师 索

一、犯罪控制合规性建构的提出

规则制定者往往具有一种假设：规范体系建立后就会自动得到遵守。合规（compliance）理论源自于对“规范自觉遵守假设”的驳斥。社会法律学者认为，即便强化监管也不能确保规范体系得到更好的遵守。〔1〕Tola Amodu,The determinants of compliance with laws and regulations with special reference to health and safety :A literature review,Research Report(No.RR638),2008,p.1.合规所包含的遵从、遵循之意，通过对遵守义务的有效控制，将内在制度以某种标准为参考依据而予以设定，为管理、执法、监管创设一套对规范体系的检验标准。由于合规理论在较多学科领域中得到应用，不同监管机构以及受监管机构对合规作出不同解释，目前尚未形成统一定义。〔2〕近年来，合规一词的使用范围逐渐从商经管理向执法司法以及反腐败领域演进，但仍然习惯于将本体概念放置在较为局限的企业运营环境下解读。比如《中央企业合规管理工作指引》第三条规定，合规是指企业对经营管理中所有适用规范的普遍遵循，主要包括法律法规、党内法规、监管要求、商业惯例、行业准则、道德规范等外部合规要求和企业内部规章制度。合规所衍生的法律关系、管理关系、社会关系可在更广泛的格局中对其他制度进行辐射，进而将合规关系整合为实现制度改善功能的重要工具。合规具有呈现出个人或组织由外至内的风险控制特性，不仅有预防越轨、犯罪、腐败等功能，也可根据制度本体的抽象程度确定合规的层级需求。所以合规既可常态化地展示工具意义，其本身也是重要的制度建构方式。

犯罪学在很长一段时间里，围绕犯罪现象展开研究，重客观叙事而轻主观建构，这与犯罪学研究较少出现争议与商榷有关。刑法学、刑事诉讼法学同犯罪学相比，最大的不同之处就在于学科的原则性问题，比如刑法中的罪刑法定原则，刑事诉讼法的无罪推定原则等。当抽象的原则性与实践中的复杂情形碰撞时就会产生新问题。任何时期对原则的解读都不会过时，反而会历久弥新、越品越香。犯罪学最重要的犯罪控制领域并没有原则性规定，不能围绕原则性理念进行纵深化、多样化的理论建构，进而不能形成整个犯罪学群的原则性体系。犯罪学的研究点分散，没有以原则性根基为主导的理论聚合力，必然导致基础理论薄弱，这可从犯罪控制对策的趋同性得到体现。

合规性注重宏观原则建构，其下又可分为若干细分原则。围绕着这些原则体系开展研究，可以弥补犯罪学基础理论在横向结构比较中的长期劣势。当难以破解犯罪控制中的新生事物以及困境僵局时，合规性所主导的原则体系可以在现实与抽象之间、主观与客观之间生成一种可供反复对比、检验、审查的标准体系，为控制体系的破局性提供功能支撑。回到原则体系中寻找对策，可能会比抽象寻找其他学科的支撑更为规范，这种内生知识的剧增过程可实质提升犯罪学的理论厚度。总体而言，犯罪控制的宏大叙事需要通过广义的合规机制去进行内部构造。犯罪控制作为犯罪学体系的核心部件，在整个犯罪学结构中的地位举足轻重，决定了犯罪学的现实功效。本文尝试着利用合规机制探索犯罪控制的内部构造，并以此为切入点丰富犯罪学基础理论。

二、犯罪控制合规性建构的目的

（一）结构强化：从外至内规避自运行风险

犯罪控制体系采取的事实建构进路呈现出较浓的功利色彩，即注重控制措施在实体层面的成效，倾向于手术刀般的控制精准度。犯罪基于何种原因生成就对症采取何种控制措施，为有效降低犯罪率或者降低类型犯罪生成就加大特定的控制力度。犯罪控制在整个犯罪学生成的逻辑中位于犯罪原因论之后而作为工具性的显像存在。犯罪控制运行强烈依赖于原因论体系而对国家、社会、公民形成输出态势。

事实上，犯罪控制并不是犯罪原因论所能狭义界定。人们总是习惯讨论犯罪控制应当如何，却很少思考本质如何。犯罪控制的完整结构应当由实然和应然构成，实然是本体与根基，应然是表现形态。基于此，犯罪控制的对外输出结构应当由两个部分构成：一是传统的原因导向驱动；二是被忽视的本体导向驱动。犯罪控制本体由内部管理结构与外部输出结构组成。在内外关系上呈现出外部输出的合目的性与内部管理的合规性相对应，合规性决定了手段性的控制效果。合规意味着正当化、体系化的犯罪控制对策，进而优化犯罪控制的逻辑结构，原因导向论的控制进路往往不能兼顾更为复杂的环境，合规导向的控制体系则可能具有更强的容错机制。

