一、涉数据案件的“行”与“刑”

在数据安全监管领域，以2017年的《网络安全法》为代表，我国进入了数据安全保护的密集立法时代，陆续出台了《数据安全法》《个人信息保护法》等重量级法律，建立了我国数据安全保护的基本架构，伴随着三大法的出台，各种规范性文件、国家标准、行业标准等陆续出台，形成了我国数据保护的基本体系。在《网络安全法》《数据安全法》《个人信息保护法》[2]均有关于“构成犯罪的，依法追究刑事责任”的相关描述，表明了行刑之间并非割裂存在，存在衔接的规范基础。三大法及相关法律规范中关于“尚不构成犯罪”的行政处罚规定，明确了涉数据案件行刑反向衔接的具体处罚规则，为涉数据案件降档处置风险提供了具体的处罚依据。

表1：部分数据违法行政处罚规定

在刑事立法方面，自1997年《刑法》至今，通过长达27年的刑法修正案、司法解释、司法指导文件的不断完善，我国业已形成了以刑法为核心的多层次的数据犯罪治理体系。涉数据犯罪治理体系包括：一是直接侵犯公民个人信息、计算机信息系统数据等各类数据的犯罪；二是间接侵犯以数据为载体的其他法益，包括知识产权、商业秘密、国家秘密等；三是提供帮助等行为，如提供侵入、非法控制计算机信息系统程序、工具，非法利用信息网络，帮助信息网络犯罪活动等。刑事领域不断扩张了涉数据案件的治理范围，在数字经济迅猛发展的当下，更应当坚守刑法的谦抑性，方能最大程度释放数据要素的经济价值。

表2：涉数据犯罪重要罪名的刑事立法沿革

在程序规定方面，2011年国务院法制办、中央纪委、最高人民法院、最高人民检察院、公安部、国家安全部、司法部、人力资源社会保障部联合发布的《关于加强行政执法与刑事司法衔接工作的意见》中规定，公安机关作出不立案决定或者撤销案件的，应当将案卷材料退回行政执法机关，行政执法机关应当对案件作出处理。人民检察院对作出不起诉决定的案件、人民法院对作出无罪判决或者免予刑事处罚的案件，认为依法应当给予行政处罚的，应当提出检察建议或者司法建议，移送有关行政执法机关处理。《公安机关办理刑事案件程序规定》第三条、第一百三十一条、第一百七十七条、第一百八十七条等条款规定了对于不够刑事处罚的嫌疑人、撤案或者对犯罪嫌疑人终止侦查的案件，需要行政处理的，依法予以处理或者移交有关部门。《刑事诉讼法》（2018年修订）第一百七十七条规定了不起诉案件的行刑反向衔接原则，对被不起诉人需要给予行政处罚、行政处分或者需要没收其违法所得的，人民检察院应当提出检察意见，移送有关主管机关处理。有关主管机关应当将处理结果及时通知人民检察院。2021年修订的《行政处罚法》第二十七条增设刑事司法机关向行政执法机关移送需要追究行政责任案件的内容，填补了行刑反向衔接机制的行政性立法空白。

综上，关于涉数据案件的行刑反向衔接具有理论及规范基础，是行刑一体化治理的应有之义，是保障和促进数字经济发展的重要手段。

二、涉数据案件的发展趋势

最高人民检察院《关于人民检察院适用认罪认罚从宽制度情况的报告》（2020年10月15日）公布的数据显示，起诉的轻罪案件占比则从54.4%上升至83.2%。因此，有学者认为，中国无可争议地进入了“轻罪时代”。2021年之后，网络犯罪案件已占据刑事犯罪案件总数的第三位。我国刑事犯罪结构发生了重大的变化，必然要求刑辩治理的机制和程序转变。[3]陈兴良教授提出“轻罪具有行为类型简单、法定刑较轻的特点，但在对轻罪进行定罪处罚的时候，应当对构成要件加以严格限制，尽可能畅通出罪机制。”[4]

