本文作者:徐偉
引言:一通深夜電話
二〇二四年初的某個晚上,將近十點,筆者剛把手頭一份文書發出去,正準備洗漱。手機響了,是A公司的人。電話那頭的聲音壓得很低,只說了一句,“徐律師,人被控制了。”
A公司是一家語音社交直播平臺,當時是筆者團隊服務了很久的合規客戶。筆者第一反應不是震驚,而是本能地問了兩個問題:哪里的警方?人在什么地方?對方的回答讓筆者沉默了幾秒,異地警方,直接進了A公司在本地的辦公區,核心人員被帶到就近的辦案單位訊問。
這是一起典型的、后來被稱為“遠洋捕撈”的案件。辦案機關來自千里之外,罪名指向平臺業務中的概率性互動玩法,核心指控是開設賭場罪。筆者當時握著手機,腦子里飛快地過了一遍這段時間來為A公司做過的每一項合規工作。
訊問開始整整二十四小時之后,現場傳來消息:相關人員全部取保候審,辦案單位開了兩輛大巴車,從本地撤回異地。
這起案件后來又走了將近一年半。最終的結果是全案不起訴,理由是證據不足。A公司恢復了正常經營,核心團隊完整地留了下來。
坦率地說,筆者在這一行做了這些年,見過的案子不算少,但這一個給筆者留下的觸動是最深的。倒不是因為結果,結果固然可喜,而是因為那二十四小時里發生的一切,讓筆者第一次如此直觀地意識到一件事:合規工作的真正價值,不在它被做完的那一天,而在它被調取的那一刻。事前做的那些看起來繁瑣的東西,會議紀要、培訓簽收、封禁留檔、專項打擊公函、整改報告、合規手冊,在日常經營里它們就是成本,就是麻煩,甚至就是“走形式”。但在案發當日的訊問現場,它們是全部的底牌。
這篇文章想聊的就是這件事。從方法論上講,它是關于律師的事前合規流程和技術重點;從立場上講,它是關于在“趨利性執法”和“遠洋捕撈”的情景下,一個刑事律師應當怎么理解合規、怎么做合規、怎么用合規去對抗刑事打擊擴大化對民營企業的誤傷。筆者并不認為A公司的經歷可以被復制,每一起案件都有自己的偶然性。但筆者認為,A公司的這一年半,足以說明一件事:當外部環境不能依靠的時候,企業能自己握住的那點東西,比什么都重要。
一、刑事合規不是“毀滅證據”
這些年接受企業合規咨詢的過程中,筆者遇到過不少這樣的開場白,“徐律師,我們公司最近有點問題,想請您幫忙做個合規。”筆者通常會追問一句:“您說的‘問題’,是已經發生的事,還是擔心將來發生的事?”有些老板會愣一下,然后坦白地說:“就是以前有些事情,怕查起來。”
遇到這種情況,筆者的回答一般都很直接:這不是合規,這是另一件事,筆者不做。
事前刑事合規的真正工作對象,是那些尚未構成犯罪、但可能處于違法或違規灰區的經營行為。合規律師進場之后,要做的是把這些行為識別出來、糾正過來、規范起來,并且把糾正的過程完整地記錄下來。這是合規的正當范圍。對于那些已經構成犯罪的既往行為,如果真的存在,合規工作既不能處理,也不應當處理。
筆者的習慣是,在接下一個合規項目之前,會先花一些時間做一個基本判斷:這家公司是“合法經營但存在違規瑕疵”,還是“核心業務本身就踩在刑事紅線上”。前者是合規的客戶,后者不是,對后者做“合規”,本質上是幫犯罪行為披一件外衣,最終的結果不是保護委托人,而是讓委托人的處境更糟。說得更直白一點,一旦案發,這種“合規”不但不能成為辯護材料,反而會被反過來當作“有組織、有預謀”的加重情節。
