于改之 陈博文|数据犯罪的教义形塑及其风险防控——刑事合规语境下的考察
华东政法大学刑事法学院教授
陈博文华东政法大学刑事法学院硕士生
要目
一、问题的提出二、刑事合规语境下数据犯罪的教义形塑三、企业数据合规面临的刑事法风险四、企业数据犯罪防控刑事合规的路径构建结语
数据领域的刑事合规建设是双向受益的过程,建立一套长效的风险预测机制有其历史必然性。借由刑法教义学的研究方法,风险刑法的理论背景、综合性刑罚理论的正当依据高度契合了数据合规建设的目的范畴;单位“组织责任”的衍生构成了其责任基础;并且需要借助规范保护目的理论探索合规的教义边界,并经由正当化事由这一通道寻找合规罪量的理论依据。结合企业数据合规的行业运营缺陷及主要刑事风险,从风险防控的视阈,需要遵循三个层次的理论路径。在强化数据合规建设的分级分类保护及罪质认定的基础上,进一步完善多方主体的参与机制并厘清职责明细,在规范的价值层面上,完成数据合规体系中“权利—义务”观的双向重塑。
一、问题的提出
自2018年美国制裁中兴通讯以来,在全球化背景下为了防范他国的“长臂管辖”原则对于我国企业的“封杀”,通过刑事政策激励及司法上的从宽,激励我国企业内部建立一套完善的合规制度,是当下跨国企业国际化进程中面临国际挑战的首次司法尝试。自此以来,我国各行各业倡导建立企业合规制度进行得如火如荼。就合规的本质而言,从公司治理及公司社会责任来讲,合规计划设置目的可以归纳为三个方面:一是确保公司遵守法律法规,进而避免发生法律责任;二是控制公司内部风险,防止企业“内鬼”行为;三是履行公司社会责任,避免经营行为给社会造成危害。而建立合规制度,对我国刑事法体系及公司等主体而言,是一种双向受益的过程。站在国家的立场上,有助于实现一般预防的效果,从而确保我国企业在国际市场上竞争力的提升。就企业而言,能够尽力避免美国等不良制度的冲击以获得长久的制度优势。不可否认的是,现如今合规制度已经成为刑事法体系革新的过程中不可或缺的部分,从而在理论上赋予了刑事合规极大的研究价值。
数据合规的探索,是一个高度前沿性的课题。特朗普2018年签署的《合法使用境外数据明确法》被认为是美国实现数据领域“长臂管辖”的重要象征,将美国执法的手伸向全球的跨国公司,本质上是其数据霸权的强大控制欲。因此,数据合规的探索被赋予了一个对抗数据霸权的重要角色,尤其是当前我国部分企业在美国上市,必然面临美国的长臂管辖,此时我国的数据(包含商业秘密、国家秘密等)皆暴露在美国的制度高压之下,势必造成不利的局面。本文意在响应当前学术界对于合规制度的探索,聚焦于数据犯罪的预防,从企业这一主体寻求建立一套完善的风险预测机制,及时发现数据合规的风险所在,并且根据该结论及时进行合规建设,在制度的框架内维护公民主体、社会主体及国家主体的数据利益。在此之前,对于数据合规在刑事合规中存在的正当化依据,是值得探索且极度必要的命题,借助教义学的方法是必然且有效的路径。因此,本文从理论背景出发,结合刑罚本身的目的及单位“组织责任”的基础,先行构建其存在的合理依据,并通过规范保护目的寻求合规的教义边界,最终通过正当化事由确保合规制度能够充分进入到阶层犯罪论体系中。也期待能够通过自己的浅见,在数据合规领域提供一些行之有效的建议,并以此文求教师友。
二、刑事合规语境下数据犯罪的教义形塑
在刑事合规的语境下,通过教义学路径,目的在于寻找刑事合规中犯罪主体从轻、减轻事由的正当化依据。刑事合规目的的实现可以通过教义学的管道进行塑造,也必须通过教义学的管道方能凸显实体法本身的高度独立性。不论是德日三阶层又或是英美两层次的犯罪构成体系,皆要求通过相应的判断路径寻找依据,刑事合规制度对于定性本身并不存在过多讨论的空间,然而在违法性与归责问题上,为何减轻、从轻缺乏相应的依据。因此,通过教义学的方法对刑事合规进行形塑,起码存在三方面的原因:其一,二者皆建立在实定法的研究基础之上。自教义学本身而言,构成其研究对象的是实定法秩序。它是一门关于现行法的科学,而非关于正法的科学;是关于实在法的科学,而非应有法的科学。由此,它区别于那些以应有法为研究对象的关于法的科学,即区别于有关法之目的的科学—法哲学以及有关这种目的之手段的科学—法政策学。而刑事合规虽然包含了不少刑事政策上的考量,但是其制度基础仍是建立在实定法之上,本质上是对传统裁判者定罪量刑逻辑的制度性革新。其二,教义学的解释路径是刑事合规的必然之路。为防范刑事风险而实施的刑事合规需要对刑法规范有正确的理解。脱离了刑法教义,对刑法的理解仅仅建立在直觉的基础上,不了解刑法条文中所反映的价值理念,对刑法的理解就会发生错误,建立在错误理解基础上的所谓的刑事合规措施自始也就可能是无效的。其三,二者在历史沿革上具备高度的一致性。就刑事合规本身而言,其存在的社会基础是现代企业制度的演变及技术的不断普及,数据犯罪便是当今时代及未来长期所倚仗的技术手段之衍生品,此时合规的目的便在于防控,更可称之为衍生品之下的针对性防控手段,具备时代性。教义学同样是当前刑法学领域迅速发展的典型象征。在经历了近二十年的繁荣之后,以苏联刑法为基础的中国刑法理论逐渐呈现出知识低谷、缺乏进步的现象。在陈兴良、张明楷、周光权等学者的大力推动下,德日知识再次大规模进入中国,学术开放格局初步形成。中国刑法原有的单一知识结构发生了潜移默化的变化。特别是大量引进德国、日本的法学理论知识,成为中国刑法理论新一轮发展的引擎和动力。二者高度一致的时代典型性,以及教义学的方法在刑事政策与刑法体系中发挥重要作用,这也让我们有理由相信教义学的方法论可以在刑事合规与实定法之间构建联结的桥梁。但是,在其缘何产生于这一时代背景,与实定法关系又该如何结合值得进一步探讨。具体而言,有以下几个方面:
当今时代,风险社会的到来正在促成刑法的转型,已经成为学界广泛的共识。长期以来的观点是,面对“风险社会”,刑法应积极应对,在风险控制中发挥重要作用。一般来说,根据风险控制的要求,对刑法进行一些修改,在一定程度上调整刑法理论,都属于合理应对的范围。在风险社会的背景下,刑法变革最典型面向,其中最重要的是预防主义刑法观的进一步发展,促成了刑法正在向积极主义转型,立法中出现了大量的“危险犯”,着重体现刑罚处罚的早期化以及刑法处罚范围的扩大化。姑且不论及其合理性,这一趋势体现在刑法立法中,似乎已经证明了当前社会的风险正在被“类型化”。数据犯罪正是如此,当前所有的个人信息通过多种途径的采集,在数据终端形成一个庞大的数据库,可以称之为“数据池”,而数据终端的管理者并非始终由国家、政府来担任这一角色。随着APP及各类数字科技软件的普及,普通的数据科技企业也在一定范围内拥有了收集用户个人数据的权利,例如高德地图可以获取用户的实时定位,并且获得了国家几近全覆盖的城乡道路规划地图,所有的个人数据最终由高德地图进行保管。同理,滴滴公司等出行软件、餐饮业小程序同样拥有获取用户定位的功能,购物软件甚至可以完全获取用户的购物信息并形成所谓的用户专属购物取向。伴生而来的是,个人信息泄露、被盗取甚至被售卖的风险时刻存在,所有数据中存在广泛的商业利益,因此成为了黑灰市场着重夺取的一块“肥肉”。此类行为已经严重践踏了社会秩序以及公民的个人权利,刑法规定了相关罪名予以规制。同样值得保护的,还有诸如商业秘密此类,立法者严格规定了刑法入罪的红线。但是,仍然有许多行为未被刑法纳入处罚范围,但是当前毫无疑问已经对社会法益及公民个人法益造成了一些危险。例如所谓的大数据杀熟,涉及的是消费者个人权利的维护及财产权利面临欺骗等危险。随着预防主义刑法观的持续深入,若行为的恶害继续扩大化危及到刑法保护的法益,可以预见的是立法存在入罪的可能性。以此可见,数据犯罪正是伴随着风险刑法所产生的,围绕着个人信息、商业秘密等有价值的数据进行黑灰交易,严重损害了社会公共秩序及商业环境的有序性,并危及到了公民个人权利的保护。因此我们大可得到一个结论,数据犯罪防范及规制的正当化依据,正是来自于风险刑法背景下的刑法变迁。
也恰恰如此,数据合规是以针对数据犯罪等系列违反法律规定的行为进行预防、防范为目的,其与风险社会的刑法变革之间存在高度的关联—风险社会正是数据合规的大背景。将风险社会的刑法变革作为数据合规的大背景有以下几个原因:首先是数据合规建立的背景契合了风险社会下刑法变革的主要趋势。就数据合规本身的需求性而言,其是随着数据的高度普及而产生的。海量、多源异构的数据不仅仅对数据管理、存储、处理和应用带来了挑战。在寻求大数据应用支持并获得更大应用价值的新技术的同时,数据开放和共享将个人隐私暴露在平台前端。数据开放性和隐私保护、数据应用程序创新和风险合规性已成为数据治理领域的巨大挑战。在刑法领域的立法工作,主要体现在刑法第253条之一“侵犯公民个人信息罪”,该罪名由2009年2月刑法修正案(七)增设,它旨在保护公民的人身安全,惩罚因非法披露个人信息而导致的严重侵犯个人、财产和个人隐私的行为。其中,作为本罪行为对象的“公民个人信息”包括公民的姓名、年龄、有效证件号、婚姻状况、单位、学历、简历等能够识别公民个人身份或者涉及公民个人隐私的信息和资料。上述信息、数据资料也正是数据合规的主要保护对象,在这个层次上,二者保护的方向、目的是相契合的。其次,数据合规需要借助风险社会的背景,通过刑事政策进入到刑法体系中。刑事政策进入到刑法体系这是当代刑法发展的重要命题,也是风险社会刑法体系另一个重要的面向。特定时期的刑事政策在社会背景的影响下形成,并且威胁到了刑法所保护的法益,从而被刑法所采纳,在符合刑法规范保护目的的前提下形成了具体条文的规范保护目的,并且通过立法进入到刑事政策。虽然这一趋势经常被认为是刑法的“工具主义”倾向,但是不可否认的是,刑事政策进入到刑法体系是不可或缺的。数据合规恰恰就是刑事政策的产物。2007年,中国保监会颁布《保险公司合规管理指引》。中国企业的合规,率先在金融行业开展、发展和成熟。近年来,国家有关部门陆续出台颁布了若干合规管理规定,如《证券公司和证券投资基金管理公司合规管理办法》《银行业金融机构全面风险管理指引》《企业内部控制基本规范》《企业境外经营合规管理指引》等。2017年12月29日,中国标准化管理委员会发布了SO19600《合规管理体系指南》(GB/T35770-2017)并于2018年7月1日起施行。2018年5月4日,由中国贸促会等组织发起设立全国企业合规委员会。在这个过程中,合规制度的完善正是在预示着刑事政策的逐步演进。最终,数据合规进入到刑法体系中,被刑法所采纳并成为犯罪主体从轻、减轻的依据,仍然要通过其刑事政策的本质来完成,这个过程也恰恰契合了风险社会刑法变革的大背景。
数据合规的处罚原则是,在合规计划通过后,数据管理的主体能够在合规的范围内遵守规则,如果一旦触碰到刑事风险便可以成为其从轻、减轻的依据。其中,不仅凸显了积极的一般预防主义的刑罚观,还体现了报应主义、特殊预防的刑罚目的。所谓综合刑罚理论,是指介于绝对刑罚理论和相对刑罚理论之间的各种刑罚理论的总称,力求取长补短,实现理论的最佳结合。其中,我国学术界支持的理论是按刑罚类型和阶段确定刑罚目的的综合理论。该理论包括两个重要内容:一是在刑罚类型上,基本体现了死刑中的正义报应理论与其他刑罚类型中的预防理论的融合。其次,在刑罚的制度适用阶段,它主要体现在法律规定中的一般预防理念,更多地体现了司法程序中的特殊预防和报应观点,尤其体现了刑罚执行中特殊预防原则的综合。其中,预防是指对某一事物的预先防范。在刑法理论中,作为刑罚目的的报应是指惩罚的性质和追求,是对犯罪的回报和补偿。简而言之,综合理论是分层次地适用、选择刑罚目的,在立法涉及犯罪行为定型性的场合,采取预防主义,即在报应刑的范围内注重一般预防主义与特殊预防主义,该学说又被称为“并合主义”。
数据合规的处罚原则契合了上述的刑罚目的理论,其成为了数据合规处罚的正当化依据。数据合规中,最需要解决的问题在于为何合规可以从轻、减轻处罚?通过刑罚目的理论可以解决以上问题。首先,一般预防主义在数据合规中得到了最典型的体现,因为数据合规本身的目的就在于防范、预防数据犯罪,所体现的通过合规事先提醒企业主以防范数据泄露的风险,得益于该合规的提示功能,数据合规的企业期待可能性及主观上的违法性得到了降低,合规积极参与上述过程正是一般预防主义的体现。特殊预防主义契合的是后处罚时代的企业运营,企业在数据运营中遭受了行政处罚或者刑事处罚,司法机关迫使其制定合规计划,可以有效防止其再次踩到红线,尤其是大部分犯罪主体对数据相关的犯罪主观形态是过失,此时通过数据合规合理提升其谨慎的结果预见能力(可能性)及避免的可能性,是有利于数据犯罪特殊预防的实现的。同理,数据合规从轻、减轻体现的是报应刑的精神,企业尽到谨慎的义务,那么此时其非难可能性降低,可谴责性相应降低,对其进行从轻、减轻处罚也在情理之中。企业合规的终极目标是确保企业合规经营,保障企业经营目标得以实现。企业经营活动比其他非营利组织有更大的法律风险,为了保护自身的生存和利益,弥补弱势地位的不足,必须加强自律,确保法律底线。此时,刑罚目的理论为其提供了正当化依据。
