报告 | 从合规不起诉到预防性合规——互联网企业的刑事风险应对
(为阅读和排版方便,参考文献排列文后)
一、前言
近年来,我国一直高度重视对网络犯罪的打击。公安机关在全国范围内开展了多次专项打击网络犯罪的行动。2022年7月,在中共中央宣传部举办的“中国这十年”系列主题新闻发布会上,公安部网络安全保卫局局长指出,依法整治违法有害信息突出的网络应用服务以及被用于实施违法犯罪的各类网络服务。同时,深化“一案双查”,对网络犯罪案件中涉及的企业,依法严查不履行网络安全管理义务的行为。专项行动以来,共对16.2万家违法互联网企业、单位依法予以行政处罚。公安机关重点关注物料供应、技术支持、广告推广和支付结算等网络犯罪关键要素环节,对于非法支付结算、侵犯公民个人信息、黑客攻击破坏、网络黑产等违法犯罪行为予以重点打击。下一步,公安机关将深入整治网络黑灰产和网络乱象,不断净化网络生态。
刑事责任给企业带来的负面影响可以是毁灭性的。轻则,企业可能会受到罚款、停业整顿、吊销营业执照等惩罚措施,企业的社会形象和品牌形象受损;重则,企业的主管人员、直接责任人员可能被处以徒刑,企业走向倒闭破产,同时也会影响企业员工的职业生涯。
从监管部门、司法机关的角度出发,基于对营商环境、经济形势、就业情况等的考量,尽可能避免因办案“搞垮一个企业,失业一批职工”已经成为共识。中央全面深化改革领导小组于2016年提出了推进“合规不起诉”制度的建设。我国目前的“合规不起诉”制度是以检察机关为主导的促进涉罪企业合规化整改的司法制度。一则鼓励企业进行预防性的合规治理,从根源上防范刑事风险;二则希望在风险未能避免的情况下,以合规整改来保住已涉刑的企业。2020年底,张军检察长在企业合规试点工作座谈会上进一步要求:“要加强理论研究,深化实践探索,稳慎有序扩大试点范围,以检察履职助力构建有中国特色的企业合规制度。”
刑事合规是企业治理的最基本要求。为了有效防范刑事风险,互联网企业必须加强风险识别和预警能力,建立健全的风险管理体系,并落实合规性监管和风险管控措施。同时,企业还应加强员工的法律意识教育,建立合规文化,提高企业的社会责任感,积极遵守法律法规,建立良好的社会形象和品牌形象。
二、互联网企业的主要刑事风险
互联网企业的刑事风险来源主要为:(1)企业经营违法有害的网络服务的,则企业直接涉嫌相关罪名;(2)企业提供的网络应用服务被用于实施违法犯罪,而企业又未尽到风险防控义务、网络安全管理义务,甚至还为其提供帮助的,则企业可能构成帮助信息网络犯罪活动罪、拒不履行网络安全管理义务罪,也可能直接构成实行行为的共犯。
在互联网企业业务经营过程中,基于第一类原因可能涉及的刑事罪名主要包括侵犯公民个人信息罪,非法经营罪,提供侵入、非法控制计算机信息系统的程序、工具罪,破坏计算机信息系统罪等;基于第二类原因可能涉及的刑事罪名主要包括帮助信息网络犯罪活动罪,拒不履行网络安全管理义务罪等。
下文将就互联网企业可能涉及的重点罪名逐一进行阐述。
(一)侵犯公民个人信息的刑事风险
2019年至2022年10月,全国检察机关共批准逮捕涉嫌侵犯公民个人信息罪犯罪嫌疑人1.3万余人,提起公诉2.8万余人。司法机关聚焦金融、电信、房产、酒店、劳务中介等重点多发行业,不断加强公民个人信息保护,这就要求企业完善相关的内部管控。
企业侵犯公民个人信息的情形可以分为两类:
第一类是企业合法收集的个人信息被泄露、出售和非法利用。实践中,该等行为主要为企业内部员工所为,也存在供应商泄露企业收集的公民个人信息的情况。例如,在一案例中,涉案人员即是通过与苹果公司的外包公司客服勾结来收购苹果手机ID注册信息(包括姓名、邮箱号、手机号、地址、邮编等内容)。
第二类是企业的法定代表人、高管等以合法经营为目的购买、收受个人信息,所涉行业主要包括教育行业、房地产行业、信贷行业以及人力资源咨询行业。
从现有的司法判例上看,企业侵犯个人信息的刑事风险存在于以下环节:
1、数据收集阶段,非法获取个人信息,方式包括通过爬虫技术、从第三方购买、利用恶意程序等。使用网络爬虫技术收集数据是一种民刑交叉法律行为,既涉及民事不正当竞争,也涉嫌刑事犯罪。在使用爬虫技术收集数据的过程中,若突破目标网站的反爬技术(特别是破解加密算法),爬取后台未公开的个人信息,则存在重大的刑事风险。
案例
北京某科技公司利用爬虫技术窃取2.1亿条简历数据,单位被罚4千万。
北京某科技公司组建爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据,涉及2.1亿余条个人信息。该公司获取上述数据后,对数据进行重整,并用于开发产品以牟利。该公司爬虫技术团队负责人私自将窃取的简历数据对外出售。
北京市海淀区人民法院判处该公司罚金人民币四千万元,被告人王某某被判处有期徒刑七年,罚金人民币一千万元,其他被告人均被判处相应刑罚。
案例
福州乐某优品电子商务有限公司侵犯公民个人信息案,公司被罚120万元,责任人判刑2~3年——为了合法营销购买公民个人信息构成犯罪。
福州乐某优品电子商务有限公司为了使公司获取更多利润,商议购买公民个人信息用于推销产品。后该公司利用购买的公民个人信息销售的产品额达2787170元。
法院判决认定该公司构成侵犯公民个人信息罪,判处罚金120万元;并判处法定代表人和相关责任人2-3年刑期。
2、数据存储阶段,非法缓存个人信息。未经个人信息主体同意或者超出个人信息主体同意范围存储个人信息可能构成侵犯公民个人信息罪。
案例
某大数据风控公司非法缓存数据,被判侵犯公民个人信息
大数据风控公司杭州某数据科技有限公司在和个人用户签订的《数据采集服务协议》中明确告知用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,但仍在未经用户许可的情况下通过技术手段长期将用户各类账号和密码保存在企业租用的阿里云服务器上。
该公司因此被判构成侵犯公民个人信息罪,单位处罚金3千万,相关责任人员被判处3年有期徒刑(缓刑),并处罚金30万-50万,退缴违法所得3千万。
