網絡平臺犯罪的刑事合規實現

郭競帆，陳彥均

（1. 澳門科技大學 法學院；2. 澳門科技大學 可持續發展研究所，澳門 999078）

風險刑法作為刑事合規的大背景[1]100，其并不直接產生了刑事合規。而是說，風險刑法直接催生的是法人犯罪[2]。在法人犯罪增多的趨勢下，作為個體的企業面臨越來越多的刑事風險。風險社會中的這種低概率且高影響的風險[3]滲入公司治理領域，作為法人的公司也開始產生并實際面臨一種符號化的不安和恐懼，這才有了刑事合規的出現。刑事合規制度實際上是通過刑罰激勵的方式對合作規制理論進行的積極回應，而這種回應具有刑罰論上的根據，因此具有正當性[1]105。然而，風險刑法理論所帶有的積極的一般預防理念讓人們不得不對刑事合規本身進行理性的思考，尤其是作為信息時代中重要角色的網絡平臺，其在網絡活動中往往處于網絡服務提供者的地位?；ヂ摼W活動中由于其技術性和隱蔽性等一系列特點，犯罪行為往往被掩蓋[4]。對網絡平臺犯罪的刑事合規之提倡，有利于實現網絡社會的風朗氣晴，從而兼顧安全和經濟效率的雙重價值。

一、問題的提出

隨著經濟社會的復雜變化，我國法人犯罪（又稱單位犯罪）的數量逐漸升高[5]。為了幫助民營經濟防范和減少觸刑風險、預防犯罪，刑事合規應運而生。法人犯罪的擴張在世界范圍內也有信號，一方面來說是罪名擴張，兩大法系的國家在其刑法中紛紛增設法人犯罪的罪名；另一方面則表現為不合規罪名的誕生，英國的“商業組織未防止賄賂罪”和南非的“未能報告腐敗行為罪”便是典型代表[6]。另外，隨著科技朝著復雜性和廣泛性方向的發展，新興領域尤其是信息網絡領域內犯罪頻發。網絡空間的犯罪治理成為社會治理中的重要議題，對此作為社會正義的最后保障法的刑法應當對此有所作為，以應對社會現實的風險和挑戰。

事實上，法人犯罪和網絡犯罪的擴張正是在提醒我們，社會的犯罪預防手段應該進行相應調整，即一種治理上的預防轉型[6]。刑事合規試點和實踐的開展如火如荼，為此，我們面臨深思的問題是刑事合規能否擔此重任？憑借刑事合規的犯罪治理正當性是否具備？刑事合規的立場是保護安全、保障自由，還是為了推動經濟效率？

二、刑事合規的理論和實踐

（一）刑事合規理論的研究現狀

陳瑞華認為，刑事合規所具有三個面向，其一作為公司治理的手段，其二作為刑法激勵的途徑，其三作為律師提供的一項法律服務[7]。劉艷紅認為，應積極探索刑事合規的出罪模式。他歸納了三種模式，其一是單位責任模式，其二是監管模式或防范模式，其三是實踐模式。在單位犯罪的語境下，李本燦將刑事合規進行了類型化處理，類型化后刑事合規表現為三種模式，即作為阻卻犯罪事由的刑事合規、作為起訴激勵的刑事合規、作為量刑情節的刑事合規。

關于單位犯罪的刑事責任承擔方式上，資格刑被學者提出[8]，其認為應當將單位視為一個理性人，對犯罪的單位要進行重刑威嚇。他認為，合規也包括一般性的行為和具體性行為。韓軼卻認為資格刑的提法較為欠妥[9]。劉艷紅認為，合規不起訴制度帶來的合規整改是一種相較于罰金刑而言更為嚴厲的制裁手段[10]。劉艷紅梳理道，合規不起訴的教義學根基在于單位犯罪的分離構造和制裁論上的超越刑罰外效果。合規激勵的正當性在于合規可期待性和附隨成本。時延安認為合規整改的需罰性和激勵正當性[11]值得進一步被關注。

