論企業數據安全合規中的行刑銜接

［摘要］ 企業數據安全合規包括行政合規與刑事合規，兩者都存在行刑銜接問題。在企業數據安全行政合規中，要從實體和程序兩個角度實現行刑銜接，突出數據行政主管機關的主導作用，同時發揮公安機關和檢察機關的監督作用，防止以罰代刑，并解除行政人員在合規處理中涉嫌構成徇私舞弊不移交刑事案件罪的后顧之憂。對于企業數據安全的刑事合規，要在系統的企業刑事合規法律體系中建立行刑銜接制度，發揮數據主管行政機關在企業數據安全合規建設中的主導作用，并重視企業數據安全刑事合規建設失敗后的行刑銜接。

［關鍵詞］ 數據安全；企業合規；引導與激勵；行刑銜接

［中圖分類號］ D924［文獻標識碼］ Ａ［文章編號］ 1008-1763（2024）05-0138-08

On the Coordination Between Administrative and Criminal

Law in Corporate Data Security Compliance

LAI Zaoxing ， SUN Qinyi

（School of Law， Xiangtan University， Xiangtan411105，China）

Abstract：Corporate data security compliance includes both administrative compliance and criminal compliance， and both involve the issues of coordination between administrative and criminal enforcement. In the administrative compliance of corporate data security， it is necessary to achieve the coordination between administrative and criminal enforcement from both substantive and procedural perspectives. This involves highlighting the leading role of data administrative authorities while also utilizing the supervisory roles of public security and procuratorial authorities. This approach aims to prevent substituting administrative penalties for criminal penalties and to alleviate concerns about administrative personnel failing to transfer criminal cases due to personal interests during compliance processes.For the criminal compliance of corporate data security， it is essential to establish a coordination system within a systematic legal framework for corporate criminal compliance. It includes emphasizing the leading role of data administrative authorities in the construction of corporate data security compliance and paying attention to the coordination between administrative and criminal enforcement in the event of failures in the construction of corporate data security criminal compliance.

Key words： data security; corporate compliance; guidance and incentives; coordination between administrative and criminal law

合規管理是企業持續健康發展的前提，也是企業及其員工遠離因違法而受到法律制裁的保障。2014年，國務院國有資產監督管理委員會明確將企業合規管理置于重要位置。現在合規管理已經成為對各類性質企業、各種規模企業法制工作的共同要求。自2021年最高人民檢察院等九部門聯合發布《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》（以下簡稱《第三方意見》）以來，涉案企業合規建設已經實現了從點到面地全面推行。在全球信息化的時代背景下，企業生產經營數據化的趨勢更加明顯，任何企業生產經營都存在數據收集、使用、存儲、流轉等行為。如何使企業數據行為符合國家安全管理的規定，實現企業數據安全合規，是全社會必須面對的現實問題。本文將結合企業合規和企業數據安全管理兩個熱點，從行政法與刑事法兩個維度分析企業數據安全合規中的行刑銜接問題。

一企業數據安全合規及行刑銜接

隨著計算機網絡技術的不斷更新迭代，人工智能、大數據等新興技術的疊加，當今社會已經進入“數據社會”階段。［1］1在數據社會中，數據已經與土地要素、勞動力要素、資本要素和技術要素一起成為社會的生產要素。數據在提高社會生產力和改善人們生活的同時，也帶來了風險與安全挑戰。“數據安全已成為事關國家安全與經濟社會發展的重大問題。”［2］在此背景下，2023年《政府工作報告》將“加強網絡、數據安全和個人信息保護”列為加強和創新社會治理的重要內容。

企業是數據市場的重要主體。在數字經濟的發展中，政府是方向的引導者，企業是數字技術和實體經濟融合的主要推動者。據統計，2022年我國數字經濟規模為50.2萬億元，占GDP的41.5%，農業生產信息化率超25%，工業企業關鍵工序數據化率、數字化研發設計工具普及率分別增至58.6%和77.0%。［3］32但數字技術在賦能數字經濟迅速發展的同時，也加劇了數據失范行為的出現，令數字經濟安全體系遭受沖擊。［4］9企業作為生產信息化和數據化的受益者，應當充分認識到數據安全合規的重要性，自覺主動根據法律法規的規定完善自身制度建設，防范數據危害行為的發生。但企業畢竟也是市場中經濟利益的追逐者，僅依靠企業自覺來實現自身數據安全的合規管理是不現實的。只有將行政措施和刑事手段相結合，加強對企業數據安全管理的監管、警示、引導和激勵，同時制裁數據違法犯罪行為，才能更好地幫助企業做好數據安全合規管理。

