涉案互聯網企業合規有效性監管標準構建探索

王林 婁毅 湯純

摘 要：在互聯網領域，由于經營業務的特殊性，涉案企業合規表面整改的問題尤為突出。完善涉案互聯網企業合規有效性監管，檢察機關應注重確立有效性監管標準。目前，推進互聯網企業監管面臨技術業務責任爭議、合規實體建設不足、缺乏監管成本核算標準以及企業合規啟動階段相對靠后等困境。檢察機關應著力建構包含企業技術業務、合規實體建設、監管成本、前置性合規體系建設等內容的有效性監管標準，提升涉案企業合規成效。

關鍵詞：涉案企業合規 互聯網技術 監管困境 有效性監管標準

目前，涉案企業合規改革已進入縱深推進階段，但由于缺乏明確且統一的企業合規標準，使得各地檢察機關在開展合規工作，特別是針對互聯網企業進行合規時顯得捉襟見肘。反思、完善涉案互聯網企業合規的有效監管理論并付諸實踐，迫在眉睫。

一、問題的提出

檢察機關推行涉案企業合規改革以來，堅決落實寬嚴相濟刑事政策，服務“六穩”“六保”，在擴大辦案規模、優化合規程序等方面取得了較好的成效，改革的重點也逐步轉向合規的實質效果監督。實踐中，雖然部分涉案企業為爭取輕緩處理，制定了合規方案，但方案缺少可操作性，而檢察機關進行合規實質性審查時又缺少能夠比照的有效性標準，使得合規效果大打折扣。特別是在互聯網領域，網絡技術行為已成為互聯網企業違法犯罪治理的重點與難點，由于經營業務的特殊性，企業表面整改的問題更為突出。為實現涉案互聯網企業合規整改的預防、發現、控制違法犯罪等潛在功能，凈化網絡公共空間環境、維護社會公共利益，亟需在涉案互聯網企業合規中完善有效性監管，引入有效性監管標準。檢察機關如何確立監管涉案互聯網企業合規的有效性標準，完善互聯網領域企業合規治理體系，需要圍繞該類企業的特殊性予以深入探討。此外，企業合規有日常性合規和合規整改兩種模式，兩者有“事先合規、實體出罪與事后合規、程序出罪”［1］之差異。前者是企業在有關行政部門指導下建立內部常態化合規體系，發揮前置性防范作用，企業犯罪是未然狀態，企業需主動承擔更多的社會責任和經濟成本，合規動力不足。后者是在企業刑事追責過程中，對涉案問題進行整改，企業涉案是已然狀態，合規主動性強，短期內整改問題更徹底。實踐中，在檢察機關對經合規整改的涉案企業作出輕緩處理決定后，后續合規完全依靠企業自我管理，如若互聯網企業對每一項新技術或新服務嚴格執行合規審查，可能面臨遲延產品投放市場的時間，繼而失去競爭優勢的風險，使合規整改流于形式的可能性較大。由此可見，構建合理的前置性合規管理也應當是有效性監管的重要內容。

二、涉案互聯網企業合規監管困境分析

（一）技術業務責任存在爭議

目前，借助互聯網技術實施犯罪已成為網絡犯罪的主要類型，依托于網絡傳播的廣泛性，危害性較大。為有效降低互聯網企業的刑事責任風險，降低社會的網絡犯罪率，檢察機關積極開展網絡企業技術業務合規工作是行之有效的手段。但目前理論界和實務界就互聯網企業對技術業務承擔何種責任及責任范圍的問題，爭議頗大。在具體案件辦理過程中，技術服務提供者為逃避追責，大多會以“技術中立原則”進行責任抗辯，但筆者認為該原則的適用應以衡平原則為限。同樣，我國立法亦秉持此理念，確立了以技術服務提供者主觀是否“明知”來判斷抗辯是否有效的規則，實現了對“技術中立原則”適用的限縮，一定程度上避免了“中立”原則的濫用。不過，由于該判斷標準的主觀性較強，使得“技術中立原則”適用的外延不夠明確，對技術服務提供者追責難度較大，尤其在其是否應當承擔刑事責任上爭議較大。

（二）合規實體建設存在不足

數字與算法促進了互聯網技術應用的繁榮與發展，互聯網企業受惠于技術革新和發展紅利的同時，形式多樣的隱患和潛在的巨大危害也伴隨在企業左右。我國企業合規方興未艾，在合規實體建設上應對互聯網企業多元法律風險的針對性不強。

一方面，啟動涉案企業合規由檢察機關決定，合規監管模式及監管人員與企業生產經營的多元性風險業務無法完美協調適配。企業面臨的經營管理人員對技術應用潛在隱患不敏感的風險與控制缺位風險，股東或實際控制人對企業技術和業務的濫用風險，以及數據安全風險、履行安全保護義務的風險、數據出口審查及境外合規管理的風險等，都可能使互聯網企業承擔民事乃至刑事責任，影響其健康發展。理論上對于涉案企業合規監管存在檢察機關自行監管和第三方監督評估兩種模式，根據《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》（以下簡稱《意見》）精神，是否啟動第三方機制是在檢察機關審查后決定，因此僅依靠檢察機關是無法實現在作出啟動決定前準確評估風險并針對性地選擇合規監管模式與選任監管人員的。

