刑民交叉视角下企业与高管涉数据法律责任的界定与风险管理策略

 

2、企业的高管在数据合规中的核心职责[3]

1）资源保障与条件支持：高管应为企业数据合规管理制度体系的建构和运行提供必要的资源保障和条件支持，确保合规管理制度体系有效运转并持续改进。

 

2）确立并执行合规方针与目标：高管需要确立数据合规方针和合规目标，并确保企业战略方向与合规方针和目标保持一致。这有助于企业合规经营，避免后续合规动作导致成本的增加。

 

3）保障合规管理部门或人员的独立性：日常经营中高管需要保障数据合规管理部门具备独立履行职责的能力与权限。保障相关人员在处理涉及合规风险的事项时，避免其受到其他业务部门的烦扰或者影响，从而确保客观、公正的履职环境。

 

4）把控数据合规风险：审批企业重大数据合规事项，确保风险可控。

 

5）将合规要求融入业务过程：确保将数据合规管理要求融入企业的业务过程，使合规要求成为企业日常经营的部分而不是额外的负担。例如，对于大模型应用的企业来说，算法备案要求是企业选择底座模型和构建应用时就要优先考虑的。将合规要求融入业务不仅能够确保企业的合规运营，也能避免因未履行算法合规义务导致后续整改动作增加成本或影响相关业务的进展。

 

6）制度建设及文化培育：确保建立有效的数据违规举报与惩处机制，并引导培育企业数据合规自主性，促成数据合规企业文化。

 

7）法律责任：高管作为直接负责的主管人员，如果不履行数据安全保护义务，可能面临相应的法律后果。

 

三、企业与高管的涉数据刑事风险、行政处罚及民事责任

 

全球范围内，数据立法和执法活动日趋活跃，各国和地区纷纷出台相关法律法规，不仅明确了数据处理企业的责任，还对企业高管及直接责任人员的法律义务和责任进行了规定。在中国大陆，随着数据保护法律体系的逐步完善，企业及高管在数据管理中承担重要的法律义务与责任。这些责任涉及刑事、行政和民事领域，贯穿数据保护的全生命周期。

 

（一）刑事责任

企业及高管在日常经营及交易活动中，应高度重视因网络安全和数据合规问题引发的刑事风险。在司法实践中，涉及网络安全与数据合规的常见罪名包括：

 

 

（二）行政责任

根据《数据安全法》《个人信息保护法》《网络安全法》《信息安全技术个人信息安全规范（GB/T 35273-2020）》等法律法规及标准，企业及高管未履行数据安全保护义务、数据出境合规义务等数据管理义务，将面临严厉且多层次的行政处罚措施。具体措施包括：责令改正、给予警告；对企业及其直接负责的主管人员和其他直接责任人罚款；并可以进一步采取措施如责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照；在某些情况下还可能对责任人采取行政拘留等强制措施。

 

（三）民事责任

企业如果未能构建完善的网络安全与数据合规体系，或在涉及网络安全与数据管理的项目中未采取合规的生产经营方式，可能因此给第三方造成损害，并需依法承担相应的民事责任。

 

对于企业而言，如果企业未能构建起全面且有效的数据合规体系，或者在生产经营中未能履行法律、法规及合同的要求，可能面临着合同违约、数据侵权以及不正当竞争等民事法律风险。

 

对于董监高而言，根据《公司法》的相关规定，在履职过程中如因职务行为造成的公司或/及第三人的损害，他们可能面临以下民事法律风险：

• 违反忠实与勤勉义务：如果董监高未能有效监督或管理企业的数据合规工作，违反忠实与勤勉义务，导致公司因数据违规而遭受损失或承担法律责任，可能被股东或公司起诉要求赔偿损失。

 

• 连带责任：如果董监高在决策或管理过程中直接参与或明知违规行为而未采取合理措施，导致数据合规问题，可能会与公司一起承担连带民事责任。

 

