王平 李梦 ▏网络平台刑事合规的刑法教义学分析
摘要
考虑到网络平台的安全和利益,刑事合规作为网络平台的内控机制具有豁免网络平台刑事责任的作用。刑事合规作为责任阻却事由的正当性来源于责任层面存在着犯罪预防必要性。根据网络平台义务范围内容的不同,可从轻微罪责和社会道德两个标准对刑事合规的犯罪预防必要性分别进行评价。另外,由于网络犯罪给社会带来的危害后果通常是人们难以控制的,刑事合规通过赋予网络平台更多注意义务能够提早对犯罪行为进行警示,从而达到预防犯罪的目的。
王平,中国政法大学刑事司法学院教授、博士生导师。
李梦,中国政法大学刑事司法学院博士后研究人员。
❖
一、问题的提出
互联网具有去中心化和无国界化的特点,网络平台具有跨国属性,有的大型网络平台已经达到全球公司的水平,因此网络平台的违法犯罪活动不仅会受到中国的刑事法律规制,而且还会受到经营业务涉及的国家和地区的刑事法律监督。对于网络平台企业来说,全球辐射为企业经营的常态模式,网络平台的管理机构和经营理念不能适用普通的企业模式。辐射性经营模式要想生存和持续下去就需要强化合规管理。虽然互联网平台的刑事合规制度可以规范数字经济时代的网络平台企业的经营行为,但是除了几个超大型的互联网企业之外,多数互联网企业并没有意识到刑事合规体系战略的重要性。由于网络平台的用户数量庞大、分布广泛,网络平台正在成为犯罪创新的增长点,不断催生出新的犯罪产业链条。网络平台的合规制度不同于实体企业的合规制度,相比较于传统企业刑事合规制度主要防范企业腐败行为,网络平台的合规、内控和风险管理中出现任何合规计划的疏漏或者合规执行机制出现问题,都可能成立犯罪。因此网络空间的犯罪控制模式应当区别于现实社会的犯罪控制模式。互联网企业构建以网络平台为中心的合规计划范围不仅涵盖公司利益,还包括业务伙伴或者第三人(主要为消费者)以及社会利益。
网络犯罪控制模式应当由“国家”本位向“国家和社会”双本位转变。国家和社会联合控制犯罪表现在制度层面上就是法律规范和自治规范共同参与到对网络平台等服务提供商的管理中来。通过建立双本位的犯罪控制模式协调法律规范和自治规范,形成双轨规范制度打击网络犯罪。网络平台的刑事合规制度围绕检查、监控违法行为义务与配合调查、协助执法义务开展体系搭建。通过网络平台的自治规则实现“以网管网”的格局,配合适度的外部法律规制,双管齐下监管网络平台履行职责。网络平台拥有网络监管的“软权力”,大多数的互联网平台虽然并非犯罪行为的实行行为人,但是也要在实行行为和法益侵害结果的关系中承担与监督过失行为相匹配的刑事责任。并非所有的监督过失都具有刑事处罚的必要性,只有刑事合规制度与预防犯罪之间具有较强的因果关系的情况下,才有必要将公权力引入企业内部合规体系构建中来。当网络平台企业的业务行为涉及犯罪的场合,是选择坚持刑事法律的独断,守护纯粹理性的公平正义?还是选择相信企业拥有自治能力,守护企业的安全和标准?显然是后者。刑事合规作为企业的监督措施,构建刑事合规制度的刑法理论的根据是什么?合规计划作为网络平台的自主性对策,如何运用才能有效发挥预防犯罪的作用?既然需要公权力介入企业内部的合规管理,那么刑法触及企业管理的那根红线应该怎么划?这些都是本文将要阐述的问题。
❖
二、网络平台刑事合规责任阻却事由的理论根据
韦尔策尔(Welzel)认为作为责任中的可谴责性要素包括智识性要素、意愿性要素以及刑罚前提条件要素。罗克辛(Roxin)提出目的理论体系,将刑罚目的理论引入犯罪论的责任阶层,把预防性刑事惩罚的必要性要素作为新的责任要素纳入罪责内容。因罗克辛主张刑法责任的预防功能,我们又可以将他的理论称为“功能主义责任论”。该观点将罪责和预防必要性合并为责任,以预防必要性作为阻却罪责的事由,使犯罪体系的罪责部分刻上刑事政策的烙印。在我国刑法规范中,预防性立法已经出现,而预防必要性要素进入我国刑法体系内部成为影响犯罪成立的要素也是不争的事实。韦尔策尔和帕夫利克(Pawlik)都认为,刑法区分不法与责任是最近几代人最为重要的教义学进步。由于责任本身缺乏积极的体系化内容,因此只能从消极的角度理解责任的范畴。根据功能责任论的观点,责任的判断来源于行为人的视角,责任的核心就是行为人对法规范的忠诚以及社会解决冲突的可能性。
(一)网络平台刑事合规理论评析
