摘要：企業(yè)數(shù)據(jù)安全管理是指對數(shù)據(jù)處理活動負安全主體責(zé)任的企業(yè)采取的對各類數(shù)據(jù)實行分級防護，確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)的數(shù)據(jù)全生命周期管理活動。當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟時代最為活躍的新型生產(chǎn)要素，處于全球化與數(shù)字化時代的我國企業(yè)面臨數(shù)據(jù)采集風(fēng)險、數(shù)據(jù)存儲風(fēng)險與數(shù)據(jù)利用風(fēng)險等多重風(fēng)險。應(yīng)采取合理措施應(yīng)對企業(yè)數(shù)據(jù)安全風(fēng)險問題：首先，應(yīng)建立企業(yè)數(shù)據(jù)全生命周期安全管理流程，完善數(shù)據(jù)采集管理、數(shù)據(jù)儲存管理與數(shù)據(jù)利用管理制度；其次，應(yīng)構(gòu)建企業(yè)數(shù)據(jù)全生命周期安全管理刑事合規(guī)制度，包括以法秩序統(tǒng)一性原理指導(dǎo)企業(yè)數(shù)據(jù)安全刑事合規(guī)管理，以“事前預(yù)防”型合規(guī)嵌入企業(yè)數(shù)據(jù)安全刑事合規(guī)管理等。

關(guān)鍵詞：刑事合規(guī)；數(shù)據(jù)安全風(fēng)險；法秩序統(tǒng)一性原理；企業(yè)數(shù)據(jù)安全管理

中圖分類號：F425；D925文獻標(biāo)識碼：A

DOI：10.12186/2024.03.010

文章編號：2096-9864（2024）03-0088-07

企業(yè)數(shù)據(jù)安全管理是國家實施大數(shù)據(jù)戰(zhàn)略，推進數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)中的重要一環(huán)，是發(fā)展新質(zhì)生產(chǎn)力的重要支撐［1］，關(guān)乎國家安全、社會穩(wěn)定與經(jīng)濟發(fā)展，通過企業(yè)刑事合規(guī)建設(shè)保護企業(yè)數(shù)據(jù)安全既有必要性也有緊迫性。在2020年國務(wù)院首次公布的關(guān)于要素市場化配置的文件《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》中，數(shù)據(jù)被列為繼土地、勞動力、資本、技術(shù)之后的“第五大生產(chǎn)要素”［2］。2021年《“十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》指出，“十三五”時期，我國大數(shù)據(jù)企業(yè)規(guī)模年均復(fù)合增長率超過30%，逾1萬億元，到2025年，大數(shù)據(jù)企業(yè)測算規(guī)模突破3萬億元，年均復(fù)合增長率保持在25%左右［3］。面對如此龐大的大數(shù)據(jù)市場，眾多大數(shù)據(jù)行業(yè)企業(yè)如雨后春筍般拔地而起，瘋狂進行“數(shù)據(jù)開荒”和“數(shù)據(jù)奪取”。但是任何領(lǐng)域的可持續(xù)發(fā)展，都離不開法律制度的規(guī)范和制約。企業(yè)在數(shù)據(jù)管理過程中稍有不慎即有可能走入刑事犯罪的歧途，一旦觸及刑事犯罪，相關(guān)責(zé)任人、主要負責(zé)人甚至實際控制人都會陷入刑事犯罪風(fēng)險，這對于企業(yè)來說無疑是致命性打擊。而企業(yè)通過刑事合規(guī)制度建設(shè)可以完善企業(yè)內(nèi)部自我管理，以事前預(yù)防規(guī)避企業(yè)刑事風(fēng)險。鑒于此，本文擬通過厘清刑事合規(guī)與企業(yè)數(shù)據(jù)安全管理的基本概念、關(guān)系，分析刑事合規(guī)視域下企業(yè)數(shù)據(jù)安全管理的風(fēng)險，探討刑事合規(guī)視域下企業(yè)數(shù)據(jù)安全管理的應(yīng)對策略，以期能為企業(yè)數(shù)據(jù)安全管理保駕護航，為新質(zhì)生產(chǎn)力的高質(zhì)量發(fā)展提質(zhì)增效，不斷形成推動經(jīng)濟社會發(fā)展的新動能。

