涉案企业合规案件办理实务（附资料）｜iLaw

一、多维视角看合规

二、我们与合规的距离

在最高检发布的第三批涉案企业合规典型案例中，上海Z公司、陈某某等人非法获取计算机信息系统数据案，系全国首例数据合规典型案例，上榜2022年检察机关十大法律监督案例。

简要案情：上海Z网络科技有限公司（以下简称“Z公司”），系一家为本地商户提供数字化转型服务的互联网大数据公司。被不起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。

2019年至2020年，Z公司为吸引更多的客户，在未经上海E信息科技有限公司（以下简称“E公司”，系国内特大型美食外卖平台企业）授权许可的情况下，由公司首席技术官陈某某指使汤某某等多名公司技术人员，通过“外爬”“内爬”等爬虫程序，非法获取E公司运营的外卖平台（以下简称“E平台”）数据。其中，汤某某技术团队实施“外爬”，以非法技术手段，或利用E平台网页漏洞，突破、绕开E公司设置的IP限制、验证码验证等网络安全措施，通过爬虫程序大量获取E公司存储的店铺信息等数据。王某某技术团队实施“内爬”，利用掌握的登录E平台商户端的账号、密码及自行设计的浏览器插件，违反E平台商户端协议，通过爬虫程序大量获取E公司存储的订单信息等数据。上述行为造成E公司存储的具有巨大商业价值的海量商户信息被非法获取，同时造成E公司流量成本增加，直接经济损失人民币4万余元。

2021年6月25日，上海市公安局普陀分局以陈某某等14人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。经过启动涉案企业合规整改程序，2022年5月，普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定。

下面，我将从检察视角、律师视角、企业视角三个维度，深度剖析数据企业在遭遇涉案企业合规后，检察机关的态度是什么，律师心态是怎样，涉案企业自救措施又是什么？

（一）青睐有加---检察视角看数据类涉案企业合规案件

本案移送审查起诉后， Z公司向上海市普陀区检察院提交了《适用刑事合规不起诉申请书》，并提交了有关企业经营情况、社会贡献等方面的证明材料。检察机关经过实地走访、调查企业经营状况，发现涉案企业存在着重技术开发、轻数据合规等问题，并且涉案爬取数据系出于拓展业务的动机，没有进行二次售卖，依此启动了Z公司合规考察程序。

检察机关根据Z公司存在的管理盲区、制度空白、技术滥用等合规风险，向其发送了《合规检察建议书》，从数据合规管理，数据风险识别、评估和处理，数据合规运行与保障等方面提出了整改建议。

经过三个月合规考察和第三方组织评估认定，Z公司建立了合规组织，完善制度规范，提升技术等级，已经完成数据合规建设的整改措施，合规整改达到合格标准。2022年4月28日，普陀区检察院组织了“云听证”，经听证员评议，同意通过Z公司的合规考察，建议对Z公司和相关涉案人员作出不起诉决定。检察机关认为，本案犯罪情节轻微，Z公司和相关责任人员具有坦白、认罪认罚等法定从宽处罚情节，积极赔偿被害单位损失并取得谅解，系初犯，主观恶性较小，社会危害性不大，且Z公司合规整改经第三方组织考察评估合格。2022年5月，普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定。

从检察机关的工作来看，可以总结为三个特点：

精心谋划。该案例系最高检第四检察厅直接指导上海培育的首例数据合规典型案例，相关做法和成效得到关注该领域的多名全国人大代表的高度肯定。本案中，检察机关提前介入侦查，引导公安机关收集合规信息与材料，推动合规准备工作前移至侦查环节，为审查起诉阶段的合规监督考察奠定基础。在检察机关改革试点初期，案件主要集中在审查起诉环节，经过不断探索，目前已向两端延伸，逐渐形成刑事诉讼全流程适用。

高看一眼。检察机关对于高新技术企业往往具有更强的合规整改意愿。从企业合规的初衷来看，是为了优化营商环境，帮助企业全方位提高风险抵抗力，增强竞争力。因此，经营状况良好，具有经营潜力的企业更容易受到青睐。一般而言，涉案企业的市场、行业、社会影响力，是启动合规整改的重要考量因素。在本案中，Z公司是一家成长型科创企业，现有员工1000余人，年纳税总额1000余万元， 2020年被评定为高新技术企业，拥有10余项计算机软件著作权，契合了检察机关对高新技术企业的关注。由此可见，企业类型、综合实力以及社会贡献度等都是检察机关决定是否对其适用涉案企业合规制度的重要考量因素。

厚爱三分。一次性对一个企业、14名个人全部作出不起诉决定，关爱力度空前。

（二）爱恨交织---律师视角看数据类涉案企业合规案件

在刑辩业务不断萎缩的背景下，大家都看好涉案企业合规业务，普遍认为属于新的业务增长点，标准的蓝海市场，对这类业务跃跃欲试，但是真正有企业抛出橄榄枝，大家又踟蹰不前,如同面对美食佳肴，却又无从下口。本案中，Z 公司在检察机关启动合规整改后，聘请律师团队担任合规顾问，协助其制定数据合规专项整改计划。在第三方组织的监督下，合规顾问帮助Z公司主要开展了以下合规整改工作：

