法宝应用 | 苟日新，日日新，又日新——首例数据合规不起诉案例评述

北大法宝 2023-03-22

The following article is from 金杜研究院 Author 宁宣凤吴巍等

欢迎点击了解活动↑↑

本文来源：金杜研究院、北大法宝律所实务库

作者：宁宣凤吴巍吴涵等金杜律师事务所

编者按：大数据时代，专业的数据库是法律研究者使用的基本工具，是进行法律实证研究的重要支撑。通过对“北大法宝”检索发现有100余篇律所实务研究成果以 “北大法宝”数据库作为研究对象。我们将陆续推送利用“北大法宝”数据库进行实证研究的学术成果，以期为法学学术和实务研究提供参考借鉴，敬请期待。

欢迎广大法律同仁们登录“北大法宝”数据库www.pkulaw.com检索使用。

不久前，上海市普陀区检察院公开了全国首例数据领域刑事合规不起诉案件情况[1]。该案件涉及日前企业普遍关心的数据安全和刑事合规问题，同时案件背后所折射出的数据安全和刑事合规不起诉制度的有效运作和配合，值得我们从事企业法律合规相关人士思考和寻味，我们期待数据合规不起诉制度成为数字经济健康高度发展和网络空间治理的平衡器及指南针。

Z网络科技公司通过数据领域专项整改，获得不起诉决定

Z公司是一家网络科技公司。因运营需要，2019至2020年间，该公司首席技术官陈某某在明知Z公司未获授权许可的情况下，指使多名技术人员通过数据爬虫技术，非法获取某外卖平台数据，给外卖平台造成4万余元的直接经济损失。

4万元的金额看似不高，但却足以引发严重后果。根据《》第285条及相关司法解释，违反国家规定，采用技术手段，获取计算机信息系统中存储、处理或者传输的数据，造成经济损失一万元以上便属“情节严重”，涉嫌非法获取计算机信息系统数据罪。如违法行为查证属实，陈某某及Z公司不仅会面临三年以下有期徒刑、罚金等严厉的刑事处罚，陈某某个人及Z公司后续发展也必将受到重挫。

在此情况下，Z公司了解到最高检正在推行涉案企业合规改革，符合条件的企业可以通过合规整改免除刑事责任。为此，Z公司积极赔偿损失，取得外卖平台谅解，并主动向普陀区检申请适用合规监督考察程序。

获准适用后，Z公司结合普陀区检提出的检察建议，围绕管理、技术、制度进行自查整改，并聘请专业律师制定数据合规整改计划，扎实推进。经过数月努力，顺利通过合规考察验收，以及听证员、侦查人员、合规考察第三方组织、被害单位和4名全国人大代表等出席的“云听证”。通过合规整改，Z公司不仅获得不起诉决定，使公司重新回到正轨，还提高了公司合规管理水平，增强了竞争软实力。

数据经济发展与合规的矛盾

数据合规是新的合规领域，同时也是国家网络空间治理的重点领域。数字经济的发展使得作为生产要素之一的数据成为争先利用的对象，而由于数据本身可复制、易传播的特点，使得数据泄露、滥用等社会现象层出不穷，其引发的刑事犯罪也屡见不鲜。数据有序利用发展是全球社会亟需解决的问题，而重点在于如何平衡数据领域立法滞后和数据使用方式日新月异的矛盾。

1.数据合规的法律法规基本框架成行，但仍待完善

近年来，我国高度重视数据合规在立法中的顶层设计，并且通过加强有关方面的监管，不断强化和落实责任主体的义务。尤其是随着2021年《》《》等相关上位法的出台和实施，加之此前《》，我国在网络安全与数据合规领域，形成三股有效合力。但不得不承认，尽管网络安全与数据合规的立法框架已经初步成型，但相关的配套措施以及指南性文件仍然有待补充，比如“重要数据”“关键信息基础设施”等重要概念的范围和评价标准等还未正式公布。

2.数据合规领域需要动态管理和敏捷治理

数据合规领域的监管趋势主要呈现出以下两个基本特征：

一方面，规范动态制定与实时合规工作相伴而行：由于需要对三大立法各大制度加以具体细化，各种立法、标准制定工作正在紧锣密鼓地进行中，因而陆续出现大量的尚未生效的征求意见稿，典型的如统合三大法律数据保护制度的《网络数据安全管理条例（征求意见稿）》，抑或是专门规制App领域个人信息的《移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）》等。这些征求意见稿确定了数据出境等相关制度的具体规制措施和方向，同时对于责任主体来说，这些合规工作的开展也在持续动态变化中。

另一方面，垂直行业专门化与精细化监管同步深入：出现了针对特定领域、特定场景的专门规范，立法立规工作逐渐向精细化监管趋势发展。三大立法奠定了数据合规的基本框架，但是鉴于数据合规的工作因不同领域和场景从而具有不同的特殊性，因此需要针对这些不同点进行有针对性的规制。从领域上看，立法已经延伸至金融、汽车、互联网、生物医药等领域。从场景上看，国家有关监管部门还对以App为主的互联网移动应用产业链或生态圈进行了大量的执法活动。

