張 勇

一、問題提出

二、數據安全刑事合規(guī)及正當根據

（一）數據安全刑事合規(guī)的內涵界定

基于以上分析，所謂數據安全刑事合規(guī)，是指為了保障數據安全，企業(yè)、政府部門、司法機關等所進行的企業(yè)內外部合規(guī)治理活動，其中，企業(yè)作為刑事合規(guī)的主體，針對數據獲取、存儲、流通和使用過程中的刑事風險，制定和實施數據合規(guī)計劃；政府部門和司法機關運用法律手段懲治和預防危害數據安全的違法犯罪。數據安全刑事合規(guī)可以分為事前合規(guī)和事后合規(guī)，前者是指企業(yè)經營管理活動中建立內部風險控制制度，防止企業(yè)實施涉及數據安全的犯罪或自身遭受侵害；后者是指企業(yè)觸及數據安全刑事風險后所做的整改補救措施，以預防再次犯罪的發(fā)生。就數據安全企業(yè)合規(guī)而言，刑事法律是企業(yè)必須遵守的基本法律，也是保障自身權益的法律武器，因而刑事合規(guī)可謂最具有強制力的法律標準；由數據安全行政法律法規(guī)所規(guī)定的行政合規(guī)同樣也是企業(yè)必要履行的法律義務，兩者在合法性標準、主體義務內容及法律后果等方面存在差別。此外，企業(yè)合規(guī)還包括有關數據安全的諸多國家標準、行業(yè)規(guī)范，這些“軟法”對企業(yè)的合規(guī)標準和義務要求作出了更為細致、全面的規(guī)定，可稱之為行業(yè)合規(guī)。相比較而言，行政合規(guī)與行業(yè)合規(guī)對于企業(yè)預防刑事風險來說顯得更為重要。然而，企業(yè)合規(guī)意味著高成本投入。數據安全刑事合規(guī)如同雙刃劍，作為一種底線標準，刑事合規(guī)是任何企業(yè)都必須要求達到的，積極履行刑事法律義務，可以獲得司法機關的量刑激勵；反之，如果違反了刑事合規(guī)的義務要求，侵犯了他人數據權益，甚至危及數據安全，所帶來的是比違反行政合規(guī)更為嚴厲的刑事處罰。

（二）數據安全刑事合規(guī)的正當根據

三、數據犯罪前置法及其濾罪機能

數據犯罪具有典型的法定犯特征，罪狀中包含行政性前置法，即開放的構成要件。前置性行政法律法規(guī)對于認定數據犯罪來說起著十分關鍵的作用。對于企業(yè)刑事合規(guī)來說，前置性行政法往往有著比刑事法規(guī)范更為嚴格細致、全面具體的規(guī)范義務內容，而企業(yè)承擔刑事法律義務是前置性行政法的底線要求。違反了前置性行政法的行為，未必構成犯罪，須經過司法機關對其進行刑事違法性的實質判斷，即認定犯罪的“過濾”環(huán)節(jié)，從而將一大部分“違規(guī)”“違法”行為排除在犯罪圈之外。為了預防數據企業(yè)的刑事風險，應將作為前置法的行政法律法規(guī)作為企業(yè)合規(guī)的一般標準，其具有強制性法律效力，是企業(yè)合規(guī)必須遵守和執(zhí)行的；對于不具有法律效力的行業(yè)規(guī)范，可以將其作為較高標準予以參照，但不是必須遵照執(zhí)行。因此，前置性行政法在刑法規(guī)范與行業(yè)規(guī)范之間，發(fā)揮著承上啟下、銜接協(xié)調的“過濾”作用。

（一）數據犯罪及其前置法的定位

（二）數據犯罪前置法的濾罪機能

所謂“濾罪”，即“過濾犯罪”。某種行為被認定為犯罪，首先需要被刑事立法評價為某種具體罪名，在此基礎上，需要司法機關依據刑事實體法予以定罪量刑，通過刑事程序法規(guī)定的不同訴訟階段，最后將該種行為認定為有罪或進行無罪處理。對于法定犯來說，前置法與刑法有著緊密的內在關聯性，因而具有重要的“濾罪”機能。對于企業(yè)刑事合規(guī)來說，數據犯罪的前置法在出罪方面的“濾罪”機能更值得關注，是企業(yè)刑事合規(guī)計劃的規(guī)范指引。

