企业数据合规的刑事风险

近年来，随着《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》 《中华人民共和国网络安全法》等相关法律法规的相继制定和实施，相关部门对 个人信息保护以及数据安全方面的监管逐渐加强，司法部门对于涉及到刑事犯罪 层面的侵犯公民个人信息和数据安全类行为的打击力度也更甚从前。

2022 年 8 月 10 日，  最高人民检察院(以下简称“最高检”)于其官方网站发布了 第三批涉案企业合规典型案例[1]，这也是 2022 年 4 月最高检部署在全国范围全 面推开涉案企业合规改革试点工作之后，  首次发布涉案企业合规典型案例。

本批典型案例共 5 件，分别涉及互联网企业数据合规、证券犯罪内幕信息保密合 规、中介机构简式合规、矿区非法采矿行业治理、高科技民营企业合规等方面。 最高检第四检察厅负责人表示：“2021 年 3 月至 2022 年 6 月底，  全国各地检察

机关累计办理涉企业合规案件 2382 件，其中适用第三方监督评估机制案件 1584 件，  对整改合规的 606 家企业、1159 人依法作出不起诉决定，  较改革试点全面 推开前增长明显 。”

为了协助涉及数据处理业务的企业提前防范风险，本文将梳理刑事数据合规所涉 法律法规规定以及案例，就数据处理者在日常经营中可能会面临的刑事风险做出 提示，  并就企业数据合规工作提出意见、建议。

一、可能触及的犯罪以及所涉法律法规规定

数据处理者违反《中华人民共和国刑法》规定，  可能被追究以下刑事责任：  侵犯 公民个人信息罪、破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获 取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算 机信息系统程序、工具罪、拒不履行信息网络安全管理义务罪、非法利用信息网 络罪、帮助信息网络犯罪活动罪、侵犯商业秘密罪等。

本部分将仅对侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法获 取计算机信息系统数据罪这三个罪名进行展开。

( 一 ) 侵犯公民个人信息罪

●《中华人民共和国刑法》

第二百五十三条之一第一款：“违反国家有关规定，  向他人出售或者提供公民个 人信息，  情节严重的，  处三年以下有期徒刑或者拘役，  并处或者单处罚金；  情节

特别严重的，  处三年以上七年以下有期徒刑，  并处罚金 。”

第二百五十三条之一第三款：“窃取或者以其他方法非法获取公民个人信息的， 依照第一款的规定处罚 。”

● 最高院、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的 解释》

第一条：“刑法第二百五十三条之一规定的‘公民个人信息’，  是指以电子或者其他 方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自 然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、 账号密码、财产状况、行踪轨迹等 。”

第五条第一款：“非法获取、出售或者提供公民个人信息，  具有下列情形之一的， 应当认定为刑法第二百五十三条之一规定的‘情节严重’：    ( 一 ) 出售或者提供行  踪轨迹信息，  被他人用于犯罪的；   (二) 知道或者应当知道他人利用公民个人信 息实施犯罪，  向其出售或者提供的；   (三) 非法获取、出售或者提供行踪轨迹信 息、通信内容、征信信息、财产信息五十条以上的；   (四) 非法获取、出售或者 提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产 安全的公民个人信息五百条以上的；   (五) 非法获取、出售或者提供第三项、第 四项规定以外的公民个人信息五千条以上的；   (六)数量未达到第三项至第五项 规定标准，  但是按相应比例合计达到有关数量标准的；   (七) 违法所得五千元以 上的；   (八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提 供给他人，  数量或者数额达到第三项至第七项规定标准一半以上的；   (九) 曾因 侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或

者提供公民个人信息的；   (十) 其他情节严重的情形 。”

第五条第二款：“实施前款规定的行为，  具有下列情形之一的，  应当认定为刑法 第二百五十三条之一第一款规定的‘情节特别严重’：    ( 一 ) 造成被害人死亡、重 伤、精神失常或者被绑架等严重后果的；   (二) 造成重大经济损失或者恶劣社会 影响的；(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的；(四) 其他情节特别严重的情形 。”

