1. 引言
近年来,随着信息网络技术的快速发展和互联网技术的普及,我国步入了大数据时代。数据以其极强的创新驱动力日趋成为现代民营企业发展的一项核心动力,成为国家综合竞争力的一项重要组成部分。在大数据时代的今天,数据及其背后的一系列处理和利用活动为我们的日常生活带来诸多便利,但它所隐含的风险和隐患同样不容小觑,如何善用数据资源,防止数据滥用和违法行为,成为了如今社会关注的焦点。
自党的十八大以来,党中央高度重视产权保护与民主治理的平衡,依法平等保障各类所有制企业的知识产权和自主经营权,要求完善各类市场主体公平竞争的法治环境,大力支持民营企业蓬勃发展、壮大。2023年7月19日,《中共中央 国务院关于促进民营经济发展壮大的意见》明确提及“深化涉案企业合规改革,推动民营企业合规守法经营”的最新要求[1]。与此同时,随着“数字中国”国家大数据战略的稳步推进,我国数据保护领域的立法工作取得了飞跃式的进展[2],专门规定企业数据合规管理义务的《网络安全法》《数据保护法》等相关法律法规也相继诞生,如此预防性的监管方式,标志着我国数据保护领域全行业强制性合规体系的建立。除此之外,数据行业主管部门也在加大执法力度以规范各行业数据处理活动,有关数据处理的国家标准也对企业数据合规水平提出了更精确的指引和更高的要求。
合规不起诉制度是一个针对犯罪后认罪认罚、社会危害性轻微的涉案企业,在符合一定前提的情况下,由检察机关对其提出针对性的整改建议,监督其进行合规整改,在评估整改合格后对其做出不起诉决定的制度。企业合规不起诉制度将企业合规整改计划与合规制度建设的方式方法引入刑事司法领域,将其作为预防、发现和惩罚企业犯罪后作为激励涉案企业制定或完善合规计划的重要机制[3]。在数据领域,合规不起诉制度对于企业而言,则不仅仅是对于企业违法犯罪行为的纠正,而是通过合规整改与评估的方式帮助涉案企业建立起一套有效的监督管理制度和内部控制机制,使其在未来的经营活动中在合法的范围内活动,避免触碰法律红线,帮助企业从犯罪的边缘重回正轨,将潜在的犯罪风险转化为新的商业机会。
2022年6月,上海市普陀区检察院公开了数据合规第一案的相关情况。上海市普陀区检察院对该案件适用涉案企业合规整改制度,并委托第三方对整改过程进行监督,最终通过听证会方式,认可合规评估合格结论,并对涉案单位及人员依法作出不起诉决定。该案是我国最高人民检察院指导培育下的数据领域合规典型案例,展现检察机关在数据治理中的积极作用,也为企业提供合规整改参考范本,是2020年企业合规不起诉制度出台以来涉及企业违法处理数据情况的首个应用案例,它标志着中国司法实践在适用合规不起诉制度的数据领域迈出了重要一步。
2. 数据合规不起诉制度的价值探析
顾名思义,数据合规就是确保企业在捕获、存储、处理和传输数据的过程中,符合相关的法律法规、行业准则及商业道德。数据合规并不是要求企业放弃自身对于商业利益的追求,而是通过建立数据合规体制机制,规范企业的经营活动,将个体责任与单位责任相分离,避免企业受到过于严苛的刑罚处罚,最大限度减轻该违法行为对于数字经济发展的不良影响,从而实现数字经济的可持续发展[4]。
从全球范围内来看,以欧盟、美国、泰国等国家和国际组织为例,各国都在积极建立健全综合性的数据合规立法框架,纷纷出台相关法律法规和标准指南以统一规范数据安全及个人信息保护,争夺大数据话语权。各国的数据保护机构除在立法领域频频出手之外,对违反数据保护规则的企业进行严厉处罚也不容小觑,不断刷新执法金额最高纪录,而与企业达成和解协议、要求涉案企业积极进行合规整改的案例也不在少数。由此可见,在数字经济时代下日趋严峻的立法与执法态势,数据合规成了企业发展的刚性要求,为企业合理规避经营风险提供了最佳实践。
