上政学报 | 张勇：数据安全刑事治理过程论

文摘 2024-06-13 19:30 上海

点击蓝字

关注我们

国家安全法治：数据刑事治理专论

数据安全刑事治理过程论

本文刊登于《上海政法学院学报》2024年第3期

摘要

过程是唯物辩证法的基本范畴，既是世界观又是方法论。从过程论角度看，司法活动就是司法权的运行过程。刑事治理具有过程性、阶段性和系统性。在刑事治理系统内部，狭义上包括刑事立法和刑事司法（定罪、量刑、行刑）过程和阶段；广义上包括制定、实施犯罪预防措施、司法解释、刑事政策的过程和阶段。在刑事治理过程系统外部，则包括行政机关针对数据犯罪进行的政府治理、企业组织和个人参与的社会治理过程和阶段。在数据安全刑法保护方面，须从过程论角度，确立数据安全刑事治理过程理念，转变传统的管控模式，加强对数据利用过程的规制，同时强调多元主体参与刑事治理过程。数据安全刑事治理的过程性决定了其系统内外部各阶段应当是衔接协调的，具有刑事风险预防、分类分级保护、硬法软法融合、多元主体参与四项机能，形成相互影响、相互作用的运行机制。各方参与主体应遵循数据安全刑事治理过程运行的规律性，构建刑事风险评估、定罪量刑互动、刑事案件过滤、刑事合规激励等过程机制，推进数据安全刑事治理现代化转型。

关键词

过程论；数据安全；刑事治理过程；《数据安全法》；数据犯罪

作者

张勇，华东政法大学刑事法学院教授、博士生导师。

引用格式

张勇：《数据安全刑事治理过程论》，《上海政法学院学报》(法治论丛)2024年第3期。

目次

一、刑事治理过程的基本范畴与方法论

（一）过程哲学范畴及方法论意义

（二）刑事治理的过程性与阶段性

二、数据安全刑事治理过程性质与机能

（一）数据安全刑事治理的过程性及意义

（二）数据安全刑事治理过程的内在机能

三、数据安全刑事治理过程的运行机制

（一）刑事风险评估过程机制

（二）定罪量刑互动过程机制

（三）刑事案件过滤过程机制

（四）刑事合规激励过程机制

数据安全治理是国家安全治理体系中的关键一环，统筹数据安全与发展成为数字经济持续健康发展的核心。《数据安全法》第4条规定，维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。数据安全刑事治理是一个开放的、动态的过程，面对增升趋重的数据安全风险和刑事犯罪，仅仅通过刑事司法层面的强力管控难以有效达到犯罪防治的效果。因此，应当改变原有的管控模式，将管控目的从数据静态安全转向数据动态安全，在管控理念上从数据安全风险管控转向兼顾数据利用发展，在宏观模式层面从由国家主导的传统管控模式到多元共治的现代化治理模式的转变。本文从过程论角度，对数据安全的刑事治理过程的转型理念、内在机能和运行机制予以探讨。

一、刑事治理过程的基本范畴与方法论

过程的思维来源于哲学，“过程”范畴是总体性的辩证法范畴，其包含存在、时间、空间、结构、运动的方向等，过程论既是世界观又是方法论。在我国，过程论在司法学、行政法学领域得到了重视和运用，为刑事治理过程论的研究提供了理论基础和有益借鉴。

（一）过程哲学范畴及方法论意义

在哲学领域，“过程”是指事物发展所经过的阶段，是物质运动在时间上的持续性和空间上的广延性，是事物及其矛盾存在和发展的形式。过程是唯物辩证法的基本范畴，集中体现了联系和发展的总特征。首先，过程包括物质的运动、变化和发展。运动是一定质点在时间及空间上的位置移动，显露出事物运动的轨迹、秩序、速度和方向。运动经过进一步深化则为变化，变化体现着各种运动过程的不同状态；发展相比于变化，又得到了进一步深化，其包含了事物旧质的消减与灭失，新质的产生与突现。发展是至关重要的，没有发展，也就没有真实的过程。过程的总趋势是由低级向高级发展，是阶段性和连续性的统一。其次，过程是时间和空间的统一体。时间与空间揭示了事物过程各要素的联系，人们根据事物过程发展所固有的规律来决定其速度、规模、阶段的增减取舍。与空间性相比，时间性更加能够体现事物产生、发展以及消亡的全过程的特征。再次，运用过程论，就需要以动态的、连续的、发展的眼光来分析事物和问题。阶段是事物发展过程中截取的一部分，过程是循序渐进的，各阶段要遵循过程发展的先后顺序，不能脱离过程而直接跨越阶段。过程也是一个系统，任何系统都是一个动态的系统，处在运动变化和发展之中，系统研究的方法和原则同样适用于过程分析。最后，过程也是可控的，通过总结规律便可实现过程的有效控制，选择最合理的方向和最优解，从而降低错误成本，更好地实现治理目标。

