汇业李天航律师接受LEB人物专访,谈供应商数据合规管理中的刑事风险防控

发布时间:2019-12-23

2019年11月21日,LEB法务平台(Legal ExecutiveBoard)在上海成功举办2019企业法务年度峰会。近200位来自国内外知名企业的法务同行齐聚一堂,共同就企业法务关注的热点话题展开讨论。汇业律师事务所的高级合伙人李天航作为嘉宾,就供应商数据合规管理中上下游牵连案件的调查应对及刑事风险防控进行了主题发言。

李天航律师曾在上海市公安局法制办公室工作了逾16 年,负责大案、要案指导和协调,刑事案件质量控制,刑事政策制定等刑事执法办案工作。李律师结合曾经公安的工作经验,就企业如何建立调查应对体系及应对流程分享了自己的看法。同时,李律师详细介绍了在信息合规领域中不同的刑事罪名及构成要件,并且提示了企业在供应商管理中应当注意的风险。

会议结束后,李天航律师接受了LEB法务平台的采访,以下是经整理的文稿实录。

采访实录

关于上下游牵连案件调查应对和供应商数据刑事合规主要分享了哪几点内容?

李天航律师:今天我主要是从两个大的主题跟大家做了分享。第一个就是上下游的牵连案件的调查的应对,这个是非常重要的。第二个就是企业的刑事法律风险的防控。

那么第一块的话我主要是分了这么几个方面。

第一个就是说当企业遇到上下游牵连案件,监管部门来调查的时候,如何来应对的一个价值取向。因为价值取向总是能够主导我们整个应对过程的,也是说实际上是我们整个的一个应对过程中,能否取得一个比较好的效果的前提。那么一般情况下,当前主要是有三种价值取向:第一个是拒绝配合;第二个是消极应对;第三个是有控制的积极的应对。其中前面两个方面的话会比较明确一些。

第三个方面是我根据经验总结下来的。无论是我在以前的公安工作经验中,还是在做律师的这几年和客户的交流过程中总结出来的这三个方面,我是倾向于企业采用第三个方面,就是有控制的一个积极的应对。首先其实执法人员他是拥有一个国家赋予的强制的执法力,那么如果说我们在应对的过程中应对不当的话,会激起执法人员的情绪,进而导致执法人员会有选择性的采取一些更加严厉的、更加重的调查措施,进而会影响到我们企业本身的一种法律责任的承担。还有就是目前执法机关一般是逐步在倾向于“一案双查”,也就说是在查处一件事情的同时也要对你的整体的网络安全的合规性做一个完整的筛查。所以这也是说我们必须要重视的应对的一个方面。那么还有一个就是行刑衔接的问题。这是刑事和行政执法机关的一个衔接机制。那么行政执法机关在调查的过程中,在执行职务的过程中,如果说是遇到一些可能涉及刑事犯罪的情况,包括在应对调查过程中受到了一些阻力,那么导致一个法律责任的升级,上升到刑事的过程中的话,行政执法机关会采取机制请公安机关的刑事司法部门来介入。所以从综合研判来看的话,我们的建议实际上还是要一个有控制地、积极地应对。

至于在应对的过程中的话,我们是分了三大块。

第一大块的话就是说你首先要建立一个比较完整的机制,包括人员机制、应急机制和一个整体的工作机制。然后要成立专门的由各个部门人员组成的班子。

第二个是在领导体制上,我们建议有一个AB角的双向制度,一旦某一个主导的领导不在的时候,可以有一个对应的B角。因为无论是行政还是刑事司法的调查,它的紧迫性非常强,所以说是必须要有人来积极的、及时的来引导这个应对。

第三个是关于应对的指引上,我们建议首先其实要统一接口,不是说遇到行政调查或者是刑事司法调查的时候,每一个人员或者任何一个随意的人员都能出来应对,而是需要有一个统一的确定的部门和几个具体的人员,训练有素的来应对。如果是遇到检查人员或者执法人员上门的时候,需要礼貌地接待,然后礼貌的问候,比如可以礼貌地问清楚他们的来由、他们的部门、他们的执法证件。问清楚这些以后的话要进行一个相关的一个正确的引导,比如说是引导到相关的会议室里面,与办公区域相对比较隔离的一个区域里面进行等候。接下来就要进行一个内部的评估,相应的机制就要跟上。然后做一个内部的相应的准备工作。最终需要有一个严谨、慎重的出口,无论是书面的还是说是由具体人员来接待执法人员的时候,都必须要慎重,要经过事先相关的演练,相关的慎重讨论,最终决定该说什么,不该说什么,然后最终向执法人员进行最终的一个陈述。这是第二个关于调查应对的问题。