随着数据领域三大法律的陆续出台及数据犯罪治理刑事立法的不断完善，使得更多的涉数据案件纳入行政监管或刑事追责程序之中，以帮助信息网络犯罪活动罪为例，根据《涉信息网络犯罪特点和趋势（2017.1—2021.12）司法大数据专题报告》[5]，在2017年至2021年全国涉信息网络犯罪案件中，帮助信息网络犯罪活动罪仅次于诈骗罪案件量占比为23.76%，帮助信息网络犯罪活动罪2020年同比激增34倍，2021年同比再增超17倍。虽然帮助信息网络犯罪活动罪呈快速增长态势，但从其分布手段来看，支付结算环节提供帮助占比最大为53.45%；其次为提供通讯传输支持，占比18.25%；提供广告推广支持，占比4.95%。涉及服务器托管，占比3.32%，网络存储占比为1.35%，其他18.33%。

2023年12月19日，北京市检察院召开北京市检察机关网络犯罪检察工作新闻发布会，发布了《北京市检察机关网络犯罪检察白皮书（2021—2023年）》，并通报了维护网络安全和数据安全典型案例。案件主要特点有：第一，数字经济新业态伴生犯罪增长态势明显；第二，网络犯罪向民生领域侵蚀蔓延；第三，黑灰产业链为网络犯罪“输血供粮”；第四，匿名洗钱手段助长上游犯罪滋生；第五，互联网企业数据安全存在风险隐患。[6]

数字经济时代，涉数据案件呈现增长态势，而刑法规定的涉数据案件多为轻罪，如表3所示。但一旦被刑事处罚，则对企业或者个人产生巨大的不利影响。对企业来讲，影响企业的商业模式、投融资、上市甚至企业的生死存亡。在数字经济时代，充分发挥数据要素的市场价值，离不开各种市场主体的积极参与，刑法具有谦抑性、最后手段性，对涉数据案件，尤其是数字经济时代伴随着数字新业态而产生的新型涉数据犯罪案件，畅通涉数据案件的行刑反向衔接机制具有重要的作用。

表3：涉数据犯罪部分罪名刑罚规定

三、涉数据案件行刑反向衔接

（一）行刑反向衔接制度建设概览

2020年4月，公安部与中央网信办牵头，建立打击危害公民个人信息和数据安全违法犯罪长效机制。机制成员单位包括公安部、中央网信办、最高人民法院、最高人民检察院、工业和信息化部、国家市场监督管理总局等。各部门依托该机制紧密围绕危害公民个人信息和数据安全的隐患，充分发挥职能优势，严厉惩治犯罪，加强法律指导，突出联合整治，加强行业监管，加强宣传教育引导，构建保护公民个人信息和数据安全的社会综合治理体系。[7]该机制对涉数据案件的行刑衔接及行刑反向衔接提供了良好的制度基础，有利于涉数据案件的行刑反向衔接的推进。

《中共中央关于加强新时代检察机关法律监督工作的意见》进一步对反向衔接提出明确要求，强调“健全检察机关对决定不起诉的犯罪嫌疑人依法移送有关主管机关给予行政处罚、政务处分或者其他处分的制度”。2023年7月14日最高人民检察院印发了《关于推进行刑双向衔接和行政违法行为监督构建检察监督与行政执法衔接制度的意见》，再次强调了“行刑反向衔接”的重要性，进一步优化了行刑反向衔接的工作机制。2023年12月26日，最高人民检察院印发了第一批行刑反向衔接典型案例。并且多地检察院纷纷出台了行刑反向衔接的实施办法或工作指引，如《北京市人民检察院统筹开展行刑反向衔接和行政违法行为监督工作指引（试行）》《重庆市人民检察院关于加强行刑反向衔接和行政违法行为监督工作的实施办法（试行）》、上海市金山区检察院、区司法局，浙江省嘉善县检察院、县司法局联合制定《关于建立跨区划行政执法与刑事司法反向衔接协作机制的意见》、福建省检察院下发行刑反向衔接办案指引、内部协作规定、配套操作指南等，对办案流程、法律文书等进行规范。根据最高人民检察院的统计数据，2023年1月至11月，检察机关对应受行政处罚的被不起诉人提出检察意见，移送主管机关处理9万人；对履行法律监督职责中发现的行政机关违法行使职权或不行使职权行为，提出检察建议2.9万件。[8]由此可见，长期以来被忽视的行刑反向衔接开始发挥应有的作用。

