劉品新 | 論數(shù)據(jù)刑事合規(guī)

　　本文作者劉品新，法學(xué)博士，中國(guó)人民大學(xué)法學(xué)院教授；刑事法律科學(xué)研究中心研究人員。

一、問題的提出

　　大數(shù)據(jù)處理關(guān)涉民眾福祉、產(chǎn)業(yè)發(fā)展、國(guó)家安全與國(guó)際競(jìng)爭(zhēng)等重大利益。由于數(shù)據(jù)業(yè)態(tài)亂象迭出，特別是數(shù)據(jù)領(lǐng)域刑事犯罪（以下簡(jiǎn)稱為“數(shù)據(jù)犯罪”）泛濫，世界上主要法域均加大了治理力度。2018年5月，歐盟《一般數(shù)據(jù)保護(hù)條例》（全稱為“General Data Protection Regulation”，簡(jiǎn)稱為“GDPR”）生效，成員國(guó)對(duì)數(shù)據(jù)濫用行為頻繁開展調(diào)查，知名社交聊天軟件克努德爾斯、瓦次艾普和大型企業(yè)英航公司、萬(wàn)豪集團(tuán)等分別受到歐洲國(guó)家執(zhí)法機(jī)關(guān)的處罰，“GDPR合規(guī)”更是作為一個(gè)專有名詞應(yīng)運(yùn)而生；2019年7月，美國(guó)聯(lián)邦貿(mào)易委員會(huì)就隱私違規(guī)問題對(duì)臉書（facebook）公司處以50億美元的巨額罰款。目前我國(guó)立法上已形成《數(shù)據(jù)安全法》等三部“基本法”架構(gòu)，并開展多次專項(xiàng)治理，“數(shù)據(jù)堂”等多家公司被追究刑事責(zé)任，“滴滴出行”等產(chǎn)品被啟動(dòng)網(wǎng)絡(luò)安全審查。在從嚴(yán)監(jiān)管數(shù)據(jù)行業(yè)成為主基調(diào)的情勢(shì)下，數(shù)據(jù)合規(guī)成為數(shù)據(jù)企業(yè)等主體存續(xù)發(fā)展的命脈。在前述臉書公司案例中，美國(guó)聯(lián)邦貿(mào)易委員會(huì)同其新達(dá)成一項(xiàng)監(jiān)管期長(zhǎng)達(dá)20年的和解令，要求其在監(jiān)管下進(jìn)行一系列調(diào)整，包括在董事會(huì)中建立獨(dú)立的隱私委員會(huì)、批準(zhǔn)設(shè)立負(fù)責(zé)隱私計(jì)劃的合規(guī)官并按時(shí)提交工作報(bào)告。在這些事件中，力度最大的部分便是指向遏制數(shù)據(jù)犯罪的刑事合規(guī)（以下簡(jiǎn)稱為“數(shù)據(jù)刑事合規(guī)”）。

　　自2020年伊始，最高人民檢察院在全國(guó)范圍內(nèi)部署企業(yè)合規(guī)改革多輪試點(diǎn)，努力推進(jìn)覆蓋各種涉企犯罪案件的大合規(guī)試驗(yàn)。然而，刑事大合規(guī)的中國(guó)潮流同數(shù)據(jù)強(qiáng)監(jiān)管的全球趨勢(shì)相交匯，并未導(dǎo)致數(shù)據(jù)刑事合規(guī)在我國(guó)的可見增長(zhǎng)。表現(xiàn)之一，典型性實(shí)踐案例缺乏。試點(diǎn)范圍內(nèi)僅有一家檢察院出現(xiàn)過國(guó)內(nèi)首例的、未公開法律文書的案件。該案涉及非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，檢察機(jī)關(guān)基于合規(guī)整改合格結(jié)果做了不起訴處理（以下簡(jiǎn)稱案例1）。雖然該案后被作為典型案例發(fā)布、具有一定的風(fēng)向標(biāo)意義，但其合規(guī)整改做法仍值得商榷。至于非試點(diǎn)省份及試點(diǎn)省份的非試點(diǎn)地市亦僅有個(gè)別檢察院開展了少量的變通性處理。如在一起侵犯公民個(gè)人信息罪案件中，被告單位索要學(xué)生信息進(jìn)行虛假納稅申報(bào)，案發(fā)后，檢察機(jī)關(guān)認(rèn)為其“具有……等從寬處罰情節(jié)”，進(jìn)而依法決定不起訴（以下簡(jiǎn)稱案例2）。這里的“等”字指涉的就是數(shù)據(jù)刑事合規(guī)事由，但不起訴決定書未予明確。表現(xiàn)之二，專門性使用工具缺失。當(dāng)前很少有試點(diǎn)地區(qū)將數(shù)據(jù)犯罪案件明確納入合規(guī)試點(diǎn)范圍，更遑論針對(duì)這一業(yè)務(wù)形成較為完善的實(shí)施方案。相比于國(guó)際上推出了化解GDPR挑戰(zhàn)的“數(shù)據(jù)合規(guī)包”“數(shù)據(jù)合規(guī)方案”，國(guó)內(nèi)尚未見到類似的產(chǎn)品面世；相比于國(guó)內(nèi)圍繞虛開增值稅專用發(fā)票罪等案件中合規(guī)整改試驗(yàn)形成的完整經(jīng)驗(yàn)，數(shù)據(jù)刑事合規(guī)處于乏善可陳狀態(tài)。表現(xiàn)之三，各利益相關(guān)方對(duì)數(shù)據(jù)刑事合規(guī)抱持相當(dāng)懷疑態(tài)度。訪談發(fā)現(xiàn)，有數(shù)據(jù)企業(yè)認(rèn)為，除了因涉訴不得不為之的情況外，數(shù)據(jù)刑事合規(guī)是一個(gè)看似光鮮的圈套；有司法人員認(rèn)為，數(shù)據(jù)刑事合規(guī)可能招致“評(píng)查沒搞完，企業(yè)先破產(chǎn)”的不可控局面，暗藏今后被追究濫權(quán)責(zé)任的風(fēng)險(xiǎn)；有律師認(rèn)為，開展該項(xiàng)業(yè)務(wù)堪比雞肋，事后可能被控以共同犯罪、教唆引誘犯罪。研究者也觀察到，我國(guó)“刑事合規(guī)的研究熱潮中難覓數(shù)據(jù)合規(guī)的蹤跡”。

　　數(shù)據(jù)處理領(lǐng)域如何進(jìn)行刑事合規(guī)建設(shè)，是一個(gè)艱巨的挑戰(zhàn)。無(wú)論是實(shí)例不夠、工具缺失還是態(tài)度觀望，均反映出數(shù)據(jù)刑事合規(guī)進(jìn)展的遲緩。大多數(shù)檢察機(jī)關(guān)與數(shù)據(jù)經(jīng)營(yíng)主體對(duì)開展數(shù)據(jù)刑事合規(guī)的期望值走低。此種整體消極主義有悖于數(shù)據(jù)強(qiáng)監(jiān)管的趨勢(shì)，亦脫離于刑事大合規(guī)的新潮。若任其彌散開來，定會(huì)對(duì)數(shù)據(jù)產(chǎn)業(yè)帶來負(fù)面影響，于國(guó)于民亦不利。它同人們對(duì)數(shù)據(jù)刑事合規(guī)尚缺乏清晰的專業(yè)認(rèn)識(shí)不無(wú)關(guān)系。本文將基于訪談問卷、比較分析與實(shí)踐總結(jié)的素材，分層次地進(jìn)行基礎(chǔ)性論證：第一步，闡釋數(shù)據(jù)刑事合規(guī)概念的內(nèi)涵與價(jià)值，以澄清社會(huì)上各種偏差認(rèn)識(shí)甚至異化觀念；第二步，透析數(shù)據(jù)刑事合規(guī)背后的相對(duì)性現(xiàn)象，指出其蘊(yùn)含的規(guī)律并進(jìn)行原理提煉；第三步，提出符合國(guó)情和理性的數(shù)據(jù)刑事合規(guī)方略。這一學(xué)術(shù)方案旨在助推數(shù)據(jù)刑事合規(guī)在我國(guó)邁上快速發(fā)展的軌道。

二、數(shù)據(jù)刑事合規(guī)的概念展開

　　（一）基本內(nèi)涵的詮釋

　　從語(yǔ)詞溯源來看，“合規(guī)”（compliance）一詞首次使用于1630年，現(xiàn)代意義上的“合規(guī)”同“治理”“風(fēng)險(xiǎn)”構(gòu)成“三位一體”（threesome），肇始于20世紀(jì)80年代。1991年美國(guó)《聯(lián)邦量刑指南》規(guī)定被指控的公司“擁有預(yù)防和識(shí)別違法行為之有效計(jì)劃”的可以減少罰金，系人類社會(huì)邁向合規(guī)時(shí)代的標(biāo)志性事件。2021年版《聯(lián)邦量刑指南》將合規(guī)納入“旨在預(yù)防和發(fā)現(xiàn)犯罪行為的計(jì)劃”即“合規(guī)和倫理計(jì)劃”中。美國(guó)以該計(jì)劃為核心的專門工作就是針對(duì)企業(yè)的、具有典型意義的刑事合規(guī)（criminalized compliance）或刑法驅(qū)動(dòng)型合規(guī)（criminal law-driven compliance），產(chǎn)生了深遠(yuǎn)的國(guó)際影響。世界上也存在面向企業(yè)員工的刑事合規(guī)。例如，秘魯在2014年尚不對(duì)法人追究刑事責(zé)任之際，便開展刑事合規(guī)建設(shè)以激勵(lì)公司遵守刑事規(guī)范，為員工避免可控的刑事風(fēng)險(xiǎn)。這兩種刑事合規(guī)的區(qū)別在于獲益者，不在于實(shí)施者。德國(guó)學(xué)者托馬斯指出：“刑事合規(guī)包含所有客觀上事前必要的或者事后被刑法認(rèn)可的規(guī)范性、制度性以及技術(shù)性的屬于某一組織的措施。”這里將刑事合規(guī)定位為“組織措施”，也就是說由企業(yè)來實(shí)施。考慮到德國(guó)立法迄今沒有確立單位犯罪制度，因由合規(guī)獲益的主要是員工，企業(yè)也會(huì)獲得罰款減免的準(zhǔn)刑事利益。例如，前述克努德爾斯案中，德國(guó)巴州數(shù)據(jù)保護(hù)委員會(huì)按照低標(biāo)準(zhǔn)罰以20000歐元結(jié)案。這里的罰款就是針對(duì)企業(yè)的準(zhǔn)刑罰制裁，企業(yè)得到了責(zé)任削減。這兩種刑事合規(guī)均會(huì)輻射到國(guó)家數(shù)據(jù)治理領(lǐng)域中，形成作為一種特定場(chǎng)域的數(shù)據(jù)刑事合規(guī)。

