刑事合规视野中的拒不履行信息网络安全管理义务罪

周振杰

(北京师范大学 刑事法律科学研究院，北京 100875)

近年来，刑事合规迅速成了中国法学界的热点问题之一。同时，在最高人民检察院由上而下的大力推动下，刑事合规试点工作迅速从2020年3月的6家扩展到2021年4月的全国10余个省市160余家基层人民检察院。从种种迹象来看(1)例如在2021年9月3日召开的“第三届民营经济法治建设峰会”上，最高人民法院发布了助推民营经济高质量发展典型民商事案例，最高人民检察院展示了检察机关助推涉案企业合规改革试点情况，司法部、全国工商联发布了《法治民企行动方案(2021—2025年)》，涉案企业合规第三方监督评估机制管理委员会同时举行了成立仪式。王捷先：《第三届民营经济法治建设峰会在北京举行》，https://baijiahao.baidu.com/s?id=1709896429458875945&wfr=spider&for=pc，最后访问日期：2021-11-28。，中国在立法层面融入全球范围内的“合规潮流”[1]可能也只是时间问题。通常认为，刑事合规试点工作的规范基础只有《刑事诉讼法》第十五条规定的认罪认罚制度与第一百七十七条第二款规定相对不起诉制度。其实，虽然《刑法》总则中并无相关规定，但分则中某些具体罪名的构成要件完全可以构成刑事合规的规范基础，例如第二百八十六条之一规定的拒不履行信息网络安全管理义务罪。

一、“改正措施”与合规计划

根据《刑法》第二百八十六条之一的规定，拒不履行信息网络安全管理义务罪是指网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，情节严重的行为。虽然就“经监管部门责令采取改正措施而拒不改正”的在犯罪构成中的理论定位与内涵仍然存在争议，但就其内容与精神而言，“改正措施”实质上与合规计划并无二致。

(一)“经监管部门责令采取改正措施而拒不改正”的理论争议

就“改正措施”这一构成要素的法律性质，理论界并无争议，通常认为该要素是行政命令，而非行政强制措施，更非行政处罚。因为强制措施是对公民的人身自由进行暂时限制或者公民、组织的财物进行暂行管控，此处的责令整改显然只是监管机关要求网络服务提供者作为的意思表示。同时，既然只是意思表示，显然也不是行政处罚[2]51。但是，就“经监管部门责令采取改正措施而拒不改正”在犯罪构成理论中的定位，在解释论上存在“违法要素说”“责任要素说”与“客观处罚条件”说的争议。

“违法要素说”论者的主要论据，是该要素发挥了增强行为违法程度的功能[3]。 “责任要素说”论者则主张该要素表明行为人的主观恶性，能够证明行为人存在故意。“客观处罚条件说”论者认为，首先，该要素不是违法要素。因为本罪危害后果是法条明文规定的因不履行安全管理义务而导致的几类后果，并非拒不改正造成的后果；其次，该要素也不是责任要素。因为责任要素主要是责任年龄、能力、故意以及过失等，该要素可能是判断行为人是否具有故意或者过失的资料，但并非故意或者过失本身。从该要素不能为违法性提供实质根据，但又能决定刑罚启动的情况来看，应属于客观的处罚条件[4]。