（二）比例平衡：完善利益博弈规避合法性风险

公共安全利益保护成为控制体系的首选利益。犯罪学也逐步成为西方政治领域的有力工具，惩罚门槛越来越靠前，基于风险的预防控制逐渐成为主流。基于风险的控制体系能否经得起长远评价则摆在稍逊位置。事实建构已经造成了预防犯罪与惩罚犯罪之间的紧张关系，整个刑事司法体系作为一种规范性存在，正被逐渐吞没于犯罪控制的同质化进程中，在保证惩罚性的同时正在无限扩张预防功能。三振出局法经常将一些累犯的重复性轻微犯罪予以无限惩罚，本质上就是剥夺其实施犯罪的时空能力。这种超出报应刑之外的惩罚，就是为了预防。

犯罪控制权是多种权力的集合形态，并没有独立的控制权。犯罪控制要依附在某一明文授权的体系中发挥效用。正是基于这种易于制造抽象的集合性，有必要上升到权力汇集的高度来统一评价。在混合同进的思路下，越来越多带着惩罚性质的犯罪预防措施在控制领域发生作用。国家的犯罪控制权渗透到社会各个角落，隐匿于人类的意识层面，也侵入了权利体系。当下越来越多的措施嵌构于社会行为体系中，与人们生活同步而无法觉察。数据时代的权利体系重构，权力规制方式也需顺应重构。国家权力在控制犯罪时的各类权力应当符合比例原则，这是任何细化后的犯罪控制权能够存续的基本底线。合规性要求犯罪控制在合适的比例范围内行使权力，不能以道德许容性来替代权利保护性。犯罪控制体制在鼓励人们遵守法律方面仍然扮演着重要角色，由此产生了犯罪控制目的的等次性，控制犯罪是基础目标，通过控制体系的法治化实现人类行为模式的转变是深层次目标。一个制度试图去改变其他制度，最起码应当做到自身合规。

（三）政治参与：提升决策效度规避决策性风险

犯罪控制体系在国家政治结构中的地位决定了控制效度的各项指标能否实现预期。法治社会的控制体系强调民主决策、权利保障，讲究规范性、法理性。政治体制的不同决定了犯罪控制参与渠道的差异。良性的犯罪控制机制与国家政治运行往往互为促进，合规性保证了政治参与和决策体系间最基本的通道顺畅。很多决策建议需要经过多重转换才能最终发挥控制效果，而每次转换都可能引发其他连锁性的制度更替，不合规的控制体系或者不合规的控制建议，通常无法得到政治回应而形成无用、无效、低效的决策机制。比如将犯罪控制与公民基础数据相关联，认为国家收集公民基础数据的体量越大，预防犯罪就将越有效，于是可以强化、丰富数据获取手段以实现控制目的。这样的建议显然不符合对公民隐私权保护的基本要求，自然不容易得到政治回应。另一方面，也必须重视刑事一体化内部的决策力。在刑事程序之内，犯罪学对策和刑事诉讼法对策比较，犯罪学并不能直接影响刑事程序，只能通过刑事程序对犯罪的反应来影响刑事政策，再通过刑事政策去影响程序的现实适用。而刑事诉讼法则可直接干预程序运行。长此以往形成了犯罪学的决策力让位于平行的刑法学、刑事程序法等学科，在整个国家决策机制话语权方面逐渐式微。所以，研究合规性问题也旨在重新调整学界对控制对策的合规性要求，对策建议应尽量避免天马行空般的理想抽象，而着力在控制决策与政治执行力之间达成良性平衡。

三、犯罪控制合规体系的基本结构

犯罪控制的合规性并不完全作为抽象理论而存在，而是以结构化体系得以体现，其合规功能的运行机制将在可视结构中得到安排。整个犯罪控制结构实际由一个主体和三个体系构成，即犯罪控制本体为核心，原因论体系、合规体系与控制输出体系为影响因素。具体如下图所示：

（一）合规体系与控制本体的关系

同任何组织一样，犯罪控制的合规体系是整个控制本体在运行过程中的必然生成环节。合规体系内生于控制本体。犯罪控制本体中一直存在合规机制，但长期处于分散无序状态。而随着整个权力与权利体系的重构，将分散合规机制形成统一评价体系的动力得到加强。传统的合规理论将合规视为一种责任豁免或减免的前提条件，促使企业强化内部风险管理。但将合规理念应用于犯罪控制时，由于作为制度的犯罪控制不同于经济实体，本体抽象性决定了其无时不刻地处于变动中。因此，犯罪控制合规体系的首要功能就是维护控制本体的政治合法性，这通常会超越传统的责任豁免事由，成为正面的本体强化事由。合规体系的存在也让犯罪控制的统筹能力得到强化，各个学科、各个领域中涉及到犯罪控制权的问题均需要合规性建构，犯罪控制在进行集中整合评价后会形成一种大犯罪学格局，从而打破传统的以研究对象为学科划分界限的方法，也让控制本体的控制能力更加全面。