在單位犯罪的罪名的擴張趨勢之下，單位犯罪的刑事責任也在面臨從報應向預防的轉向。在刑事法治的這種轉向之下，作為能動主體的企業也在考慮化被動為主動，積極規避企業可能發生的刑事風險，對此刑法也要有所作為，使得合規規范化。刑事立法可以在企業合規方向的努力有：其一，在總則單位犯罪中為企業設立注意義務。其二，在總則刑罰篇為刑事合規設定法定量刑情節。其三，在分則中設立企業合規失職的罪名[9]。企業合規失職罪名已經通過《刑法》第286 條之一拒不履行信息網絡安全管理義務罪得以展現，對于將刑事合規作為一種量刑情節考慮，似乎在我國語境下具有可行性。從另一方面理解，刑事合規也是企業對國家的一種期待，因為如果企業為合規付出了高昂成本，然而對此國家沒有制度性回應，那么此時企業就會在市場競爭中喪失競爭力[1]3。換言之，企業基于交換或信任與國家開展司法協商，旨在降低風險和預防犯罪。

（二）刑事合規的實踐反思

刑事合規雖然在試點前已有研究，但是真正實踐是始于2020 年3 月，2021 年6 月試點拓寬至十省市。2021 年6 月最高檢聯合發布《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）》，并在其中明確刑事合規的適用范圍、適用條件、啟動程序、第三方機構等。自此我國的刑事合規進入到了有規范文件指導的時期。

為了推動刑事合規試點、改革的進行，自2021年6 月起最高檢共發布了四批企業合規典型案例。企業合規不起訴、從寬制度、社會調查、監督評估、部門協調、行業治理等具體方面得到重視和關注。除了大量的不起訴決定外，還有一些值得關注。在第一批的案例二中，檢察機關通過與認罪認罰從寬制度結合，提出了從寬的量刑建議并被法院全部接受。在第二批的案例六中，檢察機關根據企業合規整改情況，提出了輕緩的量刑建議并被法院全部采納。在第三批的案例二中，面對重罪情形，法院表示對于企業的合規整改會在量刑時酌情考慮。在第四批的案例一中，檢察機關提出了從寬處罰的量刑建議并被法院接受；案例三中，檢察機關擴寬了原有的罪名和對象的范圍。合規整改與考察越來越被當作一種量刑的情節應用于司法實踐之中，以幫助企業完成自我改造，減少刑事責任，降低風險。

（三）刑事合規的圖景展開

以往對于刑事合規模式的分類通常以國別進行，分為英國模式和美國模式。然而，鑒于兩種模式大有融合的趨勢，故而原有的分類模式展現諸多弊端[12]。因此，李本燦認為刑事合規模式應當重新進行類型化。他進一步提出，刑事合規應該分為作為阻卻犯罪（違法性或罪責）事由的合規和量刑激勵的合規。量刑階段的合規多用于事后合規，況且合規不僅有是否的問題還有程度的問題。阻卻犯罪事由的合規有英國模式、日本模式和美國的合規不起訴模式。量刑階段的合規主要代表是事后合規整改和加減刑罰的模式，主要代表是美國《聯邦量刑指南》第八章的組織量刑規則。根據積極的一般預防理念，應當對企業采取寬緩的刑罰。將合規與刑罰建立聯系，以免合規計劃淪為裝潢之作用[12]。由此，似乎作為量刑激勵的刑事合規更受到刑事實體法學者的青睞。

