朱鐵軍　李碧輝

摘 要：檢察機關數(shù)據(jù)合規(guī)探索集末端處置與前端治理于一體，對推動企業(yè)刑事犯罪治理、助力數(shù)字經(jīng)濟發(fā)展具有重要意義。數(shù)據(jù)領域網(wǎng)絡爬蟲行為的入刑評價應綜合行為方式違法性與所獲數(shù)據(jù)性質進行綜合判斷，而對企業(yè)數(shù)據(jù)合規(guī)風險的預防控制需要兼顧技術規(guī)范化與管理專業(yè)化標準。檢察機關開展數(shù)據(jù)合規(guī)監(jiān)督考察應當準確把握第三方監(jiān)督評估機制適用范圍與介入階段，重點提升數(shù)據(jù)合規(guī)監(jiān)督評估的有效性，并從事前防治、事中矯治、事后共治三個維度優(yōu)化涉案企業(yè)合規(guī)全流程辦案機制，推動促進數(shù)字行業(yè)健全數(shù)據(jù)合規(guī)經(jīng)營體系。

關鍵詞：數(shù)據(jù)合規(guī) 數(shù)據(jù)爬蟲 監(jiān)督評估 行業(yè)治理

一、問題的提出

上述案例系檢察機關自2020年探索涉案企業(yè)合規(guī)改革以來首個涉及企業(yè)違法處理數(shù)據(jù)情況的應用實例，其對拓展涉案企業(yè)合規(guī)改革實踐具有重要意義，案件辦理中的重、難點問題亦值得反思。其一，從定性上看，案例涉及的爬蟲技術本身是一種獲取海量數(shù)據(jù)的方式，技術行為中立性與違法性的邊界應如何界定判斷。其二，從企業(yè)風險預防角度看，數(shù)據(jù)獲取行為的合規(guī)標準應如何理解，如案例中Z公司的合規(guī)整改過程對于企業(yè)數(shù)據(jù)自治有何借鑒價值。其三，從刑事合規(guī)程序上看，第三方機制是合規(guī)評價的重要一環(huán)，檢察機關在辦理數(shù)據(jù)合規(guī)案件中應如何把握其適用范圍與審查標準，同時在數(shù)據(jù)合規(guī)治理體系構建中，檢察機關又該如何把握好監(jiān)督、介入與引導的關系等等，均有必要予以解讀、闡釋。

二、數(shù)據(jù)爬蟲行為的違法性與合規(guī)標準認定

（一）數(shù)據(jù)爬蟲行為的違法性認定

爬蟲技術是指按照一定規(guī)則自動抓取互聯(lián)網(wǎng)信息的程序或者腳本。目前我國立法并未明確禁止使用網(wǎng)絡爬蟲技術獲取數(shù)據(jù)，而主要規(guī)制違反《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）等有關信息保護規(guī)定或爬蟲技術相關協(xié)議的爬取行為。實踐中，司法機關主要根據(jù)行為人獲取信息的方式以及數(shù)據(jù)的性質來對通過爬蟲技術竊取數(shù)據(jù)行為進行認定。案例中Z公司突破平臺設置的網(wǎng)絡安全措施或者違反協(xié)議，通過爬蟲程序大量獲取非公開數(shù)據(jù)，對平臺用戶或者入駐商戶展示，構成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。

