刑事合規視野中的拒不履行信息網絡安全管理義務罪

周振杰

(北京師范大學 刑事法律科學研究院，北京 100875)

近年來，刑事合規迅速成了中國法學界的熱點問題之一。同時，在最高人民檢察院由上而下的大力推動下，刑事合規試點工作迅速從2020年3月的6家擴展到2021年4月的全國10余個省市160余家基層人民檢察院。從種種跡象來看(1)例如在2021年9月3日召開的“第三屆民營經濟法治建設峰會”上，最高人民法院發布了助推民營經濟高質量發展典型民商事案例，最高人民檢察院展示了檢察機關助推涉案企業合規改革試點情況，司法部、全國工商聯發布了《法治民企行動方案(2021—2025年)》，涉案企業合規第三方監督評估機制管理委員會同時舉行了成立儀式。王捷先：《第三屆民營經濟法治建設峰會在北京舉行》，https://baijiahao.baidu.com/s?id=1709896429458875945&wfr=spider&for=pc，最后訪問日期：2021-11-28。，中國在立法層面融入全球范圍內的“合規潮流”[1]可能也只是時間問題。通常認為，刑事合規試點工作的規范基礎只有《刑事訴訟法》第十五條規定的認罪認罰制度與第一百七十七條第二款規定相對不起訴制度。其實，雖然《刑法》總則中并無相關規定，但分則中某些具體罪名的構成要件完全可以構成刑事合規的規范基礎，例如第二百八十六條之一規定的拒不履行信息網絡安全管理義務罪。

一、“改正措施”與合規計劃

根據《刑法》第二百八十六條之一的規定，拒不履行信息網絡安全管理義務罪是指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，情節嚴重的行為。雖然就“經監管部門責令采取改正措施而拒不改正”的在犯罪構成中的理論定位與內涵仍然存在爭議，但就其內容與精神而言，“改正措施”實質上與合規計劃并無二致。

(一)“經監管部門責令采取改正措施而拒不改正”的理論爭議

就“改正措施”這一構成要素的法律性質，理論界并無爭議，通常認為該要素是行政命令，而非行政強制措施，更非行政處罰。因為強制措施是對公民的人身自由進行暫時限制或者公民、組織的財物進行暫行管控，此處的責令整改顯然只是監管機關要求網絡服務提供者作為的意思表示。同時，既然只是意思表示，顯然也不是行政處罰[2]51。但是，就“經監管部門責令采取改正措施而拒不改正”在犯罪構成理論中的定位，在解釋論上存在“違法要素說”“責任要素說”與“客觀處罰條件”說的爭議。

“違法要素說”論者的主要論據，是該要素發揮了增強行為違法程度的功能[3]。 “責任要素說”論者則主張該要素表明行為人的主觀惡性，能夠證明行為人存在故意。“客觀處罰條件說”論者認為，首先，該要素不是違法要素。因為本罪危害后果是法條明文規定的因不履行安全管理義務而導致的幾類后果，并非拒不改正造成的后果；其次，該要素也不是責任要素。因為責任要素主要是責任年齡、能力、故意以及過失等，該要素可能是判斷行為人是否具有故意或者過失的資料，但并非故意或者過失本身。從該要素不能為違法性提供實質根據，但又能決定刑罰啟動的情況來看，應屬于客觀的處罰條件[4]。