企业合规制度来源于美国,早期的合规计划只在刑法理论的量刑领域存在。美国《联邦量刑指南》规定有效的合规计划可以帮助企业减轻刑事处罚。据此,有学者将刑事合规在犯罪体系中界定为“预防性刑事政策”,该观点认为刑事合规强调定罪量刑的实质合理性,基于刑事政策的需要削减或者免除报应刑,进而实现预防刑。然而合规制度的构建需要与刑法理论相融合,只有在刑法教义学框架内寻找最适宜合规制度生存以及解释的位置,才能在法理层面为合规制度的发展输送源源不断的理论养分。因此有学者提出“组织责任论”观点,认为虽然起初是出于刑事政策的需要引入刑事合规制度,但是对单位犯罪的认定和归责模式并无太大影响,还是需要从组织责任的角度解释刑法教义学中的单位犯罪归责理论。在有责性层面,应当以客观责任为责任核心,在单位已经制定落实合规计划的情况下,单位不承担刑事责任。也有学者从归责原则的角度考量提出“法定出罪事由论”,认为有效的刑事合规可以成为阻却企业犯罪成立的法定事由,进而排除刑事责任。由于刑法规范缺乏企业犯罪的出罪条款,企业合规能够在实体出罪上“大有作为”。还有学者提出“违法性认识错误论”,在故意犯罪的场合,合规计划起到阻却责任的作用。由于企业缺乏违法性意识,所以可以根据违法性错误理论排除犯罪。还有观点认为刑事合规具有“法规范属性”,合规就是遵守法律,基于此可以将行政规范、合规建设和刑事制裁三者衔接起来。合规建设方案在刑事制裁中发挥类似前置法功能,良好的合规建设方案可以阻却对企业刑事归责。总的来说,大多数观点虽然没有直接点明,但是都从不同的角度阐述一个责任层面的共识:刑事合规是刑事责任阻却的事由。网络平台合规体系运作具有阻却责任的作用,然而能够有效阻却责任需要出现以下任意情形之一:一是虽然行为人实施不法行为,但是本人对法忠诚就可以阻却责任;二是虽然行为人实施不法行为,但是社会能够自己消解冲突,不必向行为人追责。换言之,不仅刑事合规计划扮演着刑法介入企业内部管理的“抓手”角色,而且合规制度在事实上还扮演着免责事由的角色。
既然刑事合规是对单位犯罪的归责阻却,那么刑事合规的刑法教义学解释需要以认定企业存在刑事责任为前提。在讨论合规体系的犯罪体系之前,需要明确刑法教义学讨论的合规主体限于刑法的适用主体,而非刑法的制定主体和刑法的司法主体。只有具有刑事责任的企业作为适用主体的刑事合规才能够成为刑法教义学解释的对象。还有学者从身份犯的层面分析,认为合规犯罪就是法人犯罪。法人犯罪一旦成立就意味着缺乏合规计划或未充分履行合规计划,以合规犯罪解释企业犯罪,可以更好地界定市场经济环境下的企业主观罪过。刑事合规制度通过拟制单位主体资格,赋予企业“独立的主观意志”。我国刑法规定了以单位行为为基础的单位犯罪。传统理论认为单位犯罪具有整体性特征,即以单位的名义为单位利益实施的行为归属于单位整体。当员工的责任认定为组织责任,就由单位对违法犯罪行为承担刑事责任。随着市场经济的发展,单位的刑事责任主体地位逐渐受到重视,刑事责任逐渐由一元模式向二元模式转变。在二元模式内部存在单位刑事责任和个人刑事责任两类,而单位刑事责任的认定是预防单位犯罪的核心。单位的刑事责任又被称为组织体责任,组织体责任在本质上系具有决策权的领导集体责任,因此在刑法规定的单位犯罪罪名框架内可以确立“组织体责任=领导集体责任”的关系。
网络平台作为网络活动第一线的管理者,在网络中履行网络管理的主体责任,扮演着“准政府”的角色。网络平台主要从事发布信息以及第三方信息链接的业务,其作为提供网络服务的中介场所,具有提供资源交换和调度的功能。因为互联网平台是将经营活动从线下转移到线上进行,所以互联网平台经济具有“互联网+行业”的性质。因此有学者建议根据“技术+功能”的标准界定网络平台的主体类型,把网络平台规定为新型犯罪主体概念。还有学者提出可以借鉴德国《网络执行法》的做法,采用“执法司法化”规则认定网络平台关于第三方违法信息的不作为帮助行为的刑事责任。所谓“执法司法化”规则是由三个方面组成,分别是界定违法内容的主要范围、删除违法内容的投诉机制、处理投诉的报告义务。将“执法司法化”引介到网络平台履行网络安全管理义务,在现有的网络犯罪规制体系中嵌入合规规则。网络平台在合规审查中对第三方违法信息进行判断,在此基础上迅速做出反应将处理情况主动报告给监管部门。同时将原本应当由司法机关审查和处理违法信息的事项引入网络平台的合规体系中来,使网络平台依规处理关于违法信息投诉的工作结果获得刑事司法机关的承认,从而阻却网络平台合规行为的刑事责任。
(二)网络平台刑事合规行为的轻微罪责评价