将视角转回国内,2020年3月,最高检启动首批合规不起诉试点工作,在沪苏鲁粤四省的6个基层检察院开展首批合规不起诉试点;2021年3月,最高检印发《关于开展企业合规改革试点工作方案》,试点工作在京、辽、沪、苏、浙、闽、鲁、鄂、湘、粤等十个省份陆续展开,2022年4月,全国检察机关全面开展了涉案企业的合规改革试点,由此,企业合规改革在全国范围内由点及面地全面铺开。我国的数据合规理念最早起源于美国银行业在经济大萧条期间对于银行合规管理的强化[5]。近年来,我国的数据合规体系迅速发展,尤其是《网络安全法》的颁布与实施为我国数据的合规管理奠定了法律基础。而后《数据安全法》《个人信息保护法》的出台更是进一步完善了我国的数据合规法律制度体系[6]。
(一) 优化营商环境,保留平台创新活力,保护民营经济良性发展
数据合规能够促进涉案企业恢复“健康”,是企业可持续发展的重要保证[7]。近年来,随着民营经济的飞速发展,我国企业犯罪率整体呈上升趋势。一直以来,由于我国刑法对企业犯罪的严厉打击,司法机关办理企业犯罪案件均重事后惩罚,轻事前预防。一旦企业涉刑,面临的不止是罚金处罚,更可能导致业务停滞、平台生态崩塌。因此,合规不起诉制度的试行迫在眉睫。合规不起诉制度改革的宗旨在于“给企业减压,为企业松绑”,充分体现了加强企业保护的司法实践理念,实现了对企业“去犯罪化”有效治理,并实现检察机关对社会治理的积极参与[3]。除为实施犯罪而成立的企业之外,大多数企业走上犯罪道路都是因为迫不得已和对相关法律认识不清,而一个企业一旦被立案起诉,进入刑事审判流程,就相当于被宣告死刑,将面临企业倒闭、员工下岗等一系列不利后果,还会对客户、合作伙伴等无辜第三人造成影响,这违背了立法保护营商环境、促进民营经济发展的初衷。而适用合规不起诉制度,宽严相济,以合规整改的形式代替刑罚处罚,鼓励企业自觉遵守法律法规,有利于提高企业的法治意识和诚信水平。同时,合规不起诉制度使企业主动承担法律责任,补救犯罪后果,加强内部管理水平,建立更加完善的企业管理规章制度,提高企业诚信水平,更加专注于生产经营活动,提高企业竞争力,为社会经济发展做出更多的贡献。与单纯处罚相比,这样的方式更能帮助企业建立可持续竞争力,保留企业生命力,有利于民营经济的良性发展。以“数据合规第一案”中的Z公司为例,Z公司系成长型科创企业,其犯罪动机并非窃取非法数据用于牟利,而是拓展自身业务范围。在犯罪行为发生后,Z公司认罪认罚态度良好,积极补救犯罪后果,对涉案数据进行无害化处理,赔偿被害企业经济损失,取得了被害企业的谅解。进行合规整改后,Z公司建立起一套数据合规长效机制,与多家大型互联网公司达成合作,孕育了互联网共生共赢的新模式。这样一来,Z公司免于倒闭,相反,一家更为成熟的互联网企业诞生,并为其他企业提供了一套具有犯罪预防作用的现代合规管理体系。由此可知,只有建立起一套合理的数据合规管理机制,才能让企业在合法合规的基础上可持续发展[8]。
(二) 法检联动,优化司法资源配置,拓展检察机关职能履行方式