另一方面，受企業多元風險發現不敏感等原因的限制，監管者在無法全面評估這些風險的情況下，要對整改方案和實施過程進行針對性地審查與監管就顯得力不從心。監管合規整改的起點是企業涉案因由，有效性監管的初級目標是合規整改后能起到避免互聯網企業實施相同或類似行為的作用，預防再違規、再犯罪，更高的目標是使公司在今后的經營中主動接受監管、主動限制違法行為，這些目標的實現均需依托于整改方案。而如何審查并修改出一套有效的合規整改方案仍有待探索，致使如何評估合規監管有效性尚不明確。

（三）缺乏監管成本核算標準

合規監管成本是客觀存在的。涉案企業合規監管往往持續時間長，而企業付出的這些成本投入往往在短期內難以獲得回報。對互聯網企業而言，時間更是轉瞬即逝的高額成本。但在當前的合規監管中沒有明確考量監管成本的問題。在適用涉案企業合規時，檢察機關聚焦于企業罪與罰問題，沒有認識到監管成本的重要性，缺乏明確的合規監管成本核算標準。如若涉案企業合規無法做好監管成本控制，一方面會降低企業進行合規的積極性，另一方面會導致檢察機關推進涉案企業合規的經濟和社會價值降低，無法達到涉案企業合規的良好效果。

（四）企業合規啟動階段相對靠后

互聯網技術具有應用對象受眾范圍廣、涵射速度快、危害控制和止損成本高等特點，因此當需要動用刑罰來懲處犯罪時，其造成的危害后果相較于傳統犯罪來說往往就已經大得多。目前，檢察機關僅能在刑事訴訟階段適用涉案企業合規，但結合上述互聯網技術特點，此時才開始幫助企業實現依法依規經營，不僅花費的人力財力物力更大，而且造成的危害后果消除效果不佳，難以實現涉案企業合規的改革目的與價值意義。由此可見，隨著經濟社會改革不斷深化，在涉案互聯網企業合規中探索向前延伸或設置前瞻性的合規規則或制度，進一步完善有效性監管，正當且必要。

三、涉案互聯網企業合規有效性監管標準之建構

有效性監管應從技術及業務展開，完善互聯網企業合規過程，建設向前延伸的合規體系，增強企業預防法律風險的能力。

（一）優化技術業務合規標準

技術業務合規是涉案互聯網企業合規計劃的獨特內容，也是有效監管的核心。優化技術業務標準是有效審查技術風險、技術濫用的題中之義。

1.考察區分技術涉罪因由。技術可以“中立”，但是互聯網企業涉案的因由不存在“中立”，區分技術涉罪因由是履行技術責任的合規意義。細言之，企業涉罪是因正常生產經營所致的，而非完全利用技術主動追求犯罪，涉罪因由不屬于《意見》第5條規定的不適用情形。檢察機關應查明并區分單位與相關責任人員責任，證實企業可以適用企業合規，可以要求采取更換實控人、撤換董監高、建立內部管控機制等措施，在合規整改后依法對企業予以輕緩懲戒，同時向行政監管部門建議加強企業后續監管，對相關責任人員仍可以依法嚴懲。

2.設置技術安全管理機制。技術安全管理是應用技術企業應當承擔的責任，目的在于強化“紅旗規則”對技術的限制義務，可以將運行有效安全管理機制作為企業對技術涉險的免責或抗辯事由。為避免程序空轉和控制人利益牽扯，應允準該機制可不必經過企業繁復的審批流程，便可針對監管部門的整改要求或自查發現的安全問題自行運轉并立即采取斷開、整改、報警等安全措施。

3.搭建技術風險識別系統。技術危害行為既可能涉嫌傳銷、詐騙等罪的共同犯罪，也可能被以破壞計算機信息系統、幫助信息網絡犯罪等罪名單獨處罰。要強化對技術是否屬于違法犯罪行為的識別，其目的并不在于形成免責事由，而是在使用技術的同時避免技術涉案。這一系統是內部自查的基礎，對于小微企業而言要求較高，可以不必強行要求。

4.組織梯度化的技術風險培訓。從實踐來看，專業技術提供者對技術的了解較為充分，但局部、邊緣技術人員的知曉程度就明顯要低得多，不同技術人員對技術用于犯罪的“明知”與其知曉程度成反比。需要組織梯度化的技術風險培訓，減少企業人員涉違法犯罪的風險。