　　一般認(rèn)為，早期人們對(duì)數(shù)據(jù)刑事合規(guī)的把握偏向數(shù)據(jù)安全的視角。有的數(shù)據(jù)平臺(tái)由內(nèi)部的信息/數(shù)據(jù)安全部門或者負(fù)責(zé)數(shù)據(jù)工作的專門崗位、人員，對(duì)數(shù)據(jù)進(jìn)行清洗、脫敏、加密等處理，重點(diǎn)防止數(shù)據(jù)失竊和被濫用。這可以被稱為技術(shù)意義上的數(shù)據(jù)合規(guī)，即“數(shù)據(jù)合規(guī)≈?jǐn)?shù)據(jù)安全保護(hù)”。如在一起侵犯公民個(gè)人信息罪案件中，涉案公司的信息安全部門負(fù)責(zé)數(shù)據(jù)合規(guī)工作，主要通過員工訪問數(shù)據(jù)頁(yè)面次數(shù)畸高、訪問超越權(quán)限等特征，發(fā)現(xiàn)了數(shù)據(jù)操作行為異常等犯罪線索（以下簡(jiǎn)稱案例3）。其實(shí)，雖然數(shù)據(jù)領(lǐng)域開展合規(guī)工作不可避免地牽涉到數(shù)據(jù)安全技術(shù)規(guī)范，但是，技術(shù)意義上的數(shù)據(jù)合規(guī)并不能當(dāng)然地降低被追究刑事責(zé)任的風(fēng)險(xiǎn)。如今此項(xiàng)工作被添加了符合法律規(guī)范要求的色彩，轉(zhuǎn)化為法律意義上的數(shù)據(jù)刑事合規(guī)。本文選此為基本立場(chǎng)，案例3不在續(xù)評(píng)之列。

　　我國(guó)數(shù)據(jù)刑事合規(guī)在檢察系統(tǒng)力推企業(yè)合規(guī)改革前后，均有稀疏的出現(xiàn)。該項(xiàng)活動(dòng)既可能是在訴訟前，即由數(shù)據(jù)經(jīng)營(yíng)主體主導(dǎo)實(shí)施的一種自發(fā)的、內(nèi)生性的合規(guī)，如表1案例4、6中；也可能是在訴訟中，即在涉案之后通常由檢察院等機(jī)關(guān)主導(dǎo)監(jiān)督執(zhí)行，要求數(shù)據(jù)經(jīng)營(yíng)主體圍繞數(shù)據(jù)處理犯罪風(fēng)險(xiǎn)點(diǎn)進(jìn)行整改的一種回應(yīng)的、外壓性的合規(guī)，如案例1、2、5中。它們可分別稱為“實(shí)體法合規(guī)”“程序法合規(guī)”，或者“日常性的合規(guī)”“危機(jī)應(yīng)對(duì)的合規(guī)”，形成兩種模式。然而，此種區(qū)分雖有理論價(jià)值，但在實(shí)踐中不可過分強(qiáng)調(diào)。一方面，數(shù)據(jù)領(lǐng)域的“訴訟中合規(guī)”“程序法合規(guī)”“危機(jī)應(yīng)對(duì)的合規(guī)”亦具有預(yù)防潛在犯罪的功能，應(yīng)當(dāng)被理解為針對(duì)預(yù)防未發(fā)生數(shù)據(jù)犯罪之意義上的“訴前合規(guī)”“實(shí)體法合規(guī)”“日常性的合規(guī)”；另一方面，前者不是無(wú)源之水，要從后者汲取智慧。當(dāng)下我國(guó)拓展數(shù)據(jù)刑事合規(guī)探索的可行路徑是形成兩種模式對(duì)接的整體性推進(jìn)。后文除需要特別明示的以外，將不做此種區(qū)分。

　　下面重點(diǎn)遴選一些進(jìn)入司法流程的相關(guān)典型案例（見表1），并兼顧未進(jìn)入司法流程的大量典型事件，進(jìn)行概念內(nèi)涵與要素的抽象。據(jù)此可以得出一個(gè)基礎(chǔ)性的定義：數(shù)據(jù)刑事合規(guī)指的是數(shù)據(jù)企業(yè)等經(jīng)營(yíng)主體針對(duì)數(shù)據(jù)處理各環(huán)節(jié)可能涉及犯罪的風(fēng)險(xiǎn)點(diǎn)，進(jìn)行犯罪預(yù)防、識(shí)別和應(yīng)對(duì)，以追求獲得刑事利益的一種專門活動(dòng)。

表1 我國(guó)企業(yè)合規(guī)改革試點(diǎn)前后的數(shù)據(jù)刑事合規(guī)典型案例

　　理解這一概念及其現(xiàn)實(shí)樣態(tài)，需要把握幾點(diǎn)要義。其一，該項(xiàng)活動(dòng)旨在消減數(shù)據(jù)處理中的刑事風(fēng)險(xiǎn)，獲得刑事利益。合規(guī)是一種識(shí)別或控制風(fēng)險(xiǎn)的方法，核心任務(wù)是“最小化因由不法行為引發(fā)的下行風(fēng)險(xiǎn)”。我國(guó)國(guó)家標(biāo)準(zhǔn)《合規(guī)管理體系指南》明確：“合規(guī)意味著組織遵守了適用的法律法規(guī)及監(jiān)管規(guī)定，也遵守了相關(guān)標(biāo)準(zhǔn)、合同、有效治理原則或道德準(zhǔn)則。”不難看出，數(shù)據(jù)領(lǐng)域開展的合規(guī)工作要遵守各種相關(guān)法律規(guī)范。這就出現(xiàn)了分別針對(duì)刑事司法、行政執(zhí)法與民事司法等領(lǐng)域中不同利益的刑事合規(guī)、行政合規(guī)與民事合規(guī)等。相比而言，數(shù)據(jù)刑事合規(guī)處于最顯要位置。“合規(guī)刑事化”意味著合規(guī)工作的啟動(dòng)和執(zhí)行將以參照刑法為主范式。企業(yè)越來越多地采取“刑事法驅(qū)動(dòng)的”“基于威懾理論的”“旨在避免被刑事、準(zhǔn)刑事調(diào)查和起訴的”合規(guī)方案；也就是說，主要選取刑事法的角度來實(shí)現(xiàn)合規(guī)，使用刑事立法、執(zhí)行和裁決的規(guī)則來推進(jìn)其合規(guī)目標(biāo)。德國(guó)學(xué)者將這種現(xiàn)象稱為“犯罪關(guān)聯(lián)性合規(guī)”。我國(guó)學(xué)者的相關(guān)判斷是：“企業(yè)合規(guī)‘刑事化’成為全球企業(yè)合規(guī)制度發(fā)展的重要趨勢(shì)和立法方向。”

　　數(shù)據(jù)刑事合規(guī)獲得的刑事利益會(huì)有很多形態(tài)。案例1、2、4—7表明，我國(guó)現(xiàn)有法律給出的空間包括給予數(shù)據(jù)經(jīng)營(yíng)主體及其主要員工獲得無(wú)罪、輕判、判緩、被不起訴、同他人犯罪相區(qū)隔等法定或酌定利益。數(shù)據(jù)經(jīng)營(yíng)主體及其主要員工還可以通過刑事策略辯護(hù)、認(rèn)罪認(rèn)罰協(xié)商等方式獲得刑事利益的增強(qiáng)型兌現(xiàn)。他們亦不排除會(huì)收獲其他性質(zhì)的利益。如在案例1、2、4—6中，有關(guān)單位開展合規(guī)工作的后果附隨及于減免行政責(zé)任、民事責(zé)任等；在案例7中，有關(guān)單位開展合規(guī)工作亦會(huì)及于消解其可能因數(shù)據(jù)管理不力而引發(fā)的刑事、行政與民事責(zé)任等。因數(shù)據(jù)刑事合規(guī)獲得的刑事利益是梯度型的。合規(guī)完全或完美的，會(huì)獲得極大的刑事利益；合規(guī)不夠完善的，也不排除獲得一定的刑事利益。如日本學(xué)者主張，經(jīng)營(yíng)者合理實(shí)施合規(guī)計(jì)劃的可以被免責(zé)，“即便經(jīng)營(yíng)者因存在過錯(cuò)而不能免責(zé)，也應(yīng)當(dāng)考慮其實(shí)施了合規(guī)計(jì)劃的事實(shí)，減少制裁額度，從而對(duì)其給予激勵(lì)。”

　　其二，該項(xiàng)活動(dòng)的主要舉措囊括“預(yù)防”“識(shí)別”“應(yīng)對(duì)”三種。“預(yù)防”指的是“誠(chéng)信文化、培訓(xùn)以及政策、程序等防備措施”，“識(shí)別”指的是“風(fēng)險(xiǎn)評(píng)估、道德規(guī)范、審計(jì)和SWOT分析等檢測(cè)措施”，“應(yīng)對(duì)”指的是“調(diào)查和制裁等回應(yīng)措施”，實(shí)踐中還出現(xiàn)了開展報(bào)案、模擬突擊檢查等措施。數(shù)據(jù)刑事合規(guī)在我國(guó)起步較晚，“預(yù)防”“識(shí)別”“應(yīng)對(duì)”尚達(dá)不到如此專業(yè)化劃界的程度，但實(shí)有區(qū)分的必要。案例4是我國(guó)學(xué)界普遍贊揚(yáng)的“企業(yè)合規(guī)無(wú)罪抗辯第一案”，其中涉案單位雀巢公司被認(rèn)為不構(gòu)成犯罪的理由是，其“禁止員工從事侵犯公民個(gè)人信息的犯罪。”而中肯地評(píng)價(jià)，涉案單位采取的僅僅是“預(yù)防”措施，尚不見“識(shí)別”員工犯罪、并予以及時(shí)報(bào)案“應(yīng)對(duì)”的另兩種措施。假若涉案單位有可行的“預(yù)防”“識(shí)別”之舉，涉案員工的此類行為應(yīng)該早被發(fā)現(xiàn)。于理論上檢視，此案大概率地陷入了“紙面合規(guī)”。若參照適用其母公司所在國(guó)美國(guó)的判例規(guī)則——公司不能“通過禁止其代理人從事非法行為的抽象規(guī)則來避免責(zé)任”“仍然要對(duì)其員工違反明示的指示和政策的行為承擔(dān)責(zé)任”等，涉案單位斷難被判處無(wú)罪。

