數字經濟刑事合規風險的多維性分析及規制路徑

摘要：在數字經濟語境下，網絡平臺與數據要素在為企業等市場主體帶來經濟價值的同時，也增加了其陷入刑事法律風險的可能性。以企業參與數字經濟的行為類型為切入點，探賾市場主體在網絡數據安全、網絡空間安全、數字知識產權以及其他主要領域可能面臨的刑事合規風險，從客體維度、空間維度、法益維度進行具體展開。為提升企業應對刑事合規風險的能力，應當在理論層面以激勵原則、權利義務一致原則與系統性治理原則為指導構建企業合規管理體系，在實踐層面建構保護數據安全、空間安全以及數字知識產權的具體機制，并通過建設刑事合規數字平臺、強化監測預警機制與監督評估機制實現多維一體的企業數字經濟刑事合規風險預防，助力企業在數字經濟發展過程中取得優勢地位。

關鍵詞：數字經濟；數據犯罪；刑事合規；數字合規

中圖分類號：D924.3" 文獻標志碼：A"文章編號：2096-028X（2024）02-0077-14

一、問題的提出

刑事合規問題目前正在理論界引起廣泛討論。在正式進入討論之前，分清論域的時代性特征是尤為重要的，目前中國正處于數字經濟的大環境中，許多刑事合規問題都與該時代背景密不可分。“十四五”期間，中國政府推出關于扶植數字經濟發展的新政策，數據被明確為一種新型生產要素，由此正式開啟數字經濟發展的新階段。

數字經濟的刑事合規風險有別于一般意義的數字經濟刑事風險。數字經濟的刑事合規風險是涵攝于數字經濟刑事風險概念之下的，從企業合規角度出發并對此進行分析的刑事風險。對從事數據收集和利用活動的企業來說，企業日常經營管理往往以數據為載體和依托，其經營管理活動是否合法，很大程度取決于企業數據處理活動是否合法。如果企業掌握數據優勢，就很容易發生其通過違法的數據處理行為來謀取利益的情況。于是，數據行為是否合規成為審查其刑事合規的必要內容。參見焦艷：《大數據時代企業應加強數據合規體系建設》，載法治網2023年2月3日，http：//www.legaldaily.com.cn/sylm/content/2023-02/03/content_8819061.html。面對數字經濟發展及其所帶來的風險挑戰，刑法立法與司法已經存在滯后性，需要構建確保數字經濟安全的規范新形態。

從功能主義的角度，對數字經濟刑事合規的風險進行研究和討論，能夠降低企業刑事風險并最終在維護社會主義市場秩序層面起到積極的作用。一般來說，風險是指未來結果的不確定性或損失，根據風險的內容和來源的不同，可以從不同維度對風險進行界分，如有的研究者將刑事合規風險分為內部刑事合規風險、外部刑事合規風險、特別刑事合規風險；參見閻麗霞：《企業刑事合規風險防控研究》，山西大學2021年碩士學位論文，第12頁。刑事合規風險又可以根據企業及企業內部人員所承擔的角色不同，細分為企業作為被害方的刑事合規風險、企業作為犯罪主體的單位犯罪刑事合規風險、企業內部人員和機構作為犯罪主體的刑事合規風險等。參見劉建忠：《企業內部刑事合規風險防控及框架設計》，載《中國律師》2021年第4期，第63頁。考慮到數字經濟以數字產業化和產業數字化為關鍵核心，經濟活動主要圍繞著“數字”展開，與網絡技術、信息數據息息相關，而企業往往并沒有相匹配的合規意識，筆者主要從網絡數據安全刑事合規風險、網絡空間安全刑事合規風險、數字知識產權刑事合規風險以及其他主要的刑事合規風險，如網絡服務提供者濫用市場支配地位的刑事合規風險四個面向，對數字經濟下刑事合規風險進行多維性分析并提出相適應的規制路徑。

二、數字經濟刑事合規風險的多維面向

數字經濟刑事合規需注重對其特征的分析，因其復雜性特點需進行多維性分析。在數字經濟背景下，數據成為相應犯罪行為的主要侵害客體，因此需關注網絡的空間性以及隱蔽性特點，建立企業數據安全和網絡空間安全的事前風險防范機制以達到犯罪預防的效果。通過對于數字經濟犯罪種類的類型化分析，數字知識產權類型犯罪占比較大，應在事先預防和事后規制兩方面予以重點關注。風險本身就有高度的延展性，現代刑法的發展歷史就不斷表明，新的風險類型會持續出現或者被發現，如何有效預防、控制與分配風險成為刑法的重要任務之一。亦即，刑法不再是簡單的事后懲罰，而逐漸承擔起風險預防之重任。因罪刑法定原則之限制，刑法只能圍繞對該法益之侵犯最嚴重的行為進行規制，形成構成要件。由此可見，直接對風險進行類型化一方面難以實現，即界定刑法之罪名者并非單純的風險，而是形成該風險的最應當進行刑事處罰且相對邊界固定、文意清楚的犯罪行為，換言之，刑法界定罪名應當同時兼顧形式理性和實質理性，而不能簡單地因為風險本身的重大性就將其規定為犯罪。另一方面風險是不斷增加的，某些風險是固有的，只是伴隨著時代的發展而逐步被重視，例如伴隨人民日益增長的美好生活需要而被逐漸重視的環境風險；有些風險則是新產生的，最典型的是目前網絡生活中出現的各種風險。具體到數字經濟來說，數字經濟的蓬勃發展，不僅帶來經濟領域的新產業和新業態，而且帶來犯罪活動的新場域；既催生出涉數字貨幣、網絡虛擬財產、數據等新型權益的犯罪，也為傳統犯罪問題帶來新的認定問題。數字經濟刑事合規所針對的就是伴隨著數字經濟發展而產生的新類型風險。對此，結合刑事法律的特性，筆者認為類型化依據應盡可能減少對風險本身的內涵界定，結合具體的場景、要件等視角進行觀察是相對可行的方案。

還需要說明的是，針對被規范保護或者被犯罪侵犯的對象，中國刑法理論中同時存在“法益”和“犯罪客體”的概念，盡管在終極立場上，二者之間可能存在“水火不容”的對立關系，但是在具體個案或者場景中，二者的區分并不是那么重要。筆者對二者的區分持相對緩和的立場，將法益視為相對抽象的概念，而客體則是相對具體的法益之承載者，換言之，在本部分展開邏輯的討論中，出現“法益”時意味著從相對形而上的角度考察規范保護目的，而出現“犯罪客體”時則是在要件式審查中，具體展開如下。

（一）數據安全刑事合規風險——客體維度

數據安全意味著保護數字數據（例如數據庫中的數據）免受破壞性力量和未經授權用戶的不良行為的影響，例如網絡攻擊或數據泄露。從概念上講，數字經濟背景下的企業發展存在兩個主要特征：一是通過數據資源直接或間接地發揮引導作用，以推動生產力發展；二是跨越初級的信息處理技術和網絡建設階段，進入運用大數據、參見孫晨霞、施羽暇：《近年來大數據技術前沿與熱點研究——基于2015—2021年VOSviewer相關文獻的高頻術語可視化分析》，載《中國科技術語》2023年第1期，第89頁。區塊鏈、人工智能等新興技術的信息經濟的高級階段。參見申雅琛：《數字經濟理論與實踐》，吉林人民出版社2022年版，第3-4頁。因此可以說，數字經濟發展的核心就是數據資源。不過，在以現代信息網絡作為重要載體的背景下，企業在整理、應用數據資源時會面臨網絡數據安全刑事合規風險，從發生環節來講，主要包括以下三個方面。

