數(shù)據(jù)合規(guī)與刑事訴訟

李玉華

(中國人民公安大學(xué) 法學(xué)院， 北京 100038)

訴訟中面臨著數(shù)字化的變革，主要包括數(shù)字化對(duì)訴訟工作模式以及訴訟技術(shù)等帶來的種種變化和挑戰(zhàn)。例如，遠(yuǎn)程取證、跨境電子數(shù)據(jù)取證、遠(yuǎn)程訊問、遠(yuǎn)程會(huì)見、線上審理、大數(shù)據(jù)偵查、智慧檢察和智能審判等。其實(shí)，數(shù)字領(lǐng)域給訴訟制度帶來的挑戰(zhàn)，除了這些技術(shù)層面之外，可能還有一個(gè)角度，即刑事訴訟中如何對(duì)待數(shù)據(jù)合規(guī)問題，主要包括以下三個(gè)方面：

一、數(shù)據(jù)領(lǐng)域犯罪提出新挑戰(zhàn)

數(shù)據(jù)作為一種重要的資源，已經(jīng)被提升至了前所未有的重要地位，國家已經(jīng)把數(shù)據(jù)作為一個(gè)重要的生產(chǎn)要素，而且與數(shù)據(jù)有關(guān)的數(shù)字經(jīng)濟(jì)也開始迅速發(fā)展。數(shù)據(jù)領(lǐng)域的發(fā)展，可謂日新月異。當(dāng)然，數(shù)據(jù)領(lǐng)域的犯罪也同樣發(fā)展迅速。中國數(shù)據(jù)領(lǐng)域的三 駕馬車，即三部最主要的法律——《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)和《中華人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)人信息保護(hù)法》)，都規(guī)定了與數(shù)據(jù)相關(guān)的違法犯罪行為。例如，《個(gè)人信息保護(hù)法》規(guī)定的侵犯公民個(gè)人信息罪、非法侵入計(jì)算機(jī)信息系統(tǒng)罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪以及非法控制計(jì)算機(jī)信息系統(tǒng)罪等；此外，還需特別關(guān)注拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪等。拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪是指網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施后仍拒不改正的犯罪?！毒W(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》都給數(shù)據(jù)處理者規(guī)定了合規(guī)的義務(wù)，今后這方面的犯罪也可能會(huì)引起更多的關(guān)注。

二、數(shù)據(jù)領(lǐng)域犯罪的治理

數(shù)據(jù)領(lǐng)域犯罪帶來的挑戰(zhàn)是空前的，對(duì)數(shù)據(jù)領(lǐng)域犯罪的治理，也必然需要采取與傳統(tǒng)犯罪不同的治理方式。傳統(tǒng)的犯罪治理，重打擊輕預(yù)防，在打擊刑事犯罪時(shí)，重點(diǎn)關(guān)注的是否對(duì)犯罪定罪量刑、繩之以法，是否實(shí)現(xiàn)了罪責(zé)刑相一致，這是傳統(tǒng)意義上對(duì)刑事領(lǐng)域公平正義的關(guān)注點(diǎn)。但是，目前數(shù)據(jù)領(lǐng)域犯罪又呈現(xiàn)出一些新的特點(diǎn)，需要人們改變以往的治理觀念，在犯罪治理方面不僅要強(qiáng)調(diào)打擊，更要強(qiáng)調(diào)從源頭上進(jìn)行治理，強(qiáng)調(diào)對(duì)數(shù)據(jù)領(lǐng)域犯罪的防范。合規(guī)便是一種很好的犯罪源頭治理方式。數(shù)據(jù)領(lǐng)域有很多大型企業(yè)，如阿里巴巴、美團(tuán)、騰訊和京東等，對(duì)越大的企業(yè)進(jìn)行合規(guī)越有必要，因?yàn)榇笃髽I(yè)一旦 侵犯公民個(gè)人信息或者進(jìn)行其他違法犯罪，造成的危害往往是巨大的。以公民個(gè)人之力去對(duì)抗大型平臺(tái)企業(yè)，顯然太過微弱，因而從國家層面要求這些大型企業(yè)合規(guī)，可謂意義重大。

