□数据刑事合规是企业预防刑事风险、建构数字经济安全体系的关键,也是经济社会高质量发展的重要一环。检察机关负有通过履职推动数据刑事合规建设的重要职责。以检察监督履职推进企业实施数据刑事合规建设,也是检察机关积极参与社会治理的重要体现。对此,检察机关应当积极作为,以高质量的检察监督促进企业治理模式的创新,引导企业逐步建立刑事合规运行机制通畅、监督体系健全、数据收集与使用合法的数据安全综合治理新格局,为数据安全构筑更为牢固的安全防护网。 

　　2021年10月18日,习近平总书记在中共中央政治局第三十四次集体学习时强调,要站在统筹中华民族伟大复兴战略全局和世界百年未有之大变局的高度,统筹国内国际两个大局、发展安全两件大事,充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合,赋能传统产业转型升级,催生新产业新业态新模式,不断做强做优做大我国数字经济。近年来,我国积极推进数字产业化、产业数字化,推动数字技术同经济社会发展深度融合。 

　　在数字经济时代,数据成为新型生产要素,数字化经济高质量发展带来了千载难逢的机遇。我国各行业数据资源丰富,利益相关方对数据资源的争夺激烈,数据安全问题日益凸显。数据安全是数字经济的生命线,是数字经济蓬勃发展的安全阀,数据安全法第1条规定了立法目的,即“规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益”。数字经济涉及用户、商家、平台、第三方服务机构等各主体在数据产业链条上的角色与权责,健康的数字经济秩序需要正确对待数据财产保护、数据安全与个人信息之间的平衡,形成合理的数据安全治理体系。 

　　在数字经济时代,传统数据安全问题和新型数据安全风险相互叠加,数据安全风险呈现出许多新特点,我国数据安全风险防范体系还存在短板弱项,迫切需要予以改变。数据安全法第4条规定:“维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。”这对企业的数据刑事合规建设提出了更加细致的规范和要求。数据刑事合规是现代企业治理体系在大数据时代诞生的新内容,强调企业以自身的努力积极防范数据刑事安全风险,把与数据相关的犯罪消除在萌芽状态。作为法律监督机关,检察机关在促进数字经济发展方面需要担当重任。数据刑事合规是企业预防刑事风险、建构数字经济安全体系的关键,也是经济社会高质量发展的重要一环。检察机关负有通过履职推动数据刑事合规建设的重要职责。以检察监督履职推进企业实施数据刑事合规建设,也是检察机关积极参与社会治理的重要体现。对此,检察机关应当积极作为,以高质量的检察监督促进企业治理模式的创新,引导企业逐步建立刑事合规运行机制通畅、监督体系健全、数据收集与使用合法的数据安全综合治理新格局,为数据安全构筑更为牢固的安全防护网。 

　　企业进行数据刑事合规建设的“一体两面” 

　　企业数据合规建设的目的在于保障数据的收集、存储与使用等处理环节合法、规范,使数据的收集、存储与使用成为经济创新发展的资产。企业进行数据合规建设的路径在于构建一体化数据刑事合规建设模式,并在数据收集、数据使用两个具体面向重点展开。 

　　构建一体化数据刑事合规建设模式。数字时代的刑事合规建设应该实现从“经验”决策向“科学”定规、从“静态”管理向“动态”治理的治理体系转变。数据安全法第27条规定:“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”这一规定为数据合规建设提供了方向标,但是数据安全法的规定仍比较抽象,需要相关企业借助软法之治建构更为有效、全面的数据合规建设体系。对此,相关互联网企业已经走在前列,例如,杭州某公司建构的“风险核查Check——数据梳理Assort——数据保护Protect——监控预警Examine”(CAPE)模型,风险核查的目的是明确数据收集与使用可能存在的刑事安全风险;数据梳理是以数据为中心的识别与分类分级、账号权限的梳理、形成数据目录;数据保护是基于数据使用场景需求制定并实施相应的安全保护技术措施,建立企业算法安全责任制度和科技伦理审查制度;监控预警则是指通过全方位监控数据的使用和流动,最终形成数据安全态势感知。这是一种较好的一体化数据刑事合规建设方案。当然,一体化数据刑事合规建设仍需要做到数据刑事合规有机制运行、有专人管理和有相关制度保障,并在App合规、数据分类分级等具体问题上做实做细,以全方位、跨部门的协同管理体系保障其贯彻落实。 

