企業數據合規與刑事法律風險防控

張 宇 顏井辰（通訊作者）

（湖北和楚律師事務所，湖北 黃岡 438400）

所謂刑事法律風險，是指企業及其員工因涉嫌犯罪或成為犯罪對象，給企業及其員工財產權、人身權等造成危害后果所帶來的風險，可能會直接危及企業的生存。正是基于企業刑事法律風險嚴峻性、隱蔽性以及潛伏性的特點考量，其有效防控勢在必行。在此過程中，信息化時代，全面依法治國視角下，網絡亦非法外之地，數據合規建設成為企業刑事法律風險防控不可或缺的一環。

一、企業數據的認知

（一）分類

在信息化引領的時代發展新格局下，海量數據充斥著人們的生產生活，并由此輸出了諸多便捷性服務，但是基于高度開放、自由的互聯網虛擬空間，其中亦伴隨著嚴峻的安全挑戰。根據《數字經濟藍皮書· 基礎篇》，數據是數字的一種重要的表現，數字才是基礎。在保持數據原始性的基礎上，其可重復使用。全面依法治國戰略視角下，我國民法、刑法、訴訟法等均有涉及“數據”或相似概念。例如，刑法對“破壞計算機系統罪”的規制中，將之保護對象權定為“計算機信息系統中存儲、處理或者傳輸的數據”。同時，《網絡安全法》中將“網絡數據”界定為“通過網絡收集、存儲、傳輸、處理和產生的各種電子數據”。特定的場景語境環境下，數據的含括是相當豐富的，根據用戶主體的不同可分為個人數據、企業數據、公共數據等。企業數據包括所有與經營相關的資料信息，如公司簡介、產品信息、財務數據、分析報告、研究成果等，其中部分是半公開甚至非公開數據，具有一定的商業機密性，甚者關乎國家安全。

（二）合規

“合規”最早發端于美國、英國，是“compliance”的中文意譯，現已成為全球公司引領的潮流，本身負載著遵守法規、遵守規制和遵守規范三個層面的涵義。所謂遵守法規，即公司所在國的法律法規及監管規定；遵守規制包括公司的各項規章制度，如商業行為準則；遵守規范即遵守職業操守和道德規范。中國特色社會主義治理體系與治理能力現代化視角下，企業數據合規是時代發展的必然，更是由黨的領導意志決定。事實上，國家緊隨時代的步伐，相繼出臺了《中央企業全面風險管理指引》《中央企業合規管理指引》《企業境外經營合規管理指引》等系列文件，成了公司治理的重要法寶。現階段而言，對企業數據合規的理解應當包括兩個主線，即適應全球化經營的企業合規管理和涉企案件刑事合規。

二、企業數據合規視角下的刑事法律風險防控對策

（一）強化能動意識

萬物互聯的時代生態格局下，尤其是受李克強總理“互聯網+”的戰略精神指引，為了更好地支持內部管理，并在全球化經濟中尋求發展契機，越來越多的企業關注信息化轉型升級，相繼開通了多種類型的線上業務，匯聚了龐大的數據信息，在其處理的過程中，面臨著更加復雜的刑事法律風險，數據合規建設勢在必行。事實上，國家對于網絡安全和數據合規領域的監管將日趨嚴格，網絡安全和數據合規將成為涉及信息通信技術的企業合規運營的重要組成部分。[1]對此，企業應當緊密跟隨時代發展的步伐，認真學習習近平新時代中國特色社會主義思想，科學參與“全面依法治國”，堅持黨對一切的領導，牢牢把握數據合規的核心內涵，并將之上升至戰略規劃層，制定完善的刑事法律風險防控機制體系，包括事前預防機制、事中處置機制和事后精進機制，滲透到企業經營發展的全生命周期，形成濃郁的文化格局，有力牽引各級員工行為，逐步達到最佳狀態。在此基礎上，定期或不定期展開“數據合規”主題宣傳活動，基于專家團隊支持，深度解析其中面臨的刑事法律風險，延展員工的知識范疇，樹立其高度的合規意識，強化他們的法治精神，使之積極配合并涌動其中。如此，唯有從微觀細節入手，強調全員的全程參與，才能保證達成最佳的企業數據合規效果，有效防控刑事法律風險。

