［摘要］ 企业数据安全合规包括行政合规与刑事合规，两者都存在行刑衔接问题。在企业数据安全行政合规中，要从实体和程序两个角度实现行刑衔接，突出数据行政主管机关的主导作用，同时发挥公安机关和检察机关的监督作用，防止以罚代刑，并解除行政人员在合规处理中涉嫌构成徇私舞弊不移交刑事案件罪的后顾之忧。对于企业数据安全的刑事合规，要在系统的企业刑事合规法律体系中建立行刑衔接制度，发挥数据主管行政机关在企业数据安全合规建设中的主导作用，并重视企业数据安全刑事合规建设失败后的行刑衔接。

［关键词］ 数据安全；企业合规；引导与激励；行刑衔接

［中图分类号］ D924［文献标识码］ Ａ［文章编号］ 1008-1763（2024）05-0138-08

On the Coordination Between Administrative and Criminal

Law in Corporate Data Security Compliance

LAI Zaoxing ， SUN Qinyi

（School of Law， Xiangtan University， Xiangtan411105，China）

Abstract：Corporate data security compliance includes both administrative compliance and criminal compliance， and both involve the issues of coordination between administrative and criminal enforcement. In the administrative compliance of corporate data security， it is necessary to achieve the coordination between administrative and criminal enforcement from both substantive and procedural perspectives. This involves highlighting the leading role of data administrative authorities while also utilizing the supervisory roles of public security and procuratorial authorities. This approach aims to prevent substituting administrative penalties for criminal penalties and to alleviate concerns about administrative personnel failing to transfer criminal cases due to personal interests during compliance processes.For the criminal compliance of corporate data security， it is essential to establish a coordination system within a systematic legal framework for corporate criminal compliance. It includes emphasizing the leading role of data administrative authorities in the construction of corporate data security compliance and paying attention to the coordination between administrative and criminal enforcement in the event of failures in the construction of corporate data security criminal compliance.

Key words： data security; corporate compliance; guidance and incentives; coordination between administrative and criminal law

合规管理是企业持续健康发展的前提，也是企业及其员工远离因违法而受到法律制裁的保障。2014年，国务院国有资产监督管理委员会明确将企业合规管理置于重要位置。现在合规管理已经成为对各类性质企业、各种规模企业法制工作的共同要求。自2021年最高人民检察院等九部门联合发布《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》（以下简称《第三方意见》）以来，涉案企业合规建设已经实现了从点到面地全面推行。在全球信息化的时代背景下，企业生产经营数据化的趋势更加明显，任何企业生产经营都存在数据收集、使用、存储、流转等行为。如何使企业数据行为符合国家安全管理的规定，实现企业数据安全合规，是全社会必须面对的现实问题。本文将结合企业合规和企业数据安全管理两个热点，从行政法与刑事法两个维度分析企业数据安全合规中的行刑衔接问题。

一企业数据安全合规及行刑衔接

随着计算机网络技术的不断更新迭代，人工智能、大数据等新兴技术的叠加，当今社会已经进入“数据社会”阶段。［1］1在数据社会中，数据已经与土地要素、劳动力要素、资本要素和技术要素一起成为社会的生产要素。数据在提高社会生产力和改善人们生活的同时，也带来了风险与安全挑战。“数据安全已成为事关国家安全与经济社会发展的重大问题。”［2］在此背景下，2023年《政府工作报告》将“加强网络、数据安全和个人信息保护”列为加强和创新社会治理的重要内容。

企业是数据市场的重要主体。在数字经济的发展中，政府是方向的引导者，企业是数字技术和实体经济融合的主要推动者。据统计，2022年我国数字经济规模为50.2万亿元，占GDP的41.5%，农业生产信息化率超25%，工业企业关键工序数据化率、数字化研发设计工具普及率分别增至58.6%和77.0%。［3］32但数字技术在赋能数字经济迅速发展的同时，也加剧了数据失范行为的出现，令数字经济安全体系遭受冲击。［4］9企业作为生产信息化和数据化的受益者，应当充分认识到数据安全合规的重要性，自觉主动根据法律法规的规定完善自身制度建设，防范数据危害行为的发生。但企业毕竟也是市场中经济利益的追逐者，仅依靠企业自觉来实现自身数据安全的合规管理是不现实的。只有将行政措施和刑事手段相结合，加强对企业数据安全管理的监管、警示、引导和激励，同时制裁数据违法犯罪行为，才能更好地帮助企业做好数据安全合规管理。

狭义上，企业合规是企业为规避经济或其他损失，而采取的通过事前制定相关规章，来防范后续因自身的违法违规经营而受到行政、刑事处罚的一种公司治理方式；［5］7广义上的企业合规还包括企业因违法行为涉案后为得到从宽处理而根据行政管理部门或司法部门的要求进行的规范管理。为防止自身被追究行政责任和刑事责任，企业应当做好数据安全的日常合规管理。传统观念上，追究相关企业行政责任或刑事责任主要是为了惩罚违法企业；但在合规理念中，则更多是希望通过行政手段或刑事手段监督、激励、促使企业在数据管理中树立合规观念、建立健全管理制度、规范数据行为。因此，企业合规包括企业日常管理的自觉合规和行政权或司法权行使中的被动合规（包括行政合规与刑事合规）两部分。

