作者:孙道萃
来源:《西南政法大学学报》2022年第6期
发布时间:2022-06-02 21:06:05
一、问题的提出
《数据安全法》与《个人信息保护法》是我国两部重要的网络基本法,共同确立了数据与个人信息的“二元”立法规制与保护格局。《数据安全法》是关于数据使用与数据安全的专门“网络部门法”,其实施必然会引发与《刑法》的衔接问题,不仅包括立法方面,而且涉及刑法理论方面。在精准治理新型数据犯罪的问题上,两法衔接[1]的内容并非简单的“法律移植”,亦非对《数据安全法》的“再直接确认”。实际上,在两法之间的规范有效度上,还会出现两法规制边界的模糊、刑法介入尺度与范围的变动等情况。这既加大了刑法治理数据犯罪的难度,也会倒逼刑法立法与理论加速调整。
2022年7月21日,经国家互联网信息办公室查实:滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的行为,事实清楚、证据确凿、情节严重、性质恶劣,并依法对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼 CEO、总裁等人各处人民币100万元罚款。这意味着备受关注的“滴滴案”告一段落。但是,在“滴滴案”发生后,不乏有主张应当根据《数据安全法》与《刑法》的相关规定追究刑事责任的观点。本案最终以非刑罚处罚的方式处理,遗留了不少疑问。这不仅涉及数据犯罪的立法边界与刑法规制的正当尺度等两法衔接中的系列争鸣,也引申出(大型)企业在数据领域的刑事合规应当如何具体实施的问题。刑法治理数据犯罪不应止于事后的消极惩罚措施,也可以是积极的预防措施。
在多法衔接的背景下,刑法对数据犯罪的重新定位,事关刑法治理的边界问题,包括数据犯罪的立法正当性、网络刑法的理论周全性,以及如何精准调试现有刑法理论与立法实现技术代际的及时转换问题。因此,有必要厘清数据犯罪的刑法治理边界,特别是价值调和的立场与方式、刑法与其他法律之间的协作关系等宏观原则,以澄清合法性与正当性依据,强化治理结果的有效性。我国正在全面推进企业刑事合规试点工作。刑事合规为刑事法的运作开辟了独特的通道,可作为涉企业数据犯罪治理的新通道。对涉数据犯罪进行合规治理,是数据犯罪治理的当务之急,也是刑事合规试点改革的最新问题与挑战。刑事合规试点的不断推进,既扩大了合规的外部场域,亦可具体地探索和验证有关数据犯罪科学治理的刑法立场与经验。为此,应当找准数据犯罪所需的特别刑事合规路径,使其法律效果不偏离刑法的一般原理。
二、数据犯罪的刑法规制原理
《数据安全法》的全面实施,使得现行《刑法》中的涉数据犯罪规定陷入了立法滞后与规范供给不足。[2]如何有效应对新兴数据犯罪,正成为实践中的难题。对此,要遵循治理的基本原则,刑法适度、合理介入,以维系正当与合法。只有厘定刑法规制数据犯罪的一般原理及其规则,才能实现数据处理合规合法的初衷,才能确保刑法在治理新兴数据犯罪的过程中保持可持续性的发展与进步。由此,也会为通过积极导入刑事合规治理好新兴数据犯罪提供相应的参考和依据。
(一)数据发展与数据安全的价值并重
《数据安全法》第1条规定,既要规范数据处理活动,保障数据安全,也要促进数据开发利用。其中,“第二章”专门规定了数据的安全与发展问题。第13条再次强调国家统筹数据的发展和安全两个方面。据此,既要促进数据处理与使用等发展问题,也要保护数据安全。这奠定了发展与安全作为《数据安全法》的基本价值定位。在取舍之间,决定了法律的不同应对立场。在刑法应当如何规制数据犯罪上,也不可避免涉及发展与安全的兼顾问题。
对数据犯罪的规制,刑法会面临发展和安全的价值冲突问题。它可能表现为:一是要促进数据发展,就必须全面开展数据处理活动,鼓励技术创新、商业模式变革等。在这些数据处理活动中,会隐藏不可控的刑事风险,对数据安全产生不同程度的破坏作用。二是要保护数据安全,就必须完善数据监管制度,为数据处理活动的参与主体规定法定的义务,建立严密的安全措施,但也可能阻碍创新的主动性,打击参与数据处理的积极性。三是数据发展以包容开放为导向,数据安全以严格审慎为导向,二者是相互排斥的。尽管也可以兼顾,但在具体的数据处理活动中,如何根据统一的标准进行精准的价值衡量还需进一步探讨。
