張 勇，馮明昱

（1.華東政法大學 刑事法學院，上海 201620；2.南京師范大學 法學院，江蘇 南京 210023）

互聯(lián)網(wǎng)時代，信息數(shù)據(jù)技術(shù)帶來經(jīng)濟快速發(fā)展和制度變革，也蘊含著日益增大的安全風險。企業(yè)組織和個人在數(shù)據(jù)處理活動過程中，面臨著可能觸犯數(shù)據(jù)刑事法律和自身權(quán)益受到侵犯的刑事風險。相較于傳統(tǒng)的社會風險，數(shù)據(jù)安全風險更需要法律的積極應對。對于從事數(shù)據(jù)收集和利用活動的企業(yè)來說，制定和實施數(shù)據(jù)合規(guī)計劃是保障數(shù)據(jù)安全的有效措施，將數(shù)據(jù)合規(guī)治理作為企業(yè)社會責任的新內(nèi)涵，對于防范整個社會的數(shù)據(jù)安全風險具有“治本”的功能[1]。作為規(guī)?；纳鐣?jīng)濟組織體，企業(yè)不應只考慮主體利益，亦應當承擔相應的社會責任。本文從責任倫理的理論視角，對數(shù)據(jù)安全企業(yè)合規(guī)的正當根據(jù)、責任倫理規(guī)范及倫理責任效應問題加以探討。

一、責任倫理與數(shù)據(jù)安全企業(yè)合規(guī)理念

首先，責任倫理學說是在風險社會背景下應運而生的。責任是一個法律概念，用來判定某個主體違背法律義務的行為所應承受的不良后果。同時，責任也是一個倫理概念，其超越了法律所強設的義務范圍，構(gòu)成了人們認識道德義務的基礎。倫理是人與人之間符合某種道德標準的行為準則。傳統(tǒng)倫理學以“自我”為中心，人類是自然的支配者，以主體性的道德感受和道德要求“推己及人”[2]。對比“他者”和“自我”這兩類主體，不論是地位層級還是價值蘊含，“他者”似乎都處于弱勢地位。囿于當時的人類理性限度，傳統(tǒng)倫理學僅將當下已經(jīng)發(fā)生的實踐活動作為考量的對象，未來可能出現(xiàn)的風險問題不在其考量范圍內(nèi)，在應對社會風險問題上存在不足?！柏熑蝹惱怼笔窃陲L險社會背景下提出的現(xiàn)代倫理學說，針對傳統(tǒng)倫理學存在的問題，責任倫理學的主倡者漢斯·尤納斯提出了一種“遠距離的倫理”（Ethik der Ferne），將關(guān)注點放置在不同時空下人類之間的倫理關(guān)系。在他看來，人類不應當再將精神層面的道德困境作為優(yōu)先考量要素，如何控制技術(shù)中心主義所帶來的各類風險才是目前人類應當承擔的主要責任。概括來說，責任倫理學說的核心思想是面向未來、著眼整體、應對風險。在風險社會背景下，人類行為的性質(zhì)發(fā)生了較大扭轉(zhuǎn)，具有集體性、結(jié)果不可期性、后果不可逆轉(zhuǎn)性，行為主體的集體化是風險社會的最大特征。集體行為往往比個體行為具有更大的危險性，行為時應更加審慎。

其次，責任倫理對于企業(yè)合規(guī)具有整體觀念上的指導意義。根據(jù)責任倫理理論，作為市場經(jīng)濟主體的企業(yè)，應當主動建立起預防性、前瞻性責任意識，充分考量尚未發(fā)生的行為活動的目的、手段以及結(jié)果，確定無害后方可正常進行營利活動。這種責任意識與企業(yè)合規(guī)的預防風險價值目標旨趣相同。所謂“合規(guī)”概指企業(yè)通過內(nèi)部合規(guī)計劃對法律法規(guī)、行業(yè)規(guī)范、內(nèi)部規(guī)章及國際條約的遵守。廣義上企業(yè)合規(guī)主體與對象不限于企業(yè)單位及內(nèi)部員工，還包括政府部門、司法機關(guān)及其他社會組織，企業(yè)所具有的社會屬性決定了其屬于社會治理共同體中的一員；狹義上的企業(yè)合規(guī)則僅指企業(yè)預防犯罪、改善處遇的內(nèi)部治理方案，指企業(yè)與員工的業(yè)務及管理符合有關(guān)法律法規(guī)、行業(yè)規(guī)則、道德規(guī)范等要求。在企業(yè)合規(guī)治理中，應當確立責任倫理觀念，為其合理性、科學性提供支撐與指導，發(fā)揮預防和控制風險的積極作用。然而，作為市場主體，企業(yè)以追逐利益為目的，而企業(yè)合規(guī)意味著高成本投入，要求企業(yè)完全按照所有法律法規(guī)和行業(yè)規(guī)范的規(guī)定作出合規(guī)承諾、履行合規(guī)義務是不大現(xiàn)實的，大多數(shù)企業(yè)都不會重視和承擔這種社會倫理責任。要想使具有“經(jīng)濟人”性質(zhì)的企業(yè)在營利活動過程中不僅實現(xiàn)自利，同時實現(xiàn)社會其他主體乃至社會整體之福祉，依靠道德層面的“自覺”的同時還需要“看得見的手”（即法律規(guī)范）的引導。國家應當充分考慮企業(yè)的“經(jīng)濟人”本質(zhì)，設計相關(guān)企業(yè)合規(guī)的制度政策。政府和公眾對企業(yè)合規(guī)施加的法律和道德壓力與企業(yè)履行社會責任的積極態(tài)度之間成正比關(guān)系。

再次，責任倫理能夠為數(shù)據(jù)安全企業(yè)合規(guī)提供理論指導。在數(shù)據(jù)安全領(lǐng)域，企業(yè)作為人類社會的重要組織體，企業(yè)合規(guī)對于防范整個社會的數(shù)據(jù)安全風險具有“治本”功能，是企業(yè)社會責任的新內(nèi)涵。所謂“數(shù)據(jù)安全企業(yè)合規(guī)”，即為保障數(shù)據(jù)安全，企業(yè)單位、政府部門、司法機關(guān)等所進行的企業(yè)內(nèi)外部合規(guī)治理活動。從國外立法來看，根據(jù)歐盟《通用數(shù)據(jù)保護條例》（GDPR）的規(guī)定，如果數(shù)據(jù)處理是為了保護其他人的核心利益、維護公共利益、保障公共職權(quán)執(zhí)行且具有必要性，則該企業(yè)的數(shù)據(jù)處理行為應當視為合法。2022 年5 月，歐盟理事會通過的《數(shù)據(jù)治理法》第四章規(guī)定了“促進數(shù)據(jù)利他主義”的內(nèi)容；7 月，歐洲議會又通過了《數(shù)字服務法》（DSA）和《數(shù)字市場法》（DMA）兩部數(shù)據(jù)監(jiān)管新規(guī)。我國也先后頒布實施了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》，對網(wǎng)絡和信息數(shù)據(jù)安全予以強化保護，也為企業(yè)數(shù)據(jù)合規(guī)提供了規(guī)范指引。數(shù)據(jù)安全企業(yè)合規(guī)的重心就在于明確企業(yè)數(shù)據(jù)安全管理義務的范圍和界限。企業(yè)通過數(shù)據(jù)安全合規(guī)計劃的制訂，將行政法、刑事法層面的法律義務轉(zhuǎn)化為企業(yè)及員工的行為規(guī)范和內(nèi)部規(guī)則。企業(yè)在制訂數(shù)據(jù)安全合規(guī)計劃及相應規(guī)范時，必然要考慮責任倫理中強調(diào)的人類對于“未來”“整體”及“風險”的責任。面對技術(shù)的不確定性或風險性，應秉承技術(shù)為善、向善等方面的倫理旨趣，不能任數(shù)據(jù)進行無倫理與法律底線的“賦能”[3]。企業(yè)不僅要考慮數(shù)據(jù)安全個體權(quán)益保護，也應當注重維護整個社會中“抽象”主體的數(shù)據(jù)安全利益。

