查看原文
其他

武东方|数据刑事保护的检视与重塑——以刑事合规为切入点

武东方 上海市法学会 东方法学 2022-11-11


武东方

华东政法大学硕士研究生

要目

一、问题的提出二、数据刑事保护所出现的问题检视三、刑事合规必要性的多维度分析四、多层级数据合规制度的构建五、结语

大数据时代下,国家主导下的单一制监管模式并不利于数据保护,由于数据犯罪具有法益牵涉复杂性、犯罪对象脆弱性、刑事归责指向模糊性的特征,仅仅依赖于刑事制裁为首的数据治理模式缺乏有效性,导致数据的刑事保护力度不足。为健全完善共建共治共享的数据治理制度,有必要打破主体视域下治理制度的封闭性限制,通过刑事合规制度的引入,形成企业与国家共治的犯罪治理模式,从而契合数据发展的时代需要。具体而言,企业有必要在内部建立数据合规计划,以现行法律体系为基础,明晰风险防范要点,进行高风险区域合规计划的制定,防范刑事风险。若企业现有合规体系未能有效防范法律风险时,通过企业内部的刑事责任分化与合规计划的纠偏,实现合规体系的革新;在国家层面,应当充分发挥检企共建的作用,落实试点工作以推动合规制度的深入发展。

一、问题的提出

随着信息化时代的逐渐深入,作为虚拟网络空间的信息载体,数据在运用规模上呈现出了井喷式的爆发式增长。数据以自身的价值性、多元性、去实体性等特征,显著影响着现代社会的总体发展水平。数据的高效智能化利用,无论对于优化社会营商环境,推动国民经济稳步向前发展,还是在推动社会治理体制的智慧转型、维护社会秩序安定方面都大有裨益。2020年4月中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》,明确表示数据是一种新型的生产要素,已参与到社会生产活动的各个环节中,对于市场经济价值的创造发挥着重要的作用。毋庸置疑,这一意见奠定了数据在现代社会经济发展中的基础性地位。但在大数据战略全方位推进的过程中,由于数据的大幅度拓展运用,导致数据安全问题较为凸显,在其中数据过度滥用、数据泄露等问题屡见不鲜。对于数据的侵犯早已由单纯的侵害个人信息演变为跨越个人数据、商业数据、公共数据、国家数据,进而同时危及个人人身财产安全、公司安全、公共安全、国家安全。如何对数据的安全进行保护,已然成为了时下热议的话题之一。

为应对当前的数据犯罪治理困境,刑法在内部形成了二元数据刑事保护体系。但是,由于刑法存在补充性、辅助性、二次性等特征,这一治理途径随着数据牵涉法益日益趋向复杂化等问题的出现,治理效果每况愈下。正如有学者认为,以刑事制裁为主的单向度的国家监管显然存在较大的局限性,规制手段的单一化使其规制效果难彰,因此需要其他手段的功能补给。与此同时,随着数据法律保护体系的不断健全完善,互联网企业所面临的法律风险也在逐步上升,并且在其中刑事法律风险显得尤为突出。为了响应民营企业家产权保护的国家政策、优化市场结构与营商环境,强化企业恪守行为规范意识、设立刑事合规制度,显然具有极为重要的意义。

具体而言,刑事合规是指为避免因企业或企业员工相关行为给企业带来的刑事责任,国家通过刑事政策上的正向激励和责任归咎,推动企业以刑事法律的标准来识别、评估和预防犯罪风险,制定并实施遵守刑事法律的计划和措施。刑事合规制度不但能够作为公司治理的方式,还能够作为刑法激励机制等内容,成为犯罪治理模式的有机组成部分。并且,不断发展的刑事合规制度,能够成为国家介入企业内部运作的治理工具,从而实现数据犯罪治理模式逐渐由单一制向多元化发展,即由原来的单一国家监管主体横向发展、形成由单一主体的主导下多元主体共同参与、内容全面化、体系健全化的共享共治管理制度。要完善共建共治共享的社会治理制度,实现政府治理同社会调节、居民自治良性互动,建设人人有责、人人尽责、人人享有的社会治理共同体。毫无疑问,在不同主体的共同参与下,刑事合规制度的引入具有了多重意义下的重要价值,一方面能够实现对企业家产权的保护,另一方面有利于优化数据犯罪治理体系,实现多元主体共赢的局面。因此本文通过对现行的数据刑事保护体系进行检视,因地制宜地进行合规制度的多层级设计,从而实现数据治理体系的有机整合。

二、数据刑事保护所出现的问题检视

数据所牵涉的保护法益复杂性

大数据这一时代背景下,明确数据概念及其所牵涉的保护法益是进行刑事归责的前提。数据安全法第3条将数据定义为:任何以电子或者其他方式对信息的记录。可以发现,数据是信息的载体,信息是数据的内容,数据安全法益具有独立性和层次性,但数据与信息并非能够全然加以分离,二者之间具有天然的不可分割性。同时,数据作为虚拟网络的基础要素而存在,属于科技社会最重要的生产要素之一,呈现出广泛的包容性特征,在具体内容表达上,可能呈现出包括个人信息、企业知识产权、国家秘密、军事秘密等多元的信息内容。在这一语境下,数据背后所代表的权利属性较为多元,因而需要建立严密系统的数据保护体系加以保护。就目前而言,虽然我国对于数据保护立法已经重视有加,不同层级的法规范层出不穷,比如在2021年6月10日,数据安全法经审议通过,但在如此短暂时间内,数据立法过于频繁,不仅缺乏权威性的、符合当前法治语境下的解释路径,还缺乏建立在经验主义下的司法配套措施与实务经验,导致在司法实务中存在适用困境。