第一，數據收集的刑事合規風險。發展數字經濟首先需要收集和形成數據資源，因其收集的主要對象為個人信息，若缺乏被收集信息方的知情及同意，對個人信息進行過度收集和獲取，就形成了最大的法律風險。參見李鵬、吳舒敏：《數據安全視角下企業刑事合規的檢視與治理》，載《人民檢察》2023年第7期，第23頁。根據《中華人民共和國刑法》（簡稱《刑法》）和《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的規定，如果單位以竊取或者購買等非法方式獲取個人信息，情節嚴重的，可以構成非法獲取型的侵犯公民個人信息罪。實踐中較為典型的表現形式有：一是未經授權擅自收集用戶人臉識別、身份證號等個人信息；二是超越授權范圍收集個人信息，如強制授權和過度授權。除此之外，如果單位使用網絡爬蟲技術收集數據，也可能涉及多種刑事犯罪：例如，攻破目標系統的反爬技術進行數據收集，可能構成非法獲取計算機信息系統數據罪；如果爬蟲技術對目標網頁進行控制并收集數據，可能構成非法控制計算機信息系統罪。在“巧達公司侵犯公民個人信息案”中，巧達公司組建專業爬蟲技術團隊，在沒有取得求職者本人和平臺的直接授權的情況下，秘密爬取平臺個人信息2.1億余條，最終被判處罰金人民幣四千萬元。參見北京市第一中級人民法院（2021）京01刑終542號二審刑事判決書。

第二，數據使用的刑事合規風險。在信息社會中，數據毫無疑問是一種生產要素，可以反復使用并創造更有價值的資源。企業在獲得信息數據后勢必涉及使用信息數據并獲得經濟效益，而這個過程中較容易出現不當使用的問題，即數據濫用。在此環節，常見的刑事合規風險包括：一是為了企業盈利目標，違法地將收集到的信息出售、提供或共享給第三方以從中牟利，可能觸犯侵犯公民個人信息罪；二是如果非法提供、出售數據的行為，幫助了他人實施信息網絡犯罪活動或為其犯罪活動提供了一定程度的便利，則具備構成幫助信息網絡犯罪活動罪（簡稱幫信罪）的可能性。在“常某、顏某侵犯公民個人信息案”中，數據堂公司將通過技術服務獲取的原始非法數據出售給專門成立以售賣公民個人信息的金時公司，法院判決其應當承擔刑事責任。參見山東省臨沂市中級人民法院（2018）魯13刑終549號二審刑事判決書。對于該案中是否起訴單位犯罪，法檢存在爭議。

第三，數據管理的刑事合規風險。數字經濟帶來的巨大經濟利益驅動越來越多的新舊企業進入市場，其中占比較大的互聯網企業已經成為數字社會的重要力量，其在提供各類服務等經營活動的過程中，不可避免地會收集、匯聚到大量的用戶個人信息，如果不盡職履行數據保障義務，導致數據信息被泄露，甚至造成嚴重后果的，可能會面臨刑事處罰，并存在構成侵犯公民個人信息罪與拒不履行信息網絡安全管理義務罪數罪并罰的可能。在數字經濟時代，隨著財產的范圍進一步擴張，大范圍竊取公民信息并轉移網絡財產的行為可能造成盜竊罪和侵犯公民個人信息罪的競合。在可預見的未來，由于責任分配的日益多元以及前置，立法會更加傾向于通過加重企業監管責任的方式來實現對風險的預防與治理。具體到刑事領域來說，為嚴密監管責任刑事法網，針對企業尤其是網絡服務提供者的監管責任的罪名或將越來越多。此外，合規意味著數字經濟時代的企業本身作為犯罪主體，其內部成員的不法行為也應當由企業承擔一定的責任，至少是安全責任。綜合來看，數據管理的刑事合規風險相對較重，遍布各個層面。

（二）網絡空間安全刑事合規風險——空間維度

上文所述的數據安全刑事風險的犯罪客體為企業（或個人）的數據，犯罪主體大多為直接參與市場經濟經營活動（例如外賣平臺和社交平臺）的企業或個人，覆蓋到社會經濟生活的方方面面。除考慮犯罪行為的客體特征，也需同時注意數字經濟領域犯罪其他維度的特征。此處需考慮互聯網的空間性特征，因為網絡犯罪有別于其他的傳統類型犯罪帶來的刑事風險。目前，網絡空間已經成為人類生活的第二空間，與傳統物理空間不同，網絡空間具有開放性、共享性和隱蔽性，網絡犯罪借助網絡空間不斷蔓延滋生，已經成為當前的主要犯罪類型之一。一旦發生網絡攻擊行為，網絡的穩定運行狀態將被破壞，網絡數據的保密性和可用性也難以得到保證；傳統類型的犯罪行為在發生的物理空間上具有局限性，而網絡空間的開放性導致該領域犯罪相較于傳統類型的犯罪來說，受害人的分布區域更廣泛，以及因其隱蔽性特點帶來的刑事偵查難度大的問題。為避免出現上述情況，網絡服務提供者在主要地承擔網絡空間的構建以及網絡規則的制訂的過程中，需要更加切實地履行網絡空間安全管理義務。《中華人民共和國網絡安全法》（簡稱《網絡安全法》）第9條明確針對網絡運營者規定了包括“履行網絡安全保護義務”在內的六項基本任務，原則上確立了網絡運營者系網絡安全的第一責任人，其安全管理義務的主要內容是在數據全生命周期維護包括存儲硬件設施安全、軟件系統安全和數據安全在內的各項網絡空間安全，并在未履行法定義務時承擔相應的法律責任。如果網絡技術或服務存在不當漏洞，就很可能被網絡犯罪利用，使得網絡技術或服務提供者涉嫌刑事犯罪。《中華人民共和國刑法修正案（九）》確立了拒不履行信息網絡安全管理義務罪，《刑法》第286條之一規定該罪的犯罪主體是網絡服務提供者，刑事責任的前提要素為經監管部門責令采取改正措施而拒不改正，即網絡服務提供者基于事實認識錯誤或法律認識錯誤而拒絕改正，將有可能觸犯該罪。值得注意的是，《最高人民法院、最高人民檢察院關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》（簡稱《信息網絡犯罪司法解釋》）同時明確了因拒不履行網絡安全管理義務，致使危害國家安全犯罪等特定犯罪案件證據滅失、多次造成刑事案件證據滅失等情形屬于“情節嚴重”。以造成危害國家安全犯罪證據滅失為例，該情形不要求行為人具備危害國家安全的主觀故意，若行為人具備危害國家安全的主觀故意，則可能構成拒不履行信息網絡安全管理義務罪和危害國家安全罪的法條競合。

從犯罪構成來看，拒不履行信息網絡安全管理義務罪的適用較為泛化，導致相關企業和個人觸犯此罪的風險較高、安全管理義務較為嚴格。一是“技術中立”的抗辯不被認可，中立服務性質的行為，具有日常性、職業性等特點，故一般不作為犯罪處理，例如，僅為互聯網提供接入服務的行為通常不認為是犯罪行為，但是拒不履行信息網絡安全管理義務罪的入刑已經說明，中國現行刑事立法已經否認網絡服務提供者中立幫助行為作為合理抗辯理由的資格。根據《刑法》第286條之一的規定，只要網絡服務提供者經行政機關責令改正而拒不改正，且具有四種情形之一的，就應當受到刑事處罰。在這個問題上，“快播案”曾經引發廣泛爭議，但法院最終仍然判處快播公司的行為構成犯罪。爭論觀點可參見《車浩新評快播案：法律無需掌聲，也不能嘲弄》，載微信公眾號“中國法律評論”2016年1月22日，https：//mp.weixin.qq.com/s/cIS8CJZ1--7g4dTDTpXewQ。二是此罪系不作為犯罪，以行為人具備信息網絡安全管理義務為前提。但信息網絡安全管理義務的范圍并沒有被法律明確規定，這就需要參照其他法律、行政法規的規定。參見敬力嘉：《信息網絡安全管理義務的刑法教義學展開》，載《東方法學》2017年第5期，第82頁。目前，法律法規對網絡服務提供者的信息網絡安全管理義務作出的相應規定較為局限，主要可見于《網絡安全法》以及《全國人民代表大會常務委員會關于加強網絡信息保護的決定》的相關內容，義務范圍涉及信息網絡制度構建、用戶安全教育、違法信息備案等網絡數據全生命周期，這種泛化的義務規定導致相關主體違反義務的可能性大幅提升。三是后果嚴重的程度要件標準過低。根據《信息網絡犯罪司法解釋》，網絡服務提供者拒不履行信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，致使泄露個人隱私信息500條以上的，就達到入罪標準，而網絡空間中數據信息動輒數以萬計，這意味著對于涉案企業而言，如果沒有履行監管部門規定的信息網絡安全管理義務，就存在“一泄露就入罪”的嚴重風險。參見周維明：《刑事合規視野下數據犯罪的治理路徑》，載《西南政法大學學報》2022年第5期，第130頁。

