摘要：企業(yè)數(shù)據(jù)安全管理是指對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任的企業(yè)采取的對(duì)各類(lèi)數(shù)據(jù)實(shí)行分級(jí)防護(hù)，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)的數(shù)據(jù)全生命周期管理活動(dòng)。當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代最為活躍的新型生產(chǎn)要素，處于全球化與數(shù)字化時(shí)代的我國(guó)企業(yè)面臨數(shù)據(jù)采集風(fēng)險(xiǎn)、數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)與數(shù)據(jù)利用風(fēng)險(xiǎn)等多重風(fēng)險(xiǎn)。應(yīng)采取合理措施應(yīng)對(duì)企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題：首先，應(yīng)建立企業(yè)數(shù)據(jù)全生命周期安全管理流程，完善數(shù)據(jù)采集管理、數(shù)據(jù)儲(chǔ)存管理與數(shù)據(jù)利用管理制度；其次，應(yīng)構(gòu)建企業(yè)數(shù)據(jù)全生命周期安全管理刑事合規(guī)制度，包括以法秩序統(tǒng)一性原理指導(dǎo)企業(yè)數(shù)據(jù)安全刑事合規(guī)管理，以“事前預(yù)防”型合規(guī)嵌入企業(yè)數(shù)據(jù)安全刑事合規(guī)管理等。

關(guān)鍵詞：刑事合規(guī)；數(shù)據(jù)安全風(fēng)險(xiǎn)；法秩序統(tǒng)一性原理；企業(yè)數(shù)據(jù)安全管理

中圖分類(lèi)號(hào)：F425；D925文獻(xiàn)標(biāo)識(shí)碼：A

DOI：10.12186/2024.03.010

文章編號(hào)：2096-9864（2024）03-0088-07

企業(yè)數(shù)據(jù)安全管理是國(guó)家實(shí)施大數(shù)據(jù)戰(zhàn)略，推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)中的重要一環(huán)，是發(fā)展新質(zhì)生產(chǎn)力的重要支撐［1］，關(guān)乎國(guó)家安全、社會(huì)穩(wěn)定與經(jīng)濟(jì)發(fā)展，通過(guò)企業(yè)刑事合規(guī)建設(shè)保護(hù)企業(yè)數(shù)據(jù)安全既有必要性也有緊迫性。在2020年國(guó)務(wù)院首次公布的關(guān)于要素市場(chǎng)化配置的文件《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》中，數(shù)據(jù)被列為繼土地、勞動(dòng)力、資本、技術(shù)之后的“第五大生產(chǎn)要素”［2］。2021年《“十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》指出，“十三五”時(shí)期，我國(guó)大數(shù)據(jù)企業(yè)規(guī)模年均復(fù)合增長(zhǎng)率超過(guò)30%，逾1萬(wàn)億元，到2025年，大數(shù)據(jù)企業(yè)測(cè)算規(guī)模突破3萬(wàn)億元，年均復(fù)合增長(zhǎng)率保持在25%左右［3］。面對(duì)如此龐大的大數(shù)據(jù)市場(chǎng)，眾多大數(shù)據(jù)行業(yè)企業(yè)如雨后春筍般拔地而起，瘋狂進(jìn)行“數(shù)據(jù)開(kāi)荒”和“數(shù)據(jù)奪取”。但是任何領(lǐng)域的可持續(xù)發(fā)展，都離不開(kāi)法律制度的規(guī)范和制約。企業(yè)在數(shù)據(jù)管理過(guò)程中稍有不慎即有可能走入刑事犯罪的歧途，一旦觸及刑事犯罪，相關(guān)責(zé)任人、主要負(fù)責(zé)人甚至實(shí)際控制人都會(huì)陷入刑事犯罪風(fēng)險(xiǎn)，這對(duì)于企業(yè)來(lái)說(shuō)無(wú)疑是致命性打擊。而企業(yè)通過(guò)刑事合規(guī)制度建設(shè)可以完善企業(yè)內(nèi)部自我管理，以事前預(yù)防規(guī)避企業(yè)刑事風(fēng)險(xiǎn)。鑒于此，本文擬通過(guò)厘清刑事合規(guī)與企業(yè)數(shù)據(jù)安全管理的基本概念、關(guān)系，分析刑事合規(guī)視域下企業(yè)數(shù)據(jù)安全管理的風(fēng)險(xiǎn)，探討刑事合規(guī)視域下企業(yè)數(shù)據(jù)安全管理的應(yīng)對(duì)策略，以期能為企業(yè)數(shù)據(jù)安全管理保駕護(hù)航，為新質(zhì)生產(chǎn)力的高質(zhì)量發(fā)展提質(zhì)增效，不斷形成推動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的新動(dòng)能。

一、刑事合規(guī)與企業(yè)數(shù)據(jù)安全管理之理論厘清

在數(shù)字化與智能化時(shí)代背景下，刑事合規(guī)視域下企業(yè)數(shù)據(jù)全生命周期安全管理是當(dāng)今企業(yè)管理的重要方面之一。企業(yè)刑事合規(guī)涉及確保企業(yè)在其數(shù)據(jù)業(yè)務(wù)活動(dòng)中遵守相關(guān)的法律法規(guī)，防止企業(yè)或其員工因違法行為而面臨刑事責(zé)任。而數(shù)據(jù)全生命周期安全管理可保護(hù)企業(yè)數(shù)據(jù)資產(chǎn)不受威脅，確保數(shù)據(jù)的機(jī)密性、完整性與可用性。這兩者雖然在實(shí)踐中密切相關(guān)，但在理論基礎(chǔ)上各有側(cè)重。為此，有必要通過(guò)深入理解和系統(tǒng)分析相關(guān)基本概念，厘清二者之間的關(guān)系。