其一，爬蟲行為方式的違法性判斷。除了故意避開或強行突破數(shù)據(jù)網(wǎng)站安全措施的爬取方式外，常見的還存在如違反服務協(xié)議、爬蟲協(xié)議或者在網(wǎng)站上公開網(wǎng)站使用聲明等爬取行為。有觀點認為爬蟲協(xié)議是一種不具強制約束力的互聯(lián)網(wǎng)行業(yè)規(guī)范，違反爬蟲協(xié)議不宜定性為超越權限的侵入行為。［1］筆者認為，爬蟲行為的違法性特征在于其破壞了互聯(lián)網(wǎng)行業(yè)秩序，危害數(shù)據(jù)安全。對于數(shù)據(jù)方公開反對爬蟲行為，并且采取了必要防護措施的，應當視為網(wǎng)站運營者對爬蟲行為的嚴格授權與數(shù)據(jù)安全的加密保護，違反協(xié)議聲明的爬取行為具有違法性。案例中Z公司的“外爬”及“內爬”行為，都系未授權的非法訪問行為，參照“兩高”《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第2條對“專門用于侵入、非法控制計算機信息系統(tǒng)的程序、工具”的規(guī)定，Z公司這種“避開計算機信息系統(tǒng)安全保護措施，未經(jīng)授權獲取計算機信息系統(tǒng)數(shù)據(jù)”的行為，應認定為非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中的“侵入”。

其二，數(shù)據(jù)價值屬性的綜合性判斷。本案中，E公司對涉案信息的可視化展示限定于平臺用戶或者入駐商戶，并非處于可被公眾獲取、共享的狀態(tài)，數(shù)據(jù)仍具有“非公開性”，Z公司的爬取行為因侵犯數(shù)據(jù)的私密性而構成犯罪。傳統(tǒng)觀點認為在不考慮數(shù)據(jù)的人身屬性和知識產權屬性時，爬取公開信息不會觸犯刑事法律［2］，即非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪中的數(shù)據(jù)不應包括公開信息。然而在司法案例中爬取公開信息入罪的情況并不少見，審判機關以信息公開不等于數(shù)據(jù)授權為論理，認為在爬取公開信息時繞開了運營方設置的反爬措施仍然成立數(shù)據(jù)犯罪。筆者認為，數(shù)據(jù)的隱私程度關系到法益侵害與責任輕重，但不能僅從形式上的公開與否進行判斷，還應當根據(jù)數(shù)據(jù)信息的敏感性、價值性程度進行綜合考量，對于爬取不具備獨立商業(yè)利益的公開數(shù)據(jù)，即使行為人刻意繞開了反爬措施，造成一定損害后果，也不宜輕易認定為刑事犯罪。

其三，多重法益侵害的競合評價。利用爬蟲技術獲取數(shù)據(jù)可能構成計算機信息系統(tǒng)類犯罪，同時基于數(shù)據(jù)的信息屬性，也可能涉及侵犯公民個人信息罪、侵犯著作權罪、侵犯商業(yè)秘密罪等。實踐中應當嚴格區(qū)分爬蟲行為所侵害的數(shù)據(jù)法益，避免非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的口袋化，若非法爬取著作權意義上“作品”、商業(yè)秘密以及個人身份密切相關信息等，宜以侵犯著作權罪、侵犯商業(yè)秘密罪、侵犯公民個人信息罪追究相關人員刑事責任。

（二）數(shù)據(jù)爬蟲行為的合規(guī)標準剖析

首先，明確合規(guī)的技術行為規(guī)范。技術中立并非沒有法律邊界，企業(yè)合規(guī)預防要根據(jù)數(shù)據(jù)處理業(yè)務與內部管理制度，對某些關涉刑法的不當技術行為進行規(guī)范與制約。而規(guī)制爬蟲技術獲取、收集數(shù)據(jù)應當充分考慮數(shù)據(jù)的使用規(guī)則，比如在數(shù)據(jù)的隱私安全保護方面，要識別數(shù)據(jù)是否為公開數(shù)據(jù)，對于企業(yè)的未公開數(shù)據(jù)需經(jīng)授權后方可爬取，并在合法爬取數(shù)據(jù)后說明數(shù)據(jù)來源；在數(shù)據(jù)的訪問安全保障方面，爬蟲行為應遵守爬蟲協(xié)議或者平臺的設置要求，并對數(shù)據(jù)爬取時間段、爬取數(shù)量進行限制，避免妨礙目標網(wǎng)站的正常運行。

