刑事合規視域下企業數據全生命周期安全管理研究

摘要：企業數據安全管理是指對數據處理活動負安全主體責任的企業采取的對各類數據實行分級防護，確保數據持續處于有效保護和合法利用的狀態的數據全生命周期管理活動。當前，數據已成為數字經濟時代最為活躍的新型生產要素，處于全球化與數字化時代的我國企業面臨數據采集風險、數據存儲風險與數據利用風險等多重風險。應采取合理措施應對企業數據安全風險問題：首先，應建立企業數據全生命周期安全管理流程，完善數據采集管理、數據儲存管理與數據利用管理制度；其次，應構建企業數據全生命周期安全管理刑事合規制度，包括以法秩序統一性原理指導企業數據安全刑事合規管理，以“事前預防”型合規嵌入企業數據安全刑事合規管理等。

關鍵詞：刑事合規；數據安全風險；法秩序統一性原理；企業數據安全管理

中圖分類號：F425；D925文獻標識碼：A

DOI：10.12186/2024.03.010

文章編號：2096-9864（2024）03-0088-07

企業數據安全管理是國家實施大數據戰略，推進數據基礎設施建設中的重要一環，是發展新質生產力的重要支撐［1］，關乎國家安全、社會穩定與經濟發展，通過企業刑事合規建設保護企業數據安全既有必要性也有緊迫性。在2020年國務院首次公布的關于要素市場化配置的文件《關于構建更加完善的要素市場化配置體制機制的意見》中，數據被列為繼土地、勞動力、資本、技術之后的“第五大生產要素”［2］。2021年《“十四五”大數據產業發展規劃》指出，“十三五”時期，我國大數據企業規模年均復合增長率超過30%，逾1萬億元，到2025年，大數據企業測算規模突破3萬億元，年均復合增長率保持在25%左右［3］。面對如此龐大的大數據市場，眾多大數據行業企業如雨后春筍般拔地而起，瘋狂進行“數據開荒”和“數據奪取”。但是任何領域的可持續發展，都離不開法律制度的規范和制約。企業在數據管理過程中稍有不慎即有可能走入刑事犯罪的歧途，一旦觸及刑事犯罪，相關責任人、主要負責人甚至實際控制人都會陷入刑事犯罪風險，這對于企業來說無疑是致命性打擊。而企業通過刑事合規制度建設可以完善企業內部自我管理，以事前預防規避企業刑事風險。鑒于此，本文擬通過厘清刑事合規與企業數據安全管理的基本概念、關系，分析刑事合規視域下企業數據安全管理的風險，探討刑事合規視域下企業數據安全管理的應對策略，以期能為企業數據安全管理保駕護航，為新質生產力的高質量發展提質增效，不斷形成推動經濟社會發展的新動能。

一、刑事合規與企業數據安全管理之理論厘清

在數字化與智能化時代背景下，刑事合規視域下企業數據全生命周期安全管理是當今企業管理的重要方面之一。企業刑事合規涉及確保企業在其數據業務活動中遵守相關的法律法規，防止企業或其員工因違法行為而面臨刑事責任。而數據全生命周期安全管理可保護企業數據資產不受威脅，確保數據的機密性、完整性與可用性。這兩者雖然在實踐中密切相關，但在理論基礎上各有側重。為此，有必要通過深入理解和系統分析相關基本概念，厘清二者之間的關系。

