办案手记|徐伟律师:事前合规的价值从一起刑事案件看合规在“远洋

徐伟

二〇二四年初的某个晚上,将近十点,笔者刚把手头一份文书发出去,正准备洗漱。手机响了,是A公司的人。电话那头的声音压得很低,只说了一句，“徐律师,人被控制了。”

A公司是一家语音社交直播平台,当时是笔者团队服务了很久的合规客户。笔者第一反应不是震惊,而是本能地问了两个问题:哪里的警方?人在什么地方?对方的回答让笔者沉默了几秒，异地警方,直接进了A公司在本地的办公区,核心人员被带到就近的办案单位讯问。

这是一起典型的、后来被称为“远洋捕捞”的案件。办案机关来自千里之外,罪名指向平台业务中的概率性互动玩法,核心指控是开设赌场罪。笔者当时握着手机，脑子里飞快地过了一遍这段时间来为A公司做过的每一项合规工作。

讯问开始整整二十四小时之后,现场传来消息:相关人员全部取保候审,办案单位开了两辆大巴车,从本地撤回异地。

这起案件后来又走了将近一年半。最终的结果是全案不起诉,理由是证据不足。A公司恢复了正常经营,核心团队完整地留了下来。

坦率地说,笔者在这一行做了这些年,见过的案子不算少,但这一个给笔者留下的触动是最深的。倒不是因为结果，结果固然可喜，而是因为那二十四小时里发生的一切,让笔者第一次如此直观地意识到一件事:合规工作的真正价值,不在它被做完的那一天,而在它被调取的那一刻。事前做的那些看起来繁琐的东西，会议纪要、培训签收、封禁留档、专项打击公函、整改报告、合规手册，在日常经营里它们就是成本,就是麻烦,甚至就是“走形式”。但在案发当日的讯问现场,它们是全部的底牌。

这篇文章想聊的就是这件事。从方法论上讲,它是关于律师的事前合规流程和技术重点;从立场上讲,它是关于在“趋利性执法”和“远洋捕捞”的情景下,一个刑事律师应当怎么理解合规、怎么做合规、怎么用合规去对抗刑事打击扩大化对民营企业的误伤。笔者并不认为A公司的经历可以被复制，每一起案件都有自己的偶然性。但笔者认为,A公司的这一年半,足以说明一件事:当外部环境不能依靠的时候,企业能自己握住的那点东西,比什么都重要。

这些年接受企业合规咨询的过程中,笔者遇到过不少这样的开场白，“徐律师,我们公司最近有点问题,想请您帮忙做个合规。”笔者通常会追问一句:“您说的‘问题’,是已经发生的事,还是担心将来发生的事?”有些老板会愣一下,然后坦白地说:“就是以前有些事情,怕查起来。”

遇到这种情况,笔者的回答一般都很直接:这不是合规,这是另一件事,笔者不做。

事前刑事合规的真正工作对象,是那些尚未构成犯罪、但可能处于违法或违规灰区的经营行为。合规律师进场之后,要做的是把这些行为识别出来、纠正过来、规范起来,并且把纠正的过程完整地记录下来。这是合规的正当范围。对于那些已经构成犯罪的既往行为，如果真的存在，合规工作既不能处理,也不应当处理。

笔者的习惯是,在接下一个合规项目之前,会先花一些时间做一个基本判断:这家公司是“合法经营但存在违规瑕疵”,还是“核心业务本身就踩在刑事红线上”。前者是合规的客户,后者不是，对后者做“合规”,本质上是帮犯罪行为披一件外衣,最终的结果不是保护委托人,而是让委托人的处境更糟。说得更直白一点,一旦案发,这种“合规”不但不能成为辩护材料,反而会被反过来当作“有组织、有预谋”的加重情节。

这个判断过程没有什么教科书式的标准,更多依赖经验和直觉。管理层对“红线”的态度是回避还是正视?一个真正想做合规的老板,谈话中会主动问“我们哪里做得不够”;一个想做“洗白”的老板,谈话中会反复问“我们以前那些事能不能处理掉”。这两种问法,笔者一听就能分辨。

