马明亮

(中国人民公安大学 侦查学院，北京 100038)

一、问题的提出：如何避免合规整改无效？

简单而直观地解读，我国的企业合规可以概括为两种模式:一是以市场竞争为导向的合规；二是以危机处理为导向的合规。(1)尹云霞、李晓霞:《中国企业合规的动力及实现路径》，《中国法律评论》2020年第3期，第1页。两者可以简称为日常合规管理与涉案企业合规(企业合规整改)。涉案企业合规改革第二批试点于2022年3月结束，最高检在全国检察机关全面推开。其中的重点是，防止企业以“纸面合规”逃避刑事追责。(2)孟亚旭：《最高检：涉案企业合规改革将在全国推开》，北青网t.ynet.cn/baijia/32070942.html，2022年2月20日访问。

要从根本上避免无效合规，防止企业再次出现新的同类型犯罪行为，督促企业依法依规经营，必须深挖成因，即到底有哪些因素制约或影响着合规的有效性？按照实务界人士的普遍看法，有效合规计划一般由三个要素组成：合规计划设计的有效性、执行的有效性以及结果的有效性。目前，在合规整改方案的设计方面，实践中出现两个方向性误区：要么“权宜之计”——针对违法犯罪发生的制度原因确立非常具体的纠正措施；要么格式化的“大而无当”——不顾及排查违法犯罪原因和修复相关制度。(3)④参见陈瑞华：《有效合规管理的两种模式》，《法制与社会发展》2022年第1期，第17-18页。这背后的一个重要原因在于，人为地割裂日常合规管理与合规整改计划。因为从初衷来看，两者并非“水火不容”；恰恰相反，它们在合规管理体系架构与原理上是相通的，都旨在确保企业依法经营，也都具备有效预防犯罪与防止行政违法的能力。(4)参见陈瑞华：《企业有效合规整改的基本思路》，《政法论坛》2022年第1期，第1-2页。其主要区别为起因不同，前者是企业主动构建合规管理体系，后者是借机督促涉案企业建立有针对性或体系化的合规管理体系，企业是因为涉案被动构建而已。(5)例证如，2004年11月生效的《美国量刑指南》(U.S.Sentencing Guidelines,USSG)第8B2.1条，便将企业腐败犯罪量刑与企业合规体系相关联，促使美国公司被动建设合规体系。而且，在企业合规管理体系的建构方面，这两种模式既可以相互转化，也可以相互补充和完善。申言之，合规整改不应作为减免行政处罚、刑事制裁的权宜之计，而应当被纳入企业的合规管理体系之中，涉案整改企业尚无日常合规管理体系的借机予以构建，已经具备的则借机完善。合规整改应成为企业构建或完善日常合规管理的契机。据此，未来制定企业合规整改计划应当遵循合规协同发展的思路，秉承合规与风控协同运行的路径。(6)这在中央企业已经展开。为全面推动中央企业合规管理工作再上新台阶，国资委要求积极探索深化法治框架下法律、合规、风控协同运作的有效路径，及时总结经验，完善工作机制。参见《国资委召开中央企业“合规管理强化年”工作部署会，提出全面推动合规工作的五点要求》，https://www.sohu.com/a/508649930_121106832，2022年5月11日访问。虽然这种方向性的调整从立场上保证了合规设计的合理性，但不能解决问题的全部；因为从企业合规经验丰富的美国实践来看，企业合规计划设计得再精致，在运行过程中仍然难以避免“合规失败”，还需要从运行的视角加强有效合规的保障机制。

要建立有效的合规计划，就需要进行专业化的合规风险评估，发现企业的风险点和重点风险领域，并围绕企业的合规风险来建设有针对性的合规计划。不能让合规管理流于形式化和表面化(7)参见陈瑞华：《论企业合规在行政监管机制中的地位》，《上海政法学院学报(法治论丛)》2021年第6期，第4页。，从我国的实践来看，企业合规在执行有效性方面的要领在于，如何实现合规监督评估的有效性。其中，将人工智能等数字技术融入企业合规整改的方案意义重大，作为企业治理方式，这不仅与企业数字化转型的要求相吻合，而且是技术创新发展的必然产物。在数字经济时代，数据是企业合规的关键，构建企业合规人工智能检察监督平台，既是预防企业违法犯罪、促进企业合法经营的内在需求，又是技术创新的必然。(8)韩曜旭：《将人工智能引入企业合规 为检察监督提供技术支撑》，《检察日报》2021年9月11日，第3版。实践中也进行了有益探索，比如，江苏省张家港市检察院研发合规智能管理平台，实现合规监督评估第三方组织随机规范抽取。(9)丁继华：《应用平台思维与智能技术 提升合规监督评估效能》，《检察日报》2021年10月9日，第3版。

目前，学界对数字技术在合规整改中的价值及其运用尚缺乏深入而系统的讨论。鉴于此，本文以刑事合规整改为对象思考并尝试回答如下问题：目前普遍展开的企业数字化转型对合规整改会带来哪些影响甚至是挑战？数字技术融入企业合规如何回应这些新的挑战？以及，未来如何积极有效并稳妥地推进数字技术的合规应用？最后，从日常合规管理与企业合规整改一体化或协同发展的视角来预判数字技术融入的前景，以及如何规避技术风险，即在充分发挥科技力量的同时还要保障“技术合规”，防止在追求合规的道路上埋下不合规的隐患、出现新的不合规现象。

