马 宁

河南司法警官职业学院，河南 郑州 450000

伴随着现阶段人工智能、大数据等技术的快速发展，社会逐步转型，进入到数据社会，而数字经济下数据作为生产要素，其作用日益突出［1］。这一方面为经济的高质量发展提供了动力支持，但另一方面也催生了数据安全风险，一些包括数据泄露、数据贩卖等犯罪案件的数量不断提升。数据犯罪对于个人、企业、国家都会带来严重的安全隐患，基于此，结合数据时代下数据犯罪风险进行识别，并针对性地提出风险防范策略，具有一定的现实意义和应用价值。

一、数字经济时代下的数据犯罪风险

（一）由于数据安全犯罪造成的刑事风险

从我国刑事法律规范的内容来看，其中有许多与数据违规相关的犯罪类型。《中华人民共和国刑法》（以下简称《刑法》）作为法律体系中发挥着最后手段作用的部门法，虽然对于保护法益起到重要的作用，但由于《刑法》自身存在一定的不完善，难以对所有数据犯罪的构成要件进行事无巨细的描绘，这也在一定程度上弱化了对数据犯罪的打击效果。结合当前涉及数据犯罪的法律规范来看，《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）是三部最重要的法律，目前需要结合上述法律规范对数据安全犯罪领域中的刑事违法性特点进行界定，以便更具针对性地规制数据安全领域的犯罪行为，强化法律适用性。同时，数据安全前置性法律保护体系，也是当前保障各行各业数据安全，并使其明确自身数据安全监管职责的重要依据［2］。

从数据安全犯罪的发展趋势来看，想要了解其犯罪风险，需要首先结合数据安全的内涵与特点进行展开。数据安全涉及到数据的储存、使用、运输等各环节的安全，需要保证数据处于被有效控制和合法利用的状态下，结合现行《刑法》的相关规定，对于非法数据的取得、篡改以及销毁等方面都有明确的惩治措施［3］。但基于数据形态的特殊性，在实际的使用环节，需要结合计算机系统做好数据的储存与处理。在数据犯罪中，一些关于计算机信息系统安全和网络安全方面的犯罪，例如，非法侵入计算机系统、非法控制计算机系统程序或工具等，在现行《刑法》规定中都有相关的罪名。进一步细分，如果非法搜集的数据属于个人数据，则涉及侵犯公民个人信息罪，而如果收集的数据属于公共数据则可能触及为境外窃取、刺探、收买、非法提供国家秘密、情报罪。

（二）网络服务提供者监管义务履行不到位导致的刑事风险

近年来全球范围内数据的作用更加突出，在犯罪领域，关于数据领域的犯罪与攻击行为不断涌现，尤其是有着较多用户数据的教育行业、医疗行业、互联网行业等。这些行业企业在生产经营中，数据泄露风险较高。并且，结合数据泄露的主要途径，具体包括了内外两大方面，内部监管不当、内部人员窃取用户机密或者外部黑客窃取数据，都可能造成数据泄露。这些拥有庞大用户基础、掌握海量用户信息的企业，如果在用户数据管理方面不到位，在安全防护体系上建设不足，或者自身的数据监管义务履行不到位，也有一定的刑事风险［4］。除了直接的由于数据安全犯罪造成的刑事风险外，一些网络运营企业也可能面临触犯拒不履行信息网络安全管理义务罪的风险，该罪的构成要件就包括“由于不履行网络安全义务而导致用户的信息泄露进而造成严重后果”［5］。

（三）由于网络金融犯罪造成的风险

由于网络技术本身具有较强的不确定性，在网络金融产品的市场交易中，交易对象之间往往处于信息不对称的状态，一些金融诈骗分子，会以合法的金融交易为掩饰，利用信息不对称的地位来隐藏自身的风险，并利用网络技术漏洞和监管滞后性开展犯罪活动［6］。一些诈骗性质的众筹、融资、网贷平台，甚至将自己的服务器架设于虚拟平台之上，这不仅能够扩大其犯罪活动的影响力，也能在得手后快速转移非法所得，例如缅北网络诈骗集团。

