数据安全刑事治理的冗余机制

摘 要：作为国家治理的重要领域，数据安全治理具有系统复杂性，需要增强应对数据安全刑事风险的适应性。系统论中冗余控制原理与风险刑法观念契合，数据安全刑事治理冗余机制包括风险识别、法益衡量、责任分担、入罪缓冲等内容。对于冗余机制应当合理设置并限制运用，以避免产生负面效应。构建数据安全刑事治理体系，须具备内外部两方面的冗余机制。体系内部冗余包括两方面：在立法层面，刑法总则与分则条文之间、刑法分则的罪名之间和罪状之中，以及刑事制裁措施及附属刑法规范中都具有相应的冗余机制；在司法层面，刑事裁量与刑事执行、刑事司法解释、刑行关系衔接中也蕴含着冗余机制。外部冗余机制有硬法和软法两种形式，包括数据犯罪的前置性行政法、民法规范、刑事政策以及企业刑事合规中的冗余机制。上述冗余机制的有机结合，能够为数据安全刑事治理体系运行提供安全、稳定的保障，是数据安全刑事治理现代化的可行路径。

关键词：数据安全；冗余机制；数据犯罪；刑事治理

作者简介：张勇，华东政法大学刑事法学院教授、博士生导师，主要从事刑法学研究；李芬静，华东政法大学刑事法学院博士研究生，主要从事刑法学研究。

基金项目：国家社会科学基金重大项目“网络时代的社会治理与刑法体系的理论创新”（项目编号：20＆ZD199）的阶段性成果。

中图分类号：D924.3 ""文献标识码：A ""文章编号：1001-4403（2023）04-0065-12

DOI：10.19563/j.cnki.sdzs.2023.04.007

一、问题的提出

伴随着互联网、大数据、云计算、人工智能、区块链等技术加速创新和数字经济快速发展，我国数据安全风险问题凸显。数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常等违法犯罪不断增生，显示出我国在数据安全风险法律防控仍有待优化。数据安全属于非传统性国家安全，而数据安全治理是国家治理体系中的重要一环。我国数据犯罪的刑事立法尚处于初步阶段，具有明显的碎片化特征，罪名竞合情况突出、行为定性不清，存在数据安全风险防控的法律漏洞。面对复杂多变的数据安全风险和日益增生的新型数据犯罪，运用多元化手段和方式，惩治危害数据安全的犯罪，防控数据安全风险，是数据安全刑事治理的重要目标和根本任务。

习近平总书记在党的二十大报告中指出，国家安全是民族复兴的根基，必须坚定不移贯彻总体国家安全观，推进国家安全体系和能力现代化。《法治中国建设规划》（2020—2025）也提出，要在法治轨道上推进国家治理体系和治理能力现代化。刑事治理是国家治理的重要领域，刑事治理是指发动所有的主体，通过多样化的方式，借助专管、合作与互助等途径，共同实现犯罪的合理控制。刑事治理现代化是国家治理现代化的核心组成，维护国家安全和社会稳定的最有力保障。从系统论角度来看，数据安全治理本身是一个复杂系统，带有很大的不确定性和不稳定性。系统在应对外界的冲击之下，具有为应对新变化而进行自我调节的能力，从而使系统得以保持和恢复至有序的状态和运行结构。①【" ①魏宏森：《系统论——系统科学哲学》，世界图书出版公司2009年版，第260页。】在数据安全治理领域，刑事治理系统本身具有复杂性、脆弱性，需要构建完善的冗余机制，以增强国家应对数据安全风险的适应能力，为刑事治理系统的良好运行提供安全、稳定的制度保障。本文在系统论视域下，运用冗余控制系统原理，探讨如何在数据安全治理过程中，从刑事立法和刑事司法、硬法治理和软法治理的不同层面，构建防控数据安全刑事风险的冗余机制、制度保障，以更有效地惩治数据犯罪，保护个人权益、公共秩序和国家安全，实现数据安全刑事治理体系现代化的目标。

二、数据安全风险与刑事治理冗余机理

在风险社会背景下，安全问题构成风险社会理论与刑法体系之间的连接点，从而使预防成为刑法的首要目的。②【" ②劳东燕：《风险社会中的刑法》，北京大学出版社2015年版，第30页。】系统论中的冗余控制原理与重在预防的风险刑法观念相契合，能够为数据安全刑事风险防控提供理论支撑和可行路径。

（一）冗余理论与风险刑法观的契合

系统具有整体与层次、开放与目的、稳定与突变等基本特性，其中蕴含着丰富的系统控制方法及原理。“冗余”的概念最早来源于自动控制系统的可靠性理论，意指通过将备用元件采用并联方式联接起来以提高系统的可靠度。③【" ③⑤参见张送保、张维明、黄金才等：《基于冗余的动态适应性复杂体系研究》，《管理科学学报》2008年第5期，第146、146页。】工程学中的“冗余”是指在主单元发生故障或停滞的情况下仍然执行任务或功能的能力。卢曼率先将冗余概念引入了法律论证之中。他认为，要理解法律系统发展以及其中的法律论证功能，就需要采用冗余/多样性区别。系统以冗余和多样性之间的差异运行，并因此建立复杂性。④【" ④参见罗文波：《卢曼法律论证理论探析——系统论视角的法律论证》，《法律方法》2008年第1期，第196页。】系统中的冗余主要通过“预防”和“控制”来维持系统正常运转。详言之，就是在复杂的系统中增加一些不同的冗余单元，这些冗余单元根据系统使命任务的需要，或是一直处于工作状态但只接收和监测数据而并不执行相应的任务处理，一旦系统要执行某些不确定性的使命，体系中冗余单元的调控中心就会按相应的策略算法选出恰当的冗余单元序列并激活它们。然后，这些冗余单元序列就按调控中心所发出的相应指令来执行复杂体系的系列功能，从而确保复杂体系在不确定性使命环境下的正常运转。⑤