其次，構建差異化的預防性標準。不同安全等級的數(shù)據(jù)使用權限要求以及保護措施不盡相同，不同網(wǎng)絡服務環(huán)節(jié)中的合規(guī)風險也存在差異，可進行針對性的制度構建。例如從數(shù)據(jù)屬性分類，對于涉及個人隱私信息、著作權“作品”、商業(yè)秘密等敏感數(shù)據(jù)，應當設置相對嚴格的抓取限制，在審查發(fā)現(xiàn)后及時刪除或者脫敏處置，而對于批量式主營業(yè)務數(shù)據(jù)，則應當盡量避免可能涉及不正當競爭的法律風險。再如從服務類型上看，對于涉及數(shù)據(jù)信息收集、處理的網(wǎng)絡平臺，其面臨更大的數(shù)據(jù)安全、個人信息安全風險，應當成為重點的預防對象。

最后，建立專業(yè)化數(shù)據(jù)合規(guī)體系。結合案例中Z公司的合規(guī)整改效果，在數(shù)據(jù)管理上，需構建常態(tài)化合規(guī)管理制度，由企業(yè)決策層成員組成專門的數(shù)據(jù)合規(guī)管理委員會，結合業(yè)務經(jīng)營范圍、相關監(jiān)管政策等因素，制定數(shù)據(jù)管理合規(guī)計劃，開展合規(guī)年度報告工作。在數(shù)據(jù)安全上，一般應當建立數(shù)據(jù)分級分類保護制度及員工數(shù)據(jù)安全管理制度，規(guī)范技術匯報審批流程，提高云訪問權限。在合規(guī)文化上，注重數(shù)據(jù)安全教育與培訓，明確數(shù)據(jù)收集、使用、公開等方面的合規(guī)要求，實現(xiàn)在數(shù)據(jù)保護和數(shù)據(jù)利用之間的平衡。

三、數(shù)據(jù)合規(guī)案件中第三方機制的適用

（一）第三方機制的適用范圍

其一，實質把握適用企業(yè)范疇。根據(jù)《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）》（以下簡稱《指導意見》）規(guī)定，第三方機制適用對象包括各類市場主體，以及企業(yè)實際控制人、經(jīng)營管理人員、關鍵技術人員等個人。前述案例中，檢察機關對包括無職務的工程師等在內的14人都予以不起訴處理，由此涉及對于企業(yè)實際控制人等以外的企業(yè)普通工作人員能否適用合規(guī)激勵的問題。由于《指導意見》并未作出嚴格限定，筆者認為應當結合企業(yè)治理結構和生產經(jīng)營活動相關情況進行實質理解把握。在數(shù)據(jù)合規(guī)領域，對采用扁平化經(jīng)營模式的互聯(lián)網(wǎng)平臺企業(yè)，沒有職務的普通員工或者一般技術人員，往往也具有對某項具體業(yè)務的決定權，若涉嫌犯罪與企業(yè)生產經(jīng)營活動相關，應當允許適用第三方機制。

其二，適度限縮適用案件范圍。《指導意見》中明確規(guī)定第三方機制適用于經(jīng)濟犯罪和職務犯罪等案件，該范圍是否涵括案例中涉及的非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪等犯罪？經(jīng)濟犯罪一般意指在商品經(jīng)濟的運行領域中，違反國家法律規(guī)定，嚴重侵犯國家管理制度和破壞社會經(jīng)濟秩序的犯罪行為。在數(shù)字經(jīng)濟視閾下，商業(yè)活動正在大規(guī)模地向網(wǎng)絡空間轉移，并衍生出一種全新的“網(wǎng)絡經(jīng)濟犯罪”形態(tài)，諸如互聯(lián)網(wǎng)企業(yè)經(jīng)營過程中實施的危害計算機信息系統(tǒng)安全類犯罪等，與經(jīng)濟活動緊密相關，屬于“經(jīng)濟犯罪”規(guī)制范疇。企業(yè)合規(guī)制度設計目的在于維護國家正常經(jīng)濟秩序，這里的經(jīng)濟犯罪有必要進行限縮解釋，應當理解為必須與企業(yè)的生產經(jīng)營、市場主體的資格產生直接關聯(lián)，即排除企業(yè)家暴力抗稅、銷售假藥等罪名的適用。此外，對于重罪能否納入第三方機制的適用范圍，《指導意見》雖未明確排除適用，但合規(guī)改革應在現(xiàn)有法律框架內進行，對重罪案件應當綜合涉案企業(yè)犯罪情節(jié)以及不起訴條件等因素，充分考量合規(guī)考察的必要性后審慎適用。

