涉案互联网企业合规有效性监管
标准构建探索
王 林
江苏省睢宁县人民检察院
党组书记、检察长
四级高级检察官

娄 毅
江苏省睢宁县人民检察院
第六检察部副主任

汤 纯
江苏省睢宁县人民检察院
检察官助理
法律硕士
要:在互联网领域,由于经营业务的特殊性,涉案企业合规表面整改的问题尤为突出。完善涉案互联网企业合规有效性监管,检察机关应注重确立有效性监管标准。目前,推进互联网企业监管面临技术业务责任争议、合规实体建设不足、缺乏监管成本核算标准以及企业合规启动阶段相对靠后等困境。检察机关应着力建构包含企业技术业务、合规实体建设、监管成本、前置性合规体系建设等内容的有效性监管标准,提升涉案企业合规成效。
关键词:涉案企业合规互联网技术监管困境有效性监管标准
全文
目前,涉案企业合规改革已进入纵深推进阶段,但由于缺乏明确且统一的企业合规标准,使得各地检察机关在开展合规工作,特别是针对互联网企业进行合规时显得捉襟见肘。反思、完善涉案互联网企业合规的有效监管理论并付诸实践,迫在眉睫。
一、问题的提出
检察机关推行涉案企业合规改革以来,坚决落实宽严相济刑事政策,服务“六稳”“六保”,在扩大办案规模、优化合规程序等方面取得了较好的成效,改革的重点也逐步转向合规的实质效果监督。实践中,虽然部分涉案企业为争取轻缓处理,制定了合规方案,但方案缺少可操作性,而检察机关进行合规实质性审查时又缺少能够比照的有效性标准,使得合规效果大打折扣。特别是在互联网领域,网络技术行为已成为互联网企业违法犯罪治理的重点与难点,由于经营业务的特殊性,企业表面整改的问题更为突出。为实现涉案互联网企业合规整改的预防、发现、控制违法犯罪等潜在功能,净化网络公共空间环境、维护社会公共利益,亟需在涉案互联网企业合规中完善有效性监管,引入有效性监管标准。检察机关如何确立监管涉案互联网企业合规的有效性标准,完善互联网领域企业合规治理体系,需要围绕该类企业的特殊性予以深入探讨。此外,企业合规有日常性合规和合规整改两种模式,两者有“事先合规、实体出罪与事后合规、程序出罪”之差异。前者是企业在有关行政部门指导下建立内部常态化合规体系,发挥前置性防范作用,企业犯罪是未然状态,企业需主动承担更多的社会责任和经济成本,合规动力不足。后者是在企业刑事追责过程中,对涉案问题进行整改,企业涉案是已然状态,合规主动性强,短期内整改问题更彻底。实践中,在检察机关对经合规整改的涉案企业作出轻缓处理决定后,后续合规完全依靠企业自我管理,如若互联网企业对每一项新技术或新服务严格执行合规审查,可能面临迟延产品投放市场的时间,继而失去竞争优势的风险,使合规整改流于形式的可能性较大。由此可见,构建合理的前置性合规管理也应当是有效性监管的重要内容。
二、涉案互联网企业合规监管困境分析
(一)技术业务责任存在争议
目前,借助互联网技术实施犯罪已成为网络犯罪的主要类型,依托于网络传播的广泛性,危害性较大。为有效降低互联网企业的刑事责任风险,降低社会的网络犯罪率,检察机关积极开展网络企业技术业务合规工作是行之有效的手段。但目前理论界和实务界就互联网企业对技术业务承担何种责任及责任范围的问题,争议颇大。在具体案件办理过程中,技术服务提供者为逃避追责,大多会以“技术中立原则”进行责任抗辩,但笔者认为该原则的适用应以衡平原则为限。同样,我国立法亦秉持此理念,确立了以技术服务提供者主观是否“明知”来判断抗辩是否有效的规则,实现了对“技术中立原则”适用的限缩,一定程度上避免了“中立”原则的滥用。不过,由于该判断标准的主观性较强,使得“技术中立原则”适用的外延不够明确,对技术服务提供者追责难度较大,尤其在其是否应当承担刑事责任上争议较大。

(二)合规实体建设存在不足
数字与算法促进了互联网技术应用的繁荣与发展,互联网企业受惠于技术革新和发展红利的同时,形式多样的隐患和潜在的巨大危害也伴随在企业左右。我国企业合规方兴未艾,在合规实体建设上应对互联网企业多元法律风险的针对性不强。

