合規科技在企業整改中的價值與實現路徑

馬明亮

(中國人民公安大學 偵查學院，北京 100038)

一、問題的提出：如何避免合規整改無效？

簡單而直觀地解讀，我國的企業合規可以概括為兩種模式:一是以市場競爭為導向的合規；二是以危機處理為導向的合規。(1)尹云霞、李曉霞:《中國企業合規的動力及實現路徑》，《中國法律評論》2020年第3期，第1頁。兩者可以簡稱為日常合規管理與涉案企業合規(企業合規整改)。涉案企業合規改革第二批試點于2022年3月結束，最高檢在全國檢察機關全面推開。其中的重點是，防止企業以“紙面合規”逃避刑事追責。(2)孟亞旭：《最高檢：涉案企業合規改革將在全國推開》，北青網t.ynet.cn/baijia/32070942.html，2022年2月20日訪問。

要從根本上避免無效合規，防止企業再次出現新的同類型犯罪行為，督促企業依法依規經營，必須深挖成因，即到底有哪些因素制約或影響著合規的有效性？按照實務界人士的普遍看法，有效合規計劃一般由三個要素組成：合規計劃設計的有效性、執行的有效性以及結果的有效性。目前，在合規整改方案的設計方面，實踐中出現兩個方向性誤區：要么“權宜之計”——針對違法犯罪發生的制度原因確立非常具體的糾正措施；要么格式化的“大而無當”——不顧及排查違法犯罪原因和修復相關制度。(3)④參見陳瑞華：《有效合規管理的兩種模式》，《法制與社會發展》2022年第1期，第17-18頁。這背后的一個重要原因在于，人為地割裂日常合規管理與合規整改計劃。因為從初衷來看，兩者并非“水火不容”；恰恰相反，它們在合規管理體系架構與原理上是相通的，都旨在確保企業依法經營，也都具備有效預防犯罪與防止行政違法的能力。(4)參見陳瑞華：《企業有效合規整改的基本思路》，《政法論壇》2022年第1期，第1-2頁。其主要區別為起因不同，前者是企業主動構建合規管理體系，后者是借機督促涉案企業建立有針對性或體系化的合規管理體系，企業是因為涉案被動構建而已。(5)例證如，2004年11月生效的《美國量刑指南》(U.S.Sentencing Guidelines,USSG)第8B2.1條，便將企業腐敗犯罪量刑與企業合規體系相關聯，促使美國公司被動建設合規體系。而且，在企業合規管理體系的建構方面，這兩種模式既可以相互轉化，也可以相互補充和完善。申言之，合規整改不應作為減免行政處罰、刑事制裁的權宜之計，而應當被納入企業的合規管理體系之中，涉案整改企業尚無日常合規管理體系的借機予以構建，已經具備的則借機完善。合規整改應成為企業構建或完善日常合規管理的契機。據此，未來制定企業合規整改計劃應當遵循合規協同發展的思路，秉承合規與風控協同運行的路徑。(6)這在中央企業已經展開。為全面推動中央企業合規管理工作再上新臺階，國資委要求積極探索深化法治框架下法律、合規、風控協同運作的有效路徑，及時總結經驗，完善工作機制。參見《國資委召開中央企業“合規管理強化年”工作部署會，提出全面推動合規工作的五點要求》，https://www.sohu.com/a/508649930_121106832，2022年5月11日訪問。雖然這種方向性的調整從立場上保證了合規設計的合理性，但不能解決問題的全部；因為從企業合規經驗豐富的美國實踐來看，企業合規計劃設計得再精致，在運行過程中仍然難以避免“合規失敗”，還需要從運行的視角加強有效合規的保障機制。

要建立有效的合規計劃，就需要進行專業化的合規風險評估，發現企業的風險點和重點風險領域，并圍繞企業的合規風險來建設有針對性的合規計劃。不能讓合規管理流于形式化和表面化(7)參見陳瑞華：《論企業合規在行政監管機制中的地位》，《上海政法學院學報(法治論叢)》2021年第6期，第4頁。，從我國的實踐來看，企業合規在執行有效性方面的要領在于，如何實現合規監督評估的有效性。其中，將人工智能等數字技術融入企業合規整改的方案意義重大，作為企業治理方式，這不僅與企業數字化轉型的要求相吻合，而且是技術創新發展的必然產物。在數字經濟時代，數據是企業合規的關鍵，構建企業合規人工智能檢察監督平臺，既是預防企業違法犯罪、促進企業合法經營的內在需求，又是技術創新的必然。(8)韓曜旭：《將人工智能引入企業合規 為檢察監督提供技術支撐》，《檢察日報》2021年9月11日，第3版。實踐中也進行了有益探索，比如，江蘇省張家港市檢察院研發合規智能管理平臺，實現合規監督評估第三方組織隨機規范抽取。(9)丁繼華：《應用平臺思維與智能技術 提升合規監督評估效能》，《檢察日報》2021年10月9日，第3版。

目前，學界對數字技術在合規整改中的價值及其運用尚缺乏深入而系統的討論。鑒于此，本文以刑事合規整改為對象思考并嘗試回答如下問題：目前普遍展開的企業數字化轉型對合規整改會帶來哪些影響甚至是挑戰？數字技術融入企業合規如何回應這些新的挑戰？以及，未來如何積極有效并穩妥地推進數字技術的合規應用？最后，從日常合規管理與企業合規整改一體化或協同發展的視角來預判數字技術融入的前景，以及如何規避技術風險，即在充分發揮科技力量的同時還要保障“技術合規”，防止在追求合規的道路上埋下不合規的隱患、出現新的不合規現象。