为此,应当建立价值融合的理念和规则,使数据的发展和安全得以兼顾,同时不制约或者限制刑法积极发挥保障功能。具体可考虑如下几个方面:第一,发展适度优先、安全防护底线。从《数据安全法》的立意看,其终极目标并不是以安全保护为掣肘,让数据发展“降速”。这违背了我国经济社会发展的大政方针,也背离了“数据”是未来最为重要的生产经营要素及基础资源的一般地位和作用。强调数据安全,是为了确保数据发展在“提速”时所引发的法律风险、刑事法律风险处在可控的范围内,是社会经济发展所能承受和社会公众所能接受的。为此,应当坚持“发展适度优先、安全防护底线”的价值调和原则。所谓“适度优先”,是指坚持在强调生存权和发展权的情况下,应当优先促进数据处理等使用活动,激发内在的经济潜能和价值,造福于人类社会。但是,“优先”是在适度的框架内才有效。其中,“适度”强调数据安全对数据发展,具有法定且常态化的反制作用。基于保护数据安全的公认理由或者集体需要等,可以对严重背离法律制度的行为加以规制,防止演变为破坏数据安全的消极因素。在网络安全保障体系中,网络安全监管制度发挥了基础性的“兜底作用”,这是增设网络安全监管犯罪的正当理由。[3]在数据发展上,没有以监管为核心内容的数据安全是极其危险的,最终会演变为庞大的数据应用危机与法律风险。第二,为数据发展“建章立制”。数据处理活动是开放的体系。在技术变革与代际变迁的情况下,数据发展是包容性的社会现象。这意味着对数据发展进行规制,不仅面临对象和范围的动态性,也需要处理复杂的外部政策关系等。然而,不能因为规制难度的增大,而放松对数据发展的整体监管。从方法上,可以通过“建章立制”的方式,使数据发展始终跟随“合法原则”。在法律允许的范围内进行数据处理活动,可以隔绝或者竭力排除刑事风险及严重危害数据安全的结果出现。此外,在“建章立制”上,不仅是指刑法修改罪名或者增设罪名,也包括有关部门及时发布部门规章、实施细则等。第三,善于用好数据安全的“紧箍咒”。在总体国家安全观下,安全政策日益强化,安全价值地位提升。安全刑法的理念日益深化,刑法的预防性功能得以强化,但也不能脱离宽严相济基本刑事政策。[4]数据安全是数据发展的“紧箍咒”。舍此,数据发展是不可能健康和稳定有序的。但是,要善于用好“紧箍咒”,而不能滥用。其关键是坚持宽严相济的刑事政策,做到区别对待,不可“一刀切”。在技术层面,需做好刑法在类型化上的干预和介入。针对不同的数据处理活动及数据的性质、地位和作用等,按照不同的数据安全等级、保护需要,选择是否介入、介入的范围及制裁程度等。而且,在结果上,应当以可以促进数据发展并不损害数据安全作为判断标准,防止实践中监管部门或者司法机关以“数据安全”为由,滥用公权力,对数据发展的参与主体、行业习惯等加以不当干扰。
刑法治理数据犯罪的首要问题是做好不同价值之间的协调,以法治的方式,借由刑法基本原则以及合理的冲突规则等,不断消解安全与发展之间的摩擦。在刑法针对数据犯罪的具体治理上,始终都需要维系二者的动态平衡与制约。对于当前正在进行的刑事合规,其对数据犯罪的特别治理意义,也最终归结在妥善处理好数据安全与数据发展的价值兼顾问题上,防止出现过激或者极端的一面,特别是不能为了实现激励机制而脱离刑事法的规定,放松启动刑事合规的条件。这种做法就是为了发展而忽视安全,没有很好地协调二者之间的关系。
(二)刑法规制的合法性与正当性
从宏观上厘清了数据安全与数据发展的辩证关系后,接下来需要着力阐明《数据安全法》与《刑法》的衔接机理,尤应消除认识误区,并确定理论标尺。经此,才可具体地确立数据犯罪的刑法规制的内在逻辑与主要规则等。其中,对于刑事合规的引入而言,其意义在于进一步厘清刑法可以介入的合法边界。
1.行刑衔接的误区与理论标尺
需要注意的是,并不是所有违反《数据安全法》及相关法律的行为,都属于数据犯罪的规制范围。经由行政违法到犯罪的实质过滤后,刑法对数据犯罪的介入才是科学的。在平衡发展和安全两种需求时,两法衔接是主要的实践场域,也是两种价值角力最为胶着的地方。这是因为根据新旧法之间的关系,两法衔接的核心是《刑法》对《数据安全法》的积极响应。《刑法》如何主动适应并承接《数据安全法》实施过程中的涉刑事风险及新兴犯罪部分是重点。但是,并非违反《数据安全法》规定的行为都需要刑法规制。否则,会成为滥用数据安全这一“紧箍咒”的负面结果。而其关键在于正确地理清数据处理违法与犯罪之间的界限,从而“限定”刑法可以治理的边界。其中,《数据安全法》第六章规定了“法律责任”,包括行政责任、民事责任及刑事责任三种情形。违反《数据安全法》的行为,一般都具有行政违法性。不过,也有例外和特殊情形。我们应当以科学的标准和原则判定刑事违法性的成立条件,并作为犯罪加以规定,不能放大对“违反《数据安全法》规定”行为的评价,甚至演化为“唯结果论”。
