企业合规师资讯：检察机关参与企业数据合规治理的机制与路径

      为进一步发挥检察机关的职能作用，支持和保障经济社会高质量发展，2020年3月最高人民检察院部署了4个省份的6个基层检察院开展涉案企业合规改革试点；2021年3月又部署了10个省份开展第二期改革试点，试点范围扩展到了62个市级院和387个基层院。检察机关开展涉案企业合规改革试点工作，对于实现“十四五”规划和2035年远景目标以及推进国家治理体系和治理能力现代化，具有重要意义。这些改革试点的目的是增强检察机关的工作效能，有效促进企业合规意识的提升，加强企业的法律遵从和风险防范能力，进一步完善国家法治环境，为推动经济社会发展提供有力支持。通过这些努力，检察机关将更好地适应新时代需求，不断完善工作机制，推动司法体制的现代化进程。全国检察机关积极稳妥推进涉案企业合规工作，自2021年3月至2023年9月，共办理企业合规案件7800余件，对整改合规的2800余家企业、6100余人依法作出不起诉决定。甘肃省全面开展涉案企业合规改革试点，2022年建立第三方监督评估机制，组建785人的专业人才库，办理企业合规案件66件，在依法对涉案企业处理的同时，督促企业合规守法经营。

      一、企业数据合规改革的架构

      （一）企业数据合规改革

      数据合规是组织或企业根据相关法律法规、行业标准等规范，采取一系列措施和流程，以确保其在数据处理过程中遵守隐私权、数据安全和合法性等方面的要求，包括个人身份信息、财务数据、健康数据等。数据合规是组织或企业在数字化时代中必须重视的核心要素，通过遵守数据合规标准，可以强化数据安全和隐私保护，增强公众信任度，降低合规风险，并为可持续发展奠定基础。同时，数据合规也需要与技术发展和法律法规的更新相结合，不断完善和优化，以适应不断变化的环境和需求。

开展企业数据合规改革是检察机关在办理涉及企业的刑事案件时，除了依法作出不批准逮捕、不起诉决定或根据认罪认罚从宽制度提出轻缓量刑建议等，应结合具体案情和实际，督促涉案企业作出数据合规承诺并积极进行整改。检察机关除了按照一般性合规要求开展审查工作，应针对企业数据的类型、来源和安全保障等多个方面制定特殊合规要求，通过给涉案企业以深刻警醒和教育，纠正和防范企业违法犯罪行为，并为相关行业和企业合规经营树立榜样，为促进市场经营主体的健康发展、营造良好的法治化营商环境提供新的检察产品，以此促进企业守法经营，减少和预防企业违法犯罪行为的发生，实现司法办案的政治效果、法律效果和社会效果的有机统一。

      （二）企业数据合规体系构建

      企业数据合规体系构建是指企业在处理和管理数据过程中，建立一套完备的制度、机制和措施，以确保数据安全、隐私保护和合法使用，并遵守相关法律法规、行业标准等规范。企业数据合规体系构建是数据安全治理的重要组成部分，其中包括制定数据安全政策、风险评估与管理、数据分类与归集、受限访问权限、数据传输与存储安全、用户知情同意、第三方合作与共享、数据备份与恢复、员工培训与教育以及监测与审计措施等。企业数据合规体系的构建需要全员参与，从高层管理者到基层员工都应承担起数据安全责任。通过建立完善的数据合规体系，企业能够更好地管理和保护数据资产，提升客户信任度，减少法律风险，并在激烈的市场竞争中取得优势。企业应根据自身情况制定适合的数据合规措施，确保数据安全并遵守相关法律法规，以保护用户隐私权和推动企业可持续发展。

      （三）涉案企业数据合规改革的案件类型

      涉案企业合规改革适用于公司、企业等市场经营主体在其生产经营活动中涉及的经济犯罪、职务犯罪等案件，既包括由公司、企业等实施的单位犯罪案件，也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。根据最高人民检察院等9部门制定的《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，同时符合涉案企业、个人认罪认罚；涉案企业能够正常生产经营，承诺建立或完善企业合规制度，具备启动第三方机制的基本条件；涉案企业自愿适用的，都可以采用第三方监督评估机制。只要符合涉案企业合规的案件类型，检察机关应当对企业数据合规必要性进行审查，决定是否同时启动数据合规审查，并使用专业化第三方监督评估机制开展工作。

      二、企业数据合规治理面临的挑战

      （一）数据合规治理框架尚未形成

      当前，我国尚未形成系统的数据合规治理框架。现有的法律法规在数据合规治理的具体要求和标准上仍然存在部分模糊性，导致了操作的不确定性。尚未建立起较为专业的治理机制和专门的监管机构也使得数据合规治理的执行和监管存在一定困难。由于信息技术的迅猛发展，现有的法律法规相比较新技术的变化和新形势的挑战，仍然存在一定程度的滞后。

      （二）技术手段和能力有待提升

      数据合规治理需要借助先进的技术手段来实现，但在实际治理中，可能存在技术手段和能力不足的问题。数据安全防护的技术手段和设备条件可能存在部分软件和硬件方面的限制，导致应对新型网络攻击和数据泄露风险的能力有所欠缺。执法监管和法律监督部门普遍缺乏专业数据技术人才，导致数据合规治理的实施和能力发展缓慢。此外，技术的快速更新也给数据合规治理带来了挑战，尤其是检察机关作为新时代重要的法律监督机关，更加需要持续关注和学习新技术，以适应数据行业日新月异的发展。