從公司管理者的角度來看，企業(yè)合規(guī)是一種公司治理方式；從行政管理部門的角度來看，企業(yè)合規(guī)是一種有效的行政監(jiān)管方式；從公安司法部門的角度來看，企業(yè)合規(guī)是治理企業(yè)犯罪的一種有效方式。企業(yè)合規(guī)不僅有利于預(yù)防犯罪，而且有利于調(diào)查和懲罰犯罪[1]。企業(yè)未涉案時(shí)進(jìn)行的日常合規(guī)，主要是針對(duì)經(jīng)營中的風(fēng)險(xiǎn)點(diǎn)建立合規(guī)體系，可以起到預(yù)防犯罪的作用；企業(yè)涉案后進(jìn)行的糾錯(cuò)整改型合規(guī)，則是針對(duì)企業(yè)所涉犯罪，有針對(duì)性地查找漏洞、制定整改方案以及糾正違法行為并防止日后再犯，是企業(yè)通過付出代價(jià)獲得重生的一種治理方式。合規(guī)在犯罪治理中的價(jià)值主要體現(xiàn)在三個(gè)方面：首先，防范犯罪；其次，舉報(bào)與內(nèi)部調(diào)查，共同打擊犯罪；最后，整頓重生、健康發(fā)展[2]。

近年來，企業(yè)合規(guī)被引入法律領(lǐng)域并為中國學(xué)者所關(guān)注。企業(yè)合規(guī)是一個(gè)舶來品，在歐美運(yùn)用得較多，特別是在2000年之后得到了迅速發(fā)展。美國不僅將其作為犯罪治理的手段，而且還將其作為實(shí)現(xiàn)長臂管轄的重要手段，對(duì)世界上很多大企業(yè)都進(jìn)行過合規(guī)，如德國的商業(yè)銀行和西門子公司，法國的巴黎銀行和阿爾斯通公司，英國的匯豐銀行、渣打銀行和勞斯萊斯公司，日本的松下公司和日揮株式會(huì)社等[3]。隨著中國學(xué)者和專家對(duì)合規(guī)的引入和關(guān)注，法學(xué)界也開始關(guān)注合規(guī)。

刑法學(xué)界最早關(guān)注合規(guī)時(shí)，提出的概念多是刑事合規(guī)，主要側(cè)重實(shí)體法方面，但是從2020年3月開始，最高人民檢察院開始推動(dòng)企業(yè)合規(guī)不起訴制度試點(diǎn)。這一制度與中國現(xiàn)有的刑事訴訟制度進(jìn)行了對(duì)接，引起了刑事訴訟法學(xué)界更多學(xué)者的關(guān)注。目前，刑事訴訟法學(xué)者的研究主要集中在兩個(gè)方面：一方面，探討企業(yè)合規(guī)與刑事訴訟的關(guān)系，旨在為企業(yè)合規(guī)尋找刑事訴訟的制度依據(jù)。首先，探尋促使企業(yè)進(jìn)行合規(guī)的刑事訴訟激勵(lì)措施。目前，中國刑事訴訟的合規(guī)激勵(lì)措施，主要是合規(guī)不起訴，對(duì)進(jìn)行承諾合規(guī)和已經(jīng)進(jìn)行合規(guī)的涉案企業(yè)，可以進(jìn)行不起訴。其次，量刑從輕。最后，中國在刑事訴訟的激勵(lì)中還有本土化的優(yōu)勢(shì)，即在強(qiáng)制措施領(lǐng)域進(jìn)行合規(guī)。另一方面，探討中國企業(yè)合規(guī)試點(diǎn)中存在的問題，旨在推動(dòng)企業(yè)合規(guī)向前發(fā)展。2020年，最高人民檢察院開始在6個(gè)基層人民檢察院推行企業(yè)合規(guī)第一輪試點(diǎn)，此輪試點(diǎn)的都是中小微企業(yè)；2021年3月 開始，擴(kuò)大了企業(yè)合規(guī)試點(diǎn)的范圍和規(guī)模，在10個(gè) 省市的檢察院展開，且出現(xiàn)了大型企業(yè)，甚至還有外資企業(yè)，試點(diǎn)的范圍更加廣泛。

總之，法學(xué)界對(duì)企業(yè)合規(guī)試點(diǎn)改革的密切關(guān)注，主要是就企業(yè)責(zé)任與個(gè)人責(zé)任、合規(guī)不起訴的適用對(duì)象、有效合規(guī)的標(biāo)準(zhǔn)、第三方監(jiān)管的啟動(dòng)條件及人員選任、合規(guī)的費(fèi)用以及檢察官的裁量等問題進(jìn)行了較為深入的研究。

三、數(shù)據(jù)合規(guī)的要點(diǎn)