由于我国刑法采取立法定量模式,所以刑事归责仅存在于较为严重的刑事责任程度中,轻微的责任程度不可罚。刑法介入企业合规管理体系的目标是将涉案企业的正常业务行为对法益的损害预期值降低到法律能够容忍的标准。虽然合规管理体系的督促力度越大,投入人力物力越多,预防犯罪的期望值就越高,但是刑法只能要求企业承担一定程度的合规管理义务。毕竟法律不能强人所难,企业明显达不到的合规要求并不适合出现在合规计划中。一般而言,具有监督保障义务的平台方在被监督人实行行为之前或之时,具有给予尽可能不发生法益侵害结果的审查或者其他指示对策的职责。从刑法理论层面而言,为避免刑事处罚范围的过分扩大,刑法需要明确互联网企业合规体系中的监督保障义务。而监督行为不是实行行为,刑法只能一定程度上介入企业内部管理,而不能要求企业在超出自身承受能力的范围承担监督义务。网络平台方履行特定义务的范围应当控制在所应履行的最低限度之内。检察机关在督促涉案监督义务企业建设合规管理制度时不能提出过分要求,企业作为经营者不可能对抽象的预见可能性展开监督性合规业务。对于企业而言,虽然监督措施可以回避刑事法律风险,但是监督措施范围的成本不能高于企业构建合规制度降低刑事风险能够带来的回报。
虽然在网络犯罪发生的场合,监督保障人与被监督人具有相同程度或者前者比后者更容易防止法益侵害后果发生的可能性。但是网络平台履行法律、行政法规规定的特定义务应当具有事实上的可能性,不能让行为人实施对他而言不可能实行的行为。在不存在客观处罚条件以及刑罚排除事由的场合,可罚的监督过失行为具备可谴责性本身也意味着具有可罚性。因此作为合规责任的注意义务是以存在结果的预见可能性为必要,预见可能性是注意义务违反的前提。并且预见可能性应当是具体的而非抽象的。平台方的注意义务决定了预见可能性不应当是泛化的,而是要求网络平台对违法行为拥有相对具体的认知。相对具体的认知意味着不需要达到确知的程度,但也绝非模糊的明知。正是由于具体预见可能性的存在才会要求监管方负有安全确认的义务,预见并且回避刑法上的法益危害结果。只要监督保障行为人在主观上具有相对具体的预见可能性,并且对于监督过失不能做出合理解释,就不认为监督保障行为人从事的是正常义务行为。而且不论互联网企业未履行监督职责是作为还是不作为,只要监督过失的不注意行为与正犯行为相当,就可以将互联网平台企业监督过失行为作为过失的正犯行为予以处罚。
由于刑法规范设置了较低的构罪门槛,大数据公司网络平台面临着较大的刑事风险。大数据公司网络平台的不作为帮助行为可能涉及侵害公民个人信息权利的罪名。网络平台合规规则采用将网络平台的网络安全管理义务具体化的方式来明确不作为帮助的刑事义务内涵。网络空间中大多数的社会交往发生在行为人个体和网络平台之间,网络平台一边完成信息之间的交换,一边又对网络活动进行管理和控制。大众极为关注的个人信息安全、数据活动安全以及网络信息内容安全是网络信息安全义务的主要内容。通过对信息网络技术、产品、服务等开展安全审查维护国家安全,借助国家安全的模糊化、抽象化的特点为国家处理涉外纠纷和争端留有较大的制度余地。一旦网络资源被他人违法使用,导致产生极其严重的社会危害后果,就不再成为企业内部的事宜,而是成为认定成立拒不履行网络安全管理义务的事实基础。刑法处罚网络平台的目的就是为了保护公民的信息安全。刑法设置拒不履行信息网络安全管理义务罪,意味着一旦网络平台的合规管控失灵则有可能成立犯罪。构建网络平台合规体系应当以刑法规范为基准建立罪状描述性合规体系,并且契合刑法分则罪刑条款中的罪状规定。由于网络平台的网络安全管理义务范围及内容不明确,导致网络平台刑事责任存在模糊之处。企业经营中可能触犯的刑事犯罪大多是法定犯,刑法条文往往采用空白罪状的立法形式规定本罪名。
刑事合规标准的法律效力问题涉及刑法和前置法的衔接问题。由于网络空间具有行为复杂性、主体多元性的特征,因此网络平台的法律义务较为复杂,人们很难对不同位阶的法律义务进行统一,这就给行政责任与刑事责任的衔接带来挑战。而刑事合规制度能够缓解行政程序前置化带来的危害。随着前置性行政法义务的增多,网络平台的刑事责任有扩张化的趋势。注意义务的有效性来源于具有普遍效力的法律法规规定,也来源于具体法律效力的行政处罚决定。由于行政法律法规的效力层级相对较低、法律法规立法碎片化,导致行政机关在制定规章时不仅没有很好地与刑事法律相衔接,还在不同部门法之间存在立法空白和立法交叉的情形。因此在合规计划中写入法定犯的相关义务内容,只有在不抵牾本罪名相关前置性行政义务的前提下,才能作为合规标准被编入合规计划中。