二、責任倫理與企業(yè)合規(guī)刑事歸責根據(jù)

在我國刑法中，企業(yè)合規(guī)并未被明確規(guī)定為阻卻違法或責任事由。從事數(shù)據(jù)處理活動的企業(yè)，即使制訂或?qū)嵤┝藬?shù)據(jù)合規(guī)計劃，但若其不履行上述法律法規(guī)規(guī)定的數(shù)據(jù)安全保障義務，也可能面臨構(gòu)成犯罪的刑事法律風險。從實踐來看，相關(guān)罪名主要包括拒不履行信息網(wǎng)絡安全管理義務罪、侵犯公民個人信息罪、侵犯計算機信息系統(tǒng)數(shù)據(jù)罪等。這些罪名可統(tǒng)稱為數(shù)據(jù)犯罪。數(shù)據(jù)犯罪具有典型的法定犯或行政犯的特征，相關(guān)罪名的罪狀涉及行政性前置法，犯罪構(gòu)成要件具有開放性；而前置性行政法律法規(guī)對于司法機關(guān)認定企業(yè)數(shù)據(jù)犯罪、數(shù)據(jù)企業(yè)制訂和實施數(shù)據(jù)安全合規(guī)計劃來說，都具有重要的規(guī)范指導作用。以下從責任倫理視角出發(fā)，在肯定企業(yè)單位刑事歸責的主體地位的基礎上，探求企業(yè)合規(guī)刑事歸責根據(jù)及刑責減免效應。

（一）企業(yè)單位犯罪刑事歸責之二元論

企業(yè)單位犯罪的刑事責任，即刑法確定企業(yè)單位犯罪的單位與單位成員之間的承擔刑事責任的歸責制度。關(guān)于單位的刑事責任根據(jù)，國外存有學說分歧：“一元論”認為，單位犯罪中只有單位可以作為犯罪主體，即強調(diào)單位的整體責任。如國外的替代責任論者主張，追究單位犯罪的刑事責任并非承認單位本身可以成為犯罪主體，而是作為其“仆從”的內(nèi)部成員實施了犯罪行為。“二元論”對其批評指出，單位作為“雇主”無犯罪行為，卻要因為其成員的犯罪行為承擔責任，存在結(jié)果主義與客觀歸罪的嫌疑[4]。有學者指出，我國刑法中的單位犯罪制度缺少對單位獨立人格的規(guī)范評價，實體上過于強調(diào)單位與自然人在犯罪機理上的等價性，使得單位需要具有同自然人一樣的主客觀要素才可構(gòu)成犯罪[5]?！岸摗敝鲝?，單位犯罪中存在兩個犯罪主體，單位中自然人既是犯罪主體又是刑罰主體。有學者指出，《刑法》第三十一條對單位犯罪處罰原則的規(guī)定“隱含了單位犯罪案件中的責任認定與處理邏輯，即出現(xiàn)危害結(jié)果之后，首先認定單位責任，處罰單位，然后處罰個人”[6]。單位犯罪歸責只能遵循“由單位到人”的邏輯路徑，單位責任是單位自身實施了犯罪行為后所需承擔的刑事責任。單位是獨立的犯罪主體，因此單位犯罪并非單位內(nèi)部成員犯罪行為之集合，也非全部成員共同實施的犯罪。從單位與其成員的刑事責任關(guān)系來看，“一元論”與“二元論”的分歧即在于，究竟是根據(jù)以自然人行為為中介還是以單位自身特征來認定單位犯罪刑事責任?！耙辉摗币詥挝恢凶匀蝗诵袨闉楹诵?，通過單位與單位成員之間的聯(lián)系來說明承擔刑事責任的根據(jù)，單位成員承擔刑事責任是因其作為自然人的行為構(gòu)成了犯罪，與是否處罰單位沒有關(guān)系[7]?！岸摗眲t是將單位自身或法人的行為作為單位犯罪刑事歸責的根據(jù)，實質(zhì)上是以單位自身的特征為基礎尋求法人刑事責任的本質(zhì)。自然人罪責的產(chǎn)生，必須以單位行為獨立成罪為前提[8]。

隨著現(xiàn)代企業(yè)的規(guī)?；?、復雜化，企業(yè)單位刑事責任的獨立性地位逐步受到重視，“二元論”逐漸占據(jù)優(yōu)勢地位。有的學者主張“企業(yè)組織體責任論”，承認法人的犯罪能力，強調(diào)法人是超越個人的存在，在事實上與法律上都是以法人機關(guān)形成意思與進行活動的。同時，強調(diào)應當擺脫以個人犯罪為前提的限制，以企業(yè)內(nèi)部的經(jīng)營文化、經(jīng)營管理規(guī)范及其缺陷為根據(jù)進行刑事責任的認定[6]。本文對“二元論”持肯定態(tài)度。該學說重視獨立于自然人之外的法人本質(zhì)特征，為規(guī)模大且具有完善章程的組織體賦予了新內(nèi)涵的社會責任，是值得肯定的。疑問在于，應當如何定義“組織體”？換言之，在承認自然人在集體中的聯(lián)結(jié)作用的基礎上，誰能夠作為單位的代表？有學者認為，只有領(lǐng)導集體能夠代表單位，理由在于《公司法》第一百四十七條規(guī)定了董事、監(jiān)事、高級管理人員的忠實義務與勤勉義務，這兩種義務可以具化為領(lǐng)導層對公司業(yè)務的注意與監(jiān)督義務。刑法中單位犯罪條款的設立，實質(zhì)上是在刑事法層面再次確認了公司法中領(lǐng)導集體的義務，即領(lǐng)導集體具有監(jiān)督管理義務。對于單位所作決策具有決定性作用的領(lǐng)導集體應當被定義為單位整體[4]。作為組織體，企業(yè)的主觀意志內(nèi)容有以下表現(xiàn)形式：一是單位的抽象意志，主要通過發(fā)布的章程、規(guī)范、行為守則、獎懲標準等規(guī)范性文件體現(xiàn)；二是單位的具體意志，主要通過對內(nèi)部員工的職務行為進行懲戒、教育、獎勵等具體行為展現(xiàn)。因此，企業(yè)是否應當承擔刑事責任，應當以其具體行為和抽象行為為根據(jù)，先行判斷單位是否具有犯罪的主觀罪過[9]。

