忽如一夜春风来,千树万树梨花开--从中国刑事合规第一案,看数据合规的必要性

来源:中联贵阳

文章摘要
从电视新闻、身边朋友的遭遇等日常信息来源中,我们常常可以听到或看到某公司触犯刑法之后,不仅公司受到了处罚(被判处一定数量的罚金),而且公司的负责人也同时被判处管制、拘役、有期徒刑等刑罚。

从电视新闻、身边朋友的遭遇等日常信息来源中,我们常常可以听到或看到某公司触犯刑法之后,不仅公司受到了处罚(被判处一定数量的罚金),而且公司的负责人也同时被判处管制、拘役、有期徒刑等刑罚。公司犯罪,负责人往往也要承担相应的刑事责任,为什么会导致这样的结果?作为公司的负责人如何防范因公司员工犯罪给公司及公司负责人带来的刑事处罚风险呢?本文从分析刑法制度下公司犯罪采取“双罚制”出发,结合中国刑事合规第一案,强调在数据行业强监管时代下,公司合规体系建立的重要性。
一、我国的刑法制度对公司犯罪采取“双罚制”
从民事责任承担的角度来说,“有限责任”是现代公司制度的基本特征,虽然《中华人民共和国公司法》将我国的公司类型分为有限责任公司和股份有限公司,但两类公司股东均承担有限责任。具体来说,公司以其全部财产对公司的债务承担责任,但股东对公司债务的责任仅限于对公司的认缴出资额或认购的股份。
刑事责任承担却不一样,我国刑法对于公司犯罪采取的是“双罚制”原则,既处罚公司,也处罚公司直接负责的主管人员和其他直接责任人员。因此一般来说,假如公司的某犯罪行为经过公司决策(例如股东会、董事会等)或者法定代表人以公司名义直接实施的,且实施目的是为本公司全体、大多数成员谋取利益,那么不仅公司会被受到刑事处罚,其主要负责人也要受到刑事处罚。
但是,随着公司治理结构日渐复杂化和专业化,越来越多的大型公司、跨国公司都面临着如何对分支机构、第三方乃至普通员工进行管理、控制和监督的问题。假如公司分支机构的某一员工以单位名义、为了实现公司利益,实施了某种违法犯罪行为,那么该公司在什么情况下可能因此承担刑事责任?换言之,在公司员工实施犯罪行为并辩称为“公司行为”的情况下,公司究竟如何实现公司责任与员工个人责任的有效切割?
二、公司合规体系的建立成为刑事处罚的抗辩理由
2011年至2013年9月,郑某、杨某分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理期间,为了抢占市场份额,推销雀巢奶粉,授意兰州分公司婴儿营养部员工杨某某、李某某、杜某某、孙某通过拉关系、支付好处费等手段,多次从兰州大学第一附属医院、兰州军区总医院、兰州兰石医院等多家医院医务人员手中非法获取公民个人信息,其行为已经触犯了侵犯公民个人信息罪。但郑某、杨某某、杜某某均认为自己的行为系公司行为,自己的行为是按照公司要求所做的,所获取的信息都是提供给公司的,上述侵犯公民个人信息罪的行为系公司犯罪,而非个人犯罪。
但兰州中院经审理后认为:“单位犯罪是为本单位谋取非法利益之目的,在客观上实施了由本单位集体决定或者由负责人决定的行为。雀巢公司手册、员工行为规范等证据证实,雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为,各上诉人违反公司管理规定,为提升个人业绩而实施的犯罪为个人行为。”据此,兰州中院裁定驳回上诉,维持原判。
通过本案我们回到刚才的问题:在公司员工实施犯罪行为并辩称为“公司行为”的情况下,公司究竟如何实现公司责任与员工个人责任的有效切割?在本案中,雀巢公司日常公司治理建立了一定的合规体系审查制度,《雀巢指示》以及《关于与保健系统关系的图文指引》等文件中明确规定,“对医务专业人员不得进行金钱、物质引诱”。对于这些规定,雀巢公司要求所有营养专员都需接受培训,并签署承诺函。因此,法院才据此判处个人承担刑事责任,与雀巢公司无关。由此可见,公司合规体系的建立可以成为刑事处罚的抗辩理由。
2020年3月,最高检启动涉案企业合规监管试点工作,在全国确定了上海、江苏、山东、广东的6个基层检察院作为第一期试点单位。今年3月扩大试点范围,在北京、上海、广东等10个省份的27个市级检察院、165个基层检察院第二期试点工作。一些非试点省份的检察机关也根据本地情况,积极主动在法律框架内开展企业合规改革的相关工作。据最高检案管办统计,2021年上半年全国检察机关对非国有公司企业事业单位人员犯罪不批捕7000人,不起诉9858人。
因此,从上述案例及数据统计来看,若公司在日常的治理当中建立合规体系并加以实施的,一方面可以为公司规避许多法律风险,同时在受到刑事处罚时,也可以成为公司抗辩的理由之一。
三、数据行业强监管的来临,使得数据合规成为必要
谈完了上面的刑事合规,我们再来谈一下为什么企业合规制度的建立,对数据行业特别重要。以数据行业最常见罪名“侵犯公民个人信息罪”举例,笔者检索了2001年至今,法院公开的判例中涉及侵犯公民个人信息罪的案例,如图:


