网络平台犯罪的刑事合规实现

郭竞帆，陈彦均

（1. 澳门科技大学 法学院；2. 澳门科技大学 可持续发展研究所，澳门 999078）

风险刑法作为刑事合规的大背景[1]100，其并不直接产生了刑事合规。而是说，风险刑法直接催生的是法人犯罪[2]。在法人犯罪增多的趋势下，作为个体的企业面临越来越多的刑事风险。风险社会中的这种低概率且高影响的风险[3]渗入公司治理领域，作为法人的公司也开始产生并实际面临一种符号化的不安和恐惧，这才有了刑事合规的出现。刑事合规制度实际上是通过刑罚激励的方式对合作规制理论进行的积极回应，而这种回应具有刑罚论上的根据，因此具有正当性[1]105。然而，风险刑法理论所带有的积极的一般预防理念让人们不得不对刑事合规本身进行理性的思考，尤其是作为信息时代中重要角色的网络平台，其在网络活动中往往处于网络服务提供者的地位。互联网活动中由于其技术性和隐蔽性等一系列特点，犯罪行为往往被掩盖[4]。对网络平台犯罪的刑事合规之提倡，有利于实现网络社会的风朗气晴，从而兼顾安全和经济效率的双重价值。

一、问题的提出

随着经济社会的复杂变化，我国法人犯罪（又称单位犯罪）的数量逐渐升高[5]。为了帮助民营经济防范和减少触刑风险、预防犯罪，刑事合规应运而生。法人犯罪的扩张在世界范围内也有信号，一方面来说是罪名扩张，两大法系的国家在其刑法中纷纷增设法人犯罪的罪名；另一方面则表现为不合规罪名的诞生，英国的“商业组织未防止贿赂罪”和南非的“未能报告腐败行为罪”便是典型代表[6]。另外，随着科技朝着复杂性和广泛性方向的发展，新兴领域尤其是信息网络领域内犯罪频发。网络空间的犯罪治理成为社会治理中的重要议题，对此作为社会正义的最后保障法的刑法应当对此有所作为，以应对社会现实的风险和挑战。

事实上，法人犯罪和网络犯罪的扩张正是在提醒我们，社会的犯罪预防手段应该进行相应调整，即一种治理上的预防转型[6]。刑事合规试点和实践的开展如火如荼，为此，我们面临深思的问题是刑事合规能否担此重任？凭借刑事合规的犯罪治理正当性是否具备？刑事合规的立场是保护安全、保障自由，还是为了推动经济效率？

二、刑事合规的理论和实践

（一）刑事合规理论的研究现状

陈瑞华认为，刑事合规所具有三个面向，其一作为公司治理的手段，其二作为刑法激励的途径，其三作为律师提供的一项法律服务[7]。刘艳红认为，应积极探索刑事合规的出罪模式。他归纳了三种模式，其一是单位责任模式，其二是监管模式或防范模式，其三是实践模式。在单位犯罪的语境下，李本灿将刑事合规进行了类型化处理，类型化后刑事合规表现为三种模式，即作为阻却犯罪事由的刑事合规、作为起诉激励的刑事合规、作为量刑情节的刑事合规。

关于单位犯罪的刑事责任承担方式上，资格刑被学者提出[8]，其认为应当将单位视为一个理性人，对犯罪的单位要进行重刑威吓。他认为，合规也包括一般性的行为和具体性行为。韩轶却认为资格刑的提法较为欠妥[9]。刘艳红认为，合规不起诉制度带来的合规整改是一种相较于罚金刑而言更为严厉的制裁手段[10]。刘艳红梳理道，合规不起诉的教义学根基在于单位犯罪的分离构造和制裁论上的超越刑罚外效果。合规激励的正当性在于合规可期待性和附随成本。时延安认为合规整改的需罚性和激励正当性[11]值得进一步被关注。

在单位犯罪的罪名的扩张趋势之下，单位犯罪的刑事责任也在面临从报应向预防的转向。在刑事法治的这种转向之下，作为能动主体的企业也在考虑化被动为主动，积极规避企业可能发生的刑事风险，对此刑法也要有所作为，使得合规规范化。刑事立法可以在企业合规方向的努力有：其一，在总则单位犯罪中为企业设立注意义务。其二，在总则刑罚篇为刑事合规设定法定量刑情节。其三，在分则中设立企业合规失职的罪名[9]。企业合规失职罪名已经通过《刑法》第286 条之一拒不履行信息网络安全管理义务罪得以展现，对于将刑事合规作为一种量刑情节考虑，似乎在我国语境下具有可行性。从另一方面理解，刑事合规也是企业对国家的一种期待，因为如果企业为合规付出了高昂成本，然而对此国家没有制度性回应，那么此时企业就会在市场竞争中丧失竞争力[1]3。换言之，企业基于交换或信任与国家开展司法协商，旨在降低风险和预防犯罪。

