論數據處理者的重要數據安全保護義務及刑事責任

劉雙陽

一、引言

大數據時代，網絡數據的類型日益多元化，不僅承載著個人的人格利益或企業的經濟利益，而且可能影響國家安全與公共利益。例如，全國首例非法獲取地理信息數據刑事案件的判決書指出：“不同于網絡游戲數據、視頻數據等，地理信息數據具有一定特殊性、敏感性，是國家重要的基礎性、戰略性資源，關系國家主權、安全和發展利益。”數據內容與國家安全、經濟安全、社會穩定、公共健康和安全的聯系越緊密，重要性程度就越高，面臨的數據安全風險和威脅自然越大，一旦遭到泄露、竊取、篡改、毀損、非法使用等不法侵害，引起的危害后果往往也尤為嚴重。探究發生數據安全事件及造成重大損害的原因時，往往會發現以平臺企業為代表的數據處理者怠于履行數據安全保護職責是最關鍵的因素。秉持總體國家安全觀，我國相關法律、行政法規按照數據分類分級制度已將對國家安全和公共利益有重要影響的網絡數據納入“重要數據”的范疇，與“個人信息”“企業數據”等概念相區別，并要求數據處理者采取相應的安全防護措施，加強對重要數據的保護。

基于從源頭防范重要數據安全風險的治理邏輯，作為在數據安全治理格局中發揮關鍵作用的數據處理者，在享有自主決定重要數據處理目的和處理方式等權利的同時，應當承擔、實際依法承擔著重要數據安全保護義務，合理性根據在于復雜社會系統中的秩序必須依賴于處分權人所管理的特定空間和特定控制領域的安全。2021年12月12日，國務院印發的《“十四五”數字經濟發展規劃》明確將“規范數據采集、傳輸、存儲、使用、共享、銷毀全生命周期管理，推動數據處理者落實數據安全保護責任”作為提升數據安全保障水平的重要內容。保護重要數據安全既是行政義務，也應升格為刑事義務，如果數據處理者怠于履行重要數據安全保護義務，對國家安全和公共利益造成實質危害，理應承擔包括刑事責任在內的法律責任。總之，在兼顧刑法的謙抑性與預防性的基礎上，有必要進一步完善我國數據安全犯罪立法，并結合相關法律規范探尋和厘清數據處理者承擔重要數據安全保護義務的合理范圍以及對其施加不作為刑事責任的合理邊界。

二、數據處理者怠于履行重要數據安全保護義務的刑事責任虛置

平臺經濟的快速發展不斷催生新的產業形態并逐漸改變社會治理結構，以互聯網企業為代表的重要數據的處理者開始掌握隱形的“數據權力”，在網絡世界的“共治”地位或“守門人”角色日漸凸顯，但是該領域中的特別社會地位產生的不是支配而是特別義務。對于從事數據處理活動的互聯網企業而言，要堅持安全與發展并重的基本原則，把保障重要數據安全放在突出位置，建立標準化、覆蓋全生命周期的重要數據安全合規管理體系，切實履行防范重要數據安全風險的主體責任。然而，當重要數據的處理者怠于履行安全保護義務致使重要數據泄露或者被竊取、篡改、毀損、非法使用且造成嚴重后果，在追究其刑事責任時卻陷入罪名適用的困境。

(一)數據處理者的重要數據安全保護義務與平臺責任

我國立法上關于保護重要數據安全的規定經歷了一個從無到有、漸進完善的過程。2016年11月7日，第十二屆全國人大常委會第二十四次會議審議通過的《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)首次在國家立法層面引入“重要數據”這一概念，但并未說明其內涵和外延，僅是規定關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據應當在境內存儲，初步形成保護重要數據安全的觀念。2021年6月10日，第十三屆全國人大常委會第二十九次會議審議通過的《中華人民共和國數據安全法》(以下簡稱《數據安全法》)在明確定義何為數據安全的同時規定數據處理者開展數據處理活動應當履行數據安全保護義務，要求建立數據分類分級保護制度，制定相關行業、領域的重要數據目錄，對列入目錄的數據進行重點保護。2021年11月14日，國家互聯網信息辦公室發布的《網絡數據安全管理條例(征求意見稿)》在明確界定重要數據內涵和外延的基礎上，專設第四章“重要數據安全”，詳細規定了重要數據的處理者相較于一般數據的處理者更為嚴格的安全保護義務以及怠于履行相關義務應承擔的行政責任和刑事責任。2022年1月5日，國家互聯網信息辦公室等十三部門聯合發布新修訂的《網絡安全審查辦法》，將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，針對重要數據安全，重點關注以下兩類風險：一是重要數據被竊取、泄露、毀損以及非法利用、非法出境的風險；二是上市存在重要數據被外國政府影響、控制、惡意利用的風險。至此，我國保護重要數據安全的行政法律規范體系基本形成。