不客气地讲,笔者确实遇见过一些人打着合规旗号帮企业把过去的聊天记录清掉,把敏感的会议纪要抹掉,让员工在案发前“统一口径”,甚至指导财务在账目上做技术处理。这些操作的共同特征是:都发生在合规阶段,都以“规范管理”为名义,但本质上是在处理已经可能构成犯罪的历史行为。

这不是合规。这是毁灭证据,是伪证,是另一种刑事风险，而且是会把合规律师自己也搭进去的那种刑事风险。

事前合规的正当性来自一个基本前提:委托人的核心业务是合法的,合规工作处理的是合法业务中的瑕疵。这个前提一旦动摇,后面所有的合规工作都会失去意义，不仅失去意义,还会变成办案机关追诉时的“反向证据”。办案机关在讯问环节最爱问的一类问题就是:“你们在什么时候、以什么方式处理过这些记录?”，如果律师在合规阶段参与过所谓的“处理”,这个问题就是一个无法回答的陷阱。

A公司是一家以语音社交直播为主营业务的互联网平台。从产品形态上讲,它的核心功能是多人语音聊天房，用户进入不同主题的房间,通过语音互动建立社交关系,平台通过用户打赏礼物、购买互动道具、参与概率性互动玩法等方式获得收入。这种业务模式在行业里并不罕见,头部几家同类平台的变现逻辑大同小异。

笔者团队最初介入A公司,是在二〇二三年下半年。笔者在接案之前,照例做了那个“能不能做”的判断。几次走访下来,印象是比较正面的，A公司有自己的内容审核团队,有第三方风控合作,有完整的用户协议体系,管理层对合规问题的态度是认真的而不是应付的。它意味着这家公司是抱着“纠违规、固合规”的态度来的,而不是抱着“把问题盖住”的态度来的。

于是项目就这么启动了。

接下来的大致六个月里,笔者团队做的事情可以粗略分成几条线。

第一条线是前期走访与制度审查。笔者团队几次走访A公司办公地,与产品、运营、内容审核、客服、风控、财务等各个部门的负责人分别进行了单独访谈。访谈的目的不是挑错,而是把平台的经营链条从头到尾走一遍，用户是怎么进来的?充值是怎么完成的?概率玩法的奖池是怎么设计的?主播的收益是怎么结算的?违规是怎么被发现和处置的?客诉又是怎么流转和回应的?每一个环节都要问到,问完之后再对照书面制度文件看是否一致。笔者的经验是,很多合规项目的问题不在于书面制度写得不好,而在于书面制度和实际操作对不上，这种对不上,就是案发当日最致命的漏洞。

审阅的书面材料是一大堆,包括用户服务协议、隐私协议、充值服务协议、主播入驻协议、公会合作协议、平台管理规范、内容审核制度、实时巡查制度、用户举报处理规范、异常账号冻结解冻流程、涉嫌电信诈骗案件处置规范,等等。笔者团队挨个过了一遍,把其中与概率玩法、资金流监管、主播管理相关的部分专门摘出来,形成了一份制度审查备忘录。

第二条线是产品测试。笔者团队向A公司申请了测试账号和一定额度的虚拟道具预算,以普通用户和主播两种身份分别进入平台,亲自体验了几款主要的概率性互动玩法，抽奖类的、瓜分类的、宝箱类的、兑换类的。测试的目的是搞清楚一个问题:从用户视角看,这些玩法是否存在“变相赌博”的结构性特征?比如,用户投入的虚拟币最终能否转化为现金?主播收到的礼物能否提现?提现的路径是否受到平台的有效管控?不同公会、不同直播间之间的礼物流转是否存在套现漏洞?

