[摘 要]單位是獲取和使用公民個人信息的重要主體，其所涉侵犯公民個人信息案件存在犯罪查處率較低、涉案行業(yè)覆蓋面廣、侵犯個人信息規(guī)模大、受處罰標準不一等問題，這表明當前刑法在治理單位侵犯個人信息方面效果欠佳。刑事合規(guī)作為國家倡導的治理單位犯罪的重要手段，通過激勵單位建立有效的風險防范機制，促進單位規(guī)范經(jīng)營，有利于從源頭上治理單位犯罪。因此，以當前單位侵犯公民個人信息犯罪基本態(tài)勢和問題為出發(fā)點，從明確信息使用合規(guī)標準、倒逼單位進行合規(guī)建設、依據(jù)法益侵害程度開展刑事合規(guī)三方面優(yōu)化侵犯公民個人信息的刑事合規(guī)制度，構(gòu)建更具針對性的刑事合規(guī)治理模式，有利于從源頭上保障公民個人信息的安全。

[關鍵詞]侵犯公民個人信息罪；單位犯罪；刑事合規(guī)

[中圖分類號]DF624 [文獻標識碼]A [文章編號]1671-8372（2024）03-0055-09

Optimizing the governance of organizational crimes of infringing on citizens’ personal information

— from the perspective of criminal compliance

Abstract：Organizations are key entities in collecting and utilizing citizens’personal information. However，cases of organizations infringing on personal information often exhibit low criminal investigation rates，a wide range of industries involved，large-scale breaches of personal information，and inconsistent punishment standards. This indicates that the current criminal law has been less effective in addressing organizational infringements on personal information. As a state-endorsed tool for addressing corporate crime，criminal compliance encourages organizations to establish effective risk prevention mechanisms and promotes regulated operations，ultimately helping to address corporate crime at its source. Therefore，by focusing on the current trends and issues surrounding organizational infringements on citizens’personal information，improvements can be made in three key areas：clarifying standards for information usage compliance，encouraging organizations to implement compliance mechanisms，and basing criminal compliance on the degree of harm to legal interests. Establishing a more targeted criminal compliance governance model will help ensure the protection of citizens’personal information from the source.

Key words：the crime of infringing on citizens’personal information；organizational crime；criminal compliance

一、引言

近年來，隨著信息網(wǎng)絡技術(shù)的蓬勃發(fā)展，信息數(shù)據(jù)的商業(yè)價值在被廣泛開發(fā)的同時，也給公民的個人信息安全帶來了潛在的風險。為此，《中華人民共和國刑法修正案（七）》（下文簡稱《刑法修正案<七>》）增設了出售、非法提供公民個人信息罪。隨著數(shù)據(jù)安全的保護需求愈發(fā)強烈，《中華人民共和國刑法修正案（九）》（下文簡稱《刑法修正案<九>》）對此罪作了修改，將其變更為侵犯公民個人信息罪，進一步擴大了侵犯公民個人信息行為的保護范圍。在此罪法網(wǎng)嚴密化、擴張化的背景下，單位作為對信息資源有巨大需求的主體，若處理個人信息不規(guī)范，會面臨刑罰制裁的風險。誠然，通過修正罪名的方式能在一定程度上遏制單位侵犯公民個人信息的現(xiàn)象，但法網(wǎng)的日益嚴密化和刑罰的嚴苛性也讓單位在處理個人信息時有了更多的顧慮，打擊了單位利用數(shù)據(jù)資源的積極性。大數(shù)據(jù)時代下，信息數(shù)據(jù)的流通使用已是大勢所趨，只偏重于對侵犯公民個人信息的事后打擊，而忽視對信息獲取和使用的正向引導，必會阻塞信息流通的渠道。由于個人信息涉及公民、國家、單位等社會主體，僅依靠事后刑罰懲治，而忽視其他社會主體的協(xié)同治理，所取得的社會治理效果必然會差強人意。因此，應當認識到事后刑罰懲治這一治理模式的局限性，探求一種新型治理模式，以在保護個人信息的同時兼顧信息產(chǎn)業(yè)的發(fā)展。

刑事合規(guī)作為當前治理單位犯罪的重要手段，受到了學界的廣泛關注，不少學者提出可以利用刑事合規(guī)制度治理單位侵犯公民個人信息犯罪。譬如，楊猛從國家、公共和個人的三維數(shù)據(jù)安全法益的角度出發(fā)，提出構(gòu)建保護與利用并重、單位自律與外部監(jiān)管兼?zhèn)涞娜轿粏挝粩?shù)據(jù)刑事合規(guī)[1]；鄒開亮從敏感個人信息保護的角度，提出要確立專職性平臺單位數(shù)據(jù)合規(guī)監(jiān)管機構(gòu)以嚴格單位數(shù)據(jù)違規(guī)的法律責任[2]。此外，還有學者針對網(wǎng)絡平臺處理個人信息所面臨的刑事風險，提出應當明確網(wǎng)絡平臺合規(guī)義務范圍并構(gòu)建網(wǎng)絡平臺履行合規(guī)義務下的出罪模式[3]。

上述學者們的研究表明，運用刑事合規(guī)制度治理單位侵犯公民個人信息犯罪具有可行性。然而，在綜合分析現(xiàn)有的研究文獻后，筆者發(fā)現(xiàn)當前學術(shù)界的研究忽視了單位侵犯公民個人信息犯罪的實際情況，并未提出針對性的刑事合規(guī)治理對策。因此，本文通過對公開的單位侵犯公民個人信息犯罪案件進行統(tǒng)計分析，采用實證研究的方法闡釋單位侵犯公民個人信息犯罪的基本態(tài)勢，分析單位侵犯公民個人信息犯罪的現(xiàn)實困境，并探討相應的刑事合規(guī)治理策略，以期從源頭上破解個人信息保護與信息發(fā)展之間的難題，為我國刑事合規(guī)的本土化建設提供參考。