互聯網企業是網絡平臺的締造者和管理者，而網絡平臺是當前網絡生態系統和數字社會結構的樞紐所在，自動化數據處理是其核心功能，特別是關系國家安全、國計民生、公共利益的重點行業、領域的互聯網企業及各類產品和服務提供商所運營或控制的關鍵信息基礎設施產生、匯聚了海量重要數據。互聯網企業依托這些網絡平臺開展的數據處理活動對于國家數據安全具有重大影響，對此，2021年3月15日，習近平在中央財經委員會第九次會議上強調，要強化平臺企業數據安全責任。這是因為，特別社會領域不同于一般社會領域之處在于，它對某些人提出了特別的積極要求，行為人只要進入該領域，就必須依要求行事。在關系國家安全與公共利益的重要數據安全領域，保障重要數據安全有賴于政府、企業和行業組織等多方力量的協同參與，以平臺企業為代表的數據處理者在獲得經濟利益的同時必須積極配合監管部門承擔重要數據安全保護職責，盡到合理注意義務，一方面，數據處理者應當對重要數據采取備份、加密、訪問控制等必要的技術和管理措施，防范數據安全事件的發生；另一方面，當發現數據安全風險或發生數據安全事件時，數據處理者應當立即采取補救措施或及時啟動應急響應機制，防止危害結果進一步擴大。簡言之，只有數據處理者切實履行重要數據安全保護義務，數據安全才能真正落到實處。反之，如果數據處理者怠于履行重要數據安全保護義務，則應當對法益侵害結果承擔平臺責任(包括刑事責任)。平臺企業的責任內容分為積極作為義務和消極不利后果兩個面向，這里的平臺責任是消極意義上的后果性責任，即重要數據的處理者對于違反積極作為義務所承擔的不利性法律后果。

(二)拒不履行信息網絡安全管理義務罪的適用困境

《刑法修正案(九)》增設的拒不履行信息網絡安全管理義務罪以不履行法定作為義務的平臺責任模式開啟了網絡服務提供者承擔刑事責任的新路徑。該責任是在正犯責任基礎上的進一步延伸和強化，將建立和管理網絡平臺上的網絡服務提供者視為特殊主體，在特定情況下，對于因怠于履行信息網絡安全管理義務而出現嚴重危害后果的網絡服務提供者，以獨立的罪名直接追究其不作為、不配合的刑事責任，旨在加大對網絡服務提供者犯罪刑事制裁的力度。數據處理者同網絡服務提供者一樣，多數為互聯網企業，具有很強的平臺屬性，那么，對于數據處理者怠于履行重要數據安全保護義務的行為能否適用拒不履行信息網絡安全管理義務罪？

首先，就行為主體而言，拒不履行信息網絡安全管理義務罪的犯罪主體要求具備網絡服務提供者這一特殊身份。然而，網絡服務提供者與數據處理者是兩個不同的身份概念，前者是指通過信息網絡向社會公眾提供相應網絡服務的組織或者個人；后者是指在數據處理活動中自主決定處理目的和處理方式的組織或者個人。網絡服務與數據處理也是兩種不同類型的業務活動，根據提供的服務類型，可以將網絡服務細分為網絡接入服務、網絡內容服務、網絡應用服務等，數據處理則包括數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動。與業務活動相對應的義務內容也有明顯差異，重要數據安全保護義務不同于信息網絡安全管理義務。因此，雖然某一平臺企業可能既是網絡服務提供者，同時又是數據處理者，但兩者不宜混淆，而應當根據具體從事的業務活動的內容區分其在不同場景下的身份，明晰其所應當履行的法定義務。

其次，就行為對象而言，由于立法的相對滯后性，目前《刑法》中尚未使用“重要數據”這一術語，那么在解釋論層面拒不履行信息網絡安全管理義務罪的行為對象能否涵攝“重要數據”？《刑法》第286條之一及相關司法解釋將拒不履行信息網絡安全管理義務罪的行為對象限定為三類：違法信息、用戶信息、刑事案件證據。“重要數據”明顯不屬于《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(以下簡稱《信息網絡犯罪司法解釋》)第3條和第5條所界定的“違法信息”或“刑事案件證據”。《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯公民個人信息罪司法解釋》)第9條將“用戶信息”解釋為“用戶的公民個人信息”。《網絡數據安全管理條例(征求意見稿)》《個人信息和重要數據出境安全評估辦法(征求意見稿)》均對重要數據與個人信息的保護做了明確的區分，全國信息安全標準化技術委員會制定的國家標準《信息安全技術 重要數據識別指南(征求意見稿)》中特別說明：“重要數據不包括國家秘密和個人信息。”由此可見，拒不履行信息網絡安全管理義務罪的行為對象范圍無法容納重要數據。

