（一）数据类创业企业涉刑事风险加大

数据类的创业企业可能出现的问题和传统的创业企业出现的问题不太一样。传统的创业企业面临的往往是资金流断裂或者是由于商业模式没有被市场认可而被淘汰。

但是现在数据类的创业企业可能面临则可能是由于突破了监管的底线，触犯了刑事法律使企业创业失败，原因可能有以下几个方面：

1、创新本身的风险和刑事立法的完善

过去的创新主要也会有突破监管要求的情况，但主要是行政管理的要求，以及通过商业实践逆向推动监管政策的放宽，直接触犯刑事法律的情况并不典型。

但由于整个刑事法律法律体系不断完善，尤其随着电信诈骗等犯罪活动高发频发，对于网络、数据、侵犯公民个人信息类犯罪的立法不断加强，可能过去不认为是犯罪的行为，现在已经被纳入到了刑法调整的范围。

2、司法实践中的尺度不一以及创业企业对于罪和非罪的界限把握不清晰

创业企业，尤其是一些技术人员，对于刑法的要求不是特别清楚，对于一些行为缺乏法律认识。加之法律在司法实践中并不统一，一是从立法到司法本身有一个过程，二是司法机关在具体办案中把握的标准和尺度不一，也在一定程度上加大了创业企业对于罪与非罪的界限把握的难度，一些模糊地带的出现导致创业企业触犯刑事法律的案例时有发生。

综合上述原因导致现在数据类创业企业面临的刑事风险增加。刑事法律风险日益成为科技创新企业生存和发展所面临的重大挑战。

（二）数据类犯罪主要罪名与案例

• 数据类的犯罪主要有：破坏计算机系统罪，帮助信息网络活动犯罪，非法获取计算机信息系统数据罪，侵犯公民个人信息罪，拒不履行网络安全管理义务罪等。

• 案例——XX车之破坏计算机信息系统

现市面上共享单车的商业模式是客户使用不同品牌的共享单车，必须要下载不同的APP，还要缴纳不等额度的押金和车费。深圳市某科技有限公司为了解决该商业痛点，研发了“XX车”和“XX车PRO”App，用户只要通过上述App就可以解锁所有的共享单车，使用户减少了费用和切换App的时间，更不必再向共享单车平台支付押金和车费。

但问题就出现在“解锁”环节。“XX车”和“XX车PRO”实际上改变了共享单车APP和服务器之间传输的数据包的要素编写规则，相当于它购买了一个公用的卡池，只要XX车注册用户使用XX车APP扫描品牌共享单车的二维码后，XX车APP就会将获取的品牌共享单车的二维码、用户地理位置等信息发送至XX车后台服务器。

XX车后台服务器程序再将上述信息与XX车APP后台服务器卡池中对应品牌共享单车账号信息相结合，利用非法破解获得的各品牌共享单车APP与服务器之间传输的数据包要素、编写规则等，组装、打包与各品牌共享单车后台服务器相匹配的请求开锁数据，使得市面上其他品牌的共享单车错误地认为经过XX车改写的数据是真正注册的用户。

最后法院认定深圳市某科技有限公司及其主管人员违反国家规定，对计算机信息系统中存储、处理的数据进行增加的操作，违法所得9320万余元，后果特别严重，构成破坏计算机信息系统罪。

《刑法》第286条规定了破坏计算机信息系统罪，法条内容为：违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

“XX车”和“XX车PRO”实际上就是对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改和增加。

但此案也引发了一些争议，有的人认为XX车采取的这种技术手段并没有干扰共享单车的正常运行，而恰恰依赖于共享单车后台服务器的正常运行。笔者认为该种对传输的数据和应用程序做的增加和修改的操作，使得共享单车不能够正确识别真实用户，实际上构成了对系统正常运行的干扰。

这个案例对企业带来的启发就是，当企业做商业创新时，尤其涉及到改写数据时，应该评估一下刑事法律风险。

（一）民事公益诉讼案件

《民事诉讼法》第58条规定“对污染环境、侵害众多消费者合法权益等损害社会公共利益的行为，法律规定的机关和有关组织可以向人民法院提起诉讼。

人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为，在没有前款规定的机关和组织或者前款规定的机关和组织不提起诉讼的情况下，可以向人民法院提起诉讼。前款规定的机关或者组织提起诉讼的，人民检察院可以支持起诉。”

该条文表明个人信息保护可被纳入公益诉讼的范畴。损害社会公共利益的行为有两个组织可以提起公益诉讼，一个是消费者权益保护等组织，另外一个是人民检察院。

最高检在2020年9月出台了《关于积极稳妥拓展公益诉讼案件范围的指导意见》，明确地把网络侵害（个人信息保护）案件纳入到了重点发布的公益诉讼案件的范畴，这也是最近两年由检察机关提起的侵犯公民个人信息的公益诉讼案件增加的重要原因。