一、刑事合規(guī)與企業(yè)數(shù)據(jù)安全管理之理論厘清

在數(shù)字化與智能化時代背景下，刑事合規(guī)視域下企業(yè)數(shù)據(jù)全生命周期安全管理是當(dāng)今企業(yè)管理的重要方面之一。企業(yè)刑事合規(guī)涉及確保企業(yè)在其數(shù)據(jù)業(yè)務(wù)活動中遵守相關(guān)的法律法規(guī)，防止企業(yè)或其員工因違法行為而面臨刑事責(zé)任。而數(shù)據(jù)全生命周期安全管理可保護企業(yè)數(shù)據(jù)資產(chǎn)不受威脅，確保數(shù)據(jù)的機密性、完整性與可用性。這兩者雖然在實踐中密切相關(guān)，但在理論基礎(chǔ)上各有側(cè)重。為此，有必要通過深入理解和系統(tǒng)分析相關(guān)基本概念，厘清二者之間的關(guān)系。

1.刑事合規(guī)

企業(yè)刑事合規(guī)是企業(yè)合規(guī)的重要內(nèi)容。企業(yè)在治理中面臨的合規(guī)風(fēng)險主要分為兩大類：一是企業(yè)因違法違規(guī)行為而受到監(jiān)管部門行政處罰的風(fēng)險；二是企業(yè)因犯罪受到起訴而被定罪量刑的風(fēng)險。企業(yè)刑事合規(guī)的重要目的之一是防范企業(yè)的刑事風(fēng)險的發(fā)生，從而減少企業(yè)損失。但是，當(dāng)前學(xué)界無論是在理論層面還是在實踐層面對于企業(yè)刑事合規(guī)的界定尚未形成統(tǒng)一的概念。陳瑞華［4］認為，企業(yè)刑事合規(guī)是指企業(yè)為有效防范、識別、應(yīng)對可能發(fā)生的刑事風(fēng)險所建立的一整套公司治理體系。李本燦［5］認為，刑事合規(guī)是旨在推動企業(yè)自我管理的刑事法制度工具。孫國祥［6］認為，刑事合規(guī)是指為規(guī)避企業(yè)的刑事責(zé)任，企業(yè)內(nèi)部通過實施一系列符合國家規(guī)定的措施，推動企業(yè)識別、評估和預(yù)防自身的刑事風(fēng)險的一種管理活動。張遠煌［7］認為，刑事合規(guī)作為企業(yè)預(yù)防、發(fā)現(xiàn)犯罪的內(nèi)控機制，是指為消除、抑制企業(yè)內(nèi)生性犯罪而采取的一系列合規(guī)計劃以及相應(yīng)的活動。由此可見，實踐中各個學(xué)者關(guān)于刑事合規(guī)的概念尚未形成一致意見。

刑事合規(guī)是一個較為復(fù)雜的問題，既要從犯罪預(yù)防的高度來認識刑事合規(guī)，通過刑事合規(guī)為我國的犯罪預(yù)防政策找到途徑、建構(gòu)制度，又要把刑事合規(guī)和國家治理體系與治理能力結(jié)合起來。有鑒于此，本文認為刑事合規(guī)是指企業(yè)為預(yù)防犯罪的發(fā)生所采取的各種內(nèi)控機制與管理活動。

2.企業(yè)數(shù)據(jù)安全管理

在數(shù)字經(jīng)濟快速發(fā)展的時代，數(shù)據(jù)安全事關(guān)國家安全與發(fā)展。我國《數(shù)據(jù)安全法》第三條第三款規(guī)定：“數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力?！币虼耍髽I(yè)數(shù)據(jù)安全管理是指對數(shù)據(jù)處理活動負安全主體責(zé)任的企業(yè)采取的對各類數(shù)據(jù)實行分級防護，確保數(shù)據(jù)持續(xù)處于有效保護和合法利用的狀態(tài)的數(shù)據(jù)全生命周期管理活動。

3.企業(yè)數(shù)據(jù)安全刑事合規(guī)管理

企業(yè)數(shù)據(jù)安全刑事合規(guī)管理是企業(yè)刑事合規(guī)管理的重要方面。當(dāng)前，數(shù)據(jù)已成為數(shù)字經(jīng)濟時代最為活躍的新型生產(chǎn)要素，處于全球化與數(shù)字化時代的我國企業(yè)，不僅應(yīng)注重經(jīng)營風(fēng)險，而且應(yīng)關(guān)注由數(shù)據(jù)管理違規(guī)而產(chǎn)生的刑事風(fēng)險，因此企業(yè)數(shù)據(jù)安全刑事合規(guī)管理勢在必行。企業(yè)數(shù)據(jù)安全刑事合規(guī)作為企業(yè)避免因刑事制裁而產(chǎn)生負外部效應(yīng)的新興治理機制，對于防控數(shù)據(jù)合規(guī)風(fēng)險具有重要價值［8］。因此，本文認為企業(yè)數(shù)據(jù)安全刑事合規(guī)管理是指負有數(shù)據(jù)安全管理義務(wù)的企業(yè)采取全方位措施維護數(shù)據(jù)安全，減少刑事風(fēng)險的數(shù)據(jù)全生命周期治理活動。

