ARTICLES
專業(yè)文章
當數(shù)據(jù)合規(guī)遇見刑事追訴——首例數(shù)據(jù)合規(guī)不起訴案件所帶來的分析和啟示(上)
?
一.
近期一件數(shù)據(jù)合規(guī)不起訴案件要點回顧
?
1、案件基本情況
?
近期,上海普陀區(qū)檢察院公布了全國首例數(shù)據(jù)合規(guī)不起訴案。在該案中,Z網(wǎng)絡(luò)科技有限公司(以下簡稱“Z公司")向普陀區(qū)檢察院提出了合規(guī)不起訴申請,普陀區(qū)檢察院審查后向Z公司制發(fā)了合規(guī)檢察建議,并啟動范式合規(guī)審查。Z公司在整改期間積極開展數(shù)據(jù)合規(guī)整改工作,最終在普陀區(qū)檢察院舉行的公開審查聽證中,參與聽證的各方均認為Z公司數(shù)據(jù)合規(guī)整改到位,并一致同意對Z公司及人員作出不起訴決定。
?
案件基本情況概覽
點擊可查看大圖
?
2、案件涉及的合規(guī)流程
?
點擊可查看大圖
?
合規(guī)不起訴流程要點
點擊可查看大圖
?
二.
涉數(shù)據(jù)類犯罪案件適用合規(guī)不起訴分析
?
1、檢察機關(guān)推進三階段簡要回顧
?
2020年,最高人民檢察院對我國企業(yè)刑事合規(guī)不起訴制度的探索拉開帷幕,同年3月,最高檢啟動涉案違法犯罪依法不捕、不訴、不判處實刑的企業(yè)合規(guī)監(jiān)管試點工作,并確定上海市浦東新區(qū)、金山區(qū)檢察院,廣東省深圳市南山區(qū)、寶安區(qū)檢察院,江蘇省張家港市檢察院,山東省郯城縣檢察院等6個檢察院為試點單位。此次試點在我國刑事司法領(lǐng)域初步確立了合規(guī)不起訴的概念。
?
2021年3月,最高檢發(fā)布《關(guān)于開展企業(yè)合規(guī)改革試點工作方案》(以下簡稱“《試點工作方案》"),企業(yè)合規(guī)試點范圍進一步擴大至北京、上海、浙江等10個省份的27個市級檢察院、165個基層檢察院。同年6月3日,最高檢聯(lián)合多部委共同發(fā)布《關(guān)于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》(以下簡稱“《指導意見》"),明確“涉案企業(yè)合規(guī)第三方監(jiān)督評估機制是指人民檢察院在辦理涉企犯罪案件時,對符合企業(yè)合規(guī)改革試點適用條件的,交由第三方監(jiān)督評估機制管理委員會選任組成的第三方監(jiān)督評估組織,對涉案企業(yè)的合規(guī)承諾進行調(diào)查、評估、監(jiān)督和考察,考察結(jié)果作為人民檢察院依法處理案件的重要參考"。
?
2022年4月19日全國工商聯(lián)、最高檢等九部委發(fā)布《涉案企業(yè)合規(guī)建設(shè)、評估和審查辦法(試行)》,明確企業(yè)合規(guī)的本質(zhì)內(nèi)涵是改造企業(yè)治理結(jié)構(gòu)和重塑企業(yè)文化。
?
2、涉數(shù)據(jù)類犯罪外延
?
我國《刑法》設(shè)立了多項與數(shù)據(jù)安全密切相關(guān)的罪名,從法益侵害角度,這些罪名大致可分為三大類:一是危害計算機信息系統(tǒng)安全的犯罪。包括非法侵入計算機信息系統(tǒng)罪和破壞計算機信息系統(tǒng)罪這兩大類犯罪,具體包括非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪、提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪、破壞計算機信息系統(tǒng)罪等五項罪名;二是侵害具體數(shù)據(jù)類型安全的犯罪。具體包括侵犯公民信息安全和侵犯商業(yè)秘密兩大類犯罪,具體包括侵犯公民個人信息罪、侵犯商業(yè)秘密罪兩項罪名;三是圍繞信息網(wǎng)絡(luò)相關(guān)罪名。具體包括拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪以及幫助信息網(wǎng)絡(luò)犯罪活動罪。
?
