李玉華

(中國人民公安大學 法學院， 北京 100038)

訴訟中面臨著數字化的變革，主要包括數字化對訴訟工作模式以及訴訟技術等帶來的種種變化和挑戰(zhàn)。例如，遠程取證、跨境電子數據取證、遠程訊問、遠程會見、線上審理、大數據偵查、智慧檢察和智能審判等。其實，數字領域給訴訟制度帶來的挑戰(zhàn)，除了這些技術層面之外，可能還有一個角度，即刑事訴訟中如何對待數據合規(guī)問題，主要包括以下三個方面：

一、數據領域犯罪提出新挑戰(zhàn)

數據作為一種重要的資源，已經被提升至了前所未有的重要地位，國家已經把數據作為一個重要的生產要素，而且與數據有關的數字經濟也開始迅速發(fā)展。數據領域的發(fā)展，可謂日新月異。當然，數據領域的犯罪也同樣發(fā)展迅速。中國數據領域的三 駕馬車，即三部最主要的法律——《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)《中華人民共和國數據安全法》(以下簡稱《數據安全法》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)，都規(guī)定了與數據相關的違法犯罪行為。例如，《個人信息保護法》規(guī)定的侵犯公民個人信息罪、非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪以及非法控制計算機信息系統罪等；此外，還需特別關注拒不履行信息網絡安全管理義務罪等。拒不履行信息網絡安全管理義務罪是指網絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施后仍拒不改正的犯罪?！毒W絡安全法》《數據安全法》和《個人信息保護法》都給數據處理者規(guī)定了合規(guī)的義務，今后這方面的犯罪也可能會引起更多的關注。

二、數據領域犯罪的治理

數據領域犯罪帶來的挑戰(zhàn)是空前的，對數據領域犯罪的治理，也必然需要采取與傳統犯罪不同的治理方式。傳統的犯罪治理，重打擊輕預防，在打擊刑事犯罪時，重點關注的是否對犯罪定罪量刑、繩之以法，是否實現了罪責刑相一致，這是傳統意義上對刑事領域公平正義的關注點。但是，目前數據領域犯罪又呈現出一些新的特點，需要人們改變以往的治理觀念，在犯罪治理方面不僅要強調打擊，更要強調從源頭上進行治理，強調對數據領域犯罪的防范。合規(guī)便是一種很好的犯罪源頭治理方式。數據領域有很多大型企業(yè)，如阿里巴巴、美團、騰訊和京東等，對越大的企業(yè)進行合規(guī)越有必要，因為大企業(yè)一旦 侵犯公民個人信息或者進行其他違法犯罪，造成的危害往往是巨大的。以公民個人之力去對抗大型平臺企業(yè)，顯然太過微弱，因而從國家層面要求這些大型企業(yè)合規(guī)，可謂意義重大。

從公司管理者的角度來看，企業(yè)合規(guī)是一種公司治理方式；從行政管理部門的角度來看，企業(yè)合規(guī)是一種有效的行政監(jiān)管方式；從公安司法部門的角度來看，企業(yè)合規(guī)是治理企業(yè)犯罪的一種有效方式。企業(yè)合規(guī)不僅有利于預防犯罪，而且有利于調查和懲罰犯罪[1]。企業(yè)未涉案時進行的日常合規(guī)，主要是針對經營中的風險點建立合規(guī)體系，可以起到預防犯罪的作用；企業(yè)涉案后進行的糾錯整改型合規(guī)，則是針對企業(yè)所涉犯罪，有針對性地查找漏洞、制定整改方案以及糾正違法行為并防止日后再犯，是企業(yè)通過付出代價獲得重生的一種治理方式。合規(guī)在犯罪治理中的價值主要體現在三個方面：首先，防范犯罪；其次，舉報與內部調查，共同打擊犯罪；最后，整頓重生、健康發(fā)展[2]。