　　“預(yù)防”之舉措具有常態(tài)合規(guī)的性質(zhì)，意指要識(shí)別數(shù)據(jù)處理環(huán)節(jié)的刑事風(fēng)險(xiǎn)點(diǎn)并進(jìn)行干預(yù)。這是要防止數(shù)據(jù)經(jīng)營(yíng)主體或其主要員工成為犯罪嫌疑人、被告人。“識(shí)別”和“應(yīng)對(duì)”之舉措則具有應(yīng)急合規(guī)的性質(zhì)，意指通過識(shí)別數(shù)據(jù)處理環(huán)節(jié)的刑事風(fēng)險(xiǎn)點(diǎn)應(yīng)對(duì)已發(fā)生的違法犯罪行為。在案例7中，數(shù)據(jù)經(jīng)營(yíng)主體成立數(shù)據(jù)合規(guī)部門，該部門及時(shí)發(fā)現(xiàn)數(shù)據(jù)違規(guī)行為并進(jìn)行刑事報(bào)案，既遏制犯罪也化解該單位被卷入刑事案件的風(fēng)險(xiǎn)。案例4中因合規(guī)而獲得刑事利益的僅僅是單位而不包括員工，同涉案單位的合規(guī)舉措中缺少合格的“識(shí)別”和“應(yīng)對(duì)”內(nèi)容不無(wú)關(guān)系。若該案中涉案單位能在合規(guī)方面有所改進(jìn)，涉案員工的違法犯罪行為定會(huì)被及早“識(shí)別”、有效“應(yīng)對(duì)”而減免罪責(zé)。

　　其三，該項(xiàng)活動(dòng)可以具體化為經(jīng)緯交織的元素、樣態(tài)。以構(gòu)成元素為經(jīng)線，數(shù)據(jù)刑事合規(guī)可以區(qū)分為數(shù)據(jù)合規(guī)計(jì)劃、數(shù)據(jù)合規(guī)人員、數(shù)據(jù)合規(guī)培訓(xùn)以及數(shù)據(jù)處理監(jiān)管等。其中，最重要元素就是數(shù)據(jù)合規(guī)計(jì)劃。合規(guī)計(jì)劃是“用于描述一種或多種員工之倫理義務(wù)、法律義務(wù)、政策義務(wù)的各種正式的、通常也是書面的聲明”。不同數(shù)據(jù)經(jīng)營(yíng)主體需要具體設(shè)計(jì)，形成比法律要求更為具體的數(shù)據(jù)刑事合規(guī)計(jì)劃。當(dāng)下數(shù)據(jù)刑事合規(guī)計(jì)劃應(yīng)當(dāng)走向?qū)I(yè)化。如賽門鐵克軟件公司以GDPR合規(guī)要求為參照，將其計(jì)劃拆解為“合規(guī)準(zhǔn)備”“數(shù)據(jù)保護(hù)”“數(shù)據(jù)安全監(jiān)測(cè)”“數(shù)據(jù)事件響應(yīng)”四大支柱部分。數(shù)據(jù)刑事合規(guī)計(jì)劃需要契合法律乃至道德的價(jià)值導(dǎo)向，同數(shù)據(jù)犯罪中反偵查手段等區(qū)分開來。任何企圖通過對(duì)抗伎倆躲避刑事懲處的做法，不在獲得法律認(rèn)可之列。案例分析表明，有的涉案單位所成立“合規(guī)部”系用于掩蓋違法犯罪行為，有的涉案單位組建“合規(guī)整改小組”僅僅是提交應(yīng)付性的自查報(bào)告。調(diào)研也發(fā)現(xiàn)，一些數(shù)據(jù)經(jīng)營(yíng)主體開展工作所追求的就是反偵查或?qū)顾痉ǎ鐚?duì)涉及刑事風(fēng)險(xiǎn)的數(shù)據(jù)業(yè)務(wù)進(jìn)行簡(jiǎn)單分解、外包或銷毀證據(jù)等。這些伎倆滑向合規(guī)實(shí)踐的反面，不可不察。誠(chéng)然，數(shù)據(jù)刑事合規(guī)同數(shù)據(jù)犯罪中反偵查手段之間存有一些模糊地帶。

　　以適用主體為緯線，數(shù)據(jù)刑事合規(guī)可以區(qū)分為特定單位、特定地域與特定行業(yè)的合規(guī)等樣態(tài)。特定單位的數(shù)據(jù)刑事合規(guī)在一定地域、行業(yè)內(nèi)具有復(fù)制推廣意義。筆者曾經(jīng)就一家互聯(lián)網(wǎng)游戲公司涉嫌數(shù)據(jù)犯罪的問題，到其所在地某某互聯(lián)網(wǎng)游戲產(chǎn)業(yè)園進(jìn)行調(diào)研，發(fā)現(xiàn)其他公司也存在忽視合規(guī)建設(shè)的類似隱患。園區(qū)主管部門引導(dǎo)區(qū)內(nèi)相關(guān)公司進(jìn)行避免潛在刑事風(fēng)險(xiǎn)的借鑒整改。這就是關(guān)于特定區(qū)域的數(shù)據(jù)合規(guī)。實(shí)踐中也存在針對(duì)某個(gè)特定行業(yè)進(jìn)行合規(guī)整改的情況。這常常可以通過檢察機(jī)關(guān)啟動(dòng)行政公益訴訟或全行業(yè)聯(lián)動(dòng)等方式加以促進(jìn)。例如，某地檢察機(jī)關(guān)在辦理一起侵犯公民個(gè)人信息罪案件時(shí)，發(fā)現(xiàn)社會(huì)上普遍存在著物業(yè)管理公司工作人員非法提供業(yè)主信息用于違法推廣裝修業(yè)務(wù)的情況，遂向該縣市場(chǎng)監(jiān)督管理局發(fā)出訴前檢察建議書，向轄內(nèi)多家物業(yè)公司發(fā)放《刑事合規(guī)風(fēng)險(xiǎn)告知書》。有關(guān)監(jiān)管部門部署了專門針對(duì)家裝行業(yè)、物業(yè)管理的專項(xiàng)整治工作，代表性的公司均開展了完善信息保護(hù)措施等整改工作。這雖非一起典型的數(shù)據(jù)刑事合規(guī)案例，但系以個(gè)案整改推動(dòng)涉案物業(yè)管理數(shù)據(jù)處理的規(guī)范化整治。三者比較，第一種乃基礎(chǔ)性的樣態(tài)。

　　（二）主要價(jià)值的闡釋

　　首先，數(shù)據(jù)刑事合規(guī)是智能社會(huì)協(xié)同共治的基本前提。2015年以來，我國(guó)發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見》等重要文件，繪制了建設(shè)智能社會(huì)的美好藍(lán)圖，將數(shù)據(jù)治理與相關(guān)犯罪遏制提到了十分重要的位置。而數(shù)據(jù)刑事合規(guī)能夠集企業(yè)與國(guó)家、社會(huì)等多方力量于數(shù)據(jù)共治體系。有研究者評(píng)價(jià)，數(shù)據(jù)刑事合規(guī)“通過促進(jìn)網(wǎng)絡(luò)服務(wù)商數(shù)據(jù)安全保障工作的內(nèi)控化、制度化開展，增強(qiáng)網(wǎng)絡(luò)服務(wù)商對(duì)于數(shù)據(jù)安全的責(zé)任意識(shí)，通過網(wǎng)絡(luò)服務(wù)商的事前的主動(dòng)介入，增強(qiáng)數(shù)據(jù)安全犯罪的積極防控，實(shí)現(xiàn)侵害數(shù)據(jù)安全犯罪的積極的一般性預(yù)防。”我國(guó)《刑法》第286條之一專門增設(shè)“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，就是這一思路的具體踐行。以刑事手段強(qiáng)化數(shù)據(jù)經(jīng)營(yíng)主體的數(shù)據(jù)合規(guī)義務(wù)，即夯實(shí)數(shù)據(jù)平臺(tái)的主體責(zé)任，可以提升數(shù)據(jù)領(lǐng)域的共治水平。

　　其次，數(shù)據(jù)刑事合規(guī)是新興數(shù)據(jù)產(chǎn)業(yè)發(fā)展的重要保障。問卷調(diào)查表明，人們普遍認(rèn)為數(shù)據(jù)經(jīng)營(yíng)主體進(jìn)行數(shù)據(jù)處理“有難以防范的刑事風(fēng)險(xiǎn)”“有較大的刑事風(fēng)險(xiǎn)”，兩種傾向分別占比高達(dá)28.07%、57.02%；有關(guān)數(shù)據(jù)處理行為可能觸碰到龐雜的罪名體系，排序?yàn)椤扒址腹駛€(gè)人信息罪”“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”“侵犯商業(yè)秘密罪”等。而走訪調(diào)研發(fā)現(xiàn)，數(shù)據(jù)刑事合規(guī)可以幫助一般的數(shù)據(jù)經(jīng)營(yíng)主體“規(guī)范生產(chǎn)經(jīng)營(yíng)行為避開雷區(qū)”“切割濫用數(shù)據(jù)的員工行為與單位的關(guān)系”“設(shè)置遭到刑事調(diào)查時(shí)的應(yīng)急處理機(jī)制”等，可以向“大而不牢”的超大數(shù)據(jù)公司施加促其進(jìn)行內(nèi)部控制或結(jié)構(gòu)性調(diào)整的巨大壓力。這一方面的教訓(xùn)經(jīng)驗(yàn)皆有。反面的代表性案例是“企業(yè)涉嫌數(shù)據(jù)違規(guī)被否決上市申請(qǐng)案”，涉案企業(yè)墨跡公司因數(shù)據(jù)違規(guī)而上市失敗；正面的代表性案例是案例1、2、4、7，涉案企業(yè)經(jīng)由有效數(shù)據(jù)合規(guī)而脫罪、受到應(yīng)急保護(hù)。數(shù)據(jù)刑事合規(guī)還具有在數(shù)據(jù)經(jīng)營(yíng)主體遭遇犯罪指控時(shí)減免刑罰、幫助其遠(yuǎn)離數(shù)據(jù)失范危險(xiǎn)、增進(jìn)其社會(huì)聲譽(yù)的功能。“在市場(chǎng)經(jīng)濟(jì)環(huán)境中，公眾信任是珍稀商品，有效的合規(guī)計(jì)劃更是無(wú)價(jià)之寶。”這一斷言對(duì)數(shù)據(jù)產(chǎn)業(yè)極具啟發(fā)。