冗余机制是指某一系统运用冗余逻辑，在基础的运行单元之外增加必要的冗余控制单元，用以保障系统在面临常态状况下无法处理的风险时，得以通过运行冗余单元对该类风险进行化解，从而保障系统稳定运作的各系统要素之间的结构关系和运行方式。冗余的风险防控机能主要体现在以下几个方面：一是借助控制论来识别风险并寻找控制途径；二是通过系统的层次性原理寻找基本层级。系统内各要素之间存在着差异，再经由地位与结构上的不同的结合方式，形成了具有本质差异的系统层级。对于要素最一般的处理通常发生在最基本的层级之内，若要素存在着基本层级无法调和的差异，则应当按照冗余逻辑进行递补处理；三是为开放系统的突变可能贯彻系统稳定的目的。系统的优化发展促使系统向外开放，同时也要求系统必须具备一定的自我调节和稳定的能力。冗余即为“维稳”而生，当系统内的行为发生突变而迫使系统必须完成不确定性的使命时，冗余可以调动备用单元继续执行命令，进而促使系统目的的实现。

德国刑法中将刑罚的任务定义为辅助性的法益保护，并在宪法中提出符合比例原则：刑法在国家对公民权利的所有干涉中是最严厉的一种，所以只有在比较轻缓的手段不能充分保证效果的情况下，才允许适用刑法。如果国家使用其他社会政策措施就能够或者甚至更有效地保证一种确定的法益，但是却抓住了锋利的刑法之剑，那么，这种做法就违反“禁止超过必要限度”的原则。①【" ①克劳斯·罗克新：《德国刑法学总论》（第1卷），王世洲译，法律出版社2015年版，第23页。】此处的超过必要限度的原则所蕴含的机理即是法益的保护应当首先遵循前置治理政策的规制限度，并将刑法保护置于社会治理中的冗余机制。公共风险源于新的或复杂的技术，在很大程度上超出了个人风险承担者的直接理解和控制。②【" ②Huber.Safety and the second best：the hazards of public risk management in the courts.Colum.L.Rev.，1985，85，p.277，pp.277-278.】在大数据时代背景下，积极应对和防控社会风险，保护国家安全、公共秩序和个体权益，是刑事法治建设必须承担的使命，作为保障法、后盾法，刑法必须承担起参与社会治理的应有责任。在此背景下，安全价值优位、法益前置化保护、预备行为或帮助行为犯罪化、抽象危险犯配置等成为风险刑法的集中具象。③【" ③高铭暄、孙道萃：《预防性刑法观及其教义学思考》，《中国法学》2018年第1期，第166页。】例如，《刑法》在第287条之后分别设立了非法利用信息网络罪和帮助信息网络犯罪活动罪，将网络犯罪活动中的预备行为和技术帮助行为正犯化，充分展现了刑法提前介入和风险预防的立法精神。在风险防控方面，冗余机制的原理与风险刑法观念有以下契合之处：（1）冗余机制与风险刑法均是抵御“风险”的产物。冗余控制系统通过增加冗余单元以提高系统的可靠度，避免系统因无法运行的风险而宕机。风险社会的风险主要表现为人为的不确定性风险，④【" ④参见安东尼·吉登斯：《现代性的后果》，田禾译，生活·读书·新知三联书店2000年版，第4页。】有学者指出，风险社会的提出，以及网络社会的交替交织孕育了当代刑法积极预防风险的时代任务。冗余机制的引入可以增强数据安全保障的合理性、有效性，以最大限度避免严重的数据犯罪结果。（2）冗余机制为防控系统风险提供“保险”和“备胎”，与风险刑法对安全价值的预防追求相一致。冗余机制的作用原理，是在系统出现“不确定性的使命”之前便提前设置“存在但不执行命令”的冗余单元，以防止系统面临真正无法运行的使命而瘫痪甚至崩溃。但冗余系统在设置冗余单元的过程中也会注意冗余单位的数量与系统复杂性的动态平衡，避免导致系统的过度冗杂而加剧系统的脆弱和不稳定。风险刑法观之下，法益保护前置化成为刑法发展的基本趋势，危险犯的增加正是对刑法“防患于未然”的一般预防的反映。学界一般认为，数据安全刑事治理中，需要将公众防范风险、保护权益的需求置于首位，同时也要避免因集体法益的抽象化与入罪标准的降低而导致法益保护原则的虚空，这种立场态度与冗余控制系统原理是趋同的。（3）冗余机制的缓冲功能合乎风险刑法的谦抑性。在风险社会背景下，社会风险的存在及其风险性增减都是常态化的，冗余机制通过冗余单元的建构，使得系统自身具有一定的应激缓冲功能，可以在系统遭遇现实危险之前进行风险识别筛选，若风险可由主体系统进行妥善处理，则不需要启动冗余机制，从而维护系统的正常运行。在数据安全刑事治理领域，刑法需要秉持谦抑性精神，兼顾保障数据安全和促进数据流通，对于涉及数据安全的违法犯罪也不能动辄使用刑罚予以严惩。数据治理模式应当实现从控制到利用的转变，以数据的控制安全为底线，以数据的利用安全为导向。⑤【" ⑤于改之：《从控制到利用：刑法数据治理的模式转换》，《中国社会科学》2022年第7期，第74页。】只有在采用其他法律手段不能有效控制数据安全风险的情况下，才有必要对数据犯罪进行刑事追究。这一点与冗余机制的缓冲功能有着异曲同工之妙，也是刑事治理现代化的必然要求。

（二）数据安全刑事治理冗余机制的内容

从系统论角度来看，数据安全刑事治理冗余具有体系性特点，主要包括风险识别、分类分级、入罪缓冲、责任分担几个方面的机制内容：

（1）风险识别。为有效规制违法数据处理行为，并对数据法益进行充分的保护，我国现已形成包括《国家安全法》《数据安全法》《个人信息保护法》《民法》《刑法》等在内的法律保障体系。但数据处理行为的片段性和多样性，造成了数据安全治理体系内部法律规范的适用冲突。如前所述，冗余机制是通过在数据安全治理体系中搭建冗余的法律规范单元，为防范数据犯罪风险设置的安全网。而搭建安全网的前提，是需要对数据处理行为进行深入分析，从而洞察数据安全的风险。数据处理行为的多样性发展，使得刑事治理体系必须对数据处理行为所关涉的法益进行充分识别，通过对已经发生或潜在的风险进行识别，选择规制行为的首要层级法律，并对该层级法律不足以规制的行为搭建冗余层级，明确最优的规制手段和方法。因此，通过冗余机制对数据风险和数据法益进行识别，对于刑法治理体系内部法律规范效能的发挥至关重要。