企业合规中首要的是企业自觉的日常管理合规。市场经济是法治经济，市场经济的健康、有序发展主要依靠包括企业在内的市场主体的合规经营。有学者认为：“作为公司治理的一个重要组成部分，合规计划及其实施以往主要是公司法学和商学讲授和研究的问题。”［6］20而其中公司法学和商学关注的是企业的日常管理，因此该观点实际强调企业合规最主要的内容是企业日常管理合规。而在数据安全管理方面，企业日常管理合规具体包括主动根据数据安全管理法律法规的要求，自觉构建管理制度、配置管理人员、查处违规人员等。

然而在利益驱动下，有的企业可能突破法律法规的规定，实施违法甚至犯罪行为。在现实中，企业违法收集、存储、使用、加工、传输、提供或公开数据的行为层出不穷。因此，行政权、司法权激励和引导的企业被动合规就十分必要。行政机关要充分发挥监督、引导、追责等职能，加强对企业数据安全管理的检查，要求企业建立健全数据安全管理制度、配备管理人员、规范数据行为。企业数据安全行政合规包括两种类型：引导型行政合规与激励型行政合规。

引导型行政合规，即企业在数据主管行政机关日常执法中的引导、督促下做好数据安全合规管理。这种合规多发生在企业日常数据安全管理合规中，行政主管部门为企业提供合规引导，二者在时间和过程上有很大程度的重合，因此二者体现出一种合作关系。从实践看，我国引导型行政管理呈现出由点到面的发展样态。这种合规首先发端于中央企业合规管理体系建设试点工作，经过多年的试点后，于2021年由各地国资委全面推进。推行引导型行政合规，一方面与行政权“维护秩序和为相对人服务”［7］5-6的目的一致：强化企业数据安全管理的行政检查、引导既是维护数据安全的需要，也是为企业服务、帮助其构建数据安全合规制度，防止其因数据安全管理违法而受到行政追究的重要方式。另一方面这与行政权“要主动行使行政管理权”的主动性属性一致。在“服务型政府”的理念指导下，行政机关应当发挥行政权的主动性，引导、督促企业合规管理。《中华人民共和国行政强制法》第42条规定的强制执行中的暂缓执行制度

《中华人民共和国行政强制法》第42条规定，实施行政强制执行，行政机关可以在不损害公共利益和他人合法权益的情况下，与当事人达成合规改进协议。执行协议可以约定分阶段履行；当事人采取补救措施的，可以减免加处的罚款或者滞纳金。为此提供了制度空间。基于该条的规定，行政法学者认为，可以将刑事合规的理念导入行政执法中。［8］66因此，行政机关在履行监管职能过程中，可以主动要求企业通过制定并实施合规计划换取减轻处罚或者免除处罚，从而督促企业自我整改、自我监管。［9］62这就是激励型的行政合规。就企业数据安全管理而言，行政机关对数据违法企业进行处罚时可以主动与企业协商，达成合规改进协议，如果企业完善数据安全管理制度、规范数据行为，达到合规要求，可以减免罚金或滞纳金。

涉案企业刑事合规也是一种激励型合规。激励措施具体包括对合规整改到位的涉案企业或其责任人员不起诉、不认定为犯罪、免予刑事处罚、判处缓刑或其他量刑上的从宽。推行涉案企业刑事合规建设能促使切实履行检察建议、司法建议，激发企业规范管理行为的积极性和主动性，促进企业完善企业治理制度。同样，在涉案企业刑事合规中，对于符合条件的涉案企业，司法机关在追究企业及其责任人刑事责任的过程中，可以利用刑事激励措施促使企业进行合规建设，通过建立健全其数据安全管理制度、完善数据安全管理人员的配置、明确数据安全人员违规行为的处理等，解决企业数据管理中切实存在的问题，确保数据安全。

既然存在企业数据安全管理中行政合规与刑事合规，就有必要实现合规中的行刑衔接。有学者提出：“应当建立行政合规与刑事合规衔接的合规体系，层递式阻断行政违法和刑事违法，实现从源头上预防和治理企业违法问题”［10］104。企业刑事合规的过程，虽然整体上是刑事程序，但仍然与行政机关密切相关，涉案企业合规建设必须有行政机关的参与。2021年发布的《第三方意见》中涉及的九部门，有数个是行政部门。同时，这些部门是建立涉案企业合规第三方监督评估机制的单位。不仅如此，在涉案企业合规建设的过程中，检察机关还可以与其他行政部门联系，让这些行政机关参与到涉案企业合规建设中。因此，即使在涉案企业合规建设中，行刑衔接仍然具有重要意义。