狹義上，企業合規是企業為規避經濟或其他損失，而采取的通過事前制定相關規章，來防范后續因自身的違法違規經營而受到行政、刑事處罰的一種公司治理方式；［5］7廣義上的企業合規還包括企業因違法行為涉案后為得到從寬處理而根據行政管理部門或司法部門的要求進行的規范管理。為防止自身被追究行政責任和刑事責任，企業應當做好數據安全的日常合規管理。傳統觀念上，追究相關企業行政責任或刑事責任主要是為了懲罰違法企業；但在合規理念中，則更多是希望通過行政手段或刑事手段監督、激勵、促使企業在數據管理中樹立合規觀念、建立健全管理制度、規范數據行為。因此，企業合規包括企業日常管理的自覺合規和行政權或司法權行使中的被動合規（包括行政合規與刑事合規）兩部分。

企業合規中首要的是企業自覺的日常管理合規。市場經濟是法治經濟，市場經濟的健康、有序發展主要依靠包括企業在內的市場主體的合規經營。有學者認為：“作為公司治理的一個重要組成部分，合規計劃及其實施以往主要是公司法學和商學講授和研究的問題。”［6］20而其中公司法學和商學關注的是企業的日常管理，因此該觀點實際強調企業合規最主要的內容是企業日常管理合規。而在數據安全管理方面，企業日常管理合規具體包括主動根據數據安全管理法律法規的要求，自覺構建管理制度、配置管理人員、查處違規人員等。

然而在利益驅動下，有的企業可能突破法律法規的規定，實施違法甚至犯罪行為。在現實中，企業違法收集、存儲、使用、加工、傳輸、提供或公開數據的行為層出不窮。因此，行政權、司法權激勵和引導的企業被動合規就十分必要。行政機關要充分發揮監督、引導、追責等職能，加強對企業數據安全管理的檢查，要求企業建立健全數據安全管理制度、配備管理人員、規范數據行為。企業數據安全行政合規包括兩種類型：引導型行政合規與激勵型行政合規。

引導型行政合規，即企業在數據主管行政機關日常執法中的引導、督促下做好數據安全合規管理。這種合規多發生在企業日常數據安全管理合規中，行政主管部門為企業提供合規引導，二者在時間和過程上有很大程度的重合，因此二者體現出一種合作關系。從實踐看，我國引導型行政管理呈現出由點到面的發展樣態。這種合規首先發端于中央企業合規管理體系建設試點工作，經過多年的試點后，于2021年由各地國資委全面推進。推行引導型行政合規，一方面與行政權“維護秩序和為相對人服務”［7］5-6的目的一致：強化企業數據安全管理的行政檢查、引導既是維護數據安全的需要，也是為企業服務、幫助其構建數據安全合規制度，防止其因數據安全管理違法而受到行政追究的重要方式。另一方面這與行政權“要主動行使行政管理權”的主動性屬性一致。在“服務型政府”的理念指導下，行政機關應當發揮行政權的主動性，引導、督促企業合規管理。《中華人民共和國行政強制法》第42條規定的強制執行中的暫緩執行制度

《中華人民共和國行政強制法》第42條規定，實施行政強制執行，行政機關可以在不損害公共利益和他人合法權益的情況下，與當事人達成合規改進協議。執行協議可以約定分階段履行；當事人采取補救措施的，可以減免加處的罰款或者滯納金。為此提供了制度空間。基于該條的規定，行政法學者認為，可以將刑事合規的理念導入行政執法中。［8］66因此，行政機關在履行監管職能過程中，可以主動要求企業通過制定并實施合規計劃換取減輕處罰或者免除處罰，從而督促企業自我整改、自我監管。［9］62這就是激勵型的行政合規。就企業數據安全管理而言，行政機關對數據違法企業進行處罰時可以主動與企業協商，達成合規改進協議，如果企業完善數據安全管理制度、規范數據行為，達到合規要求，可以減免罰金或滯納金。

涉案企業刑事合規也是一種激勵型合規。激勵措施具體包括對合規整改到位的涉案企業或其責任人員不起訴、不認定為犯罪、免予刑事處罰、判處緩刑或其他量刑上的從寬。推行涉案企業刑事合規建設能促使切實履行檢察建議、司法建議，激發企業規范管理行為的積極性和主動性，促進企業完善企業治理制度。同樣，在涉案企業刑事合規中，對于符合條件的涉案企業，司法機關在追究企業及其責任人刑事責任的過程中，可以利用刑事激勵措施促使企業進行合規建設，通過建立健全其數據安全管理制度、完善數據安全管理人員的配置、明確數據安全人員違規行為的處理等，解決企業數據管理中切實存在的問題，確保數據安全。

既然存在企業數據安全管理中行政合規與刑事合規，就有必要實現合規中的行刑銜接。有學者提出：“應當建立行政合規與刑事合規銜接的合規體系，層遞式阻斷行政違法和刑事違法，實現從源頭上預防和治理企業違法問題”［10］104。企業刑事合規的過程，雖然整體上是刑事程序，但仍然與行政機關密切相關，涉案企業合規建設必須有行政機關的參與。2021年發布的《第三方意見》中涉及的九部門，有數個是行政部門。同時，這些部門是建立涉案企業合規第三方監督評估機制的單位。不僅如此，在涉案企業合規建設的過程中，檢察機關還可以與其他行政部門聯系，讓這些行政機關參與到涉案企業合規建設中。因此，即使在涉案企業合規建設中，行刑銜接仍然具有重要意義。

