大数据时代企业应加强数据合规体系建设

近年来，数据作为新型生产要素，已成为推动数字经济发展的核心引擎。与此同时，数据安全问题较为凸显，数据过度滥用、数据泄露、利用各类数据违法犯罪等问题层出不穷，企业数据刑事合规越来越受到重视。

当前，通过网络爬虫技术、黑客技术入侵企业数据库窃取企业数据、企业用户个人信息数据的案例增多。近日，某品牌汽车因2021年8月之前的部分用户基本信息和车辆销售信息被窃取，并被以泄露的数据勒索225万美元等额比特币引发行业关注。最高人民法院近期发布第35批共4件指导性案例，均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等信息，案例的发布对于处理大量个人信息的企业的数据保护敲响了警钟，凸显做好企业数据保护的紧迫性和重要性。

北京策略律师事务所执行主任、数据合规项目组负责人庞理鹏律师介绍说，对于“数据安全”的保护不仅是企业层面的需求，更是从国计民生到社会各领域全方位的需求。对企业来说，数据安全是企业的生命线，任何的数据泄露事件对企业来说都是灾难性的，无论是从客户信任还是从社会口碑。刑法作为维护社会秩序的具有强制力保障的重要手段，通过刑法对数据安全进行保护，符合数据安全保护国家利益、社会公共利益和企业、自然人合法利益的现实司法需求。

庞理鹏说，凡是涉及收集、使用和以其他方式处理涉及国家基础信息、企业数据、公民个人信息等具有特定指向性信息的企业数据，都应受到重视与保护。比如高精地图测绘类应用企业，是典型的既涉及国家基础信息安全，又涉及公民个人信息保护的关键企业。又如拥有海量用户的企业，如行程卡、健康宝、社交软件等，其拥有海量用户的同时还收集了大量的用户个人信息数据、交易数据等隐私信息，一旦企业数据泄露，用户注册登录的个人信息、实名认证信息等极易被不法人员利用。汽车数据泄露事件引发了人们对于平台数据安全的思考，如果企业数据安全保障滞后，极易引发严重后果。

近几年，随着网络安全法、数据安全法和个人信息保护法全面施行，构建起维护数据安全促进数字经济健康发展的法律制度保障。有观点认为，为牟取非法利益，流量劫持、网络爬虫、外挂干扰等新型数据犯罪呈现多样态势，现有保护体系难以满足复杂的现实需求。如刑法第二百八十五条第二款规定了非法获取计算机信息系统数据罪与第二百八十六条破坏计算机信息系统罪。从犯罪对象或保护对象来看，我国刑法对数据的保护体系主要围绕个人数据、涉及国家秘密的数据展开，而对于企业数据的保护需要进行适当调整，以扩大数据的保护范围，并对恶意侵犯企业数据权行为进行强有力规制。

非法使用企业数据行为的猖獗，源于其可以在市场中获得高额的利益。只有打破利益链条，才能阻断违法行为的产生。庞理鹏认为，刑法需要不断结合新技术的发展，对上游窃取企业数据的行为进行精准的认定和打击。另外，对于企业违规获取、过度获取信息造成信息泄露风险的，也应当予以重点关注。同时，企业应加强数据合规体系建构的主动性，进一步强化企业的数据安全意识、社会责任意识和提高自我约束力，将企业责任和数据安全紧密结合起来，以防止刑事法律风险。

企业数据刑事合规已经成了企业刑事合规的重要组成部分，对从事数据收集和利用活动的企业来说，企业日常经营管理往往以数据为载体和依托，其经营管理活动是否合法，很大程度表现为企业数据是否合法。此外，对掌握数据优势的行业而言，更容易通过其违法的数据行为来谋取利益，对从事这些行业的企业而言，数据行为是否合规已经成了审查其刑事合规的必要内容。

对此，庞理鹏提出从以下方面着手，应对数据全生命周期中的刑事法律风险：

首先企业要完善制度建设。这既是企业合法合规运营的重要前提，也是企业对自身数据确权和保护的重要基础。紧紧围绕数据安全法、个人信息保护法等法律、行政法规及规章制度要求，结合行业主管部门的指导，形成一套企业保障数据安全的综合运营管理体系，保证企业依法开展各项业务。

二是要加强数据安全机制建设，防范数据泄露。数据安全机制的建设一方面要设置数据安全专业团队，保障数据不受外界环境干扰；另一方面要加强对内部人员接触数据的全流程追踪，防止人为的数据泄露事件发生；此外，要设立数据安全事件的应急处置部门，在数据泄露事件发生后及时发现问题，消除影响。

三是要强化数据法律和刑事法律培训，掌握刑法的处罚边界。企业在日常经营过程中，要加强员工对数据行业法律、法规以及行业主管部门的指导意见的学习和培训，同时对刑事法律风险要有清楚、明确的认识。

四是要及时履行合规整改。在行政机关的督察、责令整改的过程中，要积极沟通、配合，及时发现并解决存在的问题，按照要求进行严格的合规整改。

来源：法治参考