　　企业数据收集的刑事合规建设。个人信息保护法、数据安全法、电子商务法构筑了个人信息、数据收集、使用与保护的基本法律体系,为企业实施数据合规建设提供了法律依据。数据安全法第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”电子商务法第23条规定:“电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。”此外,多个司法解释也涉及个人信息保护问题,例如,最高人民法院、最高人民检察院2017年5月发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,最高人民检察院2021年8月发布的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》和最高人民法院2021年7月发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。从司法实践来看,侵犯公民个人信息犯罪处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害严重。保障个人信息安全,维护公民在网络空间的合法权益,需要网络平台等企业制定个人信息合规建设方案,为用户提供个人信息保护指南,不仅依法、依规收集与使用个人信息,收集与使用个人信息必须取得公民同意或授权同意,而且不得使用恶意技术收集个人信息,比如,使用爬虫技术非法获取、存储公民个人信息,或禁止对个人隐私构成威胁的人工智能应用。 

　　企业数据使用的刑事合规建设。国家安全法、网络安全法、数据安全法、《公安机关互联网安全监督检查规定》、《计算机信息系统国际联网保密管理规定》、《互联网信息服务管理办法》等法律法规构筑了数据安全制度,数据滥用行为危及数据安全。从实践来看,数据垄断、数据贩卖、数据窃取、大数据杀熟、深度伪装、为境外提供数据等都是数据使用过程中的滥用行为,危及数据安全。拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪、侵犯著作罪都是与数据使用相关的新型犯罪。数据安全法第28条规定:“开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理。”电子商务法第30条规定:“电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行,防范网络违法犯罪活动,有效应对网络安全事件,保障电子商务交易安全。”企业必须依据法律法规积极履行数据安全的保障义务,一方面,采取积极有效措施避免数据流向可能涉及利用数据进行犯罪的领域,强化数据的存储、出境合规建设,以避免数据泄露;另一方面,实践表明,80%以上的数据风险不是来自网络黑客,而是来自于企业内鬼的泄露或窃取,企业应当与员工签署数据安全使用协议,列举员工行为“触礁”清单,并建立相应监督机构,及时发现与制止企业员工实施的数据滥用行为。 

　　加强数据刑事合规建设,突破治理难题 

　　在数字经济时代,加强刑事合规建设突破数据安全治理难题,需要导入一条既符合责任原则又得以平衡企业数据权利、数据安全与个人信息保护的归责路径,激励企业积极进行数据刑事合规建设。对此,笔者有以下建议。 

　　以检察监督督促企业刑事合规建设。刑事合规建设的主要目的在于最大化地预防犯罪和减少对企业的刑事处罚。传统刑法以刑罚处罚威慑犯罪的逻辑过于简单,刑事合规建设正是为了弥补这一不足而产生,并受到理论界与实务界的重视。如果缺乏正当的、有效的检察监督,企业的数据刑事合规建设仅是吸引企业,本身并没有任何强制力,这会导致数据刑事合规建设的动力不足。数据产业趋势已表明,数据犯罪主要由网络平台等实体驱动,故刑法将管控数据犯罪风险的合规义务附加于网络平台等企业是正当的。督促金融科技、智能汽车、在线教育、互联网等重点领域的企业进行刑事合规建设,应是检察机关在履职中主动进行检察监督、确保数据安全、保障个人信息安全的重要举措。这大致涉及事前监督与事后监督两个阶段。在事前监督上,各级检察机关在履职中不仅应当及时向相关企业提出改善治理结构、封堵系统漏洞、防范刑事安全风险的检察建议,督促企业作出刑事合规建设承诺,而且需要协助相关企业积极进行刑事合规建设,构建全流程嵌入的综合防范体系,积极预防和控制与数据有关的犯罪。在事后监督上,企业被以单位犯罪追究刑事责任后,各级检察机关应当以检察监督方式督促企业积极进行刑事合规建设,以免单位再次实施犯罪。 

