人民检察 | 李鹏、吴舒敏:数据安全视角下企业刑事合规的检视与治理
党的二十大报告强调,要加快建设公正高效权威的社会主义司法制度,努力让人民群众在每一个司法案件中感受到公平正义。
司法实践没有止境,检察理论创新亦无止境。静夜冥思,捕捉灵感流光;以心作笔,共谱溢彩华章。“866学苑”专栏撷取全市理论研究之精品力作,以点及面,生动展示新时代杭州检察工作高质量发展的靓丽图景。
数据安全视角下
企业刑事合规的检视与治理
作 者
李鹏
杭州市人民检察院第一检察部副主任
四级高级检察官
吴舒敏
杭州市人民检察院第一检察部
检察官助理
本文发表于《人民检察》2023年4月上半月,第7期
摘 要:数据的广泛使用在促进数字经济快速发展的同时,也面临数据的收集、使用、存储、管理和流转风险,并滋生有关刑事法律风险。为维护数字安全,实现数据价值,应构建以预防数据安全风险为核心的数据安全治理新范式,企业刑事合规正是其中的关键治理手段。大数据背景下,我国企业刑事合规存在理念认识不够到位、专业监管能力不足、技术合规适用空白等问题。对此,可在维护数据安全为导向的新形势下,拓展和完善企业刑事合规,以开展企业数据刑事合规为要,探索实现法律与技术合规二元共治,持续优化涉案企业数据合规第三方监督评估机制,并落实企业数据合规刑行衔接。
关键词:数据安全 企业合规 数据合规 数据风险防范
2020年,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》指出,数据已经成为土地、劳动力、资本、技术之后的第五大生产要素。数据本身只是一种对信息的记录,表现为二进制当中的字节。但是通过算法的叠加进行数据的聚合与分析,能够勾勒出个人、社会乃至国家的基本轮廓,数据因而产生巨大的经济效益。在数据效益的驱动下,数据黑灰产业规模迅速扩张,非法收集个人信息、泄露个人信息等事件频发,数据的跨境流动甚至有可能危害国家安全。基于此,在党的十八大明确提出总体国家安全观、统筹传统安全和非传统安全的背景下,网络安全法、国务院《关键信息基础设施安全保护条例》、个人信息保护法、数据安全法、国家网信办《数据出境安全评估办法》等相关法律法规相继出台,将网络安全保护进一步拓展至个人信息以及数据安全的保护与治理。本文拟从数据安全角度出发,重塑大数据背景下企业数据刑事合规的新范式,以实现数据安全的防范与治理。
一
数据的刑事法律风险识别
在大数据时代,“一切都被记录,一切都被分析”的数据化,催生了数据安全风险。刑法设置了许多涉及数据的罪名,从数据的收集获取至数据经济价值的实现,涉及多个环节。数据的刑事风险主要包括五个方面。
(一)数据收集风险
在数据收集阶段,最大的风险就是违反个人信息收集的知情和同意原则对个人信息的过度收集和获取。数据收集风险的主要表现形式有违规私自收集、超范围收集、强制授权、不合理索取用户权限等等,如未经用户同意,自动开启用户定位收集地理位置,自动识别人脸、指纹、身份证号等与服务无关的功能。超范围、超授权收集公民个人信息达到一定数量,造成严重后果的,可能构成侵犯公民个人信息罪;利用“爬虫”等技术收集数据,并在此过程中控制计算机信息系统或者故意制作传播病毒控制计算机的,对计算机信息系统造成破坏,可能构成非法获取计算机信息系统数据、非法控制计算机信息系统罪,破坏计算机信息系统罪等罪名。
(二)数据使用风险
是否按照与用户事前约定的范围使用、是否按照数据等级进行保护和使用,是数据面临的又一风险。数据的使用风险表现为:一是未经用户同意,私自将设备识别信息、交易习惯、商品浏览记录、网页搜索记录等个人信息共享给第三方,以谋取利益;二是滥用数据分析,未经用户同意或授权,强制向用户使用定向推送、精准广告投放等功能,典型的如算法画像、大数据杀熟等,都是通过收集数据,利用一定的算法公式对个人消费习惯、使用习惯等展开具象分析,从而精准投放广告、定向推送,以实现企业盈利功能。企业对已持有的数据进行非法滥用,为他人实施信息网络犯罪活动提供数据处理服务的,可能构成帮助信息网络犯罪活动罪。