數(shù)據(jù)合規(guī)的重點(diǎn)是什么？目前，對(duì)于數(shù)據(jù)領(lǐng)域關(guān)注較多的是律師，因?yàn)楹弦?guī)是律師的一項(xiàng)新業(yè)務(wù)。

在合規(guī)業(yè)務(wù)中，有全面合規(guī)(也稱“大合規(guī)”)，遍布企業(yè)所有業(yè)務(wù)環(huán)節(jié)、所有人員和所有領(lǐng)域；也有誠信合規(guī)(也稱“小合規(guī)”)，涉及反欺詐、反商業(yè)賄賂和反壟斷等領(lǐng)域。此外，還有專項(xiàng)合規(guī)，是具體某一 領(lǐng)域的合規(guī)，如知識(shí)產(chǎn)權(quán)領(lǐng)域、環(huán)境保護(hù)領(lǐng)域等的合規(guī)，當(dāng)然也包括數(shù)據(jù)合規(guī)。

目前，中國數(shù)據(jù)專項(xiàng)合規(guī)的關(guān)注點(diǎn)是什么？這與數(shù)據(jù)領(lǐng)域的三部最主要的法律密切相關(guān)，尤其是《個(gè)人信息保護(hù)法》。2021年實(shí)施的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，都對(duì)數(shù)據(jù)處理者的合規(guī)義務(wù)作了更加明確的規(guī)定。

根據(jù)《個(gè)人信息保護(hù)法》，合規(guī)包括數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開和刪除等數(shù)據(jù)處理的全鏈條、全過程的合規(guī)，特別是公眾關(guān)注的，如知情權(quán)、可攜帶權(quán)和刪除權(quán)等。這些都是數(shù)據(jù)合規(guī)業(yè)務(wù)中需要重點(diǎn)關(guān)注的?！秱€(gè)人信息保護(hù)法》明確規(guī)定了個(gè)人信息處理者的合規(guī)義務(wù)。例如，第51條，規(guī)定了合規(guī)的主要內(nèi)容；第52條，規(guī)定了建立個(gè)人信息保護(hù)負(fù)責(zé)人制度；第53條，規(guī)定了境外個(gè)人信息處理者設(shè)立專門機(jī)構(gòu)或指定代表的義務(wù)；第54條， 規(guī)定了定期合規(guī)審計(jì)的義務(wù)；第55條和第56條，規(guī)定了事前個(gè)人信息保護(hù)影響評(píng)估的義務(wù)；第57條，規(guī)定了個(gè)人信息泄露采取補(bǔ)救措施和通知的義務(wù)；第58條，規(guī)定了提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)、用戶數(shù)量巨大以及業(yè)務(wù)類型復(fù)雜的個(gè)人信息處理者的特別義務(wù)；第59條，規(guī)定了接受委托處理個(gè)人信息的受托人的義務(wù)；第64條，規(guī)定“個(gè)人信息保護(hù)部門可約談或要求合規(guī)審計(jì)。個(gè)人信息處理者應(yīng)當(dāng)采取措施，進(jìn)行整改，消除隱患”。

2021年7月，網(wǎng)絡(luò)安全審查辦公室對(duì)滴滴、運(yùn)滿滿、貨車幫、BOSS直聘等企業(yè)啟動(dòng)網(wǎng)絡(luò)安全審查，引發(fā)社會(huì)和企業(yè)對(duì)數(shù)據(jù)安全合規(guī)問題的關(guān)注。對(duì)于數(shù)據(jù)安全法領(lǐng)域，重要的合規(guī)點(diǎn)主要有數(shù)據(jù)的分級(jí)分類管理制度、數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估與數(shù)據(jù)安全審查制度以及出口管制制度。例如，《數(shù)據(jù)安全法》規(guī)定了數(shù)據(jù)處理者的合規(guī)義務(wù)。其中，第27條第2款，規(guī)定了重要數(shù)據(jù)處理者設(shè)置數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的義務(wù)；第30條，規(guī)定了重要數(shù)據(jù)處理者定期開展風(fēng)險(xiǎn)評(píng)估及向主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告的義務(wù)；第31條，規(guī)定了重要數(shù)據(jù)出境需要遵守《網(wǎng)絡(luò)安全法》的義務(wù)等。這些領(lǐng)域的合規(guī)不僅要關(guān)注中國的法律，還要關(guān)注國際條約與企業(yè)境外經(jīng)營所在國的法律。因?yàn)閿?shù)據(jù)專項(xiàng)領(lǐng)域的合規(guī)與其他領(lǐng)域的合規(guī)相比是不同的，即使是國內(nèi)企業(yè)，其客戶也可能遍布全球，所以整個(gè)合規(guī)領(lǐng)域的法律依據(jù)，需要更多關(guān)注國際。

