摘 要：伴随着信息时代背景下网络安全风险增强,网络平台在网络空间中的法律义务与责任不断扩张,其所面临的法律风险也在提高。刑事合规作为以预防法律风险、避免刑事责任的内控制度系统,对于网络平台防范法律风险、降低刑事可罚性具有重要价值。同时,除了刑事合规最为主要的法律风险预防功能之外,网络平台刑事合规还应当立足信息时代的网络安全属性,在网络"共治"模式下发挥网络平台预防网络犯罪、维护网络安全的社会责任。整体上讲,平台刑事合规应当立足于我国现有的刑法框架与单位犯罪模式,在刑事合规尚未以立法形式所明确确认的情况下,探索性地发挥网络平台刑事合规的现有价值,通过平台刑事合规实现刑法所赋予平台的网络安全管理义务的具体化,在平台内部合规与刑法规则相统一的基础上,倒逼网络平台积极履行网络安全管理义务,推动网络平台合规制度的功能实现。

关键词: 网络平台; 刑事合规; 犯罪预防; 出罪机能; 入罪机能

合规管理制度作为企业自觉遵守法律的系统性行为，对于敦促企业在开展业务过程中遵守法律法规、养成守法意识，对于预防犯罪、发现犯罪均具有重要的实践价值。信息时代背景下，网络平台对于网络空间安全的防护责任和触刑风险不断增强，典型的体现为:行政法层面，行政法律法规、部门规章赋予了网络平台较大的空间管理义务和安全防控义务;刑法层面，刑法增设拒不履行信息网络安全管理义务罪倒逼网络平台配合政府履行网络安全监管义务。在此背景下，通过网络平台刑事合规规范平台内部治理、防范平台法律风险，使得网络法律法规关于平台责任规定的具体化，实现网络“共治”模式下平台内部制度层面、平台风险管控与国家法律规范层面、政府网络监管职责的统一，进而发挥网络平台预防网络犯罪、保障网络安全方面的企业责任与社会责任。

一、网络平台刑事合规风险与现实性考量

立法赋予平台网络安全管理义务不断增多，也为网络平台刑事合规的开展提供了法律方向和规范依据。通过合规体系将法律义务分配到研发、运行、监督、销售、观测等基本阶段，不仅有助于平台内部的合规有序发展，也有助于网络平台内部治理与相关网络立法实施的具体化和有效化。对此，首先需要明确网络平台刑事合规的现实基础与合规风险。

(一)网络安全风险倍增下平台社会责任的迫切吁求

刑事合规除了作为企业内控制度防范企业刑事风险的价值之外，对于预防犯罪、维护社会公共利益均具有更深层次的法律功效和社会意义。因此，网络平台刑事合规的立足点和价值亮点，首先应突出的体现为对网络安全风险的防范及其背后所蕴含的平台的社会责任。一般认为，网络空间具有典型的风险性、开放性、不确定性，网络空间所型构的“网络社会”是一种典型的风险社会。在这种风险社会中，网络平台的行业属性、业务属性往往关涉公民个人信息安全、人身财产安全乃至国家安全、公共安全、社会秩序，在信息时代背景下具有更强的全球性、开放性、风险性以及不确定性。因此，随着网络平台在更多的领域和范围内对关涉国家、社会和公民法益安全的发挥着重要甚至是主导性的作用，如何发挥网络平台对网络安全风险防范的单位职责和社会责任成为不可回避的话题。例如，2017年底，约有5700万使用Uber打车软件的乘客和司机用户的个人资料被黑客入侵并被盗取，但Uber并没有及时告知信息相关的个人，因其对数据泄露的隐瞒严重损害了公众的知情权，被美国华盛顿州指控违反该州《数据泄密通知法》被提起公诉。在这一案例背后，网络平台应否以及在何种程度上对其所存储、搜集的数据具有保护义务，并承担何种程度、何种类型的刑事责任亟待回应。客观讲，尽管网络空间中的危险源并非网络平台所造成，但鉴于网络平台在网络空间中的主导性地位，应当承担阻止网络犯罪风险的责任。诚如德国刑法学者罗克辛教授所言，身份本身就是一种保证人地位，行为人要么基于对危险源的监督控制、要么基于特定法益的保护而具备了成立身份犯的行为人资格。因此，网络平台作为网络服务提供商的主要类型，对于充满安全风险的网络空间应当承担起与其经营范围、经营领域相对应的安全责任，并形成安全资质，这种安全资质应当成为其是否上市、是否扩张或者减小经营规模、经营范围的重要根据。合规体系关于贯彻风险管理的义务，使网络平台对风险的识别、防范等进行调查和评价变为可能。因此，通过刑事合规计划加强单位内部管理制度和风控措施，对于深藏在内部管理制度、平台运营中的网络安全风险，最大限度地及时发现、解决信息时代背景下更加不可知、危害性更大的网络犯罪难题，已经成为网络平台刑事合规计划必要性和迫切性的时代背书。

