杨浦检察 青浦检察联合课题组｜数据安全法实施与检察职能发挥

随着数字经济成为世界经济发展的新动力，针对数据的新型犯罪不断增加，同时传统的犯罪类型也借助新型技术不断形成新的变种，在侵犯数据权益的同时，对社会公共利益乃至国家安全也造成严重威胁。数据安全法益具有多重属性，侵犯数据安全可能构成多种犯罪。应当全链条打击数据安全犯罪，引入民事公益诉讼、行政公益诉讼保护个人信息安全，充分运用数据合规制度提升各类主体的数据安全水平。检察机关应当在做好自身数据安全管理的前提下，分类分级管理司法数据，并运用大数据技术提升法律监督能力，为数据安全工作贡献检察智慧。

近年来，我国对信息数据安全的法律保障主要通过对计算机信息系统安全运行或对个人信息保护加以实现，数据安全法益未得到重视。而随着相关法律的陆续出台标志着我国在数据网络安全方面的基本法律屏障已经形成，多部法律间各有侧重又互相弥补。而检察机关作为法律监督机关，是建设社会主义法治国家的重要部分。新时代的检察机关必须与时俱进，利用数据为自身赋能，承担起数据治理的职能，为法治保护下的数字经济贡献检察力量与检察智慧。

一、发挥检察职能维护数据安全的必要性

如今的社会和过去相比，最大的改变就是人们的日常生活已经离不开网络了，衣食住行几乎全被网络所覆盖，但同时网络也被一些不法分子用于违法犯罪的活动，电信诈骗、骚扰短信、博人眼球的谣言等。根据互联网违法和不良信息举报中心的数据，2022年1至6月份的相关举报相较于去年同时期均有不同程度的上涨，且总量维持在一个相当高的水平。网络安全问题急需被解决。

随着网络安全法、数据安全法、个人信息保护法相继生效，我国关于网络与数据安全的法律保护体系已经基本建成。

而网络安全与数据安全相互交织的，从国外的立法现状看，主要是将重要数据的安全依托于保护网络安全的方式进行保护，对于个人数据安全则作为个人信息加以保护。而不是对数据加以独立的保护。我国网络安全法第76条第2款明确了“网络安全”的内涵，网络安全必须同时兼顾网络本身的正常运行以及其所“经手”数据的完整可用与安全。空间安全、数据安全是网络安全的两大基石，空间安全与数据安全互为表里，空间安全实际上就是动态的数据安全，静态的空间安全也同样等同于数据安全。

数字经济已体现为当今世界经济发展的原动力。与传统经济相对比，数字经济的发展颠覆了传统的资本积累方式，为我国社会主义现代化发展提供了另一条赛道。在数字经济时代，数据作为一种新兴的生产要素应运而生。在传统经济的要素以外，数据凭借其特有的、低成本、可复制性、多人共享等优势突破了传统企业发展壁垒，推动走出“零和”发展的局限，实现双赢、共赢。

而伴随着数据量的高速增长，数据安全风险敞口也在同步激增。境内外数据泄露事件层出不穷，国内有某出行App存在严重违法违规收集使用个人信息问题并下架，国外有印度软件MobiKwik因遭黑客攻击泄露上亿用户的资料，美国社交软件Facebook系统漏洞泄露超过5.33亿用户的个人信息。

数据安全在广泛地引发思考与重视。数据在数字经济中是最基础的要素，数据的不安全势必影响数字经济的平稳发展。世界各地也加速针对数据保护出台相关法律。2018年，欧盟发布通用数据保护条例，2022年6月，美国也发布了美国数据隐私和保护法案草案。数字经济想要腾飞，必须要打下坚实的基础，而这基础就是数据安全。

数据安全法第4条、第5条高屋建瓴地指出应当以国家整体安全为保护对象，并以此为基础建立起坚固的数据护城河并首次将数据安全全局决策统筹工作升格至中央国家安全领导机构，规定了数据安全实现最高层级的决策。从这一点，也不难看出数据安全法的立法价值之一就是以数据安全为手段，保护国家安全。

