前言

毋庸置疑，我们早已步入数字化时代，人际交往、经济运行、文化传播，乃至政务管理均在很大程度上承载于各类信息网络平台之上。由此，对于网络运营者及数据/个人信息处理者而言，其所开展的运营、处理活动不仅关乎自身经营的合法、合规，更关乎国家安全、社会公共利益，以及公民、法人和其他组织的合法权益。

随着《网络安全法》《数据安全法》及《个人信息保护法》的颁行实施，围绕网络运营及数据/个人信息处理的规范体系日趋完善，相关规则与刑事法律的衔接将有助于我们进一步识别、掌握相关企业在这一领域所面临的刑事合规问题。

据此，本文拟在规则梳理及案例整合的基础上，就网络、数据安全及个人信息保护的刑事合规事宜提出些许思考及建议，希望能够为相关企业的合规管理提供一定的参考和帮助。

一、网络、数据安全及个人信息保护的刑事合规主体：互联网企业

根据《网络安全法》《数据安全法》及《个人信息保护法》的相关规定可知，网络、数据安全及个人信息保护的主要义务主体如下：

1.网络运营者：是指网络的所有者、管理者和网络服务提供者。[1]

2.数据处理者：是指从事包括数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动的主体。[2]

3.个人信息处理者：是指在个人信息处理活动（即包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等活动）中自主决定处理目的、处理方式的组织、个人。[3]

需要说明的是，上述三者并非泾渭分明，而是一种“你中有我，我中有你”的关系。其中，网络运营者在提供网络服务过程中会涉及对用户信息（公民个人信息）及相关数据的处理，而数据处理者及个人信息处理者则均将合法、正当、必要和诚实信用原则奉为圭臬。此外，对于技术措施的倚赖，对安全管理义务的遵守，以及对个人信息的保护更是三者共同遵循的基本要求。

实践中，作为市场主体，上述三者主要集中在互联网企业这一范畴之内，诸如我们熟知的百度、腾讯、阿里、新浪、B站、携程等均属此类企业。与此同时，互联网企业涉及网络、数据安全及个人信息保护的诉讼纠纷也较为多发，其中更不乏一些经典案例。

有鉴于此，本文拟将互联网企业作为网络、数据安全及个人信息保护的刑事合规主体，并在这一前提下就相关合规管理问题展开论述及探讨。

二、互联网企业刑事合规风险的集中体现：信息网络犯罪案件及罪名梳理

企业涉刑是企业刑事合规风险的集中呈现。因此，对于不同类型企业所面临的刑事合规风险，往往需要通过相关企业可能涉及的刑事案件进行判断。具体到互联网企业，涉及网络、数据安全及个人信息保护的刑事合规风险往往体现在信息网络犯罪案件之中。

根据最高人民法院、最高人民检察院、公安部《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》（法发[2022]23号）相关规定可知，信息网络犯罪案件主要包括：

1.危害计算机信息系统安全犯罪案件；

2.拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动的犯罪案件；

3.主要行为通过信息网络实施的诈骗、赌博、侵犯公民个人信息等其他犯罪。

根据刑法条文规定，结合刑事审判实践，上述三类刑事案件所涉及的主要罪名如下表所示：

如表所示，在现行刑事法律框架下，上述罪名基本涵盖了互联网企业在网络、数据安全及个人信息保护方面可能遭遇的主要刑事合规风险。

需要说明的是，上述罪名及刑事案件所体现的刑事合规风险在内容及成因上存在区别，这种区别也决定了互联网企业在其刑事合规管理中应当针对不同的风险情况采取与之对应的管理措施。

下面，我们从案件成因及行为特点的角度出发，结合相关案例，就上述集中体现相关刑事合规风险的罪名及犯罪进行解析，从而为刑事合规管理提供必要的参考。

三、关于互联网企业刑事合规风险的类型及成因分析

根据刑法关于信息网络犯罪的相关规定，在整合实务经验的基础上，现将相关犯罪涉及的刑事合规风险类型及成因分析如下：

1.“违法性”风险

在前述信息网络犯罪中，有一部分犯罪的违法性特征较为明显，具体包括：“危害计算机信息系统安全犯罪”（刑法285条、286条）、“非法利用信息网络罪”（刑法287条之一），以及主要行为通过信息网络实施的诈骗、赌博等违背一般社会公众期待可能性的犯罪。

由此，上述犯罪的实施普遍以“违反国家规定”为前提，其行为手段的不法特征（例如“侵入”“破坏”“控制”“获取”“诈骗”“赌博”）及行为后果的危害性也往往更易于识别。

