由事后惩治向事前合规:侵犯公民个人信息罪的治理模式转型*
2024-04-10郑自飞
郑自飞
(成都大学 法学院,四川 成都 610106)
一、引 言
根据中国互联网协会《中国网民权益保护调查报告(2021)》显示,约一年间,因个人信息泄露、垃圾信息、诈骗信息等原因,网民总体损失约达805亿元人民币,82.3%的网民受到了个人信息泄露的不良影响[1]。互联网大数据的迅速发展,数据应用价值的不断挖掘,使得公民已经自觉或不自觉地遨游于大数据的海洋中。“随着网络云计算和大数据的兴起,伴生而来的是涉及网络数据及其控制权的违法犯罪案件开始快速增加”[2]7,个人信息保护问题已然成为互联网大数据时代人民群众利益保护的核心议题。面对个人信息相关违法犯罪案件的激增态势,“国家机器强势介入,开始‘运动式’打击个人信息泄漏行为,旨在以迅雷不及掩耳之势压减违法犯罪行为”[2]4。然而,经验性事实表明,即便我国在持续完善其他法律保护手段,使侵犯公民个人信息罪刑事制裁法网更严密,加大刑事制裁力度,但是个人信息的刑法保护效果仍不理想。这也反映出,事后性刑事制裁对侵犯公民个人信息罪的治理效果终究具有局限性,我们理应转换视角,寻求疏源截流并举的多元化协同保护机制。
在我国刑事司法实践中,2017年甘肃省兰州市中级人民法院对“××公司员工侵犯公民个人信息案”(1)有关更详细内容,请参见甘肃省兰州市城关区人民法院(2016)甘102刑初605号刑事判决书,兰州市中级人民法院(2017)甘01刑终89号刑事裁定书。的终审裁定曾被称为“企业刑事合规抗辩第一案”。有学者指出:“这一裁决的重大突破在于,法院以企业合规管理体系为依据,认定单位不存在构成犯罪所需要的主观意志因素,从而将单位责任与员工个人责任进行了切割。”[3]相较于理论而言,该案可以说是合规计划“实践先导式”的发展。在当前我国行政监管部门大力推进企业合规管理体系建设和企业全面启动建立合规机制试点的背景下,在侵犯公民个人信息罪治理中,合规计划如何在理论层面对“实践先导式”发展进行梳理和思考,是一个亟待澄清的问题。
合规最早被界定为“对法规的遵守”。德国学者弗兰克·萨力格尔将刑事合规定义为:“包括实体规则与形式规则之整体,从法人及没有法人资格的公司的角度来看,其在法定可罚性领域(刑事实体法)的前置领域内,应前瞻性地避免刑事责任风险。”[4]尽管当前我国学界在刑事合规计划的概念界定上尚未达成共识,但是在刑事合规计划旨在及时发现并预防企业及其内部员工的违法犯罪行为这一点上毫无争议。合规计划是现代社会治理犯罪尤其是企业犯罪的重要手段,其独特作用在于将原属于国家公权的管理责任通过有效的形式转移或分担给个人和社会组织,特别是“促进企业自我监管,从而缓解国家对犯罪行为的监管负担”[5]142。这意味着,从刑事合规的角度思考侵犯公民个人信息犯罪的“事前规划”式风险预防机制,合规疏源与刑法截流并举,既可提升个人信息保护的多元性和有效性,亦可缓解侵犯公民个人信息罪在刑法规制扩张与刑法谦抑性理念之间的紧张关系。同时,通过典型个罪的刑事立法与司法实践检验刑事合规,揭开合规计划的神秘面纱,也将为构建具有中国特色的刑事合规制度提供可靠经验。
2022年12月,最高人民检察院在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)(2)我国法律文本全称均有“中华人民共和国”作定语,为行文简洁,后文涉及我国法律文本时,均将其省略。贯彻实施一周年之际,印发五件检察机关依法惩治侵犯公民个人信息犯罪的典型案例,彰显了检察机关依法从严惩治侵犯公民个人信息犯罪的政策导向,也对提高平台和行业内部管控,推动个人信息协同保护机制建设,实现全链条打击、溯源治理和协同治理提出了新要求。因此,本文以侵犯公民个人信息罪的传统刑法治理思路为切入点,揭示合规计划在侵犯公民个人信息罪治理中的功能和运作机制,进而思考合规计划融入侵犯公民个人信息罪治理的可行路径,推动侵犯公民个人信息罪的治理由事后惩治向事前合规的新型治理模式转型。
二、侵犯公民个人信息罪刑法治理的严密化与传统思路困境
从当前我国侵犯公民个人信息罪的刑事立法和司法实践现状看,在坚持从严打击的刑事政策导向下,刑事立法和司法均在循序渐进地将规制范围严密化和加大规制力度。正如有学者所言:“在刑事法领域,对于侵犯公民个人信息罪的惩治处于不断扩张态势,法益保护的链条不断拉长,刑法修正立法频繁,刑事司法解释呈现细密化、扩大化趋势。”[6]将“这一现实视为给定的,把其中的特定现象视为经验证据”[7],将是我们进一步探讨侵犯公民个人信息罪规制问题的必然选择。侵犯公民个人信息罪的行为主体既是违法犯罪行为的实施者,也是相应法律后果的承担者。因此,只有借助司法实践中行为主体的特定现象,针对性地分析思考相关犯罪的防控措施,方能有的放矢。