　　再次，數(shù)據(jù)刑事合規(guī)是辦案效果一體提升的應(yīng)有擔(dān)當(dāng)。但凡對(duì)數(shù)據(jù)處理有業(yè)務(wù)需要的各種主體，均對(duì)數(shù)據(jù)刑事合規(guī)有著內(nèi)在渴求。這就要求辦案機(jī)關(guān)“嚴(yán)管厚愛”數(shù)據(jù)經(jīng)營(yíng)主體及其負(fù)責(zé)人、主要員工等。2021年最高人民檢察院在發(fā)布推進(jìn)網(wǎng)絡(luò)空間治理典型案例時(shí)，明確倡導(dǎo)相關(guān)部門要“監(jiān)督相關(guān)企業(yè)建立數(shù)據(jù)合規(guī)制度”，昭示了數(shù)據(jù)刑事合規(guī)是相關(guān)辦案效果提升的努力方向。案例1出現(xiàn)于2022年，符合這個(gè)方向。走訪調(diào)研表明，數(shù)據(jù)刑事合規(guī)可以為數(shù)據(jù)業(yè)經(jīng)營(yíng)者提供良好的保護(hù)：（1）幫助認(rèn)識(shí)生產(chǎn)經(jīng)營(yíng)環(huán)節(jié)中可能面臨的刑事風(fēng)險(xiǎn)；（2）規(guī)范生產(chǎn)經(jīng)營(yíng)中各項(xiàng)決策的發(fā)布和執(zhí)行；（3）明確責(zé)任分割機(jī)制，防止因內(nèi)部員工、合作伙伴的違法行為而受刑事牽連；（4）在接受司法調(diào)查時(shí)，及時(shí)提供合規(guī)材料作為證據(jù)。數(shù)據(jù)刑事合規(guī)對(duì)于數(shù)據(jù)業(yè)投資者也是一種激勵(lì)和保障。“投資者總是愿意向做出更好合規(guī)的公司投錢，因?yàn)楦煤弦?guī)意味著更少風(fēng)險(xiǎn)。”辦案中施加這些“保護(hù)”符合法治精神，有利于法律效果、政治效果與社會(huì)效果的統(tǒng)一實(shí)現(xiàn)。

三、數(shù)據(jù)刑事合規(guī)的實(shí)踐規(guī)律

　　（一）相對(duì)性定律的生成

　　深刻反思數(shù)據(jù)刑事合規(guī)的整體消極主義，需要審視實(shí)踐訴求。當(dāng)下有兩種對(duì)立的主張：其一，數(shù)據(jù)刑事合規(guī)要絕對(duì)防止相關(guān)主體犯罪（或再次犯罪）；其二，數(shù)據(jù)刑事合規(guī)沒有也不可能適用絕對(duì)防止犯罪（含再犯）的標(biāo)準(zhǔn)。問卷調(diào)查中就“數(shù)據(jù)刑事合規(guī)是否可以做到絕對(duì)合規(guī)（即絕對(duì)防止犯罪發(fā)生）”進(jìn)行提問，受訪者中選“否”的為82.89%，且呈現(xiàn)出受訪者中“認(rèn)為企業(yè)數(shù)據(jù)處理行為涉及刑事風(fēng)險(xiǎn)越大的，主張數(shù)據(jù)刑事合規(guī)可以做到絕對(duì)合規(guī)的比例越小”的特點(diǎn)（參見圖1）。實(shí)地調(diào)研發(fā)現(xiàn)，數(shù)據(jù)行業(yè)普遍沒有信心做到絕對(duì)合規(guī)。當(dāng)然，也有極少數(shù)人認(rèn)為出現(xiàn)了可視為絕對(duì)合規(guī)的“特例”，如數(shù)據(jù)經(jīng)營(yíng)主體識(shí)別和“完全”下線、“機(jī)械”關(guān)停可能涉嫌犯罪的數(shù)據(jù)業(yè)務(wù)產(chǎn)品、徑直拆解公司、剝離涉案業(yè)務(wù)或者直接開除涉及數(shù)據(jù)犯罪的員工等。案例1中，Z公司合規(guī)整改被評(píng)為合格的主要理由是“徹底銷毀相關(guān)‘爬蟲’程序及源代碼”等。在筆者看來，這些做法乃壁虎斷尾求生的非常之舉，難言有推廣價(jià)值；更實(shí)質(zhì)的問題是，它們不過是切除特定“涉案”產(chǎn)品、業(yè)務(wù)、板塊、員工之“病灶”，并未斬?cái)唷安「保^對(duì)防止數(shù)據(jù)犯罪并非一回事。對(duì)于前述兩種主張，可以分別歸為數(shù)據(jù)領(lǐng)域的絕對(duì)合規(guī)觀與相對(duì)合規(guī)觀。

圖1　數(shù)據(jù)領(lǐng)域絕對(duì)合規(guī)觀與相對(duì)合規(guī)觀的比例及規(guī)律

　　應(yīng)該說，絕對(duì)合規(guī)觀有利于人們清楚認(rèn)識(shí)到數(shù)據(jù)刑事合規(guī)中需要避免的“虛假整改”“裝飾性合規(guī)”“合規(guī)腐敗”等問題，有利于去除司法人員被歸入“枉法”辦案的疑慮，還有利于消解律師等參與者被當(dāng)作共犯處理的憂心。然而，絕對(duì)合規(guī)觀亦可能引發(fā)嚇阻數(shù)據(jù)刑事合規(guī)探索的效應(yīng)。我國(guó)現(xiàn)階段刑事大合規(guī)試點(diǎn)地區(qū)少見數(shù)據(jù)刑事合規(guī)案例，障礙之一就是不少人期望以數(shù)據(jù)刑事合規(guī)杜絕數(shù)據(jù)犯罪。而考慮到我國(guó)各種數(shù)據(jù)犯罪均具有復(fù)雜性，數(shù)據(jù)刑事合規(guī)在應(yīng)然層面只需遵循相對(duì)合規(guī)觀；加之?dāng)?shù)據(jù)法治建設(shè)正處于蓬勃發(fā)展階段，當(dāng)下數(shù)據(jù)刑事合規(guī)在實(shí)然層面亦只能追求相對(duì)合規(guī)。這是深刻反映數(shù)據(jù)犯罪治理機(jī)理的一種社會(huì)規(guī)律，不妨稱之為數(shù)據(jù)刑事合規(guī)的相對(duì)合規(guī)定律（以下簡(jiǎn)稱為“相對(duì)性定律”）。

　　該相對(duì)性定律是由數(shù)據(jù)領(lǐng)域的“口袋罪名”現(xiàn)狀決定的。口袋罪具有“罪名抽象、含糊籠統(tǒng)”“法定刑與罪狀缺乏對(duì)應(yīng)性”等特點(diǎn)，同數(shù)據(jù)犯罪的復(fù)雜多變性等特征相契合。數(shù)據(jù)犯罪的“口袋罪”化是由刑法修正案出臺(tái)、司法解釋擴(kuò)張與司法適用慣性等因素傳導(dǎo)所致。其一，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、破壞計(jì)算機(jī)信息系統(tǒng)罪被不受限制地?cái)U(kuò)張解釋。對(duì)于前一罪名，“似乎所有能儲(chǔ)存于電腦系統(tǒng)中的權(quán)利客體都可以稱為‘?dāng)?shù)據(jù)’”，對(duì)數(shù)據(jù)的任何非法獲取行為都可能構(gòu)罪。對(duì)于后一罪名，所有對(duì)于計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的刪除、增加、修改、干擾行為，均會(huì)被視為符合該罪的罪狀描述。其二，侵犯公民個(gè)人信息罪中侵犯對(duì)象的外延十分廣泛。最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》將“識(shí)別”個(gè)人的信息之外的“軌跡”信息也涵蓋在內(nèi)，實(shí)踐中進(jìn)一步演化為含有公民個(gè)人信息的泛在數(shù)據(jù)，該罪名也可涵涉無(wú)邊的范圍。其三，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪疊床架屋。前一罪名的罪狀模式為“行為方式列舉+兜底條款”“多元排列組合格局”，后一罪名主要適用于評(píng)價(jià)非共同犯罪的網(wǎng)絡(luò)犯罪幫助行為，均屬于“口袋罪”構(gòu)造。其四，非法經(jīng)營(yíng)罪、尋釁滋事罪兩個(gè)罪名“口袋”被適用于數(shù)據(jù)犯罪，非法利用信息網(wǎng)絡(luò)罪與提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪等關(guān)聯(lián)罪名也出現(xiàn)了“口袋化”傾向。無(wú)論是前述哪一種“口袋罪”現(xiàn)象，必然導(dǎo)致罪與非罪界限模糊不清，數(shù)據(jù)領(lǐng)域的入罪也就變得隨便。這成了相對(duì)性定律的生成基點(diǎn)。

　　該相對(duì)性定律是由數(shù)據(jù)犯罪的“沾邊管轄”現(xiàn)狀決定的。我國(guó)刑事法律規(guī)范沒有為數(shù)據(jù)犯罪設(shè)立獨(dú)立的管轄規(guī)則，主要援引網(wǎng)絡(luò)犯罪的“以犯罪地為主”的管轄規(guī)則。2021年最高人民法院《關(guān)于適用〈中華人民共和國(guó)刑事訴訟法〉的解釋》第2條對(duì)此確定了超級(jí)廣泛的范圍，不僅明示包括“犯罪行為地和犯罪結(jié)果地”，而且進(jìn)一步細(xì)化羅列。這事實(shí)上擴(kuò)增了“沾邊即管”的缺陷，其結(jié)果是任何基層公安機(jī)關(guān)不受限制地“想管盡管”。這就顯著地增加了數(shù)據(jù)刑事合規(guī)的難度，因?yàn)檫@意味著數(shù)據(jù)刑事合規(guī)要讓全國(guó)司法機(jī)關(guān)普遍認(rèn)可，不然數(shù)據(jù)經(jīng)營(yíng)主體實(shí)施合規(guī)后依然會(huì)面臨異地刑事追究之虞。

　　該相對(duì)性定律是由數(shù)據(jù)犯罪的“動(dòng)態(tài)標(biāo)線”現(xiàn)狀決定的。我國(guó)合法使用數(shù)據(jù)的法律標(biāo)尺呈現(xiàn)為快速變動(dòng)的虛擬標(biāo)線。各數(shù)據(jù)經(jīng)營(yíng)主體難以避入確保無(wú)罪的地帶上或界限內(nèi)，因?yàn)檫@條標(biāo)線處于頻繁調(diào)整中。筆者曾對(duì)數(shù)據(jù)行業(yè)開展數(shù)據(jù)獲取專題調(diào)研，匯總了業(yè)界公認(rèn)的不觸碰刑律的方式，包括“經(jīng)個(gè)人信息主體同意”“獲取公開的數(shù)據(jù)”“為科研目的獲取”等。而對(duì)裁判文書的挖掘和對(duì)司法群體的訪談表明，針對(duì)以上情形的行為均可做出有罪判決。例如，在一起侵犯公民個(gè)人信息罪案件中，辯方提出被告人“購(gòu)買的是公民自愿有償出賣的個(gè)人駕駛證等信息，……不應(yīng)認(rèn)定為犯罪”，法院認(rèn)為“只要行為人沒有獲取公民個(gè)人信息的法律依據(jù)或者資格而獲取相關(guān)個(gè)人信息的，即可以認(rèn)定為‘非法獲取’”。這是將“公民自愿有償出賣”數(shù)據(jù)的行為歸入侵犯公民個(gè)人信息罪進(jìn)行打擊。其實(shí)，即便對(duì)于因確屬“經(jīng)個(gè)人信息主體同意”的難以判處侵犯公民個(gè)人信息罪的行為，也可能調(diào)整為其他罪名進(jìn)行制裁，如前述提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪案。