在实践中,对于数据处理违法行为与数据犯罪之间的界限,由于两法衔接不足,可能会出现概括性的混同现象。典型的极端情形有:(1)以行政违法的事实为前提,基于鼓励数据处理活动与数据经济发展等理由,主张应当包容违反《数据安全法》的一般违法行为,仅处以行政责任或者民事责任,原则上不需要追究刑事责任。这种做法看似对刑罚权予以克制,遏制其被滥用,却丧失了“数据安全”的底线,也导致刑法保障功能陷入“虚无”,实际上搁置了两法衔接。(2)鉴于刑法中的涉数据犯罪规定明显不足,立法也明显滞后,与《数据安全法》之间存在技术代际落差、规制理念落差,两法衔接不得不更加积极,包括积极的活性立法。换言之,扩大刑法中涉数据犯罪体系及其规制边界,以更好地保障数据安全。诚然,两法衔接是“必答题”,立法完善也是题中之义,但关键在于务必掌握好犯罪化的标尺,杜绝过度犯罪化,也要防止立法的过度碎片化和随机性,损害数据犯罪规范体系的完整性与自洽性。
上述两种极端的情形,都会使两法衔接进入误区,引发数据发展与数据安全陷入“无序”状态。在两法衔接时,务必要处理好行政违法与数据犯罪之间的界限。这关系到刑法应对新兴数据犯罪的核心立场究竟是无限制扩张,还是积极审慎适度干预,或者是消极事后惩治。[5]从数据犯罪态势看,积极审慎适度干预更为合理,其既可以释放刑法的保障功能,也不会遮蔽《数据安全法》的自主治理功能。在此基础上,只有建立实质、综合的过滤机制,才能确保刑法治理的正当与合法。譬如,在宏观上,既可以建构行政犯罪构成要件的梳理和行刑衔接的清单管理等制度,以“形式化的案件移送标准”替代目前的“实质化的犯罪认定标准”,也可以按照实质相称的比例原则,确立行政责任与刑事责任的并处适用模式。[6]无论如何,在处理好行政违法与数据犯罪的界限上,需以正当与合法作为终极的评价标准,既要做好理论上的协同,也要实现与立法需求的一致。
以安全和发展为价值前提,基于对行政违法与数据犯罪所秉持的正当、合法区分规则,可以锁定两法衔接下数据犯罪的犯罪化之理论标尺。根据《刑法》第13条规定的犯罪概念及由此确立的法定的犯罪构成体系,我国犯罪化的法定标准与理论学说,可以概括为行为同时具备“具有严重的社会危害性”“刑事违法性”“应受刑罚处罚性”的条件或者要求。[7]对于数据处理主体违反《数据安全法》规定的数据安全保护制度、安全保护义务的行为,是否应当被作为犯罪对待,必须遵循我国犯罪化的一般理论标尺,对上述三个条件,进行逐一与综合的实质、整体判断。其主要规则为:(1)数据犯罪都是典型的法定犯。对刑事违法性的识别和判断,可以采取法律拟制或者司法推定,并允许反证的存在。(2)对于新型网络法定犯,在具有刑事违法性的前提下,对社会危害性及其程度的认识与判断,需采取有别于传统犯罪的规范因素、标准及评价体系。这涉及重构网络犯罪时代的社会危害性评价问题[8],具体是指需要结合数据处理活动的性质、特征、规律及应用方式等,围绕是否干扰或者破坏“数据的有效保护和合法利用状态或者持续安全状态的能力”的核心内容,进行实质判断。(3)数据犯罪可归入到轻微犯罪体系内,有别于重罪体系。对是否应受刑罚处罚性的判断,是以符合网络犯罪的一般规律、数据犯罪的特别需求为前提,以处罚的必要性和有效性为主要判断内容。如若考虑到数据犯罪的特性,从宽严相济刑事政策的立场看,不再一律以事后的严厉惩罚为应对方式,也可以实现更好的治理效果。
2.数据犯罪立法的科学化
从现实的供需两端看,刑法对数据犯罪的治理,其一重要内容便是积极的立法体认。这不只是两法衔接的核心要义,更是刑法积极治理数据犯罪的实然。而且,在数据犯罪的立法化过程中,也会进一步验证、修正及完善刑法治理数据犯罪的一般原则、立场,以及规则的合理性、可行性及有效性,特别是关于犯罪化的立法探讨,会持续地增厚和加深刑法积极治理数据犯罪的科学性与实效度。
数据犯罪主要是指违反《数据安全法》《网络安全法》《个人信息保护法》等法律法规的行为。但是,数据犯罪的范围与形式是动态的,这会引发立法范围的模糊等问题。应当尽量框定数据犯罪的立法边界,既对事先“圈定”立法的犯罪圈及非犯罪化等具有积极意义,也有利于锁定两法衔接的场域。同时,数据犯罪是最新的网络犯罪形态,应当适度在理论上区分,而非简单混同新型数据犯罪与一般意义上的网络犯罪。[9]这也有助于提高数据犯罪立法的精准度,避免概括性套用有关网络犯罪的立法经验,以此增强数据犯罪立法的可识别度及专属度等。