（2）分类分级。数据分类分级管理是指根据数据的属性或特征建立一定的分类体系和排列顺序进行分类，并按照数据遭到破坏后对法益的侵害程度而定级。数据分类分级管理需坚持合法合规原则，由于数据处理行为涉及主体众多，难以避免个人权益、集体权益和国家权益的相互抗衡，冗余机制在不同法益的保护范畴之内对数据风险和危害予以识别和衡量之后，梳理刑法及刑法前置法的规范保护范围。具体来说，首先判断该行为所发生的基本法域，并考量该法域内解决风险的能力。若该风险能在该法域内予以防控，则无须启动冗余机制；但若该风险在本法域内难以防范，则启动下一层级备用的冗余机制进行规制，包括运用刑法手段对数据犯罪予以惩治。因此，分类分级梳理数据治理法律规范是数据分类分级保护的有效制度保障。冗余机制根据数据性质及保护要求，平衡数据，从而发挥分类分级保护的制度实效。

（3）入罪缓冲。数据安全犯罪呈现出链条化、碎片化等特征，冗余机制为剔除非法链条、防范数据风险提供一定的安全空间和缓冲地带。反对预防性刑法观的学者多认为，对数据犯罪进行提前规制，有损刑法谦抑本性。而在数据安全刑事治理体系中强化冗余体制的运用，则能很好地协调刑法预防与谦抑之间的矛盾。刑法具有一般预防与特殊预防的功能，对具有严重社会危害性的数据犯罪，刑法提前作出反应并将其入罪，以实现对数据犯罪的一般预防。但此种规定在整个刑事治理与体系中应当居于冗余机制中因为犯罪行为必然具有违法性，但并非所有的违法行为均构成犯罪，刑法在彰显一般预防效果的同时，也为不具有严重社会危害性的违法行为留下充分的缓冲空间，以发挥刑法前置法的社会治理效能。

（4）责任分担。数据安全刑事治理体系的复杂性容易导致行为的认定不清与处罚不均。通过前述风险的识别和冗余层级的运用，在冗余体系内对数据违法、犯罪行为的惩罚，亦能遵循责任伦理施以合理的法律责任。数据安全法律责任作为数据安全刑事治理过程中的一个子系统，由不同性质、不同类型的法律责任组成，具体责任的承担难免发生重合冲突。冗余机制可以对不同类型的法律责任进行流程化的梳理，明确不同责任的实现方式和效果，在发生责任重合的情形下，对数据处理行为的安全价值进行衡量，优先实现民事法律责任，并强化刑事法律责任的冗余保障作用。行政法领域足以规制的数据违法行为，刑法一般不再予以介入，以最大限度保障数据的有效利用；但若非法数据处理行为严重损害或威胁数据安全法益，那么居于较高层级的刑法就应当予以规制，以实现社会危害之预防效果。

（三）数据安全刑事治理冗余机制功能及限度

从系统论的观点来看，任何物质系统都是结构和功能的统一，系统的功能取决于系统的结构和要素。①【" ①参见《哲学大辞典》（修订本），上海辞书出版社2001年版，第448页。】数据安全刑事治理的冗余机制，是为应对数据安全风险而设置的安全稳定机制和补充保障措施，以下就数据安全刑事治理中冗余的犯罪预防功能及冗余功能的有限性进行探讨。

1.数据安全刑事治理冗余的预防功能

风险刑法观下，刑法立法活性化和提前保护已成为刑法参与社会治理的有力手段。但在刑法的功能定位上，仍然存在着刑法参与社会治理时应当作为最后的手段还是积极地参与社会治理，即“刑法保障”说与“刑法优先”说的认识分歧。在犯罪预防中运用冗余机制，则是在“刑法保障”说与“刑法优先”说之中寻求刑法参与社会治理的合理根基。主张“刑法优先”的学者，并非无视刑法保护的必要性，只是在价值衡量中否定了前置法的规制能力，因而将其置于刑法当中进行保护，以借刑法预防功能的发挥，提前刑法介入的时机，延长刑法干预的防线。①【" ①孙道萃：《刑法既要秉承谦抑也应发挥预防功能》，载最高人民检察院网站，https：//www.spp.gov.cn/llyj/201705/t20170516_190720.shtml，2022年10月20日访问。】也就是说，“刑法优先”的冗余机理表现在刑法规制价值的衡量之中。“刑法保障”说主要受刑法谦抑性的影响，要求刑法应依据一定的规则控制处罚范围与处罚程度，避免刑法惩罚提前越过前置法的规制，而造成对法益的反噬，也即“刑法保障”说强调在刑法体系之中对部门法体系进行形式上的冗余衡量。由此可以看出，无论是“刑法优先”说还是“刑法保障”说，对于刑法居于刑事治理体系中的冗余机制并未否定，只是对于刑法价值目标和任务的认识有所差异。首先，在一般预防中坚持“刑法优先”说。在对数据犯罪治理的过程中，刑法一方面通过对严重数据违法行为进行价值层面上的冗余筛选，及时完善或增加数据犯罪以回应前置法的诉求，威慑指引行为人的数据处理行为，确立其对数据安全治理规范的尊重，进而达到预防犯罪之目的。另一方面，刑罚预防本就是我国预防犯罪措施体系中的一个层次，刑种及刑罚幅度的差异化确保了刑罚的公平和个案的正义。冗余机制在刑种的选择和刑罚适用的过程中也发挥着优化效能，疏通价值衡量与刑罚裁量的关系，将数据的保护与利用方针真正落地。其次，在特殊预防中坚持“刑法保障”说。通过一系列前置规范的预防和控制，仍然值得刑法规制的数据犯罪行为，就需要通过科处刑罚来满足法益的救济。适用刑罚对数据犯罪进行惩罚时，须继续遵循冗余机制选择的路径，结合数据犯罪行为及刑事责任的大小，通过冗余机制滤选刑罚，在此过程中通过强化非刑法处罚方法的适用，以正向积极的方式完成犯罪人的矫治，帮助其回归社会；在刑罚执行的过程中，根据犯罪性的大小施以差别化的处遇，在“不敢犯罪，不能犯罪，不愿犯罪”之间进行冗余机制选择，促使刑罚由特殊预防向一般预防转化。