在司法研究领域，有学者以过程论为视角，将司法活动视为一种司法权的运行过程。司法的本质在于通过公正的、终局性的裁判过程对当事人之间的争议与矛盾进行解决和处理，以达到定分止争的目的，其手段为利用基本既定的程序规则和实体规则。有学者认为，司法活动是一种过程性存在。其一，司法裁判的过程即正当程序发生作用的过程。合乎逻辑的裁判结果与正当的裁判过程是存在必然联系的；其二，裁判过程是诉讼参与主体围绕案件事实和法律适用展开论辩之过程；其三，司法过程是一种说服性过程。法官听取各诉讼参与人在法庭中的陈述与抗辩后，需要在内心对案件事实真实性予以辨别和确认，进而对案件作出裁判。这种听取、确认、裁判的递进过程就是司法权运行过程的体现。在我国行政法学领域，过程论得到了较大的应用，形成了“行政过程”的概念及理论。传统行政法学关注的是行政行为，侧重于其结果性，考察合法性的模式也较为静态。然而，在现实行政活动中，行政主体并非都仅存在单个行政行为，其往往连续作出多个行政行为或其他行为以达到其特定行政目的。在其作出的上述一系列行为之间，并非割裂的、独立的，而是存在一定关联性的，它们由此可以构成作为整体的动态过程。因此，不少学者主张，在行政法学中要导入“行政过程”的概念。他们认为，为实现特定的行政目的，行政主体会作出一系列阶段性行为，在时间维度上构成了作为整体的“行政过程”，而这一系列行为则包括行政立法、行政计划、行政许可、行政处罚、强制执行、行政复议等。前后环环相扣的行政行为，形成了一条行政行为链，较为完整地展现了行政行为动态的发展过程，即从制定行政规范到作出行政决定，再到行政监督的过程。根据行政过程论，每一个完整的行政过程都是复杂而连续的过程，且可以拆分为若干个环节或步骤。特定的行政行为之间存在共性，并且均必然包含三个阶段：准备阶段、决定阶段以及宣告阶段。各行政机关面对同一行政目的，也常作出不同的反应，彼此间的行政行为也不尽相同，但各行为之间具有关联性且目的一致，因而整体构成行政过程。在实践中，不仅要考察单个行政行为的合法性，还必须对行政过程进行全面、动态地考察，对于各种行为形式的合法性应通过直接或间接的方式予以考察，重视一个行政过程中各行为以及同一行为内部存在的各环节之间的关联性。上述理论对于本文所讨论的刑事治理过程性分析具有方法论的指导意义和参考价值。

（二）刑事治理的过程性与阶段性

犯罪作为一种社会现象，是各种消极因素相互作用的综合反映。刑事治理是由立法机关、司法机关、行政机关、行业企业、社会组织和个人等各方主体参与的，惩治和预防犯罪的法律法规、政策措施的制定、实施及评估的过程，具有过程性。同时，在刑事治理过程的动态运行中，可将其划分为不同阶段，从而具有阶段性。其过程性、阶段性又可以从狭义和广义两个不同层面予以理解和把握。

从狭义角度来看，刑事治理过程包括刑事立法过程和刑事司法过程。刑事立法即立法机关进行的刑事法律法规的制定与修订活动，从立法程序上可划分为提案、审议、修改、表决、公布等阶段。刑事司法是指公安机关、检察机关、审判机关、司法行政机关办理刑事案件、执行国家刑罚所进行的活动，包括侦查、起诉、审判和执行（行刑）阶段。陈兴良教授将罪刑关系的辩证运动分为刑事立法、定罪、量刑以及行刑四个阶段。各阶段发挥的作用分别为：确定罪刑关系、解决罪刑关系的质的个别化、解决罪刑关系的量的个别化以及实现罪刑关系。须特别指出，定罪和量刑不仅是刑事司法活动的两大基本任务，同时也是刑事治理过程的主要阶段或关键环节。定罪活动可分为四个阶段：筛选事实、限定相似犯罪构成群、选定具体犯罪构成和确定罪名。量刑在“法定刑或处断刑→确定量刑起点→确定宣告刑→确定执行刑”过程中不同阶段的发展与过渡，也能很好地体现过程性与阶段性。还有学者提出“司法刑法学”的概念，认为刑法学的基本架构应当由“刑法论—定罪论—量刑论”构成。量刑兼具法律适用与司法回应实践的属性，既是司法活动，也是社会活动。“量刑动态化”主张，量刑要素之间相互动态影响，诸多可能影响到刑罚裁量的因素参与至相互作用之中，通过合理采纳与舍弃最终走向均衡，形成量刑共识和结论。

从广义角度来看，刑事治理过程除了狭义上刑事立法和刑事司法之外，还包括犯罪预防以及刑事司法解释、刑事政策的制定与实施阶段。如果将刑事治理过程看成一个内外部结构衔接协调的系统，那么除了上述刑事立法、刑事司法、犯罪预防、司法解释、刑事政策等系统内部阶段性要素之外，还包括系统外部阶段性要素，即行政机关针对犯罪所采取的政府治理、企业组织和个人参与的社会治理活动过程和阶段。整个刑事治理过程具有系统性，在系统内部，刑事立法、司法过程的各阶段保持着一定的次序性、持续性；在系统外部，犯罪预防、司法解释、刑事政策的制定与实施也贯穿于刑事立法、司法过程及其不同阶段，形成刑事治理系统内外部衔接协调的体系。刑事治理其实就是罪刑关系的动态运行过程，其与前述司法过程、行政过程一致，同样具有动态性、过程性、阶段性；而从系统论角度，某一时期的刑事治理过程要实现其整体功能，就与其组成部分即各个阶段具体功能的实现密不可分。此外，无论是犯罪预防措施、刑事司法解释和刑事政策，还是行政监管和社会治理措施的制定与实施，也都有其过程性、阶段性，均可大致分为准备和调查阶段、决策和制定阶段、实施和完善阶段、总结和评估阶段。这几个阶段相互依存、紧密相连，构成刑事治理体系的过程性结构。

二、数据安全刑事治理过程性质与机能

《数据安全法》第3条规定：“数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”该条款对数据安全作了明确规定，标志着我国开始将数据安全作为独立法益进行保护。以下从过程论角度，对数据安全刑事治理的内在机能予以探讨。

