一、单位犯罪之刑事合规出罪的两个路径

在单位犯罪中，我国刑法确立了对企业和直接责任人采取“双罚制”的基本原则，就司法实践来看，通过刑事合规出罪主要体现在两个方面：1. 实体出罪，具体而言，单位犯罪抗辩最有力的理由在于以员工个人犯罪来否定单位犯罪，单位通过举证完善的合规体系等证明自身不存在犯罪故意，进而排除单位犯罪的可能性，这也是绝对的出罪（不构成单位犯罪）；2. 程序出罪，这是当下合规不起诉制度衍生出的新途径，具体而言，是涉刑的单位通过制定并落实刑事合规整改方案，通过检察机关的合规考察程序，最终获得检察机关不起诉的处理，这是相对的出罪（相对不起诉）。

以下两个案例可以更直观地体现刑事合规出罪的两个路径：

【案例1】 合规实体出罪——有难同当还是罪责自负？

杨某、郑某为某国际知名婴幼儿食品公司中国西北部区域经理，为抢占当地奶粉市场，授意该公司多名员工通过拉关系、支付好处费等手段，多次从当地多家医院医务人员手中非法获取共计数万余条公民个人信息。该案审理过程中，杨某、郑某的辩护人提出本案系单位犯罪的辩护意见，期望以单位犯罪来降低自然人的罪责。

公司合规实体出罪：

在审判过程中，公司提交了图示中的证据材料。据此，法院认为，业务人员违反公司管理规定，为提升个人业绩而置法律规范、公司规范于不顾，违规操作进而贿买医务人员获取公民个人信息的行为，并非公司的单位意志体现，故本案不属于单位犯罪。从该案来看，对于单位而言，日常经营中构建完善合规体系，包括制度、培训、考核等等，是预防单位犯罪的有效保障，更是应对员工利用单位名义实施信息数据类犯罪时否定单位犯罪的有效抗辩。

【案例2】合规程序出罪——同舟共济还是分道扬镳？

江苏某建设公司在生产经营中，先后注册成立了两家子公司以向建筑公司的劳务人员发放劳务费。为解决劳务人员个人信息不足问题，公司违规从学校学生管理系统下载九千余名在校学生个人信息，冒充两家子公司员工向税务机关虚假纳税申报。该公司及其实际控制人因涉嫌侵犯公民个人信息罪被公安机关立案侦查，随后移送检察机关审查起诉。

公司合规程序出罪：

在检察机关的审查起诉阶段，基于当前“合规不起诉制度”的大背景，涉案企业和员工一方面积极配合检察机关和行政主管部门的工作，努力使该行为的危害结果降到最低；另一方面，该企业在检察机关的指导下依法依规展开企业合规，并顺利通过第三方评估小组考核，检察机关据此对涉案公司及实际控制人均做出了相对不起诉。[2]

二、数据处理者防范刑事风险的实体出罪路径

数据刑事合规是现代企业治理体系在大数据时代诞生的新内容，其强调企业以自身的努力积极防范数据刑事安全风险，把与数据相关的犯罪消除在萌芽状态。[3]2022年1月27日，上海市杨浦区检察院联合上海市信息服务业行业协会、市数据合规与安全产业发展专家工作组、区工商业联合会制定发布全市首份《企业数据合规指引》（“《指引》”），提示企业预防“数据刑事风险”，并鼓励企业为预防和降低涉数据违法犯罪而开展“数据合规管理”。

结合《指引》就企业数据合规的主要逻辑，我们认为一个好的企业数据犯罪刑事合规体系应设定并能够实现如下目标：

（一）行政监管与刑事犯罪双合规的体系融合。数据犯罪往往从违反数据行政监管要求开始，因此企业的数据犯罪刑事合规制度应与企业数据监管合规相融合，但应在数据违法的民事、行政和刑事分叉点强化刑事合规的目的特色：

1. 分离单位责任和个人责任。涉及企业的数据犯罪表现为与企业有关的个人违法处理信息数据。因此，企业数据犯罪刑事合规应该以分离企业责任和涉企个人责任为基本目标。企业需要识别自身可能存在的个人信息和数据安全瑕疵，针对性地建立起数据刑事合规体系，明示企业个人信息和数据安全的合规意愿与要求，约束员工涉个人信息和数据处理的经营活动和履职行为，预防涉企个人信息和数据犯罪的发生。
    
