尚权推荐SHANGQUAN RECOMMENDATION

关键词：数据交易安全；刑事合规；“软法”治理；清单模式

 伴随人工智能、大数据、物联网等新一代信息技术的应用，数据交易产业为推动数据应用、激活释放数据价值起到重要作用。数据交易是充满风险的市场经济活动，不乏危及国家安全、公共利益和个人、组织合法权益的刑事犯罪风险，数据流动监管具有复杂性、困难性。如何保障数据交易安全和数据产业发展的平衡是数据安全法律治理中的核心问题。2022年12月，中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”），将“促进数据合规高效流通使用”作为指导思想和工作原则。本文从刑事合规角度探讨如何发挥数据交易安全合规清单的价值功能，以实现数据交易安全保障和促进发展的刑事治理目标。

一、数据交易安全刑事风险与合规治理

《中华人民共和国数据安全法》（简称《数据安全法》）第三条第三款规定：“数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。”数据安全是一个开放的、动态的范畴，数据利益主体呈现多元化趋势，数据安全法益关乎个人安全、公共安全和国家安全。数据安全治理现代化的目标是兼顾数据控制安全与数据利用安全，不仅要注重数据自身的安全，还应当追求数据处理过程中的“动态安全”，实现数据利用中的利益平衡。

（一）数据交易安全刑事风险及法律规制

 数据交易相较于传统产权交易而言，确有其自身的特殊性，具有流动性、实时性、过程性。在数据交易过程中的各个环节，都存在技术入侵的安全风险和犯罪风险。具体来说，数据交易安全风险主要包括以下几个方面：（1）敏感数据泄露风险。交易平台对于入驻数商的主体资质和进场交易数据并不负有审核义务，致使部分不法数商通过场内交易在平台购买数据，后通过场外交易多次转手倒卖数据以牟利。诸如史上最大的数据泄露案——瑞智华胜公司非法盗取30亿条个人网络信息被罚款1000万元，该公司主管人员和直接责任人被追究刑事责任。（2）数据出境交易风险。我国关于数据出境交易的相关法律制度是缺失的，出境数据用途与总量控制制度并未确立，规模化数据出境交易呈现“风险不评估、用途不可控、类型不限制、交易不限量”的失序状态。涉及政治、经济等国家利益的重要数据一旦被非法交易甚至非法出境，会严重威胁到国家数据安全与发展利益。（3）数据入境交易风险。目前我国数据交易平台对于入境交易数据并不承担过滤义务，客观上为恶意程序源代码数据、非法信息的入境传输提供了通道。“数据恶意投毒”行为的影响借助数据入境交易迅速扩大化，使病毒侵入的风险陡增；间谍软件借助数据交易入境，发动后门攻击捕获、窥探用户数据，恐怖主义、极端主义信息也渗透于入境交易数据中。（4）交易数据劫持风险。场内数据交易模式使得数据在传输、存储、交付环节均可能遭受劫持风险。较之迭代升级的黑客入侵技术，交易平台安全防护技术相对薄弱，平台沉淀的数据处在“裸奔”状态；交易平台内部管理疏忽，如对特权账号管理薄弱、权限控制措施不力，给了内部人员泄露数据的可乘之机。

 为了预防和规制数据交易的安全风险，国家相关部门出台了一系列法律法规，建立健全数据交易管理制度，不仅《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等明确规定了网络服务商的数据安全监管义务，《数据安全法》也规定平台方有进行数据安全风险评估、报告、监测和预警等义务。2023年8月，国家市场监督管理总局、国家标准化管理委员会发布了《信息安全技术 数据交易服务安全要求（征求意见稿）》（简称《数据交易服务安全要求》），提出了统一的数据交易安全规则。根据《数据交易服务安全要求》的规定，数据交易指以数据产品为交易标的所进行的以货币或货币等价物交换数据使用权和市场化流通的活动；数据交易服务则指为帮助数据供方和需方完成数据流通交易全过程，实现数据资产化和数据价值变现提供的服务活动。有学者认为，应当将数据交易作为服务类合同对待，并在数据服务范畴下理解数据交易。数据交易存在场内交易和场外交易两种模式，既可能由数据供需双方直接或通过数据交易场所交易，也可能由数据商、第三方专业服务机构为交易双方提供服务。在地方立法方面，为了引导数据交易主体合规、安全地开展数据交易，上海市先后出台了《上海市交易场所管理暂行办法》（2019）、《上海市数据条例》（2021）。2023年10月，上海数据交易所发布了《上海数据交易所数据交易安全合规指引》（简称《上海数据交易安全合规指引》）及配套清单，明确了数据交易参与方的合规要求、数据安全管理及技术保护能力等方面的要求，该规范文件规定了数据交易安全的一系列基本原则。2023年11月，上海数据交易所发布全球首个数据交易所交易规则体系——《上海数据交易所交易规则体系（2024）》，该规则体系搭建了“办法—规范—指引”三个层级的交易制度结构。此外，深圳市发改委及深圳数据交易所也制定颁布了《深圳市数据交易管理暂行办法》《深圳数据交易所有限公司交易标的准入指引（试行）》等地方政策指引及场所业务规则，兹不赘述。