2.数据安全刑事治理冗余功能的有限性

数据安全刑事治理冗余机制是从系统论角度构建的防范刑事治理系统性风险的安全保障机制。数据安全冗余控制机制可以视作非法数据行为的性质判定、有序规制的刑事治理范式，保障刑事治理体系防范数据风险。应当看到，数据安全刑事治理冗余机制的发挥虽然能够有效避免刑事法体系内数据犯罪处罚不当的治理乱象，但其也并非把控风险的“全能手”。就目前对法律冗余的研究而言，在法律制度和程序的背景下，尽管冗余机制可以避免法律运行错误，但一个功能性社会需要对制度审查和程序施加某种限制，以便法律的适用富有成效。②【" ②Golden J M.Redundancy：when law repeats itself.Tex.L.Rev.，2015，94（4），p.629.】首先，从系统论角度来看，冗余系统的体量与其自身的复杂性呈正相关，冗余单元的设置是系统元素的增加，从而使系统面临新的问题，使得系统运行效率降低。其次，冗余机制的建立初衷是为数据安全刑事治理提供科学的法律指引，而非对数据风险进行全方位的犯罪化。数据安全刑事治理过程中的法律规范过多，必然会限制数据利用的自由空间，也会对刑事治理系统产生脆弱和紊乱的负价值。冗余普遍存在于任何系统之内，冗余控制机制的核心应在于促使其效力的发挥，而非将其当作刑事治理的直接工具。因此，数据安全刑事治理冗余机制的构建，应当避免冗余规范的重复、繁杂，加剧系统性治理的冲突。在数据安全刑事治理体系中运用冗余机制，应当将其定位于法律规范秩序协调的工具，以预防实质性风险为必要。对此，可以借助比例原则对冗余机制进行控制，通过适当性原则、必要性原则和法益均衡原则对冗余的数量和运用予以层层把关。根据适当性原则要求，所采取的手段应当能够达到所欲实现的目的。数据安全刑事治理体系各个子系统内的冗余规范的制定，都应当以防范数据风险、保障数据安全为必需，否则将会造成规范的冗杂，并导致整个治理体系的紊乱、崩塌。必要性原则要求在多个手段之间，选择侵害最少的那一个手段。对于数据犯罪的刑法规制，应限定为适用于保护国家安全和公共利益，预防重大、潜在、紧迫性风险的情况。也只有在此情况下，冗余机制才有动用的必要性和可能性。法益均衡性原则要求实现的利益与为实现利益所消耗的对立利益之间应保持一定的比例关系。在增设数据行为的约束性规范时，充分权衡数据法益保护和数据自由发展的关系，在对立中寻求平衡；在增设数据安全刑事制裁规范时，充分权衡规制数据犯罪与维护数据安全发展的利益权重。

三、数据安全刑事治理的内部冗余机制

所谓刑事治理体系，即在刑事立法、司法和执法层面，运用国家法律法规、部门规章、刑事政策、司法解释、行业规范、技术标准等，形成衔接协调、行之有效的犯罪治理体系及运行机制。不同类型、不同层次的法律规范对接数据安全刑事治理体系内不同的功能节点。而在数据安全分类分级保护和控制风险的过程中，冗余机制都是不可或缺的一部分，发挥着安全保障的体系功能。以现行刑法规范为基点，可以把数据安全刑事治理体系中的冗余机制分为外部冗余和内部冗余两部分。数据安全刑事治理的内部冗余，即数据安全领域刑事立法和司法中的冗余机制；数据安全刑事治理的外部冗余，主要是指刑法规范以外与数据安全保护相关的法律、部门规章、标准规范中的冗余机制。以下予以详述。