(二)网络犯罪异化下平台触刑风险的增强

“4G改变生活，5G改变社会。”这种广告式的注脚形象阐明了信息时代技术对社会型构所带来的巨大冲击力。当前信息时代背景下，网络平台扮演更强大的管理功能，已经远远突破了本世纪初平台服务提供者的“从属性、工具性和中立性”，而代之以主动性、自主性和空间性，成为网络空间中的一种“社会组织形式”。在这种网络空间组织配置的异化背后，网络平台的连接力、聚合力在带来现代生活最大限度便捷的同时，也为违法犯罪行为带来了新空间和新工具，更使得网络服务提供者在更大的范围内、领域内成为网络犯罪的犯罪工具、犯罪平台提供者。与之相应，网络服务提供者以不作为形式成立网络犯罪的可能性显著增加。例如，阿里巴巴作为全球最大的电商平台，其所管理的运营企业、资本堪比一个中小国家，在这个巨大的商业帝国之中，阿里巴巴可谓绝对拥有着“帝国”规则的制定、罚则的实施等权力，甚至对任何在其中存在过的个人交易记录信息均可以信手拈来，而与之相伴随的犯罪风险也在与日俱增。对此，《国家网络空间安全战略》发布会上，中央网信办有关负责人指出:个人信息安全将从网络运营商抓起。在此背景下，通过刑事合规计划结合网络平台自身发展的性质、规模等因素，建立起预防、发现和解决网络违法行为、网络犯罪行为的系统性制度，使其成为降低、免除平台责任的规范性机制，从制度上督促平台积极履行、实施合规计划，倒逼网络平台承担与其业务范围、经营范围、技术能力相对应的网络安全管理义务。

(三)平台法律义务范围扩张下法律风险的提高

网络服务提供者尤其是网络平台，在网络空间中所呈现的管理能力、管理水平已经成为不可否定的客观事实。尽管有学者基于平台履行义务能力、履行成本、市场营利主体的局限性等因素质疑平台监管责任的“超强度性”。但不容否认地是，作为与政府并行于网络空间、网络社会中的“共治主体”，无论是基于强化第三人责任以控制违法犯罪行为的功能主义论，还是基于犯罪评价的社会危害性论，都将网络平台的信息网络安全管理义务推向网络空间治理的前台。有鉴于此，《网络安全法》《电子商务法》《侵权责任法》等法律法规普遍设定了网络服务提供者对网络空间的管理义务。例如，《网络安全法》确立了网络服务提供者的主体责任，明确要求网络服务提供者健全用户信息保护制度，并分别规定了技术防控义务和损害补救义务。2019年11月1日起施行的《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(以下简称《司法解释》)第3条、第4条、第5条、第6条，分别对拒不履行信息网络安全管理义务致使违法信息大量传播、致使用户信息泄露造成严重后果、致使影响定罪量刑的刑事案件证据灭失情节严重等进行了进一步明确，其中第6条将拒不履行信息网络安全管理义务，对绝大多数用户日志未留存或者未落实真实身份信息认证义务、二年内经多次责令改正拒不改正等情形，作为刑法第286条之一第一款第四项规定的“有其他严重情节”。《司法解释》对于网络服务提供者拒不履行信息网络安全管理义务的规范化和类型化明确，正是基于对《刑法》《网络安全法》等法律法规关于网络服务提供者信息网络安全管理义务的司法回应。因此，网络平台作为典型的网络服务提供者，在网络犯罪发生时如果明知不法行为存在而不履行信息网络安全管理义务，在具有结果避免可能性、作为相当性的情况下，则可能构成不作为犯罪。此种背景下，通过刑事合规计划的实施，明确平台责任的范围、边界以及操作性路径，保障网络平台主动履行法律义务的同时健康开展经营业务行为。详言之，通过刑事合规计划，有助于网络平台系统厘清法律法规甚至大量的部门规章对网络平台所设立的网络安全管理义务，制定有效的合规政策、程序和控制措施，用以预防、减少网络安全风险和犯罪风险，进而减轻、免除平台责任。同时，网络平台所承担的责任也并非是无边界的，伴随法律义务的履行也存在与之相对应的免责性条款，这也为刑事合规的有效开展提供了规范性前提。例如，《电子商务法》第45条规定:“电子商务平台经营者知道或者应当知道平台内经营者侵犯知识产权的，应当采取删除、屏蔽、断开链接、终止交易和服务等必要措施;未采取必要措施的，与侵权人承担连带责任。”由此可见，“通知———删除”作为事后补救和配合义务，只要网络服务提供者对相关信息内容不知情或者没有履行积极的作为行为，并能够履行“通知———删除”的配合义务便可免责，而刑事归责与民事归责的豁免事由在此点上是一致的。从这个层面上讲，拒不履行信息网络安全管理义务罪的增设，很大程度上对于推动网络服务提供者刑事合规计划的实施，实现网络触刑风险的预防与网络安全管理义务的积极履行，均具有引导性价值。

二、网络平台刑事合规的目标与基本理念

网络平台刑事合规的目标，除了基于刑法对网络平台安全管理义务的增加、平台风险防控的内部要求，督促平台采取可能的、必要的以及可期待的措施预防犯罪使平台免受刑事追诉和刑罚处罚之外，还应体现为通过平台合规体系，实现相关法律法规的具体化、可操作化，将法律责任、法定义务具体化、情景化地细化、落实到平台管理的日常工作中，根据不同平台的类型、服务内容、安全风险等具体情况制定系统的合规方案，将外化的法律规则转化为内在的公司章程，不仅有助于法律法规的有效实施，更能发挥网络平台在信息时代维护网络空间安全、预防网络犯罪的企业社会责任。因此，网络平台刑事合规无论是对平台法律风险的防范，还是对网络安全风险的管控，兼具有重要意义。

