1、企业数据安全刑事合规问题研究孙杰1司郑巍2冯佳磊1(1.山东政法学院 刑事司法学院,山东 济南250014;2.山东省人民检察院 案件管理办公室,山东 济南 250014)摘要:随着互联网大数据时代的到来,数据成为促进经济发展的重要因素。与此同时,在数据采集、储存、传输、销毁的过程中,可能涉及个人信息泄露、非法获取计算机信息系统数据等众多刑事法律问题,给数据安全带来严重威胁。在此背景下,数据安全刑事合规对企业降低法律风险、保护公民个人信息安全、维护国家数据主权具有重要的现实意义。文章通过对数据安全刑事合规的概念特征进行分析,将核心内容分主体、分层次地细化展开,完善相关理论基础。在此基础之上,进
2、一步提出企业数据安全刑事合规体系构建的具体举措。关键词:数据安全;刑事合规;风险防控;合规不起诉中图分类号:D924文献标识码:A文章编号:1002-3291(2023)03-0088-12一、数据安全的合规需求(一)数据安全涉及的风险类型我国现行刑法为规范企业获取个人信息或获取其他企业、机构信息的行为设定了多项罪名。这些罪名依据获取信息的不同阶段可以分为两类:第一类是对企业获取信息行为的规范。如“侵犯公民个人信息罪”中对企业使用非法手段获取公民个人信息行为的规范,“非法获取计算机信息系统数据罪”中对企业使用非法手段侵入计算机信息系统获取数据行为的规范,“侵犯商业秘密罪”中企业使用非法手段侵犯
3、他方商业秘密行为的规范。第二类是对企业在获取信息后的处理行为的规范。如“拒不履行信息网络安全管理义务罪”中对企业不履行网络安全管理义务,且被责令采取改正措施后仍不改正行为的规范。在此,本文仅对司法实践中常发生的“侵犯公民个人信息罪”和“非法获取计算机信息系统数据罪”两罪进行分析。首先是侵犯公民个人信息罪。依据 中华人民共和国刑法(以下简称 刑法,本文所涉其他法律也一并使用简称)第253条的规定,“侵犯公民个人信息罪”规范两种非法行为:一是虽合法获取公民个人信息但违法出售或提供给他人,情节严重的行为;二是使用非法手段获取公民个人信息的行为。收稿日期:2023-03-28作者信息:孙杰,法学博士,
4、山东政法学院刑事司法学院副院长、副教授,硕士生导师,企业合规中心研究员,从事刑事法学研究。司郑巍,山东省人民检察院案件管理办公室副主任,山东政法学院企业合规中心研究员,从事刑事法学研究。冯佳磊,山东政法学院企业合规中心研究员,从事刑事法学研究。基金项目:本文系2022年中国犯罪学学会“互联网企业数据刑事合规问题研究”(FZXXH2022F09)成果,2023年山东省社会科学规划研究项目“山东省数据安全刑事司法保护研究”(2023CFZJ36)阶段性成果,亦系山东省高等学校青创科技支持计划“网络安全法治保障创新团队”(2021RW043)的阶段性成果。张勇:数据安全刑事合规的滤罪模式,学术论坛
5、2022年第3期。辽宁大学学报(哲学社会科学版)Journal of Liaoning University(Philosophy and Social Sciences)第 51 卷第 3 期2023 年 5 月Vol.51No.3May.2023第 3 期孙杰,等:企业数据安全刑事合规问题研究对两种行为的入罪标准,司法解释也进行了细化规定,如企业非法获取、出售或者提供敏感信息50条以上的、一般敏感信息500条以上的、前述两种信息以外的其他信息5000条以上的,属于第一类非法行为,应当承担刑事责任。故企业及其相关负责人应严格依据相关规定,合法获取和处理个人信息,并确保企业储存个人信息的安全,
6、避免触犯本罪。其次是非法获取计算机信息系统数据罪。本罪保护的客体与“非法侵入计算机信息系统罪”相对,依据 刑法 第285条的规定,“非法获取计算机信息系统数据罪”保护的客体是国家事务、国防建设、尖端科学技术领域之外的普通计算机信息系统的安全。司法实践中企业构成本罪的行为常表现为使用“网络爬虫”技术侵入个人或其他企业的计算机系统中以获取相关数据信息。根据司法解释规定,“非法获取计算机信息系统数据的违法所得在5000元以上或造成经济损失10000元以上”即属于情节严重的情形,构成本罪。我国首例企业数据合规不起诉案件就是涉及“非法获取计算机信息系统数据罪”的案件。(二)数据安全保护的现状及不足随着信
