第一章
刑事合规制度概述

第一节
刑事合规的概念

一、“合规”概念的起源

“合规”的概念源于英文中的动词“to comply with”（遵守，符合，依从）。该术语最早使用于医学领域。在该领域其主要用于表示谨遵医嘱。近些年来，“合规”这一概念也逐渐用于企业经济学领域，主要用于表达在企业内部遵守法律、标准及指令。在法学学科中，该词最早运用于英美法系的银行业领域，意指在信贷机构等传统风险领域确保雇员行为的守法。[107]不过，该词很快便被借用到法学等其他领域之中。现如今，该词在英美法中已基本等同于在企业内部遵守法律法规、行业标准、伦理规范。

近年来，经济法领域中的“合规”概念被引入德国法，其直接取自英文，且并没有被翻译成德语。与美国一样，它最早于20世纪90年代初期被运用于信贷领域。现如今，合规仍常被运用于信贷及金融领域（尤其是证券交易中）。[108]直到几年前，合规才被普遍视为对不同部门法规定的遵守。[109]

就中国而言，早期的行政法规、部门规章或规范性文件中，多是在“内部控制”的概念之下规定企业合规管理问题。早在1997年，中国人民银行就发布了《加强金融机构内部控制的指导原则》。2001年，财政部颁布了《内部会计控制制度规范——基本规范（试行）》和《内部会计控制规范——货币资金（试行）》。2006年深交所发布了《深圳证券交易所上市公司内部控制指引》，强制要求在该所上市的公司进行内部控制评价，并强制要求披露内部控制评价报告。2008年财政部等五部委联合发布了《企业内部控制基本规范》，此后又发布了《企业内部控制配套指引》，要求企业进行内控。随着合规理念在全球范围内的普及，“合规”的概念也逐渐出现在位阶较低的规范性文件之中。以北大法宝为检索工具，以“合规”为关键词进行检索可以得出，截至2021年9月，涉及“合规”概念的“中央法规”文件共计703个，其中行政法规7个、部门规章653个、行业规定35个、司法解释1个。然而，经过仔细甄别不难发现，文件标题中的“合规”多指“要合乎规定”之意，与本书所指涉的组织关联性措施并无关系。进一步筛选，全面规定了企业合规管理义务及其履行方式的，只有《证券公司和证券投资基金管理公司合规管理办法》《中央企业合规管理指引（试行）》以及《企业境外经营合规管理指引》。此外，部分省份也发布了地方规范性文件，引导当地企业实施合规管理。例如，2019年7月9日，浙江省发布了《浙江省企业竞争合规指引》。应当说，这些文件对于推动合规管理深入开展具有重要意义。

在实践层面，较早的实践，有案可查的是2002年中国银行总行“法律事务部”更名为“法律与合规部”，设首席合规官。此后，中国大型商业银行都陆续开展了合规风险管理，如，2003年中国建设银行总行法律事务部设立合规处，2005年又单设合规部，负责合规风险管理事务。在各商业银行实践的基础上，上海市银监局于2005年制定了《上海银行业金融机构合规风险管理机制建设的指导意见》，2006年10月，中国银监会出台了《商业银行合规风险管理指引》，此后，国内银行业基本都开始了合规管理。[110]

二、合规与相关概念关系的厘清

（一）合规与公司治理的关系

和“合规”这一术语一样，“公司治理”这一概念也源自英美法系[111]，其意指企业监督和管理所需的法律上与事实上的秩序框架。[112]正如《德国公司治理法典》中所示一样，相关的讨论大多情况下不涉及所有企业，而仅限于受公众特别关注的上市公司。其主要原因在于，在该类企业中资本所有与管理相分离，即存在所谓委托代理问题。自20世纪30年代美国经济学家提出该问题以来，学界关于企业有效监管的方式与程度的讨论从未间断。尽管如何制定合适的公司治理模式的问题在各国公司法中已是老生常谈，但在“公司治理”的名义下所进行的讨论直到20世纪90年代才渐受关注，而其真正的突破直到世纪之交才得以实现。美国因安然公司和世界通信公司破产而采取的一系列措施，特别是《萨班斯法案》的颁布，对世界各国产生了重要影响。影响之一就是，决定性地促进了公司治理这一话题从有限的争论转变为普遍的讨论，并使其自此成为一个独立的研究领域。[113]

