“行检协同式”个人信息合规行刑衔接激励新模式研究

毛逸潇

(北京大学 法学院，北京 100871)

引言

近年来，我国个人信息保护合规在行政监管和刑事司法两大激励机制的推动下取得突破式发展。在行政监管层面，《网络安全法》《数据安全法》《个人信息保护法》的相继出台构筑起个人信息保护行政法律体系，不仅确立了覆盖个人信息全生命周期的基本处理规则，还专章规定个人信息处理者的合规义务以及怠于合规管理面临的严厉罚则，标志着个人信息保护领域全行业强制合规时代的到来。在刑事司法层面，最高人民检察院自2020年3月开始面向涉企经营类犯罪案件启动涉案企业合规改革，并于2022年4月部署全国检察机关全面推开改革试点。(1)参见徐日丹：《检察机关全面推开涉案企业合规改革试点》，载《检察日报》2022年4月6日，第1版。涉嫌侵犯公民个人信息犯罪的企业及其直接责任人员一旦被纳入试点范围，只要在检察机关或者第三方合规监管人的督导下完成合规整改，建立或完善个人信息保护合规管理体系，就能获得合规不批捕、合规不起诉、合规宽缓量刑建议等轻缓化甚至出罪化处理。2021年6月，雨花台区检察院针对某建筑企业涉嫌侵犯公民个人信息案举行南京市首场合规验收听证会，最终认定涉案企业合规整改合格并作出不起诉处理。(2)参见顾烨：《公开听证督促涉案企业合规管理》，载《检察日报》2021年7月19日，第7版。

个人信息领域的行政合规激励秉持“预防性监管”的理念和方式，注重以风险为导向的行政违法源头治理，采取预防性的治理措施，为行政相对人设定防范相关风险的法律义务，并将那些不履行风险防范义务的行为作为行政处罚对象。(3)参见陈瑞华：《论企业合规在行政监管机制中的地位》，载《上海政法学院学报》2021年第6期。不过，个人信息行政合规的“反向激励”机制仍然属于高权行政范畴，不仅存在形式主义法治倾向，而且监管效果完全依赖于行政机关高成本的持续性、广泛性监管，容易坠入威慑陷阱而导致行政监管失效。(4)参见周佑勇：《契约行政理念下的企业合规协议制度构建——以工程建设领域为视角》，载《法学论坛》2021年第3期。相反，检察机关推动的涉案企业合规改革则兼具协商性司法和事后合规的“正向激励”优势。检察机关在涉企案件办理中放弃“父权主义”公法理念，引入“互利共赢”市场经济思维，(5)参见陈瑞华：《刑事诉讼的合规激励模式》，载《中国法学》2020年第6期。通过不予起诉和量刑减让换取涉案企业接受合规监管、建立有效预防犯罪的合规管理体系，创造性地实现民营经济保护和企业犯罪治理的协调统一。随着改革探索逐步深入，检察机关愈发意识到吸纳行政机关参与改革的重要性，无论是涉案企业合规第三方监督评估机制的政策制定和日常运行，还是刑事与行政“双轨制执法体制”下刑事合规激励效果在行政监管阶段的巩固和延续，都离不开行政机关的支持与协作。

个人信息行政合规和刑事合规之间存在相互需求和相辅相成的互动关系。个人信息行政合规亟待引入契约性和协商性的事后合规机制以强化激励效果，个人信息刑事合规则迫切需要破解合规激励的“独角戏”困局，推动刑事合规向行政合规和行业合规转化提升。正是在此意义上，涉案企业合规改革行刑衔接制度为个人信息刑事合规与行政合规融合发展和协同激励带来难能可贵的历史契机，检察机关在办理侵犯公民个人信息合规案件时，可以通过向履行个人信息保护职责的行政机关移送案件材料、制发检察建议、提出检察意见等方式，推动行政机关认同涉案企业个人信息合规整改结果、接续行政合规监管、作出宽缓行政处罚、督促行业合规建设，推动形成体系化个人信息行政合规激励机制，共建个人信息合规行刑衔接激励新格局。(6)参见马明亮：《作为犯罪治理方式的企业合规》，载《政法论坛》2020年第3期。

一、个人信息合规的行刑衔接激励模式之现状

涉案企业合规改革试点伊始，最高人民检察院将企业合规整改以及行刑衔接机制定位为作出不捕、不诉、不判实刑等宽缓处理之后的“严管”机制。随着改革探索持续深入，合规激励逐步取代合规严管而成为涉案企业合规改革的根本目标，行刑衔接机制的合规激励特征和激励方式得到强化和丰富，最终形成以合规整改认同、行政处罚检察意见、行业合规检察建议等三大机制为主体的合规行刑衔接激励模式。侵犯公民个人信息类企业合规案件在适用行刑衔接基本范式的基础上，还通过整合刑事检察、行政检察、公益诉讼检察等多种检察职能，打出能动检察的衔接激励“组合拳”。

(一)企业合规整改认同：整改效果的延伸

企业合规整改认同是指检察机关向行政机关移送企业合规整改材料，积极促成行政机关认同涉案企业合规整改证据，并在此基础上认同合规整改理念、方式和效果的行刑衔接制度。一方面，合规整改认同的基础形式是推动行政机关认同涉案企业刑事合规整改证据材料。检察机关一般会移送第三方监督评估机制各运行阶段形成的纸面材料，如合规自查报告、合规监管报告、合规验收评估报告等等；检察机关还将移送涉案企业制定的合规章程、合规政策、合规组织文件、合规流程文件等全套合规计划材料。行政机关通过接收这些合规证据材料，可以全面了解涉案企业接受合规监管、开展合规建设的详细事实情况，企业合规由此进入行政执法人员的视野，这是生发行政合规激励机制的前提条件。

另一方面，合规整改认同的实质目的是推动行政机关接受刑事合规整改理念、方式和效果。涉案企业合规改革高度重视合规标准制度建设，2022年4月19日最高人民检察院、司法部、财政部等九部委联合印发《涉案企业合规建设、评估和审查办法(试行)》，较为系统地规定了高层承诺与宣示、合规管理机构和管理人员、合规培训、合规监测、合规举报、合规调查、合规应对、持续整改机制等合规建设全流程要素。反观《个人信息保护法》等行政监管法律，只是原则性规定部分合规政策和合规管理流程，缺乏体系性和可操作性，亟需确立作为“最佳实践”的个人信息保护合规有效性标准。因此，尽管涉案企业在三至六个月的合规考察期内建立的合规体系难言尽善尽美，经过有效设计的个人信息保护合规计划可能尚未得到充分测试和有效实施，但是行政机关在审查标准化建设并经第三方组织和检察机关考察验收的合规计划之后，将大概率认可涉案企业刑行一体化合规管理体系。