出于治理网络平台犯罪的考量,刑事立法倒逼网络平台企业自身开展刑事合规体系相关审查。在司法实践中,相关网络平台犯罪集中于拒不履行信息网络安全管理义务罪和帮助信息网络犯罪活动罪罪名。为了实现可持续发展,大数据网络平台企业自身开始转变商业运营模式,在配合行政监管以及主动自我披露的基础上,开展大数据运营方式和个人信息保护方面的合规体系建设。网络平台辨认违法信息的标准应当符合法律规范的要求,只有这样才能使违法信息的投诉争端处理结果得到司法机关的承认。合规运营的网络平台处理违法信息投诉结果能够得到刑事司法制度的承认,这是构建网络平台合规体系的出发点。网络平台的违法信息辨认和处理结果会影响到刑法评价网络平台是否履行网络安全管理义务。刑事合规可以让网络平台服务商参与到网络秩序的共同维护中来,以服务商管理义务具体化的方式使企业内部合规制度与外部刑事司法制度统一,倒逼网络服务提供商积极履行合规计划规定的义务。在合法权益遭受侵害危险的场合,如果等待监管部门对违法信息定性之后再删除,就会造成损害进一步扩大的后果。而网络平台合规体系可以通过网络平台及时删除违法信息,从而达到防止违法信息扩散的目的。
❖
三、网络平台刑事合规的注意义务分析
刑事合规是企业的合规程度与企业的刑事责任程度产生联系的企业刑事风险内控机制。在我国的法律法规中,网络平台设置的信息安全管理义务主要包括两大类,即删除违法犯罪信息义务和出现违法犯罪信息后及时断开链接义务,在少数情况下还规定了向主管部门报告的义务。为了降低安全管理义务带来的刑事法律风险,网络平台企业需要按照国家法律法规、行业自律标准逐级逐项开展网络安全合规建设。网络平台需要履行的网络安全管理义务主要来源于以下三个方面:其一,国家层面的法律法规;其二,社会层面的行业规则以及商业道德;其三,企业层面的管理制度以及企业文化。其中,法治社会中对网络平台的监管力度最大的就是法律法规。法律法规对网络平台方的监管主要涉及两类:一是与互联网相关的监管;二是对经营活动所处行业的监管。法律明确规定的主管部门包括网信、电信、能源、交通、水利、金融等多个部门。主管部门具有监督网络平台落实安全义务的职责,这与多数国家的规制方式相同,都是选择政府监管网络平台进行自律管理的路径。通过网络安全审查的主管部门搭建的争端解决平台,统筹各相关主管部门意见,实现维护国家安全的目的。
(一)网络平台的注意义务类型划分
如果侵犯他人权利的行为是由第三方行为主体实施的,网络平台服务商对于网络违法内容只承担最低的注意义务,即对第三方主体的经营资质进行审核的义务以及得知侵权后及时删除的义务。关于明知监管部门责令停止侵权行为的情形,如果他人并未按照监管要求采取恢复权利的措施。网络交易平台方知道他人利用网络平台提供的网络服务实施侵权行为,仍然为其提供网络服务或者没有采取必要阻止措施,网络交易平台应当承担监管责任。平台方可以用内部的合规管理体系作为抗辩的根据,依据合规体系的内容判断单位的主观方面不存在构成犯罪的主观意志因素,从而将单位责任与个人责任进行切割。即便合规经营行为产生危害后果,也可以认为由于网络平台缺乏预见可能性,出现了无法预测的危害行为类型,不能对行为人进行法的非难,也就不存在刑法上的责任。因此,为了免除刑事处罚,网络平台采用合规制度为自身的侵权行为进行辩解,以求免除责任。如果监管部门没有责令采取改正措施或者监管部门责令采取改正措施之后网络平台积极改正,网络平台的行为就是社会交往场合中能够被接受的行为类型,从而不具有刑事可罚性。讨论网络平台的刑事合规问题,重点是对不同的网络平台模式进行场景化分析,根据不同平台模式下的法律关系对合规制度的注意义务类型予以划分。
第一,业务形式的注意义务类型。根据不同的互联网平台经济模式,每个行业的网络平台都会面临不同业务内容的注意义务。网络交易平台和关联网络平台的义务略有差别,前者需要提供数据信息和技术支持,后者只提供数据信息但是不需要提供技术支持。目前法律只规定关联网络平台负有提供数据信息的义务,而没有规定提供技术支持的义务。但是随着对公民权利保护的重视,网络平台删除的范围逐渐扩大化,除了违法信息,还包括违法技术。网络交易平台经营者既要向监管部门提供执法活动需要的相关交易信息,还要提供技术支持,配合监管部门对违法交易行为进行监测工作。网络交易平台作为网络交易提供服务方需要配合监管部门调查提供用户的数据信息。在Everalbum侵犯信息权案中,美国联邦贸易委员会(FTC)要求Everalbum公司删除违法收集的用户照片,以及AI算法模式。关联网络平台方负有协助执法的义务不仅是企业内部的合规计划内容,也是法律规定的重要义务。关联网络平台对于犯罪行为具有披露义务、向主管部门汇报义务以及配合司法机关办案提供违法犯罪证据的义务(例如提供相关人的性侵记录)。