“經監管部門責令采取改正措施而拒不改正”作為客觀事實，顯然并不構成主觀的責任要素。同時，拒不履行安全管理義務行為違法性的有無與強弱也不取決于該要素，而是取決于如下兩個方面：其一，行為人未能充分履行前置法律法規規定的安全管理義務。其二，行為人未履行作為義務的行為導致了《刑法》第二百八十六條之一規定的嚴重后果。例如，2017年6月1日開始實施的《網絡安全法》第九條規定網絡運營者應履行“網絡安全保護義務”，第四十七條進而規定，網絡運營者有義務“當加強對其用戶發布的信息的管理，發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸該信息，采取消除等處置措施，防止信息擴散”。如果行為人拒不履行這些義務導致了《刑法》第二百八十六條之一規定的嚴重后果，即使其根據監管機關的命令采取了改正措施，也只能影響行為的刑事可罰性，而不能消除或者減輕其不作為的違法性。例如，在2020年“孫某正拒不履行信息網絡安全管理義務案”中(2)參見沭陽縣人民法院：《拒不履行信息網絡安全管理義務也會獲刑》，載澎湃網，https://m.thepaper.cn/baijiahao_12739666，訪問日期：2021-11-26。，孫某正在2018年6月至2020年4月近2年間以其注冊的宿遷X網絡科技有限公司(以下簡稱X公司)為名，不落實網絡日志留存和租戶真實身份信息認證，通過淘寶、微信、支付寶等線上交易方式向不特定人出租其控制的600余臺遠程電腦。江蘇省沭陽縣公安機關于2019年9月24日與2020年1月2日兩次約談孫某正，核實其違法情況并告知將其予以處罰。2020年1月10日，沭陽縣公安機關對X公司作出警告處罰，并送達了限期責令整改通知書，限期全面整改到位，孫某正在責令整改通知書上簽字。2020年4月15日，沭陽縣公安局再次對X公司進行檢查，發現其未按通知書要求作任何整改，并繼續通過出租遠程電腦從事獲利行為。根據上述事實，沭陽縣人民法院以“拒不履行信息網絡安全管理義務罪”判處孫某正有期徒刑7個月緩刑1年，并處罰金3萬元，并依法追繳違法所得。上述案例清楚表明，無論孫某正與X公司是否采取改正措施，其行為都已經具有違法性，否則公安機關不會對其作出行政處罰。但是，如果孫某正與X公司根據公安機關的行政命令切實采取整改措施，孫某正可免于受到刑事處罰。

此外，雖然如同德國刑法規定的破產犯罪中的“停止支付”“啟動破產程序”，日本刑法規定的事前受賄罪中的“成為公務員”“經監管部門責令采取改正措施而拒不改正”與違法、責任無關，又能夠引起刑罰[5]，在表面上看完全符合客觀處罰條件的定義，但是客觀處罰條件存在的前提是德日的構成要件、違法性與有責性三階層犯罪構成理論。置而言之，以三階層的犯罪構成理論為前提，認為該要素是客觀處罰條件似乎具有合理性(3)應指出的是，在日本刑法理論中也存在“客觀處罰條件是將行為的違法性提高至可罰程度的要素”的觀點。參見西田典之《刑法総論》，弘文堂，2006年版，第83頁。。但在四要件的犯罪構成理論下，這一結論是否能夠成立仍值得斟酌。

那么，在四要件的犯罪構成理論中，應如何給“經監管部門責令采取改正措施而拒不改正”定位？首先，該要素是客觀事實，雖然這一事實可以成為判斷犯罪主體是否存在明知或者故意的資料，但顯然并非犯罪主體或者犯罪主觀方面要素。其次，該要素雖然是客觀事實，但也不構成犯罪客觀方面要素，因為犯罪客觀方面要素僅包括危害行為、危害后果與因果關系，當然在法律有規定的特殊情況下，還包括實施具體犯罪的行為的時間、地點等影響行為危害程度的要素。最后，“經監管機關責令采取改正措施而拒不改正”才具有刑事可罰性，直接表明該罪侵犯的客體并非網絡安全、商業秘密、個人的隱私權或者名譽權，而是“公共秩序”。更具體而言，是信息網絡安全管理秩序[6]。因此，這一要素屬于犯罪客體要素，是“公共秩序”在本罪中的具體體現。相應地，我們可以根據行為人是否以及在多大程度上“根據監管部門的行政命令采取了改正措施”，從而判斷行為人刑事可罰性的有無與大小。

簡而言之，無論是在三階層犯罪論體系下認為“經監管部門責令采取改正措施而拒不改正”是客觀處罰要件，還是在四要件的犯罪論體系下認為該要素是犯罪客體方面要素，對于行為人而言最終的結果都是相同的，即“根據監管部門的行政命令采取改正措施”可以免于或者減輕刑罰的不利后果。那么，應該如何理解此處的“改正措施”，又如何判斷網絡服務提供者“已經根據監管部門的行政命令采取了改正措施”呢？刑事合規恰恰能夠為這兩個問題提供答案。