（二）企業(yè)合規(guī)刑事歸責的責任倫理評價

首先，單位犯罪刑事歸責蘊含著責任倫理道德因素。從責任倫理學角度看，某種行為之所以構(gòu)成犯罪并接受刑法處罰，根本原因在于此類行為不僅是對他人法益的侵害，更是威脅到了主體存在的前提或基礎。責任倫理強調(diào)“他者”地位高于“自我”，認為主體在實現(xiàn)個體利益的同時也擔負著關(guān)心“他者之存在”的責任。犯罪就是犯罪人在極度“自我”意識的支配下，忽略了對“他者之存在”的責任承擔，進而破壞了“他者”乃至社會整體的利益。與傳統(tǒng)倫理觀念不同，責任倫理認為，犯罪人之所以被譴責是因為其過于膨脹的自我欲望以及“為他”意識的匱乏[2]。刑法所設定的是人與人之間、人與社會間的行為準則，彰顯并實現(xiàn)了當下社會價值觀的“善”。應當說，在善惡層面，刑法與倫理是相通的，刑法在通過具體規(guī)定懲治“惡”的同時，也在引導社會民眾向往、信仰“善”。前述數(shù)據(jù)犯罪所涉罪名均屬于典型法定犯，社會倫理規(guī)范是其歸責基礎。針對此類犯罪的刑罰規(guī)定與處罰，正是意圖通過法律形式強制人們遵守作為其基礎的社會倫理規(guī)范。另外，單位犯罪與個人犯罪在歸責根據(jù)和評價標準上亦有所不同，后者側(cè)重自然法層面利己主義的倫理道德規(guī)范，具有一般人共識性的評價標準；而前者是利他主義的責任倫理規(guī)范，通過企業(yè)自身的合規(guī)計劃、行業(yè)規(guī)范、行政法和刑法規(guī)范義務內(nèi)容加以體現(xiàn)。因此，在企業(yè)數(shù)據(jù)犯罪的歸責中，同樣需要考察其是否違反了社會倫理規(guī)范要求，并以此作為判定其是否具有刑事可責性和需罰性的依據(jù)。

其次，企業(yè)合規(guī)對單位刑事歸責具有責任倫理效應。在企業(yè)合規(guī)視域下，合規(guī)計劃蘊含著本單位自上而下的組織管理模式和監(jiān)督管理機制。認定企業(yè)的單位刑事責任是對企業(yè)具有獨特犯罪主體地位的肯定，強調(diào)企業(yè)作為組織體所具有的社會責任，并主張企業(yè)合規(guī)計劃的有效性是判斷企業(yè)是否承擔刑事責任的基礎。企業(yè)刑事合規(guī)制度作為典型的刑事政策，其直接目的在于推動企業(yè)建立完善、有效的犯罪預防計劃，避免企業(yè)等組織體為盈利而實施蘊含嚴重刑事風險的不法行為[5]。因此，可以將企業(yè)合規(guī)計劃的有效制訂與實施作為阻卻單位犯罪成立的理由。合規(guī)計劃本身就代表著對法律義務的遵從，認定企業(yè)單位的刑事責任，則應當充分考量其是否遵守并且實際履行了法律義務。就自然人以單位名義實施的犯罪行為而言，刑事責任應當歸屬于企業(yè)還是自然人本身，應當以該行為造成的危害后果的歸屬為基礎進行判斷。當造成危害后果應歸責于企業(yè)的內(nèi)部治理機構(gòu)、運營方式或內(nèi)部制度時，應當歸責于企業(yè)，按單位犯罪處理；反之，則應當僅追究自然人的刑事責任[10]。這表明單位與自然人刑事歸責理念上存在差異性，即單位在規(guī)范意義上具有獨立人格[5]。在企業(yè)合規(guī)背景下，判斷企業(yè)單位是否應當因其內(nèi)部成員的犯罪行為承擔刑事責任，重要判斷因素是企業(yè)合規(guī)計劃的制訂與實施。如果企業(yè)合規(guī)計劃未能得到有效執(zhí)行，與企業(yè)內(nèi)部成員所實施的犯罪行為存在刑法因果關(guān)系，應當認定為單位犯罪并追究刑事責任。

在數(shù)據(jù)安全合規(guī)領(lǐng)域，企業(yè)合規(guī)計劃相當于其自身制訂了一份旨在預防數(shù)據(jù)犯罪的“負面清單”，通過實體法層面的定罪量刑、程序法層面的激勵機制，促進企業(yè)實施數(shù)據(jù)安全合規(guī)計劃，以避免或降低自身犯罪或遭受侵害的刑事風險。數(shù)據(jù)安全風險具有相當?shù)牟淮_定性、隱匿性以及嚴重危害性。如果按照傳統(tǒng)罪責刑法模式，以事后法的形式對數(shù)據(jù)犯罪行為加以規(guī)制，就難以充分發(fā)揮治理效果，因而需要從預防犯罪角度，結(jié)合其他社會治理手段共同發(fā)揮風險控制機能[11]。以防范數(shù)據(jù)安全風險為目的、以責任倫理為理念的企業(yè)合規(guī)，能夠彌補刑法的滯后性不足，在數(shù)據(jù)犯罪預防方面實現(xiàn)與國家和社會的共同治理。企業(yè)積極實施合規(guī)計劃，履行數(shù)據(jù)安全保護的法律義務，可獲得從輕、減輕甚至免除刑事處罰的量刑激勵；相反，如果違反了刑事合規(guī)的義務要求，侵犯了他人數(shù)據(jù)權(quán)益，甚至危及數(shù)據(jù)安全，所帶來的是比違反行政合規(guī)更為嚴厲的刑事處罰。這既是我國寬嚴相濟刑事政策的體現(xiàn)，也是數(shù)據(jù)安全企業(yè)合規(guī)的倫理責任效應。

