数据安全视角下企业刑事合规的检视与治理

数据的广泛使用在促进数字经济快速发展的同时，也面临数据的收集、使用、存储、管理和流转风险，并滋生有关刑事法律风险。为维护数字安全，实现数据价值，应构建以预防数据安全风险为核心的数据安全治理新范式，企业刑事合规正是其中的关键治理手段。大数据背景下，我国企业刑事合规存在理念认识不够到位、专业监管能力不足、技术合规适用空白等问题。对此，可在维护数据安全为导向的新形势下，拓展和完善企业刑事合规，以开展企业数据合规为要，探索实现法律与技术合规二元共治，持续优化涉案企业数据合规第三方监督评估机制，并落实企业数据合规刑行衔接。     

ChatGPT的数据安全风险及其合规管理

ChatGPT在积极赋能社会各领域发展过程中也隐含着数据安全风险,可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则,将合规管理方式引入到ChatGPT的数据安全风险治理体系,创新ChatGPT数据安全风险的治理方式。以合规管理方式治理ChatGPT的数据安全风险,需要ChatGPT的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理,并从数据合规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。     

企业合规"待办清单"

《数据安全法》被视为我国网络空间与信息安全治理的三部基础性法律之一.其着力于从保障数字经济发展角度,强调数据安全与经济发展的辩证关系,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展.企业应明确《数据安全法》下的合规应对措施,梳理出一张"待办清单",以尽快落实合规措施,加强数据安全管理.     

企业数据合规的构建与落地

2022年,党的二十大报告指出,要“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”。数字经济已成为产业变革的重要引擎,是高质量发展的核心驱动力。伴随数字经济时代的到来,国内数据保护立法取得了飞跃式发展。网络安全法、数据安全法、个人信息保护法等共同构建了我国数据保护领域的行政监管法律体系,其中不仅规定了数据处理基本规则,还规定了企业数据合规管理义务,这种预防性监管方式标志着数据领域全行业强制合规制度的确立。     

数据安全认证:个人信息保护的第三方规制

契合"放管服"改革理念的数据安全认证,在数字时代整个规制法体系中必将占据日益重要的地位。数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免"一刀切"的政府规制,可以满足社会公众多元的数据安全需求。数据安全认证机构应具有高度的独立性与专业性,防止其被互联网企业"俘获"或成为政府的"附庸"。宜实行自愿为主、强制为辅的数据安全认证模式。认证程序应强调公正透明性,认证标准应注重评价企业数据合规的制度建设。根据过错责任原则,分别设置数据安全认证机构"相应的赔偿责任"或"连带责任",并加大对数据安全认证违法行为的公法责任追究。科学构建法治化的数据安全认证体制机制,不仅是保障数据安全的现实需要,而且是弥补数字时代政府规制缺陷的迫切需求。     

论数据处理者的数据安全保护义务

数据处理者的数字基础设施法律地位、履行财产权社会义务的要求以及数据的公共安全属性决定了数据处理者应承担数据安全保护义务。数据安全保护义务制度构建围绕数据分级保护、数据全生命周期保护、数据处理环境保护三方面展开。数据分级是数据全生命周期保护和数据处理环境风险防控的基础;数据全生命周期保护包括内部环节和外部环节的保护措施;数据处理环境保护包括数据风险监测和评估义务、数据处理人员教育培训义务、设置数据安全负责人和管理机构义务、数据泄露通知义务。数据安全保护义务法律责任的重心是行政处罚而非民事赔偿,应注重发挥行政处罚的惩戒和教育功能,限缩私法赔偿中的结果责任。合理配置数据处理者的行政处罚责任,有助于促进数据处理者发挥数据要素资源流转配置作用,防止市场垄断加剧。     

我国个人信息匿名化的法律标准与规则重塑

大数据时代,匿名化规范既是个人信息保护中风险预防的手段,也是我国数据经济发展中数字流通的法律基础,但匿名化的法律标准在我国法律中还有待明确。欧盟已通过《一般数据保护条例》提出明确的匿名化标准,但该条例基于流程设置的标准适用于欧盟境内尚可,适用于我国或显得过于严苛,有碍数字经济的发展。我国个人信息匿名化法律标准与规则的重塑应当考虑环境、再识别风险,建议进行功能性匿名化。将比例原则应用到我国匿名化法律标准和规则的重塑之中,并将其引入到评估匿名信息接收者的风险等级,有助于降低个人信息被再识别的风险亦有利于匿名化的法律标准制定和规则构建。     