（二）刑事合规的实践反思

刑事合规虽然在试点前已有研究，但是真正实践是始于2020 年3 月，2021 年6 月试点拓宽至十省市。2021 年6 月最高检联合发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》，并在其中明确刑事合规的适用范围、适用条件、启动程序、第三方机构等。自此我国的刑事合规进入到了有规范文件指导的时期。

为了推动刑事合规试点、改革的进行，自2021年6 月起最高检共发布了四批企业合规典型案例。企业合规不起诉、从宽制度、社会调查、监督评估、部门协调、行业治理等具体方面得到重视和关注。除了大量的不起诉决定外，还有一些值得关注。在第一批的案例二中，检察机关通过与认罪认罚从宽制度结合，提出了从宽的量刑建议并被法院全部接受。在第二批的案例六中，检察机关根据企业合规整改情况，提出了轻缓的量刑建议并被法院全部采纳。在第三批的案例二中，面对重罪情形，法院表示对于企业的合规整改会在量刑时酌情考虑。在第四批的案例一中，检察机关提出了从宽处罚的量刑建议并被法院接受；案例三中，检察机关扩宽了原有的罪名和对象的范围。合规整改与考察越来越被当作一种量刑的情节应用于司法实践之中，以帮助企业完成自我改造，减少刑事责任，降低风险。

（三）刑事合规的图景展开

以往对于刑事合规模式的分类通常以国别进行，分为英国模式和美国模式。然而，鉴于两种模式大有融合的趋势，故而原有的分类模式展现诸多弊端[12]。因此，李本灿认为刑事合规模式应当重新进行类型化。他进一步提出，刑事合规应该分为作为阻却犯罪（违法性或罪责）事由的合规和量刑激励的合规。量刑阶段的合规多用于事后合规，况且合规不仅有是否的问题还有程度的问题。阻却犯罪事由的合规有英国模式、日本模式和美国的合规不起诉模式。量刑阶段的合规主要代表是事后合规整改和加减刑罚的模式，主要代表是美国《联邦量刑指南》第八章的组织量刑规则。根据积极的一般预防理念，应当对企业采取宽缓的刑罚。将合规与刑罚建立联系，以免合规计划沦为装潢之作用[12]。由此，似乎作为量刑激励的刑事合规更受到刑事实体法学者的青睐。

三、刑事合规的实现路径

自2018 年的刑事政策和2020 年以来的刑事合规的试点以来，在各地检察机关的有效推动下，刑事合规发挥了巨大效用。一方面，企业和企业家的权利得到了进一步的保障；另一方面，透过刑事合规，企业自身抗风险能力得到强化，营商环境得到进一步优化。最重要的是，刑事合规的开展挽救了企业，促进和保障了就业与民生，发挥了刑法对于社会稳定的积极功能。根据最高检的工作报告，检察机关是合规整改的主要推动力，合规不起诉成为刑事合规的主要方式。在合规不起诉展现充分张力的同时，作为刑事实体法的刑法也要有所作为。

（一）刑事合规的刑法作为

1.实体法对刑事合规的容纳空间

2023 年4 月，江苏省两高院联合印发《关于加强涉案企业合规工作协同协作的座谈会纪要》（以下简称《纪要》），并提出企业合规情况作为量刑情节纳入法庭审理。法院可以对企业的合规整改情况，依职权进行审查。这意味着人民法院在审判阶段可以参与到企业和刑事合规中，从而相应调整量刑。江苏的实践暗合了《中共中央关于全面推进依法治国若干重大问题的决定》（2014）中的“审判为中心”的精神，充分发挥了庭审在刑事合规中的作用，以实现案件裁判的实体公正。因此，刑事合规要在刑事实体法中找到其正当性和体系定位，刑法也要有所作为，以实现二者的“双向奔赴”。

作为刑事实体法的刑法对于刑事合规实践的开展具有足够的容纳空间。首先，《刑法修正案（九）》（2015）增设《刑法》第286 条之一为拒不履行信息网络安全管理义务罪。此罪名便是著名的“不合规罪名”。如果企业拒不履行法律为其设定的安全管理义务，进而酿成一定的后果，满足一定条件的情况下，企业便可构成该罪。其次，《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》也为刑事合规预留了空间。再者，在犯罪论层面，合规计划的实施可以作为犯罪正当化的事由，从而排除企业的违法性或责任。另外，在量刑阶段，尤其是对于重罪而言，企业合规整改和考察可以作为一种刑罚裁量的情节予以考虑。也可以将刑事合规作为一种认罪悔罪的表现予以认定，扩大对于企业（网络平台）犯罪的认罪悔罪的认定[13]。由此，《刑法》为刑事合规的出罪和减免刑罚提供了适用的空间。

