匯業李天航律師接受LEB人物專訪,談供應商數據合規管理中的刑事風險防控

發布時間:2019-12-23

2019年11月21日,LEB法務平臺(Legal ExecutiveBoard)在上海成功舉辦2019企業法務年度峰會。近200位來自國內外知名企業的法務同行齊聚一堂,共同就企業法務關注的熱點話題展開討論。匯業律師事務所的高級合伙人李天航作為嘉賓,就供應商數據合規管理中上下游牽連案件的調查應對及刑事風險防控進行了主題發言。

李天航律師曾在上海市公安局法制辦公室工作了逾16 年,負責大案、要案指導和協調,刑事案件質量控制,刑事政策制定等刑事執法辦案工作。李律師結合曾經公安的工作經驗,就企業如何建立調查應對體系及應對流程分享了自己的看法。同時,李律師詳細介紹了在信息合規領域中不同的刑事罪名及構成要件,并且提示了企業在供應商管理中應當注意的風險。

會議結束后,李天航律師接受了LEB法務平臺的采訪,以下是經整理的文稿實錄。

采訪實錄

關于上下游牽連案件調查應對和供應商數據刑事合規主要分享了哪幾點內容?

李天航律師:今天我主要是從兩個大的主題跟大家做了分享。第一個就是上下游的牽連案件的調查的應對,這個是非常重要的。第二個就是企業的刑事法律風險的防控。

那么第一塊的話我主要是分了這么幾個方面。

第一個就是說當企業遇到上下游牽連案件,監管部門來調查的時候,如何來應對的一個價值取向。因為價值取向總是能夠主導我們整個應對過程的,也是說實際上是我們整個的一個應對過程中,能否取得一個比較好的效果的前提。那么一般情況下,當前主要是有三種價值取向:第一個是拒絕配合;第二個是消極應對;第三個是有控制的積極的應對。其中前面兩個方面的話會比較明確一些。

第三個方面是我根據經驗總結下來的。無論是我在以前的公安工作經驗中,還是在做律師的這幾年和客戶的交流過程中總結出來的這三個方面,我是傾向于企業采用第三個方面,就是有控制的一個積極的應對。首先其實執法人員他是擁有一個國家賦予的強制的執法力,那么如果說我們在應對的過程中應對不當的話,會激起執法人員的情緒,進而導致執法人員會有選擇性的采取一些更加嚴厲的、更加重的調查措施,進而會影響到我們企業本身的一種法律責任的承擔。還有就是目前執法機關一般是逐步在傾向于“一案雙查”,也就說是在查處一件事情的同時也要對你的整體的網絡安全的合規性做一個完整的篩查。所以這也是說我們必須要重視的應對的一個方面。那么還有一個就是行刑銜接的問題。這是刑事和行政執法機關的一個銜接機制。那么行政執法機關在調查的過程中,在執行職務的過程中,如果說是遇到一些可能涉及刑事犯罪的情況,包括在應對調查過程中受到了一些阻力,那么導致一個法律責任的升級,上升到刑事的過程中的話,行政執法機關會采取機制請公安機關的刑事司法部門來介入。所以從綜合研判來看的話,我們的建議實際上還是要一個有控制地、積極地應對。

至于在應對的過程中的話,我們是分了三大塊。

第一大塊的話就是說你首先要建立一個比較完整的機制,包括人員機制、應急機制和一個整體的工作機制。然后要成立專門的由各個部門人員組成的班子。

第二個是在領導體制上,我們建議有一個AB角的雙向制度,一旦某一個主導的領導不在的時候,可以有一個對應的B角。因為無論是行政還是刑事司法的調查,它的緊迫性非常強,所以說是必須要有人來積極的、及時的來引導這個應對。

第三個是關于應對的指引上,我們建議首先其實要統一接口,不是說遇到行政調查或者是刑事司法調查的時候,每一個人員或者任何一個隨意的人員都能出來應對,而是需要有一個統一的確定的部門和幾個具體的人員,訓練有素的來應對。如果是遇到檢查人員或者執法人員上門的時候,需要禮貌地接待,然后禮貌的問候,比如可以禮貌地問清楚他們的來由、他們的部門、他們的執法證件。問清楚這些以后的話要進行一個相關的一個正確的引導,比如說是引導到相關的會議室里面,與辦公區域相對比較隔離的一個區域里面進行等候。接下來就要進行一個內部的評估,相應的機制就要跟上。然后做一個內部的相應的準備工作。最終需要有一個嚴謹、慎重的出口,無論是書面的還是說是由具體人員來接待執法人員的時候,都必須要慎重,要經過事先相關的演練,相關的慎重討論,最終決定該說什么,不該說什么,然后最終向執法人員進行最終的一個陳述。這是第二個關于調查應對的問題。

