陈瑞华、谢鹏程、孙国祥、李玉华、黎宏、黄永、于冲：关于企业刑事合规视阈下数据合规的讨论

源：《民主与法制》周刊2021年第41期

陈瑞华、谢鹏程、孙国祥、李玉华、黎宏、黄永、于冲：

关于企业刑事合规视阈下数据合规的讨论

编者按

近年来，随着大数据、云计算、移动互联网的不断发展，特别是大数据与5G、人工智能、区块链等新一代信息技术的融合发展日益紧密，数据种类日益增多，数据规模急剧增长，数据合规越来越受到社会各界的普遍关注和立法部门的高度重视。

　　以滴滴出行为例，2021年6月11日，滴滴出行提交IPO申请，且在6月30日成功上市，这说明“滴滴出行”是通过了美国证券交易委员会（SEC）的审查，并按要求提交了相关数据。根据四大会计师事务所的审计准则和相关标准，审计底稿包括核心财务系统的相关信息以及与之相关的信息系统数据，这些都属于关键信息基础设施的重要敏感数据。这些数据一旦发生泄露或者被敌对势力获得，可能带来巨大的社会影响，也会给国家安全带来威胁。因此，这些数据需要在出境前得到审查和确认。而“滴滴出行”并没有开展相关的工作，违反了网络安全法和数据安全法的相关要求。2021年7月2日，网络安全审查办公室发布公告，对“滴滴出行”即北京小桔科技有限公司启动安全审查。7月9日，国家互联网信息办公室通报强制下线25款“滴滴出行”旗下的App产品。这两次对“滴滴出行”事件的治理行动，显示了国家对数据安全与跨境传输治理的态度和决心。基于此，数据安全治理、企业合规的刑事化发展再次被推进大众的视野，同时也激起了学术界与实务界关于数据安全企业刑事合规的争鸣热潮。本刊选取陈瑞华、谢鹏程、孙国祥、李玉华、黎宏、黄永、于冲等七位专家学者的观点，对企业刑事合规、数据合规争议焦点进行讨论。

陈瑞华  北京大学法学院教授、博士生导师，中国法学会常务理事，最高人民检察院专家咨询委员。在《中国社会科学》《中国法学》《法学研究》等刊物发表论文200余篇，出版学术著作20余部。

谢鹏程  最高人民检察院检察理论研究所所长，民盟中央第十二届法制委员会主任。在《法学研究》《法学》《政治与法律》《人民检察》《检察日报》发表学术论文260余篇，出版6部专著、6部译著等。

孙国祥　南京大学法学院教授、博士生导师，经济刑法研究所所长。在《法学研究》《中外法学》《法学家》等核心期刊发表学术论文百余篇，著作十余部。

李玉华　中国人民公安大学法学院院长、教授、博士生导师。在《法学》《政法论坛》《中国刑事法杂志》《人民检察》等刊物发表学术论文90余篇，出版专著8部。

黎宏　清华大学法学院教授、博士生导师，商业犯罪研究中心主任。在《中国法学》《法学研究》等刊物发表论文百余篇，先后出版专著、译著二十余部。

黄永　全国人大常委会法制工作委员会刑法室副主任。先后参与刑法、刑事诉讼法、反恐怖主义法等法律的制定、修改工作。出版多部专著、译著，发表学术论文十数篇。

于冲　中国政法大学刑事司法学院副教授、硕士生导师。在《法学评论》《政法论坛》《法学》等CSSCI刊物发表学术论文20余篇、其他刊物40余篇；出版专著3部、译著1部，撰写刑法学教材1部，参编网络法学教材、刑法学教材2部。

问题一：企业刑事合规的必要性

黎宏：企业无法自觉进行监督管理，需要刑法介入

刑事合规制度引起法学界热烈讨论，主要是我国通信行业排名第二的中兴通讯因为被披露从2010年至案发当时一直在违规经营，当时被美国商务部制裁：除了付出10亿美元罚金外加4亿美元保证金的经济代价之外，还要接受30天内企业改组、美国合规小组入驻进行企业合规建设等屈辱条件。至此，西方发达国家企业中广泛采用的合规计划建设始为普通国人所熟悉。