（二）完善合規實體建設標準

1.定制第三方監管模式與選擇監管人員。現階段適用第三方監管有助于以專業性增強合規監管的有效性。檢察機關可以參考四個方面定制第三方監管：（1）辦理涉互聯網技術案件的經驗；（2）互聯網企業的規模和經營狀況；（3）監管成本；（4）相關專業、法律人才的豐富程度。第三方監管期間，檢察機關可通過聽證的方式，聽取多方意見，不斷調整監管措施，實現合規整改的法律效果與社會效果相統一。

檢察機關負有對第三方人員選任與履職的監督職責，在確定人選時應重點審查以下內容：（1）從業經歷；（2）擅長業務；（3）從業聲譽；（4）是否受過刑事處罰、所從事行業監管部門或協會的行政處罰。

2.制定整改方案與評價第三方機制運行效果。目前理論界和實務界存在“體系化整改說”和“針對性整改說”兩種觀點。前者主張建構合規管理體系來實現發現和預防犯罪；后者強調合規計劃要針對企業的業務實際而設計、動態改進，從而防范刑事風險。通過比較這兩種觀點，本文認為有所揚棄地借鑒這兩種模式的運行結構和治理功能，在確立兼具針對性與體系化的第三方運行機制中嵌入整改方案更符合我國國情。嵌入整改方案至少應包含四個方面：（1）查找企業犯罪原因、技術管理隱患、經營制度漏洞、股東會以及董監高的治理結構缺陷；（2）符合行業發展規律的針對性糾錯和整改措施；（3）明確的補救挽損機制；（4）合規管理體系的預防犯罪機制。

在合規整改過程中，檢察機關應圍繞第三方組織運行的三個方面進行有效性審查，實現分階段、重實效地落實整改方案。（1）對技術與經營實際情況進行調查，評估合規計劃在不同階段的可行性與有效性；根據調查評估情況，向企業提出計劃修改意見，向檢察機關提出合規標準和考察期限建議。（2）考察期間，在檢察機關指導下獨立對涉案企業的合規整改過程進行考察，及時向企業提出意見，定期向檢察機關報送考察情況。（3）根據合規計劃，針對技術責任情況、企業內部管理情況、合規運行情況和檢察機關的其他要求，組織對企業合規情況的驗收審核，向檢察機關出具報告。

（三）明確監管成本核算標準

有效性監管需重視監管成本，檢察機關應當嚴格管控監管成本，用最小的成本完成最適宜（而非最優）的監管，可以從四個方面進行審查。

1.監管模式成本。結合案情、涉案技術、辦案經驗、人才庫儲備等因素，計算檢察機關自行監管和第三方監督評估兩種模式的成本。

2.監管行為成本。監管人員實施監管是否需要進駐企業及相應的辦公場所、設備材料成本，進行技術管理、內部經營管理等調查的費用，執行檢察機關合規政策要求的費用。

3.專業技術成本。聘請第三方監管人員以外的專業人士、出具有關的法律意見書或鑒定等的費用。

4.市場機遇成本。合規監管不礙企業經營，但互聯網行業瞬息萬變，囿于監管約束，企業可能因冒險行為或收縮業務造成損失，屬于監管的間接成本。

（四）完善前置性的日常合規體系建設標準

實踐中，涉案企業合規已有日常性合規趨勢，如推行合規審計、內部調查、合規舉報等日常合規制度，檢察機關可以從分層次、常態化、有回訪等方面完善日常性合規。需要注意的是，日常合規要考慮企業實際情況，盲目照搬國外合規經驗可能水土不服，難以起到良好效果。

1.做到分層次，根據監管目標和企業特點設計不同層次的體系。一是根據有效性監管的兩級目標構建兩級合規體系。有效性監管審查應以完全實現初級目標、逐步構建治理體系和文化為衡量標準。二是區分企業規模設置遞進式評價體系。小微企業的合規體系構建應著重考慮可能涉嫌的罪名、技術風險、經營管理缺陷等方面，控制合規考察規模和監管成本，實現前置合規針對性高、反應速度快的目標。較大規模互聯網企業的前置性合規體系應當包括高層決策監督、組織機構調整、問責與獎懲、持續改進的能力和企業合規文化等多項內容。［2］

2.做到常態化，發揮現代企業治理結構優勢。一部分企業犯罪的發生，是因對經營管理缺乏有效的監督措施，或缺乏規范意識。［3］借助董事會或類似的企業機構，建立董事會日常合規，將董事會對公司履行勤勉義務及經營管理功能與日常性合規銜接，避免互聯網企業實施違法行為，或因股東、實際控制人、企業員工的違法犯罪行為而擔責。

3.做到有回訪，建立監督回訪機制。檢察機關可以聯合行政部門、第三方組織等，對經合規整改被作出相應決定的企業進行不定期回訪，包括技術行為的合規審查、因應合規整改的內部管控措施落實、合規體系運作等情況，提升對互聯網企業合規監管效果，推進企業開展前置性日常合規管理。