企业境外法律合规项目的功能和注意事项

法律的域外适用已渐渐成为一种趋势。美国是这一做法的始作俑者。在反腐败、反垄断、出口管制和制裁、反洗钱、破产、劳动保护等领域的美国法域外适用，已经成为美国跨国公司、乃至其他与美国有一定关系的他国公司所必须面对的重要课题。

情况之所以如此，是因为美国法律往往或者规定自身有域外适用的效力，或者对属地原则进行非常宽泛的解读。前者例如上世纪八十年代赫尔姆斯-波顿法案（Helms Burton Act, 以下称赫-波法案）以及近来的伊朗制裁、问责与撤资综合法案（CISADA），规定对于注册在国外的非美国公司投资的企业也可进行制裁；后者如外国腐败行为法（FCPA），声称对所有利用了美国州际商业（interstate commerce）渠道（包括交通、网路、银行支付系统）的腐败行为都具有管辖权。

美国法律域外管辖具有很大争议性。它往往既不符合习惯国际法关于普遍管辖或保护管辖的规定，也难以不牵强附会地纳入传统属地管辖或属人管辖的范畴。比如，外国公司利用“州际商业渠道”被视为FCPA获得属地管辖的依据；“控制原则”——即美国公司控制的境外子公司 —— 则使得美国刑法获得对外国公司属人管辖权。这些对属地和属人原则的扩张使用，在全球范围内不时引起抱怨和挑战。更不用说，在反垄断和制裁领域，美国在没有任何属地或属人连接点的情况下，仅仅根据外国人的外国行为对美国国内造成了“效果”，就声称获得刑事管辖权的做法了。

必须指出，法律域外适用自美国始作俑以来，世界各国有效尤的趋势。例如，2018年5月生效的《欧盟通用数据保护条例》（GDPR）也含有具有重大域外效力的条款。[1]我国刚刚颁布的《中华人民共和国香港特别行政区维护国家安全法》也有域外适用条款。在单边主义逐渐盛行的今天，在国际舞台上，今后一段时间可望越来越多见到类似的长臂立法。

注[1]：GDPR Art.3 Sec.2.

长臂立法不但会造成国际上的管辖权冲突，而且可以被视为对另一国主权的侵犯或至少欠缺尊重。另一国可以而且应该予以反制。通常的反制手段包括通过外交途径抗议和谴责、通过国际组织寻求解决、通过反制性立法（blocking statutes）予以反击等。[2]

注[2]：欧盟、加拿大等国对美国跨境制裁的赫-波法案进行立法上的反制，取得了不错的效果。

国家层面的反制尽管重要，但往往无法解决涉案企业面临的难题。一些国家如美国在技术、金融等领域拥有的压倒性优势，使得被调查和起诉的外国企业面临严重商业后果。有可能被适用美国刑法的外国企业必须采取自我保护措施。除了通过律师充分了解外国有关域外适用的法律制度外，一个常用的手段是建立企业合规项目。

（一）为什么要设立合规项目？

设立合规项目起源于美国。设立合规项目的原因在于，根据美国的相关法律法规，美国联邦机构例如司法部、证交会以及各法院等往往以企业合规项目的存在与否，判定企业在腐败、垄断、侵犯隐私、破坏环境、违反出口管制等刑事和行政追责程序中责任的有无和大小。这种做法实质在于，在行政调查、处罚，刑事起诉、定罪、量刑等各环节把企业合规建设作为考量的重要因素，从而赋予企业建立合规体系的有效激励，促使企业自行提升治理水平，达到立法所欲达到的政策目标。进一步，通过本国法律的域外适用，促使与本国有关联的外国企业也建立与国内企业类似的合规体系，从而输出国内企业治理模式，以及国内立法所欲实现的价值。

合规项目的要求出现于美国并向域外推广，经过早期的摩擦和冲突，这一做法逐渐为其它国家所接受。各国尤其是英联邦国家近年纷纷采纳类似的甚至更加激进的制度；大陆法国家如德国法国等也开始在局部采取类似做法。基于以下理由，企业有必要设立合规项目。

第一，合规项目是决定是否刑事起诉的重要考虑因素。例如，隶属于美国司法部的《司法手册》所确立的“联邦起诉商业组织的原则”，就阐述了检察官在对公司进行调查、决定起诉、谈判或达成其他协议时所应考虑的具体因素。这些因素主要包括 ：“公司在犯罪时以及在被起诉时合规计划的充分性和有效性”，以及“为实施充分有效的公司合规计划或者改进现有合规计划”所做的补救措施。[3]

注[3]：Justice Manual 9-28.800, https://www.justice.gov/jm/justice-manual.

