數據安全刑事合規的責任倫理

張 勇，馮明昱

（1.華東政法大學 刑事法學院，上海 201620；2.南京師范大學 法學院，江蘇 南京 210023）

互聯網時代，信息數據技術帶來經濟快速發展和制度變革，也蘊含著日益增大的安全風險。企業組織和個人在數據處理活動過程中，面臨著可能觸犯數據刑事法律和自身權益受到侵犯的刑事風險。相較于傳統的社會風險，數據安全風險更需要法律的積極應對。對于從事數據收集和利用活動的企業來說，制定和實施數據合規計劃是保障數據安全的有效措施，將數據合規治理作為企業社會責任的新內涵，對于防范整個社會的數據安全風險具有“治本”的功能[1]。作為規模化的社會經濟組織體，企業不應只考慮主體利益，亦應當承擔相應的社會責任。本文從責任倫理的理論視角，對數據安全企業合規的正當根據、責任倫理規范及倫理責任效應問題加以探討。

一、責任倫理與數據安全企業合規理念

首先，責任倫理學說是在風險社會背景下應運而生的。責任是一個法律概念，用來判定某個主體違背法律義務的行為所應承受的不良后果。同時，責任也是一個倫理概念，其超越了法律所強設的義務范圍，構成了人們認識道德義務的基礎。倫理是人與人之間符合某種道德標準的行為準則。傳統倫理學以“自我”為中心，人類是自然的支配者，以主體性的道德感受和道德要求“推己及人”[2]。對比“他者”和“自我”這兩類主體，不論是地位層級還是價值蘊含，“他者”似乎都處于弱勢地位。囿于當時的人類理性限度，傳統倫理學僅將當下已經發生的實踐活動作為考量的對象，未來可能出現的風險問題不在其考量范圍內，在應對社會風險問題上存在不足。“責任倫理”是在風險社會背景下提出的現代倫理學說，針對傳統倫理學存在的問題，責任倫理學的主倡者漢斯·尤納斯提出了一種“遠距離的倫理”（Ethik der Ferne），將關注點放置在不同時空下人類之間的倫理關系。在他看來，人類不應當再將精神層面的道德困境作為優先考量要素，如何控制技術中心主義所帶來的各類風險才是目前人類應當承擔的主要責任。概括來說，責任倫理學說的核心思想是面向未來、著眼整體、應對風險。在風險社會背景下，人類行為的性質發生了較大扭轉，具有集體性、結果不可期性、后果不可逆轉性，行為主體的集體化是風險社會的最大特征。集體行為往往比個體行為具有更大的危險性，行為時應更加審慎。

其次，責任倫理對于企業合規具有整體觀念上的指導意義。根據責任倫理理論，作為市場經濟主體的企業，應當主動建立起預防性、前瞻性責任意識，充分考量尚未發生的行為活動的目的、手段以及結果，確定無害后方可正常進行營利活動。這種責任意識與企業合規的預防風險價值目標旨趣相同。所謂“合規”概指企業通過內部合規計劃對法律法規、行業規范、內部規章及國際條約的遵守。廣義上企業合規主體與對象不限于企業單位及內部員工，還包括政府部門、司法機關及其他社會組織，企業所具有的社會屬性決定了其屬于社會治理共同體中的一員；狹義上的企業合規則僅指企業預防犯罪、改善處遇的內部治理方案，指企業與員工的業務及管理符合有關法律法規、行業規則、道德規范等要求。在企業合規治理中，應當確立責任倫理觀念，為其合理性、科學性提供支撐與指導，發揮預防和控制風險的積極作用。然而，作為市場主體，企業以追逐利益為目的，而企業合規意味著高成本投入，要求企業完全按照所有法律法規和行業規范的規定作出合規承諾、履行合規義務是不大現實的，大多數企業都不會重視和承擔這種社會倫理責任。要想使具有“經濟人”性質的企業在營利活動過程中不僅實現自利，同時實現社會其他主體乃至社會整體之福祉，依靠道德層面的“自覺”的同時還需要“看得見的手”（即法律規范）的引導。國家應當充分考慮企業的“經濟人”本質，設計相關企業合規的制度政策。政府和公眾對企業合規施加的法律和道德壓力與企業履行社會責任的積極態度之間成正比關系。