近年來，企業(yè)合規(guī)被引入法律領域并為中國學者所關注。企業(yè)合規(guī)是一個舶來品，在歐美運用得較多，特別是在2000年之后得到了迅速發(fā)展。美國不僅將其作為犯罪治理的手段，而且還將其作為實現長臂管轄的重要手段，對世界上很多大企業(yè)都進行過合規(guī)，如德國的商業(yè)銀行和西門子公司，法國的巴黎銀行和阿爾斯通公司，英國的匯豐銀行、渣打銀行和勞斯萊斯公司，日本的松下公司和日揮株式會社等[3]。隨著中國學者和專家對合規(guī)的引入和關注，法學界也開始關注合規(guī)。

刑法學界最早關注合規(guī)時，提出的概念多是刑事合規(guī)，主要側重實體法方面，但是從2020年3月開始，最高人民檢察院開始推動企業(yè)合規(guī)不起訴制度試點。這一制度與中國現有的刑事訴訟制度進行了對接，引起了刑事訴訟法學界更多學者的關注。目前，刑事訴訟法學者的研究主要集中在兩個方面：一方面，探討企業(yè)合規(guī)與刑事訴訟的關系，旨在為企業(yè)合規(guī)尋找刑事訴訟的制度依據。首先，探尋促使企業(yè)進行合規(guī)的刑事訴訟激勵措施。目前，中國刑事訴訟的合規(guī)激勵措施，主要是合規(guī)不起訴，對進行承諾合規(guī)和已經進行合規(guī)的涉案企業(yè)，可以進行不起訴。其次，量刑從輕。最后，中國在刑事訴訟的激勵中還有本土化的優(yōu)勢，即在強制措施領域進行合規(guī)。另一方面，探討中國企業(yè)合規(guī)試點中存在的問題，旨在推動企業(yè)合規(guī)向前發(fā)展。2020年，最高人民檢察院開始在6個基層人民檢察院推行企業(yè)合規(guī)第一輪試點，此輪試點的都是中小微企業(yè)；2021年3月 開始，擴大了企業(yè)合規(guī)試點的范圍和規(guī)模，在10個 省市的檢察院展開，且出現了大型企業(yè)，甚至還有外資企業(yè)，試點的范圍更加廣泛。

總之，法學界對企業(yè)合規(guī)試點改革的密切關注，主要是就企業(yè)責任與個人責任、合規(guī)不起訴的適用對象、有效合規(guī)的標準、第三方監(jiān)管的啟動條件及人員選任、合規(guī)的費用以及檢察官的裁量等問題進行了較為深入的研究。

三、數據合規(guī)的要點

數據合規(guī)的重點是什么？目前，對于數據領域關注較多的是律師，因為合規(guī)是律師的一項新業(yè)務。

在合規(guī)業(yè)務中，有全面合規(guī)(也稱“大合規(guī)”)，遍布企業(yè)所有業(yè)務環(huán)節(jié)、所有人員和所有領域；也有誠信合規(guī)(也稱“小合規(guī)”)，涉及反欺詐、反商業(yè)賄賂和反壟斷等領域。此外，還有專項合規(guī)，是具體某一 領域的合規(guī)，如知識產權領域、環(huán)境保護領域等的合規(guī)，當然也包括數據合規(guī)。

目前，中國數據專項合規(guī)的關注點是什么？這與數據領域的三部最主要的法律密切相關，尤其是《個人信息保護法》。2021年實施的《數據安全法》和《個人信息保護法》，都對數據處理者的合規(guī)義務作了更加明確的規(guī)定。

根據《個人信息保護法》，合規(guī)包括數據收集、存儲、使用、加工、傳輸、提供、公開和刪除等數據處理的全鏈條、全過程的合規(guī)，特別是公眾關注的，如知情權、可攜帶權和刪除權等。這些都是數據合規(guī)業(yè)務中需要重點關注的?！秱€人信息保護法》明確規(guī)定了個人信息處理者的合規(guī)義務。例如，第51條，規(guī)定了合規(guī)的主要內容；第52條，規(guī)定了建立個人信息保護負責人制度；第53條，規(guī)定了境外個人信息處理者設立專門機構或指定代表的義務；第54條， 規(guī)定了定期合規(guī)審計的義務；第55條和第56條，規(guī)定了事前個人信息保護影響評估的義務；第57條，規(guī)定了個人信息泄露采取補救措施和通知的義務；第58條，規(guī)定了提供重要互聯網平臺服務、用戶數量巨大以及業(yè)務類型復雜的個人信息處理者的特別義務；第59條，規(guī)定了接受委托處理個人信息的受托人的義務；第64條，規(guī)定“個人信息保護部門可約談或要求合規(guī)審計。個人信息處理者應當采取措施，進行整改，消除隱患”。

