劉品新 | 論數(shù)據(jù)刑事合規(guī)

　　本文作者劉品新，法學博士，中國人民大學法學院教授；刑事法律科學研究中心研究人員。

一、問題的提出

　　大數(shù)據(jù)處理關(guān)涉民眾福祉、產(chǎn)業(yè)發(fā)展、國家安全與國際競爭等重大利益。由于數(shù)據(jù)業(yè)態(tài)亂象迭出，特別是數(shù)據(jù)領(lǐng)域刑事犯罪（以下簡稱為“數(shù)據(jù)犯罪”）泛濫，世界上主要法域均加大了治理力度。2018年5月，歐盟《一般數(shù)據(jù)保護條例》（全稱為“General Data Protection Regulation”，簡稱為“GDPR”）生效，成員國對數(shù)據(jù)濫用行為頻繁開展調(diào)查，知名社交聊天軟件克努德爾斯、瓦次艾普和大型企業(yè)英航公司、萬豪集團等分別受到歐洲國家執(zhí)法機關(guān)的處罰，“GDPR合規(guī)”更是作為一個專有名詞應(yīng)運而生；2019年7月，美國聯(lián)邦貿(mào)易委員會就隱私違規(guī)問題對臉書（facebook）公司處以50億美元的巨額罰款。目前我國立法上已形成《數(shù)據(jù)安全法》等三部“基本法”架構(gòu)，并開展多次專項治理，“數(shù)據(jù)堂”等多家公司被追究刑事責任，“滴滴出行”等產(chǎn)品被啟動網(wǎng)絡(luò)安全審查。在從嚴監(jiān)管數(shù)據(jù)行業(yè)成為主基調(diào)的情勢下，數(shù)據(jù)合規(guī)成為數(shù)據(jù)企業(yè)等主體存續(xù)發(fā)展的命脈。在前述臉書公司案例中，美國聯(lián)邦貿(mào)易委員會同其新達成一項監(jiān)管期長達20年的和解令，要求其在監(jiān)管下進行一系列調(diào)整，包括在董事會中建立獨立的隱私委員會、批準設(shè)立負責隱私計劃的合規(guī)官并按時提交工作報告。在這些事件中，力度最大的部分便是指向遏制數(shù)據(jù)犯罪的刑事合規(guī)（以下簡稱為“數(shù)據(jù)刑事合規(guī)”）。

　　自2020年伊始，最高人民檢察院在全國范圍內(nèi)部署企業(yè)合規(guī)改革多輪試點，努力推進覆蓋各種涉企犯罪案件的大合規(guī)試驗。然而，刑事大合規(guī)的中國潮流同數(shù)據(jù)強監(jiān)管的全球趨勢相交匯，并未導(dǎo)致數(shù)據(jù)刑事合規(guī)在我國的可見增長。表現(xiàn)之一，典型性實踐案例缺乏。試點范圍內(nèi)僅有一家檢察院出現(xiàn)過國內(nèi)首例的、未公開法律文書的案件。該案涉及非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，檢察機關(guān)基于合規(guī)整改合格結(jié)果做了不起訴處理（以下簡稱案例1）。雖然該案后被作為典型案例發(fā)布、具有一定的風向標意義，但其合規(guī)整改做法仍值得商榷。至于非試點省份及試點省份的非試點地市亦僅有個別檢察院開展了少量的變通性處理。如在一起侵犯公民個人信息罪案件中，被告單位索要學生信息進行虛假納稅申報，案發(fā)后，檢察機關(guān)認為其“具有……等從寬處罰情節(jié)”，進而依法決定不起訴（以下簡稱案例2）。這里的“等”字指涉的就是數(shù)據(jù)刑事合規(guī)事由，但不起訴決定書未予明確。表現(xiàn)之二，專門性使用工具缺失。當前很少有試點地區(qū)將數(shù)據(jù)犯罪案件明確納入合規(guī)試點范圍，更遑論針對這一業(yè)務(wù)形成較為完善的實施方案。相比于國際上推出了化解GDPR挑戰(zhàn)的“數(shù)據(jù)合規(guī)包”“數(shù)據(jù)合規(guī)方案”，國內(nèi)尚未見到類似的產(chǎn)品面世；相比于國內(nèi)圍繞虛開增值稅專用發(fā)票罪等案件中合規(guī)整改試驗形成的完整經(jīng)驗，數(shù)據(jù)刑事合規(guī)處于乏善可陳狀態(tài)。表現(xiàn)之三，各利益相關(guān)方對數(shù)據(jù)刑事合規(guī)抱持相當懷疑態(tài)度。訪談發(fā)現(xiàn)，有數(shù)據(jù)企業(yè)認為，除了因涉訴不得不為之的情況外，數(shù)據(jù)刑事合規(guī)是一個看似光鮮的圈套；有司法人員認為，數(shù)據(jù)刑事合規(guī)可能招致“評查沒搞完，企業(yè)先破產(chǎn)”的不可控局面，暗藏今后被追究濫權(quán)責任的風險；有律師認為，開展該項業(yè)務(wù)堪比雞肋，事后可能被控以共同犯罪、教唆引誘犯罪。研究者也觀察到，我國“刑事合規(guī)的研究熱潮中難覓數(shù)據(jù)合規(guī)的蹤跡”。

　　數(shù)據(jù)處理領(lǐng)域如何進行刑事合規(guī)建設(shè)，是一個艱巨的挑戰(zhàn)。無論是實例不夠、工具缺失還是態(tài)度觀望，均反映出數(shù)據(jù)刑事合規(guī)進展的遲緩。大多數(shù)檢察機關(guān)與數(shù)據(jù)經(jīng)營主體對開展數(shù)據(jù)刑事合規(guī)的期望值走低。此種整體消極主義有悖于數(shù)據(jù)強監(jiān)管的趨勢，亦脫離于刑事大合規(guī)的新潮。若任其彌散開來，定會對數(shù)據(jù)產(chǎn)業(yè)帶來負面影響，于國于民亦不利。它同人們對數(shù)據(jù)刑事合規(guī)尚缺乏清晰的專業(yè)認識不無關(guān)系。本文將基于訪談問卷、比較分析與實踐總結(jié)的素材，分層次地進行基礎(chǔ)性論證：第一步，闡釋數(shù)據(jù)刑事合規(guī)概念的內(nèi)涵與價值，以澄清社會上各種偏差認識甚至異化觀念；第二步，透析數(shù)據(jù)刑事合規(guī)背后的相對性現(xiàn)象，指出其蘊含的規(guī)律并進行原理提煉；第三步，提出符合國情和理性的數(shù)據(jù)刑事合規(guī)方略。這一學術(shù)方案旨在助推數(shù)據(jù)刑事合規(guī)在我國邁上快速發(fā)展的軌道。

二、數(shù)據(jù)刑事合規(guī)的概念展開

　　（一）基本內(nèi)涵的詮釋

　　從語詞溯源來看，“合規(guī)”（compliance）一詞首次使用于1630年，現(xiàn)代意義上的“合規(guī)”同“治理”“風險”構(gòu)成“三位一體”（threesome），肇始于20世紀80年代。1991年美國《聯(lián)邦量刑指南》規(guī)定被指控的公司“擁有預(yù)防和識別違法行為之有效計劃”的可以減少罰金，系人類社會邁向合規(guī)時代的標志性事件。2021年版《聯(lián)邦量刑指南》將合規(guī)納入“旨在預(yù)防和發(fā)現(xiàn)犯罪行為的計劃”即“合規(guī)和倫理計劃”中。美國以該計劃為核心的專門工作就是針對企業(yè)的、具有典型意義的刑事合規(guī)（criminalized compliance）或刑法驅(qū)動型合規(guī)（criminal law-driven compliance），產(chǎn)生了深遠的國際影響。世界上也存在面向企業(yè)員工的刑事合規(guī)。例如，秘魯在2014年尚不對法人追究刑事責任之際，便開展刑事合規(guī)建設(shè)以激勵公司遵守刑事規(guī)范，為員工避免可控的刑事風險。這兩種刑事合規(guī)的區(qū)別在于獲益者，不在于實施者。德國學者托馬斯指出：“刑事合規(guī)包含所有客觀上事前必要的或者事后被刑法認可的規(guī)范性、制度性以及技術(shù)性的屬于某一組織的措施。”這里將刑事合規(guī)定位為“組織措施”，也就是說由企業(yè)來實施。考慮到德國立法迄今沒有確立單位犯罪制度，因由合規(guī)獲益的主要是員工，企業(yè)也會獲得罰款減免的準刑事利益。例如，前述克努德爾斯案中，德國巴州數(shù)據(jù)保護委員會按照低標準罰以20000歐元結(jié)案。這里的罰款就是針對企業(yè)的準刑罰制裁，企業(yè)得到了責任削減。這兩種刑事合規(guī)均會輻射到國家數(shù)據(jù)治理領(lǐng)域中，形成作為一種特定場域的數(shù)據(jù)刑事合規(guī)。