(一)侵犯公民个人信息罪刑法治理的严密化走向
一方面,随着互联网虚拟社会在我国的快速形成,个人信息的商业价值得到全面发掘,刑事立法对公民个人信息保护的重要性愈加被重视,网络刑事立法观的更新促使刑法逐步将侵犯公民个人信息罪的规制范围严密化,并加大规制力度。从个人信息刑事保护模式上看,个人信息刑事保护历经附属于其他权利保护、数据安全保护、专属保护三个阶段[8],整体趋于精细化、严密化。具体而言,个人信息早期依附于隐私权、通信自由权等传统权利而得以刑法保护,后来发展到通过维护数据安全而被保护。随着个人信息权能的丰富化和独立化,我国《刑法》赋予个人信息保护的专属性,对其确立了以侵犯公民个人信息罪和拒不履行信息网络安全管理义务罪为核心的专属保护机制。在这一发展过程中,刑事立法不仅实现了规制行为方式的多样化,而且实现了规制行为主体的扩大化。从微观视角看,《刑法》将非法提供、出售、获取行为进行全面规制防范,且有学者主张进一步扩张侵犯公民个人信息罪的行为规制范围,将非法使用行为纳入其中[9]118-126。由于行为方式取决于主体的主观选择,其多样化也意味着规制行为主体的多元化。从宏观层面看,“通过立法手段扩大‘侵犯公民个人信息罪’的行为主体”[2]11的范围,即从国家机关或者金融、电信、交通、教育、医疗等单位的工作人员这一类特殊主体扩大到所有自然人与单位,这实现了从单纯打击自然人到打击自然人和单位的双管齐下。同时,《刑法修正案》增加“从重处罚”的规定,提升法定刑幅度,均是针对行为主体强化规制力度的表现。
另一方面,侵犯公民个人信息相关犯罪的司法适用扩大化,表明了司法实践在惩治侵犯公民个人信息罪上加大了力度。“公民个人信息”是个人信息权益刑事保护的载体,如何理解和界定“公民个人信息”直接关系到司法规制范围。当前,侵犯公民个人信息罪司法规制的扩张,主要是通过适度扩大“公民个人信息”概念外延的方式实现的。历经2012年全国人大常委会通过的《关于加强网络信息保护的决定》,2013年最高人民法院、最高人民检察院、公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》,2016年通过的《网络安全法》和2017年最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,“公民个人信息”在司法实践中的内涵已经从最初的“可识别性”扩展到广义上具有“可识别性”的个人身份信息和可能影响人身、财产安全的个人信息。这意味着对公民个人信息的刑事保护不仅在于防范对人格权的侵犯,还服务于对公民人身、财产权的保护目的。“公民个人信息”概念内涵在司法领域的适度扩张,使法网更加严密。
(二)侵犯公民个人信息罪的传统刑法治理思路及其困境
当前,侵犯公民个人信息罪的刑法治理思路是适度拓展刑事制裁范围、加强规制力度,突出表现在为顺应网络社会的迅速发展而不断扩大个人犯罪的行为类型、并强调对单位犯罪的打击等方面。但是,在实现了侵犯公民个人信息罪规制行为类型多样化和主体多元化的前提下,侵犯公民个人信息罪的传统刑法治理理念也面临着困境。
1.对刑事保护的过分依赖与对社会组织内部保护机制的不当忽视
作为一种社会现象,违法犯罪与人类社会相伴而生。对个人信息违法犯罪行为的治理可以强化人们的规则意识,促使国家完善共同体的规范体系和社会秩序。在现实中,侵犯公民个人信息罪的行为类型具有多样性,其行为对象内涵呈现出代际演进特征,行为主体范围扩张得到不断认可,犯罪认定依据具有行政依附性,这种复杂性决定了其防治措施应当具有多元性。
当前我国刑事、行政、民事、网络安全等方面的法律法规均设置了对公民个人信息的保护措施,但仍然难以避免法律规制供给的充分性和规制功能的有效性问题;同时,单一地依靠法律尤其是刑罚这种正式而严厉的强制性制裁措施以防治涉及个人信息的违法犯罪的局限性显而易见。我们理应认识到,“在维护社会秩序方面,结构明确的行为规则和正式的强制程序所起到的作用是有限的”[10]。一方面,《刑法》不断将规制法网严密化,加大规制力度;另一方面,侵犯公民个人信息的犯罪态势居高不下。在互联网社会与现实社会虚实并存的二元社会结构下,侵犯公民个人信息罪涉及的行为内容复杂、利益主体范围宽泛,尤其是当前个人信息与国家、个人和互联网服务平台等存在紧密联系,这要求侵犯公民个人信息罪的治理应当由多元主体参与的协作机制发挥功效。然而事实表明,社会组织尤其是互联网企业在侵犯公民个人信息行为治理中的作用并未被充分发挥出来,企业内部的自主性防控机制尚未得到充分调用。