1.刑事合規(guī)

企業(yè)刑事合規(guī)是企業(yè)合規(guī)的重要內(nèi)容。企業(yè)在治理中面臨的合規(guī)風(fēng)險(xiǎn)主要分為兩大類(lèi)：一是企業(yè)因違法違規(guī)行為而受到監(jiān)管部門(mén)行政處罰的風(fēng)險(xiǎn)；二是企業(yè)因犯罪受到起訴而被定罪量刑的風(fēng)險(xiǎn)。企業(yè)刑事合規(guī)的重要目的之一是防范企業(yè)的刑事風(fēng)險(xiǎn)的發(fā)生，從而減少企業(yè)損失。但是，當(dāng)前學(xué)界無(wú)論是在理論層面還是在實(shí)踐層面對(duì)于企業(yè)刑事合規(guī)的界定尚未形成統(tǒng)一的概念。陳瑞華［4］認(rèn)為，企業(yè)刑事合規(guī)是指企業(yè)為有效防范、識(shí)別、應(yīng)對(duì)可能發(fā)生的刑事風(fēng)險(xiǎn)所建立的一整套公司治理體系。李本燦［5］認(rèn)為，刑事合規(guī)是旨在推動(dòng)企業(yè)自我管理的刑事法制度工具。孫國(guó)祥［6］認(rèn)為，刑事合規(guī)是指為規(guī)避企業(yè)的刑事責(zé)任，企業(yè)內(nèi)部通過(guò)實(shí)施一系列符合國(guó)家規(guī)定的措施，推動(dòng)企業(yè)識(shí)別、評(píng)估和預(yù)防自身的刑事風(fēng)險(xiǎn)的一種管理活動(dòng)。張遠(yuǎn)煌［7］認(rèn)為，刑事合規(guī)作為企業(yè)預(yù)防、發(fā)現(xiàn)犯罪的內(nèi)控機(jī)制，是指為消除、抑制企業(yè)內(nèi)生性犯罪而采取的一系列合規(guī)計(jì)劃以及相應(yīng)的活動(dòng)。由此可見(jiàn)，實(shí)踐中各個(gè)學(xué)者關(guān)于刑事合規(guī)的概念尚未形成一致意見(jiàn)。

刑事合規(guī)是一個(gè)較為復(fù)雜的問(wèn)題，既要從犯罪預(yù)防的高度來(lái)認(rèn)識(shí)刑事合規(guī)，通過(guò)刑事合規(guī)為我國(guó)的犯罪預(yù)防政策找到途徑、建構(gòu)制度，又要把刑事合規(guī)和國(guó)家治理體系與治理能力結(jié)合起來(lái)。有鑒于此，本文認(rèn)為刑事合規(guī)是指企業(yè)為預(yù)防犯罪的發(fā)生所采取的各種內(nèi)控機(jī)制與管理活動(dòng)。

2.企業(yè)數(shù)據(jù)安全管理

在數(shù)字經(jīng)濟(jì)快速發(fā)展的時(shí)代，數(shù)據(jù)安全事關(guān)國(guó)家安全與發(fā)展。我國(guó)《數(shù)據(jù)安全法》第三條第三款規(guī)定：“數(shù)據(jù)安全是指通過(guò)采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！币虼?，企業(yè)數(shù)據(jù)安全管理是指對(duì)數(shù)據(jù)處理活動(dòng)負(fù)安全主體責(zé)任的企業(yè)采取的對(duì)各類(lèi)數(shù)據(jù)實(shí)行分級(jí)防護(hù)，確保數(shù)據(jù)持續(xù)處于有效保護(hù)和合法利用的狀態(tài)的數(shù)據(jù)全生命周期管理活動(dòng)。

3.企業(yè)數(shù)據(jù)安全刑事合規(guī)管理

企業(yè)數(shù)據(jù)安全刑事合規(guī)管理是企業(yè)刑事合規(guī)管理的重要方面。當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟(jì)時(shí)代最為活躍的新型生產(chǎn)要素，處于全球化與數(shù)字化時(shí)代的我國(guó)企業(yè)，不僅應(yīng)注重經(jīng)營(yíng)風(fēng)險(xiǎn)，而且應(yīng)關(guān)注由數(shù)據(jù)管理違規(guī)而產(chǎn)生的刑事風(fēng)險(xiǎn)，因此企業(yè)數(shù)據(jù)安全刑事合規(guī)管理勢(shì)在必行。企業(yè)數(shù)據(jù)安全刑事合規(guī)作為企業(yè)避免因刑事制裁而產(chǎn)生負(fù)外部效應(yīng)的新興治理機(jī)制，對(duì)于防控?cái)?shù)據(jù)合規(guī)風(fēng)險(xiǎn)具有重要價(jià)值［8］。因此，本文認(rèn)為企業(yè)數(shù)據(jù)安全刑事合規(guī)管理是指負(fù)有數(shù)據(jù)安全管理義務(wù)的企業(yè)采取全方位措施維護(hù)數(shù)據(jù)安全，減少刑事風(fēng)險(xiǎn)的數(shù)據(jù)全生命周期治理活動(dòng)。

