刑事合規視野下數據犯罪的治理路徑

周維明

(中國應用法學研究所,北京 100062)

歷史的數據來自數據的歷史。人類文明的發展史,同時也是數據產生、迭代與進化的歷史。隨著數字化、網絡化、大數據、人工智能等當代信息科技的快速發展和廣泛應用,當今社會已經進入數字社會。數字社會主要有兩個特征:一是社會本身的全面數字化,即一切關系皆可用數據表征,一切趨勢皆可用數據預測;二是數據成為第五大生產要素①參見2020年公布的《中共中央、國務院關于構建更加完善的要素市場化配置體制機制的意見》。,是繼物質、能源之后的第三大基礎性戰略資源。②參見2015年國務院印發的《促進大數據發展行動綱要》。目前,我國已成為全球數據要素市場發展最為活躍、最具潛力的國家之一,由數據采集、數據清洗、數據標注、數據交易等核心數據環節構成的中國數據要素市場快速成長。海量數據和豐富應用場景的優勢,促進了數據科技與實體經濟的深度融合,為推動經濟高質量發展提供了新動能。但是,利之所在,弊亦隨之。“一切都被記錄,一切都被分析”的數據化,催生了數據安全風險。從全球來看,數據泄露、數據販賣等數據犯罪案件頻發,為個人隱私、企業商業秘密、國家安全帶來了嚴重的安全隱患,通過刑事法律進行數據安全治理已經刻不容緩。數據刑事合規是企業預防因數據安全犯罪所可能引發的刑事風險、建構數字經濟安全體系的關鍵,也是健全完善共建共治共享的數據治理制度的重要一環。鑒于此,本文擬在分析企業所面臨的數據安全犯罪刑事風險的基礎上,就刑事合規的必要性、制度設計思路和以刑事合規實現數據犯罪治理的路徑展開論述,以期能拋磚引玉,求教于方家。

一、數據安全犯罪刑事風險與合規治理路徑

我國刑法設立了多個與數據違規密切相關的罪名,數據領域企業面臨較大的刑事風險。建立數據刑事合規體系,保障數據業務合規運行,不僅是企業預防刑事風險的必要途徑,也是完善數據流通和分享的政策監管體系,有效保護企業產權的重要舉措。

(一)數據安全犯罪所引發的刑事風險

在數據安全保護法律體系中,刑法占據重要地位,發揮著“最后手段”的保障功能。由于刑法自身的片面性與不完整性,其不可能事無巨細地描繪數據犯罪的所有構成要件特征,只能由相應的前置法規范所規定的義務,作為判斷相應行為具有刑事違法性的重要根據。①時延安:《數據安全的刑法保護路徑及方案》,載《江海學刊》2022年第2期,第142頁。在我國現行的法律體系中,數據治理有三部非常重要的法律,依次為2017年6月1日生效的《網絡安全法》、2021年9月1日生效的《數據安全法》和2021年11月1日生效的《個人信息保護法》。這三部法律明確了企業的數據安全監管職責,共同構成了數據安全的前置法保護體系。②在面對數據安全刑事風險時,企業首當其沖,這一原因可以通過以下數據得到解釋:根據國際權威機構IDC發布的分析報告,2020年,與消費者相比,企業要保護的數據更多,占需要保護數據總量的85.6%。據此,企業面臨的數據安全刑事風險,可以劃分為以下兩種類型。

1.嚴重違反數據安全規則而導致的刑事風險

數據安全是指通過采取必要措施,確保數據處于有效控制和合法利用的狀態,以及具備保障持續安全狀態的能力。③于改之:《從控制到利用:刑法數據治理的模式轉換》,載《中國社會科學》2022年第7期,第56頁。數據安全包括數據存儲安全、數據運輸安全和數據使用安全。就數據存儲安全與運輸安全而言,刑法主要涉及對非法取得、篡改、銷毀數據等行為的懲治。由于數據的存儲、處理等依賴于計算機信息系統,因此,首先涉及計算機信息系統安全和網絡安全方面的罪名,如非法侵入計算機信息系統罪,非法獲取計算機信息系統數據、非法控制計算機信息系統罪,提供侵入、非法控制計算機信息系統程序、工具罪,破壞計算機信息系統罪等;如果非法收集的數據為個人信息,則涉及侵犯公民個人信息罪。④例如,黎某在湖南省瀏陽市成立了瀏陽市泰創網絡科技有限公司,逯某作為公司技術員利用自己開發的“爬蟲軟件,通過網頁接口爬取11.8億條客戶信息,并將手機號碼提供給黎某,用于該公司經營活動。黎某與逯某均被法院認定構成侵犯公民個人信息罪。參見河南省商丘市睢陽區人民法院(2021)豫1403刑初78號刑事判決書。以上幾類行為危害的是公共數據安全。如果非法收集的數據被鑒定為國家秘密或情報,則涉及為境外竊取、刺探、收買、非法提供國家秘密、情報罪①例如,國家安全機關不久前破獲了一起為境外刺探、非法提供高鐵數據的重要案件。這起案件是《數據安全法》實施以來首例涉案數據被鑒定為情報的案件,也是首例涉及高鐵運行安全的危害國家安全案件。參見央廣網:《國家安全機關公布一起為境外刺探、非法提供高鐵數據的重要案件》,載央廣網2022年4月14日,http://china.cnr.cn/gdgg/20220414/t20220414_525795356.shtml.,這類行為危害的是國家數據安全。就數據使用安全而言,為他人實施信息網絡犯罪活動提供數據處理服務的,涉及幫助信息網絡犯罪活動罪。

