數據合規協同激勵體系的構建與完善

齊英程

內容摘要：企業是否選擇合規是一個典型的權衡問題?，F階段，我國數據合規秩序的構建受困于反向激勵欠缺剛性、正向激勵供給不足等問題，合規激勵機制的孱弱難以促動企業自覺建立全流程數據合規管理體系。法律作為“一套具備激勵功能的機制”，應基于實體法與程序法雙重維度，持續開展數據合規協同激勵的體系性作業：厘清數據合規實體標準，以明確數據合規激勵措施的適用前提；明晰數據合規從寬的制度原理與實體法依據，以全面釋放合規激勵效應；增加數據合規程序性激勵機制供給，以確保合規激勵效果落地。通過實體法與程序法在數據合規領域的呼應與聯動，共同打造完備的數據合規協同激勵體系。

關鍵詞：數據合規 企業合規 數據安全 協同激勵 實體法 程序法

中圖分類號：DF41 文獻標識碼：A 文章編號：1674-4039-（2024）02-0098-108

引言

隨著數據安全法、個人信息保護法等立法將數據合規上升為法定義務，數據合規逐漸成為現代企業合規管理體系的重要內容，數據領域全行業強制合規的時代已正式來臨。然而，在國家不斷強調“強化市場主體數據全流程合規治理”“加強企業數據合規體系建設和監管”的整體態勢下，一個需要思考的問題是，我國企業開展數據合規體系建設的激勵源自何處？ 畢竟，“合規管理是一種只耗費資源而不創造利潤的治理活動”?！?"〕隨著我國企業合規改革工作持續推進，激勵不足致使企業合規熱情不高、合規動力不足的現象越發受到關注，并制約著改革的全面鋪開與深入落實?！?"〕

當前，我國企業開展數據合規體系建設的激勵主要源自“合規義務法定化”背景下，違反立法要求可能遭受的制裁威脅與責任追究。此種反向激勵為企業按照立法要求建立相應的數據合規管理體系、履行數據合規管理義務施加了必要壓力。但在實體法層面，數據合規認定標準的缺失與模糊銷蝕了其反向激勵功能，且此種反向激勵僅指向最低限度的法定數據合規義務履行，難以督促企業在法律的底線要求之上，主動建立全面、完備的數據合規政策與管理流程。而在正向激勵層面，近年來，我國檢察系統推行的涉案企業合規改革為企業投入合規體系建設注入了前所未有的動力。但受限于合規從寬的實體法依據缺失、程序性措施缺位，改革范圍仍停留于刑事領域的少許罪名，難以為企業數據合規體系建設的全面展開提供充足動力。

當前，數據合規激勵機制的孱弱難以充分激勵企業自覺建立全方位、全流程的數據合規治理體系，進而推動數據行業從“被動合規”向“主動合規”轉型。本文基于實體與程序雙重維度，檢視我國既有數據合規激勵體系的不足，聚焦數據合規實體標準模糊、數據合規從寬缺少實體法依據、數據合規程序激勵機制匱乏等根源性癥結，提出破解企業數據合規激勵供給不足的關鍵策略在于通過廓清數據合規實體標準、補足數據合規從寬的實體法依據與程序法措施，以實體與程序的雙向打通和互動，構建起完備的數據合規協同激勵體系。

一、數字經濟形態下數據合規激勵的必要性闡釋

數字經濟形態下數據安全風險的激增呼吁著作為數字經濟核心參與者的企業積極作為。對此，傳統的威懾監管難以充分調動企業的合規積極性，且面臨合法性與有效性的雙重質疑。相比之下，合規激勵能夠通過改變企業合規的成本與收益，激發企業尋求數據合規的內在動力，更加契合數字經濟的發展需求與規律。

（一）“企業主導”的數據風險治理與合規秩序構建

隨著人類社會邁入數字經濟形態，數據的大規模聚合、處理、分析在成為價值創造之源的同時亦開啟了風險之源，滋生了國家數據主權與安全風險、個體隱私侵權與信息泄漏等一系列新問題。在自反性科學化進程中，“數據密集型活動的流動性和復雜性既使得傳統的數據安全風險大大增加，也引發了新型的數據安全風險和挑戰”?！?"〕數據安全風險的獨特之處在于，其具有典型的不可逆性、不可測性和擴散性?！?"〕以數據泄漏為例，數據一旦發生泄漏，無法恢復至此前的保密狀態，且往往呈現波紋式擴散，造成難以預測的下游風險。對此，單純依賴公權力機構開展事后追責與懲治，難以彌補違規行為對國家安全、公共利益和公民權益造成的損失。更具效率的規制方式是訴諸作為“組織化自我指涉系統”的企業，通過采取事前風險識別機制和常規性風險評估、合規審計等措施，達致“防患于未然”的治理效果。