就罪數問題而言，違反信息網絡安全管理義務可能涉及的刑事風險包括：一是涉及單一犯罪，如拒不履行信息網絡安全管理義務罪的單一犯罪；二是存在犯罪競合，如實施涉及數據的侵犯公民個人信息罪或者通過網絡暴力等行為實施了尋釁滋事罪，同時構成拒不履行信息網絡安全管理義務罪的，依法應當擇重處罰，換言之，即構成本罪的同時又是諸多網絡犯罪的共犯，但共犯原理如何對其進行解釋，仍然存在進一步完善的空間。例如，在“快播案”中，快播公司對其提供的視頻含有色情內容是充分明知的，經行政機關處罰仍然不履行監管職責，放任公司控制和管理的緩存服務器上存儲并進一步傳播相關淫穢視頻，構成拒不履行信息網絡安全管理義務罪。拒不履行信息網絡安全管理義務入刑意味著網絡服務提供者面臨的刑事風險大幅增加，如果未能積極履行信息網絡安全管理義務，企業將面臨巨額罰款、甚至破產倒閉的嚴重后果。

（三）數字知識產權刑事合規風險——法益維度

上文已提到客體及空間兩個維度，還可以從法益維度思考數字知識產權刑事合規風險問題。在對案件進行類型化分析的背景下，可以看到侵害的法益類型是多種多樣的，而其中占比較大的法益類型為數字知識產權類型。針對該問題，應當作出兩個前置性的說明：首先，雖然在中國犯罪論構成體系尚未固定的情況下，犯罪客體和法益往往處于混同的狀況，但是筆者仍然希望作出區分，尤其是將客體作為法益的一種承載者，從而保證客體具有一定的可查性、客觀性和具體性。蓋因，憲法是確定刑法保護對象的根據，以法益來作為刑法保護對象更有利于規范、明確地表達犯罪所侵犯的公民基本權利或憲法所維護的制度、價值，更有利于實現憲法與刑法的溝通互動。簡言之，法益更為接近法律價值層次。其次，刑法的目的在于保護法益已經逐漸成為共識，而某項利益，尤其是目前遭受極大風險威脅的利益，只有經過一定的審查之后才能被界定為法益，可見，法益本身作為一項法律構建，因其定型性和溝通性的特質，可以實現刑法與社會之間的良性互動。理論上，法益論可以容納更多具體內容，諸如刑事政策等社會政策、民眾意見，從而成為刑法內外的共同指涉，具有一定的類型化功能。

數字經濟發展離不開知識產權，在數字經濟時代下，知識產權犯罪更易發生、更難發現、影響更廣。上海市楊浦區人民法院、上海市楊浦區人民檢察院聯合發布的《涉數字經濟犯罪案件司法白皮書（2018—2022年）》顯示，參見上海市楊浦區人民法院、上海市楊浦區人民檢察院：《涉數字經濟犯罪案件司法白皮書（2018—2022年）》，載上海市高級人民法院網站2023年7月10日，https：//www.hshfy.sh.cn/css/2023/07/10/202307101438112851075.pdf。在282起知識產權犯罪案件中，大多數案件涉及銷售假冒注冊商標的商品，共180起，占63.83%；侵犯著作權罪案件15起，占5.32%，涉及未授權銷售或以技術手段批量復制作品。北京市檢察院知識產權辦公室在對2020年至2023年6月全市檢察機關辦理的侵犯知識產權犯罪刑事案件進行梳理時發現，北京市檢察機關在前述期間共辦理侵犯數字經濟領域知識產權刑事案件37件，約占侵犯知識產權犯罪刑事案件總數的40%。其中，案件集中在侵犯著作權罪、侵犯商業秘密罪等罪名。參見簡潔、王晨：《數字經濟領域知識產權刑事案件呈現四大特點》，載《檢察日報》2023年8月29日，第7版。數字經濟領域知識產權刑事案件呈現四大特點，具體展開如下。

一是侵犯知識產權犯罪與網絡犯罪緊密結合。數字經濟領域的知識產權犯罪，體現為侵犯知識產權犯罪與網絡犯罪的相互交織，主要為利用爬蟲、“撞庫”和云存儲等技術手段進行網絡犯罪，犯罪分工細致，對個人信息和數據安全構成嚴重威脅。

二是數字服務軟件成為新的侵權對象。數字經濟的快速發展以大量數字服務軟件的生產和使用為依托，這些軟件如數據模型和云服務平臺軟件等成為熱門的侵權對象。

三是侵犯商業秘密案件的犯罪主體多為企業內部員工。數字企業的專利技術和產品參數等信息是企業維護自身數據安全性的重點，盡管采取了許多加密措施，但仍然會產生重要商業秘密被非法竊取的情況。這類案件的行為人大多數為企業內部員工，其在職期間以正當方式獲取商業秘密但非法傳遞給他人，或者非法占有關鍵信息并在離職時竊取信息用于非法牟利。

四是被侵權企業的證據留存能力不足。部分案例顯示，企業因被侵權后缺乏保留證據的能力，導致了遭受犯罪侵害之后維權困難的情況。侵犯商業秘密案件的一個關鍵性問題是判斷“秘點”，若被侵權的企業無法提供有效證據，可能造成因證據不足而使犯罪嫌疑人脫罪的負面結果，這本可以通過建立企業數據保存和傳輸的保密安全系統制度而得以避免。

之所以將數字經濟本身作為一種獨立的法益類型，系其本身具有復合性。一種是橫向之復合性，即傳統意義上不同類型的法益同時容納在數字經濟場景之中；另一種是縱向之復合性，即如果不保全數字經濟秩序法益，那么將會侵犯知識產權、個人數據、隱私信息等法益類型，同時也會因為在程序法上面臨困難，引發由一個危險造成的更為廣泛的危險。

（四）其他主要的刑事合規風險

除了上述三種相對“總論性”“總則性”的類型化方案之外，還有部分屬于所謂的“修正構成要件”的內容。刑法理論上中國學者往往認為某些犯罪雖然是針對新興法益，但可以通過共同犯罪原理等解釋出來，因此沒有規定的必要性；但是實踐中往往會將此類犯罪作為獨立的類型。最典型的就是幫信罪，其本身是信息網絡活動犯罪的幫助犯，但基于某些理由而成為單獨的罪名。刑法理論很難給出一個統一的答案，從而回應“正犯化”的做法。目前雖然存在一些有力學說，例如復合法益說等，承認這些罪名具有的獨立目的，然而，筆者認為這些理論尚存沒有處理的問題，例如，無法解決洗錢罪與幫信罪之間存在的核心區別。有鑒于此，在上述“總論性”的類型化方案之外，筆者還關注到部分對數字經濟影響巨大，但并非處于中間地位，無法作為實行行為之正犯的類型，具體詳述如下。

1.廣告合規（虛假行為）

受新冠疫情影響，直播帶貨行業迅速崛起，眾多購物直播平臺相繼出現，這不僅帶來了一種極具規模和影響力的商業模式，也很大程度地改變了人們的消費習慣。根據網經社電子商務研究中心聯合中國商業聯合會直播電商工作委員會發布的《2023年（上）中國直播電商市場數據報告》，2023年上半年，中國的直播電商交易規模約為19 916億元，預計全年將達到45 657億元，同比增長30.44%。參見張一鳴：《2023年上半年直播電商交易規模穩步增長》，載《中國經濟時報》2023年8月28日，第4版。由此可見，直播電商已經成為一股重要的新興經濟勢力，對該領域的刑事合規風險予以重點關注十分必要。