1.刑事合規

企業刑事合規是企業合規的重要內容。企業在治理中面臨的合規風險主要分為兩大類：一是企業因違法違規行為而受到監管部門行政處罰的風險；二是企業因犯罪受到起訴而被定罪量刑的風險。企業刑事合規的重要目的之一是防范企業的刑事風險的發生，從而減少企業損失。但是，當前學界無論是在理論層面還是在實踐層面對于企業刑事合規的界定尚未形成統一的概念。陳瑞華［4］認為，企業刑事合規是指企業為有效防范、識別、應對可能發生的刑事風險所建立的一整套公司治理體系。李本燦［5］認為，刑事合規是旨在推動企業自我管理的刑事法制度工具。孫國祥［6］認為，刑事合規是指為規避企業的刑事責任，企業內部通過實施一系列符合國家規定的措施，推動企業識別、評估和預防自身的刑事風險的一種管理活動。張遠煌［7］認為，刑事合規作為企業預防、發現犯罪的內控機制，是指為消除、抑制企業內生性犯罪而采取的一系列合規計劃以及相應的活動。由此可見，實踐中各個學者關于刑事合規的概念尚未形成一致意見。

刑事合規是一個較為復雜的問題，既要從犯罪預防的高度來認識刑事合規，通過刑事合規為我國的犯罪預防政策找到途徑、建構制度，又要把刑事合規和國家治理體系與治理能力結合起來。有鑒于此，本文認為刑事合規是指企業為預防犯罪的發生所采取的各種內控機制與管理活動。

2.企業數據安全管理

在數字經濟快速發展的時代，數據安全事關國家安全與發展。我國《數據安全法》第三條第三款規定：“數據安全是指通過采取必要措施，確保數據處于有效保護和合法利用的狀態，以及具備保障持續安全狀態的能力。”因此，企業數據安全管理是指對數據處理活動負安全主體責任的企業采取的對各類數據實行分級防護，確保數據持續處于有效保護和合法利用的狀態的數據全生命周期管理活動。

3.企業數據安全刑事合規管理

企業數據安全刑事合規管理是企業刑事合規管理的重要方面。當前，數據已成為數字經濟時代最為活躍的新型生產要素，處于全球化與數字化時代的我國企業，不僅應注重經營風險，而且應關注由數據管理違規而產生的刑事風險，因此企業數據安全刑事合規管理勢在必行。企業數據安全刑事合規作為企業避免因刑事制裁而產生負外部效應的新興治理機制，對于防控數據合規風險具有重要價值［8］。因此，本文認為企業數據安全刑事合規管理是指負有數據安全管理義務的企業采取全方位措施維護數據安全，減少刑事風險的數據全生命周期治理活動。

4.企業數據安全法益保護

企業數據安全法益是指刑法所保護的為犯罪行為所侵犯的企業數據權益。在當前社會由信息時代向數字與智能化時代轉型的過程中，刑法對數據權益的保障應由系統安全轉向數據安全［9］。維護企業數據安全是保護企業關鍵信息、防止數據泄露、濫用或丟失的重要手段，因此，通過刑法保護企業數據安全既有必要性也有緊迫性。刑法應當在《網絡安全法》《數據安全法》等前置法的基礎上，構建刑法對企業數據安全法益的保障體系。而刑事合規與企業數據安全管理之間有著密切的聯系，這兩者共同構成了企業防范數據安全風險的重要基礎［10］。因而此種刑法保障體系應當是建立于企業刑事合規管理條件下的數據安全保障體系，既應包含數據管理安全，也應包含數據利用安全。

二、刑事合規視域下企業數據全生命周期安全管理之風險分析

企業在數據全生命周期管理過程中面臨多重風險。企業數據在其被創建至銷毀的生命周期中，可能經由提取、導入、導出、遷移、驗證、編輯、更新、清洗、轉型、轉換、整合、隔離、匯總、引用、評審、報告、分析、挖掘、備份、恢復、歸檔和檢索，最終被刪除。基于大數據環境下數據在企業業務中的流轉情況，數據全生命周期可劃分為六個階段，分別為數據采集、數據傳輸、數據存儲、數據處理、數據交換、數據銷毀。但是特定的數據所經歷的生命周期由實際的業務場景決定，并非所有的數據都會完整地經歷這六個階段［11］。因此我們按照數據的全生命周期，又將企業數據分為上、中、下游三個層次，把六個生命周期的階段歸納為數據獲取、數據存儲、數據利用三個環節，分別對應于企業數據安全刑事合規管理息息相關的三種風險，即數據采集風險、數據存儲風險和數據利用風險。

