联系电话:028-86117350
公司地址:四川省 成都市 武侯区天府二街266号富润国际广场10楼
COPYRIGHT © 2020 四川省国有资产投资管理有限责任公司 ALL RIGHTS RESERVED 蜀ICP备2021003084号
警钟长鸣
The alarm bell rings
企业合规典型案例(第三批) ——最高人民检察院发布(2022年7月21日))(上)
返回列表 发布日期:2022/12/06 浏览:
案例一
上海Z公司、陈某某等人
非法获取计算机信息系统数据案
【关键词】
数据合规 监督评估有效性 云听证 行业治理
【要旨】
检察机关针对互联网科创企业的数据合规漏洞,深入开展社会调查,积极引导涉案企业开展数据合规。综合考虑涉案企业行业属性、技术行为合规规则,组建独立、专业的第三方组织,提升涉案企业数据合规监督评估有效性。能动创新优化合规考察模式,在疫情期间灵活运用智慧检务开展“云听证”,兼顾办案的公开与效率,助力复工复产。多措并举推动行业治理,促进互联网行业建立健全数据合规经营体系,助力构建健康清朗的网络生态环境。
一、基本案情
上海Z网络科技有限公司(以下简称“Z公司”)成立于2016年1月,系一家为本地商户提供数字化转型服务的互联网大数据公司。Z公司现有员工1000余人,年纳税总额1000余万元,已帮助2万余家商户完成数字化转型,拥有计算机软件著作权10余件,2020年被评定为高新技术企业。被不起诉人陈某某、汤某某、王某某等人分别系该公司首席技术官、核心技术人员。
2019年至2020年,在未经上海E信息科技有限公司(以下简称“E公司”,系国内特大型美食外卖平台企业)授权许可的情况下,Z公司为了以提供超范围数据服务吸引更多的客户,由公司首席技术官陈某某指使汤某某等多名公司技术人员,通过“外爬”“内爬”等爬虫程序(按照一定的规则,在网上自动抓取数据的程序),非法获取E公司运营的外卖平台(以下简称“E平台”)数据。其中,汤某某技术团队实施“外爬”,以非法技术手段,或利用E平台网页漏洞,突破、绕开E公司设置的IP限制、验证码验证等网络安全措施,通过爬虫程序大量获取E公司存储的店铺信息等数据。王某某技术团队实施“内爬”,利用掌握的登录E平台商户端的账号、密码及自行设计的浏览器插件,违反E平台商户端协议,通过爬虫程序大量获取E公司存储的订单信息等数据。上述行为造成E公司存储的具有巨大商业价值的海量商户信息被非法获取,同时造成E公司流量成本增加,直接经济损失人民币4万余元。
案发后,Z公司、陈某某等人均认罪认罚,Z公司积极赔偿被害单位经济损失并取得谅解。2020年8月14日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪提请上海市普陀区检察院审查逮捕。8月21日,普陀区检察院经审查认为,陈某某等人不具有法律规定的社会危险性,依法决定不批准逮捕。2021年6月25日,上海市公安局普陀分局以陈某某等人涉嫌非法获取计算机信息系统数据罪移送普陀区检察院审查起诉。2022年5月,普陀区检察院依法对犯罪嫌疑单位Z公司、犯罪嫌疑人陈某某等14人作出不起诉决定。
二、企业合规整改情况及效果
一是介入侦查,把准案件定性。因本案罪名涉及专业领域、作案手法复杂,侦查之初,普陀区检察院即应公安机关邀请介入侦查,引导取证,明确鉴定方向。一方面,引导公安机关固定Z公司爬虫程序、云服务器电子数据,以查清爬虫的运行模式、被爬取的数据属性等关键事实并加以鉴定。同时,走访被害企业,深入核实被害企业数据防护措施、直接经济损失等,为认定案件事实补充完善证据链条。另一方面,引导公安机关在讯问时关注作案动机、Z公司现状及发展前景等与企业合规相关的问题,督促Z公司积极赔偿被害企业损失,消除影响,同时会同执法司法机关、监管部门、专家学者,围绕爬虫的技术原理、合法性边界、法律适用及数据合规重点、难点,深入开展研讨交流,为案件定性、开展企业合规整改奠定工作基础。
