由事后懲治向事前合規:侵犯公民個人信息罪的治理模式轉型*

鄭自飛

(成都大學 法學院,四川 成都 610106)

一、引 言

根據中國互聯網協會《中國網民權益保護調查報告(2021)》顯示,約一年間,因個人信息泄露、垃圾信息、詐騙信息等原因,網民總體損失約達805億元人民幣,82.3%的網民受到了個人信息泄露的不良影響[1]?；ヂ摼W大數據的迅速發展,數據應用價值的不斷挖掘,使得公民已經自覺或不自覺地遨游于大數據的海洋中?！半S著網絡云計算和大數據的興起,伴生而來的是涉及網絡數據及其控制權的違法犯罪案件開始快速增加”[2]7,個人信息保護問題已然成為互聯網大數據時代人民群眾利益保護的核心議題。面對個人信息相關違法犯罪案件的激增態勢,“國家機器強勢介入,開始‘運動式’打擊個人信息泄漏行為,旨在以迅雷不及掩耳之勢壓減違法犯罪行為”[2]4。然而,經驗性事實表明,即便我國在持續完善其他法律保護手段,使侵犯公民個人信息罪刑事制裁法網更嚴密,加大刑事制裁力度,但是個人信息的刑法保護效果仍不理想。這也反映出,事后性刑事制裁對侵犯公民個人信息罪的治理效果終究具有局限性,我們理應轉換視角,尋求疏源截流并舉的多元化協同保護機制。

在我國刑事司法實踐中,2017年甘肅省蘭州市中級人民法院對“××公司員工侵犯公民個人信息案”(1)有關更詳細內容,請參見甘肅省蘭州市城關區人民法院(2016)甘102刑初605號刑事判決書,蘭州市中級人民法院(2017)甘01刑終89號刑事裁定書。的終審裁定曾被稱為“企業刑事合規抗辯第一案”。有學者指出:“這一裁決的重大突破在于,法院以企業合規管理體系為依據,認定單位不存在構成犯罪所需要的主觀意志因素,從而將單位責任與員工個人責任進行了切割?！盵3]相較于理論而言,該案可以說是合規計劃“實踐先導式”的發展。在當前我國行政監管部門大力推進企業合規管理體系建設和企業全面啟動建立合規機制試點的背景下,在侵犯公民個人信息罪治理中,合規計劃如何在理論層面對“實踐先導式”發展進行梳理和思考,是一個亟待澄清的問題。

合規最早被界定為“對法規的遵守”。德國學者弗蘭克·薩力格爾將刑事合規定義為:“包括實體規則與形式規則之整體,從法人及沒有法人資格的公司的角度來看,其在法定可罰性領域(刑事實體法)的前置領域內,應前瞻性地避免刑事責任風險?！盵4]盡管當前我國學界在刑事合規計劃的概念界定上尚未達成共識,但是在刑事合規計劃旨在及時發現并預防企業及其內部員工的違法犯罪行為這一點上毫無爭議。合規計劃是現代社會治理犯罪尤其是企業犯罪的重要手段,其獨特作用在于將原屬于國家公權的管理責任通過有效的形式轉移或分擔給個人和社會組織,特別是“促進企業自我監管,從而緩解國家對犯罪行為的監管負擔”[5]142。這意味著,從刑事合規的角度思考侵犯公民個人信息犯罪的“事前規劃”式風險預防機制,合規疏源與刑法截流并舉,既可提升個人信息保護的多元性和有效性,亦可緩解侵犯公民個人信息罪在刑法規制擴張與刑法謙抑性理念之間的緊張關系。同時,通過典型個罪的刑事立法與司法實踐檢驗刑事合規,揭開合規計劃的神秘面紗,也將為構建具有中國特色的刑事合規制度提供可靠經驗。

2022年12月,最高人民檢察院在《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)(2)我國法律文本全稱均有“中華人民共和國”作定語,為行文簡潔,后文涉及我國法律文本時,均將其省略。貫徹實施一周年之際,印發五件檢察機關依法懲治侵犯公民個人信息犯罪的典型案例,彰顯了檢察機關依法從嚴懲治侵犯公民個人信息犯罪的政策導向,也對提高平臺和行業內部管控,推動個人信息協同保護機制建設,實現全鏈條打擊、溯源治理和協同治理提出了新要求。因此,本文以侵犯公民個人信息罪的傳統刑法治理思路為切入點,揭示合規計劃在侵犯公民個人信息罪治理中的功能和運作機制,進而思考合規計劃融入侵犯公民個人信息罪治理的可行路徑,推動侵犯公民個人信息罪的治理由事后懲治向事前合規的新型治理模式轉型。

二、侵犯公民個人信息罪刑法治理的嚴密化與傳統思路困境

從當前我國侵犯公民個人信息罪的刑事立法和司法實踐現狀看,在堅持從嚴打擊的刑事政策導向下,刑事立法和司法均在循序漸進地將規制范圍嚴密化和加大規制力度。正如有學者所言:“在刑事法領域,對于侵犯公民個人信息罪的懲治處于不斷擴張態勢,法益保護的鏈條不斷拉長,刑法修正立法頻繁,刑事司法解釋呈現細密化、擴大化趨勢?！盵6]將“這一現實視為給定的,把其中的特定現象視為經驗證據”[7],將是我們進一步探討侵犯公民個人信息罪規制問題的必然選擇。侵犯公民個人信息罪的行為主體既是違法犯罪行為的實施者,也是相應法律后果的承擔者。因此,只有借助司法實踐中行為主體的特定現象,針對性地分析思考相關犯罪的防控措施,方能有的放矢。