7、息技术的快速发展和应用的不断深入,数据已经成为重要的基础资源和核心战略资源,保护数据的安全已经成为当前信息安全领域的一个重要课题。我国在数据安全保障方面已经取得了一定的成绩,但仍存在不足之处。具体来说:首先,我国制定了一系列法律法规,包括 个人信息保护法 网络安全法 数据安全法 等,为数据安全保障提供了法律保障。其次,我国企业在网络安全技术研发和应用方面取得了一定的成就,提高了数据安全保障的技术水平。政府也高度重视数据安全保障工作,加强数据安全保障的投入和管理。此外,我国与其他国家和地区建立了多种形式的合作机制,在数据安全保障方面开展了国际合作。应当看到,当前虽然已经出台了一些数据安全方面的法
8、律和规范,但是这些法律和规范多为指导性文件,缺乏具体的实施细则和处罚措施,同时也缺乏有效的监管和评估机制。这会导致企业在数据安全方面存在疏漏和违规行为,难以得到有效的管理和惩罚。另外,在数据安全立法与司法实践方面与发达国家相比还存在显著差距。数据泄露、丢失、篡改的情况仍时有发生。其中,数据泄露风险是当前数据安全面临的主要问题之一。数据泄露可能会导致企业的商业机密被泄露,从而损害企业的利益。攻击者可能会利用各种手段获取数据,包括恶意软件、网络攻击、数据窃取等。数据丢失风险是指数据在存储和传输过程中被意外删除、损坏或覆盖的风险。这可能会导致企业无法及时获取重要的数据,从而影响企业的生产和经营。数据
9、篡改风险是指数据在存储和传输过程中被篡改的风险。攻击者可能会利用各种手段对数据进行篡改,包括修改数据、添加错误数据等。这些篡改可能会导致数据的不一致性和失真,从而影响企业的正确决策和市场声誉。数据共享方面同样存在一些安全问题,包括数据共享的安全性和隐私保护问题。许多企业在数据安全方面存在数据孤岛问题,即不同的业务系统之间存在数据隔离,这使得数据安全管理变得更加困难。且数据无法共享和相互操作,增加了数据安全管理的难度。陈际红、陈煜烺:首起数据合规不起诉案论数据合规体系的价值与构建,上海法学研究(集刊)2022年第12卷。刘双阳:数据法益的类型化及其刑法保护体系建构,中国刑事法杂志 2022年第6
10、期。张博卿:我国大数据安全现状、问题及对策建议,网络空间安全 2018年第8期。89辽宁大学学报(哲学社会科学版)2023 年许多企业还没有充分认识到数据安全的重要性和必要性。没有建立完善的数据安全管理体系,没有采取必要的安全措施,甚至在数据泄露或丢失后也不知道如何处理。在数据安全人才的数量和质量方面仍然存在不足。公众对数据安全的认识和了解有限,公众的数据安全意识相对不足,等等。二、企业数据安全刑事合规的基本范畴(一)企业数据安全刑事合规的概念分析数据安全刑事合规,首先需要厘清企业合规与企业刑事合规的相关概念。企业合规是指在符合道德、法律、规章等规定的前提下,企业遵守相应的章程、制度、政策等,
11、确保业务活动合法、合规、稳健、可持续发展的行为。合规的主要目的是保护国家、企业、个人的利益。企业合规具有两个方面的内涵:第一,企业合规的积极层面含义是指企业在经营过程中要遵守法律和遵循规则,并督促员工、第三方以及其他商业合作伙伴依法依规进行经营活动。这是为了保护企业、员工和客户的利益,防范和控制刑事风险而采取的一种公司治理方式。第二,企业合规的消极层面含义是指企业为避免或减轻因违法违规经营而可能承担的行政责任、刑事责任,避免受到更大的经济或其他损失,而采取的一种公司治理方式。这是为了鼓励企业积极建立或者改进合规计划,国家法律需要将企业合规作为宽大行政处理和宽大刑事处理的重要依据,使得企业可以通
12、过建立合规计划而受到一定程度的法律奖励。刑事合规源于企业合规。随着一些国家将企业合规引入刑事立法,并且将企业合规与企业刑事责任相联系时,才有了刑事合规的概念。当前刑事合规概念的代表性观点主要分为三种:第一,工具说。刑事合规是国家以刑法为工具,为企业开展合规管理,由此建立的一套督促机制、约束机制和激励机制。第二,标准说。刑事合规是指为避免因企业或企业员工相关行为给企业带来的刑事责任,国家通过刑事政策上的正向激励和反向倒逼,推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险,制定并实施遵守刑事法律的计划和措施。第三,核心要素说。刑事合规的两个核心要素是内部控制机制和刑事法手段,只要涉及这两个