　　一般認為，早期人們對數(shù)據(jù)刑事合規(guī)的把握偏向數(shù)據(jù)安全的視角。有的數(shù)據(jù)平臺由內(nèi)部的信息/數(shù)據(jù)安全部門或者負責數(shù)據(jù)工作的專門崗位、人員，對數(shù)據(jù)進行清洗、脫敏、加密等處理，重點防止數(shù)據(jù)失竊和被濫用。這可以被稱為技術(shù)意義上的數(shù)據(jù)合規(guī)，即“數(shù)據(jù)合規(guī)≈數(shù)據(jù)安全保護”。如在一起侵犯公民個人信息罪案件中，涉案公司的信息安全部門負責數(shù)據(jù)合規(guī)工作，主要通過員工訪問數(shù)據(jù)頁面次數(shù)畸高、訪問超越權(quán)限等特征，發(fā)現(xiàn)了數(shù)據(jù)操作行為異常等犯罪線索（以下簡稱案例3）。其實，雖然數(shù)據(jù)領(lǐng)域開展合規(guī)工作不可避免地牽涉到數(shù)據(jù)安全技術(shù)規(guī)范，但是，技術(shù)意義上的數(shù)據(jù)合規(guī)并不能當然地降低被追究刑事責任的風險。如今此項工作被添加了符合法律規(guī)范要求的色彩，轉(zhuǎn)化為法律意義上的數(shù)據(jù)刑事合規(guī)。本文選此為基本立場，案例3不在續(xù)評之列。

　　我國數(shù)據(jù)刑事合規(guī)在檢察系統(tǒng)力推企業(yè)合規(guī)改革前后，均有稀疏的出現(xiàn)。該項活動既可能是在訴訟前，即由數(shù)據(jù)經(jīng)營主體主導(dǎo)實施的一種自發(fā)的、內(nèi)生性的合規(guī)，如表1案例4、6中；也可能是在訴訟中，即在涉案之后通常由檢察院等機關(guān)主導(dǎo)監(jiān)督執(zhí)行，要求數(shù)據(jù)經(jīng)營主體圍繞數(shù)據(jù)處理犯罪風險點進行整改的一種回應(yīng)的、外壓性的合規(guī)，如案例1、2、5中。它們可分別稱為“實體法合規(guī)”“程序法合規(guī)”，或者“日常性的合規(guī)”“危機應(yīng)對的合規(guī)”，形成兩種模式。然而，此種區(qū)分雖有理論價值，但在實踐中不可過分強調(diào)。一方面，數(shù)據(jù)領(lǐng)域的“訴訟中合規(guī)”“程序法合規(guī)”“危機應(yīng)對的合規(guī)”亦具有預(yù)防潛在犯罪的功能，應(yīng)當被理解為針對預(yù)防未發(fā)生數(shù)據(jù)犯罪之意義上的“訴前合規(guī)”“實體法合規(guī)”“日常性的合規(guī)”；另一方面，前者不是無源之水，要從后者汲取智慧。當下我國拓展數(shù)據(jù)刑事合規(guī)探索的可行路徑是形成兩種模式對接的整體性推進。后文除需要特別明示的以外，將不做此種區(qū)分。

　　下面重點遴選一些進入司法流程的相關(guān)典型案例（見表1），并兼顧未進入司法流程的大量典型事件，進行概念內(nèi)涵與要素的抽象。據(jù)此可以得出一個基礎(chǔ)性的定義：數(shù)據(jù)刑事合規(guī)指的是數(shù)據(jù)企業(yè)等經(jīng)營主體針對數(shù)據(jù)處理各環(huán)節(jié)可能涉及犯罪的風險點，進行犯罪預(yù)防、識別和應(yīng)對，以追求獲得刑事利益的一種專門活動。

表1 我國企業(yè)合規(guī)改革試點前后的數(shù)據(jù)刑事合規(guī)典型案例

　　理解這一概念及其現(xiàn)實樣態(tài)，需要把握幾點要義。其一，該項活動旨在消減數(shù)據(jù)處理中的刑事風險，獲得刑事利益。合規(guī)是一種識別或控制風險的方法，核心任務(wù)是“最小化因由不法行為引發(fā)的下行風險”。我國國家標準《合規(guī)管理體系指南》明確：“合規(guī)意味著組織遵守了適用的法律法規(guī)及監(jiān)管規(guī)定，也遵守了相關(guān)標準、合同、有效治理原則或道德準則。”不難看出，數(shù)據(jù)領(lǐng)域開展的合規(guī)工作要遵守各種相關(guān)法律規(guī)范。這就出現(xiàn)了分別針對刑事司法、行政執(zhí)法與民事司法等領(lǐng)域中不同利益的刑事合規(guī)、行政合規(guī)與民事合規(guī)等。相比而言，數(shù)據(jù)刑事合規(guī)處于最顯要位置。“合規(guī)刑事化”意味著合規(guī)工作的啟動和執(zhí)行將以參照刑法為主范式。企業(yè)越來越多地采取“刑事法驅(qū)動的”“基于威懾理論的”“旨在避免被刑事、準刑事調(diào)查和起訴的”合規(guī)方案；也就是說，主要選取刑事法的角度來實現(xiàn)合規(guī)，使用刑事立法、執(zhí)行和裁決的規(guī)則來推進其合規(guī)目標。德國學者將這種現(xiàn)象稱為“犯罪關(guān)聯(lián)性合規(guī)”。我國學者的相關(guān)判斷是：“企業(yè)合規(guī)‘刑事化’成為全球企業(yè)合規(guī)制度發(fā)展的重要趨勢和立法方向。”

　　數(shù)據(jù)刑事合規(guī)獲得的刑事利益會有很多形態(tài)。案例1、2、4—7表明，我國現(xiàn)有法律給出的空間包括給予數(shù)據(jù)經(jīng)營主體及其主要員工獲得無罪、輕判、判緩、被不起訴、同他人犯罪相區(qū)隔等法定或酌定利益。數(shù)據(jù)經(jīng)營主體及其主要員工還可以通過刑事策略辯護、認罪認罰協(xié)商等方式獲得刑事利益的增強型兌現(xiàn)。他們亦不排除會收獲其他性質(zhì)的利益。如在案例1、2、4—6中，有關(guān)單位開展合規(guī)工作的后果附隨及于減免行政責任、民事責任等；在案例7中，有關(guān)單位開展合規(guī)工作亦會及于消解其可能因數(shù)據(jù)管理不力而引發(fā)的刑事、行政與民事責任等。因數(shù)據(jù)刑事合規(guī)獲得的刑事利益是梯度型的。合規(guī)完全或完美的，會獲得極大的刑事利益；合規(guī)不夠完善的，也不排除獲得一定的刑事利益。如日本學者主張，經(jīng)營者合理實施合規(guī)計劃的可以被免責，“即便經(jīng)營者因存在過錯而不能免責，也應(yīng)當考慮其實施了合規(guī)計劃的事實，減少制裁額度，從而對其給予激勵。”

　　其二，該項活動的主要舉措囊括“預(yù)防”“識別”“應(yīng)對”三種。“預(yù)防”指的是“誠信文化、培訓以及政策、程序等防備措施”，“識別”指的是“風險評估、道德規(guī)范、審計和SWOT分析等檢測措施”，“應(yīng)對”指的是“調(diào)查和制裁等回應(yīng)措施”，實踐中還出現(xiàn)了開展報案、模擬突擊檢查等措施。數(shù)據(jù)刑事合規(guī)在我國起步較晚，“預(yù)防”“識別”“應(yīng)對”尚達不到如此專業(yè)化劃界的程度，但實有區(qū)分的必要。案例4是我國學界普遍贊揚的“企業(yè)合規(guī)無罪抗辯第一案”，其中涉案單位雀巢公司被認為不構(gòu)成犯罪的理由是，其“禁止員工從事侵犯公民個人信息的犯罪。”而中肯地評價，涉案單位采取的僅僅是“預(yù)防”措施，尚不見“識別”員工犯罪、并予以及時報案“應(yīng)對”的另兩種措施。假若涉案單位有可行的“預(yù)防”“識別”之舉，涉案員工的此類行為應(yīng)該早被發(fā)現(xiàn)。于理論上檢視，此案大概率地陷入了“紙面合規(guī)”。若參照適用其母公司所在國美國的判例規(guī)則——公司不能“通過禁止其代理人從事非法行為的抽象規(guī)則來避免責任”“仍然要對其員工違反明示的指示和政策的行為承擔責任”等，涉案單位斷難被判處無罪。

