数字经济的基本形式是数据要素在生产全周期的普及应用(尤其对服务业而言),经济全球化背景下,数据在全产业范畴的经济价值水涨船高,传统货物贸易及服务贸易的跨境同样经历着数字化转型的过程,数据出境的需求由此不断提高,与此同时诸如国家安全与个人信息安全受到威胁的风险也在不断暴露,规制数据出境刑事合规风险的重要性随之日益上升。
从具体罪名而言,数据出境的刑事合规风险本质上与传统观点的数据刑事合规风险的罪名范围除可能涉及国家安全罪名外并无本质区别,但由于数据出境在制度要求上的特殊性,其刑事合规也表现出不同于境内数据流动的特殊程序风险。随着数据三法的框架的形成及配套规则的落地实施,数据出境的程序有了规则依据,企业在进行数据出境前除了对实体意义上的刑事合规风险进行把控之外,也需要履行相应的出境合规流程,而属于企业自身职责范畴的对实体与程序性刑事合规风险防范,集中体现在由《数据出境安全评估办法》(以下简称“《出境办法》”)规定的自评估制度中,《出境办法》将数据出境的刑事风险防范责任部分转移至企业自身。本文拟将数据出境的刑事合规风险与数据出境自评估制度相结合,以自评估制度的落地为依据,探讨企业在数据出境合规建设及刑事风险化解过程中的关键问题和解决方案,并对企业正确适用自评估制度以达到数据出境刑事合规目标提供相关建议。
一、企业数据出境及其刑法规制目标
随着企业数据出境的刑事风险的不断暴露,作为国家机器运转中用以对社会进行治理的最后也最严厉的一道法律保障,刑法自然参与到了数据出境治理的制度体系之中,并且扮演着达摩克利斯之剑的重要角色。
(一)企业数据出境类型及程序
1、数据出境的类型
《出境办法》中将数据出境界定为两种情形,一种是指“数据处理者将在境内运营中收集和产生的数据传输、存储至境外”,在此前提下,涉及数据传输及存储至境外的任何货物贸易、服务贸易都属于数据出境。另一种是指数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。需要明确的一点是,“境”仅指中国内地行政区域,“出境”指内地以外的其他任何区域,即除其他国家外,数据传输至或被港澳台进行访问、调用的,也属于数据出境。
2、数据出境的程序
数据出境的程序核心为企业开展的数据出境自评估及省级网信部门开展的数据出境安全评估(以下简称“他评估”),完整程序需经历数据出境安全评估的识别阶段、自评估阶段、他评估阶段及评估结果出具阶段。其中,识别阶段对以下四种情形提出数据安全评估要求,即数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起了累计向境外提供10万人个人信息或者1万人敏感个人敏感信息的数据处理者向境外提供个人信息;评估结果出具阶段中,对未通过的企业要求其进行补充和更正直至通过评估,评估通过的有效期为两年。
(二)企业数据出境的刑法规制目标
正如上文所说,刑法是高悬在企业头顶的达摩克利斯之剑,督促企业在数据出境上进行合规运作。总体上来讲,刑法的规制目标是以刑法罪名所保护的法益来决定的,但笔者认为刑法在企业数据出境上的规制目标在刑法对相关罪名保护的法益的基础上具有更高的层次,即国家安全和个人信息保护的政策目标也包括在内,这也是我国数据治理的政策目标。自评估作为企业自身应当负起的责任,同时属于数据出境的程序性事项,对数据出境的刑法规制目标的实现具有重要作用。因此,利用刑法规制企业数据出境的刑事风险,在实现刑法规制目标的同时也对整个社会的数据治理所要达到的目标、遵循的原则、实践方法等具有现实意义。
二、企业数据出境相关的刑事风险审视及刑事合规建设