《中华人民共和国刑法》第286条之一设置了拒不履行信息网络安全管理义务罪。该罪的设置使企业刑事合规可以找到刑法的依据［11］56，也使企业数据安全合规中行刑衔接的重要意义凸显出来。在该罪的构罪条件中，立法者设立了行政前置［12］70的相关规定，即网络服务提供者未履行信息网络安全管理义务即使情节严重或造成了严重后果，也不意味着必然构成犯罪，而是必须先由作为监管部门的行政机关责令采取改正措施，即只有在网络服务提供者拒不改正的情况下，才可能涉及刑事责任问题。因此，作为网络服务提供者的企业在信息网络安全管理中如果违反了法律法规的规定，在网络监管部门给企业下达改正通知后，企业就应当立即按照监管部门的要求，规范数据安全管理。如果企业根据行政主管部门的要求采取改正措施，符合了行政合规的要求，则不再被追究刑事责任；如果企业未能履行相关要求，则企业及其相关人员将因“拒不改正”而被司法机关依法追究刑事责任。不过，即使是在追究刑事责任的程序中，司法机关仍然可以利用刑事激励措施，促使符合《第三方意见》中规定的条件的企业进行合规建设。

二企业数据安全行政合规中的行刑衔接

在引导型行政合规中，行政机关可以通过多种途径引导企业做好数据安全的日常管理。这种引导由行政机关独自完成，不会涉及行刑衔接的问题。如果行政机关在对企业进行数据安全管理检查时发现企业存在严重违反法律规定的行为，或收到相关投诉、申诉、举报时

根据《互联网信息内容管理行政执法程序规定》第14条的规定，互联网信息内容管理行政部门可能基于下列情形发现企业数据安全管理中的违法线索：在监督检查中发现，自然人、法人或者其他组织投诉、申诉、举报，上级机关交办或者下级机关报请查处或有关部门移送或者经由其他方式、途径发现。，应当对违法行为进行立案调查，并根据企业违法行为社会危害的严重程度依法处理。例如，根据《中华人民共和国数据安全法》第51条的规定，企业窃取或者以其他非法方式获取数据，将由行政机关予以处罚。数据安全管理的行政机关可以依据《中华人民共和国治安处罚法》的规定，对企业直接负责的主管人员和其他直接责任人员处五日以下拘留；情节较重的，处五日以上十日以下拘留。这是行政机关追究数据违法企业行政责任的法律依据。但如果企业数据违法行为达到相应罪名的构罪标准时，则应当追究企业及其责任人的刑事责任。因此，根据《中华人民共和国数据安全法》第52条第2款的规定，构成犯罪的，依法追究刑事责任

《中华人民共和国网络安全法》第74条第2款也规定：“违反本法规定，构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。”《中华人民共和国个人信息保护法》第71条也作了同样的规定。。这就存在追究行政责任和追究刑事责任之间的衔接问题，与此相应的就是行政合规与刑事合规的衔接问题，具体包括实体与程序两个方面：

从实体上看，《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律只规定对“构成犯罪的”依法追究刑事责任，但企业的数据违法行为是否构成犯罪首先取决于查处机关的判断。最高司法机关在司法解释中对非法侵入计算机信息系统罪、拒不履行信息网络安全管理义务罪等涉及数据犯罪的诸多罪名的构罪标准都有较为明确的规定，行政机关可以根据这些构罪标准判断企业的数据违法行为是否构成犯罪。根据《行政执法机关移送涉嫌犯罪案件的规定》（以下简称《移送规定》），行政机关在执法过程中发现企业的数据违法行为达到公安部的追诉标准或司法解释中的构罪标准，涉嫌构成犯罪，需追究刑事责任的，就必须向公安机关移送，否则会构成《中华人民共和国刑法》第402条中的徇私舞弊不移交刑事案件罪。这是因为，在传统观念上，违法行为存在追究行政责任与刑事追究竞合时，刑事责任优先于行政责任［13］92，行政执法人员必须移交案件给公安机关。

但在合规理念下，企业的数据违法行为达到追诉标准或构罪标准时，行政机关是否有权对企业进行行政合规处理？即行政机关能否与企业达成合规协议，督促其整改，达到合规建设要求后，不移送公安机关追究刑事责任只追究企业的行政责任，甚至在行政处罚时从宽处理？这就涉及合规中的实体行刑衔接问题。

对于这种行政合规中的实体行刑衔接，一方面要排除“以罚代刑”观念的困扰，另一方面要解除行政执法人员对企业合规处理时涉嫌构成徇私舞弊不移交刑事案件罪的担忧。“以罚代刑”曾经是行政执法过程中的不正常现象，不但被社会舆论指责，也受到国家严肃查处

最高人民检察院、公安部、监察部和商务部于2010年发布《关于开展对行政执法机关移送涉嫌犯罪案件专项监督活动的工作方案》，四部门联合开展行政执法机关移送涉嫌犯罪案件专项监督活动，整治行政执法机关有案不移、以罚代刑的现象。

