刑事合规视域下企业数据全生命周期安全管理研究.docx

刑事合规视域下企业数据全生命周期安全管理研究摘要：企业数据安全管理是指对数据处理活动负安全主体责任的企业采取的对各类数据实行分级防护，确保数据持续处于有效保护和合法利用的状态的数据全生命周期管理活动。当前，数据已成为数字经济时代最为活跃的新型生产要素，处于全球化与数字化时代的我国企业面临数据采集风险、数据存储风险与数据利用风险等多重风险。应采取合理措施应对企业数据安全风险问题：首先，应建立企业数据全生命周期安全管理流程，完善数据采集管理、数据储存管理与数据利用管理制度；其次，应构建企业数据全生命周期安全管理刑事合规制度，包括以法秩序统一性原理指导企业数据安全刑事合规管理，以“事前预防”型合规嵌入企业数据安全刑事合规管理等。关键词：刑事合规；数据安全风险；法秩序统一性原理；企业数据安全管理企业数据安全管理是国家实施大数据战略，推进数据基础设施建设中的重要一环，是发展新质生产力的重要支撑1,关乎国家安全、社会稳定与经济发展，通过企业刑事合规建设保护企业数据安全既有必要性也有紧迫性。在2020年国务院首次公布的关于要素市场化配置的文件关于构建更加完善的要素市场化配置体制机制的意见中，数据被列为继土地、劳动力、资本、技术之后的“第五大生产要素”2O2021年“十四五”大数据产业发展规划指出，“十三五”时期，我国大数据企业规模年均复合增长率超过30%,逾1万亿元，到2025年，大数据企业测算规模突破3万亿元，年均复合增长率保持在25<左右3o面对如此庞大的大数据市场，众多大数据行业企业如雨后春笋般拔地而起，疯狂进行“数据开荒”和“数据夺取”。但是任何领域的可持续发展，都离不开法律制度的规范和制约。企业在数据管理过程中稍有不慎即有可能走入刑事犯罪的歧途，一旦触及刑事犯罪，相关责任人、主要负责人甚至实际控制人都会陷入刑事犯罪风险，这对于企业来说无疑是致命性打击。而企业通过刑事合规制度建设可以完善企业内部自我管理，以事前预防规避企业刑事风险。鉴于此，本文拟通过厘清刑事合规与企业数据安全管理的基本概念、关系，分析刑事合规视域下企业数据安全管理的风险，探讨刑事合规视域下企业数据安全管理的应对策略，以期能为企业数据安全管理保驾护航，为新质生产力的高质量发展提质增效，不断形成推动经济社会发展的新动能。一、刑事合规与企业数据安全管理之理论厘清在数字化与智能化时代背景下，刑事合规视域下企业数据全生命周期安全管理是当今企业管理的重要方面之一。企业刑事合规涉及确保企业在其数据业务活动中遵守相关的法律法规，防止企业或其员工因违法行为而面临刑事责任。而数据全生命周期安全管理可保护企业数据资产不受威胁，确保数据的机密性、完整性与可用性。这两者虽然在实践中密切相关，但在理论基础上各有侧重。为此，有必要通过深入理解和系统分析相关基本概念，厘清二者之间的关系。1.刑事合规企业刑事合规是企业合规的重要内容。企业在治理中面临的合规风险主要分为两大类：一是企业因违法违规行为而受到监管部门行政处罚的风险；二是企业因犯罪受到起诉而被定罪量刑的风险。企业刑事合规的重要目的之一是防范企业的刑事风险的发生，从而减少企业损失。但是，当前学界无论是在理论层面还是在实践层面对于企业刑事合规的界定尚未形成统一的概念。陈瑞华4认为，企业刑事合规是指企业为有效防范、识别、应对可能发生的刑事风险所建立的一整套公司治理体系。李本灿5认为，刑事合规是旨在推动企业自我管理的刑事法制度工具。孙国祥6认为，刑事合规是指为规避企业的刑事责任，企业内部通过实施一系列符合国家规定的措施，推动企业识别、评估和预防自身的刑事风险的一种管理活动。张远煌7认为，刑事合规作为企业预防、发现犯罪的内控机制，是指为消除、抑制企业内生性犯罪而采取的一系列合规计划以及相应的活动。由此可见，实践中各个学者关于刑事合规的概念尚未形成一致意见。