从形式上看，我国《公司法》并未明确规定公司及其高管的合规义务，合规与公司治理的关系也无从得知，然而，从功能上看，现代意义上的“合规”意指促进企业员工行为合法的整体性组织措施，其与公司治理具有相同的价值目标。对于两者的关系，《德国公司治理法典》有较为清晰的阐释：与《德国公司治理法典》的原先规定无关，合规很早即被视为良好公司治理的一个重要方面。[114]因此，有建议认为，至少应当在个别领域（诸如反腐败斗争领域）将合规义务纳入该法典当中。[115]2007年该建议被部分采纳并补充进该法典。[116]不过这些变动主要还是形式上的。例如，董事会对于企业遵守法律规定与企业内部规定的义务（《德国公司治理法典》第4.1.3条）是通过附加的方式补充的。[117]另外，该法典还以类似的方式扩充了如下内容，即董事会须向监事会报告合规的相关行为（《德国公司治理法典》第3.4条）。这些规范并未对合规的具体规范作出限制，而是笼统地表示，合规即为遵守所有的法律规范。《德国公司治理法典》中唯一较大的改变在于须由监事会成立一个审查委员会，即审计委员会。修改后的版本明确规定，该委员会的工作包括处理合规的相关问题（《德国公司治理法典》第5.3.2条）。该条款是为了保证，委员会在发现可疑情况时能积极履行自己的监督义务。[118]总体来说，《德国公司治理法典》仍一如既往地未能建议整体合规计划的制定，而是局限于整体计划下的个别措施。[119]但是，该法典明确了，合规是一个良好公司治理结构的重要组成部分。

（二）合规与企业内部规章制度的关系

前文已经论及，从本质上讲，合规计划是一套旨在预防和发现企业犯罪的程序和机制。它需要一套针对违法行为的预防、发现、举报、内部调查以及惩治措施。也正是基于这个原因，Ulrich Sieber教授提出了合规计划中存在的“法律边界”（例如，内部调查的程序法边界问题，即其应当在多大程度上坚持刑事诉讼法的基本原则）的问题。除了内部控制措施之外，外部监督机制也是合规计划的重要措施。这种外部监督主要是通过外部独立审计以及律师的参与完成。“企业往往视审计为梦魇，但是合规计划恰恰包含了这样的制度，一个设计良好的核查和监督机制是必要因素；为了合规审计更为有效，审计人员应当与企业合规人员以及从事企业法律事务的职员充分沟通；总的来说，审计工作应当与内部审计保持充分的协调，内部审计应当与外部审计充分协作；在合规审计的过程中，律师也起着至关重要的作用，尤其是在某些特殊领域，如反垄断领域，在这样的案件中，律师可能起到主导作用。”[120]为了保证审计的独立性和真实性，防止诸如安然事件中的虚假财务以及会计公司销毁相关账簿记录等行为的发生，《萨班斯法案》对公司会计制度进行了深化改革，包括：建立独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过负责合伙人轮换制度以及咨询与审计服务不兼容的制度设计提高审计的独立性；通过对公司高管人员的行为进行限定以及改善公司治理结构，增进公司的报告责任；加强财务报告的披露等合规措施。[121]所有这些都是一个得到法律承认的有效的合规计划的要素。尽管合规计划因企业性质、规模等个性化因素而有所不同，但是从形式上看，合规计划是一种整体性组织措施，其不仅包括与内部规章相类似的纸面上的行为守则，更要有一系列保证员工遵循行为守则的保障措施。由此可以看出两者的区别，即企业内部规章只是保证员工守法的单一组织措施，其是完整的合规计划所要求的整体组织措施中的有机组成部分。