二是认真审查,启动合规考察。案件移送审查起诉后,普陀区检察院经实地走访Z公司查看经营现状以及会同监管部门研商公司运营情况发现,Z公司管理层及员工存在重技术开发、轻数据合规等问题,此次爬取数据出于自身拓展业务的动机,未进行二次售卖。考虑到Z公司系成长型科创企业,陈某某等14名涉案人员均认罪认罚,积极赔偿E公司经济损失并取得谅解,Z公司合规整改意愿强烈,提交了《适用刑事合规不起诉申请书》及企业经营情况、社会贡献度等书面证明材料,检察机关经审查对Z公司作出合规考察决定。
三是因案制宜,围绕数据合规专项计划精准“开方”,对涉案企业开展专业第三方监督评估。经走访座谈、办案调研,普陀区检察院发现,Z公司存在管理盲区、制度空白、技术滥用等合规风险,遂向Z公司制发《合规检察建议书》,从数据合规管理、数据风险识别、评估与处理、数据合规运行与保障等方面提出整改建议。Z公司积极整改,并聘请法律顾问制定数据合规专项整改计划。同时,鉴于开展数据合规的专业性要求较高,本案第三方组织吸纳网信办、知名互联网安全企业、产业促进社会组织等的专家成员,通过询问谈话、走访调查、审查资料、召开培训会等形式,全程监督Z公司数据合规整改工作。第一,数据来源合规。Z公司与E公司达成合规数据交互约定,彻底销毁相关爬虫程序及源代码,对非法获取的涉案数据进行无害化处理,并与E平台API数据接口直连,实现数据来源合法化。第二,数据安全合规。Z公司设立数据安全官,专项负责数据安全及个人信息安全保护工作;构建数据安全管理体系,制定、落实《数据分类分级管理制度》《员工安全管理等级》;加入区级态势感知平台,提升安全威胁的识别、响应处置能力,分拆服务,提高云访问权限,数据及时脱敏、加密,增强网络攻击防护能力。第三,数据管理制度合规。Z公司建立数据合规委员会,制定常态化合规管理制度,开展合规年度报告。
四是“云听证”,确保监督评估考察公正透明。三个月考察期限届满,第三方组织评估认为,涉案企业与个人积极进行合规整改,建立合规组织、完善制度规范、提升技术能级,已完成数据合规建设的整改措施。2022年2月,评定Z公司合规整改合格。普陀区检察院通过听取汇报、现场验收、公开评议等方式对监督考察结果予以充分审查。为保障涉案企业及时复工复产,同年4月28日,普陀区检察院因应疫情开展“云听证”,邀请全国人大代表、人民监督员、侦查机关、第三方组织、被害单位等线上参加或旁听。经评议,参与听证各方一致同意对涉案人员作出不起诉决定。同年5月10日,检察机关经审查后认为,因本案犯罪情节轻微,Z公司及犯罪嫌疑人具有坦白、认罪认罚等法定从宽处罚情节,积极退赔被害企业损失并取得谅解,系初犯,主观恶性小,社会危害性不大,且Z公司合规整改经第三方考察评估合格,依法对Z公司、陈某某等人分别作出不起诉决定。
五是企业合规整改见实效、显长效。为确保企业将数据合规内化为长效机制,根据检察机关不定期回访工作了解,Z公司认真落实合规整改,与E平台达成数据交互合作,通过API数据接口直连,合法合规获取平台数据。同时,Z公司将其与E平台的合作模式进行复制、移植,与3家大型互联网企业达成数据合作。Z公司通过扎实开展企业合规,建立健全数据合规长效机制,公司实现稳步发展,分支机构在全国覆盖面进一步扩大,员工人数比2020年底增加400余人,2021年度全年营收2亿余元,纳税总额1700余万元。
三、典型意义
1.合规准备工作前移,积极推动侦查过程中合规准备工作,为审查起诉阶段的合规监督考察奠定基础。本案中检察机关积极利用提前介入侦查,引导公安机关收集合规信息与材料,为后续合规工作的高效开展奠定坚实基础。对于挽救企业而言,早合规优于晚合规,检察机关应当与侦查机关密切配合、相向而行,综合运用好介入侦查引导取证、审查逮捕、强制性措施适用等法定职权,把促进合规的工作做在前面,推动合规改革释放出最优效果。