再次，責任倫理能夠為數據安全企業合規提供理論指導。在數據安全領域，企業作為人類社會的重要組織體，企業合規對于防范整個社會的數據安全風險具有“治本”功能，是企業社會責任的新內涵。所謂“數據安全企業合規”，即為保障數據安全，企業單位、政府部門、司法機關等所進行的企業內外部合規治理活動。從國外立法來看，根據歐盟《通用數據保護條例》（GDPR）的規定，如果數據處理是為了保護其他人的核心利益、維護公共利益、保障公共職權執行且具有必要性，則該企業的數據處理行為應當視為合法。2022 年5 月，歐盟理事會通過的《數據治理法》第四章規定了“促進數據利他主義”的內容；7 月，歐洲議會又通過了《數字服務法》（DSA）和《數字市場法》（DMA）兩部數據監管新規。我國也先后頒布實施了《網絡安全法》《數據安全法》《個人信息保護法》，對網絡和信息數據安全予以強化保護，也為企業數據合規提供了規范指引。數據安全企業合規的重心就在于明確企業數據安全管理義務的范圍和界限。企業通過數據安全合規計劃的制訂，將行政法、刑事法層面的法律義務轉化為企業及員工的行為規范和內部規則。企業在制訂數據安全合規計劃及相應規范時，必然要考慮責任倫理中強調的人類對于“未來”“整體”及“風險”的責任。面對技術的不確定性或風險性，應秉承技術為善、向善等方面的倫理旨趣，不能任數據進行無倫理與法律底線的“賦能”[3]。企業不僅要考慮數據安全個體權益保護，也應當注重維護整個社會中“抽象”主體的數據安全利益。

二、責任倫理與企業合規刑事歸責根據

在我國刑法中，企業合規并未被明確規定為阻卻違法或責任事由。從事數據處理活動的企業，即使制訂或實施了數據合規計劃，但若其不履行上述法律法規規定的數據安全保障義務，也可能面臨構成犯罪的刑事法律風險。從實踐來看，相關罪名主要包括拒不履行信息網絡安全管理義務罪、侵犯公民個人信息罪、侵犯計算機信息系統數據罪等。這些罪名可統稱為數據犯罪。數據犯罪具有典型的法定犯或行政犯的特征，相關罪名的罪狀涉及行政性前置法，犯罪構成要件具有開放性；而前置性行政法律法規對于司法機關認定企業數據犯罪、數據企業制訂和實施數據安全合規計劃來說，都具有重要的規范指導作用。以下從責任倫理視角出發，在肯定企業單位刑事歸責的主體地位的基礎上，探求企業合規刑事歸責根據及刑責減免效應。

（一）企業單位犯罪刑事歸責之二元論

企業單位犯罪的刑事責任，即刑法確定企業單位犯罪的單位與單位成員之間的承擔刑事責任的歸責制度。關于單位的刑事責任根據，國外存有學說分歧：“一元論”認為，單位犯罪中只有單位可以作為犯罪主體，即強調單位的整體責任。如國外的替代責任論者主張，追究單位犯罪的刑事責任并非承認單位本身可以成為犯罪主體，而是作為其“仆從”的內部成員實施了犯罪行為。“二元論”對其批評指出，單位作為“雇主”無犯罪行為，卻要因為其成員的犯罪行為承擔責任，存在結果主義與客觀歸罪的嫌疑[4]。有學者指出，我國刑法中的單位犯罪制度缺少對單位獨立人格的規范評價，實體上過于強調單位與自然人在犯罪機理上的等價性，使得單位需要具有同自然人一樣的主客觀要素才可構成犯罪[5]。“二元論”主張，單位犯罪中存在兩個犯罪主體，單位中自然人既是犯罪主體又是刑罰主體。有學者指出，《刑法》第三十一條對單位犯罪處罰原則的規定“隱含了單位犯罪案件中的責任認定與處理邏輯，即出現危害結果之后，首先認定單位責任，處罰單位，然后處罰個人”[6]。單位犯罪歸責只能遵循“由單位到人”的邏輯路徑，單位責任是單位自身實施了犯罪行為后所需承擔的刑事責任。單位是獨立的犯罪主體，因此單位犯罪并非單位內部成員犯罪行為之集合，也非全部成員共同實施的犯罪。從單位與其成員的刑事責任關系來看，“一元論”與“二元論”的分歧即在于，究竟是根據以自然人行為為中介還是以單位自身特征來認定單位犯罪刑事責任。“一元論”以單位中自然人行為為核心，通過單位與單位成員之間的聯系來說明承擔刑事責任的根據，單位成員承擔刑事責任是因其作為自然人的行為構成了犯罪，與是否處罰單位沒有關系[7]。“二元論”則是將單位自身或法人的行為作為單位犯罪刑事歸責的根據，實質上是以單位自身的特征為基礎尋求法人刑事責任的本質。自然人罪責的產生，必須以單位行為獨立成罪為前提[8]。

隨著現代企業的規模化、復雜化，企業單位刑事責任的獨立性地位逐步受到重視，“二元論”逐漸占據優勢地位。有的學者主張“企業組織體責任論”，承認法人的犯罪能力，強調法人是超越個人的存在，在事實上與法律上都是以法人機關形成意思與進行活動的。同時，強調應當擺脫以個人犯罪為前提的限制，以企業內部的經營文化、經營管理規范及其缺陷為根據進行刑事責任的認定[6]。本文對“二元論”持肯定態度。該學說重視獨立于自然人之外的法人本質特征，為規模大且具有完善章程的組織體賦予了新內涵的社會責任，是值得肯定的。疑問在于，應當如何定義“組織體”？換言之，在承認自然人在集體中的聯結作用的基礎上，誰能夠作為單位的代表？有學者認為，只有領導集體能夠代表單位，理由在于《公司法》第一百四十七條規定了董事、監事、高級管理人員的忠實義務與勤勉義務，這兩種義務可以具化為領導層對公司業務的注意與監督義務。刑法中單位犯罪條款的設立，實質上是在刑事法層面再次確認了公司法中領導集體的義務，即領導集體具有監督管理義務。對于單位所作決策具有決定性作用的領導集體應當被定義為單位整體[4]。作為組織體，企業的主觀意志內容有以下表現形式：一是單位的抽象意志，主要通過發布的章程、規范、行為守則、獎懲標準等規范性文件體現；二是單位的具體意志，主要通過對內部員工的職務行為進行懲戒、教育、獎勵等具體行為展現。因此，企業是否應當承擔刑事責任，應當以其具體行為和抽象行為為根據，先行判斷單位是否具有犯罪的主觀罪過[9]。