二、企業數字化轉型對合規整改的影響

2021年3月頒布的《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》，明確要求加快數字經濟建設。事實上，“十三五”以來，數字化管理、平臺化設計、個性化定制、網絡化協同、服務化延伸等融合發展新模式、新業態已然蓬勃發展。在企業的生產經營與管理不斷走向數字化、網絡化、智能化的背景下，作為企業治理方式的企業合規不可能置身事外。

企業合規這一犯罪治理模式自誕生之日就因面臨諸多局限而被詬病(10)關于企業合規刑事司法化潛在風險的詳細討論，參見馬明亮：《作為犯罪治理方式的企業合規》，《政法論壇》2020年第2期，第7-9頁。，而企業的數字化轉型會進一步放大企業合規整改自身的不足與局限，加劇運行中的困難，尤其是與科技密切相關的領域，比如金融服務，隨著網絡金融創新所帶來的海量數據與系統風險使合規監管的復雜程度不斷增加，如果完全依靠“紙上談兵”的文件作業，刑事合規工作就無法有效開展。(11)參見李曉龍：《數字化時代的網絡金融刑事合規》，《南京大學學報(哲學·人文科學·社會科學版)》2021年第5期，第14-15頁?？傮w看來，這種影響主要表現為以下幾個方面。

(一)企業合規整改成本的攀升

從全國情況來看，企業合規改革試點暴露的一個重要問題是合規投入高昂。(12)邱春艷：《最高檢調研組赴江蘇省張家港調研企業合規改革試點》，https://www.spp.gov.cn/tt/202105/t20210516_518255，2022年5月11日訪問。這種高成本有兩方面原因。一是企業合規整改設計的復雜性。合規設計的復雜性，包括企業治理、高管員工行為監控、規章制度調整、組織架構、合規文化、OA系統設計與改造、規則變化監控與應對、持續改進與監督等。在此基礎上，還有外在刺激因素，比如不斷更新的法律法規，使得企業合規內容更為復雜，尤其在特定法規的實施領域。二是合規監管的高成本。即便整改結束，因為還需要持續的監控、管理、風險評估和監管更新，合規投入不會結束。在數字經濟時代，上述兩個高成本因素都被擴大了。首先，企業合規整改設計更加復雜，比如截至2021年底，70多家中央企業在業務部門和一線項目設立合規聯絡員，全系統專兼職合規管理人員超過3萬人。(13)《國資委召開中央企業“合規管理強化年”工作部署會，提出全面推動合規工作的五點要求》，https://www.sohu.com/a/508649930_121106832，2022年5月11日訪問。其次，企業業務的網絡化協同不斷加深，這也促使合規整改從封閉地域整改到跨地域性整改，從單個企業整改向關聯企業共同整改延伸，企業合規整改功能也從個案處理延伸為行業治理。在此背景下，執法機關為了實現有效監管必然設計復雜的運行機制，這些跨地域、跨部門的行業性合規整改，其監管成本遠高于一般的合規整改。

(二)監管部門與合規人員獲取企業數據與信息的困難加劇

在日常合規管理領域中有一個普遍共識，即數據是企業合規的基石。在數字時代，企業合規的一個重要挑戰是數據的匱乏。(14)比如參見，Sally Simpson,White-Collar Crime:A Review of Recent Developments and Promising Directions for Future Research,39 ANN.REV.OF Soc.1(2013).因為企業數據與信息日漸呈現復合性、跨地域性與跨部門性等特點，在人力驅動型的企業整改范式下，監管部門與合規人員很難及時獲得合規材料所需要的全面、真實的數據，尤其是大型跨國企業。這又直接影響合規風險評估的科學性與有效性。因為數字時代的合規風險具有多樣性、聯動性和復雜性等特點，所以風險的實時發現與監測越來越困難。監管部門與合規人員除了依靠經驗對合規風險進行自上而下的全局判斷之外，如果離開大數據和人工智能提供的業務關聯分析和異動分析，就難以識別微觀層面各種業務中的合規風險。

縱觀各類合規建設指南，比如2004年11月生效的《美國量刑指南》、2011年3月英國司法部的《反賄賂法案》與2014年《ISO19600合規管理體系指南》，不難發現風險評估是公認的構成有效合規計劃的核心要素之一，甚至是基礎與首要條件。(15)③張遠煌等：《企業合規全球考察》，北京大學出版社2021年版，第449、184頁。企業合規風險評估的開展必須具備深入性且符合經濟規律。比如在美國，評估合規計劃是否為“紙面計劃”的重要標準是，是否與業務密切相關，是否與公司運營脫節。(16)比如，美國司法部2020年第二次修訂《公司合規計劃評估》，對核心問題中的“有效運作”予以明確，更加關注合規計劃在“企業康復”方面的實效。參見莫麗華：《從摩根大通案看美國〈公司合規計劃評估〉新近發展》，《中國檢察官》2021年第18期，第78頁。在意大利，2004年米蘭法院的一份判決中提出了合規方案是否適格的判斷原則與特征。其中兩個重要因素：一是從實務以及經濟本質的角度闡述，而不是一個純粹法律或官方的角度；二是基于深入的風險分析，以便能夠具體地預防犯罪，同時還制定了正式的決策程序。這都需要完整、準確、及時的商業信息與數據。在我國，作為監管方的第三方機制委員會、第三方組織與作為驗收方的檢察院，審查合規報告材料的真實性與可信性時也離不開相關企業數據與信息支撐。(17)根據《關于建立涉案企業合規第三方監督評估機制的指導意見(試行)》第13、14條的規定。合規材料包括第三方組織合規考察書面報告、涉案企業合規計劃與定期書面報告等。從目前的實踐來看，監管機構與檢察院尚未采用數字技術手段確保企業整改數據的全面、真實可信，如此一來，即便企業提供了虛假材料與信息，檢察院也很難發現。(18)企業作偽證會直接影響整改的有效性。在意大利，由法院對企業合規方案進行司法審查。如果企業向法院作偽證，就會被認定為無效合規計劃。參見張遠煌等：《企業合規全球考察》，北京大學出版社2021年版，第180-185頁。

