張 勇，馮明昱

（1.華東政法大學(xué) 刑事法學(xué)院，上海 201620；2.南京師范大學(xué) 法學(xué)院，江蘇 南京 210023）

互聯(lián)網(wǎng)時(shí)代，信息數(shù)據(jù)技術(shù)帶來經(jīng)濟(jì)快速發(fā)展和制度變革，也蘊(yùn)含著日益增大的安全風(fēng)險(xiǎn)。企業(yè)組織和個(gè)人在數(shù)據(jù)處理活動(dòng)過程中，面臨著可能觸犯數(shù)據(jù)刑事法律和自身權(quán)益受到侵犯的刑事風(fēng)險(xiǎn)。相較于傳統(tǒng)的社會(huì)風(fēng)險(xiǎn)，數(shù)據(jù)安全風(fēng)險(xiǎn)更需要法律的積極應(yīng)對。對于從事數(shù)據(jù)收集和利用活動(dòng)的企業(yè)來說，制定和實(shí)施數(shù)據(jù)合規(guī)計(jì)劃是保障數(shù)據(jù)安全的有效措施，將數(shù)據(jù)合規(guī)治理作為企業(yè)社會(huì)責(zé)任的新內(nèi)涵，對于防范整個(gè)社會(huì)的數(shù)據(jù)安全風(fēng)險(xiǎn)具有“治本”的功能[1]。作為規(guī)?；纳鐣?huì)經(jīng)濟(jì)組織體，企業(yè)不應(yīng)只考慮主體利益，亦應(yīng)當(dāng)承擔(dān)相應(yīng)的社會(huì)責(zé)任。本文從責(zé)任倫理的理論視角，對數(shù)據(jù)安全企業(yè)合規(guī)的正當(dāng)根據(jù)、責(zé)任倫理規(guī)范及倫理責(zé)任效應(yīng)問題加以探討。

一、責(zé)任倫理與數(shù)據(jù)安全企業(yè)合規(guī)理念

首先，責(zé)任倫理學(xué)說是在風(fēng)險(xiǎn)社會(huì)背景下應(yīng)運(yùn)而生的。責(zé)任是一個(gè)法律概念，用來判定某個(gè)主體違背法律義務(wù)的行為所應(yīng)承受的不良后果。同時(shí)，責(zé)任也是一個(gè)倫理概念，其超越了法律所強(qiáng)設(shè)的義務(wù)范圍，構(gòu)成了人們認(rèn)識(shí)道德義務(wù)的基礎(chǔ)。倫理是人與人之間符合某種道德標(biāo)準(zhǔn)的行為準(zhǔn)則。傳統(tǒng)倫理學(xué)以“自我”為中心，人類是自然的支配者，以主體性的道德感受和道德要求“推己及人”[2]。對比“他者”和“自我”這兩類主體，不論是地位層級(jí)還是價(jià)值蘊(yùn)含，“他者”似乎都處于弱勢地位。囿于當(dāng)時(shí)的人類理性限度，傳統(tǒng)倫理學(xué)僅將當(dāng)下已經(jīng)發(fā)生的實(shí)踐活動(dòng)作為考量的對象，未來可能出現(xiàn)的風(fēng)險(xiǎn)問題不在其考量范圍內(nèi)，在應(yīng)對社會(huì)風(fēng)險(xiǎn)問題上存在不足?！柏?zé)任倫理”是在風(fēng)險(xiǎn)社會(huì)背景下提出的現(xiàn)代倫理學(xué)說，針對傳統(tǒng)倫理學(xué)存在的問題，責(zé)任倫理學(xué)的主倡者漢斯·尤納斯提出了一種“遠(yuǎn)距離的倫理”（Ethik der Ferne），將關(guān)注點(diǎn)放置在不同時(shí)空下人類之間的倫理關(guān)系。在他看來，人類不應(yīng)當(dāng)再將精神層面的道德困境作為優(yōu)先考量要素，如何控制技術(shù)中心主義所帶來的各類風(fēng)險(xiǎn)才是目前人類應(yīng)當(dāng)承擔(dān)的主要責(zé)任。概括來說，責(zé)任倫理學(xué)說的核心思想是面向未來、著眼整體、應(yīng)對風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)社會(huì)背景下，人類行為的性質(zhì)發(fā)生了較大扭轉(zhuǎn)，具有集體性、結(jié)果不可期性、后果不可逆轉(zhuǎn)性，行為主體的集體化是風(fēng)險(xiǎn)社會(huì)的最大特征。集體行為往往比個(gè)體行為具有更大的危險(xiǎn)性，行為時(shí)應(yīng)更加審慎。

其次，責(zé)任倫理對于企業(yè)合規(guī)具有整體觀念上的指導(dǎo)意義。根據(jù)責(zé)任倫理理論，作為市場經(jīng)濟(jì)主體的企業(yè)，應(yīng)當(dāng)主動(dòng)建立起預(yù)防性、前瞻性責(zé)任意識(shí)，充分考量尚未發(fā)生的行為活動(dòng)的目的、手段以及結(jié)果，確定無害后方可正常進(jìn)行營利活動(dòng)。這種責(zé)任意識(shí)與企業(yè)合規(guī)的預(yù)防風(fēng)險(xiǎn)價(jià)值目標(biāo)旨趣相同。所謂“合規(guī)”概指企業(yè)通過內(nèi)部合規(guī)計(jì)劃對法律法規(guī)、行業(yè)規(guī)范、內(nèi)部規(guī)章及國際條約的遵守。廣義上企業(yè)合規(guī)主體與對象不限于企業(yè)單位及內(nèi)部員工，還包括政府部門、司法機(jī)關(guān)及其他社會(huì)組織，企業(yè)所具有的社會(huì)屬性決定了其屬于社會(huì)治理共同體中的一員；狹義上的企業(yè)合規(guī)則僅指企業(yè)預(yù)防犯罪、改善處遇的內(nèi)部治理方案，指企業(yè)與員工的業(yè)務(wù)及管理符合有關(guān)法律法規(guī)、行業(yè)規(guī)則、道德規(guī)范等要求。在企業(yè)合規(guī)治理中，應(yīng)當(dāng)確立責(zé)任倫理觀念，為其合理性、科學(xué)性提供支撐與指導(dǎo)，發(fā)揮預(yù)防和控制風(fēng)險(xiǎn)的積極作用。然而，作為市場主體，企業(yè)以追逐利益為目的，而企業(yè)合規(guī)意味著高成本投入，要求企業(yè)完全按照所有法律法規(guī)和行業(yè)規(guī)范的規(guī)定作出合規(guī)承諾、履行合規(guī)義務(wù)是不大現(xiàn)實(shí)的，大多數(shù)企業(yè)都不會(huì)重視和承擔(dān)這種社會(huì)倫理責(zé)任。要想使具有“經(jīng)濟(jì)人”性質(zhì)的企業(yè)在營利活動(dòng)過程中不僅實(shí)現(xiàn)自利，同時(shí)實(shí)現(xiàn)社會(huì)其他主體乃至社會(huì)整體之福祉，依靠道德層面的“自覺”的同時(shí)還需要“看得見的手”（即法律規(guī)范）的引導(dǎo)。國家應(yīng)當(dāng)充分考慮企業(yè)的“經(jīng)濟(jì)人”本質(zhì)，設(shè)計(jì)相關(guān)企業(yè)合規(guī)的制度政策。政府和公眾對企業(yè)合規(guī)施加的法律和道德壓力與企業(yè)履行社會(huì)責(zé)任的積極態(tài)度之間成正比關(guān)系。

