企业数据合规与刑事法律风险防控

企业数据合规与刑事法律风险防控

余松华

北京天驰君泰（济南）律师事务所 山东济南 250000

摘要：数据安全是数字经济的生命线，是数字经济蓬勃发展的安全阀。数据刑事合规是企业预防刑事风险、建构数字经济安全体系的关键，也是经济社会高质量发展的重要一环。从改革开放到一带一路，在经济全球化的大背景下，企业经济得到了快速地发展，不少企业为了发展开始收集客户的信息。但是在收集客户数据的过程中出现了很多问题，特别是在数据合规和个人信息保护方面，遇到了前所未有的挑战。因此，在国家不断加强对个人信息保护的背景下，本文对企业数据合规相关法律风险进行了分析，并提出相关风险防范建议。

关键词：企业；数据合规；刑事法律；风险防控

引言

企业在发展建设的过程中，有推动数据刑事合规建设的重要职责。企业未在向顾客收集数据时，取得顾客的明确同意，没有在用户协议中对客户提供信息的场景、目的、用途以及信息类型进行列明；对顾客提供个人信息的风险缺乏明确详细的提示，这些无疑都存在巨大的信息安全隐患。此时，企业应当积极作为，逐步建立刑事合规运行机制，健全监督体系、数据收集体系与使用合法的数据安全综合治理新格局，为数据安全构筑更为牢固的安全防护网。

一、企业数据合规工作应当注意的几点

（一）互联网企业、上市公司应当注重双重合规

双重合规是顺应时代的举措，仅根据国内或国外法律进行合规，对企业的发展会产生阻碍。中国的企业处于数字化和全球化的时代，面临国际化的双重合规要求。因此对于经营企业而言，保障数据安全的合规更加紧迫。在美上市的中国企业除了要符合在美上市的相关规定外，也应根据我国的法律规定进行合规，并且在两者冲突时，优先考虑国内的合规性。中外立法和执法趋势不仅与国家的发展状况有关，更与国际关系，国际形势有关，在中美国家关系紧张的形势之下，我国企业应当趋利避害，审时度势，合理规范经营行为。

（二）集团企业、关联企业的数据合规工作，应当标准化、系统化、制度化

由于现阶段许多企业设立许多下属公司，企业内部构造繁杂，同一集团公司内拥有的数据信息很有可能存有不一致的分类结果，因而难以实现集团公司内数据合规的一致性。首先，要创建数据安全治理体系，要求特定高管带头进行数据安全整治，依照相应的法律法规开展自身的数据信息处理工作，对企业数据信息进行分类管理。其次，企业要按时开展风险评价和数据安全生命周期评定，根据实际的网络安全技术和安全性进行应急处理演习，及时改善存有的风险性，便于一旦产生安全事故，可以做出最适当的应对措施，进而将损害减少到较低程度。最终，企业应确立和健全整个过程的数据安全体系管理，组织开展数据安全教育培训，提高职工的数据安全观念和企业本身的数据安全工作能力。企业合规并非一次性工程，需要长期的坚持和培训。企业在进行了一阶段的合规工作后，应当重视合规机制的构建。只有这样，才能保证企业良好持续经营。

（三）中小企业应当注意合规成本的必要性

针对国内的中小型企业而言，对数据的合规处理成本费是必须考虑到的问题。数据安全风险性的防治不但是法律问题，也是技术问题，必须以企业自身的运营模式为基础进行深入分析。企业的目的并非为了数据更好地合规而合规，其最终目标是确保企业有收益，这须要企业内部多部门的共同努力，包含企业经营者、企业法务、合规官、律师团队等部门。针对中国绝大多数中小型企业而言，数据安全的风险具体反映在私人信息的搜集和处理上，风险点取决于过多搜集、多次共享、未经受权应用等行为。大部分情形下，只需可以找到企业经营的数据安全风险点，数据的合规整理不一定会减损主营业务。

