广义的激励是奖励与惩罚的上位概念,狭义的激励则是奖励的近义词,与惩罚是并列关系。法律激励应界定为狭义的正向激励,同时也不排斥惩罚的反向激励作用,两者是法律激励的一体两面。传统的数据控制安全保护模式限制了数据流通和开放分享,需要确立以数据利用安全为重心的法律治理模式。刑法应当从注重数据静态安全保护转向重视数据动态安全保护,强化对数据滥用行为的刑事规制,发挥刑罚的反向激励作用。数据安全刑事治理对于数据安全和发展同样具有双向激励机能,具体需要从实体和程序两方面予以把握。实体激励涉及数据犯罪中前置性行政法认定、个人信息数据知情同意权利保护、附随性刑事制裁措施的适用,程序激励主要是认罪认罚从宽制度、刑事和解制度及其衔接协调。数据安全法律治理体系包括硬法治理和软法治理两种形式,软法又可分为国家软法和社会软法。数据安全刑事治理需要政府、企业和社会多方参与,寻求软法与硬法相融合的体系化路径。
数字经济时代,如何在更高水平上推动数据安全地流通与利用,成为数据安全治理的核心命题。法律治理是国家治理的重要领域,政府部门联同企业单位、行业机构、社会组织和公民个人,通过立法、司法、执法等多样化途径方式协同合作、共同参与,以实现国家治理现代化。法律治理手段无外乎惩罚和激励两方面,从统筹数据安全和发展的角度,更需要发挥法律的激励功能。相对于其他部门法规范,刑法规范最具强制性、约束力,虽然其正面的激励性较弱,但惩罚无疑具有保障安全和促进发展的反向激励功能,也是保障数据流通和开放共享的稳定器和安全阀。由于数据本身的流动性、开放性,数据安全风险也成为新的社会风险因素,侵犯数据权益、危害数据安全的违法犯罪不断增加。然而,传统的数据控制模式对数据安全风险管控有余、疏导不足,具有滞后性。在行政性法律法规存在缺位的情况下,刑法有必要介入,对侵犯数据权益、危害数据安全的行为予以刑事惩治。在此基础上,刑法如何发挥自身的正向激励和反向激励作用,在保障数据安全的前提下促进数据流通和开放共享,实现数据安全治理现代化目标,值得深入研究。本文尝试运用法律激励理论,对数据安全刑事治理的激励功能、激励机制和体系模式加以探讨。
一、法律激励与数据安全治理理念
(一)激励、惩罚与法律激励的界定
根据百度百科,从字面意义上来看,“激励”即激发、鼓励,“惩罚”即惩戒、责罚、处罚。关于激励与奖励、惩罚的关系,法学界存在不同认识。广义说将激励与惩罚并列,认为激励是指法律制度对法律主体之行为的激发和鼓励,是奖励(奖赏)与惩罚的上位概念,前者是正向激励,后者是反向激励。“奖励,是社会对良好行为的肯定,惩罚是社会对不良行为的否定。”狭义说则认为,激励就是奖励、奖赏的近义词,其与惩罚属于并列关系。激励是一种积极的、向上的手段,激发、促进个体做出被要求和期望的行为。法律的激励功能在于对个体心理产生积极影响,并借由这种影响对个体行为产生积极的驱动力,从而使得个体行为自愿、主动与规范目的相契合。笔者倾向于狭义说。激励与惩罚是对人类行为进行法律规制的两种最主要的手段。在我国古代,夏启号令“用命,赏于祖;弗用命,戮于社”(《尚书•甘誓》),这是我国最早的奖赏激励性法律条款。法律意义上的“激励”应理解为正向、积极、非强制性的激励,与反向、消极、强制性的惩罚区别开来。狭义上的激励与奖励、奖赏的含义相近,两者的差别在于:前者偏重于事前的“因”,即精神上的诱因,激发行为人去实施某种积极向善的行为;后者更偏重于事后的“果”,即在行为人做出某种积极向善的行为后给予其实际的物质或精神利益。激励性规范本身不带有强制性,但并非都是奖励性规范,法律所积极肯定、促进支持的行为,未必都给予实际的奖励。虽然惩罚也具有反向、间接地激发、促进行为人实施良好行为的作用,但如果将惩罚混同于激励,反而不利于对法律激励的理解,容易造成认知障碍。当然,在坚持对激励作狭义的正向理解的同时,也没必要排斥惩罚的反向激励作用,两者是一枚硬币的两个面,前者是“以善祛恶”,后者是“惩恶扬善”。