合规整改认同属于行刑程序衔接和证据衔接机制，其本身并不会产生直接的实体从宽效果，却仍然能够为企业建立专项合规体系提供强大制度激励，究其原因，在于合规整改认同是企业获得行政监管从宽的前提和基础。第一，合规认同的最理想状态是合规整改结果认同，行政机关充分认可涉案企业合规管理体系，直接以此作为行政从宽处理的依据，而不再启动合规监督考察程序。第二，合规认同的最低限度目标是合规整改材料认同，行政机关认可涉案企业作出的合规整改努力，并在此基础上督促企业进一步开展行政合规整改，赋予企业以行政合规换取宽大处理的机会。第三，合规认同还能发挥激励刑事合规整改的效果，涉案企业意识到整改材料嗣后将被移送行政机关，必然会以更大的热情投入合规建设、争取获得刑事行政双重宽大处理。第四，合规认同还是一种行刑双向衔接机制，根据试点机关的改革经验，对于涉案企业在行政机关和公安机关办案阶段已经作出合规承诺、开展合规整改的，检察机关也可以对已经开展的企业合规程序予以确认。(7)参见唐荣：《“合规互认”挽救涉案企业生命》，载《法治日报》2022年2月26日，第4版。

(二)行政处罚检察意见：合规从宽的引入

行政处罚检察意见制度的第一重目的是避免“不刑不罚”，(8)参见徐日丹：《凝聚治理合力 回应新时代群众关切》，载《检察日报》2021年10月12日，第1版。从而加固企业合规改革正当性根基。合规不起诉的制裁论根基在于第三方监督评估机制的实施大大增强合规整改制裁性，企业需要投入大量人力、物力、财力和时间成本建立有效合规计划。(9)参见刘艳红：《企业合规不起诉改革的刑法教义学根基》，载《中国刑事法杂志》2022年第1期。但这种非刑罚制裁的严厉性可能一时之间难以为社会公众认识，人们习惯于司法机关和行政部门对违法企业作出实实在在的显性处罚决定。根据改革决策者的意图，为了让涉案企业在合规不起诉后受到相应处罚，而不是“一宽了之、一放了之”，检察机关应当及时向行政主管部门提出行政处罚检察意见。(10)参见徐日丹：《如何让好制度释放司法红利》，载《检察日报》2022年4月6日，第1版。《个人信息保护法》为违法处理个人信息和怠于履行个人信息合规义务的涉案企业及其责任人员确立了一系列重大罚则，违法行为情节严重时甚至可以对企业处以上一年度营业额百分之五以下的罚款，其严厉程度已经超越单位罚金刑。鉴于企业合规案件广泛存在既不起诉企业、又不起诉企业家的“双不起诉”现象，(11)参见李玉华：《企业合规不起诉制度的适用对象》，载《法学论坛》2021年第6期。如果不经过任何行政监管程序即对涉案企业和责任人员作出刑事行政“双不处罚”，无疑将进一步动摇企业合规改革的实质正当性，彻底消解个人信息法律责任体系的强制力和威慑力。

行政处罚检察意见的第二重目的是避免“不刑重罚”，从而实现企业合规“非罪处理”与“适格处罚”的平衡。(12)参见董坤：《论企业合规检察主导的中国路径》，载《政法论坛》2022年第1期。合规不起诉制度的重要理论依据是保护公共利益、防止起诉企业带来的“水漾效应”，虽然判处罚金本身并不会导致企业陷入生存危机，但随之而来的“资格剥夺”类附带后果，却会给企业带来灭顶之灾，使无辜员工、股东、投资者、合作伙伴、客户承受利益损失。(13)参见陈瑞华：《论企业合规的基本价值》，载《法学论坛》2021年第6期。在我国，已经有许多检察官意识到行政管理领域有大量针对市场主体实施的诸如较大数额罚没、责令关闭、吊销许可证件、限制从业等行政处罚，对企业生产、生存的影响不亚于刑事处罚。(14)参见王磊、汪佳妮：《能动履职提升企业合规治理质效》，载《检察日报》2022年4月11日，第3版。为维护企业合规改革的民营企业保护成果，防止经过合规整改重获新生的企业又因为行政处罚而不堪重负，需要运用行政处罚检察意见推动构建行政合规从宽处罚制度。浙江、山东等多地出台的省级第三方机制文件中已将合规从宽行政处罚作为行刑衔接的核心内容，检察机关应建议行政机关对合规整改合格的涉案企业减轻或免除处罚，行政机关对企业合规情况和检察机关建议进行评估后，原则上应对涉案企业减轻或免除处罚。

行政处罚检察意见的合规激励效果藉由行政合规从宽处罚实现。行政合规从宽处罚乃至免除处罚标志着合规不起诉的“事后合规出罪”刑事司法理念和方式被引入行政执法。事后合规是指合规计划作为犯罪行为发生后进入正式刑事审判前企业实施的反应性举措，(15)参见万方：《合规计划作为预防性法律规则的规制逻辑与实践进路》，载《政法论坛》2021年第6期。不同于以往基于罪量因素和罪刑均衡的微罪不诉机制，事后合规出罪具有罪后因素和司法裁量出罪的基本属性。《行政处罚法》虽然规定了以违法情节和危害后果为基础的补救从宽、首违不罚等轻缓化机制，但是事后合规从宽和行政和解制度并未得到普遍确立，行政合规激励效果始终不彰。行政处罚检察意见产生的行刑双向合规激励效果，不仅在行政处罚阶段构建以合规建设换取减免处罚优惠的强大激励机制，通过设置行政合规整改和评估程序，为行政和解制度的全面确立奠定基础；而且凭借合规结果认同机制赋予合规整改刑事非罪化和行政轻罚化的双重宽缓功能，激励涉案企业完成从刑事合规到行政合规的整改效能提升，赋予刑事不起诉和行政从宽处罚正当价值，避免不刑不罚的双罚缺位和不刑重罚的双罚失衡现象。

(三)行业合规检察建议：社会治理的探索

作为合规行刑衔接激励机制的行业合规检察建议是指检察机关针对企业合规案件办理中发现企业经营、合规管理的普遍性和倾向性问题，向行政部门制发检察建议，要求行政机关及行业协会、商会开展行业专项整治，推动行业开展合规建设。(16)参见钟亚雅等：《走出企业合规改革的“广州节拍”》，载《检察日报》2022年5月11日，第9版。检察机关推动行业合规的主要目的在于延伸公共利益维护和社会治理职能、扩大企业合规改革的覆盖对象和激励范围，实现“办理一案、治理一片”的效果。从职能属性来看，行业合规检察建议有社会治理型检察建议和公益诉讼型检察建议两种类型。

一是社会治理型行业合规检察建议。其核心内容是发现“行业普遍性问题”并提出针对性“合规整治建议”。在最高人民检察院发布的第二批企业合规典型案例中，检察机关通过办理串通投标案发现在工程建设、设备采购等多个领域存在大肆“串标”“围标”违法乱象，于是提出检察建议，要求招投标管理部门进一步严格落实行贿犯罪查询、政府采购活动中违法违规行为查询等制度规定，加强对招标代理公司管理。(17)参见孙风娟：《保护企业合法权益 促进企业合规守法经营》，载《检察日报》2021年12月16日，第1版。在个人信息保护领域，南京市雨花台区检察院办理某建筑公司为拓展客源、推销公司项目非法获取客户信息的侵犯公民个人信息合规不起诉案件之后，发现家装行业普遍存在非法购买、交换潜在客户信息的非法获客行为，于是联合市建委和装饰行业发展中心开展个人信息保护(家装行业)专项合规行动，通过组织合规论坛、合规培训、合规论证等方式强化行业自律、推动行业合规。(18)参见雒呈瑞等：《经营者非法获客走邪路 客户个人信息该如何用》，载《检察日报》2022年4月25日，第4版。未来，检察机关也可以针对此类个人信息保护行业管理漏洞制发行业合规检察建议，使个人信息行业合规进入行刑衔接制度化激励轨道。