合规不起诉制度是检察机关拓展履职方式,助力国家治理体系和治理能力现代化的关键所在。近年来,随着市场经济的发展,各类企业如雨后春笋般成立,单位犯罪问题越来越复杂严峻,而如何处理企业这一法律拟制的特殊市场主体,实现刑法的惩治犯罪和预防再犯功能,对检察机关而言迫在眉睫[9]。合规不起诉制度给检察机关提供了一条办理类似企业犯罪案件的新路径,检察机关履职方式得到了拓展,法律监督的作用也深入到了市场经济之中。检察机关推行的合规不起诉制度实际上是检察职能对于社会治理模式的最新探索,从“事后处罚”转变为“事前预防”。合规整改变“打击”为“督促”,使犯罪企业重振旗鼓,审查企业内存在的漏洞与风险,主动规避犯罪可能,建立起一套具有犯罪预防作用的现代合规管理体系,提高企业诚信水平,增强企业公信力与竞争力。除此之外,企业犯罪案件除了受到刑事追诉之外,往往还伴随着劳动仲裁、民事赔偿等等,造成司法资源的占用。而合规不起诉制度的试行,使企业通过合规整改合格的方式免遭倒闭,也就规避了这一风险,有利于优化司法资源的配置。以“数据合规第一案”为例,普陀区检察院通过实地调查与走访,评估合规风险,向Z公司提出整改建议,出具《合规检察建议书》,并邀请第三方机构对Z公司的合规整改进行监督,最后通过听证会的方式,由相关领域专家学者认定其合规整改合格,为数据合规提供了一个范例。如若按照传统办案方式对Z公司立案起诉,使其受到刑罚处罚,那么Z公司所面临的将是公司主要负责人、核心技术人员入狱,公司倒闭,员工下岗等等一系列事件。Z公司现有员工1000余人,年纳税总额1000余万元。那么,一个如此规模的高新技术公司的倒闭势必引起大量劳动仲裁案件的产生,造成司法资源的大量占用,也将引起市场的动荡,不利于市场经济发展。
3. 数据合规不起诉制度的适用困境
(一) 合规不起诉制度在数据领域的典型适用案例
Z公司是为当地商户提供数字化转型服务的一家互联网大数据公司。2019年至2020年期间,Z公司在未经E公司许可的情况下,出于扩大用户数量、拓展服务范围的目的,该公司的首席技术官陈某某指使汤某某等多名Z公司技术人员,利用网络爬虫程序,利用网页漏洞、绕过网络安全措施等方式非法大量获取E公司运营的外卖平台的用户数据。这些爬取数据的行为导致E公司存储的海量具有极高商业价值的商户信息被非法进行获取,从而导致E公司的流量成本增加,造成该公司直接经济损失人民币4万余元[10]。
1) 适用主体分析
在最高检发布的20件案例中,涉案主体为高新科技企业的有9件,占比45%;主体为能够带动当地经济发展的重点企业、龙头企业的有8件,占比40%;主体为小微企业和外商独资企业的分别有2件和1件,占比10%和5%。由此可知,合规不起诉制度的适用主体至少需要满足以下条件中的任一条件:拥有自主知识产权及良好商誉、经营状况影响当地经济发展与区域竞争力、从事重点行业或在行业中处于龙头地位。
在本案中,Z公司是一家为本地商户提供数字化转型服务的互联网大数据公司,现有员工1000余人,年纳税总额1000余万元,已经帮助2万余家商户完成数字化转型,拥有计算机软件著作权10余件,并在2020年被评定为高新技术企业,符合拥有自主知识产权及良好商誉的条件,且涉罪人员为公司核心技术人员,对公司经营发展起关键作用。综上所述,Z公司符合合规不起诉制度适用的主体要件。
2) 适用条件分析