事实上，此类犯罪的发生往往意味着犯罪主体（单位及/或个人）主观上具有明确的“违法性”认知并积极追求相关危害后果。因此，涉及此类犯罪案件的企业往往存在比较严重的违法性问题，甚至可能是以违法犯罪活动为其“主营业务”。

2.“不作为”风险

这里的不作为，主要是指相关互联网企业不履行信息网络安全管理义务的情形。事实上，刑法及《网络安全法》均就信息网络安全管理义务作出了责任规定，但刑法在主客观两个方面设置了较高的“入罪”门槛：

主观方面，必须是那些拒不履行信息网络安全义务的主体，其主观恶性主要体现在“经监管部门责令采取改正措施而拒不改正”这一要件上；

客观方面，本罪的成立以发生相应的危害后果为要件，如：“致使违法信息大量传播”“致使用户信息泄露，造成严重后果”“致使刑事案件证据灭失，情节严重”等。

实践中，涉及此类犯罪案件的企业往往存在较为严重的安全管理漏洞，而相关企业负责人则缺乏相应的管理意识，管理能力，甚至是最起码的管理态度。

3.“经营性”风险

实践中，还有一部分信息网络犯罪的发生并非相关企业积极实施违法性行为或者主动追求非法利益的结果。究其原因，往往是企业在经营、管理中存在的一些问题导致相关企业或主动、或被动的牵涉进相关刑事案件之中，现将具体情况梳理如下：

（1）员工管理：当企业涉及刑事案件时，首先需要明确的就是相关涉案行为究竟是单位行为，还是员工个人行为。实践中，相关互联网企业的员工窃取、出售用户信息的情况时有发生，不仅侵害了公民个人信息，也极大贬损了企业的商业信誉。因此，企业对于员工的管理往往是防范、控制相关刑事合规风险的有力途径。

（2）客户管理：部分互联网企业在经营、管理过程中容易陷入一种“独善其身”的认识误区，即以为只要自己没有“亲自”实施违法犯罪活动，就不会陷入刑事法律风险之中，并自诩为所谓的“技术中立方”。

但事实上，即便技术中立，但当相关技术被其他主体用于违法犯罪活动时，技术提供方也可能因此被追究刑事责任。例如，“帮助信息网络犯罪活动罪”，即为其他主体的犯罪行为“做嫁衣”，提供互联网接入、服务器托管、网络存储、通讯传输等技术支持的情形。

实践中，相关企业之所以会涉及此类刑事案件，往往是在客户管理上出现了问题，导致对相关客户可能存在的违法行为视而不见或者回避、放任等。

（3）用户管理：互联网企业在提供网络服务的过程中，一方面为用户提供了技术便利，另一方面也承担了对用户的管理义务。

对此，《网络安全法》第24条明确规定，网络运营者在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

该法第47条还规定，网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

与之对应的是，如果相关互联网企业对用户疏于管理，则可能出现“用户涉刑（如非法利用信息网络罪、侵犯著作权罪等），企业连带担责”的情况。当然，企业可以通过举证来证明其对用户的犯罪行为缺乏明知，从而免除刑事责任的追究。

但即便如此，企业还是会因其疏于用户管理而承担相应的行政责任，并面临诸如罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等处罚措施，从而使企业经营遭受“重创”。

（4）第三方管理：司法实践中，网络信息传播纠纷案件屡见不鲜，此类案件主要涉及三方主体，即网络运营者（互联网企业）、网络用户，以及因网络用户的信息传播行为而遭受侵权的第三方（以侵犯著作权、名誉权居多）。

正常情况下，作为网络运营者的互联网企业本可以在明确自身定位的前提下，通过合理运用“避风港”原则[4]来及时、有效的回应第三方主体的维权诉求。

但在实践中，总有些互联网企业出于主客观方面的原因，对第三方主体的维权诉求视而不见或处置失当，导致第三方将企业一并告上法庭，甚至被举报至有关主管部门或被提起刑事控告。

在这种情况下，相关企业将因其第三方管理不当而遭遇可能出现的民事责任、行政处罚及刑事调查，从而对企业经营造成不利后果和消极影响。

综上，在各类信息网络犯罪案件中，互联网企业所面临的刑事合规风险在类型和成因上也有所不同。据此，在明确合规管理目标的基础上，针对不同类型的刑事合规风险采取行之有效的管理措施，无疑是互联网企业开展刑事合规管理的必由之路。