(一)网络平台责任范围的厘清与法律风险、刑事可罚性的降低

随着网络犯罪立法由系统思维到网络思维，再到平台思维的逐渐转化，《刑法修正案(九)》增设了拒不履行信息网络安全管理义务罪，体现了立法对网络服务提供者不作为行为的重点关注，但同时也暗含了由刑法推动甚至鞭策网络服务提供者积极履行网络安全管理义务的立法意图。客观讲，根据“守门人责任理论”，网络平台对网络安全维护具有最便利的管控条件和最低的管控成本。但这并非网络平台承担不作为责任的有效根据。刑法要求网络平台承担刑事责任，不仅仅是因为网络平台对犯罪行为治理的便捷性和实用性，也非简单因为其具有技术优势、雄厚的资本和经济资源就赋予其管理义务和刑事责任，更非因为借助网络平台提高执法的效率。关键的原因在于，网络平台基于业务属性直接、间接的同网络安全发生了紧密联系，无论是风险支配，还是结果避免，均自然产生了对其业务范围内网络安全的管理义务。当网络平台对于网络安全取得支配地位，同时被法律法规赋予相应的网络安全管理义务时，网络平台因怠于履行其管理义务造成危害结果，便应当在其可归责的范围之内承担相应的不作为责任。对此曾有学者提出担忧:在网络行政法规体系尚不健全的情况下，“信息网络安全管理义务”的不明确将导致司法机关对于该义务的认定做扩大化解释，进而造成该罪名适用的扩大化。笔者认为，本罪所指称的信息网络安全管理义务，并非主动的风险审查与控制义务，这一条款同时将归责条件与免责义务同步设置，清晰地明确了网络服务提供者的责任边界。

基于此，《司法解释》对刑法第286条之一第一款规定的“经监管部门责令采取改正措施而拒不改正”进行了明确，“应当综合考虑监管部门责令改正是否具有法律、行政法规依据，改正措施及期限要求是否明确、合理，网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断。”由此可见，刑法对于网络服务提供者拒不履行信息网络安全管理义务罪，实际上预留了很大的出罪空间，《司法解释》对这一出罪空间进行了更进一步地具体化，从而也为网络平台刑事合规计划的制定和实施提供了可操作性空间，尤其在网络平台是否具有按照要求采取改正措施的能力，以及是否进行了有效改正等判断上，为刑事合规计划的制定和实施提供了思路。因此，拒不履行信息网络安全管理义务罪的增设，其目的绝对不是对网络平台等网络服务提供商增加严苛的刑罚负担，也不是为了加大对网络平台等网络服务提供商的处罚力度，而是暗合了刑事合规的基本理念，并客观上产生了通过刑法手段助推、引导网络平台开展刑事合规的规范效果。具体言之，网络平台通过合规计划的实施，以责任清单的形式进行风险识别、风险评估、风险消除，如此不仅不会加重网络平台的管理义务，反而可以明确网络平台的责任边界，并有助于网络平台提前、及时发现运行中的网络安全风险，不仅有利于网络保护平台本身免受违规、违法风险，也有利于保护网民用户的权益，兼而实现网络平台刑事合规的单位风险防范效果和社会公共利益保护的效果。因此，拒不履行信息网络安全管理义务罪的设置，实际上是最大限度地限缩了网络服务提供者的刑事责任空间。尤其通过网络平台刑事合规计划的实施，全面厘清网络平台承担的义务范围、职责内容以及网络平台内部各运行环节的相互关系，并将其以网络平台内部规章制度、实施程序的形式予以具体化。当网络平台积极履行行政机关所要求履行的义务，并积极有效地实施了合规计划，网络平台对于危害后果便无须承担责任。事实上，除了刑法第286条之一所体现的这种合规、合义务即可免责的思路之外，其他相关的行政法律法规也为网络平台刑事合规计划的有效探索和开展提供了规范支撑。例如，《互联网信息服务管理办法》在全面增设网络平台行政责任的同时，依然为其设置了合理注意义务的限制性规范，即发现“明显违法”而不采取措施。

因此，网络平台很大程度上承担的是一种不配合责任，是因其怠于履行结果避免义务的结果责任，刑事合规计划的制定和有效实施很大程度上可以成为网络平台减轻责任、免除责任甚至予以正当化的重要事由。

(二)网络犯罪预防与网络安全风险的防控

伴随网络犯罪社会危害性的异化和倍增，网络犯罪的事后惩治很大程度上难以有效保障、恢复被犯罪所侵害的法益，在网络风险与日俱增的信息社会背景下，网络犯罪防治的路径前置化逐渐成为共识。但是，受制于刑法手段自身的局限性，网络犯罪防治的前置单靠传统的刑法中预备行为实行化、帮助行为正犯化，单靠刑事手段本身的预防功能和惩治功能进行“救火式”的治理，已经难以有效应对类型复杂、危害巨大的网络犯罪。有鉴于此，通过网络平台合规计划的实施，将网络犯罪预防责任内控化、制度化的由网络平台承担，通过网络平台事前的主动介入，增强网络犯罪的积极防控，增强网络平台的守法意识和责任意识，以此带动网络平台对网络安全的自觉维护意识。