（三）合规与企业社会责任的关系

“企业社会责任”（Corporate Social Responsibility）是一个与“企业合规”“公司治理”这类术语同样盛行的概念。与“企业合规”和“公司治理”相同，“企业社会责任”亦不存在普遍适用的定义。一般来说，该词包含所有涉及企业对社会的责任的行为，但这并不主要指企业的任意慈善行为，例如，捐赠或赞助，而更多地指履行与企业经营紧密相关的义务的行为，其中包括遵守劳动法上的标准、环境标准、尊重人权以及企业的经营行为对股东、供货商、顾客及公众负责。[122]这些行为既有来自法律所规定的有约束力的义务，还有来自无约束力的道德观念，其中的一个重要方面在于，对社会任务的自愿承担。这体现了企业作为“公民”，即企业公民对社会的贡献，并彰显了其社会价值并不仅限于对法律规范的遵守。“企业社会责任”的部分内容与“公司治理”相重合[123]，而这部分内容很大程度上体现为企业对公众的责任及其对股东的责任，但是，“公司治理”更偏重企业的结构，而“企业社会责任”的重心却在于承担特定的社会任务。

从上述对于企业社会责任的描述不难看出，社会责任中很多是由法律规定的，例如，遵循与企业业务经营密切相关的劳动法上的标准与环境法上的标准的责任，而这种法规遵循恰恰又是合规计划所应该包含的内容。从范围上讲，企业社会责任远不止于上述与业务相关的责任，还包括任意慈善行为，例如捐赠或者赞助等，这一点已经超出了合规计划的内容。[124]因此，从上述描述不难看出企业社会责任、合规计划以及公司治理的关系（如图1-1所示）：

（四）合规与企业伦理的关系

企业伦理，即一般所说的商业伦理（Business Ethics）中与企业相关的部分。近年来，在商业及企业中要求遵守伦理规则已经成为公共讨论的话题。并且，企业伦理在很多国家已渐渐成为企业识别（Corporate Identi-ty）的重要组成部分。如前文所提到的其他概念，即企业社会责任、公司治理以及合规计划，对该概念亦不存在统一的定义。对这一概念的认识存在多种多样的观点，不过这些观点在一点上的理解是一致的，即企业并不能仅以金钱为指标，其亦应当以伦理为导向。只是，具体应当以何种伦理价值为导向，尚未定论。现今，与环境保护相关的价值往往被提及，例如，致力于资源节约、可持续发展与生态保护。此外还有与劳动者保护相关的价值，例如，劳动保护与尊重人权；或与消费者保护相关的价值，例如公平交易。[125]因此，在诸多方面，企业伦理与企业社会责任发生了重合。不过，不仅与企业社会责任，企业伦理与企业合规在概念上也出现了一些重合，尤其是在涉及企业伦理的具体落实时。因此，人们往往将伦理计划与合规计划相提并论。[126]一般情况下，当企业伦理这一问题在讨论中出现时，其多数在“合规计划”的名义下被讨论。“合规计划”这一概念看起来更为合适，原因在于，该概念范围更加宽泛，伦理仅被理解为合规计划诸多方面中的一个方面。[127]因此，有些学者的观点并不被认同，他们认为，一个以伦理为基础的系统，与仅作为监督系统的合规计划截然相反。[128]这样一种认知极大地缩小了合规概念的范围，即将其误解为形式上的监督措施。

（五）进一步的区分

从内容上说，合规所包含的任务，在很多企业中已经被实施，其中部分任务已经由企业自有的部门所执行。因此，这里有必要厘清合规与其中最重要的工作及企业部门的关系：即合规计划与风险管理、控制、内部审计以及法务管理的关系。

风险管理是经济学科下属的一个分支，且近年来在法学上的意义也日益重要。风险管理解决的问题是企业如何在运营中发现风险并采取应对措施。[129]从合规问题上来看，它在评估法律风险时可突显其意义，而对纯经济风险的评估在此不作考虑。因此，合规的部分内容可被视为一套全面风险管理系统的组成部分，而另外部分内容则与风险管理并不相干。[130]反过来讲，风险管理作为确立法律风险的工具，也可以被理解为一个全面的合规计划的一部分。因此，本书的理解是，合规计划与风险管理是一种交叉关系。