2.事后惩治性预防的过度依赖与事前规划式预防的不当缺失
当前,虽然刑事立法在不断凸显和强化刑法的预防性功能,但刑事立法和司法仍有待优化。“刑罚的目的既不是要摧残折磨一个感知者,也不是要消除业已犯下的罪行”,而是“阻止罪犯再重新侵害公民,并规诫其他人不要重蹈覆辙”[11]52。但是,刑法史的经验性证据表明,单纯依靠刑罚背后的国家强制力惩罚犯罪,其预防犯罪的功能是有限的[12]。
然而,当前逐步趋严的刑事法网表明,我国侵犯公民个人信息罪的刑事立法和司法实践存在过度依赖刑罚事后惩罚性预防功能的趋向。长期以来,面对纷繁复杂的侵犯公民个人信息的违法犯罪行为,我国在个人信息的保护策略上强调“刑先民后”,《刑法》率先承担起保护公民个人信息的重任。侵犯公民个人信息罪的刑事立法和司法对事后惩治性预防的过度依赖不利于对事前规划式激励预防措施进行同等关注。《刑法》的事后惩治性预防侧重于通过打击侵犯公民个人信息犯罪人,但是这种事后反向激励具有一定局限性。借助于刑事合规制度的合规计划可以直接影响行为主体事后的定罪与量刑,这种事前正向激励才是鼓励个人和互联网平台积极采取有效措施保护个人信息的重要手段。但是,事实表明,我国个人信息刑事保护对这种事前规划式的正向激励制度重视不足。单纯依靠司法机关适用《刑法》予以惩治,忽视对信息收集、管理主体的激励性制度预防,难以有效防范侵犯公民个人信息的犯罪行为。
3.个人信息法益定位的偏颇与协作治理机制的不足
“法益概念中重要的不是前实证的社会损害,立法者的价值判断才是关键。”[13]因此,立法者关于侵犯公民个人信息罪保护法益的形塑,直接影响到刑事司法实践对侵犯公民个人信息罪的打击模式和力度。以侵犯公民个人信息罪这一罪名为例,由于立法者将其归置于《刑法(分则)》第四章侵犯公民人身权利、民主权利罪中,“从而意味着该罪的保护法益为公民人身民主权利”[14]。换言之,刑事立法者将其视为个人法益的犯罪,因而司法解释(3)2017年5月8日,最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”才强调个人信息对特定公民的“可识别性”特征,并将其作为认定该罪的核心依据。
刑事立法将个人信息相关犯罪中的“公民个人信息”的法益定位偏向于个人法益,在复杂的互联网虚拟社会不断扩张的背景下,这容易导致针对该罪的协作性治理机制的不足。从刑事司法层面看,个人法益的主流立法定位意味着该罪侵害的是公民个人权益,加之司法资源配置的有限性,因而单一乃至少数个人法益的侵害可能难以获得刑事司法的有效认同。从个人层面看,面对复杂而极具技术性的互联网,个人在遭遇信息侵害时,难以获得有效的线索和证据。从互联网企业层面看,由于企业或其内部人员实施的相关犯罪一旦步入司法程序,就会直接影响其外部形象和市场利益,因而企业一般不会主动参与侵犯公民个人信息罪的司法打击程序。司法机关、个人和企业无法形成侵犯公民个人信息罪治理的协作机制,“从而影响对侵犯公民个人信息罪行为的打击力度和效率”[9]122。
三、侵犯公民个人信息罪事前合规治理的核心内涵与运作机理
对个人信息保护的刑事立法跟进与司法适度扩张,反映出个人信息在现实社会与互联网虚拟社会二元并存结构下的重要价值,也间接映射出一个重要现实:我们对刑事治理侵犯公民个人信息罪存在一定的刑罚依赖,而传统的事后惩治型刑事治理手段并非唯一选择。在互联网大数据时代,个人信息违法犯罪主要是由互联网企业及其内部员工直接或间接实施,这是侵犯公民个人信息罪的显著特征。《刑法》增设侵犯公民个人信息罪的单位主体并强化“网络服务提供者的平台责任”[15]即是最佳例证。就此而言,“我们应该摆脱传统的仅仅依靠《刑法》的惩罚、打击进行企业犯罪治理的思维,把企业犯罪的治理与我们经济体制改革、现代企业制度的建立、现代企业的治理水平的提高和企业家素质的提升、企业文化的这种培育结合起来”[16]。刑事合规“鼓励企业内部遵守合规文化”[5]147,旨在建立和完善及时发现并预防企业及其员工违法犯罪行为的企业内部治理机制。将刑事合规融入侵犯公民个人信息罪的治理模式,既符合当前我国侵犯公民个人信息罪的主体特征,也有助于形塑我国侵犯公民个人信息罪的事前规划式的全新治理模式。
(一)合规计划的刑事法内涵与功能指向