（二）企業合規刑事歸責的責任倫理評價

首先，單位犯罪刑事歸責蘊含著責任倫理道德因素。從責任倫理學角度看，某種行為之所以構成犯罪并接受刑法處罰，根本原因在于此類行為不僅是對他人法益的侵害，更是威脅到了主體存在的前提或基礎。責任倫理強調“他者”地位高于“自我”，認為主體在實現個體利益的同時也擔負著關心“他者之存在”的責任。犯罪就是犯罪人在極度“自我”意識的支配下，忽略了對“他者之存在”的責任承擔，進而破壞了“他者”乃至社會整體的利益。與傳統倫理觀念不同，責任倫理認為，犯罪人之所以被譴責是因為其過于膨脹的自我欲望以及“為他”意識的匱乏[2]。刑法所設定的是人與人之間、人與社會間的行為準則，彰顯并實現了當下社會價值觀的“善”。應當說，在善惡層面，刑法與倫理是相通的，刑法在通過具體規定懲治“惡”的同時，也在引導社會民眾向往、信仰“善”。前述數據犯罪所涉罪名均屬于典型法定犯，社會倫理規范是其歸責基礎。針對此類犯罪的刑罰規定與處罰，正是意圖通過法律形式強制人們遵守作為其基礎的社會倫理規范。另外，單位犯罪與個人犯罪在歸責根據和評價標準上亦有所不同，后者側重自然法層面利己主義的倫理道德規范，具有一般人共識性的評價標準；而前者是利他主義的責任倫理規范，通過企業自身的合規計劃、行業規范、行政法和刑法規范義務內容加以體現。因此，在企業數據犯罪的歸責中，同樣需要考察其是否違反了社會倫理規范要求，并以此作為判定其是否具有刑事可責性和需罰性的依據。

其次，企業合規對單位刑事歸責具有責任倫理效應。在企業合規視域下，合規計劃蘊含著本單位自上而下的組織管理模式和監督管理機制。認定企業的單位刑事責任是對企業具有獨特犯罪主體地位的肯定，強調企業作為組織體所具有的社會責任，并主張企業合規計劃的有效性是判斷企業是否承擔刑事責任的基礎。企業刑事合規制度作為典型的刑事政策，其直接目的在于推動企業建立完善、有效的犯罪預防計劃，避免企業等組織體為盈利而實施蘊含嚴重刑事風險的不法行為[5]。因此，可以將企業合規計劃的有效制訂與實施作為阻卻單位犯罪成立的理由。合規計劃本身就代表著對法律義務的遵從，認定企業單位的刑事責任，則應當充分考量其是否遵守并且實際履行了法律義務。就自然人以單位名義實施的犯罪行為而言，刑事責任應當歸屬于企業還是自然人本身，應當以該行為造成的危害后果的歸屬為基礎進行判斷。當造成危害后果應歸責于企業的內部治理機構、運營方式或內部制度時，應當歸責于企業，按單位犯罪處理；反之，則應當僅追究自然人的刑事責任[10]。這表明單位與自然人刑事歸責理念上存在差異性，即單位在規范意義上具有獨立人格[5]。在企業合規背景下，判斷企業單位是否應當因其內部成員的犯罪行為承擔刑事責任，重要判斷因素是企業合規計劃的制訂與實施。如果企業合規計劃未能得到有效執行，與企業內部成員所實施的犯罪行為存在刑法因果關系，應當認定為單位犯罪并追究刑事責任。

在數據安全合規領域，企業合規計劃相當于其自身制訂了一份旨在預防數據犯罪的“負面清單”，通過實體法層面的定罪量刑、程序法層面的激勵機制，促進企業實施數據安全合規計劃，以避免或降低自身犯罪或遭受侵害的刑事風險。數據安全風險具有相當的不確定性、隱匿性以及嚴重危害性。如果按照傳統罪責刑法模式，以事后法的形式對數據犯罪行為加以規制，就難以充分發揮治理效果，因而需要從預防犯罪角度，結合其他社會治理手段共同發揮風險控制機能[11]。以防范數據安全風險為目的、以責任倫理為理念的企業合規，能夠彌補刑法的滯后性不足，在數據犯罪預防方面實現與國家和社會的共同治理。企業積極實施合規計劃，履行數據安全保護的法律義務，可獲得從輕、減輕甚至免除刑事處罰的量刑激勵；相反，如果違反了刑事合規的義務要求，侵犯了他人數據權益，甚至危及數據安全，所帶來的是比違反行政合規更為嚴厲的刑事處罰。這既是我國寬嚴相濟刑事政策的體現，也是數據安全企業合規的倫理責任效應。