(一)侵犯公民個人信息罪刑法治理的嚴密化走向

一方面,隨著互聯網虛擬社會在我國的快速形成,個人信息的商業價值得到全面發掘,刑事立法對公民個人信息保護的重要性愈加被重視,網絡刑事立法觀的更新促使刑法逐步將侵犯公民個人信息罪的規制范圍嚴密化,并加大規制力度。從個人信息刑事保護模式上看,個人信息刑事保護歷經附屬于其他權利保護、數據安全保護、專屬保護三個階段[8],整體趨于精細化、嚴密化。具體而言,個人信息早期依附于隱私權、通信自由權等傳統權利而得以刑法保護,后來發展到通過維護數據安全而被保護。隨著個人信息權能的豐富化和獨立化,我國《刑法》賦予個人信息保護的專屬性,對其確立了以侵犯公民個人信息罪和拒不履行信息網絡安全管理義務罪為核心的專屬保護機制。在這一發展過程中,刑事立法不僅實現了規制行為方式的多樣化,而且實現了規制行為主體的擴大化。從微觀視角看,《刑法》將非法提供、出售、獲取行為進行全面規制防范,且有學者主張進一步擴張侵犯公民個人信息罪的行為規制范圍,將非法使用行為納入其中[9]118-126。由于行為方式取決于主體的主觀選擇,其多樣化也意味著規制行為主體的多元化。從宏觀層面看,“通過立法手段擴大‘侵犯公民個人信息罪’的行為主體”[2]11的范圍,即從國家機關或者金融、電信、交通、教育、醫療等單位的工作人員這一類特殊主體擴大到所有自然人與單位,這實現了從單純打擊自然人到打擊自然人和單位的雙管齊下。同時,《刑法修正案》增加“從重處罰”的規定,提升法定刑幅度,均是針對行為主體強化規制力度的表現。

另一方面,侵犯公民個人信息相關犯罪的司法適用擴大化,表明了司法實踐在懲治侵犯公民個人信息罪上加大了力度?！肮駛€人信息”是個人信息權益刑事保護的載體,如何理解和界定“公民個人信息”直接關系到司法規制范圍。當前,侵犯公民個人信息罪司法規制的擴張,主要是通過適度擴大“公民個人信息”概念外延的方式實現的。歷經2012年全國人大常委會通過的《關于加強網絡信息保護的決定》,2013年最高人民法院、最高人民檢察院、公安部發布的《關于依法懲處侵害公民個人信息犯罪活動的通知》,2016年通過的《網絡安全法》和2017年最高人民法院、最高人民檢察院發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,“公民個人信息”在司法實踐中的內涵已經從最初的“可識別性”擴展到廣義上具有“可識別性”的個人身份信息和可能影響人身、財產安全的個人信息。這意味著對公民個人信息的刑事保護不僅在于防范對人格權的侵犯,還服務于對公民人身、財產權的保護目的?！肮駛€人信息”概念內涵在司法領域的適度擴張,使法網更加嚴密。

(二)侵犯公民個人信息罪的傳統刑法治理思路及其困境

當前,侵犯公民個人信息罪的刑法治理思路是適度拓展刑事制裁范圍、加強規制力度,突出表現在為順應網絡社會的迅速發展而不斷擴大個人犯罪的行為類型、并強調對單位犯罪的打擊等方面。但是,在實現了侵犯公民個人信息罪規制行為類型多樣化和主體多元化的前提下,侵犯公民個人信息罪的傳統刑法治理理念也面臨著困境。

1.對刑事保護的過分依賴與對社會組織內部保護機制的不當忽視

作為一種社會現象,違法犯罪與人類社會相伴而生。對個人信息違法犯罪行為的治理可以強化人們的規則意識,促使國家完善共同體的規范體系和社會秩序。在現實中,侵犯公民個人信息罪的行為類型具有多樣性,其行為對象內涵呈現出代際演進特征,行為主體范圍擴張得到不斷認可,犯罪認定依據具有行政依附性,這種復雜性決定了其防治措施應當具有多元性。

當前我國刑事、行政、民事、網絡安全等方面的法律法規均設置了對公民個人信息的保護措施,但仍然難以避免法律規制供給的充分性和規制功能的有效性問題;同時,單一地依靠法律尤其是刑罰這種正式而嚴厲的強制性制裁措施以防治涉及個人信息的違法犯罪的局限性顯而易見。我們理應認識到,“在維護社會秩序方面,結構明確的行為規則和正式的強制程序所起到的作用是有限的”[10]。一方面,《刑法》不斷將規制法網嚴密化,加大規制力度;另一方面,侵犯公民個人信息的犯罪態勢居高不下。在互聯網社會與現實社會虛實并存的二元社會結構下,侵犯公民個人信息罪涉及的行為內容復雜、利益主體范圍寬泛,尤其是當前個人信息與國家、個人和互聯網服務平臺等存在緊密聯系,這要求侵犯公民個人信息罪的治理應當由多元主體參與的協作機制發揮功效。然而事實表明,社會組織尤其是互聯網企業在侵犯公民個人信息行為治理中的作用并未被充分發揮出來,企業內部的自主性防控機制尚未得到充分調用。