四、數據安全刑事合規(guī)的濾罪機制

（一）濾罪內容：數據安全義務設置

需要指出的是，在大數據時代背景下，法律需要協(xié)調不同主體的利益，合理分配數據安全保護義務，避免對有關組織和個人的數據權益造成不當侵害。目前，我國數據安全立法較多集中于數據安全保護和監(jiān)管義務設置，而對于數據流動、共享及利用方面的規(guī)定較少，對相關主體數據權益的兼顧與平衡仍存在不足。對此，我國可以借鑒國外立法經驗予以補足。例如，歐盟《數據法案（草案）》（Data Act）延續(xù)了GDPR 中的個人數據可攜帶權的思路，在一定程度上鼓勵數據自由流動和多次利用，以避免出現數據壁壘和數據壟斷，從而實現數據利益的公平分配。又如，GDPR 在嚴格規(guī)制企業(yè)處理用戶個人信息的同時，限制了企業(yè)主動監(jiān)測、發(fā)現和報告網絡兒童色情的活動。為了改變這種狀況，2021年歐盟制定條例授權特定網絡信息業(yè)者，規(guī)定企業(yè)關于此類用戶個人信息處理的活動不適用GDPR 的相關規(guī)定。在此方面，我國《個人信息保護法》在確立知情同意原則的前提下，規(guī)定了妨礙國家機關履行法定職責等例外情形，這與GDPR 的立法意旨相同，體現了原則性與靈活性的結合。兼顧各方主體的數據權益，構建安全與發(fā)展相結合的數據治理體系，無疑更有利于數字經濟的健康發(fā)展。

（二）濾罪體系：數據合規(guī)刑行銜接

五、結 論

綜上所述，在數據安全企業(yè)合規(guī)方面，應當堅持維護數據安全和促進數據開發(fā)利用并重，以《數據安全法》等前置法為依據，構建數據安全企業(yè)內部管理和外部監(jiān)管的合規(guī)體系。刑事合規(guī)須以刑法規(guī)范為底線標準，以前置行政法為一般標準，以行業(yè)規(guī)范為參照標準；在數據安全刑事合規(guī)中，形成以數據安全法益識別為基礎、分類分級為層次、法律義務為內容、刑行銜接為體系的濾罪機制。經過濾罪過程，制定和實施了合規(guī)計劃的企業(yè)可以獲得量刑從寬乃至出罪事由。刑事合規(guī)不僅僅是企業(yè)自律和內部治理活動，而且是一種企業(yè)和國家協(xié)同共治的系統(tǒng)。企業(yè)應確立責任倫理意識，制定與實施合規(guī)計劃，積極履行數據安全義務，與其他參與主體共同承擔社會責任，由“數據治理”轉向“數據共治”。從系統(tǒng)論角度，企業(yè)刑事合規(guī)需確立刑事一體化理念，即從刑法運行內外協(xié)調的視角下，在刑法之上、刑法之內、刑法之外選擇刑事合規(guī)的根據、路徑和對策?！靶谭ㄖ稀奔磸姆ń塘x學乃至憲法層面尋求刑事合規(guī)的法理根據；“刑法之內”即在定罪和量刑中選擇刑事合規(guī)的路徑；“刑法之外”即將刑事合規(guī)融入刑事政策和社會治理當中，司法機關、政府部門與企業(yè)形成合力，尋求治本之策。因此，除了當前我國檢察機關所試點進行的合規(guī)不起訴工作，將來的企業(yè)刑事合規(guī)改革可以在更廣闊的領域展開。當然，改革需要于法有據，只有依靠國家法律法規(guī)的保障與規(guī)范、引領與推動，企業(yè)刑事合規(guī)改革才能行穩(wěn)致遠。