刑事合规是一个较为复杂的问题，既要从犯罪预防的高度来认识刑事合规，通过刑事合规为我国的犯罪预防政策找到途径、建构制度，又要把刑事合规和国家治理体系与治理能力结合起来。有鉴于此，本文认为刑事合规是指企业为预防犯罪的发生所采取的各种内控机制与管理活动。2 .企业数据安全管理在数字经济快速发展的时代，数据安全事关国家安全与发展。我国数据安全法第三条第三款规定：“数据安全是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”因此，企业数据安全管理是指对数据处理活动负安全主体责任的企业采取的对各类数据实行分级防护，确保数据持续处于有效保护和合法利用的状态的数据全生命周期管理活动。3 .企业数据安全刑事合规管理企业数据安全刑事合规管理是企业刑事合规管理的重要方面。当前，数据已成为数字经济时代最为活跃的新型生产要素，处于全球化与数字化时代的我国企业，不仅应注重经营风险，而且应关注由数据管理违规而产生的刑事风险，因此企业数据安全刑事合规管理势在必行。企业数据安全刑事合规作为企业避免因刑事制裁而产生负外部效应的新兴治理机制，对于防控数据合规风险具有重要价值8o因此，本文认为企业数据安全刑事合规管理是指负有数据安全管理义务的企业采取全方位措施维护数据安全，减少刑事风险的数据全生命周期治理活动。4 .企业数据安全法益保护企业数据安全法益是指刑法所保护的为犯罪行为所侵犯的企业数据权益。在当前社会由信息时代向数字与智能化时代转型的过程中，刑法对数据权益的保障应由系统安全转向数据安全9。维护企业数据安全是保护企业关键信息、防止数据泄露、滥用或丢失的重要手段，因此，通过刑法保护企业数据安全既有必要性也有紧迫性。刑法应当在网络安全法数据安全法等前置法的基础上，构建刑法对企业数据安全法益的保障体系。而刑事合规与企业数据安全管理之间有着密切的联系，这两者共同构成了企业防范数据安全风险的重要基础10。因而此种刑法保障体系应当是建立于企业刑事合规管理条件下的数据安全保障体系，既应包含数据管理安全，也应包含数据利用安全。二、刑事合规视域下企业数据全生命周期安全管理之风险分析企业在数据全生命周期管理过程中面临多重风险。企业数据在其被创建至销毁的生命周期中，可能经由提取、导入、导出、迁移、验证、编辑、更新、清洗、转型、转换、整合、隔离、汇总、引用、评审、报告、分析、挖掘、备份、恢复、归档和检索,最终被删除。基于大数据环境下数据在企业业务中的流转情况，数据全生命周期可划分为六个阶段，分别为数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁。但是特定的数据所经历的生命周期由实际的业务场景决定，并非所有的数据都会完整地经历这六个阶段11O因此我们按照数据的全生命周期，又将企业数据分为上、中、下游三个层次，把六个生命周期的阶段归纳为数据获取、数据存储、数据利用三个环节，分别对应于企业数据安全刑事合规管理息息相关的三种风险，即数据采集风险、数据存储风险和数据利用风险。1 .数据采集风险企业在数据管理过程中可能因违规而面临数据采集风险。企业数据安全刑事合规管理中的数据采集风险是指企业为了自身发展通过自行收集、委托第三方收集以及通过大数据交易市场获得数据12时可能面临的刑事风险。无论是专门从事大数据获取业务的企业，还是企业内部数据支撑部门，获取数据的手段和所得数据的性质，均对收集数据行为的合法性认定至关重要，最为典型的例证就是侵犯公民个人信息的行为。因此，“侵犯公民个人信息罪”是数据采集环节刑事风险最高的罪名之一。关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释第四条规定，“违反国家有关规定在履行职责、提供服务过程中收集公民个人信息的”构成侵犯公民个人信息罪，因此不仅企业有可能因违反个人信息保护法等规定违法收集公民个人信息而触犯刑法13,企业员工也可能因履职过程中的违法行为牵涉到企业的利益，导致企业无法正常经营。