2.组建专业化第三方组织,提升涉案企业数据合规监督评估的有效性。检察机关立足区域内互联网产业集聚特点,推动设立涉互联网第三方专业人员名录库。针对涉及“网络爬虫”等数据合规专业领域情况,检察机关经社会调查认定涉案企业符合企业合规第三方机制适用条件,商请第三方机制管委会从专类名录库中抽取了由互联网行业管理部门、行业龙头企业和专业协会人员组成的第三方组织,为第三方机制运转提供专业性、公正性、协同性支撑。检察机关依托第三方组织的专业优势,以召开评估工作现场会的形式对涉案企业合规计划的可信性、有效性与全面性进行充分审查,围绕案件反映的数据获取问题开展“因罪施救”“因案明规”,督促涉案企业构建有效的数据合规整改体系,做到“真合身”“真管用”。
3.能动履职强化审查把关,多措并举保障企业有效推进合规整改。本案中,检察机关在依法适用第三方机制的基础上,一是强化主导责任,因案制宜加强合规考察的审查把关,主动听取第三方组织对企业合规整改的考察情况,协调有关行政机关将涉案企业纳入监测平台,统筹数据专项合规与全面合规,确保企业合规整改措施全方位落实落细,避免出现“纸面合规”“形式合规”。二是延伸合规激励,秉持惩治与挽救并重,加强检企沟通对接,充分听取被害企业意见,积极推动双方企业实现和解,促成涉案企业与数据来源方达成合规数据交互协议,确保数据来源的合法化,最大限度维护涉案企业正常生产经营。三是深化科技赋能,立足疫情防控常态化下的办案要求,通过“云听证”审查方式兼顾办案公开与效率,召开由全国人大代表、第三方组织、涉案企业参加的线上座谈,听取各方意见,延伸办案效果,实现线上线下对接、场内场外联动,以公开促公正赢公信。
4.由点及面推动行业治理,助力构建健康清朗的网络生态环境。推动网络空间法治化治理,促进互联网企业守法经营,是检察机关依法能动履职、促进诉源治理肩负的重要责任。数字化转型背景下衍生出的数据侵权、网络犯罪问题,亟需规范引导以保障数字经济高质量发展。本案中,涉案企业与被害企业均为大型互联网科创企业,普陀区检察院深化社会综合治理,依法打击网络灰黑产业链的同时,推动促进互联网行业建立数据合规经营体系。一方面,通过案件办理、检察建议、法治宣传等方式,深入涉案企业所在园区引导广大互联网企业树立数据合规意识,从源头防止再次发生类似违法犯罪。另一方面,以“我管”促“都管”助力营造企业合规文化,推动区政府相关部门、司法机关及30余家区内互联网企业深入落实《普陀区互联网企业合规共识框架》,发布《互联网企业常见刑事法律风险防控提示》,为企业风险防范、合规经营提供法律支持,努力实现“办理一个案件、形成一个合规标准、规范一个行业”的良好效果。
案例二
王某某泄露内幕信息、金某某内幕交易案
【关键词】
信息保密合规 证券犯罪 检察建议 第三方监督评估 量化式评估
【要旨】
办理民营企业高管涉证券犯罪案件,要兼顾惩罚个人犯罪和保障民营企业合法权益、激励民营企业合规建设的双重目标。积极适用第三方监督评估机制开展企业合规工作,突出检察机关在合规工作中的全流程主导作用,探索实践“检察建议宏观把控+检察主导第三方考察+检察听证事后监督”的企业合规路径。发挥第三方监督评估组织在引导监督涉案企业落实落细合规计划中的专业化作用,以量化式评估验收标准助推企业合规工作取得实效。
一、基本案情
广东K电子科技股份有限公司(以下简称“K公司”)长期从事汽车电子产品研发制造,连续多年获国家火炬计划重点高新技术企业称号,创设国家级驰名商标,取得700余项专利及软件著作权,2018年开始打造占地30万平方米、可容纳300余家企业的产业园,已被认定为国家级科技企业孵化器。被告人王某某系K公司副总经理、董事会秘书。
