《知而慎行防患于先——从首起数据合规不起诉案论数据合规体系价值与构建.docx》由会员分享,可在线阅读,更多相关《知而慎行防患于先——从首起数据合规不起诉案论数据合规体系价值与构建.docx(21页珍藏版)》请在第壹文秘上搜索。
1、知而慎行,防患于先一一从首起数据合规不起诉案论数据合规体系价值与构建本文结合国内首起数据合规不起诉案,介绍了合规不起诉制度在我国数据合规领域的适用情形和具体程序,据此重塑了数据合规体系的价值并提出合规建议。序言日前,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况,打响了我国在数据领域“合规不起诉”的第一枪。在大数据时代,企业数据合规治理已成为近年来主管部门监管的重点,本案作为数据合规治理与合规不起诉制度的首次交集,意味着我国合规不起诉制度将正式适用于数据合规领域。可以预见,企业建立数据合规治理体系,保障数据业务合规运行,将不再是控制底线合规风险基础上的锦上添花,而将成为规避自身涉刑风
2、险所势在必行的路径。关于合规不起诉制度一)什么是合规不起诉?2021年4月,最高人民检察院下发关于开展企业合规改革试点工作方案(以下简称“工作方案”),明确开展企业合规改革试点工作:检察机关对于办理的涉企刑事案件,在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时,针对企业涉嫌的具体犯罪,为企业设置考察期限,督促涉案企业作出合规承诺并积极整改落实。由此,“合规不起诉”即当涉案企业作出合规承诺并积极整改落实后,检察机关可据此作出不批准逮捕、不起诉决定或提出轻缓量刑建议。“合规不起诉”的理念源起于美国的暂缓起诉协议(DeferredProsecutionAgreeme
3、nt,DPA)与不起诉协议(Non-ProsecutionAgreement,NPA)制度。前述制度的适用领域包括侵犯公民个人信息等新型数据犯罪案件。在EPSiIOn案1中,因将所掌握的3000多万美国民众的数据出售给欺诈组织,Epsilon公司受到刑事指控。此后,Epsilon与当地检察机关及美国司法部就该指控达成DPA,并通过对完善公司内部数据合规举措作出承诺,积极开展整改,定期向司法当局提交公司数据合规整改报告等方式,最终避免了被定罪量刑的不利后果。随着改革试点工作的稳步推进,“合规不起诉“在我国的实践适用领域也从经济犯罪扩展至网络数据犯罪。在首起“数据合规不起诉”案中,网络科技领域的Z
4、公司的首席技术官和多名技术人员于2019年至2020年期间,在未经授权许可的情况下,通过网络爬虫等技术手段,非法获取某外卖平台数据,造成其直接经济损失4万余元,涉嫌非法获取计算机信息系统数据罪。涉案公司最终通过完成合规整改的方式获得了检察机关的不起诉决定。该案作为最高检指导下培育的数据合规典型案例,为数字化转型背景下我国企业“数据合规不起诉”的实践适用拉开序幕。(二)何种情形下适用合规不起诉?1、主体目前工作方案等文件中未明确“合规不起诉”适用的主体范围,参考与合规不起诉制度密切相关的关于建立涉案企业合规第三方监督评估机制的指导意见(试行)(以下简称“指导意见“)第三条2规定,第三方机制既适用
5、于公司、企业等实施的单位犯罪案件,也适用于公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。据此,从目前的制度安排上看,我们倾向于理解我国合规不起诉制度将同时适用于单位主体与个人主体。就数据保护领域而言,企业的数字产品的开发、运营和管理人员,乃至个人信息保护负责人等责任主体或可适用合规不起诉制度以最大程度规避自身刑事风险。2、适用条件结合相关规定3及现有实践4,适用合规不起诉的案件以轻罪居多,但也不排除个别案件中直接责任人员可能判处三年有期徒刑以上刑罚。据此,结合有关规定5,我们总结了“合规不起诉“常见的适用条件及排除适用条件。请见下表:适用条件排除适用
