敬力嘉：单位犯罪刑事归责中数据合规师的作为义务

摘要：确定是否、如何在刑事实体法中引入合规计划的前提，是厘清具体单位犯罪刑事归责中合规师的刑事责任。我国单位犯罪的刑事责任类型应为独立的“决策机制责任”，合规计划的功能在于廓清单位决策机制的运作过程，判断个人意志是否上升为单位意志，个人行为是否上升为单位行为。若答案为肯定，则需进一步判断单位犯罪行为的不法与责任。以此为理论基础，企业数据合规师以其容许行为不作为参与了企业所实施的具体信息网络犯罪。企业日常经营中，数据合规师需承担作为制度建设义务的数据合规义务；在信息网络犯罪刑事归责中，数据合规师需承担过失不作为犯的具体作为义务，不能对这两种义务进行混同。在具体信息网络犯罪的刑事归责中，应以不作为犯“类单一正犯”的不法结构，以及数据合规师的职务身份及其应承担的作为义务类型为依据，分别认定其刑事责任。如此，可避免走向“合规无用论”或“合规浪漫主义”的极端，理性厘定合规计划在单位犯罪治理中的制度功能。

关键词：单位犯罪决策机制责任；刑事归责；数据合规师；合规计划

作者简介：敬力嘉，武汉大学法学院副教授，法学博士。

本文发表于《北方法学》2021年第6期，学术引用请参照原文。

一、问题提出

2019年起，刑事合规成为我国刑事法学界关注的热点问题。随着后疫情时代中共中央对“六稳六保”、法治营商环境建设、民营企业产权保护等工作的高度重视，我国已逐步推行企业合规不起诉、企业合规第三方监管等试点改革措施，开启了企业犯罪治理模式的变革。从实践需求出发，刑法学界对刑事合规是否以及如何影响企业犯罪刑事归责进行了探讨。主张全面引入刑事合规制度的学者，认为应明确企业作为单位主体的独立性，进而以企业合规计划完善与否、是否得到有效贯彻为标准判断企业犯罪的行为不法。对此持保留意见的学者认为，刑事合规无法替代刑法教义学关于企业犯罪定罪量刑的判断标准，功能极为有限。

既有研究深陷单位犯罪主体资格的有关争议中，并未厘清合规对单位犯罪刑事归责路径的作用方式。刑事归责是对归责对象、标准与结果的层次化判断过程，从本文主张的意图行为论出发，单位犯罪的归责对象应为单位在其自身意图支配下实施的单位行为。单位意图并非存在论层面的独立心理事实，而是在特定规范要求与客观条件限制下，通过单位领导集体与其他成员个人意图的沟通塑造而成的集体意图。通过剖析这一沟通塑造机制，才能厘清单位犯罪中个人与单位的关系，确定各自的主体地位。单位犯罪的归责标准应为具体犯罪的构成要件，只有结合具体罪名进行分析，才能明确单位犯罪中相应主体行为不法的判断标准。

基于以上认知，本文拟以企业实施的信息网络犯罪为对象，以当前法律规范体系与产业发展均已初具规模的数据合规为语境，以不作为犯罪参与的归责判断方法为指引，探讨以下四个问题：第一，单位犯罪刑事归责中，单位和单位成员个人的主体地位如何确定？第二，归责对象层面，刑法应评价数据合规师的何种行为？第三，在归责标准层面的具体信息网络犯罪构成要件中，数据合规师是否具备保证人地位，应承担怎样的作为义务？第四，如何实现对数据合规师不作为参与此类单位犯罪的刑事归责？通过对数据合规师不作为参与单位犯罪刑事归责判断过程的具体考察，可以厘清合规在单位犯罪刑事归责中的规范定位。

二、单位犯罪的“决策机制责任”

