劉雙陽

一、引言

大數(shù)據(jù)時代，網(wǎng)絡數(shù)據(jù)的類型日益多元化，不僅承載著個人的人格利益或企業(yè)的經(jīng)濟利益，而且可能影響國家安全與公共利益。例如，全國首例非法獲取地理信息數(shù)據(jù)刑事案件的判決書指出：“不同于網(wǎng)絡游戲數(shù)據(jù)、視頻數(shù)據(jù)等，地理信息數(shù)據(jù)具有一定特殊性、敏感性，是國家重要的基礎性、戰(zhàn)略性資源，關系國家主權(quán)、安全和發(fā)展利益?！睌?shù)據(jù)內(nèi)容與國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的聯(lián)系越緊密，重要性程度就越高，面臨的數(shù)據(jù)安全風險和威脅自然越大，一旦遭到泄露、竊取、篡改、毀損、非法使用等不法侵害，引起的危害后果往往也尤為嚴重。探究發(fā)生數(shù)據(jù)安全事件及造成重大損害的原因時，往往會發(fā)現(xiàn)以平臺企業(yè)為代表的數(shù)據(jù)處理者怠于履行數(shù)據(jù)安全保護職責是最關鍵的因素。秉持總體國家安全觀，我國相關法律、行政法規(guī)按照數(shù)據(jù)分類分級制度已將對國家安全和公共利益有重要影響的網(wǎng)絡數(shù)據(jù)納入“重要數(shù)據(jù)”的范疇，與“個人信息”“企業(yè)數(shù)據(jù)”等概念相區(qū)別，并要求數(shù)據(jù)處理者采取相應的安全防護措施，加強對重要數(shù)據(jù)的保護。

基于從源頭防范重要數(shù)據(jù)安全風險的治理邏輯，作為在數(shù)據(jù)安全治理格局中發(fā)揮關鍵作用的數(shù)據(jù)處理者，在享有自主決定重要數(shù)據(jù)處理目的和處理方式等權(quán)利的同時，應當承擔、實際依法承擔著重要數(shù)據(jù)安全保護義務，合理性根據(jù)在于復雜社會系統(tǒng)中的秩序必須依賴于處分權(quán)人所管理的特定空間和特定控制領域的安全。2021年12月12日，國務院印發(fā)的《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》明確將“規(guī)范數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀全生命周期管理，推動數(shù)據(jù)處理者落實數(shù)據(jù)安全保護責任”作為提升數(shù)據(jù)安全保障水平的重要內(nèi)容。保護重要數(shù)據(jù)安全既是行政義務，也應升格為刑事義務，如果數(shù)據(jù)處理者怠于履行重要數(shù)據(jù)安全保護義務，對國家安全和公共利益造成實質(zhì)危害，理應承擔包括刑事責任在內(nèi)的法律責任?？傊诩骖櫺谭ǖ闹t抑性與預防性的基礎上，有必要進一步完善我國數(shù)據(jù)安全犯罪立法，并結(jié)合相關法律規(guī)范探尋和厘清數(shù)據(jù)處理者承擔重要數(shù)據(jù)安全保護義務的合理范圍以及對其施加不作為刑事責任的合理邊界。

二、數(shù)據(jù)處理者怠于履行重要數(shù)據(jù)安全保護義務的刑事責任虛置

平臺經(jīng)濟的快速發(fā)展不斷催生新的產(chǎn)業(yè)形態(tài)并逐漸改變社會治理結(jié)構(gòu)，以互聯(lián)網(wǎng)企業(yè)為代表的重要數(shù)據(jù)的處理者開始掌握隱形的“數(shù)據(jù)權(quán)力”，在網(wǎng)絡世界的“共治”地位或“守門人”角色日漸凸顯，但是該領域中的特別社會地位產(chǎn)生的不是支配而是特別義務。對于從事數(shù)據(jù)處理活動的互聯(lián)網(wǎng)企業(yè)而言，要堅持安全與發(fā)展并重的基本原則，把保障重要數(shù)據(jù)安全放在突出位置，建立標準化、覆蓋全生命周期的重要數(shù)據(jù)安全合規(guī)管理體系，切實履行防范重要數(shù)據(jù)安全風險的主體責任。然而，當重要數(shù)據(jù)的處理者怠于履行安全保護義務致使重要數(shù)據(jù)泄露或者被竊取、篡改、毀損、非法使用且造成嚴重后果，在追究其刑事責任時卻陷入罪名適用的困境。

(一)數(shù)據(jù)處理者的重要數(shù)據(jù)安全保護義務與平臺責任

我國立法上關于保護重要數(shù)據(jù)安全的規(guī)定經(jīng)歷了一個從無到有、漸進完善的過程。2016年11月7日，第十二屆全國人大常委會第二十四次會議審議通過的《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)首次在國家立法層面引入“重要數(shù)據(jù)”這一概念，但并未說明其內(nèi)涵和外延，僅是規(guī)定關鍵信息基礎設施的運營者在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)應當在境內(nèi)存儲，初步形成保護重要數(shù)據(jù)安全的觀念。2021年6月10日，第十三屆全國人大常委會第二十九次會議審議通過的《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)在明確定義何為數(shù)據(jù)安全的同時規(guī)定數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應當履行數(shù)據(jù)安全保護義務，要求建立數(shù)據(jù)分類分級保護制度，制定相關行業(yè)、領域的重要數(shù)據(jù)目錄，對列入目錄的數(shù)據(jù)進行重點保護。2021年11月14日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》在明確界定重要數(shù)據(jù)內(nèi)涵和外延的基礎上，專設第四章“重要數(shù)據(jù)安全”，詳細規(guī)定了重要數(shù)據(jù)的處理者相較于一般數(shù)據(jù)的處理者更為嚴格的安全保護義務以及怠于履行相關義務應承擔的行政責任和刑事責任。2022年1月5日，國家互聯(lián)網(wǎng)信息辦公室等十三部門聯(lián)合發(fā)布新修訂的《網(wǎng)絡安全審查辦法》，將網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網(wǎng)絡安全審查范圍，針對重要數(shù)據(jù)安全，重點關注以下兩類風險：一是重要數(shù)據(jù)被竊取、泄露、毀損以及非法利用、非法出境的風險；二是上市存在重要數(shù)據(jù)被外國政府影響、控制、惡意利用的風險。至此，我國保護重要數(shù)據(jù)安全的行政法律規(guī)范體系基本形成。