学界主流观点认为,《刑法》中与数据相关的罪名主要包括侵犯公民个人信息罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪等,但从数据的采集到传输、存储、处理、交换、销毁的整个数据周期,如果按照法条进行类型化概括,数据犯罪大致分为针对数据本身的犯罪(破坏计算机信息系统数据罪)、针对计算机信息系统的犯罪(非法侵入、控制计算机信息系统罪,非法获取计算机信息系统数据)、以数据为工具的犯罪(非法利用信息网络罪)、为数据犯罪提供帮助的犯罪(提供侵入、非法控制计算机信息系统程序、工具罪,帮助信息网络犯罪活动罪)四类。需要注意的是,从数据出境的刑法规制目的来看,除了上述与数据关联较为密切的罪名外,数据出境还可能进一步引发国家安全相关的罪名,如为境外窃取、刺探、收买、非法提供国家秘密、情报罪等。
(一)涉数据刑事风险
1、侵犯公民个人信息罪
侵犯公民个人信息的行为往往发生在数据的收集到出境前阶段,企业可能构成本罪的原因是未能界定数据是否属于个人信息,以及能够界定属于个人信息但并未依法取得信息处理权等。根据相关案件主要可分为两种类型,一是出售、提供型,二是非法获取型。出售、提供型指犯罪嫌疑人违反国家规定,向他人出售或者提供公民个人信息,或者将在履职、提供服务中获取的公民个人信息出售、提供给他人。非法获取型是指窃取或者以其他方法非法获取公民个人信息。在保护内容上,最高人民法院与最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)对公民个人信息界定为“一切识别公民身份信息或活动的信息,其中包括单独识别或结合识别的信息形式”,由此,公民个人信息的保护内容不仅包括公民姓名、性别、住址等身份信息,也包括公民其他包括行为方式等具有个人特征的相关信息,如日常作息习惯等,在保护内容上增加了公民的个人信息的界定范围。此外《解释》规定“未经公民许可,擅自将合法收集且能够识别特定个人的信息提供给他人的行为亦为犯罪”,因此,企业在获取个人信息的过程中在内容上首先要对什么属于个人信息作出谨慎的鉴别。
如上文所述两种构成本罪的方式,非法获取型侵犯公民个人信息罪属于危险犯,并不要求实际发生危害后果。在数字经济背景下,公民的个人信息即使在被非法获取后没有进行复制、传播,但由于复制传播的效率极高,难度却相对较小,如不将非法获取行为直接纳入本罪,一旦发生传播对公民的个人信息权将造成无法挽回的损害,难以达到刑法规制目的及个人信息权的法益保护的目的。因此只要非法获取了公民个人信息,公民的人身安全、隐私安全和财产安全已经处于被侵犯的危险状态,此时即成立本罪,企业在获取个人信息的过程中需严格采取合法手段避免构成非法获取型侵犯公民个人信息罪。此外,本罪罪名中并未区分信息是否具有隐私性,根据《个人信息保护法》第二十七条的规定,即使是对个人已公开信息的处理也需要取得个人同意,因此在获取方式的选择上,一定要按照《个人信息保护法》等法律规定的方式进行。
2、非法获取计算机信息系统数据罪
企业可能构成本罪的主要原因采取非法手段侵入他人控制下的计算机系统并获取相关数据的行为,目前对该罪的认定在学界主要存在两种观点,一种观点认为采取“非法获取”加“控制权转移”的思路,另一种观点即通过下载、复制、浏览等方法获取数据的复制件的直接构成本罪。笔者经检索相关典型案例及公报案例,在案例中,针对虚拟财产所进行的犯罪往往满足第一种观点,即通过非法获取游戏账号密码的方式将账号内虚拟财产进行销售;其认定核心为控制权是否发生转移,因此本罪往往与非法控制计算机信息系统罪或破坏计算机信息系统罪一同进行认定,做多罪处理。另外需要注意的是,根据刑法第二百八十五条规定,仅有一般的非法侵入行为时不以非法获取计算机信息系统罪论处,只有在同时存在非法侵入行为和非法获取行为时,以非法获取计算机信息系统罪论处,但是单独施行非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为的,直接以非法侵入计算机信息系统罪论处。
因此涉嫌构成非法获取计算机信息系统数据罪的,往往可能同时涉嫌构成非法控制计算机信息系统罪、破坏计算机信息系统罪。从范围上,本罪保护的数据类型并未设定范围限制,则各种类型的数据都可能成为本罪保护的数据类型。相对于非法获取个人信息的行为,非法获取计算机信息系统数据的行为往往具有更明确的主观故意,企业在运营过程中应注意杜绝此类主观明知违法的数据类犯罪。