《中華人民共和國刑法》第286條之一設置了拒不履行信息網絡安全管理義務罪。該罪的設置使企業刑事合規可以找到刑法的依據［11］56，也使企業數據安全合規中行刑銜接的重要意義凸顯出來。在該罪的構罪條件中，立法者設立了行政前置［12］70的相關規定，即網絡服務提供者未履行信息網絡安全管理義務即使情節嚴重或造成了嚴重后果，也不意味著必然構成犯罪，而是必須先由作為監管部門的行政機關責令采取改正措施，即只有在網絡服務提供者拒不改正的情況下，才可能涉及刑事責任問題。因此，作為網絡服務提供者的企業在信息網絡安全管理中如果違反了法律法規的規定，在網絡監管部門給企業下達改正通知后，企業就應當立即按照監管部門的要求，規范數據安全管理。如果企業根據行政主管部門的要求采取改正措施，符合了行政合規的要求，則不再被追究刑事責任；如果企業未能履行相關要求，則企業及其相關人員將因“拒不改正”而被司法機關依法追究刑事責任。不過，即使是在追究刑事責任的程序中，司法機關仍然可以利用刑事激勵措施，促使符合《第三方意見》中規定的條件的企業進行合規建設。

二企業數據安全行政合規中的行刑銜接

在引導型行政合規中，行政機關可以通過多種途徑引導企業做好數據安全的日常管理。這種引導由行政機關獨自完成，不會涉及行刑銜接的問題。如果行政機關在對企業進行數據安全管理檢查時發現企業存在嚴重違反法律規定的行為，或收到相關投訴、申訴、舉報時

根據《互聯網信息內容管理行政執法程序規定》第14條的規定，互聯網信息內容管理行政部門可能基于下列情形發現企業數據安全管理中的違法線索：在監督檢查中發現，自然人、法人或者其他組織投訴、申訴、舉報，上級機關交辦或者下級機關報請查處或有關部門移送或者經由其他方式、途徑發現。，應當對違法行為進行立案調查，并根據企業違法行為社會危害的嚴重程度依法處理。例如，根據《中華人民共和國數據安全法》第51條的規定，企業竊取或者以其他非法方式獲取數據，將由行政機關予以處罰。數據安全管理的行政機關可以依據《中華人民共和國治安處罰法》的規定，對企業直接負責的主管人員和其他直接責任人員處五日以下拘留；情節較重的，處五日以上十日以下拘留。這是行政機關追究數據違法企業行政責任的法律依據。但如果企業數據違法行為達到相應罪名的構罪標準時，則應當追究企業及其責任人的刑事責任。因此，根據《中華人民共和國數據安全法》第52條第2款的規定，構成犯罪的，依法追究刑事責任

《中華人民共和國網絡安全法》第74條第2款也規定：“違反本法規定，構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。”《中華人民共和國個人信息保護法》第71條也作了同樣的規定。。這就存在追究行政責任和追究刑事責任之間的銜接問題，與此相應的就是行政合規與刑事合規的銜接問題，具體包括實體與程序兩個方面：

從實體上看，《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律只規定對“構成犯罪的”依法追究刑事責任，但企業的數據違法行為是否構成犯罪首先取決于查處機關的判斷。最高司法機關在司法解釋中對非法侵入計算機信息系統罪、拒不履行信息網絡安全管理義務罪等涉及數據犯罪的諸多罪名的構罪標準都有較為明確的規定，行政機關可以根據這些構罪標準判斷企業的數據違法行為是否構成犯罪。根據《行政執法機關移送涉嫌犯罪案件的規定》（以下簡稱《移送規定》），行政機關在執法過程中發現企業的數據違法行為達到公安部的追訴標準或司法解釋中的構罪標準，涉嫌構成犯罪，需追究刑事責任的，就必須向公安機關移送，否則會構成《中華人民共和國刑法》第402條中的徇私舞弊不移交刑事案件罪。這是因為，在傳統觀念上，違法行為存在追究行政責任與刑事追究競合時，刑事責任優先于行政責任［13］92，行政執法人員必須移交案件給公安機關。

但在合規理念下，企業的數據違法行為達到追訴標準或構罪標準時，行政機關是否有權對企業進行行政合規處理？即行政機關能否與企業達成合規協議，督促其整改，達到合規建設要求后，不移送公安機關追究刑事責任只追究企業的行政責任，甚至在行政處罰時從寬處理？這就涉及合規中的實體行刑銜接問題。

對于這種行政合規中的實體行刑銜接，一方面要排除“以罰代刑”觀念的困擾，另一方面要解除行政執法人員對企業合規處理時涉嫌構成徇私舞弊不移交刑事案件罪的擔憂。“以罰代刑”曾經是行政執法過程中的不正常現象，不但被社會輿論指責，也受到國家嚴肅查處