2.不履行網絡服務提供者監管義務導致的刑事風險

本類風險涉及的罪名是拒不履行信息網絡安全管理義務罪,主要包括“致使用戶信息泄露,造成嚴重后果的”,即數據泄露的風險。近年來,全球數據被攻擊、竊取、劫持等現象層出不窮,我國屬于“重災區”,掌握海量用戶信息的金融、保險、教育、醫療等行業,以及互聯網、電信運營商等企業,往往面臨較高的數據泄露風險。從相關案例來看,數據泄露的源頭主要有兩個:一是內鬼泄密②例如,2020年,不法分子與圓通快遞多位“內鬼”勾結,致40萬條個人信息泄露。參見杜恒峰:《圓通內鬼泄露客戶信息,如何避免“下一次”?》,載《每日經濟新聞》2020年11月18日,第001版。,二是黑客竊取③例如,2018年,犯罪嫌疑人劉某某利用黑客手段竊取華住集團旗下酒店約5億條數據并在境外網站兜售。參見銀昕:《“華住開房記錄泄露案”該如何處罰?》,載《中國經濟周刊》2018年第45期,第42頁。,這暴露了涉案企業在數據安全防護體系和履行監管義務機制上的不健全。2019年10月25日,最高人民法院與最高人民檢察院發布的《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》明確,網絡服務提供者拒不履行信息網絡安全管理義務,經監管部門責令采取改正措施而拒不改正,致使泄露行蹤軌跡信息、通信內容、征信信息、財產信息500條以上的將入罪。考慮到此類數據泄露動輒以數十萬條乃至上億條計,這就意味著對于涉案企業而言,如果沒有履行監管部門規定的信息網絡安全管理義務,就存在“一泄露就入罪”的嚴重風險。

(二)數據治理的必要選擇:刑事合規

面對數字經濟發展及其所帶來的風險挑戰,刑事立法與司法面臨兩方面的任務:一方面,需要積極構建確保數字經濟安全的規范新形態;另一方面,需要充分促進數據的開發與利用,不因刑事風險而帶來“寒蟬效應”。一言以蔽之,存在安全與效率之間的權衡取舍。在此過程中,刑事合規發揮了重要作用。

1.刑事合規制度的基本功能指向

數據安全關系國家發展,民族復興。近年來,政府部門對網絡信息和個人數據的監管力度日益加大,數據領域企業刑事風險陡然增加。自2018年5月25日歐盟出臺《通用數據保護條例》以來,數據合規成為了世界各國關注的熱點。2017年《網絡安全法》的正式實施開啟了中國數據合規元年。個人信息保護以及數據安全領域的兩部專屬立法,即《個人信息保護法》與《數據安全法》共同構建了中國數據合規的基礎法律框架,刑事合規制度從來沒有像今天這樣重要、迫切。

(1)前端治理與數據利用的兩全

一方面,《刑法修正案(九)》修正的數據犯罪,都強化了對單位犯罪主體的刑事制裁④集中體現為:不僅對《刑法》第285條、第286條的傳統信息網絡犯罪,對于新增的新型信息網絡犯罪(即拒不履行信息網絡安全管理義務罪、非法利用信息網絡罪、幫助信息網絡犯罪活動罪),也增加了單位犯罪的規定。,實際上對數據領域企業提出了更高的刑法義務要求。另一方面,我國雖然已經頒布了《網絡安全法》《數據安全法》和《個人信息保護法》,但構建數據治理框架的努力才剛剛開始,國家數據安全治理體系還需要進一步完善,這意味著刑法與前置法尚未實現充分銜接,罪與非罪的界限尚不清晰。在我國單位犯罪雙罰制模式下,企業一旦面臨承擔刑事責任的風險或者受到刑事處罰,其后果將會是致命的。為了保護自身的生存和利益,企業可以通過刑事合規制度的建立,完善風險防范機制、實現罪前預防。

