互联网企业数据要素刑事合规与诉讼程序规制探究
——以个人信息数据保护为分析视角

刘佳敏

(南开大学 法学院,天津 300071)

2020年4月颁布的《中共中央 国务院关于建设更加完善的要素市场化配置体制机制的意见》(下文简称意见)首次提出加快培育数据要素市场，正式将数据列为与土地、劳动力、资本、技术并立的第五大生产要素。[1]该意见中强调，要加强数据资源整合和安全保护，发挥行业作用，推动数据采集标准化，加强对个人数据的保护。由此可见，数据要素已经成为推动经济社会发展的一个关键成分。数据要素能够产生巨大的经济利益，但同时，个人信息数据作为数据要素的一种，在市场上交换、流通的过程中，滋生了数据的恶意复制、传播、贩卖的现象。这将严重侵犯公民隐私权、个人信息权，侵害公共利益，带来法律监管、追责等方面的一系列难题。[2]数据要素刑事合规建设的核心内容是平衡数据价值与数据权益边界的矛盾。[3]在保护公民个人信息权益的同时，释放个人信息数据要素的市场价值。

自2020年以来，最高人民检察院推行了一系列重要举措来推进企业合规建设，在多个城市开展企业合规试点工作。陈瑞华教授认为，企业合规有两层含义。其一是企业在经营过程中自觉遵守法律规定和行业规则。其二是企业为了避免违法违规或者减少违法违规给自身所带来的损失而建立的公司治理体系。[4]目前，我国的企业合规试点实践已经大致形成了两种模式，一种是以市场竞争为主导，企业主动建设刑事合规体系(又称事前合规)；另一种是企业为减少法律惩罚，基于刑事合规的政策激励，在检察院的引导下，被动进行的危机处理型刑事合规建设(又称事后合规)。[5]数据要素刑事合规是指通过推动企业治理结构的变革，建立符合刑事法律的企业内部制度体系，使企业及其员工的经营和从业行为符合要求。[6]互联网企业的数据要素刑事合规有两个方面的重点内容：其一是个人信息数据的保护；其二是防止数据要素垄断，维护国家数据安全。本文将以重点之一的个人信息数据的保护为分析视角，探究数据要素刑事合规建设。

数据需要聚集才能成为生产要素。[7]互联网行业数据体量庞大且聚集，数据要素化程度高，处于数据要素刑事合规建设首当其冲的位置。与传统领域相比，互联网企业是当前最主要的公民个人信息收集者和处理者，企业行为的刑事合规性对于个人信息的保护起着至关重要的作用。[8]基于数据要素区别于其他传统要素的特点，本文将结合当下我国企业刑事合规制度的试点工作经验，从其与刑事诉讼程序的衔接与规制角度探索互联网企业数据要素刑事合规的建设思路。

一、互联网企业个人信息数据要素现状分析

(一)数据应用现状：个人信息数据侵权现象频发，其中不乏大型互联网企业

随着《刑法修正案(九)》增设侵犯公民个人信息罪以及《数据安全法》《中华人民共和国个人信息保护法》的颁布实施，公民个人信息相关数据资料的保护上升到了一个新阶段。而与之相对应，在互联网科技高速发展的当下，公民个人信息随处可得，个人信息中的数据要素价值被极大释放，获取、存储、复制、加工个人信息成为了一门有利可图的生意。其中，互联网企业基于其庞大的客户群体，在为人们的生活提供无限便利的同时，也存在过度且不正当地收集、处理海量用户信息数据的问题。并且，互联网企业之间相互投资、持股的行为，还滋生了大量用户信息共享的乱象，只经过用户的一次授权，多方企业便可获得该用户信息。[9]这些“明修栈道 暗度陈仓”的做法，在严重侵犯了公民的隐私权的同时，也为国家数据信息安全埋下了隐患。