(二)“改正措施”的實質就是合規計劃

刑事合規的要義，就在于通過對已有效采取違法行為預防措施的行為人，尤其是企業提供不起訴、緩起訴以及減免刑罰等激勵措施，推動行為人與司法機關合作，共同治理其內部的違法行為。這與《刑法》第二百八十六條之一中隱含的邏輯是一致的，即刑法并不否定行為人不履行法定義務的違法性，但是采取有效補救措施，可以免于或者減輕刑罰的不利后果。因此，將“改正措施”視為合規計劃，將根據監管機關的行政命令采取改正措施，理解為制定、實施合規計劃在邏輯前提方面并無障礙。

同時，企業實施合規計劃大致可以分為三種情況：(1)在違法行為發生之前，行為人已經主動制定并實施了合規計劃；(2)在違法行為發生之后、執法、司法機關啟動制裁程序之前，主動制定并實施合規計劃；(3)在執法、司法機關啟動制裁程序之后，主動或者被動制定并實施合規計劃。此處的“根據監管部門的行政命令采取改正措施”其實就是第三種情況。而且，根據最高人民法院、最高人民檢察院聯合頒布的《關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》(法釋〔2019〕15號，以下簡稱《解釋》)第二條的規定，責令整改應以通知書或者其他文書形式。因此，將“改正措施”視為合規計劃符合合規的形式要求。

此外，就“責令改正通知”的內容，正如有的觀點所言，不僅應包括整改的期限以及拒不執行的后果，更要包括網絡服務提供者涉嫌違法的事實，尤其是為網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務的“事實及其危害，以便網絡服務提供者明白自己網絡服務提供中存在的問題，進而采取有針對性的措施予以改正”[2]52。也即監管機關所要求的改正措施，其內容也是要求行為人根據針對已然發生的危害行為付出努力，預防嚴重后果進一步惡化、蔓延，并預防未然危害行為，這與合規計劃的內容也是相同的。

最后，需要指出的是，雖然無論網絡服務提供者是否采取整改措施，都不能消除其不履行法定義務行為的違法性，但從《刑法》第二百八十六條之一“經監管部門責令采取改正措施而拒不改正，有下列情形之一”的規定出發，即使網絡經營者表面上采取了整改措施，如果并沒有取得實效，仍然導致了危害結果或者放任危害結果擴大的，仍然會被追究刑事責任。這與刑事合規強調“有效合規”的精神也是相一致的。

簡而言之，此處的“改正措施”在實質上與英國2010年《賄賂罪法》第7條第2款中的“適當程序”類似(4)英國2010年《賄賂罪法》第7條第1款規定了“商業組織不履行預防賄賂義務罪”，第2款繼而規定了適當程序的辯護理由。根據英國司法部的指南，“適當程序”在實質上就是合規計劃。See Manacorda S, Centonze F, Forti G. Preventing Corporate Corruption, Springer International Publishing, 2014, pp.505—512.，可以將之視為“合規計劃”。與此相應，根據監管機關的行政命令“采取改正措施”，自然即是指根據監管機關的要求“制定與實施合規計劃”，制定與實施的情況，也直接體現了行為人是否以及在多大程度上采取了改正措施。

二、“責令采取改正措施”與刑事合規的共治理念

為免于或者減輕刑事處罰，網絡服務提供者不但要根據監管機關的行政命令采取整改措施，而且要進行有效整改，也即要充分履行信息網絡安全管理義務。那么，網絡服務提供者如何才能充分履行義務呢？如上所述，答案就是及時制定并有效實施合規計劃，而這一過程直接體現了刑事合規的“共治”核心理念。

(一)刑事合規以共治為理念

從刑事合規的概念可以看出，其基本模式是司法機關通過外部措施激勵企業主動承擔責任、改善內部治理，與之進行合作，共同預防、制裁犯罪。因此，可以將其核心理念概括為“共治”。這一核心理念的形成，主要受到風險社會與企業自身兩方面的影響。