　　該相對(duì)性定律也是由數(shù)據(jù)經(jīng)營(yíng)主體的實(shí)力差異決定的。在我國(guó)，許多“巨無(wú)霸”大數(shù)據(jù)公司掌握著關(guān)系國(guó)計(jì)民生的巨量數(shù)據(jù)，有社會(huì)責(zé)任也有經(jīng)濟(jì)實(shí)力實(shí)行嚴(yán)格的合規(guī)。當(dāng)然，它們亦有一個(gè)量力而行的高限。很多的小型企業(yè)缺乏足夠支撐全面合規(guī)的資源條件，更不該被苛以過重的合規(guī)責(zé)任。此乃“小型企業(yè)難合規(guī)”的表象。關(guān)于此類境況，美國(guó)學(xué)者們?cè)?jīng)就GDPR生效后的挑戰(zhàn)做過三點(diǎn)歸納：（1）GDPR有長(zhǎng)達(dá)261頁(yè)的99個(gè)長(zhǎng)條文，小型企業(yè)試圖靠自身努力完全理解條文就不大可能；（2）若要聘請(qǐng)專家或律師，小型企業(yè)可能面臨源于資源少的大挑戰(zhàn)；（3）若向大公司學(xué)習(xí)或?qū)で髤f(xié)助，小型企業(yè)會(huì)遇到價(jià)格不菲的問題。例如，微軟公司對(duì)外提供“數(shù)據(jù)合規(guī)方案”，報(bào)價(jià)是每名員工每月交費(fèi)5—12美元。若一家有250名員工的公司尋求微軟公司的幫助進(jìn)行GDPR合規(guī)，將自動(dòng)增加每年1.5萬(wàn)至3.7萬(wàn)美元的支出。這是難以承受之重。與之相對(duì)，2017年超過40%的美國(guó)大銀行花費(fèi)超過1000萬(wàn)美元來升級(jí)系統(tǒng)以符合GDPR的要求，這可以避免因違反GDPR而遭受最大罰款（額度為全球年收入4%）的危險(xiǎn)。小型企業(yè)對(duì)此難以企及。另有數(shù)據(jù)統(tǒng)計(jì)表明，美國(guó)企業(yè)合規(guī)的支出截至2017年已經(jīng)到達(dá)一個(gè)特殊的里程碑：合規(guī)成本接近城市警察治安成本。如此龐大的合規(guī)開支，不可能寄希望于小微企業(yè)承擔(dān)太多。基于此理，數(shù)據(jù)刑事合規(guī)該做到何種程度，顯然跟數(shù)據(jù)經(jīng)營(yíng)主體的規(guī)格體量有關(guān)。

　　一個(gè)總的原則是，我國(guó)開展數(shù)據(jù)刑事合規(guī)應(yīng)當(dāng)容許數(shù)據(jù)經(jīng)營(yíng)主體針對(duì)具體的數(shù)據(jù)處理場(chǎng)景、刑事風(fēng)險(xiǎn)采取不同的合規(guī)措施。于具體數(shù)據(jù)經(jīng)營(yíng)主體而言，則需要兼顧兩層要義：一方面，數(shù)據(jù)刑事合規(guī)不能好高騖遠(yuǎn)，要符合實(shí)際理性；另一方面，數(shù)據(jù)刑事合規(guī)不能滑向粗制濫造，要進(jìn)行質(zhì)量控制。對(duì)此，數(shù)據(jù)經(jīng)營(yíng)主體需要將該相對(duì)性定律進(jìn)一步分解為合規(guī)對(duì)象與合規(guī)結(jié)果的相對(duì)性定律，分層次實(shí)施與差別化落地。

　　（二）合規(guī)對(duì)象的相對(duì)性

　　從學(xué)理上講，刑事合規(guī)可以類型化為針對(duì)一罪與數(shù)罪的合規(guī)。而在實(shí)踐中，針對(duì)一罪的合規(guī)是罕見的，也是不合理的。考慮到我國(guó)當(dāng)下關(guān)于數(shù)據(jù)領(lǐng)域罪名的“口袋化”，及司法實(shí)踐中存在著牽連犯、吸收犯、競(jìng)合犯及其他復(fù)雜罪數(shù)形態(tài)，數(shù)據(jù)刑事合規(guī)不應(yīng)局限于單一罪名而應(yīng)擴(kuò)展至數(shù)個(gè)罪名。以案例2涉及的侵犯公民個(gè)人信息罪為例，就存在“一個(gè)行為、多個(gè)罪名”的復(fù)雜罪數(shù)形態(tài)處理。大樣本的案例分析表明，導(dǎo)致被判處侵犯公民個(gè)人信息罪的一個(gè)行為，可能被同時(shí)判處詐騙罪、盜竊罪、妨礙信用卡管理罪、信用卡詐騙罪、買賣身份證件罪、掩飾、隱瞞犯罪所得罪以及其他罪名（如圖2系基于對(duì)965起侵犯公民個(gè)人信息罪案件分析得出的罪名群）。這就意味著一旦發(fā)生或可能發(fā)生此種情形，數(shù)據(jù)經(jīng)營(yíng)主體開展數(shù)據(jù)刑事合規(guī)首以減少觸碰該“口袋罪”為目標(biāo)，同時(shí)要考慮以減少觸碰相關(guān)“數(shù)個(gè)罪名”為目標(biāo)。這些任務(wù)可以被簡(jiǎn)單理解為數(shù)據(jù)經(jīng)營(yíng)主體分兩個(gè)步驟圈定合規(guī)針對(duì)的罪名群。

圖2　侵犯公民個(gè)人信息罪案件涉及的罪名群

　　第一步，基于同一數(shù)據(jù)行為涉及罪名群體系的規(guī)律進(jìn)行初選。以案例5為例，涉案單位的具體犯罪行為主要是買賣身份證件/號(hào)，這有可能導(dǎo)致被判處偽造、變?cè)臁①I賣身份證件罪。筆者在對(duì)前述構(gòu)成“侵犯公民個(gè)人信息罪”的大樣本案例進(jìn)行梳理時(shí)，發(fā)現(xiàn)基于類似行為同時(shí)被判處偽造、變?cè)臁①I賣身份證件罪的案件為55起，還有被判處詐騙罪（10起），偽造、買賣國(guó)家機(jī)關(guān)證件、印章罪（10起），妨害信用卡管理罪（9起）、非法利用信息網(wǎng)絡(luò)罪（3起），販賣、傳播淫穢物品牟利罪（1起）、破壞計(jì)算機(jī)系統(tǒng)罪（1起）。這就意味著該案發(fā)生后涉案單位開展數(shù)據(jù)刑事合規(guī)應(yīng)當(dāng)指向涉及如上罪名的罪名群。之所以作出該案中具體罪名群的界定，是因?yàn)橛嘘P(guān)身份證件/號(hào)采集行為的特定輻射力所致。假如數(shù)據(jù)經(jīng)營(yíng)主體的基本業(yè)務(wù)是竊取、收買或非法提供、使用信用卡信息等其他內(nèi)容的，則用作合規(guī)指向的具體罪名群會(huì)有明顯不同（具體可以從圖2中選取關(guān)于信用卡信息的罪名群部分）。

　　第二步，基于數(shù)據(jù)經(jīng)營(yíng)主體處理數(shù)據(jù)行為涉及犯罪的風(fēng)險(xiǎn)點(diǎn)進(jìn)行確定。數(shù)據(jù)刑事合規(guī)在個(gè)案中并不要求對(duì)具體罪名群中各種情形的犯罪可能性均予考慮。再以案例5的合規(guī)整改為例，要判斷涉案單位獲取身份證件或號(hào)碼的途徑、進(jìn)行不法使用的去向，進(jìn)而再限縮合規(guī)針對(duì)的相關(guān)罪名及整改方法。涉案單位獲取身份證件或號(hào)碼的途徑是簡(jiǎn)單索要，不法使用的行為是虛假報(bào)稅，其風(fēng)險(xiǎn)點(diǎn)主要在于“非法獲取公民信息”“虛假報(bào)稅”兩點(diǎn)。是故，涉案單位進(jìn)行合規(guī)所針對(duì)的罪名可以進(jìn)一步聚焦為“侵犯公民個(gè)人信息罪”“偽造、變?cè)臁①I賣身份證件罪”“偽造、買賣國(guó)家機(jī)關(guān)證件、印章罪”，鎖定為涉案單位進(jìn)行合規(guī)整改時(shí)應(yīng)針對(duì)的具體罪名；至于“詐騙罪”“妨害信用卡管理罪”“非法利用信息網(wǎng)絡(luò)罪”“販賣、傳播淫穢物品牟利罪”“破壞計(jì)算機(jī)信息系統(tǒng)罪”等罪名，則被剔除出考量范圍。考慮到涉案單位主要是刪除了被冒用的公民個(gè)人信息及納稅申報(bào)記錄，這三個(gè)罪名最終作為對(duì)象的合規(guī)整改預(yù)設(shè)，是合格夠用的。通過厘清各種數(shù)據(jù)經(jīng)營(yíng)主體的具體業(yè)務(wù)確定刑事風(fēng)險(xiǎn)點(diǎn)，是開展數(shù)據(jù)刑事合規(guī)的必修課。

　　（三）合規(guī)結(jié)果的相對(duì)性

　　數(shù)據(jù)刑事合規(guī)的結(jié)果更是相對(duì)的。且不說數(shù)據(jù)處理過程中刑事風(fēng)險(xiǎn)泛在，僅就數(shù)據(jù)業(yè)普遍構(gòu)成產(chǎn)業(yè)鏈的現(xiàn)實(shí)特點(diǎn)而言，任何數(shù)據(jù)經(jīng)營(yíng)主體不可能獨(dú)善其身。若上下游的商業(yè)合作伙伴未能遵循基本合規(guī)要求而恣意濫用數(shù)據(jù)，則居于業(yè)務(wù)節(jié)點(diǎn)上的特定數(shù)據(jù)經(jīng)營(yíng)主體仍有可能受牽連被罰；同理，若企業(yè)集團(tuán)的分支機(jī)構(gòu)員工違法使用數(shù)據(jù)的，導(dǎo)致企業(yè)集團(tuán)總部或其高管牽涉入罪的，更難言“無(wú)辜”。案例5即是如此，總公司因分公司負(fù)責(zé)人張×濫用公民個(gè)人信息的行為而入罪。調(diào)研中也了解到，許多一線檢察官對(duì)數(shù)據(jù)刑事合規(guī)可達(dá)致結(jié)果憂心忡忡。