此外，數字經濟實踐與數據處理技術的快速發展亦挑戰著政府的規制能力?！?"〕在技術加持下，市場主體的違規數據處理行為常被隱蔽在合法合理的表象之下， 且其造成的損害后果具有非直接性、偶發性、累積性特點。監管部門雖可通過運動式執法展開集中性清理，但缺少企業的自愿配合，類似問題只會不斷卷土重來，屢禁而不絕。同時，面對數據分析處理所衍生的社會分選、歧視性決策、數據監控等新型風險與損害形態，監管部門的應對手段更加“捉襟見肘”?！霸谛畔⒉粚ΨQ等因素的干擾下，靜態的單向監管措施往往效能低下?！薄?"〕

數據安全風險的治理有賴于“有效市場”與“有為政府”的緊密合作。在此意義上，數據合規改革應被視作一場“為了保障數據安全，企業、政府部門、司法機關等所進行的企業內外部合規治理活動”，〔7"〕其為企業、政府部門、司法機關共同探索確立數據處理的合法合規標準提供了渠道。不同于以自上而下的“命令—控制”為特征的傳統監管模式，數據合規改革帶有鮮明的協商性特點。企業作為數據處理活動的開展者與合規義務的落實者，占據著主導性與決定性位置，唯有訴諸企業通過建立內生性數據合規管理體系等方式所開展的自我規制，方能從源頭抑制數據安全風險的產生。檢察機關和監管部門作為“必要的外部力量”，則基于合規整改、從寬激勵等手段“剛柔并濟”地介入企業數據合規體系完善過程，幫助企業建立長效合規機制，并從源頭斬斷數據違規風險。通過此種公、私主體間的雙向互動與內外協作，共同實現對數據合規秩序的形塑。

（二）從威懾監管到合規激勵

企業是否選擇合規是一個典型的權衡問題?！?"〕毫無疑問，數據合規體系建設能夠產生明顯的社會效益，但其成本則完全由企業承受。實踐中，龐大的合規體系設置必然耗費高昂的建設與運營成本。立足“成本—收益”的經濟學原理，市場主體的決策可被視作基于私人成本與私人收益的比較而作出的風險博弈?！?"〕在“短期理性”驅動下，當合規投入成本超出因觸犯法律可能遭受的處罰時，放棄合規即成為企業在客觀條件與成本約束下的“理性選擇”?！?0"〕

因此，“僅僅依靠自覺自愿和自生自發的努力，任何企業都無法建立起一套行之有效的合規管理體系”?！?1"〕即便立法可以基于“命令—控制”的威懾監管模式增加企業違規的法律成本，但實踐中，受制于信息滯后、監管乏力等客觀約束，嚴刑峻法的高權執法極易陷入“威懾陷阱”，或因規制過度引發“寒蟬效應”，且對再犯行為預防效果欠佳。這也解釋了各國在推行現代企業合規制度進程中的行為邏輯：通過轉向法律上的誘致性規制措施，推行以合規整改為條件的暫緩起訴協議和不起訴協議制度、建立以合規為核心的行政和解協議與行政處罰減免制度等方式，增加企業開展合規建設的“利益砝碼”，改變合規建設成本與收益的權重關系，以此促動企業從“消極合規”向“積極合規”轉變。

與此相對照的是，我國數據保護立法仍然延續嚴刑峻法思路，試圖通過提升行政處罰力度，補足刑事責任“嚴而不厲”態勢下對違規數據處理行為的威懾不足，以此督促企業尋求合規?！?2"〕然而，單純依賴剛性處罰難以培養起企業開展合規建設的自覺， 從而系統性地消除誘發違規數據處理的因素?！耙幹剖】梢詺w咎于缺乏對被規制者系統自主性和內在邏輯的尊重”?！?3"〕現代企業合規改革的國際經驗普遍昭示著樹立自主合規意識對企業合規目標實現的根本意義?！?4"〕基于此，我國在推進數據領域全行業合規進程中面臨的首要任務即在于，通過從實體與程序維度同步增加企業開展數據合規體系建設的激勵機制，培育適宜合規文化生長的制度土壤，以此推動企業自覺建立貫穿數據全生命周期的“全過程合規治理機制”。

二、實體與程序維度下數據合規協同激勵的實現困境

當前，我國實體法與程序法層面的合規激勵措施均較為匱乏，未能形成呼應與合力。在反向激勵層面，數據合規實體標準的模糊限制了法律責任與制裁措施的剛性約束效能；在正向激勵層面，數據合規從寬的實體法依據尚待明確。同時，程序性合規激勵措施限于刑事訴訟領域，在適用范圍與激勵強度方面均難以為企業開展數據合規體系建設提供充足動力。

