一、问题的提出
大数据处理关涉民众福祉、产业发展、国家安全与国际竞争等重大利益。由于数据业态乱象迭出,特别是数据领域刑事犯罪(以下简称为“数据犯罪”)泛滥,世界上主要法域均加大了治理力度。2018年5月,欧盟《一般数据保护条例》(全称为“General Data Protection Regulation”,简称为“GDPR”)生效,成员国对数据滥用行为频繁开展调查,知名社交聊天软件克努德尔斯、瓦次艾普和大型企业英航公司、万豪集团等分别受到欧洲国家执法机关的处罚,“GDPR合规”更是作为一个专有名词应运而生;2019年7月,美国联邦贸易委员会就隐私违规问题对脸书(facebook)公司处以50亿美元的巨额罚款。目前我国立法上已形成《数据安全法》等三部“基本法”架构,并开展多次专项治理,“数据堂”等多家公司被追究刑事责任,“滴滴出行”等产品被启动网络安全审查。在从严监管数据行业成为主基调的情势下,数据合规成为数据企业等主体存续发展的命脉。在前述脸书公司案例中,美国联邦贸易委员会同其新达成一项监管期长达20年的和解令,要求其在监管下进行一系列调整,包括在董事会中建立独立的隐私委员会、批准设立负责隐私计划的合规官并按时提交工作报告。在这些事件中,力度最大的部分便是指向遏制数据犯罪的刑事合规(以下简称为“数据刑事合规”)。
自2020年伊始,最高人民检察院在全国范围内部署企业合规改革多轮试点,努力推进覆盖各种涉企犯罪案件的大合规试验。然而,刑事大合规的中国潮流同数据强监管的全球趋势相交汇,并未导致数据刑事合规在我国的可见增长。表现之一,典型性实践案例缺乏。试点范围内仅有一家检察院出现过国内首例的、未公开法律文书的案件。该案涉及非法获取计算机信息系统数据罪,检察机关基于合规整改合格结果做了不起诉处理(以下简称案例1)。虽然该案后被作为典型案例发布、具有一定的风向标意义,但其合规整改做法仍值得商榷。至于非试点省份及试点省份的非试点地市亦仅有个别检察院开展了少量的变通性处理。如在一起侵犯公民个人信息罪案件中,被告单位索要学生信息进行虚假纳税申报,案发后,检察机关认为其“具有……等从宽处罚情节”,进而依法决定不起诉(以下简称案例2)。这里的“等”字指涉的就是数据刑事合规事由,但不起诉决定书未予明确。表现之二,专门性使用工具缺失。当前很少有试点地区将数据犯罪案件明确纳入合规试点范围,更遑论针对这一业务形成较为完善的实施方案。相比于国际上推出了化解GDPR挑战的“数据合规包”“数据合规方案”,国内尚未见到类似的产品面世;相比于国内围绕虚开增值税专用发票罪等案件中合规整改试验形成的完整经验,数据刑事合规处于乏善可陈状态。表现之三,各利益相关方对数据刑事合规抱持相当怀疑态度。访谈发现,有数据企业认为,除了因涉诉不得不为之的情况外,数据刑事合规是一个看似光鲜的圈套;有司法人员认为,数据刑事合规可能招致“评查没搞完,企业先破产”的不可控局面,暗藏今后被追究滥权责任的风险;有律师认为,开展该项业务堪比鸡肋,事后可能被控以共同犯罪、教唆引诱犯罪。研究者也观察到,我国“刑事合规的研究热潮中难觅数据合规的踪迹”。
数据处理领域如何进行刑事合规建设,是一个艰巨的挑战。无论是实例不够、工具缺失还是态度观望,均反映出数据刑事合规进展的迟缓。大多数检察机关与数据经营主体对开展数据刑事合规的期望值走低。此种整体消极主义有悖于数据强监管的趋势,亦脱离于刑事大合规的新潮。若任其弥散开来,定会对数据产业带来负面影响,于国于民亦不利。它同人们对数据刑事合规尚缺乏清晰的专业认识不无关系。本文将基于访谈问卷、比较分析与实践总结的素材,分层次地进行基础性论证:第一步,阐释数据刑事合规概念的内涵与价值,以澄清社会上各种偏差认识甚至异化观念;第二步,透析数据刑事合规背后的相对性现象,指出其蕴含的规律并进行原理提炼;第三步,提出符合国情和理性的数据刑事合规方略。这一学术方案旨在助推数据刑事合规在我国迈上快速发展的轨道。
二、数据刑事合规的概念展开
(一)基本内涵的诠释
从语词溯源来看,“合规”(compliance)一词首次使用于1630年,现代意义上的“合规”同“治理”“风险”构成“三位一体”(threesome),肇始于20世纪80年代。1991年美国《联邦量刑指南》规定被指控的公司“拥有预防和识别违法行为之有效计划”的可以减少罚金,系人类社会迈向合规时代的标志性事件。2021年版《联邦量刑指南》将合规纳入“旨在预防和发现犯罪行为的计划”即“合规和伦理计划”中。美国以该计划为核心的专门工作就是针对企业的、具有典型意义的刑事合规(criminalized compliance)或刑法驱动型合规(criminal law-driven compliance),产生了深远的国际影响。世界上也存在面向企业员工的刑事合规。例如,秘鲁在2014年尚不对法人追究刑事责任之际,便开展刑事合规建设以激励公司遵守刑事规范,为员工避免可控的刑事风险。这两种刑事合规的区别在于获益者,不在于实施者。德国学者托马斯指出:“刑事合规包含所有客观上事前必要的或者事后被刑法认可的规范性、制度性以及技术性的属于某一组织的措施。”这里将刑事合规定位为“组织措施”,也就是说由企业来实施。考虑到德国立法迄今没有确立单位犯罪制度,因由合规获益的主要是员工,企业也会获得罚款减免的准刑事利益。例如,前述克努德尔斯案中,德国巴州数据保护委员会按照低标准罚以20000欧元结案。这里的罚款就是针对企业的准刑罚制裁,企业得到了责任削减。这两种刑事合规均会辐射到国家数据治理领域中,形成作为一种特定场域的数据刑事合规。