最后，就保護法益而言，有學者認為拒不履行信息網絡安全管理義務罪設置在《刑法》第六章“妨害社會管理秩序罪”的“擾亂公共秩序罪”一節中，其所保護的法益是作為公共秩序的新組成部分的信息網絡安全管理秩序，具體內涵是網絡服務提供者和國家信息網絡監管機關各司其職，共同維護網絡運行安全和信息安全，從而達成網絡空間安全、穩定、有序、可預測的狀態。但這一表述過于抽象，難以對構成要件的解釋起到指導作用。另有學者在此基礎上進一步提出信息網絡安全管理的內涵指向的是網絡信息傳播治理，從而將該罪所保護的法益確定為具備公共利益屬性的特定信息專有權。但這一限縮解釋缺乏實質根據，偏離立法者的本意，與本罪對結果、情節的規定也不完全吻合。筆者認為，有關法律、行政法規之所以對網絡服務提供者規定了必要的信息網絡安全管理義務，目的是規范和加強網絡安全技術防范工作，保障網絡運行安全和網絡信息安全，促進可合法利用的信息資源的共享。不同于非法侵入計算機信息系統罪、破壞計算機信息系統罪等側重于保護網絡信息系統安全的罪名，《刑法修正案(九)》增設拒不履行信息網絡安全管理義務罪體現了保護信息網絡安全從技術層面的網絡信息系統安全向現實生活層面的信息網絡內容安全延伸的立法意圖。因此，可以將信息網絡內容的合法性與安全性作為本罪的保護法益。一方面，網絡服務提供者需要確保信息網絡內容的合法性，不能導致違法有害信息的傳播；另一方面，網絡服務提供者需要確保信息網絡內容的安全性，既不能泄露不應當披露的用戶信息，還應當確保信息網絡內容不被非法利用。但重要數據安全區別于信息網絡內容的安全，強調的是重要數據本身及數據處理活動的安全，確保其處于有效保護、合法利用的狀態。大數據時代的到來推動互聯網的核心功能實現了由“計算”到“數據處理”的轉型升級，隨著數據的獨立客體地位及保護價值逐漸為法律規范所承認，數據安全成為獨立于信息網絡安全的保護對象，在數據犯罪中確立數據安全的獨立法益地位已成為大多數學者的共識。那么，基于法益對犯罪類型的區分機能，侵害數據安全法益的怠于履行重要數據安全保護義務行為與旨在保護信息網絡內容安全法益的拒不履行信息網絡安全管理義務罪之間存在根本性抵牾，難以在適用邏輯上自洽。

重要數據安全并不僅僅在于技術本身，更在于因數據的開放、流通和應用而導致的各種風險和危機。為規范重要數據處理活動、防范和應對重要數據安全風險，《數據安全法》《網絡數據安全管理條例(征求意見稿)》賦予重要數據的處理者積極性、更為嚴格的重要數據安全保護義務，并且設置了怠于履行相關義務應當承擔刑事責任的條款，但這一不作為行為在現行《刑法》上卻沒有對應的罪名可以適用，不能以犯罪論處，使得數據處理者怠于履行重要數據安全保護義務的刑事責任陷入虛置的困境，也使得重要數據安全刑法保護顯得尤為孱弱。

三、數據處理者居于保證人地位及其承擔刑事作為義務的實質根據

數據處理者因怠于履行重要數據安全保護義務造成實質危害后果而承擔不作為刑事責任，實際上包含著一定的刑事合規要求。由于不作為犯具有違反誡命的特質，法律上特別強調某些要素，行為人必須對于危害結果的發生居于保證人地位，才可能構成不作為犯罪。保證人地位使行為人必須依法承擔防止危害結果發生的作為義務。因此，將數據處理者的某一不作為行為入罪施加刑事責任，必須闡釋其居于保證人地位以及承擔作為義務的實質根據，即從學理上闡釋賦予數據處理者保證人地位及刑事作為義務的正當性，進而通過設置相應的罪刑規范將數據處理者的保證人地位及刑事作為義務法定化。如果數據處理者的刑事作為義務邊界不明晰，可能產生恣意發動刑罰權、隨意出入人罪的法治風險。借助保證人理論可以對數據處理者作為義務的實質來源與具體類型進行教義學闡釋，既為司法機關提供明確的裁判規范，劃定罪與非罪的界限，也為數據處理者提供明確的行為規范，使其知曉可為與不可為的畛域。