（三）責任倫理與企業(yè)合規(guī)刑事責任減免

在國外，一般都將企業(yè)刑事合規(guī)作為量刑減免的影響因素，而非出罪事由。英國《賄賂罪法案》中第7 條將合規(guī)作為辯護事由規(guī)定，可以借此為被告人出罪?！睹绹啃讨改稀芬惨?guī)定，企業(yè)合規(guī)計劃可以作為減輕刑事處罰的辯護事由。同時，該指南還為刑事合規(guī)計劃有效性的判斷規(guī)定了較為明確的標準。在國內(nèi)，有的學者主張刑事合規(guī)可成為犯罪的違法阻卻事由[12]。有的學者則主張，刑事合規(guī)建構(gòu)的歸責意義只限于歸責范圍上的討論，即可以將企業(yè)合規(guī)作為排除單位主觀罪過的理由，并對企業(yè)單位予以無罪或減免處罰，但并不能因此而免除單位內(nèi)實施犯罪的自然人的刑事責任[13]。筆者贊同后一種觀點。企業(yè)合規(guī)計劃彰顯了單位主觀意志上對社會責任的承擔，但社會責任并不等同于刑事責任，從責任倫理角度不能推導出企業(yè)必須制訂、實施以刑法義務為內(nèi)容的合規(guī)計劃，也不能因企業(yè)制訂和實施了刑事合規(guī)計劃而獲得出罪事由，充其量只能作為一種從寬量刑情節(jié)。對于企業(yè)刑事合規(guī)，無論是主張阻卻違法或是阻卻責任，都應當從責任倫理觀念出發(fā)，運用刑法教義理論予以論證，從中獲得涉罪企業(yè)刑事責任減免的根據(jù)。

在現(xiàn)代刑法學中，責任與預防并非處于完全對立的狀態(tài)。責任原則的貫徹不僅僅是實現(xiàn)人權(quán)保障的要求，一定意義上也是實現(xiàn)預防犯罪的堅實基礎[14]。德國刑法學者羅克辛從應對風險和預防犯罪的立場出發(fā)，將歸責看作一種對構(gòu)成要件進行實質(zhì)解釋的理論。歸責的概念既包括主觀歸責，也包括客觀歸責。羅克辛用客觀歸責理論實質(zhì)解釋客觀構(gòu)成要件，以風險實現(xiàn)作為客觀歸責的核心；用主觀歸責理論實質(zhì)解釋主觀構(gòu)成要件中的“故意”，其中行為計劃是否實現(xiàn)是主觀歸責的標準[15]。在德國刑法學界，企業(yè)合規(guī)負責人被賦予不作為犯罪領(lǐng)域中因?qū)ξｋU源支配而形成的“保證人”角色[16]。企業(yè)單位負責人對單位犯罪的刑事風險和內(nèi)部員工行為的合法性承擔保護義務與法律責任。日本刑法亦有類似規(guī)定，基于以“結(jié)果避免義務”為核心的新過失論，認為企業(yè)單位主體對員工的監(jiān)督義務可以被評價為監(jiān)督過失犯罪中的客觀注意義務。實際上，數(shù)據(jù)安全刑事合規(guī)就是將刑法中的注意義務轉(zhuǎn)化為企業(yè)內(nèi)部治理的“合規(guī)義務”[17]，同時將企業(yè)是否積極履行“合規(guī)義務”作為刑事歸責的根據(jù)。在企業(yè)內(nèi)部成員涉嫌犯罪時，倘若企業(yè)設置并實施了有效的合規(guī)計劃，可以此為抗辯事由，提出公司本身已盡到合理注意義務。雖然企業(yè)合規(guī)可以成為刑事免責事由并導致不起訴或暫緩起訴的法律效果，但一般情況下并不具有免除全部刑事責任的效果。在自然人以單位名義實施犯罪的情況下，單位可以已經(jīng)實施完備的、規(guī)范的刑事合規(guī)計劃為由，主張不存在故意和過失，進而主張無罪或減免處罰，但并不能因此而免除單位下實施犯罪的自然人的刑事責任。在單位過失犯罪的場合，事前合規(guī)不能直接否定單位的監(jiān)督過失責任；單位是否負監(jiān)督過失刑事責任，不僅要看單位有無合規(guī)計劃，更要看單位是否盡到了相關(guān)注意義務、主觀上是否存在過失[18]。但在注意義務缺失、排除主觀罪過或情節(jié)顯著輕微的情況下，合規(guī)計劃也可能發(fā)揮責任阻卻的作用。如果企業(yè)所實施犯罪的社會危害程度較為輕微，又實施了有效的刑事合規(guī)計劃，符合《刑法》第十三條“但書”規(guī)定的，應當以情節(jié)顯著輕微排除其刑事違法性，以無罪論處。

三、數(shù)據(jù)安全刑事合規(guī)的責任倫理規(guī)范

從事數(shù)據(jù)活動的企業(yè)制訂和實施合規(guī)計劃，建構(gòu)數(shù)據(jù)安全合規(guī)管理體系，是對社會賦予的企業(yè)道德倫理的充分回應。落實企業(yè)保障數(shù)據(jù)安全的倫理責任，必須以相應的制度規(guī)范作為基礎，將責任倫理觀念融入企業(yè)合規(guī)的制度建設之中，明晰企業(yè)數(shù)據(jù)安全管理義務的范圍和界限，將法律賦予企業(yè)的數(shù)據(jù)安全保護義務與倫理責任在合規(guī)計劃中予以明確，實現(xiàn)數(shù)據(jù)安全企業(yè)合規(guī)的倫理化、規(guī)范化，使其從道德規(guī)范轉(zhuǎn)化為社會規(guī)范、法律規(guī)范，使得責任倫理在不同規(guī)范層面發(fā)揮作用。

（一）數(shù)據(jù)安全刑事合規(guī)的倫理規(guī)范層次

數(shù)據(jù)犯罪具有典型的法定犯特征，前置性行政法律法規(guī)對于認定數(shù)據(jù)犯罪來說具有關(guān)鍵作用。對于企業(yè)刑事合規(guī)來說，前置性行政法往往有著比刑法規(guī)范更為嚴格細致、全面具體的規(guī)范義務內(nèi)容。數(shù)據(jù)安全企業(yè)刑事合規(guī)應當以刑法規(guī)范為底線標準，以行政法規(guī)為基本標準，以行業(yè)規(guī)范為參照標準，制訂和實施企業(yè)合規(guī)計劃。而在不同的合規(guī)層面，不同效力層次的規(guī)范對責任倫理的體現(xiàn)也存在差別。