二、單位侵犯公民個人信息犯罪態(tài)勢分析

（一）單位侵犯公民個人信息犯罪查處率低

通過中國裁判文書網(wǎng)，以案由“侵犯公民個人信息罪”和當事人“單位”進行關鍵詞高級檢索，去除重復、未公開等無參考價值的判決書后，筆者獲取了2016—2023年上半年關于單位涉侵犯公民個人信息罪的判決書共118份，反觀自然人涉侵犯公民個人信息案件公開的判決書數(shù)量卻為8774份，遠遠高于單位犯罪數(shù)量（見表1）。此外，根據(jù)工信部發(fā)布的《關于侵害用戶權(quán)益行為的APP（SDK）通報》內(nèi)容來看，2019—2023年，共有1287個APP涉嫌侵害用戶權(quán)益。其中違規(guī)使用個人信息、違規(guī)或超范圍收集個人信息共計1004個，占比高達78%。在APP違法收集、使用個人信息的情況日益嚴重的背景下，單位侵犯公民個人信息犯罪的刑事裁判文書在7年內(nèi)僅百余份，這一現(xiàn)象表明，單位侵犯公民個人信息的實際情況與司法實踐中查處單位侵犯公民個人信息犯罪的情況存在明顯的不一致性。誠然，《刑法修正案（九）》及司法解釋雖將侵犯公民個人信息罪法網(wǎng)嚴密化，但是在實踐中，單位員工通過非法獲取公民個人信息擴展業(yè)務的行為，在絕大多數(shù)的情況下是得到了單位高層的默許。而案發(fā)后，單位往往又以非單位意志為由予以抗辯，司法實踐也往往以單位部分人員的違法行為不能體現(xiàn)單位意志為由，不認為單位構(gòu)成犯罪。并且，當前刑法對于侵犯公民個人信息的行為規(guī)制僅停留在信息非法獲取層面，對于信息使用層面的規(guī)制有所缺失，致使單位在采用合法或者灰色手段獲取個人信息后進行濫用的行為尚未得到有效規(guī)制。

（二）涉案行業(yè)覆蓋面廣，侵犯個人信息規(guī)模大

通過對所收集判決書的初步統(tǒng)計，涉嫌侵犯公民個人信息罪的單位類型呈現(xiàn)多樣性特點，信息技術(shù)型單位占比達23.93%，位居第一；緊隨其后的是建設工程類占比約22.22%，銷售服務類與信息咨詢類單位數(shù)量相當，占比約19.66%（見表2）。中介業(yè)務型和電子商務型相較于前幾類單位涉案數(shù)量雖相對較少，但仍具有較大的入罪風險。從統(tǒng)計的受侵害信息規(guī)模來看，單位侵犯公民個人信息的規(guī)模龐大，超過一半的涉案單位侵犯公民個人信息的數(shù)量超過10萬條，近1/5以上的案件侵犯公民個人信息數(shù)量超過50萬條，而涉案數(shù)量最多的非法獲取公民個人信息則高達1676萬余條①。這些數(shù)據(jù)既體現(xiàn)了單位侵犯公民個人信息犯罪的基本特征，也從側(cè)面反映出數(shù)據(jù)時代下絕大多數(shù)行業(yè)的單位對于信息數(shù)據(jù)都有著較為龐大的需求。通過案例分析發(fā)現(xiàn)，絕大多數(shù)涉案單位非法獲取個人信息的目的是進行業(yè)務推廣，為單位獲取更多利益。而當前我國刑法偏重于打擊侵犯公民個人信息的現(xiàn)象，因未給單位劃定獲取和使用個人信息的框架，導致一些單位因違規(guī)獲取個人信息而遭到刑法制裁。

（三）單位侵犯公民個人信息處罰標準尚不統(tǒng)一

通過對已公開判決書的分析，當前涉嫌侵犯公民個人信息罪的單位被判處的罰金數(shù)額過半數(shù)集中在1萬～10萬，平均罰金數(shù)額在20.6萬元，整體來看單位侵犯公民個人信息犯罪處罰力度較弱，呈輕刑化態(tài)勢（見表3）。但值得注意的是，由于《刑法修正案（九）》和侵犯公民個人信息罪司法解釋的出臺，侵犯公民個人信息罪入罪條件較多，司法機關在此罪下自由裁量權(quán)較大，導致部分案件在量刑程度上存在著較大的差異。譬如，在（2018）滬0107刑初906號案件中，涉案單位侵犯了7萬條公民個人財產(chǎn)信息被判處了200萬元罰金；而在（2019）魯1703刑初115號案件中，涉案單位僅侵犯了1.2萬條公民身份信息卻被判處高達200萬元的罰金數(shù)量。同樣的，在（2018）川0107刑初439號案件與（2017）魯0702刑初432號案件中，涉案單位都是出于拓展公司業(yè)務的目的侵犯了公民的個人財產(chǎn)信息，但侵犯公民個人信息數(shù)量相差240萬條，卻都受到相同的10萬元罰金處罰（見表4）。這些實例表明，在當前司法實踐中，由于對單位侵犯公民個人信息的處罰標準尚不統(tǒng)一，存在著保護單位發(fā)展與保護公民權(quán)益相互交織的矛盾，而規(guī)制理念的不同又導致了同樣的案件在量刑方面存在著較大的差異。

三、當前刑法治理單位侵犯公民個人信息犯罪之困境

綜上所述，單位侵犯公民個人信息犯罪在我國呈現(xiàn)出侵犯個人信息現(xiàn)象頻發(fā)但犯罪查處率低，涉案單位行業(yè)范圍廣、侵犯信息規(guī)模龐大，涉案單位受罰標準不一等基本態(tài)勢。這些現(xiàn)狀都表明現(xiàn)有刑法在治理單位侵犯公民個人信息犯罪方面效果欠佳，存在對實際情況的忽視，缺乏有針對性的措施來規(guī)制單位侵犯公民個人信息犯罪的問題。

