知而慎行,防患于先——从首起数据合规不起诉案论数据合规体系价值与构建
///
本文结合国内首起数据合规不起诉案,介绍了合规不起诉制度在我国数据合规领域的适用情形和具体程序,据此重塑了数据合规体系的价值并提出合规建议。
作者:陈际红 陈煜烺
序言
日前,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况,打响了我国在数据领域“合规不起诉”的第一枪。在大数据时代,企业数据合规治理已成为近年来主管部门监管的重点,本案作为数据合规治理与合规不起诉制度的首次交集,意味着我国合规不起诉制度将正式适用于数据合规领域。可以预见,企业建立数据合规治理体系,保障数据业务合规运行,将不再是控制底线合规风险基础上的锦上添花,而将成为规避自身涉刑风险所势在必行的路径。
一.
关于合规不起诉制度
(一)什么是合规不起诉?
2021年4月,最高人民检察院下发《关于开展企业合规改革试点工作方案》(以下简称“《工作方案》”),明确开展企业合规改革试点工作:检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌的具体犯罪,为企业设置考察期限,督促涉案企业作出合规承诺并积极整改落实。由此,“合规不起诉”即当涉案企业作出合规承诺并积极整改落实后,检察机关可据此作出不批准逮捕、不起诉决定或提出轻缓量刑建议。
“合规不起诉”的理念源起于美国的暂缓起诉协议(Deferred Prosecution Agreement,DPA)与不起诉协议(Non-Prosecution Agreement,NPA)制度。前述制度的适用领域包括侵犯公民个人信息等新型数据犯罪案件。在Epsilon案[1]中,因将所掌握的3000多万美国民众的数据出售给欺诈组织,Epsilon公司受到刑事指控。此后,Epsilon与当地检察机关及美国司法部就该指控达成DPA,并通过对完善公司内部数据合规举措作出承诺,积极开展整改,定期向司法当局提交公司数据合规整改报告等方式,最终避免了被定罪量刑的不利后果。
随着改革试点工作的稳步推进,“合规不起诉”在我国的实践适用领域也从经济犯罪扩展至网络数据犯罪。在首起“数据合规不起诉”案中,网络科技领域的Z公司的首席技术官和多名技术人员于2019年至2020年期间,在未经授权许可的情况下,通过网络爬虫等技术手段,非法获取某外卖平台数据,造成其直接经济损失4万余元,涉嫌非法获取计算机信息系统数据罪。涉案公司最终通过完成合规整改的方式获得了检察机关的不起诉决定。该案作为最高检指导下培育的数据合规典型案例,为数字化转型背景下我国企业“数据合规不起诉”的实践适用拉开序幕。
(二)何种情形下适用合规不起诉?
1、主体
目前《工作方案》等文件中未明确“合规不起诉”适用的主体范围,参考与合规不起诉制度密切相关的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称“《指导意见》”)第三条[2]规定,第三方机制既适用于公司、企业等实施的单位犯罪案件,也适用于公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。
据此,从目前的制度安排上看,我们倾向于理解我国合规不起诉制度将同时适用于单位主体与个人主体。就数据保护领域而言,企业的数字产品的开发、运营和管理人员,乃至个人信息保护负责人等责任主体或可适用合规不起诉制度以最大程度规避自身刑事风险。
2、适用条件
结合相关规定[3]及现有实践[4],适用合规不起诉的案件以轻罪居多,但也不排除个别案件中直接责任人员可能判处三年有期徒刑以上刑罚。据此,结合有关规定[5],我们总结了“合规不起诉”常见的适用条件及排除适用条件。请见下表:
点击可查看大图
3、数据合规领域相关的罪名
我们梳理了数据合规领域常见刑事风险高发场景以及涉及罪名如下表。
点击可查看大图
二.
