数据刑事合规实施要点

【作者简介】

叶荷律师，具有世界500强企业资深管理经验，深耕公司治理、合规搭建、商事争议解决。深圳“百人律师合规讲师团”成员、《深圳律师》特约撰稿人。

相较于地缘政治变幻和数据技术革命，数据立法与执法有一定滞后性，特别是在执法依据不够明确、行刑衔接不畅等现实问题面前，如何将刑事防控落到合规建设的实处、发挥刑事激励政策的作用，属于一线工作绕不开的题目。本文以相关数据犯罪罪名为纲，对数据刑事合规的一些实务问题作一些分析。

一、 侵犯公民个人信息罪：数据合规应致力于厘清和平衡数据权益与社会秩序的关系

尽管当前数据权属和权益的讨论未决，但为应对数据非法获取和滥用，合规工作当首先在总体国家安全观之下完成数据的分类识别，进而据类别发挥其犯罪预判、补损减责的作用。日前颁布的《促进和规范数据跨境流动规定》特别强调对重要数据、关键信息基础设施运营者和个人信息主体进行区分保护。对于个人信息出境的，目前也已形成数据出境安全评估和豁免、出境信息标准合同备案等多维度的保护屏障，在此不特别阐述。不难看出，对不同责任义务作出更清晰的界定仍是未来立法与监管的趋势，即重要领域控制更强化、普通领域则更简化。

上述分类标准并不会取代区域性和行业性的实施细则，就公民个人信息类数据而言，实践中的做法通常是通过区分产权类型，或按照数据生命周期不同环节作分类管理。两种分类方式各有所长：前者利于衔接重要数据规范，后者则在业务流程或供应链管理中突显其必要性。一些律师团队还采用诉讼案由来倒推数据合规问题，如著作权纠纷、不正当竞争纠纷等，该类视角具有可贵的实战性，但笔者对其是否能保持对单位主体的决策指引功能持审慎态度。个人信息保护的合规义务主要是要平衡单位主体所享有的数据权益与维护社会秩序的关系，故数据合规应具备动态调整的敏捷性和持续性，能够在法律维护社会秩序的价值导向下应对变化。

触发侵犯个人信息罪的高危群体除了网络灰产链条的多数参与者，一些新型商业模式的拓荒者也有触礁的可能，如人工智能产品链条上的制造商对于批量公民行为轨迹追踪等信息的收集和使用是否过度？这类判断不一定能在商业计划制订之初或早期研发阶段就能作出，而需在开发和运营过程中调适其对违法要件的匡正职能。

更困难的地方在于数据“非法获取”的性质把握（常见的如保险公司、家政中介机构在业内交换信息的行为判断），这往往需要廓清犯罪行为的上下游行为，并对所涉数据的处理程度进行量化才能得出。如果数据非法获取或滥用的情节存在与其他犯罪（如网络诈骗、非法吸收公众存款等）交叉的情况，则上下游行为的定性还要跟涉案数据的数量、社会危害性的后果结合进行综合考量。大规模数据泄露的损失和法律后果往往超出“非法获取”行为人的认知和控制范围，一些高危行业的刑事合规工作应择重对特定类型的犯罪做出预判，必要时还应在可能的行政监管阶段（通常表现为不/未履行数据安全保护义务、不履行个人信息安全保护义务的行政处罚）及时预警、堵漏，或于行刑衔接处把握合规整改的机会，以期达至终止调查程序、减轻罚款、诉源治理、不起诉、不予追究刑事责任等目标。

达到以上效果并不轻松，不仅要求单位决策层和合规建设紧密贴合、持续跟进，更有赖于合规团队熟稔特定单位的行业和经营特质，并具备一定的战略前瞻性。

二、计算机信息系统类犯罪：数据合规义务与单位犯罪免责的连通

该类罪名包括破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统罪、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪等。通过对此类犯罪中单位犯罪的认定和量刑情节考量以及相关主体责任减免的解构，可倒逼单位将刑法作为义务嵌入日常经营。嵌入的基础是对该类犯罪行为性质和相关概念有着准确的理解，如“计算机系统”定义的厘清（可参见拙文[1]）。上述眉目清晰的前提下，数据合规义务与单位犯罪免责才可真正连通，互为循环。