而在这些涉及数据违规的互联网企业之中，有不少互联网行业头部企业的身影。2018年淘宝诉美景公司大数据产品不正当竞争一案，揭开了互联网企业采集、储存用户个人信息，制作用户群体画像的行为面纱。2019年，陌陌开发的“ZAO”app,因用户隐私协议存在“一经授权不得撤销”等格式条款，涉嫌侵犯隐私和数据泄露的安全问题，被工信部问询约谈，引发社会大众对于人脸识别、隐私数据保护的热议。2021年滴滴出行app因存在严重违法违规收集个人信息的问题被通知下架。[10]同年，工信部公安部约谈阿里云、百度云两家企业负责人，通报了两家企业在防范治理电信诈骗工作中存在接入涉诈网站数量居高不下的问题。[11]无独有偶，工信部针对腾讯旗下9款产品侵害用户权益的违规行为，对腾讯采取过渡性的行政指导措施。[12]上述种种现象都表明，互联网企业在个人信息获取应用方面缺乏行业自律，个人数据信息安全亟待保护，互联网企业的个人信息数据的合规监管和诉讼程序规制是一个值得深入研究的问题。

(二)数据监管现状：单一的行政手段并非最佳治理方案,联合治理方案亟待推行

目前，我国数据要素市场主要是由地方政府自行监管为主。[13]行政手段是主管部门应对数据违规问题，指导互联网企业健康发展的过程中最常运用的手段。即，通过行政约谈、责令下架、通报批评等一系列行政监管行为，促进互联网企业对个人信息数据的合法合规应用。单一地运用行政手段进行监管，会给有关部门带来过重的工作负担，例如工信部在2021年开展的“app侵害用户权益专项整治行动”中，工信部各司局需要在节假日加大常态化检查的力度。[14]这种通过加大行政机关工作人员的任务量来实现行业监督管理的做法并非可持续发展的长久之计。此外，行政手段多是事后的、被动的整改，难以从源头上去预防互联网企业违法使用公民个人信息数据的行为，对于个人信息的保护而言，治标不治本。

根据国家工信安全中心的数据，2020年我国的数据要素市场规模达545亿，十三五期间市场规模复合增速超过30%，十四五期间这一数值将突破1749亿元。[15]在如此大的经济体量之下，互联网行业的进一步发展，不能只依靠行政监管，还要统筹推进互联网企业市场导向型的数据要素合规的建设，同时综合运用刑事民事诉讼手段和合规政策激励，推动互联网企业的危机处理为导向的数据要素合规建设。

企业是市场经济的主体，在最高检“六保”“六稳”政策背景下，互联网企业发挥着稳定就业、保障民生基础作用的同时，还具有引领科技创新，提升经济核心竞争力的功能。[16]刑事合规体系的构建，能够在事前预防企业行为触碰到法律的底线，维持企业的长久经营。在诸多合规的法律中，刑事责任对企业的打击力度往往更大，关乎企业存亡。单位犯罪秉持双罚制原则，对单位处罚金，对直接责任人判处刑罚。企业往往会因单位犯罪面临重头再来的窘境。因此，刑事合规应当是互联网企业数据要素合规中应当重点架构的体系。

从国资委2018年发布的《中央企业合规管理指引(试行)》中可以看出，构建企业合规制度从来不是靠某一执法部门或某一部门法的一己之力就能够完成的，而是需要在工信部、商业部、公安部等部委行署的监督和各级检察院的引领下，以企业为主体，根据互联网行业的特点和可能产生的商业违法风险，去构建具有行业特色的合规体系，自愿地为企业自身设定义务。互联网企业在前期的数据要素刑事合规建设中可能会耗费较多的人力物力，但数据刑事合规体系一旦得以建立并平稳运行，将促进企业自觉遵守法律，提升行业整体自律能力，有效避免互联网企业发展过程中所可能遇到的刑事法律风险，支撑互联网企业的长远发展。

