王利宾

（河南警察学院，河南 郑州 450046）

与过去不同，当今社会已经进入大数据时代。数字经济带来的一个重大变化就是要求我们必须直面数据的价值，通过思维转变和制度建构来迎接时代赋予的任务。但非常现实的问题是，与时代要求相比，我们的思维还存在定式，还停留在对传统调控方式的留恋上，没有找到应对新问题的最佳途径，这极大地阻碍了我们对新问题的认知，也影响到我们的行为选择和未来的制度建构。所以，有必要对数据的法律治理问题进行综合审视，以发现问题所在，并积极探索优化路径。从当下情况看，最紧迫、最需要解决的问题仍然是从事数据深度加工、利用并形成一定垄断地位的企业的行为控制问题。这些企业对数据的垄断性支配往往不仅违背民事法律、行政法律，还会构成刑事犯罪。这些企业的数据违规属于企业刑事合规治理的范畴，但又有别于一般企业的一般刑事违规，所以，特别有必要针对这些企业的数据刑事合规进行专门研究，以发现企业数据违法犯罪的症结，并找到有效的犯罪防控措施。

一、数据刑事合规制度建构的意义

一般认为，“所谓刑事合规，是指为避免因企业或企业员工相关行为给企业带来的刑事责任，国家通过刑事政策上的正向激励和责任归咎，推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险，制订并实施遵守刑事法律的计划和措施。”［1］刑事合规制度建构的必要性在于企业的合规风险巨大，且无法像经营风险和财务风险那样靠市场活动和提高会计技术规范就可轻易解决。“合规风险既不同于经营风险，也不同于财务风险，是指企业因为在经营中存在违法违规乃至犯罪行为，而遭受行政监管部门处罚和司法机关刑事追究的风险。”［2］由于企业的经营范围广泛、多样，涉及的行政法、经济法等法律非常庞杂且多变，所以，企业的合规风险也会越来越大。加之，企业因合规问题导致的犯罪多是行政犯，其往往是在行政违法的基础上进行了“量”和程度上的积累，所以，我们也可以将企业的行政合规风险合并在刑事合规中进行一体化研究。

企业刑事合规制度建构的必要性在于企业存在着合规风险。而企业进行数据刑事合规制度建构的意义在于数据保护的价值日现，数据滥用的危害巨大，其对个体、社会、乃至国家利益都构成了严重威胁。

（一）数据法益的丰富内容影响到企业刑事合规评价

2019年10月31日，党的十九届中央委员会第四次全体会议通过全会决定，首次将数据列为与土地、劳动力、资本、技术等并列的生产要素。2020年3月30日，中共中央、国务院通过了《关于构建更加完善的要素市场化配置体制机制的意见》，提出要“加快培育数据要素市场”。可以看出，国家已经非常明确地肯定了数据的重要价值。而之所以要将数据刑事合规纳入企业管理的重要内容，很大程度上就是因为数据法益价值重大，其丰富的法益内容直接影响到企业刑事合规评价。

首先，数据法益无论是其覆盖的主体还是其内容，都与过去明显不同。第一，从法益主体上看，数据违法犯罪侵害的已不仅是单个的自然人或单位。企业的不当数据开发利用不仅会造成社会群体的生物特征、社会特征外泄，侵害社会利益，更可能会危害国家对数据的管理秩序，侵害国家利益。第二，从法益内容上看，数据已经不再仅仅涉及人身权、财产权，其涵盖的范围日益广阔。有学者就指出，“数字经济时代网络服务商进行网络犯罪的侵害法益发生变化，变更为数据财产法益、数据安全法益和网络空间交易秩序法益，且法益内涵因为数字经济的特征而发生变动。”［3］

其次，数据法益保护受到了各个部门法的高度重视。在民法上，“如何让客观存在的新兴数据财产转化为法律上认可的具体权利，已经成为新时代民法学亟待解决的基础性问题。”［4］在行政法上，市场管理部门和工信部门也都认识到，必须将具备市场优势的信息企业的行为纳入反垄断、反不正当竞争等市场管理活动中。在刑法上，大家也一致认同，“数据通过法益理论的判断规则的审查，可以成为新兴法益，具有刑法保护的正当性。”［5］