(三)執法部門“人力組合”的監管方式升級為以信息共享為前提的監管協同

在數字經濟時代，執法部門在企業整改中越來越離不開信息共享與監管協同，尤其是在跨地域、跨部門的企業整改中。從理論上講，信息共享適用于企業整改中的多個場景，除了行政機關與司法機關的“行刑”銜接場景之外，根據《關于建立涉案企業合規第三方監督評估機制的指導意見(試行)》(下文簡稱《指導意見》)的規定，信息共享還將適用于三個場景：一是第三方組織對涉案企業的合規承諾進行調查、評估、監督和考察；二是第三方機制管委會對第三方組織開展日常監督和巡回檢查；三是第三方機制管委會對地方的第三方機制管委會和第三方組織開展日常監督和巡回檢查。

實踐中，針對跨地域的企業合規整改，屢屢出現合規監管的異地合作情況。比如，針對涉案企業注冊地、生產經營地和犯罪地分離的情況，上海、浙江檢察機關依托長三角區域檢察協作平臺，通過個案辦理探索建立企業合規異地協作工作機制，確立了“委托方發起”“受托方協助”“第三方執行”的合規考察異地協作模式。(19)《最高檢發布第二批企業合規典型案例》，https://www.spp.gov.cn/xwfbh/wsfbt/202112/t20211215_538815.shtml#1，2022年5月11日訪問。這種做法在很大程度上可以破解異地社會調查、監督考察、行刑銜接等難題，但由于數據不能同步共享，不僅導致社會調查報告的信息真實性與全面性不足，而且難以形成執法部門之間實質意義的監管協同，結果是成本攀升的同時卻難以保障質效。雖然很多行政執法部門已經將信息化技術用于預防與治理涉企犯罪，比如企業涉稅案件，稅務機關會用“金稅三期系統”來識別與篩查風險，(20)金稅工程是經國務院批準的國家級電子政務工程，是國家電子政務“十二金”工程之一，是稅收管理信息系統工程的總稱。自1994年開始，歷經金稅一期、金稅二期、金稅三期工程建設，為我國稅收工作取得巨大成就和不斷進步做出了重要的貢獻。但遺憾的是，目前并沒有整合到檢察院主導的合規整改機制之中。

(四)企業合規監管中的公開性與商業秘密、個人隱私、數據安全保護之間的矛盾加劇

《數據安全法》《個人信息保護法》強化了數據安全與隱私保護的要求，但目前主要基于“人力驅動”的企業整改模式對此并沒有充分關照。根據《指導意見》第17條的規定，我國的第三方組織及其組成人員在合規考察期內享有基于監督、評估需要的調查權，同時也承擔系列監管義務。比如，不得干擾、影響企業正常生產經營活動，不得泄露履職過程中知悉的國家秘密、商業秘密和個人隱私，其中也包括企業生產經營信息。雖然沒有明確要求第三方組織在調查過程中的公開與透明要求，但實踐中，為了確保程序的公正性，檢察院在整改驗收時往往采用公開聽證的方式，以提升合規的公開性與可視化。雖然目前并沒有發生企業經營信息、商業秘密與個人隱私泄露事件，但如果不在企業合規整改過程中融入現代密碼學技術，潛伏期間的風險將會與日俱增。合規人員可以在不依賴技術的情況下為企業提供合規管理和幫助，但逐漸發現這是一種不可持續的方法。從工作流程管理到風險評估和管理，最終形成報告，其間的數據保護和隱私壓力愈來愈大。(21)Evgeny Likhoded，What opportunities lie ahead for compliance technology in 2020 and beyond，https://e27.co/what-opportunities-lie-ahead-for-compliance-technology-in-2020-and-beyond-20200522/，2022年1月1日訪問。

