数据合规协同激励体系的构建与完善
2024-04-27齐英程
齐英程
内容摘要:企业是否选择合规是一个典型的权衡问题。现阶段,我国数据合规秩序的构建受困于反向激励欠缺刚性、正向激励供给不足等问题,合规激励机制的孱弱难以促动企业自觉建立全流程数据合规管理体系。法律作为“一套具备激励功能的机制”,应基于实体法与程序法双重维度,持续开展数据合规协同激励的体系性作业:厘清数据合规实体标准,以明确数据合规激励措施的适用前提;明晰数据合规从宽的制度原理与实体法依据,以全面释放合规激励效应;增加数据合规程序性激励机制供给,以确保合规激励效果落地。通过实体法与程序法在数据合规领域的呼应与联动,共同打造完备的数据合规协同激励体系。
关键词:数据合规 企业合规 数据安全 协同激励 实体法 程序法
中图分类号:DF41 文献标识码:A 文章编号:1674-4039-(2024)02-0098-108
引言
随着数据安全法、个人信息保护法等立法将数据合规上升为法定义务,数据合规逐渐成为现代企业合规管理体系的重要内容,数据领域全行业强制合规的时代已正式来临。然而,在国家不断强调“强化市场主体数据全流程合规治理”“加强企业数据合规体系建设和监管”的整体态势下,一个需要思考的问题是,我国企业开展数据合规体系建设的激励源自何处? 毕竟,“合规管理是一种只耗费资源而不创造利润的治理活动”。〔1"〕随着我国企业合规改革工作持续推进,激励不足致使企业合规热情不高、合规动力不足的现象越发受到关注,并制约着改革的全面铺开与深入落实。〔2"〕
当前,我国企业开展数据合规体系建设的激励主要源自“合规义务法定化”背景下,违反立法要求可能遭受的制裁威胁与责任追究。此种反向激励为企业按照立法要求建立相应的数据合规管理体系、履行数据合规管理义务施加了必要压力。但在实体法层面,数据合规认定标准的缺失与模糊销蚀了其反向激励功能,且此种反向激励仅指向最低限度的法定数据合规义务履行,难以督促企业在法律的底线要求之上,主动建立全面、完备的数据合规政策与管理流程。而在正向激励层面,近年来,我国检察系统推行的涉案企业合规改革为企业投入合规体系建设注入了前所未有的动力。但受限于合规从宽的实体法依据缺失、程序性措施缺位,改革范围仍停留于刑事领域的少许罪名,难以为企业数据合规体系建设的全面展开提供充足动力。
当前,数据合规激励机制的孱弱难以充分激励企业自觉建立全方位、全流程的数据合规治理体系,进而推动数据行业从“被动合规”向“主动合规”转型。本文基于实体与程序双重维度,检视我国既有数据合规激励体系的不足,聚焦数据合规实体标准模糊、数据合规从宽缺少实体法依据、数据合规程序激励机制匮乏等根源性症结,提出破解企业数据合规激励供给不足的关键策略在于通过廓清数据合规实体标准、补足数据合规从宽的实体法依据与程序法措施,以实体与程序的双向打通和互动,构建起完备的数据合规协同激励体系。
一、数字经济形态下数据合规激励的必要性阐释
数字经济形态下数据安全风险的激增呼吁着作为数字经济核心参与者的企业积极作为。对此,传統的威慑监管难以充分调动企业的合规积极性,且面临合法性与有效性的双重质疑。相比之下,合规激励能够通过改变企业合规的成本与收益,激发企业寻求数据合规的内在动力,更加契合数字经济的发展需求与规律。
(一)“企业主导”的数据风险治理与合规秩序构建
随着人类社会迈入数字经济形态,数据的大规模聚合、处理、分析在成为价值创造之源的同时亦开启了风险之源,滋生了国家数据主权与安全风险、个体隐私侵权与信息泄漏等一系列新问题。在自反性科学化进程中,“数据密集型活动的流动性和复杂性既使得传统的数据安全风险大大增加,也引发了新型的数据安全风险和挑战”。〔3"〕数据安全风险的独特之处在于,其具有典型的不可逆性、不可测性和扩散性。〔4"〕以数据泄漏为例,数据一旦发生泄漏,无法恢复至此前的保密状态,且往往呈现波纹式扩散,造成难以预测的下游风险。对此,单纯依赖公权力机构开展事后追责与惩治,难以弥补违规行为对国家安全、公共利益和公民权益造成的损失。更具效率的规制方式是诉诸作为“组织化自我指涉系统”的企业,通过采取事前风险识别机制和常规性风险评估、合规审计等措施,达致“防患于未然”的治理效果。