3、侵犯商业秘密罪
根据最高检发布的2019年典型案例等案例,侵犯商业秘密罪也是涉数据犯罪中的热点罪名,近年来“爬虫”技术的普遍应用使得企业侵犯商业秘密的情形时常发生,若采取诸如爬虫等技术非法获取他人涉及商业秘密的数据,将很可能构成侵犯商业秘密罪,而在实践中本罪与非法获取计算机信息系统数据罪的界定往往会发生分歧,根据相关判例确定的裁判思路,本罪与非法获取计算机信息系统数据罪的主要区别在于数据的用途是否仅限作侵犯商业秘密的用途。要从存储在计算机信息系统的数据性质、行为人主观故意内容、客观行为等方面综合判断所侵犯的法益。由于相关案例中除了侵犯商业秘密外,行为人并没有将数据用作其他用途,相关数据也不具有其他特殊性质,故不宜认定为非法获取计算机信息系统数据罪。
综上所述,涉数据罪名中最常见的为侵犯公民个人信息罪及非法获取计算机信息系统数据罪等其他相关罪名,而当非法获取数据的行为仅做侵犯商业秘密用途时,又可以认定为侵犯商业秘密罪。对企业合规运作而言,上述可能构成犯罪的行为应当在日常管理及经营过程中尽量避免发生。
(二)涉国家安全刑事风险
前述分析中,在涉及数据出境时,国家安全的利益便会受到潜在的威胁,因此除了原有条文所保护的法益外,国家安全也属于《刑法》的规制目标。
2022年4月13日,央视《焦点访谈》播报了全国首例数据非法出境涉刑案件,在该案中涉案数据被鉴定为情报,也是《数据安全法》实施以来首例涉及国家安全的刑事案件,该案最终判决两家犯罪公司构成为境外刺探、非法提供情报罪。另外,在深圳华大基因被行政处罚的案件中,其将部分我国人类遗传资源信息从网上传输出境,而被科学技术部作出行政处罚,此案虽然并非刑事案件,但仍然值得引起我们的注意。根据已有的案例来看,凡是构成重要数据的,非法传输至国外都具有构成侵犯国家安全利益的刑事风险,其他敏感信息也有可能被认定为“情报”,因此企业在选择境外合作伙伴时一定要做好尽职调查,慎重审核境外合作方的背景及获取境内数据、信息的用途。
三、自评估制度在企业数据出境过程中的自我价值
(一)适用自评估制度的必要性
在当今数字化时代,企业数据的跨境传输和处理已成为企业运营的重要组成部分。然而,随着数据传输的增加和监管要求的提高,确保数据安全和合规性变得愈发关键。在这样的背景下,引入自评估制度是必要的。
根据《网络安全法》《个人信息保护法》《数据出境安全评估办法》等法律规定不难发现,数据出境的自评估重点在于三个方面,一是数据处理者及境外数据接收方的数据安全保障能力评估,二是拟出境数据的业务活动评估,三是数据跨境传输的法律文件评估。而个人信息出境的评估重点主要是在对于个人权益影响的评估和对安全事件可能性的评估两个方面。不难看出,不论是对数据还是对个人信息的出境规制,自评估的侧重点都在于风险应对,这种应对明显不能完全以第三方的视角作出评价,评估本身的作用就是使相关风险降至最低,若仅通过网信部门来对风险存在与否、风险大小及内容作出评估,仅能在外部评估的层面完成风险规制,要达成整个风险规制的形式闭环企业自身的参与不可或缺且非常重要。因此,自评估制度正是出于形式闭环的逻辑设计,且在全球的数据出境规制措施中被大量采取,不论对于控制数据出境不合规所导致的民事风险、行政风险还是刑事风险而言都有积极意义,且能够帮助网信部门提高评估的整体效率,降低评估的成本,使评估制度链条化、环节化进行,使得自评估制度成为公权力部门控制数据出境刑事风险的重要借力因素。
同时,自评估制度能够帮助企业定期检查和审查其数据出境的合规性,通过对企业的数据流程、数据存储和数据保护政策进行自我评估,企业能够全面了解自身数据出境过程中存在的潜在风险和问题;也能够及时审视和改进其数据出境的流程和控制措施,确保数据传输的安全性和完整性,确保数据的合法、正当和安全的跨境传输。自评估还可以识别和解决数据出境中可能存在的风险和漏洞,从而提高企业的数据保护能力,保护客户和员工的个人隐私信息。在信息安全意识不断提高的背景下,企业的数据保护和合规能力已成为顾客和合作伙伴关注的重点。在数据出境过程中,企业遵守合规要求并且能够证明通过自评估得出的结果是真实可信的,将有助于增强企业在客户、合作伙伴和监管机构中的信任和认可度,这样的信任和认可将为企业获取更多商机和市场份额提供有力支持。