2021年7月，網絡安全審查辦公室對滴滴、運滿滿、貨車幫、BOSS直聘等企業(yè)啟動網絡安全審查，引發(fā)社會和企業(yè)對數據安全合規(guī)問題的關注。對于數據安全法領域，重要的合規(guī)點主要有數據的分級分類管理制度、數據安全的風險評估與數據安全審查制度以及出口管制制度。例如，《數據安全法》規(guī)定了數據處理者的合規(guī)義務。其中，第27條第2款，規(guī)定了重要數據處理者設置數據安全負責人和管理機構的義務；第30條，規(guī)定了重要數據處理者定期開展風險評估及向主管部門報送風險評估報告的義務；第31條，規(guī)定了重要數據出境需要遵守《網絡安全法》的義務等。這些領域的合規(guī)不僅要關注中國的法律，還要關注國際條約與企業(yè)境外經營所在國的法律。因為數據專項領域的合規(guī)與其他領域的合規(guī)相比是不同的，即使是國內企業(yè)，其客戶也可能遍布全球，所以整個合規(guī)領域的法律依據，需要更多關注國際。

此外，合規(guī)的重點還在于數據的跨境流動，涉及個人信息和重要信息的跨境流動，現在世界不同國家采取不同模式，未能達成共識。

歐盟基于傳統的人權保護觀念，對數據跨境流動采取了比較嚴格的限制政策，主要依據是《一般數據保護規(guī)則》(GDPR)和《非個人數據在歐盟境內自由流動框架條例》。歐盟明確了數據跨境流動的“充分性”標準，為數據流動的安全提供了保障，但復雜的認定程序與高標準在一定程度上限制了數據的自由流動。

與歐盟的嚴格限制不同，美國采取鼓勵數據自由流動的寬松政策，將“跨境數據自由流動”作為貿易協議的內容，以此打破其他國家的數據出境壁壘并希望構建無障礙數據流動圈[4]。美國出臺《澄清境外數據的合法使用法案》(CLOUD法案)，允許政府跨境獲取數據，打破數據屬地管轄模式，實現長臂管轄。此外，美國嚴格限制與重要技術相關的數據和涉密敏感數據的出境，對外國投資的數據跨境流動進行管制，對涉及關鍵技術等的數據進行安全審查[5]。

中國正在不斷完善數據跨境流動保護的法律，發(fā)布了《個人信息出境安全評估辦法》和《數據安全管理辦法》等相關規(guī)定的征求意見稿。根據《網絡安全法》第37條、《數據安全法》第31條以及《個人信息保護法》第40條的規(guī)定，數據實行本地存儲。在國際博弈與合作中，中國也正在積極作為，不斷完善數據合規(guī)體系，推動國際規(guī)則的生成。

因而，企業(yè)進行合規(guī)建設時要多關注本國以及企業(yè)經營所在國的法律，充分了解不同國家的數據跨境流動政策，在數據跨境流動的過程中迎接合規(guī)工作的挑戰(zhàn)。出于對數據保護與合規(guī)問題的重視，不同國家的相關立法如雨后春筍般頻頻出臺。因此，企業(yè)除了需要根據國內外生效的數據規(guī)范做好合規(guī)工作外，還需要關注國內外的立法動態(tài)與監(jiān)管趨勢，衡量合規(guī)風險，及時做好應對準備。此外，在不同的國家開展業(yè)務時，企業(yè)應當遵循所在國的具體要求，準備多元化的合規(guī)方案以應對不同國家的數據規(guī)制標準，準確識別數據種類并做好數據分類管理，在本國法與目標國法之間確定科學的數據戰(zhàn)略，以實現發(fā)展與合規(guī)二者之間的平衡。