德國刑法學者納格勒首次提出“保證人理論”，認為只有負擔著在具有結果發生的現實危險的狀態下必須防止結果發生這一法律義務的保證人實施的不作為，才該當構成要件，即處于保證人地位的人的不作為才符合構成要件。從而將保證人地位及作為義務的判斷納入構成要件該當性階段。其后，阿明·考夫曼繼受了納格勒所提出的保證人地位學說，倡導運用實質考察的方法確定保證人作為義務的來源，為避免保證人義務被無限擴大而提出“功能的二分說”，即根據功能的不同，可以將保證人義務分為危險源監督義務與法益保護義務，前者是針對某一特定危險的保證，其內容乃是監督這一危險，避免其造成法益侵害結果(所謂監督者保證人地位)；后者是保證某一特定利益或數個利益不遭受任意的危險(所謂保護者保證人地位)。“這兩種義務歸根結底是根據是否能夠社會性地期待行為人直接或間接地保護該法益這一標準來決定的，而社會性期待是由行為人的社會角色來決定的。”在此基礎上，有學者提出“行為期待說”，認為某些關系或情況下之所以會產生作為義務，是因為存在某種行為期待：只要一個社會存有規范來規制人們的行為，人們就必須承擔某種對應其處境的社會角色，而從社會角色出發會產生行為期待，指示人們哪些行為是在其所處的社會角色之中被他人所期待的，藉此而得以創造個體之間的合致性，并建立日常生活的安全性和可信賴性，簡化個體在日常生活中遭遇的復雜性。所謂保證人地位，就是行為人在某些情境下，被期待應有特定作為的社會角色。在此種情況下，法益保護強烈依賴于保證人的作為，為特定法益提供保護在社會層面上受到人們的強烈期待。

另有學者提出“結果原因支配說”，認為保證人地位并不能單純從社會角色本身自然確立，保證人概念的核心特征是對出現結果的原因的控制支配，應以行為人是否對發生結果的原因有支配來界定其有無保證人地位及作為義務，進而確定保證人責任的界限。從“結果原因的支配”這一視角出發，結合前述保證人的功能二分說，可以對結果發生的原因的支配分為兩種情形：對危險源的支配和對法益脆弱性的支配。不作為犯中判斷行為人是否負有危險源監督義務或法益保護義務，需要檢視其是否事先已經實際上支配了危險源或者特定脆弱法益。這種控制支配一般來源于兩方面：一是行為人基于自己的意思實施了支配危險源或特定脆弱法益的行為，如科研機構管理放射性同位素與射線裝置、醫院收治生命垂危的交通肇事受害人；二是行為人由于在社會生活中擔任某種社會角色，負責某一社會領域的正常運行，從而產生對該領域的控制支配，如保管員看護單位倉庫存放的財物。由此，可以將數據處理者在重要數據安全管理領域的角色和作用與保證人地位及作為義務的實質根據相匹配、銜接。

筆者傾向于贊同“結果原因支配說”。對結果原因的支配意味著行為人支配了有可能導致結果的危險的原因，“對于具備了‘結果原因的支配’的不作為來說，就能因此肯定其保證人的地位，從而肯定作為義務”。進而根據重要數據是保護對象而非危險源，認定數據處理者居于保護者保證人地位，并負有保護數據安全法益的作為義務，但不能給數據處理者施加超出其作為能力的重要數據安全保護義務。此種保證人地位，基礎在于行為人在自己管轄或控制支配領域，對特定法益負有保護其不受侵害的義務。即對引起法益侵害危險的原因的控制支配是決定義務的要素，賦予作為義務，為的是防護法益免于遭受不法侵害。具體而言，基于數據處理者這一角色定位，其在重要數據處理活動中可以依法自主決定處理目的和處理方式，對于可能引起數據安全事件的數據安全漏洞、缺陷等風險也有能力進行評估、監測、預警、補救和處置，實際上形成對導致數據安全法益侵害危險的原因的控制支配。數據處理者在自己管轄支配的領域有責任保護重要數據安全不受侵害，脆弱的重要數據安全的保護也強烈依賴于數據處理者的作為，而且越來越受到全社會的普遍期待。