“经监管部门责令采取改正措施而拒不改正”作为客观事实，显然并不构成主观的责任要素。同时，拒不履行安全管理义务行为违法性的有无与强弱也不取决于该要素，而是取决于如下两个方面：其一，行为人未能充分履行前置法律法规规定的安全管理义务。其二，行为人未履行作为义务的行为导致了《刑法》第二百八十六条之一规定的严重后果。例如，2017年6月1日开始实施的《网络安全法》第九条规定网络运营者应履行“网络安全保护义务”，第四十七条进而规定，网络运营者有义务“当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散”。如果行为人拒不履行这些义务导致了《刑法》第二百八十六条之一规定的严重后果，即使其根据监管机关的命令采取了改正措施，也只能影响行为的刑事可罚性，而不能消除或者减轻其不作为的违法性。例如，在2020年“孙某正拒不履行信息网络安全管理义务案”中(2)参见沭阳县人民法院：《拒不履行信息网络安全管理义务也会获刑》，载澎湃网，https://m.thepaper.cn/baijiahao_12739666，访问日期：2021-11-26。，孙某正在2018年6月至2020年4月近2年间以其注册的宿迁X网络科技有限公司(以下简称X公司)为名，不落实网络日志留存和租户真实身份信息认证，通过淘宝、微信、支付宝等线上交易方式向不特定人出租其控制的600余台远程电脑。江苏省沭阳县公安机关于2019年9月24日与2020年1月2日两次约谈孙某正，核实其违法情况并告知将其予以处罚。2020年1月10日，沭阳县公安机关对X公司作出警告处罚，并送达了限期责令整改通知书，限期全面整改到位，孙某正在责令整改通知书上签字。2020年4月15日，沭阳县公安局再次对X公司进行检查，发现其未按通知书要求作任何整改，并继续通过出租远程电脑从事获利行为。根据上述事实，沭阳县人民法院以“拒不履行信息网络安全管理义务罪”判处孙某正有期徒刑7个月缓刑1年，并处罚金3万元，并依法追缴违法所得。上述案例清楚表明，无论孙某正与X公司是否采取改正措施，其行为都已经具有违法性，否则公安机关不会对其作出行政处罚。但是，如果孙某正与X公司根据公安机关的行政命令切实采取整改措施，孙某正可免于受到刑事处罚。

此外，虽然如同德国刑法规定的破产犯罪中的“停止支付”“启动破产程序”，日本刑法规定的事前受贿罪中的“成为公务员”“经监管部门责令采取改正措施而拒不改正”与违法、责任无关，又能够引起刑罚[5]，在表面上看完全符合客观处罚条件的定义，但是客观处罚条件存在的前提是德日的构成要件、违法性与有责性三阶层犯罪构成理论。置而言之，以三阶层的犯罪构成理论为前提，认为该要素是客观处罚条件似乎具有合理性(3)应指出的是，在日本刑法理论中也存在“客观处罚条件是将行为的违法性提高至可罚程度的要素”的观点。参见西田典之《刑法総論》，弘文堂，2006年版，第83页。。但在四要件的犯罪构成理论下，这一结论是否能够成立仍值得斟酌。

那么，在四要件的犯罪构成理论中，应如何给“经监管部门责令采取改正措施而拒不改正”定位？首先，该要素是客观事实，虽然这一事实可以成为判断犯罪主体是否存在明知或者故意的资料，但显然并非犯罪主体或者犯罪主观方面要素。其次，该要素虽然是客观事实，但也不构成犯罪客观方面要素，因为犯罪客观方面要素仅包括危害行为、危害后果与因果关系，当然在法律有规定的特殊情况下，还包括实施具体犯罪的行为的时间、地点等影响行为危害程度的要素。最后，“经监管机关责令采取改正措施而拒不改正”才具有刑事可罚性，直接表明该罪侵犯的客体并非网络安全、商业秘密、个人的隐私权或者名誉权，而是“公共秩序”。更具体而言，是信息网络安全管理秩序[6]。因此，这一要素属于犯罪客体要素，是“公共秩序”在本罪中的具体体现。相应地，我们可以根据行为人是否以及在多大程度上“根据监管部门的行政命令采取了改正措施”，从而判断行为人刑事可罚性的有无与大小。

简而言之，无论是在三阶层犯罪论体系下认为“经监管部门责令采取改正措施而拒不改正”是客观处罚要件，还是在四要件的犯罪论体系下认为该要素是犯罪客体方面要素，对于行为人而言最终的结果都是相同的，即“根据监管部门的行政命令采取改正措施”可以免于或者减轻刑罚的不利后果。那么，应该如何理解此处的“改正措施”，又如何判断网络服务提供者“已经根据监管部门的行政命令采取了改正措施”呢？刑事合规恰恰能够为这两个问题提供答案。