1.數據采集風險

企業在數據管理過程中可能因違規而面臨數據采集風險。企業數據安全刑事合規管理中的數據采集風險是指企業為了自身發展通過自行收集、委托第三方收集以及通過大數據交易市場獲得數據［12］時可能面臨的刑事風險。無論是專門從事大數據獲取業務的企業，還是企業內部數據支撐部門，獲取數據的手段和所得數據的性質，均對收集數據行為的合法性認定至關重要，最為典型的例證就是侵犯公民個人信息的行為。因此，“侵犯公民個人信息罪”是數據采集環節刑事風險最高的罪名之一。《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第四條規定，“違反國家有關規定……在履行職責、提供服務過程中收集公民個人信息的”構成侵犯公民個人信息罪，因此不僅企業有可能因違反《個人信息保護法》等規定違法收集公民個人信息而觸犯刑法［13］，企業員工也可能因履職過程中的違法行為牽涉到企業的利益，導致企業無法正常經營。

2.數據存儲風險

企業在數據管理過程中可能因違規而面臨數據存儲風險。企業數據安全刑事合規管理中的數據存儲風險是指企業在非動態數據以任何數字格式進行物理存儲的階段［14］可能面臨的刑事風險。例如，在生成式人工智能發展過程中，新型人工智能企業在數據存儲過程中面臨的數據泄露風險。以ChatGPT為例，OpenAI官方在2023年3月24日發布聲明稱，有1.2%的ChatGPT Plus的用戶數據存在泄露風險，其中包含姓名、聊天記錄片段、電子郵箱和付款地址等信息［15］。面對未來生成式人工智能發展的不確定性問題，企業在數據管理過程中的數據存儲風險也會呈上升趨勢。

3.數據利用風險

企業在數據管理過程中可能因違規而面臨數據利用風險。企業數據安全刑事合規管理中的數據利用風險是指企業在數據被經過處理、分析后投入到終端用戶，服務于生產和經營過程中可能面臨的刑事風險。例如，2019年，具有六家上市公司股東的“考拉征信”被江蘇省淮安市公安局立案調查，相關負責人被依法拘留配合調查。在該案中，考拉征信公司非法緩存征信系統公民個人身份信息并予以出售，已經涉嫌侵犯公民個人信息罪，同時下游公司購買、再出售的行為同樣涉嫌相關犯罪［16］。

三、刑事合規視域下企業數據全生命周期安全管理之對策

企業數據安全刑事合規管理作為應對因刑事制裁而產生重大外部負面效應的新型風險防范機制，對于企業防控數據管理過程中的安全風險具有重要價值。數據企業因管理大量數據，無論是在何種數據階段、流程，都可能面臨數據安全風險，一種是外部因素，遭遇網絡攻擊、網絡爬蟲等；一種是內部因素，員工故意或者過失導致數據泄露等。數據企業應當建立有效的應對措施，防止發生刑事法律風險，保障企業數據全生命周期的管理安全。

1.建立企業數據全生命周期安全管理流程

企業數據全生命周期安全管理是指在企業數據自創建至銷毀的生命周期中，企業采取全方位措施對數據采集、傳輸、存儲、處理、交換、銷毀的全過程進行保障和優化的管理活動。企業數據全生命周期式安全管理流程主要包括以下三個方面。