這個判斷過程沒有什么教科書式的標準,更多依賴經驗和直覺。管理層對“紅線”的態度是回避還是正視?一個真正想做合規的老板,談話中會主動問“我們哪里做得不夠”;一個想做“洗白”的老板,談話中會反復問“我們以前那些事能不能處理掉”。這兩種問法,筆者一聽就能分辨。
不客氣地講,筆者確實遇見過一些人打著合規旗號幫企業把過去的聊天記錄清掉,把敏感的會議紀要抹掉,讓員工在案發前“統一口徑”,甚至指導財務在賬目上做技術處理。這些操作的共同特征是:都發生在合規階段,都以“規范管理”為名義,但本質上是在處理已經可能構成犯罪的歷史行為。
這不是合規。這是毀滅證據,是偽證,是另一種刑事風險,而且是會把合規律師自己也搭進去的那種刑事風險。
事前合規的正當性來自一個基本前提:委托人的核心業務是合法的,合規工作處理的是合法業務中的瑕疵。這個前提一旦動搖,后面所有的合規工作都會失去意義,不僅失去意義,還會變成辦案機關追訴時的“反向證據”。辦案機關在訊問環節最愛問的一類問題就是:“你們在什么時候、以什么方式處理過這些記錄?”,如果律師在合規階段參與過所謂的“處理”,這個問題就是一個無法回答的陷阱。
二、合規價值在“事后”兌現:A公司案的實證復盤
A公司是一家以語音社交直播為主營業務的互聯網平臺。從產品形態上講,它的核心功能是多人語音聊天房,用戶進入不同主題的房間,通過語音互動建立社交關系,平臺通過用戶打賞禮物、購買互動道具、參與概率性互動玩法等方式獲得收入。這種業務模式在行業里并不罕見,頭部幾家同類平臺的變現邏輯大同小異。
筆者團隊最初介入A公司,是在二〇二三年下半年。筆者在接案之前,照例做了那個“能不能做”的判斷。幾次走訪下來,印象是比較正面的,A公司有自己的內容審核團隊,有第三方風控合作,有完整的用戶協議體系,管理層對合規問題的態度是認真的而不是應付的。它意味著這家公司是抱著“糾違規、固合規”的態度來的,而不是抱著“把問題蓋住”的態度來的。
于是項目就這么啟動了。
接下來的大致六個月里,筆者團隊做的事情可以粗略分成幾條線。
第一條線是前期走訪與制度審查。筆者團隊幾次走訪A公司辦公地,與產品、運營、內容審核、客服、風控、財務等各個部門的負責人分別進行了單獨訪談。訪談的目的不是挑錯,而是把平臺的經營鏈條從頭到尾走一遍,用戶是怎么進來的?充值是怎么完成的?概率玩法的獎池是怎么設計的?主播的收益是怎么結算的?違規是怎么被發現和處置的?客訴又是怎么流轉和回應的?每一個環節都要問到,問完之后再對照書面制度文件看是否一致。筆者的經驗是,很多合規項目的問題不在于書面制度寫得不好,而在于書面制度和實際操作對不上,這種對不上,就是案發當日最致命的漏洞。
審閱的書面材料是一大堆,包括用戶服務協議、隱私協議、充值服務協議、主播入駐協議、公會合作協議、平臺管理規范、內容審核制度、實時巡查制度、用戶舉報處理規范、異常賬號凍結解凍流程、涉嫌電信詐騙案件處置規范,等等。筆者團隊挨個過了一遍,把其中與概率玩法、資金流監管、主播管理相關的部分專門摘出來,形成了一份制度審查備忘錄。
第二條線是產品測試。筆者團隊向A公司申請了測試賬號和一定額度的虛擬道具預算,以普通用戶和主播兩種身份分別進入平臺,親自體驗了幾款主要的概率性互動玩法,抽獎類的、瓜分類的、寶箱類的、兌換類的。測試的目的是搞清楚一個問題:從用戶視角看,這些玩法是否存在“變相賭博”的結構性特征?比如,用戶投入的虛擬幣最終能否轉化為現金?主播收到的禮物能否提現?提現的路徑是否受到平臺的有效管控?不同公會、不同直播間之間的禮物流轉是否存在套現漏洞?