(二)“改正措施”的实质就是合规计划

刑事合规的要义，就在于通过对已有效采取违法行为预防措施的行为人，尤其是企业提供不起诉、缓起诉以及减免刑罚等激励措施，推动行为人与司法机关合作，共同治理其内部的违法行为。这与《刑法》第二百八十六条之一中隐含的逻辑是一致的，即刑法并不否定行为人不履行法定义务的违法性，但是采取有效补救措施，可以免于或者减轻刑罚的不利后果。因此，将“改正措施”视为合规计划，将根据监管机关的行政命令采取改正措施，理解为制定、实施合规计划在逻辑前提方面并无障碍。

同时，企业实施合规计划大致可以分为三种情况：(1)在违法行为发生之前，行为人已经主动制定并实施了合规计划；(2)在违法行为发生之后、执法、司法机关启动制裁程序之前，主动制定并实施合规计划；(3)在执法、司法机关启动制裁程序之后，主动或者被动制定并实施合规计划。此处的“根据监管部门的行政命令采取改正措施”其实就是第三种情况。而且，根据最高人民法院、最高人民检察院联合颁布的《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》(法释〔2019〕15号，以下简称《解释》)第二条的规定，责令整改应以通知书或者其他文书形式。因此，将“改正措施”视为合规计划符合合规的形式要求。

此外，就“责令改正通知”的内容，正如有的观点所言，不仅应包括整改的期限以及拒不执行的后果，更要包括网络服务提供者涉嫌违法的事实，尤其是为网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务的“事实及其危害，以便网络服务提供者明白自己网络服务提供中存在的问题，进而采取有针对性的措施予以改正”[2]52。也即监管机关所要求的改正措施，其内容也是要求行为人根据针对已然发生的危害行为付出努力，预防严重后果进一步恶化、蔓延，并预防未然危害行为，这与合规计划的内容也是相同的。

最后，需要指出的是，虽然无论网络服务提供者是否采取整改措施，都不能消除其不履行法定义务行为的违法性，但从《刑法》第二百八十六条之一“经监管部门责令采取改正措施而拒不改正，有下列情形之一”的规定出发，即使网络经营者表面上采取了整改措施，如果并没有取得实效，仍然导致了危害结果或者放任危害结果扩大的，仍然会被追究刑事责任。这与刑事合规强调“有效合规”的精神也是相一致的。

简而言之，此处的“改正措施”在实质上与英国2010年《贿赂罪法》第7条第2款中的“适当程序”类似(4)英国2010年《贿赂罪法》第7条第1款规定了“商业组织不履行预防贿赂义务罪”，第2款继而规定了适当程序的辩护理由。根据英国司法部的指南，“适当程序”在实质上就是合规计划。See Manacorda S, Centonze F, Forti G. Preventing Corporate Corruption, Springer International Publishing, 2014, pp.505—512.，可以将之视为“合规计划”。与此相应，根据监管机关的行政命令“采取改正措施”，自然即是指根据监管机关的要求“制定与实施合规计划”，制定与实施的情况，也直接体现了行为人是否以及在多大程度上采取了改正措施。

二、“责令采取改正措施”与刑事合规的共治理念

为免于或者减轻刑事处罚，网络服务提供者不但要根据监管机关的行政命令采取整改措施，而且要进行有效整改，也即要充分履行信息网络安全管理义务。那么，网络服务提供者如何才能充分履行义务呢？如上所述，答案就是及时制定并有效实施合规计划，而这一过程直接体现了刑事合规的“共治”核心理念。

(一)刑事合规以共治为理念

从刑事合规的概念可以看出，其基本模式是司法机关通过外部措施激励企业主动承担责任、改善内部治理，与之进行合作，共同预防、制裁犯罪。因此，可以将其核心理念概括为“共治”。这一核心理念的形成，主要受到风险社会与企业自身两方面的影响。