（三）責任倫理與企業合規刑事責任減免

在國外，一般都將企業刑事合規作為量刑減免的影響因素，而非出罪事由。英國《賄賂罪法案》中第7 條將合規作為辯護事由規定，可以借此為被告人出罪。《美國量刑指南》也規定，企業合規計劃可以作為減輕刑事處罰的辯護事由。同時，該指南還為刑事合規計劃有效性的判斷規定了較為明確的標準。在國內，有的學者主張刑事合規可成為犯罪的違法阻卻事由[12]。有的學者則主張，刑事合規建構的歸責意義只限于歸責范圍上的討論，即可以將企業合規作為排除單位主觀罪過的理由，并對企業單位予以無罪或減免處罰，但并不能因此而免除單位內實施犯罪的自然人的刑事責任[13]。筆者贊同后一種觀點。企業合規計劃彰顯了單位主觀意志上對社會責任的承擔，但社會責任并不等同于刑事責任，從責任倫理角度不能推導出企業必須制訂、實施以刑法義務為內容的合規計劃，也不能因企業制訂和實施了刑事合規計劃而獲得出罪事由，充其量只能作為一種從寬量刑情節。對于企業刑事合規，無論是主張阻卻違法或是阻卻責任，都應當從責任倫理觀念出發，運用刑法教義理論予以論證，從中獲得涉罪企業刑事責任減免的根據。

在現代刑法學中，責任與預防并非處于完全對立的狀態。責任原則的貫徹不僅僅是實現人權保障的要求，一定意義上也是實現預防犯罪的堅實基礎[14]。德國刑法學者羅克辛從應對風險和預防犯罪的立場出發，將歸責看作一種對構成要件進行實質解釋的理論。歸責的概念既包括主觀歸責，也包括客觀歸責。羅克辛用客觀歸責理論實質解釋客觀構成要件，以風險實現作為客觀歸責的核心；用主觀歸責理論實質解釋主觀構成要件中的“故意”，其中行為計劃是否實現是主觀歸責的標準[15]。在德國刑法學界，企業合規負責人被賦予不作為犯罪領域中因對危險源支配而形成的“保證人”角色[16]。企業單位負責人對單位犯罪的刑事風險和內部員工行為的合法性承擔保護義務與法律責任。日本刑法亦有類似規定，基于以“結果避免義務”為核心的新過失論，認為企業單位主體對員工的監督義務可以被評價為監督過失犯罪中的客觀注意義務。實際上，數據安全刑事合規就是將刑法中的注意義務轉化為企業內部治理的“合規義務”[17]，同時將企業是否積極履行“合規義務”作為刑事歸責的根據。在企業內部成員涉嫌犯罪時，倘若企業設置并實施了有效的合規計劃，可以此為抗辯事由，提出公司本身已盡到合理注意義務。雖然企業合規可以成為刑事免責事由并導致不起訴或暫緩起訴的法律效果，但一般情況下并不具有免除全部刑事責任的效果。在自然人以單位名義實施犯罪的情況下，單位可以已經實施完備的、規范的刑事合規計劃為由，主張不存在故意和過失，進而主張無罪或減免處罰，但并不能因此而免除單位下實施犯罪的自然人的刑事責任。在單位過失犯罪的場合，事前合規不能直接否定單位的監督過失責任；單位是否負監督過失刑事責任，不僅要看單位有無合規計劃，更要看單位是否盡到了相關注意義務、主觀上是否存在過失[18]。但在注意義務缺失、排除主觀罪過或情節顯著輕微的情況下，合規計劃也可能發揮責任阻卻的作用。如果企業所實施犯罪的社會危害程度較為輕微，又實施了有效的刑事合規計劃，符合《刑法》第十三條“但書”規定的，應當以情節顯著輕微排除其刑事違法性，以無罪論處。

三、數據安全刑事合規的責任倫理規范

從事數據活動的企業制訂和實施合規計劃，建構數據安全合規管理體系，是對社會賦予的企業道德倫理的充分回應。落實企業保障數據安全的倫理責任，必須以相應的制度規范作為基礎，將責任倫理觀念融入企業合規的制度建設之中，明晰企業數據安全管理義務的范圍和界限，將法律賦予企業的數據安全保護義務與倫理責任在合規計劃中予以明確，實現數據安全企業合規的倫理化、規范化，使其從道德規范轉化為社會規范、法律規范，使得責任倫理在不同規范層面發揮作用。

（一）數據安全刑事合規的倫理規范層次

數據犯罪具有典型的法定犯特征，前置性行政法律法規對于認定數據犯罪來說具有關鍵作用。對于企業刑事合規來說，前置性行政法往往有著比刑法規范更為嚴格細致、全面具體的規范義務內容。數據安全企業刑事合規應當以刑法規范為底線標準，以行政法規為基本標準，以行業規范為參照標準，制訂和實施企業合規計劃。而在不同的合規層面，不同效力層次的規范對責任倫理的體現也存在差別。

