数据安全刑事合规的基本理念与制度功能
发表时间:2021-05-05 07:42:24 来源:南京刑事律师网 阅读: 1223次今天南京刑事律师网的于冲带来主题是关于:数据安全刑事合规的基本理念与制度功能,希望能帮助大家。
从美国企业合规制度的起源来看,企业合规最初是由政府监管的加强所推动的。在监管压力下,企业随后才开始进行自我规范、主动构建合规管理体系,可见企业合规始于特定行业监管的加强。随着企业数据安全保障责任和犯罪风险的增强,相关企业有必要通过构建合规制度来做出有力回应,形成 企业合规计划与国家监管规则间的功能化互动。同时,刑事合规为刑法规则的具体化、明确化提供了可操作性,由不同企业根据自己的实际业务情况,建立具有针对性、具体化的刑事合规计划,不仅避免了刑法规范过分涉足具体业务而产生偏差的风险,更有利于发挥企业在预防数据安全犯罪中的作用和功能。
以刑事合规推进数据安全犯罪的积极一般预防 在积极的一般预防视野下,预防犯罪的最有效模式是培养公民的守法意识,引导民众积极维护法秩序 。当前,随着网络技术应用的不断增强,侵害数据安全犯罪的危害性和破坏性,进一步将风险扩散到个人数据之外的其他数据类型,构成对国家、社会等多层次、多类型数据安全的威胁。从刑罚目的的基本原理上来说,国家对犯罪主体科以刑事处罚的目的并不在于惩罚和剥夺本身,而是在于预防 和消减犯罪,这是现代刑事政策理论的当然之理。对于个人信息等数据安全犯罪,国家监管者的目的也是如此。 在犯罪预防的诸多侧面中,传统的刑法理论更多地强调特殊预防和消极的一般预防的重要性。但在风险社会兴起和风险刑法理论的提倡下,刑罚的积极预防功能不断受到重视。积极的一般预防强调 “以刑罚来确认与强化公民对规范忠诚的价值信念”,从而使刑罚致力于提升社会普遍的辨别是非的规 范信念,这与风险社会对刑法提出的风险预判和事前控制的需求是相适应的。欧美等国长期以来的刑事合规制度实践也表明,刑事合规机制确实能够在预防和控制企业犯罪的过程中发挥积极作用,通过刑事合规制度实现犯罪积极预防的目的。面对急剧增长的侵害数据安全犯罪,国家刑罚权的启动和生效往往是缓慢而滞后的,对于侵害数据安全犯罪的事后惩治,有其刑法自身的局限性,刑事合规计划作为降低犯罪风险,兼而实现犯罪事前预防的制度架构,在极大程度上迎合了犯罪的积极一般预 防的要求。 数据安全风险的防治,某种程度上需要借鉴风险刑法的纾解以及积极的一般预防理念的引入,而刑事合规所包含的事前风险识别机制和一系列风险防范措施,正是实现积极的一般预防所必须的。一方面,数据合规将网络数据安全犯罪的预防责任赋予网络服务商,通过网络服务商事前的主动介入,增强 数据安全犯罪的积极防控,督促企业通过刑事合规计划的制定、实施和监督,使数据安全风险能够直接 在合规机制中得到监测、控制和防范。另一方面,企业在制定、实施合规计划的同时,通过刑事合规促进 网络服务商数据安全保障工作的内控化、制度化开展,从而主动消减可预见的侵害数据安全犯罪风险。
以刑事合规实现数据安全的共治模式: 政府管控、网络服务商防控的统一随着网络空间的“去中心化”和“扁平化”,在网络数据安全犯罪的防控方面,网络服务商较之政府具有更大的优势,成为网络数据安全保障不可否认、不可忽视的重要管控主体。整体上讲,法律法规赋予网络服务商管控义务的有效实施,可以最大限度发挥网络服务商对数据安全的保障功能。但是,从另 一个层面讲,如何将法律法规规定的义务内化为网络服务商的内部管理制度,由外在的法律强制义务转 化为网络服务商内在的积极主动的管理责任,是数据安全刑事合规计划的又一重点原则与方向。 当前,以数据合规为连接点的“企业—政府”共治模式尚处于雏形阶段,并没有明确企业合规计划的法定地位和作用,而是更多地视之为企业的内部控制的规则、流程或者自律机制,仅仅要求企业将相 关的内部规则、自律规范等加以备案,缺乏实质审查。例如,2019 年 9 月 3 日,工业和信息化部网络安 全管理局针对“ZAO”App 用户隐私协议不规范、存在数据泄露风险等网络数据安全问题,要求“陌陌” 组织开展自查整改,加强新技术新业务安全评估,采取有效措施强化网络数据和用户个人信息安全保 护,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。事实上,经过严格审核、充分博弈 形成的合规计划,在国家的犯罪预防和企业的责任认定两端都具有积极的意义,因此,目前刑事合规计 划的发展显得犹有不足,有必要将合规计划从当前的纯粹自律规范,转变为联结企业内部控制和国家外 部监管的纽带,使行政法规中要求制定和实施的企业内控规范、自律规则,通过合规计划的形式得到真正的落实和遵循,从而实现数据犯罪风险的政府管控、企业防控、刑法预防的“三位一体”,使得刑事合 规机制真正内化为企业的数据安全意识与行动,在数据安全保障、侵害数据安全犯罪的防治方面,形成公私共治的合力。
总之,犯罪共治模式的实质是要求体系化地看待犯罪治理问题,实现企业能动性与国 家强制力间的“一加一大于二”的整体性效果,而刑事合规机制的构建正好为此整体效果的实现提供了 契机。一方面刑法规则的落实需要刑事合规计划来加以具体化,另一方面企业自律的实现也需要合规 计划向刑事规范汲取强制性。刑事合规在成为法官评估违法企业罪责的基础和法定标准的同时,也成 为企业借鉴刑法的特征、模式实现内部治理的工具,在此过程中,刑事合规计划将企业内控与国家刑事 规制有机连接起来,成为构成数据犯罪共治机制的一大助力。
以上就是关于:数据安全刑事合规的基本理念与制度功能的内容,如有其他疑惑,可以随时咨询我们的刑事律师团队为您答疑解惑!