（一）缺乏對“合法獲取，不當濫用”個人信息的有效規(guī)制

根據(jù)《中華人民共和國刑法》（以下簡稱《刑法》）對于侵犯公民個人信息罪狀的表述，侵犯公民個人信息行為類型包括出售或提供以及以其他非法手段獲取個人信息。此后的司法解釋在此基礎上對于侵犯公民個人信息的獲取行為進行了細化，但并未對此罪的行為方式進行補充。然而，這兩種行為在《刑法》及其司法解釋上都屬于轉(zhuǎn)移公民個人信息行為[4]。現(xiàn)有規(guī)定對于不當使用公民個人信息的規(guī)定有所缺失。誠然，從信息轉(zhuǎn)移層面對于侵犯公民個人信息的行為進行刑法規(guī)制，其初衷在于從信息獲取的源頭上阻斷犯罪現(xiàn)象，從而達到一勞永逸的效果。然而，互聯(lián)網(wǎng)時代下，由于數(shù)據(jù)的即時傳播性，公民的個人信息無時無刻不在進行傳輸和運用，個人信息的歸屬者和控制者已經(jīng)呈現(xiàn)分離狀態(tài)[5]，公民無論是基于社會交往還是日常生活都需要進行個人信息的共享和傳輸，因此確保公民個人信息完全由本人控制并保持其秘密性并不現(xiàn)實。而我國《刑法》及其司法解釋對于侵犯公民個人信息的行為規(guī)制還停留在以信息轉(zhuǎn)移為核心的層面，此種規(guī)定實則忽略了數(shù)據(jù)時代下個人信息的開放共享性。

對于公民個人信息的侵害，單從信息的轉(zhuǎn)移層面進行規(guī)制，其實是忽略了信息轉(zhuǎn)移的目的—信息使用。隨著侵犯公民個人信息罪規(guī)定的嚴密化，單位這一社會主體逐漸意識到不當獲取個人信息存在涉刑風險，但同時也察覺到現(xiàn)有規(guī)定的漏洞，于是出現(xiàn)了通過采用“合法獲取，不當濫用”的方式對于公民個人信息予以侵害的現(xiàn)象。譬如某些網(wǎng)絡平臺通過冗長的用戶須知條款，使用戶為了獲取軟件服務進行信息轉(zhuǎn)移的打包授權(quán)，就是通過這種方式在合法獲取公民個人信息后，再濫用這些信息達成自身的目的。這也是現(xiàn)實中的個人信息雖有刑法保護，但受侵犯的現(xiàn)象又屢見不鮮的根源所在。由于非法使用個人信息的行為對法益侵害具有直接性，不法分子可以直接利用個人信息進行電信詐騙等違法犯罪行為，相較于非法獲取個人信息，其社會危害性更大。然而現(xiàn)行法律規(guī)定卻忽視了個人信息獲取后的不當濫用行為，致使公民個人信息權(quán)利的保護并未達到預期的立法效果。由于信息的非法使用不同于信息的非法獲取，無法通過擴大解釋將其納入當前侵犯公民個人信息罪。同時，保護法益的不同，非法使用個人信息行為也無法被其他罪名所涵蓋[6]。鑒于此，不少學者建議將濫用個人信息行為納入侵犯公民個人信息罪的范圍。筆者對此持贊同態(tài)度。但值得思考的是，在數(shù)據(jù)時代，單位通過利用公民個人信息提高經(jīng)營效率已經(jīng)成為一種普遍現(xiàn)象，若將濫用個人信息納入侵犯公民個人信息罪的范圍，單位及相關人員一旦在處理個人信息方面不合規(guī)范，則易于遭到刑法的制裁。然而，若單位因此打上犯罪的標簽，不僅會對后續(xù)的生產(chǎn)和經(jīng)營活動產(chǎn)生巨大的負面影響，還可能導致其他單位在獲取和利用信息提高生產(chǎn)效率時產(chǎn)生更多顧慮，從而削弱單位使用信息的積極性，不利于信息經(jīng)濟的發(fā)展。制定法律的目的絕非限制單位的經(jīng)營自由，而是為了保護和擴大單位的正當經(jīng)營自由。因此，刑法作為社會的產(chǎn)物，其條文的增設需要與當前社會發(fā)展相符，在保護個人信息的同時也應當考慮信息經(jīng)濟發(fā)展的需要，亦即在規(guī)制不當個人信息行為濫用的同時，不能僅是將之納入刑事打擊范圍后就一勞永逸，而是應當通過健全相應的制度，保障單位能最大限度地正當使用信息資源，促進自身的生產(chǎn)經(jīng)營。

（二）過度依賴刑法懲治，缺乏多元主體參與治理

從近些年國家對于公民個人信息的立法保護來看，我國《刑法》充當了先行者角色。早在《刑法修正案（七）》中就有了侵犯個人信息犯罪的雛形，在此之后盡管有《個人信息保護法》《網(wǎng)絡安全法》等非刑事法律的出臺，但其目的只是進一步保護公民個人信息，與《刑法》之間的界限并不分明，這使得當前對于個人信息的保護隱隱有著“過度刑法化”的跡象[7]。一方面，《刑法修正案（九）》加大了侵犯公民個人信息罪的處罰力度；另一方面，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定，“公民個人信息”是指那些能夠單獨或與其他信息結(jié)合起來用于識別公民個人身份或反映公民活動情況的信息，其特點在于具有“可識別性”。然而，在當前科技發(fā)達的時代下，絕大多數(shù)信息都可以通過技術(shù)手段直接或者間接地識別出公民特性，這使得公民個人信息的概念界定有“口袋化”傾向，意味著可以通過擴大解釋“公民個人信息”的內(nèi)涵來拓寬刑事處罰范圍，也因此，在刑事領域，對于侵犯公民個人信息罪的懲治處于不斷擴張的態(tài)勢，表現(xiàn)出了刑法治理的嚴密化走向[8]。