再次，企业数据刑事合规已经成了企业刑事合规的重要组成部分。第一，信息社会催生了企业经营管理的信息化。企业的日常经营管理活动往往以数据为载体和依托。其经营管理活动是否合法，在很大程度上表现为数据行为是否合法。第二，掌握有数据优势的行业更易于通过其违法的数据行为来谋取利益，对从事这些行业的企业而言，数据行为是否合规已经成了审查其刑事合规的必要内容。第三，强化数据刑事合规制度建构的必要性还在于，国际社会对数据法益的认知和合规制度建设已经相对成熟，而我国在这两个方面都相对滞后，这也要求我们必须正视现实，以更快的速度推进此项工作，以利于我国数据立法的发展和国际数据交往合作。

（二）企业的数据滥用危害巨大，需要强化企业积极防控的意识

从现实情况看，掌握技术优势和市场优势的企业往往会利用自己的优势地位从事数据滥用行为。这些数据滥用的危害表现为：其一，大数据报告显示，网络诈骗高发的罪魁祸首是互联网上的个人信息泄漏。数据外泄侵犯公民的个人隐私，助长网络电信诈骗的发生，严重危害公民的人身权利和财产权利。其二，数据垄断会排斥竞争者，破坏数据市场的管理秩序。2021年4月10日，国家市场监管总局依据反垄断法对阿里巴巴在中国境内网络零售平台服务市场滥用市场支配地位行为立案调查，并依法作出行政处罚决定，责令阿里停止违法行为，并处罚金182.28亿。阿里巴巴的问题就在于，自2015年以来，其集团滥用该市场支配地位，对平台内商家提出“二选一”要求，禁止平台内商家在其他竞争性平台开店或参加促销活动，并借助市场力量、平台规则和数据、算法等技术手段，采取多种奖惩措施保障“二选一”要求执行，维持、增强自身市场力量，获取不正当竞争优势。其三，数据滥用和数据垄断不仅是经济现象，更是政治问题。数据违法使用和数据垄断不但造成国家财产受损，还会对国家安全和政局稳定构成严重威胁。所以，必须在数据刑事合规上真正有所作用，以有效防控违法犯罪行为的发生。

首先，在企业数据违法犯罪防控上，公权力存在短板，这种不足要求必须强化企业的社会责任，在外部行为内部化方面积极作为。公权力在违法犯罪防控问题上的不足在于：其一，公权力总是以法律法规的存在为前提，在当前数据法律法规体系尚未完全成型的情况下，无论是行政权还是司法权都很难全面有效地介入。其二，公权力总是针对已发的案件进行行政处罚或刑事追究，这就决定了其在消解违法犯罪发生的根源方面存在短板。在此方面，企业比执法机关和司法机关更能感同身受，其在违法犯罪防控上的制度建构也更具针对性和说服力。

其次，比较而言，企业进行数据刑事合规制度建构的动力更大，其主动意识更强。其一，企业一旦违法犯罪，轻则影响其正常经营，重则导致破产倒闭，责任人深陷囹圄。所以，即便从自利性出发，企业对刑事合规制度建设也并不排斥。其二，从司法实践看，刑事合规制度可以有效减轻企业的刑事责任乃至实现行为的非罪化，这对企业而言也是一项非常有效的行为激励。所以，相较于其他主体，企业更希望在刑事合规制度建设上有所努力，这种情况企业提高了数据刑事合规制度建设的效率。

（三）数据刑事合规制度建构的价值

首先，建构数据刑事合规制度有助于维护个体的正当权益。在大数据时代，公民的人身权、财产权保护面临着巨大挑战。这种挑战源于公民信息日益数据化。而且，与过去时代不同，科技发展使越来越多的数据企业具有了优势地位，它们能够以很低的成本获取公民的生物特征信息和社会特征信息，并在公民毫不知情的情况下从事营利性活动。很显然，在当下数据法律法规体系缺乏的情况下，企业的这种行为会不断侵犯公民的权益，造成难以挽回的损失。为避免此种情况发生，在企业内部建构数据刑事合规制度就显得非常必要和紧迫。这种制度建构的一个出发点就是在个人权益和商业经营间实现行为均衡，不至于因为缺乏制度约束而不当地压制个体性权益。

