檢察機關數據合規評價標準與展開路徑*

● 朱鐵軍 李碧輝*/文

一、問題的提出

上述案例系檢察機關自2020年探索涉案企業合規改革以來首個涉及企業違法處理數據情況的應用實例，其對拓展涉案企業合規改革實踐具有重要意義，案件辦理中的重、難點問題亦值得反思。其一，從定性上看，案例涉及的爬蟲技術本身是一種獲取海量數據的方式，技術行為中立性與違法性的邊界應如何界定判斷。其二，從企業風險預防角度看，數據獲取行為的合規標準應如何理解，如案例中Z公司的合規整改過程對于企業數據自治有何借鑒價值。其三，從刑事合規程序上看，第三方機制是合規評價的重要一環，檢察機關在辦理數據合規案件中應如何把握其適用范圍與審查標準，同時在數據合規治理體系構建中，檢察機關又該如何把握好監督、介入與引導的關系等等，均有必要予以解讀、闡釋。

二、數據爬蟲行為的違法性與合規標準認定

（一）數據爬蟲行為的違法性認定

爬蟲技術是指按照一定規則自動抓取互聯網信息的程序或者腳本。目前我國立法并未明確禁止使用網絡爬蟲技術獲取數據，而主要規制違反《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）等有關信息保護規定或爬蟲技術相關協議的爬取行為。實踐中，司法機關主要根據行為人獲取信息的方式以及數據的性質來對通過爬蟲技術竊取數據行為進行認定。案例中Z公司突破平臺設置的網絡安全措施或者違反協議，通過爬蟲程序大量獲取非公開數據，對平臺用戶或者入駐商戶展示，構成非法獲取計算機信息系統數據罪。

其一，爬蟲行為方式的違法性判斷。除了故意避開或強行突破數據網站安全措施的爬取方式外，常見的還存在如違反服務協議、爬蟲協議或者在網站上公開網站使用聲明等爬取行為。有觀點認為爬蟲協議是一種不具強制約束力的互聯網行業規范，違反爬蟲協議不宜定性為超越權限的侵入行為。［1］參見楊志瓊：《數據時代網絡爬蟲的刑法規制》，《比較法研究》2020年第4期。筆者認為，爬蟲行為的違法性特征在于其破壞了互聯網行業秩序，危害數據安全。對于數據方公開反對爬蟲行為，并且采取了必要防護措施的，應當視為網站運營者對爬蟲行為的嚴格授權與數據安全的加密保護，違反協議聲明的爬取行為具有違法性。案例中Z公司的“外爬”及“內爬”行為，都系未授權的非法訪問行為，參照“兩高”《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第2條對“專門用于侵入、非法控制計算機信息系統的程序、工具”的規定，Z公司這種“避開計算機信息系統安全保護措施，未經授權獲取計算機信息系統數據”的行為，應認定為非法獲取計算機信息系統數據罪中的“侵入”。

其二，數據價值屬性的綜合性判斷。本案中，E公司對涉案信息的可視化展示限定于平臺用戶或者入駐商戶，并非處于可被公眾獲取、共享的狀態，數據仍具有“非公開性”，Z公司的爬取行為因侵犯數據的私密性而構成犯罪。傳統觀點認為在不考慮數據的人身屬性和知識產權屬性時，爬取公開信息不會觸犯刑事法律［2］參見梅夏英：《在分享和控制之間 數據保護的私法局限和公共秩序構建》，《中外法學》2019年第4期。，即非法獲取計算機信息系統數據罪中的數據不應包括公開信息。然而在司法案例中爬取公開信息入罪的情況并不少見，審判機關以信息公開不等于數據授權為論理，認為在爬取公開信息時繞開了運營方設置的反爬措施仍然成立數據犯罪。筆者認為，數據的隱私程度關系到法益侵害與責任輕重，但不能僅從形式上的公開與否進行判斷，還應當根據數據信息的敏感性、價值性程度進行綜合考量，對于爬取不具備獨立商業利益的公開數據，即使行為人刻意繞開了反爬措施，造成一定損害后果，也不宜輕易認定為刑事犯罪。