　　“預(yù)防”之舉措具有常態(tài)合規(guī)的性質(zhì)，意指要識別數(shù)據(jù)處理環(huán)節(jié)的刑事風險點并進行干預(yù)。這是要防止數(shù)據(jù)經(jīng)營主體或其主要員工成為犯罪嫌疑人、被告人。“識別”和“應(yīng)對”之舉措則具有應(yīng)急合規(guī)的性質(zhì)，意指通過識別數(shù)據(jù)處理環(huán)節(jié)的刑事風險點應(yīng)對已發(fā)生的違法犯罪行為。在案例7中，數(shù)據(jù)經(jīng)營主體成立數(shù)據(jù)合規(guī)部門，該部門及時發(fā)現(xiàn)數(shù)據(jù)違規(guī)行為并進行刑事報案，既遏制犯罪也化解該單位被卷入刑事案件的風險。案例4中因合規(guī)而獲得刑事利益的僅僅是單位而不包括員工，同涉案單位的合規(guī)舉措中缺少合格的“識別”和“應(yīng)對”內(nèi)容不無關(guān)系。若該案中涉案單位能在合規(guī)方面有所改進，涉案員工的違法犯罪行為定會被及早“識別”、有效“應(yīng)對”而減免罪責。

　　其三，該項活動可以具體化為經(jīng)緯交織的元素、樣態(tài)。以構(gòu)成元素為經(jīng)線，數(shù)據(jù)刑事合規(guī)可以區(qū)分為數(shù)據(jù)合規(guī)計劃、數(shù)據(jù)合規(guī)人員、數(shù)據(jù)合規(guī)培訓以及數(shù)據(jù)處理監(jiān)管等。其中，最重要元素就是數(shù)據(jù)合規(guī)計劃。合規(guī)計劃是“用于描述一種或多種員工之倫理義務(wù)、法律義務(wù)、政策義務(wù)的各種正式的、通常也是書面的聲明”。不同數(shù)據(jù)經(jīng)營主體需要具體設(shè)計，形成比法律要求更為具體的數(shù)據(jù)刑事合規(guī)計劃。當下數(shù)據(jù)刑事合規(guī)計劃應(yīng)當走向?qū)I(yè)化。如賽門鐵克軟件公司以GDPR合規(guī)要求為參照，將其計劃拆解為“合規(guī)準備”“數(shù)據(jù)保護”“數(shù)據(jù)安全監(jiān)測”“數(shù)據(jù)事件響應(yīng)”四大支柱部分。數(shù)據(jù)刑事合規(guī)計劃需要契合法律乃至道德的價值導(dǎo)向，同數(shù)據(jù)犯罪中反偵查手段等區(qū)分開來。任何企圖通過對抗伎倆躲避刑事懲處的做法，不在獲得法律認可之列。案例分析表明，有的涉案單位所成立“合規(guī)部”系用于掩蓋違法犯罪行為，有的涉案單位組建“合規(guī)整改小組”僅僅是提交應(yīng)付性的自查報告。調(diào)研也發(fā)現(xiàn)，一些數(shù)據(jù)經(jīng)營主體開展工作所追求的就是反偵查或?qū)顾痉ǎ鐚ι婕靶淌嘛L險的數(shù)據(jù)業(yè)務(wù)進行簡單分解、外包或銷毀證據(jù)等。這些伎倆滑向合規(guī)實踐的反面，不可不察。誠然，數(shù)據(jù)刑事合規(guī)同數(shù)據(jù)犯罪中反偵查手段之間存有一些模糊地帶。

　　以適用主體為緯線，數(shù)據(jù)刑事合規(guī)可以區(qū)分為特定單位、特定地域與特定行業(yè)的合規(guī)等樣態(tài)。特定單位的數(shù)據(jù)刑事合規(guī)在一定地域、行業(yè)內(nèi)具有復(fù)制推廣意義。筆者曾經(jīng)就一家互聯(lián)網(wǎng)游戲公司涉嫌數(shù)據(jù)犯罪的問題，到其所在地某某互聯(lián)網(wǎng)游戲產(chǎn)業(yè)園進行調(diào)研，發(fā)現(xiàn)其他公司也存在忽視合規(guī)建設(shè)的類似隱患。園區(qū)主管部門引導(dǎo)區(qū)內(nèi)相關(guān)公司進行避免潛在刑事風險的借鑒整改。這就是關(guān)于特定區(qū)域的數(shù)據(jù)合規(guī)。實踐中也存在針對某個特定行業(yè)進行合規(guī)整改的情況。這常常可以通過檢察機關(guān)啟動行政公益訴訟或全行業(yè)聯(lián)動等方式加以促進。例如，某地檢察機關(guān)在辦理一起侵犯公民個人信息罪案件時，發(fā)現(xiàn)社會上普遍存在著物業(yè)管理公司工作人員非法提供業(yè)主信息用于違法推廣裝修業(yè)務(wù)的情況，遂向該縣市場監(jiān)督管理局發(fā)出訴前檢察建議書，向轄內(nèi)多家物業(yè)公司發(fā)放《刑事合規(guī)風險告知書》。有關(guān)監(jiān)管部門部署了專門針對家裝行業(yè)、物業(yè)管理的專項整治工作，代表性的公司均開展了完善信息保護措施等整改工作。這雖非一起典型的數(shù)據(jù)刑事合規(guī)案例，但系以個案整改推動涉案物業(yè)管理數(shù)據(jù)處理的規(guī)范化整治。三者比較，第一種乃基礎(chǔ)性的樣態(tài)。

　　（二）主要價值的闡釋

　　首先，數(shù)據(jù)刑事合規(guī)是智能社會協(xié)同共治的基本前提。2015年以來，我國發(fā)布了《促進大數(shù)據(jù)發(fā)展行動綱要》《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》等重要文件，繪制了建設(shè)智能社會的美好藍圖，將數(shù)據(jù)治理與相關(guān)犯罪遏制提到了十分重要的位置。而數(shù)據(jù)刑事合規(guī)能夠集企業(yè)與國家、社會等多方力量于數(shù)據(jù)共治體系。有研究者評價，數(shù)據(jù)刑事合規(guī)“通過促進網(wǎng)絡(luò)服務(wù)商數(shù)據(jù)安全保障工作的內(nèi)控化、制度化開展，增強網(wǎng)絡(luò)服務(wù)商對于數(shù)據(jù)安全的責任意識，通過網(wǎng)絡(luò)服務(wù)商的事前的主動介入，增強數(shù)據(jù)安全犯罪的積極防控，實現(xiàn)侵害數(shù)據(jù)安全犯罪的積極的一般性預(yù)防。”我國《刑法》第286條之一專門增設(shè)“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，就是這一思路的具體踐行。以刑事手段強化數(shù)據(jù)經(jīng)營主體的數(shù)據(jù)合規(guī)義務(wù)，即夯實數(shù)據(jù)平臺的主體責任，可以提升數(shù)據(jù)領(lǐng)域的共治水平。

　　其次，數(shù)據(jù)刑事合規(guī)是新興數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重要保障。問卷調(diào)查表明，人們普遍認為數(shù)據(jù)經(jīng)營主體進行數(shù)據(jù)處理“有難以防范的刑事風險”“有較大的刑事風險”，兩種傾向分別占比高達28.07%、57.02%；有關(guān)數(shù)據(jù)處理行為可能觸碰到龐雜的罪名體系，排序為“侵犯公民個人信息罪”“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”“侵犯商業(yè)秘密罪”等。而走訪調(diào)研發(fā)現(xiàn)，數(shù)據(jù)刑事合規(guī)可以幫助一般的數(shù)據(jù)經(jīng)營主體“規(guī)范生產(chǎn)經(jīng)營行為避開雷區(qū)”“切割濫用數(shù)據(jù)的員工行為與單位的關(guān)系”“設(shè)置遭到刑事調(diào)查時的應(yīng)急處理機制”等，可以向“大而不牢”的超大數(shù)據(jù)公司施加促其進行內(nèi)部控制或結(jié)構(gòu)性調(diào)整的巨大壓力。這一方面的教訓經(jīng)驗皆有。反面的代表性案例是“企業(yè)涉嫌數(shù)據(jù)違規(guī)被否決上市申請案”，涉案企業(yè)墨跡公司因數(shù)據(jù)違規(guī)而上市失敗；正面的代表性案例是案例1、2、4、7，涉案企業(yè)經(jīng)由有效數(shù)據(jù)合規(guī)而脫罪、受到應(yīng)急保護。數(shù)據(jù)刑事合規(guī)還具有在數(shù)據(jù)經(jīng)營主體遭遇犯罪指控時減免刑罰、幫助其遠離數(shù)據(jù)失范危險、增進其社會聲譽的功能。“在市場經(jīng)濟環(huán)境中，公眾信任是珍稀商品，有效的合規(guī)計劃更是無價之寶。”這一斷言對數(shù)據(jù)產(chǎn)業(yè)極具啟發(fā)。