其次，企业建构数据刑事合规制度既源于其对自身风险的规避意识，也来自国家赋予的社会责任。第一，由于缺乏数据刑事合规制度会引致企业的制度性风险，所以，单纯从自利的角度出发，企业就有足够的动力来进行制度建构。毕竟，企业刑事合规制度建设成本相对低廉，但却能在很大程度上规避经营失败、破产倒闭等严重后果。所以，没有企业会对刑事合规制度建设无动于衷。第二，任何国家的企业都应有奉献社会的责任，我国的企业更应如此。这种社会责任既表现为企业要生产、提供合格的商品和服务，也表现为企业应当采取一切必要的措施来增加社会的整体福利。企业建构数据刑事合规制度既能使自己规避风险，从而减少违法犯罪的发生，也能减少国家在违法犯罪防控上的开支，这无论对国家还是对社会，都是一种非常有益的尝试。

再次，数据刑事合规对国家利益维护和国际合作同样意义重大。第一，随着大数据时代的来临，国家要对物质社会和虚拟社会进行双重管理。管理范围的扩大和管理职能的转变要求国家在治理体系和治理能力现代化上必须有所作为。国家在大数据时代的治理必须适应时代之变，直面伟大实践，回应民众所需。一方面，国家必须有意识地进行数据法治的建构；另一方面，受制于行政资源的稀缺性，国家也必须在强化其他社会主体的责任意识尤其是在强化企业行为自治上有所努力。第二，由于数据已经跨越国境，如何在跨国数据利用和数据主权间保持均衡是一项非常现实的问题。要完成此项任务，我国的企业就必须要通晓国际数据法律制度，并在行为的自我约束上检视反思。

二、我国数据刑事合规面临的问题

（一）域外国家数据规则的跨国扩张适用

“各国数据治理理念千差万别，但晚近以来呈现共同趋势——立法规则域外适用扩张现象明显。美国、欧盟通过输出数据治理理念抢占全球规则制定话语权，加强对数据主体权利保护，建立统一保护水平的数据流通市场来促进本国数字产业发展。”［6］在数据立法方面，美国和欧盟走在了前列。如早在2003年，美国就颁布了《网络空间国家安全战略》，开始强调数据流动监管；2018年，美国又发布了《澄清域外合法使用数据法案》（Clarifying Lawful Overseas Use of Data Act，简称CLOUD法案），赋予政府执法权，用于调取本国企业在境外存储的数据信息。时至今日，美国已经形成较为完善的数据治理体系。在欧盟，1995年，欧洲委员会发布了数据保护的指令性规则《数据保护指令》（Data Protection Directive，以下简称DPD95）。DPD95在当时欧洲没有统一数据保护法律的情况下，以最低保护限度为要求，基本在欧洲范围内建立了数据权利统一保护市场。2016年4月27日，欧盟理事会和欧洲委员会又通过了 《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR或《条例》），该条例已于2018年5月25日生效。美国和欧盟数据立法的基本特征是抢夺世界数据立法的制高点，垄断数据规则制定，实现数据规则的跨国扩张适用。在这种数据话语体系下，我们无论是从国家层面还是从企业层面都要加大对其数据规则的全面研究，并对其不当的规制扩张保持足够警惕，通过数据刑事合规制度建构等措施予以积极回应。

（二）国内数据法律规制体系缺失

与美国、欧盟不同，我国的数据法律法规体系尚未有效建立。虽然早在2016年我国就出台了公法性质的着重对国家网络安全进行保护的《网络安全法》，但一来它的配套法规仍不健全，网络安全行政执法存在“九龙治水”的局面，进一步增加了企业的刑事风险。二来《网络安全法》规制的主要是网络行为，作用范围有限，其无法完成应由专门的数据法律法规承担的任务。三来数据法律法规体系应当是包含公法、私法在内的系统性制度。这就需要既出台《数据安全法》，也要制定《个人信息保护法》，还要出台各种相关的低位阶的法规和实施办法，这些都是需要努力的方向。总之，在数据法律法规尚未体系化的情况下，由于缺乏国家层面的制度指引，企业的数据刑事合规之路注定并不平坦。