數據處理者的行為被評價為刑法上的不作為，僅限于不實施被期待的特定行為，這些為社會所期待的行為一般可以通過罪行規范轉化為類型化的重要數據安全保護義務(刑事作為義務)。著眼于實現不作為犯意義上的保證人義務指引目的，對重要數據安全保護義務進行分類須符合以下兩個標準：其一，義務類型必須與數據處理者的保證人地位之間具有特定的、專屬的關聯性；其二，義務類型必須在確定作為義務與不作為行為的對應關系中發揮作用。根據數據處理者履行作為義務的時間，可以把相關法律、行政法規所規定的重要數據安全保護義務劃分為事前防范義務和事后處置義務，其中事前防范義務體現為要求數據處理者采取相應的管理、技術等措施評估、監測、預警和管控重要數據安全風險，避免發生數據安全事件；事后處置義務體現為要求數據處理者在數據安全事件發生后及時啟動應急響應機制，立即采取處置措施防止危害擴大，消除安全隱患，并如實向有關主管部門報告事件情況。

四、數據處理者怠于履行重要數據安全保護義務的刑事責任及其限度

刑法是規范并維護社會共同生活秩序的最后手段，能夠不使用刑罰而以其他手段也可以達到法益保護目的時，則必須放棄刑罰。秉持“在現有刑法基礎上引入新的規范或者對其進行強化，僅僅在公民沒有保護被侵犯的法益的手段時才能使用”的謙抑理念的前提下，可以嘗試從立法論的角度探討在《刑法》中增設專門罪名規制有能力而拒不履行重要數據安全保護義務行為的必要性、可行性及具體方案，進而審慎確定數據處理者承擔不作為刑事責任的合理邊界。

(一)增設拒不履行重要數據安全保護義務罪

刑法的目的與任務是保護法益，刑事立法上，對于某種社會之生活利益是否應以刑法手段加以保護，莫不以法益概念作為決定的依據。法益保護主義對刑事立法有兩個方面的要求：在通過限制刑事立法確保國民的自由的同時，必須有保護新的法益的刑事立法。這就要求立法者一方面要考慮在社會發展變化后，出現哪些新的重要利益值得刑法保護，因為法益沒有自然法的永恒效力，而是跟隨憲法基礎和社會關系的變遷而變化；另一方面應當根據行為是否嚴重侵犯了值得由刑法來保護的生活利益來確定處罰范圍。即刑法因保護新法益需要增設新罪時，只能將嚴重侵犯法益或者侵犯重要法益的行為規定為犯罪。相較于公民個人信息泄露所造成的危害后果，影響國家安全與公共利益的重要數據一旦遭到泄露、竊取、篡改、毀損、非法使用，可能引起更廣泛、更嚴重的法益侵害。有學者對此指出，“除了虛擬財產以外，大數據時代的其他重要數據顯然已經成為生產資料，成為重要的法益，需要刑法的保護，增加相關的數據犯罪，已經不可避免”。犯罪圈并不是越小越好，之所以科處刑罰，是因為對保護全體國民利益而言存在必要性，刑事立法不能只單純強調限制處罰范圍，而應當強調處罰范圍的合理性、妥當性。換言之，我國刑事立法應當從“限定的處罰”轉向“妥當的處罰”，在新類型的法益侵害明顯增加的情況下，就需要增設新的犯罪。因此，堅持以總體國家安全觀為基礎的消極預防性刑法觀，通過理性增設新罪、合理確定處罰范圍，督促數據處理者切實履行重要數據安全保護義務、強化數據安全法益的刑法保護、防范重要數據安全風險是必要且合理的，亦可以有效化解預防性刑法觀的正當性危機。

近現代國家的刑法分則，一般根據犯罪行為所侵犯的法益內容對犯罪進行分類，進而設置相應的章節。依據怠于履行重要數據安全保護義務行為所侵犯的數據安全法益的公共秩序屬性以及保持罪名體系協調，可以在《刑法》第六章“妨害社會管理秩序罪”第一節“擾亂公共秩序罪”中增設第286條之二“拒不履行重要數據安全保護義務罪”。條文的具體內容如下：

數據處理者不履行法律、行政法規規定的重要數據安全保護義務，經監管部門責令采取改正措施而拒不改正，致使重要數據遭受泄露、竊取、篡改、毀損、非法使用，造成嚴重后果的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金。

