問題三：數據保護的合規路徑選擇

陳瑞華：企業合規的三層含義及數據合規研究中需要注意的四個問題

就企業刑事合規而言，有三層含義：一是從積極的層面來看，企業合規是指企業在經營過程中要遵守法律和遵循規則，并督促員工、第三方以及其他商業合作伙伴依法依規進行經營活動；二是從消極的層面來看，企業合規是指企業為避免或減輕因違法違規經營而可能承擔的行政責任、刑事責任，避免受到更大的經濟或其他損失，而采取的一種公司治理方式；三是從外部激勵機制來看，為鼓勵企業積極建立或者改進合規計劃，國家法律需要將企業合規作為寬大行政處理和寬大刑事處理的重要依據，使得企業可以通過建立合規計劃而受到一定程度的法律獎勵。

在研究數據合規時，有四個問題應當重點關注：

一是企業數據合規的價值。為企業在市場競爭中提供誠信度背書；將企業責任與員工責任、上下游企業責任進行有效切割；最大限度預防行政違規與刑事犯罪危險。

二是網絡安全法、數據安全法、個人信息保護法中包含的合規義務。重要數據處理者應當定期進行風險評估；個人信息處理者應當定期對處理的個人信息遵守法律、行政法規的情況進行合規審計；企業應當在發生網絡、數據、個人信息安全事件時，立即采取補救措施，并通知有關行政部門和可能受影響的個人。

三是數據合規的兩種模式。危機發生前的日常性合規體系，即數據風險評估與預防；危機發生后的合規整改體系，即通過合規整改換取寬大處理。

四是合規與危機處理的關系。企業面臨的最嚴重的危機是行政處罰和刑事追責；合規整改方案是要解決問題，糾正錯誤，填補制度漏洞，完善治理結構，改變經營模式；合規整改方案的本質就是防止再次發生類似的行政違法行為和刑事犯罪行為。

因此，不管是日常合規管理體系，還是合規整改體系，根本目的是要預防違規、預防再次發生違規和違法犯罪活動。合規不是做一套書面的計劃，也不是做一套紙面的規章制度，而是要把合規的管理模式、體系、整改方案有效運行起來，有效地識別違規行為，預防數據領域的違法行為，監控整個公司的運營情況，一旦發生危機能進行自我處理和有效的監管。

孫國祥：刑事合規的中國構建

在我國，合規從內容到制度還處于起步的階段，盡管人們開始重視合規，但內容主要停留在企業內部的規范性要求。近年來，我國也有一些學者撰文提倡借鑒刑事合規理念，重構企業犯罪治理的刑事政策。但刑事合規理念主要在刑法學界探討，企業對其知之甚少，相關呼吁也未得到普遍的響應。雖然市場經濟是法治經濟的口號耳熟能詳，但長期以來企業打“擦邊球”“繞紅燈”的僥幸、原罪心理導致企業的守法意識淡薄，越軌文化盛行。

近年來，我國一些企業經歷了因為經營不合規而導致嚴重刑事后果甚至瀕臨倒閉的風險，這些情況凸顯了我國企業刑事合規管理的重要性。我國刑事合規的構建，應從以下幾個方面著手：

一是擴大單位犯罪的范圍。一方面，宜將刑事合規作為所有企業管理的刑事義務設定，增設企業管理過失的犯罪，在企業懈怠企業刑事風險防范而導致企業刑事案件發生的場合，對企業及其主管人員追究刑事責任，以強化企業刑事合規管理的動力。另一方面，從趨勢而言，應摒棄單位與自然人二元制定罪標準，實行統一的定罪標準，以擴大單位犯罪的入罪范圍。

在堅持家庭經營為主的條件下，每家每戶擁有1.33 hm2左右的雷竹林，通過輪流覆蓋栽培，能取得較好的經濟效益，從而可以穩定竹農的種竹積極性。從竹林可持續經營角度來看，3～4年形成一個覆蓋輪回較為合理，竹林經營面積1.33 hm2是接近合理輪回的面積。為使農戶家庭勞動力與竹林達到最優配置狀態，進而使家庭收入最大化，農戶可選擇轉入竹林擴大經營規模，或轉出剩余勞動力從事其他行業的生產。

二是調整單位犯罪的懲治力度。單位犯罪與自然人犯罪的主觀罪責并不相同，尤其是企業還承擔有社會責任，處罰過重，未必取得好的社會效果。因此，對單位犯罪的懲治宜采取輕緩化的刑事政策。由此，對單位犯罪的主管人員和其他直接責任人員也應單獨設置不同于自然人犯罪的法定刑，而且這一法定刑幅度應低于自然人犯罪。其次，有必要在單位犯罪的刑罰適用中設置對單位的緩刑制度。因為單位一旦涉罪被定罪量刑，其帶來的附隨效果不可低估。在激烈的市場競爭中，相關企業可能因此一蹶不振，甚至倒閉，對整個社會而言，代價太高。因此，給企業一個緩刑考驗期，通過合規計劃的有效實施，能夠使企業走上良性發展軌道的，則原刑罰（包括罰金）就不再執行。