(二)自评估对刑事风险预防的积极作用
数据出境的刑事风险往往发生在企业对数据在境内进行处理的阶段,即企业所准备向境外传输的数据本身已经存在刑事风险,在向外进行传输的过程中可能会被网信部门发现,因此这种刑事风险本质上仍属于数据的境内刑事风险;而涉及国家安全的相关罪名中,往往发生在数据传输后或者正在传输、预备传输的过程中,这种刑事风险则属于数据的出境刑事风险,自评估制度可以有效地给予企业发现并及时处理境内刑事风险的空间,并且可以督促企业自查是否存在出境刑事风险。
《出境办法》第五条对数据处理者在申报数据出境安全评估前开展数据出境风险的自评估重点内容予以明确,上述自评估内容包含了对数据出境的合规性评估、数据出境的风险性评估、数据出境的安全保障能力评估以及数据出境中和出境后的救济渠道评估。因此,自评估制度系数据出评估有企业自主进行的一个程序方面,对避免包括构成包括侵犯公民个人信息罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪等涉数据刑事风险及涉国家安全的刑事风险具有积极地预防作用,这些预防作用是自评估与他评估共同发挥作用而实现的。
数据的流通是数字经济发展的必然要求,但数据往往能将海量的信息以较小的数据单位进行储存,数据处理者所掌握的数据往往包含了庞大的信息集合,特别对于涉及国家安全及公民个人隐私的数据,若在对外进行传输的过程中被非法获取利用,将给个人信息安全、社会公共利益和国家安全带来重大威胁,因此自评估制度能够平衡数据出境需求与不合规的数据出境导致的风险之间的矛盾,使得利益追求与风险规制达到相对稳定的状态。自评估机制将规范跨境数据流动作为目标,规定了涉及数据出境的流程、义务与法律责任等的内容,以保障数据的安全传输。企业作为出境数据的处理者,对数据的性质、数据的内容类型、数据可能涉及的风险点等方面相比于网信部门都有更明确的认知,企业对其内部的如何更好的在其内部开展数据出境自评估、评估人员如何分配、数据的风险现状等相较网信部门也更加了解,对如何制定合规方案和如何避免发生刑事风险也更有自己的策略,对企业自身而言,能够制定更适合自身的合规方案;对网信部门而言,可以在其负责的评估程序中更准确的进行评估,保证数据流动和其他规制目标的实现。
四、自评估制度在企业数据出境执行过程中的困难与挑战
评估企业数据出境的执行过程中,自评估制度也不可避免地遇到了一些困难和问题。一方面,由于企业数据的复杂性和敏感性,评估的标准和指标往往不够清晰明确,难以量化和衡量。这使得企业在实施自评估制度时面临着困惑和不确定性,无法准确评估数据出境的合规性。另一方面,自评估制度的执行需要企业内部人员具备相应的专业知识和技能,以便正确理解和应用评估标准,并能够准确地判断和评估数据出境的风险和合规性。具体而言:
1、数据出境情况的自梳理
以数据出境为例(不包括个人信息出境),按照《数据出境安全评估申报指南》中的内容,企业开展自评估时应当对数据出境的业务流程、出境涉及的信息基础设施、出境链路和相关信息系统的情况进行梳理。即要求企业对企业自身数据业务情况到数据出境的规划作出相应的梳理,并对与数据出境的相关事实进行细致的核对梳理。因此,为每一项与数据出境相关的自评估程序,需要企业内部的合规、审核及业务部门、数据部门的全范围参与,企业内部的相关部门需要对自己负责的范围进行明确,而管理层也需要将相关的职责进行设计。需要注意的是,很多企业对自评估进行的相关调查的方式往往通过询问、问卷收集等方式进行,存在极大的信息误差,从而导致评估结果的准确性不足。
2、安全保障能力评估
