ARTICLES
專業(yè)文章
當數(shù)據(jù)合規(guī)遇見刑事追訴——首例數(shù)據(jù)合規(guī)不起訴案件所帶來的分析和啟示(下)
?
上篇回顧
《當數(shù)據(jù)合規(guī)遇見刑事追訴——首例數(shù)據(jù)合規(guī)不起訴案件所帶來的分析和啟示(上)》著重對涉數(shù)據(jù)類犯罪案件適用合規(guī)不起訴制度進行全方位梳理解析。在下篇中,我們將繼續(xù)深入探討數(shù)據(jù)合規(guī)如何能夠幫助企業(yè)避免刑事責任,并分享企業(yè)如何建立完備的數(shù)據(jù)合規(guī)體系。
?
三.
數(shù)據(jù)合規(guī)為什么能夠幫助企業(yè)避免刑事責任?
?
數(shù)據(jù)合規(guī)之于企業(yè)的意義,除了通過“數(shù)據(jù)合規(guī)不起訴"幫助涉刑企業(yè)完成經營模式整改,將企業(yè)從犯罪的邊緣重新拉回發(fā)展正軌外,更核心的價值在于幫助企業(yè)防范于未然:通過評估合規(guī)邊界、給出貼合企業(yè)發(fā)展階段與商業(yè)模式的合規(guī)解決方案,助力企業(yè)將原本刑事責任紅線以下的風險,轉變?yōu)樾碌纳虡I(yè)機會??v觀當前的司法環(huán)境,同時立足刑事責任的特性,我們將從以下幾個角度分析企業(yè)為什么要開展數(shù)據(jù)合規(guī)工作,以及將數(shù)據(jù)合規(guī)工作貫穿企業(yè)發(fā)展全生命周期的實際意義。
?
1、刑事責任是企業(yè)數(shù)據(jù)業(yè)務面臨的終極風險
?
不同于民事責任或行政責任,刑事責任是指國家依據(jù)刑法通過一系列最為嚴厲的強制措施,對罪犯施以懲戒,使其接受改造的法律責任承擔形式,是企業(yè)數(shù)據(jù)業(yè)務可能面臨的終極風險。我國刑法針對單位犯罪采取雙罰制,即單位犯罪的,對單位判處罰金,同時對直接負責的主管人員和其他直接責任人員判處刑罰。被刑事追責的企業(yè)的商譽往往會因此遭受重創(chuàng),難再獲得市場行信任,而從此一蹶不振。目前我國針對數(shù)據(jù)類犯罪的判定已逐漸明朗,主要涉及以下罪名:
點擊可查看大圖
?
例如(2019)粵0305刑初193號一案中,深圳市某互聯(lián)科技有限公司的技術總監(jiān)以及核心技術人員因使用爬蟲技術導致深圳市住房系統(tǒng)癱瘓,構成“破壞計算機信息系統(tǒng)罪"。由于核心人員被定罪,該公司如今難以繼續(xù)展開正常經營,其各項協(xié)議先后無法繼續(xù)履行,法定代表人亦被列入失信名單。
?
2、數(shù)據(jù)類罪名增加,刑事案件呈上升趨勢
?
近年來,我國數(shù)據(jù)類的罪名在數(shù)量上呈現(xiàn)上升趨勢,在適用范圍上亦呈現(xiàn)擴張趨勢。例如,《刑法修正案(七)》在《刑法》253條之一增加規(guī)定了出售、非法提供公民個人信息罪和非法竊取公民個人信息罪。而隨后的《刑法修正案(九)》則將《刑法》253條中出售、非法提供公民個人信息罪和非法獲取公民個人信息罪的犯罪主體由原來的特定主體(國家機關或者金融、電信、交通、教育、醫(yī)療等單位及其工作人員)改為不特定主體,所有違反本罪的單位與個人皆可被追責。
?
互聯(lián)網(wǎng)模式的快速更新和技術迭代,導致網(wǎng)絡犯罪呈現(xiàn)復雜化與多元化的趨勢。未來可預計的是,隨著法律的逐漸落地,實踐中各種涉及數(shù)據(jù)有關的新的犯罪形式將會涌現(xiàn),國家將在針對數(shù)據(jù)違法罪名設計上更為專門化、精細化,相關的刑事執(zhí)法活動也將呈現(xiàn)更加活躍的態(tài)勢。
?
圖:
點擊可查看大圖
點擊可查看大圖
?
