收稿日期：20230603修訂日期：20231116

基金項目：成都大學高級別項目培育基金：毒品犯罪網(wǎng)絡化的治理問題研究（2022GJBKYXMPYJJ14）；成都市毒品問題治理與禁毒法治教育研究中心課題：新型合成毒品和精神活性物質(zhì)防控研究（CDDPZL20230201）；國家社科基金青年項目：數(shù)據(jù)刑事合規(guī)的體系構建與實踐運行研究（23CFX061）

作者簡介：

鄭自飛，講師，法學博士，成都市毒品問題治理與禁毒法治教育研究中心研究員，主要從事刑法學、刑事合規(guī)等研究，Email：2510548584@qq.com。

摘要：

隨著互聯(lián)網(wǎng)大數(shù)據(jù)時代的快速發(fā)展，個人信息保護問題已然成為人民群眾利益保護的核心議題。面對愈演愈烈的個人信息相關違法犯罪案件的激增態(tài)勢，我國刑事立法不斷地使制裁范圍更加嚴密，司法實踐也在貫徹從嚴懲治政策，試圖通過純粹的刑事制裁機制來實現(xiàn)對侵犯公民個人信息犯罪的有效治理。但是，當前我國治理侵犯公民個人信息犯罪存在過分依賴國家公權保護、強化刑法事后懲治性的威懾預防、偏頗定位個人信息保護法益等問題，這導致了事前合規(guī)式風險防控機制缺失，不利于個人信息協(xié)同保護機制的建立與完善。刑事合規(guī)通過前置侵犯公民個人信息罪的風險控制基點、構建多元化防控機制、提升企業(yè)治理的激勵性方式，將合規(guī)的事前規(guī)劃式激勵預防與刑法的事后懲治性威懾預防融為一體，有利于實現(xiàn)侵犯公民個人信息罪治理模式的轉(zhuǎn)型。在理論層面，合規(guī)計劃融入侵犯公民個人信息罪治理符合可能、必要且可期待等標準。在實體法層面，應增設侵犯公民個人信息罪的前置性免責程序條款，發(fā)揮行政處罰程序的出罪功能，同時將單位認罪認罰作為量刑從寬情節(jié)，賦予刑事合規(guī)影響侵犯公民個人信息罪構罪和量刑的雙重功能。在程序法層面，應嚴格限制涉罪企業(yè)合規(guī)的適用條件，完善單位犯罪附條件不起訴制度，肯定企業(yè)刑事合規(guī)的緩訴和免訴功能。

關鍵詞：侵犯公民個人信息罪；合規(guī)計劃；刑事合規(guī)；單位認罪認罰

中圖分類號：D914.34

文獻標識碼：A

文章編號：16738268（2024）01003512

一、引言

根據(jù)中國互聯(lián)網(wǎng)協(xié)會《中國網(wǎng)民權益保護調(diào)查報告（2021）》顯示，約一年間，因個人信息泄露、垃圾信息、詐騙信息等原因，網(wǎng)民總體損失約達805億元人民幣，82.3%的網(wǎng)民受到了個人信息泄露的不良影響［1］?；ヂ?lián)網(wǎng)大數(shù)據(jù)的迅速發(fā)展，數(shù)據(jù)應用價值的不斷挖掘，使得公民已經(jīng)自覺或不自覺地遨游于大數(shù)據(jù)的海洋中?！半S著網(wǎng)絡云計算和大數(shù)據(jù)的興起，伴生而來的是涉及網(wǎng)絡數(shù)據(jù)及其控制權的違法犯罪案件開始快速增加”［2］7，個人信息保護問題已然成為互聯(lián)網(wǎng)大數(shù)據(jù)時代人民群眾利益保護的核心議題。面對個人信息相關違法犯罪案件的激增態(tài)勢，“國家機器強勢介入，開始‘運動式打擊個人信息泄漏行為，旨在以迅雷不及掩耳之勢壓減違法犯罪行為”［2］4。然而，經(jīng)驗性事實表明，即便我國在持續(xù)完善其他法律保護手段，使侵犯公民個人信息罪刑事制裁法網(wǎng)更嚴密，加大刑事制裁力度，但是個人信息的刑法保護效果仍不理想。這也反映出，事后性刑事制裁對侵犯公民個人信息罪的治理效果終究具有局限性，我們理應轉(zhuǎn)換視角，尋求疏源截流并舉的多元化協(xié)同保護機制。

在我國刑事司法實踐中，2017年甘肅省蘭州市中級人民法院對“××公司員工侵犯公民個人信息案”有關更詳細內(nèi)容，請參見甘肅省蘭州市城關區(qū)人民法院（2016）甘102刑初605號刑事判決書，蘭州市中級人民法院（2017）甘01刑終89號刑事裁定書。的終審裁定曾被稱為“企業(yè)刑事合規(guī)抗辯第一案”。有學者指出：“這一裁決的重大突破在于，法院以企業(yè)合規(guī)管理體系為依據(jù)，認定單位不存在構成犯罪所需要的主觀意志因素，從而將單位責任與員工個人責任進行了切割?！保?］相較于理論而言，該案可以說是合規(guī)計劃“實踐先導式”的發(fā)展。在當前我國行政監(jiān)管部門大力推進企業(yè)合規(guī)管理體系建設和企業(yè)全面啟動建立合規(guī)機制試點的背景下，在侵犯公民個人信息罪治理中，合規(guī)計劃如何在理論層面對“實踐先導式”發(fā)展進行梳理和思考，是一個亟待澄清的問題。

合規(guī)最早被界定為“對法規(guī)的遵守”。德國學者弗蘭克·薩力格爾將刑事合規(guī)定義為：“包括實體規(guī)則與形式規(guī)則之整體，從法人及沒有法人資格的公司的角度來看，其在法定可罰性領域（刑事實體法）的前置領域內(nèi)，應前瞻性地避免刑事責任風險?！保?］盡管當前我國學界在刑事合規(guī)計劃的概念界定上尚未達成共識，但是在刑事合規(guī)計劃旨在及時發(fā)現(xiàn)并預防企業(yè)及其內(nèi)部員工的違法犯罪行為這一點上毫無爭議。合規(guī)計劃是現(xiàn)代社會治理犯罪尤其是企業(yè)犯罪的重要手段，其獨特作用在于將原屬于國家公權的管理責任通過有效的形式轉(zhuǎn)移或分擔給個人和社會組織，特別是“促進企業(yè)自我監(jiān)管，從而緩解國家對犯罪行為的監(jiān)管負擔”［5］142。這意味著，從刑事合規(guī)的角度思考侵犯公民個人信息犯罪的“事前規(guī)劃”式風險預防機制，合規(guī)疏源與刑法截流并舉，既可提升個人信息保護的多元性和有效性，亦可緩解侵犯公民個人信息罪在刑法規(guī)制擴張與刑法謙抑性理念之間的緊張關系。同時，通過典型個罪的刑事立法與司法實踐檢驗刑事合規(guī)，揭開合規(guī)計劃的神秘面紗，也將為構建具有中國特色的刑事合規(guī)制度提供可靠經(jīng)驗。

2022年12月，最高人民檢察院在《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）我國法律文本全稱均有“中華人民共和國”作定語，為行文簡潔，后文涉及我國法律文本時，均將其省略。貫徹實施一周年之際，印發(fā)五件檢察機關依法懲治侵犯公民個人信息犯罪的典型案例，彰顯了檢察機關依法從嚴懲治侵犯公民個人信息犯罪的政策導向，也對提高平臺和行業(yè)內(nèi)部管控，推動個人信息協(xié)同保護機制建設，實現(xiàn)全鏈條打擊、溯源治理和協(xié)同治理提出了新要求。因此，本文以侵犯公民個人信息罪的傳統(tǒng)刑法治理思路為切入點，揭示合規(guī)計劃在侵犯公民個人信息罪治理中的功能和運作機制，進而思考合規(guī)計劃融入侵犯公民個人信息罪治理的可行路徑，推動侵犯公民個人信息罪的治理由事后懲治向事前合規(guī)的新型治理模式轉(zhuǎn)型。