在直播電商領域較為常見的犯罪類型是虛假行為，其主要表現形式包括虛假廣告、流量造假和銷售假貨等，反映出了虛假行為的共性。小紅書或抖音等平臺都曾出現許多虛假廣告，例如宣傳保健品的神奇功效或夸大美容手術服務的效果等。這些廣告不僅存在侵犯消費者身體健康的風險，同時嚴重擾亂了市場經濟秩序。電商主播或者社交媒體博主與品牌方簽訂服務協議，作為廣告發布者為其在平臺通過直播銷售或分享使用體驗的積極評價等方式對產品進行宣傳，如所發布廣告存在虛假成分，則構成《刑法》第222條所規定的虛假廣告罪。具體實踐中，由于主播們利潤最大化的逐利心態，虛假廣告犯罪大量存在于各大平臺，使得該類犯罪行為呈現出范圍廣、影響大的特征。

另一種虛假行為體現為流量造假，具體是指商家利用技術手段虛構并夸大實際客戶流量從而達到獲取非法利益的行為。數字經濟以流量作為重要的經營指標，主播們傾向于通過虛構流量從而夸大自身品牌的市場受歡迎程度，以不正當手段獲取更多客源。在技術層面，流量造假的實現方式主要包括Cookie不斷跑量、IP地址更迭及分散所在地以及非法獲取并分析Click來源。參見李謙：《流量造假的刑法治理》，載中華人民共和國最高人民檢察院網站2020年12月21日，https：//www.spp.gov.cn/spp/llyj/202012/t20201221_489489.shtml。大部分主播為個體戶經營模式，也存在相當數量的頭部主播隸屬于大型經紀公司。根據《刑法》第231條的規定，經紀公司通過流量造假行為獲取非法利潤，需承擔單位刑事責任；如果單位旗下的主播構成虛假廣告罪，那么單位的主管人員及相關責任人同樣按虛假廣告罪進行定罪處罰。參見上海中申律師事務所知產/商事部：《直播帶假貨，主播要承擔哪些法律責任？》，載上海中申律師事務所網站2021年1月2日，http：//law-zs.com/news/44.html。

除了虛假宣傳外，由于平臺往往缺乏嚴格的監管規則，產品質量問題也在網絡直播帶貨領域頻頻出現，不僅對平臺和主播的聲譽產生極大的負面影響，而且嚴重損害了消費者的利益。《刑法》第140條規定的生產、銷售偽劣產品罪規定了銷售者可作為該罪的犯罪主體，并且在滿足摻雜、摻假，以假充真，以次充好或者以不合格產品冒充合格產品，以及銷售金額超過5萬元的客觀要件前提下，可能構成本罪。根據《刑法》第214條的規定，依托電商直播平臺銷售“山寨產品”涉嫌構成銷售假冒注冊商標的商品罪。這種類型的銷售模式比傳統的線上或線下銷售模式的傳播速度更快，觀看直播的觀眾缺乏實地驗貨的可能，僅憑對主播的喜愛就下單購買，直播的產品鏈接缺乏必要的核驗信息，加劇了消費者的購物風險。主播號召力越大，其造成的受害者人數也就越多，損害金額也就越大。若違法所得數額巨大或者有其他嚴重情節的，處三年以上七年以下有期徒刑并處罰金。根據《最高人民法院、最高人民檢察院關于辦理侵犯知識產權刑事案件具體應用法律若干問題的解釋》第2條，“數額巨大”即銷售金額超過二十五萬元，頭部主播的銷售活動很容易達到該數額以致面臨嚴重刑責的風險。

2.經營合規（壟斷行為）

目前頭部主播往往通過“全網最低價”的噱頭來吸引消費者，不但造成主播和品牌方的利益糾紛，同時也涉嫌濫用市場支配地位，造成其他小主播以及實體店鋪經營者的客源大量流失，干擾了正常的市場經濟秩序。在“京東平臺自費補貼事件”中，海氏某款烤箱在京東平臺上的價格低于品牌方與主播李佳琦簽約的直播售價，造成品牌方海氏被動違反了與李佳琦簽訂的“底價協議”從而將面臨巨額違約金。所謂“底價協議”，是指主播與品牌方達成的某種價格協議，約定在某一時間段內其他任何銷售渠道的售價都不得低于其直播間價格。“底價協議”看上去使得消費者獲得了優惠價格的產品，但在優惠的背后是頭部主播的“底價協議”本身所帶來的壟斷行為的嫌疑。對于“底價協議”是否構成壟斷，首先需考察其是否違反《中華人民共和國反壟斷法》（簡稱《反壟斷法》）和其他反壟斷相關法律法規，以及是否滿足壟斷行為的相關構成要件；其次需考察“底價協議”是否產生排除或者限制競爭的后果，是否通過價格控制侵害了消費者的合法權益和市場公平競爭。參見顧平安、張強：《直播帶貨的底價協議是否構成壟斷》，載《學習時報》2023年11年24日，第A3版。

2021年《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》第7條第2款提及平臺經營者要求平臺內經營者向其提供等于或優于其他競爭性平臺的交易條件可能構成壟斷。《反壟斷法》雖然將大部分壟斷行為（如濫用市場支配地位）的處罰仍限制在行政處罰的規范框架之內，但也確認了壟斷行為的可罪責化。《反壟斷法》第67條規定：“違反本法規定，構成犯罪的，依法追究刑事責任。”根據法律規定，帶貨主播并未被排除于犯罪主體的范圍之外。目前中國刑法中尚未有關于壟斷行為罪責的條款，后續是否通過刑法修正案予以修改值得關注。將壟斷行為罪責化面臨的問題主要在于：入刑邊界不明確導致難以激活刑事責任條款；對于是否構成反壟斷行為的判斷之專業性與復雜性也將增加刑事責任條款適用的難度。

三、數字經濟刑事合規風險的規制路徑

分析數字經濟刑事合規風險的多維面向之后，需結合目前的企業刑事合規實際，提出切實可行的規制路徑。

從方法論角度，需首先明確規制的基本原則，理清基本邏輯，繼而提出具體的實踐路徑。

（一）數字經濟刑事合規風險規制的基本原則

1.激勵原則

激勵是一種心理學概念，在學術領域中通常被描述為能夠引發特定主體采取某種行動的內在或外在的驅動力。這種驅動力不僅對于個體的行為動機具有關鍵作用，而且在組織或群體層面上，能夠顯著地提升目標導向行為的積極性，從而有助于實現集體或組織的目標。激勵理論是研究領域中專注于探討如何增強人的積極性的一系列學說和理論。這些理論從包括心理學、經濟學、社會學在內的多個角度深入研究了人類行為背后的動機，以及如何通過這些動機來影響和改變人們的行為。

在數字時代，隨著數據成為企業和社會的重要資源，數字刑事合規的重要性也逐漸凸顯。數字刑事合規不僅是一套為了確保員工嚴格遵守與數字資源使用相關的法規和標準而設計的管理策略，還是政府部門為了監督和推動企業依法、合規利用數字資源而采用的一種重要的外部激勵機制。這種機制通過一系列的政策、法規和監管措施，確保企業在使用數字資源時不僅符合法律的規定，還能在道德和社會責任方面達到更高的標準。20世紀末以來，企業合規機制得到了廣泛的實施和應用。作為一種重要的管理工具，合規計劃在其中發揮了核心作用，其不僅為企業提供了一套明確的行為準則和操作規程，還在某些情況下，為違法企業提供了刑事和行政上寬大處理的可能性。寬大處理通常作為一種激勵機制，鼓勵企業自主建立并有效實施合規計劃，從而在法治的軌道上更加規范、透明地開展業務活動。通過這種方式，企業不僅能夠降低自身的法律風險，還能在社會上建立良好的聲譽和信譽，從而為其長期的可持續發展奠定堅實的基礎。

在中國企業積極推進數字合規建設的進程中，激勵理論的指導作用顯得尤為重要，企業應構建一套全面而有效的激勵機制，以推動數字合規的深入實施。具體而言，這一激勵機制應包含三個維度。