　　鑒于我國(guó)當(dāng)前數(shù)據(jù)刑事合規(guī)剛起步，將在較長(zhǎng)時(shí)間內(nèi)處于探索階段，追求數(shù)據(jù)刑事合規(guī)的結(jié)果相對(duì)性是不可逾越的。各種數(shù)據(jù)經(jīng)營(yíng)主體開展數(shù)據(jù)刑事合規(guī)工作所期待的只能是一種可以實(shí)現(xiàn)的結(jié)果，有關(guān)部門開展監(jiān)管工作亦得以一種相對(duì)合理主義為指導(dǎo)思想。此即數(shù)據(jù)刑事合規(guī)結(jié)果的相對(duì)性定律。

　　于數(shù)據(jù)經(jīng)營(yíng)主體而言，需要制定和執(zhí)行的是符合理性的數(shù)據(jù)刑事合規(guī)計(jì)劃。其一，該計(jì)劃指向消除數(shù)據(jù)方面“結(jié)構(gòu)性疏忽”等刑事責(zé)任。這里要求的是數(shù)據(jù)刑事合規(guī)計(jì)劃重在排除因單位意志或行為引發(fā)數(shù)據(jù)犯罪的風(fēng)險(xiǎn)，而不必覆蓋因全體普通員工意志或行為引發(fā)數(shù)據(jù)犯罪的風(fēng)險(xiǎn)。其二，該計(jì)劃指向數(shù)據(jù)刑事合規(guī)計(jì)劃中對(duì)企業(yè)數(shù)據(jù)刑事風(fēng)險(xiǎn)的有效識(shí)別。當(dāng)下，有的地方拿出的“企業(yè)涉及數(shù)據(jù)犯罪風(fēng)險(xiǎn)判斷方案”是進(jìn)行三級(jí)打分，有的機(jī)構(gòu)拿出的“企業(yè)合規(guī)指數(shù)評(píng)估方案”是進(jìn)行“可能性”判斷。其三，該計(jì)劃指向數(shù)據(jù)經(jīng)營(yíng)主體圍繞數(shù)據(jù)犯罪風(fēng)險(xiǎn)要有“真正”的作為。這離不開必要的形式要件，但更為關(guān)鍵的是涉案單位是否真正投入財(cái)力等資源。筆者在一次數(shù)據(jù)刑事合規(guī)咨詢中，曾經(jīng)參照侵權(quán)法領(lǐng)域用作行為人過失評(píng)價(jià)的“利爾德·漢德公式”進(jìn)行測(cè)量評(píng)估，得到了特定數(shù)據(jù)經(jīng)營(yíng)主體的支持。該公式用于判斷數(shù)據(jù)經(jīng)營(yíng)主體是否開展“真正”合規(guī)的基本模型為“B>PL”，其中B表示某數(shù)據(jù)經(jīng)營(yíng)主體預(yù)防數(shù)據(jù)犯罪之投入成本，P表示該數(shù)據(jù)經(jīng)營(yíng)主體觸碰數(shù)據(jù)犯罪的概率，L表示有關(guān)數(shù)據(jù)犯罪給社會(huì)造成的損失折算得出的損失金額。若B>PL時(shí)，則可以認(rèn)為數(shù)據(jù)經(jīng)營(yíng)主體的合規(guī)整改力度大于其涉案罪量，進(jìn)而認(rèn)為數(shù)據(jù)刑事合規(guī)達(dá)到了理性人可接受的程度。誠(chéng)然，數(shù)據(jù)刑事合規(guī)領(lǐng)域中達(dá)到的“B>PL”只是一個(gè)基本檔次，可據(jù)實(shí)情提至更大力度。調(diào)研中發(fā)現(xiàn)，有的第三方機(jī)構(gòu)是根據(jù)其具體數(shù)據(jù)行為涉及犯罪的風(fēng)險(xiǎn)點(diǎn)，結(jié)合類案特征與司法政策等因素，判斷其涉案罪名及可能性大小“P”。這是督促企業(yè)進(jìn)行數(shù)據(jù)刑事合規(guī)的基礎(chǔ)性思維。若要更進(jìn)一步，可以通過專家打分、會(huì)計(jì)審計(jì)的方式計(jì)算出涉案罪名可能造成的社會(huì)損失，審慎決定其整改投入所需的下限成本。

　　于檢察機(jī)關(guān)等監(jiān)管部門而言，此等意義上的相對(duì)性規(guī)律表現(xiàn)為其制定和執(zhí)行的是符合理性的數(shù)據(jù)刑事合規(guī)驗(yàn)收標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)是前一標(biāo)準(zhǔn)的延續(xù)。美國(guó)司法部在制定《聯(lián)邦檢察官手冊(cè)》時(shí)堅(jiān)持“任何合規(guī)計(jì)劃均不可能防止由公司員工實(shí)施的一切犯罪”，明確“評(píng)估任何合規(guī)計(jì)劃的關(guān)鍵在于其經(jīng)由充分設(shè)計(jì)是否足以最有效地預(yù)防、發(fā)現(xiàn)員工的不當(dāng)行為，以及是否可以保證管理層執(zhí)行該計(jì)劃而非暗中鼓勵(lì)或施壓?jiǎn)T工從事不當(dāng)行為以實(shí)現(xiàn)商業(yè)目標(biāo)”；“合規(guī)計(jì)劃的有效性主要取決于企業(yè)高管以明確、可見的方式執(zhí)行、參與與支持合規(guī)計(jì)劃”，也就是說，企業(yè)高管在各自職責(zé)范圍必須促進(jìn)“一種鼓勵(lì)符合道德和遵守法律的組織文化。”該計(jì)劃之履行阻止內(nèi)部不當(dāng)行為以及對(duì)所發(fā)生不當(dāng)行為提供內(nèi)部監(jiān)督、報(bào)告的手段等兩項(xiàng)基本職能。總之，聯(lián)邦檢察官必須確定合規(guī)計(jì)劃是一種經(jīng)過適當(dāng)設(shè)計(jì)、執(zhí)行、審查和修訂的有效方案。自1991年《聯(lián)邦量刑指南》首次列出七項(xiàng)相關(guān)適用標(biāo)準(zhǔn)起，有效合規(guī)計(jì)劃的標(biāo)準(zhǔn)經(jīng)歷多次調(diào)整。2020年6月最新版《企業(yè)合規(guī)計(jì)劃評(píng)估》發(fā)布，將這一標(biāo)準(zhǔn)優(yōu)化為三個(gè)基本問題：企業(yè)的合規(guī)計(jì)劃設(shè)計(jì)得好嗎？該計(jì)劃是否得到了真誠(chéng)地、善意地執(zhí)行（換言之，該計(jì)劃是否得到足夠資源與授權(quán)來有效運(yùn)作）？該合規(guī)計(jì)劃是否實(shí)際運(yùn)行了？不難看出，這些說法縱有千變?nèi)f化、但始終富有一定的彈性，表明美國(guó)追求的是以“合規(guī)計(jì)劃是否有效”為內(nèi)容承載的結(jié)果相對(duì)之合規(guī)。這一混用型標(biāo)準(zhǔn)在美國(guó)適用于數(shù)據(jù)刑事合規(guī)。

　　回看我國(guó)，各種數(shù)據(jù)經(jīng)營(yíng)主體開展數(shù)據(jù)刑事合規(guī)，需要接受檢察機(jī)關(guān)等主管部門的監(jiān)管和驗(yàn)收。然而，我國(guó)關(guān)于合規(guī)監(jiān)管和驗(yàn)收的時(shí)限同美國(guó)有很大差距，只能是限于辦案期（目前理論上認(rèn)為最長(zhǎng)達(dá)1年），美國(guó)可以長(zhǎng)達(dá)3年甚至更長(zhǎng)，這一重大不同決定了中國(guó)合規(guī)驗(yàn)收標(biāo)準(zhǔn)的開發(fā)具有特殊的難度。概言之，我國(guó)有關(guān)驗(yàn)收標(biāo)準(zhǔn)的研發(fā)需要注意兩點(diǎn)：一是優(yōu)先驗(yàn)收標(biāo)準(zhǔn)的專用性。據(jù)了解，2021年8月最高人民檢察院召開了“企業(yè)合規(guī)有效性評(píng)價(jià)標(biāo)準(zhǔn)”起草工作會(huì)議，但截至目前，綜合性“企業(yè)合規(guī)有效性評(píng)價(jià)標(biāo)準(zhǔn)”的研發(fā)遲滯。這致使各試點(diǎn)地方仍處于無(wú)驗(yàn)收標(biāo)準(zhǔn)可用的狀態(tài)。當(dāng)下各地試點(diǎn)中主要規(guī)定了“合規(guī)第三方監(jiān)督評(píng)估組織的職責(zé)”，沒有給出任何合規(guī)驗(yàn)收標(biāo)準(zhǔn)。筆者建議，不妨先從難度較小的專門性“數(shù)據(jù)專項(xiàng)合規(guī)驗(yàn)收標(biāo)準(zhǔn)”進(jìn)行突破。二是提升驗(yàn)收標(biāo)準(zhǔn)的客觀性。考慮到主觀性標(biāo)準(zhǔn)同當(dāng)下無(wú)標(biāo)準(zhǔn)狀態(tài)相比難言實(shí)質(zhì)進(jìn)步，我國(guó)應(yīng)當(dāng)力爭(zhēng)開發(fā)出相對(duì)客觀的標(biāo)準(zhǔn)。值得關(guān)注的一個(gè)例子是白建軍教授提出的“刑事風(fēng)險(xiǎn)識(shí)別和整改驗(yàn)收的綜合分析模型”，將檢察機(jī)關(guān)驗(yàn)收刑事合規(guī)的結(jié)果區(qū)分為“重要級(jí)”“輕微級(jí)”“嚴(yán)控級(jí)”“關(guān)注級(jí)”四級(jí)。

