数据犯罪案件中合规辩护的类型化分析及其展开

万 旭

(成都大学 法学院,成都 610106)

数据犯罪,概指与数据相关的犯罪行为。①于改之:《从控制到利用:刑法数据治理的模式转换》,载《中国社会科学》2022年第7期,第57-59页。这些犯罪往往涉及企业行为,其中多数为采“双罚制”的纯正单位犯罪;个别系仅处罚自然人的不纯正单位犯罪。正因多涉企业行为,合规被视为一种优质的数据犯罪治理方式。目前,在刑事合规相关研究中,“合规出罪”属于核心论题。研究者们普遍认为,若无充分的外部压力或激励驱动,难以期待企业主动推进合规建设,而合规出罪,正是一种重要的合规激励机制。②陈瑞华:《企业合规基本理论》(第3版),法律出版社2022年版,第44页。

从学界的研究来看,刑法学者和刑事诉讼法学者对合规出罪的研究各有侧重。前者多关注合规的实体出罪功能,即首先讨论单位犯罪构造的重塑,解决单位犯罪中个人责任与组织责任的切割评价问题,在此基础上,进一步讨论合规对涉案企业刑事责任评价的影响。①李本灿:《刑事合规的基础理论》,北京大学出版社2022年版,第81-205页;赵赤:《企业刑事合规视野下的单位犯罪构造及出罪路径》,载《政法论坛》2022年第5期,第103-115页。后者多关注合规的程序出罪功能,主要讨论涉罪企业以接受合规整改为条件获取司法机关免除刑事责任的制度可能性,尤其是合规不起诉的构建路径。②陈瑞华:《企业合规基本理论》(第3版),法律出版社2022年版,第1-28,241-436页。被许多实务界和理论界人士视为“企业合规无罪辩护第一案”的雀巢公司员工侵犯公民个人信息案,就是数据合规实体出罪的经典案例。③甘肃省兰州市城关区人民法院(2016)甘102刑初605号刑事判决书、甘肃省兰州市中级人民法院(2017)甘01刑终89号刑事裁定书。最高人民检察院新近发布的第三批涉案企业合规典型案例中,“上海Z公司、陈某某等人非法获取计算机信息系统数据案”,则是数据合规程序出罪的典型案例。

当前,有关数据犯罪和刑事合规的研究,在方法上侧重规范解释与比较分析,在内容上要么聚焦于立法/制度改革,热衷于对刑事立法提出破旧立新式的改革建议④赵赤:《企业刑事合规视野下的单位犯罪构造及出罪路径》,载《政法论坛》2022年第5期,第103-115页。;要么集中于企业内控视角,热衷于为企业数据合规风险识别与合规机制建设提供系统性参考方案。⑤毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022年第2期,第84-100页。这些研究固然有其积极意义,但由于受切入点选择的影响,并不能为解决数据犯罪案件的辩护实践中涉企业合规的争议问题提供充分的理论指导。研究合规辩护,一定程度上是对围绕数据犯罪治理和刑事合规两大议题之现有研究的整合与拓展。本文将在简要界定合规辩护基本含义的基础上,对数据犯罪案件中的合规辩护作类型化处理,分析关键变量因素对合规辩护的影响,阐述合规辩护的操作要点与限度。

一、合规辩护的基本含义与类型

(一)合规辩护的基本含义

所谓合规辩护,指辩方以涉案企业的合规情况为基础展开的辩护活动。一方面,合规是企业日常经营管理活动的组成部分,因此,无论纯正单位犯罪案件还是不纯正单位犯罪案件中,都可能涉及涉案企业的合规情况。换言之,从逻辑和实践情况看,合规辩护的提出主体不限于单位被告人,自然人被告人也可能将涉案企业合规情况作为自身辩护的基础。另一方面,合规辩护是在个案场景下实施的,其具体主张受多重主客观因素的影响,并不局限于无罪或出罪辩护。正因如此,许多在现有研究中被视为存在冲突对立的理论主张,在合规辩护视域内并无应然的对错之分,完全可能实现统合。

需要进一步说明的是,这里对“合规”应作最广义理解,即涵括陈瑞华教授界定的合规三层含义。按其归纳,企业合规的三重含义涉及:(1)积极层面的合规制度构建;(2)消极层面的合规风险治理;(3)鼓励企业完善合规计划的外部激励机制。①陈瑞华:《论企业合规的性质》,载《浙江工商大学学报》2021年第1期,第48-51页。今年先后发布的《中小企业合规管理体系有效性评价》团体标准和《中央企业合规管理办法》主要侧重于前两个层面,六部委《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》和《涉案企业合规建设、评估和审查办法(试行)》则侧重于第三个层面。合规辩护可能以其中任一层面的合规情况为基础。同时,为了便于后文讨论的清晰展开,有必要根据不同标准对合规辩护类型作初步划分。

