检察机关数据合规评价标准与展开路径*

● 朱铁军 李碧辉*/文

一、问题的提出

上述案例系检察机关自2020年探索涉案企业合规改革以来首个涉及企业违法处理数据情况的应用实例，其对拓展涉案企业合规改革实践具有重要意义，案件办理中的重、难点问题亦值得反思。其一，从定性上看，案例涉及的爬虫技术本身是一种获取海量数据的方式，技术行为中立性与违法性的边界应如何界定判断。其二，从企业风险预防角度看，数据获取行为的合规标准应如何理解，如案例中Z公司的合规整改过程对于企业数据自治有何借鉴价值。其三，从刑事合规程序上看，第三方机制是合规评价的重要一环，检察机关在办理数据合规案件中应如何把握其适用范围与审查标准，同时在数据合规治理体系构建中，检察机关又该如何把握好监督、介入与引导的关系等等，均有必要予以解读、阐释。

二、数据爬虫行为的违法性与合规标准认定

（一）数据爬虫行为的违法性认定

爬虫技术是指按照一定规则自动抓取互联网信息的程序或者脚本。目前我国立法并未明确禁止使用网络爬虫技术获取数据，而主要规制违反《中华人民共和国网络安全法》（以下简称《网络安全法》）等有关信息保护规定或爬虫技术相关协议的爬取行为。实践中，司法机关主要根据行为人获取信息的方式以及数据的性质来对通过爬虫技术窃取数据行为进行认定。案例中Z公司突破平台设置的网络安全措施或者违反协议，通过爬虫程序大量获取非公开数据，对平台用户或者入驻商户展示，构成非法获取计算机信息系统数据罪。

其一，爬虫行为方式的违法性判断。除了故意避开或强行突破数据网站安全措施的爬取方式外，常见的还存在如违反服务协议、爬虫协议或者在网站上公开网站使用声明等爬取行为。有观点认为爬虫协议是一种不具强制约束力的互联网行业规范，违反爬虫协议不宜定性为超越权限的侵入行为。［1］参见杨志琼：《数据时代网络爬虫的刑法规制》，《比较法研究》2020年第4期。笔者认为，爬虫行为的违法性特征在于其破坏了互联网行业秩序，危害数据安全。对于数据方公开反对爬虫行为，并且采取了必要防护措施的，应当视为网站运营者对爬虫行为的严格授权与数据安全的加密保护，违反协议声明的爬取行为具有违法性。案例中Z公司的“外爬”及“内爬”行为，都系未授权的非法访问行为，参照“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第2条对“专门用于侵入、非法控制计算机信息系统的程序、工具”的规定，Z公司这种“避开计算机信息系统安全保护措施，未经授权获取计算机信息系统数据”的行为，应认定为非法获取计算机信息系统数据罪中的“侵入”。

其二，数据价值属性的综合性判断。本案中，E公司对涉案信息的可视化展示限定于平台用户或者入驻商户，并非处于可被公众获取、共享的状态，数据仍具有“非公开性”，Z公司的爬取行为因侵犯数据的私密性而构成犯罪。传统观点认为在不考虑数据的人身属性和知识产权属性时，爬取公开信息不会触犯刑事法律［2］参见梅夏英：《在分享和控制之间 数据保护的私法局限和公共秩序构建》，《中外法学》2019年第4期。，即非法获取计算机信息系统数据罪中的数据不应包括公开信息。然而在司法案例中爬取公开信息入罪的情况并不少见，审判机关以信息公开不等于数据授权为论理，认为在爬取公开信息时绕开了运营方设置的反爬措施仍然成立数据犯罪。笔者认为，数据的隐私程度关系到法益侵害与责任轻重，但不能仅从形式上的公开与否进行判断，还应当根据数据信息的敏感性、价值性程度进行综合考量，对于爬取不具备独立商业利益的公开数据，即使行为人刻意绕开了反爬措施，造成一定损害后果，也不宜轻易认定为刑事犯罪。