(2)多元治理與犯罪預防的兼顧

傳統刑法具有謙抑性和滯后性,只能在犯罪發生以后對相關行為進行評價,這種事后評價對于數據安全的保護有其自身的局限性,無法起到預防和有效恢復已經受損法益的效果。同時,數據領域企業存在復雜的管理流程、環節及海量的數據流,國家層面的全環節監管在監管能力和成本上都力有不逮。在此背景下,僅僅憑借刑事立法和司法的強制力作用,已經不能適應大數據時代法益保護的有效性需求。①白旭明:《網絡平臺刑事合規的風險防控與規則建構》,載《華南理工大學學報(社會科學版)》2022年第4期,第65頁。因此,要抑制數據安全犯罪的產生,就必須適時地改變偏重事后懲罰的傳統的消極犯罪預防理念,轉向積極的一般預防新思路,即在數據犯罪的治理過程吸收數據領域企業積極參與的理念。刑事合規正是上述一般預防主義的體現。刑事合規的引入為涉案企業提供了主動自律的機會和根據,涉案企業事前良好的合規表現或者亡羊補牢式的事后合規機制的構建,降低了一般預防的必要性②張勇:《數據安全刑事合規的濾罪模式》,載《學術論壇》2022年第3期,第14頁。,同時也緩解了國家數據治理的壓力,彌補了國家法律規制的不足,形成國家和企業二元共治的數據治理體系,是推動國家治理體系與治理能力現代化的體現。

(3)寬嚴相濟刑事政策與產權保護的協調

2016年11月發布的中共中央、國務院《關于完善產權保護制度依法保護產權的意見》中明確要求,“以發展眼光客觀看待和依法妥善處理改革開放以來各類企業特別是民營企業經營過程中存在的不規范問題”。數字經濟是近幾年快速發展起來的新型經濟模式,我國數字經濟規則的軟實力不夠,數據流通和分享的政策監管體系還不完善;另外,數據領域企業大多為民營企業,其企業文化和組織架構尚不能完全適應新的數字化潮流。因此,對企業目前在數據安全領域的違規違法行為,不能動輒則咎,而是要“以發展眼光客觀看待”,以免保護過度而扼殺企業的創新活動。肯定企業創新發展的大方向,以包容審慎的原則性態度,通過刑事合規給予涉案企業不起訴或者暫緩起訴的寬待,以及刑罰減免的激勵,可以督促數據領域企業建立全面的自我監管制度,促使它們更為健康和可持續發展與成長,這正是寬嚴相濟刑事政策的體現。

二、數據刑事合規的制度設計思路

《數據安全法》第4條規定:“維護數據安全,應當堅持總體國家安全觀,建立健全數據安全治理體系,提高數據安全保障能力。”數據治理的核心是數據安全合規。刑事法律是數據安全的最后一道防線,犯罪治理是數據安全治理體系的最重要環節。問題在于,傳統的犯罪治理重打擊輕預防。但是,數據領域犯罪治理方面不僅要強調打擊,更要強調從源頭上進行治理,強調對數據領域犯罪的防范。刑事合規便是一種很好的犯罪源頭治理方式。①李玉華:《數據合規與刑事訴訟》,載《北京航空航天大學學報(社會科學版)》2022年第2期,第30頁。所謂數據刑事合規,是指為了保障數據安全,企業、政府部門、司法機關等所進行的企業內外部合規治理活動。②張勇:《數據安全刑事合規的濾罪模式》,載《學術論壇》2022年第3期,第15頁。

(一)數據刑事合規的類型化

數據刑事合規本體,根據主體的不同,可以區分為企業和司法機關的刑事合規:企業作為刑事合規的主體,針對數據獲取、存儲、流通和使用過程中的刑事風險,制定和實施數據合規計劃;司法機關運用法律手段懲治和預防危害數據安全的違法犯罪。數據刑事合規還可以區分為事前合規和事后合規:前者是指企業經營管理活動中建立內部風險控制制度,防止企業實施涉及數據安全的犯罪;后者是指企業觸及數據安全刑事風險后所做的整改補救措施,以預防再次犯罪的發生。③張勇:《數據安全刑事合規的濾罪模式》,載《學術論壇》2022年第3期,第15頁。

數據刑事合規的法律依據可以區分為實體法上的依據與程序法上的依據:實體法層面針對的是企業涉嫌犯罪并遭受刑罰處罰的風險,主要考慮通過企業建立內部合規計劃來事前化解其可能遭受的刑罰風險,秉持的是結果論;程序法層面考慮的是利用具體刑事訴訟制度引導、激勵企業建立和執行合規計劃,承擔的多是激勵機制的工具性功能。④裴煒:《刑事數字合規困境:類型化及成因探析》,載《東方法學》2022年第2期,第160頁。