三是司法定罪量刑應考慮企業的刑事合規運行情況。首先，刑事合規的出罪機能。刑事合規擴大了單位刑事責任范圍，這就需要出罪機制的平衡。首先，企業如果已經履行了合規義務，可以借鑒國外立法的經驗，將企業良好的合規計劃作為阻卻犯罪的正當化事由。其次，刑事合規的出罪機能。刑事合規作為刑罰的減免事由不難證立。正如我國學者指出的：“建立并有效實施了‘合規計劃’的企業，其預防的必要性降低，從而影響預防刑，進而減輕甚至免除刑罰處罰，通過刑事責任的加重或者減輕、免除，給予企業合規以壓力和動力，從制度合規逐步形成合規文化，進一步實現一般預防。”刑事合規實施情況能否作為從重量刑情節，理論上有觀點認為，“基于自由保障的考慮，合規只能成為刑罰的減輕事由，內控機制缺失不能成為刑罰加重根據”。既然是否實施刑事合規能夠成為入罪的依據，就沒有理由否定刑事合規與刑事制裁輕重的勾連，不能排除企業對刑事合規的敵視成為從重情節。

謝鵬程：如何確立涉案企業合規管理體系有效性的評估與審查

自從1991年美國將企業合規納入量刑指南以后，涉案企業合規管理體系的有效性問題就一直受到關注，檢察官必須區分真誠的合規和虛假的合規。這就需要建立一套評估合規有效性的標準。美國司法部從一開始就制訂了這套標準，而且越來越詳細，經常更新，譬如2019年、2020年先后都進行了更新。合規管理體系有效性的評估，通常是指第三方組織對涉案企業合規管理體系是否有效進行調查和評價。合規管理體系有效性的審查，通常是指檢察機關對第三方組織評估過程和結論的審查。

關于合規管理體系有效性的評估和審查的原則：

第一，合規管理體系建設與合規風險相適應原則。涉案企業應當建立怎樣的合規管理體系，既不以檢察機關的意志為轉移，也不是依照某個國際標準或者國家標準來建立一個大而全的合規管理體系，而是根據涉案企業合規風險的情況來決定的。所謂的全面合規都是相對的，都是與企業的合規風險相適應的，是針對企業合規風險所建立的防控機制。換言之，全面合規就是具有針對性和充分性的合規管理體系。有人認為，中小微企業只能做專項合規，而不能做全面合規，因為它們沒有足夠的人力和物力建設大而全的合規。這個觀點似是而非，首先，只要做合規，不管是針對一個犯罪的還是針對一類犯罪的專項合規，都需要建立一套由機構和制度構成的合規管理體系，只有建設了這個體系，合規管理才能持續地進行，而建立合規管理體系后，每增加一種專項合規的邊際成本很低。其次，對于任何一家企業只做一兩個專項合規都是不夠的。涉案的專項合規只是合規管理體系的重點，也是涉案企業合規管理體系建設的起點。另外還有五項原則值得注意：全面評估審查與重點評估審查相結合的原則、過程評估審查與結果評估審查相結合的原則、主觀評價與客觀內容相結合的原則、評估和審查的標準保持明確性和一致性的原則、評估和審查的結論保持可證實性和可比性的原則。

關于合規管理體系有效性評估的主要內容。對涉案企業合規管理體系有效性的評估，我們可以借鑒美國評估標準的基本框架，根據ISO37301國際標準，結合我國企業的實際情況，研究制訂一套中國特色的合規管理體系有效性評估標準。美國評估標準的基本框架是從合規管理體系的設計、執行和效果三個主要環節對合規有效性進行評估。企業合規管理體系設計的有效性，是指根據涉案企業合規風險設計的合規管理體系具有充分性和可行性。企業合規管理體系執行的有效性，是指企業具備實施合規管理體系的條件、意識和能力，并提供了足夠的資源保障。企業合規管理體系效果的有效性，是指通過合規管理體系的實施促進了合規文化的形成、合規目標的實現、可持續發展能力的獲得等。這個框架的好處是特別適合司法機關在不同的訴訟階段來適用。對上述三個環節的評估標準則可以借鑒ISO 37301國際標準，并進行必要的中國化改造。