此外,数字经济实践与数据处理技术的快速发展亦挑战着政府的规制能力。〔5"〕在技术加持下,市场主体的违规数据处理行为常被隐蔽在合法合理的表象之下, 且其造成的损害后果具有非直接性、偶发性、累积性特点。监管部门虽可通过运动式执法展开集中性清理,但缺少企业的自愿配合,类似问题只会不断卷土重来,屡禁而不绝。同时,面对数据分析处理所衍生的社会分选、歧视性决策、数据监控等新型风险与损害形态,监管部门的应对手段更加“捉襟见肘”。“在信息不对称等因素的干扰下,静态的单向监管措施往往效能低下。”〔6"〕
数据安全风险的治理有赖于“有效市场”与“有为政府”的紧密合作。在此意义上,数据合规改革应被视作一场“为了保障数据安全,企业、政府部门、司法机关等所进行的企业内外部合规治理活动”,〔7"〕其为企业、政府部门、司法机关共同探索确立数据处理的合法合规标准提供了渠道。不同于以自上而下的“命令—控制”为特征的传统监管模式,数据合规改革带有鲜明的协商性特点。企业作为数据处理活动的开展者与合规义务的落实者,占据着主导性与决定性位置,唯有诉诸企业通过建立内生性数据合规管理体系等方式所开展的自我规制,方能从源头抑制数据安全风险的产生。检察机关和监管部门作为“必要的外部力量”,则基于合规整改、从宽激励等手段“刚柔并济”地介入企业数据合规体系完善过程,帮助企业建立长效合规机制,并从源头斩断数据违规风险。通过此种公、私主体间的双向互动与内外协作,共同实现对数据合规秩序的形塑。
(二)从威慑监管到合规激励
企业是否选择合规是一个典型的权衡问题。〔8"〕毫无疑问,数据合规体系建设能够产生明显的社会效益,但其成本则完全由企业承受。实践中,庞大的合规体系设置必然耗费高昂的建设与运营成本。立足“成本—收益”的经济学原理,市场主体的决策可被视作基于私人成本与私人收益的比较而作出的风险博弈。〔9"〕在“短期理性”驱动下,当合规投入成本超出因触犯法律可能遭受的处罚时,放弃合规即成为企业在客观条件与成本约束下的“理性选择”。〔10"〕
因此,“仅仅依靠自觉自愿和自生自发的努力,任何企业都无法建立起一套行之有效的合规管理体系”。〔11"〕即便立法可以基于“命令—控制”的威慑监管模式增加企业违规的法律成本,但实践中,受制于信息滞后、监管乏力等客观约束,严刑峻法的高权执法极易陷入“威慑陷阱”,或因规制过度引发“寒蝉效应”,且对再犯行为预防效果欠佳。这也解释了各国在推行现代企业合规制度进程中的行为逻辑:通过转向法律上的诱致性规制措施,推行以合规整改为条件的暂缓起诉协议和不起诉协议制度、建立以合规为核心的行政和解协议与行政处罚减免制度等方式,增加企业开展合规建设的“利益砝码”,改变合规建设成本与收益的权重关系,以此促动企业从“消极合规”向“积极合规”转变。
与此相对照的是,我国数据保护立法仍然延续严刑峻法思路,试图通过提升行政处罚力度,补足刑事责任“严而不厉”态势下对违规数据处理行为的威慑不足,以此督促企业寻求合规。〔12"〕然而,单纯依赖刚性处罚难以培养起企业开展合规建设的自觉, 从而系统性地消除诱发违规数据处理的因素。“规制失败可以归咎于缺乏对被规制者系统自主性和内在逻辑的尊重”。〔13"〕现代企业合规改革的国际经验普遍昭示着树立自主合规意识对企业合规目标实现的根本意义。〔14"〕基于此,我国在推进数据领域全行业合规进程中面临的首要任务即在于,通过从实体与程序维度同步增加企业开展数据合规体系建设的激励机制,培育适宜合规文化生长的制度土壤,以此推动企业自觉建立贯穿数据全生命周期的“全过程合规治理机制”。
二、实体与程序维度下数据合规协同激励的实现困境
当前,我国实体法与程序法层面的合规激励措施均较为匮乏,未能形成呼应与合力。在反向激励层面,数据合规实体标准的模糊限制了法律责任与制裁措施的刚性约束效能;在正向激励层面,数据合规从宽的实体法依据尚待明确。同时,程序性合规激励措施限于刑事诉讼领域,在适用范围与激励强度方面均难以为企业开展数据合规体系建设提供充足动力。
(一)数据合规实体标准模糊
