数据合规与刑事诉讼

李玉华

(中国人民公安大学 法学院， 北京 100038)

诉讼中面临着数字化的变革，主要包括数字化对诉讼工作模式以及诉讼技术等带来的种种变化和挑战。例如，远程取证、跨境电子数据取证、远程讯问、远程会见、线上审理、大数据侦查、智慧检察和智能审判等。其实，数字领域给诉讼制度带来的挑战，除了这些技术层面之外，可能还有一个角度，即刑事诉讼中如何对待数据合规问题，主要包括以下三个方面：

一、数据领域犯罪提出新挑战

数据作为一种重要的资源，已经被提升至了前所未有的重要地位，国家已经把数据作为一个重要的生产要素，而且与数据有关的数字经济也开始迅速发展。数据领域的发展，可谓日新月异。当然，数据领域的犯罪也同样发展迅速。中国数据领域的三 驾马车，即三部最主要的法律——《中华人民共和国网络安全法》(以下简称《网络安全法》)《中华人民共和国数据安全法》(以下简称《数据安全法》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，都规定了与数据相关的违法犯罪行为。例如，《个人信息保护法》规定的侵犯公民个人信息罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪以及非法控制计算机信息系统罪等；此外，还需特别关注拒不履行信息网络安全管理义务罪等。拒不履行信息网络安全管理义务罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施后仍拒不改正的犯罪。《网络安全法》《数据安全法》和《个人信息保护法》都给数据处理者规定了合规的义务，今后这方面的犯罪也可能会引起更多的关注。

二、数据领域犯罪的治理

数据领域犯罪带来的挑战是空前的，对数据领域犯罪的治理，也必然需要采取与传统犯罪不同的治理方式。传统的犯罪治理，重打击轻预防，在打击刑事犯罪时，重点关注的是否对犯罪定罪量刑、绳之以法，是否实现了罪责刑相一致，这是传统意义上对刑事领域公平正义的关注点。但是，目前数据领域犯罪又呈现出一些新的特点，需要人们改变以往的治理观念，在犯罪治理方面不仅要强调打击，更要强调从源头上进行治理，强调对数据领域犯罪的防范。合规便是一种很好的犯罪源头治理方式。数据领域有很多大型企业，如阿里巴巴、美团、腾讯和京东等，对越大的企业进行合规越有必要，因为大企业一旦 侵犯公民个人信息或者进行其他违法犯罪，造成的危害往往是巨大的。以公民个人之力去对抗大型平台企业，显然太过微弱，因而从国家层面要求这些大型企业合规，可谓意义重大。

从公司管理者的角度来看，企业合规是一种公司治理方式；从行政管理部门的角度来看，企业合规是一种有效的行政监管方式；从公安司法部门的角度来看，企业合规是治理企业犯罪的一种有效方式。企业合规不仅有利于预防犯罪，而且有利于调查和惩罚犯罪[1]。企业未涉案时进行的日常合规，主要是针对经营中的风险点建立合规体系，可以起到预防犯罪的作用；企业涉案后进行的纠错整改型合规，则是针对企业所涉犯罪，有针对性地查找漏洞、制定整改方案以及纠正违法行为并防止日后再犯，是企业通过付出代价获得重生的一种治理方式。合规在犯罪治理中的价值主要体现在三个方面：首先，防范犯罪；其次，举报与内部调查，共同打击犯罪；最后，整顿重生、健康发展[2]。

近年来，企业合规被引入法律领域并为中国学者所关注。企业合规是一个舶来品，在欧美运用得较多，特别是在2000年之后得到了迅速发展。美国不仅将其作为犯罪治理的手段，而且还将其作为实现长臂管辖的重要手段，对世界上很多大企业都进行过合规，如德国的商业银行和西门子公司，法国的巴黎银行和阿尔斯通公司，英国的汇丰银行、渣打银行和劳斯莱斯公司，日本的松下公司和日挥株式会社等[3]。随着中国学者和专家对合规的引入和关注，法学界也开始关注合规。

刑法学界最早关注合规时，提出的概念多是刑事合规，主要侧重实体法方面，但是从2020年3月开始，最高人民检察院开始推动企业合规不起诉制度试点。这一制度与中国现有的刑事诉讼制度进行了对接，引起了刑事诉讼法学界更多学者的关注。目前，刑事诉讼法学者的研究主要集中在两个方面：一方面，探讨企业合规与刑事诉讼的关系，旨在为企业合规寻找刑事诉讼的制度依据。首先，探寻促使企业进行合规的刑事诉讼激励措施。目前，中国刑事诉讼的合规激励措施，主要是合规不起诉，对进行承诺合规和已经进行合规的涉案企业，可以进行不起诉。其次，量刑从轻。最后，中国在刑事诉讼的激励中还有本土化的优势，即在强制措施领域进行合规。另一方面，探讨中国企业合规试点中存在的问题，旨在推动企业合规向前发展。2020年，最高人民检察院开始在6个基层人民检察院推行企业合规第一轮试点，此轮试点的都是中小微企业；2021年3月 开始，扩大了企业合规试点的范围和规模，在10个 省市的检察院展开，且出现了大型企业，甚至还有外资企业，试点的范围更加广泛。

