企业数据合规与刑事法律风险防控

张 宇 颜井辰（通讯作者）

（湖北和楚律师事务所，湖北 黄冈 438400）

所谓刑事法律风险，是指企业及其员工因涉嫌犯罪或成为犯罪对象，给企业及其员工财产权、人身权等造成危害后果所带来的风险，可能会直接危及企业的生存。正是基于企业刑事法律风险严峻性、隐蔽性以及潜伏性的特点考量，其有效防控势在必行。在此过程中，信息化时代，全面依法治国视角下，网络亦非法外之地，数据合规建设成为企业刑事法律风险防控不可或缺的一环。

一、企业数据的认知

（一）分类

在信息化引领的时代发展新格局下，海量数据充斥着人们的生产生活，并由此输出了诸多便捷性服务，但是基于高度开放、自由的互联网虚拟空间，其中亦伴随着严峻的安全挑战。根据《数字经济蓝皮书· 基础篇》，数据是数字的一种重要的表现，数字才是基础。在保持数据原始性的基础上，其可重复使用。全面依法治国战略视角下，我国民法、刑法、诉讼法等均有涉及“数据”或相似概念。例如，刑法对“破坏计算机系统罪”的规制中，将之保护对象权定为“计算机信息系统中存储、处理或者传输的数据”。同时，《网络安全法》中将“网络数据”界定为“通过网络收集、存储、传输、处理和产生的各种电子数据”。特定的场景语境环境下，数据的含括是相当丰富的，根据用户主体的不同可分为个人数据、企业数据、公共数据等。企业数据包括所有与经营相关的资料信息，如公司简介、产品信息、财务数据、分析报告、研究成果等，其中部分是半公开甚至非公开数据，具有一定的商业机密性，甚者关乎国家安全。

（二）合规

“合规”最早发端于美国、英国，是“compliance”的中文意译，现已成为全球公司引领的潮流，本身负载着遵守法规、遵守规制和遵守规范三个层面的涵义。所谓遵守法规，即公司所在国的法律法规及监管规定；遵守规制包括公司的各项规章制度，如商业行为准则；遵守规范即遵守职业操守和道德规范。中国特色社会主义治理体系与治理能力现代化视角下，企业数据合规是时代发展的必然，更是由党的领导意志决定。事实上，国家紧随时代的步伐，相继出台了《中央企业全面风险管理指引》《中央企业合规管理指引》《企业境外经营合规管理指引》等系列文件，成了公司治理的重要法宝。现阶段而言，对企业数据合规的理解应当包括两个主线，即适应全球化经营的企业合规管理和涉企案件刑事合规。

二、企业数据合规视角下的刑事法律风险防控对策

（一）强化能动意识

万物互联的时代生态格局下，尤其是受李克强总理“互联网+”的战略精神指引，为了更好地支持内部管理，并在全球化经济中寻求发展契机，越来越多的企业关注信息化转型升级，相继开通了多种类型的线上业务，汇聚了庞大的数据信息，在其处理的过程中，面临着更加复杂的刑事法律风险，数据合规建设势在必行。事实上，国家对于网络安全和数据合规领域的监管将日趋严格，网络安全和数据合规将成为涉及信息通信技术的企业合规运营的重要组成部分。[1]对此，企业应当紧密跟随时代发展的步伐，认真学习习近平新时代中国特色社会主义思想，科学参与“全面依法治国”，坚持党对一切的领导，牢牢把握数据合规的核心内涵，并将之上升至战略规划层，制定完善的刑事法律风险防控机制体系，包括事前预防机制、事中处置机制和事后精进机制，渗透到企业经营发展的全生命周期，形成浓郁的文化格局，有力牵引各级员工行为，逐步达到最佳状态。在此基础上，定期或不定期展开“数据合规”主题宣传活动，基于专家团队支持，深度解析其中面临的刑事法律风险，延展员工的知识范畴，树立其高度的合规意识，强化他们的法治精神，使之积极配合并涌动其中。如此，唯有从微观细节入手，强调全员的全程参与，才能保证达成最佳的企业数据合规效果，有效防控刑事法律风险。