第二个大部分主要是关于刑事风险防控。因为从刑法的分类上来看,我们今天分享的领域涉及的罪名属于行政犯,也就是法定犯。他是必须法律规定为犯罪的才能够认定为犯罪,而且它是通过一个前期的行政的合规性,或者是行政责任的一个升级而来的刑事责任。所以说我们在应对此类犯罪的时候,需要通过它前期的一个行政合规的完善的防控,然后避免行政责任升级,或者行政风险的升级到刑事风险。

从具体的分类来看的话,第一个我是跟大家分享的侵犯公民个人信息犯罪。主要从四个层面来看。第一个层面的话是要严把进出口关,因为侵犯公民个人信息犯罪的保护对象或者说是他界定对象的话,个人信息的范畴比网络安全法更加广,跟个人信息规范相对来说是比较平衡的,所以它的范围是更加广的。那么在这个过程中的话,我们要重点要把控的是如何获取公民个人信息,就是叫进口关。那么无论是你直接的获取,还是通过间接的通过第三方来获取,都必须要符合国家有关规定,符合国家法律、行政法规和部门规章的一些规定。然后出口也是这样子的,包括你向第三方的提供、分享、共享、泄露、披露等等,这些都必须要符合国家法律的相关的规定。这是一个严把进出口关。那么在此基础上必须有必要提醒的就是要避免一个文本或者合同审查避免陷入一个合同的陷阱。很多企业认为说我已经跟上下游签署了相关的合同、保密书、承诺书等等相关的这些文本,那么就可以起到一个防范的作用。其实刑事的犯罪调查它是穿透性的,尤其是对于一些你的主观故意上,他是需要通过一个具体的场景来分析的。所以说,在一个文本审查审核,或者是文本保证的前提基础上,只是起到了第一层的防护责任。其次还是需要有一个实质性的审查,就像前面黄春林律师讲过的,第二重具体的机制性的审查和要件性的审查,还有一个深层次的机制和最终的实质性的审查,要通过多方位的审查来避免你对数据的接收或者是数据的出口违反实质性的国家的法律的规定。在这个基础之上的话,我们还要考虑到要避免因为员工个人责任而导致升级到单位责任的问题。应该说目前侵犯公民个人信息犯罪是一个比较重点监管的犯罪行为,所以这一块的话希望大家做好这几个方面的防控工作。

那么第二个罪名就是关于帮助信息网络犯罪这一块,目前容易触发的犯罪行为。它是一个帮助行为正犯化,也就是说原来他是作为一个从犯、共犯的范畴,现在把他独立的作为犯罪。那么对这一类犯罪,实际上我们首先就是说要在防控上要建立一个对于我们提供服务或者供应商,或者向我们提供服务的这些供应商的管理,对其中涉及违法犯罪行为的一个防范机制。只有机制建立了才能够全面的去防范。第二个要建立对异常行为的一种审查机制。比如说价格上的异常,在供应商之间的合同在价格上要远远的高于或者甚至是说远远地低于市场价格的出入,包括一些行为上的异常、流量上的异常等等。比如像快播案里面,他的涉黄视频流量正在异常增加,那么这种情况之下,实际上就要是特别去关注的。还有就是一种被动性知晓的防控,比如说是不是有人举报,是不是说有监管部门来告知你、来要求你采取对着一些异常的供应商或者异常行为进行防范,然后仍然不去防范的就有可能会构成帮助类的犯罪。所以我们企业其实更多是要避免明知,其次的话要避免推定为明知。

