檢察機關數據合規(guī)評價標準與展開路徑

朱鐵軍　李碧輝

摘 要：檢察機關數據合規(guī)探索集末端處置與前端治理于一體，對推動企業(yè)刑事犯罪治理、助力數字經濟發(fā)展具有重要意義。數據領域網絡爬蟲行為的入刑評價應綜合行為方式違法性與所獲數據性質進行綜合判斷，而對企業(yè)數據合規(guī)風險的預防控制需要兼顧技術規(guī)范化與管理專業(yè)化標準。檢察機關開展數據合規(guī)監(jiān)督考察應當準確把握第三方監(jiān)督評估機制適用范圍與介入階段，重點提升數據合規(guī)監(jiān)督評估的有效性，并從事前防治、事中矯治、事后共治三個維度優(yōu)化涉案企業(yè)合規(guī)全流程辦案機制，推動促進數字行業(yè)健全數據合規(guī)經營體系。

關鍵詞：數據合規(guī) 數據爬蟲 監(jiān)督評估 行業(yè)治理

一、問題的提出

上述案例系檢察機關自2020年探索涉案企業(yè)合規(guī)改革以來首個涉及企業(yè)違法處理數據情況的應用實例，其對拓展涉案企業(yè)合規(guī)改革實踐具有重要意義，案件辦理中的重、難點問題亦值得反思。其一，從定性上看，案例涉及的爬蟲技術本身是一種獲取海量數據的方式，技術行為中立性與違法性的邊界應如何界定判斷。其二，從企業(yè)風險預防角度看，數據獲取行為的合規(guī)標準應如何理解，如案例中Z公司的合規(guī)整改過程對于企業(yè)數據自治有何借鑒價值。其三，從刑事合規(guī)程序上看，第三方機制是合規(guī)評價的重要一環(huán)，檢察機關在辦理數據合規(guī)案件中應如何把握其適用范圍與審查標準，同時在數據合規(guī)治理體系構建中，檢察機關又該如何把握好監(jiān)督、介入與引導的關系等等，均有必要予以解讀、闡釋。

二、數據爬蟲行為的違法性與合規(guī)標準認定

（一）數據爬蟲行為的違法性認定

爬蟲技術是指按照一定規(guī)則自動抓取互聯(lián)網信息的程序或者腳本。目前我國立法并未明確禁止使用網絡爬蟲技術獲取數據，而主要規(guī)制違反《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）等有關信息保護規(guī)定或爬蟲技術相關協(xié)議的爬取行為。實踐中，司法機關主要根據行為人獲取信息的方式以及數據的性質來對通過爬蟲技術竊取數據行為進行認定。案例中Z公司突破平臺設置的網絡安全措施或者違反協(xié)議，通過爬蟲程序大量獲取非公開數據，對平臺用戶或者入駐商戶展示，構成非法獲取計算機信息系統(tǒng)數據罪。

其一，爬蟲行為方式的違法性判斷。除了故意避開或強行突破數據網站安全措施的爬取方式外，常見的還存在如違反服務協(xié)議、爬蟲協(xié)議或者在網站上公開網站使用聲明等爬取行為。有觀點認為爬蟲協(xié)議是一種不具強制約束力的互聯(lián)網行業(yè)規(guī)范，違反爬蟲協(xié)議不宜定性為超越權限的侵入行為。［1］筆者認為，爬蟲行為的違法性特征在于其破壞了互聯(lián)網行業(yè)秩序，危害數據安全。對于數據方公開反對爬蟲行為，并且采取了必要防護措施的，應當視為網站運營者對爬蟲行為的嚴格授權與數據安全的加密保護，違反協(xié)議聲明的爬取行為具有違法性。案例中Z公司的“外爬”及“內爬”行為，都系未授權的非法訪問行為，參照“兩高”《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第2條對“專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具”的規(guī)定，Z公司這種“避開計算機信息系統(tǒng)安全保護措施，未經授權獲取計算機信息系統(tǒng)數據”的行為，應認定為非法獲取計算機信息系統(tǒng)數據罪中的“侵入”。