1.风险社会的影响

风险社会是德国学者贝克用以描述20世纪80年代之后社会阶段的概念。在这一社会阶段，人人都随时可能创造或者面临风险。与此前的社会发展阶段相比，风险社会的风险具有如下三个特征：第一，不可知性，即在造成实质侵害之前，很难认识到风险的存在，甚至只能认为其不存在，因为“只要危险没有获得科学的认识，它们就不存在，至少在法律上、医学上、技术上或科学上不存在”[7]86。第二，制度化，即风险“是由整个专家组织、经济集团或政治派别权衡利弊得失后所做出的”[8]，而且生产风险的每一个环节，可能在法律、科技以及伦理层面都是合法的。第三，全球性，即风险“既是本土的又是全球的，或者说是‘全球本土’的”[9]，在一地发生的危害行为，其危害后果会很快蔓延到多地甚至全球。

对于预防与制裁企业犯罪而言，上述特征提出了严峻挑战，具体表现在：第一，因为风险是不可知而且并非刑法意义上的抽象或者具体危险，所以刑法往往只能在发生危害结果之后介入。在这种情况下难以充分发挥刑罚的预防功能。第二，因为生产风险的整个过程是合法的，所以在风险化为现实的重大危害结果之际，企业总是会利用其技术与信息优势，“竭尽全力通过在工业中逐渐制度化的‘反科学’的帮助来反驳对他们的指控”[7]48，最后我们不得不无奈地接受“听任风险继续发展而无法防范”的有组织的不负责任现象[10]。第三，风险的制度化与全球化的直接后果就是危害行为与结果的复杂化与全球化，这便意味着证明的专业化与调查的全球化，进而司法机关在证据收集等方面不得不面临更多的国际难题。第四，因为在程序方面面临种种难题，在许多场合中造成重大社会危害的企业只需承担民事责任就可以全身而退，或者从违法行为中攫取巨额利润，这既损害了公众的合法权益，也削弱了法律的权威。

2.企业自身的影响

传统刑法以自然人为假想对象，因此“刑罚以罪责为前提。罪责是非难可能性。……责任非难的内在理由是，人类天生能够自由和有责任地作出符合道德的自主决定，就有能力选择法，反对不法”[11]，因此否认企业(法人)具有犯罪能力，就如刑法学大师李斯特所言：“法人(moralische Person)，如公司、大学或者学院等绝不可能成为犯罪的主体。只有不同种类的公司里的具体个人才可能是。甚至，当公司里的所有人都想犯罪并且实施了犯罪行为时，仍然是个人犯罪。”[12]直至19世纪后半叶，随着工业革命的展开与企业活动的危害后果引起广泛社会关注，企业刑事责任才作为“规制企业行为的最有效途径”进入刑法视野，就如1909年New York Central & Hudson River Railroad Co. v. United States案的判决所言：如果因为法人不能犯罪这一腐朽且又陈旧的原则而赋予它们刑事豁免，实质上就是剥夺了唯一能够控制、纠正它们违法的有效工具[13]。

在20世纪90年代之前，各国企业刑事责任原则采取的都是一元模式，即以传统刑法理论下的个人刑事责任为基础，以个人与企业之间的联系为媒介从而认定法人刑事责任，普遍体现出传统刑法与政策需求相妥协的特点。但随着交通技术与信息技术的发展，企业的组织结构日趋复杂，企业内部与企业之间生产经营活动协作化日渐增强，一元模式的企业刑事责任面临越来越大的挑战。尤其是，随着企业的决策过程越来越复杂、业务程序越来越分散，责任分担者也越来越多，根据行为与责任同在的原则确定应负刑事责任的个人越来越难[14]。例如在21世纪初期，英国发生了多起重大伤亡事故以及劳动灾害，公众强烈要求以“过失致人死亡罪”严罚涉事企业[15]。根据英国的同一视原则，追究企业过失责任要有引起过失致人死亡且能够代表法人意志的行为人，还须证明行为人对现场危险存在认识。但在规模相对较大的企业中，高层管理人员通常不在具体业务活动现场，因此存在这种认识的可能性几乎不存在。再如，现代企业活动中蕴含的危险，也具有与上述风险相似的特征，也给刑事司法带来了相似的难题。此外，因为一元模式是传统刑法立场与政策需求妥协的结果，在实践中存在处罚范围过于宽泛的缺陷，尤其是在代理责任之中，因为其近似于严格责任，可以根据任何员工的行为追究法人的刑事责任[16]，这又不可避免地带来法人掩盖罪责、阻碍调查的负面效应，从而削弱刑罚的预防效果。