1.數(shù)據(jù)安全合規(guī)的道德規(guī)范與法律規(guī)范

傳統(tǒng)意義上，責任倫理屬于倫理學范疇。而作為一種社會倫理，責任倫理是銜接倫理道德與法律規(guī)范的環(huán)節(jié)，是內(nèi)化于企業(yè)自身的責任情感，是企業(yè)自覺履行社會責任的高層次道德追求。法律是禁止性規(guī)范，是企業(yè)應當遵守的責任倫理底線，但如果該法律規(guī)定是不合理的，損害人們的正當權(quán)益，則不屬于企業(yè)責任倫理規(guī)范。同時，社會所倡導的道德規(guī)范通常是合理的，也是企業(yè)應當遵守的，但只有當?shù)赖乱?guī)范是合理的，遵守這樣的規(guī)范才符合責任倫理，或者說，才屬于企業(yè)的倫理責任。有學者指出，社會倫理規(guī)范是分層次的，“底線倫理”分成三個層次：第一層次是最基本的道德底線，其內(nèi)涵是所有人都應當遵循的基本的自然義務，憲法中所規(guī)定人民的基本權(quán)利內(nèi)容正是此部分的內(nèi)容。第二層次則是在法律社會背景下所產(chǎn)生的各類義務，比如刑法中有關(guān)各類法定犯的內(nèi)容。第三層次是針對各類特殊行業(yè)所提出的更高要求，僅限制在其特殊行業(yè)的職責或行為領(lǐng)域內(nèi)，例如教師所應當遵循的教師道德、相關(guān)企業(yè)應當遵循的環(huán)境倫理等[19]。雖然該層次的劃分并非以法律體系為視角，但完全可以將該理論同法律體系結(jié)合進行類推分析，從而得出法律體系的規(guī)范內(nèi)容、處罰程度是可以劃分為不同層次的結(jié)論。在數(shù)據(jù)安全領(lǐng)域，企業(yè)作為數(shù)據(jù)活動的重要主體，是保障數(shù)據(jù)安全的“保證人”，基于其業(yè)務范圍、服務領(lǐng)域等因素，產(chǎn)生相應的保障數(shù)據(jù)安全的倫理責任。然而，道德規(guī)范畢竟不具有法律強制效力，并非全部有關(guān)數(shù)據(jù)安全保障的道德規(guī)范都必須納入企業(yè)數(shù)據(jù)合規(guī)計劃當中。只有在遵守數(shù)據(jù)匿名使用的法律規(guī)范的前提下，才能賦予企業(yè)道德規(guī)范層面的數(shù)據(jù)安全合規(guī)要求；如果企業(yè)不履行這種合規(guī)計劃中純粹的道德規(guī)范義務，則只能受到社會公眾的道德譴責，而不能訴諸法律追究其責任。

2.數(shù)據(jù)安全合規(guī)的“硬法”與“軟法”規(guī)范

（1）“硬法”規(guī)范。具有強制性法律效力的數(shù)據(jù)安全法律法規(guī)具有“硬法”屬性，是企業(yè)合規(guī)必須遵守和執(zhí)行的，可作為企業(yè)合規(guī)責任倫理的基本規(guī)范標準。企業(yè)單位負責人對單位犯罪的刑事風險和內(nèi)部員工行為的合法性承擔保障義務與法律責任。遵守法律規(guī)范是企業(yè)數(shù)據(jù)合規(guī)的硬性要求，法律首先規(guī)制的是直接侵犯了底線倫理的行為。刑事法律和行政法規(guī)是任何一家企業(yè)都必須遵守的，如果通過合規(guī)計劃積極履行，則可以獲得司法機關(guān)的刑罰處罰或行政處罰從寬的激勵；如果企業(yè)不遵守相關(guān)法律法規(guī)，就可能遭受法律制裁。有學者指出，企業(yè)建立和實施合規(guī)計劃的要求不應加以刑事化，不能混淆企業(yè)遵守法律的義務和企業(yè)合規(guī)治理的義務，不能從企業(yè)遵守法律的義務直接推導出每個企業(yè)都要有制訂和實施合規(guī)計劃的刑法義務[18]。這種觀點與本文所說的企業(yè)合規(guī)須遵守作為“硬法”的刑事法律或行政法規(guī)并不矛盾，也就是說，企業(yè)必須遵守這些“硬法”，但這些“硬法”并不是必須成為企業(yè)制訂和實施的合規(guī)計劃的內(nèi)容，企業(yè)對此可以作出自愿選擇。如果企業(yè)將這些“硬法”納入合規(guī)計劃并予以實施，則可能獲得刑事或行政合規(guī)的量刑激勵，但如果企業(yè)沒有將其納入合規(guī)計劃內(nèi)容，也必須履行遵守“硬法”的強制性法律義務，否則將承擔刑事或行政法律責任。

（2）“軟法”規(guī)范。所謂“軟法”，即不具有法律強制效力的社會規(guī)范，包括行業(yè)協(xié)會頒布的行為準則、商業(yè)習慣和企業(yè)內(nèi)部規(guī)章等。然而，如果企業(yè)完全按照刑事法、行政法的“硬法”規(guī)定作出合規(guī)承諾、履行合規(guī)義務，對很多企業(yè)來說意味著高成本投入，是不太現(xiàn)實的。因此，數(shù)據(jù)安全責任倫理也需要“軟法”規(guī)范予以體現(xiàn)。數(shù)據(jù)安全領(lǐng)域內(nèi)形成的行業(yè)規(guī)范并不具有法律效力且相較于相關(guān)部門法的規(guī)定標準更高，因此企業(yè)可將其作為較高的規(guī)范標準予以參照，并不必須遵照執(zhí)行。作為與“硬法”相對應的概念，“軟法”不以強制性為特征，卻能產(chǎn)生社會實效[20]。運用“軟法”方式實現(xiàn)數(shù)據(jù)安全責任倫理的規(guī)范化，對于企業(yè)預防數(shù)據(jù)安全風險顯得更為靈活、有效。因此，企業(yè)需要履行的數(shù)據(jù)安全責任倫理規(guī)范來源不僅局限于國家層面的法律法規(guī)，還有社會層面的行業(yè)規(guī)則、商業(yè)道德以及企業(yè)層面的管理制度以及企業(yè)文化。判斷涉案企業(yè)有無遵守道德規(guī)范及是否需要承擔相應的社會責任，在相當程度上有賴于相對明確的“軟法”規(guī)范，可以通過設置“軟法”的方式增加正向激勵模式，將相關(guān)行業(yè)規(guī)范、倫理規(guī)范納入企業(yè)合規(guī)之中，實現(xiàn)數(shù)據(jù)安全合規(guī)的“軟法化”。

（二）數(shù)據(jù)安全刑事合規(guī)的倫理規(guī)范內(nèi)容

在我國數(shù)據(jù)安全立法中，《數(shù)據(jù)安全法》處于基本法地位，其他法律法規(guī)則起到補充、參照、協(xié)調(diào)的作用。根據(jù)該法第八條的規(guī)定，數(shù)據(jù)處理活動的全過程不僅應當遵守法律、法規(guī)，社會公德、倫理乃至商業(yè)、職業(yè)道德都應當被遵守。企業(yè)應當自覺承擔社會責任，履行數(shù)據(jù)安全保護義務，不得危害國家安全、公共利益，不得損害個人、組織的合法權(quán)益。具體來說，數(shù)據(jù)安全合規(guī)的責任倫理規(guī)范內(nèi)容包括安全保障和個人數(shù)據(jù)權(quán)利保護兩個方面。