其二，數據價值屬性的綜合性判斷。本案中，E公司對涉案信息的可視化展示限定于平臺用戶或者入駐商戶，并非處于可被公眾獲取、共享的狀態(tài)，數據仍具有“非公開性”，Z公司的爬取行為因侵犯數據的私密性而構成犯罪。傳統(tǒng)觀點認為在不考慮數據的人身屬性和知識產權屬性時，爬取公開信息不會觸犯刑事法律［2］，即非法獲取計算機信息系統(tǒng)數據罪中的數據不應包括公開信息。然而在司法案例中爬取公開信息入罪的情況并不少見，審判機關以信息公開不等于數據授權為論理，認為在爬取公開信息時繞開了運營方設置的反爬措施仍然成立數據犯罪。筆者認為，數據的隱私程度關系到法益侵害與責任輕重，但不能僅從形式上的公開與否進行判斷，還應當根據數據信息的敏感性、價值性程度進行綜合考量，對于爬取不具備獨立商業(yè)利益的公開數據，即使行為人刻意繞開了反爬措施，造成一定損害后果，也不宜輕易認定為刑事犯罪。

其三，多重法益侵害的競合評價。利用爬蟲技術獲取數據可能構成計算機信息系統(tǒng)類犯罪，同時基于數據的信息屬性，也可能涉及侵犯公民個人信息罪、侵犯著作權罪、侵犯商業(yè)秘密罪等。實踐中應當嚴格區(qū)分爬蟲行為所侵害的數據法益，避免非法獲取計算機信息系統(tǒng)數據罪的口袋化，若非法爬取著作權意義上“作品”、商業(yè)秘密以及個人身份密切相關信息等，宜以侵犯著作權罪、侵犯商業(yè)秘密罪、侵犯公民個人信息罪追究相關人員刑事責任。

（二）數據爬蟲行為的合規(guī)標準剖析

首先，明確合規(guī)的技術行為規(guī)范。技術中立并非沒有法律邊界，企業(yè)合規(guī)預防要根據數據處理業(yè)務與內部管理制度，對某些關涉刑法的不當技術行為進行規(guī)范與制約。而規(guī)制爬蟲技術獲取、收集數據應當充分考慮數據的使用規(guī)則，比如在數據的隱私安全保護方面，要識別數據是否為公開數據，對于企業(yè)的未公開數據需經授權后方可爬取，并在合法爬取數據后說明數據來源；在數據的訪問安全保障方面，爬蟲行為應遵守爬蟲協(xié)議或者平臺的設置要求，并對數據爬取時間段、爬取數量進行限制，避免妨礙目標網站的正常運行。

其次，構建差異化的預防性標準。不同安全等級的數據使用權限要求以及保護措施不盡相同，不同網絡服務環(huán)節(jié)中的合規(guī)風險也存在差異，可進行針對性的制度構建。例如從數據屬性分類，對于涉及個人隱私信息、著作權“作品”、商業(yè)秘密等敏感數據，應當設置相對嚴格的抓取限制，在審查發(fā)現(xiàn)后及時刪除或者脫敏處置，而對于批量式主營業(yè)務數據，則應當盡量避免可能涉及不正當競爭的法律風險。再如從服務類型上看，對于涉及數據信息收集、處理的網絡平臺，其面臨更大的數據安全、個人信息安全風險，應當成為重點的預防對象。

最后，建立專業(yè)化數據合規(guī)體系。結合案例中Z公司的合規(guī)整改效果，在數據管理上，需構建常態(tài)化合規(guī)管理制度，由企業(yè)決策層成員組成專門的數據合規(guī)管理委員會，結合業(yè)務經營范圍、相關監(jiān)管政策等因素，制定數據管理合規(guī)計劃，開展合規(guī)年度報告工作。在數據安全上，一般應當建立數據分級分類保護制度及員工數據安全管理制度，規(guī)范技術匯報審批流程，提高云訪問權限。在合規(guī)文化上，注重數據安全教育與培訓，明確數據收集、使用、公開等方面的合規(guī)要求，實現(xiàn)在數據保護和數據利用之間的平衡。