公司法人是否可以独立承担单位的“组织责任”是数据合规建立绕不开的理论命题。其意义在于找到刑事责任归属的重要依据,众所周知,刑法最初的本质是惩罚实施犯罪行为的自然人,但是在公司中其往往是自然人群体的结合并且拥有独立的决策机构,重要的决策可以是高层少数集体做出也可以是领导集体基于全体员工的意志作出。但公司做出的决策踩到了刑法所设立的红线,侵犯了刑法所保护的法益,便面临处罚谁的困惑。早期罗马法坚决不处罚公司集体,仅仅处罚自然人,但是现实中处罚自然人难以全面地实现刑罚的目的因为自然人的代表性随着公司制度的发展逐渐变弱尤其是股份制公司,股东的话语权代表不了公司决策的取向,其再犯可能性难以保证完全遏制。此时,法人成为刑事责任承担的主体,似乎成了一种必然趋势,即便其在德日等大陆法系国家尚未得到认可。在实践中它已成为政治、经济、文化乃至整个社会生活的主体具有独立的身份。正是大量法人作为一种真正的社会特殊类型的人的出现及其作为法人的犯罪活动,使得刑法对法人犯罪进行处罚成为必然。但是追究问题的本质,仍然要寻找不法意识的来源,究竟违法性来自何处。很遗憾的是,公司法人是没有独立意志的,其可以等同于一台机器,最终的操盘手仍然是其背后的行为人。换言之,企业到底是因为自己的罪过而承担自我责任,还是因为其员工的违法犯罪行为而承担连带或者转嫁责任?这个问题是长期以来困扰企业犯罪论的关键。后来的理论认为,企业受罚是因为自己不够努力,其所承担的是自己行为的责任,而不是对其员工行为承担代位责任。由此,刑法理论经历了漫长时间的演变。
单位犯罪的“组织责任”成为可罚性的不法行为,经历了法人拟制说到法人实在说的发展,当前已得到我国刑法的正式认可。似乎,企业“组织责任”可以成为数据合规的正当化依据,这个问题已经迎刃而解。但是作为企业“组织责任”本身而言一刀切的处理方式并不能达到期待的效果。当前数据的管理者太过于繁杂,上至国家部门,下至各类能够获取用户权限的app公司,其皆有一定能力接收数据。就小型公司而言,其本身的决策上层可能只有极少数人,在形成数据库的过程中产生了售卖意图,此时不仅要处罚公司行为人更要因此承担刑事责任。并且需要注意的是如果企业本身就是为了数据犯罪而建立,那么此时企业变成了犯罪的工具,其责任主体的地位应当被剥夺,直接处罚行为人即可。同样的,企业是否需要对员工承担其过失泄露或者在公司不知情的情况下实施犯罪的刑事责任。基于责任主义的原理起码要求行为人在犯罪时最低要符合过失的要求否则不存在现实的可谴责性。因此,上述场合,按照通常做法处罚单位,让其代替员工承担责任是不符合责任主义的要求的。但是在企业合规建立后,赋予了企业结果预见能力及结果避免可能性双重义务,那么当员工在私自泄露或者不知情的情况下触犯法条,公司也需要证明其遵守了谨慎义务,这无疑是一条更加规范的归责路径。
总而言之,公司结构的变化,风险理念向公司刑法中的渗透,使得法人责任形式由个人责任向组织责任转型,从而使防卫基点前移。对于法人责任的追究,从“个人—组织”的间接模式,转向直接追究法人的组织责任。我们承认这一趋势的同时,合规制度的建立进一步契合了责任主义的要求,构成了数据合规在阶层犯罪论体系上的正当化依据。
在广义的范畴上,实定法是数据合规建立的基础,那么教义学便是实现合规边界控制的方法论,其中的规范保护目的发挥了重要作用。所谓规范保护目的,是指立法者制定法规范时所欲实现的目的,是立法者协调不同利益冲突而形成的价值判断或评价立场。据此,“规范”系指法规范,“目的”系指法的目的,包括法整体的目的、部门法的目的、法制度的目的以及法条文的目的。规范保护目的的价值在于限制数据合规的教义边界。为何要限制数据合规的边界?众所周知,刑法虽然具有谦抑性,但是其处罚手段的严厉性是守住社会最后一道城墙的保证。过于膨胀式的刑事合规给予了企业更大的行为空间及更多的出罪事由,从而导致刑法的功能失去实现的意义,企业完全可以利用合规的漏洞进一步实现其泄露、贩卖等不法行为的工具和手段,此时合规制度形同虚设并且拖了后腿。那么控制合规边界的方法就不能仅仅要求程序法或者法官来完成,这一途径缺乏一个明确的实定法标准而显得不够公正。第三方司法机构评估数据合规需要一定的依据,以保证企业在数据运营中能够稳定地维持在框架的系统内运转。这个依据最低的限度便是边界价值,即设置一道底线衡量合规是否符合刑法最低限度的要求。难的是,这一标准无法具象,因为刑法的底线价值并且数字可以衡量,此时必须借助抽象理论进行深度把握。规范保护目的作为合规制度创造的底线、边界,便具备一定的现实基础与被规范选择的价值。
接下来需要回答的是,为何选择规范保护目的作为这一边界的衡量标准。结合规范保护目的的本质,就是其被选择的原因。根据规范保护目的的概念,其作用在于实现刑法条文本身的期待实现的目的。整体法秩序的目的之下,又包含了各个部门法自身的规范保护目的,例如刑法所要保护的是什么,便是通过部门法独立的规范保护目的说明。规范保护目的在具体条文上更是其立法依据,以“侵犯公民个人信息罪”为例,其规范保护目的在于保护公民隐私权、名誉权等自主的人格权,与此同时保护社会信息秩序的稳定。在规范保护目的之上,刑法解释学可以围绕其保护的法益构建多种解释论路径,这无可厚非,但是所有关于刑法条文本身的解释都不能超越其本身的规范保护目的,当前已经形成共识。因此,选择规范保护目的作为边界衡量的指标,是最具稳定性与信服力的。此外,还需要注意的是,此处的规范保护目的并不是整体法秩序的规范保护目的,也不是其他部门的规范保护目的,而是刑法本身乃至条文本身的规范保护目的。例如,刑法上的规范保护目的不同于行政法上的保护目的,后者虽然有时也具有保护法益的目的,但是大部分法条以行政管理为主要目标,因此对于违反行政法的行为是否成立犯罪需要根据刑法上的规范保护目的进行再评价。在方法论上,合规的设计应当结合所有犯罪行为背后所涉条文的规范保护目的,并且在其之上进行框架构建。由此,确定合规可能涉及的具体罪名及其犯罪风险是必要的,本文将在下文的第三部分继续展开论述。
合规这一概念不仅是刑法上的概念,许多学者也认为合规是刑事程序上的概念。作为刑事合规,其体系性地位是具备充足的讨论空间的,尤其是其在犯罪论体系下如何发挥其作用,必然需要找到其发生作用的理论依托与体系定位。合规顾名思义要求企业在符合法规范的框架内发展,为了奖励其守法,法规范可以在其产生不法后果时责任上从轻、减轻。以此来看,刑事合规在刑法入罪的量刑机制上似乎可以发挥更大的作用。但在笔者看来,刑事合规之所以可以触发从轻、减轻的激励机制,其关键在于责任阶层的过失与期待可能性上。
