当数据合规遇见刑事追诉——首例数据合规不起诉案件所带来的分析和启示（上）

一. 近期一件数据合规不起诉案件要点回顾

1、案件基本情况

近期，上海普陀区检察院公布了全国首例数据合规不起诉案。在该案中，Z网络科技有限公司（以下简称 "Z公司"）向普陀区检察院提出了合规不起诉申请，普陀区检察院审查后向Z公司制发了合规检察建议，并启动范式合规审查。Z公司在整改期间积极开展数据合规整改工作，最终在普陀区检察院举行的公开审查听证中，参与听证的各方均认为Z公司数据合规整改到位，并一致同意对Z公司及人员作出不起诉决定。

案件基本情况概览

2、案件涉及的合规流程

合规不起诉流程要点

二. 涉数据类犯罪案件适用合规不起诉分析

1、检察机关推进三阶段简要回顾

2020年，最高人民检察院对我国企业刑事合规不起诉制度的探索拉开帷幕，同年3月，最高检启动涉案违法犯罪依法不捕、不诉、不判处实刑的企业合规监管试点工作，并确定上海市浦东新区、金山区检察院，广东省深圳市南山区、宝安区检察院，江苏省张家港市检察院，山东省郯城县检察院等6个检察院为试点单位。此次试点在我国刑事司法领域初步确立了合规不起诉的概念。

2021年3月，最高检发布《关于开展企业合规改革试点工作方案》（以下简称 "《试点工作方案》"），企业合规试点范围进一步扩大至北京、上海、浙江等10个省份的27个市级检察院、165个基层检察院。同年6月3日，最高检联合多部委共同发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》（以下简称 "《指导意见》"），明确"涉案企业合规第三方监督评估机制是指人民检察院在办理涉企犯罪案件时，对符合企业合规改革试点适用条件的，交由第三方监督评估机制管理委员会选任组成的第三方监督评估组织，对涉案企业的合规承诺进行调查、评估、监督和考察，考察结果作为人民检察院依法处理案件的重要参考"。

2022年4月19日全国工商联、最高检等九部委发布《涉案企业合规建设、评估和审查办法（试行）》，明确企业合规的本质内涵是改造企业治理结构和重塑企业文化。

2、涉数据类犯罪外延

我国《刑法》设立了多项与数据安全密切相关的罪名，从法益侵害角度，这些罪名大致可分为三大类：一是 危害计算机信息系统安全的犯罪。包括非法侵入计算机信息系统罪和破坏计算机信息系统罪这两大类犯罪，具体包括非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪等五项罪名；二是 侵害具体数据类型安全的犯罪。 具体包括侵犯公民信息安全和侵犯商业秘密两大类犯罪，具体包括侵犯公民个人信息罪、侵犯商业秘密罪两项罪名；三是 围绕信息网络相关罪名。具体包括拒不履行信息网络安全管理义务罪、非法利用信息网络罪以及帮助信息网络犯罪活动罪。

对于公司来说，司法实践中应当关注的罪名当属非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、侵犯公民个人信息罪、侵犯商业秘密罪、拒不履行信息网络安全管理义务罪以及帮助信息网络犯罪活动罪。

3、涉数据类犯罪特点

我国《刑法》第285条确立了 非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪这一类犯罪。非法侵入计算机信息系统罪（第285条第一款）指自然人或者单位违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。主观方面，本罪的成立需要满足故意要件，如果是无意中进入计算机信息系统，但经警示仍不退出的，应当视为故意非法侵入。非法获取计算机信息系统数据、非法控制计算机信息系统罪（第285条第二款）为《刑法修正案（七）》规定的新罪，客观方面指违法国家规定侵入国家事务、国防建设、尖端科学技术领域的计算机系统以外（即第285条第一款规定以外）的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制、情节严重的行为，本罪属于选择性罪名。近日公布的首例数据合规不起诉案中的Z公司的客观行为就表现为利用"爬虫"非法获取其他计算机信息系统中存储、处理或者传输的数据，若其未进行合规整改，则将以此类罪名被追诉。

我国《刑法》第253条之一确立了 侵犯公民个人信息罪。根据最高法和最高检的司法解释，该罪的违法性组成有：一是违反国家有关规定，二是存在"向他人出售或者提供公民个人信息"，或者"窃取或者以其他方法非法获取公民信息"的行为；三是行为达到情节严重的程度。其中，"两高"司法解释对作为入罪标准的情节严重做出了规定，个人或者单位侵犯公民个人信息，只需要数量或者情节上达到一般标准，例如：非法获取、出售、提供行踪轨迹信息、通信信息、征信信息、财产信息50条以上的；非法获取、出售、提供住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息500条以上的；等等。随着互联网的发展，大数据企业、电子商务企业等都依托网络平台，其业务开展不可避免需要收集大量公民个人信息和数据，2021年，全国公安机关深入推进"净网2021"专项行动，针对人民群众关注的个人信息保护问题，全力组织开展侦查打击工作，共破获侵犯公民个人信息案件9800余起，抓获犯罪嫌疑人1.7万余名，维护了网络空间秩序和人民群众合法权益。2022年1月，公安部公布了侵犯公民个人信息犯罪十大典型案例 ¹，其中，典型案例六为公司非法获取个人信息案例，该案例中山东某网络科技公司从网上购买公民信息，在辽宁阜新石某团伙的技术支撑下，突破游戏公司验证机制，非法注册实名网络游戏账号1.8万余个，向未成年人出售，非法牟利170余万元。