测试持续了大约两周,笔者团队出具了一份书面测试报告。报告里既指出了平台已经做到位的部分，比如用户端完全没有提现通道、跨公会礼物无法提现、单日打赏触发门槛会自动冻结核查等等;也指出了几个当时仍然存在风险的环节，比如某款瓜分类玩法理论上存在“同公会主播互刷提现”的路径,某两名主播在私聊中对用户提出过“站外回收礼物”的暗示,某些“异形词”(用户为躲避机审而使用的变体字)尚未被关键词库覆盖。

第三条线是督促整改与留痕。测试报告出具之后,笔者团队与A公司对接人一起,逐项落实整改。有风险的瓜分类玩法被直接下线;两名涉嫌引流到站外回收礼物的主播被按封禁规则做了阶梯处理,封禁记录全部留档;关键词库做了一次大规模升级,增补了一百多组变体词和暗示性表达;内容审核团队的人审排班做了重新安排,夜间高峰时段加派人手。A公司在二〇二三年十一月底至二〇二四年春节期间,自主发起了一场“专项打击行动”,针对“非法交易”“色情低俗”“诱导抽奖”“诱导引流”四类违规行为集中处置,并以书面公函的形式通知了机审供应商,要求协同加强识别。

第四条线是合规文件的体系化。项目末尾,笔者团队协助A公司出具了一份完整的《概率游戏法律风险合规整改建议报告》,并在此基础上推动A公司内部建立了一份《平台合规手册》。合规手册本身不是律师写的，律师的工作是出框架、提要求,具体内容由A公司各部门填充,最终以公司文件的形式正式发布、签收、归档。由公司自己起草、自己签署、自己发布的合规手册,在案发当日出示的时候,才是一份真正意义上的“企业主观合规意识”的证据。

笔者想说的是:合规在事前是成本,在事后是证据。这句话不新鲜,做合规的律师都听过。但很多企业的老板,是在被讯问的那一刻才真正听懂的。A公司相对幸运的一点,是它不需要在被讯问的那一刻才开始懂，它在一年多之前就已经开始做了,而且做得足够扎实。这份扎实,直接决定了那二十四小时之后“全员取保”的结果,也决定了此后一年半里“证据不足不起诉”的最终走向。

从这个意义上讲,A公司案给笔者最大的启发其实是一个反向的命题:如果A公司在事发前的一年多里什么都没做,那么二十四小时之后走出去的很可能不是十几个取保的人,而是两辆大巴车带走的十几个犯罪嫌疑人。这两种结果之间的距离,不是法律适用的距离,而是合规工作的距离。

(一)“可追溯”的三个构成要件

第一个要件是记录的完整性。所谓完整,指的不是面面俱到,而是每一个具有刑事法意义的决策节点都留下了可供调取的痕迹。哪些节点具有刑事法意义?笔者的经验判断是，任何一个在事后可能被办案机关追问“你们为什么这样做”或“你们为什么没有那样做”的节点,都应当留痕。产品新增一项功能前的合规评审意见、内容审核策略调整的会议纪要、对违规用户的处置流程记录、与第三方供应商的往来函件、员工合规培训的签到与签收凭证，留痕的本质,就是为那些尚未发生的问题预先准备好答案。

第二个要件是记录的可检索性。仅仅“有记录”是不够的。记录必须是可以被外部审查者按时间线重建。办案机关最怕的不是记录多,而是记录乱。系统里存一部分、纸面上存一部分、邮箱里存一部分、员工个人电脑里存一部分,前后对不上,调取耗时长。这种状态下,即便平台客观上做了很多合规工作,也会因为无法在短时间内组装成完整证据链而陷入被动。

第三个要件是记录的防篡改性。这一点在理论上最容易被忽视,但在实务中最关键。办案机关在调取合规材料时,会本能地追问一个问题:“这些材料是什么时候形成的?有没有可能是事发之后补做的?”如果平台无法提供令人信服的形成时间证明,那么再完整的材料也会被质疑。笔者的经验是,防篡改性的保证来自几个看起来朴素的做法:所有重要记录都应当有时间戳、有跨部门的流转痕迹、有第三方系统的备份(比如OA系统的审批记录、企业邮箱的发送记录、第三方风控平台的日志)。这些跨系统的交叉印证,是对抗“事后补票”质疑的唯一可靠方式。

(二)组织架构上的决策权分离

这个问题的提出,来自笔者在多起平台类案件中的一个共同观察:合规工作的证据价值,在很大程度上取决于决策主体的独立性。如果一个平台的产品部门、运营部门、合规部门、风控部门全部向同一位高管汇报,那么所谓的“合规评审”“风险预警”“违规处置”在刑事追诉中的证明力会被大大削弱。

