莫洪宪
武汉大学法学院教授,博士生导师。
在司法机关以及相关部门的大力推动下,企业合规已经成为优化营商环境、推动民营经济发展的重要举措,成为刑事司法服务大局的重要支点。民营企业刑事合规的传统领域主要为企业与市场管理法规层面,不包括刑事数据合规,理论与实践对民营企业刑事数据合规的关注均存在不足。面对这一情况,亟须转变观念,系统深入地研判刑事领域民营企业数据合规的关键问题,为构建法治化的营商环境保驾护航。
1、民营企业数据合规体系下的刑法规范
研究民营企业刑事数据合规需要首先明确合规体系中刑法规范的地位,既包括规范体系层面,也包括行为体系层面,从而基于立法层级、立法对象作出准确的分析判断,提供研究基础和前提。
第一,规范体系层面的刑法规范。首先应从部门法划分的视角来探讨民营企业刑事数据合规的规范体系地位。不仅民法典规定了个人信息的法律地位、处理原则和关联义务,行政法领域的网络安全法、电子商务法、个人信息保护法、数据安全法、消费者权益保护法、公共图书馆法等立法,以及儿童个人信息网络保护规定等规范也作出具体规定。
与此同时,必须深入挖掘刑事立法与其他规范的结构关系:(1)刑法规范的滞后性。综合民事、行政、刑事领域,刑事数据合规具有滞后性,往往需要行为人违反法定义务(如行政法定义务),符合刑法规定,才引发刑事评价。(2)刑法规范的涉公共性。民事、行政维度的数据合规更多聚焦个体层面,强调契约性、相对性。在此意义上,个人信息保护法系指导民营企业和相关个人如何开展数据合规。与之不同,刑法规范的数据合规除了涉及特定当事人,还涉及其他关联主体或者公共利益,如刑法规定的侵犯公民个人信息罪,虽然置于分则第四章“侵犯公民人身权利、民主权利罪”,但是要求被害主体的涉众性,因此合规要求具有特殊性。
第二,行为体系层面的刑法规范。刑法最终评价的是具体的行为,除了在整体规范上,还需要在行为上考察民营企业刑事数据合规。可基于主体视角来评价民营企业刑事数据合规的关联行为,从三个层面展开。
(1)自体数据犯罪行为。也即民营企业自身实施的违反刑法的行为,具体包括:非法获取数据的行为,即民营企业未经用户授权或者超越授权,采用技术与其他方式非法获取用户数据的行为;非法提供数据的行为,即民营企业未经用户授权或者超越授权,采用技术与其他方式,非法向他人出售或者以其他方式(如分享)提供用户数据的行为;非法利用数据的行为,即民营企业未经用户授权或者超越授权,采用技术与其他方式,实施“大数据杀熟”、广告推广等利用用户数据的行为。
(2)涉他数据犯罪行为。民营企业自身对于他人实施的违法行为,未履行相关义务,需要承担刑事责任,具体包括:未履行数据管理义务的情形,即对处于民营企业自身支配下的数据,或者支配下的其他数据控制的数据,未履行必要的管理义务,导致数据被窃取、破坏,产生严重后果;未履行数据监督义务的情形,即民营企业具有相应的数据监督义务,应履行而未履行,产生前述类似后果的情形。
(3)自体与涉他数据犯罪行为的结合。在这一情形中,民营企业自身不仅实施违反刑事法律的行为(如非法提供用户数据),并且与之关联的其他主体也实施了犯罪行为(如非法利用用户数据)。
2、民营企业刑事数据合规的司法适用
侵犯公民个人信息罪是典型的自体数据犯罪行为,拒不履行信息网络安全管理义务罪是典型的涉他数据犯罪行为,帮助信息网络犯罪活动罪是典型的自体与涉他数据犯罪行为的结合,应特别注重这三个罪名的司法适用。
第一,自体数据犯罪行为的典型罪名适用。侵犯公民个人信息罪是自体数据犯罪行为的典型罪名。构成侵犯公民个人信息罪往往要求被害主体的涉众性,涉及相关立法,因此在对民营企业进行刑事合规考察的过程中需要特殊把握。
(1)在民营企业刑事合规中统筹考虑社会利益和企业权益保护。侵犯个人信息犯罪行为往往具有涉众性。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第五条明确提出了“五十条以上”“五百条以上”“五千条以上”的标准。因此,刑事合规中应注重该类犯罪的犯罪圈界限,综合考虑信息披露的指向群体、信息范围:一是信息披露的指向群体,即如果涉及众多用户信息,则可考虑采取刑事手段进行打击;如果仅是涉及一定范围特定群体的信息,则应在入罪时更加慎重。二是信息内容的范围,如果仅是姓名、手机号码等信息,对个人信息的侵犯程度有限,虽然具有不当的性质,可不纳入刑事犯罪范畴;但是如果对于个人的身份证号、家庭住址等信息进行大量披露,则对于个人信息造成了相当程度的侵犯。
(2)注重合规过程中与关联犯罪的衔接。在民营企业刑事合规过程中,应当基于刑法的体系规定进行考量,具体包括两个层面。第一个层面是刑法专门规定的侵犯个人信息犯罪罪名,刑法第二百五十三条之一侵犯公民个人信息罪是毋庸置疑的典型罪名,此外刑法第一百七十七条之一第二款窃取、收买、非法提供信用卡信息罪也具有保护个人信息的性质。第二个层面是刑法间接涉及侵犯个人信息行为的犯罪体系,除了刑法第二百八十条之一使用虚假身份证件、盗用身份证件罪外,侵犯个人信息犯罪的下游犯罪(如盗窃、诈骗等犯罪)也涉及利用个人信息的行为,在合规考察过程中应进行体系考量。
