R   企业合规管理体系建设研究
                esearch on the Construction of Enterprise Compliance Management System



             他人提供个人信息，即便是对原始数据进行清洗、匿名化处理后产生的衍生数据，
             也仍然不能免除信息保护义务，只有经过“去身份化”处理的信息确已不能识别
             到特定自然人，才能在无需再次征得个人同意的情况下流转和交易。第三，在利
             用个人信息进行自动化决策时，应当保证决策的透明度和结果公平公正，并提供

             行使免受自动化决策权的便捷方式。第四，企业在进行数据跨境提供时仍应遵守
             “告知—同意”规则，取得个人的单独同意，关键信息基础设施运营者和达到规
             定数量的个人信息处理者还负有数据本地化存储义务，非经网信部门安全评估不
             得跨境提供。第五，企业还应防止客户、第三方将数据用于违法犯罪活动，不得

             设立用于实施违法犯罪行为的网站、通讯群组，确保所提供的网络产品和服务未
             设置恶意程序，不含有法律禁止发布的信息。
                 数据使用阶段的刑事合规风险主要包括非法出售、提供公民个人信息可构成
             侵犯公民个人信息罪，即便是合法收集的个人信息，只要未经被收集者同意向他

             人提供，并且未采取匿名化技术措施的，也构成本罪；建立网站、通讯群组非法
             出售、提供公民个人信息的，构成非法利用信息网络罪；将获取的个人信息出售
             或提供给他人从事犯罪活动的，可构成帮助信息网络犯罪活动罪或者非法经营、
             诈骗、传销、侵犯知识产权等相关犯罪的共犯。

                 3. 第三方关联风险
                 企业所面临的数据合规风险常常并非来源于自身。企业作为一种具有法律人
             格的商业组织，经过集体决策或者经由企业负责人作出决定所实施的危害社会行
             为，被称为“系统性单位犯罪”，这意味着企业本身就是一个犯罪集团。这种情

             况虽然在现实中确实存在，但是大部分企业设立的目的不是为了犯罪，且不以犯
             罪为业，最终会构成犯罪是因为偶发性和不谨慎的因素。数据领域的第三方包括
             上游数据提供方、中游的数据代理商、下游的数据接受方等，企业经常受到牵连
             而承担第三方违法犯罪的连带责任。一旦第三方实施了违法行为，由于企业采取

             了接受、纵容态度，没有制止或纠正数据滥用行为，没有及时填补管理漏洞、消
             除制度隐患，最终被推定为构成“非系统性单位犯罪”。
                 企业一方面可能构成侵犯公民个人信息罪或者帮助信息网络犯罪活动罪等新
             型犯罪，另一方面，如果对第三方利用数据实施的传统犯罪知情，还可能构成相

             关犯罪的共犯。例如，第三方利用网络平台进行赌博活动或者开设赌场，企业作
             为平台提供方可构成开设赌场罪；而第三方利用网络平台传播淫秽视频和图片的，


             136