4.企業(yè)數(shù)據(jù)安全法益保護(hù)

企業(yè)數(shù)據(jù)安全法益是指刑法所保護(hù)的為犯罪行為所侵犯的企業(yè)數(shù)據(jù)權(quán)益。在當(dāng)前社會(huì)由信息時(shí)代向數(shù)字與智能化時(shí)代轉(zhuǎn)型的過(guò)程中，刑法對(duì)數(shù)據(jù)權(quán)益的保障應(yīng)由系統(tǒng)安全轉(zhuǎn)向數(shù)據(jù)安全［9］。維護(hù)企業(yè)數(shù)據(jù)安全是保護(hù)企業(yè)關(guān)鍵信息、防止數(shù)據(jù)泄露、濫用或丟失的重要手段，因此，通過(guò)刑法保護(hù)企業(yè)數(shù)據(jù)安全既有必要性也有緊迫性。刑法應(yīng)當(dāng)在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等前置法的基礎(chǔ)上，構(gòu)建刑法對(duì)企業(yè)數(shù)據(jù)安全法益的保障體系。而刑事合規(guī)與企業(yè)數(shù)據(jù)安全管理之間有著密切的聯(lián)系，這兩者共同構(gòu)成了企業(yè)防范數(shù)據(jù)安全風(fēng)險(xiǎn)的重要基礎(chǔ)［10］。因而此種刑法保障體系應(yīng)當(dāng)是建立于企業(yè)刑事合規(guī)管理?xiàng)l件下的數(shù)據(jù)安全保障體系，既應(yīng)包含數(shù)據(jù)管理安全，也應(yīng)包含數(shù)據(jù)利用安全。

二、刑事合規(guī)視域下企業(yè)數(shù)據(jù)全生命周期安全管理之風(fēng)險(xiǎn)分析

企業(yè)在數(shù)據(jù)全生命周期管理過(guò)程中面臨多重風(fēng)險(xiǎn)。企業(yè)數(shù)據(jù)在其被創(chuàng)建至銷(xiāo)毀的生命周期中，可能經(jīng)由提取、導(dǎo)入、導(dǎo)出、遷移、驗(yàn)證、編輯、更新、清洗、轉(zhuǎn)型、轉(zhuǎn)換、整合、隔離、匯總、引用、評(píng)審、報(bào)告、分析、挖掘、備份、恢復(fù)、歸檔和檢索，最終被刪除?；诖髷?shù)據(jù)環(huán)境下數(shù)據(jù)在企業(yè)業(yè)務(wù)中的流轉(zhuǎn)情況，數(shù)據(jù)全生命周期可劃分為六個(gè)階段，分別為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷(xiāo)毀。但是特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際的業(yè)務(wù)場(chǎng)景決定，并非所有的數(shù)據(jù)都會(huì)完整地經(jīng)歷這六個(gè)階段［11］。因此我們按照數(shù)據(jù)的全生命周期，又將企業(yè)數(shù)據(jù)分為上、中、下游三個(gè)層次，把六個(gè)生命周期的階段歸納為數(shù)據(jù)獲取、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用三個(gè)環(huán)節(jié)，分別對(duì)應(yīng)于企業(yè)數(shù)據(jù)安全刑事合規(guī)管理息息相關(guān)的三種風(fēng)險(xiǎn)，即數(shù)據(jù)采集風(fēng)險(xiǎn)、數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)和數(shù)據(jù)利用風(fēng)險(xiǎn)。

1.數(shù)據(jù)采集風(fēng)險(xiǎn)

企業(yè)在數(shù)據(jù)管理過(guò)程中可能因違規(guī)而面臨數(shù)據(jù)采集風(fēng)險(xiǎn)。企業(yè)數(shù)據(jù)安全刑事合規(guī)管理中的數(shù)據(jù)采集風(fēng)險(xiǎn)是指企業(yè)為了自身發(fā)展通過(guò)自行收集、委托第三方收集以及通過(guò)大數(shù)據(jù)交易市場(chǎng)獲得數(shù)據(jù)［12］時(shí)可能面臨的刑事風(fēng)險(xiǎn)。無(wú)論是專(zhuān)門(mén)從事大數(shù)據(jù)獲取業(yè)務(wù)的企業(yè)，還是企業(yè)內(nèi)部數(shù)據(jù)支撐部門(mén)，獲取數(shù)據(jù)的手段和所得數(shù)據(jù)的性質(zhì)，均對(duì)收集數(shù)據(jù)行為的合法性認(rèn)定至關(guān)重要，最為典型的例證就是侵犯公民個(gè)人信息的行為。因此，“侵犯公民個(gè)人信息罪”是數(shù)據(jù)采集環(huán)節(jié)刑事風(fēng)險(xiǎn)最高的罪名之一?！蛾P(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》第四條規(guī)定，“違反國(guó)家有關(guān)規(guī)定……在履行職責(zé)、提供服務(wù)過(guò)程中收集公民個(gè)人信息的”構(gòu)成侵犯公民個(gè)人信息罪，因此不僅企業(yè)有可能因違反《個(gè)人信息保護(hù)法》等規(guī)定違法收集公民個(gè)人信息而觸犯刑法［13］，企業(yè)員工也可能因履職過(guò)程中的違法行為牽涉到企業(yè)的利益，導(dǎo)致企業(yè)無(wú)法正常經(jīng)營(yíng)。