（二）数据交易安全刑事合规与治理转型

 1.数据交易安全刑事合规的内涵

 “合规”一般指企业合规，“规”即“成例、标准、法则”，概指企业通过内部合规计划对法律法规、商业管理规定、公司内部规章及国际条约的遵守。广义上刑事合规的主体和对象可以扩大到政府、司法部门以及其他社会组织。狭义上的刑事合规仅指企业预防犯罪、改善处遇的内部治理方案。刑事合规是一种预防性的法律风险管理机制，旨在确保企业或单位的行为合法合规，通过建立有效的合规体系，企业可以降低法律风险，增强市场竞争力，提升社会形象。关于刑事合规，学界存在不同的观点：一种是作为违法或责任阻却事由的刑事合规，另一种是作为量刑激励方式的刑事合规。同时，也有观点认为，合规措施的核心功能在于打开企业的决策机制“黑箱”，使其可以根据合规计划来判断具体的行为是否违法以及是否需要承担责任。“刑事合规”概念的提出，有助于为企业合规设定清晰的层次和刑事法律标准。合规计划以国家法律、行业标准、公司章程为前提，将抽象的法律条文转化为具象可执行的合规计划，因而是值得肯定的。基于以上分析，所谓数据交易安全的刑事合规，是指从事数据交易活动的企业，面对数据收集、保存、流通和应用过程中的犯罪风险，建立并执行一套内部的数据合规管理计划，并由行政部门和司法机关用法律手段惩处和防范危及数据安全的违法犯罪行为的过程。可以说，数据安全刑事合规是企业合规的“底线”要求，司法部门会为那些积极履行刑事法律义务的企业提供某种程度的量刑激励；相应地，如果违背了刑事合规的规定，危害了数据交易安全且构成犯罪的，企业将需要承担相应的刑事责任。

 2.数据交易安全刑事合规的过程

 从过程论角度看，刑事立法、定罪量刑和刑罚执行就是罪刑关系的动态运行过程；从更广泛的角度看，刑事治理则是由各方主体参与的惩治和预防犯罪的法律法规、司法解释、刑事政策措施的制定、实施及评估的过程，具有过程性。刑事合规是刑事治理过程的重要阶段和环节，也具有过程性和阶段性。有必要建构国家主导、企业单位和社会公众广泛参与的数据安全刑事合规体系，引导企业组织及其他社会主体积极参与刑事司法活动过程，形成数据安全刑事治理的合力。刑事合规治理大致可分为事前合规和事后合规两个阶段，不同阶段之间相互依存、紧密相连，构成刑事治理体系的过程性结构。事前合规指企业在进行某一活动或决策之前，对其可能产生的风险和后果进行合规性评估，以确保该活动或决策符合法律法规、监管要求和道德标准。事前合规可以预防企业内部不合规行为的发生，减少不必要的损失和风险。事后合规指企业对已经发生的行为或事件进行合规性评估，以确定其是否符合法律法规、监管要求和道德标准。事后合规通常用于对已经发生的风险或违规行为进行调查、评估和纠正，以防止类似情况再次发生。事后合规要求企业建立有效的内部控制机制和风险应对机制，以便及时发现和处理不合规行为。事后合规可以降低企业或机构的风险，保护合法权益，促进企业可持续发展。

 “数据二十条”第八条要求完善数据全流程合规与监管规则体系。根据《数据安全法》第四章的相关规定，数据交易中介机构需要仔细验证数据的来源和交易双方的身份，并保留所有核实的交易记录。数据处理服务提供者必须按照规定获得行政许可。跨境数据交易则需要经过严格的控制和审批。《数据交易服务安全要求》采取列举方式，详细规定了数据交易参与方、交易对象、交易平台及交易过程的安全要求，为数据交易各参与方提供了规范指导，同时明确了数据交易平台和政府机构的监管义务和责任。根据《数据交易服务安全要求》的规定，场内交易全过程通常包括主体入驻、登记挂牌（准备阶段），交易磋商、下单签约、产品交付、交易结算（实施阶段），交易结束、纠纷处理（售后阶段）等环节；场外交易过程通常涉及交易磋商、下单签约、产品交付、交易结算、交易结束等环节。作为数据市场的关键基础设施，数据交易平台应确保数据交易在安全轨道上平稳运行，在交易申请、交易进行、记录留存等各环节都负有保障交易过程安全的责任。