再次，責(zé)任倫理能夠?yàn)閿?shù)據(jù)安全企業(yè)合規(guī)提供理論指導(dǎo)。在數(shù)據(jù)安全領(lǐng)域，企業(yè)作為人類社會(huì)的重要組織體，企業(yè)合規(guī)對于防范整個(gè)社會(huì)的數(shù)據(jù)安全風(fēng)險(xiǎn)具有“治本”功能，是企業(yè)社會(huì)責(zé)任的新內(nèi)涵。所謂“數(shù)據(jù)安全企業(yè)合規(guī)”，即為保障數(shù)據(jù)安全，企業(yè)單位、政府部門、司法機(jī)關(guān)等所進(jìn)行的企業(yè)內(nèi)外部合規(guī)治理活動(dòng)。從國外立法來看，根據(jù)歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）的規(guī)定，如果數(shù)據(jù)處理是為了保護(hù)其他人的核心利益、維護(hù)公共利益、保障公共職權(quán)執(zhí)行且具有必要性，則該企業(yè)的數(shù)據(jù)處理行為應(yīng)當(dāng)視為合法。2022 年5 月，歐盟理事會(huì)通過的《數(shù)據(jù)治理法》第四章規(guī)定了“促進(jìn)數(shù)據(jù)利他主義”的內(nèi)容；7 月，歐洲議會(huì)又通過了《數(shù)字服務(wù)法》（DSA）和《數(shù)字市場法》（DMA）兩部數(shù)據(jù)監(jiān)管新規(guī)。我國也先后頒布實(shí)施了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，對網(wǎng)絡(luò)和信息數(shù)據(jù)安全予以強(qiáng)化保護(hù)，也為企業(yè)數(shù)據(jù)合規(guī)提供了規(guī)范指引。數(shù)據(jù)安全企業(yè)合規(guī)的重心就在于明確企業(yè)數(shù)據(jù)安全管理義務(wù)的范圍和界限。企業(yè)通過數(shù)據(jù)安全合規(guī)計(jì)劃的制訂，將行政法、刑事法層面的法律義務(wù)轉(zhuǎn)化為企業(yè)及員工的行為規(guī)范和內(nèi)部規(guī)則。企業(yè)在制訂數(shù)據(jù)安全合規(guī)計(jì)劃及相應(yīng)規(guī)范時(shí)，必然要考慮責(zé)任倫理中強(qiáng)調(diào)的人類對于“未來”“整體”及“風(fēng)險(xiǎn)”的責(zé)任。面對技術(shù)的不確定性或風(fēng)險(xiǎn)性，應(yīng)秉承技術(shù)為善、向善等方面的倫理旨趣，不能任數(shù)據(jù)進(jìn)行無倫理與法律底線的“賦能”[3]。企業(yè)不僅要考慮數(shù)據(jù)安全個(gè)體權(quán)益保護(hù)，也應(yīng)當(dāng)注重維護(hù)整個(gè)社會(huì)中“抽象”主體的數(shù)據(jù)安全利益。

二、責(zé)任倫理與企業(yè)合規(guī)刑事歸責(zé)根據(jù)

在我國刑法中，企業(yè)合規(guī)并未被明確規(guī)定為阻卻違法或責(zé)任事由。從事數(shù)據(jù)處理活動(dòng)的企業(yè)，即使制訂或?qū)嵤┝藬?shù)據(jù)合規(guī)計(jì)劃，但若其不履行上述法律法規(guī)規(guī)定的數(shù)據(jù)安全保障義務(wù)，也可能面臨構(gòu)成犯罪的刑事法律風(fēng)險(xiǎn)。從實(shí)踐來看，相關(guān)罪名主要包括拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、侵犯公民個(gè)人信息罪、侵犯計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪等。這些罪名可統(tǒng)稱為數(shù)據(jù)犯罪。數(shù)據(jù)犯罪具有典型的法定犯或行政犯的特征，相關(guān)罪名的罪狀涉及行政性前置法，犯罪構(gòu)成要件具有開放性；而前置性行政法律法規(guī)對于司法機(jī)關(guān)認(rèn)定企業(yè)數(shù)據(jù)犯罪、數(shù)據(jù)企業(yè)制訂和實(shí)施數(shù)據(jù)安全合規(guī)計(jì)劃來說，都具有重要的規(guī)范指導(dǎo)作用。以下從責(zé)任倫理視角出發(fā)，在肯定企業(yè)單位刑事歸責(zé)的主體地位的基礎(chǔ)上，探求企業(yè)合規(guī)刑事歸責(zé)根據(jù)及刑責(zé)減免效應(yīng)。

（一）企業(yè)單位犯罪刑事歸責(zé)之二元論

企業(yè)單位犯罪的刑事責(zé)任，即刑法確定企業(yè)單位犯罪的單位與單位成員之間的承擔(dān)刑事責(zé)任的歸責(zé)制度。關(guān)于單位的刑事責(zé)任根據(jù)，國外存有學(xué)說分歧：“一元論”認(rèn)為，單位犯罪中只有單位可以作為犯罪主體，即強(qiáng)調(diào)單位的整體責(zé)任。如國外的替代責(zé)任論者主張，追究單位犯罪的刑事責(zé)任并非承認(rèn)單位本身可以成為犯罪主體，而是作為其“仆從”的內(nèi)部成員實(shí)施了犯罪行為?！岸摗睂ζ渑u指出，單位作為“雇主”無犯罪行為，卻要因?yàn)槠涑蓡T的犯罪行為承擔(dān)責(zé)任，存在結(jié)果主義與客觀歸罪的嫌疑[4]。有學(xué)者指出，我國刑法中的單位犯罪制度缺少對單位獨(dú)立人格的規(guī)范評價(jià)，實(shí)體上過于強(qiáng)調(diào)單位與自然人在犯罪機(jī)理上的等價(jià)性，使得單位需要具有同自然人一樣的主客觀要素才可構(gòu)成犯罪[5]?！岸摗敝鲝?，單位犯罪中存在兩個(gè)犯罪主體，單位中自然人既是犯罪主體又是刑罰主體。有學(xué)者指出，《刑法》第三十一條對單位犯罪處罰原則的規(guī)定“隱含了單位犯罪案件中的責(zé)任認(rèn)定與處理邏輯，即出現(xiàn)危害結(jié)果之后，首先認(rèn)定單位責(zé)任，處罰單位，然后處罰個(gè)人”[6]。單位犯罪歸責(zé)只能遵循“由單位到人”的邏輯路徑，單位責(zé)任是單位自身實(shí)施了犯罪行為后所需承擔(dān)的刑事責(zé)任。單位是獨(dú)立的犯罪主體，因此單位犯罪并非單位內(nèi)部成員犯罪行為之集合，也非全部成員共同實(shí)施的犯罪。從單位與其成員的刑事責(zé)任關(guān)系來看，“一元論”與“二元論”的分歧即在于，究竟是根據(jù)以自然人行為為中介還是以單位自身特征來認(rèn)定單位犯罪刑事責(zé)任?！耙辉摗币詥挝恢凶匀蝗诵袨闉楹诵模ㄟ^單位與單位成員之間的聯(lián)系來說明承擔(dān)刑事責(zé)任的根據(jù)，單位成員承擔(dān)刑事責(zé)任是因其作為自然人的行為構(gòu)成了犯罪，與是否處罰單位沒有關(guān)系[7]。“二元論”則是將單位自身或法人的行為作為單位犯罪刑事歸責(zé)的根據(jù)，實(shí)質(zhì)上是以單位自身的特征為基礎(chǔ)尋求法人刑事責(zé)任的本質(zhì)。自然人罪責(zé)的產(chǎn)生，必須以單位行為獨(dú)立成罪為前提[8]。

隨著現(xiàn)代企業(yè)的規(guī)?；?、復(fù)雜化，企業(yè)單位刑事責(zé)任的獨(dú)立性地位逐步受到重視，“二元論”逐漸占據(jù)優(yōu)勢地位。有的學(xué)者主張“企業(yè)組織體責(zé)任論”，承認(rèn)法人的犯罪能力，強(qiáng)調(diào)法人是超越個(gè)人的存在，在事實(shí)上與法律上都是以法人機(jī)關(guān)形成意思與進(jìn)行活動(dòng)的。同時(shí)，強(qiáng)調(diào)應(yīng)當(dāng)擺脫以個(gè)人犯罪為前提的限制，以企業(yè)內(nèi)部的經(jīng)營文化、經(jīng)營管理規(guī)范及其缺陷為根據(jù)進(jìn)行刑事責(zé)任的認(rèn)定[6]。本文對“二元論”持肯定態(tài)度。該學(xué)說重視獨(dú)立于自然人之外的法人本質(zhì)特征，為規(guī)模大且具有完善章程的組織體賦予了新內(nèi)涵的社會(huì)責(zé)任，是值得肯定的。疑問在于，應(yīng)當(dāng)如何定義“組織體”？換言之，在承認(rèn)自然人在集體中的聯(lián)結(jié)作用的基礎(chǔ)上，誰能夠作為單位的代表？有學(xué)者認(rèn)為，只有領(lǐng)導(dǎo)集體能夠代表單位，理由在于《公司法》第一百四十七條規(guī)定了董事、監(jiān)事、高級(jí)管理人員的忠實(shí)義務(wù)與勤勉義務(wù)，這兩種義務(wù)可以具化為領(lǐng)導(dǎo)層對公司業(yè)務(wù)的注意與監(jiān)督義務(wù)。刑法中單位犯罪條款的設(shè)立，實(shí)質(zhì)上是在刑事法層面再次確認(rèn)了公司法中領(lǐng)導(dǎo)集體的義務(wù)，即領(lǐng)導(dǎo)集體具有監(jiān)督管理義務(wù)。對于單位所作決策具有決定性作用的領(lǐng)導(dǎo)集體應(yīng)當(dāng)被定義為單位整體[4]。作為組織體，企業(yè)的主觀意志內(nèi)容有以下表現(xiàn)形式：一是單位的抽象意志，主要通過發(fā)布的章程、規(guī)范、行為守則、獎(jiǎng)懲標(biāo)準(zhǔn)等規(guī)范性文件體現(xiàn)；二是單位的具體意志，主要通過對內(nèi)部員工的職務(wù)行為進(jìn)行懲戒、教育、獎(jiǎng)勵(lì)等具體行為展現(xiàn)。因此，企業(yè)是否應(yīng)當(dāng)承擔(dān)刑事責(zé)任，應(yīng)當(dāng)以其具體行為和抽象行為為根據(jù)，先行判斷單位是否具有犯罪的主觀罪過[9]。

