APP下载

问题三:数据保护的合规路径选择

2021-11-12

民主与法制 2021年41期
关键词:数据安全合规管理体系

陈瑞华:企业合规的三层含义及数据合规研究中需要注意的四个问题

就企业刑事合规而言,有三层含义:一是从积极的层面来看,企业合规是指企业在经营过程中要遵守法律和遵循规则,并督促员工、第三方以及其他商业合作伙伴依法依规进行经营活动;二是从消极的层面来看,企业合规是指企业为避免或减轻因违法违规经营而可能承担的行政责任、刑事责任,避免受到更大的经济或其他损失,而采取的一种公司治理方式;三是从外部激励机制来看,为鼓励企业积极建立或者改进合规计划,国家法律需要将企业合规作为宽大行政处理和宽大刑事处理的重要依据,使得企业可以通过建立合规计划而受到一定程度的法律奖励。

在研究数据合规时,有四个问题应当重点关注:

一是企业数据合规的价值。为企业在市场竞争中提供诚信度背书;将企业责任与员工责任、上下游企业责任进行有效切割;最大限度预防行政违规与刑事犯罪危险。

二是网络安全法、数据安全法、个人信息保护法中包含的合规义务。重要数据处理者应当定期进行风险评估;个人信息处理者应当定期对处理的个人信息遵守法律、行政法规的情况进行合规审计;企业应当在发生网络、数据、个人信息安全事件时,立即采取补救措施,并通知有关行政部门和可能受影响的个人。

三是数据合规的两种模式。危机发生前的日常性合规体系,即数据风险评估与预防;危机发生后的合规整改体系,即通过合规整改换取宽大处理。

四是合规与危机处理的关系。企业面临的最严重的危机是行政处罚和刑事追责;合规整改方案是要解决问题,纠正错误,填补制度漏洞,完善治理结构,改变经营模式;合规整改方案的本质就是防止再次发生类似的行政违法行为和刑事犯罪行为。

因此,不管是日常合规管理体系,还是合规整改体系,根本目的是要预防违规、预防再次发生违规和违法犯罪活动。合规不是做一套书面的计划,也不是做一套纸面的规章制度,而是要把合规的管理模式、体系、整改方案有效运行起来,有效地识别违规行为,预防数据领域的违法行为,监控整个公司的运营情况,一旦发生危机能进行自我处理和有效的监管。

孙国祥:刑事合规的中国构建

在我国,合规从内容到制度还处于起步的阶段,尽管人们开始重视合规,但内容主要停留在企业内部的规范性要求。近年来,我国也有一些学者撰文提倡借鉴刑事合规理念,重构企业犯罪治理的刑事政策。但刑事合规理念主要在刑法学界探讨,企业对其知之甚少,相关呼吁也未得到普遍的响应。虽然市场经济是法治经济的口号耳熟能详,但长期以来企业打“擦边球”“绕红灯”的侥幸、原罪心理导致企业的守法意识淡薄,越轨文化盛行。

近年来,我国一些企业经历了因为经营不合规而导致严重刑事后果甚至濒临倒闭的风险,这些情况凸显了我国企业刑事合规管理的重要性。我国刑事合规的构建,应从以下几个方面着手:

一是扩大单位犯罪的范围。一方面,宜将刑事合规作为所有企业管理的刑事义务设定,增设企业管理过失的犯罪,在企业懈怠企业刑事风险防范而导致企业刑事案件发生的场合,对企业及其主管人员追究刑事责任,以强化企业刑事合规管理的动力。另一方面,从趋势而言,应摒弃单位与自然人二元制定罪标准,实行统一的定罪标准,以扩大单位犯罪的入罪范围。

在坚持家庭经营为主的条件下,每家每户拥有1.33 hm2左右的雷竹林,通过轮流覆盖栽培,能取得较好的经济效益,从而可以稳定竹农的种竹积极性。从竹林可持续经营角度来看,3~4年形成一个覆盖轮回较为合理,竹林经营面积1.33 hm2是接近合理轮回的面积。为使农户家庭劳动力与竹林达到最优配置状态,进而使家庭收入最大化,农户可选择转入竹林扩大经营规模,或转出剩余劳动力从事其他行业的生产。

二是调整单位犯罪的惩治力度。单位犯罪与自然人犯罪的主观罪责并不相同,尤其是企业还承担有社会责任,处罚过重,未必取得好的社会效果。因此,对单位犯罪的惩治宜采取轻缓化的刑事政策。由此,对单位犯罪的主管人员和其他直接责任人员也应单独设置不同于自然人犯罪的法定刑,而且这一法定刑幅度应低于自然人犯罪。其次,有必要在单位犯罪的刑罚适用中设置对单位的缓刑制度。因为单位一旦涉罪被定罪量刑,其带来的附随效果不可低估。在激烈的市场竞争中,相关企业可能因此一蹶不振,甚至倒闭,对整个社会而言,代价太高。因此,给企业一个缓刑考验期,通过合规计划的有效实施,能够使企业走上良性发展轨道的,则原刑罚(包括罚金)就不再执行。