2.事后懲治性預防的過度依賴與事前規劃式預防的不當缺失

當前,雖然刑事立法在不斷凸顯和強化刑法的預防性功能,但刑事立法和司法仍有待優化?！靶塘P的目的既不是要摧殘折磨一個感知者,也不是要消除業已犯下的罪行”,而是“阻止罪犯再重新侵害公民,并規誡其他人不要重蹈覆轍”[11]52。但是,刑法史的經驗性證據表明,單純依靠刑罰背后的國家強制力懲罰犯罪,其預防犯罪的功能是有限的[12]。

然而,當前逐步趨嚴的刑事法網表明,我國侵犯公民個人信息罪的刑事立法和司法實踐存在過度依賴刑罰事后懲罰性預防功能的趨向。長期以來,面對紛繁復雜的侵犯公民個人信息的違法犯罪行為,我國在個人信息的保護策略上強調“刑先民后”,《刑法》率先承擔起保護公民個人信息的重任。侵犯公民個人信息罪的刑事立法和司法對事后懲治性預防的過度依賴不利于對事前規劃式激勵預防措施進行同等關注?！缎谭ā返氖潞髴椭涡灶A防側重于通過打擊侵犯公民個人信息犯罪人,但是這種事后反向激勵具有一定局限性。借助于刑事合規制度的合規計劃可以直接影響行為主體事后的定罪與量刑,這種事前正向激勵才是鼓勵個人和互聯網平臺積極采取有效措施保護個人信息的重要手段。但是,事實表明,我國個人信息刑事保護對這種事前規劃式的正向激勵制度重視不足。單純依靠司法機關適用《刑法》予以懲治,忽視對信息收集、管理主體的激勵性制度預防,難以有效防范侵犯公民個人信息的犯罪行為。

3.個人信息法益定位的偏頗與協作治理機制的不足

“法益概念中重要的不是前實證的社會損害,立法者的價值判斷才是關鍵?！盵13]因此,立法者關于侵犯公民個人信息罪保護法益的形塑,直接影響到刑事司法實踐對侵犯公民個人信息罪的打擊模式和力度。以侵犯公民個人信息罪這一罪名為例,由于立法者將其歸置于《刑法(分則)》第四章侵犯公民人身權利、民主權利罪中,“從而意味著該罪的保護法益為公民人身民主權利”[14]。換言之,刑事立法者將其視為個人法益的犯罪,因而司法解釋(3)2017年5月8日,最高人民法院、最高人民檢察院發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規定:“刑法第二百五十三條之一規定的‘公民個人信息’,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！辈艔娬{個人信息對特定公民的“可識別性”特征,并將其作為認定該罪的核心依據。

刑事立法將個人信息相關犯罪中的“公民個人信息”的法益定位偏向于個人法益,在復雜的互聯網虛擬社會不斷擴張的背景下,這容易導致針對該罪的協作性治理機制的不足。從刑事司法層面看,個人法益的主流立法定位意味著該罪侵害的是公民個人權益,加之司法資源配置的有限性,因而單一乃至少數個人法益的侵害可能難以獲得刑事司法的有效認同。從個人層面看,面對復雜而極具技術性的互聯網,個人在遭遇信息侵害時,難以獲得有效的線索和證據。從互聯網企業層面看,由于企業或其內部人員實施的相關犯罪一旦步入司法程序,就會直接影響其外部形象和市場利益,因而企業一般不會主動參與侵犯公民個人信息罪的司法打擊程序。司法機關、個人和企業無法形成侵犯公民個人信息罪治理的協作機制,“從而影響對侵犯公民個人信息罪行為的打擊力度和效率”[9]122。

三、侵犯公民個人信息罪事前合規治理的核心內涵與運作機理

對個人信息保護的刑事立法跟進與司法適度擴張,反映出個人信息在現實社會與互聯網虛擬社會二元并存結構下的重要價值,也間接映射出一個重要現實:我們對刑事治理侵犯公民個人信息罪存在一定的刑罰依賴,而傳統的事后懲治型刑事治理手段并非唯一選擇。在互聯網大數據時代,個人信息違法犯罪主要是由互聯網企業及其內部員工直接或間接實施,這是侵犯公民個人信息罪的顯著特征?！缎谭ā吩鲈O侵犯公民個人信息罪的單位主體并強化“網絡服務提供者的平臺責任”[15]即是最佳例證。就此而言,“我們應該擺脫傳統的僅僅依靠《刑法》的懲罰、打擊進行企業犯罪治理的思維,把企業犯罪的治理與我們經濟體制改革、現代企業制度的建立、現代企業的治理水平的提高和企業家素質的提升、企業文化的這種培育結合起來”[16]。刑事合規“鼓勵企業內部遵守合規文化”[5]147,旨在建立和完善及時發現并預防企業及其員工違法犯罪行為的企業內部治理機制。將刑事合規融入侵犯公民個人信息罪的治理模式,既符合當前我國侵犯公民個人信息罪的主體特征,也有助于形塑我國侵犯公民個人信息罪的事前規劃式的全新治理模式。