（二）合规体系与原因论体系的关系

内部合规构建面临着原因论体系与控制输出体系的双重制约。原因论体系不是完全独立于合规体系，而是与控制本体、合规体系形成了交织关系。一方面，原因论体系可以对控制本体产生未知影响而让控制本体的内部运行产生风险性。特别是原因论体系在发展过程中出现的未经检验的理论，更有可能误导控制本体的决策机制而形成错误的控制输出。就此而言，合规体系的作用就是规范控制本体的决策机制，就如何认识全新的犯罪原因提供纠偏性的参考标准；另一方面，合规体系与原因论体系相互影响。尽管不是直接互联，但人们在意识到合规体系存在时观察犯罪，特别是注意到嵌入合规性的犯因性制度对犯罪生成的不同影响时，可能会对犯罪的生成原因产生更规范的认识。就好比在山坡上盖楼和沙地上盖楼，山坡和沙地的不同地质决定了楼房根基结构的差异。越是复杂的原因情境，越是需要完善的合规体系来夯实控制本体的决策根基。

（三）合规体系与控制输出体系的关系

合规体系与输出体系之间的关系则稍显复杂。合规体系在本质上属于犯罪控制的规范形态范畴，规范形态主要为控制运行提供必要的授权依据。当规范形态缺失时，可能会导致两种极端情形，一种是授权性规范缺失让控制主体无法基于法律而实施控制，如“套路贷”犯罪初露端倪时，时有法律法规与司法解释无法认定为诈骗犯罪，公安机关无法立案打击而导致迅速泛滥；另一种则是由于限制性规范的缺失而让控制主体在选择适当的控制措施时超越了比例原则，比如控制主体为满足执法考核指标而有意拔高犯罪的社会危害性。

因此，合规体系蕴含着普适性的正义规则导向。输出体系则属于犯罪控制的现实形态，是控制本体在经过原因酝酿与决策分析后的具体控制措施，输出体系的最终目的就是解决已知的犯罪问题，呈现出强烈的问题导向色彩。哈特认为，只要我们想用普遍标准控制行为，规则就无法考虑事实经常难以预测的特性和相关特征的多样性，这些都是由具体情形和特定的人所带来。〔3〕[英]H.L.A.哈特：《法律的概念》（第二版），许家馨、李冠宜译，法律出版社2008年版，第90页。其实也就阐明了合规体系的规则导向与输出体系的问题导向之间不可能完全匹配。输出体系通常会在原因体系的支持下呈现出一种超然性、超前性。在合规体系的两种规则导向中，授权性规则会成为一种稀少的应急措施，而合规体系在绝大多数时候将以限权性规范而存在，继而成为一种保障控制输出的底线规则。

四、犯罪控制合规性建构的基本原则

犯罪控制合规性建构存在一种假设，即若无合规制约，那么整个控制流程将如脱缰的野马一样肆意奔跑。合规性的规范力首先在于确立可参照的基本原则。

（一）合规性与合法性相衔接原则

合规性与合法性严格来说不是同一概念，但彼此交叉又互为补充。合规性主要是为犯罪控制确立一个可参考的标准，使得内部流程更加规范，进而影响控制输出体系；合法性则不仅要合乎法律规则，也带有政治合法性的意味。犯罪控制运行来源于犯罪控制权，犯罪控制权的管理问题就成为合规性生成的主要源头，具体到中观层面则涉及对犯罪控制秩序的监管。因此，合规性建构首先得找到一套具有授权功能与惩罚功能的规范体系，比如刑法、行政法、刑事诉讼法以及纪律处分条例等。合规性构建在一定程度上是为了满足合法性的基本需求，而达到合法性标准后的合规性也将更加完善。就技术层面而言，合规性特有的工具价值可将犯罪控制的规则合法性与政治合法性予以区分后表达，从而让合规体系在控制结构中具有双重功能定位，即不断从合法性体系寻求支撑而实现自律，又不断满足合法性的基本需要去实现他律。如果合法性规范过于零散以及合法性体系存在自身缺陷时，并不利于整体合规性与外部合法性的衔接。

（二）权利与权力成比例原则

犯罪控制权包括了行政权、刑事司法权以及其他软性权力。不管归属于何种权力，控制措施对基本权利的干预，要求控制体系无论是在刑事范畴内还是刑事范畴外，均要设置必要的救济机制。这种救济机制应包括提请审查权、提起诉讼权、申请复议权、控告申诉权等等。英国2010年《反贿赂法》规定，任何在英国开展业务或与英国有关系的组织涉嫌腐败将被起诉，面临无限罚款以及涉案人员被判入狱的风险。但是该法允许企业在自我报告中将已建立完善的预防贿赂犯罪合规制度作为自身抗辩的理由，反严重欺诈局将把这些抗辩理由作为公共利益评估的重要因素，评判是否符合起诉的公共利益要求，在一定程度上为避免企业过度入罪提供了空间。另一方面，越是先进的控制措施，特别是技术领域的秘密控制，越是要合规跟进与比例审查。在欧美地区，利用大数据进行犯罪控制已受到严格规制，例如欧盟《通用数据保护条例》（General Data Protection Regulation）、美国联邦《隐私法》对国家公权力获取公民大数据进行了程序规制。在犯罪控制的新领域中，首先需要做到的是控制合规，而不是控制效率。