如上所述数据已成为重要的国家战略资源。大数据时代，如何充分挖掘数据资源的潜力影响着国际竞争和话语权。数据承载着重要的国家安全信息。看似无用的数据经过分析梳理，便可以推导出国家金融、尖端科技、国防等各个行业的前沿动态。

基于此，美国率先意识到了高风险敏感数据背后所隐藏着的国家安全风险，并将高该类风险敏感数据归类于“敏感个人数据”，以对个人数据保护的名义将其纳入了外资安全审查之中。

为贯彻国家总体安全观的要求，落实国家安全审查和网络安全审查相关规定，数据安全法亦配套有安全审查制度，其中规定对一些可能涉及国家安全的重点数据国家安全审查。

数据安全法第52条第2款在制度设计上，就已经对可能涉及行政处罚与刑事犯罪的问题做了制度上的对接，形成了行刑衔接的闭环。而在四大检察中，刑事检察作为检察机关的核心职能、中枢业务，集指控犯罪和诉讼监督两大业务于一身，全流程参与了刑事诉讼，则责无旁贷的需要对违反数据安全的犯罪行为承担起相应的责任。

在宏观层面，通过刑事政策指导具体司法活动的形式，满足公众的数据安全诉求。“少捕慎诉慎押”的刑事政策已经得到了验证，这就是在我国犯罪罪名发生严重结构性变化的情况下，提出的科学且行之有效的刑事政策。数字社会下的人民群众的需求是多元化的，数据创新与安全是不可偏废的，故也需要相应的符合数字经济社会规律的刑事政策加以指导。

在微观层面可以在以下方面通过刑事手段对数据的保护。在罪与非罪间，检察机关可以通过与法院、公安合作或单独发布政策意见、典型案例，进行核准追诉以及个案裁量等方式，把握入罪门槛，在规制数据相关犯罪的追诉标准方面体现对数据的保护。检察机关也可以通过对类案统一证据标准，引导侦查取证活动，保证对于数据犯罪的精准打击。而且，数据犯罪作为新类型的案件，一经发现往往是疑难复杂案件，检察机关可以通过介入侦查引导取证等方式，在准确认定案件性质的基础上、研判侦查方向、围绕指控罪名精准提出取证要求，全面打击数据犯罪，从而保证数据安全。

检察机关是法律监督机关，是建设社会主义法治国家的重要部分，而现代社会治理的基本方式就是法治。检察机关不能就案办案，埋头办案，更要抬头望望外面的世界，将案件办理融入社会治理，注重诉源治理、标本兼治。根据人民检察院组织法规定，检察机关依法履职就是为了通过维护国家安全和社会秩序的方式达到维护国家利益、社会公共利益。这也就意味着，检察机关的履职方向与社会治理任务的目标是天然一致的。在办理案件的过程，惩治罪犯、化解冲突，营造安全稳定的社会环境；在履行监督职能过程中，促进行政机关严格执法、监督法院公正司法；以办案为起点，参与社会治理，对根源性问题研究共性与个性，形成检察方案；在开端推动相关领域立法，在终端重视普法宣传等。

检察机关在数据安全监管上具有先天性的优势。相较于公安机关以追诉犯罪为唯一的目标的单一追求，检察机关超脱于其中，自带有客观中立性，从而避免监督工作失效的风险。检察机关对刑事司法领域的个人信息保护问题具有全景视角，能从更大更广的图景看待刑事司法领域的数据保护问题。

二、数据安全法益视角下的数据犯罪

如上文所述，就数据本身而言，一种数据行为也很可能涉及多层次的数据安全，这也就必然导致数据安全背后隐含着不同的法益属性，数据安全的法益保护也具有多元性，这在不同立法背景下有着鲜明的体现。