(一)合規計劃的刑事法內涵與功能指向

在規范共同體下,現代企業的產生和發展離不開對法律規范的遵守。從早期的行會制度到近現代的各類旨在促進企業公平競爭的法律規范及制度無不表明,遵守法律規范成為企業經營中的普遍作法。合規制度是經濟發展和企業存續共同作用的結果,它是一種集多種預防措施于一身、旨在及時發現并預防企業內部違法犯罪行為的綜合性機制(4)1991年美國量刑委員會在《聯邦量刑指南》中對組織的規定法制化,其追求的刑事合規制度成為當前的典范?！堵摪盍啃讨改稀分辛信e的評估合規計劃有效性的要素主要關注企業執行合規計劃的各種情況。1.企業應建立制度和程序以防止犯罪行為。2.(A)企業管理層應知曉道德合規計劃的內容并合理監管以確保二者得到有效實施。(B)企業高層應確保企業具有符合《聯邦量刑指南》要求的有效道德合規計劃,且在高層內部安排專人全面負責。(C)指派專人負責道德合規計劃的日常實施,并由其向企業高層、一級管理者或二級管理者匯報計劃的有效性。為確保合規計劃實施順利,企業應當為負責人配備充足的資源、賦予其足夠的權限及和一級或二級管理者直接接觸的途徑。3.企業不得聘用在盡職調查期間了解到具有犯罪前科記錄的高管。4.(A)企業應定期與(B)項中所提及的人物溝通道德合規計劃的標準、程序及其他方面的內容,或者就其職責提供必要信息。(B)在(A)項中涉及的人包括企業管理者、企業高層、權威人士、雇員及企業代理人。5.企業應做到:(A)確保企業道德合規計劃得到遵守,包括通過監測審計手段偵查犯罪行為;(B)定期評估道德合規計劃的有效性;(C)建立并推行包含匿名舉報機制和保密機制的檢舉系統,使雇員和代理人檢舉潛在或既定犯罪行為而不被報復。6.企業的道德合規計劃應得到持續執行,并需(A)針對遵循合規計劃者設立恰當的獎勵措施,(B)針對違背合規計劃發生違法行為者執行恰當的懲罰措施。7.發現犯罪行為后,企業應當恰當處理以防止類似行為再次發生,并對企業道德合規計劃進行修正。,其“精髓在于,使法令的遵守不再依靠嚴格監視和個人自覺性與誠實性,而是用合理的事前計算規劃來避免違法行為的發生”[17]。

合規計劃不只具有經濟學上的意義,同時具有刑事法上的法律意義。一方面,就刑事實體法而言,合規計劃融入刑法中的犯罪治理,其效果發揮主要表現在三個層面。其一,影響實體層面的犯罪成立。例如,實施合規計劃“證明了企業在自身活動中表現了相當的注意”[18],因此,合規計劃“與針對‘企業過失’的注意義務有很大關聯性”[19]4,這意味著刑事合規能夠影響企業過失犯罪的構成要件設計和司法認定。其二,影響實體層面的刑罰裁量。例如,企業實施了有效的合規計劃會成為罰金數額判定中的減輕或免除情節。其三,推動法人刑事責任的政策演進。刑事合規制度的發展推動了替代責任理論的發展,使法人犯罪和刑事責任承擔成為主流趨勢。另一方面,就刑事程序法而言,合規計劃與刑事程序法的關系主要表現為“企業內部調查與刑事訴訟法之間的相互作用問題”[4]。這既涉及企業發起內部調查的條件與限度,也涉及企業內部調查的證據在刑事訴訟程序中的轉換和適用問題。

(二)合規計劃對侵犯公民個人信息罪的治理功能及其運作機理

1.合規計劃前置侵犯公民個人信息罪的風險控制基點

互聯網大數據時代,虛擬網絡社會是社會風險的高發領域,個人信息在其中頻頻遭受侵害即為例證?！氨M管在學理上存在對于風險社會概念的質疑,但是,風險的增多以及不確定性的增強是不爭的事實”,“為了實現風險的控制……刑法體系從懲罰傾向的體系向預防導向的體系發生轉變”,其重要方式是“控制基點的前置化”[19]100。我國刑事立法對犯罪風險控制基點的前置最為突出的例證便是網絡犯罪,例如,典型的預備行為實行化、幫助行為正犯化、設置網絡平臺監管責任均在網絡犯罪領域得到貫徹等。

“刑事合規是現代風險刑法的一個結果?！盵20]364它通過建立良好的企業文化與制度、設立純潔而中立的監督者、貫徹落實合規計劃、及時發現并處置違法犯罪行為等相互銜接的機制,對違法犯罪行為進行堵源式控制,以降低犯罪對企業自身乃至社會的危害性。在侵犯公民個人信息罪治理中推行合規計劃,可以刑事責任背后的國家強制力反推互聯網企業對自身及其內部員工行為的監管,拓展侵犯公民個人信息罪的防控主體責任,將侵犯公民個人信息罪的風險防控基點前移至犯罪行為實施前。風險防控基點的前置,意味著侵犯公民個人信息罪風險防控的延伸,這帶來的將是風險預測和防控能力的提升,以及風險發生概率的降低。這正是化解當前我國侵犯公民個人信息罪治理過度依賴事后的刑事懲治性預防手段、避免因為刑事制裁滯后性弱化侵犯公民個人信息罪治理效果的有效舉措。

2.合規計劃塑造侵犯公民個人信息罪的多元防控機制

縱觀歷史,刑罰的有效性始終是刑法運行的核心追求之一。在貝卡利亞看來,“犯罪與刑罰之間的時間隔得越短,在人們心中,犯罪與刑罰這兩個概念的聯系就越突出、越持續,因而,人們很自然地把犯罪看作起因,把刑罰看作不可缺少的必然結果”[11]79。他認為,可以借助刑罰的及時性來維持和強化刑罰的有效性。事實上,現代刑事立法與實踐呈現出“從追求刑法的懲治性到追求刑法的有效性”[21]的觀念轉型。但是,經驗事實表明,完全依賴刑罰運用的及時性和刑事法網的嚴密性,尚難實現刑法預防犯罪的終極目的。