有学者指出,作为强制性规范的惩戒与作为非强制性规范的激励均系社会管控法律手段。然而,强制性规范未必都是惩罚性规范,非强制性规范也未必都是激励性规范。徒善不足以为政,徒法不足以自行。社会秩序的维系不能仅依赖于法律的强制性。法治不是惩治,治理不是强制。只有将惩罚所具有的反面激励和奖赏、奖励所具有的正面激励结合起来,才能真正完整地理解法律激励。有的学者在讨论法律激励的表现时往往忽视掉“罚”的面向,其原因就是将法律当然地理解为一套惩罚体系,仅从消极的法律责任角度看待“罚”,而没有从积极的行为规范层面看待“罚”的意义。从辩证的角度看,激励与惩罚成为法律功能发挥的两种方法或策略,是法律治理的“一体两面”,二者是相辅相成的。如果从广义角度去理解法律激励,将惩罚也视为一种反向激励,法治体系就不再是一套惩治体系,而是一套法律激励体系。随着我国市场经济发展和政府职能转变,法治现代化建设正从约束转向引导、从管制转向激励,法律激励制度建设也变得越来越重要。
(二)数据安全与发展的法律激励价值
中共中央、国务院高度重视培育数据要素市场,将数据发展提升到国家顶层战略高度,先后印发了《关于构建更加完善的要素市场化配置体制机制的意见》(2020)、《“十四五”数字经济发展规划》(2021)、《关于构建数据基础制度更好发挥数据要素作用的意见》(2022)等政策文件,提出要协调发展与安全的关系,在数据流通、使用全过程贯彻安全理念。党的二十大报告强调,要加强个人信息保护,提高公共安全治理水平,健全国家安全体系,捍卫国家数据主权。
对于数据安全的具体定义,我国《数据安全法》中已有明确规定,即数据安全是一个开放的、动态的范畴,既有数据控制安全又有数据利用安全。传统的数据控制安全保护模式主要通过对数据静态安全的维护,在强化数据主体对数据权属控制的同时,也相应地限制了数据流动使用,从而产生了不当限制数据共享的消极后果。数据利用安全体现的则是自由利用理念,其侧重于保护数据在收集、存储、使用、加工、运输、提供、公开等各个处理阶段的安全。应当看到,数据只有开放共享才能产生价值,完全将数据进行封闭管控,不可能实现数据治理现代化,也不符合数字经济发展的大趋势。在数据的流动和使用过程中,初始数据权利主体逐渐不再拥有对个人数据的完全控制;数据利益主体也呈现多元化趋势,扩展至收集者、使用者及处理者。数据法益越来越多地呈现出社会公共性,数据安全利益谱系也涉及个人安全、公共安全和国家安全不同层面。因此,数据安全不可能只通过强力管控模式实现,更重要的是在数据的开发、共享、利用过程中追求“动态安全”,通过多方协商和公私合作的治理方式,实现冲突消解、利益平衡和社会关系和谐。目前,我国数据安全治理从整体来说仍属于传统的管控模式,需要从理念和制度上加以革新,确立以数据利用安全为重点的法律治理模式。
从立法来看,我国《宪法》中运用“鼓励”或“奖励”等词语来表述的具体条款内容涉及诸多方面。其他现行法律法规中用于激励的词语主要包括“奖励”“鼓励”“促进”等。以激励为目标的立法已形成了以宪法为核心、以部门法为主干,涵盖政治、经济、文化、社会各领域的法律体系。须指出,法律激励的内涵并非单方面“鼓励”“奖励”“待遇”等概念所能包含的。况且,这些激励性法律条文有相当一部分都属于原则性、概括性、宣示性规定,不具有实际的规范内容,激励责任主体不明确,行政机关仍然存在“九龙治水”的管理体制问题。在数据安全领域,我国国家立法机关制定实施了《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律;一些地方出台了涵盖数据要素流通各环节的相关法规规章,如深圳市发布了《公共数据安全要求》,上海市出台了《上海市数据条例》等。另外,国家有关部门针对工业、电信、金融、汽车等重点行业领域也制定颁布了一系列数据安全国家标准、行业规范、技术标准等基础性规范和规范性文件。《数据安全法》作为数据安全领域的基本法、综合法,充分发挥了法律激励的规范价值,全文提及“促进”“发展”“鼓励”“支持”等词语多达40余次。《数据安全法》第一条将“促进数据开发利用”作为该法的立法目的之一。《数据安全管理办法(征求意见稿)》第三条、《网络数据安全管理条例(征求意见稿)》第三条也作了类似的规定。《数据安全法》第四条规定,“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力”。《数据安全法》第二章明确提出“数据安全与发展”,第十三条规定“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”;第十四条至第二十条具体规定了以“促进”“鼓励”“支持”为导向的激励性规范条文。可以说,《数据安全法》名为“安全法”,实际承担了“安全与促进法”的双重任务。类似的法律条文还有《网络安全法》第二章“网络安全支持与促进”第十五条至第二十条,《个人信息保护法》第十一条、第十二条等。未来我国立法应当考虑如何设计出科学合理的数据安全监管“大棒”,将剩下的“箩筐”空间留给市场,由市场提供合适的配给,真正实现安全与发展的价值融合。