四、互联网企业刑事合规的管理目标及分析

在前述分析的基础上，现结合相关案例，将互联网企业刑事合规的管理目标及相关分析梳理、说明如下：

1.杜绝相关信息网络犯罪活动

如前所述，信息网络犯罪是互联网企业刑事合规风险的集中体现。因此，在经营管理过程中，相关企业首先应当杜绝那些“违法性”特征显而易见的信息网络犯罪活动，如“危害计算机信息系统安全犯罪”（刑法285条、286条）、“非法利用信息网络罪”（刑法287条之一），以及主要行为通过信息网络实施的诈骗、赌博等违背一般社会公众期待可能性的犯罪。

对此，企业一方面要杜绝自身实施相关犯罪活动；另一方面，也要避免沦为其他主体实施相关犯罪活动的“帮凶”，特别是那些提供技术服务的互联网企业，往往容易陷入“技术中立”的认识误区，而忽略了相关技术被用于违法犯罪活动的风险。

下面，通过一则案例来协助分析，案例内容如下：

案例1：北京爱奇艺科技有限公司、杭州飞益信息科技有限公司等其他不正当竞争纠纷案

裁判文书号：上海知识产权法院（2019）沪73民终4号民事判决书

案件基本事实：

爱奇艺公司（原告）获得著作权人的授权许可，在运营的爱奇艺网站中提供数量众多的视频作品，爱奇艺公司按照视频访问量向著作权人支付许可使用费是其获取授权许可的方式之一，此种模式往往约定著作权人不得恶意实施增加访问量的不正当竞争行为，并对有效点播进行了界定。普通用户观看爱奇艺网站提供的视频时，需观看贴片广告后方可观看视频内容。

飞益公司（被告1）专门提供针对爱奇艺网站、优酷土豆网站、腾讯视频网站等视频网站的刷量服务；吕某峰（被告2）系飞益公司股东及法定代表人，使用个人的QQ账号、淘宝账户对外招揽视频刷量业务，通过个人支付宝账户收取报酬；胡某敏（被告3）系飞益公司股东及监事，申请注册域名供飞益公司解析网站使用，申请注册域名用于刷量服务，使用个人手机、微信对外招揽视频刷量业务；三被告分工合作，通过多个域名，不断更换访问IP地址等方式，连续访问爱奇艺网站视频，在短时间内迅速提高视频访问量，构成共同侵权。

法院经审理认为：

本案中，飞益公司、吕某峰、胡某敏接受委托人委托，使用技术手段增加爱奇艺公司经营的爱奇艺网站的多个视频访问量，干扰了爱奇艺网站的真实视频访问数据。其后果为：

一，飞益公司、吕某峰、胡某敏据此谋取交易机会，直接从委托方获得经济利益；

二，相关方根据与爱奇艺公司的视频合作协议，因飞益公司、吕某峰、胡某敏行为获取经济利益，相应地增加了爱奇艺公司不应支出的合作分成。

判决结果：

一、被告杭州飞益信息科技有限公司、吕某峰、胡某敏于本判决生效之日起十日内，连带赔偿原告北京爱奇艺科技有限公司经济损失50万元；

二、被告杭州飞益信息科技有限公司、吕某峰、胡某敏于本判决生效之日起十日内，于《法制日报》中缝以外版面刊登声明，消除不正当竞争行为对原告北京爱奇艺科技有限公司造成的影响（声明内容须经本院审核，如不履行，本院将在相关媒体上公布本判决的主要内容，费用由被告杭州飞益信息科技有限公司、吕某峰、胡某敏连带负担）。

其他信息补充：

庭审过程中，三被告称自2016年10月开始实施通过技术手段增加爱奇艺网站视频访问量的行为，委托方与其通过信息网络联系，未提供身份信息。爱奇艺公司称即使查实委托方系相关视频合作协议相对方，亦不向委托方主张违约之责。

如案例所示，本案实际涉及三方主体，飞益公司（及吕某峰、胡某敏）、飞益公司的委托方（身份不明）、爱奇艺公司。三方关系如下：

飞益公司接受委托，通过技术手段增加爱奇艺网站上相关视频的访问量；

根据爱奇艺与相关视频方的合作协议，爱奇艺应根据相关视频的访问量向对方支付合作分成，而飞益公司通过技术手段增加了相关视频访问量的行为（该行为明显属于“虚构事实、隐瞒真相”的欺诈行为）导致爱奇艺增加了本不应支出的合作分成，亦使得相关视频合作方因此获取了相应的经济利益。