（一）单位犯罪刑事归责的既有逻辑：以“职务身份→支配关系”为核心

单位犯罪刑事归责的逻辑起点，是明确单位（包括企业）与个人的主体地位。这个问题在我国刑法理论中一直存在较大争议，相关争议在刑事合规的研究中得到延续。

有关单位犯罪的刑事责任，目前刑法学界主要存在否定论、责任分离论、替代责任论、组织体责任论等四类观点。持否定论的学者以法人拟制说为基础，试图确立单位犯罪及其刑事责任的拟制属性，将单位犯罪还原为自然人个人犯罪与个人刑事责任对法人的归属。持责任分离论、替代责任论与组织体责任论的学者则以法人实在说为基础，分别肯定了单位本身的犯罪主体地位。三者的区别在于，责任分离论者主张“单位犯罪”应为单位所实施犯罪与单位内自然人实施犯罪的特殊聚合体，单位责任与单位成员责任在构造与追诉上各自独立；替代责任论者主张，单位成员履职时为单位利益实施的犯罪（狭义替代责任），或单位领导集体实施的犯罪（同一视原则）应直接视为单位犯罪；持组织体责任论的学者主张，单位犯罪的刑事责任独立于个人刑事责任，为单位自身客观固有，应以单位自身是否履行犯罪控制义务为中心，考察单位是否存在以不容许的管理缺陷为根据的组织过失。

可以看到，单位犯罪否定论者秉承“个人→单位”的归责判断逻辑，主张具备职务身份的自然人事实支配（实施）了单位犯罪行为；责任分离论、替代责任论与组织体责任论者则秉持“单位→个人”的归责判断逻辑，主张是单位（不合规）的治理方式或运营结构支配了其中的自然人实施犯罪行为。两种归责判断逻辑均以“职务身份→支配关系”为核心构建，在当前刑事合规的有关研究中，以后者为指引的替代责任论与组织体责任论更加受到学者青睐。那么，以“职务身份→支配关系”为核心构建归责判断逻辑，是否符合单位运营的实际情况？只有回归对法人本质的探讨，才能厘清这一问题的答案，明确单位犯罪中个人与单位的主体地位。

（二）单位犯罪刑事归责的应然起点：单位决策机制

不同于刑法学者的标签化解读，我国民法学界对法人本质的认识经历了不断深化的过程。基于对法人是否具备独立本体与法律主体资格的不同理解，德国民法学界发展出了三种关于法人本质的学说，即实在说、拟制说与否定说。经历一百余年的发展，除否定说不为主流学界接受之外，实在说与拟制说逐渐被视为“从不同的侧面对法人制度及其背后所存在的社会现象所作的不同的解释”，在实践导向下走向了相互渗透与融合。我国民法学界基本继受了德国相关学说，关于法人本质的认识也经历了与之相似的深化过程。我国民法学界的有力观点认为，《民法典》第57条至第59条的规定，表明了我国《民法典》认可了法人具备独立的权利能力、行为能力与意思能力，与实在说的主张相合。但《民法典》第59条仅规定了法人民事权利能力与民事行为能力产生于法人“成立”之时，消灭于法人“终止”之时，并未确立法人“成立”与“终止”的时间与方式，属于不完全法条。而《民法典》第58条也仅规定法人的设立应当依照法律与行政法规的有关规定，不能排除特别法中规定的某些法人特殊的设立与终止方式，存在拟制说适用的空间。我国民法学界就有观点认为，有关法人成员对外活动代理、法人人格否认等方面的制度设计，宜以拟制说为基础。

笔者认为，根据我国《民法典》的现行规定，法人及其民事权利能力、行为能力与意思能力均以法规范作为存续基础，只有通过法规范认可的程序，个人意志才能上升为法人意志，这表明法人人格（意志）是拟制而成的。作为组织体的法人实施的行为与造成的后果是否不依附于法人成员独立存在，决定了法人是否应独立为此承担相应的法律责任。解决这一问题的关键在于厘清法人人格的形成过程，即法人的决策机制。只有明确个人意志如何上升为法人意志，才能确定什么是个人行为，什么是法人行为。这一问题已超越了法规范范畴，需从更广泛的社会科学视角出发对此进行解析。

个人作出特定行为的原因、机制和意义，是哲学社会科学领域共同关注的问题。在社会学视角下，对行为的产生而言，行为前发挥作用的机制是“约束条件”，行为时发挥作用的机制是“选择”，行为后发挥作用的机制是“选取”，三者对于解释行为产生的机制都不可或缺。而在当前风险社会的背景下，将非意向性的“约束条件”与“选取”解释为行为的意义或者功能，从而将未来可能的损害都归因于行为主体的行为决定（“选择”），似乎已成为风险预防的应然之义。以此为前提，将自然人或单位视为单位犯罪的行为主体，进而以“职务身份→支配关系”为核心构建归责判断逻辑，也就成为顺理成章的选择。但笔者认为，如果不对单位犯罪中单位行为的“约束条件”与“选取”机制进行研究，就会陷入方法论上的整体主义（系统论或功能论）或化约主义（还原为生理层面的个人），本质都是将行为主体原子化，无法厘清单位决策机制中单位与个人的关系，也就难以明确单位犯罪行为的本体内涵。