　　所以，企业合规，从根本上讲，是企业内部治理的一种形式，从与刑法的关系上看，其功能有二：一是在企业经营活动中出现违法犯罪时，将守法企业和违法员工的行为切割，从而达到保全企业、惩罚个人，将企业特别是大型企业因为犯罪受罚而产生的社会震荡效果降到最低；二是通过合规企业出现违法犯罪时可以从宽处理的特殊规定，使公权力的影响提前介入企业内部的经济管理，促使企业事先主动建立妥当有效的合规制度，自觉遵纪守法，从而达到在未然之中预防企业犯罪的效果。

　　在企业合规建设中，“做”比“说”重要。企业合规，不仅仅是建章立制，更重要的是要实际落实执行。例如，快播案。2012年8月，深圳市公安局对快播公司进行检查，给予行政警告处罚，并责令整改。随后，深圳市公安局将违法关键词和违法视频网站链接发给快播公司，要求其采取措施过滤屏蔽。快播公司于是成立网络安全监控小组，在一周内投入使用“110”不良信息管理平台。但在深圳网监验收合格后，小组原有4名成员或离职或调到其他部门，“110”平台工作基本搁置，检查屏蔽工作未再有效进行。2013年，深圳市南山区广播电视局执法人员对快播公司开展调查，找到了可播放的淫秽视频，并对快播公司进行了行政处罚。但快播公司随后仅提交了一份整改报告，其“110”平台工作依然搁置，检查屏蔽工作依然没有有效落实。

　　最终，法院认为：“快播公司明知快播网络服务系统被用于传播淫秽视频，但出于扩大经营、非法牟利目的，拒不履行监管和阻止义务，放任其网络平台大量传播淫秽视频，具有明显的社会危害性和刑事违法性，应当依法追究刑事责任。”这段描述中，虽然没有提及合规问题，但实际上表明，快播公司的内部治理或者内部管控是无效的。因此，判定快播公司有罪。

可见，企业合规能否成为企业自救的妥当手段，关键不在于企业是不是建立有合规制度，更重要的是，企业是不是以实际行动表明其愿意在业务活动中守法，并且约束其员工的经营活动。

　　因此，只有通过有效的执行和有力的监督才能取得实效。完整的制度建设包括制定制度、制度执行和监督落实，而且后者比前者更为关键。

孙国祥：合规计划的核心是刑事合规

　　顾名思义，合规就是符合规范要求。在法律语境中，“规”就是指“成例、标准、法则”，即规范之意。德国著名刑法学者齐白 (Sieber) 教授认为：“合规计划规定的是一种对——首先是法定的， 有时又是伦理的或其他的——预订目标的遵守程序。”

　　我国2018年7月1日生效的《合规管理体系指南》国家标准也指出：“合规意味着组织遵守了适用的法律法规及监管规定,也遵守了相关标准、合同、有效治理原则或道德准则。”这就是说，合规之规，包括国家相关法律规范，但不限于此，也包括基于行业特点，从本系统、本行业的特点出发,形成的相关管理制度(行业规范)，还包括诚信守则的商业道德伦理规范 (ethics) 以及企业自愿设立的风险防范规范。合规，不仅是指企业活动应该符合上述标准，而且上述标准应该互相配合，协调一致，形成企业活动有规遵循的规则体系。

　　可见，这种广义上的合规计划之“规”， 是通过国家与企业 (私人) 共同规范的方式形成的。然而,，尽管广义的合规计划初衷涵括了企业伦理的弘扬，但实践证明，“对于以追求营利为目的的企业而言， 宣扬未必与利益挂钩的至善行动是不现实的，最终不过是‘徒有虚名’”。

因此，合规计划的核心是刑事合规。刑事合规，也就是指为避免因企业或企业员工相关行为给企业带来的刑事责任，国家通过刑事政策上的正向激励和责任归咎， 推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险， 制定并实施遵守刑事法律的计划和措施。

李玉华：数据合规成为企业社会责任的新内涵

　　企业开展数据合规建设具有迫切的需求。企业的社会属性要求其承担一定的社会责任，而企业社会责任理论不断发展，企业的社会责任内涵也不断更新，当今数据合规成为企业社会责任的新内容。

　　党的十八大以来，社会治理成为热点话题，社会多元主体在社会治理中协同发挥作用。企业所具有的社会属性决定了其必然属于“社会治理共同体”中的一员，因此，企业内部管理与经营效果在一定程度上就会对社会治理的效果产生影响。