其三，多重法益侵害的竞合评价。利用爬虫技术获取数据可能构成计算机信息系统类犯罪，同时基于数据的信息属性，也可能涉及侵犯公民个人信息罪、侵犯著作权罪、侵犯商业秘密罪等。实践中应当严格区分爬虫行为所侵害的数据法益，避免非法获取计算机信息系统数据罪的口袋化，若非法爬取著作权意义上“作品”、商业秘密以及个人身份密切相关信息等，宜以侵犯著作权罪、侵犯商业秘密罪、侵犯公民个人信息罪追究相关人员刑事责任。

（二）数据爬虫行为的合规标准剖析

首先，明确合规的技术行为规范。技术中立并非没有法律边界，企业合规预防要根据数据处理业务与内部管理制度，对某些关涉刑法的不当技术行为进行规范与制约。而规制爬虫技术获取、收集数据应当充分考虑数据的使用规则，比如在数据的隐私安全保护方面，要识别数据是否为公开数据，对于企业的未公开数据需经授权后方可爬取，并在合法爬取数据后说明数据来源；在数据的访问安全保障方面，爬虫行为应遵守爬虫协议或者平台的设置要求，并对数据爬取时间段、爬取数量进行限制，避免妨碍目标网站的正常运行。

其次，构建差异化的预防性标准。不同安全等级的数据使用权限要求以及保护措施不尽相同，不同网络服务环节中的合规风险也存在差异，可进行针对性的制度构建。例如从数据属性分类，对于涉及个人隐私信息、著作权“作品”、商业秘密等敏感数据，应当设置相对严格的抓取限制，在审查发现后及时删除或者脱敏处置，而对于批量式主营业务数据，则应当尽量避免可能涉及不正当竞争的法律风险。再如从服务类型上看，对于涉及数据信息收集、处理的网络平台，其面临更大的数据安全、个人信息安全风险，应当成为重点的预防对象。

最后，建立专业化数据合规体系。结合案例中Z公司的合规整改效果，在数据管理上，需构建常态化合规管理制度，由企业决策层成员组成专门的数据合规管理委员会，结合业务经营范围、相关监管政策等因素，制定数据管理合规计划，开展合规年度报告工作。在数据安全上，一般应当建立数据分级分类保护制度及员工数据安全管理制度，规范技术汇报审批流程，提高云访问权限。在合规文化上，注重数据安全教育与培训，明确数据收集、使用、公开等方面的合规要求，实现在数据保护和数据利用之间的平衡。

三、数据合规案件中第三方机制的适用

（一）第三方机制的适用范围

其一，实质把握适用企业范畴。根据《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》（以下简称《指导意见》）规定，第三方机制适用对象包括各类市场主体，以及企业实际控制人、经营管理人员、关键技术人员等个人。前述案例中，检察机关对包括无职务的工程师等在内的14人都予以不起诉处理，由此涉及对于企业实际控制人等以外的企业普通工作人员能否适用合规激励的问题。由于《指导意见》并未作出严格限定，笔者认为应当结合企业治理结构和生产经营活动相关情况进行实质理解把握。在数据合规领域，对采用扁平化经营模式的互联网平台企业，没有职务的普通员工或者一般技术人员，往往也具有对某项具体业务的决定权，若涉嫌犯罪与企业生产经营活动相关，应当允许适用第三方机制。