在总体国家安全观下,数据安全属于非传统国家安全,数据安全治理是国家安全法治体系中的重要一环,数据安全法律治理则是数据安全治理下的一个子概念。“治理”强调协调与合作,“管理”则强调控制和执行。在数据安全范畴内,使用“治理”的概念比“管理”的概念更能适应数字化发展的需要。数据安全治理的目标是保障数据及其应用过程中的运营合规并满足内部数据管理及应用的需求,从而利用数据驱动商业发展,提升企业数据资产价值。数据安全保障与数据开发利用是数据安全法律治理的两大目标。在数据安全法律治理中,应当充分发挥刑法、行政法等各种法律法规正反两方面的激励功能,促进政府、企业、社会和个人协同治理。一方面,通过制定和实施激励性法律规范,从正面鼓励数据依法合理有效利用,除要求政府在数据处理活动中履行安全保障义务之外,还应倡导社会组织和公民个人积极承担数据安全保障义务,促使企业制定和实施数据安全合规计划,从而使各方主体共同参与数据安全治理,以安全促发展,促进数据流通与共享开放。另一方面,运用法律制裁手段依法惩治危害国家安全、公共利益及损害个人、组织的合法权益的行为,从反面激励相关主体依法从事数据处理活动、维护数据安全,形成数据安全保障和数据开发利用协调统一的发展格局。
二、数据安全刑事治理的激励功能
(一)数据犯罪刑法规制的激励机能
狭义上的数据犯罪,即《刑法》中以数据为犯罪对象的罪名,而不包括以数据为犯罪工具的犯罪。具体罪名主要包括:《刑法》第二百八十五条的非法获取计算机信息系统数据罪、第二百八十六条第二款的破坏计算机信息系统罪。从广义角度看,以数据为对象的犯罪为主要罪名,以信息安全、网络安全为保护法益的犯罪为紧密关联罪名,构成数据安全法益保护的罪名体系,主要包括侵犯公民个人信息罪,侵犯商业秘密罪,非法侵入计算机信息系统罪,非法获取计算机信息系统数据罪,非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪,拒不履行信息网络安全管理义务罪,帮助信息网络犯罪活动罪等罪名。传统的刑法控制模式力求通过对数据静态安全的维护,通过对非法数据使用行为的刑事制裁,维护数据主体的合法权利。我国《刑法》通过不断拓展侵犯公民个人信息犯罪的适用范围实现对数据安全的强化保护。随着《民法典》《数据安全法》等法律的制定与实施,数据安全逐渐成为独立于信息网络安全的新型法益。然而,我国对于数据安全的刑法保护仍是依赖于对个人法益以及信息网络系统安全法益的保护而间接实现,将数据安全作为独立法益保护的刑事保障制度缺失。对此有学者主张,未来我国刑事立法应当以数据安全法益为核心构建刑事规范体系,实现对非法获取、利用数据等行为的妥当处置。当前,刑法规制的重心在于数据的非法获取行为而非滥用行为,由于其过度强化数据控制,难以有效实现数据安全与数据共享的基本治理目标。现有《刑法》规定并不能实现对数据滥用行为的充分评价,对数据利用安全未能予以充分的保护。完善数据安全刑事立法,首先应处理好数据安全与数据发展的关系,将保护重心从数据控制安全转向数据利用安全。数据作为社会公共产品,其价值往往在流通中得以实现,因此基于社会以及经济层面的考量,刑法不能仅出于安全需要的考虑而禁止数据的正常流动,只有符合特定条件才能启动数据安全控制模式,将数据利用行为入罪:一是法益的价值重大性;二是泄露行为的具体危险性;三是重大法益侵害的可能性。一些国家和地区刑事立法将非法使用行为作为一类独立的犯罪加以规定。例如,《德国刑法典》第204条规定的使用他人秘密罪;我国澳门地区“刑法典”第190条规定了“不当利用秘密罪”。这些立法经验值得我们参考借鉴。学界已逐渐认识到非法使用个人信息行为的严重法益侵害性,并尝试从不同层面提出规制路径。须指出,刑法对数据法益的过分保护不利于数据的共享和流通,因而应合理划定刑法规制的边界,避免对数据集体法益安全隐患的过度预防。
(二)数据安全刑事治理的双向激励