与线下空间的犯罪治理模式相比,网络平台具有高度的自治性。因为网络平台在互联网中承担着较多的监管责任,所以法律规范要求网络平台具备高于普通人的、持续性的注意义务。网络平台只制定合规计划却搁置合规建设,继续实施侵权违法行为拒不改正的,是不贯彻合规制度的行为。不贯彻合规制度的行为不属于企业能够免责的理由。例如在快播案中,快播公司实际控制的云帆搜索技术侵犯了他人的信息网络传播权。云帆搜索技术属于中立技术行为,在接到监管部门的行政处罚通知后,应当及时删除侵权作品或者断开侵权链接行为。快播公司建立了自己的合规制度,并且成立专门的信息安全组负责合规实务。然而快播企业内部并没有真正落实合规制度的建设。虽然快播公司在公司内部建立了110平台系统用以屏蔽链接侵权网站,但是并没有将该110平台系统坚持运营下去,导致合规制度在预防犯罪方面的收效甚微。
刑事合规体系是由网络平台自身或者由独立的第三方专业机构参与构建。为了防范潜在的风险,网络平台可以与独立第三方机构进行合作,提高信息核查过程中的透明度。同时网络平台运营方应当留存网络日志不少于六个月,详细记录网络监测运营状况、网络安全事件等数据或资料。网络数据安全监测预警体系作为企业提前介入评估风险的手段,能够覆盖各种安全运营场景。当数据流通的第三方在其他国家时,为保证数据流通安全还需要对目的国的通信行业法律进行评估。网络平台可以建立数据泄露通知制度,在发生用户信息泄漏风险时,企业向用户履行通知义务,在必要情况下还需要向监管机关履行报告义务。网络平台还应部署安全态势感知平台,制定网络安全事件预案并定期演练。例如,网络平台方可以通过健全投诉、举报制度,广泛发动群众,从而高效、及时应对可能发生的危险。对于用户访问大数据的每一步骤都应当形成平台访问痕迹,增设安全审查功能,在出现危险时能够及时追溯到当事人。
第二,规范形式的注意义务类型。为达到预防犯罪的目的,虽然公权力可以介入网络平台企业内部干预经营活动,但是并不意味着刑事合规体系由政府主导执行建设。恰恰相反,各国政府并不直接参与监控大多数的互联网违法犯罪案件,反而对政府自身的监管权力进行约束,使其作用最小化。为了解决网络中充斥的大量违法信息问题,大多数国家的法律规范都规定了一旦网络运营者发现违法内容信息,便可以自行对违法信息进行封堵、过滤。针对网络平台的自律性较弱的现状,德国的《网络执行法》针对网络平台建立起一套加强平台企业对网络信息内容监管的规制体系。欧盟各国采取多利益相关方协同治理的模式打击网络不实信息传播。英国政府采用立法手段为网络平台创设信息内容的注意义务,《网上有害内容监管白皮书》规定监管有害信息内容不是行业自律行为而是法定的义务。法国的“反假新闻法案”为网络平台设定了合作治理虚假信息的义务。新加坡针对网络虚假信息制定了严厉的监管政策和刑事处罚措施,并且在《防止网络谣言与信息操纵法案》中明确规定网络平台等中间服务机构具有阻止虚假信息线上传播的义务。虽然我国的法律规范文件没有明确界定网络平台注意义务的内涵,但是一些法律规范文件将从事特定业务的互联网平台作为规制对象,例如移动应用分发平台、提供互联网群组信息服务的平台、提供互联网用户公众账号注册使用服务的网络平台等都是由专门性法律规范对各自的业务活动进行约束。
网络平台通过互联网开展经营活动应当遵守行业相关法律法规对主体资格和业务资质的审查要求。互联网法律法规对平台的监管重心是有效甄别具体业务模式和技术部署方式以便确保平台具有开展网上业务的资质。网络平台运营方不仅应当遵守电信业务法律法规的要求,还应当接受调整行业经营活动法律法规的监管。例如网络存储平台根据安全保障义务的法律规定,优先保护被侵害的法益,对技术研发行为、技术推广行为、技术使用行为、监督管理平台运营行为和技术支持行为进行安全审核。网络存储平台服务商自身根据特定业务内容的特点,对平台存储内容进行合法性审查并且禁止他人借用网络平台传播违法信息。网络服务提供者设置的管理义务应当符合网络监管部门的规定,当网络平台的经营行为符合合规计划明确的管理义务标准时,就可以据此对网络平台免责。如果实践中行为人通过技术手段绕过网络平台的管理获取他人网站中的公民个人信息,该行为就属于窃取、非法获取计算机系统数据信息的个人行为,我们不能将相关危害后果归咎于网络平台行为。