二、互联网企业数据要素刑事合规核心问题

数据要素刑事合规是企业预防刑事风险、构建数字经济安全体系的关键，也是经济社会高质量发展的重要一环。[17]其中，公民个人信息的保护是数据要素刑事合规中的重要方面。在互联网企业为了保护公民个人信息进行数据要素合规的过程中，我们必须首先明确作为数据要素刑事合规的行为对象究竟是何种数据，其次要厘清数据刑事合规与数据单位犯罪的区别，最后从具体操作角度提出制度构建方面的一些建议。基于上述分析的逻辑，下文将重点就以下三个问题展开论述。

(一)侵犯公民个人信息罪中的个人信息数据界定

2009年《刑法修正案(七)》增设了侵犯公民信息罪，对于公民的信息数据的保护上升至了刑法的层面。2015年《刑法修正案(九)》将该罪名修改为侵犯公民个人信息罪，开始注重公民信息中的隐私属性，而不再局限于身份、住址等基本个人信息。在行为方式上，《刑法修正案(九)》将《刑法修正案(七)》中规定的“出售、非法提供公民个人信息”改为“出售或者提供公民个人信息”，删除了“非法”二字。这一修改强化了公民个人信息的保护力度，无论是合法取得还是非法取得的公民个人信息，只要违反有关规定提供给第三方，符合严重情节的要求，就会构成侵犯公民个人信息罪，扩大了此类犯罪的打击范围。同时，《刑法修正案》(九)的这一修改也体现出一种立法者的价值导向——更加注重全面地保护公民的个人信息。因此，实务界在对何为公民个人信息的认定上，也应当将此种价值追求一以贯之。

从文义上分析，数据和信息并不是同等意义上的概念。数据侧重于强调其载体是电子媒介形式，而信息更加强调所传达的内容。[18]单一地看，以每位公民为原点，以其身份、隐私、行为活动所留下的痕迹等相关内容为半径所划定的范围，构成该公民的个人信息。将大量公民个人信息汇聚在一起，进行加工分析就可以形成个人信息数据。因而，公民个人信息的保护是数据要素刑事合规的重要方面与本质内容。公民个人信息的界定将影响互联网企业数据要素刑事合规中对个人信息数据划定的范围。但是，对于个人信息的界定，在刑法中却没有明确规定。侵犯公民个人信息罪的客体是应当只包括姓名、住址、年龄等这些涉及公民隐私且具有人身识别性的信息，还是应当也包括网页浏览记录、购物记录、征信信息等由个人活动所形成的信息？这一问题在不同的法律中有着不同的规定。[19]《网络安全法》(2017年施行)将个人信息定义为能够识别自然人身份的各种信息。最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年施行)中认为个人信息是能够识别身份或者是反映自然人活动情况的各种信息。《个人信息保护法》(2021年施行)对个人信息的界定更加详尽，其认为一切与自然人有关的数据都属于公民个人信息，应当受到法律保护。从立法者价值导向——更好保护公民个人信息的角度，应当以上述司法解释中对于公民个人信息的定义来认定互联网企业数据要素刑事合规中的数据范围，公民个人信息应当包括公民身份信息在内的各种自然人活动情况的信息。

(二)数据要素合规与单位犯罪(侵犯公民个人信息罪)的关系

《刑法修正案》(九)将侵犯公民个人信息罪的适用扩大到了一般主体，不再局限于国家机关、电信金融等领域的人员。[20]刑法第253条将单位也列为了侵犯公民信息罪的主体。在我国的刑法体系中已经存在单位犯罪的情况下，开展企业刑事合规，实现上述两个制度之间的自洽，关键是要处理好二者的关系。在互联网企业侵犯公民个人信息单位犯罪中，要注重区分对于公民个人信息的侵犯究竟是企业员工的个人行为，还是经过单位授意的单位犯罪行为？实施犯罪行为的动机是为了单位的利益还是为了个人的利益？简而言之就是“以谁之名，为谁之实”。将这一问题放在数据要素刑事合规和侵犯公民个人信息单位犯罪的双重体系下审视，则需要更加细致的剖析。因为，刑事合规分为事前型刑事合规与事后型刑事合规，这两种合规形式与单位犯罪的关系不能一概而论。