三、企業整改中的合規科技價值與實現方案

為了應對來自數字經濟時代的挑戰，企業合規整改需要思考如何數字化轉型。接下來，將在深入分析數字技術融入合規整改中的價值的基礎上，探討合理的實現方案。

(一)合規科技的興起

從學理上說，以數據為驅動力，以區塊鏈、云計算、人工智能等技術為依托，以提高合規和監管效率為價值導向，以標準化、數字化、智能化為特征的解決方案，都可以統稱為合規科技。(22)在具體表現形態上，科技運用于監管端稱為監管科技；運用于客戶端稱為合規科技。參見丁晨：《新形勢下的合規科技創新——數據驅動的智能風險分析體系》，《清華金融評論》2019年第6期，第1頁。作為社會治理手段的企業合規，數字技術的融入乃數字經濟時代的必然產物。廣泛的合規技術再設計和集成，可以適用于包括合規整改在內的系列企業業務流程，包括創建統一的合規風險類別，更好的監管風險識別，合規標準的自動化監管，監管變化和應用等。(23)See Ernst & Young,Innovating With Regtech:Turning regulatory Compliance Into A Competitive Advantage(2016),http://www.ey.com/Publication/vwLUAssets/EY-Innovating-with-RegTech/$FILE/EY-Innovating-with-RegTech.pdf，2021年12月19日訪問。從目前我國的現狀來看，合規科技在企業整改中只有零星探索，更多地適用于日常合規管理。具體方式是引入大數據、人工智能等數字化技術對合規風險進行智能化的監控、識別和分析，并對合規實施效果進行實時、可視以及量化的評價，旨在有效幫助企業預防、監測合規風險，實現事后快速響應，推動企業合規數字化轉型。比如醫藥行業的區塊鏈監管平臺，重慶市渝中區于2019年探索并構建了電子處方區塊鏈流轉平臺，不僅可以實現政府對診療過程事前提醒、事中監控、事后追溯的全方位監管，而且實現了電子處方合規流轉，確保用戶隱私和數據安全。(24)《重慶市渝中區電子處方區塊鏈流轉平臺應用落地-鏈客區塊鏈技術開發者社區》，https://www.liankexing.com/notetwo/14853，2022年1月7日訪問。

除此之外，數字技術還適用于公安機關探索的合規預警監管模式——企業的日常合規管理與合規整改的“中間地帶”?；谏鐣卫砼c維護穩定的需要，公安機關在沒有立案的情況下，將地方所有企業可能存在的違法犯罪風險通過數字化方式更為直觀地展現出來，將數據提供給地方政府用于決策，同時要求風險比較高的企業予以整改。比如，某市公安局構建的企業惡意逃廢風險預警防控平臺，初衷是匯聚企業能耗、信貸等反映企業運行情況的數據，通過建模的方式判定企業惡意逃廢債的風險。

(二)合規科技應用于企業合規整改中的價值

如前文所述，企業日常管理合規與企業整改在目標與價值上具有共通性，因此，合規科技在企業整改中發揮作用也是順理成章的事情。

首先，基于合規科技的優勢，執法部門與合規人員可以及時獲取真實、全面的數據，這不僅為企業合規整改做好信息準備，而且能促進監管執法協同。比如，通過神經網絡可以識別來自不同來源的非結構化數據文件中的文本和邏輯模式，用于搜尋和分類記賬過程中的不合規現象。這一過程包括對大量文件進行無監督的培訓，以便找到后來可能與這些過程中的不合規群體相關聯的語義群體。(25)Fabrizio Bon Vecchio,DéboraManke Vieira，Compliance programs and artificial intelligence，Studies in Law:Research Papers，2021,No.1(28).p.66.通過機器學習解決方案則能生成大量數據；利用區塊鏈技術基于共識算法的防篡改功能可以確保數據的真實可靠。(26)關于區塊鏈中的共識算法，詳細討論參見陳曉紅等：《區塊鏈技術及應用發展》，清華大學出版社2020年版，第93-97頁。

其次，合規科技可以賦能企業整改的每個環節，提升整改質效。其一，在風險識別方面，大數據分析等智能技術不僅可以對來自合規、業務和會計流程的海量企業數據，以及來自企業外部的媒體等互聯網數據進行審核，還可以進行推理，在存在不合理模式和/或違反政策的任何地方識別危險信號。認知機器學習可以將其提升到另一個層次，因為系統可以繼續消化這些數據并自我學習，以做出主動預測并提前發出警報。(27)Naveen Bhardwaj，The Role of Smart Technologies in Data-Driven Compliance Programs，https://www.corporatecomplianceinsights.com,2021年12月30日訪問。其二，在風險評估方面，通過數字技術的應用，可以將風險發生、合規失誤、報告事項、審計結果、發生頻率等各種合規流程的數據喂養，以模式、趨勢、圖表和熱點地圖的形式進行解釋和呈現。所有此類分析都可用于風險評估活動，以確定風險及其優先級。其三，在審計與監測方面，如果以檢察院為發起方建立企業合規整改監管聯盟鏈(28)根據參與者的不同，區塊鏈技術可以分為公有鏈、私有鏈和聯盟鏈，關于聯盟鏈結構的詳細討論，參見楊保華、陳昌編：《區塊鏈原理、技術與應用》，機械工業出版社2020年版，第19頁。，那么，涉案企業與監管機構都可以在聯盟中利用區塊鏈中的記錄，如任務創建記錄、數據流轉過程、數據指紋、數據申請和調用方式等，對企業整改整體流程進行高效的監督和審計。其四，在出具定期書面報告方面，企業可以依托大數據指標平臺與智能算法平臺，將海量信息數據結合指標化定義，實現一鍵式快速生成監管報表。同時，通過可視化技術進行數據分析，實現對數據進行可視化、透明化披露。(29)童玲：《大數據與智能驅動的合規平臺實踐》，《金融電子化》2017年第5期，第72頁。這同時也有利于第三方組織對書面報告開展檢查、評估工作。

