數據犯罪案件中合規(guī)辯護的類型化分析及其展開

2023-01-21 04:02:37萬旭

西南政法大學學報 2022年5期

萬旭

(成都大學法學院,成都 610106)

數據犯罪,概指與數據相關的犯罪行為。①于改之:《從控制到利用:刑法數據治理的模式轉換》,載《中國社會科學》2022年第7期,第57-59頁。這些犯罪往往涉及企業(yè)行為,其中多數為采“雙罰制”的純正單位犯罪;個別系僅處罰自然人的不純正單位犯罪。正因多涉企業(yè)行為,合規(guī)被視為一種優(yōu)質的數據犯罪治理方式。目前,在刑事合規(guī)相關研究中,“合規(guī)出罪”屬于核心論題。研究者們普遍認為,若無充分的外部壓力或激勵驅動,難以期待企業(yè)主動推進合規(guī)建設,而合規(guī)出罪,正是一種重要的合規(guī)激勵機制。②陳瑞華:《企業(yè)合規(guī)基本理論》(第3版),法律出版社2022年版,第44頁。

從學界的研究來看,刑法學者和刑事訴訟法學者對合規(guī)出罪的研究各有側重。前者多關注合規(guī)的實體出罪功能,即首先討論單位犯罪構造的重塑,解決單位犯罪中個人責任與組織責任的切割評價問題,在此基礎上,進一步討論合規(guī)對涉案企業(yè)刑事責任評價的影響。①李本燦:《刑事合規(guī)的基礎理論》,北京大學出版社2022年版,第81-205頁;趙赤:《企業(yè)刑事合規(guī)視野下的單位犯罪構造及出罪路徑》,載《政法論壇》2022年第5期,第103-115頁。后者多關注合規(guī)的程序出罪功能,主要討論涉罪企業(yè)以接受合規(guī)整改為條件獲取司法機關免除刑事責任的制度可能性,尤其是合規(guī)不起訴的構建路徑。②陳瑞華:《企業(yè)合規(guī)基本理論》(第3版),法律出版社2022年版,第1-28,241-436頁。被許多實務界和理論界人士視為“企業(yè)合規(guī)無罪辯護第一案”的雀巢公司員工侵犯公民個人信息案,就是數據合規(guī)實體出罪的經典案例。③甘肅省蘭州市城關區(qū)人民法院(2016)甘102刑初605號刑事判決書、甘肅省蘭州市中級人民法院(2017)甘01刑終89號刑事裁定書。最高人民檢察院新近發(fā)布的第三批涉案企業(yè)合規(guī)典型案例中,“上海Z公司、陳某某等人非法獲取計算機信息系統(tǒng)數據案”,則是數據合規(guī)程序出罪的典型案例。

當前,有關數據犯罪和刑事合規(guī)的研究,在方法上側重規(guī)范解釋與比較分析,在內容上要么聚焦于立法/制度改革,熱衷于對刑事立法提出破舊立新式的改革建議④趙赤:《企業(yè)刑事合規(guī)視野下的單位犯罪構造及出罪路徑》,載《政法論壇》2022年第5期,第103-115頁。;要么集中于企業(yè)內控視角,熱衷于為企業(yè)數據合規(guī)風險識別與合規(guī)機制建設提供系統(tǒng)性參考方案。⑤毛逸瀟:《數據保護合規(guī)體系研究》,載《國家檢察官學院學報》2022年第2期,第84-100頁。這些研究固然有其積極意義,但由于受切入點選擇的影響,并不能為解決數據犯罪案件的辯護實踐中涉企業(yè)合規(guī)的爭議問題提供充分的理論指導。研究合規(guī)辯護,一定程度上是對圍繞數據犯罪治理和刑事合規(guī)兩大議題之現有研究的整合與拓展。本文將在簡要界定合規(guī)辯護基本含義的基礎上,對數據犯罪案件中的合規(guī)辯護作類型化處理,分析關鍵變量因素對合規(guī)辯護的影響,闡述合規(guī)辯護的操作要點與限度。

一、合規(guī)辯護的基本含義與類型

(一)合規(guī)辯護的基本含義

所謂合規(guī)辯護,指辯方以涉案企業(yè)的合規(guī)情況為基礎展開的辯護活動。一方面,合規(guī)是企業(yè)日常經營管理活動的組成部分,因此,無論純正單位犯罪案件還是不純正單位犯罪案件中,都可能涉及涉案企業(yè)的合規(guī)情況。換言之,從邏輯和實踐情況看,合規(guī)辯護的提出主體不限于單位被告人,自然人被告人也可能將涉案企業(yè)合規(guī)情況作為自身辯護的基礎。另一方面,合規(guī)辯護是在個案場景下實施的,其具體主張受多重主客觀因素的影響,并不局限于無罪或出罪辯護。正因如此,許多在現有研究中被視為存在沖突對立的理論主張,在合規(guī)辯護視域內并無應然的對錯之分,完全可能實現統(tǒng)合。

需要進一步說明的是,這里對“合規(guī)”應作最廣義理解,即涵括陳瑞華教授界定的合規(guī)三層含義。按其歸納,企業(yè)合規(guī)的三重含義涉及:(1)積極層面的合規(guī)制度構建;(2)消極層面的合規(guī)風險治理;(3)鼓勵企業(yè)完善合規(guī)計劃的外部激勵機制。①陳瑞華:《論企業(yè)合規(guī)的性質》,載《浙江工商大學學報》2021年第1期,第48-51頁。今年先后發(fā)布的《中小企業(yè)合規(guī)管理體系有效性評價》團體標準和《中央企業(yè)合規(guī)管理辦法》主要側重于前兩個層面,六部委《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》和《涉案企業(yè)合規(guī)建設、評估和審查辦法(試行)》則側重于第三個層面。合規(guī)辯護可能以其中任一層面的合規(guī)情況為基礎。同時,為了便于后文討論的清晰展開,有必要根據不同標準對合規(guī)辯護類型作初步劃分。

