以合规建设推动网络犯罪治理 − 《人民论坛》 − 党刊推荐 − 文库 − 宣讲家网

【中图分类号】D92 【文献标识码】A

21世纪以来犯罪发展态势的变化，集中反映了已经到来的信息社会的消极一面。信息网络技术重新定义人们交往乃至生活方式的同时，也促成犯罪发生场域的迁移。线下犯罪尤其是街头犯罪的发案率大大下降，而网络犯罪在过去几年里却急剧增长。《中华人民共和国刑法》规定的483种犯罪中，很多罪行都可以在网络空间实施，一些身体接触型的犯罪也能够借助网络得以实施。据统计，近年来，检察机关办理网络犯罪案件以年均近40%的速度攀升，2020年达到了54%。

可以说，当下网络犯罪是社会稳定最大的“敌人”之一，但如何应对这个“敌人”尚未做到知己知彼。提升网络监控技术及其适用范围似乎是一个选项，但这类技术运用对普通公民隐私等权利会形成较大影响。而且通过技术监控到通过技术发现犯罪之间仍有诸多环节，通过技术监控可以做到实时性，而通过技术发现犯罪则仍具有事后性。在应对网络犯罪仍处于“守势”的情况下，如何摆脱预防和惩治网络犯罪的被动局面，就需要刑事司法改变传统犯罪治理的“发生—反应”模式，而将网络规制与网络经营者的合规建设纳入网络犯罪的预防和追究机制当中，形成以网络经营者合规建设为中心的网络犯罪预防模式，并将对网络经营者的规制和制裁作为促进其积极参与预防网络犯罪的主要法律工具。

网络犯罪治理重点是管控风险

信息网络时代的到来，让人们认识到风险无处不在，风险不可捉摸，一方面已有社会风险通过网络技术得以放大，另一方面新型社会风险不断迭代增加。科学技术本身带有的风险和运用这些技术中存在的风险，在网络经营者那里转换为经营风险；网络空间改变人们的行为习惯，一些处于社会阴暗角落的行为在网络空间得以快速传播，极大冲击了社会传统伦理道德，形成了伦理风险。技术风险、经营风险与伦理风险彼此促进，最终形成治理风险，即给社会治理带来复杂多样、不可预知的风险。风险类型的层出不穷、相互纠缠的走向不可逆转，治理风险的类型也会更为复杂。

网络犯罪是信息网络时代来临的副产品，网络犯罪就是利用、传播、操纵信息的犯罪，从这个角度讲，网络犯罪也可以称为信息犯罪。传统犯罪的网络化，仍表现为“点对点”的犯罪模式，但其交往方式借助网络信息传递手段。典型的网络犯罪，则表现为“点对众”的犯罪模式，表现为一种带有辐射性传播特点的样态。后者危害性的集中表现呈现出通过网络操控信息而带来的虚拟性、广延性（或辐射性）、不可逆转性（或不可恢复性）。这些特点是线下犯罪所不具有的，成为网络犯罪风险的集中表现。虚拟性，是指犯罪手段、犯罪工具乃至犯罪对象的信息化，在物理空间不能独立存在，但却可以在现实世界转化为可实现的利益；广延性或辐射性，是指网络行为一旦实施，就存在被网络空间内其他人所知晓、获取的可能性；不可逆转性或不可恢复性，是指犯罪信息一旦在网络空间散布，这些信息就几乎不能被彻底删除。网络犯罪风险如上特征，为刑事司法所带来的困惑相应地表现为：犯罪人及犯罪行为线索发现困难；犯罪波及面广，影响人数众多；犯罪信息会长久性地存在网络空间，对被害人形成持续性影响，即便犯罪人已被绳之以法。网络犯罪所带来的各种危害较为严峻，这也是当前乃至未来犯罪治理的重点和难点。