13、核心要素,也即借助刑事法手段(构罪或者量刑)以推动组织体自我管理的相关立法和实践都属于刑事合规范畴。本文采纳标准说观点并加以完善。刑事合规主要是指企业为避免因其高层决策或企业员工的相关行为给企业带来的刑事责任而采取的一系列刑事合规措施。国家通过刑事政策上的正向激励和反向倒逼,推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险,制定并实施遵守刑事法律的计划和措施。刑事合规具体可以分为三个部分:事前的刑事合规、事中的刑事合规和事后的刑事合规。从最高人民检察院推行的企业合规试点工作方案看,我国目前的企业合规是事中合规,是指在企业涉嫌刑事犯罪后,通过合规机制的建立,减轻或者免除企业的刑事责任。数
14、据安全刑事合规属于刑事合规下的分支概念,刑事合规按照类型可划分为全面合规、诚信合规以及专项合规三种。数据安全刑事合规属于数据领域的专项合规。早期人们对数据合规的把握主要关注数据的安全性,以保护数据不被盗窃或滥用。在这种情况下,数据平台会对数据进行清洗、脱敏、加密等处理,以确保数据的安全性,防止数据失窃或被滥用。这种做法可以被称为技术意义上的万方:企业合规刑事化的发展及启示,中国刑事法杂志 2019年第2期。陈瑞华:企业合规基本理论,北京:法律出版社,2020年,第73-81页。赵赤:立足全球视野解读刑事合规内涵,检察日报 2021年9月2日。孙国祥:刑事合规的刑法教义学思考,东方法学 2020
15、年第5期。90第 3 期孙杰,等:企业数据安全刑事合规问题研究数据合规。然而,随着时间的推移,人们逐渐认识到数据合规不仅仅局限于技术层面。数据合规还需要考虑更广泛的范畴,包括数据的合法性和社会责任等方面。我国数据刑事合规在检察系统推行企业合规改革前后均有出现。这项活动既可能是在诉讼前,即由数据经营主体主导实施的一种自发的、内生性的合规;也可能是在诉讼中,即在涉案之后通常由检察院等机关主导监督执行,要求数据经营主体围绕数据犯罪风险点进行整改的一种回应的、外压性的合规。这些活动可以分别被称为“实体法合规”“程序法合规”或者“诉前合规”“诉中合规”。虽然这种区分在理论上有一定价值,但在实践中不能过分
16、强调。一方面,数据领域的“诉中合规”“程序法合规”也具有预防潜在犯罪的功能,应当被理解为针对预防未发生数据犯罪之意义上的“诉前合规”“实体法合规”;另一方面,前者不是无源之水,要从后者汲取智慧。当下我国拓展数据刑事合规探索的可行路径是形成两种模式对接的整体性推进。总体上讲,数据安全刑事合规,是指以 刑法 个人信息保护法 网络安全法 数据安全法 为主,以其他涉及数据的法律法规为辅,引导企业从数据的采集、储存、传输、处理、销毁等数据周期的全过程,采取一系列预防、识别和应对措施,以保障企业合法权益和预防数据相关犯罪的发生;在企业涉案后,能够以完整合规体系的构建,通过有效性审查,以实现合规不起诉,达到
17、保障企业健康发展和经济平稳运行的目的。(二)企业数据安全刑事合规的特征1.技术性特征数据安全刑事合规具有技术性,开展数据安全刑事合规体系建设需要以技术为依托,最终服务于技术。第一,数据自身的技术性。动态数据与互联网技术的发展密不可分,在当前经济体系中,数据作为一种新型资本,并非获取即可利用,需要通过一系列技术手段将其制作成可以流转和处理的“产品”。基于此,无论是国家关于引导性政策的制定抑或是企业数据安全刑事合规体系的打造,均应深入技术内部。第二,数据处理的技术性。数据的处理并非是简单的归纳总结,需要通过技术手段进行,包括:将数据分类分级,进行隔离存储;对于一般信息进行认证存储,特殊信息进行匿名
18、化脱敏处理;通过管理者身份认定、数据日志分析、数据定期风险评估,对数据进行日常管理,等等。在数据处理的过程中,要注重技术性的要求,引进专业人才进行针对性处理。第三,数据风险识别的技术性。数据安全刑事合规的重点之一就在于及时准确发现并提示数据安全风险,该过程也具有技术性。在日常数据的存储管理过程当中,仅依靠传统数据识别分类评估等手段已捉襟见肘,难以全面实现合规体制所要求的监管层次。当前,通过技术手段记录数据生命周期的全过程,了解其来源及流动方向,对于数据的使用与交易情况进行记录,将个人信息、商业信息、公共信息等进行分类型脱敏处理。针对不同数据的不同流通环节有针对性地进行风险提示。数据的技术性要求
19、打造数据安全刑事合规,就是要利用好技术手段,以保障数据安全刑事合规的有效性和可持续性,提高风险防控效果。2.全局性特征数据安全刑事合规具有全局性,制定贯穿数据生命周期和企业经营各环节的刑事合规体系。开展数据安全刑事合规需要深入数据生命周期的全过程,涵盖采集、储存、传输、销毁等。同时,企业经营的各个环节也离不开数据分析的支撑,数据安全刑事合规体系建设需要纵贯企业的研发、采刘品新:论数据刑事合规,法学家 2023年第2期。毛逸潇:数据保护合规体系研究,国家检察官学院学报 2022年第2期。91辽宁大学学报(哲学社会科学版)2023 年购、生产、销售等环节。诚如法谚云“盖天下之事,不难于立法,而难于