总之，法学界对企业合规试点改革的密切关注，主要是就企业责任与个人责任、合规不起诉的适用对象、有效合规的标准、第三方监管的启动条件及人员选任、合规的费用以及检察官的裁量等问题进行了较为深入的研究。

三、数据合规的要点

数据合规的重点是什么？目前，对于数据领域关注较多的是律师，因为合规是律师的一项新业务。

在合规业务中，有全面合规(也称“大合规”)，遍布企业所有业务环节、所有人员和所有领域；也有诚信合规(也称“小合规”)，涉及反欺诈、反商业贿赂和反垄断等领域。此外，还有专项合规，是具体某一 领域的合规，如知识产权领域、环境保护领域等的合规，当然也包括数据合规。

目前，中国数据专项合规的关注点是什么？这与数据领域的三部最主要的法律密切相关，尤其是《个人信息保护法》。2021年实施的《数据安全法》和《个人信息保护法》，都对数据处理者的合规义务作了更加明确的规定。

根据《个人信息保护法》，合规包括数据收集、存储、使用、加工、传输、提供、公开和删除等数据处理的全链条、全过程的合规，特别是公众关注的，如知情权、可携带权和删除权等。这些都是数据合规业务中需要重点关注的。《个人信息保护法》明确规定了个人信息处理者的合规义务。例如，第51条，规定了合规的主要内容；第52条，规定了建立个人信息保护负责人制度；第53条，规定了境外个人信息处理者设立专门机构或指定代表的义务；第54条， 规定了定期合规审计的义务；第55条和第56条，规定了事前个人信息保护影响评估的义务；第57条，规定了个人信息泄露采取补救措施和通知的义务；第58条，规定了提供重要互联网平台服务、用户数量巨大以及业务类型复杂的个人信息处理者的特别义务；第59条，规定了接受委托处理个人信息的受托人的义务；第64条，规定“个人信息保护部门可约谈或要求合规审计。个人信息处理者应当采取措施，进行整改，消除隐患”。

2021年7月，网络安全审查办公室对滴滴、运满满、货车帮、BOSS直聘等企业启动网络安全审查，引发社会和企业对数据安全合规问题的关注。对于数据安全法领域，重要的合规点主要有数据的分级分类管理制度、数据安全的风险评估与数据安全审查制度以及出口管制制度。例如，《数据安全法》规定了数据处理者的合规义务。其中，第27条第2款，规定了重要数据处理者设置数据安全负责人和管理机构的义务；第30条，规定了重要数据处理者定期开展风险评估及向主管部门报送风险评估报告的义务；第31条，规定了重要数据出境需要遵守《网络安全法》的义务等。这些领域的合规不仅要关注中国的法律，还要关注国际条约与企业境外经营所在国的法律。因为数据专项领域的合规与其他领域的合规相比是不同的，即使是国内企业，其客户也可能遍布全球，所以整个合规领域的法律依据，需要更多关注国际。

此外，合规的重点还在于数据的跨境流动，涉及个人信息和重要信息的跨境流动，现在世界不同国家采取不同模式，未能达成共识。

欧盟基于传统的人权保护观念，对数据跨境流动采取了比较严格的限制政策，主要依据是《一般数据保护规则》(GDPR)和《非个人数据在欧盟境内自由流动框架条例》。欧盟明确了数据跨境流动的“充分性”标准，为数据流动的安全提供了保障，但复杂的认定程序与高标准在一定程度上限制了数据的自由流动。

与欧盟的严格限制不同，美国采取鼓励数据自由流动的宽松政策，将“跨境数据自由流动”作为贸易协议的内容，以此打破其他国家的数据出境壁垒并希望构建无障碍数据流动圈[4]。美国出台《澄清境外数据的合法使用法案》(CLOUD法案)，允许政府跨境获取数据，打破数据属地管辖模式，实现长臂管辖。此外，美国严格限制与重要技术相关的数据和涉密敏感数据的出境，对外国投资的数据跨境流动进行管制，对涉及关键技术等的数据进行安全审查[5]。

中国正在不断完善数据跨境流动保护的法律，发布了《个人信息出境安全评估办法》和《数据安全管理办法》等相关规定的征求意见稿。根据《网络安全法》第37条、《数据安全法》第31条以及《个人信息保护法》第40条的规定，数据实行本地存储。在国际博弈与合作中，中国也正在积极作为，不断完善数据合规体系，推动国际规则的生成。

因而，企业进行合规建设时要多关注本国以及企业经营所在国的法律，充分了解不同国家的数据跨境流动政策，在数据跨境流动的过程中迎接合规工作的挑战。出于对数据保护与合规问题的重视，不同国家的相关立法如雨后春笋般频频出台。因此，企业除了需要根据国内外生效的数据规范做好合规工作外，还需要关注国内外的立法动态与监管趋势，衡量合规风险，及时做好应对准备。此外，在不同的国家开展业务时，企业应当遵循所在国的具体要求，准备多元化的合规方案以应对不同国家的数据规制标准，准确识别数据种类并做好数据分类管理，在本国法与目标国法之间确定科学的数据战略，以实现发展与合规二者之间的平衡。