1.風險社會的影響

風險社會是德國學者貝克用以描述20世紀80年代之后社會階段的概念。在這一社會階段，人人都隨時可能創造或者面臨風險。與此前的社會發展階段相比，風險社會的風險具有如下三個特征：第一，不可知性，即在造成實質侵害之前，很難認識到風險的存在，甚至只能認為其不存在，因為“只要危險沒有獲得科學的認識，它們就不存在，至少在法律上、醫學上、技術上或科學上不存在”[7]86。第二，制度化，即風險“是由整個專家組織、經濟集團或政治派別權衡利弊得失后所做出的”[8]，而且生產風險的每一個環節，可能在法律、科技以及倫理層面都是合法的。第三，全球性，即風險“既是本土的又是全球的，或者說是‘全球本土’的”[9]，在一地發生的危害行為，其危害后果會很快蔓延到多地甚至全球。

對于預防與制裁企業犯罪而言，上述特征提出了嚴峻挑戰，具體表現在：第一，因為風險是不可知而且并非刑法意義上的抽象或者具體危險，所以刑法往往只能在發生危害結果之后介入。在這種情況下難以充分發揮刑罰的預防功能。第二，因為生產風險的整個過程是合法的，所以在風險化為現實的重大危害結果之際，企業總是會利用其技術與信息優勢，“竭盡全力通過在工業中逐漸制度化的‘反科學’的幫助來反駁對他們的指控”[7]48，最后我們不得不無奈地接受“聽任風險繼續發展而無法防范”的有組織的不負責任現象[10]。第三，風險的制度化與全球化的直接后果就是危害行為與結果的復雜化與全球化，這便意味著證明的專業化與調查的全球化，進而司法機關在證據收集等方面不得不面臨更多的國際難題。第四，因為在程序方面面臨種種難題，在許多場合中造成重大社會危害的企業只需承擔民事責任就可以全身而退，或者從違法行為中攫取巨額利潤，這既損害了公眾的合法權益，也削弱了法律的權威。

2.企業自身的影響

傳統刑法以自然人為假想對象，因此“刑罰以罪責為前提。罪責是非難可能性。……責任非難的內在理由是，人類天生能夠自由和有責任地作出符合道德的自主決定，就有能力選擇法，反對不法”[11]，因此否認企業(法人)具有犯罪能力，就如刑法學大師李斯特所言：“法人(moralische Person)，如公司、大學或者學院等絕不可能成為犯罪的主體。只有不同種類的公司里的具體個人才可能是。甚至，當公司里的所有人都想犯罪并且實施了犯罪行為時，仍然是個人犯罪。”[12]直至19世紀后半葉，隨著工業革命的展開與企業活動的危害后果引起廣泛社會關注，企業刑事責任才作為“規制企業行為的最有效途徑”進入刑法視野，就如1909年New York Central & Hudson River Railroad Co. v. United States案的判決所言：如果因為法人不能犯罪這一腐朽且又陳舊的原則而賦予它們刑事豁免，實質上就是剝奪了唯一能夠控制、糾正它們違法的有效工具[13]。

在20世紀90年代之前，各國企業刑事責任原則采取的都是一元模式，即以傳統刑法理論下的個人刑事責任為基礎，以個人與企業之間的聯系為媒介從而認定法人刑事責任，普遍體現出傳統刑法與政策需求相妥協的特點。但隨著交通技術與信息技術的發展，企業的組織結構日趨復雜，企業內部與企業之間生產經營活動協作化日漸增強，一元模式的企業刑事責任面臨越來越大的挑戰。尤其是，隨著企業的決策過程越來越復雜、業務程序越來越分散，責任分擔者也越來越多，根據行為與責任同在的原則確定應負刑事責任的個人越來越難[14]。例如在21世紀初期，英國發生了多起重大傷亡事故以及勞動災害，公眾強烈要求以“過失致人死亡罪”嚴罰涉事企業[15]。根據英國的同一視原則，追究企業過失責任要有引起過失致人死亡且能夠代表法人意志的行為人，還須證明行為人對現場危險存在認識。但在規模相對較大的企業中，高層管理人員通常不在具體業務活動現場，因此存在這種認識的可能性幾乎不存在。再如，現代企業活動中蘊含的危險，也具有與上述風險相似的特征，也給刑事司法帶來了相似的難題。此外，因為一元模式是傳統刑法立場與政策需求妥協的結果，在實踐中存在處罰范圍過于寬泛的缺陷，尤其是在代理責任之中，因為其近似于嚴格責任，可以根據任何員工的行為追究法人的刑事責任[16]，這又不可避免地帶來法人掩蓋罪責、阻礙調查的負面效應，從而削弱刑罰的預防效果。