20、法之必行”。如何将数据安全刑事合规体系落实到企业生产经营的各方面全过程,确保合规体系切实有效,使企业各方面的数据安全风险内控于合规体系之内,这是重中之重。欧盟的 通用数据保护条例(GDPR)是典型应对全局性特征的立法体现。参照相关规定,在保障数据安全刑事合规全局性的方案中,制定合规体系时,要仔细考察企业经营活动范围,包括相关第三方经营活动,利用技术手段精确分析各个环节可能存在的风险,建立涵盖全局的刑事合规体系,保证合规体系符合 刑法 数据安全法 等法律要求,同时符合政策性规定。在合规体系实施中,建立全流程数据安全刑事合规实施监督体系,确保合规体系落到实处。3.涉外性特征数据安全刑事合规具有涉外
21、性。在建立合规体系过程中,要兼顾国内法、国外法和国际惯例的相关规定,确保涉外经营符合当地的法律规定。涉外性特征主要体现在数据跨境流动方面,随着互联网大数据的迅速发展,数据流动不断加快,国与国之间的信息界限逐渐模糊,众多大型跨国公司业务遍布世界各地,其掌握大量的个人信息、商业信息、公共信息,在大数据的聚合作用下,相关信息汇集后可能涉及国家政治、经济等安全问题。在数据跨境流转的过程中,不仅要应对各国法律关于数据安全方面的不同规定,避免数据流转违法,更应该警惕在流转过程中数据自身所包含的信息可能对国家主权和安全造成的威胁。由于涉外性的特征,在建立数据安全刑事合规体系的过程之中,要着重把握数据流动方向
22、,将国内数据和涉外数据妥善分离,避免涉及国家层面的数据流出,根据各国之间不同的法律规定,充分了解当地政策情况,做好不同的合规预案,以应对数据跨境流程过程中可能会涉及的刑事风险。三、企业数据安全刑事合规的核心内容(一)企业数据安全的合规制度1.数据分级分类保护进行数据分级分类保护,可以根据数据的重要性和敏感程度将数据分为不同的等级,并对不同等级的数据进行相应的保护措施。具体而言,可以将数据分为三个等级。(1)一级数据:指关系国家安全、国民经济命脉、人民群众生命财产安全、社会稳定等方面的具有重要意义的数据,例如国家机密、重要的商业机密、重要的个人隐私信息等。对于这些数据,刑法应当对未经授权的获取、
23、利用和泄露行为进行更为严厉的惩罚,如刑事处罚。(2)二级数据:指与国家、社会、个人利益息息相关的数据,例如涉及到人身安全、财产安全、网络安全等。对于这类数据,应当加强数据保护措施,明确数据使用的权限和范围,同时也应当明确相关的刑事、民事或行政法律责任。(3)三级数据:指普通的个人信息数据,例如姓名、年龄、性别、联系方式等。对于这类数据,应当加强数据保护,规范数据的采集、使用和处理,同时也应当对侵犯个人信息权利的行为进行相应的法律制裁。通过对数据进行分级分类保护,可以更加有效地保护不同等级数据的安全和隐私,提高数据安全保障水平,保护数据的合法权益,维护社会的稳定和秩序。武东方:数据刑事保护的检视
24、与重塑以刑事合规为切入点,上海法学研究(集刊)2022年第1卷。陈世银:数据合规中的刑事法律风险及防范措施探析,中国律师 2022年第10期。92第 3 期孙杰,等:企业数据安全刑事合规问题研究2.数据安全管理制度构建数据安全管理制度是保障数据安全的重要法律工具。构建数据安全管理制度,可以通过以下几个方面来进行:(1)制定数据安全管理制度的法律框架。法律框架应该规定企业和个人的数据管理责任,明确数据的分类、保护、采集、储存、传输、处理和销毁的标准和要求,规范数据安全管理流程和机制。(2)设立数据安全管理机构。建立专门的数据安全管理机构,负责组织、监督和管理数据安全管理工作。该机构应该有权力对数
25、据管理和使用进行审查和监督,对数据安全违法行为进行处罚。(3)加强数据违规操作的打击力度。构建数据安全管理制度需要明确违规行为的标准和惩罚力度。制定明确的数据安全保护法规,对于盗窃、泄露、篡改、破坏数据等违法违规行为,给予相应的处罚,对违法行为进行严厉打击。(4)加强数据安全检查和监督。监督检查机构应该定期对数据管理情况进行检查,发现问题及时纠正,严格查处违法行为,加强数据安全管理的法律监督力度。(5)加强数据安全技术保护。构建数据安全管理制度还需要加强技术保护手段。加强数据加密、安全传输等技术手段的使用,提高数据安全保护的技术水平,保障数据安全。3.数据犯罪的事后整改随着互联网技术的不断发展
