党的二十大报告指出,强化数据安全保障体系建设,增强全民国家安全意识和素养。我国数据安全法于2021年9月1日施行,与网络安全法、电子商务法、民法典、刑法共同构建起具有中国特色的数据安全保障体系。为保护国家安全、国民经济命脉、重要民生公共利益等,数据安全法提出“国家核心数据”的概念,并规定“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处200万元以上1000万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”可见,数据安全法将“违反国家核心数据管理制度”的行为纳入刑事犯罪的惩处范围,加大了对新型数据犯罪的惩治力度。但在司法实践中,数据安全法与刑法关于涉核心数据犯罪问题的司法衔接存在诸多难题,亟待予以明晰。
核心数据的法理阐释
何为“核心数据”?根据数据安全法规定,我国建立数据分级分类保护制度,将数据分为“重要数据”“核心数据”“政务数据”等。但只对违反国家核心数据管理制度的行为,设定了刑事处罚。对于如何界定“核心数据”学界存在三种不同观点:一是国家风险说,即只要某一数据对国家安全构成潜在威胁,或者说该数据能够影响到国家主权,那么该数据便属于“核心数据”。二是保护密级说。有实务界人士认为,应当按照保护密级的不同,判断核心数据与重要数据之间的差异。而且,核心数据的保护密级要高于重要数据的保护密级。按照该观点,核心数据的范围,有赖于新型保护密级的明确划分。三是回应制裁论。有学者指出,核心数据直指国家安全,主要针对的是国际制裁等对外情况。数据安全法采用列举式方式,将“核心数据”明确为关系到国家安全、国民经济命脉、重要民生、重大公共利益等事项的数据。笔者认为,核心数据的概念界定和范围,不应考虑保护密级、不应区分对内对外,而是持一种动态评估的“国家风险观”。一旦某类数据具备威胁国家安全、国民经济命脉、重要民生、重大公共利益的可能性,均应当划归“核心数据”范围。
涉核心数据犯罪与其他涉数据犯罪的刑法比较
笔者通过对刑法条文的统计分析发现,刑法在具体条文中出现“数据”二字的罪名有4个,即危险作业罪、妨害药品管理罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪”。但这4个罪名的指向范围有限,不足以应对当前的“核心数据”犯罪。其中,前两个罪名属于危害公共安全类犯罪,涉及领域包括“生产安全数据”以及“药品数据”。在行为后果上,既影响行政机关的执法效果,又可能损害社会公众的人身和财产安全。后两个罪名则属于妨害社会管理秩序类犯罪。其中,非法获取计算机信息系统数据罪只能适用于获取国家事务、国防建设、尖端科学技术领域之外的计算机信息系统中存储、处理或者传输的核心数据,或者对该计算机信息系统实施非法控制导致核心数据有被损坏、泄露风险的行为。而破坏计算机信息系统罪则将“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”,也视为一种犯罪,理由是该行为破坏了数据的使用价值。涉核心数据犯罪既应当包括侵犯核心数据的自有价值,还应当包括对计算机信息系统(数据)的潜在损坏后果。因此,“违反国家核心数据管理制度”应当是一种实际发生的行为,有可能或者已经造成了“危害国家主权”“危害国家安全”和“危害国家发展利益”的后果。
在涉核心数据犯罪案件侦查、公诉阶段,应当明晰“核心数据”在犯罪过程中的作用。当侵犯“核心数据”作为“危害国家主权、安全和发展利益”的一种手段时,应当查明该行为的目的,并按照行为目的来“定罪”“量刑”。而“核心数据”作为犯罪的客观对象(即看重“核心数据”的财产性价值)时,应当审慎适用危害国家安全罪中的诸罪名,更宜将其归入涉“数据”类犯罪。
此外,为应对上述罪名难以适恰的问题,可将刑法第2编第1章“危害国家安全罪”专章作为涉核心数据犯罪的“兜底条款”,但在涉及“数据”的具体“定罪”“量刑”时需要具体分析。
党的二十大报告强调,国家安全是民族复兴的根基,社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定。面对涉核心数据犯罪所带来的各种挑战,各级检察机关在充分发挥自身优势,办好涉核心数据犯罪案件的同时,努力做好以案宣法、以典型树榜样、以法育人,不断提升数据犯罪治理工作的安全自觉和检察自觉,做好全民国家安全意识和素养的提升工作。
(作者为广州大学法学院副教授、数字法教研中心主任)
[版面编辑:赵衡]