企业当如何应对数据合规不起诉程序
(一)合规不起诉程序的启动
根据《工作方案》《指导意见》等相关规定,合规不起诉制度应由检察机关依职权或依申请启动。[15]依申请启动,即涉案企业、个人及其辩护人、诉讼代理人或者其他相关单位、人员提出适用企业合规试点以及第三方机制申请的,人民检察院应当依法受理并进行审查。依职权启动,即人民检察院主动审查所办理的涉企犯罪案件是否符合企业合规试点适用条件,经审查符合条件的,启动合规试点。
在首例数据合规不起诉案中,Z公司在案发后即向普陀区检察院提出了合规不起诉申请。随后,检察机关综合本案爬取数据未涉及身份认证信息,无二次兜售牟利行为,犯罪情节及主观恶性等情况,并综合考虑涉案单位为成长型科创企业、直接责任人认罪认罚并积极赔偿等事实,经审查认定可依法启动涉案企业合规考察,进而启动相应合规不起诉程序。
就申请及审查时间层面,本案尚未披露Z公司提出申请以及检察院开展审查的具体时间节点,《工作方案》等文件中同样未明确合规不起诉程序的启动时间。参考部分地方立法,例如辽宁省在《合规考察制度意见》第八条即明确规定,检察机关应当自犯罪案件移送审查起诉之日起30日内,决定对是否适用合规考察制度进行审查。
(二)合规审查与检察建议
合规不起诉制度的根本目的在于通过企业合规,常态化降低刑事犯罪风险。数据合规风险具有系统性的特征,虽可通过快速整改(Quick Win)以规避特定合规风险,但就数据风险防范而言,则应建立整体性的数据合规体系。据此,如企业因数据合规问题遭遇刑事风险而欲寻求适用合规不起诉制度,则应在自身合规承诺中同时涵盖在整改期内解决特定问题(Quick Win)及在整改期后及时搭建整体数据合规体系。
本案中,在Z公司提出申请后,普陀区检察院实地走访Z公司以查看经营现状、会同监管部门研商Z公司运营情况后,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议,指导Z公司作出合规承诺。具体而言,检察机关提出了合规建议的三大举措:
第一,构建数据合规管理体系,设置专门的数据合规管理部门,特别针对数据来源合法性,制定并不断完善数据合规计划;
第二,提高数据合规风险识别、应对能力,规范技术汇报审批流程,建立技术应用合规评估制度;
第三,稳健数据合规运行,建立数据合规咨询机制与数据不合规发现机制,建立数据分级分类管理制度及员工数据安全管理制度,填补制度空白。
(三)合规整改
本案中Z公司涉及通过爬虫技术非法获取平台数据,构成数据源不合法的问题。结合检察建议,Z公司围绕管理措施、技术措施、制度进行自查整改,包括彻底销毁相关“爬虫”程序及源代码,对非法获取的涉案数据进行无害化处理,同时,与相关平台签订数据处理协议,同多家大型互联网企业达成数据合作以搭建合法第三方数据获取的机制,助力后续业务的合规平稳开展。
就合规整改期限而言,从案件时间线[16]来看,检察机关为Z公司设定的合规整改期限不少于5个月。我们理解,与多数经济类犯罪涉及的合规整改不同,就数据合规而言,往往可能涉及企业制度体系的完善、管理架构的调整及业务模式的巨变,整改难度较大、耗时较长,进而需具备成熟数据合规经验的专业团队介入。本案中,Z公司在整改开始之际即聘请法律顾问团队,通过引入专业意见,制定了针对性且行之有效的数据合规整改计划,从而使得Z公司可以在整改期内顺利根据承诺推进对涉案数据合规问题的整改。
结合目前的实践情况,多数合规不起诉案例整改期限在半年之内,部分案件整改期限更是在3个月内。[17]可见,如企业因面临刑事风险而启动合规不起诉程序时完全从零开始整改,恐面临较大整改难度和压力。据此,提前搭建数据合规体系不仅可有效防范企业触发刑事风险,亦可帮助企业在启动合规不起诉程序后于有限的整改期限内及时完成整改。
(四)第三方监督评估(如有)
本案中Z公司在收到检察建议并开展合规整改过程中,依法申请启动第三方监督评估机制(以下简称“第三方机制”),根据《指导意见》第10条,第三方机制的启动应由涉案主体提出申请,并由检察院予以审查。如经审查符合条件的,可商请本地区第三方机制管委会启动第三方机制。同时,第三方组织应由专业人员组成。本案涉及“网络爬虫”等数据合规专业领域,因此,检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成第三方组织。