正是為了應對上述種種挑戰，以實用哲學為指導原則的英美國家率先提出了以“共治”為核心理念的刑事合規制度，通過外部強制壓力，將預防與制裁內部違法行為的責任分散至企業本身。具體而言，通過要求企業自行制定、實施內部預防與制裁措施，以降低其經營管理行為中的風險，提高預防效果；通過要求企業在發生犯罪行為之后主動提供證據、認罪認罰、補償社會等措施，降低訴訟難度，提高處罰可能性。

(二)“責令采取改正措施”意在推進共治

《刑法》第二百八十六條之一“網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，有下列情形之一的”，從這一表述來看，監管部門在責令行為人采取改正措施之前，已經掌握了網絡服務提供者的違法行為以及危害后果，其自身采取糾正措施在技術層面是完全可行的。之所以還是要責令網絡服務提供者采取改正措施，主要存在如下三個原因：其一，網絡信息傳播速度快、涉及范圍廣、數量龐大，監管機關自行采取措施付出的成本太高；其二，刪除相關網絡信息可能會涉及網絡服務提供者以及網絡用戶的合法權益，由網絡服務提供者自行采取措施更為有利；其三，通過責令采取改正措施，可推動網絡服務提供者建立起長效機制，在懲治已然之罪的同時預防未然之罪，在維護信息網絡安全方面形成“多元共治”的格局，這也是實現國家治理體系現代化的內在要求[17]。

同時，拒不履行信息網絡安全管理義務罪的構成要件清楚表明，網絡服務提供者不履行法定義務是“因”，責令采取改正措施是“果”。所以，“責令采取改正措施”應以責令網絡服務提供者履行信息網絡安全管理義務為核心。這里的“信息網絡安全管理義務”包括三個層面的含義：(1)防止既有危害后果進一步惡化或者加重的義務。即根據監管機關的命令，立即采取補救措施，防止第二百八十六條之一規定的“致使違法信息大量傳播、致使用戶信息泄露”以及《解釋》第四條規定的“造成重大經濟損失、嚴重擾亂社會秩序”等后果進一步惡化或者加重的義務。(2)消除可能造成類似危害后果的潛在風險義務。采取措施防止既有危害后果進一步惡化或者加重，只是采取改正措施的第一步。之后，網絡服務提供者應排查并消除可能造成類似后果的潛在風險，以防止再度發生危害后果。(3)建立有效履行法定安全監管義務機制的義務。如上所述，不履行法定義務是監管機關責令網絡服務提供者采取改正措施的“因”。因此，改正措施應以圍繞法定義務建立起充分、有效履行法定安全監管義務的合規機制為最終目的，例如上述《網絡安全法》第九條規定的“網絡安全保護義務”、第二十一條規定的“留存網絡日志”的義務、第四十七條規定的“加強對其用戶發布的信息的管理”義務，2016年1月1日開始實施的《反恐怖主義法》第十九條規定的刪除、報告、停止傳輸含有恐怖主義與極端主義信息的義務，2015年7月1日開始實施的《國家安全法》第七十七條規定的“及時報告危害國家安全活動的線索”的義務等。