虽然爱奇艺和飞益公司对于后者的委托方的身份都“讳莫如深”，但该委托方的真实身份恐怕不难揣测，而如果委托方的身份得以查实，则其与飞益公司成立共同侵权，甚至不排除涉嫌诈骗犯罪的可能性。

实践中，相关主体接受委托，通过技术手段虚增访问量/下载量从而给他人（单位）造成财产损失并被指控犯诈骗罪的案例并不鲜见。由此，相关企业理应杜绝此类“经营活动”，避免相关技术服务沦为他人诈骗的“工具”，从而防范相关涉刑风险。

据此，为防范陷入此类法律风险，不妨从以下三个维度进行研判：

（1）相关技术服务是否涉及委托方外的第三方（如本案中的爱奇艺公司）；

（2）相关技术服务是否会导致第三方陷入错误认识或影响第三方对相关事实的正常判断（如本案中虚增相关视频访问量致使爱奇艺对相关视频的播放情况及受欢迎程度陷入错误认识）；

（3）相关技术服务是否会对第三方的权利处分形成干预（如本案中，爱奇艺会根据相关视频访问量对外支付合作分成）。

通过上述三个维度的研判，如果得到的均为肯定答案，则在对外提供“技术服务”时，相关企业就应当予以必要的重视并采取相关措施（或终止相关服务），避免陷入参与相关信息网络犯罪活动的风险之中。

2.完善合规管理，落实“责任切割”

在前述刑事合规风险类型及成因分析中，围绕“经营性”风险，我们着重探讨了“员工管理”和“用户管理”的相关问题。由此，在发生企业涉刑风险时，如何落实（与员工、客户等主体间的）“责任切割”应当是相关互联网企业开展刑事合规管理工作的一项重要工作目标。

具体来讲，就是通过完善的合规管理措施，将企业行为与员工个人行为、企业行为与用户个人行为/或其他主体的行为予以明确区分，从而在涉刑案件发生时，能够厘清相关主体间的行为界限，切割相关责任关系，避免出现“他人涉刑，企业担责”的情况。

下面，我们分别通过两则案例来协助分析：

案例2：申某与上海携程商务有限公司侵权责任纠纷案

裁判文书号：北京市朝阳区人民法院（2018）京0105民初36658号

案件基本事实：

2017年8月9日00时55分46秒，申某（原告）通过携程公司（被告）手机APP平台订购了2017年8月10日*航空公司承运的两张航班机票（航班信息略）联系手机185****3686（申某手机号码）。

2017年8月10日10时15分，申某收到＋8529567****号码向申某在携程注册账号及订购涉案机票所留的尾号为3686手机号发送的短信，短信内容为“尊敬的旅客：你好。您原订于（航班信息略），因起落架故障已被取消。请及时致电客服00861771040****办理改签或退票。（注明：本次航班机械故障，退票全额退款，另民航给每位旅客赔偿300元整）［**航空］”。

申某称其按照短信提示拨打了“客服电话”，“客服”准确地说出了乘机人姓名、身份证号、航班起飞时间、航班号，并再次告知申某因航班取消需退款1250元，“客服”向申某提出通过支付宝或微信途径退款，申某将其支付宝账户提供后，“客服”以无法操作为由向申某提出以更为快捷的支付宝亲密付方式支付。申某遂开通支付宝亲密付功能，2017年8月10日10时36分至10时37分，申某通过其绑定在支付宝的中国工商银行尾号****银行账户以支付宝亲密付方式分四次向支付宝会员“开通航空服务”付款共计19008.99元。

申某称其看到工商银行提示短信后，挂断“客服”电话欲与工商银行核实时，“客服电话”回拨给申某并表示因申某挂断电话影响后台操作，导致申某的上述款项被划走，现需要将划走的款项转回给申某，因亲密付有限额，需要用申某的网银转账，后申某到单位楼下的工商银行柜台开通了工商银行手机银行、网上银行。按照“客服”的要求分两次共计转账99976元，因仍未收到退款，申某意识到被骗。2017年8月10日，申某向北京市公安局朝阳分局**派出所报案，2017年8月11日，申某被诈骗一案刑事立案，截至本案一审辩论终结前该刑事案件尚未侦破。

法院经审理认为：

申某通过携程公司手机APP平台订购机票，因订购机票行为而产生的出行人姓名、航班日期、起落地点、航班号、航空公司信息、订票预留手机号信息被整体泄露，诈骗分子根据泄露的信息内容发送诈骗短信，引导申某使用支付宝亲密付功能消费及工商银行网上银行转账，最终导致申某银行卡内个人财产受损。

