数据安全视角下企业刑事合规的检视与治理

数据的广泛使用在促进数字经济快速发展的同时，也面临数据的收集、使用、存储、管理和流转风险，并滋生有关刑事法律风险。为维护数字安全，实现数据价值，应构建以预防数据安全风险为核心的数据安全治理新范式，企业刑事合规正是其中的关键治理手段。大数据背景下，我国企业刑事合规存在理念认识不够到位、专业监管能力不足、技术合规适用空白等问题。对此，可在维护数据安全为导向的新形势下，拓展和完善企业刑事合规，以开展企业数据合规为要，探索实现法律与技术合规二元共治，持续优化涉案企业数据合规第三方监督评估机制，并落实企业数据合规刑行衔接。     

企业合规"待办清单"

《数据安全法》被视为我国网络空间与信息安全治理的三部基础性法律之一.其着力于从保障数字经济发展角度,强调数据安全与经济发展的辩证关系,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展.企业应明确《数据安全法》下的合规应对措施,梳理出一张"待办清单",以尽快落实合规措施,加强数据安全管理.     

检察机关数据合规评价标准与展开路径

检察机关数据合规探索集末端处置与前端治理于一体,对推动企业刑事犯罪治理、助力数字经济发展具有重要意义。数据领域网络爬虫行为的入刑评价应综合行为方式违法性与所获数据性质进行综合判断,而对企业数据合规风险的预防控制需要兼顾技术规范化与管理专业化标准。检察机关开展数据合规监督考察应当准确把握第三方监督评估机制适用范围与介入阶段,重点提升数据合规监督评估的有效性,并从事前防治、事中矫治、事后共治三个维度优化涉案企业合规全流程办案机制,推动促进数字行业健全数据合规经营体系。     

合规整改中的高层承诺原则

高层承诺原则是企业建立和实施有效合规计划的重要制度保障。理解高层承诺原则的关键是区分“合规治理职能”与“合规管理职能”,企业董事会、执行团队应在领导、监督和实施合规治理职能方面发挥关键的作用,从而为企业的合规管理活动创造条件。根据该原则,企业高层需要建立合规领导机构,制定专项合规计划,并确保合规计划的持续改进和完善;通过制定商业行为准则、发表声明、参与培训和交流以及率先垂范等方式,向全体员工、投资人、分支机构、商业伙伴等传达合规治理的企业文化、价值观念和合规管理的知识技能;保证合规管理的人力物力财力等资源投入,有力地协调合规与业务的关系。最高层对合规治理的承诺和重视,将成为企业合规治理的“动力之源”,是企业合规管理可持续发展的一种强大支撑力量。     

数据安全合规标准的建立与发展

随着数字经济社会高速发展,数据安全日益成为关乎数字经济发展的核心内容,同时数据安全合规问题也是企业合规的新兴领域,具体的数据安全合规参考标准问题近年来常引起争议,如果不确立明确有效的数据安全合规标准,为数据处理者提供准确的法律支撑,可能会导致其面临数据安全的行政或刑事法律风险。数据安全合规标准实质上是对数据全流程处理的法律规范指引,可以从合规风险精准管控,全流程体系化覆盖,管理机构、人员及技术专业性,违法行为及时查处等方面入手,对数据安全合规进行标准化审查。     

来自“世界3”的知识欺诈:生成式人工智能的刑事风险应对

ChatGPT的出现标志着生成式人工智能在语义理解和知识创造上逐渐向类似人类的方向进化。通过ChatGPT的知识代理式协助,人类开启了与客观知识世界间的双向交互,这虽然增强了知识获取的灵活性和针对性,但也带来了工具性的技术滥用风险和内因性的数据安全风险。这两类风险加剧了虚假信息传播、犯罪方法传授、用户数据泄露等危害行为的异化,对传统事后回应型治理模式提出挑战。对此,犯罪治理应围绕技术加速迭代与治理资源不足间的显性矛盾,以及平台权力扩张与监管力量失衡间的隐性矛盾,从“看门人义务”的体系性完善和数据安全监管义务的实质性强化出发,将立法导向内嵌于技术理性之中,探索符合人类社会发展需要的生成式人工智能治理机制。     

论数据安全的客体

数据安全与网络安全以及个人信息保护等法律制度相互关联，数据与信息、安全与保护等法律概念相互杂糅，导致数据安全客体范围不清晰。从数据的价值实现、数据安全的独立性、数据安全保护机制及数据利用方式等四个维度，可以辨析出数据安全客体应当是：动态开发利用中的数据、电子记录方式的数据、“风险—控制”社会安全管理意义上的数据、适用算法处理的集合性数据。在有关数据安全的立法、执法和司法活动中，应清晰辨别数据安全的客体，才能将数据安全制度落到实处，促进数字经济健康发展。     