二、侵犯公民個人信息罪刑法治理的嚴密化與傳統(tǒng)思路困境

從當前我國侵犯公民個人信息罪的刑事立法和司法實踐現(xiàn)狀看，在堅持從嚴打擊的刑事政策導向下，刑事立法和司法均在循序漸進地將規(guī)制范圍嚴密化和加大規(guī)制力度。正如有學者所言：“在刑事法領域，對于侵犯公民個人信息罪的懲治處于不斷擴張態(tài)勢，法益保護的鏈條不斷拉長，刑法修正立法頻繁，刑事司法解釋呈現(xiàn)細密化、擴大化趨勢?！保?］將“這一現(xiàn)實視為給定的，把其中的特定現(xiàn)象視為經(jīng)驗證據(jù)”［7］，將是我們進一步探討侵犯公民個人信息罪規(guī)制問題的必然選擇。侵犯公民個人信息罪的行為主體既是違法犯罪行為的實施者，也是相應法律后果的承擔者。因此，只有借助司法實踐中行為主體的特定現(xiàn)象，針對性地分析思考相關犯罪的防控措施，方能有的放矢。

（一）侵犯公民個人信息罪刑法治理的嚴密化走向

一方面，隨著互聯(lián)網(wǎng)虛擬社會在我國的快速形成，個人信息的商業(yè)價值得到全面發(fā)掘，刑事立法對公民個人信息保護的重要性愈加被重視，網(wǎng)絡刑事立法觀的更新促使刑法逐步將侵犯公民個人信息罪的規(guī)制范圍嚴密化，并加大規(guī)制力度。從個人信息刑事保護模式上看，個人信息刑事保護歷經(jīng)附屬于其他權利保護、數(shù)據(jù)安全保護、專屬保護三個階段［8］，整體趨于精細化、嚴密化。具體而言，個人信息早期依附于隱私權、通信自由權等傳統(tǒng)權利而得以刑法保護，后來發(fā)展到通過維護數(shù)據(jù)安全而被保護。隨著個人信息權能的豐富化和獨立化，我國《刑法》賦予個人信息保護的專屬性，對其確立了以侵犯公民個人信息罪和拒不履行信息網(wǎng)絡安全管理義務罪為核心的專屬保護機制。在這一發(fā)展過程中，刑事立法不僅實現(xiàn)了規(guī)制行為方式的多樣化，而且實現(xiàn)了規(guī)制行為主體的擴大化。從微觀視角看，《刑法》將非法提供、出售、獲取行為進行全面規(guī)制防范，且有學者主張進一步擴張侵犯公民個人信息罪的行為規(guī)制范圍，將非法使用行為納入其中［9］118126。由于行為方式取決于主體的主觀選擇，其多樣化也意味著規(guī)制行為主體的多元化。從宏觀層面看，“通過立法手段擴大‘侵犯公民個人信息罪的行為主體”［2］11的范圍，即從國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員這一類特殊主體擴大到所有自然人與單位，這實現(xiàn)了從單純打擊自然人到打擊自然人和單位的雙管齊下。同時，《刑法修正案》增加“從重處罰”的規(guī)定，提升法定刑幅度，均是針對行為主體強化規(guī)制力度的表現(xiàn)。

另一方面，侵犯公民個人信息相關犯罪的司法適用擴大化，表明了司法實踐在懲治侵犯公民個人信息罪上加大了力度。“公民個人信息”是個人信息權益刑事保護的載體，如何理解和界定“公民個人信息”直接關系到司法規(guī)制范圍。當前，侵犯公民個人信息罪司法規(guī)制的擴張，主要是通過適度擴大“公民個人信息”概念外延的方式實現(xiàn)的。歷經(jīng)2012年全國人大常委會通過的《關于加強網(wǎng)絡信息保護的決定》，2013年最高人民法院、最高人民檢察院、公安部發(fā)布的《關于依法懲處侵害公民個人信息犯罪活動的通知》，2016年通過的《網(wǎng)絡安全法》和2017年最高人民法院、最高人民檢察院發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，“公民個人信息”在司法實踐中的內(nèi)涵已經(jīng)從最初的“可識別性”擴展到廣義上具有“可識別性”的個人身份信息和可能影響人身、財產(chǎn)安全的個人信息。這意味著對公民個人信息的刑事保護不僅在于防范對人格權的侵犯，還服務于對公民人身、財產(chǎn)權的保護目的?！肮駛€人信息”概念內(nèi)涵在司法領域的適度擴張，使法網(wǎng)更加嚴密。

（二）侵犯公民個人信息罪的傳統(tǒng)刑法治理思路及其困境

當前，侵犯公民個人信息罪的刑法治理思路是適度拓展刑事制裁范圍、加強規(guī)制力度，突出表現(xiàn)在為順應網(wǎng)絡社會的迅速發(fā)展而不斷擴大個人犯罪的行為類型、并強調(diào)對單位犯罪的打擊等方面。但是，在實現(xiàn)了侵犯公民個人信息罪規(guī)制行為類型多樣化和主體多元化的前提下，侵犯公民個人信息罪的傳統(tǒng)刑法治理理念也面臨著困境。

1.對刑事保護的過分依賴與對社會組織內(nèi)部保護機制的不當忽視

作為一種社會現(xiàn)象，違法犯罪與人類社會相伴而生。對個人信息違法犯罪行為的治理可以強化人們的規(guī)則意識，促使國家完善共同體的規(guī)范體系和社會秩序。在現(xiàn)實中，侵犯公民個人信息罪的行為類型具有多樣性，其行為對象內(nèi)涵呈現(xiàn)出代際演進特征，行為主體范圍擴張得到不斷認可，犯罪認定依據(jù)具有行政依附性，這種復雜性決定了其防治措施應當具有多元性。

當前我國刑事、行政、民事、網(wǎng)絡安全等方面的法律法規(guī)均設置了對公民個人信息的保護措施，但仍然難以避免法律規(guī)制供給的充分性和規(guī)制功能的有效性問題；同時，單一地依靠法律尤其是刑罰這種正式而嚴厲的強制性制裁措施以防治涉及個人信息的違法犯罪的局限性顯而易見。我們理應認識到，“在維護社會秩序方面，結構明確的行為規(guī)則和正式的強制程序所起到的作用是有限的”［10］。一方面，《刑法》不斷將規(guī)制法網(wǎng)嚴密化，加大規(guī)制力度；另一方面，侵犯公民個人信息的犯罪態(tài)勢居高不下。在互聯(lián)網(wǎng)社會與現(xiàn)實社會虛實并存的二元社會結構下，侵犯公民個人信息罪涉及的行為內(nèi)容復雜、利益主體范圍寬泛，尤其是當前個人信息與國家、個人和互聯(lián)網(wǎng)服務平臺等存在緊密聯(lián)系，這要求侵犯公民個人信息罪的治理應當由多元主體參與的協(xié)作機制發(fā)揮功效。然而事實表明，社會組織尤其是互聯(lián)網(wǎng)企業(yè)在侵犯公民個人信息行為治理中的作用并未被充分發(fā)揮出來，企業(yè)內(nèi)部的自主性防控機制尚未得到充分調(diào)用。

2.事后懲治性預防的過度依賴與事前規(guī)劃式預防的不當缺失

當前，雖然刑事立法在不斷凸顯和強化刑法的預防性功能，但刑事立法和司法仍有待優(yōu)化?！靶塘P的目的既不是要摧殘折磨一個感知者，也不是要消除業(yè)已犯下的罪行”，而是“阻止罪犯再重新侵害公民，并規(guī)誡其他人不要重蹈覆轍”［11］52。但是，刑法史的經(jīng)驗性證據(jù)表明，單純依靠刑罰背后的國家強制力懲罰犯罪，其預防犯罪的功能是有限的［12］。