本案中，诈骗分子在较短的时间内就完成了对涉案个人信息的获取、编辑及非法利用的全过程。基于涉案个人信息被短时间泄露等时空背景条件，本院认定携程公司作为消费者所直接面对的第一手完整信息保管者存在泄露申某涉案个人信息的高度可能。

诉讼中，携程公司提交的隐私政策证据显示，携程公司承诺对可能接触到涉案信息的员工采取了严格管理，可监控他们的操作情况，对于数据访问、内外部传输使用、脱敏、解密等重要操作建立了审批机制，并与上述员工签署保密协议等。携程公司提交的2014年《敏感信息处理规范》显示，账户订单属于二级敏感信息，敏感信息建议加密存储。携程公司提交的2018年《敏感信息安全管理规定》显示，订单信息属于一级信息，内部传输可不加密。

然而携程公司内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况，携程公司未提交证据举证。在大量机票退改签短信诈骗案被媒体报道后，携程公司对于订单信息的保护反而从2014年的二级加密保护降低为2018年的一级不加密传输。在应用界面及短信确认内容中也没有充分明显地告知消费者对于航班信息诈骗的注意。

从现有证据看，携程公司在信息安全管理的落实方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，具有过错。至于其他主体获得个人信息问题，涉案信息的传递是因携程公司出于经营需要而发生，携程公司主张其他主体泄露信息，依法应由其进行举证。现携程公司仅提出理论上存在其他主体泄露的可能性而未完成举证。

综上，携程公司在信息安全管理的落实方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，具有过错，应承担侵权责任。

判决结果：

具体到本案赔偿数额的确定，因携程公司违反了网络运营主体的安全保障义务，存在个人信息保护上的安全维护漏洞，导致申某遭遇诈骗形成财产损失。本院综合案情及携程公司的过错责任程度，酌情确定携程公司在5万元赔偿数额的范围内对申某承担补充责任。

如案例所示，原告申某通过携程公司运营的手机APP订购机票后，因其相关订票信息（包括其订票使适用的个人信息）被诈骗犯罪分子利用，导致其被骗钱款118984.99元。

而携程公司因自身信息安全管理方面存在漏洞，且无法举证证明申某订票信息泄露系其他主体所为，因而无法实现责任切割，最终被法院判处承担补充赔偿责任。

由此，在本案中，携程公司在信息安全管理上存在两方面问题值得我们总结：

（1）管理制度“不当”：本案中，携程公司存在管理制度与管理对象不匹配的问题，即将订单信息由原来的二级敏感信息升级为一级敏感信息的情况下，却在管理制度上进行了“降级”，即从原来的“建议加密存储”改为“内部传输可不加密”。最终，正是这种管理对象与管理制度“此消彼长”的管理方式成为了法院认定携程公司在信息安全管理上存在漏洞的重要事实根据。

（2）管理措施“不能”：本案中，制度上的缺陷仅仅是携程公司被判担责的原因之一，而更重要的则是携程公司无法举证证明申某信息泄露系“他人”所为，从而无法实现责任切割。在该案判决中，法院特别提到，“携程公司内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况，携程公司未提交证据。”

由此，在无法举证证明自身信息安全管理合规（特别是对于员工处理涉案订单信息的实际情况无法举证证明）的情况下，携程公司“不得不”对“他人”利用订单信息实施的诈骗犯罪承担补充赔偿责任。这背后呈现的是对涉案订单信息及相关员工管理的双重“失守”。

案例3：解某强与广州酷狗计算机科技有限公司著作权权属、侵权纠纷案

裁判文书号：广州互联网法院（2019）粤0192民初24413号

原告主张事实：

原告（解某强）是著名词曲作家、音乐制作人。被告（酷狗公司）未经原告许可，将音乐作品《**年代怎么样》上传至其官网及APP，原告是该歌曲的词曲作者及演唱者，侵犯了原告对作品享有的信息网洛传播权，特提起诉讼。

法院经审理认为：

本案中，原告提供了《作品登记证书》，记载涉案权利歌曲的作者、著作权人为解某强，此外提交了专辑《翻*覆*》封面关于包含制作人解某强的作品的描述，且**歌舞剧院有限公司出具《证明》载明解*强为该单位词曲作家等可作为佐证。此外被告酷狗音乐上涉侵权的歌曲播放页面也记载了词曲均为解*强。在被告没有相反证明的情况下，可以确认原告为《**年代怎么样》词曲的著作权人，依法享有案涉权利歌曲的信息网络传播权。