在最高检发布的20件案例中,涉案企业犯罪情节轻微的有6件,占比30%;涉案企业在犯罪后认罪认罚,如实供述犯罪情节的有15件,占比75%;涉案企业在犯罪后主动投案的有5件,占比25%;涉案企业在犯罪后积极退赃退赔、消除犯罪危害后果,取得被害者谅解的有3件,占比15%;涉案企业有立功情节的有1件,占比5%;涉案企业主动提交合规申请的有3件,占比15%。综上所述,合规不起诉制度的适用条件最重要的一点便是对主要犯罪事实无异议并自愿认罪认罚、如实供述犯罪情节;其次,涉案企业犯罪情节轻微,社会危害性相对较小;最后,在有受害人或受害企业的案件中,涉案企业积极退赃退赔,消除犯罪后果,取得受害人谅解;除此之外,若企业积极主动提交合规申请,也可考虑适用合规不起诉制度。与此同时,在整理归纳中可以发现,涉及国家安全的刑事案件、存在人员伤亡的人身伤害案件、社会影响恶劣的案件、涉案企业以犯罪所得为主要收入来源案件以及涉案企业不接受合规考察的案件不在合规不起诉制度的适用范围之内。
本案中,Z公司此次爬取的数据并未进行二次转售,而是仅仅出于自身拓展、扩张业务的动机,社会影响相对较小,犯罪情节较为轻微,应归于轻罪,且在案发后Z公司认罪认罚态度良好,积极采取整改、补救措施,主动赔偿E公司的实际经济损失并取得其谅解,彻底销毁了与之相关的所有爬虫程序和源代码,对其非法获取的所有数据进行了无害化处理,并与被爬取数据的E平台积极沟通,签订了数据交换协议,实现以“合法购买”代替“非法获取”,积极主动纠正犯罪后果。并且Z公司有十分强烈的合规整改意愿,并及时提交了合规整改申请书等书面材料。经普陀区人民检察院审查,Z公司符合合规不起诉制度的适用条件,遂做出合规考察决定。
普陀区检察院在现场调查走访中发现,Z公司的高层及下属员工均存在只注重技术创新却轻视数据合规的问题,同时Z公司的数据安全领域存在管理盲区,数据管理制度存在空白。诸如此类的合规风险导致了Z公司此次的犯罪行为的发生。据此,普陀区检察院从数据合规整理、数据风险识别、数据合规运营与保护等方面向Z公司提出整改建议,并据此向Z公司出具了《合规检察建议书》。在此之后,Z公司积极进行合规整改,与E公司达成合规数据共享协议,实现数据来源的合法化;同时,聘请专业法律顾问为其定制数据合规专项补救计划,构建数据安全管理体系,制定并实施《数据分类分级管理制度》《员工安全管理等级》等与数据合规相关的全面管理制度;除此之外,将系统纳入区级态势感知平台,由该平台为其提供安全漏洞扫描和检测服务,提升安全威胁的识别、响应和处理能力,提高访问权限,增强网络攻击防护的能力;此外,Z公司还建立了长效的数据合规机制,通过移植与E公司合作模式的方式,与多家大型互联网公司达成数据合作;彻底改变通过“爬虫”抓取数据这样一种“搭便车”的商业经营模式,转而变为与互联网公司共生共赢的新商业模式等等。这样一来,Z公司便“因案制宜”,通过合规整改的方式,从源头上、根本上杜绝了通过非法获取数据来进行不正当竞争行为再次发生的可能性。
3) 适用路径分析
(1) 对于事前已经建立并实施合规管理制度的企业:法定不起诉
根据刑法理论中的“四要件”说,犯罪主观方面是判定是否构成犯罪的一个重要要件。若仅仅具有危害行为和危害结果,而不具有犯罪故意或犯罪过失,则不符合“四要件”中的主观方面,该事件属于意外事件,而不构成犯罪,不应被苛以刑罚。对于企业这样一个法律拟制的主体而言同样如此,企业在事前已经建立并实施较为完善的合规管理制度并且已经尽到对员工等的培训、提醒、监管等义务,而员工仍然无视合规管理制度,“一意孤行”地进行犯罪活动的,那么对于企业本身而言,其并不具有犯罪的主观故意,不符合犯罪主观方面,因此不构成犯罪,根据《刑事诉讼法》的规定,应当作出法定不起诉决定。
(2) 对于事前未建立而事后建立合规管理制度的企业:酌定不起诉