从过失理论来看,数据合规触发从轻、减轻事由的正当化依据恰恰隐藏在其诸多理论中之中。这一点,已经得到学界的一些认可,例如日本学甲斐克则指出:“根据过失犯罪本质在违法性层面把握的理论,守法计划可以作为客观注意义务的标准来把握,在企业活动中发生人身事故时,存在与正当性功能相联系的空间。”追溯过失的理论演进,其经历了三个阶段:从旧过失理论到新过失理论,再到危惧感理论(又称新新过失理论)。在旧过失论阶段,结果无价值论提倡可预见可能性理论,强调预见可能性是过失的本质,并以认知缺陷作为过失非难的基础。在这个时期,合规存在的余地并不大,反而是公司为员工承担刑事责任的依据在此找到,可以说“旧过失论”是公司“组织责任”的一次证成。但是旧过失论并无法为合规提供一个完整的正当化依据,因为其对构成要件该当性与违法性全然不顾,此时也便无法说明合规为何可以从轻、减轻。其后的新过失论也被称为基准行为说,其是行为无价值所发展的一种建立在结果回避义务之上的过失理论。如果根据一般人的标准,若犯罪主体采取了合理的基准行为避免了结果的发生,即便具备预见可能性,那么该危险因为被允许所以限制其过失的处罚范围。至此,新过失论的理论阐述奠定了合规在过失理论上的正当化依据。正是通过合规,企业实施了所谓的避免结果发生义务之基准行为,因此其违法性降低,责任阶层对于过失的谴责程度也理应降低,这便是为何合规可以从轻、减轻的理论根据。若进一步追究,实际上我们可以认为合规恰恰契合了过失理论中的信赖原则。信赖原则是指当有足够的信任使被害人或第三人(特别是被害人)不会采取不适当的行动,反之,没有不适合相信另一方会采取适当行动的情况,行为人在此前提下做出适当的行为就足够了,即使另一方违反该信托并最终导致合法利益受到侵犯,我们也不能追究行为人的过错责任。原先信赖原则适用于交通领域,只要驾驶人遵守交通规则,即便撞到违反交通规则的行为人,也有理由信赖行驶人是合理的行为。运用到合规中恰恰如此,如果企业能够遵守合规计划信赖的前提下,那么即便发生了法益侵害事实,那么也不能追求企业的刑事责任(减轻企业的刑事责任)。
除了过失理论作为企业数据合规的正当理论依据,期待可能性理论也为其从轻、减轻事由提供了理论通道。在最早的责任阶层中,通行的是以道义责任论为基础的心理责任论,其主张只要具有责任能力以及故意或者过失的心理事实,就具有道义上的责任。在其时理论流行的责任观念下,如果企业员工实施了违反规范的行为,那么在道义上企业需要为其承担替代责任,与上文过失理论的第一阶段异曲同工。“癖马”案是责任论转变的关键,尤其是威尔泽尔提出以期待可能性为核心的规范责任论,最终完成了向目的行为论的转型。期待可能性是指行为当时的具体情况下,能期待行为人做出合法行为的可能性。合规遵循的就是这么一层逻辑,通过合规计划的施行,期待企业不去从事涉及数据犯罪等相关行为的可能性。在合规存在的情况下,可以期待企业实施合法的行为。可以说,期待可能性与合规的主旨是一致的。同时,法律也不能强人所难,在企业遵守了合规制度后,即便触碰了刑法的法益,造成了犯罪结果,也可以因其遵守合规制度对其进行从轻、减轻处罚。
值得一提的还有违法性阶层,也可能涉及合规的正当化依据。在日本刑法理论的基础上,借鉴了三种理论:一是违法减少理论。该理论认为,由于正当防卫的存在,攻击者的保护可以(部分)减少,这正好减少了过剩防卫的非法性。二是违法性与责任减少理论。这一理论在减少违法性的论证中增加了因其属于紧急避险而可以减少责任的理由。三是责任减少理论。根据该理论,紧急行为时的心理震动(恐怖、惊愕、兴奋和尴尬)会减少责任。过当防卫是正当防卫制度外的行为过剩产生所产生的过当结果,处罚原则同样是从轻、减轻处罚。透过过剩防卫,违法减少理论发挥了巨大的作用,即便认定为刑法意义上的不法行为,理论上仍无法完全排斥违法减少事由的介入,此时违法阻却与行为的不法性是共存的。在笔者看来,违法性阻却事由同样可以作为合规从轻、减轻的正当依据。理论定位可以聚焦在执行命令与正当业务行为两项通说的超法规违法阻却事由,执行命令是指按照上级的指示而实施的行为,正当业务行为是指基于某种业务需求而正当地从事某种业务活动,皆与合规有相近之处。因此,也不排斥将刑事合规作为一种可能的超法规的违法阻却事由进行考量。
三、企业数据合规面临的刑事法风险
合规顾名思义,就是要求合规针对的主体在合规计划所圈定的框架范围内实施正当业务,而数据的刑事合规指涉的是围绕企业数据运营中可能的刑事风险,划定合规计划的框架,防范预防企业整体或内部实施侵犯数据法益的危害行为,并且规范数据运营行业的商业生态,保证国家社会以及公民三方的数据利益。概念的厘清是数据犯罪刑事合规制度的先行之路,在此,还有几个企业数据犯罪刑事合规涉及的具体内容可待进一步展开。
首先,需要明确企业数据犯罪刑事合规制度的主体。此处所指涉的主体并非狭义上的以数据企业为核心的合规圈层,还应当包括数据管辖的主体,数据标准制定的主体以及其他相关的数据产生主体,以下分别进行讨论。第一是数据运营的主体,数据运营的主体在我国是逐渐增加的,不论是在行业种类上,还是数据运营企业的数量,尤其在近些年呈现爆发式的增长。例如隐私权管理的主体,可以列举出购物类(例如淘宝拼多多京东等网购软件)互联网金融支付终端(例如支付宝、各种掌上银行)搜索引擎(例如谷歌百度等)各类视频娱乐软件(例如爱奇艺优酷视频等)新闻资讯类(例如各类新闻网站腾讯新闻等)聊天视讯软件(腾讯QQ微信等),诸如此类,若一一列举并不现实,因为当前获取数据的终端与APP注册的数量基本相当,数字基本难以完全掌握。值得一提的是,以上数据运营主体存在一些共同之处:1.皆有权限获取位置信息及通讯录信息或者相册等个人隐私数据,虽然用户有权利取消其权限,但是根据当前软件运营状况反馈,如果不提供此类数据那也就意味着放弃了使用权限,软件会自动退出,此类行为不在少数。因此,当前各类型软件都可以成为数据运营的主体,后台皆存在大量的数据池。第二是可以获取数据管辖权的主体。顾名思义,便是可以从数据运营主体手中获得其终端数据的部门,在我国只要是根据调查需要,各个部门皆有权限获得企业的个人数据,因此管辖权是完全开放给国家机关部门的。这并非着重关注的地方,重点在于其他具备威胁能力的主体是否有管辖的权力。不得不提的是近期热议的“滴滴”事件,据媒体透露滴滴被监管部门下架严查主要原因是其在美国上市,此时一旦上市成功那么美国方便具备权限可以通过“长臂管辖”原则要求企业提供数据,此时,因为滴滴掌握了大量的用户数据以及国内几近全覆盖的道路数据,个人信息与国家机密就存在被泄露的风险。