（三）专业性与公正性相结合原则

当合规化管理的专业属性应用到犯罪控制时，其专业性将进一步强化。制度设计者必须在犯罪控制的实然状态与参考体系下的应然状态间不断对比权衡。如何准确、迅速的确定某些具有更迭性的社会行为是否属于犯罪行为就是这种专业主义的体现。基于线性思维的传统管理认为，只要严格按照既定规范制定和实施计划，就可以获得预期的结果，过程中出现的偏离或者扰动只是一些“意外”。但实际上，这些“意外”可能正是内部非线性关系导致的不确定性和复杂性。复杂性问题不能用还原论方法处理，常常成为导致管理目标难以实现甚至灾难性后果的重要因素。〔4〕[美]小约瑟夫·巴达拉克：《灰度决策：如何处理复杂、棘手、高风险的难题》，唐伟、张鑫译，机械工业出版社2008年版，第15页。

合规性建构专业性视角不可避免具有局限性，必须引入公正性来弥补平衡。这种公正性集中体现为客观中立性，既不能存在对犯罪、犯罪群体的偏见而放宽规制标准，也不能因强烈的权利意识而收紧必要的控制权限度。专业性与公正性相结合的合规性不再是一成不变的教条主义，而是随着时代变迁和犯罪运行不断调整。比如作为沉默权发源地的英国，多次出台法律限制沉默权来满足控制需要。1987年《刑事司法法》在欺诈犯罪调查中限制沉默权，1994年《刑事司法与公共秩序法》进一步限制沉默权，2007年《严重犯罪法》又对15 种严重犯罪限制沉默权。合规性标准就是要在控制犯罪与人权保障之间寻求必要的平衡。合规管理的决策者、执行者与输出体系的决策者、执行者之间，可能会长期处于半脱域的博弈状态。

五、犯罪控制合规性建构的基本维度

犯罪控制合规性建构可分为两个关键字：“合”，即怎么遵循；“规”，即遵循什么。怎么遵循的前提在于理清应该遵循的客体，即合规性构建的基本维度。

（一）建立在道德义务基础上的标准合规

这是整个合规体系建构的根基性框架，也是伴随着习俗或日常生活发展而来的习惯性合规。犯罪控制的道德支撑在于一个国家应当为社会提供必要的抗制措施来应对那些可能对社会造成伤害的行为。但犯罪控制的长远目标不是功利性的惩罚，控制功利性与道德许容性之间并不是独立联系，因为道德许容性也随社会结构裂变而面临着分化，不是所有符合道德或情感的控制措施均能够被容许。比如C 市某区公安机关在查获一名吸毒人员后，发现他2 次吸毒将被强制隔离两年半，而办案组也恰好差一个刑事指标，于是和吸毒人员商议“制造”一起贩毒被抓获的案件，这样只需要被限制人身自由半年，随后因嫌疑人举报而案发。〔5〕高松林、师索：《公安机关办理刑事案件指标执法的检察监督》，载《国家检察管学院学报》2016年第3期，第40页。类似案件看似双赢而合乎情理，但违背道德合规的后果就是执法权的恣意性扩大将彻底摧毁刑事司法体系的信任机制。合规性应当尽最大可能符合道德底线，以保证犯罪控制权在不经意间延伸到其他领域时的基本底线。

（二）建立在公共利益基础之上的工具合规

犯罪控制的目的在于提供公共安全的供给度，从而维护公共利益。欧盟《通用数据保护条例》（GDPR）第2 条规定，在主管当局为预防、调查、侦查或起诉刑事犯罪时，一旦执行的刑事处罚的目的，包括防范和阻止公共安全受到威胁，可以自动处理个人数据。第5 条规定，只要个人数据是以公共利益、科学或历史研究或统计的为目的，个人数据就能被长时间留存。绝大多数权力立法都将公共利益作为权力运行的工具性要求，因为控制主体在调动公共资源、使用公共财政方面具有较好的天然优势，控制某类犯罪的成本涉及到公共税收、财政资金的使用。这种工具合规旨在规制控制主体不正当使用公共利益。尤其是在犯罪治理框架下，国家作为传统控制主体将和私营主体进行合作性控制，必然涉及到国家对本应当自行使用的资金进行二次转移的情形，从中产生的控制权威泛化、控制效果减弱以及带来的权力寻租问题都会逐步显现出来。

（三）建立在强制力基础之上的约束合规

约束合规通常表现为对法律规范的合规，也包括遵循国际准则惯例、区域性公约、司法解释、行政解释、部门间联合意见等多样化的合规载体。简单的说就是犯罪控制的规范形态对合规化的影响，是能够切实找到明确参照标准的合规维度，具体到实践中就会形成犯罪控制措施的法治化。约束合规对控制本体的强制遵循力度最强，也是权力与权利博弈的集中地。这里的情形还可以细化为对国家机关与经济组织两类控制主体的合规要求。通常而言，公司企业在调查内部犯罪及商业贿赂方面并不具备司法权限的强制手段，只能尽可能将内部合规建设用于调查。比如公司规章可以规定在办公场所只能使用公共电脑，并禁止在电脑上从事个人事务，发案后公司就有权回收电脑进行检查。若允许员工使用私人电脑办公，员工就可以用侵犯隐私权为由对抗调查。所以只要设置合理，经济主体内部也能创设出具有一定强制力的约束合规。