3、数据使用阶段,非法出售、提供公民个人信息。即使是合法收集的个人信息,若未经被收集者同意向他人提供,且未采取匿名化技术措施的,可能构成侵犯公民个人信息罪。此外,公司还应当防范员工私自对外提供、出售公司收集的个人信息和数据,对个人信息、数据库建立完善的保密制度、信息泄露的警示和应急制度,对于信息管理的权限分配制度等。
(二)非法经营的刑事风险
2022年,全国公安网安部门按照统一部署,持续严厉打击整治“网络水军”违法犯罪活动,共侦办“网络水军”相关案件550余起,关闭“网络水军”账号530余万个,关停“网络水军”非法网站530余个,清理网上违法有害信息56.4万余条。
2022年6月开始,公安部网安局在全国范围内启动为期6个月的依法打击整治“网络水军”专项工作。“清朗”系列专项行动明确将加强对流量造假、黑公关、网络水军全过程、全链条的治理,以维护健康、良好的网络舆论环境。典型的“网络水军”行为包括“刷量控评”、发布违法有害信息、“有偿删帖”等。
一些合法经营的广告媒体公司、舆情管理公司、公关公司等,可能基于客户的公关要求而存在有偿发帖或删帖业务,由此涉嫌非法经营罪。
案例
浙江侦办某公司提供有偿删除负面信息服务案
杨某某团伙注册成立某文化公司,搭建集“需求、接单、删帖”为一体的有偿删帖专用平台APP,以舆情监测、负面压制为名实施有偿删帖犯罪活动,通过招募雇佣“网络水军”向网站投诉、举报、替换等方式,下沉、删除目标帖文牟取经济利益,共完成删帖业务3.9万余次,总涉案金额800余万元。目前,杨某某等3人已被属地公安机关依法采取刑事强制措施。
案例
山东侦办某科技网站提供流量造假服务案
某“网络水军”团伙开办专门网站,公开出售有偿代刷虚假点赞量、关注量、浏览量、粉丝量等服务。该团伙雇佣“刷手”并通过非法脚本程序,模拟真实用户进行批量操作,短时间内即可将短视频的“转评赞”数值推至数十万。目前,属地公安机关已摧毁该网站相关的流量造假产业链条,打掉相关“网络水军”团伙25个,捣毁作案窝点32个,查获制造虚假流量的网络平台68个,封停网络账号20余万个,扣押作案手机3000余部,涉案金额2000余万元,初步统计该团伙累计代刷虚假点赞量、关注量、浏览量、粉丝量等数百亿次。
(三)非法获取计算机信息系统数据等的风险
网络数字经济环境下,数据已经成为生产要素之一,随之而来的是互联网企业围绕数据开展的争夺。企业在获取数据的过程中稍有不慎将可能构成侵入计算机信息系统、破坏计算机信息系统、非法获取计算机信息系统数据、侵犯著作权、侵犯商业秘密等罪。各类外挂软件尤其容易涉嫌该类罪名。
案例
“淘车大师”手机APP案——通过开发各类插件软件等方式非法获取数据,构成非法获取计算机信息系统数据罪。
深圳某看车科技有限公司研发出“淘车大师”手机APP及外挂软件,让4S店的员工私下提供DMS系统的账号和密码,并要求4S店的员工配合技术员在其4S店内部工作电脑上安装外挂软件以便远程获取DMS系统中的车辆维修和保养数据,上传给“淘车大师”手机APP。该APP面向注册用户有偿提供车辆的维修和保养记录查询;同时向其他公司提供端口直接查询车辆维修、保养数据和做数据模型分析。
法院认为,该公司及直接负责的主管人员、直接责任人员,以开发外挂软件等方式非法获取品牌汽车4S店计算机信息系统存储的信息数据,构成非法获取计算机信息系统数据罪。
案例
深圳市前海深港合作区某公司开发的APP采用反编译、抓包、破解等方式,突破计算机安全保护措施,获取市面上运行的品牌单车APP与服务器之间传输的数据包要素、编写规则及接入端口,再将非品牌单车用户修改为其事先注册的品牌单车月卡、季卡用户,重新编写数据通过虚拟客户端发送至品牌单车服务器,获取品牌单车公司服务器开锁指令,从而实现将普通用户或非品牌单车用户伪装成品牌单车月卡、季卡用户,致品牌单车计算机信息系统“用户识别”功能无法正常运行等目的,非法许可他人使用被害单位车辆。
该公司及公司直接负责的主管人员、直接责任人员,构成破坏计算机信息系统罪。
(四)帮助信息网络犯罪活动的风险
帮助信息网络犯罪活动罪(以下简称“帮信罪”)指行为人明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等帮助的犯罪行为。
最高检披露,目前帮信罪已成为各类刑事犯罪中起诉人数排名第三的罪名(前两位分别是危险驾驶罪、盗窃罪),检察机关于2022年上半年起诉帮信犯罪6.4万人。
以下三类企业尤其需要关注触犯帮信罪的刑事风险。
1、通信、金融行业触犯帮信罪的刑事风险
通信、金融行业人员有条件接触大量的手机卡、银行卡(俗称“两卡”)。企业内部员工违反“实名制”等规定大量办理“两卡”并非法出售,为电信网络犯罪提供工具。例如,某通信公司驻某大学校园网点的代理商,利用申请手机卡的学生信息,私自办理校园宽带账号500余个,并将账号出售给上游买家,其中部分账号即被用于电信网络诈骗犯罪。
金融行业中,尤其需要注意的是从事网络支付业务的公司(如第三方支付、聚合支付平台)。鉴于网络犯罪的最终目的是获利,为犯罪资金寻找一个合法的支付渠道为网络犯罪团伙的“刚需”。因此,网络支付公司极易因其为犯罪团队提供支付通道而涉嫌犯罪。
2、科技企业、平台类企业触犯帮信罪的刑事风险
帮信罪的核心犯罪情形之一即为网络犯罪提供服务器托管、网络存储、通信传输等技术支持,科技公司以及平台类企业的业务范围往往会涉及这些领域。
(1)平台类企业在业务经营和推广合作的过程中所涉用户、客户类型鱼龙混杂,在利益的驱动下,可能主动或被动地为网络犯罪行为人或团伙提供“技术支持”,从而构成帮信罪。
例如,早期垂直聊天应用三巨头之一聊呗,曾因涉嫌为赌博软件提供通讯服务遭警方上门调查,公司部分员工被带走调查。
又如,深圳小水滴网络科技有限公司曾因其运营的“闲聊”APP为网络赌博人员提供帮助条件而涉嫌帮助信息网络犯罪活动罪。