4.企業(yè)數(shù)據(jù)安全法益保護

企業(yè)數(shù)據(jù)安全法益是指刑法所保護的為犯罪行為所侵犯的企業(yè)數(shù)據(jù)權(quán)益。在當(dāng)前社會由信息時代向數(shù)字與智能化時代轉(zhuǎn)型的過程中，刑法對數(shù)據(jù)權(quán)益的保障應(yīng)由系統(tǒng)安全轉(zhuǎn)向數(shù)據(jù)安全［9］。維護企業(yè)數(shù)據(jù)安全是保護企業(yè)關(guān)鍵信息、防止數(shù)據(jù)泄露、濫用或丟失的重要手段，因此，通過刑法保護企業(yè)數(shù)據(jù)安全既有必要性也有緊迫性。刑法應(yīng)當(dāng)在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等前置法的基礎(chǔ)上，構(gòu)建刑法對企業(yè)數(shù)據(jù)安全法益的保障體系。而刑事合規(guī)與企業(yè)數(shù)據(jù)安全管理之間有著密切的聯(lián)系，這兩者共同構(gòu)成了企業(yè)防范數(shù)據(jù)安全風(fēng)險的重要基礎(chǔ)［10］。因而此種刑法保障體系應(yīng)當(dāng)是建立于企業(yè)刑事合規(guī)管理條件下的數(shù)據(jù)安全保障體系，既應(yīng)包含數(shù)據(jù)管理安全，也應(yīng)包含數(shù)據(jù)利用安全。

二、刑事合規(guī)視域下企業(yè)數(shù)據(jù)全生命周期安全管理之風(fēng)險分析

企業(yè)在數(shù)據(jù)全生命周期管理過程中面臨多重風(fēng)險。企業(yè)數(shù)據(jù)在其被創(chuàng)建至銷毀的生命周期中，可能經(jīng)由提取、導(dǎo)入、導(dǎo)出、遷移、驗證、編輯、更新、清洗、轉(zhuǎn)型、轉(zhuǎn)換、整合、隔離、匯總、引用、評審、報告、分析、挖掘、備份、恢復(fù)、歸檔和檢索，最終被刪除。基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在企業(yè)業(yè)務(wù)中的流轉(zhuǎn)情況，數(shù)據(jù)全生命周期可劃分為六個階段，分別為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀。但是特定的數(shù)據(jù)所經(jīng)歷的生命周期由實際的業(yè)務(wù)場景決定，并非所有的數(shù)據(jù)都會完整地經(jīng)歷這六個階段［11］。因此我們按照數(shù)據(jù)的全生命周期，又將企業(yè)數(shù)據(jù)分為上、中、下游三個層次，把六個生命周期的階段歸納為數(shù)據(jù)獲取、數(shù)據(jù)存儲、數(shù)據(jù)利用三個環(huán)節(jié)，分別對應(yīng)于企業(yè)數(shù)據(jù)安全刑事合規(guī)管理息息相關(guān)的三種風(fēng)險，即數(shù)據(jù)采集風(fēng)險、數(shù)據(jù)存儲風(fēng)險和數(shù)據(jù)利用風(fēng)險。

1.數(shù)據(jù)采集風(fēng)險

企業(yè)在數(shù)據(jù)管理過程中可能因違規(guī)而面臨數(shù)據(jù)采集風(fēng)險。企業(yè)數(shù)據(jù)安全刑事合規(guī)管理中的數(shù)據(jù)采集風(fēng)險是指企業(yè)為了自身發(fā)展通過自行收集、委托第三方收集以及通過大數(shù)據(jù)交易市場獲得數(shù)據(jù)［12］時可能面臨的刑事風(fēng)險。無論是專門從事大數(shù)據(jù)獲取業(yè)務(wù)的企業(yè)，還是企業(yè)內(nèi)部數(shù)據(jù)支撐部門，獲取數(shù)據(jù)的手段和所得數(shù)據(jù)的性質(zhì)，均對收集數(shù)據(jù)行為的合法性認定至關(guān)重要，最為典型的例證就是侵犯公民個人信息的行為。因此，“侵犯公民個人信息罪”是數(shù)據(jù)采集環(huán)節(jié)刑事風(fēng)險最高的罪名之一?！蛾P(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第四條規(guī)定，“違反國家有關(guān)規(guī)定……在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的”構(gòu)成侵犯公民個人信息罪，因此不僅企業(yè)有可能因違反《個人信息保護法》等規(guī)定違法收集公民個人信息而觸犯刑法［13］，企業(yè)員工也可能因履職過程中的違法行為牽涉到企業(yè)的利益，導(dǎo)致企業(yè)無法正常經(jīng)營。