1.企業(yè)數(shù)據(jù)安全保障規(guī)范

具體包括內(nèi)部監(jiān)管和外部保障兩方面。

（1）企業(yè)內(nèi)部數(shù)據(jù)安全監(jiān)管?！稊?shù)據(jù)安全法》與《網(wǎng)絡安全法》《個人信息保護法》明確規(guī)定了網(wǎng)絡服務商的數(shù)據(jù)安全監(jiān)管義務，特別是對影響公眾基本權(quán)利、涉及重大社會公共利益的個人數(shù)據(jù)、政府公共數(shù)據(jù)，從數(shù)據(jù)獲取、存儲、傳輸、使用等關(guān)鍵性環(huán)節(jié)進行更強的內(nèi)部監(jiān)管。根據(jù)《數(shù)據(jù)安全法》第四章的有關(guān)規(guī)定，數(shù)據(jù)交易活動的中介機構(gòu)應當嚴格審查數(shù)據(jù)來源、交易雙方身份，將審核及交易記錄作留存處理；數(shù)據(jù)處理的服務提供者應當根據(jù)法律規(guī)定依法取得行政許可；數(shù)據(jù)的跨境交易應當受到嚴格審批，未經(jīng)國家主管機關(guān)批準，不可隨意向境外提供存儲于本國國內(nèi)的數(shù)據(jù)。原國家質(zhì)監(jiān)總局、國家標準化管理委員會頒布的《合規(guī)管理體系 指南》（GB/T 35770—2017）規(guī)定，企業(yè)合規(guī)義務包括合規(guī)要求和合規(guī)承諾兩部分。前者是一種強制性義務，是企業(yè)刑事合規(guī)首要考慮的內(nèi)容。后者則是企業(yè)自愿承擔的義務，即企業(yè)通過合規(guī)計劃的制訂實施，積極承擔對數(shù)據(jù)的所有者、供應者、使用者、消費者以及企業(yè)內(nèi)部員工等利益相關(guān)者的數(shù)據(jù)安全保障義務。企業(yè)在合規(guī)體系中承擔社會責任，對于增強企業(yè)及員工守法觀念、強化責任意識和預防數(shù)據(jù)犯罪，能夠起到根本性作用。

（2）企業(yè)外部數(shù)據(jù)安全保障。我國《網(wǎng)絡安全法》《數(shù)據(jù)安全法》均規(guī)定了網(wǎng)絡運營者等組織、個人協(xié)助偵查犯罪、調(diào)取數(shù)據(jù)的義務。如《數(shù)據(jù)安全法》第二十七條規(guī)定了數(shù)據(jù)處理活動主體應當履行數(shù)據(jù)安全保障義務；重要數(shù)據(jù)處理者應當將數(shù)據(jù)安全保障義務落實到具體負責人、管理機構(gòu)。第三十條則規(guī)定了重要數(shù)據(jù)處理者的風險評估及報送義務。第三十五條規(guī)定，公安機關(guān)、國家安全機關(guān)因依法維護國家安全或者偵查犯罪的需要調(diào)取數(shù)據(jù)，應當按照國家有關(guān)規(guī)定，經(jīng)過嚴格的批準手續(xù)，依法進行，有關(guān)組織、個人應當予以配合。對于上述網(wǎng)絡運行安全和數(shù)據(jù)信息安全保障義務內(nèi)容，企業(yè)應將其納入合規(guī)計劃之中，使其成為合規(guī)義務規(guī)范內(nèi)容。須指出，目前我國數(shù)據(jù)安全立法較多集中于數(shù)據(jù)安全保護和監(jiān)管義務設置，而對于數(shù)據(jù)流動、共享及利用方面的規(guī)定較少，對相關(guān)主體數(shù)據(jù)權(quán)益的兼顧與平衡仍存在不足。在大數(shù)據(jù)時代背景下，法律需要協(xié)調(diào)不同主體的利益，合理分配數(shù)據(jù)安全保護義務，避免對有關(guān)組織和個人的數(shù)據(jù)權(quán)益造成不當侵害。

2.個人數(shù)據(jù)權(quán)利保護規(guī)范

主要包括企業(yè)內(nèi)外部兩方面。

（1）企業(yè)外部個人數(shù)據(jù)使用的權(quán)利保護。我國《數(shù)據(jù)安全法》專章規(guī)定了任何主體都應當采取合法、正當?shù)姆绞绞占瘮?shù)據(jù)，不得以竊取等非法方式獲取數(shù)據(jù)?！秱€人信息保護法》也同樣設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務，要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應的安全技術(shù)措施。個人隱私信息的泄露和不當使用是數(shù)字經(jīng)濟發(fā)展帶來的嚴重社會失范問題。保證個人隱私安全的制度措施主要包括：一是模糊化；二是匿名化。因此，在責任倫理觀念的指導下，應及時保障公民個人信息的隱私安全，規(guī)范行業(yè)標準，通過數(shù)據(jù)脫敏技術(shù)，利用算法對存儲的數(shù)據(jù)進行快速識別，將能夠識別特定自然人的識別符予以匿名化。歐盟《通用數(shù)據(jù)保護條例》對個人數(shù)據(jù)匿名化的內(nèi)涵作出了具體規(guī)定，并特別強調(diào)應當將其作為數(shù)據(jù)處理安全的技術(shù)措施保障，為實現(xiàn)公共安全等利益所進行的數(shù)據(jù)處理活動也應當采取匿名化的保護措施。我國《網(wǎng)絡安全法》第四十二條確立了使用個人信息征得信息主體同意的例外情形，即不可逆的匿名使用規(guī)則。另外，《信息安全技術(shù) 個人信息去標識化指南》（GB/T 37964—2019）將去標識的過程劃分為目標確定、標識識別、標識處理等步驟，并在各個環(huán)節(jié)中都設置了監(jiān)控、審查流程。尤其是持續(xù)監(jiān)控個人信息去標識化的結(jié)果，在數(shù)據(jù)去標識化后，仍根據(jù)具體情況或在固定期限內(nèi)重新對個人信息的標識化程度、重標識風險程度進行評估并將風險評估結(jié)果同預先設定的風險閾值進行對比，實現(xiàn)個人信息去標識化的有效性，以保障個人信息的安全性。

（2）企業(yè)內(nèi)部監(jiān)管中員工個人數(shù)據(jù)權(quán)利保護。企業(yè)對員工進行數(shù)據(jù)安全監(jiān)管，應當遵守有關(guān)個人信息存儲、共享、提供、轉(zhuǎn)移、刪除等方面的法律規(guī)定，履行法定義務，不能為了保障數(shù)據(jù)安全而犧牲員工個人信息數(shù)據(jù)權(quán)益，不得侵害員工的正當權(quán)益。例如，企業(yè)對員工進行網(wǎng)絡監(jiān)控，獲取員工網(wǎng)絡操作記錄，必須經(jīng)過員工本人授權(quán)同意，并且是基于勞動規(guī)章制度、集體合同實施人力資源管理所必需的?；谧钚⌒浴⒈匾栽瓌t，應將監(jiān)控的員工信息限制在最小范圍內(nèi)；在監(jiān)控方式上，必須遵循公開、透明原則，不得采取竊聽、跟蹤的手段監(jiān)控員工的日常工作活動。當然，企業(yè)具有擔保其員工遵紀守法的保證人地位，若其確實已充分履行了刑事合規(guī)中的主體監(jiān)管義務，則不存在構(gòu)成監(jiān)督過失行為的空間，就不能成立單位犯罪。