2.數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)

企業(yè)在數(shù)據(jù)管理過(guò)程中可能因違規(guī)而面臨數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。企業(yè)數(shù)據(jù)安全刑事合規(guī)管理中的數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)是指企業(yè)在非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)的階段［14］可能面臨的刑事風(fēng)險(xiǎn)。例如，在生成式人工智能發(fā)展過(guò)程中，新型人工智能企業(yè)在數(shù)據(jù)存儲(chǔ)過(guò)程中面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)。以ChatGPT為例，OpenAI官方在2023年3月24日發(fā)布聲明稱(chēng)，有1.2%的ChatGPT Plus的用戶(hù)數(shù)據(jù)存在泄露風(fēng)險(xiǎn)，其中包含姓名、聊天記錄片段、電子郵箱和付款地址等信息［15］。面對(duì)未來(lái)生成式人工智能發(fā)展的不確定性問(wèn)題，企業(yè)在數(shù)據(jù)管理過(guò)程中的數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)也會(huì)呈上升趨勢(shì)。

3.數(shù)據(jù)利用風(fēng)險(xiǎn)

企業(yè)在數(shù)據(jù)管理過(guò)程中可能因違規(guī)而面臨數(shù)據(jù)利用風(fēng)險(xiǎn)。企業(yè)數(shù)據(jù)安全刑事合規(guī)管理中的數(shù)據(jù)利用風(fēng)險(xiǎn)是指企業(yè)在數(shù)據(jù)被經(jīng)過(guò)處理、分析后投入到終端用戶(hù)，服務(wù)于生產(chǎn)和經(jīng)營(yíng)過(guò)程中可能面臨的刑事風(fēng)險(xiǎn)。例如，2019年，具有六家上市公司股東的“考拉征信”被江蘇省淮安市公安局立案調(diào)查，相關(guān)負(fù)責(zé)人被依法拘留配合調(diào)查。在該案中，考拉征信公司非法緩存征信系統(tǒng)公民個(gè)人身份信息并予以出售，已經(jīng)涉嫌侵犯公民個(gè)人信息罪，同時(shí)下游公司購(gòu)買(mǎi)、再出售的行為同樣涉嫌相關(guān)犯罪［16］。

三、刑事合規(guī)視域下企業(yè)數(shù)據(jù)全生命周期安全管理之對(duì)策

企業(yè)數(shù)據(jù)安全刑事合規(guī)管理作為應(yīng)對(duì)因刑事制裁而產(chǎn)生重大外部負(fù)面效應(yīng)的新型風(fēng)險(xiǎn)防范機(jī)制，對(duì)于企業(yè)防控?cái)?shù)據(jù)管理過(guò)程中的安全風(fēng)險(xiǎn)具有重要價(jià)值。數(shù)據(jù)企業(yè)因管理大量數(shù)據(jù)，無(wú)論是在何種數(shù)據(jù)階段、流程，都可能面臨數(shù)據(jù)安全風(fēng)險(xiǎn)，一種是外部因素，遭遇網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)爬蟲(chóng)等；一種是內(nèi)部因素，員工故意或者過(guò)失導(dǎo)致數(shù)據(jù)泄露等。數(shù)據(jù)企業(yè)應(yīng)當(dāng)建立有效的應(yīng)對(duì)措施，防止發(fā)生刑事法律風(fēng)險(xiǎn)，保障企業(yè)數(shù)據(jù)全生命周期的管理安全。

1.建立企業(yè)數(shù)據(jù)全生命周期安全管理流程

企業(yè)數(shù)據(jù)全生命周期安全管理是指在企業(yè)數(shù)據(jù)自創(chuàng)建至銷(xiāo)毀的生命周期中，企業(yè)采取全方位措施對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀的全過(guò)程進(jìn)行保障和優(yōu)化的管理活動(dòng)。企業(yè)數(shù)據(jù)全生命周期式安全管理流程主要包括以下三個(gè)方面。