1.數據安全合規的道德規范與法律規范

傳統意義上，責任倫理屬于倫理學范疇。而作為一種社會倫理，責任倫理是銜接倫理道德與法律規范的環節，是內化于企業自身的責任情感，是企業自覺履行社會責任的高層次道德追求。法律是禁止性規范，是企業應當遵守的責任倫理底線，但如果該法律規定是不合理的，損害人們的正當權益，則不屬于企業責任倫理規范。同時，社會所倡導的道德規范通常是合理的，也是企業應當遵守的，但只有當道德規范是合理的，遵守這樣的規范才符合責任倫理，或者說，才屬于企業的倫理責任。有學者指出，社會倫理規范是分層次的，“底線倫理”分成三個層次：第一層次是最基本的道德底線，其內涵是所有人都應當遵循的基本的自然義務，憲法中所規定人民的基本權利內容正是此部分的內容。第二層次則是在法律社會背景下所產生的各類義務，比如刑法中有關各類法定犯的內容。第三層次是針對各類特殊行業所提出的更高要求，僅限制在其特殊行業的職責或行為領域內，例如教師所應當遵循的教師道德、相關企業應當遵循的環境倫理等[19]。雖然該層次的劃分并非以法律體系為視角，但完全可以將該理論同法律體系結合進行類推分析，從而得出法律體系的規范內容、處罰程度是可以劃分為不同層次的結論。在數據安全領域，企業作為數據活動的重要主體，是保障數據安全的“保證人”，基于其業務范圍、服務領域等因素，產生相應的保障數據安全的倫理責任。然而，道德規范畢竟不具有法律強制效力，并非全部有關數據安全保障的道德規范都必須納入企業數據合規計劃當中。只有在遵守數據匿名使用的法律規范的前提下，才能賦予企業道德規范層面的數據安全合規要求；如果企業不履行這種合規計劃中純粹的道德規范義務，則只能受到社會公眾的道德譴責，而不能訴諸法律追究其責任。

2.數據安全合規的“硬法”與“軟法”規范

（1）“硬法”規范。具有強制性法律效力的數據安全法律法規具有“硬法”屬性，是企業合規必須遵守和執行的，可作為企業合規責任倫理的基本規范標準。企業單位負責人對單位犯罪的刑事風險和內部員工行為的合法性承擔保障義務與法律責任。遵守法律規范是企業數據合規的硬性要求，法律首先規制的是直接侵犯了底線倫理的行為。刑事法律和行政法規是任何一家企業都必須遵守的，如果通過合規計劃積極履行，則可以獲得司法機關的刑罰處罰或行政處罰從寬的激勵；如果企業不遵守相關法律法規，就可能遭受法律制裁。有學者指出，企業建立和實施合規計劃的要求不應加以刑事化，不能混淆企業遵守法律的義務和企業合規治理的義務，不能從企業遵守法律的義務直接推導出每個企業都要有制訂和實施合規計劃的刑法義務[18]。這種觀點與本文所說的企業合規須遵守作為“硬法”的刑事法律或行政法規并不矛盾，也就是說，企業必須遵守這些“硬法”，但這些“硬法”并不是必須成為企業制訂和實施的合規計劃的內容，企業對此可以作出自愿選擇。如果企業將這些“硬法”納入合規計劃并予以實施，則可能獲得刑事或行政合規的量刑激勵，但如果企業沒有將其納入合規計劃內容，也必須履行遵守“硬法”的強制性法律義務，否則將承擔刑事或行政法律責任。

（2）“軟法”規范。所謂“軟法”，即不具有法律強制效力的社會規范，包括行業協會頒布的行為準則、商業習慣和企業內部規章等。然而，如果企業完全按照刑事法、行政法的“硬法”規定作出合規承諾、履行合規義務，對很多企業來說意味著高成本投入，是不太現實的。因此，數據安全責任倫理也需要“軟法”規范予以體現。數據安全領域內形成的行業規范并不具有法律效力且相較于相關部門法的規定標準更高，因此企業可將其作為較高的規范標準予以參照，并不必須遵照執行。作為與“硬法”相對應的概念，“軟法”不以強制性為特征，卻能產生社會實效[20]。運用“軟法”方式實現數據安全責任倫理的規范化，對于企業預防數據安全風險顯得更為靈活、有效。因此，企業需要履行的數據安全責任倫理規范來源不僅局限于國家層面的法律法規，還有社會層面的行業規則、商業道德以及企業層面的管理制度以及企業文化。判斷涉案企業有無遵守道德規范及是否需要承擔相應的社會責任，在相當程度上有賴于相對明確的“軟法”規范，可以通過設置“軟法”的方式增加正向激勵模式，將相關行業規范、倫理規范納入企業合規之中，實現數據安全合規的“軟法化”。