2016年12月,K公司拟向深圳市C科技股份有限公司(以下简称“C公司”)出售全资子公司。2017年1月15日,K公司实际控制人卢某某与C公司时任总经理张某某达成合作意向。同年2月9日,双方正式签署《收购意向协议》,同日下午C公司向深交所进行报备,于次日开始停牌。同年4月7日,C公司发布复牌公告,宣布与K公司终止资产重组。经中国证券监督管理委员会认定,上述收购事项在公开前属于内幕信息,内幕信息敏感期为2017年1月15日至4月7日。被告人王某某作为K公司董事会秘书,自动议开始知悉重组计划,参与重组事项,系内幕信息的知情人员。
2016年12月和2017年2月9日,被告人王某某两次向其好友被告人金某某泄露重组计划和时间进程。被告人金某某获取内幕信息后,为非法获利,于2017年2月9日紧急筹集资金,使用本人证券账户买入C公司股票8.37万股,成交金额人民币411万余元,复牌后陆续卖出,金某某亏损合计人民币50余万元。
2021年8月10日,北京市公安局以王某某、金某某涉嫌内幕交易罪向北京市检察院第二分院(以下简称“市检二分院”)移送审查起诉。审查起诉期间,市检二分院对K公司开展企业合规工作,合规考察结束后结合犯罪事实和企业合规整改情况对被告人提出有期徒刑二年至二年半,适用缓刑,并处罚金的量刑建议,与二被告人签署认罪认罚具结书。2021年12月30日,市检二分院以泄露内幕信息罪、内幕交易罪分别对王某某、金某某提起公诉。2022年1月28日,北京市第二中级法院作出一审判决,认可检察机关指控事实和罪名,认为检察机关开展的合规工作有利于促进企业合法守规经营,优化营商环境,可在量刑时酌情考虑,采纳市检二分院提出的量刑建议,以泄露内幕信息罪判处王某某有期徒刑二年,缓刑二年,并处罚金人民币十万元,以内幕交易罪判处金某某有期徒刑二年,缓刑二年,并处罚金人民币二十万元。
二、企业合规整改情况及效果
一是强化事先审查,确保个人犯罪中企业合规开展必要性。案件办理期间,K公司提出王某某被羁押造成公司业务陷入停滞,主动作出合规经营承诺。市检二分院向K公司负责人、投资人及合作伙伴多方核实,调取企业项目资质、决策会议记录等证明材料,了解到K公司正处于从生产制造模式向产融运营模式转型的关键阶段,王某某长期负责战略规划、投融资等工作,因其羁押已造成多个投融资和招商项目搁浅,导致涉十亿元投资的产业园项目停滞,王某某对企业当下正常经营和持续发展确有重要作用。市检二分院综合考虑犯罪情节、案件查证情况及王某某认罪认罚意愿,及时回应企业需求,变更王某某强制措施为取保候审。同时,鉴于K公司具有良好发展前景,且有合规建设意愿,检察机关经审查评估犯罪行为危害、个人态度、履职影响及整改必要性等因素,于2021年9月8日启动企业合规工作。
二是找准合规风险点,精准提出检察建议。市检二分院结合案件审查情况,在K公司保密制度缺失、人员保密意识淡薄等表象问题外,挖掘出治理结构风险、经营决策风险、制度运行漏洞以及外部关联公司风险等多项深层次合规风险,为制发精准有效的合规整改检察建议奠定基础。2021年10月11日,针对投资参股型企业经营特点,检察机关向K公司制发检察建议书,建议K公司及其必要的关联公司、子公司共同整改,同步建立资本运作信息保密专项制度,并通过调整治理结构、配备责任主体、规范工作程序、加强员工培训等管控措施保障制度落实。
三是及时启动第三方监督评估机制,监督引导企业进行专项整改。为进一步实现检察建议具体化、可行化和专业化落地,确保企业合规整改取得实效,市检二分院决定适用第三方监督评估机制,监督、引导涉案企业进行合规整改。第三方组织对照检察建议,在尽职调查基础上,根据股权控制关系、业务关联程度、管理层交叉任职情况等因素筛选出三家重要子公司同步参加整改,以合规风险自查清单形式引导企业逐员、逐部门排查合规风险点并作出具体整改承诺,以监管清单形式对企业合规计划提出专业性意见。在第三方组织监督、引导下,K公司制定了涵盖组织体系、保密对象、制度重建、运行保障、意识文化以及主体延伸等多个层面的信息保密专项合规计划,并聘请专业合规团队辅导公司逐项完成,规范配置经营决策权,建立体系化信息保密管理和考核制度,新设合规管理责任部门,实现合规管理流程全覆盖,组织开展了辐射内部员工、关联公司以及产业园区企业的专项培训。
