规制范
37、式有助于保持刑法典的相对稳定性。刑法的威严在于刑法的相对稳定性、不宜频繁地进行修改和变动,但新型社会关系所引发的新犯罪类型已无法被现行刑法所囊括,刑法不得不对之作出及时而有力的反应。行政法、经济法则应根据行政管理需要、经济发展水平而适时变动,在这些法律中设置附属刑法,能够巧妙地弥补刑法应对新型领域犯罪时的相对滞后性,同时“采用附属刑法规定复杂的、新型领域中未成体系的法律规范来积累经验,采用刑法典规定稳定的核心刑法内容”,有助于维护刑法的稳定性。在 数据安全法 个人信息保护法 网络安全法 中设置附属孟庆华:附属刑法的立法模式问题探讨,法学论坛 2010年第3期,第77页。曹波、于世淇:论新时代统
38、一刑法典模式的辩驳与坚持,重庆理工大学学报(社会科学)2020年第10期,第84页。-113刑法,能发挥刑法立法的灵活性以惩治非法数据跨境传输的犯罪行为,为规制非法数据跨境传输的犯罪行为积累刑事立法经验,同时也维护现行刑法的相对稳定性。附属刑法与所附属的法律法规形成了某一社会领域的完整法律规范体系,同时附属刑法规定所应承担的刑事责任与其他民事、行政责任共同形成了该领域完整的责任体系,不仅在打击该领域违法犯罪行为时便于司法人员对相应的法律条文的援引,也利于社会公众对该领域违法犯罪行为的整体性认识。数据安全法 个人信息保护法 电子商务法 网络安全法 中附属刑法规定所应承担的刑事责任与其他民事、行政
39、责任一同构成了非法数据跨境传输违法犯罪行为的完整责任体系,方便了司法人员在打击非法数据跨境传输违法犯罪行为时的法律援引。此外,在进行 数据安全法 电子商务法 个人信息保护法 网络安全法 等法律的普法过程中,社会公众能够对数据安全、个人信息安全、网络安全、电子商务安全等形成一个整体性的认识,了解哪些行为会构成犯罪,对非法数据跨境传输犯罪起到一般预防的作用。3.非法数据跨境传输的附属刑法规制范式的不足我国附属刑法存在固有的弊端,导致在司法实践中难以有效适用,发挥刑法功能。一方面,附属刑法表述笼统,例如 电子商务法 第88条、网络安全法 第74条和 数据安全法 第52条均规定“违反本法规定,构成犯罪
40、的,依法追究刑事责任”。这些规定过于模糊,哪些违法行为属于严重危害社会稳定、达到犯罪程度,应适用何种类型的刑罚、处于何种程度处罚都没有明确规定。这种规制范式容易形成口袋罪,过分扩大打击范围,一些情节显著轻微的数据犯罪,也可能被列入刑事打击的范围,有违刑法的谦抑精神。同时也不利于社会公众清晰明确地认识数据非法跨境传输的犯罪行为,导致刑法对数据非法跨境传输的一般预防作用流于形式,不利于增强公民的数据犯罪预防意识、维护社会的和谐稳定。(二)我国现行刑法典规制非法数据跨境传输的立法漏洞数据的价值是随着近年来信息技术的飞速发展而得到充分挖掘,进而从计算机信息数据系统中独立出来,成为需要法律专门保护的社会
41、利益。这显然超出了立法者立法时所能预判的范围,因此我国刑法典并未设置专门规制非法数据跨境传输的条文,也没有规制数据犯罪的条文。对于非法数据跨境传输行为存在明显的立法嗣后漏洞。所谓嗣后漏洞,是指法律制定和实施后,因社会的发展而产生了新问题,这些新问题在法律制定时由于立法者未能预见而没有被纳入法律的调控范围,因此而形成的法律漏洞。非法数据跨境传输行为的立法漏洞导致现行刑法中缺乏一个直接针对此类新型犯罪行为的罪名。对于一个新型的犯罪行为进行刑法规制,不仅剖析该行为的概念和法益侵害,还要分析我国现行刑法对该行为是否具有适配性的罪名。罪名是对某一犯罪所反映的根本特征的抽象概括。行为是个罪构成的核心要件。
42、任何罪名都必须表述特定行为。犯罪所反映的根本特征就是犯罪行为的本质特征,所以我国刑法罪名的设立,是将某一犯罪行为中本质的特征加以归纳概括,从而有别于其他犯罪类型。因而犯罪行为决定着罪名的设立。非法数据跨境传输犯罪行为决定着刑法对其规定何种罪名。笔者根据对非法跨境传输行为的界定,梳理出刑法典可能适配该行为的罪名主要有三类,第一类是侵害计算机数据类罪名,第二类是危害国家安全类罪名,第三类是侵犯公民个人信息罪名,但用这三类罪名适用于非法数据跨境传输行为都存在缺陷。1.侵害计算机数据类罪名的不适用。侵害计算机数据类罪名包括刑法第285条的“非法获取计算机信息系统数据罪、非法侵入计算机信息系统罪”和刑法
43、第286条的“破坏计算机信息系统罪”。这是我国刑法分则中唯二的两条明确提到数据的条文。但显然,这三个罪名不适合规制非法数据跨境传输的行为。任海涛、张思远:虐童行为的刑法理论分析兼论“虐童罪”不宜成为独立罪名,青少年犯罪问题 2013第2期,第21页。赵延光:论犯罪构成与罪名确定,法学杂志 1999年第5期,第32页。-114从法益上看,“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”所保护的法益是计算机系统的安全。这与笔者认为的非法数据跨境传输行为侵害的法益大相径庭。“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”虽然提及了数据,但数据只是作为其中的一个保护对象,或者是数据依附于计