（二）企業(yè)合規(guī)刑事歸責(zé)的責(zé)任倫理評價(jià)

首先，單位犯罪刑事歸責(zé)蘊(yùn)含著責(zé)任倫理道德因素。從責(zé)任倫理學(xué)角度看，某種行為之所以構(gòu)成犯罪并接受刑法處罰，根本原因在于此類行為不僅是對他人法益的侵害，更是威脅到了主體存在的前提或基礎(chǔ)。責(zé)任倫理強(qiáng)調(diào)“他者”地位高于“自我”，認(rèn)為主體在實(shí)現(xiàn)個(gè)體利益的同時(shí)也擔(dān)負(fù)著關(guān)心“他者之存在”的責(zé)任。犯罪就是犯罪人在極度“自我”意識(shí)的支配下，忽略了對“他者之存在”的責(zé)任承擔(dān)，進(jìn)而破壞了“他者”乃至社會(huì)整體的利益。與傳統(tǒng)倫理觀念不同，責(zé)任倫理認(rèn)為，犯罪人之所以被譴責(zé)是因?yàn)槠溥^于膨脹的自我欲望以及“為他”意識(shí)的匱乏[2]。刑法所設(shè)定的是人與人之間、人與社會(huì)間的行為準(zhǔn)則，彰顯并實(shí)現(xiàn)了當(dāng)下社會(huì)價(jià)值觀的“善”。應(yīng)當(dāng)說，在善惡層面，刑法與倫理是相通的，刑法在通過具體規(guī)定懲治“惡”的同時(shí)，也在引導(dǎo)社會(huì)民眾向往、信仰“善”。前述數(shù)據(jù)犯罪所涉罪名均屬于典型法定犯，社會(huì)倫理規(guī)范是其歸責(zé)基礎(chǔ)。針對此類犯罪的刑罰規(guī)定與處罰，正是意圖通過法律形式強(qiáng)制人們遵守作為其基礎(chǔ)的社會(huì)倫理規(guī)范。另外，單位犯罪與個(gè)人犯罪在歸責(zé)根據(jù)和評價(jià)標(biāo)準(zhǔn)上亦有所不同，后者側(cè)重自然法層面利己主義的倫理道德規(guī)范，具有一般人共識(shí)性的評價(jià)標(biāo)準(zhǔn)；而前者是利他主義的責(zé)任倫理規(guī)范，通過企業(yè)自身的合規(guī)計(jì)劃、行業(yè)規(guī)范、行政法和刑法規(guī)范義務(wù)內(nèi)容加以體現(xiàn)。因此，在企業(yè)數(shù)據(jù)犯罪的歸責(zé)中，同樣需要考察其是否違反了社會(huì)倫理規(guī)范要求，并以此作為判定其是否具有刑事可責(zé)性和需罰性的依據(jù)。

其次，企業(yè)合規(guī)對單位刑事歸責(zé)具有責(zé)任倫理效應(yīng)。在企業(yè)合規(guī)視域下，合規(guī)計(jì)劃蘊(yùn)含著本單位自上而下的組織管理模式和監(jiān)督管理機(jī)制。認(rèn)定企業(yè)的單位刑事責(zé)任是對企業(yè)具有獨(dú)特犯罪主體地位的肯定，強(qiáng)調(diào)企業(yè)作為組織體所具有的社會(huì)責(zé)任，并主張企業(yè)合規(guī)計(jì)劃的有效性是判斷企業(yè)是否承擔(dān)刑事責(zé)任的基礎(chǔ)。企業(yè)刑事合規(guī)制度作為典型的刑事政策，其直接目的在于推動(dòng)企業(yè)建立完善、有效的犯罪預(yù)防計(jì)劃，避免企業(yè)等組織體為盈利而實(shí)施蘊(yùn)含嚴(yán)重刑事風(fēng)險(xiǎn)的不法行為[5]。因此，可以將企業(yè)合規(guī)計(jì)劃的有效制訂與實(shí)施作為阻卻單位犯罪成立的理由。合規(guī)計(jì)劃本身就代表著對法律義務(wù)的遵從，認(rèn)定企業(yè)單位的刑事責(zé)任，則應(yīng)當(dāng)充分考量其是否遵守并且實(shí)際履行了法律義務(wù)。就自然人以單位名義實(shí)施的犯罪行為而言，刑事責(zé)任應(yīng)當(dāng)歸屬于企業(yè)還是自然人本身，應(yīng)當(dāng)以該行為造成的危害后果的歸屬為基礎(chǔ)進(jìn)行判斷。當(dāng)造成危害后果應(yīng)歸責(zé)于企業(yè)的內(nèi)部治理機(jī)構(gòu)、運(yùn)營方式或內(nèi)部制度時(shí)，應(yīng)當(dāng)歸責(zé)于企業(yè)，按單位犯罪處理；反之，則應(yīng)當(dāng)僅追究自然人的刑事責(zé)任[10]。這表明單位與自然人刑事歸責(zé)理念上存在差異性，即單位在規(guī)范意義上具有獨(dú)立人格[5]。在企業(yè)合規(guī)背景下，判斷企業(yè)單位是否應(yīng)當(dāng)因其內(nèi)部成員的犯罪行為承擔(dān)刑事責(zé)任，重要判斷因素是企業(yè)合規(guī)計(jì)劃的制訂與實(shí)施。如果企業(yè)合規(guī)計(jì)劃未能得到有效執(zhí)行，與企業(yè)內(nèi)部成員所實(shí)施的犯罪行為存在刑法因果關(guān)系，應(yīng)當(dāng)認(rèn)定為單位犯罪并追究刑事責(zé)任。

在數(shù)據(jù)安全合規(guī)領(lǐng)域，企業(yè)合規(guī)計(jì)劃相當(dāng)于其自身制訂了一份旨在預(yù)防數(shù)據(jù)犯罪的“負(fù)面清單”，通過實(shí)體法層面的定罪量刑、程序法層面的激勵(lì)機(jī)制，促進(jìn)企業(yè)實(shí)施數(shù)據(jù)安全合規(guī)計(jì)劃，以避免或降低自身犯罪或遭受侵害的刑事風(fēng)險(xiǎn)。數(shù)據(jù)安全風(fēng)險(xiǎn)具有相當(dāng)?shù)牟淮_定性、隱匿性以及嚴(yán)重危害性。如果按照傳統(tǒng)罪責(zé)刑法模式，以事后法的形式對數(shù)據(jù)犯罪行為加以規(guī)制，就難以充分發(fā)揮治理效果，因而需要從預(yù)防犯罪角度，結(jié)合其他社會(huì)治理手段共同發(fā)揮風(fēng)險(xiǎn)控制機(jī)能[11]。以防范數(shù)據(jù)安全風(fēng)險(xiǎn)為目的、以責(zé)任倫理為理念的企業(yè)合規(guī)，能夠彌補(bǔ)刑法的滯后性不足，在數(shù)據(jù)犯罪預(yù)防方面實(shí)現(xiàn)與國家和社會(huì)的共同治理。企業(yè)積極實(shí)施合規(guī)計(jì)劃，履行數(shù)據(jù)安全保護(hù)的法律義務(wù)，可獲得從輕、減輕甚至免除刑事處罰的量刑激勵(lì)；相反，如果違反了刑事合規(guī)的義務(wù)要求，侵犯了他人數(shù)據(jù)權(quán)益，甚至危及數(shù)據(jù)安全，所帶來的是比違反行政合規(guī)更為嚴(yán)厲的刑事處罰。這既是我國寬嚴(yán)相濟(jì)刑事政策的體現(xiàn)，也是數(shù)據(jù)安全企業(yè)合規(guī)的倫理責(zé)任效應(yīng)。

