周維明

(中國應(yīng)用法學(xué)研究所,北京 100062)

歷史的數(shù)據(jù)來自數(shù)據(jù)的歷史。人類文明的發(fā)展史,同時也是數(shù)據(jù)產(chǎn)生、迭代與進(jìn)化的歷史。隨著數(shù)字化、網(wǎng)絡(luò)化、大數(shù)據(jù)、人工智能等當(dāng)代信息科技的快速發(fā)展和廣泛應(yīng)用,當(dāng)今社會已經(jīng)進(jìn)入數(shù)字社會。數(shù)字社會主要有兩個特征:一是社會本身的全面數(shù)字化,即一切關(guān)系皆可用數(shù)據(jù)表征,一切趨勢皆可用數(shù)據(jù)預(yù)測;二是數(shù)據(jù)成為第五大生產(chǎn)要素①參見2020年公布的《中共中央、國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》。,是繼物質(zhì)、能源之后的第三大基礎(chǔ)性戰(zhàn)略資源。②參見2015年國務(wù)院印發(fā)的《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》。目前,我國已成為全球數(shù)據(jù)要素市場發(fā)展最為活躍、最具潛力的國家之一,由數(shù)據(jù)采集、數(shù)據(jù)清洗、數(shù)據(jù)標(biāo)注、數(shù)據(jù)交易等核心數(shù)據(jù)環(huán)節(jié)構(gòu)成的中國數(shù)據(jù)要素市場快速成長。海量數(shù)據(jù)和豐富應(yīng)用場景的優(yōu)勢,促進(jìn)了數(shù)據(jù)科技與實(shí)體經(jīng)濟(jì)的深度融合,為推動經(jīng)濟(jì)高質(zhì)量發(fā)展提供了新動能。但是,利之所在,弊亦隨之?！耙磺卸急挥涗?一切都被分析”的數(shù)據(jù)化,催生了數(shù)據(jù)安全風(fēng)險(xiǎn)。從全球來看,數(shù)據(jù)泄露、數(shù)據(jù)販賣等數(shù)據(jù)犯罪案件頻發(fā),為個人隱私、企業(yè)商業(yè)秘密、國家安全帶來了嚴(yán)重的安全隱患,通過刑事法律進(jìn)行數(shù)據(jù)安全治理已經(jīng)刻不容緩。數(shù)據(jù)刑事合規(guī)是企業(yè)預(yù)防因數(shù)據(jù)安全犯罪所可能引發(fā)的刑事風(fēng)險(xiǎn)、建構(gòu)數(shù)字經(jīng)濟(jì)安全體系的關(guān)鍵,也是健全完善共建共治共享的數(shù)據(jù)治理制度的重要一環(huán)。鑒于此,本文擬在分析企業(yè)所面臨的數(shù)據(jù)安全犯罪刑事風(fēng)險(xiǎn)的基礎(chǔ)上,就刑事合規(guī)的必要性、制度設(shè)計(jì)思路和以刑事合規(guī)實(shí)現(xiàn)數(shù)據(jù)犯罪治理的路徑展開論述,以期能拋磚引玉,求教于方家。

一、數(shù)據(jù)安全犯罪刑事風(fēng)險(xiǎn)與合規(guī)治理路徑

我國刑法設(shè)立了多個與數(shù)據(jù)違規(guī)密切相關(guān)的罪名,數(shù)據(jù)領(lǐng)域企業(yè)面臨較大的刑事風(fēng)險(xiǎn)。建立數(shù)據(jù)刑事合規(guī)體系,保障數(shù)據(jù)業(yè)務(wù)合規(guī)運(yùn)行,不僅是企業(yè)預(yù)防刑事風(fēng)險(xiǎn)的必要途徑,也是完善數(shù)據(jù)流通和分享的政策監(jiān)管體系,有效保護(hù)企業(yè)產(chǎn)權(quán)的重要舉措。

(一)數(shù)據(jù)安全犯罪所引發(fā)的刑事風(fēng)險(xiǎn)

在數(shù)據(jù)安全保護(hù)法律體系中,刑法占據(jù)重要地位,發(fā)揮著“最后手段”的保障功能。由于刑法自身的片面性與不完整性,其不可能事無巨細(xì)地描繪數(shù)據(jù)犯罪的所有構(gòu)成要件特征,只能由相應(yīng)的前置法規(guī)范所規(guī)定的義務(wù),作為判斷相應(yīng)行為具有刑事違法性的重要根據(jù)。①時延安:《數(shù)據(jù)安全的刑法保護(hù)路徑及方案》,載《江海學(xué)刊》2022年第2期,第142頁。在我國現(xiàn)行的法律體系中,數(shù)據(jù)治理有三部非常重要的法律,依次為2017年6月1日生效的《網(wǎng)絡(luò)安全法》、2021年9月1日生效的《數(shù)據(jù)安全法》和2021年11月1日生效的《個人信息保護(hù)法》。這三部法律明確了企業(yè)的數(shù)據(jù)安全監(jiān)管職責(zé),共同構(gòu)成了數(shù)據(jù)安全的前置法保護(hù)體系。②在面對數(shù)據(jù)安全刑事風(fēng)險(xiǎn)時,企業(yè)首當(dāng)其沖,這一原因可以通過以下數(shù)據(jù)得到解釋:根據(jù)國際權(quán)威機(jī)構(gòu)IDC發(fā)布的分析報(bào)告,2020年,與消費(fèi)者相比,企業(yè)要保護(hù)的數(shù)據(jù)更多,占需要保護(hù)數(shù)據(jù)總量的85.6%。據(jù)此,企業(yè)面臨的數(shù)據(jù)安全刑事風(fēng)險(xiǎn),可以劃分為以下兩種類型。

1.嚴(yán)重違反數(shù)據(jù)安全規(guī)則而導(dǎo)致的刑事風(fēng)險(xiǎn)

數(shù)據(jù)安全是指通過采取必要措施,確保數(shù)據(jù)處于有效控制和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。③于改之:《從控制到利用:刑法數(shù)據(jù)治理的模式轉(zhuǎn)換》,載《中國社會科學(xué)》2022年第7期,第56頁。數(shù)據(jù)安全包括數(shù)據(jù)存儲安全、數(shù)據(jù)運(yùn)輸安全和數(shù)據(jù)使用安全。就數(shù)據(jù)存儲安全與運(yùn)輸安全而言,刑法主要涉及對非法取得、篡改、銷毀數(shù)據(jù)等行為的懲治。由于數(shù)據(jù)的存儲、處理等依賴于計(jì)算機(jī)信息系統(tǒng),因此,首先涉及計(jì)算機(jī)信息系統(tǒng)安全和網(wǎng)絡(luò)安全方面的罪名,如非法侵入計(jì)算機(jī)信息系統(tǒng)罪,非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪,提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪,破壞計(jì)算機(jī)信息系統(tǒng)罪等;如果非法收集的數(shù)據(jù)為個人信息,則涉及侵犯公民個人信息罪。④例如,黎某在湖南省瀏陽市成立了瀏陽市泰創(chuàng)網(wǎng)絡(luò)科技有限公司,逯某作為公司技術(shù)員利用自己開發(fā)的“爬蟲軟件,通過網(wǎng)頁接口爬取11.8億條客戶信息,并將手機(jī)號碼提供給黎某,用于該公司經(jīng)營活動。黎某與逯某均被法院認(rèn)定構(gòu)成侵犯公民個人信息罪。參見河南省商丘市睢陽區(qū)人民法院(2021)豫1403刑初78號刑事判決書。以上幾類行為危害的是公共數(shù)據(jù)安全。如果非法收集的數(shù)據(jù)被鑒定為國家秘密或情報(bào),則涉及為境外竊取、刺探、收買、非法提供國家秘密、情報(bào)罪①例如,國家安全機(jī)關(guān)不久前破獲了一起為境外刺探、非法提供高鐵數(shù)據(jù)的重要案件。這起案件是《數(shù)據(jù)安全法》實(shí)施以來首例涉案數(shù)據(jù)被鑒定為情報(bào)的案件,也是首例涉及高鐵運(yùn)行安全的危害國家安全案件。參見央廣網(wǎng):《國家安全機(jī)關(guān)公布一起為境外刺探、非法提供高鐵數(shù)據(jù)的重要案件》,載央廣網(wǎng)2022年4月14日,http://china.cnr.cn/gdgg/20220414/t20220414_525795356.shtml.,這類行為危害的是國家數(shù)據(jù)安全。就數(shù)據(jù)使用安全而言,為他人實(shí)施信息網(wǎng)絡(luò)犯罪活動提供數(shù)據(jù)處理服務(wù)的,涉及幫助信息網(wǎng)絡(luò)犯罪活動罪。