其一，數據采集管理。數據采集活動是企業數據的源泉，完善的數據采集管理是企業數據安全管理的重要方面。在數據采集過程中，企業獲取數據的手段及其所得數據的性質，對收集數據行為的合法性認定至關重要，因此企業在收集、使用信息過程中，應當遵循合法、正當、必要的原則，公開收集、使用信息的規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。首先，在采集數據前，企業應了解并遵循相關法律法規的規定。一方面，在開始數據采集之前，企業必須熟悉并遵守所有適用的數據保護法律，如歐盟的《通用數據保護條例》、我國的《個人信息保護法》《數據安全法》等；另一方面，在采集個人數據前，應獲得數據主體權利人的明確同意，同時確保此種同意具有自愿性、明確性和可撤回性。其次，在數據采集過程中，企業應堅持透明度、目的限定和必要性原則。一方面，數據采集者應當向數據主體清晰地解釋數據采集的目的、使用方式和存儲期限等，并使用易于理解的語言編寫隱私政策和同意書，同時，應確保數據的采集和使用僅限于事先明確的、合法的目的［17］，不得濫用或用于非預期的目的。另一方面，在數據采集過程中，數據采集者應做到只采集完成預定目的所必需的最少量數據，避免“過度采集”個人數據；只有當員工或第三方因工作需要而必須接觸數據時，才應該授予其訪問權限，并實行嚴格的訪問控制和監督制度；在不影響使用目的的情況下，盡可能對數據進行去標識化處理，以減少對個人隱私的影響。再次，在完成數據采集后，企業應進行內部或外部審計，檢查數據采集活動是否符合法律法規與公司的政策規定。基于審計過程中發現的問題，企業應調整和改進數據采集管理策略和流程，確保其隨著法律法規和技術的發展而不斷更新。

其二，數據存儲管理。數據存儲活動的目的是保障數據的完整性與安全性，同時提高數據的使用效率和便利性，完善的數據存儲管理是企業數據安全管理的重要支撐，可為企業數據的有效利用提供安全基礎。為此，企業數據存儲管理部門應制定分級分類存儲管理制度［18］。首先，制定數據分類政策。在企業信息管理部門、法律顧問、業務單位等相關方參與下，根據數據的敏感性、法律要求、業務價值和風險等級，制定明確的分類標準，以確保數據存儲管理的安全性與適用性。其次，建立數據分類制度。依據數據重要性的不同對數據進行識別和評估，確定數據的來源、類型、存儲位置、使用方式和相關的合規要求，根據制定的標準對數據應用采取適當的分類標簽，包括公開級、內部級、秘密級、機密級等［19］。再次，完善數據安全存儲措施。對重要程度不同的數據采取不同的管理措施，采用不同的加密與歸檔存儲方式；對存儲介質性質不同的數據采用不同的安全保障措施，保障介質安全性。同時，需要確保所有數據按分類進行定期備份，并制定有效的數據恢復計劃以應對數據丟失或被破壞的狀況。最后，健全數據存儲審核與審計機制。針對不同級別的數據制定不同的安全審核與審計制度，定期審核數據分類和存儲制度的執行情況，確保其始終符合法律法規要求與業務需求，對存儲介質、存儲內容的管理情況進行定期檢查，并定期報告審計結果。

其三，數據利用管理。數據利用活動是發掘數據價值的重要過程，完善的數據利用管理是企業數據安全管理的重要保障。企業數據利用安全機制的建設應注意以下三個方面：一是建立安全監控和日志記錄制度。應組建數據安全專業團隊，保障數據不輕易被網絡攻擊、網絡爬蟲等行為獲取，對網絡和系統進行實時監控，及時發現并響應安全威脅。同時，應詳細記錄和分析安全事件的日志，以便于事后審計和追蹤問題源頭。二是強化員工培訓，提升員工安全意識。企業應加強對內部人員接觸數據的全流程追蹤，防止人為違規利用數據事件發生。企業應定期開展員工數據安全和隱私保護的培訓，持續提升員工對數據安全重要性的認識，確保他們能夠及時識別響應數據安全的威脅。三是設立應急數據救援部門，在違規利用數據事件發生后及時發現問題并填補管理漏洞，企業應急數據救援部門通常包括數據恢復管理員、系統管理員、網絡安全管理員和技術支持人員。同時應當明確團隊成員的職責，確保其職責覆蓋到應急響應、數據恢復、系統修復和安全分析等關鍵領域。