。在合规理念下，有必要更新行政执法与刑事司法两者关系的观念，重新审视“以罚代刑”的内涵与表征，避免在推动行刑衔接的同时令刑法的权威和威慑力降低［14］32-36。在行政合规中，行政机关对于达到追诉标准或构罪标准的数据违法行为，行政机关可以根据企业的情况，与企业达成合规协议，激励其合规建设，达到建设要求时，只对其进行行政处罚，不将企业或责任人移送公安追究刑事责任。这种情形掺入了合规建设的要求，与原本意义上具有徇私性质的行政机关“以罚代刑”存在着本质的区别，应当排除在“以罚代刑”之外。此外，要重构徇私舞弊不移交刑事案件罪的构罪条件，将行政合规增设为该罪的出罪事由。在《中华人民共和国刑法》第402条的规定中，行政执法人员徇私舞弊，对依法应当移交司法机关追究刑事责任而不移交，情节严重的，构成徇私舞弊不移交刑事案件罪。刑法条文未为该罪设置出罪条件，以致行政机关执法过程中查处的违法行为达到了构罪标准就必须移交公安机关追究刑事责任，否则就会涉嫌构成徇私舞弊不移交刑事案件罪。但从徇私舞弊不移交刑事案件罪的罪状描述看，“依法应当移交”这一概念还是为徇私舞弊不移交刑事案件罪的出罪设置预留了空间。如果承认行政合规中行政机关与被查处企业之间合规协议的合法性，那么通过行政合规处理的达到追诉标准或构罪标准的企业违法案件完全可以排除在“依法应当移交”这一概念之外。这样就可以解除行政人员在合规处理中涉嫌构成徇私舞弊不移交刑事案件罪的后顾之忧。行政合规的引入可以将现实中一些作刑事合规处理的案件作行政合规处理。这不但能节约司法资源，也能避免企业因刑事合规而进入繁杂的司法程序。最高人民检察院发布的第三批涉案企业合规典型案例之一——上海Z公司、陈某某等人非法获取计算机信息系统数据案［15］即是适例。在该案中，Z公司是一家从事互联网大数据业务的企业，为二万余家商户提供数字化转型，年纳税一千余万元。Z公司首席技术官陈某等人在未经E公司授权许可的情况下，使用爬虫程序大量非法获取E公司运营平台数据，造成E公司直接经济损失人民币4万余元。该案中，检察机关通过刑事合规的方式激励Z公司整改，最后对Z公司、陈某等犯罪嫌疑人作出不起诉决定。其实，如果该案实行行政合规效果会更好。在该数据企业的行政合规建设中，由查处Z公司非法获取计算机信息系统数据行为的行政机关主导，利用行政激励措施促使Z公司进行数据安全管理的合规建设，达到合规建设要求时，不将案件移送公安机关。这一方面大量节约了司法资源，另一方面也使企业没有涉嫌犯罪的案底。实际上，在合规不起诉的情况下，企业数据合规建设过程中仍然需要主管行政机关的积极参与、引导。

行政机关对部分达到追诉标准或构罪标准的违法企业进行行政合规建议时要注意符合性条件和禁止性条件。符合性条件包括：涉案企业及责任人是否承认自己行为违法、是否愿意接受处罚；企业是否能够正常生产经营；企业的规模、效益等是否具备合规建设的基础；是否承诺建立健全企业合规制度；是否愿意接受行政机关的合规处置等。禁止性条件包括：是否为单位违法行为而非个人违法行为；是否涉嫌国家安全犯罪、恐怖活动犯罪等。

在行政合规中行刑衔接程序中要注意以下两点：一是行政合规的主导。行政合规的主导是行政机关。我国众多行政部门对数据活动都有管理的权利和义务，难免出现监管交叉重叠现象［16］51。数个行政机关对企业某数据违法行为都有权查处时，应当确立主查处行政机关或首先查处的行政机关。确立查处数据违法行为的行政机关后，该机关应当对企业数据违法行为进行调查，收集相关证据，分析违法数据行为的社会危害性程度。如果企业数据违法行为的社会危害程度达到了相应罪名的追诉标准或构罪标准，查处机关应当对企业的类型、规模、社会贡献等情况进行核实，根据企业责任人的认错态度，初步确定是否对其进行行政合规建设。二是行政合规处置的决定。行政机关在初步确定对数据违法企业进行行政合规处置且企业愿意接受行政合规处置后，应当将案件报公安机关备案。《中华人民共和国刑法》设置的徇私舞弊不移交刑事案件罪约束着行政机关对数据违法企业行政合规处理的决定。为防止行政合规中行政机关工作人员涉嫌此罪，解除其后顾之忧，行政机关应当将初步确定实施行政合规的案件报送公安机关。公安机关应当对报送案件进行审查，符合合规条件、有利于企业健康持续发展的行政合规应当予以支持；对于不符合合规条件的案件，公安机关应当会同检察机关进行协商，共同作出否定的决定。之所以要由公安机关与检察机关协商，是因为检察机关是公诉机关，对于危害行为社会危害性程度的评判更准确；而且，现阶段检察机关是推进企业刑事合规的主体力量，检察机关可以借鉴刑事合规的理念、标准考量准备行政合规的案件，也能一定程度上做到行政合规与刑事合规的分流，减轻检察机关在企业刑事合规方面的压力。如果公安机关与检察机关协商后仍否定行政机关行政合规的决定，则要说明否定的理由。行政机关接到否定意见后，应当将数据违法企业移送公安机关由公安机关立案侦查，由司法机关追究企业的刑事责任；行政机关不得无视该否定意见强行对数据违法企业实施行政合规处置。为了确保行政合规决定作出的合法性、合理性，提高程序效率，可以建立行政机关与公安机关、检察机关联席协商机制，对于行政机关认为基本符合行政合规条件的案件由三方协商作出决定。