1.以网络安全风险、积极的网络犯罪预防为合规导向

根据积极的犯罪一般预防理念，刑法预防犯罪最合理且最唯一的目的应当是在犯罪之前培养守法文化和法律信仰，通过基于守法的自觉和对法秩序的积极维护，主动、积极地预防犯罪的发生。预防功能是刑事合规最为主要的功能，网络平台刑事合规的关键也在于根据网络平台业务流程与内部管理制度，基于网络犯罪的预防，对关涉刑法的不当举止进行预防、调查与制裁。因此，面对纷繁复杂的网络安全风险，网络平台刑事合规的制度构建和实施应当以网络风险为导向，对不同平台类型、不同服务环节可能存在的合规风险，进行有针对性的制度构建。例如，对于涉及数据信息收集、处理的网络平台，其面临更大的数据安全、个人信息安全风险，对于可能触及侵犯公民个人信息罪、侵犯商业秘密罪、泄露国家秘密罪等犯罪的业务类型、业务环节便应当成为重点的预防对象。因此，网络平台合规计划的制定和实施，应当完整地反映法律法规风险、社会责任风险等问题，并将其融入到合规计划的设计之中;另一方面，还应着眼于动态的业务往来中的风险，将诸如业务经营中可能遭遇的信息沟通风险、商业秘密风险、平台技术风险、安全保障风险等考虑在内，为合规计划的实施赋予可调整应对的空间，以应对随时可能发生的刑事风险。其中，鉴于网络的开放性，尤其网络平台业务的链条化、产业化、中介化特征明显，网络平台合规计划中同样应当重视商业伙伴的风险识别。近年来，由于商业伙伴的违法违约行为，网络平台遭受巨大负面影响的事件屡见不鲜。例如，标榜不卖假货的京东，在经历了“六六维权”事件后，品牌形象遭到极大破坏。因此，基于积极的犯罪一般预防的理念，网络平台刑事合规计划的有效实施，有必要对合作伙伴经营资格、业务活动、履约能力、信用状况进行调查，再结合其它条件来决定是否与其开展合作，最大限度地降低网络平台刑事风险的同时，推动网络空间守法文化和网络安全维护责任意识的自觉践行。

2.以不作为犯防控为核心开展网络平台合规风险的识别与评估

通过网络平台刑事合规预防网络犯罪的功能，首先体现在合规风险的发现识别上。根据我国2018年7月1日起实施的GB/T35770－2017《合规管理体系指南》规定，“合规风险指不确定性对合规目标的影响”，即网络平台基于自身发展而所欲想实现的结果的过程中，所存在的阻碍目标达成的主客观因素。”对于网络平台刑事合规风险而言，考虑到平台所触犯的罪名更多集中在不作为犯(包括纯正不作为犯如拒不履行信息网络安全管理义务罪、不纯正不作为犯如侵犯公民个人信息罪)中，风险的识别也应以不作为犯的义务来源、风险防控为核心，同时兼顾以作为形式体现出的可能的触刑风险，制度化、内控化的将网络犯罪预防内置于、具体化于日常的工作和业务活动中。

通过对法律法规、部门规章对网络平台赋予的义务梳理以及《合规管理体系指南》的要求，可以发现，网络平台合规义务主要可以细分为合规要求、合规承诺。其中，合规要求(ComplianceＲequirement)指平台有义务履行的需求或期望，是一种平台负有的强制性义务，包括但不限于国家的法律法规、地方政府的规章条例、监管机构的制度规定等。例如，《网络安全法》《电子商务法》《侵权责任法》等法律中，规定了网络平台在网络安全维护、数据安全与个人信息保护、产品质量安全等方面的强制性法律义务，这是刑事风险中放在首要位置的防范对象。合规承诺(ComplianceCommitment)则指平台资源遵守的需求或期望，虽然属于平台自愿承担的义务，但是仍然存在较强的刑事合规风险，也对平台的形象塑造有着较大的影响力。例如，2018年10月10日，阿里、京东、美团等十家网络平台共同签署了《电子商务诚信公约》，对虚假广告、刷单炒信等行为予以坚决抵制，承诺不采取诱导、欺骗、威胁消费者删改售后评价等行为。这便是典型的平台合规承诺，从义务来源看，网络平台的承诺本身也可以视为一种作为义务，同时如果存在诱导欺骗、威胁强迫等行为，也可能触犯诈骗罪、损害商业信誉、商品声誉罪等罪名。因此，网络平台合规风险的识别过程中，有必要系统、完整地梳理相关的平台义务，这种无缝隙、完整化的平台合规风险识别反过来更加有助于增强网络平台的守法意识和维护网络安全的责任意识，有效地实现网络犯罪的积极的一般预防。

(三)网络犯罪“共治”模式下发挥网络平台的企业价值

随着信息网络在社会管理、社会治理层面所带来的“扁平化”和“去中心化”，网络平台单纯的中介服务特征、中立特征逐渐淡化，全面参与到了网络空间的运行，以及网络资源的搜集、存储、传输、应用等各个环节之中，在社会管理方面具有了较为权威性的地位和能力，甚至成为同政府相分庭的网络“共治主体”和“无形之手”。网络平台刑事合规可以通过平台内部运行机制与安全防控制度，以具有可能性、必要性与可期待性的方式实现网络犯罪的预防与“共治”。事实上，网络平台客观上已经绝对拥有了其营业范围之内所涉事项的管控权力，网络空间治理也已经开始由单一的国家治理转向国家治理与网络平台的共治格局。在这种协同治理模式下，如何避免网络平台“法定作为义务”被额外附加和政府义务转嫁，实现政府网络监管与网络平台管理义务相平衡，成为网络空间“共治”亟需解决的关键问题。网络平台刑事合规计划很大程度上可以为解决上述问题提供思路和方案，即通过网络平台刑事合规计划的制定和实施，明确网络平台在网络安全管理层面的义务范围与责任边界，实现网络平台内部制度层面、网络平台风险管控与国家法律规范层面、政府网络监管职责的统一，在合理限度内发挥网络平台在信息时代维护网络空间秩序和网络安全的企业价值。

