周维明
(中国应用法学研究所,北京 100062)
历史的数据来自数据的历史。人类文明的发展史,同时也是数据产生、迭代与进化的历史。随着数字化、网络化、大数据、人工智能等当代信息科技的快速发展和广泛应用,当今社会已经进入数字社会。数字社会主要有两个特征:一是社会本身的全面数字化,即一切关系皆可用数据表征,一切趋势皆可用数据预测;二是数据成为第五大生产要素①参见2020年公布的《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》。,是继物质、能源之后的第三大基础性战略资源。②参见2015年国务院印发的《促进大数据发展行动纲要》。目前,我国已成为全球数据要素市场发展最为活跃、最具潜力的国家之一,由数据采集、数据清洗、数据标注、数据交易等核心数据环节构成的中国数据要素市场快速成长。海量数据和丰富应用场景的优势,促进了数据科技与实体经济的深度融合,为推动经济高质量发展提供了新动能。但是,利之所在,弊亦随之。“一切都被记录,一切都被分析”的数据化,催生了数据安全风险。从全球来看,数据泄露、数据贩卖等数据犯罪案件频发,为个人隐私、企业商业秘密、国家安全带来了严重的安全隐患,通过刑事法律进行数据安全治理已经刻不容缓。数据刑事合规是企业预防因数据安全犯罪所可能引发的刑事风险、建构数字经济安全体系的关键,也是健全完善共建共治共享的数据治理制度的重要一环。鉴于此,本文拟在分析企业所面临的数据安全犯罪刑事风险的基础上,就刑事合规的必要性、制度设计思路和以刑事合规实现数据犯罪治理的路径展开论述,以期能抛砖引玉,求教于方家。
我国刑法设立了多个与数据违规密切相关的罪名,数据领域企业面临较大的刑事风险。建立数据刑事合规体系,保障数据业务合规运行,不仅是企业预防刑事风险的必要途径,也是完善数据流通和分享的政策监管体系,有效保护企业产权的重要举措。
在数据安全保护法律体系中,刑法占据重要地位,发挥着“最后手段”的保障功能。由于刑法自身的片面性与不完整性,其不可能事无巨细地描绘数据犯罪的所有构成要件特征,只能由相应的前置法规范所规定的义务,作为判断相应行为具有刑事违法性的重要根据。①时延安:《数据安全的刑法保护路径及方案》,载《江海学刊》2022年第2期,第142页。在我国现行的法律体系中,数据治理有三部非常重要的法律,依次为2017年6月1日生效的《网络安全法》、2021年9月1日生效的《数据安全法》和2021年11月1日生效的《个人信息保护法》。这三部法律明确了企业的数据安全监管职责,共同构成了数据安全的前置法保护体系。②在面对数据安全刑事风险时,企业首当其冲,这一原因可以通过以下数据得到解释:根据国际权威机构IDC发布的分析报告,2020年,与消费者相比,企业要保护的数据更多,占需要保护数据总量的85.6%。据此,企业面临的数据安全刑事风险,可以划分为以下两种类型。
1.严重违反数据安全规则而导致的刑事风险
数据安全是指通过采取必要措施,确保数据处于有效控制和合法利用的状态,以及具备保障持续安全状态的能力。③于改之:《从控制到利用:刑法数据治理的模式转换》,载《中国社会科学》2022年第7期,第56页。数据安全包括数据存储安全、数据运输安全和数据使用安全。就数据存储安全与运输安全而言,刑法主要涉及对非法取得、篡改、销毁数据等行为的惩治。由于数据的存储、处理等依赖于计算机信息系统,因此,首先涉及计算机信息系统安全和网络安全方面的罪名,如非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,破坏计算机信息系统罪等;如果非法收集的数据为个人信息,则涉及侵犯公民个人信息罪。④例如,黎某在湖南省浏阳市成立了浏阳市泰创网络科技有限公司,逯某作为公司技术员利用自己开发的“爬虫软件,通过网页接口爬取11.8亿条客户信息,并将手机号码提供给黎某,用于该公司经营活动。黎某与逯某均被法院认定构成侵犯公民个人信息罪。参见河南省商丘市睢阳区人民法院(2021)豫1403刑初78号刑事判决书。以上几类行为危害的是公共数据安全。如果非法收集的数据被鉴定为国家秘密或情报,则涉及为境外窃取、刺探、收买、非法提供国家秘密、情报罪①例如,国家安全机关不久前破获了一起为境外刺探、非法提供高铁数据的重要案件。这起案件是《数据安全法》实施以来首例涉案数据被鉴定为情报的案件,也是首例涉及高铁运行安全的危害国家安全案件。参见央广网:《国家安全机关公布一起为境外刺探、非法提供高铁数据的重要案件》,载央广网2022年4月14日,http://china.cnr.cn/gdgg/20220414/t20220414_525795356.shtml.,这类行为危害的是国家数据安全。就数据使用安全而言,为他人实施信息网络犯罪活动提供数据处理服务的,涉及帮助信息网络犯罪活动罪。
