【法律责任的兜底条款】
违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
【释义】
本条规定了违反《数据安全法》的法律责任。本法第52条将《数据安全法(二审稿)》中“违反治安管理处罚的行为”这一表述改为“违反治安管理的行为”,加强了条文法律用语的规范性和严谨性,与《治安管理处罚法》《网络安全法》第74条[68]等法律法规相统一。如果当事人的行为违反本法规定且符合其他法律法规归责要件时,应当依据有关法律法规进行处理,由当事人承担相应的私法责任或公法责任。可以预见在该法施行过程中,有关数据安全的各部门法之间的协调适用会成为重要的命题之一。本法第32条规定不得窃取或以非法方式获取数据,该条本身属于不完整规定,在法律责任部分并没有对应的特别责任规定,这与《网络安全法》第44条[69]禁止对信息的非法活动相关规定的条文结构相似。因此需要依据法律责任部分的转接规定,作为确立一种法定义务的基础规范而链接其他法律的适用。[70]
本条对于民事责任规定为“违反本法规定,给他人造成损害的,依法承担民事责任。”民事责任是民事法律关系的当事人不依法履行民事法律义务,应当承担的法律后果。如数据收集方在收集数据的过程中欺骗数据提供方,给数据提供方造成损害的,应当依法承担赔偿责任。民事责任根据具体责任性质不同可以分为两大类:一类是违约的民事责任;另一类是侵权的民事责任。违约的民事责任是指合同关系的当事人不依法履行合同约定的义务而应当承担的责任。侵权的民事责任是指民事法律关系的当事人由于自身的过错,给他人的人身权利或者财产权利造成损害应当承担的责任。根据我国《民法典》第179条的规定,承担民事责任的方式主要:停止侵害,排除妨碍,消除危险,返还财产,恢复原状,修理、重作、更换,继续履行,赔偿损失,支付违约金,消除影响、恢复名誉,赔礼道歉,以上承担民事责任方式,可以单独适用,也可以合并适用。此外,人民法院审理民事案件,还可以对当事人予以训诫、责令具结悔过、收缴进行非法活动的财物和非法所得,并可以依照法律规定处以罚款、拘留。
从归责原则角度看,该条文并非独立的请求权基础,更未确立无过错责任,该款只是依据我国立法惯例所做的一个衔接性的规定。在比较法上,欧盟《一般数据保护条例》(GDPR)第82条采取的是极为严格的责任,该条第2款规定:“参与处理的任何控制者应当为违反本条例的数据处理所导致的损害负责。任何处理者,仅在其未遵守本条例对于处理者义务的特别规定或采取超出控制者的合法指令或者与控制者的指令相反的处理行为时,应为数据处理导致的损害负责。”该条第3款规定了控制者和处理者的免责事由,即如果能够证明其无论如何都不应对造成损害的事件负责时,才能免除第2款的责任,而仅证明没有过错或者履行了法定的义务等,都不足以免责。[71]显然这一免责事由比之前的欧盟《数据保护指令》的要求更高。[72]德国《联邦数据保护法》第83条区分自动化数据处理与非自动化数据处理分别规定了无过错责任与过错推定,对于自动化的数据处理所产生的损害适用无过错责任,对于非自动化的数据处理,如果损害并不是由于控制人的过错所致,则其不负有赔偿义务。[73]在我国,很多行政管制性的法律均会在“法律责任”一章中作出类似的规定。事实上,类似《网络安全法》第74条、《数据安全法》第50条中“依法承担民事责任”中“依法”一词即可看出,即便违反本法规定给他人造成损害,如何承担民事责任还是要依法(依据《民法典》等法律法规)来认定。
本条对于违反治安管理的行为规定“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚”。根据《治安管理处罚法》的规定[74],违反治安管理行为包括妨害公共安全、侵犯人身权利、侵犯财产权利、妨害社会管理四种违法行为,且“尚不够刑事处罚”。目前,《治安管理处罚法》的修改正在进行[75],2017年《治安管理处罚法》(公开征求意见稿)第19条[76]在2012年《治安管理处罚法》第20条基础上增加了“利用信息网络实施违反治安管理行为”;同时,征求意见稿增设了第30条[77]关于生产、销售无线电设备的规定;在第31条[78]中明确了违法“获取该计算机信息系统中存储、处理或者传输的数据”的处罚;增设第32条[79]网络服务提供者的信息网络安全管理义务及违反后果;增设第57条[80]关于违反个人信息保护相关规定的处罚;第71条增加“在信息网络上散布煽动、策划非法集会、游行、示威信”的行为应当从重处罚。从《治安管理处罚法》的修订趋势来看,整体呈现了当前社会对于网络安全、数据安全、信息安全的保护需求,对于利用网络实施违反治安管理行为从重处罚,增设了关于数据保护、个人信息保护的相关规定,与《网络安全法》《数据安全法》及《个人信息保护法》加强了不同法律之间法条衔接,增强了我国相关法律规范的完整性和体系性。