單位犯前款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照前款的規定處罰。

有前兩款行為，同時構成其他犯罪的，依照處罰較重的規定定罪處罰。

“刑罰法則，事先將應當保護的法益加以特定，除了行為主體之外，還將侵害法益的手段、方法、行為狀況等規定為構成要件的內容。”前文在論證怠于履行重要數據安全保護義務行為無法適用拒不履行信息網絡安全管理義務罪時已對數據處理者(行為主體)、重要數據(行為對象)等概念的內涵與外延做了詳細闡釋，此處不再贅述。下文將主要圍繞作為義務的形式來源、行政程序性前置條件、實質性危害結果要件等三個方面對拒不履行重要數據安全保護義務罪的性質與內容進行全面分析。

(二)作為義務的形式來源：法律、行政法規的規定

不作為是一個評價問題，唯有從作為義務不履行的意義上對不作為加以界定，才能真正理解不作為的實行行為，就此而言，不作為是指行為人負有實施某種積極行為的特定法律義務，并且能夠履行卻消極地不履行。同拒不履行信息網絡安全管理義務罪一樣，拒不履行重要數據安全保護義務罪是純正不作為犯，即刑法規定只能以不作為形式實施犯罪的情形，以未實施法律所期待實施的一定行為作為構成要件行為。那么，純正不作為犯的作為義務從何而來？“關于真正不作為犯，由于在刑罰法規中明確規定了命令規范，所以作為義務是明確的。”這里的命令規范不是指刑法規范本身，而是指向其他法規范所設定的義務。換言之，應通過列舉作為義務的法律淵源以確定作為義務的根據，即從前置法中尋求作為義務的形式來源。有學者指出，“在純正的不作為的情況下，其他法律規定的作為義務經由刑法確認，在第二義上，純正的不作為的作為義務也可以說是刑法規定的，只不過刑法規定是以其他法律的規定為來源的。在這個意義上，純正不作為的作為義務來源的法律規定具有雙重性。”由此，民法、行政法等前置法明文規定的作為義務升格為刑法法秩序所認定的形式作為義務。拒不履行重要數據安全保護義務罪是數據處理者違反重要數據安全保護義務超出合理注意義務引起的平臺犯罪，首先是違反前置法的行為。需注意的是，不作為型法定犯所違反的前置法的范圍須嚴格遵守相關規定，不可任意擴大至《刑法》第96條“國家規定”以外的規范，否則犯罪圈有過寬之嫌，并可能導致隨意出入人罪。因此，地方性法規、部門規章以及地方政府規章等位階較低的規范性文件不宜作為重要數據安全保護義務的法源，只能以具有全國效力的“法律、行政法規規定的重要數據安全保護義務”作為拒不履行重要數據安全保護義務罪的作為義務的形式來源。

純正不作為犯將不作為當作明示的構成要件要素由刑法直接加以規定，對不作為成立犯罪的條件在條文上明確規定，“這種場合，犯罪類型自身事先明確規定了應當做什么，因此，在解釋上，并不成為問題。只是在行政刑法的領域，有將真正不作為犯和作為犯一樣無原則地廣泛處罰的傾向，這存在疑問”。拒不履行數據安全保護義務罪的構成要件在表述上并未明確說明重要數據安全保護義務的具體內容，而是以空白罪狀的方式規定數據處理者的作為義務。因此，刑事司法實踐中在認定數據處理者是否有怠于履行重要數據安全保護義務的行為時，需要援引法律、行政法規的相關規定。具體而言，著眼于建立健全全流程數據安全管理制度，防范針對和利用重要數據的違法犯罪活動，《數據安全法》《網絡數據安全管理條例(征求意見稿)》等法律、行政法規要求重要數據的處理者承擔八項作為義務：一，明確數據安全負責人，成立數據安全管理機構；二，識別重要數據后向設區的市級網信部門備案；三，制定數據安全培訓計劃，組織開展全員數據安全教育培訓；四，優先采購安全可信的網絡產品和服務；五，定期開展數據安全風險評估，并向設區的市級網信部門報送風險評估報告；六，共享、交易、委托處理重要數據應當征得設區的市級及以上主管部門同意，向境外提供重要數據應申報網絡安全審查；七，發現數據安全缺陷、漏洞等風險時，立即采取補救措施；八，發生數據安全事件時，立即采取處置措施，并按規定及時向主管部門報告。梳理和闡明重要數據安全保護義務具體內容的意義在于，通過對構成要件要素的解釋來劃定刑法的處罰范圍，厘清重要數據的處理者承擔不作為刑事責任的邊界，并為其開展重要數據處理活動提供明確的合規指引。