类ChatGPT模型在数字检察中的应用前景及规制

类ChatGPT模型作为多模态大模型，相较于传统人工智能，在数据分析与处理能力、专业素养、自然语言生成及理解能力等多个方面表现出色，这为我国数字检察实践提供了诸多机遇。但类ChatGPT模型也可能带来法律伦理与责任、技术可靠性以及数据安全等问题。为应对类ChatGPT模型给数字检察带来的风险，需要确立人工智能技术应用于数字检察的一般性原则；建立问责制度，促进司法人工智能应用的规范化、法治化；建立审查制度；建立数据安全制度，保障国家数据安全与公民个人信息安全。     

数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》

数据跨境流动需要在法理层面反思。从理论与实践出发，可以提炼数据无国界、数据主权、数据自由贸易、数据人权保护四种基础法理。这些法理存在部分合理性，但也存在重大困境。作为替代，应将数据安全主权作为数据跨境流动的法理基础。数据安全主权秉持安全不可分割与人类命运共同体原则，既平等回应各国对数据安全的合理关切，又反对单边主义与霸权主义，可以成为国际数据跨境流动的重叠共识。我国的《数据出境安全评估办法》等数据出境制度整体上与数据安全主权的法理高度吻合。但在风险认知上，需要采取合理、开放、动态的安全观。在具体法律工具上，需要针对个人信息、重要数据与关键信息基础设施采纳不同的风险评估方式。     

民营企业合规建设服务联盟的实践探索

近年来,因部分国内企业缺乏合规经营意识及合规风险防控能力,导致其所面临的法律风险急剧增加。晋江市人民检察院根据本地民营经济发达、企业合规建设需求大的实际,从源头治理的角度牵头辖区25家单位成立民营企业合规建设服务联盟,构建"合规体检+涉案企业刑事合规+合规人才培训+专家论坛+法治教育"五位一体服务格局,并注重解决合规报告的运用、保密原则的落实、第三方组织独立性的保障、行业合规指引内容的确定等问题。在实践中,将进一步探索完善企业合规人才培养机制、涉案企业合规第三方监督评估机制等,为营造法治化营商环境贡献检察力量。     

“ChatGPT带来的风险挑战及法律应对”三人谈

编写代码、创作诗歌、完成论文……最近,ChatGPT风靡全网。ChatGPT凭借高超的数据搜集和数据整理输出能力,迅速吸引了大量用户注册使用,掀起了人工智能发展应用的新高潮。不过,ChatGPT在不断开辟新的应用场景的同时,也带来了知识产权、个人信息保护、数据安全等一系列法律风险,对此如何有效应对?本刊特邀请专家学者对相关问题进行探讨,敬请关注。     

生成式人工智能的法律规制——以ChatGPT为视角

以ChatGPT为代表的生成式人工智能技术落地与大规模应用，改变了人类与人工智能的传统交互模式，对社会生产方式产生了重大变革。国际国内都出现了对人工智能主体地位及法律规制等方面的学术探讨，以应对生成式人工智能引发的伦理道德、知识产权保护、隐私与数据保护、市场垄断、网络犯罪和数据安全等一系列风险。在现阶段，我国生成式人工智能治理，应坚持安全与发展相平衡的理念，在以人为本的原则统领下设计人工智能伦理准则，推动构建以通用人工智能立法为基础，以生成式人工智能专门性管理办法为补充，以既有法律规范为根本的系统性人工智能法律规范体系。     

数据合规治理中的律师作用

<正>2022年12月19日发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（下称《数据二十条》），明确数据处理主体应当履行数据合规主体责任、社会责任，提出政府、企业、社会多方协同治理的数据合规治理体系。律师作为专业法律服务人员可以通过参与构建数据基础制度、协助相关部门完成评估、整改方面的法律事务、维护权利人合法权益等方式，积极参与共建数据合规治理体系。     

企业合规整改中的相称性原则

无论是涉案企业建立合规管理体系，还是检察机关对企业的合规整改作出考察和评估，都要以有效预防同类犯罪再次发生为目标，引入相称性原则。根据这一原则，企业的合规整改工作应与所要达到的合规目标相契合，并与企业的规模、涉罪性质、行业特点、业务范围、合规风险等相适应，避免使企业承受过度的和不必要的合规负担。这既可以防止司法机关滥用权力，实现有效合规整改的目标，也有助于确保合规资源合理配置，维护司法正义原则。目前，英国、法国和美国在合规整改制度中已经确立相称性原则，甚至还将这一原则奉为有效合规的制度保障和核心理念。我国检察机关在合规改革试点中已经初步引入了相称性原则，并据此确立了有效合规建设、考察、评估的基本标准，甚至根据企业规模初步创设了“范式合规”与“简式合规”这两种合规整改模式。通过总结我国合规改革试点的有益经验，我们可以从完善合规整改模式和改进合规体系建设的角度，提出全面确立相称性原则的基本思路。     