国家机关应更重视刑事程序中的控制权合规性。刑事程序是对犯罪进行刑法认定的过程，在多数时候，学界认为启动刑事程序意味着犯罪业已成型而预防失败，所以犯罪学对刑事程序的关注并不充分。犯罪控制并非杜绝犯罪发生，而是将犯罪控制在一定社会安全阈值之内，也就意味着刑事程序的预防作用被掩盖，其控制作用仍然存在。刑事程序以规范国家权力、保护公民基本权利为基本原则。犯罪所引发的侦查、起诉与审判均属于国家权力，在一定程度上也属于犯罪控制权的分支。刑事程序通过规范侦查权、起诉权与审判权而对犯罪情境产生影响，尤其是启动刑事程序的证据标准呈现出倒溯式的以审判为中心的投射。当定罪所需要的证据标准较高时，侦查机关就会选择性的侦办证明难度较低的犯罪，而放弃证明难度较高的犯罪。检察机关也会通过诉辩协商来推进刑事程序，进而影响到文本上所能显现的犯罪境况。这种犯罪境况又作为影响刑事司法决策的根据而存在，所以刑事程序与刑事程序之外的犯罪控制实际上是相互关联的体系，均属于约束性合规维度。

（四）三种基本维度间的关系体系

道德合规是控制主体的内心确信，公共利益合规是能经得起审查的可作自我解释的合规，而约束合规则是必须遵守的规则体系。这三个合规维度既可单独出现也可共同出现，并且可能在犯罪控制的某些阶段特别突出，其他控制规范行为的短期合规与刑事法体系形成的长期合规必须予以区分。合规维度彼此之间相互影响，符合法律规定的犯罪控制具有合法性、符合公共利益规则的犯罪控制具有合理性、符合道德规范的犯罪控制具有正当性。实际上三个维度构成了合规管理的基本内核，成为外部权力或第三方机构对犯罪控制权进行审查与监督的动态标准，专业机构、大众媒体、公民群体会按照这些标准对控制体系进行合规评价。而这些标准可能也会随着合规的精细化发展而不断扩展，最终不断完善合规审查的标准体系。

完美的合规就是同时符合三个维度的合规，但同时契合的合规体系很难出现。道德合规、公共利益合规与约束合规之间经常发生冲突。就某些控制措施的性质而言，其本身就不具有道德合规性，比如线人侦查或诱惑侦查就有突破伦理的嫌疑，又比如在欧洲备受争议的数据留存制度，在没有任何合理怀疑的情境中就可以留存公民的网络通讯数据，这无异于将所有人都提前视为嫌疑人，只需等待其犯罪后备查即可。而这些预防性措施之所以能获当局支持，就在于满足法律合规的情况下具有公共利益的工具属性。由于法律规则与道德规则作为两个虽然不同但相互补充的行动规范而并列出现，呈现出互补性关系，两者所需要的合法性论证无法以指涉对方的方式来完成，所以将求助于合理商谈去实现行动规范的有效性。〔6〕[德]哈贝马斯：《在事实与规范之间：关于法律和民主法治国的商谈理论》，童世骏译，生活·读书·新知三联书店2003年版，第132页。由此可见，道德合规尽管作为底线维度，但由于存在解释弹性而成为内化于日常政治生活的象征性维度，合规维度更偏重于公共利益与约束性规范。

六、犯罪控制合规性建构的方法论体系

（一）宏观建构：注重从内至外的控制输出

1.以广义程序观建构合规基本流程

犯罪控制的结果并不总会进入刑事程序，这里的程序观涵盖了从一般事项到行政事项再到刑事事项的流程通道，要求犯罪控制体系在生成过程中实现普遍正义。政治哲学中程序正义主要是指人们必须接受某种程序形成的结果。罗尔斯又将程序正义分为三个种类：一是完善的程序正义，就是对正义的分配具有独立标准，且配有保证这个标准实现的程序；二是不完善的程序正义，就是有独立的分配标准，却没有程序可以保证实现正义；三是纯粹程序正义，即不存在独立的标准，结果的公平取决于对程序的遵守。〔7〕姚大志：《一种程序正义？——罗尔斯程序正义献疑》，载《江海学刊》2010年第3期，第31页。纯粹程序正义允许公正具有多个标准的实现路径，但实现的程序非常重要。用纯粹程序正义来设置犯罪控制的合规性流程更为合理，主要基于犯罪控制所对应的犯罪现象具有随时裂变的不稳定性，导致控制体系无法用一种标准、一种模式来设置运行模式。这里涉及到犯罪控制权的分配问题，就是权力来源及其运行问题，由何种程序生成的权力是合乎道德与法律的。只有获取权力的程序是正义的，才能保证分配过程的正义性。

2.以风险为导向设置合规监管机制

在不同语境下的风险会带来不同的损害后果，合规监管的设置需要以风险为导向。比如公私合作治理犯罪时，如何评估私营主体的控制能力、业务优势，在合作过程中可能会出现哪些意料之外的风险、如何评价这种公私合作效果等问题，均需要以风险为导向。控制主体很随意的通过寻租方式找寻合作伙伴，同样涉及到腐败风险。基于风险管理的合规流程属于程序中的程序，但违反合规流程则有较大概率会违背犯罪控制所设定的实体目标。

