來源：法制日報

作者：高艷東 

治理大數據產業，現階段的主要措施應當是行政處罰等非刑法手段。數據保護是一個長期過程，不可操之過急。在民事賠償、行政處罰措施尚未啟動之前，直接動用刑事手段，對數據產業實行嚴刑峻法，既是對刑法條文的機械理解，也會嚴重影響我國數字經濟的發展。

連續4年，政府工作報告都提出對新業態要“包容審慎監管”。包容審慎通常被認為是行政管理的理念，但其實它同樣適用于數字經濟治理。在處理數據產業的法律問題時，也應引入“包容審慎”的法律理念。

過度擴張解釋法條，引發數據行業風險

不同于暴力犯罪須設定剛性標準，互聯網領域的立法應具備一定彈性。若采取苛刻、教條的法律理念，會導致數據產業的風險增大。這些風險包括：

泛化界定個人信息，致個人信息范圍過大，由此數據公司在收集未經授權或授權不完整的數據時，就容易將包含公民個人郵寄地址、購物記錄等在內的信息納入其中，產生侵犯公民個人信息的風險。

把民事爭議上升為刑事犯罪，“非法獲取計算機信息系統數據罪”等罪名或被濫用。很多網站會使用Robots協議（對搜索引擎抓取網站內容范圍的約定），禁止相關軟件爬取部分網頁數據。有些網站雖然在頁面公開了數據，但在后臺通過Robots協議禁止相關軟件爬取代碼源數據。有觀點認為，爬取網站上的公開數據，即使只違反了Robots協議，也屬于“非法獲取計算機信息系統數據罪”。然而，Robots協議的法律屬性尚未明確，即便在民事案件中，違反Robots協議也未必構成不正當競爭，在刑事案件中，更不應把違反Robots協議的行為認定為刑事不法行為。

“幫助信息網絡犯罪活動罪”也易被過度擴張適用。該罪要求“明知他人利用信息網絡實施犯罪”而提供技術幫助，但是，由于“明知或者應當知道”在多個司法解釋中被作為認定故意的標準，“應當知道”就很可能成為數據公司提供數據服務時存在“明知他人犯罪”故意的認定依據。

可見，如果任由刑法肆意介入大數據產業，很多數據公司都將面臨嚴重的法律風險。由此，規避風險的最好做法顯然就是不碰數據，但這又不利于數字經濟的發展。

評價數據收集使用，需要考慮立法目的

在評價數據收集、使用行為時，不僅要考慮法條的形式含義，還要考慮立法目的和營商環境，不能機械地適用刑法。

濫用網絡犯罪的法條很可能阻礙我國的大數據產業發展。這幾年，我國的數據分析能力大大提高，這與我國此前相對寬松的數據收集政策密切相關，借助海量數據，我國交通、物流、金融領域的生產效率大大提高。與之相反，歐盟《通用數據保護條例》（簡稱GDPR）對數據收集持嚴格監管態度，導致歐盟數據公司的能力整體落后于中美。如果過度擴張法條的含義，將我國大量數據公司認定成犯罪，會摧毀我國的大數據產業，不利于國家安全。鼓勵技術創新、拓寬數據運用方式，有利于中國在科技領域彎道超車。換言之，在處理數據收集、使用行為時，我們應當在法條之外，充分考慮產業革命等多個社會背景。