26、,数据犯罪已经成为一个全球性的问题,企业需要采取积极的措施,防止数据犯罪的发生,并及时采取整改措施,以恢复公众信任。如果企业出现了数据犯罪行为,需要进行事后整改。事后整改是指企业在发生数据犯罪事件后,采取一系列措施,以减少损失,恢复公众信任和防止类似事件的再次发生。(1)企业应该立即停止违法行为,尽量减少损失和影响范围。如果违法行为继续存在,不仅会造成更大的损失,还会对企业形象造成极大的损害。(2)企业应该立即启动应急预案,加强安全控制和监测,及时发现问题,并迅速采取措施。应急预案是企业应对数据安全事故的重要措施,企业应该定期进行演练和更新,以确保在危急时刻能够快速、有效地响应。(3)企业应该
27、对数据犯罪进行全面调查和分析,查明犯罪行为的具体情况、影响范围、责任人等。调查和分析是整个事后整改过程中最为重要的环节,只有深入了解问题的本质,才能制定出有效的整改措施。(4)企业需要向受害人公开道歉,并承担相应的法律责任。公开道歉是企业重建公众信任的重要步骤,企业应该真诚地向受害人道歉,并尽力赔偿相关损失。(5)企业需要加强内部管理,建立完善的数据安全预防机制,提高员工的安全意识,减少数据安全事故的发生。数据安全是企业的生命线,企业应该从制度、流程、技术、人员等多方面入手,建立有效的预防机制。(6)企业应该积极与相关政府部门和监管机构沟通,配合调查和整改工作。政府部门和监管机构是企业数据安全
28、的重要保障,企业应该主动向他们汇报事件的情况,并接受监管机构的指导和建议,加强与监管机构的合作,共同维护数据安全。数据犯罪的事后整改是一个长期的过程,需要企业全力以赴地应对。整个过程需要高度的透明彭家阔:互联网企业的数据合规制度构建研究,互联网天地 2022年第12期。王鹏飞:数据安全导向下企业刑事合规保护体系建构,天津师范大学学报(社会科学版)2022年第6期。93辽宁大学学报(哲学社会科学版)2023 年度和公开性,企业需要积极与受害人、政府部门和监管机构沟通,公开信息,接受监督。只有这样,才能最大程度地恢复公众信任,保护企业的声誉和利益。加强数据安全管理,积极防范和应对数据犯罪的风险,在
29、发生数据犯罪事件后,及时采取整改措施,恢复公众信任,保护企业的声誉和利益。(二)企业数据安全的防控义务1.数据安全防控义务的责任主体(1)国家安全层面。我国国家安全机关是保障国家信息安全的主要力量。国家安全法 规定,国家安全机关负责保障国家安全和社会稳定,包括维护国家重要信息基础设施安全,预防和打击网络攻击、间谍活动等国家安全威胁行为。国家安全机关还需要加强信息安全保护力度,制定和实施信息安全规划和技术措施,协调各方面信息安全工作,确保国家信息安全。(2)政府监管层面。政府监管部门是维护数据安全的主要组织力量。例如,国家互联网信息办公室是负责网络信息安全监管的主管部门,其职责包括监督和管理网络
30、信息安全,制定和发布网络安全法规和标准,组织开展网络安全演练和应急处置等。此外,国家信息中心、公安机关等部门也有一定的网络安全监管职责。(3)企业自身层面。企业是数据安全防护的主要责任主体。网络安全法 明确规定,网络运营者应当采取各种必要技术措施保障网络安全。企业需要建立健全信息安全管理制度,明确各部门的职责和权限,加强网络安全意识教育和培训,加强信息安全技术保障措施等。同时,企业也需要配合政府监管部门进行网络安全检查和演练等工作。(4)个人层面。个人也有一定的数据安全防护责任。个人需要保护自己的个人信息安全,避免泄露个人敏感信息,不参与网络诈骗、网络攻击等违法犯罪活动。此外,个人还应当提高自
31、身信息安全意识,学习和掌握网络安全知识和技能,更好地保护自己和他人的数据安全。数据安全防护的责任主体认定在中国是多元化的,涉及政府机关、企业和个人等多个方面,以上责任主体之间的职责分工和协作关系应该明确,共同维护数据安全防护的有效性,加强协作和配合,共同维护数据安全防护的有效性。2.数据安全防控义务的责任边界数据安全防护是指在数据的收集、处理、传输和存储等环节中,采取必要的技术、组织和管理措施,保护数据的安全性和保密性,防范数据遭受非法获取、篡改、丢失或泄露等风险,确保数据的完整性、可用性和保密性。在数据安全防护中,涉及到的主要责任边界包括数据所有者的责任边界、数据处理者的责任边界和第三方的责