个人意志若欲上升为单位意志，需经法人机关按照法定程序认可，这是“单位犯罪行为”得以实施的“约束条件”。这一“约束条件”征表的不是一个静态的规则系统，而是单位内部成员间，以及单位与其他社会主体间形成的社会网络。单位成员个人的意图行为诚然是单位行为得以实施的实在基础，但以单位为连接点，自然人的意图已嵌入不断发展的社会网络。社会网络是连接个人行为与制度、文化的中间部分，具备超越个人的“涌现”特性。行为规范会通过社会网络传播，与他人连接路径越多，即社会网络的结构越紧密，社会网络中的个人就越容易被网络上的行为规范影响。概言之，规范和利益借由社会网络共同塑造了人的行为。而所谓合规，形式上是在塑造一套单位成员的行为规范，实质是在构建单位成员间，以及单位与其他社会主体间存在大量连接的集成化社会网络，继而通过处于该网络核心位置的领导（集体）影响集体行为。因此，单位对成员的控制方式不是管束（支配）与封锁，而是通过促进人际交流与信息流动，进而丰富社会网络实现的。单位意志的来源是基于社会网络的单位决策机制，而非具体的个人意志。社会网络的实然存在为单位主体的独立归责提供了现实基础，不能再从单位成员的个人行为中寻找单位犯罪行为的现实基础。

尽管单位意志与单位行为的独立性应得到认可，但问题导向下的综合策略而非某种完满的制度逻辑，是单位行为得以实施的“选取机制”，这完全可能导致单位行为的发展超出最初单位意志的预设。制度、规范、文化更像一个可供选择的“工具箱”，而非作为行为界限、约束性的静态规则系统。它们影响（塑造）行为，但不决定行为。人们在解决问题的时候，往往会实践性地选择指引规则，而不在意它们的体系性。作为一种行为规范，合规也只是能代表单位意志的个人在作出行为决策时参考的要素之一，绝非唯一。最终上升为单位意志的行为决策，是行为人根据实际需求拼装不同规范体系后的产物。对单位是否合规的判断不能替代对具体单位行为是否构成犯罪的考察，前者只能对后者起到补充作用。以单位是否合规为依据判断其组织过失的观点，属于“合规浪漫主义”。

综上所述，笔者认为单位犯罪既不是单位支配个人实施的犯罪，也不是个人支配单位资源实施的犯罪，而是个人意志经单位决策机制上升（不是一般认为的体现）为单位意志后，单位意志支配作为组织体的单位实施的犯罪行为。虽然单位犯罪行为确需由具体自然人实施，但当个人意志上升为单位意志，个人犯罪行为即上升为单位犯罪行为，在刑事归责中获得了独立的规范地位。单位犯罪刑事责任的基础不是雇员或领导个人的意志、单位成员与单位的雇佣关系或单位自身的组织缺陷，而是单位的决策机制。基于以上认识，笔者将单位犯罪的刑事责任类型归纳为“决策机制责任”。合规措施的核心功能，在于打开单位决策机制的“黑箱”，以合规计划为依据，明确单位运营中相关主体的权属关系，进而以合规义务的实际履行状况为依据，判断个人意志是否上升为单位意志。若答案为肯定，则应进一步判断具体的行为不法与责任；若答案为否定，则应只追究该自然人的刑事责任。遵循以上思路，可以较好解释我国现行立法中有关单位犯罪的规定。我国《刑法》第31条的规定，应解释为单位为其决策机制产生的犯罪行为及危害后果承担独立的刑事责任，个人为其行为直接符合犯罪构成承担刑事责任。对于2014年全国人大常委会《关于〈中华人民共和国刑法〉第三十条的解释》，应解释为单位本就通过具体个人实施犯罪行为，即使不处罚单位，也不妨碍追究组织、策划、实施该危害社会行为的人的刑事责任。