（二）涉数据行刑反向衔接的出罪路径

涉数据行刑反向衔接在侦查、审查起诉及审判阶段均有适用的基础。侦查机关认为对于不够刑事处罚的嫌疑人、撤案或者对犯罪嫌疑人终止侦查的案件需要行政处理的，依法予以处理或者移交有关部门。在审查起诉阶段则可以分为相对不起诉、绝对不起诉、存疑不起诉以及合规不起诉等不同类型，检察机关对决定不起诉的犯罪嫌疑人应依法移送有关主管机关给予行政处罚、政务处分或者其他处分。而在审判阶段，人民法院对作出无罪判决或者免予刑事处罚的案件，认为依法应当给予行政处罚的，应当提出司法建议，移送有关行政执法机关处理。对涉数据案件而言，如果已经涉嫌构成犯罪，则在审查起诉阶段能否进行出罪则尤为重要。因此本文重点探讨关于审查起诉阶段行刑反向衔接的出罪路径。

1. 相对不起诉行刑反向衔接

《刑法》第三十七条规定“非刑罚性处置措施”包括由主管部门予以行政处罚或者行政处分。《刑事诉讼法》第一百七十七条第二款规定了相对不起诉，是指人民检察院对侦查机关侦查终结移送审查起诉的案件，经过审查后，认为犯罪嫌疑人的犯罪行为情节轻微，依照刑法规定不需要判处刑罚或者免除刑罚时，可以依法作出不起诉的决定。

相对不起诉的行刑反向衔接是指虽构成犯罪但情节轻微检察院作出不起诉决定后，对被不起诉人需要给予行政处罚、处分或者需要没收其违法所得的，人民检察院应当提出检察意见，移送有关主管机关处理。

如谷城县检察院依法办理了一起侵犯公民个人信息案，通过内部线索移送、行刑反向衔接，对侵害公民个人信息的违法犯罪行为依法进行刑事处理、行政处罚和民事追责，让行为人为自己的违法犯罪行为承担应有的责任。[9]该案完成了行刑反向衔接，并且通过检察院民事公益诉讼的方式，维护了不特定多数人的权益及社会公共利益。

2. 绝对不起诉和存疑不起诉行刑反向衔接

与相对不起诉不同的是，绝对不起诉和存疑不起诉以无罪为前提，在绝对不起诉和存疑不起诉情境下行刑反向衔接移送给行政机关的只是一种线索。

绝对不起诉，又称法定不起诉，是指对被不起诉人没有犯罪事实，或者有刑事诉讼法第十六条规定情形之一所作出的不起诉决定。比如非法获取计算机信息系统数据的行为，因为没有达到刑法规定的情节严重的标准，而不构成犯罪，由检察机关作出绝对不起诉决定，但非法获取计算机信息系统数据的行为本身就是违反行政法律规范的，检察机关应当将该线索移送至相关行政机关。

存疑不起诉，又称证据不足不起诉，是指在案证据不足以证实被不起诉人构成犯罪而作出的不起诉决定。在存疑不起诉的情况下，行为人的行为虽然不足以构成犯罪，但仍有可能构成行政违法行为，因此在这种情境下，检察机关也应反向移送至行政机关。

3. 合规不起诉行刑反向衔接

企业合规是指，企业为避免或减轻因违法违规经营而可能受到的行政责任、刑事责任，避免受到更大的经济或其他损失，而采取的一种公司治理方式。[10]合规不起诉型反向衔接是指检察机关针对涉案企业开展合规监管考察，经评估有效的，检察机关对该涉案企业作出不起诉处理后，反向移送行政机关的情形。[11]合规不起诉在功能和性质上类似于附条件不起诉，是附加条件的相对不起诉，在反向衔接上与相对不起诉具有共同之处，但其比相对不起诉在实操过程中多了关于合规结果的互认与监督问题。