2.不履行网络服务提供者监管义务导致的刑事风险
本类风险涉及的罪名是拒不履行信息网络安全管理义务罪,主要包括“致使用户信息泄露,造成严重后果的”,即数据泄露的风险。近年来,全球数据被攻击、窃取、劫持等现象层出不穷,我国属于“重灾区”,掌握海量用户信息的金融、保险、教育、医疗等行业,以及互联网、电信运营商等企业,往往面临较高的数据泄露风险。从相关案例来看,数据泄露的源头主要有两个:一是内鬼泄密②例如,2020年,不法分子与圆通快递多位“内鬼”勾结,致40万条个人信息泄露。参见杜恒峰:《圆通内鬼泄露客户信息,如何避免“下一次”?》,载《每日经济新闻》2020年11月18日,第001版。,二是黑客窃取③例如,2018年,犯罪嫌疑人刘某某利用黑客手段窃取华住集团旗下酒店约5亿条数据并在境外网站兜售。参见银昕:《“华住开房记录泄露案”该如何处罚?》,载《中国经济周刊》2018年第45期,第42页。,这暴露了涉案企业在数据安全防护体系和履行监管义务机制上的不健全。2019年10月25日,最高人民法院与最高人民检察院发布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》明确,网络服务提供者拒不履行信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上的将入罪。考虑到此类数据泄露动辄以数十万条乃至上亿条计,这就意味着对于涉案企业而言,如果没有履行监管部门规定的信息网络安全管理义务,就存在“一泄露就入罪”的严重风险。
面对数字经济发展及其所带来的风险挑战,刑事立法与司法面临两方面的任务:一方面,需要积极构建确保数字经济安全的规范新形态;另一方面,需要充分促进数据的开发与利用,不因刑事风险而带来“寒蝉效应”。一言以蔽之,存在安全与效率之间的权衡取舍。在此过程中,刑事合规发挥了重要作用。
1.刑事合规制度的基本功能指向
数据安全关系国家发展,民族复兴。近年来,政府部门对网络信息和个人数据的监管力度日益加大,数据领域企业刑事风险陡然增加。自2018年5月25日欧盟出台《通用数据保护条例》以来,数据合规成为了世界各国关注的热点。2017年《网络安全法》的正式实施开启了中国数据合规元年。个人信息保护以及数据安全领域的两部专属立法,即《个人信息保护法》与《数据安全法》共同构建了中国数据合规的基础法律框架,刑事合规制度从来没有像今天这样重要、迫切。
(1)前端治理与数据利用的两全
一方面,《刑法修正案(九)》修正的数据犯罪,都强化了对单位犯罪主体的刑事制裁④集中体现为:不仅对《刑法》第285条、第286条的传统信息网络犯罪,对于新增的新型信息网络犯罪(即拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪),也增加了单位犯罪的规定。,实际上对数据领域企业提出了更高的刑法义务要求。另一方面,我国虽然已经颁布了《网络安全法》《数据安全法》和《个人信息保护法》,但构建数据治理框架的努力才刚刚开始,国家数据安全治理体系还需要进一步完善,这意味着刑法与前置法尚未实现充分衔接,罪与非罪的界限尚不清晰。在我国单位犯罪双罚制模式下,企业一旦面临承担刑事责任的风险或者受到刑事处罚,其后果将会是致命的。为了保护自身的生存和利益,企业可以通过刑事合规制度的建立,完善风险防范机制、实现罪前预防。
(2)多元治理与犯罪预防的兼顾
传统刑法具有谦抑性和滞后性,只能在犯罪发生以后对相关行为进行评价,这种事后评价对于数据安全的保护有其自身的局限性,无法起到预防和有效恢复已经受损法益的效果。同时,数据领域企业存在复杂的管理流程、环节及海量的数据流,国家层面的全环节监管在监管能力和成本上都力有不逮。在此背景下,仅仅凭借刑事立法和司法的强制力作用,已经不能适应大数据时代法益保护的有效性需求。①白旭明:《网络平台刑事合规的风险防控与规则建构》,载《华南理工大学学报(社会科学版)》2022年第4期,第65页。因此,要抑制数据安全犯罪的产生,就必须适时地改变偏重事后惩罚的传统的消极犯罪预防理念,转向积极的一般预防新思路,即在数据犯罪的治理过程吸收数据领域企业积极参与的理念。刑事合规正是上述一般预防主义的体现。刑事合规的引入为涉案企业提供了主动自律的机会和根据,涉案企业事前良好的合规表现或者亡羊补牢式的事后合规机制的构建,降低了一般预防的必要性②张勇:《数据安全刑事合规的滤罪模式》,载《学术论坛》2022年第3期,第14页。,同时也缓解了国家数据治理的压力,弥补了国家法律规制的不足,形成国家和企业二元共治的数据治理体系,是推动国家治理体系与治理能力现代化的体现。