3、監(jiān)管日趨嚴格,行為違法界限不清晰
?
當今互聯(lián)網(wǎng)行業(yè)的營商環(huán)境已非“劣幣驅逐良幣",而將“技術中立"等同于合法使用的理念也已在日趨嚴格的監(jiān)管下多次被證偽。忽視數(shù)據(jù)合規(guī)邊界而試錯,企業(yè)付出的代價可能是被刑事追責。在首例數(shù)據(jù)合規(guī)不起訴案中,正是因為缺乏合規(guī)意識,盲目使用爬蟲技術抓取第三方平臺致使該平臺直接經濟損失4萬多元,Z公司從手握10余項計算機軟件著作權,有著光明發(fā)展前景的“高新技術企業(yè)"最終成為罪犯。技術的發(fā)展與企業(yè)壯大并不等同于法律意識的增強,該案件代表性的反映出了一類企業(yè)在發(fā)展過程中長期忽視數(shù)據(jù)合規(guī)而可能產生的后果。
?
另外,當前針對數(shù)據(jù)類犯罪的行為在違法認定上也并非清晰。刑法所規(guī)制的是被社會所譴責的,對法益具有嚴重侵害的犯罪行為。而在一些已知披露的案例中,撥去復雜的技術問題,從造成損害的結果上看,似乎并未有較為嚴重的法益侵害。因此這些案件是否應當被定性為刑事意義上的、可被譴責的社會危害行為,也在業(yè)內形成了諸多討論。
?
可以看出,數(shù)據(jù)類案件往往由于存在較強的技術屬性,在定罪和量刑方面會有較多的考慮因素。當下日益凸顯的矛盾和難點在于:如何在數(shù)據(jù)安全和個人隱私日益增強的監(jiān)管要求下,穿透復雜的技術問題,從而精確的識別犯罪和準確的量刑。
?
4、刑法威力極大,存在“溢出效應"
?
我國刑法對單位犯罪采取雙罰制,即對單位判處罰金的同時,還對其直接責任人包括高管以及技術人員等實施限制人身自由刑罰措施。在實踐中,因利用職業(yè)便利實施犯罪,或者實施違背職業(yè)要求的特定義務的犯罪被判處刑罰的,法院可以在刑罰終止后,禁止其從事相關職業(yè)。而在刑事案件追訴過程中,偵查機關有權對涉案的財物采取查封凍結等強制措施。前述種種,無不說明刑法本身威力巨大,對罪犯的社會關系形成了“滅頂之災"。
?
盡管事后的刑事合規(guī)從“出罪"的角度為企業(yè)指明了一條救贖路徑,但企業(yè)還應當盡早通過合規(guī)識別從源頭上防范終極刑事風險,避免刑事“入罪"。
?
5、數(shù)據(jù)合規(guī)在刑事危機中不同階段的意義
?
5.1 事前合規(guī),將危機化為無形
?
探索新的商業(yè)模式往往伴隨著未知的風險,故企業(yè)至少應當以刑事責任為紅線,盡早引入專業(yè)人士開展合規(guī)評估。例如在首例數(shù)據(jù)合規(guī)不起訴案中,Z公司雖然看到數(shù)據(jù)抓取本身技術中立且未被禁止,卻忽視了就企業(yè)應用數(shù)據(jù)抓取的商業(yè)模式進行合規(guī)評估的必要性。若Z公司盡早引入專業(yè)人士對爬蟲技術使用場景進行調查與合規(guī)分析,并讓Z公司及時知悉利用技術手段繞過第三方平臺的身份驗證系統(tǒng)、訪問頻率限制,情節(jié)嚴重的則可能會構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪,那么企業(yè)及其創(chuàng)始人早已將相關風險消融于萌芽階段。
?
另外,企業(yè)通過非法安裝SDK、繞過用戶授權默認安裝APK的方式向用戶手機裝載程序非法獲取商業(yè)利益的,則可能構成非法控制計算機信息系統(tǒng)罪。其他涉及以未授權的方式收集、獲取、出售用戶個人信息,或通過植入木馬、偽裝系統(tǒng)等的行為,皆有可能落入刑事責任。而上述行為如何界定罪與非罪的邊界,則需要借助法律、技術、安全方面的專業(yè)人士,通過詳盡的合規(guī)評估,才能識別其中的巨大風險。
?
因此,技術型企業(yè),尤其是處理大量數(shù)據(jù)的企業(yè),當數(shù)據(jù)來源或處理方式存在不確定性時,應當盡早引入合規(guī)評估,從根源上排查合規(guī)風險,避免落入刑事追責的窘境,化危機為無形。
?
