1、2023年第1期网络数据安全领域的企业刑事合规体系建构韩轶网络社会背景下,数据成为社会的基本生产要素,亦成为大量企业业务开展的重要依托。在数据价值凸显的同时,企业在网络数据安全领域的刑事合规越来越受到重视。网络数据安全刑事合规具备双重功能,在基础功能层面可以有效地降低企业在网络数据安全领域的刑事风险;在扩展功能层面可以有效地提升企业的外部社会评价和整体价值。网络数据安全刑事合规的基本风险点,体现在滥用数据垄断地位引发的风险、侵犯个体数据自决权引发的法律风险、侵犯国家数据安全引发的法律风险三个层面。针对上述基本风险点,建立企业整体网络数据安全防护合规制度、企业收集个人数据合规制度、企业个人数据控
2、制权保障合规制度、企业数据泄露防控合规制度、企业第三方数据处理合规制度,应当作为网络数据安全领域刑事合规的基础方案。关键词企业刑事合规;网络数据安全;危害网络数据安全犯罪;合规方案中图分类号DF6文献标识码A文章编号1004518X(2023)010053-09基金项目国家社会科学基金一般项目“激励性刑法规范与预防性刑法观的实现”(19BFX064)韩轶,中央民族大学法学院教授、博士生导师。(北京100081)企业刑事合规以刑事法律风险防控为基本内涵,以降低刑事犯罪风险为基础功能,同时还兼具推动企业合理承担社会责任的扩张功能。由于社会实践的复杂性,企业所面临的刑事法律风险也具有多样性,需要企业
3、根据自身的业务特点准确定位具体风险点,展开有针对性的合规体系建设。同时,企业的刑事法律风险也具有动态性,随着外部社会环境的变化,特别是法律法规的更新,刑事法律风险也会不断演变,企业刑事合规体系也必须能够动态更新,并具有前瞻性。当前,在网络社会不断深化和大数据技术广泛运用的背景下,数据开始呈现出全新的价值属性。数据不仅是国家的基础性战略资源,更被我国明确为新时代的生产要素,无论是新型数字经济产业还是传统产业,都在积极地利用网络技术和数据技术,实现企业自身业务的时代性更新,网络数据安全已然同企业发展深入地嵌合在一起。随着数据在人类社会重要性的日益提升,网络数据安全的法律保护需求也同步彰显,网络数据
4、领域成为目前法律更新的主要内容之一,刑法亦53江西社会科学20231在构建全新的危害网络数据安全犯罪罪名体系,并且将单位犯罪主体作为规制的重点。因此,网络数据安全领域亦成为当前企业刑事合规需要重点关注的全新问题。一、网络数据安全刑事合规的基本功能指向企业合规是法治社会背景下企业可持续发展的基础,而刑事领域的合规则是整个企业合规的基石。新的时代背景下,企业发展离不开数据,只要建立起完善的网络数据安全刑事合规体系,就能起到预防数据风险、强化公司治理、构建和完善现代企业制度的重要作用。(一)网络数据安全刑事合规的基础功能:降低企业的犯罪风险网络数据安全刑事合规,一方面关注企业自身的数据安全内部控制和
5、治理流程,避免企业自身成为网络数据犯罪的犯罪对象,从而使企业的核心数据财富受到侵害;另一方面关注如何保障企业的内部运行同法律、法规、政策、行业规范等外部网络数据安全法律规范保持一致,从而在减少企业触犯网络数据刑事犯罪风险的同时推动整个社会的法治水平,获得企业利益保护和社会利益保障的“双赢”。首先,从减少企业成为网络数据安全犯罪“被害人”风险的角度来看。近年来,我国大规模数据泄露事件不断涌现,快递公司40万用户数据信息被泄露1,银行300万用户数据信息遭泄露2,2306网站470万用户数据信息被泄露3,数据泄露几乎在各个行业领域已然出现4。数据背后所蕴藏着的巨大社会财富、公共福祉和国家利益受到严
6、重侵害。层出不穷的海量数据泄露的背后动因,不仅源于非法获取数据行为人的犯罪行为,而且同相关企业、机构未能建立完善的网络数据安全合规体系同样也有着密切关系。5其次,从避免企业成为网络数据安全犯罪“犯罪人”风险的角度来看。我国刑法近期修正的侵犯公民个人信息罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,都在强化对单位犯罪主体的刑事制裁,实际上是对作为网络数据服务商的企业提出了更高的刑法义务要求。特别是,刑法第286条之“拒不履行网络安全管理义务罪”,直接将企业的数据安全管理义务,上升到刑事义务的层面,给企业的网络数据安全刑事合规,提出了更为紧迫的要求。数据安全刑事合规风险成为众多企业,特别是新兴互