其一，數(shù)據(jù)采集管理。數(shù)據(jù)采集活動(dòng)是企業(yè)數(shù)據(jù)的源泉，完善的數(shù)據(jù)采集管理是企業(yè)數(shù)據(jù)安全管理的重要方面。在數(shù)據(jù)采集過(guò)程中，企業(yè)獲取數(shù)據(jù)的手段及其所得數(shù)據(jù)的性質(zhì)，對(duì)收集數(shù)據(jù)行為的合法性認(rèn)定至關(guān)重要，因此企業(yè)在收集、使用信息過(guò)程中，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開(kāi)收集、使用信息的規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。首先，在采集數(shù)據(jù)前，企業(yè)應(yīng)了解并遵循相關(guān)法律法規(guī)的規(guī)定。一方面，在開(kāi)始數(shù)據(jù)采集之前，企業(yè)必須熟悉并遵守所有適用的數(shù)據(jù)保護(hù)法律，如歐盟的《通用數(shù)據(jù)保護(hù)條例》、我國(guó)的《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等；另一方面，在采集個(gè)人數(shù)據(jù)前，應(yīng)獲得數(shù)據(jù)主體權(quán)利人的明確同意，同時(shí)確保此種同意具有自愿性、明確性和可撤回性。其次，在數(shù)據(jù)采集過(guò)程中，企業(yè)應(yīng)堅(jiān)持透明度、目的限定和必要性原則。一方面，數(shù)據(jù)采集者應(yīng)當(dāng)向數(shù)據(jù)主體清晰地解釋數(shù)據(jù)采集的目的、使用方式和存儲(chǔ)期限等，并使用易于理解的語(yǔ)言編寫(xiě)隱私政策和同意書(shū)，同時(shí)，應(yīng)確保數(shù)據(jù)的采集和使用僅限于事先明確的、合法的目的［17］，不得濫用或用于非預(yù)期的目的。另一方面，在數(shù)據(jù)采集過(guò)程中，數(shù)據(jù)采集者應(yīng)做到只采集完成預(yù)定目的所必需的最少量數(shù)據(jù)，避免“過(guò)度采集”個(gè)人數(shù)據(jù)；只有當(dāng)員工或第三方因工作需要而必須接觸數(shù)據(jù)時(shí)，才應(yīng)該授予其訪(fǎng)問(wèn)權(quán)限，并實(shí)行嚴(yán)格的訪(fǎng)問(wèn)控制和監(jiān)督制度；在不影響使用目的的情況下，盡可能對(duì)數(shù)據(jù)進(jìn)行去標(biāo)識(shí)化處理，以減少對(duì)個(gè)人隱私的影響。再次，在完成數(shù)據(jù)采集后，企業(yè)應(yīng)進(jìn)行內(nèi)部或外部審計(jì)，檢查數(shù)據(jù)采集活動(dòng)是否符合法律法規(guī)與公司的政策規(guī)定?；趯徲?jì)過(guò)程中發(fā)現(xiàn)的問(wèn)題，企業(yè)應(yīng)調(diào)整和改進(jìn)數(shù)據(jù)采集管理策略和流程，確保其隨著法律法規(guī)和技術(shù)的發(fā)展而不斷更新。

其二，數(shù)據(jù)存儲(chǔ)管理。數(shù)據(jù)存儲(chǔ)活動(dòng)的目的是保障數(shù)據(jù)的完整性與安全性，同時(shí)提高數(shù)據(jù)的使用效率和便利性，完善的數(shù)據(jù)存儲(chǔ)管理是企業(yè)數(shù)據(jù)安全管理的重要支撐，可為企業(yè)數(shù)據(jù)的有效利用提供安全基礎(chǔ)。為此，企業(yè)數(shù)據(jù)存儲(chǔ)管理部門(mén)應(yīng)制定分級(jí)分類(lèi)存儲(chǔ)管理制度［18］。首先，制定數(shù)據(jù)分類(lèi)政策。在企業(yè)信息管理部門(mén)、法律顧問(wèn)、業(yè)務(wù)單位等相關(guān)方參與下，根據(jù)數(shù)據(jù)的敏感性、法律要求、業(yè)務(wù)價(jià)值和風(fēng)險(xiǎn)等級(jí)，制定明確的分類(lèi)標(biāo)準(zhǔn)，以確保數(shù)據(jù)存儲(chǔ)管理的安全性與適用性。其次，建立數(shù)據(jù)分類(lèi)制度。依據(jù)數(shù)據(jù)重要性的不同對(duì)數(shù)據(jù)進(jìn)行識(shí)別和評(píng)估，確定數(shù)據(jù)的來(lái)源、類(lèi)型、存儲(chǔ)位置、使用方式和相關(guān)的合規(guī)要求，根據(jù)制定的標(biāo)準(zhǔn)對(duì)數(shù)據(jù)應(yīng)用采取適當(dāng)?shù)姆诸?lèi)標(biāo)簽，包括公開(kāi)級(jí)、內(nèi)部級(jí)、秘密級(jí)、機(jī)密級(jí)等［19］。再次，完善數(shù)據(jù)安全存儲(chǔ)措施。對(duì)重要程度不同的數(shù)據(jù)采取不同的管理措施，采用不同的加密與歸檔存儲(chǔ)方式；對(duì)存儲(chǔ)介質(zhì)性質(zhì)不同的數(shù)據(jù)采用不同的安全保障措施，保障介質(zhì)安全性。同時(shí)，需要確保所有數(shù)據(jù)按分類(lèi)進(jìn)行定期備份，并制定有效的數(shù)據(jù)恢復(fù)計(jì)劃以應(yīng)對(duì)數(shù)據(jù)丟失或被破壞的狀況。最后，健全數(shù)據(jù)存儲(chǔ)審核與審計(jì)機(jī)制。針對(duì)不同級(jí)別的數(shù)據(jù)制定不同的安全審核與審計(jì)制度，定期審核數(shù)據(jù)分類(lèi)和存儲(chǔ)制度的執(zhí)行情況，確保其始終符合法律法規(guī)要求與業(yè)務(wù)需求，對(duì)存儲(chǔ)介質(zhì)、存儲(chǔ)內(nèi)容的管理情況進(jìn)行定期檢查，并定期報(bào)告審計(jì)結(jié)果。