　　再次，數(shù)據(jù)刑事合規(guī)是辦案效果一體提升的應(yīng)有擔當。但凡對數(shù)據(jù)處理有業(yè)務(wù)需要的各種主體，均對數(shù)據(jù)刑事合規(guī)有著內(nèi)在渴求。這就要求辦案機關(guān)“嚴管厚愛”數(shù)據(jù)經(jīng)營主體及其負責人、主要員工等。2021年最高人民檢察院在發(fā)布推進網(wǎng)絡(luò)空間治理典型案例時，明確倡導(dǎo)相關(guān)部門要“監(jiān)督相關(guān)企業(yè)建立數(shù)據(jù)合規(guī)制度”，昭示了數(shù)據(jù)刑事合規(guī)是相關(guān)辦案效果提升的努力方向。案例1出現(xiàn)于2022年，符合這個方向。走訪調(diào)研表明，數(shù)據(jù)刑事合規(guī)可以為數(shù)據(jù)業(yè)經(jīng)營者提供良好的保護：（1）幫助認識生產(chǎn)經(jīng)營環(huán)節(jié)中可能面臨的刑事風險；（2）規(guī)范生產(chǎn)經(jīng)營中各項決策的發(fā)布和執(zhí)行；（3）明確責任分割機制，防止因內(nèi)部員工、合作伙伴的違法行為而受刑事牽連；（4）在接受司法調(diào)查時，及時提供合規(guī)材料作為證據(jù)。數(shù)據(jù)刑事合規(guī)對于數(shù)據(jù)業(yè)投資者也是一種激勵和保障。“投資者總是愿意向做出更好合規(guī)的公司投錢，因為更好合規(guī)意味著更少風險。”辦案中施加這些“保護”符合法治精神，有利于法律效果、政治效果與社會效果的統(tǒng)一實現(xiàn)。

三、數(shù)據(jù)刑事合規(guī)的實踐規(guī)律

　　（一）相對性定律的生成

　　深刻反思數(shù)據(jù)刑事合規(guī)的整體消極主義，需要審視實踐訴求。當下有兩種對立的主張：其一，數(shù)據(jù)刑事合規(guī)要絕對防止相關(guān)主體犯罪（或再次犯罪）；其二，數(shù)據(jù)刑事合規(guī)沒有也不可能適用絕對防止犯罪（含再犯）的標準。問卷調(diào)查中就“數(shù)據(jù)刑事合規(guī)是否可以做到絕對合規(guī)（即絕對防止犯罪發(fā)生）”進行提問，受訪者中選“否”的為82.89%，且呈現(xiàn)出受訪者中“認為企業(yè)數(shù)據(jù)處理行為涉及刑事風險越大的，主張數(shù)據(jù)刑事合規(guī)可以做到絕對合規(guī)的比例越小”的特點（參見圖1）。實地調(diào)研發(fā)現(xiàn)，數(shù)據(jù)行業(yè)普遍沒有信心做到絕對合規(guī)。當然，也有極少數(shù)人認為出現(xiàn)了可視為絕對合規(guī)的“特例”，如數(shù)據(jù)經(jīng)營主體識別和“完全”下線、“機械”關(guān)停可能涉嫌犯罪的數(shù)據(jù)業(yè)務(wù)產(chǎn)品、徑直拆解公司、剝離涉案業(yè)務(wù)或者直接開除涉及數(shù)據(jù)犯罪的員工等。案例1中，Z公司合規(guī)整改被評為合格的主要理由是“徹底銷毀相關(guān)‘爬蟲’程序及源代碼”等。在筆者看來，這些做法乃壁虎斷尾求生的非常之舉，難言有推廣價值；更實質(zhì)的問題是，它們不過是切除特定“涉案”產(chǎn)品、業(yè)務(wù)、板塊、員工之“病灶”，并未斬斷“病根”，跟絕對防止數(shù)據(jù)犯罪并非一回事。對于前述兩種主張，可以分別歸為數(shù)據(jù)領(lǐng)域的絕對合規(guī)觀與相對合規(guī)觀。

圖1　數(shù)據(jù)領(lǐng)域絕對合規(guī)觀與相對合規(guī)觀的比例及規(guī)律

　　應(yīng)該說，絕對合規(guī)觀有利于人們清楚認識到數(shù)據(jù)刑事合規(guī)中需要避免的“虛假整改”“裝飾性合規(guī)”“合規(guī)腐敗”等問題，有利于去除司法人員被歸入“枉法”辦案的疑慮，還有利于消解律師等參與者被當作共犯處理的憂心。然而，絕對合規(guī)觀亦可能引發(fā)嚇阻數(shù)據(jù)刑事合規(guī)探索的效應(yīng)。我國現(xiàn)階段刑事大合規(guī)試點地區(qū)少見數(shù)據(jù)刑事合規(guī)案例，障礙之一就是不少人期望以數(shù)據(jù)刑事合規(guī)杜絕數(shù)據(jù)犯罪。而考慮到我國各種數(shù)據(jù)犯罪均具有復(fù)雜性，數(shù)據(jù)刑事合規(guī)在應(yīng)然層面只需遵循相對合規(guī)觀；加之數(shù)據(jù)法治建設(shè)正處于蓬勃發(fā)展階段，當下數(shù)據(jù)刑事合規(guī)在實然層面亦只能追求相對合規(guī)。這是深刻反映數(shù)據(jù)犯罪治理機理的一種社會規(guī)律，不妨稱之為數(shù)據(jù)刑事合規(guī)的相對合規(guī)定律（以下簡稱為“相對性定律”）。

　　該相對性定律是由數(shù)據(jù)領(lǐng)域的“口袋罪名”現(xiàn)狀決定的。口袋罪具有“罪名抽象、含糊籠統(tǒng)”“法定刑與罪狀缺乏對應(yīng)性”等特點，同數(shù)據(jù)犯罪的復(fù)雜多變性等特征相契合。數(shù)據(jù)犯罪的“口袋罪”化是由刑法修正案出臺、司法解釋擴張與司法適用慣性等因素傳導(dǎo)所致。其一，非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、破壞計算機信息系統(tǒng)罪被不受限制地擴張解釋。對于前一罪名，“似乎所有能儲存于電腦系統(tǒng)中的權(quán)利客體都可以稱為‘數(shù)據(jù)’”，對數(shù)據(jù)的任何非法獲取行為都可能構(gòu)罪。對于后一罪名，所有對于計算機信息系統(tǒng)數(shù)據(jù)的刪除、增加、修改、干擾行為，均會被視為符合該罪的罪狀描述。其二，侵犯公民個人信息罪中侵犯對象的外延十分廣泛。最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》將“識別”個人的信息之外的“軌跡”信息也涵蓋在內(nèi)，實踐中進一步演化為含有公民個人信息的泛在數(shù)據(jù)，該罪名也可涵涉無邊的范圍。其三，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、幫助信息網(wǎng)絡(luò)犯罪活動罪疊床架屋。前一罪名的罪狀模式為“行為方式列舉+兜底條款”“多元排列組合格局”，后一罪名主要適用于評價非共同犯罪的網(wǎng)絡(luò)犯罪幫助行為，均屬于“口袋罪”構(gòu)造。其四，非法經(jīng)營罪、尋釁滋事罪兩個罪名“口袋”被適用于數(shù)據(jù)犯罪，非法利用信息網(wǎng)絡(luò)罪與提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪等關(guān)聯(lián)罪名也出現(xiàn)了“口袋化”傾向。無論是前述哪一種“口袋罪”現(xiàn)象，必然導(dǎo)致罪與非罪界限模糊不清，數(shù)據(jù)領(lǐng)域的入罪也就變得隨便。這成了相對性定律的生成基點。

　　該相對性定律是由數(shù)據(jù)犯罪的“沾邊管轄”現(xiàn)狀決定的。我國刑事法律規(guī)范沒有為數(shù)據(jù)犯罪設(shè)立獨立的管轄規(guī)則，主要援引網(wǎng)絡(luò)犯罪的“以犯罪地為主”的管轄規(guī)則。2021年最高人民法院《關(guān)于適用〈中華人民共和國刑事訴訟法〉的解釋》第2條對此確定了超級廣泛的范圍，不僅明示包括“犯罪行為地和犯罪結(jié)果地”，而且進一步細化羅列。這事實上擴增了“沾邊即管”的缺陷，其結(jié)果是任何基層公安機關(guān)不受限制地“想管盡管”。這就顯著地增加了數(shù)據(jù)刑事合規(guī)的難度，因為這意味著數(shù)據(jù)刑事合規(guī)要讓全國司法機關(guān)普遍認可，不然數(shù)據(jù)經(jīng)營主體實施合規(guī)后依然會面臨異地刑事追究之虞。

　　該相對性定律是由數(shù)據(jù)犯罪的“動態(tài)標線”現(xiàn)狀決定的。我國合法使用數(shù)據(jù)的法律標尺呈現(xiàn)為快速變動的虛擬標線。各數(shù)據(jù)經(jīng)營主體難以避入確保無罪的地帶上或界限內(nèi)，因為這條標線處于頻繁調(diào)整中。筆者曾對數(shù)據(jù)行業(yè)開展數(shù)據(jù)獲取專題調(diào)研，匯總了業(yè)界公認的不觸碰刑律的方式，包括“經(jīng)個人信息主體同意”“獲取公開的數(shù)據(jù)”“為科研目的獲取”等。而對裁判文書的挖掘和對司法群體的訪談表明，針對以上情形的行為均可做出有罪判決。例如，在一起侵犯公民個人信息罪案件中，辯方提出被告人“購買的是公民自愿有償出賣的個人駕駛證等信息，……不應(yīng)認定為犯罪”，法院認為“只要行為人沒有獲取公民個人信息的法律依據(jù)或者資格而獲取相關(guān)個人信息的，即可以認定為‘非法獲取’”。這是將“公民自愿有償出賣”數(shù)據(jù)的行為歸入侵犯公民個人信息罪進行打擊。其實，即便對于因確屬“經(jīng)個人信息主體同意”的難以判處侵犯公民個人信息罪的行為，也可能調(diào)整為其他罪名進行制裁，如前述提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪案。