（三）相关主体进行制度建构的意识不强

首先是，公民的数据保护意识不够。由于数据利用、保护在我国尚属新鲜事物，加之缺乏明确的法律法规的指引，公民普遍对数据安全、数据保护缺乏意识。虽然公民慢慢认可了数据的人身权、财产权属性，但由于个人维权成本过高，故，一般的民众无法像专业人士那样通过提起诉讼的方式来争取自己的权利。保护意识的缺乏和保护能力的欠缺使企业没有足够的压力来进行刑事合规制度建构。

其次是，企业进行数据刑事合规制度建构的主动性有待增强。第一，有相当的学者认为刑事合规制度对定罪量刑的影响被人为夸大了，这种否定刑事合规的意义的观点影响到了企业的制度配置。如，有学者就认为，“刑事合规对定罪量刑都会产生一定影响，但这种影响既非决定性的，也没有超出现有的教义学框架，不宜过分夸大刑事合规的制度价值。相反，鉴于我国的法律体系和制度背景，企业行政合规的倡导是一个更为妥当的解决方案。”［7］但事实是，“尽管合规本身在其他法域之中，存在着种种批评和质疑，但正如我们不能退回过去一样，既有制度、原则和理论的内在弊端和空白，导致了合规的产生；我国亦然。”［8］第二，国外数据刑事合规制度如何引入我国并进行本土化是一个非常富有挑战性的课题。在我国相关法律法规严重缺乏的情况下，企业没有足够的信心和动力来进行内部制度的调整。第三，即便企业因数据滥用造成处罚，也无法提振其进行数据刑事合规制度建构的信心。近些年来，企业因数据滥用而遭受主管部门处罚的情况比比皆是。如“2019年12月31日，针对安徽凤阳农商银行作出一项25万元的罚款，理由是未能有效开展数据治理工作，数据治理存在严重缺陷。2020年5月9日，中国银保监会披露一批罚单，包括6家国有大行，2家股份制银行在内的8家银行被罚了1 770万元。被罚原因是，监管标准化数据（EAST）系统数据质量及数据报送存在违法违规行为，比如理财产品数量漏报、资金交易信息漏报严重等。这是中国银保监会首次就监管标准化数据报送等问题向银行业开出罚单。”［9］即便如此，也无法杜绝企业的机会主义行为。导致这种情况的一个重要原因即在于不同的数据企业其制度建构的成本存在差异，而且成本收益也无法形成一个明确的比例关系。

再次是，国家对数据刑事合规制度的价值要进行充分评估。国家不但要认识到数据法律体系建设对个体安全、社会安全、国家安全保护的必要性、重要性，更要认识到企业进行数据刑事合规制度建设的紧迫性。事实上，数据时代的来临已经对政府行为产生倒逼，只有尽快融入数据时代，主动立法、超前立法，才能使国家的数据管理活动走上正常的轨道。