(二)网络平台注意义务的社会道德评价
网络平台内部建立合规管理体系,不仅可以防范现实紧迫的法律风险的发生,还可以充分回应社会赋予网络平台的道德期待。网络平台行为的复杂性以及参与主体的多元化决定了行政监管很难完全取代互联网行业自律。对网络平台进行专门立法,可以在客观上强化政府对企业平台自律的监管职责。如果网络平台不遵守法律、监管规定以及自律组织条款的有关规定,就可能遭受法律制裁、监管处罚、重大财务损失或者声誉受损的风险。网络企业作为犯罪控制模式的共同本位者可以采用制定自治规范的方式以及刑罚之外的制裁手段控制犯罪形势。尤其对于受法律法规重点保护的作品,网络平台企业在开展经营活动过程中负有较高的注意义务。网络播放平台企业对列入国家版权局重点保护名单的作品承担更高的注意义务。例如快播公司作为具有网络存储平台性质的播放器服务商,对于缓存于播放器中的视频内容具有安全审查义务,有责任删除存储在播放器内的淫秽视频。
网络平台制定合规计划是实现“以网管网”自我规制的基本方式。“以网管网”将事实层面的网络平台职责转化为法律层面的作为义务,实现国家和企业共同治理网络犯罪的局面。合规内容本身不在刑事立法的范畴内,因此不属于犯罪构成要件要素的组成部分。所以社会大众普遍认为“以网管网”自我规制是网络平台遵守职业道德的体现。虽然用户是犯罪行为的实施者,网络平台只是起到辅助作用的技术提供者,但是网络平台仍然对信息内容负有审核义务。网络平台建立合规体系本身表明网络平台主观上努力地阻止第三方在平台运营范围内实施可罚行为。网络平台的合规体系在处理违法信息的投诉程序中会产生正反不同的两种结果:投诉成立以及投诉不成立。前者则删除违法信息;后者则驳回申请删除信息。当认为网络平台按照合规规则的评估结果不存在违法而驳回删除申请时,网络平台审核确认信息违法并且删除违法信息的行为属于履行网络安全管理义务的行为。然而我们不能认为网络平台依规驳回第三人关于违法信息的投诉就不属于履行网络安全管理注意义务的范畴。当网络平台已经按照合规体系的要求审核信息,确认被投诉信息内容不存在违法并且履行报告义务的,网络平台的合规审查行为仍然具有阻却责任的效力。
信息网络安全管理义务是网络平台企业合规制度的重要前提。网络安全审查制度是信息网络领域维护国家安全的兜底制度。合规制度的重要内容之一就是建立内部网络安全管理制度。网络平台运营方可以对不同安全保护等级对象的安全管理机构和人员安全管理设置不同的强度的基本要求。政府监管网络平台履行安全管理义务,网络平台通过自律管理履行网络监管义务。在司法认定网络平台的安全保障义务的有无和范围时,不能采用“一刀切”认定标准,而是应当综合判断。整个合规方案的核心是让管理层参与到合规制定过程中。一言以蔽之,就是确定网络安全负责人并且建立内部数据系统安全体系。内部数据系统安全体系要求平台方设立独立的数据安全管理部门,设立安全负责人岗位。配备专门人员不仅可以及时更新安全软件的管理完成数据分级控制,还可以将重要数据信息获取的身份权限认证限定在企业内部的较小范围内,实现数据加密控制。设立统一的数据安全管理部门对数据的开发和应用尤为重要,加强对工作人员数据权限的管控,确保数据管理的最小化原则。关于网络平台的运营流程,企业应当设置专门的岗位和人员,建立审查流程指引,加强客户资质及业务合法性审查,并保留相应的审查档案和记录。
❖
四、网络平台刑事合规的刑事政策功能分析
在刑法教义学回答行为是否需要承担刑事责任之前,先要从刑事政策角度确认该行为是违法的。刑事合规的预防犯罪与刑法理论的预防犯罪有着千丝万缕的联系。刑事合规源于对风险社会的反思与回应,作为预防犯罪的“最高等级防范目标”与风险刑法天然地密切相关。由于刑事法律风险的前置化,刑事合规的预防犯罪是在刑法范畴之外进行讨论的。出于预防犯罪的考量,网络平台通过建设刑事合规体系达到平衡企业经营活动和经济秩序安全的目的。因此刑事合规体系本身是超前于刑法的预防性制度规范。例如,数字经济的风险之一是数字安全风险,数据安全合规体系是网络平台构建数据安全体系的重要内容,同时构建严密的数据犯罪罪名体系也是刑事立法的方向。
(一)网络平台刑事合规的事前预防犯罪考察