在刑事法领域,惩罚和激励是规制犯罪的两种法律手段,惩罚是一种工具理性,激励是一种价值理性。在强调刑法惩罚功能的同时,不能忽略刑法的反向激励功能。在部门法领域,经济法涉及的激励模式较多。经济法是授权法,法律赋予国家以经济职权使其适度干预社会经济,对经济社会发展能够直接起到激励作用。比较来说,刑法是制裁法,强调运用刑罚手段惩治犯罪,维护社会公平正义。所以,刑法中的激励性规范相对较少,惩罚居主导地位,激励居从属地位。因此刑法多见制裁性规范,而刑事激励机制相对较少。我国《刑法》常见的激励性规范除《刑法》总则中规定的犯罪中止、自首、立功等规定外,在分则中针对特定罪名也存在一些激励制度,如拒不履行信息网络安全管理义务罪的规定。该罪犯罪成立要求存在经监管部门责令采取改正措施而拒不改正的行为,这也从反面说明只要网络服务提供者能在收到主管部门的责令整改要求后积极配合、主动整改,就不需要承担刑事责任。这便是一种典型的刑事激励机制。在《刑法》中,与惩罚性规范相比,激励性规范只占极小比例,不能影响刑法规范体系以惩罚为主的整体性质。除上述奖励性规范直接发挥正向激励作用之外,大部分刑法规范主要通过惩罚的反向激励作用间接加以体现,这种反向激励带有较大的不确定性,刑罚的效益性难以得到充分实现。相对于惩罚性,刑法的正向激励是弱性的,在整个法律激励体系中处于从属性地位。
在刑事治理视角下,对于危害数据安全的犯罪,除运用刑事制裁手段予以惩罚之外,刑法激励机制也是犯罪预防体系中不可或缺的一部分。实践中,应当合理看待刑法规范的正向和反向的激励功能,适当处理好惩罚性与激励性的关系,并将刑法的激励性规范与其他法律法规的激励性规范有机结合起来,共同完成法律惩治与激励的双重价值目标。只有坚持刑法激励性与惩罚性的有机统一,既宽且严、宽严适当,才能达到惩治与预防的刑事治理效果。须指出,刑法激励并非把控数据安全风险的“全能手”,激励机制一旦被过度使用,也会对刑事治理系统产生负价值。在数据安全刑事治理过程中,应当遵循比例原则与平衡原则的要求,明确激励性规范的适用范围与限度,将其定位为法律规范秩序协调的工具。法律在设定数据处理行为的约束性、强制性规范时,应当充分权衡数据法益保护和数据自由发展的关系,在对立中寻求平衡。刑法在增设危害数据安全犯罪的刑事规范时,应当充分权衡惩治数据犯罪与促进数据发展的利益权重。对于危害数据安全犯罪的刑法规制,应限定为适用于保护国家安全和公共利益,预防重大、潜在、紧迫性风险的情况。也只有在此情况下,刑罚的反向激励机制才有动用的必要性和可能性。
三、数据安全刑事治理的激励机制
刑事治理是一个包容、多元的概念,即在刑事立法、司法和执法等各个层面,通过制定和实施相关法律法规、部门规章、刑事政策、司法解释、行业规范、技术标准等,形成衔接协调、行之有效的犯罪治理体系及运行机制。数据安全刑事治理的激励机制,即从体系化角度构建防控数据安全风险与促进数据开发利用的法律机制,具体来说,需要从实体激励和程序激励两方面予以把握。
(一)数据安全刑事治理的实体激励
从实体法角度看,数据安全刑事治理的激励机制体现在《刑法》总则与分则的规定之中。《刑法》总则中的一些激励性规范,在数据犯罪的刑法适用中能够发挥正向的激励作用;《刑法》分则中数据安全相关罪名的刑事制裁措施,也能发挥反向的激励作用。以下主要探讨三个问题:
1.数据犯罪前置法规范认定的激励机制
数据犯罪是典型的法定犯或行政犯,就法定犯而言,违反前置法是成立此类犯罪的前提。在涉及信息网络犯罪的刑法条文中均有“违反国家规定”“违反国家有关规定”的前置性规范。可以说,前置法是连接刑法与行政法的桥梁,在数据犯罪的刑事治理中保留了一定的缓冲空间。就数据犯罪而言,对其进行最直接的前置性行政法规定的当数《数据安全法》。该法第二条明确规定开展数据处理活动及进行数据安全监管,“适用本法”,即以《数据安全法》为优先适用层级。此外,《个人信息保护法》《网络安全法》等法律法规也涉及数据安全保护。前置性行政法规范具有补足和填充刑法中犯罪构成要件的机能,行政机关由此获得扩大解释刑法规范适用范围的权力。有的司法机关往往过度追求刑事与行政违法认定的统一,容易扩大行政前置认定规范依据范围,这是必须加以克服的。如果将管控力度更严、安全标准更高的行政法规范作为认定数据犯罪的前置法规范,则存在刑法过度介入之嫌。因此,对于数据犯罪前置行政法规范的认定,应当立足于罪刑法定原则进行实质判断,否则不得作为数据犯罪认定的根据。