二是公益诉讼型行业合规检察建议。作为“四大检察”职能之一，检察机关公益诉讼职能与企业合规改革形成激励相容的互促关系。一方面，民事公益诉讼可以强化检察建议刚性、促使合规监管落实落地，公益诉讼赔偿减缓免机制也可以直接作为合规激励措施；(19)参见李勇：《融合公益诉讼完善企业合规激励》，载《检察日报》2022年5月24日，第3版。另一方面，检察机关的公益诉讼部门可以同步启动行政公益诉讼立案审查，通过诉前检察建议督促行政机关依法履行监管职责，保护社会公共利益，撬动行业治理。(20)参见徐化成：《涉案企业合规不起诉检察建议模式探析》，载《检察日报》2021年11月23日，第7版。自最高人民检察院将个人信息保护作为公益诉讼办案重点以来，个人信息保护多元共治新格局基本形成，企业合规改革与行政公益诉讼的行刑衔接职能融合具有广泛的现实需求和制度基础。(21)侯银萍、陈定良、张峰：《行政公益诉讼诉前程序的实践问题检视》，载《苏州大学学报(法学版)》2020年第2期。例如，在浙江省慈溪市检察院办理的某装饰工程有限公司侵犯公民个人信息合规不起诉案件中，涉案企业非法获取本市十余家住宅小区业主的财产、房号等信息，采用电话、短信、上门推销等方式，招揽家居家装业务。检察机关结束合规考察、作出不起诉决定的同时，向相关行政机关制发行政公益诉讼诉前检察建议，要求加强对装饰装修企业的监管和宣传教育，推动个人信息安全保护和行业合法经营，实现从个案合规向行业合规的行刑衔接激励。(22)参见慈溪市检察院第四检察部：《慈溪检察：发布涉案企业合规第三方机制案件办理规程》，载“慈溪市人民检察院”微信公众号，2022年5月10日发布。

二、“检察委托式”个人信息合规行刑衔接模式激励性之不足

学界习惯于遵循“法律规定—权力配置—程序运行”的思路开展行刑衔接理论研究，常见的衔接机制不畅归因一般包括行刑法律规定脱节、行刑权力配置失衡、行刑程序运行混乱等基本面向，(23)参见周长军、芮秀秀：《“醉驾”案件中强制提取血样行为的性质与规制——以行刑衔接为视角》，载《法学论坛》2022年第3期。法秩序统一原理指导下的规范完善和教义学解释成为解决行刑衔接问题的基本对策。但是，由于企业合规改革仍处于全面试点阶段，行政合规和行业合规激励机制完全进入法律体系尚需时日，当前游走于规范体系之外的个人信息合规行刑衔接模式主要依靠检察机关单向委托行政机关配合落实，我们可以将其称为“检察委托式”合规行刑衔接，其面临的主要困境还在于规范、权力、程序的缺失而非矛盾，由此导致行刑衔接机制合规激励手段和激励效果的不足。

(一)检察机关行政监督效能刚性有限

检察机关作为国家利益和社会公共利益的维护者，通过行使诉讼职能和监督职能来维护国家法律统一实施，在监督职能内部，存在“行政监督”和“诉讼监督”二元并立的职能内涵。(24)参见陈瑞华：《论检察机关的法律职能》，载《政法论坛》2018年第1期。很显然，检察机关推进行刑衔接的努力属于行政监督的范畴，也就是一种对行政机关及其国家工作人员进行的监督活动。但是，检察机关的行政监督权毕竟不属于“一般监督权”，检察机关也不能代替行政机关行使权力，(25)参见张相军、马睿：《超过起诉期限检察监督案件的行政争议实质性化解》，载《人民检察》2022年第6期。通常只有在行政机关违法行使职权或者不行使职权的情况下，才能开展针对性的“纠错型”行政检察监督活动。为了解决行政监督范围过窄的问题，检察机关开始探索多层次“穿透式”行政监督体系，从第一层次对行政审判活动的“行政诉讼监督”、第二层次对违法行政行为的“促进依法行政”、第三层次注重在监督中能动解决矛盾的“化解行政争议”，到第四层次推动社会治理和国家治理体系现代化的“参与社会治理”，行政检察监督的目的从纠正行政违法趋向优化行政履职，并将监督范围从个案延伸至类案、从企业拓展至行业，弥补行政检察监督案件规模小的先天不足。(26)参见张相军、何艳敏、梁新意：《论“穿透式”行政检察监督》，载《人民检察》2021年第10期。

行政机关在合规不起诉案件中既没有作出违法行政行为，与涉案企业之间也不存在行政争议和由此引发的司法矛盾，因此行政处罚检察意见和行业合规检察建议这两种实质激励机制均属于第四层次行政检察监督。检察机关行使的是社会治理职能，只不过具体实施督促涉案企业和关联行业开展合规整改、建立现代化合规治理结构的主体并不是检察机关本身，而是接受委托的行政机关。这种“委托参与社会治理”的行政检察监督机制究竟能对行政机关产生多大的约束力和刚性监督效能，着实是不无疑问的。即便最高人民检察院2021年9月6日印发的《关于推进行政执法与刑事司法衔接工作的规定》等规范性文件设置了行政机关书面回复检察意见和检察建议办理情况的法律义务，在合规并未成为法定公司治理结构和行政从宽处罚情节的情况下，这些举措对于行政机关作出实质性行政合规激励措施并没有太强的约束力。行政机关完全可以依据行政裁量权在法定范围内对企业作出严厉处罚，而无需考虑合规整改的从宽效力；行政机关也可以通过履行常规的行业违法查处职能或者采取与合规激励无关的行业综合治理来搪塞行业合规要求，而无需联合工商联和行业协会“真刀真枪”地组织和督促广大企业建立合规管理体系。

更为困难的是，检察机关为了最大限度提升社会治理效能，尽可能覆盖更多专项合规领域、吸纳更多监管部门参与，往往会在一个合规不起诉案件中对接多个行政机关。一方面，《涉案企业合规建设、评估和审查办法(试行)》规定涉案企业合规整改应“以全面合规为目标、专项合规为重点”，检察机关针对侵犯公民个人信息案件的涉案企业，可能同时要求其制定个人信息保护合规、税收专项合规、反商业贿赂合规等多个专项合规计划；而针对涉嫌商业贿赂、虚开发票等犯罪的涉案企业，也可能要求其制定个人信息保护合规计划。各专项合规计划对应的行政监管机关各不相同，检察机关推动涉案领域以外的行政机关开展合规监管，已经超出从个案到类案的“案件”涵摄范畴，很难得到行政机关的积极响应。另一方面，即便是在个人信息保护等特定专项合规领域，案件也可能对应多个监管职能部门，检察机关同样需要制发“一对多”合规行刑衔接检察建议。例如，《个人信息保护法》并未明确个人信息保护专责机关，网信部门、工信部门和市监、教育、医疗、卫生、金融等相关领域主管部门都负有个人信息监管责任，分散保护的“九龙治水”模式导致主管部门各自为政，缺乏协调统一的合规监管程序和标准，个人信息保护没有被行业主管部门视为执法重点，行政合规动力普遍不足。(27)参见高秦伟：《论个人信息保护的专责机关》，载《法学评论》2021年第6期。

