《知而慎行防患于先——从首起数据合规不起诉案论数据合规体系价值与构建.docx》由会员分享,可在线阅读,更多相关《知而慎行防患于先——从首起数据合规不起诉案论数据合规体系价值与构建.docx(21页珍藏版)》请在三一办公上搜索。
1、知而慎行,防患于先一一从首起数据合规不起诉案论数据合规体系价值与构建本文结合国内首起数据合规不起诉案,介绍了合规不起诉制度在我国数据合规领域的适用情形和具体程序,据此重塑了数据合规体系的价值并提出合规建议。序言日前,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况,打响了我国在数据领域“合规不起诉”的第一枪。在大数据时代,企业数据合规治理已成为近年来主管部门监管的重点,本案作为数据合规治理与合规不起诉制度的首次交集,意味着我国合规不起诉制度将正式适用于数据合规领域。可以预见,企业建立数据合规治理体系,保障数据业务合规运行,将不再是控制底线合规风险基础上的锦上添花,而将成为规避自身涉刑风
2、险所势在必行的路径。关于合规不起诉制度一)什么是合规不起诉?2021年4月,最高人民检察院下发关于开展企业合规改革试点工作方案(以下简称“工作方案”),明确开展企业合规改革试点工作:检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌的具体犯罪,为企业设置考察期限,督促涉案企业作出合规承诺并积极整改落实。由此,“合规不起诉”即当涉案企业作出合规承诺并积极整改落实后,检察机关可据此作出不批准逮捕、不起诉决定或提出轻缓量刑建议。“合规不起诉”的理念源起于美国的暂缓起诉协议(DeferredProsecutionAgreeme
3、nt,DPA)与不起诉协议(Non-ProsecutionAgreement,NPA)制度。前述制度的适用领域包括侵犯公民个人信息等新型数据犯罪案件。在EPSiIOn案1中,因将所掌握的3000多万美国民众的数据出售给欺诈组织,Epsilon公司受到刑事指控。此后,Epsilon与当地检察机关及美国司法部就该指控达成DPA,并通过对完善公司内部数据合规举措作出承诺,积极开展整改,定期向司法当局提交公司数据合规整改报告等方式,最终避免了被定罪量刑的不利后果。随着改革试点工作的稳步推进,“合规不起诉“在我国的实践适用领域也从经济犯罪扩展至网络数据犯罪。在首起“数据合规不起诉”案中,网络科技领域的Z
4、公司的首席技术官和多名技术人员于2019年至2020年期间,在未经授权许可的情况下,通过网络爬虫等技术手段,非法获取某外卖平台数据,造成其直接经济损失4万余元,涉嫌非法获取计算机信息系统数据罪。涉案公司最终通过完成合规整改的方式获得了检察机关的不起诉决定。该案作为最高检指导下培育的数据合规典型案例,为数字化转型背景下我国企业“数据合规不起诉”的实践适用拉开序幕。(二)何种情形下适用合规不起诉?1、主体目前工作方案等文件中未明确“合规不起诉”适用的主体范围,参考与合规不起诉制度密切相关的关于建立涉案企业合规第三方监督评估机制的指导意见(试行)(以下简称“指导意见“)第三条2规定,第三方机制既适用
5、于公司、企业等实施的单位犯罪案件,也适用于公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。据此,从目前的制度安排上看,我们倾向于理解我国合规不起诉制度将同时适用于单位主体与个人主体。就数据保护领域而言,企业的数字产品的开发、运营和管理人员,乃至个人信息保护负责人等责任主体或可适用合规不起诉制度以最大程度规避自身刑事风险。2、适用条件结合相关规定3及现有实践4,适用合规不起诉的案件以轻罪居多,但也不排除个别案件中直接责任人员可能判处三年有期徒刑以上刑罚。据此,结合有关规定5,我们总结了“合规不起诉“常见的适用条件及排除适用条件。请见下表:适用条件排除适用