應該指出的是，網絡運營者制定實施合規計劃應注重實效，不能徒有其表。因為進行合規治理需要付出一定的成本，由于許多企業為了獲得刑罰減免，都僅做一些表面文章(5)這也是反對者否定刑事合規的主要論據之一。See Charles Barnes. Why Compliance Programs Fail: Economics, Ethics and the Role of Leadership, HEC Forum, 2007, Vol.19, No.2, p109．，所以在判斷網絡運營者是否根據行政命令采取了有效“改正措施”之際，一方面，要謹慎考察是否取得了直接效果與建立起了長效機制，另一方面，要全面考慮網絡運營者的實際情況，就如《解釋》第二條規定的，在認定是否存在“經監管部門責令采取改正措施而拒不改正”的情節之際，“應當綜合考慮監管部門責令改正是否具有法律、行政法規依據，改正措施及期限要求是否明確、合理，網絡服務提供者是否具有按照要求采取改正措施的能力等因素進行判斷”。

三、“拒不改正”與企業責任的客觀化趨勢

為貫徹“共治”的核心理念，刑事合規立法通常采取以“寬”輔“嚴”的立法原則。“嚴”的一面主要體現是企業責任的客觀化[18]，而“經監管部門責令采取改正措施而拒不改正”這一構成要素的設置也符合企業責任客觀化的趨勢。

(一)刑事合規與企業責任客觀化

從國外立法來看，刑事合規制度的規范立足點是刑事責任。與傳統責任原則要求責任必須建立在故意與過失的主觀要素基礎之上不同，在刑事合規的視野中，企業責任應根據企業制定與實施合規計劃的情況確定。如此，在刑事合規“共治”理念的影響下，企業責任的認定模式逐漸從之前的一元模式向二元模式轉變。也即，在企業犯罪的案件中，根據不同的原則與基礎，對個人責任與企業責任分別進行獨立認定。如果說在一元模式下，企業責任的判斷邏輯是“出現危害結果或者危害行為、認定個人責任、確認個人——企業關系、認定企業責任”的線性結構，在二元模式下，企業責任的判斷邏輯則呈現出個人——企業的平行結構，具體而言，對個人責任仍然根據傳統的刑法原則進行認定；第二個是根據法人文化、經營管理以及營業活動中的缺陷來認定法人刑事責任的過程。如此，在企業犯罪的場合，司法機關判斷企業責任的主要根據在于，被告企業是否充分履行了法定義務或者是否有效實施了預防犯罪的適當措施或者程序。因為作為責任前提的危害結果與危害行為，被告法人組織管理與經營活動是否存在缺陷以及是否存在滋生犯罪的整體環境的判斷標準都是客觀的，所以二元模式的企業責任整體上呈現出客觀化與推定化的特征，而且可罰性與責任的判斷趨于一體化。

例如，加拿大的《C-45號法》(C-45 Bill, or Westray bill)對加拿大刑法典中的法人刑事責任原則進行了實質性的修改。在《C-45號法》生效之前，加拿大僅根據同一視原則追究法人刑事責任；之后，在過失犯罪的場合，同時采納了代理責任與同一視，以過失之外的其他主觀心態為構成要素的犯罪適用等同原則，即在法人高層管理人員至少以部分為法人謀利之目的而實施犯罪，并且具有下述情形之一的場合可追究法人的刑事責任：(1)在其授權范圍之內實施行為，成為特定犯罪的共犯；(2)具有成為共犯所必需的主觀心態；(3)明知法人的代表人將要或者可能成為特定犯罪的共犯，而不采取所有合理措施阻止其(雇員、代表人等)成為特定犯罪的共犯。在第(3)種情形中，企業可提出“盡職調查”的辯護理由，也即，如果能夠證明在犯罪行為發生之際，存在適當的預防措施，可以免除其刑事責任。

英國《2010年賄賂罪法》在廢除了英格蘭、威爾士與北愛爾蘭普通法上的行賄罪與籠絡罪、蘇格蘭普通法上賄賂與受賄罪、《1906年預防腐敗行為法》《1889年公共團體腐敗行為法》等成文法中規定的相關犯罪行為的同時，在第1條、第2條、第6條與第7條，分別規定了行賄罪、受賄罪、向外國公職人員行賄罪、商業組織不履行預防賄賂義務罪四項新的賄賂犯罪。根據該法第7條(1)的規定，如果與商業組織相關的個人，出于特定目的實施了行賄與賄賂外國公職人員行為，該組織應承擔刑事責任，除非其能證明在犯罪行為之時存在第7條(2)規定的適當程序[19]17—18。