(三)行政程序性前置條件：經監管部門責令改正

拒不履行重要數據安全保護義務罪是一個典型的義務犯，其實質根據在于對行為人所承擔的社會角色和規范義務的違反，其不法內涵是通過特定的不履行積極行為義務表現出來的，而且是“更嚴格”的義務犯，其“義務”內容具有雙層次的特點：第一層次義務是行政義務，即“法律、行政法規規定的重要數據安全保護義務”；第二層次是刑事義務，即“經監管部門責令采取改正措施”。兩者在邏輯上是一種遞進關系，只有在行為人已經違反第一層次義務的前提下，進一步違反第二層次義務時，其行為才可能受到刑法的評價，因而本罪的刑事可罰性落腳于后者。刑法中絕大多數義務犯都沒有第二層次義務的要求，在本罪為重要數據的處理者特別設計了不同于一般義務犯的入罪標準，主要是考慮：其一，在立法中平衡政府職能部門對于重要數據安全的監管職責與數據處理者的重要數據安全保護義務，避免過分增加數據處理者的法律負擔；其二，在行為人不履行作為義務的基礎上，置入前置程序可以在行政責任與刑事責任之間設立緩沖區，對刑事處罰的范圍進行必要的限制，體現刑法的謙抑性。《刑法》中與之相類似的“責令改正”表述還有消防責任事故罪中“經消防監督機構通知采取改正措施而拒絕執行”；拒不支付勞動報酬罪中“經政府有關部門責令支付仍不支付”；巨額財產來源不明罪中“可以責令該國家工作人員說明來源，不能說明來源的，差額部分以非法所得論”。易言之，數據處理者單純不履行法律、行政法規規定的重要數據安全保護義務尚不足以構成刑法意義上的犯罪，還須符合“經監管部門責令采取改正措施而拒不改正”這一行政程序性前置條件，這是追究平臺刑事責任的前提。有學者將之稱為“程序性構成要件要素”，其特點是立法機關為限制刑事處罰范圍給予被告人一次出罪的機會，即在有關機關或他人提出某種程序性要求時，被告人仍不作為，從而失去了出罪的機會。程序性構成要件要素具有雙重功能：從實體功能來看，有利于判斷犯罪是否成立及確定處罰范圍；從訴訟功能來看，可以有效降低構成要素的證明難度，使個罪構成要件主觀要素在實踐上更加容易認定。在司法實踐中認定“經監管部門責令采取改正措施而拒不改正”，應當綜合考慮監管部門責令改正是否具有法律、行政法規依據，改正措施及期限要求是否明確、合理，數據處理者是否具有按照要求采取改正措施的能力等因素進行綜合判斷。

“責令改正”在法律性質上屬于行政機關依照職權要求行政違法相對人停止并糾正違法行為的一種具有執行力的行政命令。通過監管部門發出的通知或指令，數據處理者明確知悉自己的行為已經違反法律、行政法規的規定以及接下來需要采取哪些改正措施。如此，重要數據安全保護義務不再是抽象的法定義務，而是具體到某個特定的數據處理者身上的作為義務。有權“責令采取改正措施”的主體僅限于法律、行政法規賦予數據安全監管職責的部門，監管部門只能在其法定職權的范圍內就法定的監管內容向數據處理者提出采取改正措施的要求，并以文書形式送達。就義務類型而言，“采取改正措施”是一種配合義務，如果數據處理者在怠于履行重要數據安全保護義務之后不聽從監管部門的告誡性命令及時予以改正，而是繼續不作為，即是對行政命令的故意不服從或公然違抗，使得不法程度明顯升高、主觀惡性較大，將導致自上而下的數據安全管理失靈。簡言之，數據處理者經監管部門責令改正之后依然不作為，很大程度上承擔的是一種不配合責任。基于法定犯存在“法益性的欠缺”這一先天不足，對于妨害數據安全管理秩序的法定犯，不宜單純因為對規范的不服從就認定為犯罪，必須轉化為實質危害。此外，拒不履行重要數據安全保護義務罪的主觀罪過為故意，數據處理者只有對不履行法律、行政法規規定的重要數據安全保護義務有認識且拒不遵照監管部門的責令改正通知執行，才有被追究不作為責任的可能性，出于過失的行為不應承擔刑事責任。