2.數(shù)據(jù)存儲風(fēng)險

企業(yè)在數(shù)據(jù)管理過程中可能因違規(guī)而面臨數(shù)據(jù)存儲風(fēng)險。企業(yè)數(shù)據(jù)安全刑事合規(guī)管理中的數(shù)據(jù)存儲風(fēng)險是指企業(yè)在非動態(tài)數(shù)據(jù)以任何數(shù)字格式進行物理存儲的階段［14］可能面臨的刑事風(fēng)險。例如，在生成式人工智能發(fā)展過程中，新型人工智能企業(yè)在數(shù)據(jù)存儲過程中面臨的數(shù)據(jù)泄露風(fēng)險。以ChatGPT為例，OpenAI官方在2023年3月24日發(fā)布聲明稱，有1.2%的ChatGPT Plus的用戶數(shù)據(jù)存在泄露風(fēng)險，其中包含姓名、聊天記錄片段、電子郵箱和付款地址等信息［15］。面對未來生成式人工智能發(fā)展的不確定性問題，企業(yè)在數(shù)據(jù)管理過程中的數(shù)據(jù)存儲風(fēng)險也會呈上升趨勢。

3.數(shù)據(jù)利用風(fēng)險

企業(yè)在數(shù)據(jù)管理過程中可能因違規(guī)而面臨數(shù)據(jù)利用風(fēng)險。企業(yè)數(shù)據(jù)安全刑事合規(guī)管理中的數(shù)據(jù)利用風(fēng)險是指企業(yè)在數(shù)據(jù)被經(jīng)過處理、分析后投入到終端用戶，服務(wù)于生產(chǎn)和經(jīng)營過程中可能面臨的刑事風(fēng)險。例如，2019年，具有六家上市公司股東的“考拉征信”被江蘇省淮安市公安局立案調(diào)查，相關(guān)負責(zé)人被依法拘留配合調(diào)查。在該案中，考拉征信公司非法緩存征信系統(tǒng)公民個人身份信息并予以出售，已經(jīng)涉嫌侵犯公民個人信息罪，同時下游公司購買、再出售的行為同樣涉嫌相關(guān)犯罪［16］。

三、刑事合規(guī)視域下企業(yè)數(shù)據(jù)全生命周期安全管理之對策

企業(yè)數(shù)據(jù)安全刑事合規(guī)管理作為應(yīng)對因刑事制裁而產(chǎn)生重大外部負面效應(yīng)的新型風(fēng)險防范機制，對于企業(yè)防控數(shù)據(jù)管理過程中的安全風(fēng)險具有重要價值。數(shù)據(jù)企業(yè)因管理大量數(shù)據(jù)，無論是在何種數(shù)據(jù)階段、流程，都可能面臨數(shù)據(jù)安全風(fēng)險，一種是外部因素，遭遇網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)爬蟲等；一種是內(nèi)部因素，員工故意或者過失導(dǎo)致數(shù)據(jù)泄露等。數(shù)據(jù)企業(yè)應(yīng)當(dāng)建立有效的應(yīng)對措施，防止發(fā)生刑事法律風(fēng)險，保障企業(yè)數(shù)據(jù)全生命周期的管理安全。

1.建立企業(yè)數(shù)據(jù)全生命周期安全管理流程

企業(yè)數(shù)據(jù)全生命周期安全管理是指在企業(yè)數(shù)據(jù)自創(chuàng)建至銷毀的生命周期中，企業(yè)采取全方位措施對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀的全過程進行保障和優(yōu)化的管理活動。企業(yè)數(shù)據(jù)全生命周期式安全管理流程主要包括以下三個方面。

