黎宏：企業(yè)無法自覺進行監(jiān)督管理，需要刑法介入

刑事合規(guī)制度引起法學界熱烈討論，主要是我國通信行業(yè)排名第二的中興通訊因為被披露從2010年至案發(fā)當時一直在違規(guī)經營，當時被美國商務部制裁：除了付出10億美元罰金外加4億美元保證金的經濟代價之外，還要接受30天內企業(yè)改組、美國合規(guī)小組入駐進行企業(yè)合規(guī)建設等屈辱條件。至此，西方發(fā)達國家企業(yè)中廣泛采用的合規(guī)計劃建設始為普通國人所熟悉。

所以，企業(yè)合規(guī)，從根本上講，是企業(yè)內部治理的一種形式，從與刑法的關系上看，其功能有二：一是在企業(yè)經營活動中出現違法犯罪時，將守法企業(yè)和違法員工的行為切割，從而達到保全企業(yè)、懲罰個人，將企業(yè)特別是大型企業(yè)因為犯罪受罰而產生的社會震蕩效果降到最低；二是通過合規(guī)企業(yè)出現違法犯罪時可以從寬處理的特殊規(guī)定，使公權力的影響提前介入企業(yè)內部的經濟管理，促使企業(yè)事先主動建立妥當有效的合規(guī)制度，自覺遵紀守法，從而達到在未然之中預防企業(yè)犯罪的效果。

在企業(yè)合規(guī)建設中，“做”比“說”重要。企業(yè)合規(guī)，不僅僅是建章立制，更重要的是要實際落實執(zhí)行。例如，快播案。2012年8月，深圳市公安局對快播公司進行檢查，給予行政警告處罰，并責令整改。隨后，深圳市公安局將違法關鍵詞和違法視頻網站鏈接發(fā)給快播公司，要求其采取措施過濾屏蔽?？觳ス居谑浅闪⒕W絡安全監(jiān)控小組，在一周內投入使用“110”不良信息管理平臺。但在深圳網監(jiān)驗收合格后，小組原有4名成員或離職或調到其他部門，“110”平臺工作基本擱置，檢查屏蔽工作未再有效進行。2013年，深圳市南山區(qū)廣播電視局執(zhí)法人員對快播公司開展調查，找到了可播放的淫穢視頻，并對快播公司進行了行政處罰。但快播公司隨后僅提交了一份整改報告，其“110”平臺工作依然擱置，檢查屏蔽工作依然沒有有效落實。

最終，法院認為：“快播公司明知快播網絡服務系統(tǒng)被用于傳播淫穢視頻，但出于擴大經營、非法牟利目的，拒不履行監(jiān)管和阻止義務，放任其網絡平臺大量傳播淫穢視頻，具有明顯的社會危害性和刑事違法性，應當依法追究刑事責任。”這段描述中，雖然沒有提及合規(guī)問題，但實際上表明，快播公司的內部治理或者內部管控是無效的。因此，判定快播公司有罪。

可見，企業(yè)合規(guī)能否成為企業(yè)自救的妥當手段，關鍵不在于企業(yè)是不是建立有合規(guī)制度，更重要的是，企業(yè)是不是以實際行動表明其愿意在業(yè)務活動中守法，并且約束其員工的經營活動。

因此，只有通過有效的執(zhí)行和有力的監(jiān)督才能取得實效。完整的制度建設包括制定制度、制度執(zhí)行和監(jiān)督落實，而且后者比前者更為關鍵。

孫國祥：合規(guī)計劃的核心是刑事合規(guī)

顧名思義，合規(guī)就是符合規(guī)范要求。在法律語境中，“規(guī)”就是指“成例、標準、法則”，即規(guī)范之意。德國著名刑法學者齊白（Sieber）教授認為：“合規(guī)計劃規(guī)定的是一種對——首先是法定的，有時又是倫理的或其他的——預訂目標的遵守程序。”

