從涉案企業合規不起訴的落地看企業合規制度的構建
作者:曾崢 陳伊韜 2022-11-10合規“complince”已然是時下非常熱門的一個話題。合規作為舶來品早年常見于外資企業,后來陸續有了央企、國企及民企的跟進,如18年的《中央企業合規管理指引》中的正式規定,但由于缺少本國法律制度上的基礎,因此適用和討論的空間相對有限,但自2020年3月最高檢帶動的涉案企業合規監管試點工作以來,合規尤其是刑事合規的制度性構建正式提上議題,合規的概念外延得到擴張,這種自上而下、以檢察院為主導的企業合規整改迅速推進和倡導揭示合規的價值,因此受到廣泛關注。2021年6月以來關于涉案企業合規第三方監督評估機制建立的指引、辦法陸續出臺,具有中國特色的本土合規不起訴制度基建初步落成,糅合了第三方監督評估要求,以事前預防、事中補救、事后整改三階段為核心的大合規范式,既是檢方在進行合規考察時的評判要素,也是企業未雨綢繆查漏補缺時的參考依據。最高檢至今已陸續發布三批典型案例,結合案例來看一下企業怎樣構建和完善合規制度非常有參考價值。總的來說,企業在構建和落實合規制度時應該妥善處理好以下幾個關系。
一、處理好專項合規和全面合規的關系
合規即成本。對于所有企業來說,保障企業發展盈利是第一要義,快速推進全面合規的成本無疑太高,在容易出現刑事風險或行政風險的特定領域進行專項合規可能是企業從成本角度考慮的覺悟。但是在2022年4月份發布的《涉案企業合規建設、評估和審查辦法(試行)》中第21條明確提到:“涉案企業應當以全面合規為目標、專項合規為重點,并根據規模、業務范圍、行業特點等因素變化,逐步增設必要的專項合規計劃,推動實現全面合規。”從這里可以看出,如果企業涉案,在后續接受檢察院主導的合規整改時,很可能需要面對檢方或者第三方監督委員會要求的以全面合規作為目標的徹底改造的。在最高檢第一批發布的合規典型案例三中:深圳市王某某、林某某、劉某乙對非國家工作人員行賄案[1]中,某音響設備供應商Y公司業務員王某某為了在客戶B公司設備采購中獲得照顧,向B公司采購員劉某甲陸續支付了好處費25萬元,并在劉某甲暗示下向B公司技術總監行賄24萬元,由Y公司經審核批準,通過第三方賬戶轉出行賄款,深圳市南山區檢查機關了解到Y公司是擬上市的重點企業,且在音響設備領域處于國內領先地位,因此不僅圍繞商業賄賂犯罪相關的企業內部治理存在問題為其制定了合規計劃,而且在回訪時針對企業可能涉及的知識產權等合規問題進一步提出了指導意見,推動企業查漏補缺并重啟上市申報程序。 這里給我們的啟示是,對于企業來講,一方面如果沒有提前做好全面合規體系構建的準備,那么即使得到機會接受合規整改的,后期需要付出的成本以及精力可能非常巨大的;另一方面,不能把檢察院主導的合規不起訴制度簡單理解成一對一的辯訴交易,其在合規考察期之外,還會有對企業一個長期的跟蹤和回訪,這種考察很可能是全面而不是僅局限于涉案的某一個領域。
二、構建好事前、事中和事后合規的體系
分析最高檢頒布的幾個合規典型案例同樣可以發現,檢方要求涉案企業提交合規計劃或者整改方案中要求企業完善的很多舉措,從“事后諸葛亮”的角度來看,都可能可以通過事前合規預防體系或者事中危機處理機制中來應對。以近期較熱的數據合規為例,在第三批公布的全國首例數據領域刑事合規不起訴案件[2]中,涉案企業Z公司通過數據爬蟲技術非法獲取某外賣平臺的信息數據,給該外賣平臺造成4萬元的損失,觸犯了非法獲取計算機信息系統數據罪,隨后向檢察院申請適用合規監督考察程序。