论数据安全的客体

数据安全与网络安全以及个人信息保护等法律制度相互关联，数据与信息、安全与保护等法律概念相互杂糅，导致数据安全客体范围不清晰。从数据的价值实现、数据安全的独立性、数据安全保护机制及数据利用方式等四个维度，可以辨析出数据安全客体应当是：动态开发利用中的数据、电子记录方式的数据、“风险—控制”社会安全管理意义上的数据、适用算法处理的集合性数据。在有关数据安全的立法、执法和司法活动中，应清晰辨别数据安全的客体，才能将数据安全制度落到实处，促进数字经济健康发展。     

类ChatGPT模型在数字检察中的应用前景及规制

类ChatGPT模型作为多模态大模型，相较于传统人工智能，在数据分析与处理能力、专业素养、自然语言生成及理解能力等多个方面表现出色，这为我国数字检察实践提供了诸多机遇。但类ChatGPT模型也可能带来法律伦理与责任、技术可靠性以及数据安全等问题。为应对类ChatGPT模型给数字检察带来的风险，需要确立人工智能技术应用于数字检察的一般性原则；建立问责制度，促进司法人工智能应用的规范化、法治化；建立审查制度；建立数据安全制度，保障国家数据安全与公民个人信息安全。     

合规，互联网新使命

<正>当前,大数据、人工智能等技术快速迭代,给互联网经济蓬勃发展插上了翅膀。科技赋能未来的同时,也带来了合规经营方面的烦恼。由于行业的特殊性,互联网企业几乎各个环节都面临合规风险。如电商平台商家刷单、侵犯隐私权、行业垄断二选一、大数据“杀熟”、网络黑产、数据安全等问题,违法犯罪行为涉及互联网经济运营的全链条。一些互联网大厂被处罚,也给行业健康发展敲响警钟。     

论数字时代个人信息的刑法保护路径选择

在数字经济时代,针对个人信息的保护存在两种路径,鉴于“基于权利的方法”存在一系列的缺陷,“基于风险的方法”正逐渐兴起。“基于风险的方法”的重点在于风险分析,其具有将个人信息保护从“纸面的官僚要求”向“实践中的合规”转变等优势。“基于风险的方法”将个人信息保护的责任更多地赋予信息处理者,这在我国《个人信息保护法》等法律法规中已有体现。“基于风险的方法”仅是对元监管的部分实施,其主要目标是改善、加强法律框架的合规内化与实施,更强调对信息处理者的问责,其并未将个人信息保护标准制定权授予信息处理者,故有必要引入“合规风险”的概念。在“基于风险的方法”的视域下,个人信息的界定与分类应根据场景作动态判断,侵犯公民个人信息罪之“违反国家有关规定”应是缺乏“同意”的上位概念,信息主体之同意并非判定是否构成本罪的唯一标准。同时,若信息处理者未制造、实现“合规风险”的“后果”要素,则不构成本罪。     

从规制合规迈向合作规制:以食品安全规制为例

食品安全法制体系的建立健全使得食品安全法治的重点转向法律实施,如守法和执法。其中,食品安全法律要求的不断趋严,使得食品生产经营者日益重视有助于履行法定义务要求的规制合规,并出现了服从性合规、竞争性合规、外生性合规、内生性合规、象征性合规和创造性合规等不同选择。鉴于此,规制者以合规导向的执法替代威慑导向的执法,并由此促进了合作规制的发展。然而,如何回应不同的合规选择和促进规制者和被规制者之间的合作,依旧有赖于规制者构建风险交流、责任约谈、精准普法等促进彼此交流法律认知和分享信息的支持性制度和改进许可、标准等工具适用中的单向且刚性要求。     

因应数据要素市场化配置全周期治理的挑战

数据是推动数字经济发展的关键要素，因为其不仅是数字经济高质量发展的基础原料和创新要素，也具有巨大的市场交易价值与交易需求。近年来，国家在顶层设计和相关具体法律法规及政策方面对数据要素的全周期治理给予了高度重视。数据要素的市场化过程复杂，各环节相互关联，通过全周期治理能够充分审视问题，以问题为导向，探索具有可及性和可行性的对策。当前，面对数据要素全周期治理中数据权属制度待落地、数据交易市场秩序待规范、数据市场竞争规则待明晰、数据安全保障制度待提升等问题，建议以“与数据相关行为”为基准细化数据权属设置；明确数据交易中心（所）在数据要素市场化中的地位；规范数据市场竞争行为，完善数据竞争规制方法，将认定的重点转向竞争行为正当性标准；细化数据安全规则相关内容，从内外两个层面加强数据安全治理，形成法治架构下的数据要素市场化配置的全周期治理格局与方案。     