再次，合規技術因為能夠簡化復雜的合規流程進而提高效率，節省成本。比如，區塊鏈技術能夠跟蹤每一個商品或者信息的完整路徑，這將大大提高審計效率。目前，阿里、騰訊、招商銀行都推出了自己的區塊鏈電子發票系統。這對企業員工而言，因為不用貼發票而提高了工作效率；對稅務系統來說意義更大，核稅會變得更容易，執行成本會變得很低，同時會解決很多偷稅漏稅的問題。(30)《區塊鏈與合規：合規是最直接的區塊鏈落地方向》，https://www.jianshu.com/p/9880c5871f27，2021年8月12日訪問。

除了上述三方面價值之外，合規技術還能發揮諸多場景化功用，比如在解決第三方組織的調查、監管中的公開性與商業秘密、個人隱私保護的矛盾問題方面，“區塊鏈+隱私計算”技術的應用可以緩解甚至消弭該緊張關系。還比如，構建企業合規整改監管聯盟鏈，利用區塊鏈技術的存證溯源功能，從技術路徑防范基于人為因素的監管腐敗問題。

(三)企業整改中的合規科技應用：目標、思路與具體方案

企業整改中的合規科技應用，旨在提升企業數字技術應用、軟件應用、數據管理等數字化能力，其未來的理想藍圖是，第三方機制管委會、第三方組織、企業合規人員乃至檢察官可以通過單擊按鈕監控多個合規流程，儀表板上可以提供所有關鍵指標和數據。實現愿景過程中的底線是確保合規科技的適格性，目前來看，以有效性、兼容性和集成性為主要考量因素為宜。有效性是以技術自身功能為視角的判斷，需要結合合規整改的場景與具體環節來衡量。而兼容性和集成性則是以技術關系為視角的判斷，即任何加入合規技術庫的新工具不僅能夠與其他現有工具集成，而且能夠通過數據喂養保持彼此學習的能力。(31)Naveen Bhardwaj，The Role of Smart Technologies in Data-Driven Compliance Programs，https://www.corporatecomplianceinsights.com,2021年12月30日訪問。

合規科技在企業整改中的部署思路，以整改的內容與需求為指針可以分為兩個：一是針對跨部門、涉及行業的企業整改構建綜合性智能平臺。比如金融服務領域，銀行和監管方可以協同合作構建針對銀行現有審計業務流程的合規平臺，將各項監管政策與合規性要求“翻譯”成數字化監管協議，對接監管平臺的應用程序編程接口，實現監管規則的機器可讀、可執行、可對接。(32)丁晨：《新形勢下的合規科技創新——數據驅動的智能風險分析體系》，《清華金融評論》2019年第6期，第71頁。二是針對“類型化合規體系”構建專門化智能平臺(33)關于類型化合規體系的思維與設想，詳細參見陳瑞華：《企業有效合規整改的基本思路》，《政法論壇》2022年第1期，第88頁。，比如針對涉嫌實施侵犯公民個人信息、幫助信息網絡犯罪活動等犯罪的企業，建立數據保護合規管理信息系統。當然，無論哪類平臺都應當圍繞合規整改的基本要素來制訂合規科技的融入方案，即圍繞業務運營與合規流程展開，設定系統的功能目標及技術類型。

在具體的推進路徑方面需要把握三個要點：第一，推進的原則。應當采用“匹配原則”，即針對大、中、小微各類企業，分類分級地推進企業合規整改的數字化轉型。畢竟合規科技本身又帶來新的合規成本，其實際運行也需要諸多技術條件。從整改企業的角度來講，合規科技的推進應當結合涉案罪名、企業規模、企業IT基礎設施、經營性質、合規整改的要求與復雜程度等綜合判斷，決定是否優先以及采用何種規模的合規科技。比如，大型企業宜采用大規模的合規科技平臺；重點行業比如大數據、金融科技公司、平臺企業、智能科技公司應當重點推進；人力驅動的合規整改面臨困難大、復雜程度高的領域，比如跨地域的合規整改優先適用數據共享平臺。第二，推進的主體。由合規整改的參與主體單獨或聯合構建平臺。按照目前探索的企業合規整改機制，企業、第三方組織、第三方機制管委會與檢察院四方主體參與其中。涉案企業可以構建合規風險自測系統，通過公共法律服務網站平臺入口，借助智能化系統開展企業合規風險自測，獲得風險評估報告和等級評價，提升合規整改的質效；而第三方機制管委會與檢察院可以構建合規智能化系統，對企業或者第三方組織評估提交的合規材料進行分析研判掃描。當然，四方主體也可以聯合構建智能化系統。第三，推進的立法依據。刑事企業合規的順利實施，離不開未來的修法跟進，或者修改《刑事訴訟法》，在其中增加刑事合規特別程序；或者立法機關制定企業合規的專門法律，參與企業合規的各部門可以聯合或單獨發布企業合規規范性文件。(34)參見楊宇冠：《企業合規與刑事訴訟法修改》，《中國刑事法雜志》2021年第6期。無論哪種模式，建議在內容中增加一節“企業合規數字技術應用”，以此提供合規科技推進的法律依據。

四、合規科技的前景與技術規則治理體系

隨著數字經濟時代來臨，如何就法律、合規、風險、內控管理體系進行有效銜接、協調統一，如何進一步整合管理資源，提升管理效能，已經成為企業合規的發展趨勢。比如2020年國資委發布的《關于開展對標世界一流管理提升行動的通知》提出，央企要“構建全面、全員、全過程、全體系的風險防控機制”。2021年10月17日國資委又印發了《關于進一步深化法治央企建設的意見》，明確要求央企“探索建立法律、合規、風險、內控一體化管理平臺”。在此背景下，有必要從日常合規管理與企業合規整改一體化的視角來思考合規科技的前景。