(二)數據刑事合規的基本原則

第一,數據分級與數據刑事合規的寬免性掛鉤。對數據分類分級,是開展數據治理的起始點。《數據安全法》第21條規定“國家建立數據分類分級保護制度”。⑤要求國家根據數據對國家、社會的價值(數據在經濟社會發展中的重要程度),以及出現安全事件后造成的危害后果(一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度),來開展數據分類分級的工作。參見洪延青:《國家安全視野中的數據分類分級保護》,載《中國法律評論》2021年第5期,第72頁。據此而言,相關保障法也應當相應地確定與受保護數據的類別和級別匹配的安全保護水平和措施。我國刑法過去對犯罪采用的是“定性+定量”的犯罪立法模式,對數據犯罪而言,重點在于“定量”,甚至有“唯數額論”的傾向。⑥在與數據犯罪有關的司法解釋中,仍然可以看到大量對計量標準的明確規定。例如,最高人民法院、最高人民檢察院2011年頒布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第1條規定:“非法獲取計算機信息系統數據或者非法控制計算機信息系統,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的‘情節嚴重’:(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息10組以上的;(二)獲取第(一)項以外的身份認證信息500組以上的……”最高人民法院、最高人民檢察院2017年頒布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條規定:“非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的‘情節嚴重’。”這一模式在數據犯罪對象進入海量階段后顯得捉襟見肘。在此情況下,應當在數據分類分級的基礎上,根據數據安全法益保護的必要性及重要程度,明確數據犯罪的數額或數量標準和綜合性情節的罪量評價要素。⑦張勇:《數據安全分類分級的刑法保護》,載《法治研究》2021年第3期,第26頁。換言之,應當明確“定性優先+定量輔助”的犯罪立法模式。所謂“定性”,就是數據的分類分級。⑧《網絡數據安全管理條例(征求意見稿)》按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。根據這一模式,在定量因素已經確定的情況下,作為犯罪對象的數據的分類分級越高,罪量就越大,通過事后刑事合規給予涉案企業起訴或刑罰上的寬免的可能性就越小,反之亦然。

第二,行政合規與刑事合規實現體系融合。數據犯罪往往從違反數據行政監管要求開始,因此,數據保護領域的犯罪均為法定犯,這就意味著作為前置法的行政法關于數據處理規則和管理義務的規定即為犯罪構成要件(所謂“空白的構成要件”),在此基礎上,只要符合數量、情節等特定構成要件就足以轉化為犯罪。①毛逸瀟:《數據保護合規體系研究》,載《國家檢察官學院學報》2022年第2期,第93頁。如前所述,數據犯罪的入罪門檻極低,對于從事海量化數據處理的現代企業而言,一旦行政合規未達標準,幾乎必然構成犯罪。因此,行政合規是刑事合規的基礎和必要性前提。因企業違規所導致的法律責任,其基礎和必要性前提是行政監管,刑事責任只是次生的、輔助性的,是最后手段。②張澤濤:《論企業合規中的行政監管——以“行刑”銜接為中心》,載《法律科學》2022年第3期,第52頁。由此可見,應當以行政前置法與刑事法的銜接為切入點,加強行政執法機關對企業生產經營活動的事前、事中和事后監管,構建以行政監管為中心的企業合規體系。這樣的銜接既包括從行政合規到刑事合規的銜接,也包括從刑事合規到行政合規的銜接。就前者而言,是指只有在行政合規失效(行政監管嚴重失靈且適用行政處罰還不足以予以懲戒時),才能啟動刑事合規;就后者而言,涉案企業被“合規不起訴”后,需要隨后進行有效的行政合規整改,消除企業的管理漏洞,預防再度發生同類犯罪。這些都涉及司法機關與行政監管機關銜接配合的規則和程序,以及合規整改結果和處罰結果互認機制。③陳文興:《刑事合規與行政合規銜接機制研究》,載《民主與法制周刊》2022年第19期,第50頁。

第三,對外合規與對內合規沖突時,對內合規優先。從全球范圍看,數據流動對全球經濟增長的貢獻已經超過傳統的國際貿易和投資,數據跨境流動是經濟全球化的必然要求。但是,數據同時又事關數據主權、國家安全,數據本地化存儲至關重要。數據跨境流動中的合規問題深受這種“二律背反”的困擾,其突出表現就是在本國與國外數據保護法律規定的合規條款不相同時,對外合規與對內合規究竟以何者為先的問題。④例如,美國證券交易委員會于2021年3月通過《外國公司問責法案》最終修正案,其中多個條款明顯針對中國赴美上市公司和已在美上市的中概股:如果外國上市公司連續三年未能提交美國上市公司會計監督委員會所要求的報告,允許該委員會將其從交易所摘牌。而有關信息的披露,可能導致重要數據、個人信息的泄露。與之針鋒相對的是,隨著2021年7月中共中央辦公廳、國務院辦公廳公開發布《關于依法從嚴打擊證券違法活動的意見》,以及《數據安全法》的實施,未來中概股的數據安全、數據出境將成為重要的監管方向。學界在此存在“雙向合規”⑤張凌寒:《個人信息跨境流動制度的三重維度》,載《中國法律評論》2021年第5期,第43頁。與對外合規及對內合規相分離⑥毛逸瀟:《數據保護合規體系研究》,載《國家檢察官學院學報》2022年第2期,第93頁。的爭論。本文認為,無論是雙向合規還是各自分離,都需要回答對外合規與對內合規何者優先這一核心問題。在近年來數據管轄權沖突日益激烈的國際環境下,《數據安全法》的出臺再度明確了我國對境內數據的管轄權,實際上確立了對內合規優先的立場。⑦《數據安全法》第36條規定:“……非經中華人民共和國主管機關批準,境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。”因此,企業在數據出境時需要自主發起安全風險和影響性評估,包括個人信息保護影響評估⑧《個人信息保護法》第55規定:“有下列情形之一的,個人信息處理者應當事前進行個人信息保護影響評估,并對處理情況進行記錄:……(四)向境外提供個人信息。”和數據出境風險自評估⑨2022年7月7日,國家互聯網信息辦公室發布的《數據出境安全評估辦法》第5條規定:“數據處理者在向境外提供數據前,應事先開展數據出境風險自評估。”這兩項。從長期來看,完善的數據出境合規策略和管理機制是企業跨境業務的安全基石,應成為企業長期治理的目標。