值得注意,启动第三方机制并非合规不起诉程序的必需阶段,《涉案企业合规建设、评估和审查办法(试行)》(以下简称“《办法》”)总则部分明确提出:“针对未启动第三方机制的小微企业合规,可以由人民检察院对其提交的合规计划和整改报告进行审查。”
具体而言,第三方机制的适用程序如下图:
点击可查看大图
6月14日,企业合规第三方监督评估工作推进会召开。会上,最高检党组副书记童建明明确,开展涉案企业合规改革试点,“必须紧紧依靠第三方机制”,再次强调了第三方机制在“合规不起诉”程序中的重要性。随着全国工商联、最高检等十三部门共同启动的企业合规第三方监督评估信息化服务平台的运行,可以预见,第三方介入于“合规不起诉”程序将更加常态化与专业化。
(五)公开听证(如有)与不起诉决定
根据相关规定[18],对于拟作不批准逮捕、不起诉、变更强制措施等决定的涉企犯罪案件,可以召开听证会。本案中,第三方组织评定合规整改合格后,检察院组织进行公开审查听证。经评议,参与听证各方认为涉案单位数据合规整改到位,一致同意对涉案单位及人员作出不起诉决定。
关于整改有效性的判断,《办法》第三章具体提出了如下评估指标:
(一)对涉案合规风险的有效识别、控制;
(二)对违规违法行为的及时处置;
(三)合规管理机构或人员配置的合理配置;
(四)合规管理制度机制建立及人力物力的充分保障;
(五)监测、举报、调查、处理机制及合规绩效评价机制的正常运行;
(六)持续整改机制与合规文化的基本形成。
可见,各方作出不起诉决定时,不仅着眼于涉案犯罪行为风险的化解,也同时关注持续合规部署及风险防范。本案中,Z公司亦在听证会上作出了“将合规整改动态化、常态化落实到日常管理中”的合规承诺。
三.
以数据合规不起诉案看企业数据合规体系的价值
(一)应用领域的范围:经济犯罪或全面铺开?
2021年3月,最高检启动第二期企业合规改革试点工作,将“合规不起诉”制度应用范围从第一期试点时的涉企“经营类犯罪案件”扩至涉企“刑事案件”,从既往试点单位公布的典型案例上看,“合规不起诉”的实践应用已从经济类犯罪拓宽至环境类犯罪,而本次首例“数据合规不起诉”案则意味着将进一步拓展至数据合规领域。我们理解,这一拓展不仅印证企业“合规不起诉”的应用领域正全面铺开,同时也彰显数字经济时代构建数据合规体系对于帮助涉案企业“起死回生”的特殊意义。
(二)适用主体的边界:DPO等或可适用合规不起诉?
目前,《刑法》对大部分网络数据领域可能涉及罪名均明确规定了单位的刑事责任与个人的刑事责任(即双罚制),其中“个人”通常指直接负责的主管人员和其他直接责任人员,而在数据合规领域则进一步可能包括业务负责人,乃至数据安全负责人、个人信息保护负责人等(以下统称为“负责人”)。
如前所述,我国合规不起诉制度同时适用于企业与个人。据此,就网络数据领域,考虑到《数据安全法》《个人信息保护法》均对企业提出了设定相应负责人的合规要求,实践中,依法应承担数据合规监管责任、甚至刑事责任也一直是此等负责人的痛点,我们理解,通过引入合规不起诉制度,或可成为企业DPO(数据保护官)等负责人自我保护的有力武器。
(三)制度价值的实现:小微企业或中大型企业?
如涉案企业进入“合规不起诉”程序,作为中大型企业,因其具有合规部门、法务部门等更为完善的组织架构,且通常已具备一定数据保护制度基础,故而在落实检察机关的数据合规整改要求、建立健全企业数据合规体系等问题上更具先决优势,也可助力企业快速度过整改期。
相比中大型企业,实践中,小微企业可能存在欠缺数据合规意识,组织架构、制度流程设计等同法定要求存在较大数据合规差距等问题,对数据合规体系的搭建往往需从零开始,从而使得小微企业在短期内完成数据合规整改以实现不被起诉目标的存在一定难度。
据此,我们理解,“合规不起诉”制度对于中大型企业,尤其是已建立一定数据合规管理体系的企业而言将更具适用价值。对于小微企业而言,也可通过提前建设必要的数据合规管理机制,以在事前(防范)和事后(适用合规不起诉制度)最大程度规避刑事风险。
(四)数据合规的开展:锦上添花或势在必行?