二、企业数字化转型对合规整改的影响

2021年3月颁布的《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，明确要求加快数字经济建设。事实上，“十三五”以来，数字化管理、平台化设计、个性化定制、网络化协同、服务化延伸等融合发展新模式、新业态已然蓬勃发展。在企业的生产经营与管理不断走向数字化、网络化、智能化的背景下，作为企业治理方式的企业合规不可能置身事外。

企业合规这一犯罪治理模式自诞生之日就因面临诸多局限而被诟病(10)关于企业合规刑事司法化潜在风险的详细讨论，参见马明亮：《作为犯罪治理方式的企业合规》，《政法论坛》2020年第2期，第7-9页。，而企业的数字化转型会进一步放大企业合规整改自身的不足与局限，加剧运行中的困难，尤其是与科技密切相关的领域，比如金融服务，随着网络金融创新所带来的海量数据与系统风险使合规监管的复杂程度不断增加，如果完全依靠“纸上谈兵”的文件作业，刑事合规工作就无法有效开展。(11)参见李晓龙：《数字化时代的网络金融刑事合规》，《南京大学学报(哲学·人文科学·社会科学版)》2021年第5期，第14-15页。总体看来，这种影响主要表现为以下几个方面。

(一)企业合规整改成本的攀升

从全国情况来看，企业合规改革试点暴露的一个重要问题是合规投入高昂。(12)邱春艳：《最高检调研组赴江苏省张家港调研企业合规改革试点》，https://www.spp.gov.cn/tt/202105/t20210516_518255，2022年5月11日访问。这种高成本有两方面原因。一是企业合规整改设计的复杂性。合规设计的复杂性，包括企业治理、高管员工行为监控、规章制度调整、组织架构、合规文化、OA系统设计与改造、规则变化监控与应对、持续改进与监督等。在此基础上，还有外在刺激因素，比如不断更新的法律法规，使得企业合规内容更为复杂，尤其在特定法规的实施领域。二是合规监管的高成本。即便整改结束，因为还需要持续的监控、管理、风险评估和监管更新，合规投入不会结束。在数字经济时代，上述两个高成本因素都被扩大了。首先，企业合规整改设计更加复杂，比如截至2021年底，70多家中央企业在业务部门和一线项目设立合规联络员，全系统专兼职合规管理人员超过3万人。(13)《国资委召开中央企业“合规管理强化年”工作部署会，提出全面推动合规工作的五点要求》，https://www.sohu.com/a/508649930_121106832，2022年5月11日访问。其次，企业业务的网络化协同不断加深，这也促使合规整改从封闭地域整改到跨地域性整改，从单个企业整改向关联企业共同整改延伸，企业合规整改功能也从个案处理延伸为行业治理。在此背景下，执法机关为了实现有效监管必然设计复杂的运行机制，这些跨地域、跨部门的行业性合规整改，其监管成本远高于一般的合规整改。

(二)监管部门与合规人员获取企业数据与信息的困难加剧

在日常合规管理领域中有一个普遍共识，即数据是企业合规的基石。在数字时代，企业合规的一个重要挑战是数据的匮乏。(14)比如参见，Sally Simpson,White-Collar Crime:A Review of Recent Developments and Promising Directions for Future Research,39 ANN.REV.OF Soc.1(2013).因为企业数据与信息日渐呈现复合性、跨地域性与跨部门性等特点，在人力驱动型的企业整改范式下，监管部门与合规人员很难及时获得合规材料所需要的全面、真实的数据，尤其是大型跨国企业。这又直接影响合规风险评估的科学性与有效性。因为数字时代的合规风险具有多样性、联动性和复杂性等特点，所以风险的实时发现与监测越来越困难。监管部门与合规人员除了依靠经验对合规风险进行自上而下的全局判断之外，如果离开大数据和人工智能提供的业务关联分析和异动分析，就难以识别微观层面各种业务中的合规风险。

纵观各类合规建设指南，比如2004年11月生效的《美国量刑指南》、2011年3月英国司法部的《反贿赂法案》与2014年《ISO19600合规管理体系指南》，不难发现风险评估是公认的构成有效合规计划的核心要素之一，甚至是基础与首要条件。(15)③张远煌等：《企业合规全球考察》，北京大学出版社2021年版，第449、184页。企业合规风险评估的开展必须具备深入性且符合经济规律。比如在美国，评估合规计划是否为“纸面计划”的重要标准是，是否与业务密切相关，是否与公司运营脱节。(16)比如，美国司法部2020年第二次修订《公司合规计划评估》，对核心问题中的“有效运作”予以明确，更加关注合规计划在“企业康复”方面的实效。参见莫丽华：《从摩根大通案看美国〈公司合规计划评估〉新近发展》，《中国检察官》2021年第18期，第78页。在意大利，2004年米兰法院的一份判决中提出了合规方案是否适格的判断原则与特征。其中两个重要因素：一是从实务以及经济本质的角度阐述，而不是一个纯粹法律或官方的角度；二是基于深入的风险分析，以便能够具体地预防犯罪，同时还制定了正式的决策程序。这都需要完整、准确、及时的商业信息与数据。在我国，作为监管方的第三方机制委员会、第三方组织与作为验收方的检察院，审查合规报告材料的真实性与可信性时也离不开相关企业数据与信息支撑。(17)根据《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》第13、14条的规定。合规材料包括第三方组织合规考察书面报告、涉案企业合规计划与定期书面报告等。从目前的实践来看，监管机构与检察院尚未采用数字技术手段确保企业整改数据的全面、真实可信，如此一来，即便企业提供了虚假材料与信息，检察院也很难发现。(18)企业作伪证会直接影响整改的有效性。在意大利，由法院对企业合规方案进行司法审查。如果企业向法院作伪证，就会被认定为无效合规计划。参见张远煌等：《企业合规全球考察》，北京大学出版社2021年版，第180-185页。