(3)宽严相济刑事政策与产权保护的协调
2016年11月发布的中共中央、国务院《关于完善产权保护制度依法保护产权的意见》中明确要求,“以发展眼光客观看待和依法妥善处理改革开放以来各类企业特别是民营企业经营过程中存在的不规范问题”。数字经济是近几年快速发展起来的新型经济模式,我国数字经济规则的软实力不够,数据流通和分享的政策监管体系还不完善;另外,数据领域企业大多为民营企业,其企业文化和组织架构尚不能完全适应新的数字化潮流。因此,对企业目前在数据安全领域的违规违法行为,不能动辄则咎,而是要“以发展眼光客观看待”,以免保护过度而扼杀企业的创新活动。肯定企业创新发展的大方向,以包容审慎的原则性态度,通过刑事合规给予涉案企业不起诉或者暂缓起诉的宽待,以及刑罚减免的激励,可以督促数据领域企业建立全面的自我监管制度,促使它们更为健康和可持续发展与成长,这正是宽严相济刑事政策的体现。
《数据安全法》第4条规定:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”数据治理的核心是数据安全合规。刑事法律是数据安全的最后一道防线,犯罪治理是数据安全治理体系的最重要环节。问题在于,传统的犯罪治理重打击轻预防。但是,数据领域犯罪治理方面不仅要强调打击,更要强调从源头上进行治理,强调对数据领域犯罪的防范。刑事合规便是一种很好的犯罪源头治理方式。①李玉华:《数据合规与刑事诉讼》,载《北京航空航天大学学报(社会科学版)》2022年第2期,第30页。所谓数据刑事合规,是指为了保障数据安全,企业、政府部门、司法机关等所进行的企业内外部合规治理活动。②张勇:《数据安全刑事合规的滤罪模式》,载《学术论坛》2022年第3期,第15页。
数据刑事合规本体,根据主体的不同,可以区分为企业和司法机关的刑事合规:企业作为刑事合规的主体,针对数据获取、存储、流通和使用过程中的刑事风险,制定和实施数据合规计划;司法机关运用法律手段惩治和预防危害数据安全的违法犯罪。数据刑事合规还可以区分为事前合规和事后合规:前者是指企业经营管理活动中建立内部风险控制制度,防止企业实施涉及数据安全的犯罪;后者是指企业触及数据安全刑事风险后所做的整改补救措施,以预防再次犯罪的发生。③张勇:《数据安全刑事合规的滤罪模式》,载《学术论坛》2022年第3期,第15页。
数据刑事合规的法律依据可以区分为实体法上的依据与程序法上的依据:实体法层面针对的是企业涉嫌犯罪并遭受刑罚处罚的风险,主要考虑通过企业建立内部合规计划来事前化解其可能遭受的刑罚风险,秉持的是结果论;程序法层面考虑的是利用具体刑事诉讼制度引导、激励企业建立和执行合规计划,承担的多是激励机制的工具性功能。④裴炜:《刑事数字合规困境:类型化及成因探析》,载《东方法学》2022年第2期,第160页。
第一,数据分级与数据刑事合规的宽免性挂钩。对数据分类分级,是开展数据治理的起始点。《数据安全法》第21条规定“国家建立数据分类分级保护制度”。⑤要求国家根据数据对国家、社会的价值(数据在经济社会发展中的重要程度),以及出现安全事件后造成的危害后果(一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度),来开展数据分类分级的工作。参见洪延青:《国家安全视野中的数据分类分级保护》,载《中国法律评论》2021年第5期,第72页。据此而言,相关保障法也应当相应地确定与受保护数据的类别和级别匹配的安全保护水平和措施。我国刑法过去对犯罪采用的是“定性+定量”的犯罪立法模式,对数据犯罪而言,重点在于“定量”,甚至有“唯数额论”的倾向。⑥在与数据犯罪有关的司法解释中,仍然可以看到大量对计量标准的明确规定。例如,最高人民法院、最高人民检察院2011年颁布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第1条规定:“非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的‘情节严重’:(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的;(二)获取第(一)项以外的身份认证信息500组以上的……”最高人民法院、最高人民检察院2017年颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条规定:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’。”