第四,實現全流程的數據合規。數據的安全治理應當貫穿于數據的整個生命周期。數據處理包含收集、存儲、使用、加工、傳輸、提供、公開等全流程,企業在任何一個環節都可能面臨數據安全與數據合規的挑戰。當然,在這些流程中不存在百分之百的安全,企業只能通過建立和執行全流程數據安全管理制度盡力做到百分之百的防御。企業應走出數據處理僅是防止泄露的誤區,更不能以行業經驗取代法律判斷,而是要建立健全全流程數據安全管理制度,落實數據安全保護責任,做到在數據生命周期全流程各個環節合法合規。①李翔:《處理數據要有全流程合規意識》,載《法治日報》2022年2月23日,第005版。需要注意的是,雖然《數據安全法》第27條要求,企業應當依法制定全流程的數據安全管理制度,通過該制度對本企業的數據收集、存儲、使用、加工、傳輸、提供、公開等全生命周期的安全提出具體合規要求,但這一條文表述較為概括,未來仍需要后續配套法律法規予以明確。

三、數據犯罪的前端治理:企業內部刑事合規的制度設計

刑事合規既是企業數據治理體系和治理能力現代化的一個重要標志,也是國家治理體系和治理能力現代化的一個重要組成部分。從全球視角考察,以刑事合規實現數據犯罪治理有三種路徑,首要的路徑就是企業內部建立刑事合規風險防控機制,實現“防患于未然”②趙赤:《企業刑事合規視野下的單位犯罪構造及出罪路徑》,載《政法論壇》2022年第5期,第104頁。,此為前端治理。就當前數據犯罪治理的法律法規與政策而言,包括《刑法》《網絡安全法》《數據安全法》《個人信息保護法》等在內的法律規范多屬原則性規定,本質上屬于事后救濟模式,在數據犯罪的縱向治理鏈條中處于末端;加上數據犯罪的智能化,以及跨區、跨國特征,事后救濟力有未逮。從企業合規的角度出發,采取綜合的技術與制度性預防策略,側重對潛在刑事風險的前端治理,才符合網絡時代數據犯罪治理的發展趨勢。《數據安全法》第27條規定:“開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。”這一規定為數據合規建設提供了方向標。據此,企業數據安全合規主要有三個要素,即規范、制度和組織。

(一)數據分類分級規范

在網絡安全領域,對數據的安全保護,起始于對數據的分類分級。③洪延青:《國家安全視野中的數據分類分級保護》,載《中國法律評論》2021年第5期,第71頁。“數據分類”一詞早在2016年的《網絡安全法》中就被提及,《數據安全法》從國家層面明確提出建立數據分類分級保護制度。該制度要求企業根據一定標準對自身數據資產進行梳理,有利于形成數據保護資源配置的最優解。按照數據的種類、風險級別匹配不同的管控措施,就能實現對刑事風險的有效防控。

1.國內現行各類規范和標準

國內目前現行有效的對于數據分類分級的通用規定包括:2021年9月生效的《數據安全法》、國家市場監督管理總局與國家標準化管理委員會于2020年3月發布的《信息安全技術 個人信息安全規范》、全國信息安全標準化技術委員會于2021年12月發布的《網絡安全標準實踐指南——網絡數據分類分級指引》等。但是,這些規范僅僅止步于提出數據分類分級的類型化方案,并沒有對如何分類分級提出非常詳細的操作步驟,需要企業加以吸收或內化。

根據《數據安全法》,按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,數據分為一般數據、重要數據、核心數據。國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。隨后,2021年11月,國家互聯網信息辦公室發布了《網絡數據安全管理條例(征求意見稿)》,同時在《網絡安全審查辦法》《數據出境安全評估辦法(征求意見稿)》《信息安全技術重要數據識別指南(征求意見稿)》等文件中明確了重要數據的額外合規要求。作為國家標準的《信息安全技術 網絡數據處理安全要求》(GB/T 41479-2022)已于2022年11月1日施行。值得注意的是,省級地方標準也開始出臺,例如,浙江省2021年8月5日正式實施的《數字化改革 公共數據分類分級指南》(DB33/T 2350-2021)。