（一）数据犯罪刑事立法中的冗余机制

在刑事立法中，刑法规范体系内部的结构关系直接影响着刑法参与社会治理的效果。冗余在刑法内部的功能分为以下几个层面：（1）刑法总则与分则规范之间的冗余。刑法总则是对犯罪和刑罚一般规定，为定罪量刑提供总的方法论指导。刑法分则中的相关罪名直接对数据犯罪的构成作出了明确的罪状描述，并配备了相对确定的刑罚。数据犯罪的犯罪构成决定了某一具体数据处理行为的社会危害性及其程度，并涵盖该行为构成犯罪所必需的一切客观和主观要件。脱离刑法分则条文的具体规定，将无法完成对数据处理行为的定罪识别。从刑法总则与分则的内容来看，对某种行为认定为刑法分则规定的某种罪名，一方面需要以分则规定的构成要件为依据，另一方面，还需要从刑法总则条文中寻找定罪和处刑的法律根据。对于刑法总则可视为刑法分则在定罪量刑过程中的冗余。（2）刑法分则相关罪名之间的冗余。我国刑事立法出现了帮助行为、预备行为实行化的倾向。例如，根据《刑法》第287条之一第3款的规定，帮助信息网络犯罪活动罪的成立，只需他人利用网络技术支持等帮助实施了犯罪行为意义上的犯罪即可。因此，司法机关认定帮助信息网络犯罪活动罪的证明难度较小，以至于该罪名逐渐发展成新型“口袋罪”。根据该条款规定，构成帮助信息网络犯罪活动罪同时构成其他犯罪的，依照处罚较重的规定定罪处罚。因此，帮助信息网络犯罪活动罪只能作为“其他犯罪”的冗余罪名，而不能在刑事案件中首先考虑适用。正确定位帮助信息网络犯罪活动罪在关联罪名中所发挥的“冗余”机制作用，是避免此罪彻底沦为“口袋罪”之殇的认识基础。（3）个罪构成要件中的冗余。刑法分则具体犯罪条文内部，依然应当遵循冗余解释机理。首先，我国刑法分则条文多采用混合罪状对犯罪的基本构成特征进行描述。以非法获取计算机信息系统数据罪为例，该类犯罪行为是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据。由于数据处理技术的多样性和复杂性，刑法难以穷尽窃取计算机数据的行为方式，因此立法者以“非法侵入+其他行为”的罪状表述方式，为其他具有同等危害性质的行为保留一定的入罪冗余空间，提高罪名的发展适应性。其次，我国刑法分则条文中有不少注意规定。注意规定仅具有提示性质，其本身的存在并不能造成处理方式的改变。例如，《刑法》在第285条非法侵入计算机信息系统罪与第286条破坏计算机信息系统罪之后，又增加了第287条“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法的有关规定定罪处罚”这一利用计算机实施犯罪的提示性规定。此款注意规定为金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密等相关罪名的冗余机制，发挥着一定的提示功能。（4）刑事制裁措施中的冗余。各国刑事立法一般都将刑种分为主刑和附加刑（从刑）。①【" ①张明楷：《刑法学》第六版，法制出版社2021年版，第686页。】通常情况下，居于次要地位的附加刑会在施行主刑的同时附加适用，以达到罚当其罪的效果，那么，附加刑的存在就可以视为保障罪责刑相适应的冗余机制。值得注意的是，在我国刑法“少杀、慎杀”的刑事政策影响下，死刑在我国的减少、限制适用，死刑是刑罚制裁手段中的冗余机制，更加凸显其一般预防的效果。同时，我国刑罚制度中增设了禁止令，其与从业禁止、前科制度有着预防犯罪、防卫社会的共同旨趣，以行为人的人身危险性为理论基础，通过在不同阶段、针对不同犯罪类型、不同刑种设置了相对严密的从业资格限制剥夺体系，架构出当前三位一体双轨并行的格局。②【" ②于志刚：《从业禁止制度的定位与资格限制、剥夺制度的体系化——以《刑法修正案（九）》从业禁止制度的规范解读为切入点》，《法学评论》2016年第1期，第98页。】可以说，禁止令是从业禁止、前科制度的冗余，后两者也可以当作前者的冗余，三者相互补充和协调。在具体适用中应当避免重复评价，“码上加码”。此外，我国刑罚执行过程中的，减刑、假释制度的适用，也是冗余机制在刑罚执行过程中的体现。减刑是根据服刑人员执行期间的悔改表现或者立功表现，而适当减轻其原判刑罚；假释则是在刑罚执行一段时间后，因其有悔改表现，不致再危害社会时，将其附条件地提前释放。两种制度均是在一定的宣告刑中设置了冗余机制，在纠正长期自由刑的弊端的同时，给予服刑人员适应社会的缓冲、过度阶段，有利于其再社会化的真正实现。（5）附属刑法规范中的冗余。我国附属刑法目前主要有“构成犯罪的，依法追究刑事责任”句式的“笼统式”，与“依照刑法追究刑事责任”句式的“依照式”两种立法模式。其由于缺乏必要的明确性，而缺乏实际的可操作性。③【" ③孟庆华：《附属刑法的立法模式问题探讨》，《法学论坛》2010年第3期，第76页。】从附属刑法的严格概念来看，我国目前尚不存在带有制裁后果的附属刑法，现行立法中的附属刑法规范可被视为链接行政法与刑法的冗余，具有提示性、宣示性作用。如《数据安全法》第45条规定：“违反国家核心数据管理制度，危害国家主权、安全和发展利益的，……构成犯罪的，依法追究刑事责任。”

（二）数据犯罪刑事司法的冗余机制

数据安全刑事司法涉及刑事治理过程中侦查、起诉、审判、执行中的各个环节，将冗余机制贯穿于刑事司法过程之中，是推动数据安全刑事治理现代化的关键。以下着重探讨有关数据犯罪的刑事司法解释和刑行关系衔接中的冗余机制和内容。

1.数据犯罪刑事司法解释中的冗余

刑事司法解释在指导司法实践、弥补法律漏洞、明确裁判标准等方面起着举足轻重的作用。刑法的滞后性和成文法本身所具有的抽象概括性，使得刑法在面对司法实践中的新情况、新问题时无法因应规制，司法解释则可以通过填补漏洞、扩张解释使刑法更加灵活地适应现实法律需求。然而，刑法的扩张解释只能暂时应对网络犯罪的变化，无法克服我国统一刑法典模式的局限性。④【" ④卢建平、姜瀛：《犯罪“网络异化”与刑法应对模式》，《人民检察》2014年第3期，第5页。】风险预防并不否定刑法的谦抑本性，基于保护公民权利自由的使命，应当提倡刑事司法参与社会治理的最小化。数据安全刑事治理冗余机制的存在，为刑法规制数据犯罪留有一定的定罪量刑空间，但扩张化的刑事司法解释反而使得这一空间遭受挤压，从而增加了数据安全刑事治理的风险。正如有学者指出，我国在社会治理过程中存在着“过度刑法化”的现象，它具有高度的社会风险与危害、削弱刑法的公众认同并阻碍社会的创新；而防止社会治理“过度刑法化”，就必须确立刑法参与现代社会治理的机制。①【" ①何荣功：《社会治理“过度刑法化”的法哲学批判》，《中外法学》2015年第2期，第523页。】数据安全刑事治理应当置于整体的犯罪预防及惩治体系之中，织密刑事法网，充分运用冗余机制，强化防范化解风险的能力，发挥刑法前置法的治理效能，促进惩治与预防、安全保障与利用发展的动态平衡。