測試持續了大約兩周,筆者團隊出具了一份書面測試報告。報告里既指出了平臺已經做到位的部分,比如用戶端完全沒有提現通道、跨公會禮物無法提現、單日打賞觸發門檻會自動凍結核查等等;也指出了幾個當時仍然存在風險的環節,比如某款瓜分類玩法理論上存在“同公會主播互刷提現”的路徑,某兩名主播在私聊中對用戶提出過“站外回收禮物”的暗示,某些“異形詞”(用戶為躲避機審而使用的變體字)尚未被關鍵詞庫覆蓋。
第三條線是督促整改與留痕。測試報告出具之后,筆者團隊與A公司對接人一起,逐項落實整改。有風險的瓜分類玩法被直接下線;兩名涉嫌引流到站外回收禮物的主播被按封禁規則做了階梯處理,封禁記錄全部留檔;關鍵詞庫做了一次大規模升級,增補了一百多組變體詞和暗示性表達;內容審核團隊的人審排班做了重新安排,夜間高峰時段加派人手。A公司在二〇二三年十一月底至二〇二四年春節期間,自主發起了一場“專項打擊行動”,針對“非法交易”“色情低俗”“誘導抽獎”“誘導引流”四類違規行為集中處置,并以書面公函的形式通知了機審供應商,要求協同加強識別。
第四條線是合規文件的體系化。項目末尾,筆者團隊協助A公司出具了一份完整的《概率游戲法律風險合規整改建議報告》,并在此基礎上推動A公司內部建立了一份《平臺合規手冊》。合規手冊本身不是律師寫的,律師的工作是出框架、提要求,具體內容由A公司各部門填充,最終以公司文件的形式正式發布、簽收、歸檔。由公司自己起草、自己簽署、自己發布的合規手冊,在案發當日出示的時候,才是一份真正意義上的“企業主觀合規意識”的證據。
筆者想說的是:合規在事前是成本,在事后是證據。這句話不新鮮,做合規的律師都聽過。但很多企業的老板,是在被訊問的那一刻才真正聽懂的。A公司相對幸運的一點,是它不需要在被訊問的那一刻才開始懂,它在一年多之前就已經開始做了,而且做得足夠扎實。這份扎實,直接決定了那二十四小時之后“全員取保”的結果,也決定了此后一年半里“證據不足不起訴”的最終走向。
從這個意義上講,A公司案給筆者最大的啟發其實是一個反向的命題:如果A公司在事發前的一年多里什么都沒做,那么二十四小時之后走出去的很可能不是十幾個取保的人,而是兩輛大巴車帶走的十幾個犯罪嫌疑人。這兩種結果之間的距離,不是法律適用的距離,而是合規工作的距離。
三、合規重點之一:可追溯性與架構分離
(一)“可追溯”的三個構成要件
第一個要件是記錄的完整性。所謂完整,指的不是面面俱到,而是每一個具有刑事法意義的決策節點都留下了可供調取的痕跡。哪些節點具有刑事法意義?筆者的經驗判斷是,任何一個在事后可能被辦案機關追問“你們為什么這樣做”或“你們為什么沒有那樣做”的節點,都應當留痕。產品新增一項功能前的合規評審意見、內容審核策略調整的會議紀要、對違規用戶的處置流程記錄、與第三方供應商的往來函件、員工合規培訓的簽到與簽收憑證,留痕的本質,就是為那些尚未發生的問題預先準備好答案。
第二個要件是記錄的可檢索性。僅僅“有記錄”是不夠的。記錄必須是可以被外部審查者按時間線重建。辦案機關最怕的不是記錄多,而是記錄亂。系統里存一部分、紙面上存一部分、郵箱里存一部分、員工個人電腦里存一部分,前后對不上,調取耗時長。這種狀態下,即便平臺客觀上做了很多合規工作,也會因為無法在短時間內組裝成完整證據鏈而陷入被動。
第三個要件是記錄的防篡改性。這一點在理論上最容易被忽視,但在實務中最關鍵。辦案機關在調取合規材料時,會本能地追問一個問題:“這些材料是什么時候形成的?有沒有可能是事發之后補做的?”如果平臺無法提供令人信服的形成時間證明,那么再完整的材料也會被質疑。筆者的經驗是,防篡改性的保證來自幾個看起來樸素的做法:所有重要記錄都應當有時間戳、有跨部門的流轉痕跡、有第三方系統的備份(比如OA系統的審批記錄、企業郵箱的發送記錄、第三方風控平臺的日志)。這些跨系統的交叉印證,是對抗“事后補票”質疑的唯一可靠方式。