四、數(shù)據(jù)刑事合規(guī)的實(shí)現(xiàn)方略

　　在數(shù)據(jù)刑事合規(guī)相對(duì)性定律的牽引下，各種數(shù)據(jù)經(jīng)營(yíng)主體需要具體開發(fā)數(shù)據(jù)刑事合規(guī)計(jì)劃和安排數(shù)據(jù)刑事合規(guī)人員、培訓(xùn)、監(jiān)管等工作。而這些離不開各數(shù)據(jù)經(jīng)營(yíng)主體針對(duì)實(shí)際情況制定和落實(shí)數(shù)據(jù)刑事合規(guī)方略。若從實(shí)務(wù)層面來論，此類方略必須遵循各種數(shù)據(jù)法律規(guī)范及少數(shù)技術(shù)規(guī)范設(shè)定的普遍性要求。這些要求傳遞出數(shù)據(jù)處理領(lǐng)域的禁止、警示與容許三類信號(hào)，客觀形成關(guān)于數(shù)據(jù)刑事合規(guī)的三色標(biāo)識(shí)。各數(shù)據(jù)經(jīng)營(yíng)主體可以對(duì)“標(biāo)”，鎖定自身數(shù)據(jù)處理各環(huán)節(jié)牽涉的犯罪風(fēng)險(xiǎn)點(diǎn)有無(wú)及大小，制定數(shù)據(jù)刑事合規(guī)的個(gè)性化方略。此類方略對(duì)于檢察機(jī)關(guān)等有關(guān)部門開展監(jiān)管和驗(yàn)收工作，同樣具有參照意義。

　　（一）遠(yuǎn)離數(shù)據(jù)處理的法律紅線

　　我國(guó)直接規(guī)定數(shù)據(jù)犯罪的主要法律規(guī)范是《刑法》及相關(guān)司法解釋，其中包含一系列核心罪名的罪狀描述、刑罰體系及適用方法等基本內(nèi)容。它們是數(shù)據(jù)業(yè)態(tài)或行為必須嚴(yán)格遵守、禁止違反的準(zhǔn)則，形成數(shù)據(jù)處理“紅線”的主要淵源。不僅如此，數(shù)據(jù)領(lǐng)域的“基本法”、行政法中也會(huì)有著一些關(guān)于承擔(dān)刑事責(zé)任的特殊條款，指向具體或概要的罪名，也屬于數(shù)據(jù)業(yè)態(tài)或行為的禁區(qū)。最高人民法院、最高人民檢察院發(fā)布過不少關(guān)于數(shù)據(jù)犯罪的指導(dǎo)性案例，其中明確了具體罪名的適用指引，也應(yīng)當(dāng)被納入數(shù)據(jù)業(yè)態(tài)或行為的禁地。

　　全國(guó)法院關(guān)于數(shù)據(jù)犯罪的刑事判決書有助于理解《刑法》及相關(guān)司法解釋中明確的犯罪構(gòu)成及要素，具有值得特別說明的參考意義。首先，它們可以用于判斷數(shù)據(jù)經(jīng)營(yíng)主體觸碰各種罪名的一般風(fēng)險(xiǎn)等級(jí)。筆者通過中國(guó)裁判文書網(wǎng)進(jìn)行檢索，截至2022年7月25日共公布6750491件一審刑事判決書，據(jù)此可發(fā)現(xiàn)關(guān)于數(shù)據(jù)犯罪主要罪名的排序是“幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪”“侵犯公民個(gè)人信息罪”“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪”“破壞計(jì)算機(jī)信息系統(tǒng)罪”“提供侵入、非法控制計(jì)算機(jī)信息系統(tǒng)程序、工具罪”“非法利用信息網(wǎng)絡(luò)罪”，占比為66.8%、24.5%、3.3%、2.4%、1.5%、1.5%。這揭示了全國(guó)開展數(shù)據(jù)刑事合規(guī)涉及的罪名位序。特定的數(shù)據(jù)經(jīng)營(yíng)主體需要根據(jù)自身具體業(yè)務(wù)特點(diǎn)進(jìn)一步梳理風(fēng)險(xiǎn)等級(jí)。其次，它們可以用于判斷不同時(shí)期數(shù)據(jù)刑事治理的趨勢(shì)與動(dòng)態(tài)。仍以對(duì)中國(guó)裁判文書網(wǎng)的檢索為例，發(fā)現(xiàn)侵犯公民個(gè)人信息罪從2015到2021年公布的全國(guó)一審刑事案件數(shù)分別為10、245、1069、1857、2123、1869、863。不難看出，2017年之后我國(guó)查處的侵犯公民個(gè)人信息罪案件有了明顯的提升。這與2017年6月起施行最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》有關(guān)。隨著我國(guó)新近實(shí)施《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，懲治數(shù)據(jù)犯罪將迎來新一波的高潮，步入嚴(yán)懲嚴(yán)防的高位運(yùn)行階段。再次，它們可以用于澄清數(shù)據(jù)業(yè)務(wù)中的錯(cuò)誤認(rèn)識(shí)。例如，數(shù)據(jù)業(yè)界有部分人對(duì)于使用爬蟲技術(shù)突破反爬措施獲取數(shù)據(jù)的行為，存在著簡(jiǎn)單地認(rèn)為有罪或無(wú)罪的對(duì)立觀念。通過分析全國(guó)法院關(guān)于數(shù)據(jù)犯罪的刑事判決書，不難發(fā)現(xiàn)爬蟲技術(shù)本身并不違法，但一旦爬蟲的手段、方式超出法律允許的限度，則有可能會(huì)被認(rèn)定為“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”或者可能涉及的其他罪名。

　　針對(duì)不同數(shù)據(jù)產(chǎn)品、業(yè)務(wù)形態(tài)進(jìn)行法律紅線的全面梳理，是一項(xiàng)容易起效的基礎(chǔ)工作。筆者在參與企業(yè)的數(shù)據(jù)刑事合規(guī)咨詢活動(dòng)中發(fā)現(xiàn)，數(shù)據(jù)經(jīng)營(yíng)主體梳理數(shù)據(jù)業(yè)務(wù)的法律紅線能夠調(diào)動(dòng)各個(gè)組成部門的興趣，也會(huì)匯集相關(guān)人員的共同智慧。通常，數(shù)據(jù)經(jīng)營(yíng)主體可以按照數(shù)據(jù)生命周期涉及的主要環(huán)節(jié)，針對(duì)可能涉及罪名群中的主要罪名，并結(jié)合典型案例或代表性案例進(jìn)行逐一研判，找出可能蘊(yùn)含的普通及重大刑事風(fēng)險(xiǎn)點(diǎn)。在此基礎(chǔ)上，再擬定數(shù)據(jù)刑事合規(guī)計(jì)劃開展相關(guān)工作。

　　（二）警惕數(shù)據(jù)處理的法律黃線（區(qū)）

　　我國(guó)主要的數(shù)據(jù)犯罪屬于法定犯的范疇。“法定犯是對(duì)應(yīng)于自然犯的一種犯罪形態(tài)，它具有行政違法性和刑事違法性的雙重屬性。”許多數(shù)據(jù)犯罪先違反行政法，再違反刑事法律。例如，侵犯公民個(gè)人信息罪的構(gòu)成要件之一是“違反國(guó)家有關(guān)規(guī)定”，“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”等的構(gòu)成要件之一是“違反國(guó)家規(guī)定”，也就是說違反國(guó)家有關(guān)規(guī)定或國(guó)家規(guī)定的，就可能需要承擔(dān)刑事責(zé)任。在這里，“違反國(guó)家有關(guān)規(guī)定”與“違反國(guó)家規(guī)定”均僅指國(guó)家層面的規(guī)定，不包括地方性法規(guī)層面的規(guī)定；它們之間也有一些差異，“違反國(guó)家有關(guān)規(guī)定”指代對(duì)部門規(guī)章的違反，“違反國(guó)家規(guī)定”則不涉及對(duì)部門規(guī)章的違反。特別是“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”“非法侵入計(jì)算機(jī)信息系統(tǒng)罪”兩個(gè)罪名中直接使用了“非法”一詞進(jìn)行表述。這種“非法”要素為認(rèn)定具體數(shù)據(jù)犯罪提供了法律根據(jù)。這里呈現(xiàn)出了雙重的違法結(jié)構(gòu)，該結(jié)構(gòu)“是由行政不法與刑事不法的重合性而產(chǎn)生的”。又如，拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的構(gòu)成要件之一是網(wǎng)絡(luò)服務(wù)提供者“不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)”，這里雖未明示是對(duì)國(guó)家規(guī)定的違反，但其實(shí)質(zhì)指向?qū)Ψ伞⑿姓ㄒ?guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)條文的違反。可見，國(guó)家法律、行政法規(guī)規(guī)定中對(duì)數(shù)據(jù)處理行政責(zé)任設(shè)定的條文，構(gòu)成數(shù)據(jù)處理的散狀黃線。

　　我國(guó)當(dāng)前設(shè)定數(shù)據(jù)處理行為之行政責(zé)任的法律條文很多。從影響力來看，有關(guān)的法律淵源既包括《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》三大“基本法”，也包括《反恐怖主義法》等其他法律中的專門條款，還包括《網(wǎng)絡(luò)信息內(nèi)容生態(tài)治理規(guī)定》等行政法律、法規(guī)中的專門條款。基于此，數(shù)據(jù)經(jīng)營(yíng)主體厘清數(shù)據(jù)處理的黃線，就呈現(xiàn)為專業(yè)而復(fù)雜的“找法”過程。其“找法”的技巧是雙向連接。其一是挖掘這些法律條文設(shè)定的具體行政責(zé)任，這主要是從有關(guān)規(guī)范的“法律責(zé)任”專章或部分中整理；其二是對(duì)接《刑法》或其司法解釋中的相關(guān)罪名條款。這兩個(gè)方向能夠有效連接、構(gòu)成閉環(huán)，則升級(jí)為數(shù)據(jù)處理的黃區(qū)；反之則仍為稀松的法律黃線。以新施行的《數(shù)據(jù)安全法》為例，其第6章第44—52條規(guī)定了法律責(zé)任（主要是行政責(zé)任）的內(nèi)容，這是“找法”的主要范圍。有的條款如第45條第2款明確表述“構(gòu)成犯罪的，依法追究刑事責(zé)任”，可以與《刑法》或有關(guān)司法解釋的相關(guān)罪名進(jìn)行明示對(duì)接；有的條款如第46條雖未進(jìn)行追究刑事責(zé)任的明確表述，但其表述“依法給予處分”指向的行為同《刑法》或其司法解釋的相關(guān)罪名能夠?qū)?yīng)，構(gòu)成默示對(duì)接；還有的條款如第52條第2款規(guī)定“違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任”，構(gòu)成概括對(duì)接。除此之外的許多行政責(zé)任條款同刑事責(zé)任沒有關(guān)系。前述三種情形的法律條文均為《數(shù)據(jù)安全法》設(shè)定的數(shù)據(jù)刑事合規(guī)“黃線”，可以匯總相接而形成《數(shù)據(jù)安全法》設(shè)定的數(shù)據(jù)刑事合規(guī)“黃區(qū)”（參見表2，“黃區(qū)”為虛線繪制部分）。

