作者:赵玮(河北省人民检察院雄安新区分院挂职副检察长);谢澍(中国政法大学刑事司法学院副教授、法学博士)
来源:《人民检察》2023年第22期
反电信网络诈骗法视角下的
企业数据刑事合规建设
近年来,电信网络诈骗及关联犯罪呈多发态势,严重影响人民群众财产安全,污蚀网络环境。反电信网络诈骗法的实施,为全流程防范电信网络诈骗犯罪提供了法律依据,也对相关企业加强合规建设提出了更高要求。在正确理解反电信网络诈骗法的基础上,应更加注重结合网络黑灰产治理和数据信息安全保护等突出问题,督促涉案企业加强合规建设特别是数据合规建设,强化源头治理。
01
反电信网络诈骗法实施对企业刑事合规建设的影响
反电信网络诈骗法的实施,对于预防、遏制和惩治电信网络诈骗活动具有重大意义,同时,该法突出强调了企业在打击电信网络诈骗违法犯罪中的地位、责任和义务。
首先,反电信网络诈骗法进一步明确和压实了电信、金融、互联网等相关企业的主体责任。该法共50条,其中有18条规定了企业主体责任。可以说,这些责任的落实成效与企业涉诈刑事风险等级呈正比。这里的企业刑事风险,既包括企业本身及其内部人员犯罪,也包括外部人员利用企业管理平台、软件、技术等漏洞实施犯罪。
其次,反电信网络诈骗法专设第六章用11个条款对违反上述责任的行为设置了专门的行政处罚。一方面,反电信网络诈骗法设置了不履行、怠于履行上述责任的法律后果;另一方面,该法明确了行刑之间的边界标准,为开展行刑衔接工作提供了依据。反电信网络诈骗法的实施,推动了反诈骗领域行刑衔接机制的构建完善,也对企业刑事合规建设提出了与行政合规相互衔接的更高要求。
再次,反电信网络诈骗法将原来散见于相关法律(如网络安全法、数据安全法、个人信息保护法)中的责任集中规定在一部法律中,聚焦反电信网络诈骗这一领域。这不仅有利于提升刑事合规在整个企业合规体系中的地位和作用,也有利于推进企业内部民事、行政和刑事合规衔接融合。
然而,从当前企业合规情况来看,设置专门的刑事合规体系架构的企业仍然较少。与民事、行政合规相比,刑事合规风险发生的概率相对较小,且成本较高,尤其是中小企业进行专门化事前合规的动力不足、危机意识不强。部分企业在遭遇危机后才会开始考虑建设刑事合规体系,即事后合规。因此,需要以反电信网络诈骗法实施为视角,厘清企业刑事风险,构建适应反电信网络诈骗要求的刑事合规体系。
02
反电信网络诈骗法视角下的数据刑事风险
(一)反电信网络诈骗法框架内的刑事风险
反电信网络诈骗法是典型的“领域立法”,在其制度框架内不仅涉及行政违法,还涉及刑事犯罪。如,未履行电话卡、物联网卡实名制登记职责等,企业初次触犯这一规定仅承担行政责任,但如果经责令整改后仍存在相应的违法行为,则会上升为刑事责任。总体而言,反电信网络诈骗法框架内的刑事风险,包括22类行为风险,可能涉及16个刑法罪名,这些刑事风险可以根据不同的分类标准区别考察。
从责任主体上看,有平台自身的风险,如平台没有尽职尽责地履行相关安全义务和平台责任;有来自内部人员的风险,即平台内部工作人员没有履行自身责任;有来自外部人员的风险,如外部人员利用用户数据实施违法行为等;以及内部人员和外部人员串通实施违法行为。从风险结构上看,这些风险往往呈现由行政违法逐步向刑事犯罪递进的样态。这种样态一般呈现两种递进方式:一种是根据行为恶劣程度和对法益的侵害程度,对其给予不同的法律评价;另一种是根据主观恶意和是否为初犯进行评价,如相关责任主体未履行对异常账户、可疑交易的风险监测和相关处置义务的,若是初次被发现,则仅会受到行政处罚,但如果被责令整改后其仍拒不改正,则应当予以刑事处罚。
(二)从刑事风险到数据刑事风险的转向