控制是以协调企业行为为对象的一种企业治理手段。控制部门为企业管理层的决策提供支持，以便其以该部门的结果为依据做出计划并执行。因此，该部门须组织并负责向管理层报告企业状况，为管理层确立目标、计划和控制提供帮助。控制部门须生成与企业决策相关的数据，从这个角度来说，它与风险管理存在重叠，尤其在经济风险的评估方面，全面控制一般均须对经济风险做出评估。[131]控制部门的一项主要工作是对企业各部门进行协调。通过对企业运营全过程的长期参与，控制部门亦可以对其他部门进行监督和控制。正是在监督与控制问题上控制与合规出现了交集。但是，控制的重心并非在对法律规定的遵守上，而是实现经济目标。从这一点来讲，控制与合规是两个存在交叉但又有所不同的领域。

在现代企业中，内部审计部门是大多企业的重要职能部门，其主要工作包括客观审查企业运营中的行为是否遵守了企业内部的规定。这类审查并不仅是为了确保行为遵守规定，还为了评估特定规范的经济性与合目的性。[132]这种审查往往还包括对现有企业风险的审查，因此，从这方面说来，内部审计与合规计划联系紧密。实际上，内部审计与外部审计共同构成了合规计划的重要组成部分。《萨班斯法案》通过企业财务控制的强化促进企业内控也说明了这一点。鉴于二者之间的紧密联系，有人建议将合规工作归入内部审计部中，这是与其目的最相符合的。[133]但是，审计部门的工作并非主要着眼于预防，从这一点讲，两者的职能并非完全相同，合并两种职能的做法也并不可取。不过，为避免两者工作的重合，控制部门应当对它们作出协调。此外还可以这样做，即规定由审计部对合规计划的有效性进行审查。[134]

在法律问题上，法务管理的功能与合规出现了重叠，该部门可以在法律风险的发现上提供帮助，不过两者之间仍存在着差异：“从历史渊源上看，法务管理是公司乃至企业的传统内部职能，虽然并没有哪部法律要求公司必须设立法务管理部门，但可能从公司诞生之日起，法务管理部门或法务人员就已经成为公司的一分子。合规管理则主要缘起于监管机构的要求；从管理依据上看，法务管理的依据是法律法规、监管机构规定、行业惯例，尤其是前两者。法务管理基本上不存在将法律法规内部化的过程，直接依据法律法规判断公司行为与法律法规的契合度及其法律后果。对于合规管理而言，其管理依据则相当广泛，包括法律法规、监管机构规定、行业自律规则、公司内部管理制度以及诚实守信的道德准则。其更强调对内部规章制度的遵循。因为作为内控的手段之一，合规在很大程度上是先把外部规则内部化为公司的规章制度，而后再依据内部规章制度进行控制。从风险类型上看，就法务而言，其关注的风险为法律风险，包括法律责任以及一类不能称之为责任，但会使公司丧失法律保障的风险或不利后果，例如，因为公司怠于行使债权而导致诉讼时效已过，则会导致清偿债权的诉讼请求得不到法庭支持的不利后果。就合规而言，其关注的风险则是违规风险，与法律风险在法律责任中的刑事责任与行政责任方面是重合的，其他则风马牛不相及。从管理定位和管理模式上看，传统的企业法律部门往往被定位为服务部门、支持部门，负责公司的诉讼管理、合同审核、产品条款审核、风险资产追偿等工作，是一种非流程化、标准化、被动的管理，而合规管理则被定位为内控部门、监督部门，负责检测、识别、评估、报告公司各部门及分支机构对合规规则的遵守情况和风险管理的发生及整改情况，是一种常规化、流程化、标准化的管理，更是一种主动的姿态；在专业性上，合规管理需要管理人员更加了解公司的业务，而法务管理则要求管理人员对法律更加熟悉。”[135]因此，合规管理与法务管理应当被作为两个不同的企业职能来看待。

三、刑事合规的概念

在本书开头“问题的提出”部分已经交代过，对刑事合规问题的理解可以从企业和国家两个视角展开。鉴于两个视角下“刑事合规”概念的根本性差异，此处亦在不同的视角下分别进行概念界定。