一是構建行政寬大處理的激勵機制。在這一機制下，數字合規被視為行政和解的適用條件以及減輕行政處罰的重要依據。這意味著，對于在數字合規方面表現良好的企業，行政部門在處理相關違規行為時可以采取更為寬大和靈活的態度，通過行政和解等方式減輕或免除處罰，從而鼓勵企業更加重視數字合規建設，形成積極的合規文化。

二是建立刑事寬大處理機制。在這一機制下，數字合規被作為不起訴的依據、無罪抗辯或減免刑罰的理由。同時，其也可以作為簽署暫緩起訴協議和撤銷起訴的依據。這一機制的實施，不僅有助于鼓勵企業在面臨刑事風險時積極配合調查和整改，更重要的是，通過將數字合規與刑事責任相掛鉤，提升了企業在數字合規方面的自覺性和主動性。

三是確立國際組織的制裁消除機制。隨著全球經濟一體化的深入發展，中國企業越來越多地參與到國際經濟活動中。在這一背景下，企業數字合規不僅關系到國內法規，還與國際組織的制裁措施密切相關。因此，將企業數字合規視為附條件或無條件減免國際組織制裁的依據，對于激勵企業在國際舞臺上展現良好的合規形象具有重要意義。

還需要注意，上述激勵措施并不一定是程序性的，刑事實體法也可以出于法益等的綜合考量，適度將刑事合規的部分思想吸納到犯罪認定的路徑之中，構建恰當的出罪機制。

2.權利義務相一致原則

權利與義務相一致原則是企業數字刑事合規應當堅持的原則，權利指向的是公民的數字權利，義務指向的是企業的數字義務。首先，法律應當確保公民的基本數字權利得到充分的保障。《中華人民共和國個人信息保護法》第1條開宗明義地指出，其立法目的系“為了保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”，《中華人民共和國民法典》第111條規定自然人的個人信息受法律保護，第1038條要求信息處理者采取技術措施和其他必要措施，確保其收集、存儲的個人信息安全，防止信息泄露、篡改、丟失。從前述規定中可以看出，數字時代背景下的個人信息數據權利為當下法律體系所重點保護的對象。更為重要的是，數據保護相關法律的嚴厲性體現了立法者的態度，即不僅僅是對個人信息安全的一種簡單維護，更深層次上體現了對公民尊嚴和自由的尊重與保護。這種保護機制可以被視為對憲法所賦予的公民基本權利的一種具體保障，其最終的目的在于維護人的尊嚴不受侵犯。因此，保護個人數字信息在現代法律體系中占據了舉足輕重的地位，其不僅是法律對公民基本權利的一種外在保障，更是人格權保護不可或缺的重要組成部分。

與公民的數字權利相對應，企業肩負著全面履行數字義務的重任。這種權利與義務之間的對應關系是現代企業倫理和社會責任理論的基石。企業的數字義務不僅涉及數據的收集、儲存和使用，更關系如何確保這些數據的安全性和合規性，以及如何在利用這些數據推動業務發展的同時尊重和保護相關方的數字權利。在這個框架下，企業數字義務的履行可以被視為公民數字權利得以實現的前提條件。為了確保公民的數字權利（如隱私權、信息安全等）不受企業活動的侵害，企業應始終將履行數字義務作為經營活動的核心指導原則。這意味著，企業在日常運營和決策過程中，對數字義務的遵守和履行應優先于其他商業考慮。這種對數字義務的堅守不僅有助于企業建立良好的社會聲譽和信譽，更是對公民數字權利最直接和最有效的保障。通過這種方式，企業不僅在法律層面履行了其應盡的責任，更在道德和社會責任層面展現了其對社會和公眾的承諾。[HTK]

3.系統性治理原則——以企業內部合規管理體系為重點

刑事合規需要各級行政機關和司法機關的協調配合，同時需重點關注企業層面的合規理念引導以及相應的合規制度設計。從刑事合規理念層面來說，企業核心層（最高管理者）的高度重視具有重要作用，確保構建一套高效的內部合規管理體系，對于促進刑事合規管理的成功具有決定性意義。為達成上述目標，企業應立足于自身內部管理架構的實際情況，精心打造一個由管理層發揮領導作用、全體員工積極參與的數字合規管理體系。具體來說，企業應成立專門的合規管理機構，該機構具備獨立性，其職能與職責需得到明確，確保其資源配置與企業整體戰略和業務需求相匹配。從目前國內企業的法務部門所承擔的職責角度來說，應多落腳在企業勞動合規、商業合作各類協議等書面合同的撰寫及企業與外部單位產生的法律爭端的解決等方面。大部分企業其實并未建立完善的法律風險控制體系，遑論數字經濟刑事合規風險控制體系。換句話說，企業合規從以自律為中心的粗獷合規階段（第一階段），過渡到從20世紀60年代發展起來的基于現代理念的企業合規階段（第二階段），接著步入企業刑事合規階段（第三階段）。第二階段與第三階段有所不同，具體而言：第二階段主要以民法和行政法規制為主，而第三階段以刑法規制為主，這又極大地仰仗相應的法律研究（經濟刑法和單位犯罪的研究）以及相應配套的企業合規激勵制度和與上述相適應的法律制度。參見趙赤：《刑事合規是企業合規發展迭代新樣態》，載《檢察日報》2023年1月19日，第3版。要做好數字經濟的刑事合規，企業自身提高合規意識毫無疑問是非常重要的，不僅需要企業發揮主觀能動性，也需要司法部門進行更多的企業刑事合規普法宣傳作為犯罪預防，并通過對企業（作為受害者或者加害者）的數字經濟刑事犯罪依法進行刑事處罰或行政處罰進行多方位配合。

企業刑事合規的最主要角色就是企業本身，最重要的措施就是及時建立企業內部的合規管理機構，并且在行政層級上保持相對的獨立性，從而更有效地履行其監管和指導職責。該管理機構需注重事前預防和事后預防：在事前預防部分，應提前分析企業運營階段可能產生的各類刑事合規風險，并針對各種風險制定相應的合規制度；同時，企業合規部門也需要做好事后預防，即針對預期即將面臨的合規風險以及已經實現的合規風險。以德國為例，從2024年年初開始，德國政府要求人數達到一定規模的企業需設置內部舉報機構，該機構可以設置在企業內部，也可以任務外包（讓外部公司承擔接收舉報信息的職能），該設置為企業的強制性義務。企業內部舉報機構獨立于其他任何部門并直接對企業主體負責，為企業合規方面的一項重要舉措。德國的企業內部舉報制度主要體現的就是一種事后預防。European Parliament and Council of the European Union，Directive （EU） 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the Protection of Persons Who Report Breaches of Union Law，Official Journal of the European Union（26 November 2019），https：//eur-lex.europa.eu/legal-content/EN/TXT/？uri=CELEX：32019L1937.同時，需注重企業部門與部門之間的協調：合規管理機構與企業內部其他部門建立協同合作關系，這是實現全面有效的合規管理的重要環節。通過強化部門間的溝通、協作與信息共享，形成一個相互支持、相互制約的良性互動機制，進一步提升企業內部合規管理的整體效能。

系統性治理是一種全面且綜合的治理范式，其核心在于以公眾需求為導向，并深度利用信息技術作為實現手段。這種治理方式強調協調、整合與義務等機制的運用，以有效跨越傳統組織間的功能界限，從而實現對多層面、多維度問題的協同治理。政策頒布和法律制定之間存在時間跨度，公私部門協同工作效果不佳，數據犯罪調查取證困難，都顯示了數字經濟刑事合規的困難。這些問題往往導致治理效率低下、資源浪費和公眾滿意度降低。通過系統性的協調與整合，這種治理方式旨在打破原有分散、部分和破碎的治理格局，逐步構建起集中、整體和整合的治理結構。

