节选自:(2022年)最高人民检察院关于涉案企业合规典型案例(第三批)
案例一:上海Z公司、陈某某等人非法获取计算机信息系统数据案
【关键词】
数据合规 监督评估有效性 云听证 行业治理
【要旨】
检察机关针对互联网科创企业的数据合规漏洞,深入开展社会调查,积极引导涉案企业开展数据合规。综合考虑涉案企业行业属性、技术行为合规规则,组建独立、专业的第三方组织,提升涉案企业数据合规监督评估有效性。能动创新优化合规考察模式,在疫情期间灵活运用智慧检务开展“云听证”,兼顾办案的公开与效率,助力复工复产。多措并举推动行业治理,促进互联网行业建立健全数据合规经营体系,助力构建健康清朗的网络生态环境。
一、基本案情
上海Z网络科技有限公司(以下简称“Z公司”)成立于2016年1月,系一家为本地商户提供数字化转型服务的互联网大数据公司。Z公司现有员工1000余人,年纳税总额1000余万元,已帮助2万余家商户完成数字化转型,拥有计算机软件著作权10余件,2020年被评定为高新技术企业。被不起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。
2019年至2020年,在未经上海E信息科技有限公司(以下简称“E公司”,系国内特大型美食外卖平台企业)授权许可的情况下,Z公司为了以提供超范围数据服务吸引更多的客户,由公司首席技术官陈某某指使汤某某等多名公司技术人员,通过“外爬”“内爬”等爬虫程序(按照一定的规则,在网上自动抓取数据的程序),非法获取E公司运营的外卖平台(以下简称“E平台”)数据。其中,汤某某技术团队实施“外爬”,以非法技术手段,或利用E平台网页漏洞,突破、绕开E公司设置的IP限制、验证码验证等网络安全措施,通过爬虫程序大量获取E公司存储的店铺信息等数据。王某某技术团队实施“内爬”,利用掌握的登录E平台商户端的账号、密码及自行设计的浏览器插件,违反E平台商户端协议,通过爬虫程序大量获取E公司存储的订单信息等数据。上述行为造成E公司存储的具有巨大商业价值的海量商户信息被非法获取,同时造成E公司流量成本增加,直接经济损失人民币4万余元。
案发后,Z公司、陈某某等人均认罪认罚,Z公司积极赔偿被害单位经济损失并取得谅解。2020年8月14日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪提请上海市普陀区检察院审查逮捕。8月21日,普陀区检察院经审查认为,陈某某等人不具有法律规定的社会危险性,依法决定不批准逮捕。2021年6月25日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。2022年5月,普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定。
二、企业合规整改情况及效果
一是介入侦查,把准案件定性。因本案罪名涉及专业领域、作案手法复杂,侦查之初,普陀区检察院即应公安机关邀请介入侦查,引导取证,明确鉴定方向。一方面,引导公安机关固定Z公司爬虫程序、云服务器电子数据,以查清爬虫的运行模式、被爬取的数据属性等关键事实并加以鉴定。同时,走访被害企业,深入核实被害企业数据防护措施、直接经济损失等,为认定案件事实补充完善证据链条。另一方面,引导公安机关在讯问时关注作案动机、Z公司现状及发展前景等与企业合规相关的问题,督促Z公司积极赔偿被害企业损失,消除影响,同时会同执法司法机关、监管部门、专家学者,围绕爬虫的技术原理、合法性边界、法律适用及数据合规重点、难点,深入开展研讨交流,为案件定性、开展企业合规整改奠定工作基础。
二是认真审查,启动合规考察。案件移送审查起诉后,普陀区检察院经实地走访Z公司查看经营现状以及会同监管部门研商公司运营情况发现,Z公司管理层及员工存在重技术开发、轻数据合规等问题,此次爬取数据出于自身拓展业务的动机,未进行二次售卖。考虑到Z公司系成长型科创企业,陈某某等14名涉案人员均认罪认罚,积极赔偿E公司经济损失并取得谅解,Z公司合规整改意愿强烈,提交了《适用刑事合规不起诉申请书》及企业经营情况、社会贡献度等书面证明材料,检察机关经审查对Z公司作出合规考察决定。
三是因案制宜,围绕数据合规专项计划精准“开方”,对涉案企业开展专业第三方监督评估。经走访座谈、办案调研,普陀区检察院发现,Z公司存在管理盲区、制度空白、技术滥用等合规风险,遂向Z公司制发《合规检察建议书》,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议。Z公司积极整改,并聘请法律顾问制定数据合规专项整改计划。同时,鉴于开展数据合规的专业性要求较高,本案第三方组织吸纳网信办、知名互联网安全企业、产业促进社会组织等的专家成员,通过询问谈话、走访调查、审查资料、召开培训会等形式,全程监督Z公司数据合规整改工作。第一,数据来源合规。Z公司与E公司达成合规数据交互约定,彻底销毁相关爬虫程序及源代码,对非法获取的涉案数据进行无害化处理,并与E平台API数据接口直连,实现数据来源合法化。第二,数据安全合规。Z公司设立数据安全官,专项负责数据安全及个人信息安全保护工作;构建数据安全管理体系,制定、落实《数据分类分级管理制度》《员工安全管理等级》;加入区级态势感知平台,提升安全威胁的识别、响应处置能力,分拆服务,提高云访问权限,数据及时脱敏、加密,增强网络攻击防护能力。第三,数据管理制度合规。Z公司建立数据合规委员会,制定常态化合规管理制度,开展合规年度报告。