6、;(1)犯罪事实清楚,证据确实、充分;(1)涉嫌危害国家安全;(2)当事人对主要犯罪事实无异议,自愿认罪、毒品犯罪、洗钻罪认罚;罪的;(3)有造成经济损失的,应主动赔礼道歉、(2)依法应当判处十年I积极赔偿损失、补缴税款、滞纳金及罚上刑罚,且不具备立款,足额缴纳环境资源修复资金或已恢法定减刑情节的;复原状;(3)造成人员重大伤亡缶(4)直接负责的主管人员或其他直接责任(4)社会负面影响大、料人员可能被判处二年有期徒刑及以下(5)涉案企业以犯罪所彳刑罚。源的;(6)涉案企业不接受合胡点击可查看大图3、数据合规领域相关的罪名我们梳理了数据合规领域常见刑事风险高发场景以及涉及罪名如下表。常见风险场景
7、可能涉及罪名法律规定非法侵入计算机信息系统罪刑法第285条f1款非法获取计算机信息系统数据刑法第285条12款不当使用网络爬虫等技术措破坏计算机信息系统罪刑法第286条施侵犯公民个人信息罪刑法第253条二点击可查看大图企业当如何应对数据合规不起诉程序(一)合规不起诉程序的启动根据工作方案指导意见等相关规定,合规不起诉制度应由检察机关依职权或依申请启动。15依申请启动,即涉案企业、个人及其辩护人、诉讼代理人或者其他相关单位、人员提出适用企业合规试点以及第三方机制申请的,人民检察院应当依法受理并进行审查。依职权启动,即人民检察院主动审查所办理的涉企犯罪案件是否符合企业合规试点适用条件,经审查符合条
8、件的,启动合规试点。在首例数据合规不起诉案中,Z公司在案发后即向普陀区检察院提出了合规不起诉申请。随后,检察机关综合本案爬取数据未涉及身份认证信息,无二次兜售牟利行为,犯罪情节及主观恶性等情况,并综合考虑涉案单位为成长型科创企业、直接责任人认罪认罚并积极赔偿等事实,经审查认定可依法启动涉案企业合规考察,进而启动相应合规不起诉程序。就申请及审查时间层面,本案尚未披露Z公司提出申请以及检察院开展审查的具体时间节点,工作方案等文件中同样未明确合规不起诉程序的启动时间。参考部分地方立法,例如辽宁省在合规考察制度意见第八条即明确规定,检察机关应当自犯罪案件移送审查起诉之日起30日内,决定对是否适用合规考
9、察制度进行审查。(二)合规审查与检察建议合规不起诉制度的根本目的在于通过企业合规,常态化降低刑事犯罪风险。数据合规风险具有系统性的特征,虽可通过快速整改(QuickWin)以规避特定合规风险,但就数据风险防范而言,则应建立整体性的数据合规体系。据此,如企业因数据合规问题遭遇刑事风险而欲寻求适用合规不起诉制度,则应在自身合规承诺中同时涵盖在整改期内解决特定问题(QuickWin)及在整改期后及时搭建整体数据合规体系。本案中,在Z公司提出申请后,普陀区检察院实地走访Z公司以查看经营现状、会同监管部门研商Z公司运营情况后,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议
10、,指导Z公司作出合规承诺。具体而言,检察机关提出了合规建议的三大举措:第一,构建数据合规管理体系,设置专门的数据合规管理部门,特别针对数据来源合法性,制定并不断完善数据合规计划;第二,提高数据合规风险识别、应对能力,规范技术汇报审批流程,建立技术应用合规评估制度;第三,稳健数据合规运行,建立数据合规咨询机制与数据不合规发现机制,建立数据分级分类管理制度及员工数据安全管理制度,填补制度空白。(三)合规整改本案中Z公司涉及通过爬虫技术非法获取平台数据,构成数据源不合法的问题。结合检察建议,Z公司围绕管理措施、技术措施、制度进行自查整改,包括彻底销毁相关“爬虫”程序及源代码,对非法获取的涉案数据进行