2.数据犯罪刑行关系衔接中的冗余

行政法的贯彻执行和行政责任的追究，是发现与追究行政犯罪的前提与保证。②【" ②刘仁海、蔡楠楠：《环境犯罪“刑行共治”之困境与出路》，《青少年犯罪问题》2021年第5期，第62页。】刑法的最后法、保障法性质决定了其在法律体系中只能作为其他部门法实施的屏障。就法定犯而言，二次违法性是法定犯罪名的核心特征，即违反前置法是成立此类犯罪的前提。实践中，严重行政违法行为的行政程序和刑事程序启动秩序同时启动的优先适用问题，是行刑关系衔接过程中的难题。对此，理论上有由传统的“刑事优先”原则向“同步协调”原则与“行政优先”原则的发展趋势。“同步协调”原则即对于违法、犯罪行为的线索，先进行立案、调查、处罚，行政执法机关针对涉嫌犯罪行为采取移送而不停止调查及处罚，刑事司法机关针对需要及时采取能力（资格）罚的犯罪行为则商请行政执法机关及时作出处罚决定。③【" ③参见练育强：《行刑衔接中的行政执法边界研究》，《中国法学》2016年第2期，第256页。】“行政优先”原则则是指刑事责任的实现坚守补充行政法对于行政管理秩序恢复之不足的立场和原则，刑事司法程序的运行以行政违法本质的认定为前提。④【" ④田宏杰：《行政优于刑事：行刑衔接的机制构建》，《人民司法》2010年第1期，第87页。】本文坚持“行政优先”原则的立场，并认为，冗余机制能够促进解决数据安全治理的刑行衔接的适用难题。具体来说，包括以下几个方面：（1）犯罪行为刑法定性方面。虽然“前置法定性，刑事法定量”的违法性判断标准遭受质疑，但不可否认的是，刑法在处理行刑交叉类案件时，对于前置法所保护的权利、基本取向以及行为性质的把握等均不容忽视。《数据安全法》《网络安全法》《个人信息保护法》等前置法律及相关管理条例等行政规范性文件中，对“数据”的各个侧面作了较为详细的规定。由此，对于刑事违法性的判断，离不开行政前置法的具体规定。（2）刑事证据审查认定方面。刑事制裁的严厉性要求刑事案件的证明标准必须高于行政诉讼案件，而《数据安全法》赋予数据处理者、行业机构更多的风险规制责任，对数据安全进行更为严格的行政监管，证据的认定标准低于刑事案件。此种情况之下，冗余机制对于认定数据犯罪具有重要作用，即以识别数据处理行为的性质为前提，对行为的行政违法性进行证据的收集和审查；只有当通过证据证明该行为已经突破行政法的管理界限而成为无法处理的矛盾时，才能归入刑法规制范围。（3）刑事与行政责任衔接方面。《网络安全法》《个人信息保护法》等对违法人员是否适用从业禁止以及如何适用都作了明确的规定，⑤【" ⑤详见《网络安全法》第63条、《个人信息保护法》第66条。】《刑法》第37条将从业禁止作为预防再犯罪的一项制裁措施，并规定“其他法律、行政法规对其从事相关职业另有禁止或者限制性规定的，从其规定”。虽然刑法从业禁止与其他法律、行政法规中的从业禁止的适用主体、条件和目的等都存在本质的差别，但多数情况下对行为人而言的制裁效果并不具有明显差异。《网络安全法》第63条第3款“受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作”的规定，甚至比刑法从业禁止的规定更为严厉。可见，《刑法》第37条之一第3款的“从其规定”具有一定的冗余性质，在值得进行从业禁止处罚的场合，尽量避免直接予以刑事追究。在上海首起医院外包软件运维人员非法下载“统方”数据并出售牟利的案件中，法院判定被告人构成非法获取计算机信息系统数据罪，并判决其在刑罚执行完毕后3年内禁止从事计算机信息系统维护管理相关工作。⑥【" ⑥《非法获取信息数据被判从业禁令》，新民网，http：//paper.xinmin.cn/html/xmwb/2021-03-18/10/98882.html，2022年11月8日访问。】诸如此类直接击破法律冗余机制而适用刑事从业禁止的情形，不但容易造成刑法与前置法的适用矛盾，还会折损刑法的制裁效果。相反，在上海某电子科技有限公司、某信息技术有限公司涉嫌虚开增值税专用发票案①【" ①详见《最高检发布人民检察院行刑衔接工作典型案例》，载微信公众号“最高人民检察院”，2021年10月11日。】中，姜某在无实际交易的情况下，以支付开票费的方式，让他人为其实际经营的公司虚开增值税专用发票，价税合计678万余元。金山区检察院综合评估涉案企业刑事追究必要性，并主动与税务部门联系，向其通报案情，在作出不起诉决定的同时，制发《检察意见书》，将案件移送税务部门，要求涉案企业配合税务机关后续工作。此类注重刑事司法冗余保障的反向衔接做法，既有效避免了“不刑不罚”，也提升了行刑衔接质效。可见，冗余机制为刑行关系衔接提供了一定的缓冲带，坚持“行政法规先行，刑法冗余保障”，是确保刑事司法和行政执法无缝衔接，实现数据安全刑事治理体系现代化的必然要求。

四、数据安全刑事治理的外部冗余机制

在不同的立法参照系下，法益保护的重点也不同。从数据安全法益保护的角度来看，《数据安全法》无疑处于基本法地位，其他法律法规则起到补充和协调的作用。②【" ②张勇：《数据安全刑事合规的滤罪模式》，《学术论坛》2022年第3期，第18页。】近些年来，我国立法逐步建立和完善了数据安全分类分级保护制度，《数据安全法》第21条明确规定，要建立数据分类分级保护制度。近些年来，央行、证监会、工信部、国标委等政府部门颁布实施了《金融数据安全数据安全分级指南》《证券期货业数据分类分级指引》《工业数据分类分级指南》《信息安全技术健康医疗数据安全指南》和《重要数据识别指南（征求意见稿）》等部门规章，其他行业监管部门也制定发布了其行业领域数据分类分级的标准指导文件。根据上述制度规范是否具有强制性法律效力，可将数据安全刑事治理的外部冗余分为“硬法”和“软法”两方面.