这一模式在数据犯罪对象进入海量阶段后显得捉襟见肘。在此情况下,应当在数据分类分级的基础上,根据数据安全法益保护的必要性及重要程度,明确数据犯罪的数额或数量标准和综合性情节的罪量评价要素。⑦张勇:《数据安全分类分级的刑法保护》,载《法治研究》2021年第3期,第26页。换言之,应当明确“定性优先+定量辅助”的犯罪立法模式。所谓“定性”,就是数据的分类分级。⑧《网络数据安全管理条例(征求意见稿)》按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。根据这一模式,在定量因素已经确定的情况下,作为犯罪对象的数据的分类分级越高,罪量就越大,通过事后刑事合规给予涉案企业起诉或刑罚上的宽免的可能性就越小,反之亦然。
第二,行政合规与刑事合规实现体系融合。数据犯罪往往从违反数据行政监管要求开始,因此,数据保护领域的犯罪均为法定犯,这就意味着作为前置法的行政法关于数据处理规则和管理义务的规定即为犯罪构成要件(所谓“空白的构成要件”),在此基础上,只要符合数量、情节等特定构成要件就足以转化为犯罪。①毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022年第2期,第93页。如前所述,数据犯罪的入罪门槛极低,对于从事海量化数据处理的现代企业而言,一旦行政合规未达标准,几乎必然构成犯罪。因此,行政合规是刑事合规的基础和必要性前提。因企业违规所导致的法律责任,其基础和必要性前提是行政监管,刑事责任只是次生的、辅助性的,是最后手段。②张泽涛:《论企业合规中的行政监管——以“行刑”衔接为中心》,载《法律科学》2022年第3期,第52页。由此可见,应当以行政前置法与刑事法的衔接为切入点,加强行政执法机关对企业生产经营活动的事前、事中和事后监管,构建以行政监管为中心的企业合规体系。这样的衔接既包括从行政合规到刑事合规的衔接,也包括从刑事合规到行政合规的衔接。就前者而言,是指只有在行政合规失效(行政监管严重失灵且适用行政处罚还不足以予以惩戒时),才能启动刑事合规;就后者而言,涉案企业被“合规不起诉”后,需要随后进行有效的行政合规整改,消除企业的管理漏洞,预防再度发生同类犯罪。这些都涉及司法机关与行政监管机关衔接配合的规则和程序,以及合规整改结果和处罚结果互认机制。③陈文兴:《刑事合规与行政合规衔接机制研究》,载《民主与法制周刊》2022年第19期,第50页。
第三,对外合规与对内合规冲突时,对内合规优先。从全球范围看,数据流动对全球经济增长的贡献已经超过传统的国际贸易和投资,数据跨境流动是经济全球化的必然要求。但是,数据同时又事关数据主权、国家安全,数据本地化存储至关重要。数据跨境流动中的合规问题深受这种“二律背反”的困扰,其突出表现就是在本国与国外数据保护法律规定的合规条款不相同时,对外合规与对内合规究竟以何者为先的问题。④例如,美国证券交易委员会于2021年3月通过《外国公司问责法案》最终修正案,其中多个条款明显针对中国赴美上市公司和已在美上市的中概股:如果外国上市公司连续三年未能提交美国上市公司会计监督委员会所要求的报告,允许该委员会将其从交易所摘牌。而有关信息的披露,可能导致重要数据、个人信息的泄露。与之针锋相对的是,随着2021年7月中共中央办公厅、国务院办公厅公开发布《关于依法从严打击证券违法活动的意见》,以及《数据安全法》的实施,未来中概股的数据安全、数据出境将成为重要的监管方向。学界在此存在“双向合规”⑤张凌寒:《个人信息跨境流动制度的三重维度》,载《中国法律评论》2021年第5期,第43页。与对外合规及对内合规相分离⑥毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022年第2期,第93页。的争论。本文认为,无论是双向合规还是各自分离,都需要回答对外合规与对内合规何者优先这一核心问题。在近年来数据管辖权冲突日益激烈的国际环境下,《数据安全法》的出台再度明确了我国对境内数据的管辖权,实际上确立了对内合规优先的立场。