近年来,无论是数据主体行权意识的觉醒,还是监管态势的趋严,均凸显了企业数据合规议题的重要价值。对企业而言,首例数据“合规不起诉”案件的公布,是警示亦是动力。
本案企业因违法使用爬虫技术而触发刑事程序,警示企业“数据”不再仅是“红利”,而是“双刃剑”。数据既可以作为新的生产要素成为企业的核心竞争力,同时在企业对数据合规义务予以漠视,越过刑事犯罪的边界时,其亦可能给企业带来“经营生命终结”的风险。
同时,本案也可成为企业积极建设数据合规体系的动力。一方面,企业可通过提前部署数据合规工具,设定数据合规管理架构,建立数据合规制度,从而提前防范刑事风险;另一方面,如确已进入刑事程序,可通过“合规不起诉”制度配合检察机关积极开展数据合规整改,继而扭转局势,使企业得以转危为安,延续经营。据此,我们理解,企业开展系统的数据合规治理,将不再是控制底线合规风险基础上的锦上添花,而将成为规避自身涉刑风险所势在必行的路径。
四.
合规建议:以风险防控为导向开展数据合规治理
如前述,企业开展数据合规治理已成为数据时代下势在必行的路径。据此,我们建议企业以风险防控为导向开展数据合规工作,在面临刑事风险可能时,通过如下两大方面、四个步骤开展数据合规工作,增强“合规不起诉”程序的适用可能性,助力在有限的整改期内开展合规整改,以实现不被起诉之目的。
(一)组建数据合规团队,开展高危风险针对性整改(Quick-Win)
如企业意识到有可能面临数据安全事件或面临刑事风险,应当及时引入外部数据合规律师等专业第三方,与法务/合规部门、IT等部门成员共同组成专门的数据合规整改团队,针对可能引发数据安全事件或刑事风险的高危数据处理活动制定针对性合规计划,推进整改。针对性合规计划应当有所侧重,在短期内优先攻克监管关注、直接面向C端用户的高风险项。
(二)全面开展差距分析,建立长效数据合规治理机制
1、全面梳理数据资产清单,开展尽职调查与差距分析
企业应由点及面,在数据合规律师等专业第三方协助下,就各业务、产品涉及信息系统、数据处理情况、业务流程,既有数据业务资质、制度与流程,与第三方数据交互情况及第三方的合规管理情况等开展全面尽职调查;并对标普适性及行业特殊法律法规、标准等,从数据安全、个人信息安全的角度,开展合规差距分析,全方位识别数据合规风险与合规差距。
2、健全数据合规管理体系,提高数据合规风险识别能力
企业可综合考量违法后果、执法趋势、行业实践、公司现状等因素,结合数据合规风险识别与合规差距分析结果,制定相应整改方案,通过业务、法务、技术人员的配合,完善内部制度、组织与技术措施,健全数据合规体系,避免触发刑事风险。
同时,企业可考虑引入PbD等数据合规工具,将数据合规要求融入产品设计源头,就高风险场景及时进行个人信息安全影响评估,并确保监测、举报、调查、处理机制及合规绩效评价机制的正常运行,以不断提升数据合规风险识别能力。
3、定期开展数据合规审计,持续提升数据合规意识
数据合规审计报告不仅可帮助企业了解自身数据合规情况,同时亦可作为向检察院及第三方组织证明自身合规程度的证明文件。企业应当定期开展数据合规审计,不断发现问题、解决问题。同时,还应加强人员培训,不断提高员工的数据合规意识,并在业务中嵌入合规流程、落实合规要求,结合外部监管要求和自身需求动态优化合规体系与合规实践。
[注]
[1] See https://www.justice.gov/opa/press-release/file/1360886/download.