　　把数据合规建设纳入免责事由。刑事合规要求企业依法、守规经营,积极预防单位及单位之下自然人的刑事犯罪,并将这种预防体系制度化、规范化。刑事合规与刑事责任天然地有内在融通之处,刑事合规可以成为刑事免责事由,并导致不起诉或暂缓起诉的法律效果,这有利于激励网络平台等积极履行数据安全保障义务,实现积极预防数据犯罪的效果。笔者认为,检察机关也承担着预防犯罪的重要任务,激励企业以刑事合规建设积极预防自然人以单位名义实施犯罪,企业作为具有单位意志的组织体,可以借助严密的、有效的合规计划最大限度地预防犯罪。只是,刑事合规作为区分单位犯罪与自然人犯罪的根据,一般情况下并不具有免除全部刑事责任的效果,这是因为有效的刑事合规建设,目的在于预防相关刑事犯罪,而犯罪发生才会讨论刑事合规建设对于归责的意义,犯罪发生意味着刑事合规建设存在疑问,此时若以刑事合规建设讨论免除行为人的责任,则必然会造成处罚漏洞。笔者认为,刑事合规建设的归责意义只限于归责范围上的讨论,即在企业进行刑事合规建设后仍发生刑事犯罪的,其追责的合理范围应当如何确定。例如,在自然人以单位名义实施犯罪的情况下,刑事合规建设往往是单位犯罪出罪或刑罚减免的抗辩事由,即单位可以以已经实施完备的、规范的刑事合规计划为由,主张不存在故意和过失,进而主张无罪或减免处罚,但并不能因此而免除单位下实施犯罪的自然人的刑事责任。 

　　将数据垄断等行为纳入公益诉讼范围。数据保护离不开公益诉讼制度的保驾护航,公益诉讼是推进企业数据刑事合规建设的强大动力,借此可以避免企业行为由违法演化为犯罪。个人信息保护法明确把个人信息保护纳入公益诉讼的范畴,《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》强调要延伸拓展公益诉讼检察职能,推动形成个人信息保护多元共治新格局。笔者认为,将个人信息保护纳入公益诉讼范围十分必要,实践中网络贷款、网络购物等App违规收集个人信息的情况比较常见,损害了社会公共利益,检察机关提起行政公益诉讼可以和行政处罚等形成监管合力,突破App属地管辖困境,从而更好地维护个人信息安全。同时,这也是检察机关积极服务于经济社会高质量发展的必然要求。但是,随着数据安全法的颁布实施,检察机关在保障数据安全方面也需要积极作为。数据安全法、《关键信息基础设施安全保护条例》、《汽车数据安全管理若干规定(试行)》等法律法规共同构筑了企业的数据专有权。数据专有权不等于数据垄断、算法滥用,其具有正当理由。数据垄断会形成恶性竞争秩序,催生数据“堰塞湖”,不利于经济社会高质量发展;而算法滥用会干扰社会舆论、打压竞争对手、侵害网民权益,导致意识形态、经济发展和社会管理等方面出现风险隐患。防范数据垄断、算法滥用均涉及公共利益,在反数据垄断、反算法滥用方面,检察机关亦可以提起公益诉讼,借此督促相关企业积极有效实施数据刑事合规建设。司法机关可就此发布相关指导意见,准确界定数据垄断、算法滥用的定义和类型,明确检察机关提起公益诉讼的条件、办案流程机制等。 

　　(作者为南京师范大学中国法治现代化研究院副院长、教授)