(2)从事软件开发的科技公司也存在帮信罪的刑事风险。该类公司开发的软件功能如为犯罪行为提供便利,则可能构成帮信罪。
例如,有公司开发了具有积分和统计功能的机器人软件,实际为赌博提供了便利,因而被判决构成帮信罪。
又如,有公司开发了具有后台控制盈亏功能的系统,实际是出售给以“贵金属期货”作为噱头的诈骗团伙,由于只有为实施诈骗才需专门开发控制盈亏功能,其主观明知故意明显,构成帮信罪。
3、广告行业触犯帮信罪的刑事风险
网络犯罪的另一“刚需”即为“犯罪业务”进行网络推广。若为网络犯罪提供广告推广,将构成帮信罪。例如,某短信发送平台明知客户发送诈骗短信,仍为其提供诈骗短信发送服务,该公司因构成帮信罪被追究刑事责任。
广告公司在提供广告服务中,尤其应该注意审查两类广告:投资理财广告和保健品、药品广告。基于投资理财、保健品、药品在我国监管体系中属于强监管行业,具有较高的准入门槛,为这类业务提供广告推广服务,尤其需要严格审查其行政许可和相关的资质证照。没有相关资质证照的公司,多为网络诈骗、网络赌博类的犯罪团伙,若广告公司未尽到审核义务,则容易构成帮信罪。
案例
杭州T网络科技有限公司(香港上市公司D公司的全资子公司)主营第三方互动式广告平台业务。T公司发现其互动广告业务中部分代理商可能存在发布彩票广告和疑似涉赌信息的情形,但为提升公司经营业绩,仍继续对接相关代理商并商谈投放费用。后检察机关审查认为,虽然T公司与上游犯罪分子没有共谋或共同故意,也未实施共同的犯罪行为,没有直接从上游犯罪行为中获取高额利益,但T公司仍构成帮助信息网络犯罪活动罪。
(五)拒不履行网络安全管理义务的刑事风险
数据经济环境下,网络信息安全管理义务是企业必须履行的义务,且已经纳入刑法规制范畴,拒不履行相关义务将可能构成犯罪。
刑法第二百八十六条之一规定了拒不履行信息网络安全管理义务罪,对不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正的网络服务提供者,对单位及其直接负责的主管人员和其他直接责任人员,追究刑事责任。由此可见,从某种程度上,“履行信息网络安全管理义务”上升为了企业的刑法义务。
《网络安全法》《数据安全法》《个人信息保护法》《反电信网络诈骗法》等法律中均对互联网企业,规定了一系列针对网络安全、数据安全、个人信息保护、内容监管等的风险防控义务、网络安全管理义务。
《反电信网络诈骗法》在总则部分明确提出了互联网企业对于反电信网络诈骗的总体义务为风险防控义务,且互联网企业应当建立反电信网络诈骗内控机制和安全责任制度,在新业务开展之前进行涉诈风险安全评估。
社交平台、直播平台等包含大量内容信息,存在较高的涉诈、涉黄风险,尤其应当关注法律、行政法规中内容监管方面的风险防控义务,对于违法犯罪、不良导向、涉黄等信息尽到管理义务。
三、合规不起诉制度介绍
由上所述,互联网企业面临的刑事风险复杂多样,企业的刑事风险防范和合规管理的任务艰巨。为了优化法治营商环境,努力落实让企业“活下来”“留得住”“经营得好”,我国推出了合规不起诉制度,为涉刑企业留一条出路。
(一)合规不起诉制度的背景
企业是经济发展的主体,能够创造就业、促进经济增长,对于国家的经济发展至关重要。无论是大型企业还是中小型企业,都是推动经济增长、科技创新和社会进步的重要力量。而优良的营商环境又是企业建设、发展的沃土。为此,党和国家一直高度重视“放管服”改革,优化营商环境,保护、支持民营企业健康蓬勃发展。习近平总书记在二十大报告中指出,要“优化民营企业发展环境,依法保护民营企业产权和企业家权益,促进民营经济发展壮大。”“支持中小微企业发展。深化简政放权、放管结合、优化服务改革。”
优化营商环境有赖于市场准入、金融环境、行政效率、人力资源等各项因素协同作用,其中法治环境是最重要的环节之一——以法治环境之“善”促营商环境之“优”,谋经济发展之“进”,助力营造安商惠企法治化营商环境。合规不起诉制度正是基于此而推行的重大司法改革之一。
2016年,中央全面深化改革领导小组第三次会议上提出了推进合规不起诉制度的建设,明确要求在有条件的地区开展试点工作。
2018年12月4日,中共中央、国务院发布了《中共中央、国务院关于营造更好发展环境支持民营企业改革发展的意见》,提出:“加强法治保障,依法保护民营企业和企业家的合法权益,推动民营企业筑牢守法合规经营底线。”“加大对民营企业的刑事保护力度……防止因诉讼拖延影响企业生产经营。”“引导民营企业深化改革。鼓励有条件的民营企业加快建立治理结构合理、股东行为规范、内部约束有效、运行高效灵活的现代企业制度,重视发挥公司律师和法律顾问作用。”“推动民营企业守法合规经营。”
2020年7月22日,最高人民检察院(以下简称为“最高检”)发布《最高人民检察院关于充分发挥检察职能服务保障“六稳”“六保”的意见》,提出“依法保护企业正常生产经营活动。深刻认识‘六稳’‘六保’最重要的是稳就业、保就业,关键在于保企业,努力落实让企业‘活下来’‘留得住’‘经营得好’的目标。”“落实‘少捕’‘少押’‘慎诉’的司法理念。”“坚持依法能不捕的不捕。”“坚持依法能不诉的不诉。”
由上述文件可以看出,合规不起诉制度主要旨在实现如下目标:
1、引导企业依法合规经营。合规不起诉制度可以推动企业自觉主动地进行规范化经营,建立并践行合规制度,进而规范市场秩序,减少违法犯罪行为的发生。
2、促进经济发展。合规不起诉制度可以减轻企业的刑事责任和经济负担,为企业提供更好的发展环境和空间,促进企业的经济发展。
3、保企业。探索对企业的“适度容错机制”,让企业“活下来”“留得住”“经营得好”。
上述目的都是为了一个整体目标服务,就是优化法治营商环境。良好的营商环境可以吸引国内外投资和企业,促进经济增长,创造更多的就业机会。合规不起诉制度的司法改革即是从法律角度优化营商环境,进而保障、促进社会主义市场经济稳步发展的重要举措。
2019年11月,最高检发布了《关于在部分地区开展刑事案件合规检查与不起诉试点的通知》,并在全国范围内选取北京、浙江、江苏、山东、湖南、陕西6个省份和自治区开展为期两年的合规不起诉试点工作。