在已明确了犯罪化的理论标尺后,应当阐明犯罪化的立法限度。在两法衔接的主要内容上增设新的数据犯罪规定是必然要求,否则,刑法规范供给不足的问题仍将蔓延,危及刑法保障功能的实现。在遵照犯罪化的理论标尺之际,也需要在整体上布局与设计犯罪化的立法限度[10],增强立法的科学性。其要点在于:(1)严格以法定的保护义务作为刑法立法的规范依据和参照,违反了法定的数据安全保护义务是数据犯罪的必要条件。(2)以数据安全制度为一般性的立法依据,对破坏整体性的数据安全行为加以概括性规制。(3)根据实际需要,选择修改罪名或者增设新罪名。在启动数据犯罪立法时,应当强化罪名的体系性,提高立法的前瞻性和预见性。(4)应当在刑法典中规定数据犯罪,而不宜通过附属刑法或者特别刑法等方式加以规定。当前,刑法修正案仍是完成数据犯罪立法的优先选择。这既维护了刑法典的统一性,也确保了司法标准的确定性。例如,德国通过附属刑法和核心刑法建立了二元数据刑法保护模式。[11]不过,该立法模式未必符合我国的实际情况,也可能脱离《数据安全法》及“二元”立法格局。
当前,刑事合规试点的立法化已经提上议程。在积极拓展对数据犯罪的多元治理上,刑事合规是“不二之选”。在刑事合规的立法上,真正有效地关注包括数据犯罪等在内的特定治理情形,会有助于提高立法的科学性及其质量。
三、数据犯罪刑事合规的一般理路
企业刑事合规试点工作正在全面推进,已经成为刑法治理涉企犯罪的重要抓手。以正在全面推进试点的企业刑事合规为切入点,可谓恰逢其时。此举拓展了科学治理数据犯罪的路径。刑事合规之于数据犯罪的特别适用,不止是司法上的“应景”之作,也是验证与修正数据犯罪治理经验、法则的最新探索,彰显了刑法积极整合与优化法治资源的政策导向。如何有效通过规制数据犯罪以实现数据安全、数据发展,是当前的实践难题。优化特定精准的刑事合规方案便成为关键。
(一)数据犯罪刑事合规治理的特定意义
企业刑事合规试点工作已经全面铺开。这从政策维度充分肯定了试点工作的实际意义和司法价值,也更进一步形塑中国特色刑事合规制度,但也不能忽略问题和不足。[12]尽管如此,对于涉企数据犯罪的合规治理工作,已然成为数据犯罪治理的当务之急。以刑事合规改革为一般的参照,既要回溯到数据犯罪的特性予以区别对待,也要紧跟刑事合规的实际需要与最新进展。在打通二者后,可为数据处理活动的“合规”开启制度性的规范通道,以呼应两法衔接的供需问题。
在现阶段,数据犯罪的变动性,决定了刑法对数据犯罪的治理具有相当的开放性。在治理观念上,既不能完全参照重罪的治理经验,也不能完全套用针对传统犯罪的治理逻辑,反而应当突出数据犯罪治理的特性。承上所述,刑法治理数据犯罪,应当秉持相适应的基本立场、原则及具体规则等,特别是当前急需处置好行刑衔接的合法与正当及立法的科学化等重要问题。对于上述所建构的初步共识,可以通过刑事合规制度进行具体试验,以探索出更加系统的方案。
对于数据犯罪而言,在两法衔接的背景下,适用刑事合规制度具有更加特殊的意义。概言之:(1)真正实现对数据犯罪的科学治理而非单纯的打击或者消灭。数据安全关涉国家安全、国家主权以及经济安全、信息安全,是总体国家安全观的重要内容。在两法衔接下,对数据犯罪的精准治理,必须拔高至总体国家安全观的顶层设计上。《数据安全法》第4条规定,维护数据安全,应当坚持总体国家安全观,包括建立健全数据安全治理体系等,提高数据安全保障能力。这明确了对数据安全的积极治理立场。当前,深入推进涉案企业合规改革是宽严相济刑事政策创新发展的具体检察实践。[13]而且,刑事合规以社会的可期待性和附随的社会成本的具体考虑为主线,在确保合规整改及其有效性的正当化与合法化下[14],将以更低的犯罪治理成本,对涉企犯罪进行“激励”“挽救”等,以提高犯罪治理的成效。新型数据犯罪导入企业刑事合规制度后,显然有助于实现上述目的,即不再依赖传统国家通过刑法进行打击的单一方式,转而通过犯罪治理上的多方合作,对犯罪进行更加灵活和有效的治理,扩充了刑法保障的种类。(2)作为联动数据发展与数据安全的制度性抓手。数据处理活动是形成数据生产力的关键。但是,数据处理也会引发法律风险与刑事风险,这是数据发展与数据安全相互冲突的根源。《数据安全法》第7条规定,鼓励数据依法合理有效利用,保障数据依法有序自由流动。第8条规定,开展数据处理活动必须坚持合法原则。据此,在坚持合法原则下,数据发展与数据安全是可以兼容的。在具体抓手上,正在推进的企业刑事合规可胜此任。刑事合规为数据安全应当制约数据发展、数据发展不能损害数据安全的价值冲突,提供了另一种调和的路径,即搁置价值冲突的状态及暂不直接追究刑事责任,但附加严格的合规监管要求,从而在坚持安全的底线原则上,同时尽量促进数据的处理、应用。
以数据犯罪的刑法治理供需为前提,按照刑法积极治理数据犯罪所应遵循的基本原则及规则等,可以发现刑事合规改革提供了独特的“落地”契机与平台。打通刑事合规与数据犯罪治理为基础,可以具体地建构数据犯罪的治理路径,丰富刑法治理数据犯罪的一般经验、逻辑,推进理论体系的再集成。