2.構建企業數據全生命周期安全管理刑事合規制度

其一，以法秩序統一性原理指導企業數據安全刑事合規管理。法秩序統一性原理是指在處理不同法律部門之間的關系時，為確保法律秩序的內部一致性和協調性應遵循的基本規則。法秩序統一性原理是處理法域間關系的基本原則［20］，將法秩序統一性原理融入企業數據安全刑事合規管理，有助于促進企業刑事合規建設，完善企業數據安全管理制度。為此，本文認為有必要從以下兩個方面做起。一方面，企業數據安全刑事合規管理應重視發揮企業管理、行業自治、行政監管、司法處罰的重要作用。企業數據安全合規建設是內在管理與外在監督的雙層建設，需要內在企業管理、行業自治與外在行政監管、司法處罰的有機統一，在重視企業內部數據采集、存儲、利用管理建設的同時，發揮外在市場監管部門、知識產權監管部門、國家安全部門的監督管理作用，完善企業數據管理規章制度，提高企業數據管理水平與管理效率。為應對潛在的企業數據安全管理事故風險，應建立完善的企業、行業與監管部門聯動機制，更好地保護企業數據安全。一方面，企業數據安全刑事合規管理應重視處理好前置法與刑事法律的關系，以前置法為管理手段，以刑法為保障措施，協調好二者的關系，更好地完善企業數據安全刑事合規管理。從行業規定、行政法規的角度來看，立法者應強化對于企業數據安全的保護，嚴厲打擊危害企業數據安全的行為。從刑法益保護的角度來看，刑事立法者應完善刑法對數據安全法益的保護，完成從系統安全法益到數據安全法益的轉變。從刑法對數據安全保護的種類上來看，刑事立法者不僅要關注事關國家利益的數據安全，也應當關注事關企業利益的數據安全。從犯罪人的主觀表現來看，刑法不僅應懲治故意危害企業數據安全的行為，也應懲治過失嚴重危害企業數據安全的行為。

其二，以“事前預防”型合規嵌入企業數據安全刑事合規管理。與“事后懲治”型企業合規相比較，“事前預防”型企業合規能更好地完善企業數據安全刑事合規管理，降低企業數據安全刑事風險。企業數據安全管理制度建設是“事前預防”型企業合規管理體系建設的核心，企業數據安全管理制度實施則是合規管理體系運行的核心。通過事先制定和發布完整體系的制度，可以規范企業數據安全合規管理的各項行為，保障第一時間識別企業數據安全風險，并將安全風險扼殺于萌芽之中。在作出任何重大決策之前，應提請進行合規審查，非經審查不進行決策。企業應將數據安全合規審查、合規咨詢、合規風險預警等制度建設與完善“事前預防”型企業數據安全刑事合規管理機制結合起來。一是數據安全合規審查。企業應定期進行數據安全合規審查，以確保其數據管理和保護措施符合當前的法律法規要求，這包括對數據的采集、存儲、傳輸和利用過程進行詳細檢查，以及評估與第三方合作時的數據保護措施。二是數據安全合規咨詢。企業可以聘請外部法律顧問或設立內部合規部門，為數據安全和刑事合規提供專業的咨詢服務。這些專家可以幫助企業理解和適應不斷變化的法律環境，同時提供針對特定業務場景的合規建議。三是數據安全合規風險預警。企業應建立一個全面的合規風險預警系統，及時識別和響應可能導致刑事責任的數據安全風險［21］。這可能包括定期的風險評估、監控關鍵數據操作和設立緊急響應計劃來處理潛在的安全事件。