那么，合规化需要犯罪控制体系所达到的目标，和犯罪控制本来想要达到的目标之间是什么关系呢？合规化必然会通过规制内部流程来影响犯罪控制的外部输出，但具体是正相关还是负相关在实践中呈现出一种不确定性的格局。内部收紧可能导致外部措施的成效降低，但内部合规不力肯定降低最终控制实效。合规风险往往是操作风险存在和发生的重要起因，比如在布控治安耳目中，情报人员违反了单线联系原则，导致耳目暴露后失去情报收集能力，该区域短时间内盗窃频发。这就是典型的内部合规管理不够引发外部控制失效。风险导向的合规监管就需要结合常规风险与突变风险进行规制，在控制目标、控制措施设计上可以联动考虑，增强风险管理的力度。可以设置有效的评价指标将笼统的控制流程予以分割，给予风险外溢的必要观察空间，在方法论上遵循风险规制的基本规律。

3.以有效性为导向构建措施体系

控制输出体系的最终形态就是控制措施体系的呈现，纷繁的控制措施成为控制本体与社会结构、政治体系相互嵌构的触伸角。控制措施必须契合社会结构的基本要素，并取得政治体系的良性评价才能获得有效性，有效性也是促进合规管理的必要条件。构建有效的控制体系需要从三个方面细化：第一，从低成本措施向高成本措施演进。即针对某一类犯罪的控制部署要优先考虑低成本的控制措施，而不能直接选择高成本措施。能通过数据碰撞获得的情报，就不需要再派出大量警力走访调查。高成本措施应作为补充性、针对性的选择。第二，从细节落实向宏观目标演进。在提出控制对策时，其逻辑选择应当优先考量可着眼于犯罪本身的措施，再去思考治理层面的制度改进问题。例如针对电信诈骗犯罪，措施体系的第一选择应是如何构建有效的侦破体系、协作体系，而不是如何优先从国家治理层面去寻求救济药方。第三，从可直接着手向多层次制度演进。控制措施应优先赋予控制主体一种可操作感，如果一种措施建议在最基层的执行体系中无法得到适用，那么措施的政治回馈就出现了一线受阻，自然无法得到更高的政治回应。总体来说，控制措施的有效性能反映出整个控制机制在国家政治生活中的话语色彩，在实践中往往最容易忽视政治反馈的基本规律而做了大量无用功。

（二）中观建构：控制本体的结构性合规

犯罪控制在结构上由控制主体、控制措施与控制对象构成。在中观层面，对控制结构本体进行合规建构不可或缺。

1.控制主体的合规性

到底应该由哪些合适的人或组织作为犯罪控制主体，目前尚未得到学界的重视。控制主体的合规性包括主体的合法性、合理性两个相互影响的要素。除去传统的以警察为代表的合法又合理的控制主体，可分两种情况剖析。第一，有合法性并不代表具有合理性。这种情形通常是由控制功能的供给不足所引起。控制主体不能胜任在某一情境中针对某类犯罪实施的控制行为。比如某地区近来海盗犯罪突变猖獗，国家基于海上警力缺失的现实情况而抽调陆上警力前往巡逻执法，但陆上警察并不具备海上防控的经验，就很容易出现控制真空。第二，有合理性不一定具有合法性。控制主体由于身份、专业知识、特殊技能等因素非常契合于针对某类犯罪的控制体系，但由于不能取得合法的控制资格而形成了边缘性控制人物。比如在控制乡村犯罪过程中，国家通过利用宗族能人的本土资源能形成对当地社会秩序的特殊震慑，而这种秘密的合作可能无法取得法律资格。

在实践中，第一种情形往往不足以冲击合规体系，第二种情形则存在如何处理身份合规与控制实效的难题。控制主体的身份不合法但能力合理，特别是在一些秘密力量的使用中经常出现类似难题。这个时候犯罪控制的正义观呈现出程序让位于实体的情况。如何在实体与程序之间达成平衡，就需要引入公共利益标准进行平衡，重点权衡法益与公共利益之间的取舍，是否具有紧迫性、是否可能引起更大公共利益受损等因素将成为主体合规性的例外适用规则。

2.控制对象的合规性

控制对象的合规性主要涉及犯罪控制的辐射范围，即符合什么条件的个人或组织能被纳入控制范围。从国家治理的效率来讲，控制基数越大，基础性情报信息越丰富，能够发现的犯罪可能性节点越多。但从控制成本来说，无限制的扩大控制范围以及人口基础并不符合公共利益原则。随着数据时代来临，整个社会行为模式被各类元数据所重构。过去的行为溯源需要传统的走访调查、查看监控，而当下只需要从每个人在网络世界中留存的数据里就能轻松还原个人轨迹。这无疑是对国家权力与个人权利运行方式的彻底重建。过去我们还在依赖人盯人的特情耳目来不断发现线索，而现在只需要技术性还原就可以实现人口管控。