(二)合規(guī)辯護的類型

1.以合規(guī)辯護主體為基準的類型劃分

凡訴訟行為,皆由特定主體實施,且體現特定目標。作為典型的辯方訴訟行為,合規(guī)辯護的主體當然是辯方。在我國理論與實踐中,辯方通常概指被追訴人及其辯護人。實踐中,案件如涉單位行為,辯方構成往往較為復雜,數據犯罪尤其如此。一方面,案件如涉純正單位犯罪,基于《刑法》第31條確立的“雙罰制”,辯方當然同時涉及單位被告人與自然人被告人,其中,自然人被告人還存在“對單位直接負責的主管人員”(簡稱“負責人被告人”)與“其他直接責任人員”(簡稱“職員被告人”)的區(qū)分。另一方面,由于單位“不可能像自然人一樣參與訴訟,必須借助訴訟代表人參與訴訟活動”②最高人民法院研究室編著:《新刑事訴訟法及司法解釋適用解答》,人民法院出版社2013年版,第281頁。,基于《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》(法釋【2021】1號)第336條的規(guī)定,單位被告人的訴訟代表人由法定代表人、實際控制人、主要負責人優(yōu)先擔任,由受托的其他負責人或職工遞補,由受托律師等單位以外人員兜底。實踐中,法定代表人、實際控制人往往是涉案自然人被告人而無法擔任訴訟代表人,受托的其他負責人或職工、單位以外人員大多對企業(yè)生產經營狀況和涉案情況并不直接熟悉,受托人的立場還可能受實際委托人的影響。這使得單位被告人與自然人被告人合規(guī)辯護因個案差異而存在更為復雜的關系。

以辯護主體為基準,以《刑法》第31條為規(guī)范基礎,在數據犯罪案件中,應當區(qū)分企業(yè)被告人的合規(guī)辯護、負責人被告人的合規(guī)辯護與職員被告人的合規(guī)辯護。不同主體的合規(guī)辯護在邏輯、理據和目標上既可能協(xié)同,也可能存在抵牾。在“雀巢公司員工侵犯公民個人信息案”中,涉案企業(yè)與個人的合規(guī)辯護思路就截然不同——涉案企業(yè)力圖基于合規(guī)情況實現對本案中員工個人行為與企業(yè)行為的切割,進而主張本案不屬于單位犯罪;自然人被告人則極力否定本案合規(guī)情況,主張本案屬于單位犯罪。

2.以合規(guī)辯護目標為基準的類型劃分

第一,合規(guī)出罪辯護的細分。合規(guī)出罪辯護包括實體出罪辯護與程序出罪辯護兩種情形。其中,實體出罪辯護,指以涉案企業(yè)的合規(guī)情況為基礎,主張案件不符合實體法規(guī)定的犯罪構成,進而應作無罪處理;程序出罪辯護,指以涉案企業(yè)的合規(guī)情況為基礎,尋求司法機關通過不起訴等方式對單位被告人甚至自然人被告人作無罪處理。有學者將企業(yè)被告人合規(guī)出罪模式歸納為“主觀罪過免除模式、法定管理義務履行模式與合規(guī)考察免責模式”③陳瑞華:《企業(yè)合規(guī)出罪的三種模式》,載《比較法研究》2021年第3期,第71頁。,其中,前兩種就屬于實體出罪,第三種屬于程序出罪。還有學者認為,企業(yè)被告人合規(guī)出罪呈現出“基于刑法原理的個案出罪、基于刑法規(guī)定的當然出罪以及基于起訴策略的不訴出罪”①趙赤:《企業(yè)刑事合規(guī)視野下的單位犯罪構造及出罪路徑》,載《政法論壇》2022年第5期,第104頁。,其中,前兩種也屬于實體出罪,第三種屬于程序出罪。本文認為,合規(guī)出罪辯護不僅適用于企業(yè)被告人,自然人被告人也可能基于涉案企業(yè)的合規(guī)情況而提出無罪辯護。事實上,從最高人民檢察院發(fā)布的三批企業(yè)合規(guī)整改典型案例看,大多數案件中,自然人被告人都因企業(yè)合規(guī)情況而獲得了出罪處理。

第二,合規(guī)罪輕辯護的細分。罪輕辯護屬于典型的實體辯護,大致包括兩種情況,一是基于涉案企業(yè)的合規(guī)情況,主張不構成被指控的重罪,只構成特定輕罪,或者在犯罪后果(如數額)、罪數等方面應作罪輕判定;二是基于涉案企業(yè)的合規(guī)情況,主張存在法定或酌定的從輕、減輕甚至免除處罰情形。②田文昌、陳瑞華:《刑事辯護的中國經驗》(增訂本),北京大學出版社2013年版,第27、28頁?！叭赋补締T工侵犯公民個人信息案”中,自然人被告人通過否定企業(yè)合規(guī)情況而主張本案屬于單位犯罪,顯然并不足以達到無罪辯護效果,而是希望由此實現罪輕辯護。罪輕辯護不如實體出罪辯護那樣受學界關注,盡管細究起來,實體出罪辯護也不是合規(guī)出罪研究的重點,基本上只算合規(guī)程序出罪研究的“配菜”。進言之,當前對刑事合規(guī)的研究,尤其對制度層面合規(guī)激勵機制的關注,基本是在為修改刑法、刑事訴訟法,推進檢察機關主導的合規(guī)不起訴改革作法理論證。按照現有研究刻畫的合規(guī)出罪圖景,實踐中合規(guī)實體出罪的案件屈指可數。“合規(guī)無罪辯護第一案”橫空出世后,至今沒有與其影響力相當的第二、第三案進入公眾視野。其實,在相對微觀的個案操作層面,合規(guī)實體辯護應得到更為認真的關注?？紤]到實體無罪辯護空間狹小這一客觀現實,合規(guī)罪輕辯護應當成為合規(guī)辯護研究的一個關鍵點。