2.企業數據分級分類的具體操作

當前企業數據分級分類的難點在于:第一,數據分類可以有多種維度,如基于數據產生方式、數據使用頻率或者數據應用場景等。企業選擇的維度千差萬別。第二,企業視角與國家、行業視角不同,現有的國家、行業標準是從宏觀視角給出對應行業、組織的分類分級參考,屬于“自上而下”的數據分類分級;而企業站在自身的內部視角的數據分類分級,則屬于“自下而上”的數據分類分級;兩者在分類分級思路上存在差異。①洪延青:《國家安全視野中的數據分類分級保護》,載《中國法律評論》2021年第5期,第74頁。第三,很多企業對自己的數據資產并未有過全面的盤點清理,導致不明確自身的數據資產狀況。

針對以上問題,企業應當明確國家、行業對數據安全管理的通用要求,以及本行業的特殊數據監管要求,并在此基礎上根據自身業務的特性制定個性化的數據分類標準②企業可制定不同的分類標準以實現數據的多維管控。,這樣既可以滿足國家、行業視角下的要求,又可以結合自身體系架構,在“自上而下”與“自下而上”的數據分類分級之間找到一個平衡點。③在這一平衡過程中,企業在數據合規上的自決權比重降低,而數據合規的義務觀占據主導權重。在明確標準之后,企業應當對業務系統中的數據資產開展盤點清理,形成數據資產管理臺賬。隨后再對已梳理的數據資產進行分類和評級,并采取針對性的合規管控措施。④例如,如果企業儲存、運營著保護級別最高的數據,那么法律便有理由強制其進行合規建設,相應地,保護級別稍弱的數據便可以選擇性地進行合規建設,如果無保護價值的數據那么便不需要進行合規建設。參見于改之、陳博文:《數據犯罪的教義形塑及其風險防控——刑事合規語境下的考察》,載《上海法學研究》2021年第21卷,第56頁。這樣就能建立一套符合企業特色和自身發展需求的數據分類分級體系,確保企業數據合規。

(二)企業數據安全管理流程制度

企業應當結合自身業務要求,堅持“源頭治理”“流程治理”“系統治理”的數據全生命周期管理理念,根據最新的數據合規法律法規要求,以及最新監管動向,建立數據治理政策制度及各數據治理領域管理辦法,細化重要數據治理活動的流程及要求,形成一套完整、層級明確的數據治理制度體系。

一方面,根據數據安全生命周期建立全流程安全管理體系。數據安全生命周期主要包括數據采集、數據傳輸、數據存儲、數據共享、數據使用、數據銷毀等階段。在采集階段,應當明確采集規范,保證采集的合規合法性;在傳輸階段,應當注意數據跨境傳輸規則;在存儲階段,應當注意數據本地化存儲要求,做到重要數據在境內存儲;在處理階段,應當嚴格遵循數據處理最小化、必要原則,明確數據的處理和使用規范,實現有效脫敏化處理;在共享階段,應當確立數據共享規范,建立數據交換和共享的審核流程和監管平臺;在銷毀階段,應當建立數據銷毀與監察機制,嚴防數據泄露。①姜濤:《數字安全與刑事合規建設》,載《檢察日報》2021年11月4日,第003版。

另一方面,建立企業數據安全事件應急管理制度與救濟程序。企業應當積極控制數據安全緊急事件,在發生危害數據安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告,以及時處置數據安全風險,減少對數據安全的損害。需要強調的是,企業在發現數據安全的緊急事件后,首先需要遵循的不是技術規則,而應當是法律規范指引。②例如,2021年9月生效的《網絡產品安全漏洞管理規定》第7條明確規定,網絡產品提供者發現網絡安全漏洞后,應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。而阿里巴巴旗下的阿里云發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,及時告知了阿帕奇官方,卻未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理,因此受到工信部“暫停阿里云作為工信部網絡安全威脅信息共享平臺合作單位6個月”的處罰。參見韓軼:《網絡數據安全領域的企業刑事合規體系建構》,載《江西社會科學》2022年5月10日網絡首發定稿。

(三)企業內部的數據合規組織

完善的組織架構是企業進行數據安全建設的基石。目前,有相當一部分企業在組建合規管理部門時,是在法務部門的原職能基礎上納入合規管理職能,并將其升格為“法律合規部”或“法律風控部”。這種做法能夠節約企業合規人才及合規成本支出,但并非長久之計,很容易出現職能定位界定不清、合規人員專業性與能力不足、難以打造有效管理抓手、與其他監督管理部門協同性不強的問題。③普華永道:《國有企業合規管理中,組織職能升級的相關建議》,載普華永道中國,https://www.pwccn.com/zh/blog/state-ownedenterprise-soe/suggestions-upgrading-organisational-functions-compliance-management-nov2021.html,2022年8月30日訪問。而通過構建貫穿企業的跨層級、跨部門、跨地域的專門數據安全組織架構,則可以有效地打通管理、技術、業務等部門之間的溝通屏障,最大程度地調動企業開展數據安全合規建設的能動性和積極性。因此,企業應當建立專門的合規管理部門,設立專業的數據合規團隊,定期對數據合規管理的有效性開展評估,保障企業數據安全生命周期內的所有活動符合相關法律法規規定的數據合規要求。與此同時,企業還應當在人力資源管理方面實施相應的措施,如對員工定期或不定期安排有關數據安全的培訓,倡導建立合規文化,樹立全員合規理念,以確保員工理解和明確其相關數據合規職責,預防合規風險。

