今日，北京星来律师事务所主任王珺律师获得国际信息科学考试学会（EXIN）数据保护官（DPO）&中国个人信息保护法数据保护官(DPO-PIPL)双认证律师资格。

王珺律师

获 EXIN DPO认证

对于取得权威认证，王珺律师在欣喜之余，撰写此文以表纪念，同时鼓励自己未来在网络犯罪与数据合规领域进行更深入的研究和实践。详见以下内容：

国际信息科学考试学会是国际数字化管理领域的权威人才认证和能力鉴定机构，由荷兰政府经济事务部于1984年创办。我此次认证学习的主要课程包括以下四项内容：

1.EXIN Privacy & Data Protection Foundation (PDPF) 认证

2.EXIN Privacy & Data Protection Professional (PDPP) 认证

3.EXIN Privacy & Data Protection Foundation based on PIPL认证

4.EXIN ISO27001 认证

这一系列课程集中于隐私数据保护与网络安全，既涵盖欧盟《通用数据保护条例》（GDPR）、又涵盖中国的《个人信息保护法》（PIPL），既着眼于国际隐私信息管理体系ISO/IEC27701的实践应用，更着眼于ISO27001信息安全管理体系的建立。

作为律师而言，某种资格认证不太可能成为拓展某一项新业务的敲门砖，就像客户不太可能委托一个刚拿到执业证的律师去出庭打官司，任何业务的成长都需要长期的实务积淀和积累。对我而言，系统学习上述课程的意义更在于宏观的理解和架构，尤其是，与以往的刑辩经验找到融合点，从而更好地与企业对话、了解企业需求、提供更为贴切的法律服务。

2020年4月9日，中共中央、国务院印发了《关于构建更加完善的要素市场化配置体制机制的意见》，这是中央关于要素市场化配置的第一份文件，明确提出了数据是与土地、劳动力、资本、技术具有同等地位的第五大生产要素。在数据成为生产要素的时代，数据的商业价值得到充分彰显，对数据的利用行为越发丰富，其中不仅包括合理地利用，更是包括违法违规地收集和利用。

在上述背景下，近年来《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继出台，构成我国数字经济时代的三大法律支柱体系，首先从立法的层面，强调了对于数据、信息、隐私的保护及合理利用的基调。另从行政执法与司法的层面，我们不仅可见网信办对各种违规收集利用个人信息行为的惩处力度逐渐加大，更可见司法机关对各类网络犯罪、数据犯罪案件打击力度逐渐增强。以上种种，无一不彰显出中国企业对数据、公民隐私保护的意识迫切需要强化并落实到切实的行动中。

疫情之前我代理了两个网络数据犯罪的案件，比较有代表性，充分体现出了司法机关打击网络数据犯罪与电子取证经验不足之间的矛盾，也提示我们在为企业做数据合规时需要关注哪些重点方面。

案例1：

北京某某房产中介公司员工利用爬虫程序侵犯公民个人信息案，当事人认罪认罚。经研究检材后我认为，涉案服务器日志提取过程不合法、有被修改的痕迹且存在没有进行排重、统计口径不一致等问题，故做了证据不足的无罪辩护。后法院采纳了我的核心辩护意见，对勘验笔录和鉴定意见这两类定罪量刑的核心证据不予采信，最终以低于量刑建议的刑期判处刑罚。

案例2：

南京某某影视公司以盗链方式非法获取计算机信息系统数据案，在案十余名当事人被指控通过盗链的方式非法获取未授权的视频资源，且陆续认罪认罚。开庭时我认为“既没有证据证明被告人是唯一的盗链主体，也没有证据量化盗链行为给被害人造成的损失”，以定案证据不足为由发表无罪辩护意见，后法院采纳了我的核心辩护意见，最终低于量刑建议对当事人判处缓刑。

虽然严格来说两个案件都存在定案证据不足的情况，但是两个案件的法官都不约而同地采取了自由心证的裁判方式，对当事人判处了刑罚，虽然低于检察院量刑建议——说明法官同样认为定案证据是不足的，但是仍然不能免罚——说明法官认为指控行为是存在的，只是相关数量或损失无法量化。

从刑事辩护的逆向思维反思这两个网络数据犯罪案件，能够得到如下启发或提示：

第一，企业数据合规意识落后，更缺乏违法性认识。对于窃取数据的一方，（所在企业）需要建立数据合规体系。

两个案件“生不逢时”，如果是案发于涉案企业合规改革期间，有望获得不起诉处理，免留案底。根据涉案企业合规改革的精神，不论是案例1中的个人犯罪还是案例2中的单位犯罪，只要企业不是以违法犯罪为业，在犯罪主体认罪认罚的情况下，均可申请适用合规整改，企业通过建立数据合规体系的方式防范再次出现类似犯罪行为，则司法机关可给予不起诉或其他类别的从宽处罚。至于具体如何有针对性地建立有效的数据合规体系，EXIN数据保护官（DPO）认证的课程给出了明确的实践指引。刑辩律师可以从辩护的经验逆向去追溯企业相关犯罪如何形成，以及风险点在何处，从而完善细节上堵塞或疏导的方法。

第二，企业数据保护需求超前于保护措施。虽然案例重在打击惩戒窃取数据的一方，但是从网络安全与数据保护的角度看，（被害）企业不应无所作为，需要依据法律规定和要求在数据保护方面做更充足的工作。

根据《网络安全法》的相关规定，网络运营者有义务履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，包括采取防范计算机病毒和网络攻击、网络侵入等技术措施。也就是说，（被害）企业应当采取相关技术措施以履行以上安全保护义务，倘若未适当履行，轻则面临行政处罚，重则承担刑事责任（拒不履行信息网络安全管理义务罪）。我们可以思考的是，未履行网络安全保障义务的企业能否认定为刑法意义上的“被害人过错”从而使犯罪行为人得到从宽处罚？

第三，合规不是万能的，合规不是防范解决风险的一劳永逸的方法。

企业风险并不是都需要防范掉。在学习ISO27001信息安全认证课程的过程中，我了解到企业的风险策略包括三类，分别是风险承担、风险中性、风险规避，三种风险策略的出发点和侧重点各有不同。比如说，针对某一类信息安全风险，如果企业认为采取相应的安全措施成本太高，甚至超过了可能造成的损害，那么就可能接受该风险，该策略称为风险承担；如果企业采取的安全措施的结果可以使得相关威胁不再发生、所造成的损害最小化，该策略称为风险中性；如果企业采取的安全措施能够使得相关威胁不再导致安全事件发生，能够从根本上预防风险再次发生，该策略称为风险规避。

我们在为企业提供合规服务的过程中，很重要的工作内容就是编制《合规风险识别清单》以及《业务流程合规风险管控清单》。根据风险类型的不同及安全措施的成本/效果评估去建议企业采取不同的风险应对策略，或许是更为切实有效的方法。

虽然EXIN数据保护官（DPO）&信息安全官（ISO）是国际认证，但是国内个人信息保护的立法体系是参照GDPR及国际标准而来，整体的数据保护原则和思路是一致的，因此EXIN认证对中国企业的数据合规尤其是出海业务具备针对性的咨询和辅导优势；加之目前EXIN增设了单独的中国《个人信息保护法》（PIPL）的认证考核，对国内企业相关合规建设的适用性更强。

总之，以十年的刑辩经验为基础，以EXIN认证为赋能，同时结合SGS通标公司的标准化指导，星来团队在数据合规领域的服务能力也将持续升级，相信我们定能在合规建设方面真真正正、行之有效地帮助到企业！