考虑到数据法益属性的复杂性,在刑事立法中,单纯从保护国家秘密、商业秘密、知识产权的角度显然不足以保护数据权利。我国刑法对于数据犯罪可概括为两种路径:一是基于数据的本质属性、通过其呈现的各罪法益属性,以具体罪名加以保护;二是依据数据犯罪的技术特性、将其作为计算机系统的基础组成部分加以保护。在第一类罪名中如侵犯公民个人信息罪,侧重于对侵犯具体信息类型的不法行为进行打击,这一打击重心偏结果性质,并不考虑行为的技术性,是对于行为所侵犯法益精准而又凝练的概括。在第二类罪名中,则侧重于对不法利用计算机技术行为进行打击,具有密集法网的兜底性功能以及立法前瞻性特征。可以看出,在当前刑法体系下,为实现对企业数据安全提供科学、周延的刑法保护,刑法的数据安全保护体系呈现出典型的二元性特征。在现行刑法罪名体系中,有关数据的主要犯罪条文如下表所列举:

表一 有关数据的主要刑法条文列举

从上述所列举的罪名来看,虽然形成了数据的二元保护体系,但是数据所涉及的法益内容呈现出多元化趋势,导致数据犯罪的实质内容极为泛化。在保护法益内容上,不仅根据数据的本质属性加以分门别类,从而指向具体的法益内容,如“个人信息”“商业秘密”“国家秘密”“军事秘密”等法益;同时若数据所承载的具体信息权益,并未在分体具体条文中加以体现,还可以依据涉数据犯罪的技术特征,由第285条(非法获取计算机信息系统数据、非法控制计算机信息系统罪)以及第286条(破坏计算机信息系统罪)等罪名加以定罪论处,相关计算机罪名实则作为兜底罪名,对数据加以保护。显然,数据犯罪涉及的罪名众多,且相关犯罪专业性、技术性要素较为凸显,多数罪名涉及民刑交叉领域,对于司法工作人员的业务水平提出了极高的要求。与此同时,数据犯罪正逐渐成为其他犯罪的上游犯罪、伴随犯罪,其中涉及诸多共犯问题、犯罪阶段问题,更是使得数据犯罪案件充满疑点。此外,随着数据产业链不断地深层次发展与扩张化运用,数据犯罪的社会危害性通过互联网的扩张效应、积累效应而不断被加以强化,在影响广度以及辐射范围上易形成叠加式增长。传统犯罪治理模式属于国家刑罚权的单向治理模式,依赖于事后惩戒实现犯罪预防功能,但由于数据犯罪的复杂性、危害性日益扩张,并不利于数据保护。

保护对象的易侵犯性

互联网技术的多层次深度发展,给予我们生活带来诸多便利的同时,所伴生的数据安全问题也愈发严重。不同于传统社会中数据保存或者传输的物理流转方式,随着5G时代的到来,信息传输速度呈现出跨越式提高的趋势。与此同时,随着云储存技术的发展,数据流通也更加便捷与迅速,使得数据权益更加容易受到侵犯。

一方面,数据本身具有容易泄露的性质。互联网经济时代下,大数据信息属于蕴涵着巨大价值的宝贵资源,数据信息作为网络科技发展的产物之一,相对于传统环境下信息所呈现的低类型、分散化特性相比,具有传播极速、储存持久、容易复制等特点。然而互联网技术是一柄双刃剑,在提高数据运算效率的同时,也导致获取数据、传播数据的成本与控制数据的成本之间呈现反比关系。在较多情况下,若企业未投入足够数据安全管理成本、做好足够完善的保护措施时,便很难形成严密的数据保护屏障。在信息技术发展日新月异的今天,电子商务经济迅猛发展,大型互联网企业不断渗透进国民的日常生活中,形成了国民生活不可分割的重要组成部分,一旦出现上述数据泄漏的问题,则极易形成群体性事件。

另一方面,由于云计算技术的不断升级,通过云端存储技术存储数据信息的方式,变得越来越普及。由于数据权利主体与保管主体相分离,也导致了导致数据安全受到更多的威胁。出于云储存存在技术壁垒以及成本控制的考虑,自建云储存技术并不能成为大部分用户进行数据保存的首要选择,即使该方式更为安全。而在公有云架构下,从技术层面而言,云服务商可以对其服务器上的所有数据进行访问,数据的存储是否安全要靠云服务商的良心来决定。此外,由于企业仅仅是对云服务进行租用,数据安全的保护级别措施并不能由用户决定,数据的安全保护水平只能取决于于所租用云服务的技术水平。基于上述考虑选择租用公有云进行数据存储时,可能要面临更为突出的数据泄漏风险。

