首例数据合规不起诉案解读及对企业数据合规的启示
2022.06.10 杨锦文 王心慧
近日,上海市普陀区检察院公开了全国首例数据领域刑事合规不起诉案件的情况。普陀区检察院对该案适用涉案企业合规整改制度,并通过第三方组织对整改过程进行监督,最终通过听证会方式,认可合规评估合格结论,并对涉案单位及人员作出不起诉决定。该案系在最高人民检察院指导下培育的数据合规典型案例。 这是企业合规不起诉制度出台以来首个涉及企业违法处理数据情况的应用实例,对于企业调整自身经营方式有重要的参考价值。
数据以其科技创新驱动能力越来越成为现代企业发展的一项核心动力,如果加以善用能够为企业带来巨大的经济利益。而这种使用绝非毫无边界,大数据及其背后的一整套使用、传输、共享等数据处理活动为我们的生活带来诸多便利,但它内部涌动的风险和隐患同样不容忽视。数据合规监管体系日趋健全,立法机关正不断推进数据立法的精细化工作。与此同时,行业主管部门也在牵头加快出台部门规章以规范各行业项下的数据处理活动。另外,有关数据处理的国家标准、行业标准、团体标准等也对企业数据合规水平提出了更精确的指引和更高的要求。企业须持续关注数据合规法律实践的动态方向,以合法合规地开展工作。
一、 案情回顾
1、事件背景
涉案公司是一家为本地生活商户提供数字化转型服务的互联网大数据公司,该公司涵盖在线开店、市场营销等多项业务,拥有10余项计算机软件著作权,还曾被评为高新技术企业 。2019年至2020年,该公司在未经授权许可的情况下,公司首席技术官陈某某指使多名技术人员,通过爬虫技术非法获取某外卖平台数据,造成该外卖平台直接经济损失4万余元,触犯了刑法第285条非法获取计算机信息系统数据罪,其情节适用3年以下有期徒刑或者拘役,并处或者单处罚金的法定刑档次。具体到本案的情况,检察机关认为涉案公司系初犯,且爬取的数据未涉及身份认证信息,没有二次兜售牟利等行为,犯罪情节较轻。同时,鉴于其属于成长型科创企业,陈某等人均认罪认罚,积极赔偿被害公司的经济损失并取得谅解,故依法启动涉案企业合规考察。
2、首例数据合规不起诉各方主体概述与实施流程
在本部分,我们以图表方式简要介绍参与首例数据合规不起诉审查的各方主体及其主要职责以及本案的处理流程和最终的处理结果。
参与合规不起诉审查的各方主体及主要职责 | 涉案公司及涉案主要人员 | 向检察机关和行政监管机关提交合规计划;聘请律师等专业人员参与合规计划的执行与评估;向检察机关报告合规计划执行情况 |
上海市普陀区人民检察院 | 启动合规考察;提出检察建议;对企业的合规计划及其执行情况进行考察 | |
第三方组织4 | 通过询问谈话、走访调查、审查资料、召开培训会等形式监督企业合规整改 | |
听证会参加人员5 | 参与公开审查听证并参加评议 | |
处理流程 | 涉案公司积极赔偿取得谅解、认罪认罚并申请启动合规考察 | 检察机关启动合规考察并对涉案企业提出检察建议(包括数据合规管理、数据风险识别、评估与处理、数据合规运行与保障) |
涉案公司进行合规整改工作,作出合规承诺并聘请法律顾问落实合规承诺 | 检察机关对企业的合规计划及其执行情况进行考察 | |
第三方组织对合规整改工作进行监督考察;考察期满后,第三方组织对涉案公司合规整改情况评定为合格 | ||
处理结果 | 上海市普陀区检察院对本案合规评估合格、社会危害性和是否可作不起诉处理进行公开审查听证。经评议,参与听证各方认为涉案单位数据合规整改到位,一致同意对涉案单位及人员作出不起诉决定 | |
图表1:各方主体概述与合规不起诉实施流程
二、违法使用网络爬虫可能涉及的刑事责任
案中,涉案公司误将爬虫技术认为是业内公开的技术代码,并未想过这样使用会构成犯罪。对此,办案检察官指出:“技术本身或许中立,但一旦用于窃取非公开数据,便触碰了法律红线。” 那么,如何最大化合理利用中立的技术以提高经营效益,又如何将抽象的法律红线概念具象化以规避风险?接下来本文将说明违法使用爬虫工具的具体行为表现和所涉及的法律责任,以及针对这些风险行为,结合我们的经验,面向企业提供使用自动化手段访问收集网络数据时应当注意的事项,以期在数字化转型背景下协助企业合规经营,以合规方式创造更大价值。