　　該相對性定律也是由數(shù)據(jù)經(jīng)營主體的實力差異決定的。在我國，許多“巨無霸”大數(shù)據(jù)公司掌握著關(guān)系國計民生的巨量數(shù)據(jù)，有社會責任也有經(jīng)濟實力實行嚴格的合規(guī)。當然，它們亦有一個量力而行的高限。很多的小型企業(yè)缺乏足夠支撐全面合規(guī)的資源條件，更不該被苛以過重的合規(guī)責任。此乃“小型企業(yè)難合規(guī)”的表象。關(guān)于此類境況，美國學者們曾經(jīng)就GDPR生效后的挑戰(zhàn)做過三點歸納：（1）GDPR有長達261頁的99個長條文，小型企業(yè)試圖靠自身努力完全理解條文就不大可能；（2）若要聘請專家或律師，小型企業(yè)可能面臨源于資源少的大挑戰(zhàn)；（3）若向大公司學習或?qū)で髤f(xié)助，小型企業(yè)會遇到價格不菲的問題。例如，微軟公司對外提供“數(shù)據(jù)合規(guī)方案”，報價是每名員工每月交費5—12美元。若一家有250名員工的公司尋求微軟公司的幫助進行GDPR合規(guī)，將自動增加每年1.5萬至3.7萬美元的支出。這是難以承受之重。與之相對，2017年超過40%的美國大銀行花費超過1000萬美元來升級系統(tǒng)以符合GDPR的要求，這可以避免因違反GDPR而遭受最大罰款（額度為全球年收入4%）的危險。小型企業(yè)對此難以企及。另有數(shù)據(jù)統(tǒng)計表明，美國企業(yè)合規(guī)的支出截至2017年已經(jīng)到達一個特殊的里程碑：合規(guī)成本接近城市警察治安成本。如此龐大的合規(guī)開支，不可能寄希望于小微企業(yè)承擔太多。基于此理，數(shù)據(jù)刑事合規(guī)該做到何種程度，顯然跟數(shù)據(jù)經(jīng)營主體的規(guī)格體量有關(guān)。

　　一個總的原則是，我國開展數(shù)據(jù)刑事合規(guī)應(yīng)當容許數(shù)據(jù)經(jīng)營主體針對具體的數(shù)據(jù)處理場景、刑事風險采取不同的合規(guī)措施。于具體數(shù)據(jù)經(jīng)營主體而言，則需要兼顧兩層要義：一方面，數(shù)據(jù)刑事合規(guī)不能好高騖遠，要符合實際理性；另一方面，數(shù)據(jù)刑事合規(guī)不能滑向粗制濫造，要進行質(zhì)量控制。對此，數(shù)據(jù)經(jīng)營主體需要將該相對性定律進一步分解為合規(guī)對象與合規(guī)結(jié)果的相對性定律，分層次實施與差別化落地。

　　（二）合規(guī)對象的相對性

　　從學理上講，刑事合規(guī)可以類型化為針對一罪與數(shù)罪的合規(guī)。而在實踐中，針對一罪的合規(guī)是罕見的，也是不合理的。考慮到我國當下關(guān)于數(shù)據(jù)領(lǐng)域罪名的“口袋化”，及司法實踐中存在著牽連犯、吸收犯、競合犯及其他復(fù)雜罪數(shù)形態(tài)，數(shù)據(jù)刑事合規(guī)不應(yīng)局限于單一罪名而應(yīng)擴展至數(shù)個罪名。以案例2涉及的侵犯公民個人信息罪為例，就存在“一個行為、多個罪名”的復(fù)雜罪數(shù)形態(tài)處理。大樣本的案例分析表明，導(dǎo)致被判處侵犯公民個人信息罪的一個行為，可能被同時判處詐騙罪、盜竊罪、妨礙信用卡管理罪、信用卡詐騙罪、買賣身份證件罪、掩飾、隱瞞犯罪所得罪以及其他罪名（如圖2系基于對965起侵犯公民個人信息罪案件分析得出的罪名群）。這就意味著一旦發(fā)生或可能發(fā)生此種情形，數(shù)據(jù)經(jīng)營主體開展數(shù)據(jù)刑事合規(guī)首以減少觸碰該“口袋罪”為目標，同時要考慮以減少觸碰相關(guān)“數(shù)個罪名”為目標。這些任務(wù)可以被簡單理解為數(shù)據(jù)經(jīng)營主體分兩個步驟圈定合規(guī)針對的罪名群。

圖2　侵犯公民個人信息罪案件涉及的罪名群

　　第一步，基于同一數(shù)據(jù)行為涉及罪名群體系的規(guī)律進行初選。以案例5為例，涉案單位的具體犯罪行為主要是買賣身份證件/號，這有可能導(dǎo)致被判處偽造、變造、買賣身份證件罪。筆者在對前述構(gòu)成“侵犯公民個人信息罪”的大樣本案例進行梳理時，發(fā)現(xiàn)基于類似行為同時被判處偽造、變造、買賣身份證件罪的案件為55起，還有被判處詐騙罪（10起），偽造、買賣國家機關(guān)證件、印章罪（10起），妨害信用卡管理罪（9起）、非法利用信息網(wǎng)絡(luò)罪（3起），販賣、傳播淫穢物品牟利罪（1起）、破壞計算機系統(tǒng)罪（1起）。這就意味著該案發(fā)生后涉案單位開展數(shù)據(jù)刑事合規(guī)應(yīng)當指向涉及如上罪名的罪名群。之所以作出該案中具體罪名群的界定，是因為有關(guān)身份證件/號采集行為的特定輻射力所致。假如數(shù)據(jù)經(jīng)營主體的基本業(yè)務(wù)是竊取、收買或非法提供、使用信用卡信息等其他內(nèi)容的，則用作合規(guī)指向的具體罪名群會有明顯不同（具體可以從圖2中選取關(guān)于信用卡信息的罪名群部分）。

　　第二步，基于數(shù)據(jù)經(jīng)營主體處理數(shù)據(jù)行為涉及犯罪的風險點進行確定。數(shù)據(jù)刑事合規(guī)在個案中并不要求對具體罪名群中各種情形的犯罪可能性均予考慮。再以案例5的合規(guī)整改為例，要判斷涉案單位獲取身份證件或號碼的途徑、進行不法使用的去向，進而再限縮合規(guī)針對的相關(guān)罪名及整改方法。涉案單位獲取身份證件或號碼的途徑是簡單索要，不法使用的行為是虛假報稅，其風險點主要在于“非法獲取公民信息”“虛假報稅”兩點。是故，涉案單位進行合規(guī)所針對的罪名可以進一步聚焦為“侵犯公民個人信息罪”“偽造、變造、買賣身份證件罪”“偽造、買賣國家機關(guān)證件、印章罪”，鎖定為涉案單位進行合規(guī)整改時應(yīng)針對的具體罪名；至于“詐騙罪”“妨害信用卡管理罪”“非法利用信息網(wǎng)絡(luò)罪”“販賣、傳播淫穢物品牟利罪”“破壞計算機信息系統(tǒng)罪”等罪名，則被剔除出考量范圍。考慮到涉案單位主要是刪除了被冒用的公民個人信息及納稅申報記錄，這三個罪名最終作為對象的合規(guī)整改預(yù)設(shè)，是合格夠用的。通過厘清各種數(shù)據(jù)經(jīng)營主體的具體業(yè)務(wù)確定刑事風險點，是開展數(shù)據(jù)刑事合規(guī)的必修課。

　　（三）合規(guī)結(jié)果的相對性

　　數(shù)據(jù)刑事合規(guī)的結(jié)果更是相對的。且不說數(shù)據(jù)處理過程中刑事風險泛在，僅就數(shù)據(jù)業(yè)普遍構(gòu)成產(chǎn)業(yè)鏈的現(xiàn)實特點而言，任何數(shù)據(jù)經(jīng)營主體不可能獨善其身。若上下游的商業(yè)合作伙伴未能遵循基本合規(guī)要求而恣意濫用數(shù)據(jù)，則居于業(yè)務(wù)節(jié)點上的特定數(shù)據(jù)經(jīng)營主體仍有可能受牽連被罰；同理，若企業(yè)集團的分支機構(gòu)員工違法使用數(shù)據(jù)的，導(dǎo)致企業(yè)集團總部或其高管牽涉入罪的，更難言“無辜”。案例5即是如此，總公司因分公司負責人張×濫用公民個人信息的行為而入罪。調(diào)研中也了解到，許多一線檢察官對數(shù)據(jù)刑事合規(guī)可達致結(jié)果憂心忡忡。