一般认为,早期人们对数据刑事合规的把握偏向数据安全的视角。有的数据平台由内部的信息/数据安全部门或者负责数据工作的专门岗位、人员,对数据进行清洗、脱敏、加密等处理,重点防止数据失窃和被滥用。这可以被称为技术意义上的数据合规,即“数据合规≈数据安全保护”。如在一起侵犯公民个人信息罪案件中,涉案公司的信息安全部门负责数据合规工作,主要通过员工访问数据页面次数畸高、访问超越权限等特征,发现了数据操作行为异常等犯罪线索(以下简称案例3)。其实,虽然数据领域开展合规工作不可避免地牵涉到数据安全技术规范,但是,技术意义上的数据合规并不能当然地降低被追究刑事责任的风险。如今此项工作被添加了符合法律规范要求的色彩,转化为法律意义上的数据刑事合规。本文选此为基本立场,案例3不在续评之列。
我国数据刑事合规在检察系统力推企业合规改革前后,均有稀疏的出现。该项活动既可能是在诉讼前,即由数据经营主体主导实施的一种自发的、内生性的合规,如表1案例4、6中;也可能是在诉讼中,即在涉案之后通常由检察院等机关主导监督执行,要求数据经营主体围绕数据处理犯罪风险点进行整改的一种回应的、外压性的合规,如案例1、2、5中。它们可分别称为“实体法合规”“程序法合规”,或者“日常性的合规”“危机应对的合规”,形成两种模式。然而,此种区分虽有理论价值,但在实践中不可过分强调。一方面,数据领域的“诉讼中合规”“程序法合规”“危机应对的合规”亦具有预防潜在犯罪的功能,应当被理解为针对预防未发生数据犯罪之意义上的“诉前合规”“实体法合规”“日常性的合规”;另一方面,前者不是无源之水,要从后者汲取智慧。当下我国拓展数据刑事合规探索的可行路径是形成两种模式对接的整体性推进。后文除需要特别明示的以外,将不做此种区分。
下面重点遴选一些进入司法流程的相关典型案例(见表1),并兼顾未进入司法流程的大量典型事件,进行概念内涵与要素的抽象。据此可以得出一个基础性的定义:数据刑事合规指的是数据企业等经营主体针对数据处理各环节可能涉及犯罪的风险点,进行犯罪预防、识别和应对,以追求获得刑事利益的一种专门活动。
表1 我国企业合规改革试点前后的数据刑事合规典型案例
理解这一概念及其现实样态,需要把握几点要义。其一,该项活动旨在消减数据处理中的刑事风险,获得刑事利益。合规是一种识别或控制风险的方法,核心任务是“最小化因由不法行为引发的下行风险”。我国国家标准《合规管理体系指南》明确:“合规意味着组织遵守了适用的法律法规及监管规定,也遵守了相关标准、合同、有效治理原则或道德准则。”不难看出,数据领域开展的合规工作要遵守各种相关法律规范。这就出现了分别针对刑事司法、行政执法与民事司法等领域中不同利益的刑事合规、行政合规与民事合规等。相比而言,数据刑事合规处于最显要位置。“合规刑事化”意味着合规工作的启动和执行将以参照刑法为主范式。企业越来越多地采取“刑事法驱动的”“基于威慑理论的”“旨在避免被刑事、准刑事调查和起诉的”合规方案;也就是说,主要选取刑事法的角度来实现合规,使用刑事立法、执行和裁决的规则来推进其合规目标。德国学者将这种现象称为“犯罪关联性合规”。我国学者的相关判断是:“企业合规‘刑事化’成为全球企业合规制度发展的重要趋势和立法方向。”
数据刑事合规获得的刑事利益会有很多形态。案例1、2、4—7表明,我国现有法律给出的空间包括给予数据经营主体及其主要员工获得无罪、轻判、判缓、被不起诉、同他人犯罪相区隔等法定或酌定利益。数据经营主体及其主要员工还可以通过刑事策略辩护、认罪认罚协商等方式获得刑事利益的增强型兑现。他们亦不排除会收获其他性质的利益。如在案例1、2、4—6中,有关单位开展合规工作的后果附随及于减免行政责任、民事责任等;在案例7中,有关单位开展合规工作亦会及于消解其可能因数据管理不力而引发的刑事、行政与民事责任等。因数据刑事合规获得的刑事利益是梯度型的。合规完全或完美的,会获得极大的刑事利益;合规不够完善的,也不排除获得一定的刑事利益。如日本学者主张,经营者合理实施合规计划的可以被免责,“即便经营者因存在过错而不能免责,也应当考虑其实施了合规计划的事实,减少制裁额度,从而对其给予激励。”
其二,该项活动的主要举措囊括“预防”“识别”“应对”三种。“预防”指的是“诚信文化、培训以及政策、程序等防备措施”,“识别”指的是“风险评估、道德规范、审计和SWOT分析等检测措施”,“应对”指的是“调查和制裁等回应措施”,实践中还出现了开展报案、模拟突击检查等措施。数据刑事合规在我国起步较晚,“预防”“识别”“应对”尚达不到如此专业化划界的程度,但实有区分的必要。案例4是我国学界普遍赞扬的“企业合规无罪抗辩第一案”,其中涉案单位雀巢公司被认为不构成犯罪的理由是,其“禁止员工从事侵犯公民个人信息的犯罪。”而中肯地评价,涉案单位采取的仅仅是“预防”措施,尚不见“识别”员工犯罪、并予以及时报案“应对”的另两种措施。假若涉案单位有可行的“预防”“识别”之举,涉案员工的此类行为应该早被发现。于理论上检视,此案大概率地陷入了“纸面合规”。若参照适用其母公司所在国美国的判例规则——公司不能“通过禁止其代理人从事非法行为的抽象规则来避免责任”“仍然要对其员工违反明示的指示和政策的行为承担责任”等,涉案单位断难被判处无罪。
“预防”之举措具有常态合规的性质,意指要识别数据处理环节的刑事风险点并进行干预。这是要防止数据经营主体或其主要员工成为犯罪嫌疑人、被告人。“识别”和“应对”之举措则具有应急合规的性质,意指通过识别数据处理环节的刑事风险点应对已发生的违法犯罪行为。在案例7中,数据经营主体成立数据合规部门,该部门及时发现数据违规行为并进行刑事报案,既遏制犯罪也化解该单位被卷入刑事案件的风险。案例4中因合规而获得刑事利益的仅仅是单位而不包括员工,同涉案单位的合规举措中缺少合格的“识别”和“应对”内容不无关系。若该案中涉案单位能在合规方面有所改进,涉案员工的违法犯罪行为定会被及早“识别”、有效“应对”而减免罪责。
