一、企业数据安全的刑事风险
与数据安全有关的案件近期频繁出现在公众视野,近日国家互联网信息办公室对某知名移动出行平台依法作出网络安全审查相关行政处罚的决定,根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对该平台涉嫌违法行为进行立案调查。
经查实,该平台违反《网络安全法》、《数据安全法》、《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。7月21日,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规作出了严厉的行政处罚:对该平台处人民币80.26亿元罚款,对该平台负责人各处人民币100万元罚款。
从公开披露的信息看,该平台的违法行为情节严重、性质恶劣,但这些行为是否构成刑事犯罪一度引发了公众关注和讨论。笔者认为,除了依法不公开的相关事实外,该平台违法收集、过度收集公民个人信息的行为,已满足“违反国家规定”、“在履行职责、提供服务过程中收集公民个人信息”,非法获取个人信息条数达到“情节特别严重”标准等条件,已符合刑法规定的“侵犯公民个人信息罪”的客观构成要件;从主观要件上而言,该平台明知自己不应当采用非法方法获取相关公民个人信息而仍然非法获取,属于直接故意,并且“拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管”说明该平台对其违法行为具有主观上故意,已经涉嫌“侵犯公民个人信息罪”。
既然该平台存在这么严重的违法行为及后果,为什么网信办等行政执法机关不将该平台并涉嫌犯罪的行为移交公安机关追究其刑事责任呢?结合公开披露的信息,笔者推测,很可能本案已经经过多个相关部门研判,最终作出不予刑事处罚、而只给予行政处罚的决定。而结合该平台官方微博上显示的整改信息,笔者进一步推测,很可能该平台已经申请按照正在试点的“合规不起诉”制度,以企业进行合规整改换取检察院同意不提起公诉,避免被追究刑事责任。
通过对上述案件以及近年来高发的其他数据合规案件的研究,笔者认为,企业在数据采集、使用、存储、传输、共享以及数据管理方面的不合规行为,企业以及负有直接责任的高管人员除可能面临行政处罚风险外,还可能面临被追究刑事责任的风险。
严重的数据违规行为可能涉及《刑法》中规定的以下罪名:非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯公民个人信息罪、侵犯著作权罪、拒不履行信息网络安全管理义务罪等,这些罪名主要是非法获取数据犯罪和破坏型数据犯罪,行为方式主要是非法获取、删除、修改、增加计算机信息系统数据。
由此可见,企业建立数据合规治理体系,保障数据业务合规运行,不仅是控制底线合规风险的需要,而将成为规避自身刑事风险势在必行的路径。
二、合规不起诉制度
当企业因数据合规问题导致面临刑事责任风险时,可以采取什么措施进行合法规避呢?2022年5月15日上海首例数据刑事合规不起诉案件给我们带来了启发:
2019年至2020年,Z网络科技有限公司在未经授权许可的情况下,为运营需要,由公司首席技术官陈某某指使多名技术人员,通过数据爬虫技术,非法获某外卖平台数据,造成某外卖平台直接经济损失4万余元。
根据《刑法》第285条及相关司法解释,违反国家规定,采用技术手段,获取计算机信息系统中存储、处理或者传输的数据,造成经济损失一万元以上便属“情节严重”,涉嫌非法获取计算机信息系统数据罪。如违法行为查证属实,陈某某及Z公司不仅会面临三年以下有期徒刑、罚金等严厉的刑事处罚,陈某某个人及Z公司后续发展也必将受到重挫。
在此情况下,Z公司了解到最高检正在推行涉案企业合规改革,符合条件的企业可以通过合规整改免除刑事责任。为此,Z公司积极赔偿损失,取得外卖平台谅解,并主动向普陀区检申请适用合规监督考察程序。获准适用后,Z公司结合普陀区检提出的检察建议,围绕管理、技术、制度进行自查整改,并聘请专业律师制定数据合规整改计划,扎实推进。经过数月努力,顺利通过合规考察验收。
2022年5月15日,上海市普陀区检察院在最高检指导下,邀请听证员、侦查人员、企业合规第三方考察员和被害单位等,以远程方式对Z网络科技有限公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证,四名全国人大代表受邀旁听。开展对涉事企业的听证,经评议,参与听证各方认为涉案单位数据合规整改到位一致同意对涉案单位及人员作出不起诉决定。通过合规整改,Z公司不仅获得不起诉决定,而且在检察院介入以及各方参与下,建立健全了数据合规管理制度,使公司重新回到正轨。
【合规不起诉制度】
2021年4月,最高检下发《关于开展企业合规改革试点工作的方案》(“《方案》”),正式启动第二期企业合规改革试点工作。
所谓“企业合规改革试点工作”,《方案》给出了定义,即“检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌具体犯罪,结合办案实际,督促涉案企业作出合规承诺并积极整改落实,促进企业合规守法经营,减少和预防企业犯罪,实现司法办案政治效果、法律效果、社会效果的有机统一”。
“企业合规不起诉制度”,事实上包括了“合规不批捕”、“合规不起诉”、“合规从宽量刑建议”、“合规从宽处罚建议(行政处罚建议)”等多重含义。“合规不起诉制度”是一种附条件的不捕、不诉或从宽处理制度,是不起诉制度与企业合规的结合,其前提是企业愿意开展合规建设并接受考察监督。所以,在检察机关同意适用该制度之后,如何开展企业合规建设,搭建符合监管机构要求的合规体系,是该制度实施的重点。
三、企业应对数据合规刑事风险的建议
上述案例中Z公司利用爬虫技术抓取外卖平台数据仅是一种信息网络犯罪的形式,有更多的数据安全相关的刑事案件中暴露了企业对数据合规意识缺失引发的刑事风险和公司治理风险,而且与数据安全相关法律、办法、指南的陆续出台对企业数据合规提出了更多的要求,企业在今后要把握好关键时期,积极迅速地推动企业的合规建设,在此建议企业要系统性地建设完善的数据合规体系:
01 健全完善数据安全保护机制、开展数据情况尽调、关注监管动态,及时发现数据合规问题,发现风险积极整改,应全面对照《网络安全法》《数据安全法》和《个人信息保护法》及一系列与数据安全有关的规范、指南文件等法律法规对数据处理进行调查。
02 建立数据管理制度,做好数据分类分级,制定数据存储政策和建立数据记录系统,以符合国内外隐私相关立法对企业的要求;
03 对第三方进行资质审查,数据合法性基础审查,数据来源审查以及合同审查等,最终形成审查报告并留存,证明企业已尽到其审查义务,以规避潜在的法律责任;
04 在发生刑事风险时,利用合规不起诉制度,主动申请适用合规监督考察程序,结合专业律师建议进行合规整改,对已经发生的数据违法行为进行救济,避免遭受刑事处罚。
以上制度建设,能够帮助企业减少数据安全问题引发的风险,同时能使企业更加充分地应对合规考察,形成风险发生前的预防机制和风险发生后的积极应对机制,而企业在数据合规、数据安全评估等方面由于缺少专业知识,一般会聘请评估机构、律师事务所等第三方机构给出数据合规建设的专业建议和全过程的审查,积极进行合规建设不仅可以预防风险,还可以提高企业竞争的软实力,助力企业在数据合规大时代实现健康可持续的发展。