馬康華

浙江圣港律師事務所，浙江 杭州 310051

隨著經濟全球化的不斷深入，我國企業(yè)面臨的刑事風險相較于國內環(huán)境而言日益嚴峻，尤其是諸如《薩班斯法案》第四百零四條以及英國的《2010賄賂罪法案》等法律均具有域外效力，企業(yè)因不合規(guī)而涉嫌的刑事犯罪，所受到的處罰往往是其無法承受的。因此，對于企業(yè)層面而言，建立有效的合規(guī)計劃迫在眉睫，在企業(yè)刑事合規(guī)的大趨勢下，需要引入專項數(shù)據(jù)合規(guī)計劃，通過合規(guī)計劃將公司治理理念、治理政策內化為企業(yè)的內部控制機制，以切割公司法人本身與相關行為人的法律聯(lián)系。

一、企業(yè)刑事合規(guī)的中國困境

（一）尚未確立統(tǒng)一的標準

2016年4月國資委頒布《關于在部分中央企業(yè)開展合規(guī)管理體系建設試點工作的通知》，為企業(yè)合規(guī)管理提供了指南；2018年我國合規(guī)領域迅猛發(fā)展，作為國家標準的《合規(guī)管理體系指南》正式實施；《中央企業(yè)合規(guī)管理指引（試行）》等多條法規(guī)頒布；到2020年，最高檢在六家基層檢察院推出合規(guī)試點，隨后將范圍擴大到北京、浙江等十個地區(qū)；2021年，由最高檢牽頭，多部門共同制定了《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）》，各地紛紛開始對企業(yè)合規(guī)領域進行探索?？偟膩碚f，盡管我國企業(yè)合規(guī)起步較晚，但近年來在中央的提議下在各地得到了迅速的發(fā)展，當前的合規(guī)呈現(xiàn)出合規(guī)主體多元化、監(jiān)督部門多元化、體系化建設的多層次化等特點，但在這些特點背后，呈現(xiàn)出來的隱藏風險在于多頭管理，缺乏統(tǒng)一的上位法支撐。

（二）刑法對嚴格責任制度的抵觸

我國在侵權責任以及行政監(jiān)管領域中，已經對嚴格責任制度有所涉及，但在刑法領域，嚴格責任制度并沒有得到真正的認可。原因在于我國《刑法》推行的是主客觀相統(tǒng)一原則，即客觀上要有犯罪行為，主觀上要有犯罪意圖，僅有危害行為的發(fā)生而沒有主觀上的意圖不能認定為有罪。［1］嚴格責任制度與無罪抗辯是相輔相成的，在嚴格責任制度的框架下，雖對公司犯罪嚴格監(jiān)管，但也為公司提供了無罪抗辯的權利從而為公司推行刑事合規(guī)計劃提供了內核動力。刑事合規(guī)的中國困境的內在原因之一，就是嚴格責任制度在中國《刑法》中沒有生存空間，公司即便花費高額成本推行了刑事合規(guī)，也并沒有實質性的法條指引可以因此而免除刑事責任。

（三）單位刑事責任存在固有缺陷

我國目前對公司的行政處罰，包括對單位采取“責令停業(yè)整頓”“吊銷營業(yè)執(zhí)照或許可證”等。但對公司對刑事處罰大體上可以歸類為“罰沒”性質，也即處以罰金、追繳犯罪所得及孳息以及罰沒犯罪工具等，甚至對公司采取刑事處罰后，就一般不會再對公司進行行政處罰。在實踐中法院也不會像美國采取類似“觀察”的措施，只能做到處罰而不能做到彌補公司制度漏洞，防止該公司繼續(xù)出現(xiàn)犯罪行為，將公司被動置于一種可以繳納罰金后就可以“萬事大吉”的狀態(tài)。［2］因此公司在考慮到犯罪成本與合規(guī)成本的差距后，往往會選擇被刑事處罰而非實行刑事合規(guī)。

（四）合規(guī)未成為各方的適用依據(jù)