　　鑒于我國當前數(shù)據(jù)刑事合規(guī)剛起步，將在較長時間內(nèi)處于探索階段，追求數(shù)據(jù)刑事合規(guī)的結(jié)果相對性是不可逾越的。各種數(shù)據(jù)經(jīng)營主體開展數(shù)據(jù)刑事合規(guī)工作所期待的只能是一種可以實現(xiàn)的結(jié)果，有關(guān)部門開展監(jiān)管工作亦得以一種相對合理主義為指導(dǎo)思想。此即數(shù)據(jù)刑事合規(guī)結(jié)果的相對性定律。

　　于數(shù)據(jù)經(jīng)營主體而言，需要制定和執(zhí)行的是符合理性的數(shù)據(jù)刑事合規(guī)計劃。其一，該計劃指向消除數(shù)據(jù)方面“結(jié)構(gòu)性疏忽”等刑事責任。這里要求的是數(shù)據(jù)刑事合規(guī)計劃重在排除因單位意志或行為引發(fā)數(shù)據(jù)犯罪的風險，而不必覆蓋因全體普通員工意志或行為引發(fā)數(shù)據(jù)犯罪的風險。其二，該計劃指向數(shù)據(jù)刑事合規(guī)計劃中對企業(yè)數(shù)據(jù)刑事風險的有效識別。當下，有的地方拿出的“企業(yè)涉及數(shù)據(jù)犯罪風險判斷方案”是進行三級打分，有的機構(gòu)拿出的“企業(yè)合規(guī)指數(shù)評估方案”是進行“可能性”判斷。其三，該計劃指向數(shù)據(jù)經(jīng)營主體圍繞數(shù)據(jù)犯罪風險要有“真正”的作為。這離不開必要的形式要件，但更為關(guān)鍵的是涉案單位是否真正投入財力等資源。筆者在一次數(shù)據(jù)刑事合規(guī)咨詢中，曾經(jīng)參照侵權(quán)法領(lǐng)域用作行為人過失評價的“利爾德·漢德公式”進行測量評估，得到了特定數(shù)據(jù)經(jīng)營主體的支持。該公式用于判斷數(shù)據(jù)經(jīng)營主體是否開展“真正”合規(guī)的基本模型為“B>PL”，其中B表示某數(shù)據(jù)經(jīng)營主體預(yù)防數(shù)據(jù)犯罪之投入成本，P表示該數(shù)據(jù)經(jīng)營主體觸碰數(shù)據(jù)犯罪的概率，L表示有關(guān)數(shù)據(jù)犯罪給社會造成的損失折算得出的損失金額。若B>PL時，則可以認為數(shù)據(jù)經(jīng)營主體的合規(guī)整改力度大于其涉案罪量，進而認為數(shù)據(jù)刑事合規(guī)達到了理性人可接受的程度。誠然，數(shù)據(jù)刑事合規(guī)領(lǐng)域中達到的“B>PL”只是一個基本檔次，可據(jù)實情提至更大力度。調(diào)研中發(fā)現(xiàn)，有的第三方機構(gòu)是根據(jù)其具體數(shù)據(jù)行為涉及犯罪的風險點，結(jié)合類案特征與司法政策等因素，判斷其涉案罪名及可能性大小“P”。這是督促企業(yè)進行數(shù)據(jù)刑事合規(guī)的基礎(chǔ)性思維。若要更進一步，可以通過專家打分、會計審計的方式計算出涉案罪名可能造成的社會損失，審慎決定其整改投入所需的下限成本。

　　于檢察機關(guān)等監(jiān)管部門而言，此等意義上的相對性規(guī)律表現(xiàn)為其制定和執(zhí)行的是符合理性的數(shù)據(jù)刑事合規(guī)驗收標準。這一標準是前一標準的延續(xù)。美國司法部在制定《聯(lián)邦檢察官手冊》時堅持“任何合規(guī)計劃均不可能防止由公司員工實施的一切犯罪”，明確“評估任何合規(guī)計劃的關(guān)鍵在于其經(jīng)由充分設(shè)計是否足以最有效地預(yù)防、發(fā)現(xiàn)員工的不當行為，以及是否可以保證管理層執(zhí)行該計劃而非暗中鼓勵或施壓員工從事不當行為以實現(xiàn)商業(yè)目標”；“合規(guī)計劃的有效性主要取決于企業(yè)高管以明確、可見的方式執(zhí)行、參與與支持合規(guī)計劃”，也就是說，企業(yè)高管在各自職責范圍必須促進“一種鼓勵符合道德和遵守法律的組織文化。”該計劃之履行阻止內(nèi)部不當行為以及對所發(fā)生不當行為提供內(nèi)部監(jiān)督、報告的手段等兩項基本職能。總之，聯(lián)邦檢察官必須確定合規(guī)計劃是一種經(jīng)過適當設(shè)計、執(zhí)行、審查和修訂的有效方案。自1991年《聯(lián)邦量刑指南》首次列出七項相關(guān)適用標準起，有效合規(guī)計劃的標準經(jīng)歷多次調(diào)整。2020年6月最新版《企業(yè)合規(guī)計劃評估》發(fā)布，將這一標準優(yōu)化為三個基本問題：企業(yè)的合規(guī)計劃設(shè)計得好嗎？該計劃是否得到了真誠地、善意地執(zhí)行（換言之，該計劃是否得到足夠資源與授權(quán)來有效運作）？該合規(guī)計劃是否實際運行了？不難看出，這些說法縱有千變?nèi)f化、但始終富有一定的彈性，表明美國追求的是以“合規(guī)計劃是否有效”為內(nèi)容承載的結(jié)果相對之合規(guī)。這一混用型標準在美國適用于數(shù)據(jù)刑事合規(guī)。

　　回看我國，各種數(shù)據(jù)經(jīng)營主體開展數(shù)據(jù)刑事合規(guī)，需要接受檢察機關(guān)等主管部門的監(jiān)管和驗收。然而，我國關(guān)于合規(guī)監(jiān)管和驗收的時限同美國有很大差距，只能是限于辦案期（目前理論上認為最長達1年），美國可以長達3年甚至更長，這一重大不同決定了中國合規(guī)驗收標準的開發(fā)具有特殊的難度。概言之，我國有關(guān)驗收標準的研發(fā)需要注意兩點：一是優(yōu)先驗收標準的專用性。據(jù)了解，2021年8月最高人民檢察院召開了“企業(yè)合規(guī)有效性評價標準”起草工作會議，但截至目前，綜合性“企業(yè)合規(guī)有效性評價標準”的研發(fā)遲滯。這致使各試點地方仍處于無驗收標準可用的狀態(tài)。當下各地試點中主要規(guī)定了“合規(guī)第三方監(jiān)督評估組織的職責”，沒有給出任何合規(guī)驗收標準。筆者建議，不妨先從難度較小的專門性“數(shù)據(jù)專項合規(guī)驗收標準”進行突破。二是提升驗收標準的客觀性。考慮到主觀性標準同當下無標準狀態(tài)相比難言實質(zhì)進步，我國應(yīng)當力爭開發(fā)出相對客觀的標準。值得關(guān)注的一個例子是白建軍教授提出的“刑事風險識別和整改驗收的綜合分析模型”，將檢察機關(guān)驗收刑事合規(guī)的結(jié)果區(qū)分為“重要級”“輕微級”“嚴控級”“關(guān)注級”四級。

四、數(shù)據(jù)刑事合規(guī)的實現(xiàn)方略

　　在數(shù)據(jù)刑事合規(guī)相對性定律的牽引下，各種數(shù)據(jù)經(jīng)營主體需要具體開發(fā)數(shù)據(jù)刑事合規(guī)計劃和安排數(shù)據(jù)刑事合規(guī)人員、培訓、監(jiān)管等工作。而這些離不開各數(shù)據(jù)經(jīng)營主體針對實際情況制定和落實數(shù)據(jù)刑事合規(guī)方略。若從實務(wù)層面來論，此類方略必須遵循各種數(shù)據(jù)法律規(guī)范及少數(shù)技術(shù)規(guī)范設(shè)定的普遍性要求。這些要求傳遞出數(shù)據(jù)處理領(lǐng)域的禁止、警示與容許三類信號，客觀形成關(guān)于數(shù)據(jù)刑事合規(guī)的三色標識。各數(shù)據(jù)經(jīng)營主體可以對“標”，鎖定自身數(shù)據(jù)處理各環(huán)節(jié)牽涉的犯罪風險點有無及大小，制定數(shù)據(jù)刑事合規(guī)的個性化方略。此類方略對于檢察機關(guān)等有關(guān)部門開展監(jiān)管和驗收工作，同樣具有參照意義。