[2] 《指导意见》第三条 第三方机制适用于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,既包括公司、企业等实施的单位犯罪案件,也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。
[3] 《关于建立涉罪企业合规考察制度的意见》第六条第一款第(三)项:对涉罪企业适用合规考察制度的案件应当同时符合下列条件:(三)直接负责的主管人员和其他直接责任人员依法可能被判处三年以下有期徒刑、拘役、管制或单处罚金;《指导意见》第五条第一款第(四)项:对于具有下列情形之一的涉企犯罪案件,不适用企业合规试点以及第三方机制:(四)涉嫌危害国家安全犯罪、恐怖活动犯罪的。
[4] 例如,在最高检发布的两批(共10例)企业合规改革试点典型案例中,涉罪法定刑期以3年以下(4例)与3-7年(3例)案例为主,兼有1例法定刑3-10年案例、1例法定刑10年以上案例和1例未明确法定刑案例。
[5] 具体包括《工作方案》《指导意见》《<关于建立涉案企业合规第三方监督评估机制的指导意见(试行)>实施细则》《涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)》以及各地出台的“合规不起诉”有关规定。
[6] 参见(2018)川3424刑初169号刑事判决书。
[7] 参见(2017)京0108刑初2384号刑事判决书。
[8] 参见(2019)粤0305刑初193号刑事判决书。
[9] 参见(2020)湘0981刑初77号刑事判决书。
[10] 参见https://mp.weixin.qq.com/s/cVJ53U1RTM7vFZrau81l5Q。
[11] 参见(2020)京0108刑初237号刑事判决书。
[12] 参见(2019)川05刑终41号刑事裁定书。
[13] 参见(2020)云0103刑初1206号刑事判决书。
[14] 参见最高人民检察院第三十四批指导性案例检例第140号。
[15] 《指导意见》第十条第一款:人民检察院在办理涉企犯罪案件时,应当注意审查是否符合企业合规试点以及第三方机制的适用条件,并及时征询涉案企业、个人的意见。涉案企业、个人及其辩护人、诉讼代理人或者其他相关单位、人员提出适用企业合规试点以及第三方机制申请的,人民检察院应当依法受理并进行审查。
[16] 本案中,Z公司于2021年8月收到检察院制发的合规检察建议,2021年10月第三方监督评估开始;2022年1月,企业向检察院进行中期整改汇报;2022年初,Z公司经第三方监督评估合格。
[17] 例如,在最高检发布的两批(共10例)企业合规改革试点典型案例中,有7个案例公示了合规整改期限,其中“深圳X公司走私普通货物案”整改期为12个月;“上海J公司、朱某某假冒注册商标案”整改期为5个月;“海南文昌市S公司、翁某某掩饰、隐瞒犯罪所得案”整改期为4个月;“张家港市L公司、张某甲等人污染环境案”“张家港S公司、雎某某销售假冒注册商标的商品案”“随州市Z公司康某某等人重大责任事故案”“山东沂南县Y公司、姚某明等人串通投标案”等4个案例整改期均为3个月。
[18] 《指导意见》第十五条:人民检察院对于拟作不批准逮捕、不起诉、变更强制措施等决定的涉企犯罪案件,可以根据《人民检察院审查案件听证工作规定》召开听证会,并邀请第三方组织组成人员到会发表意见。
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
陈煜烺
北京办公室 知识产权部
*林婉琪、郭斯文对本文亦有贡献。
作者往期文章推荐
《关于<个人信息跨境处理活动安全认证规范>十三个焦点问题的理解》
《数据安全,国之重器——《数据安全法》第三十六条的适用与合规应对》
《算法推荐新规生效:五大视角厘清算法治理新格局》
《<网络安全审查办法>尘埃落定,境外上市影响几何(下)》
《<网络安全审查办法>尘埃落定,境外上市影响几何(上)》
《网络安全与数据保护2021年度法律观察》
《关于《网络数据安全管理条例(征求意见稿)》的三十四个核心问题(下)》
《关于<网络数据安全管理条例(征求意见稿)>的三十四个核心问题(上)》
《IDC产业链全解析(四):互联网数据中心的数据安全保护义务》
《<个人信息保护法>正式生效,我们聊聊合规落地中的“五六七”》
《网络空间治理升级——从数据治理迈向算法治理》
《<个人信息保护法>正式稿与二审稿对比》
《全景解构<个人信息保护法>,助力企业进入中国个人信息保护新纪元》
《明晰人脸识别案件司法裁判规则,推动AI行业规范发展——最高院人脸识别司法解释解读》
《激活网络安全审查制度 筑牢数据安全防火墙—— <网络安全审查办法(修订草案征求意见稿)>评析》
《欧盟个人数据传输的两项新工具(SCCs):历史演变、法律影响和应对策略》
《九万里风鹏正举:<数据安全法>已来,企业当如何乘风?》
《汽车数据强监管时代开启:<汽车数据安全管理若干规定>(征求意见稿)评析》
《天之未雨 绸缪牖户:企业如何实施个人信息安全影响评估?》
《简评<网络直播营销管理办法(试行)>》
《健康医疗企业IPO数据合规重点问题与应对(下)》
《健康医疗企业IPO数据合规重点问题与应对(上)》
《解读<网络交易监督管理办法>》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。