数据合规治理需要全链条推进
企业合规改革试点集末端处理与前端治理于一体,首例数据合规不起诉案例从侧面反映出检察机关个案治理向行业合规治理的延伸,针对数字化转型背景下衍生出的数据侵权、网络犯罪问题,检察机关在依法打击网络黑灰产业链的同时,积极发挥督促涉案企业依法合规经营的作用,推动促进互联网行业建立数据合规经营体系,已然成为检察机关深化网络空间法治化治理、服务保障数字经济高质量发展的最优举措。
中央全面深化改革委员会第二十六次会议强调指出,数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各个环节,深刻改变着生产方式、生活方式和社会治理方式。随着数据安全相关立法的相继出台,数据治理被广泛推进。通过数据合规助力提升数字行业的规范水平,是检察机关深化涉案企业合规改革、助推社会治理现代化的重要创新举措。2022年7月,最高检发布第三批涉案企业合规典型案例,涵括互联网企业数据合规等专项合规主题。案例中,检察机关针对互联网企业开展数据合规,依法适用涉案企业合规第三方机制作出合规不起诉,督促涉案企业依法依规经营,开展“数据来源合法化、系统运行安全化”升级改造。同时,由点及面、多措并举推动行业治理,助力构建健康清朗的网络生态环境,受到社会各界的高度肯定与广泛关注。这也是检察机关自2020年探索涉案企业合规制度以来,首个涉及企业违法处理数据情况的应用实例,对于司法实践开展数据合规治理有重要的参考价值。
事前防治:构建立体化数据合规风险防控机制
在参与企业数据合规治理过程中,检察机关要注重检察职能由事后监督向事前积极预防转变,发挥公共利益“保护人”的角色作用,推动企业预防刑事风险、营造合规文化。第一,注重数据行业的规范建设。结合互联网企业合规风险点、企业易受侵害风险点等,联合相关行政部门、公安机关、法院等,对网络空间治理领域的新情况、新问题以及司法实践中的共性问题开展专题研究,不断推动细化完善数据行业规范,通过发布检察白皮书、互联网企业刑事法律风险防控提示等,提升维护数字安全的影响力。第二,注重数据行业的自治协议。可以借鉴数据合规案例中的做法,推动互联网企业签署落实“数据企业合规共识框架”,共建互联网企业合规协作体系。检察机关可以与工商联、行业自治组织、互联网企业定期沟通,了解企业的最新发展动态,回应法治需求。第三,注重督促企业强化自我管理。检察机关要综合运用案件办理、检察建议、法治宣传等方式,深入企业园区引导互联网企业树立数据合规意识,提示企业健全和完善制度,增强内部风控和监督问责,堵塞监管漏洞;建立“黑名单”制度,协调构建互联网行业违法犯罪从业人员信息检索数据库,向辖区企业定期通报相关“黑名单”人员,为企业用工提供参考和引导,从源头防止数据违法犯罪的发生。
事中矫治:健全涉案企业数据合规全流程办案机制
检察机关在刑事诉讼中具有承前启后的法律监督职能,在办理涉案企业数据合规案件中,应秉持宽严相济与少捕慎诉慎押的政策精神,注重刑事合规激励作用与平等保护原则,防止“案件办了,企业垮了”。第一,强化数据犯罪规律调查,将合规准备工作前移。对于常见的企业数据犯罪案件可能存在合规条件的,检察机关可以主动介入侦查,一方面引导公安机关收集固定证据、把准案件事实定性;另一方面,及时引导公安机关办案人员了解涉案企业合规整改意愿与经营基础,收集数据合规信息与材料,为开展企业合规整改奠定基础。第二,对与企业经营密切相关的数据犯罪,审慎适用刑事强制措施,以降低对企业生产经营的影响。对于涉案互联网企业主要负责人员或关键“骨干”人员等,采取逮捕措施可能严重影响企业正常经营的,检察机关应当严格审查,遵循“可捕可不捕的不捕”;确有逮捕必要的,落实备案与通报制度,协助企业做好生产经营衔接工作,并积极开展羁押必要性审查。对于涉案互联网企业财产,正在用于产品研发、科技创新的设备和技术资料等,一般不使用强制性财产措施;确需查封、扣押、冻结的,也应当预留必要的流动资金和往来账户。第三,优化合规考察监督机制,督促涉案企业构建有效数据合规整改体系。检察机关要依托第三方组织的专业优势,针对数据合规漏洞开展“因罪施救”,在合规考察过程中,主动听取涉案企业数据合规整改落实情况和第三方组织意见,及时掌握、调查、督促合规计划落实进度,推动涉案企业在认罪认罚基础上实现与被害方的和解,通过公开听证、不起诉等方式,保证刑事诉讼各方的救济权利,提升数据合规案件办理质效。
事后共治:建立企业数据合规行刑衔接配套机制
企业数据合规整改不仅要达到预防犯罪的目标,还要督促企业建立一种依法依规经营的管理制度和企业文化。数据合规案件不起诉处理后的监督延伸环节,关乎单位犯罪治理的成效,检察机关仍然有必要建立配套机制以保障数据合规的工作成效。第一,建立后续跟踪监督机制。检察机关在作出不起诉决定后,一般应当确定较长时间的“跟踪回访期限”,定期通过座谈、走访等方式对企业进行回访,对发现存在刑事合规风险和管理漏洞的,督促其及时整改,消除违法犯罪隐患。同时,设立相应的救济机制,保障被不起诉人、被害人等相应的权利。第二,优化行刑衔接机制。在涉案企业数据合规考察后,减免刑事责任并不意味着行政责任也不需要追究,检察机关应当推动“合规互认”机制的实施,在作出不起诉决定之后,将不起诉决定书副本与涉案企业开展合规整改的情况和效果移送相关行政机关,由行政机关据此作出相应的行政处罚,并提出检察意见督促行政机关加强持续性监管。此外,对于行政机关建议启动数据合规考察的,检察机关也应积极主动审查,实现企业合规行刑衔接的“双向性”。第三,拓宽多方协作平台。聚焦司法办案反映的数据合规重点难点问题,检察机关应强化与执法司法机关、监管部门、行业协会等的沟通,建立日常协作机制,定期举行联席会议相互通报工作情况,通过编制行业合规清单、明确合规分级评定标准、优化合规法治服务等举措,共同推动形成全面、完善、充分、适当的企业数据合规体系。
“诉源治理是检察机关依法能动履职最突出的体现。”涉案企业合规改革试点集末端处理与前端治理于一体,首例数据合规不起诉案例从侧面反映出检察机关个案治理向行业合规治理的延伸,针对数字化转型背景下衍生出的数据侵权、网络犯罪问题,检察机关在依法打击网络黑灰产业链的同时,积极发挥督促企业依法合规经营的作用,推动促进互联网行业建立数据合规经营体系,已然成为检察机关深化网络空间法治化治理、服务保障数字经济高质量发展的最优举措。
作者:朱铁军 李碧辉(作者单位:上海市普陀区人民检察院)
来源:检察日报