（二）數據安全刑事合規的倫理規范內容

在我國數據安全立法中，《數據安全法》處于基本法地位，其他法律法規則起到補充、參照、協調的作用。根據該法第八條的規定，數據處理活動的全過程不僅應當遵守法律、法規，社會公德、倫理乃至商業、職業道德都應當被遵守。企業應當自覺承擔社會責任，履行數據安全保護義務，不得危害國家安全、公共利益，不得損害個人、組織的合法權益。具體來說，數據安全合規的責任倫理規范內容包括安全保障和個人數據權利保護兩個方面。

1.企業數據安全保障規范

具體包括內部監管和外部保障兩方面。

（1）企業內部數據安全監管。《數據安全法》與《網絡安全法》《個人信息保護法》明確規定了網絡服務商的數據安全監管義務，特別是對影響公眾基本權利、涉及重大社會公共利益的個人數據、政府公共數據，從數據獲取、存儲、傳輸、使用等關鍵性環節進行更強的內部監管。根據《數據安全法》第四章的有關規定，數據交易活動的中介機構應當嚴格審查數據來源、交易雙方身份，將審核及交易記錄作留存處理；數據處理的服務提供者應當根據法律規定依法取得行政許可；數據的跨境交易應當受到嚴格審批，未經國家主管機關批準，不可隨意向境外提供存儲于本國國內的數據。原國家質監總局、國家標準化管理委員會頒布的《合規管理體系 指南》（GB/T 35770—2017）規定，企業合規義務包括合規要求和合規承諾兩部分。前者是一種強制性義務，是企業刑事合規首要考慮的內容。后者則是企業自愿承擔的義務，即企業通過合規計劃的制訂實施，積極承擔對數據的所有者、供應者、使用者、消費者以及企業內部員工等利益相關者的數據安全保障義務。企業在合規體系中承擔社會責任，對于增強企業及員工守法觀念、強化責任意識和預防數據犯罪，能夠起到根本性作用。

（2）企業外部數據安全保障。我國《網絡安全法》《數據安全法》均規定了網絡運營者等組織、個人協助偵查犯罪、調取數據的義務。如《數據安全法》第二十七條規定了數據處理活動主體應當履行數據安全保障義務；重要數據處理者應當將數據安全保障義務落實到具體負責人、管理機構。第三十條則規定了重要數據處理者的風險評估及報送義務。第三十五條規定，公安機關、國家安全機關因依法維護國家安全或者偵查犯罪的需要調取數據，應當按照國家有關規定，經過嚴格的批準手續，依法進行，有關組織、個人應當予以配合。對于上述網絡運行安全和數據信息安全保障義務內容，企業應將其納入合規計劃之中，使其成為合規義務規范內容。須指出，目前我國數據安全立法較多集中于數據安全保護和監管義務設置，而對于數據流動、共享及利用方面的規定較少，對相關主體數據權益的兼顧與平衡仍存在不足。在大數據時代背景下，法律需要協調不同主體的利益，合理分配數據安全保護義務，避免對有關組織和個人的數據權益造成不當侵害。

2.個人數據權利保護規范

主要包括企業內外部兩方面。

（1）企業外部個人數據使用的權利保護。我國《數據安全法》專章規定了任何主體都應當采取合法、正當的方式收集數據，不得以竊取等非法方式獲取數據。《個人信息保護法》也同樣設專章明確了個人信息處理者的合規管理和保障個人信息安全等義務，要求個人信息處理者按照規定制定內部管理制度和操作規程，采取相應的安全技術措施。個人隱私信息的泄露和不當使用是數字經濟發展帶來的嚴重社會失范問題。保證個人隱私安全的制度措施主要包括：一是模糊化；二是匿名化。因此，在責任倫理觀念的指導下，應及時保障公民個人信息的隱私安全，規范行業標準，通過數據脫敏技術，利用算法對存儲的數據進行快速識別，將能夠識別特定自然人的識別符予以匿名化。歐盟《通用數據保護條例》對個人數據匿名化的內涵作出了具體規定，并特別強調應當將其作為數據處理安全的技術措施保障，為實現公共安全等利益所進行的數據處理活動也應當采取匿名化的保護措施。我國《網絡安全法》第四十二條確立了使用個人信息征得信息主體同意的例外情形，即不可逆的匿名使用規則。另外，《信息安全技術 個人信息去標識化指南》（GB/T 37964—2019）將去標識的過程劃分為目標確定、標識識別、標識處理等步驟，并在各個環節中都設置了監控、審查流程。尤其是持續監控個人信息去標識化的結果，在數據去標識化后，仍根據具體情況或在固定期限內重新對個人信息的標識化程度、重標識風險程度進行評估并將風險評估結果同預先設定的風險閾值進行對比，實現個人信息去標識化的有效性，以保障個人信息的安全性。