二、数字经济时代下，数据犯罪风险的产生原因

（一）立法不健全

数字经济下数据犯罪风险的产生很大程度上是由于法律规范的缺失，现行的法律法规中，针对网络和金融两大领域的立法本身就较为有限。而数据犯罪作为新生事物，更是具有特殊性、灵活性，加之在数据犯罪的监管执法方面，监管执法权较为分散，一些规范性文件又往往由多个部门出台，且不同地区之间在立法上也存在差异。国家层面上难以就网络金融和数据犯罪的相关立法进行充分协调，加之网络技术本身就具有的风险性。互联网技术的快速发展，使得现行的法律规范和监管措施存在较大的滞后性，结合新技术、新情况、新形势，现行法律难以对其及时打击［7］。

（二）数字时代行为要件难以判断

伴随着数据犯罪在我国司法实践领域出现的日益频繁，犯罪手段逐渐趋向网络化、技术化，如果不加治理会导致严重的危害后果，且数据本身影响力大，当行为人实施数据犯罪时，往往不仅会侵犯到其所需数据本身，也会影响到数据包含的其他信息内容。但目前在数据犯罪定性方面还存在较大的困难，因为在数据的界定上清晰度不足。数据与信息往往密不可分，而在《刑法》规定中关于数据的外延却较为模糊，如第二百八十五条和二百八十六条中将数据犯罪的犯罪对象定义为计算机信息系统数据，但也有其他相关法律文件将具备自动处理数据功能的系统都认定为计算机信息系统。这一认定使得其适用范围较广，除了普遍意义上的计算机外，人们日常使用的手机、笔记本电脑等都能被涵盖其中。这意味着所有类型的计算机信息系统数据都将被作为数据犯罪的保护对象，任何对其中数据进行非法获取、非法破坏、非法泄露的行为都可被定义为数据犯罪。并且，从数据犯罪保护的法益来看，存在界定标准较为模糊的弊端，这也会影响司法实践。

（三）互联网监管难度加大

从法律的执行与落实来看，针对一些市场监管中的新兴领域，往往落实难度较大，而网络领域更是新兴领域中的突出代表。结合现已出台的法律实施情况，以数据犯罪中的网络金融数据犯罪为例能够看出，受传统金融监管模式的影响，目前在金融监管方面还未能形成对网络金融活动的全覆盖。在以往的市场经济中，市场监管大多配备有完备的体系机构，负责对市场中的违法违规现象进行处理，而在网络金融领域并没有设立较为完整系统的机构体系，导致监管作用难以发挥［8］。互联网作为一个全新的技术平台，信息数据传播速度极快、传播范围广、专业技术性强，这些特点也使得互联网在监管方面存在较大不足，监管机构只能在事发后对犯罪行为进行追查，往往早已错失侦查时机。且数字经济时代下数据的类型更加多样，各种新技术新产品层出不穷，这虽然降低了人们的入行门槛，但也提高了监管难度，而且由于互联网信息具有虚拟性，在数据犯罪中也越来越呈现出复杂化的特点，多领域、多技术彼此交织，进一步提升了监管执法的难度。

三、数字经济时代下，数据治理的理念创新

（一）要兼顾前端治理与数据利用

数据安全与国家发展、民族复兴、社会进步密切相关，面对数字经济下数据犯罪风险所带来的挑战，需要尽快推进数据安全的规范形态建设，同时，也要为数据的正常使用和开发利用提供保障，不能因为打击数据犯罪、防范数据犯罪风险而出现寒蝉效应，这需要立法者对安全和效率方面做好取舍。近年来，伴随着我国信息技术的快速发展，党和国家对于数据监管的重视也不断加强，对于数据犯罪风险的防范能力也不断提升。从世界范围看，在2018 年欧盟正式出台了《通用数据保护条例》，此后，关于数据合规的问题也引起了各国的广泛关注。我国在数据安全方面也以2017 年正式实施的《网络安全法》为起点，开启了数据合规建设，相继出台了《个人信息保护法》和《数据安全法》，构建起中国数据合规的基础法律框架，从形式合规政策建设来看，结合数据治理的现行趋势，需要尽早提上日程。