這種擴大化、嚴密化的刑法保護態(tài)勢，表明我國對于公民個人信息的保護是注重事后懲戒而忽視了事前預防，而這并非最佳模式。其原因在于，一方面，事后懲戒性的刑事法律規(guī)制手段是在公民個人信息被侵害之后予以救濟，這種手段雖對傳統(tǒng)的違法犯罪能夠取得一般預防和特殊預防相統(tǒng)一的成效，但對于侵犯公民個人信息罪，這種因時代發(fā)展而出現(xiàn)的新型犯罪僅能治標而不能治本。在數(shù)字時代，公民的個人信息在受到侵害后，其危險性并未結(jié)束，這些被非法獲取的個人信息還會被用于更加嚴重的下游犯罪。譬如電信詐騙，不但會對公民的財產(chǎn)造成極大的侵害，而且會使公民的生活隱私、財產(chǎn)賬戶等陷于不安全狀態(tài)，致使人人自危，不利于社會的穩(wěn)定。因此不能僅靠事后懲戒來保護公民的個人信息，還需通過事前的預防措施來避免更為嚴重的下游犯罪。另一方面，侵犯公民個人信息罪所涉及的主體極為廣泛，不僅僅是公民個人，還涉及單位，甚至于國家。多方主體與公民個人信息都存在著千絲萬縷的聯(lián)系，僅依靠國家刑法懲治的力量必然是不夠的，還需要多元主體參與協(xié)同治理才能發(fā)揮出更大的功效。然而，當前對于公民個人信息的治理仍然局限在國家公權(quán)力層面，忽視了信息收集和使用的重點主體，即單位在保護公民個人信息安全所起到的關鍵作用。由于單位內(nèi)部風險防控機制和自身的規(guī)范運行是從事前預防的角度規(guī)范侵犯公民個人信息行為，通過與刑法事后處罰機制有機結(jié)合，形成多元化治理體系，有利于從根本上解決侵犯公民個人信息的問題。但遺憾的是，關于單位個人信息保護的合規(guī)建設尚未得到應有的關注，單位在內(nèi)部出現(xiàn)員工侵犯公民個人信息罪時，難以將有效的合規(guī)計劃作為抗辯事由證明自身無罪①。也因此，單位在個人信息保護的合規(guī)建設方面缺少積極性，使得單位在保護個人信息方面存在缺位。

（三）法益定位爭端下公民個人信息安全和發(fā)展缺乏平衡

刑法法益對于正確認識犯罪的本質(zhì)具有重要作用，對于刑事立法起著指導作用[9]。理論界關于侵犯公民個人信息罪的法益屬性的確定，存在個人法益說和超個人法益說之爭，這使得侵犯公民個人信息罪的刑事立法規(guī)制的目的和范圍并不明確。個人法益說認為侵犯公民個人信息罪侵犯的是公民個人的法益，其學說內(nèi)部又包含隱私權(quán)說和信息權(quán)說。隱私權(quán)說認為侵犯公民個人信息罪是以保護隱私權(quán)這一主要法益為目的，即對公民的私人秘密、生活安寧等信息做統(tǒng)一保護；信息權(quán)說注意到隱私權(quán)說對于個人信息財產(chǎn)屬性的不當忽略，認為侵犯公民個人信息罪保護的法益是公民的個人信息權(quán)，即公民對其個人信息享有的決定權(quán)、保密權(quán)等多重控制權(quán)，屬于一種綜合性權(quán)利，兼具公民信息的人格利益和財產(chǎn)利益雙重屬性[10]。超個人法益說則認為，刑法作為最后的保護手段，只有當某個法益具有保護之必要時，才能運用刑法手段予以規(guī)制。也就是說，當單一或者少數(shù)公民個人信息遭到侵害時，刑法不能貿(mào)然介入其中。因此，超個人法益說認為侵犯公民個人信息罪所保護的是具有一定規(guī)模的公民個人信息，而非單個主體信息[11]。目前，我國《刑法》第253條規(guī)定，對于情節(jié)特別嚴重的侵犯公民個人信息的行為最高法定刑可達到七年有期徒刑，但此規(guī)定的嚴厲程度應當被認為侵犯公民個人信息罪法益屬于公共信息管理秩序，才能與此刑罰嚴厲程度相匹配[12]。

侵犯公民個人信息罪法益定位的爭論導致了侵犯公民個人信息罪規(guī)制理念的分歧。個人法益說認為本罪法益屬于公民積極、排他的絕對權(quán)[13]，應當注重私權(quán)絕對保護；而超個人法益則是將此罪置于防范社會風險的目的之下，強調(diào)“社會本位”，認為侵犯公民個人信息罪所侵害的是信息管理秩序，主張當公民個人信息受到侵害但未對公共安全造成危害時，刑法不應介入[14]。因此司法實踐中對于單位侵犯公民個人信息有著兩種不同做法：一種是注重私權(quán)保護，對于涉案單位予以嚴厲打擊，但會使得涉嫌單位因此一蹶不振；另一種是出于經(jīng)濟發(fā)展需要而注重公共利益，對于單位侵犯公民個人信息但未造成巨大危害的行為采取遷就態(tài)度，但會使得公民權(quán)利遭到侵害。此兩種做法各有利弊，但都未兼顧信息安全和發(fā)展的問題。故而需要打破傳統(tǒng)的刑法治理方式，尋找新的模式，在有效保護公民個人信息的同時，能夠兼顧我國信息產(chǎn)業(yè)的發(fā)展。