7、联网企业悬在头上的“达摩克利斯之剑”。(二)网络数据安全刑事合规的扩展功能:提升企业的整体价值从社会价值的角度考量,企业作为社会活动参与主体的价值主要体现在两个层面:一方面是履行生产经营服务职责,创造社会财富和经济效益,另一方面是履行企业经营范围内的社会管理职责,确保社会整体秩序稳定。而网络数据安全刑事合规对企业合理承担上述两类社会责任都有明显的推动作用,可以积极提升企业的整体价值。6其一,数据安全刑事合规旨在阻止产生数据犯罪风险造成的损害。当前,大数据技术受到整个产业链关注的背后,是数据在推动科学研究成果、加快经济增长、为企业决策制定提供指引、更新企业运营模式等众多领域显现出的巨大能量。而随
8、着大数据技术的推动,数据的潜力还将被进一步释放,数据被赋予了全新的价值和功能。“阿里巴巴公司本质上是一家数据公司,我们做淘宝的目的不是为了卖货,而是获得所有零售的数据和制造业的数据;我们做阿里小微金服的目的,是建立信用体系;我们做物流不是为了送包裹,而是将这些数据合在一起,我们对一个人的了解远远超过你,你是不了解你的。”7因此,对数据安全保护的程度,在大数据时代,往往决定了一个企业的“成败存亡”。其二,网络数据安全刑事合规,能够强化企业数据安全保护的责任感,增强企业经营过程中可能出现的数据安全风险预防能力,积极分担社会责任。当前,无论是国内还是国际的法律规范层面,数据安全都日益受到重视。强调对
9、于数据安全的保护,首当其冲的就是强化对个人信息数据的保护,强调数据主体对于数据54收集、处理、利用的知情权和同意权。然而,这也同许多新型数据企业的经营模式产生了矛盾。8因为这些企业本质上就是靠着对大量用户数据的收集、处理、利用来产生各种收益和价值,随着对用户数据安全法律保护力度的提升,人们对企业的数据安全内控机制也提出了更高的要求。甚至特定企业对数据安全保护的优劣,将成为评价该企业经营能力和风险控制的重要指标。大量的综合投资指数,开始将企业的数据安全保护程度,作为企业投资价值的重要指标,例如ESG评价中,就包含了企业的数据安全保护指标评级,作为投资者是否投资企业的参考。9二、企业合规视角下的网
10、络数据安全犯罪随着网络数据安全价值的凸显,世界各国的刑法亦及时地将其纳入保护范畴。10考察我国刑法的近几次修正案,我们也可以发现,网络数据安全领域一直是刑法更新的重要内容之一。而刑事司法对网络犯罪的制裁关注点,也逐步从计算机信息系统犯罪向网络信息数据犯罪转移。从企业合规的视角下审视,企业在收集、管理、利用数据时,可能触发的网络数据安全犯罪新型罪名,主要包括侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪,二者分别从企业的公民个人信息数据保护义务和网络数据管理义务的角度,对企业提出了新的刑事合规要求。(一)基于公民个人信息数据保护义务的侵犯公民个人信息罪我国刑法第253条之一规定的侵犯公民个人
11、信息罪,已然成为我国网络信息数据保护的基础罪名。侵犯公民个人信息罪将对公民个人信息数据进行非法出售、非法提供和非法获取的行为,都纳入了刑法的制裁范围。而该罪名也明确规定了单位可以构成犯罪主体,实际上将所有企业对公民个人信息数据的出售、提供、获取行为,都在行政法义务的基础上,又设定了刑事法义务。从企业合规的角度来看,对于侵犯公民个人信息罪,需要特别注意“公民个人信息”的范畴问题。侵犯公民个人信息罪的犯罪对象为“公民个人信息”。因此,侵犯公民个人信息罪在网络数据安全领域为企业设定的刑事义务,仅围绕着包含“公民个人信息”的数据。然而,对于“公民个人信息”的范畴,不同部门法之间却存在一定的差异性规定。
