结合我们对上市问询案例及目前典型涉数据犯罪的刑事判例，在此前《涉数据公司业务合规及数据类公司上市合规监管与分析》系列（一）（二）的基础上，结合《刑法》及其司法解释的相关内容，从目前数据出境合规、刑事合规的角度，继续对企业数据合规中的相关问题展开分析，供读者参考。

六、关于数据出境的合规性

（一）关于数据出境合规性的分析总结

1、关于数据出境的法律规定

关于数据出境现行有效的法律法规主要散见在《网络安全法》第三十七条、《数据安全法》第三十一条、《个人信息保护法》第三章、《网络安全审查办法》第十条，以及《数据安全法》《个人信息保护法》相关细则及国家标准等；并且，目前暂未生效的和数据出境相关的征求意见稿主要包括《网络数据安全管理条例（征求意见稿）》《数据出境安全评估办法（征求意见稿）》《信息安全技术重要数据识别指南（征求意见稿）》等。从审慎角度，企业数据出境的规制主体应按上述现行有效的法律法规进行综合的合规规范。

2、关于哪些主体实施的何种数据出境需要进行安全评估

根据《数据安全法》第三十一条和《网络安全法》第三十七条规定，关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。因此，应当进行数据出境安全评估的主体为“关键信息基础设施的运营者”，数据内容为“个人信息”和“重要数据”。

但是，《网络数据安全管理条例（征求意见稿）》第三十五条中将出境数据规制的主体进行了扩大，规制主体为“数据处理者”而非“关键信息基础设施的运营者”；并且根据《数据出境安全评估办法（征求意见稿）》第四条规定，数据处理者向境外提供数据符合以下情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（1）关键信息基础设施的运营者收集和产生的个人信息和重要数据；

（2）出境数据中包含重要数据；

（3）处理个人信息达到100万人的个人信息处理者向境外提供个人信息；

（4）累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息；

（5）国家网信部门规定的其他需要申报数据出境安全评估的情形。

上述两部征求意见稿在《网络安全法》的基础上扩大了规制主体范围，并且细化了安全评估申报要求，即：

（1）在我国境内运营中收集和产生的重要数据的数据处理者都属于受到规制的主体范围；

（2）进一步细化了依法应当进行出境安全评估的数据信息范围。

虽然上述两部文件仍处于征求意见阶段，但结合近年来各国围绕数据跨境流动展开的激烈较量看，我们有理由认为，我国对数据出境的监管正朝着更加严格的方向发展，未来仍将可能继续出台更为具体、细化的规定。

3、对重要数据的定义及规定

既然“关键信息基础设施运营者”（按现行有效的法律法规规定）的“重要数据”出境需要履行安全评估程序，那么判断哪些数据属于重要数据则非常重要。

根据《数据安全法》第二十一条，由国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，笔者查阅相关法律法规并未发现目前已出台现行有效的“重要数据目录”，笔者认为在重要数据目录落地出台前，关于“重要数据”的认定仍要根据不同业务领域或不同地区的法律法规要求进行审慎判断。

以医疗数据安全领域（详见后续系列文章）为例，《生物安全法》《人类遗传资源管理条例》就针对人类遗传资源及生物资源的安全管理方面进行整体监管，明确中国在人类遗传资源上享有主权，并进一步认可了《人类遗传资源管理条例》及其项下规定的针对外国实体在中国使用人类遗传资源的基本原则及制度。因此，人类遗传资源及生物资源即属于医疗数据安全领域的“重要数据”。并且，根据《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020，2021年7月1日实施）等指南来看，各行业细化的信息数据安全的国家标准也在逐步完善和推行中。另经公开资料检索，在2015至2016年间，存在多家知名生物医药公司或医疗机构因违反人类遗传资源管理规定受到科技部处罚的案例，其中部分原因为：“未经许可将人类遗传资源数据违规出境”。

结合以上，虽然目前尚没有“重要数据目录”出台，但数据出境相关的征求意见稿具备一定的参考价值。如《网络数据安全管理条例（征求意见稿）》第七十三条、《重要数据识别指南（征求意见稿）》等均涉及到了对重要数据的认定标准。企业应当结合所处的行业及对数据安全细分要求的指南等，特别要对数据出境给予充分的重视，企业对自身所处行业的数据出境的最新要求应有所了解，指导企业自身数据业务的合规开展。

