黎宏：企业无法自觉进行监督管理，需要刑法介入

刑事合规制度引起法学界热烈讨论，主要是我国通信行业排名第二的中兴通讯因为被披露从2010年至案发当时一直在违规经营，当时被美国商务部制裁：除了付出10亿美元罚金外加4亿美元保证金的经济代价之外，还要接受30天内企业改组、美国合规小组入驻进行企业合规建设等屈辱条件。至此，西方发达国家企业中广泛采用的合规计划建设始为普通国人所熟悉。

所以，企业合规，从根本上讲，是企业内部治理的一种形式，从与刑法的关系上看，其功能有二：一是在企业经营活动中出现违法犯罪时，将守法企业和违法员工的行为切割，从而达到保全企业、惩罚个人，将企业特别是大型企业因为犯罪受罚而产生的社会震荡效果降到最低；二是通过合规企业出现违法犯罪时可以从宽处理的特殊规定，使公权力的影响提前介入企业内部的经济管理，促使企业事先主动建立妥当有效的合规制度，自觉遵纪守法，从而达到在未然之中预防企业犯罪的效果。

在企业合规建设中，“做”比“说”重要。企业合规，不仅仅是建章立制，更重要的是要实际落实执行。例如，快播案。2012年8月，深圳市公安局对快播公司进行检查，给予行政警告处罚，并责令整改。随后，深圳市公安局将违法关键词和违法视频网站链接发给快播公司，要求其采取措施过滤屏蔽。快播公司于是成立网络安全监控小组，在一周内投入使用“110”不良信息管理平台。但在深圳网监验收合格后，小组原有4名成员或离职或调到其他部门，“110”平台工作基本搁置，检查屏蔽工作未再有效进行。2013年，深圳市南山区广播电视局执法人员对快播公司开展调查，找到了可播放的淫秽视频，并对快播公司进行了行政处罚。但快播公司随后仅提交了一份整改报告，其“110”平台工作依然搁置，检查屏蔽工作依然没有有效落实。

最终，法院认为：“快播公司明知快播网络服务系统被用于传播淫秽视频，但出于扩大经营、非法牟利目的，拒不履行监管和阻止义务，放任其网络平台大量传播淫秽视频，具有明显的社会危害性和刑事违法性，应当依法追究刑事责任。”这段描述中，虽然没有提及合规问题，但实际上表明，快播公司的内部治理或者内部管控是无效的。因此，判定快播公司有罪。

可见，企业合规能否成为企业自救的妥当手段，关键不在于企业是不是建立有合规制度，更重要的是，企业是不是以实际行动表明其愿意在业务活动中守法，并且约束其员工的经营活动。

因此，只有通过有效的执行和有力的监督才能取得实效。完整的制度建设包括制定制度、制度执行和监督落实，而且后者比前者更为关键。

孙国祥：合规计划的核心是刑事合规

顾名思义，合规就是符合规范要求。在法律语境中，“规”就是指“成例、标准、法则”，即规范之意。德国著名刑法学者齐白（Sieber）教授认为：“合规计划规定的是一种对——首先是法定的，有时又是伦理的或其他的——预订目标的遵守程序。”

我国2018年7月1日生效的《合规管理体系指南》国家标准也指出：“合规意味着组织遵守了适用的法律法规及监管规定，也遵守了相关标准、合同、有效治理原则或道德准则。”这就是说，合规之规，包括国家相关法律规范，但不限于此，也包括基于行业特点，从本系统、本行业的特点出发，形成的相关管理制度（行业规范），还包括诚信守则的商业道德伦理规范（ethics）以及企业自愿设立的风险防范规范。合规，不仅是指企业活动应该符合上述标准，而且上述标准应该互相配合，协调一致，形成企业活动有规遵循的规则体系。

可见，这种广义上的合规计划之“规”，是通过国家与企业（私人）共同规范的方式形成的。然而，尽管广义的合规计划初衷涵括了企业伦理的弘扬，但实践证明，“对于以追求营利为目的的企业而言，宣扬未必与利益挂钩的至善行动是不现实的，最终不过是‘徒有虚名’”。

因此，合规计划的核心是刑事合规。刑事合规，也就是指为避免因企业或企业员工相关行为给企业带来的刑事责任，国家通过刑事政策上的正向激励和责任归咎，推动企业以刑事法律的标准来识别、评估和预防公司的刑事风险，制定并实施遵守刑事法律的计划和措施。

李玉华：数据合规成为企业社会责任的新内涵

企业开展数据合规建设具有迫切的需求。企业的社会属性要求其承担一定的社会责任，而企业社会责任理论不断发展，企业的社会责任内涵也不断更新，当今数据合规成为企业社会责任的新内容。

党的十八大以来，社会治理成为热点话题，社会多元主体在社会治理中协同发挥作用。企业所具有的社会属性决定了其必然属于“社会治理共同体”中的一员，因此，企业内部管理与经营效果在一定程度上就会对社会治理的效果产生影响。