2 .数据存储风险企业在数据管理过程中可能因违规而面临数据存储风险。企业数据安全刑事合规管理中的数据存储风险是指企业在非动态数据以任何数字格式进行物理存储的阶段14可能面临的刑事风险。例如，在生成式人工智能发展过程中，新型人工智能企业在数据存储过程中面临的数据泄露风险。以ChatGPT为例，OpenAI官方在2023年3月24日发布声明称，有1.2$的ChatGPTPIUS的用户数据存在泄露风险，其中包含姓名、聊天记录片段、电子邮箱和付款地址等信息15。面对未来生成式人工智能发展的不确定性问题，企业在数据管理过程中的数据存储风险也会呈上升趋势。3 .数据利用风险企业在数据管理过程中可能因违规而面临数据利用风险。企业数据安全刑事合规管理中的数据利用风险是指企业在数据被经过处理、分析后投入到终端用户，服务于生产和经营过程中可能面临的刑事风险。例如，2019年，具有六家上市公司股东的“考拉征信”被江苏省淮安市公安局立案调查，相关负责人被依法拘留配合调查。在该案中，考拉征信公司非法缓存征信系统公民个人身份信息并予以出售，已经涉嫌侵犯公民个人信息罪，同时下游公司购买、再出售的行为同样涉嫌相关犯罪16o三、刑事合规视域下企业数据全生命周期安全管理之对策企业数据安全刑事合规管理作为应对因刑事制裁而产生重大外部负面效应的新型风险防范机制，对于企业防控数据管理过程中的安全风险具有重要价值。数据企业因管理大量数据，无论是在何种数据阶段、流程，都可能面临数据安全风险，一种是外部因素，遭遇网络攻击、网络爬虫等；一种是内部因素，员工故意或者过失导致数据泄露等。数据企业应当建立有效的应对措施，防止发生刑事法律风险，保障企业数据全生命周期的管理安全。1 .建立企业数据全生命周期安全管理流程企业数据全生命周期安全管理是指在企业数据自创建至销毁的生命周期中，企业采取全方位措施对数据采集、传输、存储、处理、交换、销毁的全过程进行保障和优化的管理活动。企业数据全生命周期式安全管理流程主要包括以下三个方面。其一，数据采集管理。数据采集活动是企业数据的源泉，完善的数据采集管理是企业数据安全管理的重要方面。在数据采集过程中，企业获取数据的手段及其所得数据的性质，对收集数据行为的合法性认定至关重要，因此企业在收集、使用信息过程中，应当遵循合法、正当、必要的原则，公开收集、使用信息的规则,明示收集、使用信息的目的、方式和范围，并经被收集者同意。首先，在采集数据前，企业应了解并遵循相关法律法规的规定。一方面，在开始数据采集之前，企业必须熟悉并遵守所有适用的数据保护法律，如欧盟的通用数据保护条例、我国的个人信息保护法数据安全法等；另一方面，在采集个人数据前,应获得数据主体权利人的明确同意，同时确保此种同意具有自愿性、明确性和可撤回性。其次，在数据采集过程中，企业应坚持透明度、目的限定和必要性原则。一方面，数据采集者应当向数据主体清晰地解释数据采集的目的、使用方式和存储期限等，并使用易于理解的语言编写隐私政策和同意书，同时，应确保数据的采集和使用仅限于事先明确的、合法的目的17,不得滥用或用于非预期的目的。另一方面，在数据采集过程中，数据采集者应做到只采集完成预定目的所必需的最少量数据，避免“过度采集”个人数据；只有当员工或第三方因工作需要而必须接触数据时，才应该授予其访问权限，并实行严格的访问控制和监督制度；在不影响使用目的的情况下，尽可能对数据进行去标识化处理，以减少对个人隐私的影响。再次，在完成数据采集后，企业应进行内部或外部审计，检查数据采集活动是否符合法律法规与公司的政策规定。基于市计过程中发现的问题，企业应调整和改进数据采集管理策略和流程，确保其随着法律法规和技术的发展而不断更新。其二，数据存储管理。数据存储活动的目的是保障数据的完整性与安全性，同时提高数据的使用效率和便利性，完善的数据存储管理是企业数据安全管理的重要支撑，可为企业数据的有效利用提供安全基础。为此，企业数据存储管理部门应制定分级