      （三）数据共享和交换存在一定障碍

      数据合规治理需要在执法、司法机关内部和其他相关部门之间形成良好的数据共享和交换机制，以建立完善有效的监督模型。然而，在实践中，数字检察技术因依赖数据共享和交换，建立监督模型时还存在着一定困难。由于信息孤岛效应的存在，执法、司法机关之间的数据共享和交换难以做到及时和准确，这就导致了数据的冗余和重复。同时，由于涉及个人信息的保护和隐私权的限制，数据共享和交换的合规性和安全性也成为制约因素。不同部门之间的技术标准和数据格式差异，也使得数据共享和交换具备一定的复杂性，甚至存在不同程度的“数据壁垒”问题。

      三、推进企业数据合规治理的对策建议

      （一）加强数据合规治理的制度建设

      完善相关法律法规规范。数据合规治理的基础是完善的数据保护法律法规规范，需要根据法律法规制定相应的数据合规治理政策和流程，明确数据采集、存储、传输和使用的规范要求，确保数据的合法性和合规性。针对数据合规治理中的关键问题，如个人信息的收集、处理和使用，应制定明确的条款和规范。同时，完善数据合规治理的行政监管机制和司法监督机制，建立相应的组织结构和岗位，明确数据合规治理的责任主体和沟通机制，负责统筹协调和监督执行。对不合规行为的惩罚力度和行政监管缺位的法律监督应加强，形成双重威慑机制。

      加强数据安全保护。企业应加强对各类数据进行分类和标识，根据数据的敏感程度和风险等级，制定相应的安全措施和权限管理规则，保护数据的安全性和隐私性，防止数据泄露和滥用。建立健全数据安全防护系统，包括网络安全、数据加密和访问权限控制等方面。此外，还可以借助人工智能、大数据分析等技术提高数据管理和监督效率，运用新技术增强数据安全保护机制。

      建立数据共享和交换机制。确保建立良好的数据共享和交换机制，包括执法、司法机关间和其他相关部门间。应推动机关内部各部门间的数据共享和交流，以避免信息孤立和重复工作。行政、司法机关间建立数据共享机制，以实现数据的互联互通。此外，还可以探索与行会商会、企业大数据中心等跨界合作机制，进一步促进数据的立体式共享和交流，提高综合治理能力和信息化水平。

      （二）检察机关参与企业数据合规治理

      利用司法手段实现有效治理。通过侦查监督与协作配合办公室，利用提前介入、自行补充侦查等手段与公安机关协作配合，在案件中收集涉案企业合规信息与材料，不仅包括与法律法规、规章制度和政策要求相符的各类证据、文件、记录等，还包括企业数据收集和安全保护等相关材料，并在案件办理过程中全面开展企业数据合规审查工作。

      建立独立的数据合规第三方监督评估机制。根据数据行业的特点和数据合规的高度复杂性，在现有第三方监督评估机制基础上建立一个更加专业的评估小组，以加强第三方评估机制的运作，确保其具备专业性、公正性和协同性。这个组织可以对涉案企业的数据合规计划进行全面审查，提出整改要求并进行评估，以确保涉案企业数据合规整改的合法、有效和全面。同时，该组织还可以通过督促涉案企业在案件中“因罪施救”“因案明规”，促使其建立有效的数据合规整改体系，以确保整改体系真正适合企业并有效。

      综合运用常态化监督手段实现惩防并举。加强数据合规审查和监督，确保涉案企业按照规定履行职责，并协调相关行政机关将涉案企业纳入监测平台，实施常态化监督。同时，通过检察行政监督和检察社会治理职能整合各方监管资源统筹数据专项合规和全面合规工作，确保企业全面实施合规整改措施，避免仅停留在书面和形式上的合规。通过拓展合规激励机制，坚持惩治与挽救并重的原则，加强与企业的沟通与对接，在法律法规和政策允许范围内最大限度维护涉案企业的正常生产经营。

      行刑衔接推动数据合规治理法治化。通过案件处理、检察建议和法治宣传等方式，积极引导同类企业树立数据合规意识，为营造数据合规治理法治化提供支持，并推动政府职能部门加强行业监管。落实行刑反向衔接，通过民事、行政、公益诉讼等检察监督手段，向行政机关和行业主管监督部门反馈涉案企业数据合规类案问题，形成综合治理合力，堵塞监管漏洞。

      提升新时代检察机关法律监督数字化水平。加强检察机关信息化、智能化建设，运用大数据、区块链等技术推进公安机关、检察机关、审判机关、司法行政机关等跨部门大数据协同办案，实现案件数据和办案信息网上流转，推进涉案财物规范管理和证据、案卷电子化共享。随着人工智能、数据云技术发展，检察机关要紧紧依托数字检察战略，充分融合运用新技术、新手段、新理念，建立符合数据行业特点的数据合规检察监督模型，提高法律监督工作效率和信息化、智能化水平。

      当前，中华民族伟大复兴进入关键时期，战略机遇和风险挑战并存。在这种背景下，深入推进涉案企业数据合规治理具有重要的政治、法治和现实意义。在办理企业数据合规案件时，检察机关不仅督促涉案企业作出数据合规承诺并积极整改，还将数据合规整改成效与刑事责任评价相结合，以防止对涉案企业采取简单处理方式，加强对市场经营主体的管控和关爱，助力企业纾困发展，稳定经济基本盘。

      （作者：甘肃省武威市人民检察院党组书记、检察长 赵德金；武威市凉州区人民检察院党组书记、检察长 杨晓萍；凉州区人民检察院第二检察部负责人 何磊。）

      （来源：民主与法制周刊）