对于单位犯罪而言,划定责任归属的原则与自然人犯罪并不相同。自然人犯罪以危害行为作为归责基础,而对于单位犯罪而言,行为并非划定责任归属的原则,那么在事前或事后建立合规管理制度就作为能否适用不起诉制度的关键要素,只要涉案企业有效进行了合规整改,就能够阻断责任归属于企业的路径,消除企业责任[11]。由此,对于事前未建立合规管理制度的企业而言,因为缺少一项能够得到司法机构认可的合规管理制度,使得企业员工等实施的危害行为被归责于企业,那么,检察机关在企业认罪认罚、积极退赃退赔、积极补救犯罪后果的基础上,以实地走访评估、整改的方式,帮助涉案企业建立起一套有效的监督管理制度和内部控制机制,合理规避经营风险,消除犯罪因素,则可认为归责于企业的因素已经归于湮灭,从而对企业作出酌定不起诉的决定。
本案中,Z公司在事前并未建立相应的合规管理制度,但案发后检察机关的指导下建立起了一套完善的合规管理机制,故而司法机关对其作出了酌定不起诉的决定。
(二) “双不起诉”做法违背制度初衷
在我国的刑法体系中,一般来讲,对于绝大部分的单位犯罪采用“双罚制”的原则,即既对涉案单位判处罚金,又对其责任人判处刑罚。纵观最高人民检察院发布的合规典型案例,合规不起诉制度主要应用在中小微企业上。而我国的中小微企业往往存在着家族性色彩和个人主义,企业的经营权和管理权高度集中在一个人或几个人手中,缺乏共同决策。这也就导致了一旦涉案企业发生人事变动,主要负责人被处以刑罚处罚,那么企业往往将因为缺乏有效的管理而面临着关停、倒闭的后果,影响企业背后合伙人、客户等等千万人的利益。而如果在此时要求企业进行合规整改,就难以达到理想上的效果,也不能很好地发挥合规不起诉制度本身的价值。所以,在合规不起诉制度本土化的司法实践中,法院所做出的裁判结果往往为对企业和企业负责人或高管的“双不起诉”,与制度初衷“放过企业,严惩个人”的合规理念相背离。在本案中,Z公司首席技术官陈某某指使他人使用爬虫的方式违法窃取他人数据,违反了《中华人民共和国刑法》第二百八十五条第二款,应受到刑罚处罚。而在实际中并未对陈某某判处任何刑罚,这样一来,就没有对陈某某的犯罪行为加以惩罚,这与“严惩个人”的制度初衷是相违背的。
(三) 过度的实质评价与罪刑法定原则相背离
罪刑法定原则是指“法无明文规定不为罪,法无明文规定不处罚”,即犯罪和刑罚必须事先由法律做出明文规定。罪刑法定原则在其产生之初,主要是通过立法限制司法、司法必须守法这一规则之治的层面展开的[12]。企业实施的犯罪行为已经在实际上产生了社会危害性,在形式上和实质上均已具备刑事违法性,也就应受到刑罚处罚。而合规不起诉制度并非我国法定的刑罚免除事由,对犯罪企业适用合规不起诉势必是对罪刑法定原则的一个突破。已经该当于犯罪构成的法人组织,却可以通过刑事合规交纳罚金免除刑事指控,给企业相对较为宽松的脱罪途径,这虽然保证了刑法谦抑但却削弱刑法的预控机能[13]。虽然在大数据时代中像Z公司这样的科创型企业对于引领经济发展有着不言而喻的作用,我们也不能以实质评价作为刑事责任减免的唯一标准,而应遵循罪刑法定原则,平衡形式评价与实质评价的关系,才能为企业合规提供更好的路径。
(四) 合规标准的不统一性易滋生犯罪