其三，數(shù)據(jù)利用管理。數(shù)據(jù)利用活動(dòng)是發(fā)掘數(shù)據(jù)價(jià)值的重要過(guò)程，完善的數(shù)據(jù)利用管理是企業(yè)數(shù)據(jù)安全管理的重要保障。企業(yè)數(shù)據(jù)利用安全機(jī)制的建設(shè)應(yīng)注意以下三個(gè)方面：一是建立安全監(jiān)控和日志記錄制度。應(yīng)組建數(shù)據(jù)安全專(zhuān)業(yè)團(tuán)隊(duì)，保障數(shù)據(jù)不輕易被網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)爬蟲(chóng)等行為獲取，對(duì)網(wǎng)絡(luò)和系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)并響應(yīng)安全威脅。同時(shí)，應(yīng)詳細(xì)記錄和分析安全事件的日志，以便于事后審計(jì)和追蹤問(wèn)題源頭。二是強(qiáng)化員工培訓(xùn)，提升員工安全意識(shí)。企業(yè)應(yīng)加強(qiáng)對(duì)內(nèi)部人員接觸數(shù)據(jù)的全流程追蹤，防止人為違規(guī)利用數(shù)據(jù)事件發(fā)生。企業(yè)應(yīng)定期開(kāi)展員工數(shù)據(jù)安全和隱私保護(hù)的培訓(xùn)，持續(xù)提升員工對(duì)數(shù)據(jù)安全重要性的認(rèn)識(shí)，確保他們能夠及時(shí)識(shí)別響應(yīng)數(shù)據(jù)安全的威脅。三是設(shè)立應(yīng)急數(shù)據(jù)救援部門(mén)，在違規(guī)利用數(shù)據(jù)事件發(fā)生后及時(shí)發(fā)現(xiàn)問(wèn)題并填補(bǔ)管理漏洞，企業(yè)應(yīng)急數(shù)據(jù)救援部門(mén)通常包括數(shù)據(jù)恢復(fù)管理員、系統(tǒng)管理員、網(wǎng)絡(luò)安全管理員和技術(shù)支持人員。同時(shí)應(yīng)當(dāng)明確團(tuán)隊(duì)成員的職責(zé)，確保其職責(zé)覆蓋到應(yīng)急響應(yīng)、數(shù)據(jù)恢復(fù)、系統(tǒng)修復(fù)和安全分析等關(guān)鍵領(lǐng)域。

2.構(gòu)建企業(yè)數(shù)據(jù)全生命周期安全管理刑事合規(guī)制度

其一，以法秩序統(tǒng)一性原理指導(dǎo)企業(yè)數(shù)據(jù)安全刑事合規(guī)管理。法秩序統(tǒng)一性原理是指在處理不同法律部門(mén)之間的關(guān)系時(shí)，為確保法律秩序的內(nèi)部一致性和協(xié)調(diào)性應(yīng)遵循的基本規(guī)則。法秩序統(tǒng)一性原理是處理法域間關(guān)系的基本原則［20］，將法秩序統(tǒng)一性原理融入企業(yè)數(shù)據(jù)安全刑事合規(guī)管理，有助于促進(jìn)企業(yè)刑事合規(guī)建設(shè)，完善企業(yè)數(shù)據(jù)安全管理制度。為此，本文認(rèn)為有必要從以下兩個(gè)方面做起。一方面，企業(yè)數(shù)據(jù)安全刑事合規(guī)管理應(yīng)重視發(fā)揮企業(yè)管理、行業(yè)自治、行政監(jiān)管、司法處罰的重要作用。企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)是內(nèi)在管理與外在監(jiān)督的雙層建設(shè)，需要內(nèi)在企業(yè)管理、行業(yè)自治與外在行政監(jiān)管、司法處罰的有機(jī)統(tǒng)一，在重視企業(yè)內(nèi)部數(shù)據(jù)采集、存儲(chǔ)、利用管理建設(shè)的同時(shí)，發(fā)揮外在市場(chǎng)監(jiān)管部門(mén)、知識(shí)產(chǎn)權(quán)監(jiān)管部門(mén)、國(guó)家安全部門(mén)的監(jiān)督管理作用，完善企業(yè)數(shù)據(jù)管理規(guī)章制度，提高企業(yè)數(shù)據(jù)管理水平與管理效率。為應(yīng)對(duì)潛在的企業(yè)數(shù)據(jù)安全管理事故風(fēng)險(xiǎn)，應(yīng)建立完善的企業(yè)、行業(yè)與監(jiān)管部門(mén)聯(lián)動(dòng)機(jī)制，更好地保護(hù)企業(yè)數(shù)據(jù)安全。一方面，企業(yè)數(shù)據(jù)安全刑事合規(guī)管理應(yīng)重視處理好前置法與刑事法律的關(guān)系，以前置法為管理手段，以刑法為保障措施，協(xié)調(diào)好二者的關(guān)系，更好地完善企業(yè)數(shù)據(jù)安全刑事合規(guī)管理。從行業(yè)規(guī)定、行政法規(guī)的角度來(lái)看，立法者應(yīng)強(qiáng)化對(duì)于企業(yè)數(shù)據(jù)安全的保護(hù)，嚴(yán)厲打擊危害企業(yè)數(shù)據(jù)安全的行為。從刑法益保護(hù)的角度來(lái)看，刑事立法者應(yīng)完善刑法對(duì)數(shù)據(jù)安全法益的保護(hù)，完成從系統(tǒng)安全法益到數(shù)據(jù)安全法益的轉(zhuǎn)變。從刑法對(duì)數(shù)據(jù)安全保護(hù)的種類(lèi)上來(lái)看，刑事立法者不僅要關(guān)注事關(guān)國(guó)家利益的數(shù)據(jù)安全，也應(yīng)當(dāng)關(guān)注事關(guān)企業(yè)利益的數(shù)據(jù)安全。從犯罪人的主觀表現(xiàn)來(lái)看，刑法不僅應(yīng)懲治故意危害企業(yè)數(shù)據(jù)安全的行為，也應(yīng)懲治過(guò)失嚴(yán)重危害企業(yè)數(shù)據(jù)安全的行為。