對于公司來說,司法實踐中應(yīng)當關(guān)注的罪名當屬非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪、侵犯公民個人信息罪、侵犯商業(yè)秘密罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪以及幫助信息網(wǎng)絡(luò)犯罪活動罪。
?
3、涉數(shù)據(jù)類犯罪特點
?
點擊可查看大圖
?
我國《刑法》第285條確立了非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪這一類犯罪。非法侵入計算機信息系統(tǒng)罪(第285條第一款)指自然人或者單位違反國家規(guī)定,侵入國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域的計算機信息系統(tǒng)的行為。主觀方面,本罪的成立需要滿足故意要件,如果是無意中進入計算機信息系統(tǒng),但經(jīng)警示仍不退出的,應(yīng)當視為故意非法侵入。非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪(第285條第二款)為《刑法修正案(七)》規(guī)定的新罪,客觀方面指違法國家規(guī)定侵入國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域的計算機系統(tǒng)以外(即第285條第一款規(guī)定以外)的計算機信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù),或者對該計算機信息系統(tǒng)實施非法控制、情節(jié)嚴重的行為,本罪屬于選擇性罪名。近日公布的首例數(shù)據(jù)合規(guī)不起訴案中的Z公司的客觀行為就表現(xiàn)為利用“爬蟲"非法獲取其他計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù),若其未進行合規(guī)整改,則將以此類罪名被追訴。
?
我國《刑法》第253條之一確立了侵犯公民個人信息罪。根據(jù)最高法和最高檢的司法解釋,該罪的違法性組成有:一是違反國家有關(guān)規(guī)定,二是存在“向他人出售或者提供公民個人信息",或者“竊取或者以其他方法非法獲取公民信息"的行為;三是行為達到情節(jié)嚴重的程度。其中,“兩高"司法解釋對作為入罪標準的情節(jié)嚴重做出了規(guī)定,個人或者單位侵犯公民個人信息,只需要數(shù)量或者情節(jié)上達到一般標準,例如:非法獲取、出售、提供行蹤軌跡信息、通信信息、征信信息、財產(chǎn)信息50條以上的;非法獲取、出售、提供住宿信息、通信記錄、健康生理信息、交易信息等可能影響人身、財產(chǎn)安全的公民個人信息500條以上的;等等。隨著互聯(lián)網(wǎng)的發(fā)展,大數(shù)據(jù)企業(yè)、電子商務(wù)企業(yè)等都依托網(wǎng)絡(luò)平臺,其業(yè)務(wù)開展不可避免需要收集大量公民個人信息和數(shù)據(jù),2021年,全國公安機關(guān)深入推進“凈網(wǎng)2021"專項行動,針對人民群眾關(guān)注的個人信息保護問題,全力組織開展偵查打擊工作,共破獲侵犯公民個人信息案件9800余起,抓獲犯罪嫌疑人1.7萬余名,維護了網(wǎng)絡(luò)空間秩序和人民群眾合法權(quán)益。2022年1月,公安部公布了侵犯公民個人信息犯罪十大典型案例[1],其中,典型案例六為公司非法獲取個人信息案例,該案例中山東某網(wǎng)絡(luò)科技公司從網(wǎng)上購買公民信息,在遼寧阜新石某團伙的技術(shù)支撐下,突破游戲公司驗證機制,非法注冊實名網(wǎng)絡(luò)游戲賬號1.8萬余個,向未成年人出售,非法牟利170余萬元。
?
