数据出境合规中的刑事风险及防范对策

01

数据出境刑事合规概述

当前，企业数据出境合规成为了企业刑事风险防范的重要领域，对于企业可持续发展有着重大意义。随着数字经济全球化的发展，数据安全问题凸显，国家在大力发展数字经济的同时，逐步构建数据安全治理体系。为了规范数据出境活动，保障数据安全，保护个人信息权益，维护国家安全和社会公共利益，国家出台了《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）。随着《数据出境安全评估办法》的施行，企业对于数据的出境活动有了更为明确的行为指南。基于以上背景，企业在数据出境过程中进行刑事风险防范不可或缺。

（一）相关法律用语

1.数据。 《数据安全法》第三条规定，本法所称数据是指任何以电子或者其他方式对信息的记录。

2.网络数据。《网络安全法》第七十六条规定，网络数据指通过网络收集、存储、传输、处理和产生的各种电子数据。

3.重要数据。《数据出境安全评估办法》第十九条指出，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

4.数据处理。《数据安全法》第三条指出，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

5.个人信息。《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

6.敏感个人信息。《个人信息保护法》第四条规定，敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

（二）数据出境的种类规定

1. 禁止出境： 国家秘密、属于出口管制物项的数据、单行法规中有特殊规定的数据。

2.数据出境安全评估：

（1）数据处理者向境外提供重要数据；

（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；

（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（4）国家网信部门规定的其他需要申报数据出境安全评估的情形。

02

数据出境合规中的刑事风险

企业在进行数据出境的过程中，必然要进行刑事风险审查，该审查范围并非只有数据的传播，还包括数据的收集及其处理行为。依据《中华人民共和国刑法》（以下简称《刑法》）及相关立法与司法解释，数据出境过程中出现的刑事风险涉嫌以下罪名。

（一）侵犯公民个人信息罪

《刑法》第253条规定 ，违反国家有关规定，向他人出售或者提供公民个人信息， 情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。 窃取或者以其他方法非法获取公民个人信息的， 依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中对这些行为进行具体细化：

一是非法提供的形式既包括向特定人非法提供，也包括通过信息网络或其他途径向不特定人发布；

二是非法获取的类型包括窃取、购买、收取、交换等方式，还包括在履职或提供服务过程中违法收集。

（二）非法获取计算机信息系统数据罪

《刑法》第二百八十五条规定，违反国家规定， 侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

即，企业若在以上三种系统以外的计算机信息系统获取数据，例如，通过非法手段获取卫健委系统中公民的病历信息，则涉嫌非法获取计算机信息系统数据罪。

（三）侵犯商业秘密罪

《刑法》第二百一十九条规定，有下列侵犯商业秘密行为之一，情节严重的，处三年以下有期徒刑，并处或者单处罚金；情节特别严重的，处三年以上十年以下有期徒刑，并处罚金：（一）以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的；（二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的；（三）违反保密义务或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密的。明知前款所列行为，获取、披露、使用或者允许他人使用该商业秘密的，以侵犯商业秘密论。

即企业在获取、使用数据的过程中，若以不正当手段获取、披露、使用或允许他人使用权利人的商业秘密，则涉嫌侵犯商业秘密罪。

（四）拒不履行信息网络安全管理义务罪

刑法第二百八十六条规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。

如企业（网络服务提供者）在合法获取数据、收取公民个人信息后，不履行法律、行政法规规定的信息网络安全管理义务，并拒不改正，导致上述结果发生，则涉嫌拒不履行信息网络安全管理义务罪。

（五）其他罪名

除以上常见数据出境刑事合规中涉嫌的罪名外，仍存在下述罪名。《数据安全法》第三十四条规定：“法律、行政法规规定提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。”若企业未获得数据处理行业许可证，违反准入许可制度从事相关经营活动的，则可能构成非法经营罪。若企业有关部门人员在数据出境过程中，玩忽职守、滥用职权及徇私舞弊等，则可能涉嫌贪污贿赂犯罪、渎职类犯罪等职务犯罪。

03

数据出境合规中的刑事风险防范

当前，为了保障数据安全，保护企业的持续发展，我国数据合规刑事激励机制正在初步构建。企业进行数据刑事风险防范，主动进入隐私保护和数据安全的法律框架，是其作为市场主体不可缺的一环。

（一）企业的合规意识及合规建设方面

企业应积极科学参与“全面依法治国”战略，重视数据合规建设，将企业合规、数据合规上升至企业发展战略规划层面，建立完善的风险控制体系。具体到数据出境层面，企业应严格遵守《刑法》、《网络安全法》、《数据安全法》以及《数据出境安全评估办法》等规范性文件，严守法律底线。在此基础上，邀请专业团队定期进行数据合规审查，出具数据合规“体检表”、数据合规风险诊断报告及数据管理建议方案等，从而针对性地进行调整和优化。唯有从整体上增强法律意识，严守法律底线，重视合规意义，才能有效防控刑事风险。

（二）数据的来源合法及内容正当方面

企业在数据获取阶段，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。首先，在取得数据或采集公民个人信息过程中，应当取得权利人的同意，并告知其数据采集的原因及用途。其次，在获取数据的手段上，不得以窃取、诈骗的方式获取数据或个人信息，不得通过非法手段侵入计算机信息系统和获取数据。以此规避侵犯公民个人信息罪及非法获取计算机信息系统数据罪。最后，在获取的内容上，不得收集与提供的服务无关的个人信息，不得采取非法复制、未经授权或者超越授权等方式侵犯权利人的商业秘密。2019年修正后的《反不正当竞争法》规定，商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。此外，出境数据的种类也应严格审查，是否符合国家关于出境数据的规定，是否属于禁止出境的类别，均需予以严格考量。综上，在数据出境合规审查过程中，首先需要明确的是数据的合法性，其内容是否合法、正当、必要是刑事合规的重点。

（三）数据的合法处理及使用方面

企业在获取数据后如何处置与使用是数据合规的另一要点。首先，企业在个人信息处理的过程中应当严格区分敏感个人信息。如前所述，敏感个人信息一旦泄露或非法使用，容易导致自然人的人格尊严首到侵害或者人身、财产安全受到危害。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息出理者方可处理敏感个人信息，处理敏感个人信息还应当取得个人的单独同意。其次，企业在进行数据及信息的处理中，必要时应当进行去标识化，即经过处理，使该信息在不借助额外信息的情况下无法识别特定自然人。以及进行匿名化处理，即个人信息经过处理无法识别特定自然人且不能复原。最后，企业在合法获取数据、收集公民个人信息后，应当履行法律、行政法规规定的信息网络安全管理义务，不得非法出售或向他人提供，避免数据在出境前后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险，避免对国家安全、公共利益、个人或者组织合法权益带来风险。

作者：周玲，北京市京师（重庆）律师事务所实习律师，西南政法大学刑法学硕士研究生，京师重庆大数据法律服务中心团队成员，专注刑法与金融交叉领域，参与企业招投标、企业合规等非诉项目，向顾问单位提供法律服务并出具法律意见书，对金融犯罪有着较为深入的研究，多次经济刑法类课题立项并在《经济刑法》、《江西警察学院学报》、《温州大学学报（社会科学版）》等期刊发表相关专业文章。