2021年4月,最高检启动了第二期企业合规改革试点工作,试点范围扩大至福建、湖北、广东等十个省,同时下发《关于开展企业合规改革试点工作方案》(以下简称为《工作方案》)。
《工作方案》强调,检察机关开展企业合规改革试点,旨在加大对民营经济的平等保护,更好落实依法不捕不诉不提出判实刑量刑建议等司法政策,既给涉案企业以深刻警醒和教育,防范今后可能再发生违法犯罪,也给相关行业企业合规经营提供样板和借鉴,以服务“六稳”“六保”,促进市场主体健康发展,营造良好法治化营商环境。
2022年4月,最高检宣布涉案企业合规改革试点在全国检察机关全面推开。
(二)合规不起诉制度的理论基础
1. 对企业适用合规不起诉的理论基础
(1)基于企业事前的合规治理而不起诉的理论基础
将企业事前的合规治理作为企业出罪事由的理论依据为:如果企业事前已经建立并实施了合规制度,说明企业本身拒绝违法犯罪且已经尽到了预防违法犯罪的责任,这意味着相关犯罪的发生是违背单位意志的,企业不具备犯罪故意。即使个别员工为单位利益而实施犯罪,也因与企业缺乏主观上的联系,而可以使企业免被牵累。换言之,企业事前的合规治理,可以作为主观上的消极抗辩事由。
如果企业员工实施了被认为是犯罪的危害行为,那么企业就有责任就该行为是否出于企业决策、政策,或者是否属于所赋予员工之职责,作出合理且充分的说明。否则,企业就可能会被认为存在犯意和罪过,被追究刑事责任。而公司事前的合规制度及具体落实情况正是该等说明。
(2)基于企业事后的合规整改而不起诉的理论基础
根据陈瑞华教授的观点,基于企业的事后合规整改而对企业进行非犯罪化处理的理论依据主要有以下几点:
第一,企业进行合规整改的过程本身已经在接受惩罚,且具有法益修复的效果。企业采取的缴纳罚款、建设合规体系等措施不仅能够填平损失,还能实现犯罪预防。这样既保住了企业,又修复了受损法益,还能预防未来犯罪,一举三得。
第二,因企业部分人员或部分业务的问题而对企业整体进行起诉、定罪、判刑可能会导致一系列严重的附随后果,包括影响企业参与招投标、企业被剥夺相关许可资格等,甚至导致企业面临破产倒闭。在供应链上下环环相扣的市场环境下,一个企业的该等困境甚至可能产生牵一发而动全身的影响,不仅企业自身无辜的员工、股东、投资人、债权人会受影响,其上、中、下游的合作商都可能遭受巨大影响。因此,对企业“能保则保”能保护可能被此牵累的无辜企业和人员的利益。
第三,对企业的起诉、定罪、判刑,可能会影响当地的税收、就业,甚至进而影响社会稳定。部分优质企业,特别是高新技术企业的关停,对于整个社会乃至国家的影响都是不言而喻的,难免让人扼腕叹息。从这个角度而言,“保企业”对于社会公共利益也有重大意义。
2. 对企业责任人适用合规不起诉的理论基础
合规不起诉制度能够保护企业,同时也能保护企业责任人吗?这一点也是许多企业管理人员关心的问题。
合规不起诉制度源于西方国家。在西方国家的合规不起诉制度中,企业负责人、高级管理人员等个人的刑事责任并不会因为合规不起诉而被免除。如果该类人员有违法行为,仍然会面临相应的刑事责任。比如,2014年,美国通用汽车公司因汽车安全事故而面临调查,最终获得了美国司法部的合规不起诉。但是,该公司两名高管因在此事件中存在失职行为而被起诉,其中一人被判刑。2015年,德国大众汽车公司因排放门事件而面临调查,最终获得了美国司法部的合规不起诉。但是,该公司一些高管因在此事件中存在违法行为而被起诉,并被判刑或罚款。
但在我国,许多企业的责任人也因企业被适用合规不起诉制度而获得从宽处理。其重要原因之一为我国许多企业,尤其是小微企业,经营权和管理权并未完全分开,企业对企业家的人身依附性较强。一旦企业家因为犯罪而无法再对企业进行管理后,该企业往往难以继续维系。正所谓如不保护“企业家”,就保护不了企业;要保住实控人才能维护企业的生存和发展能力。合规不起诉制度的主要目的即为保住企业,而在很多情形下,如果仅对企业合规不起诉,仍起诉企业责任人,上述目的实际无法实现。
对企业责任人不起诉的另一重考虑在于,在企业合规整改过程中,尤其是对于人员构成简单的中小微企业而言,企业责任人往往是至关重要的一环。企业重要责任人在企业合规整改的过程中作出了重要的实质性贡献,包括退缴赃款、缴纳罚款、组织合规整改等。基于此,检察院对企业负责人予以宽大处理。
“既放过企业,又放过责任人”的做法遭到许多质疑。如,合规不起诉是企业的合规整改,该等整改没有理由给企业责任人带来好处。此外,基于企业家身份即能多一层犯罪免罚的可能,可能有悖于刑法的平等原则。
在目前的制度实践中,不少案件中的企业和企业责任人都被进行了不起诉处理。根据最高检的报告,截至2022年12月,全国检察机关累计办理涉案企业合规案件5150件,对整改合规的1498家企业、3051人依法作出不起诉决定。从反面来看,在一些案件中,虽然企业合规整改后不予起诉,但对于确有重大过错的涉案企业责任人仍然依法予以惩处。在最高检公布的20例典型案例中,有5个案件中企业负责人与企业分案处理,企业负责人仍被处以刑罚。
合规不起诉制度下,对于企业责任人的处理仍有待理论和实践的进一步探索。
(三)合规不起诉制度的内容梳理
企业合规不起诉的制度的运作可以概括为,企业涉案后申请合规不起诉,经检察院同意后企业进行合规整改,由检察院或第三方组织对企业的合规整改进行考察、评估。企业整改完成后,检察院对考察、评估结果进行审查,并作出最终决定。整体流程图如下图所示:
图1 合规不起诉流程图
据此,上述机制的运作的制度可分为几部分:(1)合规不起诉制度的适用(启动)条件;(2)企业自身合规整改的制度和标准;(3)对企业合规整改的监管、考察制度;(4)对合规整改结果的审查制度。
对此,最高检及各部门以及地方政府出台了一系列配套制度提供支撑和指导。
1. 合规不起诉制度的适用条件
合规不起诉制度的适用条件考量存在以下几个维度:(1)适用的主体;(2)适用的罪名类型;(3)适用的刑罚;(4)企业自身情况。