笔者建议，内容审核团队与产品运营团队在汇报关系上相互独立,内容审核团队直接向风控合规线汇报,而不是挂在产品运营线下面。内容审核团队的处置决定不是产品运营团队的从属决策,而是独立的合规决策。这意味着办案机关无法把内容审核团队对违规行为的处置,简单地解读为产品运营团队的“摆样子”。

可追溯性解决的是“平台做了什么”的证明问题,这是客观层面的。但平台类刑事案件的真正难点不在客观层面，真正的难点在主观层面。一个平台是否构成开设赌场罪共犯、是否构成帮助信息网络犯罪活动罪、是否构成拒不履行信息网络安全管理义务罪,几乎无一例外地要经过“明知”与“放任”的主观要件审查。合规工作在事后能否真正起作用,最终取决于它对主观要件的证据贡献。

(一)平台类犯罪主观要件的结构性困境

平台类犯罪的主观要件审查,在实务中长期处于一种“推定先行”的状态。指的是办案机关在认定平台“明知”时,往往并不依赖直接证据,而是依赖一系列间接事实的综合推定:平台规模大、用户多、资金流水高、违规现象客观存在、处置措施在办案机关看来“不够彻底”，这些间接事实组合起来,就构成了“你作为平台不可能不知道”的推定结论。这种推定一旦成立,“明知”要件就被突破,“放任”要件随之而来,平台方的辩护空间被大幅压缩。

这种推定逻辑在法理上并非全无依据，它在一定程度上反映了刑法对网络犯罪特殊性的回应,也呼应了近年来关于网络服务提供者注意义务的提升趋势。但它的危险在于:当推定的门槛被不断降低,客观行为的存在就会被直接等同于主观故意的成立。这实际上是在架空主客观相统一原则,把一项本应严格审查的主观要件,替换成一个基于企业体量和业务规模的常识判断。

(二)主观要件的证据构造

笔者在多个合规项目中形成的一个操作框架,可以用“两条并行的线”来概括。

第一条线是客观行为线。这条线的任务是证明平台做了什么，做了哪些机审、人审、处置、封禁、培训、上报、函件。这些都是可以被日志、记录、文档、第三方系统交叉验证的客观事实。前一章讨论的可追溯性,主要服务于这条线。

第二条线是主观意识线。这条线的任务是证明平台对违法行为的态度，不是“做了什么”,而是“怎么看”。这条线的证据形态与第一条线截然不同。它不依赖执行层面的日志记录,而依赖决策层面的文本证据:对外发出的立场声明(如专项打击行动通知、自律承诺)、对内传达的管理指令(如全员合规通知、违规零容忍政策)、与监管部门的主动沟通记录、向第三方供应商发出的协同要求、面向用户和主播的公开警示。

这两条线的证据性质有一个关键差别，客观行为线的证据是“事实型证据”,主观态度线的证据是“表意型证据”。前者回答“发生了什么”,后者回答“你怎么想”。在刑事追诉中,办案机关可以质疑客观行为线的“充分性”(做得够不够),但很难直接否定主观态度线的“真实性”(只要文本是事前形成并有第三方留痕的,它就无法被事后推翻)。

这个差别的实务意义是:主观态度线的证据,对抗“推定明知”的能力远强于客观行为线的证据。办案机关可以说“你做得不够”,但他们很难说“你明知还主动对外发函打击自己”，这在逻辑上是自相矛盾的。

笔者的经验是,多数合规项目在设计阶段过分关注第一条线,对第二条线的重视严重不足。原因可能在于，客观行为线的工作对律师和合规人员来说是“看得见摸得着”的,而主观态度线的工作看起来更像“做做样子”。这种理解是错误的。在平台类刑事案件中,主观态度线的证据常常比客观行为线的证据更具反制价值。一份真诚的立场声明胜过一千条执行日志，前提是它在事前形成、有第三方留痕、并且与平台的实际行动不存在明显背离。

(三)“已尽必要努力”的证明构造

合规工作在事后要证明的,不是“平台没有违规行为发生”,而是“平台在违规行为发生时已经尽到了法律框架内的必要努力”。

平台类企业在用户规模达到一定程度之后,“完全杜绝违规行为”本身就是一个不可能完成的任务。任何一个日活用户过百万的平台,都必然会存在少量违规行为，这是由平台业务的统计特征决定的,不是由平台的主观意愿决定的。因此,任何试图证明“平台上没有发生过违规”的辩护思路都是注定失败的。办案机关只要找到一例违规,这种辩护就会崩盘。

