涉数据犯罪企业合规第三方评估标准如何确立

原标题：涉数据犯罪企业合规第三方评估标准如何确立

2021年6月3日,最高检、司法部等九部门联合印发《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(下称《意见》)。据此,检察机关在办理涉企犯罪案件时,对符合企业合规改革试点适用条件的,交由第三方监督评估机制管理委员会(下称第三方机制管委会)选任组成的第三方监督评估组织(下称第三方组织),对涉案企业的合规承诺进行调查、评估、监督和考察。在第三方机制试点过程中,第三方组织建设以及有效履职平台的搭建等固然为重点内容,但同时也要重视涉常见犯罪案件企业合规第三方监督评估标准的制定。在此,考虑到数据犯罪正在日益成为企业犯罪典型表现的客观事实,对涉数据犯罪企业合规第三方监督评估机制的原则与要点问题等进行讨论。

数据犯罪领域实施第三方机制需要坚持检察机关主导原则。根据《意见》第10条、第19条规定,第三方机制的启动程序包括:(1)检察机关主动审查与启动;(2)涉案企业、当事人及其辩护人、诉讼代理人或者其他相关单位、人员申请启动,并由检察机关受理与审查;等等。这些规定表明检察机关在第三方机制的启动程序上处于主导地位。此外,检察机关的主导地位还体现在检察机关可在第三方机制运行的过程中同时对第三方机制管委会、第三方组织与涉案企业进行检察监督,以保证相关机构正确履行职责,涉案企业切实认罪悔罪。

根据《意见》第11条、第12条可知,第三方组织应要求涉案企业提交专项或多项合规计划,并对相关计划的可行性、有效性与全面性进行审查。因此,对涉数据犯罪企业启动第三方机制时需要注意数据企业所应履行的具象法律义务,这些义务即为第三方组织借以认定合规计划可行性、有效性与全面性的要点:

第一,第三方组织应评估涉数据犯罪企业是否已落实数据分级分类保护义务。数据分级分类保护义务是数据安全法第21条所明确的义务。根据数据分级分类保护的要求,对于“重要数据”需要提供高规格的保护,而对于“一般数据”则只需要提供常规的保护。目前,2019年网信办发布的《数据安全管理办法(征求意见稿)》第38条将“重要数据”界定为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。此外,全国信息技术安全标准委员会在2017年发布的《信息安全技术 数据出境安全评估指南(征求意见稿)》第3.5条也对“重要数据”进行了界定。虽然这两份文件均尚未生效,但是可在一定程度上起到引导公司进行数据分级分类保护的行为参考作用。转换到第三方组织视角便是要求第三方组织根据数据科技企业所收集数据可能对国家、社会与个人造成的影响程度为标准,判断涉案企业是否已落实数据分级分类保护义务,并将其作为判定涉案企业合规计划有效性的重要标准。

第二,第三方组织应评估涉数据犯罪企业是否已落实数据出境管制义务。数据安全法第25条、第31条、第36条明确,国家对数据的出口实行管制,关键信息基础设施收集的重要数据出口管理依据网络安全法的规定进行,其他重要数据出境安全管理由国家网信部门与国务院有关部门制定具体规则。对于外国司法或者执法机构提供数据的请求,也应经我国主管机关批准,否则,任何境内组织、个人都不得向境外提供存储于我国的数据。数据出口管制目的是为防止国家重要数据未经安全评估和相关部门的批准流向我国境外,给国家安全造成严重不利影响。因此,第三方组织在涉数据犯罪企业的合规计划进行“三性”审查时,应重点考察该涉数据犯罪企业过往是否存在将数据存储至我国境外,或者以公司在我国境外上市与获取经营地政府优惠待遇等目的而将数据传输至我国境外的行为。如若存在,则此类涉数据犯罪企业中必须设置专项条款以落实数据出境管制义务,否则,第三方组织应直接否定相关合规计划的全面性与有效性。对于从未将数据存储至我国境外或者提交给我国境外国家、组织或个人的企业,第三方组织可要求其在合规计划中配置预防性条款。

第三,第三方组织应评估涉数据犯罪企业是否已经落实国家在数据领域的反制裁措施。6月10日开始施行的反外国制裁法第3条规定,“外国国家违反国际法和国际关系基本准则,以各种借口或者依据其本国法律对我国进行遏制、打压,对我国公民、组织采取歧视性限制措施,干涉我国内政的,我国有权采取相应反制措施。”本条为外交领域实施和执行反制措施提供了法律基础。就数据安全方面而言,为有效应对部分国家对我国在数据方面的限制、打压、歧视等措施,维护我国数据主权和国家利益,数据安全法第26条也明确规定了国际对等反制裁措施,即“任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者地区对等采取措施”。因此,有跨国业务的数据企业在进行业务交往时一定要注意遵守我国在数据领域制定的反制裁措施。第三方组织也应该对具有跨国业务的涉数据犯罪企业是否在合规计划中明确了落实反制裁措施的条款,并明确了相关事项的权责人进行认真评估。在目前严峻的国际数据安全斗争形势下,此项义务是否得到正确的贯彻与落实,也将直接影响到涉数据犯罪企业合规计划有效性与全面性的最终判定。

第四,第三方组织应评估涉数据犯罪企业是否已落实数据安全管理制度构建义务与电子政务数据保护义务。相关义务的具体内容包括建立健全全流程数据安全管理制度,组织开展数据安全教育培训,设立数据安全负责人和管理机构,建立数据处理活动风险监测与补救机制,建立重要数据处理活动风险定期评估机制,妥善履行数据交易中介服务机构的服务要求,取得对专门提供在线数据处理等服务的经营者的许可或进行备案,明确组织、个人配合调取数据的条件和程序,以及规范国家机关委托存储、加工和向他人提供政务数据的审批程序等等义务。首先,对于普通涉数据犯罪企业而言,其应在企业内部落实数据安全管理制度构建义务,制定流程清晰、权责明确的规章制度。规章制度建构方面可以参考ISO/IEC 27001信息安全管理体系,而后续的员工培训计划、数据技术安全、风险安全评估则需要结合公司内部的规章制度予以执行。因此,第三方组织在合规考察开始前进行涉数据犯罪企业合规计划可行性、有效性与全面性评估时,应注意观察各种制度的衔接,而在合规考察期开始后则应注意各项制度贯彻落实的实效成果。涉数据犯罪企业未有效落实相关制度,则应承担不利法律后果。总之,涉数据犯罪企业只提交合规计划,不能被评价为涉案企业已履行了数据安全管理制度的建构义务。电子政务数据保护义务的主体较为特殊,包括国家机关和受国家机关委托建设、维护电子政务系统,存储、加工政务数据的企业。国家机关不是企业,不属于本文的研究范围。此类涉案企业在合规计划中制定制度以对应履行上述义务的同时,还要重点针对电子政务数据保护义务进行制度建设。因此,第三方组织需要重点评估此类企业是否存在擅自留存、使用、泄露或者向他人提供政务数据的行为,以及此类企业内部是否制定并实质实施了政务数据安全保护制度。

(作者单位:东北财经大学法学院、华东政法大学刑事法学院)