上述以主體和目標為基準對合規(guī)辯護類型的初步劃分,為后文進一步分析各種關鍵變量因素對合規(guī)辯護的影響,不同類型合規(guī)辯護的操作要點,以及合規(guī)辯護的限度/邊界等問題奠定了基礎。

二、數據犯罪案件中合規(guī)辯護的影響因素分析

在個案情境下,由于各種變量因素的影響,基于主體/目標而初步界定的訴訟行為會變得更為具體、復雜。當前,有關數據犯罪和刑事合規(guī)的研究與實踐表明,涉罪特征、單位規(guī)模、合規(guī)場景等變量因素對于相關論題研究具有重要意義。對于合規(guī)辯護,無疑也是如此。

(一)涉罪特征對合規(guī)辯護的影響

1.是否為純正單位犯罪對合規(guī)辯護的影響

我國刑法分則存在“僅規(guī)定處罰直接負責的主管人員與其他直接責任人員”的情況。由于《刑法》第31條對單位犯罪實行“雙罰制”,且從法理上講,“判斷一個行為是否構成犯罪,并不是只看法條對行為主體的表述,而是要看刑法是否針對該行為主體規(guī)定了刑罰”③張明楷:《刑法學》(第6版),法律出版社2021年版,第177頁。,因此,如將刑法分則目前對單位主體規(guī)定法定刑的犯罪稱為純正單位犯罪,則僅規(guī)定處罰直接負責的主管人員與其他直接責任人員的犯罪就屬于不純正單位犯罪。①理論上,也有意見認為刑法分則只要將單位表述為行為主體,該罪就屬于單位犯罪,若分則不處罰單位,則不過屬于“雙罰制”的例外。本文區(qū)分純正/不純正單位犯罪,主要是考慮到這一區(qū)分在實踐中會影響辯方的實際構成。在數據犯罪領域,危險作業(yè)罪即為不純正單位犯罪;違規(guī)披露、不披露重要信息罪,編造并傳播證券、期貨交易虛假信息罪,侵犯公民個人信息罪,非法侵入計算機信息系統(tǒng)罪,非法獲取計算機信息系統(tǒng)數據、非法控制信息計算機信息系統(tǒng)罪,提供侵入、非法控制計算機信息系統(tǒng)程序、工具罪,拒不履行信息網絡安全管理義務罪,幫助信息網絡犯罪活動罪等為純正單位犯罪。

顯然,是否為純正單位犯罪,會影響到個案中的“辯方構成”。涉及純正單位犯罪的案件中,同時存在單位被告人和自然人被告人,合規(guī)情況是否足以支撐企業(yè)責任與員工個人責任的切割會成為不同被告合規(guī)辯護的重大分歧點。涉及不純正單位犯罪的案件中,僅存在自然人被告人,不同被告人合規(guī)辯護的緊張關系相對簡化。當然,在后一類案件中,仍然存在負責人被告人與職員被告人的分化,兩者所提合規(guī)辯護仍然可能在邏輯和目標上出現沖突。

2.是否為系統(tǒng)性單位犯罪對合規(guī)辯護的影響

根據犯罪行為是否由單位通過集體決策或者授意實施,可區(qū)分系統(tǒng)性單位犯罪與非系統(tǒng)性單位犯罪?，F有研究關注這一區(qū)分對合規(guī)出罪的影響,認為對于系統(tǒng)性單位犯罪,基本沒有適用合規(guī)出罪的空間,僅對輕微系統(tǒng)性單位犯罪可能適用程序性合規(guī)出罪;對非系統(tǒng)性單位犯罪,則可能建立較為全面的合規(guī)出罪機制。②陳瑞華:《企業(yè)合規(guī)出罪的三種模式》,載《比較法研究》2021年第3期,第72頁。

就合規(guī)辯護而言,在系統(tǒng)性單位犯罪案件中,實體出罪辯護基本沒有空間,程序出罪辯護則需通過額外論證來開拓空間。當然,罪輕辯護仍有施展空間,至少可以主張單位合規(guī)情況為單位被告人和負責人被告人主觀惡性較小的客觀表征。相比之下,在非系統(tǒng)性單位范圍案件中,合規(guī)實體辯護和程序辯護的空間都更寬裕。

3.是否為失職性犯罪對合規(guī)辯護的影響

失職性犯罪將“拒不履行法律或行政法規(guī)所規(guī)定的管理義務”作為單位承擔刑事責任的前提條件。在數據犯罪中,拒不履行信息網絡安全管理義務罪就屬于典型的失職性犯罪?，F有研究認為,在涉失職性犯罪案件中,單位可以“通過建立或者實施合規(guī)管理體系證明自己履行了法律規(guī)定的監(jiān)督和管理義務,從而免除自身的刑事責任,達成合規(guī)出罪的效果”。③陳瑞華:《企業(yè)合規(guī)出罪的三種模式》,載《比較法研究》2021年第3期,第77頁。顯然,由于合規(guī)與否直接影響分則明文規(guī)定的犯罪基本構成要件之判斷,合規(guī)實體辯護在涉失職性犯罪案件中大有可為。相比之下,若案件所涉非失職性犯罪,合規(guī)在文義上與分則明文規(guī)定的基本構成要件關聯(lián)性偏弱,實體辯護的難度將更大,實際效果更具不確定性。

(二)涉案企業(yè)概況對合規(guī)辯護的影響

1.涉案企業(yè)規(guī)模對合規(guī)辯護的影響

刑法上對單位犯罪的處罰,有同一視理論與組織模式理論之區(qū)分,前者由特定自然人的犯罪推導單位責任,后者則認可單位責任與個人責任的切割認定。①張明楷:《刑法學》(第6版),法律出版社2021年版,第178頁。有學者認為,同一視理論導致企業(yè)合規(guī)出罪面臨障礙,因而積極倡導組織模式理論,甚而建議對刑法總則有關單位犯罪的規(guī)定作針對性修改。②趙赤:《企業(yè)刑事合規(guī)視野下的單位犯罪構造及出罪路徑》,載《政法論壇》2022年第5期,第111頁。但是,從實踐情況看,同一視理論與組織模式理論各自優(yōu)勢/弊端的呈現存在明顯的個案差異,特別是受到涉案單位實際規(guī)模的直接影響。

