多维构建数字企业涉个人信息刑事合规体系

2021年11月1日正式施行的《中华人民共和国个人信息保护法》从总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任以及附则等八个方面建构了个人信息保护的制度体系。该法在条文设计上既吸收借鉴国际立法经验，又回应、关照中国实际，覆盖全行业全部门以及个人信息流转利用全生命周期，旨在实现保护个人信息权益、规范个人信息处理活动和促进个人信息合理利用的三重立法目的，为构建多维企业涉个人信息刑事合规体系提供了明确的规范指引。

一、数字企业涉个人信息刑事合规现状

当下我国正迈入高质量发展的历史新阶段，各地区各行业数字化转型加速，数字经济、数字政府和数字社会发展迅速。伴随以数据（个人信息）驱动的各类新型经济模式和商业应用的发展，个人信息的价值日益凸显，成为最重要的基础元素。由此也滋生了对各类数据、信息权益的侵犯行为，特别是公民个人信息被非法收集、泄露、滥用的违法犯罪案件相对处于高位，成为行政监管和刑事司法的红线区域。

毋庸置疑的是，近年来网络空间和数字场景已经成为各类侵害公民个人信息违法犯罪的首要领域，而数字企业作为个人信息收集和处理的主体，往往因为未能及时把握明晰的法律规则边界、建立健全扎实的合规风控体系，在个人信息相关的技术产品服务研发、业务运营推广、内部人事组织以及商业伙伴管理等方面容易违反刑事法律或者牵涉其中，触发个人和单位刑事责任风险，也是目前刑事司法高度专注的重点领域。就刑事司法现状而言，呈现三大主要特征：一是刑事处罚案件与行政处罚案件同步增长，二是单位犯罪案件与自然人犯罪案件同步增长，三是各类个人信息关联犯罪案件交织同步增长。

随着个人信息保护法、数据安全法等法律法规的全面施行，刑事司法中有关数字企业的个人信息保护注意义务和刑事合规要求将持续提升，更加注重在实质层面判断企业的业务模式与运营机制乃至内外生态，强调企业守法合规经营，从而实现法律效果和社会效果的有机统一。

二、构建多维度的数字企业涉个人信息刑事合规体系

基于现行法律法规和司法裁判实践，数字企业围绕涉个人信息刑事合规体系的建设应当包含三大基本要素：一是由法律制度下沉到流程实现，强调法规要求内嵌到企业业务全流程，二是由业务责任上升到组织责任，强调企业各部门各条线的合规大协同，三是由法律遵从进阶到战略风控，强调企业的运营模式具备的正向价值。相应地，着眼数据要素流转利用的整体生态图景，数字企业涉个人信息刑事风险的合规风控工作需要注意以下三个方面的系统性融合：

其一，强化企业涉个人信息刑事风险的技术要素合规。重点核查相关的个人信息保护措施是否满足法律规定，全面评判企业在个人信息的获取、使用、共享、披露、提供等处理方面所采取的技术措施是否具有适当性，尤其是在个人信息的收集方面，能够记录和验证是否得到了个人信息主体的充分授权同意或者具备其他合法性基础。

此外，在个人信息流转使用的过程中，委托、共享及转让应当注重获得信息主体的授权与允许，在相应的用户协议中亦应当标明共享目的、方式以及范围等事项，以避免因共享不当而衍生合规问题。在委托第三方处理个人信息时，除了需要对受托人应当具有数据信息安全保护能力进行全面评估之外，也应当注意委托处理的范围限于与用户主体约定的范围。充分严格地配备信息流转的相关技术措施，实现上述元素必要的留痕溯源以确保在流转的过程杜绝被内外部人员不法利用的可能。并且设计和部署兼具技术可行性和成本合理性的个人信息安全事件应急处置机制，做到能够第一时间启动安全应急预案，联合多部门、多主体共同处置，包括借助技术措施展开内部调查、完整记录应对处置操作、评估法律风险、向涉及的个人信息主体发送通知，并向有关主管部门报告，以防止个人信息安全后果的传导和扩散。

其二，强化企业涉个人信息刑事风险的组织管理合规。企业内部个人信息保护的组织管理设计以及实务运行情况，如组织架构、监督机制、风险管理、内部控制等事项安排以及企业对于相关法律法规和执法司法要求的理解落实程度等，是影响自身法律责任种类与程度的重要因素。有必要依法建立高位阶、跨部门、跨条线的个人信息保护机构，由其统筹企业个人信息保护工作体系，负责安全应急响应并组织实现个人信息安全和保护的各项事务。

同时，应当做好企业内外数据资产管理、严防个人信息泄露，企业需要制定详尽的个人信息数据目录和技术性流程，重点审查本企业经营活动、商业模式、业务条线、产品服务、人员管理中所涉及的信息是否属于个人信息或敏感个人信息及其种类和级别。同时严格界定信息收集主体的权限管理和身份认证，对所获取的个人信息实时落实分类分级保护，特别是通过控制数据访问的权限和设定多重身份验证技术保护个人信息，并对各级企业人员处理数据的行为进行全流程管控，包括采用专门的数据和技术安全审计，设立日志审计和行为审计等各种措施。

其三，强化企业涉个人信息刑事风险的人力资源合规。一方面，企业人员特别是管理层，往往会在企业涉个人信息刑事案件中归入法定责任主体，而且其行为容易引发全局性单位刑事责任，做好相关的法治宣传培训工作，建立全面有效的人员监督、业务操作的权限约束等机制，有助于最大限度减少由个人犯罪引发单位犯罪的情形。为此，企业应当持续改进个人信息风险管理和内部控制的实效性，通过有力的“定岗定人”和“定岗定责”确保各项风险管理和内部控制措施的实际效果，进而提升个人信息风险识别与评估、安全响应与处置、业务考核奖惩以及举报投诉等诸多机制的实现水准。

另一方面，企业需要落实个人信息相关的关键岗位和人员的高水平管理，在进行充分背景调查的基础上，签署相应的保密协议和业务守则，定期对该类人员进行专门的合规培训、安全教育以及设定技能考核等人员管理事项，同时就其业务操作情况和重要外部关系变动形成及时、完整的档案记录，并主要通过该类人员强化落实对外部数据合作方的全流程合规监督与风险处置。作为重要的补充，企业还需要通过有序规划和组织开展有关个人信息保护和数据安全等核心事项的宣传教育，不断促进和强化包括各级内部员工、各类外部伙伴等在内的相关主体的守法自觉性和合规主动性。