1.事前型数据刑事合规与单位犯罪

事前型数据刑事合规能够推断单位有无实施犯罪的主观意图，决定是否构成单位犯罪，切割员工责任与单位责任。最典型的佐证案例是兰州市中院审理的雀巢公司员工侵犯公民个人信息一案。该案被实务界称为“企业刑事合规抗辩第一案”。[21]本案中，雀巢公司的员工为推销雀巢奶粉，从医院的妇产科医务人员处多次以买卖方式获取公民个人信息，数量较大。一审法院判处员工个人构成侵犯公民个人信息罪。其中有几位员工以该犯罪属于公司行为，应当认定为单位犯罪为由提起上诉。兰州中院经过审理认定，雀巢公司的章程、政策、指示、内部员工培训材料等内容都禁止员工在不符合正当程序且没有公司批准的情况下，以推销奶粉为目的接触孕妇，自行收集公民个人信息。且公司对员工培训内容还进行了测试，能够证明上述几名作为被告人的员工参加过不允许以金钱为奖励，引诱医务人员推销奶粉的公司内部培训测试。最终甘肃省中院裁定驳回上诉，维持原判。

该案二审法院在判断是否构成单位犯罪时就充分考虑了雀巢公司的内部规章制度体系。因为雀巢公司在章程和员工培训等材料中都有明确规定禁止员工从事侵犯公民个人信息的行为，且在培训完毕之后还进行了线上测试。这一套完备的企业内部规章体系，能够充分证明雀巢公司具有建立事前刑事合规的意识，且落实了刑事合规的举措。由此可以推断出雀巢公司并没有实施侵犯公民个人信息罪的主观意图。因而，在雀巢公司已经充分做好侵犯公民个人信息罪的刑事合规的情况下，公司员工仍然实施犯罪行为，能够将单位的责任与员工责任切割开来。本案可以说是将企业合规体系作为法院认定单位是否具有犯罪意图的经典案例。

2.事后型数据要素刑事合规与单位犯罪

有学者指出，单位犯罪是重刑主义刑事政策之下的产物，事后型企业刑事合规则是一种宽缓的刑事政策的表现。[23]事后型数据要素合规是以企业构成单位犯罪为前提，以减轻刑事责任或者免除刑事责任为刑事激励政策，激励企业构建合规体系。毕竟，在当前刑事合规推行的初期，合规体系的构建离不开刑事政策的激励。北京大学的陈瑞华教授认为，单位犯罪应当有两种类型，一种是单位经过集体决策，为了单位的利益而实施犯罪，有学者称之为系统性单位犯罪；另一类是单位的员工或者中层管理人员，在没有经过单位集体决策或者主要负责人授意的情况下，擅自以单位的名义实施的犯罪行为，称为非系统性单位犯罪。此种情形下，因为单位本身存在管理失职的情况，所以需要对其员工以其名义实施的犯罪行为承担连带责任。[24]

检察院在对待上述两种不同犯罪时应当有所区分。系统性单位犯罪是单位领导人集体决策后实施的犯罪，单位犯罪的主观恶性更大，很难通过建立事后的刑事合规体系来将其改造，需要施以刑罚以示惩戒。因此，在此种情况下，事后刑事合规对于此类单位犯罪的企业而言，可以成为减轻处罚的法定情形，但却不能成为免责事由。但是，反观第二种情形，单位的主观恶性就要小得多。在非系统性单位犯罪中，企业对其管理体系的缺位存在过错，与员工的犯罪结果之间存在一定的因果关系，因而企业需要承担刑事责任。由此可见，企业管理体系不健全，无法有效约束员工行为，就很可能给企业带来刑事责任，这是企业所不愿意发生的。因此，对于非系统性单位犯罪的企业，检察院在事后引导其建立刑事合规，其配合的积极性往往更高，有助于检察院合规试点工作的顺利进行。并且，非系统性单位犯罪中，企业本身的主观恶性小，所以在建立起刑事合规后，检察院对其免除刑事处罚，该类企业的再犯可能性会更小，会形成一个合规免责的良性循环。