(二)組織架構上的決策權分離
這個問題的提出,來自筆者在多起平臺類案件中的一個共同觀察:合規工作的證據價值,在很大程度上取決于決策主體的獨立性。如果一個平臺的產品部門、運營部門、合規部門、風控部門全部向同一位高管匯報,那么所謂的“合規評審”“風險預警”“違規處置”在刑事追訴中的證明力會被大大削弱。
筆者建議,內容審核團隊與產品運營團隊在匯報關系上相互獨立,內容審核團隊直接向風控合規線匯報,而不是掛在產品運營線下面。內容審核團隊的處置決定不是產品運營團隊的從屬決策,而是獨立的合規決策。這意味著辦案機關無法把內容審核團隊對違規行為的處置,簡單地解讀為產品運營團隊的“擺樣子”。
四、合規重點之二:主觀證據固定
可追溯性解決的是“平臺做了什么”的證明問題,這是客觀層面的。但平臺類刑事案件的真正難點不在客觀層面,真正的難點在主觀層面。一個平臺是否構成開設賭場罪共犯、是否構成幫助信息網絡犯罪活動罪、是否構成拒不履行信息網絡安全管理義務罪,幾乎無一例外地要經過“明知”與“放任”的主觀要件審查。合規工作在事后能否真正起作用,最終取決于它對主觀要件的證據貢獻。
(一)平臺類犯罪主觀要件的結構性困境
平臺類犯罪的主觀要件審查,在實務中長期處于一種“推定先行”的狀態。指的是辦案機關在認定平臺“明知”時,往往并不依賴直接證據,而是依賴一系列間接事實的綜合推定:平臺規模大、用戶多、資金流水高、違規現象客觀存在、處置措施在辦案機關看來“不夠徹底”,這些間接事實組合起來,就構成了“你作為平臺不可能不知道”的推定結論。這種推定一旦成立,“明知”要件就被突破,“放任”要件隨之而來,平臺方的辯護空間被大幅壓縮。
這種推定邏輯在法理上并非全無依據,它在一定程度上反映了刑法對網絡犯罪特殊性的回應,也呼應了近年來關于網絡服務提供者注意義務的提升趨勢。但它的危險在于:當推定的門檻被不斷降低,客觀行為的存在就會被直接等同于主觀故意的成立。這實際上是在架空主客觀相統一原則,把一項本應嚴格審查的主觀要件,替換成一個基于企業體量和業務規模的常識判斷。
(二)主觀要件的證據構造
筆者在多個合規項目中形成的一個操作框架,可以用“兩條并行的線”來概括。
第一條線是客觀行為線。這條線的任務是證明平臺做了什么,做了哪些機審、人審、處置、封禁、培訓、上報、函件。這些都是可以被日志、記錄、文檔、第三方系統交叉驗證的客觀事實。前一章討論的可追溯性,主要服務于這條線。
第二條線是主觀意識線。這條線的任務是證明平臺對違法行為的態度,不是“做了什么”,而是“怎么看”。這條線的證據形態與第一條線截然不同。它不依賴執行層面的日志記錄,而依賴決策層面的文本證據:對外發出的立場聲明(如專項打擊行動通知、自律承諾)、對內傳達的管理指令(如全員合規通知、違規零容忍政策)、與監管部門的主動溝通記錄、向第三方供應商發出的協同要求、面向用戶和主播的公開警示。
這兩條線的證據性質有一個關鍵差別,客觀行為線的證據是“事實型證據”,主觀態度線的證據是“表意型證據”。前者回答“發生了什么”,后者回答“你怎么想”。在刑事追訴中,辦案機關可以質疑客觀行為線的“充分性”(做得夠不夠),但很難直接否定主觀態度線的“真實性”(只要文本是事前形成并有第三方留痕的,它就無法被事后推翻)。
這個差別的實務意義是:主觀態度線的證據,對抗“推定明知”的能力遠強于客觀行為線的證據。辦案機關可以說“你做得不夠”,但他們很難說“你明知還主動對外發函打擊自己”,這在邏輯上是自相矛盾的。
筆者的經驗是,多數合規項目在設計階段過分關注第一條線,對第二條線的重視嚴重不足。原因可能在于,客觀行為線的工作對律師和合規人員來說是“看得見摸得著”的,而主觀態度線的工作看起來更像“做做樣子”。這種理解是錯誤的。在平臺類刑事案件中,主觀態度線的證據常常比客觀行為線的證據更具反制價值。一份真誠的立場聲明勝過一千條執行日志,前提是它在事前形成、有第三方留痕、并且與平臺的實際行動不存在明顯背離。
