随着网络社会持续发展，数据在社会生活中发挥的作用愈发显现。与此同时，数据泄漏与滥用的现象引发了各方的密切关注，许多从事大数据行业的企业窃取、滥用、倒卖数据信息，日常生活中我们不断被恶意广告骚扰即是一例明证。更严重的是，数据的泄露与滥用正在成为网络诈骗、套路贷、暴力催收等的上游行为，针对数据不合法的处理、挖掘、使用与交易逐渐成为网络灰产与非法商业链条。这些不规范的行为轻则适用民法、行政法处置，重则处以刑法之极刑。

为遏制、打击上述大数据行业中乱象，2019年9月，上海、浙江等地多家大数据公司遭遇整顿潮，监管部门及警方对数据业务方面违规企业进行调查。一时间，大数据行业凛冬将至。许多大数据公司宣布紧急关停、调整业务。

需要指出的是，我国当前刑事立法中，对数据泄露的相关法律规定仍稍显单薄，刑法暂对买卖、交易个人信息规定相应罪名。司法实践中，近年来我国“非法获取计算机信息系统数据罪”与“破坏计算机信息系统数据罪”二罪罪名适用呈逐年上升趋势。不得不说，由于网络犯罪立法滞后性，上述二罪名在一定程度上具备了“口袋罪”的某些特征。因此，在法律上如何明确违规开展数据活动的刑事法律责任与刑事处罚是摆在法律研究者面前的重大课题。

2020年6月28日，《数据安全法（草案）》（以下简称《草案》）被提请全国人大常委会审议，《草案》于7月2日全文公布。《草案》第四章规定了单位及个人在国家数据安全保护体系下应遵守的各项义务。其中，基础性义务由第二十五条、第二十七条、第二十九条进行规定，要求“开展数据安全活动应建立健全数据安全管理制度、开展数据安全教育培训、采取安全技术措施”、“对数据活动进行风险监测，数据安全事件发生后应及时向主管部门报告”、“采取合法、正当的方式获取数据”。此外，对特殊主体如提供在线数据处理等服务的经营者的数据处理活动，《草案》亦有特别的数据安全义务，如取得经营业务许可或备案。

有义务就有责任，《草案》第四十八条规定：违反本法规定，给他人造成损害的，依法承担民事责任。违反本法规定，构成违反治安管理处罚行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。那么，未来根据《数据安全法（草案）》可能会涉及的罪名有哪些呢？

（一）拒不履行信息网络安全管理义务罪

笔者认为，《草案》第四十二条中“拒不改正或者造成大量数据泄露等严重后果的”表述是对《刑法》第二百八十六条之一“拒不履行信息网络安全管理义务罪”之对接。同时，这一表述也是对《草案》第四章从业企业数据安全保护义务与第四十八条“违反本法规定，构成违反治安管理处罚行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”之对接。也就是说，从业企业如果违反数据安全保护义务，且拒不改正或者造成大量数据泄露等严重后果的，将以“拒不履行信息网络安全管理义务罪”进行刑法处置。

“拒不履行信息网络安全管理义务罪”作为义务犯，应遵从义务犯法理。《草案》第四章从业企业数据安全保护义务确系为企业设置了安全管理义务。如若违反，则是不履行法律、行政法规规定的义务。

根据清华大学周光权教授观点，司法上认定拒不履行信息网络安全管理义务罪应以“经监管部门责令采取改正措施而拒不改正”为前提，且出现了以下特定情形：(1)致使违法信息大量传播。不过，若接到改正通知后立即采取措施，侵权、淫秽、危害国家安全、虚假信息等违法信息虽仍有所传播，但数量明显减少，并未大量传播的，不构成该罪。(2)致使用户信息泄露，造成严重后果的。这主要是指涉及公民个人隐私的信息泄露，数量大，引发社会恐慌等情形。(3)致使刑事案件证据灭失，情节严重的。这主要是指在接到不得删除、销毁有关信息的指令后，仍然违反指令，违法删除有关数据、信息，使司法机关查处特定案件变得很困难，从而妨害司法秩序的情形。(4)有其他严重情节的。经行政部门处理是构成该罪的前置条件，即必须是经监管部门责令采取改正措施而拒不改正的，才有成立该罪的余地。

监管部门是否责令改正成为该罪的关键要素。换言之，信息网络安全监管部门事前未依据法律、行政法规规定发出指令；相关指令没有法律、行政法规依据；或者不是根据法律、行政法规而仅依据部门规章发出改正通知；仅仅发出口头整改通知，甚至违法发出指令的，网络服务提供者均不构成该罪。

（二）非法经营罪

《草案》第三十一条规定，“专门提供在线数据处理等服务的经营者，应当依法取得经营业务许可或者备案。具体办法由国务院电信主管部门会同有关部门制定。”《草案》第四十四条规定，“未取得许可或者备案，擅自从事本法第三十一条规定业务的，由有关主管部门责令改正或者予以取缔，没收违法所得，处违法所得一倍以上十倍以下罚款;没有违法所得的，处十万元以上一百万元以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”《草案》第四十八条规定，“违反本法规定，给他人造成损害的，依法承担民事责任。违反本法规定，构成违反治安管理处罚行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”

当下，我国“两高”的现有规定明确了20种属于非法经营犯罪的行为，其中，违反准入许可制度达15种之多，占总数七成以上。而上述条文所表露的信息载明，未来在线数据处理行业将以许可或备案为准入前提，让获得牌照和资质的数据公司来经营数据的流通和商业使用，以整治此前大数据被滥用、泄露、失窃等乱象。与之相适应的，如未获得在线数据处理行业许可证，违反准入许可制度从事相关经营活动的，极有可能构成非法经营罪。

此前，已有有偿非法删帖的行为被法院认定为构成非法经营罪。在春鼎秋华（北京）公共关系咨询有限公司、北京环宇趋势科技有限公司非法经营二审刑事裁定书（ (2019)鄂10刑终141号）中，法院认为“使用删除、屏蔽、下沉等手段在百度搜索引擎上清理涉及公司的负面信息”、“搜集了一批影响公司上市的帖文，并委托春鼎秋华公司和环宇公司（李东洲控制的空壳公司）对这些帖文链接进行删除和屏蔽”等行为系“违反国家规定，以营利为目的，通过信息网络有偿提供删除信息服务，扰乱市场秩序，情节特别严重，其行为均构成非法经营罪”。尽管有辩护意见认为，国务院《互联网信息服务管理办法》第3、4条规定，国家对经营性互联网信息服务实行许可制度，针对的是网络经营商的经营行为，对网络删帖行为并未规定许可经营管理。但法院依然认为委托他人删帖的行为符合非法经营罪构成要件。

未来，随着许可或备案制度的进一步深化，类似的犯罪以非法经营罪定性将随之变得更为普遍。

笔者认为，应当以《草案》第四章从业企业数据安全保护义务为纲，建立相关数据使用规章制度，确保数据获取、处理、挖掘、使用与交易整个流程的合法性、正当性、必要性与可追溯性。即注重在整个数据处理过程中的全程留痕。同时，企业可采取相应的技术措施和其他必要措施，如数据分级分类存储、加密传输、保存等措施，保障数据安全。