互聯(lián)網(wǎng)企業(yè)是網(wǎng)絡平臺的締造者和管理者，而網(wǎng)絡平臺是當前網(wǎng)絡生態(tài)系統(tǒng)和數(shù)字社會結(jié)構(gòu)的樞紐所在，自動化數(shù)據(jù)處理是其核心功能，特別是關系國家安全、國計民生、公共利益的重點行業(yè)、領域的互聯(lián)網(wǎng)企業(yè)及各類產(chǎn)品和服務提供商所運營或控制的關鍵信息基礎設施產(chǎn)生、匯聚了海量重要數(shù)據(jù)?；ヂ?lián)網(wǎng)企業(yè)依托這些網(wǎng)絡平臺開展的數(shù)據(jù)處理活動對于國家數(shù)據(jù)安全具有重大影響，對此，2021年3月15日，習近平在中央財經(jīng)委員會第九次會議上強調(diào)，要強化平臺企業(yè)數(shù)據(jù)安全責任。這是因為，特別社會領域不同于一般社會領域之處在于，它對某些人提出了特別的積極要求，行為人只要進入該領域，就必須依要求行事。在關系國家安全與公共利益的重要數(shù)據(jù)安全領域，保障重要數(shù)據(jù)安全有賴于政府、企業(yè)和行業(yè)組織等多方力量的協(xié)同參與，以平臺企業(yè)為代表的數(shù)據(jù)處理者在獲得經(jīng)濟利益的同時必須積極配合監(jiān)管部門承擔重要數(shù)據(jù)安全保護職責，盡到合理注意義務，一方面，數(shù)據(jù)處理者應當對重要數(shù)據(jù)采取備份、加密、訪問控制等必要的技術(shù)和管理措施，防范數(shù)據(jù)安全事件的發(fā)生；另一方面，當發(fā)現(xiàn)數(shù)據(jù)安全風險或發(fā)生數(shù)據(jù)安全事件時，數(shù)據(jù)處理者應當立即采取補救措施或及時啟動應急響應機制，防止危害結(jié)果進一步擴大。簡言之，只有數(shù)據(jù)處理者切實履行重要數(shù)據(jù)安全保護義務，數(shù)據(jù)安全才能真正落到實處。反之，如果數(shù)據(jù)處理者怠于履行重要數(shù)據(jù)安全保護義務，則應當對法益侵害結(jié)果承擔平臺責任(包括刑事責任)。平臺企業(yè)的責任內(nèi)容分為積極作為義務和消極不利后果兩個面向，這里的平臺責任是消極意義上的后果性責任，即重要數(shù)據(jù)的處理者對于違反積極作為義務所承擔的不利性法律后果。

(二)拒不履行信息網(wǎng)絡安全管理義務罪的適用困境

《刑法修正案(九)》增設的拒不履行信息網(wǎng)絡安全管理義務罪以不履行法定作為義務的平臺責任模式開啟了網(wǎng)絡服務提供者承擔刑事責任的新路徑。該責任是在正犯責任基礎上的進一步延伸和強化，將建立和管理網(wǎng)絡平臺上的網(wǎng)絡服務提供者視為特殊主體，在特定情況下，對于因怠于履行信息網(wǎng)絡安全管理義務而出現(xiàn)嚴重危害后果的網(wǎng)絡服務提供者，以獨立的罪名直接追究其不作為、不配合的刑事責任，旨在加大對網(wǎng)絡服務提供者犯罪刑事制裁的力度。數(shù)據(jù)處理者同網(wǎng)絡服務提供者一樣，多數(shù)為互聯(lián)網(wǎng)企業(yè)，具有很強的平臺屬性，那么，對于數(shù)據(jù)處理者怠于履行重要數(shù)據(jù)安全保護義務的行為能否適用拒不履行信息網(wǎng)絡安全管理義務罪？

首先，就行為主體而言，拒不履行信息網(wǎng)絡安全管理義務罪的犯罪主體要求具備網(wǎng)絡服務提供者這一特殊身份。然而，網(wǎng)絡服務提供者與數(shù)據(jù)處理者是兩個不同的身份概念，前者是指通過信息網(wǎng)絡向社會公眾提供相應網(wǎng)絡服務的組織或者個人；后者是指在數(shù)據(jù)處理活動中自主決定處理目的和處理方式的組織或者個人。網(wǎng)絡服務與數(shù)據(jù)處理也是兩種不同類型的業(yè)務活動，根據(jù)提供的服務類型，可以將網(wǎng)絡服務細分為網(wǎng)絡接入服務、網(wǎng)絡內(nèi)容服務、網(wǎng)絡應用服務等，數(shù)據(jù)處理則包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。與業(yè)務活動相對應的義務內(nèi)容也有明顯差異，重要數(shù)據(jù)安全保護義務不同于信息網(wǎng)絡安全管理義務。因此，雖然某一平臺企業(yè)可能既是網(wǎng)絡服務提供者，同時又是數(shù)據(jù)處理者，但兩者不宜混淆，而應當根據(jù)具體從事的業(yè)務活動的內(nèi)容區(qū)分其在不同場景下的身份，明晰其所應當履行的法定義務。