（二）落实主体责任

某种意义上，企业数据合规作为一项庞杂的系统化工程，刑事法律风险面临充斥在整个产业链生态结构上，其有效防控有赖于多主体的协同支持，包括企业本身、企业员工以及与企业经营管理过程中发生联系的第三方。对此，一方面，要责任到人，严格按照刑事法律进行建章立制，对自身经营过程中所涉及的各类数据进行科学划分，包括一般信息、个人信息、商业机密、国家秘密等，继而采取对应的合规手段；另一方面，有效管控员工行为，除了员工风险教育培训外，还需对数据接触、使用、披露等行为进行权限制度设计，并充分利用现代科技支持，如身份识别、病毒查杀等，建立完善的保障体系，以此来帮助员工被动合规。同时，习近平总书记在关于“全面依法治国”的论述中指出，要坚持抓住领导干部这个“关键少数”，带头尊崇法治、敬畏法律、了解法律、掌握法律，不断提高运用法治思维和法治方式深化改革、推动发展、化解矛盾、维护稳定、应对风险的能力。因此，企业还需重视对高级管理人员及股东等个别身份人员的合规管控；最终，将企业数据合规任务分解到与自身经营管理发生联系的第三方，充分做好事前的尽职调查工作，具体项目资质审查、技术水平以及不良技术审查等。

（三）成立专家团队

知识经济时代，人才的战略价值日臻突出，在企业可持续发展筹划中占有重要地位，是其有力迎接各类挑战的核心资本，对数据合规与刑事法律风险防控有着不可替代的作用。正所谓术业有专攻。就企业的数据合规与刑事法律风险防控而言，专业律师能够精准地判别、评估刑事法律风险是关键，可视作为“体验式的法律服务”，所涉及的项目包括一般法律风险防范、特性法律风险防范以及刑事调查应对，对从业律师团队提出了非常高的要求。但是目前来讲，传统企业法律顾问业务却存在一定的滞后性，对刑事专业律师参与企业经营管理的价值认知不到位，多倾向于擅长民商专业领域的律师，但由于其识别全部面临的风险实属强人所难，对刑事法律风险的处置能力缺位。因此，在企业数据合规建设的进程中，应当在既有的法律顾问团队上进行结构调整和优势互补，除了聘请民商事律师之外，还需结合自身实际需求，至少引入一位刑事法律方面的专家，两者协力识别企业风险，为上层管理更为科学的决策提供支持。如此这般，基于刑事专业律师的合规工作介入，推动刑事合规服务的常态化建设，为企业数据合规铺垫厚实的基础。

（四）完善内控机制

美国学者曾指出，将形式规范中预防犯罪的注意义务切分出来，内化为企业合规计划的组成部分，并赋予企业合规计划一定权限的量刑激励措施，通过加强企业犯罪的事前预防，构建起可以避免刑事可罚性及刑事风险的措施和计划。企业数据合规是一个不断精进的过程，要随着国家法治的步伐，建立完善的规章制度，将企业刑事法律风险防控纳入企业和国家协同治理的范畴中，可达到更优的效果。同时，充分利用刑事法律专家的智力支持，认真梳理企业数据合规中的各类刑事法律风险，找准事前防控的关键点，以此来导引系列管理工作的展开，可实现有限资源的最大化价值产出。因此，需要完成合规、内部协调和外部合作、数据安全战略统筹规划和方案设计与落地、数据安全能力建设和风险控制等。[2]另外，当刑事法律风险来临时，趁未造成具体实质的危害后果，应当选择积极配合、妥善处理，将危害后果降至最低，至少化被动为主动，及时咨询专业人员，对面临的刑事法律风险进行诊断，继而在合法的状态下为企业及其员工争取最大利益。

综上所述，企业数据合规与刑事法律风险防控是一个有着紧密关联的交织体，共同作用于企业可持续发展，是时代发展的必然，作为一项庞杂的系统化工程，应当不断强化能动意识，形成浓郁的氛围文化，并注重落实主体责任，依托专家团队支持，指导建立完善的内控机制，从而更加稳固地参与激烈的经济市场竞争。