三、數據合規(guī)案件中第三方機制的適用

（一）第三方機制的適用范圍

其一，實質把握適用企業(yè)范疇。根據《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）》（以下簡稱《指導意見》）規(guī)定，第三方機制適用對象包括各類市場主體，以及企業(yè)實際控制人、經營管理人員、關鍵技術人員等個人。前述案例中，檢察機關對包括無職務的工程師等在內的14人都予以不起訴處理，由此涉及對于企業(yè)實際控制人等以外的企業(yè)普通工作人員能否適用合規(guī)激勵的問題。由于《指導意見》并未作出嚴格限定，筆者認為應當結合企業(yè)治理結構和生產經營活動相關情況進行實質理解把握。在數據合規(guī)領域，對采用扁平化經營模式的互聯(lián)網平臺企業(yè)，沒有職務的普通員工或者一般技術人員，往往也具有對某項具體業(yè)務的決定權，若涉嫌犯罪與企業(yè)生產經營活動相關，應當允許適用第三方機制。

其二，適度限縮適用案件范圍?！吨笇б庖姟分忻鞔_規(guī)定第三方機制適用于經濟犯罪和職務犯罪等案件，該范圍是否涵括案例中涉及的非法獲取計算機信息系統(tǒng)數據罪等犯罪？經濟犯罪一般意指在商品經濟的運行領域中，違反國家法律規(guī)定，嚴重侵犯國家管理制度和破壞社會經濟秩序的犯罪行為。在數字經濟視閾下，商業(yè)活動正在大規(guī)模地向網絡空間轉移，并衍生出一種全新的“網絡經濟犯罪”形態(tài)，諸如互聯(lián)網企業(yè)經營過程中實施的危害計算機信息系統(tǒng)安全類犯罪等，與經濟活動緊密相關，屬于“經濟犯罪”規(guī)制范疇。企業(yè)合規(guī)制度設計目的在于維護國家正常經濟秩序，這里的經濟犯罪有必要進行限縮解釋，應當理解為必須與企業(yè)的生產經營、市場主體的資格產生直接關聯(lián)，即排除企業(yè)家暴力抗稅、銷售假藥等罪名的適用。此外，對于重罪能否納入第三方機制的適用范圍，《指導意見》雖未明確排除適用，但合規(guī)改革應在現(xiàn)有法律框架內進行，對重罪案件應當綜合涉案企業(yè)犯罪情節(jié)以及不起訴條件等因素，充分考量合規(guī)考察的必要性后審慎適用。

其三，前置化適用階段。本案中，檢察機關將合規(guī)準備工作前移至偵查階段有其必要性。《指導意見》對第三方機制適用階段并未作出明確規(guī)定，此前實踐中企業(yè)合規(guī)評價適用主要在檢察辦案環(huán)節(jié)開展，但一方面在正常羈押狀態(tài)下，檢察機關辦案期限難以覆蓋合規(guī)考察期限，合規(guī)考察往往效果不佳；另一方面，由于偵查環(huán)節(jié)合規(guī)介入的缺失，偵查機關不可避免地對涉案企業(yè)財物或者涉案企業(yè)“關鍵人員”采取強制性措施，導致涉案企業(yè)“積重難返”，這對經營鏈條脆弱的互聯(lián)網企業(yè)而言影響尤為嚴重。為此，在案件基本事實已查清的情況下，檢察機關在介入偵查環(huán)節(jié)商公安機關啟動合規(guī)以及第三方機制準備工作，了解企業(yè)合規(guī)整改意愿與經營基礎，提前引導企業(yè)制定出相對完整、有效、針對性強的數據合規(guī)整改方案，既能確保順利開展合規(guī)工作，又能減少對企業(yè)正常生產經營的影響。

（二）企業(yè)數據合規(guī)整改的有效性考量

企業(yè)合規(guī)的生命在于行之有效，合規(guī)計劃充分有效的評價與落實是刑事合規(guī)激勵制度能否實現(xiàn)其預期目標的關鍵因素。［3］為此，根據企業(yè)實際需要制定專項性合規(guī)計劃是數據合規(guī)的應有之意，數據專項合規(guī)計劃應當有所側重、有效落地。