 3.数据交易安全刑事治理转型

 目前，我国刑事立法尚未厘清计算机信息系统与数据的关系，将计算机信息系统安全视为数据犯罪的保护法益，数据安全法益未得到充分重视。数据安全刑法保护存在静态化、分散化、碎片化问题，相关法律法规之间存在交叉冲突。随着数据安全在网络安全、信息安全的范畴中日益凸显，法律保护的重心逐渐转移到数据本身。对此，我们应当摆脱传统刑法的治理逻辑限制，直面数据交易安全治理的实践需求，确立数据安全保障和合理利用相协调的转型理念，运用多种刑事治理手段对其进行补足和优化，实现多元共治。第一，在数据安全刑事治理领域，需要克服单纯惩治非法获取型数据犯罪的不足，加强对数据利用过程的刑法规制。非法获取数据只是数据犯罪的起始，非法处理和利用数据才是犯罪的根本目的。目前刑法规制数据犯罪的链条不完整，需要在刑法规制层面进行改变。第二，基于数据交易参与主体的技术治理能力，发挥具有技术优势主体的治理能动性。例如数据交易平台可以通过技术措施将蕴含风险的数据进行脱敏处理，降低风险成本，提高交易效率。通过数据交易安全清单，明确不同主体的责任与义务，使其成为承担刑事责任的根据和基础。第三，刑事司法权力应避免过度介入数据交易安全治理过程，更加重视政府治理和社会治理的作用。道德规范、行政规范、刑法规范三者之间是层层递进的，例如，在美国Everalbum人脸识别侵犯信息权案中，关联网络平台方负有协助执法的义务，这项义务是同企业内部的合规计划内容和法律规定保持一致的。第四，应转变过于依赖刑事治理系统内部的单向度治理模式，构建多元主体参与的共建共治共享体系。传统的数据犯罪治理模式以国家单向度治理为主，企业处于被动接受监管的地位并承受严苛的刑事责任。数据交易参与各方应注重对话与协作，实现数据安全治理与发展利用的最佳实际效果。总之，在数据安全刑事治理领域，应强调刑法介入社会治理的有限性，充分发挥前置性部门法的作用，利用技术标准的行为规范功能推动多方主体共同治理，保障数据交易安全，促进数据交易发展。

二、数据交易安全合规清单的规范内容

 清单管理制度的实践始于行政权力改革，后逐渐扩展到社会治理领域，成为推动国家治理转型的创新制度。从传统的控制模式转向清单管理模式，体现了从政府管制到社会治理转变的法治精神。在数据交易安全领域，清单制度有助于厘清政府与市场、社会的关系并明晰各方权利义务，在推进数据安全治理转型中有着重要作用。

（一）数据交易安全合规的清单管理模式

 在市场经济领域，负面清单模式和正面清单模式是贸易自由化的两种路径。负面清单模式指“除非有特别的保留或明确列出了不符措施，否则所有的贸易都是开放的”，正面清单模式是指“特定类型的市场准入或待遇仅在清单所列举的范围内享有自由”。应当说，正面清单和负面清单的法理逻辑存在差别。正面清单指将市场准入或开放限定在特定的范围内，未列入清单的部分当然禁止准入；负面清单奉行“法无禁止即自由”的原则，以默许准入、开放为基础，唯有列入清单内部的事项才被绝对禁止或相对禁止。正面清单具有浓厚的行政管制色彩，负面清单更加关注市场主体的行为自由与决策自由。一方面，负面清单能减轻企业的成本负担，促进民营企业的发展。清单之外的市场主体均能自发而广泛地参与交易，不必受到隐形条款的制约。负面清单上记载的事项使各企业明确交易的“红线”，避免企业主体面对法律空白领域束手无策，大大降低了企业违法违规的可能性。不在负面清单上列举的条款即为企业自主决定的范畴，能充分调动社会主体的积极性，使其自动探索负面清单之外出现的新型领域，从而达到鼓励企业创新发展的效果。另一方面，负面清单能够起到明确规则和限制公权力的作用，实现从政府管理到社会治理的重要转型。“负面清单”为公权力的干预划定了明确的界线，使公权力不得随意干预市场，不得对行政相对人设定和施加非法定义务，有效限缩了政府权力自由裁量的空间，有利于打造政府-企业二元共治模式。