在规范共同体下,现代企业的产生和发展离不开对法律规范的遵守。从早期的行会制度到近现代的各类旨在促进企业公平竞争的法律规范及制度无不表明,遵守法律规范成为企业经营中的普遍作法。合规制度是经济发展和企业存续共同作用的结果,它是一种集多种预防措施于一身、旨在及时发现并预防企业内部违法犯罪行为的综合性机制(4)1991年美国量刑委员会在《联邦量刑指南》中对组织的规定法制化,其追求的刑事合规制度成为当前的典范。《联邦量刑指南》中列举的评估合规计划有效性的要素主要关注企业执行合规计划的各种情况。1.企业应建立制度和程序以防止犯罪行为。2.(A)企业管理层应知晓道德合规计划的内容并合理监管以确保二者得到有效实施。(B)企业高层应确保企业具有符合《联邦量刑指南》要求的有效道德合规计划,且在高层内部安排专人全面负责。(C)指派专人负责道德合规计划的日常实施,并由其向企业高层、一级管理者或二级管理者汇报计划的有效性。为确保合规计划实施顺利,企业应当为负责人配备充足的资源、赋予其足够的权限及和一级或二级管理者直接接触的途径。3.企业不得聘用在尽职调查期间了解到具有犯罪前科记录的高管。4.(A)企业应定期与(B)项中所提及的人物沟通道德合规计划的标准、程序及其他方面的内容,或者就其职责提供必要信息。(B)在(A)项中涉及的人包括企业管理者、企业高层、权威人士、雇员及企业代理人。5.企业应做到:(A)确保企业道德合规计划得到遵守,包括通过监测审计手段侦查犯罪行为;(B)定期评估道德合规计划的有效性;(C)建立并推行包含匿名举报机制和保密机制的检举系统,使雇员和代理人检举潜在或既定犯罪行为而不被报复。6.企业的道德合规计划应得到持续执行,并需(A)针对遵循合规计划者设立恰当的奖励措施,(B)针对违背合规计划发生违法行为者执行恰当的惩罚措施。7.发现犯罪行为后,企业应当恰当处理以防止类似行为再次发生,并对企业道德合规计划进行修正。,其“精髓在于,使法令的遵守不再依靠严格监视和个人自觉性与诚实性,而是用合理的事前计算规划来避免违法行为的发生”[17]。
合规计划不只具有经济学上的意义,同时具有刑事法上的法律意义。一方面,就刑事实体法而言,合规计划融入刑法中的犯罪治理,其效果发挥主要表现在三个层面。其一,影响实体层面的犯罪成立。例如,实施合规计划“证明了企业在自身活动中表现了相当的注意”[18],因此,合规计划“与针对‘企业过失’的注意义务有很大关联性”[19]4,这意味着刑事合规能够影响企业过失犯罪的构成要件设计和司法认定。其二,影响实体层面的刑罚裁量。例如,企业实施了有效的合规计划会成为罚金数额判定中的减轻或免除情节。其三,推动法人刑事责任的政策演进。刑事合规制度的发展推动了替代责任理论的发展,使法人犯罪和刑事责任承担成为主流趋势。另一方面,就刑事程序法而言,合规计划与刑事程序法的关系主要表现为“企业内部调查与刑事诉讼法之间的相互作用问题”[4]。这既涉及企业发起内部调查的条件与限度,也涉及企业内部调查的证据在刑事诉讼程序中的转换和适用问题。
(二)合规计划对侵犯公民个人信息罪的治理功能及其运作机理
1.合规计划前置侵犯公民个人信息罪的风险控制基点
互联网大数据时代,虚拟网络社会是社会风险的高发领域,个人信息在其中频频遭受侵害即为例证。“尽管在学理上存在对于风险社会概念的质疑,但是,风险的增多以及不确定性的增强是不争的事实”,“为了实现风险的控制……刑法体系从惩罚倾向的体系向预防导向的体系发生转变”,其重要方式是“控制基点的前置化”[19]100。我国刑事立法对犯罪风险控制基点的前置最为突出的例证便是网络犯罪,例如,典型的预备行为实行化、帮助行为正犯化、设置网络平台监管责任均在网络犯罪领域得到贯彻等。
“刑事合规是现代风险刑法的一个结果。”[20]364它通过建立良好的企业文化与制度、设立纯洁而中立的监督者、贯彻落实合规计划、及时发现并处置违法犯罪行为等相互衔接的机制,对违法犯罪行为进行堵源式控制,以降低犯罪对企业自身乃至社会的危害性。在侵犯公民个人信息罪治理中推行合规计划,可以刑事责任背后的国家强制力反推互联网企业对自身及其内部员工行为的监管,拓展侵犯公民个人信息罪的防控主体责任,将侵犯公民个人信息罪的风险防控基点前移至犯罪行为实施前。风险防控基点的前置,意味着侵犯公民个人信息罪风险防控的延伸,这带来的将是风险预测和防控能力的提升,以及风险发生概率的降低。这正是化解当前我国侵犯公民个人信息罪治理过度依赖事后的刑事惩治性预防手段、避免因为刑事制裁滞后性弱化侵犯公民个人信息罪治理效果的有效举措。
2.合规计划塑造侵犯公民个人信息罪的多元防控机制
纵观历史,刑罚的有效性始终是刑法运行的核心追求之一。在贝卡利亚看来,“犯罪与刑罚之间的时间隔得越短,在人们心中,犯罪与刑罚这两个概念的联系就越突出、越持续,因而,人们很自然地把犯罪看作起因,把刑罚看作不可缺少的必然结果”[11]79。他认为,可以借助刑罚的及时性来维持和强化刑罚的有效性。事实上,现代刑事立法与实践呈现出“从追求刑法的惩治性到追求刑法的有效性”[21]的观念转型。但是,经验事实表明,完全依赖刑罚运用的及时性和刑事法网的严密性,尚难实现刑法预防犯罪的终极目的。