（一）數據合規實體標準模糊

數據安全法、個人信息保護法均采取以“合規責任”為核心的責任體系，將數據處理者是否適當履行了數據合規義務作為責任認定與施加處罰的核心考量。上述規定構成了督促企業落實數據合規義務的反向激勵與剛性保障。然而，當前立法層面的數據合規實體標準仍較為模糊。其中，數據處理行為合規標準的模糊阻礙了企業數據合規政策的確立以及對違規數據處理行為的識別；數據合規管理義務履行標準的模糊則限制了完善的數據合規管理流程的建立。

1.數據處理行為合規標準模糊

數據合規要求企業結合立法上的禁止性與義務性規范，有效識別數據處理全過程可能存在的違法犯罪風險，進而通過制定企業內部數據合規政策，為其高管人員、員工、第三方合作伙伴確立行為的規范與邊界。為此，企業必須對數據處理行為的合規標準具備清晰認識。然而，受制于實踐的快速迭代以及立法的有限性，我國既有立法規則呈現高度開放性與不確定性，難以為判定數據處理行為的合規性提供全面依據與充分指引。

現階段，數據處理各環節均存在合規性標準困惑。以數據收集為例，數據收集行為的刑事違法性與行政違法性認定均面臨明顯障礙。在刑事違法性層面，針對數字經濟形態下企業普遍使用網絡爬蟲收集數據的合法性問題，理論研究與司法裁判均未形成定于一尊的成熟結論。理論主流觀點主張，刑事層面對非法收集數據行為的認定應以“侵入性”為核心標準?！?5$〕而司法實踐中，違反網站運營者自行設定的爬蟲協議收集數據的行為仍常被認定構成刑事意義上的“行為不法”?！?6$〕此外，在行政違法性層面，如何認定個人信息保護法規制的過度收集數據行為亦有待厘清。數據領域前置法規則的模糊絕非孤例，而是遍布整個立法體系，顯著加劇了數據處理活動的不確定風險和企業的違法性認知障礙。

2.數據合規管理義務履行標準模糊

數據安全法、個人信息保護法均為企業設置了強制性的數據合規管理義務，要求企業建立健全數據合規管理制度和操作規程、采取適當技術與組織措施、指定數據合規負責人與管理機構、定期開展合規風險評估與教育培訓等。然而，既有立法關于數據合規管理義務的規定過于原則化且缺少體系性，企業數據合規管理流程因缺少合規報告、合規問責與懲戒等必要環節，難以形成貫穿事前防范、事中監測、事后應對的完整合規管理流程體系?！?7$〕實踐中，不同企業在業務范圍、數據處理活動的密集程度以及承擔合規管理成本的能力方面存在顯著差異， 對其合規管理體系建設和合規義務履行標準的要求也應有所區別?；诖?，個人信息保護法第58條對“守門人”型企業增設了更嚴格的數據合規義務要求， 第62條則賦予國家網信部門統籌制定針對小型數據處理者的專門性數據合規標準之職責。但目前上述標準仍未出臺，如何準確把握不同企業應當履行的數據合規管理義務，仍是實踐難題。

實體法層面數據合規標準的缺失與模糊為企業根據自身需求裁剪規則，在灰色地帶內規避合規義務、壓縮合規成本留下空隙，由此消解了相關義務性與禁止性規范的反向激勵效能。合規標準的模糊亦銷蝕了正向激勵措施的適用前提。目前，司法實踐中已有法院明確肯認數據合規管理體系的設置和運行可成為企業免于承擔刑事責任的有效抗辯事由?！?8$〕但數據合規實體標準的認定困難極大地限制了這一抗辯事由的適用。

（二）數據合規激勵實體法依據缺失

強制性規范指令與監管執法驅動的反向激勵僅能為企業開展數據合規提供底線保障，且容易淪為徒有其表的“紙面合規”。此種“創造性合規”〔19#〕的真正目標并非充分識別、預防、應對數據違規風險，其不過是企業應付監管執法的策略工具。相比之下，正向激勵可通過嚴格把握數據合規管理義務的實際履行效果，決定是否給予相應的激勵性待遇，以此鼓勵企業“認真對待合規”。

數據合規的正向激勵主要體現為企業開展事前性或事后性數據合規體系建設獲得的減、免責等從寬處理，即所謂的“合規從寬”?！皬膶挕钡睦硇曰A在于，開展數據合規的企業在主觀為善意的狀態下積極履行了注意義務，故即使未能完全避免客觀上的違規后果，亦不應過于苛責?！?0#〕同時，立足“成本—收益”的理性考量，耗費較高成本開展數據合規的企業若不能獲得在法律責任方面的“績效兌換”，則難以指望單純依賴企業的道德自覺培育起長遠的行業合規文化。故此，有必要根據企業在合規方面的不同表現予以區別性地優待。

