企业涉数据刑事风险-有两条路可化险为夷.docx

企业涉数据刑事风险，有两条路可化险为 夷 今年年初，上海首份《企业数据合规指引》(以下简称《指 引》)由上海市杨浦区检察院联合多家机构制定发布。该《指 引》提示企业预防“数据刑事风险”，并鼓励企业为预防和降 低涉数据违法犯罪而开展“数据合规管理”。 01单位犯罪之刑事合规出罪的两个路径 在单位犯罪中，我国刑法确立了对企业和直接责任人采 取“双罚制”的基本原那么，就司法实践来看，通过刑事合规 出罪主要表达在两个方面： (1)实体出罪。具体而言，单位犯罪抗辩最有力的理由 在于以员工个人犯罪来否认单位犯罪，单位通过举证完善的 合规体系等证明自身不存在犯罪故意，进而排除单位犯罪的 可能性，这是绝对的出罪(不构成单位犯罪)；(2)程序出罪。这是当下合规不起诉制度衍生出的新途 径，具体而言，是涉刑的单位通过制定并落实刑事合规整改 作方案》、《关于建立涉案企业合规第三方监督评估机制的指 导意见（试行）》等相关规定；司法实践中，更多人称之为“刑 事合规不起诉“；不起诉的机会是“涉案企业作出合规承诺并 积极整改落实”的最大动力。前文“合规程序出罪案例”就 是很好的表达。 那么，对于涉刑的数据处理者，如何做才能到达程序出 罪呢？换言之，怎么做才能考核合格、最终获得不起诉的宽 大处理？结合过往的工程实践经验，我们认为应该从两个方 面来完成：一是要有完备的数据平安合规计划（有形式），二 是要能严格执行数据平安合规计划（可落地）；这两个方面都 要能通过个案的第三方评估小组的考核。 （-）“有形式” 《指引》对于“有形式”，即数据合规计划应包含的内容 具有重要的参考价值，具体如下： 1.对现有数据管理制度的梳理.针对司法机关认为涉嫌的犯罪事实（主要是起诉 意见书中公安机关认为的事实），结合公司的实际经营、 业务情况进行关联性剖析，包括原因、违规违法点等。 • 全面排查经营中其他业务的相关合规风险，比方 常见的数据源授权的完整性、技术手段使用的不当性、 对外提供信息用途合法性监管、上下游企业合规处理数 据的关联性等。 • 针对前述问题，明确业务调整措施。识别需要停 止的涉案违法业务，确定需要优化调整潜在的具有一定 合规风险的业务。 • 梳理公司原有较好的相关合规工作和努力，说明 涉案企业具有适用刑事合规不起诉的基础。 2 .以风险防控为导向完善数据合规体系 《指引》的全文其实就是围绕数据平安风险，引导企业 搭建完善数据合规管理体系、保障数据合规运行来规制。所 以，企业的数据合规计划应该结合本企业自身经营情况，体 现数据合规管理体系、数据风险识别、数据风险评估与处置 以及数据合规运行与保障这四个方面内容。 •数据合规管理体系：该局部内容是公司有关组织 架构和管理制度上对于数据平安合规性的规定，比方 《指引》所鼓励的设立专门的数据合规管理部门，企业 最高管理者作为数据合规的第一责任人，企业不同部门 之间对于数据平安合规工作的协调等。同时，涉案企业 应在合规计划中细化数据合规管理部门的管理职责和 工作内容，以表达合规整改的具体性。 •数据风险识别：该局部内容是要求企业根据自身 业务特点，全面梳理风险点，尤其是《指引》中归纳的 常见数据平安风险表达的业务场景，应予以重点关注, 如自动化工具、软件开发工具包的使用；涉个人信息的 处理；跨境提供数据等，并根据风险进行等级划分。此 外，在梳理中还应明确各风险所对应的信息生命周期、 处理环节、涉及部门、业务表达模式等。 .数据风险评估与处置：参考《指引》相关规定, 在合规整改计划中要提升企业日常经营中风险评估程 序的科学性、加大数据平安投诉举报途经的全面性、发 现风险处置的及时性和正确性等；也要针对前述梳理处 的数据风险，制定细化合规措施，如全面开展信息采集、 使用授权合规评估，完善上下游管理，加强外部数据合 规治理(结合自身业务特点，尤其是涉及特定技术风险 时更应细化不同应用场景做不同的分析)，加强内部数 据平安、完善数据流转管理等。 .