确定对数据违法企业实施行政合规处置时，行政机关应当依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理［17］98-108。对数据安全肩负管理责任的机关熟悉相关法律规定，在查处企业的数据违法行为时也能同时掌握了企业数据安全管理中的漏洞，进而能够帮企业做好数据安全管理的合规建设。行政机关在数据安全管理中，针对企业数据安全管理中存在的普遍性问题，也可以制定《企业数据安全管理的合规指引》。该《指引》一方面可以作为行政机关指导企业日常自我合规的指南，另一方面也可以在此类行政合规中要求数据违法企业按照《指引》构建或健全自身数据安全管理制度、规范数据行为。同时，在准备对其实施合规处置的前期，涉案企业也能参照该《指引》明确自己合规建设需要达到的要求，以便权衡自己是否应接受合规建设。

在行政合规处置过程中，行政机关应当对数据违法企业进行合规建设检查，以了解企业是否依照合规要求进行建设。合规期满后，对于达到建设要求的企业，行政机关应当作出合规建设合格的评估决定，并将体现合规过程的相关文件及结论材料提交公安机关备案。公安机关接到相关材料后，应当对提交的材料进行审查，对于达到建设要求的合规予以认可；对于未达到合规建设要求的，应当会同检察机关进行协商，以确定是否认可行政机关合规建设的结论。如果公安机关与检察机关协商后认为，数据违法企业未达到合规建设的要求而否定行政机关的决定，行政机关应当将涉案企业移送公安机关追究刑事责任。

因此，在企业数据安全行政合规中，从企业数据违法行为的查处，到企业数据安全合规处置可能性评估，再到合规处置决定的作出，最后到合规建设考核结论的确定，整个过程中行政机关都处于主导地位。作为刑事责任追究的公安机关、检察机关在这个过程中起重要的监督作用。由于此阶段的合规同时涉及数据主管行政部门和刑事司法机关，因此行刑衔接贯穿整个过程。

三企业数据安全刑事合规中的行刑衔接

刑事合规中的行刑衔接集中体现在事后整改型刑事合规中。在最高人民检察院发布的多批涉案企业合规典型案例中，有上海Z公司、陈某某等人非法获取计算机信息系统数据案和浙江杭州T公司、陈某某等人帮助信息网络犯罪活动案等涉及数据违法企业的刑事合规。在上海Z公司、陈某某等人非法获取计算机信息系统数据案的刑事合规进程中，检察机关联合互联网行业管理部门，由专业人员组成第三方组织，督促涉案企业构建有效的数据合规建设体系。在浙江杭州T公司、陈某某等人帮助信息网络犯罪活动案的典型意义中，检察机关认为办案机关与相关行政部门联合，“通过制发数据合规指引，引导企业自主构建数据合规管理、运行、保障和处置体系，强化企业数据安全保障意识和犯罪预防意识”［18］，督促企业开展合规建设，促进了区域数字经济健康发展。虽然最高人民检察院已经在涉案企业合规改革探索中构建了相关制度，但涉案企业数据安全刑事合规中行刑衔接仍存在比较突出的问题，主要体现在以下几个方面：

首先，涉案企业数据安全刑事合规缺乏系统法律规定，行刑衔接总体上无法可依。现今，检察机关虽制定了多个法律文件以加强检察权行使过程中的行刑衔接

如最高人民检察院2021年制定的《关于推进行政执法与刑事司法衔接工作的规定》、2023年制定的《关于推进行刑双向衔接和行政违法行为监督 构建检察监督与行政执法衔接制度的意见》等。，在推进涉案企业合规建设中也制定了相应的规范强化合规建设中的行刑衔接