我國《刑法》第286條確立了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。本罪是指網(wǎng)絡(luò)服務(wù)者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責令采取改正措施而拒不改正,致使違法信息大量傳播的;或致使用戶信息泄露,造成嚴重后果的;或者致使刑事案件證據(jù)滅失,情節(jié)嚴重的;或者具有其他嚴重情節(jié)嚴重的行為。此罪為真正不作為犯,本罪的成立,要求經(jīng)過監(jiān)管部門責令采取改正措施而拒不改正。2021年4月昆明市盤龍區(qū)人民法院判處了全國首例“因運營商拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)"案例,某虛擬運營商xx通信技術(shù)有限公司,因拒不履行信息網(wǎng)絡(luò)安全管理義務(wù),董事長及部分高管被一審判處一年四個月至一年十個月的有期徒刑或拘役。法院認為:虛擬運營商xx通信技術(shù)有限公司明知山東某通信代理公司在從事違法行為而拒不履行其網(wǎng)絡(luò)管理責任者的義務(wù),涉嫌拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪被法院依法判決。
?
我國《刑法》第219條確立了侵犯商業(yè)秘密罪,《刑法修正案(十一)》對其進行了部分修改。侵犯商業(yè)秘密罪的犯罪主體是一般主體,既可以是自然人,也可以是公司、企業(yè)等單位。在實務(wù)中,觸犯該罪的多為企業(yè)的中高級管理人員、進行技術(shù)研發(fā)的核心骨干或者是因合作關(guān)系而知悉企業(yè)商業(yè)秘密的交易第三方。在主觀方面,侵犯商業(yè)秘密罪需滿足故意。在客觀方面,侵犯商業(yè)秘密罪需要從行為對象、行為方式以及行為結(jié)果三方面進行判別:1)侵犯商業(yè)秘密罪的行為對象是商業(yè)秘密,商業(yè)秘密是企業(yè)的無形資產(chǎn),能使企業(yè)在激烈的競爭環(huán)境中取得競爭優(yōu)勢,商業(yè)秘密一旦泄漏,將給企業(yè)帶來不可估量的損失;2)侵犯商業(yè)秘密法定的行為方式包括:以盜竊、賄賂、欺詐、脅迫、電子侵入或者其他不正當手段獲取權(quán)利人的商業(yè)秘密;披露、使用或者允許他人使用以前項手段獲取的權(quán)利人的商業(yè)秘密的;違反保密義務(wù)或者違反權(quán)利人有關(guān)保守商業(yè)秘密的要求,披露、使用或者允許他人使用其所掌握的商業(yè)秘密;3)成立侵犯商業(yè)秘密罪,要求侵犯商業(yè)秘密行為給權(quán)利人造成了重大損失以上的結(jié)果,目前侵犯商業(yè)秘密的重大損失數(shù)額標準為三十萬元[2]。實踐中,若企業(yè)利用員工跳槽帶來的其他企業(yè)的機密數(shù)據(jù),或者利用其他企業(yè)尚未公開的技術(shù)相關(guān)數(shù)據(jù)進行業(yè)務(wù)拓展、新品開發(fā)等,則可能面臨數(shù)據(jù)合規(guī)風險,甚至構(gòu)成侵犯商業(yè)秘密罪。
?
我國《刑法》第287條之二確立了幫助信息網(wǎng)絡(luò)犯罪活動罪,本罪是指明知他人利用信息網(wǎng)絡(luò)實施犯罪,為其犯罪提供互聯(lián)網(wǎng)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、通訊傳輸?shù)燃夹g(shù)支持,或者提供廣告推廣、支付結(jié)算等幫助的行為。主觀方面體現(xiàn)為明知,根據(jù)司法實踐,目前此罪名客觀行為主要表現(xiàn)為兩個方面,其一是通過手機卡、銀行卡向犯罪行為人提供結(jié)算功能,幫助實施信息網(wǎng)絡(luò)犯罪的人犯罪的行為;其二是針對提供互聯(lián)網(wǎng)技術(shù)服務(wù)從而幫助犯罪行為人實施信息網(wǎng)絡(luò)犯罪的行為。根據(jù)最高檢公布的2021年全國檢察機關(guān)主要辦案數(shù)據(jù),2021年,起訴幫助信息網(wǎng)絡(luò)犯罪活動罪近13萬人,同比上升超8倍,位居各類刑事犯罪的第3位;根據(jù)最高檢公布的2022年1月至3月全國檢察機關(guān)主要辦案數(shù)據(jù),幫助信息網(wǎng)絡(luò)犯罪活動罪仍處高位,上述辦案數(shù)據(jù)引起很多互聯(lián)網(wǎng)企業(yè)高度關(guān)注。因此,在日前檢察機關(guān)正高度關(guān)注此罪的大背景下,若互聯(lián)網(wǎng)企業(yè)、大數(shù)據(jù)企業(yè)明知他人利用網(wǎng)絡(luò)平臺實施犯罪仍提供互聯(lián)網(wǎng)技術(shù)服務(wù)的,也可能面臨數(shù)據(jù)合規(guī)風險,甚至構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動罪。
?