以被称为“企业合规无罪抗辩第一案”的雀巢公司员工侵犯公民个人信息一案为例，兰州市中级人民法院在二审裁定中阐明：“雀巢公司手册、员工行为规范等证据证实，雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为，各上诉人违反公司管理规定，为提升个人业绩而实施的犯罪为个人行为。”最终裁定维持原判，不追究雀巢公司的刑事责任。本案中，雀巢公司以其履行了合规管理义务为依据，证明了员工个人的犯罪意志并未上升为公司意志，员工个人的犯罪行为自然也未上升为单位犯罪行为。而在北京匡达制药厂偷税案中，法院认为作为药厂法定代表人的王某并未直接参与犯罪，不应承担刑事责任，王某出罪的法理依据与前案相同。

与此同时，对于单位负责人破坏单位决策机制实施的犯罪行为，即使不法利益归属于单位，也不宜评价为单位犯罪。以吕某等走私制毒物品案为例，尽管吕某为赤峰AK公司国际销售部经理，主管该公司国际销售业务，但其伪造“绿茶减肥冲剂”等品名，将共计1075千克含有麻黄浸膏粉的混合物（麻黄浸膏粉含量为500余千克）申报出口墨西哥的行为并未经过单位决策机制的认可，包括经单位领导（集体）决定或属于单位决策机制认可的职权范围，法院认定其个人构成走私制毒物品罪，AK公司不成立单位犯罪。

对于中小企业，即使是一人公司，如果其具备法人资格，且相关犯罪行为经公司决策机制认可，也应评价为单位犯罪。例如在周敏合同诈骗案中，尽管被告人周敏担任法定代表人的上海众超工艺品有限公司、上海一丰镐工艺品有限公司为一人公司，但此两家公司具备独立的法人人格，周敏作为公司的法定代表人是为公司利益实施的合同诈骗，公司成立单位犯罪，周敏应作为直接负责的主管人员被追究刑事责任。

需要特别说明的是，以上案例均是在单位成员所实施行为已构成犯罪的基础上，以单位决策机制为依据区分个人行为与单位行为。至于特定主体的行为是否构成犯罪，仍需以其具体的行为不法与责任为判断依据。

三、不作为犯罪参与语境下数据合规师的容许行为

以上文确立的单位犯罪“决策机制责任论”为基础，本文拟继续厘清数据合规师不作为参与企业实施信息网络犯罪的行为方式。

目前，学界对合规师保证人地位的研究，是在脱离单位犯罪刑事归责具体语境的背景下展开的。支持确立合规师保证人地位的学者，多以德国联邦最高法院第五刑事法庭判决为依据，主张合规师在特定条件下具有对公司员工职务行为的派生性监督者保证人义务，而在中国刑法语境下，不纯正不作为犯情形下的合规责任研究可以与单位犯罪范围内的讨论形成互补，完善领导人与合规师的责任链。以上观点存在两点根本性缺陷：第一，未明确合规师是否属于单位犯罪中的主管人员或直接责任人，自然也未厘清合规师的保证人义务与单位犯罪中单位负责人的监督管理义务是何关系；第二，未明确合规师是否、如何对单位犯罪承担刑事责任，似无在刑法学中研究其保证人地位与义务的必要。

具体到数据合规领域，近年来，我国规范网络空间的法律法规体系得到迅速完善，数据合规行业也处于勃兴阶段，但在刑事合规的研究热潮中却难觅数据合规的踪迹。目前，仅有学者以数据动态安全保障为视角，较为概括地考察了刑事数据合规计划的内容、功能与引入的必要性。但其并未具体考察数据合规师违反合规义务后是否、如何承担刑事责任，自然也难以明确在单位犯罪刑事归责中引入数据合规计划的意义。

以本文确立的单位犯罪“决策机制责任论”为基础，合规师是企业意思形成或表示机关的组成部分，在其主管企业经营时，应属单位犯罪中的主管人员；在其不主管企业经营时，应属单位犯罪中的其他直接责任人。根据本文所持的不作为归责判断方法，“不作为”应属不法类型，而非行为类型，应结合行为样态、规范类型与法益状态区分“作为”与“不作为”，其归责对象应为行为人意图控制下的容许（法益侵害风险实现）的行为。依据这一标准，无论企业合规师是否承担主管人员职能，其通过不履行合规义务致使个人犯罪意志上升为单位意志的，应属不作为参与企业实施的单位犯罪。需要说明的是，此处的“参与”是指合规师参与了单位决策机制，是合规师行为的事实属性，不意味着合规师是企业实施单位犯罪的共犯，对合规师与企业行为不法内涵的规范判断并行不悖。

