达朝玉｜论数据处理者拒不履行重要数据安全保护义务的刑事责任

2021年6月10日， 《中华人民共和国数据安全法》正式颁布 ，标志着我国数据安全保护进入了一个新的阶段。其中，第52条明确规定“违反本法规定，构成犯罪的，依法追究刑事责任”，这为数据安全保护义务的刑事化奠定了法律基础。

然而，当前刑法在数据安全保护方面仍存在不足。根据《数据安全法》的定义， 数据包括任何以电子或其他方式对信息的记录。 但刑法第285条和第286条对数据的保护仅限于“计算机信息系统中存储、处理或者传输的数据”，这显然无法涵盖所有类型的数据。此外， 刑法对数据的保护主要集中在非法获取、删除、修改或增加等行为上 ，而忽视了数据的全生命周期保护。

数据安全保护义务的刑事化对企业和社会都将产生深远影响。 对企业而言，这无疑会增加其合规成本。根据《网络数据安全管理条例（征求意见稿）》，数据处理者需要采取备份、加密、访问控制等技术措施，建立完善的数据安全管理制度，甚至成立专门的数据安全管理机构。这些要求无疑会增加企业的运营成本，但同时也将推动企业提升数据安全管理水平。

对社会而言，数据安全保护义务的刑事化有助于提高全社会的数据安全意识。近年来，数据泄露、滥用等事件频发，给个人隐私和社会安全带来严重威胁。通过将数据安全保护上升到刑事层面，可以更有效地威慑潜在的违法行为，保护公民的合法权益。

然而，仅仅依靠刑事化是否能真正有效保护数据安全？答案可能并不乐观。首先，刑事处罚往往具有滞后性，无法及时阻止数据安全事件的发生。其次， 过度依赖刑事手段可能会忽视数据安全的系统性问题，如技术漏洞、管理缺陷等。 最后，刑事化的高门槛可能导致一些轻微但频繁的数据安全违规行为得不到有效监管。

因此，未来的数据安全保护应该是一个多维度、多层次的体系。在刑事层面，可以考虑增设拒不履行重要数据安全保护义务罪，以针对性地追究重要数据处理者不履行安全保护义务的刑事责任。同时，还需要完善行政监管体系，建立常态化的数据安全检查和评估机制。此外，加强数据安全技术研究和人才培养也是不可或缺的一环。

总的来说，数据安全保护义务的刑事化是数据安全治理的重要一步，但绝非唯一一步。只有将刑事手段与其他监管措施有机结合，才能真正构建起全面、有效的数据安全保护体系，为数字经济的健康发展保驾护航。