尤其是,作为占据国内网约车约80%市场份额的霸主,滴滴掌握了数亿个人用户信息,其中不乏涉及国家安全的信息,具有军事战略价值。此时,滴滴手握利器,却企图悄悄进村,打枪不要,绕过监管层,不进行安全评估,就蒙混过关在美国上市。在数据的管辖权层面,注重防范他国的“长臂管辖”已经成为重中之重,但是国家当前仍然强调的是企业的自律,滴滴在这次事件中无疑是一个反面案例。第三,数据标准制定主体。在我国,立法可以实现数据标准的制定,例如网信部等可以通过行政法规部门规章的发布提供相关指南。在其他数据治理领域,还存在几个有影响力的制定主体。第四,其他相关的数据主体,其指涉的是涵摄并非以数据运营为业务的企业,但是在运营过程中产生大量数据。比如“互联网+金融”,从技术的角度来看,互联网是一种技术手段。“互联网+金融”仅仅是利用互联网技术使金融业务从线下发展到线上。除了金融技术,它还包括其他技术要素,如人工智能区块链生物识别等。这些技术要素深刻地改变了金融业的供应主体商业模式客户对象风险构成和监管模式。企业数据犯罪刑事合规制度的主体一旦明确,合规制定的针对性与完整性将会更加完善。
其次,企业数据犯罪刑事合规制度的标准为何,也有待进一步展开讨论。着重针对隐私泄露的问题上,刑法在商业秘密罪以及泄露国家秘密罪等相关罪名提供了相关的入罪标准,其主要依据的是前置法数据安全法、网络安全法。在防范数据泄露方面,相关收集或保密的标准已经十分明确。另外,在数据安全领域,国家也建立了分类分级的保护机制,在该领域也有一些突出成果,例如有学者提出,在数据分类分级的基础上,根据数据安全的法益性质及其所受侵害,对数据犯罪进行罪质界定和罪量评价,并对数据安全保护的关联罪名予以界分。
最后,还需要明晰企业数据犯罪刑事合规制度的相关规范指引,着重梳理当前合规制度的制度网。在刑法领域,主要涉及刑法第219条“侵犯商业秘密罪”、第219条之一“为境外窃取、刺探、收买、非法提供商业秘密罪”、第111条“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”、第253条“私自开拆、隐匿、毁弃邮件、电报罪”、第253条之一“侵犯公民个人信息罪”“为境外窃取、刺探、收买、非法提供军事秘密罪”、第432条“故意泄露军事秘密罪”“过失泄露军事秘密罪”等6个条文。刑事立法当前已经深刻注意到数据安全领域,对于数据合规的推进提供了进一步的实定法依据。
合规计划的制定主体是企业为主,其自身的自律性是合规计划能够通过的必要保障。但是就当前的企业数据管控模式而言,仍然存在诸多运营缺陷值得反思,具体而言有以下四个方面。
首先,数据权利泛化导致企业之间出现贸易壁垒,从而导致企业间的合规建设持续保持单向度发展,最终受制于权利救济途径不足,合规计划走向失败。数据权利的泛化指的是数据管理权的普遍化,只要是合法的数据终端都存在处理其数据的能力,此时其往往违背谨慎义务造成一系列诸如泄露的后果。产生这一现象的原因有两个,一是数据私权化的产生,二是企业对于数据自决权的错误理解与不当使用。先行聚焦数据私权化,近年来,一些学者提出了“数据私有化与数据共享的内在冲突”的命题。数据私有化强调特殊性。它将社会成员创造和产生的“公共物品”划分为不同主体的私人物品,不允许主体跨越界限,否则将构成对他人合法权利的侵犯。数据私权化的存在是不容否认的,当前各个企业之间存在将自身拥有的数据占为己有,并且将收集来的数据归为私有财产,最终导致其产生数据私权化的意识,并将其任意贩卖,并且导致数据合作机制停滞不前,可以说是一种行业常态。虽然,数据私权化更有利于公司企业的商业发展前景,其自身也保有相应的数据储存权,但是这并非其数据私有化的借口,反而容易私权意识萌生而不当处置。从更深层次进行理论挖掘,数据私权化更本质的原因是信息自决权的泛化。何为信息自决权?公民自身享有人格权,有不向外界透露隐私的权利,法律本身也予以保护。公司、企业对于商业数据也有相应的权利,可以不向外界透露。但是信息自决权的本质绝对不是处决他人信息的权利,因为当前更有价值、值得刑法保护的信息并非企业自身的数据,而是其通过各种方式收集来的数据池,此时企业对其收集得来的数据已经不再有自决的权利,因为权利归属仍然属于公民,其不过是将信息暂时保存在终端罢了。此时,数据的自决权在数据企业手上转化为了数据的保留权。但是事实上数据运营的企业并未充分理解这一权利。在我国,实现基础的权利保护是十分困难的,最终的原因仍然要归属于权利的泛化。
其次,数据法益的过度功能化,导致企业无法很好理解政策背后的激励机制,合规计划无法完全融入数据运营企业的行业生态中。从上文对于数据立法的揭示可以看出,对数据企业进行合规化是当前主要倡导的刑事政策。并且当前法院、检察院大力支持倡导合规制度的推进,甚至与律所之间形成合作关系,帮助企业建设合规计划。在立法中,数据法益保护方面的立法也逐步完善,并且学界倡议的声音也不绝于耳。这体现了当前风险社会背景下,刑法处罚不断前移,典型的是刑事政策不断进入到刑法体系中,对立法起到一定的影响作用。从刑法修正案(七)始,立法工具化的声音就源源不断,这一定程度上反映了刑法保护的功能化(功能主义)。毋庸置疑,加强法益的保护本身是一件好事,对于社会秩序的维护也起到了保障效果。但是不能忽略的是,在合规领域,因为合规的制定者或者律所等合作者难以全面把握住刑事政策的精神,容易产生偏差。尤其是在数据领域,当前跨越数据与刑法两大理论领域的学者并不多,实现两个学科间的理论贯通也非易事。此时,刑事政策的革新频率过快,可能难以要求企业完全进行吸收,最终,合规计划无法完全融入数据运营企业的行业生态中也是自然而然。
再次,国际环境的复杂性致使潜在的风险等级不断上升,企业数据合规的更新速度滞后,致使其适应能力及应变能力都较差。例如当前美国、欧洲国家的“长臂管辖”,对我国数据企业虎视眈眈,其中不仅存在大量的商业经济利益,更重要的是其涉及了广泛的国家机密。对于企业而言,其戒备心是较差的,不论是2018年的中兴通讯等系列事件或者近来的滴滴事件,皆体现了企业的准备大大不足,低估了环境的冷峻。当前,数据企业的目标仍旧放在金融领域,借着互联网高涨的东风寻求进一步发展。以金融科技为例,其极大地降低了资金供需双方的连接成本,实现了高效率和低成本,但金融风险的隐蔽性、突发性、传染性和负外部性等特征依然存在。同时,金融、技术和网络风险更容易产生叠加和聚集效应,使风险传播更快、传播更广,在技术风险、操作风险和系统风险方面更为突出。此时,更何谈为走出国门制定充分的计划,最终等于踏入虎口,成为他国数据霸权的食物。