2. 为争取实体合规出罪提供支持。同时，在企业发现可能已经发生数据违法行为，或者数据监管部门已立案并启动调查程序的情况下，企业应能够通过数据刑事合规体系立即停止违法行为并与执法机构合作，考虑自身情况配合调查或者主动消除、减轻违法行为危害后果。

（二）强化刑事合规治理结构及资源统筹。从内部合规治理结构而言，企业一方面要建立独立于法务部门的专门信息数据合规部门，另一方面应该在法务部门的指导下明确企业合规管理部门及其人员的合规职责；而企业合规管理部门则需要通过惩戒与激励等多重方式引导企业普通员工参与企业合规治理，增强企业合规意识。在合规体系运营方面，企业要确保合规体系要能够在企业日常运营中协调各部门和各种资源，在信息数据合规管理部门的统筹下，确保合规制度与要求落实到位。

（三）为合规审计和验收提供标准。企业信息数据犯罪刑事合规体系要能够在企业内部说明并提供合规审计的触发场景、审计流程和要求，更重要的是对审计发现问题的验收标准，形成精准触发、细致审计和综合验收的全流程管理，避免企业内部信息数据合规审计流于形式，或者验收随意。

（四）迅速有效的危机应对机制。作为信息数据犯罪合规体系的一部分，企业还应制定反馈迅速处置精准的危机应对机制，这不仅仅应包括传统合规体系应当具备的数据信息安全事件应急预案，更应当包括与对内应急预案相配套的对外公关应急预案，并能在发生数据安全事件时迅速启动。对内安全事件应急预案以快速识别问题弥补缺陷为目标，对外公关应急预案以有效同执法机关和社会媒体沟通并维护企业形象为目标。

最后，要强调的是，个人信息保护和数据安全相关法律也是新生事物，这就决定了企业信息数据刑事合规不会一蹴而就、也不能生搬硬套。针对自己的行业和业务特点，每家企业需要贴身制定符合自己特点的信息数据刑事合规体系，并且随时跟踪法律执法的最新变化适时调整。这样的体系才能最有效的保护企业和管理层的利益。

三、涉刑的数据处理者之程序出罪路径

《刑法》根据违反数据安全的行为内容、行为模式等进行了全面的规制，相应的罪名达十几个，数据处理者稍有不慎就会有承担刑责的风险，且近年来企业涉数据安全的刑事案件也层出不穷。自2020年3月起，最高检大力推动涉案企业合规改革工作，先后发布了《关于开展企业合规改革试点工作方案》、《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》等相关规定；司法实践中，更多人称之为“刑事合规不起诉”；不起诉的机会是“涉案企业作出合规承诺并积极整改落实”的最大动力。前文“合规出罪路径案例2”就是很好的体现。

那么，对于涉刑的数据处理者，如何做才能达到程序出罪呢？换言之，怎么做才能考核合格、最终获得不起诉的宽大处理？结合我们过往的项目实践经验，我们认为应该从两个方面来完成——一是要有完备的数据安全合规计划（有形式），二是要能严格执行数据安全合规计划（可落地）；这两个方面都要能通过个案的第三方评估小组的考核。

（一）“有形式”

《指引》对于“有形式”，也即数据合规计划应包含的内容具有重要的参考价值，具体如下：

1. 对现有数据管理制度的梳理

• 针对司法机关认为涉嫌的犯罪事实（主要是起诉意见书中公安机关认为的事实），结合公司的实际经营、业务情况进行关联性剖析，包括原因、违规违法点等。
• 全面排查经营中其他业务的相关合规风险，比如常见的数据源授权的完整性、技术手段使用的不当性、对外提供信息用途合法性监管、上下游企业合规处理数据的关联性等。
• 针对前述问题，明确业务调整措施。识别需要停止的涉案违法业务，确定需要优化调整潜在的具有一定合规风险的业务。
• 梳理公司原有较好的相关合规工作和努力，说明涉案企业具有适用刑事合规不起诉的基础。

2. 以风险防控为导向完善数据合规体系

《指引》的全文其实就是围绕数据安全风险，引导企业搭建完善数据合规管理体系、保障数据合规运行来规制。所以，企业的数据合规计划应该结合本企业自身经营情况，体现数据合规管理体系、数据风险识别、数据风险评估与处置以及数据合规运行与保障这四个方面内容。