犯罪預防目標的達成,需要刑法手段和非刑法手段雙管齊下,并形成多元化措施共舉的犯罪風險防控機制等。侵犯公民個人信息罪發生原因具有多元化特點,賴以產生的背景具有復雜性,這要求其防控手段應當多元化。然而,當前我國侵犯公民個人信息罪的防控和治理過分依賴國家刑罰,這使得我國侵犯公民個人信息罪治理出現了刑事法網不斷嚴密化和侵犯公民個人信息罪持續高發并存的現象。合規計劃通過推行企業合規文化、塑造企業及其內部成員的規范意識、制定具有針對性的犯罪防控措施、貫徹體系性的犯罪風險防控機制等,進而預防犯罪產生。合規計劃著重培育企業及其成員的規范意識,聘用專業的合規專員或者建立合規執行部門,提供監督熱線或響應系統,查證、獲取違法犯罪證據,這一系列制度措施與刑事制裁措施的結合,可以推動個人犯罪治理措施的多元化。在侵犯公民個人信息罪治理中,合規計劃既可以提前防范企業及其內部人員實施犯罪的風險,也可為后續司法機關節約犯罪偵控時間和資源、提升證據獲取效率,在兼顧非刑事治理手段的同時,可以提升刑法的及時性和有效性,從而在多元化防控機制下實現預防犯罪的目的。

3.合規計劃提升企業參與治理侵犯公民個人信息罪的激勵性

“自然把人類置于兩位主公——痛苦和快樂——的主宰之下。只有它們才指示我們應當干什么,決定我們將要干什么?！盵22]刑罰懲罰帶來痛苦,獎勵帶來快樂。把懲罰和獎勵同時貫穿于刑法,確立符合功利原理的法律規范,可以更好地指引人們的行為。刑事立法在因應時代變化、完善懲罰制度的同時,亦需通過妥當的策略將獎勵予以規范化、制度化,以便彰顯刑法預防犯罪的激勵性功能。

當前,在侵犯公民個人信息罪治理進程中,我國刑事立法追求刑法事后打擊的全面性和嚴厲性,不斷凸顯和強化刑法的懲罰性。這雖然起到了一定的積極作用,但同時在一定意義上忽略了刑法激勵性制度的構建及其功能發揮。加之,侵犯公民個人信息罪保護法益定位的個人偏向使得企業忽略了侵犯公民個人信息罪對社會整體秩序的損害,在懲罰性有限而激勵性不足的現實情形下,互聯網企業參與侵犯公民個人信息罪治理的積極性不高?！靶淌潞弦幍暮诵氖怯眯塘P手段來激勵企業建立有效的內部控制制度,從而預防犯罪?！盵23]123賦予合規以刑法意義,通過暫緩不起訴、不起訴協議、企業自首認可、量刑減免等手段,可以激勵企業積極參與侵犯公民個人信息罪的治理。在互聯網大數據時代,互聯網領域內侵犯公民個人信息罪存在極強的匿名性、技術性、隱蔽性,互聯網企業在侵犯公民個人信息罪的防控和治理上占據個人難以比擬的優勢。因此,通過肯定刑事合規的思路激勵互聯網企業參與侵犯公民個人信息罪的治理,對形成個人、企業和國家三位一體的治理機制意義重大。

四、合規計劃融入侵犯公民個人信息罪治理的邏輯前提與實踐展開

我國有學者認為,由于“沒有注意到我國單位犯罪立法模式的獨特性,也對其他國家現行的刑事合規制度存在一定誤解”,因此,“不宜匆忙引入刑事合規制度”[23]119-130。但是,以《刑法修正案(九)》增設的拒不履行信息網絡安全管理義務罪為例,“通過刑法手段推動企業內控的實踐已經在我國相關立法中得到體現”[24]。這啟示我們:應當結合典型個罪的刑事立法和司法實踐來探討和檢驗合規計劃中國化的現實可能性。合規計劃融入侵犯公民個人信息罪治理,意味著必須賦予合規計劃在侵犯公民個人信息罪中的刑事法意義,其刑事法意義的賦予究竟如何展開便是關鍵所在。

(一)邏輯前提:合規計劃融入侵犯公民個人信息罪治理符合可能、必要且可期待等標準

丹尼斯·伯克指出:“對于狹義合規在刑法上的法律依據,一個原則性的指標是共通的:對于存在的法律義務來說,措施首先是可能的,其次是必要的,最后是可期待的?！盵25]這已經成為合規計劃實施的一種共識性標準。由于合規計劃旨在促使企業構建和運行內部監督機制以預防企業及其員工實施違法犯罪行為,因此,合規計劃融入侵犯公民個人信息罪治理要成為可能,就必須基于該罪的行為主體結構進行調適。