其次，就行為對象而言，由于立法的相對滯后性，目前《刑法》中尚未使用“重要數(shù)據(jù)”這一術(shù)語，那么在解釋論層面拒不履行信息網(wǎng)絡安全管理義務罪的行為對象能否涵攝“重要數(shù)據(jù)”？《刑法》第286條之一及相關司法解釋將拒不履行信息網(wǎng)絡安全管理義務罪的行為對象限定為三類：違法信息、用戶信息、刑事案件證據(jù)?！爸匾獢?shù)據(jù)”明顯不屬于《關于辦理非法利用信息網(wǎng)絡、幫助信息網(wǎng)絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《信息網(wǎng)絡犯罪司法解釋》)第3條和第5條所界定的“違法信息”或“刑事案件證據(jù)”。《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯公民個人信息罪司法解釋》)第9條將“用戶信息”解釋為“用戶的公民個人信息”?！毒W(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》均對重要數(shù)據(jù)與個人信息的保護做了明確的區(qū)分，全國信息安全標準化技術(shù)委員會制定的國家標準《信息安全技術(shù) 重要數(shù)據(jù)識別指南(征求意見稿)》中特別說明：“重要數(shù)據(jù)不包括國家秘密和個人信息。”由此可見，拒不履行信息網(wǎng)絡安全管理義務罪的行為對象范圍無法容納重要數(shù)據(jù)。

最后，就保護法益而言，有學者認為拒不履行信息網(wǎng)絡安全管理義務罪設置在《刑法》第六章“妨害社會管理秩序罪”的“擾亂公共秩序罪”一節(jié)中，其所保護的法益是作為公共秩序的新組成部分的信息網(wǎng)絡安全管理秩序，具體內(nèi)涵是網(wǎng)絡服務提供者和國家信息網(wǎng)絡監(jiān)管機關各司其職，共同維護網(wǎng)絡運行安全和信息安全，從而達成網(wǎng)絡空間安全、穩(wěn)定、有序、可預測的狀態(tài)。但這一表述過于抽象，難以對構(gòu)成要件的解釋起到指導作用。另有學者在此基礎上進一步提出信息網(wǎng)絡安全管理的內(nèi)涵指向的是網(wǎng)絡信息傳播治理，從而將該罪所保護的法益確定為具備公共利益屬性的特定信息專有權(quán)。但這一限縮解釋缺乏實質(zhì)根據(jù)，偏離立法者的本意，與本罪對結(jié)果、情節(jié)的規(guī)定也不完全吻合。筆者認為，有關法律、行政法規(guī)之所以對網(wǎng)絡服務提供者規(guī)定了必要的信息網(wǎng)絡安全管理義務，目的是規(guī)范和加強網(wǎng)絡安全技術(shù)防范工作，保障網(wǎng)絡運行安全和網(wǎng)絡信息安全，促進可合法利用的信息資源的共享。不同于非法侵入計算機信息系統(tǒng)罪、破壞計算機信息系統(tǒng)罪等側(cè)重于保護網(wǎng)絡信息系統(tǒng)安全的罪名，《刑法修正案(九)》增設拒不履行信息網(wǎng)絡安全管理義務罪體現(xiàn)了保護信息網(wǎng)絡安全從技術(shù)層面的網(wǎng)絡信息系統(tǒng)安全向現(xiàn)實生活層面的信息網(wǎng)絡內(nèi)容安全延伸的立法意圖。因此，可以將信息網(wǎng)絡內(nèi)容的合法性與安全性作為本罪的保護法益。一方面，網(wǎng)絡服務提供者需要確保信息網(wǎng)絡內(nèi)容的合法性，不能導致違法有害信息的傳播；另一方面，網(wǎng)絡服務提供者需要確保信息網(wǎng)絡內(nèi)容的安全性，既不能泄露不應當披露的用戶信息，還應當確保信息網(wǎng)絡內(nèi)容不被非法利用。但重要數(shù)據(jù)安全區(qū)別于信息網(wǎng)絡內(nèi)容的安全，強調(diào)的是重要數(shù)據(jù)本身及數(shù)據(jù)處理活動的安全，確保其處于有效保護、合法利用的狀態(tài)。大數(shù)據(jù)時代的到來推動互聯(lián)網(wǎng)的核心功能實現(xiàn)了由“計算”到“數(shù)據(jù)處理”的轉(zhuǎn)型升級，隨著數(shù)據(jù)的獨立客體地位及保護價值逐漸為法律規(guī)范所承認，數(shù)據(jù)安全成為獨立于信息網(wǎng)絡安全的保護對象，在數(shù)據(jù)犯罪中確立數(shù)據(jù)安全的獨立法益地位已成為大多數(shù)學者的共識。那么，基于法益對犯罪類型的區(qū)分機能，侵害數(shù)據(jù)安全法益的怠于履行重要數(shù)據(jù)安全保護義務行為與旨在保護信息網(wǎng)絡內(nèi)容安全法益的拒不履行信息網(wǎng)絡安全管理義務罪之間存在根本性抵牾，難以在適用邏輯上自洽。

重要數(shù)據(jù)安全并不僅僅在于技術(shù)本身，更在于因數(shù)據(jù)的開放、流通和應用而導致的各種風險和危機。為規(guī)范重要數(shù)據(jù)處理活動、防范和應對重要數(shù)據(jù)安全風險，《數(shù)據(jù)安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》賦予重要數(shù)據(jù)的處理者積極性、更為嚴格的重要數(shù)據(jù)安全保護義務，并且設置了怠于履行相關義務應當承擔刑事責任的條款，但這一不作為行為在現(xiàn)行《刑法》上卻沒有對應的罪名可以適用，不能以犯罪論處，使得數(shù)據(jù)處理者怠于履行重要數(shù)據(jù)安全保護義務的刑事責任陷入虛置的困境，也使得重要數(shù)據(jù)安全刑法保護顯得尤為孱弱。

三、數(shù)據(jù)處理者居于保證人地位及其承擔刑事作為義務的實質(zhì)根據(jù)