正确的辩护应当是，承认违规行为客观存在,但证明平台已经尽到了必要努力。刑事归责的前提不是“行为人保证结果不发生”,而是“行为人在其能力范围内采取了合理的避免措施”。当平台能够证明它的合规体系、处置机制、资源投入都达到了行业一般标准乃至高于一般标准时,即便仍有违规行为漏网,也不能据此认定平台主观上存在放任故意。合规证据必须足以支撑“已尽必要努力”的判断。这个支撑有三个维度。

第一个维度是充分性。平台采取的措施是否覆盖了主要的风险点?是否存在明显的遗漏或盲区?这个维度的证据来自合规审查的完整性，律师团队在事前是否对平台业务做过系统性的风险排查,排查的结论是否形成了书面文件,书面文件是否被逐项落实。

第二个维度是及时性。平台在发现违规迹象后的反应速度如何?从发现到处置、从处置到整改、从整改到留痕,中间的时间间隔是否合理?这个维度的证据来自日常运营中的处置记录，每一起违规事件的发现时间、处置时间、处置人员、处置结果、后续跟进情况。

第三个维度是比例性。平台投入的合规资源与业务规模是否匹配?审核团队的人员数量、技术系统的投入水平、培训频次、管理层关注度，这些是否与平台的体量相称?这个维度的证据来自人员编制、技术投入和财务支出记录。

A公司在这三个维度上的证据都是相对完整的。合规审查的完整性由那份《概率游戏法律风险合规整改建议报告》承载;及时性由相关玩法的下线时间、涉事主播的封禁时间、关键词库的升级时间共同构成;比例性则由内容审核团队的人员配置、机审供应商的协同投入、合规培训的频次记录共同构成。这三组证据相互印证,共同支撑了“已尽必要努力”的判断。

“你们为什么没有完全阻止违规行为发生?”，本质上是一个带有陷阱性质的问题。它的陷阱在于:它预设了一个不可能达到的标准,然后用这个标准来衡量平台的合规表现。任何平台都无法回答这个问题本身。

(四)合规证据的反向主观风险

笔者并不认为合规工作能够百分之百挡下所有追诉。在一些办案机关推定逻辑过强的场合,甚至合规材料本身会被倒过来使用。这种情况在实务中并非孤例,笔者亲历过。

办案机关拿到合规材料之后,不是用来证明平台“已尽必要努力”,而是用来证明平台“早已知晓风险”。“你们既然做了这么完整的合规审查,你们就应当对风险有充分认识;既然对风险有充分认识,还允许违规行为继续存在,那就是‘明知+放任’。”，这种推理看似形式上是成立的,但实质上则是把“认识到风险”等同于“放任风险实现”。

但是“明知风险存在”不等于“明知违法行为正在发生”,更不等于“放任违法结果出现”。这三个“明知”在刑法上是完全不同的概念,对应着完全不同的主观要件强度。一个平台“明知自己的业务模式存在潜在风险”,这是一种一般性的风险认识;它与“明知某一具体违法行为正在发生”之间,隔着一道需要通过具体证据跨越的鸿沟。办案机关如果不能提供跨越这道鸿沟的具体证据,就不能仅凭合规材料的存在来完成“明知”的证明。

合规证据的反向风险是真实存在的,但它不是不能应对的。应对的前提是律师对理论有着较为充分的掌握,能够在现场清晰地把概念层次区分开来。一个只懂合规流程、不懂刑法教义的“合规律师”,在这种反向推理面前是无力的。

笔者并不想把这篇文章写成一篇情绪化的批评文字。对办案机关的反思应当建立在法理基础上,而不是建立在对个案结果的不满上。笔者也不打算回避问题，作为一名在一线代理过多起平台类案件的刑事律师,如果连对办案实践中的某些倾向都不敢直言,那这篇文章就失去了写作的意义。