• 数据合规管理体系：该部分内容是公司有关组织架构和管理制度上对于数据安全合规性的规定，比如《指引》所鼓励的设立专门的数据合规管理部门，企业最高管理者作为数据合规的第一责任人，企业不同部门之间对于数据安全合规工作的协调等。同时，涉案企业应在合规计划中细化数据合规管理部门的管理职责和工作内容，以体现合规整改的具体性。
• 数据风险识别：该部分内容是要求企业根据自身业务特点，全面梳理风险点，尤其是《指引》中归纳的常见数据安全风险体现的业务场景，应予以重点关注，如自动化工具、软件开发工具包的使用；涉个人信息的处理；跨境提供数据等，并根据风险进行等级划分；此外，在梳理中还应明确各风险所对应的信息生命周期、处理环节、涉及部门、业务体现模式等。
• 数据风险评估与处置：参考《指引》相关规定，在合规整改计划中要提升企业日常经营中风险评估程序的科学性、加大数据安全投诉举报途经的全面性、发现风险处置的及时性和正确性等；也要针对前述梳理处的数据风险，制定细化合规措施，如全面开展信息采集、使用授权合规评估，完善上下游管理，加强外部数据合规治理（结合自身业务特点，尤其是涉及特定技术风险时更应细化不同应用场景做不同的分析），加强内部数据安全、完善数据流转管理等。
• 数据合规运行与保障：参考《指引》相关规定，涉案企业可以根据企业自身情况，围绕合规咨询、考核机制、培训与承诺、数据合规文化等方面进行阐述。如不断提升业务人员的合规意识和风险识别能力、分级培训、将数据安全纳入每个部门、员工的考核中并设立相应的激励机制等。

（二）“可落地”

根据过往的项目经验，将合规计划有针对性地落实到企业的实际业务经营中，我们的具体建议如下：

1. 根据合规计划内容，改革企业有关数据安全的治理结构，重塑企业数据合规的文化。
    
2. 根据《指引》，建议成立专门的数据合规委员会，首席合规官由企业最高管理者担任。
    
3. 全面实施数据安全方面的管理制度，如企业数据分类分级方法、对数据访问权限的管理制度、保密协议、网络安全保护制度、个人信息保护制度、企业数据合规问题抽样检查制度、企业员工数据合规培训计划、企业有关数据合规的财务和保障计划等。
    
4. 对管理人员和重点风险岗位的员工要进行数据合规专项培训，既针对涉案事实本身提高他们甄别风险的能力和意识，也能够更好地配合第三方评估小组的考察问询。
    
5. 向第三方评估小组或者检察机关主动出具切合实际的数据安全合规经营承诺书，以体现涉案企业整改的决心和持续合规的信心。
    
6. 在数据合规委员会中指派专门人员对接第三方评估小组，积极配合第三方小组可能的巡回检查、飞行检查、问卷测试、访谈等，并对每次检查予以记录留痕，根据评估小组要求予以及时调整，以确保对自身合规计划落实情况实行主动的动态监管。

综上所述，企业数据刑事合规的实质出罪路径是要求企业在经营过程中依法、守规地进行数据处理活动，积极预防单位及单位之下自然人的刑事犯罪，并将这种预防体系制度化、规范化；而企业数据刑事合规的程序出罪路径是在企业数据涉刑风险已经发生的情况下，通过完善的合规整改及有效落实来化解刑事危机。在数据时代、在合规不起诉的大背景下，作为数据处理者的企业更应该真正意识到经营过程中的刑事法律风险，通过专业人士为企业主动把握好刑事合规出罪途径的机会（无论是事前防范的机会还是事后补救的机会），才能使得企业在政策制度红利的暖风口上平稳地翱翔。

感谢实习生杨能盛对本篇文章做出的贡献。

注释：

[1] 2020年4月9日，中共中央、国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》，提出将数据与土地、劳动力、资本和技术并称为五大生产要素。并进一步明确，加快培育数据要素市场，推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。

[2] 来源于中国检察网https://www.12309.gov.cn/12309/gj/js/njs/njsyhtq/zjxflws/202106/t20210630_9858593.shtml ；https://www.12309.gov.cn/12309/gj/js/njs/njsyhtq/zjxflws/202106/t20210630_9858589.shtml

[3] 姜涛：《数字安全与刑事合规建设》，载《检察日报》，2021年11月4日。