此外,云端数据的权益归属复杂性也加剧了数据保护的困难程度,在数字经济时代,数据资源在经济发展中被称为是“未来的石油”,其对于国民经济的重要性不言而喻。对于个人用户来说,当私人数据被上传后,个人对于数据的控制力度遭到大幅度削弱,严重影响了其对私人数据享有的知情权、决定权。由于数据的易侵犯性,无论是司法机关还是大数据企业,在应对数据安全问题上都需面对这诸多困难。

刑事归责指向的模糊性

新技术新应用一方面催生着新威胁形态的产生,为数据安全带来新风险;另一方面也导致传统数据安全保护策略的有效性降低甚至丧失。在涉及数据侵犯的行为中,由于数据承载法益的复杂性,导致刑事归责过于混乱。在数据流转过程中,由于诸多企业员工都进行了一定程度的参与,归责对象也难以准确选择。此外,在行为人承担责任时,所属企业是否应该承担刑事责任,是否按照单位犯罪的处罚原则加以认定,也存在着区分的必要性。而目前的单位处罚机制,未能实现单位刑事责任的分化,以至于企业责任与员工责任存在区分上的障碍。

我国刑法在第30条明确规定了单位犯罪的处罚制度,即以双罚制为原则,单罚制为例外。这一处罚原则的思路在于,当涉及单位犯罪的定罪量刑时,处罚对象不仅包括单位,也包括该犯罪的幕后推手,避免单位沦为实际不法分子的挡箭牌。这一制度设立的初衷,体现了较为完整的特殊预防思想,符合我国刑事领域下罪责自负、有罪必究的定罪理念。但问题在于:在司法层面,由于司法解释将单位犯罪的追诉标准以自然人犯罪为基础提高了三到五倍,因此在某些特定情况中,将直接导致个人在单位犯罪制度的保护下,被免于追究刑事责任。由于在双罚制原则下,入罪标准与法定刑梯度存在较大差异,被告人为了获取更有利的入罪标准和量刑情节,会通过提出单位犯罪的辩护意见,对于刑事责任加以分化,在实质上导致企业犯罪制度变成不合理的辩护事由。在司法实务中,企业高管在实施犯罪以后,多通过主张单位犯罪,从而达到其目的情形也并不鲜见。当然,企业构成犯罪时,对企业成员处以比一般个人更轻的刑罚,从尊重既有立法的立场出发,并不存在问题,但在刑罚差别过大时,这实质上并不利于刑罚的平等适用。

我国传统理论认为对于单位犯罪刑事责任的认定应当坚持“替代责任”,即企业依法为其员工及其代理人的行为负责的原则。在司法实务中,单位犯罪的判断标准主要以:(1)犯罪活动经单位决策实施;(2)单位的员工主要按照单位的决策实施具体犯罪活动;(3)违法所得归单位所有,经单位决策使用,收益亦归单位所有三个标准进行认定。但是在司法实务中,这三个标准在具体运用时发生了标准异化的问题,大多数还是将企业员工的犯罪意图认定为企业的犯罪意图,导致即使“善良的企业”已经竭尽所能地采取了相应的预防与规制措施。但依然需要对其员工所擅自实施的犯罪行为负责。由于涉及单位过失犯罪的案件中,“单位决策”过程可能是不存在的,我国认定单位犯罪的标准,实际奉行着一种类似严格责任的归责方式。尤其对于中小企业而言,由于其决策权比较集中,而且企业决策本身又具有不同于自然人意志的程序性,只要其核心成员或者领导者之一实施了犯罪行为,导致该企业无法在刑事追责前全身而退。也正是因为存在上述缺陷,导致我国在数据犯罪的刑事司法实践中,有意或无意地避开了有关单位犯罪问题的讨论,甚至忽视了被告人“单位犯罪”的辩护意见,因而单位的刑事责任更加有必要加以明晰。

三、刑事合规必要性的多维度分析

在大数据时代,数据安全问题日益严重,与国家、社会、企业、个人休戚相关。对于国家而言,数据保护的必要性也并不应被忽视。面对频发的数据泄露问题以及数据保护痛点,国家有必要对于当前犯罪治理模式进行革新,从而有效应对当前泛滥成灾的数据问题;同样,对于企业而言,数据流转过程中所呈现的刑事风险来势汹汹,因而企业合理规避刑事风险也显得尤为重要。企业的价值理性是其推动刑事合规制度展开的内源性动力,刑事合规制度通过企业的积极实践从而获得了升华。可见,通过国家主导、企业参与展开协同合作,形成社会治理共同体,其中刑事合规作为贯通两者的“桥梁”,起着关键性的作用。

司法实务中法益的提前保护需要

刑法作为所有重要法益的最后保障法,全面介入数据安全的法律保护,具有时代的必要性。从司法实践中的涉数据犯罪案例数量来看,相关罪名的案件数量相对较为庞大。针对相关罪名进行分析,目前侵犯公民个人信息罪属于在数据犯罪数量占比最大的罪名,其余罪名仅占较小部分。但针对涉数据犯罪而言,随着网络技术的进一步发展,尤其是5G时代的来临,涉及数据犯罪的司法判决数量将会逐渐增加。从刑法修正案(十一)来看,目前我国对于知识产权犯罪的刑事制裁体现了刑法的重刑化导向。可以预见的是由于商业秘密呈现状态的去实体化趋势以及刑事政策的影响,商业秘密类型的数据犯罪刑事案件数量可能会呈现一定的上涨趋势。对于企业而言,这也意味着其所要面对的刑事风险升高,为了合理防范刑事风险,在企业内部建立刑事合规制度乃应有之义。刑事合规的引入给企业带来法律风险认知与风险防范意识,从而企业会沿着遵循刑事合规的道路、逐渐将数据安全保障和数据犯罪预防意识融入日常的经营管理活动中,实现商业行为的规范化发展,从而降低数据犯罪的发生率。