在最高检发布的第三批涉案企业典型案例中，案例二王某某泄露内幕信息、金某某内幕交易案具有特别的意义。本案中，作为内幕信息知情人员的K 公司董事会秘书王某某向金某某透露重组计划和时间，金某某利用该信息非法获利。随后，二人被公安机关起诉。法院表示，对审查起诉阶段的合规整改，可在量刑时酌情考虑。本案中，虽然是个人犯罪的情形，但亦有开展合规之必要性；该案对于重罪案件适用刑事合规具有启示意义。最重要的是，本案中法院明确表示会对合规整改的情况进行考量，根据法院对检察建议的接受程度，合规整改在法院量刑阶段发挥了较大作用。

2.刑事合规下的企业责任

在向来不承认法人犯罪的大陆法系国家，其传统观点认为犯罪是一种身体举止，而刑罚则是一种伦理谴责，基于这样的考虑下，法人并没有犯罪的能力[19]。在英美法系中，组织体的行为和意识通常被认为就是法人整体的行为和意识，至于刑罚的本质则是社会非难。折中说则认为，行政犯基于规范违反说的立场，可以接受法人责任。于是乎，法人犯罪则被例外性地规定在了行政刑法之中。

在企业责任承担的模式上，有两种不同方式。一种认为，企业责任就是自然人罪责的替代。另一种认为，法人罪责的本质并非自然人责任，而是基于法人意志的整体责任[12]。以往的企业主观过错推定原则应予以抛弃，取而代之的应是企业独立意志理论[8]。李本灿在否定了代位责任说和系统责任说的基础上，认为前者突破了责任原则，后者扩大了处罚范围，进而其主张应当整合组织体责任论和同一视理论，从而寻求一种中间路径。

3.网络平台管理义务的证成

网络平台管理义务或作为义务的证成需要从过失开始谈起，旧过失论基于结果无价值的立场认为，过失是结果预见义务的违反。新过失论基于行为无价值的立场认为，注意义务的中心应当是结果回避义务[19]。新过失论视域下的刑事合规是将履行合规义务这种标准化的行为对结果进行了回避，因此合规义务的履行可以视为涉案企业不具有过失。

刑法对于网络平台看似苛刻的要求，并不是因为网络平台管理的技术性和可操作性的特点，核心在于网络平台开展业务的同时与网络安全自然发生了紧密的联结。这种紧密关系下的网络平台具有风险控制和后果规避的高度可能性，平台的监管义务也就由此产生[13]。于冲进一步认为，拒不履行信息网络安全管理义务罪并不会存在扩大适用的风险，因为该罪名同时设置了归责和免责的条件。

网络平台合规所面对的风险其实是针对合规整改目标的一种不确定性。这种不确定性在不作为犯罪的过程中体现为作为义务的来源和风险防控。网络平台的合规义务可以分解为两个面向，即合规要求和合规承诺。作为平台企业自愿遵守期望的合规承诺也可以构成一种作为义务。鉴于此，网络平台的义务需要进行系统性梳理。另一方面来讲，实际上这也是一种“治理权力”向“治理义务”的转化[13]。网络空间治理模式的转型主要体现在刑法中的是网络空间犯罪治理模式的转向，由消极治理转向积极治理，由单治转向为共治[13]。网络平台的管理义务不是公权力的转接，而是一种等价义务和保证义务[13]。

（二）作为量刑情节的刑事合规及其正当性

刑事合规制度的构建最重要的前提问题则是正当性的寻求[12]。李本灿从公司本体论的角度出发认为，刑事合规并非是一项纯粹的公司治理模式，也不是一项单纯的国家规制模式，而是国家和企业的融合了公司自治和犯罪治理的共治模式[12,14]。借用行政法中的规制理论，也可以说是一种介于国家政府规制和私人自我规制之间的一种混合规制体系，又称为合作规制模式，在这个模式下公共主体和社会私主体互相观察和相互合作[15]。从政府角度看，合作规制模式以比较低的成本实现了企业较高的遵从度；从社会角度看，提升了企业自身治理水平，促进了经济主体的良性竞争[12]。因此说，刑事合规是把企业自身的风险防控和国家层面的犯罪预防结合起来，通过一系列的激励手段，促使企业改造自身，进而防范可能出现的刑事风险，或降低企业自身的危险性。这种激励手段通常变现为量刑激励或起诉激励。对于起诉激励而言，属于刑事诉讼法的讨论范畴，并不在本文研究之列。