其三，前置化適用階段。本案中，檢察機關將合規(guī)準備工作前移至偵查階段有其必要性?！吨笇б庖姟穼Φ谌綑C制適用階段并未作出明確規(guī)定，此前實踐中企業(yè)合規(guī)評價適用主要在檢察辦案環(huán)節(jié)開展，但一方面在正常羈押狀態(tài)下，檢察機關辦案期限難以覆蓋合規(guī)考察期限，合規(guī)考察往往效果不佳；另一方面，由于偵查環(huán)節(jié)合規(guī)介入的缺失，偵查機關不可避免地對涉案企業(yè)財物或者涉案企業(yè)“關鍵人員”采取強制性措施，導致涉案企業(yè)“積重難返”，這對經(jīng)營鏈條脆弱的互聯(lián)網(wǎng)企業(yè)而言影響尤為嚴重。為此，在案件基本事實已查清的情況下，檢察機關在介入偵查環(huán)節(jié)商公安機關啟動合規(guī)以及第三方機制準備工作，了解企業(yè)合規(guī)整改意愿與經(jīng)營基礎，提前引導企業(yè)制定出相對完整、有效、針對性強的數(shù)據(jù)合規(guī)整改方案，既能確保順利開展合規(guī)工作，又能減少對企業(yè)正常生產經(jīng)營的影響。

（二）企業(yè)數(shù)據(jù)合規(guī)整改的有效性考量

企業(yè)合規(guī)的生命在于行之有效，合規(guī)計劃充分有效的評價與落實是刑事合規(guī)激勵制度能否實現(xiàn)其預期目標的關鍵因素。［3］為此，根據(jù)企業(yè)實際需要制定專項性合規(guī)計劃是數(shù)據(jù)合規(guī)的應有之意，數(shù)據(jù)專項合規(guī)計劃應當有所側重、有效落地。

在第三方組織組建方面，由于企業(yè)有效合規(guī)的考察結論可能作為司法辦案中的出罪事由，數(shù)據(jù)合規(guī)考察應當具備高度的公正性和專業(yè)性，需要業(yè)務精湛的行業(yè)專家、行政執(zhí)法人員等參與其中，方能保證合規(guī)監(jiān)管制度的順利實施。根據(jù)《指導意見》，專業(yè)人員名錄庫應當分類組建。出于回應數(shù)據(jù)合規(guī)擴張的法治需求，有必要以數(shù)據(jù)或者互聯(lián)網(wǎng)為類別組建專門的名錄分庫，保障數(shù)據(jù)合規(guī)考察有效性與效率價值的最大化。本案中，第三方機制管委會專設涉互聯(lián)網(wǎng)專業(yè)人員名錄庫，最終抽取了互聯(lián)網(wǎng)行業(yè)管理部門、行業(yè)龍頭企業(yè)和專業(yè)協(xié)會人員組成第三方組織，為確保合規(guī)計劃評估考察的有效性奠定了組織基礎。