涉案企業(yè)規(guī)模對合規(guī)(實體)出罪辯護及罪輕辯護的影響體現在,一方面,如果涉案企業(yè)規(guī)模較大,其內部組織結構可能更為復雜且去中心化,進而使得同一視理論的弊端凸顯,組織模式理論的相對合理性提升。此時,單位被告人和負責人被告人可以運用組織模式理論,通過合規(guī)辯護尋求自身與職員被告人的責任切割,進而尋求罪輕甚至出罪的實體結果。對于職員被告人而言,合規(guī)辯護的進路頗為不同,基本上只能通過否定合規(guī)計劃的有效性來推翻自身與單位被告人、負責人被告人的責任切割推定,進而尋求罪輕辯護。另一方面,如涉案單位規(guī)模較小,其內部組織結構可能較為簡約且集中,組織模式理論未必妥適,而同一視理論則更為恰當。此時,合規(guī)計劃不具備對單位與職員責任的切割效果,無論單位被告人、負責人被告人還是職員被告人,提出合規(guī)辯護時,若尋求出罪,則思路和理據基本一致;只有在個別被告欲作罪輕辯護時,才可能出現分歧。

涉案企業(yè)規(guī)模對合規(guī)(程序)出罪辯護的影響體現在,一般認為,合規(guī)程序出罪主要適用于大型企業(yè)——如涉案企業(yè)規(guī)模較大,涉及非系統(tǒng)性單位犯罪的可能性更大,單位被告人、負責人被告人與職員被告人的責任更容易切割,單位本身也更有能力承擔合規(guī)成本,對于這類大型企業(yè),企業(yè)合規(guī)不起訴的適用,可以加強企業(yè)的內部監(jiān)管,克服外部監(jiān)管失靈的難題,有效地發(fā)揮預防犯罪的效果。③陳瑞華:《企業(yè)合規(guī)出罪的三種模式》,載《比較法研究》2021年第3期,第87-88頁。相比之下,中小微企業(yè)更可能發(fā)生系統(tǒng)性單位犯罪,因而合規(guī)程序出罪的適用空間有限,宜限定在情節(jié)輕微案件范圍內。

從數據犯罪案件中合規(guī)辯護的角度看,前述觀點應作局部調整,將規(guī)模變量的界限設定在大中型企業(yè)與小微型企業(yè)之間。這是因為,我國中小微企業(yè)劃型區(qū)間跨度較大,接近劃型標準上限的中型企業(yè)可能與小微企業(yè)在組織架構和規(guī)模體量上存在巨大差異。數據犯罪案件的涉案企業(yè)多為從事信息傳輸業(yè)務或者軟件和信息技術服務的互聯(lián)網科技企業(yè),按照2011年《中小微企業(yè)劃型標準規(guī)定》,中型軟件和信息技術服務業(yè)企業(yè)的劃型標準為從業(yè)人員100人以上300人以下,或者營業(yè)收入為1000萬以上10000萬以下,微型企業(yè)的劃型標準為從業(yè)人員10人以下或者營業(yè)收入50萬以下。如按科技型中小企業(yè)的認定條件(職工總數不超過500人、年銷售收入不超過2億元、資產總額不超過2億元),則在組織架構和規(guī)模體量上與微型企業(yè)的差距更大。

顯然,那些接近劃型標準上限的中型互聯(lián)網科技企業(yè),在內部治理結構和外部經營情況的復雜性方面,很可能已接近甚至超過部分大型企業(yè),很可能具備將所涉犯罪評價為非系統(tǒng)性單位犯罪的基礎條件。最高人民檢察院新近發(fā)布的“上海Z公司、陳某某等人非法獲取計算機信息系統(tǒng)數據案”中,涉案企業(yè)從營收看屬于中型企業(yè),人數規(guī)模上達到大型企業(yè)標準,總體規(guī)模介于大型企業(yè)與中型企業(yè)之間。這也反映出中型企業(yè)適用合規(guī)程序出罪的實際可行性。

2.涉案企業(yè)的市場/行業(yè)/社會影響力對合規(guī)辯護的影響

從最高人民檢察院發(fā)布的三批涉案企業(yè)合規(guī)整改典型案例看,涉案企業(yè)的市場/行業(yè)/社會影響力,是啟動合規(guī)整改的重要考量因素之一。從邏輯與法理上講,涉案企業(yè)的社會/市場影響力越大,對其科以嚴厲刑事制裁的負面外部性就越強,相應地,對其準予合規(guī)整改的正外部性則愈高。“上海Z公司、陳某某等人非法獲取計算機信息系統(tǒng)數據案”中,基本案情部分特別強調了Z公司“現有員工1000余人,年納稅總額1000余萬元,已幫助2萬余家商戶完成數字化轉型,擁有計算機軟件著作權10余件,2020年被評定為高新技術企業(yè)”,顯然意在點明涉案企業(yè)的社會/市場影響力。

需要注意的是,涉案企業(yè)的市場/行業(yè)/社會影響力與其規(guī)模并無必然關聯(lián)。雖然大型企業(yè)往往具有較高的市場/行業(yè)/社會影響力,但是,中小型企業(yè)同樣可能具有較大影響力。從合規(guī)辯護角度看,這意味著,在涉案企業(yè)為中小企業(yè)的情況下,被告人仍可通過證明涉案企業(yè)影響力來拓寬合規(guī)辯護空間。

(三)數據合規(guī)場景對合規(guī)辯護的影響

1.事前合規(guī)與事中合規(guī)對合規(guī)辯護的影響

作為一種典型的專項合規(guī),數據合規(guī)可作事前、事中、事后的場景區(qū)分,前兩個場景屬于日常合規(guī)管理范疇,第三個場景屬于合規(guī)整改范疇。