其一，數(shù)據(jù)采集管理。數(shù)據(jù)采集活動是企業(yè)數(shù)據(jù)的源泉，完善的數(shù)據(jù)采集管理是企業(yè)數(shù)據(jù)安全管理的重要方面。在數(shù)據(jù)采集過程中，企業(yè)獲取數(shù)據(jù)的手段及其所得數(shù)據(jù)的性質(zhì)，對收集數(shù)據(jù)行為的合法性認定至關(guān)重要，因此企業(yè)在收集、使用信息過程中，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用信息的規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。首先，在采集數(shù)據(jù)前，企業(yè)應(yīng)了解并遵循相關(guān)法律法規(guī)的規(guī)定。一方面，在開始數(shù)據(jù)采集之前，企業(yè)必須熟悉并遵守所有適用的數(shù)據(jù)保護法律，如歐盟的《通用數(shù)據(jù)保護條例》、我國的《個人信息保護法》《數(shù)據(jù)安全法》等；另一方面，在采集個人數(shù)據(jù)前，應(yīng)獲得數(shù)據(jù)主體權(quán)利人的明確同意，同時確保此種同意具有自愿性、明確性和可撤回性。其次，在數(shù)據(jù)采集過程中，企業(yè)應(yīng)堅持透明度、目的限定和必要性原則。一方面，數(shù)據(jù)采集者應(yīng)當(dāng)向數(shù)據(jù)主體清晰地解釋數(shù)據(jù)采集的目的、使用方式和存儲期限等，并使用易于理解的語言編寫隱私政策和同意書，同時，應(yīng)確保數(shù)據(jù)的采集和使用僅限于事先明確的、合法的目的［17］，不得濫用或用于非預(yù)期的目的。另一方面，在數(shù)據(jù)采集過程中，數(shù)據(jù)采集者應(yīng)做到只采集完成預(yù)定目的所必需的最少量數(shù)據(jù)，避免“過度采集”個人數(shù)據(jù)；只有當(dāng)員工或第三方因工作需要而必須接觸數(shù)據(jù)時，才應(yīng)該授予其訪問權(quán)限，并實行嚴(yán)格的訪問控制和監(jiān)督制度；在不影響使用目的的情況下，盡可能對數(shù)據(jù)進行去標(biāo)識化處理，以減少對個人隱私的影響。再次，在完成數(shù)據(jù)采集后，企業(yè)應(yīng)進行內(nèi)部或外部審計，檢查數(shù)據(jù)采集活動是否符合法律法規(guī)與公司的政策規(guī)定。基于審計過程中發(fā)現(xiàn)的問題，企業(yè)應(yīng)調(diào)整和改進數(shù)據(jù)采集管理策略和流程，確保其隨著法律法規(guī)和技術(shù)的發(fā)展而不斷更新。

其二，數(shù)據(jù)存儲管理。數(shù)據(jù)存儲活動的目的是保障數(shù)據(jù)的完整性與安全性，同時提高數(shù)據(jù)的使用效率和便利性，完善的數(shù)據(jù)存儲管理是企業(yè)數(shù)據(jù)安全管理的重要支撐，可為企業(yè)數(shù)據(jù)的有效利用提供安全基礎(chǔ)。為此，企業(yè)數(shù)據(jù)存儲管理部門應(yīng)制定分級分類存儲管理制度［18］。首先，制定數(shù)據(jù)分類政策。在企業(yè)信息管理部門、法律顧問、業(yè)務(wù)單位等相關(guān)方參與下，根據(jù)數(shù)據(jù)的敏感性、法律要求、業(yè)務(wù)價值和風(fēng)險等級，制定明確的分類標(biāo)準(zhǔn)，以確保數(shù)據(jù)存儲管理的安全性與適用性。其次，建立數(shù)據(jù)分類制度。依據(jù)數(shù)據(jù)重要性的不同對數(shù)據(jù)進行識別和評估，確定數(shù)據(jù)的來源、類型、存儲位置、使用方式和相關(guān)的合規(guī)要求，根據(jù)制定的標(biāo)準(zhǔn)對數(shù)據(jù)應(yīng)用采取適當(dāng)?shù)姆诸悩?biāo)簽，包括公開級、內(nèi)部級、秘密級、機密級等［19］。再次，完善數(shù)據(jù)安全存儲措施。對重要程度不同的數(shù)據(jù)采取不同的管理措施，采用不同的加密與歸檔存儲方式；對存儲介質(zhì)性質(zhì)不同的數(shù)據(jù)采用不同的安全保障措施，保障介質(zhì)安全性。同時，需要確保所有數(shù)據(jù)按分類進行定期備份，并制定有效的數(shù)據(jù)恢復(fù)計劃以應(yīng)對數(shù)據(jù)丟失或被破壞的狀況。最后，健全數(shù)據(jù)存儲審核與審計機制。針對不同級別的數(shù)據(jù)制定不同的安全審核與審計制度，定期審核數(shù)據(jù)分類和存儲制度的執(zhí)行情況，確保其始終符合法律法規(guī)要求與業(yè)務(wù)需求，對存儲介質(zhì)、存儲內(nèi)容的管理情況進行定期檢查，并定期報告審計結(jié)果。