正是为了应对上述种种挑战，以实用哲学为指导原则的英美国家率先提出了以“共治”为核心理念的刑事合规制度，通过外部强制压力，将预防与制裁内部违法行为的责任分散至企业本身。具体而言，通过要求企业自行制定、实施内部预防与制裁措施，以降低其经营管理行为中的风险，提高预防效果；通过要求企业在发生犯罪行为之后主动提供证据、认罪认罚、补偿社会等措施，降低诉讼难度，提高处罚可能性。

(二)“责令采取改正措施”意在推进共治

《刑法》第二百八十六条之一“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的”，从这一表述来看，监管部门在责令行为人采取改正措施之前，已经掌握了网络服务提供者的违法行为以及危害后果，其自身采取纠正措施在技术层面是完全可行的。之所以还是要责令网络服务提供者采取改正措施，主要存在如下三个原因：其一，网络信息传播速度快、涉及范围广、数量庞大，监管机关自行采取措施付出的成本太高；其二，删除相关网络信息可能会涉及网络服务提供者以及网络用户的合法权益，由网络服务提供者自行采取措施更为有利；其三，通过责令采取改正措施，可推动网络服务提供者建立起长效机制，在惩治已然之罪的同时预防未然之罪，在维护信息网络安全方面形成“多元共治”的格局，这也是实现国家治理体系现代化的内在要求[17]。

同时，拒不履行信息网络安全管理义务罪的构成要件清楚表明，网络服务提供者不履行法定义务是“因”，责令采取改正措施是“果”。所以，“责令采取改正措施”应以责令网络服务提供者履行信息网络安全管理义务为核心。这里的“信息网络安全管理义务”包括三个层面的含义：(1)防止既有危害后果进一步恶化或者加重的义务。即根据监管机关的命令，立即采取补救措施，防止第二百八十六条之一规定的“致使违法信息大量传播、致使用户信息泄露”以及《解释》第四条规定的“造成重大经济损失、严重扰乱社会秩序”等后果进一步恶化或者加重的义务。(2)消除可能造成类似危害后果的潜在风险义务。采取措施防止既有危害后果进一步恶化或者加重，只是采取改正措施的第一步。之后，网络服务提供者应排查并消除可能造成类似后果的潜在风险，以防止再度发生危害后果。(3)建立有效履行法定安全监管义务机制的义务。如上所述，不履行法定义务是监管机关责令网络服务提供者采取改正措施的“因”。因此，改正措施应以围绕法定义务建立起充分、有效履行法定安全监管义务的合规机制为最终目的，例如上述《网络安全法》第九条规定的“网络安全保护义务”、第二十一条规定的“留存网络日志”的义务、第四十七条规定的“加强对其用户发布的信息的管理”义务，2016年1月1日开始实施的《反恐怖主义法》第十九条规定的删除、报告、停止传输含有恐怖主义与极端主义信息的义务，2015年7月1日开始实施的《国家安全法》第七十七条规定的“及时报告危害国家安全活动的线索”的义务等。