其二，以“事前預(yù)防”型合規(guī)嵌入企業(yè)數(shù)據(jù)安全刑事合規(guī)管理。與“事后懲治”型企業(yè)合規(guī)相比較，“事前預(yù)防”型企業(yè)合規(guī)能更好地完善企業(yè)數(shù)據(jù)安全刑事合規(guī)管理，降低企業(yè)數(shù)據(jù)安全刑事風(fēng)險(xiǎn)。企業(yè)數(shù)據(jù)安全管理制度建設(shè)是“事前預(yù)防”型企業(yè)合規(guī)管理體系建設(shè)的核心，企業(yè)數(shù)據(jù)安全管理制度實(shí)施則是合規(guī)管理體系運(yùn)行的核心。通過(guò)事先制定和發(fā)布完整體系的制度，可以規(guī)范企業(yè)數(shù)據(jù)安全合規(guī)管理的各項(xiàng)行為，保障第一時(shí)間識(shí)別企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)，并將安全風(fēng)險(xiǎn)扼殺于萌芽之中。在作出任何重大決策之前，應(yīng)提請(qǐng)進(jìn)行合規(guī)審查，非經(jīng)審查不進(jìn)行決策。企業(yè)應(yīng)將數(shù)據(jù)安全合規(guī)審查、合規(guī)咨詢(xún)、合規(guī)風(fēng)險(xiǎn)預(yù)警等制度建設(shè)與完善“事前預(yù)防”型企業(yè)數(shù)據(jù)安全刑事合規(guī)管理機(jī)制結(jié)合起來(lái)。一是數(shù)據(jù)安全合規(guī)審查。企業(yè)應(yīng)定期進(jìn)行數(shù)據(jù)安全合規(guī)審查，以確保其數(shù)據(jù)管理和保護(hù)措施符合當(dāng)前的法律法規(guī)要求，這包括對(duì)數(shù)據(jù)的采集、存儲(chǔ)、傳輸和利用過(guò)程進(jìn)行詳細(xì)檢查，以及評(píng)估與第三方合作時(shí)的數(shù)據(jù)保護(hù)措施。二是數(shù)據(jù)安全合規(guī)咨詢(xún)。企業(yè)可以聘請(qǐng)外部法律顧問(wèn)或設(shè)立內(nèi)部合規(guī)部門(mén)，為數(shù)據(jù)安全和刑事合規(guī)提供專(zhuān)業(yè)的咨詢(xún)服務(wù)。這些專(zhuān)家可以幫助企業(yè)理解和適應(yīng)不斷變化的法律環(huán)境，同時(shí)提供針對(duì)特定業(yè)務(wù)場(chǎng)景的合規(guī)建議。三是數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)預(yù)警。企業(yè)應(yīng)建立一個(gè)全面的合規(guī)風(fēng)險(xiǎn)預(yù)警系統(tǒng)，及時(shí)識(shí)別和響應(yīng)可能導(dǎo)致刑事責(zé)任的數(shù)據(jù)安全風(fēng)險(xiǎn)［21］。這可能包括定期的風(fēng)險(xiǎn)評(píng)估、監(jiān)控關(guān)鍵數(shù)據(jù)操作和設(shè)立緊急響應(yīng)計(jì)劃來(lái)處理潛在的安全事件。

四、結(jié)語(yǔ)