但目前，數據合規從寬在實體法層面仍處于于法無據的狀態。自2020年起，最高人民檢察院圍繞涉案企業合規改革逐步確立起合規檢察建議、第三方監督評估機制等程序性合規激勵措施。相比之下，企業合規從寬處罰的實體規范基礎持續缺位，合規從寬的基本原理、構成要件、適用標準等均待厘清。實體規范基礎的缺失難以為當前實踐創新提供依據，甚至可能因不同部門法間的內在沖突，沖撞法秩序統一性原理。同時，其亦醞釀著程序性合規激勵完全脫離理性主義與法體系約束，徹底滑向功利取向的經驗實用主義之風險。對此，亟待在實體法層面補足數據合規從寬的規則依據，破解企業合規正向激勵不足且于法無據的困境，并為程序法層面的合規激勵改革奠定實體規范基礎。

（三）數據合規程序性激勵機制匱乏

在涉案企業合規改革的背景下，在涉數據犯罪領域，符合條件的企業可承諾開展數據合規體系建設或針對性合規整改，以換取檢察機關不捕、不訴、不判實刑等輕緩化甚至出罪化處理?！?1#〕這雖為企業注入了合規整改的動力，但上述激勵措施在適用階段、覆蓋范圍、預防功能、監管持續性等方面仍具有明顯短板?！?2#〕一方面，涉案企業合規改革僅關注“與企業涉嫌犯罪有密切聯系的企業內部治理結構、規章制度、人員管理等方面存在的問題”，可能疏忽對其他層面風險的預防治理。另一方面，合規不起訴的激勵效應難以持續至合規考察期結束后。檢察機關在作出不起訴決定后，雖可通過不定期抽查回訪等方式考察監督合規整改效果，但鑒于監管剛性不足、監管手段有限，單純依賴刑事領域的合規激勵措施，難以為企業全面建立合規長效機制提供充足壓力與動力?！?3#〕此外，數據領域行政處罰與刑事制裁“倒掛”造成的“不刑重罰”還醞釀著破壞企業合規改革效果之危機。鑒于我國刑法規定的涉及數據處理活動的罪名均屬兼具行政違法性和刑事違法性雙重違法結構的法定犯，企業可能因同一違規數據處理行為遭致行政處罰與刑事追訴，從而產生扭曲的合規激勵信號。此外，一些尚未上升至犯罪層面的違法數據處理行為亦可能遭致停業整頓、吊銷業務許可證甚至營業執照等嚴厲處罰，危及企業存續。其均呼吁著通過在行政法領域引入合規從寬激勵機制，進一步擴展數據合規激勵范圍，并在縱向上與刑事合規改革形成合力。

隨著個人信息保護法正式賦予檢察機關個人信息保護公益訴訟首訴的主體地位，檢察機關有望在履職過程中進一步開辟數據合規激勵新形態。公益訴訟既可充當督促企業落實合規整改的后備保障，亦可依托懲罰性賠償等制度創新，為企業開展合規整改提供更豐富的激勵措施。但當前，公益訴訟在提供數據合規激勵方面的潛能尚未得到有效發掘。

三、數據合規協同激勵體系的實體之維

數據合規的重要性催生了構建跨越實體與程序的合規協同激勵體系之需求。一方面，程序性激勵措施的創設與適用，需以實體層面數據合規從寬的法定化為規范基礎和前置條件；另一方面，實體法規則亦需要配套的程序實施機制?！?4#〕當前，程序法與實體法間缺少對話與回應，不利于體系化合規理論的建構，亦無助于合規實踐的有效開展及后續立法的推進?！?5#〕對此，必須聚焦數據合規實體標準對構建合規激勵體系的前提性意義、數據合規激勵的實體法依據與程序性機制之對接等問題，實現跨越實體與程序的兩法協同。

（一）數據合規實體標準的廓清

當前，數據領域合規改革推進緩慢，各地檢察系統針對數據犯罪適用合規從寬制度的案例極為有限，少有地區將數據犯罪案件明確納入合規試點范圍?！?6#〕這與數字經濟形態下涉數據違法犯罪行為激增的客觀態勢明顯不符。

阻滯數據合規改革推進的關鍵癥結在于，數據合規實體標準的模糊致使這一領域的激勵措施均面臨“無的放矢”的窘境。數據領域的新業態與新模式不斷涌現，并顛覆既有規則，因此，立法只能以抽象、宏觀的規定割舍對精確性的渴求，以避免立法決策的系統性偏差扼制數據行業的創新發展。然而，立法的不確定性必然顯著提高執法與守法成本。為此，2023年最高人民檢察院《關于加強新時代檢察機關網絡法治工作的意見》明確提出，檢察機關要探索以事后合規整改促進企業事前合規建設，推動網絡監管部門、第三方組織、互聯網企業研究制定數據合規規范指引。此種指引性文本作為一種標準型規范，一方面能夠通過初步設定相應行為規范，為企業開展內部合規管理提供一定的事前確定性指引；另一方面，其具有的開放性與靈活性為企業判定自身合規義務的具體內涵與履行標準保留了必要的彈性空間。在法律效力上，合規指引不具有法源地位，避免權威立法對數據產業的直接影響，更多扮演凝聚共識并填補規則空白的角色，提供國家在數據領域尋求與市場主體合作治理的規范載體。