当前数字经济下对于涉及数据领域的企业有着更高的义务要求，但目前我国《刑法》和其他新出台的相关立法在衔接度方面还有所不足，在罪与非罪的界定方面还有待明晰。结合我国现行“犯罪双罚”的模式之下，如果企业受到刑事处罚，或者有面临承担刑事责任的风险，则企业生存和发展将极为艰难，后果也是极为严重的。因此，这也驱动企业积极开展数据治理和前端预防，企业可以结合刑事合规制度做好风险防范，预防数据犯罪。

（二）要统筹多元治理与犯罪预防

在传统的刑法实践中，大多是采取事后评价，即犯罪行为已经产生并且造成了相应的不良后果，而后对此类行为进行评价和制约。这种方式无疑会使数据安全保护有着较大的局限性，难以对已受损的法益进行预防和恢复。而对于涉及数据领域的企业来说，本身管理流程复杂、环节多，且需要处理海量的数据流。而国家层面上在数据犯罪防范和治理方面难以实现全环节监管，如果在数据治理中仅凭刑事立法或司法强制效力的作用，难以面面俱到。从这一角度看，在防范数据犯罪风险时，可以从新的思路出发，从“重事后惩罚”转向“积极的预防”。刑事合规制度的引入就体现了预防主义思想，结合企业自律、行业自治，能够更好地基于企业在数据治理中的事前表现做好统筹。这种刑事合规有利于将企业的事前防范和国家的事后治理相结合，减缓我国在数据治理领域的压力，能够有效彰显国家治理体系和治理能力的现代化。

（三）要协调宽严相济刑事政策与产权保护

对于企业来说，在生产经营中结合数字经济的发展环境，结合新兴的经济模式，需要做好完善。总体而言，我国数字经济规则还存在着软实力不足、数据流通体系不完善、监管机制不健全的问题，而从事数据领域的企业又大多是民营企业。针对目前企业在数据安全领域的一些违法违规行为，要秉承着宽严相济的刑事政策，在肯定企业创新发展大方向的同时，也要督促企业进行自我监管。而借助刑事合规，能够对涉事企业给予不起诉或暂缓起诉的宽待，能够使其更加健康、可持续地实现发展。

四、数字经济时代下的数据犯罪的风险防控策略

（一）建立健全立法

针对数字经济时代下的数据犯罪风险，最有效的保障措施就是在立法层面上对数据实施全环节保护，要结合数据生存周期进行全过程监管。结合其他在本领域较为领先的国家关于数据监管方面的立法实践，我国在《刑法》中仅对获取性和破坏性数据侵权行为给予犯罪化。而对于一些数据滥用、非法访问等同样具有社会危害性的行为，却没有予以犯罪化。这存在明显的不合理，建议在立法层面上进行调整，例如可以将非法访问数据、滥用数据的行为予以犯罪化，原因在于滥用数据不仅是对数据进行修改、删除，也涉及对数据的一些干扰行为，而对数据的干扰，可能会由于对其中核心数据的修改而影响到数据的整体安全，将其纳入刑法规制范畴中，也能有效地打击潜在的数据犯罪。

（二）提高数据犯罪的防范工作

对于数据犯罪来说，往往涉及的领域多且内容复杂，仅凭一方的打击监管显然是不够的，需要构建起多部门联合的犯罪打击机制。例如，针对网络金融数据犯罪，由公安机关与金融部门、网信部门进行协调。对于发现的违法行为坚决惩处，通过多部门合作，落实针对相关领域的整治工作，也可以督促行业构建起数据犯罪自律机制，发挥行业协会在预防数据犯罪方面的作用，为行业发展创设健康的环境。

（三）发挥大数据技术在监管工作中的作用

大数据技术在打击违法犯罪领域也具有突出作用，借助大数据技术，强化对网络安全系统的开发、更新和应用，能够对数据治理起到卓有成效的作用。可以通过构建大数据追踪体系，结合现有的网络平台开发系统完善的技术路线，对于已经发现的网络漏洞及时进行填补，对于可能出现数据犯罪风险的模块进行及时修补，做好预防远比事后打击更为重要。