其三，多重法益侵害的競合評價。利用爬蟲技術獲取數據可能構成計算機信息系統類犯罪，同時基于數據的信息屬性，也可能涉及侵犯公民個人信息罪、侵犯著作權罪、侵犯商業秘密罪等。實踐中應當嚴格區分爬蟲行為所侵害的數據法益，避免非法獲取計算機信息系統數據罪的口袋化，若非法爬取著作權意義上“作品”、商業秘密以及個人身份密切相關信息等，宜以侵犯著作權罪、侵犯商業秘密罪、侵犯公民個人信息罪追究相關人員刑事責任。

（二）數據爬蟲行為的合規標準剖析

首先，明確合規的技術行為規范。技術中立并非沒有法律邊界，企業合規預防要根據數據處理業務與內部管理制度，對某些關涉刑法的不當技術行為進行規范與制約。而規制爬蟲技術獲取、收集數據應當充分考慮數據的使用規則，比如在數據的隱私安全保護方面，要識別數據是否為公開數據，對于企業的未公開數據需經授權后方可爬取，并在合法爬取數據后說明數據來源；在數據的訪問安全保障方面，爬蟲行為應遵守爬蟲協議或者平臺的設置要求，并對數據爬取時間段、爬取數量進行限制，避免妨礙目標網站的正常運行。

其次，構建差異化的預防性標準。不同安全等級的數據使用權限要求以及保護措施不盡相同，不同網絡服務環節中的合規風險也存在差異，可進行針對性的制度構建。例如從數據屬性分類，對于涉及個人隱私信息、著作權“作品”、商業秘密等敏感數據，應當設置相對嚴格的抓取限制，在審查發現后及時刪除或者脫敏處置，而對于批量式主營業務數據，則應當盡量避免可能涉及不正當競爭的法律風險。再如從服務類型上看，對于涉及數據信息收集、處理的網絡平臺，其面臨更大的數據安全、個人信息安全風險，應當成為重點的預防對象。

最后，建立專業化數據合規體系。結合案例中Z公司的合規整改效果，在數據管理上，需構建常態化合規管理制度，由企業決策層成員組成專門的數據合規管理委員會，結合業務經營范圍、相關監管政策等因素，制定數據管理合規計劃，開展合規年度報告工作。在數據安全上，一般應當建立數據分級分類保護制度及員工數據安全管理制度，規范技術匯報審批流程，提高云訪問權限。在合規文化上，注重數據安全教育與培訓，明確數據收集、使用、公開等方面的合規要求，實現在數據保護和數據利用之間的平衡。

三、數據合規案件中第三方機制的適用

（一）第三方機制的適用范圍

其一，實質把握適用企業范疇。根據《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》（以下簡稱《指導意見》）規定，第三方機制適用對象包括各類市場主體，以及企業實際控制人、經營管理人員、關鍵技術人員等個人。前述案例中，檢察機關對包括無職務的工程師等在內的14人都予以不起訴處理，由此涉及對于企業實際控制人等以外的企業普通工作人員能否適用合規激勵的問題。由于《指導意見》并未作出嚴格限定，筆者認為應當結合企業治理結構和生產經營活動相關情況進行實質理解把握。在數據合規領域，對采用扁平化經營模式的互聯網平臺企業，沒有職務的普通員工或者一般技術人員，往往也具有對某項具體業務的決定權，若涉嫌犯罪與企業生產經營活動相關，應當允許適用第三方機制。