理想狀態(tài)下的事前數據合規(guī),要求企業(yè)建立起“防控數據合規(guī)風險的一套公司治理體系,包括數據合規(guī)政策和數據合規(guī)管理流程兩大要素……合規(guī)政策規(guī)定了專項合規(guī)的規(guī)范、標準和守則……合規(guī)管理流程則是圍繞合規(guī)政策建立的一系列管理措施。”①毛逸瀟:《數據保護合規(guī)體系研究》,載《國家檢察官學院學報》2022年第2期,第86頁。若作寬泛把握,則反映出企業(yè)在事發(fā)前經營過程中遵守法律規(guī)范、督促員工、第三方等依法依規(guī)活動的任何行為、事件,皆可視為事前合規(guī)的表現。事中合規(guī),則是在事前合規(guī)基礎上,側重于合規(guī)風險的預判、監(jiān)控、識別和處置。

作為日常合規(guī)管理基本內容的事前與事中合規(guī),是提出合規(guī)(實體)出罪與罪輕辯護的事實基礎。一方面,事前數據合規(guī)建設,不僅直觀地反映出被告人對涉案違法犯罪行為的否定態(tài)度,而且能直接影響對是否符合個案犯罪構成要件的判斷;另一方面,事中合規(guī)情況,能夠有效證實事前合規(guī)的真誠性與有效性,換言之,一旦存在對合規(guī)風險的放任、遮蔽,就會暴露事前合規(guī)建設的虛偽性。

總而言之,事前與事中合規(guī)相結合,才能較為全面、客觀地反映日常合規(guī)管理的有效性,這無疑是決定實體性合規(guī)辯護成敗的關鍵?！叭赋补締T工侵犯公民個人信息案”被部分學者和實務人士視為“企業(yè)合規(guī)無罪辯護第一案”,正是因為在他們看來,該案中雀巢公司提供的證據材料充分說明了公司的事前與事中合規(guī)情況,說服法院將公司責任與員工責任切割開來。但也有不同意見認為,本案判決書所列明的證據材料,多為紙面上的公司政策和員工行為規(guī)范,并不足以證明涉案企業(yè)日常合規(guī)管理的有效性,因此,并非企業(yè)合規(guī)實體辯護的典范案例。①李本燦:《刑事合規(guī)的制度史考察:以美國法為切入》,載《上海政法學院學報》2021年第6期,第54頁。

2.事后合規(guī)對合規(guī)辯護的影響

事后合規(guī),有時泛指企業(yè)因涉嫌違法、違規(guī)或犯罪,在行政監(jiān)管、刑事追訴等壓力下,針對被指出的合規(guī)漏洞、隱患,有針對性地采取糾錯和補救措施。從合規(guī)辯護角度,應將事后數據合規(guī)限定為企業(yè)因涉嫌犯罪,為應對追訴而采取的合規(guī)整改措施。以此為界,基于行政監(jiān)管等非刑事壓力而進行的合規(guī)整改,就都屬于事前合規(guī)(若意在完善合規(guī)制度)或事中合規(guī)(若意在處置合規(guī)風險)。

事后合規(guī)與合規(guī)(程序)出罪辯護相聯(lián)系。我國刑事涉案企業(yè)合規(guī)整改涉及“認罪認罰—補救挽損—查處責任人—評估違法犯罪事件—發(fā)現制度漏洞—確定糾錯措施—合規(guī)體系化建設”等基本環(huán)節(jié)和要素。②陳瑞華:《有效合規(guī)管理的兩種模式》,載《法制與社會發(fā)展》2022年第1期,第18-21頁。由于認罪認罰是啟動合規(guī)整改的必要條件,被告人一旦以事后合規(guī)為基礎提出辯護,實質就等于放棄了實體無罪辯護。當然,如合規(guī)整改最終未能達成出罪結果,案件進入審判后,被告人還是有機會基于合規(guī)整改情況提出實體罪輕辯護。

值得注意的是,檢察主導是當前涉案企業(yè)合規(guī)改革的鮮明特征,絕大多數涉案企業(yè)的事后合規(guī)整改都是檢察機關職權引導、干預、推動的結果。③董坤:《論企業(yè)合規(guī)檢察主導的中國路徑》,載《政法論壇》2022年第1期,第117-131頁。除去認罪認罰必須由被告人“親自”作出外,合規(guī)整改的其他環(huán)節(jié)皆由檢察機關把控。盡管辯方也會提交《適用刑事合規(guī)不起訴申請書》,但其對合規(guī)整改過程的影響力實際上是非常形式化的。④例如,“上海Z公司、陳某某等人非法獲取計算機信息系統(tǒng)數據案”中,盡管“陳某某等14名涉案人員均認罪認罰,積極賠償E公司經濟損失并取得諒解,Z公司合規(guī)整改意愿強烈,提交了《適用刑事合規(guī)不起訴申請書》”,但不能忽視的是,本案偵查之初,檢察院就已經應公安機關邀請介入偵查,被告人的積極賠償也是在檢察機關和公安機關督促下進行。雖然不應簡單否定檢察機關在涉案企業(yè)合規(guī)整改中的能動形象,但是,既然刑事合規(guī)被視為一種激勵機制,那么,從邏輯和法理上講,由辯方自行判斷是否愿意、有無條件通過合規(guī)整改獲得寬緩處理,進而自行決定是否通過申請來啟動合規(guī)整改,或許是更為妥當的。