因为刑事合规可以防范刑事法律风险,所以是防范等级最高并且最为严苛的内控制度体系。面对网络空间的复杂风险,网络平台拥有自我管理的职责,并且通过持续监控违规行为达到预防犯罪的目的。在事实层面上,网络平台具有控制网络犯罪治理的“软权力”,使平台自身拥有高度自我调控的能力。网络平台在业务能力范围内对业务伙伴以及网络服务的消费者进行风险管理。对于已经出现的风险,网络平台企业可以自主决定采取相应措施,例如关闭平台账户、举报到监管部门。在符合公司利益的基础上,网络平台在甄别企业发展道路中的各种风险的同时也会在公司制定的章程里规定注意义务以加强风险管理。随着网络平台规模扩大以及员工人数增多,企业面临的法律风险就愈加严重。合规体系具有防范民商事法律风险、行政法律风险以及刑事法律风险的功能。为了保证企业合法经营,网络平台的合规义务范围覆盖民事义务、行政义务以及刑事义务。其中刑事合规是对多种合规风险的预防,不仅包括刑事法律风险,还包括非刑事法律风险。
网络平台建立一整套合规体系可以有效豁免基于网络平台内部人员犯罪导致企业承担不履行信息网络安全管理义务的失职责任。合规负责人对企业员工特定的监管义务具有保证人地位。只要合规计划中有确定的企业义务,合规负责人就不会因企业员工个人的故意犯罪行为担责。这种采用制定网络平台规则以肃清网络运行秩序的方式属于网络平台预防犯罪的内控范畴。网络平台企业内部失控不仅让网络平台陷入刑事犯罪的困境,而且那些在互联网中具有重要影响力的网络平台企业实施的危害较大的失控行为将会导致网络空间大范围出现秩序混乱的后果,也会给线下社会带来潜在的风险。德国的《电信媒体法》明确规定网络运营者为防止潜在的危险,具有面向未来的审查义务。在德国司法实践中,针对安全保障义务不仅应当删除违法信息,而且还要求网络服务商对其他可能的危险进行扫描。在意大利和美国,网络社交平台与独立的第三方事实核查组织开展合作的方式,通过对事实进行核查来帮助用户辨别真假消息。总之,网络平台对违法内容的监管属于行业自律范畴,网络平台不必等到危害结果发生之后,被动地处理侵权行为,而是可以主动采取必要且可行的防范措施提前规避可能的危险。
合规制度为企业设置的合规义务不同于刑法规范提到的信息网络安全管理义务。鉴于网络平台维持秩序高度依赖网络技术,所以应当适用技术归化理论构建网络平台治理相关法律规则体系。在网络信息监管体系中,网络平台处于“把关者”(gatekeeper)地位,既有社会责任也有法律义务。网络平台在收集用户个人信息的过程中,应当建立独立的信息保护制度用以保证用户个人信息的安全。网络平台在收集和使用用户个人信息之前应当明确告知用户收集、使用个人信息的具体范围与目的用途。建立数据的分级管理,针对用户个人信息数据、医疗数据以及其他来源合法的数据的采集、流通与共享采集都应当遵循合法、正当且必要的原则。为降低个人信息泄露的风险,平台应当严格管理数据分享渠道和数据抓取工具,只能在获得用户同意的范围内才能处理数据业务。出于对通信自由的保护,对于不公开的私人之间传输的网络信息与公开的网络信息的安全审查方式应当予以区分。尤其注意保护用户的敏感信息,处理敏感信息应当关注对用户个人信息的脱敏。在敏感数据的流通过程中,需要对数据流通涉及的第三方进行数据安全的风险评估,通过匿名化处理保证用户信息安全。企业在开展匿名化处理的过程中,需要从操作层面完成对原始数据的隐藏,生成替代数据避免他人识别信息主体的身份。
(二)网络平台刑事合规的事后减轻责任考察
传统的事后止损方式由于无法敦促网络平台积极主动履行网络服务的安全保障义务,容易造成网络空间安全漏洞日益加剧的危害后果。出于规范网络平台经营秩序以及发展网络平台经济的考量,法律规定网络交易平台经营者负有检查和监控平台内的商品和服务交易义务。在网络平台开放网络资源供他人使用的过程中,可以根据违法事实存在差异将网络平台中的违法传播行为分为两种行为模式。
一种是网络平台自己编撰整理信息并主动进行传播,即网络平台的主页内容侵权情形。如果侵犯他人权益的内容指向的网页属于网络平台所有,应由网络平台承担刑事责任。网络平台作为独立的行为主体,不履行前置行政法规定的网络安全管理义务就会造成严重后果。网络信息安全管理义务是刑法规定的网络平台服务商的法定职责,例如网络平台非法获取个人信息行为可能构成非法获取公民个人信息罪和非法获取计算机信息系统数据罪的法条竞合犯。