具体言之，网络平台刑事合规所面临的两大基本问题的统一，即网络平台内部的风险防范控制制度、刑法中关于网络平台的涉刑罪名，很大程度上体现了网络平台刑事合规的价值，也是对信息时代背景下网络共治模式的一种科学阐释和制度践行。整体上讲，网络平台刑事合规的基本路径，在于通过合规计划的制定和实施，将法律法规赋予的法定义务转化为公司内部制度，实现网络平台内控机制和法律法规尤其是刑法的统一。因此，网络平台刑事合规计划根据网络平台自身的特有属性、业务特征、内部规章、网络伦理等因素，以一种企业自律的形式，同法律法规、部门规章等规范相统一，积极践行企业责任，预防网络犯罪、网络违法违规行为的发生。例如，对于即时通信平台(如微信、QQ等)，刑事合规很大程度上应当防范平台成为犯罪勾连工具、虚假恐怖信息传播的载体，同时避免侵犯公民个人信息，将刑法中可能触及的犯罪类型以内部风险控制制度予以防范;对于电子商务平台(如淘宝、京东等)，刑事合规的重点则在于对交易安全风险、数据安全风险的防范，并对合作伙伴进行积极地审查和合规风险防范。因此，在网络空间“共治”已经逐渐成为共识的情况下，网络平台刑事合规的特殊价值和意义还在于，通过合规计划将外化的国家法律法规同网络平台内部的制度规章相统一，将国家对网络安全的管控和网络平台的自觉管理相统一。网络平台由于自身业务的特殊性，能够更便捷地对刑事犯罪进行预防、治理;通过其对自身责任意识的加强，治理能力的提高，能够在平台内部很好地消除网络违法犯罪发生的原因和基础。在此基础上，网络平台通过刑事合规明确责任清单，同政府网络监管在各自的“责任田”内实现网络空间的共管、共治。对此需要明确，网络平台对于信息网络的管理乃至保护义务，恰恰是其在业务经营过程中基于平台服务获得相应收益所对应的等价义务，是与其服务范围、业务类型相对应的业务保证义务，并非仅仅是政府责任的粗暴转移。在此基础上，同时需要明确网络平台安全管理义务与政府监管职责之间的平衡与边界，即如果网络平台积极履行合规义务，即使发生危害网络安全的后果也不应承担责任;如果网络平台在有关监管部门责令采取改正措施之前已经造成危害后果，或者在监管部门责令改正后积极采取改正措施仍然造成危害后果，也不应构成拒不履行信息网络安全管理义务罪。

三、我国现有刑法体系下网络平台刑事合规计划的功能定位

从刑事合规的起源看，德国合规思想主要来源于经济法领域，其主要目标在于规避广泛的法律责任风险。客观讲，网络平台刑事合规的主要功能也主要体现为刑事责任的避免或者刑事可罚性的降低。同时，从另一个层面讲，除了刑事合规传统的减轻、免除责任甚至正当化的功能之外，在我国现有的刑法体系和制度框架下，刑事合规在网络平台犯罪“入罪”的认定，尤其是不作为犯中作为义务、作为可能性的判定上，也具有特殊的功能，对此应当予以特别关注。

(一)网络平台刑事合规的减责、免责与出罪功能

一般认为，刑事合规的有效实施可以作为检察机关在审查起诉阶段作不起诉处理或暂缓起诉，或在追诉后撤销起诉的事由;亦或在庭审过程中，作为法院减免刑罚、判定无罪的事由。整体上讲，网络平台刑事合规减轻甚至免除刑事可罚性的机能大体分为两类:第一类是刑事实体法上减免刑事可罚性的机能，包括但不限于减轻责任、免除责任甚至正当化;第二类是刑事诉讼法上降低刑事可罚性的机能，包括但不限于不起诉、暂缓起诉、撤销起诉等。

1.刑事实体法中的减责、免责与出罪机能

刑事合规降低刑事可罚性的功能，在刑事实体法中主要体现为减免罪责和出罪两个方面。在出罪事由的设置上，主要体现为将有效实施合规计划作为排除犯罪成立的正当化条件。例如，英国2011年《反贿赂法》“商业组织预防贿赂失职罪”规定:商业组织的相关人员为了获取或保留组织业务，或者为了获取或保留该组织的某些商业优势而行贿的，构成本罪;但是如果组织能够证明其已制定了较完备的程序以防止行贿发生的，不构成本罪。事实上，我国刑法286条之一规定的拒不履行信息网络安全管理义务罪与之有异曲同工之效，该罪的设置初衷便是为了处罚网络平台等网络服务商不积极配合政府网络监管的行为，反言之，对于网络平台遵行法律、行政法规规定的信息网络安全管理义务，积极履行网络平台合规义务，便成为该罪的出罪或者免责要件。因此，网络平台如果实施了完善的刑事合规计划，在涉嫌相关罪名的指控时，便可以通过刑事合规计划有效实施进行出罪或者免责。例如，在荷兰·弗尼斯公司案中，联邦法院判决公司履行了“合理注意”义务，并且对于相关犯罪事实不知情，免除公司刑事责任。无独有偶，《美国联邦量刑指南》(以下简称《指南》)明确规定合规计划为企业的法定义务，如若犯罪行为发生时，企业有着有效的合规计划，便可以相应地减免罪责。同时，《指南》明确规定如果企业构建了完善的合规体系，那么其最高减刑幅度可达95%;反之，将会处以高额的罚金，以督促企业实施有效的刑事合规。这种模式可以更好地适用于网络平台的责任减免，在网络平台实施有效合规的前提下，基于网络犯罪不可控性、高风险性的考量，即便发生相应的网络犯罪，在网络平台已经尽到全部或者大部分注意义务时，免除或者减少平台的刑事责任。某种程度上讲，《司法解释》实际上也为刑事合规计划的实施提供了空间，其中第15条规定，综合考虑社会危害程度、认罪悔罪态度等情节，认为犯罪情节轻微的，可以不起诉或者免予刑事处罚;情节显著轻微危害不大的，不以犯罪论处。因此，网络平台积极制定刑事合规计划并有效付诸实施，便可以作为不予起诉或者免予刑事处罚的情节。