(三)数据存储风险
企业在收集获取数据后,负有基于网络安全法之规定所应履行的数据安全存储义务。数据的存储安全表现为将数据存储于安全的环境中,以及按约定或规定存储数据。一方面,数据是否存储安全,关系到企业的核心数据资源是否得到有效保护。若数据存储不安全,企业则可能面临数据泄露或被窃取的风险,影响数据的保密性、完整性和可用性,并极有可能被不法分子利用,滋生网络诈骗等上下游犯罪以及数据窃取黑灰产等问题。此外,由于云计算技术不断升级,数据权利主体和保管主体分离,大部分企业将数据存储在云服务上,数据的保护反而可能面临更大的风险。另一方面,企业是否按约定或规定存储数据,则体现为企业是否正确履行有关管理义务和约定义务。对于不按约定非法留存公民个人信息并存储数据的,则有可能构成侵犯公民个人信息罪,如浙江省杭州市西湖区某公司尽管事先与用户签订数据采集服务协议,明确承诺不会保存用户账号密码,但是在数据处理过程中,却擅自将其爬取的用户数据长期在某云上留存,该非法留存行为正是不按约定存储数据的具体行为表现。
(四)数据管理风险
随着数字经济的深化发展,越来越多的互联网企业拥有海量的数据,互联网企业尤其是大型互联网平台作为数字社会中的重要成员,本着“平台越大、责任越大”的原则,在获取经济红利的同时也必然承担相应的信息网络安全管理义务。如果怠于履行管理义务,经监管部门责令改正而拒不改正的,造成数据泄露等严重后果的,则有可能构成拒不履行信息网络安全管理义务罪。同时,由于互联网数据处于不断的交互交流当中,连接数据提供者和数据接受者,所以互联网企业对上下游第三方的数据也负担着一定的管理义务,如对第三方发布内容的审核、对第三方投放和发布的广告真实性的核实等等。如果没有履行对第三方的管理义务,并为第三方的违法犯罪活动提供便利和场所或提供技术支持,则有可能构成帮助信息网络犯罪活动罪。
(五)数据流转风险
在总体国家安全观的要求下,企业的数据安全不仅要满足其基本的商业竞争需要,还应当符合国家安全的需求。为了应对数据跨境流动带来的“数据主权”问题,美国在《外国公司问责法案》中明确要求在美上市的公司负有额外的信息披露义务,这些规定实质上是对其他国家的“数据主权”和国家安全的变相侵害。对于国家安全而言,政治、经济、外交等多方面的重要信息均可通过数据被收集存储,这些数据通过算法的解读和分析,有可能转变为影响国家安全的敏感信息。
二
数据安全视域下企业刑事合规的审视
企业合规作为企业经营中防范风险的重要途径,包括企业行政合规和刑事合规。刑事合规是指在司法机关和政府部门的政策激励和责任归咎下,企业以刑事法律标准制定并实行合规治理计划和措施,既包括企业基于自身经营需求,为规避刑事风险而开展的事前自我合规,也包括企业因涉案进入刑事诉讼,在司法机关(现阶段主要是检察机关)主导下开展的事后“补救”合规。目前,企业刑事合规的运行存在一些问题,难以适应数据时代的新形势和新变化。
(一)理念认识不够到位
在信息网络技术迅速发展的当下,传统的风险治理模式已经不能满足数据社会多重风险叠加的新需要,技术与伦理的矛盾愈发凸显,急需呼唤并重构一种新的风险防控和治理模式,企业合规因而进入大众视野。目前仍有观点认为,所谓的企业合规仅能在企业涉案后开展,事前的合规缺乏对合规成果的司法确认。另外,制定和实施合规计划的高额成本对中小企业是个难题,因此中小企业对合规的积极性不高,缺乏主动开展合规的动力。
(二)专业监管能力不足