其三,该项活动可以具体化为经纬交织的元素、样态。以构成元素为经线,数据刑事合规可以区分为数据合规计划、数据合规人员、数据合规培训以及数据处理监管等。其中,最重要元素就是数据合规计划。合规计划是“用于描述一种或多种员工之伦理义务、法律义务、政策义务的各种正式的、通常也是书面的声明”。不同数据经营主体需要具体设计,形成比法律要求更为具体的数据刑事合规计划。当下数据刑事合规计划应当走向专业化。如赛门铁克软件公司以GDPR合规要求为参照,将其计划拆解为“合规准备”“数据保护”“数据安全监测”“数据事件响应”四大支柱部分。数据刑事合规计划需要契合法律乃至道德的价值导向,同数据犯罪中反侦查手段等区分开来。任何企图通过对抗伎俩躲避刑事惩处的做法,不在获得法律认可之列。案例分析表明,有的涉案单位所成立“合规部”系用于掩盖违法犯罪行为,有的涉案单位组建“合规整改小组”仅仅是提交应付性的自查报告。调研也发现,一些数据经营主体开展工作所追求的就是反侦查或对抗司法,如对涉及刑事风险的数据业务进行简单分解、外包或销毁证据等。这些伎俩滑向合规实践的反面,不可不察。诚然,数据刑事合规同数据犯罪中反侦查手段之间存有一些模糊地带。
以适用主体为纬线,数据刑事合规可以区分为特定单位、特定地域与特定行业的合规等样态。特定单位的数据刑事合规在一定地域、行业内具有复制推广意义。笔者曾经就一家互联网游戏公司涉嫌数据犯罪的问题,到其所在地某某互联网游戏产业园进行调研,发现其他公司也存在忽视合规建设的类似隐患。园区主管部门引导区内相关公司进行避免潜在刑事风险的借鉴整改。这就是关于特定区域的数据合规。实践中也存在针对某个特定行业进行合规整改的情况。这常常可以通过检察机关启动行政公益诉讼或全行业联动等方式加以促进。例如,某地检察机关在办理一起侵犯公民个人信息罪案件时,发现社会上普遍存在着物业管理公司工作人员非法提供业主信息用于违法推广装修业务的情况,遂向该县市场监督管理局发出诉前检察建议书,向辖内多家物业公司发放《刑事合规风险告知书》。有关监管部门部署了专门针对家装行业、物业管理的专项整治工作,代表性的公司均开展了完善信息保护措施等整改工作。这虽非一起典型的数据刑事合规案例,但系以个案整改推动涉案物业管理数据处理的规范化整治。三者比较,第一种乃基础性的样态。
(二)主要价值的阐释
首先,数据刑事合规是智能社会协同共治的基本前提。2015年以来,我国发布了《促进大数据发展行动纲要》《关于构建更加完善的要素市场化配置体制机制的意见》等重要文件,绘制了建设智能社会的美好蓝图,将数据治理与相关犯罪遏制提到了十分重要的位置。而数据刑事合规能够集企业与国家、社会等多方力量于数据共治体系。有研究者评价,数据刑事合规“通过促进网络服务商数据安全保障工作的内控化、制度化开展,增强网络服务商对于数据安全的责任意识,通过网络服务商的事前的主动介入,增强数据安全犯罪的积极防控,实现侵害数据安全犯罪的积极的一般性预防。”我国《刑法》第286条之一专门增设“拒不履行信息网络安全管理义务罪”,就是这一思路的具体践行。以刑事手段强化数据经营主体的数据合规义务,即夯实数据平台的主体责任,可以提升数据领域的共治水平。
其次,数据刑事合规是新兴数据产业发展的重要保障。问卷调查表明,人们普遍认为数据经营主体进行数据处理“有难以防范的刑事风险”“有较大的刑事风险”,两种倾向分别占比高达28.07%、57.02%;有关数据处理行为可能触碰到庞杂的罪名体系,排序为“侵犯公民个人信息罪”“非法获取计算机信息系统数据罪”“侵犯商业秘密罪”等。而走访调研发现,数据刑事合规可以帮助一般的数据经营主体“规范生产经营行为避开雷区”“切割滥用数据的员工行为与单位的关系”“设置遭到刑事调查时的应急处理机制”等,可以向“大而不牢”的超大数据公司施加促其进行内部控制或结构性调整的巨大压力。这一方面的教训经验皆有。反面的代表性案例是“企业涉嫌数据违规被否决上市申请案”,涉案企业墨迹公司因数据违规而上市失败;正面的代表性案例是案例1、2、4、7,涉案企业经由有效数据合规而脱罪、受到应急保护。数据刑事合规还具有在数据经营主体遭遇犯罪指控时减免刑罚、帮助其远离数据失范危险、增进其社会声誉的功能。“在市场经济环境中,公众信任是珍稀商品,有效的合规计划更是无价之宝。”这一断言对数据产业极具启发。
再次,数据刑事合规是办案效果一体提升的应有担当。但凡对数据处理有业务需要的各种主体,均对数据刑事合规有着内在渴求。这就要求办案机关“严管厚爱”数据经营主体及其负责人、主要员工等。2021年最高人民检察院在发布推进网络空间治理典型案例时,明确倡导相关部门要“监督相关企业建立数据合规制度”,昭示了数据刑事合规是相关办案效果提升的努力方向。案例1出现于2022年,符合这个方向。走访调研表明,数据刑事合规可以为数据业经营者提供良好的保护:(1)帮助认识生产经营环节中可能面临的刑事风险;(2)规范生产经营中各项决策的发布和执行;(3)明确责任分割机制,防止因内部员工、合作伙伴的违法行为而受刑事牵连;(4)在接受司法调查时,及时提供合规材料作为证据。数据刑事合规对于数据业投资者也是一种激励和保障。“投资者总是愿意向做出更好合规的公司投钱,因为更好合规意味着更少风险。”办案中施加这些“保护”符合法治精神,有利于法律效果、政治效果与社会效果的统一实现。