(二) 拒不履行信息网络安全管理义务罪

●《中华人民共和国刑法》

第二百八十六条之一第一款第二项：“网络服务提供者不履行法律、行政法规规 定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列 情形之一的，  处三年以下有期徒刑、拘役或者管制，  并处或者单处罚金：    ( 一 ) 致使违法信息大量传播的；   (二) 致使用户信息泄露，  造成严重后果的；   (三) 致使刑事案件证据灭失，  情节严重的；   (四) 有其他严重情节的 。”

● 最高院、最高检《最高人民法院、最高人民检察院关于办理非法利用信息网 络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》

第四条：“拒不履行信息网络安全管理义务，  致使用户信息泄露，  具有下列情形 之一的，  应当认定为刑法第二百八十六条之一第一款第二项规定的‘造成严重后 果’：    ( 一 ) 致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以 上的；   (二) 致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可 能影响人身、财产安全的用户信息五千条以上的；   (三) 致使泄露第一项、第二

项规定以外的用户信息五万条以上的；   (四)数量虽未达到第一项至第三项规定

标准，  但是按相应比例折算合计达到有关数量标准的；   (五) 造成他人死亡、重 伤、精神失常或者被绑架等严重后果的；   (六) 造成重大经济损失的；   (七) 严 重扰乱社会秩序的；   (八) 造成其他严重后果的 。”

(三) 非法获取计算机信息系统数据罪

●《中华人民共和国刑法》

第二百八十五条第二款：“违反国家规定，  侵入前款规定以外的计算机信息系统 或者采用其他技术手段，  获取该计算机信息系统中存储、处理或者传输的数据， 或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者 拘役，  并处或者单处罚金；  情节特别严重的，  处三年以上七年以下有期徒刑，  并 处罚金 。”

● 最高院、最高检《关于办理危害计算机信息系统安全刑事案件应用法律若干 问题的解释》

第一条：“非法获取计算机信息系统数据或者非法控制计算机信息系统，  具有下 列情形之一的，  应当认定为刑法第二百八十五条第二款规定的‘情节严重’: ( 一 ) 获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的；  (二) 获取第 ( 一 ) 项以外的身份认证信息五百组以上的；   (三) 非法控制计算 机信息系统二十台以上的；   (四)违法所得五千元以上或者造成经济损失一万元 以上的；  (五)其他情节严重的情形。实施前款规定行为，具有下列情形之一的， 应当认定为刑法第二百八十五条第二款规定的‘情节特别严重’: ( 一 ) 数量或者数

额达到前款第 ( 一 ) 项至第 (四) 项规定标准五倍以上的；   (二) 其他情节特别

严重的情形 。”

二、相关案例

●“大数据行业第一股”数据堂员工侵犯公民个人信息案 (2018) 鲁 1325 刑初

63 号/ (2018) 鲁 13 刑终 549 号

数据堂 (北京) 科技股份有限公司 (以下简称“数据堂”) 成立于 2011 年，  被称 为“国内首家大数据交易平台”、“大数据行业第一股”，是大数据行业内的先行者。 2014 年 11 月，  数据堂在新三板上市，  高管团队来自明星互联网公司和知名院   校，  2016 年，  其市值一度达 21 亿元。

自 2017 年起，  数据堂就深陷出卖个人信息刑事案件风波，  该案系公安部、最高 检察院督办的特大侵犯个人信息专案，数据堂的 6 名员工涉及其中。不同岗位的 员工负责信息搜集、处理、交易各环节，  并根据用户兴趣、爱好等分别打上不同 标签，  之后依据客户需求向其精准营销 。检方的起诉书称，“数据堂共向金时公 司交付包含公民个人信息的数据 60 余万条 。金时公司共计向客户发送公民个人 信息 168 万余条 。”

终审法院认为，  涉案被告人均构成“侵犯公民个人信息罪”，  并处以十个月至四年 六个月不等的刑期；在侦查阶段由侦查机关依法追缴的数据堂违法所得人民币七 十万元，  由追缴机关依法上缴国库 。虽然数据堂未被作为单位起诉，  但是本案 6 名涉案人员中有 4 人为数据堂的高管或者部门负责人，  数据堂的 CEO 齐红威、