4、受限数据出境的条件

因重要数据和个人信息数据的出境会受到限制，因此企业在处理此类数据出境时，应按相关法律法规规定做到合规。

根据《网络安全法》第三十七条、《个人信息保护法》第四条、第三十八条、第三十九条、第四十条及第五十六条等规定总结如下：

注：上述表内列示的《个人信息保护法》第十三条为：符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。

其所述的除外情况为：依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

（二）关于数据出境合规性的问询及规范思路（列举）

在此，笔者提示，在数据出境的过程中也可能涉及刑事责任风险，如上文提到的在医疗数据安全领域因“未经许可将人类遗传资源数据违规出境”而导致被科技部处罚的，除行政处罚外，根据《刑法修正案（十一）》之规定，将非法采集国家人类遗传资源、非法运送、邮寄、携带国家人类遗传资源材料出境的、未经安全审查，将国家人类遗传资源信息向境外组织、个人及其设立或实际控制的机构提供或者开放使用的行为定为犯罪，个人进行上述任何行为的可能会被处以相应刑罚。

七、企业涉数据业务合规及刑事风险的整体评判

结合以上数据立法的演变，我们分析了企业从数据采集、使用、交易、出境等诸多合规流程并提出了思路、建议。企业从自身业务模式合规出发，建立一套完整有效的合规制度，不仅出于减少民事纠纷、降低行政处罚风险的目的，对刑事风险的防范更是重中之重。企业一旦涉刑，轻则声誉受损、业务停滞，重则清算破产、主管人员和直接责任人员面临身陷囹圄的困境，融资、上市计划则在短期内更将难有起色。

从刑事立法层面同样不难看出，刑法对数据安全的刑事责任规定不断演变、不断深入。从2015年《刑法修正案（九）》调整设立侵犯公民个人信息罪，到2017年两高出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，再到2021年《刑法修正案（十一）》施行后新增的非法采集人类遗传资源、走私人类遗传资源材料罪，国家对各项数据安全的保护愈加重视，各种法律法规、司法解释、规范性文件频频出台，不断明确对数据收集、存储、使用、加工、传输各环节的要求，对侵犯数据安全犯罪行为的打击力度也不断加强。对于涉数据业务的企业来说，如果不能把数据合规工作提高到应有的重视程度，那么涉数据业务的刑事风险必将大为增加。

（一）数据安全涉及罪名贯穿企业业务始终

从目前的司法实践及刑法规定来看，企业数据处理业务可能涉及的相关罪名贯穿企业全业务流程，主要包括：侵犯公民个人信息罪；非法侵入计算机信息系统罪；非法获取计算机信息系统数据罪；非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪；破坏计算机信息系统罪；拒不履行信息网络安全管理义务罪；非法利用信息网络罪；帮助信息网络犯罪活动罪；非法采集人类遗传资源、走私人类遗传资源材料罪；掩饰、隐瞒犯罪所得、犯罪所得收益罪等。篇幅所限，对于以上各个罪名基本的法条规定此处不作赘述。

（二）涉数据犯罪的入罪门槛较低

从涉数据类犯罪的立案追诉标准看，入罪的门槛并不高，随着企业业务规模的扩大，一旦合规环节或流程出现问题，在计算机网络普及及用户数量庞大的今天，企业在极短时间内就能够达到刑事犯罪的入罪门槛。

具体而言：

第一，违法所得等入罪数额的追诉标准较低。如非法获取计算机信息系统数据罪、侵犯公民个人信息罪等罪名，违法所得达到5,000元以上就会被认定为“情节严重”，从而达到刑事立案标准。

第二，非法处理数据的数量入罪标准较低。如侵犯公民个人信息罪中，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上即达到入罪标准；拒不履行信息网络安全管理义务罪中，泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上即达到入罪标准。

第三，间接损失计入经济损失，降低了入罪门槛。如关于危害计算机信息系统安全类犯罪造成的经济损失认定标准中，不仅包括给用户直接造成的经济损失，也包括用户为恢复数据、功能而支出的必要费用等间接损失，但用户预期利益的损失不含其中。

第四，犯罪情节认定成为刑事追诉标准的重要补充。在多个罪名的入罪标准中，均包括“其他严重情节”的兜底条款，为司法实践结合个案进行解释预留了空间。

第五，共同犯罪入罪情形具有多样性。如为正犯提供互联网接入、服务器托管、网络存储空间、通讯传输通道、费用结算、交易服务、广告服务、技术培训、技术支持等帮助的，均可能构成共同犯罪。