(三)执法部门“人力组合”的监管方式升级为以信息共享为前提的监管协同

在数字经济时代，执法部门在企业整改中越来越离不开信息共享与监管协同，尤其是在跨地域、跨部门的企业整改中。从理论上讲，信息共享适用于企业整改中的多个场景，除了行政机关与司法机关的“行刑”衔接场景之外，根据《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(下文简称《指导意见》)的规定，信息共享还将适用于三个场景：一是第三方组织对涉案企业的合规承诺进行调查、评估、监督和考察；二是第三方机制管委会对第三方组织开展日常监督和巡回检查；三是第三方机制管委会对地方的第三方机制管委会和第三方组织开展日常监督和巡回检查。

实践中，针对跨地域的企业合规整改，屡屡出现合规监管的异地合作情况。比如，针对涉案企业注册地、生产经营地和犯罪地分离的情况，上海、浙江检察机关依托长三角区域检察协作平台，通过个案办理探索建立企业合规异地协作工作机制，确立了“委托方发起”“受托方协助”“第三方执行”的合规考察异地协作模式。(19)《最高检发布第二批企业合规典型案例》，https://www.spp.gov.cn/xwfbh/wsfbt/202112/t20211215_538815.shtml#1，2022年5月11日访问。这种做法在很大程度上可以破解异地社会调查、监督考察、行刑衔接等难题，但由于数据不能同步共享，不仅导致社会调查报告的信息真实性与全面性不足，而且难以形成执法部门之间实质意义的监管协同，结果是成本攀升的同时却难以保障质效。虽然很多行政执法部门已经将信息化技术用于预防与治理涉企犯罪，比如企业涉税案件，税务机关会用“金税三期系统”来识别与筛查风险，(20)金税工程是经国务院批准的国家级电子政务工程，是国家电子政务“十二金”工程之一，是税收管理信息系统工程的总称。自1994年开始，历经金税一期、金税二期、金税三期工程建设，为我国税收工作取得巨大成就和不断进步做出了重要的贡献。但遗憾的是，目前并没有整合到检察院主导的合规整改机制之中。

(四)企业合规监管中的公开性与商业秘密、个人隐私、数据安全保护之间的矛盾加剧

《数据安全法》《个人信息保护法》强化了数据安全与隐私保护的要求，但目前主要基于“人力驱动”的企业整改模式对此并没有充分关照。根据《指导意见》第17条的规定，我国的第三方组织及其组成人员在合规考察期内享有基于监督、评估需要的调查权，同时也承担系列监管义务。比如，不得干扰、影响企业正常生产经营活动，不得泄露履职过程中知悉的国家秘密、商业秘密和个人隐私，其中也包括企业生产经营信息。虽然没有明确要求第三方组织在调查过程中的公开与透明要求，但实践中，为了确保程序的公正性，检察院在整改验收时往往采用公开听证的方式，以提升合规的公开性与可视化。虽然目前并没有发生企业经营信息、商业秘密与个人隐私泄露事件，但如果不在企业合规整改过程中融入现代密码学技术，潜伏期间的风险将会与日俱增。合规人员可以在不依赖技术的情况下为企业提供合规管理和帮助，但逐渐发现这是一种不可持续的方法。从工作流程管理到风险评估和管理，最终形成报告，其间的数据保护和隐私压力愈来愈大。(21)Evgeny Likhoded，What opportunities lie ahead for compliance technology in 2020 and beyond，https://e27.co/what-opportunities-lie-ahead-for-compliance-technology-in-2020-and-beyond-20200522/，2022年1月1日访问。