我国《刑法》第286条确立了 拒不履行信息网络安全管理义务罪。本罪是指网络服务者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播的；或致使用户信息泄露，造成严重后果的；或者致使刑事案件证据灭失，情节严重的；或者具有其他严重情节严重的行为。 此罪为真正不作为犯，本罪的成立，要求经过监管部门责令采取改正措施而拒不改正。2021年4月昆明市盘龙区人民法院判处了全国首例"因运营商拒不履行信息网络安全管理义务"案例，某虚拟运营商xx通信技术有限公司，因拒不履行信息网络安全管理义务，董事长及部分高管被一审判处一年四个月至一年十个月的有期徒刑或拘役。法院认为：虚拟运营商xx通信技术有限公司明知山东某通信代理公司在从事违法行为而拒不履行其网络管理责任者的义务，涉嫌拒不履行信息网络安全管理义务罪被法院依法判决。

我国《刑法》第219条确立了 侵犯商业秘密罪，《刑法修正案（十一）》对其进行了部分修改。侵犯商业秘密罪的犯罪主体是一般主体，既可以是自然人，也可以是公司、企业等单位。在实务中，触犯该罪的多为企业的中高级管理人员、进行技术研发的核心骨干或者是因合作关系而知悉企业商业秘密的交易第三方。在主观方面，侵犯商业秘密罪需满足故意。在客观方面，侵犯商业秘密罪需要从行为对象、行为方式以及行为结果三方面进行判别：1）侵犯商业秘密罪的行为对象是商业秘密，商业秘密是企业的无形资产，能使企业在激烈的竞争环境中取得竞争优势，商业秘密一旦泄漏，将给企业带来不可估量的损失；2）侵犯商业秘密法定的行为方式包括：以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密；披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的；违反保密义务或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密；3）成立侵犯商业秘密罪，要求侵犯商业秘密行为给权利人造成了重大损失以上的结果，目前侵犯商业秘密的重大损失数额标准为三十万元 ²。实践中，若企业利用员工跳槽带来的其他企业的机密数据，或者利用其他企业尚未公开的技术相关数据进行业务拓展、新品开发等，则可能面临数据合规风险，甚至构成侵犯商业秘密罪。

我国《刑法》第287条之二确立了 帮助信息网络犯罪活动罪，本罪是指明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助的行为。主观方面体现为明知，根据司法实践，目前此罪名客观行为主要表现为两个方面，其一是通过手机卡、银行卡向犯罪行为人提供结算功能，帮助实施信息网络犯罪的人犯罪的行为；其二是 针对提供互联网技术服务从而帮助犯罪行为人实施信息网络犯罪的行为。根据最高检公布的2021年全国检察机关主要办案数据，2021年，起诉帮助信息网络犯罪活动罪近13万人，同比上升超8倍，位居各类刑事犯罪的第3位；根据最高检公布的2022年1月至3月全国检察机关主要办案数据，帮助信息网络犯罪活动罪仍处高位，上述办案数据引起很多互联网企业高度关注。因此，在日前检察机关正高度关注此罪的大背景下，若互联网企业、大数据企业明知他人利用网络平台实施犯罪仍提供互联网技术服务的，也可能面临数据合规风险，甚至构成帮助信息网络犯罪活动罪。

4、合规不起诉适用于涉数据类犯罪案件的可行性论证

若案件进入检察院合规审查阶段，那么首先要做的是判断涉数据类犯罪案件是否符合第三方机制的适用条件，具体而言：

《指导意见》中明确规定企业合规不起诉适用于经济犯罪和职务犯罪案件。经济犯罪指的是在商品经济的运行领域中，为谋取不法利益，违反国家法律规定，严重侵犯国家管理制度和破坏社会经济秩序，依照刑法应受刑罚处罚的行为。 ³参上文所述，数据合规视阈下企业在生产经营过程中若涉嫌侵犯商业秘密罪，则亦在经济犯罪规制范畴之内；同时，在"互联网+"的技术驱动下，经济犯罪也正在大规模地向网络空间转移，并衍生出一种全新的犯罪形态—— "网络经济犯罪"，而数据合规领域涉及的非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪等恰为"经济犯罪"所包含。基于以上，涉数据类犯罪案件属于企业合规不起诉的适用对象。

根据最高检下发的《试点工作方案》、《指导意见》以及当前试点地区的司法实践来看，试点地区的检察机关基本上将合规考察制度的适用对象设定为"相关责任人"可能被判处3年有期徒刑以下刑罚的涉企刑事案件，也有部分检察院将重罪纳入合规不起诉的适用范围，如辽宁省人民检察院出台的《关于建立涉罪企业合规考察制度的意见》，规定"直接负责的主管人员和其他直接责任人员依法应当被判处三年以上十年以下有期徒刑的，具有自首情节或者在共同犯罪中系从犯，或者直接负责的主管人员、其他直接责任人员具有立功表现的，可以适用合规考察制度"。参上文所述， 涉数据类犯罪主要涉及罪名中，非法侵入计算机信息系统罪、拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪法定最高刑为3年、非法获取计算机信息系统数据、非法控制计算机信息系统罪、侵犯商业秘密罪、侵犯公民个人信息罪情节严重的法定最高刑为3年，符合合规不起诉适用刑罚范围规定。

5、涉案企业启动该程序的相关流程

下篇预告

在下篇中，我们将继续深入探讨数据合规如何能够帮助企业避免刑事责任，并分享企业如何建立完备的数据合规体系。

[注]

1. 打击侵犯公民个人信息犯罪这一年：公安部公布十大典型案例，最后访问时间：2022年6月5日，

2.《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释（三）》第四条。

3.参见：https://www.lda.bayern.de/de/kontrollen.html。最后访问日期2022年5月4日。高铭暄,王作富.中国惩治经济犯罪全书(Z).北京:中国政法大学出版社,1995

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.