6、;(1)犯罪事实清楚,证据确实、充分;(1)涉嫌危害国家安全;(2)当事人对主要犯罪事实无异议,自愿认罪、毒品犯罪、洗钻罪认罚;罪的;(3)有造成经济损失的,应主动赔礼道歉、(2)依法应当判处十年I积极赔偿损失、补缴税款、滞纳金及罚上刑罚,且不具备立款,足额缴纳环境资源修复资金或已恢法定减刑情节的;复原状;(3)造成人员重大伤亡缶(4)直接负责的主管人员或其他直接责任(4)社会负面影响大、料人员可能被判处二年有期徒刑及以下(5)涉案企业以犯罪所彳刑罚。源的;(6)涉案企业不接受合胡点击可查看大图3、数据合规领域相关的罪名我们梳理了数据合规领域常见刑事风险高发场景以及涉及罪名如下表。常见风险场景
7、可能涉及罪名法律规定非法侵入计算机信息系统罪刑法第285条f1款非法获取计算机信息系统数据刑法第285条12款不当使用网络爬虫等技术措破坏计算机信息系统罪刑法第286条施侵犯公民个人信息罪刑法第253条二点击可查看大图企业当如何应对数据合规不起诉程序(一)合规不起诉程序的启动根据工作方案指导意见等相关规定,合规不起诉制度应由检察机关依职权或依申请启动。15依申请启动,即涉案企业、个人及其辩护人、诉讼代理人或者其他相关单位、人员提出适用企业合规试点以及第三方机制申请的,人民检察院应当依法受理并进行审查。依职权启动,即人民检察院主动审查所办理的涉企犯罪案件是否符合企业合规试点适用条件,经审查符合条
8、件的,启动合规试点。在首例数据合规不起诉案中,Z公司在案发后即向普陀区检察院提出了合规不起诉申请。随后,检察机关综合本案爬取数据未涉及身份认证信息,无二次兜售牟利行为,犯罪情节及主观恶性等情况,并综合考虑涉案单位为成长型科创企业、直接责任人认罪认罚并积极赔偿等事实,经审查认定可依法启动涉案企业合规考察,进而启动相应合规不起诉程序。就申请及审查时间层面,本案尚未披露Z公司提出申请以及检察院开展审查的具体时间节点,工作方案等文件中同样未明确合规不起诉程序的启动时间。参考部分地方立法,例如辽宁省在合规考察制度意见第八条即明确规定,检察机关应当自犯罪案件移送审查起诉之日起30日内,决定对是否适用合规考
9、察制度进行审查。(二)合规审查与检察建议合规不起诉制度的根本目的在于通过企业合规,常态化降低刑事犯罪风险。数据合规风险具有系统性的特征,虽可通过快速整改(QuickWin)以规避特定合规风险,但就数据风险防范而言,则应建立整体性的数据合规体系。据此,如企业因数据合规问题遭遇刑事风险而欲寻求适用合规不起诉制度,则应在自身合规承诺中同时涵盖在整改期内解决特定问题(QuickWin)及在整改期后及时搭建整体数据合规体系。本案中,在Z公司提出申请后,普陀区检察院实地走访Z公司以查看经营现状、会同监管部门研商Z公司运营情况后,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议
10、,指导Z公司作出合规承诺。具体而言,检察机关提出了合规建议的三大举措:第一,构建数据合规管理体系,设置专门的数据合规管理部门,特别针对数据来源合法性,制定并不断完善数据合规计划;第二,提高数据合规风险识别、应对能力,规范技术汇报审批流程,建立技术应用合规评估制度;第三,稳健数据合规运行,建立数据合规咨询机制与数据不合规发现机制,建立数据分级分类管理制度及员工数据安全管理制度,填补制度空白。(三)合规整改本案中Z公司涉及通过爬虫技术非法获取平台数据,构成数据源不合法的问题。结合检察建议,Z公司围绕管理措施、技术措施、制度进行自查整改,包括彻底销毁相关“爬虫”程序及源代码,对非法获取的涉案数据进行
11、无害化处理,同时,与相关平台签订数据处理协议,同多家大型互联网企业达成数据合作以搭建合法第三方数据获取的机制,助力后续业务的合规平稳开展。就合规整改期限而言,从案件时间线16来看,检察机关为Z公司设定的合规整改期限不少于5个月。我们理解,与多数经济类犯罪涉及的合规整改不同,就数据合规而言,往往可能涉及企业制度体系的完善、管理架构的调整及业务模式的巨变,整改难度较大、耗时较长,进而需具备成熟数据合规经验的专业团队介入。本案中,Z公司在整改开始之际即聘请法律顾问团队,通过引入专业意见,制定了针对性且行之有效的数据合规整改计划,从而使得Z公司可以在整改期内顺利根据承诺推进对涉案数据合规问题的整改。结