三是司法定罪量刑应考虑企业的刑事合规运行情况。首先,刑事合规的出罪机能。刑事合规扩大了单位刑事责任范围,这就需要出罪机制的平衡。首先,企业如果已经履行了合规义务,可以借鉴国外立法的经验,将企业良好的合规计划作为阻却犯罪的正当化事由。其次,刑事合规的出罪机能。刑事合规作为刑罚的减免事由不难证立。正如我国学者指出的:“建立并有效实施了‘合规计划’的企业,其预防的必要性降低,从而影响预防刑,进而减轻甚至免除刑罚处罚,通过刑事责任的加重或者减轻、免除,给予企业合规以压力和动力,从制度合规逐步形成合规文化,进一步实现一般预防。”刑事合规实施情况能否作为从重量刑情节,理论上有观点认为,“基于自由保障的考虑,合规只能成为刑罚的减轻事由,内控机制缺失不能成为刑罚加重根据”。既然是否实施刑事合规能够成为入罪的依据,就没有理由否定刑事合规与刑事制裁轻重的勾连,不能排除企业对刑事合规的敌视成为从重情节。

谢鹏程:如何确立涉案企业合规管理体系有效性的评估与审查

自从1991年美国将企业合规纳入量刑指南以后,涉案企业合规管理体系的有效性问题就一直受到关注,检察官必须区分真诚的合规和虚假的合规。这就需要建立一套评估合规有效性的标准。美国司法部从一开始就制订了这套标准,而且越来越详细,经常更新,譬如2019年、2020年先后都进行了更新。合规管理体系有效性的评估,通常是指第三方组织对涉案企业合规管理体系是否有效进行调查和评价。合规管理体系有效性的审查,通常是指检察机关对第三方组织评估过程和结论的审查。

关于合规管理体系有效性的评估和审查的原则:

第一,合规管理体系建设与合规风险相适应原则。涉案企业应当建立怎样的合规管理体系,既不以检察机关的意志为转移,也不是依照某个国际标准或者国家标准来建立一个大而全的合规管理体系,而是根据涉案企业合规风险的情况来决定的。所谓的全面合规都是相对的,都是与企业的合规风险相适应的,是针对企业合规风险所建立的防控机制。换言之,全面合规就是具有针对性和充分性的合规管理体系。有人认为,中小微企业只能做专项合规,而不能做全面合规,因为它们没有足够的人力和物力建设大而全的合规。这个观点似是而非,首先,只要做合规,不管是针对一个犯罪的还是针对一类犯罪的专项合规,都需要建立一套由机构和制度构成的合规管理体系,只有建设了这个体系,合规管理才能持续地进行,而建立合规管理体系后,每增加一种专项合规的边际成本很低。其次,对于任何一家企业只做一两个专项合规都是不够的。涉案的专项合规只是合规管理体系的重点,也是涉案企业合规管理体系建设的起点。另外还有五项原则值得注意:全面评估审查与重点评估审查相结合的原则、过程评估审查与结果评估审查相结合的原则、主观评价与客观内容相结合的原则、评估和审查的标准保持明确性和一致性的原则、评估和审查的结论保持可证实性和可比性的原则。

关于合规管理体系有效性评估的主要内容。对涉案企业合规管理体系有效性的评估,我们可以借鉴美国评估标准的基本框架,根据ISO37301国际标准,结合我国企业的实际情况,研究制订一套中国特色的合规管理体系有效性评估标准。美国评估标准的基本框架是从合规管理体系的设计、执行和效果三个主要环节对合规有效性进行评估。企业合规管理体系设计的有效性,是指根据涉案企业合规风险设计的合规管理体系具有充分性和可行性。企业合规管理体系执行的有效性,是指企业具备实施合规管理体系的条件、意识和能力,并提供了足够的资源保障。企业合规管理体系效果的有效性,是指通过合规管理体系的实施促进了合规文化的形成、合规目标的实现、可持续发展能力的获得等。这个框架的好处是特别适合司法机关在不同的诉讼阶段来适用。对上述三个环节的评估标准则可以借鉴ISO 37301国际标准,并进行必要的中国化改造。