以个人数据为例，第一，在个人数据之上有本人利益，个人信息保护法也是源起于对个人权利的关注。个人天然的具有保护其社会身份隐蔽性和自主性的冲动。第二，个人数据上个人相关者利益。人很难脱离社会而单独存在。作为独立个体，每天都在利用各种方式开展与其他个体的交流，形成信息交换。第三，个人数据的应用关系着社会整体利益。通过对在网络上大量看似无序的数据按照一定顺序整理排列，加以分析。以详实的数据为基础可以提升社会决策的正确性与效率，提升社会整体效能。第四，作为一种特殊的公共利益，国家安全利益也与个人数据相关联。大数据作为基础战略性资源，数据资源的争夺成为国际政治竞争的重要内容，与数据进出境的流动相关的控制也成为国际交流间的热点之一。上述利益转换为刑法法益还存在两个问题，一是平衡集体法益和个人法益，集体法益保护的重心在于安全；个人法益保护的重心在于不束缚。制度设计者应在不同利益间作出取舍，使其最终所体现价值取向能在兼顾多方面利益形成一种平衡，从而保证数据安全利益的多元化保护。二是作为最严厉的部门法，刑法必须保持谦抑性。对数据进行处理的行为必须是确实有严重危害后果才可能在刑法规制范围内，并以危害后果大小为基础确定是否需要追究刑事责任以及认定的责任大小，确保核心的数据法益得到保护的同时不会肆意扩张。

除网络安全法、数据安全法、个人信息保护法外，国家安全法、保守国家秘密法、密码法等法律也可以进行查漏补缺，以其独特的视角将上述信息加以保护。正因为此，在不同的前置法律法规，也必然有侧重的法益保护的倾向。在个人信息保护法中，侧重于知情权、同意权等侧重于个人自由的权利被作为重点保护的法益，但该法益在数据安全法、网络安全法中居于相对次要的法益地位。因此，在刑法上的某种数据法益进行认定时，必须要准确认定前置法律。从统一的法律体系下，面对具体的问题，在解决法益认定的问题中，应当将立法参照系作全面考虑，以更高的视角考虑问题，并加以对比和衡量，根据具体情况的相关度，以最为相关的法律法规为基础进行比照，其他相关法律法规及行业规范则作为补充。例如，对于刑法第253条之一中“违反国家有关规定”的认定，可以结合网络安全法第4章的相关规定进行把握。根据该章第41条的规定，“违反双方约定”获取的公民个人信息也属于非法获取，从而符合253条之一的客观构成要件，这同时保护了作为信息主体的人的人格权益和数据自身安全。

从我国立法发展看，我国刑法对数据的保护，也是围绕着对计算机信息系统犯罪的规制展开的。1997年刑法设立了非法侵入计算机信息系统罪与破坏计算机信息系统罪，经刑法修正案（七）、刑法修正案（九）的修正，可以说我国的计算机系统犯罪规制框架已经基本搭建完成。客观上部分实现了以打击网络数据犯罪为名行保护网络数据安全之实。

然而随着信息技术的革命与数据技术的迭代更新，时至今日，数据的外延范围已经远非计算机信息系统可比。数据爆炸背景下的网络数据已经不满足受限于计算机信息系统，更发展出痕迹信息数据等，无法将其归类于计算机信息系统数据的范畴之内。在实践中，如相关数据与个人信息直接相关，往往以侵犯公民个人信息罪加以规制。以此种方式对数据进行保护，形成实质上的周延，但如不加以限制可能会导致数据犯罪罪名的滥用。

根据我国现行刑法的规定，单纯的非法获取信息数据的行为可能构成多个罪名，包括第219条、第253条之一、第282条等。对应于市场秩序、公民权利、国家安全、等在内的数据信息予以不同程度的类型化保护，形成了一套以数据信息法益保护为核心的罪名体系。