四是“云听证”,确保监督评估考察公正透明。三个月考察期限届满,第三方组织评估认为,涉案企业与个人积极进行合规整改,建立合规组织、完善制度规范、提升技术能级,已完成数据合规建设的整改措施。2022年2月,评定Z公司合规整改合格。普陀区检察院通过听取汇报、现场验收、公开评议等方式对监督考察结果予以充分审查。为保障涉案企业及时复工复产,同年4月28日,普陀区检察院因应疫情开展“云听证”,邀请全国人大代表、人民监督员、侦查机关、第三方组织、被害单位等线上参加或旁听。经评议,参与听证各方一致同意对涉案人员作出不起诉决定。同年5月10日,检察机关经审查后认为,因本案犯罪情节轻微,Z公司及犯罪嫌疑人具有坦白、认罪认罚等法定从宽处罚情节,积极退赔被害企业损失并取得谅解,系初犯,主观恶性小,社会危害性不大,且Z公司合规整改经第三方考察评估合格,依法对Z公司、陈某某等人分别作出不起诉决定。
五是企业合规整改见实效、显长效。为确保企业将数据合规内化为长效机制,根据检察机关不定期回访工作了解,Z公司认真落实合规整改,与E平台达成数据交互合作,通过API数据接口直连,合法合规获取平台数据。同时,Z公司将其与E平台的合作模式进行复制、移植,与3家大型互联网企业达成数据合作。Z公司通过扎实开展企业合规,建立健全数据合规长效机制,公司实现稳步发展,分支机构在全国覆盖面进一步扩大,员工人数比2020年底增加400余人,2021年度全年营收2亿余元,纳税总额1700余万元。
三、典型意义
1.合规准备工作前移,积极推动侦查过程中合规准备工作,为审查起诉阶段的合规监督考察奠定基础。本案中检察机关积极利用提前介入侦查,引导公安机关收集合规信息与材料,为后续合规工作的高效开展奠定坚实基础。对于挽救企业而言,早合规优于晚合规,检察机关应当与侦查机关密切配合、相向而行,综合运用好介入侦查引导取证、审查逮捕、强制性措施适用等法定职权,把促进合规的工作做在前面,推动合规改革释放出最优效果。
2.组建专业化第三方组织,提升涉案企业数据合规监督评估的有效性。检察机关立足区域内互联网产业集聚特点,推动设立涉互联网第三方专业人员名录库。针对涉及“网络爬虫”等数据合规专业领域情况,检察机关经社会调查认定涉案企业符合企业合规第三方机制适用条件,商请第三方机制管委会从专类名录库中抽取了由互联网行业管理部门、行业龙头企业和专业协会人员组成的第三方组织,为第三方机制运转提供专业性、公正性、协同性支撑。检察机关依托第三方组织的专业优势,以召开评估工作现场会的形式对涉案企业合规计划的可信性、有效性与全面性进行充分审查,围绕案件反映的数据获取问题开展“因罪施救”“因案明规”,督促涉案企业构建有效的数据合规整改体系,做到“真合身”“真管用”。
3.能动履职强化审查把关,多措并举保障企业有效推进合规整改。本案中,检察机关在依法适用第三方机制的基础上,一是强化主导责任,因案制宜加强合规考察的审查把关,主动听取第三方组织对企业合规整改的考察情况,协调有关行政机关将涉案企业纳入监测平台,统筹数据专项合规与全面合规,确保企业合规整改措施全方位落实落细,避免出现“纸面合规”“形式合规”。二是延伸合规激励,秉持惩治与挽救并重,加强检企沟通对接,充分听取被害企业意见,积极推动双方企业实现和解,促成涉案企业与数据来源方达成合规数据交互协议,确保数据来源的合法化,最大限度维护涉案企业正常生产经营。三是深化科技赋能,立足疫情防控常态化下的办案要求,通过“云听证”审查方式兼顾办案公开与效率,召开由全国人大代表、第三方组织、涉案企业参加的线上座谈,听取各方意见,延伸办案效果,实现线上线下对接、场内场外联动,以公开促公正赢公信。
4.由点及面推动行业治理,助力构建健康清朗的网络生态环境。推动网络空间法治化治理,促进互联网企业守法经营,是检察机关依法能动履职、促进诉源治理肩负的重要责任。数字化转型背景下衍生出的数据侵权、网络犯罪问题,亟需规范引导以保障数字经济高质量发展。本案中,涉案企业与被害企业均为大型互联网科创企业,普陀区检察院深化社会综合治理,依法打击网络灰黑产业链的同时,推动促进互联网行业建立数据合规经营体系。一方面,通过案件办理、检察建议、法治宣传等方式,深入涉案企业所在园区引导广大互联网企业树立数据合规意识,从源头防止再次发生类似违法犯罪。另一方面,以“我管”促“都管”助力营造企业合规文化,推动区政府相关部门、司法机关及30余家区内互联网企业深入落实《普陀区互联网企业合规共识框架》,发布《互联网企业常见刑事法律风险防控提示》,为企业风险防范、合规经营提供法律支持,努力实现“办理一个案件、形成一个合规标准、规范一个行业”的良好效果。