其二，適度限縮適用案件范圍?！吨笇б庖姟分忻鞔_規定第三方機制適用于經濟犯罪和職務犯罪等案件，該范圍是否涵括案例中涉及的非法獲取計算機信息系統數據罪等犯罪？經濟犯罪一般意指在商品經濟的運行領域中，違反國家法律規定，嚴重侵犯國家管理制度和破壞社會經濟秩序的犯罪行為。在數字經濟視閾下，商業活動正在大規模地向網絡空間轉移，并衍生出一種全新的“網絡經濟犯罪”形態，諸如互聯網企業經營過程中實施的危害計算機信息系統安全類犯罪等，與經濟活動緊密相關，屬于“經濟犯罪”規制范疇。企業合規制度設計目的在于維護國家正常經濟秩序，這里的經濟犯罪有必要進行限縮解釋，應當理解為必須與企業的生產經營、市場主體的資格產生直接關聯，即排除企業家暴力抗稅、銷售假藥等罪名的適用。此外，對于重罪能否納入第三方機制的適用范圍，《指導意見》雖未明確排除適用，但合規改革應在現有法律框架內進行，對重罪案件應當綜合涉案企業犯罪情節以及不起訴條件等因素，充分考量合規考察的必要性后審慎適用。

其三，前置化適用階段。本案中，檢察機關將合規準備工作前移至偵查階段有其必要性?！吨笇б庖姟穼Φ谌綑C制適用階段并未作出明確規定，此前實踐中企業合規評價適用主要在檢察辦案環節開展，但一方面在正常羈押狀態下，檢察機關辦案期限難以覆蓋合規考察期限，合規考察往往效果不佳；另一方面，由于偵查環節合規介入的缺失，偵查機關不可避免地對涉案企業財物或者涉案企業“關鍵人員”采取強制性措施，導致涉案企業“積重難返”，這對經營鏈條脆弱的互聯網企業而言影響尤為嚴重。為此，在案件基本事實已查清的情況下，檢察機關在介入偵查環節商公安機關啟動合規以及第三方機制準備工作，了解企業合規整改意愿與經營基礎，提前引導企業制定出相對完整、有效、針對性強的數據合規整改方案，既能確保順利開展合規工作，又能減少對企業正常生產經營的影響。

（二）企業數據合規整改的有效性考量

企業合規的生命在于行之有效，合規計劃充分有效的評價與落實是刑事合規激勵制度能否實現其預期目標的關鍵因素。［3］參見陳瑞華：《企業合規基本理論》，法律出版社2020年版，第102頁。為此，根據企業實際需要制定專項性合規計劃是數據合規的應有之意，數據專項合規計劃應當有所側重、有效落地。

在第三方組織組建方面，由于企業有效合規的考察結論可能作為司法辦案中的出罪事由，數據合規考察應當具備高度的公正性和專業性，需要業務精湛的行業專家、行政執法人員等參與其中，方能保證合規監管制度的順利實施。根據《指導意見》，專業人員名錄庫應當分類組建。出于回應數據合規擴張的法治需求，有必要以數據或者互聯網為類別組建專門的名錄分庫，保障數據合規考察有效性與效率價值的最大化。本案中，第三方機制管委會專設涉互聯網專業人員名錄庫，最終抽取了互聯網行業管理部門、行業龍頭企業和專業協會人員組成第三方組織，為確保合規計劃評估考察的有效性奠定了組織基礎。

在合規計劃評估標準設定方面，需要考慮企業規模、企業領域、發展階段等基本因素，綜合考量合規的整體性架構以及個別化措施。本案中，涉案企業提交的合規計劃主要圍繞數據來源與數據安全管理構建有效的合規管理規范與組織體系。一般而言，若合規計劃有效性的評價標準過于寬松，可能導致放縱犯罪，而過于嚴格的評價標準，則會加重企業的負擔，所以合規計劃評價標準應當遵循比例性原則，平衡懲處措施與企業可持續性發展的關系。［4］參見李本燦：《刑事合規的制度邊界》，《法學論壇》2020年第4期。具體到數據合規標準，可以從評價指標與參考因素兩個層面進行設計：評價指標上，可以將《網絡安全法》等法律法規作為設定標尺，綜合企業管理模式以及常發網絡犯罪風險，引入互聯網相關監管部門、行業協會發布的監管標準、自治規范等；參考因素上，不同規模企業合規的評價標準應有所區別，可根據企業涉案類型、業務規模、薄弱問題等因素調節指標權重，有針對性地調整風險識別、內部調查、合規責任履行等方面的比重。