数据安全法、个人信息保护法均采取以“合规责任”为核心的责任体系,将数据处理者是否适当履行了数据合规义务作为责任认定与施加处罚的核心考量。上述规定构成了督促企业落实数据合规义务的反向激励与刚性保障。然而,当前立法层面的数据合规实体标准仍较为模糊。其中,数据处理行为合规标准的模糊阻碍了企业数据合规政策的确立以及对违规数据处理行为的识别;数据合规管理义务履行标准的模糊则限制了完善的数据合规管理流程的建立。
1.数据处理行为合规标准模糊
数据合规要求企业结合立法上的禁止性与义务性规范,有效识别数据处理全过程可能存在的违法犯罪风险,进而通过制定企业内部数据合规政策,为其高管人员、员工、第三方合作伙伴确立行为的规范与边界。为此,企业必须对数据处理行为的合规标准具备清晰认识。然而,受制于实践的快速迭代以及立法的有限性,我国既有立法规则呈现高度开放性与不确定性,难以为判定数据处理行为的合规性提供全面依据与充分指引。
现阶段,数据处理各环节均存在合规性标准困惑。以数据收集为例,数据收集行为的刑事违法性与行政违法性认定均面临明显障碍。在刑事违法性层面,针对数字经济形态下企业普遍使用网络爬虫收集数据的合法性问题,理论研究与司法裁判均未形成定于一尊的成熟结论。理论主流观点主张,刑事层面对非法收集数据行为的认定应以“侵入性”为核心标准。〔15$〕而司法实践中,违反网站运营者自行设定的爬虫协议收集数据的行为仍常被认定构成刑事意义上的“行为不法”。〔16$〕此外,在行政违法性层面,如何认定个人信息保护法规制的过度收集数据行为亦有待厘清。数据领域前置法规则的模糊绝非孤例,而是遍布整个立法体系,显著加剧了数据处理活动的不确定风险和企业的违法性认知障碍。
2.数据合规管理义务履行标准模糊
数据安全法、个人信息保护法均为企业设置了强制性的数据合规管理义务,要求企业建立健全数据合规管理制度和操作规程、采取适当技术与组织措施、指定数据合规负责人与管理机构、定期开展合规风险评估与教育培训等。然而,既有立法關于数据合规管理义务的规定过于原则化且缺少体系性,企业数据合规管理流程因缺少合规报告、合规问责与惩戒等必要环节,难以形成贯穿事前防范、事中监测、事后应对的完整合规管理流程体系。〔17$〕实践中,不同企业在业务范围、数据处理活动的密集程度以及承担合规管理成本的能力方面存在显著差异, 对其合规管理体系建设和合规义务履行标准的要求也应有所区别。基于此,个人信息保护法第58条对“守门人”型企业增设了更严格的数据合规义务要求, 第62条则赋予国家网信部门统筹制定针对小型数据处理者的专门性数据合规标准之职责。但目前上述标准仍未出台,如何准确把握不同企业应当履行的数据合规管理义务,仍是实践难题。
实体法层面数据合规标准的缺失与模糊为企业根据自身需求裁剪规则,在灰色地带内规避合规义务、压缩合规成本留下空隙,由此消解了相关义务性与禁止性规范的反向激励效能。合规标准的模糊亦销蚀了正向激励措施的适用前提。目前,司法实践中已有法院明确肯认数据合规管理体系的设置和运行可成为企业免于承担刑事责任的有效抗辩事由。〔18$〕但数据合规实体标准的认定困难极大地限制了这一抗辩事由的适用。
(二)数据合规激励实体法依据缺失
强制性规范指令与监管执法驱动的反向激励仅能为企业开展数据合规提供底线保障,且容易沦为徒有其表的“纸面合规”。此种“创造性合规”〔19#〕的真正目标并非充分识别、预防、应对数据违规风险,其不过是企业应付监管执法的策略工具。相比之下,正向激励可通过严格把握数据合规管理义务的实际履行效果,决定是否给予相应的激励性待遇,以此鼓励企业“认真对待合规”。
数据合规的正向激励主要体现为企业开展事前性或事后性数据合规体系建设获得的减、免责等从宽处理,即所谓的“合规从宽”。“从宽”的理性基础在于,开展数据合规的企业在主观为善意的状态下积极履行了注意义务,故即使未能完全避免客观上的违规后果,亦不应过于苛责。〔20#〕同时,立足“成本—收益”的理性考量,耗费较高成本开展数据合规的企业若不能获得在法律责任方面的“绩效兑换”,则难以指望单纯依赖企业的道德自觉培育起长远的行业合规文化。故此,有必要根据企业在合规方面的不同表现予以区别性地优待。