自2020年3月起，最高人民检察院在上海浦东、金山，江苏张家港，山东郯城，广东深圳南山、宝安等6家基层检察院开展企业合规改革第一期试点工作，第二期则涉及北京、辽宁、上海、江苏、浙江、福建、山东、湖北、湖南、广东等十个省（直辖市）。2021年6月，最高人民检察院、司法部、财政部等部门共同制定了《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，2024年11月，进一步完善下发了《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）实施细则》《涉案企业合规第三方监督评估机制专业人员选任管理办法（试行）》等配套文件；2022年4，又公布了《涉案企业合规建设、评估和审查办法（试行）》，以上规则不断完善了合规不起诉的机制建设规范基础。

如某公司法人为拓展公司业务，利用社交软件从他人处非法获取多个小区业主信息，构成侵犯公民个人信息罪，检察机关依法对其提起公诉。该公司经合规整改后，检察机关依法对公司作出不起诉决定。根据“行刑衔接”工作机制，检察机关与网信部门进行了反向衔接，将该公司违法线索移交给了网信部门，网信办依法对该公司非法收集、使用公民个人信息问题进行立案调查。经查实，该公司非法获取、使用公民个人信息的行为违反《个人信息保护法》第十条之规定。根据《个人信息保护法》第六十六条第一款之规定，给予该公司警告的行政处罚，并责令限期改正。[12]通过行刑反向机制，涉案企业得以合规运营，并且通过行政处罚而实现了对社会秩序等法益的维护。

“以刑代罚”不利于数字经济新业态的发展，且有损行刑一体化治理的综合治理效果。随着数据领域的法律法规逐渐完善以及行刑反向衔接制度的不断完善，涉数据案件行刑反向衔接具有更加充分适用空间。

四、结语

在数字经济迅猛发展的时代，数字技术升级迭代的速度越来越快，容易引发社会关系的变革和新的法律风险。一个新兴业态的产生总是伴随着“正反”两方面的影响，如伴随着网络购物、网络直播平台的发展，一方面带动了国内经济的发展，另一方面也产生了新的数据治理难题，如刷单、刷好评，滥用数据、算法进行不正当竞争，滥用或侵犯公民个人信息等，面对数字经济引发的新业态的发展难题，如果一味地通过严格的刑事责任予以防范风险，很显然是不利于数字经济的进一步发展的，更加不利于数据要素作为新兴生产要素发挥其应有价值。

数字经济时代的到来，风险与收益并存，一方面我们应当坚守数据安全的底线，另一方面应当给予数字经济相关产业更加宽容的发展空间，尤其注意不能“以刑代罚”损害数据产业的发展。行刑正向衔接制度已经广为人知，行刑反向衔接制度也应发挥其作用。从行政执法到刑事司法、从刑事司法到行政执法全链条机制，正反两方面衔接机制会将联合执法效果提升到更大高度。

除涉数据案件之外，其他类型的案件也可以适用行刑反向衔接制度。如2021年9月18日，最高人民检察院驻中国证券监督管理委员会检察室揭牌成立，证监部门、公安机关、司法机关之间密切协作、监督制约，建立健全信息共享、会商协商、提前介入等工作机制，综合运用行政处罚、市场禁入决定、刑事制裁措施，形成打击证券犯罪的高压态势，推动刑事案件落地率提升。[13]2023年国家税务总局、公安部、最高人民法院、最高人民检察院、中国人民银行、海关总署、市场监管总局、国家外汇管理局等八部门建立了常态化打击涉税违法犯罪工作机制[14]。随着各部门之间的联合行动、联合机制等不断加强，无论从区域、行业或犯罪类型而言，无论是行刑正向衔接抑或行刑反向衔接将发挥更大的作用。