2.不履行網(wǎng)絡(luò)服務(wù)提供者監(jiān)管義務(wù)導(dǎo)致的刑事風(fēng)險(xiǎn)

本類風(fēng)險(xiǎn)涉及的罪名是拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,主要包括“致使用戶信息泄露,造成嚴(yán)重后果的”,即數(shù)據(jù)泄露的風(fēng)險(xiǎn)。近年來,全球數(shù)據(jù)被攻擊、竊取、劫持等現(xiàn)象層出不窮,我國屬于“重災(zāi)區(qū)”,掌握海量用戶信息的金融、保險(xiǎn)、教育、醫(yī)療等行業(yè),以及互聯(lián)網(wǎng)、電信運(yùn)營商等企業(yè),往往面臨較高的數(shù)據(jù)泄露風(fēng)險(xiǎn)。從相關(guān)案例來看,數(shù)據(jù)泄露的源頭主要有兩個:一是內(nèi)鬼泄密②例如,2020年,不法分子與圓通快遞多位“內(nèi)鬼”勾結(jié),致40萬條個人信息泄露。參見杜恒峰:《圓通內(nèi)鬼泄露客戶信息,如何避免“下一次”?》,載《每日經(jīng)濟(jì)新聞》2020年11月18日,第001版。,二是黑客竊?、劾?2018年,犯罪嫌疑人劉某某利用黑客手段竊取華住集團(tuán)旗下酒店約5億條數(shù)據(jù)并在境外網(wǎng)站兜售。參見銀昕:《“華住開房記錄泄露案”該如何處罰?》,載《中國經(jīng)濟(jì)周刊》2018年第45期,第42頁。,這暴露了涉案企業(yè)在數(shù)據(jù)安全防護(hù)體系和履行監(jiān)管義務(wù)機(jī)制上的不健全。2019年10月25日,最高人民法院與最高人民檢察院發(fā)布的《關(guān)于辦理非法利用信息網(wǎng)絡(luò)、幫助信息網(wǎng)絡(luò)犯罪活動等刑事案件適用法律若干問題的解釋》明確,網(wǎng)絡(luò)服務(wù)提供者拒不履行信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使泄露行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息500條以上的將入罪。考慮到此類數(shù)據(jù)泄露動輒以數(shù)十萬條乃至上億條計(jì),這就意味著對于涉案企業(yè)而言,如果沒有履行監(jiān)管部門規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),就存在“一泄露就入罪”的嚴(yán)重風(fēng)險(xiǎn)。

(二)數(shù)據(jù)治理的必要選擇:刑事合規(guī)

面對數(shù)字經(jīng)濟(jì)發(fā)展及其所帶來的風(fēng)險(xiǎn)挑戰(zhàn),刑事立法與司法面臨兩方面的任務(wù):一方面,需要積極構(gòu)建確保數(shù)字經(jīng)濟(jì)安全的規(guī)范新形態(tài);另一方面,需要充分促進(jìn)數(shù)據(jù)的開發(fā)與利用,不因刑事風(fēng)險(xiǎn)而帶來“寒蟬效應(yīng)”。一言以蔽之,存在安全與效率之間的權(quán)衡取舍。在此過程中,刑事合規(guī)發(fā)揮了重要作用。

1.刑事合規(guī)制度的基本功能指向

數(shù)據(jù)安全關(guān)系國家發(fā)展,民族復(fù)興。近年來,政府部門對網(wǎng)絡(luò)信息和個人數(shù)據(jù)的監(jiān)管力度日益加大,數(shù)據(jù)領(lǐng)域企業(yè)刑事風(fēng)險(xiǎn)陡然增加。自2018年5月25日歐盟出臺《通用數(shù)據(jù)保護(hù)條例》以來,數(shù)據(jù)合規(guī)成為了世界各國關(guān)注的熱點(diǎn)。2017年《網(wǎng)絡(luò)安全法》的正式實(shí)施開啟了中國數(shù)據(jù)合規(guī)元年。個人信息保護(hù)以及數(shù)據(jù)安全領(lǐng)域的兩部專屬立法,即《個人信息保護(hù)法》與《數(shù)據(jù)安全法》共同構(gòu)建了中國數(shù)據(jù)合規(guī)的基礎(chǔ)法律框架,刑事合規(guī)制度從來沒有像今天這樣重要、迫切。

(1)前端治理與數(shù)據(jù)利用的兩全

一方面,《刑法修正案(九)》修正的數(shù)據(jù)犯罪,都強(qiáng)化了對單位犯罪主體的刑事制裁④集中體現(xiàn)為:不僅對《刑法》第285條、第286條的傳統(tǒng)信息網(wǎng)絡(luò)犯罪,對于新增的新型信息網(wǎng)絡(luò)犯罪(即拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、非法利用信息網(wǎng)絡(luò)罪、幫助信息網(wǎng)絡(luò)犯罪活動罪),也增加了單位犯罪的規(guī)定。,實(shí)際上對數(shù)據(jù)領(lǐng)域企業(yè)提出了更高的刑法義務(wù)要求。另一方面,我國雖然已經(jīng)頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護(hù)法》,但構(gòu)建數(shù)據(jù)治理框架的努力才剛剛開始,國家數(shù)據(jù)安全治理體系還需要進(jìn)一步完善,這意味著刑法與前置法尚未實(shí)現(xiàn)充分銜接,罪與非罪的界限尚不清晰。在我國單位犯罪雙罰制模式下,企業(yè)一旦面臨承擔(dān)刑事責(zé)任的風(fēng)險(xiǎn)或者受到刑事處罰,其后果將會是致命的。為了保護(hù)自身的生存和利益,企業(yè)可以通過刑事合規(guī)制度的建立,完善風(fēng)險(xiǎn)防范機(jī)制、實(shí)現(xiàn)罪前預(yù)防。