2.刑事诉讼法中的减责、免责与出罪机能

刑事合规的出罪、减责机能，在刑事诉讼法中主要体现为不起诉、撤销起诉、暂缓起诉、认罪认罚等程序中。首先，就不起诉程序而言，一个有效的刑事合规计划甚至可以在审查起诉阶段发挥作用，检察机关如果认为网络平台合规计划得到了有效实施，符合不起诉条件，可以作出不起诉决定。例如，美国联邦司法部曾于1999年出台过一部企业诉讼指南(1999HolderMemo)，该文件列举了检察机关审查起诉时的8项参考因素，其中第2项(企业内部不合规行为的普遍性)、第5项(企业合规计划的有无、完备与否)、第6项(企业所实施的补救措施)均与合规有关。这些条款意味着，检察机关在审查诉讼时，可以根据企业是否建立了合规制度、合规制度是否有效、是否愿意及时补救等内容，作为其是否起诉的重要参考因素。其次，就暂缓起诉程序而言，我国《刑事诉讼法》第282条针对未成年人，规定了对于特定条件下的特殊犯罪，确有悔罪表现的，检察机关可以作出附条件不起诉的决定;其中，悔罪表现在实践中主要包括自首、立功、犯罪中止、退赃退赔、赔偿损失、赔礼道歉等方面。笔者认为，这一制度不仅在未成年犯罪可以发挥作用，其在网络平台可能的犯罪中也具有很高的适用价值。网络平台犯罪不同于自然人犯罪，鉴于其在网络空间中的地位和实际作用，其受到追诉后的附带效应可能是互联网平台、互联网产业乃至社会公众难以承受的。因此，参照未成年犯罪中悔罪表现的认定，可以将网络平台在案发后及时建立或整改合规制度、发掘合规风险、及时止损、妥善赔偿等方面作为其考量内容，对符合某些条件、罪责相对较轻的犯罪进行暂缓起诉的处理，这对于网络平台积极整改、积极履行《网络安全法》等法律法规、部门规章赋予的报告、事后止损、删除、通知等均具有很好的促进作用。

(二)网络平台刑事合规的“入罪”功能

一般认为，刑事合规计划作为一项防范法律风险，降低企业刑事可罚性的企业内部制度，预防功能和减责效果应当是其核心价值。但是，在我国现有刑法体系下，网络平台仍然是大量犯罪的主体，在我国单位犯罪罪名体系下，从入罪层面思考网络平台刑事合规的价值，事实上也能起到预防网络平台犯罪的功能。

1.作为判定网络平台主观罪过的重要根据

根据责任主义原则，网络服务提供者如果未能预见到违法犯罪行为的存在，其客观上的不作为便因欠缺主观罪过而不具有可责性。对于信息庞杂、手段隐蔽的网络犯罪而言，网络平台的触刑风险，更多地源于对发生于平台内部犯罪行为的放任，对此罪过的认定可以结合平台合规制度进行综合判定。关于间接故意的主观罪过，“如果行为人明确知道其行为一定会或者很大概率上可能导致危害结果的发生，而仍不采取制止措施的，则认定其具有追求或者希望结果发生的故意。”换言之，“对于不履行网络安全管理义务将导致的网络犯罪危害结果，如果网络平台已经预见到不履行安全管理义务，将导致危害结果发生具有高度盖然性，那么其对于网络犯罪危害结果发生的主观心态至少应为放任的间接故意。”因此，如何判定网络平台的主观罪过成为至关重要的问题。对此，网络平台刑事合规制度及其是否有效实施，可以成为平台主观罪过的重要根据。网络平台对于网络犯罪危害结果发生的预见程度，作为一种主观意图难以被外界探知，但通过相关影响因素的外在表现，仍可以将主观心态客观地反映出来，更可以通过刑事合规的形式体现出来。对此，网络平台在合规计划的制定过程中，应当充分吸纳已有的法律法规对网络平台罪过责任认定和推定的规则，将其吸纳入合规计划的设计构建中，从而实现通过合规计划否定其罪过的效果。例如，浙江省高级人民法院2009年12月发布的《关于审理网络著作权侵权纠纷案件的若干解答意见》第30条对于“如何判断网络服务提供者已尽到合理的注意义务”，分别从“网络服务提供者的信息管理能力”“侵权信息的明显程度”，以及“设链网站与被链网站间是否存在利润分成、合作经营”等方面进行了认定，对于网络平台刑事合规的制定和建构也具有参考和借鉴价值。