另一种是他人编写后放到网络平台进行传播扩散。网络空间中有许多提供存储与交换网络资源的网络存储平台,当网络存储平台没有履行对信息内容的特定审查义务时,就需要为不作为行为的危害后果承担责任。当网络平台发现交易行为人实施违反法律法规和规章的行为时,平台可以采取警告、暂停或者终止提供平台服务的必要处置措施。在网络平台不知道侵权事实存在的场合下,网络平台不应当承担侵权责任。只有网络平台得知用户上传到平台的作品可能侵犯到他人权益(例如知识产权),网络平台才有义务及时移除上传内容。虽然网络平台没有直接实施犯罪行为,但是在明知用户实施违法犯罪行为的情况下,网络平台还向违法犯罪行为提供协助和支持,就需要承担侵权责任。在履行合理的移除义务之后,网络平台对上传侵权作品得以免责。对于用户擅自上传到网络平台的侵权作品,应当综合考量按照“避风港原则”进行处理。“避风港原则”是最基本的安全保障义务准则,即网络平台在发现违法信息后立即删除违法信息,就可以认定为履行了安全保障义务。但是一旦网络传播的范围广泛且持续时间较长,此时仅仅删除违法信息不足以保护受侵害的法益,那么“避风港原则”在面对保障网络空间秩序的安全需求时就会捉襟见肘。
从事后合规的角度考量,完善的合规制度具有刑事激励的功能。在企业发生犯罪行为的场合,经由国家的刑事司法程序督促、约束和激励企业合规建设。关于合规制度的规范依据范围可以由司法机关(例如检察机关)颁布量刑指南的方式予以明确。针对合规建设存在的不足,检察机关可以对其提出检察建议,督促企业进一步完善合规体系。目前有的地方检察机关正在进行刑事合规的试点探索,以检察建议的形式提出不同限度的激励政策:合规出罪制度、宽大刑事处罚以及暂缓起诉协议或者附条件不起诉协议等。鉴于企业的刑事案件数量逐年攀升,将合规体系认定为定罪量刑情节的种类纳入刑事司法体系将势在必行。构建企业合规制度最大的推动力是合规制度带来的企业激励机制。企业激励机制指为促进企业建立合规计划而在刑事处罚中对企业宽大处理。检察机关在处理单位犯罪刑事案件时应当遵循“预防为主,打击为辅”的刑事政策。“预防为主”具体体现在检察机关应当督促涉案企业建立合规管理体系,将“严管”落实在制度上。在督促涉案企业开展刑事合规管理的过程中,检察机关作为第三人承担监管职责。“打击为辅”具体体现在刑事诉讼的各个阶段,在侦查阶段能不捕的不捕,在起诉阶段能不诉的不诉,在审判阶段能不判实刑的适用缓刑。需要注意的是,刑事合规制度衍生的刑法激励作用应当在规范执法的限度内发挥作用。只有在企业行为符合法律规范的场合,合规制度才具有防控法律风险的功能。刑事合规制度可以作为企业的抗辩理由,尤其在企业员工实施犯罪行为时可以完成企业与自然人之间的刑事责任切割。对于建立合规管理体系的互联网企业而言,合规计划能够换取刑罚从宽的待遇。
❖
五、结 语
在数字经济时代,网络犯罪的危害性要比线下犯罪具有的危害性严重得多,网络平台犯罪的危害后果不仅产生颠覆平台企业的风险,也会让国家安全利益、公共利益以及个人权益在网络空间中“裸奔”。网络犯罪的法益侵害并非仅仅局限于网络空间,而且还会导致现实空间面临一系列潜在的法律风险。在危害结果发生时,如果只是被动地等待监管部门开展一揽子调查,从公司业务到规章制度都要等待鉴定结果,烦琐且漫长。这不仅不利于保护受害者,而且受到侵权纠纷悬而未决的影响,还会对平台的声誉带来负面评价。建设刑事合规制度是网络平台企业防止网络平台业务行为成立犯罪的内部制度保障。企业合规计划以及信息网络行业自治规章参与到犯罪治理中,促使合规计划与国家法律法规共同维持信息网络的持续健康发展。将合规计划融入国家法律制度中,尤其是刑事法律制度,既能激活企业内部监管,又能引导企业刑事合规体系的建设。合规计划作为积极预防网络犯罪的社会责任证明,可以推动网络犯罪治理模式从监管网络平台向赋予平台企业合规抗辩权利转变。互联网犯罪的控制模式正在发生转变,不仅由外部控制模式向外部和内部共同控制模式转变,而且还会由被动控制犯罪向主动控制犯罪改变。强调刑事合规管理体系的建设不能忽视营造稳定的、可预期的执法环境。互联网企业没有动力开展刑事合规建设的主要原因在于建设和维护合规管理体系的人力成本、经济成本都十分巨大。尤其在不公正执法的营商环境下投入和产出不成比例,将导致多数中小微互联网企业的管理者难以意识到刑事合规经营战略的重要性。
❖
载于《江西社会科学》2022年第5期
原文编辑:叶萍
微信编辑:万洋
欢迎各类新媒体转载,为保护原创知识产权,请致信我社邮箱jx_sheke@126.com申请授权,我们会及时处理。
转载时请标明出处,谢谢!
微信公众号 | jiangxishehuikexue
扫码加关注
点
阅读原文了解更多