在不经意间，基于技术演进而来的控制门槛前置导致控制对象的泛化趋势明显，越来越多的人被悄然纳入监控范围却毫不知情。这必然带来两个问题，一是大规模数据监控将会让所有人都成为没有合理怀疑之下的“嫌疑人”，进而将其视为可能会犯罪的人群，如此扩大化的控制对象是否违背了程序正义中的“无罪推定”？二是在这种先入为主的假定下，国家对市民的日常管理就会产生信息不对称的格局，从而改变过去在双方信息相对对称之下的制衡格局。比较典型的就是公民的反控制能力基本被剥夺，无法实施反侦查行为，而反侦查行为严格的说也是公民的一种权利，只要不超出合法限度。三是控制对象泛化必然将导致社会整体隐私权遭受挑战，隐私权在何种情形下才能让渡于国家监控权是个很严肃的问题。

就目前来看，控制对象泛化与合规性要求之间还有差距，严格地说这是个治理技术问题。可以参考欧洲人权法院对以数据留存为主的大规模监控的态度，人权法院认为无罪推定和遭受污名化的风险要求对定罪之人和未定罪之人实施不同的数据处遇，当下要特别关注污名化风险对不特定人的影响，未被定罪的人有权享受无罪推定，因此不能同已定罪之人等同处遇。对于嫌疑人而非定罪之人进行“全面而无差别”的数据留存构成了“恣意”，因此未能在平衡公共利益和私人利益间实现公平。〔8〕师索：《犯罪侦查中网络通讯数据留存制度的欧洲法审视》，载《西南政法大学学报》2018年第6期，第21页。另外，立法者需要区分严重犯罪、普通犯罪与轻微犯罪的界限，以此在数据留存的情境中更好去平衡国家利益和个人利益，建立已入库数据的移除机制。独立审查机制必须被建立来评估留存的理由，比如犯罪的严重程度、被怀疑的力度和其他可以评估留存正当性的标准。另外，扩大控制对象的范围也需要在这个框架内遵循比例原则。

3.控制措施的合规性

控制措施是控制体系的核心构件，也是能够直接对犯罪现象进行干预的行为机制。控制措施的合规性更难把握，其多样性、繁杂性、突变性等特征让合规性建构可能更偏向原则层面。控制措施的合规性必须从形式层面与实质层面共同切入。形式合规让措施在技术层面满足最低控制标准，而实质合规则意味着完全严格的要求。

比如在对追溯式预防性羁押的合法性评判中，欧洲人权法院发现此类预防性羁押主要是在刑事判决执行完毕后，由于其先前的罪行而继续被羁押在治疗中心，从而实现危险犯罪人的风险隔离。“惩罚性”“预防性”“治疗性”成为追溯式预防性羁押的三个目的。若将行为人羁押在治疗中心具有惩罚性，那么这种预防措施就不具有合法性。在审查的32个欧洲缔约国中，有10 个国家允许采取类似措施，即在刑事判决后继续剥夺自由。根据这些国家的国内法，这些措施不属于“惩罚”。〔9〕ECHR,[GC]Case of Ilnseher v.Germany(Applications nos.10211/12 and 27505/14),4 December 2018.允许适用该措施的国家就采用了形式合规的解释进路。

但欧洲人权法院大法庭经过实质合规审查后，其中有部分法官认为预防性与惩罚性无法分离。“预防性”目的不是惩罚，而是与惩罚密切相关。预防是许多惩罚理论的核心：惩罚通常被认为可以防止被定罪者在被关押（通过丧失能力或消极特殊预防）和之后（通过重新社会化或积极特殊预防）犯下更多罪行。同样，据说惩罚可通过威慑潜在的罪犯（消极的一般预防）和传递强制规范的信号（积极的一般预防）来预防犯罪。因此，措施的“预防性”目的绝不会排除其惩罚性质。惩罚性体现在法律行为中而非执行条件中，司法审查仅仅缓解但不能消除惩罚的严厉性。追溯性本身就是惩罚，治疗性仅仅是一种外在的装饰。由于犯罪控制措施的多样性，其合规性建构不可能具体到每个具体的措施中，而只能在形式合规与实质合规之间寻求平衡，并尽可能的将这种平衡机制进行类型化建模，进而上升至一种动态的原则性规范，任何控制措施都要经受这种原则性规范的审查。

（三）微观建构：合规审查的方式构建

1.权力审查

完全依赖于犯罪控制体系内部的自我合规并不现实，权力部门往往习惯于自我监督，但效果并不好，最好的权力监督是权力制衡。权力制衡并非静态制衡，而是通过权力工具为介质实现，通常表现为权力审查。在犯罪控制运行中就表现为对犯罪控制权的具体审查，并且通常由控制体系之外的中立部门进行审查。权力审查可以从多个标准多个维度解构。

第一，以权力与权利的平衡为标准，可分为对控制对象的权利合规审查与对控制措施的权力合规审查。比如欧洲人权法院通常会从四个方面审查剥夺人身自由的控制措施：一是合法性审查。审查剥夺自由的理由以及是否按照法律规定的程序“合法”羁押；二是实质性审查，应从其目标和宗旨去解释和适用，以便为防止恣意起诉、定罪和刑罚；三是及时性审查，必须根据每个案件的具体情况去审查迅速作出决定的权利是否得到尊重；四是公正性审查，即审查相关具有决定权的官员是否处于中立立场。