在合規(guī)計劃評估標準設定方面，需要考慮企業(yè)規(guī)模、企業(yè)領域、發(fā)展階段等基本因素，綜合考量合規(guī)的整體性架構以及個別化措施。本案中，涉案企業(yè)提交的合規(guī)計劃主要圍繞數(shù)據(jù)來源與數(shù)據(jù)安全管理構建有效的合規(guī)管理規(guī)范與組織體系。一般而言，若合規(guī)計劃有效性的評價標準過于寬松，可能導致放縱犯罪，而過于嚴格的評價標準，則會加重企業(yè)的負擔，所以合規(guī)計劃評價標準應當遵循比例性原則，平衡懲處措施與企業(yè)可持續(xù)性發(fā)展的關系。［4］具體到數(shù)據(jù)合規(guī)標準，可以從評價指標與參考因素兩個層面進行設計：評價指標上，可以將《網(wǎng)絡安全法》等法律法規(guī)作為設定標尺，綜合企業(yè)管理模式以及常發(fā)網(wǎng)絡犯罪風險，引入互聯(lián)網(wǎng)相關監(jiān)管部門、行業(yè)協(xié)會發(fā)布的監(jiān)管標準、自治規(guī)范等；參考因素上，不同規(guī)模企業(yè)合規(guī)的評價標準應有所區(qū)別，可根據(jù)企業(yè)涉案類型、業(yè)務規(guī)模、薄弱問題等因素調節(jié)指標權重，有針對性地調整風險識別、內部調查、合規(guī)責任履行等方面的比重。

在合規(guī)整改審查監(jiān)督方面，一是審查合規(guī)計劃內容及其執(zhí)行情況，比如企業(yè)是否建立全崗位數(shù)據(jù)安全管理與等級保護制度、是否合理配置數(shù)據(jù)合規(guī)管理機構人員、是否建立合規(guī)風險預警和應對機制、是否嚴格執(zhí)行違規(guī)調查處理機制以及建立合規(guī)文化培養(yǎng)體系等。二是設定具體義務，明確涉案單位及相關人員在考驗期內應遵守的規(guī)定，比如積極配合司法機關調查和追訴、如實全面披露涉及刑事合規(guī)事項的信息、定期匯報企業(yè)合規(guī)情況和刑事合規(guī)風險的排除措施等。三是嚴格落實評估報告機制，由涉案企業(yè)提交整改報告、第三方組織出具合規(guī)考察報告后，經(jīng)檢察機關通過公開聽證等方式審查，最終評估結果才能作為案件處理的參考。如本案中，檢察機關無論是事前現(xiàn)場評估還是事后公開評議審查，目的皆在于確保企業(yè)合規(guī)整改有效落實。

四、檢察機關推進數(shù)據(jù)合規(guī)治理的優(yōu)化路徑

（一）事前防治：構建立體化數(shù)據(jù)合規(guī)風險防控體系

第一，加強數(shù)據(jù)行業(yè)的規(guī)范化建設。檢察機關要與工商聯(lián)、行政監(jiān)管部門、互聯(lián)網(wǎng)協(xié)會等加強協(xié)作，針對互聯(lián)網(wǎng)企業(yè)合規(guī)風險點進行防范引導，比如編制數(shù)字行業(yè)合規(guī)清單等。第二，提升數(shù)據(jù)行業(yè)、企業(yè)自治能力。檢察機關可以推動互聯(lián)網(wǎng)企業(yè)簽署自治協(xié)議、共識框架，達成數(shù)據(jù)合規(guī)協(xié)作共識，同時有針對性地建立黑名單制度、重點企業(yè)聯(lián)絡人制度、典型案例宣講制度等，提升企業(yè)自我管理能力。第三，強化檢企聯(lián)合防控。一方面，檢察機關通過檢力下沉、大調研等方式，深入案件易發(fā)、多發(fā)互聯(lián)網(wǎng)企業(yè)和區(qū)域，及早發(fā)現(xiàn)并預防企業(yè)經(jīng)營的潛在刑事風險。另一方面，企業(yè)在發(fā)現(xiàn)其內部員工犯罪案件后第一時間通報，最大程度減少對企業(yè)生產經(jīng)營影響。