四、刑事合規(guī)視角下單位侵犯公民個人信息犯罪治理模式構(gòu)建

在風險社會背景下，刑事合規(guī)作為治理單位犯罪的重要手段，包括事前合規(guī)和事后合規(guī)兩個方面。前者是指單位在未涉嫌違法犯罪前，已經(jīng)建立有效的合規(guī)計劃，并將之作為單位犯罪違法阻卻事由；后者是指涉案單位在涉嫌違法犯罪后，接受司法機關督促進行合規(guī)整改，建立有效的合規(guī)計劃以獲得刑罰寬免[15]。事前合規(guī)的價值在于將單位侵犯公民個人信息犯罪的風險控制點轉(zhuǎn)移至犯罪行為之前，起到事先預防的作用；而事后合規(guī)的價值則在于給了涉嫌侵犯公民個人信息犯罪的單位改過自新的機會，單位在檢察機關督促下進行有效的合規(guī)整改，可預防再次犯罪?？傮w而言，刑事合規(guī)制度實際上是通過刑事責任的加重或減免，以外部強制力推動單位貫徹落實合規(guī)計劃，確保單位在法律框架內(nèi)規(guī)范運行，實現(xiàn)對于單位犯罪的預防和控制。當前刑法對于單位侵犯公民個人信息犯罪是依賴于事后刑罰懲戒，忽視了單位自治的預防效果和數(shù)據(jù)時代下單位對于信息資源的合理需求。刑事合規(guī)制度作為一種“規(guī)制的自治”，不但能夠推動單位發(fā)揮自我治理的優(yōu)勢，而且通過明確合規(guī)標準能夠讓單位在合法框架內(nèi)自由處理信息資源，有助于彌補事后刑罰懲戒治理的不足之處，解決當前刑法在治理單位侵犯公民個人信息犯罪的困境。

（一）侵犯公民個人信息罪刑事合規(guī)治理之可行性

1.理論基礎

單位犯罪的歸責問題是刑事合規(guī)的一個核心問題[16]。當前，刑法理論界對于單位犯罪責任的構(gòu)成可以歸納為替代責任和組織體責任兩種學說[17]。前者認為單位犯罪歸根到底是單位內(nèi)部自然人實施犯罪，單位責任應該來源于自然人責任，這一理論因忽視了法人這一主體的獨立性，所以既會出現(xiàn)讓自然人責任無條件轉(zhuǎn)移給法人的局面，也會出現(xiàn)單位內(nèi)部自然人責任難以認定而使單位責任無法確定的問題。而后者注意到替代責任的弊端，認為自然人雖然是單位的組成部分，但是自然人的行為并不一定能夠體現(xiàn)單位的意志，單位意志具有獨立性。因此，在組織體責任理論下，認定單位犯罪需要從單位的整體意志出發(fā)，以單位文化、單位內(nèi)部決策等為核心因素判斷單位是否構(gòu)成犯罪。這一觀點逐漸為刑法學界所認可，同時也被我國司法裁判逐漸采納。例如，在蘇某虛開增值稅專用發(fā)票罪案中，法院認為即使單位領導決定的行為也并不能認定為單位意志，還需要經(jīng)過單位決策程序方能認定為單位犯罪①；又如在魏某非法吸收公眾存款罪案中，法院認為魏某雖然經(jīng)過了公司決策程序，但公司經(jīng)營范圍并不包括吸收存款業(yè)務，因此不認為單位構(gòu)成犯罪②。司法實踐的做法表明我國認定單位犯罪的做法正在逐步接納組織體責任理論，即以單位意志為歸責要素，不再僅因單位內(nèi)部人員實施違法行為而認定單位構(gòu)成犯罪。而在刑事合規(guī)制度下，單位犯罪歸責原則的實質(zhì)在于將單位意志轉(zhuǎn)化為合規(guī)這一規(guī)范化表達。因此通過判定單位是否實施有效的合規(guī)計劃可作為單位出罪或者入罪的核心要素[18]，并可在組織體歸責模式的基礎上構(gòu)造以合規(guī)為核心的單位刑事責任論。

2.制度實踐

在實踐中，刑事合規(guī)制度具有兩方面的作用。一是能夠作為排除單位罪責的事由。只要單位建立并實施有效的合規(guī)計劃即可免除罪責。例如，《英國反賄賂法案》第7條規(guī)定，單位若擁有足以預防單位成員實施犯罪的合規(guī)措施，就能夠成為單位的合法辯護事由[19]。在我國刑事合規(guī)制度試點尚未開始之前，也有零星案例能夠肯定合規(guī)作為出罪事由。例如，在“雀巢員工侵犯公民個人信息案”中，公司提出的抗辯理由是，公司章程中明確規(guī)定，公司不允許雇員參與侵犯公民隱私的犯罪活動。最后法庭判決公司無罪。二是具有量刑激勵之功能。法院以單位是否開展合規(guī)計劃為量刑考量依據(jù)：如果單位開展并實行了有效的合規(guī)計劃則可以減輕刑罰。例如，《美國聯(lián)邦量刑指南》第8章“組織量刑”中規(guī)定，如果公司建立了一套行之有效的合規(guī)計劃，那么其刑罰的減免將會降低到95%。但是如果單位沒有或者缺少有效合規(guī)計劃，那么最高能夠處4倍罰金[20]。從近年來我國各部門發(fā)布的合規(guī)文件來看，刑事合規(guī)制度在我國已經(jīng)提上日程并開展試點。譬如《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見（試行）（高檢發(fā)〔2021〕6號）》《中央企業(yè)合規(guī)管理辦法（國務院國有資產(chǎn)監(jiān)督管理委員會令第42號）》等都要求單位依照法律法規(guī)開展合規(guī)建設。在刑事領域，我國檢察機關積極貫徹《最高人民檢察院關于全面履行檢察職能推動民營經(jīng)濟發(fā)展壯大的意見》中“促進企業(yè)合規(guī)經(jīng)營，優(yōu)化營商環(huán)境”的原則，對于已經(jīng)合規(guī)整改的單位采取從輕處罰的量刑建議。而從上文單位侵犯公民個人信息犯罪基本態(tài)勢可以得知，各地對于單位侵犯公民個人信息的處罰標準并不統(tǒng)一，這在一定程度上有背離罪責刑相適應原則之嫌。但如果通過引入刑事合規(guī)制度用以標準化量刑舉措，就極為契合我國寬嚴相濟的刑事政策。此外，刑事合規(guī)制度在刑事訴訟法層面具有暫緩起訴或者不起訴功能，若單位在涉罪后，能夠積極配合檢察機關進行有效的事后合規(guī)整改，經(jīng)過考察判定合規(guī)計劃有效，那么就可以獲得不起訴的寬大處理。這種模式既可調(diào)動單位進行合規(guī)運營的積極性，也可在最大程度上降低因刑事制裁而給單位帶來的負面影響。