检察机关作为我国的法律监督机关,在合规不起诉制度的适用程序上具有时间优势与能动优势。在合规不起诉制度的推行中,检察机关处在一个关键地位,是案件定性的裁判者,企业合规整改的指导者,整改过程的监管者,企业利益的维护者。但在合规不起诉制度的适用过程中,外界对检察机关权力的监管较弱,且现有的法律法规对于数据合规标准并没有明确的规定,检察官对于合规整改标准的自由裁量权较大。规范指引和统一标准的缺失,将引起裁判中立性的偏离,易滋生渎职或腐败性犯罪。除此之外,在合规整改的过程中,在第三方审核时,也很难做到全方位的全面监管。那么检察机关该如何对平台企业一视同仁地设定处罚金额,以及在考察环节坚持公平正义避免对企业的过度惩罚,这些都对刑事合规不起诉的合规性运行提出挑战。
4. 数据合规不起诉制度的改革路径
(一) 严格区分企业责任与个人责任
企业合规不起诉制度是一个帮助因犯罪而陷入经营管理困境企业的制度。该制度针对涉案企业而设立,在该制度的适用过程中,应严格区分企业责任与个人责任,不应该“一刀切”地作出“双不起诉”的决定。美国学者菲利普·韦勒认为,企业合规不起诉制度本质上并不是为涉案企业的自然人犯罪提供为其脱罪的依据与便利,而是放过企业以严厉惩办涉案企业背后的实际负责人,在此基础上,应进一步明晰企业犯罪与个人的权责划分。在2017年雀巢公司侵犯公民信息案中,雀巢公司员工从多家与医院医护人员处获取公民个人信息,从而提高市场份额,虽表面上是以公司名义实施犯罪,实际上犯罪目的是提高个人业绩,违背了雀巢公司的意志。这样一看,雀巢公司的责任与员工的个人责任的划分是明晰的,这便成为了雀巢公司不承担刑事责任的直接依据。据此,在合规不起诉制度的适用过程中,还需要考察企业的自身制度安排,把握企业的真实意志,严格将适用对象限制在单位犯罪的企业而非个人[14]。
(二) 建立有效的监督管理制度
为了达到保护民营经济良性发展的根本目的,确保合规整改的有效性,建立有效的监督管理制度迫在眉睫。而欲建立起一套行之有效的管理制度,首先应当遵守数据合规的法律原则。数据合规的法律原则主要涉及确保数据处理行为的合法性、保护个人数据的安全以及维护网络空间的秩序安全等等。首先,数据处理需要遵守合法性原则,数据处理者在收集、使用、存储和管理数据时,必须遵守相关法律法规的规定,这意味着任何数据的处理活动都需要有明确的法律依据,不能违反法律赋予个人的权利,做到“法无规定不可为”。第二,数据收集需要遵守明示同意原则,即企业在收集个人信息时,必须获得数据主体的明确同意,这要求数据处理者向数据主体充分披露信息收集的目的、方式和范围,并且只有在获得其同意后才能进行相关数据处理活动,做到“不获许可不可为”。第三,数据处理需要遵守最小化原则,即在处理个人数据时,应当坚持“最少必要”的原则,即只收集与处理目的直接相关的数据,并且在达到目的后应及时删除这些数据,做到“范围最小,速度最快,保存时间最短”。第四,数据处理需要遵守透明化原则,即数据处理者应当向数据主体提供清晰的信息,包括数据处理的目的、方式和范围,以及数据主体的权利等,确保数据处理过程的透明度,做到“公开透明必须为”。最后,数据处理需要遵守安全性原则,即数据处理者应采取适当的技术措施,保护数据免遭泄露与被修改的风险,确保数据的安全和完整性,例如建立数据保密制度、对重点数据进行密切监管等。