其二，适度限缩适用案件范围。《指导意见》中明确规定第三方机制适用于经济犯罪和职务犯罪等案件，该范围是否涵括案例中涉及的非法获取计算机信息系统数据罪等犯罪？经济犯罪一般意指在商品经济的运行领域中，违反国家法律规定，严重侵犯国家管理制度和破坏社会经济秩序的犯罪行为。在数字经济视阈下，商业活动正在大规模地向网络空间转移，并衍生出一种全新的“网络经济犯罪”形态，诸如互联网企业经营过程中实施的危害计算机信息系统安全类犯罪等，与经济活动紧密相关，属于“经济犯罪”规制范畴。企业合规制度设计目的在于维护国家正常经济秩序，这里的经济犯罪有必要进行限缩解释，应当理解为必须与企业的生产经营、市场主体的资格产生直接关联，即排除企业家暴力抗税、销售假药等罪名的适用。此外，对于重罪能否纳入第三方机制的适用范围，《指导意见》虽未明确排除适用，但合规改革应在现有法律框架内进行，对重罪案件应当综合涉案企业犯罪情节以及不起诉条件等因素，充分考量合规考察的必要性后审慎适用。

其三，前置化适用阶段。本案中，检察机关将合规准备工作前移至侦查阶段有其必要性。《指导意见》对第三方机制适用阶段并未作出明确规定，此前实践中企业合规评价适用主要在检察办案环节开展，但一方面在正常羁押状态下，检察机关办案期限难以覆盖合规考察期限，合规考察往往效果不佳；另一方面，由于侦查环节合规介入的缺失，侦查机关不可避免地对涉案企业财物或者涉案企业“关键人员”采取强制性措施，导致涉案企业“积重难返”，这对经营链条脆弱的互联网企业而言影响尤为严重。为此，在案件基本事实已查清的情况下，检察机关在介入侦查环节商公安机关启动合规以及第三方机制准备工作，了解企业合规整改意愿与经营基础，提前引导企业制定出相对完整、有效、针对性强的数据合规整改方案，既能确保顺利开展合规工作，又能减少对企业正常生产经营的影响。

（二）企业数据合规整改的有效性考量

企业合规的生命在于行之有效，合规计划充分有效的评价与落实是刑事合规激励制度能否实现其预期目标的关键因素。［3］参见陈瑞华：《企业合规基本理论》，法律出版社2020年版，第102页。为此，根据企业实际需要制定专项性合规计划是数据合规的应有之意，数据专项合规计划应当有所侧重、有效落地。

在第三方组织组建方面，由于企业有效合规的考察结论可能作为司法办案中的出罪事由，数据合规考察应当具备高度的公正性和专业性，需要业务精湛的行业专家、行政执法人员等参与其中，方能保证合规监管制度的顺利实施。根据《指导意见》，专业人员名录库应当分类组建。出于回应数据合规扩张的法治需求，有必要以数据或者互联网为类别组建专门的名录分库，保障数据合规考察有效性与效率价值的最大化。本案中，第三方机制管委会专设涉互联网专业人员名录库，最终抽取了互联网行业管理部门、行业龙头企业和专业协会人员组成第三方组织，为确保合规计划评估考察的有效性奠定了组织基础。

在合规计划评估标准设定方面，需要考虑企业规模、企业领域、发展阶段等基本因素，综合考量合规的整体性架构以及个别化措施。本案中，涉案企业提交的合规计划主要围绕数据来源与数据安全管理构建有效的合规管理规范与组织体系。一般而言，若合规计划有效性的评价标准过于宽松，可能导致放纵犯罪，而过于严格的评价标准，则会加重企业的负担，所以合规计划评价标准应当遵循比例性原则，平衡惩处措施与企业可持续性发展的关系。［4］参见李本灿：《刑事合规的制度边界》，《法学论坛》2020年第4期。具体到数据合规标准，可以从评价指标与参考因素两个层面进行设计：评价指标上，可以将《网络安全法》等法律法规作为设定标尺，综合企业管理模式以及常发网络犯罪风险，引入互联网相关监管部门、行业协会发布的监管标准、自治规范等；参考因素上，不同规模企业合规的评价标准应有所区别，可根据企业涉案类型、业务规模、薄弱问题等因素调节指标权重，有针对性地调整风险识别、内部调查、合规责任履行等方面的比重。