西班牙傳統上也對企業刑事責任持否定態度。直至2010年，西班牙才通過修訂《司法組織法》，首次規定了企業刑事責任。之后在2015年，對企業刑事責任的追責原則進行了重大修改，將進行“適當控制”規定為企業刑事責任的基礎。與《司法組織法》的修改相適應，2015年修訂的《西班牙刑法典》第31條之四“合規計劃”明確規定，如果企業能夠證明如下客觀事實，可免除其刑事責任：(1)在犯罪行為發生之前，董事會已經采納并實施了針對特定犯罪行為的管理和控制制度；(2)有具有主動權和控制權的獨立監督機構負責相關制度；(3)犯罪人在行為之際以欺騙的方式故意規避了相關制度；(4)監督機構在監督和控制方面并無失職，同條之五進而規定了構成合規計劃應滿足的識別風險活動等六項原則[19]13—14。

簡而言之，為了體現“嚴”的一面，國外立法都體現出了將企業責任予以客觀化以及推定化的總體趨勢，以與企業緩刑、不起訴等體現“寬”的一面的措施相配合，推動企業參與違法行為治理，實現秩序、公平等刑法的價值追求。

(二)“拒不改正”的功能符合企業責任客觀化的趨勢

從《刑法》第二百八十六條之一的文本出發，在接到監管部門采取整改措施的命令之前，網絡服務提供者對于其既有行為造成的嚴重后果可能是故意，也可能是過失。但是，在接到監管部門的命令之后，如果繼續聽之任之，就如“拒不改正”這一表述的字面所示，其主觀方面應該是直接故意[20]。具體而言，“拒不改正”這一客觀事實表明，行為人在主觀方面存在對違反法定義務的行為及其已經造成的危害后果的認識，以及對應該根據行政命令采取整改措施的義務，以及拒不改正可能導致的后果的認識。也即，根據“拒不改正”這一客觀事實就可以認定行為人是否侵犯了犯罪客體以及責任的有無，無須再進一步判斷其預見能力、認識能力、控制能力等。例如，在上述“孫某正拒不履行信息網絡安全管理義務案”中，孫某正在接到公安機關的限期責令整改通知書之前，被明確告知其行為違法，需要接受處罰。因此無論其之前是否明知自己的行為違法，在接到整改通知書之后，孫某正與X公司存在“明知”是毋庸置疑的。因此，人民法院直接根據“X公司期限之內并未采取改正措施”這一客觀事實認定孫某正存在犯罪故意，應承擔刑事責任，而無須再就孫某正的預見能力、認識能力等進行判斷。相應的，如果孫某正能夠證明其已經有效落實了整改措施，則可以被免于刑事追責。這在某種程度上，也實現了證明責任的倒置。

簡而言之，“拒不改正”這一構成要素的功能符合刑事合規立法將企業責任客觀化與推定化以及違法與責任判斷一體化的趨勢。

四、結語

上述表明，雖然《刑法》中并無直接規定，但是分則某些罪名的構成要素設置完全符合刑事合規的精神，可以成為推動刑事合規制度的規范基礎。同時，《刑法》第二百八十六條之一針對自然人與單位的罰金都采取了無限額模式，這與英國的《2010年賄賂罪法》等國外立法采取的模式是一致的。這一模式一方面體現出“嚴”的處罰態度，另一方面為司法機關預留了充分的裁量空間，以從外部采取措施，推動企業在內部付出努力，共同治理危害行為。

當然，以具有罪名的構成要件設置為基礎，充分發揮解釋論的作用，為推動刑事合規前行尋找規范基礎，是在當前缺乏立法基礎的困境下的無奈之舉。如欲充分發揮刑事合規制度的功能，還是需要對《刑法》與《刑事訴訟法》進行相應修改。