我們可以清晰地發現,檢方在引導Z公司進行合規整改時適用了循序漸進的三階段大合規體系: 第一步是事后合規整改,在于消除不法行為及不法行為所產生的后果,會考察企業是否全面停止涉案違法行為并積極進行賠償,或者退繳違法所得,在本案中,Z公司圍繞管理措施、技術措施、制度進行自查整改,Z公司與E公司達成合規數據交互約定,徹底銷毀相關爬蟲程序及源代碼,對非法獲取的涉案數據進行無害化處理,并與E平臺API數據接口直連,實現數據來源合法化; 第二步是建立事前、事中的合規預防、控制體系,主要包括以下幾個層次: 首先是管理層與相關從業人員的自查自糾。在本案中Z公司誤將爬蟲技術認為是業內公開的技術代碼,并未想過這樣使用會構成犯罪,因此合規整改中要求明確企業負責人、高管以及業務員對于涉數據安全保護違法違規行為是否有了深刻的認識,對造成企業發生涉數據違法違規行為的內因和外因是否進行了全面分析——其實這里也涉及到一個事前合規的認識問題。爬蟲技術本身不違法,但未經授權訪問或抓取數據,或是將通過爬蟲手段獲取的數據用以實施違法犯罪行為的則會涉及刑事風險。早年湖南九象[3]、杭州魔蝎[4]等案件均揭示了相關數據爬蟲行為的刑事違法性,一些貸超平臺和大數據服務商違規收集用戶隱私數據,售賣至套路貸平臺等,給消費者的財產安全帶來隱患,刑事司法學界包括律師也對相關行為的刑事合規風險有過廣泛而深入的探討,如果一些涉案企業能從這些案例中得到警醒,更早的重視和落實包括風險評估及控制在內的事前合規,損失和成本自然遠遠低于案發后再整改。當下《網絡安全法》《數據安全法》和《個人信息保護法》等數據信息領域的上位法框架規則基本成型,強監管已然來臨。 其次是建立合規制度。在明確為何會發生犯罪后,針對企業抗風險薄弱環節構建事前的合規預防體系,通常是以完整可行的合規計劃體現,并建設內部合規管理機構,可以是部門的形式也可以是個人的形式,對企業收集、儲存、使用、加工信息數據的安全管理制定制度規范并對可能存在的風險評估監測,建立內部數據安全保護制度和操作規程,確定數據處理的操作權限,對數據實行分級分類管理,制定常態化合規管理制度,開展合規年度報告。在整改過程中,檢察院發出建議書要求“規范技術匯報審批流程,建立技術應用合規評估制度,避免技術濫用”,重點就是對企業搜集的數據來源的合法性評估,消除內部管理盲區。同時Z公司也與相關平臺簽訂數據處理協議,同多家大型互聯網企業達成數據合作以搭建合法第三方數據獲取的機制,助力后續數據業務的合規平穩開展。 最后是出現合規問題時的處置應對預案,建立健全數據違法違規行為問責制度和舉報調查制度,明確違反合規計劃的紀律處分和法律后果,并制定數據安全事件應急預案,決定數據安全事件進入緊急處置狀態并指揮對數據安全事件的補救與通知上報。在本案中Z公司加入區級態勢感知平臺,提升安全威脅的識別、響應處置能力及數據及時脫敏、加密,增強網絡攻擊防護能力。
三、衡平好企業和個人的關系
如果以合規視域下的單位獨立意志論來考量企業合規的出罪功能,我們會發現,作為法人人格具現化的各類制度、體系,需要達到預期的效果,最終還是要依仗個人的落實。企業和個人的微妙在于,企業的運轉離不開個人努力——不管是企業的運營,還是企業合規的落實;而所有的合規制度,不管是禮品還是捐贈制度,利益沖突制度,還是供應商管理制度,都是希望通過對人的精細化管理,從而避免人“犯錯”,但人之所以為人,總是有欲望的,比如希望送更高價格的禮品以獲取更多利益,住更貴的酒店以更舒適,從這種角度上來講,所有的合規制度都是反人性的,這也正是合規重要的目的和功能之一—防患于未然,但另一方面,當出現合規問題時,企業或者企業的實控人又希望合規制度能夠起到一定的屏障作用來避免單位涉及刑事犯罪的風險。 目前公布的合規案例大部分是同時存在單位和個人刑事責任的雙罰制犯罪,而在合規不起訴案例中,常見的是企業通過合規整改或者事前合規以避免單位犯罪,從這個角度講,企業也就有了更傾向于推進合規的動力。但是,個人呢?怎樣使得個人在推動合規中有更多的動力?或者說緩和這種企業與個人的張力?