表2 涉及数据罪名的案例数量整理

对于国家而言,在借助刑事制裁的威慑效果的同时,也应当注意其局限性。司法机关理应意识到仅仅依赖于刑罚威慑和犯罪圈的扩张,并不能达到数据刑事保护的理想效果。传统刑法对于法益的保护更加倾向于事后惩罚,通过刑罚的严苛性与威慑性达到控制数据犯罪的效果,但随着风险社会的不断深入,新型犯罪手段在虚拟网络中不断衍生,传统刑法的规制手段逐渐捉襟见肘,只能通过不断象征性立法,从而契合数据犯罪的治理需求。刑法逐渐成为实现社会防卫的治理工具,发挥着风险防控的机能,而偏重于预防手段的刑事合规制度,契合刑法转型后的事前预防这一治理理念,理应成为更合适的选择。正如有学者认为,刑事合规之下,国家不是对企业实行上命下从的强力控制,反之采取的是一种符合企业自我选择的软性影响。而且,从保护技术层面而言,国家对于数据的保护也并不比企业更有优势,通过刑事合规将部分国家应承担的数据保护任务交予给企业,不仅能够实现社会主义市场经济体制下数据产业的繁荣发展,还能实现对于数据所牵涉法益的严密保护。

企业防范刑事风险的需要

由于大数据时代下数据犯罪的复杂性凸显,刑罚的预防功能被加以强调。传统的预防理论存在一般预防论与特殊预防论的观点,消极的一般预防论认为,减少犯罪应该通过对犯罪人的惩罚,来威吓社会上的一般潜在犯罪人,告诫他们这种行为是要受到严厉的刑罚制裁的,使他们由于害怕刑罚而不犯罪,从而减少犯罪;而积极的一般预防论认为,刑罚之目的不在于威慑,而在于强化对法秩序的忠诚和信任,即通过对不遵守规范者科处刑罚向世人宣告行为人的规范违反行为不值得效仿,从而维持规范的效力;特殊预防论主张,减少犯罪应该通过对犯罪人的教育和改造,消除这些犯罪人的再犯罪可能性,从而达到减少犯罪的目的。可以发现,传统刑法理论在发挥犯罪预防功能时,时间往往在犯罪行为发生后,以对违法行为的事后惩戒来达到预防效果。从其实质而言,传统刑法理论颇具“杀鸡儆猴”的蕴意,存在着物化人民群众的嫌疑,其中连颇具有市场地位的积极的一般预防论也受到相同的诟病。并且,这一犯罪治理方式虽然能够实现犯罪预防功能,但是也使得诸多被破坏的社会关系无法挽回,培养了诸多社会对立面。

在我国单位犯罪双罚制模式下,若单位负责人被追究刑事责任,将会导致企业管理陷入瘫痪状态,致使企业无法有效应对复杂的商业环境。此外,企业一旦遭受刑罚处罚,将会面临高额的罚金刑,给企业带来高昂的直接经济损失;并且,由于社会大众降低了对涉事企业的信任,也会导致企业的商誉减损,不利于企业的持续经营。毋庸置疑,由于刑事处罚的严厉性以及后续影响的广泛性,一旦企业面临承担刑事责任的风险或者受到刑事处罚,对于受制裁者而言,将会是致命的。正如有学者认为,同民事法律风险和行政法律风险相比,刑事法律风险的现实化与否,更能决定企业的“生死存亡”。由于刑事制裁范围的扩大,刑法打击端口的触手前伸,也应当对于自身发展中所面临的刑事风险予以重视。企业的发展之路并不是一帆风顺的,为了维护企业价值,在当今数据产业蓬勃发展的时代背景下,企业可以通过刑事合规制度的建立,从而完善风险防范机制、实现罪前预防。与此同时,司法人员必须适时地改变偏重事后惩罚的传统犯罪预防理念,将其置于网络社会和数据安全的大背景下予以重新审视,协同大数据企业,共同推进刑事合规制度的革新。

刑事合规存在多元价值

1.合规能够创造商业价值

从合规的定义而言,刑事合规能够创造商业价值看似是无稽之谈,由于刑事合规制度的施行,需要投入大量人力成本与时间成本,合规似乎只会阻碍企业追求高利润、高收益的脚步。反之,若企业采取违法手段或者利用法律漏洞,则能够在短时间内获取大量利益,人无远虑必有近忧,违法手段并非是企业创造商业价值的正确途径,一旦企业由于违法乱纪牟取暴利的行为陷入累讼风险,在承担了昂贵的诉讼成本以及败诉后果的同时,也会导致企业的信誉和声望受到重挫,轻则失去大量交易机会和交易资格,重则重整、退市,甚至导致企业破产,同时也会牵连员工、股东、投资者、代理商、经销商,致使其利益受到严重损失。为避免这些严重后果发生,企业刑事合规便具有了重要的意义。建立完善的合规制度,使得合规的理念深入人心,也能够避免企业因非法经营所产生的额外成本以及不必要的损失,如不合规支出、诉讼成本。总之,合规制度能够从风险防范的角度,将企业原有的商业体系予以完善,在保护企业免受因承担行政、刑事责任而产生的损失之外,通过减少不必要损失的方式创造商业价值。