量刑激励是一种从宽情节，其旨在特别的而非一般的考察行为主体，所以说量刑的个别化考察实际上是一种行为人刑法的体现，这便是其背后的立场。刑事合规如果作为一种法定量刑情节，其正当性何在是一个探讨的关键问题。马克斯·韦伯曾论述了正当性的三种类型，即传统型、魅力型和法理型，正当性（legitimacy）在某种意义上是通过合法性（legality）得以实现的。正当性并非是诉诸法律自身权威的形式合法性，而是道德合法性[16]。在将某种因素作为法定的量刑情节考虑的时候，正当性便是无法绕过的一个叩问。

有学者认为合规的正当性来源于信任[17]，另有学者曾对认罪认罚从宽情节进行过正当性考察[18]。论者认为认罪认罚从宽制度的正当性并非来源于国家节约资源的目的，也不在于其危险性的抽象降低，更不用说来自所谓的赎罪，对其正当性的诠释应是权利放弃的对价。所谓的权利放弃对价说是指，国家和被告人协商下，在被告人自愿承诺放弃部分诉讼权利的基础上，国家予以相应程序简化的同时，减免其刑罚作为激励。当合规整改或事前合规作为一种量刑情节时，其正当性也是应当循此进路。合规从宽的正当性是控诉双方协商之下，对犯罪的一种自我改造，一种家长主义的督促式自律。进一步说，刑事合规的正当性就是被诉企业接受义务从而换取效益，这效益包含企业侧的刑罚激励和国家侧的社会效益。归根结底，还是因为企业犯罪和惩罚企业会产生巨大的溢出效应，即企业的在其正常活动中的预期效益以外的、对于其他人和社会的、或正面或负面的效应。量刑首先要考虑犯罪人的责任，其次再考虑一般预防与特殊预防[19]411。也就是说，量刑要以罪责为限，进而去考虑犯罪预防。

（三）具体实现：以作为网络平台的在线职业教育机构为例

在教育信息化的背景下，尤其是人类社会进入第三个阶段——智能互联网时代以来，网络逐渐变为具有现实化倾向的社会关系网络，在线职业教育成为趋势。然而，这其中同样存在合规盲点。除了行业监管的既有风险外，新的风险也在悄然蔓延，即在线职业教育机构的刑事风险。无论是取得办学资质的成人教育平台，还是线上化了的职业高校，在互联网中均被抽象化为了网络平台。在线职业教育机构等网络平台承载了公民的个人信息，人们对个人信息的保护产生了一种实在性的担忧。国家应该通过积极的行为主动构建个人信息保护的藩篱[20]，在个人信息的权力保护模式下[20]，作为信息处理者的网络平台（在线职业教育机构）应当根据国家的监管和规制框架履行合规义务。当在线职业教育机构处理网络信息时，须作为信息处理者承担相应义务。《个人信息保护法》第58 条特别强调了作为网络平台的信息处理者的义务，其中第一项明确规定网络平台应当建立健全个人信息保护合规制度体系，为网络平台设定了合规义务，也被称为“守门人条款”[21]。在此条款下，在线职业教育机构所面临的风险变得具体。

根据《刑法》第286 条之一的第一款及其第二项的规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户信息泄露，造成严重后果的，构成拒不履行信息网络安全管理义务罪。该条第二款更是明确单位亦可构成本罪。《刑法》第253 条之一规定了出售、提供和窃取等行为侵犯公民个人信息的犯罪。虽然在《刑法》第253 条之一第四款明确了侵犯公民个人信息罪亦可由单位构成，但是根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（2017）第9 条，两罪在侵犯公民个人信息行为上发生竞合时，应当依照刑法第286 条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。至此，刑法完成了在刑事立法方面对个人信息保护的规制任务并通过司法解释解决了相应竞合问题。

入罪的扩张呼唤出罪的扩大，刑事合规便是重要的出罪或从宽事由。但是，刑事合规存在着适用错位和规范缺失的缺陷，这不仅造成了刑事合规的效果阙如，而且往往是既没有实现犯罪预防的目的，也没能帮助民营企业渡过难关[21]。借由前述的“守门人”条款的展现，刑事合规的主要适用对象应是网络平台。由于网络平台拥有较为稳定的组织结构和经济基础，网络平台同刑事合规更具有天然的制度契合性。当涉案企业进入审判程序，意味着在起诉阶段的合规整改的失败或该案为重罪案件。此时，有效的合规整改可以探索作为从宽的理由[22]。虽然说，基于积极一般预防理念为企业网络犯罪构筑了严密的法网，但是刑事合规制度又为企业出罪提供了依据，并促使企业完成自身合规改造，降低危险性。