数据合规运行与保障：参考《指引》相关规定, 涉案企业可以根据企业自身情况，围绕合规咨询、考核 机制、培训与承诺、数据合规文化等方面进行阐述。如 不断提升业务人员的合规意识和风险识别能力、分级培 训、将数据平安纳入每个部门、员工的考核中并设立相 应的激励机制等。 (-)“可落地” 根据过往的工程经验，将合规计划有针对性地落实到企 业的实际业务经营中，具体建议如下： 1 .根据合规计划内容，改革企业有关数据平安的治理结 构，重塑企业数据合规的文化。 2 .根据《指引》，建议成立专门的数据合规委员会，首席 合规官由企业最高管理者担任。 3 .全面实施数据平安方面的管理制度，如企业数据分类 分级方法、对数据访问权限的管理制度、保密协议、网络安 全保护制度、个人信息保护制度、企业数据合规问题抽样检 查制度、企业员工数据合规培训计划、企业有关数据合规的 财务和保障计划等。 4 .对管理人员和重点风险岗位的员工要进行数据合规 专项培训，既针对涉案事实本身提高他们甄别风险的能力和 意识，也能够更好地配合第三方评估小组的考察问询。 5 .向第三方评估小组或者检察机关主动出具切合实际 的数据平安合规经营承诺书，以表达涉案企业整改的决心和 持续合规的信心。 6 .在数据合规委员会中指派专门人员对接第三方评估 小组，积极配合第三方小组可能的巡回检查、飞行检查、问 卷测试、访谈等，并对每次检查予以记录留痕，根据评估小 组要求予以及时调整，以确保对自身合规计划落实情况实行 主动的动态监管。 04结语 综上所述，企业数据刑事合规的实质出罪路径是要求企 业在经营过程中依法、守规地进行数据处理活动，积极预防 单位及单位之下自然人的刑事犯罪，并将这种预防体系制度 化、规范化；而企业数据刑事合规的程序出罪路径是在企业 数据涉刑风险已经发生的情况下，通过完善的合规整改及有 效落实来化解刑事危机。 在数据时代、在合规不起诉的大背景下，作为数据处理 者的企业更应该真正意识到经营过程中的刑事法律风险，通 过专业人士为企业主动把握好刑事合规出罪途径的机会（无 论是事前防范的机会还是事后补救的机会），才能使得企业 在政策制度红利的风口上平稳地翱翔。 方案，通过检察机关的合规考察程序，最终获得检察机关不 起诉的处理，这是相对的出罪（相对不起诉）。 以下两个案例可以更直观地表达刑事合规出罪的两个 路径： 1 合规实体出罪案例：有难同当还是罪责自负？ 杨某、郑某为某国际知名婴幼儿食品公司中国西北部区 域经理，为抢占当地奶粉市场，授意该公司多名员工通过拉 关系、支付好处费等手段，屡次从当地多家医院医务人员手 中非法获取共计数万余条公民个人信息。该案审理过程中， 杨某、郑某的辩护人提出本案系单位犯罪的辩护意见，期望 以单位犯罪来降低自然人的罪责。 图一：公司合规实体出罪 公司禁止员工贿赂医务人 员，禁止员工非法收集客 户信息 公司对员工进行了专门的培 训和测试，员工知晓公司的 政策与纪律 在审判过程中，公司提交了图示中的证据材料。据此, 法院认为，业务人员违反公司管理规定，为提升个人业绩而 置法律规范、公司规范于不顾，违规操作进而贿买医务人员 获取公民个人信息的行为，并非公司的单位意志表达，故本 案不属于单位犯罪。 从该案来看，对于单位而言，日常经营中构建完善合规 体系，包括制度、培训、考核等等，是预防单位犯罪的有效 保障，更是应对员工利用单位名义实施信息数据类犯罪时否 定单位犯罪的有效抗辩。 合规程序出罪案例：同舟共济还是分道扬镜？ 江苏某建设公司在生产经营中，先后注册成立了两家子 公司以向建筑公司的劳务人员发放劳务费。为解决劳务人员 个人信息缺乏问题，公司违规从学校学生管理系统下载九千 余名在校学生个人信息，冒充两家子公司员工向税务机关虚 假纳税申报。该公司及其实际控制人因涉嫌侵犯公民个人信 息罪被公安机关立案侦查，随后移送检察机关审查起诉。 