⑦《数据安全法》第36条规定:“……非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”因此,企业在数据出境时需要自主发起安全风险和影响性评估,包括个人信息保护影响评估⑧《个人信息保护法》第55规定:“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:……(四)向境外提供个人信息。”和数据出境风险自评估⑨2022年7月7日,国家互联网信息办公室发布的《数据出境安全评估办法》第5条规定:“数据处理者在向境外提供数据前,应事先开展数据出境风险自评估。”这两项。从长期来看,完善的数据出境合规策略和管理机制是企业跨境业务的安全基石,应成为企业长期治理的目标。
第四,实现全流程的数据合规。数据的安全治理应当贯穿于数据的整个生命周期。数据处理包含收集、存储、使用、加工、传输、提供、公开等全流程,企业在任何一个环节都可能面临数据安全与数据合规的挑战。当然,在这些流程中不存在百分之百的安全,企业只能通过建立和执行全流程数据安全管理制度尽力做到百分之百的防御。企业应走出数据处理仅是防止泄露的误区,更不能以行业经验取代法律判断,而是要建立健全全流程数据安全管理制度,落实数据安全保护责任,做到在数据生命周期全流程各个环节合法合规。①李翔:《处理数据要有全流程合规意识》,载《法治日报》2022年2月23日,第005版。需要注意的是,虽然《数据安全法》第27条要求,企业应当依法制定全流程的数据安全管理制度,通过该制度对本企业的数据收集、存储、使用、加工、传输、提供、公开等全生命周期的安全提出具体合规要求,但这一条文表述较为概括,未来仍需要后续配套法律法规予以明确。
刑事合规既是企业数据治理体系和治理能力现代化的一个重要标志,也是国家治理体系和治理能力现代化的一个重要组成部分。从全球视角考察,以刑事合规实现数据犯罪治理有三种路径,首要的路径就是企业内部建立刑事合规风险防控机制,实现“防患于未然”②赵赤:《企业刑事合规视野下的单位犯罪构造及出罪路径》,载《政法论坛》2022年第5期,第104页。,此为前端治理。就当前数据犯罪治理的法律法规与政策而言,包括《刑法》《网络安全法》《数据安全法》《个人信息保护法》等在内的法律规范多属原则性规定,本质上属于事后救济模式,在数据犯罪的纵向治理链条中处于末端;加上数据犯罪的智能化,以及跨区、跨国特征,事后救济力有未逮。从企业合规的角度出发,采取综合的技术与制度性预防策略,侧重对潜在刑事风险的前端治理,才符合网络时代数据犯罪治理的发展趋势。《数据安全法》第27条规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”这一规定为数据合规建设提供了方向标。据此,企业数据安全合规主要有三个要素,即规范、制度和组织。
在网络安全领域,对数据的安全保护,起始于对数据的分类分级。③洪延青:《国家安全视野中的数据分类分级保护》,载《中国法律评论》2021年第5期,第71页。“数据分类”一词早在2016年的《网络安全法》中就被提及,《数据安全法》从国家层面明确提出建立数据分类分级保护制度。该制度要求企业根据一定标准对自身数据资产进行梳理,有利于形成数据保护资源配置的最优解。按照数据的种类、风险级别匹配不同的管控措施,就能实现对刑事风险的有效防控。
1.国内现行各类规范和标准
国内目前现行有效的对于数据分类分级的通用规定包括:2021年9月生效的《数据安全法》、国家市场监督管理总局与国家标准化管理委员会于2020年3月发布的《信息安全技术 个人信息安全规范》、全国信息安全标准化技术委员会于2021年12月发布的《网络安全标准实践指南——网络数据分类分级指引》等。但是,这些规范仅仅止步于提出数据分类分级的类型化方案,并没有对如何分类分级提出非常详细的操作步骤,需要企业加以吸收或内化。
根据《数据安全法》,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,数据分为一般数据、重要数据、核心数据。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。随后,2021年11月,国家互联网信息办公室发布了《网络数据安全管理条例(征求意见稿)》,同时在《网络安全审查办法》《数据出境安全评估办法(征求意见稿)》《信息安全技术重要数据识别指南(征求意见稿)》等文件中明确了重要数据的额外合规要求。作为国家标准的《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)已于2022年11月1日施行。值得注意的是,省级地方标准也开始出台,例如,浙江省2021年8月5日正式实施的《数字化改革 公共数据分类分级指南》(DB33/T 2350-2021)。