(三)“已盡必要努力”的證明構造
合規工作在事后要證明的,不是“平臺沒有違規行為發生”,而是“平臺在違規行為發生時已經盡到了法律框架內的必要努力”。
平臺類企業在用戶規模達到一定程度之后,“完全杜絕違規行為”本身就是一個不可能完成的任務。任何一個日活用戶過百萬的平臺,都必然會存在少量違規行為,這是由平臺業務的統計特征決定的,不是由平臺的主觀意愿決定的。因此,任何試圖證明“平臺上沒有發生過違規”的辯護思路都是注定失敗的。辦案機關只要找到一例違規,這種辯護就會崩盤。
正確的辯護應當是,承認違規行為客觀存在,但證明平臺已經盡到了必要努力。刑事歸責的前提不是“行為人保證結果不發生”,而是“行為人在其能力范圍內采取了合理的避免措施”。當平臺能夠證明它的合規體系、處置機制、資源投入都達到了行業一般標準乃至高于一般標準時,即便仍有違規行為漏網,也不能據此認定平臺主觀上存在放任故意。合規證據必須足以支撐“已盡必要努力”的判斷。這個支撐有三個維度。
第一個維度是充分性。平臺采取的措施是否覆蓋了主要的風險點?是否存在明顯的遺漏或盲區?這個維度的證據來自合規審查的完整性,律師團隊在事前是否對平臺業務做過系統性的風險排查,排查的結論是否形成了書面文件,書面文件是否被逐項落實。
第二個維度是及時性。平臺在發現違規跡象后的反應速度如何?從發現到處置、從處置到整改、從整改到留痕,中間的時間間隔是否合理?這個維度的證據來自日常運營中的處置記錄,每一起違規事件的發現時間、處置時間、處置人員、處置結果、后續跟進情況。
第三個維度是比例性。平臺投入的合規資源與業務規模是否匹配?審核團隊的人員數量、技術系統的投入水平、培訓頻次、管理層關注度,這些是否與平臺的體量相稱?這個維度的證據來自人員編制、技術投入和財務支出記錄。
A公司在這三個維度上的證據都是相對完整的。合規審查的完整性由那份《概率游戲法律風險合規整改建議報告》承載;及時性由相關玩法的下線時間、涉事主播的封禁時間、關鍵詞庫的升級時間共同構成;比例性則由內容審核團隊的人員配置、機審供應商的協同投入、合規培訓的頻次記錄共同構成。這三組證據相互印證,共同支撐了“已盡必要努力”的判斷。
“你們為什么沒有完全阻止違規行為發生?”,本質上是一個帶有陷阱性質的問題。它的陷阱在于:它預設了一個不可能達到的標準,然后用這個標準來衡量平臺的合規表現。任何平臺都無法回答這個問題本身。
(四)合規證據的反向主觀風險
筆者并不認為合規工作能夠百分之百擋下所有追訴。在一些辦案機關推定邏輯過強的場合,甚至合規材料本身會被倒過來使用。這種情況在實務中并非孤例,筆者親歷過。
辦案機關拿到合規材料之后,不是用來證明平臺“已盡必要努力”,而是用來證明平臺“早已知曉風險”。“你們既然做了這么完整的合規審查,你們就應當對風險有充分認識;既然對風險有充分認識,還允許違規行為繼續存在,那就是‘明知+放任’。”,這種推理看似形式上是成立的,但實質上則是把“認識到風險”等同于“放任風險實現”。
但是“明知風險存在”不等于“明知違法行為正在發生”,更不等于“放任違法結果出現”。這三個“明知”在刑法上是完全不同的概念,對應著完全不同的主觀要件強度。一個平臺“明知自己的業務模式存在潛在風險”,這是一種一般性的風險認識;它與“明知某一具體違法行為正在發生”之間,隔著一道需要通過具體證據跨越的鴻溝。辦案機關如果不能提供跨越這道鴻溝的具體證據,就不能僅憑合規材料的存在來完成“明知”的證明。
合規證據的反向風險是真實存在的,但它不是不能應對的。應對的前提是律師對理論有著較為充分的掌握,能夠在現場清晰地把概念層次區分開來。一個只懂合規流程、不懂刑法教義的“合規律師”,在這種反向推理面前是無力的。