尽管数据合规领域的监管在不断加快速度并且日益深化，数据领域的技术和经济发展速度仍在拉开距离。企业作为数字经济的主体之一，如何在创新的刚需中把握“合法合规”的底线，是企业亟需监管部门予以动态及敏捷指导的痛点。

3.数据不合规利用方式引发的多样化刑事责任

数据合规涉及到数据全生命周期的处理，在任意阶段的不正当行为都有可能引发多类刑事责任。比如，尽管爬虫是一项中立的技术工具，但非法爬虫可以作为一种犯罪手段来非法获取数据。以“爬虫”和“数据”作为全文关键词，北大法宝数据库进行检索，共检索出78份刑事案件。在分布上，罪名集中在侵犯公民个人信息罪（20）、非法获取计算机信息系统数据、非法控制计算机信息系统罪（14）、侵犯著作权罪（9）以及诈骗罪（8）。

与爬虫技术的利用相关案件只是个例子，具体而言，如下表所示，数据领域典型的刑事犯罪还有可能包括：

近几年涉及相关罪名案件的绝对数量统计

（数据来源：北大法宝）

从案件统计来看，相较于其他各类型案件，帮助信息网络犯罪活动罪被认定的数量更大。在积极犯罪中，侵犯公民个人信息罪是最常被认定成立的罪名。拒不履行信息网络安全管理义务罪作为一种消极犯罪，其被认定的情形不多。这可以从该罪的构成要件来进行解释，不履行信息网络安全管理义务通常表现为由不担当行政责任而导致的刑事责任，成立该罪名通常以拒不改正的行为并且导致所规定的危害结果作为犯罪构成要件。

除了以上常见的数据合规领域常见罪名以外，根据实际具体的犯罪构成要件的论证，数据有关的违法犯罪行为也有可能构成上述典型犯罪以外的其他罪名。譬如，上海某信息科技公司因受到巨大利益诱惑，为境外组织采集和提供采集中国铁路信号数据，包括物联网、蜂窝和GSM-R，也就是轨道使用的频谱等数据。由于该等数据涉及国家基础信息、国家核心数据，因此该公司的王某、迟某等涉嫌为境外刺探、非法提供情报罪被执行逮捕[2]。

合规监督考察，救济数据违法行为的新路径

今年全国两会后，最高检会同全国工商联等部门召开专题会议，宣布涉案企业合规改革在全国范围内推开。国有企业、民营企业、外资企业在生产经营活动中涉及的经济犯罪、职务犯罪等案件均在改革范围之内。数据合规领域常见的非法获取计算机信息系统数据罪、侵犯公民个人信息罪等罪名均可适用。而且，无论是单位犯罪案件，还是企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件，均可适用该项改革。由此可见，适用合规监督考察程序，通过合规整改免除刑事责任，将成为涉嫌数据违法行为的企业的新的救济路径。

根据现行规定，获准适用合规监督考察程序的企业，需要开展内部自查，深入分析案发原因，识别违法行为背后的管控漏洞，并在此基础上明确合规整改措施，制定《合规计划》。《合规计划》经第三方组织及检察院确认后，涉案企业需严格执行，按照计划，积极开展、落实各项整改工作，并定期向第三方组织及检察院汇报，接受阶段性现场检查。最终，顺利通过第三方组织的验收及检察院组织的听证后，涉案企业才能获得不起诉决定。

由此可知，涉案企业合规监督考察程序关注的重点，是涉案企业的合规整改与合规建设。在Z公司非法获取计算机信息系统数据案中，普陀区检也对Z公司提出了明确的合规建设要求。

第一，构建数据合规管理体系。设置专门的数据合规管理部门，特别针对数据来源合法性，制定并不断完善数据合规计划，消除内部管理盲区。

第二，提高数据合规风险识别、应对能力。规范技术汇报审批流程，建立技术应用合规评估制度，避免技术滥用。

第三，稳健数据合规运行。建立数据合规咨询机制与数据不合规发现机制，建立数据分级分类管理制度及员工数据安全管理制度，填补制度空白。

Z公司也是通过合规整改，符合了上述合规建设要求，才能够顺利通过验收及听证，获得不起诉决定。

企业数据合规体系的搭建及其注意事项

结合普陀区检察院的检察建议，我们理解涉案企业在搭建数据合规体系时应关注以下核心要点。这些要点与企业搭建日常数据合规体系时所需关注的要点，有一定共通之处。

首先是数据合规问题的发现、风险识别与整改。目前，《网络安全法》《数据安全法》和《个人信息保护法》的数据合规领域上位法框架规则基本成型，对于企业现行数据处理方案中的合规问题，需要进行一次全面和彻底的盘点、梳理和识别。根据检察建议书，“规范技术汇报审批流程，建立技术应用合规评估制度，避免技术滥用”成为相应的客观要求，而配合此要求，《数据安全法》规定的数据处理风险监测、重要数据处理定期风险评估，以及《个人信息保护法》要求在特定情形时开展的个人信息保护影响评估，企业均需要形成行之有效的内部运行机制，并与自身业务规则相适应，将法律合规义务嵌入审批和管理流程，从而帮助企业完成风险识别以及后续的整改落地。