2.合规能够优化犯罪防控模式

传统数据犯罪的防控模式一般以国家的刑罚手段为主,其他社会治理措施为辅,但都可谓是事后纠正措施。尽管刑罚打击犯罪的效用应当得到承认,问题在于规制手段的单一性、事后性使其治理效果难彰,因此需要其他治理手段的功能补给。一方面,在网络技术的发展下,诸多新型数据犯罪的形式出现,刑法即使竭尽全力,也难以对所有的数据不法行为予以周延的规定;另一方面,由于刑法存在稳定性、滞后性等特征,也使得传统犯罪治理模式难以对新型数据不法行为予以及时反应。为避免这一困境,国家与企业共同合作,以避免刑事风险为目的的企业刑事合规计划的制定和贯彻,恰好与最优的犯罪预防和刑法评价机能的具体化、相吻合,与刑法对犯罪惩罚的事后性互相弥补。同时,国家与企业的共同防控模式,也能够促进数据刑事保护体系更加周延,从而降低数据犯罪的发生率,从根源上实现数据的刑事保护。企业在预防数据犯罪方面不仅具有技术和经验优势,而且企业在应对数据刑事风险时,通过施行一定的合规措施进行防范,恰是恪守刑事法律的良好表现。2020年3月,最高检在上海、江苏、深圳、山东等地的6家基层检察院启动刑事合规不起诉的试点工作;司法实践中也出现了针对企业的“检察建议”和“附条件不起诉”两种模式的司法案例。可以看出,司法实务中也已经开展了新型国家与企业共治的犯罪防控模式进行实践。

3.合规能够维护社会经济秩序

企业从事生产经营活动,在创造经济利益的同时,也是为社会创造财富、作为承担社会责任的方式之一。企业视角下的刑事合规是预防犯罪的责任、也是监管责任,更是企业依法对国家、社会、公民及经济社会健康发展所承担的责任。维护公平的市场竞争秩序,确保企业所处的市场交易秩序稳定和谐也是企业承担社会责任的重要途径。在我国的社会主义市场经济体制下,国家的宏观调控手段能够在一定意义上规范企业的行为,同时企业自身进行有效的常态化的、合规制度建设,也是维护市场公平竞争秩序的重要手段。假若市场主体并未意识到商业秘密合规的重要性,采取各种手段对其他企业的商业秘密进行无序的侵犯,从而短时间大量获取不法利益,必然会导致其他企业的效仿,而这种畸形的利益增长对我国经济的发展,无疑是饮鸩止渴。只有在日常的生产经营活动中,注意维护自身的商业秘密的同时,通过企业刑事合规手段,尊重与维护竞争对手的商业秘密,才能实现在市场主体间产生良性互动。当企业深入贯彻执行刑事合规政策,通过合法经营手段实现自身价值与社会价值统一,市场总体经济水平才能实现稳中向好发展,维护社会经济秩序以实现企业对社会的担当。

四、多层级数据合规制度的构建

由于数据量的庞大、数据内容的复杂性、数据在流转过程中的迅速性与便捷性等原因,在大数据流转过程中,一旦侵权行为出现,不利影响就很容易在传播过程中不断扩大。与此同时,企业若出现数据安全问题,可能触犯的数据罪名较为复杂,在危害结果的具体内容上,除了诸多公民的个人信息权益、经营者的经济利益受到侵犯之外,数据安全管理秩序、网络安全管理秩序甚至国家安全可能都会受到冲击。诚如前文所述,单一主体主导下的监管体系在面对这些激增的数据问题时逐渐式微,难以实现有效治理数据问题的目的。除此之外,庞杂的涉数据刑事条款,给司法实务人员带来处理上难度的同时,也使得电子商务企业所面临的刑事法律风险激增。由于企业在日常经营过程中,对于数据利用行为是否合理或者合法往往疏于判断,未能及时注意到其中可能涉及的刑事责任风险,也会使得企业防范刑事法律风险的难度大大提升。总之,为合理解决数据治理问题,在结合数据刑事合规制度的基础上,重构目前的数据犯罪治理模式,进行多层级数据合规制度的建立乃当务之急。

重点明晰:高风险区域合规计划的制定

1.合规指南风险防范要点的明晰

企业为了预防特定刑事风险,需要以成文形式编撰刑事合规指南与员工行为准则,确立员工的行为规范要求,再通过显著标识提示员工注意这些行为的合规要求,对于违法乱纪的行为进行明确性禁止。在企业内部管理制度的风险防范机制体系建立中,需要以现有法规体系为基础,制定出较为完善的《风险防范合规指南》。具体而言,企业对于时下的数据立法应有着清晰的认知。如2020年发布的民法典首次将数据和网络虚拟财产纳入保护范围,对于数据的财产属性加以确认;2021年6月10日,数据安全法正式颁布,本法在总体上展现了我国国家安全观的要求,有着“数据安全领域的基础性法律”的地位,体现着数据行为规范的要求。显然,当发生立法变动时,企业应当及时修订合规指南并予以风险提示,从而实现合规机制的有效性。