（三）責(zé)任倫理與企業(yè)合規(guī)刑事責(zé)任減免

在國外，一般都將企業(yè)刑事合規(guī)作為量刑減免的影響因素，而非出罪事由。英國《賄賂罪法案》中第7 條將合規(guī)作為辯護(hù)事由規(guī)定，可以借此為被告人出罪。《美國量刑指南》也規(guī)定，企業(yè)合規(guī)計(jì)劃可以作為減輕刑事處罰的辯護(hù)事由。同時(shí)，該指南還為刑事合規(guī)計(jì)劃有效性的判斷規(guī)定了較為明確的標(biāo)準(zhǔn)。在國內(nèi)，有的學(xué)者主張刑事合規(guī)可成為犯罪的違法阻卻事由[12]。有的學(xué)者則主張，刑事合規(guī)建構(gòu)的歸責(zé)意義只限于歸責(zé)范圍上的討論，即可以將企業(yè)合規(guī)作為排除單位主觀罪過的理由，并對企業(yè)單位予以無罪或減免處罰，但并不能因此而免除單位內(nèi)實(shí)施犯罪的自然人的刑事責(zé)任[13]。筆者贊同后一種觀點(diǎn)。企業(yè)合規(guī)計(jì)劃彰顯了單位主觀意志上對社會(huì)責(zé)任的承擔(dān)，但社會(huì)責(zé)任并不等同于刑事責(zé)任，從責(zé)任倫理角度不能推導(dǎo)出企業(yè)必須制訂、實(shí)施以刑法義務(wù)為內(nèi)容的合規(guī)計(jì)劃，也不能因企業(yè)制訂和實(shí)施了刑事合規(guī)計(jì)劃而獲得出罪事由，充其量只能作為一種從寬量刑情節(jié)。對于企業(yè)刑事合規(guī)，無論是主張阻卻違法或是阻卻責(zé)任，都應(yīng)當(dāng)從責(zé)任倫理觀念出發(fā)，運(yùn)用刑法教義理論予以論證，從中獲得涉罪企業(yè)刑事責(zé)任減免的根據(jù)。

在現(xiàn)代刑法學(xué)中，責(zé)任與預(yù)防并非處于完全對立的狀態(tài)。責(zé)任原則的貫徹不僅僅是實(shí)現(xiàn)人權(quán)保障的要求，一定意義上也是實(shí)現(xiàn)預(yù)防犯罪的堅(jiān)實(shí)基礎(chǔ)[14]。德國刑法學(xué)者羅克辛從應(yīng)對風(fēng)險(xiǎn)和預(yù)防犯罪的立場出發(fā)，將歸責(zé)看作一種對構(gòu)成要件進(jìn)行實(shí)質(zhì)解釋的理論。歸責(zé)的概念既包括主觀歸責(zé)，也包括客觀歸責(zé)。羅克辛用客觀歸責(zé)理論實(shí)質(zhì)解釋客觀構(gòu)成要件，以風(fēng)險(xiǎn)實(shí)現(xiàn)作為客觀歸責(zé)的核心；用主觀歸責(zé)理論實(shí)質(zhì)解釋主觀構(gòu)成要件中的“故意”，其中行為計(jì)劃是否實(shí)現(xiàn)是主觀歸責(zé)的標(biāo)準(zhǔn)[15]。在德國刑法學(xué)界，企業(yè)合規(guī)負(fù)責(zé)人被賦予不作為犯罪領(lǐng)域中因?qū)ξｋU(xiǎn)源支配而形成的“保證人”角色[16]。企業(yè)單位負(fù)責(zé)人對單位犯罪的刑事風(fēng)險(xiǎn)和內(nèi)部員工行為的合法性承擔(dān)保護(hù)義務(wù)與法律責(zé)任。日本刑法亦有類似規(guī)定，基于以“結(jié)果避免義務(wù)”為核心的新過失論，認(rèn)為企業(yè)單位主體對員工的監(jiān)督義務(wù)可以被評價(jià)為監(jiān)督過失犯罪中的客觀注意義務(wù)。實(shí)際上，數(shù)據(jù)安全刑事合規(guī)就是將刑法中的注意義務(wù)轉(zhuǎn)化為企業(yè)內(nèi)部治理的“合規(guī)義務(wù)”[17]，同時(shí)將企業(yè)是否積極履行“合規(guī)義務(wù)”作為刑事歸責(zé)的根據(jù)。在企業(yè)內(nèi)部成員涉嫌犯罪時(shí)，倘若企業(yè)設(shè)置并實(shí)施了有效的合規(guī)計(jì)劃，可以此為抗辯事由，提出公司本身已盡到合理注意義務(wù)。雖然企業(yè)合規(guī)可以成為刑事免責(zé)事由并導(dǎo)致不起訴或暫緩起訴的法律效果，但一般情況下并不具有免除全部刑事責(zé)任的效果。在自然人以單位名義實(shí)施犯罪的情況下，單位可以已經(jīng)實(shí)施完備的、規(guī)范的刑事合規(guī)計(jì)劃為由，主張不存在故意和過失，進(jìn)而主張無罪或減免處罰，但并不能因此而免除單位下實(shí)施犯罪的自然人的刑事責(zé)任。在單位過失犯罪的場合，事前合規(guī)不能直接否定單位的監(jiān)督過失責(zé)任；單位是否負(fù)監(jiān)督過失刑事責(zé)任，不僅要看單位有無合規(guī)計(jì)劃，更要看單位是否盡到了相關(guān)注意義務(wù)、主觀上是否存在過失[18]。但在注意義務(wù)缺失、排除主觀罪過或情節(jié)顯著輕微的情況下，合規(guī)計(jì)劃也可能發(fā)揮責(zé)任阻卻的作用。如果企業(yè)所實(shí)施犯罪的社會(huì)危害程度較為輕微，又實(shí)施了有效的刑事合規(guī)計(jì)劃，符合《刑法》第十三條“但書”規(guī)定的，應(yīng)當(dāng)以情節(jié)顯著輕微排除其刑事違法性，以無罪論處。

三、數(shù)據(jù)安全刑事合規(guī)的責(zé)任倫理規(guī)范

從事數(shù)據(jù)活動(dòng)的企業(yè)制訂和實(shí)施合規(guī)計(jì)劃，建構(gòu)數(shù)據(jù)安全合規(guī)管理體系，是對社會(huì)賦予的企業(yè)道德倫理的充分回應(yīng)。落實(shí)企業(yè)保障數(shù)據(jù)安全的倫理責(zé)任，必須以相應(yīng)的制度規(guī)范作為基礎(chǔ)，將責(zé)任倫理觀念融入企業(yè)合規(guī)的制度建設(shè)之中，明晰企業(yè)數(shù)據(jù)安全管理義務(wù)的范圍和界限，將法律賦予企業(yè)的數(shù)據(jù)安全保護(hù)義務(wù)與倫理責(zé)任在合規(guī)計(jì)劃中予以明確，實(shí)現(xiàn)數(shù)據(jù)安全企業(yè)合規(guī)的倫理化、規(guī)范化，使其從道德規(guī)范轉(zhuǎn)化為社會(huì)規(guī)范、法律規(guī)范，使得責(zé)任倫理在不同規(guī)范層面發(fā)揮作用。

（一）數(shù)據(jù)安全刑事合規(guī)的倫理規(guī)范層次

數(shù)據(jù)犯罪具有典型的法定犯特征，前置性行政法律法規(guī)對于認(rèn)定數(shù)據(jù)犯罪來說具有關(guān)鍵作用。對于企業(yè)刑事合規(guī)來說，前置性行政法往往有著比刑法規(guī)范更為嚴(yán)格細(xì)致、全面具體的規(guī)范義務(wù)內(nèi)容。數(shù)據(jù)安全企業(yè)刑事合規(guī)應(yīng)當(dāng)以刑法規(guī)范為底線標(biāo)準(zhǔn)，以行政法規(guī)為基本標(biāo)準(zhǔn)，以行業(yè)規(guī)范為參照標(biāo)準(zhǔn)，制訂和實(shí)施企業(yè)合規(guī)計(jì)劃。而在不同的合規(guī)層面，不同效力層次的規(guī)范對責(zé)任倫理的體現(xiàn)也存在差別。

