企业合规中企业与关联人员刑事责任分离问题刍议

企业合规对企业合法合规经营、维护经济社会稳定发展有根本性促进作用,但我国现行的单位犯罪立法决定了企业和关联人员的刑事责任过度捆绑,使得刑罚的水波效应过度泛滥,不利于企业发展和经济社会稳定,也导致我国企业合规试点中合规不起诉的适用对象和范围受限,极大影响了企业合规的刑事激励效果。对比在立法上同样存在壁垒的意大利关于企业归责理论的确立,在区分企业犯罪类型的基础上,从实体和程序上分别对企业犯罪责任问题进行剖析,进而对我国单位犯罪归责理论发展提出思路,以期构建最优的企业刑事合规激励机制。

论单位犯罪的形态结构--兼论单位与单位成员责任分离论

现行单位刑事责任的立法规定是以单位犯罪是一个犯罪行为为理论前提的,因而存在诸多理不断、剪还乱的理论死结。为此,有必要重新审视单位犯罪的形态结构,理顺犯罪单位与犯罪单位成员之间的罪责关系。通常所说的"单位犯罪"实是一种特殊的犯罪聚合体,具体包括两个犯罪行为:一个是客观实在的由单位成员实施的自然人犯罪;另一个是法律拟制的单位犯罪。即源初意义上的"单位犯罪"。这两个犯罪行为因"为单位谋利"的单位成员行为在法律评价上的双重性而被立法者人为地聚合在一起,但单位责任和单位成员责任在构成和追诉上应当是各自独立和分离的,二者并不牵涉或互为前提。

单位犯罪责任构造的反思与检讨

我国单位犯罪立法实行的是一种"严而不厉"的立法政策,但因对单位犯罪的形态结构存在误识,落于在一个犯罪行为的框架内寻求规制犯罪单位和犯罪单位成员刑事责任的窠臼,从而导致立法理念与司法实践的诸多矛盾与冲突。因此,有必要重识单位犯罪的形态结构。单位犯罪是一种特殊的犯罪聚合体,它包含两个犯罪:一个是单位成员犯罪,这是实在的犯罪;另一个是单位自身犯罪,这是拟制的犯罪。单位自身犯罪和单位成员犯罪之间密切联系,但是二者并非共同犯罪,而是独立的两个犯罪行为。既然单位犯罪是两个犯罪行为,那么单位与单位成员就是并列、独立的两个犯罪主体,其各自的刑事责任应相互分离。

单位刑事责任的再思考——以单位犯罪立法解释为视角

2014年4月24日第十二届全国人民代表大会常务委员会通过了对《中华人民共和国刑法》第三十条,即有关追究单位犯罪刑事责任的立法解释。该立法解释对未规定为单位犯罪的,如何适用刑法的有关问题做出了规定。解释出台后,引发了学界的许多争议,一是对立法解释扩大单位犯罪的范围提出质疑;二是质疑仅仅追究单位成员责任无合理依据。本文试图从单位刑事责任的本质寻求上述争议的解决方式,并通过对单位刑事责任的再思考,提出对我国单位犯罪体系构建的几点建议。

重构企业社会责任

重构企业社会责任阮正福市场经济条件下企业的社会责任企业作为社会的经济细胞组织，它生存于社会之中，与社会存在着广泛的联系。这种联系不仅表现为企业从社会中取得各种生产资源，向社会提供产品，而且表现为企业向社会承担各种社会责任。这种社会责任是非市场行为，是...

面向服务的工作流访问控制模型研究

随着企业全球化、企业业务联合与分化的发展,企业组织结构更加动态化,企业业务流程经常发生变更,这都增加了工作流访问控制的复杂性.针对此问题,从工作流访问控制模型与流程模型分离的角度,提出一种面向服务的工作流访问控制模型——SOWAC模型.服务是流程任务的抽象执行和实施访问控制的基本单元,用服务的访问控制替代流程任务的访问控制.说明了SOWAC模型的组成元素及实施实例,提出一种基于服务授权历史的动态责任分离约束方法,并给出SOWAC模型在工作流系统中的实际应用.

基于角色的访问控制

信息安全技术领域一个非常重要的方面是访问控制。文章描述了近年提出的一种新的访问控制技术RBAC。详细介绍RBAC的基本要素及NIST的RBAC四层模型,讨论比较了RBAC模型与TCSEC中的MAC和DAC的区别,最后分析了NISTRBAC四层模型的一些不完善之处。

基于XML图的RBAC模型研究

针对传统XML描述的基于角色的访问控制(RBAC)模型在角色权限继承、约束方面支持的不足,提出了一种基于XML图的RBAC3模型。该模型通过属性引用的方式实现了多重继承并引入面向对象中私有继承的概念,使角色的私有权限得到保护。同时,通过引入互斥权限的概念简化了责任分离的实现。

基于模糊的RBAC模型研究与优化

传统的RBAC策略在企业用户数量剧增时,角色指派和权限维护成为系统管理员沉重的负担。为简化管理员的工作、规范安全策略,提出一种基于模糊的RBAC优化模型。使用位图矩阵进行角色信任度计算。将方差引入因素权重向量的调整策略,改进取大取小操作的局限性。对相似的用户聚类,在聚类中分享群体经验提高模型的精确性。为用户引入历史互斥权限表,实现带有责任分离约束的模糊RBAC模型。

具有冲突约束的RBAC模型的形式化规范与证明

在实际应用"基于角色的访问控制"(RBAC)模型时,经常遇到由于责任分离等策略而引起的冲突问题,如权限间的互斥等.访问控制操作应满足某些约束条件,以避免冲突的存在.但这些冲突关系相当复杂,如何检测出冲突问题是模型安全实施的重要保证.借助Z语言,提出了基于状态的RBAC形式化模型,对状态转换函数进行了形式化规范,描述了操作的具体内容和应满足的冲突约束条件.根据安全不变量给出了安全性定理,分别进行数学的和形式化的证明.最后,通过实例分析,说明在实际系统中,如何形式化规约和验证RBAC系统并检测出冲突问题,从而为今后使用RBAC模型开发具有高安全保证的系统提供了一种形式化规范和证明方法.