五、必須厘清的三條邊界:違規、違法與犯罪
筆者并不想把這篇文章寫成一篇情緒化的批評文字。對辦案機關的反思應當建立在法理基礎上,而不是建立在對個案結果的不滿上。筆者也不打算回避問題,作為一名在一線代理過多起平臺類案件的刑事律師,如果連對辦案實踐中的某些傾向都不敢直言,那這篇文章就失去了寫作的意義。
(一)三條邊界在理論上是清楚的
違規,本文特指的是違反行業規章、平臺內部規則或管理性規定,承擔的是內部紀律責任或行業自律層面的后果。平臺上的一個主播違反了社區公約,平臺對其采取封禁處理;一個公會違反了合作協議,平臺解除合作,這些都是違規層面的事。它們是平臺日常經營的一部分,是平臺行使自治權的體現。
違法,指的是違反法律的強制性規定,可能承擔的是行政責任。一個平臺如果違反了《網絡安全法》關于數據保護的具體規定,它可能面臨行政處罰、限期整改甚至停止運營的行政后果;但只要沒有達到刑事追訴的標準,這就是一個行政法層面的問題。
犯罪,指的是符合刑法構成要件的行為,承擔的是刑事責任。它的認定必須同時滿足客觀要件和主觀要件,必須經過嚴格的證據審查,必須遵循罪刑法定原則。
這三個層次在理論上是彼此獨立的,違法不必然構成犯罪,違規更不必然構成違法,而犯罪必須同時跨越前兩道門檻并滿足刑法構成要件。
(二)破壞邊界的幾種典型形態
最常見的一種形態,是把平臺上“存在違規行為”的事實,直接推導為“平臺涉嫌犯罪”的結論。這種推導的典型路徑是:辦案機關通過調查或舉報發現平臺上存在某類違規用戶或違規內容,據此認定該平臺“為違法犯罪活動提供幫助”,進而指控平臺涉嫌開設賭場罪共犯、幫助信息網絡犯罪活動罪或非法利用信息網絡罪。在這個推導過程中,從“用戶違規存在”到“平臺構成犯罪”之間的所有中間環節,包括平臺是否知曉、是否處置、是否已盡必要努力、主觀上是否具有放任故意,統統被跳過或簡化處理。
第二種形態稍微隱蔽一些,把平臺“已經發現并處置違規”的事實,反向解讀為“平臺明知違規”。它與第一種形態的差別在于:第一種形態是破壞“違規”與“犯罪”的邊界,第二種形態是破壞“合規作為”與“犯罪故意”的邊界。兩種破壞的方向相反,但殊途同歸,最終都導向對平臺的刑事追訴。
還有一種,把平臺“未能完全杜絕違規”的客觀事實,等同于“平臺放任違規發生”的主觀故意。這種破壞在平臺類案件中出現得非常頻繁。它的問題在于混淆了兩個完全不同的概念:一個是“能力邊界”,另一個是“心態取向”。
(三)辦案人員的專業性有待提升
在近年來的“遠洋捕撈”案件中,辦案機關對互聯網經營行為的理解,相當一部分還停留很久之前的水平。對概率性互動玩法、虛擬道具、用戶打賞、公會分成、主播生態這些商業模式的定性,常常脫離行業常識,直接機械適用法律。一個在行業里運行多年、已經形成相對成熟合規實踐的業務模式,在某些辦案機關眼里可能仍然被視為“新型犯罪手段”。
這種認知滯后帶來的直接后果是,本應在行業層面或監管層面解決的問題,被提前上升到了刑事追訴層面。打賞模式的規范問題、概率玩法的披露問題、主播生態的治理問題,這些都是可以通過行政監管、行業自律、平臺自治來處理的問題,它們不一定都需要刑法介入。但當辦案機關對行業缺乏了解時,他們傾向于用自己最熟悉的工具,刑法,來處理所有問題。這就像一個只有錘子的人,看什么都是釘子。
這種傾向對整個互聯網行業的預期是極具破壞性的。當企業家對正常經營行為的合法性都心存疑慮,當每一次產品迭代都要擔心是否會被事后認定為犯罪手段,當每一筆正常收入都要考慮是否會被追繳,行業創新的動力就會被從根本上削弱。
筆者不認為這種狀況是可持續的。事實上,近年來中央層面已經多次釋放信號,要求防止刑事打擊擴大化、規范異地執法、保護民營企業合法權益。這些信號是正面的,但從中央精神到一線辦案的傳導,需要時間,也需要具體案例的推動。像A公司這樣經過一年半最終獲得不起訴的案件,在一定程度上也是這種政策信號在具體案件中的體現。但依靠單個案件來推動整體改觀,成本太高、耗時太長,無論是對企業還是對律師,都是巨大的消耗。