（二）事中矯治：提升數(shù)據(jù)合規(guī)檢察辦案質效

第一，健全數(shù)據(jù)犯罪線索發(fā)現(xiàn)機制。檢察機關可以依托偵查監(jiān)督與協(xié)作配合辦公室，將數(shù)據(jù)犯罪案件合規(guī)可能性的初篩作為派駐檢察官的重要履職內容，對于滿足合規(guī)條件的及時啟動協(xié)調和介入程序，為企業(yè)合規(guī)的啟動收集證據(jù)材料，提升辦案效率。同時依托信息化共享平臺，將企業(yè)合規(guī)納入大數(shù)據(jù)協(xié)同辦案，實現(xiàn)對合規(guī)案件的專案專辦與實時監(jiān)督。第二，審慎適用訴前強制措施。對犯罪嫌疑人系互聯(lián)網(wǎng)企業(yè)主要負責人員或關鍵“骨干”人員等，檢察機關要嚴格審查是否符合法律規(guī)定的逮捕條件，必要時可以探索建立先行取保候審制度。同時強化偵查活動監(jiān)督，及時糾正查封、扣押、凍結財物不當?shù)燃又仄髽I(yè)負擔、加劇企業(yè)生產經(jīng)營困難的行為。第三，強化合規(guī)考察的審查把關。一方面，檢察機關要借助專業(yè)的第三方組織，以量化的形式對企業(yè)合規(guī)建設狀況作出全面、系統(tǒng)的客觀評估，督促涉案企業(yè)圍繞數(shù)據(jù)合規(guī)計劃整改落實，避免出現(xiàn)“紙面合規(guī)”。另一方面，檢察機關也要秉持懲治與挽救并重理念，通過公開聽證、現(xiàn)場評審會等方式，主動聽取第三方組織與涉案企業(yè)意見，促進當事雙方和解或者達成數(shù)據(jù)交互協(xié)議，提升涉案企業(yè)合規(guī)案件辦理質效。

（三）事后共治：健全企業(yè)合規(guī)行刑銜接的保障機制

第一，建立定期跟蹤回訪機制。對于整改后的涉案企業(yè)作出不起訴決定的，檢察機關仍應進行一定時間的跟蹤監(jiān)督，以督促確保數(shù)據(jù)合規(guī)制度在企業(yè)的常態(tài)化運作。第二，暢通“兩法銜接”渠道，推動“合規(guī)互認”機制的實施［5］，將合規(guī)考察結果作為對企業(yè)進行政策激勵以及行政、刑事處罰從寬的依據(jù)。

*本文為上海市檢察機關2022年重點課題“涉案企業(yè)合規(guī)改革中的行刑銜接問題研究”（SH2022202）的階段性研究成果。

**上海市普陀區(qū)人民檢察院副檢察長、三級高級檢察官［200333］

***上海市普陀區(qū)人民檢察院第六檢察部三級檢察官助理［200333］

［1］參見楊志瓊：《數(shù)據(jù)時代網(wǎng)絡爬蟲的刑法規(guī)制》，《比較法研究》2020年第4期。

［2］參見梅夏英：《在分享和控制之間 數(shù)據(jù)保護的私法局限和公共秩序構建》，《中外法學》2019年第4期。

［3］參見陳瑞華：《企業(yè)合規(guī)基本理論》，法律出版社2020年版，第102頁。

［4］參見李本燦：《刑事合規(guī)的制度邊界》，《法學論壇》2020年第4期。

［5］參見陳瑞華：《企業(yè)合規(guī)不起訴改革的動向和挑戰(zhàn)》，中國知網(wǎng)https：//kns.cnki.net/kcms/detail/detail.aspx？dbcode=CAPJ&dbname=CAPJLAST&filename=ZFKL20221026003&uniplatform=NZKPT&v=AQL3bkbibT55adNQbIhSevu_73nJCGTFyiAGKsj1uToxlitzqJUdy1L5bKuzK-Jd，最后訪問日期：2022年11月1日。