制度层面,关于合规不起诉制度的适用条件,现有的国家层面的指导要求包括:
最高检等八部门于2021年6月发布的《关于建立涉案企业合规第三方监督评估机制的指导意见(试行)》(以下简称为“《第三方机制意见》”)规定:
第三条 第三方机制适用于公司、企业等市场主体在生产经营活动中涉及的经济犯罪、职务犯罪等案件,既包括公司、企业等实施的单位犯罪案件,也包括公司、企业实际控制人、经营管理人员、关键技术人员等实施的与生产经营活动密切相关的犯罪案件。
第四条 对于同时符合下列条件的涉企犯罪案件,试点地区人民检察院可以根据案件情况适用本指导意见:
(一)涉案企业、个人认罪认罚;
(二)涉案企业能够正常生产经营,承诺建立或者完善企业合规制度,具备启动第三方机制的基本条件;
(三)涉案企业自愿适用第三方机制。
第五条 对于具有下列情形之一的涉企犯罪案件,不适用企业合规试点以及第三方机制:
(一)个人为进行违法犯罪活动而设立公司、企业的;
(二)公司、企业设立后以实施犯罪为主要活动的;
(三)公司、企业人员盗用单位名义实施犯罪的;
(四)涉嫌危害国家安全犯罪、恐怖活动犯罪的;
(五)其他不宜适用的情形。
全国检察机关全面推开涉案企业合规改革试点工作部署强调:
“无论是民营企业还是国有企业,无论是中小微企业还是上市公司,只要涉案企业认罪认罚,能够正常生产经营、承诺建立或者完善企业合规制度、具备启动第三方机制的基本条件,自愿适用的,都可以适用第三方机制。”
各地方于近几年陆续发布了关于合规不起诉的指导意见、工作方案等,其中对适用条件有一些细化规定。例如:
浙江省《临海市人民检察院涉罪民营企业附条件不起诉工作意见(试行)》中规定的适用范围为:
以民营企业为主体实施的、涉及《刑法》第三章(破坏社会主义市场经济秩序罪)、第六章第六节(破坏环境资源保护罪)以及拒不支付劳动报酬和拒不执行判决、裁定的单位犯罪案件中,涉罪民营企业以及可能判处五年以下有期徒刑的民营企业主管人员和其他直接责任人员,符合起诉条件,但确有悔罪表现,且自愿认罪认罚。
《广东省人民检察院关于开展企业合规改革试点工作方案》指出:
适用企业刑事合规不起诉的企业范围包括各类市场主体,即“主要是指涉案企业以及与涉案企业相关联企业。国企民企、内资外资、大中小微企业,均可列入试点范围”。
辽宁省《关于建立涉罪企业合规考察制度的意见》规定:
第一,适用对象:涉罪企业合规考察制度既适用于单位犯罪案件,也适用于企业经营者、管理者、关键技术人员等重要生产经营人员与企业生产经营相关的个人犯罪案件。
具有下列条件之一的,涉罪企业可以适用考察制度:(一)在依法纳税、吸纳就业人口、带动当地经济发展等方面发挥一定作用;(二)拥有自主知识产权、商誉、专有技术或商业秘密;(三)符合现行产业政策或未来产业发展趋势;(四)其经营状况影响所在行业、上下游产业链及区域竞争力;(五)直接负责的主管人员和其他直接责任人员系该涉罪企业负责人或实际控制人、核心技术人员等对经营发展起关键作用的人员。
第二,适用条件:对涉罪企业适用合规考察制度的案件应当同时符合下列条件:(一)涉罪企业、人员系初犯、偶犯;(二)犯罪事实清楚,证据确实、充分;(三)直接负责的主管人员和其他直接责任人员依法可能被判处三年以下有期徒刑、拘役、管制或单处罚金;(四)涉罪企业及直接负责的主管人员和其他直接责任人员对主要犯罪事实无异议,且自愿认罪认罚。
直接负责的主管人员和其他直接责任人员依法应当被判处三年以上十年以下有期徒刑的,具有自首情节或者在共同犯罪中系从犯,或者直接负责的主管人员、其他直接责任人员具有立功表现的,可以适用合规考察制度。
第三,排除适用条件:具有下列情形之一的案件,不适用合规考察制度:
(一)涉嫌危害国家安全犯罪、恐怖活动犯罪、毒品犯罪、虚开发票和骗取出口退税犯罪、涉黑涉恶犯罪的;(二)未经国家或省金融监管部门批准,擅自从事金融业务或金融活动,给群众造成重大损失的;(三)依法应当被判处十年以上有期徒刑、无期徒刑、死刑的;(四)造成人员伤亡的;(五)社会负面影响大、群众反映强烈的;(六)涉罪企业以犯罪所得作为主要收入和利润来源的;(七)涉罪企业不接受合规考察的。
实践层面,罪名上,最高检目前发布的企业合规改革试点的四批共20个典型案例中,以妨害社会管理秩序罪和破坏社会主义市场经济秩序罪居多,同时也有危害公共安全罪和侵犯财产罪,且不限于单位犯罪。例如,在最高检公布的第四批涉案企业合规典型案例之山西新绛南某某等人诈骗案中,3名犯罪嫌疑人涉嫌的为诈骗罪,虽然诈骗罪并非单位犯罪,但本案的犯罪行为与企业生产经营活动直接相关,因此检察院以涉案企业符合“与生产经营活动密切相关”的条件,对其适用合规不起诉。
刑罚上,最高检目前发布的典型案例中,法定刑应处三年以下有期徒刑的案例所占比例约为40%,其余案例的法定刑为三年以上有期徒刑。例如,上述山西新绛南某某等人诈骗案中,犯罪嫌疑人的基准刑为66个月,属于重罪案件,但检察机关综合考虑其具有自首、退赔退赃、初犯偶犯、认罪认罚等法定酌定量刑情节,仍适用了合规不起诉制度。
综合上述制度规定及实践情况,可以简要总结如下:
(1)适用主体
具体适用的单位类型各地有不同规定,有限缩于民营企业的,也有包含各类市场主体的。但总体而言,合规不起诉制度的适用主体扩张仍为当前司法改革的趋势。
(2)适用的罪名类型
首先,单位犯罪当然适用,主要为单位生产经营活动中涉及的经济犯罪、职务犯罪。适用的罪名以《刑法》第三章规定的破坏社会主义市场经济秩序罪和第六章规定的妨害社会管理秩序罪为主,但实践中的适用存在扩张趋势。最高检发布的典型案例中已包括重大责任事故罪、诈骗罪。
其次,企业实际控制人、经营管理人员、关键技术人员等重要生产经营人员实施的与生产经营活动密切相关的非单位犯罪案件也可能适用。适用与否的核心判断标准为“企业生产经营活动密切相关”,而不拘泥于具体罪名。最高检明确指出“纠正企业合规只能局限于单位犯罪的误区”。