通过以上数据图我们可以看到,在2016年之后,侵犯公民个人信息罪的案件数量呈直线上升的趋势,并且其中6903个案件被判处了有期徒刑,1085个案件被判处了拘役,其中包含缓刑的案件有4061件,免于刑事处罚的仅55件。
根据《中华人民共和国刑法》第二百五十三条之一之规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,前述规定中的“违反国家有关规定”是指违反法律、行政法规、部门规章有关公民个人信息保护的规定。因此,企业在日常经营中违反行政法规、部门规章的,不仅可能面临行政处罚,情节严重的,还将可能面临刑事处罚。
在经历数据行业的野蛮生长之后,国家逐渐意识到数据作为一种无形资产的价值,以贵州省为例,大数据行业甚至已经成为促进贵州省经济发展、对外展示的重要名片。但是由于数据行业监管不规范带来的犯罪,包括滋生的下游犯罪,如诈骗、暴力催收、勒索等,让数据成为了一把双刃剑。于是,国家不断出台新的法律法规,加强对数据行业的监管,通过目前国家颁布的法律法规来看,对数据行业的强监管时代已经来临,因此建立企业合规体系,防范由此引起的民事、行政、刑事等法律风险已成为必要。
四、以侵犯公民个人信息罪为例,浅谈刑事数据合规的方法
根据最高人民检察院颁布的《检察机关办理侵犯公民个人信息案件指引》,对侵犯公民个人信息罪的审查可以从“公民个人信息”、“违反国家有关规定”、“非法获取”、“犯罪情节”以及“关联犯罪”五个方面进行认定。针对这五个方面,如何做好数据合规,建议如下:
1、关于数据信息采集:企业在采集公民个人信息前应采取显著标识符号提请公民注意其个人信息正在被收集,告知公民采集用途。
2、关于数据信息处理:企业在采集信息过程中应注意区分信息等级、规避高敏感度信息(行踪轨迹信息、通信内容、征信信息、财产信息),或采取技术手段将个人信息“脱敏、匿名化”。
3、关于数据信息使用:企业应妥善保存本单位所采集信息并注意数据流向,尤其应避免信息的后续不当滥用,流向可能涉及利用数据进行互联网电信诈骗等犯罪的领域。
4、关于数据信息流通:应当注意数据资产确权问题和数据泄露溯源问题。可采用数字水印技术,将数据的供需双方身份信息嵌入原始数据中,实现用户身份和数据资产的关联;通过水印提取并还原用户身份信息,达到对数据所有权和使用权鉴别并追溯数据使用的目的。
五、结语
前些年数据行业作为一个新兴行业,人们普遍没有认识到它的重要性。但随着互联网普及与大数据的应用,人们逐步认可“数据”在当今社会中存在的价值,可谓“忽如一夜春风来,千树万树梨花开”。然而,由于个人信息的泄露、大数据使用不规范等带来的一系列社会问题,也同步随着数据行业的发展逐渐显现。为规范数据行业的发展,国家在加强对数据犯罪处罚的同时,也同步颁布了《个人信息保护法》等相关法律法规以填补监管空白。在这样强监管的背景下,如果说数据行业之前的企业讲的是“攻城略地”,那么现在则应当是合规有序才能够谋求长足的发展。数据合规体系的建立并非一味的要求公司企业付出人力、财力,而是结合法律法规使得公司企业有序运行,规避可能因此引起的风险,促进公司企业的运作效率,规避法律风险与责任。

技术驱动法律,专业成就未来