(二)合规辩护的类型

1.以合规辩护主体为基准的类型划分

凡诉讼行为,皆由特定主体实施,且体现特定目标。作为典型的辩方诉讼行为,合规辩护的主体当然是辩方。在我国理论与实践中,辩方通常概指被追诉人及其辩护人。实践中,案件如涉单位行为,辩方构成往往较为复杂,数据犯罪尤其如此。一方面,案件如涉纯正单位犯罪,基于《刑法》第31条确立的“双罚制”,辩方当然同时涉及单位被告人与自然人被告人,其中,自然人被告人还存在“对单位直接负责的主管人员”(简称“负责人被告人”)与“其他直接责任人员”(简称“职员被告人”)的区分。另一方面,由于单位“不可能像自然人一样参与诉讼,必须借助诉讼代表人参与诉讼活动”②最高人民法院研究室编著:《新刑事诉讼法及司法解释适用解答》,人民法院出版社2013年版,第281页。,基于《最高人民法院关于适用〈中华人民共和国刑事诉讼法〉的解释》(法释【2021】1号)第336条的规定,单位被告人的诉讼代表人由法定代表人、实际控制人、主要负责人优先担任,由受托的其他负责人或职工递补,由受托律师等单位以外人员兜底。实践中,法定代表人、实际控制人往往是涉案自然人被告人而无法担任诉讼代表人,受托的其他负责人或职工、单位以外人员大多对企业生产经营状况和涉案情况并不直接熟悉,受托人的立场还可能受实际委托人的影响。这使得单位被告人与自然人被告人合规辩护因个案差异而存在更为复杂的关系。

以辩护主体为基准,以《刑法》第31条为规范基础,在数据犯罪案件中,应当区分企业被告人的合规辩护、负责人被告人的合规辩护与职员被告人的合规辩护。不同主体的合规辩护在逻辑、理据和目标上既可能协同,也可能存在抵牾。在“雀巢公司员工侵犯公民个人信息案”中,涉案企业与个人的合规辩护思路就截然不同——涉案企业力图基于合规情况实现对本案中员工个人行为与企业行为的切割,进而主张本案不属于单位犯罪;自然人被告人则极力否定本案合规情况,主张本案属于单位犯罪。

2.以合规辩护目标为基准的类型划分

第一,合规出罪辩护的细分。合规出罪辩护包括实体出罪辩护与程序出罪辩护两种情形。其中,实体出罪辩护,指以涉案企业的合规情况为基础,主张案件不符合实体法规定的犯罪构成,进而应作无罪处理;程序出罪辩护,指以涉案企业的合规情况为基础,寻求司法机关通过不起诉等方式对单位被告人甚至自然人被告人作无罪处理。有学者将企业被告人合规出罪模式归纳为“主观罪过免除模式、法定管理义务履行模式与合规考察免责模式”③陈瑞华:《企业合规出罪的三种模式》,载《比较法研究》2021年第3期,第71页。,其中,前两种就属于实体出罪,第三种属于程序出罪。还有学者认为,企业被告人合规出罪呈现出“基于刑法原理的个案出罪、基于刑法规定的当然出罪以及基于起诉策略的不诉出罪”①赵赤:《企业刑事合规视野下的单位犯罪构造及出罪路径》,载《政法论坛》2022年第5期,第104页。,其中,前两种也属于实体出罪,第三种属于程序出罪。本文认为,合规出罪辩护不仅适用于企业被告人,自然人被告人也可能基于涉案企业的合规情况而提出无罪辩护。事实上,从最高人民检察院发布的三批企业合规整改典型案例看,大多数案件中,自然人被告人都因企业合规情况而获得了出罪处理。

第二,合规罪轻辩护的细分。罪轻辩护属于典型的实体辩护,大致包括两种情况,一是基于涉案企业的合规情况,主张不构成被指控的重罪,只构成特定轻罪,或者在犯罪后果(如数额)、罪数等方面应作罪轻判定;二是基于涉案企业的合规情况,主张存在法定或酌定的从轻、减轻甚至免除处罚情形。②田文昌、陈瑞华:《刑事辩护的中国经验》(增订本),北京大学出版社2013年版,第27、28页。“雀巢公司员工侵犯公民个人信息案”中,自然人被告人通过否定企业合规情况而主张本案属于单位犯罪,显然并不足以达到无罪辩护效果,而是希望由此实现罪轻辩护。罪轻辩护不如实体出罪辩护那样受学界关注,尽管细究起来,实体出罪辩护也不是合规出罪研究的重点,基本上只算合规程序出罪研究的“配菜”。进言之,当前对刑事合规的研究,尤其对制度层面合规激励机制的关注,基本是在为修改刑法、刑事诉讼法,推进检察机关主导的合规不起诉改革作法理论证。按照现有研究刻画的合规出罪图景,实践中合规实体出罪的案件屈指可数。“合规无罪辩护第一案”横空出世后,至今没有与其影响力相当的第二、第三案进入公众视野。其实,在相对微观的个案操作层面,合规实体辩护应得到更为认真的关注。考虑到实体无罪辩护空间狭小这一客观现实,合规罪轻辩护应当成为合规辩护研究的一个关键点。