三、数据刑事合规的实践规律
(一)相对性定律的生成
深刻反思数据刑事合规的整体消极主义,需要审视实践诉求。当下有两种对立的主张:其一,数据刑事合规要绝对防止相关主体犯罪(或再次犯罪);其二,数据刑事合规没有也不可能适用绝对防止犯罪(含再犯)的标准。问卷调查中就“数据刑事合规是否可以做到绝对合规(即绝对防止犯罪发生)”进行提问,受访者中选“否”的为82.89%,且呈现出受访者中“认为企业数据处理行为涉及刑事风险越大的,主张数据刑事合规可以做到绝对合规的比例越小”的特点(参见图1)。实地调研发现,数据行业普遍没有信心做到绝对合规。当然,也有极少数人认为出现了可视为绝对合规的“特例”,如数据经营主体识别和“完全”下线、“机械”关停可能涉嫌犯罪的数据业务产品、径直拆解公司、剥离涉案业务或者直接开除涉及数据犯罪的员工等。案例1中,Z公司合规整改被评为合格的主要理由是“彻底销毁相关‘爬虫’程序及源代码”等。在笔者看来,这些做法乃壁虎断尾求生的非常之举,难言有推广价值;更实质的问题是,它们不过是切除特定“涉案”产品、业务、板块、员工之“病灶”,并未斩断“病根”,跟绝对防止数据犯罪并非一回事。对于前述两种主张,可以分别归为数据领域的绝对合规观与相对合规观。
应该说,绝对合规观有利于人们清楚认识到数据刑事合规中需要避免的“虚假整改”“装饰性合规”“合规腐败”等问题,有利于去除司法人员被归入“枉法”办案的疑虑,还有利于消解律师等参与者被当作共犯处理的忧心。然而,绝对合规观亦可能引发吓阻数据刑事合规探索的效应。我国现阶段刑事大合规试点地区少见数据刑事合规案例,障碍之一就是不少人期望以数据刑事合规杜绝数据犯罪。而考虑到我国各种数据犯罪均具有复杂性,数据刑事合规在应然层面只需遵循相对合规观;加之数据法治建设正处于蓬勃发展阶段,当下数据刑事合规在实然层面亦只能追求相对合规。这是深刻反映数据犯罪治理机理的一种社会规律,不妨称之为数据刑事合规的相对合规定律(以下简称为“相对性定律”)。
该相对性定律是由数据领域的“口袋罪名”现状决定的。口袋罪具有“罪名抽象、含糊笼统”“法定刑与罪状缺乏对应性”等特点,同数据犯罪的复杂多变性等特征相契合。数据犯罪的“口袋罪”化是由刑法修正案出台、司法解释扩张与司法适用惯性等因素传导所致。其一,非法获取计算机信息系统数据罪、破坏计算机信息系统罪被不受限制地扩张解释。对于前一罪名,“似乎所有能储存于电脑系统中的权利客体都可以称为‘数据’”,对数据的任何非法获取行为都可能构罪。对于后一罪名,所有对于计算机信息系统数据的删除、增加、修改、干扰行为,均会被视为符合该罪的罪状描述。其二,侵犯公民个人信息罪中侵犯对象的外延十分广泛。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将“识别”个人的信息之外的“轨迹”信息也涵盖在内,实践中进一步演化为含有公民个人信息的泛在数据,该罪名也可涵涉无边的范围。其三,拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪叠床架屋。前一罪名的罪状模式为“行为方式列举+兜底条款”“多元排列组合格局”,后一罪名主要适用于评价非共同犯罪的网络犯罪帮助行为,均属于“口袋罪”构造。其四,非法经营罪、寻衅滋事罪两个罪名“口袋”被适用于数据犯罪,非法利用信息网络罪与提供侵入、非法控制计算机信息系统程序、工具罪等关联罪名也出现了“口袋化”倾向。无论是前述哪一种“口袋罪”现象,必然导致罪与非罪界限模糊不清,数据领域的入罪也就变得随便。这成了相对性定律的生成基点。
该相对性定律是由数据犯罪的“沾边管辖”现状决定的。我国刑事法律规范没有为数据犯罪设立独立的管辖规则,主要援引网络犯罪的“以犯罪地为主”的管辖规则。2021年最高人民法院《关于适用〈中华人民共和国刑事诉讼法〉的解释》第2条对此确定了超级广泛的范围,不仅明示包括“犯罪行为地和犯罪结果地”,而且进一步细化罗列。这事实上扩增了“沾边即管”的缺陷,其结果是任何基层公安机关不受限制地“想管尽管”。这就显著地增加了数据刑事合规的难度,因为这意味着数据刑事合规要让全国司法机关普遍认可,不然数据经营主体实施合规后依然会面临异地刑事追究之虞。
该相对性定律是由数据犯罪的“动态标线”现状决定的。我国合法使用数据的法律标尺呈现为快速变动的虚拟标线。各数据经营主体难以避入确保无罪的地带上或界限内,因为这条标线处于频繁调整中。笔者曾对数据行业开展数据获取专题调研,汇总了业界公认的不触碰刑律的方式,包括“经个人信息主体同意”“获取公开的数据”“为科研目的获取”等。而对裁判文书的挖掘和对司法群体的访谈表明,针对以上情形的行为均可做出有罪判决。例如,在一起侵犯公民个人信息罪案件中,辩方提出被告人“购买的是公民自愿有偿出卖的个人驾驶证等信息,……不应认定为犯罪”,法院认为“只要行为人没有获取公民个人信息的法律依据或者资格而获取相关个人信息的,即可以认定为‘非法获取’”。这是将“公民自愿有偿出卖”数据的行为归入侵犯公民个人信息罪进行打击。其实,即便对于因确属“经个人信息主体同意”的难以判处侵犯公民个人信息罪的行为,也可能调整为其他罪名进行制裁,如前述提供侵入、非法控制计算机信息系统程序、工具罪案。