3.合規(guī)完備程度對合規(guī)辯護的影響

從完備程度切入,可對數據合規(guī)作范式合規(guī)與有限合規(guī)的區(qū)分。⑤對范式合規(guī)/有限(簡化)合規(guī)的區(qū)分,參見陳瑞華:《企業(yè)有效合規(guī)整改的基本思路》,載《政法論壇》2022年第1期,第97頁;李玉華:《企業(yè)合規(guī)與刑事訴訟立法》,載《政法論壇》2022年第5期,第98頁。所謂范式合規(guī),是指在要素上與全面合規(guī)計劃基本一致,會涉及數據合規(guī)管理體系、數據風險識別、數據風險評估與處置、數據合規(guī)運行與保障等諸多方面。范式合規(guī)計劃意味著較長的合規(guī)建設周期與較高的合規(guī)建設成本。相比之下,有限合規(guī)可能將合規(guī)建設的精力集中在個別環(huán)節(jié),因此,建設周期較短、成本投入相對較小。

從合規(guī)辯護角度看,有效的范式合規(guī)建設,無疑能為合規(guī)辯護特別是實體出罪和罪輕辯護提供最為堅實的事實基礎。但其中也有風險,因為范式合規(guī)更容易出現空洞化、紙面化、虛置化,如有不慎,反而會削弱合規(guī)辯護的效果。相比之下,有限合規(guī)因要素不全,對實體辯護的支撐可能有限,但是對程序出罪辯護則有重要意義。事實上,最高人民檢察院發(fā)布的三批典型案例中,大多數的合規(guī)整改計劃都屬于周期短、有側重的有限合規(guī)。“上海Z公司、陳某某等人非法獲取計算機信息系統(tǒng)數據案”中,在檢察機關主導下,Z公司制定的數據合規(guī)專項整改計劃,僅有三個月整改期,屬于典型的有限合規(guī)計劃。

三、數據犯罪案件中合規(guī)辯護的具體展開

合規(guī)辯護要求辯方基于全部在案證據,提出與控方敘事相比更具競爭力的,以涉案企業(yè)合規(guī)情況為關鍵情節(jié)的辯方敘事。具有競爭力的合規(guī)辯護敘事,既要立足于特定辯護主體的辯護目標追求,也要充分整合涉罪特征、企業(yè)概況、合規(guī)場景等關鍵變量。

(一)單位被告人合規(guī)辯護的具體展開

1.評估企業(yè)概況

單位被告人準備合規(guī)辯護,首先要評估自身概況。一方面,要評估自身規(guī)模。如企業(yè)規(guī)模較大,可結合自身內部管理結構、外在經營活動的具體狀況以及具體涉罪情節(jié),斟酌有無可能尋求自身責任與自然人被告人責任的切割。如有可能,則可考慮尋求合規(guī)(實體)出罪;如缺乏把握,則可考慮尋求罪輕辯護或者程序出罪。另一方面,要評估自身市場/行業(yè)/社會影響力,進而分析自身尋求無罪或罪輕辯護的空間與把握。

2.評估自然人被告人情況

單位被告人要想與自然人被告人實現責任切割,一個重要前提是自然人被告人不限于對企業(yè)直接負責的主管人員。進言之,如自然人被告人僅為負責人被告人,以合規(guī)情況為基礎,實現責任切割,追求實體出罪的辯護思路基本難以實現;此時,單位被告人基本只能考慮以合規(guī)為基礎,尋求罪輕辯護,或者為程序出罪作準備。如自然人被告人有職員被告人,單位尋求合規(guī)實體出罪的空間才相對寬裕。

3.評估是否為非系統(tǒng)性犯罪

基于對企業(yè)概況、自然人被告人地位的評估,結合具體涉罪情節(jié),分析所涉是否為系統(tǒng)性犯罪。若非系統(tǒng)性犯罪,且具備尋求合規(guī)實體出罪空間的,可進一步評估是否采取“主觀責任免除”或“法定管理義務”的辯護路線。

“主觀責任免除”的辯護路線要求單位被告人基于自身合規(guī)管理體系的建立和實施情況,向司法機關證明企業(yè)對職員犯罪活動不存在主觀上的故意或者過失,因而對職員行為不承擔刑事責任。

“法定管理義務履行”的辯護路線主要針對涉拒不履行信息網絡安全管理義務罪的案件,要求企業(yè)證明自身合規(guī)管理事實,進而論證自身已經履行了信息網絡安全管理義務,從而主張自身不存在失職或不作為的情況,不應對具體危害后果負刑事責任。

若為系統(tǒng)性犯罪,實體無罪的辯護路徑基本堵塞,前列兩種無罪辯護思路需調整為“主觀責任減輕”或“履行義務減責”,也就是尋求合規(guī)罪輕辯護,或者為程序出罪做準備。

4.評估事前合規(guī)與事中合規(guī)情況

對于單位被告人,合規(guī)辯護具有積極辯護的意味,能否成功,歸根結底取決于事前與事中合規(guī)的客觀情況,這里面蘊含一定的證明負擔。只有在具備足夠充分的證據條件來證明事前與事中合規(guī)情況,進而說服司法機關確認企業(yè)日常合規(guī)管理有效性的基礎上,合規(guī)辯護才可能成功。相應地,如果日常合規(guī)管理確實存在不足,難以支撐合規(guī)實體出罪辯護,就只能考慮轉向罪輕辯護,或者為程序出罪做準備。

5.評估是否尋求事后合規(guī)整改

經過前序評估后,基本預判無法提出合規(guī)實體出罪辯護的情況下,單位被告人需要審慎斟酌是否尋求事后合規(guī)整改,進而爭取通過不起訴而實現合規(guī)程序出罪。這一決斷的作出,也意味著單位被告人放棄了實體罪輕辯護的機會——原本屬于罪輕辯護的敘事轉換為對單位被告人符合適用合規(guī)整改條件的論證。在考慮是否尋求事后合規(guī)整改,也要進一步評估企業(yè)概況,分析企業(yè)是否具備在短期內落實有限專項合規(guī)計劃的能力。