(二)数据犯罪合规治理的特别理据
数据犯罪是较为特定的新型网络犯罪。当前,以相关刑事合规试点工作文件中的抽象、概括的一般性规定为基准,并不足以解决好针对数据犯罪的特别刑事合规问题。这也显示了数据犯罪刑事合规的特殊性。
对新兴数据犯罪适用刑事合规,会面临以下特别问题:(1)对“数据寡头”启动刑事合规,看似可以实现特殊的治理效果和目的,但“数据寡头”具有垄断数据处理的能力,一旦违反《数据安全法》,对总体国家安全观的破坏往往都是“灾难性”的。对其进行合规治理,难免是“避重就轻”的做法,也并不必然会在刑罚处罚的有效性上得到更好的“注解”。(2)在应当合法开展数据处理的原则下,对于违反《数据安全法》的行为,如若涉嫌构成犯罪的,是否需要设置可以适用刑事合规的正向条件和应当禁止适用的情形?易言之,一律无条件适用刑事合规是否合法且正当?正在开展的试点工作没有给出明确的答案。从试点工作的经验及相关规定看,并不是所有的涉企犯罪案件都可以适用。对于新兴数据犯罪而言,也会存在刑事合规适用上的“禁区”。一旦强行适用,会冲击《数据安全法》的立法原意,也会损害其与刑法的关系。(3)刑法尚未充分根据《数据安全法》以重构涉数据犯罪,也未对数据安全建立最新的干预边界、准则等。此时,对新兴数据犯罪适用合规,可能会引发“超前处置”及“变相放纵”等问题。在刑法立场尚未明确的情况下,对可能涉嫌数据犯罪的行为,适用刑事合规予以“宽缓”处理。这种做法面临正当性上的疑问,甚至会被认为没有相应的刑法根据及理论基础,也就不免会和罪刑法定原则抵牾。
因此,在遵照企业刑事合规所依赖的一般理论基础上,还需具体讨论可以对数据犯罪进行合规治理的现实根基与理论依据。结合《数据安全法》的规定,针对数据犯罪适用刑事合规,主要依据可为:(1)数据安全的综合性、复杂性及敏感性。保护数据安全不止是《数据安全法》的任务,《刑法》也只是其中一环。建立健全数据犯罪治理体系是有效的治理手段,但在处置数据安全的综合性、复杂性及敏感性上会存在局限和不足。尽管如此,刑法治理是不可或缺的。当前,导入具有积极治理效能的刑事合规制度,可以拓宽刑法治理的方式与措施,不再依赖事后惩罚机制。进而,改进数据处理活动的营商环境,净化数据发展市场。这是必要性与正当性的重要来源。(2)数据犯罪的发展性、多变性。广义的数据犯罪不是孤立的,而是与其他关联犯罪紧密相关。当前,数据犯罪治理体系还未独立,内容也不健全。刑法对数据犯罪的规制,实践中是以现有规定为依据进行扩张解释,以符合罪刑法定原则。[15]这是制约刑法治理的消极条件,不利于刑法实现积极治理。然而,新兴的数据犯罪不断涌现,在无“法”规定的情况下,引入具有合法地位的刑事合规是可行的“避险”方式,可以在罪刑法定原则与积极规制之间谋求平衡,也间接地确保了刑法的积极治理可以落到实处。对新兴数据犯罪适用刑事合规,为数据犯罪治理提供特定的“滤罪”机能,[16]这是合法性与合理性的主要来源。
四、数据犯罪刑事合规的优先事项
以刑事合规为制度起点,刑法对数据犯罪的治理,在澄清了理论根据等一般问题后,尚需优先处理实践中的重点与难点问题。以刑事合规试点的情况为特定参照,合规不起诉的运用与和合规有效性的建构应当作为优先的解决事项。
(一)适用合规不起诉的理论释明
在企业刑事合规改革试点中,合规不起诉是最大的亮点。它承载了该制度“福利”的“上限”,也面临不少实体法上的理论与立法障碍。[17]对企业涉数据犯罪适用刑事合规时,也应当激活特定的“从宽”处罚之激励机制,但必须依法、适度。
合规不起诉的首要前提条件之一是认罪认罚。这显示了刑事合规与认罪认罚从宽制度的紧密融合。2021年6月,最高人民检察院发布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称《指导意见》)第4条第1项规定,涉案企业、个人认罪认罚,试点地区人民检察院可以根据案件情况对涉企犯罪案件适用合规不起诉。2021年6月,最高人民检察院发布企业合规改革试点典型案例时,总结出“检察机关很好地推动企业合规与适用认罪认罚从宽制度相结合”的经验。《指导意见》第14条第1款规定,人民检察院在办理涉企犯罪案件过程中,应当将第三方组织合规考察书面报告、涉案企业合规计划、定期书面报告等合规材料,作为依法作出起诉或者不起诉决定的重要参考。最高人民检察院等九部委联合发布《涉案企业合规建设、评估和审查办法(试行)》(全联厅发〔2022〕13号,以下简称《办法》)。第2条规定,对于涉案企业合规建设经评估符合有效性标准的,人民检察院可以参考评估结论依法作出不起诉的决定。概言之,根据《指导意见》和《办法》的规定,必须同时满足合规的有效性等其他条件。