应该指出的是，网络运营者制定实施合规计划应注重实效，不能徒有其表。因为进行合规治理需要付出一定的成本，由于许多企业为了获得刑罚减免，都仅做一些表面文章(5)这也是反对者否定刑事合规的主要论据之一。See Charles Barnes. Why Compliance Programs Fail: Economics, Ethics and the Role of Leadership, HEC Forum, 2007, Vol.19, No.2, p109．，所以在判断网络运营者是否根据行政命令采取了有效“改正措施”之际，一方面，要谨慎考察是否取得了直接效果与建立起了长效机制，另一方面，要全面考虑网络运营者的实际情况，就如《解释》第二条规定的，在认定是否存在“经监管部门责令采取改正措施而拒不改正”的情节之际，“应当综合考虑监管部门责令改正是否具有法律、行政法规依据，改正措施及期限要求是否明确、合理，网络服务提供者是否具有按照要求采取改正措施的能力等因素进行判断”。

三、“拒不改正”与企业责任的客观化趋势

为贯彻“共治”的核心理念，刑事合规立法通常采取以“宽”辅“严”的立法原则。“严”的一面主要体现是企业责任的客观化[18]，而“经监管部门责令采取改正措施而拒不改正”这一构成要素的设置也符合企业责任客观化的趋势。

(一)刑事合规与企业责任客观化

从国外立法来看，刑事合规制度的规范立足点是刑事责任。与传统责任原则要求责任必须建立在故意与过失的主观要素基础之上不同，在刑事合规的视野中，企业责任应根据企业制定与实施合规计划的情况确定。如此，在刑事合规“共治”理念的影响下，企业责任的认定模式逐渐从之前的一元模式向二元模式转变。也即，在企业犯罪的案件中，根据不同的原则与基础，对个人责任与企业责任分别进行独立认定。如果说在一元模式下，企业责任的判断逻辑是“出现危害结果或者危害行为、认定个人责任、确认个人——企业关系、认定企业责任”的线性结构，在二元模式下，企业责任的判断逻辑则呈现出个人——企业的平行结构，具体而言，对个人责任仍然根据传统的刑法原则进行认定；第二个是根据法人文化、经营管理以及营业活动中的缺陷来认定法人刑事责任的过程。如此，在企业犯罪的场合，司法机关判断企业责任的主要根据在于，被告企业是否充分履行了法定义务或者是否有效实施了预防犯罪的适当措施或者程序。因为作为责任前提的危害结果与危害行为，被告法人组织管理与经营活动是否存在缺陷以及是否存在滋生犯罪的整体环境的判断标准都是客观的，所以二元模式的企业责任整体上呈现出客观化与推定化的特征，而且可罚性与责任的判断趋于一体化。

例如，加拿大的《C-45号法》(C-45 Bill, or Westray bill)对加拿大刑法典中的法人刑事责任原则进行了实质性的修改。在《C-45号法》生效之前，加拿大仅根据同一视原则追究法人刑事责任；之后，在过失犯罪的场合，同时采纳了代理责任与同一视，以过失之外的其他主观心态为构成要素的犯罪适用等同原则，即在法人高层管理人员至少以部分为法人谋利之目的而实施犯罪，并且具有下述情形之一的场合可追究法人的刑事责任：(1)在其授权范围之内实施行为，成为特定犯罪的共犯；(2)具有成为共犯所必需的主观心态；(3)明知法人的代表人将要或者可能成为特定犯罪的共犯，而不采取所有合理措施阻止其(雇员、代表人等)成为特定犯罪的共犯。在第(3)种情形中，企业可提出“尽职调查”的辩护理由，也即，如果能够证明在犯罪行为发生之际，存在适当的预防措施，可以免除其刑事责任。

英国《2010年贿赂罪法》在废除了英格兰、威尔士与北爱尔兰普通法上的行贿罪与笼络罪、苏格兰普通法上贿赂与受贿罪、《1906年预防腐败行为法》《1889年公共团体腐败行为法》等成文法中规定的相关犯罪行为的同时，在第1条、第2条、第6条与第7条，分别规定了行贿罪、受贿罪、向外国公职人员行贿罪、商业组织不履行预防贿赂义务罪四项新的贿赂犯罪。根据该法第7条(1)的规定，如果与商业组织相关的个人，出于特定目的实施了行贿与贿赂外国公职人员行为，该组织应承担刑事责任，除非其能证明在犯罪行为之时存在第7条(2)规定的适当程序[19]17—18。