上述以主体和目标为基准对合规辩护类型的初步划分,为后文进一步分析各种关键变量因素对合规辩护的影响,不同类型合规辩护的操作要点,以及合规辩护的限度/边界等问题奠定了基础。

二、数据犯罪案件中合规辩护的影响因素分析

在个案情境下,由于各种变量因素的影响,基于主体/目标而初步界定的诉讼行为会变得更为具体、复杂。当前,有关数据犯罪和刑事合规的研究与实践表明,涉罪特征、单位规模、合规场景等变量因素对于相关论题研究具有重要意义。对于合规辩护,无疑也是如此。

(一)涉罪特征对合规辩护的影响

1.是否为纯正单位犯罪对合规辩护的影响

我国刑法分则存在“仅规定处罚直接负责的主管人员与其他直接责任人员”的情况。由于《刑法》第31条对单位犯罪实行“双罚制”,且从法理上讲,“判断一个行为是否构成犯罪,并不是只看法条对行为主体的表述,而是要看刑法是否针对该行为主体规定了刑罚”③张明楷:《刑法学》(第6版),法律出版社2021年版,第177页。,因此,如将刑法分则目前对单位主体规定法定刑的犯罪称为纯正单位犯罪,则仅规定处罚直接负责的主管人员与其他直接责任人员的犯罪就属于不纯正单位犯罪。①理论上,也有意见认为刑法分则只要将单位表述为行为主体,该罪就属于单位犯罪,若分则不处罚单位,则不过属于“双罚制”的例外。本文区分纯正/不纯正单位犯罪,主要是考虑到这一区分在实践中会影响辩方的实际构成。在数据犯罪领域,危险作业罪即为不纯正单位犯罪;违规披露、不披露重要信息罪,编造并传播证券、期货交易虚假信息罪,侵犯公民个人信息罪,非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制信息计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪,拒不履行信息网络安全管理义务罪,帮助信息网络犯罪活动罪等为纯正单位犯罪。

显然,是否为纯正单位犯罪,会影响到个案中的“辩方构成”。涉及纯正单位犯罪的案件中,同时存在单位被告人和自然人被告人,合规情况是否足以支撑企业责任与员工个人责任的切割会成为不同被告合规辩护的重大分歧点。涉及不纯正单位犯罪的案件中,仅存在自然人被告人,不同被告人合规辩护的紧张关系相对简化。当然,在后一类案件中,仍然存在负责人被告人与职员被告人的分化,两者所提合规辩护仍然可能在逻辑和目标上出现冲突。

2.是否为系统性单位犯罪对合规辩护的影响

根据犯罪行为是否由单位通过集体决策或者授意实施,可区分系统性单位犯罪与非系统性单位犯罪。现有研究关注这一区分对合规出罪的影响,认为对于系统性单位犯罪,基本没有适用合规出罪的空间,仅对轻微系统性单位犯罪可能适用程序性合规出罪;对非系统性单位犯罪,则可能建立较为全面的合规出罪机制。②陈瑞华:《企业合规出罪的三种模式》,载《比较法研究》2021年第3期,第72页。

就合规辩护而言,在系统性单位犯罪案件中,实体出罪辩护基本没有空间,程序出罪辩护则需通过额外论证来开拓空间。当然,罪轻辩护仍有施展空间,至少可以主张单位合规情况为单位被告人和负责人被告人主观恶性较小的客观表征。相比之下,在非系统性单位范围案件中,合规实体辩护和程序辩护的空间都更宽裕。

3.是否为失职性犯罪对合规辩护的影响

失职性犯罪将“拒不履行法律或行政法规所规定的管理义务”作为单位承担刑事责任的前提条件。在数据犯罪中,拒不履行信息网络安全管理义务罪就属于典型的失职性犯罪。现有研究认为,在涉失职性犯罪案件中,单位可以“通过建立或者实施合规管理体系证明自己履行了法律规定的监督和管理义务,从而免除自身的刑事责任,达成合规出罪的效果”。③陈瑞华:《企业合规出罪的三种模式》,载《比较法研究》2021年第3期,第77页。显然,由于合规与否直接影响分则明文规定的犯罪基本构成要件之判断,合规实体辩护在涉失职性犯罪案件中大有可为。相比之下,若案件所涉非失职性犯罪,合规在文义上与分则明文规定的基本构成要件关联性偏弱,实体辩护的难度将更大,实际效果更具不确定性。