(2)多元治理與犯罪預(yù)防的兼顧

傳統(tǒng)刑法具有謙抑性和滯后性,只能在犯罪發(fā)生以后對相關(guān)行為進(jìn)行評價,這種事后評價對于數(shù)據(jù)安全的保護(hù)有其自身的局限性,無法起到預(yù)防和有效恢復(fù)已經(jīng)受損法益的效果。同時,數(shù)據(jù)領(lǐng)域企業(yè)存在復(fù)雜的管理流程、環(huán)節(jié)及海量的數(shù)據(jù)流,國家層面的全環(huán)節(jié)監(jiān)管在監(jiān)管能力和成本上都力有不逮。在此背景下,僅僅憑借刑事立法和司法的強(qiáng)制力作用,已經(jīng)不能適應(yīng)大數(shù)據(jù)時代法益保護(hù)的有效性需求。①白旭明:《網(wǎng)絡(luò)平臺刑事合規(guī)的風(fēng)險(xiǎn)防控與規(guī)則建構(gòu)》,載《華南理工大學(xué)學(xué)報(bào)(社會科學(xué)版)》2022年第4期,第65頁。因此,要抑制數(shù)據(jù)安全犯罪的產(chǎn)生,就必須適時地改變偏重事后懲罰的傳統(tǒng)的消極犯罪預(yù)防理念,轉(zhuǎn)向積極的一般預(yù)防新思路,即在數(shù)據(jù)犯罪的治理過程吸收數(shù)據(jù)領(lǐng)域企業(yè)積極參與的理念。刑事合規(guī)正是上述一般預(yù)防主義的體現(xiàn)。刑事合規(guī)的引入為涉案企業(yè)提供了主動自律的機(jī)會和根據(jù),涉案企業(yè)事前良好的合規(guī)表現(xiàn)或者亡羊補(bǔ)牢式的事后合規(guī)機(jī)制的構(gòu)建,降低了一般預(yù)防的必要性②張勇:《數(shù)據(jù)安全刑事合規(guī)的濾罪模式》,載《學(xué)術(shù)論壇》2022年第3期,第14頁。,同時也緩解了國家數(shù)據(jù)治理的壓力,彌補(bǔ)了國家法律規(guī)制的不足,形成國家和企業(yè)二元共治的數(shù)據(jù)治理體系,是推動國家治理體系與治理能力現(xiàn)代化的體現(xiàn)。

(3)寬嚴(yán)相濟(jì)刑事政策與產(chǎn)權(quán)保護(hù)的協(xié)調(diào)

2016年11月發(fā)布的中共中央、國務(wù)院《關(guān)于完善產(chǎn)權(quán)保護(hù)制度依法保護(hù)產(chǎn)權(quán)的意見》中明確要求,“以發(fā)展眼光客觀看待和依法妥善處理改革開放以來各類企業(yè)特別是民營企業(yè)經(jīng)營過程中存在的不規(guī)范問題”。數(shù)字經(jīng)濟(jì)是近幾年快速發(fā)展起來的新型經(jīng)濟(jì)模式,我國數(shù)字經(jīng)濟(jì)規(guī)則的軟實(shí)力不夠,數(shù)據(jù)流通和分享的政策監(jiān)管體系還不完善;另外,數(shù)據(jù)領(lǐng)域企業(yè)大多為民營企業(yè),其企業(yè)文化和組織架構(gòu)尚不能完全適應(yīng)新的數(shù)字化潮流。因此,對企業(yè)目前在數(shù)據(jù)安全領(lǐng)域的違規(guī)違法行為,不能動輒則咎,而是要“以發(fā)展眼光客觀看待”,以免保護(hù)過度而扼殺企業(yè)的創(chuàng)新活動?？隙ㄆ髽I(yè)創(chuàng)新發(fā)展的大方向,以包容審慎的原則性態(tài)度,通過刑事合規(guī)給予涉案企業(yè)不起訴或者暫緩起訴的寬待,以及刑罰減免的激勵,可以督促數(shù)據(jù)領(lǐng)域企業(yè)建立全面的自我監(jiān)管制度,促使它們更為健康和可持續(xù)發(fā)展與成長,這正是寬嚴(yán)相濟(jì)刑事政策的體現(xiàn)。

二、數(shù)據(jù)刑事合規(guī)的制度設(shè)計(jì)思路

《數(shù)據(jù)安全法》第4條規(guī)定:“維護(hù)數(shù)據(jù)安全,應(yīng)當(dāng)堅(jiān)持總體國家安全觀,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力?！睌?shù)據(jù)治理的核心是數(shù)據(jù)安全合規(guī)。刑事法律是數(shù)據(jù)安全的最后一道防線,犯罪治理是數(shù)據(jù)安全治理體系的最重要環(huán)節(jié)。問題在于,傳統(tǒng)的犯罪治理重打擊輕預(yù)防。但是,數(shù)據(jù)領(lǐng)域犯罪治理方面不僅要強(qiáng)調(diào)打擊,更要強(qiáng)調(diào)從源頭上進(jìn)行治理,強(qiáng)調(diào)對數(shù)據(jù)領(lǐng)域犯罪的防范。刑事合規(guī)便是一種很好的犯罪源頭治理方式。①李玉華:《數(shù)據(jù)合規(guī)與刑事訴訟》,載《北京航空航天大學(xué)學(xué)報(bào)(社會科學(xué)版)》2022年第2期,第30頁。所謂數(shù)據(jù)刑事合規(guī),是指為了保障數(shù)據(jù)安全,企業(yè)、政府部門、司法機(jī)關(guān)等所進(jìn)行的企業(yè)內(nèi)外部合規(guī)治理活動。②張勇:《數(shù)據(jù)安全刑事合規(guī)的濾罪模式》,載《學(xué)術(shù)論壇》2022年第3期,第15頁。

(一)數(shù)據(jù)刑事合規(guī)的類型化

數(shù)據(jù)刑事合規(guī)本體,根據(jù)主體的不同,可以區(qū)分為企業(yè)和司法機(jī)關(guān)的刑事合規(guī):企業(yè)作為刑事合規(guī)的主體,針對數(shù)據(jù)獲取、存儲、流通和使用過程中的刑事風(fēng)險(xiǎn),制定和實(shí)施數(shù)據(jù)合規(guī)計(jì)劃;司法機(jī)關(guān)運(yùn)用法律手段懲治和預(yù)防危害數(shù)據(jù)安全的違法犯罪。數(shù)據(jù)刑事合規(guī)還可以區(qū)分為事前合規(guī)和事后合規(guī):前者是指企業(yè)經(jīng)營管理活動中建立內(nèi)部風(fēng)險(xiǎn)控制制度,防止企業(yè)實(shí)施涉及數(shù)據(jù)安全的犯罪;后者是指企業(yè)觸及數(shù)據(jù)安全刑事風(fēng)險(xiǎn)后所做的整改補(bǔ)救措施,以預(yù)防再次犯罪的發(fā)生。③張勇:《數(shù)據(jù)安全刑事合規(guī)的濾罪模式》,載《學(xué)術(shù)論壇》2022年第3期,第15頁。

數(shù)據(jù)刑事合規(guī)的法律依據(jù)可以區(qū)分為實(shí)體法上的依據(jù)與程序法上的依據(jù):實(shí)體法層面針對的是企業(yè)涉嫌犯罪并遭受刑罰處罰的風(fēng)險(xiǎn),主要考慮通過企業(yè)建立內(nèi)部合規(guī)計(jì)劃來事前化解其可能遭受的刑罰風(fēng)險(xiǎn),秉持的是結(jié)果論;程序法層面考慮的是利用具體刑事訴訟制度引導(dǎo)、激勵企業(yè)建立和執(zhí)行合規(guī)計(jì)劃,承擔(dān)的多是激勵機(jī)制的工具性功能。④裴煒:《刑事數(shù)字合規(guī)困境:類型化及成因探析》,載《東方法學(xué)》2022年第2期,第160頁。