在满足上述条件后,人民检察院才可以作出合规不起诉决定。在现阶段,对数据犯罪作出合规不起诉的处置决定,其法律后果可以概括为出罪,在性质上可以归属为政策出罪的类型。在检察主导的实践模式内,检察机关的公诉裁量权发挥特别关键的决定性作用。[18]从对数据犯罪的有效治理看,作出合规不起诉决定是典型的政策出罪情形。这与数据犯罪的动态性、阶段性特征是一致的。同时,在企业刑事合规试点到期后,由于刑法没有相关的规定,不能继续作出合规不起诉决定,公诉裁量权的裁量空间失去了合法性依据。尽管如此,从试点改革的基本动向看,刑事合规必将走向制度化、规范化、立法化。因此,仍有必要具体地讨论对新型数据犯罪可以作出合规不起诉的刑法根据,以显现治理的特定性与个别性。具体而言:(1)犯罪治理观的转变。《刑法》第1条规定“惩罚犯罪,保护人民”的立法目的。第2条规定“用刑罚同一切犯罪行为作斗争”的刑法任务。上述规定并无不当。只是跳出刑法并联动犯罪学、刑事政策等后,上述规定存在制度性的“短板”,会制约对犯罪的系统性应对。在国家治理体系与治理能力的现代化建设过程中,应当扭转将刑法作为简单的打击犯罪之工具的观念,转向犯罪治理的新观念。它要求根据社会经济发展的情况,结合犯罪的态势,加强溯源治理。在网络犯罪治理上,犯罪观的转变尤为重要。[19]新兴数据犯罪是正快速演变的一种网络犯罪类型,会随着数据的应用技术及其发展的不同政策、应用方式及数据安全的实际需要等变化。在特定条件下,对数据犯罪进行合规治理是必要的。(2)网络犯罪的干预立场。网络犯罪正在成为我国主要的犯罪类型,刑法对其干预的立场显得尤为重要。总体看,积极刑法观可以作为应对新兴技术风险的凭据,以提前管控刑事风险,维护网络安全。不过,积极治理不等于“一律作为犯罪论处”,在结果上不都是“定罪处罚”。“违法必究”与“有罪必罚”的事后惩治观念[20],在面对新型数据犯罪时,治理效果不会太好。“有罪不罚”是惩治传统犯罪所缺乏的理念,对于数据犯罪而言亦是如此。对数据犯罪尝试合规不起诉的处理方案,契合了“积极治理”的网络犯罪规制立场。(3)数据犯罪的规制逻辑。数据犯罪是比较特殊的网络犯罪。在数据安全的刑法保护上,涉企数据犯罪(数据处理者实施的犯罪)横跨了单位犯罪和数据犯罪,也需做好区别对待。其中,完全以适用于传统犯罪的犯罪构成作为适用依据,既不妥当,也不合适。实际上,通过适用合规不起诉,对设置数据犯罪之特定的构成要件(成立条件)也具有积极的推动意义,也对建立网络刑法意义上的一般犯罪构成体系提供了特别的参考。
(二)合规有效性的具化与法则
对数据犯罪进行合规治理,从《指导意见》和《办法》看,关键会落在合规有效性上。域外在合规有效性的标准和体系上较为成熟,这有助于精准做好刑事合规有效性的一般性评估等。我国当前的试点也在加速累积专属经验等。[21]对于新兴数据犯罪的合规有效性指标、考核等,还需具体地回归到数据犯罪治理原理。
1.数据犯罪的有效合规之供需导向
并不是所有的数据犯罪都适合于合规整改。要充分发挥刑事合规在治理数据犯罪上的积极作用,首先必须厘清数据犯罪的特性,以及合规的特别需求。经此供需两端的交汇,才有助于打通刑事合规与数据犯罪在有效治理上的对接点。根据《数据安全法》的规定,对数据犯罪进行合规整改,可能会出现以下特性问题:第一,新兴数据犯罪是典型科技型犯罪,具有显著的“技术性”犯罪特征。在数据处理过程中,一些刑事风险会转换成犯罪问题。这显示了数据犯罪具有鲜明的“技术性”特征,是典型的科技型犯罪。现代科技是把双刃剑。对于技术应用过程中形成的法律风险,是否需动用刑法介入,应当将技术的中立性、技术应用风险的不可控、技术风险的价值可变性、技术风险的社会容忍度可调整性等因素,作为追究何种法律责任的判断依据。例如,对于“巨无霸型”的数据企业,在涉嫌违反《数据安全法》规定且社会危害极大的情况下,只通过追究刑事责任,未必可以实现政治效果、法律效果的高度合一。第二,数据犯罪是相对独立的网络犯罪类型,精准区别治理是有效合规的前提。《数据安全法》在《网络安全法》的基础上,对数据发展和安全作了系统的规定。据此,数据犯罪是最新的一种网络犯罪形态,有别于早期的计算机犯罪形态,也不同于以信息网络安全为主要内容的网络犯罪形态,还与个人信息犯罪有差异。同时,数据安全不完全等同于抽象的“网络安全”。在设置保护的范围和边界时,刑法要以《数据安全法》为一般依据,在考虑“数据发展利益”的前提下,再评估“数据安全”是否遭受破坏以及被破坏的程度。此外,也要权衡通过刑罚处罚的治理手段,能否取得最佳的效益。第三,涉企数据犯罪有自身的特征与规律,不同于一般的单位犯罪。刑事合规的适用对象主要是涉罪企业。在我国,单位犯罪不同于自然人犯罪,有相对独立的理论体系。涉企数据犯罪是数据犯罪与单位犯罪的“结合体”,不同于传统单位犯罪。这是因为数据处理者(企业/单位)在不同的数据处理活动中,生产经营的要素、企业管理要求、安全保护义务、公司管理结构等,都出现了新的变化。相应地,在追究涉数据犯罪的企业之刑事责任时,应充分考虑数据企业面临的特殊性和复杂性,正确把握好刑法介入的尺度。