2.作为判定平台作为可能性、结果避免可能性的重要

根据网络平台在危害行为类型除了少数的作为犯之外，更多的集中在不作为犯。因此，网络平台刑事合规对于判定网络平台不作为犯的成立具有重要作用，典型的体现为对网络平台不作为义务的判定、作为可能性、结果避免可能性等层面。首先，在作为义务的认定上，由于网络安全保障义务具有较大的变化性和不确定性，会随着技术的发展、类型的增多不断变化;同时，网络平台自身的中介特性，使得义务类型会随着商业伙伴的经营类型而转变。因此，在关于网络平台等业务犯罪的责任认定中，刑事合规对于平台作为可能性、结果避免可能性的认定具有重要价值。详言之，网络平台的责任追究，应当根据当前网络平台的类型划分，将责任范围限缩在不同网络平台的服务类型之内。通过网络平台刑事合规制度及其是否有效实施的调查，可以发现网络平台是否履行合规义务以及是否实施合规行为的根据。例如，拒不履行信息网络安全管理义务罪中，规定了行为人承担责任的四种不同危害后果，在对不同平台类型进行追责时，借助于刑事合规的审查判定危害后果的发生是否属于网络平台的可避免范围之内，以及网络平台是否采取了可行的、必要的以及具有可期待性的防范避免措施。如果网络平台已经建立了完整的刑事合规制度，并且得到了有效实施，则可以对平台进行责任的减免甚至予以正当化。但是，如果网络平台没有建立或者只是形式上确立了合规制度，未有效实施合规计划，则可以作为判断其是否具有作为可能性并构成犯罪的根据。

四、网络平台刑事合规的基础性问题与实施路径

客观讲，刑事合规本质上体现为为预防违法犯罪行为而设置的程序规则、职责规则及技术规则，主要价值在于使公司遵守刑事实体法。在刑事合规体系下，为了实现平台合规制度的应有价值与功能，网络平台应当积极采取所有可能的、必要的和可期待的措施用来识别、评估和消除网络违法犯罪风险。

(一)我国单位犯罪“自己责任”与西方“替代责任”在刑事合规中的差异化体现

美国起初遵照英国普通法的传统，否认企业可以受到刑事追诉的做法。但随着市场经济的发展，企业逐步成为了市场的主要参与者，并通过企业的行为对整个社会产生重要影响。因此，美国司法界逐步肯定单位的责任，并以1909年NewYork CentralＲ．Co．V．UnitedStates的判例为标志，建立起企业在刑事方面的替代责任理论，随后又通过大量判例逐步扩大了严格责任的范围，企业不仅要为未授权的代理人担责，甚至要为明显违反企业指示的代理人行为负责。这种做法使得企业极易增加被追诉的可能性，也为刑事合规的建立提供了必要性和内在动力。反观我国，1979年刑法虽然没有直接对单位犯罪进行规定，但是在具体罪名中已经有所体现，例如第121条规定的偷税、抗税罪，主要就是针对单位而设定的;1997年刑法更是在刑法总则第二章中专门明确规定了单位犯罪。在我国刑法体系下，单位作为独立的犯罪主体，具有独立的犯罪构成评价标准，单位并不会因为代理人或员工的行为而轻易遭致刑事追诉。因此，我国单位犯罪的认定同西方国家的责任根基不同，也就决定了网络平台刑事合规的重点应当放在网络平台自身的合规性上。一方面，网络平台刑事合规制度的构建，无须像西方国家防范单位基于员工过错承担罪责，而是应当将合规风险的防范集中在平台自身运营，加强合规风险的识别，以及对于相应的法定义务履行之上。同时值得注意的是，网络平台刑事合规的实施在监督过程中，还应当设置科学有效的制度范式，避免网络平台借由刑事合规将平台责任转嫁于员工，避免由个别自然人替代单位承担相应的刑法后果。

(二)网络平台刑事合规中“平台”的主体性

明确网络平台作为网络服务商的一种，同一般经营性公司合规计划的制定与合规计划的实施有所差别，平台在合规义务的履行、责任的承担等方面要轻于直接从事相关业务的企业。例如，外卖平台的合规风险不同于餐饮公司，租车平台的合规风险不同于出租车公司。因此，网络平台合规计划的制定，在制度设计上首先需要明确的便是平台属性的确定问题，避免具有直接从事业务经营的单位假借平台身份免除自己相关的法定义务。以电子商务平台为例，根据《电子商务法》第9条第2款规定，电子商务平台经营者，是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。据此，电子商务平台主要包括以下几个特征:在行为主体上，是指通过互联网等信息网络媒介从事经营活动的自然人、法人和非法人组织。在经营形式上，电子商务平台主要是为交易双方或者多方，提供网络经营场所、交易撮合、信息发布等服务，其中，交易撮合、信息发布为网络平台经营的具体内容。据此可以发现，电子商务平台的主要业务形式体现为，借助信息技术搭建具有持续稳定且具备一定交易规则的虚拟交易平台，并且为交易提供信息收集、分类、筛选服务，通过所搭建的经营场所，促成买卖双方在网络平台上的交易，其所提供的更多的是一种交易机会的传递。因此，网络平台的核心特征在于其提供的中介服务，平台本身并不会直接构成交易的主体，只是在交易过程中扮演一种居间角色。这也就决定了网络平台在刑事合规的设计上，明显不同于专门从事直接经营业务的单位，在合规计划实施的可能性、必要性、可期待性上均具有不同的实施方案。同时，不同类型的网络平台在刑事合规的实施过程中，也应当基于特殊的经营形式、业务范围、法律义务进行具体化的合规计划设计。在此应当强调，鉴于网络平台与从事具体交易的企业在合规风险、作为义务、法律责任层面上的差异，在刑事合规官对于网络平台刑事合规计划的审查和监督实施过程中，应当对网络平台合规主体的属性进行重点审查。

(三)网络平台刑事合规的具体路径

网络平台刑事合规作为一个系统的风控管理制度，不仅包含平台内部规范、行为准则的制定，还涉及风险识别、动态评估、监测预警、举报调查、奖惩机制、事后救济等内容。整体上讲，网络平台刑事合规的具体路径主要在于通过合规体系将刑法赋予的平台作为义务实现内部的具体化和可操作化，在平台运营的各环节、各流程构建可量化、可评估的风险预防、风险监测和风险消除机制。