四、責任倫理下數(shù)據(jù)安全刑事合規(guī)實現(xiàn)路徑

刑事合規(guī)的直接價值目標在于通過國家強制力推動企業(yè)自覺承擔社會責任，遵紀守法地進行各類經(jīng)營活動；根本價值目標在于預防犯罪、規(guī)避風險。因此，刑事合規(guī)需建立制度化、規(guī)范化的預防體系，以體現(xiàn)企業(yè)面向未來、防范風險的責任倫理價值追求。根據(jù)預防犯罪的需要，數(shù)據(jù)安全企業(yè)刑事合規(guī)應當從事前合規(guī)、事后合規(guī)兩方面進行構(gòu)建。

（一）數(shù)據(jù)安全企業(yè)事前合規(guī)計劃

所謂“事前合規(guī)”，即企業(yè)單位在涉罪行為實施之前，已經(jīng)建立完整、有效的合規(guī)計劃，從而證明單位內(nèi)部自然人的犯罪行為與單位無關(guān)，實現(xiàn)單位與員工刑事責任的切割分離。企業(yè)的社會屬性決定了其需承擔社會責任，其規(guī)模的龐大和營利行為的伴隨性后果決定了其需充分承擔對“未來”的責任。企業(yè)合規(guī)是國家與企業(yè)協(xié)同共治、預防和發(fā)現(xiàn)犯罪的新型犯罪治理模式，強調(diào)源頭治理[21]。企業(yè)事前合規(guī)的出罪功能效用大小，應當主要考量企業(yè)參與數(shù)據(jù)安全合規(guī)的積極性、主動性、預見性，從企業(yè)是否事先設置了數(shù)據(jù)平臺安全標準、數(shù)據(jù)安全風險控制標準等內(nèi)部規(guī)范進行判斷。須注意的是，企業(yè)應當事先進行風險評估，并結(jié)合企業(yè)具體情況設置具體規(guī)范。缺乏合規(guī)文化的合規(guī)計劃具有誘發(fā)內(nèi)部成員實施不法行為的反向效果，會使員工產(chǎn)生“不法行為是為了維護企業(yè)利益”的主觀心態(tài)[22]，從而喪失對不法行為正確的倫理道德判斷。綜上，在涉罪行為發(fā)生后，企業(yè)能否利用合規(guī)計劃方案，將涉罪行為予以有效控制和消除，及時挽回實際損失，并防止涉罪行為再次發(fā)生，以及能否有效地消除企業(yè)內(nèi)生性的犯罪文化誘因，是判斷合規(guī)計劃有效性的重要影響因素。

這里，著重討論以下兩點：

（1）企業(yè)數(shù)據(jù)收集和處理中的事前合規(guī)。由于不同企業(yè)所面向的市場方向存在差異，其存儲的數(shù)據(jù)內(nèi)容亦有所差別。首先，在數(shù)據(jù)收集過程中，應根據(jù)《數(shù)據(jù)安全法》對企業(yè)內(nèi)部數(shù)據(jù)進行分類分級，施以不同的數(shù)據(jù)獲取標準。例如，根據(jù)數(shù)據(jù)的權(quán)屬主體不同可以分為公共數(shù)據(jù)、權(quán)屬清晰的個人數(shù)據(jù)。對于前者來說，企業(yè)在獲取時應當遵循審慎原則，在遵守國家相關(guān)規(guī)定的同時還應確保收集數(shù)據(jù)同企業(yè)產(chǎn)品服務之間的直接相關(guān)性，將收集范圍、頻率等控制在合理限度，避免出現(xiàn)權(quán)屬糾紛。對于后者而言，企業(yè)在獲取數(shù)據(jù)前應當獲得權(quán)利人的同意或授權(quán)。其次，在數(shù)據(jù)處理過程中，企業(yè)同樣應當以數(shù)據(jù)分類分級管理體系為基礎，對不公開的私人之間傳輸?shù)木W(wǎng)絡信息與公開的網(wǎng)絡信息的安全審查方式予以區(qū)分，尤其要注意保護用戶的敏感信息，處理敏感信息應當關(guān)注對用戶個人信息的脫敏。在敏感數(shù)據(jù)的流通過程中，需要對數(shù)據(jù)流通涉及的第三方進行數(shù)據(jù)安全的風險評估，通過匿名化處理保證用戶信息安全。企業(yè)在開展匿名化處理的過程中，需要從操作層面完成對原始數(shù)據(jù)的隱藏，生成替代數(shù)據(jù)，避免他人識別信息主體的身份。

（2）數(shù)據(jù)安全風險監(jiān)測和預警的事前合規(guī)。《數(shù)據(jù)安全法》第二十九條規(guī)定，企業(yè)在數(shù)據(jù)處理的全過程應當堅持風險監(jiān)測，并在發(fā)現(xiàn)數(shù)據(jù)安全風險后及時采取防控措施。確實發(fā)生數(shù)據(jù)安全事件后，應當及時采取合理處置措施并及時報送主管部門、告知用戶。基于此，企業(yè)應當建立數(shù)據(jù)安全事件應急制度，也即在發(fā)生數(shù)據(jù)安全事件后企業(yè)應當及時將數(shù)據(jù)安全事件報送給相關(guān)權(quán)利主體以及主管部門，開展內(nèi)部調(diào)查后處理實施違法犯罪行為的員工或第三方并進行整改。例如，杭州某互聯(lián)網(wǎng)企業(yè)建構(gòu)的“風險核查—數(shù)據(jù)梳理—數(shù)據(jù)保護—監(jiān)控預警”（CAPE）模型，風險核查的主要關(guān)注點在于前期的數(shù)據(jù)收集、使用階段，目標在于明確可能存在的刑事風險；監(jiān)控預警則是將關(guān)注點放置在較為重要的使用、流動等階段，盡可能地感知數(shù)據(jù)安全態(tài)勢[13]。于企業(yè)數(shù)據(jù)刑事合規(guī)來說，這是一套具有相當系統(tǒng)性、完善性的數(shù)據(jù)風險防控方案，具有借鑒意義。