如前所述,拒不履行信息网络安全管理义务罪的成立应当满足经责令改正后仍拒不改正的前置性条件。关于如何认定这一前置性条件,2019年最高人民法院、最高人民检察院(以下简称“两高”)《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》第二条规定,“应当综合考虑监管部门责令改正是否具有法律、行政法规依据,改正措施及期限要求是否明确、合理,网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断”。上述法律和司法解释规定可以看作一种正面激励制度,通过设置构成犯罪的前置条件,激励网络服务提供者及时采取改正措施,从而获得出罪事由。又如,2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第一款第(九)项规定,“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”,应当认定为该罪的“情节严重”。此规定也体现了国家法律鼓励涉罪个人或单位积极接受行政处罚,从而获得刑事免责事由。在数据安全法律治理体系中,刑法应当居于保障法地位,行政法足以规制的违法行为,刑法一般不再介入,以保障数据流通和有效利用。在坚持刑事违法二元论的基础上构建刑行衔接机制,是数据安全刑事治理体系现代化的必然要求。
2.个人信息数据知情同意保护的激励机制
知情同意原则是个人信息数据收集和利用的基本原则,也是数据安全刑事治理的基础性制度,他人只能通过权利主体知情同意的方式获得相关数据。如何处理好数据安全保障和个人信息数据利用之间的关系,对于数据开发利用和数字经济发展至关重要。按照《网络安全法》第四十一条的规定,非法获取公民个人信息包括违反“法律、行政法规的规定”和违反“双方的约定”两种情况,收集利用个人信息数据的行为违反法律法规或双方约定的,都可认定为“非法获取”。对于个人敏感信息,法律应予以严格保护,收集、利用该类个人信息必须经权利主体明示同意。但在个人信息数据利用和流通过程中,个人敏感信息逐渐去身份化、去识别化,成为一般的信息数据。在大数据时代,面对海量数据,要求每一条信息数据都需要获得事前的明示同意是根本不可行的,也在很大程度上遏制了个人信息数据的流通和开放共享,因此,对于处于流通使用过程中的个人信息数据,知情同意权的法律保护应予以适当放宽。有学者主张,对于仅含间接标识符、不含标识符之个人信息的治理规则而言,个人信息处理前不需要经过本人同意。《信息安全技术 个人信息安全规范》(GB/T 35273—2020)第5.4条规定了收集个人信息数据的授权同意(针对个人一般信息数据)和明示同意(针对个人敏感信息数据)两种方式;第5.6条规定了征得授权同意的例外情形,主要涉及国家安全、国防安全、公共安全和重大公共利益等情况。还有观点认为,对于《刑法》第二百五十三条之一第三款规定的“非法获取公民个人信息”,不需要具备“违反国家有关规定”的前置性条件,只要未经信息数据权利主体知情同意,就不需要对其违法性再进行具体判断,可直接认定其具有刑事违法性。然而,如果行为人未经个人信息数据权利主体同意,获取个人隐私、敏感信息以外的一般信息数据,就有必要再对其行为是否侵犯个人信息数据所附着的隐私权等具体人格权进行判断,在此基础上,认定其行为是否属于“非法”获取个人信息数据的行为。此外,经个人信息数据权利主体同意的行为也并不意味着当然地阻却刑事违法性。个人信息数据知情同意权的行使不能逾越法律的界限,不能与国家和社会公共利益相冲突。知情同意原则要受到合法、正当、必要原则的限制,如果涉及公共利益、社会秩序和国家安全,即使收集、利用个人信息数据的行为已取得权利主体的同意,也不能免除其履行数据安全保护的义务,个人信息数据权利主体的“同意”也不能成为出罪事由。
3.附随性刑事制裁措施适用的激励机制