目前，深圳、上海等地已先后發布企業數據合規指引類文件，為企業建立數據合規管理體系提供更具操作性的范本指南。在此基礎上，網信部門可以進一步推動制定適用于全國范圍的統一數據合規指引，建立配套的履行監管機制，以此實現事前性合規指引與日常性行政監管執法、事后性合規從寬激勵措施間的貫通。此外，檢察機關與監管部門還可通過發布數據合規典型案例、公開數據合規整改過程性文件、建立合規匯報與咨詢制度等方式，提供基于類案與具體場景的合規標準范本，達到進一步澄清數據合規標準內涵的效果。

（二）數據合規從寬實體法依據的錨定

數據合規實體標準的明晰為數據合規從寬激勵機制的全面確立奠定了基礎。以此為前提，構建數據合規激勵體系的下一項作業在于明晰數據合規從寬的制度原理，確立數據合規作為刑事犯罪與行政違法場景下抗辯事由或減、免責事由的實體法依據。

1.刑事合規從寬的實現進路

刑法層面的合規激勵主要涵蓋定罪層面的合規出罪與量刑層面的合規從寬處罰。在事前合規層面，當前，已有法院明確承認事前性的數據合規體系建設可作為阻卻單位數據犯罪的抗辯事由?！?7+〕其理性基礎在于，企業作為具有擬制人格的“獨立組織體”，應獨立考察其主觀意志等歸責要素。個人的犯罪行為并不當然歸咎于單位，對單位刑事責任的認定必須結合整體的組織結構、治理模式、企業文化等?！?8#〕良好的事前合規體現了單位對犯罪行為的否定態度，能夠產生直接否定犯罪成立的規范效力?！?9#〕具體到涉數據犯罪領域，由于企業并不具備直接實施犯罪行為的能力，往往是由企業內部人員擅自實施犯罪行為，甚至以所屬企業為犯罪實施對象?！?0#〕上述場景下，企業通過建立并執行有效的事前數據合規管理體系，對關聯人員從事犯罪行為作出禁止和監控的，足以證明其盡到了恰當的注意義務，對關聯人員實施的犯罪行為不存在主觀過錯，亦不具有謀取非法利益的單位意志，不符合有責性要件?！?1#〕即使其數據合規體系未能完全阻止內部犯罪行為的發生，在符合“有效合規”標準的前提下，鑒于企業不存在鼓勵、默許或過失放縱的情形，不應苛責企業為無法預見與避免的員工行為承擔罪責，亦不具有通過刑罰進行特殊預防的必要?；诖?，法院在司法裁判中可賦予事前數據合規以出罪功能，免除建立有效數據合規管理體系的企業因其內部人員犯罪行為而承擔的刑事責任，以此激勵企業對事前數據合規義務的嚴格履行。

同時，司法機關亦需嚴格把握事前數據合規的有效性標準，以免數據合規淪為企業逃避法律責任的工具。目前，數據合規有效性審查標準的缺失對司法機關適用合規從寬激勵造成較大困擾?！?2#〕考慮到合規成本等客觀限制，要求企業確立并執行“面面俱到”的合規體系不具有期待可能，且極易誘發“紙面合規”。據此，對個案中企業事前數據合規有效性的認定應當充分考慮企業的規模、資源、業務類型等因素。只要企業建立起與風險相匹配且有針對性的合規管理體系并嚴格執行，即可認定其履行了事前合規義務。在訴訟中，被告企業基于事前數據合規主張無罪抗辯的，應負有對此種積極抗辯事由的舉證責任，由其就事前數據合規的有效性進行證明，并承擔證明不能的后果。

相比之下， 企業基于外部壓力做出的事后合規整改作為單位犯罪成立前提下的從寬處罰情節，其教義學原理更為復雜。傳統刑法罪責模式側重報償理念和道義責任論下對侵害法益者的懲罰。然而對于單位犯罪而言，單純的報應或懲罰無意義，重點在于恢復犯罪打破的利益格局，重新建立和平、合作的社會秩序?！?3#〕基于此，“法益修復理論”提供了將事后合規作為單位犯罪場合下從寬量刑情節的正當依據，即通過合規從寬處罰等激勵機制，引導企業自愿采取整改措施對被犯罪行為所侵害的法益進行積極修復和補救，以減弱甚至消除犯罪行為的歸責基礎和處罰必要性，實現司法上的去犯罪化?！?4#〕