　　数据合规成为企业社会责任的新内涵。具体言之，就当前数据贸易活动日益繁荣，数据为企业发展带来新的机遇，但是企业利用数据的逐利行为引发了一些数据保护与安全问题。一方面，个人数据的商业价值不断激增，企业追求最大化的利润，却忽视个人数据的保护与安全存储问题，诱发了不少以不法手段收集个人数据的事件，个人数据被泄露与滥用的现象日益严峻。同时，个人在互联网留下的信息痕迹在不同程度上反映了个人的偏好与思想，具有一定的人格属性。企业为了实现精准营销，整合大量个人数据刻画用户画像，有可能会侵犯个人的隐私等人格权益。另一方面，在数字驱动型经济时代，全球化的经济贸易活动促使数据全球化流动更加趋向常态化。企业利用便捷的信息技术跨境传输数据创造利润，但也为数据保护和国家安全问题带来新的难题与挑战。

　　需要注意的是，目前，个人数据保护与数据跨境流动的规范问题是许多国家重点关注的问题，大数据企业不能仅关注自身利益，无视在利用数据追求利润的过程中对外部产生的损害，否则将有损营商环境，不利于企业提升市场竞争力与实现持续发展的目标。还会激化数据保护与安全的社会问题。

　　实现数据保护与数据安全需要企业的力量，企业在获取数据红利的同时应当将数据合规作为承担社会责任的重要内容，提升数据合规意识，切实将数据合规贯穿于业务活动的各个环节。将企业数据合规作为企业社会责任的新内涵，是当今新形势下的应有之义，可以同步实现企业良好发展与有关数据保护方面的社会问题。

黄永：刑事合规的合理性及其框架

　　企业合规要重点把握理论合理性和制度框架两个维度，合规的合理性和制度构建虽然看似是两个层面的概念，但实际上二者有交叉的部分。一是合规的合理性。无论是刑事合规还是行政合规，都需要放置在企业营商环境的大背景下思考合规的合理性。比如，合规是企业自主性行为还是法律外部性行为。中美在对合规的基础性认知上存在较大差异，美国企业通常对合规感到较大的外界压力，而我国企业则倾向于积极争取合规。因此，有必要对这种现实差异现象的背后动因和理性基础进一步深入研究。还比如，我国当前的企业合规采取的是合规激励机制，合规激励机制是否有合理性。在罪责刑相适应原则下，企业合规的同时是否应当追究责任人的刑事责任；在权利、责任和利益相适应要求下，企业合规的同时是否应当承担例如行政罚款等其他责任。二是合规的制度框架。企业合规可以分为企业自主合规、行政合规和刑事合规三个层次。目前我国由检察机关、行政机关和第三方监管机构进行合规监管，关键在于如何保障合规监管期结束后企业的良性经营，可能会涉及企业从行政合规、刑事合规到企业自主合规的调整问题。

于冲：引入企业刑事合规制度，可有效预防数据安全犯罪

　　随着侵犯公民个人信息犯罪的迭代异化，司法解释不断丰富侵犯公民个人信息罪的行为类型和个人信息外延，但面临个人信息犯罪严峻的异化态势，受侵害的数据质量、数据规模、危害性后果不断攀升，数据的处理、共享、交易、流通使得数据的“动态安全”逐渐成为数据安全问题的常态。以刑事制裁为主的单向度的国家监管显然存在较大的局限性，规制手段的单一化使其规制效果难彰。因此，需要其他手段的功能补给。

　　刑事合规制度作为一种能够容纳企业与国家共治的犯罪治理模式，通过促进网络服务商数据安全保障工作的内控化、制度化开展，增强网络服务商对于数据安全的责任意识，通过网络服务商的事前的主动介入，增强数据安全犯罪的积极防控，实现侵害数据安全犯罪的积极的一般性预防。

　　数据安全犯罪危害性大，不仅是对于数据安全本身的侵害，而且在当前数据安全犯罪产业化、链条化的背景下，数据安全犯罪正逐渐成为其他犯罪的上游犯罪、伴随犯罪，为诈骗罪、敲诈勒索罪甚至绑架罪等其他犯罪提供预备阶段的犯罪助力；加之互联网的倍增效应、放射效应，更加剧了数据安全犯罪的社会危害性。

　　传统刑法在应对数据安全犯罪上，受制于刑法的最后性和谦抑性，只能在犯罪发生以后对相关行为进行评价，这种事后性评价对于数据安全的保护有其自身的局限性。因此，要抑制数据安全犯罪的产生,就必须适时地改变偏重事后惩罚的传统的消极犯罪预防理念,将其置于网络社会和数据安全的大背景下予以重新审视,基于积极预防的理念提出新的犯罪预防措施。