 值得关注的是，深圳、上海等地方数据立法以清单方式将禁止交易的数据类型逐一列明，明确禁止交易的数据包括非法采集的数据及涉及国家安全、公共安全、商业秘密等的数据。其他地方性法规、规章及政策规范文件对可交易数据、禁止交易数据的规定也都倾向于采取负面清单管理模式。值得注意的是，《数据交易服务安全要求》在附录A中也将禁止交易数据的示例列入负面清单，但该规范文件并非采取单一的正面或负面清单模式，而是采用两种模式的结合。在数据交易领域，用正面清单来确定可使用领域、可使用程度的同时，也需要用负面清单来对开放的内容进行限制。比较而言，如果负面清单的范围过于广泛、限制的程度过深，其实际效果也未必会超越正面清单。负面清单是对正面清单的创新，本质上两者都是一种行为规范方式。应当注意正面清单与负面清单相互协调，这样既可以顺应新经济形态发展的要求，也能兼顾安全与效率。

（二）数据交易安全合规清单的软法性质

 一国的法律治理体系中既有“硬法”规范又有“软法”规范，数据安全合规义务的规范可以分为“硬法”规范和“软法”规范两类：“硬法”规范主要指由国家制定或认可，具有强制执行力的法律规范。它通常以法律、法规、规章等形式存在，具有明确的规定性和可操作性。“硬法”规范在法律体系中占据主导地位，对于维护社会秩序、保障公民权利、促进经济发展等具有重要作用。“软法”规范主要通过舆论引导、公共意识等非强制手段来发挥作用，对于促进国际合作、推动行业自律、规范社会组织等具有指导意义。尽管“软法”不具有强制执行力，但在实际操作中，“软法”往往能够弥补“硬法”的不足，为行业发展和社会治理提供更加灵活和有效的指导。如果完全按照刑事法律、行政法规的相关规定进行合规承诺和履行合规义务，对于许多企业来说意味着不现实的高成本投入，运用“软法”模式实现数据安全企业合规治理的规范化，则更为灵活和有效。须注意的是，《数据安全法》及其他法律法规中的激励性“硬法”规范有不少原则性、宣示性规定，呈现出“硬法软法化”特点。“软法”与“硬法”相结合，形成数据交易安全合规规范体系。在此规范体系下，行业规范或技术标准不具有规范性法律效力，其对事实进行合理化、指标定型化的功能并非源于法律授权，而是现代社会合理性的内在需要，因而又具有事实上的拘束力，发挥着重要的技术支撑和规范指引作用。

（三）数据交易安全合规指引及清单义务

 国家市场监督管理总局、国家标准化管理委员会发布的《数据交易服务安全要求》和上海市数据交易所制定的《上海数据交易安全合规指引》及清单（2023）对数据交易参与主体的合规义务要求作了正面清单和负面清单的列举规定，以下予以详述。

 1.数据交易主体的合规要求

 参与数据交易服务的主体是多元化的，既可能由数据供需双方直接或通过交易场所进行交易，也可能有数据服务商、数据交易所和第三方专业服务机构参与。明确针对数据交易主体的监管模式是保障数据交易安全的重要前提，明确数据交易主体的资质和义务有助于使数据交易处于可控状态，其中需要注意的是对数据交易平台的监管。数据交易平台是独立于数据交易供需双方的第三方，不仅要受到法律法规的监管，鉴于其对于整个交易过程的实际控制能力，也应赋予其监管数据交易的义务。《上海数据交易安全合规指引》第四、五条对于数据交易主体的合规要求主要体现在主体资质和经营能力等方面：一方面，交易主体需要依法成立并有效存续且具有良好的商业信誉，法定代表人、董事、监事不存在重大数据类违法违规行为，不能被列为失信被执行人；另一方面，交易主体在财务、担保、诉讼以及仲裁等方面均不存在影响持续经营的重大风险。《数据交易服务安全要求》对所有交易主体提出了概括性基本要求后又具体针对不同主体分别设定了不同义务，比如数据供方应确保数据来源真实合法，保证对数据资源的处理合规，并采取相应措施防范数据泄露、破坏等风险；数据需方应当在约定范围内使用数据，对数据的使用加工不应对国家安全、公共利益和组织及个人产生不利影响；数据商和第三方专业服务机构应对其提供的产品服务的安全性、合规性、真实性和有效性负责，未经授权不应将其身份提供给他人使用或将服务外包，不得泄露、伪造、篡改、隐藏、毁损供方或需方的数据资料；数据交易场所不应进行虚假或引人误解的商业宣传，应定期向有关部门报告数据交易情况，对数据交易的整个流程进行监管，并拥有一定的监督权和处罚权。