監管也作出了一些嘗試,比如在最近一些案例合規計劃的有效性評估要素中,對各領域的不同刑事風險,都提出企業需要設立專門的管理部門或是負責人對該領域負責合規體系構建以及監督考察。《關于建立涉案企業合規第三方監督評估機制的指導意見》第三條明確指出,第三方機制適用范圍不僅包括單位犯罪案件,還包括公司、企業實際控制人、經營管理人員、關鍵技術人員等實施的與生產經營活動密切相關的犯罪案件。也就是說,企業員工實施了與企業生產經營活動密切相關的犯罪,則企業可能存在重大的合規漏洞,因此有必要對企業進行刑事合規整改;但對企業進行刑事合規整改后能否將其效用惠及于企業員工,即將企業的刑事合規整改作為從寬處理企業員工個人犯罪的重要事由,仍然存在爭議。 在第三批發布的涉案企業合規典型案例二[5]中,K公司的總經理王某某得知公司與某上市公司達成合作意向的信息后,兩次將內幕信息泄露給其好友,涉嫌泄露內幕信息罪。案發后,檢察機關結合實際情況監督引導K公司及其必要的關聯公司、子公司進行刑事合規整改。起訴后,檢察機關結合相關企業的整改情況向法院提出了對企業員工寬緩處理的量刑建議,即將企業刑事合規整改作為從寬處理企業員工個人犯罪的事由之一。這實際上也為今后的涉案企業合規業務打開了一扇窗,我國大部分民營企業都是自然人控股,人合性大于制度性約束,實控人或高管是企業運轉的實質核心,若企業合規能夠惠及涉案的個人,自然能夠調動企業和個人推進合規建設的積極性。
四、把握好形式合規與實質合規的轉化
涉案企業合規第三方監督評估機制的目的在于希望企業能夠建立原生性的自治生態系統,通過完善合規體系獲得避免再度涉及刑事風險的能力,既能夠緩解我國司法壓力,激發企業的自主能動性,也能夠提升我國企業的綜合素質水平,不致于在越來越頻繁的跨國貿易中遭遇境外的調查和制裁。 因此,無論是從最高檢推進企業合規監管工作的期望,還是從企業自身出發的長遠價值考量,實質合規都應當是最終且唯一的目標。企業自主合規建設工作以及檢察院所要求的合規計劃,都會提到對企業合規文化的培育,甚至是以此影響和改造商事交往過程中的合作伙伴,這是實質合規的最終形態。而形式合規、紙面合規之所以無法消除的原因,是合規體系的構建與維護本身是需要大量投入與長期堅持的前瞻性工作,是額外平添的“義務”和“負擔”。將合規落到實處,事實上是對企業自治提出更高的要求。制度構建是第一步,但同時也需要因地制宜,有的放矢,根據企業自身實際情況調整細化實施方案。企業所在行業合規環境,企業整體人員合規意識,企業內部合規人員話語權,方方面面均需要兼顧,又要選擇性的做出取舍和讓步,絕非成立一個部門/崗位,引入一套體系/模板就能夠達成的。對于有能力的頭部企業,自然是倡導其作為行業榜樣,全面落實推進合規制度,并能夠進行合規文化輸出,致力于改善行業風氣,但是對于大部分中小企業,不加思辨的照搬照抄可能效果適得其反,必須把握好形式與實質合規的平衡。
注釋 [1] 中華人民共和國最高人民檢察院網:《最高檢發布企業合規改革試點典型案例》,訪問時間2022年11月9日, https://www.spp.gov.cn/spp/xwfbh/wsfbh/202106/t20210603_520232.shtml。 [2] 中華人民共和國最高人民檢察院網:《以合規不起訴規范數據企業發展》,訪問時間:2022年11月9日, https://www.spp.gov.cn/llyj/202206/t20220615_559908.shtml。 [3] (2018)蘇0803刑初643號。 [4] (2020)浙0106刑初437號。 [5] 中華人民共和國最高人民檢察院網:《涉案企業合規典型案例(第三批)》,訪問時間:2022年11月9日, https://www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2。