數(shù)據(jù)處理者因怠于履行重要數(shù)據(jù)安全保護義務造成實質(zhì)危害后果而承擔不作為刑事責任，實際上包含著一定的刑事合規(guī)要求。由于不作為犯具有違反誡命的特質(zhì)，法律上特別強調(diào)某些要素，行為人必須對于危害結(jié)果的發(fā)生居于保證人地位，才可能構(gòu)成不作為犯罪。保證人地位使行為人必須依法承擔防止危害結(jié)果發(fā)生的作為義務。因此，將數(shù)據(jù)處理者的某一不作為行為入罪施加刑事責任，必須闡釋其居于保證人地位以及承擔作為義務的實質(zhì)根據(jù)，即從學理上闡釋賦予數(shù)據(jù)處理者保證人地位及刑事作為義務的正當性，進而通過設置相應的罪刑規(guī)范將數(shù)據(jù)處理者的保證人地位及刑事作為義務法定化。如果數(shù)據(jù)處理者的刑事作為義務邊界不明晰，可能產(chǎn)生恣意發(fā)動刑罰權(quán)、隨意出入人罪的法治風險。借助保證人理論可以對數(shù)據(jù)處理者作為義務的實質(zhì)來源與具體類型進行教義學闡釋，既為司法機關提供明確的裁判規(guī)范，劃定罪與非罪的界限，也為數(shù)據(jù)處理者提供明確的行為規(guī)范，使其知曉可為與不可為的畛域。

德國刑法學者納格勒首次提出“保證人理論”，認為只有負擔著在具有結(jié)果發(fā)生的現(xiàn)實危險的狀態(tài)下必須防止結(jié)果發(fā)生這一法律義務的保證人實施的不作為，才該當構(gòu)成要件，即處于保證人地位的人的不作為才符合構(gòu)成要件。從而將保證人地位及作為義務的判斷納入構(gòu)成要件該當性階段。其后，阿明·考夫曼繼受了納格勒所提出的保證人地位學說，倡導運用實質(zhì)考察的方法確定保證人作為義務的來源，為避免保證人義務被無限擴大而提出“功能的二分說”，即根據(jù)功能的不同，可以將保證人義務分為危險源監(jiān)督義務與法益保護義務，前者是針對某一特定危險的保證，其內(nèi)容乃是監(jiān)督這一危險，避免其造成法益侵害結(jié)果(所謂監(jiān)督者保證人地位)；后者是保證某一特定利益或數(shù)個利益不遭受任意的危險(所謂保護者保證人地位)。“這兩種義務歸根結(jié)底是根據(jù)是否能夠社會性地期待行為人直接或間接地保護該法益這一標準來決定的，而社會性期待是由行為人的社會角色來決定的?！痹诖嘶A上，有學者提出“行為期待說”，認為某些關系或情況下之所以會產(chǎn)生作為義務，是因為存在某種行為期待：只要一個社會存有規(guī)范來規(guī)制人們的行為，人們就必須承擔某種對應其處境的社會角色，而從社會角色出發(fā)會產(chǎn)生行為期待，指示人們哪些行為是在其所處的社會角色之中被他人所期待的，藉此而得以創(chuàng)造個體之間的合致性，并建立日常生活的安全性和可信賴性，簡化個體在日常生活中遭遇的復雜性。所謂保證人地位，就是行為人在某些情境下，被期待應有特定作為的社會角色。在此種情況下，法益保護強烈依賴于保證人的作為，為特定法益提供保護在社會層面上受到人們的強烈期待。

另有學者提出“結(jié)果原因支配說”，認為保證人地位并不能單純從社會角色本身自然確立，保證人概念的核心特征是對出現(xiàn)結(jié)果的原因的控制支配，應以行為人是否對發(fā)生結(jié)果的原因有支配來界定其有無保證人地位及作為義務，進而確定保證人責任的界限。從“結(jié)果原因的支配”這一視角出發(fā)，結(jié)合前述保證人的功能二分說，可以對結(jié)果發(fā)生的原因的支配分為兩種情形：對危險源的支配和對法益脆弱性的支配。不作為犯中判斷行為人是否負有危險源監(jiān)督義務或法益保護義務，需要檢視其是否事先已經(jīng)實際上支配了危險源或者特定脆弱法益。這種控制支配一般來源于兩方面：一是行為人基于自己的意思實施了支配危險源或特定脆弱法益的行為，如科研機構(gòu)管理放射性同位素與射線裝置、醫(yī)院收治生命垂危的交通肇事受害人；二是行為人由于在社會生活中擔任某種社會角色，負責某一社會領域的正常運行，從而產(chǎn)生對該領域的控制支配，如保管員看護單位倉庫存放的財物。由此，可以將數(shù)據(jù)處理者在重要數(shù)據(jù)安全管理領域的角色和作用與保證人地位及作為義務的實質(zhì)根據(jù)相匹配、銜接。

筆者傾向于贊同“結(jié)果原因支配說”。對結(jié)果原因的支配意味著行為人支配了有可能導致結(jié)果的危險的原因，“對于具備了‘結(jié)果原因的支配’的不作為來說，就能因此肯定其保證人的地位，從而肯定作為義務”。進而根據(jù)重要數(shù)據(jù)是保護對象而非危險源，認定數(shù)據(jù)處理者居于保護者保證人地位，并負有保護數(shù)據(jù)安全法益的作為義務，但不能給數(shù)據(jù)處理者施加超出其作為能力的重要數(shù)據(jù)安全保護義務。此種保證人地位，基礎在于行為人在自己管轄或控制支配領域，對特定法益負有保護其不受侵害的義務。即對引起法益侵害危險的原因的控制支配是決定義務的要素，賦予作為義務，為的是防護法益免于遭受不法侵害。具體而言，基于數(shù)據(jù)處理者這一角色定位，其在重要數(shù)據(jù)處理活動中可以依法自主決定處理目的和處理方式，對于可能引起數(shù)據(jù)安全事件的數(shù)據(jù)安全漏洞、缺陷等風險也有能力進行評估、監(jiān)測、預警、補救和處置，實際上形成對導致數(shù)據(jù)安全法益侵害危險的原因的控制支配。數(shù)據(jù)處理者在自己管轄支配的領域有責任保護重要數(shù)據(jù)安全不受侵害，脆弱的重要數(shù)據(jù)安全的保護也強烈依賴于數(shù)據(jù)處理者的作為，而且越來越受到全社會的普遍期待。

