企业刑事合规的内化路径探析
——以专项数据合规为例

马康华

浙江圣港律师事务所，浙江 杭州 310051

随着经济全球化的不断深入，我国企业面临的刑事风险相较于国内环境而言日益严峻，尤其是诸如《萨班斯法案》第四百零四条以及英国的《2010贿赂罪法案》等法律均具有域外效力，企业因不合规而涉嫌的刑事犯罪，所受到的处罚往往是其无法承受的。因此，对于企业层面而言，建立有效的合规计划迫在眉睫，在企业刑事合规的大趋势下，需要引入专项数据合规计划，通过合规计划将公司治理理念、治理政策内化为企业的内部控制机制，以切割公司法人本身与相关行为人的法律联系。

一、企业刑事合规的中国困境

（一）尚未确立统一的标准

2016年4月国资委颁布《关于在部分中央企业开展合规管理体系建设试点工作的通知》，为企业合规管理提供了指南；2018年我国合规领域迅猛发展，作为国家标准的《合规管理体系指南》正式实施；《中央企业合规管理指引（试行）》等多条法规颁布；到2020年，最高检在六家基层检察院推出合规试点，随后将范围扩大到北京、浙江等十个地区；2021年，由最高检牵头，多部门共同制定了《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，各地纷纷开始对企业合规领域进行探索。总的来说，尽管我国企业合规起步较晚，但近年来在中央的提议下在各地得到了迅速的发展，当前的合规呈现出合规主体多元化、监督部门多元化、体系化建设的多层次化等特点，但在这些特点背后，呈现出来的隐藏风险在于多头管理，缺乏统一的上位法支撑。

（二）刑法对严格责任制度的抵触

我国在侵权责任以及行政监管领域中，已经对严格责任制度有所涉及，但在刑法领域，严格责任制度并没有得到真正的认可。原因在于我国《刑法》推行的是主客观相统一原则，即客观上要有犯罪行为，主观上要有犯罪意图，仅有危害行为的发生而没有主观上的意图不能认定为有罪。［1］严格责任制度与无罪抗辩是相辅相成的，在严格责任制度的框架下，虽对公司犯罪严格监管，但也为公司提供了无罪抗辩的权利从而为公司推行刑事合规计划提供了内核动力。刑事合规的中国困境的内在原因之一，就是严格责任制度在中国《刑法》中没有生存空间，公司即便花费高额成本推行了刑事合规，也并没有实质性的法条指引可以因此而免除刑事责任。

（三）单位刑事责任存在固有缺陷

我国目前对公司的行政处罚，包括对单位采取“责令停业整顿”“吊销营业执照或许可证”等。但对公司对刑事处罚大体上可以归类为“罚没”性质，也即处以罚金、追缴犯罪所得及孳息以及罚没犯罪工具等，甚至对公司采取刑事处罚后，就一般不会再对公司进行行政处罚。在实践中法院也不会像美国采取类似“观察”的措施，只能做到处罚而不能做到弥补公司制度漏洞，防止该公司继续出现犯罪行为，将公司被动置于一种可以缴纳罚金后就可以“万事大吉”的状态。［2］因此公司在考虑到犯罪成本与合规成本的差距后，往往会选择被刑事处罚而非实行刑事合规。

（四）合规未成为各方的适用依据

对于刑法而言，刑事合规并未成为减轻、从轻甚至免除处罚的依据。尽管在司法实践中关于合规计划有作为酌定量刑情节的趋势，例如涉嫌犯罪的公司配合调查，积极退赃，积极赔偿被害人等情形，司法机关在量刑时会作为部分考量因素予以适当的酌定从轻量刑。但其大部分还是取决于法官的自由裁量。在《刑事诉讼法》中，我国为防止检察机关滥用不起诉权利，只有在情节显著轻微的案件中才可以适用酌定不起诉决定。对于涉嫌商业贿赂、欺诈等案件往往涉及金额巨大，明显不属于情节显著轻微的案件，若对该类案件检察机关作出不起诉决定或者从轻、减轻的决定没有法律依据。欧美国家的“暂缓起诉协议”制度从其适用效果而言带来了理想的效果，但若在中国现阶段推行该制度可能会极大冲击中国现行的司法体制与理念。