该相对性定律也是由数据经营主体的实力差异决定的。在我国,许多“巨无霸”大数据公司掌握着关系国计民生的巨量数据,有社会责任也有经济实力实行严格的合规。当然,它们亦有一个量力而行的高限。很多的小型企业缺乏足够支撑全面合规的资源条件,更不该被苛以过重的合规责任。此乃“小型企业难合规”的表象。关于此类境况,美国学者们曾经就GDPR生效后的挑战做过三点归纳:(1)GDPR有长达261页的99个长条文,小型企业试图靠自身努力完全理解条文就不大可能;(2)若要聘请专家或律师,小型企业可能面临源于资源少的大挑战;(3)若向大公司学习或寻求协助,小型企业会遇到价格不菲的问题。例如,微软公司对外提供“数据合规方案”,报价是每名员工每月交费5—12美元。若一家有250名员工的公司寻求微软公司的帮助进行GDPR合规,将自动增加每年1.5万至3.7万美元的支出。这是难以承受之重。与之相对,2017年超过40%的美国大银行花费超过1000万美元来升级系统以符合GDPR的要求,这可以避免因违反GDPR而遭受最大罚款(额度为全球年收入4%)的危险。小型企业对此难以企及。另有数据统计表明,美国企业合规的支出截至2017年已经到达一个特殊的里程碑:合规成本接近城市警察治安成本。如此庞大的合规开支,不可能寄希望于小微企业承担太多。基于此理,数据刑事合规该做到何种程度,显然跟数据经营主体的规格体量有关。
一个总的原则是,我国开展数据刑事合规应当容许数据经营主体针对具体的数据处理场景、刑事风险采取不同的合规措施。于具体数据经营主体而言,则需要兼顾两层要义:一方面,数据刑事合规不能好高骛远,要符合实际理性;另一方面,数据刑事合规不能滑向粗制滥造,要进行质量控制。对此,数据经营主体需要将该相对性定律进一步分解为合规对象与合规结果的相对性定律,分层次实施与差别化落地。
(二)合规对象的相对性
从学理上讲,刑事合规可以类型化为针对一罪与数罪的合规。而在实践中,针对一罪的合规是罕见的,也是不合理的。考虑到我国当下关于数据领域罪名的“口袋化”,及司法实践中存在着牵连犯、吸收犯、竞合犯及其他复杂罪数形态,数据刑事合规不应局限于单一罪名而应扩展至数个罪名。以案例2涉及的侵犯公民个人信息罪为例,就存在“一个行为、多个罪名”的复杂罪数形态处理。大样本的案例分析表明,导致被判处侵犯公民个人信息罪的一个行为,可能被同时判处诈骗罪、盗窃罪、妨碍信用卡管理罪、信用卡诈骗罪、买卖身份证件罪、掩饰、隐瞒犯罪所得罪以及其他罪名(如图2系基于对965起侵犯公民个人信息罪案件分析得出的罪名群)。这就意味着一旦发生或可能发生此种情形,数据经营主体开展数据刑事合规首以减少触碰该“口袋罪”为目标,同时要考虑以减少触碰相关“数个罪名”为目标。这些任务可以被简单理解为数据经营主体分两个步骤圈定合规针对的罪名群。
第一步,基于同一数据行为涉及罪名群体系的规律进行初选。以案例5为例,涉案单位的具体犯罪行为主要是买卖身份证件/号,这有可能导致被判处伪造、变造、买卖身份证件罪。笔者在对前述构成“侵犯公民个人信息罪”的大样本案例进行梳理时,发现基于类似行为同时被判处伪造、变造、买卖身份证件罪的案件为55起,还有被判处诈骗罪(10起),伪造、买卖国家机关证件、印章罪(10起),妨害信用卡管理罪(9起)、非法利用信息网络罪(3起),贩卖、传播淫秽物品牟利罪(1起)、破坏计算机系统罪(1起)。这就意味着该案发生后涉案单位开展数据刑事合规应当指向涉及如上罪名的罪名群。之所以作出该案中具体罪名群的界定,是因为有关身份证件/号采集行为的特定辐射力所致。假如数据经营主体的基本业务是窃取、收买或非法提供、使用信用卡信息等其他内容的,则用作合规指向的具体罪名群会有明显不同(具体可以从图2中选取关于信用卡信息的罪名群部分)。
第二步,基于数据经营主体处理数据行为涉及犯罪的风险点进行确定。数据刑事合规在个案中并不要求对具体罪名群中各种情形的犯罪可能性均予考虑。再以案例5的合规整改为例,要判断涉案单位获取身份证件或号码的途径、进行不法使用的去向,进而再限缩合规针对的相关罪名及整改方法。涉案单位获取身份证件或号码的途径是简单索要,不法使用的行为是虚假报税,其风险点主要在于“非法获取公民信息”“虚假报税”两点。是故,涉案单位进行合规所针对的罪名可以进一步聚焦为“侵犯公民个人信息罪”“伪造、变造、买卖身份证件罪”“伪造、买卖国家机关证件、印章罪”,锁定为涉案单位进行合规整改时应针对的具体罪名;至于“诈骗罪”“妨害信用卡管理罪”“非法利用信息网络罪”“贩卖、传播淫秽物品牟利罪”“破坏计算机信息系统罪”等罪名,则被剔除出考量范围。考虑到涉案单位主要是删除了被冒用的公民个人信息及纳税申报记录,这三个罪名最终作为对象的合规整改预设,是合格够用的。通过厘清各种数据经营主体的具体业务确定刑事风险点,是开展数据刑事合规的必修课。
(三)合规结果的相对性
数据刑事合规的结果更是相对的。且不说数据处理过程中刑事风险泛在,仅就数据业普遍构成产业链的现实特点而言,任何数据经营主体不可能独善其身。若上下游的商业合作伙伴未能遵循基本合规要求而恣意滥用数据,则居于业务节点上的特定数据经营主体仍有可能受牵连被罚;同理,若企业集团的分支机构员工违法使用数据的,导致企业集团总部或其高管牵涉入罪的,更难言“无辜”。案例5即是如此,总公司因分公司负责人张×滥用公民个人信息的行为而入罪。调研中也了解到,许多一线检察官对数据刑事合规可达致结果忧心忡忡。
鉴于我国当前数据刑事合规刚起步,将在较长时间内处于探索阶段,追求数据刑事合规的结果相对性是不可逾越的。各种数据经营主体开展数据刑事合规工作所期待的只能是一种可以实现的结果,有关部门开展监管工作亦得以一种相对合理主义为指导思想。此即数据刑事合规结果的相对性定律。