对于罪名、犯罪行为方式、入罪标准的了解，是企业对现有业务模式评估刑事风险的直观标准，企业及管理者对此应充分重视。

（三）刑事责任对企业及个人都有重大不利影响

从目前已公开的涉数据犯罪的案例来看，企业一旦涉及数据类犯罪而被追究刑事责任，对企业及或直接责任人都有着重大不利的影响，甚至是毁灭性的。

具体而言：

第一，数据类犯罪绝大部分可构成单位犯罪。笔者上述提到的罪名中，除非法采集人类遗传资源、走私人类遗传资源材料罪外，其他罪名均可构成单位犯罪，即需“对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员判处刑罚。”一旦构成单位犯罪，会对企业的形象和声誉造成极大破坏，业务遭受重创或停滞，甚至可能面临清算或破产。

第二，职业禁止和禁止令的宣告会对企业后续数据业务的开展产生重大影响。如对于非法利用信息网络、帮助信息网络犯罪活动等刑事案件，可以根据犯罪情况和预防再犯罪的需要，依法宣告职业禁止；被判处管制、宣告缓刑的，可以根据犯罪情况，依法宣告禁止令。

第三，将直接影响企业的融资、兼并购及上市进程。如果不能及时发现数据处理中存在的合规法律风险并有效整改，一旦涉刑，企业融资、兼并购及上市之路都将停滞，直接责任人员涉刑的，将面临无法担任公司的董事或管理层人员。《公司法》《证券法》及公司上市规定、上市公司再融资等规定对企业涉及刑事犯罪的，甚至在刑事侦查阶段尚未有明确处理结论的企业，都给予了极为慎重的处理态度。甚至上市已过会企业，也会因突发的涉刑问题，而无法完成上市发行，这对企业的打击可以说是毁灭性的，而个人涉刑的，则可能是个人身陷囹圄的困境或职业生涯的终结。

八、企业涉数据业务在不同阶段的表现形式及刑事风险分析

既然涉数据企业的刑事责任贯穿了企业业务的全流程，按照业务所处阶段不同，刑事风险的表现形式也各不相同，企业需要根据自身业务类型的实际情况，通过合规制度及时发现、甄别刑事风险，进而作出及时有效的防范应对。

（一）数据收集阶段

根据《网络安全法》《互联网个人信息安全保护指南》《App违法违规收集使用个人信息行为认定方法》等要求，数据的收集“应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意”。因此，如果通过不当使用爬虫、撞库、App采集等方式进行收集或者从他人处违法获取数据的，则可能引发刑事责任风险。

1、窃取型（未经用户知晓或同意）收集

如果未经被收集者同意或网络运营者授权，或者超出同意、授权的范围，通过非法技术手段在对方不知情的情况下秘密窃取相关数据的，属于“非法获取公民个人信息”和“非法获取计算机信息系统数据”。窃取型收集属于典型的无权收集，直接违反合法、正当的数据收集基本原则，视数据收集的类型及危害程度，可能涉嫌非法获取计算机信息系统数据罪、侵犯公民个人信息罪。

实践中一般表现为行为人通过非法技术手段绕过网络系统身份认证机制等反爬技术措施爬取数据、使用黑客技术侵入非公开网站获取数据、在正规合作中私自在服务器部署恶意采集程序非法收集数据等。

如某公众公司涉嫌大量窃取用户个人信息并非法牟利，最终被司法机关以非法获取计算机信息系统数据罪定罪处罚，且构成单位犯罪，属情节特别严重。该类犯罪行为的表现形式较为多样，以该案例为例，行为人利用互联网非法（在用户不知情的情况下）窃取用户个人信息且数量巨大，其在用户不知情的情况下，在自营平台的粉丝关注群体中非法操控个人账号并强行添加关注，并在与电信运营商合作中，加入非法软件用以清洗流量、获取用户的cookie，最终行为人被认定非法获取计算机信息系统数据罪，判处罚金千万元，责任人多人被判处有期徒刑及罚金等。

2、侵入型收集

从司法实践来看，行为人通过木马程序、后门程序等黑客技术非法侵入计算机信息系统从而获取数据也是非法收集的典型表现之一。此种行为的主要目的仍是非法窃取系统中存储、处理或者传输的数据，同样未获得用户的同意或者授权，本质上也属于无权收集的一种。因此，侵入型收集仍然可能涉嫌上述窃取型的两种犯罪。区别在于，侵入特定计算机信息系统后虽然未获得数据但仍可能涉嫌犯罪。

根据《刑法》第二百八十五条第一款的规定，“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役”。

如根据2019年四川某刑事判决书，被告单位及被告人非法侵入涉及国家事务的“省级智慧工商一体化综合应用系统”，最终被认定为构成非法侵入计算机信息系统罪，且构成单位犯罪。需要说明的是，对于违反国家规定非法侵入上述“三大领域”企图获取数据的，无论最终是否获得数据，仅侵入的行为即已构成犯罪，该罪的成立并不以窃取到数据的结果作为定罪的前提。