1.數(shù)據(jù)安全合規(guī)的道德規(guī)范與法律規(guī)范

傳統(tǒng)意義上，責(zé)任倫理屬于倫理學(xué)范疇。而作為一種社會(huì)倫理，責(zé)任倫理是銜接倫理道德與法律規(guī)范的環(huán)節(jié)，是內(nèi)化于企業(yè)自身的責(zé)任情感，是企業(yè)自覺履行社會(huì)責(zé)任的高層次道德追求。法律是禁止性規(guī)范，是企業(yè)應(yīng)當(dāng)遵守的責(zé)任倫理底線，但如果該法律規(guī)定是不合理的，損害人們的正當(dāng)權(quán)益，則不屬于企業(yè)責(zé)任倫理規(guī)范。同時(shí)，社會(huì)所倡導(dǎo)的道德規(guī)范通常是合理的，也是企業(yè)應(yīng)當(dāng)遵守的，但只有當(dāng)?shù)赖乱?guī)范是合理的，遵守這樣的規(guī)范才符合責(zé)任倫理，或者說，才屬于企業(yè)的倫理責(zé)任。有學(xué)者指出，社會(huì)倫理規(guī)范是分層次的，“底線倫理”分成三個(gè)層次：第一層次是最基本的道德底線，其內(nèi)涵是所有人都應(yīng)當(dāng)遵循的基本的自然義務(wù)，憲法中所規(guī)定人民的基本權(quán)利內(nèi)容正是此部分的內(nèi)容。第二層次則是在法律社會(huì)背景下所產(chǎn)生的各類義務(wù)，比如刑法中有關(guān)各類法定犯的內(nèi)容。第三層次是針對各類特殊行業(yè)所提出的更高要求，僅限制在其特殊行業(yè)的職責(zé)或行為領(lǐng)域內(nèi)，例如教師所應(yīng)當(dāng)遵循的教師道德、相關(guān)企業(yè)應(yīng)當(dāng)遵循的環(huán)境倫理等[19]。雖然該層次的劃分并非以法律體系為視角，但完全可以將該理論同法律體系結(jié)合進(jìn)行類推分析，從而得出法律體系的規(guī)范內(nèi)容、處罰程度是可以劃分為不同層次的結(jié)論。在數(shù)據(jù)安全領(lǐng)域，企業(yè)作為數(shù)據(jù)活動(dòng)的重要主體，是保障數(shù)據(jù)安全的“保證人”，基于其業(yè)務(wù)范圍、服務(wù)領(lǐng)域等因素，產(chǎn)生相應(yīng)的保障數(shù)據(jù)安全的倫理責(zé)任。然而，道德規(guī)范畢竟不具有法律強(qiáng)制效力，并非全部有關(guān)數(shù)據(jù)安全保障的道德規(guī)范都必須納入企業(yè)數(shù)據(jù)合規(guī)計(jì)劃當(dāng)中。只有在遵守?cái)?shù)據(jù)匿名使用的法律規(guī)范的前提下，才能賦予企業(yè)道德規(guī)范層面的數(shù)據(jù)安全合規(guī)要求；如果企業(yè)不履行這種合規(guī)計(jì)劃中純粹的道德規(guī)范義務(wù)，則只能受到社會(huì)公眾的道德譴責(zé)，而不能訴諸法律追究其責(zé)任。

2.數(shù)據(jù)安全合規(guī)的“硬法”與“軟法”規(guī)范

（1）“硬法”規(guī)范。具有強(qiáng)制性法律效力的數(shù)據(jù)安全法律法規(guī)具有“硬法”屬性，是企業(yè)合規(guī)必須遵守和執(zhí)行的，可作為企業(yè)合規(guī)責(zé)任倫理的基本規(guī)范標(biāo)準(zhǔn)。企業(yè)單位負(fù)責(zé)人對單位犯罪的刑事風(fēng)險(xiǎn)和內(nèi)部員工行為的合法性承擔(dān)保障義務(wù)與法律責(zé)任。遵守法律規(guī)范是企業(yè)數(shù)據(jù)合規(guī)的硬性要求，法律首先規(guī)制的是直接侵犯了底線倫理的行為。刑事法律和行政法規(guī)是任何一家企業(yè)都必須遵守的，如果通過合規(guī)計(jì)劃積極履行，則可以獲得司法機(jī)關(guān)的刑罰處罰或行政處罰從寬的激勵(lì)；如果企業(yè)不遵守相關(guān)法律法規(guī)，就可能遭受法律制裁。有學(xué)者指出，企業(yè)建立和實(shí)施合規(guī)計(jì)劃的要求不應(yīng)加以刑事化，不能混淆企業(yè)遵守法律的義務(wù)和企業(yè)合規(guī)治理的義務(wù)，不能從企業(yè)遵守法律的義務(wù)直接推導(dǎo)出每個(gè)企業(yè)都要有制訂和實(shí)施合規(guī)計(jì)劃的刑法義務(wù)[18]。這種觀點(diǎn)與本文所說的企業(yè)合規(guī)須遵守作為“硬法”的刑事法律或行政法規(guī)并不矛盾，也就是說，企業(yè)必須遵守這些“硬法”，但這些“硬法”并不是必須成為企業(yè)制訂和實(shí)施的合規(guī)計(jì)劃的內(nèi)容，企業(yè)對此可以作出自愿選擇。如果企業(yè)將這些“硬法”納入合規(guī)計(jì)劃并予以實(shí)施，則可能獲得刑事或行政合規(guī)的量刑激勵(lì)，但如果企業(yè)沒有將其納入合規(guī)計(jì)劃內(nèi)容，也必須履行遵守“硬法”的強(qiáng)制性法律義務(wù)，否則將承擔(dān)刑事或行政法律責(zé)任。

（2）“軟法”規(guī)范。所謂“軟法”，即不具有法律強(qiáng)制效力的社會(huì)規(guī)范，包括行業(yè)協(xié)會(huì)頒布的行為準(zhǔn)則、商業(yè)習(xí)慣和企業(yè)內(nèi)部規(guī)章等。然而，如果企業(yè)完全按照刑事法、行政法的“硬法”規(guī)定作出合規(guī)承諾、履行合規(guī)義務(wù)，對很多企業(yè)來說意味著高成本投入，是不太現(xiàn)實(shí)的。因此，數(shù)據(jù)安全責(zé)任倫理也需要“軟法”規(guī)范予以體現(xiàn)。數(shù)據(jù)安全領(lǐng)域內(nèi)形成的行業(yè)規(guī)范并不具有法律效力且相較于相關(guān)部門法的規(guī)定標(biāo)準(zhǔn)更高，因此企業(yè)可將其作為較高的規(guī)范標(biāo)準(zhǔn)予以參照，并不必須遵照執(zhí)行。作為與“硬法”相對應(yīng)的概念，“軟法”不以強(qiáng)制性為特征，卻能產(chǎn)生社會(huì)實(shí)效[20]。運(yùn)用“軟法”方式實(shí)現(xiàn)數(shù)據(jù)安全責(zé)任倫理的規(guī)范化，對于企業(yè)預(yù)防數(shù)據(jù)安全風(fēng)險(xiǎn)顯得更為靈活、有效。因此，企業(yè)需要履行的數(shù)據(jù)安全責(zé)任倫理規(guī)范來源不僅局限于國家層面的法律法規(guī)，還有社會(huì)層面的行業(yè)規(guī)則、商業(yè)道德以及企業(yè)層面的管理制度以及企業(yè)文化。判斷涉案企業(yè)有無遵守道德規(guī)范及是否需要承擔(dān)相應(yīng)的社會(huì)責(zé)任，在相當(dāng)程度上有賴于相對明確的“軟法”規(guī)范，可以通過設(shè)置“軟法”的方式增加正向激勵(lì)模式，將相關(guān)行業(yè)規(guī)范、倫理規(guī)范納入企業(yè)合規(guī)之中，實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)的“軟法化”。

（二）數(shù)據(jù)安全刑事合規(guī)的倫理規(guī)范內(nèi)容

在我國數(shù)據(jù)安全立法中，《數(shù)據(jù)安全法》處于基本法地位，其他法律法規(guī)則起到補(bǔ)充、參照、協(xié)調(diào)的作用。根據(jù)該法第八條的規(guī)定，數(shù)據(jù)處理活動(dòng)的全過程不僅應(yīng)當(dāng)遵守法律、法規(guī)，社會(huì)公德、倫理乃至商業(yè)、職業(yè)道德都應(yīng)當(dāng)被遵守。企業(yè)應(yīng)當(dāng)自覺承擔(dān)社會(huì)責(zé)任，履行數(shù)據(jù)安全保護(hù)義務(wù)，不得危害國家安全、公共利益，不得損害個(gè)人、組織的合法權(quán)益。具體來說，數(shù)據(jù)安全合規(guī)的責(zé)任倫理規(guī)范內(nèi)容包括安全保障和個(gè)人數(shù)據(jù)權(quán)利保護(hù)兩個(gè)方面。