12、合目前的实践情况,多数合规不起诉案例整改期限在半年之内,部分案件整改期限更是在3个月内。17可见,如企业因面临刑事风险而启动合规不起诉程序时完全从零开始整改,恐面临较大整改难度和压力。据此,提前搭建数据合规体系不仅可有效防范企业触发刑事风险,亦可帮助企业在启动合规不起诉程序后于有限的整改期限内及时完成整改。(四)第三方监督评估(如有)本案中Z公司在收到检察建议并开展合规整改过程中,依法申请启动第三方监督评估机制(以下简称“第三方机制”),根据指导意见第10条,第三方机制的启动应由涉案主体提出申请,并由检察院予以审查。如经审查符合条件的,可商请本地区第三方机制管委会启动第三方机制。同时,第三方组
13、织应由专业人员组成。本案涉及“网络爬虫”等数据合规专业领域,因此,检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成第三方组织。值得注意,启动第三方机制并非合规不起诉程序的必需阶段,涉案企业合规建设、评估和审查办法(试行)(以下简称“办法”)总则部分明确提出:“针对未启动第三方机制的小微企业合规,可以由人民检察院对其提交的合规计划和整改报告进行审查。”具体而言,第三方机制的适用程序如下图: 合规整改期前(ZZ)必修步赛 合规整改期内 L,J1H经步骤 合规整改期后 合规整改中止 台规整改结束Pl检索机关作囹决定的0要参考文件涉茶企业
14、向第三方M交合规计划谢懿业依Ig第三方坦想谢查JB见修改台地计划第三方姐织定合炫考察KIRI第三方组织检虐评估合翅计划行情况第三方蜜帔发现:涉案企业弟其人员尚未被办案机 关掌舞的见靠事 买 Ui3CfiG制行为港案企业向第三方组个定!书面揪侑合蟆计划的执行情况,同BI抄送负员办1猿件的人民格察院第三方埴织全遢检、评估.考移合规计划完成情况第三方编职制作合蟆考察书面报告第三方组织向第三方机制U委会1负费办印索科的人民检察院报送台册考察书面报告第三方组织中止第三方版部估程序.并向负班办理事件的人民松盛院用侑正靠线索人民怆察院落第三方的堀合ISg事书面报告涉案企业合烷计刽.庭网书面掖告等作为M要钵名
15、,作出决定点击可查看大图6月14日,企业合规第三方监督评估工作推进会召开。会上,最高检党组副书记童建明明确,开展涉案企业合规改革试点,”必须紧紧依靠第三方机制“,再次强调了第三方机制在“合规不起诉”程序中的重要性。随着全国工商联、最高检等十三部门共同启动的企业合规第三方监督评估信息化服务平台的运行,可以预见,第三方介入于“合规不起诉”程序将更加常态化与专业化。(五)公开听证(如有)与不起诉决定根据相关规定18,对于拟作不批准逮捕、不起诉、变更强制措施等决定的涉企犯罪案件,可以召开听证会。本案中,第三方组织评定合规整改合格后,检察院组织进行公开审查听证。经评议,参与听证各方认为涉案单位数据合规整
16、改到位,一致同意对涉案单位及人员作出不起诉决定。关于整改有效性的判断,办法第三章具体提出了如下评估指标:(一)对涉案合规风险的有效识别、控制;(二)对违规违法行为的及时处置;(三)合规管理机构或人员配置的合理配置;(四)合规管理制度机制建立及人力物力的充分保障;(五)监测、举报、调查、处理机制及合规绩效评价机制的正常运行;(六)持续整改机制与合规文化的基本形成。可见,各方作出不起诉决定时,不仅着眼于涉案犯罪行为风险的化解,也同时关注持续合规部署及风险防范。本案中,Z公司亦在听证会上作出了“将合规整改动态化、常态化落实到日常管理中”的合规承诺。以数据合规不起诉案看企业数据合规体系的价值(一)应用
17、领域的范围:经济犯罪或全面铺开?2021年3月,最高检启动第二期企业合规改革试点工作,将“合规不起诉”制度应用范围从第一期试点时的涉企“经营类犯罪案件”扩至涉企“刑事案件”,从既往试点单位公布的典型案例上看,“合规不起诉”的实践应用已从经济类犯罪拓宽至环境类犯罪,而本次首例“数据合规不起诉”案则意味着将进一步拓展至数据合规领域。我们理解,这一拓展不仅印证企业“合规不起诉”的应用领域正全面铺开,同时也彰显数字经济时代构建数据合规体系对于帮助涉案企业“起死回生”的特殊意义。U)适用主体的边界:DPO等或可适用合规不起诉?目前,刑法对大部分网络数据领域可能涉及罪名均明确规定了单位的刑事责任与个人的刑