(二)自然人被告人合規(guī)辯護的具體展開

1.評估自身地位

自然人被告人評估自身地位,既要基于在涉案單位的職位、職能,也要結合涉罪特征。例如,若自然人被告人在單位中擔任數據合規(guī)師,則其在涉狹義信息網絡犯罪或計算機犯罪案件中,為單位犯罪中的主管人員;在涉網絡化傳統(tǒng)犯罪案件中,為單位犯罪中的其他直接責任人。如自我評估為負責人被告人,合規(guī)辯護的決策邏輯就與單位被告人相近;如自我評估為職員被告人,合規(guī)辯護的決策邏輯則可能與單位被告人和負責人被告人發(fā)生沖突。①敬力嘉:《單位犯罪刑事歸責中數據合規(guī)師的作為義務》,載《北方法學》2021年第6期,第104頁。

2.評估涉案企業(yè)概況

如涉案企業(yè)具備基于合規(guī)情況切割企業(yè)與個人責任的基礎條件,自然人被告人就需要預判自己處于歸責一方還是減免責任一方,進而決定自己的辯護策略。一般而言,負責人被告人屬于前者,職員被告人屬于后者。其中,負責人被告人可嘗試通過證明涉案企業(yè)合規(guī)情況,推進實體出罪辯護;職員被告人則需通過駁斥、否定涉案企業(yè)合規(guī)有效性,推翻基于合規(guī)的責任切割推定,進而尋求罪輕甚至實體出罪。

3.評估是否為系統(tǒng)性單位犯罪

若非系統(tǒng)性單位犯罪,且具備尋求合規(guī)實體出罪空間,則負責人被告人可以考慮與單位被告人協(xié)同采取“主觀責任免除”或者“法定管理義務履行”的辯護思路。值得注意的是,單位被告人在提出“主觀責任免除”或者“法定管理義務履行”辯護時,往往依托企業(yè)合規(guī)政策和實施流程建設情況,而負責人被告人則更多依托個人參與涉案企業(yè)經營管理決策中的實際表現。對于職員被告人,由于其在責任切割時處于被歸責一方,前列辯護思路就無法支撐其出罪主張,而最多只能作為實體罪輕辯護的理據。若為系統(tǒng)性犯罪,負責人被告人與職員被告人均只能基于“主觀責任減輕”或者“履行義務減責”,尋求合規(guī)罪輕辯護,或者與單位被告人協(xié)同推進程序出罪。

4.評估事前合規(guī)與事中合規(guī)情況

無論負責人還是職員,都會直接或間接參與企業(yè)合規(guī)計劃的建設與實施。對于自然人被告人,涉案企業(yè)事前合規(guī)與事中合規(guī)的客觀情況,同樣是其合規(guī)辯護能否成功的基礎。值得注意的是,在自然人被告人立場上,要對企業(yè)合規(guī)狀況與個人合規(guī)行為作適度區(qū)分。一方面,即便企業(yè)事前合規(guī)建設情況不理想,負責人被告人個人也可能在事前提議或推動過合規(guī)建設,職員被告人個人同樣可能在所處部門或個人職權范圍內有局部合規(guī)行為;另一方面,即便企業(yè)缺乏事中合規(guī)應對,導致合規(guī)計劃在整體上呈現出紙面化、虛置化特征,被告人個人也可能有針對個別合規(guī)風險的處置行為。

基于個人合規(guī)行為的相對獨立性,自然人被告人的合規(guī)辯護比企業(yè)被告人更為靈活,在單位被告人因日常合規(guī)管理存在不足難以進行合規(guī)實體辯護時,自然人被告人仍有機會基于個人合規(guī)行為與企業(yè)合規(guī)情況的對比而提出罪輕辯護。

四、數據犯罪案件中合規(guī)辯護的限度

與其他任何辯方敘事一樣,合規(guī)辯護能否取得預期效果,根本上取決于這種敘事能否說服法官——在刑事訴訟語境下,這至少要求說服法官使其對控方敘事產生難以排除的合理懷疑。由于以涉案企業(yè)合規(guī)情況為基礎,涉案企業(yè)合規(guī)有效性以及擬獲取的合規(guī)激勵之正當性,自然就構筑了合規(guī)辯護的邊界。

(一)涉案企業(yè)合規(guī)有效性對合規(guī)辯護的限制

合規(guī)計劃包含了管理者可用于執(zhí)行各種內在或外部目標的豐富工具。然而,干涉性過強的合規(guī)計劃會驅使員工做出不道德行為,并且使得企業(yè)失去它們原本籍以避免系統(tǒng)性不當行為的吹哨聲。①See J.S.Belson, Compliance as Management, in: Benjamin van Rooij & D. Daniel Sokol(eds.),The Cambridge Handbook of Compliance, Cambrdige University Press, 2021, pp.107.數據合規(guī)領域自不例外,在法律、政策、市場競爭的外部壓力和企業(yè)自身發(fā)展的內在動力驅使下,任何單位在從事涉數據業(yè)務時都特別注意自主合規(guī)建設,至少在形式上具備基本的數據合規(guī)體系?？墒?形式完備的背面可能是實質無效,“試想,哪個公司的章程或員工行為守則中允許員工實施侵害公民個人信息、商業(yè)賄賂等違法犯罪行為?”②李本燦:《刑事合規(guī)的基礎理論》,北京大學出版社2022年版,第145頁。這背后,實質是數據合規(guī)有效性的追問。

目前,學界對合規(guī)有效性的討論,主要采取的是比較分析的路徑,側重對合規(guī)計劃基本框架、必備要素的構建與闡釋。一般認為,合規(guī)計劃有效性的必備要素涉及合規(guī)框架的構建、合規(guī)決策層的明確、合規(guī)培訓與合規(guī)文化的形成、合規(guī)計劃融入企業(yè)運行、合規(guī)獎勵與懲罰機制、合規(guī)計劃的持續(xù)完善等。③孔令勇:《刑事合規(guī)與認罪認罰從寬的融合》,載《中外法學》2022年第3期,第777頁。今年先后發(fā)布的《中小企業(yè)合規(guī)管理體系有效性評價》團體標準和《中央企業(yè)合規(guī)管理辦法》都在這些方面對合規(guī)計劃有效性提供了參考標準?！傲课薄蛾P于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》和《涉案企業(yè)合規(guī)建設、評估和審查辦法(試行)》的部分規(guī)定,則為有效事后合規(guī)提供了參考標準。這些標準可謂有效合規(guī)計劃的通用、基礎性要素。

