問題一：企業刑事合規的必要性

黎宏：企業無法自覺進行監督管理，需要刑法介入

刑事合規制度引起法學界熱烈討論，主要是我國通信行業排名第二的中興通訊因為被披露從2010年至案發當時一直在違規經營，當時被美國商務部制裁：除了付出10億美元罰金外加4億美元保證金的經濟代價之外，還要接受30天內企業改組、美國合規小組入駐進行企業合規建設等屈辱條件。至此，西方發達國家企業中廣泛采用的合規計劃建設始為普通國人所熟悉。

所以，企業合規，從根本上講，是企業內部治理的一種形式，從與刑法的關系上看，其功能有二：一是在企業經營活動中出現違法犯罪時，將守法企業和違法員工的行為切割，從而達到保全企業、懲罰個人，將企業特別是大型企業因為犯罪受罰而產生的社會震蕩效果降到最低；二是通過合規企業出現違法犯罪時可以從寬處理的特殊規定，使公權力的影響提前介入企業內部的經濟管理，促使企業事先主動建立妥當有效的合規制度，自覺遵紀守法，從而達到在未然之中預防企業犯罪的效果。

在企業合規建設中，“做”比“說”重要。企業合規，不僅僅是建章立制，更重要的是要實際落實執行。例如，快播案。2012年8月，深圳市公安局對快播公司進行檢查，給予行政警告處罰，并責令整改。隨后，深圳市公安局將違法關鍵詞和違法視頻網站鏈接發給快播公司，要求其采取措施過濾屏蔽?？觳ス居谑浅闪⒕W絡安全監控小組，在一周內投入使用“110”不良信息管理平臺。但在深圳網監驗收合格后，小組原有4名成員或離職或調到其他部門，“110”平臺工作基本擱置，檢查屏蔽工作未再有效進行。2013年，深圳市南山區廣播電視局執法人員對快播公司開展調查，找到了可播放的淫穢視頻，并對快播公司進行了行政處罰。但快播公司隨后僅提交了一份整改報告，其“110”平臺工作依然擱置，檢查屏蔽工作依然沒有有效落實。

最終，法院認為：“快播公司明知快播網絡服務系統被用于傳播淫穢視頻，但出于擴大經營、非法牟利目的，拒不履行監管和阻止義務，放任其網絡平臺大量傳播淫穢視頻，具有明顯的社會危害性和刑事違法性，應當依法追究刑事責任?！边@段描述中，雖然沒有提及合規問題，但實際上表明，快播公司的內部治理或者內部管控是無效的。因此，判定快播公司有罪。

可見，企業合規能否成為企業自救的妥當手段，關鍵不在于企業是不是建立有合規制度，更重要的是，企業是不是以實際行動表明其愿意在業務活動中守法，并且約束其員工的經營活動。

因此，只有通過有效的執行和有力的監督才能取得實效。完整的制度建設包括制定制度、制度執行和監督落實，而且后者比前者更為關鍵。

孫國祥：合規計劃的核心是刑事合規

顧名思義，合規就是符合規范要求。在法律語境中，“規”就是指“成例、標準、法則”，即規范之意。德國著名刑法學者齊白（Sieber）教授認為：“合規計劃規定的是一種對——首先是法定的，有時又是倫理的或其他的——預訂目標的遵守程序。”

我國2018年7月1日生效的《合規管理體系指南》國家標準也指出：“合規意味著組織遵守了適用的法律法規及監管規定，也遵守了相關標準、合同、有效治理原則或道德準則?！边@就是說，合規之規，包括國家相關法律規范，但不限于此，也包括基于行業特點，從本系統、本行業的特點出發，形成的相關管理制度（行業規范），還包括誠信守則的商業道德倫理規范（ethics）以及企業自愿設立的風險防范規范。合規，不僅是指企業活動應該符合上述標準，而且上述標準應該互相配合，協調一致，形成企業活動有規遵循的規則體系。

可見，這種廣義上的合規計劃之“規”，是通過國家與企業（私人）共同規范的方式形成的。然而，盡管廣義的合規計劃初衷涵括了企業倫理的弘揚，但實踐證明，“對于以追求營利為目的的企業而言，宣揚未必與利益掛鉤的至善行動是不現實的，最終不過是‘徒有虛名’”。

因此，合規計劃的核心是刑事合規。刑事合規，也就是指為避免因企業或企業員工相關行為給企業帶來的刑事責任，國家通過刑事政策上的正向激勵和責任歸咎，推動企業以刑事法律的標準來識別、評估和預防公司的刑事風險，制定并實施遵守刑事法律的計劃和措施。

李玉華：數據合規成為企業社會責任的新內涵

企業開展數據合規建設具有迫切的需求。企業的社會屬性要求其承擔一定的社會責任，而企業社會責任理論不斷發展，企業的社會責任內涵也不斷更新，當今數據合規成為企業社會責任的新內容。

黨的十八大以來，社會治理成為熱點話題，社會多元主體在社會治理中協同發揮作用。企業所具有的社會屬性決定了其必然屬于“社會治理共同體”中的一員，因此，企業內部管理與經營效果在一定程度上就會對社會治理的效果產生影響。