三、刑事合規的實現路徑

自2018 年的刑事政策和2020 年以來的刑事合規的試點以來，在各地檢察機關的有效推動下，刑事合規發揮了巨大效用。一方面，企業和企業家的權利得到了進一步的保障；另一方面，透過刑事合規，企業自身抗風險能力得到強化，營商環境得到進一步優化。最重要的是，刑事合規的開展挽救了企業，促進和保障了就業與民生，發揮了刑法對于社會穩定的積極功能。根據最高檢的工作報告，檢察機關是合規整改的主要推動力，合規不起訴成為刑事合規的主要方式。在合規不起訴展現充分張力的同時，作為刑事實體法的刑法也要有所作為。

（一）刑事合規的刑法作為

1.實體法對刑事合規的容納空間

2023 年4 月，江蘇省兩高院聯合印發《關于加強涉案企業合規工作協同協作的座談會紀要》（以下簡稱《紀要》），并提出企業合規情況作為量刑情節納入法庭審理。法院可以對企業的合規整改情況，依職權進行審查。這意味著人民法院在審判階段可以參與到企業和刑事合規中，從而相應調整量刑。江蘇的實踐暗合了《中共中央關于全面推進依法治國若干重大問題的決定》（2014）中的“審判為中心”的精神，充分發揮了庭審在刑事合規中的作用，以實現案件裁判的實體公正。因此，刑事合規要在刑事實體法中找到其正當性和體系定位，刑法也要有所作為，以實現二者的“雙向奔赴”。

作為刑事實體法的刑法對于刑事合規實踐的開展具有足夠的容納空間。首先，《刑法修正案（九）》（2015）增設《刑法》第286 條之一為拒不履行信息網絡安全管理義務罪。此罪名便是著名的“不合規罪名”。如果企業拒不履行法律為其設定的安全管理義務，進而釀成一定的后果，滿足一定條件的情況下，企業便可構成該罪。其次，《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》也為刑事合規預留了空間。再者，在犯罪論層面，合規計劃的實施可以作為犯罪正當化的事由，從而排除企業的違法性或責任。另外，在量刑階段，尤其是對于重罪而言，企業合規整改和考察可以作為一種刑罰裁量的情節予以考慮。也可以將刑事合規作為一種認罪悔罪的表現予以認定，擴大對于企業（網絡平臺）犯罪的認罪悔罪的認定[13]。由此，《刑法》為刑事合規的出罪和減免刑罰提供了適用的空間。

在最高檢發布的第三批涉案企業典型案例中，案例二王某某泄露內幕信息、金某某內幕交易案具有特別的意義。本案中，作為內幕信息知情人員的K 公司董事會秘書王某某向金某某透露重組計劃和時間，金某某利用該信息非法獲利。隨后，二人被公安機關起訴。法院表示，對審查起訴階段的合規整改，可在量刑時酌情考慮。本案中，雖然是個人犯罪的情形，但亦有開展合規之必要性；該案對于重罪案件適用刑事合規具有啟示意義。最重要的是，本案中法院明確表示會對合規整改的情況進行考量，根據法院對檢察建議的接受程度，合規整改在法院量刑階段發揮了較大作用。

2.刑事合規下的企業責任

在向來不承認法人犯罪的大陸法系國家，其傳統觀點認為犯罪是一種身體舉止，而刑罰則是一種倫理譴責，基于這樣的考慮下，法人并沒有犯罪的能力[19]。在英美法系中，組織體的行為和意識通常被認為就是法人整體的行為和意識，至于刑罰的本質則是社會非難。折中說則認為，行政犯基于規范違反說的立場，可以接受法人責任。于是乎，法人犯罪則被例外性地規定在了行政刑法之中。

在企業責任承擔的模式上，有兩種不同方式。一種認為，企業責任就是自然人罪責的替代。另一種認為，法人罪責的本質并非自然人責任，而是基于法人意志的整體責任[12]。以往的企業主觀過錯推定原則應予以拋棄，取而代之的應是企業獨立意志理論[8]。李本燦在否定了代位責任說和系統責任說的基礎上，認為前者突破了責任原則，后者擴大了處罰范圍，進而其主張應當整合組織體責任論和同一視理論，從而尋求一種中間路徑。