于数据经营主体而言,需要制定和执行的是符合理性的数据刑事合规计划。其一,该计划指向消除数据方面“结构性疏忽”等刑事责任。这里要求的是数据刑事合规计划重在排除因单位意志或行为引发数据犯罪的风险,而不必覆盖因全体普通员工意志或行为引发数据犯罪的风险。其二,该计划指向数据刑事合规计划中对企业数据刑事风险的有效识别。当下,有的地方拿出的“企业涉及数据犯罪风险判断方案”是进行三级打分,有的机构拿出的“企业合规指数评估方案”是进行“可能性”判断。其三,该计划指向数据经营主体围绕数据犯罪风险要有“真正”的作为。这离不开必要的形式要件,但更为关键的是涉案单位是否真正投入财力等资源。笔者在一次数据刑事合规咨询中,曾经参照侵权法领域用作行为人过失评价的“利尔德·汉德公式”进行测量评估,得到了特定数据经营主体的支持。该公式用于判断数据经营主体是否开展“真正”合规的基本模型为“B>PL”,其中B表示某数据经营主体预防数据犯罪之投入成本,P表示该数据经营主体触碰数据犯罪的概率,L表示有关数据犯罪给社会造成的损失折算得出的损失金额。若B>PL时,则可以认为数据经营主体的合规整改力度大于其涉案罪量,进而认为数据刑事合规达到了理性人可接受的程度。诚然,数据刑事合规领域中达到的“B>PL”只是一个基本档次,可据实情提至更大力度。调研中发现,有的第三方机构是根据其具体数据行为涉及犯罪的风险点,结合类案特征与司法政策等因素,判断其涉案罪名及可能性大小“P”。这是督促企业进行数据刑事合规的基础性思维。若要更进一步,可以通过专家打分、会计审计的方式计算出涉案罪名可能造成的社会损失,审慎决定其整改投入所需的下限成本。
于检察机关等监管部门而言,此等意义上的相对性规律表现为其制定和执行的是符合理性的数据刑事合规验收标准。这一标准是前一标准的延续。美国司法部在制定《联邦检察官手册》时坚持“任何合规计划均不可能防止由公司员工实施的一切犯罪”,明确“评估任何合规计划的关键在于其经由充分设计是否足以最有效地预防、发现员工的不当行为,以及是否可以保证管理层执行该计划而非暗中鼓励或施压员工从事不当行为以实现商业目标”;“合规计划的有效性主要取决于企业高管以明确、可见的方式执行、参与与支持合规计划”,也就是说,企业高管在各自职责范围必须促进“一种鼓励符合道德和遵守法律的组织文化。”该计划之履行阻止内部不当行为以及对所发生不当行为提供内部监督、报告的手段等两项基本职能。总之,联邦检察官必须确定合规计划是一种经过适当设计、执行、审查和修订的有效方案。自1991年《联邦量刑指南》首次列出七项相关适用标准起,有效合规计划的标准经历多次调整。2020年6月最新版《企业合规计划评估》发布,将这一标准优化为三个基本问题:企业的合规计划设计得好吗?该计划是否得到了真诚地、善意地执行(换言之,该计划是否得到足够资源与授权来有效运作)?该合规计划是否实际运行了?不难看出,这些说法纵有千变万化、但始终富有一定的弹性,表明美国追求的是以“合规计划是否有效”为内容承载的结果相对之合规。这一混用型标准在美国适用于数据刑事合规。
回看我国,各种数据经营主体开展数据刑事合规,需要接受检察机关等主管部门的监管和验收。然而,我国关于合规监管和验收的时限同美国有很大差距,只能是限于办案期(目前理论上认为最长达1年),美国可以长达3年甚至更长,这一重大不同决定了中国合规验收标准的开发具有特殊的难度。概言之,我国有关验收标准的研发需要注意两点:一是优先验收标准的专用性。据了解,2021年8月最高人民检察院召开了“企业合规有效性评价标准”起草工作会议,但截至目前,综合性“企业合规有效性评价标准”的研发迟滞。这致使各试点地方仍处于无验收标准可用的状态。当下各地试点中主要规定了“合规第三方监督评估组织的职责”,没有给出任何合规验收标准。笔者建议,不妨先从难度较小的专门性“数据专项合规验收标准”进行突破。二是提升验收标准的客观性。考虑到主观性标准同当下无标准状态相比难言实质进步,我国应当力争开发出相对客观的标准。值得关注的一个例子是白建军教授提出的“刑事风险识别和整改验收的综合分析模型”,将检察机关验收刑事合规的结果区分为“重要级”“轻微级”“严控级”“关注级”四级。
四、数据刑事合规的实现方略
在数据刑事合规相对性定律的牵引下,各种数据经营主体需要具体开发数据刑事合规计划和安排数据刑事合规人员、培训、监管等工作。而这些离不开各数据经营主体针对实际情况制定和落实数据刑事合规方略。若从实务层面来论,此类方略必须遵循各种数据法律规范及少数技术规范设定的普遍性要求。这些要求传递出数据处理领域的禁止、警示与容许三类信号,客观形成关于数据刑事合规的三色标识。各数据经营主体可以对“标”,锁定自身数据处理各环节牵涉的犯罪风险点有无及大小,制定数据刑事合规的个性化方略。此类方略对于检察机关等有关部门开展监管和验收工作,同样具有参照意义。
(一)远离数据处理的法律红线
我国直接规定数据犯罪的主要法律规范是《刑法》及相关司法解释,其中包含一系列核心罪名的罪状描述、刑罚体系及适用方法等基本内容。它们是数据业态或行为必须严格遵守、禁止违反的准则,形成数据处理“红线”的主要渊源。不仅如此,数据领域的“基本法”、行政法中也会有着一些关于承担刑事责任的特殊条款,指向具体或概要的罪名,也属于数据业态或行为的禁区。最高人民法院、最高人民检察院发布过不少关于数据犯罪的指导性案例,其中明确了具体罪名的适用指引,也应当被纳入数据业态或行为的禁地。