如2021年制定的《关于建立涉案企业合规第三方监督评估机制的指导意见（试行）》、2022年制定的《涉案企业合规建设、评估和审查办法（试行）》及2023年制定的《关于推进行刑双向衔接和行政违法行为监督构建检察监督与行政执法衔接制度的意见》等。，为检察机关在涉案企业合规建设中提供相应的规范依据，但对于数据安全管理的刑事合规，我国实际上仍缺乏系统的法律规定。从规定上看，《第三方意见》和《涉案企业合规建设、评估和审查办法（试行）》（以下简称《审查办法》）两个文件的制定主体虽然多达九个部门，但并未囊括数据安全管理的主管部门。而且，由于我国行政权限条块划分、各行政机关之间各自为政的现象较为突出，拥有数据安全管理的行政机关在未列入颁布法律文件主体的情况下数据管理部门是否会积极参与到涉案企业合规建设的过程中，配合司法机关的要求引导和帮助企业做好数据安全管理的合规建设，这一点值得怀疑。司法机关很难基于上述规定常态化联系数据安全管理行政部门做好合规工作，只能在个案中特殊情况特殊处理。

在审查起诉阶段，检察机关基于检察建议制度在涉案企业合规中一定程度上实现与数据安全管理行政部门的联系。这种建议有两种形式：一是行政处罚检察建议，二是行业合规检察建议。前者是检察机关建议数据安全主管行政机关对因合规建设合格而受到不予起诉的企业进行行政处罚

根据《中华人民共和国刑事诉讼法》第177条的规定，对人民检察院决定不起诉的案件，对被不起诉人需要给予行政处罚的，人民检察院应当提出检察意见。据此，检察机关在涉案企业合规建设中可以建议行政机关对违法企业进行行政处罚。。根据《人民检察院检察建议工作规定》第11条的规定，检察机关在办理案件中发现涉案单位在预防违法犯罪方面制度不健全、不落实，管理不完善，可以向有关部门提出完善治理的检察建议。因此，检察机关建议数据主管行政机关对涉案企业作出行政处罚时，还可以要求企业在生产经营中继续完善和落实数据安全管理制度、规范数据管理行为。后者是检察机关在办理企业数据安全违法犯罪案件中发现普遍性的安全管理问题，向数据主管行政机关发出完善数据行业安全管理的检察建议。两者虽然都是检察建议，但前者是对企业作出的，解决的是点的问题；而后者是对数据主管机关提出的，解决的是面的问题。两者都可以一定程度上实现涉案企业数据安全合规中检察机关与数据主管行政机关的衔接。

在审判阶段，现在法院虽力推涉案企业合规建设，但对此的行刑衔接则完全缺乏制度性的规定。因为自2020年以来，法院系统未积极参与最高人民检察院推动涉案企业合规建设的工作，上述两个由最高人民检察院主导的关于合规的规范文件都没有最高人民法院参与。现在法院是通过司法建议制度在一定程度上实现涉案企业合规中的行刑衔接。因为人民法院在审判工作中发现企业数据违法犯罪行为或数据行业安全存在的普遍性问题，需要有关数据主管行政机关对其依法采取措施进行处理的，可以根据《关于加强司法建议工作的意见》第7条的规定向其提出司法建议。无论是检察建议制度还是司法建议制度，它们都不是为涉案企业合规建设而设立的制度。司法机关根据该制度对企业进行合规处置时，数据主管行政机关完全处于被动地位，这不利于涉案企业数据合规建设的顺利进行。

处于刑事程序前端的侦查阶段的公安机关至今未积极参与到涉案企业合规建设中。但如果在侦查阶段开展企业合规，对于维护企业的正常经营、平稳运行，贯彻“少捕慎诉慎押”的刑事司法政策，提升合规案件的办理质效，以及破解审查起诉阶段合规考察期限不足等问题都大有裨益［19］72。从刑事诉讼的阶段看，现在审查起诉阶段和审判阶段都在推行涉案企业合规建设，如果不在刑事程序前端的侦查阶段推行涉案企业合规建设，那么该制度体系就不完善，实际效果也会大打折扣。而且，在企业行政合规都已经受到重视的情况下，缺乏侦查阶段的企业合规制度也是不正常的。

现在我国仍处在企业合规改革过程中，现有的这些规范文件也只是一些过渡性的规定。待时机成熟，应当由立法机关制定企业合规的法律，通过法律构建明确的行政合规和刑事合规制度。企业合规的规范性文件上升为法律后，将打破现有规定上的条块分割，将相应的主体全部纳入企业合规管理机构，公安机关和相关行政部门将顺畅地参与到企业合规处置中，在涉案企业合规建设中实现行刑衔接有法可依。当企业合规法律出台后，数据违法企业符合刑事合规处置条件的，在刑事侦查阶段、审查起诉阶段和审判阶段都可以根据企业的实际情况依法进行合规处理，增加了企业合规处置的机会。

