查看原文
其他

数据合规系列 | 蒋安杰:合规不是一套书面的计划,也不是做一套纸面的规章制度

The following article is from 法治日报 Author 蒋安杰

(感谢南开大学法学校友安尧题字)


中国人民法学刑事法律科学研究中心、北京市东卫律师事务所主办办的“数据合规高端论坛”在京举行。全国人大法工委经济室林一英,最高检第四检察厅俞启泳,北京大学法学院教授陈瑞华,中国人民大学法学院教授张新宝、刘品新,北京师范大学法学院教授张远煌,中国社会科学院法学所董坤研究员,中国人民公安大学法学院李玉华教授等发言。
此为《法治日报》全媒体记者蒋安杰老师的学术报道,发表于《法治日报》2019年9月29日。感谢“法治日报”公众号授权推送此文。

近年来,随着大数据、云计算、移动互联网的不断发展,特别是大数据与5G、人工智能、区块链等新一代信息技术的融合发展日益紧密,数据种类日益增多,数据规模急剧增长,数据合规越来越受到社会各界的普遍关注和立法部门的普遍重视。9月25日,由中国人民大学刑事法律科学研究中心、北京市东卫律师事务所共同举办的“数据合规高端论坛”在京举行,来自学术界、实务界近60位代表与会。全国人大法工委经济法室林一英,最高检第四检察厅俞启泳,北京大学法学院教授陈瑞华,中国人民大学法学院教授张新宝、刘品新,北京师范大学法学院教授张远煌等分别作主题演讲。


  中国人民大学刑事法律科学研究中心主任时延安和北京市东卫律师事务所主任郝春莉分别代表主办方致辞。时延安表示,对数据安全的维护,首先就要认识到数据对于当前政治、经济、社会的重要意义。对数据重要性的理解,可以从两方面来认识:一是,数据的生产资料化;二是,数据的资产化。围绕数据的享有、处理形成了一个综合法益,其中包括安全、社会秩序以及个人利益。因而,对数据安全的维护,也必须依靠多个法律来实现,包括数据安全法、个人信息保护法、网络安全法,也包括民法、刑法,乃至宪法。从企业经营来讲,维护数据安全就要大大加强合规建设,而且要形成一个综合性、结构化的体系,不能仅向数据安全法看齐,而是要向多个法律看齐。在合规计划制定上,不仅要考虑和用户的关系,更要将政治安全、经济安全、社会安全等因素考虑进去,尤其是网络服务提供者,要切实充分考虑数据安全所具有的多面性、多层性,要充分考虑到数据处理当中的各种风险,进而通过合规建设防范风险于未然。
  郝春莉表示,继民法典、网络安全法、电子商务法颁布以来,今年6月10日、8月20日又相继通过了数据安全法、个人信息保护法,下一步还会有更多数据合规的法律法规陆续出台。与当前日益趋紧的措施和法律法规不相适应的是,目前国内一些企业在收集和使用用户个人信息方面,还存在着惯性的商业逻辑和商业思维,很多做法与现在的法律法规相违背。数字经济时代在智能+的产业数字化转型中,数据合规势必成为维护产业平稳健康发展,保障公司商业利益和正常运营的重要基石。我们举办数据合规高端论坛,就是为了凝聚包括立法、司法、理论、企业、律师等社会各界力量,强化数据合规理论与实务研究,完善数据合规的建设以及开拓数据合规法律研究和法律服务的新蓝海。

数据合规治理的重要性


  林一英从立法背景和意义、法律定位以及涉及合规要点的主要制度介绍了个人信息保护法(以下简称《个保法》)的基本情况。在数字经济背景下,《个保法》的出台不但有利于促进数据经济健康持续的发展,维护人民群众在网络空间的合法权益,还标志着我国法律制度逐步走向体系化、专门化和系统化,并为国际数字治理贡献出“中国方案”。她认为,《个保法》对规范个人信息的处理行为不同于民法的人格权保护制度,其主要采取了公法与私法兼顾的综合性保护手段,而且主要进行事前预防的保护。因此,《个保法》是我国在网络空间和数字经济领域重要的一个综合性法律。