此外，合規(guī)的重點(diǎn)還在于數(shù)據(jù)的跨境流動(dòng)，涉及個(gè)人信息和重要信息的跨境流動(dòng)，現(xiàn)在世界不同國家采取不同模式，未能達(dá)成共識(shí)。

歐盟基于傳統(tǒng)的人權(quán)保護(hù)觀念，對(duì)數(shù)據(jù)跨境流動(dòng)采取了比較嚴(yán)格的限制政策，主要依據(jù)是《一般數(shù)據(jù)保護(hù)規(guī)則》(GDPR)和《非個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流動(dòng)框架條例》。歐盟明確了數(shù)據(jù)跨境流動(dòng)的“充分性”標(biāo)準(zhǔn)，為數(shù)據(jù)流動(dòng)的安全提供了保障，但復(fù)雜的認(rèn)定程序與高標(biāo)準(zhǔn)在一定程度上限制了數(shù)據(jù)的自由流動(dòng)。

與歐盟的嚴(yán)格限制不同，美國采取鼓勵(lì)數(shù)據(jù)自由流動(dòng)的寬松政策，將“跨境數(shù)據(jù)自由流動(dòng)”作為貿(mào)易協(xié)議的內(nèi)容，以此打破其他國家的數(shù)據(jù)出境壁壘并希望構(gòu)建無障礙數(shù)據(jù)流動(dòng)圈[4]。美國出臺(tái)《澄清境外數(shù)據(jù)的合法使用法案》(CLOUD法案)，允許政府跨境獲取數(shù)據(jù)，打破數(shù)據(jù)屬地管轄模式，實(shí)現(xiàn)長臂管轄。此外，美國嚴(yán)格限制與重要技術(shù)相關(guān)的數(shù)據(jù)和涉密敏感數(shù)據(jù)的出境，對(duì)外國投資的數(shù)據(jù)跨境流動(dòng)進(jìn)行管制，對(duì)涉及關(guān)鍵技術(shù)等的數(shù)據(jù)進(jìn)行安全審查[5]。

中國正在不斷完善數(shù)據(jù)跨境流動(dòng)保護(hù)的法律，發(fā)布了《個(gè)人信息出境安全評(píng)估辦法》和《數(shù)據(jù)安全管理辦法》等相關(guān)規(guī)定的征求意見稿。根據(jù)《網(wǎng)絡(luò)安全法》第37條、《數(shù)據(jù)安全法》第31條以及《個(gè)人信息保護(hù)法》第40條的規(guī)定，數(shù)據(jù)實(shí)行本地存儲(chǔ)。在國際博弈與合作中，中國也正在積極作為，不斷完善數(shù)據(jù)合規(guī)體系，推動(dòng)國際規(guī)則的生成。

因而，企業(yè)進(jìn)行合規(guī)建設(shè)時(shí)要多關(guān)注本國以及企業(yè)經(jīng)營所在國的法律，充分了解不同國家的數(shù)據(jù)跨境流動(dòng)政策，在數(shù)據(jù)跨境流動(dòng)的過程中迎接合規(guī)工作的挑戰(zhàn)。出于對(duì)數(shù)據(jù)保護(hù)與合規(guī)問題的重視，不同國家的相關(guān)立法如雨后春筍般頻頻出臺(tái)。因此，企業(yè)除了需要根據(jù)國內(nèi)外生效的數(shù)據(jù)規(guī)范做好合規(guī)工作外，還需要關(guān)注國內(nèi)外的立法動(dòng)態(tài)與監(jiān)管趨勢(shì)，衡量合規(guī)風(fēng)險(xiǎn)，及時(shí)做好應(yīng)對(duì)準(zhǔn)備。此外，在不同的國家開展業(yè)務(wù)時(shí)，企業(yè)應(yīng)當(dāng)遵循所在國的具體要求，準(zhǔn)備多元化的合規(guī)方案以應(yīng)對(duì)不同國家的數(shù)據(jù)規(guī)制標(biāo)準(zhǔn)，準(zhǔn)確識(shí)別數(shù)據(jù)種類并做好數(shù)據(jù)分類管理，在本國法與目標(biāo)國法之間確定科學(xué)的數(shù)據(jù)戰(zhàn)略，以實(shí)現(xiàn)發(fā)展與合規(guī)二者之間的平衡。