以上论述，是从宏观角度探讨了非系统性单位犯罪与企业事后型刑事合规具有高适配性。互联网企业作为企业的一种，其数据要素刑事合规的建设也必然会带来如上所述的诸多效益。除此之外，互联网企业的数据要素刑事合规还具有守护互联网企业商誉的功能。这是事后性数据要素刑事合规对互联网企业所特有的一层刑事激励作用。企业被定罪后会带来名誉上的损失。这种商誉损失对于不同的企业而言，其影响有所不同。对于垄断程度很高对国民经济生活影响很大的实体企业，由于社会对其依赖性程度高，所以其犯罪与否，对其今后的经营状况影响不大。但是对于互联网行业而言，内部竞争激烈，且企业的商誉对于商业合作而言是非常重要的内容。普通实体企业的受众也许还只是国内市场的单向循环，在我国企业都没有刑事合规意识的情况下，可能不会影响其商业往来。但是，互联网企业基于数字全球化，其营业范围和商业往来对象也更具有全球性。在刑事合规已经成为外国互联网公司在商业交往行为中都必须要审查的内容时，对商业合作伙伴的选择也会更加苛刻。在互联网企业受到行政处罚都会对其股价产生影响的当今社会，刑事处罚对于互联网企业商誉的影响是显而易见的。因此，大多数的互联网企业高度珍视商誉，其在涉嫌数据要素的相关犯罪后，也将具有高度的刑事合规积极性。互联网企业掌握的大量信息数据，如果运用得好就是财富密码，赚的盆满钵满；运用不好出现数据泄露，侵犯公民个人信息等情形，就可能面临难以承受的刑事责任。为避免千里之堤毁于蚁穴的悲剧，就必须对数据进行分类管理，建立完善的数据要素的合规体系，切割企业自身的责任。从这个角度而言，互联网企业既有事前主动建立数据要素刑事合规的迫切性需求，又具有事后型数据合规以保全商誉的必要性。

(三)数据要素刑事合规的模式转变问题

在数据要素合规建设的初期阶段，以危机处理为导向的数据合规(事后合规)是当前合规试点中的主要模式。企业主动自觉进行刑事合规是少数，刑事责任倒逼下的危机处理刑事合规是目前司法实践中的主要方式。此种模式下的刑事合规丧失了其事前预防的功能，也使得部分互联网企业心存侥幸。企业在尚未真正遇到被提起公诉，要求承担刑事责任时，是难以有自主建立刑事合规政策的积极性的。这种作法相当于给企业一次不承担刑事责任的犯罪机会。即使企业实施犯罪行为被立案侦查，也可以通过积极配合检察院对企业进行刑事合规改造获得相应的刑事激励，减轻甚至免除刑事处罚。此外，合规体系的建立需要花费高昂的成本，对于大量中小型企业而言，甚至可能刑事合规体系尚未建立起来，企业就已经难以为继。[25]