第二，合规项目是某些国家决定是否暂缓或延迟起诉的重要考虑因素。例如，美国法下，检察官与企业犯罪嫌疑人之间可以签订“延迟起诉协议”（Deferred Prosecution Agreement, DPA），企业缴纳一定罚款，并承诺在一定期限内全面整改，建立有效合规体系，以换取检察官暂缓起诉。英国于2014年、法国于2016年、澳大利亚、加拿大和新加坡等国在2018年分别引进了针对贿赂犯罪的DPA制度。这种以合规换取检察部门对刑事犯罪嫌疑人不起诉或暂缓起诉的做法，成为促进企业建设合规体系的重要动机。

第三，如检察部门决定起诉，合规项目是确定公司罪与非罪环节的重要考虑因素。例如，英国2011年出台的《反贿赂法》，引入“商业组织预防贿赂失职罪”，规定商业组织的“关联人员”为获得或保留业务或商业优势而行贿的，商业组织有罪，除非该商业组织能够证明，其已制订实施了“充分程序”预防行贿的发生。这一企业严格责任直接将企业合规项目作为无罪抗辩的理由，是公司犯罪领域的新突破。一个“充分程序”至少要包括与风险相称的合规制度、高层反贿赂承诺、定期风险评估、内部和外部的尽职调查、充分畅通的沟通和培训渠道、以及对反贿赂程序的定期评估改进等六个方面。企业如存在防止行贿的充分程序，可以脱罪。

第四，即使已经定罪，合规项目是对公司量刑轻重方面的重要考虑因素。例如，美国虽没有将合规项目作为免于入罪的事由，但《联邦量刑指南》规定，确定罚金的“责任分值”（culpability score）时，企业存在“有效合规伦理项目”的，一般而言可以扣减三分；[4]判处缓刑时，企业提交“有效合规伦理项目”并报告对其的违反，是判处企业缓刑的必要条件。[5]

注[4]：Federal Sentencing Guidelines (2015) §8C2.5.

注[5]：Federal Sentencing Guidelines (2015) §8D1.4.

第五，合规项目是行政部门开展行政调查、决定行政处罚时的重要考虑因素。绝大多数案件都牵涉到刑事和行政部门的双重管辖。在行政处罚环节，事先存在的、符合规范的合规计划，将有助于说服行政部门减轻处罚。例如，2019年5月，美国财政部海外资产管理办公室（OFAC）颁布了《合规承诺框架》（A Framework for OFAC Compliance Commitment）,建议美国国内实体以及与美国开展业务或使用美国原产货物或服务的外国实体建立有效的制裁合规项目（Sanctions Compliance Program，SCP），并对制裁合规项目在管理层承诺、风险评估、内部管控、测试与审计以及培训等各方面的内容进行了详细规定。违规企业是否存在有效的SCP，是确定违规是否“极端恶劣”（Egregiousness）的重要依据，并直接与罚金数额挂钩。另外，有关行政部门往往与违法企业达成行政和解协议，企业缴纳一定金额的罚款，并承诺在一定期限内建立符合规定的合规体系，以免除面临吊销执照等更为严厉的行政处罚。例如，美国证交会对行政违法的处理，约95%是通过行政和解协议进行的。又如，在中兴案中，中兴除与美国司法部达成刑事方面的延迟起诉协议外，还与美国商务部工业与安全局、财政部海外资产管理办公室分别达成行政和解协议，除缴纳罚金外，还承诺在未来十年内完善其合规项目。

我国也正在行政和刑事立法方面建立类似制度；未来，企业合规计划有望成为确定企业刑事和行政责任时的关键因素。例如，在行政处罚方面，新《反不正当竞争法》第七条规定：“ 经营者的工作人员进行贿赂的，应当认定为经营者的行为；但是，经营者有证据证明该工作人员的行为与为经营者谋取交易机会或者竞争优势无关的除外”。此规定推定公司员工的贿赂行为为公司行为，公司必须举证证明“工作人员的行为与经营者谋取交易机会或竞争优势无关”。一般认为，公司已建立全面的合规制度是有力的证据之一。再如，2015年证监会颁布了《行政和解试点实施办法》，规定证监会可以与上市企业达成行政和解，企业缴纳行政和解金，证监会中止调查，同时企业必须对涉嫌违法的行为和规章制度进行全面整改。

