从“首例数据合规不起诉案”看企业数据合规风险防控
欢迎点击上方 TMT法律论坛 关注我们
导读
Law
★
NEWS
★
日前,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况。
我们梳理了合规不起诉制度的规定及合规不起诉制度在本案中的运用,并结合前述梳理与本案中检察机关对于企业数据合规的建议,提出企业防控数据合规风险的建议,供企业参考。
一、
合规不起诉制度
2020年3月起,最高检在上海、江苏、山东、广东等地开展企业合规改革试点工作;2021年4月,最高检下发《关于开展企业合规改革试点工作的方案》(以下简称“《方案》”),正式在北京、辽宁、上海、江苏、浙江、福建、山东、湖北、湖南、广东等十个省(直辖市)启动第二期企业合规改革试点工作。
《方案》明确开展企业合规改革试点工作,检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业作出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪,实现司法办案政治效果、法律效果、社会效果的有机统一。
据此,企业合规改革试点工作实际上包括“合规不批捕”“合规不起诉”“合规从宽量刑建议”“合规从宽处罚建议(行政处罚建议)”等(为便于行文,以下统称为“合规不起诉”)。
(一)相关规定
最高人民检察院、司法部、财政部等于2021年6月发布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》,就合规不起诉制度进行了规定。
2021年11月,最高人民检察院等九部门联合发布《<关于建立涉案企业合规第三方监督评估机制的指导意见(试行)>实施细则》和《涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)》,与2022年4月召开的全国检察机关全面推开涉案企业合规改革试点工作部署会一同进一步细化合规不起诉制度。
除中央层面之外,各试点单位也陆续发布相关规定,如本案涉及的上海市,即在2021年12月发布《上海市涉案企业合规第三方监督评估机制管理委员会工作细则(试行)》等多份文件,上海市金山区、虹口区、浦东新区人民检察院也相继发布该地区适用规则。
根据前述提及中央层面文件规定:
适用合规不起诉制度一般需同时符合下列条件:
(1)犯罪事实清楚,证据确实、充分;
(2)当事人对主要犯罪事实无异议,自愿认罪认罚;
(3)有造成经济损失的,应主动赔礼道歉、积极赔偿损失、补缴税款、滞纳金及罚款,足额缴纳环境资源修复资金或已恢复原状;
(4)直接负责的主管人员或其他直接责任人员可能被判处三年有期徒刑及以下刑罚。
存在如下情形的,一般不适用合规不起诉制度:
(1)涉嫌危害国家安全犯罪、恐怖活动犯罪、毒品犯罪、洗钱犯罪、涉黑涉恶犯罪的;
(2)依法应当判处十年以上有期徒刑及以上刑罚,且不具备立功、自首、从犯等法定减刑情节的;
(3)造成人员重大伤亡的;
(4)社会负面影响大、群众反映强烈的;
(5)涉案企业以犯罪所得作为主要收入来源的;
(6)涉案企业不接受合规考察的。
(二)实践情况
根据最高检公布的数据,截至2021年11月底,10个试点省份共办理涉案企业合规案件525件,其中适用第三方监督评估机制案件254件。同时,最高检已先后于2021年6月及2021年12月发布两批(共10例)企业合规改革试点典型案例。
10例企业合规改革试点典型案例中:
就涉及罪名与涉罪法定刑期而言,涉及罪名多样,包括两例假冒注册商标罪;涉罪法定刑期以3年以下(4例)与3-7年(3例)案例为主,兼有1例法定刑3-10年案例、1例法定刑10年以上案例和1例未明确法定刑案例。
就合规整改期而言,10个案例中有7个案例公示了合规整改期限,其中6个案例整改期在半年内(其中有4个案例整改期为3个月),仅一涉及走私普通货物罪案例为12个月整改期。
就合规整改监督举措而言,多数案例均在合规整改后经监察机关跟踪考察(5例)、第三方组织监督(6例)及听证作出决定(7例),其他常见合规监督措施还包括出具考察报告或经合规验收(3例)。
二、
首例数据合规不起诉案例