现有的涉案企业合规第三方监督评估,只要合规计划以及合规完成情况符合有关法律法规规定即可。但在涉及互联网企业数据合规时,第三方监督评估是否能对数据合规监督、评估到位就显得格外重要。数据并不像信息,可以通过内容得以直观体现,其具有较强的技术性和隐蔽性。因此,数据合规因其技术性特征,与传统的以符合法律法规为要求的企业合规有着天然的壁垒,以会计师、律师、工商联代表为成员的涉案企业合规第三方监督评估组织难以达到企业数据合规中的专业性要求。同时,数据安全法对企业的数据分级分类保护、数据的出境管理、数据安全管理制度构建等义务作出了规定,而现有的第三方监督评估机制还无法“对症下药”,无法做到“面面俱到”。
(三)技术合规适用存在空白
“在网络社会,人们之所以遵守关键规则,并非源于社会制裁和国家制裁的压力,而是源于统治该空间的代码和架构。”因此,网络社会的治理,越来越表现为以代码为核心的治理方式,也就是通常所说的技术治理。技术治理与法律治理有一定区别,但又共同服务于网络社会的全链条治理。在数据为王的时代,亦应秉持技术向善、技术共治的治理原则,以技术化手段服务网络社会治理。但就目前的企业合规开展情况来看,在针对互联网企业的数据合规中,运用技术化的手段系统推进技术合规和法律合规还存在一定空白。一方面,数据的安全与合规具有较强的专业性,依靠人工审查监督需要花费大量的成本,实际效果也难以达到预期;另一方面,技术化的合规手段能够极大拓展法律合规的边界,推动企业自我完善技术性合规手段,增加企业的内生动力,进一步提高合规的效率。
三
基于数据安全的企业刑事合规范式重塑
2022年12月,中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》,让数据要素的获取、加工、流通、利用以及收益分配等行为有法可依、有规可循,为进一步做强做优做大数字经济提供了指导性原则。企业刑事合规作为防范企业刑事风险,推动企业“活下来”“留得住”的重要抓手,可谓恰逢其时。如何通过事前、事中、事后全链条的企业合规,实现数据的全流程保护与数据安全的防范与治理,是推动数字经济向前向好发展的“必答题”之一。
(一)推动开展企业数据合规
随着个人信息保护法、网络安全法、数据安全法相继颁布,以贯彻落实总体国家安全观,推动个人信息保护与数据安全的立法规制与保护格局已然形成。企业作为社会中的重要一员,其所具有的社会属性要求其应主动承担一定的社会治理责任,企业的“数据责任”因之产生,推动企业开展以数据安全为核心的企业数据刑事合规势在必行。企业数据刑事合规至少应包括以下几项内容:一是落实数据的分级分类。建立数据分类分级保护制度,根据数据安全法的规定,按照数据在经济社会发展中的重要程度,以及遭到泄露、破坏后对国家安全、公共利益或者个人、组织合法权益的危害程度,对数据实行分类分级保护,针对不同类别、级别的数据采取相应的保护措施。二是建立数据等级保护制度。按照网络安全关于数据等级保护的要求,加强数据传输网络、数据处理系统、数据存储环境等安全防护。利用互联网等信息网络开展数据处理活动的企业,应当在网络安全等级保护制度的基础上履行数据安全保护义务。三是统筹算法安全。强化科技伦理意识、安全意识和底线思维,明确算法安全的边界,引导算法应用公平公正。四是强化数据刑事法律风险识别。针对数据的收集、使用、存储、管理、流转等数据安全风险,建立风险评估机制,根据识别出的风险评估相关经营管理和业务活动是否合规。如企业应按照国家网信办等4部门印发的《常见类型移动互联网应用程序必要个人信息范围规定》收集个人信息,应根据数据安全法的规定履行数据安全保护义务,等等。
(二)实现法律、技术合规二元共治