在数据合规领域，无论是以数据为核心生产资料、以网络为主要运营空间的企业，例如互联网企业，还是利用信息网络设施开展业务的企业，例如快递企业、金融机构，当其实施狭义信息网络犯罪或计算机犯罪时，企业数据合规师为单位犯罪中的主管人员；当其实施网络化传统犯罪，企业数据合规师为单位犯罪中的其他直接责任人。数据合规师通过不履行其合规义务导致单位犯罪行为得以实现，应属不作为参与单位犯罪，归责对象应为其容许单位犯罪法益侵害风险实现的容许行为。接下来，本文拟结合具体的信息网络犯罪构成要件，进一步厘清单位犯罪中数据合规师的保证人地位与保证人义务，确定数据合规师不作为参与企业所实施信息网络犯罪的归责标准。

四、信息网络犯罪中数据合规师的作为义务违反

（一）信息网络犯罪中数据合规师的保证人地位

首先需要明确的，是数据合规师是否对所在企业实施的信息网络犯罪具备保证人地位。

传统不作为犯理论不区分刑法中的一般性举止规范与行为人的具体作为义务，将具备法规范所认可特定社会功能角色的保证人视为作为义务人，将一般性举止规范的内涵——一般的结果阻止义务——视作保证人义务。以此为基点，无论是机能二分说还是义务犯的理论进路，都试图将保证人义务界定为“保证人”这一类社会角色集体应承担的义务，以其对法益侵害的直接与间接作用为标准界定保证人义务的内涵，进而区分保证人义务与保证人地位的类型。但笔者认为，不纯正不作为犯中，行为人的作为义务应当是个体化的举止规范，是根据个人身心能力与具体行为情景，行为人在特定构成要件语境下应承担的具体作为义务。那么，不纯正不作为犯中的保证人地位应属于一般性命令规范的内容，还不涉及与法益侵害关联的具体（作为义务）判断，其内涵应为法规范认可的社会角色分工。

具体到数据治理领域，合理平衡促进信息流动、实现其经济与社会价值的时代需求，与防控企业加工处理所掌握数据，继而制造、获取、传播与利用信息可能具备的法益侵害风险的底线要求，是推动我国数字产业法治化长效发展的应然之义。以此为导向，按照网络安全保护、个人信息保护、数据安全保护等不同的规范目的，根据信息技术服务、电子商务、金融、交通、通信、医疗、政务等不同行业的实际情况，我国的数据监管模式已从强调控制准入转向强调事中事后合规监管，针对数据产业链中的获取、存储与传输以及使用主体，已初步确立了分层分业的监管体系。需要特别指出的是，我国相关立法，特别是《刑法》区分了数据和信息的概念。数据是信息内容的荷载符号，是载体，而信息是不同主体之间的数据交换产生的“意义”，或者说内容。通过对数据的加工处理，可以获得不同类型的信息。行为人制造、获取、传播与利用特定类型的信息，可以侵害不同法益。那么，数据合规的范畴不仅限于对产业链中“数据处理活动”的规范，还应包括对企业制造、获取、传播与利用信息的各类行为的调整。以动态的数据产业链为语境，以相关的法律法规为依据，数据合规师的保证人地位在我国得以确立。

根据《刑法》第286条之一拒不履行信息网络安全管理义务罪，以及2019年《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《信息网络犯罪解释》）第3—6条的规定，网络服务提供者拒不履行“信息网络安全管理义务”、符合入罪标准的，需承担刑事责任。有关本罪对数据合规师的适用，后文将进一步展开探讨。目前已可明确的是，本罪创设的“网络服务提供者”，可以作为实施信息网络犯罪的企业的规范形象。根据《信息网络犯罪解释》第1条的规定，“网络服务提供者”既包括以数据为核心生产资料、以网络为主要运营空间的企业，也包括利用信息网络设施开展业务的企业。依照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《网络安全等级保护条例》《网络安全等级保护基本要求》等法律法规的要求，网络服务提供者需根据其服务内容、所需保护法益的类型及其重要性的不同，设置网络安全负责人、数据安全责任人、个人信息保护负责人等数据合规师职位。