 2.数据交易客体的合规要求

 在数据交易中，并非所有的数据都能成为交易客体，其需要满足主体的需求。同时，为了避免数据交易危害到国家安全、公共利益以及个人合法权益，应当在保障数据流通安全的前提下，对交易的客体进行限制，包括对数据本身的来源合法以及数据产品的可交易性进行规定，从而确保数据交易的源头治理的妥当性。（1）在数据来源合法性方面，《上海数据交易安全合规指引》第十三条至第十六条对数据来源合法的合规要求作出了具体规定。对于公开数据的收集，主要采用负面清单形式进行规定，禁止违反诚实信用原则、违法侵入或超越权限范围等行为；对于自行生产的数据，要求确保数据生产和处理合法；对于依据协议获取的数据，需在采购协议中约定数据供方权利，并核实数据来源方的特殊资质、许可等。在个人信息收集方面，需确保目的明确、合法正当，遵循最小必要和告知同意原则。此外，《数据交易服务安全要求》规定了数据交易标的的安全要求，包括禁止交易的数据类型、数据质量合规要求和交易数据分类分级保护。禁止交易数据包括危害国家安全和社会稳定的数据等。为保障数据交易的合法合规，数据供方需确认数据产品属于法律法规允许交易的数据范围，并确保数据处理合法、不包含禁止交易的数据。具体要求包括数据产品内容合法合规、重要数据交易合规、应用场景与使用条件合规、数据产品出境合规以及数据交易协议内容合规等。（2）在数据产品的可交易性方面，《上海数据交易安全合规指引》第十七条至第二十三条规定了数据产品可交易性的合规要求。第十七条规定，“数据产品的可交易性是指在数据来源合法的基础上，该类数据形成的数据产品具有合法性、可控性、流通性。为保障数据交易的合法合规，数据交易供方应当确认其提供的数据产品属于法律法规允许交易的范围，数据处理符合法律规定，不包含禁止交易的数据”。具体来说，第十八条至第二十三条对数据产品的可交易性作出以下规定：数据产品内容必须合法，不能含有危害国家安全、违反公序良俗或侵害他人合法权益等的信息；涉及重要数据的交易需符合相关法律法规的规定；数据交易供方需说明数据产品的知识投入和劳动注入情况，并对原始数据进行适当处理；数据产品的应用场景和使用条件需遵循法律法规的特别规定；向境外提供数据产品需进行数据出境安全评估，并履行数据安全保护责任和义务；数据交易双方应签署合法合规的交易协议，不得侵犯他人合法权益。

 3.数据交易管理体系的合规要求

 确认可交易数据的范围后，对于数据交易流通的整个过程应建立健全数据交易管理体系，兼顾数据使用效率以及数据交易安全，重点关注数据交易的行为规范。企业是一个相对独立于其他社会系统的社会组织系统。在数据市场这一新型行业领域中，企业的独立性要求交易过程遵循市场主体交易自治的模式，在负面清单项目之外维护数据交易主体的意思自治。同时，鉴于企业的社会性与数据流通过程中蕴含的风险及当前数据交易机制的不成熟，数据交易管理体系还应当受到对应职能部门的监管，数据流通过程要遵守法律法规的相关规定。规范数据交易活动，是保障数字经济稳步发展的重要前提。主要包括：（1）数据交易安全管理制度和管理体系。数据交易安全管理制度和管理体系是确保数据有序流通的基础。数据安全管理要求贯穿交易全过程，包括宏观战略制定、风险识别与控制、人员配置、应急管理和监督机制完善等。《上海数据交易安全合规指引》第六条规定，数据交易主体应建立全流程数据安全管理制度，采取相应的技术措施和其他必要措施保障数据安全；第七条规定，数据交易主体应当结合自身情况制定计划、充分评估日常数据处理活动中各部门风险、明确内部员工的职责与任务并对其进行定期培训和考察、制定应急策略和完善监督机制等，能够及时处理安全风险事件，以确保数据全生命周期的安全，同时，还应建立数据安全投诉受理、调查与督导机制，督促企业落实数据安全保护义务。（2）交易数据分类分级保护制度。数据的分类分级制度于数据安全而言，具有重要的法益识别与风险防范功能，也是平衡数据利用和数据保护的重要依据。《上海数据交易安全合规指引》第八条规定，数据交易主体应对数据进行分类分级保护，并采取相应保护措施。同时，根据《数据交易服务安全要求》第8.3条的规定，公共数据、企业数据、个人信息等数据应分类分级授权使用和保护。对于公共数据，应保护个人隐私和确保公共安全，坚持“原始数据不出域、数据可用不可见”的要求；对于个人信息，应坚持“知情-同意”原则，涉及个人信息的数据交易应征得个人单独同意，并进行去标识化处理。在重要数据交易方面，要求数据供方、交易场所、数据需方明晰数据安全责任，建立风险评估机制，确保不侵犯公民合法权益或影响国家、公共安全。（3）数据交易主体安全管理制度。《上海数据交易安全合规指引》第九条至第十二条规定，数据交易主体负有以下安全管理义务：一是建立数据全生命周期安全管理制度，针对不同类型和级别数据实施覆盖全周期的保护与管理措施，保障数据的保密性、完整性、可用性和合规性；二是结合数据应用场景以及数据分类分级情况采用技术保障措施，如数据加密、数据脱敏等，提高数据安全的保障能力；三是明确关键岗位人员及员工数据安全问责规范，提升企业员工的数据安全意识；四是制定数据安全事件应急预案，提高对数据安全事件的预防和应对能力。