被告以被诉侵权歌曲是由平台用户上传，被告已尽通知-删除义务为由，抗辩其无需承担侵权责任。本院认为，首先，《中华人民共和国网络安全法》第二十四条第一款规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

本案中，从被告提交的用户后台信息来看，只显示了用户名qtwsx（qtwsx）的注册时间，无任何认证信息，未显示该用户的真实身份，无法证实被诉侵权歌曲为用户上传。即使确为用户上传，被告也违反了应当要求网络用户提供真实信息的法律规定，妨碍了原告对实际上传人法律责任的追究。

其次，《信息网络传播权保护条例》第十五条规定，网络服务提供者接到权利人的通知书后，应当立即删除涉嫌侵权的作品或者断开链接，并同时将通知书转送提供作品的服务对象。被告在收到本案诉讼材料后虽然删除了侵权歌曲，但没有证据显示其将相关诉讼材料转送给上传用户，以便原告向实际侵权人主张权利，亦违反了网络服务提供者的应尽义务。

第三，根据被告举证的上传音乐作品的情况，显示上传时可输入歌手、介绍，且上传后有审核中的标签，可见被告主动进行了审查，结合涉侵权歌曲已备注了词曲作者等信息，根据《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》第八条、第九条第一至三项的规定，应当认定被告对网络用户侵害信息网络传播权的具体事实为应知。再结合《最高人民法院关于审理侵害信息网络传播权民事纠纷案件适用法律若干问题的规定》第七条的规定，对于网络服务提供者明知或者应知网络用户利用网络服务侵害信息网络传播权，未采取删除、屏蔽、断开链接等必要措施，或者提供技术支持等帮助行为的，人民法院应当认定其构成帮助侵权行为。而网络服务提供者在提供网络服务时帮助网络用户实施侵害信息网络传播权行为的，应当判令其承担侵权责任。综上，对于被告关于其为网络服务提供者无需承担侵权责任的抗辩，本院不予采信。

判决结果：

一、被告广州酷狗计算机科技有限公司自本判决生效之日起三日内删除其酷狗音乐网站及手机APP上的音乐作品《九十年代怎么样》；

二、被告广州酷狗计算机科技有限公司自本判决生效之日起十日内向原告解某强赔偿2500元。

如案例所示，本案中，面对著作权人解某强提起的诉讼，酷狗公司的管理暴露了两方面问题，即管理缺失和无效管理，进而导致酷狗公司在用户涉嫌侵犯他人著作权之际，无法实现有效的责任切割，从而为他人的侵权行为承担赔偿责任。

具体分析如下：

（1）用户管理的缺失：《网络安全法》第24条规定了网络运营者应当对用户落实“实名制”的管理要求。该项规定的重要意义之一就在于，当发生侵权/法益侵害时，有助于厘清网络运营者与用户的行为及责任。

而在本案中，由于酷狗公司未能在用户管理上落实“实名制”，所以导致其在面临著作权人的起诉时，无法证明相关用户的身份，在这种情况下，其只能就相关用户在其平台上传播侵权歌曲的行为承担法律责任。

（2）无效管理的“反噬”：本案中，虽然酷狗公司未能对相关用户落实“实名制”的管理，但却对相关用户上传的侵权歌曲进行了所谓的“审查”（添加“审核”标签）。

遗憾的是，该“审查”并没有起到发现、制止相关侵权行为的作用，属于无效管理。然而，无效并不意味着无责，酷狗公司通过其“审查”行为介入了用户上传侵权歌曲的行为，从而导致相关侵权活动成为酷狗公司及用户个人的“共同”行为，也使得酷狗公司从单纯的平台服务提供者转化为侵权责任人。

由此，本案中，酷狗公司的无效管理不但未能使自身免责，反而成为其被认定侵权的重要事实根据。

鉴于现有在案证据未能证实侵权方的获利情况，原告方也仅主张了民事赔偿，故本案的审理仍停留在民事侵权的范畴之内。

试想，如果平台方不仅涉及侵权，而且有证据证明其因此获取高额非法利益，则权利人不仅可以主张民事赔偿，甚至还可能提起刑事控告，要求以侵犯著作权罪追究其刑事责任。届时，面临刑事追责及相关调查措施，运营平台的相关企业势必会遭遇更为严峻的法律风险及经营危机。

3.完善危机应对，及时化解风险

即便是再完善的合规管理，也无法从根本上杜绝刑事风险的发生。因此，有效的刑事合规管理不仅在于对刑事风险的识别及防控，更在于当相关风险发生时如何实现危机应对，及时化解相关风险。