以银行业为例，根据2018年中国银行保险监督管理委员会《银行业金融机构数据治理指引》的要求，利用信息网络提供服务的银行业金融机构需建立数据治理组织机构，包括作为决策层的数据治理管理委员会（或数据治理办公室）、作为管理层的数据治理综合管理部门以及作为执行层的各相关业务部门与人员。作为数据治理决策层与管理层负责人的数据合规师，应具备阻止银行实施信息网络犯罪的保证人地位。当银行实施狭义信息网络犯罪或计算机犯罪，数据合规师为单位犯罪中的主管人员；当银行实施网络化传统犯罪，数据合规师为单位犯罪中的其他直接责任人。

（二）信息网络犯罪中数据合规师的作为义务

笔者认为，成立不纯正不作为犯所要求违反的“作为义务”，不是“保证人”这一社会角色集体应承担的一般性结果阻止义务，而是站在行为前视角，根据行为人个人的身心能力与具体的行为情境，在具体构成要件中采取避免法益侵害危险实现适格行为的义务。也就是说，刑法不强求保证人完成救助，只要求行为人采取积极措施引发或促成外在救助。具体到数据合规师过失不作为参与单位犯罪的场合，还需在具体的信息网络犯罪构成要件中按照企业在数据产业链中所处主体地位与行业的区分，进一步明确数据合规师是否应承担获取法益将受到侵害的认知、确认某种危险预防措施的积极效力、仔细查明或实施最有成功希望的救助策略等三类作为义务。

当企业作为数据获取主体时，可能涉及的信息网络犯罪主要包括非法获取计算机信息系统数据罪与非法获取型侵犯公民个人信息罪。对前罪适用的探讨近期主要集中在网络爬虫的刑事规制，前罪行为不法的判断标准在于，网络爬虫是否故意避开或突破计算机信息系统控制主体采取的技术防护措施。在数据保护语境下，构建企业的数据合规体系，明确企业获取数据的合法权限，是数据合规师日常的制度建设义务。后罪的行为不法判断标准在于，行为人是否突破公民个人信息（法定）处理主体对其合法处理权限所创设的安全保护措施。在个人信息保护语境下，以《网络安全法》第40—50条、《个人信息保护法》、《民法典》第1034—1039条以及其它相关规范等为依据，明确企业获取公民个人信息的合法权限，是数据合规师日常的制度建设义务。

而在企业所实施以上两罪的刑事归责中，作为保证人的数据合规师应承担的具体作为义务，应为采取积极措施引发或促成对实现两罪法益侵害危险的阻止，具体包括获取企业行为将侵犯两罪法益的认知、确认数据合规措施的对预防此种法益侵害危险的积极效力以及查明或实施最有成功希望的救助策略。若数据合规师不履行，则其个人意志上升为单位意志，承担单位犯罪的刑事责任。以我国“网络爬虫第一案”为例，被告人公司使用"tt_spider”软件绕过字节跳动公司计算机信息系统服务器的访问限制抓取了视频数据，即被认定为未经允许进入字节跳动公司的计算机信息系统，构成非法获取计算机信息系统数据罪。若本案中被告人公司的数据合规师未履行以上三类作为义务，则应作为单位犯罪中的主管人员承担刑事责任。以鲁某等侵犯公民个人信息案为例，涉案的新泰市某快递公司负责人将K8软件和工号出卖给鲁某，用于查看和复制该快递公司的订单信息，鲁某之后将相关信息卖给王乙等电话促销人员。该快递公司负责人突破了该公司对其个人信息合法处理权限的安全保护措施，且其行为属于被单位决策机制认可的职权范围，被认定构成单位犯罪。若该快递公司的数据合规师未履行以上三类作为义务，同样应作为单位犯罪中的主管人员承担刑事责任。

当企业作为数据存储与传输主体时，可能涉及的信息网络犯罪主要包括拒不履行信息网络犯罪安全管理义务罪与非法提供型侵犯公民个人信息罪。前罪行为不法的判断标准在于，企业是否因拒不履行配合网络信息安全保护义务导致法定后果的产生。在网络安全保护语境下，法律与行政法规为企业创设的“信息网络安全管理义务”，可具体化为数据合规师的日常制度建设义务。后罪行为不法的判断标准在于，行为人是否侵犯公民个人信息（法定）处理主体的合法处理权限。以个人信息保护领域的相关法律规范为依据，明确企业处理公民个人信息的合法权限，是数据合规师应承担的日常制度建设义务。

