今天南京刑事律师网的于冲带来主题是关于：数据安全犯罪规制引入刑事合规的必要性与正当性，希望能帮助大家。

　　所谓刑事合规计划，是指为避免因企业或企业员工相关行为给企业带来的刑事责任，国家通过刑事 政策上的正向激励和责任归咎，推动企业以刑事法律的标准来识别、评估和预防犯罪风险，制定并实施 遵守刑事法律的计划和措施。面对日益增强的数据安全风险和侵害数据安全犯罪的高发态势，有必 要在侵害数据犯罪治理中引入刑事合规计划，通过企业与国家、企业内部规章与刑法之间的功能性协 作，实现数据安全的立体化、协同化防护。

       单一刑法手段解决数据安全问题捉襟见肘 数据安全犯罪危害性大，不仅是对于数据安全本身的侵害，而且在当前数据安全犯罪产业化、链条化的背景下，数据安全犯罪正逐渐成为其他犯罪的上游犯罪、伴随犯罪，为诈骗罪、敲诈勒索罪甚至绑架 罪等其他犯罪提供预备阶段的犯罪助力; 加之互联网的倍增效应、放射效应，更加剧了数据安全犯罪的社会危害性。传统刑法在应对数据安全犯罪上，受制于刑法的最后性和谦抑性，只能在犯罪发生以后对相关行为进行评价，这种事后性评价对于数据安全的保护有其自身的局限性。因此，要抑制数据安全犯罪的产生，就必须适时地改变偏重事后惩罚的传统的消极犯罪预防理念，将其置于网络社会和数据安全 的大背景下予以重新审视，基于积极预防的理念提出新的犯罪预防措施。这就需要跳出国家刑罚权单向治理的旧有思路，在个人信息等数据犯罪的治理过程中引入企业的积极作用。 事实上，由于互联网的虚拟性和技术性，大量的行政法律法规、部门规章已经明确赋予了相关网络服务 提供者对于数据安全的保障义务。例如，2012 年《互联网搜索引擎服务自律公约》就规定搜索引擎服务 提供者应当协助保护用户隐私和个人信息安全，并在收到权利人相应通知后及时删除、断开相关侵权内容链接。2019 年 6 月《数据安全管理办法( 征求意见稿) 》从数据收集、数据处理使用和数据安全监督 管理三个方面规定了网络运营者对数据的管理义务和责任。 因此，在各种数据安全风险、数据安全漏洞倍增的背景下，仅凭刑事立法和司法的强制力作用，对于 侵害数据安全的犯罪总是捉襟见肘。即使风险刑法的提出，也更多的是强调风险增强，关注刑法外部强 制力、刑罚力的同时，忽视了企业自身的能动性，使企业只能处在被动接受国家刑罚权的强制力的地位。 刑事合规计划以避免刑事风险为目的，这正好同刑法的犯罪预防机能相呼应。从最本源的角度上看，企业实施刑事合规计划必然是“有利可图”的，不论是提高自身防控犯罪的能力，还是获得监管者在 处置违法犯罪活动时的奖励，都是对企业的积极信号，这与刑法规范本身的强制性产生了鲜明的对比。 总之，刑事合规的引入为企业提供了主动自律的机会和根据，引导企业在主动制定合规计划、实施合规活动、调整合规机制的过程中，逐渐将数据安全保障和数据犯罪预防意识融入日常的经营管理活动中。

       网络服务提供者保证人地位的应然要求 随着数字经济的发展，企业在拓展业务过程中，会在某个环节、某个领域成为数据的产生者、利用者、传输者、存储者以及交易者，这对数据安全在更广的范围层面带来了风险。例如，精准营销广告中， 企业为了实现精准营销，过度采集目标用户的基本信息、上网习惯、消费记录、位置信息，等等，进而组成 一个个的个人信息库。无独有偶，2018 年美国 Facebook 数据泄露事件中，剑桥分析公司( Cambridge Analytica) 不当获取 5 000 万 Facebook 用户的个人资料，用来为美国大选时精准推送信息，巨大的数据隐 私泄露影响了数百万 Facebook 用户。由此可见，大数据信息的庞大性、复杂性极易造成数据泄露、 公共利益受损的风险。由于数据企业成为当前数据资源的主要掌握者之一，一旦企业对大数据利用全的控制力度不足，就会带来大数据滥用的风险 。有鉴于此，行政立法为了数据安全，普遍对网络服务提供者设定了大量的数据安全保障义务。有观点认为行政立法对网络服务提供者数据安全保障义务的增加，过度提高了网络服务提供者的责任。笔者认为，对于网络服务提供者的数据安全保障义务，应当首先正视网络服务提供者对数据的持有、存储和管控状态以及网络服务提供者基于这种对数据的管控状态所形成的保证人地位。诚如罗克辛( Claus RoXin) 教授所言，身份本身作为保证人地位 判定的根据，基于特定主体身份对危险源的管控，或者基于对特定法益的保护，使得行为人取得了相应 的作为义务。

       因此，网络数据服务商基于其业务范围、服务领域的资质要求等，均产生了相应的保障其业务范围领域内数据安全的责任。 在刑事合规制度中，合规计划本身具有提示潜在犯罪风险、提供风险处置办法、提出风险规避策略的作用; 更为重要的是，在其他国家的刑事合规制度实践中，企业刑事合规计划的存在与否、实施效果好。甚至能够直接影响对企业犯罪的定罪量刑，具有阻却犯罪、减免处罚等多种功能，成为企业抵御犯罪 风险、减少犯罪损失的重要手段，而由于刑事责任在法律责任体系中的兜底性地位，企业刑事合规也就 成为防范企业犯罪的“第一道防线”。 总之，刑事合规计划具有基础性、明确性的优势，刑事化的数据合规机制不仅有助于缓解企业外部 刑法治理的压力与负担，而且为防控企业内部的违法犯罪行为奠定了基础，既是社会防范企业犯罪风险 的一道屏障，也是企业规避违法行为、防范非理性的国家干预的一道屏障。对于互联网企业而言，一套完善、合理的刑事合规计划，不但划定了企业在数据犯罪中的刑事责任边界，同时也有助于划定其他 违法活动与合法数据业务的边界，为数据企业法律责任的确定提供了一支“制度之锚”。

以上就是关于：数据安全犯罪规制引入刑事合规的必要性与正当性的内容，如有其他疑惑，可以随时咨询我们的刑事律师团队为您答疑解惑！