　　（一）遠離數(shù)據(jù)處理的法律紅線

　　我國直接規(guī)定數(shù)據(jù)犯罪的主要法律規(guī)范是《刑法》及相關(guān)司法解釋，其中包含一系列核心罪名的罪狀描述、刑罰體系及適用方法等基本內(nèi)容。它們是數(shù)據(jù)業(yè)態(tài)或行為必須嚴格遵守、禁止違反的準則，形成數(shù)據(jù)處理“紅線”的主要淵源。不僅如此，數(shù)據(jù)領(lǐng)域的“基本法”、行政法中也會有著一些關(guān)于承擔刑事責任的特殊條款，指向具體或概要的罪名，也屬于數(shù)據(jù)業(yè)態(tài)或行為的禁區(qū)。最高人民法院、最高人民檢察院發(fā)布過不少關(guān)于數(shù)據(jù)犯罪的指導(dǎo)性案例，其中明確了具體罪名的適用指引，也應(yīng)當被納入數(shù)據(jù)業(yè)態(tài)或行為的禁地。

　　全國法院關(guān)于數(shù)據(jù)犯罪的刑事判決書有助于理解《刑法》及相關(guān)司法解釋中明確的犯罪構(gòu)成及要素，具有值得特別說明的參考意義。首先，它們可以用于判斷數(shù)據(jù)經(jīng)營主體觸碰各種罪名的一般風險等級。筆者通過中國裁判文書網(wǎng)進行檢索，截至2022年7月25日共公布6750491件一審刑事判決書，據(jù)此可發(fā)現(xiàn)關(guān)于數(shù)據(jù)犯罪主要罪名的排序是“幫助信息網(wǎng)絡(luò)犯罪活動罪”“侵犯公民個人信息罪”“非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪”“破壞計算機信息系統(tǒng)罪”“提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪”“非法利用信息網(wǎng)絡(luò)罪”，占比為66.8%、24.5%、3.3%、2.4%、1.5%、1.5%。這揭示了全國開展數(shù)據(jù)刑事合規(guī)涉及的罪名位序。特定的數(shù)據(jù)經(jīng)營主體需要根據(jù)自身具體業(yè)務(wù)特點進一步梳理風險等級。其次，它們可以用于判斷不同時期數(shù)據(jù)刑事治理的趨勢與動態(tài)。仍以對中國裁判文書網(wǎng)的檢索為例，發(fā)現(xiàn)侵犯公民個人信息罪從2015到2021年公布的全國一審刑事案件數(shù)分別為10、245、1069、1857、2123、1869、863。不難看出，2017年之后我國查處的侵犯公民個人信息罪案件有了明顯的提升。這與2017年6月起施行最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》有關(guān)。隨著我國新近實施《數(shù)據(jù)安全法》《個人信息保護法》，懲治數(shù)據(jù)犯罪將迎來新一波的高潮，步入嚴懲嚴防的高位運行階段。再次，它們可以用于澄清數(shù)據(jù)業(yè)務(wù)中的錯誤認識。例如，數(shù)據(jù)業(yè)界有部分人對于使用爬蟲技術(shù)突破反爬措施獲取數(shù)據(jù)的行為，存在著簡單地認為有罪或無罪的對立觀念。通過分析全國法院關(guān)于數(shù)據(jù)犯罪的刑事判決書，不難發(fā)現(xiàn)爬蟲技術(shù)本身并不違法，但一旦爬蟲的手段、方式超出法律允許的限度，則有可能會被認定為“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”或者可能涉及的其他罪名。

　　針對不同數(shù)據(jù)產(chǎn)品、業(yè)務(wù)形態(tài)進行法律紅線的全面梳理，是一項容易起效的基礎(chǔ)工作。筆者在參與企業(yè)的數(shù)據(jù)刑事合規(guī)咨詢活動中發(fā)現(xiàn)，數(shù)據(jù)經(jīng)營主體梳理數(shù)據(jù)業(yè)務(wù)的法律紅線能夠調(diào)動各個組成部門的興趣，也會匯集相關(guān)人員的共同智慧。通常，數(shù)據(jù)經(jīng)營主體可以按照數(shù)據(jù)生命周期涉及的主要環(huán)節(jié)，針對可能涉及罪名群中的主要罪名，并結(jié)合典型案例或代表性案例進行逐一研判，找出可能蘊含的普通及重大刑事風險點。在此基礎(chǔ)上，再擬定數(shù)據(jù)刑事合規(guī)計劃開展相關(guān)工作。

　　（二）警惕數(shù)據(jù)處理的法律黃線（區(qū)）

　　我國主要的數(shù)據(jù)犯罪屬于法定犯的范疇。“法定犯是對應(yīng)于自然犯的一種犯罪形態(tài)，它具有行政違法性和刑事違法性的雙重屬性。”許多數(shù)據(jù)犯罪先違反行政法，再違反刑事法律。例如，侵犯公民個人信息罪的構(gòu)成要件之一是“違反國家有關(guān)規(guī)定”，“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”“非法侵入計算機信息系統(tǒng)罪”等的構(gòu)成要件之一是“違反國家規(guī)定”，也就是說違反國家有關(guān)規(guī)定或國家規(guī)定的，就可能需要承擔刑事責任。在這里，“違反國家有關(guān)規(guī)定”與“違反國家規(guī)定”均僅指國家層面的規(guī)定，不包括地方性法規(guī)層面的規(guī)定；它們之間也有一些差異，“違反國家有關(guān)規(guī)定”指代對部門規(guī)章的違反，“違反國家規(guī)定”則不涉及對部門規(guī)章的違反。特別是“非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪”“非法侵入計算機信息系統(tǒng)罪”兩個罪名中直接使用了“非法”一詞進行表述。這種“非法”要素為認定具體數(shù)據(jù)犯罪提供了法律根據(jù)。這里呈現(xiàn)出了雙重的違法結(jié)構(gòu)，該結(jié)構(gòu)“是由行政不法與刑事不法的重合性而產(chǎn)生的”。又如，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的構(gòu)成要件之一是網(wǎng)絡(luò)服務(wù)提供者“不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)”，這里雖未明示是對國家規(guī)定的違反，但其實質(zhì)指向?qū)Ψ伞⑿姓ㄒ?guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)條文的違反。可見，國家法律、行政法規(guī)規(guī)定中對數(shù)據(jù)處理行政責任設(shè)定的條文，構(gòu)成數(shù)據(jù)處理的散狀黃線。

　　我國當前設(shè)定數(shù)據(jù)處理行為之行政責任的法律條文很多。從影響力來看，有關(guān)的法律淵源既包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》三大“基本法”，也包括《反恐怖主義法》等其他法律中的專門條款，還包括《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》等行政法律、法規(guī)中的專門條款。基于此，數(shù)據(jù)經(jīng)營主體厘清數(shù)據(jù)處理的黃線，就呈現(xiàn)為專業(yè)而復(fù)雜的“找法”過程。其“找法”的技巧是雙向連接。其一是挖掘這些法律條文設(shè)定的具體行政責任，這主要是從有關(guān)規(guī)范的“法律責任”專章或部分中整理；其二是對接《刑法》或其司法解釋中的相關(guān)罪名條款。這兩個方向能夠有效連接、構(gòu)成閉環(huán)，則升級為數(shù)據(jù)處理的黃區(qū)；反之則仍為稀松的法律黃線。以新施行的《數(shù)據(jù)安全法》為例，其第6章第44—52條規(guī)定了法律責任（主要是行政責任）的內(nèi)容，這是“找法”的主要范圍。有的條款如第45條第2款明確表述“構(gòu)成犯罪的，依法追究刑事責任”，可以與《刑法》或有關(guān)司法解釋的相關(guān)罪名進行明示對接；有的條款如第46條雖未進行追究刑事責任的明確表述，但其表述“依法給予處分”指向的行為同《刑法》或其司法解釋的相關(guān)罪名能夠?qū)?yīng)，構(gòu)成默示對接；還有的條款如第52條第2款規(guī)定“違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責任”，構(gòu)成概括對接。除此之外的許多行政責任條款同刑事責任沒有關(guān)系。前述三種情形的法律條文均為《數(shù)據(jù)安全法》設(shè)定的數(shù)據(jù)刑事合規(guī)“黃線”，可以匯總相接而形成《數(shù)據(jù)安全法》設(shè)定的數(shù)據(jù)刑事合規(guī)“黃區(qū)”（參見表2，“黃區(qū)”為虛線繪制部分）。

　　數(shù)據(jù)處理“黃線”是一個相對概念，是同“紅線”相比較而產(chǎn)生的。此兩“線”存在密切聯(lián)系，觸碰數(shù)據(jù)處理“黃線”的也可能進一步觸碰數(shù)據(jù)處理“紅線”。但它們之間有著實質(zhì)性的區(qū)別，主要體現(xiàn)為質(zhì)量特征與數(shù)量特征的差異。在質(zhì)量特征方面，數(shù)據(jù)處理“黃線”往往是模糊的，而數(shù)據(jù)處理“紅線”是相對確定的。在數(shù)量特征方面，數(shù)據(jù)處理“黃線”明顯要多于數(shù)據(jù)處理“紅線”。通俗地說，我國數(shù)據(jù)處理活動存在著廣袤的模糊地帶，尤以帶有模糊性的“黃線”居多。人們需要立足于不同類型數(shù)據(jù)公司及其不同數(shù)據(jù)處理行為，參照相對性定律，力求精準地把握數(shù)據(jù)處理之具體兩“線”。