三、拒不履行信息网络安全管理义务罪：合规应具备的兜底效应

管理者具备身份犯的资格是其特定法益保证人地位的应然要求[2]，故合规计划应具备提示犯罪风险和减少犯罪损失和处罚的兜底功能。企事业单位因不/未履行数据安全保护义务的行政处罚屡见不鲜：弱口令账号、未加密传输文件、未定期开展漏洞扫描等常见的管理漏洞都能造成数据泄露或被篡改的安全事故，该类行政处罚案例上升至追究刑事责任的情况亦不容忽视。那么数据合规应如何发挥其兜底作用呢？笔者认为“作为”与“不作为”义务有所差异：

1.作为义务：因时因地制宜

本罪“不履行法律、行政法规规定的信息网络安全管理义务”的构成要件中对作为义务的执行标准并不统一，对“管理义务”的执法依据、规制范围等在各地也不尽相同，造成对同一违法行为产生了不同评价。无论是适用千篇一律的模版还是过度谨慎地自我设限都不足取。

2.不作为义务：对危害后果的认识

实务界对本罪的法定犯罪结果的探讨较多，如“违法信息”的概念、多头监管之下“拒不改正”的情节认定、信息泄露的“严重后果”、相关帮助犯的定性等，在此不赘述。站在企业管理的角度，应重点把握经营所涉“信息”的性质，运用数据分类识别出重点数据、行业敏感数据，对识别有争议的数据也应保持与监管机构的互动，建立操作指引和责任归属，避免因制度缺失、管理漏洞等问题触发犯罪。

另外，信息网络安全管理义务的履行不当还可能造成其他类型的法律责任，尤其是对于一些平台类或中介机构，如“数据欺诈”问题：国内商家受到境外兜售数据的讹诈造成出口数据泄露的，也可能造成平台方或中介方的行政或刑事责任。

四、其他罪名：全链条内控体系的有效性

非法利用信息网络罪和帮助信息网络犯罪活动罪在数据合规体系中的防控抓手，与前述计算机信息系统类犯罪有相似之处，即在单位犯罪、信息系统的法律定性方面要作出具体的界定。“非法利用”和“帮助”行为所指向的系统研发、业务模式环节参与程度均会导向单位主体如何对数据分类识别、对重要数据和公民个人信息是否建立起相应的内控机制。与计算机信息系统类犯罪防控的不同之处主要在于非信罪和帮信罪需对行为本身作更多的法理和价值判断，这也是刑法中其他罪名的规定如何体现在数据合规中的法律依据。

非法经营罪、开设赌场罪、侵犯著作权罪、非法吸收公众存款罪等其他罪名也存在被吸纳进数据类型犯罪范畴的情形，或与之竞合。判断该类罪名是否应纳入刑事激励范畴考量，主要可通过该类行为是否能通过建立起有效的风控体系、是否能与后端审计真正连接得以预判、规避和减损来决定。

五、结语

数据是流动的，数据合规自然也要根据国际政治、技术革新和产业发展的新形势作出及时、有效的反应。数据刑事合规所应具备的激励功能仍有待持续的发掘、推动，在此与诸君共勉。

[1]参见叶荷：《穿透破坏计算机信息系统罪的犯罪客体》，载微信公众号“新则”，https://mp.weixin.qq.com/s/49bY9dx5NNy3GbQtLdJYbA

[2]参见于冲：《动态数据与动态安全：大数据时代个人信息的刑法保护进路》，中国法制出版社，2021年4月第一版.

声明：本文仅代表企业及专家个人观点，不代表本公众号及其运营单位意见或立场。

声明：本文来自数据安全推进计划，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。