当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（下）

///

本文从国内首例数据合规不起诉案件引入，在下篇中，我们继续深入探讨数据合规如何能够帮助企业避免刑事责任，并分享企业如何建立完备的数据合规体系。

作者：蔡鹏 葛燕 胡云浪 刘颖琪

上篇回顾

《当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（上）》着重对涉数据类犯罪案件适用合规不起诉制度进行全方位梳理解析。在下篇中，我们将继续深入探讨数据合规如何能够帮助企业避免刑事责任，并分享企业如何建立完备的数据合规体系。

三.

数据合规为什么能够帮助企业避免刑事责任？

数据合规之于企业的意义，除了通过“数据合规不起诉”帮助涉刑企业完成经营模式整改，将企业从犯罪的边缘重新拉回发展正轨外，更核心的价值在于帮助企业防范于未然：通过评估合规边界、给出贴合企业发展阶段与商业模式的合规解决方案，助力企业将原本刑事责任红线以下的风险，转变为新的商业机会。纵观当前的司法环境，同时立足刑事责任的特性，我们将从以下几个角度分析企业为什么要开展数据合规工作，以及将数据合规工作贯穿企业发展全生命周期的实际意义。

1、刑事责任是企业数据业务面临的终极风险

不同于民事责任或行政责任，刑事责任是指国家依据刑法通过一系列最为严厉的强制措施，对罪犯施以惩戒，使其接受改造的法律责任承担形式，是企业数据业务可能面临的终极风险。我国刑法针对单位犯罪采取双罚制，即单位犯罪的，对单位判处罚金，同时对直接负责的主管人员和其他直接责任人员判处刑罚。被刑事追责的企业的商誉往往会因此遭受重创，难再获得市场行信任，而从此一蹶不振。目前我国针对数据类犯罪的判定已逐渐明朗，主要涉及以下罪名：

点击可查看大图

例如（2019）粤0305刑初193号一案中，深圳市某互联科技有限公司的技术总监以及核心技术人员因使用爬虫技术导致深圳市住房系统瘫痪，构成“破坏计算机信息系统罪”。由于核心人员被定罪，该公司如今难以继续展开正常经营，其各项协议先后无法继续履行，法定代表人亦被列入失信名单。

2、数据类罪名增加，刑事案件呈上升趋势

近年来，我国数据类的罪名在数量上呈现上升趋势，在适用范围上亦呈现扩张趋势。例如，《刑法修正案（七）》在《刑法》253条之一增加规定了出售、非法提供公民个人信息罪和非法窃取公民个人信息罪。而随后的《刑法修正案（九）》则将《刑法》253条中出售、非法提供公民个人信息罪和非法获取公民个人信息罪的犯罪主体由原来的特定主体（国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员）改为不特定主体，所有违反本罪的单位与个人皆可被追责。

互联网模式的快速更新和技术迭代，导致网络犯罪呈现复杂化与多元化的趋势。未来可预计的是，随着法律的逐渐落地，实践中各种涉及数据有关的新的犯罪形式将会涌现，国家将在针对数据违法罪名设计上更为专门化、精细化，相关的刑事执法活动也将呈现更加活跃的态势。

图：

点击可查看大图

点击可查看大图

3、监管日趋严格，行为违法界限不清晰

当今互联网行业的营商环境已非“劣币驱逐良币”，而将“技术中立”等同于合法使用的理念也已在日趋严格的监管下多次被证伪。忽视数据合规边界而试错，企业付出的代价可能是被刑事追责。在首例数据合规不起诉案中，正是因为缺乏合规意识，盲目使用爬虫技术抓取第三方平台致使该平台直接经济损失4万多元，Z公司从手握10余项计算机软件著作权，有着光明发展前景的“高新技术企业”最终成为罪犯。技术的发展与企业壮大并不等同于法律意识的增强，该案件代表性的反映出了一类企业在发展过程中长期忽视数据合规而可能产生的后果。

另外，当前针对数据类犯罪的行为在违法认定上也并非清晰。刑法所规制的是被社会所谴责的，对法益具有严重侵害的犯罪行为。而在一些已知披露的案例中，拨去复杂的技术问题，从造成损害的结果上看，似乎并未有较为严重的法益侵害。因此这些案件是否应当被定性为刑事意义上的、可被谴责的社会危害行为，也在业内形成了诸多讨论。