然而，當前逐步趨嚴的刑事法網(wǎng)表明，我國侵犯公民個人信息罪的刑事立法和司法實踐存在過度依賴刑罰事后懲罰性預防功能的趨向。長期以來，面對紛繁復雜的侵犯公民個人信息的違法犯罪行為，我國在個人信息的保護策略上強調(diào)“刑先民后”，《刑法》率先承擔起保護公民個人信息的重任。侵犯公民個人信息罪的刑事立法和司法對事后懲治性預防的過度依賴不利于對事前規(guī)劃式激勵預防措施進行同等關注?！缎谭ā返氖潞髴椭涡灶A防側重于通過打擊侵犯公民個人信息犯罪人，但是這種事后反向激勵具有一定局限性。借助于刑事合規(guī)制度的合規(guī)計劃可以直接影響行為主體事后的定罪與量刑，這種事前正向激勵才是鼓勵個人和互聯(lián)網(wǎng)平臺積極采取有效措施保護個人信息的重要手段。但是，事實表明，我國個人信息刑事保護對這種事前規(guī)劃式的正向激勵制度重視不足。單純依靠司法機關適用《刑法》予以懲治，忽視對信息收集、管理主體的激勵性制度預防，難以有效防范侵犯公民個人信息的犯罪行為。

3.個人信息法益定位的偏頗與協(xié)作治理機制的不足

“法益概念中重要的不是前實證的社會損害，立法者的價值判斷才是關鍵?！保?3］因此，立法者關于侵犯公民個人信息罪保護法益的形塑，直接影響到刑事司法實踐對侵犯公民個人信息罪的打擊模式和力度。以侵犯公民個人信息罪這一罪名為例，由于立法者將其歸置于《刑法（分則）》第四章侵犯公民人身權利、民主權利罪中，“從而意味著該罪的保護法益為公民人身民主權利”［14］。換言之，刑事立法者將其視為個人法益的犯罪，因而司法解釋2017年5月8日，最高人民法院、最高人民檢察院發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定：“刑法第二百五十三條之一規(guī)定的‘公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。”才強調(diào)個人信息對特定公民的“可識別性”特征，并將其作為認定該罪的核心依據(jù)。

刑事立法將個人信息相關犯罪中的“公民個人信息”的法益定位偏向于個人法益，在復雜的互聯(lián)網(wǎng)虛擬社會不斷擴張的背景下，這容易導致針對該罪的協(xié)作性治理機制的不足。從刑事司法層面看，個人法益的主流立法定位意味著該罪侵害的是公民個人權益，加之司法資源配置的有限性，因而單一乃至少數(shù)個人法益的侵害可能難以獲得刑事司法的有效認同。從個人層面看，面對復雜而極具技術性的互聯(lián)網(wǎng)，個人在遭遇信息侵害時，難以獲得有效的線索和證據(jù)。從互聯(lián)網(wǎng)企業(yè)層面看，由于企業(yè)或其內(nèi)部人員實施的相關犯罪一旦步入司法程序，就會直接影響其外部形象和市場利益，因而企業(yè)一般不會主動參與侵犯公民個人信息罪的司法打擊程序。司法機關、個人和企業(yè)無法形成侵犯公民個人信息罪治理的協(xié)作機制，“從而影響對侵犯公民個人信息罪行為的打擊力度和效率”［9］122。

三、侵犯公民個人信息罪事前合規(guī)治理的核心內(nèi)涵與運作機理

對個人信息保護的刑事立法跟進與司法適度擴張，反映出個人信息在現(xiàn)實社會與互聯(lián)網(wǎng)虛擬社會二元并存結構下的重要價值，也間接映射出一個重要現(xiàn)實：我們對刑事治理侵犯公民個人信息罪存在一定的刑罰依賴，而傳統(tǒng)的事后懲治型刑事治理手段并非唯一選擇。在互聯(lián)網(wǎng)大數(shù)據(jù)時代，個人信息違法犯罪主要是由互聯(lián)網(wǎng)企業(yè)及其內(nèi)部員工直接或間接實施，這是侵犯公民個人信息罪的顯著特征?！缎谭ā吩鲈O侵犯公民個人信息罪的單位主體并強化“網(wǎng)絡服務提供者的平臺責任”［15］即是最佳例證。就此而言，“我們應該擺脫傳統(tǒng)的僅僅依靠《刑法》的懲罰、打擊進行企業(yè)犯罪治理的思維，把企業(yè)犯罪的治理與我們經(jīng)濟體制改革、現(xiàn)代企業(yè)制度的建立、現(xiàn)代企業(yè)的治理水平的提高和企業(yè)家素質(zhì)的提升、企業(yè)文化的這種培育結合起來”［16］。刑事合規(guī)“鼓勵企業(yè)內(nèi)部遵守合規(guī)文化”［5］147，旨在建立和完善及時發(fā)現(xiàn)并預防企業(yè)及其員工違法犯罪行為的企業(yè)內(nèi)部治理機制。將刑事合規(guī)融入侵犯公民個人信息罪的治理模式，既符合當前我國侵犯公民個人信息罪的主體特征，也有助于形塑我國侵犯公民個人信息罪的事前規(guī)劃式的全新治理模式。

（一）合規(guī)計劃的刑事法內(nèi)涵與功能指向

在規(guī)范共同體下，現(xiàn)代企業(yè)的產(chǎn)生和發(fā)展離不開對法律規(guī)范的遵守。從早期的行會制度到近現(xiàn)代的各類旨在促進企業(yè)公平競爭的法律規(guī)范及制度無不表明，遵守法律規(guī)范成為企業(yè)經(jīng)營中的普遍作法。合規(guī)制度是經(jīng)濟發(fā)展和企業(yè)存續(xù)共同作用的結果，它是一種集多種預防措施于一身、旨在及時發(fā)現(xiàn)并預防企業(yè)內(nèi)部違法犯罪行為的綜合性機制1991年美國量刑委員會在《聯(lián)邦量刑指南》中對組織的規(guī)定法制化，其追求的刑事合規(guī)制度成為當前的典范?！堵?lián)邦量刑指南》中列舉的評估合規(guī)計劃有效性的要素主要關注企業(yè)執(zhí)行合規(guī)計劃的各種情況。1.企業(yè)應建立制度和程序以防止犯罪行為。2.（A）企業(yè)管理層應知曉道德合規(guī)計劃的內(nèi)容并合理監(jiān)管以確保二者得到有效實施。（B）企業(yè)高層應確保企業(yè)具有符合《聯(lián)邦量刑指南》要求的有效道德合規(guī)計劃，且在高層內(nèi)部安排專人全面負責。（C）指派專人負責道德合規(guī)計劃的日常實施，并由其向企業(yè)高層、一級管理者或二級管理者匯報計劃的有效性。為確保合規(guī)計劃實施順利，企業(yè)應當為負責人配備充足的資源、賦予其足夠的權限及和一級或二級管理者直接接觸的途徑。3.企業(yè)不得聘用在盡職調(diào)查期間了解到具有犯罪前科記錄的高管。4.（A）企業(yè)應定期與（B）項中所提及的人物溝通道德合規(guī)計劃的標準、程序及其他方面的內(nèi)容，或者就其職責提供必要信息。（B）在（A）項中涉及的人包括企業(yè)管理者、企業(yè)高層、權威人士、雇員及企業(yè)代理人。5.企業(yè)應做到：（A）確保企業(yè)道德合規(guī)計劃得到遵守，包括通過監(jiān)測審計手段偵查犯罪行為；（B）定期評估道德合規(guī)計劃的有效性;（C）建立并推行包含匿名舉報機制和保密機制的檢舉系統(tǒng)，使雇員和代理人檢舉潛在或既定犯罪行為而不被報復。6.企業(yè)的道德合規(guī)計劃應得到持續(xù)執(zhí)行，并需（A）針對遵循合規(guī)計劃者設立恰當?shù)莫剟畲胧˙）針對違背合規(guī)計劃發(fā)生違法行為者執(zhí)行恰當?shù)膽土P措施。7.發(fā)現(xiàn)犯罪行為后，企業(yè)應當恰當處理以防止類似行為再次發(fā)生，并對企業(yè)道德合規(guī)計劃進行修正。，其“精髓在于，使法令的遵守不再依靠嚴格監(jiān)視和個人自覺性與誠實性，而是用合理的事前計算規(guī)劃來避免違法行為的發(fā)生”［17］。