1、违法使用爬虫工具涉及的法律责任概述
网络爬虫技术是指为实现高效、自动地进行网络信息的读取、收集等事项,按照一定的规则,自动地抓取互联网信息的程序或者脚本的行为。目前我国立法并未明确禁止使用网络爬虫技术获取数据。企业在利用这一高效便捷的获取数据手段的同时也应注意合法使用的边界,不当使用网络爬虫获取数据,可能违反《反不正当竞争法》、《网络安全法》、《个人信息保护法》等的规定,需要承担一定的民事责任和行政责任。如果违反《刑法》等相关规定,情形严重的,如下图所示,将依法承担相应的刑事责任。
刑事责任 | 行为表现 |
非法侵入计算机信息系统罪 | 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的 |
非法获取计算机信息系统数据罪 | 违反国家规定,侵入规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的 |
非法控制计算机信息系统罪 | 对计算机信息系统实施非法控制,情节严重的 |
提供侵入、非法控制计算机信息系统程序、工具罪 | 提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的 |
破坏计算机信息系统罪 | (1)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的; (2)违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的; (3)故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的。 |
图表2:违法使用网络爬虫可能涉及的刑事责任
2、使用网络爬虫技术获取、收集数据的注意事项
关于企业在采取自动化手段访问收集网络数据时应当注意的事项,我们总结出以下几点,以供参考:
图表3:采取自动化手段访问收集网络数据时的注意事项
总而言之,企业在利用爬虫技术获取、收集数据时应当注意以上要点,避免为企业的正常经营带来不必要的法律风险。
三、合规不起诉的适用条件和流程
1、合规不起诉制度概要
合规不起诉,是指检察机关对于涉嫌实施犯罪并认罪认罚的企业,在其承诺实施有效合规管理体系的前提下,对其作出不起诉决定的制度。这一制度旨在督促涉案企业积极整改落实合规管理制度,减少和预防企业犯罪,顺应了我国近期加强民营企业保护的发展趋势。 自2020年3月,最高人民检察院启动企业合规改革试点工作。2022年4月2日,最高人民检察院宣布,涉案企业合规改革试点在全国检察机关全面推开。 经过对法规规定的公开检索,我们发现,目前,关于合规不起诉制度的实施细则与具体办法主要由作为改革试点的各省市区(县)级检察院以内部文件的形式发布,尚未形成全国范围内统一、公开的操作标准。实践中,各地检察院对合规不起诉的启动条件和适用程序大体相近,但也存在细微差别。例如,在第三方监管实践采用的工作模式方面,以及第三方监管机构的主体身份取向方面,各地检察院在司法实践中采用了不尽相同的标准。因此,本文以辽宁省人民检察院牵头发布的《关于建立涉罪企业合规考察制度的意见》(以下称“合规考察制度意见”)为例,根据该规定简单梳理企业适用合规不起诉制度的条件和适用流程。
2、合规不起诉制度适用主体和条件
从适用主体看,企业在有利于带动当地经济发展、或拥有自主知识产权及良好商誉、或其经营状况影响所在区域竞争力、及涉罪人员系对经营发展起关键作用的人员等情况下可以适用合规考察制度。
除了主体要件,对涉罪企业适用合规考察制度的案件应当同时符合:
涉罪企业、人员系初犯、偶犯;