全国法院关于数据犯罪的刑事判决书有助于理解《刑法》及相关司法解释中明确的犯罪构成及要素,具有值得特别说明的参考意义。首先,它们可以用于判断数据经营主体触碰各种罪名的一般风险等级。笔者通过中国裁判文书网进行检索,截至2022年7月25日共公布6750491件一审刑事判决书,据此可发现关于数据犯罪主要罪名的排序是“帮助信息网络犯罪活动罪”“侵犯公民个人信息罪”“非法获取计算机信息系统数据、非法控制计算机信息系统罪”“破坏计算机信息系统罪”“提供侵入、非法控制计算机信息系统程序、工具罪”“非法利用信息网络罪”,占比为66.8%、24.5%、3.3%、2.4%、1.5%、1.5%。这揭示了全国开展数据刑事合规涉及的罪名位序。特定的数据经营主体需要根据自身具体业务特点进一步梳理风险等级。其次,它们可以用于判断不同时期数据刑事治理的趋势与动态。仍以对中国裁判文书网的检索为例,发现侵犯公民个人信息罪从2015到2021年公布的全国一审刑事案件数分别为10、245、1069、1857、2123、1869、863。不难看出,2017年之后我国查处的侵犯公民个人信息罪案件有了明显的提升。这与2017年6月起施行最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》有关。随着我国新近实施《数据安全法》《个人信息保护法》,惩治数据犯罪将迎来新一波的高潮,步入严惩严防的高位运行阶段。再次,它们可以用于澄清数据业务中的错误认识。例如,数据业界有部分人对于使用爬虫技术突破反爬措施获取数据的行为,存在着简单地认为有罪或无罪的对立观念。通过分析全国法院关于数据犯罪的刑事判决书,不难发现爬虫技术本身并不违法,但一旦爬虫的手段、方式超出法律允许的限度,则有可能会被认定为“非法获取计算机信息系统数据罪”或者可能涉及的其他罪名。
针对不同数据产品、业务形态进行法律红线的全面梳理,是一项容易起效的基础工作。笔者在参与企业的数据刑事合规咨询活动中发现,数据经营主体梳理数据业务的法律红线能够调动各个组成部门的兴趣,也会汇集相关人员的共同智慧。通常,数据经营主体可以按照数据生命周期涉及的主要环节,针对可能涉及罪名群中的主要罪名,并结合典型案例或代表性案例进行逐一研判,找出可能蕴含的普通及重大刑事风险点。在此基础上,再拟定数据刑事合规计划开展相关工作。
(二)警惕数据处理的法律黄线(区)
我国主要的数据犯罪属于法定犯的范畴。“法定犯是对应于自然犯的一种犯罪形态,它具有行政违法性和刑事违法性的双重属性。”许多数据犯罪先违反行政法,再违反刑事法律。例如,侵犯公民个人信息罪的构成要件之一是“违反国家有关规定”,“非法获取计算机信息系统数据罪”“非法侵入计算机信息系统罪”等的构成要件之一是“违反国家规定”,也就是说违反国家有关规定或国家规定的,就可能需要承担刑事责任。在这里,“违反国家有关规定”与“违反国家规定”均仅指国家层面的规定,不包括地方性法规层面的规定;它们之间也有一些差异,“违反国家有关规定”指代对部门规章的违反,“违反国家规定”则不涉及对部门规章的违反。特别是“非法获取计算机信息系统数据罪”“非法侵入计算机信息系统罪”两个罪名中直接使用了“非法”一词进行表述。这种“非法”要素为认定具体数据犯罪提供了法律根据。这里呈现出了双重的违法结构,该结构“是由行政不法与刑事不法的重合性而产生的”。又如,拒不履行信息网络安全管理义务罪的构成要件之一是网络服务提供者“不履行法律、行政法规规定的信息网络安全管理义务”,这里虽未明示是对国家规定的违反,但其实质指向对法律、行政法规规定的信息网络安全管理义务条文的违反。可见,国家法律、行政法规规定中对数据处理行政责任设定的条文,构成数据处理的散状黄线。
我国当前设定数据处理行为之行政责任的法律条文很多。从影响力来看,有关的法律渊源既包括《网络安全法》《数据安全法》《个人信息保护法》三大“基本法”,也包括《反恐怖主义法》等其他法律中的专门条款,还包括《网络信息内容生态治理规定》等行政法律、法规中的专门条款。基于此,数据经营主体厘清数据处理的黄线,就呈现为专业而复杂的“找法”过程。其“找法”的技巧是双向连接。其一是挖掘这些法律条文设定的具体行政责任,这主要是从有关规范的“法律责任”专章或部分中整理;其二是对接《刑法》或其司法解释中的相关罪名条款。这两个方向能够有效连接、构成闭环,则升级为数据处理的黄区;反之则仍为稀松的法律黄线。以新施行的《数据安全法》为例,其第6章第44—52条规定了法律责任(主要是行政责任)的内容,这是“找法”的主要范围。有的条款如第45条第2款明确表述“构成犯罪的,依法追究刑事责任”,可以与《刑法》或有关司法解释的相关罪名进行明示对接;有的条款如第46条虽未进行追究刑事责任的明确表述,但其表述“依法给予处分”指向的行为同《刑法》或其司法解释的相关罪名能够对应,构成默示对接;还有的条款如第52条第2款规定“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任”,构成概括对接。除此之外的许多行政责任条款同刑事责任没有关系。前述三种情形的法律条文均为《数据安全法》设定的数据刑事合规“黄线”,可以汇总相接而形成《数据安全法》设定的数据刑事合规“黄区”(参见表2,“黄区”为虚线绘制部分)。
数据处理“黄线”是一个相对概念,是同“红线”相比较而产生的。此两“线”存在密切联系,触碰数据处理“黄线”的也可能进一步触碰数据处理“红线”。但它们之间有着实质性的区别,主要体现为质量特征与数量特征的差异。在质量特征方面,数据处理“黄线”往往是模糊的,而数据处理“红线”是相对确定的。在数量特征方面,数据处理“黄线”明显要多于数据处理“红线”。通俗地说,我国数据处理活动存在着广袤的模糊地带,尤以带有模糊性的“黄线”居多。人们需要立足于不同类型数据公司及其不同数据处理行为,参照相对性定律,力求精准地把握数据处理之具体两“线”。
(三)畅行于数据处理的法律绿区