二、数据合规机制的体系构建模式选择

（一）专项数据合规计划的必要性

大数据时代、社会数字化转型使得数据的内涵与外延呈现多元化扩张的态势。由于智能社会运行极大依赖于数据的集合，智能交通、智能电网、智能城市等正常运行的背后都需要一系列数据资源的支持，［3］因此海量数据的本身就具有极大的经济价值。从某种程度上可以如此概括，社会的智能化程度越高，数据安全的风险也越大。由于数据本身的特性导致其价值难以衡量，传统刑法受限于自身的谦抑性和最后性，往往对数据安全的保护具有局限性。对数据犯罪行为的事后评价已无法填平数据因泄露或篡改而造成的损失。数据安全防治需要利用刑法的风险防范指导以及积极的预防理念的引入，而刑事合规包含的事前风险识别机制和一系列应对风险防范措施，正是实现积极的事前预防治理政策的必然手段，其携带明确性、分割性的优势不仅圈定了企业在数据犯罪中的刑事边界，也有助于企业区别其他违法活动与合法数据处理活动，是企业法人防范刑事风险的第一道屏障。［4］

（二）数据合规机制的体系构建模式选择

由于数据类型企业在民营企业中数量的激增，相应法律法规对其会赋予较多的数据安全管控义务。特别是目前数据领域的法律规则和制裁机制已无法跟上数据技术的发展速率，在法律相对薄弱的领域必然加剧了数据安全责任的严苛化，导致数据企业不可避免地面临多样的法律风险。在此情形下，对于网络数据服务商而言，清晰划分数据安全的责任边界具有重大战略意义。

目前我国《刑法》修正较为频繁，继续通过增设刑法罪名，来监管企业怠于履行刑事合规计划不具有操作性。我国的《刑法》中已经设立了多种与数据公司密切的罪名，如拒不履行信息网络安全管理义务罪，该罪的设立开启了国家与企业合作治理模式，将履行信息网络安全管理从道德层面上升为法律层面。但自增设该条文后，实践中运用该法条将企业定罪量刑的案例鲜有耳闻，几乎该法条处于被搁置状态。无论是国内司法实践还是域外法律经验，通过增设单独罪名来规制某一犯罪行为的方式都是远远滞后于现实犯罪行为，且不具有典型性。

因此，可以在不增设《刑法》新罪名的前提下，通过新增《刑法》的量刑激励，引领企业有效建立刑事合规计划，推动其积极开展数据安全防护工作。就域外经验而言，欧盟通过《通用数据保护条例》（GDPR）的量刑考量来推进企业刑事合规计划的构建，表现为对不合规的企业加重责任和处罚，以及对实施数据合规计划的企业予以减免罚金的优待，从正反两方面鼓励企业利用刑事合规计划来规避法律风险。虽然刑事合规作为量刑要素，在我国并未得到法律的明文支持，但个别案例中已成为法官的酌定考量因素，相较于变动幅度巨大的新增罪名来规制犯罪行为，以量刑激励来促使企业实施刑事合规计划更具有操作性。在企业有明确设立合规结果导向后，内发的积极预防治理理念才会融入到企业的血液中。该结果导向（量刑激励）该如何设置，设置到如何程度以及到何种程度才可适用将是下文讨论的重点。

三、企业刑事合规的内化路径

（一）构建“中国化和解制度”与量刑激励

我国当前对刑事合规的激励主要是行政和解制度以及认罪认罚从宽制度。由于目前我国涉及公司违法案件对公司的处罚多以行政处罚为主，因此通过行政法律法规来激励刑事合规是当下最经济的方式。［5］但单纯的行政和解并不能解决企业在犯有严重刑事犯罪的所有问题，或者说，若公司犯有严重刑事犯罪，即便已经达成行政和解，但并不能豁免公司的刑事责任。至于认罪认罚从宽制度，虽然已经是一种较为成熟的制度，但并不能实现预防公司犯罪和持续合规经营的目的，亦不能实现解决处罚公司之后如何改变公司治理结构的问题。我国目前的“和解制度”并不能单纯依靠以上两种制度实现，而应引入有效的合规计划。