ChatGPT:人工智能的通用性发展及其法律规制

ChatGPT作为一种基础模型,体现出极强的通用性特点,可被用于多个领域和多种任务。这一特点在为社会提供助益的同时也引发了新的法律风险:首先,ChatGPT这种基础模型的同质化与编辑的便利性使得其极易被推广适用并与其他领域的风险叠加,造成系统性的社会风险;其次,ChatGPT产生和运行过程中的多主体性造成了“多手问题”,进而引发责任性上的困境;最后,ChatGPT的迅速推广与广泛的可及性可能引发道德观与价值观的冲突。为此,有必要将责任性作为人工智能规制的核心追求,确立各主体之间的共担责任原则,在此基础上明确人工智能创新与安全并重的规制目标,加强人工智能算法、标识等的透明化程度,健全包括社会影响评估在内的人工智能风险评估机制,促进人工智能与人类的价值融合。     

数据安全认证:个人信息保护的第三方规制

契合"放管服"改革理念的数据安全认证,在数字时代整个规制法体系中必将占据日益重要的地位。数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免"一刀切"的政府规制,可以满足社会公众多元的数据安全需求。数据安全认证机构应具有高度的独立性与专业性,防止其被互联网企业"俘获"或成为政府的"附庸"。宜实行自愿为主、强制为辅的数据安全认证模式。认证程序应强调公正透明性,认证标准应注重评价企业数据合规的制度建设。根据过错责任原则,分别设置数据安全认证机构"相应的赔偿责任"或"连带责任",并加大对数据安全认证违法行为的公法责任追究。科学构建法治化的数据安全认证体制机制,不仅是保障数据安全的现实需要,而且是弥补数字时代政府规制缺陷的迫切需求。     

企业合规制度的三个维度——比较法视野下的分析

建立一种有效的合规计划,已经成为西方企业进行内部治理的重要方式。我们可以将合规管理与业务管理、财务管理视为当代公司治理的三大组成部分。但是,西方企业之所以在建立合规计划方面具有强大的动力,是因为合规在刑法上具有多重激励机制,也就是,建立有效的合规计划可以成为涉嫌犯罪的企业寻求不起诉、作出无罪抗辩、获得减免刑罚乃至与监管机构签署暂缓起诉协议的重要依据,企业由此可以最大限度地减少损失。也正是在这种刑法激励机制的作用下,西方律师业逐渐发展出来一种重要的合规业务,将独立的合规调查、对监管起诉的应对以及合规计划的打造作为这种业务的基本内容。只有将企业合规同时视为公司治理的手段、刑法上的激励机制以及律师协助企业防范法律风险的业务,才能对其形成一种完整的理解。     

数据犯罪刑事治理逻辑的消极预防转向与实践展开

积极预防刑法观主导的数据犯罪刑事治理思路着眼于风险管控,以安全价值为优先考量、以维护社会管理秩序为首要任务,主要表现为数据法益抽象化、行为入罪早期化、平台责任加重化。国家刑罚权的急剧扩张使得规制手段与所要达到的目的不成比例,数据治理在立法和司法上均陷入过度犯罪化的窠臼,不仅压缩了公民自由权利的行使空间,而且阻碍了数据要素的流动利用。贯彻数字经济“坚持促进发展和监管规范并重”的指导方针,刑法干预数据犯罪应恪守比例原则统辖下的刑法克制主义,从积极预防转向兼具预防性与有限性的消极预防,统筹兼顾数据要素开发利用与安全保障两大价值。数据犯罪刑事治理应以保障公民自由权利免于遭受不当干涉和限制国家刑罚权的范围及强度为目标,从法益论、不法论、刑罚论三个层面贯彻消极预防刑法观:在确定数据犯罪相关罪名的保护法益时,秉持以保障个人自由为本位的数据法益观;在判断数据犯罪行为的可罚性时,贯彻基于结果无价值论的实质危害原则;在对数据处理者施加刑事责任时,引入数据安全合规的刑法激励机制。     

有效合规管理的两种模式

自我国监管部门引入合规监管方式以来,有效合规管理大体形成了两种相对独立的制度模式。其中,日常性合规管理是企业在行政监管部门的指导和监督下,以预防相关合规风险为主要出发点,建立常态化的合规管理体系;合规整改则是企业在行政机关、司法机关的执法压力下,或在国际组织采取制裁措施的情况下,以减轻处罚或者取消制裁为目标,针对业已暴露的违法、违规或犯罪行为,采取有针对性的合规整改措施。在确保企业有效防控合规风险方面,这两种合规管理模式各有其制度结构和公司治理功能,也存在着各自的优劣得失。在企业合规管理体系的建构方面,这两种模式既可以相互转化,也可以相互补充和完善。     

小微企业简式合规程序的检察探索

司法实践中，我国企业合规案件主体多为中小型企业。小微企业适用刑事合规，具有合规基础薄弱、合规风险相对集中、合规激励对其效果有限等特点，因此探索适合小微企业合规特点的合规程序就有了紧迫性。通过简化程序，注重实质考察，探索差异化的简式合规审查模式与考察标准，构建一条适合小微企业“治罪”与“治理”并重的简式合规道路，是拓宽检察机关服务保障经济社会发展的渠道途径，更是创新企业犯罪司法治理模式的重要举措。