对数据犯罪进行合规治理,必须紧密结合数据犯罪的本质特征。只有厘定数据安全的内容、数据犯罪的罪质、数据犯罪的危害性之征表等,才能抽取出数据犯罪的特性。这些特性决定了对数据犯罪的合规,不同于对传统犯罪形态的合规,其所需的理论与应设定的目标等也不尽相同,治理的方式和策略也应区分。正确把握上述特性,会有助于提高数据犯罪的合规有效性,而不落入刑事合规的一般“套路”内。进而,也更利于开展类型化的合规有效性的执行、评估等工作。
2.合规有效性的特定考量
除《指导意见》和《办法》之外,最高人民检察院还出台了《涉案企业合规第三方监督评估机制专业人员选任管理办法(试行)》《涉案企业合规第三方监督评估机制管委会办公室工作规则》等规范性文件。同时,2022年2月,以适用第三方监督评估机制为重点,最高人民检察院发布第二批企业合规典型案例,阐明企业合规流程、第三方机制的启动与运行、合规整改效果、检察机关的主导作用等。据此,经由试点已经建立起了有中国特色的刑事合规之有效性指标体系。针对新兴数据犯罪,在设定合规有效性的要素与评价指标等内容时,还需着重考虑以下特定维度:
第一,专业性。不同于传统犯罪,数据犯罪是发生于数据处理过程中的犯罪。这决定了数据犯罪不仅具有“技术性”特征,而且,实施主体、行为手段等都具有相当的专业性。对于专业性明显偏高的数据犯罪,必须坚持“技术制衡”的对等反制立场。这才能实现“相适应”的犯罪治理效果。在设定数据犯罪的合规有效性问题上,也必须坚持专业性的要求。它是指由具有专业知识的人负责制定、实施、评估、检验合规内容及其有效性,以确保所得出的结论具有公信力、专业度,也防止司法人员滥用权力。《办法》第4条规定,涉案企业一般应当成立合规建设领导小组;必要时,可以聘请外部专业机构或者专业人员参与或者协助。在应当配置专业人员的前提下,《办法》第8条规定,涉案企业的合规管理机构和各层级管理经营组织,均可以独立履行职责。对涉及重大合规风险的决策,可以充分发表意见并参与决策。只有根据职能特点设立合规目标,才能细化合规措施。之所以强调专业性,就是为了能够通过合规计划,有效防止再次发生相同或者类似的违法犯罪行为。
第二,相当性。对涉企数据犯罪进行合规整改有特殊要求。在设置合规有效性的要素与指标等问题上,要坚持实质的必要性与适当性,使合规整改的要求、措施等,与预防涉企再次“犯错”的需求相匹配。这就是相当性问题。《办法》第7条规定,涉案企业应当设置与企业类型、规模、业务范围、行业特点等相适应的合规管理机构或者管理人员。《办法》第8条规定,涉案企业应当针对合规风险防控和合规管理机构履职的实际需要,设立合规目标、制定合规管理规范、弥补监督管理漏洞等。这些都强调了合规有效性的相当性要求。对涉企数据犯罪制定合规有效性的体系时,必须以相当性为核心标准,防止出现不切实际的“拔高”或者“降维”。既不“难为”涉罪企业,也不过度“纵容”涉罪企业,使合规整改落到实处。这才能以相适宜的有效度,夯实合规的科学性、合理性。对此,《办法》第14条规定,第三方组织对涉案企业专项合规整改计划,和对相关合规管理体系有效性进行评估,应重点考虑6项内容。《办法》第15条还规定,第三方组织应当以涉案合规风险整改防控为重点,结合特定行业合规评估指标,制定符合涉案企业实际的评估指标体系及其权重等。这些一般性规定是基本要求。涉数据犯罪企业应当根据实际需要,积极作出调整,增强有效度。
第三,参考性。目前,合规考察书面报告是涉案企业合规整改是否有效的集中体现与书面载体,从功能上可以视为是一种出罪证据或者材料。[22]同时,按照《指导意见》的规定,合规有效性是作出合规不起诉等决定的参考,但合规有效性并非绝对的强制性要求。它是充分条件而非必要条件。法律效力是“参考”,而非“法定依据”。据此,合规有效性在刑事合规制度中是参考性地位或发挥参照性作用。“参考性”的功能之定位,对涉罪企业、检察机关而言,建立起相互制约的机制,既有助于将涉罪企业的合规积极性、主动性、真实性变成实质的客观表现与行动,也会克制检察机关主导下的权力滥用,全面依法履职。