四、數據犯罪的末端治理:司法機關以外部刑事合規排除企業罪責的功能設計

以刑事合規實現數據犯罪治理的另外兩種路徑,是起訴策略的刑事合規與量刑激勵的刑事合規。由于這兩種刑事合規是由司法機關(檢察院、法院)在企業涉案后提供的,因此屬于末端治理,發揮的是“亡羊補牢”的功能。司法機關負有通過履職推動數據刑事合規建設的重要職責。推進企業實施數據刑事合規建設,也是司法機關積極參與社會治理的重要體現。①姜濤:《數字安全與刑事合規建設》,載《檢察日報》2021年11月4日,第003版。

(一)基于起訴策略的刑事合規

基于起訴策略的刑事合規的主要角色是檢察機關,其模式包括“相對不起訴+檢察建議”與“附條件不起訴+合規考察”,前者指檢察機關對涉案企業作出相對不起訴的同時,發出責令其實施合規整改的檢察建議并督促其進行整改;后者指檢察機關對符合適用條件、具有合規意愿并提出合規計劃的涉案企業啟動合規考察程序,設置合規考察期,指派合規監督人,考察期結束前對合規整改進行評估,通過后檢察機關作出不起訴決定。②唐彬彬:《檢察機關合規不起訴裁量權限制的三種模式》,載《法制與社會發展》2022年第1期,第40-41頁。2020年3月,最高人民檢察院啟動企業合規改革試點,2021年4月,最高人民檢察院發布《關于開展企業合規改革試點工作的方案》,并開始發布合規案例,第三批典型案例就包括了全國首例數據合規不起訴案件。從最高人民檢察院的刑事合規實踐來看,主要是探索督促涉案企業合規管理,促進“嚴管”制度化,防范“厚愛”被濫用。鑒于企業刑事合規的具體內容并不會超出前文所述企業內部合規的范圍,所以促進“嚴管”制度化可以理解為合規開啟條件的制度化,防范“厚愛”被濫用可以理解為合規整改與評估標準的制度化。“啟動合規條件”與“合規評估標準”也就成為基于起訴策略的刑事合規的兩大關鍵詞。

1.補足刑事合規的前置條件

基于起訴策略的刑事合規,第一只“攔路虎”是立法上缺乏依據。除了最高人民檢察院發布的若干政策性文件之外,現行《刑事訴訟法》沒有規定刑事合規的不起訴條件,當然也沒有適用案件范圍、考察期限、主體、救濟等規定。這就導致現有刑事訴訟中審查起訴期限的短時有限性與合規考察期限的彈性長期性存在嚴重沖突;附條件不起訴試點存在正當性和合法性的質疑。③李玉華:《企業合規與刑事訴訟立法》,載《政法論壇》2022年第5期,第96頁。這兩點都需要刑事訴訟立法予以回應。④例如,將不起訴的適用范圍擴大到企業,增加合規不起訴的適用范圍、條件和期限的規定。另外,刑事合規與認罪認罰從寬的制度銜接需要完善,可以考慮將合規考察制度納入認罪認罰從寬制度。⑤例如,在刑事訴訟法中增加企業認罪認罰從寬,以及在認罪認罰后進行合規整改并通過評估的,可以進一步減輕處罰的規定。

刑事合規的另一只“攔路虎”是單位犯罪的規定。最高人民法院1999年發布的《關于審理單位犯罪案件具體應用法律有關問題的解釋》第2條規定,單位主營業務是犯罪的,以自然人犯罪論處。問題在于,數據企業當然是以經營數據業務為“主營業務”的⑥如前所述,由于法律法規尚不完善,這些業務在很大程度上屬于“灰色地帶”。,一旦涉嫌數據犯罪,整個公司業務都有可能被認定為“以實施犯罪為主要活動”,從而沒有適用刑事合規的余地,這也是不少檢察機關對開啟刑事合規猶豫不決的原因。從最高人民檢察院發布的首例數據合規不起訴案件來看,還是基于“放過涉案企業,但嚴懲責任人”的刑事政策區分了單位犯罪與自然人犯罪。但是,2021年6月3日最高人民檢察院與司法部、全國工商聯等8個部門聯合印發的《關于建立涉案企業合規第三方監督評估機制的指導意見(試行)》(以下簡稱《指導意見》),仍然將以實施犯罪為主要活動的企業排除在合規考察的范圍之外。未來可能需要“兩高”以聯合發布司法解釋的方式解決這一沖突。