犯罪预防目标的达成,需要刑法手段和非刑法手段双管齐下,并形成多元化措施共举的犯罪风险防控机制等。侵犯公民个人信息罪发生原因具有多元化特点,赖以产生的背景具有复杂性,这要求其防控手段应当多元化。然而,当前我国侵犯公民个人信息罪的防控和治理过分依赖国家刑罚,这使得我国侵犯公民个人信息罪治理出现了刑事法网不断严密化和侵犯公民个人信息罪持续高发并存的现象。合规计划通过推行企业合规文化、塑造企业及其内部成员的规范意识、制定具有针对性的犯罪防控措施、贯彻体系性的犯罪风险防控机制等,进而预防犯罪产生。合规计划着重培育企业及其成员的规范意识,聘用专业的合规专员或者建立合规执行部门,提供监督热线或响应系统,查证、获取违法犯罪证据,这一系列制度措施与刑事制裁措施的结合,可以推动个人犯罪治理措施的多元化。在侵犯公民个人信息罪治理中,合规计划既可以提前防范企业及其内部人员实施犯罪的风险,也可为后续司法机关节约犯罪侦控时间和资源、提升证据获取效率,在兼顾非刑事治理手段的同时,可以提升刑法的及时性和有效性,从而在多元化防控机制下实现预防犯罪的目的。
3.合规计划提升企业参与治理侵犯公民个人信息罪的激励性
“自然把人类置于两位主公——痛苦和快乐——的主宰之下。只有它们才指示我们应当干什么,决定我们将要干什么。”[22]刑罚惩罚带来痛苦,奖励带来快乐。把惩罚和奖励同时贯穿于刑法,确立符合功利原理的法律规范,可以更好地指引人们的行为。刑事立法在因应时代变化、完善惩罚制度的同时,亦需通过妥当的策略将奖励予以规范化、制度化,以便彰显刑法预防犯罪的激励性功能。
当前,在侵犯公民个人信息罪治理进程中,我国刑事立法追求刑法事后打击的全面性和严厉性,不断凸显和强化刑法的惩罚性。这虽然起到了一定的积极作用,但同时在一定意义上忽略了刑法激励性制度的构建及其功能发挥。加之,侵犯公民个人信息罪保护法益定位的个人偏向使得企业忽略了侵犯公民个人信息罪对社会整体秩序的损害,在惩罚性有限而激励性不足的现实情形下,互联网企业参与侵犯公民个人信息罪治理的积极性不高。“刑事合规的核心是用刑罚手段来激励企业建立有效的内部控制制度,从而预防犯罪。”[23]123赋予合规以刑法意义,通过暂缓不起诉、不起诉协议、企业自首认可、量刑减免等手段,可以激励企业积极参与侵犯公民个人信息罪的治理。在互联网大数据时代,互联网领域内侵犯公民个人信息罪存在极强的匿名性、技术性、隐蔽性,互联网企业在侵犯公民个人信息罪的防控和治理上占据个人难以比拟的优势。因此,通过肯定刑事合规的思路激励互联网企业参与侵犯公民个人信息罪的治理,对形成个人、企业和国家三位一体的治理机制意义重大。
四、合规计划融入侵犯公民个人信息罪治理的逻辑前提与实践展开
我国有学者认为,由于“没有注意到我国单位犯罪立法模式的独特性,也对其他国家现行的刑事合规制度存在一定误解”,因此,“不宜匆忙引入刑事合规制度”[23]119-130。但是,以《刑法修正案(九)》增设的拒不履行信息网络安全管理义务罪为例,“通过刑法手段推动企业内控的实践已经在我国相关立法中得到体现”[24]。这启示我们:应当结合典型个罪的刑事立法和司法实践来探讨和检验合规计划中国化的现实可能性。合规计划融入侵犯公民个人信息罪治理,意味着必须赋予合规计划在侵犯公民个人信息罪中的刑事法意义,其刑事法意义的赋予究竟如何展开便是关键所在。
(一)逻辑前提:合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准
丹尼斯·伯克指出:“对于狭义合规在刑法上的法律依据,一个原则性的指标是共通的:对于存在的法律义务来说,措施首先是可能的,其次是必要的,最后是可期待的。”[25]这已经成为合规计划实施的一种共识性标准。由于合规计划旨在促使企业构建和运行内部监督机制以预防企业及其员工实施违法犯罪行为,因此,合规计划融入侵犯公民个人信息罪治理要成为可能,就必须基于该罪的行为主体结构进行调适。
在互联网大数据时代,侵犯公民个人信息罪的行为主体由自然人和单位共同构成,并且呈现出个人依附于单位实施犯罪的趋势。《刑法修正案(七)》在侵犯公民个人信息罪中增加“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”这些特殊的主体,《刑法修正案(九)》进一步将该罪的特殊主体拓展为一般主体,并增设拒不履行信息网络安全管理义务罪和帮助信息网络犯罪活动罪,这些辅助性罪名的增设既是回应网络犯罪客观发展趋势的需要,也侧面反映出实践中侵犯公民个人信息罪主体结构的演变,即行为实施者由传统的个人转向个人与单位并重,且个人直接或间接依附于互联网单位。