(一)合規科技的發展趨勢

這可以從全球趨勢與我國實踐情況兩個視角來分析。一是，從全球范圍來看，運用數字技術實現合規的數字化與基于算法的大數據匯總，以處理好企業日常管理風險、新技術與合規計劃的關系，已經成為全球近來的一個發展方向。圍繞企業管理風險、新技術與合規關系的諸多討論，已然影響了企業合規的發展走勢，尤其是金融服務領域。事實上，自20世紀80年代以來，有企業就將合規科技用于日常管理之中，比如高盛的風險建模技術。與其他競爭對手不同，高盛的系統將基于復雜的定量風險預測程序的每日趨勢報告納入其監測能力。正是這種準備，盡管高盛在2007年遭受了損失，但其受損程度遠遠低于其同行。(35)Kenneth A.Bamberger,Technologies of Compliance:Risk and Regulation in a Digital Age,88 TEX.L.REV.669 (2010).Vol.88,pp.739-742.已經倒閉的競爭對手很多，如貝爾斯登蒸汽公司、雷曼兄弟公司和美林公司。高盛不僅避免了倒閉的命運，相反，在2009年便獲得了創紀錄的利潤。See William S.Laufer，The Missing Account Of Progressive Corporate Criminal Law，New York University Journal Of Law & Business，Volume 14，Fall 2017，Number 1，89.自2008年全球金融危機以來，將技術創新應用于合規和報告的需求獲得了進一步增長。(36)Douglas W Arner,Jànos Barberis and Ross P Buckey,FinTech,RegTech,and the Reconceptualization of Financial Regulation，(2016) 37 Northwestern Journal of International Law & Business，p.388.目前，企業合規的數字化轉型遠不限于金融服務領域，跨行業、跨部門和跨風險領域的大數據已經系統地聚合、分解和挖掘，比如，作為第三方市場的合規技術產品——GRC軟件、系統和服務(37)GRC(governance,risk,and compliance)，即治理、風險和合規的簡稱。近年來，人工智能和認知科學的技術不斷重塑GRC模型。See William S.Laufer，The Missing Account Of Progressive Corporate Criminal Law，New York University Journal Of Law & Business，Volume 14，Fall 2017，Number 1，89.，僅2009年就增長到了520億美元，而且這一增長勢必呈指數級增長。(38)Kenneth A.Bamberger,Technologies of Compliance:Risk and Regulation in a Digital Age,88 TEX.L.REV.669 (2010).Vol.88,p.669.作為一個跨功能平臺，GRC特別有希望用于實時監測監管變化、最小化操作風險、管理來自供應商和多層供應鏈合作伙伴的風險。(39)William S.Laufer，The Missing Account Of Progressive Corporate Criminal Law，New York University Journal Of Law & Business，Volume 14，Fall 2017，Number 1，90.以至于有論者認為，日益復雜的合規數據分析和企業廣泛的GRC系統將很快取代笨重和陳舊的遺留系統和軟件。(40)William S.Laufer,AVery Special Regulatory Milestone,20 U.Pa.J.Bus.L.396.397(2018).2019年，湯森路透(Thomson Reuters)監管情報第十次年度合規成本報告預測了未來10年合規方面的最大變化，排在首位的是合規活動的自動化，包括增加機器學習和人工智能的使用。(41)Susannah Hammond & Mike Cowan，Cost of Compliance:New decade,new challenges.Thomson Reuters Regulatory Intelligence.https://corporate.thomsonreuters.com/Cost-of-Compliance-2020雖然這主要針對非涉案合規，也是有啟發意義的。

企業合規整改領域也不例外。2020年6月，美國司法部繼2019年之后再次更新了《企業合規機制評估指南》。其中顯著的變化是，改變了檢察官三個基本問題之一的詢問方式，即“合規體系是否得到公司認真且誠實地實施”。因為在此之前，指南要求檢察官審查公司的合規體系是否“得到了有效實施”。而更新后的指南具體闡明了這一問題關鍵，即要求檢察官審查公司的合規體系是否“有足夠的資源和權力來有效運作”。除此之外，合規職能部門能否訪問相關數據十分重要，更新后的指南首次談到合規職能部門如何能夠訪問“相關數據源”，是否能夠及時訪問數據，以及此類訪問是否存在障礙。有論者認為，合規職能部門能否獲得“數據資源和訪問權限”將是確定“合規計劃是否有足夠資源并有權有效運作”的關鍵參數之一。(42)See“Guidance on Evaluation of Corporate Compliance Programs” released in July 2020 by U.S.Department of Justice,p.3.因此，數據分析對于合規計劃來說變得比以往任何時候都重要。