(二)數(shù)據(jù)刑事合規(guī)的基本原則

第一,數(shù)據(jù)分級與數(shù)據(jù)刑事合規(guī)的寬免性掛鉤。對數(shù)據(jù)分類分級,是開展數(shù)據(jù)治理的起始點(diǎn)?！稊?shù)據(jù)安全法》第21條規(guī)定“國家建立數(shù)據(jù)分類分級保護(hù)制度”。⑤要求國家根據(jù)數(shù)據(jù)對國家、社會的價值(數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度),以及出現(xiàn)安全事件后造成的危害后果(一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度),來開展數(shù)據(jù)分類分級的工作。參見洪延青:《國家安全視野中的數(shù)據(jù)分類分級保護(hù)》,載《中國法律評論》2021年第5期,第72頁。據(jù)此而言,相關(guān)保障法也應(yīng)當(dāng)相應(yīng)地確定與受保護(hù)數(shù)據(jù)的類別和級別匹配的安全保護(hù)水平和措施。我國刑法過去對犯罪采用的是“定性+定量”的犯罪立法模式,對數(shù)據(jù)犯罪而言,重點(diǎn)在于“定量”,甚至有“唯數(shù)額論”的傾向。⑥在與數(shù)據(jù)犯罪有關(guān)的司法解釋中,仍然可以看到大量對計(jì)量標(biāo)準(zhǔn)的明確規(guī)定。例如,最高人民法院、最高人民檢察院2011年頒布的《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》第1條規(guī)定:“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)或者非法控制計(jì)算機(jī)信息系統(tǒng),具有下列情形之一的,應(yīng)當(dāng)認(rèn)定為刑法第二百八十五條第二款規(guī)定的‘情節(jié)嚴(yán)重’:(一)獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息10組以上的;(二)獲取第(一)項(xiàng)以外的身份認(rèn)證信息500組以上的……”最高人民法院、最高人民檢察院2017年頒布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條規(guī)定:“非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的‘情節(jié)嚴(yán)重’?！边@一模式在數(shù)據(jù)犯罪對象進(jìn)入海量階段后顯得捉襟見肘。在此情況下,應(yīng)當(dāng)在數(shù)據(jù)分類分級的基礎(chǔ)上,根據(jù)數(shù)據(jù)安全法益保護(hù)的必要性及重要程度,明確數(shù)據(jù)犯罪的數(shù)額或數(shù)量標(biāo)準(zhǔn)和綜合性情節(jié)的罪量評價要素。⑦張勇:《數(shù)據(jù)安全分類分級的刑法保護(hù)》,載《法治研究》2021年第3期,第26頁。換言之,應(yīng)當(dāng)明確“定性優(yōu)先+定量輔助”的犯罪立法模式。所謂“定性”,就是數(shù)據(jù)的分類分級。⑧《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度,將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù),不同級別的數(shù)據(jù)采取不同的保護(hù)措施。國家對個人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),對核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。根據(jù)這一模式,在定量因素已經(jīng)確定的情況下,作為犯罪對象的數(shù)據(jù)的分類分級越高,罪量就越大,通過事后刑事合規(guī)給予涉案企業(yè)起訴或刑罰上的寬免的可能性就越小,反之亦然。

第二,行政合規(guī)與刑事合規(guī)實(shí)現(xiàn)體系融合。數(shù)據(jù)犯罪往往從違反數(shù)據(jù)行政監(jiān)管要求開始,因此,數(shù)據(jù)保護(hù)領(lǐng)域的犯罪均為法定犯,這就意味著作為前置法的行政法關(guān)于數(shù)據(jù)處理規(guī)則和管理義務(wù)的規(guī)定即為犯罪構(gòu)成要件(所謂“空白的構(gòu)成要件”),在此基礎(chǔ)上,只要符合數(shù)量、情節(jié)等特定構(gòu)成要件就足以轉(zhuǎn)化為犯罪。①毛逸瀟:《數(shù)據(jù)保護(hù)合規(guī)體系研究》,載《國家檢察官學(xué)院學(xué)報(bào)》2022年第2期,第93頁。如前所述,數(shù)據(jù)犯罪的入罪門檻極低,對于從事海量化數(shù)據(jù)處理的現(xiàn)代企業(yè)而言,一旦行政合規(guī)未達(dá)標(biāo)準(zhǔn),幾乎必然構(gòu)成犯罪。因此,行政合規(guī)是刑事合規(guī)的基礎(chǔ)和必要性前提。因企業(yè)違規(guī)所導(dǎo)致的法律責(zé)任,其基礎(chǔ)和必要性前提是行政監(jiān)管,刑事責(zé)任只是次生的、輔助性的,是最后手段。②張澤濤:《論企業(yè)合規(guī)中的行政監(jiān)管——以“行刑”銜接為中心》,載《法律科學(xué)》2022年第3期,第52頁。由此可見,應(yīng)當(dāng)以行政前置法與刑事法的銜接為切入點(diǎn),加強(qiáng)行政執(zhí)法機(jī)關(guān)對企業(yè)生產(chǎn)經(jīng)營活動的事前、事中和事后監(jiān)管,構(gòu)建以行政監(jiān)管為中心的企業(yè)合規(guī)體系。這樣的銜接既包括從行政合規(guī)到刑事合規(guī)的銜接,也包括從刑事合規(guī)到行政合規(guī)的銜接。就前者而言,是指只有在行政合規(guī)失效(行政監(jiān)管嚴(yán)重失靈且適用行政處罰還不足以予以懲戒時),才能啟動刑事合規(guī);就后者而言,涉案企業(yè)被“合規(guī)不起訴”后,需要隨后進(jìn)行有效的行政合規(guī)整改,消除企業(yè)的管理漏洞,預(yù)防再度發(fā)生同類犯罪。這些都涉及司法機(jī)關(guān)與行政監(jiān)管機(jī)關(guān)銜接配合的規(guī)則和程序,以及合規(guī)整改結(jié)果和處罰結(jié)果互認(rèn)機(jī)制。③陳文興:《刑事合規(guī)與行政合規(guī)銜接機(jī)制研究》,載《民主與法制周刊》2022年第19期,第50頁。

第三,對外合規(guī)與對內(nèi)合規(guī)沖突時,對內(nèi)合規(guī)優(yōu)先。從全球范圍看,數(shù)據(jù)流動對全球經(jīng)濟(jì)增長的貢獻(xiàn)已經(jīng)超過傳統(tǒng)的國際貿(mào)易和投資,數(shù)據(jù)跨境流動是經(jīng)濟(jì)全球化的必然要求。但是,數(shù)據(jù)同時又事關(guān)數(shù)據(jù)主權(quán)、國家安全,數(shù)據(jù)本地化存儲至關(guān)重要。數(shù)據(jù)跨境流動中的合規(guī)問題深受這種“二律背反”的困擾,其突出表現(xiàn)就是在本國與國外數(shù)據(jù)保護(hù)法律規(guī)定的合規(guī)條款不相同時,對外合規(guī)與對內(nèi)合規(guī)究竟以何者為先的問題。④例如,美國證券交易委員會于2021年3月通過《外國公司問責(zé)法案》最終修正案,其中多個條款明顯針對中國赴美上市公司和已在美上市的中概股:如果外國上市公司連續(xù)三年未能提交美國上市公司會計(jì)監(jiān)督委員會所要求的報(bào)告,允許該委員會將其從交易所摘牌。而有關(guān)信息的披露,可能導(dǎo)致重要數(shù)據(jù)、個人信息的泄露。與之針鋒相對的是,隨著2021年7月中共中央辦公廳、國務(wù)院辦公廳公開發(fā)布《關(guān)于依法從嚴(yán)打擊證券違法活動的意見》,以及《數(shù)據(jù)安全法》的實(shí)施,未來中概股的數(shù)據(jù)安全、數(shù)據(jù)出境將成為重要的監(jiān)管方向。學(xué)界在此存在“雙向合規(guī)”⑤張凌寒:《個人信息跨境流動制度的三重維度》,載《中國法律評論》2021年第5期,第43頁。與對外合規(guī)及對內(nèi)合規(guī)相分離⑥毛逸瀟:《數(shù)據(jù)保護(hù)合規(guī)體系研究》,載《國家檢察官學(xué)院學(xué)報(bào)》2022年第2期,第93頁。的爭論。本文認(rèn)為,無論是雙向合規(guī)還是各自分離,都需要回答對外合規(guī)與對內(nèi)合規(guī)何者優(yōu)先這一核心問題。在近年來數(shù)據(jù)管轄權(quán)沖突日益激烈的國際環(huán)境下,《數(shù)據(jù)安全法》的出臺再度明確了我國對境內(nèi)數(shù)據(jù)的管轄權(quán),實(shí)際上確立了對內(nèi)合規(guī)優(yōu)先的立場。⑦《數(shù)據(jù)安全法》第36條規(guī)定:“……非經(jīng)中華人民共和國主管機(jī)關(guān)批準(zhǔn),境內(nèi)的組織、個人不得向外國司法或者執(zhí)法機(jī)構(gòu)提供存儲于中華人民共和國境內(nèi)的數(shù)據(jù)?！币虼?企業(yè)在數(shù)據(jù)出境時需要自主發(fā)起安全風(fēng)險(xiǎn)和影響性評估,包括個人信息保護(hù)影響評估⑧《個人信息保護(hù)法》第55規(guī)定:“有下列情形之一的,個人信息處理者應(yīng)當(dāng)事前進(jìn)行個人信息保護(hù)影響評估,并對處理情況進(jìn)行記錄:……(四)向境外提供個人信息?！焙蛿?shù)據(jù)出境風(fēng)險(xiǎn)自評估⑨2022年7月7日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全評估辦法》第5條規(guī)定:“數(shù)據(jù)處理者在向境外提供數(shù)據(jù)前,應(yīng)事先開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估?！边@兩項(xiàng)。從長期來看,完善的數(shù)據(jù)出境合規(guī)策略和管理機(jī)制是企業(yè)跨境業(yè)務(wù)的安全基石,應(yīng)成為企業(yè)長期治理的目標(biāo)。

