案情：某科技公司开发运营一款陌生人之间的社交软件，该公司的运营模式涉及三方：女用户、公司和男用户。女用户注册成为公司的会员，公司通过投入广告等方式吸引男用户注册成为公司会员。女用户积极主动和男用户聊天，通过文字信息、语音信息、语音连线以及视频连线等各种方式交友，而男用户与女用户交友，是需要支付费用的。男用户交友的费用、打赏等直接支付到某科技公司，由该科技公司与女用户按照一定的比例分成。

实际上，这是绝大多数交友软件的运营模式。在这种模式下，部分用户难免会想尽办法吸引其他用户进行付费聊天、对其打赏等，以创造更多的收益。这就容易导致用户为了创收而触犯法律底线，进而使该公司及相关运营人员承担平台运营主体责任，包括刑事风险。该科技公司需要为避免刑事风险采取合规措施，让经营者和投资人知悉相关法律风险及合规运作的基本要求，既避免无意识犯罪，也避免因涉嫌刑事犯罪而被关停。

该科技公司运行过程中主要存在诈骗类犯罪、淫秽色情类犯罪、涉赌类犯罪、信息网络类犯罪四种刑事风险。该科技公司并不是没有进行合规经营、防范刑事风险的可能性，市面上主流的社交软件都存在此类刑事风险。只要公司的刑事风险防范措施采取到位，刑事风险都是可控的。刑事风险防范作为预防法律风险、避免刑事责任的内控制度系统，对于网络平台防范法律风险、降低刑事可罚性具有重要价值。公司在软件上线前、运行过程中进行主动刑事风险防范改造，设置刑事风险防范体系，就可以最大限度地防范公司及其经营者的刑事风险。

(一)公司刑事风险的三条防线

企业及其经营者至少需要设置三条防线，以保障企业合法合规运行，避免刑事风险。即便日后发生刑事风险，也有机会争取将刑事风险与大多数用户和员工“阻隔”,归责于用户、公司个别员工乃至个别业务部门负责人。

1.第一条防线：规范公司与用户的关系，将刑事风险隔离在用户

在公司所涉及的刑事风险中，用户是具体的犯罪行为实施人，用户的行为能否代表公司的行为，用户的犯罪责任能否归咎于公司，直接取决于公司与用户的关系，以及公司对用户违法犯罪行为的态度。如果用户是公司“雇佣”的，那么用户就相当于公司的员工，用户的行为就非常容易归咎于公司，甚至用户的行为会直接被认定为公司组织下实施的行为，那么,每一个用户的犯罪行为都可能被评价为公司的犯罪行为，公司的刑事风险就随着用户的数量增加而无限扩大。从刑事风险防范角度，公司与用户之间应该是开放的关系，不应该存在管理与被管理、雇佣与被雇佣的关系，公司对用户的管理集中在用户行为的合法合规性监管和收入的分成管理方面。公司与用户是合作关系，公司只提供平台服务，并收取相应的服务费用。

2.第二条防线：规范公司一线员工的行为，将刑事风险隔离在公司的一线员工

公司一线员工是与用户直接对接的人，包括客服、业务人员等。由于他们直接与用户对接，其履职行为很可能直接被认定为代表公司的行为。如果缺少刑事风险防范体系，裁判者通常会认为，员工不太可能在公司不知情或没有获得公司允许的情况下，自己实施犯罪行为。而且，公司一线员工在与用户沟通过程中，基本都会被认定代表公司、传达公司的意志。部分一线员工为了完成业绩，获得更高的提成、奖励等，也可能会放任、暗示甚至帮助用户实施违法犯罪行为。因此，公司对一线员工行为的合规要求及其监管态度，很大程度上会影响司法机关对一线员工的犯罪行为是其个人行为还是单位行为的判断，员工个人犯罪行为是否会被认定为单位犯罪行为的判断。公司实际运行过程中，对一线员工进行严格规范，是为了避免一线员工的犯罪行为牵连公司。公司必须赋予一线员工监管用户直播内容、聊天内容规范性的职责，必须禁止一线员工以任何形式放任、暗示甚至帮助用户实施违法犯罪行为，这样才能最大限度地实现法律责任的切割。

3.第三条防线：规范公司板块业务负责人的行为，将刑事风险隔离在公司的业务板块负责人

该公司在具体业务上会分板块或者分区域，每个板块或者区域都有具体的业务主管、业务经理之类的管理人员。由于他们的级别相对更高，在公司与一线员工之间充当中高层管理者的角色，他们的行为更容易被认为是公司的行为，他们的违规行为更容易导致公司面临刑事风险。因此，公司同样需要规范平台业务板块负责人的行为，禁止他们以任何形式放任、暗示甚至帮助用户实施违法犯罪行为。具体而言，要规范业务板块负责人与一线员工之间的日常经营管理行为，禁止业务板块负责人向一线员工传达放任、暗示甚至帮助用户实施违法犯罪行为的信息。否则，一线员工的犯罪行为可能会被评判为公司中高层管理人员安排一线员工实施的，进而导致该行为容易被认定为单位行为。

涉案公司充分落实上述三条防线，建立刑事风险防范体系，制定并充分落实各项配套合规制度，不仅可以最大限度地避免发生相关犯罪行为，也可以最大限度地避免公司遭遇刑事风险。即便面临刑事风险，公司也有充分的抗辩空间和抗辩证据材料。如此，公司实际经营者才更有信心经营下去。