数字版权产业交易模式法律风险控制

数字版权产业存在不确定的诸多因素部可能形成客观存在的风险。建立数字版权产业交易模式，要关注并分析这些引发风险产生的事实，并客观地评价这些政策与法律风险。科学评价和有效控制该等交易模式法律与政策风险的核心，是正确判断引发风险的相关事实是否会集中转化为法律事实。在此基础上，建立法律与政策风险控制的流程，并将其制度化。     

银行个人理财产品的法律分析

近年来,个人理财产品已经成为各家商业银行竞争的焦点之一。尽管个人理财产品名目繁多、类型多种,但其特点均为:法律结构具有不确定性、交易标的具有虚拟性、合约内容具有概括性。其法律风险具有特殊性与普遍性相结合、多样性与不确定性相结合、复杂性与复合性相结合的特征。其主要法律问题包括市场准入问题、理财资金投向的合法合规问题、理财产品法律关系定位问题、风险提示问题、客户知情权保护问题、理财产品宣传和销售中的问题、知识产权保护问题、银行收费的合法合规问题、理财产品收益的税收问题等九大问题。     

“数据合规官”的角色与责任

“首席隐私官”“首席安全官”“信息合规官”“数据合规官”“数据安全官”……在数据隐私合规的大环境下,催生出了大量合规方面的工作岗位,这些岗位可以成为法律人施展专业能力的新舞台。这种岗位的设置最初可以追溯到欧盟于2018年5月25日出台的《通用数据保护条例》。     

云数据跨境流动的监管

<正>数字经济发展进程中，云数据具有极高的经济价值和战略价值。当下“云端”安全的内涵和外延发生了深刻变化，涵盖跨境数据流动。对云数据跨境流动的监管，是“云端”安全防护的题中应有之义。跨境数据安全随着企业数据跨境传输、访问、使用频次和容量大幅上升，跨境数据流动的风险越来越大。据《企业跨境数据流动安全合规白皮书（2023）》，当前企业在跨境数据流动上面临多重挑战：一是跨境数据流动面临流出国与流入国之间在数据保护、数据监管等方面的法律冲突；二是依据我国相关法律法规，企业须识别跨境数据在境内、     

民营企业合规建设服务联盟的实践探索

近年来,因部分国内企业缺乏合规经营意识及合规风险防控能力,导致其所面临的法律风险急剧增加。晋江市人民检察院根据本地民营经济发达、企业合规建设需求大的实际,从源头治理的角度牵头辖区25家单位成立民营企业合规建设服务联盟,构建"合规体检+涉案企业刑事合规+合规人才培训+专家论坛+法治教育"五位一体服务格局,并注重解决合规报告的运用、保密原则的落实、第三方组织独立性的保障、行业合规指引内容的确定等问题。在实践中,将进一步探索完善企业合规人才培养机制、涉案企业合规第三方监督评估机制等,为营造法治化营商环境贡献检察力量。     

为什么刑事合规是企业管理的必修课?

开栏语:合规经营是企业健康发展的根基,其申刑事合规是企业生存的底线。但受法律知识和经验的限制,很多金业管理者甚至金业的法务人员都无法准确识别刑事风险,更谈不上进行刑事合规管理。为了帮助企业和企业管理者更好地进行刑事风险识别,本刊开设“企业合规”专栏,特邀具有丰富理论研究和实践经验的娄秋琴律师以金业管理刑事合规为主,辅以部分金融合规的内容,为金业保驾护航。     

政府履行数据安全保障义务研究——以企业报送数据为视角

在数字政府战略背景下，政府基于公共目的要求企业报送的数据有不断增多的趋势。目前，因法律规定不明确和行政权力缺乏监督等原因，政府对企业报送数据的安全保障存在诸多不足，尤其在数据收集及其后的处理环节存在安全隐患。为促进政府履行数据安全保障义务，根据权利义务相对平衡理论，政府应完善数据安全保障措施，以防企业报送数据过程成为数据泄露的风险点。