（一）数据安全刑事治理的过程性及意义

数据安全刑事治理是数据安全治理的下位概念，后者在主体和范围上相较于前者更为多元、宽泛。数据安全刑事治理是指司法机关针对危害数据安全的犯罪行为所进行的刑事司法活动，主要包括犯罪预防、定罪量刑、刑罚执行，以及刑事司法解释、刑事政策的制定与实施等。数据安全治理除了上述刑事治理活动之外，还包括以政府部门为主体的数据安全行政监管，以及由企业、社会组织和个人参与的数据安全社会治理。可以说，数据安全刑事治理是一个内外衔接、结构复杂的系统，也是一个不断发展变化的动态过程。在数据安全保护方面，如何运用刑法手段来实现数据安全与发展的平衡，如何与其他法律手段协调配合，共同实现数据安全保障，需要从刑事治理过程角度加以动态性、系统性思考。因此，引入过程哲学和方法论，确立数据安全刑事治理过程理念，对于积极有效地预防和惩治数据犯罪、满足刑事治理现代化的需要，是十分必要和有意义的。

值得关注的是，2022年中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）将“促进数据合规高效流通使用”作为指导思想，将“在合规流通使用中激活数据价值”作为工作原则。数据安全治理现代化的目标是兼顾数据控制安全与数据利用安全，不仅要注重数据自身的安全，还应当追求数据处理过程中的各阶段、各环节的动态安全。《数据安全法》第19条指出：“国家建立健全数据交易管理制度，规范数据交易行为，培育数据交易市场。”相关条款对平台方也提出了数据安全风险评估、报告、监测、预警等要求。国家市场监督管理总局、国家标准化管理委员会于2023年8月25日发布《信息安全技术数据交易服务安全要求》（征求意见稿）（以下简称“《数据交易服务安全要求》”）。该行业规范文件通过列举方式提出了统一的数据交易安全规则，同时对数据交易过程中可能存在问题之处规定了安全要求。数据交易过程包括多个环节，主要有交易磋商、下单签约、产品交付与产品结算等。数据交易过程的主要主体除数据供方、数据需方外，还存在第三方主体，如数据交易平台以及第三方独立机构等。《数据交易服务安全要求》第5条规定，数据交易应当遵循过程可控原则，也体现出对于过程的控制和把握在数据交易中十分重要。具言之，数据交易过程应确保数据来源合法可确认、使用范围可界定、交易过程可追溯，以及安全风险可防范。第7.3条“交易过程安全控制”规定，数据交易平台应对交易全过程进行安全管控，并规定了具体要求。数据交易平台是为供需双方提供交易服务的信息系统，其发挥着将数据转换成信息价值的独特功能。数据交易平台作为数据市场的关键基础设施，应确保数据交易在安全轨道上平稳运行，在交易申请阶段、交易进行阶段、记录留存阶段等各环节都负有安全控制责任。过程思维在上述有关数据交易服务安全要求的行业规范和管理规定中贯穿始终，凸显了数据安全治理的过程属性及其重要价值。

从刑事立法看，我国对数据安全法益采取直接或间接的保护方式，前者将数据作为犯罪对象进行保护，后者将承载数据内容的具体信息、秘密等作为犯罪对象间接保护，主要包括《刑法》第285条的非法获取计算机信息系统数据罪、第286条第2款破坏计算机信息系统罪中“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”的规定。另外，还涉及侵犯公民个人信息罪、帮助信息网络犯罪活动罪、拒不履行信息网络安全监管义务罪等关联罪名，构成了数据安全法益保护的罪名体系。然而，从数据安全刑事治理过程论角度来看，目前我国刑事立法尚未厘清计算机信息系统与数据的关系，而将计算机信息系统安全视为数据犯罪的保护法益，数据安全法益并未得到充分重视。囿于过去对公民个人信息权利、计算机信息系统安全、网络管理秩序的保护，数据安全刑法保护存在静态化、分散化、碎片化问题。在刑事司法层面，我国重点关注数据的非法获取或泄露等风险，对数据本身的保密性、完整性和可用性等静态安全加以维护，却忽视了数据安全的动态性与数据的有效利用；对于数据收集、存储、使用、加工、传输、提供、公开等处理过程中的刑事风险存在一定的缺位现象，未实现全面系统的保护。

面对现实立法，运用过程论思维和方法，对数据安全刑事治理过程中的其他各阶段予以补足和优化，是应对数据安全保护问题的有效途径。数据安全刑事治理过程的实际意义在于：其一，弥补刑法单纯惩治非法获取型数据犯罪的不足，加强数据利用过程的刑法规制。如前文所言，目前对数据犯罪进行刑罚规制的重点内容主要集中在数据获取阶段，如非法获取、泄露真实数据之行为，编造、传播虚假数据等数据流转过程中的上游行为，而忽视了下游行为。然而，非法获取数据等行为并非数据犯罪的最终目的，其只是数据犯罪产业链整个过程的起始，非法处理和利用数据才是整个数据犯罪过程的根本目的所在。可以说，刑法对数据犯罪过程的规制并不完整，存在一定的片面性，无法真正地对数据流转的全过程进行保护，进而很难实质促进数字科技和数字经济的发展。其二，确保刑事手段合理介入数据安全治理过程，避免过度滥用，同时更加重视政府治理和社会治理的作用。在数据安全治理过程中，道德规范、行政监管、刑罚处罚三者之间是相互配合且层层递进的，最终实现良法善治的目的。由此可见，刑罚处罚并非成本最低、效果最好的治理手段，更非唯一手段。过于强调数据犯罪刑事治理功效将会弱化行政监管、社会治理手段的作用。假如其他治理手段能够实现降低数据非法获取、利用等风险之目的，则应优先选择采用其他治理手段。其三，转变过于依赖刑事治理系统内部的单向度治理模式，倡导刑事治理全过程多元主体参与，构建内部外部共建共享共治体系。传统的数据犯罪治理模式以国家单向度的治理为主，企业处于被动接受监管的地位，承担更多的保证人义务，承受的刑事责任也较为严苛。从刑事治理全过程角度，有必要建构国家主导、企业单位和社会公众参与的数据安全刑事治理体系，引导企业组织及其他社会主体积极参与刑事司法活动过程，形成数据安全刑事治理的合力。