在數字合規的風險防范過程中，系統性治理還強調利用信息技術的優勢，推動治理由分散向集中、由部分向整體、由破碎向整合的轉變。這種轉變不僅有助于提升治理效率，更能為公眾提供更加全面、高效的整體性服務，從而增強公眾的獲得感和滿意度。從更深層次來看，系統性治理體現了國家治理的包容性和整合性。包容性體現在對多元利益訴求的尊重和平衡，整合性則體現在對碎片化問題的綜合協調和整合。這種治理方式不僅是現代社會治理的重要發展方向，更是國家治理體系和治理能力現代化的關鍵路徑之一。

具體而言，系統性治理理論對數字合規治理的重要意義體現在多個層面。首先，這一理論堅持以公眾需求為導向的治理原則，將民眾對數字安全的迫切期望置于治理的核心位置。這種以人民為中心的理念，確保了治理措施與公眾需求的緊密契合，從而增強了治理的針對性和實效性。其次，系統性治理理論強調通過協調、整合和義務等機制，跨越部門管理邊界進行合作的重要性。這種合作方式從傳統行政主管部門單打獨斗轉變為行政、司法等多元力量的協同配合，實現數字合規的全方位保障。參見賈宇：《數字經濟刑事法治保障研究》，載《社會科學文摘》2023年第6期，第17頁。這種跨部門、跨領域的合作形成的強大治理合力，有助于治理效能的提升。再次，在治理手段方面，系統性治理理論倡導充分利用數字技術和傳統治理手段互相進行有機整合，更好地實現了治理手段的優化配置。這種綜合性的治理手段能夠應對數字時代復雜多變的挑戰，為公眾提供全面、高效的整體性服務。通過數字技術的廣泛應用和不斷創新，結合政策引導、法律規范、服務提供和監督保障等手段的綜合運用，可以構建起一個立體化的數字合規治理網絡，確保數據安全和隱私保護的有效保障。最后，系統性治理理論強調政府和企業在數字合規治理中的積極參與和協同作用。雖然政府部門的監管在數字合規治理中發揮著重要作用，但是外因的作用無法與內因的作用相提并論（內因即企業的自覺性和主動性）。推動企業對數字合規采取更為重視的態度，發揮其內在積極性并由被動轉為主動，是實現可持續性發展的關鍵所在。政府和企業應共同努力，形成緊密的合作關系，共同推動數字合規治理的深入開展。

（二）數字經濟刑事合規風險規制的基本邏輯

1.刑事合規數字平臺建設

在基礎邏輯層面，為實現數字合規風險防控，企業應依據數字合規準則，系統性地加強其平臺構建。此過程涉及對企業數字合規環境的全面認知，以及對關鍵風險因素的精確識別。

宏觀層面上，企業應深入探究其所在國家或地區關于數字管理的法律條文及政策導向，理解并預測其未來發展趨勢。對宏觀法律環境的全面認知有助于企業在制定數字合規策略時，確保與法律法規的一致性，從而避免潛在的法律風險。

中觀層面上，企業應當對其所在行業的數字合規標準進行細致剖析，這涉及對行業內的最佳實踐、行業標準以及競爭對手的數字合規策略的深入了解。通過這種分析方式，企業可以在行業背景下定位自身的數字合規水平，發現并彌補與行業標準的差距。

微觀層面上，企業應全面審視自身的數據利用傾向、業務模式和戰略規劃，確保上述元素與數字合規要求相協調。這意味著企業需要在日常運營中融入數字合規理念，在數據的收集、處理、存儲到使用的全生命周期，都應遵循數字合規的基本原則。

此外，需要明確加強數字合規風險管控的核心業務或崗位范疇。這要求企業對內部運營進行全面梳理，識別出潛在的風險點，并對這些關鍵點實施針對性的風險管理措施。同時，企業應建立有效的風險評估和監控機制，實時跟蹤數字合規風險管控的發展動向，確保在風險事件發生時能夠迅速應對。

2.刑事合規風險監測與預警機制

考慮到數字經濟時代企業的經營活動日益依賴于數據和網絡，企業面臨的合規風險呈現出新的特點和趨勢。對此，在基本邏輯層面上，應當要求企業建立刑事合規風險監測與預警機制，具體而言可以分為刑事合規風險監測機制和預警機制。

首先，刑事合規風險監測機制是企業及時識別和評估合規風險的關鍵。在數字經濟環境下，企業應當構建一套完善的合規風險監測體系，通過定期的數據收集、分析和報告，全面把握企業在數據處理、網絡安全、知識產權保護等方面的合規狀況。同時，監測機制還應關注行業動態和法律法規的變化，確保企業的合規策略始終與外部環境相適應。

其次，預警機制能夠在風險事件發生前提供早期信號，為企業采取預防性措施贏得寶貴時間。通過建立一套科學的預警指標體系，結合先進的數據分析技術，預警機制可以對潛在的刑事合規風險進行實時跟蹤和預測。一旦檢測到異常情況或風險上升趨勢，預警機制應立即啟動應急響應程序，通知相關部門采取必要的風險管控措施。

最后，刑事合規風險監測與預警機制的建立還需要企業在制度、技術和人員等方面進行全面投入。企業應當制定詳細的合規風險管理政策，明確各部門在風險監測和預警中的職責與權限；加強信息系統建設，提高數據處理和分析能力；培養一支具備專業知識和技能的合規管理團隊，確保刑事合規風險監測與預警工作的有效開展。

3.刑事合規風險監督與評估機制

除了刑事合規風險監測與預警機制之外，企業還應當建立刑事合規風險的監督與評估機制，建立風險監督與評估機制的基本邏輯如下。

首先，刑事合規風險監督機制應當獨立于企業的日常運營，具備獨立性和權威性，以確保監督工作的客觀性和公正性。監督機制的主要職責包括對企業合規管理制度的執行情況進行定期或不定期的檢查，發現并糾正合規管理中的漏洞和不足；對涉及刑事合規風險的關鍵業務和崗位進行重點監督，確保嚴格遵守法律法規和企業內部規定。

其次，刑事合規風險評估機制旨在通過對潛在風險進行定量和定性分析，為企業提供決策依據。評估機制應采用科學的風險評估方法和技術，結合企業內部數據和外部信息，對刑事合規風險進行全面、準確的評估。評估結果有助于揭示企業當前面臨的刑事合規風險水平，也可以預測未來可能出現的風險趨勢，為企業制定針對性的風險管理策略提供有力支持。

最后，刑事合規風險監督與評估機制的建立還需要企業在組織架構、制度建設和人員配置等方面進行合理安排。企業應設立專門的合規監督部門或崗位，負責監督機制的日常運作；制定完善的監督與評估制度，明確監督與評估的范圍、程序和標準；加強人員培訓，確保相關人員具備履行監督與評估職責所需的專業知識和技能。

（三）數字經濟刑事合規風險規制的實踐路徑

1.針對數據安全（客體維度）

一是構建并持續優化數據分類分級保護機制。這一機制為企業數據的安全性與合規性提供了保障，并且有助于實現企業可持續發展的長遠戰略。為保障《中華人民共和國數據安全法》第21條“數據分類分級保護”的需求，各地區、各部門需據此調整內部規章制度，詳細制定并不斷完善適用于其管轄范圍及所屬行業、領域的重要數據目錄。參見張勇、李芬靜：《數據安全刑事治理的冗余機制》，載《蘇州大學學報（哲學社會科學版）》2023年第4期，第75頁。這一舉措旨在確保對于數據的精細化管理和有效保護，以應對日益復雜多變的數據安全風險。應根據數據收集和使用的不同階段以及數據的類型，來制定相應的保護機制。在此背景下，數據密集型企業必須嚴格遵守法律法規的各項要求，積極履行企業的社會責任，精確識別并分類企業所持有的各類數據。針對不同類型、不同級別的數據，企業應制定相應的精細化合規管理策略，以確保數據的合規使用、安全存儲和有效流通。可參考的標準有《基礎電信企業重要數據識別指南》（YD/T 3867—2021），《金融數據安全 數據安全分級指南》（JR/T 0197—2020），此外，國家標準《信息安全技術 網絡數據分類分級要求》（GB/T 43697—2024）已發布。