在企业所实施拒不履行信息网络安全管理义务罪的刑事归责中，根据网络服务提供者的不同类型，作为保证人的数据合规师也应承担过失不作为犯的三类作为义务。若作为网络服务提供者的企业不履行“信息网络安全管理义务”，经监管部门责令改正仍拒不改正，且数据合规师不履行其作为义务，则数据合规师的个人意志上升为单位意志，承担单位犯罪的刑事责任。以“圆通内鬼租售账号导致40万条个人信息泄漏”一案为例，由于圆通公司的信息安全风控系统提示其内部查询系统账号登录异常，该公司主动向公安机关报警，抓获了侵犯公民个人信息的内部员工。尽管圆通公司的数据合规机制有待完善，但圆通公司及其数据合规师均已履行拒不履行信息网络安全管理义务罪语境下的作为义务，不应以圆通公司改正程度不足为理由，要求该公司及其数据合规师承担本罪的刑事责任。

在企业所实施非法提供型侵犯公民个人信息罪的刑事归责中，公民个人的同意能否撤销公民个人信息（法定）处理主体的处理权限存在一定争议，笔者对此持否定态度。本罪创设的举止规范直接保护法定主体信息专有权这一集体法益，间接保护公民个人的信息自决权。公民个人的同意可以排除本罪创设的举止规范对公民个人信息自决权的保护，也就不能以非法出售、提供的公民个人信息条数以及获利数额为标准发动本罪的制裁规范。但公民个人的同意不能排除本罪创设的举止规范对法定主体信息专有权这一集体法益本身的保护，对于经公民个人同意却侵犯公民个人信息（法定）处理主体处理权限的行为，仍处于本罪创设的举止规范的保护范围内，可以根据其它情节标准发动制裁规范对此类行为进行处罚。也就是说，即使在公民个人已同意的场合，数据合规师也应承担过失不作为犯的三类作为义务，以确保信息流动的自主型秩序能够得以维持。

以睿思科管理顾问（北京）有限公司（以下简称睿思科公司）单位行贿一案为例，本案中该公司接受客户委托对应聘人员进行背景调查，为了调查应聘人员的犯罪记录，公司法定代表人董某联系到某派出所长聂某，与其达成合意，伪造了一份以派出所名义出具的合作证明，由董某向聂某支付报酬，由聂某向其提供所需的个人犯罪记录信息。截止案发，聂某共提供个人犯罪记录信息54618条，获利32.8万余元。本案一审判决书认定睿思科公司构成单位行贿罪，聂某构成受贿罪。笔者认为，瑞思科公司获取的背景调查业务收益是否属于“谋取不正当利益”，还有待探讨，本文不做进一步展开。尽管员工同意瑞思科公司获取其个人犯罪记录信息，但睿思科公司与聂某仍是以权钱交易的方式侵犯了派出所作为法定处理主体对此类信息的处理权限，可以根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条第2款关于“造成重大经济损失或者恶劣社会影响”的规定，评价为“情节特别严重”，以侵犯公民个人信息罪对此行为进行处罚。若瑞思科公司的数据合规师未履行其作为义务，则该公司的数据合规师应作为单位犯罪中的主管人员承担刑事责任。

当企业作为数据使用主体时，可能涉及的信息网络犯罪主要包括破坏计算机信息系统罪、帮助信息网络犯罪活动罪、非法利用信息网络罪以及网络化传统犯罪。前三类犯罪行为不法的判断标准分别在于，破坏计算机信息系统的正常运行或其中存储处理或传输的数据与应用程序、行为与本罪所保护信息法益间存在客观与主观危险关联、行为具有侵害本罪所保护信息法益的抽象危险，网络化传统犯罪的行为不法判断标准则需要根据具体罪名加以确定。明确企业使用信息、数据、程序、网站等的行为规范，是数据合规师的日常制度建设义务。在以上四类犯罪的刑事归责中，数据合规师仍然都应承担过失不作为犯的三类作为义务。若数据合规师不履行其作为义务导致企业实施前三类犯罪，其应作为主管人员承担单位犯罪的刑事责任；若导致企业实施网络化传统犯罪，其应作为其他直接责任人承担单位犯罪的刑事责任。