（一）数据安全“硬法”治理的冗余机制

“硬法”是指由国家创制的、依靠国家强制力保障实施的法规范体系。对于数据安全刑事治理来说，除了刑法规范之外，主要有以下行政法和民法两种“硬法”规范。

1.数据犯罪前置性行政法规范中的冗余

狭义上“数据犯罪”是指刑法中以数据为犯罪对象的相关罪名，而不包括以数据为犯罪工具的犯罪。③【" ③刘宪权：《数据犯罪刑法规制完善研究》，《中国刑事法杂志》2022年第5期，第21页。】主要包括：《刑法》第285条的非法获取计算机信息系统数据罪、第286条第2款破坏计算机信息系统罪中“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”的规定。数据犯罪所侵犯的主要客体是数据管理秩序和安全，同时也涉及个人信息数据权益、网络管理秩序和计算机信息系统安全，后者属于数据犯罪的次要客体。广义上则是指以数据为对象的犯罪为主要罪名，以信息安全、网络安全为保护法益的犯罪为紧密关联罪名，构成数据安全法益保护的罪名体系。④【" ④张勇：《数据安全分类分级的刑法保护》，《法治研究》2021年第3期，第23页。】就数据犯罪而言，对其进行最直接的前置性行政法当属《数据安全法》。此外，《个人信息保护法》《网络安全法》等行政法律法规也涉及数据安全保护，相对于《数据安全法》，应属于后者的冗余机制。或者说，对于涉及数据安全的个人信息数据安全、网络数据安全，前者也能作为认定数据犯罪的前置性行政法，发挥补充性和次要性的作用。从处理个人信息数据来看，《个人信息保护法》为个人信息处理活动规定了更为严格细致的规则，尤其是对敏感个人信息的保护。由于敏感个人信息一旦遭到泄漏或者非法使用，个人的人格尊严、人身及财产安全都将面临严重的危害，因此《个人信息保护法》明确规定只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，才有处理敏感个人信息的可能，并赋予信息处理者严格的义务。而《数据安全法》中对数据处理者的资格和义务进一步细化，并完善了数据处理者的法律责任。对于个人信息处理活动的刑法定性，应当首先以《个人信息保护法》为参照系；如果《个人信息保护法》没有规定的，则应当选择《数据安全法》作为参照系；在选择适用《个人信息保护法》作为前置法之前，应避免直接选择适用《数据安全法》，以避免出现犯罪性质认定不当，从而错误适用罪名。须指出，我国《国家安全法》第25条也有数据安全保护的相关规定①【" ①《国家安全法》第25条规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。】，但不应当被看作是《数据安全法》的冗余机制。因为该条款是对《数据安全法》总则主旨精神的重申，而非对数据处理行为的具体权利义务性规定；如果某种数据处理行为具有侵犯了国家安全，且达到严重危害性程度时，可以直接按照《刑法》中有关危害国家安全的有关罪名定罪处刑，而不应认定为数据犯罪。

2.个人信息数据保护法律规范中的冗余

《民法典》《个人信息保护法》等法律法规中的个人信息数据权益保护的规定，能够直接成为刑法中认定侵犯公民个人信息罪的前置法，但在认定狭义上的数据犯罪时，个人信息数据保护的私法规范须退居次要地位，司法机关仍应以《数据安全法》为数据犯罪前置法的主要依据。值得注意的是，《数据安全法》第四章、《网络安全法》第三章第一节、《个人信息保护法》第五章等相继赋予信息处理者更多的安全管理义务，并要求相关主体加强行业自律、制定相关行业规范，使其自觉承担起其可承受范围内的社会责任。②【" ②参见梁伟亮：《人工智能时代公司社会责任的软法规制》，《科技与法律》2020年第5期，第88页。】《数据安全法》《网络安全法》《个人信息保护法》等虽然赋予了私法主体更多的个人信息数据安全保护义务，但并非旨在限制和约束数据的使用和流动，而在于用户个人权益保护。③【" ③马宇飞：《企业数据权利与用户信息权利的冲突与协调——以数据安全保护为背景》，《法学杂志》2021年第7期，第169页。】在私法领域内，数据安全治理应当尊重私法的规制效力，将《民法典》及《个人信息保护法》等法律法规中的私法规范作为该领域内的第一层级，而将《数据安全法》作为第二层级，即个人信息数据保护私法规范的冗余；只有当软法规制乏力或超出其规制界限时，才能使用公私法性质兼具的《数据安全法》等规制手段，发挥其冗余机制的保障功能。

（二）数据安全“软法”治理的冗余机制

“软法”是指不能运用国家强制力保障实施的法规范，诸如没有明确责任条款的法律文本和法律规定；国家机关制定的涉及公共利益的公共性政策；国家机关颁布的各种行业标准或专业标准；社会自治组织规范其活动及其成员行为的各种章程、规则等。④【" ④参见廉睿、高鹏怀：《整合与共治：软法与硬法在国家治理体系中的互动模式研究》，《宁夏社会科学》2016年第6期，第82页。】限于篇幅，这里主要探讨以下三种形式。

1.数据犯罪刑事政策规范中的冗余

刑事政策作为以打击和预防犯罪、维护社会秩序稳定而制定的规范准则，具有一定的导向功能，即刑事政策在控制与预防犯罪活动中的指示、引导功能。⑤【" ⑤参见严励：《中国刑事政策原理》，法律出版社2011年版，第101页。】虽然有学者主张，刑法的刑事政策化将是未来刑法的发展趋势，但刑法和刑事政策之间毕竟存在“李斯特鸿沟”。刑事政策为刑法的定罪量刑提供指导，但定罪量刑的主体仅限于刑法规定，不可突破罪刑法定的底线。在数据安全刑事治理方面，刑事政策规范作为“软法”，属于刑法规范的冗余机制。近些年来，国家司法机关不断颁布有关惩治信息网络和数据犯罪的刑事政策文件，如2021年12月，最高法、最高检、公安部、工信部等十部门联合印发《关于依法惩治涉枪支、弹药、爆炸物、易燃易爆危险物品犯罪的意见》，其中指出“利用信息网络非法买卖枪支、弹药、爆炸物、易燃易爆危险物品，或者利用寄递渠道非法运输枪支、弹药、爆炸物、易燃易爆危险物品，依法构成犯罪的，从严追究刑事责任”。2021年1月，最高检印发《人民检察院办理网络犯罪案件规定》，其中强调“人民检察院办理网络犯罪案件应当加强以案释法，发挥检察建议的作用，促进有关部门、行业组织、企业等加强网络犯罪预防和治理，净化网络空间”。虽然这种刑事政策规范属于“软法”，但毫无疑问对司法机关工作人员办案有着不亚于法律强制效力的约束力，有些刑事政策规范逐渐融入刑事立法及司法解释当中，呈现软法硬法化的趋势，这种刑法的刑事政策化，也挤压着数据安全刑事治理的冗余空间，束缚司法人员的主观能动性。从刑法与刑事政策的关系而言，刑事政策在数据安全刑事治理体系中的地位和作用应当被区别看待：针对数据犯罪行为的成立与否问题，应当坚持刑法定罪的唯一性原则；针对数据犯罪的量刑问题，应当明确刑事政策的冗余机制作用。只有在适用刑法规范难以实现实质量刑公正的情况下，才能通过相应的刑事政策寻找相关指导意见，以实现罪刑均衡、罚当其罪的效果。