我國2018年7月1日生效的《合規(guī)管理體系指南》國家標準也指出：“合規(guī)意味著組織遵守了適用的法律法規(guī)及監(jiān)管規(guī)定，也遵守了相關標準、合同、有效治理原則或道德準則?！边@就是說，合規(guī)之規(guī)，包括國家相關法律規(guī)范，但不限于此，也包括基于行業(yè)特點，從本系統(tǒng)、本行業(yè)的特點出發(fā)，形成的相關管理制度（行業(yè)規(guī)范），還包括誠信守則的商業(yè)道德倫理規(guī)范（ethics）以及企業(yè)自愿設立的風險防范規(guī)范。合規(guī)，不僅是指企業(yè)活動應該符合上述標準，而且上述標準應該互相配合，協(xié)調一致，形成企業(yè)活動有規(guī)遵循的規(guī)則體系。

可見，這種廣義上的合規(guī)計劃之“規(guī)”，是通過國家與企業(yè)（私人）共同規(guī)范的方式形成的。然而，盡管廣義的合規(guī)計劃初衷涵括了企業(yè)倫理的弘揚，但實踐證明，“對于以追求營利為目的的企業(yè)而言，宣揚未必與利益掛鉤的至善行動是不現實的，最終不過是‘徒有虛名’”。

因此，合規(guī)計劃的核心是刑事合規(guī)。刑事合規(guī)，也就是指為避免因企業(yè)或企業(yè)員工相關行為給企業(yè)帶來的刑事責任，國家通過刑事政策上的正向激勵和責任歸咎，推動企業(yè)以刑事法律的標準來識別、評估和預防公司的刑事風險，制定并實施遵守刑事法律的計劃和措施。

李玉華：數據合規(guī)成為企業(yè)社會責任的新內涵

企業(yè)開展數據合規(guī)建設具有迫切的需求。企業(yè)的社會屬性要求其承擔一定的社會責任，而企業(yè)社會責任理論不斷發(fā)展，企業(yè)的社會責任內涵也不斷更新，當今數據合規(guī)成為企業(yè)社會責任的新內容。

黨的十八大以來，社會治理成為熱點話題，社會多元主體在社會治理中協(xié)同發(fā)揮作用。企業(yè)所具有的社會屬性決定了其必然屬于“社會治理共同體”中的一員，因此，企業(yè)內部管理與經營效果在一定程度上就會對社會治理的效果產生影響。

數據合規(guī)成為企業(yè)社會責任的新內涵。具體言之，就當前數據貿易活動日益繁榮，數據為企業(yè)發(fā)展帶來新的機遇，但是企業(yè)利用數據的逐利行為引發(fā)了一些數據保護與安全問題。一方面，個人數據的商業(yè)價值不斷激增，企業(yè)追求最大化的利潤，卻忽視個人數據的保護與安全存儲問題，誘發(fā)了不少以不法手段收集個人數據的事件，個人數據被泄露與濫用的現象日益嚴峻。同時，個人在互聯網留下的信息痕跡在不同程度上反映了個人的偏好與思想，具有一定的人格屬性。企業(yè)為了實現精準營銷，整合大量個人數據刻畫用戶畫像，有可能會侵犯個人的隱私等人格權益。另一方面，在數字驅動型經濟時代，全球化的經濟貿易活動促使數據全球化流動更加趨向常態(tài)化。企業(yè)利用便捷的信息技術跨境傳輸數據創(chuàng)造利潤，但也為數據保護和國家安全問題帶來新的難題與挑戰(zhàn)。

需要注意的是，目前，個人數據保護與數據跨境流動的規(guī)范問題是許多國家重點關注的問題，大數據企業(yè)不能僅關注自身利益，無視在利用數據追求利潤的過程中對外部產生的損害，否則將有損營商環(huán)境，不利于企業(yè)提升市場競爭力與實現持續(xù)發(fā)展的目標。還會激化數據保護與安全的社會問題。

實現數據保護與數據安全需要企業(yè)的力量，企業(yè)在獲取數據紅利的同時應當將數據合規(guī)作為承擔社會責任的重要內容，提升數據合規(guī)意識，切實將數據合規(guī)貫穿于業(yè)務活動的各個環(huán)節(jié)。將企業(yè)數據合規(guī)作為企業(yè)社會責任的新內涵，是當今新形勢下的應有之義，可以同步實現企業(yè)良好發(fā)展與有關數據保護方面的社會問題。