涉罪人员犯可能被判处三年以下有期徒刑、拘役、管制或单处罚金等轻微犯罪;
涉罪企业及人员对主要犯罪事实无异议,且自愿认罪认罚;
在有被害人的案件中,涉罪企业向被害人赔礼道歉、积极赔偿损失。
另外,对于涉嫌危害国家安全等犯罪、造成人员伤亡的、社会负面影响大的、涉罪企业以犯罪所得作为主要收入和利润来源的、以及涉罪企业不接受合规考察等情形,不适用合规考察制度。
3、合规不起诉制度适用流程
合规不起诉制度是一项附条件的依法从宽处理制度。为了平衡社会公共利益与涉案企业的个体权利及其经济价值等两方面的矛盾,合规不起诉制度在适用时应当遵循程序正义的要求,以最大限度实现公共利益的最大化,达到企业与社会联动双赢的效果。根据合规考察制度意见的规定,合规不起诉制度的适用流程包括:
图表4:从《合规考察制度意见》看合规不起诉制度适用全流程
四、数据不合规事件的风险规避要点和带给数据处理企业的启示
1、应对涉罪数据不合规事件的风险规避要点
监管部门对于企业从事的数据处理活动合规问题持高度重视态度。面对目前较为严格的监管动态,当发生数据不合规事件,面临刑事被起诉风险时,企业可以在事前和事后分别采取以下措施进行应对:
| |
| |
| |
|
图表5:涉罪数据不合规事件的风险规避要点
2、本案对企业数据处理活动的启示
在日常经营活动中,为防范数据合规风险,控制企业违法违规成本,我们建议,企业应结合自身的业务形态,充分考虑到数据不合规事件的类型及其特殊性,结合自身实际情况和运营需求,在经营活动、组织形态等方面落实数据合规的要求。
| |
| |
| |
从公司治理要求来看,应当在经营活动中加强数据收集、使用的合规规范,强化员工培训管理,定期对从业人员进行安全教育和培训,避免法人代表或其他公司主要负责人、技术总监、工程师被追究刑事责任 |
图表6:对企业数据处理活动的启示
五、结语
现阶段我国数据合规不起诉实践尚属于起步环节,地方检察院正在进一步完善企业合规改革工作方案,更精细的实施细则也呼之欲出。首例数据合规不起诉案件的出炉带来了数据领域合规考察制度在应用层面的首次落地,与之伴随的,企业在从事数据处理活动上将面临更高、更加具体的合规要求。从事前合规控制违法成本的角度看,企业应当在日常经营活动中,将防范数据风险的意识落实到业务的细节处,建设常态化数据安全合规评估工作机制防火墙,提高数据安全意识,避免数据安全事件造成严重后果,导致不可预计的经济损失甚至被追究刑事责任。
1. 上海普陀检查,四名全国人大代表“云上”围观数据合规案件听证会,https://mp.weixin.qq.com/s/WG-u1ZaHiOn9yX00irS35w?scene=25#wechat_redirect(最终浏览日:2022年6月3日)
2. 最高人民检察院,以企业合规护航数字经济创新发展——上海首例数据合规案件办案侧记,https://mp.weixin.qq.com/s/f4RgGbLLUvMQR7_nzzNC1Q(最终浏览日:2022年6月8日)
3. 同上。
4. 第三方组织包含网信办、某知名互联网安全企业、产业促进社会组织等。
5. 听证员、侦查人员、企业合规第三方考察员和被害单位参加听证,并有四名全国人大代表旁听。
6. 最高人民检察院,以企业合规护航数字经济创新发展——上海首例数据合规案件办案侧记https://mp.weixin.qq.com/s/f4RgGbLLUvMQR7_nzzNC1Q(最终浏览日:2022年6月8日)
7. 张建伟,民主与法制周刊,合规不起诉——一个需要继续探讨的话题https://mp.weixin.qq.com/s/VUuqCH4SZ7-rPzlxdV6wmA(最终浏览日:2022年6月4日)
8. 新华社,最高检推广“涉案企业合规改革”有何深意?https://www.spp.gov.cn/spp/zdgz/202204/t20220406_553447.shtml(最终浏览日:2022年6月4日)