就具体的行为，如行为人非法获取计算机信息系统中的数据，其行为同时触犯刑法第285条或253条之一，属于法条竞合，应按照“特别法优于普通法”的原则处理。但究竟何种罪名属于“特别法”的规定，选择适用何种罪名，应当以相关前置法作为参照。在实际的司法认定中，应当首先以个人信息保护法、数据安全法、网络安全法为参照系，识别和判断该行为所侵犯的法益的性质及危害程度。如果以个人信息保护法为参照，从个人信息权益保护角度看，非法获取计算机信息系统数据罪属于“特别法”规定的罪名；如果以网络安全法、数据安全法为参照，从计算机信息系统安全保护的角度看，侵犯公民个人信息罪则为“特别法”规定的罪名。

三、数据安全法下的检察职能发挥路径

相较于传统的破坏性地获取数据型犯罪，在大数据时代，行为人完全可以通过碎片化的信息拼凑、计算出目标数据，甚至还原出个人的人格，例如根据用户上网、购物、居住地址等信息制作用户画像，来实现精准的广告投送。对于数据收集过程中的这类行为，不能一概禁止，毕竟，在数字经济时代，数据的创造、流通及获取是创造数据价值的必要前提。如果刑法在数据收集、数据流通环节过于严苛，则会抑制互联网、人工智能等企业的活力，甚至阻碍数字经济的创新与发展。此外，以上涉及的数据获取行为无法单纯发挥效果，往往需要运用人工智能等技术进行筛选、分析、过滤等环节，才能得到有用的信息。因此，大数据时代的数据收集、获取环节的社会危害性比较有限，在对违反行政法规、刑事法律规定的数据收集行为进行审查的时候，要采取审慎态度，避免机械、片面地理解和执行法律法规。

数据存储过程中的犯罪行为主要表现为删除、修改、增加等破坏行为，后果严重的，构成破坏计算机信息系统罪。数据犯罪侵害的法益具有多元化的特点，如计算机系统安全、个人信息安全、国家安全、商业秘密等。但是，行为人利用人工智能等大数据技术实施破坏性的数据犯罪，在行为本质上与传统的数据破坏性犯罪并区别，至于侵害的范围、影响的程度只需要作为量刑情节来考虑，不影响行为的定性。如果同时构成其他犯罪，则按照想象竞合犯择一重罪处理即可。

从司法实践来看，数据利用环节的犯罪主要是行为人利用职务或其他特定身份实施犯罪，这类人接触的各类数据呈现总量大、重要程度高、涉及面广等特点，如学生高考信息、公民身份信息等数据。数据利用阶段的犯罪行为人往往与具有特定身份的人相互勾结，出售大量个人信息等数据，为电信诈骗等下游犯罪提供资源。另一方面，人工智能等大数据技术的广泛应用使个人隐私、国家安全、商业秘密等数据处于更加脆弱的状态。行为人通过用户画像等手段可以精准预测个人的行为习惯，甚至国家重要机关的人员构成、出行规律等信息，给国家安全带来威胁。如打车软件、地图软件运用海量数据分析的出行数据、重要基础设施、军事机关位置等信息。因此，对这类数据利用过程中的犯罪造成的社会危害性不容小觑，应当从严治理。

在这个数字经济日新月异，大数据技术蓬勃发展的时代，个人信息保护的公益性特征越来越突出。个体在信息数据的保护层面缺乏有力的工具与动力，私益诉讼旷日持久、举证困难、成本高昂迫使众多被侵权人成为沉默的大多数，刑事法律打击范围有限无法兼顾各种类型、程度的数据违法犯罪，这种局面又进一步助长了个人信息等数据侵权乱象。个人信息保护法为个人信息保护公益诉讼提供了法律依据，与英雄烈士人格利益、未成年人利益均属于民事公益诉讼“等”外领域的积极尝试。

而司法实践上也早已进行了相关探索，积累了一批具有参照意义的典型案例。例如2018年以来，上海市检察机关公益诉讼检察部门成立专案组，就个人信息收集、使用方面的问题调查分析近30款App，对其中存在违法收集使用个人信息的情况进行监督，运用诉前检察建议等方式督促相关科技公司完善用户隐私政策文本、完善个人信息保护机制。与此同时，上海检察机关在办理侵犯公民个人信息罪的时候，对于存在普遍侵害公民个人信息的行为，还会以刑事附带民事公益诉讼的方式起诉相关主体，全方位保护公民个人信息。