32、任边界。(1)数据所有者的责任边界。数据所有者是指拥有数据的机构或个人,其应该对自己所拥有的数据进行管理和保护,并对其使用和披露负责。数据所有者应该保证数据的完整性,防止数据被篡改或损坏,确保数据的真实、准确和完整性;应该对数据进行机密性保护,防止数据被非法获取、使用或泄露,确保数据的机密性和保密性;应该保证数据的可用性,确保数据能够按时按需使用,防止因系统故障、网络中断等因素导致数据无法使用;如果数据出现泄露或损坏,及时采取措施加以修复和恢复,并对相关责任承担相应的法律责任。(2)数据处理者的责任边界。数据处理者是指在数据所有者授权下,对数据进行处理、存储、使李勇:检察视角下中国刑事合规之构
33、建,国家检察官学院学报 2020年第4期。周维明:刑事合规视野下数据犯罪的治理路径,西南政法大学学报 2022年第5期。张勇、冯明昱:数据安全刑事合规的责任伦理,河南社会科学 2022年第8期。94第 3 期孙杰,等:企业数据安全刑事合规问题研究用、转移等行为的机构或个人,其应该按照法律法规和合同约定,采取必要的措施,确保数据安全。数据处理者应该采取必要的技术措施,包括加密、防火墙、入侵检测等技术手段,防范数据遭受非法获取、篡改、丢失或泄露等风险;应该制定详细的数据安全管理规定,明确各种数据安全风险的防范措施和应急预案,建立完善的安全管理制度和流程,确保数据的安全和保密;数据所有者或数据处理者
34、在与他人签订合同时,应明确规定自己的责任和义务,包括对数据的保密、安全管理、责任承担等方面的约定,确保数据的安全和保密。(3)第三方的责任边界。第三方是指与数据所有者和数据处理者无直接关系,但与其数据处理活动相关的机构或个人,如供应商、合作伙伴、客户等。数据所有者和数据处理者应该在合同中明确规定第三方的责任和义务,明确规定数据安全的保护措施和责任承担方式。第三方需要确保其接触到数据的合法性,必须符合数据所有者或数据处理者的授权或合法许可,不得擅自获取、使用或泄露数据;需要对自身的安全风险进行评估和管理,制定相应的安全管理措施和应急预案,及时发现和处理数据安全问题,避免对数据安全造成影响;如果第
35、三方违反相关法律法规或合同约定,导致数据泄露或损坏,其需要承担相应的法律责任,并对数据所有者或数据处理者造成的损失承担相应的赔偿责任。数据安全防护的责任边界需要在合同和法律法规的规定下明确界定,各方应该切实履行自己的责任和义务,确保数据安全的保护和合法使用。四、企业数据安全刑事合规的制度构建(一)企业数据安全合规不起诉的相关问题1.企业数据安全合规不起诉的原则数据安全合规不起诉的原则主要包括以下几个方面:(1)罪刑相当原则:被处罚者的违规行为应该与处罚相对应,对于情节严重的违规行为,不应适用数据安全合规不起诉。(2)知情同意原则:当事人应该充分知晓自己所处的违法行为,并且自愿认罪认罚。(3)补
36、救原则:当事人应该采取积极措施加强数据安全管理,避免再次发生类似违法行为,并且积极协助有关部门查清事实,并消除安全隐患。(4)及时原则:数据安全合规不起诉应该及时启动,及时解决问题,以避免违规行为扩大化、升级化。(5)公正原则:数据安全合规不起诉的决定应该公正、公平、合理,不得对当事人进行任何歧视或不公平的对待。(6)附条件原则:当事人必须符合一定的条件才能获得数据安全合规不起诉的机会,包括违法行为的性质、情节、后果、认罪态度等方面的综合评估。(7)教育引导原则:数据安全合规不起诉应该以引导为主,鼓励被处罚者加强安全意识和管理,避免再次违规。数据安全合规不起诉的原则主要是以保护数据安全为中心,
37、以补救和公正为导向,同时要考虑到当事人的情况和权益,以及社会公共利益和个人权益的平衡。2.企业数据安全合规不起诉的适用范围数据安全合规不起诉是指在特定情况下,司法机关可以暂不对涉嫌违法行为的当事人追究刑事责任,但要求其采取补救措施,达到规范行为、保护数据安全的目的。合规不起诉的适用范围应当限商浩文、张萌:数据安全刑法保护的路径选择以2021年颁行为契机,西北工业大学学报(社会科学版)2022年第3期。陈瑞华:合规监管人的角色定位以有效刑事合规整改为视角的分析,比较法研究 2022年第3期。刘艳红:企业合规不起诉改革的刑法教义学根基,中国刑事法杂志 2022年第1期。95辽宁大学学报(哲学社会科
38、学版)2023 年制在直接责任人员可能判处3年有期徒刑以下刑罚的轻微犯罪案件,不宜扩大到可能判处5年有期徒刑以下刑罚的犯罪案件,更不能扩大到可能判处7年有期徒刑以下刑罚甚至10年有期徒刑以下刑罚的犯罪案件。数据安全合规不起诉的适用范围应具体包括:(1)违法行为主要涉及数据安全问题,不涉及其他严重违法犯罪行为。(2)违法行为属于一般性质,未对社会公共利益和个人权益造成重大影响。(3)涉事当事人自愿认罪认罚,并主动采取积极措施加强数据安全管理,避免再次发生类似违法行为。(4)涉事当事人及时报告并协助有关部门查清事实,并积极采取措施消除安全隐患,防范数据泄露。数据安全合规不起诉是在保护数据安全的前提