通过对我国国家网信办发布的《APP违法违规收集使用个人信息专项治理报告(2019)》[26]进行分析发现,移动互联网应用商店上架推广的APP有近400万款,总下载量超万亿次。APP强制授权、过度索权、超范围收集个人信息的现象普遍存在,未制定并公开隐私政策、未经用户同意收集个人信息、未提供注销账号功能等不规范行为屡见不鲜。据2020年工信部和国家网信办发布的《存在问题的应用软件名单(2020年第一批)》披露,诸多互联网平台成为违法私自收集、超范围索取、私自共享公民个人信息的高发主体[27]。其数据表明,互联网平台不仅是侵犯公民个人信息罪的重灾区,也是侵犯公民个人信息的重要实施者或帮助者。而由于互联网的技术性、便捷性、隐蔽性,互联网成为个人或单位实施侵犯公民个人信息行为的高发场域。在互联网大数据时代,个人在实施侵犯公民个人信息罪时会自觉或不自觉地对互联网企业产生依附。也正是基于实践现状的考察,有学者明确指出:“刑事司法的观念应当适时转型和调整,从严厉制裁国家工作人员利用职务便利侵犯公民个人信息罪,逐渐转向兼而制裁中介、物业等服务类机构工作人员倒卖公民个人信息,甚至最终转向以严厉制裁上述服务类机构侵犯公民个人信息为主。”[28]
概言之,在互联网大数据时代,侵犯公民个人信息罪的主体结构由企业和自然人组成,自然人主要是互联网企业内部人员或利用互联网平台的外部人员。这种主体结构契合合规计划的制度设计初衷,即构建和运行企业内部的监督机制,及时发现和防范企业及其内部人员实施违法犯罪行为。换言之,侵犯公民个人信息罪的主体结构使得合规计划在该罪治理中成为可能且必要的措施。需要进一步探讨的是,这种预设是否满足可期待性的目标呢?
合规计划是否符合侵犯公民个人信息罪治理的可期待性要求,并非完全取决于我们单方面的良好愿景,还需考虑其融入侵犯公民个人信息罪治理的经济性问题。在侵犯公民个人信息罪治理中,关于合规计划的实施,“要确定采取监督措施的成本与规范违反可能性之间的比例性”,“基于有序的企业经济和国民经济的利益,应当避免对监督措施提出过高的要求”[29]。否则,合规体系将会对互联网企业造成过分的内部规制,进而影响企业的创新动力,损害社会经济发展的原动力。鉴于合规的“规范”包含正式的法律规范以及具体的行业规范或社会最基本的道德原则,而合规介入侵犯公民个人信息罪治理进程后,为企业带来的是减轻或免除刑事法律制裁的后果。因此,基于对侵犯公民个人信息罪风险预防和企业发展成本平衡的考量,侵犯公民个人信息罪中的合规计划内容应当仅限于企业对法律法规的遵守。这在当前我国《刑法》第353条之一规定的“违反国家有关规定”要件上也得以体现,对互联网企业发展而言显然具有可期待性。不过,这需要司法实践严格认定合规的规范依据,且不宜作出过于宽泛的苛求。
(二)实体法层面:赋予合规计划影响侵犯公民个人信息罪构罪和量刑的双重功能
1.构罪层面:确立前置性免责程序条款,确立行政处罚程序的出罪功能
我国《刑法》353条之一在侵犯公民个人信息罪的犯罪成立条件中明确规定了“违反国家有关规定”的要件,这实质上是要求个人和单位对公民个人信息的获取和使用等行为不得违反“国家有关规定”,亦即“界定刑法中已公开个人信息的合理利用范畴应当以前置法中的相关规定为基准”[30]。在司法实践中,“国家有关规定”的认定依据既包括《关于加强网络信息保护的决定》《网络安全法》《民法典》《刑法》等关于个人信息保护的正式法律规范,也包括国家网信办《互联网用户账号名称管理规定》等部门规章。将这些部门规章作为认定“违反国家有关规定”的依据确实存在违反立法机关维护法制统一的初衷[31]。不过,由此可以看出,遵守国家关于个人信息保护的相关法律法规本身就是避免实施侵犯公民个人信息罪的规范要求。换言之,遵守法律法规关于保护公民个人信息的规定这种显著的合规要求,已然蕴含于侵犯公民个人信息罪的罪刑规范设置中。
刑事合规的犯罪风险预防机制贯穿于犯罪风险发生前和风险现实化之后,这就需要将事前规划的预防功能和刑法事后惩治性预防功能相结合。就此而言,我国侵犯公民个人信息罪的规范设置似乎更注重风险现实化之后的惩治性预防,而对《刑法》运行前的事前规划式正向激励性预防作用重视不足。因为“违反国家有关规定”并构成侵犯公民个人信息罪之后,《刑法》着眼的仅是如何惩治实施犯罪的个人或单位,而未充分考虑对个人或企业在有效实施合规计划情形下是否以及如何激励的措施。尽管企业自我管理的实现需要严厉的刑罚的支持,严厉的刑罚能促进自我管理的实现,但是就企业发展和社会创新而言,单一的刑罚威慑并不会取得理想效果。