另外,根据目前的制度规定和司法实践来看,国家利益、国防利益等重大社会利益仍为底线,对于该等法益的侵害不适用合规不起诉制度。
单位以实施犯罪为主要活动或者个人将单位作为个人犯罪的挡箭牌的,也不适用合规不起诉制度。
(3)适用的刑罚等级
虽然各地对适用合规不起诉制度的案件法定刑标准还有不同程度的限制规定,但最高检发布的典型案例中已经兼有比例相近的轻重罪,包括数量不低的应处三年以上有期徒刑刑罚的案例,其中甚至包括一例负责人法定刑为十年以上有期徒刑或者无期徒刑。法定刑三年以上案件及适用认罪认罚从宽制度提出轻缓量刑建议的案件所占比例逐步上升。可见,检察机关也在逐步探索对重罪适用合规不起诉制度。
(4)企业自身情况
结合当前的制度规定和最高检发布的典型案例情况,在考察企业是否适用合规不起诉时,主要考量因素包括:①企业自身有较强的合规整改意愿;②企业拥有自主知识产权、商誉、专有技术或商业秘密,属于高新技术产业;③企业在税收、就业、社会公益等方面曾作出较大社会贡献;④企业具有较大行业影响力,其经营状况影响所在行业、上下游产业链及区域竞争力;⑤企业具有良好的发展前景;⑥企业过往表现等等。
例如,在最高检公布的第四批涉案企业合规典型案例之浙江杭州T公司、陈某某等人帮助信息网络犯罪活动案中,检察院考虑到企业涉案业务比重小、主要业务运营合法,决定对公司进行合规考察。
由此可见,企业在涉案前的合规建设以及对社会的贡献都具有重大意义,有助于给检察院以企业正当经营的印象,以此最大限度地争取合规不起诉制度的适用。
2. 企业合规整改的主要内容
最高检于2022年4月发布了《涉案企业合规建设、评估和审查办法(试行)》(以下简称为“《办法》”)。该办法确立了涉案企业合规建设的具体标准,包括对合规风险的识别、合规管理机构及人员的确立、合规管理制度的建立及保障、合规评价机制的建立、违规行为的应急处置办法等。企业可以参照该《办法》进行自查,并以此为标准建设、完善本企业的合规体系。根据《办法》内容,企业合规建设主要包括以下内容:
(1)停止涉罪违规违法行为,并退缴、补缴相应款项并缴纳罚款;
(2)成立合规建设领导小组负责本次合规整改;
(3)制定合规整改计划;
(4)设置合规管理机构、管理人员;
(5)制定合规管理制度(应当包含合规保障、风控制度、合规评价考核、合规报告、合规培训等内容)。
至于上述合规建设具体如何进行以及标准,《办法》确立了“相称性原则”,即企业合规整改的具体方案要与企业面临的合规风险、企业规模、业务范围、行业特点等相适应和成正比。合规方案的确立及对合规有效性标准是个别的、具体的,具有特异性,而不是普适性。小微企业在合规组织的设立以及合规计划的制定上都可适当简化,而大企业的相关要求显然更高,需要建立完整、完善的合规管理体系,并应强调多重点领域合规。
3. 企业合规整改的监督与评估
对企业的合规建设活动的监管有两种方式:一种是检察机关自行监管,即由检察官在合规考察期内调查、评估、监督和考察企业的合规整改活动;另一种是第三方监管,即由合规专家、律师、相关监管官员以及其他专业人员组成的第三方监督评估组织(以下简称为“第三方组织”)对涉案企业的合规整改计划、活动及结果进行调查、评估、监督和考察。
图2 合规评估流程图
最高检等八部门发布的《第三方机制意见》中为企业合规的调查、评估、监督和考察引入了第三方监督评估机制,第三方监督评估组织的意见将作为检察院处理案件的重要参考。2022年1月,最高检等九部门共同发布了《〈关于建立涉案企业合规第三方监督评估机制的指导意见(试行)〉实施细则》,进一步细化了第三方机制管委会的职责以及第三方机制的启动、运行的具体程序。
相较而言,检察官自行监管的方式更为便捷、经济,较为节省人力物力;第三方组织人员拥有更多的企业合规治理方面的知识和经验,但是第三方组织的合规监管成本较高,且还存在第三方组织行为不检导致的法律风险。
对于组织结构、合规整改事项相对简单的企业(以中小微企业为主),由检察院自行监管有利于降低合规成本;而组织结构复杂,合规整改任务繁重,涉及的合规内容可能有专业性要求(以大型企业为主),由第三方组织监管更为合适。
从制度规定上来看,企业合规整改可以广泛地适用第三方监督评估机制。即,“无论是民营企业还是国有企业,无论是中小微企业还是上市公司,只要涉案企业认罪认罚,能够正常生产经营、承诺建立或者完善企业合规制度、具备启动第三方机制的基本条件,自愿适用的,都可以适用第三方机制。”
从实践上来看,检察院会兼顾企业经营模式和案件特点对监管方式进行选择。例如,在最高检公布的第四批涉案企业合规典型案例之北京李某某等9人保险诈骗案中,检察院考虑到案涉业务具有汽修与保险互涉的行业特点,抽取了由物流行业协会、国企法务部门、市场监管部门的专家组成的第三方组织,突出了监督评估的专业适配性。而在第三批涉案企业合规典型案例之江苏F公司、严某某、王某某提供虚假证明文件案中,涉案企业从业人员总共只有39人。江宁区检察院立足小微企业实际,开展简式合规。由检察院直接开展合规监管、评估,自行指导涉案企业形成自查报告、合规计划,以降低合规成本、减轻企业经济负担。
根据最高检的报告,截至2022年12月,适用第三方监督评估机制案件共3577件(占全部合规案件的69.5%)。
4. 企业合规整改结果的审查
企业合规建设完成后,由第三方组织或未启动第三方机制的小微企业向检察院报送合规整改报告后,检察院进行审查,经审查符合要求的,检察院可以作出不批准逮捕、变更强制措施、不起诉的决定,提出从宽处罚的量刑建议,或者向有关主管机关提出从宽处罚、处分的检察意见;反之,检察院可以依法作出批准逮捕、起诉的决定,提出从严处罚的量刑建议,或者向有关主管机关提出从严处罚、处分的检察意见。
虽然第三方组织的合规考察评估报告是检察院依法处理案件的“重要参考”,但企业是否通过合规考察的最终决策权还是在于检察院。
检察院对于合规整改成果的审查可以独立进行,也可以召开听证会。《深圳市检察机关企业合规工作实施办法(试行)》还规定,检察院可以对适用合规不起诉的涉案企业进行回访检查,如果仍不能实现有效性的,检察院还可以撤销原合格评定。