可以看出，数据类案件往往由于存在较强的技术属性，在定罪和量刑方面会有较多的考虑因素。当下日益凸显的矛盾和难点在于：如何在数据安全和个人隐私日益增强的监管要求下，穿透复杂的技术问题，从而精确的识别犯罪和准确的量刑。

4、刑法威力极大，存在“溢出效应”

我国刑法对单位犯罪采取双罚制，即对单位判处罚金的同时，还对其直接责任人包括高管以及技术人员等实施限制人身自由刑罚措施。在实践中，因利用职业便利实施犯罪，或者实施违背职业要求的特定义务的犯罪被判处刑罚的，法院可以在刑罚终止后，禁止其从事相关职业。而在刑事案件追诉过程中，侦查机关有权对涉案的财物采取查封冻结等强制措施。前述种种，无不说明刑法本身威力巨大，对罪犯的社会关系形成了“灭顶之灾”。

尽管事后的刑事合规从“出罪”的角度为企业指明了一条救赎路径，但企业还应当尽早通过合规识别从源头上防范终极刑事风险，避免刑事“入罪”。

5、数据合规在刑事危机中不同阶段的意义

5.1 事前合规，将危机化为无形

探索新的商业模式往往伴随着未知的风险，故企业至少应当以刑事责任为红线，尽早引入专业人士开展合规评估。例如在首例数据合规不起诉案中，Z公司虽然看到数据抓取本身技术中立且未被禁止，却忽视了就企业应用数据抓取的商业模式进行合规评估的必要性。若Z公司尽早引入专业人士对爬虫技术使用场景进行调查与合规分析，并让Z公司及时知悉利用技术手段绕过第三方平台的身份验证系统、访问频率限制，情节严重的则可能会构成非法获取计算机信息系统数据罪，那么企业及其创始人早已将相关风险消融于萌芽阶段。

另外，企业通过非法安装SDK、绕过用户授权默认安装APK的方式向用户手机装载程序非法获取商业利益的，则可能构成非法控制计算机信息系统罪。其他涉及以未授权的方式收集、获取、出售用户个人信息，或通过植入木马、伪装系统等的行为，皆有可能落入刑事责任。而上述行为如何界定罪与非罪的边界，则需要借助法律、技术、安全方面的专业人士，通过详尽的合规评估，才能识别其中的巨大风险。

因此，技术型企业，尤其是处理大量数据的企业，当数据来源或处理方式存在不确定性时，应当尽早引入合规评估，从根源上排查合规风险，避免落入刑事追责的窘境，化危机为无形。

5.2 事中合规-转危为机

在发展过程中，企业应当定期梳理数据资产，同时针对高风险数据处理活动开展数据合规专项的评估与整改。只有这样，在日趋严格的国内监管环境以及日趋激烈的以数据为核心的国际竞争大背景下，企业才能具备足够的适应性，领先竞争对手，并将危机转化为机遇。正如业内讨论较多的雀巢员工侵犯公民个人信息一案中，企业通过在经营中坚持不懈的合规工作，在工作中全流程落地了合规措施并进行专项整改，相关合规成果在刑事追诉的关键时刻起到了积极显著的作用，帮助企业妥善处理了相关风险，不仅为企业发展保驾护航，同时也为企业赢得了赞誉。

5.3 事后合规-最后的救济

当然，若企业在事前、事中环节因合规重视不足而落入刑事追诉的，在现有机制下，还可以通过积极的措施进行补救，通过取得受害人的谅解，与检察院以及第三方机构通力合作，开展数据合规工作，完成指定整改而“出罪”。

我们认为，尽管有事后的救济手段，但是在整体合规流程中，事后合规已经是“最后一根稻草”。是否能抓住，取决于行为本身的性质以及社会危害程度等各方面因素，具有一定的“偶然性”。如何把这种“偶然性”转化成不被追诉的“必然性”，还是需要企业紧紧守住合规义务，将合规工作前置。

四.