其次，如何发挥数据安全管理部门在合规过程中对涉案企业合规建设的主导作用尚需探索。涉案企业合规建设过程整体上由司法机关主导：侦查阶段由公安机关主导，审查起诉阶段由检察机关主导，审判阶段由法院主导。整体上由司法机关主导，是因为案件是否符合刑事立案条件、起诉条件、有罪判决条件，最终作出何种处理结论，这都涉及涉案企业的刑事责任问题，应当由司法机关决定。但这并不意味着在刑事诉讼过程中企业数据安全合规建设的每个环节都要由司法机关主导。企业数据安全合规涉及专业性问题，公安干警、检察官和法官并不都是数据方面的专家。最高人民检察院联合相关部门推行涉案企业合规第三方监督评估机制的重要原因之一，就是希望借助专业人士利用专业知识解决专业问题。有学者指出：单一的检察机关自行监管模式不足以应对企业合规改革专业能力方面的需求，借助中立专业人员介入合规考察，可以大幅提升企业合规建设的实际效果［20］63-64。《第三方意见》突出了专业人士在涉案企业合规中的作用。但在现行企业合规制度中，数据主管行政机关处于被动地位，缺乏主体性和主动性，无法充分发挥数据主管行政机关在合规中的主导作用。

为解决刑事案件中的数据安全合规建设问题，有必要充分发挥行政主管部门的专业作用。行政主管部门在数据安全管理中有专业人员、制度、设备等方面的优势，而且在执法过程中对于常见违法犯罪行为的处理也有丰富的经验。发挥数据行政主管部门在涉案企业合规中的作用，除有上述专业优势外，还有行政机关权力因素的考量。同时，现在审查起诉阶段的第三方监督评估机制并无强制力，在企业合规中该机制也是一案一办、案结事了

《涉案企业合规建设、评估和审查办法（试行）》第16条规定：“经第三方机制管委会和人民检察院审查，认为第三方组织已经完成监督评估工作的，由第三方机制管委会宣告第三方组织解散。”

。结合实践来看，企业合规建设中存在第三方监督检查、评估和考核走过场的情况。因此，检察机关根据三方监督的评估结论作出的处理决定不一定能实现涉案企业合规建设改革的初衷。然而，如果发挥数据主管行政机关的专业作用，不但能解决企业数据合规建设中的专业性问题，更因行政机关职权因素使合规建设真正达到合规管理的要求。如果将数据安全管理行政机关纳入涉案企业合规建设程序，行政机关基于自身管理的职责应当在涉案企业数据安全合规中认真规范企业数据行为；基于行政管理权力，涉案企业在合规建设中也不会敷衍应付。而且，由数据主管行政机关主导涉案企业数据安全合规建设也不会“案结事了”，因为刑事案件结束后行政机关仍然是企业数据行为的管理机关。

最后，企业数据安全刑事合规建设失败后行刑衔接机制尚待构建。对于未按要求进行合规建设的涉案企业，如何在行政与刑事程序中实现衔接？这里有两个方面的问题：一是企业未按要求进行合规建设时，数据主管行政机关如何发挥在刑事责任追究中的作用；二是追究企业及其责任人刑事责任后，司法机关如何与数据主管行政机关衔接。

在现行的检察审查起诉过程的涉案企业合规建设中，如果第三方组织评估后认为企业数据安全合规建设未达到合格要求，检察机关将起诉企业及责任人。检察机关可以向数据行政机关收集企业在合规建设过程相关情况的材料，作为从宽或从严追究企业及其责任人员刑事责任的证据。因为数据主管行政机关的专业人员参与企业合规建设的过程中，了解合规建设失败是因为企业人员拒不配合还是企业条件确实无法达到要求，而不是仅仅看到合规建设失败的结果。如果企业实际控制人或主要负责人在合规建设中不积极制订数据安全合规计划、完善企业数据管理制度、规范企业数据行为，导致合规建设失败，不但违背了自己的承诺，也浪费了行政资源和司法资源，这应当作为司法机关从严追究其刑事责任的依据。相反，如果企业实际控制人或主要负责人在数据安全合规建设中尽了最大的努力，但因企业物质条件（如网络安全设备）无法达到合规要求导致合规建设失败，司法机关在追究企业及其责任人刑事责任的时候，也应当将此作为从宽的因素；另外，在审判阶段可以通知参与企业合规建设的数据行政管理人员出庭作证。

司法机关追究企业刑事责任后仍存在司法机关如何与数据主管行政机关进行衔接的问题。这主要体现在法院对数据违法企业及其责任人定罪免刑、定罪缓刑和定罪实刑后的行刑衔接方面。

其一，在合规建设失败的情况下，如果法院对数据违法企业及其责任人定罪免刑，根据《中华人民共和国刑法》第37条的规定，可以由主管部门予以行政处罚；根据《司法建议规定》第1条的规定，法院可以向数据主管行政机关提出完善治理的司法建议。这种司法建议，一方面是建议行政机关继续指导涉案企业的数据安全合规，另一方面是建议行政机关对数据安全管理中的普遍问题作出规范管理，实现行业合规。从个案看，对数据违法企业及其责任人定罪免刑后刑事程序就结束了，司法权已经不能再在企业管理中发挥作用，只能寄希望于数据主管行政机关继续引导、监督企业数据安全管理。不能因为涉案企业的合规建设失败就对继续经营中的企业是否合规经营置之不理。数据主管行政机关仍应当肩负引导、监督企业做好数据安全管理工作。