（二）数据安全刑事治理过程的内在机能

数据安全刑事治理的过程性决定了无论是在系统内部还是外部，其均具有衔接协调的内在机能。系统内部包括犯罪预防、刑事立法、定罪量刑、刑罚执行，司法解释、刑事政策的制定与实施等各阶段，系统外部则主要是与行政监管、社会治理之间的衔接协调。基于我国数据安全管控模式存在的不足，需要确立数据安全保障和过程性转型理念，充分发挥刑事治理过程的内在机能，在治理过程中体现出动态性、阶段性和系统性。也只有充分发挥上述机能，才能使数据安全刑事治理过程取得根本成效。具体包括以下几个方面：

1. 刑事风险预防机能

数据本身易储存、易复制，在数据处理活动过程中，数据的收集、处理、利用、存储等各个环节都面临着技术入侵的安全风险，数据运行周期的不可控性，数据泄露、数据权属不明、数据跨境流通等都会引发不同程度的风险与不利后果，波及范围从个人到产业甚至有可能上升到国家总体安全。近年来，因数据的违规获取、修改、泄露、买卖而引发的刑事案例屡见不鲜，如“非法获取地理信息案”“环境质量监测数据造假案”“域名劫持案”和“流量劫持案”等。非法数据交易的黑灰产业链呈现多元化、复杂化趋势，数据犯罪亦开始滋生与变异。在刑事风险防控方面，我国学界存在积极预防型和消极预防型两种不同立场。顾名思义，前者主张的刑事治理模式对社会风险预防与治理持积极态度，立法上扩大犯罪圈、加大惩罚力度，司法上对于社会矛盾也主动介入。该模式的理论依据为风险刑法理论，在社会背景与刑事政策导向上也与我国刑法提前干预数据犯罪刑事治理的趋势暗合，规制对象从实害犯转向危险犯也是信号与佐证之一。与积极预防型相对应，消极预防型刑事治理模式则对于立法持谨慎的态度，在刑事司法上也主张不应过度介入，该模式的核心为保障人权和自由。在风险社会背景下，应将数据安全刑事治理视为风险管理与防控的过程，以风险管控为重心，在管理防控的过程中加强对关于数据的个人权利、公共利益与国家安全的保护。将刑事治理过程与政府治理、社会治理手段紧密结合，准确把握刑事治理过程介入社会生活的阈值与程度，在自由与秩序、安全与权利之间进行动态的互动与平衡。同时，刑法的谦抑性使得刑法在社会治理过程中应当作为最后手段出现，这也导致其只能有限参与而非面面俱到，要通过法益识别和利益衡量的方式，区分出应当由刑法保护的数据法益。对数据风险的识别是将数据安全法益规范化、明确化的过程，只有经过以数据安全为核心的法益识别和利益衡量过程后，才能视为必须被保护的法益。即使确定其具有法益保护必要性，也不能跨越其他前置阶段直接进入刑事治理过程，而应当尽量先进行非犯罪化处理，以有助于激发其他治理手段的功能，这也体现了数据安全刑事治理过程的刑事风险预防机能。

2. 分类分级保护机能

《数据安全法》第21条规定，对数据实行分类分级保护。《网络数据安全管理条例（征求意见稿）》则将数据分为三级：一般数据、重要数据和核心数据，其分类标准为数据对各级主体的利益及合法权益的影响与重要程度，数据级别与保护措施存在正相关的关系。数据分类分级在数据安全刑事治理过程中扮演着重要角色，除风险防范外还能够进行法益识别，对数据利用与保护进行平衡并提供有效参考。毫无疑问，数据级别与种类不同，其中蕴含的价值面向及其重要性自然有别，这样的差别会作用于数据保护的安全层级。数据分类分级在这一过程中起到分流与区分的作用。在数据安全刑事治理过程中，除根据领域对数据进行分类外，还应对影响分级的其他定级要素予以综合考量，在全面考察后确定数据安全保护层级，最后根据层级选择保护应当适用的法律及方式，对重要数据、核心数据采取更高等级的保护措施。值得关注的是，《数据交易服务安全要求》第8条“数据交易标的安全要求”中，对8.1禁止交易数据、8.2数据质量合规要求、8.3交易数据分类分级保护分别作出了具体规定，对于数据交易标的主要从安全和保护两个层面进行规范，提出安全、质量保障要求与分类分级保护要求。根据该规定所提要求，数据交易过程应按照国家和行业有关要求先行对数据分类分级，对可能涉及的个人信息、公共数据和重要数据予以识别，再结合流通范围及风险建立数据分类分级授权使用和保护机制。须指出的是，在我国数据安全刑事治理过程中，许多环节都存在缺陷与问题。刑法分则中明确规定以数据为对象的非法获取计算机信息系统数据罪和破坏计算机信息系统罪，也因数据安全法益属性和保护层次界定不明而难以厘清与信息、网络安全犯罪的界限。因此，在数据安全刑事治理过程中，对不同种类的数据进行法益识别，充分发挥分类分级保护之机能就显得格外重要。此外，将来的刑事立法应着力改变现有模式，不再以保护计算机信息系统安全为核心，着眼于针对数据安全刑事治理过程，修改和完善相关罪名，为数据安全提供多层次、体系化的刑法保障；在司法层面，通过发挥数据分类分级机能，对数据层级与安全保护需求进行识别归纳，进而对数据犯罪及其关联罪名进行准确适用，致力于数据犯罪刑法保护的多层次、体系化与数据安全刑事治理过程的规范化、准确化。