三、企业整改中的合规科技价值与实现方案

为了应对来自数字经济时代的挑战，企业合规整改需要思考如何数字化转型。接下来，将在深入分析数字技术融入合规整改中的价值的基础上，探讨合理的实现方案。

(一)合规科技的兴起

从学理上说，以数据为驱动力，以区块链、云计算、人工智能等技术为依托，以提高合规和监管效率为价值导向，以标准化、数字化、智能化为特征的解决方案，都可以统称为合规科技。(22)在具体表现形态上，科技运用于监管端称为监管科技；运用于客户端称为合规科技。参见丁晨：《新形势下的合规科技创新——数据驱动的智能风险分析体系》，《清华金融评论》2019年第6期，第1页。作为社会治理手段的企业合规，数字技术的融入乃数字经济时代的必然产物。广泛的合规技术再设计和集成，可以适用于包括合规整改在内的系列企业业务流程，包括创建统一的合规风险类别，更好的监管风险识别，合规标准的自动化监管，监管变化和应用等。(23)See Ernst & Young,Innovating With Regtech:Turning regulatory Compliance Into A Competitive Advantage(2016),http://www.ey.com/Publication/vwLUAssets/EY-Innovating-with-RegTech/$FILE/EY-Innovating-with-RegTech.pdf，2021年12月19日访问。从目前我国的现状来看，合规科技在企业整改中只有零星探索，更多地适用于日常合规管理。具体方式是引入大数据、人工智能等数字化技术对合规风险进行智能化的监控、识别和分析，并对合规实施效果进行实时、可视以及量化的评价，旨在有效帮助企业预防、监测合规风险，实现事后快速响应，推动企业合规数字化转型。比如医药行业的区块链监管平台，重庆市渝中区于2019年探索并构建了电子处方区块链流转平台，不仅可以实现政府对诊疗过程事前提醒、事中监控、事后追溯的全方位监管，而且实现了电子处方合规流转，确保用户隐私和数据安全。(24)《重庆市渝中区电子处方区块链流转平台应用落地-链客区块链技术开发者社区》，https://www.liankexing.com/notetwo/14853，2022年1月7日访问。

除此之外，数字技术还适用于公安机关探索的合规预警监管模式——企业的日常合规管理与合规整改的“中间地带”。基于社会治理与维护稳定的需要，公安机关在没有立案的情况下，将地方所有企业可能存在的违法犯罪风险通过数字化方式更为直观地展现出来，将数据提供给地方政府用于决策，同时要求风险比较高的企业予以整改。比如，某市公安局构建的企业恶意逃废风险预警防控平台，初衷是汇聚企业能耗、信贷等反映企业运行情况的数据，通过建模的方式判定企业恶意逃废债的风险。

(二)合规科技应用于企业合规整改中的价值

如前文所述，企业日常管理合规与企业整改在目标与价值上具有共通性，因此，合规科技在企业整改中发挥作用也是顺理成章的事情。

首先，基于合规科技的优势，执法部门与合规人员可以及时获取真实、全面的数据，这不仅为企业合规整改做好信息准备，而且能促进监管执法协同。比如，通过神经网络可以识别来自不同来源的非结构化数据文件中的文本和逻辑模式，用于搜寻和分类记账过程中的不合规现象。这一过程包括对大量文件进行无监督的培训，以便找到后来可能与这些过程中的不合规群体相关联的语义群体。(25)Fabrizio Bon Vecchio,DéboraManke Vieira，Compliance programs and artificial intelligence，Studies in Law:Research Papers，2021,No.1(28).p.66.通过机器学习解决方案则能生成大量数据；利用区块链技术基于共识算法的防篡改功能可以确保数据的真实可靠。(26)关于区块链中的共识算法，详细讨论参见陈晓红等：《区块链技术及应用发展》，清华大学出版社2020年版，第93-97页。

其次，合规科技可以赋能企业整改的每个环节，提升整改质效。其一，在风险识别方面，大数据分析等智能技术不仅可以对来自合规、业务和会计流程的海量企业数据，以及来自企业外部的媒体等互联网数据进行审核，还可以进行推理，在存在不合理模式和/或违反政策的任何地方识别危险信号。认知机器学习可以将其提升到另一个层次，因为系统可以继续消化这些数据并自我学习，以做出主动预测并提前发出警报。(27)Naveen Bhardwaj，The Role of Smart Technologies in Data-Driven Compliance Programs，https://www.corporatecomplianceinsights.com,2021年12月30日访问。其二，在风险评估方面，通过数字技术的应用，可以将风险发生、合规失误、报告事项、审计结果、发生频率等各种合规流程的数据喂养，以模式、趋势、图表和热点地图的形式进行解释和呈现。所有此类分析都可用于风险评估活动，以确定风险及其优先级。其三，在审计与监测方面，如果以检察院为发起方建立企业合规整改监管联盟链(28)根据参与者的不同，区块链技术可以分为公有链、私有链和联盟链，关于联盟链结构的详细讨论，参见杨保华、陈昌编：《区块链原理、技术与应用》，机械工业出版社2020年版，第19页。，那么，涉案企业与监管机构都可以在联盟中利用区块链中的记录，如任务创建记录、数据流转过程、数据指纹、数据申请和调用方式等，对企业整改整体流程进行高效的监督和审计。其四，在出具定期书面报告方面，企业可以依托大数据指标平台与智能算法平台，将海量信息数据结合指标化定义，实现一键式快速生成监管报表。同时，通过可视化技术进行数据分析，实现对数据进行可视化、透明化披露。(29)童玲：《大数据与智能驱动的合规平台实践》，《金融电子化》2017年第5期，第72页。这同时也有利于第三方组织对书面报告开展检查、评估工作。