一方面,启动涉案企业合规由检察机关决定,合规监管模式及监管人员与企业生产经营的多元性风险业务无法完美协调适配。企业面临的经营管理人员对技术应用潜在隐患不敏感的风险与控制缺位风险,股东或实际控制人对企业技术和业务的滥用风险,以及数据安全风险、履行安全保护义务的风险、数据出口审查及境外合规管理的风险等,都可能使互联网企业承担民事乃至刑事责任,影响其健康发展。理论上对于涉案企业合规监管存在检察机关自行监管和第三方监督评估两种模式,根据《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称《意见》)精神,是否启动第三方机制是在检察机关审查后决定,因此仅依靠检察机关是无法实现在作出启动决定前准确评估风险并针对性地选择合规监管模式与选任监管人员的。
另一方面,受企业多元风险发现不敏感等原因的限制,监管者在无法全面评估这些风险的情况下,要对整改方案和实施过程进行针对性地审查与监管就显得力不从心。监管合规整改的起点是企业涉案因由,有效性监管的初级目标是合规整改后能起到避免互联网企业实施相同或类似行为的作用,预防再违规、再犯罪,更高的目标是使公司在今后的经营中主动接受监管、主动限制违法行为,这些目标的实现均需依托于整改方案。而如何审查并修改出一套有效的合规整改方案仍有待探索,致使如何评估合规监管有效性尚不明确。

(三)缺乏监管成本核算标准
合规监管成本是客观存在的。涉案企业合规监管往往持续时间长,而企业付出的这些成本投入往往在短期内难以获得回报。对互联网企业而言,时间更是转瞬即逝的高额成本。但在当前的合规监管中没有明确考量监管成本的问题。在适用涉案企业合规时,检察机关聚焦于企业罪与罚问题,没有认识到监管成本的重要性,缺乏明确的合规监管成本核算标准。如若涉案企业合规无法做好监管成本控制,一方面会降低企业进行合规的积极性,另一方面会导致检察机关推进涉案企业合规的经济和社会价值降低,无法达到涉案企业合规的良好效果。
(四)企业合规启动阶段相对靠后
互联网技术具有应用对象受众范围广、涵射速度快、危害控制和止损成本高等特点,因此当需要动用刑罚来惩处犯罪时,其造成的危害后果相较于传统犯罪来说往往就已经大得多。目前,检察机关仅能在刑事诉讼阶段适用涉案企业合规,但结合上述互联网技术特点,此时才开始帮助企业实现依法依规经营,不仅花费的人力财力物力更大,而且造成的危害后果消除效果不佳,难以实现涉案企业合规的改革目的与价值意义。由此可见,随着经济社会改革不断深化,在涉案互联网企业合规中探索向前延伸或设置前瞻性的合规规则或制度,进一步完善有效性监管,正当且必要。
三、涉案互联网企业合规有效性监管标准之建构
有效性监管应从技术及业务展开,完善互联网企业合规过程,建设向前延伸的合规体系,增强企业预防法律风险的能力。

(一)优化技术业务合规标准
技术业务合规是涉案互联网企业合规计划的独特内容,也是有效监管的核心。优化技术业务标准是有效审查技术风险、技术滥用的题中之义。

1.考察区分技术涉罪因由。技术可以“中立”,但是互联网企业涉案的因由不存在“中立”,区分技术涉罪因由是履行技术责任的合规意义。细言之,企业涉罪是因正常生产经营所致的,而非完全利用技术主动追求犯罪,涉罪因由不属于《意见》第5条规定的不适用情形。检察机关应查明并区分单位与相关责任人员责任,证实企业可以适用企业合规,可以要求采取更换实控人、撤换董监高、建立内部管控机制等措施,在合规整改后依法对企业予以轻缓惩戒,同时向行政监管部门建议加强企业后续监管,对相关责任人员仍可以依法严惩。

2.设置技术安全管理机制。技术安全管理是应用技术企业应当承担的责任,目的在于强化“红旗规则”对技术的限制义务,可以将运行有效安全管理机制作为企业对技术涉险的免责或抗辩事由。为避免程序空转和控制人利益牵扯,应允准该机制可不必经过企业繁复的审批流程,便可针对监管部门的整改要求或自查发现的安全问题自行运转并立即采取断开、整改、报警等安全措施。
3.搭建技术风险识别系统。技术危害行为既可能涉嫌传销、诈骗等罪的共同犯罪,也可能被以破坏计算机信息系统、帮助信息网络犯罪等罪名单独处罚。要强化对技术是否属于违法犯罪行为的识别,其目的并不在于形成免责事由,而是在使用技术的同时避免技术涉案。这一系统是内部自查的基础,对于小微企业而言要求较高,可以不必强行要求。

4.组织梯度化的技术风险培训。从实践来看,专业技术提供者对技术的了解较为充分,但局部、边缘技术人员的知晓程度就明显要低得多,不同技术人员对技术用于犯罪的“明知”与其知晓程度成反比。需要组织梯度化的技术风险培训,减少企业人员涉违法犯罪的风险。