(二)行政监管合规激励制度基础匮乏

合规行刑衔接机制激励效果的有效发挥仰赖于合规全面引入行政监管执法，当前行政合规激励机制的结构性缺失已经成为检察委托式衔接困境的根本成因。我国行政机关接收合规整改材料和从宽处罚检察意见之后，既无从寻找从宽处罚的正式法律规定，也没有继续督导企业进行行政合规整改的行政和解制度依据，甚至在个人信息执法中，企业未履行个人信息合规管理义务本身就是行政违法行为，企业合规更应被视为从重处罚情节而非相反。相比之下，美国的合规激励已嵌入行政监管执法，联邦贸易委员会作为负责个人信息保护的首要执法机关，主要依据《联邦贸易法案》第5条禁止不正当竞争的原则性规定进行执法，激励企业建立有效合规计划成为行政执法的重要目标。

首先，事前合规应对体系成为责任减免事由。虽然美国联邦贸易委员会执法规则并未写明企业事前存在一定的合规或内控制度能够减免其作为违法主体应承担的责任份额，但实践中，联邦贸易委员会追究企业责任时会考察企业事前存在的合规管理有效性，结合其事发时应对违规行为的及时性，综合计算应当收缴的罚款数额。2020年12月，天网国际(SkyMed International)因未对13万客户敏感信息采取充分安全保障措施而被联邦贸易委员会制裁，考虑其存在一定的合规管理措施并承诺完善，联邦贸易委员会未要求其支付罚款。(28)参见In the Matter of SkyMed International, Inc., Decision And Order Docket No. C-4732.其次，事后承诺合规是达成和解的前提。联邦贸易委员会与违法企业达成和解，以企业承诺缴纳罚款和进行合规整改为前提。2022年5月，推特(Twitter)因将从1.4亿用户处搜集的电话、邮箱等安全信息用以投放定向广告，构成侵犯公民个人隐私。美国联邦贸易委员会明确表示，与推特达成和解的前提是其在支付1.5亿美元罚款的同时加强隐私保护合规计划和数据安全合规计划，在委员会认可的第三方处进行合规评估，并定期向委员会报告合规整改情况。(29)参见U.S. v. Twitter, Case No. 3:22-cv-3070, Complaint for Civil Penalties, Permanent Injunction, Monetary Relief, and Other Equitable Relief.最后，定期合规报告是解除监管的基础。联邦贸易委员会经常会在和解协议和处罚决定中设置一定的考验期，期间以定期报告等手段监督企业的合规情况，只有履行合规报告义务才能解除监管。2019年7月，脸书(Facebook)因为将用户信息私自披露给第三方而构成侵犯公民个人隐私，被联邦贸易委员会罚款50亿美元的同时，还被设定长达20年的合规监管期，期间脸书需要定期就合规建设和相关变化情况向委员会报告。(30)参见Matt Sneed, The Key to Regulating Facebook and Data Collection Companies Is Transparency, 30 ALB. L.J. Sci. & TECH. 109, 109 (2020).这是美国个人信息保护执法史上最长的合规监管期，对脸书隐私保护合规计划的长效建设提出了较高要求。

类似的协商性行政执法和解制度只在我国证券监管和反垄断执法领域有所探索，根据证券期货行政执法当事人承诺和垄断案件经营者承诺的制度安排，执法机关可依据当事人纠正违法行为、消除危害后果的承诺决定中止调查，在当事人履行承诺后终止案件调查。但是，行政执法承诺并没有明确包含企业合规计划的内容，也没有对涉案企业作出合规整改的明确要求，更没有为企业指派合规监管人、设置合规考察期、对合规整改的情况作出验收和评估，因此不属于行政合规激励机制。(31)参见陈瑞华：《论企业合规在行政和解中的适用问题》，载《国家检察官学院学报》2022年第1期。所谓“无米难为炊”，合规行刑衔接机制面临着相较于传统行刑衔接更加复杂的困境，这些难题远远超出衔接机制本身，而来源于行政合规激励制度的匮乏。

(三)行业合规治理文化根基和经验不足

推动涉案企业合规向行业合规的转化提升是企业合规行刑衔接机制的重要着力点，正如企业合规的基本性质并非字面意义上的“合乎法律规范”，而承载着企业合规治理结构和合规管理体系的丰富内涵一样，行业合规的建设目标也不应是追求简单的“行业合法合规”，开展笼统的法治宣传或者“运动式执法”性质的行业整顿活动，而要致力于推动行业内各大企业进行合规体系建设。检察机关应针对具有行业犯罪风险的合规建设事项，建议行政机关对同类型企业开展检查，并参照涉案企业整改方案进行整改。(32)参见李小东：《涉案企业合规建设“深圳模式”的探索与实践》，载《人民检察》2021年第20期。但是，从企业合规改革典型案例披露的情况来看，行政机关依然延续着“严刑峻罚”的监管模式，在办理行业合规检察建议时并未遵循合规激励的基本思路。其实，行业合规缺乏激励效果固然与行政机关未推进合规监督考察有关，但更深层次的因素应当追溯至我国企业合规治理文化根基和经验的普遍不足，行政机关推进行业性合规的努力将面临公司治理层面的较大阻力。

以个人信息合规为例，美国已经为此建立起多层次法律治理结构，在行刑共治的有效推动下，企业基本形成以保护个人信息为重点的合规文化。美国个人信息监管采取多重执法模式，即美国联邦与地方各州的刑事司法和行政监管机关并行不悖地实施执法监管、开展案件调查、决定处罚结果，作为私主体的被害人和被侵权人也可以同时通过民事诉讼寻求赔偿，这些处罚及诉讼程序可以平行开展、独立进行，各主体之间也可以协商选择联合行动，将案件“打包”处理。(33)参见Elysa M. Dishman, Enforcement Piggybacking and Multistate Actions, 2019 BYU L. Rev. 421, 424 (2020).检察机关是犯罪调查专家，熟悉公诉和审判程序，行政监管机关则掌握复杂的法律和行业技术要求，私主体在个体权益维护方面更加直接高效，三者从不同侧面解读和细化合规要求，高效推动全行业合规文化的形成。(34)参见Anthony O'Rourke, Parallel Enforcement and Agency Interdependence, 77 Md. L. Rev. 985, 988 (2018).于是，美国多数企业十分注重个人信息保护合规建设，调查显示有90%的公司认同个人信息合规是商业经营的重要组成部分，86%的企业表示从董事会到一线员工的每名公司成员都了解个人信息保护规范，42%的企业表示每年投入个人信息合规建设的资金超过50万美元。(35)参见Tiffany Light, Data Privacy: One Universal Regulation Eliminating the Many States of Legal Uncertainty, 65 St. Louis U. L.J. 873, 891(2021).随着合规文化蔚然成风，个人信息保护合规成为企业商业信誉的重要体现，合规认证制度取得长足发展。脸书和推特在个人信息丑闻曝光后，日活用户数量不断减少，相反，2021年苹果公司在升级手机系统时，开始允许用户关闭应用程序的数据采集和追踪功能，以保障用户的数据控制权和隐私权作为重要商业卖点，吸引了大批新用户。(36)参见Konrad Kollnig, Anastasia Shuba, Max Van Kleek, Reuben Binns, and Nigel Shadbolt, Goodbye Tracking? Impact of iOS App Tracking Transparency and Privacy Labels, in 2022 ACM Conference on Fairness, Accountability, and Transparency.此外，政府机构及社会组织开展以“欧美数据隐私护盾”为代表的个人隐私合规认证服务，赋予通过认证的企业在个人信息跨境流动等数据处理过程中的政策便利。(37)参见Daniel Alvarez, Safe Harbor Is Dead; Long Live the Privacy Shield, 2016 Bus. L. TODAY 1 (2016).