39、下,为涉事当事人提供一种有效的法律手段,以达到规范行为的目的。它的适用范围主要取决于具体的案件情况,需要根据相关法律法规和司法实践进行具体分析和判断。3.企业数据安全合规不起诉的启动条件根据 关于建立涉案企业合规第三方监督评估机制的指导意见(试行)第4条、第5条的规定,合规不起诉制度的适用条件,包括涉案企业、个人认罪认罚;涉案企业能够正常生产经营,承诺建立或者完善企业合规制度,具备启动第三方机制的基本条件;涉案企业自愿适用第三方机制。不适用的情形包括个人为进行违法犯罪活动而设立公司、企业;公司、企业设立后以实施犯罪为主要活动;公司、企业人员盗用单位名义实施犯罪;涉嫌危害国家安全犯罪、恐怖活动犯
40、罪以及其他不宜适用的情形。而数据安全合规不起诉是中国司法部门针对一些数据安全违规行为采取的一种非常规方式,它可以在满足一定条件的情况下,对违规企业或个人不予起诉,从而达到鼓励合规、引导规范的目的。数据安全合规不起诉的适用范围如下:(1)合规自愿,认错态度好。企业应该在发现违规行为后,必须主动向执法机关报告违规行为,并积极采取补救措施,防止类似情况再次发生。该举措表明企业的自我监管和自我纠正能力,以及尊重法律和社会责任的态度。(2)违法行为情节相对较轻。企业违规行为不能对社会造成严重影响,如对人身安全、环境卫生、国家安全等造成威胁,同时也不能对公司造成巨大损失。数据安全合规不起诉通常适用于违反
41、数据安全法 网络安全法 相关规定的违法行为中情节相对较轻的情况,例如,仅仅存在数据管理方面的缺失或者技术安全漏洞,且没有造成较大的社会危害。(3)整改措施到位,没有再次违法记录。企业在过去没有因违反相关法律法规而被处罚记录,或者存在相应的惩戒措施但已完成改正并消除不良影响。被适用数据安全合规不起诉的企业应该在规定期限内,对违规问题进行整改,并采取相应措施,确保再次违规的概率较低。(4)整改后效果评估,监管跟踪和反馈。企业及时向执法机关报告处理结果,并对整改后的效果进行评估,确保类似问题不再发生。处理方式、评估结果应当公开透明、客观真实,符合法律法规和公司内部管理制度。执法机关应当对企业的整改情
42、况进行监管和跟踪,并给予必要的指导和帮助。同时,企业也应当积极向执法机关反馈整改情况,确保监督和反馈机制畅通有效。(5)对于部分严重违法行为适用有条件不起诉。对于一些严重的数据安全违规行为,可以适用有条件不起诉,即在企业履行相应义务的情况下,不再追究其法律责任。需要注意的是,数据安全合规不起诉只适用于数据安全领域的违法行为,对于其他犯罪行为不适陈瑞华:企业合规不起诉改革的八大争议问题,中国法律评论 2021年第4期。96第 3 期孙杰,等:企业数据安全刑事合规问题研究用。因此,在数据安全管理中,企业应该时刻保持警觉,提高安全意识,加强数据安全管理,防范数据泄露和滥用的风险。(二)涉案企业数据安
43、全刑事合规整改措施1.构建企业整体数据安全防护合规制度企业建立数据安全刑事合规体系应包含以下内容:(1)建立合规组织,设定数据安全刑事合规人员。企业应设置专项合规人员,以满足企业数据安全刑事合规的需要,合理确定数据处理权限。(2)建立数据分级分类制度。不同类型数据信息有不同的处理规则,数据处理者在处理过程中有不同的注意义务。如 个人信息保护法 对个人信息进行了定义,同时将个人信息进行细化分类。企业在进行数据安全刑事合规时,首先要对数据信息依照相关法律规定,按照严格、全面的标准进行分级分类,采取相对应的合规处理流程。(3)从数据源头出发,了解数据流向,关注数据质量,对于达到刑事合规标准的数据录入
44、数据库。严格区分已合规数据和风险数据,如华为数据湖模式。华为在数字化转型过程中提升数据质量,形成清洁、完整、一致的数据湖,通过一系列技术手段保证数据质量。(4)准备详细的补救预案。对于可能发生的数据安全事故,如数据泄露、跨境流动违法等,保证相应的补救措施。2.构建企业数据安全动态评估制度个人信息保护法 第54条规定:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”上述法律规定,实质上对于企业的数据合规做出了定期评估的要求,正是企业数据安全刑事合规的重要内容之一。企业建立动态的数据安全刑事合规体系,定期或有针对性地不断对企业数据信息进行刑事合规审计与评估,将法律法