黃永：刑事合規(guī)的合理性及其框架

企業(yè)合規(guī)要重點把握理論合理性和制度框架兩個維度，合規(guī)的合理性和制度構建雖然看似是兩個層面的概念，但實際上二者有交叉的部分。一是合規(guī)的合理性。無論是刑事合規(guī)還是行政合規(guī)，都需要放置在企業(yè)營商環(huán)境的大背景下思考合規(guī)的合理性。比如，合規(guī)是企業(yè)自主性行為還是法律外部性行為。中美在對合規(guī)的基礎性認知上存在較大差異，美國企業(yè)通常對合規(guī)感到較大的外界壓力，而我國企業(yè)則傾向于積極爭取合規(guī)。因此，有必要對這種現實差異現象的背后動因和理性基礎進一步深入研究。還比如，我國當前的企業(yè)合規(guī)采取的是合規(guī)激勵機制，合規(guī)激勵機制是否有合理性。在罪責刑相適應原則下，企業(yè)合規(guī)的同時是否應當追究責任人的刑事責任；在權利、責任和利益相適應要求下，企業(yè)合規(guī)的同時是否應當承擔例如行政罰款等其他責任。二是合規(guī)的制度框架。企業(yè)合規(guī)可以分為企業(yè)自主合規(guī)、行政合規(guī)和刑事合規(guī)三個層次。目前我國由檢察機關、行政機關和第三方監(jiān)管機構進行合規(guī)監(jiān)管，關鍵在于如何保障合規(guī)監(jiān)管期結束后企業(yè)的良性經營，可能會涉及企業(yè)從行政合規(guī)、刑事合規(guī)到企業(yè)自主合規(guī)的調整問題。

于沖：引入企業(yè)刑事合規(guī)制度，可有效預防數據安全犯罪

隨著侵犯公民個人信息犯罪的迭代異化，司法解釋不斷豐富侵犯公民個人信息罪的行為類型和個人信息外延，但面臨個人信息犯罪嚴峻的異化態(tài)勢，受侵害的數據質量、數據規(guī)模、危害性后果不斷攀升，數據的處理、共享、交易、流通使得數據的“動態(tài)安全”逐漸成為數據安全問題的常態(tài)。以刑事制裁為主的單向度的國家監(jiān)管顯然存在較大的局限性，規(guī)制手段的單一化使其規(guī)制效果難彰。因此，需要其他手段的功能補給。

刑事合規(guī)制度作為一種能夠容納企業(yè)與國家共治的犯罪治理模式，通過促進網絡服務商數據安全保障工作的內控化、制度化開展，增強網絡服務商對于數據安全的責任意識，通過網絡服務商的事前的主動介入，增強數據安全犯罪的積極防控，實現侵害數據安全犯罪的積極的一般性預防。

數據安全犯罪危害性大，不僅是對于數據安全本身的侵害，而且在當前數據安全犯罪產業(yè)化、鏈條化的背景下，數據安全犯罪正逐漸成為其他犯罪的上游犯罪、伴隨犯罪，為詐騙罪、敲詐勒索罪甚至綁架罪等其他犯罪提供預備階段的犯罪助力；加之互聯網的倍增效應、放射效應，更加劇了數據安全犯罪的社會危害性。

傳統(tǒng)刑法在應對數據安全犯罪上，受制于刑法的最后性和謙抑性，只能在犯罪發(fā)生以后對相關行為進行評價，這種事后性評價對于數據安全的保護有其自身的局限性。因此，要抑制數據安全犯罪的產生，就必須適時地改變偏重事后懲罰的傳統(tǒng)的消極犯罪預防理念，將其置于網絡社會和數據安全的大背景下予以重新審視，基于積極預防的理念提出新的犯罪預防措施。

總之，刑事合規(guī)的引入，為企業(yè)提供了主動自律的機會和根據，引導企業(yè)在主動制定合規(guī)計劃、實施合規(guī)活動、調整合規(guī)機制的過程中，逐漸將數據安全保障和數據犯罪預防意識融入日常的經營管理活動中。