对此，可以尝试从以下四个方面予以考量：

（1）发现问题：行之有效的合规管理往往通过相应措施实现对相关风险的识别及发现，这些措施一方面可以通过加强、完善内部管理予以实现，另一方面可以通过设立有效的举报、投诉/维权渠道予以落实。

实践中，相关互联网企业往往会设置有效的举报、投诉/维权渠道，以确保可以及时获悉其运营平台可能存在的问题或漏洞，从而作到及时发现和有效解决。

（2）解决问题：如何解决问题无疑是评价合规管理工作是否有效的重要标准。对此，相关互联网企业可以从解决问题的预案、资源配置、工作机制等方面强化相关合规管理工作，努力解决相关问题。

（3）防止问题扩大：虽然解决问题是理想目标，但不排除相关问题未能得到彻底解决的可能性。因此，需要通过相关合规管理工作防止问题进一步扩大。

对此，《网络安全法》第42条及《数据安全法》第29条明确规定，在发生网络安全事件及数据安全事件时，网络运营者及数据处理者应当按照规定及时告知用户并向相关主管部门报告。这样的规定显然包含了“防止危机扩大”的考虑。

（4）寻求相关主管部门的助力：在发现、解决问题以及防止问题扩大过程中，积极配合主管机关依法开展的监督检查、调查、侦查等履职活动，不仅有助于相关企业及时向主管机关说明问题，也有助于相关企业在解决问题时得到主管部门的助力。对此，《网络安全法》第49条、《数据安全法》第35条、《个人信息保护法》第64条均有相应的规定。

五、关于网络、数据安全及个人信息保护的刑事合规管理建议

在前述内容中，我们首先明确了网络、数据安全及个人信息保护的刑事合规主体（互联网企业），并就互联网企业的刑事合规风险进行了梳理，对相关风险类型及成因进行了分析，从而进一步明确相关企业刑事合规的管理目标。

接下来，我将在前述分析、论述的基础上，围绕网络、数据安全及个人信息保护，就互联网企业的刑事合规管理提出建议如下：

1.外规内化

为确保相关刑事合规管理工作有规可循，相关企业可以将涉及网络、数据安全及个人信息保护的相关法律、法规进行整合，梳理其中重点规范企业经营、管理活动的规定，并将之转化为企业内部规范，从而为刑事合规管理工作构建规范前提。

对此，可以从“对外”及“对内”两个维度展开：

（1）对外：杜绝企业实施或参与实施相关信息网络犯罪活动；

（2）对内：强化网络安全、数据安全及用户个人信息保护义务。

2、制定管理制度及操作规程

在外规内化的基础上，相关企业应就此制定内部管理制度及操作规程。其中，制度相当于企业合规管理的实体法，而操作规程则相当于企业合规管理的程序法。

具体来讲，在制定有关网络、数据安全及个人信息保护的管理制度时，相关企业应根据自身特点重点关注（包括但不限于）以下事宜：

（1）保障网络安全的管理制度及操作规程；

（2）涉及数据处理工作的管理制度及操作规程；

（3）涉及个人信息处理工作的管理制度及操作规程；

（4）有关用户实名制的管理制度及操作规程；

（5）针对用户发布信息的管理制度及操作规程；

（6）业务合规性评估制度及操作规程；

（7）其他企业认为有必要制定的制度及相关操作规程。

3、通过相关技术措施及其他措施保障相关管理制度及操作规程的有效执行和管理留痕

相对于其他企业，互联网企业在合规管理上对于技术措施的倚赖更为明显，对此，《网络安全法》《数据安全法》及《个人信息保护法》均强调了技术措施对于网络安全、数据安全及个人信息保护的重要意义。

而从企业管理的角度来看，通过技术措施呈现、记录、监测管理活动，确保管理留痕既有助于监控相关管理制度及操作规程是否得到有效执行，也有助于实现管理留痕，确保在应对危机时能够就相关抗辩事由顺利举证，实现责任切割。

4、积极开展安全教育培训

相关企业可以围绕网络、数据安全及个人信息保护制作员工手册，积极开展安全教育培训，确保企业的相关合规管理理念及要求能够及时、有效传递给员工。

具体的安全教育培训可以适度灵活，包括但不限于法规宣讲、案例解析、管理答疑等方式。培训工作应当留存记录并设置相应的考核机制，以确保相关培训的有效性，从而在强化合规管理的同时为可能发生的责任切割做好准备。