相较于传统的刑事风险,反电信网络诈骗领域涉及的更多是数据刑事风险。从主体上看,数据刑事风险并不局限于互联网企业,在数字经济发展的大背景下,数据已成为社会生产分配的基本要素,任何企业都存在因处理数据不合规而引发刑事风险的可能。况且电信网络诈骗涉及互联网、金融、电信等多个领域,呈现组织化、链条化、跨地域等特征,因此数据刑事风险是诸多行业企业可能面临的问题。
从环节上看,数据刑事风险包括数据识别(实名制)、处理(使用、分类归档等)、救济(危机应对)、管理(保密、数据合法性审查等)、防范(他人利用平台)等全周期、全流程的风险。如,企业在获取用户数据后,就负有相应的数据安全存储义务。数据存储是否安全,关系企业的核心数据资源能否得到有效保护。否则,不仅企业可能面临数据泄露或被窃取的风险,影响企业形象和经营发展,而且用户数据极有可能被不法分子利用,诱发电信网络诈骗等上下游犯罪。
从领域上看,数据刑事风险涉及数据要素、数据产品、数据平台、数据制度等。数据要素是数据刑事风险的源头和核心,涉及国家秘密、商业秘密、个人信息等。而数据产品和数据平台是对数据要素进行应用和服务的载体,数据制度则是对数据管理进行规范和约束的体系。这些领域相互关联,共同构成数据刑事风险。
(三)从数据刑事风险到数据刑事合规的进程
受制于信息网络技术的不健全,数据安全漏洞成倍增加,单凭刑事立法和国家强制力进行规制和预防,会将企业置于被动配合的地位,易忽略其自身的主观能动性,治理效果可能并不理想。因此,需要企业主动开展数据刑事合规建设,进而减少犯罪、防范风险,这就需要企业从认识数据刑事风险逐步过渡到开展数据刑事合规。
首先,数据刑事合规将逐步成为企业刑事合规的基本场域。随着个人信息保护法、网络安全法、反电信网络诈骗法的实施,以个人信息保护与数据安全保护为核心的法律规范体系已具雏形。企业所具有的社会属性要求其应承担一定的社会责任,因此推动企业开展以数据安全为核心的企业数据刑事合规逐渐成为企业刑事合规的基本场域。其次,数据刑事合规将逐步成为企业刑事合规的重要牵引。数据刑事风险往往是企业所面临的各类风险中最为严重、最为核心的问题。因此,数据刑事合规应当发挥牵引作用,在刑事合规的基础上进一步加强企业数据管理,形成一套适合企业发展的合规体系。再次,数据刑事合规将逐步成为评价企业刑事合规的核心指标。数据刑事合规在企业合规中占据重要地位,同时数据刑事风险日益突出,并逐渐成为企业所面临的重大风险。因此,数据刑事合规完备与否,既是企业合规体系是否健全的一个重要标准,也是衡量企业竞争力的一个重要指标。
03
构建适应反电信网络诈骗法的数据刑事合规体系
开展涉案企业合规改革,目的是鼓励和引导更多企业建立健全事前自主合规体系,即日常性的、自发性的、前移合规关口的合规体系,把经营风险防范在前。
第一,由事后救济转向事前防范。基于数据的庞大性和平台的辐射性,一旦出现数据层面的刑事风险,必将是外溢化、几何级、连锁型的风险。因此,企业合规建设的目标必须由之前的救济性转向防范性,即在事前把风险降至最低。对于企业而言,需要进行合规体系的转向和合规团队的整合,对刑事、民事、行政合规进行系统化构建。
第二,由制度设计转向技术支撑与文化塑造。其中,制度设计是基础,应对照法律法规,全面审视企业可能存在的数据刑事风险,形成体系性制度。技术支撑是关键,包括数据合规管理、风险识别、评估与处理、运行与保障等。技术具有两面性:一方面,技术发展及其不当运用,会加大运营风险;另一方面,技术进步可以提升合规效能。因此,必须合理运用技术手段,将制度设计嵌入合规系统,通过技术手段实现合规目标。在此基础上,文化塑造则是根本。通过制度激励和技术助推,将合规文化内化于心、外化于行,通过合规文化的反哺,推动制度与技术向上向善,方为长久之策。