2.数据安全企业刑事合规中的冗余

《数据安全法》第8条规定，开展数据处理活动，履行数据安全保护义务，承担社会责任。国务院国有资产监督管理委员会于2022年8月正式发布《中央企业合规管理指引》，以部门规章的形式对中央企业进一步深化合规管理提出更加刚性的约束，要求中央企业针对数据保护等重点风险领域，以及合规风险较高的业务，制定合规管理具体制度或者专项指南。企业作为具有相当规模、完善的组织体，应当积极履行社会责任，遵守社会规范和伦理道德，将责任伦理内化于企业合规体系之中。①【" ①张勇、冯明昱：《数据安全刑事合规的责任伦理》，《河南社会科学》2022年第8期，第113页。】通过事前合规计划和事后合规整改双向度的合规机制，能够有效实现刑法治理的一般预防和特殊预防效果。数据安全企业合规以刑法规范为底线标准，以行政法规为基本标准，以行业规范为参照标准，并遵循一定的企业道德规范层面的数据安全合规要求。从预防犯罪的根本目的出发，应当采取企业合规先行、法律规制居后的刑事治理模式，将刑法或行政法的规制措施作为企业合规的冗余机制。企业刑事合规通过事前合规计划和事后合规整改对企业犯罪进行双向规制。数据处理企业为避免因承担过重的刑事责任而遭遇刑罚，主动承担数据犯罪规避义务，有效的合规计划在司法程序中可成为不起诉、刑事责任减免的重要依据；同时，司法机关将刑事处罚置于企业整改之后，作为企业整改不成功的冗余机制。司法机关应当给予涉案企业合规整改的机会，实行“涉案企业合规整改—第三方评估—检察院或第三方管委会审查与认可”的整改路径，将冗余机制的功能逐渐发挥，以求达到刑事治理的预防效果。

3.数据安全行业标准、技术规范中的冗余

随着《数据安全法》的生效，中国信息通信研究院安全研究所已经牵头编制了数据安全关键技术、隐私计算技术、移动互联网数据安全、大数据平台安全等系列数据安全行业和协会标准。全国信息安全标准化技术委员会（TC260）也已经制定20余项数据安全国家标准，发布3项技术文件和实践指南。以数据安全的分类分级保护为例，为保障《数据安全法》第21条“数据分类分级保护”的需求，目前相关行业主体已经发布《网络数据分类分级要求》（征求意见稿）、《重要数据识别指南》（送审稿）、《重要数据处理安全要求》（草案）等行业规范。数据分类分级是有效保障数据安全的基础，而对数据的分类分级则需要综合考量个人数据数量、字段敏感度、保密义务、访问要求存储位置等关键因素进行判定，因此有效的数据分类分级必须首先满足行业主管部门规定。数据处理的全生命周期和使用场景关涉数据利用的各个侧面，数据安全治理也需要从组织架构到安全技术进行通盘考虑。因此，在数据安全刑事治理体系之内，应当将根据法律要求制定的数据安全行业标准和技术规范作为防控数据安全风险的第一层级；对于行业规范无法处理的违反行业要求的数据处理行为，则将相关行政法规作为风险防控第二层级的冗余，将刑法规范作为风险防控第三层级的冗余，借助冗余的应急缓冲机能保障数据安全，并促进其应用发展。

五、结语

治理理念的开放性、治理主体的多元性、治理方式的协作性、治理规则的科学性是刑事治理现代化的基本内涵。①【" ①参见高铭暄：《新时代刑事治理现代化研究》，《上海政法学院学报》（法治论丛）2020年第4期，第3-5页。】建立并完善数据安全刑事治理体系的冗余机制，能够为数据安全领域法律法规的有效实施提供补充和保障，为相关违法犯罪的认定和处罚提供合理路径，为数据安全风险防控提供多元化、层级化的治理对策。当然，冗余机制的系统功能是有限的，只有在数据安全风险急剧增大并具有现实紧迫性、危害数据安全的违法犯罪增生趋重，而刑事治理体系中的主体性法律制度规范出现乏范漏洞或适用障碍的情况下，才有必要启动冗余机制，发挥其预防和保障功能。在非必要情况下过度运用冗余机制，虽然暂时达到了控制风险的目的，但可能压缩数据利用和技术发展的空间，甚至损害公民个人数据权益；从长远来看，也不利于数据安全的持续性、稳定性。恰当运用数据安全刑事治理的冗余机制，处理好安全保障和促进发展的关系，是实现数据安全治理体系现代化和良法善治的可行路径。

[责任编辑：无 边]

Redundancy Mechanism for Criminal Governance of Data Security

ZHANG Yong LI Fen-jing

（School of Criminal Law，East China University of Political Science and Law，Shanghai 201620，China）

Abstract：As an important field of national governance，data security governance has systematic complexity，so it is necessary to enhance the adaptability to deal with criminal risks of data security.Within the framework of systems theory，the principle of redundancy control aligns seamlessly with the concept of criminal risks in data security governance，and the redundancy mechanism of data security criminal governance includes risk identification，legal benefit measurement，responsibility sharing，and guilt buffer.The redundancy mechanism should be reasonably set and limited to avoid negative effects.To build a data security criminal governance system，there must be redundancy mechanisms in both internal and external aspects.Specifically，the internal redundancy of the system mainly includes two aspects：at the legislative level，there are corresponding redundant mechanisms between the general provisions of the criminal law and the provisions of the sub-provisions，between the charges and counts of the sub-provisions of the criminal law，as well as in the criminal sanction measures and subsidiary criminal law norms;at the judicial level，there are also redundant mechanisms in the connection between criminal discretion and criminal execution，criminal judicial interpretation and criminal execution relationship.Meanwhile，the external redundancy mechanism also has two forms，i.e.，hard law and soft law，which contain the redundant" mechanisms in pre-administrative data crime law，civil law norms，criminal policy，and corporate criminal compliance.The organic combination of the above redundant mechanisms can provide a safe and stable guarantee for the operation of the data security criminal governance system，which is a feasible way for the modernization of data security criminal governance.

Key words：data security;redundancy mechanism;data crime;criminal governance