第四,實(shí)現(xiàn)全流程的數(shù)據(jù)合規(guī)。數(shù)據(jù)的安全治理應(yīng)當(dāng)貫穿于數(shù)據(jù)的整個生命周期。數(shù)據(jù)處理包含收集、存儲、使用、加工、傳輸、提供、公開等全流程,企業(yè)在任何一個環(huán)節(jié)都可能面臨數(shù)據(jù)安全與數(shù)據(jù)合規(guī)的挑戰(zhàn)。當(dāng)然,在這些流程中不存在百分之百的安全,企業(yè)只能通過建立和執(zhí)行全流程數(shù)據(jù)安全管理制度盡力做到百分之百的防御。企業(yè)應(yīng)走出數(shù)據(jù)處理僅是防止泄露的誤區(qū),更不能以行業(yè)經(jīng)驗(yàn)取代法律判斷,而是要建立健全全流程數(shù)據(jù)安全管理制度,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任,做到在數(shù)據(jù)生命周期全流程各個環(huán)節(jié)合法合規(guī)。①李翔:《處理數(shù)據(jù)要有全流程合規(guī)意識》,載《法治日報(bào)》2022年2月23日,第005版。需要注意的是,雖然《數(shù)據(jù)安全法》第27條要求,企業(yè)應(yīng)當(dāng)依法制定全流程的數(shù)據(jù)安全管理制度,通過該制度對本企業(yè)的數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等全生命周期的安全提出具體合規(guī)要求,但這一條文表述較為概括,未來仍需要后續(xù)配套法律法規(guī)予以明確。

三、數(shù)據(jù)犯罪的前端治理:企業(yè)內(nèi)部刑事合規(guī)的制度設(shè)計(jì)

刑事合規(guī)既是企業(yè)數(shù)據(jù)治理體系和治理能力現(xiàn)代化的一個重要標(biāo)志,也是國家治理體系和治理能力現(xiàn)代化的一個重要組成部分。從全球視角考察,以刑事合規(guī)實(shí)現(xiàn)數(shù)據(jù)犯罪治理有三種路徑,首要的路徑就是企業(yè)內(nèi)部建立刑事合規(guī)風(fēng)險(xiǎn)防控機(jī)制,實(shí)現(xiàn)“防患于未然”②趙赤:《企業(yè)刑事合規(guī)視野下的單位犯罪構(gòu)造及出罪路徑》,載《政法論壇》2022年第5期,第104頁。,此為前端治理。就當(dāng)前數(shù)據(jù)犯罪治理的法律法規(guī)與政策而言,包括《刑法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等在內(nèi)的法律規(guī)范多屬原則性規(guī)定,本質(zhì)上屬于事后救濟(jì)模式,在數(shù)據(jù)犯罪的縱向治理鏈條中處于末端;加上數(shù)據(jù)犯罪的智能化,以及跨區(qū)、跨國特征,事后救濟(jì)力有未逮。從企業(yè)合規(guī)的角度出發(fā),采取綜合的技術(shù)與制度性預(yù)防策略,側(cè)重對潛在刑事風(fēng)險(xiǎn)的前端治理,才符合網(wǎng)絡(luò)時代數(shù)據(jù)犯罪治理的發(fā)展趨勢?！稊?shù)據(jù)安全法》第27條規(guī)定:“開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全?！边@一規(guī)定為數(shù)據(jù)合規(guī)建設(shè)提供了方向標(biāo)。據(jù)此,企業(yè)數(shù)據(jù)安全合規(guī)主要有三個要素,即規(guī)范、制度和組織。

(一)數(shù)據(jù)分類分級規(guī)范

在網(wǎng)絡(luò)安全領(lǐng)域,對數(shù)據(jù)的安全保護(hù),起始于對數(shù)據(jù)的分類分級。③洪延青:《國家安全視野中的數(shù)據(jù)分類分級保護(hù)》,載《中國法律評論》2021年第5期,第71頁。“數(shù)據(jù)分類”一詞早在2016年的《網(wǎng)絡(luò)安全法》中就被提及,《數(shù)據(jù)安全法》從國家層面明確提出建立數(shù)據(jù)分類分級保護(hù)制度。該制度要求企業(yè)根據(jù)一定標(biāo)準(zhǔn)對自身數(shù)據(jù)資產(chǎn)進(jìn)行梳理,有利于形成數(shù)據(jù)保護(hù)資源配置的最優(yōu)解。按照數(shù)據(jù)的種類、風(fēng)險(xiǎn)級別匹配不同的管控措施,就能實(shí)現(xiàn)對刑事風(fēng)險(xiǎn)的有效防控。

1.國內(nèi)現(xiàn)行各類規(guī)范和標(biāo)準(zhǔn)

國內(nèi)目前現(xiàn)行有效的對于數(shù)據(jù)分類分級的通用規(guī)定包括:2021年9月生效的《數(shù)據(jù)安全法》、國家市場監(jiān)督管理總局與國家標(biāo)準(zhǔn)化管理委員會于2020年3月發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會于2021年12月發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》等。但是,這些規(guī)范僅僅止步于提出數(shù)據(jù)分類分級的類型化方案,并沒有對如何分類分級提出非常詳細(xì)的操作步驟,需要企業(yè)加以吸收或內(nèi)化。

根據(jù)《數(shù)據(jù)安全法》,按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度,數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)。國家對個人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù),對核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。隨后,2021年11月,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》,同時在《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法(征求意見稿)》《信息安全技術(shù)重要數(shù)據(jù)識別指南(征求意見稿)》等文件中明確了重要數(shù)據(jù)的額外合規(guī)要求。作為國家標(biāo)準(zhǔn)的《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》(GB/T 41479-2022)已于2022年11月1日施行。值得注意的是,省級地方標(biāo)準(zhǔn)也開始出臺,例如,浙江省2021年8月5日正式實(shí)施的《數(shù)字化改革 公共數(shù)據(jù)分類分級指南》(DB33/T 2350-2021)。