第二個大部分主要是關于刑事風險防控。因為從刑法的分類上來看,我們今天分享的領域涉及的罪名屬于行政犯,也就是法定犯。他是必須法律規定為犯罪的才能夠認定為犯罪,而且它是通過一個前期的行政的合規性,或者是行政責任的一個升級而來的刑事責任。所以說我們在應對此類犯罪的時候,需要通過它前期的一個行政合規的完善的防控,然后避免行政責任升級,或者行政風險的升級到刑事風險。

從具體的分類來看的話,第一個我是跟大家分享的侵犯公民個人信息犯罪。主要從四個層面來看。第一個層面的話是要嚴把進出口關,因為侵犯公民個人信息犯罪的保護對象或者說是他界定對象的話,個人信息的范疇比網絡安全法更加廣,跟個人信息規范相對來說是比較平衡的,所以它的范圍是更加廣的。那么在這個過程中的話,我們要重點要把控的是如何獲取公民個人信息,就是叫進口關。那么無論是你直接的獲取,還是通過間接的通過第三方來獲取,都必須要符合國家有關規定,符合國家法律、行政法規和部門規章的一些規定。然后出口也是這樣子的,包括你向第三方的提供、分享、共享、泄露、披露等等,這些都必須要符合國家法律的相關的規定。這是一個嚴把進出口關。那么在此基礎上必須有必要提醒的就是要避免一個文本或者合同審查避免陷入一個合同的陷阱。很多企業認為說我已經跟上下游簽署了相關的合同、保密書、承諾書等等相關的這些文本,那么就可以起到一個防范的作用。其實刑事的犯罪調查它是穿透性的,尤其是對于一些你的主觀故意上,他是需要通過一個具體的場景來分析的。所以說,在一個文本審查審核,或者是文本保證的前提基礎上,只是起到了第一層的防護責任。其次還是需要有一個實質性的審查,就像前面黃春林律師講過的,第二重具體的機制性的審查和要件性的審查,還有一個深層次的機制和最終的實質性的審查,要通過多方位的審查來避免你對數據的接收或者是數據的出口違反實質性的國家的法律的規定。在這個基礎之上的話,我們還要考慮到要避免因為員工個人責任而導致升級到單位責任的問題。應該說目前侵犯公民個人信息犯罪是一個比較重點監管的犯罪行為,所以這一塊的話希望大家做好這幾個方面的防控工作。

那么第二個罪名就是關于幫助信息網絡犯罪這一塊,目前容易觸發的犯罪行為。它是一個幫助行為正犯化,也就是說原來他是作為一個從犯、共犯的范疇,現在把他獨立的作為犯罪。那么對這一類犯罪,實際上我們首先就是說要在防控上要建立一個對于我們提供服務或者供應商,或者向我們提供服務的這些供應商的管理,對其中涉及違法犯罪行為的一個防范機制。只有機制建立了才能夠全面的去防范。第二個要建立對異常行為的一種審查機制。比如說價格上的異常,在供應商之間的合同在價格上要遠遠的高于或者甚至是說遠遠地低于市場價格的出入,包括一些行為上的異常、流量上的異常等等。比如像快播案里面,他的涉黃視頻流量正在異常增加,那么這種情況之下,實際上就要是特別去關注的。還有就是一種被動性知曉的防控,比如說是不是有人舉報,是不是說有監管部門來告知你、來要求你采取對著一些異常的供應商或者異常行為進行防范,然后仍然不去防范的就有可能會構成幫助類的犯罪。所以我們企業其實更多是要避免明知,其次的話要避免推定為明知。