对此,为发挥合规计划融入侵犯公民个人信息罪治理的积极功能,笔者认为,可以对《刑法》第253条之一关于侵犯公民个人信息罪的罪刑规范予以修改。比如,确立前置性免责程序条款:在保留“违法国家有关规定”的前提下,增加类似拒不履行信息网络安全管理义务罪中“经监管部门责令采取改正措施而拒不改正或者改正不力”的要件。将前置性行政处罚程序作为犯罪成立的条件,发挥行政处罚程序在刑事法中的出罪作用。同时,“根据将过失犯罪的本质掌握在违法性层面的学说,守法计划可能被掌握为客观注意义务之标准”[32],因而当企业及其员工实施侵犯公民个人信息罪时,完全有跟正当化功能联结的余地。在司法实践认定中,将单位积极有效履行合规义务作为单位承担监督过失责任的除斥条款,不失为一种可行之举。
需要注意的是,最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第5条将“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”,作为非法获取、出售或者提供公民个人信息“情节严重”的条件。这实质是将相关违法犯罪经历作为侵犯公民个人信息罪的入罪标准。这和前文提出将《刑法》253条之一关于侵犯公民个人信息罪的罪刑规范予以修改、确立前置性免责程序条款的做法,其实并不冲突。从技术层面看,为侵犯公民个人信息罪的罪刑规范确立前置性免责程序条款,其前提是单位对个人信息的获取、管理和使用履行了合理审慎的注意义务,也即单位不存在侵犯公民个人信息的故意行为,以此作为单位合规出罪的程序要件,更有利于发挥刑事合规的出罪功能,完善刑法出罪机制。从法理层面看,鉴于“受过刑事处罚或者二年内受过行政处罚”情节作为一般的违法犯罪经历,在本质上反映的是行为人的人身危险性,而不是决定侵犯公民个人信息罪实体内容的情节,因此,将其作为入罪情节不利于发挥人身危险性在定罪机制中的消极出罪功能,也不符合犯罪成立的本质要求。
2.量刑方面:确定合规作为企业量刑减免情节
刑事合规的抑制作用在那些承认企业刑事可罚性的国家中,才能更有效地对刑事集合制裁的作出产生一定的影响[20]354。根据我国《刑法》第30条和第31条规定可知,我国刑事立法承认法人犯罪的可罚性,这是刑事合规融入我国侵犯公民个人信息罪治理的逻辑起点和规范基础。在认可单位犯罪这种犯罪实体的情形下,即便单位犯罪的“双罚制”能够贯彻与这种犯罪评价相适应的制裁,也不宜过分依赖刑法事后惩治性威慑预防的功能。我们应当转换视角,重视合规计划事前规划式的风险预防作用。
当然,合规计划事前规划式预防机能的展现和刑法事后惩治性威慑预防并非互不相容。在侵犯公民个人信息罪的治理中,理应寻求合规计划事前规划的预防机能和刑法事后惩治威慑预防的融合:一方面,将刑法事后惩治性威慑预防作为互联网企业贯彻合规计划的强制性外在动力;另一方面,将企业推行有效的合规计划作为正向激励制度,减轻其可能面临的刑事风险。前者已在当前我国刑事立法加大刑事法网严密性、加强刑事制裁力度上得到体现,后者尚需我国刑事立法着力推进。
对此,我们需要特别注意的一个问题是:合规计划专员或合规部门在贯彻企业内部合规计划时,发现并及时检举企业自身或其内部员工实施的侵犯公民个人信息的行为,对此能否认定为企业自首,并据以对企业减轻处罚?肯定合规计划作为事后量刑情节的做法,在20世纪90年代的日本已经开始实施,并表现出良好的效果(5)1996年东京高等裁判所关于下水道串通投标案件的判决,成为日本在刑事法上正面认可合规计划法律效果的开端性案例。此后,类似做法已经在日本刑事司法实践中延展开来。。笔者认为,单位自首是企业贯彻合规计划防范自身及其内部员工实施侵犯公民个人信息违法犯罪行为的正向激励性制度。从自首的本质、成立条件和现实必要性看,肯定单位自首完全可行[33]。即便我国《刑法》关于自首的规定并未明确肯定单位自首,但是未来刑事立法可以考虑修改自首制度的相关规定或增设侵犯公民个人信息罪的单位犯罪特别宽宥制度,并将此作为单位贯彻有效合规计划的量刑减免情节,以此激励单位积极推行合规计划、防范自身及其员工实施侵犯公民个人信息的违法犯罪行为。未来刑事立法甚至可以将单位认罪认罚作为肯定单位消除再犯可能性的现实表现,同时考虑涉案单位的预期经济社会贡献程度,对此在量刑活动中独立评价以作为法定刑幅度内从宽处罚的考量因素[34]。
(三)程序法层面:肯定企业合规计划的缓诉和免诉功能