但目前,数据合规从宽在实体法层面仍处于于法无据的状态。自2020年起,最高人民检察院围绕涉案企业合规改革逐步确立起合规检察建议、第三方监督评估机制等程序性合规激励措施。相比之下,企业合规从宽处罚的实体规范基础持续缺位,合规从宽的基本原理、构成要件、适用标准等均待厘清。实体规范基础的缺失难以为当前实践创新提供依据,甚至可能因不同部门法间的内在冲突,冲撞法秩序统一性原理。同时,其亦酝酿着程序性合规激励完全脱离理性主义与法体系约束,彻底滑向功利取向的经验实用主义之风险。对此,亟待在实体法层面补足数据合规从宽的规则依据,破解企业合规正向激励不足且于法无据的困境,并为程序法层面的合规激励改革奠定实体规范基础。
(三)数据合规程序性激励机制匮乏
在涉案企业合规改革的背景下,在涉数据犯罪领域,符合条件的企业可承诺开展数据合规体系建设或针对性合规整改,以换取检察机关不捕、不诉、不判实刑等轻缓化甚至出罪化处理。〔21#〕这虽为企业注入了合规整改的动力,但上述激励措施在适用阶段、覆盖范围、预防功能、监管持续性等方面仍具有明显短板。〔22#〕一方面,涉案企业合规改革仅关注“与企业涉嫌犯罪有密切联系的企业内部治理结构、规章制度、人员管理等方面存在的问题”,可能疏忽对其他层面风险的预防治理。另一方面,合规不起诉的激励效应难以持续至合规考察期结束后。检察机关在作出不起诉决定后,虽可通过不定期抽查回访等方式考察监督合规整改效果,但鉴于监管刚性不足、监管手段有限,单纯依赖刑事领域的合规激励措施,难以为企业全面建立合规长效机制提供充足压力与动力。〔23#〕此外,数据领域行政处罚与刑事制裁“倒挂”造成的“不刑重罚”还酝酿着破坏企业合规改革效果之危机。鉴于我国刑法规定的涉及数据处理活动的罪名均属兼具行政违法性和刑事违法性双重违法结构的法定犯,企业可能因同一违规数据处理行为遭致行政处罚与刑事追诉,从而产生扭曲的合规激励信号。此外,一些尚未上升至犯罪层面的违法数据处理行为亦可能遭致停业整顿、吊销业务许可证甚至营业执照等严厉处罚,危及企业存续。其均呼吁着通过在行政法领域引入合规从宽激励机制,进一步扩展数据合规激励范围,并在纵向上与刑事合规改革形成合力。
随着个人信息保护法正式赋予检察机关个人信息保护公益诉讼首诉的主体地位,检察机关有望在履职过程中进一步开辟数据合规激励新形态。公益诉讼既可充当督促企业落实合规整改的后备保障,亦可依托惩罚性赔偿等制度创新,为企业开展合规整改提供更丰富的激励措施。但当前,公益诉讼在提供数据合规激励方面的潜能尚未得到有效发掘。
三、数据合规协同激励体系的实体之维
数据合规的重要性催生了构建跨越实体与程序的合规协同激励体系之需求。一方面,程序性激励措施的创设与适用,需以实体层面数据合规从宽的法定化为规范基础和前置条件;另一方面,实体法规则亦需要配套的程序实施机制。〔24#〕当前,程序法与实体法间缺少对话与回应,不利于体系化合规理论的建构,亦无助于合规实践的有效开展及后续立法的推进。〔25#〕对此,必须聚焦数据合规实体标准对构建合规激励体系的前提性意义、数据合规激励的实体法依据与程序性机制之对接等问题,实现跨越实体与程序的两法协同。
(一)数据合规实体标准的廓清
当前,数据领域合规改革推进缓慢,各地检察系统针对数据犯罪适用合规从宽制度的案例极为有限,少有地区将数据犯罪案件明确纳入合规试点范围。〔26#〕这与数字经济形态下涉数据违法犯罪行为激增的客观态势明显不符。
阻滞数据合规改革推进的关键症结在于,数据合规实体标准的模糊致使这一领域的激励措施均面临“无的放矢”的窘境。数据领域的新业态与新模式不断涌现,并颠覆既有规则,因此,立法只能以抽象、宏观的规定割舍对精确性的渴求,以避免立法决策的系统性偏差扼制数据行业的创新发展。然而,立法的不确定性必然显著提高执法与守法成本。为此,2023年最高人民检察院《关于加强新时代检察机关网络法治工作的意见》明确提出,检察机关要探索以事后合规整改促进企业事前合规建设,推动网络监管部门、第三方组织、互联网企业研究制定数据合规规范指引。此种指引性文本作为一种标准型规范,一方面能够通过初步设定相应行为规范,为企业开展内部合规管理提供一定的事前确定性指引;另一方面,其具有的开放性与灵活性为企业判定自身合规义务的具体内涵与履行标准保留了必要的弹性空间。在法律效力上,合规指引不具有法源地位,避免权威立法对数据产业的直接影响,更多扮演凝聚共识并填补规则空白的角色,提供国家在数据领域尋求与市场主体合作治理的规范载体。