最高人民檢察院、公安部、監察部和商務部于2010年發布《關于開展對行政執法機關移送涉嫌犯罪案件專項監督活動的工作方案》，四部門聯合開展行政執法機關移送涉嫌犯罪案件專項監督活動，整治行政執法機關有案不移、以罰代刑的現象。

。在合規理念下，有必要更新行政執法與刑事司法兩者關系的觀念，重新審視“以罰代刑”的內涵與表征，避免在推動行刑銜接的同時令刑法的權威和威懾力降低［14］32-36。在行政合規中，行政機關對于達到追訴標準或構罪標準的數據違法行為，行政機關可以根據企業的情況，與企業達成合規協議，激勵其合規建設，達到建設要求時，只對其進行行政處罰，不將企業或責任人移送公安追究刑事責任。這種情形摻入了合規建設的要求，與原本意義上具有徇私性質的行政機關“以罰代刑”存在著本質的區別，應當排除在“以罰代刑”之外。此外，要重構徇私舞弊不移交刑事案件罪的構罪條件，將行政合規增設為該罪的出罪事由。在《中華人民共和國刑法》第402條的規定中，行政執法人員徇私舞弊，對依法應當移交司法機關追究刑事責任而不移交，情節嚴重的，構成徇私舞弊不移交刑事案件罪。刑法條文未為該罪設置出罪條件，以致行政機關執法過程中查處的違法行為達到了構罪標準就必須移交公安機關追究刑事責任，否則就會涉嫌構成徇私舞弊不移交刑事案件罪。但從徇私舞弊不移交刑事案件罪的罪狀描述看，“依法應當移交”這一概念還是為徇私舞弊不移交刑事案件罪的出罪設置預留了空間。如果承認行政合規中行政機關與被查處企業之間合規協議的合法性，那么通過行政合規處理的達到追訴標準或構罪標準的企業違法案件完全可以排除在“依法應當移交”這一概念之外。這樣就可以解除行政人員在合規處理中涉嫌構成徇私舞弊不移交刑事案件罪的后顧之憂。行政合規的引入可以將現實中一些作刑事合規處理的案件作行政合規處理。這不但能節約司法資源，也能避免企業因刑事合規而進入繁雜的司法程序。最高人民檢察院發布的第三批涉案企業合規典型案例之一——上海Z公司、陳某某等人非法獲取計算機信息系統數據案［15］即是適例。在該案中，Z公司是一家從事互聯網大數據業務的企業，為二萬余家商戶提供數字化轉型，年納稅一千余萬元。Z公司首席技術官陳某等人在未經E公司授權許可的情況下，使用爬蟲程序大量非法獲取E公司運營平臺數據，造成E公司直接經濟損失人民幣4萬余元。該案中，檢察機關通過刑事合規的方式激勵Z公司整改，最后對Z公司、陳某等犯罪嫌疑人作出不起訴決定。其實，如果該案實行行政合規效果會更好。在該數據企業的行政合規建設中，由查處Z公司非法獲取計算機信息系統數據行為的行政機關主導，利用行政激勵措施促使Z公司進行數據安全管理的合規建設，達到合規建設要求時，不將案件移送公安機關。這一方面大量節約了司法資源，另一方面也使企業沒有涉嫌犯罪的案底。實際上，在合規不起訴的情況下，企業數據合規建設過程中仍然需要主管行政機關的積極參與、引導。

行政機關對部分達到追訴標準或構罪標準的違法企業進行行政合規建議時要注意符合性條件和禁止性條件。符合性條件包括：涉案企業及責任人是否承認自己行為違法、是否愿意接受處罰；企業是否能夠正常生產經營；企業的規模、效益等是否具備合規建設的基礎；是否承諾建立健全企業合規制度；是否愿意接受行政機關的合規處置等。禁止性條件包括：是否為單位違法行為而非個人違法行為；是否涉嫌國家安全犯罪、恐怖活動犯罪等。

在行政合規中行刑銜接程序中要注意以下兩點：一是行政合規的主導。行政合規的主導是行政機關。我國眾多行政部門對數據活動都有管理的權利和義務，難免出現監管交叉重疊現象［16］51。數個行政機關對企業某數據違法行為都有權查處時，應當確立主查處行政機關或首先查處的行政機關。確立查處數據違法行為的行政機關后，該機關應當對企業數據違法行為進行調查，收集相關證據，分析違法數據行為的社會危害性程度。如果企業數據違法行為的社會危害程度達到了相應罪名的追訴標準或構罪標準，查處機關應當對企業的類型、規模、社會貢獻等情況進行核實，根據企業責任人的認錯態度，初步確定是否對其進行行政合規建設。二是行政合規處置的決定。行政機關在初步確定對數據違法企業進行行政合規處置且企業愿意接受行政合規處置后，應當將案件報公安機關備案。《中華人民共和國刑法》設置的徇私舞弊不移交刑事案件罪約束著行政機關對數據違法企業行政合規處理的決定。為防止行政合規中行政機關工作人員涉嫌此罪，解除其后顧之憂，行政機關應當將初步確定實施行政合規的案件報送公安機關。公安機關應當對報送案件進行審查，符合合規條件、有利于企業健康持續發展的行政合規應當予以支持；對于不符合合規條件的案件，公安機關應當會同檢察機關進行協商，共同作出否定的決定。之所以要由公安機關與檢察機關協商，是因為檢察機關是公訴機關，對于危害行為社會危害性程度的評判更準確；而且，現階段檢察機關是推進企業刑事合規的主體力量，檢察機關可以借鑒刑事合規的理念、標準考量準備行政合規的案件，也能一定程度上做到行政合規與刑事合規的分流，減輕檢察機關在企業刑事合規方面的壓力。如果公安機關與檢察機關協商后仍否定行政機關行政合規的決定，則要說明否定的理由。行政機關接到否定意見后，應當將數據違法企業移送公安機關由公安機關立案偵查，由司法機關追究企業的刑事責任；行政機關不得無視該否定意見強行對數據違法企業實施行政合規處置。為了確保行政合規決定作出的合法性、合理性，提高程序效率，可以建立行政機關與公安機關、檢察機關聯席協商機制，對于行政機關認為基本符合行政合規條件的案件由三方協商作出決定。