5、强化风险监测，搭建行之有效的举报、投诉/维权渠道

风险管理以风险识别和发现为前提，为此，相关企业可以从内外两个渠道获悉相关风险事件，及时识别相关风险。具体如下：

（1）内部渠道：即通过相关管理活动及对管理活动的监督、监测，及时发现企业管理漏洞、管理过失等风险因素，识别企业经营、管理过程中可能遭遇的刑事法律风险。

具体到网络、数据安全及个人保护方面，相关风险监测应重点关注前述员工管理、用户管理及客户管理三个主要维度，同时灵活运用相关管理手段及技术手段，以确保相关问题的及时暴露和有效识别。

（2）外部渠道：如前所述及案例分析，互联网企业的自身经营行为、用户行为，以及客户行为都可能存在侵犯第三方主体权利的情形。

对此，相关企业应当搭建行之有效的举报、投诉/维权渠道，确保相关权利主体能够就侵权事宜与企业形成有效沟通，从而使企业有机会及时化解相关争议及纠纷，避免相关权利冲突上升至民事诉讼、行政调查乃至企业涉刑的局面。

从防微杜渐的角度考虑，相关互联网企业可以重点关注以下举报、投诉/维权诉求：

①不正当竞争的举报、投诉/维权诉求：此类诉求往往涉及相关企业自身经营活动的合法、合规性问题；

②网络信息传播侵权的举报、投诉/维权诉求：此类诉求往往涉及相关企业用户行为的合法、合规性问题，其中涉及侵犯著作权及名誉侵权的情况较为多见；

③涉及个人信息保护的举报、投诉/维权诉求：此类诉求往往涉及相关企业处理个人信息的合法、合规性问题，相关企业可结合《个人信息保护法》第44至48条，《网络安全法》第43条的规定予以关注。

6、建立网络安全事件、个人信息安全事件的应急预案，完善应对机制

根据《网络安全法》第25条、第42条，以及《个人信息保护法》第51条的规定，网络运营者、个人信息处理者应当针对网络安全事件、个人信息安全事件制定应急预案，在发生相关安全事件时，立即启动应急预案，采取相应补救措施，按照相关规定及时告知客户并向有关主管部门报告。

据此，互联网企业应当在遵守、落实国家实行的网络安全等级保护制度、个人信息保护制度的基础上，就网络安全及个人信息安全制定相关应急预案，完善相关应对机制，以确保当安全事件发生时可以兼顾自行补救、防止危害扩大（及时告知用户），以及寻求有效帮助（向有关主管部门报告）。

上述合规管理措施有助于相关互联网企业减免因网络安全事件、个人信息安全事件所引发的行政责任（《网络安全法》第59条）、刑事责任（《刑法》第286条之一：拒不履行信息网络安全管理义务罪），以及相关民事赔偿责任。

综合上述内容，围绕网络、数据安全及个人信息保护，我根据自身工作经验及对相关法律、法规的理解，就互联网企业如何开展相关刑事合规管理工作提出了相应的思考和建议。在这里还有两点需要补充说明：

第一，对刑事合规某一领域的研究及实践，一定程度上要立足于相关领域的刑事案件，从案件类型及成因“反推”相关刑事合规风险，提炼工作目标，落实管理举措；

第二，刑事合规管理要注重“防微杜渐”，即从侵权、违法、纠纷等风险事件开始，就应当注意到相关风险事件演变为刑事合规风险的可能性，并及时对此予以干预、应对、化解，避免风险升级，这或许才是有效合规管理的应有之义。

后记：

本文是我继《企业刑事合规指南（总论篇）》后撰写的第二篇关于企业刑事合规的文章。借写作之机，我顺便总结了自己过往的代理此类案件的工作经验，并系统研读了相关法律、法规，期间查阅相关案例共计114则。

通过上述工作，此前脑海中许多碎片化的经验和认识得以系统的整合和呈现，耗时费力之余，我也体会到了久违的学习乐趣。希望本文可以为相关企业的刑事合规管理工作提供些许参考和帮助。

最后，感谢大家的阅读。

文中注释：

[1]详见《网络安全法》第76条之规定。

[2]详见《数据安全法》第3条之规定。

[3]详见《个人信息保护法》第4条、第73条之规定。

[4]“避风港原则”是指网络服务提供者只有在知道侵权行为或侵权内容的存在后才有义务采取措施，如删除、屏蔽或是断开链接等。——来自人民政协网2021年7月5日发布的文章：《委员说法｜什么是网络侵权的“避风港原则”和“红旗原则”？》

本文作者：孙广智