對于刑法而言，刑事合規(guī)并未成為減輕、從輕甚至免除處罰的依據(jù)。盡管在司法實踐中關于合規(guī)計劃有作為酌定量刑情節(jié)的趨勢，例如涉嫌犯罪的公司配合調查，積極退贓，積極賠償被害人等情形，司法機關在量刑時會作為部分考量因素予以適當?shù)淖枚◤妮p量刑。但其大部分還是取決于法官的自由裁量。在《刑事訴訟法》中，我國為防止檢察機關濫用不起訴權利，只有在情節(jié)顯著輕微的案件中才可以適用酌定不起訴決定。對于涉嫌商業(yè)賄賂、欺詐等案件往往涉及金額巨大，明顯不屬于情節(jié)顯著輕微的案件，若對該類案件檢察機關作出不起訴決定或者從輕、減輕的決定沒有法律依據(jù)。歐美國家的“暫緩起訴協(xié)議”制度從其適用效果而言帶來了理想的效果，但若在中國現(xiàn)階段推行該制度可能會極大沖擊中國現(xiàn)行的司法體制與理念。

二、數(shù)據(jù)合規(guī)機制的體系構建模式選擇

（一）專項數(shù)據(jù)合規(guī)計劃的必要性

大數(shù)據(jù)時代、社會數(shù)字化轉型使得數(shù)據(jù)的內涵與外延呈現(xiàn)多元化擴張的態(tài)勢。由于智能社會運行極大依賴于數(shù)據(jù)的集合，智能交通、智能電網(wǎng)、智能城市等正常運行的背后都需要一系列數(shù)據(jù)資源的支持，［3］因此海量數(shù)據(jù)的本身就具有極大的經濟價值。從某種程度上可以如此概括，社會的智能化程度越高，數(shù)據(jù)安全的風險也越大。由于數(shù)據(jù)本身的特性導致其價值難以衡量，傳統(tǒng)刑法受限于自身的謙抑性和最后性，往往對數(shù)據(jù)安全的保護具有局限性。對數(shù)據(jù)犯罪行為的事后評價已無法填平數(shù)據(jù)因泄露或篡改而造成的損失。數(shù)據(jù)安全防治需要利用刑法的風險防范指導以及積極的預防理念的引入，而刑事合規(guī)包含的事前風險識別機制和一系列應對風險防范措施，正是實現(xiàn)積極的事前預防治理政策的必然手段，其攜帶明確性、分割性的優(yōu)勢不僅圈定了企業(yè)在數(shù)據(jù)犯罪中的刑事邊界，也有助于企業(yè)區(qū)別其他違法活動與合法數(shù)據(jù)處理活動，是企業(yè)法人防范刑事風險的第一道屏障。［4］

（二）數(shù)據(jù)合規(guī)機制的體系構建模式選擇

由于數(shù)據(jù)類型企業(yè)在民營企業(yè)中數(shù)量的激增，相應法律法規(guī)對其會賦予較多的數(shù)據(jù)安全管控義務。特別是目前數(shù)據(jù)領域的法律規(guī)則和制裁機制已無法跟上數(shù)據(jù)技術的發(fā)展速率，在法律相對薄弱的領域必然加劇了數(shù)據(jù)安全責任的嚴苛化，導致數(shù)據(jù)企業(yè)不可避免地面臨多樣的法律風險。在此情形下，對于網(wǎng)絡數(shù)據(jù)服務商而言，清晰劃分數(shù)據(jù)安全的責任邊界具有重大戰(zhàn)略意義。

目前我國《刑法》修正較為頻繁，繼續(xù)通過增設刑法罪名，來監(jiān)管企業(yè)怠于履行刑事合規(guī)計劃不具有操作性。我國的《刑法》中已經設立了多種與數(shù)據(jù)公司密切的罪名，如拒不履行信息網(wǎng)絡安全管理義務罪，該罪的設立開啟了國家與企業(yè)合作治理模式，將履行信息網(wǎng)絡安全管理從道德層面上升為法律層面。但自增設該條文后，實踐中運用該法條將企業(yè)定罪量刑的案例鮮有耳聞，幾乎該法條處于被擱置狀態(tài)。無論是國內司法實踐還是域外法律經驗，通過增設單獨罪名來規(guī)制某一犯罪行為的方式都是遠遠滯后于現(xiàn)實犯罪行為，且不具有典型性。