合规计划影响企业刑事诉讼程序的运行已然成为主流。在充分认识到企业犯罪治理和个人犯罪治理之间显著差异的基础上,美国《联邦量刑指南》第八章“组织量刑指南”确立了企业有效合规计划的“七个标准”,使其成为联邦诉讼和量刑的重要参考(6)参见USSG§8A1.2,application note 3(K)(2010)。。有效合规计划直接影响企业诉讼,并同样在德国、日本等国家得到了刑事法上的认可。合规计划主要通过协议贯彻暂缓起诉和不起诉功能来影响企业刑事诉讼。目前,如果企业涉及个人数据信息保护等犯罪案件,“美国联邦检察机关要么与涉案企业达成‘暂缓起诉协议’”“要么与其达成‘不起诉协议’”,以此来替代原来的提起公诉或者不起诉决定[35]。在施行刑事合规计划的国家,暂缓起诉协议和不起诉协议反映出企业自首情况增多的趋势。这也表明,刑事程序法层面肯定有效的合规计划能激励企业及时发现并揭露内部违法犯罪行为。
在侵犯公民个人信息罪治理中,积极推进合规计划在程序法层面的展开,应该考虑与免诉或缓诉相对应的“协议”问题。因此,如何确定“协议”的规范依据、实际内容与现实条件,就成为合规计划在程序法层面运行的核心问题。“协议”的规范依据取决于前置性免责程序的确立,即关于侵犯公民个人信息罪的罪刑规范修改中的前置性行政免责程序条款设置。前置性行政免责程序条款的确立可为行政处罚限制入罪的功能发挥提供前提条件,亦即为“协议”达成提供了实际内容。而“协议”的现实条件则取决于单位是否实施了有效的合规计划。这里需要注意的是,有效合规计划的判断不能取决于企业是否彻底阻止自身及其内部员工实施违法犯罪行为,因为现代企业复杂的组织架构及其数量庞大的内部成员决定了企业不可能彻底阻止犯罪行为,只要企业贯彻合规计划、积极履行预防侵犯公民个人信息罪的风险即可。对此,可以参考以下规范标准:美国《联邦量刑指南》第八章“组织量刑指南”确立的企业有效合规计划的“七个标准”;2010年3月,经济合作与发展组织发布的《内部控制、企业道德及合规运营良好行为准则》列出的有效合规计划的12个要素。在侵犯公民个人信息罪治理中,如果与犯罪企业推行暂缓或免诉协议,一方面需要考虑让企业承担行政处罚并对被侵害个人予以损失赔偿,另一方面则需要基于公共利益长期保护的现实需求,促使企业重构合规计划或完善合规体系,定期就合规计划的完善和执行问题向检察机关报告。
但是,鉴于在我国当前的经济结构中国有企业组织结构、内部风险控制和制度管理相对更为规范,而大量的中小微型民营企业反而因制度不健全面临更多的合规风险,加上刑事合规建设尚处于起步阶段,故而相关刑事合规的制度内涵与实践展开仍需要结合司法实际进行有效探索[36],对侵犯公民个人信息罪的合规治理,“必须充分考虑现实国情,着眼于改革目的和适用对象”[37]。具体而言,笔者认为可以通过条件限制,采取较为谦抑的方式稳步推进侵犯公民个人信息罪的合规治理。
第一,可以将涉案企业合规整改的前提设置为轻罪案件,即根据涉案企业涉嫌侵犯公民个人信息的整体情况,依照2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定的“相应自然人犯罪的定罪量刑标准”可能被判处3年以下有期徒刑的案件。尽管有学者认为,关于企业合规的适用案件,“附条件不起诉适用的涉罪案件范围可以不受轻微犯罪案件的限制”[38],但是通过轻罪案件的限制,能够起到避免放纵企业的嫌疑。第二,涉案企业和相关责任人员积极认罪认罚,采取措施阻止犯罪侵害状态持续或消除犯罪危害结果。第三,涉案企业预期的经济社会贡献度较大,采取合规整改措施能够消除制度漏洞和隐患,能够保障其继续经营。第四,结合当前刑事诉讼期限,可根据涉罪企业的实际情况合理设置6~12个月的合规整改考验期,并将有效的合规整改和监督情况作为酌定不起诉的重要考察因素或者作为量刑从宽的考量因素。当然,这还需要立法辅助性地完善单位犯罪附条件不起诉特别程序[39]。
五、结 语
在当前现实社会与互联网虚拟社会二元并存的背景下,对侵犯公民个人信息违法犯罪行为的治理是现在乃至未来都必须高度重视的问题。尽管“刑事立法是网络智能时代解决风险困扰的一条路径”[40],但是不断将刑事法网严密化、加大刑事规制力度并非侵犯公民个人信息罪治理的唯一方式,单一化的传统刑事制裁亦非侵犯公民个人信息罪治理的理想方式。合规计划将事前规划与事后惩治相融合,是现代企业预防自身及其内部员工犯罪风险的可靠机制。虽然在我国全面推行刑事合规计划存在法律制度、法律文化等多层面的现实障碍,但是这并不妨碍我们从微观层面借助典型个罪对其进行有意义的实践尝试。将合规计划融入侵犯公民个人信息罪治理进程中,进而弥补传统刑法治理手段的缺陷,释放现代企业治理能力和水平,构建多元化的犯罪风险防控机制,是可能的、必要的且可期待的思路。在我国刑事立法和司法实践不断勉励践行预防刑法观的当下,借鉴合规制度的犯罪风险预防机制,将事前规划与事后惩治并重,发挥行政法及其他前置法限制入罪的功能,疏源与截流并举,防范和控制犯罪风险现实化,既可以缓解刑事制裁过度扩张的潜在危险,也可以综合提升犯罪治理能力和水平。