3. 硬法软法融合机能

一国的法律治理体系既有“硬法”规范又有“软法”规范，不仅强调由法律、行政法规、地方性法规等构成的法律规范的他律作用，还强调由乡规民约、行业规章、技术标准等社会规范的自律作用。“软法”与“硬法”各有所长，两者应当功能互补。“软法”规范并不具有强制性法律效力，但其产生的治理实效却较为深远，还能在一定程度上体现法治社会之包容性与温和性。数据安全治理应由单一的“硬法”之治转变为“软法”与“硬法”的融合共治，引导“软法”对“硬法”进行补充，两者相辅相成、融合共生，方能为数据安全治理提供最佳的规范供给。数据犯罪是典型的法定犯或行政犯，从法定犯的角度，要成立此类犯罪，须先违反前置法。仔细观察涉及信息网络犯罪的刑法条文，均可以发现其中“违反国家（有关）规定”的前置性、引致性规范。可以说，前置法是连接刑法与行政法的桥梁，在数据犯罪的刑事治理过程中保留了一定的缓冲空间。需要以过程的思维全面看待前置性行政法规范带来的影响，在承认其补足和填充刑法中犯罪构成要件机能的同时，也要看到行政机关可能因此扩大解释刑法规范适用范围，甚至司法机关也易扩大行政前置认定规范依据范围来保证刑事与行政违法认定的一致性。对于治理过程中存在的这些问题有必要予以纠偏和克服。从数据犯罪的角度，前置行政法的认定应当立足于罪刑法定原则进行实质判断，否则不得作为数据犯罪认定的根据。在数据安全法律治理体系中，刑法应当居于保障法地位，行政法发挥作用便足以规制的违法行为，刑法一般不再介入，以保障数据正常流通和有效利用。同时，在数据安全领域，标准作为事实合理定型的技术规范，并不具有规范性法律效力和法律授权，然而，以标准为代表的软法于数据安全治理而言具有重要功能。一方面，标准发挥着重要的技术支撑并对过程起到补充作用，促进治理过程中与相关硬法的配套衔接。标准具有要求具体、更新及时等特征，这恰恰与过程思维的动态性相契合，在标准发挥作用的整个过程中，根据实际治理过程中的需求变动以及各方反馈，标准也会进行相应的更新与调整。其还能够弥补法律规范的抽象性，为主体提供具体可行的行为指引，同时还能为法治政府治理过程中对事实的判断提供基准，约束行政权力。另一方面，标准能够统一纷繁复杂的技术表达和专业术语，并指导相关领域的行为或产品满足标准要求，在生产、流通等全过程中符合社会期望。概言之，“软法”因其创设主体多元、动态平衡机制灵活，为公共治理过程提供了足够的规范支持，也在很大程度上满足了治理过程中的需要。刑法与行政法、民法等具有国家强制力的“硬法”规范，与政策规范、行业标准、技术规范等“软法”规范，共同承担着数据安全保障与发展促进的任务，通过有效结合与互补形成数据安全刑事治理过程规范体系。

4. 多元主体参与机能

在国家治理现代化语境下，多元的参与主体、参与方式、治理路径已经成为推动社会治理的重要力量。参与主体的多元是治理的显著特征，多元主体有效参与是治理目标实现的必要条件。传统对抗式、管控式刑事治理方式较为静态，已逐渐不能完全满足刑事治理现代化的要求。相较于前者，协商性刑事司法在国家权力与公民权利之间建立了一种对话合作机制，这样的方式也是对刑事治理过程性的考量，将诉讼主体地位与相应自主权利赋予公民对原本紧张胶着的关系有所缓和。共享、开放的数据理念是数据治理的基础e，在数据安全刑事治理过程中，应当遵循包容性治理理念，健全共建共治共享的社会治理制度。与犯罪的行政治理和压制式的刑事治理方式相比，协作式方式不再只聚焦于片面结果，而是将犯罪控制视为一个复杂的过程。通过对话与合作，由功利目的转向对犯罪控制过程的协商与调和，增加不同利益主体的话语权、参与度，推动政府、企业、社会等多方主体共同参与治理过程，在各主体之间寻求动态平衡与合理结果。应当看到，动态平衡不仅发生于参与治理过程的各主体之间，还发生于数据安全与发展之间，两者息息相关，对其中任何一方有所倾斜都会在另一方产生反应。有效的动态平衡需要行业自律与企业合规，这一点又与前文提及的“软法”所强调的行业自律相契合。具体手段上可以规范引导行业组织参与数据安全治理，由相关行业组织依法制定标准，加强对行业组织成员的引导与监督，指导成员切实增强数据安全保护意识、完善保护手段和措施。与此同时，也不能忽视行业组织与政府部门的联系，应建立健全联系机制，鼓励及时向政府部门进行反馈和建议。总之，数据安全刑事治理参与各方主体应当坚持治理方式的协作性，增进治理过程的对话与合作。司法机关、政府机构应拓宽参与渠道、完善参与机制和流程，让社会多元主体真正参与到刑事治理活动的全过程，达到数据安全治理与发展利用的最佳实际效果。

三、数据安全刑事治理过程的运行机制

数据安全刑事治理是一个动态运行的过程，在该过程中的各阶段、各环节会形成相互影响、相互作用的运行机制。参与数据安全刑事治理的司法机关、政府部门、企业组织及个人等各方主体不能单一追求某个阶段或环节的治理效果，而应当遵循刑事治理过程运行的规律，确立刑事一体化理念，在刑事司法与行政监管、社会治理的融合中，构建刑事风险评估、定罪量刑互动、刑事案件过滤、刑事合规激励等过程机制，推进数据安全刑事治理现代化转型。