（一）企业视角下的刑事合规概念

企业视角下的合规意指，企业应当遵守法律、法规、行业规范等。相应地，刑事合规意指，企业应当遵循刑事法律规范。此为第一个层面的含义。需要提出的问题是，现代化的大型企业所涉员工动辄数十万，那么，企业如何保证所有职员行为合法？对于公司领导来说，其可以通过加强自身的政治素养、纪律、法律意识保证自身守法，但对于众多文化素养、品格、职业素养参差不齐的职员的行为合法性，很难保证。因此，现代意义上的合规主要意指，企业为了保证所有职员行为合法的整体性组织措施。[136]此其第二个层面的含义。然而，刑事合规这一概念之所以成为近十年经济刑法的热门话题，主要不是在以上两个层面展开的：第一，在我国《宪法》第5条已经明确规定了各企业事业组织和个人的守法义务的前提下，再来讨论企业的刑事合规义务似乎没有什么必要。刑事法律是企业经营的红线、底线，其当然应当遵循。第二，“为了保证所有职员行为合法的整体性组织措施”更多关涉公司治理领域，与刑法的关联性较弱。基于以上原因，本书意义上的刑事合规概念主要从国家视角展开。

（二）国家视角下的刑事合规概念

首先需要说明的是，在文献中，刑事合规和合规计划这两个概念被不区分地加以使用。依笔者的观察，在德语文献中，更多使用刑事合规（Criminal Compliance）这一概念；在英语文献中，更多使用合规计划（Compliance Program）这一概念。实际上，这两个概念都是站在国家层面，对于企业合规的刑事法意义的讨论。因此，接下来的讨论将遵从原文献的表达方式，交叉使用刑事合规与合规计划这两个概念。

1.现有观点的梳理

美国司法部是推行企业合规计划的重要力量。在《麦克纳尔蒂备忘录》中，司法部提出：合规计划并没有一个程式化的要求，它是企业管理部门确立的旨在预防和发现不法行为，确保企业活动符合刑事法律、民事法律、法规和规则的制度，但是合规计划的存在本身并不能确保企业免于承担因员工或者代理机构实施违法行为而需要承担的责任。对于合规计划的评估，关键在于企业是否最大化地保证其有效预防和发现员工实施的不法行为。[137]归结起来说，美国司法部界定的合规计划是指，企业自身确立的旨在发现和预防不法行为的内部控制机制，而不仅是纸面上完美的制度设计或者表面装潢（window dressing）。它的关键在于其有效性，制度设计能否保障充分合规是合规计划的重要因素，至于如何保证其有效性，并没有一个固定的模式，企业应当确保合规计划适合自身的特殊情况。美国联邦量刑委员会所界定的合规计划概念也大致如此：“为构建有效的合规计划，企业应当尽职预防和侦查犯罪行为，推进企业文化建设，鼓励伦理及合法行为。”[138]

在学理上，经过对美国司法部和联邦量刑委员会相关法律规定的总结，Kaplan认为：合规计划实质上是一套旨在发现和预防企业违规行为的内部控制措施，而这样的内部控制措施应当考虑行业的一般特性，同时兼顾企业本身的特殊性，在兼顾一般与特殊性的基础上，按照美国联邦量刑委员会的合规要素进行程序的设计。[139]Miriam Hechler Baer认为：合规计划是企业为了发现违法行为，并向外部当局表明其守法决心而采取的一系列政策和控制措施。[140]德国学者Ulrich Sieber教授则认为：合规计划与风险管理、价值管理、公司治理以及商业伦理、诚信守则、行为守则、企业社会责任等概念都是描述公司治理的新理念，他们都是特指公司治理对于特定的目标和价值的定位。具体到合规计划，规定的是一种对——首先是法定的，有时又是伦理的或其他的——预定目标的遵守程序。[141]在介绍合规计划的内容部分时，Sieber教授主要从“目标和价值”以及“程序观念”两个方面展开：“具体来讲，这里的目标主要是指防止犯罪行为，特别是腐败、洗钱、恐怖融资、不正当竞争、伪造资产负债表、逃税、内部交易、破坏环境以及泄露公司秘密等犯罪行为。其他目标包括，针对公司职员而言，劳工法上的补充规定；针对顾客而言，售出产品的安全性能；针对供货商而言的订单的合理分配。此外还包括在世界范围内对人权进行的保护，例如防止童工、强迫用工或者歧视。从价值方面讲，特别适用于公司经济价值的一般保护，而这种保护涉及的范围广泛，从谨慎地对待公司财产，到保护公司秘密；除公司方面的利益，还包括业务伙伴或第三人的利益以及社会利益。程序方面，不同公司合规计划的程序也各不相同，他们主要取决于各个公司的业务范围及其规模。”[142]国外其他学者对于合规计划概念的界定与上述两位学者的观点类似，不再一一介绍。