联合创始人肖永红在内的多名高管也均曾接受过调查。

风险提示

1、  未经个人同意的数据交易涉嫌构成侵犯公民个人信息罪。《个人信息保护法》 第二十三条规定：“个人信息处理者向其他个人信息处理者提供其处理的个人信 息的，  应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式 和个人信息的种类，  并取得个人的单独同意。

2、   涉案企业员工的职位越高 (比如企业高管) ，  可能面临的刑事责任越大 。即 使是从事技术性工作的人员，  也并不必然免除其刑事责任。

●“爬虫涉刑第一案”——摩羯科技 (2020) 浙 0106 刑初 437 号

杭州摩羯数据科技有限公司 (以下简称“摩羯科技”) 成立于 2016 年，  是金融大 数据领域领先的数据采集、分析、挖掘与机器学习 SaaS 服务提供商，  其主要方 式是摩羯科技将其开发的前端插件嵌入上述网贷平台 APP 中，  在网贷平台用户 使用网贷平台的 APP 借款时，  贷款用户需要在摩羯科技提供的前端插件上，  输  入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、 密码，  经过贷款用户授权后，  摩羯科技的爬虫程序代替贷款用户登录上述网站 ， 进入其个人账户， 利用各类爬虫技术，  爬取 (复制) 上述企、事业单位网站上贷 款用户本人账户内的通话记录、社保、公积金等各类数据， 并按与用户的约定提 供给网贷平台用于判断用户的资信情况，并从网贷平台获取每笔 0.1 元至 0.3 元 不等的费用。

根据摩羯科技在和个人贷款用户签订的《数据采集服务协议》，  魔蝎科技明确告

知贷款用户“不会保存用户账号密码，  仅在用户次单独授权的情况下采集信息”，

但在实际使用过程中未经用户许可，仍采用技术手段长期保存用户隐私信息并存 于租用的阿里云服务器中。截至 2019 年 9 月案发时，  法院等部门对摩羯科技租 用的阿里云服务器进行勘验检查，发现以明文形式非法保存的个人贷款用户各类 账号和密码条数多达 21,241,504 条 。其中大部分账号密码无法二次使用，  仅有 邮箱等部分账号密码存在未经用户授权被摩羯科技二次使用的情况。

法院认为，被告单位杭州魔蝎数据科技有限公司以其他方法非法获取公民个人信 息，  情节特别严重，  其行为已构成侵犯公民个人信息罪。判决摩羯科技犯侵犯公 民个人信息罪，  判处罚金人民币 30,000,000 元；  其法定代表人周某翔犯侵犯公 民个人信息罪，  判处有期徒刑三年，  缓刑四年，  并处罚金人民币 500,000 元； 负责编写具有保存用户账户密码功能的网关程序的被告人袁某犯侵犯公民个人 信息罪，  判处有期徒刑三年，  缓刑三年，  并处罚金人民币 300,000 元。

风险提示

1. 网络爬虫技术的使用存在较大风险，应谨慎处理，利用该技术非法抓取公民个 人信息，  用于出售牟利，  可能涉嫌侵犯公民个人信息罪。

2. 使用网络爬虫技术抓取用户数据时，  应当经过用户的授权，  且应当避免超出 数据访问授权的权限，  否则也会涉嫌侵犯公民个人信息罪。

● 李小全拒不履行信息网络安全管理义务 (2020) 云 0103 刑初 1206 号

被告人李小全系远特 (北京) 通信技术有限公司的高级运营总监 。2016 年 12 月 21 日，  远特 (北京) 通信技术有限公司因违反《电话用户真实身份信息登记

规定》第六条被辽宁省通信管理局处以三万元人民币罚款，  并责令立即改正； 2017 年 1 月 10 日工业和信息化部网络安全管理局在《关于电话用户真实身份 信息登记违规行为的通报》中，  对抽查远特 (北京) 通信技术有限公司部分网点 违反实名制问题进行了通报，提出立即进行整改并严格落实电话用户登记工作的 有关规定；  2017 年 2 月 21 日工业和信息化部办公厅《关于防范打击通信信息 诈骗工作专项督导检查情况的通报》中对远特(北京)通信技术有限公司检查存 在的“电话实名工作落实情况”问题进行了通报，  并要求进行整改 。以上相关部门 的处罚及责令改正情况均与违反实名制规定有关。