西班牙传统上也对企业刑事责任持否定态度。直至2010年，西班牙才通过修订《司法组织法》，首次规定了企业刑事责任。之后在2015年，对企业刑事责任的追责原则进行了重大修改，将进行“适当控制”规定为企业刑事责任的基础。与《司法组织法》的修改相适应，2015年修订的《西班牙刑法典》第31条之四“合规计划”明确规定，如果企业能够证明如下客观事实，可免除其刑事责任：(1)在犯罪行为发生之前，董事会已经采纳并实施了针对特定犯罪行为的管理和控制制度；(2)有具有主动权和控制权的独立监督机构负责相关制度；(3)犯罪人在行为之际以欺骗的方式故意规避了相关制度；(4)监督机构在监督和控制方面并无失职，同条之五进而规定了构成合规计划应满足的识别风险活动等六项原则[19]13—14。

简而言之，为了体现“严”的一面，国外立法都体现出了将企业责任予以客观化以及推定化的总体趋势，以与企业缓刑、不起诉等体现“宽”的一面的措施相配合，推动企业参与违法行为治理，实现秩序、公平等刑法的价值追求。

(二)“拒不改正”的功能符合企业责任客观化的趋势

从《刑法》第二百八十六条之一的文本出发，在接到监管部门采取整改措施的命令之前，网络服务提供者对于其既有行为造成的严重后果可能是故意，也可能是过失。但是，在接到监管部门的命令之后，如果继续听之任之，就如“拒不改正”这一表述的字面所示，其主观方面应该是直接故意[20]。具体而言，“拒不改正”这一客观事实表明，行为人在主观方面存在对违反法定义务的行为及其已经造成的危害后果的认识，以及对应该根据行政命令采取整改措施的义务，以及拒不改正可能导致的后果的认识。也即，根据“拒不改正”这一客观事实就可以认定行为人是否侵犯了犯罪客体以及责任的有无，无须再进一步判断其预见能力、认识能力、控制能力等。例如，在上述“孙某正拒不履行信息网络安全管理义务案”中，孙某正在接到公安机关的限期责令整改通知书之前，被明确告知其行为违法，需要接受处罚。因此无论其之前是否明知自己的行为违法，在接到整改通知书之后，孙某正与X公司存在“明知”是毋庸置疑的。因此，人民法院直接根据“X公司期限之内并未采取改正措施”这一客观事实认定孙某正存在犯罪故意，应承担刑事责任，而无须再就孙某正的预见能力、认识能力等进行判断。相应的，如果孙某正能够证明其已经有效落实了整改措施，则可以被免于刑事追责。这在某种程度上，也实现了证明责任的倒置。

简而言之，“拒不改正”这一构成要素的功能符合刑事合规立法将企业责任客观化与推定化以及违法与责任判断一体化的趋势。

四、结语

上述表明，虽然《刑法》中并无直接规定，但是分则某些罪名的构成要素设置完全符合刑事合规的精神，可以成为推动刑事合规制度的规范基础。同时，《刑法》第二百八十六条之一针对自然人与单位的罚金都采取了无限额模式，这与英国的《2010年贿赂罪法》等国外立法采取的模式是一致的。这一模式一方面体现出“严”的处罚态度，另一方面为司法机关预留了充分的裁量空间，以从外部采取措施，推动企业在内部付出努力，共同治理危害行为。

当然，以具有罪名的构成要件设置为基础，充分发挥解释论的作用，为推动刑事合规前行寻找规范基础，是在当前缺乏立法基础的困境下的无奈之举。如欲充分发挥刑事合规制度的功能，还是需要对《刑法》与《刑事诉讼法》进行相应修改。