网络犯罪治理，就是管控风险，既包括网络犯罪本身带来的风险，也应考虑促成网络犯罪的各种风险，以及这些风险得以形成的机制以及风险得以集聚、扩散的平台。当然，网络犯罪治理，刑事司法只是整个治理链条的一个组成部分，而且是后置的一个组成部分，因此应当更多依靠行政管理和社会力量，其手段不能单纯依靠刑事制裁的威慑。其中，管控促成网络犯罪的风险，就需要对各类网络行为主体进行必要规制。认识到这些风险的复杂性和多样性，并不意味着要绝对遏制风险。这种风险的存在本来就是网络信息技术发展的必然产物；绝对遏制犯罪风险的发生，也就意味着阻断网络信息技术的应用。网络犯罪风险的管控，要做到兴利除弊，应通过规制目标、手段、程序和评估方面进行制度化构建。

网络犯罪预防应明确网络经营者权责，完善规制

充分认识网络犯罪的特点，是构建网络犯罪预防机制的前提。当社会交往方式已经发生根本变化的情况下，采取“零风险”的控制理念显然不切实际。在治理资源有限前提下，对处于末端的、风险实现即危害后果出现的环节的控制，势必要花费政府难以承受的治理成本。简单地说，如果将网络犯罪治理的主要目标放在查清每个风险实现的环节并力求在末端环节查清危害、减少损失的话，政府无法提供实现这一目标的必要资源，更为悲观地说，弄清网络犯罪“黑数”、查清现时的犯罪规模，也是无法实现的。在如此情形下，在网络犯罪预防方面，“舍本逐末”是不现实的，相反，应采取“正本清源”的思路，就是将网络犯罪治理重点放在风险扩散链条的“辐射源”和“枢纽”的规制上。

网络犯罪风险“辐射源”就是各类网络犯罪的实施者，其网络活动依存于各种网络平台、系统。和线下犯罪一样，如果与世隔绝，行为人是无法实施犯罪的；网络犯罪的行为人同样需要能够与他人沟通的渠道和空间，而这就是各种网络平台。线下犯罪的网络实施，也是借助网络平台、系统来实施部分乃至全部的犯罪行为，因而各种类型的网络平台就具有这类犯罪风险传递的“枢纽”作用。显然，对网络犯罪的治理，重点就应放在各类网络经营者的规制上，促使网络经营者在网络犯罪预防方面发挥基础性的、而非辅助性的作用。

之所以强调网络经营者在网络犯罪预防方面的基础性作用，就是因为网络经营者具有控制网络犯罪风险的能力和手段。网络犯罪是一种操控信息的犯罪，而网络经营者是能够及时发现犯罪信息、阻断犯罪信息传播的。网络经营者在网络技术运用方面具有相对于不法分子的明显优势，同时也有足够的资源来解决其“管辖”范围内的犯罪风险的散布和蔓延问题。政府主导的网络监控力量，虽然也有技术上的优势，但其资源的有限性和手段运用的滞后性，决定了其不具有网络经营者的管控优势。不过，现有法律（如《中华人民共和国网络安全法》）并没有赋予网络经营者全面的犯罪预防职能。例如，网络经营者可以甄别并及时撤销网络有害信息，但其偏重于谣言型、淫秽型信息，而对其他类型犯罪信息却缺乏管控机制，如非法融资类信息。从目前看，网络经营者对部分有害信息进行积极干预，主要是应主管部门的要求而为，而法律中并没有给予明确的授权。在犯罪惩治方面，从目前实践看，网络经营者的作用也是事后性、辅助性的，即在有关部门要求下提供有关网络信息。

赋予网络经营者以一般犯罪预防的权责，意味着赋予其一定社会管理职能。在我国，一些国有公司、企业、事业单位会有一定的社会管理职能，如铁路、航空、金融机构等。网络经营者多为非国有单位，赋予其网络犯罪预防的社会管理职能，可能会引发一定争议。不过，从治理的观念出发，社会多元主体参与社会事务的管理，是构建、维护当代社会秩序的一个必然趋势；政府或者国有单位在社会治理当中应发挥主导作用，而非全部作用，因而赋予从事特定领域的市场或社会主体一定的监管职能，对实现治理目标是有益的。当然，这类监管职能的确定和赋予，应有法可依，且在有关主管部门的指导和约束下进行。