第二,涉他数据犯罪行为的典型罪名适用。在网络社会中,互联网企业等民营企业对于社会公共生活的介入程度日渐加深,要求其开展数据管理的义务也不断增加。在此背景下,刑法增设了拒不履行信息网络安全管理义务罪,要求民营企业履行相应义务,可从刑事数据合规层面进行考察。
(1)应对合规对象是否属于“网络服务提供者”进行实质判断。具体考察民营企业所提供的服务类型,进行准确判断。如果是提供现实服务,附带提供网络服务,则在认定时应秉持更加慎重的态度。
(2)要界分民营企业的行为性质。即考察民营企业究竟是未履行义务的不作为,还是积极主动进行犯罪的作为。对于民营企业积极实施信息网络违法犯罪行为的,应当进行相应的行政处罚和犯罪认定,不能按照拒不履行信息网络安全管理义务罪处罚,否则不仅不利于实现刑事数据合规,而且会造成立法本意与司法适用相背离。
(3)对于民营企业是否不履行信息网络安全管理义务,应当强调实质判断。出于保护民营企业的考虑,网络服务提供者的安全管理义务是特定的而不是一般性的,民营企业必须有能力履行而未履行,监管部门才能对其进行行政处罚。并且在初始阶段,监管机关有要求履行的职责要求,不能一经发现就对其进行行政处罚。
第三,自体与涉他数据犯罪行为结合的典型罪名适用。帮助信息网络犯罪活动罪的法定最高刑只有三年,是典型的轻罪,作为民营企业刑事合规的典型罪名无疑是合适的。而且该罪名具有自体与涉他数据犯罪行为结合的性质,应在民营企业刑事合规中进行特别把握。
(1)在合规考察中予以优先适用。帮助信息网络犯罪行为具有帮助行为的性质,同时是刑法分则规定的独立实行行为,作为关键的环节在上下游犯罪中具有特殊地位,但在处罚上较相关信息网络犯罪的共同犯罪更轻。因此在民营企业刑事数据合规考察中,应当优先考虑帮助信息网络犯罪活动罪。
(2)注重条文的合规补足作用。在信息网络环境中,由于交互性、跨时空互动性的影响,犯罪行为的危害后果具有扩散性和广泛性。基于补足作用,在民营企业所实施的技术支持或者帮助行为确需处罚时,切实运用该罪进行兜底处罚,避免法益保护的漏洞。
(3)发挥合规考察的纠偏作用。在民营企业犯罪行为符合帮助信息网络犯罪活动罪构成要件,但处罚过重的情况下,可充分发挥帮助信息网络犯罪活动罪的纠偏作用。
3、加强民营企业数据合规的行刑衔接
前文也已指出理解民营企业数据合规的刑法规范必须立足规范体系进行考察。刑法与行政法同属公法的范畴,但是严厉程度有所区别,应切实做好刑法与行政法的衔接适用,真正通过梯次处罚,切实做到“放过企业”,最终实现民营企业刑事数据合规的长远发展。其中,最为关键的是处罚次序、构成要件上的行刑衔接。
第一,处罚次序上的行刑衔接。就民营企业数据合规而言,行政监管阶段的事前合规与刑事阶段的事后合规相结合,有利于促进企业犯罪预防治理的合规风险应对体系建设。一方面,事后数据合规依托刑事司法的威慑作用,侧重运用非犯罪化、非刑罚化机制,从企业内部“去犯罪化”来治理企业数据犯罪,兼顾刑法的法律效果与社会效果,体现了预防企业犯罪的“宽和”刑事进路。另一方面,事前合规通过专业化职能监管,强化企业监管数据合规风险的防范能力。行政监管机关在进行民营企业违法行为查处时,对相关企业进行刑事数据风险预警,能够预防企业实施更加严重的违法或者犯罪行为。在此基础上,如果该民营企业的行为危害依然难以实现依法评价,再动用刑事处罚。
第二,构成要件上的行刑衔接。相比于传统犯罪,数据犯罪具有较为鲜明的法定犯特征。与民法等调整“横向”法律关系的法律部门不同,行政法与刑法同为调整“纵向”法律关系的法律部门,辐射各个社会领域。应切实加强体系解释,推动行政法和刑法的规定、要件衔接,妥善、正确运用数据相关犯罪规定,实现最佳的刑事法律效果。
(1)应在罪名层面把握构成要件的行刑衔接。罪名中构成要件的行刑衔接也对于实现“漏斗式”滤罪具有重要意义。如刑法第二百五十三条之一侵犯公民个人信息罪第一款、第二款均设置了“违反国家有关规定”这一前置条件,如果行为人出售、提供公民个人信息的行为符合国家有关规定,则不会触犯该罪。再如刑法第二百八十六条之一拒不履行信息网络安全管理义务罪,网络服务提供者必须不履行“法律、行政法规规定的信息网络安全管理义务”,才会触发“经监管部门责令采取改正措施而拒不改正”的条件,否则便不可能符合该罪的不作为犯要求。
(2)应在规范层面把握构成要件的行刑衔接。构成要件的衔接有具体性,必须和相应的法律对应。因此,刑法必须关注网络安全法、电子商务法、个人信息保护法、数据安全法等数据相关行政立法的内容。“违反国家有关规定”“法律、行政法规规定的信息网络安全管理义务”等规定必须与之深度结合,周延解释,才能最大限度地实现合规目的。此外,也应注意其他行政立法,如治安管理处罚法也和刑法在行为类型上具有衔接性。总之,必须在规范层面体系性地把握构成要件的行刑衔接,切实发挥数据犯罪条款对于民营企业刑事数据合规的关键作用。
*本文原载于《人民法院报》2023年4月13日第05版,为便于阅读进行了重新排版。
手机版
客服