在网络社会,技术的发展和进步使人们实现了一种独特的线上生活样态,网络社会的权力更加分散,传统的集权式的治理模式在网络空间愈发不适用。传统物理社会的法律治理手段,强调结果导向,注重行为对结果的控制。技术治理手段则更为强调事前控制和行为预防,并通过行使隐而不显而又无处不在的单向监视权力,来形成一种“全景敞视主义”的治理机制。在数字经济发展的过程中,技术治理手段逐渐成为治理者推动网络空间治理的重要手段,并随着数字化改革等撬动手段,将技术治理手段融入法律治理。技术研发虽为中立,但技术应用应遵循技术伦理、法律底线,以此引导“技术向善”。为进一步提升企业数据刑事合规智能化水平,在企业数据合规当中,应积极探索大数据、人工智能等技术的深度应用,推动技术治理和法律治理的二元共治,从而更为准确和及时地防范、监控、发现涉数据安全和企业刑事法律风险。具体而言,在指引企业开展数据合规的基础上,以科技赋能治理,联合研发企业数据合规自我评估平台,向企业提供数据合规基础评估服务。通过运用算法模型,自动生成包括风险量化评级、影响评估等在内的评估报告,为企业决策提供参考,极大提高企业数据合规工作效率和治理能力。
(三)持续优化第三方监督评估机制
考虑到互联网企业数据合规专业性要求较高,为确保涉案企业合规考察工作的正常开展和有效监督,应持续优化第三方监督评估机制,从计划、效果、评估等多方面进行完善。首先,在第三方组织的选任上,应扩大第三方考察团队的筛选范围。针对数据刑事合规的专业性,选任包括高校网络安全专家、资深刑事专业律师和工商联组织、市场监督管理部门、网信办资深专业人士,组成第三方考察团队,并根据各自专业特长分配监管任务。其次,应提高监管团队的专业监管能力。如在技术层面,由具有专门知识的网络安全专家实地查验企业服务器,确保技术手段的有效性和真实性,在打通监管团队与企业之间的技术鸿沟和壁垒的同时,有效提升多角度下合规监督与审查的专业化。再次,合规计划的审查应结合数据安全法等数据法律法规,更具针对性。改变传统的合规思维,以大数据眼光看待数据合规,以符合数据法律法规的要求推动企业数据合规。
(四)落实企业数据合规刑行衔接
检察机关对涉案企业作出合规不起诉决定后,有的企业受到行政处罚的罚款数额远远高于可能被判处的罚金数额,企业往往难以承受,合规积极性也会严重受损。因此,在开展企业数据合规时,设置行政合规与刑事合规的互认机制就显得尤为必要。企业合规作为一种行政监管措施和刑事激励措施,其本质均在于通过有关职能部门的监督和引导,促使企业的经营符合法律规定,即不论是行政合规还是刑事合规,都可以通过合规实现行政处罚或刑事处罚的从轻或减轻。若企业完成了刑事合规,因刑事法律相比行政法律具有更严厉的惩罚性,举重以明轻,也应考虑并确认其刑事合规的效果,避免给企业带来过重负担。
网络空间治理涉及方方面面,在构建以政府、企业、网民、行业组织等为主体的治理模式的同时,更要注重从前端防控网络安全风险。因此,在当前检察机关开展的涉案企业合规基础上,应拓展刑事合规的范围和边界,完善企业数据合规,从而更好为大数据时代的数字经济发展提质增效。
参考文献(向上滑动阅览)
1.周维明:《刑事合规视野下数据犯罪的治理路径》,载《西南政法大学学报》2022年第5期。
2.颜新华:《网络安全视阈下的数据合规:基本理论、问题审视与中国方案》,载《上海法学研究》集刊2021年第1卷。
3.杭州市西湖区人民法院刑事判决书,(2020)浙0106刑初437号。
4.石静霞、张舵:《跨境数据流动规制的国家安全问题》,载《广西社会科学》2018年第34期。
5.张勇:《数据安全刑事合规的滤罪模式》,载《学术论坛》2022年第3期。
6.[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2009 年版。
7.姜方炳:《制度嵌入与技术规训:实名制作为网络治理术及其限度》,载《浙江社会科学》2014年第 8期。
供稿 | 法律政策研究室
编辑 | 韩江