2.企業(yè)數(shù)據(jù)分級分類的具體操作

當(dāng)前企業(yè)數(shù)據(jù)分級分類的難點(diǎn)在于:第一,數(shù)據(jù)分類可以有多種維度,如基于數(shù)據(jù)產(chǎn)生方式、數(shù)據(jù)使用頻率或者數(shù)據(jù)應(yīng)用場景等。企業(yè)選擇的維度千差萬別。第二,企業(yè)視角與國家、行業(yè)視角不同,現(xiàn)有的國家、行業(yè)標(biāo)準(zhǔn)是從宏觀視角給出對應(yīng)行業(yè)、組織的分類分級參考,屬于“自上而下”的數(shù)據(jù)分類分級;而企業(yè)站在自身的內(nèi)部視角的數(shù)據(jù)分類分級,則屬于“自下而上”的數(shù)據(jù)分類分級;兩者在分類分級思路上存在差異。①洪延青:《國家安全視野中的數(shù)據(jù)分類分級保護(hù)》,載《中國法律評論》2021年第5期,第74頁。第三,很多企業(yè)對自己的數(shù)據(jù)資產(chǎn)并未有過全面的盤點(diǎn)清理,導(dǎo)致不明確自身的數(shù)據(jù)資產(chǎn)狀況。

針對以上問題,企業(yè)應(yīng)當(dāng)明確國家、行業(yè)對數(shù)據(jù)安全管理的通用要求,以及本行業(yè)的特殊數(shù)據(jù)監(jiān)管要求,并在此基礎(chǔ)上根據(jù)自身業(yè)務(wù)的特性制定個性化的數(shù)據(jù)分類標(biāo)準(zhǔn)②企業(yè)可制定不同的分類標(biāo)準(zhǔn)以實(shí)現(xiàn)數(shù)據(jù)的多維管控。,這樣既可以滿足國家、行業(yè)視角下的要求,又可以結(jié)合自身體系架構(gòu),在“自上而下”與“自下而上”的數(shù)據(jù)分類分級之間找到一個平衡點(diǎn)。③在這一平衡過程中,企業(yè)在數(shù)據(jù)合規(guī)上的自決權(quán)比重降低,而數(shù)據(jù)合規(guī)的義務(wù)觀占據(jù)主導(dǎo)權(quán)重。在明確標(biāo)準(zhǔn)之后,企業(yè)應(yīng)當(dāng)對業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)資產(chǎn)開展盤點(diǎn)清理,形成數(shù)據(jù)資產(chǎn)管理臺賬。隨后再對已梳理的數(shù)據(jù)資產(chǎn)進(jìn)行分類和評級,并采取針對性的合規(guī)管控措施。④例如,如果企業(yè)儲存、運(yùn)營著保護(hù)級別最高的數(shù)據(jù),那么法律便有理由強(qiáng)制其進(jìn)行合規(guī)建設(shè),相應(yīng)地,保護(hù)級別稍弱的數(shù)據(jù)便可以選擇性地進(jìn)行合規(guī)建設(shè),如果無保護(hù)價值的數(shù)據(jù)那么便不需要進(jìn)行合規(guī)建設(shè)。參見于改之、陳博文:《數(shù)據(jù)犯罪的教義形塑及其風(fēng)險(xiǎn)防控——刑事合規(guī)語境下的考察》,載《上海法學(xué)研究》2021年第21卷,第56頁。這樣就能建立一套符合企業(yè)特色和自身發(fā)展需求的數(shù)據(jù)分類分級體系,確保企業(yè)數(shù)據(jù)合規(guī)。

(二)企業(yè)數(shù)據(jù)安全管理流程制度

企業(yè)應(yīng)當(dāng)結(jié)合自身業(yè)務(wù)要求,堅(jiān)持“源頭治理”“流程治理”“系統(tǒng)治理”的數(shù)據(jù)全生命周期管理理念,根據(jù)最新的數(shù)據(jù)合規(guī)法律法規(guī)要求,以及最新監(jiān)管動向,建立數(shù)據(jù)治理政策制度及各數(shù)據(jù)治理領(lǐng)域管理辦法,細(xì)化重要數(shù)據(jù)治理活動的流程及要求,形成一套完整、層級明確的數(shù)據(jù)治理制度體系。

一方面,根據(jù)數(shù)據(jù)安全生命周期建立全流程安全管理體系。數(shù)據(jù)安全生命周期主要包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)共享、數(shù)據(jù)使用、數(shù)據(jù)銷毀等階段。在采集階段,應(yīng)當(dāng)明確采集規(guī)范,保證采集的合規(guī)合法性;在傳輸階段,應(yīng)當(dāng)注意數(shù)據(jù)跨境傳輸規(guī)則;在存儲階段,應(yīng)當(dāng)注意數(shù)據(jù)本地化存儲要求,做到重要數(shù)據(jù)在境內(nèi)存儲;在處理階段,應(yīng)當(dāng)嚴(yán)格遵循數(shù)據(jù)處理最小化、必要原則,明確數(shù)據(jù)的處理和使用規(guī)范,實(shí)現(xiàn)有效脫敏化處理;在共享階段,應(yīng)當(dāng)確立數(shù)據(jù)共享規(guī)范,建立數(shù)據(jù)交換和共享的審核流程和監(jiān)管平臺;在銷毀階段,應(yīng)當(dāng)建立數(shù)據(jù)銷毀與監(jiān)察機(jī)制,嚴(yán)防數(shù)據(jù)泄露。①姜濤:《數(shù)字安全與刑事合規(guī)建設(shè)》,載《檢察日報(bào)》2021年11月4日,第003版。

另一方面,建立企業(yè)數(shù)據(jù)安全事件應(yīng)急管理制度與救濟(jì)程序。企業(yè)應(yīng)當(dāng)積極控制數(shù)據(jù)安全緊急事件,在發(fā)生危害數(shù)據(jù)安全的事件時,立即啟動應(yīng)急預(yù)案,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告,以及時處置數(shù)據(jù)安全風(fēng)險(xiǎn),減少對數(shù)據(jù)安全的損害。需要強(qiáng)調(diào)的是,企業(yè)在發(fā)現(xiàn)數(shù)據(jù)安全的緊急事件后,首先需要遵循的不是技術(shù)規(guī)則,而應(yīng)當(dāng)是法律規(guī)范指引。②例如,2021年9月生效的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第7條明確規(guī)定,網(wǎng)絡(luò)產(chǎn)品提供者發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后,應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報(bào)送相關(guān)漏洞信息。而阿里巴巴旗下的阿里云發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,及時告知了阿帕奇官方,卻未及時向電信主管部門報(bào)告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理,因此受到工信部“暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月”的處罰。參見韓軼:《網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域的企業(yè)刑事合規(guī)體系建構(gòu)》,載《江西社會科學(xué)》2022年5月10日網(wǎng)絡(luò)首發(fā)定稿。