我国刑法中附随性刑事制裁措施主要包括从业禁止、社区矫正等。对行为人施加附随性的制裁措施,将能更好地发挥刑罚的激励功能,起到预防数据犯罪的效果。附随性刑事制裁措施本质上属于保安处分措施。保安处分处置措施的确立应当以人身危险性为基础,通过剥夺或限制自由的手段达到降低或消灭行为人实施违法犯罪行为的现实可能性。与资格刑相似,刑法中的从业禁止的内容主要是关于职业资格的剥夺与限制,其虽然不属于资格刑,但是同样具有剥夺或限制犯罪人一定条件或资格的性质。同时,我国对于受过刑事处罚人员的从业限制、资格限制广泛地分布于刑法之外的其他法律、行政法规、部门规章、行业规定等规范性文件中。附随性刑事制裁措施所具有的多元性,决定了其与资格刑、行政处罚等制裁措施之间衔接协调的必要性。《刑法》第三十七条之一将从业禁止作为预防再犯罪的一项制裁措施,并规定“其他法律、行政法规对其从事相关职业另有禁止或者限制性规定的,从其规定”。对于数据犯罪而言,适用附随性制裁措施,须确立刑事一体化理念,发挥其在刑行衔接方面的体系功能。适用附随性刑事制裁措施在某种程度上限制和剥夺了这部分人重新回归社会的可能性,其严厉性可能重于资格刑和行政处罚。依据《数据安全法》第四十五条的规定,开展数据处理活动的组织、个人不履行数据安全保护义务的,可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。《网络安全法》第六十三条第三款规定,“受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作”。这些行政从业禁止的规定甚至比刑事从业禁止的规定更为严厉。因此,在附随性刑事制裁措施适用中,必须考量比例适用问题,综合考察对犯罪人所采取的刑事或行政制裁措施是否已经超出了其犯罪行为所应当承担的刑事责任程度和范围,同时,充分考虑犯罪人的合法权益保障和回归社会的可能性,以求实现预防犯罪的根本目的。
(二)数据安全刑事治理的程序激励
在我国程序规范中,认罪认罚从宽制度与刑事和解制度是重要的刑事激励机制。认罪认罚从宽的基本内容是对自愿如实供述自己的罪行,对指控的犯罪事实没有异议,真诚悔罪并愿意接受处罚的被追诉人,在实体上从宽处理,在程序上从简处理。刑事和解是在刑事诉讼中,犯罪嫌疑人、被告人以悔罪、道歉、赔偿等方式取得被害人自愿和解后,司法机关对被追诉人不再追究或从宽处罚。两者都在一定程度上体现了协商性司法理念,目的在于提高诉讼效率,促进冲突解决,实现社会和谐。在上述两项制度中,被害人的刑事诉讼地位和参与度都有了很大程度的提高,无疑有利于其权利保障和救济。对于犯罪嫌疑人、被告人来说,认罪认罚、与被害人达成和解,也得到了悔罪改过和从宽处理的机会。认罪认罚从宽与刑事和解的性质有所不同,前者属于“合作性司法”,后者属于“恢复性司法”,但两种制度又具有互通之处,在制度效用上相互支持、相辅相成。
在数字经济发展的时代背景下,重要数据处理者、关键信息基础设施的运营者、从事数据交易中介服务的机构等组织、个人,均处在数据收集使用和开放共享的流通链条之中,存在不同程度的利益关联和协作关系。因此,在数据犯罪的刑事案件中,如果对犯罪嫌疑人、被告人(数据处理主体)的刑事处罚过严,被害人(数据权利主体)遭受侵害的法益往往无法得到恢复和救济。因此,适用认罪认罚从宽与刑事和解是必要的、可行的。须指出,在认罪认罚与刑事和解的司法适用中,有的办案单位针对认罪认罚再额外给予一定比例的量刑减免,可能存在重复评价赔偿被害人、退赃退赔等行为的风险。有的办案单位则将认罪认罚并入刑事和解之中,不再单独给予量刑减损,这种做法否定了认罪认罚的独特法律效果,“矮化”了认罪认罚的价值。对此,应加强认罪认罚从宽与刑事和解的衔接与协调。在被追诉的个人或组织认罪的情况下,应由被追诉人、被害人与司法机关进行三方协商,使刑事案件尽可能以各方都能接受的方式得以平和解决。总之,司法机关在打击治理信息数据和网络犯罪的同时,通过实施认罪认罚与刑事和解制度并使之相互衔接协调,使其都能充分发挥程序性激励价值,促进诉讼各方主体参与,消解利益冲突矛盾,从而有效防控刑事风险,形成数据安全保护的多元共治格局。
四、数据安全治理的法律激励体系
根据激励性规范是否具有法律强制效力,法律激励可分为硬法激励和软法激励两种形式。在数据安全法律领域,刑法与行政法、民法等具有国家强制力的硬法规范,以及政策规范、行业标准、技术规范等软法规范,共同承担着数据安全保障与发展促进的任务,构成了数据安全治理中的法律激励体系。
(一)法律激励体系中的硬法与软法