(二)涉案企业概况对合规辩护的影响

1.涉案企业规模对合规辩护的影响

刑法上对单位犯罪的处罚,有同一视理论与组织模式理论之区分,前者由特定自然人的犯罪推导单位责任,后者则认可单位责任与个人责任的切割认定。①张明楷:《刑法学》(第6版),法律出版社2021年版,第178页。有学者认为,同一视理论导致企业合规出罪面临障碍,因而积极倡导组织模式理论,甚而建议对刑法总则有关单位犯罪的规定作针对性修改。②赵赤:《企业刑事合规视野下的单位犯罪构造及出罪路径》,载《政法论坛》2022年第5期,第111页。但是,从实践情况看,同一视理论与组织模式理论各自优势/弊端的呈现存在明显的个案差异,特别是受到涉案单位实际规模的直接影响。

涉案企业规模对合规(实体)出罪辩护及罪轻辩护的影响体现在,一方面,如果涉案企业规模较大,其内部组织结构可能更为复杂且去中心化,进而使得同一视理论的弊端凸显,组织模式理论的相对合理性提升。此时,单位被告人和负责人被告人可以运用组织模式理论,通过合规辩护寻求自身与职员被告人的责任切割,进而寻求罪轻甚至出罪的实体结果。对于职员被告人而言,合规辩护的进路颇为不同,基本上只能通过否定合规计划的有效性来推翻自身与单位被告人、负责人被告人的责任切割推定,进而寻求罪轻辩护。另一方面,如涉案单位规模较小,其内部组织结构可能较为简约且集中,组织模式理论未必妥适,而同一视理论则更为恰当。此时,合规计划不具备对单位与职员责任的切割效果,无论单位被告人、负责人被告人还是职员被告人,提出合规辩护时,若寻求出罪,则思路和理据基本一致;只有在个别被告欲作罪轻辩护时,才可能出现分歧。

涉案企业规模对合规(程序)出罪辩护的影响体现在,一般认为,合规程序出罪主要适用于大型企业——如涉案企业规模较大,涉及非系统性单位犯罪的可能性更大,单位被告人、负责人被告人与职员被告人的责任更容易切割,单位本身也更有能力承担合规成本,对于这类大型企业,企业合规不起诉的适用,可以加强企业的内部监管,克服外部监管失灵的难题,有效地发挥预防犯罪的效果。③陈瑞华:《企业合规出罪的三种模式》,载《比较法研究》2021年第3期,第87-88页。相比之下,中小微企业更可能发生系统性单位犯罪,因而合规程序出罪的适用空间有限,宜限定在情节轻微案件范围内。

从数据犯罪案件中合规辩护的角度看,前述观点应作局部调整,将规模变量的界限设定在大中型企业与小微型企业之间。这是因为,我国中小微企业划型区间跨度较大,接近划型标准上限的中型企业可能与小微企业在组织架构和规模体量上存在巨大差异。数据犯罪案件的涉案企业多为从事信息传输业务或者软件和信息技术服务的互联网科技企业,按照2011年《中小微企业划型标准规定》,中型软件和信息技术服务业企业的划型标准为从业人员100人以上300人以下,或者营业收入为1000万以上10000万以下,微型企业的划型标准为从业人员10人以下或者营业收入50万以下。如按科技型中小企业的认定条件(职工总数不超过500人、年销售收入不超过2亿元、资产总额不超过2亿元),则在组织架构和规模体量上与微型企业的差距更大。

显然,那些接近划型标准上限的中型互联网科技企业,在内部治理结构和外部经营情况的复杂性方面,很可能已接近甚至超过部分大型企业,很可能具备将所涉犯罪评价为非系统性单位犯罪的基础条件。最高人民检察院新近发布的“上海Z公司、陈某某等人非法获取计算机信息系统数据案”中,涉案企业从营收看属于中型企业,人数规模上达到大型企业标准,总体规模介于大型企业与中型企业之间。这也反映出中型企业适用合规程序出罪的实际可行性。

2.涉案企业的市场/行业/社会影响力对合规辩护的影响

从最高人民检察院发布的三批涉案企业合规整改典型案例看,涉案企业的市场/行业/社会影响力,是启动合规整改的重要考量因素之一。从逻辑与法理上讲,涉案企业的社会/市场影响力越大,对其科以严厉刑事制裁的负面外部性就越强,相应地,对其准予合规整改的正外部性则愈高。“上海Z公司、陈某某等人非法获取计算机信息系统数据案”中,基本案情部分特别强调了Z公司“现有员工1000余人,年纳税总额1000余万元,已帮助2万余家商户完成数字化转型,拥有计算机软件著作权10余件,2020年被评定为高新技术企业”,显然意在点明涉案企业的社会/市场影响力。

需要注意的是,涉案企业的市场/行业/社会影响力与其规模并无必然关联。虽然大型企业往往具有较高的市场/行业/社会影响力,但是,中小型企业同样可能具有较大影响力。从合规辩护角度看,这意味着,在涉案企业为中小企业的情况下,被告人仍可通过证明涉案企业影响力来拓宽合规辩护空间。