其三，數(shù)據(jù)利用管理。數(shù)據(jù)利用活動是發(fā)掘數(shù)據(jù)價值的重要過程，完善的數(shù)據(jù)利用管理是企業(yè)數(shù)據(jù)安全管理的重要保障。企業(yè)數(shù)據(jù)利用安全機制的建設(shè)應(yīng)注意以下三個方面：一是建立安全監(jiān)控和日志記錄制度。應(yīng)組建數(shù)據(jù)安全專業(yè)團隊，保障數(shù)據(jù)不輕易被網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)爬蟲等行為獲取，對網(wǎng)絡(luò)和系統(tǒng)進行實時監(jiān)控，及時發(fā)現(xiàn)并響應(yīng)安全威脅。同時，應(yīng)詳細記錄和分析安全事件的日志，以便于事后審計和追蹤問題源頭。二是強化員工培訓(xùn)，提升員工安全意識。企業(yè)應(yīng)加強對內(nèi)部人員接觸數(shù)據(jù)的全流程追蹤，防止人為違規(guī)利用數(shù)據(jù)事件發(fā)生。企業(yè)應(yīng)定期開展員工數(shù)據(jù)安全和隱私保護的培訓(xùn)，持續(xù)提升員工對數(shù)據(jù)安全重要性的認識，確保他們能夠及時識別響應(yīng)數(shù)據(jù)安全的威脅。三是設(shè)立應(yīng)急數(shù)據(jù)救援部門，在違規(guī)利用數(shù)據(jù)事件發(fā)生后及時發(fā)現(xiàn)問題并填補管理漏洞，企業(yè)應(yīng)急數(shù)據(jù)救援部門通常包括數(shù)據(jù)恢復(fù)管理員、系統(tǒng)管理員、網(wǎng)絡(luò)安全管理員和技術(shù)支持人員。同時應(yīng)當(dāng)明確團隊成員的職責(zé)，確保其職責(zé)覆蓋到應(yīng)急響應(yīng)、數(shù)據(jù)恢復(fù)、系統(tǒng)修復(fù)和安全分析等關(guān)鍵領(lǐng)域。

2.構(gòu)建企業(yè)數(shù)據(jù)全生命周期安全管理刑事合規(guī)制度

其一，以法秩序統(tǒng)一性原理指導(dǎo)企業(yè)數(shù)據(jù)安全刑事合規(guī)管理。法秩序統(tǒng)一性原理是指在處理不同法律部門之間的關(guān)系時，為確保法律秩序的內(nèi)部一致性和協(xié)調(diào)性應(yīng)遵循的基本規(guī)則。法秩序統(tǒng)一性原理是處理法域間關(guān)系的基本原則［20］，將法秩序統(tǒng)一性原理融入企業(yè)數(shù)據(jù)安全刑事合規(guī)管理，有助于促進企業(yè)刑事合規(guī)建設(shè)，完善企業(yè)數(shù)據(jù)安全管理制度。為此，本文認為有必要從以下兩個方面做起。一方面，企業(yè)數(shù)據(jù)安全刑事合規(guī)管理應(yīng)重視發(fā)揮企業(yè)管理、行業(yè)自治、行政監(jiān)管、司法處罰的重要作用。企業(yè)數(shù)據(jù)安全合規(guī)建設(shè)是內(nèi)在管理與外在監(jiān)督的雙層建設(shè)，需要內(nèi)在企業(yè)管理、行業(yè)自治與外在行政監(jiān)管、司法處罰的有機統(tǒng)一，在重視企業(yè)內(nèi)部數(shù)據(jù)采集、存儲、利用管理建設(shè)的同時，發(fā)揮外在市場監(jiān)管部門、知識產(chǎn)權(quán)監(jiān)管部門、國家安全部門的監(jiān)督管理作用，完善企業(yè)數(shù)據(jù)管理規(guī)章制度，提高企業(yè)數(shù)據(jù)管理水平與管理效率。為應(yīng)對潛在的企業(yè)數(shù)據(jù)安全管理事故風(fēng)險，應(yīng)建立完善的企業(yè)、行業(yè)與監(jiān)管部門聯(lián)動機制，更好地保護企業(yè)數(shù)據(jù)安全。一方面，企業(yè)數(shù)據(jù)安全刑事合規(guī)管理應(yīng)重視處理好前置法與刑事法律的關(guān)系，以前置法為管理手段，以刑法為保障措施，協(xié)調(diào)好二者的關(guān)系，更好地完善企業(yè)數(shù)據(jù)安全刑事合規(guī)管理。從行業(yè)規(guī)定、行政法規(guī)的角度來看，立法者應(yīng)強化對于企業(yè)數(shù)據(jù)安全的保護，嚴(yán)厲打擊危害企業(yè)數(shù)據(jù)安全的行為。從刑法益保護的角度來看，刑事立法者應(yīng)完善刑法對數(shù)據(jù)安全法益的保護，完成從系統(tǒng)安全法益到數(shù)據(jù)安全法益的轉(zhuǎn)變。從刑法對數(shù)據(jù)安全保護的種類上來看，刑事立法者不僅要關(guān)注事關(guān)國家利益的數(shù)據(jù)安全，也應(yīng)當(dāng)關(guān)注事關(guān)企業(yè)利益的數(shù)據(jù)安全。從犯罪人的主觀表現(xiàn)來看，刑法不僅應(yīng)懲治故意危害企業(yè)數(shù)據(jù)安全的行為，也應(yīng)懲治過失嚴(yán)重危害企業(yè)數(shù)據(jù)安全的行為。