目前,深圳、上海等地已先后发布企业数据合规指引类文件,为企业建立数据合规管理体系提供更具操作性的范本指南。在此基础上,网信部门可以进一步推动制定适用于全国范围的统一数据合规指引,建立配套的履行监管机制,以此实现事前性合规指引与日常性行政监管执法、事后性合规从宽激励措施间的贯通。此外,检察机关与监管部门还可通过发布数据合规典型案例、公开数据合规整改过程性文件、建立合规汇报与咨询制度等方式,提供基于类案与具体场景的合规标准范本,达到进一步澄清数据合规标准内涵的效果。
(二)数据合规从宽实体法依据的锚定
数据合规实体标准的明晰为数据合规从宽激励机制的全面确立奠定了基础。以此为前提,构建数据合规激励体系的下一项作业在于明晰数据合规从宽的制度原理,确立数据合规作为刑事犯罪与行政违法场景下抗辩事由或减、免责事由的实体法依据。
1.刑事合规从宽的实现进路
刑法层面的合规激励主要涵盖定罪层面的合规出罪与量刑层面的合规从宽处罚。在事前合规层面,当前,已有法院明确承认事前性的数据合规体系建设可作为阻却单位数据犯罪的抗辩事由。〔27+〕其理性基础在于,企业作为具有拟制人格的“独立组织体”,应独立考察其主观意志等归责要素。个人的犯罪行为并不当然归咎于单位,对单位刑事责任的认定必须结合整体的组织结构、治理模式、企业文化等。〔28#〕良好的事前合规体现了单位对犯罪行为的否定态度,能够产生直接否定犯罪成立的规范效力。〔29#〕具体到涉数据犯罪领域,由于企业并不具备直接实施犯罪行为的能力,往往是由企业内部人员擅自实施犯罪行为,甚至以所属企业为犯罪实施对象。〔30#〕上述场景下,企业通过建立并执行有效的事前数据合规管理体系,对关联人员从事犯罪行为作出禁止和监控的,足以证明其尽到了恰当的注意义务,对关联人员实施的犯罪行为不存在主观过错,亦不具有谋取非法利益的单位意志,不符合有责性要件。〔31#〕即使其数据合规体系未能完全阻止内部犯罪行为的发生,在符合“有效合规”标准的前提下,鉴于企业不存在鼓励、默许或过失放纵的情形,不应苛责企业为无法预见与避免的员工行为承担罪责,亦不具有通过刑罚进行特殊预防的必要。基于此,法院在司法裁判中可赋予事前数据合规以出罪功能,免除建立有效数据合规管理体系的企业因其内部人员犯罪行为而承担的刑事责任,以此激励企业对事前数据合规义务的严格履行。
同时,司法机关亦需严格把握事前数据合规的有效性标准,以免数据合规沦为企业逃避法律责任的工具。目前,数据合规有效性审查标准的缺失对司法机关适用合规从宽激励造成较大困扰。〔32#〕考虑到合规成本等客观限制,要求企业确立并执行“面面俱到”的合规体系不具有期待可能,且极易诱发“纸面合规”。据此,对个案中企业事前数据合规有效性的认定应当充分考虑企业的规模、资源、业务类型等因素。只要企业建立起与风险相匹配且有针对性的合规管理体系并严格执行,即可认定其履行了事前合规义务。在诉讼中,被告企业基于事前数据合规主张无罪抗辩的,应负有对此种积极抗辩事由的举证责任,由其就事前数据合规的有效性进行证明,并承担证明不能的后果。
相比之下, 企业基于外部压力做出的事后合规整改作为单位犯罪成立前提下的从宽处罚情节,其教义学原理更为复杂。传统刑法罪责模式侧重报偿理念和道义责任论下对侵害法益者的惩罚。然而对于单位犯罪而言,单纯的报应或惩罚无意义,重点在于恢复犯罪打破的利益格局,重新建立和平、合作的社会秩序。〔33#〕基于此,“法益修复理论”提供了将事后合规作为单位犯罪场合下从宽量刑情节的正当依据,即通过合规从宽处罚等激励机制,引导企业自愿采取整改措施对被犯罪行为所侵害的法益进行积极修复和补救,以减弱甚至消除犯罪行为的归责基础和处罚必要性,实现司法上的去犯罪化。〔34#〕