1.通过网络平台内部制度的标准化实现法律上的具体化

现代信息社会中，国家公权力机关对于保障网络安全的能力已经稍显力不从心，网络安全与网络空间治理的责任不断地由法律法规、部门规章赋予网络平台。但是，对于网络平台如何落实法律义务、能否落实法律义务以及落实法律义务所采取措施的可能性、必要性、可期待性通常缺乏法律的明确规定，这种情况下，有必要通过网络平台安全标准、风控标准以及相关具体措施进行弥补，这也是网络平台刑事合规的重要功能。一般认为，每一个刑法规范事实上都是一种合规规范，因为每个单位犯罪的成立和责任人的可罚性都是源于单位刑法义务的违反。因此，网络平台刑事合规的关键点便在于基于网络安全风险管理的刑法义务的确定、网络平台内部风险管理的刑法上的要求，通过风险管理、网络平台内部标准的制定与实施，在具体措施和方法上将刑法上的义务具体化、可操作化，弥补刑法中缺乏明确性规定的不足。例如，拒不履行信息网络安全管理义务罪所违反的信息网络安全管理义务，基于刑法的设定主要包括对违法信息、涉案用户信息事前的管理义务与事后的屏蔽、消除义务，以及对于刑事案件侦办的配合义务。同时，网络平台拒不履行信息网络安全管理义务成立犯罪，除了满足基本行为要件之外，在成立范围上也有很大的限制，即致使违法信息大量传播、致使用户信息泄露造成严重后果等四种情形。由此看出，网络的服务提供者成立本罪主要在于对违法信息管控义务、用户信息保护义务，以及刑事案件侦办的配合义务，这事实上是刑法对本罪名打击半径的限制。因此，网络平台刑事合规的着力点便在于对刑法中所赋予的义务、施加的要求，通过合规体系将其转化为平台内部的具体化制度，这种合规体系的制定、实施、监督等一系列过程既是对刑法立法目的的贯彻落实，也是对网络平台触刑风险的避免和对刑事可罚性减免降低的根据，更是网络平台积极的预防网络犯罪的社会责任的体现。

2.网络平台合规的具体制度与实施流程

根据域外成熟立法的范例，网络平台刑事合规应当主要包括:(1)制度层面上，具有关于网络平台内部完整的企业文化与网络安全责任意识、内部制度，为预防网络犯罪而制定的防控机制;(2)组织层面上，具有参与制定、实施和保障合规计划得以顺利实施的平台高管参与，具有专业而独立的合规人员;(3)实施层面上，开展有效的内部合规计划培训，对合规计划的实施进行有效的动态监管和审查，对合规计划定期进行评估和完善;(4)配套保障制度层面，设置完善的奖励、惩戒考评机制。具体言之，网络平台刑事合规的实质在于，通过合规计划的实施避免因为平台运营过程中可能的违法犯罪行为，以及对相应不法行为刑事可罚性的降低。因此，完整而有效的合规体系对于网络平台合规计划效能的发挥极为关键。首先，刑事合规体系的重要性体现为对法律风险的防范，因此，网络平台刑事合规的风险识别、风险评估、风险消除至关重要。在风险识别上，网络平台风险管理尤其是网络平台可能的风险盘点应当给予足够重视，即体系化的、连续性地对潜在的安全风险和潜在的损害后果进行识别、梳理和确认。在此基础上，对于前面所发现的风险进行评估，对可能的合规风险进行量化，根据风险发生的概率和造成的损害后果的严重程度，确定具体的防范方法和实施方案。最后，根据对相关风险的评估，制定所谓的风险地图、风险矩阵、风险组合和风险草图进行相关风险的消除。

但值得注意的是，完整的刑事合规制度只是刑事合规计划发挥功能的第一步，其关键还在于合规计划的具体实施，缺乏有效实施的合规制度一般不会带来积极的刑法奖励，甚至还会产生相应的不利后果。在希尔顿酒店案中，判决明确指出:“如果针对犯罪风险仅仅对员工做出一般性的指令避免行为，没有通过积极的手段来使危险行为得到阻止，刑事合规便不能作为减轻甚至免除刑事责任的判定依据。”我国《网络安全法》第三章第一节系统规定了网络运营者的信息网络安全保护义务，主要包括两个层面:(1)防范技术措施:网络运营者危害网络安全行为的防范义务、监测义务、记录义务、数据备份和加密义务;(2)应急补救措施:及时处置安全风险义务、应急预案义务。由此可见，网络平台作为网络运营者被行政立法赋予了事前积极的技术防控义务、危害行为发生后的止损义务，典型的体现为在发生用户数据泄露时，通过及时告知用户以避免进一步的其他犯罪侵害可能。根据《网络安全法》第24条、第41条、第42条等规定，网络平台在刑事合规计划制定中，应当建立网站安全保障制度、信息安全保密管理制度、用户信息安全管理制度等相应的信息网络安全管理制度，并在其业务范围内进行相应的技术安全维护和保障。网络平台刑事合规的重点除了完整科学的制度设计之外，更为关键的体现为对相应的防范技术措施、应急补救措施的相关义务、预案的制定和实施。欠缺相应有效的实施体系，不仅不会为网络平台在责任方面减免，而且当网络平台服务者已经明知其平台范围内存在犯罪行为的情况下，能采取措施而不采取措施，依然为其提供互联网服务，则可能构成不作为的帮助网络犯罪活动罪。

作者简介：于冲，中国政法大学副教授。因篇幅原因，省略注释。

文章原载：《中国刑事法杂志》2019年第6期。