2.企业数据分级分类的具体操作
当前企业数据分级分类的难点在于:第一,数据分类可以有多种维度,如基于数据产生方式、数据使用频率或者数据应用场景等。企业选择的维度千差万别。第二,企业视角与国家、行业视角不同,现有的国家、行业标准是从宏观视角给出对应行业、组织的分类分级参考,属于“自上而下”的数据分类分级;而企业站在自身的内部视角的数据分类分级,则属于“自下而上”的数据分类分级;两者在分类分级思路上存在差异。①洪延青:《国家安全视野中的数据分类分级保护》,载《中国法律评论》2021年第5期,第74页。第三,很多企业对自己的数据资产并未有过全面的盘点清理,导致不明确自身的数据资产状况。
针对以上问题,企业应当明确国家、行业对数据安全管理的通用要求,以及本行业的特殊数据监管要求,并在此基础上根据自身业务的特性制定个性化的数据分类标准②企业可制定不同的分类标准以实现数据的多维管控。,这样既可以满足国家、行业视角下的要求,又可以结合自身体系架构,在“自上而下”与“自下而上”的数据分类分级之间找到一个平衡点。③在这一平衡过程中,企业在数据合规上的自决权比重降低,而数据合规的义务观占据主导权重。在明确标准之后,企业应当对业务系统中的数据资产开展盘点清理,形成数据资产管理台账。随后再对已梳理的数据资产进行分类和评级,并采取针对性的合规管控措施。④例如,如果企业储存、运营着保护级别最高的数据,那么法律便有理由强制其进行合规建设,相应地,保护级别稍弱的数据便可以选择性地进行合规建设,如果无保护价值的数据那么便不需要进行合规建设。参见于改之、陈博文:《数据犯罪的教义形塑及其风险防控——刑事合规语境下的考察》,载《上海法学研究》2021年第21卷,第56页。这样就能建立一套符合企业特色和自身发展需求的数据分类分级体系,确保企业数据合规。
企业应当结合自身业务要求,坚持“源头治理”“流程治理”“系统治理”的数据全生命周期管理理念,根据最新的数据合规法律法规要求,以及最新监管动向,建立数据治理政策制度及各数据治理领域管理办法,细化重要数据治理活动的流程及要求,形成一套完整、层级明确的数据治理制度体系。
一方面,根据数据安全生命周期建立全流程安全管理体系。数据安全生命周期主要包括数据采集、数据传输、数据存储、数据共享、数据使用、数据销毁等阶段。在采集阶段,应当明确采集规范,保证采集的合规合法性;在传输阶段,应当注意数据跨境传输规则;在存储阶段,应当注意数据本地化存储要求,做到重要数据在境内存储;在处理阶段,应当严格遵循数据处理最小化、必要原则,明确数据的处理和使用规范,实现有效脱敏化处理;在共享阶段,应当确立数据共享规范,建立数据交换和共享的审核流程和监管平台;在销毁阶段,应当建立数据销毁与监察机制,严防数据泄露。①姜涛:《数字安全与刑事合规建设》,载《检察日报》2021年11月4日,第003版。
另一方面,建立企业数据安全事件应急管理制度与救济程序。企业应当积极控制数据安全紧急事件,在发生危害数据安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告,以及时处置数据安全风险,减少对数据安全的损害。需要强调的是,企业在发现数据安全的紧急事件后,首先需要遵循的不是技术规则,而应当是法律规范指引。②例如,2021年9月生效的《网络产品安全漏洞管理规定》第7条明确规定,网络产品提供者发现网络安全漏洞后,应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。而阿里巴巴旗下的阿里云发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,及时告知了阿帕奇官方,却未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,因此受到工信部“暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月”的处罚。参见韩轶:《网络数据安全领域的企业刑事合规体系建构》,载《江西社会科学》2022年5月10日网络首发定稿。