(三)数据合规场景对合规辩护的影响

1.事前合规与事中合规对合规辩护的影响

作为一种典型的专项合规,数据合规可作事前、事中、事后的场景区分,前两个场景属于日常合规管理范畴,第三个场景属于合规整改范畴。

理想状态下的事前数据合规,要求企业建立起“防控数据合规风险的一套公司治理体系,包括数据合规政策和数据合规管理流程两大要素……合规政策规定了专项合规的规范、标准和守则……合规管理流程则是围绕合规政策建立的一系列管理措施。”①毛逸潇:《数据保护合规体系研究》,载《国家检察官学院学报》2022年第2期,第86页。若作宽泛把握,则反映出企业在事发前经营过程中遵守法律规范、督促员工、第三方等依法依规活动的任何行为、事件,皆可视为事前合规的表现。事中合规,则是在事前合规基础上,侧重于合规风险的预判、监控、识别和处置。

作为日常合规管理基本内容的事前与事中合规,是提出合规(实体)出罪与罪轻辩护的事实基础。一方面,事前数据合规建设,不仅直观地反映出被告人对涉案违法犯罪行为的否定态度,而且能直接影响对是否符合个案犯罪构成要件的判断;另一方面,事中合规情况,能够有效证实事前合规的真诚性与有效性,换言之,一旦存在对合规风险的放任、遮蔽,就会暴露事前合规建设的虚伪性。

总而言之,事前与事中合规相结合,才能较为全面、客观地反映日常合规管理的有效性,这无疑是决定实体性合规辩护成败的关键。“雀巢公司员工侵犯公民个人信息案”被部分学者和实务人士视为“企业合规无罪辩护第一案”,正是因为在他们看来,该案中雀巢公司提供的证据材料充分说明了公司的事前与事中合规情况,说服法院将公司责任与员工责任切割开来。但也有不同意见认为,本案判决书所列明的证据材料,多为纸面上的公司政策和员工行为规范,并不足以证明涉案企业日常合规管理的有效性,因此,并非企业合规实体辩护的典范案例。①李本灿:《刑事合规的制度史考察:以美国法为切入》,载《上海政法学院学报》2021年第6期,第54页。

2.事后合规对合规辩护的影响

事后合规,有时泛指企业因涉嫌违法、违规或犯罪,在行政监管、刑事追诉等压力下,针对被指出的合规漏洞、隐患,有针对性地采取纠错和补救措施。从合规辩护角度,应将事后数据合规限定为企业因涉嫌犯罪,为应对追诉而采取的合规整改措施。以此为界,基于行政监管等非刑事压力而进行的合规整改,就都属于事前合规(若意在完善合规制度)或事中合规(若意在处置合规风险)。

事后合规与合规(程序)出罪辩护相联系。我国刑事涉案企业合规整改涉及“认罪认罚—补救挽损—查处责任人—评估违法犯罪事件—发现制度漏洞—确定纠错措施—合规体系化建设”等基本环节和要素。②陈瑞华:《有效合规管理的两种模式》,载《法制与社会发展》2022年第1期,第18-21页。由于认罪认罚是启动合规整改的必要条件,被告人一旦以事后合规为基础提出辩护,实质就等于放弃了实体无罪辩护。当然,如合规整改最终未能达成出罪结果,案件进入审判后,被告人还是有机会基于合规整改情况提出实体罪轻辩护。

值得注意的是,检察主导是当前涉案企业合规改革的鲜明特征,绝大多数涉案企业的事后合规整改都是检察机关职权引导、干预、推动的结果。③董坤:《论企业合规检察主导的中国路径》,载《政法论坛》2022年第1期,第117-131页。除去认罪认罚必须由被告人“亲自”作出外,合规整改的其他环节皆由检察机关把控。尽管辩方也会提交《适用刑事合规不起诉申请书》,但其对合规整改过程的影响力实际上是非常形式化的。④例如,“上海Z公司、陈某某等人非法获取计算机信息系统数据案”中,尽管“陈某某等14名涉案人员均认罪认罚,积极赔偿E公司经济损失并取得谅解,Z公司合规整改意愿强烈,提交了《适用刑事合规不起诉申请书》”,但不能忽视的是,本案侦查之初,检察院就已经应公安机关邀请介入侦查,被告人的积极赔偿也是在检察机关和公安机关督促下进行。虽然不应简单否定检察机关在涉案企业合规整改中的能动形象,但是,既然刑事合规被视为一种激励机制,那么,从逻辑和法理上讲,由辩方自行判断是否愿意、有无条件通过合规整改获得宽缓处理,进而自行决定是否通过申请来启动合规整改,或许是更为妥当的。