第三,由单一标准转向分类分级。在数据刑事合规体系中,对于一般数据、重要数据、核心数据,应当设置不同层级的合规标准。从企业类型看,不同等级体量企业的区分标准主要为企业所掌握数据的种类、数量、范围、影响力等,据此设置不同等级的合规标准。因此,应当通过“立体化”思维确保分类分级的全面性,避免“扁平化”思维所形成的风险死角。如,头部企业和一般科技企业,风险防范种类应有所区别,前者需要在责任的基础上明确防范重点,后者则更需要以业务为导向明确防范重点。
第四,由安全为重转向统筹发展和安全。维护数据安全是数据刑事合规的基本要求。数据安全在很大程度上意味着系统安全、经营安全甚至公共安全,因此数据合规可以大体约等于数据安全保护,数据安全重在防止数据被非法获取和滥用。而促进数据流通使用,同样是数据合规的发展方向。通过企业合规建设确保企业数据取之有道、用之有效,才能实现法治和“数治”的有机结合。
04
数据刑事合规建设的具体进路
首先,强化数据刑事合规义务的识别。企业推进事前的数据刑事合规体系建设,首要的是明确合规义务,进而有针对性地进行合规管理。但当前企业对自身的刑事合规义务把握并不清晰,尤其是对刑事处罚、入罪标准缺乏理解。企业需要强制遵守的刑事合规义务,可能来自法律法规、司法解释、指导性案例、刑事政策等,但即便是需要强制遵守,合规义务的界定也并非毫无争议,对此,不仅理论上存在不同观点,司法机关在办理相关案件时也可能存在不同的认识和标准。因此,企业需要根据自身的领域、类型及业务范围,对需要强制遵守的刑事合规义务进行甄别。与此同时,办案机关应聚焦司法办案主责主业,在办理涉数据类犯罪案件时,充分考虑网络的宽延性、技术的迭代性、数据的海量性等特征,对特定行为的社会危害性进行实质性判断,准确区分罪与非罪、此罪与彼罪,以司法标准的精准化来推动数据刑事合规规范化。
其次,明确数据刑事合规措施的有效性标准。目前在刑事合规建设进程中,企业通常存在“措施有效性标准”的困惑,即对于合规管理体系是否有效以及风险发生后能否切割企业的责任,均存在疑问。对此,一方面,应当结合正在推进的涉案企业合规改革,对企业涉嫌的涉数据犯罪开展数据合规工作,通过第三方监督评估组织督促涉案企业作出合规承诺并积极整改落实,促使其守法经营,以典型案例明确合规标准,推动数据治理的规范和优化。另一方面,企业可以引入生成式人工智能技术,将底层技术和数字建模相结合,形成一套技术化、数字化、可视化的立体识别系统,将合规义务和风险评估嵌入企业日常业务流程,一旦触发风险即给予提示,确保合规体系在标准化、规范化的场景下运行。
再次,探索建立数据刑事合规监督的行刑衔接机制。有地方在金融领域推动建立行政执法与刑事司法之间规范化、常态化、制度化的金融活动数据共享交换和集中分析研判机制,及时发现金融违法犯罪线索。这种各部门衔接、各类监督相协调的工作机制,可以借鉴至数据刑事合规领域。具体而言,应坚持大数据赋能,以点带面,协同相关部门加强数据源头综合治理,制定企业数据刑事合规指引、刑事风险提示等。一旦发现相关风险,及时给予企业外部提示,同时在行政执法部门和检察机关之间进行信息共享和分析研判,避免风险扩大,进而为企业合规经营提供坚实的法律支持,营造法治化营商环境。
声 明
“京都刑辩研究中心”微信公众号所刊登的文章仅为交流目的,不代表京都律师事务所、京都刑辩研究中心或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容,请注明出处“京都刑辩研究中心”。
继续阅读
阅读原文