(二)公司刑事风险防范体系建设

为了落实上述刑事风险的三条防线，公司需要进行一系列的合规整改，从合规管理机构、合规制度、合规流程、合规文化、合规培训、合规监督等方面着手，构建行之有效的刑事风险防范体系。

1.建立合规管理机构

公司可以设置专门的合规巡查员、合规监督员之类的合规岗位具体负责公司合规事宜，该岗位可以与法务岗合并，但该岗位员工不负责具体运营业务，该岗位只是专职的合规岗位。合规人员专门负责公司的合作运作和对用户直播、聊天等内容的监督，承担公司的日常合规培训、警示教育培训等所有公司合规运行、用户行为合规的监督职责。涉案公司目前规模较小，可以设置一名专职合规人员，负责具体落实公司的大部分合规工作。该岗位在公司合规制度制定及落实、合规运行证明材料的形成等方面，都起关键作用，缺少合规的专人专岗，刑事风险防范体系无从谈起。

2.制定对内的合规制度

公司合规管理机构的运作，需要制定合规负责人履行合规监督职责的一整套制度，包括合规负责人的任免，履职保障，违规问题的发现、调查、处置流程等；需要对员工提出日常合规要求，如制定合规手册、员工手册等；需要配套对员工进行合规培训；需要通过各种方式提高员工对相关违法犯罪行为的认知度，同时向员工传达公司禁止员工实施犯罪行为的明确立场，及相应的处置制度，履行公司的合规监管义务。

3.制定对外的合规制度

公司对外的合规制度，主要是针对公司与用户的关系。公司的刑事风险主要来自用户的行为，用户的犯罪行为可能会导致公司面临刑事风险。因此，该公司的刑事风险防范体系建设，需要重点规范公司与用户的关系，规范用户的行为，制定针对用户的合规制度。一方面，合规制度需要明确公司与用户的关系，两者不存在人员管理关系、雇佣关系。公司提供网络平台中介服务，从用户的收益中获得分成。用户需要为自己的行为承担法律责任，公司则需要为用户行为的合规性承担监督责任。另一方面，合规制度需要规范用户的行为。用户为了提高创收，吸引流量和资金，可能会触犯法律底线，实施相关违法犯罪行为，针对这种可能性，公司需要制定明确的用户行为规范、文明公约之类的文件，并且定期更新、公告，明确所有用户的禁止性行为，以及相应的惩罚规则，让男女用户都了解公司的规则和制度，及时提醒用户避免上当受骗等。在规章制度及日常经营中，公司需要以实际行动直接表明对用户违法犯罪行为的立场和态度，公司并不默许、放任用户的犯罪行为，禁止用户以任何形式实施违法犯罪行为，从而树立公司正面的文化形象。这些定期更新、公告的行为规范、文明公约等，就是公司对用户行为尽到合规监管义务的基础证据材料。

4.搭建合规业务流程

公司开发新产品、上线新业务、与用户的签约、支付结算、对用户行为监管处置等日常运营流程，都需要合规人员的审批或审查，让公司合规审查或审批成为日常经营流程中必经的环节，以及时发现、纠正公司经营过程中的不合规行为。因此，公司需要搭建业务流程的合规审批制度，对业务流程进行“合规化改造”,以适应合规审批和防范刑事风险的需要。

(三)刑事风险防范体系的真实运行

公司的上述风险防范体系及配套制度措施，不能停留在纸面上，还需要落到实处。简言之，公司需要践行合规经营的要求，践行对违规行为的举报、发现与惩处制度。一旦公司收到员工、用户违法犯罪行为的投诉、举报，公司就必须作出回应和处置。因为在刑事裁判中，公司收到对用户违法犯罪行为的投诉、举报，就可以认定公司此时已经知道或者应当知道相关违法犯罪行为，公司对用户所投诉、举报违法犯罪行为的处置态度，就直接决定了公司对相关违法犯罪行为的容忍度，进而作为评判公司是否需要承担法律责任的重要依据。为此，结合该公司的实际经营模式和规模，公司落实合规监督至少需要从以下三个方面着手。

1.完善投诉、举报的渠道

公司需要设置对违法犯罪行为的投诉、举报渠道，包括对用户违法犯罪行为的举报和对公司员工违法犯罪行为的举报。公司需要在显著的地方公示投诉、举报渠道，并在涉案软件中嵌入对违法犯罪行为的举报、投诉渠道。

2.落实对员工的合规监督

公司需要根据规章制度，对员工的违规行为进行处置，一旦发现公司员工实施了帮助用户实施违法犯罪的行为，或者员工向用户错误传达了公司放任、鼓励、暗示甚至帮助用户实施违法犯罪行为的信息，公司要切实作出惩处。这些对违规员工的监督案例材料，可以很好地证明公司对员工合规监督的制度并非形同虚设，公司的刑事风险防范体系是有效运行的。

3.落实对用户的合规监督

公司制定的一系列行为规范、规章制度是否形同虚设，是否“说一套做一套”,直接体现在公司对用户投诉、举报的处置上。在司法实践中，很多公司涉嫌刑事风险时被推定知道或者应当知道相关犯罪行为发生，主要依据就是公司在接收到投诉、举报后，没有积极处理，甚至还继续帮助相关人员实施违法犯罪行为。

公司需要建立并运行针对主要刑事风险的合规体系，同时合规经营的各项制度措施要处处留痕，有据可查，确保合规体系确实能有效运行，并能充分举证证明公司合规体系能有效运行。如此，公司就可以最大限度地防范刑事风险，避免因部分用户及个别员工的犯罪行为遭受刑事风险。