四、結語

在刑事合規視域下，企業數據全生命周期安全管理是一項復雜而關鍵的任務，它不僅涉及技術層面的防護，而且包括法律和道德方面的考量。企業數據安全管理應覆蓋數據的全生命周期，從數據的采集、存儲到利用的每一個階段。在每個階段，企業都必須實施適當的安全措施，同時確保這些措施符合法律法規的要求，以預防和減少刑事法律風險。企業在制定和實施數據安全策略時，應將刑事合規納入考慮之中，建立系統的數據風險管理機制，定期進行風險評估，以識別和評估與數據安全相關的刑事法律風險。通過對企業數據全生命周期安全管理的研究，我們可以看到，企業數據安全刑事合規不僅是法律責任的問題，也是企業保持競爭力和健康發展的關鍵。為此，企業應把握好發展與安全的關系，以實現企業健康可持續發展。

參考文獻：

［1］劉文祥.塑造與新質生產力相適應的新型生產關系［J］.思想理論教育，2024（5）：41-47.

［2］關于構建更加完善的要素市場化配置體制機制的意見［EB/OL］.（2020-04-09）［2024-03-01］.https：∥www.gov.cn/zhengce/2020-04/09/content_5500622.htm.

［3］《“十四五”大數據產業發展規劃》解讀［EB/OL］.（2021-12-01）［2024-03-01］.https：∥www.gov.cn/zhengce/2021-12/01/content_5655197.htm？eqid=dcaf 72a40001cc600000000 464980bde.

［4］陳瑞華.企業合規的基本問題［J］.中國法律評論，2020（1）：178-196.

［5］李本燦.刑事合規制度的分則體系［J］.清華法學，2024，18（1）：134-153.

［6］孫國祥.刑事合規的理念、機能和中國的構建［J］.中國刑事法雜志，2019，2（2）：3-24.

［7］張遠煌.刑事合規視野下探索企業犯罪相對不起訴［J］.人民檢察，2020（19）：39.

［8］徐長江.數據刑事合規的多元挑戰與制度完善［J］.數字法治評論，2022（3）：102-118.

［9］李懷勝.數據安全的法益變遷與刑法規制［J］.江西社會科學，2023，43（7）：33-44.

［10］楊猛，李嘉碩.企業數據刑事合規的建構路徑及其具體展開：以數據安全法益為切入［J］.湘潭大學學報（哲學社會科學版），2024，48（2）：88-94.

［11］鄭斌.企業數據安全能力框架：數據安全能力成熟度模型的構建及應用［J］.信息安全與通信保密，2017（11）：70-78.

［12］閆兆騰，朱紅松.智能網聯汽車數據采集安全風險研究［J］.保密科學技術，2021（10）：41-43.

［13］卜天石.網絡爬蟲技術侵犯公民個人信息的刑事規制［J］.網絡空間安全，2023，14（3）：115-120，126.

［14］劉建忠.數據存儲、信息安全性及智能IT運維研究與對策［J］.信息系統工程，2024（3）：66-69.

［15］March 20 ChatGPT outage：Heres what happened［EB/OL］.（2023-03-24）［2024-03-11］.https：∥openai.com/safety.

［16］王倩.深陷“考拉征信丑聞”拉卡拉“甩鍋”何以抽身？［J］.商學院，2019（12）：73-75.

［17］孫紅梅，賈瑞生.大數據時代企業信息安全管理體系研究［J］.科技管理研究，2016，36（19）：210-213.

［18］侯利陽，賀斯邁.如何對數據進行分級分類保護［J］.檢察風云，2020（19）：14-15.

［19］金濤.數據安全分級劃分［J］.信息安全研究，2021，7（10）：969-972.

［20］喻浩東.過失犯注意義務違反的交叉研究：兼論法秩序統一性原理［J］.中國刑事法雜志，2023（3）：50-71.

［21］薛興華.依法構建企業數據合規體系［J］.通信企業管理，2023（11）：47-49.

［責任編輯：毛麗娜 王天笑］

收稿日期：2024-05-08

基金項目：北京市社會科學基金重點項目（23FXA005）

作者簡介：李金珂（1999—），女，河南省信陽市人，北京師范大學博士研究生，主要研究方向：刑法學、刑事訴訟法學。