其次,企业需要厘清业务范围所带来的合规风险,从而确立合规风险防范要点。通过结合现行刑法数据二元保护立法体系,可以将企业合规风险防范要点的编撰分为两部分:通过电子化法益犯罪防范和技术手段规范分别加以规定,做到有的放矢、重点突出。

在第一部分电子化法益犯罪防范中,由于不同企业所面向的市场方向存在差异,通过审视电子商务企业的经营范围与业务流程,对于涉数据罪名进行厘清,确定企业的合规重心。举例而言,大数据公司存储了较多的用户账号、聊天记录等用户数据,可能涉及侵犯公民个人信息罪等罪名。大数据公司应当对于存储在平台上的用户数据承担责妥善保管与维护责任,若未能及时恰当的履行这一数据管理义务,则可能招致不利的法律风险。为了避免因为数据泄露造成的企业信任危机等问题,一方面,企业应当加强数据管理,优化内部分工协调机制;另一方面,企业应当在结合现有司法实务的基础上,通过法务部门的主导工作,对于相关司法判决的刑事归责路径进行分析,确认合规风险要点,避免因满足诸如侵犯公民个人信息罪的成立标准,而导致的刑事风险。

在第二部分技术手段规范中,由于我国企业并不重视员工合规意识的培养,导致企业内部会经常因员工行为不规范而发生累讼问题,因而有必要对于技术人员加强合规培训,避免不当操作现象的发生。在大数据时代,诸多新兴科技手段层出不穷地出现,诸如深度链接、流量劫持、爬虫爬取数据等行为,若发生不当滥用的情况,很容易对于他人计算机信息系统安全造成不利影响,从而触犯计算机相关罪名。在合规风险要点中,需要对于企业内部常用的技术手段加以风险识别,警惕因为员工操作失范,而招致的刑事风险。

2.高风险区域合规计划的制定

2018年被称为中国的“合规元年”,在这一年,中国国务院国有资产管理委员会及国家发展和改革委员会相继发布了企业合规指引,试图以行政主导方式推动企业全面建立合规管理体系。在行政机关的主导下,诸多企业都相继发布了合规管理手册,但问题在于这一在政府主导下的企业合规指引,企业多是被动参与,并未充分发挥主观能动性,未考虑到自身的风险防范需要,所推出的合规计划仅在泛泛而谈,也并没有确立具有针对性的合规重点区域。诸多企业仅仅是在形式上建立了所谓的合规制度,范围从公司治理横跨到知识产权、反腐败等多方面内容,涵盖范围极为广泛,其最终效果往往也乏善可陈,并没有真正建立起企业合规体系。

数据合规行业在2019年取得了较为迅速的发展,影响颇大。目前大数据公司的数据合规管理问题,也应该作为企业建立合规管理体系的重点领域。由于高风险区域合规计划众多、大数据企业应当选定符合自身需要的合规区域,从而实现合规计划的针对性。以大数据企业的云端数据合规计划为例,应当包括以下三个层面:

其一,企业需要根据数据安全法、刑法等法律文件的规定,健全完善数据保护合规制度,通过发布员工行为手册来规范员工行为。在具体落实合规政策方面,需要定期开展员工合规培训,对于数据安全领域的合规要点加以说明,并留下书面培训记录,与处理重要数据的员工签署保密协议,要求员工在日常工作中履行一定的审慎义务,禁止员工无授权获取用户数据;其二,企业在获取数据时,对于权属清晰的他人数据内容,应当征求权利人的同意或者授权,避免擅自爬取他人的数据内容,对于公共数据的获取,在遵守国家有关规定的基础上,为杜绝权属不明导致纠纷产生的可能,企业应当尽量避免过度收集公共数据,做到收集内容与所提供产品服务的直接相关性,将收集频次、收集范围、收集数量控制在合理限度内;其三,大数据公司通常具备云端存储功能,需要及时履行云端的管理义务,确保平台数据流转的畅通无误与用户数据存储安全。通过建立数据分级分类管理体系,对于不同的数据类型,施以不同的保护措施,比如对于数据所涉及的个人信息,通过技术手段加以“去标识化处理”,并且设立专门储存空间加以单独储存,设定一定的访问权限,采取适当的加密措施,并及时做好数据库的维护工作。

积极应对:结果补救体系的设立

在企业内部建立结果补救体系,能够及时发现问题,以充分准备应对措施。首先,企业合规部门需要充分收集相关证据,以证明企业在自身的管理体制中,已然尽到自身应尽的义务,并向执法调查机关提出自己合理的抗辩事由,分离员工责任与企业责任,以减轻或免除企业的相关刑事风险。其次,当企业已然摆脱不了因数据不法行为所产生的刑事追责时,及时对合规计划进行纠正与完善,进行亡羊补牢。