(一)三条边界在理论上是清楚的

违规,本文特指的是违反行业规章、平台内部规则或管理性规定,承担的是内部纪律责任或行业自律层面的后果。平台上的一个主播违反了社区公约,平台对其采取封禁处理;一个公会违反了合作协议,平台解除合作，这些都是违规层面的事。它们是平台日常经营的一部分,是平台行使自治权的体现。

违法,指的是违反法律的强制性规定,可能承担的是行政责任。一个平台如果违反了《网络安全法》关于数据保护的具体规定,它可能面临行政处罚、限期整改甚至停止运营的行政后果;但只要没有达到刑事追诉的标准,这就是一个行政法层面的问题。

犯罪,指的是符合刑法构成要件的行为,承担的是刑事责任。它的认定必须同时满足客观要件和主观要件,必须经过严格的证据审查,必须遵循罪刑法定原则。

这三个层次在理论上是彼此独立的，违法不必然构成犯罪,违规更不必然构成违法,而犯罪必须同时跨越前两道门槛并满足刑法构成要件。

(二)破坏边界的几种典型形态

最常见的一种形态,是把平台上“存在违规行为”的事实,直接推导为“平台涉嫌犯罪”的结论。这种推导的典型路径是:办案机关通过调查或举报发现平台上存在某类违规用户或违规内容,据此认定该平台“为违法犯罪活动提供帮助”,进而指控平台涉嫌开设赌场罪共犯、帮助信息网络犯罪活动罪或非法利用信息网络罪。在这个推导过程中,从“用户违规存在”到“平台构成犯罪”之间的所有中间环节，包括平台是否知晓、是否处置、是否已尽必要努力、主观上是否具有放任故意，统统被跳过或简化处理。

第二种形态稍微隐蔽一些，把平台“已经发现并处置违规”的事实,反向解读为“平台明知违规”。它与第一种形态的差别在于:第一种形态是破坏“违规”与“犯罪”的边界,第二种形态是破坏“合规作为”与“犯罪故意”的边界。两种破坏的方向相反,但殊途同归,最终都导向对平台的刑事追诉。

还有一种，把平台“未能完全杜绝违规”的客观事实,等同于“平台放任违规发生”的主观故意。这种破坏在平台类案件中出现得非常频繁。它的问题在于混淆了两个完全不同的概念:一个是“能力边界”,另一个是“心态取向”。

(三)办案人员的专业性有待提升

在近年来的“远洋捕捞”案件中,办案机关对互联网经营行为的理解,相当一部分还停留很久之前的水平。对概率性互动玩法、虚拟道具、用户打赏、公会分成、主播生态这些商业模式的定性,常常脱离行业常识,直接机械适用法律。一个在行业里运行多年、已经形成相对成熟合规实践的业务模式,在某些办案机关眼里可能仍然被视为“新型犯罪手段”。

这种认知滞后带来的直接后果是，本应在行业层面或监管层面解决的问题,被提前上升到了刑事追诉层面。打赏模式的规范问题、概率玩法的披露问题、主播生态的治理问题，这些都是可以通过行政监管、行业自律、平台自治来处理的问题,它们不一定都需要刑法介入。但当办案机关对行业缺乏了解时,他们倾向于用自己最熟悉的工具，刑法，来处理所有问题。这就像一个只有锤子的人,看什么都是钉子。

这种倾向对整个互联网行业的预期是极具破坏性的。当企业家对正常经营行为的合法性都心存疑虑,当每一次产品迭代都要担心是否会被事后认定为犯罪手段,当每一笔正常收入都要考虑是否会被追缴，行业创新的动力就会被从根本上削弱。

笔者不认为这种状况是可持续的。事实上,近年来中央层面已经多次释放信号,要求防止刑事打击扩大化、规范异地执法、保护民营企业合法权益。这些信号是正面的,但从中央精神到一线办案的传导,需要时间,也需要具体案例的推动。像A公司这样经过一年半最终获得不起诉的案件,在一定程度上也是这种政策信号在具体案件中的体现。但依靠单个案件来推动整体改观,成本太高、耗时太长，无论是对企业还是对律师,都是巨大的消耗。