带时间约束和角色控制的工作流系统授权模型

分析传统RBAC授权模型直接用于工作流系统授权的不足之处,分析了传统授权模型对时间约束和责任分离约束支持的不足.构建了一个带有时间约束的基于角色的工作流系统授权模型,分析该模型对最小权限和责任分离要求的满足情况.

扩展RBAC的CRM动态用户访问控制模型与实现

通过研究CRM用户管理系统的特点,提出一种新型的扩展RBAC的CRM动态用户访问控制模型,并对该模型进行详细的定义和分析。该模型通过用户—角色—权限的权限授权模式,减少了授权管理的复杂性;通过角色等级和职责分离约束解决了用户角色职能交叉重叠的问题;引入团队和个性化数据集的概念,改善了系统的数据的访问隔离问题并完善了用户个性化;最后介绍系统实现实例。

基于Web的信息系统中RBAC的实现

在分析基于Web的信息系统的特点和指出了现有基于Web的信息系统中实现RBAC的不足的基础上,提出了一种适合基于Web的大型信息系统的RBAC扩展模型,即通过权限传播度灵活地解决了权限继承和私有权限的问题,并通过角色代理层实现了动态责任分离,同时提出了静态责任分离和操作的责任分离的实现方法。该模型弥补了现有的RBAC应用于Web环境下的不足。

单位犯罪的有效治理——重大单位犯罪案件分案处理的理论分析

检察机关对重大单位涉罪案件分案处理的程序安排,对于单位犯罪的有效治理和社会公共利益的适当维护,具有积极的意义。尽管在理论和实践层面面临一些争议,但是分案处理机制的正当性可以从四个方面得到论证:一是从单位责任与个人责任的分离上,强调单位承担的是因管理漏洞和制度隐患而形成的失职责任,这与直接责任人员所承担的刑事责任具有实质性区别;二是从定罪附随后果衡量的角度看,为避免涉案单位受到因定罪所导致的一系列资格剥夺后果,防止利益相关者、政府和国家的利益受到严重损害,有必要对单位启动合规考察程序,避免其承受灾难性的后果;三是对涉案单位采取附条件不起诉的处理方式,是因为这些单位采取了停止犯罪、配合调查和补救挽损等措施,实现了法益修复,减少了犯罪的社会危害后果;四是涉案单位针对犯罪发生的内在结构性成因,作出了堵塞制度漏洞、消除管理隐患、改变商业模式的努力,形成了有效的合规管理体系,可以发挥预防犯罪再次发生的效果。可以说,分案处理的制度设计,是检察机关深化企业合规不起诉改革的必由之路,对其理论根据做出充分的论证,有助于这一制度的健康发展。

面向SELinux的角色权限研究

SELinux通过组合IBAC,RBAC和TE模型实现了策略灵活性,然而其策略配置复杂且规则数目庞大,很难保证角色权限的正确分配.对SELinux策略语言进行了形式化表述,引入任务、全局域转换图、角色最大任务图、角色授权任务图等概念,用来刻画角色与域之间的授权关系,同时使用上述概念对最小特权原则、角色支配、责任分离等RBAC经典问题进行了讨论.认为该方法可以有效指导SELinux中角色权限的配置和验证过程.

工作流管理系统中的约束机制研究

工作流管理系统(WFMS)广泛应用于一个组织中的业务过程协作与流程化管理.约束是组织为了实现安全策略而制定的一些规则,因此WFMS需要研究约束机制.基于角色的访问控制(RBAC)技术在WFMS中得到了广泛的应用,而约束也是RBAC的一个重要方面.责任分离(SOD)是一种典型的授权约束.研究了约束的定义、发展与分类,并对责任分离做了讨论.最后给出了约束的形式化描述语言RCL2000.

怎样加强商业银行的会计内控机制

从当前商业银行经营现状和会计业务现状来看,商业银行会计内部控制的对象主要是各级会计部门、各个会计岗位和全体会计人员以及分管会计工作的领导。

公共责任与“四风”治理

"四风"不仅是科层组织自身携带的不良遗传基因,而且是科层组织与社会相互适应、孪生寄生的肉瘤。从公共责任视角来看,"四风"存在的根本原因是责任分离,间接原因却是履责激励极化,直接原因则是责任感下降。治理"四风"不仅要让公职人员知晓客观责任、明白主观责任、履行客观责任、尽心主观责任,而且要对他们进行责任效果考评、责任错误问处,还要完善以惩罚为主的负向激励机制、加强以奖赏为要的正向激励机制、重建以声誉为重的终向激励机制,从而建成制度问责、绩效问责和人民问责的问责体系,确保科层组织健康地运行。

我国法人刑事责任构造的反思

法人犯罪在我国刑事立法中被称之为单位犯罪。我国1997年《新刑法典》中全面确定了惩治法人犯罪的刑罚制度,并对法人犯罪做出了相关的规定。但是究其根本,我国对于法人犯罪的刑事立法实行的是一种"严而不厉"的立法政策。较之于其他发达的法治国家的立法而言,我国的法人刑事责任体系的构造存在着很多问题。而对于这些刑事责任体系中存在的问题进行相关的理论研究,则能对我国刑事立法与司法实践中存在的问题有所裨益。