1.企业刑事责任的分化

涉数据不法行为存在较为普遍的行刑交叉以及民刑交叉现象,往往是由行政监管部门率先启动行政调查或者由被害人提起民事诉讼,而后才可能涉及刑事程序,若在调查或诉讼过程中,发现企业存在构成刑事犯罪的可能,则面临着被移送侦查的刑事风险。当面临刑事侦查时,企业的合规表现对于减轻刑事风险所带来的的不利后果尤为重要。在侦查程序启动后,企业应当妥善面对刑事侦查问题:原则上,应当率先委托专业律师进行及时抗辩,企业法务部门也需要充分发挥协同作用,应对突击检查的诉讼程序压力。当刑事风险到来时,最过于极端的方案莫过于销毁证据、遣返员工、与执法人员发生暴力性冲突,一旦出现这些现象,很可能触犯其他罪名,导致企业需要承担的刑事责任更加深重。

当面临侦查压力时,企业应当积极加以配合,充分收集各类积极证据,以证明自身无过错,并向执法调查机关提出自己合理的抗辩事由。由于我国民营企业保护政策以及刑事合规试点工作的存在,企业合规制度的设立就成为了“救命稻草”,属于能够将员工责任与企业责任加以切割的“无罪抗辩事由”。因而在面对刑事侦查时,企业通过分离员工责任与企业责任,能够达到规避或者减轻刑事责任的积极效果,对于企业的稳定发展有所广益。在风险防范过程中,无论是识别还是处理合规风险,应当对于全过程加以记录以书面记录为原则,才能在需要时提出完整的合规抗辩理由,为企业履行合规义务作出充分的说明,证明企业确实建立了有效的合规体系,从而在员工因自身原因导致刑事风险时,将违规行为归咎于员工个人,实现员工责任和单位责任的分离。

2.数据合规计划的纠偏

建立有效的合规计划,并不能完全杜绝违规行为的发生,有效的数据合规计划应包含对于合规计划本的纠正与完善措施。纠正完善措施应当以下列处理手段为主:积极补救措施→修正必要性分析→合规管理体系修改措施。

在不合规事项发生后,及时施行补救措施具有重要的意义。在企业发现不合规事项时,通过专门的合规调查部门实施(包括但不限于)以下手段或措施从而及时止损:1.对照合规管理体系进行违规行为的识别;2.弥补违规行为造成的企业本身损失或相关其他利益方的损失;3.采取危机公关方式安抚相关利益方的情绪,缩小影响范围以减少商誉受损;4.对于该员工所造成的违规风险及不利后果进行后果审查,按照合规手册中的制裁手段,对存在违法违规行为的员工进行及时的惩戒,并且查明问题来源,对相关责任人进行惩戒。

对于企业而言,采取积极的措施之后,需要对于已经发生的不合规事项进行事后评估,从而判断合规计划修正的必要性。首先应当对于不合规行为发生的原因进行分析,如果是因为合规计划本身的疏漏导致,员工依照行为规范进行工作依旧发生了不合规事项,则需要针对合规计划本身进行修正。但如果主要是因为员工个人进行违规操作,企业也并不能忽视该问题,需要对是否依然存在此类事项或是否有可能再次发生此类不合规事项进行全面审查,并在必要的情况下,将此类事项在合规体系中进行补充,从而完善合规管理体系。

应该明确的是,未能避免或发现一次不合规,并不一定意味着合规管理体系和风险预防识别机制在总体上无效。在进行必要性分析之后,如果仅仅是合规体系本身的微小疏漏,或者仅需要补充,对所采取的修改或补充措施进行修改之后,便无需对数据合规计划进行全盘否定。但如果因为数据合规计划存在重大疏漏已不适用于企业时,则需要对合规管理体系进行整体革新以适应企业需要。总之,数据合规专项计划并非一成不变的,法规的更迭以及企业自身的发展,也会推动企业合规计划的纠偏。上述措施并非一劳永逸,企业应当设法持续改进合规计划,以保证其可操作性、充分性和有效性。

检企共建:域外合规制度的本土化适用

作为一种舶来品,想要刑事合规在中国的法治土壤中能够落地生根,单凭企业自身的努力作用微乎其微。尽管在当前针对民营企业的保护加大、检察机关职能不断改革,新的司法政策依次出台的现状下,对于企业家犯罪如依法“能不捕的不捕、能不诉的不诉、能不判实刑的就提出适用缓刑的建议”等政策已经逐步开始实行。但结合我国国情,要真正使企业合规制度落地,且如何更合理地执行合规制度或者激励企业建立合规制度,需要司法机关和企业共同努力。

1.刑事诉讼激励模式的确认

在我国对于合规制度引入的初期,美国对于刑事合规的相关制度对我国的刑事合规发展可以带来诸多启发。对于激励企业引入合规计划,美国从制度层面采取了诸多措施,如在1991年的《联邦量刑指南》中,一方面,将史无前例的高额罚金刑进行明文规定,另一方面,则在企业适当地实施了合规计划的情形中,留有大幅度减轻罚金数额的余地。从我国的国情及经济发展现状而言,无论是基于回应最高层的决策中关于民营企业特殊保护的要求,还是经济发展本身的需要,也都需要司法机关给予企业建立合规制度的动力。除此之外,检察院的诉讼监督职能以及我国认罪认罚从宽制度的存在,也给予了检察机关针对合规不起诉的制度基础。