確定對數據違法企業實施行政合規處置時，行政機關應當依據有效性原則、全面性原則、獨立性原則、相稱性原則開展數據合規管理［17］98-108。對數據安全肩負管理責任的機關熟悉相關法律規定，在查處企業的數據違法行為時也能同時掌握了企業數據安全管理中的漏洞，進而能夠幫企業做好數據安全管理的合規建設。行政機關在數據安全管理中，針對企業數據安全管理中存在的普遍性問題，也可以制定《企業數據安全管理的合規指引》。該《指引》一方面可以作為行政機關指導企業日常自我合規的指南，另一方面也可以在此類行政合規中要求數據違法企業按照《指引》構建或健全自身數據安全管理制度、規范數據行為。同時，在準備對其實施合規處置的前期，涉案企業也能參照該《指引》明確自己合規建設需要達到的要求，以便權衡自己是否應接受合規建設。

在行政合規處置過程中，行政機關應當對數據違法企業進行合規建設檢查，以了解企業是否依照合規要求進行建設。合規期滿后，對于達到建設要求的企業，行政機關應當作出合規建設合格的評估決定，并將體現合規過程的相關文件及結論材料提交公安機關備案。公安機關接到相關材料后，應當對提交的材料進行審查，對于達到建設要求的合規予以認可；對于未達到合規建設要求的，應當會同檢察機關進行協商，以確定是否認可行政機關合規建設的結論。如果公安機關與檢察機關協商后認為，數據違法企業未達到合規建設的要求而否定行政機關的決定，行政機關應當將涉案企業移送公安機關追究刑事責任。

因此，在企業數據安全行政合規中，從企業數據違法行為的查處，到企業數據安全合規處置可能性評估，再到合規處置決定的作出，最后到合規建設考核結論的確定，整個過程中行政機關都處于主導地位。作為刑事責任追究的公安機關、檢察機關在這個過程中起重要的監督作用。由于此階段的合規同時涉及數據主管行政部門和刑事司法機關，因此行刑銜接貫穿整個過程。

三企業數據安全刑事合規中的行刑銜接

刑事合規中的行刑銜接集中體現在事后整改型刑事合規中。在最高人民檢察院發布的多批涉案企業合規典型案例中，有上海Z公司、陳某某等人非法獲取計算機信息系統數據案和浙江杭州T公司、陳某某等人幫助信息網絡犯罪活動案等涉及數據違法企業的刑事合規。在上海Z公司、陳某某等人非法獲取計算機信息系統數據案的刑事合規進程中，檢察機關聯合互聯網行業管理部門，由專業人員組成第三方組織，督促涉案企業構建有效的數據合規建設體系。在浙江杭州T公司、陳某某等人幫助信息網絡犯罪活動案的典型意義中，檢察機關認為辦案機關與相關行政部門聯合，“通過制發數據合規指引，引導企業自主構建數據合規管理、運行、保障和處置體系，強化企業數據安全保障意識和犯罪預防意識”［18］，督促企業開展合規建設，促進了區域數字經濟健康發展。雖然最高人民檢察院已經在涉案企業合規改革探索中構建了相關制度，但涉案企業數據安全刑事合規中行刑銜接仍存在比較突出的問題，主要體現在以下幾個方面：

首先，涉案企業數據安全刑事合規缺乏系統法律規定，行刑銜接總體上無法可依。現今，檢察機關雖制定了多個法律文件以加強檢察權行使過程中的行刑銜接

如最高人民檢察院2021年制定的《關于推進行政執法與刑事司法銜接工作的規定》、2023年制定的《關于推進行刑雙向銜接和行政違法行為監督 構建檢察監督與行政執法銜接制度的意見》等。，在推進涉案企業合規建設中也制定了相應的規范強化合規建設中的行刑銜接