（二）落實主體責任

某種意義上，企業數據合規作為一項龐雜的系統化工程，刑事法律風險面臨充斥在整個產業鏈生態結構上，其有效防控有賴于多主體的協同支持，包括企業本身、企業員工以及與企業經營管理過程中發生聯系的第三方。對此，一方面，要責任到人，嚴格按照刑事法律進行建章立制，對自身經營過程中所涉及的各類數據進行科學劃分，包括一般信息、個人信息、商業機密、國家秘密等，繼而采取對應的合規手段；另一方面，有效管控員工行為，除了員工風險教育培訓外，還需對數據接觸、使用、披露等行為進行權限制度設計，并充分利用現代科技支持，如身份識別、病毒查殺等，建立完善的保障體系，以此來幫助員工被動合規。同時，習近平總書記在關于“全面依法治國”的論述中指出，要堅持抓住領導干部這個“關鍵少數”，帶頭尊崇法治、敬畏法律、了解法律、掌握法律，不斷提高運用法治思維和法治方式深化改革、推動發展、化解矛盾、維護穩定、應對風險的能力。因此，企業還需重視對高級管理人員及股東等個別身份人員的合規管控；最終，將企業數據合規任務分解到與自身經營管理發生聯系的第三方，充分做好事前的盡職調查工作，具體項目資質審查、技術水平以及不良技術審查等。

（三）成立專家團隊

知識經濟時代，人才的戰略價值日臻突出，在企業可持續發展籌劃中占有重要地位，是其有力迎接各類挑戰的核心資本，對數據合規與刑事法律風險防控有著不可替代的作用。正所謂術業有專攻。就企業的數據合規與刑事法律風險防控而言，專業律師能夠精準地判別、評估刑事法律風險是關鍵，可視作為“體驗式的法律服務”，所涉及的項目包括一般法律風險防范、特性法律風險防范以及刑事調查應對，對從業律師團隊提出了非常高的要求。但是目前來講，傳統企業法律顧問業務卻存在一定的滯后性，對刑事專業律師參與企業經營管理的價值認知不到位，多傾向于擅長民商專業領域的律師，但由于其識別全部面臨的風險實屬強人所難，對刑事法律風險的處置能力缺位。因此，在企業數據合規建設的進程中，應當在既有的法律顧問團隊上進行結構調整和優勢互補，除了聘請民商事律師之外，還需結合自身實際需求，至少引入一位刑事法律方面的專家，兩者協力識別企業風險，為上層管理更為科學的決策提供支持。如此這般，基于刑事專業律師的合規工作介入，推動刑事合規服務的常態化建設，為企業數據合規鋪墊厚實的基礎。

（四）完善內控機制

美國學者曾指出，將形式規范中預防犯罪的注意義務切分出來，內化為企業合規計劃的組成部分，并賦予企業合規計劃一定權限的量刑激勵措施，通過加強企業犯罪的事前預防，構建起可以避免刑事可罰性及刑事風險的措施和計劃。企業數據合規是一個不斷精進的過程，要隨著國家法治的步伐，建立完善的規章制度，將企業刑事法律風險防控納入企業和國家協同治理的范疇中，可達到更優的效果。同時，充分利用刑事法律專家的智力支持，認真梳理企業數據合規中的各類刑事法律風險，找準事前防控的關鍵點，以此來導引系列管理工作的展開，可實現有限資源的最大化價值產出。因此，需要完成合規、內部協調和外部合作、數據安全戰略統籌規劃和方案設計與落地、數據安全能力建設和風險控制等。[2]另外，當刑事法律風險來臨時，趁未造成具體實質的危害后果，應當選擇積極配合、妥善處理，將危害后果降至最低，至少化被動為主動，及時咨詢專業人員，對面臨的刑事法律風險進行診斷，繼而在合法的狀態下為企業及其員工爭取最大利益。

綜上所述，企業數據合規與刑事法律風險防控是一個有著緊密關聯的交織體，共同作用于企業可持續發展，是時代發展的必然，作為一項龐雜的系統化工程，應當不斷強化能動意識，形成濃郁的氛圍文化，并注重落實主體責任，依托專家團隊支持，指導建立完善的內控機制，從而更加穩固地參與激烈的經濟市場競爭。