數(shù)據(jù)處理者的行為被評價為刑法上的不作為，僅限于不實施被期待的特定行為，這些為社會所期待的行為一般可以通過罪行規(guī)范轉(zhuǎn)化為類型化的重要數(shù)據(jù)安全保護義務(刑事作為義務)。著眼于實現(xiàn)不作為犯意義上的保證人義務指引目的，對重要數(shù)據(jù)安全保護義務進行分類須符合以下兩個標準：其一，義務類型必須與數(shù)據(jù)處理者的保證人地位之間具有特定的、專屬的關聯(lián)性；其二，義務類型必須在確定作為義務與不作為行為的對應關系中發(fā)揮作用。根據(jù)數(shù)據(jù)處理者履行作為義務的時間，可以把相關法律、行政法規(guī)所規(guī)定的重要數(shù)據(jù)安全保護義務劃分為事前防范義務和事后處置義務，其中事前防范義務體現(xiàn)為要求數(shù)據(jù)處理者采取相應的管理、技術(shù)等措施評估、監(jiān)測、預警和管控重要數(shù)據(jù)安全風險，避免發(fā)生數(shù)據(jù)安全事件；事后處置義務體現(xiàn)為要求數(shù)據(jù)處理者在數(shù)據(jù)安全事件發(fā)生后及時啟動應急響應機制，立即采取處置措施防止危害擴大，消除安全隱患，并如實向有關主管部門報告事件情況。

四、數(shù)據(jù)處理者怠于履行重要數(shù)據(jù)安全保護義務的刑事責任及其限度

刑法是規(guī)范并維護社會共同生活秩序的最后手段，能夠不使用刑罰而以其他手段也可以達到法益保護目的時，則必須放棄刑罰。秉持“在現(xiàn)有刑法基礎上引入新的規(guī)范或者對其進行強化，僅僅在公民沒有保護被侵犯的法益的手段時才能使用”的謙抑理念的前提下，可以嘗試從立法論的角度探討在《刑法》中增設專門罪名規(guī)制有能力而拒不履行重要數(shù)據(jù)安全保護義務行為的必要性、可行性及具體方案，進而審慎確定數(shù)據(jù)處理者承擔不作為刑事責任的合理邊界。

(一)增設拒不履行重要數(shù)據(jù)安全保護義務罪

刑法的目的與任務是保護法益，刑事立法上，對于某種社會之生活利益是否應以刑法手段加以保護，莫不以法益概念作為決定的依據(jù)。法益保護主義對刑事立法有兩個方面的要求：在通過限制刑事立法確保國民的自由的同時，必須有保護新的法益的刑事立法。這就要求立法者一方面要考慮在社會發(fā)展變化后，出現(xiàn)哪些新的重要利益值得刑法保護，因為法益沒有自然法的永恒效力，而是跟隨憲法基礎和社會關系的變遷而變化；另一方面應當根據(jù)行為是否嚴重侵犯了值得由刑法來保護的生活利益來確定處罰范圍。即刑法因保護新法益需要增設新罪時，只能將嚴重侵犯法益或者侵犯重要法益的行為規(guī)定為犯罪。相較于公民個人信息泄露所造成的危害后果，影響國家安全與公共利益的重要數(shù)據(jù)一旦遭到泄露、竊取、篡改、毀損、非法使用，可能引起更廣泛、更嚴重的法益侵害。有學者對此指出，“除了虛擬財產(chǎn)以外，大數(shù)據(jù)時代的其他重要數(shù)據(jù)顯然已經(jīng)成為生產(chǎn)資料，成為重要的法益，需要刑法的保護，增加相關的數(shù)據(jù)犯罪，已經(jīng)不可避免”。犯罪圈并不是越小越好，之所以科處刑罰，是因為對保護全體國民利益而言存在必要性，刑事立法不能只單純強調(diào)限制處罰范圍，而應當強調(diào)處罰范圍的合理性、妥當性。換言之，我國刑事立法應當從“限定的處罰”轉(zhuǎn)向“妥當?shù)奶幜P”，在新類型的法益侵害明顯增加的情況下，就需要增設新的犯罪。因此，堅持以總體國家安全觀為基礎的消極預防性刑法觀，通過理性增設新罪、合理確定處罰范圍，督促數(shù)據(jù)處理者切實履行重要數(shù)據(jù)安全保護義務、強化數(shù)據(jù)安全法益的刑法保護、防范重要數(shù)據(jù)安全風險是必要且合理的，亦可以有效化解預防性刑法觀的正當性危機。

近現(xiàn)代國家的刑法分則，一般根據(jù)犯罪行為所侵犯的法益內(nèi)容對犯罪進行分類，進而設置相應的章節(jié)。依據(jù)怠于履行重要數(shù)據(jù)安全保護義務行為所侵犯的數(shù)據(jù)安全法益的公共秩序?qū)傩砸约氨３肿锩w系協(xié)調(diào)，可以在《刑法》第六章“妨害社會管理秩序罪”第一節(jié)“擾亂公共秩序罪”中增設第286條之二“拒不履行重要數(shù)據(jù)安全保護義務罪”。條文的具體內(nèi)容如下：

數(shù)據(jù)處理者不履行法律、行政法規(guī)規(guī)定的重要數(shù)據(jù)安全保護義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，致使重要數(shù)據(jù)遭受泄露、竊取、篡改、毀損、非法使用，造成嚴重后果的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規(guī)定處罰。

