锻造数据安全的追责锁链

庄嘉

近年来，危害数据安全的案件屡屡发生，但涉事主体的法律责任却难以得到全面追究和落地执行。在数据安全引起各方广泛关注的背景下，《数据安全法（草案）》（以下简称“《草案》”）应运而生。笔者认为，该草案填实了涉及数据违法犯罪的追责漏洞，紧密衔接了行政处分、行政处罚与刑事处罚的追责锁链！

明确数据泄露罚则，填实网络安全立法盲区

目前，我國规制数据安全的法律主要有《刑法》和《网络安全法》两部。一方面，《刑法》中涉及数据安全的罪名主要有三个，分别是“侵犯公民个人信息罪”（第253条）、“非法侵入计算机信息系统罪”（第285条）以及“破坏计算机信息系统罪”（第286条），重点在于打击惩治个人信息的买卖与交易。另一方面，《网络安全法》对网络数据以及数据涉及的主要环节作出了界定，由第59条规定了网络运营者不履行网络安全保护义务的罚则，并由第42条、第45条明令禁止数据泄露行为，但未明确规定数据泄露的法律责任。

这为数据安全事件的高发埋下了隐患，超范围采集数据、超授权存储数据、数据泄露、越权收集数据、数据售卖等违规违法滥用数据的行为屡见不鲜。（见图1）在这些重大事件中，由于《刑法》《网络安全法》均未对数据泄露作出明示规定，涉事企业之责便因法之不明确而难以追究，因此鲜见对数据收集方、存储方之严惩。正如上海交通大学数据法律研究中心执行主任何渊所言，“监管机构对数据泄露没有追究企业责任的法律依据，这个问题亟须解决”。

数据安全正式立法之后，执法机关对数据泄露担责的企业处罚便有法可依。相较于《网络安全法》第59条的规定，《草案》第42条明示了“造成大量数据泄露，处10万元以上100万元以下罚款”的法律责任。此举虽然在处罚幅度上未有大的变化，但是更加明确和突出了数据泄露的法律责任，监管机构的执法效果将更具针对性。今后，涉及数据管理的企业将不得不进一步提升自身的数据安全管控能力，否则一旦发生数据泄露就要面临明确的处罚。

当然，值得关注的是，类似数据泄露的处罚事件中，英国航空公司仅泄露几百万数据就被欧盟罚款2亿美元。相较于《草案》规定的100万元罚款的上限规定，笔者建议借鉴我国《消费者权益保护法》第55条规定的“3倍赔偿条款”以及《食品安全法》第96条规定的“10倍赔偿条款”，对数据泄露行为造成的直接经济损失设置一套损失评估和倍数赔偿制度，以进一步加大对数据泄露企业的罚则力度！

切断数据非法交易之桥梁，规制数据交易之中介机构

在办案实践中，数据安全中极易发生的问题便是“数据的非法交易”。从公安执法角度而言，在日常检查层面网安部门主要依据《网络安全法》《公安机关互联网安全监督检查规定》来发现违法事实与追查犯罪线索。如图1所示，在数据售卖事件中，中介机构往往会成为数据非法交易的媒介和桥梁。此类情况多见于电信、邮政、计生、保险、物流、酒店、银行、快递、铁路、航空、互联网金融等集中收集和存储数据的行业。

数据安全正式立法之前，无论是《刑法》还是《网络安全法》，都没有明确规定对数据交易的中介机构进行处罚。因此，如果中介机构未达刑事追责标准，无法被认定为共犯，那么对数据交易的中介机构在行政处罚层面就难以追究。比如，在江苏南通、如东两级公安机关破获的特大“暗网”侵犯个人信息案中，公安机关共计抓获犯罪嫌疑人27名，查获被售卖的信息数据5000万余条，执法成效可谓显著。然而，据犯罪嫌疑人王某的供述，其通过多种途径收集大量商家信息和数据，并非法购买了包括期货、外汇投资人等公民的信息数据。之后，王某等人就在“暗网”交易平台上进行兜售。其中，很可能存在数据交易的中介机构进行居间搭桥。若中介机构的行为不够刑事追责条件，根据现行法律法规的规定，对其追究法律责任或许存在依据真空地带。