關于檢察機關對合規管理體系有效性評估的審查。對企業合規管理體系有效性評估的審查程序一般包括對評估過程和評估結論兩個方面的審查。對評估過程的審查重點，一方面是第三方組織與被評估企業的工作關系，如有無利益沖突、是否配合、溝通意見是否充分等；另一方面是評估活動的全面性、客觀性、可驗證性和公正性。對評估結論的審查重點，主要是文件信息和結論的關聯性、完整性以及結論的合理性、可參考價值。

于沖：刑事合規機制有效保護企業數據安全的兩個思路

一方面，刑事合規計劃實際上是國家關于數據安全法律規范在企業內控機制中的具體化。刑事合規計劃的前提，需要對企業刑事犯罪風險的準確識別，明確企業可能觸及的數據安全風險類型。在數據安全領域，更加需要明確企業可能觸犯刑法的刑事風險，這實際上相當于為互聯網企業制定了一份“負面清單”，有助于確定企業活動的范圍與責任邊界。

另一方面，通過刑事合規計劃的制定和實施，將法律法規賦予企業的數據安全保障義務予以明確，通過將抽象的法律規則、刑法規則具體化、情境化，以此判定未能履行相關法定義務、未能積極實施合規計劃的行為是否應當承擔相應的刑事責任。例如，判定是否構成拒不履行信息網絡安全管理義務罪等純正的不作為犯罪以及是否構成侵犯公民個人信息罪、侵犯商業秘密罪等不純正的不作為犯罪。

以刑事合規實現數據安全的共治模式：政府管控、網絡服務商防控的統一。當前，以數據合規為連接點的“企業—政府”共治模式尚處于雛形階段，并沒有明確企業合規計劃的法定地位和作用，而是更多地視之為企業的內部控制的規則、流程或者自律機制，僅僅要求企業將相關的內部規則、自律規范等加以備案，缺乏實質審查。例如，2019年9月3日，工業和信息化部網絡安全管理局針對“ZAO”App用戶隱私協議不規范、存在數據泄露風險等網絡數據安全問題，要求“陌陌”組織開展自查整改，加強新技術新業務安全評估，采取有效措施強化網絡數據和用戶個人信息安全保護，積極防范自有業務平臺被利用實施電信網絡詐騙等風險隱患。事實上，經過嚴格審核、充分博弈形成的合規計劃，在國家的犯罪預防和企業的責任認定兩端都具有積極的意義。因此，目前刑事合規計劃的發展顯得猶有不足，有必要將合規計劃從當前的純粹自律規范，轉變為聯結企業內部控制和國家外部監管的紐帶，使行政法規中要求制定和實施的企業內控規范、自律規則，通過合規計劃的形式得到真正的落實和遵循，從而實現數據犯罪風險的政府管控、企業防控、刑法預防的“三位一體”，使得刑事合規機制真正內化為企業的數據安全意識與行動，在數據安全保障、侵害數據安全犯罪的防治方面，形成公私共治的合力。

總之，犯罪共治模式的實質，是要求體系化地看待犯罪治理問題，實現企業能動性與國家強制力間的“一加一大于二”的整體性效果。而刑事合規機制的構建，正好為此整體效果的實現提供了契機。一方面，刑法規則的落實需要刑事合規計劃來加以具體化；另一方面，企業自律的實現也需要合規計劃向刑事規范汲取強制性。刑事合規在成為法官評估違法企業罪責的基礎和法定標準的同時，也成為企業借鑒刑法的特征、模式實現內部治理的工具，在此過程中，刑事合規計劃將企業內控與國家刑事規制有機連接起來，成為構成數據犯罪共治機制的一大助力。

〔文獻來源〕

陳瑞華：《論企業合規的性質》，載《浙江工商大學學報》2021年第1期，第46-60頁。

陳瑞華：《企業合規不起訴制度研究》，載《中國刑事法雜志》2021年第1期，第78-96頁。

黎宏：《企業合規不起訴：誤解及糾正》，載《中國法律評論》2021年第3期，第177-188頁。

黎宏：《合規計劃與企業刑事責任》，載《法學雜志》2019年第40期，第9-19頁。

孫國祥：《刑事合規的理念、機能和中國的構建》，載《中國刑事法雜志》2019年第2期，第3-24頁。

孫國祥：《刑事合規的刑法教義學思考》，載《東方法學》2020年第5期，第20-31頁。

李玉華、馮泳琦：《數據合規的基本問題》，載《青少年犯罪問題》2021年第3期，第4-16頁。

謝鵬程、黃永發言參見《企業合規監督考察研討會實錄（5萬字）》，載“悄悄法律人”公眾號，2021年10月19日。

于沖：《數據安全犯罪的迭代異化與刑法規制路徑——以刑事合規計劃的引入為視角》，載《西北大學學報》（哲學社會科學版）2020年第50期，第93-102頁。