在合规整改审查监督方面，一是审查合规计划内容及其执行情况，比如企业是否建立全岗位数据安全管理与等级保护制度、是否合理配置数据合规管理机构人员、是否建立合规风险预警和应对机制、是否严格执行违规调查处理机制以及建立合规文化培养体系等。二是设定具体义务，明确涉案单位及相关人员在考验期内应遵守的规定，比如积极配合司法机关调查和追诉、如实全面披露涉及刑事合规事项的信息、定期汇报企业合规情况和刑事合规风险的排除措施等。三是严格落实评估报告机制，由涉案企业提交整改报告、第三方组织出具合规考察报告后，经检察机关通过公开听证等方式审查，最终评估结果才能作为案件处理的参考。如本案中，检察机关无论是事前现场评估还是事后公开评议审查，目的皆在于确保企业合规整改有效落实。

四、检察机关推进数据合规治理的优化路径

（一）事前防治：构建立体化数据合规风险防控体系

第一，加强数据行业的规范化建设。检察机关要与工商联、行政监管部门、互联网协会等加强协作，针对互联网企业合规风险点进行防范引导，比如编制数字行业合规清单等。第二，提升数据行业、企业自治能力。检察机关可以推动互联网企业签署自治协议、共识框架，达成数据合规协作共识，同时有针对性地建立黑名单制度、重点企业联络人制度、典型案例宣讲制度等，提升企业自我管理能力。第三，强化检企联合防控。一方面，检察机关通过检力下沉、大调研等方式，深入案件易发、多发互联网企业和区域，及早发现并预防企业经营的潜在刑事风险。另一方面，企业在发现其内部员工犯罪案件后第一时间通报，最大程度减少对企业生产经营影响。

（二）事中矫治：提升数据合规检察办案质效

第一，健全数据犯罪线索发现机制。检察机关可以依托侦查监督与协作配合办公室，将数据犯罪案件合规可能性的初筛作为派驻检察官的重要履职内容，对于满足合规条件的及时启动协调和介入程序，为企业合规的启动收集证据材料，提升办案效率。同时依托信息化共享平台，将企业合规纳入大数据协同办案，实现对合规案件的专案专办与实时监督。第二，审慎适用诉前强制措施。对犯罪嫌疑人系互联网企业主要负责人员或关键“骨干”人员等，检察机关要严格审查是否符合法律规定的逮捕条件，必要时可以探索建立先行取保候审制度。同时强化侦查活动监督，及时纠正查封、扣押、冻结财物不当等加重企业负担、加剧企业生产经营困难的行为。第三，强化合规考察的审查把关。一方面，检察机关要借助专业的第三方组织，以量化的形式对企业合规建设状况作出全面、系统的客观评估，督促涉案企业围绕数据合规计划整改落实，避免出现“纸面合规”。另一方面，检察机关也要秉持惩治与挽救并重理念，通过公开听证、现场评审会等方式，主动听取第三方组织与涉案企业意见，促进当事双方和解或者达成数据交互协议，提升涉案企业合规案件办理质效。

（三）事后共治：健全企业合规行刑衔接的保障机制

第一，建立定期跟踪回访机制。对于整改后的涉案企业作出不起诉决定的，检察机关仍应进行一定时间的跟踪监督，以督促确保数据合规制度在企业的常态化运作。第二，畅通“两法衔接”渠道，推动“合规互认”机制的实施［5］参见陈瑞华：《企业合规不起诉改革的动向和挑战》，中国知网https://kns.cnki.net/kcms/detail/detail.aspx?dbcode=CAP J&dbname=CAPJLAST&filename=ZFKL20221026003&uniplatform=NZKPT&v=AQL3bkbibT55adNQbIhSevu_73nJCGTF yiAGKsj1uToxlitzqJUdy1L5bKuzK-Jd，最后访问日期：2022年11月1日。，将合规考察结果作为对企业进行政策激励以及行政、刑事处罚从宽的依据。