3.合规完备程度对合规辩护的影响

从完备程度切入,可对数据合规作范式合规与有限合规的区分。⑤对范式合规/有限(简化)合规的区分,参见陈瑞华:《企业有效合规整改的基本思路》,载《政法论坛》2022年第1期,第97页;李玉华:《企业合规与刑事诉讼立法》,载《政法论坛》2022年第5期,第98页。所谓范式合规,是指在要素上与全面合规计划基本一致,会涉及数据合规管理体系、数据风险识别、数据风险评估与处置、数据合规运行与保障等诸多方面。范式合规计划意味着较长的合规建设周期与较高的合规建设成本。相比之下,有限合规可能将合规建设的精力集中在个别环节,因此,建设周期较短、成本投入相对较小。

从合规辩护角度看,有效的范式合规建设,无疑能为合规辩护特别是实体出罪和罪轻辩护提供最为坚实的事实基础。但其中也有风险,因为范式合规更容易出现空洞化、纸面化、虚置化,如有不慎,反而会削弱合规辩护的效果。相比之下,有限合规因要素不全,对实体辩护的支撑可能有限,但是对程序出罪辩护则有重要意义。事实上,最高人民检察院发布的三批典型案例中,大多数的合规整改计划都属于周期短、有侧重的有限合规。“上海Z公司、陈某某等人非法获取计算机信息系统数据案”中,在检察机关主导下,Z公司制定的数据合规专项整改计划,仅有三个月整改期,属于典型的有限合规计划。

三、数据犯罪案件中合规辩护的具体展开

合规辩护要求辩方基于全部在案证据,提出与控方叙事相比更具竞争力的,以涉案企业合规情况为关键情节的辩方叙事。具有竞争力的合规辩护叙事,既要立足于特定辩护主体的辩护目标追求,也要充分整合涉罪特征、企业概况、合规场景等关键变量。

(一)单位被告人合规辩护的具体展开

1.评估企业概况

单位被告人准备合规辩护,首先要评估自身概况。一方面,要评估自身规模。如企业规模较大,可结合自身内部管理结构、外在经营活动的具体状况以及具体涉罪情节,斟酌有无可能寻求自身责任与自然人被告人责任的切割。如有可能,则可考虑寻求合规(实体)出罪;如缺乏把握,则可考虑寻求罪轻辩护或者程序出罪。另一方面,要评估自身市场/行业/社会影响力,进而分析自身寻求无罪或罪轻辩护的空间与把握。

2.评估自然人被告人情况

单位被告人要想与自然人被告人实现责任切割,一个重要前提是自然人被告人不限于对企业直接负责的主管人员。进言之,如自然人被告人仅为负责人被告人,以合规情况为基础,实现责任切割,追求实体出罪的辩护思路基本难以实现;此时,单位被告人基本只能考虑以合规为基础,寻求罪轻辩护,或者为程序出罪作准备。如自然人被告人有职员被告人,单位寻求合规实体出罪的空间才相对宽裕。

3.评估是否为非系统性犯罪

基于对企业概况、自然人被告人地位的评估,结合具体涉罪情节,分析所涉是否为系统性犯罪。若非系统性犯罪,且具备寻求合规实体出罪空间的,可进一步评估是否采取“主观责任免除”或“法定管理义务”的辩护路线。

“主观责任免除”的辩护路线要求单位被告人基于自身合规管理体系的建立和实施情况,向司法机关证明企业对职员犯罪活动不存在主观上的故意或者过失,因而对职员行为不承担刑事责任。

“法定管理义务履行”的辩护路线主要针对涉拒不履行信息网络安全管理义务罪的案件,要求企业证明自身合规管理事实,进而论证自身已经履行了信息网络安全管理义务,从而主张自身不存在失职或不作为的情况,不应对具体危害后果负刑事责任。

若为系统性犯罪,实体无罪的辩护路径基本堵塞,前列两种无罪辩护思路需调整为“主观责任减轻”或“履行义务减责”,也就是寻求合规罪轻辩护,或者为程序出罪做准备。

4.评估事前合规与事中合规情况

对于单位被告人,合规辩护具有积极辩护的意味,能否成功,归根结底取决于事前与事中合规的客观情况,这里面蕴含一定的证明负担。只有在具备足够充分的证据条件来证明事前与事中合规情况,进而说服司法机关确认企业日常合规管理有效性的基础上,合规辩护才可能成功。相应地,如果日常合规管理确实存在不足,难以支撑合规实体出罪辩护,就只能考虑转向罪轻辩护,或者为程序出罪做准备。

5.评估是否寻求事后合规整改

经过前序评估后,基本预判无法提出合规实体出罪辩护的情况下,单位被告人需要审慎斟酌是否寻求事后合规整改,进而争取通过不起诉而实现合规程序出罪。这一决断的作出,也意味着单位被告人放弃了实体罪轻辩护的机会——原本属于罪轻辩护的叙事转换为对单位被告人符合适用合规整改条件的论证。在考虑是否寻求事后合规整改,也要进一步评估企业概况,分析企业是否具备在短期内落实有限专项合规计划的能力。