第三个罪名是拒不履行信息网络安全管理义务罪。这个罪名实际上是一个非常典型的行政责任二次升级的问题。首先我们的企业、我们的网络运营者,如果说是被监管部门出具了行政处罚决定书、责令整改通知书等等一些书面的法律文书的基础之上,然后继续不整改的,那么这种情况就会构成拒不履行信息网络安全管理义务罪的基本的法律构成。所以说我们第一个是要建立一个面对行政调查或者是行政处罚的一个应对机制。一旦这些条件触发的时候,企业的应对机制必须马上要启动。那么其次的话是要跟监管部门要进行一个积极的沟通。当他发出处罚决定也罢、责令整改通知也罢,这些书面的通知的时候或者通知之前的时候,一定要跟执法机关做一个深入的沟通,是不是执法机关有一些误伤的情况,或者说是执法机关在认定的过程中是不是有一些跟实际情况不相符的。那么在这种情况之下,你跟执法机关做了一个比较认真的沟通,获得执法机关的谅解,使他收回处罚决定或者是说避免处罚决定的时候我们其实消除了第一层的风险。当然还有一种可能就是说是当行政处罚决定,或者是责令整改通知书这种行政强制措施决定已经生效的时候或者已经作出的时候,我们可以充分的运用我们的复议、诉讼这种救济机制。然后还有就是说我们需要是在整改的过程中,所有的前期的决定已经生效,我们的救济措施也无效的情况之下,我们必须要落实整改。那么落实整改的话,还必须要对整改的过程留痕,包括整改完成了,那么要请执法机关来验收,是不是符合他们要求。如果说我短时间之内还不能完成的话,我需要有相应的整改的措施计划等等。但整个过程,包括我内部的研究的过程,这些都要留痕。如果实在是没办法整改或者因为客观原因没办法去整改的时候,我们内部的整个研判机制,包括我们无法去整改的一种客观的理由和相关的证据,也要跟执法机关做一个正常的沟通。所以做好这三方面,我觉得这个行为犯刑事风险还是可以避免的。

还有最后一个就是关于一个非法获取计算机信息系统数据罪,或者说是非法侵入计算机信息系统。那么这类犯罪的话比较典型的就是目前的爬虫类的犯罪。因为现在数据实际上是每个企业都非常需要的,那么在他们业务获取数据的过程中,使用机器人类的系统来获取是比较省时省力的,也是能够获取得更加多的数据的。但是往往是在他们使用爬虫的过程中,使用了一些绕开访问、避开的一些授权等等的方式,直接非法的获取了这些数据。如果获取的这些数据里面有公民个人信息的,那么极有可能是构成了犯罪,也有可能构成侵犯公民个人信息的犯罪;如果说不是公民个人信息,而是其他类的数据的话,就有可能是构成非法获取计算机信息系统数据罪。这类犯罪的后果,比如说你可能是造成了被侵入的计算机信息系统的直接经济损失在1万元以上,或者说你使用此类的爬虫,你的获利是在5000元以上等等,包括例如你获得的公民个人信息在五百条、五千条、五万条,根据不同的数量定性,都会构成刑事责任的。

这是我今天主要跟大家分享的两大块的一些内容。

为什么选择上下游牵连案件调查应对和供应商数据刑事合规进行分享?

李天航律师:因为选择这个主题的目的主要是,一个就是说我以前在执法机关的时候发现这类情况是特别严重的;我做了律师之后的话,我发现客户的这些情况仍然没有改观。而我向他们来灌输一些思想的时候,有些客户能够理解,而绝大多数客户还是没有接受。但是今年的执法风暴使大家彻底认识了这方面的风险。所以我就选择这个主题跟大家去分享了。

未来对于数据刑事合规有哪些新的展望?

李天航律师:展望从这几个方面来看。第一个就是说立法更加完善的情况之下,执法更加严格,这是我认为将来,不止是2020年,是将来的一个趋势。所以说今天我谈到的这些东西,在将来肯定是会在不同层次的都会得到印证。同时,网络战略、互联网战略已经作为国家的一个整体的战略甚至基础战略,那么我们整个国家、整个社会、整个经济基础、整个所有的企业都是离不开互联网的情况之下,也是说会导致我们这类的风险愈发的放大。企业必须聚焦在这方面,然后在明年,或是在将来更长的一段时间里面,一定要做好这方面的合规工作,然后来防范刑事风险的发生。

汇业在网络与数据法律服务领域具有业界领先的优势,是国内最早从事该领域法律服务的律师事务所之一,凭借该领域的卓越表现获评LEGALBAND 2019年中国顶级律所。汇业网络与数据法律委员会由多位经验丰富、勤勉敬业、极富创新精神的律师、技术专家组成,能够满足客户多方位、个性化的法律服务需求,特别擅长于网络安全与数据领域的合规审查、提升建议、制度完善、新型业务的合规评估与风险防控、复杂交易结构的设计与执行。

汇业网络与数据法律服务内容包括但不限于:网络安全与接入合规,隐私、数据与个人信息保护合规,数据竞争与反垄断;互联网、物联网、大数据及人工智能等产业的内、外资准入政策咨询(含政府性审批与备案事务);电子商务、互联网金融、网络游戏、网络新媒体、电子信息等行业的产品合规审查与政策风险评估;相关企业投融资、并购法律事务(含VIE架构搭建与拆除)、员工激励方案设计与执行;网络知识产权战略与维权,涉网争议解决、调查应对及刑事辩护;等等。


返回列表