數據合規(guī)作為一種專項合規(guī)計劃,當然也涵括這些基本要素,同時還涉及若干專門性要求。例如,在上海市楊浦區(qū)人民檢察院聯(lián)合上海市信息服務行業(yè)協(xié)會、市數據合規(guī)與安全產業(yè)發(fā)展專家工作組、區(qū)工商聯(lián)合會制定發(fā)布的《企業(yè)數據合規(guī)指引》中,鼓勵各類企業(yè)設置專門的數據合規(guī)管理部門,對數據風險識別中自動化工具、軟件開發(fā)工具包的使用,以及個人信息的處理規(guī)則等提出了頗為細致的要求。

涉案企業(yè)合規(guī)情況是合規(guī)辯護敘事的關鍵情節(jié)。合規(guī)有效性可能從涵蓋性與融貫性角度影響合規(guī)辯護的敘事質量。①施鵬鵬、羅禹昆:《面向刑事實務的證據分析方法》,載《檢察日報》2022年6月23日,第003版。一方面,合規(guī)辯護敘事越能容納全部在案證據,就越具有說服力,越可能達成預期目標。一旦企業(yè)合規(guī)情況與合規(guī)辯護敘事所描述的情況存在差距,辯方如果不愿調整、降低辯護目標,就不得不在敘事中選擇性地回避一些反映客觀合規(guī)情況的證據事實。毫無疑問,這很容易招來控方的攻擊,降低辯護敘事對審判方的說服力,增加辯護失敗的風險。另一方面,如果企業(yè)合規(guī)情況不佳,合規(guī)辯護敘事就可能存在內在矛盾,在一些關鍵節(jié)點或重要細節(jié)上出現違和感,或者在敘事結構上出現缺口。

合規(guī)辯護必須尊重涉案企業(yè)合規(guī)的客觀情況。合規(guī)實體出罪辯護只能以有效的日常合規(guī)管理計劃為基礎。如果合規(guī)客觀情況達不到有效標準,就只能尋求罪輕辯護,或者為程序出罪辯護作準備。否則,背離客觀事實,缺乏說服力的辯護敘事,反而會凸顯單位事前合規(guī)與事中合規(guī)的紙面化甚至虛偽性。

(二)合規(guī)激勵正當性對合規(guī)辯護的限制

刑事合規(guī)的激勵機制涉及實體與程序兩個維度,前者認可以通過有效的日常管理合規(guī)阻卻犯罪的成立,后者認可通過有效的合規(guī)整改獲得實體法和程序法上的寬緩處理。合規(guī)激勵的正當性問題,主要涉及合規(guī)激勵的程序維度。隨著涉案企業(yè)合規(guī)改革的推進,已有學者開始反思刑事合規(guī)激勵對象的泛化現象,指出“政策推動下的刑事合規(guī),尚缺乏統(tǒng)一的規(guī)范指導,導致刑事合規(guī)激勵本身存在是否合格的悖論”,呼吁“在啟動合規(guī)考察之前需要一個實體上的篩選,對于涉案企業(yè)被納入合規(guī)考察對象,應有明確具體的使用標準和條件”。②孫國祥:《刑事合規(guī)激勵對象的理論反思》,載《政法論壇》2022年第5期,第80頁。

可以預見的是,一旦檢察機關對涉案企業(yè)合規(guī)整改的干預軟化,合規(guī)整改實踐就將由政策推動向當事人推動轉型,涉案企業(yè)和個人的合規(guī)出罪辯護將逐步成為合規(guī)整改的主要動因。相應地,涉案企業(yè)和個人作為申請方,需要對自身作為合規(guī)整改(合規(guī)激勵對象)的適格性(正當性)作必要的論證說明。否則,可能無法說服司法機關啟動合規(guī)整改程序。

新近研究認為,除去《關于建立涉案企業(yè)合規(guī)第三方監(jiān)督評估機制的指導意見(試行)》第4條規(guī)定的三項形式條件,合規(guī)激勵對象正當性的確認還須滿足三方面實質性條件:其一,合規(guī)整改的前置性條件,包括企業(yè)實施的犯罪應受刑罰處罰,涉罪企業(yè)的犯罪與企業(yè)經營管理關聯(lián),對涉罪企業(yè)無法適用相對不起訴;其二,合規(guī)整改的可期待性,包括是否認罪,是否慣常違法,是否退繳退賠違法所得,是否積極修復法益損害,是否提供可行的合規(guī)整改計劃等;其三,合規(guī)激勵的合目的性,涉及企業(yè)犯罪本身的嚴重程度,企業(yè)能否正常經營,企業(yè)的規(guī)模,可能的社會成本等。其中許多考量因素,都是被告人在提出合規(guī)程序出罪辯護時有能力且有必要主動加以說明的。相應地,如果無法作出必要的論證說明,或者司法機關經審查否定了涉案單位作為合規(guī)整改對象的適格性,合規(guī)程序出罪辯護就將落空。

最后,需要說明的是,本文以數據犯罪案件為語境,對合規(guī)辯護的類型、影響因素、操作要點和限度的研究是比較初步的。比如,合規(guī)辯護類型有可能基于具體罪名的差異,或者基于對數據合規(guī)計劃的細化而作更為精細的劃分;再如,對合規(guī)辯護操作要點的解析還可以引入證據分析的視角而作更為深入的挖掘;又如,合規(guī)辯護的邊界還應考慮罪刑法定、程序法定、證據裁判等刑事實體法、程序法、證據法基本原則的限定。同時,合規(guī)辯護在我國刑事司法語境下的實效與前景,還須留待改革實踐去檢驗與回答。