在互聯網大數據時代,侵犯公民個人信息罪的行為主體由自然人和單位共同構成,并且呈現出個人依附于單位實施犯罪的趨勢?！缎谭ㄐ拚?七)》在侵犯公民個人信息罪中增加“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”這些特殊的主體,《刑法修正案(九)》進一步將該罪的特殊主體拓展為一般主體,并增設拒不履行信息網絡安全管理義務罪和幫助信息網絡犯罪活動罪,這些輔助性罪名的增設既是回應網絡犯罪客觀發展趨勢的需要,也側面反映出實踐中侵犯公民個人信息罪主體結構的演變,即行為實施者由傳統的個人轉向個人與單位并重,且個人直接或間接依附于互聯網單位。通過對我國國家網信辦發布的《APP違法違規收集使用個人信息專項治理報告(2019)》[26]進行分析發現,移動互聯網應用商店上架推廣的APP有近400萬款,總下載量超萬億次。APP強制授權、過度索權、超范圍收集個人信息的現象普遍存在,未制定并公開隱私政策、未經用戶同意收集個人信息、未提供注銷賬號功能等不規范行為屢見不鮮。據2020年工信部和國家網信辦發布的《存在問題的應用軟件名單(2020年第一批)》披露,諸多互聯網平臺成為違法私自收集、超范圍索取、私自共享公民個人信息的高發主體[27]。其數據表明,互聯網平臺不僅是侵犯公民個人信息罪的重災區,也是侵犯公民個人信息的重要實施者或幫助者。而由于互聯網的技術性、便捷性、隱蔽性,互聯網成為個人或單位實施侵犯公民個人信息行為的高發場域。在互聯網大數據時代,個人在實施侵犯公民個人信息罪時會自覺或不自覺地對互聯網企業產生依附。也正是基于實踐現狀的考察,有學者明確指出:“刑事司法的觀念應當適時轉型和調整,從嚴厲制裁國家工作人員利用職務便利侵犯公民個人信息罪,逐漸轉向兼而制裁中介、物業等服務類機構工作人員倒賣公民個人信息,甚至最終轉向以嚴厲制裁上述服務類機構侵犯公民個人信息為主?！盵28]

概言之,在互聯網大數據時代,侵犯公民個人信息罪的主體結構由企業和自然人組成,自然人主要是互聯網企業內部人員或利用互聯網平臺的外部人員。這種主體結構契合合規計劃的制度設計初衷,即構建和運行企業內部的監督機制,及時發現和防范企業及其內部人員實施違法犯罪行為。換言之,侵犯公民個人信息罪的主體結構使得合規計劃在該罪治理中成為可能且必要的措施。需要進一步探討的是,這種預設是否滿足可期待性的目標呢?

合規計劃是否符合侵犯公民個人信息罪治理的可期待性要求,并非完全取決于我們單方面的良好愿景,還需考慮其融入侵犯公民個人信息罪治理的經濟性問題。在侵犯公民個人信息罪治理中,關于合規計劃的實施,“要確定采取監督措施的成本與規范違反可能性之間的比例性”,“基于有序的企業經濟和國民經濟的利益,應當避免對監督措施提出過高的要求”[29]。否則,合規體系將會對互聯網企業造成過分的內部規制,進而影響企業的創新動力,損害社會經濟發展的原動力。鑒于合規的“規范”包含正式的法律規范以及具體的行業規范或社會最基本的道德原則,而合規介入侵犯公民個人信息罪治理進程后,為企業帶來的是減輕或免除刑事法律制裁的后果。因此,基于對侵犯公民個人信息罪風險預防和企業發展成本平衡的考量,侵犯公民個人信息罪中的合規計劃內容應當僅限于企業對法律法規的遵守。這在當前我國《刑法》第353條之一規定的“違反國家有關規定”要件上也得以體現,對互聯網企業發展而言顯然具有可期待性。不過,這需要司法實踐嚴格認定合規的規范依據,且不宜作出過于寬泛的苛求。

(二)實體法層面:賦予合規計劃影響侵犯公民個人信息罪構罪和量刑的雙重功能

1.構罪層面:確立前置性免責程序條款,確立行政處罰程序的出罪功能

我國《刑法》353條之一在侵犯公民個人信息罪的犯罪成立條件中明確規定了“違反國家有關規定”的要件,這實質上是要求個人和單位對公民個人信息的獲取和使用等行為不得違反“國家有關規定”,亦即“界定刑法中已公開個人信息的合理利用范疇應當以前置法中的相關規定為基準”[30]。在司法實踐中,“國家有關規定”的認定依據既包括《關于加強網絡信息保護的決定》《網絡安全法》《民法典》《刑法》等關于個人信息保護的正式法律規范,也包括國家網信辦《互聯網用戶賬號名稱管理規定》等部門規章。將這些部門規章作為認定“違反國家有關規定”的依據確實存在違反立法機關維護法制統一的初衷[31]。不過,由此可以看出,遵守國家關于個人信息保護的相關法律法規本身就是避免實施侵犯公民個人信息罪的規范要求。換言之,遵守法律法規關于保護公民個人信息的規定這種顯著的合規要求,已然蘊含于侵犯公民個人信息罪的罪刑規范設置中。

刑事合規的犯罪風險預防機制貫穿于犯罪風險發生前和風險現實化之后,這就需要將事前規劃的預防功能和刑法事后懲治性預防功能相結合。就此而言,我國侵犯公民個人信息罪的規范設置似乎更注重風險現實化之后的懲治性預防,而對《刑法》運行前的事前規劃式正向激勵性預防作用重視不足。因為“違反國家有關規定”并構成侵犯公民個人信息罪之后,《刑法》著眼的僅是如何懲治實施犯罪的個人或單位,而未充分考慮對個人或企業在有效實施合規計劃情形下是否以及如何激勵的措施。盡管企業自我管理的實現需要嚴厲的刑罰的支持,嚴厲的刑罰能促進自我管理的實現,但是就企業發展和社會創新而言,單一的刑罰威懾并不會取得理想效果。