（一）刑事风险评估过程机制

数据安全风险可能发生于数据产生、存储、使用、分享、归档和销毁等全过程中的各个环节。数据是国家治理体系和治理能力现代化的基础性要素和关键资源，对数据安全风险进行评估是开展刑事治理活动的前提和基础。所谓数据安全风险评估，是指通过梳理数据安全架构、识别具体业务场景、明确数据安全风险评估制度的可执行性，从而在数据运行的全生命周期中实现对数据安全风险的有效防控。刑事治理现代化离不开科学犯罪观的指导，通过构建数据安全风险评估机制，客观理性地剖析犯罪原因和致罪机制，能够切实提高犯罪防治的实际效能。c 从立法上看，我国数据安全风险评估制度主要包括对重要数据出境风险和重要数据安全定期风险的评估。《网络安全法》第37条最早规定了关键基础设施运营者的个人信息和重要数据境内存储义务与出境安全评估义务。《数据安全法》第29条规定，“开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施”；第30条、第31条分别规定了重要数据定期风险评估、重要数据出境安全管理制度，其中，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估。

数据安全风险评估本身是一个复杂的过程，主要包括以下几个阶段。（1）风险识别阶段，该阶段是基础性阶段，后续阶段都以风险识别为基础，风险识别是指对风险的发现、认识和描述。识别的对象包括数据资产、数据交易等，要对数据资产的重要程度及数据交易等过程中已存在的威胁或可能产生的风险进行识别。对于数据风险的准确识别，是后续开展其他工作的前提。（2）风险分析阶段，指对风险识别阶段识别出的数据安全风险进行分析与计算的过程。该阶段主要利用了数据威胁与脆弱性之间的相关性，具体风险的分析具备一定的基本流程，该流程整体为评估出现安全风险可能性、分析安全风险可能造成影响的轻重程度以及结合两者评估风险等级。（3）风险评价阶段，即评定、裁断风险的过程，对风险进行价值评价。该阶段将数据安全风险分析结果参照风险准则进行对比，对数据安全风险可接受度和具体情况进行综合评价，并得出评估结果。

在数据安全风险评估过程中，必须考虑与数据安全风险相关的各种评估要素。我国《信息技术安全技术信息技术安全评估准则》（GB/T 18336）从资产所有者和威胁主体的角度阐述了风险关系模型，分析相同四要素的风险影响因素，以得到残余风险。根据数据安全管理要求，以风险评估要素关系的建构应当以信息安全等级为参考，着眼于发生风险的直接因果因素。在建构风险评估要素关系的过程中，重点突出和协调脆弱性与数据处理者、安全措施之间的直接因果关系，并对评估要素关系的动态变化关系进行形式化描述，以此为依据推出数据安全风险评估的状态特征。因此，在分析风险评估要素之间的影响作用时，应当注意以下几点：一是在确定评估要素及其属性时，只限于与其直接起作用的元素和属性的关系；二是根据数据运行的时间动态性特征，评估要素的相互关系应当与其动态发展的环境相协调；三是以数据安全分级分类保护为标准，不同等级、类别的风险评估要素关系不具有跨等级、类别的参考性，兹不赘述。

（二）定罪量刑互动过程机制

传统刑法理论遵循“刑因罪生”的司法模式，先定罪后量刑，定罪是量刑的前提和基础，量刑是定罪的延伸和结果，刑事司法主体在案件的流程之中往往按照由犯罪到刑罚的顺序来发展。然而，随着犯罪形式日益复杂化，犯罪与刑罚呈现出双向互动关系，传统的罪刑关系显然已经不能满足发展带来的新要求，有必要思考变通之策。在罪刑关系中，刑罚并非只被犯罪所决定，单向的关系存在一定的不全面之处，刑罚还会反向作用于犯罪行为并起到一定的制约作用，即根据犯罪行为的社会危害性评估刑罚，再据此选择相应的罪名与刑罚相匹配。以刑制罪是一种通过对罪与刑全面考量，以期罪刑均衡的处理模式，其使得司法模式不再固守一元与单向而向二元、双向发展与转型。

在普通的刑事案件中，先定罪后量刑的传统模式是可以发挥作用并有效处理的。但司法实践是多元而复杂的，疑难案件层出不穷，传统定罪量刑模式对危害行为的认定与处罚具有难度，较难兼具准确和公正。因而有必要针对特殊案件适用“以刑制罪”的司法认定模式，通过刑罚来反向确定罪名，进而实现罪刑均衡。“以刑制罪”是在综合考量刑罚的必要性及严重程度的基础上，对犯罪构成要件与事实构成的符合性进行解释，对个罪的犯罪圈予以明确。首先，在数据犯罪的定罪过程中，可以适当运用以刑制罪进行规则，不仅可以用“罪”来对罪与非罪进行区分，也可以尝试用“刑”加以区分，对行为的应受惩罚性严格把握，不能仅通过判断社会危害性与刑事违法性就认定为犯罪行为，该行为还应具有应受惩罚性。在区分此罪与彼罪过程中，一般应先确定案件性质、罪名，进而加入对量刑情节的考量，在法定刑范围内确定最终刑罚。但对于一些罪行性质相似或难以区分的罪名，很可能面临定罪不准确的问题，此时通过刑罚的反向作用于定罪，则可以有效增加罪名的匹配度。其次，在数据犯罪的量刑过程中，对法定刑逐步确定为宣告刑的过程性进行分析，首先是一个定罪结论产生法律效果的过程，同时也是刑罚自我反思和检视的过程。作为根本性理念，刑罚必要性、合理性在确定宣告刑中也应当被考虑，而非仅参考量刑依据来决定。须指出的是，“以刑制罪”毕竟不是司法常态，也非传统司法模式，因此在数据犯罪的定罪量刑实践中，并不是每次都要运用“以刑制罪”。在一定意义上，可以认为其运用主要针对疑难案件，尤其是在法定刑层面会导致定罪与量刑不一致的情形。“以刑制罪”应在罪刑法定原则以及罪责刑相适应等原则的指导下，对法定的犯罪构成与法定刑作出相适应的解释，解释不能突破犯罪构成要件的限制，也不应当舍弃定罪的准确性。