11、无害化处理,同时,与相关平台签订数据处理协议,同多家大型互联网企业达成数据合作以搭建合法第三方数据获取的机制,助力后续业务的合规平稳开展。就合规整改期限而言,从案件时间线16来看,检察机关为Z公司设定的合规整改期限不少于5个月。我们理解,与多数经济类犯罪涉及的合规整改不同,就数据合规而言,往往可能涉及企业制度体系的完善、管理架构的调整及业务模式的巨变,整改难度较大、耗时较长,进而需具备成熟数据合规经验的专业团队介入。本案中,Z公司在整改开始之际即聘请法律顾问团队,通过引入专业意见,制定了针对性且行之有效的数据合规整改计划,从而使得Z公司可以在整改期内顺利根据承诺推进对涉案数据合规问题的整改。结
12、合目前的实践情况,多数合规不起诉案例整改期限在半年之内,部分案件整改期限更是在3个月内。17可见,如企业因面临刑事风险而启动合规不起诉程序时完全从零开始整改,恐面临较大整改难度和压力。据此,提前搭建数据合规体系不仅可有效防范企业触发刑事风险,亦可帮助企业在启动合规不起诉程序后于有限的整改期限内及时完成整改。(四)第三方监督评估(如有)本案中Z公司在收到检察建议并开展合规整改过程中,依法申请启动第三方监督评估机制(以下简称“第三方机制”),根据指导意见第10条,第三方机制的启动应由涉案主体提出申请,并由检察院予以审查。如经审查符合条件的,可商请本地区第三方机制管委会启动第三方机制。同时,第三方组
13、织应由专业人员组成。本案涉及“网络爬虫”等数据合规专业领域,因此,检察机关商请第三方监督评估机制管委会从专类名录库中抽取了由网信办、某知名互联网安全企业和产业促进社会组织人员组成第三方组织。值得注意,启动第三方机制并非合规不起诉程序的必需阶段,涉案企业合规建设、评估和审查办法(试行)(以下简称“办法”)总则部分明确提出:“针对未启动第三方机制的小微企业合规,可以由人民检察院对其提交的合规计划和整改报告进行审查。”具体而言,第三方机制的适用程序如下图: 合规整改期前(ZZ)必修步赛 合规整改期内 L,J1H经步骤 合规整改期后 合规整改中止 台规整改结束Pl检索机关作囹决定的0要参考文件涉茶企业
14、向第三方M交合规计划谢懿业依Ig第三方坦想谢查JB见修改台地计划第三方姐织定合炫考察KIRI第三方组织检虐评估合翅计划行情况第三方蜜帔发现:涉案企业弟其人员尚未被办案机 关掌舞的见靠事 买 Ui3CfiG制行为港案企业向第三方组个定!书面揪侑合蟆计划的执行情况,同BI抄送负员办1猿件的人民格察院第三方埴织全遢检、评估.考移合规计划完成情况第三方编职制作合蟆考察书面报告第三方组织向第三方机制U委会1负费办印索科的人民检察院报送台册考察书面报告第三方组织中止第三方版部估程序.并向负班办理事件的人民松盛院用侑正靠线索人民怆察院落第三方的堀合ISg事书面报告涉案企业合烷计刽.庭网书面掖告等作为M要钵名
15、,作出决定点击可查看大图6月14日,企业合规第三方监督评估工作推进会召开。会上,最高检党组副书记童建明明确,开展涉案企业合规改革试点,”必须紧紧依靠第三方机制“,再次强调了第三方机制在“合规不起诉”程序中的重要性。随着全国工商联、最高检等十三部门共同启动的企业合规第三方监督评估信息化服务平台的运行,可以预见,第三方介入于“合规不起诉”程序将更加常态化与专业化。(五)公开听证(如有)与不起诉决定根据相关规定18,对于拟作不批准逮捕、不起诉、变更强制措施等决定的涉企犯罪案件,可以召开听证会。本案中,第三方组织评定合规整改合格后,检察院组织进行公开审查听证。经评议,参与听证各方认为涉案单位数据合规整改到位,一致同意对涉案单位及人员作出不起诉决定。关于整改有效性的判断,办法第三章具体提出了如下评估指标:(一)对涉案合规风险的有效识别、控制;(二)对违规违法行为的及时处置;(三)合规管理机构或人员配置的合理配置;(四)合规管理制度机制建立及人力物力的充分保障;(五)监测、举报、调查、处理机制及合规绩效评价机制的正常运行;