六、對平臺類企業“法外注意義務”的反思
(一)注意義務的邊界
平臺作為網絡服務提供者,其注意義務在現行法律體系中是有明確來源的。從《網絡安全法》到《數據安全法》《個人信息保護法》,從《互聯網信息服務管理辦法》到具體的行業監管文件,這些規范文本對平臺的注意義務做了相對清晰的分層規定,內容安全義務、數據安全義務、用戶權益保護義務、協助執法義務,以及在特定業務領域內的專項合規義務(如未成年人保護、反電信網絡詐騙、反洗錢協助等)。
但在筆者近幾年接觸的平臺類案件中,這個審查順序經常被顛倒。辦案機關傾向于先跳到一般注意義務的層面,從“平臺應當知道”“平臺應當發現”“平臺應當制止”這些一般性判斷出發,直接推導出平臺的責任成立;然后再用這個推導出來的責任去反向質疑平臺的法定義務履行是否“充分”。這個順序一旦顛倒,平臺就失去了用規范文本為自己辯護的空間,因為它面對的不再是具體條文,而是一種無法被具體條文所抗辯的“應然判斷”。
(二)“法外注意義務”擴張的幾種表現
筆者在實務中觀察到的“法外注意義務”擴張,大致有這樣幾種表現。
比較常見的一種是以企業體量為標尺來加重注意義務。這種做法的邏輯是,你的用戶規模這么大、資金流水這么高、影響范圍這么廣,你就“理應”承擔更多義務、“理應”投入更多資源、“理應”發現更多問題。這個邏輯在道德上似乎說得通,在法律上則是站不住腳的。注意義務的來源是法律規范,不是企業的體量。一家平臺的法定義務邊界,不會因為它的用戶從一百萬增長到一千萬而自動擴張,規模的增長可以觸發新的監管要求,但這種觸發必須通過修訂法律或出臺新規的方式完成,不能由辦案機關在具體案件中臨時決定。
不客氣地講,這種“體量決定義務”的邏輯,在刑法上是一種相當危險的傾向。它實質上是在用后果主義取代規范主義,以結果的嚴重性來反推義務的廣度,以受影響的人數來反推責任的強度。這種反推會嚴重侵蝕罪刑法定原則。刑法上的注意義務邊界,只能由法律明文規定,不能由案件后果臨時撐大。
另一種常見的表現是以監管空白為借口填充刑事義務。這種做法發生在新型業務領域,某類業務在行政監管層面尚未出臺具體規范,或者規范正在制定但尚未生效。在這種空白狀態下,辦案機關會以“不能讓這類業務失去監管”為由,直接用刑法條文來填補監管的空白,把一個本應由行政監管處理的問題提前上升到刑事追訴。
這種填補在短期內看似有效,但它的代價是巨大的,它顛倒了刑法與行政法的位階關系。按照現代法治國家的一般原則,行政監管是第一道防線,刑法是最后一道防線。一個行為首先要經過行政法的規范評價,在行政手段無力應對或者行為嚴重到超出行政法評價能力時,才能上升到刑事層面。當刑法被用來填補行政監管的空白時,這個位階被打破了,刑法從最后防線變成了第一反應,這既違背了刑法的謙抑性原則,也讓行政監管的發展失去了動力。
還有一種更隱蔽的表現,以“最高注意義務”來衡量所有平臺。這種做法是把行業內個別企業的最優實踐,作為衡量所有平臺的標準。例如某家頭部平臺投入了極為充沛的資源做內容審核,審核響應時間達到行業頂尖水平;辦案機關在評價另一家規模較小的平臺時,會以頭部平臺的標準來要求它,認為它“本可以做得更好”。這種橫向比較在表面上顯得公平,在實質上是不公平的,它忽視了不同平臺的資源差異、技術差異、業務階段差異,把一個動態的、相對的合規水平評價,扭曲成了一個靜態的、絕對的義務門檻。
這三種表現的共同特征是,都在不修改法律的前提下,實質性地提高了平臺的刑事注意義務的水平。這種提高不僅是實質性的“造法”行為,更嚴重違背了罪刑法定原則中的禁止溯及既往要求。
(三)“你們本可以做得更多”