  张新宝从数据合规的角度介绍了数据合规治理的重要性、完善个人信息权益保护的措施及加强企业合规治理的内部建设等内容。
  张新宝认为,数据合规包括数据安全、数据监管、数据存储等物理层面的安全问题,也包括个人信息处理的各个环节。因此,在现有的数据合规法律基本框架下,如何落实和实施法律法规,是未来数据合规治理的努力方向。个人信息保护合规是数据合规治理的重要组成部分,对个人信息保护合规应当进一步加强制度规范供给。例如,对个人信息实行分类合规治理,将个人信息分为一般、敏感以及私密三个等级,并强化对敏感信息和私密信息的保护。同时,对个人信息处理者进行分类施策。
  张新宝以超大网络平台个人信息合规为例,结合《个保法》第五十八条规定,提出了几点思考:一是如何鉴定大型平台;二是关于“成立主要由外部成员组成的独立机构”的问题;三是如何明确平台规则的制定标准;四是适用停止服务的问题。
  张新宝建议,企业内应当设立专人进行数据合规工作,对企业法务部门的职能进行调整,还要建立相关的规章制度,制定处理个人信息的规则。数据合规作为法律服务的一个新领域,还应加强律师的合规培训,学界也应加强相关研究。

数据合规研究需要注意的四个问题


陈瑞华指出,在研究数据合规时,有四个问题应当重点关注:第一,企业数据合规的价值。为企业在市场竞争中提供诚信度背书;将企业责任与员工责任、上下游企业责任进行有效切割;最大限度预防行政违规与刑事犯罪危险。第二,网络安全法、数据安全法、个人信息保护法中包含的合规义务。他认为,重要数据处理者应当定期进行风险评估;个人信息处理者应当定期对处理的个人信息遵守法律、行政法规的情况进行合规审计;企业应当在发生网络、数据、个人信息安全事件时,立即采取补救措施,并通知有关行政部门和可能受影响的个人。第三,数据合规的两种模式。危机发生前的日常性合规体系,即数据风险评估与预防;危机发生后的合规整改体系,即通过合规整改换取宽大处理。第四,合规与危机处理的关系。陈瑞华认为,企业面临的最严重的危机是行政处罚和刑事追责;合规整改方案是要解决问题,纠正错误,填补制度漏洞,完善治理结构,改变经营模式;合规整改方案的本质就是防止再次发生类似的行政违法行为和刑事犯罪行为。
  陈瑞华表示,不管是日常合规管理体系,还是合规整改体系,根本目的是要预防违规、预防再次发生违规和违法犯罪活动,合规不是做一套书面的计划,也不是做一套纸面的规章制度,而是要把合规的管理模式、体系、整改方案有效运行起来,有效地识别违规行为,预防数据领域的违法行为,监控整个公司的运营情况,一旦发生危机能进行自我处理和有效的监管。
  张远煌指出,合规的本质是防控违法犯罪风险。企业合规需要打破传统部门法之间的界限,形成从违规、违法到犯罪预防的整体性合规思维。张远煌着重从犯罪预防角度分析了数据合规对企业的影响以及企业如何做到有效合规。
  他说,当前数据合规的外部规制主要体现在三个方面:一是非刑事领域出台了网络安全法、数据安全法以及个人信息保护法等专门立法;二是刑事领域原本就有关于个人信息和网络信息保护的规定;三是最高人民检察院开始启动具有刑事司法性质的企业合规改革试点,意味着作为企业合规高端形态的刑事合规已经现实呈现,对企业合规提出了更高要求。当前,数据安全问题不仅涉及公民个人的基本权利,更关系到数字经济的健康发展,也涉及国家的整体安全。为此,数据合规正在经历重要转型:一方面,在规制体系上,对企业的外部管理要向企业内部的自我监督转移,使国家外部监督与企业自我监管形成合力;另一方面,在规制力度上,企业合规要从民事、行政规制向刑事规则升级发展,制度化、机制化地贯彻“惩罚并举,预防为主”方针,实现企业违法犯罪的源头治理。
  张远煌认为,有效合规是当前最紧迫的问题。他提出了评价企业有效合规的三条实质性标准建议:一是企业制定的合规计划应当具有特定的针对性。合规计划必须是基于企业的规模和实际面临的合规风险建立起来的,而不是照搬法律规定或通用合规指南;二是企业内部的合规监管机构应当具有独立性与充分的资源配置;三是对发现的违法违规行为及时妥当地处置。企业要用证据和实际行动表明,只要企业成员在企业运行过程中实施了违规行为、不论其层级如何,都予以了一视同仁的处理。这是判断企业是否在着力倡导合规文化的重要标志。