在国内，周振杰教授持有类似观点。他认为：“虽然现在许多国家都在立法中规定了企业适法计划[143]，但是尚无统一的概念，通常是指企业为预防、发现违法行为而主动实施的内部机制；基本的构成要素包括正式的行为规则、负责官员以及检举制度。”[144]

2.自己观点的展开

从美国司法部、联邦量刑委员会以及学者对合规计划概念的界定可以看出，他们都是从以下几个方面展开：首先是制度的初衷，即合规计划是旨在预防和发现企业犯罪的制度。其次是制度初衷如何实现，即合规计划的程序问题——通过一整套内部控制措施实现预防和发现犯罪的目标。具体的措施应当考虑企业的特殊性质、企业规模、先前违法状况以及行业特性等因素，有针对性地进行制度建构。最后是关于合规计划的有效性问题，即它不应当仅仅停留在纸面，而应当切实地实现制度初衷。由此可见，这一层面的合规计划概念与“作为保证职员守法的整体性组织措施”这一企业视角下的合规概念并无本质差异。问题是，理念意义上的企业合规或者企业自律要远远早于制度层面的合规计划，如果仅从企业视角认识合规，无法得到合理解释的是，为什么它也只是在近二十年才得到广泛讨论？事实上，合规之所以成为一个新的学术增长点被广泛关注，得益于其成为一个新的起诉、定罪、量刑政策，即合规与起诉、定罪、量刑问题发生了某种关联。虽然前述部门或者学者都有一个共识，即合规可以影响企业刑事责任，但其并未将这种影响囊括进合规计划的定义。在本书看来，这一点是一个缺憾，我们应当将合规计划的法律效果视为合规计划概念的一部分，而这一部分也恰恰是其不同于企业自律理念的关键所在。

具体到合规计划的法律效果，在刑事法上主要包括：合规成为影响起诉决定的核心要素；合规成为影响定罪或量刑的核心要素。在美国、英国、法国、新加坡、加拿大、巴西等国，合规已经成为检察官起诉决定的核心考量要素。[145]依照《美国联邦量刑指南》，企业犯罪时，法院对于设有有效合规计划的企业可减轻高达95%的罚金，如果企业怠于合规，可处最高达4倍的罚金。[146]甚至，合规计划在某些情况下还具有正当化的功能。“这可能出现在《日本刑法》第35条的正当业务行为的一环的企业活动里。例如，保安公司的人员按照内容严格的守法计划在实行保安业务时引起物品上的损害或者人身伤害；又如，航空公司的飞行员或者航运公司的船长在严格依照守法规则的航行中，遇到难以预料的危难而为了避免更大的损害不得已导致一定损害结果的场合；再如，在与媒体报道和名誉毁损罪的关系问题上，守法计划也许会发挥正当化功能。另外，根据将过失犯罪的本质掌握在违法性层面的学说，守法计划可能被掌握为客观注意义务之标准，而发生伴随着企业活动的人身事故时，有跟正当化功能联结的余地。”[147]

归结起来说，刑事合规/合规计划是指国家以起诉、定罪或量刑等外部激励方式推动企业建构可以有效预防、发现违法犯罪行为的内部控制机制的法制度工具。[148]