(三)企業(yè)內(nèi)部的數(shù)據(jù)合規(guī)組織

完善的組織架構(gòu)是企業(yè)進(jìn)行數(shù)據(jù)安全建設(shè)的基石。目前,有相當(dāng)一部分企業(yè)在組建合規(guī)管理部門時,是在法務(wù)部門的原職能基礎(chǔ)上納入合規(guī)管理職能,并將其升格為“法律合規(guī)部”或“法律風(fēng)控部”。這種做法能夠節(jié)約企業(yè)合規(guī)人才及合規(guī)成本支出,但并非長久之計(jì),很容易出現(xiàn)職能定位界定不清、合規(guī)人員專業(yè)性與能力不足、難以打造有效管理抓手、與其他監(jiān)督管理部門協(xié)同性不強(qiáng)的問題。③普華永道:《國有企業(yè)合規(guī)管理中,組織職能升級的相關(guān)建議》,載普華永道中國,https://www.pwccn.com/zh/blog/state-ownedenterprise-soe/suggestions-upgrading-organisational-functions-compliance-management-nov2021.html,2022年8月30日訪問。而通過構(gòu)建貫穿企業(yè)的跨層級、跨部門、跨地域的專門數(shù)據(jù)安全組織架構(gòu),則可以有效地打通管理、技術(shù)、業(yè)務(wù)等部門之間的溝通屏障,最大程度地調(diào)動企業(yè)開展數(shù)據(jù)安全合規(guī)建設(shè)的能動性和積極性。因此,企業(yè)應(yīng)當(dāng)建立專門的合規(guī)管理部門,設(shè)立專業(yè)的數(shù)據(jù)合規(guī)團(tuán)隊(duì),定期對數(shù)據(jù)合規(guī)管理的有效性開展評估,保障企業(yè)數(shù)據(jù)安全生命周期內(nèi)的所有活動符合相關(guān)法律法規(guī)規(guī)定的數(shù)據(jù)合規(guī)要求。與此同時,企業(yè)還應(yīng)當(dāng)在人力資源管理方面實(shí)施相應(yīng)的措施,如對員工定期或不定期安排有關(guān)數(shù)據(jù)安全的培訓(xùn),倡導(dǎo)建立合規(guī)文化,樹立全員合規(guī)理念,以確保員工理解和明確其相關(guān)數(shù)據(jù)合規(guī)職責(zé),預(yù)防合規(guī)風(fēng)險(xiǎn)。

四、數(shù)據(jù)犯罪的末端治理:司法機(jī)關(guān)以外部刑事合規(guī)排除企業(yè)罪責(zé)的功能設(shè)計(jì)

以刑事合規(guī)實(shí)現(xiàn)數(shù)據(jù)犯罪治理的另外兩種路徑,是起訴策略的刑事合規(guī)與量刑激勵的刑事合規(guī)。由于這兩種刑事合規(guī)是由司法機(jī)關(guān)(檢察院、法院)在企業(yè)涉案后提供的,因此屬于末端治理,發(fā)揮的是“亡羊補(bǔ)牢”的功能。司法機(jī)關(guān)負(fù)有通過履職推動數(shù)據(jù)刑事合規(guī)建設(shè)的重要職責(zé)。推進(jìn)企業(yè)實(shí)施數(shù)據(jù)刑事合規(guī)建設(shè),也是司法機(jī)關(guān)積極參與社會治理的重要體現(xiàn)。①姜濤:《數(shù)字安全與刑事合規(guī)建設(shè)》,載《檢察日報(bào)》2021年11月4日,第003版。

(一)基于起訴策略的刑事合規(guī)

基于起訴策略的刑事合規(guī)的主要角色是檢察機(jī)關(guān),其模式包括“相對不起訴+檢察建議”與“附條件不起訴+合規(guī)考察”,前者指檢察機(jī)關(guān)對涉案企業(yè)作出相對不起訴的同時,發(fā)出責(zé)令其實(shí)施合規(guī)整改的檢察建議并督促其進(jìn)行整改;后者指檢察機(jī)關(guān)對符合適用條件、具有合規(guī)意愿并提出合規(guī)計(jì)劃的涉案企業(yè)啟動合規(guī)考察程序,設(shè)置合規(guī)考察期,指派合規(guī)監(jiān)督人,考察期結(jié)束前對合規(guī)整改進(jìn)行評估,通過后檢察機(jī)關(guān)作出不起訴決定。②唐彬彬:《檢察機(jī)關(guān)合規(guī)不起訴裁量權(quán)限制的三種模式》,載《法制與社會發(fā)展》2022年第1期,第40-41頁。2020年3月,最高人民檢察院啟動企業(yè)合規(guī)改革試點(diǎn),2021年4月,最高人民檢察院發(fā)布《關(guān)于開展企業(yè)合規(guī)改革試點(diǎn)工作的方案》,并開始發(fā)布合規(guī)案例,第三批典型案例就包括了全國首例數(shù)據(jù)合規(guī)不起訴案件。從最高人民檢察院的刑事合規(guī)實(shí)踐來看,主要是探索督促涉案企業(yè)合規(guī)管理,促進(jìn)“嚴(yán)管”制度化,防范“厚愛”被濫用。鑒于企業(yè)刑事合規(guī)的具體內(nèi)容并不會超出前文所述企業(yè)內(nèi)部合規(guī)的范圍,所以促進(jìn)“嚴(yán)管”制度化可以理解為合規(guī)開啟條件的制度化,防范“厚愛”被濫用可以理解為合規(guī)整改與評估標(biāo)準(zhǔn)的制度化?！皢雍弦?guī)條件”與“合規(guī)評估標(biāo)準(zhǔn)”也就成為基于起訴策略的刑事合規(guī)的兩大關(guān)鍵詞。

1.補(bǔ)足刑事合規(guī)的前置條件

基于起訴策略的刑事合規(guī),第一只“攔路虎”是立法上缺乏依據(jù)。除了最高人民檢察院發(fā)布的若干政策性文件之外,現(xiàn)行《刑事訴訟法》沒有規(guī)定刑事合規(guī)的不起訴條件,當(dāng)然也沒有適用案件范圍、考察期限、主體、救濟(jì)等規(guī)定。這就導(dǎo)致現(xiàn)有刑事訴訟中審查起訴期限的短時有限性與合規(guī)考察期限的彈性長期性存在嚴(yán)重沖突;附條件不起訴試點(diǎn)存在正當(dāng)性和合法性的質(zhì)疑。③李玉華:《企業(yè)合規(guī)與刑事訴訟立法》,載《政法論壇》2022年第5期,第96頁。這兩點(diǎn)都需要刑事訴訟立法予以回應(yīng)。④例如,將不起訴的適用范圍擴(kuò)大到企業(yè),增加合規(guī)不起訴的適用范圍、條件和期限的規(guī)定。另外,刑事合規(guī)與認(rèn)罪認(rèn)罰從寬的制度銜接需要完善,可以考慮將合規(guī)考察制度納入認(rèn)罪認(rèn)罰從寬制度。⑤例如,在刑事訴訟法中增加企業(yè)認(rèn)罪認(rèn)罰從寬,以及在認(rèn)罪認(rèn)罰后進(jìn)行合規(guī)整改并通過評估的,可以進(jìn)一步減輕處罰的規(guī)定。

刑事合規(guī)的另一只“攔路虎”是單位犯罪的規(guī)定。最高人民法院1999年發(fā)布的《關(guān)于審理單位犯罪案件具體應(yīng)用法律有關(guān)問題的解釋》第2條規(guī)定,單位主營業(yè)務(wù)是犯罪的,以自然人犯罪論處。問題在于,數(shù)據(jù)企業(yè)當(dāng)然是以經(jīng)營數(shù)據(jù)業(yè)務(wù)為“主營業(yè)務(wù)”的⑥如前所述,由于法律法規(guī)尚不完善,這些業(yè)務(wù)在很大程度上屬于“灰色地帶”。,一旦涉嫌數(shù)據(jù)犯罪,整個公司業(yè)務(wù)都有可能被認(rèn)定為“以實(shí)施犯罪為主要活動”,從而沒有適用刑事合規(guī)的余地,這也是不少檢察機(jī)關(guān)對開啟刑事合規(guī)猶豫不決的原因。從最高人民檢察院發(fā)布的首例數(shù)據(jù)合規(guī)不起訴案件來看,還是基于“放過涉案企業(yè),但嚴(yán)懲責(zé)任人”的刑事政策區(qū)分了單位犯罪與自然人犯罪。但是,2021年6月3日最高人民檢察院與司法部、全國工商聯(lián)等8個部門聯(lián)合印發(fā)的《關(guān)于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機(jī)制的指導(dǎo)意見(試行)》(以下簡稱《指導(dǎo)意見》),仍然將以實(shí)施犯罪為主要活動的企業(yè)排除在合規(guī)考察的范圍之外。未來可能需要“兩高”以聯(lián)合發(fā)布司法解釋的方式解決這一沖突。