如2021年制定的《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》、2022年制定的《涉案企業合規建設、評估和審查辦法（試行）》及2023年制定的《關于推進行刑雙向銜接和行政違法行為監督構建檢察監督與行政執法銜接制度的意見》等。，為檢察機關在涉案企業合規建設中提供相應的規范依據，但對于數據安全管理的刑事合規，我國實際上仍缺乏系統的法律規定。從規定上看，《第三方意見》和《涉案企業合規建設、評估和審查辦法（試行）》（以下簡稱《審查辦法》）兩個文件的制定主體雖然多達九個部門，但并未囊括數據安全管理的主管部門。而且，由于我國行政權限條塊劃分、各行政機關之間各自為政的現象較為突出，擁有數據安全管理的行政機關在未列入頒布法律文件主體的情況下數據管理部門是否會積極參與到涉案企業合規建設的過程中，配合司法機關的要求引導和幫助企業做好數據安全管理的合規建設，這一點值得懷疑。司法機關很難基于上述規定常態化聯系數據安全管理行政部門做好合規工作，只能在個案中特殊情況特殊處理。

在審查起訴階段，檢察機關基于檢察建議制度在涉案企業合規中一定程度上實現與數據安全管理行政部門的聯系。這種建議有兩種形式：一是行政處罰檢察建議，二是行業合規檢察建議。前者是檢察機關建議數據安全主管行政機關對因合規建設合格而受到不予起訴的企業進行行政處罰

根據《中華人民共和國刑事訴訟法》第177條的規定，對人民檢察院決定不起訴的案件，對被不起訴人需要給予行政處罰的，人民檢察院應當提出檢察意見。據此，檢察機關在涉案企業合規建設中可以建議行政機關對違法企業進行行政處罰。。根據《人民檢察院檢察建議工作規定》第11條的規定，檢察機關在辦理案件中發現涉案單位在預防違法犯罪方面制度不健全、不落實，管理不完善，可以向有關部門提出完善治理的檢察建議。因此，檢察機關建議數據主管行政機關對涉案企業作出行政處罰時，還可以要求企業在生產經營中繼續完善和落實數據安全管理制度、規范數據管理行為。后者是檢察機關在辦理企業數據安全違法犯罪案件中發現普遍性的安全管理問題，向數據主管行政機關發出完善數據行業安全管理的檢察建議。兩者雖然都是檢察建議，但前者是對企業作出的，解決的是點的問題；而后者是對數據主管機關提出的，解決的是面的問題。兩者都可以一定程度上實現涉案企業數據安全合規中檢察機關與數據主管行政機關的銜接。

在審判階段，現在法院雖力推涉案企業合規建設，但對此的行刑銜接則完全缺乏制度性的規定。因為自2020年以來，法院系統未積極參與最高人民檢察院推動涉案企業合規建設的工作，上述兩個由最高人民檢察院主導的關于合規的規范文件都沒有最高人民法院參與。現在法院是通過司法建議制度在一定程度上實現涉案企業合規中的行刑銜接。因為人民法院在審判工作中發現企業數據違法犯罪行為或數據行業安全存在的普遍性問題，需要有關數據主管行政機關對其依法采取措施進行處理的，可以根據《關于加強司法建議工作的意見》第7條的規定向其提出司法建議。無論是檢察建議制度還是司法建議制度，它們都不是為涉案企業合規建設而設立的制度。司法機關根據該制度對企業進行合規處置時，數據主管行政機關完全處于被動地位，這不利于涉案企業數據合規建設的順利進行。

處于刑事程序前端的偵查階段的公安機關至今未積極參與到涉案企業合規建設中。但如果在偵查階段開展企業合規，對于維護企業的正常經營、平穩運行，貫徹“少捕慎訴慎押”的刑事司法政策，提升合規案件的辦理質效，以及破解審查起訴階段合規考察期限不足等問題都大有裨益［19］72。從刑事訴訟的階段看，現在審查起訴階段和審判階段都在推行涉案企業合規建設，如果不在刑事程序前端的偵查階段推行涉案企業合規建設，那么該制度體系就不完善，實際效果也會大打折扣。而且，在企業行政合規都已經受到重視的情況下，缺乏偵查階段的企業合規制度也是不正常的。

現在我國仍處在企業合規改革過程中，現有的這些規范文件也只是一些過渡性的規定。待時機成熟，應當由立法機關制定企業合規的法律，通過法律構建明確的行政合規和刑事合規制度。企業合規的規范性文件上升為法律后，將打破現有規定上的條塊分割，將相應的主體全部納入企業合規管理機構，公安機關和相關行政部門將順暢地參與到企業合規處置中，在涉案企業合規建設中實現行刑銜接有法可依。當企業合規法律出臺后，數據違法企業符合刑事合規處置條件的，在刑事偵查階段、審查起訴階段和審判階段都可以根據企業的實際情況依法進行合規處理，增加了企業合規處置的機會。