合規(guī)計劃不只具有經(jīng)濟學上的意義，同時具有刑事法上的法律意義。一方面，就刑事實體法而言，合規(guī)計劃融入刑法中的犯罪治理，其效果發(fā)揮主要表現(xiàn)在三個層面。其一，影響實體層面的犯罪成立。例如，實施合規(guī)計劃“證明了企業(yè)在自身活動中表現(xiàn)了相當?shù)淖⒁狻保?8］，因此，合規(guī)計劃“與針對‘企業(yè)過失的注意義務有很大關聯(lián)性”［19］4，這意味著刑事合規(guī)能夠影響企業(yè)過失犯罪的構成要件設計和司法認定。其二，影響實體層面的刑罰裁量。例如，企業(yè)實施了有效的合規(guī)計劃會成為罰金數(shù)額判定中的減輕或免除情節(jié)。其三，推動法人刑事責任的政策演進。刑事合規(guī)制度的發(fā)展推動了替代責任理論的發(fā)展，使法人犯罪和刑事責任承擔成為主流趨勢。另一方面，就刑事程序法而言，合規(guī)計劃與刑事程序法的關系主要表現(xiàn)為“企業(yè)內(nèi)部調(diào)查與刑事訴訟法之間的相互作用問題”［4］。這既涉及企業(yè)發(fā)起內(nèi)部調(diào)查的條件與限度，也涉及企業(yè)內(nèi)部調(diào)查的證據(jù)在刑事訴訟程序中的轉(zhuǎn)換和適用問題。

（二）合規(guī)計劃對侵犯公民個人信息罪的治理功能及其運作機理

1.合規(guī)計劃前置侵犯公民個人信息罪的風險控制基點

互聯(lián)網(wǎng)大數(shù)據(jù)時代，虛擬網(wǎng)絡社會是社會風險的高發(fā)領域，個人信息在其中頻頻遭受侵害即為例證?！氨M管在學理上存在對于風險社會概念的質(zhì)疑，但是，風險的增多以及不確定性的增強是不爭的事實”，“為了實現(xiàn)風險的控制……刑法體系從懲罰傾向的體系向預防導向的體系發(fā)生轉(zhuǎn)變”，其重要方式是“控制基點的前置化”［19］100。我國刑事立法對犯罪風險控制基點的前置最為突出的例證便是網(wǎng)絡犯罪，例如，典型的預備行為實行化、幫助行為正犯化、設置網(wǎng)絡平臺監(jiān)管責任均在網(wǎng)絡犯罪領域得到貫徹等。

“刑事合規(guī)是現(xiàn)代風險刑法的一個結果。”［20］364它通過建立良好的企業(yè)文化與制度、設立純潔而中立的監(jiān)督者、貫徹落實合規(guī)計劃、及時發(fā)現(xiàn)并處置違法犯罪行為等相互銜接的機制，對違法犯罪行為進行堵源式控制，以降低犯罪對企業(yè)自身乃至社會的危害性。在侵犯公民個人信息罪治理中推行合規(guī)計劃，可以刑事責任背后的國家強制力反推互聯(lián)網(wǎng)企業(yè)對自身及其內(nèi)部員工行為的監(jiān)管，拓展侵犯公民個人信息罪的防控主體責任，將侵犯公民個人信息罪的風險防控基點前移至犯罪行為實施前。風險防控基點的前置，意味著侵犯公民個人信息罪風險防控的延伸，這帶來的將是風險預測和防控能力的提升，以及風險發(fā)生概率的降低。這正是化解當前我國侵犯公民個人信息罪治理過度依賴事后的刑事懲治性預防手段、避免因為刑事制裁滯后性弱化侵犯公民個人信息罪治理效果的有效舉措。

2.合規(guī)計劃塑造侵犯公民個人信息罪的多元防控機制

縱觀歷史，刑罰的有效性始終是刑法運行的核心追求之一。在貝卡利亞看來，“犯罪與刑罰之間的時間隔得越短，在人們心中，犯罪與刑罰這兩個概念的聯(lián)系就越突出、越持續(xù)，因而，人們很自然地把犯罪看作起因，把刑罰看作不可缺少的必然結果”［11］79。他認為，可以借助刑罰的及時性來維持和強化刑罰的有效性。事實上，現(xiàn)代刑事立法與實踐呈現(xiàn)出“從追求刑法的懲治性到追求刑法的有效性”［21］的觀念轉(zhuǎn)型。但是，經(jīng)驗事實表明，完全依賴刑罰運用的及時性和刑事法網(wǎng)的嚴密性，尚難實現(xiàn)刑法預防犯罪的終極目的。

犯罪預防目標的達成，需要刑法手段和非刑法手段雙管齊下，并形成多元化措施共舉的犯罪風險防控機制等。侵犯公民個人信息罪發(fā)生原因具有多元化特點，賴以產(chǎn)生的背景具有復雜性，這要求其防控手段應當多元化。然而，當前我國侵犯公民個人信息罪的防控和治理過分依賴國家刑罰，這使得我國侵犯公民個人信息罪治理出現(xiàn)了刑事法網(wǎng)不斷嚴密化和侵犯公民個人信息罪持續(xù)高發(fā)并存的現(xiàn)象。合規(guī)計劃通過推行企業(yè)合規(guī)文化、塑造企業(yè)及其內(nèi)部成員的規(guī)范意識、制定具有針對性的犯罪防控措施、貫徹體系性的犯罪風險防控機制等，進而預防犯罪產(chǎn)生。合規(guī)計劃著重培育企業(yè)及其成員的規(guī)范意識，聘用專業(yè)的合規(guī)專員或者建立合規(guī)執(zhí)行部門，提供監(jiān)督熱線或響應系統(tǒng)，查證、獲取違法犯罪證據(jù)，這一系列制度措施與刑事制裁措施的結合，可以推動個人犯罪治理措施的多元化。在侵犯公民個人信息罪治理中，合規(guī)計劃既可以提前防范企業(yè)及其內(nèi)部人員實施犯罪的風險，也可為后續(xù)司法機關節(jié)約犯罪偵控時間和資源、提升證據(jù)獲取效率，在兼顧非刑事治理手段的同時，可以提升刑法的及時性和有效性，從而在多元化防控機制下實現(xiàn)預防犯罪的目的。

3.合規(guī)計劃提升企業(yè)參與治理侵犯公民個人信息罪的激勵性

“自然把人類置于兩位主公——痛苦和快樂——的主宰之下。只有它們才指示我們應當干什么，決定我們將要干什么?！保?2］刑罰懲罰帶來痛苦，獎勵帶來快樂。把懲罰和獎勵同時貫穿于刑法，確立符合功利原理的法律規(guī)范，可以更好地指引人們的行為。刑事立法在因應時代變化、完善懲罰制度的同時，亦需通過妥當?shù)牟呗詫ⅹ剟钣枰砸?guī)范化、制度化，以便彰顯刑法預防犯罪的激勵性功能。