2.完善第三方監(jiān)督評估標(biāo)準(zhǔn)

針對企業(yè)合規(guī)改革試點(diǎn)工作中發(fā)現(xiàn)的企業(yè)合規(guī)監(jiān)督考察程序有待進(jìn)一步規(guī)范等問題,前述《指導(dǎo)意見》創(chuàng)設(shè)了第三方監(jiān)督評估機(jī)制。《指導(dǎo)意見》第11條、第12條規(guī)定,第三方組織應(yīng)要求涉案企業(yè)提交專項(xiàng)或多項(xiàng)合規(guī)計(jì)劃,并對相關(guān)計(jì)劃的可行性、有效性與全面性進(jìn)行審查。對數(shù)據(jù)犯罪涉案企業(yè)而言,第三方組織借以認(rèn)定合規(guī)計(jì)劃可行性、有效性與全面性的要點(diǎn)包括:第一,第三方組織應(yīng)評估涉案企業(yè)是否已落實(shí)《數(shù)據(jù)安全法》第21條所明確的數(shù)據(jù)分級分類保護(hù)義務(wù);第二,第三方組織應(yīng)評估涉案企業(yè)是否已落實(shí)《數(shù)據(jù)安全法》第25條、第31條、第36條規(guī)定的數(shù)據(jù)出境管制義務(wù);第三,第三方組織應(yīng)評估涉案企業(yè)是否已經(jīng)落實(shí)《數(shù)據(jù)安全法》第26條規(guī)定的在數(shù)據(jù)領(lǐng)域的反制裁措施;第四,第三方組織應(yīng)評估涉案企業(yè)是否已落實(shí)數(shù)據(jù)安全管理制度構(gòu)建義務(wù)與電子政務(wù)數(shù)據(jù)保護(hù)義務(wù)。①李紫陽、郟夢蝶:《涉數(shù)據(jù)犯罪企業(yè)合規(guī)第三方評估標(biāo)準(zhǔn)如何確立》,載《檢察日報(bào)》2021年11月29日,第003版。

(二)基于量刑激勵的刑事合規(guī)

刑事合規(guī)與刑事責(zé)任天然地有內(nèi)在融通之處,刑事合規(guī)可以成為從輕、減輕或免除刑事責(zé)任事由。這有利于激勵網(wǎng)絡(luò)平臺等積極履行數(shù)據(jù)安全保障義務(wù),實(shí)現(xiàn)積極預(yù)防數(shù)據(jù)犯罪的效果。②姜濤:《數(shù)字安全與刑事合規(guī)建設(shè)》,載《檢察日報(bào)》2021年11月4日,第003版。但是,基于量刑激勵的刑事合規(guī)也需要兩方面的完善:一是刑事政策上的依據(jù);二是刑事實(shí)體法上的完善。

1.刑事政策依據(jù)的解讀

罪刑法定原則與罪責(zé)刑相適應(yīng)原則是現(xiàn)代刑法的兩大支柱。但是,刑事合規(guī)的引入,以“合規(guī)”代替“刑罰”,引發(fā)了是否與以上兩大原則發(fā)生沖突的質(zhì)疑。需要指出的是,衡量現(xiàn)代刑事法治的重要維度是刑事政策,目前企業(yè)數(shù)據(jù)犯罪嚴(yán)格規(guī)制的刑事政策立場已經(jīng)開始了轉(zhuǎn)向。如前所述,我國目前數(shù)據(jù)立法和治理體系尚不完善,數(shù)據(jù)犯罪的罪與非罪界限尚不清晰,因此,對于企業(yè)數(shù)據(jù)犯罪應(yīng)當(dāng)以發(fā)展的眼光看待,落實(shí)好“少捕慎訴慎押”刑事司法政策,防止辦一個案件,倒閉一家企業(yè),失業(yè)一批員工,甚至垮掉一個行業(yè)的機(jī)械司法。通過督促涉案企業(yè)進(jìn)行合規(guī)整改,既可以促進(jìn)合規(guī)守法經(jīng)營,也可以舉一反三,促進(jìn)企業(yè)乃至數(shù)據(jù)行業(yè)的規(guī)范發(fā)展。我國刑事合規(guī)的實(shí)踐表明,假如沒有一種刑法上的激勵機(jī)制,那么,幾乎沒有任何企業(yè)會認(rèn)真對待企業(yè)合規(guī)問題,更談不上耗時費(fèi)力地建立或完善合規(guī)計(jì)劃。③孫國祥:《企業(yè)合規(guī)改革實(shí)踐的觀察與思考》,載《中國刑事法雜志》2021年第5期,第31頁。再者,影響刑事責(zé)任輕重的情節(jié)與承擔(dān)刑事責(zé)任的方式是多樣化的,通過選擇適用多元化刑事制裁方式,刑事合規(guī)本質(zhì)上也并不與刑法的帝王原則沖突。④在行為人已經(jīng)受到程度相當(dāng)甚至更為嚴(yán)厲的實(shí)質(zhì)制裁,或者采用非刑罰制裁方式將取得更好的制裁效果時,刑罰制裁應(yīng)讓位于非刑罰制裁。參見劉艷紅:《企業(yè)合規(guī)不起訴改革的刑法教義學(xué)根基》,載《中國刑事法雜志》2022年第1期,第121頁。

2.刑事實(shí)體法的完善

涉案企業(yè)合規(guī)改革本身離不開刑事實(shí)體法的支撐。問題在于,現(xiàn)行刑法對刑事合規(guī)激勵制度缺乏體系性的立法支持。合規(guī)計(jì)劃既不能作為無罪抗辯事由,也不能作為法定的從輕減輕情節(jié),最多只能作為酌定情節(jié)。因此,刑法所能發(fā)揮的量刑激勵作用十分有限。從立法完善的角度來看,一方面,刑事合規(guī)應(yīng)當(dāng)作為企業(yè)已盡合理注意義務(wù)的抗辯事由,即員工涉嫌犯罪時,基于公司已盡合理的監(jiān)管義務(wù),不存在主觀過錯,從而實(shí)現(xiàn)公司與員工的刑事責(zé)任的切割①根據(jù)相關(guān)的司法解釋,我國對單位犯罪的界定,包含了“人員要素”(單位的員工)、“表見要素”(以單位的名義)、“利益要素”(為實(shí)現(xiàn)單位的不正當(dāng)利益)和“意志要素”(經(jīng)單位集體研究決定,體現(xiàn)單位的整體意志)。企業(yè)合規(guī)計(jì)劃的存在,在“利益要素”和“意志要素”層面,構(gòu)成對單位犯罪的抗辯。參見林靜:《刑事合規(guī)的模式及合規(guī)計(jì)劃之證明》,載《法學(xué)家》2021年第3期,第57頁。;另一方面,刑事合規(guī)應(yīng)當(dāng)作為定罪量刑的法定情節(jié),在刑法中增加“單位進(jìn)行有效合規(guī)管理的,可以從輕、減輕處罰。犯罪較輕的,可以免除處罰”的規(guī)定,同時增設(shè)單位緩刑制度。這樣就可以為企業(yè)數(shù)據(jù)犯罪提供全新的制裁形式,也可以為暫時無能力和機(jī)會進(jìn)行合規(guī)整改的企業(yè)提供緩沖時間。