运用行政公益诉讼制度保护公民个人信息具有理论上的必要性与合理性。大数据时代，网络经营者大规模收集、分析与应用海量的个人信息，这些个人信息数据涉及范围广、类型多样，经过提取、整合、过滤以后被用于不同的场景，可以说每一个人的信息都逃不过这个过程。与此同时，行政机关自身也掌握了海量的公民信息，以及各种医疗卫生、交通运行、社会保障等领域的个人信息，行政机关各部门也对各自分管的领域负有监督管理职责。在这种情况下，收集、存储、利用不特定的个人信息数据实际上已经具备了公共利益的属性，可以引入行政公益诉讼来督促相关部门依法履行职责，保护公民个人信息不受侵犯，做好个人信息的安全保障工作。

具体到司法实践中，可以从以下几方面做好行政公益诉讼的制度构建。首先，可以通过司法解释将行政公益诉讼案件范围拓展至个人信息保护领域，并规定启动行政公益诉讼的条件。其次，应扩展“在履行职责中”发现线索的外延，将网络运营者、个人的举报、提供的线索等方式纳入行政公益诉讼启动的条件。再次，应将“间接损失”作为起诉的判断标准，适度放款行政诉讼法关于“侵害”状态在个人信息保护领域的认定。最后，应当积极运用诉前程序督促行政机关主动加强对于网络经营者的监督管理，及时处置违法收集、适用个人信息的行为。

数据合规，是指企业及其员工的经营管理行为符合个人信息保护、网络安全、数据安全等法律法规的要求。数据合归属于企业专项合规的一个重要类型，重点研究企业主体如何在经营活动中确保各类数据的全生命周期处理活动符合合规要求。数据合规对于企业、个人、社会均具有重要意义。一是帮助企业防范法律风险，或者在发生法律风险时减轻、免除企业责任，从而实现企业的可持续发展。二是避免个人信息等遭受不合理甚至违法泄露、滥用。数据泄漏和滥用严重威胁个人权益、财产安全甚至生命健康。避免企业滥用用户信息，促进企业依法合理使用个人数据，对于保护个人隐私和保障消费者权益具有重要意义。三是规范数字经济发展轨道，推动数字经济蓬勃发展。强化企业数据安全责任，维护好用户数据权益及隐私权，有助于提高数据共享意愿，最终推动数字经济走向繁荣。

数据合规计划的内涵可以总结为企业为预防涉及数据犯罪、发现数据犯罪而主动制定、实施的自我管理和约束机制，这种机制在员工或者企业涉罪时可以作为抗辩理由来减轻或者避免刑事责任。其本质上是一种广泛的预防措施，可以预测、检查并遏制任何潜在的犯罪活动。2021年可以称之为数据合规计划的元年。在立法层面，数据安全法、个人信息保护法陆续颁布实施，与网络安全法共同构成了我国数据法规的基本体系。在执法层面，滴滴、阿里等违反数据法规案例等均引起了社会的广泛关注，以个人信息滥用为主要诟病的数据风险事件屡禁不止也引发了舆论对于数据合规的热烈讨论。

第一，企业数据合规管理体系的组织架构。企业数据合规指引认为，企业的最高管理者是数据合规的第一责任人。最高管理者应当承担以下职责：分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系；确保建立举报数据违规的有效机制；确保战略和运营目标与履行数据合规义务之间的一致性；确保将数据合规落实情况和效果纳入企业内部人员绩效考核体系。具体负责数据合规工作的是数据合规部。一般由董事会直接设立企业合规部门，下设数据合规管理部门等各类专业合规部门。数据合规管理部门直接负责监督管理企业在生产经营活动中进行的数据处理活动。鼓励各类企业设置专门的数据合规管理部门，或者将数据合规管理职能融入现有的企业合规管理体系。并且应当向数据合规管理部门负责人提供足够的授权、人力、财力来支持数据合规管理体系的运行。数据合规部门负责人应结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划，并且应积极与数据监管部门建立沟通渠道，了解数据监管部门期望的数据合规体系，并制定符合其要求的数据合规制度。