表2 《數(shù)據(jù)安全法》設(shè)定的數(shù)據(jù)刑事合規(guī)“黃線（區(qū)）”

　　（三）暢行于數(shù)據(jù)處理的法律綠區(qū)

　　1961年，時任哈佛商學院院長羅伯特指出，純粹的負面商業(yè)道德準則等于許多戒律的集合，將會引發(fā)“企業(yè)管理者的心智不健全”“公眾眼中出現(xiàn)狐疑”“規(guī)則層面的漏洞或過猶不及”等問題。1995年，美國另有兩位學者指出，公司行為準則要達到最大效果，除應(yīng)當描述“不可接受的行為”外，更應(yīng)當描述“可取的行為”。這是將抽象的合規(guī)要求轉(zhuǎn)化為“允許干什么”的詳細規(guī)定，相比僅規(guī)定“不可接受的行為”的方式更具有操作性。于數(shù)據(jù)刑事合規(guī)而言，“可取的行為”“允許干什么”就是數(shù)據(jù)處理的綠線，即合法的數(shù)據(jù)處理行為。

　　綠線的出現(xiàn)是由法秩序統(tǒng)一性原理決定的。不同法律之間具有系統(tǒng)性的、目的性的聯(lián)系。我國有學者指出，“法秩序統(tǒng)一性原理要求在處理刑民交叉、行刑交叉案件時關(guān)注前置法，不能將前置法上的合法行為認定為犯罪。”另有學者進一步解釋道，“一行為在某個部門法中被規(guī)定為違法，則不可能在另外一個部門法中被規(guī)定為合法，否則必然造成各部門法之間的矛盾。例如，民法中的合法行為，不可能在刑法中被認定為犯罪；反之亦然。”此理給數(shù)據(jù)刑事合規(guī)設(shè)置了第一批綠線：凡是由《民法典》等民事法律規(guī)定為合法的數(shù)據(jù)行為，在《刑法》中不能被認定為違法行為，故而，就不存在被刑事定罪的可能性或正當性。例如，《民法典》第1036條規(guī)定：“處理個人信息，有下列情形之一的，行為人不承擔民事責任：（一）在該自然人或者其監(jiān)護人同意的范圍內(nèi)合理實施的行為；（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；（三）為維護公共利益或者該自然人合法權(quán)益，合理實施的其他行為。”這就給出了數(shù)據(jù)領(lǐng)域“不承擔民事責任→不構(gòu)成犯罪”的法律模型。有專家指出，“辦理侵犯公民個人信息刑事案件，特別是對相關(guān)獲取、提供公民個人信息行為定性時，要對標《民法典》的相關(guān)規(guī)定，堅決防止將符合《民法典》規(guī)定的行為認定為‘違反國家有關(guān)規(guī)定’，甚至按照犯罪處理。”與之相對，構(gòu)成民事侵權(quán)的數(shù)據(jù)行為并不意味著伴隨著刑事責任的承擔，尚需進行“是否具有嚴重社會危害性”的前提性判斷。數(shù)據(jù)領(lǐng)域“承擔民事責任→構(gòu)成犯罪”的法律模型是不成立的。

　　不僅如此，凡是由《個人信息保護法》等行政法律、綜合性法律規(guī)定為合法的數(shù)據(jù)行為，也不能被認定為犯罪行為，或者說應(yīng)該予以出罪。例如，《個人信息保護法》第13條規(guī)定，對于“為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需”“為履行法定職責或者法定義務(wù)所必需”“為應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”“為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”“依照本法規(guī)定在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息”以及法律、行政法規(guī)規(guī)定的其他情形，個人信息處理者可以“不需取得個人同意”即處理個人信息。一旦出現(xiàn)前述各種情形，理當納入數(shù)據(jù)處理的綠線來處理。這給數(shù)據(jù)刑事合規(guī)設(shè)置了第二批綠線。

　　綜上可見，法秩序統(tǒng)一性原理要求在判斷數(shù)據(jù)行為性質(zhì)時，由刑法條文得出的規(guī)范秩序同由民法、行政法條文得出的規(guī)范秩序不能相矛盾。當數(shù)據(jù)行為不能作民事違法、行政違法評價的，或者該行為被民法、行政法所容忍的，人們應(yīng)當否定其被作為犯罪打擊的正當性或可能性。

　　理解此中法秩序的“法”之范圍，還可以選擇軟法與實踐法等多重視角。數(shù)據(jù)行為是否構(gòu)罪，以此為據(jù)存在三種特殊情形：一是依據(jù)行業(yè)規(guī)范特別是技術(shù)標準評價是否容許的問題。筆者調(diào)研過一起侵犯公民個人信息罪案件，涉案事實主要是行為人通過發(fā)放的家用路由器獲取用戶使用電腦的數(shù)據(jù)，其是否構(gòu)成犯罪的一個思路是對照該領(lǐng)域內(nèi)的國家標準。有關(guān)標準明確“路由器應(yīng)具有審計功能”，生成的記錄包括“事件發(fā)生的日期和時間”“事件的類型”“事件的結(jié)果”等信息的審計數(shù)據(jù)。這給梳理該案中哪些獲取數(shù)據(jù)的行為合法提供了技術(shù)標準方面的一把標尺。二是依據(jù)疑難案例的裁判文書中被作為無責處理參照的問題。這些新型案件涌現(xiàn)的越來越多，值得關(guān)注。它們確立了“不承擔民事責任、行政責任”的“實在”法則。例如，關(guān)于搜索引擎能否使用cookie技術(shù)獲取數(shù)據(jù)的“朱×與百度網(wǎng)訊公司隱私權(quán)糾紛案”的終審判決產(chǎn)生了既判力，為cookie技術(shù)獲取數(shù)據(jù)建立了綠線。這雖是一份地方性判決而不具有對其他法院作出相關(guān)判決的拘束力，但可援引用于刑事訴訟中爭取無罪、罪輕之處理的刑辯策略。三是刑事實踐中的出罪機制適用于數(shù)據(jù)犯罪的問題。我國《刑法》對于不具備實質(zhì)當罰性或不具有非難可能性的行為，允許不作為犯罪處理。例如，該法第13條做出了“但書規(guī)定”，即“情節(jié)顯著輕微危害不大的，不認為是犯罪”。此種情形在實踐中得到廣泛適用，同樣適用于數(shù)據(jù)犯罪、可用作數(shù)據(jù)處理的綠線。又如，在涉及具有“行政附屬性”的刑法條文時，行政許可是一種常見的出罪事由。對于數(shù)據(jù)犯罪而言，若數(shù)據(jù)經(jīng)營主體獲得過政府有權(quán)機關(guān)的行政許可，則其數(shù)據(jù)行為可能不滿足刑法條文的可罰性條件，即便構(gòu)成犯罪其刑事責任也會減輕。

　　前述各種情形都會對數(shù)據(jù)行為的定罪活動產(chǎn)生一定程度的制約。它們要么降低了涉案行為的社會危害性，要么降低了其刑事違法性，最終使得數(shù)據(jù)行為脫罪獲得了正當性與合法性。它們構(gòu)成一系列的數(shù)據(jù)刑事合規(guī)綠線，合起來構(gòu)成密織的數(shù)據(jù)刑事合規(guī)綠區(qū)。這是數(shù)據(jù)刑事合規(guī)工作中的另類底線思維。

走向可持續(xù)的未來：代結(jié)語

　　需要強調(diào)的是，數(shù)據(jù)刑事合規(guī)方略的確定不是一勞永逸的，數(shù)據(jù)刑事合規(guī)計劃的審視、更新和執(zhí)行也是持續(xù)性的。美國研究者指出，數(shù)據(jù)刑事合規(guī)方略、計劃“就像任何桌面電腦一樣”，“若得不到認真維護，將很快變得過時，導(dǎo)致公司面臨法律風險。”定期更新數(shù)據(jù)刑事合規(guī)方略，是為了適應(yīng)市場條件、公司戰(zhàn)略、資本結(jié)構(gòu)或海外擴張等變化的需要；以此為基準不定期更新數(shù)據(jù)刑事合規(guī)計劃，主要是適應(yīng)法律新發(fā)展、公司新業(yè)務(wù)的需要。總之，數(shù)據(jù)刑事合規(guī)要以動態(tài)平衡的方式力促數(shù)據(jù)善治。

　　因篇幅較長，已略去原文注釋。

本文內(nèi)容來自《法學家》，本文章僅限學習交流使用，版權(quán)歸原作者所有。

—— EDN ——

Serving national strategies, focusing on university research and the transformation of scientific and technological achievements