一、数据信息类案件的形势

随着实体经济向网络经济方向发展，传统经济开始向数字经济转变。受到突发疫情的影响，网络经济受到了更多关注，促使更多的传统行业也纷纷开始在网络经济领域布局。值得关注的是，网络数字经济带来机遇的同时，也出现了数据过度采集、用户数据泄露、非法数据交易产业链等数据安全问题，随之带来的风险不容忽视。近年来网络信息相关犯罪持续多发,犯罪手段不断翻新。针对网络信息有关犯罪对此国家高度重视，已连续多年，公安部网安局牵头，和刑侦等部门联合开展了针对网络信息犯罪的“净网行动”，有效整肃了网络信息数据被滥用的乱象。

二、主要法律和企业数据风险

国家对数据规范非常重视，相继出台了多部法律。对于数据合规工作而言，其中最重要的就是《数据安全法》和《个人信息保护法》两部法律。

1.《数据安全法》主要内容为：一是对中国境内开展的数据处理活动进行安全监管；二是规定了非经国家批准，不得对境外机构、人员等提供境内的数据；三是对危害国家安全的，根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。

2.《个人信息保护法》进一步规范了企业对个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为要求。要求采集个人信息应当具有明确、合理的目的，应限于实现处理目的的最小范围，不得过度收集个人信息。采集信息需经个人同意，且要明示处理的目的、方式和范围等。企业在实施个人信息相关行为时，都将受到《个人信息保护法》的规制。

另外，《网络安全法》引入了“重要数据”概念，《重要数据识别指南》（征求意见稿）对重要数据进行了界定。“重要数据”即是数据合规工作重点关注的对象，但也不可无论重要数据之外的数据，毕竟在目前技术手段下，通过海量常规数据进行分析也可能转化为重要信息。

三、数据风险之漏洞来源

数字时代带来便利的同时，也难以摆脱信息泄漏所带来的各种问题。那么信息数据可能通过何种途径被他人获取呢？这也是企业合规工作需要了解的。具体来自以下几个方面：

1.硬件直接获取数据信息

2.软件、APP、网站等直接获取数据信息

3.操作系统获取数据信息

4.传输通道获取数据信息

5.有权机关依法获取数据信息

6.黑客非法获取数据。

四、企业数据合规措施

在数字经济蓬勃发展的趋势下，数据是企业合规的关键，如何规范企业数据，加速企业发展的同时，融入区域数字经济治理体系建设，是我们需要解决的课题，具体可以参考《数据安全法》《个人信息保护法》的规定，来探索合规措施。

（一） 数据安全法下的合规措施

1.数据信息的采集、传输遵守必要性原则

2.数据信息存储、加工、传输、使用过程的要求

3.数据信息的管理人员和权限人员的要求

4.制定公司高管人员的准入规则

5.建立股东或投资的准入机制

6.积极对待国家监督，遵守保密管理要求

（二）个人信息保护法下的合规措施

1.数据信息的采集

2.数据信息的存储、使用、加工、传输、提供、公开、删除等过程

3.数据信息相关人员的要求

4.积极对待国家监督，遵守保密管理要求

五、企业数据合规经验

1.需要慎重对待的信息工作。合规工作中，对于企业处理的重要信息、处理敏感信息，和其他可能带来重大风险的信息，以及相关针对这些信息的处理工作，都应当高度重视，对制定相关合规措施格外慎重，严格把控其中风险。

2.注意评估上下游企业可能带来的风险。数字化经济转型使得供应链上下游构建紧密协作的数字网络，而这种互联互通的数字网络将倒逼企业安全体系不能局限于单一的个体防御，而是向供应链的全局纵深防御演进，构建上下游安全防护“共同体”。

3.严格把握数据“入口” 和“出口”。数据的“获取”和“提供”，是最有可能涉及刑事犯罪的过程，对此要从实质和形式两方面把握制定合规措施。实质上，对上家企业的数据来源是否合法，是否获得转让授权进行了解，在上家信息存在来源不合法或下家存在滥用信息数据情形下，宜终止合作。无法判断上下家企业是否存在数据风险时，也应当在形式上，通过在采购合同、销售合同中约定数据的来源合法，及限制下家使用方式等，降低相关风险。

4.化解风险胜于发现风险。合规工作是为企业的发展服务，应当围绕保障企业安全经营的目的开展工作。不宜发现业务存在风险就武断提出停止业务，而应从最小程度阻止企业业务。面对可能存在的业务风险，要分析出降低和避免风险的工作措施。当然，对于风险很高甚至可能涉及刑事犯罪的业务行为，无法通过合规措施避免风险的，则坚决说明建议企业避免开展此类业务。

六、企业合规方法论

1.用辩护的思维做合规。从辩护角度来分析哪些行为存在刑事风险，通过与企业的反复、深入沟通，吃透企业的业务模式，找准合规重点。并结合工作经验，分析司法机关的入罪逻辑，总结归纳出合规要点。同时不可忽视企业的商业利益与合规成本，避免“因疮断臂”，阻碍企业长远发展。

2.团队协作，优化资源配置。将团队办案的优势运用于合规工作中，通过横向协作模式将专业优势与法律优势相结合，优先选择专业部门的专业法律人才，对于技术性较强的工作，也可联合外部技术团队支持。再辅助纵向协作模式，配备不同资深程度的律师，合理配置提高工作效率。

3.综合分析处理刑事风险。分析企业刑事风险时，要从业务模式、内部、外部三个方面入手。首先，业务模式上考虑是否存在刑事、行政处罚风险；其次，公司内部企业管理人员和员工在处理数据时的有无规范操作；最后。是企业外部的合作方和客户，在获取和提供数据时注意发现上下游的风险。

4.注意合规“隐蔽角落”——程序法风险。除了实体法涉及的具体罪名外，程序法也规定了认定犯罪的方法和程序，包括调查、立案、强制措施的相关规定。在避免构罪的前提下，也要避免企业行为可能陷入被立案调查，被限制人员、财产自由的情形。同时，目前企业合规也是缓起诉或者不起诉考量的重要因素。因此要充分考虑到合规工作在程序法中的应用。