第三個罪名是拒不履行信息網絡安全管理義務罪。這個罪名實際上是一個非常典型的行政責任二次升級的問題。首先我們的企業、我們的網絡運營者,如果說是被監管部門出具了行政處罰決定書、責令整改通知書等等一些書面的法律文書的基礎之上,然后繼續不整改的,那么這種情況就會構成拒不履行信息網絡安全管理義務罪的基本的法律構成。所以說我們第一個是要建立一個面對行政調查或者是行政處罰的一個應對機制。一旦這些條件觸發的時候,企業的應對機制必須馬上要啟動。那么其次的話是要跟監管部門要進行一個積極的溝通。當他發出處罰決定也罷、責令整改通知也罷,這些書面的通知的時候或者通知之前的時候,一定要跟執法機關做一個深入的溝通,是不是執法機關有一些誤傷的情況,或者說是執法機關在認定的過程中是不是有一些跟實際情況不相符的。那么在這種情況之下,你跟執法機關做了一個比較認真的溝通,獲得執法機關的諒解,使他收回處罰決定或者是說避免處罰決定的時候我們其實消除了第一層的風險。當然還有一種可能就是說是當行政處罰決定,或者是責令整改通知書這種行政強制措施決定已經生效的時候或者已經作出的時候,我們可以充分的運用我們的復議、訴訟這種救濟機制。然后還有就是說我們需要是在整改的過程中,所有的前期的決定已經生效,我們的救濟措施也無效的情況之下,我們必須要落實整改。那么落實整改的話,還必須要對整改的過程留痕,包括整改完成了,那么要請執法機關來驗收,是不是符合他們要求。如果說我短時間之內還不能完成的話,我需要有相應的整改的措施計劃等等。但整個過程,包括我內部的研究的過程,這些都要留痕。如果實在是沒辦法整改或者因為客觀原因沒辦法去整改的時候,我們內部的整個研判機制,包括我們無法去整改的一種客觀的理由和相關的證據,也要跟執法機關做一個正常的溝通。所以做好這三方面,我覺得這個行為犯刑事風險還是可以避免的。

還有最后一個就是關于一個非法獲取計算機信息系統數據罪,或者說是非法侵入計算機信息系統。那么這類犯罪的話比較典型的就是目前的爬蟲類的犯罪。因為現在數據實際上是每個企業都非常需要的,那么在他們業務獲取數據的過程中,使用機器人類的系統來獲取是比較省時省力的,也是能夠獲取得更加多的數據的。但是往往是在他們使用爬蟲的過程中,使用了一些繞開訪問、避開的一些授權等等的方式,直接非法的獲取了這些數據。如果獲取的這些數據里面有公民個人信息的,那么極有可能是構成了犯罪,也有可能構成侵犯公民個人信息的犯罪;如果說不是公民個人信息,而是其他類的數據的話,就有可能是構成非法獲取計算機信息系統數據罪。這類犯罪的后果,比如說你可能是造成了被侵入的計算機信息系統的直接經濟損失在1萬元以上,或者說你使用此類的爬蟲,你的獲利是在5000元以上等等,包括例如你獲得的公民個人信息在五百條、五千條、五萬條,根據不同的數量定性,都會構成刑事責任的。

這是我今天主要跟大家分享的兩大塊的一些內容。

為什么選擇上下游牽連案件調查應對和供應商數據刑事合規進行分享?

李天航律師:因為選擇這個主題的目的主要是,一個就是說我以前在執法機關的時候發現這類情況是特別嚴重的;我做了律師之后的話,我發現客戶的這些情況仍然沒有改觀。而我向他們來灌輸一些思想的時候,有些客戶能夠理解,而絕大多數客戶還是沒有接受。但是今年的執法風暴使大家徹底認識了這方面的風險。所以我就選擇這個主題跟大家去分享了。

未來對于數據刑事合規有哪些新的展望?

李天航律師:展望從這幾個方面來看。第一個就是說立法更加完善的情況之下,執法更加嚴格,這是我認為將來,不止是2020年,是將來的一個趨勢。所以說今天我談到的這些東西,在將來肯定是會在不同層次的都會得到印證。同時,網絡戰略、互聯網戰略已經作為國家的一個整體的戰略甚至基礎戰略,那么我們整個國家、整個社會、整個經濟基礎、整個所有的企業都是離不開互聯網的情況之下,也是說會導致我們這類的風險愈發的放大。企業必須聚焦在這方面,然后在明年,或是在將來更長的一段時間里面,一定要做好這方面的合規工作,然后來防范刑事風險的發生。

匯業在網絡與數據法律服務領域具有業界領先的優勢,是國內最早從事該領域法律服務的律師事務所之一,憑借該領域的卓越表現獲評LEGALBAND 2019年中國頂級律所。匯業網絡與數據法律委員會由多位經驗豐富、勤勉敬業、極富創新精神的律師、技術專家組成,能夠滿足客戶多方位、個性化的法律服務需求,特別擅長于網絡安全與數據領域的合規審查、提升建議、制度完善、新型業務的合規評估與風險防控、復雜交易結構的設計與執行。

匯業網絡與數據法律服務內容包括但不限于:網絡安全與接入合規,隱私、數據與個人信息保護合規,數據競爭與反壟斷;互聯網、物聯網、大數據及人工智能等產業的內、外資準入政策咨詢(含政府性審批與備案事務);電子商務、互聯網金融、網絡游戲、網絡新媒體、電子信息等行業的產品合規審查與政策風險評估;相關企業投融資、并購法律事務(含VIE架構搭建與拆除)、員工激勵方案設計與執行;網絡知識產權戰略與維權,涉網爭議解決、調查應對及刑事辯護;等等。


返回列表