喻海松:《民法典》的实施对刑事合规的重要意义

摘   要

刑事合规的概念包含两个层面,即刑事实体法意义上的刑事合规,和刑事诉讼法程序法意义上的刑事合规。从事前合规的角度看待,如果企业在数据获取协议上多加注意,实际可以避免很多所谓未经同意获取数据的问题。2021年1月1日实施的《民法典》对侵犯公民信息案件的办理将会带来至关重要的改观。

感谢会议主办方给了这样一个学习的机会,众所周知,刑事合规业务目前主要由检察机关开展,我经常参会,在探讨刑事合规业务时,我认为有以下三点需要进一步研究:第一,刑事合规到底是什么?第二,为什么要开展刑事合规?第三,如何开展刑事合规?
最高人民法院研究室处长喻海松
第一,刑事合规的概念界定。刑事合规的概念有两个层面,第一是刑事实体法意义上的刑事合规,第二是刑事诉讼法程序法意义上的刑事合规。实体法意义上的刑事合规是事前的刑事合规,程序法意义上的刑事合规是事后的刑事合规。实体法意义上的刑事合规主要是指单位犯罪,需要区分单位与企业员工或企业管理者实施违法犯罪行为。而程序法意义上的刑事合规的适用空间是,利用认罪认罚制度,包括单位都可以成为认罪认罚的主体,经过检察机关的相对不起诉,再经过一段时间改造,验收后合规,可以做出不诉的处理结果,甚至未来推广下去,达到从宽处理、从宽量刑的结果。如果目前整体法律不调整,那刑事合规主要适用于审查起诉环节,但并不是说这个环节跟前面侦查机关和后面的审判审查机关没有关系。个案处理中一个两个案件选择不起诉是可以的,但是作为一项制度,假如前面公安机关费了很大的劲办了一个经济犯罪案件,后来却不起诉了,将来会存在机制协调的问题。未来,如果检查机关除了不捕不诉以外,有提出判处缓刑或者是只诉自然人不诉单位的可能性,那么还会牵扯到审判机关的机制协调问题,所以我觉得现阶段我们讲的刑事合规,特别是刑法与诉讼法老师讲的刑事合规不完全是同一个意义上的刑事合规。
第二,为什么要开展刑事合规?这个问题主要是从事前合规的角度看待,企业防范了一个风险,从事后的角度来看已经构成犯罪了,但是通过合规改造检察机关不捕不诉,企业获得一个事后重生的机会。近几年,我接触了一些网络犯罪,特别是数据犯罪,这些数据企业从三年前开始洗牌。自杭州魔蝎案开始,公安抓捕了很多数据企业,这些企业大多只考虑到企业如何更快地获取更多信息数据,没有考虑到数据获取后的风险,尤其是刑事风险。从事后看,如果一个企业在数据获取协议上多加注意,实际可以避免很多所谓未经同意获取数据的问题。三大互联网巨头BAT,其中一家企业曾表示,自己拥有数据合规团队。但是,经询问,这个团队里没有检察院、公安背景、或是曾经从事刑法的人员。这样的数据合规团队只能保证企业在签定协议时不被人骗,但是无法防范刑事风险。对于民商事风险或行政风险,更多涉及到钱的问题,但是刑事风险的发生不是这样的情况,所以无论是事前合规还是事后合规,刑事合规都非常重要。
第三,刑事合规是什么?刑事合规与民事合规、行政合规不是并行的概念,因为刑事合规关注的是企业可能遇到刑事风险,而不仅仅是经济犯罪。例如,企业实施故意杀人或人身伤害案件,刑事合规是难以撇清的。在面临经济犯罪、网络犯罪等行政犯时,一个重要的问题就是前置法律法规的考察。例如,我国刑法第253条规定了侵犯公民个人信息罪,其中“违反国家有关规定”的相关规定不在刑法中,而是在1月1日实施的《民法典》里面,在《网络安全法》《数据安全法》和《公民个人信息保护法》中寻找,所以2021年1月1日实施的《民法典》对侵犯公民信息案件的办理将会带来至关重要的改观。
1月1日《民法典》实施前,对于侵犯公民个人信息类刑事案件,有两个问题争议较大,一是如何通过恰当的合同获取信息,《民法典》将这个问题阐述得很清楚,获取私密信息必须要经过明确授权,否定了通过打包合同的方式获取私密信息。二是公开信息的问题。个人信息可以在互联网查到,这些信息被打包出售用于付费查询,是否需要经过权利人的二次授权。这是近十年来,侵犯公民个人信息案件最难处理的问题。《民法典》第1036条也做了解释,排除权利人明确拒绝的情况以外,此类信息可以再提供,由于信息已经公开,所以信息获取是合法的。至于提供信息时是否需要二次授权,《民法典》解释只要权利人没有明确拒绝,且提供数据的行为没有严重损害权利人的利益,则不需要经过权利人的二次授权。这都是此前在刑法中找不到答案的问题。
所以我认为,无论将来企业做何种意义上的合规,合规的依据都不是在《民法典》或是刑事诉讼法里面,而是在前置的法律里,这是律师未来需要注意的一个问题。就谈几点学习体会,供大家批评指正,谢谢。
(0)

相关推荐