（三）刑事案件过滤过程机制

数据犯罪具有典型的法定犯特征，在认定数据犯罪的过程中，前置性行政法律法规以其独特的“滤罪”机能而不可或缺。顾名思义，“滤罪”之意即为“过滤犯罪”。具言之，在从行为到犯罪的认定过程中，司法机关对行为的刑事违法性需要进行实质判断，有些行为虽然违反了前置性行政法，却未必构成犯罪。在整个判断过程中，前置性行政法律法规起到过滤的作用，很大比例的违法违规行为也因此被排除在犯罪圈之外。就数据安全刑事治理而言，整个“滤罪”体系的构建应将重心放在数据安全上，将前置行政法规范作为一般标准，审慎适用刑事治理手段，将刑法规范作为最后手段与底线，而行业规范、技术标准等“软法”则起到参考与自律作用。

首先，在刑事立法层面，立法机关对于某种危害行为，先将其设定为某种罪名，再以犯罪化或非犯罪化来评价该行为罪刑之轻重。数据犯罪的构成要件存在开放内容，在其罪状中包含行政性前置法，作为法定犯，前置法与刑法的关系较为紧密且对于法定犯起到界分犯罪的定型化作用。与刑法规范相比，前置法的规范覆盖面更为广泛、详细程度更加细化而具体。就“软法”与刑法而言，前置法处于相对居中的过渡位置，可以有效发挥其过滤过程机制从中衔接协调的作用。出于预防数据犯罪刑事风险的目的，有必要将发挥前置法作用的行政法律规范确定为刑事法律义务的一般标准，并由国家强制力保证实施。而不包含其中的其他行业规范则作为更高要求予以提倡，并不必然强制各主体遵守。其次，在定罪量刑层面，司法机关对危害行为进行认定时，对于罪与非罪、罪的轻重程度的判断过程以及最终的判决过程也能体现刑事案件过滤过程机制。无论是阶层论还是传统的“四要件”说，其中均蕴含着一定的“滤罪”思想。特别是阶层论，在认定的过程中，无论是将其视为“台阶”还是“漏斗”，其本质上就是一种“滤罪”的过程。至于“四要件”说，虽然其有别于阶层论，达不到阶层论对于阻却违法和责任事由的重视程度，却也包含着入罪和出罪两面性。在数据安全刑事治理过程中，该刑事案件过滤过程机制之价值不仅体现为刑事立法构成要件的定型化，在刑事司法层面其更具出罪化价值。司法机关须合理发挥前置法的“滤罪”功能，以实质判断的方式有效进行过滤。再次，在刑事程序层面，刑事案件过滤过程机制是指司法机关通过撤销案件、不予起诉和宣判无罪等方式，将刑事案件排除在刑事诉讼之外。例如，某企业涉及单位犯罪，若其积极有效地进行刑事合规，那么检察机关完全可以对其作出不起诉决定或撤回移送起诉。相应地，若其仅有计划却未实际实施，或再次涉及单位犯罪，则对其从严从重规制较为合理。将视角抬高，对整个刑事诉讼程序全过程进行审视，发现在各阶段均可作出对刑事案件过滤的尝试与探索。在侦查阶段，公安机关可以撤销刑事立案或者撤回提请批准逮捕，检察机关可以不予批准逮捕及督促撤案；在审查起诉阶段，检察机关可以不予起诉、公安机关则可以撤回移送起诉；最后在审判阶段，检察机关可以撤回公诉或由法院宣判无罪。在刑行衔接层面，也应当站在过程论的角度关注两者的双向互动作用。通过加强行政监管，构建相应的“滤过”机制，与“滤罪”机制相配合衔接。监管者与被监管者（如提供网络服务的企业等）可以建立数据共享机制，以促进两者数据互通。数据共享机制的建立，对监管者颇具意义和利好，不仅扭转了监管者的被动地位，使其可以主动而直接地获取数据，且极大避免了时间上的延迟。该机制改善了监管者获取数据能力不足、与被监管者之间信息不对称的问题，监管模式也从传统向科技驱动优化转型，提高了监管机构预测预防风险和及时处理风险的能力。

（四）刑事合规激励过程机制

惩罚（约束）和奖励是法律功能发挥的两种手段，前者是负面激励，后者是正面激励。激励功能是法律的重要功能，“罚”与“赏”共同构成了行为规范中的激励要素，即奖惩一体。在部门法领域，经济法是授权法，授予国家经济职权适度对社会经济进行干预。这些宏观调控的法律工具能够直接起到正面激励的作用。刑法是典型的惩罚（戒）法，不是激励法。刑法激励包含惩罚（反向激励）和奖励（正向激励）两方面，即“奖惩一体”。惩罚和激励是规制犯罪的两种手段，两者地位有所不同，惩罚为主导，激励则为从属，对惩罚的手段起到辅助和补充的作用。我国《数据安全法》共有55条，在数据开发利用方面包含有“促进”“发展”“鼓励”等激励性意蕴的条款有9条。该法第1条指出其立法目的之一为“促进数据开发利用”，第二章则明确提出“数据安全与发展”，将促进数据开发利用和产业发展明确为法律原则。其中还规定了许多以促进为导向的原则性条款，体现了数据安全法的激励功能也一定程度上成为激励过程机制的组成部分。