第二，企业数据合规管理体系的运行机制。企业建立数据合规管理架构以后，可以按照指引提出的咨询、发现、举报、激励和纪律、培训与承诺以及合规文化的培育等内容来运行数据合规管理体系。咨询的内涵是管理层和各部门员工可以向数据合规管理部门咨询数据合规问题。数据合规管理部门应当不断学习、提升合规管理水平，也可以同外部机构开展数据合规咨询合作。发现的内涵是数据合规管理部门通过日常监测和定期评估发现数据不合规行为的机制，可以通过设置日常的流程监控、内部审核、重点核查以及定期评等方式发现企业及员工的违规行为，并及时按照合规计划采取相应的处置措施。举报的内涵是员工根据合规计划举报企业内部违规行为的机制，应当允许员工实名或者匿名通过内部举报系统举报数据违规行为，并严格保护实名举报者和匿名举报者不受打击和报复，尤其是保护匿名举报者的个人信息安全。激励和纪律的内涵是企业应当建立数据合规考核机制，数据合规考核结果作为企业绩效考核的重要依据，与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩，对于不严格执行甚至违反合规计划的管理层和员工，采取适当的纪律措施进行惩戒，并根据违规程度采取不同的风险处置措施。培训与承诺的内涵是数据合规管理部门应当建立培训机制，定期为管理层、员工培训数据合规，使其充分了解数据法规、数据合规计划、岗位角色与职责等。鼓励企业管理层和其他员工作出并履行明确、公开的数据合规承诺，内容主要是知悉、愿意遵守数据合规计划，愿意承担违反数据合规承诺的后果。文化培育的内涵是鼓励企业将数据合规文化作为企业文化建设的重要内容，践行合规经营的价值观，不断增强员工的数据合规意识。鼓励行业协会在本行业内积极倡导数据合规文化，强化行业的数据合规意识。

第三，企业数据风险的识别与评估处置。准确识别数据风险。企业合规指引指出，企业在制定合规计划的时候应当全面识别所面临的数据风险，根据这些风险来制定和完善合规计划。数据风险无处不在，例如，数据处理者在采用网络爬虫等自动化工具访问、收集数据时，应当评估对网络服务的性能、功能带来的影响，不得干扰网络服务的正常功能；数据处理者处理个人信息，应当依据个人信息保护法的规定遵守八项规则，并在特定情况下删除个人信息或者进行匿名化处理；企业在应用程序开发和运营过程中使用第三方软件开发工具包时，应当通过合同等形式明确第三方的数据安全责任义务，并督促第三方加强数据安全管理，采取必要的数据安全保护措施。企业可以使用经相关部门审核合规的开源软件开发工具包进行程序开发活动，不得使用风险不可控的开源软件开发工具包等工具。此外，指引还特别对数据刑事风险进行了提示。数据处理者在数据处理活动中可能因为非法获取公民个人信息、非法获取计算机信息系统数据、侵犯商业秘密等被追究刑事责任。

充分评估与合理处置数据风险。企业在识别数据风险内容的基础上，可根据自身经营规模、组织体系、业务内容以及市场环境，分析和评估数据风险的来源、发生的可能性、后果的严重性等，并对数据风险进行分级。数据合规部门负责人应当根据风险评估结果对不同职级、不同工作范围的管理层与员工进行风险提示，降低管理层和员工的违法犯罪风险。企业应当定期测试数据风险识别与评估的有效性，重点关注企业特定业务范围内最有可能发生的数据安全事件，并根据识别与评估结果及时修订数据合规计划。一旦发生个人信息等数据泄露、篡改、丢失等事件的，企业应当立即采取补救措施，并通知所在地区的数据监管部门。安全事件涉嫌犯罪的，应当及时向公安机关报案。