其二，以“事前預(yù)防”型合規(guī)嵌入企業(yè)數(shù)據(jù)安全刑事合規(guī)管理。與“事后懲治”型企業(yè)合規(guī)相比較，“事前預(yù)防”型企業(yè)合規(guī)能更好地完善企業(yè)數(shù)據(jù)安全刑事合規(guī)管理，降低企業(yè)數(shù)據(jù)安全刑事風(fēng)險。企業(yè)數(shù)據(jù)安全管理制度建設(shè)是“事前預(yù)防”型企業(yè)合規(guī)管理體系建設(shè)的核心，企業(yè)數(shù)據(jù)安全管理制度實施則是合規(guī)管理體系運行的核心。通過事先制定和發(fā)布完整體系的制度，可以規(guī)范企業(yè)數(shù)據(jù)安全合規(guī)管理的各項行為，保障第一時間識別企業(yè)數(shù)據(jù)安全風(fēng)險，并將安全風(fēng)險扼殺于萌芽之中。在作出任何重大決策之前，應(yīng)提請進行合規(guī)審查，非經(jīng)審查不進行決策。企業(yè)應(yīng)將數(shù)據(jù)安全合規(guī)審查、合規(guī)咨詢、合規(guī)風(fēng)險預(yù)警等制度建設(shè)與完善“事前預(yù)防”型企業(yè)數(shù)據(jù)安全刑事合規(guī)管理機制結(jié)合起來。一是數(shù)據(jù)安全合規(guī)審查。企業(yè)應(yīng)定期進行數(shù)據(jù)安全合規(guī)審查，以確保其數(shù)據(jù)管理和保護措施符合當(dāng)前的法律法規(guī)要求，這包括對數(shù)據(jù)的采集、存儲、傳輸和利用過程進行詳細檢查，以及評估與第三方合作時的數(shù)據(jù)保護措施。二是數(shù)據(jù)安全合規(guī)咨詢。企業(yè)可以聘請外部法律顧問或設(shè)立內(nèi)部合規(guī)部門，為數(shù)據(jù)安全和刑事合規(guī)提供專業(yè)的咨詢服務(wù)。這些專家可以幫助企業(yè)理解和適應(yīng)不斷變化的法律環(huán)境，同時提供針對特定業(yè)務(wù)場景的合規(guī)建議。三是數(shù)據(jù)安全合規(guī)風(fēng)險預(yù)警。企業(yè)應(yīng)建立一個全面的合規(guī)風(fēng)險預(yù)警系統(tǒng)，及時識別和響應(yīng)可能導(dǎo)致刑事責(zé)任的數(shù)據(jù)安全風(fēng)險［21］。這可能包括定期的風(fēng)險評估、監(jiān)控關(guān)鍵數(shù)據(jù)操作和設(shè)立緊急響應(yīng)計劃來處理潛在的安全事件。

四、結(jié)語

在刑事合規(guī)視域下，企業(yè)數(shù)據(jù)全生命周期安全管理是一項復(fù)雜而關(guān)鍵的任務(wù)，它不僅涉及技術(shù)層面的防護，而且包括法律和道德方面的考量。企業(yè)數(shù)據(jù)安全管理應(yīng)覆蓋數(shù)據(jù)的全生命周期，從數(shù)據(jù)的采集、存儲到利用的每一個階段。在每個階段，企業(yè)都必須實施適當(dāng)?shù)陌踩胧?，同時確保這些措施符合法律法規(guī)的要求，以預(yù)防和減少刑事法律風(fēng)險。企業(yè)在制定和實施數(shù)據(jù)安全策略時，應(yīng)將刑事合規(guī)納入考慮之中，建立系統(tǒng)的數(shù)據(jù)風(fēng)險管理機制，定期進行風(fēng)險評估，以識別和評估與數(shù)據(jù)安全相關(guān)的刑事法律風(fēng)險。通過對企業(yè)數(shù)據(jù)全生命周期安全管理的研究，我們可以看到，企業(yè)數(shù)據(jù)安全刑事合規(guī)不僅是法律責(zé)任的問題，也是企業(yè)保持競爭力和健康發(fā)展的關(guān)鍵。為此，企業(yè)應(yīng)把握好發(fā)展與安全的關(guān)系，以實現(xiàn)企業(yè)健康可持續(xù)發(fā)展。