再次，合规技术因为能够简化复杂的合规流程进而提高效率，节省成本。比如，区块链技术能够跟踪每一个商品或者信息的完整路径，这将大大提高审计效率。目前，阿里、腾讯、招商银行都推出了自己的区块链电子发票系统。这对企业员工而言，因为不用贴发票而提高了工作效率；对税务系统来说意义更大，核税会变得更容易，执行成本会变得很低，同时会解决很多偷税漏税的问题。(30)《区块链与合规：合规是最直接的区块链落地方向》，https://www.jianshu.com/p/9880c5871f27，2021年8月12日访问。

除了上述三方面价值之外，合规技术还能发挥诸多场景化功用，比如在解决第三方组织的调查、监管中的公开性与商业秘密、个人隐私保护的矛盾问题方面，“区块链+隐私计算”技术的应用可以缓解甚至消弭该紧张关系。还比如，构建企业合规整改监管联盟链，利用区块链技术的存证溯源功能，从技术路径防范基于人为因素的监管腐败问题。

(三)企业整改中的合规科技应用：目标、思路与具体方案

企业整改中的合规科技应用，旨在提升企业数字技术应用、软件应用、数据管理等数字化能力，其未来的理想蓝图是，第三方机制管委会、第三方组织、企业合规人员乃至检察官可以通过单击按钮监控多个合规流程，仪表板上可以提供所有关键指标和数据。实现愿景过程中的底线是确保合规科技的适格性，目前来看，以有效性、兼容性和集成性为主要考量因素为宜。有效性是以技术自身功能为视角的判断，需要结合合规整改的场景与具体环节来衡量。而兼容性和集成性则是以技术关系为视角的判断，即任何加入合规技术库的新工具不仅能够与其他现有工具集成，而且能够通过数据喂养保持彼此学习的能力。(31)Naveen Bhardwaj，The Role of Smart Technologies in Data-Driven Compliance Programs，https://www.corporatecomplianceinsights.com,2021年12月30日访问。

合规科技在企业整改中的部署思路，以整改的内容与需求为指针可以分为两个：一是针对跨部门、涉及行业的企业整改构建综合性智能平台。比如金融服务领域，银行和监管方可以协同合作构建针对银行现有审计业务流程的合规平台，将各项监管政策与合规性要求“翻译”成数字化监管协议，对接监管平台的应用程序编程接口，实现监管规则的机器可读、可执行、可对接。(32)丁晨：《新形势下的合规科技创新——数据驱动的智能风险分析体系》，《清华金融评论》2019年第6期，第71页。二是针对“类型化合规体系”构建专门化智能平台(33)关于类型化合规体系的思维与设想，详细参见陈瑞华：《企业有效合规整改的基本思路》，《政法论坛》2022年第1期，第88页。，比如针对涉嫌实施侵犯公民个人信息、帮助信息网络犯罪活动等犯罪的企业，建立数据保护合规管理信息系统。当然，无论哪类平台都应当围绕合规整改的基本要素来制订合规科技的融入方案，即围绕业务运营与合规流程展开，设定系统的功能目标及技术类型。

在具体的推进路径方面需要把握三个要点：第一，推进的原则。应当采用“匹配原则”，即针对大、中、小微各类企业，分类分级地推进企业合规整改的数字化转型。毕竟合规科技本身又带来新的合规成本，其实际运行也需要诸多技术条件。从整改企业的角度来讲，合规科技的推进应当结合涉案罪名、企业规模、企业IT基础设施、经营性质、合规整改的要求与复杂程度等综合判断，决定是否优先以及采用何种规模的合规科技。比如，大型企业宜采用大规模的合规科技平台；重点行业比如大数据、金融科技公司、平台企业、智能科技公司应当重点推进；人力驱动的合规整改面临困难大、复杂程度高的领域，比如跨地域的合规整改优先适用数据共享平台。第二，推进的主体。由合规整改的参与主体单独或联合构建平台。按照目前探索的企业合规整改机制，企业、第三方组织、第三方机制管委会与检察院四方主体参与其中。涉案企业可以构建合规风险自测系统，通过公共法律服务网站平台入口，借助智能化系统开展企业合规风险自测，获得风险评估报告和等级评价，提升合规整改的质效；而第三方机制管委会与检察院可以构建合规智能化系统，对企业或者第三方组织评估提交的合规材料进行分析研判扫描。当然，四方主体也可以联合构建智能化系统。第三，推进的立法依据。刑事企业合规的顺利实施，离不开未来的修法跟进，或者修改《刑事诉讼法》，在其中增加刑事合规特别程序；或者立法机关制定企业合规的专门法律，参与企业合规的各部门可以联合或单独发布企业合规规范性文件。(34)参见杨宇冠：《企业合规与刑事诉讼法修改》，《中国刑事法杂志》2021年第6期。无论哪种模式，建议在内容中增加一节“企业合规数字技术应用”，以此提供合规科技推进的法律依据。

四、合规科技的前景与技术规则治理体系

随着数字经济时代来临，如何就法律、合规、风险、内控管理体系进行有效衔接、协调统一，如何进一步整合管理资源，提升管理效能，已经成为企业合规的发展趋势。比如2020年国资委发布的《关于开展对标世界一流管理提升行动的通知》提出，央企要“构建全面、全员、全过程、全体系的风险防控机制”。2021年10月17日国资委又印发了《关于进一步深化法治央企建设的意见》，明确要求央企“探索建立法律、合规、风险、内控一体化管理平台”。在此背景下，有必要从日常合规管理与企业合规整改一体化的视角来思考合规科技的前景。