依循此种逻辑, 可以将企业的事后合规整改视作“一个未经定罪的责任刑和预防刑的实现过程”:〔35#〕在责任刑层面,在整改过程中,被告企业通过补救挽损措施对受损法益进行全方位修复,减少甚至消除了犯罪行为的损害后果,有效降低了企业犯罪行为“需罚的不法性”,折抵了责任刑;在预防刑层面,企业事后制定合規计划,并针对合规管理体系存在的漏洞和制度隐患进行整改,能够有效消除其经营模式与治理结构中诱发再次犯罪的可能因素,对其施加预防刑的必要性亦显著降低。此时,继续定罪处罚缺乏必要,还可能引发“水波效应”。〔36#〕基于上述原理,司法机关可对经验收整改合格的企业作出不起诉或宽缓量刑的决定,对相关责任人员则仍可依法惩处。
2.行政合规从宽的实现进路
当前,行政合规从宽激励的结构性缺失不仅封闭了企业通过开展合规整改换取免除、减轻行政处罚的制度通道,亦限制了监管部门能动履行数据合规监管职能,对违规数据处理行为进行源头治理和常态监管的能力。考虑到既有数据合规实体标准的模糊和监管部门执法经验相对薄弱,在这一领域引入行政合规从宽制度,有助于监管部门“刚柔并济”地引导企业建设完善数据合规体系,避免“严刑峻罚”对数字产业发展的可能阻滞,在数字经济背景下具有重要意义。
确立行政合规从宽制度的前提在于明确合规作为从宽处罚事由的法律依据。行政合规从宽的逻辑与依法行政的传统要求存在一定程度的背离,因而面临“行政权的不可处分性”“企业独立意志的缺乏”等一系列理论质疑。〔37#〕对此,2021年修订的行政处罚法将主观过错引入行政责任成立要件,为监管部门豁免对已建立有效事前数据合规管理体系的企业的责任科处提供了规范基础。不同于传统行政法秉持客观违法的一元归责原则,修订后的行政处罚法实现了从客观归责向主客观要件相结合的转变。〔38)〕根据行政处罚法第33条第2款,已经建立事前数据合规管理体系、充分履行数据合规义务的企业可主张对违法数据处理行为的发生不具有主观过错, 以此作为排除适用行政处罚的抗辩事由。监管部门则可结合合规认定标准,严格把握企业事前数据合规管理体系的有效性,决定企业是否符合行政处罚法关于不予处罚之规定。此种“决定裁量权”的行使并未超出立法授权的范围,不构成对行政权不可处分性要求的违背。
此外,数据安全法、个人信息保护法在行政责任的设置方面均采取“双罚制”,即同时对企业与相关责任人员设置行政处罚。这为监管部门对企业的主观过错作出独立认定提供了空间。根据单位违法的“双重构造论”,“单位违法的形态结构表现为两个违法主体、两个违法行为以及内容不同的主观过错”。〔39)〕因此,在“双罚制”下,对单位责任与成员责任的认定应彼此独立,是否追究单位的责任并不影响对成员责任的追究,反之亦然。〔40)〕鉴于数据领域的行政违法行为多为自然人实施的“不纯正的单位违法”,应当对企业与相关责任人员的违法行为、主观过错分别认定。当企业已建立并执行完备、有效的事前数据合规管理机制,且不存在主观过错时,行政处罚的对象应为违背企业整体意志与内部要求而实施违规数据处理行为的直接责任人。这也确保了合规从宽并不必然造成行政领域法律责任的落空。
相比之下,事后行政合规从宽因面向已成立的行政违法行为,此时,监管部门不能自行处分和决定放弃所负有的处罚职责,因此更加需要寻求法律上的从宽依据。目前,数据安全法、个人信息保护法均赋予有关监管部门在发现数据处理活动存在较大安全风险的情形下,约谈有关企业、个人,要求其整改以消除隐患的权力。〔41)〕结合行政处罚法第33条第1款的“首违不罚”规则,监管部门可在违法数据处理行为尚未造成实质性危害或危害轻微的限度内, 允许首次违法的企业通过开展数据合规整改,及时纠正违法行为并积极消除、减轻危害后果,换取免除或减轻行政处罚的从宽处理。同时,针对已造成实质性危害后果的违规数据处理行为,根据行政处罚法第32条之规定,企业积极配合执法调查,并主动采取措施消除或减轻危害后果的,行政监管部门亦可酌情对其从轻或减轻处罚。
四、数据合规协同激励的程序之维
在数据合规的实体规范基础仍有待夯实的客观局限下,程序性合规激励措施仍将在较长期间内充当合规从宽的主要实现路径。〔42)〕目前,刑事领域依托涉案企业合规改革已初步形成第三方监督评估机制、合规验收听证等一系列程序性激励措施。相比之下,行政领域与公益诉讼领域数据合规程序性激励机制仍处于缺位状态。数据合规的程序性激励措施应进一步延伸至刑事诉讼、行政处罚与公益诉讼等不同场景,〔43#〕以全面打造数据合规程序性激励体系。