相较而言，我国虽然在个人信息处理者的强制合规制度方面有所建树，但是“合规优先于业务”和“最高层重视”的企业合规文化始终没有得到有效确立，尤其是有效合规计划的公司治理结构和权力配置基础欠缺，更加剧了我国企业合规纸面化态势。学界普遍认为有效合规治理需要以公司权力集中于董事会为前提，通过董事会下设合规管理委员会负责合规督导，才能对抗股东和执行层的趋利天性，实现合规风险的有效防范、识别和应对。但我国公司治理中两权分立不足、组织化水平低下、权力集中于股东会，导致合规的公司制度条件不足，(38)参见邓峰：《公司合规的源流及中国的制度局限》，载《比较法研究》2020年第1期。在企业合规制度基础、文化根基和治理经验均不尽如人意的情况下，检察机关委托行政机关推进行业合规治理，自然也无法收获理想的合规激励效果。

三、“行检协同式”个人信息合规行刑衔接激励新模式之确立

检察委托式合规行刑衔接机制激励性不足的局面使检察机关的刑事合规成果难以传递至行政监管阶段，更遑论行政机关能够主动开展行政合规改革，完成从刑事合规到行政合规的纵向转化提升和从个体合规向行业合规的横向范围扩展。对此，应当在认真考察当前检察委托式衔接机制深层缺陷的基础上，有针对性地提出“行检协同式”合规行刑衔接理论构想，通过检察机关和行政机关的职能协调与融合，以个人信息合规刑行一体化建设为指引，建立涉案企业持续整改的监督、评估、验收、奖励制度，为行政合规和行业合规激励机制的确立扫除障碍。

(一)基于合规激励本质的行检职能融合

企业合规改革本质即为检察机关以司法能动手段推动涉案企业开展合规整改、建立合规体系的合规激励改革，是由合规不批捕、合规不起诉、合规宽缓量刑建议等一系列“实体激励制度”和合规检察建议、第三方监督评估机制、合规验收听证等一系列“程序激励制度”共同组成的合规激励体系。合规行刑衔接机制是涉案企业合规改革的有机组成部分，自然承继了合规激励的基本属性。为了进一步扩大改革的合规激励范围和效果，检察机关在探索刑事诉中激励机制的基础上，充分调动法律监督和社会治理职能，积极探索刑事诉讼程序结束后督促涉案企业及其关联企业和所在行业继续进行合规体系建设的行刑衔接激励模式，其中同样存在多样化的实体激励制度和程序激励制度。正是在合规激励维度上，行政机关和检察机关的职能融合得以实现。

首先，“行检协同式”合规行刑衔接是企业合规实体激励的新方式。刑事诉中合规从宽激励方式随着案件处理决定的作出而用尽，检察机关对涉案企业在行政处罚阶段和日常公司治理中持续进行合规体系建设缺乏有效监管途径。尤其是在相对不起诉模式中，检察机关对涉案企业作出不起诉决定之后，才通过制发检察建议的方式督促涉案企业开展合规整改。检察机关虽然可以对涉案企业整改情况组织上门回访，但这种检察建议缺乏足够的约束力，无法对企业内部治理结构产生实质性影响，属于典型的“蜻蜓点水”模式。(39)参见毛逸潇：《合规在中国的引入与理论调适——企业合规研究述评》，载《浙江工商大学学报》2021年第2期。行检职能融合破解了诉后从宽激励不足的僵局，将合规从宽行政处罚等激励方式引入企业合规改革，大大提升合规激励的持续性和强制力。其次，“行检协同式”合规行刑衔接也是企业合规程序激励的新机制。当前，第三方监督评估机制是企业合规改革最重大的监管创制，由检察机关联合财政、市场监管、税务、生态环境等行政机关共同组建的第三方合规监督评估机制管委会，负责选任和管理担任合规监管人的第三方监督评估组织。(40)参见检察日报每周社评：《推进合规重在落实第三方监督评估机制》，载《检察日报》2021年10月11日，第1版。合规整改材料移送、行政处罚检察意见等衔接方式要升级为新型程序激励制度，就要将行政机关合规监管职能予以延续，行检协同在行政监管阶段继续开展合规监督考察、推进行政和解和行政合规听证等程序激励，探索行政合规新机制。最后，“行检协同式”行刑衔接能够激发企业合规改革的合规激励新效能。刑事合规激励对象限于实施经营类单位犯罪的公司、企业及其高管等直接责任人员，以及实施与生产活动密切相关的自然人犯罪的企业实际控制人、经营管理人员、关键技术人员，(41)参见李奋飞：《论企业合规考察的适用条件》，载《法学论坛》2021年第6期。只能实现“办理一个案件，改造一个企业”的效果。行检协同开展行业合规的治理对象扩展到涉案企业所在行业，治理方式是推动行业内各企业进行事前合规建设，实现“办理一起案件，规范一个行业”的广泛激励效果。

(二)赓续过程性参与的行检协同监管

“行检协同式”合规行刑衔接激励机制的基本原理在于检察机关延伸办案职能，积极吸纳行政机关参与企业合规改革、投身行政合规建设。事实上，最高人民检察院推行涉案企业合规改革以来，各试点机关在部署开展合规不起诉、第三方监督评估机制等改革试验的同时，始终在积极争取行政机关参与，为改革顺利推进提供行政监管职能支持和税收、环境保护、安全生产、数据保护等专项领域专业保障。概括来看，行政机关在企业合规改革中的协同作用可以分为两个维度，一是企业合规监督考察程序的过程性参与，二是案件处理决定作出后的接续性监管。

在过程性参与方面，行政机关在合规监督考察程序启动、监管、验收等关键环节的全流程参与格局已经初步形成。首先，检察机关在监督考察程序启动环节即会就涉案企业的注册经营、缴纳税款、容纳就业、违法历史等程序准入条件向行政机关进行核实，并听取行政机关对涉案企业启动合规考察程序的意见。其次，检察机关联合各行政监管机关在国家层面和各级试点地区组建第三方监督评估机制管委会，负责遴选作为合规监管人的第三方监督评估组织，行政机关工作人员也作为第三方组织成员而成为合规监管的重要力量。最后，在验收环节，检察机关邀请第三方组织代表、行政主管部门、人大代表等参加合规不起诉公开听证会，在充分听取行政机关意见后作出案件最终处理决定。总之，行政机关已成为合规不起诉制度尤其是第三方监督评估机制的实质参与者，要实现涉案企业“真整改”“真合规”的目标，就必须进一步调动行政机关的参与积极性，构建“行检律企”协力合作的合规考察模式。