• 股东或第三方诉讼：如果数据合规问题导致公司股东或第三方的权益受损，董监高可能面临股东或受损方的诉讼，要求其对未能履行职责承担赔偿责任。

 

• 公司内的追偿权：在公司因数据违规承担赔偿责任后，公司可以对未履行合规管理职责的董监高追偿，要求他们对公司的损失部分或全部负责。

 

数据合规不仅仅是要保护数据安全和个人信息安全，同时也要关注网络安全。《网络数据安全管理条例》（《条例》）将于2025年1月1日生效，《条例》的出台体现了我国在网络数据安全管理方面的决心和力度。其中第七章“监督管理”、第八章“法律责任”部分对于网络数据行为的监督管理与相关法律责任作出了较为详细规定。《条例》通过宽严相济的立法标准，也对违法者的主动纠错、违法情节轻微等作出了从轻处罚的规定。具体执法的标准将在实践中逐渐明晰。

 

此外，值得注意的是，对于单位行为的责任人员范围不仅局限于企业的高级管理层，还涵盖数据安全负责人、直接负责的主管人员以及其他与数据管理相关的员工。在数据安全和合规问题上，所有参与数据处理、管理和保护的人员都有责任确保合规运营，未履行职责的相关人员可能面临行政、民事甚至刑事责任。

 

四、企业涉数据的法律风险管理

 

如前所述，在数据合规管理中，企业高管不仅承担着数据合规义务，还可能涉及着数据安全和数据管理不当导致的法律风险。

 

企业开展数据合规管理是提高企业数据合规意识，提高数据保护水平，降低企业、高管及其员工涉数据类法律责任的重要举措。企业可以通过建立完善的数据合规管理体系，有效识别、预防或者减轻数据安全风险。[10]规范的合规管理流程，一定程度上也可以隔离或减轻高管及相关员工的法律责任。

 

1. 规范数据合规体系建设

具体而言，在数据合规管理中，企业可以以数据种类（如一般经营信息、个人信息、重要数据、核心数据等）为基础，结合法律、法规、法规、国家标准，制定详细的合规策略。通过对不同类型数据的分类管理，可以确保每类数据的处理流程符合相应的法规要求。

 

2. 覆盖数据全生命周期

企业需结合数据的全生命周期，覆盖从数据采集、存储、处理、共享到销毁的各个环节，确保在每个阶段都符合法律要求。

 

3. 贴合行业及企业具体情况

在细分行业领域中，不同行业的数据合规要求有所差异，例如汽车、金融、医疗、互联网行业各有其特定的合规标准。因此，企业应当根据其所处行业的法规要求，考虑到行业的特殊性及企业的业务模式，细化合规方案，确保从数据生命周期的每一环节都有相应的管理措施和合规指引。

 

4. 职能分配

此外，企业在数据合规责任的分配上，建议将责任落实到具体的个人或部门，确保每项任务都分解到具体的执行单位和责任人。通过明确的数据合规责任链，可以确保每个员工、每个部门都能理解并遵守相应的法律义务，形成完整的合规管理体系，最大限度降低数据违规的风险。

 

5.定期培训并留痕

通过培训提高员工的数据合规意识，形成完整的合规管理体系。同时注意对培训进行留痕。

 

6. 利用第三方评估实现尽职免责目的

聘请专业的第三方机构建设数据合规体系，并对相关工作进行评估，确保数据的合规性和安全性。

 

五、结论

 

随着中国数据保护法律体系的逐步完善，企业及“高管”在数据管理中的法律责任显著增加。无论是刑事、行政还是民事责任，都要求企业必须严格遵守相关法律法规，建立健全的数据安全管理制度，以避免因违规而引发的法律风险。高管对企业的数据安全和隐私保护工作承担直接的领导责任，需要确保公司在处理数据时符合相关法律的规定，从而规避因数据不合规而引发个人承担法律风险。

[1]    《隐秘的测绘 秘密的泄露》，微信公众平台，链接：https://mp.weixin.qq.com/s/R7d0-O3mbDndUIyfl5p6lg，访问日期：2024年10月18日。