18、事责任(即双罚制),其中“个人”通常指直接负责的主管人员和其他直接责任人员,而在数据合规领域则进一步可能包括业务负责人,乃至数据安全负责人、个人信息保护负责人等(以下统称为“负责人如前所述,我国合规不起诉制度同时适用于企业与个人。据此,就网络数据领域,考虑到数据安全法个人信息保护法均对企业提出了设定相应负责人的合规要求,实践中,依法应承担数据合规监管责任、甚至刑事责任也一直是此等负责人的痛点,我们理解,通过引入合规不起诉制度,或可成为企业DPO(数据保护官)等负责人自我保护的有力武器。(三)制度价值的实现:小微企业或中大型企业?如涉案企业进入“合规不起诉”程序,作为中大型企业,因其具有合规部门
19、、法务部门等更为完善的组织架构,且通常已具备一定数据保护制度基础,故而在落实检察机关的数据合规整改要求、建立健全企业数据合规体系等问题上更具先决优势,也可助力企业快速度过整改期。相比中大型企业,实践中,小微企业可能存在欠缺数据合规意识,组织架构、制度流程设计等同法定要求存在较大数据合规差距等问题,对数据合规体系的搭建往往需从零开始,从而使得小微企业在短期内完成数据合规整改以实现不被起诉目标的存在一定难度。据此,我们理解,“合规不起诉”制度对于中大型企业,尤其是已建立一定数据合规管理体系的企业而言将更具适用价值。对于小微企业而言,也可通过提前建设必要的数据合规管理机制,以在事前(防范)和事后(适
20、用合规不起诉制度)最大程度规避刑事风险。(四)数据合规的开展:锦上添花或势在必行?近年来,无论是数据主体行权意识的觉醒,还是监管态势的趋严,均凸显了企业数据合规议题的重要价值。对企业而言,首例数据“合规不起诉”案件的公布,是警示亦是动力。本案企业因违法使用爬虫技术而触发刑事程序,警示企业“数据”不再仅是“红利”,而是“双刃剑数据既可以作为新的生产要素成为企业的核心竞争力,同时在企业对数据合规义务予以漠视,越过刑事犯罪的边界时,其亦可能给企业带来“经营生命终结”的风险。同时,本案也可成为企业积极建设数据合规体系的动力。一方面,企业可通过提前部署数据合规工具,设定数据合规管理架构,建立数据合规制度
21、,从而提前防范刑事风险;另一方面,如确已进入刑事程序,可通过“合规不起诉”制度配合检察机关积极开展数据合规整改,继而扭转局势,使企业得以转危为安,延续经营。据此,我们理解,企业开展系统的数据合规治理,将不再是控制底线合规风险基础上的锦上添花,而将成为规避自身涉刑风险所势在必行的路径。四.合规建议:以风险防控为导向开展数据合规治理如前述,企业开展数据合规治理已成为数据时代下势在必行的路径。据此,我们建议企业以风险防控为导向开展数据合规工作,在面临刑事风险可能时,通过如下两大方面、四个步骤开展数据合规工作,增强“合规不起诉”程序的适用可能性,助力在有限的整改期内开展合规整改,以实现不被起诉之目的。
22、一)组建数据合规团队,开展高危风险针对性整改(Quick-Win)如企业意识到有可能面临数据安全事件或面临刑事风险,应当及时引入外部数据合规律师等专业第三方,与法务/合规部门、IT等部门成员共同组成专门的数据合规整改团队,针对可能引发数据安全事件或刑事风险的高危数据处理活动制定针对性合规计划,推进整改。针对性合规计划应当有所侧重,在短期内优先攻克监管关注、直接面向C端用户的高风险项。全面开展差距分析,建立长效数据合规治理机制1、全面梳理数据资产清单,开展尽职调查与差距分析企业应由点及面,在数据合规律师等专业第三方协助下,就各业务、产品涉及信息系统、数据处理情况、业务流程,既有数据业务资质、制度
23、与流程,与第三方数据交互情况及第三方的合规管理情况等开展全面尽职调查;并对标普适性及行业特殊法律法规、标准等,从数据安全、个人信息安全的角度,开展合规差距分析,全方位识别数据合规风险与合规差距。2、健全数据合规管理体系,提高数据合规风险识别能力企业可综合考量违法后果、执法趋势、行业实践、公司现状等因素,结合数据合规风险识别与合规差距分析结果,制定相应整改方案,通过业务、法务、技术人员的配合,完善内部制度、组织与技术措施,健全数据合规体系,避免触发刑事风险。同时,企业可考虑引入PbD等数据合规工具,将数据合规要求融入产品设计源头,就高风险场景及时进行个人信息安全影响评估,并确保监测、举报、调查、