完善的组织架构是企业进行数据安全建设的基石。目前,有相当一部分企业在组建合规管理部门时,是在法务部门的原职能基础上纳入合规管理职能,并将其升格为“法律合规部”或“法律风控部”。这种做法能够节约企业合规人才及合规成本支出,但并非长久之计,很容易出现职能定位界定不清、合规人员专业性与能力不足、难以打造有效管理抓手、与其他监督管理部门协同性不强的问题。③普华永道:《国有企业合规管理中,组织职能升级的相关建议》,载普华永道中国,https://www.pwccn.com/zh/blog/state-ownedenterprise-soe/suggestions-upgrading-organisational-functions-compliance-management-nov2021.html,2022年8月30日访问。而通过构建贯穿企业的跨层级、跨部门、跨地域的专门数据安全组织架构,则可以有效地打通管理、技术、业务等部门之间的沟通屏障,最大程度地调动企业开展数据安全合规建设的能动性和积极性。因此,企业应当建立专门的合规管理部门,设立专业的数据合规团队,定期对数据合规管理的有效性开展评估,保障企业数据安全生命周期内的所有活动符合相关法律法规规定的数据合规要求。与此同时,企业还应当在人力资源管理方面实施相应的措施,如对员工定期或不定期安排有关数据安全的培训,倡导建立合规文化,树立全员合规理念,以确保员工理解和明确其相关数据合规职责,预防合规风险。
以刑事合规实现数据犯罪治理的另外两种路径,是起诉策略的刑事合规与量刑激励的刑事合规。由于这两种刑事合规是由司法机关(检察院、法院)在企业涉案后提供的,因此属于末端治理,发挥的是“亡羊补牢”的功能。司法机关负有通过履职推动数据刑事合规建设的重要职责。推进企业实施数据刑事合规建设,也是司法机关积极参与社会治理的重要体现。①姜涛:《数字安全与刑事合规建设》,载《检察日报》2021年11月4日,第003版。
基于起诉策略的刑事合规的主要角色是检察机关,其模式包括“相对不起诉+检察建议”与“附条件不起诉+合规考察”,前者指检察机关对涉案企业作出相对不起诉的同时,发出责令其实施合规整改的检察建议并督促其进行整改;后者指检察机关对符合适用条件、具有合规意愿并提出合规计划的涉案企业启动合规考察程序,设置合规考察期,指派合规监督人,考察期结束前对合规整改进行评估,通过后检察机关作出不起诉决定。②唐彬彬:《检察机关合规不起诉裁量权限制的三种模式》,载《法制与社会发展》2022年第1期,第40-41页。2020年3月,最高人民检察院启动企业合规改革试点,2021年4月,最高人民检察院发布《关于开展企业合规改革试点工作的方案》,并开始发布合规案例,第三批典型案例就包括了全国首例数据合规不起诉案件。从最高人民检察院的刑事合规实践来看,主要是探索督促涉案企业合规管理,促进“严管”制度化,防范“厚爱”被滥用。鉴于企业刑事合规的具体内容并不会超出前文所述企业内部合规的范围,所以促进“严管”制度化可以理解为合规开启条件的制度化,防范“厚爱”被滥用可以理解为合规整改与评估标准的制度化。“启动合规条件”与“合规评估标准”也就成为基于起诉策略的刑事合规的两大关键词。
1.补足刑事合规的前置条件
基于起诉策略的刑事合规,第一只“拦路虎”是立法上缺乏依据。除了最高人民检察院发布的若干政策性文件之外,现行《刑事诉讼法》没有规定刑事合规的不起诉条件,当然也没有适用案件范围、考察期限、主体、救济等规定。这就导致现有刑事诉讼中审查起诉期限的短时有限性与合规考察期限的弹性长期性存在严重冲突;附条件不起诉试点存在正当性和合法性的质疑。③李玉华:《企业合规与刑事诉讼立法》,载《政法论坛》2022年第5期,第96页。这两点都需要刑事诉讼立法予以回应。④例如,将不起诉的适用范围扩大到企业,增加合规不起诉的适用范围、条件和期限的规定。另外,刑事合规与认罪认罚从宽的制度衔接需要完善,可以考虑将合规考察制度纳入认罪认罚从宽制度。⑤例如,在刑事诉讼法中增加企业认罪认罚从宽,以及在认罪认罚后进行合规整改并通过评估的,可以进一步减轻处罚的规定。
刑事合规的另一只“拦路虎”是单位犯罪的规定。最高人民法院1999年发布的《关于审理单位犯罪案件具体应用法律有关问题的解释》第2条规定,单位主营业务是犯罪的,以自然人犯罪论处。问题在于,数据企业当然是以经营数据业务为“主营业务”的⑥如前所述,由于法律法规尚不完善,这些业务在很大程度上属于“灰色地带”。,一旦涉嫌数据犯罪,整个公司业务都有可能被认定为“以实施犯罪为主要活动”,从而没有适用刑事合规的余地,这也是不少检察机关对开启刑事合规犹豫不决的原因。从最高人民检察院发布的首例数据合规不起诉案件来看,还是基于“放过涉案企业,但严惩责任人”的刑事政策区分了单位犯罪与自然人犯罪。但是,2021年6月3日最高人民检察院与司法部、全国工商联等8个部门联合印发的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称《指导意见》),仍然将以实施犯罪为主要活动的企业排除在合规考察的范围之外。未来可能需要“两高”以联合发布司法解释的方式解决这一冲突。