其次，如何發揮數據安全管理部門在合規過程中對涉案企業合規建設的主導作用尚需探索。涉案企業合規建設過程整體上由司法機關主導：偵查階段由公安機關主導，審查起訴階段由檢察機關主導，審判階段由法院主導。整體上由司法機關主導，是因為案件是否符合刑事立案條件、起訴條件、有罪判決條件，最終作出何種處理結論，這都涉及涉案企業的刑事責任問題，應當由司法機關決定。但這并不意味著在刑事訴訟過程中企業數據安全合規建設的每個環節都要由司法機關主導。企業數據安全合規涉及專業性問題，公安干警、檢察官和法官并不都是數據方面的專家。最高人民檢察院聯合相關部門推行涉案企業合規第三方監督評估機制的重要原因之一，就是希望借助專業人士利用專業知識解決專業問題。有學者指出：單一的檢察機關自行監管模式不足以應對企業合規改革專業能力方面的需求，借助中立專業人員介入合規考察，可以大幅提升企業合規建設的實際效果［20］63-64。《第三方意見》突出了專業人士在涉案企業合規中的作用。但在現行企業合規制度中，數據主管行政機關處于被動地位，缺乏主體性和主動性，無法充分發揮數據主管行政機關在合規中的主導作用。

為解決刑事案件中的數據安全合規建設問題，有必要充分發揮行政主管部門的專業作用。行政主管部門在數據安全管理中有專業人員、制度、設備等方面的優勢，而且在執法過程中對于常見違法犯罪行為的處理也有豐富的經驗。發揮數據行政主管部門在涉案企業合規中的作用，除有上述專業優勢外，還有行政機關權力因素的考量。同時，現在審查起訴階段的第三方監督評估機制并無強制力，在企業合規中該機制也是一案一辦、案結事了

《涉案企業合規建設、評估和審查辦法（試行）》第16條規定：“經第三方機制管委會和人民檢察院審查，認為第三方組織已經完成監督評估工作的，由第三方機制管委會宣告第三方組織解散。”

。結合實踐來看，企業合規建設中存在第三方監督檢查、評估和考核走過場的情況。因此，檢察機關根據三方監督的評估結論作出的處理決定不一定能實現涉案企業合規建設改革的初衷。然而，如果發揮數據主管行政機關的專業作用，不但能解決企業數據合規建設中的專業性問題，更因行政機關職權因素使合規建設真正達到合規管理的要求。如果將數據安全管理行政機關納入涉案企業合規建設程序，行政機關基于自身管理的職責應當在涉案企業數據安全合規中認真規范企業數據行為；基于行政管理權力，涉案企業在合規建設中也不會敷衍應付。而且，由數據主管行政機關主導涉案企業數據安全合規建設也不會“案結事了”，因為刑事案件結束后行政機關仍然是企業數據行為的管理機關。

最后，企業數據安全刑事合規建設失敗后行刑銜接機制尚待構建。對于未按要求進行合規建設的涉案企業，如何在行政與刑事程序中實現銜接？這里有兩個方面的問題：一是企業未按要求進行合規建設時，數據主管行政機關如何發揮在刑事責任追究中的作用；二是追究企業及其責任人刑事責任后，司法機關如何與數據主管行政機關銜接。

在現行的檢察審查起訴過程的涉案企業合規建設中，如果第三方組織評估后認為企業數據安全合規建設未達到合格要求，檢察機關將起訴企業及責任人。檢察機關可以向數據行政機關收集企業在合規建設過程相關情況的材料，作為從寬或從嚴追究企業及其責任人員刑事責任的證據。因為數據主管行政機關的專業人員參與企業合規建設的過程中，了解合規建設失敗是因為企業人員拒不配合還是企業條件確實無法達到要求，而不是僅僅看到合規建設失敗的結果。如果企業實際控制人或主要負責人在合規建設中不積極制訂數據安全合規計劃、完善企業數據管理制度、規范企業數據行為，導致合規建設失敗，不但違背了自己的承諾，也浪費了行政資源和司法資源，這應當作為司法機關從嚴追究其刑事責任的依據。相反，如果企業實際控制人或主要負責人在數據安全合規建設中盡了最大的努力，但因企業物質條件（如網絡安全設備）無法達到合規要求導致合規建設失敗，司法機關在追究企業及其責任人刑事責任的時候，也應當將此作為從寬的因素；另外，在審判階段可以通知參與企業合規建設的數據行政管理人員出庭作證。

司法機關追究企業刑事責任后仍存在司法機關如何與數據主管行政機關進行銜接的問題。這主要體現在法院對數據違法企業及其責任人定罪免刑、定罪緩刑和定罪實刑后的行刑銜接方面。

其一，在合規建設失敗的情況下，如果法院對數據違法企業及其責任人定罪免刑，根據《中華人民共和國刑法》第37條的規定，可以由主管部門予以行政處罰；根據《司法建議規定》第1條的規定，法院可以向數據主管行政機關提出完善治理的司法建議。這種司法建議，一方面是建議行政機關繼續指導涉案企業的數據安全合規，另一方面是建議行政機關對數據安全管理中的普遍問題作出規范管理，實現行業合規。從個案看，對數據違法企業及其責任人定罪免刑后刑事程序就結束了，司法權已經不能再在企業管理中發揮作用，只能寄希望于數據主管行政機關繼續引導、監督企業數據安全管理。不能因為涉案企業的合規建設失敗就對繼續經營中的企業是否合規經營置之不理。數據主管行政機關仍應當肩負引導、監督企業做好數據安全管理工作。