3、破坏型收集

一般来说，企业在数据收集过程中的主要动机还是为了获取数据，通常不存在恶意瘫痪、中止、损坏对方计算机系统运行的目的。但是，如果行为手段控制不当，则存在构成破坏计算机信息系统罪的风险。主要行为表现有二：其一，以爬取数据为目的，但持续高频的爬取访问造成服务器过载，进而导致页面加载缓慢或网站不能正常运行，造成严重后果的；其二，虽然计算机系统能够正常运行，但如果对系统中储存、处理或者传输的数据和应用程序进行删除、修改、增加，造成严重后果的。

如2020年上海某刑事判决书显示，被告单位深圳某公司及数名被告人虽未造成某多个品牌的共享出行平台公司的服务器不能正常运行，但其破解后台服务器的安全保护机制，非法增加服务器储存、处理的数据，仍然构成破坏计算机信息系统罪，且属单位犯罪。

4、间接型收集

上述三种方式主要表现为行为人积极主动地直接进行收集，以获取第一手数据资料，但如果违反国家有关规定，通过购买、收受、交换等间接方式获取数据的，同样存在刑事风险，可能构成侵犯公民个人信息罪。《刑法修正案（九）》出台后，将该条文中的“违反国家规定”修改为“违反国家有关规定”，增加的“有关”二字大大拓展了侵犯公民个人信息罪的适用范围，将违法性前提由“违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”，拓展到“违反法律、行政法规、部门规章等国家层面的规定”，从而大大增加了该罪的打击范围。

需要注意的是，即使是为了广告推销、业务拓展等合法经营活动而非法购买、收受相关数据的，同样可能构成此罪。以2020年四川某刑事判决书为例，被告单位广元市某装饰公司虽然是为了公司装修业务的拓宽和发展，但违反国家有关规定，从他人处非法购买公民个人信息，仍然构成侵犯公民个人信息罪，被告单位及其主管人员和其他直接责任人均被处以相应刑罚。

5、禁止型收集

一般而言，企业数据收集的“禁区”主要有两类——商业秘密和人类遗传资源。如果未获得权利人许可，以盗窃、利诱、胁迫或者其他不正当手段获取权利人商业秘密的，可能构成侵犯商业秘密罪；如果未经国务院科学技术主管部门批准，非法采集我国重要遗传家系、特定地区人类遗传资源或者非法采集国务院科学技术主管部门规定的种类、数量的人类遗传资源的，则可能构成非法采集人类遗传资源罪。

如2022年4月，最高人民检察院发布的《保护知识产权服务保障创新驱动发展典型案例》显示，被告人蔡某于明知他人违规从某公司内部网盘下载了有关商品的价格信息和库存信息等数据，仍然付费购买，并在其经营的微信小程序上使用，同时收取相应会员费进而获利。最终，人民法院以侵犯商业秘密罪判处被告人蔡某有期徒刑8个月，并处罚金人民币96万元。

（二）数据储存阶段

对于企业合法采集或取得的数据，应当建立严格的数据保护制度，避免数据外泄造成严重后果。《刑法》第二百八十六条之一规定，网络服务提供者如果拒不履行信息网络安全管理义务，致使出现违法信息大量传播、用户信息泄露、刑事案件证据灭失等严重情节或造成严重后果的，可能构成拒不履行信息网络安全管理义务罪。此外，多次拒不履行信息网络安全管理义务依法应当追诉的，或者二年内多次实施前述行为未经处理的，数量或者数额要累计计算。

如2021年4月，北京某通信技术公司在明知山东某代理公司违规大量贩卖电话卡、使用电话卡从事违法犯罪活动的情况下，仍拒不履行网络管理义务，继续大量提供电话卡并开通高级权限，客观上为下游犯罪提供了便利。最终，法院对责任人以拒不履行信息网络安全管理义务罪判处相应刑罚，这也是我国电信运营商因拒不履行此类义务而被追究刑事责任的首例。

（三）数据使用阶段

一般来说，如果企业仅是对合法收集的数据进行挖掘，分析总结数据背后行业或市场规律，帮助企业实现商业价值，或以此为客户提供商业咨询和投资建议的，并不涉及违法犯罪。但是如果直接利用数据实施电信诈骗等犯罪活动的，或者明知他人实施此类犯罪活动但仍提供数据支持的，则极有可能被认定为相应的刑事犯罪。