　　數(shù)據(jù)處理“黃線”是一個(gè)相對(duì)概念，是同“紅線”相比較而產(chǎn)生的。此兩“線”存在密切聯(lián)系，觸碰數(shù)據(jù)處理“黃線”的也可能進(jìn)一步觸碰數(shù)據(jù)處理“紅線”。但它們之間有著實(shí)質(zhì)性的區(qū)別，主要體現(xiàn)為質(zhì)量特征與數(shù)量特征的差異。在質(zhì)量特征方面，數(shù)據(jù)處理“黃線”往往是模糊的，而數(shù)據(jù)處理“紅線”是相對(duì)確定的。在數(shù)量特征方面，數(shù)據(jù)處理“黃線”明顯要多于數(shù)據(jù)處理“紅線”。通俗地說，我國(guó)數(shù)據(jù)處理活動(dòng)存在著廣袤的模糊地帶，尤以帶有模糊性的“黃線”居多。人們需要立足于不同類型數(shù)據(jù)公司及其不同數(shù)據(jù)處理行為，參照相對(duì)性定律，力求精準(zhǔn)地把握數(shù)據(jù)處理之具體兩“線”。

表2 《數(shù)據(jù)安全法》設(shè)定的數(shù)據(jù)刑事合規(guī)“黃線（區(qū)）”

　　（三）暢行于數(shù)據(jù)處理的法律綠區(qū)

　　1961年，時(shí)任哈佛商學(xué)院院長(zhǎng)羅伯特指出，純粹的負(fù)面商業(yè)道德準(zhǔn)則等于許多戒律的集合，將會(huì)引發(fā)“企業(yè)管理者的心智不健全”“公眾眼中出現(xiàn)狐疑”“規(guī)則層面的漏洞或過猶不及”等問題。1995年，美國(guó)另有兩位學(xué)者指出，公司行為準(zhǔn)則要達(dá)到最大效果，除應(yīng)當(dāng)描述“不可接受的行為”外，更應(yīng)當(dāng)描述“可取的行為”。這是將抽象的合規(guī)要求轉(zhuǎn)化為“允許干什么”的詳細(xì)規(guī)定，相比僅規(guī)定“不可接受的行為”的方式更具有操作性。于數(shù)據(jù)刑事合規(guī)而言，“可取的行為”“允許干什么”就是數(shù)據(jù)處理的綠線，即合法的數(shù)據(jù)處理行為。

　　綠線的出現(xiàn)是由法秩序統(tǒng)一性原理決定的。不同法律之間具有系統(tǒng)性的、目的性的聯(lián)系。我國(guó)有學(xué)者指出，“法秩序統(tǒng)一性原理要求在處理刑民交叉、行刑交叉案件時(shí)關(guān)注前置法，不能將前置法上的合法行為認(rèn)定為犯罪。”另有學(xué)者進(jìn)一步解釋道，“一行為在某個(gè)部門法中被規(guī)定為違法，則不可能在另外一個(gè)部門法中被規(guī)定為合法，否則必然造成各部門法之間的矛盾。例如，民法中的合法行為，不可能在刑法中被認(rèn)定為犯罪；反之亦然。”此理給數(shù)據(jù)刑事合規(guī)設(shè)置了第一批綠線：凡是由《民法典》等民事法律規(guī)定為合法的數(shù)據(jù)行為，在《刑法》中不能被認(rèn)定為違法行為，故而，就不存在被刑事定罪的可能性或正當(dāng)性。例如，《民法典》第1036條規(guī)定：“處理個(gè)人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：（一）在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實(shí)施的行為；（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外；（三）為維護(hù)公共利益或者該自然人合法權(quán)益，合理實(shí)施的其他行為。”這就給出了數(shù)據(jù)領(lǐng)域“不承擔(dān)民事責(zé)任→不構(gòu)成犯罪”的法律模型。有專家指出，“辦理侵犯公民個(gè)人信息刑事案件，特別是對(duì)相關(guān)獲取、提供公民個(gè)人信息行為定性時(shí)，要對(duì)標(biāo)《民法典》的相關(guān)規(guī)定，堅(jiān)決防止將符合《民法典》規(guī)定的行為認(rèn)定為‘違反國(guó)家有關(guān)規(guī)定’，甚至按照犯罪處理。”與之相對(duì)，構(gòu)成民事侵權(quán)的數(shù)據(jù)行為并不意味著伴隨著刑事責(zé)任的承擔(dān)，尚需進(jìn)行“是否具有嚴(yán)重社會(huì)危害性”的前提性判斷。數(shù)據(jù)領(lǐng)域“承擔(dān)民事責(zé)任→構(gòu)成犯罪”的法律模型是不成立的。

　　不僅如此，凡是由《個(gè)人信息保護(hù)法》等行政法律、綜合性法律規(guī)定為合法的數(shù)據(jù)行為，也不能被認(rèn)定為犯罪行為，或者說應(yīng)該予以出罪。例如，《個(gè)人信息保護(hù)法》第13條規(guī)定，對(duì)于“為訂立、履行個(gè)人作為一方當(dāng)事人的合同所必需，或者按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需”“為履行法定職責(zé)或者法定義務(wù)所必需”“為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需”“為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息”“依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息”以及法律、行政法規(guī)規(guī)定的其他情形，個(gè)人信息處理者可以“不需取得個(gè)人同意”即處理個(gè)人信息。一旦出現(xiàn)前述各種情形，理當(dāng)納入數(shù)據(jù)處理的綠線來處理。這給數(shù)據(jù)刑事合規(guī)設(shè)置了第二批綠線。

　　綜上可見，法秩序統(tǒng)一性原理要求在判斷數(shù)據(jù)行為性質(zhì)時(shí)，由刑法條文得出的規(guī)范秩序同由民法、行政法條文得出的規(guī)范秩序不能相矛盾。當(dāng)數(shù)據(jù)行為不能作民事違法、行政違法評(píng)價(jià)的，或者該行為被民法、行政法所容忍的，人們應(yīng)當(dāng)否定其被作為犯罪打擊的正當(dāng)性或可能性。

　　理解此中法秩序的“法”之范圍，還可以選擇軟法與實(shí)踐法等多重視角。數(shù)據(jù)行為是否構(gòu)罪，以此為據(jù)存在三種特殊情形：一是依據(jù)行業(yè)規(guī)范特別是技術(shù)標(biāo)準(zhǔn)評(píng)價(jià)是否容許的問題。筆者調(diào)研過一起侵犯公民個(gè)人信息罪案件，涉案事實(shí)主要是行為人通過發(fā)放的家用路由器獲取用戶使用電腦的數(shù)據(jù)，其是否構(gòu)成犯罪的一個(gè)思路是對(duì)照該領(lǐng)域內(nèi)的國(guó)家標(biāo)準(zhǔn)。有關(guān)標(biāo)準(zhǔn)明確“路由器應(yīng)具有審計(jì)功能”，生成的記錄包括“事件發(fā)生的日期和時(shí)間”“事件的類型”“事件的結(jié)果”等信息的審計(jì)數(shù)據(jù)。這給梳理該案中哪些獲取數(shù)據(jù)的行為合法提供了技術(shù)標(biāo)準(zhǔn)方面的一把標(biāo)尺。二是依據(jù)疑難案例的裁判文書中被作為無(wú)責(zé)處理參照的問題。這些新型案件涌現(xiàn)的越來越多，值得關(guān)注。它們確立了“不承擔(dān)民事責(zé)任、行政責(zé)任”的“實(shí)在”法則。例如，關(guān)于搜索引擎能否使用cookie技術(shù)獲取數(shù)據(jù)的“朱×與百度網(wǎng)訊公司隱私權(quán)糾紛案”的終審判決產(chǎn)生了既判力，為cookie技術(shù)獲取數(shù)據(jù)建立了綠線。這雖是一份地方性判決而不具有對(duì)其他法院作出相關(guān)判決的拘束力，但可援引用于刑事訴訟中爭(zhēng)取無(wú)罪、罪輕之處理的刑辯策略。三是刑事實(shí)踐中的出罪機(jī)制適用于數(shù)據(jù)犯罪的問題。我國(guó)《刑法》對(duì)于不具備實(shí)質(zhì)當(dāng)罰性或不具有非難可能性的行為，允許不作為犯罪處理。例如，該法第13條做出了“但書規(guī)定”，即“情節(jié)顯著輕微危害不大的，不認(rèn)為是犯罪”。此種情形在實(shí)踐中得到廣泛適用，同樣適用于數(shù)據(jù)犯罪、可用作數(shù)據(jù)處理的綠線。又如，在涉及具有“行政附屬性”的刑法條文時(shí)，行政許可是一種常見的出罪事由。對(duì)于數(shù)據(jù)犯罪而言，若數(shù)據(jù)經(jīng)營(yíng)主體獲得過政府有權(quán)機(jī)關(guān)的行政許可，則其數(shù)據(jù)行為可能不滿足刑法條文的可罰性條件，即便構(gòu)成犯罪其刑事責(zé)任也會(huì)減輕。

　　前述各種情形都會(huì)對(duì)數(shù)據(jù)行為的定罪活動(dòng)產(chǎn)生一定程度的制約。它們要么降低了涉案行為的社會(huì)危害性，要么降低了其刑事違法性，最終使得數(shù)據(jù)行為脫罪獲得了正當(dāng)性與合法性。它們構(gòu)成一系列的數(shù)據(jù)刑事合規(guī)綠線，合起來構(gòu)成密織的數(shù)據(jù)刑事合規(guī)綠區(qū)。這是數(shù)據(jù)刑事合規(guī)工作中的另類底線思維。

走向可持續(xù)的未來：代結(jié)語(yǔ)

　　需要強(qiáng)調(diào)的是，數(shù)據(jù)刑事合規(guī)方略的確定不是一勞永逸的，數(shù)據(jù)刑事合規(guī)計(jì)劃的審視、更新和執(zhí)行也是持續(xù)性的。美國(guó)研究者指出，數(shù)據(jù)刑事合規(guī)方略、計(jì)劃“就像任何桌面電腦一樣”，“若得不到認(rèn)真維護(hù)，將很快變得過時(shí)，導(dǎo)致公司面臨法律風(fēng)險(xiǎn)。”定期更新數(shù)據(jù)刑事合規(guī)方略，是為了適應(yīng)市場(chǎng)條件、公司戰(zhàn)略、資本結(jié)構(gòu)或海外擴(kuò)張等變化的需要；以此為基準(zhǔn)不定期更新數(shù)據(jù)刑事合規(guī)計(jì)劃，主要是適應(yīng)法律新發(fā)展、公司新業(yè)務(wù)的需要。總之，數(shù)據(jù)刑事合規(guī)要以動(dòng)態(tài)平衡的方式力促數(shù)據(jù)善治。

　　因篇幅較長(zhǎng)，已略去原文注釋。

本文內(nèi)容來自《法學(xué)家》，本文章僅限學(xué)習(xí)交流使用，版權(quán)歸原作者所有。

—— EDN ——

Serving national strategies, focusing on university research and the transformation of scientific and technological achievements