(一)行政合规程序性激励机制的确立
近年来,“合规整改”成为各地网信部门执法过程中的高亮词汇。考虑到当前数据领域非恶意违法甚至无意识违法现象较为普遍,在行政执法中引入以合规整改为核心的激励机制,有利于在纠正违规数据处理行为的同时,发挥企业的自创生能力,使其承担必要的知识观察与事后改进义务,并为立法完善积累经验。〔44#〕
在此方面,证券监管与反垄断执法领域率先开展的行政执法承诺制度提供了将合规激励嵌入行政执法的程序装置。〔45#〕但这一制度的初衷旨在提升执法经济性,合规激励效果隐而不彰,且适用率偏低。〔46#〕通过对这一制度的核心目标、制度定位、机制设计进行改造和优化,能够使其焕发活力,为合规秩序的塑造提供更有力的支持。〔47#〕近年来,监管部门在对大型互联网平台企业作出行政处罚的同时,均同步制发《行政指导书》,要求其加强内控合规管理、进行全面合规整改,并定期提交自查合规报告。〔48#〕在此基础上,数据领域的监管部门可依托修订后的行政处罚法,在适度改造的基础上建立相应的行政执法承诺机制,允许被调查企业通过承诺进行合规整改、加强内控管理、建立有效合规计划、接受合规监督等,换取与执法部门和解的机会,以此推动企业主动改变治理结构和公司文化。双方可在协商基础上,就合规整改措施达成一致约定,并明确纳入承诺许可协议,以作为中止调查的前提。〔49#〕同时,应当增设针对数据合规整改效果的验收评估程序,并根据数据违规行为的情节和后果等因素设置相对较长的合规考察期限,只有最终经过考察验收被认定整改合格的企业,方可被予以终止调查的从宽处理,否则监管部门仍有权重启执法程序。
在数据领域引入行政执法承诺制度面临的主要困境在于,“多头管理”的监管架构容易引发权责交叉和职责边界模糊,增加企業合规建设成本。就是否对企业适用行政执法承诺制度以及后续对其合规整改效果的评估结论,不同监管部门可能存在差异,从而削弱合规从宽激励效应。基于此,可在数据合规监管领域建立相应的联合执法机制,由网信部门作为领导机构统筹协调,并统一行政执法承诺的适用标准。对于符合适用条件的企业,可以协调有关监管部门共同评估,避免重复开展合规建设和考察验收所带来的成本损耗。
在刑事诉讼领域已确立合规不起诉等从宽激励的基础上, 在行政监管中引入行政执法承诺制度,还应注意避免“过度从宽”而放纵数据违规行为。基于此,监管部门应当采取渐进式试点模式。现阶段,行政监管部门可以谦抑姿态,在检察机关的建议、意见下,结合企业在刑事诉讼环节合规整改的证据材料与具体效果,决定是否适用行政执法承诺机制。待经验积累成熟后,再考虑在行政处罚法基础上,从已经建立一定程度的事前数据合规管理体系且对违法数据处理行为的发生不具有故意和明显过失的初犯企业开始,尝试拓展行政执法承诺制度的适用范围。同时严格规定适用行政执法承诺的否定性要件,对故意违规、重复违规或其违规行为造成较为恶劣的社会影响的企业,不予受理其行政执法承诺。此外,对于已作出承诺,但因自身原因未履行或者未完全履行,或存在其他违背诚信原则的情形的企业,应记入信用档案,取消再次适用的资格。
(二)公益诉讼合规程序性激励机制的探索
检察机关的公益诉讼职能可与企业合规改革形成激励相容的互促关系。〔50#〕其既可充当督促企业落实数据合规整改要求的压力机制,又能与惩罚性赔偿等制度相结合,为企业合规提供正向驱动。依托检察职能的能动行使,公益诉讼与数据合规可以形成如下两种组合模式。
1“. 检察建议+数据合规+公益诉讼”模式
在刑事司法与行政监管领域全面引入数据合规激励机制带来的一个后续问题是,如何确保享受合规从宽待遇的企业真正将合规落至实处。当前,单纯依靠涉案企业合规改革确立的第三方监督评估机制对企业合规整改效果予以考察,受限于考察验收期限较短、考察范围有限而效果欠佳。公益诉讼手段的介入增添了督促企业落实合规整改要求的刚性保障。实践中,检察机关在对情节轻微、尚不构成犯罪的企业作出不起诉决定的同时,可以发送检察建议,要求涉案企业采取合规整改措施,并对未能按照检察建议落实合规整改要求者启动民事公益诉讼程序,要求其承担支付惩罚性赔偿金等责任。此外,根据最高人民检察院《关于积极稳妥拓展公益诉讼案件范围的指导意见》,检察机关在履职过程中发现企业存在违规数据处理行为或合规管理漏洞,可能造成潜在公益风险时,也可以诉前检察建议方式,要求其及时开展数据合规体系建设或合规整改,在违规数据处理行为上升为严重违法犯罪前及时介入,实现从“事后惩治”向“事先介入”的转型。