企业具有逐利的本质,在经营计划的安排中,会通过计算成本与收益从而进行决策。如果合规的成本过于高昂,而刑罚的后果又相对较为轻微,也即犯罪的成本低于合规的成本,企业就没有合规的积极性。当下我国的刑事合规建设中,最为缺乏的就是刑事法的激励。如果能让涉嫌犯罪的企业有足够动力开展合规计划,进行针对性的整改完善,并将整改措施落到实处,就需要对于开展合规计划情况较好的企业进行相应的鼓励,对符合条件的企业原则上作出不起诉决定,或者依法适用认罪认罚从宽程序,在量刑建议上给予最大程度的优待。

在我国合规制度的司法实践中,虽然相关制度的建构并未完成,但前文中笔者也已经提到,针对合规不起诉的两种模式,在司法实务中已经开展了相关试点工作。其一为“检察建议”模式,如青岛市检察院在办理于某、陈某走私普通货物一案时,在作出对全案不起诉的决定之后,发出了检察建议以完善该企业的合法经营计划。其二为“附条件不起诉”模式,如张家港市检察院在办理谭某虚开增值税发票罪一案时,谭某向检察机关提交合规申请书和合规承诺开展企业合规建设后,针对谭某对企业的合规整改措施,检察机关作出了相对不起诉决定。可以发现,两种刑事激励模式各有利弊,在司法实践的试点过程中,选择符合我国国情的模式是尤为重要的,当然单一制模式也并非最优选择,通过两种激励模式的综合适用,能够更好地符合司法实务的需求。

2.合规监控人制度的落实

合规监控人是合规制度的重要部分,在我国关于合规制度的试点中,同样存在对于落实合规监控人制度的尝试:即刑事合规独立监控人模式、检察院监管模式、协同行政机关监管模式。但如何针对监管模式进行选择,也是刑事合规运行机制探索中所面临的一大难点。

在司法实践的试点中,较为典型的是深圳宝安司法局所试点的刑事合规独立监管人模式,并针对该模式的试点发布了《关于企业刑事合规独立监控人选任及管理规定(试行)》的规定,从制度层面尝试将受犯罪嫌疑企业委托,对企业刑事合规情况进行调查、规划、监督的律师事务所作为“刑事合规独立监控人”的制度予以确立。而辽宁省在其《人民检察院等十机关关于建立涉罪企业合规考察制度的意见》中,对于涉案企业的合规考察中,则选择了检察机关和有关行政监管机关通过协同开展的模式。此外,对于检察院的监管模式,在前文中“检察建议”诉讼激励模式中已然体现。

但无论哪一种合规监控人的模式,都会涉及合规计划成本、合规计划的制定、考察与评估的专业人才相对匮乏等问题的考虑。检察院的监管模式给予了检察机关相关监管职权的同时,也带来了相关专业人才缺乏的困境;在刑事合规独立监控人模式的实行过程中,也存在着难以确定适格的监管人、合规费用的承担难以解决等问题;若选择协同监察机关共同监管模式,也要考虑检察机关在承担诉讼监督职能的同时,能否额外承担行政监管职能的问题。

新生事物的出现总会伴随各种问题的发生,在刑事诉讼制度改革中,作为认罪认罚制度之后又一次尝试的重大举措,检察院必须积极发挥主导作用,在企业合规制度完善的基础上,针对刑事合规中合规刑事诉讼激励模式与合规监控人制度两大痛点,在试点工作中发现问题、解决问题,于检企配合中走出一条符合我国国情的企业刑事合规之路。

五、结语

大数据时代下,数据运用产业链不断升级,数据运用规模迅速扩张,与此同时,数据本身的脆弱性与数据安全保护问题的矛盾也逐步加深。数据作为科技时代的新型生产要素之一,对其的保护制度与配套措施也应不断健全完善。但当前的数据犯罪防控体系仍然存在较大的局限性,为了深入贯彻民营企业家保护政策,契合国家维护数据稳步向前发展的时代主题,通过对于现行数据刑事保护体系进行检视,对于数据的易侵犯性、多元属性、刑事归责模糊性的特征加以确认,从而企业进行多维度合规制度安排时,能够对症下药,对数据刑事风险加以防范,在数据合规机制的具体制定上,企业可以通过高风险合规领域专项计划的制定,进行数据刑事风险防范;再通过内部刑事责任的分化,达到减轻或者避免刑事风险的目的,从而形成双层次的数据合规体系。为真正推动合规制度有效发展,强化企业合规意识,司法机关一方,也应当积极推动合规制度改革,推动刑事诉讼激励模式深化发展,以增设多元主体参与机制,达到完善数据犯罪治理体系的目的。总之,通过数据刑事合规制度的建立、健全、与革新,不仅能够加大民营企业家保护力度、有效降低涉数据犯罪发生率,还能够完成优化数据治理模式、推动数据经济发展的时代使命。

往期精彩回顾

黄俊杰|平台经济反垄断公益诉讼实践思考与优化路径

马牧青|从人格权辨析角度探究企业数据的权利归属

顾梦婧|从各国景观诉讼判例来看对景观利益的保护

王亚萍|平台经济领域的温和性反垄断规制:以父爱主义和母爱主义为指引

刘欣睿 蔡元臻|利益平衡视角下网络游戏直播画面的邻接权保护模式

林韶|电商平台“二选一”行为反垄断法规制逻辑及展开



上海市法学会官网

http://www.sls.org.cn


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存