5.2 事中合規(guī)-轉危為機
?
在發(fā)展過程中,企業(yè)應當定期梳理數(shù)據(jù)資產,同時針對高風險數(shù)據(jù)處理活動開展數(shù)據(jù)合規(guī)專項的評估與整改。只有這樣,在日趨嚴格的國內監(jiān)管環(huán)境以及日趨激烈的以數(shù)據(jù)為核心的國際競爭大背景下,企業(yè)才能具備足夠的適應性,領先競爭對手,并將危機轉化為機遇。正如業(yè)內討論較多的雀巢員工侵犯公民個人信息一案中,企業(yè)通過在經營中堅持不懈的合規(guī)工作,在工作中全流程落地了合規(guī)措施并進行專項整改,相關合規(guī)成果在刑事追訴的關鍵時刻起到了積極顯著的作用,幫助企業(yè)妥善處理了相關風險,不僅為企業(yè)發(fā)展保駕護航,同時也為企業(yè)贏得了贊譽。
?
5.3 事后合規(guī)-最后的救濟
?
當然,若企業(yè)在事前、事中環(huán)節(jié)因合規(guī)重視不足而落入刑事追訴的,在現(xiàn)有機制下,還可以通過積極的措施進行補救,通過取得受害人的諒解,與檢察院以及第三方機構通力合作,開展數(shù)據(jù)合規(guī)工作,完成指定整改而“出罪"。
?
我們認為,盡管有事后的救濟手段,但是在整體合規(guī)流程中,事后合規(guī)已經是“最后一根稻草"。是否能抓住,取決于行為本身的性質以及社會危害程度等各方面因素,具有一定的“偶然性"。如何把這種“偶然性"轉化成不被追訴的“必然性",還是需要企業(yè)緊緊守住合規(guī)義務,將合規(guī)工作前置。
?
四.
企業(yè)如何建立數(shù)據(jù)合規(guī)體系
?
1、建立數(shù)據(jù)合規(guī)體系是法律的要求
?
我國《個人信息保護法》《數(shù)據(jù)安全法》等上位法中,明確提出了企業(yè)應當建立數(shù)據(jù)合規(guī)體系。例如,《個人信息保護法》第五十一條要求企業(yè):“……采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:(一)制定內部管理制度和操作規(guī)程……";《個人信息保護法》第五十八條要求:“提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者,應當履行下列義務:(一)按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督……";《數(shù)據(jù)安全法》要求企業(yè)開展數(shù)據(jù)處理活動的,“……應當依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全。"
?
因此,企業(yè)開展數(shù)據(jù)合規(guī)工作是企業(yè)履行其法定義務的表現(xiàn)。
2、重點突出,逐步完善
?
企業(yè),尤其是處于發(fā)展初期的企業(yè)往往存在著成本控制的壓力。因此,開展合規(guī)工作需要與企業(yè)的業(yè)務場景、發(fā)展階段及監(jiān)管熱點結合,對癥下藥,突出合規(guī)重點,分步驟逐步完善數(shù)據(jù)合規(guī)體系。舉例來說,對于互聯(lián)網(wǎng)企業(yè),可以重點關注爬蟲技術的合法性問題,以避免如Z公司一般落入刑事問責的窘境。我們將利用爬蟲技術可能觸及刑事責任的一般情形總結于下圖:
點擊可查看大圖
?
除上圖所列情形外,利用爬蟲技術,擅自使用其他經營者征得用戶同意、依法匯集且具有商業(yè)價值的數(shù)據(jù),實質性替代其他經營者提供的部分產品或服務,損害公平競爭的市場秩序的,還可能構成不正當競爭,從而被平臺方追究侵權責任。
?
3、建立數(shù)據(jù)合規(guī)體系的幾個基本步驟
?
3.1 明確數(shù)據(jù)安全管理機構與人員
?
在建立數(shù)據(jù)合規(guī)體系時,企業(yè)首先應當明確數(shù)據(jù)安全管理機構與人員,以落實數(shù)據(jù)安全保護職責。我們建議企業(yè)結合實際設置該數(shù)據(jù)安全管理機構與人員:如企業(yè)目前暫未涉嫌刑事風險,為了更好地協(xié)調組織多部門聯(lián)動開展數(shù)據(jù)合規(guī)工作,可由決策層成員組成數(shù)據(jù)安全管理機構;但需要注意的是,數(shù)據(jù)安全管理機構既要有決策權,又要避免淪為“一言堂",否則也容易因為某個人的激進決策導致企業(yè)出現(xiàn)合規(guī)風險,進而成為刑事隱患。
?