最后,数据传输、挖掘的过程中也隐藏着泄露的问题,企业却极少予以关注。数据安全和隐私亮点:大数据的挖掘、分析和开放共享不仅提升了数据应用的价值,也增加了数据的透明度。特别是当数据集中在一个大的环境中时,一些敏感和私有的数据可能会被泄露或非法使用,这给数据安全和隐私保护带来了更严峻的挑战。例如比特币交易或者网络数据的传输过程,如果无法确保技术的准确性,泄露的风险是极大的。因此,关注,数据传输、挖掘的严密性是企业合规建设的重要课题。
文章该部分主要阐释刑事合规面向的刑事风险中,具体涉及的罪名,因为数据涉及的层次多,只能挑选典型的罪名进行阐释。具体如下。
根据我国通说,本罪在客观方面表现为行为人实施了以下两类行为之一:第一,向他人出售或者非法提供公民个人信息。“出售”,是指以获得对价的商业目的进行出卖,“非法提供”,是指不以获得对价的商业目的,但违背国家规定、职业操守而提供。第二,窃取或者以其他方法非法获取公民个人信息。信息与数据间的关系,在概念上并不统一,在笔者看来,数据与信息二者在法益保护的视角下指涉的概念是不完全包含关系,其中重合的部分(尤其是信息所指涉的部分)正是刑法保护的对象。我国刑法严格规定了个人信息的保护方向及行为定性,就立法而言是相对比较具体且涵摄的行为范畴较广的。此外,严格保护公民个人信息在世界范围内都已经成为了共识。检索近年来德国、日本等国家涉及个人信息保护法的裁判文书,可以发现这些国家对侵害个人信息的行为,实际上科处刑罚的案件很少。虽然无论是德国还是日本,在刑法立法层面,都坚持了严格保护公民个人信息的基本立场,基于个人信息的重要性,以及信息侵害相关问题的现实背景,这很容易会导出将个人信息的非法收集等行为直接设置刑罚的结论。在德国,对于违反数据保护进行罚款以及科处刑罚的案例极为稀少。其刑罚适用仅限于牟利或者加害目的等进行的信息获取、提供和出售等行为。
在具体的司法实务中还涉及该条文如何进行适用,这是数据合规防范刑事风险面临的重要命题。例如“杜明兴、杜明龙侵犯公民个人信息罪案”,在本案中,被告杜明兴及其辩护人和杜明龙的辩护人提出,购买的商业登记信息是公开的,不应属于刑法保护的公民个人信息的范围。对此,法院认为,企业工商登记信息可以通过合法渠道查询,但涉及公民的个人信息仍属于法律保护范围。在此案中可以看出我国对于个人信息的保护力度是比较大的,这也给刑事合规提供了方向。数据犯罪的刑事合规必然需要贴合当前我国对于信息的管理制度,尤其是该罪名属于典型的法定犯,具备双重违法性,不仅需要进行刑事领域的合规建设,对于行政法领域的例如数据安全法,也要着重纳入合规说涉及的规范依据范围内。
当前侵犯著作权在司法实践中是十分普遍的。在我国,文字作品、录音录像等皆可以被纳入数据的概念范畴内,成为刑法所保护的对象。以一本小说为例,小说是由文字符号组成,作者借助文字的表达诉说了故事或传递了思想,并通过书写或打印的方式记录在书本上。可见,一本小说至少反映了信息的三种层面,其一是信息的意义内容,即作者透过文字所要表达的故事或思想;其二是信息的表达形式,即作者使用的文字符号;其三是信息的物质载体,即记录小说的纸张书本。这三种信息的层面不仅独立存在于信息传输、存储和使用的现实过程中,也可以为法律对信息的规范和保护初步划定界限。因此,不仅只有数据企业有合规建设的必要,包括涉及著作权的所有企业也应当进行合规设计工作。
侵犯著作权罪在实践中也不乏典型案例,尤其是随着数据传输技术的发达,犯罪基数与日俱增。
如以下案例:
2013年底,被告段某在互联网上建立了“窝窝电影网”。该网站可以收集、聚合和链接乐视、土豆等国内主要视频网站的影视作品资源,并屏蔽链接网站影视作品的标题广告;网站网页编辑有影视作品目录、索引、内容介绍、排名列表等栏目,供用户点击浏览。网站成立后,被告加入两个广告联盟,通过在网站上发布付费广告,收取用户点击和浏览影视作品产生的广告费。据统计,2014年1月至2016年5月,被告段某通过广告联盟共收取广告费53万余元。
该案例的典型意义在于提供了一个庞大的视角能够进行数据概念的判断,当前数据的概念不断革新,扩大数据所涉行为定性在解释论上的概念范畴,例如司法机关在该案例中指出,包括提供作品以外的各种提供网络服务的行为,所有的原始传播及继发传播,包括但不限于传播(提供)作品、使作品的传播成为可能、为作品的传播提供便利、扩大作品的授权传播范围等等,都应该属于信息网络传播行为。无疑,在数据合规的设计上,需要更加准确地把握解释论的动向,切勿遗漏合规涵盖的内容。否则,一旦触犯该罪名,合规计划中遗漏了对于侵犯著作权的防范机制,该合规便无法起到量刑上从轻、减轻的作用。
网络爬虫是当前极为典型的数据抓取方式,然而其带来的风险也不容小觑。网络爬虫是一种根据一定规则自动获取信息和数据的程序或脚本,它弥补了搜索引擎的技术缺陷。刑法第二十三章“妨害社会管理秩序罪”规定了“非法获取计算机信息系统数据罪”。值得注意的是,本罪所针对的数据终端是国家事务、国防建设和尖端科技领域计算机信息系统以外的计算机信息系统,或者采用其他技术手段获取存储的数据,在计算机信息系统中处理、传输,或者非法控制计算机信息系统,情节严重的行为。例如“上海某网络科技有限公司等非法获取计算机信息系统数据案”,在该案例中,可以看出网络爬虫技术的复杂性及隐秘性,可以轻易获取他人所储存的数据,此时必须格外关注其严重的技术后果。最好的选择就是在合规层面着重进行防范,规定技术的边界。当前,不乏存在黑客为了数据犯罪专门成立公司实行运营,合规也有利于清理这一部分公司,塑造良好的网络环境。
该罪名与上述非法获取计算机信息系统数据罪的保护对象刚好互补。侵犯商业秘密罪中的“商业秘密”是指不为公众所知,能够给权利人带来经济利益,具有实用性,并为权利人保密的技术信息和商业信息。而危害军事秘密的犯罪包含三款,分别是“非法获取军事秘密罪”“为境外窃取、刺探、收买、非法提供军事秘密罪”“故意泄露军事秘密罪、过失泄露军事秘密罪”三个罪名。此类罪名虽然案例并不多见,但是危害程度极大,且一旦发生难以挽回。因此,各国在立法过程中十分重视,例如美国,数据安全由克林顿时代的网络基础设施保护,到布什时代的网络反恐,再到奥巴马时代的创建网络司令部,美国的数据安全战略经历了一个“从被动预防到主动出击”的演化过程。就合规领域来说,能够防范相关的刑事风险对于国家而言,无疑是数据安全的一个重要举措。
以上数据合规所涉及的主要刑事风险类型,皆提示了当前建立数据合规以防范数据犯罪的重要性。下文中,也将对如果进一步构建合规机制、防范刑事风险做进一步阐释。