1961年,时任哈佛商学院院长罗伯特指出,纯粹的负面商业道德准则等于许多戒律的集合,将会引发“企业管理者的心智不健全”“公众眼中出现狐疑”“规则层面的漏洞或过犹不及”等问题。1995年,美国另有两位学者指出,公司行为准则要达到最大效果,除应当描述“不可接受的行为”外,更应当描述“可取的行为”。这是将抽象的合规要求转化为“允许干什么”的详细规定,相比仅规定“不可接受的行为”的方式更具有操作性。于数据刑事合规而言,“可取的行为”“允许干什么”就是数据处理的绿线,即合法的数据处理行为。
绿线的出现是由法秩序统一性原理决定的。不同法律之间具有系统性的、目的性的联系。我国有学者指出,“法秩序统一性原理要求在处理刑民交叉、行刑交叉案件时关注前置法,不能将前置法上的合法行为认定为犯罪。”另有学者进一步解释道,“一行为在某个部门法中被规定为违法,则不可能在另外一个部门法中被规定为合法,否则必然造成各部门法之间的矛盾。例如,民法中的合法行为,不可能在刑法中被认定为犯罪;反之亦然。”此理给数据刑事合规设置了第一批绿线:凡是由《民法典》等民事法律规定为合法的数据行为,在《刑法》中不能被认定为违法行为,故而,就不存在被刑事定罪的可能性或正当性。例如,《民法典》第1036条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”这就给出了数据领域“不承担民事责任→不构成犯罪”的法律模型。有专家指出,“办理侵犯公民个人信息刑事案件,特别是对相关获取、提供公民个人信息行为定性时,要对标《民法典》的相关规定,坚决防止将符合《民法典》规定的行为认定为‘违反国家有关规定’,甚至按照犯罪处理。”与之相对,构成民事侵权的数据行为并不意味着伴随着刑事责任的承担,尚需进行“是否具有严重社会危害性”的前提性判断。数据领域“承担民事责任→构成犯罪”的法律模型是不成立的。
不仅如此,凡是由《个人信息保护法》等行政法律、综合性法律规定为合法的数据行为,也不能被认定为犯罪行为,或者说应该予以出罪。例如,《个人信息保护法》第13条规定,对于“为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”“为履行法定职责或者法定义务所必需”“为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需”“为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息”“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”以及法律、行政法规规定的其他情形,个人信息处理者可以“不需取得个人同意”即处理个人信息。一旦出现前述各种情形,理当纳入数据处理的绿线来处理。这给数据刑事合规设置了第二批绿线。
综上可见,法秩序统一性原理要求在判断数据行为性质时,由刑法条文得出的规范秩序同由民法、行政法条文得出的规范秩序不能相矛盾。当数据行为不能作民事违法、行政违法评价的,或者该行为被民法、行政法所容忍的,人们应当否定其被作为犯罪打击的正当性或可能性。
理解此中法秩序的“法”之范围,还可以选择软法与实践法等多重视角。数据行为是否构罪,以此为据存在三种特殊情形:一是依据行业规范特别是技术标准评价是否容许的问题。笔者调研过一起侵犯公民个人信息罪案件,涉案事实主要是行为人通过发放的家用路由器获取用户使用电脑的数据,其是否构成犯罪的一个思路是对照该领域内的国家标准。有关标准明确“路由器应具有审计功能”,生成的记录包括“事件发生的日期和时间”“事件的类型”“事件的结果”等信息的审计数据。这给梳理该案中哪些获取数据的行为合法提供了技术标准方面的一把标尺。二是依据疑难案例的裁判文书中被作为无责处理参照的问题。这些新型案件涌现的越来越多,值得关注。它们确立了“不承担民事责任、行政责任”的“实在”法则。例如,关于搜索引擎能否使用cookie技术获取数据的“朱×与百度网讯公司隐私权纠纷案”的终审判决产生了既判力,为cookie技术获取数据建立了绿线。这虽是一份地方性判决而不具有对其他法院作出相关判决的拘束力,但可援引用于刑事诉讼中争取无罪、罪轻之处理的刑辩策略。三是刑事实践中的出罪机制适用于数据犯罪的问题。我国《刑法》对于不具备实质当罚性或不具有非难可能性的行为,允许不作为犯罪处理。例如,该法第13条做出了“但书规定”,即“情节显著轻微危害不大的,不认为是犯罪”。此种情形在实践中得到广泛适用,同样适用于数据犯罪、可用作数据处理的绿线。又如,在涉及具有“行政附属性”的刑法条文时,行政许可是一种常见的出罪事由。对于数据犯罪而言,若数据经营主体获得过政府有权机关的行政许可,则其数据行为可能不满足刑法条文的可罚性条件,即便构成犯罪其刑事责任也会减轻。
前述各种情形都会对数据行为的定罪活动产生一定程度的制约。它们要么降低了涉案行为的社会危害性,要么降低了其刑事违法性,最终使得数据行为脱罪获得了正当性与合法性。它们构成一系列的数据刑事合规绿线,合起来构成密织的数据刑事合规绿区。这是数据刑事合规工作中的另类底限思维。
走向可持续的未来:代结语
需要强调的是,数据刑事合规方略的确定不是一劳永逸的,数据刑事合规计划的审视、更新和执行也是持续性的。美国研究者指出,数据刑事合规方略、计划“就像任何桌面电脑一样”,“若得不到认真维护,将很快变得过时,导致公司面临法律风险。”定期更新数据刑事合规方略,是为了适应市场条件、公司战略、资本结构或海外扩张等变化的需要;以此为基准不定期更新数据刑事合规计划,主要是适应法律新发展、公司新业务的需要。总之,数据刑事合规要以动态平衡的方式力促数据善治。