因此，可以在不增設《刑法》新罪名的前提下，通過新增《刑法》的量刑激勵，引領企業(yè)有效建立刑事合規(guī)計劃，推動其積極開展數(shù)據(jù)安全防護工作。就域外經驗而言，歐盟通過《通用數(shù)據(jù)保護條例》（GDPR）的量刑考量來推進企業(yè)刑事合規(guī)計劃的構建，表現(xiàn)為對不合規(guī)的企業(yè)加重責任和處罰，以及對實施數(shù)據(jù)合規(guī)計劃的企業(yè)予以減免罰金的優(yōu)待，從正反兩方面鼓勵企業(yè)利用刑事合規(guī)計劃來規(guī)避法律風險。雖然刑事合規(guī)作為量刑要素，在我國并未得到法律的明文支持，但個別案例中已成為法官的酌定考量因素，相較于變動幅度巨大的新增罪名來規(guī)制犯罪行為，以量刑激勵來促使企業(yè)實施刑事合規(guī)計劃更具有操作性。在企業(yè)有明確設立合規(guī)結果導向后，內發(fā)的積極預防治理理念才會融入到企業(yè)的血液中。該結果導向（量刑激勵）該如何設置，設置到如何程度以及到何種程度才可適用將是下文討論的重點。

三、企業(yè)刑事合規(guī)的內化路徑

（一）構建“中國化和解制度”與量刑激勵

我國當前對刑事合規(guī)的激勵主要是行政和解制度以及認罪認罰從寬制度。由于目前我國涉及公司違法案件對公司的處罰多以行政處罰為主，因此通過行政法律法規(guī)來激勵刑事合規(guī)是當下最經濟的方式。［5］但單純的行政和解并不能解決企業(yè)在犯有嚴重刑事犯罪的所有問題，或者說，若公司犯有嚴重刑事犯罪，即便已經達成行政和解，但并不能豁免公司的刑事責任。至于認罪認罰從寬制度，雖然已經是一種較為成熟的制度，但并不能實現(xiàn)預防公司犯罪和持續(xù)合規(guī)經營的目的，亦不能實現(xiàn)解決處罰公司之后如何改變公司治理結構的問題。我國目前的“和解制度”并不能單純依靠以上兩種制度實現(xiàn)，而應引入有效的合規(guī)計劃。

首先，構建量刑激勵制度。從法理學上來看，現(xiàn)代意義上的罪刑均衡為報應刑與預防刑的并合，建立并實施了合規(guī)計劃的企業(yè)預防的必要性降低，從而減輕甚至免除刑罰；其次，通過刑事責任的減免甚至免除，為公司提供合規(guī)動力，使其進一步加強事前的積極防范。因此刑罰量刑激勵既有其法理基礎也有良好的法律效果。刑法激勵機制可以分為五種模式，分別為以合規(guī)為根據(jù)作出不起訴、無罪抗辯事由、從輕量刑情節(jié)、換取和解協(xié)議并進而換取撤訴，以及對違法行為披露換取寬大刑事處理模式。毫無疑問對于公司而言考慮到公司各種資質不會被剝奪，檢察院對其作出不起訴模式對其具有更強的吸引力。

因此，需要進一步明確不起訴的范圍。我國法律并不像英美法系實施嚴格責任原則，但在實踐中存在主觀意志推定原則，即對有關人員的犯罪行為，只要公司不采取制止、糾正等措施，就推定其需要承擔刑事責任。未來應當在《刑事訴訟法》分則部分增設單位犯罪的附條件不起訴制度，在公司已經實施合規(guī)計劃，對相關人員違法行為采取了禁止、懲戒措施就足以證明公司已盡到管理、監(jiān)督責任，已對上述人員的法律責任進行了切割。參考美國檢察官是否對于企業(yè)刑事合規(guī)為根據(jù)作出不起訴決定考量以下七個因素，可以作為我國公司專項數(shù)據(jù)合規(guī)的方向：犯罪行為的性質和嚴重程度；公司內部違法違規(guī)行為的普遍性；公司是否有類似的行為歷史；公司發(fā)現(xiàn)犯罪行為的及時性、自覺性以及對調查人員的配合程度；公司是否建立了完備的合規(guī)計劃；公司采取的補救措施是否完整；有無附帶的不良后果。［6］公司可以以上述美國合規(guī)不起訴考量因素來對公司合規(guī)計劃作出調整，以作為后續(xù)公司脫罪的抗辯理由。