自评估要求对于数据处理者的数据安全保障能力进行评估,包括了两个部分,一是数据出境全流程管理、应急处置等数据出境安全的组织管理体系和制度流程建设情况评估;二是数据收集、存储、使用、加工、传输、提供、公开、删除等全流程的安全技术保障能力的评估。上述内容的评估包括了对数据安全及数据安全体系的熟悉及认知,除此之外也要求评估者对各种数据安全技术手段的特点、适用场景、优缺点等有全面把握,以及对安全措施的有效性、安全工具与系统的部署与应用进行相关核实、对安全配置、安全日志等记录进行检查,以此达到能够对数据安全保障能力作出认定。
3、拟出境数据评估
《数据出境安全评估申报指南》中要求企业对拟出境数据的详细情况在数据出境的自评估中进行说明,包括四个部分,数据出境及境外接收方处理数据的目的、范围、方式,及其合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度;拟出境数据在境内存储的系统平台、数据中心等情况,计划出境后存储的系统平台、数据中心等;数据出境后向境外其他接收方提供的情况。为了评估拟数据出境活动安全性高及潜在的风险性的存在与否及风险高低,企业需在数据出境风险自评估报告中对数据出境的目的、范围、方式及其合法性、正当性、必要性,以及出境数据的规模、范围、种类、敏感程度进行重点的解释说明,且在自评估报告中需详细说明企业的数据收集、存储、使用、加工、传输、提供、公开、删除等的合规情况,对数据收集、处理、传输全过程的合规性进行证明。因此,对评估的具体内容要求较为庞杂,企业若首次进行数据出境申报,很可能无法把握申报指南所要求的通过评估的标准是什么,或者对相关事项存在遗漏说明的情形。
此外,自评估制度的执行还需要企业建立健全的数据管理和监控机制。为此企业需要投入大量的人力和物力资源,建立完善的数据分类、标记和追踪系统,以确保数据的流动和传输过程中不会违反相关法律法规和合同约定。同时,企业还需要定期对自身的数据出境情况进行内部审查和自查,以发现和纠正存在的问题和漏洞。然而,由于企业规模和资源的限制,很多企业在自评估制度的执行中面临着现实方面的困难。一些小型企业可能没有足够的人力和专业知识来执行自评估制度,而一些大型企业可能面临着数据量庞大、复杂多样的挑战。此外,自评估制度的执行还需要企业与相关部门和机构进行密切合作,共同解决数据出境的问题,但在实际操作中,由于各方的利益和立场不同,合作难度较大。
五、企业正确适用自评估制度的建议
由上文分析可知,自评估制度的设计无疑能够为企业避免部分数据出境潜在的刑事风险,但企业在适用自评估制度时仍然需要对自评估中相关义务进行厘清,并对可提前准备的事项予以规划,若企业无法合规开展自评估,就可能违反相关规定,无法实现数据出境的合规管理。而自评估制度要求企业在评估的实施过程中,必须以业务为主线,梳理和掌握数据出境活动所涉主体、技术、法律合同、管理制度的全貌和细节,并依据详尽的、客观的事实梳理,就各类风险进行专业性的认定和评价,因此企业在无法进行把握的前提下,应当善于借助第三方的帮助,如律所等专门机构帮助企业完成数据出境自评估报告的制作等义务,避免因无法正确认识自评估制度要求产生数据出境刑事风险。
(一)设计数据出境标准合同或标准条款
企业可以与数据的境外接收方之前签订标准化的数据出境合同,与欧盟GDPR中标准合同作为境外接收方无法提供充分保护的替代方案的制度设计不同,我国的标准合同作为强制性要求被规定在《个人信息出境标准合同办法》(以下简称“《办法》”)中,《办法》第七条规定,“个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料:(一)标准合同;(二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责”。且国家互联网信息办公室已公布个人信息出境标准合同的官方模板,数据处理者需要在细化数据安全保护义务履行的基础上优化标准合同或条款的内容,对数据安全保护义务、争议解决机制及违约承担方式的合同细节进行充分的约定,提高数据出境程序的效率和双方协商成本。但需要注意的是,标准化合同的安全保障功能并非绝对,合同的保障以违约责任为基础,因此违约责任是否具有可执行性,需要考虑法律适用的问题。