本条对于刑事责任规定为“违反本法规定,构成犯罪的,依法追究刑事责任”。刑法是判断某一违法行为是否构成犯罪,应处以何种刑罚的依据。本法没有对违反本法规定的行为规定具体的刑事责任,主要是考虑到与刑法的衔接。自1997年3月14日制定至今,《刑法》已通过了11个修正案,形成了比较完善的罪名及刑罚体系,为了保证罪名及刑罚的体系性,目前其他法律一般不再规定具体的罪名和刑罚;如果确需调整罪名和刑罚,通过刑法修正案的方式进行。例如,2009年《刑法修正案》(七)增设了《刑法》第253条之一“出售、非法提供公民信息罪”,2015年《刑法修正案》(九)第17条在此基础上取消了对于犯罪主体的身份限制,增加了情节特别严重的情形,同时增加了对于履行职责或提供服务过程中违反上述行为从重处罚的规定。《刑法修正案》(九)第28条增加了《刑法》第286条之一“拒不履行网络信息安全管理义务罪”,与之后出台的《网络安全法》构成了网络信息安全管理义务的刑事责任规范衔接;第29条增加了《刑法》第287条之一“非法利用信息网络罪”和之二“帮助信息网络犯罪活动罪”。本法没有在每个可能涉及刑事责任的条款后规定“构成犯罪的,依法追究刑事责任”,而是单列一条概括规定,一是行文简洁,二是不会遗漏。
刑事责任是国家刑事法律规定的犯罪行为所应承担的法律后果。数据处理活动中的当事人如果有本法规定的违法行为,且符合我国《刑法》所规定的犯罪构成要件的,就应当依据刑法有关条款的规定承担相应的刑事责任。与数据有关的犯罪行为在《刑法》规定中较为分散,多数情况下违法数据处理活动是犯罪手段而非犯罪目的,因此在危害国家安全、危害公共安全、破坏社会主义经济秩序、侵犯公民人身权利、扰乱社会主义管理秩序、危害国防利益等方面均有可能存在数据犯罪,危害国家社会经济公共利益和公民的人身财产权利。
近年来,数据犯罪在侵犯知识产权犯罪、侵犯公民个人信息犯罪、扰乱公共秩序犯罪(尤其是计算机数据)等领域愈加彰显。以“爬虫技术”为例,2020年度北京法院知识产权司法保护十大案例之一“网络爬虫非法抓取电子书”犯侵犯著作权罪案[81]中鼎阅公司未经掌阅公司、幻想纵横公司等权利公司许可,利用网络爬虫技术,爬取正版电子图书后,在其推广运营的“鸿雁传书”“TXT全本免费小说”等10余个App中展示,供他人访问并下载阅读,通过广告收入、付费阅读等方式进行牟利。法院经过审理认为,鼎阅公司及其直接负责的主管人员以营利为目的,未经著作权人许可,复制发行他人享有著作权的文字作品,情节特别严重,其行为均已构成侵犯著作权罪。可见,侵犯具有“创造性”数据的行为,构成知识产权犯罪,包括具有“独创性”的网络著作权客体和具有“秘密性”“价值性”的商业秘密,侵犯知识产权犯罪中明确将爬虫对象作为知识产权以财产权形式保护。[82]2019年度人民法院十大刑事案件之一“上海某网络科技有限公司非法获取计算机信息系统数据案”中上海某网络科技有限公司经营技术开发、技术服务等业务,采用爬虫技术非法抓取北京某网络技术有限公司服务器中存储的视频数据。法院以非法获取计算机信息系统数据罪分别判处被告单位罚金20万元,判处被告人张某等四人一年至九个月不等的有期徒刑,并处罚金。[83]该案是全国首例爬虫技术侵入计算机系统犯罪案,法官“反爬虫”机制认定为与用户身份信息认证机制同态的计算机信息系统安全措施,并将常见的对抗“反爬虫”措施的技术行为认定为“侵入”计算机信息系统行为,被告通过爬虫技术未经数据储存方允许抓取计算机系统内的用户数据,即访问者未具备授权或超越授权。非法获取计算机数据罪往往涉及大量数据,侵犯了公共利益。而且相比侵犯具有“创造性”数据的行为,仍具有一定程度的财产权属性,既包含信息商业利用的价值,形式上表现为个人信息的自决权,即拥有对他人收集、利用本人信息同意与否的决定权。刑法在获取数据的用途和危害结果的评价体现法益的保护。
综上所述,由于违反数据保护法规定,给他人造成损害、构成违反治安管理处罚行为或犯罪的情况比较复杂,法律不可能将所有的违法行为一一列举出来,因此,本条只进行原则规定。这样规定有三个好处:一是可以避免法律条文过于烦琐;二是可以防止挂一漏万;三是可以给受到法益损害的主体提供全面保护。
【关联规定】
本法第31条,《中华人民共和国网络安全法》第74条,《中华人民共和国民法典》第179条,《中华人民共和国治安管理处罚法》第2条,《中华人民共和国刑法》第253条、第286条、第287条