四、企业数据犯罪防控刑事合规的路径构建
在数据合规中,不同级别的数据保护程度不同,我国刑事法体系将侵犯不同数据客体的罪名分布在各个不同章节。从刑事立法体系中,零散的条文分布无法得到一个数据保护分级优先性的结论,数据客体之间的重要性排序没办法完全进行合理区分。因此,有待于数据合规建设的完善,必然需要对数据进行分级分类保护,意义在于确定合规建设的必要性。例如,如果企业储存、运营着保护级别最高的数据,那么法律便有理由强制其进行合规建设,相应地,保护级别稍弱的数据便可以选择性地进行合规建设,如果无保护价值的数据那么便不需要进行合规建设。区分以上分级分类保护标准,首先需要对当前国内所有数据进行合理细分,在笔者看来,可以按照以下标准进行排序:
根据以上表格,按照Ⅰ、Ⅱ、Ⅲ、Ⅳ、Ⅴ的顺序,保护等级逐渐下降,合规建设的必要性与强制力相应下降。等级最高的为Ⅰ(国家核心数据、军事秘密),此类数据指的是由企业所把控的重要信息,例如高德地图及滴滴打车等软件保存的国家城乡道路地图等,此类企业虽然不多,但是信息保护程度最高,国家应当强制其进行合规建设。次一级的是商业秘密,此类数据刑法立法进行保护,但是其级别相对弱,并不会对国家整体造成不可估量的损害,因此可以选择性进行保护,国家可以指定个别国家控股的企事业单位进行合规建设。个人隐私数据池及日常生活、工作产生的数据池应当积极倡导进行合规建设,本着不强制的态度但积极倡导,发挥刑事合规的量刑激励作用,合理保护个人数据。同意、默许公开的数据主要指涉日常工作中同意软件获取的信息,其中主观上必然不存在认识上的瑕疵方可认定为默许,此类信息保护程度最低,同时也不是刑法所保护的对象,因此可以不进行合规建设。倡导分级分类保护的意义在于,保护级别高的企业可以密不透风地进行数据保护,非法律保护对象的数据可以不进行建设以此节约司法资源,防止他国“长臂管辖”恶意获取我国高阶数据,也能逐步打造中小型企业合规建设体系,便于国家进行管理。
以“侵犯公民信息罪”为例,司法解释划定了情节严重的罪量标准。在司法解释中,对于情节严重的罪量,我们可以得到几个结论:第一,对于信息类型及入罪数量有着明确的界定标准,并且考量的范围涵盖了主客观两个领域。第二,“情节严重”的标准皆针对行为人进行界定,缺乏对于企业的标准明确。尤其是在企业侵犯公民个人信息的认定标准上是十分值得关注的,此时涉及的问题是企业与个人犯该罪是否采用同一性的罪量标准?最高人民检察院和公安部2010年印发的《关于公安机关管辖的刑事案件立案追诉标准的规定(二)》在62种可以由个人和单位两种犯罪主体构成的经济犯罪中,规定合同诈骗罪等56种犯罪原则上不再区分个人和单位犯罪的立案追诉标准,仅对剩余的集资诈骗、票据诈骗等6种犯罪作出单位与个人犯罪数额有区别的规定。此时,笔者倡导的是在该罪名中单位与个人犯罪的数额应当采取同一性标准,原因在于单位侵犯公民个人信息的情节更为严重,采取与个人犯罪统一标准可以降低入罪门槛,能够起到更好的积极一般预防的目的。尤其是,单位侵害的个人信息并不因为单位自身的性质就使得侵害程度降低,对于法益的侵犯程度是相等的,此时没有必要进行标准区分。反而,加大刑法的打击力度可以更好地制止犯罪。
数据犯罪的条文规定中常见“违反国家有关规定,……”,此类立法格式被称为法定犯立法。法定犯的典型特征是具备双重违法性,即通说认为的法定犯的成立需要以违反前置法规定为前提。其原理在于,根据大陆法系的构成要件理论,当一行为该当于刑法规定的构成要件且不具备法定的违法阻却事由时,该行为违法。因而判断一个人的行为是否违法的基础是符合构成要件的该当性,当行为人实施的行为符合构成要件便认为具备了构成要件该当性,当下普遍形成了构成要件是违法类型的通说,也即我们所说的违法构成要件。规定在刑法中的犯罪皆有特定的犯罪构成,其所指向的实行行为都具备一定的社会危害性,之于刑法总体所保护的对象具有相应的法益侵害性。随着法定犯时代的到来,法定犯的数量激增,同时法定犯的犯罪类型也愈加难以把握,受到政策、舆论以及司法人员的认定偏差所影响,部分结论难以符合罪刑法定的要求,因而重申违法判断的标准是极为重要的,根据法秩序统一原理及罪刑法定原则,应当遵循行政违法→刑事违法的判断逻辑。同样的,在数据领域的合规建设中同样应当遵循以上原理,一是遵循刑法的谦抑主义精神,防止刑事处罚的扩大化导致合规无法发挥作用,就合规本身而言,在计划的制定过程中对于刑法也需要具备法的预见可能性,该预见能力来自于对于前置法,例如数据安全法的理解,如果违法性判断逻辑不遵循双重违法性的判断逻辑,那么合规将失去制定时的法可期待性。二是对于合规而言,其也能进一步与前置法相结合,避免被刑事政策不当引导、错误理解,从而造成合规计划无法通过的情况。因此,违法性的判断逻辑在合规建设中是十分重要的罪量考量因子。
通常的观点是,合规建设的主体主要集中在法院、检察院与企业之间,企业作为合规计划的制定者,法院、检察院负责审核合规计划的合法性及可行性。在刑事合规领域,如果仅仅是以上主体参与,那么合规计划的完成将是机械且低效的。完善多方主体的参与机制,原因有以下几点:首先,根据刑事犯罪的性质,法院、检察院在法律上并没有规定其进行合规审查的责任,权责机制不明确也将导致合规的有效性存疑。众所周知,检察院的职责是审查起诉并且监督法院的审判工作,法院的职责是对案件进行审判,尤其是刑事诉讼的本质是不平等主体之间的对抗,如果一旦介入企业这一主体参与量刑机制,实际上破坏了审判的公信力。因此,法院与检察院在合规工作中有必要与被告人进行合理的界限划分,此时由他方承担合规审查责任更为合适。如果检察院、法院公开参与,那么必然引发一系列不良后果。
其次,根据合规的主要内容,期待法院、检察院帮助企业完成合规是不现实的,因为合规计划本身内容的庞大,超过法院、检察院自身的职责范围的。从各国的立法来看,合规计划一般包括以下构成要素:(1)完整的道德规范或者行为准则;(2)为预防违法行为而制定的清晰政策和程序;(3)高层管理人员积极参与制定、实施与维护合规计划;(4)独立而熟练的合规人员,包括首席合规官或者与之地位相同的官员;(5)针对雇员进行定期而有效的培训计划;(6)适当的违法行为举报制度,以确保举报人的隐私;(7)针对违规人员的惩戒措施;(8)对有助于形成合规和廉洁法人文化的员工予以合规计划的有效性奖励;(9)对合规计划进行动态监控和审计;(10)对合规计划定期进行评估和改善。合规的内容如此庞大,期待法院检察院对以上要素进行逐一认定,是过大的工作量,从程序法角度这是违背效率原则的,因此,由他方机构进行评估更为合适。