第一，确保数据来源合规。Z公司与E公司达成合规数据交互约定，彻底销毁相关爬虫程序及源代码，对非法获取的涉案数据进行了无害化处理，并与E平台API数据接口直连，实现了数据来源的合法化。

第二，实现数据安全合规。合规顾问指导Z公司设立数据安全官，专门负责数据安全及个人信息安全保护工作；构建数据安全管理体系，制定并落实相关数据合规制度。第三，建立数据管理合规机制。Z公司成立了数据合规委员会，制定了常态化合规管理制度，开展合规年度报告。

总结起来，主要有以下特点：

正本清源。合规的前提是堵塞漏洞。律师团队一是进行内部合规调查，深挖公司漏洞，形成自查报告。建议Z公司从内部治理结构入手，调整相关主管人员的岗位，设立数据合规官。围绕查摆出来的原因，提出专项合规整改方案。二是协助Z公司建章立制，建立了各项数据相关规章制度。通过实地走访，召集相关人员座谈，帮助Z公司建立起企业合规文化角，形成企业合规文化。

独辟蹊径。根据《刑法》规定，非法获取计算机信息系统数据罪的量刑幅度分两档：情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。两高司法解释关于此罪的标准，“情节严重”包括：(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外身份认证信息五百组以上的;(四)违法所得五千元以上或者造成经济损失一万元以上的;“情节特别严重”：数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的。司法解释从获取信息数量和违法所得、造成损失两个角度予以评判，本案经合规团队协助Z公司估算，经济损失4W元，未达到五倍以上标准。检察机关也认为Z公司爬取的数据未涉及身份认证信息，排除了适用个人身份认证信息的可能，由此认定Z公司符合第一档量刑标准。

长袖善舞。合规团队加强内外部沟通协调，取得相关各方认同。一是涉案企业与被害单位多次磋商，并代Z公司起草谅解请求书，主动赔偿，全力求得对方的谅解。二是建议尽快对两个网络爬虫团队（内爬、外爬）负责人处罚，并且对具体的处罚种类及处罚力度给出建议，并将处罚结果对外予以披露。三是建议并协助Z公司着力解决数据来源合法化问题。Z公司先后同E公司及另一家平台企业M公司协商，完成了与E公司、M公司平台数据端口的对接，打通了从E公司和M公司有偿获取数据信息的途径。与此同时，Z公司与E公司达成合规数据交互约定，对非法获取的涉案数据进行无害化处理，并与E平台API数据接口直连，实现数据来源合法化。

（三）凤凰涅槃---企业视角看数据类涉案企业合规案件

从近年来的案件情况看，数据领域的风险呈现民事、行政、刑事多重风险的特点。刑事责任是企业面临的终极风险，对于Z公司此类的互联网企业而言，卷入刑事案件对于企业可能产生致命性影响，如果数据企业涉案，应该如何采取措施应对危机？

割席分坐。实质就是切割责任。按照合规管理体系，无论是因员工行为导致企业构成故意犯罪，还是企业因在预防员工犯罪方面存在失职而构成过失犯罪，企业都将承担严格责任。本案中，检察机关经过实地走访、调查企业经营状况，发现涉案企业存在着重技术开发、轻数据合规等问题，说明企业并未在预防员工犯罪方面进行规范。那么，在这种情况下，对于员工的违法行为及时惩戒，便尤为重要。企业进行内部调查，及时惩戒，弥补制度漏洞，这些作为，也足以说明企业采取了积极有效的补救措施。因此，合规团队建议Z公司对两个网络爬虫团队（内爬、外爬）负责人处罚，对具体的处罚种类及处罚力度给出建议，同时对外予以披露，以此作为与员工责任的切割，表明接受合规整改的意愿。

坐而待旦。表明合规意愿强烈，这是一个主观问题，也是一个态度问题。适用合规应至少满足如下条件：涉案企业、个人认罪认罚；涉案企业作出合规承诺并自愿适用第三方机制。因此，企业的自愿性是适用涉案企业合规制度的前提条件。合规意愿越强的企业，对于检察机关及第三方组织的配合度越高，也更容易实现“有效合规”。企业通过开展自查，查找涉案企业犯罪的根本原因，企业制度漏洞以及经营管理模式的缺陷等，这才是痛改前非的积极行为。从整改意愿来看，Z公司自案发后一直与被害公司商谈赔偿事宜，在赔偿了被害公司的全部经济损失后获得谅解，同时开展内部调查，查找漏洞，明显具有较强的合规意愿。