以佛山市腾飞网络科技有限公司（以下简称腾飞公司）、广州成域网电子科技有限公司（以下简称成域公司）破坏计算机信息系统案为例，鹏飞公司开发了“信息读写器”软件，可以绕开实名认证程序而开通电话卡，腾飞公司与成域公司向1054人销售安装上述软件1070次，销售金额为人民币115万余元。法院认为该软件导致了实名制登记系统无法正常运行，属于以非法控制手段破坏计算机信息系统，该公司构成破坏计算机信息系统罪。若该公司数据合规师未积极获取公司开发这一款软件可能侵害本罪法益的认识、确认数据合规措施的预防效力以及查明或采取最有成功希望的救助策略，则应作为主管人员承担单位犯罪的刑事责任。对涉及其它三类犯罪的案件，也应适用以上分析思路判断企业数据合规师是否具备违反相应作为义务的情形。

五、数据合规师刑事责任的认定

明确信息网络犯罪构成要件中数据合规师的保证人地位及其具体作为义务后，还需进一步厘清数据合规师刑事责任的认定路径。

笔者认为，不作为犯，包括不作为犯罪参与具备“类单一正犯”的不法结构，举止规范层面应一致评价，制裁规范层面应区分处遇。尽管保证人地位（义务）类型的区分不影响行为不法的内涵，却能体现行为人对于构成要件结果实现的贡献大小，因此决定了制裁规范层面刑罚处罚的区分。对于稳定承担特定社会功能、承担“社会功能义务”的保证人，其不作为参与不得比照作为正犯减轻处罚；对于由于先行行为等产生保证人地位、需承担“紧急义务”的保证人，由于其不作为参与与作为帮助具备等价性，得比照作为正犯减轻处罚。主张举止规范层面不作为犯的单一正犯结构，而准用制裁规范层面从犯减轻处罚的规定，与我国刑法中有关共同犯罪的规定并无冲突。

而在单位犯罪的语境下，根据《最高人民法院关于审理单位犯罪案件对其直接负责的主管人员和其他直接责任人员是否区分主犯、从犯问题的批复》（以下简称《批复》）以及《全国法院审理金融犯罪案件工作座谈会纪要》（以下简称《金融犯罪会议纪要》）的规定，在必要时，可以对单位犯罪中的主管人员与其他直接责任人区分主从犯。以赵某某等非法吸收公众存款案为例，被告人赵某某为北京某公司实际控制人，陈某为公司运营副总监，李某某为公司出纳。对于该公司涉案的非法吸收公众存款项目，赵某某为决定者、组织者与资金的实际支配者，为单位犯罪中的主管人员，主犯；陈某与李某某为负责犯罪具体实施的人员，为其他直接责任人，从犯。那么，虽然不能区分企业数据合规师不作为参与单位犯罪的正犯与共犯，但能够以其应承担“社会功能义务”或“紧急义务”为标准，区分数据合规师应当承担主犯还是从犯的刑事责任。作为单位犯罪中主管人员的数据合规师，其应承担“社会功能义务”，应被评价为单位犯罪中的主犯；作为单位犯罪中其他责任人的数据合规师，其应承担“紧急义务”，应被评价为单位犯罪中的从犯。

本文需要说明的最后一个问题，是探讨数据合规师刑事责任的必要性。在我国当前企业犯罪治理模式变革的大背景下，主张全面改造刑事实体法中单位犯罪刑事责任，将合规制度从刑事程序法领域引入实体法领域的观点，已经形成了一股愈加有力的思潮，这极大推动了我国单位犯罪研究的深化。在此过程中，应避免走向“合规无用论”与“合规浪漫主义”两个极端。前者属于固步自封，无视我国企业犯罪治理模式变革的现实，后者存在将合规塑造为隔绝单位犯罪中单位与个人刑事责任的“面纱”，甚至单位避免刑事追究“挡箭牌”的可能。我们应当充分认识到，合规被赋予的制度功能越强，合规师需承担的责任越大。对合规师刑事责任的探讨，不能脱离具体的刑事归责判断过程。不履行制度建设层面的合规义务，不会给数据合规师带来刑事风险。在具备完善数据合规架构的企业中，数据合规师的保证人地位得以充分确立，若其不履行具体信息网络犯罪构成要件中的作为义务，则应被评价为不作为参与了企业决策机制导致其实施犯罪行为，应根据不同的作为义务类型承担相应的刑事责任。至此，数据合规对单位犯罪刑事归责的作用方式得以厘清。