网络经营者合规建设是防范网络犯罪风险的关键

网络犯罪的实施，不能脱离网络环境，在很大程度上会借助各类网络平台进行，因而网络犯罪治理的重心也就在对各类网络平台的治理上。在过去十多年里，各类网络平台发展迅速，但对网络平台规制手段及程序等不配套、不及时，导致各种刑事法律风险乃至实害出现。各种网络犯罪活动的发生、蔓延，与网络平台治理存在短板具有明显的关联性。在外在规制不到位的情况下，各类网络经营者的“自治”也十分匮乏，过去一段时间里一些网络公司出现各种腐败现象说明，这些网络经营者内部合规建设存在诸多漏洞。当单位内部治理存在漏洞或自治无效的情况下，其所经营的网络平台很容易被各类不法分子所利用。最近一些网络数据公司及从业人员涉及侵犯公民个人信息、非法利用信息网络、帮助信息网络犯罪活动案件，也与缺乏内部合规机制有关。据统计，2020年，检察机关共起诉非法利用信息网络、帮助信息网络犯罪活动等犯罪1.47万人，依法起诉侵犯公民个人信息犯罪6033人。

加强对网络经营者的外在规制固然重要，但如果将外在规制仅仅理解为日常监督、管理乃至控制，那么无论从治理成本、治理效能看，这种外在规制能够产生的积极效果有限。更为妥当的思路是，将外在规制转化为对这些单位内部治理的构建和完善上，通过外力促使其形成内部的有效机制，提升其在发现并遏制网络犯罪风险的积极性和能力，进言之，就是通过形成一定的外在压力来促使网络经营者形成一套完整、完善的合规制度及机制。以网络诈骗为例，这类犯罪行为的实施高度依赖对个人信息的把控。在一些案件中，不法分子之所以能够展开“精准诈骗”，正是因为其掌握了被害人的个人信息。而对网络诈骗这类网络犯罪的预防，就要大力强化对个人信息的保护，尤其是各类网络经营者应当建立个人信息保护及数据安全合规制度，通过加强内部控制达到防止个人信息泄露而衍生的网络诈骗等各类犯罪。

在预防网络犯罪方面，网络经营者要加强合规建设，重点应从三个方面入手：一是根据法律、行政法规、部门规章、行业规范等构建内部管理制度和机制。不同类型的网络经营者，都应依照《中华人民共和国网络安全法》等法律、《互联网信息服务管理办法》等行政法规、《电信和互联网用户个人信息保护规定》等各类行政规章的规定，构建有关网络经营方面的合规制度及机制，同时也应根据行业、领域特点依据相关法律、行政法规、部门规章等构建相应的合规制度及机制。此外，网络经营者在完善其合规体系中还应充分参考行业规范、行业组织指导性规范的要求。可以说，网络经营者所要遵循的各类规范数量庞大，相应地，其合规建设任务也会比较繁重、复杂。不过只有如此而为，才能够为防范各类法律风险构建坚实的内部屏障。目前不少公司、企业包括一些网络经营者，尤其是中小规模的单位，在合规建设方面缺乏意愿和动力，其理由主要是，一方面认为如此会投入大量企业管理成本且收效难以评估，另一方面会认为合规建设可能会影响其对外竞争力。这种担忧有一定的合理成分，然而疏于内部制度建设，就无法有效防范各类法律风险，无法消除网络经营中的隐患，而法律风险一旦爆发，难免会陷于重大经营困顿、承受巨大经营损失。