在审查起诉阶段,检察机关对符合适用条件的企业作出不起诉的决定,并出具《合规整改意见书》,以确保帮助企业出罪的目的实现。在合规整改的过程中,第三方监管机构将全程评估企业的合规整改过程。第三方监管机构作为检察机关的重要辅助力量,首先需要保证机构人员的公正性与合理性。例如,在政法委牵头、检察院等各部门的共同参与和监督下,尊重涉案企业自身的合理意愿,由企业自行选择一批具备相关专业知识和具有相关资质的人员,再通过随机摇号的方式组成第三方监督组织,借助专业的力量来强化合规监督程序管理[3]。除此之外,对第三方监管机构的监督、考核与评估也应当纳入监督管理制度之中。在合规成果评估中,也应邀请多方组织或机构参与监督。本案中,Z公司的整改过程由第三方组织进行监管。该第三方组织同时吸纳了网信办、知名网络安全企业、产业促进社会组织等的专家成员,保证了专业性与公正性。在第三方组织评估合格之后,普陀区检察院通过开展听证会的方式,邀请全国人大代表、人民监督员、侦查机关、被害单位等参加或旁听,经各方评议后作出不起诉决定,确保监督评估考察公正透明。
(三) 制定科学合理的合规标准
涉案企业的合规整改评估结果是检察机关依法作出不起诉决定的直接依据。
近年来,各国纷纷出台数据保护领域法律法规来规范和指引有关数据活动。国际上数据合规标准的目的在于确保个人信息的隐私保护以及对于数据的安全管理。例如由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的标准ISO/IEC 27701,它提供了隐私信息管理体系的指导,帮助组织在处理个人隐私信息时建立、实施、维护和不断改进信息安全管理措施,它的发布标志着个人信息保护与隐私保护在全球范围内拥有了统一的、一致的标准;由欧盟颁布的一项强有力的数据保护法规通用数据保护条例(GDPR),旨在加强并统一欧盟成员国对于个人信息等敏感数据的保护,虽然严格来说是一项法规而非标准,但GDPR在数据保护方面设定了非常高的全球性标准,适用于所有在欧盟境内运营或处理欧盟公民数据的企业;由美国加利福尼亚州州政府颁布的一项数据隐私法《加利福尼亚州消费者隐私保护法案》(CCPA),为加州居民的个人信息提供了更强有力的保护,并对企业如何收集、存储、处理和分享加州居民的数据提出了具体要求。
目前我国并没有一套明确的合规标准,给检察机关留下了较大的自由裁量空间,而统一标准的缺失将引起裁判中立性的偏移。而在不同案件中,各个企业的经营规模、管理模式等等存在着差距,并不能以一套刚性标准予以规范。为了避免“纸上合规”的出现,检察院应当“因案制宜”“因企制宜”“因人制宜”,围绕涉案企业的内部治理结构、人员管理、经营方式等方面,从数据分级分类、数据来源合法性、用户授权与透明度等维度制定科学合理的合规标准。本案中,普陀区检察院经过实地调查与走访,Z公司的管理层及员工均存在只注重技术开发却轻视数据合规的问题,同时Z公司存在数据安全管理盲区、数据管理制度空白等合规风险。据此,普陀区检察院从数据合规整理、数据风险识别、数据合规运行与保障等方面向Z公司提出整改建议,实现了“因企制宜”“因案制宜”。
5. 结语
与传统的单位犯罪追诉模式“一罚了之”的模式不同,合规不起诉制度的适用带给了企业一个重新开始、重焕生机的可能性,以不起诉的方式激励企业积极整改自身结构,强化自我监督。刑事合规是一种与传统方式完全不同的全新打击企业犯罪模式,也是目前最优企业犯罪预防方法[9]。作为一个“舶来品”,合规不起诉制度正在不断本土化,进行着使其更加符合中国国情的改革探索。合规不起诉制度在保护民营经济良性发展、优化司法资源配置等方面起到了正面、积极作用。但作为一个还在试点阶段的制度,对于数据等较为新兴的领域,它还存在着诸如评价标准不统一等的问题,还需要进行针对性的完善与改革。
基金项目
浙江省大学生科技创新活动计划(新苗人才计划) (2025R407A039);《Wowpic美刻——设计服务与知识产权智能运营》。