在接续性监管方面，同样应当赓续过程性参与的协同考察机制，通过行刑衔接贯彻行检协同监管理念，破除“刑—行”单向衔接的程序隔阂。有学者提出广义行刑衔接说，认为行政机关的过程性参与也属于衔接范畴，合规行刑衔接包括企业犯罪立案侦查环节中的衔接、合规考察对象准入上的衔接、企业合规考察验收上的衔接以及企业合规不起诉后的衔接。(42)参见李奋飞：《涉案企业合规刑行衔接的初步研究》，载《政法论坛》2022年第1期。一般认为，狭义合规行刑衔接仅指不起诉、宽缓量刑等案件处理结果作出后的单向衔接，至于行政机关向侦查机关的案件移送、行政执法证据在刑事诉讼中的运用、行政前置法在单位犯罪归责和定罪量刑中的作用、行政机关在合规监督考察程序中的过程性参与等问题，要么属于传统非合规激励性行刑衔接的讨论对象而超出企业合规改革的关切范围，要么属于合规整改过程中的行政参与议题而不具备实体或程序衔接的内涵。但是“行检协同”的行刑衔接模式与行政机关过程性参与有着共同的制度目标，那就是激活行政机关的合规监管职能，合力完成专项合规考察、行业合规治理等检察机关凭借一己之力难以驾驭的合规激励工程。因此，“行检协同式”合规行刑衔接激励新模式既不能消解衔接机制的概念内涵而导致涵摄范围过宽，也不能局限于“整改认同”“独立处罚”等狭义衔接思路，而应在行政合规监管中延续行检合作机制，以接续性、协同性监管为基本方式营造合规激励新格局。

(三)契合个人信息合规的行刑一体化需求

“行检协同式”个人信息合规行刑衔接的理论依据还在于合规体系建设的行刑一体化需求。企业合规改革中涉案企业完成合规整改建立的刑事合规体系具有天然局限性。按照有效合规整改的基本思路，涉案企业应当首先满足认罪认罚、补救挽损和处置责任人等前置性条件，再通过犯罪原因诊断查明管理漏洞、制度缺陷和经营模式中的“犯罪基因”，进而开展针对性的制度纠错和管理修复，改造公司治理结构和经营管理模式，最后一步才是引入特定的专项合规管理体系。(43)参见陈瑞华：《企业有效合规整改的基本思路》，载《政法论坛》2022年第1期。在三至六个月的合规考察期内，涉案企业疲于开展合规自查和制度修复，能够投入合规体系建设的时间本就十分局促，而完整的有效合规计划又应当在合规计划的设计、执行、结果等三个阶段均满足有效性要求。(44)参见郭小明、刘润兴：《如何确保刑事合规计划得以有效实施》，载《检察日报》2021年8月6日，第3版。涉案企业最多搭建起专项合规计划架构，满足设计的有效性标准即可通过合规验收，至于合规计划执行和实际运行结果的有效性，则根本没有测试和评估的时空条件。

与此同时，我国刑法确立的单位犯罪均为具有双重违法性的法定犯，此类犯罪的首要违法性是违反行政法，即行政违法性；其次是违反刑事法，即刑事违法性。(45)参见刘艳红：《法定犯不成文构成要件要素之实践展开——以串通投标罪“违反招投标法”为例的分析》，载《清华法学》2019年第3期。行政违法向刑事违法的转化需要符合造成严重后果、违反国家规定等“特定犯罪构成要件”，(46)参见陈瑞华：《行政不法事实与犯罪事实的层次性理论 兼论行政不法行为向犯罪转化的事实认定问题》，载《中外法学》2019年第1期。其中最常见的是数额较大、情节严重等罪量条件。如果涉案企业合规计划仅以预防犯罪为唯一目的，所有合规政策和合规管理流程都围绕着防止违反刑法禁止性规定展开，而放任行政违法行为的发生，长此以往，企业满足特定罪量要件而从行政违法转化为刑事犯罪只是时间问题。(47)参见刘艳红：《中国反腐败立法的战略转型及其体系化构建》，载《中国法学》2016年第4期。在企业合规改革的常见涉罪领域中，侵犯公民个人信息罪的犯罪转化机制最为典型，根据相关司法解释规定，侵犯公民个人的行踪轨迹信息、通信内容等重大敏感信息五十条以上，或者通信记录、交易信息等一般敏感信息五百条以上即可构成犯罪。

或许有人认为刑事合规最多只需要防范作为“不成文构成要件要素”的行政违法行为。这种观点在环境保护合规、安全生产合规等特定领域可能具有一定合理性，但是对于个人信息保护合规则不然。一方面，2015年《刑法修正案(九)》增设侵犯公民个人信息罪，违反“国家有关规定”成为本罪的不成文构成要件要素，但《个人信息保护法》直到2021年才颁布实施，前置国家法律的长期缺位使各类行政法律法规甚至部门规章和地方性法规都成为前置违法性判断依据，(48)参见杨楠：《侵犯公民个人信息罪的空白规范功能定位及适用限度》，载《华东政法大学学报》2021年第6期。泛刑事义务化的司法趋势十分严峻。另一方面，刑法为保护数据和个人信息编织了严密法网，一套个人信息安全罪名体系已经成型：企业非法获取、向他人提供或者出售公民个人信息直接构成侵犯公民个人信息罪；将个人信息出售或提供给他人从事犯罪活动的，可构成帮助信息网络犯罪活动罪或者相关犯罪的共犯；企业怠于履行各法律、行政法规规定的个人信息保护义务，还可构成拒不履行信息网络安全管理义务罪。(49)参见毛逸潇：《数据保护合规体系研究》，载《国家检察官学院学报》2022年第2期。这意味着企业不仅会因为违反行政规范处理个人信息而构成犯罪，违反个人信息行政合规管理义务本身也能够在特定条件下转化为犯罪，面对个人信息领域无所不包的行刑互动关系，行刑一体化建设成为涉案企业构建合规体系的必然选择。在刑事合规整改受到诸多客观条件限制无法兼顾行政合规体系的情况下，推动行检协同合规激励，督促涉案企业在行政调查和处理阶段完善个人信息保护合规管理体系，实现刑事合规风险和行政合规风险的一体化防范，成为保障个人信息合规有效性的刚性需求。

四、“行检协同式”个人信息合规行刑衔接激励新模式之实现

个人信息合规行刑衔接激励模式从“检察委托式”向“行检协同式”转型，既能解决我国当前企业合规改革和行刑衔接机制的合规激励困境，又能加速推动个人信息合规规模化普及和法治化营商氛围塑就。概括而言，这种协同激励模式的实现仰赖于四个方面的制度化建设，一是建立第三方监管委员会主导的行政机关接续合规监管制度，二是促进检察机关在行政合规领域的过程性参与，三是建立体系化行政合规激励机制，四是推动行业合规激励制度建设。