當前，在侵犯公民個人信息罪治理進程中，我國刑事立法追求刑法事后打擊的全面性和嚴厲性，不斷凸顯和強化刑法的懲罰性。這雖然起到了一定的積極作用，但同時在一定意義上忽略了刑法激勵性制度的構建及其功能發(fā)揮。加之，侵犯公民個人信息罪保護法益定位的個人偏向使得企業(yè)忽略了侵犯公民個人信息罪對社會整體秩序的損害，在懲罰性有限而激勵性不足的現(xiàn)實情形下，互聯(lián)網(wǎng)企業(yè)參與侵犯公民個人信息罪治理的積極性不高。“刑事合規(guī)的核心是用刑罰手段來激勵企業(yè)建立有效的內(nèi)部控制制度，從而預防犯罪?！保?3］123賦予合規(guī)以刑法意義，通過暫緩不起訴、不起訴協(xié)議、企業(yè)自首認可、量刑減免等手段，可以激勵企業(yè)積極參與侵犯公民個人信息罪的治理。在互聯(lián)網(wǎng)大數(shù)據(jù)時代，互聯(lián)網(wǎng)領域內(nèi)侵犯公民個人信息罪存在極強的匿名性、技術性、隱蔽性，互聯(lián)網(wǎng)企業(yè)在侵犯公民個人信息罪的防控和治理上占據(jù)個人難以比擬的優(yōu)勢。因此，通過肯定刑事合規(guī)的思路激勵互聯(lián)網(wǎng)企業(yè)參與侵犯公民個人信息罪的治理，對形成個人、企業(yè)和國家三位一體的治理機制意義重大。

四、合規(guī)計劃融入侵犯公民個人信息罪治理的邏輯前提與實踐展開

我國有學者認為，由于“沒有注意到我國單位犯罪立法模式的獨特性，也對其他國家現(xiàn)行的刑事合規(guī)制度存在一定誤解”，因此，“不宜匆忙引入刑事合規(guī)制度”［23］119130。但是，以《刑法修正案（九）》增設的拒不履行信息網(wǎng)絡安全管理義務罪為例，“通過刑法手段推動企業(yè)內(nèi)控的實踐已經(jīng)在我國相關立法中得到體現(xiàn)”［24］。這啟示我們：應當結合典型個罪的刑事立法和司法實踐來探討和檢驗合規(guī)計劃中國化的現(xiàn)實可能性。合規(guī)計劃融入侵犯公民個人信息罪治理，意味著必須賦予合規(guī)計劃在侵犯公民個人信息罪中的刑事法意義，其刑事法意義的賦予究竟如何展開便是關鍵所在。

（一）邏輯前提：合規(guī)計劃融入侵犯公民個人信息罪治理符合可能、必要且可期待等標準

丹尼斯·伯克指出：“對于狹義合規(guī)在刑法上的法律依據(jù)，一個原則性的指標是共通的：對于存在的法律義務來說，措施首先是可能的，其次是必要的，最后是可期待的?！保?5］這已經(jīng)成為合規(guī)計劃實施的一種共識性標準。由于合規(guī)計劃旨在促使企業(yè)構建和運行內(nèi)部監(jiān)督機制以預防企業(yè)及其員工實施違法犯罪行為，因此，合規(guī)計劃融入侵犯公民個人信息罪治理要成為可能，就必須基于該罪的行為主體結構進行調(diào)適。

在互聯(lián)網(wǎng)大數(shù)據(jù)時代，侵犯公民個人信息罪的行為主體由自然人和單位共同構成，并且呈現(xiàn)出個人依附于單位實施犯罪的趨勢?！缎谭ㄐ拚福ㄆ撸吩谇址腹駛€人信息罪中增加“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”這些特殊的主體，《刑法修正案（九）》進一步將該罪的特殊主體拓展為一般主體，并增設拒不履行信息網(wǎng)絡安全管理義務罪和幫助信息網(wǎng)絡犯罪活動罪，這些輔助性罪名的增設既是回應網(wǎng)絡犯罪客觀發(fā)展趨勢的需要，也側面反映出實踐中侵犯公民個人信息罪主體結構的演變，即行為實施者由傳統(tǒng)的個人轉(zhuǎn)向個人與單位并重，且個人直接或間接依附于互聯(lián)網(wǎng)單位。通過對我國國家網(wǎng)信辦發(fā)布的《APP違法違規(guī)收集使用個人信息專項治理報告（2019）》［26］進行分析發(fā)現(xiàn)，移動互聯(lián)網(wǎng)應用商店上架推廣的APP有近400萬款，總下載量超萬億次。APP強制授權、過度索權、超范圍收集個人信息的現(xiàn)象普遍存在，未制定并公開隱私政策、未經(jīng)用戶同意收集個人信息、未提供注銷賬號功能等不規(guī)范行為屢見不鮮。據(jù)2020年工信部和國家網(wǎng)信辦發(fā)布的《存在問題的應用軟件名單（2020年第一批）》披露，諸多互聯(lián)網(wǎng)平臺成為違法私自收集、超范圍索取、私自共享公民個人信息的高發(fā)主體［27］。其數(shù)據(jù)表明，互聯(lián)網(wǎng)平臺不僅是侵犯公民個人信息罪的重災區(qū)，也是侵犯公民個人信息的重要實施者或幫助者。而由于互聯(lián)網(wǎng)的技術性、便捷性、隱蔽性，互聯(lián)網(wǎng)成為個人或單位實施侵犯公民個人信息行為的高發(fā)場域。在互聯(lián)網(wǎng)大數(shù)據(jù)時代，個人在實施侵犯公民個人信息罪時會自覺或不自覺地對互聯(lián)網(wǎng)企業(yè)產(chǎn)生依附。也正是基于實踐現(xiàn)狀的考察，有學者明確指出：“刑事司法的觀念應當適時轉(zhuǎn)型和調(diào)整，從嚴厲制裁國家工作人員利用職務便利侵犯公民個人信息罪，逐漸轉(zhuǎn)向兼而制裁中介、物業(yè)等服務類機構工作人員倒賣公民個人信息，甚至最終轉(zhuǎn)向以嚴厲制裁上述服務類機構侵犯公民個人信息為主?！保?8］

概言之，在互聯(lián)網(wǎng)大數(shù)據(jù)時代，侵犯公民個人信息罪的主體結構由企業(yè)和自然人組成，自然人主要是互聯(lián)網(wǎng)企業(yè)內(nèi)部人員或利用互聯(lián)網(wǎng)平臺的外部人員。這種主體結構契合合規(guī)計劃的制度設計初衷，即構建和運行企業(yè)內(nèi)部的監(jiān)督機制，及時發(fā)現(xiàn)和防范企業(yè)及其內(nèi)部人員實施違法犯罪行為。換言之，侵犯公民個人信息罪的主體結構使得合規(guī)計劃在該罪治理中成為可能且必要的措施。需要進一步探討的是，這種預設是否滿足可期待性的目標呢？