企业如何建立数据合规体系

1、建立数据合规体系是法律的要求

我国《个人信息保护法》《数据安全法》等上位法中，明确提出了企业应当建立数据合规体系。例如，《个人信息保护法》第五十一条要求企业：“……采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程……”；《个人信息保护法》第五十八条要求：“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）按照国家规定建立健全个人信息保护合规制度体系，成立主要由外部成员组成的独立机构对个人信息保护情况进行监督……”；《数据安全法》要求企业开展数据处理活动的，“……应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。”

因此，企业开展数据合规工作是企业履行其法定义务的表现。

2、重点突出，逐步完善

企业，尤其是处于发展初期的企业往往存在着成本控制的压力。因此，开展合规工作需要与企业的业务场景、发展阶段及监管热点结合，对症下药，突出合规重点，分步骤逐步完善数据合规体系。举例来说，对于互联网企业，可以重点关注爬虫技术的合法性问题，以避免如Z公司一般落入刑事问责的窘境。我们将利用爬虫技术可能触及刑事责任的一般情形总结于下图：

点击可查看大图

除上图所列情形外，利用爬虫技术，擅自使用其他经营者征得用户同意、依法汇集且具有商业价值的数据，实质性替代其他经营者提供的部分产品或服务，损害公平竞争的市场秩序的，还可能构成不正当竞争，从而被平台方追究侵权责任。

3、建立数据合规体系的几个基本步骤

3.1 明确数据安全管理机构与人员

在建立数据合规体系时，企业首先应当明确数据安全管理机构与人员，以落实数据安全保护职责。我们建议企业结合实际设置该数据安全管理机构与人员：如企业目前暂未涉嫌刑事风险，为了更好地协调组织多部门联动开展数据合规工作，可由决策层成员组成数据安全管理机构；但需要注意的是，数据安全管理机构既要有决策权，又要避免沦为“一言堂”，否则也容易因为某个人的激进决策导致企业出现合规风险，进而成为刑事隐患。

3.2 全流程数据安全管理制度的制定

根据《数据安全法》第二十七条的要求，企业应当依法制定全流程的数据安全管理制度，通过该制度对本企业的数据收集、存储、使用、加工、传输、提供、公开等全生命周期的安全提出具体合规要求。我们建议企业结合实际制定数据全生命周期的合规管理制度。在企业尚未涉嫌刑事风险，建议企业全面梳理数据处理各个环节的风险与合规薄弱点，通过制度的约束完善企业的数据合规工作；若企业已经面临刑事风险，则建议企业结合检察机关的《检察建议书》等要求以及第三方组织合规评估的重点，针对性地制定本企业的数据安全管理制度，通过制度的制定协助企业尽快“去犯罪化”。此外，为了企业数据安全管理制度的有效落地与执行，建议企业在本制度中明确数据安全合规工作细化的奖惩机制，并严格施行。

3.3 安全与合规的两大工具：数据分类分级+PIA

根据法律的要求以及实践需要，建议企业根据自身情况制定数据分类分级保护制度，利用数据分类分级工具对数据安全进行差异化管控。在制定数据分类分级保护制度时，建议企业首先对数据资产进行梳理，形成数据资产清单；其次，企业应当结合实际需求对数据进行分类与定级：如企业暂未涉嫌刑事风险，则可参考目前的数据分类分级相关指南，如《网络安全标准实践指南——网络数据分类分级指引》，灵活进行数据的分类与定级；若企业已涉嫌刑事风险，则应当对涉嫌刑事风险的相关数据进行特别分类与更高级别的定级管控；最后，建议企业针对不同类别与级别的数据设置区分化的管控措施。

根据《个人信息保护法》第五十五条和第五十六条的要求，建议企业建立个人信息保护影响评估机制（PIA），对于法定的需要开展个人信息保护影响评估的情形，事前开展评估工作，并依法留存个人信息保护影响评估报告和处理情况记录。企业在应用该工具时，亦可与企业的OA审批等流程相结合，通过自动化的方式将该工具导入企业日常管理中，促进企业数据合规。

以上两类工具的应用，不仅是为了落实《数据安全法》与《个人信息保护法》的要求，更为重要的是，应用上述工具的过程中所产生的众多留痕文件，可以协助企业在事前、事中与事后环节有效识别风险，防范与应对潜在的刑事问题。