其二，涉案企業合規建設失敗后，如果法院對數據違法企業的責任人以定罪判緩刑方式追究刑事責任，則在緩刑考驗期內仍可能存在行刑銜接的問題。這取決于被追究刑事責任的責任人是否仍在該企業從事相關工作。如果被追究刑事責任者未離開企業，仍從事原來的數據工作，則執行緩刑的司法行政機關應當收集數據主管行政機關對緩刑考驗期間該被判處緩刑者在數據安全管理方面表現的意見，作為其緩刑考驗期間表現的材料。《中華人民共和國刑法》第75條將遵守法律、行政法規作為被宣告緩刑的犯罪分子應當遵守的規定之一，當其因數據違法而被判處緩刑時，考驗期中就應當考察其是否遵守了數據安全管理的規定。司法行政機關可以將行政機關關于被宣告緩刑者在企業數據安全管理中表現的材料作為對其考察的評判依據。

其三，涉案企業合規建設失敗后，法院對數據違法企業責任人員以定罪判實刑方式追究刑事責任時，如果企業仍在經營中，法院也可以根據《司法建議規定》第1條的規定對行政機關提出司法建議，由其督促企業完善數據安全管理制度、規范數據行為，或向數據主管行政機關提出行業合規的司法建議。

總之，在重視企業合規治理理念的當下，公訴機關和審判機關都在積極探索涉案企業合規治理制度，實踐中也不乏數據違法犯罪企業合規整改的案例。但從實際情況看，企業數據安全合規中行政合規的不受重視，偵查階段刑事合規的缺失，使企業數據安全合規改革仍任重道遠。在具體合規制度構建中，探索數據安全管理合規的行刑銜接制度不可忽視：通過行刑銜接正確處理好行政合規階段和刑事合規階段數據主管行政機關與刑事司法機關的關系，充分發揮行政權與司法權的協同作用，引導、督促和激勵企業數據安全合規管理，確保企業數據安全，為國家數據安全保障貢獻力量。

［參考文獻］

［1］周少華.數字法學：第1輯［M］.北京：社會科學文獻出版社，2023.

［2］劉俊臣.關于《中華人民共和國數據安全法（草案）》的說明［EB/OL］.（2024-01-30）［2024-02-20］.http：//www.npc.gov.cn/npc/c2/c30834/202106/t20210611_311948.html.

［3］張立.以數字化驅動中國式現代化［J］.紅旗文稿，2023（21）：29-33.

［4］劉艷紅.數字經濟背景下元宇宙技術的社會安全風險及法治應對［J］.法學論壇，2023（3）：5-14.

［5］陳瑞華.企業合規基本理論［M］.2版．北京：法律出版社，2021.

［6］時延安.合規計劃實施與單位的刑事歸責［J］.法學雜志，2019（9）：20-33.

［7］姜明安.行政法與行政訴訟法［M］.6版．北京：北京大學出版社、高等教育出版社，2015.

［8］解志勇，石海波.企業合規在行政執法和解中的導入研究［J］.行政法學研究，2023（5）：66-78.

［9］夏金萊，許聰.企業行政合規制度構建研究［J］.政法學刊，2022（4）：61-67.

［10］李奮飛.涉案企業合規刑行銜接的初步研究［J］.政法論壇，2022（1）：104-116.

［11］周振杰.刑事合規視野中的拒不履行信息網絡安全管理義務罪［J］.河南警察學院學報，2022（2）：56-63.

［12］賴早興，董麗君.論行政犯立法中的行政前置［J］.法學雜志，2021（4）：67-73.

［13］彭艷霞，王愛平.行政處罰中瀆職犯罪的解析與規制：以徇私舞弊不移交刑事案件的實證研究為視角［J］.北京社會科學，2015（11）：89-95.

［14］武曉雯.刑法謙抑性的再探討［J］.人民檢察，2022（15）：32-36．

［15］李海洋.最高檢發布第三批涉案企業合規典型案例［N］.中國商報， 2022-08-23（3）.

［16］賴早興.論拒不履行信息網絡安全管理義務罪中的“經監管部門責令改正”［J］.法學雜志，2017（10）：49-54.

［17］霍俊閣.ChatGPT的數據安全風險及其合規管理［J］.西南政法大學學報，2023（4）：98-108.

［18］李海洋.最高檢發布第四批涉案企業合規典型案例［N］.中國商報，2023-02-14（3）.

［19］董坤.檢察機關在偵查階段推進企業合規的路徑探索［J］.蘇州大學學報（哲學社會科學版），2022（4）：71-81.

［20］劉艷紅.涉案企業合規第三方監督評估機制關鍵問題研究［J］.中國應用法學，2022（6）：62-76.