合規(guī)計劃是否符合侵犯公民個人信息罪治理的可期待性要求，并非完全取決于我們單方面的良好愿景，還需考慮其融入侵犯公民個人信息罪治理的經(jīng)濟性問題。在侵犯公民個人信息罪治理中，關于合規(guī)計劃的實施，“要確定采取監(jiān)督措施的成本與規(guī)范違反可能性之間的比例性”，“基于有序的企業(yè)經(jīng)濟和國民經(jīng)濟的利益，應當避免對監(jiān)督措施提出過高的要求”［29］。否則，合規(guī)體系將會對互聯(lián)網(wǎng)企業(yè)造成過分的內(nèi)部規(guī)制，進而影響企業(yè)的創(chuàng)新動力，損害社會經(jīng)濟發(fā)展的原動力。鑒于合規(guī)的“規(guī)范”包含正式的法律規(guī)范以及具體的行業(yè)規(guī)范或社會最基本的道德原則，而合規(guī)介入侵犯公民個人信息罪治理進程后，為企業(yè)帶來的是減輕或免除刑事法律制裁的后果。因此，基于對侵犯公民個人信息罪風險預防和企業(yè)發(fā)展成本平衡的考量，侵犯公民個人信息罪中的合規(guī)計劃內(nèi)容應當僅限于企業(yè)對法律法規(guī)的遵守。這在當前我國《刑法》第353條之一規(guī)定的“違反國家有關規(guī)定”要件上也得以體現(xiàn)，對互聯(lián)網(wǎng)企業(yè)發(fā)展而言顯然具有可期待性。不過，這需要司法實踐嚴格認定合規(guī)的規(guī)范依據(jù)，且不宜作出過于寬泛的苛求。

（二）實體法層面：賦予合規(guī)計劃影響侵犯公民個人信息罪構罪和量刑的雙重功能

1.構罪層面：確立前置性免責程序條款，確立行政處罰程序的出罪功能

我國《刑法》353條之一在侵犯公民個人信息罪的犯罪成立條件中明確規(guī)定了“違反國家有關規(guī)定”的要件，這實質(zhì)上是要求個人和單位對公民個人信息的獲取和使用等行為不得違反“國家有關規(guī)定”，亦即“界定刑法中已公開個人信息的合理利用范疇應當以前置法中的相關規(guī)定為基準”［30］。在司法實踐中，“國家有關規(guī)定”的認定依據(jù)既包括《關于加強網(wǎng)絡信息保護的決定》《網(wǎng)絡安全法》《民法典》《刑法》等關于個人信息保護的正式法律規(guī)范，也包括國家網(wǎng)信辦《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》等部門規(guī)章。將這些部門規(guī)章作為認定“違反國家有關規(guī)定”的依據(jù)確實存在違反立法機關維護法制統(tǒng)一的初衷［31］。不過，由此可以看出，遵守國家關于個人信息保護的相關法律法規(guī)本身就是避免實施侵犯公民個人信息罪的規(guī)范要求。換言之，遵守法律法規(guī)關于保護公民個人信息的規(guī)定這種顯著的合規(guī)要求，已然蘊含于侵犯公民個人信息罪的罪刑規(guī)范設置中。

刑事合規(guī)的犯罪風險預防機制貫穿于犯罪風險發(fā)生前和風險現(xiàn)實化之后，這就需要將事前規(guī)劃的預防功能和刑法事后懲治性預防功能相結合。就此而言，我國侵犯公民個人信息罪的規(guī)范設置似乎更注重風險現(xiàn)實化之后的懲治性預防，而對《刑法》運行前的事前規(guī)劃式正向激勵性預防作用重視不足。因為“違反國家有關規(guī)定”并構成侵犯公民個人信息罪之后，《刑法》著眼的僅是如何懲治實施犯罪的個人或單位，而未充分考慮對個人或企業(yè)在有效實施合規(guī)計劃情形下是否以及如何激勵的措施。盡管企業(yè)自我管理的實現(xiàn)需要嚴厲的刑罰的支持，嚴厲的刑罰能促進自我管理的實現(xiàn)，但是就企業(yè)發(fā)展和社會創(chuàng)新而言，單一的刑罰威懾并不會取得理想效果。

對此，為發(fā)揮合規(guī)計劃融入侵犯公民個人信息罪治理的積極功能，筆者認為，可以對《刑法》第253條之一關于侵犯公民個人信息罪的罪刑規(guī)范予以修改。比如，確立前置性免責程序條款：在保留“違法國家有關規(guī)定”的前提下，增加類似拒不履行信息網(wǎng)絡安全管理義務罪中“經(jīng)監(jiān)管部門責令采取改正措施而拒不改正或者改正不力”的要件。將前置性行政處罰程序作為犯罪成立的條件，發(fā)揮行政處罰程序在刑事法中的出罪作用。同時，“根據(jù)將過失犯罪的本質(zhì)掌握在違法性層面的學說，守法計劃可能被掌握為客觀注意義務之標準”［32］，因而當企業(yè)及其員工實施侵犯公民個人信息罪時，完全有跟正當化功能聯(lián)結的余地。在司法實踐認定中，將單位積極有效履行合規(guī)義務作為單位承擔監(jiān)督過失責任的除斥條款，不失為一種可行之舉。

需要注意的是，最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號）第5條將“曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個人信息的”，作為非法獲取、出售或者提供公民個人信息“情節(jié)嚴重”的條件。這實質(zhì)是將相關違法犯罪經(jīng)歷作為侵犯公民個人信息罪的入罪標準。這和前文提出將《刑法》253條之一關于侵犯公民個人信息罪的罪刑規(guī)范予以修改、確立前置性免責程序條款的做法，其實并不沖突。從技術層面看，為侵犯公民個人信息罪的罪刑規(guī)范確立前置性免責程序條款，其前提是單位對個人信息的獲取、管理和使用履行了合理審慎的注意義務，也即單位不存在侵犯公民個人信息的故意行為，以此作為單位合規(guī)出罪的程序要件，更有利于發(fā)揮刑事合規(guī)的出罪功能，完善刑法出罪機制。從法理層面看，鑒于“受過刑事處罰或者二年內(nèi)受過行政處罰”情節(jié)作為一般的違法犯罪經(jīng)歷，在本質(zhì)上反映的是行為人的人身危險性，而不是決定侵犯公民個人信息罪實體內(nèi)容的情節(jié)，因此，將其作為入罪情節(jié)不利于發(fā)揮人身危險性在定罪機制中的消極出罪功能，也不符合犯罪成立的本質(zhì)要求。

2.量刑方面：確定合規(guī)作為企業(yè)量刑減免情節(jié)

刑事合規(guī)的抑制作用在那些承認企業(yè)刑事可罰性的國家中，才能更有效地對刑事集合制裁的作出產(chǎn)生一定的影響［20］354。根據(jù)我國《刑法》第30條和第31條規(guī)定可知，我國刑事立法承認法人犯罪的可罰性，這是刑事合規(guī)融入我國侵犯公民個人信息罪治理的邏輯起點和規(guī)范基礎。在認可單位犯罪這種犯罪實體的情形下，即便單位犯罪的“雙罰制”能夠貫徹與這種犯罪評價相適應的制裁，也不宜過分依賴刑法事后懲治性威懾預防的功能。我們應當轉(zhuǎn)換視角，重視合規(guī)計劃事前規(guī)劃式的風險預防作用。

當然，合規(guī)計劃事前規(guī)劃式預防機能的展現(xiàn)和刑法事后懲治性威懾預防并非互不相容。在侵犯公民個人信息罪的治理中，理應尋求合規(guī)計劃事前規(guī)劃的預防機能和刑法事后懲治威懾預防的融合：一方面，將刑法事后懲治性威懾預防作為互聯(lián)網(wǎng)企業(yè)貫徹合規(guī)計劃的強制性外在動力；另一方面，將企業(yè)推行有效的合規(guī)計劃作為正向激勵制度，減輕其可能面臨的刑事風險。前者已在當前我國刑事立法加大刑事法網(wǎng)嚴密性、加強刑事制裁力度上得到體現(xiàn)，后者尚需我國刑事立法著力推進。