(二)自然人被告人合规辩护的具体展开

1.评估自身地位

自然人被告人评估自身地位,既要基于在涉案单位的职位、职能,也要结合涉罪特征。例如,若自然人被告人在单位中担任数据合规师,则其在涉狭义信息网络犯罪或计算机犯罪案件中,为单位犯罪中的主管人员;在涉网络化传统犯罪案件中,为单位犯罪中的其他直接责任人。如自我评估为负责人被告人,合规辩护的决策逻辑就与单位被告人相近;如自我评估为职员被告人,合规辩护的决策逻辑则可能与单位被告人和负责人被告人发生冲突。①敬力嘉:《单位犯罪刑事归责中数据合规师的作为义务》,载《北方法学》2021年第6期,第104页。

2.评估涉案企业概况

如涉案企业具备基于合规情况切割企业与个人责任的基础条件,自然人被告人就需要预判自己处于归责一方还是减免责任一方,进而决定自己的辩护策略。一般而言,负责人被告人属于前者,职员被告人属于后者。其中,负责人被告人可尝试通过证明涉案企业合规情况,推进实体出罪辩护;职员被告人则需通过驳斥、否定涉案企业合规有效性,推翻基于合规的责任切割推定,进而寻求罪轻甚至实体出罪。

3.评估是否为系统性单位犯罪

若非系统性单位犯罪,且具备寻求合规实体出罪空间,则负责人被告人可以考虑与单位被告人协同采取“主观责任免除”或者“法定管理义务履行”的辩护思路。值得注意的是,单位被告人在提出“主观责任免除”或者“法定管理义务履行”辩护时,往往依托企业合规政策和实施流程建设情况,而负责人被告人则更多依托个人参与涉案企业经营管理决策中的实际表现。对于职员被告人,由于其在责任切割时处于被归责一方,前列辩护思路就无法支撑其出罪主张,而最多只能作为实体罪轻辩护的理据。若为系统性犯罪,负责人被告人与职员被告人均只能基于“主观责任减轻”或者“履行义务减责”,寻求合规罪轻辩护,或者与单位被告人协同推进程序出罪。

4.评估事前合规与事中合规情况

无论负责人还是职员,都会直接或间接参与企业合规计划的建设与实施。对于自然人被告人,涉案企业事前合规与事中合规的客观情况,同样是其合规辩护能否成功的基础。值得注意的是,在自然人被告人立场上,要对企业合规状况与个人合规行为作适度区分。一方面,即便企业事前合规建设情况不理想,负责人被告人个人也可能在事前提议或推动过合规建设,职员被告人个人同样可能在所处部门或个人职权范围内有局部合规行为;另一方面,即便企业缺乏事中合规应对,导致合规计划在整体上呈现出纸面化、虚置化特征,被告人个人也可能有针对个别合规风险的处置行为。

基于个人合规行为的相对独立性,自然人被告人的合规辩护比企业被告人更为灵活,在单位被告人因日常合规管理存在不足难以进行合规实体辩护时,自然人被告人仍有机会基于个人合规行为与企业合规情况的对比而提出罪轻辩护。

四、数据犯罪案件中合规辩护的限度

与其他任何辩方叙事一样,合规辩护能否取得预期效果,根本上取决于这种叙事能否说服法官——在刑事诉讼语境下,这至少要求说服法官使其对控方叙事产生难以排除的合理怀疑。由于以涉案企业合规情况为基础,涉案企业合规有效性以及拟获取的合规激励之正当性,自然就构筑了合规辩护的边界。

(一)涉案企业合规有效性对合规辩护的限制

合规计划包含了管理者可用于执行各种内在或外部目标的丰富工具。然而,干涉性过强的合规计划会驱使员工做出不道德行为,并且使得企业失去它们原本籍以避免系统性不当行为的吹哨声。①See J.S.Belson, Compliance as Management, in: Benjamin van Rooij & D. Daniel Sokol(eds.),The Cambridge Handbook of Compliance, Cambrdige University Press, 2021, pp.107.数据合规领域自不例外,在法律、政策、市场竞争的外部压力和企业自身发展的内在动力驱使下,任何单位在从事涉数据业务时都特别注意自主合规建设,至少在形式上具备基本的数据合规体系。可是,形式完备的背面可能是实质无效,“试想,哪个公司的章程或员工行为守则中允许员工实施侵害公民个人信息、商业贿赂等违法犯罪行为?”②李本灿:《刑事合规的基础理论》,北京大学出版社2022年版,第145页。这背后,实质是数据合规有效性的追问。