對此,為發揮合規計劃融入侵犯公民個人信息罪治理的積極功能,筆者認為,可以對《刑法》第253條之一關于侵犯公民個人信息罪的罪刑規范予以修改。比如,確立前置性免責程序條款:在保留“違法國家有關規定”的前提下,增加類似拒不履行信息網絡安全管理義務罪中“經監管部門責令采取改正措施而拒不改正或者改正不力”的要件。將前置性行政處罰程序作為犯罪成立的條件,發揮行政處罰程序在刑事法中的出罪作用。同時,“根據將過失犯罪的本質掌握在違法性層面的學說,守法計劃可能被掌握為客觀注意義務之標準”[32],因而當企業及其員工實施侵犯公民個人信息罪時,完全有跟正當化功能聯結的余地。在司法實踐認定中,將單位積極有效履行合規義務作為單位承擔監督過失責任的除斥條款,不失為一種可行之舉。

需要注意的是,最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號)第5條將“曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的”,作為非法獲取、出售或者提供公民個人信息“情節嚴重”的條件。這實質是將相關違法犯罪經歷作為侵犯公民個人信息罪的入罪標準。這和前文提出將《刑法》253條之一關于侵犯公民個人信息罪的罪刑規范予以修改、確立前置性免責程序條款的做法,其實并不沖突。從技術層面看,為侵犯公民個人信息罪的罪刑規范確立前置性免責程序條款,其前提是單位對個人信息的獲取、管理和使用履行了合理審慎的注意義務,也即單位不存在侵犯公民個人信息的故意行為,以此作為單位合規出罪的程序要件,更有利于發揮刑事合規的出罪功能,完善刑法出罪機制。從法理層面看,鑒于“受過刑事處罰或者二年內受過行政處罰”情節作為一般的違法犯罪經歷,在本質上反映的是行為人的人身危險性,而不是決定侵犯公民個人信息罪實體內容的情節,因此,將其作為入罪情節不利于發揮人身危險性在定罪機制中的消極出罪功能,也不符合犯罪成立的本質要求。

2.量刑方面:確定合規作為企業量刑減免情節

刑事合規的抑制作用在那些承認企業刑事可罰性的國家中,才能更有效地對刑事集合制裁的作出產生一定的影響[20]354。根據我國《刑法》第30條和第31條規定可知,我國刑事立法承認法人犯罪的可罰性,這是刑事合規融入我國侵犯公民個人信息罪治理的邏輯起點和規范基礎。在認可單位犯罪這種犯罪實體的情形下,即便單位犯罪的“雙罰制”能夠貫徹與這種犯罪評價相適應的制裁,也不宜過分依賴刑法事后懲治性威懾預防的功能。我們應當轉換視角,重視合規計劃事前規劃式的風險預防作用。

當然,合規計劃事前規劃式預防機能的展現和刑法事后懲治性威懾預防并非互不相容。在侵犯公民個人信息罪的治理中,理應尋求合規計劃事前規劃的預防機能和刑法事后懲治威懾預防的融合:一方面,將刑法事后懲治性威懾預防作為互聯網企業貫徹合規計劃的強制性外在動力;另一方面,將企業推行有效的合規計劃作為正向激勵制度,減輕其可能面臨的刑事風險。前者已在當前我國刑事立法加大刑事法網嚴密性、加強刑事制裁力度上得到體現,后者尚需我國刑事立法著力推進。

對此,我們需要特別注意的一個問題是:合規計劃專員或合規部門在貫徹企業內部合規計劃時,發現并及時檢舉企業自身或其內部員工實施的侵犯公民個人信息的行為,對此能否認定為企業自首,并據以對企業減輕處罰?肯定合規計劃作為事后量刑情節的做法,在20世紀90年代的日本已經開始實施,并表現出良好的效果(5)1996年東京高等裁判所關于下水道串通投標案件的判決,成為日本在刑事法上正面認可合規計劃法律效果的開端性案例。此后,類似做法已經在日本刑事司法實踐中延展開來。。筆者認為,單位自首是企業貫徹合規計劃防范自身及其內部員工實施侵犯公民個人信息違法犯罪行為的正向激勵性制度。從自首的本質、成立條件和現實必要性看,肯定單位自首完全可行[33]。即便我國《刑法》關于自首的規定并未明確肯定單位自首,但是未來刑事立法可以考慮修改自首制度的相關規定或增設侵犯公民個人信息罪的單位犯罪特別寬宥制度,并將此作為單位貫徹有效合規計劃的量刑減免情節,以此激勵單位積極推行合規計劃、防范自身及其員工實施侵犯公民個人信息的違法犯罪行為。未來刑事立法甚至可以將單位認罪認罰作為肯定單位消除再犯可能性的現實表現,同時考慮涉案單位的預期經濟社會貢獻程度,對此在量刑活動中獨立評價以作為法定刑幅度內從寬處罰的考量因素[34]。