44、算机系统之中。“非法侵入计算机信息系统罪”和“破坏计算机信息系统罪”所保护的法益无法涵盖非法数据跨境传输行为所侵害的数据管理秩序和国家安全法益。从行为上看,“破坏计算机信息系统罪”的行为是对计算机信息系统中的数据进行删除、修改、增加的操作,而非法数据跨境传输行为是将数据进行传输,这两种行为显然不能等同。“非法侵入计算机信息系统罪”与“非法获取计算机信息系统数据罪”中行为人与数据是一种非法获取或者非法控制的关系,而非法数据跨境传输行为的行为人与数据是一种合法取得或者控制的关系。非法数据跨境传输犯罪行为同样不宜以“非法侵入计算机信息系统罪”或“非法获取计算机信息系统数据罪”论处。虽然“信息系统数据
45、是网络数据的雏形”,但是“非法侵入计算机信息系统罪”“破坏计算机信息系统罪”以及“非法获取计算机信息系统数据罪”中的数据显然不能和非法数据跨境传输行为中的数据混为一谈,因此,这类罪名并不适合非法数据跨境传输行为。2.危害国家安全类罪名的适用困境。在数据时代,数据记载的内容与国家、社会、个人利益息息相关,当记载国家利益的数据被非法传输境外,这些数据就有被境外组织、个人非法获取和非法利用的风险,危害了国家安全,符合危害国家安全类罪名所保护的法益。危害国家安全类罪名是我国十大类罪名之一,是对各种危害国家安全的犯罪行为共同特征的概括。与非法数据跨境传输行为可能相适配的危害国家安全的具体罪名,有刑法第1
46、02条的“背叛国家罪”和刑法第111条的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。“背叛国家罪”与非法数据跨境传输行为有相适配的一面,当担任国家党政军机关重要职位的行为人勾结境外的组织或个人,非法将事关国家安全的核心数据传输给境外组织、个人时,符合该罪名的构成要件。但除此之外,非法数据跨境传输行为很难适用“背叛国家罪”,原因有三:其一,“背叛国家罪”的犯罪主体与非法数据跨境传输行为的行为人主体不完全一致。“背叛国家罪”是特殊主体,须是在党政军机关中担任重要职务或者有重要政治影响力的行为人,而非法数据跨境传输行为人是一般主体。若要成为“背叛国家罪”的适格主体,行为人必须是基于政治身份
47、而成为对本人管辖范围内涉及国家安全的数据的控制者或处理者,普通数据处理者不符合本罪的主体。其二,“背叛国家罪”的客观方面与非法数据跨境传输的行为不完全相同。“背叛国家罪”的客观方面是行为人勾结国外或者勾结境外组织机构或个人,勾结是核心,即行为人与境外的组织机构或人员有暗中相互串通的行为。而非法数据跨境传输行为的客观方面是行为人违法将数据传输境外,行为人并非全都与外国或者境外组织、个人串通。例如,将数据存储到境外,以及将数据传输到本公司在境外开设的子公司或分公司的行为,大部分情况下是行为人为了开展正当的经贸、文化、外交活动之所需,不能完全被认为是勾结行为。我国的一些企业为了经济效益和增加市场竞争
48、力,需要赴美上市,则需要参照美国萨宾斯-奥克利 法案,将企业所控制的通常包括网络活动、数据库活动、系统登入活动、账号活动、用户活动以及信息接入的参数和条件提供给美国相关组织,当这些数据涉及国计民生或者国家核心技术等而成为重要数据、核心数据时,行为人未经有关部门的审批或采取相应的安全保护义就提供给美方证券审批机构,符合非法数据跨境传输行为而不符合“背叛国家罪”的行为。其三,“背叛国家罪”与非法数据跨境传输的行为在目的上不完全相同。犯“背叛国家罪”的行为人往往是基于不正当的目的,比如是为了获取境外情报人员或策反人员提供的不正当政治、经济利益。最常见的情形是境外谍报人员以高报酬要求行为人提供某些事关
49、国计民生的核心数据,或者是境外情报人员允诺行为人在加入国籍孙道萃:大数据法益刑法保护的检视与展望,中南大学学报(社会科学版)2017年第1期,第59页。-115时或在该国生活时提供便利,行为人通常为了这些目的实施了背叛国家的行为。而非法数据跨境传输的行为人通常是具有职业上的正当目的,比如通过公司海外上市获得更多的融资扩大公司的经济效益,到海外设立分公司拓展海外业务,等等。由此可见,背叛国家行为的目的与非法数据跨境传输行为的目的也有所不同。概言之,“背叛国家罪”与非法数据跨境传输的行为在法益方面不完全相同,行为的方式也不完全相同,非法数据跨境传输的行为不完全符合“背叛国家罪”的构成要件,因此非法
50、数据跨境传输的行为不适用于“背叛国家罪”。“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”与非法数据跨境传输行为有相适配的一面。当数据处理者将涉及国家情报的数据非法传输境外或提供给境外组织、个人当然符合“为境外窃取、剌探、收买、非法提供国家秘密、情报罪”。所谓“国家情报”,根据 最高人民法院关于审理为境外窃取、刺探、收买、非法提供国家秘密、情报案件具体应用法律若干问题的解释,是指关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项。根据该定义,涉及国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家情报。本文开头所列举的案例中铁路GSM-R敏感信号数据,承载着高铁运行管理和指
浙ICP备2021020529号-1 | 浙B2-20240490 