数据合规成为企业社会责任的新内涵。具体言之，就当前数据贸易活动日益繁荣，数据为企业发展带来新的机遇，但是企业利用数据的逐利行为引发了一些数据保护与安全问题。一方面，个人数据的商业价值不断激增，企业追求最大化的利润，却忽视个人数据的保护与安全存储问题，诱发了不少以不法手段收集个人数据的事件，个人数据被泄露与滥用的现象日益严峻。同时，个人在互联网留下的信息痕迹在不同程度上反映了个人的偏好与思想，具有一定的人格属性。企业为了实现精准营销，整合大量个人数据刻画用户画像，有可能会侵犯个人的隐私等人格权益。另一方面，在数字驱动型经济时代，全球化的经济贸易活动促使数据全球化流动更加趋向常态化。企业利用便捷的信息技术跨境传输数据创造利润，但也为数据保护和国家安全问题带来新的难题与挑战。

需要注意的是，目前，个人数据保护与数据跨境流动的规范问题是许多国家重点关注的问题，大数据企业不能仅关注自身利益，无视在利用数据追求利润的过程中对外部产生的损害，否则将有损营商环境，不利于企业提升市场竞争力与实现持续发展的目标。还会激化数据保护与安全的社会问题。

实现数据保护与数据安全需要企业的力量，企业在获取数据红利的同时应当将数据合规作为承担社会责任的重要内容，提升数据合规意识，切实将数据合规贯穿于业务活动的各个环节。将企业数据合规作为企业社会责任的新内涵，是当今新形势下的应有之义，可以同步实现企业良好发展与有关数据保护方面的社会问题。

黄永：刑事合规的合理性及其框架

企业合规要重点把握理论合理性和制度框架两个维度，合规的合理性和制度构建虽然看似是两个层面的概念，但实际上二者有交叉的部分。一是合规的合理性。无论是刑事合规还是行政合规，都需要放置在企业营商环境的大背景下思考合规的合理性。比如，合规是企业自主性行为还是法律外部性行为。中美在对合规的基础性认知上存在较大差异，美国企业通常对合规感到较大的外界压力，而我国企业则倾向于积极争取合规。因此，有必要对这种现实差异现象的背后动因和理性基础进一步深入研究。还比如，我国当前的企业合规采取的是合规激励机制，合规激励机制是否有合理性。在罪责刑相适应原则下，企业合规的同时是否应当追究责任人的刑事责任；在权利、责任和利益相适应要求下，企业合规的同时是否应当承担例如行政罚款等其他责任。二是合规的制度框架。企业合规可以分为企业自主合规、行政合规和刑事合规三个层次。目前我国由检察机关、行政机关和第三方监管机构进行合规监管，关键在于如何保障合规监管期结束后企业的良性经营，可能会涉及企业从行政合规、刑事合规到企业自主合规的调整问题。

于冲：引入企业刑事合规制度，可有效预防数据安全犯罪

随着侵犯公民个人信息犯罪的迭代异化，司法解释不断丰富侵犯公民个人信息罪的行为类型和个人信息外延，但面临个人信息犯罪严峻的异化态势，受侵害的数据质量、数据规模、危害性后果不断攀升，数据的处理、共享、交易、流通使得数据的“动态安全”逐渐成为数据安全问题的常态。以刑事制裁为主的单向度的国家监管显然存在较大的局限性，规制手段的单一化使其规制效果难彰。因此，需要其他手段的功能补给。

刑事合规制度作为一种能够容纳企业与国家共治的犯罪治理模式，通过促进网络服务商数据安全保障工作的内控化、制度化开展，增强网络服务商对于数据安全的责任意识，通过网络服务商的事前的主动介入，增强数据安全犯罪的积极防控，实现侵害数据安全犯罪的积极的一般性预防。

数据安全犯罪危害性大，不仅是对于数据安全本身的侵害，而且在当前数据安全犯罪产业化、链条化的背景下，数据安全犯罪正逐渐成为其他犯罪的上游犯罪、伴随犯罪，为诈骗罪、敲诈勒索罪甚至绑架罪等其他犯罪提供预备阶段的犯罪助力；加之互联网的倍增效应、放射效应，更加剧了数据安全犯罪的社会危害性。

传统刑法在应对数据安全犯罪上，受制于刑法的最后性和谦抑性，只能在犯罪发生以后对相关行为进行评价，这种事后性评价对于数据安全的保护有其自身的局限性。因此，要抑制数据安全犯罪的产生，就必须适时地改变偏重事后惩罚的传统的消极犯罪预防理念，将其置于网络社会和数据安全的大背景下予以重新审视，基于积极预防的理念提出新的犯罪预防措施。

总之，刑事合规的引入，为企业提供了主动自律的机会和根据，引导企业在主动制定合规计划、实施合规活动、调整合规机制的过程中，逐渐将数据安全保障和数据犯罪预防意识融入日常的经营管理活动中。