数据犯罪的保护法益研究

非法获取计算机信息系统数据罪是数据犯罪的典型罪名,目前在实务中存在行为对象范围过大、行为方式认定等疑难问题,究其原因是对数据法益保护的定位及其内容的不明。数据安全法益独立于计算机信息系统,注重数据本身内容安全,包含数据控制安全与数据利用安全两个方面。非法获取计算机信息系统数据罪的行为对象不仅限于身份认证信息,包含一切经过数字化方式处理的数据,但不包括可公开获取的企业数据;认定行为方式应以是否“未经授权或超越授权”为标准,单纯违背数据网站服务协议的数据抓取行为不应入罪。

数据安全范式革新及其立法展开

数字经济时代数据大规模的流动、聚合和分析带来了新的风险与挑战,信息安全和网络安全范式已经不足以应对,维护数据安全亟需范式革新。应该建立以数据风险管控为中心的数据安全范式:除了包括传统数据自身安全的保密性、完整性、可用性,还要确保数据利用安全的可控性和正当性。对于数据安全立法而言,要从国家安全高度进行数据安全法制体系化设计,以风险管控为中心构建数据安全保护制度体系,以重要数据安全为核心管控国家数据安全风险。特别是在制度建构上,应该以重要数据为抓手构建国家数据安全管理制度,包括明确重要数据的识别认定制度、规定重要数据处理者的安全保护义务、将重要数据安全审查纳入网络安全审查以及建立重要数据出境管制制度。