三、数据交易安全合规清单与刑事治理

 在风险社会背景下，数据安全合规治理实际上就是风险管理与防控的过程。数据交易的复杂性决定着刑事治理的动态性、多元化和系统性等特征。通过数据交易安全关联罪名的刑法适用及刑行衔接，构建和完善数据交易安全合规清单的刑事治理机制，将企业合规与政府治理、社会治理手段紧密结合，在自由与秩序、安全与发展之间寻求平衡与互动。

（一）数据交易安全关联罪名适用与刑行衔接

 1.数据交易安全关联罪名的刑法适用

 数据是通过数据交易平台在多方参与主体之间流转的商品。在数据交易整个流程中，存在诸多如非法泄露、非法买卖等数据交易安全刑事风险，不同参与主体实施的相关犯罪行为通过我国刑法分则中不同罪名予以规制，不同罪名承载着对公民个人权利、市场经济秩序、国家安全、国防利益等在内的多元法益的保护。首先，对数据交易供方来说，其主要承担数据收集和数据资源处理工作，需要保障数据来源合法，防止数据泄露、篡改等。如果其非法获取、提供、泄露国家秘密，则有可能构成非法获取国家秘密罪、非法侵入计算机信息系统罪、故意泄露国家秘密罪等罪名；如果其以不正当手段获取商业秘密，那么可能涉及侵犯商业秘密罪或者为境外窃取、刺探、收买、非法提供商业秘密罪；在收集个人信息的过程中倘若使用非法手段窃取个人信息，则有可能构成侵犯公民个人信息罪。其次，对数据交易需方来说，其应当对通过交易而获得的数据进行合理使用。如不能通过非法手段获取数据，也不应当超过授权范围使用信息，否则有可能构成侵犯商业秘密罪、侵犯公民个人信息罪；同时，数据交易需方也不应当破坏数据的安全保护措施，否则根据侵入的信息系统的属性有可能成立破坏计算机信息系统罪、非法侵入计算机信息系统罪、非法获取计算机信息系统数据罪等。再次，独立于数据交易供需双方的数据商和第三方专业服务机构，应当保障数据交易的安全进行，如果明知他人利用信息网络实施犯罪仍为其提供互联网接入等帮助，可能构成帮助信息网络犯罪活动罪。对于第三方服务提供者来说，《数据安全法》《网络安全法》《个人信息保护法》以及相关法律文件中对其规定了数据交易安全的积极管理义务，如果不履行该义务或拒绝监管部门责令其整改的要求，造成严重后果，还会构成拒不履行信息网络安全管理义务罪；如果其在履行义务过程中将公民个人信息非法出售、提供给他人，同样可能构成侵犯公民个人信息罪。

 在上述罪名的刑法适用中，应当注意数据交易安全涉及罪名的前置法认定问题。我国刑法中的数据犯罪主要是法定犯或行政犯。就法定犯而言，违反前置法规定是构成此类犯罪的前提，在涉及数据犯罪的刑法条文中，通常会有“违反国家规定”或“违反国家有关规定”的前提要件，尽管此种表述会带来立法上的模糊性，但是能够为企业合规留下自主空间和动力指引。前置性行政法规范具有补充刑法中犯罪构成要件的机能，使司法机关得以扩大解释刑法规范适用范围。实际上，只有当行为达到具有严重社会危害性程度时才能作为法定犯认定的依据，这也是刑法作为保障法必须恪守的谦抑性原则的要求。有学者主张，应整合推荐性国家标准的有关内容，扩充数据犯罪的前置行政义务，促使涉案企业将前置法义务转化为内部日常运营规则，构建完备的合规体系。笔者不认同这种观点，尽管有许多关于数据安全的行业规范，这些标准对数据处理者的安全防护责任提出了比行政法更高的要求，但是这些义务要求并不具有法律效力，为了限制刑事打击范围，应将其作为数据合规在非犯罪化层面的参照性规范义务要求，而不是直接将这些行业规范作为判断是否成立犯罪的前置法规范。