3.2 全流程數(shù)據(jù)安全管理制度的制定
?
根據(jù)《數(shù)據(jù)安全法》第二十七條的要求,企業(yè)應當依法制定全流程的數(shù)據(jù)安全管理制度,通過該制度對本企業(yè)的數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等全生命周期的安全提出具體合規(guī)要求。我們建議企業(yè)結合實際制定數(shù)據(jù)全生命周期的合規(guī)管理制度。在企業(yè)尚未涉嫌刑事風險,建議企業(yè)全面梳理數(shù)據(jù)處理各個環(huán)節(jié)的風險與合規(guī)薄弱點,通過制度的約束完善企業(yè)的數(shù)據(jù)合規(guī)工作;若企業(yè)已經面臨刑事風險,則建議企業(yè)結合檢察機關的《檢察建議書》等要求以及第三方組織合規(guī)評估的重點,針對性地制定本企業(yè)的數(shù)據(jù)安全管理制度,通過制度的制定協(xié)助企業(yè)盡快“去犯罪化"。此外,為了企業(yè)數(shù)據(jù)安全管理制度的有效落地與執(zhí)行,建議企業(yè)在本制度中明確數(shù)據(jù)安全合規(guī)工作細化的獎懲機制,并嚴格施行。
?
3.3 安全與合規(guī)的兩大工具:數(shù)據(jù)分類分級+PIA
?
根據(jù)法律的要求以及實踐需要,建議企業(yè)根據(jù)自身情況制定數(shù)據(jù)分類分級保護制度,利用數(shù)據(jù)分類分級工具對數(shù)據(jù)安全進行差異化管控。在制定數(shù)據(jù)分類分級保護制度時,建議企業(yè)首先對數(shù)據(jù)資產進行梳理,形成數(shù)據(jù)資產清單;其次,企業(yè)應當結合實際需求對數(shù)據(jù)進行分類與定級:如企業(yè)暫未涉嫌刑事風險,則可參考目前的數(shù)據(jù)分類分級相關指南,如《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)分類分級指引》,靈活進行數(shù)據(jù)的分類與定級;若企業(yè)已涉嫌刑事風險,則應當對涉嫌刑事風險的相關數(shù)據(jù)進行特別分類與更高級別的定級管控;最后,建議企業(yè)針對不同類別與級別的數(shù)據(jù)設置區(qū)分化的管控措施。
?
根據(jù)《個人信息保護法》第五十五條和第五十六條的要求,建議企業(yè)建立個人信息保護影響評估機制(PIA),對于法定的需要開展個人信息保護影響評估的情形,事前開展評估工作,并依法留存?zhèn)€人信息保護影響評估報告和處理情況記錄。企業(yè)在應用該工具時,亦可與企業(yè)的OA審批等流程相結合,通過自動化的方式將該工具導入企業(yè)日常管理中,促進企業(yè)數(shù)據(jù)合規(guī)。
?
以上兩類工具的應用,不僅是為了落實《數(shù)據(jù)安全法》與《個人信息保護法》的要求,更為重要的是,應用上述工具的過程中所產生的眾多留痕文件,可以協(xié)助企業(yè)在事前、事中與事后環(huán)節(jié)有效識別風險,防范與應對潛在的刑事問題。
?
3.4 數(shù)據(jù)安全事件應急響應機制
?
根據(jù)《數(shù)據(jù)安全法》第二十七條的要求,企業(yè)應當建立數(shù)據(jù)安全事件應急響應機制,在發(fā)生數(shù)據(jù)安全事件時,應當立即采取處置措施,按照規(guī)定及時告知用戶并向有關主管部門報告。針對數(shù)據(jù)安全事件應急預案定期進行演練,以做到對數(shù)據(jù)安全事件的快速響應。對于已涉嫌刑事風險的企業(yè),建議在設置數(shù)據(jù)安全事件應急響應機制時,應當重點關注對于可能的犯罪行為已造成的危害后果(如個人信息主體權益嚴重受損等)的彌補,減輕企業(yè)數(shù)據(jù)類犯罪行為的法益侵害性。
?
3.5 第三方合作數(shù)據(jù)合規(guī)管理機制
?