（二）侵犯公民個人信息罪刑事合規(guī)治理模式之構(gòu)建

《刑法》第253條對侵犯公民個人信息罪的表述為“違反國家有關規(guī)定……”，這不但說明單位構(gòu)成侵犯公民個人信息犯罪需要滿足一定的前置條件，也表明遵守國家對于保護個人信息的前置性規(guī)定是單位避免構(gòu)成侵犯公民個人信息犯罪的應有之義[21]。也因此，單位侵犯公民個人信息犯罪的刑事合規(guī)建設應當以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等前置性法律法規(guī)為基準，才能做好刑事合規(guī)的行刑銜接工作，維護法秩序的統(tǒng)一性。當前，《個人信息保護法》等法律法規(guī)的出臺以及國家近年來開展的合規(guī)試點，已經(jīng)給單位侵犯公民個人信息犯罪提供了一個基礎的刑事合規(guī)框架[22]。然而，這一基礎框架尚未對當前刑法治理單位侵犯公民個人信息犯罪的困境做出回應。因此，可以從現(xiàn)有問題出發(fā)，對單位侵犯公民個人信息犯罪之刑事合規(guī)治理模式進行進一步完善。

1. 規(guī)制濫用行為的同時須明確使用個人信息之合規(guī)標準

《刑法》在擴充條文內(nèi)容以擴大刑事處罰范圍的同時，也應當確保修訂后的法條內(nèi)容與社會的實際發(fā)展需求相一致，避免出現(xiàn)因刑法過度干預而導致的系統(tǒng)性風險。由于《刑法》第253條僅對非法獲取個人信息的行為進行規(guī)制，而獲取層面對于個人信息的侵害并未觸及法益的核心內(nèi)容，有學者將此稱為“外圍式”立法[23]?？紤]到非法使用公民個人信息的行為對于個人信息的侵害具有直接性、精準性，其社會危害性更大，因此運用刑法規(guī)制濫用行為具有必要性。但是采用擴大入罪范圍的方式雖一方面能減少單位在使用層面侵犯公民個人信息的現(xiàn)象，但另一方面也會讓單位出于對刑罰制裁的畏懼而在使用個人信息時產(chǎn)生顧慮?！缎谭ā纷鳛閲业幕痉?，也應當是保護單位的最有力法律，不應在保護個人信息時顧此失彼，忽視單位在合理范圍內(nèi)使用個人信息的正當需求?；诖?，在利用刑法規(guī)制個人信息濫用的同時，應該盡可能減少侵犯公民個人信息犯罪對于單位運用信息資源生產(chǎn)經(jīng)營的不利影響。刑事合規(guī)制度對于涉嫌犯罪的單位具有寬免刑罰、暫緩不起訴的功能。因此，可在擴大入罪范圍的基礎上，將刑事合規(guī)制度與單位侵犯公民個人信息犯罪進一步融合，激勵單位在法律框架內(nèi)處理和使用公民個人信息，在保護個人信息的同時兼顧信息產(chǎn)業(yè)的發(fā)展。

然而，要真正發(fā)揮刑事合規(guī)制度在治理單位侵犯公民個人信息犯罪中的作用，還需要進一步明確單位使用不同個人信息的合規(guī)標準。在刑事領域，對于個人信息的分類出自《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條之中。此解釋將個人信息分為敏感信息、重要信息和一般信息，并按照此種分類以侵犯數(shù)量認定情節(jié)嚴重和情節(jié)特別嚴重進行定罪量刑。然而，這種分類方法也有其自身的問題。例如，敏感信息和重要信息存在交叉、重合時的區(qū)分，重要信息的重要性與信息的外部表現(xiàn)關聯(lián)性不強等問題[24]。因此，若將此種分類作為單位設定處理和使用個人信息的合規(guī)性標準，對于單位來說無疑會增添新的難題，這也和刑事合規(guī)的目的之一—優(yōu)化營商環(huán)境的理念相悖[25]?；诖?，應采用更具現(xiàn)實意義的分類方法為單位設定使用個人信息的合規(guī)標準。2021年頒布的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）將個人信息分成敏感信息和一般信息兩類，且在第28條中對于敏感信息做出了概念和范圍的界定，有利于區(qū)分和判定敏感信息和一般信息。此外，《個人信息保護法》作為《刑法》侵犯公民個人信息罪的前置法，將個人信息的類型統(tǒng)一按照《個人信息保護法》的規(guī)定予以分類，有利于實現(xiàn)《刑法》與《個人信息保護法》的有效銜接并維護法秩序的統(tǒng)一性。單位在使用一般信息時，應當遵守《個人信息保護法》第13條關于一般信息合理使用的規(guī)定，在利用公開個人信息進行公司經(jīng)營或擴大業(yè)務范圍時，應當確保信息使用不改變信息用途，并且不違反信息公開原則。單位在使用敏感信息時，基于敏感信息的特殊性，應當秉持保護優(yōu)先的原則，嚴格遵守《個人信息保護法》第13條和第28條的規(guī)定，在使用敏感信息時，可通過留痕處理證明已經(jīng)明確告知信息權(quán)利人并征得權(quán)利人同意，并采用匿名化處理方式以減少單位在使用敏感個人信息時對于信息權(quán)利人的不利影響，從而滿足使用敏感信息的合規(guī)標準[26]。通過明確個人信息使用的合規(guī)標準，給單位劃定個人信息合理使用的自由框架，使單位能夠有效地做好個人信息使用的合規(guī)建設，并以此作為單位出罪或?qū)捗庑塘P的事由，防止因擴大入罪范圍而給單位帶來的不利影響，從而在保護個人信息安全的同時兼顧信息經(jīng)濟的發(fā)展。