四、以数据安全护航数据赋能建设

检察业务数据的安全管理不仅是一个技术问题，也是一个业务问题。技术手段的更新实际需要人的意识跟进。从技术角度，目前的数据管理存在几个问题：一是以保密代安全。数据保密范围不能无限放大，不能以为做到了数据保密就达到了数据安全，同时也不能以保密为由阻碍数据的共享。在如何处理数据安全与数据保密的关系问题上，比如检察工作网的运用。检察工作网是外网，上海检察是全国第一家运用检察工作网的省级单位，这也是上海检察机关为促进检察数据的开放、共享铺垫的渠道。再如以技术保障促进律师阅卷、数据公开等数据共享工作推进。二是目前存在数据缺乏分类分级管理、安全管理责任不明的问题。虽然检察统一办案软件分权限管控，有的地方甚至使用了生物指纹识别，但数据对外共享一定程度存在管理缺位。人员管理方面，还存在内部运维人员直接接触核心数据的问题。现在主要依靠签署保密协议、责任到人的手段进行管控。三是数据制度规范措施，包括与政务云的一些衔接机制、应急处理机制有待进一步探索。如何在保障安全的前提下有效应用业务数据，上海检察机关将从这三方面展开探索：一是促进办案意识的数据化，改变传统的办案模式。现阶段数据治理、智慧控申、超级案卡、数字检务等项目建设在全市的普及还不高。二是业务技术双融合。市院正在推进全流程在线全息办案体系建设，把我们所有的办案行为、办案节点同步数字化，确保数据可靠、准确。三是守好安全防护底线，做好分类分级管理等。

加强检察业务数据管理应用是一个大的趋势，实现检察数据上下联动，内外连通，对内盘活检察已有数据，同时实现向外扩展，融入“一网通办”“一网统管”两网体系是上海检察机关努力的目标。最高检去年就出台了业务数据管理规定，上海检察机关现在也在根据最高检的规定进一步细化本市的实施细则，以便于全市业务数据能够更好地管理和应用。基于数据安全法分类分级的保护要求，检察机关具有天然优势。因为统一业务应用系统各个数据、案卡、流程之间的逻辑关系本质上就是一个分类。金融行业的国标分类和检察办案系统中的数据管理分类其实是一样的，目前比较缺的是数据分级。对数据分级可能是后续数据管理和应用需要首先解决的问题。在人的管理方面，内设机构改革后，一些业务部门办理犯罪类型的调整使得承办人不同时期办理的案件类型存在混乱和交叉，这是目前管理上需要解决的问题。对于检察业务数据下放的问题。比如全市数据下放给基层院后，基层院谁来使用，需要负什么样的责任，都是亟须解决的问题。

今年11月2日，杭州市人大常委会表决通过了全国首个《关于推进数字检察加强新时代法律监督工作的决定》（以下简称《决定》）。该《决定》肯定并巩固了当前杭州特色数字检察工作的优秀成果，规定了建好检察大数据平台，完善数据共享和场景建设，确保数据安全等数字检察重点内容。《决定》第3条和第6条分别对数据共享与数据安全进行了具体规定。

《决定》第3条规定，全市检察机关要“推动打通执法司法信息数据壁垒，率先实现检察机关与行政执法机关、公安机关、审判机关、刑罚执行机关、社区矫正机构等的执法司法信息共享。要加快建设检察大数据法律监督平台，进一步深化大数据技术法律监督在国土资源保护、社保基金管理、法治化营商环境优化、特定行业准入、犯罪嫌疑人非羁押强制措施适用等方面的应用”。这一规定是对数据共享的集中具体规定。《决定》第6条规定，“全市检察机关开展数字检察工作需要收集、使用数据，要在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、涉密商务信息等数据要依法保密。”这一规定是对数据安全的具体要求。