對此，我們需要特別注意的一個問題是：合規(guī)計劃專員或合規(guī)部門在貫徹企業(yè)內(nèi)部合規(guī)計劃時，發(fā)現(xiàn)并及時檢舉企業(yè)自身或其內(nèi)部員工實施的侵犯公民個人信息的行為，對此能否認定為企業(yè)自首，并據(jù)以對企業(yè)減輕處罰？肯定合規(guī)計劃作為事后量刑情節(jié)的做法，在20世紀90年代的日本已經(jīng)開始實施，并表現(xiàn)出良好的效果1996年東京高等裁判所關于下水道串通投標案件的判決，成為日本在刑事法上正面認可合規(guī)計劃法律效果的開端性案例。此后，類似做法已經(jīng)在日本刑事司法實踐中延展開來。。筆者認為，單位自首是企業(yè)貫徹合規(guī)計劃防范自身及其內(nèi)部員工實施侵犯公民個人信息違法犯罪行為的正向激勵性制度。從自首的本質(zhì)、成立條件和現(xiàn)實必要性看，肯定單位自首完全可行［33］。即便我國《刑法》關于自首的規(guī)定并未明確肯定單位自首，但是未來刑事立法可以考慮修改自首制度的相關規(guī)定或增設侵犯公民個人信息罪的單位犯罪特別寬宥制度，并將此作為單位貫徹有效合規(guī)計劃的量刑減免情節(jié)，以此激勵單位積極推行合規(guī)計劃、防范自身及其員工實施侵犯公民個人信息的違法犯罪行為。未來刑事立法甚至可以將單位認罪認罰作為肯定單位消除再犯可能性的現(xiàn)實表現(xiàn)，同時考慮涉案單位的預期經(jīng)濟社會貢獻程度，對此在量刑活動中獨立評價以作為法定刑幅度內(nèi)從寬處罰的考量因素［34］。

（三）程序法層面：肯定企業(yè)合規(guī)計劃的緩訴和免訴功能

合規(guī)計劃影響企業(yè)刑事訴訟程序的運行已然成為主流。在充分認識到企業(yè)犯罪治理和個人犯罪治理之間顯著差異的基礎上，美國《聯(lián)邦量刑指南》第八章“組織量刑指南”確立了企業(yè)有效合規(guī)計劃的“七個標準”，使其成為聯(lián)邦訴訟和量刑的重要參考參見USSG§8A1.2，application note 3（K）（2010）。。有效合規(guī)計劃直接影響企業(yè)訴訟，并同樣在德國、日本等國家得到了刑事法上的認可。合規(guī)計劃主要通過協(xié)議貫徹暫緩起訴和不起訴功能來影響企業(yè)刑事訴訟。目前，如果企業(yè)涉及個人數(shù)據(jù)信息保護等犯罪案件，“美國聯(lián)邦檢察機關要么與涉案企業(yè)達成‘暫緩起訴協(xié)議”“要么與其達成‘不起訴協(xié)議”，以此來替代原來的提起公訴或者不起訴決定［35］。在施行刑事合規(guī)計劃的國家，暫緩起訴協(xié)議和不起訴協(xié)議反映出企業(yè)自首情況增多的趨勢。這也表明，刑事程序法層面肯定有效的合規(guī)計劃能激勵企業(yè)及時發(fā)現(xiàn)并揭露內(nèi)部違法犯罪行為。

在侵犯公民個人信息罪治理中，積極推進合規(guī)計劃在程序法層面的展開，應該考慮與免訴或緩訴相對應的“協(xié)議”問題。因此，如何確定“協(xié)議”的規(guī)范依據(jù)、實際內(nèi)容與現(xiàn)實條件，就成為合規(guī)計劃在程序法層面運行的核心問題?！皡f(xié)議”的規(guī)范依據(jù)取決于前置性免責程序的確立，即關于侵犯公民個人信息罪的罪刑規(guī)范修改中的前置性行政免責程序條款設置。前置性行政免責程序條款的確立可為行政處罰限制入罪的功能發(fā)揮提供前提條件，亦即為“協(xié)議”達成提供了實際內(nèi)容。而“協(xié)議”的現(xiàn)實條件則取決于單位是否實施了有效的合規(guī)計劃。這里需要注意的是，有效合規(guī)計劃的判斷不能取決于企業(yè)是否徹底阻止自身及其內(nèi)部員工實施違法犯罪行為，因為現(xiàn)代企業(yè)復雜的組織架構及其數(shù)量龐大的內(nèi)部成員決定了企業(yè)不可能徹底阻止犯罪行為，只要企業(yè)貫徹合規(guī)計劃、積極履行預防侵犯公民個人信息罪的風險即可。對此，可以參考以下規(guī)范標準：美國《聯(lián)邦量刑指南》第八章“組織量刑指南”確立的企業(yè)有效合規(guī)計劃的“七個標準”；2010年3月，經(jīng)濟合作與發(fā)展組織發(fā)布的《內(nèi)部控制、企業(yè)道德及合規(guī)運營良好行為準則》列出的有效合規(guī)計劃的12個要素。在侵犯公民個人信息罪治理中，如果與犯罪企業(yè)推行暫緩或免訴協(xié)議，一方面需要考慮讓企業(yè)承擔行政處罰并對被侵害個人予以損失賠償，另一方面則需要基于公共利益長期保護的現(xiàn)實需求，促使企業(yè)重構合規(guī)計劃或完善合規(guī)體系，定期就合規(guī)計劃的完善和執(zhí)行問題向檢察機關報告。

但是，鑒于在我國當前的經(jīng)濟結構中國有企業(yè)組織結構、內(nèi)部風險控制和制度管理相對更為規(guī)范，而大量的中小微型民營企業(yè)反而因制度不健全面臨更多的合規(guī)風險，加上刑事合規(guī)建設尚處于起步階段，故而相關刑事合規(guī)的制度內(nèi)涵與實踐展開仍需要結合司法實際進行有效探索［36］，對侵犯公民個人信息罪的合規(guī)治理，“必須充分考慮現(xiàn)實國情，著眼于改革目的和適用對象”［37］。具體而言，筆者認為可以通過條件限制，采取較為謙抑的方式穩(wěn)步推進侵犯公民個人信息罪的合規(guī)治理。

第一，可以將涉案企業(yè)合規(guī)整改的前提設置為輕罪案件，即根據(jù)涉案企業(yè)涉嫌侵犯公民個人信息的整體情況，依照2017年最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定的“相應自然人犯罪的定罪量刑標準”可能被判處3年以下有期徒刑的案件。盡管有學者認為，關于企業(yè)合規(guī)的適用案件，“附條件不起訴適用的涉罪案件范圍可以不受輕微犯罪案件的限制”［38］，但是通過輕罪案件的限制，能夠起到避免放縱企業(yè)的嫌疑。第二，涉案企業(yè)和相關責任人員積極認罪認罰，采取措施阻止犯罪侵害狀態(tài)持續(xù)或消除犯罪危害結果。第三，涉案企業(yè)預期的經(jīng)濟社會貢獻度較大，采取合規(guī)整改措施能夠消除制度漏洞和隱患，能夠保障其繼續(xù)經(jīng)營。第四，結合當前刑事訴訟期限，可根據(jù)涉罪企業(yè)的實際情況合理設置6～12個月的合規(guī)整改考驗期，并將有效的合規(guī)整改和監(jiān)督情況作為酌定不起訴的重要考察因素或者作為量刑從寬的考量因素。當然，這還需要立法輔助性地完善單位犯罪附條件不起訴特別程序［39］。