1.企業(yè)數(shù)據(jù)安全保障規(guī)范

具體包括內(nèi)部監(jiān)管和外部保障兩方面。

（1）企業(yè)內(nèi)部數(shù)據(jù)安全監(jiān)管。《數(shù)據(jù)安全法》與《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》明確規(guī)定了網(wǎng)絡(luò)服務(wù)商的數(shù)據(jù)安全監(jiān)管義務(wù)，特別是對影響公眾基本權(quán)利、涉及重大社會(huì)公共利益的個(gè)人數(shù)據(jù)、政府公共數(shù)據(jù)，從數(shù)據(jù)獲取、存儲(chǔ)、傳輸、使用等關(guān)鍵性環(huán)節(jié)進(jìn)行更強(qiáng)的內(nèi)部監(jiān)管。根據(jù)《數(shù)據(jù)安全法》第四章的有關(guān)規(guī)定，數(shù)據(jù)交易活動(dòng)的中介機(jī)構(gòu)應(yīng)當(dāng)嚴(yán)格審查數(shù)據(jù)來源、交易雙方身份，將審核及交易記錄作留存處理；數(shù)據(jù)處理的服務(wù)提供者應(yīng)當(dāng)根據(jù)法律規(guī)定依法取得行政許可；數(shù)據(jù)的跨境交易應(yīng)當(dāng)受到嚴(yán)格審批，未經(jīng)國家主管機(jī)關(guān)批準(zhǔn)，不可隨意向境外提供存儲(chǔ)于本國國內(nèi)的數(shù)據(jù)。原國家質(zhì)監(jiān)總局、國家標(biāo)準(zhǔn)化管理委員會(huì)頒布的《合規(guī)管理體系 指南》（GB/T 35770—2017）規(guī)定，企業(yè)合規(guī)義務(wù)包括合規(guī)要求和合規(guī)承諾兩部分。前者是一種強(qiáng)制性義務(wù)，是企業(yè)刑事合規(guī)首要考慮的內(nèi)容。后者則是企業(yè)自愿承擔(dān)的義務(wù)，即企業(yè)通過合規(guī)計(jì)劃的制訂實(shí)施，積極承擔(dān)對數(shù)據(jù)的所有者、供應(yīng)者、使用者、消費(fèi)者以及企業(yè)內(nèi)部員工等利益相關(guān)者的數(shù)據(jù)安全保障義務(wù)。企業(yè)在合規(guī)體系中承擔(dān)社會(huì)責(zé)任，對于增強(qiáng)企業(yè)及員工守法觀念、強(qiáng)化責(zé)任意識(shí)和預(yù)防數(shù)據(jù)犯罪，能夠起到根本性作用。

（2）企業(yè)外部數(shù)據(jù)安全保障。我國《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》均規(guī)定了網(wǎng)絡(luò)運(yùn)營者等組織、個(gè)人協(xié)助偵查犯罪、調(diào)取數(shù)據(jù)的義務(wù)。如《數(shù)據(jù)安全法》第二十七條規(guī)定了數(shù)據(jù)處理活動(dòng)主體應(yīng)當(dāng)履行數(shù)據(jù)安全保障義務(wù)；重要數(shù)據(jù)處理者應(yīng)當(dāng)將數(shù)據(jù)安全保障義務(wù)落實(shí)到具體負(fù)責(zé)人、管理機(jī)構(gòu)。第三十條則規(guī)定了重要數(shù)據(jù)處理者的風(fēng)險(xiǎn)評估及報(bào)送義務(wù)。第三十五條規(guī)定，公安機(jī)關(guān)、國家安全機(jī)關(guān)因依法維護(hù)國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，應(yīng)當(dāng)按照國家有關(guān)規(guī)定，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，依法進(jìn)行，有關(guān)組織、個(gè)人應(yīng)當(dāng)予以配合。對于上述網(wǎng)絡(luò)運(yùn)行安全和數(shù)據(jù)信息安全保障義務(wù)內(nèi)容，企業(yè)應(yīng)將其納入合規(guī)計(jì)劃之中，使其成為合規(guī)義務(wù)規(guī)范內(nèi)容。須指出，目前我國數(shù)據(jù)安全立法較多集中于數(shù)據(jù)安全保護(hù)和監(jiān)管義務(wù)設(shè)置，而對于數(shù)據(jù)流動(dòng)、共享及利用方面的規(guī)定較少，對相關(guān)主體數(shù)據(jù)權(quán)益的兼顧與平衡仍存在不足。在大數(shù)據(jù)時(shí)代背景下，法律需要協(xié)調(diào)不同主體的利益，合理分配數(shù)據(jù)安全保護(hù)義務(wù)，避免對有關(guān)組織和個(gè)人的數(shù)據(jù)權(quán)益造成不當(dāng)侵害。

2.個(gè)人數(shù)據(jù)權(quán)利保護(hù)規(guī)范

主要包括企業(yè)內(nèi)外部兩方面。

（1）企業(yè)外部個(gè)人數(shù)據(jù)使用的權(quán)利保護(hù)。我國《數(shù)據(jù)安全法》專章規(guī)定了任何主體都應(yīng)當(dāng)采取合法、正當(dāng)?shù)姆绞绞占瘮?shù)據(jù)，不得以竊取等非法方式獲取數(shù)據(jù)?！秱€(gè)人信息保護(hù)法》也同樣設(shè)專章明確了個(gè)人信息處理者的合規(guī)管理和保障個(gè)人信息安全等義務(wù)，要求個(gè)人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施。個(gè)人隱私信息的泄露和不當(dāng)使用是數(shù)字經(jīng)濟(jì)發(fā)展帶來的嚴(yán)重社會(huì)失范問題。保證個(gè)人隱私安全的制度措施主要包括：一是模糊化；二是匿名化。因此，在責(zé)任倫理觀念的指導(dǎo)下，應(yīng)及時(shí)保障公民個(gè)人信息的隱私安全，規(guī)范行業(yè)標(biāo)準(zhǔn)，通過數(shù)據(jù)脫敏技術(shù)，利用算法對存儲(chǔ)的數(shù)據(jù)進(jìn)行快速識(shí)別，將能夠識(shí)別特定自然人的識(shí)別符予以匿名化。歐盟《通用數(shù)據(jù)保護(hù)條例》對個(gè)人數(shù)據(jù)匿名化的內(nèi)涵作出了具體規(guī)定，并特別強(qiáng)調(diào)應(yīng)當(dāng)將其作為數(shù)據(jù)處理安全的技術(shù)措施保障，為實(shí)現(xiàn)公共安全等利益所進(jìn)行的數(shù)據(jù)處理活動(dòng)也應(yīng)當(dāng)采取匿名化的保護(hù)措施。我國《網(wǎng)絡(luò)安全法》第四十二條確立了使用個(gè)人信息征得信息主體同意的例外情形，即不可逆的匿名使用規(guī)則。另外，《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》（GB/T 37964—2019）將去標(biāo)識(shí)的過程劃分為目標(biāo)確定、標(biāo)識(shí)識(shí)別、標(biāo)識(shí)處理等步驟，并在各個(gè)環(huán)節(jié)中都設(shè)置了監(jiān)控、審查流程。尤其是持續(xù)監(jiān)控個(gè)人信息去標(biāo)識(shí)化的結(jié)果，在數(shù)據(jù)去標(biāo)識(shí)化后，仍根據(jù)具體情況或在固定期限內(nèi)重新對個(gè)人信息的標(biāo)識(shí)化程度、重標(biāo)識(shí)風(fēng)險(xiǎn)程度進(jìn)行評估并將風(fēng)險(xiǎn)評估結(jié)果同預(yù)先設(shè)定的風(fēng)險(xiǎn)閾值進(jìn)行對比，實(shí)現(xiàn)個(gè)人信息去標(biāo)識(shí)化的有效性，以保障個(gè)人信息的安全性。