　　总之，刑事合规的引入，为企业提供了主动自律的机会和根据，引导企业在主动制定合规计划、实施合规活动、调整合规机制的过程中，逐渐将数据安全保障和数据犯罪预防意识融入日常的经营管理活动中。

问题二：国外的企业刑事合规

陈瑞华：英国的刑事合规经验

　　英国在企业刑事归责方面，一直奉行替代责任和同一性责任并行的原则，但相比之下，同一性责任原则适用的范围更为广泛。

　　2010年，英国通过了《反贿赂法》，在反商业贿赂领域确立了一种新型的罪名——“商业组织预防贿赂失职罪”。2017年，英国在反金融犯罪领域又确立了两种新罪名：一是“商业组织预防逃避英国税收失职罪”；二是“商业组织预防逃避外国税收失职罪”。这些新型罪名具有一种“预防特定犯罪存在失职行为”的入罪模式，在企业员工、第三方等实施相关犯罪行为时，企业本身要承担严格责任，构成一种失职类犯罪。只不过，英国刑法并没有确立企业与员工同罪的刑事责任，而是确立了一种企业因员工犯罪而承担独立失职犯罪的责任。从后果上看，这一失职类罪名要比员工所构成的贿赂、逃税等罪名，在刑事处罚上要轻得多。失职入罪制度的实施，客观上造成企业入罪的难度大为降低。为避免这种扩大入罪的制度产生不合理的负面作用，就需要建立与之相互平衡的无罪抗辩制度。

　　基于这一原理，英国法律对于上述三种失职类犯罪，都确立了合规无罪抗辩的机制。企业只要提出证据，证明已经制定了“充分程序”来预防贿赂或者逃税行为的，就可以不承担刑事责任。

　　所谓的“充分程序”，也就是足以发挥预防犯罪功能的合规管理机制，也就是包括“相称程序原则”“高层承诺原则”“风险评估原则”“尽职调查原则”“有效沟通原则”“监控和评估原则”等在内的六项合规管理体系。

　　由此，一个商业组织的“关联人员”，只要为获取或保留该组织的业务，或者为获取或保留该组织的商业优势，而实施贿赂行为的，该商业组织就应承担证明自身存在合规管理体系的义务，由此来证明自身不承担预防犯罪的失职责任。这种合规出罪模式，可以被称为“管理义务履行出罪模式”。

黎宏：美国企业刑事合规的借鉴

　　在美国联邦判例以及《联邦量刑指南》之下，企业合规计划既是预防企业犯罪的手段，也是在企业不幸被定罪之后，减轻或者免除其刑罚的一个情节。但由于这一方案是任何人只能对自己的违法行为担责的责任原则和联邦法院迄今为止所坚持的企业对其员工行为承担严格责任的传统进行妥协的产物，因而在理论上难以自圆其说，存在不彻底性。在其适用当中，也存在企业制作装点门面的企业合规计划以敷衍政府检查的问题。

　　我国目前正处在企业合规建设的起步阶段，因此，立足本国国情，借鉴美国的一些做法，以刑罚手段督促或者刺激企业进行合规建设，具有重要的现实意义。

　　但我们应当注意到，美国的以刑罚手段鼓励企业合规建设的做法，是针对美国联邦法院的传统而做的无可奈何的折中，其中具有先天不足，并不值得我们完全照搬。在我国刑法规定的背景之下，还是应当将刑法第三十条、第三十一条的规定与责任原则结合起来，将企业合规建设作为企业文化建设的一部分，并将其作为判断企业刑事责任有无和大小的依据之一，而不是全部。企业合规建设的作用，不仅影响企业的量刑，还有可能影响定罪。如此，才能有效地克服美国企业合规建设中存在的不足，促进和鼓励我国企业才刚起步的合规建设。

问题三：数据保护的合规路径选择

陈瑞华：企业合规的三层含义及数据合规研究中需要注意的四个问题

　　就企业刑事合规而言，有三层含义：一是从积极的层面来看，企业合规是指企业在经营过程中要遵守法律和遵循规则，并督促员工、第三方以及其他商业合作伙伴依法依规进行经营活动；二是从消极的层面来看，企业合规是指企业为避免或减轻因违法违规经营而可能承担的行政责任、刑事责任，避免受到更大的经济或其他损失，而采取的一种公司治理方式；三是从外部激励机制来看，为鼓励企业积极建立或者改进合规计划，国家法律需要将企业合规作为宽大行政处理和宽大刑事处理的重要依据，使得企业可以通过建立合规计划而受到一定程度的法律奖励。