五、結語

在當前現(xiàn)實社會與互聯(lián)網(wǎng)虛擬社會二元并存的背景下，對侵犯公民個人信息違法犯罪行為的治理是現(xiàn)在乃至未來都必須高度重視的問題。盡管“刑事立法是網(wǎng)絡智能時代解決風險困擾的一條路徑”［40］，但是不斷將刑事法網(wǎng)嚴密化、加大刑事規(guī)制力度并非侵犯公民個人信息罪治理的唯一方式，單一化的傳統(tǒng)刑事制裁亦非侵犯公民個人信息罪治理的理想方式。合規(guī)計劃將事前規(guī)劃與事后懲治相融合，是現(xiàn)代企業(yè)預防自身及其內(nèi)部員工犯罪風險的可靠機制。雖然在我國全面推行刑事合規(guī)計劃存在法律制度、法律文化等多層面的現(xiàn)實障礙，但是這并不妨礙我們從微觀層面借助典型個罪對其進行有意義的實踐嘗試。將合規(guī)計劃融入侵犯公民個人信息罪治理進程中，進而彌補傳統(tǒng)刑法治理手段的缺陷，釋放現(xiàn)代企業(yè)治理能力和水平，構建多元化的犯罪風險防控機制，是可能的、必要的且可期待的思路。在我國刑事立法和司法實踐不斷勉勵踐行預防刑法觀的當下，借鑒合規(guī)制度的犯罪風險預防機制，將事前規(guī)劃與事后懲治并重，發(fā)揮行政法及其他前置法限制入罪的功能，疏源與截流并舉，防范和控制犯罪風險現(xiàn)實化，既可以緩解刑事制裁過度擴張的潛在危險，也可以綜合提升犯罪治理能力和水平。

參考文獻：

［1］深入貫徹落實個人信息保護法 切實維護公民個人信息安全——最高檢第一檢察廳負責人就檢察機關依法懲治侵犯公民個人信息犯罪典型案例答記者問［EB/OL］.（20221207）［20230811］.https：/www.spp.gov.cn/spp/xwfbh/wsfbt/202212/t20221207_594915.shtml#.

［2］于志剛.“大數(shù)據(jù)”時代計算機數(shù)據(jù)的財產(chǎn)化與刑法保護［J］.青海社會科學，2013（3）.

［3］陳瑞華.合規(guī)視野下的企業(yè)刑事責任問題［J］.環(huán)球法律評論，2020（1）：25.

［4］弗蘭克·薩力格爾，馬寅翔.刑事合規(guī)的基本問題［M］//李本燦.合規(guī)與刑法——全球視野的考察.北京：中國政法大學出版社，2018：62.

［5］菲利普·韋勒，萬方.有效的合規(guī)計劃與企業(yè)刑事訴訟［J］.財經(jīng)法學，2018（3）.

［6］張勇.公民個人信息刑法保護的碎片化與體系解釋［J］.社會科學輯刊，2018（5）：87.

［7］彼得·L.伯格，托馬斯·盧克曼.現(xiàn)實的社會建構——知識社會學論綱［M］.吳肅然，譯.北京：北京大學出版社，2019：27.

［8］李川.個人信息罪的規(guī)制困境與對策完善——從大數(shù)據(jù)環(huán)境下濫用信息問題切入［J］.中國刑事法雜志，2019（5）：3537.

［9］劉仁文.論非法使用公民個人信息行為的入罪［J］.法學論壇，2019（6）.

［10］何榮功.自由秩序與自由刑法理論［M］.北京：北京大學出版社，2013：114.

［11］貝卡利亞.論犯罪與刑罰［M］.黃風，譯.北京：中國法制出版社，2005.

［12］格里·約翰斯通.恢復性司法：理念、價值與爭議［M］.郝方昉，譯.北京：中國人民公安大學出版社，2011：113.

［13］鐘宏彬.法益理論的憲法基礎［M］.臺北：臺灣元照出版公司，2012：134.

［14］劉艷紅.侵犯公民個人信息罪法益：個人法益及新型權利之確證［J］.中國刑事法雜志，2019（5）：27.

［15］于志剛.中國網(wǎng)絡犯罪的代際演變、刑法樣本與理論貢獻［J］.法學論壇，2019（2）：9.

［16］盧建平.防范與打擊企業(yè)家犯罪是一個系統(tǒng)工程［J］.法人，2012（2）：7779.

［17］川崎友巳，李世陽.合規(guī)管理制度的產(chǎn)生與發(fā)展［M］//李本燦.合規(guī)與刑法——全球視野的考察.北京：中國政法大學出版社，2018：6.

［18］川崎友巳，曾文科.合規(guī)計劃的現(xiàn)狀［M］//李本燦.合規(guī)與刑法——全球視野的考察.北京：中國政法大學出版社，2018：23.

［19］李本燦.刑事合規(guī)理念的國內(nèi)法表達——以“中興通訊事件”為切入點［J］.法律科學，2018（6）.

［20］托馬斯·羅什，李本燦.合規(guī)與刑法：問題、內(nèi)涵與展望——對所謂“刑事合規(guī)”理論的介紹［J］.刑法論叢，2016（4）.

［21］陳興良.走向哲學的刑法學［M］.北京：北京大學出版社，2018：134.

［22］邊沁.道德與立法原理導論［M］.時殷弘，譯.北京：商務印書館，2000：58.

［23］田宏杰.刑事合規(guī)的反思［J］.北京大學學報（哲學社會科學版），2020（3）.

［24］孫國祥.刑事合規(guī)的理念、機能和中國的建構［J］.中國刑事法雜志，2019（2）：20.

［25］丹尼斯·伯克，黃禮登.論作為降低涉企犯罪損害預期值措施的刑法上要求的企業(yè)監(jiān)督（刑事合規(guī)）［M］//李本燦.合規(guī)與刑法——全球視野的考察.北京：中國政法大學出版社，2018：284.

［26］APP違法違規(guī)收集使用個人信息專項治理報告（2019）［R/OL］.（20200526）［20230708］.http：//www.cac.gov.cn/202005/26/c_1592036763304447.htm.

［27］存在問題的應用軟件名單（2020年第一批）［EB/OL］.（20200517）［20230708］.https：//www.gov.cn/xinwen/202005/17/content_5512332.htm.

［28］于志剛.侵犯公民個人信息罪關鍵在提供方［N］.法制日報，20120519.

［29］丹尼斯·伯克，黃禮登.合規(guī)討論的刑法視角——《秩序違反法》第130條作為刑事合規(guī)的中心規(guī)范［M］//李本燦.合規(guī)與刑法——全球視野的考察.北京：中國政法大學出版社，2018：320.

［30］儲陳城，魏培林.刑法視閾下已公開個人信息的合理利用——以個人自治法益觀為中心的探討［J］.重慶郵電大學學報（社會科學版），2023（5）：76.

［31］葉良芳.法秩序統(tǒng)一性視域下“違反國家有關規(guī)定”的應然解釋［J］.浙江社會科學，2017（10）：1523.

［32］甲斐克則，但見亮.守法計劃和企業(yè)的刑事責任［M］//陳澤憲.刑事法前沿：第3卷.北京：中國人民公安大學出版社，2006：357.

［33］高銘暄，趙秉志.刑罰總論比較研究［M］.北京：北京大學出版社，2008：460462.

［34］張朝霞.涉案企業(yè)合規(guī)：檢察經(jīng)驗與法檢合作［J］.政法論壇，2023（4）：118.

［35］陳瑞華.企業(yè)合規(guī)視野下的暫緩起訴協(xié)議制度［J］.比較法研究，2020（1）：12.

［36］鄭自飛，鄧陜峽.論民營企業(yè)刑事合規(guī)的功能定位與實踐路徑［C］//全面推進依法治國的地方實踐（2021卷）.成都：成都大學法學院，2022：8.

［37］龍宗智.我們需要什么樣的合規(guī)不起訴制度［J］.比較法研究，2023（3）：76.

［38］卞建林.企業(yè)刑事合規(guī)程序的立法思考［J］.政治與法律，2023（6）：27.

［39］周新.單位犯罪附條件不起訴特別程序的立法問題研究［J］.政治與法律，2023（6）：3246.

［40］王俊松.網(wǎng)絡智能時代的刑事立法觀：理念回應與路徑優(yōu)化［J］．重慶郵電大學學報（社會科學版），2022（4）：53.

（編輯：刁勝先）