二、企业进行数据刑事法律风险的防控建设

企业数据合规建设的目的在于保障数据的收集、存储与使用等处理环节合法、规范，使数据的收集、存储与使用成为经济创新发展的资产。企业进行数据合规建设的路径在于构建一体化数据刑事合规建设模式，并在数据收集、数据使用两个具体面向重点展开。

（一）构建一体化数据刑事合规建设模式

数字时代的刑事合规建设应该实现从“经验”决策向“科学”定规、从“静态”管理向“动态”治理的治理体系转变。数据安全法第27条规定：“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。”这一规定为数据合规建设提供了方向标，但是数据安全法的规定仍比较抽象，需要相关企业借助软法之治建构更为有效、全面的数据合规建设体系。对此，相关互联网企业已经走在前列，风险核查的目的是明确数据收集与使用可能存在的刑事安全风险；数据梳理是以数据为中心的识别与分类分级、账号权限的梳理、形成数据目录；数据保护是基于数据使用场景需求制定并实施相应的安全保护技术措施，建立企业算法安全责任制度和科技伦理审查制度；监控预警则是指通过全方位监控数据的使用和流动，最终形成数据安全态势感知。这是一种较好的一体化数据刑事合规建设方案。当然，一体化数据刑事合规建设仍需要做到数据刑事合规有机制运行、有专人管理和有相关制度保障，并在App合规、数据分类分级等具体问题上做实做细，以全方位、跨部门的协同管理体系保障其贯彻落实。

（二）企业数据收集的刑事合规建设

个人信息保护法、数据安全法、电子商务法构筑了个人信息、数据收集、使用与保护的基本法律体系，为企业实施数据合规建设提供了法律依据。保障个人信息安全，维护公民在网络空间的合法权益，需要网络平台等企业制定个人信息合规建设方案，为用户提供个人信息保护指南，不仅依法、依规收集与使用个人信息，收集与使用个人信息必须取得公民同意或授权同意，而且不得使用恶意技术收集个人信息，比如，使用爬虫技术非法获取、存储公民个人信息，或禁止对个人隐私构成威胁的人工智能应用。

（三）企业数据使用的刑事合规建设

从实践来看，数据垄断、数据贩卖、数据窃取、大数据杀熟、深度伪装、为境外提供数据等都是数据使用过程中的滥用行为，危及数据安全。拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪、侵犯著作罪都是与数据使用相关的新型犯罪。电子商务法第30条规定：“电子商务平台经营者应当采取技术措施和其他必要措施保证其网络安全、稳定运行，防范网络违法犯罪活动，有效应对网络安全事件，保障电子商务交易安全。”企业必须依据法律法规积极履行数据安全的保障义务，一方面，采取积极有效措施避免数据流向可能涉及利用数据进行犯罪的领域，强化数据的存储、出境合规建设，以避免数据泄露；另一方面，实践表明，80%以上的数据风险不是来自网络黑客，而是来自于企业内鬼的泄露或窃取，企业应当与员工签署数据安全使用协议，列举员工行为“触礁”清单，并建立相应监督机构，及时发现与制止企业员工实施的数据滥用行为。

结语

在数字经济时代，传统数据安全问题和新型数据安全风险相互叠加，数据安全风险呈现出许多新特点。我国各行业数据资源丰富，利益相关方对数据资源的争夺激烈，数据安全问题日益凸显。数据刑事合规是现代企业治理体系在大数据时代诞生的新内容，强调企业以自身的努力积极防范数据刑事安全风险，把与数据相关的犯罪消除在萌芽状态。此外，我国数据安全风险防范体系还存在短板弱项，迫切需要予以改变。

参考文献：

[1]杜跃进,周欣.组织机构的数据安全人员能力要求[J].中国信息安全,2019(02):32-36.

[2]宋兹鹏.为企业网络安全和数据合规保驾护航[J].中国商界,2021(Z1):93.

[3]张宇,颜井辰.企业数据合规与刑事法律风险防控[J].法制博览,2021(22):95-96.