导言：

2022年5月，上海普陀区检察院对某网络科技有限公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证，对本案合规评估合格、社会危害性和是否可作不起诉处理进行公开审查。经评议，参与听证各方认为涉案单位数据合规整改到位，一致同意对涉案单位及人员作出不起诉决定。该案是我国首例数据合规不起诉案，本文从对该案的合规分析入手，进一步研究讨论软件开发企业的数据合规要点。

一

我国首例数据合规不起诉案合规

要点回顾

2019年至2020年，某网络科技有限公司在未经授权许可的情况下，为运营需要，由公司首席技术官陈某某指使多名技术人员，通过数据爬虫技术，非法获某外卖平台数据，造成某外卖平台直接经济损失 4 万余元。案发后，涉案公司积极赔偿损失并取得谅解。根据申请，普陀区检察院向其制发合规检察建议，并启动合规审查。普陀区检察院从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议，指导公司作出合规承诺。从三个方面完成数据合规建设。第一，构建数据合规管理体系。设置专门的数据合规管理部门，特别针对数据来源合法性，制定并不断完善数据合规计划，消除内部管理盲区。第二，提高数据合规风险识别、应对能力。规范技术汇报审批流程，建立技术应用合规评估制度，避免技术滥用。第三，稳健数据合规运行。建立数据合规咨询机制与数据不合规发现机制，建立数据分级分类管理制度及员工数据安全管理制度，填补制度空白。

二

合规不起诉的政策规定

2021年4月，最高检《关于开展企业合规改革试点工作的方案》规定，检察机关对于办理的涉企刑事案件，在依法做出不批准逮捕、不起诉决定或者根据认罪认罚从宽制度提出轻缓量刑建议等的同时，针对企业涉嫌具体犯罪，结合办案实际，督促涉案企业作出合规承诺并积极整改落实，促进企业合规守法经营，减少和预防企业犯罪，实现司法办案政治效果、法律效果、社会效果的有机统一。2021年6月最高检等九部委出台《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，2022年4月最高检办公厅等单位出台《涉案企业合规建设、评估和审查办法（试行）》，对该制度进一步细化推进。

三

数据不合规的法律风险

（一）刑事责任

根据《刑法》第二百五十三条的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，最高处七年以下有期徒刑，并处罚金。在2019年2月，数据堂（北京）科技股份有限公司员工在一起涉侵犯公民个人信息罪案件被判决有罪，数据堂公司违法所得被依法追缴。其中，作为数据堂公司首席运营官的柴银辉虽未直接审批相关合同，但法院认为其作为公司总办成员，参加月度分析会听取业务进展情况，负责公司的整体运营，且分管营销产品线，须对案涉犯罪行为承担相应的主管责任，因此被判处有期徒刑三年，并处罚金人民币七十万元。

《刑法》第二百八十六条之一规定了网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正的，具有相关严重情形的处三年以下有期徒刑、拘役或者管制，并处或者单处罚金。

（二）行政责任

根据《网络安全法》规定，作为网络运营者、网络产品或者服务的提供者不履行网络运营安全和网络信息安全义务的，最高处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。未履行《数据安全法》规定的相关义务，可能面临最高一千万的罚款。根据《个人信息保护法》规定，违反法定安全保护义务的，将没收违法所得并处五千万元以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。

（三）民事责任

根据《民法典》第一千零三十四条规定，除自然人的姓名、身份证号、住址、电话号码等信息外，健康信息、行踪信息等也属于个人信息的范围。第一千零三十五条明确规定，处理个人信息的，应当遵循合法、正当、必要原则。同时，第一千零三十八条规定信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息，确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。因此，对于违法违规收集个人信息或非法向他人提供个人信息的，会面临相应的民事侵权责任。

四

软件开发企业数据安全合规体系

搭建步骤

数据安全和隐私合规作为一项长期投资，合规体系的搭建成败取决于企业领导层的重视程度，针对中小型软件开发企业而言，一套行之有效的数据合规体系需要自上而下的施行，执行层的强力推动也必不可少。唯一的方法就是企业内部对数据安全和隐私保护达成统一的共识，并最终贯彻到日常的企业管理和产品服务的研发经营之中。

第一步：自我审视找差距

万事开头难，在搭建体系之前，首先应当清晰、客观的审视自身有哪些不足。审视的标准包括是法律法规的硬性规定，行业的标准，以及头部企业的管理规范，也可以聘请外部的合规团队站在第三方的视角进行评价，无论使用什么审视方法，目的都是可以全面的了解自身的差距。有了清晰的差距认知，才可以进一步准确的识别企业一直存在的合规风险。

第二步：风险识别

雪崩发生时，没有一片雪花是无辜的。风险始终伴随着企业发展始终，企业无法规避所有风险，但是可能导致企业生死存亡的风险却可以通过提前的识别并最终解决或者转移掉。比如，企业系统的账号和权限配置没有准确的步骤规范，导致员工在离职后仍然可以登陆账号并盗取企业内部的重要数据或者客户信息。这样的风险看似不起眼，一旦发生，对中小型软件企业来说是具有毁灭性的。通过风险识别，可以将企业风险按照风险等级从最高排列到较低，最终由管理层根据企业自身的发展水平、风险偏好进行取舍。最后将结果标注出来。

第三步：制定数据安全合规战略和组织

看清楚了自身的差距，相应的企业风险也逐渐清晰后，需要在此基础上制定可实现、有感染力的合规战略。不仅可以时刻提醒企业管理层和普通员工时刻向着战略目标，更可以让存量客户和潜在客户认识到企业的核心价值观，我们建议，数据合规战略可以是一段话，也可以是一句话。重要的是简洁易懂。除此之外，企业需要建立数据合规组织，将企业的各个业务部门连接起来，形成一套责任体系。考虑中小型软件开发企业的合规成本，我们认为数据合规体系应当将企业现有的管理体系对齐。具体架构如下：

第四步：定规矩：更新或制定数据合规政策和流程

根据我们服务过的中小型软件开发企业的经验来看，一些企业并不是没有制定相关数据安全类的内部规定和操作流程，但因为执行不到位或者疏于更新管理，导致出现“纸面一套，实际一套”的局面。这样的企业需要重新梳理审查以往的内部政策规定和操作流程，并根据企业现实的操作情况以及数据安全合规战略的目标进行调整。

另外，只有可以贯彻实行的规矩才会有愿意执行的人，避免把企业内部制度写的“夸夸其谈”。企业也可以将相关操作步骤梳理完成后请法律顾问帮助起草和审查，确保数据合规政策和流程合法性和可执行性兼备。

相比于头部企业，中小型软件开发企业由于合规成本等原因，对数据安全和个人信息保护等领域并不重视。根据我们对工信部 “关于侵害用户权益行为的APP通报”的统计，位于成都的企业共计88家上榜百余次，某些企业的软件甚至一而再再而三的被通报并最终责令下架。相反，另一些企业不再只着眼于产品开发期限、产品收益及软件功能的完备等传统因素，转而开始以数据安全和个人隐私保护作为产品亮点，从而不仅获取了更多的市场关注度和交易机会。我们理解，数据安全和隐私保护合规在未来将成为企业核心竞争力的重要标志。

（本文作者：盈科廖江涛、刘家君律师 来源：微信公众号 盈科成都律所）