 2.数据交易安全刑事合规与刑行衔接

 数据安全刑事治理是一个内外衔接、结构复杂的系统，也是一个不断发展变化的动态过程。数据安全治理除刑事治理之外，还包括以政府部门为主体的数据安全行政监管以及由企业、社会组织和个人参与的数据安全社会治理。运用刑事法律手段实现数据安全与发展，需要从刑事治理全过程角度加以动态性、系统性思考：（1）将企业刑事合规融入刑事司法过程。近年，我国检察机关逐步开展涉罪企业合规试点工作，将符合相关条件的涉罪企业纳入合规考察范围，并根据企业整改效果决定是否不起诉。2021年6月，最高人民检察院、司法部、财政部等联合印发《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》（以下简称《第三方评估指导意见》）。2022年10月最高人民检察院发布第三批涉案企业合规典型案例。其中，无论是福建省三明市X公司、杨某某、王某某串通投标案，还是上海Z公司、陈某某等人非法获取计算机信息系统数据案，检察机关大量依托第三方组织，建立第三方评估机制，通过多方协作优化合规计划，检察机关对企业合规建设的整改措施进行审查后作出不起诉决定。合规整改内容具体包括停止犯罪行为、认罪认罚并采取补救挽损措施、配合刑事追诉行动、及时自纠自查、查明犯罪事实及责任人、查找治理结构和管理制度漏洞并修正等，形成有效的刑事合规体系。需要强调的是，《第三方评估指导意见》规定，第三方监督评估机制要求所有符合条件的涉案企业和个人都必须认罪认罚。虽然我国刑法只规定了单位犯罪中可以成立自首，并没有明确将单位作为认罪认罚从宽制度的适用主体，然而根据“举重以明轻”的解释规则，将涉案企业的刑事合规纳入认罪认罚从宽制度的内容是合理的。有学者建议，应该充分利用和发挥具有本土特色的认罪认罚从宽制度，这包括制定企业刑事合规检察建议、谨慎适用企业合规不起诉的司法手段，并通过司法解释等方式明确企业认罪认罚的成立标准，完善相关的考察指标，以及在刑事诉讼法中规定“涉案企业合规刑事案件诉讼程序”作为特别程序，以促进相关职能部门的职责配合与规范制度衔接。（2）将企业刑事合规与行政监管相协调。企业合规对于行政监管和刑事机制均能起到激励作用，不应当仅关注企业刑事合规问题而忽略行政合规体系的建立。对于涉案企业来说，行政合规与刑事合规往往是相互融合的，它们共同构成企业合规的整体方案。与刑事处罚相比，行政监管才是企业合规更为根本、有效的途径。行政监管给企业提供了一次改过自新的机会，让企业通过整改能够重新回归正常的经营活动。有学者建议，应加强行政执法机关对企业生产经营活动的全程监管，构建以行政监管为核心的企业合规体系，既包括从行政合规到刑事合规的衔接，也包括从刑事合规到行政合规的衔接。就前者而言，其是指只有在行政合规失效后，才能启动刑事合规；就后者而言，涉案企业被“合规不起诉”后，需要进行有效的行政合规整改，消除企业的管理漏洞，预防再度发生同类犯罪。这些都涉及司法机关与行政监管机关衔接配合的规则和程序，以及合规整改结果和处罚结果的互认机制。应当明确的是，确保企业合规计划的落实，不仅需要国家机关保障政务数据安全并履行相应职责，其他社会主体的参与也至关重要。

（二）数据交易安全合规清单的刑事治理机制

 在数据交易安全刑事合规治理中，应当构建并完善企业合规清单的激励机制、滤罪机制、评估机制，以体现和实现合规清单治理的出罪机能与治本效果。主要包括以下几个方面：

 第一，合规清单激励机制。刑事治理手段包括惩罚和激励两方面。惩罚是刑法主要的反向激励模式，面对与技术发展相伴的数据安全风险，刑法需要适当介入，从统筹数据安全和发展的角度发挥刑事激励功能。数据交易安全合规清单对企业依法开展数据交易活动具有很强的指导作用，其虽不具有法律效力，但相对于法律法规来说具有更高的安全标准要求。因此，企业可以根据数据交易安全清单中所列明的数据交易风险、各方主体的义务和责任，制定和实施企业合规计划。刑事合规计划的制定和实施可以成为阻却犯罪成立或者减轻罪责的激励事由，如果数据处理者建立并积极实施合规计划，则在实体法上具有不存在主观过错和法定管理义务履行的两种出罪模式。在此情况下，合规清单可以成为刑事免责事由并直到不起诉或暂缓起诉的法律效果。在审查起诉环节，对于已经构成犯罪的数据处理者，如果其积极配合整改，使得所侵害的法益得到一定程度修复，检察机关可以作出相对不起诉决定并监督其进行合规整改，或通过附条件不起诉，待合规清单整改的考核期满作出不起诉决定。最后，法院在审判过程中可以向涉案企业确认合规意向，与人民检察院协商确定企业合规工作开展的必要性及可行性。目前企业合规尚属于政策性从宽事由，如审判阶段开展企业合规，法院可以向涉案企业提出合规清单，并对合规整改效果进行评估，将合规成果转化为影响量刑的情节因素，依托认罪认罚从宽制度依法从宽处理。这同样体现了刑事激励机制的作用。但是刑事合规的正向激励也存在限度，对于无法补救损失或危害国家安全的犯罪行为，则不能将合规清单及其实施作为减免刑事责任的事由，应当配合反向激励促成共治。