数据刑事合规方案应当采取“三线”标准


  刘品新认为,数据刑事合规的研究既有理论问题,也有实务问题。为什么要进行数据合规?在刘品新看来,不仅因为我们正处在大数据时代,数据合规与个人信息保护、国家安全紧密相关,还因为在涉数据犯罪案件中,如果提出数据合规整改,就可能形成一个真正意义上的“认罪”,可能会争取到刑法上的缓刑或者其他的从宽效果。
  数据刑事合规是什么?简单来讲,数据刑事合规与行政合规、民事合规最明显的区别在于它会产生刑事责任减免的效果,是“皇冠”意义上的数据合规。
数据刑事合规应采取怎样的标准?刘品新认为,检察机关验收数据刑事合规整改应当采取相对主义的标准:一是对象相对,合规的对象不是一个罪名,也不是全部罪名,而是数据具体业态涉及一系列关联罪名;二是合规结果相对,不要简单地追求合规后绝对不再犯罪,而是要审查有关平台进行数据刑事合规整改力度是否足以预见其涉嫌犯罪的罪量、可能性等现有风险。
  第三方组织等主体提出数据刑事合规方案应当采取反向标准:作为第三方组织或者律师介入数据合规时,不能告知当事人这样做可以不犯罪,而要告知其某种做法可能触犯哪几个罪名及构罪的可能性。

  数据平台等主体制定数据刑事合规方案应当采取“三线”标准。第一是以刑法、司法解释等规范中刑事责任条款为红线,梳理具体业务涉及哪些罪名,做重点防范;第二是以触犯数据安全法三大法律、行政处罚条款或者其他的行政法规为黄线,梳理可能因情节严重便构成犯罪的数据违规情节,谨慎避免;第三是绿线,是指民事法规、技术规范或者行业标准里面完全允许的数据行为。
  这个“三线”标准是动态标准。考虑到我国这方面的法律、技术、规范在不断演变,建议至少每年要对有关标准进行一次更新。
  俞启泳介绍,数据安全问题日益凸显,严重影响着数字经济发展和个人信息保护。特别是互联网垄断和不正当竞争问题日益突出,数字经济发展面临新风险。检察办案环节反映出,近年来,数字经济竞争愈发激烈,网络制假售假、虚假广告、流量劫持、刷单炒信、大数据杀熟、“二选一”等新型违法犯罪大量滋生,平台内部贪腐案件多发,严重影响行业生态,侵蚀公众数据安全,成为平台治理新问题。在数据垄断方面,平台企业独占海量数据,其中,不仅有合法取得的商业数据,也有处于灰色地带的越界索权、过度收集信息,涉及侵犯公民个人信息问题,成为平台垄断的重要根源。在算法垄断上,平台确立以企业利益为中心的算法规则,由于这些规则不透明不公开且技术性强,形成“算法黑箱”,对其监管和违法调查存在困境。在资本垄断上,头部企业规模过大、横纵跨越、树立壁垒,已引起社会对资本无序扩张的关注。
  俞启泳表示,2020年11月,最高检向工信部制发“六号检察建议”,围绕网络黑灰产业链条整治、App违法违规收集个人信息、未成年人网络保护等问题提出治理建议。当前,涉案企业合规改革试点还处在起步期、培育期,需要我们勇于尝试、大胆创新,推动建立现代企业规制司法制度的“中国方案”。
  据悉,论坛上,围绕着“数据安全风险的一般问题”“数据处理中的风险点”“数据安全犯罪问题”“数据安全合规领域的主要问题”为内容的圆桌研讨同时进行。
作者|法治日报全媒体记者 蒋安杰来源|法治日报编辑|渠洋 朱婵婵 罗琪

以下点击可读:

《数据安全法》立法组专家支振锋:警惕财务系统成为数据安全风险口

王兆峰、高洁、孙坤铭、刘妍妍:《数据安全法》的多维、专业、细分解读

王兆峰:从民营企业视角看刑事合规的作业路径

小包公“企业合规大师”新增八大智慧功能 | “小包公”产品矩阵新成员

刑事合规与民事诉讼法修正研讨 | 天津诉讼法2021年年会

合规系列 | 杨含青:康美药业案—上市公司刑事合规风险知多少?

合规系列 | 毛立新:合规不起诉制度构建与律师的作为

新媒首发 | 谢登科、张赫:论刑事合规不起诉中的检察建议——以高检院81号指导性案例为视角

合规真实案例 | 云安团队对某地产公司刑事风险控防

合规系列 | 陈文海:经济纠纷还是合同诈骗?—从一起成功无罪辩护看刑事合规

合规系列 | 宋雷昌等:企业家如何避免“牢狱之灾”——企业刑事合规与危机管控

高显嵩、李敦、朱桐辉:《个人信息保护法》与《汽车数据规定》中的关键技术与规则 | 电子证据与网络法讲坛第四期

冯聪:智能汽车、后视镜的数据取证及车载互联系统的安全管控

刘品新、唐超琰 | 穿透式取证:涉众型经济犯罪的法律应对

蒋安杰:合规不是做一套书面的计划   也不是做一套纸面的规章制度

编辑 | 南开大学法学院副教授、北京赛博威锋司法鉴定(电子数据鉴定)中心顾问,朱桐辉

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存