其次是数据合规制度规范建设与顶层设计。不难发现，构建成熟有效的数据合规管理体系，是本次涉案企业在合规不起诉案件中得以成功申请并通过听证的关键原因。从一般的企业数据合规体系构建实践视角来说，一个达到法律要求和预期目标的数据合规制度规范体系，至少要在顶层制度、配套规范和执行工具三个层面进行构建、完善与维护。

第一，在顶层制度上，企业需要以统一的纲领性制度文件，并且至少从管理或责任部门、组织架构、数据安全与个人信息保护原则，以及基本技术和操作要求等维度展开对该内部纲领性制度文件的搭建。该文件应当通过公司内部的员工大会或者其他依法形式公开发布，并且成为员工应当严格遵守的内部纪律制度。

第二，在配套规范上，企业需要根据相关法律分别对“网络运营者”“数据处理者”和“个人信息处理者”，乃至“关键信息基础设施运营者”等不同主体施加的不同网络安全和数据保护义务，建立起可供业务和管理职能参照日常执行和监督的指引性规范和规定。例如，企业数据分类分级管理规定、企业数据来源合法合规性审查规范、员工数据安全与权限管理规范、个人信息加密和去标识化指引、数据出境安全管理要求、网络数据安全应急响应预案及流程规定等等。其中，本次涉案企业所接受的检察建议中，对于数据来源合法性确认程序和员工信息安全意识管理提出了专门要求。

第三，在执行工具上，由于数据合规的涵盖面和工作事项较为广泛且多样，因此一套配合有效的数据合规表单记录类工具或模板成为能够节省合规成本、提高合规效率的重要帮手。在这方面，例如个人信息处理记录义务、个人信息保护评估义务以及数据出境安全评估义务等均可以通过设计相对通用的合规工具，以在确保完成度的基础上尽可能提高合规工作的效率。

最后是数据合规体系的日常维护和执行监督。本次涉案企业经办案检察机关要求，设置了专门的数据合规管理部门，同时建立了数据合规咨询机制。在作出合规不起诉决定前，由监管部门、安全企业和社会组织等多方组成的相关第三方组织成员，进行了三方监督评估和整改情况调研工作。由此可见，对于企业拟搭建的数据合规体系而言，还需要分别在“内部体系维护”和“外部独立监督”两个方面下功夫。

其一，对于内部体系维护而言，如果符合相关法律规定的应当设立网络安全、数据安全和个人信息保护专门部门和负责人的情况或条件，则企业应当履行法定义务，确认相关主管负责部门及同事，切实担当起企业整体的数据合规责任。此外，根据现行法律要求，内部主管部门应当还需要定期对数据安全和个人信息保护情况进行“合规审计”。可以预见，以自行或者委托第三方专业机构为主、相关主管部门强制审计为辅的数据领域合规审计工作，将成为日后维系企业数据合规体系日常有效运转的重要内容。

其二，对于外部执行监督而言，建议企业建立起稳定和畅通的数据合规咨询渠道，包括与相关主管部门、专业第三方组织（如数据合规律师或律所团队）定期沟通与咨询合作机制，尽可能在风险还未生成或对企业经营产生重大影响前及时规避或化解；此外，根据《个人信息保护法》及相关规定，对于符合“提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者”，应当按照国家规定成立主要由外部成员组成的独立机构对个人信息保护情况进行监督，同时定期发布个人信息保护社会责任报告，接受社会监督。

企业数据合规体系的构建显然是一项系统性工程，企业需要从现有或计划开展的经营业务现实出发，借助专业第三方组织的力量并结合专业人士的意见，制定可行有效的数据合规体系搭建方案，并有计划、分步骤地展开落地和执行工作。从我国首例数据合规不起诉案件中，我们有理由认为，我们所探讨的合规体系构建工作的现实意义将日趋强化，高质量、精细化的数据合规工作也将进一步为现代企业的数字化开拓发展创造全新的价值。

注释：

[1]详情请见https://mp.weixin.qq.com/s/WG-u1ZaHiOn9yX00irS35w。[2]https://tv.cctv.com/2022/04/13/VIDE0FR1IT8DudSltL6poIRg220413.shtml

北大法宝年中活动仍在继续

→ 活动规则 ←

↑ 长按识别进入购买链接↑

↑下单入群抽奖↑

-END-

编辑排版丨刘卓知
审核人员丨张文硕本文声明丨本文章仅为交流之目的，不代表北大法宝的法律意见或对相关法规/案件/事件等的解读。

▼ 往期精彩回顾 ▼

真相！谁在用北大法宝做学术研究？

法宝应用 | 新型竞争行为的法律规制问题浅析

法宝应用 | 私募基金的“围城”之危 ——私募基金领域非法集资刑事风险识别