 第二，合规清单滤罪机制。“滤罪”即“过滤犯罪”，指对某种行为在立法和司法阶段进行评价和定罪量刑的过程，这个过程具有正反两面的双向过滤功能。一是从立法层面将某种行为规定为具体罪名或排除在犯罪圈外，即犯罪化和非犯罪化；二是从司法层面判断某一行为是否构成犯罪，并决定是否追究刑事责任。刑事合规是企业制定和实施合规计划的过程，也是识别、判断和应对刑事犯罪的过滤过程。企业制定和实施数据交易安全合规清单应以数据安全为核心，将刑事法律视作底线标准、将行政法律作为一般标准、将行业规范等“软法”作为参考标准，从而构建合规清单的滤罪体系。数据交易安全合规清单明确了企业合规治理参与各方的责任和义务，司法机关通过对履行清单义务和承担责任的情况进行考察，将遵守合规清单规定的企业及时排除在刑事诉讼外，降低错案风险。具言之，数据交易安全合规清单的出罪功能体现在实体和程序两方面：从实体角度看，负面清单遵从“法无禁止即可为”的原则，清单规定外的行为因无明确禁止性规定而被排除在刑事犯罪之外；正面清单因其本身的“软法”性质而不具备法律效力，对未完成清单要求的行为不能直接作犯罪化处理。实体上的非罪化应实现“漏斗式”滤罪功能，呈现“清单规定—前置法规—刑法规范”的滤罪层次。企业未履行合规清单义务不等同于直接违反前置性行政法规定；企业承担刑事法律义务是底线要求，但判断其行为是否入罪须经过刑法的独立性判断，而非完全以行政违法性为依据。从程序角度看，虽立法未予以非犯罪化认定，但司法机关通过撤销刑事立案、不予起诉、宣判无罪等方式将部分案件排除在刑事诉讼之外，实现程序上的“非罪化”，体现了对宽严相济刑事政策的贯彻。企业可按照清单模式构建内部管理和外部监管的合规体系，通过积极实施合规清单内容，在刑事诉讼的不同阶段获得减免刑罚的机会。

 第三，合规清单评估机制。在刑事合规领域，涉案企业合规计划的有效性标准是最低限度的要素标准，其有效性标准的确立也是亟待解决的问题。合规计划的有效性标准应从合规计划的体系设计和运行效果两个方面来确立。涉案企业合规整改需要一套长期的整改方案，强调合规计划和企业日常管理制度的融合，将合规内化为企业的长期制度。《第三方评估指导意见》具体规定了涉案企业合规效果的评估，包括评估主体、评估方案、评估重点内容和评估指标的设计等内容，对企业数据安全合规清单的制定及实施效果进行评估，是对涉案企业给予激励及减免刑罚的前提。第三方评估组织和人民检察院对评估报告和整改的实际效果进行审查，评估结论是检察机关作出不起诉等处理决定的重要参考依据；同时，第三方评估组织也应当要求涉案企业提交合规计划，并对这些计划进行全面审查。检察机关应当在整个评估过程中发挥主导作用，同合规监管人员一起对合规政策、合规组织体系、预防体系、识别体系和应对体系等要素进行运行有效性评估，针对不同的违法犯罪情形，引导企业制定专项合规指南，避免企业再次犯罪。

四、结语

 在数据交易安全企业合规方面，应以《数据安全法》等法律为依据，统筹兼顾数据的安全保障和数据资源的开发利用，构建体系化、全面性的数据合规制度。刑事合规不仅是企业自律活动的重要内容，还是社会各方协同共治的系统工程，需要行政机关、司法机关与企业形成合力，促成企业通过合规计划履行数据安全义务，获得刑事激励待遇，但同时由于大数据行业可能存在市场失灵的情形，政府应及时介入并进行监管、提供救济渠道。从刑法本身来看，对于刑事合规的规制路径不仅应当着眼于定罪量刑层面，同时还需重点关注刑事政策、社会治理与刑事合规的有效融合。

来源：《河南社会科学》2024年第3期 

作者：张勇，华东政法大学刑事法学院教授、博士生导师

         王杰，华东政法大学刑事法学院博士研究生