关于检察机关对合规管理体系有效性评估的审查。对企业合规管理体系有效性评估的审查程序一般包括对评估过程和评估结论两个方面的审查。对评估过程的审查重点,一方面是第三方组织与被评估企业的工作关系,如有无利益冲突、是否配合、沟通意见是否充分等;另一方面是评估活动的全面性、客观性、可验证性和公正性。对评估结论的审查重点,主要是文件信息和结论的关联性、完整性以及结论的合理性、可参考价值。

于冲:刑事合规机制有效保护企业数据安全的两个思路

一方面,刑事合规计划实际上是国家关于数据安全法律规范在企业内控机制中的具体化。刑事合规计划的前提,需要对企业刑事犯罪风险的准确识别,明确企业可能触及的数据安全风险类型。在数据安全领域,更加需要明确企业可能触犯刑法的刑事风险,这实际上相当于为互联网企业制定了一份“负面清单”,有助于确定企业活动的范围与责任边界。

另一方面,通过刑事合规计划的制定和实施,将法律法规赋予企业的数据安全保障义务予以明确,通过将抽象的法律规则、刑法规则具体化、情境化,以此判定未能履行相关法定义务、未能积极实施合规计划的行为是否应当承担相应的刑事责任。例如,判定是否构成拒不履行信息网络安全管理义务罪等纯正的不作为犯罪以及是否构成侵犯公民个人信息罪、侵犯商业秘密罪等不纯正的不作为犯罪。

以刑事合规实现数据安全的共治模式:政府管控、网络服务商防控的统一。当前,以数据合规为连接点的“企业—政府”共治模式尚处于雏形阶段,并没有明确企业合规计划的法定地位和作用,而是更多地视之为企业的内部控制的规则、流程或者自律机制,仅仅要求企业将相关的内部规则、自律规范等加以备案,缺乏实质审查。例如,2019年9月3日,工业和信息化部网络安全管理局针对“ZAO”App用户隐私协议不规范、存在数据泄露风险等网络数据安全问题,要求“陌陌”组织开展自查整改,加强新技术新业务安全评估,采取有效措施强化网络数据和用户个人信息安全保护,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。事实上,经过严格审核、充分博弈形成的合规计划,在国家的犯罪预防和企业的责任认定两端都具有积极的意义。因此,目前刑事合规计划的发展显得犹有不足,有必要将合规计划从当前的纯粹自律规范,转变为联结企业内部控制和国家外部监管的纽带,使行政法规中要求制定和实施的企业内控规范、自律规则,通过合规计划的形式得到真正的落实和遵循,从而实现数据犯罪风险的政府管控、企业防控、刑法预防的“三位一体”,使得刑事合规机制真正内化为企业的数据安全意识与行动,在数据安全保障、侵害数据安全犯罪的防治方面,形成公私共治的合力。

总之,犯罪共治模式的实质,是要求体系化地看待犯罪治理问题,实现企业能动性与国家强制力间的“一加一大于二”的整体性效果。而刑事合规机制的构建,正好为此整体效果的实现提供了契机。一方面,刑法规则的落实需要刑事合规计划来加以具体化;另一方面,企业自律的实现也需要合规计划向刑事规范汲取强制性。刑事合规在成为法官评估违法企业罪责的基础和法定标准的同时,也成为企业借鉴刑法的特征、模式实现内部治理的工具,在此过程中,刑事合规计划将企业内控与国家刑事规制有机连接起来,成为构成数据犯罪共治机制的一大助力。

〔文献来源〕

陈瑞华:《论企业合规的性质》,载《浙江工商大学学报》2021年第1期,第46-60页。

陈瑞华:《企业合规不起诉制度研究》,载《中国刑事法杂志》2021年第1期,第78-96页。

黎宏:《企业合规不起诉:误解及纠正》,载《中国法律评论》2021年第3期,第177-188页。

黎宏:《合规计划与企业刑事责任》,载《法学杂志》2019年第40期,第9-19页。

孙国祥:《刑事合规的理念、机能和中国的构建》,载《中国刑事法杂志》2019年第2期,第3-24页。

孙国祥:《刑事合规的刑法教义学思考》,载《东方法学》2020年第5期,第20-31页。

李玉华、冯泳琦:《数据合规的基本问题》,载《青少年犯罪问题》2021年第3期,第4-16页。

谢鹏程、黄永发言参见《企业合规监督考察研讨会实录(5万字)》,载“悄悄法律人”公众号,2021年10月19日。

于冲:《数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角》,载《西北大学学报》(哲学社会科学版)2020年第50期,第93-102页。

猜你喜欢

数据安全合规管理体系
对质量管理体系不符合项整改的理解与实施
基于KPI的绩效管理体系应用研究
当代经济管理体系中的会计与统计分析
控制系统价格管理体系探索与实践
对企业合规风险管理的思考
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全