有前兩款行為，同時構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。

“刑罰法則，事先將應當保護的法益加以特定，除了行為主體之外，還將侵害法益的手段、方法、行為狀況等規(guī)定為構(gòu)成要件的內(nèi)容?！鼻拔脑谡撟C怠于履行重要數(shù)據(jù)安全保護義務行為無法適用拒不履行信息網(wǎng)絡安全管理義務罪時已對數(shù)據(jù)處理者(行為主體)、重要數(shù)據(jù)(行為對象)等概念的內(nèi)涵與外延做了詳細闡釋，此處不再贅述。下文將主要圍繞作為義務的形式來源、行政程序性前置條件、實質(zhì)性危害結(jié)果要件等三個方面對拒不履行重要數(shù)據(jù)安全保護義務罪的性質(zhì)與內(nèi)容進行全面分析。

(二)作為義務的形式來源：法律、行政法規(guī)的規(guī)定

不作為是一個評價問題，唯有從作為義務不履行的意義上對不作為加以界定，才能真正理解不作為的實行行為，就此而言，不作為是指行為人負有實施某種積極行為的特定法律義務，并且能夠履行卻消極地不履行。同拒不履行信息網(wǎng)絡安全管理義務罪一樣，拒不履行重要數(shù)據(jù)安全保護義務罪是純正不作為犯，即刑法規(guī)定只能以不作為形式實施犯罪的情形，以未實施法律所期待實施的一定行為作為構(gòu)成要件行為。那么，純正不作為犯的作為義務從何而來？“關于真正不作為犯，由于在刑罰法規(guī)中明確規(guī)定了命令規(guī)范，所以作為義務是明確的。”這里的命令規(guī)范不是指刑法規(guī)范本身，而是指向其他法規(guī)范所設定的義務。換言之，應通過列舉作為義務的法律淵源以確定作為義務的根據(jù)，即從前置法中尋求作為義務的形式來源。有學者指出，“在純正的不作為的情況下，其他法律規(guī)定的作為義務經(jīng)由刑法確認，在第二義上，純正的不作為的作為義務也可以說是刑法規(guī)定的，只不過刑法規(guī)定是以其他法律的規(guī)定為來源的。在這個意義上，純正不作為的作為義務來源的法律規(guī)定具有雙重性?！庇纱?，民法、行政法等前置法明文規(guī)定的作為義務升格為刑法法秩序所認定的形式作為義務。拒不履行重要數(shù)據(jù)安全保護義務罪是數(shù)據(jù)處理者違反重要數(shù)據(jù)安全保護義務超出合理注意義務引起的平臺犯罪，首先是違反前置法的行為。需注意的是，不作為型法定犯所違反的前置法的范圍須嚴格遵守相關規(guī)定，不可任意擴大至《刑法》第96條“國家規(guī)定”以外的規(guī)范，否則犯罪圈有過寬之嫌，并可能導致隨意出入人罪。因此，地方性法規(guī)、部門規(guī)章以及地方政府規(guī)章等位階較低的規(guī)范性文件不宜作為重要數(shù)據(jù)安全保護義務的法源，只能以具有全國效力的“法律、行政法規(guī)規(guī)定的重要數(shù)據(jù)安全保護義務”作為拒不履行重要數(shù)據(jù)安全保護義務罪的作為義務的形式來源。

純正不作為犯將不作為當作明示的構(gòu)成要件要素由刑法直接加以規(guī)定，對不作為成立犯罪的條件在條文上明確規(guī)定，“這種場合，犯罪類型自身事先明確規(guī)定了應當做什么，因此，在解釋上，并不成為問題。只是在行政刑法的領域，有將真正不作為犯和作為犯一樣無原則地廣泛處罰的傾向，這存在疑問”。拒不履行數(shù)據(jù)安全保護義務罪的構(gòu)成要件在表述上并未明確說明重要數(shù)據(jù)安全保護義務的具體內(nèi)容，而是以空白罪狀的方式規(guī)定數(shù)據(jù)處理者的作為義務。因此，刑事司法實踐中在認定數(shù)據(jù)處理者是否有怠于履行重要數(shù)據(jù)安全保護義務的行為時，需要援引法律、行政法規(guī)的相關規(guī)定。具體而言，著眼于建立健全全流程數(shù)據(jù)安全管理制度，防范針對和利用重要數(shù)據(jù)的違法犯罪活動，《數(shù)據(jù)安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》等法律、行政法規(guī)要求重要數(shù)據(jù)的處理者承擔八項作為義務：一，明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構(gòu)；二，識別重要數(shù)據(jù)后向設區(qū)的市級網(wǎng)信部門備案；三，制定數(shù)據(jù)安全培訓計劃，組織開展全員數(shù)據(jù)安全教育培訓；四，優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；五，定期開展數(shù)據(jù)安全風險評估，并向設區(qū)的市級網(wǎng)信部門報送風險評估報告；六，共享、交易、委托處理重要數(shù)據(jù)應當征得設區(qū)的市級及以上主管部門同意，向境外提供重要數(shù)據(jù)應申報網(wǎng)絡安全審查；七，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，立即采取補救措施；八，發(fā)生數(shù)據(jù)安全事件時，立即采取處置措施，并按規(guī)定及時向主管部門報告。梳理和闡明重要數(shù)據(jù)安全保護義務具體內(nèi)容的意義在于，通過對構(gòu)成要件要素的解釋來劃定刑法的處罰范圍，厘清重要數(shù)據(jù)的處理者承擔不作為刑事責任的邊界，并為其開展重要數(shù)據(jù)處理活動提供明確的合規(guī)指引。