(二)完善合规实体建设标准
1.定制第三方监管模式与选择监管人员。现阶段适用第三方监管有助于以专业性增强合规监管的有效性。检察机关可以参考四个方面定制第三方监管:(1)办理涉互联网技术案件的经验;(2)互联网企业的规模和经营状况;(3)监管成本;(4)相关专业、法律人才的丰富程度。第三方监管期间,检察机关可通过听证的方式,听取多方意见,不断调整监管措施,实现合规整改的法律效果与社会效果相统一。

检察机关负有对第三方人员选任与履职的监督职责,在确定人选时应重点审查以下内容:(1)从业经历;(2)擅长业务;(3)从业声誉;(4)是否受过刑事处罚、所从事行业监管部门或协会的行政处罚。

2.制定整改方案与评价第三方机制运行效果。目前理论界和实务界存在“体系化整改说”和“针对性整改说”两种观点。前者主张建构合规管理体系来实现发现和预防犯罪;后者强调合规计划要针对企业的业务实际而设计、动态改进,从而防范刑事风险。通过比较这两种观点,本文认为有所扬弃地借鉴这两种模式的运行结构和治理功能,在确立兼具针对性与体系化的第三方运行机制中嵌入整改方案更符合我国国情。嵌入整改方案至少应包含四个方面:(1)查找企业犯罪原因、技术管理隐患、经营制度漏洞、股东会以及董监高的治理结构缺陷;(2)符合行业发展规律的针对性纠错和整改措施;(3)明确的补救挽损机制;(4)合规管理体系的预防犯罪机制。
在合规整改过程中,检察机关应围绕第三方组织运行的三个方面进行有效性审查,实现分阶段、重实效地落实整改方案。(1)对技术与经营实际情况进行调查,评估合规计划在不同阶段的可行性与有效性;根据调查评估情况,向企业提出计划修改意见,向检察机关提出合规标准和考察期限建议。(2)考察期间,在检察机关指导下独立对涉案企业的合规整改过程进行考察,及时向企业提出意见,定期向检察机关报送考察情况。(3)根据合规计划,针对技术责任情况、企业内部管理情况、合规运行情况和检察机关的其他要求,组织对企业合规情况的验收审核,向检察机关出具报告。
(三)明确监管成本核算标准
有效性监管需重视监管成本,检察机关应当严格管控监管成本,用最小的成本完成最适宜(而非最优)的监管,可以从四个方面进行审查。
1.监管模式成本。结合案情、涉案技术、办案经验、人才库储备等因素,计算检察机关自行监管和第三方监督评估两种模式的成本。

2.监管行为成本。监管人员实施监管是否需要进驻企业及相应的办公场所、设备材料成本,进行技术管理、内部经营管理等调查的费用,执行检察机关合规政策要求的费用。

3.专业技术成本。聘请第三方监管人员以外的专业人士、出具有关的法律意见书或鉴定等的费用。

4.市场机遇成本。合规监管不碍企业经营,但互联网行业瞬息万变,囿于监管约束,企业可能因冒险行为或收缩业务造成损失,属于监管的间接成本。
(四)完善前置性的日常合规体系建设标准
实践中,涉案企业合规已有日常性合规趋势,如推行合规审计、内部调查、合规举报等日常合规制度,检察机关可以从分层次、常态化、有回访等方面完善日常性合规。需要注意的是,日常合规要考虑企业实际情况,盲目照搬国外合规经验可能水土不服,难以起到良好效果。
1.做到分层次,根据监管目标和企业特点设计不同层次的体系。一是根据有效性监管的两级目标构建两级合规体系。有效性监管审查应以完全实现初级目标、逐步构建治理体系和文化为衡量标准。二是区分企业规模设置递进式评价体系。小微企业的合规体系构建应着重考虑可能涉嫌的罪名、技术风险、经营管理缺陷等方面,控制合规考察规模和监管成本,实现前置合规针对性高、反应速度快的目标。较大规模互联网企业的前置性合规体系应当包括高层决策监督、组织机构调整、问责与奖惩、持续改进的能力和企业合规文化等多项内容。

2.做到常态化,发挥现代企业治理结构优势。一部分企业犯罪的发生,是因对经营管理缺乏有效的监督措施,或缺乏规范意识。借助董事会或类似的企业机构,建立董事会日常合规,将董事会对公司履行勤勉义务及经营管理功能与日常性合规衔接,避免互联网企业实施违法行为,或因股东、实际控制人、企业员工的违法犯罪行为而担责。

3.做到有回访,建立监督回访机制。检察机关可以联合行政部门、第三方组织等,对经合规整改被作出相应决定的企业进行不定期回访,包括技术行为的合规审查、因应合规整改的内部管控措施落实、合规体系运作等情况,提升对互联网企业合规监管效果,推进企业开展前置性日常合规管理。
*本文刊登于《中国检察官》杂志2023年8月(司法实务版)
责任编辑 | 宋洨沙
美术编辑 | 虞滢颖
审核 | 郑红 吴平
继续阅读
阅读原文