(一)合规科技的发展趋势

这可以从全球趋势与我国实践情况两个视角来分析。一是，从全球范围来看，运用数字技术实现合规的数字化与基于算法的大数据汇总，以处理好企业日常管理风险、新技术与合规计划的关系，已经成为全球近来的一个发展方向。围绕企业管理风险、新技术与合规关系的诸多讨论，已然影响了企业合规的发展走势，尤其是金融服务领域。事实上，自20世纪80年代以来，有企业就将合规科技用于日常管理之中，比如高盛的风险建模技术。与其他竞争对手不同，高盛的系统将基于复杂的定量风险预测程序的每日趋势报告纳入其监测能力。正是这种准备，尽管高盛在2007年遭受了损失，但其受损程度远远低于其同行。(35)Kenneth A.Bamberger,Technologies of Compliance:Risk and Regulation in a Digital Age,88 TEX.L.REV.669 (2010).Vol.88,pp.739-742.已经倒闭的竞争对手很多，如贝尔斯登蒸汽公司、雷曼兄弟公司和美林公司。高盛不仅避免了倒闭的命运，相反，在2009年便获得了创纪录的利润。See William S.Laufer，The Missing Account Of Progressive Corporate Criminal Law，New York University Journal Of Law & Business，Volume 14，Fall 2017，Number 1，89.自2008年全球金融危机以来，将技术创新应用于合规和报告的需求获得了进一步增长。(36)Douglas W Arner,Jànos Barberis and Ross P Buckey,FinTech,RegTech,and the Reconceptualization of Financial Regulation，(2016) 37 Northwestern Journal of International Law & Business，p.388.目前，企业合规的数字化转型远不限于金融服务领域，跨行业、跨部门和跨风险领域的大数据已经系统地聚合、分解和挖掘，比如，作为第三方市场的合规技术产品——GRC软件、系统和服务(37)GRC(governance,risk,and compliance)，即治理、风险和合规的简称。近年来，人工智能和认知科学的技术不断重塑GRC模型。See William S.Laufer，The Missing Account Of Progressive Corporate Criminal Law，New York University Journal Of Law & Business，Volume 14，Fall 2017，Number 1，89.，仅2009年就增长到了520亿美元，而且这一增长势必呈指数级增长。(38)Kenneth A.Bamberger,Technologies of Compliance:Risk and Regulation in a Digital Age,88 TEX.L.REV.669 (2010).Vol.88,p.669.作为一个跨功能平台，GRC特别有希望用于实时监测监管变化、最小化操作风险、管理来自供应商和多层供应链合作伙伴的风险。(39)William S.Laufer，The Missing Account Of Progressive Corporate Criminal Law，New York University Journal Of Law & Business，Volume 14，Fall 2017，Number 1，90.以至于有论者认为，日益复杂的合规数据分析和企业广泛的GRC系统将很快取代笨重和陈旧的遗留系统和软件。(40)William S.Laufer,AVery Special Regulatory Milestone,20 U.Pa.J.Bus.L.396.397(2018).2019年，汤森路透(Thomson Reuters)监管情报第十次年度合规成本报告预测了未来10年合规方面的最大变化，排在首位的是合规活动的自动化，包括增加机器学习和人工智能的使用。(41)Susannah Hammond & Mike Cowan，Cost of Compliance:New decade,new challenges.Thomson Reuters Regulatory Intelligence.https://corporate.thomsonreuters.com/Cost-of-Compliance-2020虽然这主要针对非涉案合规，也是有启发意义的。

企业合规整改领域也不例外。2020年6月，美国司法部继2019年之后再次更新了《企业合规机制评估指南》。其中显著的变化是，改变了检察官三个基本问题之一的询问方式，即“合规体系是否得到公司认真且诚实地实施”。因为在此之前，指南要求检察官审查公司的合规体系是否“得到了有效实施”。而更新后的指南具体阐明了这一问题关键，即要求检察官审查公司的合规体系是否“有足够的资源和权力来有效运作”。除此之外，合规职能部门能否访问相关数据十分重要，更新后的指南首次谈到合规职能部门如何能够访问“相关数据源”，是否能够及时访问数据，以及此类访问是否存在障碍。有论者认为，合规职能部门能否获得“数据资源和访问权限”将是确定“合规计划是否有足够资源并有权有效运作”的关键参数之一。(42)See“Guidance on Evaluation of Corporate Compliance Programs” released in July 2020 by U.S.Department of Justice,p.3.因此，数据分析对于合规计划来说变得比以往任何时候都重要。