無論平臺已經采取了多少合規措施,辦案機關總是可以指出“還有些地方可以再完善”;無論平臺投入了多少合規資源,辦案機關總是可以質疑“投入的力度是否足夠”;無論平臺的處置機制有多嚴密,辦案機關總是可以追問“為什么這一個具體的違規還是漏掉了”。
一個在任何情況下都成立的追問,在法律上等于沒有追問,它無法作為入罪的依據,因為它無法被證偽。把一個無法被證偽的命題作為歸責基礎,本質上是在把平臺置于一種“不可能自證清白”的狀態。這種狀態下的刑事追訴,已經不再是規范意義上的刑事追訴,而更接近于一種單方面的定性。
結語:合規不是萬能藥,但它是民營企業唯一能自己握住的盾
平臺類刑事合規正在成為一個獨立的專業領域。它既不同于傳統的企業合規,也不同于傳統的刑事辯護,它要求從業者同時具備這兩種思維。這個專業領域的核心能力,不是在某一個具體問題上做出精巧的判斷,而是在事前、事中、事后三個階段形成一個貫通的工作方法。事前能把合規證據構造起來,事中能在訊問現場支撐住應對,事后能在漫長的偵查和審查過程中持續爭取空間,這三個階段缺一不可。
合規工作的真正考驗不在合規階段,而在事后兌現。一個合規項目做得好不好,在結項的那一天看不出來;它要等到某一天,也許是某一個深夜,案發的時候才能看得出來。這對律師的要求是,在合規階段就必須按照“事后被調取”的標準來設計每一項工作。這個標準比“看起來完整”的標準高得多。筆者在這篇文章里反復強調的可追溯性、主客觀相分離、已盡必要努力,這些都是在回答同一個問題:當那一天真的到來時,律師留下的那些材料,能不能替當事人說話?
企業的體量越大,合規的緊迫性就越強,而不是相反。很多創業者有一種樸素的想法,“等公司做大了再規范”。這個想法在平臺類業務里是危險的。平臺類業務有一個特點:規模越大,行為越透明,被注意到的概率就越高。在用戶量還小的時候,問題可能還在行業內部消化;一旦用戶量上了一個數量級,任何一點違規都會被放大,任何一點瑕疵都會成為追訴的起點。筆者見過的大多數平臺類案件,被立案的時間點都不是企業最困難的時候,而恰恰是企業開始有點起色的時候。這是一個規律,不是巧合。
在當前的執法環境下,企業能自己把握的東西很少,合規是其中最重要的一樣。外部環境不可控,中央政策信號可能需要時間才能傳導到一線,辦案機關的認知水平參差不齊,異地執法的風險無法完全排除,行業監管的走向充滿不確定性。面對這些不可控因素,企業能做的不是去影響它們,而是把自己能控制的那部分做到極致。
A公司案的最終結果是“證據不足不起訴”。在本文里把它作為一個案例來討論,不是為了給自己樹碑立傳,而是為了從一個具體案例里抽出一些可能對同行有用的思考。筆者也無意把A公司描繪成合規典范。完美的合規是不存在的,值得追求的是一個能經受真實追訴考驗的合規。這是一個比“完美”低得多、但比“走過場”高得多的標準。
以上幾點,是筆者從一個具體案件里得到的一點粗淺體會。這個問題以后還會有新的情況出現,有些判斷可能會被新的案例修正,有些方法論可能會隨著政策的變化而調整。就先說到這里。
![]()
徐偉,北京市京都律師事務所合伙人,專注“數字刑辯”,即網絡犯罪、虛擬貨幣、數據與金融科技類等與犯罪辯護,并長期辦理疑難復雜刑事案件與經濟犯罪案件,著有《網絡犯罪案例研究》。徐偉律師系北京律協優秀辯護律師、北京青年刑辯法庭大賽冠軍,現任北京市律師協會智庫委員、重大復雜案件研究組成員、最高人民檢察院刑事申訴律師庫律師、法治日報專家庫專家、律商聯訊合作專家作者,并擔任北京市京都律師事務所刑事專業委員會網絡犯罪研究組組長、京都金融證券犯罪研究中心秘書長。徐偉律師業務覆蓋稅務犯罪、金融犯罪、走私犯罪、企業高管職務犯罪、重大食品藥品犯罪及刑事資產定性、涉案財產處置等領域,所代理案件曾入選最高檢典型案例、被寫入最高檢官方報告,并入圍“全國十大無罪辯護經典案例”評選。
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.