2. 加大處罰力度，倒逼單位進行合規(guī)建設

當前，我國刑法采用嚴格懲治的單一治理模式規(guī)制單位侵犯公民個人信息犯罪，忽視了單位的自治作用。通過引入刑事合規(guī)制度，能夠促使單位在合法框架下獲取和使用個人信息，發(fā)揮多元治理的作用。但如何有效推動單位自主開展合規(guī)建設？筆者認為既需要發(fā)揮刑事合規(guī)功能的正向激勵作用，也需要從處罰力度入手反向激勵單位自主合規(guī)?！缎谭ā穼τ谇址腹駛€人信息罪的自然人刑罰有兩檔法定刑規(guī)定，但對于單位犯罪的罰金計算標準以及升格條件并不明晰。也因此，我國各地法院對于單位侵犯公民個人信息的處罰并不一致，而且出于經(jīng)濟發(fā)展等角度的考慮，判處單位的刑罰程度也不嚴厲。應當引起關注的是，侵犯公民個人信息并非犯罪的終點。有學者通過調(diào)查發(fā)現(xiàn)，公民個人信息被侵犯后，后續(xù)常常會出現(xiàn)詐騙罪、買賣身份證件罪、信用卡詐騙罪等更加嚴重的犯罪，從而存在“一個行為、多個罪名”的復雜犯罪形態(tài)。此外，盡管我國對于侵犯公民個人信息的法網(wǎng)呈現(xiàn)嚴密態(tài)勢，但是根據(jù)裁判文書網(wǎng)公開案件的數(shù)量來看，關于單位侵犯公民個人信息犯罪數(shù)量并不多，這與當前我國個人信息泄露頻發(fā)的現(xiàn)狀并不相符。究其原因，一方面，是由于不可避免的“犯罪黑數(shù)”問題；另一方面，是因為許多地方司法機關出于經(jīng)濟發(fā)展的考慮，對于單位尤其是大型單位犯此罪大多采取行政化處理的方式。而在這種情況下，治理侵犯公民個人信息犯罪就很難取得預期效果。因此，應提高單位侵犯公民個人信息犯罪的罰金標準。可以以50萬為罰金基準，并根據(jù)單位事前和事后的合規(guī)程度，在此罰金基準上予以加重或減輕罰金數(shù)額的考慮，以一改“罰酒三杯，無關痛癢”的處罰態(tài)勢，迫使單位主動開展合規(guī)建設，以真正做到刑事合規(guī)制度的推廣。在具體實施中，若單位具有行之有效的合規(guī)計劃，則可以以此作為其出罪事由或者刑罰減免事由予以寬大處置；如合規(guī)機制缺失，則應受到嚴厲的刑罰制裁。相信通過此種寬嚴相濟的政策引導，單位即便出于逐利性，也會自主開展合規(guī)計劃，以保障自身的規(guī)范運營。

3.肯定本罪法益的復合屬性，依據(jù)法益危害程度開展合規(guī)實踐

大數(shù)據(jù)時代下發(fā)展信息經(jīng)濟已然是大勢所趨，保護個人信息固然重要，但如果因此強行阻礙個人信息和經(jīng)濟社會發(fā)展的關系，無疑與時代發(fā)展背道而馳。刑法對于個人信息的保護絕非阻礙信息流通共享，而是要在保護個人信息的同時能夠為個人信息的規(guī)范流通共享創(chuàng)造一個良好的環(huán)境[27]。而要解決信息安全和發(fā)展的平衡問題，首先，應當肯定本罪法益的復合屬性，即肯定侵犯公民個人信息犯罪法益是以公民個人信息權(quán)為主，兼具有社會公共信息管理秩序利益的多屬性法益。在對涉案單位進行處理時，應當認識到個人信息權(quán)利實則是個人法益和社會法益兼具的復合法益，在保護個人信息安全的基礎上應兼顧信息經(jīng)濟發(fā)展的問題。其次，應按照刑事合規(guī)制度，要求單位在法律框架內(nèi)規(guī)范運行，并通過事前合規(guī)促使單位自治，使單位侵犯公民個人犯罪的風險控制點轉(zhuǎn)至實施犯罪之前，從而起到積極預防的作用。然而單位的事后合規(guī)，卻是在單位涉案后進行的整改，是執(zhí)法單位依據(jù)單位的整改效果判定后續(xù)處理的措施。因此，在判定能否對單位采用刑事合規(guī)，以及在采取刑事合規(guī)制度后，是發(fā)揮出罪功能還是寬免刑罰功能時，可以通過綜合考量私法益和公法益因素，依據(jù)法益侵害程度開展合規(guī)實踐，以達到寬嚴相濟、安全與發(fā)展兼顧的目標。

具體而言，首先，應當確保刑法在規(guī)制單位侵犯公民個人信息犯罪時保持謙抑性原則，即若單位侵犯公民個人信息僅為一般違法現(xiàn)象，對于法益的侵害未達到刑事可罰性的，應當由《個人信息保護法》等前置法予以規(guī)制并引導單位合規(guī)經(jīng)營。其次，當前置法無法實現(xiàn)保護目的時，由刑法介入。由于司法解釋將侵犯公民個人信息犯罪按照情節(jié)分為兩檔法定刑，此時可以將法益侵害程度納入犯罪情節(jié)考量。對個人法益造成侵害，且情節(jié)嚴重達成入罪條件的，兼以考慮公法益侵害程度，可以此作為采用刑事合規(guī)的依據(jù)，并通過考量事前合規(guī)有效與否或者事后合規(guī)整改的成果，發(fā)揮刑事合規(guī)出罪或者減免刑罰的作用。對于情節(jié)特別嚴重的，且其多重法益侵害都達到刑法可罰性標準，那么刑事合規(guī)的出罪功能應當予以擱置。但可以根據(jù)單位開展的合規(guī)情況，酌情考慮減輕刑罰。因此，通過綜合考慮法益侵害程度采取不同的刑事合規(guī)策略，采用層層過濾機制，既可以為單位預留較為寬緩的刑事規(guī)制余地，也能最大限度地調(diào)動單位自主合規(guī)的積極性，實現(xiàn)信息安全與發(fā)展的平衡。