(四)實質性危害結果要件：發生數據安全事件且造成嚴重后果

隨著步入以數據為關鍵生產要素的數字經濟時代，重要數據的收集、存儲、流轉、加工、使用等處理活動日漸頻繁且規模不斷擴大。數據密集型活動的流動性和復雜性既使得傳統的數據安全風險大幅增加，也引發了新型的數據安全風險和挑戰。既往事后懲治非法獲取、破壞重要數據行為與單方面追究竊取者、破壞者刑事責任的數據安全刑法保護策略的有效性降低。基于此種背景，必須雙管齊下，夯實數據處理者的法律責任，事前防范針對和利用重要數據的違法犯罪活動。從完善數據安全刑法保護體系、增強數據安全刑法保護力度出發，增設的拒不履行重要數據安全保護義務罪應以危害結果為構成要件要素，賦予數據處理者結果回避義務，即發現數據安全缺陷、漏洞等風險時，立即采取補救措施，消除安全隱患，避免發生數據安全事件，或者一旦發生數據安全事件及時采取處置措施防止危害擴大，從源頭保障數據安全。如果數據處理者怠于履行結果回避義務，將承擔構成要件該當結果的刑事責任。

數據安全涉及有效保護與合法利用兩個面向，《數據安全法》強調“國家統籌發展和安全，堅持以數據開發利用和產業發展促進數據安全，以數據安全保障數據開發利用和產業發展”，《網絡數據安全管理條例(征求意見稿)》進一步提出“堅持促進數據開發利用與保障數據安全并重”的基本原則，要求“加強數據安全防護能力建設，保障數據依法有序自由流動，促進數據依法合理有效利用”。因此，廣義的數據安全的內涵不僅包括靜態安全還包括動態安全，前者表現為數據自身的安全，基本要素是數據的保密性、完整性、可用性，重點防控的是重要數據泄露或者被竊取、篡改、毀損等不法行為，后者表現為數據利用的安全，強調數據挖掘分析、聚合應用等處理活動的正當性和可控性，重點防范的是非法使用重要數據的行為。因此，在數據本身及數據處理活動同時面臨犯罪侵害風險的現實情況下，拒不履行重要數據安全保護義務罪在條文設計上應兼顧靜態數據安全與動態數據安全，并對構成要件結果作類型性地描述、具備適當的涵攝范圍，“既不能按照現實發生的個別案件詳盡描述構成要件，也不能單純使用抽象的概念，而是要將構成要件描述為可以與具體案件相比較的類型”。

發生數據安全事件意味著數據安全受到威脅，但并不一定產生刑事可罰性，只有在法益侵害達到實質危害的程度時才能構成犯罪，即基于危害原則判斷犯罪是否成立，為國家刑罰權劃定明確的界限，避免過度犯罪化。只有為了防止重大危害或過于邪惡的犯罪行為時，施加刑事責任才具有正當性。追究數據處理者的刑事責任應重視對后果危害性的綜合考量，以侵犯數據安全管理秩序的行為是否具有現實危害性或者緊迫的現實危險性為定罪標準。因為如果刑法的處罰范圍過于寬泛，則會使較多人的利益受到剝奪，這本身就違反刑法的保護法益的目的。應從實質上判斷是否侵害或者威脅法益，是否具有處以刑罰的必要性和合理性，以便實現刑法的法益保護目的，從而將危害輕微的情形除罪化，合理限定犯罪圈，為數字空間的刑事處罰確立真實的判斷基準，使數據安全犯罪的治理盡量恪守罪刑法定的實質側面。因此，拒不履行重要數據安全保護義務罪以“造成嚴重后果”為構成要件要素，屬于典型的結果犯。在這種犯罪中，法定的危害結果是否發生是區分罪與非罪的標志，數據處理者所承擔的是一種結果責任，有助于避免陷入“行為一經實施即構成犯罪”的無邊界刑法的困境，也為司法實踐中數據安全犯罪的實質出罪留下足夠的空間。重要數據一旦遭到泄露、竊取、篡改、毀損、非法利用，可能產生危害國家安全、公共利益的后果。刑法對重要數據所承載的國家安全與公共利益的保護不能過于空虛，必須具體化為“造成嚴重后果”的認定標準，將來制定司法解釋可以根據重要數據的類型分別設置數量標準，還可以設定重大經濟損失的數額標準以及擾亂社會秩序的程度標準等。

綜上所述，拒不履行重要數據安全保護義務罪兼具法定犯、純正不作為犯、義務犯、結果犯等多重屬性。該罪的構成要件應與《數據安全法》《網絡數據安全管理條例(征求意見稿)》等前置法的規定有效銜接，在恪守比例原則的基礎上兼顧預防性與回應性，既能類型化地預防潛在的重要數據安全風險，又可以填補既往數據安全犯罪的立法漏洞。該罪的構成要件要素在為犯罪規制提供基礎的同時，也限定了犯罪的成立，從而合理劃定數據處理者因怠于履行重要數據安全保護義務而承擔刑事責任的范圍。