近年来,最高人民检察院推动的涉案企业合规改革试点全面推开,改革不仅仅是关注涉案企业犯罪后的程序与实体处理问题,实践中,部分企业已经开始探索事前自主刑事合规,进而将合规风险降到最低。这也正是涉案企业合规改革的积极面向,即助推更多企业走上自主、常规的合规道路,进而前提合规关口,扩大合规积极效应。当然,企业探索自主刑事合规并非“摸着石头过河”,而是已经形成一定标准,其中国家市场监督管理总局、国家标准化管理委员会2022年10月发布的《合规管理体系要求及使用指南》(标准号:GB/T 35770-2022)(下称《合规管理体系》)就较为全面地明确了合规管理体系的基本要求。合规管理体系的建构是一项系统工程,其中基石性的工作是合规义务识别。对此,《合规管理体系》提出:“组织应系统识别其活动、产品和服务所产生的合规义务,并评估其对组织运行所产生的影响。组织应建立过程以:a)识别新增及变更的合规义务,以保证持续合规;b)评估已识别的变更的义务所产生的影响,并对合规义务管理进行必要的调整。组织应保持其合规义务的文件化信息。”鉴于此,企业在事前自主刑事合规体系建设中,首先要有效识别刑事合规义务,这也是事前合规与事中合规、事后合规最大的区别之一。更重要的是,刑事合规义务识别只是基础,提升合规效果及效率,还需要将刑事合规义务进行层次化处理,以确保刑事合规体系建设中明确重点和难点。
企业自主刑事合规义务层次化处理的重点与难点
企业推进事前自主刑事合规体系建设,首先需要明确标准,进而做到有针对性的合规管理。但当前企业针对刑事合规标准把握并不清晰,尤其是对于刑事处罚、入罪标准缺乏清晰理解。因此,企业需要根据所处地域、类型及业务范围,对需要强制遵守的刑事合规义务进行甄别。
企业自主刑事合规建设中还需要根据业务特点,明确优先遵守的刑事合规义务。当前,企业面临的刑事风险多元、复杂,除了传统的商业贿赂、串通投标、侵犯商业秘密等刑事风险,还需要避免计算机犯罪、数据犯罪、创新业务非法经营、拒不履行信息网络安全管理义务等犯罪行为的发生。在强制遵守的刑事合规义务之外,还存在诸多与企业业务密切相关,企业自愿遵守的合规义务。这就需要识别出与自身业务最具相关性且最重要的合规义务,将其作为优先遵守的刑事合规义务,这即是在企业自主刑事合规义务层次化处理过程中,根据与业务的关联程度以及业务本身的重要程度进行的再分层。
当然,企业自主刑事合规义务层次化处理不仅仅是根据强制遵守和优先遵守的刑事合规义务进行分层,还需要在分层的基础上进行复合识别。这就包括行政合规义务与刑事合规义务的复合识别,以及各类刑事合规义务来源的复合识别。例如,刑法修正案(九)增设的拒不履行信息网络安全管理义务罪,就需要对行政责任与刑事责任进行复合识别。根据刑法第286条之一规定,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,造成相关严重后果的,涉嫌拒不履行信息网络安全管理义务罪。可见,行政法意义上与刑事法意义上的义务在该项刑事合规义务中共同产生了复合效应。而各类刑事合规义务来源的复合识别,则是强调企业根据自身业务、所处地域对刑事合规义务进行复合识别,不同业务领域和辖区范围可能对于某一刑事合规义务的把握有所区别,为了保障企业相关业务能够合规且有效进行,就需要对不同法律、司法解释、规范性文件等进行复合识别。
“技数”赋能企业自主刑事合规义务层次化处理
当前,企业刑事合规义务所涉及的法律、司法解释、规范性文件以及司法判决数量较多,同时还要考虑刑事合规义务与企业自身业务的关联程度与重要程度,加之行政合规义务与刑事合规义务以及各类刑事合规义务来源需要复合识别,因此,企业刑事合规义务的全面识别需要投入大量资源。如此多的信息量,依靠人工手动识别不仅效率低,并且很难做到全面、有效的层次化处理。因此,企业自主刑事合规体系的建设,需要实现“技数”赋能,以信息化辅助为基础,将合规义务与风险识别融入企业日常业务流程之中。
具体而言,企业自主刑事合规义务层次化处理的系统辅助包括两大方面,即宏观政策研究与具体操作指引。首先,宏观政策研究方面,除了顶层设计、法律法规等内容,司法判决也是判断政策趋势变化的重要依据。系统辅助可以基于海量司法文书的数据标注和模型训练,实现文书中关键信息要素的抽取,帮助企业用户快速梳理案件事实并摘取所需信息,大幅提升文书阅读效率,利用GRTE模型结构,执行“生成-挖掘-集成”过程,形成大规模数据趋势分析为刑事合规义务识别提供便利。其次,具体操作指引层面,可借助问答形式的合规义务指引,增强系统辅助的可操作性。这就需要系统辅助基于强大的预训练语言生成模型,启发式学习司法领域相关文档,构建具备问题推荐、问题理解和问题解决的智能问答框架,为智能客服、智能问答等场景提供文档数据自动转化为问答对的能力,以便通过问答生成将制度文档转化为问答对,为问答框架提供数据支撑。当然,企业刑事合规义务识别的“技数”赋能,本质上还是发挥信息化系统辅助而非主导作用,其根本在于专业人才的法律知识和经验以及技术团队的技术化、数字化、可视化探索。
[作者分别为中国政法大学刑事司法学院副教授,蚂蚁集团刑事安全专家,蚂蚁集团安全技术专家。本文系中国犯罪学学会研究课题《涉互联网企业犯罪治理》(批准号:FZXXH2022C08)的阶段性研究成果]
来源:转载自检察日报-理论版