二是，反觀我國可以發現，合規科技在企業日常合規管理的應用越來越普遍，在合規整改中的應用趨勢也日益明顯。這不僅是企業業務數字化轉型背景的必然產物，更關鍵的是有國家在政策、立法層面的頂層支持與實務部門的強力推動。比如，國務院2021年12月印發的《“十四五”數字經濟發展規劃》(國發〔2021〕29號)，要求通過基于大數據、人工智能、區塊鏈等新技術的統計監測和決策分析體系，提升數字經濟治理的精準性、協調性和有效性。在數據安全合規領域，《數據安全法》第16條明確指出：國家鼓勵培育、發展數據開發利用和數據安全產品、產業體系。(43)至于如何研發數據安全產品，很多地方出臺指導意見，比如廣州市國資委印發了《廣州市國資委監管企業數據安全合規管理指南(試行2021年版)》。在實務層面，相關部門強力推進“通過新技術提升企業合規管理效能”的方案。比如，2021年12月3日，國務院國資委召開中央企業“合規管理強化年”工作部署會，將強化合規放到保障企業高質量發展的層面來推動，力爭通過一年時間推動企業合規管理工作再上新臺階。其中的重要舉措是，加大資源投入力度，建立合規管理在線監管系統。(44)《國資委召開中央企業“合規管理強化年”工作部署會，提出全面推動合規工作的五點要求》，https://www.sohu.com/a/508649930_121106832，2022年5月11日訪問。雖然目前合規科技的應用與推進尚處于央企層面與數據合規領域，但作為一種趨勢，本質為企業管理方式的企業合規必然走向數字化的道路。

(二)理性審視合規科技的價值邊界

雖然合規科技在推進企業合規制度發展方面有著重要甚至是不可替代的價值，實踐也證明了這種預期，比如助力企業合規的質效及其社會治理功能的實現(45)目前的典型例證是，金融服務業已經從金融技術、監管技術和保險技術的有效實施中獲益良多。Susannah Hammond & Mike Cowan，Cost of Compliance:New decade,new challenges.Thomson Reuters Regulatory Intelligence.https://corporate.thomsonreuters.com/Cost-of-Compliance-2020.，但我們不能因此陷入技術崇拜主義的錯誤傾向，認為通過合規科技可以解決企業合規中的所有問題，甚至視之為“定海神針”，讓企業合規走向全盤科技化。因為無論是從數字技術內省還是從外部功能實現來看，合規科技有內部價值邊界與外部價值邊界，必須時刻警醒其有所不能；否則，數字技術的融入將帶來更多的負面作用甚至會毀損企業合規的功能。

首先，作為現代科技的組成部分，合規科技能夠發揮的作用有其限度，可以稱之為合規科技價值的內部邊界。這主要因為技術既受自身的制約，又受自然規律的制約。(46)劉同舫：《技術的異化與技術的邊界》，《理論界》2006年第7期，第198-199頁。以人工智能為例，截至目前，人工智能研究已形成了至少幾千種不同的技術路線，其中最成功、影響最大的有兩種：基于模型的暴力法與基于元模型的訓練法，但它們都不能有效應對現實層的不確定性問題(47)陳小平：《人工智能的歷史進步、目標定位和思維演化》，《開放時代》2018年第6期，第32-37頁。，這主要源于兩種方法“以數學原理為基礎的機器思維”的本質。(48)詳細論述參見馬兆遠：《人工智能之不能》，中信出版社2020年版，第187-253頁。作為一種科學的立場，只有知道了人工智能的“不能”，對人工智能的了解才算全面(49)馬兆遠：《正視人工智能的“不能”》，《中國科技報》2020年3月26日，第7版。。對待合規科技的應用轉化也是如此，必須充分考慮技術上的“不能”，不可將全能型合規科技作為一個目標；相反，應當確立具體的場景適用準則，這可以借鑒人工智能的封閉性準則。有論者將現有人工智能技術的能力邊界稱為“封閉性”并提出封閉性準則。如果滿足下列兩條件之一的，該應用場景就具有封閉性，可以通過人工智能技術實現預期目標：(1)存在一個可計算的和語義完全的模型，并且所有提問在該模型的可解范圍內；(2)存在有限確定的元模型,并且代表性數據集也是有限確定的。在此基礎上又提出強封閉性準則，即在滿足強封閉性準則的場景中，現有人工智能技術可以大規模應用，而在不滿足該準則的場景中難以獲得成功應用。(50)陳小平：《封閉性場景：人工智能的產業化路徑》，《文化縱橫》2020年第1期，第37-38頁。