当前，传统监管体系与治理手段在数据安全刑事治理中匹配性逐渐降低，以过程论的角度观之，唯有兼顾效率与安全的动态平衡，才能满足数字经济发展的要求。此时包容审慎监管显现出了其优势，对新业态的态度较为温和，允许其主体进行试错并根据具体风险程度对干预时间与力度进行动态调整，有助于破解目前面临的监管困局。合规的核心任务是“最小化因由不法行为引发的下行风险”。近年来，我国逐步推进开展涉案企业合规试点工作，企业合规在狭义上仅指企业出于预防犯罪、改变所处状况的目的所制定的要求与方案，作用于企业内部；广义上则包括政府部门、司法机关及其他社会组织的参与。企业作为具有相当规模、完善的组织体，在包容性治理中有较为重要的地位，企业的社会属性要求其承担相应的社会责任以及遵守规范，当今数据合规成为企业社会责任的新内容。在数据安全治理领域，单纯依靠单向度国家监管无法有效实现对数据犯罪的治理，应将数据合规计划引入企业合规治理之中，发挥企业自律对数据犯罪的预防作用，使企业在其内控机制中融入刑事治理的政策、理念、规则。在制定合规计划时，应结合数据获取、数据存储、数据利用等不同的阶段，对各义务予以具体化和明确化。在企业数据合规计划实施的过程中，要将合规责任落实到具体管理人员，确保合规计划在企业运行过程中上下贯通并发挥作用，用优良的制度和管理保证合规计划在企业实际运行中得到贯彻与落实。

企业合规作为一种激励机制，可以作为阻却违法、责任或减轻罪责的条件之一。首先，若数据处理者建立并积极实施数据合规计划，则在实体法上具有主观过错免除和法定管理义务履行两种出罪模式：一是为证明其对犯罪行为不存在主观过错；二是为证明其本身尽到合理注意义务，履行了数据安全保护义务。若具备上述刑事免责事由，则可能对其不进行起诉或暂缓起诉。其次，在审查起诉环节，对于已经构成犯罪的数据处理者，倘若其积极配合整改，能够主动修复其所侵害的个人法益、社会法益并达到一定修复程度，检察机关可以进行不起诉的尝试。根据不同的程度，可以作出相对不起诉的决定并监督其进行合规整改，对于暂时达不到要求的主体，也可附条件不起诉，先责令其合规整改，待考核期满且满足考核要求后，再作不起诉决定。在审判阶段，也存在合规激励的空间，在庭审前，企业与公诉方达成一致并提出合规计划，公诉方若接受则可以撤回起诉；在审判过程中也可以提出合规计划，可以在量刑及处罚上酌情减轻。最后，数据安全合规的正向激励也是有限度的，并非在任何情况下都可以通过企业合规方式来激励，对于无法通过合规方式进行正向激励的涉案企业，则应当采取刑事处罚、行政处罚等反向激励手段达成刑事治理目标。

往期目录

关于本刊

《上海政法学院学报》创刊于1986年，原名《法治论丛》（2003年更名为《上海政法学院学报》）。《上海政法学院学报》是我国最早以“法治”命名的法学专业学术期刊之一。

我们立足一流期刊建设目标，坚持 “高质量”“特色化”“专题化”办刊思路，在法学期刊建设上努力探索，学术影响力稳步提升。据中国知网年报显示，《上海政法学院学报》（法治论丛）“复合影响因子”从2022年的3.19提高到2023年的5.26，“综合影响因子”从2022年的1.50提高到2023年的2.97，CI指数排名也从2022年的第33位提升到2023年的30位。此外，据中南财经政法大学2023年信息检索报告统计，《上海政法学院学报》共有42篇次（2022年31篇次）被《新华文摘》《中国社会科学文摘》《高等学校文科学术文摘》《社会科学文摘》和“人大复印资料”等二次文献全文转载或论点摘编，在全国法律类院校学报排名第4位（2022年排第7位）。

我们以“问题意识”为导向，以做好选题策划为根本，在持续推进“党内法规”“数字经济法治”“国家安全法治”等特色栏目建设的基础上，继续追踪学术前沿热点，新增设了“新兴权利法律问题研究”“经典译介”和“初创学者佳作”等专栏。2024年，本刊将新开设“交叉学科研究”“涉外法治研究”专栏及“民法典合同编解释”“新公司法解读”专题，持续对相关领域重大问题进行深入探讨。

我们将以开放姿态拥抱新技术。全面升级网站建设，完善投审稿系统，实现全流程数字化出版；提升微信公众号运营策略，同步推出作者音频视频解读，开通视频号；积极完善网络首发，同步上传作者音频视频，增强学术出版。

我们诚挚地欢迎广大海内外科研工作者关注和支持上政学报并惠赐大作，也欢迎各界朋友积极建言献策、批评指正，以期共同办好《上海政法学院学报》（法治论丛）。来稿请通过《上海政法学院学报》编辑部网站(http://www.shupl.edu.cn/xbbjb/)投审稿系统进行投稿。本刊对来稿严格遵守三审（二审外审）定稿制度，以确保稿件选用公开公平公正。

编辑：汤仙月

审核：康敬奎

以法为基，寻社会治理之策

○

以文为器，求兴国安邦之道

投稿邮箱：xuebao@shupl.edu.cn

微信公众号：law-review1986

网址：http://www.shupl.edu.cn/html/xbbjb

电话：021-39227617 39227619

更多内容请点击下方“阅读原文”进入学报官网查看

上海政法学院学报

law-review1986,汇稿件信息、法学快报、学术资讯等内容，聚纸媒、网媒、活动与服务四位一体，贴近读者、作者、专家的信息需求，做一个有耐心、有速度、有品格、可持续的法学期刊公众号。

上政学报 | 张 勇：数据安全刑事治理过程论

上政学报 | 张勇：数据安全刑事治理过程论