(一)注意义务的边界

平台作为网络服务提供者,其注意义务在现行法律体系中是有明确来源的。从《网络安全法》到《数据安全法》《个人信息保护法》,从《互联网信息服务管理办法》到具体的行业监管文件,这些规范文本对平台的注意义务做了相对清晰的分层规定，内容安全义务、数据安全义务、用户权益保护义务、协助执法义务,以及在特定业务领域内的专项合规义务(如未成年人保护、反电信网络诈骗、反洗钱协助等)。

但在笔者近几年接触的平台类案件中,这个审查顺序经常被颠倒。办案机关倾向于先跳到一般注意义务的层面,从“平台应当知道”“平台应当发现”“平台应当制止”这些一般性判断出发,直接推导出平台的责任成立;然后再用这个推导出来的责任去反向质疑平台的法定义务履行是否“充分”。这个顺序一旦颠倒,平台就失去了用规范文本为自己辩护的空间，因为它面对的不再是具体条文,而是一种无法被具体条文所抗辩的“应然判断”。

(二)“法外注意义务”扩张的几种表现

笔者在实务中观察到的“法外注意义务”扩张,大致有这样几种表现。

比较常见的一种是以企业体量为标尺来加重注意义务。这种做法的逻辑是，你的用户规模这么大、资金流水这么高、影响范围这么广,你就“理应”承担更多义务、“理应”投入更多资源、“理应”发现更多问题。这个逻辑在道德上似乎说得通,在法律上则是站不住脚的。注意义务的来源是法律规范,不是企业的体量。一家平台的法定义务边界,不会因为它的用户从一百万增长到一千万而自动扩张，规模的增长可以触发新的监管要求,但这种触发必须通过修订法律或出台新规的方式完成,不能由办案机关在具体案件中临时决定。

不客气地讲,这种“体量决定义务”的逻辑,在刑法上是一种相当危险的倾向。它实质上是在用后果主义取代规范主义，以结果的严重性来反推义务的广度,以受影响的人数来反推责任的强度。这种反推会严重侵蚀罪刑法定原则。刑法上的注意义务边界,只能由法律明文规定,不能由案件后果临时撑大。

另一种常见的表现是以监管空白为借口填充刑事义务。这种做法发生在新型业务领域，某类业务在行政监管层面尚未出台具体规范,或者规范正在制定但尚未生效。在这种空白状态下,办案机关会以“不能让这类业务失去监管”为由,直接用刑法条文来填补监管的空白,把一个本应由行政监管处理的问题提前上升到刑事追诉。

这种填补在短期内看似有效,但它的代价是巨大的，它颠倒了刑法与行政法的位阶关系。按照现代法治国家的一般原则,行政监管是第一道防线,刑法是最后一道防线。一个行为首先要经过行政法的规范评价,在行政手段无力应对或者行为严重到超出行政法评价能力时,才能上升到刑事层面。当刑法被用来填补行政监管的空白时,这个位阶被打破了，刑法从最后防线变成了第一反应,这既违背了刑法的谦抑性原则,也让行政监管的发展失去了动力。

还有一种更隐蔽的表现，以“最高注意义务”来衡量所有平台。这种做法是把行业内个别企业的最优实践,作为衡量所有平台的标准。例如某家头部平台投入了极为充沛的资源做内容审核,审核响应时间达到行业顶尖水平;办案机关在评价另一家规模较小的平台时,会以头部平台的标准来要求它,认为它“本可以做得更好”。这种横向比较在表面上显得公平,在实质上是不公平的，它忽视了不同平台的资源差异、技术差异、业务阶段差异,把一个动态的、相对的合规水平评价,扭曲成了一个静态的、绝对的义务门槛。

这三种表现的共同特征是，都在不修改法律的前提下,实质性地提高了平台的刑事注意义务的水平。这种提高不仅是实质性的“造法”行为，更严重违背了罪刑法定原则中的禁止溯及既往要求。

(三)“你们本可以做得更多”

无论平台已经采取了多少合规措施,办案机关总是可以指出“还有些地方可以再完善”;无论平台投入了多少合规资源,办案机关总是可以质疑“投入的力度是否足够”;无论平台的处置机制有多严密,办案机关总是可以追问“为什么这一个具体的违规还是漏掉了”。