四是注重多措并施,确保合规审查结果科学公正。2021年12月20日,经过两个月合规考察,第三方组织参照检察建议和相关合规指引对K公司整改情况进行评价。针对此次专项合规整改特点,量身定制了包括检察建议完成情况、合规方案、合规文化培育等12个模块65项评价要素的评价体系,将企业合规整改工作逐项拆解评分,再累加汇总,最终第三方组织认为K公司整改效果达到良好等级,并出具了合规考察报告。2021年12月23日,市检二分院邀请多位合规领域专家学者作为听证员举行听证会进行公开验收,听证员认真听取合规工作各参与主体介绍涉案企业整改情况,追问评估考察方式、合规责任主体、合规经费投入等细节问题,并在经过闭门评议后发表听证意见,一致同意通过K公司合规整改验收。
2022年5月,K公司完成整改以来,产业园项目已顺利竣工等待验收,王某某主导的约2000万投资和基金项目均已按照新规章制度稳步推进。
三、典型意义
1.积极稳妥探索可能判处较重刑罚案件适用合规改革的全流程办案机制。本案中犯罪嫌疑人可能判处三年以上有期徒刑,但在涉案企业的经营活动中具有难以替代的作用,简单化起诉、判刑不利于涉案企业正常经营发展,且企业具有强烈的合规意愿。检察机关在侦查、起诉与审判三个主要程序环节上均充分利用了合规工作的有效措施,通过在侦查程序中慎重采取强制措施、在审查起诉环节督促开展专项合规整改、起诉后基于合规整改情况提出宽缓的量刑建议,融通了三个主要程序环节中的合规工作,对可能判处较重刑罚案件如何适用合规改革作出有益探索。
2.充分发挥检察职能优势,探索检察机关全流程主导的合规路径。检察机关多措并举进行合理安排、科学衔接、有效配置,积极实践“检察建议宏观把控+检察主导第三方考察+检察听证事后监督”的企业合规路径。一方面借助案件审查和检察建议调查程序,深入挖掘犯罪成因,避免“头痛医头,脚痛医脚”式合规;另一方面积极推动检察建议与第三方监督评估相互融通,并通过第三方组织《工作周报》《定期书面报告》等联系机制动态掌握整改进程,及时解决整改问题;此外,在整改结束后向第三方组织和专家学者借智借力,以第三方组织量化式评估验收确保评价体系公开透明,以公开听证展示合规依法公正。
3.因案施治,依托专项合规推动民营企业完善法人治理结构。本案虽是针对泄露内幕信息和内幕交易犯罪案件开展的专项合规,但检察机关发现并通过第三方组织调查了解到,K公司存在家族式治理、关键人控制、实际决策人与职权分离等民营企业常见的内控失调现象,如脱离个案的特殊情况片面开展专项合规势必不能取得良好效果。为此,检察机关决定以内幕信息保密合规为契机,推动涉案企业向现代企业法人治理结构积极转变,为企业的健康发展打牢法治根基。
4.依托涉案企业合规改革试点,强化资本市场非上市公司内幕信息保密合规管理,涵养资本市场法治生态。资本市场是信息市场加信心市场,健全内幕信息保密合规管理,是提振投资信心的重要体现。但内幕交易案件暴露出,企业内幕信息保密管理缺失会引起内幕信息泄密风险,诱发内幕交易,在扰乱证券市场秩序的同时,侵害了广大投资者的合法权益。尤其是作为上市公司交易对方的非上市公司,在行政监管相对薄弱的情况下,更应该加强自身合规管理。该案作为全国首例开展涉案企业合规工作的证券犯罪案件,检察机关坚持惩治犯罪与助力维护资本市场秩序并重,依托涉案企业合规改革积极推动资本市场非上市公司更新合规理念,对标上市公司健全自身合规管理体系,培养全链条合规意识,将外部监管类规定内化为自律合规要求,提高资本运作规范化水平,助力营造资本市场良好法治环境。