(三)行政程序性前置條件：經(jīng)監(jiān)管部門責令改正

拒不履行重要數(shù)據(jù)安全保護義務罪是一個典型的義務犯，其實質(zhì)根據(jù)在于對行為人所承擔的社會角色和規(guī)范義務的違反，其不法內(nèi)涵是通過特定的不履行積極行為義務表現(xiàn)出來的，而且是“更嚴格”的義務犯，其“義務”內(nèi)容具有雙層次的特點：第一層次義務是行政義務，即“法律、行政法規(guī)規(guī)定的重要數(shù)據(jù)安全保護義務”；第二層次是刑事義務，即“經(jīng)監(jiān)管部門責令采取改正措施”。兩者在邏輯上是一種遞進關系，只有在行為人已經(jīng)違反第一層次義務的前提下，進一步違反第二層次義務時，其行為才可能受到刑法的評價，因而本罪的刑事可罰性落腳于后者。刑法中絕大多數(shù)義務犯都沒有第二層次義務的要求，在本罪為重要數(shù)據(jù)的處理者特別設計了不同于一般義務犯的入罪標準，主要是考慮：其一，在立法中平衡政府職能部門對于重要數(shù)據(jù)安全的監(jiān)管職責與數(shù)據(jù)處理者的重要數(shù)據(jù)安全保護義務，避免過分增加數(shù)據(jù)處理者的法律負擔；其二，在行為人不履行作為義務的基礎上，置入前置程序可以在行政責任與刑事責任之間設立緩沖區(qū)，對刑事處罰的范圍進行必要的限制，體現(xiàn)刑法的謙抑性。《刑法》中與之相類似的“責令改正”表述還有消防責任事故罪中“經(jīng)消防監(jiān)督機構(gòu)通知采取改正措施而拒絕執(zhí)行”；拒不支付勞動報酬罪中“經(jīng)政府有關部門責令支付仍不支付”；巨額財產(chǎn)來源不明罪中“可以責令該國家工作人員說明來源，不能說明來源的，差額部分以非法所得論”。易言之，數(shù)據(jù)處理者單純不履行法律、行政法規(guī)規(guī)定的重要數(shù)據(jù)安全保護義務尚不足以構(gòu)成刑法意義上的犯罪，還須符合“經(jīng)監(jiān)管部門責令采取改正措施而拒不改正”這一行政程序性前置條件，這是追究平臺刑事責任的前提。有學者將之稱為“程序性構(gòu)成要件要素”，其特點是立法機關為限制刑事處罰范圍給予被告人一次出罪的機會，即在有關機關或他人提出某種程序性要求時，被告人仍不作為，從而失去了出罪的機會。程序性構(gòu)成要件要素具有雙重功能：從實體功能來看，有利于判斷犯罪是否成立及確定處罰范圍；從訴訟功能來看，可以有效降低構(gòu)成要素的證明難度，使個罪構(gòu)成要件主觀要素在實踐上更加容易認定。在司法實踐中認定“經(jīng)監(jiān)管部門責令采取改正措施而拒不改正”，應當綜合考慮監(jiān)管部門責令改正是否具有法律、行政法規(guī)依據(jù)，改正措施及期限要求是否明確、合理，數(shù)據(jù)處理者是否具有按照要求采取改正措施的能力等因素進行綜合判斷。

“責令改正”在法律性質(zhì)上屬于行政機關依照職權(quán)要求行政違法相對人停止并糾正違法行為的一種具有執(zhí)行力的行政命令。通過監(jiān)管部門發(fā)出的通知或指令，數(shù)據(jù)處理者明確知悉自己的行為已經(jīng)違反法律、行政法規(guī)的規(guī)定以及接下來需要采取哪些改正措施。如此，重要數(shù)據(jù)安全保護義務不再是抽象的法定義務，而是具體到某個特定的數(shù)據(jù)處理者身上的作為義務。有權(quán)“責令采取改正措施”的主體僅限于法律、行政法規(guī)賦予數(shù)據(jù)安全監(jiān)管職責的部門，監(jiān)管部門只能在其法定職權(quán)的范圍內(nèi)就法定的監(jiān)管內(nèi)容向數(shù)據(jù)處理者提出采取改正措施的要求，并以文書形式送達。就義務類型而言，“采取改正措施”是一種配合義務，如果數(shù)據(jù)處理者在怠于履行重要數(shù)據(jù)安全保護義務之后不聽從監(jiān)管部門的告誡性命令及時予以改正，而是繼續(xù)不作為，即是對行政命令的故意不服從或公然違抗，使得不法程度明顯升高、主觀惡性較大，將導致自上而下的數(shù)據(jù)安全管理失靈。簡言之，數(shù)據(jù)處理者經(jīng)監(jiān)管部門責令改正之后依然不作為，很大程度上承擔的是一種不配合責任?；诜ǘǚ复嬖凇胺ㄒ嫘缘那啡薄边@一先天不足，對于妨害數(shù)據(jù)安全管理秩序的法定犯，不宜單純因為對規(guī)范的不服從就認定為犯罪，必須轉(zhuǎn)化為實質(zhì)危害。此外，拒不履行重要數(shù)據(jù)安全保護義務罪的主觀罪過為故意，數(shù)據(jù)處理者只有對不履行法律、行政法規(guī)規(guī)定的重要數(shù)據(jù)安全保護義務有認識且拒不遵照監(jiān)管部門的責令改正通知執(zhí)行，才有被追究不作為責任的可能性，出于過失的行為不應承擔刑事責任。