(一)从结果认同转向接续合规监管

行检协同式合规行刑衔接的第一步是协调检察机关和行政机关的执法理念和执法方式，调动行政机关合规考察积极性，将持续开展合规监管、督促涉案企业合规整改作为行检共同履职目标。结合上文的分析，企业合规行刑衔接激励的基本形式包括合规整改认同、行政处罚检察意见、行业合规检察建议等等，不仅要求行政机关认同涉案企业刑事合规整改结果，还要据此作出从宽处罚决定并开展行业性合规专项整治。但是，在行政机关从未在执法中引入合规整改程序，甚至不了解企业合规管理体系建设、考察、评估方法的情况下，显然不愿意给予合规整改充分关注，更不会主动以出台合规指南、推行合规行政指导、开展事前合规监管等方式推动行业合规。因此，合规行刑衔接机制首先应当完成从结果中心主义向过程中心主义的转向，即行政机关在衔接机制中的首要职责是接续进行合规监管，将过程性监管理念和合规整改程序引入行政执法。否则，即便是行政法律确立合规从宽处罚规则，行政机关也完全可以行使裁量权淡化这种合规激励效果。

在当前企业合规改革的组织体系中，第三方监督评估机制管委会(合规监管委员会)最适宜承担协调行政机关接续合规监管的重任。首先，合规监管委员会成员单位覆盖面广，检察机关和各专项领域监管机关都参与其中，多地委员会建设还得到党委政府的大力支持，如张江港市合规监管委员会由市委、市政府联合印发专题文件组建，(50)参见邓根保等：《涉案企业合规第三方监督评估机制的建立与运行》，载《人民检察》2021年第20期。随州市企业合规改革领导小组组长由市委书记担任，要求市直行政执法机关全部作为成员单位，为行政机关接续合规监管提供强大的组织保障，解决了检察委托式衔接刚性不足的问题。其次，合规监管委员会负责实施第三方监督评估机制，涉罪专项领域行政主管部门参与合规考察标准制定，其工作人员更是作为合规监管人直接参与个案合规考察和评估，以刑事合规监管的过程性参与为基础接续行政合规监管，不仅能较为顺利地实现职能过渡，还能最大限度保障合规监管专业性和有效性。最后，合规监管委员会可以充分调动各成员单位分别进行各专项合规监督考察，并联合完成行业合规监管，检察委托式行刑衔接面临的涉案企业建立多个专项合规计划需要向不同行政机关制发检察建议，以及个人信息合规等专项合规领域存在多个行政主管部门的困境，在合规监管委员会介入负责组织行刑衔接之后便可够迎刃而解。

(二)从单向职能衔接走向双向职能融合

检察机关在推进企业合规改革时十分注重整合刑事检察、行政检察、公益诉讼检察等各项检察职能，在刑事合规领域探索“相对不起诉+检察建议+公益诉讼”检察办案模式，在行刑衔接领域形成“合规材料移送+行政处罚检察意见+行业合规检察建议”检察激励模式。而一旦进入行政调查阶段，检察机关内部整合的职能强化路径就难以对行政机关产生足够的约束力，虽然检察机关可以通过接收书面回函和跟踪回访等方式检查行政机关落实检察建议和检察意见的情况，但这些单向检查机制只能帮助检察机关了解情况，而无法对行政合规和行业合规作出评估与反馈，持续性职能协作机制的缺乏导致合规激励效果聊胜于无。(51)参见刘译矾：《论企业合规检察建议激励机制的强化》，载《江汉论坛》2021年第6期。即便检察机关启动行政公益诉讼诉前程序，行政机关顾虑较大、消极配合、履职整改不到位的情况在实践中也屡见不鲜；(52)参见张陈果：《个人信息保护救济机制的比较法分析与解释论展开》，载《苏州大学学报(法学版)》2021年第4期。行政机关“仍不依法履行职责”“致使国家利益或社会公共利益仍处于受侵害的状态”等诉前整改效果否定性评判标准的缺失，(53)参见姬艾佟：《行政公益诉讼诉前检察建议的完善》，载《中国检察官》2019年第20期。也使诉前检察建议成为徒有其表的“纸老虎”。或许，以合规行刑衔接制度完善为契机，我们可以转换检察监督与行政监管职能单向衔接的惯常思路，探索行检职能双向融合的协同激励模式。

如同检察机关在刑事合规监督考察中积极推动行政机关的过程性参与一样，行政机关在行政合规程序中也应自觉强化与检察职能的融合，联合检察机关共同完成合规监管和考察验收。首先，行政机关应主动就行政合规程序启动环节听取检察机关意见，了解涉案企业涉及社会公共利益和主动消除或者减轻违法行为危害后果的情况，审查涉案企业刑事合规建设效果，商议继续督促合规整改、接续合规监管的实施方案。(54)参见王红建：《行政协议第三人原告资格认定标准》，载《东南法学》2021年第2期。目前的合规整改认同制度只是该环节的基本流程之一。其次，行政机关可以联合检察机关和相关职能部门共同开展行政合规监督评估，尤其在个人信息保护等要求行刑合规一体化建设的专项领域，应当主动邀请检察机关实质性参与行政合规整改程序，督促涉案企业继续建设合规体系，确保经过良好设计的个人信息保护合规计划有效落地。行政机关和检察机关共同检查个人信息合规政策、合规组织、预防体系、监控体系、应对体系得到严格执行的情况，并对合规计划运行效果作出验收评估。最后，行政机关在作出行政处罚结论时也应当具有“处罚一体化”的裁量思维，探索行检沟通协商和联合听证制度，共同履行促进市场经济健康发展和营造法治化营商环境职责，自觉维护企业合规改革取得的民营企业保护成果。如此一来，行政机关就不会作出过于严厉的行政处罚，合规从宽处罚激励机制的引入才能水到渠成。

(三)行政合规激励的体系化建构

行政合规激励机制的缺失已经成为合规行刑衔接面临的重大制度障碍，只要企业合规计划尚未融入企业行政违法责任认定和处罚裁量，检察机关和行政机关作出的各项衔接移送和接续监管努力都难以真正发挥激励效果。毕竟，涉案企业通过刑事合规考察验收、获得案件最终处理决定之后，无论是否配合行政合规整改，检察机关都没有理由撤回不起诉决定而重新启动审查起诉程序。即便在已经确立全行业强制合规制度的个人信息保护领域，行政机关可以对企业不履行个人信息合规管理义务作出行政处罚，这种威慑机制往往也不能奏效。因为涉案企业经过刑事合规整改已经至少建立起符合《个人信息保护法》等法律要求的最低限度合规管理体系，在合规建设方面不具有行政违法性，只是仍然达不到有效运行、全面落地、持续改进的更高层次合规标准而已，行政机关无法针对企业不配合合规整改的行为作出新处罚。与此同时，从重处罚应以存在法律规定或者认可的从重情节为前提，“不整改则从重处罚”的威慑路径因违反法定原则和责罚相当原则而超出行政机关裁量权范围，(55)参见金成波：《从重处罚设立的必要性及其制度构造》，载《行政法学研究》2022年第4期。唯有建立与企业合规改革逻辑连贯的行政合规从宽机制，才能为企业开展行政合规整改提供必要激励。