目前,学界对合规有效性的讨论,主要采取的是比较分析的路径,侧重对合规计划基本框架、必备要素的构建与阐释。一般认为,合规计划有效性的必备要素涉及合规框架的构建、合规决策层的明确、合规培训与合规文化的形成、合规计划融入企业运行、合规奖励与惩罚机制、合规计划的持续完善等。③孔令勇:《刑事合规与认罪认罚从宽的融合》,载《中外法学》2022年第3期,第777页。今年先后发布的《中小企业合规管理体系有效性评价》团体标准和《中央企业合规管理办法》都在这些方面对合规计划有效性提供了参考标准。“六部委”《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》和《涉案企业合规建设、评估和审查办法(试行)》的部分规定,则为有效事后合规提供了参考标准。这些标准可谓有效合规计划的通用、基础性要素。

数据合规作为一种专项合规计划,当然也涵括这些基本要素,同时还涉及若干专门性要求。例如,在上海市杨浦区人民检察院联合上海市信息服务行业协会、市数据合规与安全产业发展专家工作组、区工商联合会制定发布的《企业数据合规指引》中,鼓励各类企业设置专门的数据合规管理部门,对数据风险识别中自动化工具、软件开发工具包的使用,以及个人信息的处理规则等提出了颇为细致的要求。

涉案企业合规情况是合规辩护叙事的关键情节。合规有效性可能从涵盖性与融贯性角度影响合规辩护的叙事质量。①施鹏鹏、罗禹昆:《面向刑事实务的证据分析方法》,载《检察日报》2022年6月23日,第003版。一方面,合规辩护叙事越能容纳全部在案证据,就越具有说服力,越可能达成预期目标。一旦企业合规情况与合规辩护叙事所描述的情况存在差距,辩方如果不愿调整、降低辩护目标,就不得不在叙事中选择性地回避一些反映客观合规情况的证据事实。毫无疑问,这很容易招来控方的攻击,降低辩护叙事对审判方的说服力,增加辩护失败的风险。另一方面,如果企业合规情况不佳,合规辩护叙事就可能存在内在矛盾,在一些关键节点或重要细节上出现违和感,或者在叙事结构上出现缺口。

合规辩护必须尊重涉案企业合规的客观情况。合规实体出罪辩护只能以有效的日常合规管理计划为基础。如果合规客观情况达不到有效标准,就只能寻求罪轻辩护,或者为程序出罪辩护作准备。否则,背离客观事实,缺乏说服力的辩护叙事,反而会凸显单位事前合规与事中合规的纸面化甚至虚伪性。

(二)合规激励正当性对合规辩护的限制

刑事合规的激励机制涉及实体与程序两个维度,前者认可以通过有效的日常管理合规阻却犯罪的成立,后者认可通过有效的合规整改获得实体法和程序法上的宽缓处理。合规激励的正当性问题,主要涉及合规激励的程序维度。随着涉案企业合规改革的推进,已有学者开始反思刑事合规激励对象的泛化现象,指出“政策推动下的刑事合规,尚缺乏统一的规范指导,导致刑事合规激励本身存在是否合格的悖论”,呼吁“在启动合规考察之前需要一个实体上的筛选,对于涉案企业被纳入合规考察对象,应有明确具体的使用标准和条件”。②孙国祥:《刑事合规激励对象的理论反思》,载《政法论坛》2022年第5期,第80页。

可以预见的是,一旦检察机关对涉案企业合规整改的干预软化,合规整改实践就将由政策推动向当事人推动转型,涉案企业和个人的合规出罪辩护将逐步成为合规整改的主要动因。相应地,涉案企业和个人作为申请方,需要对自身作为合规整改(合规激励对象)的适格性(正当性)作必要的论证说明。否则,可能无法说服司法机关启动合规整改程序。

新近研究认为,除去《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第4条规定的三项形式条件,合规激励对象正当性的确认还须满足三方面实质性条件:其一,合规整改的前置性条件,包括企业实施的犯罪应受刑罚处罚,涉罪企业的犯罪与企业经营管理关联,对涉罪企业无法适用相对不起诉;其二,合规整改的可期待性,包括是否认罪,是否惯常违法,是否退缴退赔违法所得,是否积极修复法益损害,是否提供可行的合规整改计划等;其三,合规激励的合目的性,涉及企业犯罪本身的严重程度,企业能否正常经营,企业的规模,可能的社会成本等。其中许多考量因素,都是被告人在提出合规程序出罪辩护时有能力且有必要主动加以说明的。相应地,如果无法作出必要的论证说明,或者司法机关经审查否定了涉案单位作为合规整改对象的适格性,合规程序出罪辩护就将落空。

最后,需要说明的是,本文以数据犯罪案件为语境,对合规辩护的类型、影响因素、操作要点和限度的研究是比较初步的。比如,合规辩护类型有可能基于具体罪名的差异,或者基于对数据合规计划的细化而作更为精细的划分;再如,对合规辩护操作要点的解析还可以引入证据分析的视角而作更为深入的挖掘;又如,合规辩护的边界还应考虑罪刑法定、程序法定、证据裁判等刑事实体法、程序法、证据法基本原则的限定。同时,合规辩护在我国刑事司法语境下的实效与前景,还须留待改革实践去检验与回答。