（2）企業(yè)內(nèi)部監(jiān)管中員工個(gè)人數(shù)據(jù)權(quán)利保護(hù)。企業(yè)對員工進(jìn)行數(shù)據(jù)安全監(jiān)管，應(yīng)當(dāng)遵守有關(guān)個(gè)人信息存儲(chǔ)、共享、提供、轉(zhuǎn)移、刪除等方面的法律規(guī)定，履行法定義務(wù)，不能為了保障數(shù)據(jù)安全而犧牲員工個(gè)人信息數(shù)據(jù)權(quán)益，不得侵害員工的正當(dāng)權(quán)益。例如，企業(yè)對員工進(jìn)行網(wǎng)絡(luò)監(jiān)控，獲取員工網(wǎng)絡(luò)操作記錄，必須經(jīng)過員工本人授權(quán)同意，并且是基于勞動(dòng)規(guī)章制度、集體合同實(shí)施人力資源管理所必需的。基于最小性、必要性原則，應(yīng)將監(jiān)控的員工信息限制在最小范圍內(nèi)；在監(jiān)控方式上，必須遵循公開、透明原則，不得采取竊聽、跟蹤的手段監(jiān)控員工的日常工作活動(dòng)。當(dāng)然，企業(yè)具有擔(dān)保其員工遵紀(jì)守法的保證人地位，若其確實(shí)已充分履行了刑事合規(guī)中的主體監(jiān)管義務(wù)，則不存在構(gòu)成監(jiān)督過失行為的空間，就不能成立單位犯罪。

四、責(zé)任倫理下數(shù)據(jù)安全刑事合規(guī)實(shí)現(xiàn)路徑

刑事合規(guī)的直接價(jià)值目標(biāo)在于通過國家強(qiáng)制力推動(dòng)企業(yè)自覺承擔(dān)社會(huì)責(zé)任，遵紀(jì)守法地進(jìn)行各類經(jīng)營活動(dòng)；根本價(jià)值目標(biāo)在于預(yù)防犯罪、規(guī)避風(fēng)險(xiǎn)。因此，刑事合規(guī)需建立制度化、規(guī)范化的預(yù)防體系，以體現(xiàn)企業(yè)面向未來、防范風(fēng)險(xiǎn)的責(zé)任倫理價(jià)值追求。根據(jù)預(yù)防犯罪的需要，數(shù)據(jù)安全企業(yè)刑事合規(guī)應(yīng)當(dāng)從事前合規(guī)、事后合規(guī)兩方面進(jìn)行構(gòu)建。

（一）數(shù)據(jù)安全企業(yè)事前合規(guī)計(jì)劃

所謂“事前合規(guī)”，即企業(yè)單位在涉罪行為實(shí)施之前，已經(jīng)建立完整、有效的合規(guī)計(jì)劃，從而證明單位內(nèi)部自然人的犯罪行為與單位無關(guān)，實(shí)現(xiàn)單位與員工刑事責(zé)任的切割分離。企業(yè)的社會(huì)屬性決定了其需承擔(dān)社會(huì)責(zé)任，其規(guī)模的龐大和營利行為的伴隨性后果決定了其需充分承擔(dān)對“未來”的責(zé)任。企業(yè)合規(guī)是國家與企業(yè)協(xié)同共治、預(yù)防和發(fā)現(xiàn)犯罪的新型犯罪治理模式，強(qiáng)調(diào)源頭治理[21]。企業(yè)事前合規(guī)的出罪功能效用大小，應(yīng)當(dāng)主要考量企業(yè)參與數(shù)據(jù)安全合規(guī)的積極性、主動(dòng)性、預(yù)見性，從企業(yè)是否事先設(shè)置了數(shù)據(jù)平臺(tái)安全標(biāo)準(zhǔn)、數(shù)據(jù)安全風(fēng)險(xiǎn)控制標(biāo)準(zhǔn)等內(nèi)部規(guī)范進(jìn)行判斷。須注意的是，企業(yè)應(yīng)當(dāng)事先進(jìn)行風(fēng)險(xiǎn)評估，并結(jié)合企業(yè)具體情況設(shè)置具體規(guī)范。缺乏合規(guī)文化的合規(guī)計(jì)劃具有誘發(fā)內(nèi)部成員實(shí)施不法行為的反向效果，會(huì)使員工產(chǎn)生“不法行為是為了維護(hù)企業(yè)利益”的主觀心態(tài)[22]，從而喪失對不法行為正確的倫理道德判斷。綜上，在涉罪行為發(fā)生后，企業(yè)能否利用合規(guī)計(jì)劃方案，將涉罪行為予以有效控制和消除，及時(shí)挽回實(shí)際損失，并防止涉罪行為再次發(fā)生，以及能否有效地消除企業(yè)內(nèi)生性的犯罪文化誘因，是判斷合規(guī)計(jì)劃有效性的重要影響因素。

這里，著重討論以下兩點(diǎn)：

（1）企業(yè)數(shù)據(jù)收集和處理中的事前合規(guī)。由于不同企業(yè)所面向的市場方向存在差異，其存儲(chǔ)的數(shù)據(jù)內(nèi)容亦有所差別。首先，在數(shù)據(jù)收集過程中，應(yīng)根據(jù)《數(shù)據(jù)安全法》對企業(yè)內(nèi)部數(shù)據(jù)進(jìn)行分類分級(jí)，施以不同的數(shù)據(jù)獲取標(biāo)準(zhǔn)。例如，根據(jù)數(shù)據(jù)的權(quán)屬主體不同可以分為公共數(shù)據(jù)、權(quán)屬清晰的個(gè)人數(shù)據(jù)。對于前者來說，企業(yè)在獲取時(shí)應(yīng)當(dāng)遵循審慎原則，在遵守國家相關(guān)規(guī)定的同時(shí)還應(yīng)確保收集數(shù)據(jù)同企業(yè)產(chǎn)品服務(wù)之間的直接相關(guān)性，將收集范圍、頻率等控制在合理限度，避免出現(xiàn)權(quán)屬糾紛。對于后者而言，企業(yè)在獲取數(shù)據(jù)前應(yīng)當(dāng)獲得權(quán)利人的同意或授權(quán)。其次，在數(shù)據(jù)處理過程中，企業(yè)同樣應(yīng)當(dāng)以數(shù)據(jù)分類分級(jí)管理體系為基礎(chǔ)，對不公開的私人之間傳輸?shù)木W(wǎng)絡(luò)信息與公開的網(wǎng)絡(luò)信息的安全審查方式予以區(qū)分，尤其要注意保護(hù)用戶的敏感信息，處理敏感信息應(yīng)當(dāng)關(guān)注對用戶個(gè)人信息的脫敏。在敏感數(shù)據(jù)的流通過程中，需要對數(shù)據(jù)流通涉及的第三方進(jìn)行數(shù)據(jù)安全的風(fēng)險(xiǎn)評估，通過匿名化處理保證用戶信息安全。企業(yè)在開展匿名化處理的過程中，需要從操作層面完成對原始數(shù)據(jù)的隱藏，生成替代數(shù)據(jù)，避免他人識(shí)別信息主體的身份。

（2）數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測和預(yù)警的事前合規(guī)?！稊?shù)據(jù)安全法》第二十九條規(guī)定，企業(yè)在數(shù)據(jù)處理的全過程應(yīng)當(dāng)堅(jiān)持風(fēng)險(xiǎn)監(jiān)測，并在發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)后及時(shí)采取防控措施。確實(shí)發(fā)生數(shù)據(jù)安全事件后，應(yīng)當(dāng)及時(shí)采取合理處置措施并及時(shí)報(bào)送主管部門、告知用戶?；诖?，企業(yè)應(yīng)當(dāng)建立數(shù)據(jù)安全事件應(yīng)急制度，也即在發(fā)生數(shù)據(jù)安全事件后企業(yè)應(yīng)當(dāng)及時(shí)將數(shù)據(jù)安全事件報(bào)送給相關(guān)權(quán)利主體以及主管部門，開展內(nèi)部調(diào)查后處理實(shí)施違法犯罪行為的員工或第三方并進(jìn)行整改。例如，杭州某互聯(lián)網(wǎng)企業(yè)建構(gòu)的“風(fēng)險(xiǎn)核查—數(shù)據(jù)梳理—數(shù)據(jù)保護(hù)—監(jiān)控預(yù)警”（CAPE）模型，風(fēng)險(xiǎn)核查的主要關(guān)注點(diǎn)在于前期的數(shù)據(jù)收集、使用階段，目標(biāo)在于明確可能存在的刑事風(fēng)險(xiǎn)；監(jiān)控預(yù)警則是將關(guān)注點(diǎn)放置在較為重要的使用、流動(dòng)等階段，盡可能地感知數(shù)據(jù)安全態(tài)勢[13]。于企業(yè)數(shù)據(jù)刑事合規(guī)來說，這是一套具有相當(dāng)系統(tǒng)性、完善性的數(shù)據(jù)風(fēng)險(xiǎn)防控方案，具有借鑒意義。

