加强体系建设推进互联网企业自主刑事合规
互联网平台的发展迅速,企业运行过程中处理着海量数据、信息,比传统企业面临更多的刑事风险。专门化的刑事风险评估架构以及常态化刑事合规体系建设,是互联网企业避免刑事风险,前提刑事合规关口的重要发展方向。
互联网企业事前自主刑事合规,是一种日常性的、自发性的、前提刑事合规关口的行为,包括但不限于组织制度、培训指引、分析评估和信息化建设等四个方面。
当前,最高检正在全面推行涉案企业合规改革试点。与此同时,企业合规也成为当前理论界与实务界关注的热点问题,企业刑事合规因其在风险平衡、执法手段、合规标准等方面与民事、行政合规的区别,更是成为“热点中的热点”。而在各类型的企业中,互联网平台的发展迅速,企业运行过程中处理着海量数据、信息,比传统企业面临更多的刑事风险,诸如某大数据风控科技公司侵犯公民个人信息案、某网络科技公司非法获取计算机信息系统数据企业合规典型案例等。立法层面持续通过法律法规强化互联网平台的安全主体责任,如网络安全法、数据安全法、个人信息保护法以及反电信网络诈骗法等;而刑法增设相关罪名更是倒逼平台配合行政监管履行责任,如拒不履行信息网络安全管理义务罪等。以上种种,似乎均意味着与互联网平台企业相关的法律实施后,互联网企业刑事合规将成为一段时期内的重点问题。鼓励更多企业建立事前自主的合规体系,进而通过事前自主合规从实体上阻断企业犯罪,实现事前合规与事中、事后合规的有机衔接更能充分发挥企业合规制度作用。因此,笔者拟以互联网企业自主刑事合规为切入点,以在互联网企业的调研成果为基础,试为互联网企业自主刑事合规体系建设提供智力支持。
互联网企业自主刑事合规的实践样态
互联网企业自主刑事合规体系建设的核心目标,在于防范企业受到刑事处罚等风险,保障公司业务正常运行,这就需要企业满足若干基本要求:其一,有足够的人力和财力投入;其二,设置常设机构,负责将合规计划实施落地;其三,建立良好的培训机制,输出合规意识和指引;其四,建立高效率的举报、警示系统;其五,具备企业内部的调查和处置能力。专门化的刑事风险评估架构以及常态化刑事合规体系建设,是互联网企业避免刑事风险,将刑事合规关口前置的重要发展方向。
据了解,在行业层面鲜有互联网企业设置专门的刑事合规体系架构,更倾向于将刑事风险作为合规审查维度。其中,主要的原因在于:首先,激励不足。与民事、行政合规相比,刑事合规风险发生的概率相对较小,但成本较高,尤其是中小企业进行专门化之“事前合规”的动力不足,部分企业会在遭遇危机后才开始考虑建设刑事合规体系,这样就回到了“事后合规”的逻辑,因此如何激励、倒逼企业更早地关注刑事合规是互联网企业构建事前自主刑事合规体系的前提性、基础性问题。其次,标准模糊。当前互联网企业刑事合规标准不清晰,对于刑事处罚、入罪标准缺乏清晰理解。一方面,是因为新规范、新罪名较多,不仅理论上存在不同观点,司法机关在办理相关案件时也可能存在入罪标准把握不一的情况,因此互联网企业很难甄别。另一方面,互联网企业面对的刑事风险呈现多元化趋势,既有较为传统的商业贿赂、串通投标、侵犯商业秘密等风险,也有具有互联网特征的犯罪风险,如计算机犯罪、数据犯罪、拒不履行信息网络安全管理义务犯罪等,互联网企业面对多元化的刑事风险进而界定较为清晰的合规标准,存在一定难度。最后,企业内部业务配合难。面对民事风险,企业往往进行风险利益层面的平衡,但刑事风险是不能触碰的“禁区”,而企业内部往往尚未改变这一观念。并且,在刑事合规层面,倘若人力存在缺口,个案审查又难免存在遗漏。
互联网企业自主刑事合规的体系建设
以当前试点的涉案企业合规为核心,理论界与实务界更多聚焦于“事中”乃至“事后”的刑事合规。其中,“事中”刑事合规除了涉案企业合规,还包括企业的危机应对和配合执法,即根据案件性质和监管要求,提供合规建设的相关证据,配合司法机关进行相关执法。而“事后”刑事合规包括制定合规计划、合规计划落地以及复盘等,其目的是吸收专业人士参与企业刑事合规计划的制定,并且保证刑事合规计划和合规监管协议落实,在尽最大努力降低对企业生产经营之影响的同时,推进企业刑事合规体系建设和流程优化。有学者将这类企业在执法司法督促下,或在国际组织采取制裁措施的情况下,所进行的合规举措,称为“合规整改”。相应地,笔者所主张的互联网企业事前自主刑事合规,则是一种日常性的、自发性的、前提刑事合规关口的行为,包括但不限于组织制度、培训指引、分析评估和信息化建设等四个方面。
互联网企业自主刑事合规的组织制度。就当前而言,在组织结构层面,建议探索设立刑事法律中台,进而支持应对互联网企业三大刑事风险,即业务侧的自身业务涉刑、防御侧的平台受害风险以及员工侧的廉政和舞弊风险。具体而言,首先由法务、安全、廉政团队分别应对相关风险,而刑事中台对三个团队进行支持。从长远来看,组织结构应从刑事中台发展至专门的合规组织:第一层级是由管理委员会审议批准刑事合规体系建设方案;第二层级是由决策组进行政策制定、重大决策和监督追责;第三层级则是由执行组和应急组具体在业务侧落实合规计划。
互联网企业自主刑事合规的培训指引。培训指引的目标,是通过多维度教育培训体系,提升前端法务团队发现刑事风险的意识。首先,在培训讲座方面,可以通过内部讲师培训和外部监管培训,面向新人、法务和业务人员,有效提升对于互联网企业常见风险和重点风险的识别能力;其次,在专项指引方面,建立常见刑事合规风险提示,进行动态更新,同时细化重点风险类型化提示和操作指引,并提升法务及合作方的合规意识,签订“诚信合规承诺书”,做到“合规留痕”;最后,在趋势提示方面,至少以季度为单位,发布日常评估发现的内部风险趋势和外部司法趋势,进行刑事法律解读和重点风险提示。
互联网企业自主刑事合规的分析评估。分析评估应当由两方面组成,即法务发现风险提起的个案评估和重大事项的强制评估。分析评估包括量化分级、甄别报告、制定方案等内容,进而指引风险处置、效果检验和改进优化等后续步骤。而且,分析评估既贯穿于风险处置、效果检验和改进优化等后续步骤始终,同时又与风险处置、效果检验和改进优化等后续步骤形成闭环,展现出动态评估、全流程评估的局面。
互联网企业自主刑事合规的信息化建设。信息化建设之目的,是适应互联网企业的特点,将合规嵌入业务流程。具体而言,信息化建设包括探索在项目系统、合同系统、财务系统等设置卡点,将刑事合规风险审查作为合规审查的维度之一,并在系统内做到刑事风险提示和合规留痕,进而在后期探索将刑事合规风险审查作为互联网企业制度层面的刚性要求。
作者:谢澍 胡图(作者分别为中国政法大学刑事司法学院副教授、蚂蚁集团安全专家)
来源:检察日报