截止目前,既往公开的涉及合规不起诉的案例中,暂无涉及数据合规领域的相关案件。近日,上海普陀区检察院公布了我国首起数据合规不起诉案件。
(一)合规不起诉制度的适用
1、案情简介
2019年至2020年,Z网络科技有限公司在未经授权许可的情况下,为运营需要,由公司首席技术官陈某某指使多名技术人员,通过数据爬虫技术,非法获某外卖平台数据,造成某外卖平台直接经济损失4万余元。
2、适用性分析
本案涉及罪名为非法获取计算机信息系统数据罪。根据《中华人民共和国刑法》第二百八十五条第二款规定,犯该罪情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《最高人民法院 最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第一条明确,“情节严重”包括造成经济损失一万元以上,“情节特别严重”则需造成经济损失五万元以上。
据此,本案犯罪事实清楚,证据确实、充分,直接负责的主管人员或其他直接责任人员可能被判处三年有期徒刑及以下刑罚。
同时,本案案发后,Z公司对主要犯罪事实无异议,积极赔偿损失并取得了谅解。
综上,本案符合合规不起诉制度的适用条件。
(二)合规不起诉制度在本案中的应用流程
案发后
Z公司向普陀区检察院提出合规不起诉申请。
Z公司申请后
普陀区检察院向Z公司制发合规检察建议,并启动范式合规审查。
普陀区检察院实地走访Z公司查看经营现状、会同监管部门研商Z公司运营情况后,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议,指导Z公司作出合规承诺。
检察院发出合规检察建议后
内部:
针对检察建议的整改要求,Z公司围绕管理、技术、制度进行自查整改,并聘请法律顾问团队制定数据合规整改计划,严格按照合规承诺扎实推进。
外部:
考察期内,对涉案企业开展专业第三方监督评估。
此次第三方组织成员包括网信办、某知名互联网安全企业、产业促进社会组织等专家成员,通过询问谈话、走访调查、审查资料、召开培训会等形式,全程监督Z公司数据合规整改工作。
第三方组织评定合规整改合格后
评估合格后对是否可作不起诉处理进行公开审查听证。
为保障涉案企业及时复工复产,疫情期间,普陀区检察院采用“云听证”方式对本案合规评估合格、社会危害性和是否可作不起诉处理进行公开审查听证,四名全国人大代表受邀旁听。
经评议,参与听证各方认为涉案单位数据合规整改到位一致同意对涉案单位及人员作出不起诉决定。
三、
企业数据合规风险管控建议
合规不起诉制度不是企业逃避刑罚的手段,而是不起诉制度与企业合规的结合,在企业自愿进行合规建设并接受考察监督合规的情况下,才可不诉。
合规不起诉制度的扩大试点,预示着企业合规将不再是弹性的自发需求,而是企业管理风险、维持良好经营的刚性需求。合规不起诉制度运行中相对紧张的整改期限设置和相对严格的评估标准也要求企业及时引入数据合规律师等专业第三方进行合规设计,并提前做好合规应对。
因此,结合本案中监察机关对Z公司提出的数据合规建议,我们建议企业防范风险于未然,在业务开展过程中,及时引入数据合规律师等专业第三方介入,至少做好如下三方面数据合规工作。
第一,构建数据合规管理体系。
在数据合规律师等专业第三方协助下,盘点数据资产,就各业务、产品涉及数据处理情况开展尽职调查与合规差距分析;
根据合规差距分析结果,从制度、组织、人员、技术等维度,制定、实施并不断优化、完善数据合规计划;值得注意的是,在“首例数据合规不起诉案”中,检察机关特别提及企业应:(1)设置专门的数据合规管理部门,(2)关注数据源合法性,(3)规范技术汇报审批流程,建立技术应用合规评估制度,避免技术滥用,(4)建立数据分级分类管理制度及员工数据安全管理制度。
第二,提高数据合规风险识别、应对能力。
开展培训,提高员工数据合规意识与数据合规风险识别能力;
建立数据合规咨询机制与数据不合规发现机制(如个人信息保护影响评估制度),在高合规风险场景下,及时引入数据合规律师等专业第三方,防范、规制数据合规风险。
第三,稳健数据合规运行。
在数据合规律师等专业第三方协助下,开展数据合规审计工作,掌握企业数据合规情况,及时优化数据合规制度、组织、人员与技术措施。
作者往期文章推荐
中伦解读
域外关注
本期编辑:陈瑊 陈煜烺 林婉琪