在第三方組織組建方面，由于企業(yè)有效合規(guī)的考察結論可能作為司法辦案中的出罪事由，數據合規(guī)考察應當具備高度的公正性和專業(yè)性，需要業(yè)務精湛的行業(yè)專家、行政執(zhí)法人員等參與其中，方能保證合規(guī)監(jiān)管制度的順利實施。根據《指導意見》，專業(yè)人員名錄庫應當分類組建。出于回應數據合規(guī)擴張的法治需求，有必要以數據或者互聯(lián)網為類別組建專門的名錄分庫，保障數據合規(guī)考察有效性與效率價值的最大化。本案中，第三方機制管委會專設涉互聯(lián)網專業(yè)人員名錄庫，最終抽取了互聯(lián)網行業(yè)管理部門、行業(yè)龍頭企業(yè)和專業(yè)協(xié)會人員組成第三方組織，為確保合規(guī)計劃評估考察的有效性奠定了組織基礎。

在合規(guī)計劃評估標準設定方面，需要考慮企業(yè)規(guī)模、企業(yè)領域、發(fā)展階段等基本因素，綜合考量合規(guī)的整體性架構以及個別化措施。本案中，涉案企業(yè)提交的合規(guī)計劃主要圍繞數據來源與數據安全管理構建有效的合規(guī)管理規(guī)范與組織體系。一般而言，若合規(guī)計劃有效性的評價標準過于寬松，可能導致放縱犯罪，而過于嚴格的評價標準，則會加重企業(yè)的負擔，所以合規(guī)計劃評價標準應當遵循比例性原則，平衡懲處措施與企業(yè)可持續(xù)性發(fā)展的關系。［4］具體到數據合規(guī)標準，可以從評價指標與參考因素兩個層面進行設計：評價指標上，可以將《網絡安全法》等法律法規(guī)作為設定標尺，綜合企業(yè)管理模式以及常發(fā)網絡犯罪風險，引入互聯(lián)網相關監(jiān)管部門、行業(yè)協(xié)會發(fā)布的監(jiān)管標準、自治規(guī)范等；參考因素上，不同規(guī)模企業(yè)合規(guī)的評價標準應有所區(qū)別，可根據企業(yè)涉案類型、業(yè)務規(guī)模、薄弱問題等因素調節(jié)指標權重，有針對性地調整風險識別、內部調查、合規(guī)責任履行等方面的比重。

在合規(guī)整改審查監(jiān)督方面，一是審查合規(guī)計劃內容及其執(zhí)行情況，比如企業(yè)是否建立全崗位數據安全管理與等級保護制度、是否合理配置數據合規(guī)管理機構人員、是否建立合規(guī)風險預警和應對機制、是否嚴格執(zhí)行違規(guī)調查處理機制以及建立合規(guī)文化培養(yǎng)體系等。二是設定具體義務，明確涉案單位及相關人員在考驗期內應遵守的規(guī)定，比如積極配合司法機關調查和追訴、如實全面披露涉及刑事合規(guī)事項的信息、定期匯報企業(yè)合規(guī)情況和刑事合規(guī)風險的排除措施等。三是嚴格落實評估報告機制，由涉案企業(yè)提交整改報告、第三方組織出具合規(guī)考察報告后，經檢察機關通過公開聽證等方式審查，最終評估結果才能作為案件處理的參考。如本案中，檢察機關無論是事前現(xiàn)場評估還是事后公開評議審查，目的皆在于確保企業(yè)合規(guī)整改有效落實。

四、檢察機關推進數據合規(guī)治理的優(yōu)化路徑

（一）事前防治：構建立體化數據合規(guī)風險防控體系

第一，加強數據行業(yè)的規(guī)范化建設。檢察機關要與工商聯(lián)、行政監(jiān)管部門、互聯(lián)網協(xié)會等加強協(xié)作，針對互聯(lián)網企業(yè)合規(guī)風險點進行防范引導，比如編制數字行業(yè)合規(guī)清單等。第二，提升數據行業(yè)、企業(yè)自治能力。檢察機關可以推動互聯(lián)網企業(yè)簽署自治協(xié)議、共識框架，達成數據合規(guī)協(xié)作共識，同時有針對性地建立黑名單制度、重點企業(yè)聯(lián)絡人制度、典型案例宣講制度等，提升企業(yè)自我管理能力。第三，強化檢企聯(lián)合防控。一方面，檢察機關通過檢力下沉、大調研等方式，深入案件易發(fā)、多發(fā)互聯(lián)網企業(yè)和區(qū)域，及早發(fā)現(xiàn)并預防企業(yè)經營的潛在刑事風險。另一方面，企業(yè)在發(fā)現(xiàn)其內部員工犯罪案件后第一時間通報，最大程度減少對企業(yè)生產經營影響。