数据显示,截至2022年12月,有67家企业未通过合规整改,企业或企业直接责任人被依法起诉追究刑事责任。
四、预防性刑事合规
由上文可知,如企业已经涉嫌刑事犯罪,面临刑事追诉时,可以积极申请适用合规不起诉制度,以被免于起诉或者减轻刑责。
同时也应看到,检察院在决定是否对涉罪企业适用合规不起诉时,企业过往的合规表现是重要考量因素之一。另外,企业如果能够建立日常化的合规管理制度,也能极大地降低涉嫌刑事犯罪的风险,进而提高企业的抗风险能力和市场竞争力。由此,预防性刑事合规的概念被提出。
(一)预防性刑事合规概述
1. 预防性刑事合规的概念
预防性刑事合规制度,是由衢州市推出的创新举措。2021年,衢州市检察院与市生态环境局、应急管理局联合出台《关于在化工企业建立预防性刑事合规制度的暂行办法(试行)》。现阶段,尚仅针对化工企业。有意愿适用该制度的企业,可以向检察机关提出并自行制定刑事合规计划,建立并完善预防、发现和纠正企业违法行为的内部控制机制,经行政主管部门进行专业审查并由检察机关确认后纳入预防性刑事合规试点企业名单,进而在企业涉嫌犯罪时,由检察机关综合其合规建设情况、犯罪情节等决定是否起诉。
2. 预防性刑事合规的功能
避免刑事风险是合规的首要原则。事实上,由于刑事责任的特殊性,企业避免刑事法律风险最有效的办法就是建立预防性企业刑事合规体系。
合规的最主要的目的是确保公司主营业务的可持续性。因此,与业务可持续经营有关的合规问题是企业的经营管理者应当重点关注的。
法务或外部律师每天都在为企业解决很多法律问题,比如一般性的合同审核或简单的诉讼案件。这类法律事项即使标的额很高,后果也是相对可控的。因为一般的合同违约或案件败诉对公司的影响往往只是局部的。这类事件是个别的,具有特殊性和偶发性,往往并不会撼动整个公司的业务根基。
然而,有一些问题是企业业务、管理上存在的共性问题,如果该等问题存在刑事风险,则如同一个定时炸弹,一旦爆发就可能影响到公司业务的可持续性发展。
对于可能影响到业务可持续发展的重要事项,排除刑事风险至关重要,企业的经营管理者应当重点关注。不同于民事责任或者行政责任,企业一旦需要承担刑事责任,就可能直接遭受灭顶之灾——所有的业务都可能被迫中断,甚至企业直接破产倒闭。
总体而言,预防性刑事合规体系的构建,可以实现以下四个功能:
(1)明确企业面临的刑事法律风险并提前预防。
部分企业因处于业务快速发展期,往往因业务发展而忽略了潜在的法律风险,再加之部分互联网业务的新颖性,如果企业不树立合规意识、不主动自查,可能触犯了法律红线都没意识到。因此,企业应当对自身刑事风险进行梳理,并建立风险识别机制,进而提早预防刑事风险。
识别合规风险,要做到有的放矢,有重点、有针对性地进行,避免因合规管控的范围过大过细而失去重点。
(2)在刑事案件发生后,切割企业和个人的刑事责任,保住企业及主营业务。
如果公司事前已经建立了完备的合规管理制度并严格予以落实,则在企业员工涉嫌刑事犯罪的情况下,可排除企业的犯罪故意,证明员工的行为是个人行为,而非单位行为,进而实现企业和个人责任的切割,使企业免于受个别涉刑人员的牵连。
(3)确定刑事案件的具体责任人员,实现负责人员刑事责任的切割。
在很多案件中,企业的主要负责人之所以要承担刑事责任,很大程度是由于企业内部职责划分不清所致的。企业主要负责人虽处于业务决策流程的最高层,往往只是程序性地完成审批,并未实际负责业务,很多业务决策实际是由下属负责人决定的。但是,由于公司制度层面事先并没有明确约定各个岗位在审批流程中的具体工作职责,导致业务出事后,往往由主要负责人来承担最终的刑事责任。
如果企业事先构建完善的管理制度,明确各个岗位职责,在刑事追责时即可由实际的负责人承担责任,避免由个别人员“背锅”。
(4)动态管控企业的刑事法律风险。
近年来,各部门不断发布各类规章制度,有针对个人信息与数据安全等大多数企业均涉及的共性法律问题的,也有针对金融、汽车、元宇宙等特定行业的。纷繁复杂的规章制度,使得各行业、各领域的外部监管环境、行业发展动向不断地发生变化;相应地,企业内部的发展战略、管理重点也在不断变化。动态的刑事合规管理体系能根据外部环境以及企业自身情况的变化及时调整合规管理内容及侧重点,确保刑事合规管理体系能够与时俱进,满足合规要求和企业的发展需要。
3. 预防性刑事合规的相关规定
浙江省衢州市率先推出预防性刑事合规实施细则,六家企业成为首批试点企业,可享受三大司法政策。
预防性合规已经进入司法实践,2021年1月12日,衢州市人民检察院、生态环境局以及应急管理局联合发布《关于在化工企业建立预防性刑事合规制度的暂行办法(试行)》(衢市检发〔2021〕1号)。其中第10条规定,参与预防性刑事合规试点工作,进入试点名单的企业,可享有以下司法政策:
首先,在侦查和审查起诉阶段采取非羁押措施;
其次,依法应当判处三年以下有期徒刑的,检察机关对企业和相关责任人员一般作不起诉处理;
最后,依法应当判处三年以上七年以下有期徒刑,在法律规定可以从轻或减轻处罚的情况下,检察机关对企业和相关责任人员一般作不起诉处理,确需起诉的,提出从轻或减轻处罚的量刑建议。
上述政策出台后,衢州市检察院、衢州市生态环境局以及衢州应急管理局发布了《关于确定第一批预防性刑事合规试点企业名单的通知》,已有一批企业被确定为首批预防性合规企业。
4. 预防性刑事合规的典型案例
雀巢公司员工侵犯公民个人信息案——预防性刑事合规有助于实现单位责任与员工个人刑事责任的切割。
被告人郑某、杨某(分别担任雀巢(中国)有限公司西北区婴儿营养部市务经理、兰州分公司婴儿营养部甘肃区域经理)授意员工通过拉关系、支付好处费等手段向医务人员非法获取公民个人信息。
被告人郑某辩称自己的行为是公司行为,应该认定为单位犯罪,主要理由是其行为是为了完成公司的业绩,实施行为也获得了公司管理层的同意,属于职务行为,且行为的结果即所获取的个人信息是提供给公司使用,公司获取实际收益。