參考文獻：

［1］劉文祥.塑造與新質(zhì)生產(chǎn)力相適應(yīng)的新型生產(chǎn)關(guān)系［J］.思想理論教育，2024（5）：41-47.

［2］關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見［EB/OL］.（2020-04-09）［2024-03-01］.https：∥www.gov.cn/zhengce/2020-04/09/content_5500622.htm.

［3］《“十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》解讀［EB/OL］.（2021-12-01）［2024-03-01］.https：∥www.gov.cn/zhengce/2021-12/01/content_5655197.htm？eqid=dcaf 72a40001cc600000000 464980bde.

［4］陳瑞華.企業(yè)合規(guī)的基本問題［J］.中國法律評論，2020（1）：178-196.

［5］李本燦.刑事合規(guī)制度的分則體系［J］.清華法學(xué)，2024，18（1）：134-153.

［6］孫國祥.刑事合規(guī)的理念、機能和中國的構(gòu)建［J］.中國刑事法雜志，2019，2（2）：3-24.

［7］張遠煌.刑事合規(guī)視野下探索企業(yè)犯罪相對不起訴［J］.人民檢察，2020（19）：39.

［8］徐長江.數(shù)據(jù)刑事合規(guī)的多元挑戰(zhàn)與制度完善［J］.數(shù)字法治評論，2022（3）：102-118.

［9］李懷勝.數(shù)據(jù)安全的法益變遷與刑法規(guī)制［J］.江西社會科學(xué)，2023，43（7）：33-44.

［10］楊猛，李嘉碩.企業(yè)數(shù)據(jù)刑事合規(guī)的建構(gòu)路徑及其具體展開：以數(shù)據(jù)安全法益為切入［J］.湘潭大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2024，48（2）：88-94.

［11］鄭斌.企業(yè)數(shù)據(jù)安全能力框架：數(shù)據(jù)安全能力成熟度模型的構(gòu)建及應(yīng)用［J］.信息安全與通信保密，2017（11）：70-78.

［12］閆兆騰，朱紅松.智能網(wǎng)聯(lián)汽車數(shù)據(jù)采集安全風(fēng)險研究［J］.保密科學(xué)技術(shù)，2021（10）：41-43.

［13］卜天石.網(wǎng)絡(luò)爬蟲技術(shù)侵犯公民個人信息的刑事規(guī)制［J］.網(wǎng)絡(luò)空間安全，2023，14（3）：115-120，126.

［14］劉建忠.數(shù)據(jù)存儲、信息安全性及智能IT運維研究與對策［J］.信息系統(tǒng)工程，2024（3）：66-69.

［15］March 20 ChatGPT outage：Heres what happened［EB/OL］.（2023-03-24）［2024-03-11］.https：∥openai.com/safety.

［16］王倩.深陷“考拉征信丑聞”拉卡拉“甩鍋”何以抽身？［J］.商學(xué)院，2019（12）：73-75.

［17］孫紅梅，賈瑞生.大數(shù)據(jù)時代企業(yè)信息安全管理體系研究［J］.科技管理研究，2016，36（19）：210-213.

［18］侯利陽，賀斯邁.如何對數(shù)據(jù)進行分級分類保護［J］.檢察風(fēng)云，2020（19）：14-15.

［19］金濤.數(shù)據(jù)安全分級劃分［J］.信息安全研究，2021，7（10）：969-972.

［20］喻浩東.過失犯注意義務(wù)違反的交叉研究：兼論法秩序統(tǒng)一性原理［J］.中國刑事法雜志，2023（3）：50-71.

［21］薛興華.依法構(gòu)建企業(yè)數(shù)據(jù)合規(guī)體系［J］.通信企業(yè)管理，2023（11）：47-49.

［責(zé)任編輯：毛麗娜 王天笑］

收稿日期：2024-05-08

基金項目：北京市社會科學(xué)基金重點項目（23FXA005）

作者簡介：李金珂（1999—），女，河南省信陽市人，北京師范大學(xué)博士研究生，主要研究方向：刑法學(xué)、刑事訴訟法學(xué)。