24、处理机制及合规绩效评价机制的正常运行,以不断提升数据合规风险识别能力。3、定期开展数据合规审计,持续提升数据合规意识数据合规审计报告不仅可帮助企业了解自身数据合规情况,同时亦可作为向检察院及第三方组织证明自身合规程度的证明文件。企业应当定期开展数据合规审计,不断发现问题、解决问题。同时,还应加强人员培训,不断提高员工的数据合规意识,并在业务中嵌入合规流程、落实合规要求,结合外部监管要求和自身需求动态优化合规体系与合规实践。注1Seehttps:/www.justice.gov/opa/pressrelease/file1360886download.2指导意见第三条第三方机制适用于公司、企业等
25、市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,既包括公司、企业等实施的单位犯罪案件,也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。3关于建立涉罪企业合规考察制度的意见第六条第一款第(三)项:对涉罪企业适用合规考察制度的案件应当同时符合下列条件:(三)直接负责的主管人员和其他直接责任人员依法可能被判处三年以下有期徒刑、拘役、管制或单处罚金;指导意见第五条第一款第(四)项:对于具有下列情形之一的涉企犯罪案件,不适用企业合规试点以及第三方机制:(四)涉嫌危害国家安全犯罪、恐怖活动犯罪的。4例如,在最高检发布的两批(共10例)企业合规改革试点
26、典型案例中,涉罪法定刑期以3年以下(4例)与3-7年(3例)案例为主,兼有1例法定刑3-10年案例、1例法定刑10年以上案例和1例未明确法定刑案例。5具体包括工作方案指导意见关于建立涉案企业合规第三方监督评估机制的指导意见(试行)实施细则涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)以及各地出台的“合规不起诉“有关规定。6参见(2018)3424刑初169号刑事判决书。7参见(2017)京0108刑初2384号刑事判决书。8参见(2019)粤0305刑初193号刑事判决书。9参见(2020)湘0981刑初77号刑事判决书。10https:/11参见(2020)京0108刑初237号
27、刑事判决书。12参见(2019)川05刑终41号刑事裁定书。13参见(2020)云0103刑初1206号刑事判决书。14参见最高人民检察院第三十四批指导性案例检例第140号。15指导意见第十条第一款:人民检察院在办理涉企犯罪案件时,应当注意审查是否符合企业合规试点以及第三方机制的适用条件,并及时征询涉案企业、个人的意见。涉案企业、个人及其辩护人、诉讼代理人或者其他相关单位、人员提出适用企业合规试点以及第三方机制申请的,人民检察院应当依法受理并进行审查。16本案中,Z公司于2021年8月收到检察院制发的合规检察建议,2021年10月第三方监督评估开始;2022年1月,企业向检察院进行中期整改汇报
28、;2022年初,Z公司经第三方监督评估合格。17例如,在最高检发布的两批(共10例)企业合规改革试点典型案例中,有7个案例公示了合规整改期限,其中“深圳X公司走私普通货物案”整改期为12个月;“上海J公司、朱某某假冒注册商标案”整改期为5个月;“海南文昌市S公司、翁某某掩饰、隐瞒犯罪所得案”整改期为4个月;“张家港市L公司、张某甲等人污染环境案”“张家港S公司、雎某某销售假冒注册商标的商品案”“随州市Z公司康某某等人重大责任事故案”“山东沂南县Y公司、姚某明等人串通投标案”等4个案例整改期均为3个月。18指导意见第十五条:人民检察院对于拟作不批准逮捕、不起诉、变更强制措施等决定的涉企犯罪案件,可以根据人民检察院审查案件听证工作规定召开听证会,并邀请第三方组织组成人员到会发表意见。