值得注意的是，《决定》第6条事实上是对数据安全法第38条的直接援引。数据安全法第38条规定“国家机关为履行法定职责的需要收集、使用数据，应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行；对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密，不得泄露或者非法向他人提供。”

《决定》中关于数据共享与数据安全的规定，一定程度上体现了数字检察中检察机关履行数据安全保护义务面临的挑战。

一是执法司法信息数据数据共享的安全保护义务。检察机关推动打通执法司法信息数据壁垒（主要是实现与行政执法机关、公安机关、审判机关、刑罚执行机关、社区矫正机构等的执法司法信息数据共享），即便是属于“履行法定职责的范围内”，还需要“依照法律、行政法规规定的条件和程序进行”。

二是大数据法律监督数据共享的安全保护义务。检察机关深化大数据技术法律监督在国土资源保护、社保基金管理、法治化营商环境优化、特定行业准入、犯罪嫌疑人非羁押强制措施适用等方面的应用，如果需要收集、使用数据同样需要“依照法律、行政法规规定的条件和程序进行”。

三是相关法律、行政法规存在滞后性问题。数字检察立法是一项系统性工程，仅上述检察机关履行数据安全保护义务就涉及众多法律、行政法规。检察机关要实现与行政执法机关实现执法司法信息数据共享，相关法律、行政法规中不少规定必然会存在滞后性问题，检察机关与公安机关、审判机关、刑罚执行机关、社区矫正机构等国家机关实现执法司法信息数据共享同样如此。而大数据技术法律监督具体应用中所涉及数据共享的相关法律、行政法规的滞后性问题可能就更加突出和复杂。

今年上海市杨浦区检察院建立的判实刑人员刑罚交付执行、羁押期限监督模型与嘉定区检察院检察前终结诉讼案件监督模型合并参加了最高检大数据法律监督模型竞赛，这是我们以数据碰撞开展法律监督工作的第一次尝试。在市检察院院大数据中心的推动下，目前该模型正处于数据验证、功能完善的阶段，也已通过部分数据测试发现了监督线索，下一步将促进该模型尽快从创意转向应用，从中总结模型构建经验，引导产出更多监督模型。区院各部门已探索尝试的其他监督模型，也将继续努力解决数据来源问题，跟进挖掘监督线索。

根据数据获取难易程度分步推进数据模型构建，先利用可获取的内外部数据，比如社区矫正机构漏管监督模型，将被判处非羁押刑罪犯的住所信息与社区矫正机构的列管信息进行比对，如发现住所地为本市的社区矫正对象不存在于社区矫正机构的数据库中，判定为漏管线索；再利用尚未获取的内外部数据，比如利用精神卫生中心等机构数据查询涉麻醉药品、精神药品案件中犯罪嫌疑人是否有精神病病史以辅助判定罪与非罪（刑事类）、比对公证、鉴定、保险理赔等和裁判文书信息发现虚假诉讼线索（民事类）、比对市场监管局的市场主体名单和刑事裁判数据发现行政类案监督线索（行政类）、利用大数据完善侵害未成年人案件强制报告线索发现机制、推进密切接触未成年人行业从业限制制度（未检类）等等，暂未获取的数据通过内外协作、数据申请等方式尝试获取，同时希望市院能够帮助打通本市公共数据应用申请渠道，提升大数据法律监督工作成效。

大数据法律监督工作中可能会遇到数据、机制、人才等方面的问题：数据方面，比如“数据太少不够用”，也就是因内外部数据壁垒造成的数据获取问题；比如“数据太多不会用”，也就是数据字段样式不统一、较为繁杂，检察官对数据范围的知晓度不够。机制方面，大数据法律监督的数据申请机制、条线指导机制尚未厘清，工作沟通成本较大。人才方面，经过多方面的学习，干警们对大数据法律监督有所了解但实践思路还不够清晰、应用面还不够广。下一步应充分发挥专业化人才模范作用，带动提升各部门检察人员的数字办案能力。