2“. 公益诉讼+数据合规+激励措施”模式
数据合规激励改革推进过程中必须回应的另一重疑惑是,在“放过企业”的同时,如何使数据违规场景下处于受侵害状态的公共利益与个体权益得到恢复和弥补。对此,公益诉讼作为“恢复性司法”的重要载体,可以通过行使损害赔偿、消除影响、停止侵害等请求权,弥补数据侵权场合下“沉默的大多数”遭受的损失,促成“惩罚”“救济”与“预防”等多重规范目标的同步实现。〔51#〕然而,单纯针对个案的补救挽损难以彻底消除根源性违规因素,预防类似行为再度发生,故有必要在公益诉讼中引入数据合规机制,以达到从根源上改造企业治理结构与合规意识的效果。
《关于加强新时代检察机关网络法治工作的意见》明确提出,要围绕敏感个人信息、特定群体、重点领域的公民个人信息等,持续加大公益诉讼办案力度,积极探索建立民事公益诉讼惩罚性赔偿制度。惩罚性赔偿提供了在公益诉讼中融入数据合规激励的支点:一方面,对严重违反数据合规义务的企业课以惩罚性赔偿,能够弥补传统侵权责任形式威慑力的不足;另一方面,惩罚性赔偿的附条件减、缓、免可作为激励企业开展数据合规整改、建立有效合规计划的重要方式。〔52#〕检察机关可以在法院调解下,与涉诉企业就合规整改事宜达成一致,并对合规整改验收合格的企业减少甚至免除惩罚性赔偿,激励其彻底消除违规因素。此外,近年来,部分地方检察机关还在公益诉讼中创新性地引入了数据合规诉请,通过在与被告达成的调解协议中约定被告应采取的合规整改措施以及高额违约金的方式,为企业落实数据合规建设提供反向激励。
综上,将数据合规要求与激励机制引入公益诉讼领域,能够有效实现与刑事诉讼和行政处罚领域合规改革的衔接与配合。在适用阶段与覆盖范围方面,公益诉讼主要适用于违法情节相对轻微,甚至尚未造成实质性损害的侵权行为,相比于刑事诉讼与行政处罚具有明显的主动性与前置性,同时,公益诉讼的介入也为合规不起诉场合下,检察机关做好合规考察期结束后的“后半篇文章”提供了有力手段。为避免企业骗取从宽待遇,检察机关可以在作出合规不起诉的决定后,借助“检察建议+数据合规+公益诉讼”模式实现接续监管,确保企业长效落实合规要求。
当前,将公益诉讼融入数据合规激励体系仍面临一定障碍。其中,最主要的障碍即在于相应程序性实现机制的缺位。在公益诉讼场景下,除刑事附带民事公益诉讼案件可启动第三方评估与审查机制外,其他公益诉讼案件还未建立起成熟的第三方机制。〔53)〕鉴于对违规企业缺少规范化的考察与评估机制,公益诉讼对企业合规的激励效果难以落至实处。实际上,公益诉讼与刑事诉讼场景下数据合规的判定标准具有较强共性,完全可以在既有刑事合规第三方监督评估机制基礎上,构造公益诉讼合规的调查、评估、监督与考察机制,并共享第三方机制专家资源。未来可依托既有第三方监督评估机制,进一步明确检察公益诉讼场景下企业合规整改的第三方监督评估程序规则,更好发挥公益诉讼对企业数据合规的激励与督促效果。
结语
合规的终极形态应当是企业的一种内部文化。企业合规的内在化、制度化过程大致会经历“承诺合规—合规技术化—合规惯例化”三个阶段,而在企业达致“合规惯例化”阶段后,鲜少发生再次退回不合规老路的现象。〔54)〕可见,为培育数据合规秩序与文化提供法律激励是必要的,关键在于把握激励与威慑的完美比例,在提供充足合规动力的同时,避免“过度从宽”不当降低数据违规成本。我国数据合规秩序的培育仍处在萌芽阶段。未来,应基于实体法与程序法双重维度,持续开展数据合规协同激励的体系性作业:厘清数据合规实体标准,以明确激励措施的适用前提;明晰数据合规从宽的制度原理与实体法依据,以释放激励效应;增加程序性激励机制供给,以确保激励效果落地。
本文系吉林省社科基金重大项目“完善数据权益配置服务智慧法务区建设研究”(项目批准号:2023ZD1)、吉林省哲学社会科学网络文化专项项目“破解数据公地悲剧的法律进路研究”(项目批准号:2023W6)的阶段性成果。