二是確立企業數據合規的核心層負責制以及完善相應數據合規制度。首先，應明確企業的核心層（最高管理者）是數據合規的第一責任人，并應當承擔以下職責：企業內部資源優化配置以建立和完善數據合規管理體系；建立針對數據違規的內部舉報機制；確保企業運營目標與履行數據合規義務之間的一致性；建立問責機制，明確企業內部數據違規行為的紀律處分和后果。參見上海市楊浦區人民法院、

上海市楊浦區人民檢察院：《企業數據合規指引 個人信息保護指引》，載上海市高級人民法院網站2023年7月10日，https：//www.hshfy.sh.cn/css/2023/07/10/202307101440065554805.pdf。具體展開來說，企業的法務部門通常并不具備數據法的專門知識，因此難以獨立地作為數據合規管理部門以提供支持。企業數據方面的實際操作人員其實是企業運營過程中具體到網站和APP的數據收集和使用的運營部門，在具體網站和APP建設方面多采取外包服務，即大部分企業通常并不直接參與具體的網頁和APP設計，而是作為甲方提出需求，所提出的需求和企業的基本業務流程的邏輯保持一致。較為合理的合規管理機構設置應是設立一個專門的數據合規部門，且該部門需協同法務部門和涉及企業數據部分的運營部門。由運營部門整理并提交數據使用和收集的正當、合理依據與方法，交由數據合規管理部門進行審查，數據合規管理部門可采取“公司法務部門+外部數據法專業律師”或者“公司法務部門+公司內部數據合規律師”的方式建立組織架構，并及時建立相應的企業數據安全規章制度。企業應及時設置內部舉報機制，并且保證針對數據違規行為的舉報過程是順暢無阻的。企業也必須對數據合規建立正確的認識，正視合規的激勵作用，同時做到權利義務相一致。企業也需保證在具體的數據違規行為發生后，可根據內部規章制度進行處分，如果行為嚴重至違法犯罪的程度，那么企業需及時向有關部門進行報告并提供相應的材料以配合調查。

通過上述的一系列綜合措施，企業不僅能夠提升自身的數據管理能力，降低數據泄露和濫用等風險，還能夠為行業的健康發展和國家的數字經濟建設作出積極貢獻。

2.針對網絡空間（空間維度）

《信息網絡犯罪司法解釋》的出臺，體現了國家層面重視網絡安全保護的重要司法導向。結合實務數據來看，構成拒不履行信息網絡安全管理義務罪的數量標準并不高：如傳播違法視頻文件200個以上、泄露個人征信信息500條以上或者未留存網絡用戶日志。但以公司為主體進行犯罪，主管人員將面臨受到刑事處罰的風險，這也給企業帶來較高的法律風險，并且造成較大的經濟損失。為實現數字經濟刑事合規的深入建設，應當定期對企業的網絡安全合規狀況進行深入評估，這有助于企業不斷識別并應對各種潛在的安全違規風險，進而維護企業聲譽和保障業務連續性。為實現這一目標，應當加強以下方面。

一是明確企業的網絡安全管理義務。根據《網絡安全法》，網絡運營主體分為一般網絡運營者和關鍵信息基礎設施運營者。針對上述不同的主體，需明確不同的網絡安全管理義務，這也需要每個企業清晰認知自身定位，在此基礎上建立相應的配套制度。

二是針對網絡安全合規管理制度和實施機制的定期審查和評估。這一審查過程應全面而細致，旨在確保企業的網絡安全管理制度能夠與時俱進，與當前的法律法規和政策要求保持高度一致。通過這類審查，企業能夠及時發現并修正制度中的不足或缺陷，從而確保網絡安全管理制度的有效性和適用性；同時，針對網絡安全合規實施機制進行定期評估。這一評估過程應注重實效，通過全面分析合規管理、審計、監察等部門間的協作程度，以揭示可能存在的協調不足或溝通障礙。這樣的評估有助于企業持續優化內部流程，加強部門間的協同合作，進而實現網絡合規管理體系與企業管理體系之間的協同性。這種協同性不僅可以提升企業的整體運營效率，還能夠強化企業的風險應對能力。

三是針對網絡合規管理人員工作績效的定期評估。這也是提升企業網絡安全水平的關鍵環節。通過對管理人員業務能力的持續評估，可以確保他們具備足夠的專業知識和實踐經驗來有效應對網絡安全挑戰。評估應結合定量和定性指標，既考察管理人員的日常工作表現，也要關注他們在應對突發事件或復雜問題時的決策能力和應變能力。通過綜合評估，企業可以及時發現管理人員的不足之處，并提供必要的培訓和支持，以促進他們的專業成長和持續發展。

3.針對數字知識產權（法益維度）

在數字知識產權合規層面，應當完善數字知識產權的管理機制。具體可以從以下幾個方面入手。

首先，應當建立一個全面的數字知識產權合規框架，該框架應包括合規政策、流程、培訓、監控、風險評估和應對機制等多個方面，基于國內外相關法律法規、行業標準以及企業實際情況，確保企業在數字知識產權方面的行為符合法律要求和道德規范。同時，還可以通過定期的法律培訓和合規宣傳，提高全體員工對數字知識產權的重視程度和法律意識，鼓勵員工自覺遵守相關規定，主動防范和抵制侵權行為。

其次，在流程層面上，企業應建立健全數字知識產權申請、保護和管理流程，確保數字知識產權的及時申請、有效保護和合規管理，以此加強對數字知識產權的維權力度，積極應對侵權行為，維護企業的合法權益。企業可以定期對自身的數字知識產權進行風險評估，識別潛在的風險點和侵權行為，建立相關的預警機制，對可能引發侵權糾紛的行為進行及時預警和干預，降低侵權風險。

最后，隨著科技的發展，大數據、人工智能等先進技術為數字知識產權合規管理提供了新的解決方案。企業應積極利用這些技術手段，對海量的數字信息進行高效、準確的處理和分析，提高合規管理的效率和準確性。例如，可以利用大數據技術對侵權行為進行實時監測和追蹤；利用人工智能技術對數字內容進行自動識別和分類，輔助判斷是否存在知識產權侵權行為。

（四）其他配套管理機制建設

1.強化對于數字合規的外部監管

在數字經濟快速發展的時代背景下，數字企業的合規經營問題日益凸顯。為了確保數字企業在日常運營中嚴格遵守數字合規要求，外部行政監管的強化顯得尤為關鍵。這種監管不僅是一項基礎性的工作，更是實現數字企業合規發展的先決條件。從更深遠的意義上說，“嚴格監管實則深層關懷”的理念在數字企業的監管工作中同樣具有高度的適用性。參見齊鵬云：《企業數據合規官的治理邊界及其規范體系》，載《信息資源管理學報》2023年第6期，第93頁。

當前，隨著大數據技術的廣泛應用，相關的行政監管部門在執行對數字企業活動的監管時，面臨著更為復雜和多元的挑戰。對大數據相關技術、設備和服務供應商的風險評估和安全管理工作應當得到加強，同時，大數據產業鏈上的各個環節應得到全面、深入的分析和評估，確保數字企業在使用大數據技術和服務時能夠遵循相應的安全標準和合規要求。

此外，為了促進大數據產業健康、有序發展，應及時建立一套大數據標準體系。該體系涉及的方面包括大數據的基礎、技術、應用和管理等。通過制定和實施統一的大數據標準，可以促進數字企業之間的數據互通和共享，提高數據的利用效率和價值，同時也有助于降低數字企業在數據處理和分析過程中的合規風險。與此同時，監管部門還應加速構建政府信息采集及使用的技術標準，同時涉及采集、存儲、公開、共享、使用、質量保障和安全管理等方面。參見孫佑海：《我國企業數據合規的理論基礎、現實檢視與路徑選擇》，載《貴州大學學報（社會科學版）》2023年第6期，第84頁。這些標準的建立和實施，有助于規范政府信息的使用和管理，確保政府數據在公開共享的同時，也能夠得到有效的保護和管理。