所谓硬法,是指由国家强制力保障实施的法律规范,具有“命令-服从”和“违法-制裁”的行为模式,遵守法律规范是国家对公民个人和社会组织的硬性要求。在数据安全领域,除刑法、行政法和民法等硬法之外,《数据安全法》作为数据安全领域的基本法、综合法,也以命令性、义务性硬法规范为主。该法第四章“数据安全保护义务”设定了数据处理者加强风险监测、重要数据风险评估、重要数据出境安全管理、说明数据来源、取得行政许可等各种数据安全保护义务。《数据安全法》第三十五条、《网络安全法》第二十八条均规定了网络运营者等组织、个人协助侦查犯罪、调取数据的义务。根据国家密码管理局于2020年8月公布的《商用密码管理条例(修订草案征求意见稿)》第四十一条、第四十三条、第四十六条的规定,密码管理部门依法组织对商用密码活动进行监督检查,商业密码产品或服务提供者具有协助义务。然而,上述规定对于如何协调维护国家安全、司法执法协助义务与网络数据安全保障义务的冲突,缺少相应具体规定,不具有可操作性。另外,《数据安全法》及其他法律法规中的激励性硬法规范,有不少是原则性、宣示性规定,不具有法律规范的强制力、约束力,呈现出“硬法软法化”特点。应当看到,我国传统的法律治理模式过度依赖具有国家强制力的硬法规范,而这些硬法规范稳定性有余、灵活性不足,往往无法为社会公共治理及时提供足够、有效的规范指引。在数字经济快速发展的当下,硬法治理作为一种传统的层级式、相对固化的治理模式,难以适应互联网的变动性、开放性、包容性,已凸显其存在法律漏洞、管理滞后、监管不力的缺陷。因而有必要将软法纳入法律治理体系,以弥补硬法治理之不足。
所谓软法,是指不具有法律上的约束力、不能运用国家强制力保障实施的成文规范,包括国家法律、部门规章、行业标准、技术规范等形式。由于软法的创设主体更为多元、创设机制更为灵活,能够为公共治理提供足够的规范支持,因此,在复杂、多元和速变的当代社会,软法是一国法律治理的重要凭借。以法律强制效力为标准,软法可以分为国家软法和社会软法两种。其一,国家软法即以国家法形式存在的,由国家机关制定或认可,但不具备明显的国家强制力的法规范,包括缺乏明确法律责任、制裁后果的法律规定、国家机关制定的公共政策、国家机关颁布的行业标准或专业标准等。近年,中国人民银行、证监会、工信部等政府部门、机构颁布实施了《金融数据安全分级指南》《证券期货业数据分类分级指引》《工业数据分类分级指南》《信息安全技术 健康医疗数据安全指南》和《重要数据识别指南(征求意见稿)》《数据出境安全评估办法》等部门规章,其他政府监管部门也制定发布了相关行业领域数据分类分级的标准指导文件。在刑事法领域,刑法典之外亦有诸多“软刑法”样态,如司法机关制定的刑罚裁量标准和量刑指导意见、刑罚执行的变通处理规定等。司法机关颁布的刑事政策规范性文件,其性质也属于“软法”,对司法机关工作人员办案有着不亚于法律强制效力的约束力。如,最高人民检察院印发的《人民检察院办理网络犯罪案件规定》(2021)第四条强调,人民检察院办理网络犯罪案件应当“加强以案释法,发挥检察建议的作用,促进有关部门、行业组织、企业等加强网络犯罪预防和治理,净化网络空间”。这种刑事政策规范无疑属于“软法”,但毫无疑问其对于司法办案有着不亚于法律强制效力的规范约束力。有些刑事政策规范逐渐深入刑事立法及司法解释当中,呈现“软法硬法化”的趋势。然而,刑法规范与刑事政策之间毕竟存在“李斯特鸿沟”,刑事政策的制定、执行、采用的程序和手段等可能会偏离刑事法治轨道,对此需要以罪刑法定原则作为衡量刑事政策适用的方式、强度、范围是否适当的首要标准。也就是说,在刑事治理中,刑事政策的软法激励必须以刑法规定为底线,而不能随意逾越。其二,社会软法即广义上以民间法形态存在的“法规范”,它构成了软法的主体性部分,如企业与社会自治组织制定的内部规章、行业标准、技术规范等。在硬法制定和实施过程中,公众参与的程度有限;而在软法的形成过程中,行政机关与社会组织乃至公民个体在同等的地位上进行沟通和合作,具有更高程度的民主性、协商性。更重要的是软法不是简单依靠国家强制力,而是主要借助自律、互律机制的运用来实现其效果,这种柔性运行机理应在国家治理能力现代化进程中予以充分体现。随着《数据安全法》的生效施行,全国信息安全标准化技术委员会等行业机构也制定了诸多数据安全国家标准、技术规范文件和实践指南。比较来说,社会软法的制定主体更加多元化,实施机制更为灵活,正向激励性也更加明显。在数据安全治理体系下,需要充分调动社会软法对国家软法的补充机能,实现两者“共生”而治。
(二)数据安全治理中软硬法之融合