依循此種邏輯， 可以將企業的事后合規整改視作“一個未經定罪的責任刑和預防刑的實現過程”：〔35#〕在責任刑層面，在整改過程中，被告企業通過補救挽損措施對受損法益進行全方位修復，減少甚至消除了犯罪行為的損害后果，有效降低了企業犯罪行為“需罰的不法性”，折抵了責任刑；在預防刑層面，企業事后制定合規計劃，并針對合規管理體系存在的漏洞和制度隱患進行整改，能夠有效消除其經營模式與治理結構中誘發再次犯罪的可能因素，對其施加預防刑的必要性亦顯著降低。此時，繼續定罪處罰缺乏必要，還可能引發“水波效應”?！?6#〕基于上述原理，司法機關可對經驗收整改合格的企業作出不起訴或寬緩量刑的決定，對相關責任人員則仍可依法懲處。

2.行政合規從寬的實現進路

當前，行政合規從寬激勵的結構性缺失不僅封閉了企業通過開展合規整改換取免除、減輕行政處罰的制度通道，亦限制了監管部門能動履行數據合規監管職能，對違規數據處理行為進行源頭治理和常態監管的能力?？紤]到既有數據合規實體標準的模糊和監管部門執法經驗相對薄弱，在這一領域引入行政合規從寬制度，有助于監管部門“剛柔并濟”地引導企業建設完善數據合規體系，避免“嚴刑峻罰”對數字產業發展的可能阻滯，在數字經濟背景下具有重要意義。

確立行政合規從寬制度的前提在于明確合規作為從寬處罰事由的法律依據。行政合規從寬的邏輯與依法行政的傳統要求存在一定程度的背離，因而面臨“行政權的不可處分性”“企業獨立意志的缺乏”等一系列理論質疑?！?7#〕對此，2021年修訂的行政處罰法將主觀過錯引入行政責任成立要件，為監管部門豁免對已建立有效事前數據合規管理體系的企業的責任科處提供了規范基礎。不同于傳統行政法秉持客觀違法的一元歸責原則，修訂后的行政處罰法實現了從客觀歸責向主客觀要件相結合的轉變?！?8）〕根據行政處罰法第33條第2款，已經建立事前數據合規管理體系、充分履行數據合規義務的企業可主張對違法數據處理行為的發生不具有主觀過錯， 以此作為排除適用行政處罰的抗辯事由。監管部門則可結合合規認定標準，嚴格把握企業事前數據合規管理體系的有效性，決定企業是否符合行政處罰法關于不予處罰之規定。此種“決定裁量權”的行使并未超出立法授權的范圍，不構成對行政權不可處分性要求的違背。

此外，數據安全法、個人信息保護法在行政責任的設置方面均采取“雙罰制”，即同時對企業與相關責任人員設置行政處罰。這為監管部門對企業的主觀過錯作出獨立認定提供了空間。根據單位違法的“雙重構造論”，“單位違法的形態結構表現為兩個違法主體、兩個違法行為以及內容不同的主觀過錯”?！?9）〕因此，在“雙罰制”下，對單位責任與成員責任的認定應彼此獨立，是否追究單位的責任并不影響對成員責任的追究，反之亦然?！?0）〕鑒于數據領域的行政違法行為多為自然人實施的“不純正的單位違法”，應當對企業與相關責任人員的違法行為、主觀過錯分別認定。當企業已建立并執行完備、有效的事前數據合規管理機制，且不存在主觀過錯時，行政處罰的對象應為違背企業整體意志與內部要求而實施違規數據處理行為的直接責任人。這也確保了合規從寬并不必然造成行政領域法律責任的落空。

相比之下，事后行政合規從寬因面向已成立的行政違法行為，此時，監管部門不能自行處分和決定放棄所負有的處罰職責，因此更加需要尋求法律上的從寬依據。目前，數據安全法、個人信息保護法均賦予有關監管部門在發現數據處理活動存在較大安全風險的情形下，約談有關企業、個人，要求其整改以消除隱患的權力?！?1）〕結合行政處罰法第33條第1款的“首違不罰”規則，監管部門可在違法數據處理行為尚未造成實質性危害或危害輕微的限度內， 允許首次違法的企業通過開展數據合規整改，及時糾正違法行為并積極消除、減輕危害后果，換取免除或減輕行政處罰的從寬處理。同時，針對已造成實質性危害后果的違規數據處理行為，根據行政處罰法第32條之規定，企業積極配合執法調查，并主動采取措施消除或減輕危害后果的，行政監管部門亦可酌情對其從輕或減輕處罰。

四、數據合規協同激勵的程序之維

在數據合規的實體規范基礎仍有待夯實的客觀局限下，程序性合規激勵措施仍將在較長期間內充當合規從寬的主要實現路徑?！?2）〕目前，刑事領域依托涉案企業合規改革已初步形成第三方監督評估機制、合規驗收聽證等一系列程序性激勵措施。相比之下，行政領域與公益訴訟領域數據合規程序性激勵機制仍處于缺位狀態。數據合規的程序性激勵措施應進一步延伸至刑事訴訟、行政處罰與公益訴訟等不同場景，〔43#〕以全面打造數據合規程序性激勵體系。