雀巢公司向法庭提供了公司合规管理的相关文件,表明雀巢公司禁止员工实施案涉行为,且涉案员工已经经过合规培训。因此,雀巢公司已经尽到了相应的注意义务和责任,员工的个人行为不应由公司承担责任。
据此,一审、二审法院均认定各被告人的行为并非“本单位集体决定或者由负责人决定的行为”,因而不能将这种行为归责于单位自身。
(二)预防性刑事合规体系建设
根据我们的实践经验,并结合现有的各学者的相关研究,企业预防性刑事合规体系建设可以从以下几个方面进行:
(1)刑事合规建设的人员准备和计划制定
人员准备:企业确定好合规建设项目的组成人员,可包括企业内部人员、外部律师等,互相配合合规建设工作的开展。
计划制定:制定合规建设工作计划并确定好完成各项工作的时间节点。
(2)确定刑事合规体系建设的目标
刑事合规体系的建设是系统工程,需要企业管理层秉持坚定的态度和决心,自上而下地推动体系建立。因此,建议企业高层领导从宏观层面率先确定刑事合规建设的目标,发布企业合规承诺,进而对全公司上下进行动员,以便公司上上下下能够配合合规工作;也可表明企业股东、董事会和其他各领导对企业合规建设的决心和支持。
(3)制定刑事风险调查清单
企业的刑事责任的来源之一即为没有履行法定(包括法律、行政法规)的义务。例如,如果网络服务提供者不履行法律、行政法规规定的相关义务,且经监管部门责令采取改正措施而拒不改正的,则构成拒不履行信息安全管理义务罪。
因此,有必要针对企业的业务类型及所属行业,对其运营过程中需要遵守的法律、行政法规等进行梳理,制定刑事风险的调查清单。
在刑事风险调查清单的指引下,对公司的主营业务、关键岗位人员进行排查,以识别企业可能面临的刑事法律风险。
(4)制定刑事风险清单
经过上述调查,对于公司的业务流程、组织架构、岗位责任等重要信息以及重要风险点已有整体认识,在此基础上,即可进一步分析与识别出企业可能会面临的刑事法律风险以及风险等级。
互联网企业共同涉及的合规风险主要包括个人信息与数据方面、知识产权方面、税收合规方面、商业贿赂方面、反不正当竞争方面、内容合规方面等;另外,对于部分行业而言,还存在具有行业特性的刑事风险,例如游戏行业涉及网络赌博的风险以及社交平台涉黄、涉诈的风险等。
对已识别的刑事风险进行梳理、分类和排序后,即可据此列出刑事风险清单。
(5)建立企业刑事合规管理制度
建立企业刑事合规管理制度是构建企业刑事合规体系的关键所在,其目的在于针对已经识别出的企业刑事风险,将法律法规、国家标准、行业标准等对上述风险的管理要求内化成企业内部的管理制度等。
从互联网企业面临的主要刑事风险出发,互联网企业的刑事合规制度体系大体可以包括以下方面:
图3 合规管理体系示意图
需要指出的是,建立完善的合规制度体系并不是最终目的,制度的有效实施才是核心。为保障合规管理机制的有效运行,企业应建立完善的合规风险识别、预警与应对机制,合规检查机制,调查与问责机制以及配套的合规保障制度。此外,有必要将合规制度的履行与员工的考核评价挂钩,建立一整套刑事合规考核与评价制度,以提高员工对合规制度的重视。
(6)构建企业刑事合规管理的组织体系
合规管理组织体系的构建根据企业规模大小、管理组织体系不同而有所差异。大型企业的合规管理组织应当较为完善。根据《中央企业合规管理办法》之规定,企业的合规管理组织可包括:(1)合规领导机构,包括董事会、监事会、经理层;(2)合规管理机构,包括合规委员会、合规负责人、合规管理部门;(3)业务和职能部门。
而对于人数较少的中小微企业,不一定有建立合规部的资源,可以要求其聘请少一名法务人员兼任合规工作,并在必要时聘请外部合规专家对企业风险事项进行合规审查,实现内外部合规人员相配合的工作机制。
(7)开展合规培训
要实现企业合规经营的目的,仅仅有完备的纸面文件还不够,还必须让员工熟知合规要求并教育、引导员工严格践行合规要求,坚决抵制违规行为,将合规工作落到实处,确保实现“人人合规、事事合规、时时合规”。因此,应当定期或不定期地组织对员工和管理人员的培训,使其充分了解合规管理的要求以及违规行为的后果。
(8)刑事合规管理体系的完善和更新
企业刑事合规管理是动态的,并不是建立一整套体系之后就大功告成。相关法律和监管政策是不断变化的,企业也在不断调整自身业务或开拓新的业务领域,因此,需要对企业所涉的监管法规和内部业务变化情况进行动态的关注,并适时对合规管理体系进行调整。
对企业的合规管理进行动态监测,也是为了刑事合规管理体系的进一步完善。如企业发现内部存在违法违规行为后,需要对背后的原因进行反思并对本次风险的识别、响应、处理过程进行复盘,总结现有合规管理体系的可改进之处,不断地弥补管理漏洞,以期企业能行稳致远。
五、结语
随着互联网行业的高速发展,企业面临的网络犯罪风险也越来越高,因此加强刑事风险防范和合规建设显得尤为重要。企业既要避免主动犯罪,也要避免因未履行相关义务而被追究刑事责任。
其中,合规不起诉制度是企业关注的一个重点。合规不起诉制度给已涉嫌刑事犯罪的企业留有了一线生机。通过该制度,企业可以主动纠正和补救自身合规问题,以避免或减轻刑事责任。
相对于事后补救,更为重要的是事前预防。面对日益复杂的网络犯罪风险,企业应当遵守相关法律法规和政策,开展自查自纠工作,并积极采取有效措施解决问题;同时,企业应当建立完善的内部合规管理制度和流程,加强人员培训和管理,以此降低企业面临的刑事风险和压力,确保企业合规运营和稳健发展。
在今后的发展中,互联网企业将面临更加复杂和严峻的网络犯罪风险和挑战。只有不断完善合规管理体系、加强内部合规建设,才能确保企业的可持续发展,使企业在激烈的市场竞争中立于不败之地。
企业重视合规经营、积极维护网络安全和公共利益,不仅能促进行业的稳定发展,更有助于营造一个公平竞争、诚信守法的市场环境,有利于社会主义市场经济的健康发展。
参考文献:
作者简介
欧阳昆泼
视频号“数据保护官”
今年计划100场免费直播
欢迎扫码关注我们
微信扫码关注该文公众号作者