APP下载

数据安全刑事合规的滤罪模式

2022-10-22

学术论坛 2022年3期
关键词:数据安全前置合规

张 勇

一、问题提出

二、数据安全刑事合规及正当根据

(一)数据安全刑事合规的内涵界定

基于以上分析,所谓数据安全刑事合规,是指为了保障数据安全,企业、政府部门、司法机关等所进行的企业内外部合规治理活动,其中,企业作为刑事合规的主体,针对数据获取、存储、流通和使用过程中的刑事风险,制定和实施数据合规计划;政府部门和司法机关运用法律手段惩治和预防危害数据安全的违法犯罪。数据安全刑事合规可以分为事前合规和事后合规,前者是指企业经营管理活动中建立内部风险控制制度,防止企业实施涉及数据安全的犯罪或自身遭受侵害;后者是指企业触及数据安全刑事风险后所做的整改补救措施,以预防再次犯罪的发生。就数据安全企业合规而言,刑事法律是企业必须遵守的基本法律,也是保障自身权益的法律武器,因而刑事合规可谓最具有强制力的法律标准;由数据安全行政法律法规所规定的行政合规同样也是企业必要履行的法律义务,两者在合法性标准、主体义务内容及法律后果等方面存在差别。此外,企业合规还包括有关数据安全的诸多国家标准、行业规范,这些“软法”对企业的合规标准和义务要求作出了更为细致、全面的规定,可称之为行业合规。相比较而言,行政合规与行业合规对于企业预防刑事风险来说显得更为重要。然而,企业合规意味着高成本投入。数据安全刑事合规如同双刃剑,作为一种底线标准,刑事合规是任何企业都必须要求达到的,积极履行刑事法律义务,可以获得司法机关的量刑激励;反之,如果违反了刑事合规的义务要求,侵犯了他人数据权益,甚至危及数据安全,所带来的是比违反行政合规更为严厉的刑事处罚。

(二)数据安全刑事合规的正当根据

三、数据犯罪前置法及其滤罪机能

数据犯罪具有典型的法定犯特征,罪状中包含行政性前置法,即开放的构成要件。前置性行政法律法规对于认定数据犯罪来说起着十分关键的作用。对于企业刑事合规来说,前置性行政法往往有着比刑事法规范更为严格细致、全面具体的规范义务内容,而企业承担刑事法律义务是前置性行政法的底线要求。违反了前置性行政法的行为,未必构成犯罪,须经过司法机关对其进行刑事违法性的实质判断,即认定犯罪的“过滤”环节,从而将一大部分“违规”“违法”行为排除在犯罪圈之外。为了预防数据企业的刑事风险,应将作为前置法的行政法律法规作为企业合规的一般标准,其具有强制性法律效力,是企业合规必须遵守和执行的;对于不具有法律效力的行业规范,可以将其作为较高标准予以参照,但不是必须遵照执行。因此,前置性行政法在刑法规范与行业规范之间,发挥着承上启下、衔接协调的“过滤”作用。

(一)数据犯罪及其前置法的定位

(二)数据犯罪前置法的滤罪机能

所谓“滤罪”,即“过滤犯罪”。某种行为被认定为犯罪,首先需要被刑事立法评价为某种具体罪名,在此基础上,需要司法机关依据刑事实体法予以定罪量刑,通过刑事程序法规定的不同诉讼阶段,最后将该种行为认定为有罪或进行无罪处理。对于法定犯来说,前置法与刑法有着紧密的内在关联性,因而具有重要的“滤罪”机能。对于企业刑事合规来说,数据犯罪的前置法在出罪方面的“滤罪”机能更值得关注,是企业刑事合规计划的规范指引。

四、数据安全刑事合规的滤罪机制

(一)滤罪内容:数据安全义务设置

需要指出的是,在大数据时代背景下,法律需要协调不同主体的利益,合理分配数据安全保护义务,避免对有关组织和个人的数据权益造成不当侵害。目前,我国数据安全立法较多集中于数据安全保护和监管义务设置,而对于数据流动、共享及利用方面的规定较少,对相关主体数据权益的兼顾与平衡仍存在不足。对此,我国可以借鉴国外立法经验予以补足。例如,欧盟《数据法案(草案)》(Data Act)延续了GDPR 中的个人数据可携带权的思路,在一定程度上鼓励数据自由流动和多次利用,以避免出现数据壁垒和数据垄断,从而实现数据利益的公平分配。又如,GDPR 在严格规制企业处理用户个人信息的同时,限制了企业主动监测、发现和报告网络儿童色情的活动。为了改变这种状况,2021年欧盟制定条例授权特定网络信息业者,规定企业关于此类用户个人信息处理的活动不适用GDPR 的相关规定。在此方面,我国《个人信息保护法》在确立知情同意原则的前提下,规定了妨碍国家机关履行法定职责等例外情形,这与GDPR 的立法意旨相同,体现了原则性与灵活性的结合。兼顾各方主体的数据权益,构建安全与发展相结合的数据治理体系,无疑更有利于数字经济的健康发展。

(二)滤罪体系:数据合规刑行衔接

五、结 论

综上所述,在数据安全企业合规方面,应当坚持维护数据安全和促进数据开发利用并重,以《数据安全法》等前置法为依据,构建数据安全企业内部管理和外部监管的合规体系。刑事合规须以刑法规范为底线标准,以前置行政法为一般标准,以行业规范为参照标准;在数据安全刑事合规中,形成以数据安全法益识别为基础、分类分级为层次、法律义务为内容、刑行衔接为体系的滤罪机制。经过滤罪过程,制定和实施了合规计划的企业可以获得量刑从宽乃至出罪事由。刑事合规不仅仅是企业自律和内部治理活动,而且是一种企业和国家协同共治的系统。企业应确立责任伦理意识,制定与实施合规计划,积极履行数据安全义务,与其他参与主体共同承担社会责任,由“数据治理”转向“数据共治”。从系统论角度,企业刑事合规需确立刑事一体化理念,即从刑法运行内外协调的视角下,在刑法之上、刑法之内、刑法之外选择刑事合规的根据、路径和对策。“刑法之上”即从法教义学乃至宪法层面寻求刑事合规的法理根据;“刑法之内”即在定罪和量刑中选择刑事合规的路径;“刑法之外”即将刑事合规融入刑事政策和社会治理当中,司法机关、政府部门与企业形成合力,寻求治本之策。因此,除了当前我国检察机关所试点进行的合规不起诉工作,将来的企业刑事合规改革可以在更广阔的领域展开。当然,改革需要于法有据,只有依靠国家法律法规的保障与规范、引领与推动,企业刑事合规改革才能行稳致远。

猜你喜欢

数据安全前置合规
合规不起诉在企业犯罪中的适用及边界
联邦学习在金融数据安全领域的研究与应用
被诊断为前置胎盘,我该怎么办
前置性学习单:让学习真实发生
国企党委前置研究的“四个界面”
精准的声音还原 Yamaha CX-A5200前置放大器
外贸企业海关合规重点提示
GDPR实施下的企业合规管理
六步法创建有效的企业合规管理体系
建立激励相容机制保护数据安全