五、結(jié)語

個人信息安全對于當下乃至于未來都是一個不可忽視的問題，傳統(tǒng)的刑法手段通過嚴密法網(wǎng)、加大打擊力度雖然取得了一定成效，但并非治本之策?；诋斍靶畔l(fā)展的趨勢，刑事合規(guī)制度作為一種新的治理手段，可通過督促單位建立行之有效的合規(guī)計劃形成行業(yè)自律，既可以確保單位在法律框架內(nèi)正當獲取和使用個人信息，避免刑事風險，也可以通過將刑事合規(guī)制度融合到侵犯公民個人信息個罪當中，兼顧信息安全和發(fā)展，構(gòu)建更加合理的公民個人信息保護機制，促進社會治理水平的提高。此外，從侵犯公民個人信息犯罪個罪角度出發(fā)，通過融合刑事合規(guī)制度探索新的治理方式，對于當前數(shù)據(jù)合規(guī)以及國內(nèi)本土化合規(guī)制度的探索也會起到積極作用。

［參考文獻］

楊猛，李嘉碩. 企業(yè)數(shù)據(jù)刑事合規(guī)的建構(gòu)路徑及其具體展開：以數(shù)據(jù)安全法益為切入[J]. 湘潭大學學報（哲學社會科學版），2024（2）：88-94.

鄒開亮，王馨笛. 敏感個人信息保護視閾下平臺企業(yè)數(shù)據(jù)合規(guī)制度要論[J]. 北京科技大學學報（社會科學版），2024（2）：87-93.

龔文博. 網(wǎng)絡平臺處理個人信息的合規(guī)義務及其出罪路徑[J]. 華東政法大學學報，2024（2）：52-66.

李川. 個人信息犯罪的規(guī)制困境與對策完善：從大數(shù)據(jù)環(huán)境下濫用信息問題切入[J]. 中國刑事法雜志，2019（5）：34-47.

楊立新. 個人信息：法益抑或民事權(quán)利——對《民法總則》第111條規(guī)定的“個人信息”之解讀[J]. 法學論壇，2018（1）：34-45.

劉仁文. 論非法使用公民個人信息行為的入罪[J]. 法學論壇，2019（6）：118-126.

何榮功. 社會治理“過度刑法化”的法哲學批判[J]. 中外法學，2015（2）：523-547.

張勇. 公民個人信息刑法保護的碎片化與體系解釋[J]. 社會科學輯刊，2018（2）：86-93.

龔健. 論刑74e8876c2ed116eb2dcd18c96857828cf90a515eca576a64125a323a1582e024法法益的功能[J]. 遼寧行政學院學報，2009（11）：36-38.

劉艷紅. 侵犯公民個人信息罪法益：個人法益及新型權(quán)利之確證——以《個人信息保護法（草案）》為視角之分析[J]. 中國刑事法雜志，2019（5）：19-33.

郭澤強，張鑫希. 走出侵犯公民個人信息罪的法益保護之迷思：超個人法益之提倡[J]. 天府新論，2020（3）：93-101.

王肅之. 被害人教義學核心原則的發(fā)展：基于侵犯公民個人信息罪法益的反思[J]. 政治與法律，2017（10）：27-38.

王利明. 論個人信息權(quán)的法律保護：以個人信息權(quán)與隱私權(quán)的界分為中心[J]. 現(xiàn)代法學，2013（4）：62-72.

楊芳. 個人信息自決權(quán)理論及其檢討：兼論個人信息保護法之保護客體[J]. 比較法研究，2015（6）：22-33.

劉艷紅. 企業(yè)合規(guī)責任論之提倡：兼論刑事一體化的合規(guī)出罪機制[J]. 法律科學（西北政法大學學報），2023（3）：89-102.

李本燦. 論企業(yè)合規(guī)改革中的個人模式與組織模式關系[J]. 北京社會科學，2024（1）：71-77.

孫國祥. 刑事合規(guī)與單位犯罪立法的完善[J]. 北京社會科學，2024（1）：65-70.

周振杰. 英國《2010年賄賂罪法》評介[M]//趙秉志. 刑法評論：第2卷. 北京：法律出版社，2013：312.

SIMPSON S S. Corporate Crime，Law and Social Control [M]. Cambridge：Cambridge University Press，2002：114.

劉品新. 論數(shù)據(jù)刑事合規(guī)[J]. 法學家，2023（2）：89-107.

敬力嘉. 個人信息保護合規(guī)的體系構(gòu)建[J]. 法學研究，2022（4）：152-167.

鄭自飛. 由事后懲治向事前合規(guī)：侵犯公民個人信息罪的治理模式轉(zhuǎn)型[J]. 重慶郵電大學學報（社會科學版），2024（1）：35-46.

陳文昊. 侵犯公民個人信息罪中的“外圍”立法與解釋進路[J]. 重慶郵電大學學報（社會科學版），2018（3）：36-43.

周光權(quán). 侵犯公民個人信息罪的行為對象[J]. 清華法學，2021（3）：25-40.

李本燦. 法治化營商環(huán)境建設的合規(guī)機制：以刑事合規(guī)為中心[J]. 法學研究，2021（1）：18.

李世剛，屈然. 論敏感個人信息的合理使用[J]. 江蘇社會科學，2022（6）：159-168.

王殿宇. 公權(quán)法益觀視閾下的人格法益：數(shù)字經(jīng)濟時代侵犯公民個人信息罪的法益續(xù)造[J]. 廣西大學學報（哲學社會科學版），2023（6）：117-126.