（二）數(shù)據(jù)安全企業(yè)事后合規(guī)整改

所謂“事后合規(guī)”，是指企業(yè)實施數(shù)據(jù)犯罪后所做的整改補救措施，以預防再次犯罪的發(fā)生。對企業(yè)數(shù)據(jù)犯罪行為進行刑事處罰的主要目的在于預防風險，那么以合規(guī)的方式推動、監(jiān)督企業(yè)進行事后整改工作，并以不起訴、暫緩起訴作為正向激勵的方式同樣具有相當?shù)哪康恼斝浴Ｍ瑫r，這也是對責任倫理中“整體”責任觀念的貫徹。企業(yè)的事后合規(guī)整改不僅有利于完善公司治理結(jié)構(gòu)，促使員工在日常工作中時刻牢記倫理底線，還可充分發(fā)揮公司所蘊含的社會經(jīng)濟效能，從而帶動社會整體經(jīng)濟的發(fā)展。企業(yè)制訂和實施有效的數(shù)據(jù)安全刑事合規(guī)計劃，國家司法機關(guān)予以量刑激勵，其實就是寬嚴相濟刑事政策的體現(xiàn)。

近年，我國檢察機關(guān)逐步推進開展涉罪企業(yè)合規(guī)試點工作，實踐中也出現(xiàn)了對涉案企業(yè)以無罪處理的判決①。最高人民檢察院、司法部、財政部等九部門、單位聯(lián)合發(fā)布的《涉案企業(yè)合規(guī)建設、評估和審查辦法（試行）》（以下簡稱《試行辦法》）第二條規(guī)定，經(jīng)評估合規(guī)建設符合有效性標準的涉案企業(yè)，檢察院可以參考評估結(jié)論對其作出不起訴等決定。涉罪企業(yè)在符合相關(guān)條件的情況下，檢察機關(guān)將其納入合規(guī)考察范圍，并根據(jù)其整改效果作出是否起訴的決定。企業(yè)合規(guī)整改大致可以劃分為涉案企業(yè)合規(guī)整改—第三方評估—檢察院或第三方管委會審查與認可三個階段。其合規(guī)整改內(nèi)容主要包括：涉案企業(yè)在停止犯罪行為、認罪認罰的基礎上，還需采取補救挽損措施，積極配合刑事追訴行動；及時自糾自查，查明犯罪事實及責任人；查明犯罪發(fā)生的原因，查找、確定企業(yè)內(nèi)部治理結(jié)構(gòu)、管理制度等制度體系層面的漏洞；對已經(jīng)查找出的漏洞及時進行補正或撤銷；根據(jù)已經(jīng)查找出的漏洞及時對現(xiàn)有的合規(guī)計劃進行修正，形成有效的刑事合規(guī)體系[23]。須指出，企業(yè)合規(guī)是一把“雙刃劍”，若企業(yè)存在“紙面合規(guī)”的情形，即涉罪之前并未建立有效合規(guī)計劃；或者企業(yè)建立的合規(guī)計劃未實際發(fā)揮效用；或者出現(xiàn)“合規(guī)承諾欺詐”的情況，即企業(yè)單位在騙取司法機關(guān)信任之后，故意違反合規(guī)制度再次實施先前所犯之罪，對本單位在經(jīng)營過程中涉及的數(shù)據(jù)安全刑事風險具有明知或應知的主觀心態(tài)，司法機關(guān)可以據(jù)此認定企業(yè)單位主觀惡性較大，應依據(jù)正常程序?qū)ζ溥M行起訴。若企業(yè)通過有效合規(guī)計劃換取檢察機關(guān)的不起訴決定后，在后續(xù)經(jīng)營過程中又觸犯合規(guī)計劃內(nèi)所規(guī)制罪名的，則應當剝奪其再次通過合規(guī)整改避免被起訴的機會，并對其所犯之罪從重處罰[24]。

綜上所述，就涉罪企業(yè)而言，事前合規(guī)計劃和事后合規(guī)整改彰顯了涉罪企業(yè)主觀意志上積極避免危害結(jié)果的再次發(fā)生的主觀心理態(tài)度[18]，能成為減免其刑事責任的重要因素。企業(yè)合規(guī)計劃的設定及實施可能成為刑罰裁量的影響因素，體現(xiàn)了特殊預防的需要[25]；同時，企業(yè)合規(guī)能夠增強對刑法規(guī)范的忠誠和認同及對倫理規(guī)則的自覺遵守，從而防患于未然，實現(xiàn)一般預防效果[26]。

五、結(jié)語

在風險社會背景下，企業(yè)在制訂刑事合規(guī)計劃、防范數(shù)據(jù)安全風險過程中，須確立責任倫理觀念，面向未來，著眼整體，積極應對風險。企業(yè)作為具有相當規(guī)模、完善的組織體，應當積極履行社會責任，遵守社會規(guī)范和倫理道德，將責任倫理內(nèi)化于企業(yè)合規(guī)體系之中。責任倫理不僅僅是一種責任觀念和道德規(guī)范，還需要從不同規(guī)范層面實現(xiàn)數(shù)據(jù)安全企業(yè)合規(guī)的倫理化、規(guī)范化。企業(yè)刑事合規(guī)一般不能成為阻卻違法或責任的事由，但可以作為量刑酌定從寬的情節(jié)因素；如果合規(guī)企業(yè)沒有違反數(shù)據(jù)安全保護義務，缺乏主觀罪過，或情節(jié)顯著輕微、危害不大，就能夠以出罪處理。數(shù)據(jù)安全企業(yè)合規(guī)存在事前合規(guī)與事后合規(guī)兩種路徑選擇。除事后的量刑激勵之外，著眼于一般預防的事前合規(guī)計劃的制訂與實施顯得更為重要。應當看到，盡管企業(yè)責任倫理業(yè)已得到國家、社會和企業(yè)的重視，并被付諸企業(yè)合規(guī)制度建設和實踐之中，但其現(xiàn)實效果不應被高估。企業(yè)作為市場主體，屬于“經(jīng)濟人”而不是“道德人”，要使企業(yè)在自利的過程中達到有利于他人和社會的結(jié)果，僅靠道德自覺是不夠的，還需要法律制度這只“看不見的手”加以規(guī)范和引導。而在法律層面，一味地要求企業(yè)不利己、只利他，積極自覺地履行數(shù)據(jù)安全合規(guī)義務也是不現(xiàn)實的，相應的法律制裁手段也是不可或缺的。從體系化角度，應當將責任倫理規(guī)范作為企業(yè)數(shù)據(jù)安全合規(guī)治理體系的一部分，將相關(guān)道德規(guī)范與法律規(guī)范、“軟法”與“硬法”有機結(jié)合起來，在對數(shù)據(jù)合規(guī)企業(yè)予以刑責減免的同時，正確貫徹寬嚴相濟的刑事政策，從而實現(xiàn)懲罰與預防違法犯罪的雙面成效。

注釋：

①在楊某、鄭某侵犯公民個人信息案中，法院以雀巢公司不允許其員工以非法方式收集消費者個人信息、要求相關(guān)員工接受培訓并簽署承諾函為由，終審裁定雀巢公司無罪，維持一審判決，被稱為“企業(yè)刑事合規(guī)抗辯第一案”。參見甘肅省蘭州市中級人民法院（2017）甘01 刑終8 號刑事裁定書。