在刑事环节，虽然我国还没有成型的与DPA类似的制度，但司法实践中已经承认了公司合规制度在公司脱罪方面的作用。例如，2016年兰州市中级人民法院的一项判决，就以雀巢公司已经有完善的合规计划为由，认定雀巢公司在其6位员工的侵犯公民个人信息罪指控中不承担单位犯罪的刑事责任。[6]

注[6]：陈瑞华，“企业合规的基本问题”，《中国法律评论》，2020年第1期，180-181页。

（二）什么是有效的合规项目？

企业合规项目的传统标准配置是三大件：企业行为守则，合规官或合规办公室，以及匿名举报热线。随着违法情节的复杂化，以及各国域外法律效力的扩张，传统标配已经成为最底线要求，远不能证明合规项目充分有效。

良好的合规项目一定要有针对性。要求建立合规体系的法律规范，分属于不同司法区域，不可避免存在着国别差别和特色。例如美国就没有英国《反贿赂法》所规定的企业行贿严格责任；德国、巴西等国家更是对企业承担刑事责任本身就存疑；英法等国有模仿美国的DPA制度，但没有不起诉协议（NPA）制度。《欧盟通用数据保护条例》（GDPR）所设立的标准与美国关于隐私和数据保护的法律也有许多不同。企业合规项目一定要根据本企业业务牵涉到的国别，针对各国具体的法律规范要求，量身定做，切忌遗漏。

此外，要求建立合规体系的法律规范的性质也有不同。有些是刑事立法，有些是行政部门规章，有些是各部门的不具有法律效力的指引性或建议性文件。它们的功能都在于为企业建立合规项目提供激励。企业合规项目应当建立在这些法律规范、指引或建议的基础之上；对于法律法规等规范的要求，必须严格满足；对于建议或指引等文件的要求，最好也严格满足，但可以通盘考虑成本、可行性等要素，存在一定变通的余地。

企业合规项目有针对性，并不意味着合规项目的碎片化。事实上，这些不同部门颁布的规范和指引，除了涉及到的主题不同之外，在基本理念、制度和程序方面的要求其实大同小异。我国发改委、商务部等七部门2018年联合颁发的《企业境外经营合规管理指引》（发改外资（2018）1916号），就是典型的综合性合规指引。美国司法部2019年4月颁布的《公司合规项目评价》，也可以为一般性刑事合规项目提供一个样板。

美国司法部对合规项目的要求主要着眼于三个方面：第一，项目是否设计良好？第二，项目是否得到了善意的认真的实施？第三，项目是否在实践中运作良好？

在设计良好方面，《公司合规项目评价》强调合规计划的全面性。应当从六个方面来衡量合规项目是否运作良好：风险评估机制；有效的政策和程序；培训和沟通机制；匿名报告和调查机制；第三方管理机制；并购合规管控。在有效实施方面，检察官应当考虑以下三个因素：中高级管理层应对合规作出承诺；在公司治理结构上，合规人员应拥有足够的权威、自主性和充足的资源；合规项目应有充分的奖励机制和惩戒机制。在实践中运作良好层面，检察官将主要考察违规行为的有效识别、纠正和报告制度和运作情况。例如企业对合规计划的持续改进机制，对不当行为的调查方式（包括内部调查机制和外部调查），以及对潜在不当行为的分析和纠正机制。

综合各司法区域、各法律法规和行政部门的要求来看，一个有效的企业合规项目通常具有以下若干因素：（1）拥有一个源自高层、贯彻到基层的从上到下的合规文化；（2）企业核心管理层有合规方面的承诺；（3）有清晰明确形诸文件的企业行为守则（Code of Conduct）、相关政策和执行程序；（4）有关守则、政策和程序应定期审核、评估和不断更新；（5）有合规官等具有一定独立性的专业人员；（6）企业对合规有充分的资源投入（包括岗位设立和资金投入等）；（7）定期进行合规培训并保存培训记录；（8）有在合规方面的奖励和处罚机制，例如匿名举报热线等；（9）在企业采用第三方（销售代理、咨询师）服务和企业并购时，应进行事先合规尽职调查；等等。

全球化营商环境下，随着各国单边主义做法的盛行，中国企业违反外国刑法和行政法规、被外国政府起诉或处罚的几率在急剧增大。相关企业需要把握合规项目的内在法律机理，深入理解合境外规项目的功能和目标，打造并实施合理、有效的企业境外法律合规项目，从而降低乃至规避外国法律合规风险。