3.網絡平臺管理義務的證成

網絡平臺管理義務或作為義務的證成需要從過失開始談起，舊過失論基于結果無價值的立場認為，過失是結果預見義務的違反。新過失論基于行為無價值的立場認為，注意義務的中心應當是結果回避義務[19]。新過失論視域下的刑事合規是將履行合規義務這種標準化的行為對結果進行了回避，因此合規義務的履行可以視為涉案企業不具有過失。

刑法對于網絡平臺看似苛刻的要求，并不是因為網絡平臺管理的技術性和可操作性的特點，核心在于網絡平臺開展業務的同時與網絡安全自然發生了緊密的聯結。這種緊密關系下的網絡平臺具有風險控制和后果規避的高度可能性，平臺的監管義務也就由此產生[13]。于沖進一步認為，拒不履行信息網絡安全管理義務罪并不會存在擴大適用的風險，因為該罪名同時設置了歸責和免責的條件。

網絡平臺合規所面對的風險其實是針對合規整改目標的一種不確定性。這種不確定性在不作為犯罪的過程中體現為作為義務的來源和風險防控。網絡平臺的合規義務可以分解為兩個面向，即合規要求和合規承諾。作為平臺企業自愿遵守期望的合規承諾也可以構成一種作為義務。鑒于此，網絡平臺的義務需要進行系統性梳理。另一方面來講，實際上這也是一種“治理權力”向“治理義務”的轉化[13]。網絡空間治理模式的轉型主要體現在刑法中的是網絡空間犯罪治理模式的轉向，由消極治理轉向積極治理，由單治轉向為共治[13]。網絡平臺的管理義務不是公權力的轉接，而是一種等價義務和保證義務[13]。

（二）作為量刑情節的刑事合規及其正當性

刑事合規制度的構建最重要的前提問題則是正當性的尋求[12]。李本燦從公司本體論的角度出發認為，刑事合規并非是一項純粹的公司治理模式，也不是一項單純的國家規制模式，而是國家和企業的融合了公司自治和犯罪治理的共治模式[12,14]。借用行政法中的規制理論，也可以說是一種介于國家政府規制和私人自我規制之間的一種混合規制體系，又稱為合作規制模式，在這個模式下公共主體和社會私主體互相觀察和相互合作[15]。從政府角度看，合作規制模式以比較低的成本實現了企業較高的遵從度；從社會角度看，提升了企業自身治理水平，促進了經濟主體的良性競爭[12]。因此說，刑事合規是把企業自身的風險防控和國家層面的犯罪預防結合起來，通過一系列的激勵手段，促使企業改造自身，進而防范可能出現的刑事風險，或降低企業自身的危險性。這種激勵手段通常變現為量刑激勵或起訴激勵。對于起訴激勵而言，屬于刑事訴訟法的討論范疇，并不在本文研究之列。

量刑激勵是一種從寬情節，其旨在特別的而非一般的考察行為主體，所以說量刑的個別化考察實際上是一種行為人刑法的體現，這便是其背后的立場。刑事合規如果作為一種法定量刑情節，其正當性何在是一個探討的關鍵問題。馬克斯·韋伯曾論述了正當性的三種類型，即傳統型、魅力型和法理型，正當性（legitimacy）在某種意義上是通過合法性（legality）得以實現的。正當性并非是訴諸法律自身權威的形式合法性，而是道德合法性[16]。在將某種因素作為法定的量刑情節考慮的時候，正當性便是無法繞過的一個叩問。