三、数据刑事合规制度建构

（一）完善立法

企业数据刑事合规制度建构的前提是必须有国家层面的数据法律法规体系的指引，所以，要建构数据刑事合规制度就必须首先要实现数据法的体系化、成熟化。当前，政府虽然看到了数据安全的重要性，并将数据的规范治理提上了日程，但面临紧迫的治理形势，政府仍有较大的作为空间。首先，政府应有强烈的数据法治意识。政府应深刻认识到数据行为事关国家安全、社会安全和个体安全，企业的数据滥用具有很强的负外部性，这些负外部性的内部化需要各个治理主体通过各种方式共同参与，但共同治理的前提仍然是数据行为的法治化。其次，虽然调整数据行为的各项法规制度不断出台，如，在数据保护元年的2018年，5月1日，出台了《信息安全技术个人信息安全规范》GB/T35273-2017国家标准；5月21日，中国银保监会发布《银行业金融机构数据治理指引》（银保监发〔2018〕22号）；6月7日，公安部会同有关部门起草了《网络安全等级保护条例（征求意见稿）》，向社会公开征求意见；8月31日，全国人大常委会通过《电子商务法》，就电商领域精准营销作出专门规定；11月，公安部公布《公安机关互联网安全监督检查规定》《互联网个人信息安全保护指引（征求意见稿）》①2019年4月10日，公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所正式发布了《互联网个人信息安全保护指南》。这份指南是在2018年11月30日公安部网络安全保护局发布的《互联网个人信息安全保护指引（征求意见稿）》基础上，听取和采纳社会各方意见后修改而成。，完善网安法对个人信息的保护；12月26日，国家网信办发布《金融信息服务管理规定》，加强金融信息服务内容管理，提高金融信息服务质量。但这些法规制度一来级别较低，二来彼此之间尚未有效协调、贯通，所以，国家应该尽快确立数据治理的政策体系、法律体系、执行体系，使各个社会主体的数据行为有章可循，有法可依。这其中非常重要的是，第一，要尽快出台《数据安全法》《个人信息保护法》，并明确它们与《国家安全法》《网络安全法》的关系。第二，要在宪法、民商法、经济法、行政法、刑法中嵌套有关数据行为规制的条款，力求实现数据的全法域调整。再次，国家有必要直面数据跨国转移的大趋势，将数据主权放在重要位置，提早参与数据国际立法和司法协作，阻断大国数据规则的不当扩张以保障国家利益和国家数据安全。

需要明确指出的是，企业数据刑事合规立法是一项系统性工程，其不仅要体现在《数据安全法》《个人信息保护法》《网络安全法》等数据专门法中，还要体现在专门规范企业设立和运营的《公司法》中，更要体现在其他与企业行为相关的法律法规中。这就意味着指引企业数据刑事合规制度建构的立法必将是一项非常浩繁且庞大的工作。

（二）企业内部数据刑事合规制度建设

“我国大数据公司将面临着越来越严重的行政监管风险和刑事风险。为避免重蹈一些互联网金融行业被近乎全行业取缔的命运，我国大数据公司应当在配合监管调查和积极进行自我披露的基础上，在大数据运营方式和个人信息保护方面开展合规体系的建设。唯有如此，大数据企业才有可能转变商业运营模式，堵塞制度漏洞，发现并严惩违法违规责任人，从而在承担社会责任的基础上，实现企业的可持续发展。”［10］笔者认为，首先，企业要构建独立的、专门的数据刑事合规制度。数据行为只是企业行为的一种，而且数据行为又明显区别于一般的经营行为，其专业性非常明显，所以，有必要构建专门的数据刑事合规制度以应对风险调整。其次，企业有必要构建全方位的数据刑事合规制度。企业可以参酌2018年12月26日国家发改委等七部门印发的《企业境外经营合规管理指引》、2018年11月2日国资委印发的《中央企业合规管理指引（试行）》以及相关的数据管理法律法规进行数据刑事合规方面的制度建构。这其中，特别重要的措施如下：“一是构建成熟的数据合规组织体系，二是建立完备的数据合规防范体系，三是形成健全的数据风险应对体系，四是积极运用智能化方式推进数据合规建设。”［11］再次，企业的刑事合规制度必须对数据采集、处理、使用、流通、定价的各个环节和动态过程进行全程覆盖。如，在数据采集环节，必须就采集内容和采集用途等对数据所有人明确告知；在处理数据环节，要注意数据分级和分类处理，尽可能剔除个体独有的生物信息和社会信息；在数据使用环节，要坚持合理使用原则，避免不当滥用，避免数据流向电信诈骗等非法领域；在数据流通环节，要注意数据资产确权问题和数据泄露溯源问题。最后，企业要坚持刑事合规制度的公示和备案。这样做的意义在于：一方面，强化企业的社会责任意识，提高自我约束能力；另一方面，在法律风险来临时能够将其作为认真履职的具有说服力的证据。