業(yè)務運營中,建議企業(yè)應當針對上下游嚴格落實全閉環(huán)審核管理,前期審核包括審核服務對象的數(shù)據(jù)內容、使用范圍是否明確,及要求的數(shù)據(jù)提供方式是否安全等。中期審核包括合同審核,合作伙伴資質審核,明確數(shù)據(jù)使用范圍,同時確保針對個人信息的隱私保護技術的切實有效性。后期審核包括通過使用審計或者定期報告等手段,監(jiān)測整個數(shù)據(jù)共享鏈條上的供應商及代理等是否有效履行了合規(guī)義務。同時,在第三方合作場景下,建議企業(yè)根據(jù)與第三方合作的關系,區(qū)分化簽訂不同類型的《數(shù)據(jù)處理協(xié)議》。
?
在大數(shù)據(jù)時代,企業(yè)的上下游往往是引爆企業(yè)刑事風險的“地雷",諸多案件證明了,由于普遍存在的“數(shù)據(jù)黑市",讓企業(yè)往往存在一定的僥幸心里:“大家都這么干,為什么非要抓我?“。根據(jù)我們的經驗,很多企業(yè)卷入刑事危機,往往是由于一次不經意的"合作“,導致了數(shù)年后的刑事風暴。因此,我們建議,對于各類數(shù)據(jù)處理者,尤其是大數(shù)據(jù)企業(yè),需要設定特定內部合規(guī)機制,在經營中全面、不時地排查與第三方合作的有關風險。
?
3.6?積極開展數(shù)據(jù)安全教育與培訓
?
根據(jù)《數(shù)據(jù)安全法》第二十七條的規(guī)定,建議企業(yè)積極開展數(shù)據(jù)安全教育與培訓工作,增強和提升員工的數(shù)據(jù)安全保護意識和保護能力。根據(jù)近期公布的刑事相關案件,特別是“SDK案",我們注意到員工個人涉刑事風險亦非常高,且對員工個人的影響極大。因此,企業(yè)開展數(shù)據(jù)安全教育與培訓工作的意義,不僅在于防范企業(yè)的合規(guī)風險,更在于避免員工個人面臨刑事風險。
?
3.7 定期開展個人信息保護合規(guī)審計
?
根據(jù)《個人信息保護法》第五十四條的要求,針對日常運營,尤其是高風險的數(shù)據(jù)處理活動,建議企業(yè)聘請外部專業(yè)人員,通過內外部合作定期開展個人信息保護合規(guī)審計工作,以審計方式,定期巡查數(shù)據(jù)合規(guī)問題。
?
3.8 重視數(shù)據(jù)安全的權限管理工作
?
在數(shù)據(jù)安全措施方面,建議企業(yè)重點關注權限管理工作。建議企業(yè)根據(jù)崗位職責設置各級數(shù)據(jù)處理權限,按照最小必要、職權分離等原則,授予不同員工為完成各自承擔任務所需的最小權限,在各賬號間形成相互制約的關系。同時,明確數(shù)據(jù)權限授權審批流程,對數(shù)據(jù)申請和變更權限嚴格控制并定期審核,與能夠接觸重要數(shù)據(jù)或個人信息的員工簽訂數(shù)據(jù)保護協(xié)議。
?
結語
如果企業(yè)做好了數(shù)據(jù)合規(guī),是否就能依法“脫罪“?盡管很多學者倡導構建事前合規(guī)、實體出罪的合規(guī)激勵機制,但此類機制尚未體現(xiàn)在《刑法》條文中。不過令人欣慰的事,在數(shù)據(jù)合規(guī)和個人信息保護領域,因合規(guī)而脫罪的刑事案件已經出現(xiàn),而且在實踐中有關案例也層出不窮?!秱€人信息保護法》69條設定的"推定過錯責任“也證明了在個人信息保護領域,立法者鼓勵數(shù)據(jù)處理者通過搭建實施合規(guī)制度,可以證明自己的"無過錯“,避免侵權責任。
?
因此,在數(shù)字經濟時代,只有在"當數(shù)據(jù)合規(guī)遇到刑事追訴“這種情況發(fā)生時,企業(yè)和員工不再因終極制裁而擔心和焦慮,企業(yè)才能因此走向健康、無阻的康莊大道。
?
?點擊閱讀?
當數(shù)據(jù)合規(guī)遇見刑事追訴——首例數(shù)據(jù)合規(guī)不起訴案件所帶來的分析和啟示(上)
?
?