有學者認為合規的正當性來源于信任[17]，另有學者曾對認罪認罰從寬情節進行過正當性考察[18]。論者認為認罪認罰從寬制度的正當性并非來源于國家節約資源的目的，也不在于其危險性的抽象降低，更不用說來自所謂的贖罪，對其正當性的詮釋應是權利放棄的對價。所謂的權利放棄對價說是指，國家和被告人協商下，在被告人自愿承諾放棄部分訴訟權利的基礎上，國家予以相應程序簡化的同時，減免其刑罰作為激勵。當合規整改或事前合規作為一種量刑情節時，其正當性也是應當循此進路。合規從寬的正當性是控訴雙方協商之下，對犯罪的一種自我改造，一種家長主義的督促式自律。進一步說，刑事合規的正當性就是被訴企業接受義務從而換取效益，這效益包含企業側的刑罰激勵和國家側的社會效益。歸根結底，還是因為企業犯罪和懲罰企業會產生巨大的溢出效應，即企業的在其正?；顒又械念A期效益以外的、對于其他人和社會的、或正面或負面的效應。量刑首先要考慮犯罪人的責任，其次再考慮一般預防與特殊預防[19]411。也就是說，量刑要以罪責為限，進而去考慮犯罪預防。

（三）具體實現：以作為網絡平臺的在線職業教育機構為例

在教育信息化的背景下，尤其是人類社會進入第三個階段——智能互聯網時代以來，網絡逐漸變為具有現實化傾向的社會關系網絡，在線職業教育成為趨勢。然而，這其中同樣存在合規盲點。除了行業監管的既有風險外，新的風險也在悄然蔓延，即在線職業教育機構的刑事風險。無論是取得辦學資質的成人教育平臺，還是線上化了的職業高校，在互聯網中均被抽象化為了網絡平臺。在線職業教育機構等網絡平臺承載了公民的個人信息，人們對個人信息的保護產生了一種實在性的擔憂。國家應該通過積極的行為主動構建個人信息保護的藩籬[20]，在個人信息的權力保護模式下[20]，作為信息處理者的網絡平臺（在線職業教育機構）應當根據國家的監管和規制框架履行合規義務。當在線職業教育機構處理網絡信息時，須作為信息處理者承擔相應義務?！秱€人信息保護法》第58 條特別強調了作為網絡平臺的信息處理者的義務，其中第一項明確規定網絡平臺應當建立健全個人信息保護合規制度體系，為網絡平臺設定了合規義務，也被稱為“守門人條款”[21]。在此條款下，在線職業教育機構所面臨的風險變得具體。

根據《刑法》第286 條之一的第一款及其第二項的規定，網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使用戶信息泄露，造成嚴重后果的，構成拒不履行信息網絡安全管理義務罪。該條第二款更是明確單位亦可構成本罪?！缎谭ā返?53 條之一規定了出售、提供和竊取等行為侵犯公民個人信息的犯罪。雖然在《刑法》第253 條之一第四款明確了侵犯公民個人信息罪亦可由單位構成，但是根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（2017）第9 條，兩罪在侵犯公民個人信息行為上發生競合時，應當依照刑法第286 條之一的規定，以拒不履行信息網絡安全管理義務罪定罪處罰。至此，刑法完成了在刑事立法方面對個人信息保護的規制任務并通過司法解釋解決了相應競合問題。

入罪的擴張呼喚出罪的擴大，刑事合規便是重要的出罪或從寬事由。但是，刑事合規存在著適用錯位和規范缺失的缺陷，這不僅造成了刑事合規的效果闕如，而且往往是既沒有實現犯罪預防的目的，也沒能幫助民營企業渡過難關[21]。借由前述的“守門人”條款的展現，刑事合規的主要適用對象應是網絡平臺。由于網絡平臺擁有較為穩定的組織結構和經濟基礎，網絡平臺同刑事合規更具有天然的制度契合性。當涉案企業進入審判程序，意味著在起訴階段的合規整改的失敗或該案為重罪案件。此時，有效的合規整改可以探索作為從寬的理由[22]。雖然說，基于積極一般預防理念為企業網絡犯罪構筑了嚴密的法網，但是刑事合規制度又為企業出罪提供了依據，并促使企業完成自身合規改造，降低危險性。