其次，合規科技在企業合規實踐中發揮正向作用，需要外部條件與特定的制度保障，可以稱之為合規科技價值的外部邊界。具體分為兩個層面：一是，企業接受合規科技離不開諸多現實條件。因為數字技術的融入會改變合規模式——從僅僅依賴人力資本轉變為更加數字化的路徑，這會引發一系列新的挑戰，比如對合規人員提出新的要求，他們需要掌握實時技術才能“與時俱進”。監管技術在金融合規領域的應用就是典型，因為監管技術能夠分別處理大量非結構化和結構化數據并使其自動化，合規人員因此將注意力不斷轉移到調查和評估數據上，而且越來越多地成為數據分析師而不是數據收集者。(51)Compliance Officer of the Future：Fusion Compliance Technology，https://www.fusioncompliancetech.com/compliance-officer-of-the-future/2021年1月3日訪問。美國司法部還強調，跨職能部門持續訪問相關數據是合規官的關鍵工作，see Updates and Revisions,Risk Assessment,“Guidance on Evaluation of Corporate Compliance Programs” released in July 2020 by U.S.Department of Justice,p.3.據此，相關企業監管部門或企業協會，應當進一步強化對企業合規人員技術原理與實操的培訓，豐富其知識結構，尤其是樹立其數字技術思維。除此之外，企業接受合規科技還包括其他條件，比如，合規科技平臺尤其是綜合性智能平臺，其目標設定必須能夠解決具體問題而不能過于抽象，企業硬件、軟件基礎設施要與合規科技相匹配，如此，企業才可能接受合規科技。二是，數字技術的應用會衍生系列風險，必須構建技術規則治理體系予以應對。從技術層面來看，科技向來是把“雙刃劍”，它們在釋放紅利的同時，也會衍生出安全風險、合法合規風險、倫理風險等。正如“自反性現代化”的經典命題所揭示出的那般，用以消弭風險的技術手段有時“恰恰是風險生產的誘因”(52)參見許可：《個人信息治理的科技之維》，《東方法學》2021年第5期。，適用于企業合規的技術可能帶來新的不合規現象。因此，未來必須構建技術規則治理體系，以有效地防范合規科技應用所衍生的風險。其核心是建立和完善數字技術的應用審查機制和監管法律體系。中央網絡安全和信息化委員會印發的《“十四五”國家信息化規劃》對此指明了方向，主要包括如下四個方面：(1)技術算法規制。比如GRC技術系統提供了強大的合規工具，但也帶來了真正的危險。它們允許計算機程序員解釋法律；它們掩蓋了政策制定者所關心的危險的不確定性；它們通過“自動化偏見”來扭曲決策，這種偏見將個人利益置于合理判斷之上；它們缺乏透明度，妨礙了監督和問責制。(53)Kenneth A.Bamberger,Technologies of Compliance:Risk and Regulation in a Digital Age,88 TEX.L.REV.669 (2010).Vol.88:669.(2)技術標準制定。與任何有可能影響許多利益相關者的新顛覆性技術一樣，合規科技的發展往往超過法律改革和監管治理的步伐，開發、使用和監督缺乏標準化是一個普遍現象。(3)技術安全評估審查。一般認為，備案制度和安全評估制度是實現敏捷治理目標的良好制度設計。(4)倫理論證。從域外經驗來看，為平衡技術創新和人權保障，人工智能倫理框架的構建必不可少(54)比如2019年4月8日，歐盟委員會發布了《人工智能道德準則》(Ethics Guidelines for Trustworthy AI)，對未來人工智能的發展提出7個要求：受人類監管、技術的穩健性和安全性、隱私和數據管理、透明度、多樣性、非歧視性和公平性、社會和環境福祉以及問責制。，將倫理道德融入包括人工智能在內的合規科技全生命周期，為從事相關活動的自然人、法人和其他相關機構等提供倫理指引乃當代之需。(55)2021年9月25日，國家新一代人工智能治理專業委員會發布了《新一代人工智能倫理規范》的宗旨。而且該規范明確提出了增進人類福祉、促進公平公正、保護隱私安全、確?？煽乜尚?、強化責任擔當、提升倫理素養等6項基本倫理要求，以及特定活動的18項具體倫理要求，這為合規科技發展提供了基本遵循。其間，需要明確人工智能、區塊鏈等關鍵應用法律主體及相關責任。合規科技的使用包含系統錯誤風險、技術責任和問責制的問題。因此，實施帶有這種系統錯誤風險的監管科技和合規解決方案會導致一個關鍵問題，即當發生此類技術故障事件時，尤其是在技術本身不具有法律主體資格的情況下產生大量受害者，那么，誰之過錯或責任？是實施和使用該技術的企業(機構)、創建軟件的監管科技公司、輸入或提供數據的承包商、提供不正確數據的客戶，還是未能監督和識別應負責任的合規官？該答案必然取決于錯誤本身的性質，并且在因果鏈中涉及多方時可能會變得更加復雜。(56)Amy Wang，The Role Of Regtech In Augmenting Regulatory Compliance:Regulating Technology,Accountability And Liability，[2019] UNSWLawJlStuS10.http://classic.austlii.edu.au/au/journals/UNSWLawJlStuS/2019/10.htm,2021年12月3日訪問。

因此，必須審慎地把握合規科技的內部與外部價值邊界，在此基礎上做好應對準備，如此才可以確保數字技術在推進企業合規制度建設中發揮正向功能。

五、結語：“通過設計實現合規”的智能合規時代

在數字經濟時代，企業行為工具不斷數字化，但作為企業治理方式的企業合規整改，存在其工具的數字化程度匹配不足問題并暴露出整改能力的局限性。比如在金融服務領域，算法決策、軟件代理、智能合約等技術工具逐漸成為金融機構標準化基礎架構，但傳統刑事合規所面臨的信息偏差、技術劣勢與監管障礙日趨嚴重。(57)參見李曉龍：《數字化時代的網絡金融刑事合規》，《南京大學學報(哲學·人文科學·社會科學版)》2021年第5期，第13頁。鑒于此，合規整改的工具必須與企業行為工具“平等武裝”，如此才能實現合規計劃的預期效能，也才能確保其在數字時代的敏捷性與廣泛適用性。目前的重點問題是，如何逐步推動以“人力驅動”為主的企業合規整改模式轉向“人力+科技”驅動的模式。合規科技的本質是“通過設計實現合規”，這與數字時代的內在要求相吻合，所以，盡管有著來自公司結構與監管模式的挑戰以及技術合規的風險，但合規科技的發生發達仍然是不可阻擋的趨勢。雖然合規科技在我國目前企業合規整改中的應用寥若晨星，但是，制度改革者、推動者與企業必須以積極的姿態迎接“數據驅動”的智能合規時代，并從技術思維、基礎設施與規則治理等方面做好準備，這是實現合規有效整改的技術保障。