(撰稿人:程喆)
[1] 韩伟:《安全与自由的平衡——数据安全立法宗旨探析》,载《科技与法律》2019年第6期。
[2] 徐永涛、林树金:《我国行政约谈的理论基础及法治化》,载《东岳论丛》2014年第12期。
[3] 邢鸿飞、吉光:《行政约谈刍议》,载《江海学刊》2014年第4期。
[4] 朱新力、李芹:《行政约谈的功能定位与制度建构》,载《国家行政学院学报》2018年第4期。
[5] 《工业和信息化部网络安全管理局就“ZAO”App网络数据安全问题开展问询约谈》,载中华人民共和国工业和信息部2019年9月4日,http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057724/n3057728/c7392754/content.html,2021年8月25日访问。
[6] 孟强龙:《行政约谈法治化研究》,载《行政法学研究》2015年第6期。
[7] 孟强龙:《行政约谈法治化研究》,载《行政法学研究》2015年第6期。
[8] 翟志勇:《数据安全法的体系定位》,载《苏州大学学报(哲学社会科学版)》2021年第1期。
[9] 刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021年第1期。
[10] 喻少如:《论单位违法责任的处罚模式及其〈行政处罚法〉的完善》,载《南京社会科学》2017年第4期。
[11] 李孝猛:《责令改正的法律属性及其适用》,载《法学》2005年第2期。
[12] 黄锫:《行政执法中责令改正的法理特质与行为结构》,载《浙江学刊》2019年第2期。
[13] 夏雨:《责令改正之行为性质研究》,载《行政法学研究》2013年第2期。
[14] 行政处罚通过依法减损合法权益或者增加新的义务,对违法主体予以惩戒。参见黄海华:《行政处罚的重新定义与分类配置》,载《华东政法大学学报》2020年第4期。
[15] 陈洪兵:《论拒不履行信息网络安全管理义务罪的适用空间》,载《政治与法律》2017年第12期。
[16] 张淑芳:《〈行政处罚法〉订应拓展处罚种类》,载《法学》2020年第11期。
[17] 朱芒:《作为行政处罚一般种类的“通报批评”》,载《中国法学》2021年第2期。
[18] 朱芒:《作为行政处罚一般种类的“通报批评”》,载《中国法学》2021年第2期。
[19] 马怀德:《〈行政处罚法〉修改中的几个争议问题》,载《华东政法大学学报》2020年第4期。
[20] 《关于侵害用户权益行为的APP通报(2020年第七批)》,载中华人民共和国工业和信息化部2020年12月21日,https://wap.miit.gov.cn/xwdt/gxdt/sjdt/art/2020/art_fb7c796f64304c0d8a5c 9c3e45e714f8.html,2021年8月25日访问。
[21] 李惠宗:《行政法要义》,元照出版公司2009年版,第462~463页。
[22] 谭冰霖:《单位行政违法双罚制的规范建构》,载《法学》2020年第8期。
[23] 黄海华:《行政处罚的重新定义与分类配置》,载《华东政法大学学报》2020年第4期。
[24] 吴善鹏、李萍、张志飞:《政务大数据环境下的数据治理框架设计》,载《电子政务》2019年第2期。
[25] 马怀德:《〈行政处罚法〉修改中的几个争议问题》,载《华东政法大学学报》2020年第4期。
[26] 吴允锋:《非刑事法律规范中的刑事责任条款性质研究》,载《华东政法大学学报》2009年第2期。
[27] 王倩云:《人工智能背景下数据安全犯罪的刑法规制思路》,载《法学论坛》2019年第2期。
[28] 高艳东、李诗寒:《数字时代财产犯罪中财物的扩张解释:以数据服务为例》,载《吉林大学社会科学学报》2020年第5期。
[29] 吴允锋:《非刑事法律规范中的刑事责任条款性质研究》,载《华东政法大学学报》2009年第2期。
[30] 皮勇:《论新型网络犯罪立法及其适用》,载《中国社会科学》2018年第10期。
[31] 练育强:《行刑衔接中的行政执法边界研究》,载《中国法学》2016年第2期。
[32] 张建文、贾章范:《法经济学视角下数据主权的解释逻辑与制度构建》,载《重庆邮电大学学报(社会科学版)》2018年第6期。
[33] 劳东燕:《个人数据的刑法保护模式》,载《比较法研究》2020年第5期。(https://www.daowen.com)
[34] 张勇:《数据安全法益的参照系与刑法保护模式》,载《河南社会科学》2021年第5期。