2.完善第三方监督评估标准
针对企业合规改革试点工作中发现的企业合规监督考察程序有待进一步规范等问题,前述《指导意见》创设了第三方监督评估机制。《指导意见》第11条、第12条规定,第三方组织应要求涉案企业提交专项或多项合规计划,并对相关计划的可行性、有效性与全面性进行审查。对数据犯罪涉案企业而言,第三方组织借以认定合规计划可行性、有效性与全面性的要点包括:第一,第三方组织应评估涉案企业是否已落实《数据安全法》第21条所明确的数据分级分类保护义务;第二,第三方组织应评估涉案企业是否已落实《数据安全法》第25条、第31条、第36条规定的数据出境管制义务;第三,第三方组织应评估涉案企业是否已经落实《数据安全法》第26条规定的在数据领域的反制裁措施;第四,第三方组织应评估涉案企业是否已落实数据安全管理制度构建义务与电子政务数据保护义务。①李紫阳、郏梦蝶:《涉数据犯罪企业合规第三方评估标准如何确立》,载《检察日报》2021年11月29日,第003版。
刑事合规与刑事责任天然地有内在融通之处,刑事合规可以成为从轻、减轻或免除刑事责任事由。这有利于激励网络平台等积极履行数据安全保障义务,实现积极预防数据犯罪的效果。②姜涛:《数字安全与刑事合规建设》,载《检察日报》2021年11月4日,第003版。但是,基于量刑激励的刑事合规也需要两方面的完善:一是刑事政策上的依据;二是刑事实体法上的完善。
1.刑事政策依据的解读
罪刑法定原则与罪责刑相适应原则是现代刑法的两大支柱。但是,刑事合规的引入,以“合规”代替“刑罚”,引发了是否与以上两大原则发生冲突的质疑。需要指出的是,衡量现代刑事法治的重要维度是刑事政策,目前企业数据犯罪严格规制的刑事政策立场已经开始了转向。如前所述,我国目前数据立法和治理体系尚不完善,数据犯罪的罪与非罪界限尚不清晰,因此,对于企业数据犯罪应当以发展的眼光看待,落实好“少捕慎诉慎押”刑事司法政策,防止办一个案件,倒闭一家企业,失业一批员工,甚至垮掉一个行业的机械司法。通过督促涉案企业进行合规整改,既可以促进合规守法经营,也可以举一反三,促进企业乃至数据行业的规范发展。我国刑事合规的实践表明,假如没有一种刑法上的激励机制,那么,几乎没有任何企业会认真对待企业合规问题,更谈不上耗时费力地建立或完善合规计划。③孙国祥:《企业合规改革实践的观察与思考》,载《中国刑事法杂志》2021年第5期,第31页。再者,影响刑事责任轻重的情节与承担刑事责任的方式是多样化的,通过选择适用多元化刑事制裁方式,刑事合规本质上也并不与刑法的帝王原则冲突。④在行为人已经受到程度相当甚至更为严厉的实质制裁,或者采用非刑罚制裁方式将取得更好的制裁效果时,刑罚制裁应让位于非刑罚制裁。参见刘艳红:《企业合规不起诉改革的刑法教义学根基》,载《中国刑事法杂志》2022年第1期,第121页。
2.刑事实体法的完善
涉案企业合规改革本身离不开刑事实体法的支撑。问题在于,现行刑法对刑事合规激励制度缺乏体系性的立法支持。合规计划既不能作为无罪抗辩事由,也不能作为法定的从轻减轻情节,最多只能作为酌定情节。因此,刑法所能发挥的量刑激励作用十分有限。从立法完善的角度来看,一方面,刑事合规应当作为企业已尽合理注意义务的抗辩事由,即员工涉嫌犯罪时,基于公司已尽合理的监管义务,不存在主观过错,从而实现公司与员工的刑事责任的切割①根据相关的司法解释,我国对单位犯罪的界定,包含了“人员要素”(单位的员工)、“表见要素”(以单位的名义)、“利益要素”(为实现单位的不正当利益)和“意志要素”(经单位集体研究决定,体现单位的整体意志)。企业合规计划的存在,在“利益要素”和“意志要素”层面,构成对单位犯罪的抗辩。参见林静:《刑事合规的模式及合规计划之证明》,载《法学家》2021年第3期,第57页。;另一方面,刑事合规应当作为定罪量刑的法定情节,在刑法中增加“单位进行有效合规管理的,可以从轻、减轻处罚。犯罪较轻的,可以免除处罚”的规定,同时增设单位缓刑制度。这样就可以为企业数据犯罪提供全新的制裁形式,也可以为暂时无能力和机会进行合规整改的企业提供缓冲时间。