企业涉数据刑事风险-有两条路可化险为夷.docx

资源描述

企业涉数据刑事风险，有两条路可化险为夷今年年初，上海首份《企业数据合规指引》(以下简称《指引》)由上海市杨浦区检察院联合多家机构制定发布。该《指引》提示企业预防“数据刑事风险”，并鼓励企业为预防和降低涉数据违法犯罪而开展“数据合规管理”。 01单位犯罪之刑事合规出罪的两个路径在单位犯罪中，我国刑法确立了对企业和直接责任人采取“双罚制”的基本原那么，就司法实践来看，通过刑事合规出罪主要表达在两个方面： (1)实体出罪。具体而言，单位犯罪抗辩最有力的理由在于以员工个人犯罪来否认单位犯罪，单位通过举证完善的合规体系等证明自身不存在犯罪故意，进而排除单位犯罪的可能性，这是绝对的出罪(不构成单位犯罪)；(2)程序出罪。这是当下合规不起诉制度衍生出的新途径，具体而言，是涉刑的单位通过制定并落实刑事合规整改作方案》、《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》等相关规定；司法实践中，更多人称之为“刑事合规不起诉“；不起诉的机会是“涉案企业作出合规承诺并积极整改落实”的最大动力。前文“合规程序出罪案例”就是很好的表达。那么，对于涉刑的数据处理者，如何做才能到达程序出罪呢？换言之，怎么做才能考核合格、最终获得不起诉的宽大处理？结合过往的工程实践经验，我们认为应该从两个方面来完成：一是要有完备的数据平安合规计划（有形式），二是要能严格执行数据平安合规计划（可落地）；这两个方面都要能通过个案的第三方评估小组的考核。（-）“有形式” 《指引》对于“有形式”，即数据合规计划应包含的内容具有重要的参考价值，具体如下： 1.对现有数据管理制度的梳理.针对司法机关认为涉嫌的犯罪事实（主要是起诉意见书中公安机关认为的事实），结合公司的实际经营、业务情况进行关联性剖析，包括原因、违规违法点等。 • 全面排查经营中其他业务的相关合规风险，比方常见的数据源授权的完整性、技术手段使用的不当性、对外提供信息用途合法性监管、上下游企业合规处理数据的关联性等。 • 针对前述问题，明确业务调整措施。识别需要停止的涉案违法业务，确定需要优化调整潜在的具有一定合规风险的业务。 • 梳理公司原有较好的相关合规工作和努力，说明涉案企业具有适用刑事合规不起诉的基础。 2 .以风险防控为导向完善数据合规体系《指引》的全文其实就是围绕数据平安风险，引导企业搭建完善数据合规管理体系、保障数据合规运行来规制。所以，企业的数据合规计划应该结合本企业自身经营情况，体现数据合规管理体系、数据风险识别、数据风险评估与处置以及数据合规运行与保障这四个方面内容。 •数据合规管理体系：该局部内容是公司有关组织架构和管理制度上对于数据平安合规性的规定，比方《指引》所鼓励的设立专门的数据合规管理部门，企业最高管理者作为数据合规的第一责任人，企业不同部门之间对于数据平安合规工作的协调等。同时，涉案企业应在合规计划中细化数据合规管理部门的管理职责和工作内容，以表达合规整改的具体性。 •数据风险识别：该局部内容是要求企业根据自身业务特点，全面梳理风险点，尤其是《指引》中归纳的常见数据平安风险表达的业务场景，应予以重点关注, 如自动化工具、软件开发工具包的使用；涉个人信息的处理；跨境提供数据等，并根据风险进行等级划分。此外，在梳理中还应明确各风险所对应的信息生命周期、处理环节、涉及部门、业务表达模式等。 .数据风险评估与处置：参考《指引》相关规定, 在合规整改计划中要提升企业日常经营中风险评估程序的科学性、加大数据平安投诉举报途经的全面性、发现风险处置的及时性和正确性等；也要针对前述梳理处的数据风险，制定细化合规措施，如全面开展信息采集、使用授权合规评估，完善上下游管理，加强外部数据合规治理(结合自身业务特点，尤其是涉及特定技术风险时更应细化不同应用场景做不同的分析)，加强内部数据平安、完善数据流转管理等。 .数据合规运行与保障：参考《指引》相关规定, 涉案企业可以根据企业自身情况，围绕合规咨询、考核机制、培训与承诺、数据合规文化等方面进行阐述。如不断提升业务人员的合规意识和风险识别能力、分级培训、将数据平安纳入每个部门、员工的考核中并设立相应的激励机制等。 (-)“可落地” 根据过往的工程经验，将合规计划有针对性地落实到企业的实际业务经营中，具体建议如下： 1 .根据合规计划内容，改革企业有关数据平安的治理结构，重塑企业数据合规的文化。 2 .根据《指引》，建议成立专门的数据合规委员会，首席合规官由企业最高管理者担任。 3 .全面实施数据平安方面的管理制度，如企业数据分类分级方法、对数据访问权限的管理制度、保密协议、网络安全保护制度、个人信息保护制度、企业数据合规问题抽样检查制度、企业员工数据合规培训计划、企业有关数据合规的财务和保障计划等。 4 .对管理人员和重点风险岗位的员工要进行数据合规专项培训，既针对涉案事实本身提高他们甄别风险的能力和意识，也能够更好地配合第三方评估小组的考察问询。 5 .向第三方评估小组或者检察机关主动出具切合实际的数据平安合规经营承诺书，以表达涉案企业整改的决心和持续合规的信心。 6 .在数据合规委员会中指派专门人员对接第三方评估小组，积极配合第三方小组可能的巡回检查、飞行检查、问卷测试、访谈等，并对每次检查予以记录留痕，根据评估小组要求予以及时调整，以确保对自身合规计划落实情况实行主动的动态监管。 04结语综上所述，企业数据刑事合规的实质出罪路径是要求企业在经营过程中依法、守规地进行数据处理活动，积极预防单位及单位之下自然人的刑事犯罪，并将这种预防体系制度化、规范化；而企业数据刑事合规的程序出罪路径是在企业数据涉刑风险已经发生的情况下，通过完善的合规整改及有效落实来化解刑事危机。在数据时代、在合规不起诉的大背景下，作为数据处理者的企业更应该真正意识到经营过程中的刑事法律风险，通过专业人士为企业主动把握好刑事合规出罪途径的机会（无论是事前防范的机会还是事后补救的机会），才能使得企业在政策制度红利的风口上平稳地翱翔。方案，通过检察机关的合规考察程序，最终获得检察机关不起诉的处理，这是相对的出罪（相对不起诉）。以下两个案例可以更直观地表达刑事合规出罪的两个路径： 1 合规实体出罪案例：有难同当还是罪责自负？杨某、郑某为某国际知名婴幼儿食品公司中国西北部区域经理，为抢占当地奶粉市场，授意该公司多名员工通过拉关系、支付好处费等手段，屡次从当地多家医院医务人员手中非法获取共计数万余条公民个人信息。该案审理过程中，杨某、郑某的辩护人提出本案系单位犯罪的辩护意见，期望以单位犯罪来降低自然人的罪责。图一：公司合规实体出罪公司禁止员工贿赂医务人员，禁止员工非法收集客户信息公司对员工进行了专门的培训和测试，员工知晓公司的政策与纪律在审判过程中，公司提交了图示中的证据材料。据此, 法院认为，业务人员违反公司管理规定，为提升个人业绩而置法律规范、公司规范于不顾，违规操作进而贿买医务人员获取公民个人信息的行为，并非公司的单位意志表达，故本案不属于单位犯罪。从该案来看，对于单位而言，日常经营中构建完善合规体系，包括制度、培训、考核等等，是预防单位犯罪的有效保障，更是应对员工利用单位名义实施信息数据类犯罪时否定单位犯罪的有效抗辩。合规程序出罪案例：同舟共济还是分道扬镜？江苏某建设公司在生产经营中，先后注册成立了两家子公司以向建筑公司的劳务人员发放劳务费。为解决劳务人员个人信息缺乏问题，公司违规从学校学生管理系统下载九千余名在校学生个人信息，冒充两家子公司员工向税务机关虚假纳税申报。该公司及其实际控制人因涉嫌侵犯公民个人信息罪被公安机关立案侦查，随后移送检察机关审查起诉。