[35] 高山行、刘伟奇:《数据跨境流动规制及其应对——对〈网络安全法〉第三十七条的讨论》,载《西安交通大学学报(社会科学版)》2017年第2期。
[36] 覃庆玲:《数据出境安全评估若干问题探究》,载中央网信办、国家网信办网站,http://www.cac.gov.cn/2019-06/26/c_1124675681.htm,2021年6月14日访问。
[37] 裴炜:《向网络信息业者取证:跨境数据侦查新模式的源起、障碍与建构》,载《河北法学》2021年第4期。
[38] 张敏、朱雪燕:《我国大数据交易的立法思考》,载《学习与实践》2018年第7期。
[39] 王玉林、高富平:《大数据的财产属性研究》,载《图书与情报》2016年第1期。
[40] 田杰棠:《数据交易、数据权利与数据要素市场培育》,载腾讯研究院微信公众平台,https://mp.weixin.qq.com/s/KERBaeva35UcXMHfI887HQ,2021年6月14日访问。
[41] 张阳:《大数据交易的权利逻辑及制度构想》,载《太原理工大学学报(社会科版)》2016年第5期。
[42] 对于没收违法所得的性质争议,参见马怀德:《〈行政处罚法〉修改中的几个争议问题》,载《华东政法大学学报》2020年第4期;王青斌:《行政法中的没收违法所得》,载《法学评论》2019年第6期。
[43] 马怀德:《〈行政处罚法〉修改中的几个争议问题》,载《华东政法大学学报》2020年第4期。
[44] 姜明安主编:《行政法与行政诉讼法(第6版)》,北京大学出版社、高等教育出版社2015年版,第267页。
[45] 肖泽晟:《违法所得的构成要件与数额认定——以内幕交易为例》,载《行政法学研究》2013年第4期。
[46] 冯博:《没收违法所得与罚款在反垄断执法中的组合适用》,载《法商研究》2018年第3期。
[47] 张明楷:《避免将行政违法认定为刑事犯罪:理念、方法与路径》,载《中国法学》2017年第4期。
[48] 肖泽晟:《违法所得的构成要件与数额认定——以内幕交易为例》,载《行政法学研究》2013年第4期。
[49] 冯博:《没收违法所得与罚款在反垄断执法中的组合适用》,载《法商研究》2018年第3期。
[50] 马怀德:《〈行政处罚法〉修改中的几个争议问题》,载《华东政法大学学报》2020年第4期。
[51] 肖泽晟:《违法所得的构成要件与数额认定——以内幕交易为例》,载《行政法学研究》2013年第4期。
[52] 程雷:《大数据侦查的法律控制》,载《中国社会科学》2018年第10期。
[53] 唐彬彬:《跨境电子数据取证规则的反思与重构》,载《法学家》2020年第4期。
[54] 张成松:《机关法人责任独立性:一个财政法的观测视角》,载《河北法学》2020年第10期。
[55] 喻少如:《论单位违法责任的处罚模式及其〈行政处罚法〉的完善》,载《南京社会科学》2017年第4期。
[56] 朱福惠:《国家监察法对公职人员纪律处分体制的重构》,载《行政法学研究》2018年第4期。
[57] 朱福惠:《论监察法上政务处分之适用及其法理》,载《法学杂志》2019年第9期。
[58] 曾铮、王磊:《数据要素市场基础性制度:突出问题与构建思路》,载《宏观经济研究》2021年第3期。
[59] 刘仁文:《刑法中“国家工作人员”概念的立法演变》,载《河南大学学报(社会科学版)》2010年第6期。
[60] 杨合庆:《中华人民共和国网络安全法释义》,中国法制出版社2017年版,第145页。
[61] 《数据安全法(一审稿)》第47条:“通过数据活动危害国家安全、公共利益,或者损害公民、组织合法权益的,依照有关法律、行政法规的规定处罚。”
[62] (2018)沪0110刑初150号。
[63] (2020)浙0106刑初437号。
[64] 《欧盟“数字宪法”亮相:多国新规剑指垄断 科技巨头迎来“强监管”时代》,载工人日报,https://www.3news.cn/yaowen/2020/1218/486531.html,2021年6月14日访问。
[65] 丁晓东:《论数据垄断:大数据视野下反垄断的法理思考》,载《东方法学》2016年第1期。
[66] 通过起诉声称谷歌通过以下方式非法维持了搜索和搜索广告的垄断:签订排他性协议,禁止预先安装任何竞争的搜索服务。通过捆绑和其他安排,迫使谷歌将搜索应用程序预先安装在移动设备的黄金位置,并且无论消费者偏好如何,都不能删除这些应用程序。与苹果公司达成长期协议,要求谷歌成为苹果公司广受欢迎的Safari浏览器和其他苹果搜索工具的默认——事实上是独家——通用搜索引擎。通常利用垄断利润为其搜索引擎在设备、网络浏览器和其他搜索访问点上购买优惠待遇,创造了一个持续的、自我强化的垄断循环。