一个在任何情况下都成立的追问,在法律上等于没有追问，它无法作为入罪的依据,因为它无法被证伪。把一个无法被证伪的命题作为归责基础,本质上是在把平台置于一种“不可能自证清白”的状态。这种状态下的刑事追诉,已经不再是规范意义上的刑事追诉,而更接近于一种单方面的定性。

平台类刑事合规正在成为一个独立的专业领域。它既不同于传统的企业合规,也不同于传统的刑事辩护,它要求从业者同时具备这两种思维。这个专业领域的核心能力,不是在某一个具体问题上做出精巧的判断,而是在事前、事中、事后三个阶段形成一个贯通的工作方法。事前能把合规证据构造起来,事中能在讯问现场支撑住应对,事后能在漫长的侦查和审查过程中持续争取空间，这三个阶段缺一不可。

合规工作的真正考验不在合规阶段,而在事后兑现。一个合规项目做得好不好,在结项的那一天看不出来;它要等到某一天，也许是某一个深夜，案发的时候才能看得出来。这对律师的要求是,在合规阶段就必须按照“事后被调取”的标准来设计每一项工作。这个标准比“看起来完整”的标准高得多。笔者在这篇文章里反复强调的可追溯性、主客观相分离、已尽必要努力，这些都是在回答同一个问题:当那一天真的到来时,律师留下的那些材料,能不能替当事人说话?

企业的体量越大,合规的紧迫性就越强,而不是相反。很多创业者有一种朴素的想法，“等公司做大了再规范”。这个想法在平台类业务里是危险的。平台类业务有一个特点:规模越大,行为越透明,被注意到的概率就越高。在用户量还小的时候,问题可能还在行业内部消化;一旦用户量上了一个数量级,任何一点违规都会被放大,任何一点瑕疵都会成为追诉的起点。笔者见过的大多数平台类案件,被立案的时间点都不是企业最困难的时候,而恰恰是企业开始有点起色的时候。这是一个规律,不是巧合。

在当前的执法环境下,企业能自己把握的东西很少,合规是其中最重要的一样。外部环境不可控，中央政策信号可能需要时间才能传导到一线,办案机关的认知水平参差不齐,异地执法的风险无法完全排除,行业监管的走向充满不确定性。面对这些不可控因素,企业能做的不是去影响它们,而是把自己能控制的那部分做到极致。

A公司案的最终结果是“证据不足不起诉”。在本文里把它作为一个案例来讨论,不是为了给自己树碑立传,而是为了从一个具体案例里抽出一些可能对同行有用的思考。笔者也无意把A公司描绘成合规典范。完美的合规是不存在的,值得追求的是一个能经受真实追诉考验的合规。这是一个比“完美”低得多、但比“走过场”高得多的标准。

以上几点,是笔者从一个具体案件里得到的一点粗浅体会。这个问题以后还会有新的情况出现,有些判断可能会被新的案例修正,有些方法论可能会随着政策的变化而调整。就先说到这里。

徐伟律师

二〇二六年四月

徐伟律师，北京市京都律师事务所合伙人，北京律协优秀辩护律师，北京青年刑辩法庭大赛冠军，北京市律协智库委员，重大复杂案件研究组成员。最高检刑事申诉律师库律师，京都刑委会网络犯罪研究组长，京都金融犯罪研究中心秘书长。

作为业内以“靠谱、专业、有拼劲”著称的新生代刑辩专家，徐律师长期深耕疑难复杂案件的攻坚。不仅在新型网络犯罪领域建树颇丰（著有《网络犯罪案例研究》），更专攻高端经济犯罪，业务深度覆盖税务、金融、走私、高管职务犯罪、重大食药、复杂刑事资产定性及刑事财产保全与执行等高净值领域。

其代理案件多次引发行业关注，曾入选最高检典型案例、被写入最高检官方报告，并入围“全国十大无罪辩护经典案例”评选，多次成功帮助当事人获不起诉、无罪及国家赔偿。

声 明

“京都刑辩研究中心”微信公众号所刊登的文章仅为交流目的，不代表京都律师事务所、京都刑辩研究中心或其律师出具的正式法律意见或建议。如需转载或引用该等文章的任何内容，请注明出处“京都刑辩研究中心”。