最后，為了確保數字企業能夠嚴格落實數字合規要求，監管部門應通過嚴謹的行政執法，依法追究違法者的法律責任。這要求監管部門建立健全的執法機制，加大對違法行為的查處力度，形成對數字企業的有效威懾和約束。同時，監管部門還應加強與司法機關的協作和配合，確保對違法行為的查處和追究工作能夠依法進行并取得實效。

2.推進數字刑事合規立法

數字合規問題的根本解決之道在于明確的法律支撐。法律作為社會公正的維護者和行為規范的制定者，對于數字合規問題的解決具有不可替代的作用。在當前中國法治建設的背景下，應當根據數字經濟的刑事合規情況對刑法及刑事訴訟法等相關法律法規進行及時的修訂。修訂時應當充分考慮數字化時代的新特點和新挑戰，確保法律條款能夠與時俱進，為企業在數字化進程中的合規行為提供明確的法律依據。

在推進數字經濟刑事合規立法的同時，需完善程序法和實體法，從而實現犯罪預防的企業化以及企業治理的法治化。針對企業犯罪的特殊性，有學者建議在未來立法中將附條件不起訴與認罪認罰從寬制度予以區分，并注意相應立法與其他合規的關聯，具體需注意制度銜接、處罰銜接、規制銜接等方面內容。參見周振杰、李澤華：《以涉案企業合規改革推進刑事立法》，載《檢察日報》2022年6月2日，第3版。筆者建議，針對數字經濟領域的犯罪復雜性以及隱蔽性特征，需考慮其多維度面向即客體維度、空間維度和法益維度的特征，具體問題具體分析，而不囿于對過往傳統類型犯罪的固化理解。

3.促進數字合規的協同治理

在數字合規的建設過程中，數據流動是合規所關注的重點。由于數據本身具有高度的流動性特征，對于數據合規必然需要協同共治。在中國當前的數據應用生態中，數據的利用主要集中在組織內部的管理層面，而在跨部門、跨地域、跨行業的維度上，數據的開放、共享和協同應用尚處于初級階段，存在諸多不足。這一現象限制了數據價值的最大化實現，也阻礙了數據作為重要生產要素在社會經濟發展中的全面釋放。為改變這一現狀，需要從多個層面出發，加強數據的開放、共享和協同合作。要打破“數據孤島”，推動數據在組織間、地域間和行業間的自由流動和高效利用。這要求政府、企業和公眾共同努力，構建一個開放、包容、協同的數據生態環境。

一方面，在企業數據治理方面，應嚴格遵循“共建、共治、共享”原則。這意味著企業不僅要關注自身數據的收集、管理和利用，還要積極參與數據生態系統的共建，推動數據資源的共治和共享。通過構建一個開放性的生態系統，企業可以促進信息公開，提高公眾參與度，從而增強數據的透明度和可信度。此外，為防止個別企業通過獨占數據資源形成數據壟斷，進而危害國家和人民的利益，需要建立有效的監管機制和法律法規。這些機制和法規應確保數據的公平競爭和合理利用，防止數據資源的過度集中和濫用。參見孫佑海：《我國企業數據合規的理論基礎、現實檢視與路徑選擇》，載《貴州大學學報（社會科學版）》2023年第6期，第85頁。

另一方面，需考慮公共數據的治理問題。各級政府機關和司法部門在行使各自職能的過程中收集了海量公共數據，其中也包括企業數據。對數據進行分級分類保護是責任更是義務。依法公開行政及司法程序中涉及的企業數據時，除了考慮社會監督的功能，也需注意公開內容以及公開方式，避免企業單位的數據權利在政府部門的信息公開過程中受到不當侵害。對于需要保密的國家秘密數據，政府部門應嚴格遵守《中華人民共和國保守國家秘密法》等相關法律法規的要求，采取必要的保密措施，旨在確保國家的數據安全和數據權益不受損害，維護國家的核心利益和人民的安全福祉。

四、結語

數字經濟蓬勃興旺，是數字時代發展到一定階段的必然結果，隨之而來的是巨額經濟利潤驅動下數據犯罪的亂象叢生。面對這樣充滿生機但又異常復雜的大時代，需要以一種嚴肅審慎的態度對這些新型數據犯罪進行調查和研究，并且深入考察與之相適應的刑事合規問題。數據權利作為一項重要權利需要受到法律多方面和多層次的保護，因此，應當建立并完善數據安全合規管理制度以及網絡空間合規的監管制度，注意在具體追責方面的行刑銜接問題，進一步推動數據刑事合規方面的立法進程，及時回應數字時代對刑事法律的需要。

Multi-Dimensional Analysis and Regulatory Path of Criminal Compliance Risks in the Digital Economy

Renagu APAER

（School of Law and Politics，Kashi University，Kashi 844000，China）

Abstract：In the context of the digital economy， while online platforms and data elements bring economic value to market entities such as enterprises， they also increase the potential for these entities to face criminal legal risks. Taking the behavior types of enterprises participating in the digital economy as the starting point， this article explores the criminal compliance risks that market entities may face in areas such as network data security， cyberspace security， digital intellectual property rights， as well as other key domains， and elaborates on these risks from the perspectives of object dimension， spatial dimension， and legal interest dimension. In the object dimension of criminal compliance risks related to data security， enterprises face risks of criminal compliance in data collection， data usage， and data management when organizing and applying data resources. In the spatial dimension of criminal compliance risks related to cyberspace security， besides considering the characteristics of criminal acts， criminal composition， and the issue of multiple offenses， attention should also be paid to other dimensions of crime in the digital economy， such as the spatiality of the internet. In the legal interest dimension of criminal compliance risks related to digital intellectual property rights， criminal cases related to intellectual property rights in the digital economy exhibit four main characteristics， including the close combination of intellectual property rights infringement crimes with cybercrimes， digital service software becoming new objects of infringement， most criminal subjects in cases of trade secret infringement being internal employees of enterprises， and insufficient evidence retention capability of infringed enterprises. In addition to the above “general” typological schemes， there are also some types that have a significant impact on the digital economy but are not positioned in an intermediate position and cannot serve as principal offenders of actionable behavior， such as advertising compliance （misconduct） and operational compliance （monopoly behavior）. To enhance enterprises’ ability to deal with criminal compliance risks， practical regulatory paths should be proposed： First， at the theoretical level， enterprise compliance management systems should be constructed， guided by incentive principles， principles of consistency between rights and obligations， and principles of systematic governance. Second， at the basic logical level， a multi-dimensional enterprise digital economy criminal compliance risk prevention should be achieved， through the construction of a criminal compliance digital platform， the strengthening of monitoring and early warning mechanisms， and supervision and evaluation mechanisms. Third， at the practical path level， regarding the object dimension of data security， a data classification and grading protection mechanism should be constructed and continuously optimized， the core responsibility system for enterprise data compliance should be established， and corresponding data compliance regulations should be improved; regarding the spatial dimension of cyberspace， enterprises’ network security obligations should be clarified， and regular reviews and evaluations of network security compliance management systems and implementation mechanisms， as well as periodic evaluations of the work performance of network compliance management personnel， should be conducted; regarding the legal interest dimension of digital intellectual property rights， a comprehensive digital intellectual property rights compliance framework should be established， and enterprises should establish sound processes for digital intellectual property rights application， protection， and management， and actively utilize advanced technologies such as big data and artificial intelligence. Fourth， at the level of supporting management mechanisms， external supervision of digital compliance should be strengthened， digital criminal compliance legislation should be promoted， and collaborative governance of digital compliance should be facilitated. Through the regulatory paths of digital economy criminal compliance risks mentioned above， enterprises can gain advantageous positions in the process of digital economy development.

Key words：digital economy；data crime；criminal compliance；digital compliance

基金項目：新疆維吾爾自治區黨委宣傳部“‘天山英才’培養計劃——新疆文化名家暨‘四個一批’人才”項目；2021年度喀什大學新疆中華民族多元一體格局歷史與文化研究基地課題“中華民族共同體意識的法治凝練與實踐路徑研究”（KSJDC011）

作者簡介：熱娜古·阿帕爾，女，法學博士，喀什大學法政學院副教授、碩士生導師。