二是，反观我国可以发现，合规科技在企业日常合规管理的应用越来越普遍，在合规整改中的应用趋势也日益明显。这不仅是企业业务数字化转型背景的必然产物，更关键的是有国家在政策、立法层面的顶层支持与实务部门的强力推动。比如，国务院2021年12月印发的《“十四五”数字经济发展规划》(国发〔2021〕29号)，要求通过基于大数据、人工智能、区块链等新技术的统计监测和决策分析体系，提升数字经济治理的精准性、协调性和有效性。在数据安全合规领域，《数据安全法》第16条明确指出：国家鼓励培育、发展数据开发利用和数据安全产品、产业体系。(43)至于如何研发数据安全产品，很多地方出台指导意见，比如广州市国资委印发了《广州市国资委监管企业数据安全合规管理指南(试行2021年版)》。在实务层面，相关部门强力推进“通过新技术提升企业合规管理效能”的方案。比如，2021年12月3日，国务院国资委召开中央企业“合规管理强化年”工作部署会，将强化合规放到保障企业高质量发展的层面来推动，力争通过一年时间推动企业合规管理工作再上新台阶。其中的重要举措是，加大资源投入力度，建立合规管理在线监管系统。(44)《国资委召开中央企业“合规管理强化年”工作部署会，提出全面推动合规工作的五点要求》，https://www.sohu.com/a/508649930_121106832，2022年5月11日访问。虽然目前合规科技的应用与推进尚处于央企层面与数据合规领域，但作为一种趋势，本质为企业管理方式的企业合规必然走向数字化的道路。

(二)理性审视合规科技的价值边界

虽然合规科技在推进企业合规制度发展方面有着重要甚至是不可替代的价值，实践也证明了这种预期，比如助力企业合规的质效及其社会治理功能的实现(45)目前的典型例证是，金融服务业已经从金融技术、监管技术和保险技术的有效实施中获益良多。Susannah Hammond & Mike Cowan，Cost of Compliance:New decade,new challenges.Thomson Reuters Regulatory Intelligence.https://corporate.thomsonreuters.com/Cost-of-Compliance-2020.，但我们不能因此陷入技术崇拜主义的错误倾向，认为通过合规科技可以解决企业合规中的所有问题，甚至视之为“定海神针”，让企业合规走向全盘科技化。因为无论是从数字技术内省还是从外部功能实现来看，合规科技有内部价值边界与外部价值边界，必须时刻警醒其有所不能；否则，数字技术的融入将带来更多的负面作用甚至会毁损企业合规的功能。

首先，作为现代科技的组成部分，合规科技能够发挥的作用有其限度，可以称之为合规科技价值的内部边界。这主要因为技术既受自身的制约，又受自然规律的制约。(46)刘同舫：《技术的异化与技术的边界》，《理论界》2006年第7期，第198-199页。以人工智能为例，截至目前，人工智能研究已形成了至少几千种不同的技术路线，其中最成功、影响最大的有两种：基于模型的暴力法与基于元模型的训练法，但它们都不能有效应对现实层的不确定性问题(47)陈小平：《人工智能的历史进步、目标定位和思维演化》，《开放时代》2018年第6期，第32-37页。，这主要源于两种方法“以数学原理为基础的机器思维”的本质。(48)详细论述参见马兆远：《人工智能之不能》，中信出版社2020年版，第187-253页。作为一种科学的立场，只有知道了人工智能的“不能”，对人工智能的了解才算全面(49)马兆远：《正视人工智能的“不能”》，《中国科技报》2020年3月26日，第7版。。对待合规科技的应用转化也是如此，必须充分考虑技术上的“不能”，不可将全能型合规科技作为一个目标；相反，应当确立具体的场景适用准则，这可以借鉴人工智能的封闭性准则。有论者将现有人工智能技术的能力边界称为“封闭性”并提出封闭性准则。如果满足下列两条件之一的，该应用场景就具有封闭性，可以通过人工智能技术实现预期目标：(1)存在一个可计算的和语义完全的模型，并且所有提问在该模型的可解范围内；(2)存在有限确定的元模型,并且代表性数据集也是有限确定的。在此基础上又提出强封闭性准则，即在满足强封闭性准则的场景中，现有人工智能技术可以大规模应用，而在不满足该准则的场景中难以获得成功应用。(50)陈小平：《封闭性场景：人工智能的产业化路径》，《文化纵横》2020年第1期，第37-38页。