45、规具体化为企业内部的自律自治行为。其中包括:(1)事前风险评估。企业应当依照相关法律规定,建立事前的数据影响评估制度并切实履行。由于企业发展带来的数据更新,还应当建立相应的数据动态评估制度。(2)事中风险提示。企业数据安全刑事合规部门,应当定期对企业收集、使用个人信息情况、企业经营活动涉及第三方的数据安全问题等进行审查并出具数据安全刑事风险评估自查报告。(3)事后风险整改。合规部门进行数据安全方面相应的风控推演,对风险暴露部门做出紧急提示,触发刑事法律风险的部门应积极整改。3.完善企业数据安全应急管理制度随着数字化时代的到来,数据已成为企业不可或缺的资产,但同时也面临着数据泄露、病毒攻击、网络
46、黑客等安全风险。因此,建立完善的企业数据安全应急管理制度是企业必须重视的事情。(1)明确安全责任人。企业应当明确安全责任人的职责,明确安全事件的上报渠道和应急响应流程。安全责任人应当定期组织应急演练,不断提高安全应急响应能力。(2)制定应急预案。企业应当制定完善的数据安全应急预案,明确应急响应流程、责任人、预警机制、应急资源和预案测试等内容,确保在安全事件发生时能够快速响应、迅速处置。彭家阔:互联网企业的数据合规制度构建研究,互联网天地 2022年第12期。韩轶:网络数据安全领域的企业刑事合规体系建构,江西社会科学 2023年第1期。张阳:企业刑事合规本土探索的实践偏误与路径回归,西南政法大学
47、学报 2021年第6期。李振宇:刑事合规模式与民营企业刑事合规的本土化建构,昆明理工大学学报(社会科学版)2022年第2期。97辽宁大学学报(哲学社会科学版)2023 年(3)建立安全事件监测和预警机制。企业应当建立安全事件监测和预警机制,通过实时监测、日志审计等手段发现安全事件,及时启动应急预案。建立安全事件处理记录和追溯机制。企业应当建立安全事件处理记录和追溯机制,详细记录安全事件的处理过程和结果,并提供法律依据。(4)加强数据备份和恢复,定期进行安全漏洞扫描。企业应当定期进行数据备份,保证数据的完整性和可恢复性,同时也应该制定数据恢复的详细流程和方法。企业应当定期进行安全漏洞扫描,及时发
48、现和修复存在的安全漏洞,降低安全风险。(5)建立合作伙伴的安全评估机制。企业应当建立合作伙伴的安全评估机制,对合作伙伴的数据安全管理能力进行评估,确保合作伙伴的数据安全水平符合企业要求。4.强化企业数据安全刑事合规培训个人信息保护法 网络安全法 数据安全法 明确规定了开展数据安全、信息保护方面的宣传教育。对于企业合规部门而言,这不仅是法定义务,更是构建数据安全刑事合规体系的重要步骤。近年来,部分企业内部员工缺乏合规意识,进行违法犯罪行为,导致公司深陷刑事案件,商业信誉和经营状况遭受重大损失。因此,合规培训是企业合规理念深入企业内部,企业高层的合规意愿转变为企业员工合规行为的重要工作。企业在进行
49、数据安全刑事合规工作过程中,应当定期向全体工作人员开展数据安全刑事合规培训。当数据合规政策、法律法规发生变化时,展开相应的宣传和讲解。并通过签署合规告知书、发放合规手册等方式,以增强员工合规意识,建立企业合规文化。企业在进行数据安全刑事合规宣传时,应重视相关工作的留痕、留档,如合规告知书、合规手册等,均是建立企业数据安全刑事合规风险防控的重要依据。5.强化企业数据安全违规监督与举报企业建立自上而下的各项数据安全刑事合规体系以外,还需建立员工、客户、第三人的投诉举报制度。对于企业重要部门配备数据安全刑事合规专员,定期由合规部门组织专员开会学习,督促其注重企业数据处理中的相关涉刑问题,以便及时发现
50、有关合规隐患。企业应鼓励内部员工及时反映数据处理过程中存在的问题,畅通内部员工的反映渠道,对举报违规的员工予保密措施并进行嘉奖。同时数据安全刑事合规团队按企业实际情况,定期对企业进行审计,根据举报线索和审计结果做出整改建议。企业也应建立用户投诉、举报平台,面向用户设置投诉举报功能,以便于用户就涉及个人信息保护、数据安全等方面的问题,向企业进行投诉。及时主动处理,有利于企业化解数据安全刑事风险,保障合规体系的有效性。五、结 语通过对数据安全刑事合规的研究,我们可以看到,在当前大数据时代,数据安全面临着越来越多的风险和挑战。因此,数据安全刑事合规对于保护个人信息安全、维护国家数据主权具有重要的现实
浙ICP备2021020529号-1 | 浙B2-20240490 