图二：公司合规程序出罪 自首情节； 认罪悔罪态度较好 公司负责人主动投案并 如实供述犯罪巾实； 公司开展了企业合规匚 作，包括制定完善的合 规整改方案、全程动态 落实合规制度； 第三方评估小组出具 《企业合规专项工作监 督报告》 公司在案发后主动配合 税务机关删除r被h用 个人信息的纳税申报记 录，并已补缴相关税款 对企业数据合规体系进行 全面梳理、查缺补漏； 落实到位 在检察机关的审查起诉阶段，基于当前“合规不起诉制 度”的大背景，一方面，涉案企业和员工积极配合检察机关 和行政主管部门的工作，努力使该行为的危害结果降到最低; 另一方面，该企业在检察机关的指导下依法依规展开企业合 规，并顺利通过第三方评估小组考核，检察机关据此对涉案 公司及实际控制人均做出了相对不起诉。 02数据处理者防范刑事风险的实体出罪路径 数据刑事合规是现代企业治理体系在大数据时代诞生 的新内容，其强调企业以自身的努力积极防范数据刑事平安 风险，把与数据相关的犯罪消除在萌芽状态。 结合《指引》就企业数据合规的主要逻辑，我们认为， 一个好的企业数据犯罪刑事合规体系应设定并能够实现如 下四大目标： 目标一：行政监管与刑事犯罪双合规的体系融合 数据犯罪往往从违反数据行政监管要求开始，因此，企 业的数据犯罪刑事合规制度应与企业数据监管合规相融合, 但应在数据违法的民事、行政和刑事分叉点强化刑事合规的目的特色: (1)别离单位责任和个人责任 涉及企业的数据犯罪表现为与企业有关的个人违法处 理信息数据。因此，企业数据犯罪刑事合规应该以别离企业 责任和涉企个人责任为基本目标。企业需要识别自身可能存 在的个人信息和数据平安瑕疵，针对性地建立起数据刑事合 规体系，明示企业个人信息和数据平安的合规意愿与要求, 约束员工涉个人信息和数据处理的经营活动和履职行为，预 防涉企个人信息和数据犯罪的发生。 (2)为争取实体合规出罪提供支持 在企业发现可能已经发生数据违法行为，或者数据监管 部门已立案并启动调查程序的情况下，企业应能够通过数据 刑事合规体系立即停止违法行为并与执法机构合作，考虑自 身情况配合调查或者主动消除、减轻违法行为危害后果。 目标二：强化刑事合规治理结构及资源统筹 从内部合规治理结构而言，企业一方面要建立独立于法 务部门的专门信息数据合规部门，另一方面应该在法务部门 的指导下明确企业合规管理部门及其人员的合规职责；而企 业合规管理部门那么需要通过惩戒与激励等多重方式引导企 业普通员工参与企业合规治理，增强企业合规意识。在合规 体系运营方面，企业要确保合规体系要能够在企业日常运营 中协调各部门和各种资源，在信息数据合规管理部门的统筹 下，确保合规制度与要求落实到位。 目标三：为合规审计和验收提供标准 企业信息数据犯罪刑事合规体系要能够在企业内部说 明并提供合规审计的触发场景、审计流程和要求，更重要的 是对审计发现问题的验收标准，形成精准触发、细致审计和 综合验收的全流程管理，防止企业内部信息数据合规审计流 于形式，或者验收随意。 目标四：迅速有效的危机应对机制 作为信息数据犯罪合规体系的一局部，企业还应制定反 馈迅速、处置精准的危机应对机制，这不仅应包括传统合规 体系必备的数据信息平安事件应急预案，更应当包括与对内 应急预案相配套的对外公关应急预案，并能在发生数据平安 事件时迅速启动。对内平安事件应急预案以快速识别问题弥 补缺陷为目标，对外公关应急预案以有效同执法机关和社会 媒体沟通并维护企业形象为目标。 要强调的是，个人信息保护和数据平安相关法律均属新 生事物，这就决定了企业信息数据刑事合规不会一蹴而就、 也不能生搬硬套。针对自己的行业和业务特点，每家企业需 要贴身制定符合自己特点的信息数据刑事合规体系，并且随 时跟踪法律执法的最新变化适时调整。这样的体系才能最有 效的保护企业和管理层的利益。 03涉刑的数据处理者之程序出罪路径 《刑法》根据违反数据平安的行为内容、行为模式等进 行了全面的规制，相应的罪名达十几个，数据处理者稍有不 慎就会面临承当刑责的风险，且近年来企业涉数据平安的刑 事案件也层出不穷。 自2020年3月起，最高人民检察院大力推动涉案企业 合规改革工作，先后发布了《关于开展企业合规改革试点工