切中要害。从本案合规的方向来看，涉及到企业技术、业务模式、管理架构、制度体系等，其整改的结果对企业未来的经营模式、商业价值有着长远的影响。在制定合规计划中，企业需要避免大而全的全面合规，应当以专项合规为重点，全面合规为目标，主要针对与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题，制定可行的专项合规管理规范，构建有效的合规组织体系，完善相关业务管理流程，健全合规风险防范报告机制，弥补企业制度建设和监督管理漏洞，从源头防止再次发生相同或类似违法犯罪。本案中，律师团队帮助Z公司制定了数据合规专项整改计划，主要包含：数据来源合规、数据安全合规、数据管理制度合规。避免了大而全的全面合规和纸上合规，得到检察机关认可。

Z公司案件作为全国首例数据合规案件，无论是检察机关的重点关注，还是律师团队的精心谋划，以及涉案企业的全力配合，无疑将成为此类案件办理的标杆。

相较于其他企业合规，数据合规的特点主要集中在以下三个方面：

1）数据合规义务梳理难

数据合规义务具有综合性。国家法律规定，企业不仅应当保护数据本身的安全，还应当承担网络运营安全的保护义务。在数据安全方面，企业在存储数据以及与第三方进行数据交互时，应当保证整体数据的安全。在网络运营方面，企业要保证数据在通过网络进行相应流转过程中（即数据生存周期）的安全可控。

数据合规义务具有创新性。国家提出的“网络安全等级保护制度”、“关键性基础设施”、“重要数据”、“国家核心数据”等概念，都是结合国情确定的数据合规新思路。

数据合规义务具有多层级性。我国的数据合规体系是以多层级的法律法规、规范性法律文件、部门规章以及国家标准共同建立的。这些规则都是合规义务的来源所在。企业需要分层级建立企业合规义务库，按标准履行国家的合规义务。

基于上述，数据合规义务的梳理，是数据合规的鲜明特点。

2）数据合规风险识别难

数据合规义务众多，对应的合规风险无疑也是林林总总。如数据来源合规风险、数据权属合规风险、数据使用合规风险、数据共享合规风险、数据出境合规风险、数据安全保护合规风险、数据技术措施合规风险、关键信息基础设施数据安全风险等。基于数据特性，常规的人工识别无法完成数据合规风险识别，还需要信息技术工具监测辅助，无疑增加了数据合规风险识别难度。

3）“规则+技术+管理”的跨界融合难

数据合规需要“规则+技术+管理”的跨界深度融合，需要与企业的具体业务深度结合。因此，数据合规不仅要构建立体化数据合规体系（包括数据合规组织体系、数据合规制度体系、数据合规运营体系、数据合规保障体系等），还要考虑重点合规领域（数据安全管理合规、数据技术措施合规等）、专项合规领域（移动应用APP合规风险、算法技术应用合规风险、深度合成技术应用风险、个人信息保护合规风险等），以及企业所涉行业数据合规风险等因素。

1.合规申请书--启动涉案企业合规的秘钥。

关于涉案企业合规改革，最高检共出台了四份规范性文件，分别为《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》、《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）实施意见》、《涉案企业合规建设、评估和审查办法（试行）》。

《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》规定：对于同时符合下列条件的涉企犯罪案件，可以根据案件情况适用本指导意见：（一）涉案企业、个人认罪认罚（认罪认罚）；（二）涉案企业能够正常生产经营，承诺建立或完善企业合规制度，具备启动第三方机制的基本条件（合规承诺）；（三）涉案企业自愿适用第三方机制（合规意愿）；对于具有下列情形之一的涉企犯罪案件，不适用企业合规试点以及第三方机制：（一）个人为进行违法犯罪活动而设立公司、企业的；（二）公司、企业设立后以实施犯罪为主要活动的；（三）公司、企业人员盗用单位名义实施犯罪的；（四）涉嫌危害国家安全犯罪、恐怖活动犯罪的；（五）其他不宜适用的情形。

其次，《涉案企业合规建设、评估和审查办法（试行）》第三条规定涉案企业应当全面停止涉罪违规违法行为，退缴违规违法所得，补缴税款和滞纳金并缴纳相关罚款，全力配合有关主管机关、公安机关、检察机关及第三方组织的相关工作。

从两份文件可以看出，最高检先后规定了适用性条件和禁止性条件，这就是相当于我们合规申请的双清单。那么，一份合格、有效的申请应当包含如下条件：一是排除禁止性情形，即《指导意见》第五条；二是符合适用情形，即《指导意见》第四条和《办法》第三条。

2、合规计划书——运行涉案企业合规的依据。

企业之所以犯罪，主要原因在于治理结构存在严重缺陷。如果不对导致犯罪发生的病态治理结构，进行实质性调整，合规计划没有任何基础，一切都是纸上合规。

首先针对原因进行专项制度纠错。如果将合规简单理解为依法依规经营，难免会陷入对企业进行全方位的风险评估，进而进行多方面的合规体系建设。有效的合规计划，应当是针对已经发生的犯罪，进行有针对性的制度纠错，建立专项合规计划。之后搭建专项合规体系。一个完整的合规计划构成了企业合规管理体系，这种体系应当包含：一是合规组织体系的有效搭建，二是制定专项合规规章制度，三是合规全流程监控，四是合规文化建立。有了这样一份合规计划，才能从根本上有效推进涉案企业合规。