（2）企業內部監管中員工個人數據權利保護。企業對員工進行數據安全監管，應當遵守有關個人信息存儲、共享、提供、轉移、刪除等方面的法律規定，履行法定義務，不能為了保障數據安全而犧牲員工個人信息數據權益，不得侵害員工的正當權益。例如，企業對員工進行網絡監控，獲取員工網絡操作記錄，必須經過員工本人授權同意，并且是基于勞動規章制度、集體合同實施人力資源管理所必需的。基于最小性、必要性原則，應將監控的員工信息限制在最小范圍內；在監控方式上，必須遵循公開、透明原則，不得采取竊聽、跟蹤的手段監控員工的日常工作活動。當然，企業具有擔保其員工遵紀守法的保證人地位，若其確實已充分履行了刑事合規中的主體監管義務，則不存在構成監督過失行為的空間，就不能成立單位犯罪。

四、責任倫理下數據安全刑事合規實現路徑

刑事合規的直接價值目標在于通過國家強制力推動企業自覺承擔社會責任，遵紀守法地進行各類經營活動；根本價值目標在于預防犯罪、規避風險。因此，刑事合規需建立制度化、規范化的預防體系，以體現企業面向未來、防范風險的責任倫理價值追求。根據預防犯罪的需要，數據安全企業刑事合規應當從事前合規、事后合規兩方面進行構建。

（一）數據安全企業事前合規計劃

所謂“事前合規”，即企業單位在涉罪行為實施之前，已經建立完整、有效的合規計劃，從而證明單位內部自然人的犯罪行為與單位無關，實現單位與員工刑事責任的切割分離。企業的社會屬性決定了其需承擔社會責任，其規模的龐大和營利行為的伴隨性后果決定了其需充分承擔對“未來”的責任。企業合規是國家與企業協同共治、預防和發現犯罪的新型犯罪治理模式，強調源頭治理[21]。企業事前合規的出罪功能效用大小，應當主要考量企業參與數據安全合規的積極性、主動性、預見性，從企業是否事先設置了數據平臺安全標準、數據安全風險控制標準等內部規范進行判斷。須注意的是，企業應當事先進行風險評估，并結合企業具體情況設置具體規范。缺乏合規文化的合規計劃具有誘發內部成員實施不法行為的反向效果，會使員工產生“不法行為是為了維護企業利益”的主觀心態[22]，從而喪失對不法行為正確的倫理道德判斷。綜上，在涉罪行為發生后，企業能否利用合規計劃方案，將涉罪行為予以有效控制和消除，及時挽回實際損失，并防止涉罪行為再次發生，以及能否有效地消除企業內生性的犯罪文化誘因，是判斷合規計劃有效性的重要影響因素。

這里，著重討論以下兩點：

（1）企業數據收集和處理中的事前合規。由于不同企業所面向的市場方向存在差異，其存儲的數據內容亦有所差別。首先，在數據收集過程中，應根據《數據安全法》對企業內部數據進行分類分級，施以不同的數據獲取標準。例如，根據數據的權屬主體不同可以分為公共數據、權屬清晰的個人數據。對于前者來說，企業在獲取時應當遵循審慎原則，在遵守國家相關規定的同時還應確保收集數據同企業產品服務之間的直接相關性，將收集范圍、頻率等控制在合理限度，避免出現權屬糾紛。對于后者而言，企業在獲取數據前應當獲得權利人的同意或授權。其次，在數據處理過程中，企業同樣應當以數據分類分級管理體系為基礎，對不公開的私人之間傳輸的網絡信息與公開的網絡信息的安全審查方式予以區分，尤其要注意保護用戶的敏感信息，處理敏感信息應當關注對用戶個人信息的脫敏。在敏感數據的流通過程中，需要對數據流通涉及的第三方進行數據安全的風險評估，通過匿名化處理保證用戶信息安全。企業在開展匿名化處理的過程中，需要從操作層面完成對原始數據的隱藏，生成替代數據，避免他人識別信息主體的身份。

（2）數據安全風險監測和預警的事前合規。《數據安全法》第二十九條規定，企業在數據處理的全過程應當堅持風險監測，并在發現數據安全風險后及時采取防控措施。確實發生數據安全事件后，應當及時采取合理處置措施并及時報送主管部門、告知用戶。基于此，企業應當建立數據安全事件應急制度，也即在發生數據安全事件后企業應當及時將數據安全事件報送給相關權利主體以及主管部門，開展內部調查后處理實施違法犯罪行為的員工或第三方并進行整改。例如，杭州某互聯網企業建構的“風險核查—數據梳理—數據保護—監控預警”（CAPE）模型，風險核查的主要關注點在于前期的數據收集、使用階段，目標在于明確可能存在的刑事風險；監控預警則是將關注點放置在較為重要的使用、流動等階段，盡可能地感知數據安全態勢[13]。于企業數據刑事合規來說，這是一套具有相當系統性、完善性的數據風險防控方案，具有借鑒意義。

（二）數據安全企業事后合規整改

所謂“事后合規”，是指企業實施數據犯罪后所做的整改補救措施，以預防再次犯罪的發生。對企業數據犯罪行為進行刑事處罰的主要目的在于預防風險，那么以合規的方式推動、監督企業進行事后整改工作，并以不起訴、暫緩起訴作為正向激勵的方式同樣具有相當的目的正當性。同時，這也是對責任倫理中“整體”責任觀念的貫徹。企業的事后合規整改不僅有利于完善公司治理結構，促使員工在日常工作中時刻牢記倫理底線，還可充分發揮公司所蘊含的社會經濟效能，從而帶動社會整體經濟的發展。企業制訂和實施有效的數據安全刑事合規計劃，國家司法機關予以量刑激勵，其實就是寬嚴相濟刑事政策的體現。