行政合规的理论内涵远非“合规从宽处罚”所能涵盖，未来至少应当从行政违法构成、事前合规免责、事后合规从宽等三个方面着手建立体系化的行政合规激励机制。第一，引入合规作为行政违法消极构成要件，完成从行为责任向合规责任的单位行政违法归责原则转型。以往自然人中心主义的责任原则忽略了单位和责任人的双重构造，使单位责任成为高管、员工违法责任的转嫁，无法得到独立的主客观要件符合性审查，因而违反责任主义原则。应当将单位建立合规管理体系的意志和行动作为单位主客观要素的独立表征，单位违法不再是单位实施“违反行政管理秩序的行为”，而是单位对单位成员以单位名义、为单位利益实施违反行政管理秩序的行为“未履行合规管理义务”，从而将单位违法责任塑造为一种合规责任。第二，在合规成为单位违法构成要件的基础上，明确事前合规作为免责事由，即如果单位能够证明其在违法行为发生前已经建立完善的合规管理体系，明令禁止单位成员实施有关行为，那么单位成员违反合规政策所实施的违法行为应被视为成员个人行为，不以单位违法论处。(56)参见谭冰霖：《单位行政违法双罚制的规范建构》，载《法学》2020年第8期。第三，单位合规责任视阈下，事后合规从宽甚至免除处罚才具有理论根基，涉案企业虽然事前没有充分重视合规管理，但是在行政机关调查期间积极开展合规整改、建立有效预防行政违法的合规计划，以预防必要性和比例原则的标准判断涉案企业不再具有“需罚性”，(57)参见姜涛：《企业刑事合规不起诉的实体法根据》，载《东方法学》2022年第3期。因此可以阻断单位归责。行政机关可以与企业达成和解协议，设置行政和解金、合规考察期、合规监管人、合规验收标准等条款，(58)参见熊勇先、毛畅：《论商事行政处罚和解及其制度构建》，载《法学论坛》2021年第6期。在企业履行协议约定的各项义务、完成合规整改之后作出不予行政处罚的决定。

(四)行业合规激励的制度化展开

行业合规作为合规行刑衔接激励的重要组成部分，其目的不仅在于推动全行业依法依规经营，更重要的是激励关联企业和同类企业建立合规管理体系。企业违法本质上是管理价值观和文化氛围的问题，(59)参见陶朗逍：《论中国治理企业违法的和解合规模式》，载《东北大学学报(社会科学版)》2021年第2期。一旦形成行业性的合规文化，同类违法风险就能够得到有效管控，同类违法行为爆发的概率将大大降低。如前所述，行政机关在推进行业合规时并未以督促建立企业合规计划为主要目标，而是延续以往在短时间内从重、从快进行行政检查和行政处罚活动的专项整治方式，无法为行业性合规建设提供有益激励。事实上，企业合规从来不适宜通过严刑峻罚加以推动，“胡萝卜加大棒”的激励模式才能促使企业在利弊权衡之后自愿选择建立有效合规计划，以换取明确可预期的执法红利。行业合规同样如此，行政机关和检察机关应当转换思路，秉持开放和协作的心态，联合行业协会商会共同制定合规标准体系和合规认证制度，强化行业合规激励标准化和制度化建设。

一是充分发挥行业协会商会在行业合规中的强大激励作用。行业协会商会作为行业自律组织，本来就具有开展自律监管、进行风险防控、组织合规建设的基本功能，行业协会商会加入行业合规督导能够产生两大十分明显的优势。一方面，与行政机关以领域作为职能划分依据不同，根据特定行业设立的行业协会分类更加精细化，有助于为专项合规体系建设提供更具针对性的指导。例如，个人信息保护主管部门需要面向全体行业履行行政管理职能，但是医药、建筑、通讯等不同行业面临的个人信息合规风险点各不相同，特定行业协会能够快速识别成员单位在公司经营管理过程中的漏洞和缺陷，打造适配本行业的有效合规计划标准、开展针对各成员单位的合规建设有效性评估。另一方面，行业协会商会推动行业合规建设可以形成“合规竞赛”氛围。企业之所以愿意投入合规建设，不仅是为了日后违法行为发生时实现责任切割，更重要的考量是通过合规创造价值，凭借完善的合规管理体系提升商业信誉和同行评价，从而赢得竞争优势和商业机会。在行业协会的引导和推动下，行业内各企业都不甘落后，纷纷建立合规管理体系，行业性的合规文化有望迅速普及。

二是研究制定行业合规标准和推行合规认证制度。一方面，行业合规区别于个案合规的最显著特征是合规激励对象的不特定性，面对行业内的众多企业，需要引入不同于“具体激励机制”的“抽象激励机制”，制定本行业普遍适用的合规有效性标准因此具有十分重大的战略意义。个人信息保护领域已经产生电信终端产业协会团体标准《移动互联网应用程序收集使用个人信息最小必要评估规范》(T/TAF 077.1-2020)、中国人民银行推荐性行业标准《个人金融信息保护技术规范》(JR/T 0171-2020)等一系列行业性和团体性合规标准。未来应把握行业合规激励契机，针对行业特征和合规管理关键流程制定更加精细化的个人信息合规团体标准和行业标准，并加强合规标准的宣传贯彻和跟踪评价，推动“行业合规整改”。另一方面，合规认证制度是行业合规领域最重要的具体激励机制，行业协会通过组织合规评价和认证，对企业作出合规评级并进行分级管理。获得高等级合规认证的企业不仅能够在行业内部享有较高的声誉，担任行业协会的常任理事单位，成为行业监管的“免检企业”，还可以在行政机关的支持下适用较为宽松的行政监管机制，甚至可以在参加招投标、申请贷款等方面获得政策优惠。(60)参见陈瑞华：《行业合规的探索与反思》，载《民主与法制》周刊2022年第15期。总之，行业合规激励机制旨在通过制度化建设为广大企业搭建合规计划提供极具吸引力的外部监管和商业竞争红利。

结语

合规行刑衔接制度展示了检察机关积极推动行政机关改变执法理念和方式的努力。为此，检察机关已经探索形成合规整改认同、行政处罚检察意见、行业合规检察建议等行刑衔接基本范式，改革的辐射范围和激励效果得到大幅扩展。然而，由于在行政检察监督刚性效能、行政合规激励制度、行业合规经验和文化等方面存在缺陷，当前“检察委托式”行刑衔接模式的合规激励性尤有不足。个人信息保护合规作为企业合规改革的重点专项合规领域之一，既有《个人信息保护法》关于全行业强制合规的规范基础，也有合规行刑一体化建设的现实需求，因而极具代表性和典型性。个人信息领域应当采用“行检协同式”合规行刑衔接激励新模式，改变以往“刑—行”单向衔接的结果中心主义理念，从行政机关对整改结果的单纯认同转向接续合规监管，吸纳检察机关共同完成行政合规监督考察。在制度保障方面，行政合规和行业合规激励机制应当得到全面确立，行政合规激励可以从行政违法合规责任、事前合规免责、事后合规从宽等角度展开体系化构建，实现与企业合规改革的逻辑贯通和激励相容。行业合规方面则应当发挥行业协会商会的积极作用，强化自律监管和事前合规建设，推动制定行业合规标准和合规认证制度，以柔性合规激励取代严刑峻罚的行业整顿思路，营造行业性和规模化的个人信息合规文化。