4、合規(guī)不起訴適用于涉數(shù)據(jù)類犯罪案件的可行性論證
?
若案件進入檢察院合規(guī)審查階段,那么首先要做的是判斷涉數(shù)據(jù)類犯罪案件是否符合第三方機制的適用條件,具體而言:
?
《指導意見》中明確規(guī)定企業(yè)合規(guī)不起訴適用于經(jīng)濟犯罪和職務(wù)犯罪案件。經(jīng)濟犯罪指的是在商品經(jīng)濟的運行領(lǐng)域中,為謀取不法利益,違反國家法律規(guī)定,嚴重侵犯國家管理制度和破壞社會經(jīng)濟秩序,依照刑法應(yīng)受刑罰處罰的行為。[3]參上文所述,數(shù)據(jù)合規(guī)視閾下企業(yè)在生產(chǎn)經(jīng)營過程中若涉嫌侵犯商業(yè)秘密罪,則亦在經(jīng)濟犯罪規(guī)制范疇之內(nèi);同時,在“互聯(lián)網(wǎng)+"的技術(shù)驅(qū)動下,經(jīng)濟犯罪也正在大規(guī)模地向網(wǎng)絡(luò)空間轉(zhuǎn)移,并衍生出一種全新的犯罪形態(tài)——“網(wǎng)絡(luò)經(jīng)濟犯罪",而數(shù)據(jù)合規(guī)領(lǐng)域涉及的非法侵入計算機信息系統(tǒng)罪、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪、侵犯公民個人信息罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪等恰為“經(jīng)濟犯罪"所包含。基于以上,涉數(shù)據(jù)類犯罪案件屬于企業(yè)合規(guī)不起訴的適用對象。
?
根據(jù)最高檢下發(fā)的《試點工作方案》、《指導意見》以及當前試點地區(qū)的司法實踐來看,試點地區(qū)的檢察機關(guān)基本上將合規(guī)考察制度的適用對象設(shè)定為“相關(guān)責任人"可能被判處3年有期徒刑以下刑罰的涉企刑事案件,也有部分檢察院將重罪納入合規(guī)不起訴的適用范圍,如遼寧省人民檢察院出臺的《關(guān)于建立涉罪企業(yè)合規(guī)考察制度的意見》,規(guī)定“直接負責的主管人員和其他直接責任人員依法應(yīng)當被判處三年以上十年以下有期徒刑的,具有自首情節(jié)或者在共同犯罪中系從犯,或者直接負責的主管人員、其他直接責任人員具有立功表現(xiàn)的,可以適用合規(guī)考察制度"。參上文所述,涉數(shù)據(jù)類犯罪主要涉及罪名中,非法侵入計算機信息系統(tǒng)罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、幫助信息網(wǎng)絡(luò)犯罪活動罪法定最高刑為3年、非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪、侵犯商業(yè)秘密罪、侵犯公民個人信息罪情節(jié)嚴重的法定最高刑為3年,符合合規(guī)不起訴適用刑罰范圍規(guī)定。
5、涉案企業(yè)啟動該程序的相關(guān)流程
?
點擊可查看大圖
?
下篇預告
在下篇中,我們將繼續(xù)深入探討數(shù)據(jù)合規(guī)如何能夠幫助企業(yè)避免刑事責任,并分享企業(yè)如何建立完備的數(shù)據(jù)合規(guī)體系。
?
[注]?