鉴于此，《草案》第43条明确了数据交易的中介机构的罚则，令中介机构在数据交易中的掮客作用进一步弱化，有机衔接了《网络安全法》第64条的规定，提高了数据非法交易的违法成本，扩大了数据非法交易的涉及面，更加有利于打击团伙犯罪。

严惩数据内鬼，堵住违法犯罪源头

根据公安部对外披露的数据，截至2020年4月，在“净网2018”“净网2019”“净网2020”专项行动中，全国公安机关共侦破侵犯公民个人信息案件1.7万余起，抓获各行业“内鬼”3000余名。其中不乏员工监守自盗甚至是与国家工作人员进行内外勾结的行为。一言以蔽之，“内鬼”堪称数据安全隐患的源头！

如前文所述，我国对于公民个人信息、计算机信息系统的非法获取、非法提供、非法出售进行了刑法规制。同时，若数据安全涉及国家秘密，对于泄露国家秘密的行为，《刑法》设置了故意泄露国家秘密罪、过失泄露国家秘密罪等进行规制。比如，根据中国裁判文书网披露，在何某某受贿、贪污、故意泄露国家秘密罪一审刑事判决书中，何某某身为国家工作人员，违反《保守国家秘密法》的规定，明知是保密工程文件资料，故意向他人泄露机密级国家秘密两件，情节严重，构成故意泄露国家秘密罪。

然而，针对违规违法事件动辄适用刑事打击能够解决一时之痛，却绝非长久之策！一方面，在数据赋能引领城市治理的背景下，越来越多的数据将通过国家机关进行生产、使用、共享。因此，部分省市已经专门对公共数据进行了地方性立法规制，在刑事追责程序启动之前专门设置了行政处罚的门槛，比如《上海市公共数据和一网通办管理办法》（沪府令9号）。另一方面，从预防违法犯罪的角度，国家公职人员生产数据、传输数据、处理数据的情况将日益成为常态，如何从源头上阻滞与阻止数据被非法利用是当前的一项重大课题。根据《华西都市报》报道，在成都卫生系统“内鬼”泄密事件中，外部人员勾结的就是卫生系统中有职务便利的国家工作人员。其多次将成都市新生婴儿信息及预产信息导出后，通过线下交易方式，将信息出售。另据云南省人民检察院通报，其在2019年10月告破的“8·11”公安部督办特大侵犯公民个人信息案中，国家机关工作人员与通信公司经理、街道计生人员等互相勾结，做起了盗取贩卖公民个人信息的行当，涉案信息达到2000万余条，涉案金额高达400万余元。此案中，源头也是国家机关工作人员！

虽然目前多数涉密材料均通过涉密设备或者内部书面机要进行传输，但是随着大数据应用和数据共享的进一步深化，今后以数据形式处理涉密材料将步入常态。显然，立法机关已经注意到了相关问题，前瞻性地通过法条形式进行规制，比如《草案》第45条规定了“国家机关”不履行数据安全保护义务的法律责任，第46条规定了“国家工作人员”不履责的法律责任。相较于《网络安全法》第72条规定的“国家机关政务网络的运营者”的行政处分、第73条规定的“网信部门和有关部门”的行政处分，《草案》第45条、第46条提档升级了处罚措施，违法成本将大大提升。

在数据立法之后，在国家机关和公职人员涉及的数据安全领域，我国将形成《网络安全法》的“行政处分”、《数据安全法》的“行政处罚”以及《刑法》的“刑事处罚”的三级法律责任体系，更加拧紧了政务数据的安全阀门，并有望进一步遏制公职人员违规违法滥用内部数据！

习近平总书记高度重视网络安全问题，着重提出，“没有网络安全就没有国家安全”。数据安全作为网络安全的重要组成部分，理应受到格外重视和法制保障。此次数据安全的立法再次为数据企业和监管部门敲响警钟，以法为屏倒逼多方协作形成合力、建立数据安全的叠加保护管理制度。箭已在弦上！

编辑：黄灵  yeshzhwu@foxmail.com