（一）行政合規程序性激勵機制的確立

近年來，“合規整改”成為各地網信部門執法過程中的高亮詞匯?？紤]到當前數據領域非惡意違法甚至無意識違法現象較為普遍，在行政執法中引入以合規整改為核心的激勵機制，有利于在糾正違規數據處理行為的同時，發揮企業的自創生能力，使其承擔必要的知識觀察與事后改進義務，并為立法完善積累經驗?！?4#〕

在此方面，證券監管與反壟斷執法領域率先開展的行政執法承諾制度提供了將合規激勵嵌入行政執法的程序裝置?！?5#〕但這一制度的初衷旨在提升執法經濟性，合規激勵效果隱而不彰，且適用率偏低?！?6#〕通過對這一制度的核心目標、制度定位、機制設計進行改造和優化，能夠使其煥發活力，為合規秩序的塑造提供更有力的支持?！?7#〕近年來，監管部門在對大型互聯網平臺企業作出行政處罰的同時，均同步制發《行政指導書》，要求其加強內控合規管理、進行全面合規整改，并定期提交自查合規報告?！?8#〕在此基礎上，數據領域的監管部門可依托修訂后的行政處罰法，在適度改造的基礎上建立相應的行政執法承諾機制，允許被調查企業通過承諾進行合規整改、加強內控管理、建立有效合規計劃、接受合規監督等，換取與執法部門和解的機會，以此推動企業主動改變治理結構和公司文化。雙方可在協商基礎上，就合規整改措施達成一致約定，并明確納入承諾許可協議，以作為中止調查的前提?！?9#〕同時，應當增設針對數據合規整改效果的驗收評估程序，并根據數據違規行為的情節和后果等因素設置相對較長的合規考察期限，只有最終經過考察驗收被認定整改合格的企業，方可被予以終止調查的從寬處理，否則監管部門仍有權重啟執法程序。

在數據領域引入行政執法承諾制度面臨的主要困境在于，“多頭管理”的監管架構容易引發權責交叉和職責邊界模糊，增加企業合規建設成本。就是否對企業適用行政執法承諾制度以及后續對其合規整改效果的評估結論，不同監管部門可能存在差異，從而削弱合規從寬激勵效應?；诖?，可在數據合規監管領域建立相應的聯合執法機制，由網信部門作為領導機構統籌協調，并統一行政執法承諾的適用標準。對于符合適用條件的企業，可以協調有關監管部門共同評估，避免重復開展合規建設和考察驗收所帶來的成本損耗。

在刑事訴訟領域已確立合規不起訴等從寬激勵的基礎上， 在行政監管中引入行政執法承諾制度，還應注意避免“過度從寬”而放縱數據違規行為?；诖?，監管部門應當采取漸進式試點模式?，F階段，行政監管部門可以謙抑姿態，在檢察機關的建議、意見下，結合企業在刑事訴訟環節合規整改的證據材料與具體效果，決定是否適用行政執法承諾機制。待經驗積累成熟后，再考慮在行政處罰法基礎上，從已經建立一定程度的事前數據合規管理體系且對違法數據處理行為的發生不具有故意和明顯過失的初犯企業開始，嘗試拓展行政執法承諾制度的適用范圍。同時嚴格規定適用行政執法承諾的否定性要件，對故意違規、重復違規或其違規行為造成較為惡劣的社會影響的企業，不予受理其行政執法承諾。此外，對于已作出承諾，但因自身原因未履行或者未完全履行，或存在其他違背誠信原則的情形的企業，應記入信用檔案，取消再次適用的資格。

（二）公益訴訟合規程序性激勵機制的探索

檢察機關的公益訴訟職能可與企業合規改革形成激勵相容的互促關系?！?0#〕其既可充當督促企業落實數據合規整改要求的壓力機制，又能與懲罰性賠償等制度相結合，為企業合規提供正向驅動。依托檢察職能的能動行使，公益訴訟與數據合規可以形成如下兩種組合模式。

1“. 檢察建議+數據合規+公益訴訟”模式

在刑事司法與行政監管領域全面引入數據合規激勵機制帶來的一個后續問題是，如何確保享受合規從寬待遇的企業真正將合規落至實處。當前，單純依靠涉案企業合規改革確立的第三方監督評估機制對企業合規整改效果予以考察，受限于考察驗收期限較短、考察范圍有限而效果欠佳。公益訴訟手段的介入增添了督促企業落實合規整改要求的剛性保障。實踐中，檢察機關在對情節輕微、尚不構成犯罪的企業作出不起訴決定的同時，可以發送檢察建議，要求涉案企業采取合規整改措施，并對未能按照檢察建議落實合規整改要求者啟動民事公益訴訟程序，要求其承擔支付懲罰性賠償金等責任。此外，根據最高人民檢察院《關于積極穩妥拓展公益訴訟案件范圍的指導意見》，檢察機關在履職過程中發現企業存在違規數據處理行為或合規管理漏洞，可能造成潛在公益風險時，也可以訴前檢察建議方式，要求其及時開展數據合規體系建設或合規整改，在違規數據處理行為上升為嚴重違法犯罪前及時介入，實現從“事后懲治”向“事先介入”的轉型。