当前的刑事合规试点工作是在为刑事合规的全行业、宽范围地开展摸索实践经验。目前，各级检察院进行试点的企业和成功的刑事合规试点案例中，以小型和中型企业居多，其示范性的效益也是有限的。基于上述对刑事合规在整体行业中可能存在的问题以及互联网行业的特点的分析，我们认为互联网行业的数据要素合规是一个很好的试点领域，可以避免因为企业的积极性欠缺和财力不足问题而造成的刑事合规试点效果不佳的问题。互联网企业大多资金雄厚，不会因为建立数据要素的刑事合规体系而面临资金困境。此外，如前所述，互联网企业基于其对于融入全球化市场的需要以及对其商誉的保护，也更加具有合规体系建立的积极性。互联网行业的数字要素化程度高，开展数据要素的刑事合规建设，不仅可以丰富事后型数据要素刑事合规的经验，还可以探索事前型数据要素刑事合规的门路。在刑事合规的推广应用中，重点要树立典型成功案例。以互联网行业形成辐射效益，带动各行各业积极开展合规。一旦刑事合规成为了商业习惯和社会风气，市场导向型的(事前)刑事合规模式就将代替危机处理型的刑事合规模式，实现刑事合规动力由外部检察院推动型向内部企业自主推进型的转型，使刑事合规能够健康持续发展下去。

(四)互联网企业数据要素刑事合规的主要内容

数据要素的刑事合规以发生的时间为划分节点，可以分为出事前的数据要素合规与事后的数据要素合规。事前型的数据要素刑事合规是企业积极主动建立公司内部治理体系的行为，以企业自身为主体。事后型的数据要素刑事合规的主体更加丰富，包括企业、检察院和第三方监管人员，是多方协作的产物，其措施也更加复杂，涉及到刑事诉讼程序的相关规制措施。事前型数据要素刑事合规中企业参与度更高，自我主导性更强，其主要内容与检察院引导的事后型刑事合规也存在差异。基于上文对事前刑事合规将成为主流的合规模式的分析，此部分主要探讨事前刑事合规的主要内容。

在互联网企业推进事前型数据要素合规的过程中，一方面可以更好地保护公民个人信息，促进互联网企业以规范方式获取公民个人信息数据，另一方面能为互联网企业没有侵犯公民个人信息罪的犯罪意图提供佐证，从而排除企业行为构成单位犯罪的可能性。上述雀巢公司的章程和员工培训资料的内容，对于互联网企业的数据要素刑事合规建设具有深刻的借鉴意义。

互联网企业在进行事前型数据要素刑事合规的建设过程中，应当注重以下几方面的内容：(1)不仅要做到不断推进互联网企业内部数据合规制度的建立和完善，还要做到内部数据合规制度的贯彻执行，积极定期开展员工培训和员工合规测试，为今后切断员工责任与公司的责任留存证据。(2)互联网企业数据要素刑事合规的内容应当包括对公民个人信息的合法、合理应用处理。互联网企业合法获得的公民的个人信息数据，在作为数据要素在市场上流通的过程中，应当进行脱敏化处理。即，通过隐私计算等方式，对来自用户的个人信息中具有个体识别性的内容予以模糊，企业可以获取并且使用无法体现出用户个人信息的无差别的信息，却无法定位到某一特定用户。[22](3)赋予公民个人信息数据被遗忘权。即，互联网企业在利用用户个人信息数据描绘出用户群体画像后，进行有针对性地推送服务时，应当允许用户享有拒绝的权利，并为用户设置便捷的反对和退出的机制。同时，在用户的要求下，及时删除企业所掌握的公民的个人信息。(4)将互联网企业对于用户个人信息应用风险的充分告知义务纳入合规体系。当前互联网企业在各类app使用过程中所获取的用户个人信息，虽然也有相应的用户协议，取得了公民个人的授权，但是却未充分告知用户信息可能存在被泄露的风险，且在用户知情同意书中，并未对重点内容进行重点加粗标记，使得多数用户因篇幅过长重点不突出，在尚不知晓个人信息可能面临的泄露风险的情况下，授权互联网企业获得其个人信息。互联网企业应当将其对个人信息的获取和使用情况充分告知纳入合规体系的建立，只有如此，其数据获取才是在用户充分知情的情况下进行的授权。