二是网络经营者应充分认识各类网络犯罪风险并采取相应的防范措施。网络犯罪的快速蔓延，其表现之一就是网络犯罪的有组织化，并带有明显的产业化特征，在整个犯罪“产业链”中，不法分子处于这一“产业链”的不同环节，其通过网络随机地组合、传递，并由最末端的不法分子实施具体的犯罪行为。面对这种有组织的网络犯罪形式，不同的网络经营者应根据其业务类型采取相应的合规制度设计，要能够及时识别、发现并制止各类风险，进而拆散网络有组织犯罪链条。其中，重点应建立三类防范风险的合规机制：第一，防范个人信息的违规收集、交易和滥用行为。网络犯罪对个人信息的依赖程度非常高，而如果能够建立有效的个人信息保护机制，就可以在很大程度减少网络犯罪的发案率。第二，规范各类网络经济活动，防范新型经济风险。网络经济发展迅速，各种新型网络经济业态也在不断出现，相应地也出现了新型的经济违法犯罪活动。新兴网络经济业态依赖于网络平台发展，因而网络平台经营者应建立相应的审查、纠正机制。第三，防范资金的非法流动。遏制网络犯罪发展，要重点解决资金的非法流动问题。实践中多数网络刑事案件带有谋财、牟利的特点，因而监控资金的非法流动，堵住不法分子的洗钱管道，是网络经营者防范犯罪风险的一个重要工作。当然，这也是一个极为复杂的工作。在网络经营活动中，如何甄别资金的非法流动，也应通过建立全面的审查机制来完成。

三是要建立网络经营者和有关主管部门、金融机构等主体之间的有效合作机制，网络经营者应将这种合作机制纳入到合规建设体系当中。网络犯罪的“网络”特点，决定了单靠网络经营者不可能解决这一犯罪的惩治问题。这就需要形成各方面力量的有机协调和整合。对于网络经营者来讲，这种合作机制的构建，一方面可以将违法犯罪信息及时向相关部门传递，进而及时阻断犯罪继续实施、发现犯罪人或者及时挽回损失；另一方面也可以得到有关主管部门等主体的风险提示，进而完善其自身经营的风险防范机制。之所以要将这种合作机制纳入合规建设体系当中，主要基于三方面考虑：第一，与有关主管部门开展一定范围的合作是网络经营者的法律义务，这类义务应当纳入合规建设体系当中。第二，在合规体系中加入这类内容，可以促使企业内部形成一种自觉，即在防范犯罪方面，应积极与其他相关主体进行合作，进而避免对这类合作的忽视乃至漠视情况的发生。第三，将这类合作机制纳入合规体系，可以将这类机制与其他合规机制相结合，有利于形成对各类犯罪信息的整合，提高犯罪信息的处理效率，而只有信息处理速度提升了，对犯罪风险的防控才可能积极有效。

防范网络犯罪，网络经营者的责任和作用巨大，而建立有效合规体系和机制则是网络经营者履行责任、发挥作用的主要方式。为积极促进网络经营者建立合规体系和机制，对网络经营者施加一定的外力也是必要的，具体而言，对于网络经营者故意或者严重疏忽建立防范犯罪风险合规制度及机制的，应给予其一定的制裁，必要时，应考虑作为刑事犯罪处理。当然，惩罚本身不是目的，惩罚的最终效果是促使网络经营者能够合规经营，改善其经营活动，进而在防范网络犯罪风险方面发挥其应有的作用。

总的来说，网络犯罪的快速发展，改变了人们对犯罪的认知，相应地，也对刑事法制提出新的要求。从国家和社会治理的理念出发，有效发挥网络经营者在防范网络犯罪中的主体性和积极性，是当前刑事法制变革的一个重要课题。网络犯罪的治理，应按照“规制—合规—制裁”的思路构建相应的制度和机制，即将对网络经营者的规制、网络经营者自身的合规建设以及对网络经营者的制裁相结合，一方面要正向引导网络经营者构建网络犯罪风险防范体系，另一方面也要通过必要的外力促使其改变经营策略、改善经营方式，解决犯罪风险防范制度和机制方面的不足和漏洞。

（作者为中国人民大学刑事法律科学研究中心特聘研究员、法学院教授）

【注：本文系2020年度国家社科基金重大项目“健全支持民营经济发展的刑事法治研究”（项目编号：20&ZD198）的成果】

【参考文献】

①时延安：《互联网金融行为的规制与刑事惩罚》，《厦门大学学报（哲学社会科学版）》，2020年第4期。

②杨建顺：《规制行政与行政责任》，《中国法学》，1996年第2期。

③[英]安东尼·奥格斯著、骆梅英译：《规制：法律形式与经济学理论》，北京：中国人民大学出版社，2008年。