　　在研究数据合规时，有四个问题应当重点关注：

　　一是企业数据合规的价值。为企业在市场竞争中提供诚信度背书；将企业责任与员工责任、上下游企业责任进行有效切割；最大限度预防行政违规与刑事犯罪危险。

　　二是网络安全法、数据安全法、个人信息保护法中包含的合规义务。重要数据处理者应当定期进行风险评估；个人信息处理者应当定期对处理的个人信息遵守法律、行政法规的情况进行合规审计；企业应当在发生网络、数据、个人信息安全事件时，立即采取补救措施，并通知有关行政部门和可能受影响的个人。

　　三是数据合规的两种模式。危机发生前的日常性合规体系，即数据风险评估与预防；危机发生后的合规整改体系，即通过合规整改换取宽大处理。

　　四是合规与危机处理的关系。企业面临的最严重的危机是行政处罚和刑事追责；合规整改方案是要解决问题，纠正错误，填补制度漏洞，完善治理结构，改变经营模式；合规整改方案的本质就是防止再次发生类似的行政违法行为和刑事犯罪行为。

　　因此，不管是日常合规管理体系，还是合规整改体系，根本目的是要预防违规、预防再次发生违规和违法犯罪活动。合规不是做一套书面的计划，也不是做一套纸面的规章制度，而是要把合规的管理模式、体系、整改方案有效运行起来，有效地识别违规行为，预防数据领域的违法行为，监控整个公司的运营情况，一旦发生危机能进行自我处理和有效的监管。

孙国祥：刑事合规的中国构建

　　在我国，合规从内容到制度还处于起步的阶段，尽管人们开始重视合规， 但内容主要停留在企业内部的规范性要求。近年来，我国也有一些学者撰文提倡借鉴刑事合规理念， 重构企业犯罪治理的刑事政策。但刑事合规理念主要在刑法学界探讨， 企业对其知之甚少，相关呼吁也未得到普遍的响应。虽然市场经济是法治经济的口号耳熟能详， 但长期以来企业打“擦边球”“绕红灯”的侥幸、原罪心理导致企业的守法意识淡薄，越轨文化盛行。

　　近年来，我国一些企业经历了因为经营不合规而导致严重刑事后果甚至濒临倒闭的风险，这些情况凸显了我国企业刑事合规管理的重要性。我国刑事合规的构建， 应从以下几个方面着手：

　　一是扩大单位犯罪的范围。一方面，宜将刑事合规作为所有企业管理的刑事义务设定， 增设企业管理过失的犯罪，在企业懈怠企业刑事风险防范而导致企业刑事案件发生的场合， 对企业及其主管人员追究刑事责任，以强化企业刑事合规管理的动力。另一方面，从趋势而言，应摒弃单位与自然人二元制定罪标准， 实行统一的定罪标准， 以扩大单位犯罪的入罪范围。

　　二是调整单位犯罪的惩治力度。单位犯罪与自然人犯罪的主观罪责并不相同，尤其是企业还承担有社会责任， 处罚过重， 未必取得好的社会效果。因此， 对单位犯罪的惩治宜采取轻缓化的刑事政策。由此，对单位犯罪的主管人员和其他直接责任人员也应单独设置不同于自然人犯罪的法定刑，而且这一法定刑幅度应低于自然人犯罪。其次，有必要在单位犯罪的刑罚适用中设置对单位的缓刑制度。因为单位一旦涉罪被定罪量刑，其带来的附随效果不可低估。在激烈的市场竞争中，相关企业可能因此一蹶不振，甚至倒闭，对整个社会而言，代价太高。因此，给企业一个缓刑考验期，通过合规计划的有效实施，能够使企业走上良性发展轨道的，则原刑罚 (包括罚金) 就不再执行。

