原創作者：陳世銀

自工作以來主要從事公司法律事務處理，擔任企業常年法律顧問、代理各類民商事訴訟案件，辦理了大量的涉及房地産、合同、建築工程、婚姻家庭、勞動争議等方面的訴訟業務，參與了多起房地産公司的并購項目，擅長起草各種法律文書，合同審查、參加商務談判，盡職調查并出具法律意見書。

一數據合規概述

在全球數字經濟發展的大背景下，數據已經成為企業的重要資産。數字經濟時代，數據也成為新型生産要素，已正式與土地、勞動力、資本、技術等生産要素并列為國家基礎性資源，也對數字化經濟高質量發展帶來了千載難逢的機遇。我國各行業數據資源豐富，利益相關方對數據資源的争奪激烈，數據安全問題日益凸顯。數據安全是數字經濟的生命線，是數字經濟蓬勃發展的安全閥，根據2021年9月1日實施的《數據安全法》第一條就規定了立法目的，即“規範數據處理活動，保障數據安全，促進數據開發利用，保護個人、組織的合法權益，維護國家主權、安全和發展利益”。數字經濟涉及用戶、商家、平台、第三方服務機構等各主體在數據産業鍊條上的角色與權責，健康的數字經濟秩序需要正确對待數據财産保護、數據安全與個人信息之間的平衡，形成合理的數據安全治理體系。本文将從數據涉及的刑事角度進行分析闡述數據處理各環節可能觸及的刑事風險，并就企業數據合規體系的構建提出意見、建議。

二“數據”的概念

1、法律定義

根據《數據安全法》第三條：本法所稱數據，是指任何以電子或者其他方式對信息的記錄。數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。數據安全，是指通過采取必要措施，确保數據處于有效保護和合法利用的狀态，以及具備保障持續安全狀态的能力。《個人信息保護法》第四條：個人信息是以電子或者其他方式記錄的與已識别或者可識别的自然人有關的各種信息，不包括匿名化處理後的信息。

2、數據的分類

A.個人信息，其中包括敏感個人信息。個人信息例如個人基本資料、個人身份信息、網絡身份标識信息、個人教育工作信息、個人财産信息等。個人敏感信息是指一旦洩露、非法提供或濫用可能危害人身和财産安全，極易導緻個人名譽、身心健康受到損害或歧視性待遇等的個人信息。例如：個人财産信息、個人健康生理信息、個人生物識别信息、個人身份信息等。B.個人信息以外的數據，如行業生産經營數據、商業資料、音樂、視頻等也屬于數據範疇。

三數據涉及的刑事罪名

針對企業在獲取個人、政府機構或其他企業的相關信息數據規範，我國《刑法》設立了多項與數據違規違法密切的相關罪名，作為數據類企業或企業經營者陷入刑事風險并承擔相應的刑事責任的法律依據。

這些罪名大緻分為兩類，第一類是與信息獲取行為相關的刑事風險。企業如果存在非法獲取公民個人信息的行為，則涉嫌構成侵犯公民個人信息罪。如果企業通過非法手段接入政府或醫療機構信息系統獲取公民的個人信息，則涉嫌構成非法獲取計算機信息系統數據罪，如果獲取的是相關行業的秘密信息等，則涉嫌構成侵犯商業秘密罪。第二類是與信息處理行為相關的刑事風險。企業如果違反數據安全保護義務，且拒不改正或者造成大量數據洩露等嚴重後果的，涉嫌構成拒不履行信息網絡安全管理義務罪。

在司法實踐中，涉及最多的罪名，應當是以下兩大典型罪名：

1、侵犯公民個人信息罪： 我國《刑法》第二百五十三條之一為“侵犯公民個人信息罪”，根據此條規定，違反國家有關規定，向他人出售或者提供公民個人信息情節嚴重的，竊取或者以其他方法非法獲取公民個人信息的，處有期徒刑或者拘役，并處或者單處罰金。根據最高人民法院和最高人民檢察院的司法解釋，該罪名涉及兩個行為，一方面是存在向他人出售或者非法提供公民個人信息，或者竊取或者以其他方法非法獲取公民個人信息。第二是行為達到“情節嚴重”的程度。其中，情節嚴重一般認定的标準為，個人信息被他人用于違法犯罪、出售獲取敏感信息達到50條以上、一般敏感信息500條以上、公民個人信息5000條以上，那麼就可能以侵犯公民個人信息罪論處。