數據合規成為企業社會責任的新內涵。具體言之，就當前數據貿易活動日益繁榮，數據為企業發展帶來新的機遇，但是企業利用數據的逐利行為引發了一些數據保護與安全問題。一方面，個人數據的商業價值不斷激增，企業追求最大化的利潤，卻忽視個人數據的保護與安全存儲問題，誘發了不少以不法手段收集個人數據的事件，個人數據被泄露與濫用的現象日益嚴峻。同時，個人在互聯網留下的信息痕跡在不同程度上反映了個人的偏好與思想，具有一定的人格屬性。企業為了實現精準營銷，整合大量個人數據刻畫用戶畫像，有可能會侵犯個人的隱私等人格權益。另一方面，在數字驅動型經濟時代，全球化的經濟貿易活動促使數據全球化流動更加趨向常態化。企業利用便捷的信息技術跨境傳輸數據創造利潤，但也為數據保護和國家安全問題帶來新的難題與挑戰。

需要注意的是，目前，個人數據保護與數據跨境流動的規范問題是許多國家重點關注的問題，大數據企業不能僅關注自身利益，無視在利用數據追求利潤的過程中對外部產生的損害，否則將有損營商環境，不利于企業提升市場競爭力與實現持續發展的目標。還會激化數據保護與安全的社會問題。

實現數據保護與數據安全需要企業的力量，企業在獲取數據紅利的同時應當將數據合規作為承擔社會責任的重要內容，提升數據合規意識，切實將數據合規貫穿于業務活動的各個環節。將企業數據合規作為企業社會責任的新內涵，是當今新形勢下的應有之義，可以同步實現企業良好發展與有關數據保護方面的社會問題。

黃永：刑事合規的合理性及其框架

企業合規要重點把握理論合理性和制度框架兩個維度，合規的合理性和制度構建雖然看似是兩個層面的概念，但實際上二者有交叉的部分。一是合規的合理性。無論是刑事合規還是行政合規，都需要放置在企業營商環境的大背景下思考合規的合理性。比如，合規是企業自主性行為還是法律外部性行為。中美在對合規的基礎性認知上存在較大差異，美國企業通常對合規感到較大的外界壓力，而我國企業則傾向于積極爭取合規。因此，有必要對這種現實差異現象的背后動因和理性基礎進一步深入研究。還比如，我國當前的企業合規采取的是合規激勵機制，合規激勵機制是否有合理性。在罪責刑相適應原則下，企業合規的同時是否應當追究責任人的刑事責任；在權利、責任和利益相適應要求下，企業合規的同時是否應當承擔例如行政罰款等其他責任。二是合規的制度框架。企業合規可以分為企業自主合規、行政合規和刑事合規三個層次。目前我國由檢察機關、行政機關和第三方監管機構進行合規監管，關鍵在于如何保障合規監管期結束后企業的良性經營，可能會涉及企業從行政合規、刑事合規到企業自主合規的調整問題。

于沖：引入企業刑事合規制度，可有效預防數據安全犯罪

隨著侵犯公民個人信息犯罪的迭代異化，司法解釋不斷豐富侵犯公民個人信息罪的行為類型和個人信息外延，但面臨個人信息犯罪嚴峻的異化態勢，受侵害的數據質量、數據規模、危害性后果不斷攀升，數據的處理、共享、交易、流通使得數據的“動態安全”逐漸成為數據安全問題的常態。以刑事制裁為主的單向度的國家監管顯然存在較大的局限性，規制手段的單一化使其規制效果難彰。因此，需要其他手段的功能補給。

刑事合規制度作為一種能夠容納企業與國家共治的犯罪治理模式，通過促進網絡服務商數據安全保障工作的內控化、制度化開展，增強網絡服務商對于數據安全的責任意識，通過網絡服務商的事前的主動介入，增強數據安全犯罪的積極防控，實現侵害數據安全犯罪的積極的一般性預防。

數據安全犯罪危害性大，不僅是對于數據安全本身的侵害，而且在當前數據安全犯罪產業化、鏈條化的背景下，數據安全犯罪正逐漸成為其他犯罪的上游犯罪、伴隨犯罪，為詐騙罪、敲詐勒索罪甚至綁架罪等其他犯罪提供預備階段的犯罪助力；加之互聯網的倍增效應、放射效應，更加劇了數據安全犯罪的社會危害性。

傳統刑法在應對數據安全犯罪上，受制于刑法的最后性和謙抑性，只能在犯罪發生以后對相關行為進行評價，這種事后性評價對于數據安全的保護有其自身的局限性。因此，要抑制數據安全犯罪的產生，就必須適時地改變偏重事后懲罰的傳統的消極犯罪預防理念，將其置于網絡社會和數據安全的大背景下予以重新審視，基于積極預防的理念提出新的犯罪預防措施。

總之，刑事合規的引入，為企業提供了主動自律的機會和根據，引導企業在主動制定合規計劃、實施合規活動、調整合規機制的過程中，逐漸將數據安全保障和數據犯罪預防意識融入日常的經營管理活動中。