在執法中應引入包容審慎理念。在大數據和人工智能等創新領域，創新性研發帶來的風險如果有利于產業發展，就不應簡單地將其認定為違法犯罪，而應更多地采用行業監管的方式，秉持刑法的謙抑性原則。一方面，要防止對民營企業選擇性執法。在信息產業上，民營科技企業發揮著不可替代的作用，是國家信息技術競爭力的保障。在科技領域形成核心技術競爭力和全球品牌效應，需要10年甚至更長的時間，因此，法律要對民營企業有耐心，為其創造良好的營商環境。另一方面，要消除執法標準的地區差異。我國數字經濟發展極不平衡，各地對數據收集、使用行為的認識存在差異：為促進經濟發展，數字經濟發達地區一般對數據收集、使用持相對寬容的態度，在采用監管手段、行政措施可以防止危害時很少動用刑事手段；而數據產業較少的地區，常會嚴厲處罰數據違規行為。尤其是一些隨意的跨地區執法，會形成用工業時代的法律觀念處理數字經濟問題的現象，這會打亂在新興產業領域鼓勵領頭雁的國家戰略。因此，應當保持執法穩定性，盡早在數字經濟領域貫徹“一盤棋”思路，明確執法的剛性標準，防止執法標準不統一而損害數據產業的發展。

應當善待數據產業，安全與發展要平衡

在當前發展數字經濟、優化營商環境的大背景之下，為更好地應對數據產業的風險，法律應當在安全與發展之間尋找平衡點。具體建議如下：

爬取公開數據、經信息主體授權爬取非公開數據的，原則上不按照犯罪處理。雖然網頁前端公開的數據不同于后臺中的代碼數據，但是，兩者畢竟緊密聯系，核心內容一樣，只是存儲或表現形式不同而已。利用相關軟件獲取了后臺的代碼源數據，如果最終轉換出來的數據已經在網頁上公開了，就不會侵犯到網站的實質利益。當然，對暴力破解網站防護系統的行為另當別論。

獲取數據或個人信息應考慮“合法經營免責”原則。只要數據公司在提供數據服務時，接受數據服務者從事的是合法經營，數據公司就可以免責，不能采用事后法原則倒追數據公司的刑事責任。一些租車、網貸公司在購買數據服務時并未構成犯罪，但事后因暴力催收或放高利貸而被定罪。對此，應當堅持行為時的判斷，只要數據公司提供數據時，租車、網貸公司并未被立案調查或曝出犯罪事實，都不應追究數據公司的刑事責任。同時，應當嚴格界定敏感信息的范圍，防止不加區分地把借貸、社交信息都認定為敏感數據。未來，我國應建立信息收集豁免制度，對于基于公共利益（如疫情）、履行合同之必要、企業之間基于經營的數據交換等，只要其采用了安全保護措施，都不應將其作為犯罪處理。

明確“明知或者應當知道”中的“應當知道”只是刑事推定，而非將過失上升為故意。有觀點認為，在網貸、租車公司放高利貸、暴力催收成為常見行業現象時，數據公司也“應當知道”自己服務的對象可能存在類似犯罪行為，進而把過失行為當成故意犯罪處理。但是，法律不能實行有罪推定，只要網貸、租車公司沒有被立案調查，或者沒有明確曝出犯罪行為，就應當認為其屬于合法經營。否則，為其提供辦公場所的房東、為其提供結算業務的銀行，都可能因為“應當知道”而被定罪。

對企業應堅持“先行政治理再刑事處罰”的原則。數據公司一般是長期經營，如果其有違法活動，行政機關發現后應當及時處罰，而刑事手段不是產業治理的最優選擇。對收集、使用數據中的亂象，應當先由行政機關進行處罰，經處罰仍然存在問題時，方可考慮動用刑事措施，切忌“平時沒人管，出事就入獄”的兩極化管理模式。當然，如果數據公司在行政機關檢查監督中報送虛假材料，則另當別論。

總之，工業時代的法律制度跟不上數字經濟發展的節奏，數字經濟涉及中國的國際突圍戰略，界定數據企業的法律責任，既要考慮產業發展，也要考慮國家戰略。治理大數據產業，現階段的主要措施應當是行政處罰等非刑法手段。數據保護是一個長期過程，不可操之過急。在民事賠償、行政處罰措施尚未啟動之前，直接動用刑事手段，對數據產業嚴刑峻法，既是對刑法條文的機械理解，也會嚴重影響我國數字經濟的發展。