（二）數(shù)據(jù)安全企業(yè)事后合規(guī)整改

所謂“事后合規(guī)”，是指企業(yè)實(shí)施數(shù)據(jù)犯罪后所做的整改補(bǔ)救措施，以預(yù)防再次犯罪的發(fā)生。對企業(yè)數(shù)據(jù)犯罪行為進(jìn)行刑事處罰的主要目的在于預(yù)防風(fēng)險(xiǎn)，那么以合規(guī)的方式推動(dòng)、監(jiān)督企業(yè)進(jìn)行事后整改工作，并以不起訴、暫緩起訴作為正向激勵(lì)的方式同樣具有相當(dāng)?shù)哪康恼?dāng)性。同時(shí)，這也是對責(zé)任倫理中“整體”責(zé)任觀念的貫徹。企業(yè)的事后合規(guī)整改不僅有利于完善公司治理結(jié)構(gòu)，促使員工在日常工作中時(shí)刻牢記倫理底線，還可充分發(fā)揮公司所蘊(yùn)含的社會(huì)經(jīng)濟(jì)效能，從而帶動(dòng)社會(huì)整體經(jīng)濟(jì)的發(fā)展。企業(yè)制訂和實(shí)施有效的數(shù)據(jù)安全刑事合規(guī)計(jì)劃，國家司法機(jī)關(guān)予以量刑激勵(lì)，其實(shí)就是寬嚴(yán)相濟(jì)刑事政策的體現(xiàn)。

近年，我國檢察機(jī)關(guān)逐步推進(jìn)開展涉罪企業(yè)合規(guī)試點(diǎn)工作，實(shí)踐中也出現(xiàn)了對涉案企業(yè)以無罪處理的判決①。最高人民檢察院、司法部、財(cái)政部等九部門、單位聯(lián)合發(fā)布的《涉案企業(yè)合規(guī)建設(shè)、評估和審查辦法（試行）》（以下簡稱《試行辦法》）第二條規(guī)定，經(jīng)評估合規(guī)建設(shè)符合有效性標(biāo)準(zhǔn)的涉案企業(yè)，檢察院可以參考評估結(jié)論對其作出不起訴等決定。涉罪企業(yè)在符合相關(guān)條件的情況下，檢察機(jī)關(guān)將其納入合規(guī)考察范圍，并根據(jù)其整改效果作出是否起訴的決定。企業(yè)合規(guī)整改大致可以劃分為涉案企業(yè)合規(guī)整改—第三方評估—檢察院或第三方管委會(huì)審查與認(rèn)可三個(gè)階段。其合規(guī)整改內(nèi)容主要包括：涉案企業(yè)在停止犯罪行為、認(rèn)罪認(rèn)罰的基礎(chǔ)上，還需采取補(bǔ)救挽損措施，積極配合刑事追訴行動(dòng)；及時(shí)自糾自查，查明犯罪事實(shí)及責(zé)任人；查明犯罪發(fā)生的原因，查找、確定企業(yè)內(nèi)部治理結(jié)構(gòu)、管理制度等制度體系層面的漏洞；對已經(jīng)查找出的漏洞及時(shí)進(jìn)行補(bǔ)正或撤銷；根據(jù)已經(jīng)查找出的漏洞及時(shí)對現(xiàn)有的合規(guī)計(jì)劃進(jìn)行修正，形成有效的刑事合規(guī)體系[23]。須指出，企業(yè)合規(guī)是一把“雙刃劍”，若企業(yè)存在“紙面合規(guī)”的情形，即涉罪之前并未建立有效合規(guī)計(jì)劃；或者企業(yè)建立的合規(guī)計(jì)劃未實(shí)際發(fā)揮效用；或者出現(xiàn)“合規(guī)承諾欺詐”的情況，即企業(yè)單位在騙取司法機(jī)關(guān)信任之后，故意違反合規(guī)制度再次實(shí)施先前所犯之罪，對本單位在經(jīng)營過程中涉及的數(shù)據(jù)安全刑事風(fēng)險(xiǎn)具有明知或應(yīng)知的主觀心態(tài)，司法機(jī)關(guān)可以據(jù)此認(rèn)定企業(yè)單位主觀惡性較大，應(yīng)依據(jù)正常程序?qū)ζ溥M(jìn)行起訴。若企業(yè)通過有效合規(guī)計(jì)劃換取檢察機(jī)關(guān)的不起訴決定后，在后續(xù)經(jīng)營過程中又觸犯合規(guī)計(jì)劃內(nèi)所規(guī)制罪名的，則應(yīng)當(dāng)剝奪其再次通過合規(guī)整改避免被起訴的機(jī)會(huì)，并對其所犯之罪從重處罰[24]。

綜上所述，就涉罪企業(yè)而言，事前合規(guī)計(jì)劃和事后合規(guī)整改彰顯了涉罪企業(yè)主觀意志上積極避免危害結(jié)果的再次發(fā)生的主觀心理態(tài)度[18]，能成為減免其刑事責(zé)任的重要因素。企業(yè)合規(guī)計(jì)劃的設(shè)定及實(shí)施可能成為刑罰裁量的影響因素，體現(xiàn)了特殊預(yù)防的需要[25]；同時(shí)，企業(yè)合規(guī)能夠增強(qiáng)對刑法規(guī)范的忠誠和認(rèn)同及對倫理規(guī)則的自覺遵守，從而防患于未然，實(shí)現(xiàn)一般預(yù)防效果[26]。

五、結(jié)語

在風(fēng)險(xiǎn)社會(huì)背景下，企業(yè)在制訂刑事合規(guī)計(jì)劃、防范數(shù)據(jù)安全風(fēng)險(xiǎn)過程中，須確立責(zé)任倫理觀念，面向未來，著眼整體，積極應(yīng)對風(fēng)險(xiǎn)。企業(yè)作為具有相當(dāng)規(guī)模、完善的組織體，應(yīng)當(dāng)積極履行社會(huì)責(zé)任，遵守社會(huì)規(guī)范和倫理道德，將責(zé)任倫理內(nèi)化于企業(yè)合規(guī)體系之中。責(zé)任倫理不僅僅是一種責(zé)任觀念和道德規(guī)范，還需要從不同規(guī)范層面實(shí)現(xiàn)數(shù)據(jù)安全企業(yè)合規(guī)的倫理化、規(guī)范化。企業(yè)刑事合規(guī)一般不能成為阻卻違法或責(zé)任的事由，但可以作為量刑酌定從寬的情節(jié)因素；如果合規(guī)企業(yè)沒有違反數(shù)據(jù)安全保護(hù)義務(wù)，缺乏主觀罪過，或情節(jié)顯著輕微、危害不大，就能夠以出罪處理。數(shù)據(jù)安全企業(yè)合規(guī)存在事前合規(guī)與事后合規(guī)兩種路徑選擇。除事后的量刑激勵(lì)之外，著眼于一般預(yù)防的事前合規(guī)計(jì)劃的制訂與實(shí)施顯得更為重要。應(yīng)當(dāng)看到，盡管企業(yè)責(zé)任倫理業(yè)已得到國家、社會(huì)和企業(yè)的重視，并被付諸企業(yè)合規(guī)制度建設(shè)和實(shí)踐之中，但其現(xiàn)實(shí)效果不應(yīng)被高估。企業(yè)作為市場主體，屬于“經(jīng)濟(jì)人”而不是“道德人”，要使企業(yè)在自利的過程中達(dá)到有利于他人和社會(huì)的結(jié)果，僅靠道德自覺是不夠的，還需要法律制度這只“看不見的手”加以規(guī)范和引導(dǎo)。而在法律層面，一味地要求企業(yè)不利己、只利他，積極自覺地履行數(shù)據(jù)安全合規(guī)義務(wù)也是不現(xiàn)實(shí)的，相應(yīng)的法律制裁手段也是不可或缺的。從體系化角度，應(yīng)當(dāng)將責(zé)任倫理規(guī)范作為企業(yè)數(shù)據(jù)安全合規(guī)治理體系的一部分，將相關(guān)道德規(guī)范與法律規(guī)范、“軟法”與“硬法”有機(jī)結(jié)合起來，在對數(shù)據(jù)合規(guī)企業(yè)予以刑責(zé)減免的同時(shí)，正確貫徹寬嚴(yán)相濟(jì)的刑事政策，從而實(shí)現(xiàn)懲罰與預(yù)防違法犯罪的雙面成效。

注釋：

①在楊某、鄭某侵犯公民個(gè)人信息案中，法院以雀巢公司不允許其員工以非法方式收集消費(fèi)者個(gè)人信息、要求相關(guān)員工接受培訓(xùn)并簽署承諾函為由，終審裁定雀巢公司無罪，維持一審判決，被稱為“企業(yè)刑事合規(guī)抗辯第一案”。參見甘肅省蘭州市中級(jí)人民法院（2017）甘01 刑終8 號(hào)刑事裁定書。