　　三是司法定罪量刑应考虑企业的刑事合规运行情况。首先，刑事合规的出罪机能。刑事合规扩大了单位刑事责任范围，这就需要出罪机制的平衡。首先，企业如果已经履行了合规义务，可以借鉴国外立法的经验，将企业良好的合规计划作为阻却犯罪的正当化事由。其次，刑事合规的出罪机能。刑事合规作为刑罚的减免事由不难证立。正如我国学者指出的：“建立并有效实施了‘合规计划’的企业，其预防的必要性降低，从而影响预防刑，进而减轻甚至免除刑罚处罚，通过刑事责任的加重或者减轻、免除，给予企业合规以压力和动力，从制度合规逐步形成合规文化，进一步实现一般预防。”刑事合规实施情况能否作为从重量刑情节，理论上有观点认为，“基于自由保障的考虑，合规只能成为刑罚的减轻事由，内控机制缺失不能成为刑罚加重根据”。既然是否实施刑事合规能够成为入罪的依据, 就没有理由否定刑事合规与刑事制裁轻重的勾连, 不能排除企业对刑事合规的敌视成为从重情节。

谢鹏程：如何确立涉案企业合规管理体系有效性的评估与审查

　　自从1991年美国将企业合规纳入量刑指南以后，涉案企业合规管理体系的有效性问题就一直受到关注，检察官必须区分真诚的合规和虚假的合规。这就需要建立一套评估合规有效性的标准。美国司法部从一开始就制订了这套标准，而且越来越详细，经常更新，譬如2019年、2020年先后都进行了更新。合规管理体系有效性的评估，通常是指第三方组织对涉案企业合规管理体系是否有效进行调查和评价。合规管理体系有效性的审查，通常是指检察机关对第三方组织评估过程和结论的审查。

　　关于合规管理体系有效性的评估和审查的原则：

　　第一，合规管理体系建设与合规风险相适应原则。涉案企业应当建立怎样的合规管理体系，既不以检察机关的意志为转移，也不是依照某个国际标准或者国家标准来建立一个大而全的合规管理体系，而是根据涉案企业合规风险的情况来决定的。所谓的全面合规都是相对的，都是与企业的合规风险相适应的，是针对企业合规风险所建立的防控机制。换言之，全面合规就是具有针对性和充分性的合规管理体系。有人认为，中小微企业只能做专项合规，而不能做全面合规，因为它们没有足够的人力和物力建设大而全的合规。这个观点似是而非，首先，只要做合规，不管是针对一个犯罪的还是针对一类犯罪的专项合规，都需要建立一套由机构和制度构成的合规管理体系，只有建设了这个体系，合规管理才能持续地进行，而建立合规管理体系后，每增加一种专项合规的边际成本很低。其次，对于任何一家企业只做一两个专项合规都是不够的。涉案的专项合规只是合规管理体系的重点，也是涉案企业合规管理体系建设的起点。另外还有五项原则值得注意：全面评估审查与重点评估审查相结合的原则、过程评估审查与结果评估审查相结合的原则、主观评价与客观内容相结合的原则、评估和审查的标准保持明确性和一致性的原则、评估和审查的结论保持可证实性和可比性的原则。

　　关于合规管理体系有效性评估的主要内容。对涉案企业合规管理体系有效性的评估，我们可以借鉴美国评估标准的基本框架，根据ISO37301国际标准，结合我国企业的实际情况，研究制订一套中国特色的合规管理体系有效性评估标准。美国评估标准的基本框架是从合规管理体系的设计、执行和效果三个主要环节对合规有效性进行评估。企业合规管理体系设计的有效性，是指根据涉案企业合规风险设计的合规管理体系具有充分性和可行性。企业合规管理体系执行的有效性，是指企业具备实施合规管理体系的条件、意识和能力，并提供了足够的资源保障。企业合规管理体系效果的有效性，是指通过合规管理体系的实施促进了合规文化的形成、合规目标的实现、可持续发展能力的获得等。这个框架的好处是特别适合司法机关在不同的诉讼阶段来适用。对上述三个环节的评估标准则可以借鉴ISO 37301国际标准，并进行必要的中国化改造。

　　关于检察机关对合规管理体系有效性评估的审查。对企业合规管理体系有效性评估的审查程序一般包括对评估过程和评估结论两个方面的审查。对评估过程的审查重点，一方面是第三方组织与被评估企业的工作关系，如有无利益冲突、是否配合、沟通意见是否充分等；另一方面是评估活动的全面性、客观性、可验证性和公正性。对评估结论的审查重点，主要是文件信息和结论的关联性、完整性以及结论的合理性、可参考价值。