2“. 公益訴訟+數據合規+激勵措施”模式

數據合規激勵改革推進過程中必須回應的另一重疑惑是，在“放過企業”的同時，如何使數據違規場景下處于受侵害狀態的公共利益與個體權益得到恢復和彌補。對此，公益訴訟作為“恢復性司法”的重要載體，可以通過行使損害賠償、消除影響、停止侵害等請求權，彌補數據侵權場合下“沉默的大多數”遭受的損失，促成“懲罰”“救濟”與“預防”等多重規范目標的同步實現?！?1#〕然而，單純針對個案的補救挽損難以徹底消除根源性違規因素，預防類似行為再度發生，故有必要在公益訴訟中引入數據合規機制，以達到從根源上改造企業治理結構與合規意識的效果。

《關于加強新時代檢察機關網絡法治工作的意見》明確提出，要圍繞敏感個人信息、特定群體、重點領域的公民個人信息等，持續加大公益訴訟辦案力度，積極探索建立民事公益訴訟懲罰性賠償制度。懲罰性賠償提供了在公益訴訟中融入數據合規激勵的支點：一方面，對嚴重違反數據合規義務的企業課以懲罰性賠償，能夠彌補傳統侵權責任形式威懾力的不足；另一方面，懲罰性賠償的附條件減、緩、免可作為激勵企業開展數據合規整改、建立有效合規計劃的重要方式?！?2#〕檢察機關可以在法院調解下，與涉訴企業就合規整改事宜達成一致，并對合規整改驗收合格的企業減少甚至免除懲罰性賠償，激勵其徹底消除違規因素。此外，近年來，部分地方檢察機關還在公益訴訟中創新性地引入了數據合規訴請，通過在與被告達成的調解協議中約定被告應采取的合規整改措施以及高額違約金的方式，為企業落實數據合規建設提供反向激勵。

綜上，將數據合規要求與激勵機制引入公益訴訟領域，能夠有效實現與刑事訴訟和行政處罰領域合規改革的銜接與配合。在適用階段與覆蓋范圍方面，公益訴訟主要適用于違法情節相對輕微，甚至尚未造成實質性損害的侵權行為，相比于刑事訴訟與行政處罰具有明顯的主動性與前置性，同時，公益訴訟的介入也為合規不起訴場合下，檢察機關做好合規考察期結束后的“后半篇文章”提供了有力手段。為避免企業騙取從寬待遇，檢察機關可以在作出合規不起訴的決定后，借助“檢察建議+數據合規+公益訴訟”模式實現接續監管，確保企業長效落實合規要求。

當前，將公益訴訟融入數據合規激勵體系仍面臨一定障礙。其中，最主要的障礙即在于相應程序性實現機制的缺位。在公益訴訟場景下，除刑事附帶民事公益訴訟案件可啟動第三方評估與審查機制外，其他公益訴訟案件還未建立起成熟的第三方機制?！?3）〕鑒于對違規企業缺少規范化的考察與評估機制，公益訴訟對企業合規的激勵效果難以落至實處。實際上，公益訴訟與刑事訴訟場景下數據合規的判定標準具有較強共性，完全可以在既有刑事合規第三方監督評估機制基礎上，構造公益訴訟合規的調查、評估、監督與考察機制，并共享第三方機制專家資源。未來可依托既有第三方監督評估機制，進一步明確檢察公益訴訟場景下企業合規整改的第三方監督評估程序規則，更好發揮公益訴訟對企業數據合規的激勵與督促效果。

結語

合規的終極形態應當是企業的一種內部文化。企業合規的內在化、制度化過程大致會經歷“承諾合規—合規技術化—合規慣例化”三個階段，而在企業達致“合規慣例化”階段后，鮮少發生再次退回不合規老路的現象?！?4）〕可見，為培育數據合規秩序與文化提供法律激勵是必要的，關鍵在于把握激勵與威懾的完美比例，在提供充足合規動力的同時，避免“過度從寬”不當降低數據違規成本。我國數據合規秩序的培育仍處在萌芽階段。未來，應基于實體法與程序法雙重維度，持續開展數據合規協同激勵的體系性作業：厘清數據合規實體標準，以明確激勵措施的適用前提；明晰數據合規從寬的制度原理與實體法依據，以釋放激勵效應；增加程序性激勵機制供給，以確保激勵效果落地。

本文系吉林省社科基金重大項目“完善數據權益配置服務智慧法務區建設研究”（項目批準號：2023ZD1）、吉林省哲學社會科學網絡文化專項項目“破解數據公地悲劇的法律進路研究”（項目批準號：2023W6）的階段性成果。