如2019年11月，公安部通报的全国公安机关“净网2019”专项行动典型案例显示，杭州某数据公司利用其获取的公民个人信息为互联网放贷机构提供风险测评，因相关机构涉嫌“套路贷”违法犯罪行为导致该公司涉案。案发后，该公司全部关停了有关业务。

（四）数据流转阶段

1、公民个人信息

公民个人信息的交易和流转并不绝对禁止，但前提是要得到被收集者的同意。根据《刑法》二百五十三条之一的规定，“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的”，可能涉嫌侵犯公民个人信息罪。这里要说明两点：第一，通过信息网络或者其他途径发布公民个人信息，会被认定为属于向不特定多数人的“提供”，这种“发布”行为仍然涉嫌违法犯罪；第二，虽然经匿名化处理后剔除个人关联的信息不再属于“非法提供”，但是否可以通过技术手段重新整合识别、是否该匿名化处理完全不能复原仍需根据个案具体的证据情况进一步判断，不能完全排除刑事风险。因此目前的数据安全技术指南中普遍强调数据的“泛化”“模糊”处理，如按照GB/T 37964-2019等标准去标识化操作等，泛化敏感信息后，将部分信息组合后覆盖人群达到2万人以上作为具体的模糊处理标准等，避免数据信息流转中“形式上的匿名化”造成个人信息泄露的风险。

以2018年山东某刑事判决书为例，某公众公司因大量出售公民个人信息而被人民法院认定构成侵犯公民个人信息罪，虽然公诉机关未以单位犯罪起诉，但人民法院依然按照“单位犯罪中直接负责的主管人员和其他直接责任人员”追究了公司责任人的刑事责任。

2、非法获取的计算机信息系统数据

根据两高联合发布的《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第七条规定，“明知是非法获取计算机信息系统数据犯罪所获取的数据……，而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得5千元以上的，……以掩饰、隐瞒犯罪所得罪定罪处罚”。此外，如果违法所得达到5万元以上，即达到跨档量刑“情节严重”的标准，可处三年以上七年以下有期徒刑，并处罚金。

3、人类遗传资源

为维护国家安全和生物安全，防范遗传资源数据出境引发的生物威胁，2021年施行的《刑法修正案（十一）》增设了走私人类遗传资源材料罪。根据《刑法》三百三十四条之一的规定，“……非法运送、邮寄、携带我国人类遗传资源材料出境，危害公众健康或者社会公共利益，情节严重的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

2018年10月，科技部曾公开有关人类遗传资源案件行政处罚的信息，其中便包括三家上市公司及三家知名机构涉及的人类遗传资源数据违规出境问题。自2021年3月《刑法修正案（十一）》施行后，此类行为已纳入刑事处罚的范围，应引起关注。

4、知识产权数据

对于商业秘密和他人享有著作权的作品，如果企业在未经权利人或著作权人许可的情况下，通过非法爬取或者DNS 劫持、DHCP 钓鱼等黑客手段获取相关数据后，实施向他人披露转让、公开销售、通过信息网络传播等行为的，则可能涉嫌侵犯商业秘密罪、侵犯著作权罪等知识产权类犯罪。

以2019年上海某刑事判决书为例，被告人受境外人员委托，在未经著作权人许可的情况下，通过下载转化数据格式或通过云盘分享等方式获取国内放映的热映影视作品片源，在云转码服务器上生成链接，后将链接转发至盗版影视资源网站并从中获利。最终，人民法院认定数名被告人均构成侵犯著作权罪，分别判处有期徒刑10个月到4年6个月不等，并处罚金。

综上，笔者从刑法中部分罪名演变及刑事犯罪行为认定标准出发，结合近年来的多个刑事判例，介绍了目前认定涉数据犯罪刑事责任的主要犯罪类型及违法行为的表现形式，整体来说刑事犯罪贯穿企业的经营业务始终，且入刑的门槛对一家发展中的数据型企业来说是较低的。涉数据经营的企业和经营者在数据合规方面都需要引起足够重视，投入足够的精力，建立企业的数据安全保护及合规制度，及时发现和防范刑事风险，保持企业的健康、稳健发展。

结语

本系列文章通过对涉及数据企业在数据采集、数据交易及使用、安全管理及防范数据泄露、数据出境以及刑事责任及犯罪行为表现形式等角度，试图全面展现在目前数据安全法律法规要求不断变化和趋严状态下企业的合规思路和合规要点。结合目前上市问询案例、刑事判决案例等，总结分析了目前外部审核、监管机构、司法机关对企业在数据安全运营方面的关注态度，为企业在以数据为核心运营资源的各个关键节点的合规思路做以参考，以期对企业的数据业务合规工作有所助益。