于冲：刑事合规机制有效保护企业数据安全的两个思路

　　以刑事合规明确数据安全责任主体的刑事责任边界。数据合规计划的重心便在于通过合规计划的实施,明确网络服务商的管理责任并非是对政府监管责任的简单替代和转移,进而明确网络服务商管理责任和政府监管责任的边界。

　　一方面，刑事合规计划实际上是国家关于数据安全法律规范在企业内控机制中的具体化。刑事合规计划的前提，需要对企业刑事犯罪风险的准确识别，明确企业可能触及的数据安全风险类型。在数据安全领域，更加需要明确企业可能触犯刑法的刑事风险，这实际上相当于为互联网企业制定了一份“负面清单”，有助于确定企业活动的范围与责任边界。

　　另一方面,通过刑事合规计划的制定和实施，将法律法规赋予企业的数据安全保障义务予以明确，通过将抽象的法律规则、刑法规则具体化、情境化，以此判定未能履行相关法定义务、未能积极实施合规计划的行为是否应当承担相应的刑事责任。例如，判定是否构成拒不履行信息网络安全管理义务罪等纯正的不作为犯罪以及是否构成侵犯公民个人信息罪、侵犯商业秘密罪等不纯正的不作为犯罪。

　　以刑事合规实现数据安全的共治模式:政府管控、网络服务商防控的统一。当前，以数据合规为连接点的“企业—政府”共治模式尚处于雏形阶段，并没有明确企业合规计划的法定地位和作用，而是更多地视之为企业的内部控制的规则、流程或者自律机制，仅仅要求企业将相关的内部规则、自律规范等加以备案，缺乏实质审查。例如，2019年9月3日，工业和信息化部网络安全管理局针对“ZAO”App用户隐私协议不规范、存在数据泄露风险等网络数据安全问题，要求“陌陌”组织开展自查整改，加强新技术新业务安全评估，采取有效措施强化网络数据和用户个人信息安全保护，积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。事实上，经过严格审核、充分博弈形成的合规计划，在国家的犯罪预防和企业的责任认定两端都具有积极的意义。因此，目前刑事合规计划的发展显得犹有不足，有必要将合规计划从当前的纯粹自律规范，转变为联结企业内部控制和国家外部监管的纽带，使行政法规中要求制定和实施的企业内控规范、自律规则，通过合规计划的形式得到真正的落实和遵循，从而实现数据犯罪风险的政府管控、企业防控、刑法预防的“三位一体”，使得刑事合规机制真正内化为企业的数据安全意识与行动，在数据安全保障、侵害数据安全犯罪的防治方面，形成公私共治的合力。

　　总之，犯罪共治模式的实质，是要求体系化地看待犯罪治理问题，实现企业能动性与国家强制力间的“一加一大于二”的整体性效果。而刑事合规机制的构建，正好为此整体效果的实现提供了契机。一方面，刑法规则的落实需要刑事合规计划来加以具体化；另一方面，企业自律的实现也需要合规计划向刑事规范汲取强制性。刑事合规在成为法官评估违法企业罪责的基础和法定标准的同时，也成为企业借鉴刑法的特征、模式实现内部治理的工具，在此过程中，刑事合规计划将企业内控与国家刑事规制有机连接起来，成为构成数据犯罪共治机制的一大助力。

〔文献来源〕

       陈瑞华：《论企业合规的性质》，载《浙江工商大学学报》2021年第1期，第46-60页。

　　陈瑞华：《企业合规不起诉制度研究》，载《中国刑事法杂志》2021年第1期，第78-96页。

　　黎宏：《企业合规不起诉：误解及纠正》，载《中国法律评论》2021年第3期，第177-188页。

黎宏：《合规计划与企业刑事责任》，载《法学杂志》2019年第40期，第9-19页。

　　孙国祥：《刑事合规的理念、机能和中国的构建》，载《中国刑事法杂志》2019年第2期，第3-24页。

　　孙国祥：《刑事合规的刑法教义学思考》，载《东方法学》2020年第5期，第20-31页。

　　李玉华、冯泳琦：《数据合规的基本问题》，载《青少年犯罪问题》2021年第3期，第4-16页。

　　谢鹏程、黄永发言参见《企业合规监督考察研讨会实录(5万字)》，载“悄悄法律人”公众号，2021年10月19日。

　　于冲：《数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角》，载《西北大学学报》(哲学社会科学版)2020年第50期，第93-102页。