在合規整改審查監督方面，一是審查合規計劃內容及其執行情況，比如企業是否建立全崗位數據安全管理與等級保護制度、是否合理配置數據合規管理機構人員、是否建立合規風險預警和應對機制、是否嚴格執行違規調查處理機制以及建立合規文化培養體系等。二是設定具體義務，明確涉案單位及相關人員在考驗期內應遵守的規定，比如積極配合司法機關調查和追訴、如實全面披露涉及刑事合規事項的信息、定期匯報企業合規情況和刑事合規風險的排除措施等。三是嚴格落實評估報告機制，由涉案企業提交整改報告、第三方組織出具合規考察報告后，經檢察機關通過公開聽證等方式審查，最終評估結果才能作為案件處理的參考。如本案中，檢察機關無論是事前現場評估還是事后公開評議審查，目的皆在于確保企業合規整改有效落實。

四、檢察機關推進數據合規治理的優化路徑

（一）事前防治：構建立體化數據合規風險防控體系

第一，加強數據行業的規范化建設。檢察機關要與工商聯、行政監管部門、互聯網協會等加強協作，針對互聯網企業合規風險點進行防范引導，比如編制數字行業合規清單等。第二，提升數據行業、企業自治能力。檢察機關可以推動互聯網企業簽署自治協議、共識框架，達成數據合規協作共識，同時有針對性地建立黑名單制度、重點企業聯絡人制度、典型案例宣講制度等，提升企業自我管理能力。第三，強化檢企聯合防控。一方面，檢察機關通過檢力下沉、大調研等方式，深入案件易發、多發互聯網企業和區域，及早發現并預防企業經營的潛在刑事風險。另一方面，企業在發現其內部員工犯罪案件后第一時間通報，最大程度減少對企業生產經營影響。

（二）事中矯治：提升數據合規檢察辦案質效

第一，健全數據犯罪線索發現機制。檢察機關可以依托偵查監督與協作配合辦公室，將數據犯罪案件合規可能性的初篩作為派駐檢察官的重要履職內容，對于滿足合規條件的及時啟動協調和介入程序，為企業合規的啟動收集證據材料，提升辦案效率。同時依托信息化共享平臺，將企業合規納入大數據協同辦案，實現對合規案件的專案專辦與實時監督。第二，審慎適用訴前強制措施。對犯罪嫌疑人系互聯網企業主要負責人員或關鍵“骨干”人員等，檢察機關要嚴格審查是否符合法律規定的逮捕條件，必要時可以探索建立先行取保候審制度。同時強化偵查活動監督，及時糾正查封、扣押、凍結財物不當等加重企業負擔、加劇企業生產經營困難的行為。第三，強化合規考察的審查把關。一方面，檢察機關要借助專業的第三方組織，以量化的形式對企業合規建設狀況作出全面、系統的客觀評估，督促涉案企業圍繞數據合規計劃整改落實，避免出現“紙面合規”。另一方面，檢察機關也要秉持懲治與挽救并重理念，通過公開聽證、現場評審會等方式，主動聽取第三方組織與涉案企業意見，促進當事雙方和解或者達成數據交互協議，提升涉案企業合規案件辦理質效。

（三）事后共治：健全企業合規行刑銜接的保障機制

第一，建立定期跟蹤回訪機制。對于整改后的涉案企業作出不起訴決定的，檢察機關仍應進行一定時間的跟蹤監督，以督促確保數據合規制度在企業的常態化運作。第二，暢通“兩法銜接”渠道，推動“合規互認”機制的實施［5］參見陳瑞華：《企業合規不起訴改革的動向和挑戰》，中國知網https://kns.cnki.net/kcms/detail/detail.aspx?dbcode=CAP J&dbname=CAPJLAST&filename=ZFKL20221026003&uniplatform=NZKPT&v=AQL3bkbibT55adNQbIhSevu_73nJCGTF yiAGKsj1uToxlitzqJUdy1L5bKuzK-Jd，最后訪問日期：2022年11月1日。，將合規考察結果作為對企業進行政策激勵以及行政、刑事處罰從寬的依據。