(三)程序法層面:肯定企業合規計劃的緩訴和免訴功能

合規計劃影響企業刑事訴訟程序的運行已然成為主流。在充分認識到企業犯罪治理和個人犯罪治理之間顯著差異的基礎上,美國《聯邦量刑指南》第八章“組織量刑指南”確立了企業有效合規計劃的“七個標準”,使其成為聯邦訴訟和量刑的重要參考(6)參見USSG§8A1.2,application note 3(K)(2010)。。有效合規計劃直接影響企業訴訟,并同樣在德國、日本等國家得到了刑事法上的認可。合規計劃主要通過協議貫徹暫緩起訴和不起訴功能來影響企業刑事訴訟。目前,如果企業涉及個人數據信息保護等犯罪案件,“美國聯邦檢察機關要么與涉案企業達成‘暫緩起訴協議’”“要么與其達成‘不起訴協議’”,以此來替代原來的提起公訴或者不起訴決定[35]。在施行刑事合規計劃的國家,暫緩起訴協議和不起訴協議反映出企業自首情況增多的趨勢。這也表明,刑事程序法層面肯定有效的合規計劃能激勵企業及時發現并揭露內部違法犯罪行為。

在侵犯公民個人信息罪治理中,積極推進合規計劃在程序法層面的展開,應該考慮與免訴或緩訴相對應的“協議”問題。因此,如何確定“協議”的規范依據、實際內容與現實條件,就成為合規計劃在程序法層面運行的核心問題?！皡f議”的規范依據取決于前置性免責程序的確立,即關于侵犯公民個人信息罪的罪刑規范修改中的前置性行政免責程序條款設置。前置性行政免責程序條款的確立可為行政處罰限制入罪的功能發揮提供前提條件,亦即為“協議”達成提供了實際內容。而“協議”的現實條件則取決于單位是否實施了有效的合規計劃。這里需要注意的是,有效合規計劃的判斷不能取決于企業是否徹底阻止自身及其內部員工實施違法犯罪行為,因為現代企業復雜的組織架構及其數量龐大的內部成員決定了企業不可能徹底阻止犯罪行為,只要企業貫徹合規計劃、積極履行預防侵犯公民個人信息罪的風險即可。對此,可以參考以下規范標準:美國《聯邦量刑指南》第八章“組織量刑指南”確立的企業有效合規計劃的“七個標準”;2010年3月,經濟合作與發展組織發布的《內部控制、企業道德及合規運營良好行為準則》列出的有效合規計劃的12個要素。在侵犯公民個人信息罪治理中,如果與犯罪企業推行暫緩或免訴協議,一方面需要考慮讓企業承擔行政處罰并對被侵害個人予以損失賠償,另一方面則需要基于公共利益長期保護的現實需求,促使企業重構合規計劃或完善合規體系,定期就合規計劃的完善和執行問題向檢察機關報告。

但是,鑒于在我國當前的經濟結構中國有企業組織結構、內部風險控制和制度管理相對更為規范,而大量的中小微型民營企業反而因制度不健全面臨更多的合規風險,加上刑事合規建設尚處于起步階段,故而相關刑事合規的制度內涵與實踐展開仍需要結合司法實際進行有效探索[36],對侵犯公民個人信息罪的合規治理,“必須充分考慮現實國情,著眼于改革目的和適用對象”[37]。具體而言,筆者認為可以通過條件限制,采取較為謙抑的方式穩步推進侵犯公民個人信息罪的合規治理。

第一,可以將涉案企業合規整改的前提設置為輕罪案件,即根據涉案企業涉嫌侵犯公民個人信息的整體情況,依照2017年最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定的“相應自然人犯罪的定罪量刑標準”可能被判處3年以下有期徒刑的案件。盡管有學者認為,關于企業合規的適用案件,“附條件不起訴適用的涉罪案件范圍可以不受輕微犯罪案件的限制”[38],但是通過輕罪案件的限制,能夠起到避免放縱企業的嫌疑。第二,涉案企業和相關責任人員積極認罪認罰,采取措施阻止犯罪侵害狀態持續或消除犯罪危害結果。第三,涉案企業預期的經濟社會貢獻度較大,采取合規整改措施能夠消除制度漏洞和隱患,能夠保障其繼續經營。第四,結合當前刑事訴訟期限,可根據涉罪企業的實際情況合理設置6～12個月的合規整改考驗期,并將有效的合規整改和監督情況作為酌定不起訴的重要考察因素或者作為量刑從寬的考量因素。當然,這還需要立法輔助性地完善單位犯罪附條件不起訴特別程序[39]。

五、結 語

在當前現實社會與互聯網虛擬社會二元并存的背景下,對侵犯公民個人信息違法犯罪行為的治理是現在乃至未來都必須高度重視的問題。盡管“刑事立法是網絡智能時代解決風險困擾的一條路徑”[40],但是不斷將刑事法網嚴密化、加大刑事規制力度并非侵犯公民個人信息罪治理的唯一方式,單一化的傳統刑事制裁亦非侵犯公民個人信息罪治理的理想方式。合規計劃將事前規劃與事后懲治相融合,是現代企業預防自身及其內部員工犯罪風險的可靠機制。雖然在我國全面推行刑事合規計劃存在法律制度、法律文化等多層面的現實障礙,但是這并不妨礙我們從微觀層面借助典型個罪對其進行有意義的實踐嘗試。將合規計劃融入侵犯公民個人信息罪治理進程中,進而彌補傳統刑法治理手段的缺陷,釋放現代企業治理能力和水平,構建多元化的犯罪風險防控機制,是可能的、必要的且可期待的思路。在我國刑事立法和司法實踐不斷勉勵踐行預防刑法觀的當下,借鑒合規制度的犯罪風險預防機制,將事前規劃與事后懲治并重,發揮行政法及其他前置法限制入罪的功能,疏源與截流并舉,防范和控制犯罪風險現實化,既可以緩解刑事制裁過度擴張的潛在危險,也可以綜合提升犯罪治理能力和水平。