第二，以犯罪控制触及的时空领域为标准，分为虚拟审查与现实审查。虚拟审查的难度显然比现实审查更大，因为无论是国家或联盟，每年新增的网络通讯数据规范不计其数，涉及到适用效力、适用层级方面的矛盾冲突，“公说公有理婆说婆有理”的情形突出。

第三，从犯罪控制的推进阶段来看，可分为刑事程序之外的审查与刑事程序之中的审查。传统犯罪学并不愿意过多介入进入刑事程序之后的控制形态，这个阶段控制犯罪任务也就顺势归入刑事诉讼。这种只重视刑事程序之外的控制思路值得重新考量。在将某类行为予以犯罪化或者适用刑事制裁时，应当在最后原则之前考量是否具有其他可替代的控制方法，所以两个阶段彼此呈现互补关联性。国家总是倾向于选择刑事程序来处理类似的情况，其原因就在于其特有的惩罚性机制。因此，评判一项犯罪控制措施的重要标志就是该措施的惩罚性。一些措施尽管没有进入刑事程序，或者在刑事程序结束之后适用，但其惩罚性仍然伴随着预防性。

2.措施衔接

世界各国控制犯罪的措施性质大概可以涵盖民事、行政与刑事三类。民事性质的控制措施可能相对陌生，但英国《严重犯罪法》所规定的“重罪预防令”就被界定为一种民事措施。不仅如此，美国在1970年施行的《欺诈干预与腐败组织法》已经证明可以用民事法令来实施行为控制。英国内政部在 2006年发布的绿皮书中写道，整个美国正在被这种民事法令所深刻影响。〔10〕师索：《解构重罪预防令：严重犯罪程序化控制的英国经验与启示》，载《中国人民公安大学学报（社会科学版）》2017年第6期，第15页。民事程序性质的控制措施构建了一种启动控制强制性的双重标准，即用民事证据为标准规避刑事标准的审查而启动带有强制性的控制措施，却以严厉的刑罚措施保障这种控制措施能够顺利运行。就行政措施而言，德国保安处分较为典型，即从防卫社会的角度对具有人身危险性的人员施加保安措施，保安处分与刑事惩罚也构成了德国的双轨制制裁体系。保安处分的争议较多，比如突破罪刑法定原则，以行政手段实施刑事制裁等等。而具体到刑事程序，刑事程序本身就是一种惩罚，进入刑事程序之后，无论最终是否出罪，这种特殊的余味性标签都将伴随终生而成为附带污名的累赘。

所以，对三类性质控制措施的合规性审查需要做好以下几点：第一，要坚持法有规定才可为。比如协商性司法往往带有从宽处理的意味，如果刑事程序内的协商带来的出罪可能性加大，那么就很有可能造成程序外的控制效果降低。合规性要求确立这种协商机制的限度。第二，若是刑事程序之外的审查，则应当在控制措施与惩罚性之间达成比例原则。特别是民事、行政措施的实际惩罚性以及由此带来的强制性问题往往不能忽略，即刑法对被拘禁者自由权的干预强度是否与非刑事措施的强度相对应。第三，要确立刑事制裁的责任问题，违背合规性的措施体系应当接受程序性制裁，比如阻断控制目的，将控制效果从程序中排除。

3.回馈评价

合规性建构的目的通常是为了建立合规管理机制、防范合规风险、培育合规文化。合规性构建往往不能单向行进，而只能形成循环论证，合规性运行的回馈评价就显得尤为重要。回馈评价实质上围绕控制措施的有效性而建构。控制措施必须根据犯罪运行的最新情形不断调整，不断契合合规性思路。不断创新控制措施是犯罪控制体系的生命力，对这种创新式的控制进路必须要不断接受外界的回馈评价才能满足合规性。第一，政治回馈。任何犯罪控制领域的改革或创新都不能脱离政治评价，不能取得政治支持或者刻意规避政治视线的控制措施体系均会遭受失败。第二，专业回馈。刑事司法体系中的专业人员通常具有比其他领域更为丰富的地方性知识。为什么一些国家或地区的成功经验会在其他地方遭受失败，就是由于在移植过程中忽视了当地专业人员的回馈。比如A 区实施毒品犯罪控制措施在B 区却毫无起色，最终发现A 区的措施改革基于法院判决毒品犯罪的严厉性，而B区法院在判决该区毒品犯罪时比A 区偏低。最终形成了A 区贩毒人员向B 区转移，反而搅乱了B 区原有的控制格局。一项成功的控制措施脱离原生情境时可能会变得不再成功，而专业人员将对此作出解释。第三，公众回馈。减少犯罪实际只是国家通过运行犯罪控制体系所要达到的目标之一，并不是唯一目的。一种控制体系或控制措施的有效性能否维系，关键在于这种创新或改革让谁受益。公共政策领域的任何改革都必须让公众受益才能获得继行力，若仅仅通过花哨的改革方案去获取政绩，这种控制无疑不合规，其逻辑起点无疑荒谬。