（二）事中矯治：提升數據合規(guī)檢察辦案質效

第一，健全數據犯罪線索發(fā)現(xiàn)機制。檢察機關可以依托偵查監(jiān)督與協(xié)作配合辦公室，將數據犯罪案件合規(guī)可能性的初篩作為派駐檢察官的重要履職內容，對于滿足合規(guī)條件的及時啟動協(xié)調和介入程序，為企業(yè)合規(guī)的啟動收集證據材料，提升辦案效率。同時依托信息化共享平臺，將企業(yè)合規(guī)納入大數據協(xié)同辦案，實現(xiàn)對合規(guī)案件的專案專辦與實時監(jiān)督。第二，審慎適用訴前強制措施。對犯罪嫌疑人系互聯(lián)網企業(yè)主要負責人員或關鍵“骨干”人員等，檢察機關要嚴格審查是否符合法律規(guī)定的逮捕條件，必要時可以探索建立先行取保候審制度。同時強化偵查活動監(jiān)督，及時糾正查封、扣押、凍結財物不當等加重企業(yè)負擔、加劇企業(yè)生產經營困難的行為。第三，強化合規(guī)考察的審查把關。一方面，檢察機關要借助專業(yè)的第三方組織，以量化的形式對企業(yè)合規(guī)建設狀況作出全面、系統(tǒng)的客觀評估，督促涉案企業(yè)圍繞數據合規(guī)計劃整改落實，避免出現(xiàn)“紙面合規(guī)”。另一方面，檢察機關也要秉持懲治與挽救并重理念，通過公開聽證、現(xiàn)場評審會等方式，主動聽取第三方組織與涉案企業(yè)意見，促進當事雙方和解或者達成數據交互協(xié)議，提升涉案企業(yè)合規(guī)案件辦理質效。

（三）事后共治：健全企業(yè)合規(guī)行刑銜接的保障機制

第一，建立定期跟蹤回訪機制。對于整改后的涉案企業(yè)作出不起訴決定的，檢察機關仍應進行一定時間的跟蹤監(jiān)督，以督促確保數據合規(guī)制度在企業(yè)的常態(tài)化運作。第二，暢通“兩法銜接”渠道，推動“合規(guī)互認”機制的實施［5］，將合規(guī)考察結果作為對企業(yè)進行政策激勵以及行政、刑事處罰從寬的依據。

*本文為上海市檢察機關2022年重點課題“涉案企業(yè)合規(guī)改革中的行刑銜接問題研究”（SH2022202）的階段性研究成果。

**上海市普陀區(qū)人民檢察院副檢察長、三級高級檢察官［200333］

***上海市普陀區(qū)人民檢察院第六檢察部三級檢察官助理［200333］

［1］參見楊志瓊：《數據時代網絡爬蟲的刑法規(guī)制》，《比較法研究》2020年第4期。

［2］參見梅夏英：《在分享和控制之間 數據保護的私法局限和公共秩序構建》，《中外法學》2019年第4期。

［3］參見陳瑞華：《企業(yè)合規(guī)基本理論》，法律出版社2020年版，第102頁。

［4］參見李本燦：《刑事合規(guī)的制度邊界》，《法學論壇》2020年第4期。

［5］參見陳瑞華：《企業(yè)合規(guī)不起訴改革的動向和挑戰(zhàn)》，中國知網https：//kns.cnki.net/kcms/detail/detail.aspx？dbcode=CAPJ&dbname=CAPJLAST&filename=ZFKL20221026003&uniplatform=NZKPT&v=AQL3bkbibT55adNQbIhSevu_73nJCGTFyiAGKsj1uToxlitzqJUdy1L5bKuzK-Jd，最后訪問日期：2022年11月1日。