（二）數(shù)據(jù)安全視角下專項合規(guī)計劃的具體實施

在數(shù)據(jù)獲取階段，首先需要通過數(shù)據(jù)合規(guī)計劃，具體明確數(shù)據(jù)獲取的途徑。通過正面清單模式確認公司各類員工及關聯(lián)公司僅能通過數(shù)據(jù)合規(guī)計劃中明確的數(shù)據(jù)獲取方式來取得數(shù)據(jù)。且應當在向數(shù)據(jù)主體獲取數(shù)據(jù)時，將知情同意、目的合理、最小化三項原則的遵守情況作為合規(guī)審查的重點。［7］其次，將采集的數(shù)據(jù)用于不同的場景必須具有合理性，作為互聯(lián)網(wǎng)信息服務提供者不得有將數(shù)據(jù)用于超出提供服務之外的目的，將采集的頻次和獲取的數(shù)量盡量控制在合理限度內。同時，數(shù)據(jù)公司應當在服務所需要的最小范圍內采集所需數(shù)據(jù)，不得過度采集。

在數(shù)據(jù)存儲、傳輸階段，應當對其安全防控的技術手段予以不斷革新。對此公司可以對數(shù)據(jù)進行大分類，對不同分類的數(shù)據(jù)類型予以專人、專門機構進行管控，一旦發(fā)生數(shù)據(jù)泄漏事件，由專門機構立即組建應急團隊以通知數(shù)據(jù)主體及相關權利人以減少數(shù)據(jù)泄漏導致的損失。甚至可以設立數(shù)據(jù)合規(guī)部對不同類型數(shù)據(jù)進行總的把控，對數(shù)據(jù)重要程度設立訪問權限。所有合規(guī)人員理論上不在公司內部擔任其他職務，以避免可能出現(xiàn)的利益沖突。公司內部出具數(shù)據(jù)管理和使用規(guī)則并對可以接觸數(shù)據(jù)的人員進行業(yè)務培訓及風險安全培訓，員工入職或崗位變更均簽署數(shù)據(jù)安全防泄露協(xié)議或者保密協(xié)議。

最后，調整公司治理結構。美國合規(guī)發(fā)展過程中，檢察官通常會通過不起訴協(xié)議與暫緩起訴協(xié)議來推動或者調整公司整體的治理結構，包括對公司人員、職位的變動。合規(guī)團隊成員中至少包括一名由檢察院指定的派駐人員對合規(guī)團隊以及合規(guī)計劃進行持續(xù)監(jiān)督。同時，督促企業(yè)建立總的合規(guī)計劃以及專項合規(guī)計劃，并且合規(guī)計劃不僅要建立，還要在合規(guī)團隊的運行下確保合規(guī)計劃得以有效運行。合規(guī)計劃得以有效運行的前提是建立一套動態(tài)的合規(guī)機制，總攬數(shù)據(jù)收集、數(shù)據(jù)跨境、數(shù)據(jù)保護影響評估、數(shù)據(jù)泄露、數(shù)據(jù)留存與銷毀、數(shù)據(jù)處理記錄的數(shù)據(jù)全生命周期。在落實數(shù)據(jù)合規(guī)計劃下沉時應當注意到完善數(shù)據(jù)保護業(yè)務線條的場景化指引，做到缺位補全、已有優(yōu)化和更新；通過風險評估、合規(guī)檢查、日常合規(guī)咨詢持續(xù)識別業(yè)務堵點和痛點等明晰員工職責范圍，確立員工行為與公司責任的界限。

綜上所述，在全球化發(fā)展的趨勢下，有涉外業(yè)務的央企、國企以及民營企業(yè)不可避免地面臨合規(guī)的考驗。筆者以數(shù)據(jù)公司為視角，通過對比合規(guī)機制的體系構建模式分析得出，將刑事合規(guī)納入量刑指南的方式作為企業(yè)刑事激勵的模式，更具有可操作性及有效性。在落實專項數(shù)據(jù)合規(guī)計劃時，應從數(shù)據(jù)獲取、存儲、傳輸階段以及數(shù)據(jù)公司治理結構的角度提供一系列實操措施來切割公司員工與公司之間的行為聯(lián)系，建立一套數(shù)據(jù)從獲取端到流出端全流程的風險識別與應對的專項數(shù)據(jù)合規(guī)體系。