其次，合规科技在企业合规实践中发挥正向作用，需要外部条件与特定的制度保障，可以称之为合规科技价值的外部边界。具体分为两个层面：一是，企业接受合规科技离不开诸多现实条件。因为数字技术的融入会改变合规模式——从仅仅依赖人力资本转变为更加数字化的路径，这会引发一系列新的挑战，比如对合规人员提出新的要求，他们需要掌握实时技术才能“与时俱进”。监管技术在金融合规领域的应用就是典型，因为监管技术能够分别处理大量非结构化和结构化数据并使其自动化，合规人员因此将注意力不断转移到调查和评估数据上，而且越来越多地成为数据分析师而不是数据收集者。(51)Compliance Officer of the Future：Fusion Compliance Technology，https://www.fusioncompliancetech.com/compliance-officer-of-the-future/2021年1月3日访问。美国司法部还强调，跨职能部门持续访问相关数据是合规官的关键工作，see Updates and Revisions,Risk Assessment,“Guidance on Evaluation of Corporate Compliance Programs” released in July 2020 by U.S.Department of Justice,p.3.据此，相关企业监管部门或企业协会，应当进一步强化对企业合规人员技术原理与实操的培训，丰富其知识结构，尤其是树立其数字技术思维。除此之外，企业接受合规科技还包括其他条件，比如，合规科技平台尤其是综合性智能平台，其目标设定必须能够解决具体问题而不能过于抽象，企业硬件、软件基础设施要与合规科技相匹配，如此，企业才可能接受合规科技。二是，数字技术的应用会衍生系列风险，必须构建技术规则治理体系予以应对。从技术层面来看，科技向来是把“双刃剑”，它们在释放红利的同时，也会衍生出安全风险、合法合规风险、伦理风险等。正如“自反性现代化”的经典命题所揭示出的那般，用以消弭风险的技术手段有时“恰恰是风险生产的诱因”(52)参见许可：《个人信息治理的科技之维》，《东方法学》2021年第5期。，适用于企业合规的技术可能带来新的不合规现象。因此，未来必须构建技术规则治理体系，以有效地防范合规科技应用所衍生的风险。其核心是建立和完善数字技术的应用审查机制和监管法律体系。中央网络安全和信息化委员会印发的《“十四五”国家信息化规划》对此指明了方向，主要包括如下四个方面：(1)技术算法规制。比如GRC技术系统提供了强大的合规工具，但也带来了真正的危险。它们允许计算机程序员解释法律；它们掩盖了政策制定者所关心的危险的不确定性；它们通过“自动化偏见”来扭曲决策，这种偏见将个人利益置于合理判断之上；它们缺乏透明度，妨碍了监督和问责制。(53)Kenneth A.Bamberger,Technologies of Compliance:Risk and Regulation in a Digital Age,88 TEX.L.REV.669 (2010).Vol.88:669.(2)技术标准制定。与任何有可能影响许多利益相关者的新颠覆性技术一样，合规科技的发展往往超过法律改革和监管治理的步伐，开发、使用和监督缺乏标准化是一个普遍现象。(3)技术安全评估审查。一般认为，备案制度和安全评估制度是实现敏捷治理目标的良好制度设计。(4)伦理论证。从域外经验来看，为平衡技术创新和人权保障，人工智能伦理框架的构建必不可少(54)比如2019年4月8日，欧盟委员会发布了《人工智能道德准则》(Ethics Guidelines for Trustworthy AI)，对未来人工智能的发展提出7个要求：受人类监管、技术的稳健性和安全性、隐私和数据管理、透明度、多样性、非歧视性和公平性、社会和环境福祉以及问责制。，将伦理道德融入包括人工智能在内的合规科技全生命周期，为从事相关活动的自然人、法人和其他相关机构等提供伦理指引乃当代之需。(55)2021年9月25日，国家新一代人工智能治理专业委员会发布了《新一代人工智能伦理规范》的宗旨。而且该规范明确提出了增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养等6项基本伦理要求，以及特定活动的18项具体伦理要求，这为合规科技发展提供了基本遵循。其间，需要明确人工智能、区块链等关键应用法律主体及相关责任。合规科技的使用包含系统错误风险、技术责任和问责制的问题。因此，实施带有这种系统错误风险的监管科技和合规解决方案会导致一个关键问题，即当发生此类技术故障事件时，尤其是在技术本身不具有法律主体资格的情况下产生大量受害者，那么，谁之过错或责任？是实施和使用该技术的企业(机构)、创建软件的监管科技公司、输入或提供数据的承包商、提供不正确数据的客户，还是未能监督和识别应负责任的合规官？该答案必然取决于错误本身的性质，并且在因果链中涉及多方时可能会变得更加复杂。(56)Amy Wang，The Role Of Regtech In Augmenting Regulatory Compliance:Regulating Technology,Accountability And Liability，[2019] UNSWLawJlStuS10.http://classic.austlii.edu.au/au/journals/UNSWLawJlStuS/2019/10.htm,2021年12月3日访问。

因此，必须审慎地把握合规科技的内部与外部价值边界，在此基础上做好应对准备，如此才可以确保数字技术在推进企业合规制度建设中发挥正向功能。

五、结语：“通过设计实现合规”的智能合规时代

在数字经济时代，企业行为工具不断数字化，但作为企业治理方式的企业合规整改，存在其工具的数字化程度匹配不足问题并暴露出整改能力的局限性。比如在金融服务领域，算法决策、软件代理、智能合约等技术工具逐渐成为金融机构标准化基础架构，但传统刑事合规所面临的信息偏差、技术劣势与监管障碍日趋严重。(57)参见李晓龙：《数字化时代的网络金融刑事合规》，《南京大学学报(哲学·人文科学·社会科学版)》2021年第5期，第13页。鉴于此，合规整改的工具必须与企业行为工具“平等武装”，如此才能实现合规计划的预期效能，也才能确保其在数字时代的敏捷性与广泛适用性。目前的重点问题是，如何逐步推动以“人力驱动”为主的企业合规整改模式转向“人力+科技”驱动的模式。合规科技的本质是“通过设计实现合规”，这与数字时代的内在要求相吻合，所以，尽管有着来自公司结构与监管模式的挑战以及技术合规的风险，但合规科技的发生发达仍然是不可阻挡的趋势。虽然合规科技在我国目前企业合规整改中的应用寥若晨星，但是，制度改革者、推动者与企业必须以积极的姿态迎接“数据驱动”的智能合规时代，并从技术思维、基础设施与规则治理等方面做好准备，这是实现合规有效整改的技术保障。