企业进行数据刑事合规制度建构时一定要具有国际视野，要注意从“中兴通讯事件”中汲取深刻教训。“2018年4月16日，美国商务部发布公告，7年内禁止美国企业与中兴通讯展开任何业务往来。后历经近两个月的紧张谈判，最终于6月7日，中兴与美国商务部工业安全局（BIS）达成和解协议。协议内容为，中兴通讯向美国政府支付10亿美元罚款，另行支付4亿美元的代管资金，如果再次违规，则予以没收；必须在30天之内更换董事会，施行最为严格的合规管理制度。”［12］“中兴通讯事件”给我们的启示是，一定要对业务往来国的业务性法律法规了然于胸，严格按照相关国家的法律制度进行业务内控和商业交往。这些要求对数据刑事合规具有更大的现实意义，因为，未来的时代必将是数据的时代，数据的跨国传输必然会涉及不同法律制度的竞合适用，如果企业不能按照国际性的数据规则规范自己的行为，必将面临巨大的商业风险，极大地制约其经营能力。

（三）明确企业数据刑事合规制度的刑事法价值

1.重视刑法立法完善。“中国的企业家不是在监狱，就是在通往监狱的路上。”这一论述虽有调侃之意，但也反映了企业家尤其是民营企业家入罪率过高的现实情况。要降低企业家犯罪发生的概率，一方面要进行刑法立法层面的改革，从罪名上进行整体性的限缩。另一方面，要积极探索企业刑事合规的刑事法意义，将企业进行数据刑事合规制度建构的价值体现在刑事法规定上。也就是说，刑事法要将企业是否制定、是否履行数据刑事合规制度作为影响定罪量刑的重要情节加以规定。首先，从长远来看，有必要在适当时机将企业刑事合规规定在刑法中。具体而言，可以考虑将企业刑事合规情况规定在《刑法总则》第2章第4节第31条关于单位犯罪的处罚原则中，该条可以修改为：“单位犯罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员判处刑罚。单位和责任人员履行了刑事合规责任的，可以从轻、减轻、免除处罚。本法分则和其他法律另有规定的，依照规定。”其次，立足于现实情况，短期内可以考虑将企业刑事合规制度引入司法解释，通过对刑法分则中具体罪名进行解释的方式来阐明企业刑事合规的实践价值。特别是，当前涉数据网络犯罪多发，司法机关要总结此类犯罪的经验教训，一方面引导相关的数据企业强化内部的数据刑事合规制度建设；另一方面，将涉数据网络犯罪的防治经验固定在司法解释中，以强化对类似犯罪的打击。

2.对企业数据刑事合规的法律价值进行全面评价。首先，既要评价数据刑事合规制度建构对企业法律责任的积极影响，也要重视数据刑事合规制度建构对企业主管人员和直接责任人员法律评价的正向价值。其次，既要看到企业数据刑事合规制度建构的刑法价值，重视其对非罪化、免刑罚化处置的意义，也要看到其对企业和相关人员的行政责任、民事责任减免的正向激励。

3.要以行政犯为主线贯穿企业数据刑事合规制度的整体建构。首先，数据犯罪基本上都是行政犯，这种犯罪在违法上具有双重性，只有在违背数据行政法的基础上才能构成犯罪。事实上，无论是国家层面的数据立法、企业层面的内控制度建设，还是刑事法对企业内控制度的确认，基本上也都是围绕数据行政立法展开。这就要求我们必须高度重视数据行政立法的科学性、准确性、针对性、及时性。因为，只有在数据行政立法得到科学、系统、全面建构的基础上，才能形成完善的企业数据刑事合规制度和相关的刑事确认制度。其次，企业要按照数据行政立法的规定进行刑事合规的制度建设。这样，一方面，增加了企业内控制度的合法性、科学性，减少了行政违法、民事违法的风险；另一方面，也限缩了犯罪化的范围，使大多数具备内控制度的企业不至于滑向犯罪的深渊。再次，刑法在设计涉数据犯罪的犯罪构成时也要有意识地明确规定相关主体的监督管理义务，以便更好地将行政立法、内控制度、刑事责任协调起来。2019年11月1日施行的最高人民法院、最高人民检察院《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》的价值就在于：其明确规定了拒不履行信息网络安全管理义务的行为方式，为企业数据内控制度完善和刑事责任认定提供了制度性指引，这既凸显了数据企业进行内控制度建设的重要性，也为犯罪认定和罪犯的刑事责任承担提供了明确的评价标准。