天平律师事务所

天平动态

天平观点天平推荐天平解析天平业绩

当前位置：首页 > 天平动态 > 天平观点

天平视点|数据合规——全球几乎同时起步的新业务

发布时间：2021-11-07

为什么这么说？

数据合规是全球达成共识的需求。

信息化时代，网络数据海量增长，数据和信息从最初作为简单的交流工具，已成为今天的无形资源；

数据的开发、运用和管理对信息化的网络社会发展起到重大作用，但日渐高发的网络数字化犯罪也随之出现；

且网络犯罪主体已不再局限于特殊主体，犯罪对象也几乎遍及所有行业，侵犯个人信息的犯罪行为已成为全球最严重的犯罪之一。

“数据”主要包括以下类型：

原始数据和再生数据：计算机操作者通过输入设备或工具输入计算机系统的原始数据，计算机系统按一定方式运行后产生再生数据；
电子邮件；
个人数据：有关个人的已被识别的和可被识别的任何信息；

（本文提到的数据等同于信息；数据与信息的关系请见-天平研读|个人信息的所有权归谁？）

主要国家对数据合规的统一规则出台时间不长，有的还未正式实施。

1.欧盟《通用数据保护条例》

2018年5月，欧盟的《通用数据保护条例》（GDPR）正式生效，从之前欧洲各国分散的监管标准，过渡到欧盟范围内个人信息保护的统一标准、基本原则和法律制度，在欧盟范围内实现个人信息保护标准的统一化、标准化和个人信息一站式监管。

2.中国《网络安全法》、《数据安全法》、《个人信息保护法》

2021年，我国的数据与信息安全监管也形成法律（《网络安全法》、《数据安全法》、《个人信息保护法》）、行政法规（《关键信息基础设施安全保护条例》）、部门规章（《网络安全审查办法》）、国家标准（《信息安全技术个人信息安全规范》）的清晰规范体系。

3.美国《统一个人数据保护法》

2021年7月，美国统一法律委员会(ULC，美国专门的立法机构，许多立法都非常有影响力并成为美国法律）投票通过了《统一个人数据保护法》(UPDPA)，目的在于为各州隐私立法提供统一示范法案；此法案最终修订后，预计在2022年1月进入州一级立法机构。

法案的核心内容是把数据实践行为分为“兼容”、“不兼容”和“禁止”三个级别，有别于数据主体只能纯粹同意的模式。

数据合规的实践过程不是孤立的。

在全球交易的大环境下，大部分国家达成共识的准则就是国际通行准则；

我国的数据合规几乎与其他国家同时起步，甚至已有律师和其他专业人士参与到国际合规标准的起草工作中（比如国际标准化组织发布的《ISO 37301合规管理体系标准及指引》2021版）；

从数据合规立法的完善进度看，我们现在有更大机会在国际上对此领域拥有更多话语权；

而不是和以前某些国际规则一样，别人定了规矩，你只能跟着走；或者人家以你没定规矩为由，排挤企业参与正当交易的竞争；

数据合规的特殊性在于，互联网没有物理国界，所以各国的数据合规规则在基本原则方面有相关性，且绝大部分规则涉及对域外数据的监管；

所以，数据合规不仅适用本国法律，也与国际规则有关；而且在具备统一适用的规则方面，大家都刚刚起步。

与数据合规最密切的切入点

与其他领域的合规一样，刑事案件发生的时点是进行数据合规最密切的切入点。

我国刑法涉及数据和信息安全的罪名主要有：

1.侵犯公民个人信息罪（283条之一）：

主要指出售、非法提供、非法获取公民个人信息的行为。

2.非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪（285条）：

主要指非法侵入计算机信息系统，或其他手段获取计算机信息系统的数据，或对计算机信息系统进行非法控制；或提供前述行为的程序和工具。

3.破坏计算机信息系统罪（286条）：

违法对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的；

或违法对计算机信息系统中的数据和应用程序进行删除、修改、增加的操作，后果严重的；

或故意制作、传播、计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的。

4.拒不履行信息网络安全管理义务罪（286条之一）：

网络服务提供者（提供信息网络接入、计算、存储、传输，信息网络应用服务，以及网络公关服务）违反信息网络安全管理义务，有下列行为之一且拒不改正的：

致使违法信息大量传播（传播200个以上视频文件；或2000个以上视频之外的信息；或传播2000个以上用户账号；或传播3000以上账号群组或3万以上关注账号；或实际点击数5万以上）；
致使用户信息泄露，后果严重（行踪、征信等信息500条以上；或住宿、交易等信息5000条以上；或其他信息5万条以上；或造成他人死亡、重伤、精神失常、被绑架等；或重大经济损失；或扰乱社会秩序等）；
致使刑事案件证据灭失，情节严重（危害国家安全、恐怖、黑社会性质、贪污贿赂犯罪案件；5年以上有期徒刑的案件；多次造成证据灭失等）；
其他严重情节。

单位构成上述犯罪，单位直接负责的主管人员和其他直接责任人员将受刑事处罚。

合规不起诉制度倒逼企业走向主动合规

2020年3月，最高人民检察院在上海、江苏、山东、广东的6家检察院开始第一批合规不起诉试点；

2021年4月，第二批试点启动，增加了北京、辽宁、浙江、福建、湖北、湖南的检察院。

2021年6月，最高检与司法部、财政部等机构联合发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，推进企业合规改革试点，建立健全涉案企业合规第三方监督评估机制。

依据现阶段我国试点检察院发布的典型案例，涉案企业合规整改和出具承诺书，有机会换取检察院的不起诉或其他从宽决定。

检察院在办理涉企犯罪案件时，对符合企业合规改革试点适用条件的，交第三方监督评估组织对涉案企业的合规承诺进行调查、评估、监督和考察。

考察结果作为人民检察院依法处理案件的重要参考。

第三方机制适用于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件，既包括公司、企业等实施的单位犯罪案件，也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。

这项制度明确适用于“经济和职务犯罪”；数据安全犯罪方面还未看到典型案例。

结语

在国际大合规的形势下，在国内刑事合规处罚的倒逼下，数据合规可能面临合规领域较大市场，个人信息和企业信息安全都是数据合规的监管目标。

如何在专业人士的指导下，把数据合规体系嵌入到日常运营管理体系中，是涉及数据处理的企业需要尽快完成的工作。

参考来源：

1.《动态数据与动态安全：大数据时代个人信息的刑法保护进路》- 于冲-中国法制出版社-2021年4月

2.个人信息保护国际比较研究（第二版）-个人信息保护课题组-中国金融出版社·浙版数媒-2021年2月

声明

本号文章仅供分享、学习与交流，不作为对阅读者出具的正式法律意见或建议。如需转载或引用任何内容，请提前经本所书面同意，并注明出处。如您对有关议题感兴趣，欢迎与本所联系、交流与探讨。

北京市天平律师事务所

天平律师事务所是司法部早期批准设立的律师事务所，总部在北京；探讨法律实务，分享法律观察，为您提供专业法律服务。

个