例如2021年武漢市某法院“李某、張某涉嫌侵犯公民個人信息罪”案，李某、張某作為某公司股東，在前公司離職前，将相關客戶信息複制至U盤後，用于其公司的進行客戶推銷，因未經信息保護主體的許可，構成侵犯公民個人信息罪，其被依法判處侵犯公民個人信息罪。再如另外一案件中，被告人陳某購買的商業登記信息是公開的，但涉及到個人信息部分卻是私密的、非公開的。對此，法院認為，企業工商登記信息可以通過合法渠道查詢，但涉及公民的個人信息仍屬于法律保護範圍。故該案中的被告人依法被判處侵犯公民個人信息罪。

2、非法獲取計算機信息系統數據罪：網絡爬蟲是當前極為典型的數據抓取方式，然而其帶來的風險也不容小觑。網絡爬蟲是一種根據一定規則自動獲取信息和數據的程序或腳本，它彌補了搜索引擎的技術缺陷。根據我國《刑法》第二百八十五條規定了“非法獲取計算機信息系統數據罪”，是指違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統。而其中“情節嚴重”的表述，根據最高人民法院和最高人民檢察院的司法解釋規定，包括非法獲取計算機信息系統數據的違法所得在五千元以上或者造成經濟損失一萬元以上。例如：上海市普陀山區法院辦理的“Z網絡科技有限公司、陳某某等人非法獲取計算機信息系統數據案”，在2019年至2020年，Z網絡科技有限公司在未經授權許可的情況下，為運營需要，由公司首席技術官陳某某指使多名技術人員，通過數據爬蟲技術，非法獲取某外賣平台數據，造成某外賣平台直接經濟損失4萬餘元。最終被認定為非法獲取計算機信息系統數據罪。

此外，如果企業大量的結構化的數據和信息都存儲在系統中，員工越權訪問數據或利用系統漏洞洩露數據也會構成該罪。

例如：華為員工易某，作為權限使用者，擁有登錄華為公司企業資源計劃(ERP）系統的權限，可以查看工作範圍内相關數據信息。其在調離崗位7年後，尚未解除查詢權限。故，在此七年間，易某頻繁的利用權限查看系統數據，并通過相關系統漏洞，繞過權限控制，向華為的相關供應商提供了系統相關數據，從中獲利。案發後，因為易某非法獲取計算機信息系統數據，違法所得超過人民币5000元，屬于情節嚴重，已經構成非法獲取計算機信息系統數據罪。最終被深圳市中級人民法院判處有期徒刑一年，并處罰金人民币二萬元。

以上數據合規所涉及的兩大刑事風險類型，皆提示了當前建立數據合規以防範數據犯罪的重要性。下文中，也将對構建合規機制、防範刑事風險做進一步闡釋。

四如何防範數據刑事風險

1、企業應當根據《刑法》、《個人信息保護法》、《網絡安全法》的規定，制定企業的數據保護制度，制度相關的員工規範，從企業内部管理上，讓企業全體員工以及高管，形成數據保護的意識，同時也能夠讓員工、企業都能認識到數據保護的責任。作為企業，應該定期評估數據保護的成效，定期對員工進行培訓、更新數據保護制度。

2、在個人信息采集與處理上，企業在采集公民個人信息應該告知采集用途，并取得被收集人的同意或者授權。在取得相關信息後，應當對信息進行等級區分、對高度敏感信息、一般敏感信息進行分類管理，對于比如行蹤軌迹信息、通信内容、征信信息、财産信息等高度敏感信息要及時規避使用，必要時，需要将個人信息通過技術手段進行脫敏、匿名化或者遵守國家規定的方式處理。

3、在信息使用或向他人提供時，企業應該采取嚴格的加密措施，設定不同的訪問權限，避免信息的後續不當濫用，流向可能涉及利用數據進行互聯網電信詐騙等犯罪的領域。同時，根據個人信息數據的采集、使用可能存在不同的主體，就需要，對數據進行确權，可以利用區塊鍊防篡改特性或者采用數字水印技術，均可以達到對數據所有權和使用權鑒别并追溯數據使用的目的。

五結語

我國數字經濟不斷發展，數據在各行各業發展迅速，在科技領域應用廣泛，使得刑事法領域數據的保護工作建設已經刻不容緩。在企業合規的大背景下，在數據犯罪的一般預防的目的之下，各行各業應當有序地建立防範機制，從而确保企業能夠長遠發展。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!