通过充分考虑上述因素,结合《指导意见》和《办法》的规定,可以针对数据犯罪的合规有效性,设计更加具体、特定的指标、规则和要求等。当然,根本之计还是应当结合试点经验,通过立法的方式加以确认[23],才能真正合法、正当。
五、结论
《数据安全法》的通过具有划时代的立法意义。它不仅从网络专门法的角度,对网络3.0时代的“数据”作了最全面、系统的规定,也触发了与刑法的全方位衔接问题。对于新兴的数据犯罪问题,刑法有必要从消极的事后惩罚转向积极治理。应围绕数据犯罪所涉的诸要素,如价值追求、保护目的、两法的规范确认等,对现行刑法做一个深度的“体检”,并据此开出“药方”,以便对症下药。刑法适时修正与调试,才能对不断变动的数据犯罪加以适宜、有效的规制。这奠定刑法积极治理数据犯罪的理性边界。从制度供给的具体创新与实践上,正在全面试点的企业刑事合规提供了绝佳、应景的场域。以数据犯罪的科学治理立场与要求为一般遵循,借助刑事合规试点工作的开放性、特定性等优势,不仅可以拓展刑法治理数据犯罪的通道与平台,也助力验证与修整企业刑事合规的本体内容。
【注释】
收稿日期:2022-08-22
基金项目:中国政法大学2021年校级科研创新项目“网络不正当竞争犯罪的刑法应对研究”(21ZFQ82004);研究阐释党的十九届四中全会精神国家社科基金重大项目“健全社会公平正义法治保障制度研究”(20ZDA032)。
作者简介:孙道萃(1988),男,江西泰和人,中国政法大学国家法律援助研究院副教授、硕士生导师,中国刑法学研究会副秘书长,法学博士。
[1] 更准确地讲,是多法衔接,包含《个人信息保护法》与《刑法》的衔接。三法在规范融合上密切关联。
[2] 刘宪权、石雄:《网络数据犯罪刑法规制体系的构建》,载《法治研究》2021年第6期,第44页。
[3] 孙道萃:《网络安全监管渎职行为的犯罪化研讨》,载《新疆社会科学》2021年第6期,第111页。
[4] 高铭暄、孙道萃:《总体国家安全观下的中国刑法之路》,载《东南大学学报(哲学社会科学版)》2021年第2期,第59页。
[5] 刘艳红:《网络时代社会治理的消极刑法观之提倡》,载《清华法学》2022年第2期,第173页。
[6] 李煜兴:《行刑衔接的规范阐释及其机制展开——以新〈行政处罚法〉行刑衔接条款为中心》,载《中国刑事法杂志》2022年第4期,第64页。
[7] 孙道萃:《罪责刑关系论》,法律出版社2015年版,第5-10页。
[8] 孙道萃:《网络刑法学初论》,中国政法大学出版社2020年版,第32-39页。
[9] 张佳华:《大数据时代新型网络犯罪的惩治困境及进路》,载《学习与实践》2022年第5期,第85页。
[10] 高铭暄、孙道萃:《〈刑法修正案(十一)(草案)〉的解读》,载《法治研究》2020年第5期,第3页。
[11] 王华伟:《数据刑法保护的比较考察与体系建构》,载《比较法研究》2021年第5期,第135页。
[12] 孙道萃:《刑事合规的系统性反思与本土塑造》,载《华南师范大学学报(社会科学版)》2022年第4期,第153页。
[13] 万春:《宽严相济刑事政策创新发展的检察实践》,载《中国刑事法杂志》2022年第4期,第3页。
[14] 孙国祥:《刑事合规激励对象的理论反思》,载《政法论坛》2022年第5期,第77页。
[15] 高铭暄、孙道萃:《网络时代刑法解释的理论置评与体系进阶》,载《法治研究》2021年第1期,第22页。
[16] 张勇:《数据安全刑事合规的滤罪模式》,载《学术论坛》2022年第3期,第13页。
[17] 黎宏:《企业合规不起诉改革的实体法障碍及其消除》,载《中国法学》2022年第3期,第246页。
[18] 董坤:《论企业合规检察主导的中国路径》,载《政法论坛》2022年第1期,第117页。
[19] 孙道萃:《网络时代的中国刑法发展研究:回顾与展望》,载《华南师范大学学报(社会科学版)》2021年第1期,第157页。
[20] 张明楷:《犯罪的成立范围与处罚范围的分离》,载《东方法学》2022年第4期,第75页。
[21] 刘艳红:《涉案企业合规建设的有效性标准研究——以刑事涉案企业合规的犯罪预防为视角》,载《东方法学》2022年第4期,第104页。
[22] 李作:《论合规考察书面报告的性质、效力及适用程序》,载《中国刑事法杂志》2022年第4期,第161页。
[23] 高铭暄、孙道萃:《刑事合规的立法考察与中国应对》,载《湖湘法学评论》2021年第1期,第77页。