[67] 《国务院发布〈国务院反垄断委员会关于平台经济领域的反垄断指南〉》,载法治日报,http://www.legalinfo.gov.cn/pub/sfbzhfx/zhfxyfzl/yfzlfzcj/202102/t20210208_174696.html,2021年6月17日访问。
[68] 《网络安全法》第74条:“违反本法规定,给他人造成损害的,依法承担民事责任。违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”
[69] 《网络安全法》第44条:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
[70] 龙卫球:《我国网络安全管制的基础、架构与限定问题———兼论我国〈网络安全法〉的正当化基础和适用界限》,载《暨南学报(哲学社会科学版)》2017年第5期。
[71] 程啸:《论侵害个人信息的民事责任》,载《暨南学报(哲学社会科学版)》2020年第2期。
[72] 欧盟《数据保护指令》(Data Protection Directive)第23条第2款规定,如果数据的控制者能够证明其无须对造成损害的事件负责,即可全部或部分免除责任。
[73] Vgl. Paal&Paly,DS-GVO BDSG,2. Auflage 2318,Rn. 4-9.
[74] 《治安管理处罚法》第2条:“扰乱公共秩序,妨害公共安全,侵犯人身权利、财产权利,妨害社会管理,具有社会危害性,依照《中华人民共和国刑法》的规定构成犯罪的,依法追究刑事责任;尚不够刑事处罚的,由公安机关依照本法给予治安管理处罚。”
[75] 《治安管理处罚法等修改工作正抓紧进行》,载法制日报,http://www.npc.gov.cn/npc/c30834/202012/b83dcf23dc694470a760c7f3d9e62e47.shtml,2021年6月3日访问。
[76] 《治安管理处罚法》(修订公开征求意见稿)第19条:“违反治安管理有下列情形之一的,从重处罚:(一)有较严重后果的;(二)教唆、胁迫、诱骗他人违反治安管理的;(三)利用信息网络实施违反治安管理行为的;(四)一年内曾受过治安管理处罚的;(五)三年内曾受过刑事处罚或者免予刑事处罚的。”
[77] 《治安管理处罚法》(修订公开征求意见稿)第30条:“生产、销售未取得电信设备进网许可和无线电发射设备型号核准的无线电通信设备,或者违反无线电管理有关规定,生产、销售无线电发射设备,经主管部门行政处罚后一年内又实施的……”
[78] 《治安管理处罚法》(修订公开征求意见稿)第31条:“有下列行为之一的,处五日以上十日以下拘留;情节较重的,处十日以上十五日以下拘留:(一)违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对计算机信息系统实施非法控制,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成危害的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,造成危害的;(五)提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,造成危害的……”
[79] 《治安管理处罚法》(修订公开征求意见稿)第32条:“网络服务提供者不履行下列信息网络安全管理义务,经公安机关或者其他监管部门责令改正而拒不改正的,处五日以下拘留或者一千元以下罚款;情节较重的,处五日以上十日以下拘留:(一)用户信息登记和保护……(七)法律、行政法规规定的其他信息网络安全管理义务……”
[80] 《治安管理处罚法》(修订公开征求意见稿)第57条:“非法获取、持有、使用、出售、提供、传播公民个人信息的,处十日以上十五日以下拘留,并处违法所得三倍以上五倍以下罚款……违反国家规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的……因疏于管理,致使公民个人信息泄露的……”
[81] (2020)京0108刑初237号。
[82] 阮林赟:《网络爬虫刑事违法的立场、标准和限制》,载《河北法学》2021年第7期。
[83] (2017)京0108刑初2384号。