在数字经济深度融入社会生活、数据成为关键生产要素的当下,数据权益不仅关乎公民个人的人格尊严与财产安全,更直接影响市场竞争秩序、社会公共利益乃至国家总体安全。随着大数据、人工智能、云计算等技术的广泛应用,数据收集、存储、流转、利用、跨境传输的规模与速度呈指数级增长,非法获取、滥用、泄露、交易数据的行为日益频发,部分行为对法益造成了严重侵害,已超出民事追责、行政处罚的范畴。刑法作为保障社会秩序的最后一道防线,强化数据权益的刑法保护,既是应对数字时代风险挑战的必然要求,也是完善中国特色数据法治体系、推动数字经济健康发展的重要支撑。当前,数据违法犯罪呈现产业化、隐蔽化、跨域化特征,传统刑事规制存在适用范围有限、责任认定模糊、行刑衔接不畅、打击力度不足等问题,亟须从立法完善、司法适用、行刑衔接等层面系统推进,构建全方位、多层次、全链条的数据权益刑法保护体系。具体而言,需要重视以下举措。
首先,强化数据权益的刑法保护,需要重塑刑法的保护法益。我国现行刑法已初步构建起数据权益保护的规范框架,为打击数据犯罪提供了基本依据。目前,与数据权益保护直接相关的罪名主要包括刑法第二百五十三条之一侵犯公民个人信息罪,第二百八十六条之一拒不履行信息网络安全管理义务罪,第二百八十七条之一非法利用信息网络罪,第二百八十七条之二帮助信息网络犯罪活动罪,以及第二百一十九条之一侵犯商业秘密罪中的数据型商业秘密等。其中,侵犯公民个人信息罪是保护公民个人数据权益的核心罪名,明确将违反国家有关规定,向他人出售、提供公民个人信息,窃取或者以其他方法非法获取公民个人信息的行为纳入刑法规制范围,并根据情节严重程度设置不同量刑幅度。然而,从法益保护视角看,上述规定依然存在不足。众所周知,数据权益兼具人格权、财产权与公共利益属性,公民个人信息、隐私数据承载人格尊严,商业数据、用户数据蕴含财产价值,重要数据、核心数据更是关系国家安全与公共利益。从犯罪治理视角看,数据犯罪已形成“非法收集——批量存储——黑市交易——精准滥用”的黑色产业链,犯罪分子利用技术漏洞、监管盲区实施犯罪,行为隐蔽性强、溯源难度大、危害范围广,部分非法跨境数据传输行为还可能威胁国家数据主权与安全。在此背景下,明确数据多元法益,例如,目前阶段需要积极承认数据权益兼具人格权、财产权与公共利益属性,才能激活最严厉的刑法制裁阻断数据犯罪链条、保护合法数据权益、维护数字空间的法治秩序。
其次,强化数据权益的刑法保护,需要完善刑事立法,扩大保护范围,明确行为类型,织密数据犯罪刑事法网。尽管现行刑法在数据权益保护中发挥了重要作用,但面对数字技术快速迭代与数据业态不断创新,立法本身仍存在诸多亟待完善的问题。一是保护范围较为狭窄,现有规范侧重保护公民个人信息,对非个人信息的商业数据、公共数据、重要数据的刑法保护不足,难以覆盖数据权益的全部类型。二是行为类型规定较为笼统,对数据二次滥用、非法共享、算法歧视、数据垄断等新型数据违法行为,未明确纳入刑事规制范畴,导致司法实践中存在适用困难。三是跨境数据犯罪规制缺失,针对非法出境、境外窃取、非法使用我国境内数据的行为缺乏专门刑法条款,难以有效维护国家数据主权。因而,在未来仍然需要系统优化数据犯罪规范。第一,拓展刑法保护对象,将商业数据、公共数据、重要数据、核心数据纳入保护范畴,区分不同数据类型的法益价值,设置差异化定罪量刑标准。对承载企业核心竞争力的商业数据,明确非法获取、使用、披露行为的刑事责任;对关系国家安全、公共利益的重要数据与核心数据,加大保护力度,严惩非法处理、跨境传输行为。第二,细化数据犯罪行为类型,将非法二次利用数据、非法数据共享、深度伪造数据、算法歧视侵害数据权益、拒不删除违法数据等行为明确规定为犯罪,填补新型数据违法行为的规制空白。针对数据二次利用问题,明确未经用户单独同意、超出约定目的与范围的二次使用、转让、共享行为,达到情节严重标准的,可以以侵犯公民个人信息罪或新增的数据犯罪论处。第三,增设跨境数据犯罪条款,明确违反国家数据出境安全管理规定,非法向境外提供数据,或者为境外机构、组织、人员窃取、收买、非法提供我国境内数据的,可以在危害国家安全罪章节下设置新的罪名,依法追究刑事责任,维护国家数据主权与安全。
再次,强化数据权益的刑法保护,需要统一司法适用标准,提升数据犯罪打击的精准性与有效性。司法机关可以通过以下措施规范数据犯罪的认定与裁判规则。一是明确数据犯罪的定罪量刑标准,细化“情节严重”“情节特别严重”的具体情形,将数据数量、类型、敏感程度、非法获利数额、危害后果等作为核心认定依据。例如,对生物识别、医疗健康、金融账户、行踪轨迹等敏感数据,可以降低入罪门槛,提高量刑幅度;对大规模数据泄露、引发电信网络诈骗等次生犯罪、危害公共利益的行为,可以依法从重处罚。二是区分合法数据利用与刑事犯罪的界限,进一步细化“告知——同意”“目的限制”“数据最小化”等数据合规原则,例如,对经过合法授权、为公共利益所需、符合技术与商业惯例的数据处理行为,不宜认定为犯罪;对以合法形式掩盖非法目的、规避法律的数据处理行为,依法严惩。三是加强案例指导,及时发布数据犯罪指导性案例与典型案例,统一裁判尺度,为司法实践提供明确指引。
最后,强化数据权益的刑法保护,需要健全行刑衔接机制,打通行刑协作壁垒,形成全链条治理合力。一是要建立标准化案件线索移送机制,网信、市场监管、工信等行政监管部门在数据执法中,发现非法获取、滥用、泄露数据等涉嫌刑事犯罪行为的,严格按照法定程序及时移送公安机关立案侦查,坚决杜绝以罚代刑、降格处理。二是搭建跨部门数据共享与协同办案平台,实现行政违法信息、刑事侦查线索、案件办理进度实时互通,破除部门“信息孤岛”。规范行刑衔接证据转换规则,统一行政取证与刑事证据标准,确保行政收集的电子数据、调查笔录等材料可直接作为刑事诉讼证据使用。三是强化检察机关法律监督职能,对线索移送、案件办理全程监督,督促履职到位;同时建立联合专项整治机制,针对数据黑产、非法跨境传输等高发领域开展协同打击,推动行刑高效衔接,切实提升数据犯罪治理的精准度与威慑力。
数据权益保护是数字时代的重大法治课题,强化数据权益的刑法保护,既是保障公民合法权益、维护市场竞争秩序的现实需要,也是守护国家安全、推动数字经济高质量发展的战略举措。通过刚性的刑法制裁,严厉打击各类严重数据违法犯罪行为,让数据在合法、安全、有序的轨道上流动与利用,既充分释放数据作为生产要素的价值,又切实保障公民、企业与国家的数据权益,为数字中国建设提供坚实的刑事法治保障。
(作者单位:四川外国语大学国际法学与社会学院 王伟 陈星颖)