在国家治理现代化进程中,整合与共治成为沟通软法与硬法的良性互动路径,硬法与软法的协同治理是国家治理体系现代化法治路径的必然要求。在国际法领域,数据自由流通与本地化存储以及隐私保护之间的矛盾是国际社会在数字时代共同面临的治理难题,基于各国数据治理的硬法规则相互冲突的客观现实,国际软法成为在国际层面加强数据保护的较优选择。中国应当选择以侧重效率同时兼顾安全的软法规制模式为蓝本,积极主动地参与国际数据保护软法治理,促进数据的自由流动,推动数据保护领域多元兼容的国际软法规则的形成。同样地,在国内法领域,基于数据安全保障和发展促进的双重目标,也应当将软法与硬法有机结合起来,特别是注重软法的激励作用。通过设置软法的方式增加正向激励模式,将相关的行业规范、伦理规范纳入其中,实现二者的“软法化”,将其从抽象概念转化为具体的软法规范。当然,对软法激励的倚重并不必然意味着对硬法激励的摒弃,数据安全保护既要依靠软法的规范指引和基础作用,又要发挥硬法规范的保障机能和兜底功效。须指出,软法与硬法的划分只是相对的,不仅社会软法可以转化为国家软法,软法规范可以演化为硬法规范,某些硬法在满足一定条件后,事实上也可以演化为软法。实际上,“名义软法”混合“实质硬法”的现象大量存在。不少名称为“指导”“指引”“指南”等的规范性文件内含强制性命令和要求。在软硬法融合的数据安全法律体系框架下,实践中应当将软法与硬法的激励功能有机结合起来,根据不同情况采取相应的正反向激励措施,从而实现软硬法协同治理、促进数据安全发展的效果。
例如,对于数据企业来说,判断其有无遵守道德规范并承担相应的社会责任,在相当程度上有赖于软法规范。根据最高人民检察院、司法部等联合印发的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(2021)规定,涉案企业、个人认罪认罚是涉企案件适用第三方监督评估机制的基本要求。国务院国有资产监督管理委员会发布的《中央企业合规管理指引》(2022)要求中央企业作为具有相当规模、完善的组织体,应当积极履行社会责任,遵守社会规范和伦理道德,将责任伦理内化于企业合规体系之中。该指导性文件规定,认罪认罚是对涉案企业适用第三方机制的基本要求。从数据合规的外在运行效果来看,企业合规与刑事司法的结合属于一种协商治理模式,数据企业根据国家相关法律法规,制定和实施数据安全合规计划,实现软法和硬法的有机融合,可以最大化地预防和减少犯罪,防控刑事风险。《数据安全法》第八条明确规定了企业开展数据合规的义务,为企业构建数据合规管理体系提供了重要指南。国家质量监督检验检疫总局、国家标准化管理委员会发布的《合规管理体系指南》(2017)将企业合规义务分为合规要求和合规承诺。前者是一种强制性义务,是企业刑事合规首要考虑的内容;后者则是企业自愿承担的义务,充分发挥了软法规范的正向激励和反向激励两方面作用。实践中,企业通过事前合规计划和事后合规整改双向度的合规机制,能够有效实现刑法治理的一般预防和特殊预防效果。目前,我国附条件不起诉制度的适用范围仅限于未成年人,未来有必要通过修法将合规纳入企业附条件不起诉制度,实现激励性软法规范的“硬法化”。须指出,企业数据合规计划的实施离不开国家机关保障政务数据安全、履行数据安全工作职责,也离不开其他主体的参与。企业刑事合规存在于以企业为主体、多方参与、内外部协作治理的法治系统。刑事合规内容不仅包括企业内部治理行动,还包括刑事司法和行政监管活动。司法机关和政府部门应当积极制定和实施激励性措施,鼓励企业实施合规治理,降低数据安全刑事风险,实现企业内控、政府监管、司法惩防的“三位一体”。
五、结语
刑事治理现代化乃国家治理现代化的核心组成部分,治理理念的开放性、治理主体的多元性、治理方式的协作性、治理规则的科学性是刑事治理现代化的基本内涵。面对复杂多变的数据安全风险和日益增生的新型数据犯罪,运用多元化手段和方式,惩治危害数据安全的犯罪行为,防控数据安全风险,是数据安全刑事治理的重要目标和根本任务。数据安全刑事治理需要政府、企业、社会组织和公民个人共同参与,通过合理分配公私主体治理义务和责任,建构多元协同的法律治理体系。刑事立法和司法机关应充分发挥刑法规范的激励功能,运用刑法、司法解释、刑事政策和指导性案例等多样化手段,积极参与数据安全治理,将实体法与程序法、硬法规范与软法规范有机融合,形成多元共治的治理格局。