被告人李小全负有查验、评估、审核行业卡使用情况的职责， 在明知违反实名制 管理规定的情况下，仍然将大量带有公民个人信息的回收卡交给亚飞达信息科技 股份有限公司，  违反用户实名制进行挑卡， 造成严重后果， 且在两年内经监管部 门多次责令改正而拒不改正 。2020 年 7 月 14 日，  经工业和信息化部网络安全 管理局出具《关于涉及远特 (北京) 通信技术有限公司相关咨询的复函》证实， 远特(北京)通信技术有限公司将绑定个人微信号的移动电话卡回收制作成行业 卡销售给其他公司，为落实行业卡短信功能限制要求，未认真履行行业用户安全 评估责任，  违反了电话用户实名制、行业卡安全管理等相关规定。

法院认为， 被告人李小全无视国家法律，  作为网络服务提供管理者，  拒不履行信 息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，其行为已构成 拒不履行信息网络安全管理义务罪，判处有期徒刑一年零三个月，并处罚金 5000 元。

风险提示

网络服务提供者开展数据处理活动时应当履行数据安全保护义务，  若未尽此义 务，经监管部门责令采取改正措施应当积极及时整改，否则若导致用户数据泄露 或违法信息传播或致使刑事案件证据灭失等等危害结果，则涉嫌拒不履行信息网 络安全管理义务罪。

● 上海晟品网络科技有限公司、侯明强等非法获取计算机信息系统数据罪

(2017) 京 0108 刑初 2384 号

被告单位上海晟品网络科技有限公司主管人员，在上海市共谋采用技术手段抓取 被害单位北京字节跳动网络技术有限公司服务器中存储的视频数据，并由被告人 侯明强指使被告人郭辉破解北京字节跳动网络技术有限公司的防抓取措施，实施 视频数据抓取行为，造成被害单位北京字节跳动网络技术有限公司损失技术服务 费人民币2 万元。

法院认为，被告单位上海晟品网络科技有限公司犯非法获取计算机信息系统数据 罪，判处罚金人民币二十万元；上海晟品网络科技有限公司法定代表人张洪禹被 判决构成非法获取计算机信息系统数据罪，  判处有期徒刑一年， 缓刑一年，  罚金 人民币五万元；其他被告人均被认定为构成非法获取计算机信息系统数据罪判处 九个月至十个月不等的刑期。

风险提示

企业在进行网络爬虫抓取行为时，  应当遵守目标网站 Robots 协议，  若采取对抗 “反爬虫”措施的技术行为，  突破访问限制抓取数据信息，  可能涉嫌非法获取计算

机信息系统数据罪。

三、律师建议

基于上述法律法规规定以及案例分析所揭示的刑事法律风险，我们提示涉及数据 处理的企业一定要重视数据刑事合规，加强风险监控、识别、规避的意识和能力。 参考上海市杨浦区人民检察院、上海市杨浦区工商业联合会、上海市信息服务业 行业协会联合发布的《企业数据合规指引》， 我们建议相关企业建立内部的数据 合规体系，  以降低企业及其员工涉数据类违法犯罪的风险。

( 一 ) 设立企业合规责任人 。企业的最高管理者是数据合规的第一责任人 。最  高管理者应当承担以下职责：   ( 1 ) 分配足够和适当的资源来建立、发展、实施、 评估、维护和改进数据合规管理体系；   (2)确保建立举报数据违规的有效机制；  (3) 确保战略和运营目标与履行数据合规义务之间的一致性；   (4) 建立和维 护问责机制，  包括纪律处分和后果；   (5) 确保将数据合规落实情况和效果纳入 企业内部人员绩效考核体系。

(二)  设置专门的数据合规管理部门 。该部门应当与法务部门区分开，  各自履 行不同的职能。企业应当向数据合规管理部门负责人提供足够的授权、人力、财 力来支持数据合规管理体系的运行。一般由董事会直接设立企业合规部门，下设 数据合规管理部门等各类专业合规部门。

(三) 制定数据合规计划 。数据合规部门负责人应结合企业自身的经营范围、 行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划。数据合规 计划应当根据企业内部环境和外部环境的变化不断调整，以帮助企业应对各种风 险的挑战。