3.4 数据安全事件应急响应机制

根据《数据安全法》第二十七条的要求，企业应当建立数据安全事件应急响应机制，在发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。针对数据安全事件应急预案定期进行演练，以做到对数据安全事件的快速响应。对于已涉嫌刑事风险的企业，建议在设置数据安全事件应急响应机制时，应当重点关注对于可能的犯罪行为已造成的危害后果（如个人信息主体权益严重受损等）的弥补，减轻企业数据类犯罪行为的法益侵害性。

3.5 第三方合作数据合规管理机制

业务运营中，建议企业应当针对上下游严格落实全闭环审核管理，前期审核包括审核服务对象的数据内容、使用范围是否明确，及要求的数据提供方式是否安全等。中期审核包括合同审核，合作伙伴资质审核，明确数据使用范围，同时确保针对个人信息的隐私保护技术的切实有效性。后期审核包括通过使用审计或者定期报告等手段，监测整个数据共享链条上的供应商及代理等是否有效履行了合规义务。同时，在第三方合作场景下，建议企业根据与第三方合作的关系，区分化签订不同类型的《数据处理协议》。

在大数据时代，企业的上下游往往是引爆企业刑事风险的“地雷”，诸多案件证明了，由于普遍存在的“数据黑市”，让企业往往存在一定的侥幸心里：“大家都这么干，为什么非要抓我？“。根据我们的经验，很多企业卷入刑事危机，往往是由于一次不经意的”合作“，导致了数年后的刑事风暴。因此，我们建议，对于各类数据处理者，尤其是大数据企业，需要设定特定内部合规机制，在经营中全面、不时地排查与第三方合作的有关风险。

3.6 积极开展数据安全教育与培训

根据《数据安全法》第二十七条的规定，建议企业积极开展数据安全教育与培训工作，增强和提升员工的数据安全保护意识和保护能力。根据近期公布的刑事相关案件，特别是“SDK案”，我们注意到员工个人涉刑事风险亦非常高，且对员工个人的影响极大。因此，企业开展数据安全教育与培训工作的意义，不仅在于防范企业的合规风险，更在于避免员工个人面临刑事风险。

3.7 定期开展个人信息保护合规审计

根据《个人信息保护法》第五十四条的要求，针对日常运营，尤其是高风险的数据处理活动，建议企业聘请外部专业人员，通过内外部合作定期开展个人信息保护合规审计工作，以审计方式，定期巡查数据合规问题。

3.8 重视数据安全的权限管理工作

在数据安全措施方面，建议企业重点关注权限管理工作。建议企业根据岗位职责设置各级数据处理权限，按照最小必要、职权分离等原则，授予不同员工为完成各自承担任务所需的最小权限，在各账号间形成相互制约的关系。同时，明确数据权限授权审批流程，对数据申请和变更权限严格控制并定期审核，与能够接触重要数据或个人信息的员工签订数据保护协议。

结语

如果企业做好了数据合规，是否就能依法“脱罪“？尽管很多学者倡导构建事前合规、实体出罪的合规激励机制，但此类机制尚未体现在《刑法》条文中。不过令人欣慰的事，在数据合规和个人信息保护领域，因合规而脱罪的刑事案件已经出现，而且在实践中有关案例也层出不穷。《个人信息保护法》69条设定的”推定过错责任“也证明了在个人信息保护领域，立法者鼓励数据处理者通过搭建实施合规制度，可以证明自己的”无过错“，避免侵权责任。

因此，在数字经济时代，只有在”当数据合规遇到刑事追诉“这种情况发生时，企业和员工不再因终极制裁而担心和焦虑，企业才能因此走向健康、无阻的康庄大道。

 点击阅读 

 作者简介

蔡鹏  律师

北京办公室  合伙人

业务领域：网络安全和数据保护, 知识产权权利保护, 合规和反腐败

特色行业类别：通讯与技术, 健康与生命科学

葛燕  律师

北京办公室  

非权益合伙人

业务领域：诉讼仲裁, 合规和反腐败, 知识产权权利保护

胡云浪

北京办公室  知识产权部

刘颖琪

北京办公室  争议解决部

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。