首先，构建量刑激励制度。从法理学上来看，现代意义上的罪刑均衡为报应刑与预防刑的并合，建立并实施了合规计划的企业预防的必要性降低，从而减轻甚至免除刑罚；其次，通过刑事责任的减免甚至免除，为公司提供合规动力，使其进一步加强事前的积极防范。因此刑罚量刑激励既有其法理基础也有良好的法律效果。刑法激励机制可以分为五种模式，分别为以合规为根据作出不起诉、无罪抗辩事由、从轻量刑情节、换取和解协议并进而换取撤诉，以及对违法行为披露换取宽大刑事处理模式。毫无疑问对于公司而言考虑到公司各种资质不会被剥夺，检察院对其作出不起诉模式对其具有更强的吸引力。

因此，需要进一步明确不起诉的范围。我国法律并不像英美法系实施严格责任原则，但在实践中存在主观意志推定原则，即对有关人员的犯罪行为，只要公司不采取制止、纠正等措施，就推定其需要承担刑事责任。未来应当在《刑事诉讼法》分则部分增设单位犯罪的附条件不起诉制度，在公司已经实施合规计划，对相关人员违法行为采取了禁止、惩戒措施就足以证明公司已尽到管理、监督责任，已对上述人员的法律责任进行了切割。参考美国检察官是否对于企业刑事合规为根据作出不起诉决定考量以下七个因素，可以作为我国公司专项数据合规的方向：犯罪行为的性质和严重程度；公司内部违法违规行为的普遍性；公司是否有类似的行为历史；公司发现犯罪行为的及时性、自觉性以及对调查人员的配合程度；公司是否建立了完备的合规计划；公司采取的补救措施是否完整；有无附带的不良后果。［6］公司可以以上述美国合规不起诉考量因素来对公司合规计划作出调整，以作为后续公司脱罪的抗辩理由。

（二）数据安全视角下专项合规计划的具体实施

在数据获取阶段，首先需要通过数据合规计划，具体明确数据获取的途径。通过正面清单模式确认公司各类员工及关联公司仅能通过数据合规计划中明确的数据获取方式来取得数据。且应当在向数据主体获取数据时，将知情同意、目的合理、最小化三项原则的遵守情况作为合规审查的重点。［7］其次，将采集的数据用于不同的场景必须具有合理性，作为互联网信息服务提供者不得有将数据用于超出提供服务之外的目的，将采集的频次和获取的数量尽量控制在合理限度内。同时，数据公司应当在服务所需要的最小范围内采集所需数据，不得过度采集。

在数据存储、传输阶段，应当对其安全防控的技术手段予以不断革新。对此公司可以对数据进行大分类，对不同分类的数据类型予以专人、专门机构进行管控，一旦发生数据泄漏事件，由专门机构立即组建应急团队以通知数据主体及相关权利人以减少数据泄漏导致的损失。甚至可以设立数据合规部对不同类型数据进行总的把控，对数据重要程度设立访问权限。所有合规人员理论上不在公司内部担任其他职务，以避免可能出现的利益冲突。公司内部出具数据管理和使用规则并对可以接触数据的人员进行业务培训及风险安全培训，员工入职或岗位变更均签署数据安全防泄露协议或者保密协议。

最后，调整公司治理结构。美国合规发展过程中，检察官通常会通过不起诉协议与暂缓起诉协议来推动或者调整公司整体的治理结构，包括对公司人员、职位的变动。合规团队成员中至少包括一名由检察院指定的派驻人员对合规团队以及合规计划进行持续监督。同时，督促企业建立总的合规计划以及专项合规计划，并且合规计划不仅要建立，还要在合规团队的运行下确保合规计划得以有效运行。合规计划得以有效运行的前提是建立一套动态的合规机制，总揽数据收集、数据跨境、数据保护影响评估、数据泄露、数据留存与销毁、数据处理记录的数据全生命周期。在落实数据合规计划下沉时应当注意到完善数据保护业务线条的场景化指引，做到缺位补全、已有优化和更新；通过风险评估、合规检查、日常合规咨询持续识别业务堵点和痛点等明晰员工职责范围，确立员工行为与公司责任的界限。

综上所述，在全球化发展的趋势下，有涉外业务的央企、国企以及民营企业不可避免地面临合规的考验。笔者以数据公司为视角，通过对比合规机制的体系构建模式分析得出，将刑事合规纳入量刑指南的方式作为企业刑事激励的模式，更具有可操作性及有效性。在落实专项数据合规计划时，应从数据获取、存储、传输阶段以及数据公司治理结构的角度提供一系列实操措施来切割公司员工与公司之间的行为联系，建立一套数据从获取端到流出端全流程的风险识别与应对的专项数据合规体系。