近年，我國檢察機關逐步推進開展涉罪企業合規試點工作，實踐中也出現了對涉案企業以無罪處理的判決①。最高人民檢察院、司法部、財政部等九部門、單位聯合發布的《涉案企業合規建設、評估和審查辦法（試行）》（以下簡稱《試行辦法》）第二條規定，經評估合規建設符合有效性標準的涉案企業，檢察院可以參考評估結論對其作出不起訴等決定。涉罪企業在符合相關條件的情況下，檢察機關將其納入合規考察范圍，并根據其整改效果作出是否起訴的決定。企業合規整改大致可以劃分為涉案企業合規整改—第三方評估—檢察院或第三方管委會審查與認可三個階段。其合規整改內容主要包括：涉案企業在停止犯罪行為、認罪認罰的基礎上，還需采取補救挽損措施，積極配合刑事追訴行動；及時自糾自查，查明犯罪事實及責任人；查明犯罪發生的原因，查找、確定企業內部治理結構、管理制度等制度體系層面的漏洞；對已經查找出的漏洞及時進行補正或撤銷；根據已經查找出的漏洞及時對現有的合規計劃進行修正，形成有效的刑事合規體系[23]。須指出，企業合規是一把“雙刃劍”，若企業存在“紙面合規”的情形，即涉罪之前并未建立有效合規計劃；或者企業建立的合規計劃未實際發揮效用；或者出現“合規承諾欺詐”的情況，即企業單位在騙取司法機關信任之后，故意違反合規制度再次實施先前所犯之罪，對本單位在經營過程中涉及的數據安全刑事風險具有明知或應知的主觀心態，司法機關可以據此認定企業單位主觀惡性較大，應依據正常程序對其進行起訴。若企業通過有效合規計劃換取檢察機關的不起訴決定后，在后續經營過程中又觸犯合規計劃內所規制罪名的，則應當剝奪其再次通過合規整改避免被起訴的機會，并對其所犯之罪從重處罰[24]。

綜上所述，就涉罪企業而言，事前合規計劃和事后合規整改彰顯了涉罪企業主觀意志上積極避免危害結果的再次發生的主觀心理態度[18]，能成為減免其刑事責任的重要因素。企業合規計劃的設定及實施可能成為刑罰裁量的影響因素，體現了特殊預防的需要[25]；同時，企業合規能夠增強對刑法規范的忠誠和認同及對倫理規則的自覺遵守，從而防患于未然，實現一般預防效果[26]。

五、結語

在風險社會背景下，企業在制訂刑事合規計劃、防范數據安全風險過程中，須確立責任倫理觀念，面向未來，著眼整體，積極應對風險。企業作為具有相當規模、完善的組織體，應當積極履行社會責任，遵守社會規范和倫理道德，將責任倫理內化于企業合規體系之中。責任倫理不僅僅是一種責任觀念和道德規范，還需要從不同規范層面實現數據安全企業合規的倫理化、規范化。企業刑事合規一般不能成為阻卻違法或責任的事由，但可以作為量刑酌定從寬的情節因素；如果合規企業沒有違反數據安全保護義務，缺乏主觀罪過，或情節顯著輕微、危害不大，就能夠以出罪處理。數據安全企業合規存在事前合規與事后合規兩種路徑選擇。除事后的量刑激勵之外，著眼于一般預防的事前合規計劃的制訂與實施顯得更為重要。應當看到，盡管企業責任倫理業已得到國家、社會和企業的重視，并被付諸企業合規制度建設和實踐之中，但其現實效果不應被高估。企業作為市場主體，屬于“經濟人”而不是“道德人”，要使企業在自利的過程中達到有利于他人和社會的結果，僅靠道德自覺是不夠的，還需要法律制度這只“看不見的手”加以規范和引導。而在法律層面，一味地要求企業不利己、只利他，積極自覺地履行數據安全合規義務也是不現實的，相應的法律制裁手段也是不可或缺的。從體系化角度，應當將責任倫理規范作為企業數據安全合規治理體系的一部分，將相關道德規范與法律規范、“軟法”與“硬法”有機結合起來，在對數據合規企業予以刑責減免的同時，正確貫徹寬嚴相濟的刑事政策，從而實現懲罰與預防違法犯罪的雙面成效。

注釋：

①在楊某、鄭某侵犯公民個人信息案中，法院以雀巢公司不允許其員工以非法方式收集消費者個人信息、要求相關員工接受培訓并簽署承諾函為由，終審裁定雀巢公司無罪，維持一審判決，被稱為“企業刑事合規抗辯第一案”。參見甘肅省蘭州市中級人民法院（2017）甘01 刑終8 號刑事裁定書。