(四)實質(zhì)性危害結(jié)果要件：發(fā)生數(shù)據(jù)安全事件且造成嚴重后果

隨著步入以數(shù)據(jù)為關鍵生產(chǎn)要素的數(shù)字經(jīng)濟時代，重要數(shù)據(jù)的收集、存儲、流轉(zhuǎn)、加工、使用等處理活動日漸頻繁且規(guī)模不斷擴大。數(shù)據(jù)密集型活動的流動性和復雜性既使得傳統(tǒng)的數(shù)據(jù)安全風險大幅增加，也引發(fā)了新型的數(shù)據(jù)安全風險和挑戰(zhàn)。既往事后懲治非法獲取、破壞重要數(shù)據(jù)行為與單方面追究竊取者、破壞者刑事責任的數(shù)據(jù)安全刑法保護策略的有效性降低?；诖朔N背景，必須雙管齊下，夯實數(shù)據(jù)處理者的法律責任，事前防范針對和利用重要數(shù)據(jù)的違法犯罪活動。從完善數(shù)據(jù)安全刑法保護體系、增強數(shù)據(jù)安全刑法保護力度出發(fā)，增設的拒不履行重要數(shù)據(jù)安全保護義務罪應以危害結(jié)果為構(gòu)成要件要素，賦予數(shù)據(jù)處理者結(jié)果回避義務，即發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，立即采取補救措施，消除安全隱患，避免發(fā)生數(shù)據(jù)安全事件，或者一旦發(fā)生數(shù)據(jù)安全事件及時采取處置措施防止危害擴大，從源頭保障數(shù)據(jù)安全。如果數(shù)據(jù)處理者怠于履行結(jié)果回避義務，將承擔構(gòu)成要件該當結(jié)果的刑事責任。

數(shù)據(jù)安全涉及有效保護與合法利用兩個面向，《數(shù)據(jù)安全法》強調(diào)“國家統(tǒng)籌發(fā)展和安全，堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”，《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》進一步提出“堅持促進數(shù)據(jù)開發(fā)利用與保障數(shù)據(jù)安全并重”的基本原則，要求“加強數(shù)據(jù)安全防護能力建設，保障數(shù)據(jù)依法有序自由流動，促進數(shù)據(jù)依法合理有效利用”。因此，廣義的數(shù)據(jù)安全的內(nèi)涵不僅包括靜態(tài)安全還包括動態(tài)安全，前者表現(xiàn)為數(shù)據(jù)自身的安全，基本要素是數(shù)據(jù)的保密性、完整性、可用性，重點防控的是重要數(shù)據(jù)泄露或者被竊取、篡改、毀損等不法行為，后者表現(xiàn)為數(shù)據(jù)利用的安全，強調(diào)數(shù)據(jù)挖掘分析、聚合應用等處理活動的正當性和可控性，重點防范的是非法使用重要數(shù)據(jù)的行為。因此，在數(shù)據(jù)本身及數(shù)據(jù)處理活動同時面臨犯罪侵害風險的現(xiàn)實情況下，拒不履行重要數(shù)據(jù)安全保護義務罪在條文設計上應兼顧靜態(tài)數(shù)據(jù)安全與動態(tài)數(shù)據(jù)安全，并對構(gòu)成要件結(jié)果作類型性地描述、具備適當?shù)暮瓟z范圍，“既不能按照現(xiàn)實發(fā)生的個別案件詳盡描述構(gòu)成要件，也不能單純使用抽象的概念，而是要將構(gòu)成要件描述為可以與具體案件相比較的類型”。

發(fā)生數(shù)據(jù)安全事件意味著數(shù)據(jù)安全受到威脅，但并不一定產(chǎn)生刑事可罰性，只有在法益侵害達到實質(zhì)危害的程度時才能構(gòu)成犯罪，即基于危害原則判斷犯罪是否成立，為國家刑罰權(quán)劃定明確的界限，避免過度犯罪化。只有為了防止重大危害或過于邪惡的犯罪行為時，施加刑事責任才具有正當性。追究數(shù)據(jù)處理者的刑事責任應重視對后果危害性的綜合考量，以侵犯數(shù)據(jù)安全管理秩序的行為是否具有現(xiàn)實危害性或者緊迫的現(xiàn)實危險性為定罪標準。因為如果刑法的處罰范圍過于寬泛，則會使較多人的利益受到剝奪，這本身就違反刑法的保護法益的目的。應從實質(zhì)上判斷是否侵害或者威脅法益，是否具有處以刑罰的必要性和合理性，以便實現(xiàn)刑法的法益保護目的，從而將危害輕微的情形除罪化，合理限定犯罪圈，為數(shù)字空間的刑事處罰確立真實的判斷基準，使數(shù)據(jù)安全犯罪的治理盡量恪守罪刑法定的實質(zhì)側(cè)面。因此，拒不履行重要數(shù)據(jù)安全保護義務罪以“造成嚴重后果”為構(gòu)成要件要素，屬于典型的結(jié)果犯。在這種犯罪中，法定的危害結(jié)果是否發(fā)生是區(qū)分罪與非罪的標志，數(shù)據(jù)處理者所承擔的是一種結(jié)果責任，有助于避免陷入“行為一經(jīng)實施即構(gòu)成犯罪”的無邊界刑法的困境，也為司法實踐中數(shù)據(jù)安全犯罪的實質(zhì)出罪留下足夠的空間。重要數(shù)據(jù)一旦遭到泄露、竊取、篡改、毀損、非法利用，可能產(chǎn)生危害國家安全、公共利益的后果。刑法對重要數(shù)據(jù)所承載的國家安全與公共利益的保護不能過于空虛，必須具體化為“造成嚴重后果”的認定標準，將來制定司法解釋可以根據(jù)重要數(shù)據(jù)的類型分別設置數(shù)量標準，還可以設定重大經(jīng)濟損失的數(shù)額標準以及擾亂社會秩序的程度標準等。

綜上所述，拒不履行重要數(shù)據(jù)安全保護義務罪兼具法定犯、純正不作為犯、義務犯、結(jié)果犯等多重屬性。該罪的構(gòu)成要件應與《數(shù)據(jù)安全法》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》等前置法的規(guī)定有效銜接，在恪守比例原則的基礎上兼顧預防性與回應性，既能類型化地預防潛在的重要數(shù)據(jù)安全風險，又可以填補既往數(shù)據(jù)安全犯罪的立法漏洞。該罪的構(gòu)成要件要素在為犯罪規(guī)制提供基礎的同時，也限定了犯罪的成立，從而合理劃定數(shù)據(jù)處理者因怠于履行重要數(shù)據(jù)安全保護義務而承擔刑事責任的范圍。