12、2017年3月最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释 中率先对公民个人信息进行了规定:“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可以发现,司法解释将公民个人信息的内涵界定为“身份识别性+特定情况信息”双重特征。然而,在2017年6月颁布的网络安全法第76条则规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件
13、号码、个人生物识别信息、住址、电话号码等。”实际上是改变了上述司法解释对公民个人信息内涵的界定,将其内涵修正为“身份识别性”单一特征。2020年民法典第1034条也基本上采纳了网络安全法对公民个人信息的界定。网络安全法民法典的规定,实际上是限缩了对公民个人信息的保护范围。这在一定程度上也引发了刑法侵犯公民个人信息罪是否也要对公民个人信息的内涵适用“可识别性”单一特征,对罪名适用范围进行限缩的理论争议。11而2021年的个人信息保护法第4条又规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”实际上再次将公民个人信息的内涵界定为“身份识
14、别性+特定情况信息”双重特征,说明立法机关依然还是倾向于强化对公民个人信息的保护。因此,尽管部门法之间的规定存在差异,网络数据安全领域的企业刑事合规体系建构55江西社会科学20231但是从企业刑事风险防控的视角,应当采纳最广义的概念界定,将所有能够识别特定自然人以及同自然人活动情况有关的信息数据,都视为刑法保护的范畴,建立刑事合规机制。(二)基于企业网络安全管理义务的拒不履行信息网络安全管理义务罪我国刑法第286条之一的拒不履行信息网络安全管理义务罪,实际上是立法对于理论界长期呼吁的“在网络犯罪治理领域应加强网络服务商责任”的回应。12因此,拒不履行信息网络安全管理义务罪从立法之初,就有着明显
15、的强化企业网络安全管理刑事义务的目的。相关司法解释也因此对拒不履行信息网络安全管理义务罪的犯罪主体,进行了较为宽泛的解释。最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释规定:“提供下列服务的单位和个人,应当认定为刑法第二百八十六条之一第一款规定的网络服务提供者:(一)网络接入、域名注册解析等信息网络接入、计算、存储、传输服务;(二)信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务;(三)利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育
16、、医疗等公共服务。”根据上述司法解释的规定,在当前网络社会的背景下,大部分企业显然都在承担着“网络服务提供者”的角色,都将受到拒不履行信息网络安全管理义务罪的规制。从企业合规的角度来看,拒不履行信息网络安全管理义务罪,需要特别注意其行政违法前置条件的扩张问题。根据我国刑法的规定,构成拒不履行信息网络安全管理义务罪,首先要存在前置行政违法行为。刑事立法如此设定,是为了适当限缩网络服务提供者不履行信息网络安全管理义务承担刑事责任的范围,在一定程度上降低了相应企业的刑事义务,但是也带来了一定的动态风险。这是因为,信息网络安全领域是我国目前立法更新的重点领域,相关的法律、行政法规正在不断被推出来以强化信息网络安全的保护,其中大量法律、法规的具体规范是关于网络服务提供者的义务性规定。因此,尽管在刑法层面上,拒不履行信息网络安全管理义务罪并未改变,但是由于其他部门法的更新,也会同步导致拒不履行信息网络安全管理义务罪的适用范围不断扩张,进而导致相应刑事犯罪风险的动态扩大。例如,关于网络服务提供者收集个人信息的范围,我国相关法律法规一直未予以明确,直至2021年生效的个人信息保护法第6条规定:“处理个