在刑事合規(guī)視域下，企業(yè)數(shù)據(jù)全生命周期安全管理是一項(xiàng)復(fù)雜而關(guān)鍵的任務(wù)，它不僅涉及技術(shù)層面的防護(hù)，而且包括法律和道德方面的考量。企業(yè)數(shù)據(jù)安全管理應(yīng)覆蓋數(shù)據(jù)的全生命周期，從數(shù)據(jù)的采集、存儲(chǔ)到利用的每一個(gè)階段。在每個(gè)階段，企業(yè)都必須實(shí)施適當(dāng)?shù)陌踩胧?，同時(shí)確保這些措施符合法律法規(guī)的要求，以預(yù)防和減少刑事法律風(fēng)險(xiǎn)。企業(yè)在制定和實(shí)施數(shù)據(jù)安全策略時(shí)，應(yīng)將刑事合規(guī)納入考慮之中，建立系統(tǒng)的數(shù)據(jù)風(fēng)險(xiǎn)管理機(jī)制，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別和評(píng)估與數(shù)據(jù)安全相關(guān)的刑事法律風(fēng)險(xiǎn)。通過(guò)對(duì)企業(yè)數(shù)據(jù)全生命周期安全管理的研究，我們可以看到，企業(yè)數(shù)據(jù)安全刑事合規(guī)不僅是法律責(zé)任的問(wèn)題，也是企業(yè)保持競(jìng)爭(zhēng)力和健康發(fā)展的關(guān)鍵。為此，企業(yè)應(yīng)把握好發(fā)展與安全的關(guān)系，以實(shí)現(xiàn)企業(yè)健康可持續(xù)發(fā)展。

參考文獻(xiàn)：

［1］劉文祥.塑造與新質(zhì)生產(chǎn)力相適應(yīng)的新型生產(chǎn)關(guān)系［J］.思想理論教育，2024（5）：41-47.

［2］關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)［EB/OL］.（2020-04-09）［2024-03-01］.https：∥www.gov.cn/zhengce/2020-04/09/content_5500622.htm.

［3］《“十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》解讀［EB/OL］.（2021-12-01）［2024-03-01］.https：∥www.gov.cn/zhengce/2021-12/01/content_5655197.htm？eqid=dcaf 72a40001cc600000000 464980bde.

［4］陳瑞華.企業(yè)合規(guī)的基本問(wèn)題［J］.中國(guó)法律評(píng)論，2020（1）：178-196.

［5］李本燦.刑事合規(guī)制度的分則體系［J］.清華法學(xué)，2024，18（1）：134-153.

［6］孫國(guó)祥.刑事合規(guī)的理念、機(jī)能和中國(guó)的構(gòu)建［J］.中國(guó)刑事法雜志，2019，2（2）：3-24.

［7］張遠(yuǎn)煌.刑事合規(guī)視野下探索企業(yè)犯罪相對(duì)不起訴［J］.人民檢察，2020（19）：39.

［8］徐長(zhǎng)江.數(shù)據(jù)刑事合規(guī)的多元挑戰(zhàn)與制度完善［J］.數(shù)字法治評(píng)論，2022（3）：102-118.

［9］李懷勝.數(shù)據(jù)安全的法益變遷與刑法規(guī)制［J］.江西社會(huì)科學(xué)，2023，43（7）：33-44.

［10］楊猛，李嘉碩.企業(yè)數(shù)據(jù)刑事合規(guī)的建構(gòu)路徑及其具體展開(kāi)：以數(shù)據(jù)安全法益為切入［J］.湘潭大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2024，48（2）：88-94.

［11］鄭斌.企業(yè)數(shù)據(jù)安全能力框架：數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用［J］.信息安全與通信保密，2017（11）：70-78.

［12］閆兆騰，朱紅松.智能網(wǎng)聯(lián)汽車(chē)數(shù)據(jù)采集安全風(fēng)險(xiǎn)研究［J］.保密科學(xué)技術(shù)，2021（10）：41-43.

［13］卜天石.網(wǎng)絡(luò)爬蟲(chóng)技術(shù)侵犯公民個(gè)人信息的刑事規(guī)制［J］.網(wǎng)絡(luò)空間安全，2023，14（3）：115-120，126.

［14］劉建忠.數(shù)據(jù)存儲(chǔ)、信息安全性及智能IT運(yùn)維研究與對(duì)策［J］.信息系統(tǒng)工程，2024（3）：66-69.

［15］March 20 ChatGPT outage：Heres what happened［EB/OL］.（2023-03-24）［2024-03-11］.https：∥openai.com/safety.

［16］王倩.深陷“考拉征信丑聞”拉卡拉“甩鍋”何以抽身？［J］.商學(xué)院，2019（12）：73-75.

［17］孫紅梅，賈瑞生.大數(shù)據(jù)時(shí)代企業(yè)信息安全管理體系研究［J］.科技管理研究，2016，36（19）：210-213.

［18］侯利陽(yáng)，賀斯邁.如何對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)保護(hù)［J］.檢察風(fēng)云，2020（19）：14-15.

［19］金濤.數(shù)據(jù)安全分級(jí)劃分［J］.信息安全研究，2021，7（10）：969-972.

［20］喻浩東.過(guò)失犯注意義務(wù)違反的交叉研究：兼論法秩序統(tǒng)一性原理［J］.中國(guó)刑事法雜志，2023（3）：50-71.

［21］薛興華.依法構(gòu)建企業(yè)數(shù)據(jù)合規(guī)體系［J］.通信企業(yè)管理，2023（11）：47-49.

［責(zé)任編輯：毛麗娜 王天笑］

收稿日期：2024-05-08

基金項(xiàng)目：北京市社會(huì)科學(xué)基金重點(diǎn)項(xiàng)目（23FXA005）

作者簡(jiǎn)介：李金珂（1999—），女，河南省信陽(yáng)市人，北京師范大學(xué)博士研究生，主要研究方向：刑法學(xué)、刑事訴訟法學(xué)。