图二：公司合规程序出罪自首情节；认罪悔罪态度较好公司负责人主动投案并如实供述犯罪巾实；公司开展了企业合规匚作，包括制定完善的合规整改方案、全程动态落实合规制度；第三方评估小组出具《企业合规专项工作监督报告》公司在案发后主动配合税务机关删除r被h用个人信息的纳税申报记录，并已补缴相关税款对企业数据合规体系进行全面梳理、查缺补漏；落实到位在检察机关的审查起诉阶段，基于当前“合规不起诉制度”的大背景，一方面，涉案企业和员工积极配合检察机关和行政主管部门的工作，努力使该行为的危害结果降到最低; 另一方面，该企业在检察机关的指导下依法依规展开企业合规，并顺利通过第三方评估小组考核，检察机关据此对涉案公司及实际控制人均做出了相对不起诉。 02数据处理者防范刑事风险的实体出罪路径数据刑事合规是现代企业治理体系在大数据时代诞生的新内容，其强调企业以自身的努力积极防范数据刑事平安风险，把与数据相关的犯罪消除在萌芽状态。结合《指引》就企业数据合规的主要逻辑，我们认为，一个好的企业数据犯罪刑事合规体系应设定并能够实现如下四大目标：目标一：行政监管与刑事犯罪双合规的体系融合数据犯罪往往从违反数据行政监管要求开始，因此，企业的数据犯罪刑事合规制度应与企业数据监管合规相融合, 但应在数据违法的民事、行政和刑事分叉点强化刑事合规的目的特色: (1)别离单位责任和个人责任涉及企业的数据犯罪表现为与企业有关的个人违法处理信息数据。因此，企业数据犯罪刑事合规应该以别离企业责任和涉企个人责任为基本目标。企业需要识别自身可能存在的个人信息和数据平安瑕疵，针对性地建立起数据刑事合规体系，明示企业个人信息和数据平安的合规意愿与要求, 约束员工涉个人信息和数据处理的经营活动和履职行为，预防涉企个人信息和数据犯罪的发生。 (2)为争取实体合规出罪提供支持在企业发现可能已经发生数据违法行为，或者数据监管部门已立案并启动调查程序的情况下，企业应能够通过数据刑事合规体系立即停止违法行为并与执法机构合作，考虑自身情况配合调查或者主动消除、减轻违法行为危害后果。目标二：强化刑事合规治理结构及资源统筹从内部合规治理结构而言，企业一方面要建立独立于法务部门的专门信息数据合规部门，另一方面应该在法务部门的指导下明确企业合规管理部门及其人员的合规职责；而企业合规管理部门那么需要通过惩戒与激励等多重方式引导企业普通员工参与企业合规治理，增强企业合规意识。在合规体系运营方面，企业要确保合规体系要能够在企业日常运营中协调各部门和各种资源，在信息数据合规管理部门的统筹下，确保合规制度与要求落实到位。目标三：为合规审计和验收提供标准企业信息数据犯罪刑事合规体系要能够在企业内部说明并提供合规审计的触发场景、审计流程和要求，更重要的是对审计发现问题的验收标准，形成精准触发、细致审计和综合验收的全流程管理，防止企业内部信息数据合规审计流于形式，或者验收随意。目标四：迅速有效的危机应对机制作为信息数据犯罪合规体系的一局部，企业还应制定反馈迅速、处置精准的危机应对机制，这不仅应包括传统合规体系必备的数据信息平安事件应急预案，更应当包括与对内应急预案相配套的对外公关应急预案，并能在发生数据平安事件时迅速启动。对内平安事件应急预案以快速识别问题弥补缺陷为目标，对外公关应急预案以有效同执法机关和社会媒体沟通并维护企业形象为目标。要强调的是，个人信息保护和数据平安相关法律均属新生事物，这就决定了企业信息数据刑事合规不会一蹴而就、也不能生搬硬套。针对自己的行业和业务特点，每家企业需要贴身制定符合自己特点的信息数据刑事合规体系，并且随时跟踪法律执法的最新变化适时调整。这样的体系才能最有效的保护企业和管理层的利益。 03涉刑的数据处理者之程序出罪路径《刑法》根据违反数据平安的行为内容、行为模式等进行了全面的规制，相应的罪名达十几个，数据处理者稍有不慎就会面临承当刑责的风险，且近年来企业涉数据平安的刑事案件也层出不穷。自2020年3月起，最高人民检察院大力推动涉案企业合规改革工作，先后发布了《关于开展企业合规改革试点工

展开阅读全文