他方主体参与合规机制的建设,在我国合规领域已经形成一定的行业基础,需要更进一步完善的是其中的权责明细。参与合规的制定是律所一直以来的主要业务,许多律所已经可以做到专业化水平。从律师的职责上看,传统的法律顾问的工作重点在于合同审查、对企业的单一诉讼或单项法律事务进行服务等范畴,在刑事领域则表现为企业发生了刑事法律事件后,由法律顾问参与企业的刑事诉讼程序,进行事后的补救。律师主要负责的是审查与法规范方面的识别工作,但是行业内的标准其往往不甚了解。可以加入数据分析师这一主体,对数据运营的标准进行进一步评估,同时还可以与网信部、工商局等部门建立有效关联,考察规则制定的有效性。就评价的面向而言,大体可以分为三个方面:一是法规的识别工作,可以由专业的律师团队完成;二是数据传输、运行、储存的技术识别,可以请专门的数据分析师、工程师等参与评价,对其安全性进行评级,主要防止的是上文所述的传输过程中出现数据泄露的现象;三是数据等级评估,应当由国家相关网络、数据部门参与,对其运营中的数据内容进行等级评估,并且按照分级分类标准进行合规建议,如果数据保护等级高,达到了国家核心保护数据、军事秘密的级别,那么应当监督其强制进行合规建设,并且评估其建设后体系的有效性。
过往数据合规体系中的观念认为,建设数据合规是企业权利导向型而非其经营的义务,但是随着当前数据的重要性与日俱增,若仍旧保持权利为主、义务为辅的观念,不利于数据合规体系的建设。因此,笔者倡导在数据合规体系中,倡导“权利—义务”观的双向重塑。
所谓“权利—义务”观的双向重塑,是指企业在数据合规上的自决权比重降低,并且数据合规的义务观占据主导权重。不可否认企业在合规建设中存在一定的“惰性”,其主要的动机在于享受刑事合规制度,而非自觉履行义务。造成的结果是合规制度在企业内部无法成为运营的指南,反而是对检察机关、法院的“面子工程”。主要原因是当前企业合规的建设倡导力度不够,在数据行业仍然以引领为主,而并非积极倡导进行法律框架内的合规建设,这是当前市场的大环境所致。对于企业而言,数据红利在当前是各个公司争夺的对象,有些公司为了扩大竞争力不惜踩着法律的红线,怀揣侥幸心理去获得不正当竞争优势。例如“深圳谷米公司诉武汉元光公司不正当竞争纠纷案”,在这起不正当竞争的纠纷案件中,我们可以发现,若仅仅把合规建设作为企业的一项权利,倡导其积极参与,事实上无法激发企业的决心。对于企业而言,数据仅仅是运营的“道具”,其非实体性的存在往往难以被刑事程序所捕捉,随着数字科技的继续发展,其跨领域性、复杂性更是超越当前技术侦查手段的范畴,如果仅仅凭借监管部门、司法机关的监督,容易放过许多侵犯法益却因技术原因无法查证的犯罪行为。此时,只能通过合规的激励手段引导其自律,这一动机看似有效,实则站在企业角度不是一个具备吸引力的方法。首先,对于数据科技而言,其犯罪手段往往难以被司法机关所发现,既无法成为刑法处罚的对象又何来追求从轻、减轻量刑一说?其次,企业不愿意在合规上花费过多成本,因为合规建设许多众多主体的参与,并且需要与司法机关、监管机构对接,容易影响其商业计划,因此哪怕心存侥幸也会继续进行不法商业活动。最后,合规机制本身缺乏强制的法律依据,如果企业没有进行合规建设,法律也无法对其不自律的行为进行处罚,起码在主观恶性的特殊预防方面显得无能为力。因此,重塑“权利—义务”观是十分必要的。
“权利—义务”的双向重塑,在权利面向上,要求减少企业在数据流通领域的自决权。过多的企业数据自决权往往会导致数据私有权的过度扩张,企业数据保护的意识将大大降低。因此笔者倡导,立法应当减少在数据运营中企业的自决权,包括企业对于储存数据处理的权力、企业在数据流通领域的自由及管理权限的最终归属,都要适度减少企业的自由。
“权利—义务”的双向重塑,在义务面向上,急需赋予数据运营企业合规建设的刑法积极义务。从刑法的角度来看,由于合规管理与责任和注意义务违反之间的内在联系,以惩罚激励促进企业自律是合理的选择。一个可行的方向是,通过管理过失和刑罚激励、给予特定人员担保义务等方式,对合规管理进行“多面夹击”。其中更为重要的是,立法需要增加几种刑事犯罪中,关于企业过失犯罪的规定,由于数据的宝贵与特殊性,应当保持“宁可严查,不可放过”的原则,建议严厉的企业义务机制。此外,疏离企业的保证人义务也是重中之重,在大部分数据犯罪中,存在企业以不作为形式实施侵害法益的行为,法律没有规定以不作为方式实施犯罪,此时就应当通过保证人义务证明其成立不真正的不作为犯。
结语
随着数据在金融、科技的应用、普及,刑事法领域重视数据的保护工作已经刻不容缓。合规的语境下,数据犯罪必须在积极的一般预防之目的下,有序地建立防范机制,需要注意的是,数据合规的有效性最终仍旧要回归实定法的范畴,其正当化依据也只能通过教义学的管道得出。作为规范化的产物,诸如综合刑罚目的理论与条文的规范保护目的、信赖原则与期待可能性理论等等,皆要在合规的理论体系中发挥作用,尤其在边界的设定上,既要把握实定法中的谦抑精神,又要与违法性、可谴责性等犯罪构成阶层理论高度关联。毫无疑问,合规的出现已经对传统的刑法理论起到了一定的冲击,但是合规强烈的革新力量并非颠覆性地游离于刑法教义学的理论之外,而是通过刑事政策,通过目的论的管道,进入到刑法体系中,正如其合规的从轻、减轻事由可以从诸多刑法理论中得出,在未来的合规建设中,切忌不可忽略教义学可能发挥的作用。除此之外,在数据合规领域仍要强调自决权与数据私有化的陷阱,虽然数据的管理、监督是实践中微小的命题,但是其往往是问题的根源,即在数据运营的过程中,企业将其收集得到的数据池作为自身发展的工具,完全商业化的隐私信息、个人信息被私下售卖,以至于信息得不到有效保护,从而导致国家数据管理秩序、社会信息系统、个人人格权法益遭到侵害,引发一系列连锁反应。最后,从我国合规发展的历史进程与风险理论、刑事政策的发展趋势来看,合规的发展与其面临的困难有其历史必然性,跳脱出利益的拘束,刑法学人更需要秉持一种批判与革新精神,寻找其正当化依据并且通过路径构建突破合规困局,是研究者责无旁贷的使命。
往期精彩回顾
目录|《上海法学研究》集刊2021年第21卷
张建 俞小海|高空抛物坠物案件的“刑民交叉”问题研究
徐宏 武倩|刑法修正案(十一)视野下的企业产权刑法保护研究
潘玲华 李皓|商业秘密刑事案件中鉴定意见有效性的确认探析
姜臣云|区块链电子数据取证技术应用于知识产权保护的价值分析与路径探索
上海市法学会官网
http://www.sls.org.cn