其二，涉案企业合规建设失败后，如果法院对数据违法企业的责任人以定罪判缓刑方式追究刑事责任，则在缓刑考验期内仍可能存在行刑衔接的问题。这取决于被追究刑事责任的责任人是否仍在该企业从事相关工作。如果被追究刑事责任者未离开企业，仍从事原来的数据工作，则执行缓刑的司法行政机关应当收集数据主管行政机关对缓刑考验期间该被判处缓刑者在数据安全管理方面表现的意见，作为其缓刑考验期间表现的材料。《中华人民共和国刑法》第75条将遵守法律、行政法规作为被宣告缓刑的犯罪分子应当遵守的规定之一，当其因数据违法而被判处缓刑时，考验期中就应当考察其是否遵守了数据安全管理的规定。司法行政机关可以将行政机关关于被宣告缓刑者在企业数据安全管理中表现的材料作为对其考察的评判依据。

其三，涉案企业合规建设失败后，法院对数据违法企业责任人员以定罪判实刑方式追究刑事责任时，如果企业仍在经营中，法院也可以根据《司法建议规定》第1条的规定对行政机关提出司法建议，由其督促企业完善数据安全管理制度、规范数据行为，或向数据主管行政机关提出行业合规的司法建议。

总之，在重视企业合规治理理念的当下，公诉机关和审判机关都在积极探索涉案企业合规治理制度，实践中也不乏数据违法犯罪企业合规整改的案例。但从实际情况看，企业数据安全合规中行政合规的不受重视，侦查阶段刑事合规的缺失，使企业数据安全合规改革仍任重道远。在具体合规制度构建中，探索数据安全管理合规的行刑衔接制度不可忽视：通过行刑衔接正确处理好行政合规阶段和刑事合规阶段数据主管行政机关与刑事司法机关的关系，充分发挥行政权与司法权的协同作用，引导、督促和激励企业数据安全合规管理，确保企业数据安全，为国家数据安全保障贡献力量。

［参考文献］

［1］周少华.数字法学：第1辑［M］.北京：社会科学文献出版社，2023.

［2］刘俊臣.关于《中华人民共和国数据安全法（草案）》的说明［EB/OL］.（2024-01-30）［2024-02-20］.http：//www.npc.gov.cn/npc/c2/c30834/202106/t20210611_311948.html.

［3］张立.以数字化驱动中国式现代化［J］.红旗文稿，2023（21）：29-33.

［4］刘艳红.数字经济背景下元宇宙技术的社会安全风险及法治应对［J］.法学论坛，2023（3）：5-14.

［5］陈瑞华.企业合规基本理论［M］.2版．北京：法律出版社，2021.

［6］时延安.合规计划实施与单位的刑事归责［J］.法学杂志，2019（9）：20-33.

［7］姜明安.行政法与行政诉讼法［M］.6版．北京：北京大学出版社、高等教育出版社，2015.

［8］解志勇，石海波.企业合规在行政执法和解中的导入研究［J］.行政法学研究，2023（5）：66-78.

［9］夏金莱，许聪.企业行政合规制度构建研究［J］.政法学刊，2022（4）：61-67.

［10］李奋飞.涉案企业合规刑行衔接的初步研究［J］.政法论坛，2022（1）：104-116.

［11］周振杰.刑事合规视野中的拒不履行信息网络安全管理义务罪［J］.河南警察学院学报，2022（2）：56-63.

［12］赖早兴，董丽君.论行政犯立法中的行政前置［J］.法学杂志，2021（4）：67-73.

［13］彭艳霞，王爱平.行政处罚中渎职犯罪的解析与规制：以徇私舞弊不移交刑事案件的实证研究为视角［J］.北京社会科学，2015（11）：89-95.

［14］武晓雯.刑法谦抑性的再探讨［J］.人民检察，2022（15）：32-36．

［15］李海洋.最高检发布第三批涉案企业合规典型案例［N］.中国商报， 2022-08-23（3）.

［16］赖早兴.论拒不履行信息网络安全管理义务罪中的“经监管部门责令改正”［J］.法学杂志，2017（10）：49-54.

［17］霍俊阁.ChatGPT的数据安全风险及其合规管理［J］.西南政法大学学报，2023（4）：98-108.

［18］李海洋.最高检发布第四批涉案企业合规典型案例［N］.中国商报，2023-02-14（3）.

［19］董坤.检察机关在侦查阶段推进企业合规的路径探索［J］.苏州大学学报（哲学社会科学版），2022（4）：71-81.

［20］刘艳红.涉案企业合规第三方监督评估机制关键问题研究［J］.中国应用法学，2022（6）：62-76.