2.完善第三方監督評估標準

針對企業合規改革試點工作中發現的企業合規監督考察程序有待進一步規范等問題,前述《指導意見》創設了第三方監督評估機制。《指導意見》第11條、第12條規定,第三方組織應要求涉案企業提交專項或多項合規計劃,并對相關計劃的可行性、有效性與全面性進行審查。對數據犯罪涉案企業而言,第三方組織借以認定合規計劃可行性、有效性與全面性的要點包括:第一,第三方組織應評估涉案企業是否已落實《數據安全法》第21條所明確的數據分級分類保護義務;第二,第三方組織應評估涉案企業是否已落實《數據安全法》第25條、第31條、第36條規定的數據出境管制義務;第三,第三方組織應評估涉案企業是否已經落實《數據安全法》第26條規定的在數據領域的反制裁措施;第四,第三方組織應評估涉案企業是否已落實數據安全管理制度構建義務與電子政務數據保護義務。①李紫陽、郟夢蝶:《涉數據犯罪企業合規第三方評估標準如何確立》,載《檢察日報》2021年11月29日,第003版。

(二)基于量刑激勵的刑事合規

刑事合規與刑事責任天然地有內在融通之處,刑事合規可以成為從輕、減輕或免除刑事責任事由。這有利于激勵網絡平臺等積極履行數據安全保障義務,實現積極預防數據犯罪的效果。②姜濤:《數字安全與刑事合規建設》,載《檢察日報》2021年11月4日,第003版。但是,基于量刑激勵的刑事合規也需要兩方面的完善:一是刑事政策上的依據;二是刑事實體法上的完善。

1.刑事政策依據的解讀

罪刑法定原則與罪責刑相適應原則是現代刑法的兩大支柱。但是,刑事合規的引入,以“合規”代替“刑罰”,引發了是否與以上兩大原則發生沖突的質疑。需要指出的是,衡量現代刑事法治的重要維度是刑事政策,目前企業數據犯罪嚴格規制的刑事政策立場已經開始了轉向。如前所述,我國目前數據立法和治理體系尚不完善,數據犯罪的罪與非罪界限尚不清晰,因此,對于企業數據犯罪應當以發展的眼光看待,落實好“少捕慎訴慎押”刑事司法政策,防止辦一個案件,倒閉一家企業,失業一批員工,甚至垮掉一個行業的機械司法。通過督促涉案企業進行合規整改,既可以促進合規守法經營,也可以舉一反三,促進企業乃至數據行業的規范發展。我國刑事合規的實踐表明,假如沒有一種刑法上的激勵機制,那么,幾乎沒有任何企業會認真對待企業合規問題,更談不上耗時費力地建立或完善合規計劃。③孫國祥:《企業合規改革實踐的觀察與思考》,載《中國刑事法雜志》2021年第5期,第31頁。再者,影響刑事責任輕重的情節與承擔刑事責任的方式是多樣化的,通過選擇適用多元化刑事制裁方式,刑事合規本質上也并不與刑法的帝王原則沖突。④在行為人已經受到程度相當甚至更為嚴厲的實質制裁,或者采用非刑罰制裁方式將取得更好的制裁效果時,刑罰制裁應讓位于非刑罰制裁。參見劉艷紅:《企業合規不起訴改革的刑法教義學根基》,載《中國刑事法雜志》2022年第1期,第121頁。

2.刑事實體法的完善

涉案企業合規改革本身離不開刑事實體法的支撐。問題在于,現行刑法對刑事合規激勵制度缺乏體系性的立法支持。合規計劃既不能作為無罪抗辯事由,也不能作為法定的從輕減輕情節,最多只能作為酌定情節。因此,刑法所能發揮的量刑激勵作用十分有限。從立法完善的角度來看,一方面,刑事合規應當作為企業已盡合理注意義務的抗辯事由,即員工涉嫌犯罪時,基于公司已盡合理的監管義務,不存在主觀過錯,從而實現公司與員工的刑事責任的切割①根據相關的司法解釋,我國對單位犯罪的界定,包含了“人員要素”(單位的員工)、“表見要素”(以單位的名義)、“利益要素”(為實現單位的不正當利益)和“意志要素”(經單位集體研究決定,體現單位的整體意志)。企業合規計劃的存在,在“利益要素”和“意志要素”層面,構成對單位犯罪的抗辯。參見林靜:《刑事合規的模式及合規計劃之證明》,載《法學家》2021年第3期,第57頁。;另一方面,刑事合規應當作為定罪量刑的法定情節,在刑法中增加“單位進行有效合規管理的,可以從輕、減輕處罰。犯罪較輕的,可以免除處罰”的規定,同時增設單位緩刑制度。這樣就可以為企業數據犯罪提供全新的制裁形式,也可以為暫時無能力和機會進行合規整改的企業提供緩沖時間。