（二）个人信息保护权纠纷案件

2019年郭兵诉杭州野生动物世界一案，郭兵认为杭州野生动物世界要求入园人脸识别侵犯了他的个人信息，但当时此案的被定性为服务合同纠纷，而非个人信息保护纠纷，因为当时我们的民事案件案由并没有将个人信息保护纠纷纳入到民事案件案由。

2020年12月29日，最高院发布新版《民事案件案由规定》，该规定在人格权纠纷之下将个人信息保护纠纷与隐私权纠纷并列，创设了“个人信息保护纠纷”民事案件案由。

于是自2021年1月1日起，民事诉讼领域就开始出现以个人信息保护纠纷为案由的案件。

（三）反不正当竞争纠纷

在数据领域，可以见到企业之间对于数据权益纠纷依据《反不正当竞争法》第十二条第四款即其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为提起反不正当纠纷诉讼，比如类似于搭便车行为，没有经过平台的允许获取平台的数据供自身商业使用等。

（一）企业应当重视刑事法律风险

如果企业包括技术人员没有法律防范的意识，可能会面临诸多的法律风险，包括刑事法律风险。以“拒不履行信息网络安全管理义务罪”为例，它是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使违法信息大量传播，或致使用户信息泄露、造成严重后果，或致使刑事案件证据灭失、情节严重，或有其他严重情节的情形。

拒不履行信息网络安全管理义务罪有广泛的可适用主体，只要是网络服务提供者，如数据中心等提供信息网络存储服务、搜索引擎、网络购物等互联网平台等提供信息网络应用服务，如果提供了网络服务，又不履行相应的义务，经监管部门责令采取改正措施而拒不改正，造成严重后果，就有可能触犯该罪名。

该罪既可追究单位责任，也可追究直接负责的主管人员和其他直接责任人员的责任，因此是企业的相关管理和技术人员一定需要注意的。

（二）企业应当加强合规意识

企业需要认识到如果违反个人信息保护的规定和要求，被侵害的用户或企业可以采取的维权法律手段很多，包括提起民事侵权诉讼、反不正当竞争诉讼等，也可以向消费者权益保护组织和监管机关反映，因此企业不仅面临被诉的风险，也有可能受到大额处罚，对企业的信誉也会造成损失。

与其不合规而被动，不如主动进行合规建设，包括对合规体系定期进行系统的风险排查，如定期对数据合规和个人信息保护的情况进行合规审计，建立与合规相应的规章、制度，便于合规落地等。

（三）企业一旦面临用户投诉或者监管调查，应当积极应对、正确对待

《个人信息保护法》规定了个人信息主体有广泛的权利，包括对知情权、决定权，查阅权、复制权，更正权、补充权，删除权，包括自然人死亡，其近亲属可以享有上述部分权力等。因此，用户如果主张上述权利，或者认为个人信息处理者没有履行相关义务而投诉的，企业应当首先重视，及时做出响应，防止进一步升级纠纷；对于监管机构的调查或者整改要求，应当积极配合和整改，防止加重处罚或者由于未及时整改，处罚升级，如App通报后未及时整改可能会被下架。

（四）企业应着眼以下要点，积极开展内部合规培训

1、回归法律的基本要求。这个主要是指数据合规和个人信息保护的法律体系比较繁杂，在两法出台前，各部门有的已经制定了很多规范性文件，也有一些推荐性的国家标准和行业标准，很多实际上与《数据安全法》和《个人信息保护法》有冲突的地方，就要求我们还是回到两法的基本要求上来，同时，参照其他的规范性文件以及国家、行业标准。

2、关注合规监管的重点和监管趋势。在不同时期监管的重点不一样。比如年初进行的双清单的专项整改要求，接下来可能对于弹窗信息推送服务进行更广泛的治理，网络信息领域的监管要求和监管政策频频出台，快速的更新变化，要求企业能够关注这些变化，知己知彼才能百战不殆。

3、关注不同的行业。对于如何落地两法，每个行业都有自己不同的要求，特别是涉及到重要数据、处理大量敏感个人信息的金融、医疗等行业，要从行业出发进行数据合规和个人信息的保护工作。

4、关注不同类型的企业。比如平台型企业，在个人信息保护法下需要履行额外的义务，不仅企业要管好自身，也要管理好入驻平台的APP，如果入驻商进行了非法搜集个人信息的行为，平台需要进行相应的管理，否则将承担相应的责任。