(二)对企业所涉数据进行分类分级管理
我国已出台的法律法规中对重要数据的定性和分类做了界定,但并未十分细致,地区与行业的数据分类细化仍不充分,因此,企业应当在业务上对所涉及的数据进行自分类,充分发挥自评估的主观能动性,将相关合规风险降至最低。严格对标国家重要数据目录和本地区、本行业监管部门制定的重要数据目录,遵循重要数据识别的相关标准,结合行业特点形成自身的判断标准、识别细则以及内部定级。但需要注意的是,在对数据进行分类分级时,尤其是在界定重要数据时,需要综合考量行业要求、重要程度、处理数量等因素,避免无法有效界定而出现评估的不准确,出现漏评等现象,且由于数据的类型和级别可能因行业规则、政策调整、安全事件、业务场景的敏感性变化而改变,要求数据处理者对数据分类分级进行定期审核并及时调整。并且与自评估程序整体相一致,若存在无法把握的分类分级收据,应及时需求第三方协助完成分类分级,或者在制定标准后积极与网信或其他主管部门进行联系,对分类分级目录进行相应调整,并在企业内部建立数据动态分类分级制度,及时对相关目录进行增删变动。
(三)整体构建数据出境风险控制制度
《出境办法》所明确的数据出境安全评估的流程具有实践意义,包含了内容庞杂的数据出境的合规要点。数据处理者应借助风险自评估机制所赋予的程序自主特征,制定符合前述要求的数据安全管理框架及各项数据合规规章制度,内容包含企业可从自身业务需求处罚来判断数据收集的范围、运用相关举措确保出境安全、进行数据风险评估分析、完善内部合规制度、开展培数据出境讲座等;并且可以设立专门的数据部部门,在该部门任命一名独立履行企业数据合规监管职权的“数据保护官(DPO)”,定期开展相关法律法规汇总及更新工作,虽然法律法规对企业处理数据的不合规责任并未细致规定,但为了避免数据出境安全自评估机制本身可能发生的变化,企业需在不断推动自身数据出境合规建设的过程中关注相关立法执法动态,确保数据出境风险防控体系具有灵活性与时效性,并以此督促内部构建数据出境风险控制制度以防范刑事风险。
(四)境外数据接收方考察
《出境办法》等规定要求对境外接收方的基本信息,处理数据的用途、方式以及数据安全保障能力等方面进行评估,而从企业自身的需求来看,对境外合作方的考察也是避免刑事风险的重要因素,了解境外接收方处理数据的用途并予以披露能够部分证明企业已适当履行对境外接收方的考察义务。另外,从合作的角度来讲若企业需要让境外接收方同意签订数据出境标准合同,离不开境外接收方的积极配合,与境外接收方建立关于数据的有效协商机制对风险的事前防范和对风险发生后的处理具有积极作用,在涉数据出传输业务中,企业应在业务的起始阶段及时与境外接收方建立起预防数据跨境传输风险的意识,在合同设计上将保护机制及违约责任、争议解决方式及适用法律等进行提前沟通并予以明确。
六、结 语
企业自评估作为数据出境的关键工作,包括个人信息保护影响评估、数据出境风险自评估,是企业是否可以合规地实现数据出境目的的重要环节。对企业而言,在厘清公司数据出境需求并明确数据出境路径后,落实数据出境合规义务的当务之急之一就是如何在企业内部通过制度设计将纷繁复杂的自评估制度有效落地实施。在实践中企业往往不能正确理解自评估制度的具体要求,或者产生理解偏差从而影响数据出境业务的效率甚至导致数据出境业务无法取得进展,这其中有数字经济发展的巨变带来的制度重大变化导致企业无法迅速消化相关内容的原因,也有企业在原本业务中十分不注重数据合规制度建设的原因。因此,企业应提高在相关业务中的投入,及时设立相关部门,并在确有需要时请求第三方的专业协助,尽量在进行数据出境自评估时能够最大限度的将数据出境的刑事合规风险在事前阶段予以有效预防。
END
(本文荣获江苏省法学会犯罪学研究会、南京市人民检察院主办的“数字经济的法律保护”研讨会优秀论文奖。作者严亚洲,现任江苏省太仓市人民检察院五级检察官助理;董玉泉,现任江苏博事达律师事务所专职律师、合伙人,刑事业务部副主任,“启明星刑辩”团队主要成员。)