三、互联网企业数据要素刑事合规建设与诉讼程序规制

互联网企业数据要素刑事合规与诉讼程序的规制属于事后型刑事合规的模式，是在检察院的引导下进行的。对于此种事后型互联网企业数据要素刑事合规的建设，一方面要转变司法理念，依法“能不捕的不捕、能不诉的不诉”；另一方面又不能过度放纵。在数据要素刑事合规与诉讼程序的规制上，提出以下两点：

(一)数据要素合规与附条件不起诉制度相结合

在我国现有的不起诉制度建构下，将数据要素刑事合规纳入附条件不起诉制度比较合理。这种做法能够与现有法律制度实现较好的兼容。其与未成年人附条件不起诉制度具有诸多相似之处，可以在立法上形成借鉴。增设刑事合规中的附条件不起诉制度，是对附条件不起诉制度的完善。正如法律的生命力在于实施，数据要素刑事合规亦是如此。只有将建立起来的数据要素合规体系贯彻实施下去，才能最大限度地发挥其预防企业实施侵犯公民个人信息罪，维护国家数据安全的功效。

为了贯彻数据要素合规的贯彻执行，合规的效果监管需要引入独立的第三方机构，形成“互联网企业-检察院-第三方监管机构(目前实践中主要是律师事务所)”的三方模式，在形成有效制约的同时，又增加了合规评估的客观性，避免司法腐败问题的发生。检察院在作出合规附条件不起诉决定后，应当为互联网企业指定第三方监管机构，并设置考验期。考验期结束，互联网企业认真贯彻落实数据合规的，由第三方监管机构制作监管报告后提交检察院，由检察院最终验收互联网企业的数据刑事合规成果，并最终作出不起诉决定。在给予企业改过自新的机会的同时，也为公民个人信息保驾护航，使互联网企业对公民个人信息数据的规范采集和处理提供持续的动力。

(二)设置刑事合规特别程序

互联网企业涉嫌侵犯公民个人信息犯罪肯定是首先由侦查机关立案处理。但是，基于检察院在企业的刑事合规中的特殊引导地位，不应当按照传统的“侦查-审查起诉-提起公诉-审判”这一程序流程进行。应当让检察院提早介入，了解企业的单位犯罪情况，提升企业刑事合规的效率。[26]检察院提前介入的程序目前我国的刑事诉讼法中并没有明确规定，但是在检察院的高检规则中却有所显现。如高检规则第361条规定“对于重大、疑难、复杂的案件，人民检察院认为有必要时可以派员适时介入侦查活动。”因此，在刑事合规程序中，赋予检察院提前介入侦查活动的权力是符合现行法律框架的。目前，已经存在五种特别程序，大多是由于案件的处理程序不同于传统的诉讼流程，而作了专章规定。企业刑事合规作为国家将要大力推进的一项制度，将其程序处理的特殊之处归纳总结，形成特殊程序，可以使我国刑事诉讼法在保持原本体系结构不变的基础上，回应热门实践难题，增强对实务界的法律指导。

刑事合规作为一种现代化的企业管理方式，将合规治理的思想贯彻到企业业务的全过程各领域，可以促进企业规范经营、健康发展，提升行业的竞争力，进而使企业立于可持续发展的道路上。[27]在互联网企业的刑事合规建设中要重点建设数据合规制度，紧紧围绕《刑法》中关于侵犯个人信息罪的规定，以及《数据安全法》《电子商务法》和《个人信息保护法》中对于相关数据提取、保存处理的内容，使互联网企业自主自觉建立数据合规体系成为提升互联网企业竞争力的必然选择。良好的数据要素刑事合规制度的构建和贯彻落实，不仅有利于释放数据要素价值，降低数据要素交换的成本，防止互联网企业利用庞大的数据优势形成垄断，排除竞争。同时，还有助于积累市场导向型合规与危机处理型刑事合规的实践经验，提升互联网企业对于法律的信仰程度，减少互联网企业侵害公民个人信息的违法犯罪行为，严守数据要素安全的底线，更好地应对个人信息数据应用过程中所可能产生的系统性风险。